2017-01-26 07:51 PM
PCまたはスマートデバイスのAnyConncetから、CiscoASAにSSL-VPN接続を行います。
現状環境では、社内にドメイン環境が構築されており、ASAはADサーバーにIDとパスワードを問い合わせにいくという、単純なID/Password認証方式を採用しています。
ただ、ID/Passwordが漏れた場合を想定して、ID/Passwordだけでなく、クライアント証明書を有するPCまたはスマートデバイスでないとログインできないようにしたいという要望が上がりましたので、技術的に可能かどうなのかを調査しております。
①まず、上記のような要望をCiscoASA+AnyConncetで満たすことが可能でしょうか?
②クライアント証明書はADサーバーで発行させるプライベートCA方式を採用しようと検討していますが、その場合、ADサーバーのルート証明書?CA証明書?のようなものを何かASAにインストールする必要があるのでしょうか?
③参考になるサンプルコンフィグまたはCisco.comのURLをご教授いただけないでしょうか。
証明書認証について無知で恐縮ですが、もしご存知の方がおられましたら、①~③のいずれか1つでも結構ですので、ご回答いただけますと大変助かります。
解決済! 解決策の投稿を見る。
2017-03-21 01:05 PM
お世話になります。投稿いただいてから大分時間が経過しているので解決済みかもしれませんが、以下の資料はいかがでしょうか。
ASA AnyConnect Double Authentication with Certificate Validation, Mapping, and Pre-Fill Configuration Guide
http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116111-11611-config-double-authen-00.html
ご質問の②については、「Certificate Installation on ASA」という段落、③は「ASA Configuration for Double Authentication and Certificate Validation」が該当するかと思います。
2017-03-21 01:05 PM
お世話になります。投稿いただいてから大分時間が経過しているので解決済みかもしれませんが、以下の資料はいかがでしょうか。
ASA AnyConnect Double Authentication with Certificate Validation, Mapping, and Pre-Fill Configuration Guide
http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116111-11611-config-double-authen-00.html
ご質問の②については、「Certificate Installation on ASA」という段落、③は「ASA Configuration for Double Authentication and Certificate Validation」が該当するかと思います。
2017-03-22 09:31 PM
ご回答ありがとうございます。
まだ解決しておらず絶賛検証中ですので、いただいた情報は大変助かります。
ccoの内容を熟読した上で、検証に活かしたいと思います。
丁寧なご回答、ありがとうございました。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド