Radius Attribute supported by Cisco ASA



 ◆ Cisco ASAがサポートするRADIUS属性のセット

 Cisco ASAでは、以下のRADIUS属性のセットをサポートしています。

 @ RFC2138に定義されている認証属性
 A RFC2139に定義されているアカウンティング属性
 B RFC2868に定義されているトンネルプロトコルサポート用のRADIUS属性
 ※ Cisco IOS ベンダー固有属性(VSA)は、RADIUS ベンダー ID 9 で識別されます。

 C RADIUSベンダーID3076により識別される CiscoVPN関連VSA
 D RFC2548に定義されているMicrosoft VSA
 E Cisco VSA(Cisco-Priv-Level)。 特権レベル 0 〜 15 の数値を指定

 ASAによりRadiusアトリビュートが適用される時は、属性名ではなく数値の属性番号に基づき適用されます。
 以下紹介のアトリビュートは全てダウンストリーム属性( RadiusサーバからASAに送信される属性 )ですが
 Radiusアトリビュート
146150151152は例外であり、アップストリーム属性(ASAからRadiusサーバ
 に送信される属性)となります。これらのアトリビュートは、「アカウンティング開始、中間アップデート、
 終了の要求」の場合に ASA からRADIUSサーバに送信されます。Cisco ACS や ISE などのRadiusサーバは、
 認可属性やポリシー属性を強制適用したり、アカウンティングや課金のために、それらの属性を使用できます。


 ASAは以下のRFC準拠のRADIUSサーバをサポート
 ・ Cisco ACS、Cisco ISE
 ・ Microsoft Radiusサービス(IAS、NPS)
 ・ RSA Authentication Manager

 なおRadiusプロトコルを最初から学習したい方は
 以下の解説記事を先ずご参考頂ければと思います。
 ⇒Radiusとは、Radius認証とは、アトリビュート

 解説記事のようにアトリビュートだけを解説して
 いるとRADIUSが難しいように感じますが例えば
 Radiusによるユーザ認証だけを使用する場合には
 アトリビュート設定を意識する事なく実装できる。



 ◆ Cisco ASAでサポートされるRADIUS認証アトリビュート

属性
番号
Attribute 構文タイプ 説明
1 Access-Hours 文字列
 時間範囲の名前 (例:Business-hours)

86 Access-List-Inbound 文字列
 ACL ID

87 Access-List-Outbound 文字列
 ACL ID

217 Address-Pools 文字列
 IPローカルプールの名前

64 Allow-Network-
Extension-Mode
Boolean
 0 = ディセーブル  1 = イネーブル

50 Authenticated-
User-Idle-Timeout
整数


 1 〜 35791394分

67 Authorization-DN-Field 文字列


 有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、
 GN、SN、I、GENQ、DNQ、SER、use-entire-name

65 Authorization-Type 整数
 0 = なし  1 = RADIUS  2 = LDAP

15 Banner1 文字列


 Cisco VPNリモートアクセス セッション
 (IPsec IKEv1、AnyConnect SSL-TLS/DTLS/IKEv2、
 クライアントレスSSL)で表示のバナー文字

36 Banner2 文字列


 Cisco VPNリモートアクセスセッション
 (IPsec IKEv1、AnyConnect SSL-TLS/DTLS/IKEv2、
 クライアントレスSSL)で表示のバナー文字
 ※ 設定すれば、Banner1 の文字列に連結できる。

51 Cisco-IP-Phone-Bypass 整数
 0 = ディセーブ  1 = イネーブル

75 Cisco-LEAP-Bypass 整数
 0 = ディセーブ  1 = イネーブル

150 Client Type 整数
 1 = Cisco VPNクライアント(IKEv1)
 2 = AnyConnectクライアントSSLVPN
 3 = クライアントレス SSL VPN
 4 = カットスルー プロキシ
 5 = L2TP/IPsec SSL VPN
 6 = AnyConnect クライアント IPsec VPN(IKEv2)

77 Client-Type
-Version-Limiting
文字列


 IPsecVPNのバージョン番号を示す文字列

61 DHCP-Network-Scope 文字列
 IP Address

122 Extended-Authentication-On-Rekey 整数
 0 = ディセーブ  1 = イネーブル

25 Group-Policy 整数


 リモートアクセスVPN セッションのグループポリシーを
 設定。バージョン 8.2.x以降では、IETF-Radius-Classの
 代わりにこの属性を使用します。次の形式が使用可能。

