SonicWALL SSL-VPN 管理者ガイド

COMPREHENSIVE INTERNET SECURITY™
ＳｏｎｉｃＷＡＬＬセキュリティ装置
SonicWALL SSL-VPN
管理者ガイド
目次
本書の使い方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v
本書について. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
本書の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
本書の表記について . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＳｏｎｉｃＷＡＬＬ テクニカル サポート . . . . . . . . . . . . . . . . . .
製品とサービスに関するお問い合わせ . . . . . . . . . . . . . . . .
ＳｏｎｉｃＷＡＬＬ 管理インターフェース . . . . . . . . . . . . . . . . .
管理インターフェースのナビゲート . . . . . . . . . . . . . . . . . . .
状況バー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
変更の適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
テーブルのナビゲート . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理インターフェースの共通アイコン. . . . . . . . . . . . . . . . . .
ヘルプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
......................
.......................
.......................
......................
......................
......................
......................
.......................
.......................
.......................
.......................
.......................
.......................
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . .v
....v
. . . vii
. . . vii
. . .viii
. . . ix
. . . .x
....x
....x
. . . . xi
. . . xii
. . . xii
. . . xii
第 1 章 ＳＳＬ-ＶＰＮ の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
ＳＳＬ-ＶＰＮ の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
暗号化の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＳＳＬ ハンドシェーク プロシージャ . . . . . . . . . . . . . . . . . . .
仮想プライベート ネットワーク （ＶＰＮ） 用の ＳＳＬ. . . . . . .
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ の主要な概念 . . . . . . . . . . . . . .
ポータルの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
レイアウトの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ドメインの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
典型的な配備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＮｅｔＥｘｔｅｎｄｅｒ の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＤＮＳ の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネットワーク ルートの概要 . . . . . . . . . . . . . . . . . . . . . . . . . .
配備のガイドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サポートするユーザ接続数. . . . . . . . . . . . . . . . . . . . . . . . .
リソース タイプのサポート . . . . . . . . . . . . . . . . . . . . . . . . . .
ＳｏｎｉｃＷＡＬＬ 製品との統合. . . . . . . . . . . . . . . . . . . . . . . .
ＳＳＬ-ＶＰＮ のコンポーネント . . . . . . . . . . . . . . . . . . . . . . .
ＮｅｔＥｘｔｅｎｄｅｒ の概念. . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイル共有 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネットワーク リソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
リモート デスクトップ プロトコル . . . . . . . . . . . . . . . . . . . . . . .
アプリケーション プロトコル. . . . . . . . . . . . . . . . . . . . . . . . . .
.....................
.....................
.....................
.....................
.....................
......................
......................
......................
......................
......................
......................
......................
.....................
......................
......................
......................
.....................
......................
......................
......................
......................
......................
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . .2
. . . . .2
. . . . .2
. . . . .3
. . . . .4
. . . . .4
. . . . .4
. . . . .4
. . . . .5
. . . . .5
. . . . .6
. . . . .6
. . . . .7
. . . . .7
. . . . .7
. . . . .7
. . . . .8
. . . . .8
. . . . .8
. . . . .9
. . . . 10
. . . . 10
第 2 章 基本システム エンティティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
ブラウザ要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ウェブ管理インターフェースの概要 . . . . . . . . . . . . . . . . . .
ウェブ インターフェースのレイアウト . . . . . . . . . . . . . . . . . .
状況環境の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
システム情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
最近の警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の登録 . . . . . . . . . . . . . .
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
.
.
.
.
.
.
.
.....................
.....................
......................
.....................
......................
......................
......................
.
.
.
.
.
.
.
. . . . 12
. . . . 13
. . . . 15
. . . . 16
. . . . 18
. . . . 18
. . . . 19
i
イベント ログの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログ設定の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
使用中のユーザ数の概要 . . . . . . . . . . . . . . . . . . . . . . . . . .
時刻と日付の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ソフトウェアとシステムの使用の設定. . . . . . . . . . . . . . . . . . .
設定ファイルのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . .
バックアップ設定ファイルのエクスポート . . . . . . . . . . . . . . . .
設定の保存. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
変更後の設定の自動保存. . . . . . . . . . . . . . . . . . . . . . . . . .
