カットスルーと直接の ASA 認証の設定例 目次 概要 前提条件 要件 使用するコンポーネント 表記法 カットスルー 直接認証 関連情報 概要 このドキュメントでは、カットスルーと直接 ASA 認証を設定する方法について説明します。 注:Blayne Dreier によって貢献される、Cisco TAC エンジニア。 前提条件 要件 このドキュメントに関する固有の要件はありません。 使用するコンポーネント このドキュメントの情報は、Cisco Adaptive Security Appliance(ASA)に基づくものです。 このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべ てのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜 在的な影響を十分に理解しておく必要があります。 表記法 ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。 カットスルー カットスルー 認証は AAA認証 include コマンドで前もって設定されました。 この場合、AAA認証一致 コマンドは使用されま す。 トラフィックは AAA認証一致 コマンドによって参照されるアクセス リストで認証を必要とする許可されます、特定のトラ フィックが ASA を通して許可される前にホストを認証します。 Webトラフィック 認証のための設定例はここにあります: username cisco password cisco privilege 15 access-list authmatch permit tcp any any eq 80 aaa authentication match authmatch inside LOCAL HTTP が ASA が認証をインジェクトできるプロトコルであるのでこのソリューションがはたらくことに注目して下さい。 ASA は HTTPトラフィックを代行受信し、HTTP認証によってそれを認証します。 認証がインラインにインジェクトされるので、HTTP認証 ダイアログボックスはこのイメージに示すように Webブラウザに現われます: 直接認証 直接認証は AAA認証で含んでいます仮想 な <protocol > コマンド前もって設定され。 この場合、AAA認証一致および AAA認証リ スナー コマンドは使用されます。 認証を元々サポートしないプロトコルの場合(すなわち、認証 チャレンジがインラインにある場合がないプロトコル)、直接 ASA 認証は設定することができます。 デフォルトで、ASA は認証要求を聞き取りません。 リスナーは AAA認証リスナー コマン ドで特定のポートおよびインターフェイスで設定することができます。 一度ずっとホストが認証されている ASA を通して TCP/3389 トラフィックを可能にする設定例はここにあります: username cisco password cisco privilege 15 access-list authmatch permit tcp any any eq 3389 access-list authmatch permit tcp any host 10.245.112.1 eq 5555 aaa authentication match authmatch inside LOCAL aaa authentication listener http inside port 5555 リスナー(TCP/5555)によって使用するポート番号に注意して下さい。 提示非対称多重処理システム表 ソケット コマンド 出力 は ASA が規定 された(中)インターフェイスに割り当てられる IP アドレスでこのポートに今 Connection 要求を聞き取ること を示します。 ciscoasa(config)# show asp table socket Protocol Socket TCP Local Address 000574cf 10.245.112.1:5555 Foreign Address State 0.0.0.0:* LISTEN ciscoasa(config)# ASA が上で示されているで設定された後、TCPポート 3389 の外部ホストへの ASA を通した接続の試みは接続否定という結果に終 ります。 ユーザは割り当てられるべき TCP/3389 トラフィックのために最初に認証を受ける必要があります。 直接認証はユーザが ASA に直接ブラウズするように要求します。 http:// <asa_ip に > 参照すれば: <port は >、404 エラー ので ASA の Webサーバのルートで存在 する Webページ戻りません。 その代り、http:// <asa_ip に > 直接参照して下さい: <listener_port >/netaccess/connstatus.html。 ログイン ページは認 証 資格情報を提供できるこの URL に常駐します。 この設定では、直接認証 トラフィックは authmatch access-list の一部です。 このアクセス制御エントリなしで、http:// <asa_ip に > 参照するとき、ユーザ認証必要となりません予想外メッセージを、ユーザ認証のような受け取るかもしれません: <listener_port >/netaccess/connstatus.html。 認証に成功した後、TCP/3389 の外部サーバに ASA を通って接続できます。 関連情報 トラブルシューティング テクニカルノーツ 1992 - 2015 Cisco Systems, Inc. All rights reserved. Updated: 2014 年 12 月 25 日 http://www.cisco.com/cisco/web/support/JP/111/1110/1110117_asa-cut-through-config-00.html Document ID: 113363
© Copyright 2024