 ・ グループ ポリシー名
 ・ OU= グループ ポリシー名
 ・ OU= グループ ポリシー名 ;

83 IE-Proxy-Bypass-Local 整数
 0 = なし  1 = ローカル

82 IE-Proxy-Exception-List 文字列
 改行(\n)区切りの DNS ドメインのリスト

133 IE-Proxy-PAC-URL 文字列
 PACアドレス文字列

80 IE-Proxy-Server 文字列
 IPアドレス

81 IE-Proxy-Server-Policy 整数
 1 = 変更なし
 2 = プロキシなし
 3 = 自動検出
 4 = コンセントレータ設定を使用する

68 IKE-KeepAlive-
Confidence-Interval
整数
 10 〜 300 秒

84 IKE-Keepalive
-Retry-Interval
整数
 2 〜 10 秒

41 IKE-Keep-Alives Boolean
 0 = ディセーブル  1 = イネーブル

62 Intercept-DHCP
-Configure-Msg
Boolean
 0 = ディセーブル  1 = イネーブル

16 IPsec-Allow-Passwd-Store Boolean
 0 = ディセーブル  1 = イネーブル

13 IPsec-Authentication 整数
 0 = なし
 1 = RADIUS
 2 = LDAP(許可のみ)
 3 = NT ドメイン
 4 = SDI
 5 = 内部
 6 = RADIUS での Expiry
 7 = Kerberos/Active Directory

42 IPsec-Auth-On-Rekey Boolean
 0 = ディセーブル  1 = イネーブル

60 IPsec-Backup-Server-List 文字列
 サーバ アドレス(スペース区切り)

59 IPsec-Backup-Servers 文字列
 1 = クライアントが設定したリストを使用する
 2 = クライアント リストをディセーブルにして消去する
 3 = バックアップ サーバ リストを使用する

57 IPsec-Client
-Firewall-Filter-Name
文字列


 クライアントにファイアウォール ポリシーとして
 配信するフィルタの名前を指定します。

58 IPsec-Client
-Firewall-Filter-Optional
整数
 0 = 必須  1 = オプション

28 IPsec-Default-Domain 文字列
 クライアントに送信するデフォルドメイン名を1つ指定

40 IPsec-IKE-Peer-ID-Check 整数


 1 = 必須
 2 = ピア証明書でサポートされる場合
 3 = チェックしない略される。

39 IPsec-IP-Compression 整数
 0 = ディセーブル  1 = イネーブル

31 IPsec-Mode-Config Boolean
 0 = ディセーブル  1 = イネーブル

34 IPsec-Over-UDP Boolean
 0 = ディセーブル  1 = イネーブル

35 IPsec-Over-UDP-Port 整数
 4001 〜 49151(デフォルト値は10000)

56 IPsec-Required-Client
-Firewall-Capability
整数


 0 = なし
 1 = リモートFW
    Are-You-There(AYT)で定義されているポリシー
 2 = Policy pushed CPP
 4 = サーバからのポリシー

