シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA : 特定の group-policy に対し AnyConnect の利用時間を制限する方法

 

はじめに

本ドキュメントでは ASA で特定の group-policy に対し AnyConnect の利用時間を制限する方法についてご紹介いたします。


尚、AnyConnectの基本的な設定方法につきましては、以下のドキュメントを参考にして下さい。

Cisco AnyConnect Secure Mobility Client を使用して Remote Access VPN を行う際の設定 (1)
https://supportforums.cisco.com/ja/document/11936906

 

 

設定で利用するコマンド

利用時間の設定には time-range コマンドを利用し、vpn-access-hours コマンドにて group-policy に設定した期間を紐づけます。

time-range
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1629745

 

vpn-access-hours
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/v.html#pgfId-1663143

 

では具体的に設定方法を確認していきましょう。
尚、本記事の設定は ASA5505 Software Version 9.2(1)、ASDM 7.5(1) を利用しています。

 

 

コマンドラインでの設定例

1) time-range コマンドにて許可する時間を指定します

この例では平日 9:00 - 18:00 の時間帯のみを許可する設定をしています。
設定する名前は "Weekdays-9:00-18:00" で設定しています。

ciscoasa(config)# time-range ?

configure mode commands/options:
WORD < 129 char Time range name
ciscoasa(config)# time-range Weekdays-9:00-18:00
ciscoasa(config-time-range)#
ciscoasa(config-time-range)# ?

Time range configuration commands:
absolute absolute time and date
exit Exit from time-range configuration mode
help Help for time-range configuration commands
no Negate a command or set its defaults
periodic periodic time and date
ciscoasa(config-time-range)#
ciscoasa(config-time-range)# periodic ?

trange mode commands/options:
Friday Friday
Monday Monday
Saturday Saturday
Sunday Sunday
Thursday Thursday
Tuesday Tuesday
Wednesday Wednesday
daily Every day of the week
weekdays Monday thru Friday
weekend Saturday and Sunday
ciscoasa(config-time-range)#
ciscoasa(config-time-range)# periodic weekdays 9:00 to 18:00

※ hh:mm (開始時間) to hh:mm (終了時間)の形式で設定します。

 

 

2) 設定が反映している事を確認します

ciscoasa(config-time-range)# sh run time-range 
time-range Weekdays-9:00-18:00
periodic weekdays 9:00 to 18:00

 

3) 既存、あるいは、新規の group-policy に先ほど設定した期間を紐づけます。 

 この例では既存の Part-time という group-policy に紐づけます。

追加前:
ciscoasa(config-time-range)# sh run group-policy
group-policy Part-time internal
group-policy Part-time attributes
vpn-tunnel-protocol ssl-client
address-pools value vpn_users
設定を追加:
ciscoasa(config-time-range)# group-policy Part-time attributes
ciscoasa(config-group-policy)# vpn-access-hours value Weekdays-9:00-18:00
追加後:
ciscoasa(config-group-policy)# sh run group-policy Part-time
group-policy Part-time internal
group-policy Part-time attributes
vpn-access-hours value Weekdays-9:00-18:00
vpn-tunnel-protocol ssl-client
address-pools value vpn_users
ciscoasa(config-group-policy)#

上記設定完了後は group-policy ”Part-time” にて AnyConnect で接続するユーザーは平日 9:00 - 18:00 の時間帯以外は接続できなくなります。但し、上記時間帯の前に接続している場合には、そのまま切断されるまで接続されます。

 

利用時間を制限するその他の方法として AnyConnect のデフォルトの tcp ポート 443 に対し時間ベースのアクセス リストを設定する事で接続できなくする方法もあります。

(参考情報)

時間ベースのアクセス リスト
http://www.cisco.com/cisco/web/support/JP/111/1115/1115964_asa-82-port-forward-00-j.html#timebased

 

4)最後に ”write memory” で設定を保存します。

 

 

ASDM での設定例

(既存の Part-time という group-policy に紐づける設定例)

 

1) group-policy  を選択します。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択し、内部グループ ポリシー Part-time を選択し "Edit"(新規作成 の場合には "Add" )をクリックします。

 

2)   "Access Hours" の inherit  のチェックを外し、"Manage" をクリックします。

 

3)  "Browse Time Range"  の  Window  から "Add"  をクリックします。

 

4) "Add Time Range" の Window で、"Time Range Name" を入力後、"Recurring Time Ranges" で "Add" を選択します。

 

5)  "Add Recurring Time Ranges"  の Window で  "Weekdays"  を選択し、"Daily Start Time" と "Daily End Time" を指定し、OK をクリックします。

 

6) "Add Time Range"  の Window に反映しているのを確認し、"OK"  をクリックし、 "Edit Internal Group Policy"  も同様に "OK"  をクリックし、 [Group Policies] で "Apply" をクリックし適用します。

 

ミニ知識)
ASDM のメニューから Tool -> Preferences -> General タブの Communications の部分で "Preview comamnds before sending them to the device"  にチェックを入れておくと ASDM で設定した情報が "Apply" をクリックした際、コマンドラインとして表示され確認する事ができます。

 


7) 最後に "Save" をクリックし設定を保存します。

 

492
閲覧回数
10
いいね!
0
コメント