1) 最小構成:ユーザーを1名作る
conf t
username testuser password cisco123 privilege 0
exitusername:アカウント名password:平文入力で登録(ASA 側で暗号化保存されます)privilege 0:CLI ログイン権限の等級(VPN接続だけなら 0 のままでOK)
AnyConnect のユーザー認証はこれで可能です(トンネルグループ側で AAA を上書きしていない前提)。
2) おすすめ:ユーザーに“適用ポリシー(GP)”を紐づけ
ユーザーがどの**グループポリシー(権限セット)**を使うか、ユーザー属性で固定できます。
(⑤で作る group-policy 名を指定)
conf t
username testuser password <強固なパスワード> privilege 0
username testuser attributes
vpn-group-policy ANYCONNECT_POLICY
service-type remote-access
vpn-simultaneous-logins 1 ! 同時ログイン数を制限(例:1)
vpn-idle-timeout 30 ! アイドル切断(分)例:30
exit
write memory
vpn-group-policy:このユーザーに適用する グループポリシー名service-type remote-access:リモートアクセス用ユーザーの明示vpn-simultaneous-logins:同一アカウントの多重接続制限vpn-idle-timeout:一定時間トラフィックがない場合の切断(分)
入口(トンネルグループ)側で group-lock を使って「この入口はこのGPユーザーだけ通れる」にすると、
ユーザー → GP → トンネルグループ のひも付けが堅牢になります(⑤の項目で設定)。
セキュリティ強化(ロックアウト・強度チェック)
ローカル認証を使うなら“総当たり対策”と“パスワード強度”の設定がおすすめです。
conf t
! 連続失敗でロックアウト(例:60秒内に5回失敗→15分ロック)
aaa local authentication attempts max-fail 5 within 60
aaa local authentication attempts exceed limit lockout 15
! パスワード強度チェックを有効化(英大文字/小文字/数字/記号などの条件)
password strength-check
! 参考:最小長や履歴はバージョンにより調整コマンドが異なるため、実機の '?' ヘルプで確認
exit
write memory
! ロック状態の確認/解除
show aaa local user lockout
clear aaa local user lockoutまとめ
- ②は ASA のローカルDBにユーザーを作る作業。
- ユーザー属性で 適用GP(vpn-group-policy) を紐づけると、運用が安定します。
- 多重ログインやアイドルタイムアウトはユーザー属性で細かく制御可能ですが、基本はグループポリシー⑤に集約するのがベター。