シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

AnyConnect - Connction Profile (Tunnel Group) の選定方法について

 [toc:faq]

概要

AnyConnect や Clientless VPN といったリモートアクセス VPN でなどで使用する Connection Profile (Tunnel Group) がどのように選定されるかを分類して紹介します。本文書の資料収集、動作確認は、ASA 9.1(5) および AnyConnect Client 3.1.05170 を使用して行われています。

まずは、connection profile 選定に使用される3つのメソッドについて簡単にレビューします。

1.Group-url

以下のようなアクセス方法です。

AnyConnect Client の場合
FQDN(IP address) + group-url でアクセスします。

group-url に紐付いた tunnel-group の認証が開始されます。

Web launch の場合
ブラウザから https://<FQDN(IP address)>/group-url でアクセスします。

group-url に紐付いた tunnel-group の認証が開始されます。
  


2. Group-alias

以下のようなアクセス方法です。

AnyConnect Client の場合
FQDN(IP address) でアクセスします。


Connection Profile のエイリアス を選択する画面が表示されます。


Web launch の場合
ブラウザから、https://<FQDN(IP address)>にアクセスします。

Connection Profile のエイリアス を選択するページが表示されます。

group-url と group-alias を使用する Connection Profile の設定例です。

tunnel-group TunnelGroup1 type remote-access
tunnel-group TunnelGroup1 general-attributes
 authentication-server-group RDS
 default-group-policy GroupPolicy1
tunnel-group TunnelGroup1 webvpn-attributes
 group-alias Itsukushima enable
 group-url https://japanvsec.cisco.com/group1 enable

---snip---

tunnel-group TunnelGroup5 type remote-access
tunnel-group TunnelGroup5 general-attributes
 default-group-policy GroupPolicy5
tunnel-group TunnelGroup5 webvpn-attributes
 authentication certificate
 group-alias Yakushima enable
 group-url https://japanvsec.cisco.com/group5 enable

!--- TunnelGroup1 から TunnelGroup5 までの Connection Profile が定義されています。
!--- この例ではそれぞれ異なる認証方式を使用し、異なる Group-policy に紐付けています。

ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# tunnel-group-list enable 

!--- group-alias を有効にするためには、tunnel-group-list を有効にする必要があります。
!--- 無効では group-alias のプルダウンは表示されず DefaultWebVPNGroup が使用されます。

3. Certificate Maps

クライアント証明書の属性を使用して、Connection Profile を振り分ける方法があります。 デフォルトでは 証明書が、Certificate Maps の定義に一致すると、Certificate Maps による選定が group-url や group-alias よりも優先されます。

crypto ca certificate map CMAP4 10
 subject-name attr cn eq Division4
crypto ca certificate map CMAP5 10
 subject-name attr cn eq Division5

 webvpn
  certificate-group-map CMAP4 10 TunnelGroup4
  certificate-group-map CMAP5 10 TunnelGroup5

!--- サブジェクト名の CN が Division4 の証明書を持つユーザは、TunnelGourp4 が使用されます。
!--- サブジェクト名の CN が Division5 の証明書を持つユーザは、TunnelGroup5 が使用されます。
!--- マッチしなければ、group-url や group-alias により選定されます

ASDM からは Configuration > Remote Access VPN > Advanced >Certificate to AnyConnect and Clientless SSL VPN Connection Profile Maps から設定できます。


Certificate Maps による選定が成功したかどうかは Syslog から確認できます。トラブルシュートでは、まず最初に以下の出力を確認します。

Certificate Maps にマッチした出力例

%ASA-7-717036: Looking for a tunnel group match based on certificate maps for peer certificate with serial number: 14423F470000000000B9, subject name: cn=Division4 ,dc=japanvsec,dc=cisco,dc=com, issuer_name: cn=shkonoCA,dc=japanvsec,dc=cisco ,dc=com.

%ASA-7-717038: Tunnel group match found. Tunnel Group: TunnelGroup4, Peer certificate: serial number: 14423F470000000000B9, subject name: cn=Division4,dc=japanvsec,dc=cisco,dc=com, issuer_name: cn=shkonoCA,dc=japanvsec,dc=cisco,dc=com.


Certificate Maps にマッチしなかった出力例

%ASA-7-717036: Looking for a tunnel group match based on certificate maps for peer certificate with serial number: 14423F470000000000B9, subject name: cn=Division6 ,dc=japanvsec,dc=cisco,dc=com, issuer_name: cn=shkonoCA,dc=japanvsec,dc=cisco ,dc=com.

%ASA-4-717037: Tunnel group search using certificate maps failed for peer certificate: serial number: 14423F470000000000B9, subject name: cn=Division6,dc=japanvsec,dc=cisco,dc=com, issuer_name: cn=shkonoCA,dc=japanvsec,dc=cisco,dc=com.

4. その他

"tunnel-group-preference group-url" という機能について紹介します。Certificate Maps の定義は、group-url や group-alias に優先する動作の例外として、tunnel-group-preference group-url という設定を有効にすると、Certificate Maps の定義にマッチしても、group-url を使用した Connection profile が使用されます。

ciscoasa# conf t 
ciscoasa(config)# webvpn 
ciscoasa(config-webvpn)# tunnel tunnel-group-preference ? 

webvpn mode commands/options: group-url 
Prefer tunnel-group specified by group-url over certificate map 
ciscoasa(config-webvpn)# tunnel-group-preference group-url 

この機能は、ASA 8.2(5) および 8.4(2)から導入されました。また ASDM ではバージョン 6.7 以降で設定可能になっています。

Configuration > Remote Access VPN > Network (Client) Access (or Clientless SSL VPN Access) > AnyConnect Connection Profile の下段のチェックボックス。


なお、ASA 8.4 で tunnel-group-preference group-url を利用する場合は、8.4(4) 以降をご利用ください。8.4(2) および 8.4(3) では、ソフトウェア不具合のため、AnyConnect Client では本機能が正常動作しません。

4. 図解、参考情報

最後に、これまで記載した内容を図示します。