実装させる機能
cisco ASAのikev1認証にクライアント証明書を使用し、クライアント証明書のサブジェクトのOUに任意の文字列が含まれればリモートアクセスVPNを許可し、そうでなければ拒否する設定を追加する。
OUでマッチさせるルールを作成
crypto ca certificate map [証明書マップ名] 1
subject-name attr ou co [OUに含まれる文字列]
crypto ca certificate map [証明書マップ名] 2
subject-name attr ou nc [OUに含まれる文字列(上記と同じ文字列)]「co」は引数にくる文字列を「含む」という条件で、「nc」は引数にくる文字列を「含まない」という条件になる。
全拒否ACL作成
access-list [全拒否ACL名] standard deny any4拒否トンネル用グループポリシー作成
up-policy [拒否トンネル用GP名] internal
group-policy [拒否トンネル用GP名] attributes
vpn-filter value [全拒否ACL名]拒否トンネル作成
el-group [トンネル名] general-attributes
default-group-policy [拒否トンネル用GP]
tunnel-group [トンネル名] ipsec-attributes
ikev1 trust-point [SV証明書のトラストポイント]トンネルグループマップ有効化
tunnel-group-map enable rules
no tunnel-group-map enable ou
no tunnel-group-map enable ike-id
no tunnel-group-map enable peer-ip
tunnel-group-map [証明書マップ名] 1 DefaultRAGroup
tunnel-group-map [証明書マップ名] 2 [拒否トンネル名]
#VPN許可用トンネル名称「DefaultRAGroup」以上。