設定ファイルの暗号化. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
証明書の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
証明書署名リクエストの生成 . . . . . . . . . . . . . . . . . . . . . . . .
証明書のインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
監視の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
個別ロゴの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
診断の実行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＮｅｔＥｘｔｅｎｄｅｒ の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＮｅｔＥｘｔｅｎｄｅｒ のクライアント ルートの追加 . . . . . . . . . . . . .
ＮｅｔＥｘｔｅｎｄｅｒ のアドレス範囲の設定 . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
......................
.......................
......................
.......................
.......................
.......................
.......................
.......................
.......................
.......................
......................
.......................
.......................
......................
......................
......................
......................
.......................
.......................
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 20
. 22
. 24
. 25
. 26
. 26
. 27
. 28
. 28
. 28
. 29
. 29
. 31
. 32
. 34
. 34
. 36
. 36
. 37
第 3 章 ネットワーク設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
ウェブ管理ポートの設定 . . . . . . . . .
ネットワーク インターフェースの設定
ＤＮＳ 設定の構成 . . . . . . . . . . . . . .
装置のデフォルト ルートの設定 . . . .
装置の静的ルートの設定. . . . . . . . .
ホスト解決の設定 . . . . . . . . . . . . . .
ネットワーク オブジェクトの設定. . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
40
40
42
43
44
45
47
第 4 章 ユーザ アクセス ポリシーとグループ アクセス ポリシーの設定. . . . . . .51
アクセス ポリシーの概念. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グループの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
新規グループの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グループの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グループの編集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グループ ポリシーの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グループ ブックマークの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＬＤＡＰ 認証ドメインのグループ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＬＤＡＰ 属性の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＬＤＡＰ 属性情報. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＬＤＡＰ ユーザおよび属性の例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＬＤＡＰ サーバの問い合わせ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクティブ ディレクトリ、 ＮＴ、 および ＲＡＤＩＵＳ ドメインのグループ設定 . . . . . . . . . . . . . . . .
ユーザの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
新規ユーザの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ユーザの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ユーザの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ユーザ ポリシーの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ユーザ ブックマークの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログイン ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グローバル設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グローバル設定の編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グローバル ポリシーの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
グローバル ブックマークの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクセス ポリシー階層 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ii
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 52
. 52
. 52
. 53
. 53
. 54
. 55
. 57
. 60
. 60
. 60
. 61
. 61
. 62
. 62
. 64
. 64
. 65
. 69
. 70
. 74
. 74
. 74
. 75
. 77
Ｓ ｏ ｎ ｉ ｃ ＷＡ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
-
第 5 章 ポータル、 ドメインとレイアウトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 79
ポータル レイアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ポータル レイアウト環境の表示 . . . . . . . . . . . . . . . . . . . . . .
ポータル レイアウトの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
認証ドメインの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ローカル ユーザ データベース認証の設定 . . . . . . . . . . . . .
ＲＡＤＩＵＳ 認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＮＴ ドメイン認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
ＬＤＡＰ 認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクティブ ディレクトリ認証の設定 . . . . . . . . . . . . . . . . . . .
アクティブ ディレクトリのトラブル シューティング . . . . . . . . .
ドメイン設定テーブル . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ドメインの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.....................
......................
......................
.....................
.....................
.....................
.....................
.....................
.....................
.....................
......................
......................
