FXOSと ASA/FTDは以下の互換性があるため、アップグレード時や初期セットアップ時といった特別な事情がある場合を除き、運用時はこの互換性を満たす組み合わせで利用をしてください。 シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。, このドキュメントでは、終端に Cisco 適応型セキュリティ アプライアンス(ASA)を使用したリモート アクセス VPN トンネルの有効期限およびパスワード変更機能について説明します。 このドキュメントでは、次を対象としています。, このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。, 本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。, 注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。 debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。, ローカルに定義されたユーザの ASA では、パスワードの有効期限またはパスワードの変更機能は使用できません。 RADIUS、TACACS、LDAP、または Windows NT などの外部サーバが必要になります。, ACS では、ローカルに定義されたユーザに対するパスワードの有効期限とパスワードの変更機能の両方をサポートしています。 たとえば、新しく作成されたユーザが次回ログインする際にパスワードを変更するよう強制したり、指定した日付にアカウントを無効にしたりすることができます。, すべてのユーザのパスワード ポリシーを設定できます。 たとえば、パスワードの有効期限が切れるとユーザ アカウントを無効にしたり(ログイン機能なしでブロック)、パスワードを変更するオプションを提示したりすることができます。, ACS-RESERVED-Never-Expired はユーザ ID の内部属性です。, この属性はユーザによって有効にされ、グローバル アカウントの有効期限の設定を無効にするために使用できます。 グローバル ポリシーによって無効にされる予定でも、この設定を使用するとそのアカウントは無効になりません。, ACS は、AD データベースでユーザを確認するように設定できます。 Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2(MSCHAPv2)を使用する場合、パスワードの有効期限とパスワードの変更がサポートされます。 詳細については、『Cisco Secure Access Control System 5.4 ユーザ ガイド』の 「ACS 5.4 での認証」にある 「認証プロトコルと ID ストアの互換性」を参照してください。, 次の項で説明するように、ASA では、パスワード管理機能を使用して MSCHAPv2 が強制的に使われるように ASA を設定できます。, ACS はドメイン コントローラ(DC)のディレクトリに接続してパスワードを変更する際に、Common Internet File System(CIFS)分散コンピューティング環境およびリモート プロシージャ コール(DCE/RPC)のコールを使用します。, ASA は AD パスワードを変更するために RADIUS と TACACS+ 両方のプロトコルを使用して ACS に接続できます。, RADIUS プロトコルはパスワードの有効期限またはパスワードの変更をネイティブでサポートしていません。 通常、Password Authentication Protocol(PAP)は RADIUS で使用されます。 ASA はユーザ名とパスワードをプレーン テキストで送信し、パスワードは RADIUS 共有秘密を使用して暗号化されます。, 一般的なシナリオでは、ユーザのパスワードが期限切れになると、ACS は ASA に Radius-Reject メッセージを返します。 ACS には次のように表示されます。, ASA では、これは単純な Radius-Reject メッセージであり、認証に失敗します。, この問題を解決するために、ASA では、tunnel-group 設定で password-management コマンドを使用できます。, password-management コマンドは、PAP ではなく MSCHAPv2 が強制的に ASA で使用されるように Radius-Request で動作を変更します。, MSCHAPv2 プロトコルはパスワードの期限切れおよびパスワードの変更をサポートしています。 そのため、Xauth フェーズ中に VPN ユーザが特定の tunnel-group にアクセスすると、ASA による Radius-Request に MS-CHAP-Challenge が含まれるようになります。, パスワードを変更する必要があることが ACS で認識されると、MSCHAPv2 エラー 648 の Radius-Reject メッセージが返されます。, ASA はそのメッセージを認識し、Cisco VPN Client から新しいパスワードを要求するために MODE_CFG を使用します。, Cisco VPN Client に、新しいパスワードの入力を求めるダイアログボックスが表示されます。, ASA は MS-CHAP-CPW および MS-CHAP-NT-Enc-PW ペイロード(新しいパスワード)とともに別の Radius-Request を送信します。, ACS は要求を確認し、MS-CHAP2-Success とともに Radius-Accept を返します。, ACS で「24204 Password changed successfully」がレポートされ、この動作を確認できます。, ASA は認証が正常に行われたことをレポートし、クイック モード(QM)プロセスを続行します。, 同様に、TACACS+ をパスワードの有効期限とパスワードの変更に使用できます。 ASA では MSCHAPv2 ではなく ASCII の認証タイプで TACACS+ を使用するため、password-management 機能は必要ありません。, Cisco VPN Client に、新しいパスワードの入力を求めるダイアログボックス(RADIUS が使用するダイアログとは異なります)が表示されます。, このパスワードの変更は ASA に対して完全に透過的に行われます。 要求パケットと応答パケットがより多く使用されるため TACACS+ セッションは少し長くなります。