12 IPsec-Sec-Association 文字列
 セキュリティアソシエーションの名前

29 IPsec-Split-DNS-Names 文字列


 クライアントに送信するデフォルドメイン名を1つ指定

55 IPsec-Split-Tunneling-Policy 整数
 0 = スプリット トンネリングなし
 1 = スプリット トンネリング
 2 = ローカル LAN を許可

27 IPsec-Split-Tunnel-List 文字列


 スプリットトンネルの包含リストを記述した
 ネットワークまたはACLの名前を指定

30 IPsec-Tunnel-Type 整数
 1 = LAN-to-LAN  2 = リモート アクセス

33 IPsec-User-Group-Lock Boolean
 0 = ディセーブル  1 = イネーブル

218 IPv6-Address-Pools 文字列
 IPローカルプールIPv6の名前

219 IPv6-VPN-Filter 文字列
 ACL値

21 L2TP-Encryption 整数
 1 = 暗号化が必要
 2 = 40 ビット
 4 = 128 ビット
 8 = ステートレスが必要
 15 = 40/128 ビットで暗号化/ステートレスが必要

38 L2TP-MPPC-Compression 整数
 0 = ディセーブル  1 = イネーブル

145 Member-Of 文字列


 カンマ区切りの文字列。例:Engineering, Sales
 ダイナミックアクセスポリシーで使用できる
 管理属性。グループポリシーは設定されない。

63 MS-Client-Subnet-Mask Boolean
 IPアドレス

92 NAC-Default-ACL 文字列
 ACL

89 NAC-Enable 整数
 0 = しない  1 = する

91 NAC-Revalidation-Timer 整数
 300 〜 86400秒

141 NAC-Settings 文字列
 NACポリシーの名前

90 NAC-Status-Query-Timer 整数
 30 〜 1800秒

88 Perfect-Forward
-Secrecy-Enable
Boolean
 0 = しない  1 = する

20 PPTP-Encryption 整数
 1 = 暗号化が必要
 2 = 40 ビット
 4 = 128 ビット
 8 = ステートレスが必要
 15 = 40/128bitで暗号化/ステートレスが必要

37 PPTP-MPPC-Compression 整数
 0 = ディセーブル  1 = イネーブル

5 Primary-DNS 文字列
 IPアドレス

7 Primary-WINS 文字列
 IPアドレス

220 Privilege-Level 整数
 0 〜 15 の整数

45 Required-Client- Firewall-Vendor-Code 整数
 1 = シスコ(Cisco Integrated Client を使用)
 2 = Zone Labs
 3 = NetworkICE
 4 = Sygate
 5 = シスコ (Cisco Intrusion Prevention
 Security Agent を使用)

47 Required-Client-Firewall-Description 文字列
 文字列

46 Required-Client-Firewall-Product-Code 整数
 シスコ製品:
 1 = Cisco Intrusion Prevention Security Agent
 または Cisco Integrated Client(CIC)

 Zone Labs 製品:
 1 = Zone Alarm
 2 = Zone AlarmPro
 3 = Zone Labs Integrity

 NetworkICE 製品:
 1 = BlackIce Defender/Agent

 Sygate 製品:
 1 = Personal Firewall
 2 = Personal Firewall Pro
 3 = Security Agent

49 Required-Individual-User-Auth 整数
 0 = ディセーブル  1 = イネーブル

48 Require-HW-Client-Auth Boolean
 0 = ディセーブル  1 = イネーブル

6 Secondary-DNS 文字列
 IPアドレス

8 Secondary-WINS 文字列
 IPアドレス

9 SEP-Card-Assignment 整数
 未使用

152 Session Subtype 整数


 0 = なし
 1 = クライアントレス
 2 = クライアント
 3 = クライアントのみ

 Session Subtypeが適用されるのは以下。
 ⇒ Session Type(151)属性値が 1、2、3、4

151 Session Type 整数
 0 = なし
 1 = AnyConnectクライアントSSLVPN
 2 = AnyConnect クライアントIPSecVPN(IKEv2)
 3 = クライアントレス SSL VPN
 4 = クライアントレス電子メール プロキシ
 5 = Cisco VPN クライアント(IKEv1)
 6 = IKEv1 LAN-LAN
 7 = IKEv2 LAN-LAN
 8 = VPN ロード バランシング