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . 80
. . . 81
. . . 82
. . . 86
. . . 87
. . . 88
. . . 89
. . . 90
. . . 91
. . . 92
. . . 92
. . . 92
付録 A ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のサードパーティ ファイアウォール用設定93
Ｃｉｓｃｏ ＰＩＸ を ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置と共に配備するための設定 . . . . . . . . . . . . . . . 93
準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
方法 １　ＬＡＮ インターフェース上に ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置を配備する. . . . . . . . . . . . 94
方法 ２　ＤＭＺ インターフェース上に ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置を配備する . . . . . . . . . . . 96
Ｌｉｎｋｓｙｓ ＷＲＴ５４ＧＳ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Ｗａｔｃｈｇｕａｒｄ Ｆｉｒｅｂｏｘ Ｘ Ｅｄｇｅ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Ｎｅｔｇｅａｒ ＦＶＳ３１８ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Ｎｅｔｇｅａｒ Ｗｉｒｅｌｅｓｓ Ｒｏｕｔｅｒ ＭＲ８１４ ＳＳＬ の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Ｃｈｅｃｋｐｏｉｎｔ ＡＩＲ ５５ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ と Ｃｈｅｃｋ Ｐｏｉｎｔ ＡＩＲ ５５ を連携させる . . . . . . . . . . . . . . . . . . . . 104
静的ルート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
ＡＲＰ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
付録 B ＮｅｔＥｘｔｅｎｄｅｒ の トラブル シューティング . . . . . . . . . . . . . . . . . . . . . 107
Trademarks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Limited Warranty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
iii
iv
Ｓ ｏ ｎ ｉ ｃ ＷＡ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
本書の使い方
本書について
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 管理者ガイドをご利用いただき、 ありがとうございます。 本書では、 ＳｏｎｉｃＷＡＬＬ
ＳＳＬ-ＶＰＮ 装置に合わせて ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ を正常に起動、 設定、 管理するために必要な情報
について説明します。
補足 本書の最新バージョンと、 その他の ＳｏｎｉｃＷＡＬＬ 製品、 およびサービスのマニュアルについては、
〈http://www.sonicwall.com/japan/support_document.html〉 を参照してください。
本書の構成
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 管理者ガイドは、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ ウェブ管理インターフェースの構造に
従って以下の章から構成されています。
第 １ 章、 ＳＳＬ-ＶＰＮ の概要
この章では、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の機能と、 ＳＳＬ-ＶＰＮ 技術の概要について説明します。
第 ２ 章、 基本システム エンティティの設定
この章では、 以下の ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の操作について説明します。
• システム状況情報の管理
• ＳｏｎｉｃＷＡＬＬ 装置の登録
• ＳｏｎｉｃＷＡＬＬ セキュリティ サービス ライセンスのアクティブ化と管理
