購入する または契約更新する
購入する または契約更新する
Cisco Umbrella および Secure Access のリリースノートとアナウンスが利用可能になりました!詳細はこちら
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
109
閲覧回数
0
いいね!
0
コメント

WSA:Access Logsにポリシーメンバの定義の承認済みグループ情報を記録する方法

yutogawa
Cisco Employee
Cisco Employee

‎2024-01-24 05:31 PM

はじめに

WSAでは外部の認証サーバーと連携し、識別プロファイルの設定でアクセス時にユーザーに認証を要求し、認証済みのユーザーに対して、各ポリシー側の設定で認可を行うことが可能です。その際に、アクセスポリシーなどの各ポリシーのメンバの定義の設定で、識別プロファイルを選択し、承認済みグループ情報を設定することが可能です。既定では、認証済みのユーザーが所属するグループ情報はアクセスログには記録されませんが、本記事ではそれを記録するための設定方法および設定後の動作について紹介いたします。

※こちらは、主にアクセス時の認証・認可周りのトラブルシューティングを行う際に設定をご案内するものとなります。

設定方法

[システム管理] - [ログサブスクリプション]からアクセスログをクリック。
カスタムフィールド(オプション)に%gを追加します。

yutogawa_2-1705986465185.png

設定後の動作確認

本検証では、アクセスポリシーの設定は以下の通りとなっています。グローバルポリシーとは別に、TestAccessPolicy1とTestAccessPolicy2という名前のアクセスポリシーが設定してあり、それぞれのポリシーメンバの定義でtestgroup1とtestgroup2という名前の承認済みグループが設定されています。WSAはWindowsのActive Directoryを認証サーバーとして使用しており、今回アクセスするユーザー(contoso\testuser)はActive Directory上のtestgoup1とtestgroup2のいずれのセキュリティグループにも所属しているものとします。また、ポリシーメンバの定義にはこれ以外の設定はしていないものとします。

yutogawa_3-1705987041444.png

contoso\testuserのテストユーザーを使い、WSAで認証をしてcisco.comにアクセスをすると該当のアクセスは以下のようにアクセスログに記録されます。アクセスポリシーはTestAccessPolicy1が記録されており、グループについては、testgroup1とtestgroup2が記録されていることが確認できます。

 

1705987671.035 4638 192.168.10.171 TCP_MISS/200 1033449 CONNECT tunnel://www.cisco.com:443/ "CONTOSO\testuser@AD_Server" DIRECT/www.cisco.com application/octet-stream DEFAULT_CASE_12-TestAccessPolicy1-TestIDProfile-NONE-NONE-NONE-DefaultGroup-NONE <"IW_comp",9.0,1,"-",-,-,-,1,"-",-,-,-,"-",1,-,"-","-",-,-,"IW_comp",-,"-","Computers and Internet","-","Unknown","Unknown","-","-",1782.58,0,-,"-","-",1,"-",-,-,"-","-",-,1,"-",-,-> - - "CONTOSO\testgroup1,CONTOSO\testgroup2"

 

アクセスログに、認証済みユーザが所属するグループ情報が記録される動作としては、以下の通りとなります。

・上で見ていただいた通り、一致したポリシーの承認済みグループのみがアクセスログに記録される動作ではなく、認証済みユーザーが所属する各ポリシーのポリシーメンバ定義に設定してある承認済みグループがすべて記録される動作となります。この例の場合は、testgroup1だけではなく、testgroup2も記録がされていることが確認できます。※復号化ポリシーやルーティングポリシーに関しても同様の動作となります。

・認証サロゲートが有効な場合は、認証済みユーザーと上記のセキュリティグループが紐づく形でキャッシュされます。そのため、認証サーバー側で実施したセキュリティグループの変更がリアルタイムでアクセス時の動作(ポリシーマッチング)に反映されるわけではないためご注意ください。
※キャッシュの期間は認証設定のクレデンシャルキャッシュオプション:サロゲートタイムアウト値に従います。

参考

Customizing Access Logs

If the list of predefined Access log and W3C log fields does not include all header information you want to log from HTTP/HTTPS transactions, you can type a user-defined log field in the Custom Fields text box when you configure the access and W3C log subscriptions.
%g
cs-auth-group

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents