Cisco ASA で AnyConnect 専用ユーザを作成する

Cisco ASA でローカル認証させる AnyConnect 専用ユーザを作成する場合は以下のように設定します。以下の例ではユーザ名を「AC-ONLY-USER」、パスワードを「PASSWORD」としています。

1
2
3
4
5
6
7
8
aaa authentication http console LOCAL
aaa authorization exec LOCAL
!
username AC-ONLY-USER password PASSWORD encrypted
username AC-ONLY-USER attributes
 service-type remote-access
!
end

以下のようにユーザへ attributes 指定無しでユーザを作成してしまうと AnyConnect 接続は出来るものの、SSH や ASDM といったアクセスまで出来てしまいますので注意が必要です。

1
2
3
username AC-ONLY-USER password PASSWORD encrypted
!
end