• ＳｏｎｉｃＷＡＬＬ 装置のローカル管理オプションとリモート管理オプションの設定
• ファームウェア バージョンとプリファレンスの管理
• 個別ロゴの設定
• 証明書のインポート
• ＮｅｔＥｘｔｅｒｄｅｒ 使用のためのクライアント アドレス範囲の設定
第 ３ 章、 ＳＳＬ-ＶＰＮ ネットワークの設定
この章では、 ネットワーク環境に合わせた ＳｏｎｉｃＷＡＬＬ 装置の設定について説明します。 ＳｏｎｉｃＷＡＬＬ
ＳＳＬ-ＶＰＮ 装置インターフェース に含まれている機能は、 以下のとおりです。
• ネットワーク オブジェクト － ＨＴＴＰ サービス、 ＦＴＰ サービス、 ＲＤＰ サービス、 ＳＳＨ サービス、 ファイ
ル共有などのネットワーク リソースを表す再利用可能なネットワーク オブジェクトを作成する
• ルート － 機器のデフォルト ゲートウェイや、 その他の静的ルートを設定する
• ホスト解決 － 内部の名前解決のためのホスト名と ＩＰ アドレス情報を設定する
• ＤＮＳ 設定 - ＩＰ アドレスによるドメイン名解決のための ＤＮＳ 設定をする
第 ４ 章、 ユーザ アクセス ポリシーとグループ アクセス ポリシーの設定
この章では、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のアクセス ポリシーの設定について説明します。 また、
ＳＳＬ-ＶＰＮ 装置での、 ユーザ／グループ／グローバル レベルのブックマークの作成について説明します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者 ガ イ ド
v
第 ５ 章、 ポータル レイアウトとドメインの設定
この章では、 ポータル レイアウトとドメインの設定について説明します。
vi
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
本書の表記について
本書の表記規則は以下のとおりです。
表記規則
使い方
太字
ダイアログ ボックス、 ウィンドウ、 画面名を強調表示する。 また、 ボ
タンも強調表示する。 インターフェースで入力できるファイル名と、
テキストや値にも使用されている。
斜体
テクニカル マニュアル名を表す。 また、 文中の特定の単語の強調
を示す。 重要な用語や概念の最初の事例を示すこともある。
メニュー項目 ＞ メニュー項目
複数のステップからなる管理インターフェースのメニュー選択項目を
示す。 例えば、 システム ＞ ステータスは、 システム メニューの、
ステータス ページを選択することを意味する。
本書で使用されているアイコン
これらの専用メッセージは、 注目すべき情報があることを示すものです。 すぐに見分けられるように記号が付
いています。
S
9
Â
警告 装置のパフォーマンスに影響する機能、 セキュリティ機能、 または発生する可能性のある Ｓｏｎｉｃ
ＷＡＬＬ の問題について警告する重要な情報
ヒ ン ト ＳｏｎｉｃＷＡＬＬ のセキュリティ機能と設定についての役立つ情報
補足 特に注意を必要とする機能についての重要な情報
参照 付属ガイドやその他の資料に記載されている関連情報の参照アドバイス
ＳｏｎｉｃＷＡＬＬ テクニカル サポート
テクニカル サポートへのご質問については、 まず ＳｏｎｉｃＷＡＬＬ のウェブ サイト
〈http://www.sonicwall.com/support/support.html〉 を参照してください。 ウェブベースのリソースで、 ほとん
どの技術問題は解決することができます。 解決できない場合は、 ＳｏｎｉｃＷＡＬＬ テクニカル サポートにお問い
合わせください。
お電話でのお問い合わせ先は、 以下のとおりです。
北米電話サポート
米国 / カナダ － ８８８.７７７.１４７６ または＋ １ ４０８.７５２.７８１９
国際電話サポート
オーストラリア － ＋ １８００.３５.１６４２
オーストリア － ＋ ４３ （０） ８２０.４００.１０５
ＥＭＥＡ － ＋ ３１ （０） ４１１.６１７.８１０
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者 ガ イ ド
vii
フランス － ＋ ３３ （０） １.４９３３.７４１４
ドイツ － ＋ ４９ （０） １８０５.０８００.２２
香港 － ＋ １.８００.９３.０９９７
インド － ＋ ８０２６５５６８２８
イタリア － ＋ ３９.０２.７５４１.９８０３
日本 － ０１２０．５６９１２２
ニュージーランド － ＋ ０８００.４４６４８９
シンガポール － ＋ ８００.１１０.１４４１
スペイン － ＋ ３４ （０） ９１３７.５３０３５
スイス － ＋ ４１.１.３０８.３.９７７
英国 － ＋ ４４ （０） １３４４.６６８.４８４
補足 テクニカル サポートの最新の電話番号については、 〈http://www.sonic
wall.com/japan/support/
support_customer.html)を参照して下さい。
製品とサービスに関するお問い合わせ
SonicWALL 製品とサービスの詳細については、 SonicWALL 販売代理店またはゴールドパートナー 〈http://