2 Simultaneous-Logins 整数
 0-2147483647

136 Smart-Tunnel 文字列
 スマートトンネルの名前

138 Smart-Tunnel-Auto 整数
 0 = ディセーブル 1 = イネーブル 2 = 自動スタート

139 Smart-Tunnel-Auto-Signon-Enable 文字列


 ドメイン名が付加された
 Smart Tunnel Auto Signonリストの名前

135 Strip-Realm Boolean
 0 = ディセーブル  1 = イネーブル

131 SVC-Ask 文字列
 0 = ディセーブル
 1 = イネーブル
 3 = デフォルト サービスをイネーブル
 5 = デフォルト クライアントレスをイネーブル
 (2 と 4 は使用しない)

132 SVC-Ask-Timeout 整数
 5 〜 120秒

108 SVC-DPD-Interval-Client 整数
 0 = オフ  5 〜 3600 秒

109 SVC-DPD-Interval-Gateway 整数
 0 = オフ  5 〜 3600 秒

123 SVC-DTLS 整数
 0 = False  1 = True

107 SVC-Keepalive 整数
 0 = オフ  5 〜 3600秒

127 SVC-Modules 文字列
 モジュールの名前

125 SVC-MTU 整数
 MTU値256 〜 1406バイト

128 SVC-Profiles 文字列
 プロファイルの名前

110 SVC-Rekey-Time 整数
 0 = ディセーブル  1 〜 10080分

146 Tunnel Group Name 文字列
 1 〜 253文字

85 Tunnel-Group-Lock 文字列
 トンネルグループの名前または「None」

11 Tunneling-Protocols 整数
 1 = PPTP
 2 = L2TP
 4 = IPSec(IKEv1)
 8 = L2TP/IPSec
 16 = WebVPN.
 32 = SVC
 64 = IPsec(IKEv2)
 8 および 4 は相互排他値。
 0〜11、16〜27、32〜43、48〜59 は有効値。

17 Use-Client-Address Boolean
 0 = ディセーブル  1 = イネーブル

140 VLAN 整数
 0 〜 4094

73 WebVPN-Access-List 文字列
 アクセスリスト名

137 WebVPN-ActiveX-Relay 整数
 0 = ディセーブル  Otherwise = イネーブル

102 WebVPN-Apply-ACL 整数
 0 = ディセーブル  1 = イネーブル

124 WebVPN-Auto-HTTP-Signon 文字列
 Reserved

101 WebVPN-Citrix-Metaframe-Enable 整数
 0 = ディセーブル  1 = イネーブル

69 WebVPN-Content-Filter-Parameters 整数
 1 = Java ActiveX
 2 = Java スクリプト
 4 = イメージ
 8 = イメージに含まれるクッキー

113 WebVPN-Customization 文字列
 カスタマイゼーションの名前

76 WebVPN-Default-Homepage 文字列
 URL(例 https://example-example.com)

116 WebVPN-Deny-Message 文字列
 文字列

157 WebVPN-Download_Max-Size 整数
 0x7fffffff

94 WebVPN-File-Access-Enable 整数
 0 = ディセーブル  1 = イネーブル

96 WebVPN-File-Server-Browsing-Enable 整数
 0 = ディセーブル  1 = イネーブル

95 WebVPN-File-Server-Entry-Enable 整数
 0 = ディセーブル  1 = イネーブル

78 WebVPN-Group-based-HTTP
/HTTPS-Proxy-Exception-List
文字列


 オプションのワイルドカード(*)を使用した
 カンマ区切りのDNS/IP。例は以下の通り。
 (例: *.cisco.com、192.168.1.*、wwwin.cisco.com)

126 WebVPN-Hidden-Shares 整数
 0 = なし  1 = 表示

228 WebVPN-Home-Page-Use
-Smart-Tunnel
Boolean


 クライアントレスホームページをスマートトンネル
 経由で表示する場合にイネーブルにする

69 WebVPN-HTML-Filter 整数
 1 = Java ActiveX
 2 = スクリプト
 4 = イメージ
 8 = クッキー

120 WebVPN-HTTP-Compression 整数
 0 = オフ  1 = デフレート圧縮

74 WebVPN-HTTP-Proxy-IP-Address 文字列


 http= または https= プレフィックス付きのカンマ
 区切りの DNS/IP:ポート
 (例 : http=10.10.10.10:80、https=11.11.11.11:443)

