キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。
New Member

WebブラウザとAnyConnectで認証方法を分けるには

CiscoASAでSSL-VPN(WebVPN)によるVPN接続を構築したいです。

接続方法はWebブラウザとAnyConnectの2パターンがあります。

このような環境において以下のようなことを実現することは可能でしょうか?

・Webブラウザからのアクセスの場合はAAA認証

・AnyConnectからのアクセスの場合はAAA認証&証明書認証

AnyConnectの場合はクライアント証明書を用いた認証にしたいのですが、クライアント証明書をインストールできないPC(お客様先など)もあるので、そのような環境からのWebブラウザによる接続の場合は、クライアント証明書を用いないAAA認証のみ(ID/Passwordのみ)にしたいと考えています。

上記について過去事例や実績等をお持ちの方がおられましたら、ご教授いただけますと助かります。

よろしくお願い致します。

1 件の受理された解決策

受理された解決策
Cisco Employee

お世話になっています。Webブラウザ経由で

お世話になっています。Webブラウザ経由で(Clientlessではなく) AnyConnect を起動・接続するパターンと、AnyConnect クライアントから直接接続するパターンを分けるということでよろしいでしょうか? もし他の条件がすべて同じで、認証方法だけが異なるようでしたら、同一 Group Policy を使用する 2 つの Tunnel Group を用意して、それぞれに AAA 認証(tunnel-group A)、AAA + 証明書認証(tunnel-group B)を利用する方法が考えられます。

たとえばブラウザからアクセスするときには tunnel-group A に紐づいた group-url を使用して、AnyConnect からのアクセスでは、Client Profile を使用して tunnel-group B に紐づいた group-url のみを接続先に表示させるようにします。以下は大まかな設定イメージになります。

# Webブラウザ経由アクセスの設定
tunnel-group WebBrowser type remote-access
tunnel-group WebBrowser general-attributes
  default-group-policy GroupPolicy1
tunnel-group WebBrowser webvpn-attributes
  group-url https://example.com/webaccess enable

#AnyConnect クライアント用
アクセスの設定
tunnel-group AnyConnect type remote-access
tunnel-group AnyConnect general-attributes
  default-group-policy GroupPolicy1
tunnel-group AnyConnect webvpn-attributes
  authentication aaa certificate
  group-url https://example.com/acclient enable

[AnyConnect クライアント用 Profile]
<ServerList>
  <HostEntry>
    <HostName>VPNaccess</HostName>
    <HostAddress>example.com</HostAddress>
    <UserGroup>acclient</UserGroup>
  </HostEntry>
</ServerList>

もし Webブラウザ経由でアクセスする端末に、AnyConnect のユーザと同じ Client Profile を配布したくないときは、GroupPolicy1 をコピーした別の Group Policy2 を作成して、Webブラウザアクセス用の Group Policy では別の Profile を配布することも可能です。また AAA 認証がローカル認証であれば、ユーザ毎にどちらの Profile を配布するかを ASA 上で定義することも可能です。

上記は一例となりますので、他にも group-alias、証明書マップなどを用いた組み合わせで同様の要件を実装することが出来きるかと思いますので、検証を通じて最適な方法を決定いただくのがよいかと思います。

4 件の返信
Cisco Employee

お世話になっています。Webブラウザ経由で

お世話になっています。Webブラウザ経由で(Clientlessではなく) AnyConnect を起動・接続するパターンと、AnyConnect クライアントから直接接続するパターンを分けるということでよろしいでしょうか? もし他の条件がすべて同じで、認証方法だけが異なるようでしたら、同一 Group Policy を使用する 2 つの Tunnel Group を用意して、それぞれに AAA 認証(tunnel-group A)、AAA + 証明書認証(tunnel-group B)を利用する方法が考えられます。

たとえばブラウザからアクセスするときには tunnel-group A に紐づいた group-url を使用して、AnyConnect からのアクセスでは、Client Profile を使用して tunnel-group B に紐づいた group-url のみを接続先に表示させるようにします。以下は大まかな設定イメージになります。

# Webブラウザ経由アクセスの設定
tunnel-group WebBrowser type remote-access
tunnel-group WebBrowser general-attributes
  default-group-policy GroupPolicy1
tunnel-group WebBrowser webvpn-attributes
  group-url https://example.com/webaccess enable

#AnyConnect クライアント用
アクセスの設定
tunnel-group AnyConnect type remote-access
tunnel-group AnyConnect general-attributes
  default-group-policy GroupPolicy1
tunnel-group AnyConnect webvpn-attributes
  authentication aaa certificate
  group-url https://example.com/acclient enable

[AnyConnect クライアント用 Profile]
<ServerList>
  <HostEntry>
    <HostName>VPNaccess</HostName>
    <HostAddress>example.com</HostAddress>
    <UserGroup>acclient</UserGroup>
  </HostEntry>
</ServerList>

もし Webブラウザ経由でアクセスする端末に、AnyConnect のユーザと同じ Client Profile を配布したくないときは、GroupPolicy1 をコピーした別の Group Policy2 を作成して、Webブラウザアクセス用の Group Policy では別の Profile を配布することも可能です。また AAA 認証がローカル認証であれば、ユーザ毎にどちらの Profile を配布するかを ASA 上で定義することも可能です。

上記は一例となりますので、他にも group-alias、証明書マップなどを用いた組み合わせで同様の要件を実装することが出来きるかと思いますので、検証を通じて最適な方法を決定いただくのがよいかと思います。

New Member

Shinpei Kono 様

Shinpei Kono 様

返信が遅れまして申し訳ございません。
また、ご回答いただきましてありがとうございます。

さて、いただいた内容について返信させていただきます。
まず、パターンですが、少々異なりまして、当方の意図していたのは下記になります。

・Webブラウザ経由で(Clientless)で接続するパターン
・AnyConnectクライアントから直接接続するパターン

上記2つの接続時の認証方式を変更したいというものです。
※Webブラウザ経由で(Clientlessではなく) AnyConnect を起動・接続するパターンは考慮の対象外でした。
 (WebによるAnyConnectはソフトウェアの配布時にしか使用しない前提でした)


しかしながら、group-url を使った方法については、全くの盲点であり、気付けませんでした。
確かにこの方法であれば、別々のConnectionProfile(Tunnel Group)を適用することが出来るので、つまりは認証方法も分けることが可能になりますね。
(ただ、ユーザーにアクセス方式によって異なるURLを入力させるという一手間は増えますが・・・)


ご教授いただいた方式を使用して検証を行いたいと思います。

コンフィグ例までを記載いただいた丁寧な回答をしていただきまして、ありがとうございました。

New Member

Shinpei Kono 様

何故か同じ返信が3つ登録されてしまったので、2つを削除します。

New Member

Shinpei Kono 様

何故か同じ返信が3つ登録されてしまったので、2つを削除します。

25
閲覧回数
0
いいね!
4
返信