www.sonicwall.com/japan/corporate_info/distributors.html〉 までお問い合わせください。
viii
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
ＳｏｎｉｃＷＡＬＬ 管理インターフェース
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のウェブベース管理インターフェースは、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置を設
定するための使いやすいグラフィック インターフェースです。 インターフェースには、 ２ 種類のウィンドウ オブ
ジェクトがあります。
• ウィンドウ 基本的に読み取り専用で、 主に情報を得るために使われる。
• ダイアログボックス ユーザとやり取りするために使われる。 主に、 オブジェクトを特色づける値、 例えば、
ＩＰ アドレス、 名称、 認証種別などを追加したり、 変更したりする。
以下に、 主要な管理インターフェース オブジェクトの概要を示します。 下の例は、 ウェブベース管理インター
フェース ウィンドウです。 標準的な ＳｏｎｉｃＷＡＬＬ インターフェース ウィンドウの様々な項目に注目してください。
ロケーション インジケータ
サブ ウィンドウ
ボタン
メイン ウィンドウ エリア
状況バー
ナビゲーション バー
下の例は、 ダイアログ ボックスです。
タイトル バー
領域名
リスト ボックス
入力 フィールド
チェック ボックス
ボタン
ステータス バー
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者 ガ イ ド
ix
管理インターフェースのナビゲート
ＳｏｎｉｃＷＡＬＬ 管理インターフェースのナビゲートには、 ナビゲーション バー （ブラウザ ウィンドウの左側） のメ
ニュー ボタンの階層が含まれます。 メニュー ボタンを選択すると、 関連する管理機能がナビゲーション バーに
サブメニュー項目として表示されます。
ナビゲーション バーの、 開いているフォルダ アイコンが、 現在のウィンドウです。 サブメニュー ページにナビ
ゲートするには、 リンクを選択します。 メニュー ボタンを選択すると、 最初のサブメニュー項目ページが表示さ
れます。 最初のサブメニュー ページは、 メニュー ボタンを選択すると自動的に表示されます。 例えば、 ネッ
トワーク ボタンを選択すると、 ネットワーク ＞ 設定ページが表示されます。
状況バー
管理インターフェース ウィンドウの一番下の状況バーには、 ＳｏｎｉｃＷＡＬＬ 管理インターフェースで実行された
アクションの状況が表示されます。
変更の適用
ＳｏｎｉｃＷＡＬＬ 管理インターフェースの右上角の適用ボタンを選択すると、 そのページで行なった設定変更が
保存されます。
x
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
設定が管理インターフェースの中の ２ 次ウィンドウにある場合は、 ＯＫ ボタンを選択します。 これで、 その設
定は ＳｏｎｉｃＷＡＬＬ 装置に自動的に適用されます。
テーブルのナビゲート
エントリの数が多い管理インターフェースのテーブルをナビゲートするには、 テーブル右上部の様々な種類のナ
ビゲーション ボタンを使います。 ログ ＞ 表示 ページには、 あらゆる詳細なナビゲーション ボタンが用意されて
います。
検索フィールド
検索ボタン
範囲リスト
リセット ボタン
除外ボタン
表示するページ リスト
ログ ページのナビゲーション ボタンには以下のものがあります。
ナビゲーション ボタン
説明
検索
範囲リストで選択した範囲に基づき、 指定した設定を含むログ エントリを
検索できる。 範囲には、 時間、 優先順位、 送信元、 送信先、 およ
びユーザがある。 検索結果にリストされる結果の順序は、 選択した範
囲によって異なる
除外
検索条件に一致するログ以外のログ エントリを表示できる
表示するページ
エントリの数が多いために複数のページが表示される場合に、 ページを
指定してそのページのログ エントリを表示することができる。 ログ エントリ
のページが 1 ページだけの場合、 このオプションは表示されない
リセット
検索ボタンを使ってログ エントリの表示順序を変更した後、 ログ エントリ
のリストを既定の順序にリセットする
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者 ガ イ ド
xi
基準リスト ドロップダウン リスト ボックスで選択する範囲に基づいてテーブル ページも検索できます。
管理インターフェースの共通アイコン
以下に、 ＳｏｎｉｃＷＡＬＬ 管理インターフェースで使用される共通アイコンの機能について説明します。
編集
削除
コメント
アイコンを選択すると、 設定を編集するためのウィンドウが表示されます。
アイコンを選択すると、 テーブル エントリが削除されます。