148 WebVPN-Idle-Timeout-Alert-Interval 整数
 0 〜 30。0 = ディセーブル

121 WebVPN-Keepalive-Ignore 整数
 0 〜 900

223 WebVPN-Macro-Substitution 文字列
 無制限

224 WebVPN-Macro-Substitution 文字列
 無制限

97 WebVPN-Port-Forwarding-Enable 整数
 0 = ディセーブル  1 = イネーブル

98 WebVPN-Port-Forwarding
-Exchange-Proxy-Enable
整数
 0 = ディセーブル  1 = イネーブル

99 WebVPN-Port-Forwarding-HTTP-Proxy 整数
 0 = ディセーブル  1 = イネーブル

72 WebVPN-Port-Forwarding-List 文字列
 ポート転送リスト名

79 WebVPN-Port-Forwarding-Name 文字列
 文字列の名前(例:Corporate-Apps)

159 WebVPN-Post-Max-Size 整数
 0x7fffffff

149 WebVPN-Session-Timeout-Alert-Interval 整数
 0 〜 30。0 = ディセーブル

225 WebVPN Smart-Card-Removal-Disconnect Boolean
 0 = ディセーブル  1 = イネーブル

136 WebVPN-Smart-Tunnel 文字列
 スマートトンネルの名前

139 WebVPN-Smart-Tunnel-Auto-Sign-On 文字列


 ドメイン名が付加されたスマートトンネル
 自動サインオンリストの名前

138 WebVPN-Smart-Tunnel-Auto-Start 整数


 0 = ディセーブル
 1 = イネーブル
 2 = 自動開始

227 WebVPN-Smart-Tunnel-Tunnel-Policy 文字列


 「e networkname」、「i networkname」、
 「a networkname」のうちの1つがSmartTunnel
 ネットワークのリスト名。e は除外されたトンネル、
 i は指定されたトンネル、a は全てのトンネルを示す

103 WebVPN-SSL-VPN-Client-Enable 整数
 0 = ディセーブル  1 = イネーブル

105 WebVPN-SSL-VPN
-Client-Keep- Installation
整数
 0 = ディセーブル  1 = イネーブル

104 WebVPN-SSL-VPN-Client-Required 整数
 0 = ディセーブル  1 = イネーブル

114 WebVPN-SSO-Server-Name 文字列
 文字列

107 WebVPN-SVC-Keepalive-Frequency 整数
 15 〜 600 秒、0=オフ

108 WebVPN-SVC-Client-DPD-Frequency 整数
 5 〜 3600 秒、0=オフ

123 WebVPN-SVC-DTLS-Enable 整数
 0 = ディセーブル  1 = イネーブル

125 WebVPN-SVC-DTLS-MTU 整数
 MTU値は256 〜 1406バイト

109 WebVPN-SVC-Gateway
-DPD-Frequency
整数
 5 〜 3600 秒、0=オフ

110 WebVPN-SVC-Rekey-Time 整数
 4 〜 10080 分、0=オフ

111 WebVPN-SVC-Rekey-Method 整数
 0(オフ)、1(SSL)、2(新しいトンネル)

112 WebVPN-SVC-Compression 整数
 0(オフ)、1(デフォルトの圧縮)

222 WebVPN-UNIX-Group-ID (GID) 整数
 UNIXでの有効なグループID

221 WebVPN-UNIX-User-ID (UIDs) 整数
 UNIXでの有効なユーザID

158 WebVPN-Upload-Max-Size 整数
 0x7fffffff

93 WebVPN-URL-Entry-Enable 整数
 0 = ディセーブル  1 = イネーブル

71 WebVPN-URL-List 文字列
 URLリスト名



 ◆ Cisco ASAでサポートされるIETF RADIUSアトリビュート
属性番号 Attribute 構文タイプ 説明
25 IETF-Radius-Class -


 Cisco ASAバージョン 8.2.x 以降の場合は、
 上表のGroup-Policy 属性(VSA 3076、#25)を使用を推奨
 ・ グループ ポリシー名 ・ OU= グループ ポリシー名

11 IETF-Radius-Filter-Id 文字列


 フルトンネルのIPsecクライアントとSSLVPNクライアントのみに
 適用されるASAで定義されたACL名

- IETF-Radius-Framed
-IP-Address
文字列
 IPアドレス

- IETF-Radius-Framed
-IP-Netmask
文字列
 サブネットマスク

28 IETF-Radius-Idle
-Timeout
整数
 秒

6 IETF-Radius-Service
-Type
整数


 秒。使用可能なサービス タイプの値:
 Administrative:ユーザはconfigureプロンプトへのアクセスを許可
 NAS-Prompt:ユーザは exec プロンプトへのアクセスを許可
 remote-access:ユーザはネットワーク アクセスを許可

27 IETF-Radius-Session
-Timeout
整数


 秒




ネットワークセキュリティ

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.