これは VPN クライアントで解析され、パスワードを変更するユーザに表示されます。, パスワードの有効期限とパスワードの変更は Microsoft AD と Sun LDAP サーバのスキーマで完全にサポートされます。, パスワードを変更する場合、サーバは「bindresponse = invalidCredentials」を「error = 773」とともに返します。 このエラーは、パスワードをリセットする必要があることを示します。 一般的なエラー コードには次のようなものがあります。, tunnel-group および password-management 機能でこの設定を使用します。, ユーザが Cisco VPN Client を使用しようとすると、ASA は無効なパスワードをレポートします。, このダイアログボックスにはポリシーが表示されるため、TACACS または RADIUS が使用するダイアログとは異なります。 この例のポリシーでは、パスワードの最小長は 7 文字です。, ユーザがパスワードを変更すると、このエラー メッセージが LDAP サーバから ASA に表示される可能性があります。, Microsoft ポリシーではパスワードの変更にセキュア ソケット レイヤ(SSL)を使用する必要があります。 設定を変更します。, デフォルトで、SSL 経由の Microsoft LDAP は機能しません。 この機能を有効にするには、正しいキーの拡張を使用してコンピュータのアカウントの証明書をインストールする必要があります。 詳細については、『How to enable LDAP over SSL with a third-party certification authority(サードパーティの証明機関が SSL 経由の LDAP を有効にする方法)』を参照してください。, ASA は LDAP 証明書を検証しないため、証明書は自己署名証明書です。 関連する機能拡張の要求の詳細については、Cisco Bug ID CSCui40212 の『Allow ASA to validate certificate from LDAPS server(ASA で LDAPS サーバからの証明書の検証を許可する)』を参照してください。, 証明書をインストールするには、mmc コンソールを開いて、[Add/Remove Snap-in] を選択し、証明書を追加したら、[Computer Account] を選択します。, [Local computer] を選択し、個人ストアに証明書をインポートして、関連する認証局(CA)を信頼済みストアに移動します。 証明書が信頼されていることを検証します。, ASA バージョン 8.4.2 にはバグがあり、SSL 経由で LDAP を使用しようとするとこのエラーが返される可能性があります。, ASA バージョン 9.1.3 では同じ設定で正しく機能します。 2 つの LDAP セッションがあります。 最初のセッションはコード 773(Password expired)のエラーを返し、2 番目のセッションはパスワードの変更で使用されます。, パスワードの変更を検証するには、パケットを参照してください。 LDAP サーバの秘密キーは、SSL トラフィックを復号化するために Wireshark で使用できます。, ASA でのインターネット キー エクスチェンジ(IKE)/認証、許可、アカウンティング(AAA)デバッグは、RADIUS 認証シナリオで使用されるものとよく似ています。, LDAP では、パスワードの有効期限が切れる前に警告を送信する機能を使用できます。 この設定を使用して、ASA はパスワードの有効期限が切れる 90 日前にユーザに警告します。, パスワードの有効期限が切れる 42 日前にユーザがログインを試行する場合の例は次のとおりです。, ユーザがパスワードを変更した場合、新しいパスワードの入力を求めるプロンプトが表示され、通常のパスワード変更手順が開始されます。, 前の例では、IKE バージョン 1(IKEv1)と IPSec VPN を示しました。, Layer 2 Tunneling Protocol(L2TP)と IPSec、PPP は認証用のトランスポートとして使用されます。 パスワードの変更を機能させるためには、PAP ではなく MSCHAPv2 が必要です。, PPP セッション内の L2TP の拡張認証では、MSCHAPv2 がネゴシエートされます。, パスワードを変更する必要があります。 残りのプロセスは、MSCHAPv2 を使用した RADIUS のシナリオとよく似ています。, L2TP の設定方法に関する詳細については、事前共有キーを使用した Windows 2000/XP PC と PIX/ASA 7.2 の間の L2TP Over IPSec 設定例を参照してください。, 前の例では、サポート終了(EOL)の IKEv1 と Cisco VPN Client を参照しました。, リモート アクセス VPN で推奨されるソリューションは、IKE バージョン 2(IKEv2)および SSL プロトコルを使用する Cisco AnyConnect セキュア モビリティです。 パスワードの変更とパスワードの有効期限機能は、Cisco VPN Client で実行される Cisco AnyConnect とまったく同様に動作します。, IKEv1 では、パスワードの変更とパスワードの有効期限データは、フェーズ 1.5 において ASA と VPN クライアントの間で交換されました(Xauth/モード設定)。, IKEv2 でも同様に、 コンフィギュレーション モードで CFG_REQUEST/CFG_REPLY パケットを使用します。, SSL の場合、データは制御 Datagram Transport Layer Security(DTLS)セッションで保存されます。, この設定例は、SSL 経由の LDAP サーバで Cisco AnyConnect と SSL プロトコルを使用しています。, 正しいパスワード(期限切れのパスワード)を指定すると、Cisco AnyConnect は接続を試み、新しいパスワードを要求します。, より詳細なログは、Diagnostic AnyConnect Reporting Tool(DART)から入手できます。, VPN 経由でパスワードは変更できませんが、ACS User Change Password(UCP)専用の Web サービスを使用できます。 詳細については、『Cisco Secure Access Control System 5.4 ソフトウェア開発者ガイド』の「 UCP Web サービスの使用」を参照してください。.