アイコンの上にポインタを移動すると、 コメント フィールド エントリのテキストが表示されます。
ヘルプ
各 ＳｏｎｉｃＷＡＬＬ 装置では、 管理インターフェースからウェブベースのオンライン ヘルプを利用することができ
ます。
各ページの右上角の疑問符？ボタンを選択すると、 そのページに対応する状況に応じたヘルプが表示されま
す。
補足 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のオンライン ヘルプにアクセスするには、 インターネットとの接続が確立
されている必要があります。
ログアウト
メニュー バーの一番下のログアウト ボタンを選択すると、 管理インターフェース セッションが終了し、 ブラウザ
セッションが縮小されます。
xii
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
ëÊ 1 èÕ
第1章
ＳＳＬ-ＶＰＮ の概要
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置は、 リモート社員やモバイル社員のための単純、 安全かつクライアント不要
のリモート ネットワーク アクセス ソリューションおよびリモート アプリケーション アクセス ソリューションを実現し
ます。 クライアント不要のため、 事前に設定され、 インストールされたホストなしで接続を使用できます。
ユーザはどこにいても、 標準のウェブ ブラウザにアクセスするだけで、 会社のローカル エリア ネットワーク
（ＬＡＮ） 上にある電子メール ファイル、 イントラネット サイト、 アプリケーション、 その他のリソースに簡単か
つ安全にアクセスできます。
この章には以下のセクションが含まれています。
• 2 ページ 「ＳＳＬ-ＶＰＮ の概要」
• 2 ページ 「暗号化の概要」
• 2 ページ 「ＳＳＬ ハンドシェーク プロシージャ」
• 3 ページ 「仮想プライベート ネットワーク （ＶＰＮ） 用の ＳＳＬ」
• 4 ページ 「ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ の主要な概念」
• 7 ページ 「配備のガイドライン」
• 8 ページ 「ＳＳＬ-ＶＰＮ のコンポーネント」
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
1
ＳＳＬ-ＶＰＮ の概要
仮想プライベート ネットワーク （ＶＰＮ） を使用すると、 公共のネットワーク インフラストラクチャ上で安全な
エンド ツー エンドのプライベート ネットワーク接続を確立することができ、 通信費用を節減したり、 組織内の
ユーザとサイトの間にプライベートで安全な接続を実現したりできます。 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置はセ
キュア ソケット レイヤ （ＳＳＬ） ＶＰＮ の機能を備えており、 それを使用するための特別機能ライセンス費用
も必要ないため、 並列的なリモート アクセス インフラストラクチャを配備するための費用効果の高い代替法
となります。
暗号化の概要
暗号化とは、 データに符号化またはスクランブル処理を施して、 不正なユーザがデータを読み取れない
ようにする機能です。 暗号化は、 インターネット経由でプライベートな通信を行うための保護された手段で
す。
公開鍵暗号化 （ＰＫＥ） と呼ばれる特殊な暗号化では、 公開鍵と私有鍵を使用してデータを暗号化およ
び復号化します。 公開鍵暗号化では、 ウェブ サイトなどの当事者が公開鍵と私有鍵を生成します。 保護
されているウェブ サーバは、 ウェブ サイトにアクセスするユーザに公開鍵を送信します。 ユーザのウェブ ブ
ラウザはこの公開鍵を使用して、 対応する私有鍵によって暗号化されたデータを復号化します。 さらに、
ユーザのウェブ ブラウザはこの公開鍵を使用してデータを透過的に暗号化することができ、 このデータは保
護されたウェブ サーバの私有鍵でのみ復号化できます。 公開鍵暗号化により、 ユーザはウェブ サイトの身
元を ＳＳＬ 証明書を通じて確認できます。
ＳＳＬ ハンドシェーク プロシージャ
以下の例は、 ユーザと ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ ソフトウェアを使用する ＳＳＬ-ＶＰＮ ゲートウェイとの間に
ＳＳＬ セッションを確立するために必要な標準的手順を示しています。
1. ユーザが ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置に接続しようとするときには、 ユーザのウェブ ブラウザが装置
に対して暗号化情報 （ブラウザがサポートしている暗号化の種類など） を送信します。
2. 装置はユーザに対して、 自身の暗号化情報 （公開暗号鍵を含んでいる ＳＳＬ 証明書など） を送信し
ます。
3. ウェブ ブラウザはその ＳＳＬ 証明書が示す認証局に基づいて、 ＳＳＬ 証明書の正当性を確認します。
4. その後、 ウェブ ブラウザはプリマスタ暗号化鍵を生成し、 そのプリマスタ鍵を ＳＳＬ 証明書内の公開鍵
