keima's caprice diary

気付いたことをメモのように綴ります。なるべく義務っぽくならないように気まぐれに記録します。

ASA ikev1 クライアント証明書認証 OU文字列マッチ

CLIコンフィグまとめ

■今回実装させる機能

ikev1認証にクライアント証明書を使用し、クライアント証明書のサブジェクトのOUに任意の文字列が含まれればリモートアクセスVPNを許可し、そうでなければ拒否する設定を追加する。

#------VVV-----<configuration>-----VVV------#

### OUでマッチさせるルールを作成
crypto ca certificate map [証明書マップ名] 1
subject-name attr ou co [OUに含まれる文字列]
crypto ca certificate map [証明書マップ名] 2
subject-name attr ou nc [OUに含まれる文字列(上記と同じ文字列)]
#co→文字列を含む
#nc→文字列を含まない

### 全拒否ACL作成
access-list [全拒否ACL名] standard deny any4

### 拒否トンネル用グループポリシー作成
group-policy [拒否トンネル用GP名] internal
group-policy [拒否トンネル用GP名] attributes
vpn-filter value [全拒否ACL名]

### 拒否トンネル作成
tunnel-group [トンネル名] type remote-access
tunnel-group [トンネル名] general-attributes
default-group-policy [拒否トンネル用GP]
tunnel-group [トンネル名] ipsec-attributes
ikev1 trust-point [SV証明書のトラストポイント]

### トンネルグループマップ有効化
tunnel-group-map enable rules
no tunnel-group-map enable ou
no tunnel-group-map enable ike-id
no tunnel-group-map enable peer-ip
tunnel-group-map [証明書マップ名] 1 DefaultRAGroup
tunnel-group-map [証明書マップ名] 2 [拒否トンネル名]
#VPN許可用トンネル名称「DefaultRAGroup」

#------AAA-----<configuration>-----AAA------#

以上。