で暗号化し、 暗号化済みのプリマスタ鍵を ＳＳＬ-ＶＰＮ ゲートウェイに送信します。
5. ＳＳＬ-ＶＰＮ ゲートウェイはこのプリマスタ鍵を使用してマスタ鍵を作成し、 新しいマスタ鍵をユーザの
ウェブ ブラウザに送信します。
6. ウェブ ブラウザと ＳＳＬ-ＶＰＮ ゲートウェイは、 このマスタ鍵と互いに同意した暗号化アルゴリズムを使用
して、 ＳＳＬ 接続を確立します。 この時点で、 ユーザと ＳＳＬ-ＶＰＮ ゲートウェイは同じ暗号化鍵を使用
してデータの暗号化と復号化を行うようになります。 これは対称暗号化と呼ばれます。
7. ＳＳＬ 接続が確立されると、ＳＳＬ-ＶＰＮ ゲートウェイはウェブブラウザに ＳＳＬ-ＶＰＮ ゲートウェイ ログイン
ページを暗号化して送信します。
8. ユーザは自分のユーザ名、 パスワード、 ドメイン名を送信します。
9. ユーザのドメイン名を ＲＡＤＩＵＳ サーバ、 ＬＤＡＰ サーバ、 ＮＴ ドメイン サーバ、 またはアクティブ ディレ
クトリ サーバを通じて認証しなければならない場合は、 ＳＳＬ-ＶＰＮ ゲートウェイはユーザの情報を適切
な認証サーバに転送します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
2
10. 認証された場合、 ユーザは ＳＳＬ-ＶＰＮ ポータルにアクセスできるようになります。
仮想プライベート ネットワーク （ＶＰＮ） 用の ＳＳＬ
セキュア ソケット レイヤ ベースの仮想プライベート ネットワーク （ＳＳＬ-ＶＰＮ） では、 安全な ＳＳＬ 接続を
通じて、 アプリケーションやプライベートなネットワーク リソースにリモートからアクセスすることができます。
ＳＳＬ-ＶＰＮ を使用すると、 モバイル社員やビジネス パートナーや顧客を会社のエクストラネットあるいはプ
ライベート ＬＡＮ 上にあるファイルやアプリケーションにアクセスさせることができます。
ＳＳＬ-ＶＰＮ プロトコルはクライアント不要とされていますが、 一般的な ＳＳＬ-ＶＰＮ ポータルは ＳＳＬ-ＶＰＮ
ポータルから透過的にダウンロードされるウェブ コンポーネント、 Ｊａｖａ コンポーネント、 ＡｃｔｉｖｅＸ コンポー
ネントを組み合わせたものなので、 ユーザは ＶＰＮ クライアント アプリケーションを手動でインストールして設
定しなくてもリモート ネットワークに接続できます。 さらに ＳＳＬ-ＶＰＮ では、 ユーザがウィンドウズ、 マッキン
トッシュ、 Ｌｉｎｕｘ など多様な ＰＣ から接続できます。 ただし、 ＡｃｔｉｖｅＸ コンポーネントがサポートされてい
るのはウィンドウズ プラットフォームのみです。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置ソフトウェアは、 エンド ツー エンドの ＳＳＬ-ＶＰＮ ソリューションを実現しま
す。 このソフトウェアには、 ＳＳＬ-ＶＰＮ ユーザー、 アクセス ポリシー、 認証方式、 ネットワーク リソースに
関するユーザ ブックマーク、 システム設定などを設定するためのウェブベースの管理インターフェースが含
まれています。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ ソフトウェアにより、 ユーザはファイルのアクセス、 更新、 アップロード、 ダウン
ロードができるほか、 デスクトップ マシンにインストールされている （またはアプリケーション サーバ上でホス
トされている） リモート アプリケーションを使用できるようになります。 さらにこのプラットフォームは、 安全な
ウェブベースの ＦＴＰ アクセスや、 ネットワーク コンピュータに似たファイル共有インターフェース、 ＳＳＨ お
よび Ｔｅｌｎｅｔ のエミュレーション、 ＶＮＣ および ＲＤＰ のサポート、 Ｗｅｂ および ＨＴＴＰＳ のプロキシ転送を
サポートしています。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ の ＮｅｔＥｘｔｅｎｄｅｒ 機能は、 社内リソースへの完全なネットワーク アクセスを実
現します。 この ＡｃｔｉｖｅＸ コントロールを使用すると、 エンド ユーザは複雑なソフトウェアのインストールや設
定をせずにリモート ネットワークに接続できます。 このクライアントは、 リモート ネットワークのあらゆる種類の
データにアクセスするための保護された手段です。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
3
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ の主要な概念
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置を使用する際に関係してくる主要な概念を次に示します。
• 4 ページ 「ポータルの概要」
• 4 ページ 「レイアウトの概要」
• 4 ページ 「ドメインの概要」
• 5 ページ 「典型的な配備」
• 5 ページ 「ＮｅｔＥｘｔｅｎｄｅｒ の概要」
• 6 ページ 「ＤＮＳ の概要」
• 6 ページ 「ネットワーク ルートの概要」
ポータルの概要
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置には仮想オフィスというメカニズムがあります。 これはシステム ソフトウェア
内のポータルであり、 ここで組織の内部リソースへの一連のリンクを設定することができます （これにより、
別の環境にアクセスしやすくなります）。 ポータルとは、 ＳＳＬ-ＶＰＮ ユーザが対話的に使用するインタ
フェースです。 ＳＳＬ-ＶＰＮ を通じてリモート アクセスを実現しようとするネットワーク コンポーネント （たとえ
ば ＮｅｔＥｘｔｅｎｄｅｒ、 ファイル共有、 ネットワーク リソースなど） は、 ポータルを介して提供することになりま
す。 ポータルを介してユーザに提供されるコンポーネントは、 ポータルのレイアウトを定義することでカスタマ
イズできます。 ポータルをカスタマイズするには、 レイアウトと呼ばれる特殊なテンプレートを使用します。
ポータルの設定情報については、 82 ページ 「ポータル レイアウトの設定」 を参照してください。
レイアウトの概要
レイアウトとは、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ セッション サイト内での環境の表示方法を設定するためのテンプ
レートです。 レイアウトでは、 サイト タイトル、 ポータル タイトル、 バナー タイトル、 バナー メッセージを設定
できます。 また、 仮想ホスト／ドメイン名を設定したり、 既定ポータルの ＵＲＬ を作成したりすることもできま
す。 レイアウトの設定情報については、 82 ページ 「ポータル レイアウトの設定」 を参照してください。
さらに、 レイアウトでは以下のことを設定できます。
• カスタマイズされたログイン ページを表示する
• ログイン ページにバナー メッセージを表示する
• キャッシュ制御のための ＨＴＴＰ メタ タグを有効にする
• ＡｃｔｉｖｅＸ キャッシュ クリーナを有効にする
• 自己署名証明書インポートのリンクを表示する
ドメインの概要
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 環境のドメインとは、 ＳＳＬ-ＶＰＮ 装置のサービス下のネットワークにアクセスしよ
うとするユーザを認証するためのメカニズムです。 ドメインの種類としては、 ＳＳＬ-ＶＰＮ の内部にある
ＬｏｃａｌＤｏｍａｉｎ と、 外部プラットフォームの ＮＴ 認証、 ＬＤＡＰ、 ＲＡＤＩＵＳ があります。 多くの組織では、
１ つのドメインを使用するだけで認証機能を十分に実現できますが、 大きな組織の場合は、 ポータルを通
じてアプリケーションにアクセスしようとするユーザの複数のノードやコレクションを扱うために、 複数の分散ド
メインが必要になることがあります。 ドメインの設定情報については、 86 ページ 「認証ドメインの概要」 セ
クションを参照してください。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
4
典型的な配備
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ は、 一般的な配備方法では、 付随するゲートウェイ機器 （たとえば
ＳｏｎｉｃＷＡＬＬ ＰＲＯ ２０４０） の ＤＭＺ または Ｏｐｔ インターフェイス上で "ｏｎｅ － ａｒｍ" モードで連携してい
ます。 ＳＳＬ-ＶＰＮ 上のプライマリ インタフェース （Ｘ０） は、 ゲートウェイ デバイス上の使用可能なセグメ
ントに接続されます。 暗号化されたユーザ セッションが、 ゲートウェイを通じて ＳＳＬ-ＶＰＮ 装置に渡されま
す （ステップ １）。 ＳＳＬ-ＶＰＮ がセッションを復号化し、 要求されたリソースを判別します。 その後、 この
ＳＳＬ-ＶＰＮ セッション トラフィックがゲートウェイ装置を通過して （ステップ ２）、 内部ネットワーク リソース
に到達します。 ゲートウェイを通過する際に、 侵入防御、 ゲートウェイ アンチウィルス、 アンチスパイウェア
調査などのセキュリティ サービスを適切に設定されたゲートウェイ装置によって適用することができます。 そ
の後、 内部ネットワーク リソースは要求されたコンテンツをゲートウェイ経由で ＳＳＬ-ＶＰＮ 装置に返します
（ステップ ３）。 そこでコンテンツが復号化され、 クライアントに返されます。
図 1 初期接続のイベントの流れ
1. Ｘ０ インターフェースが
ゲートウェイ上の使用可能な
セグメントに接続する。 暗号
化されたセッションが
ＳＳＬ-ＶＰＮ 装置に進む。
3. 内部ネ ッ ト ワ ー ク リ ソ ー
スがゲー ト ウ ェ イ を通 じ て
Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 装置に コ ン
テ ン ツ を返す。
2. Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ ト ラ フ ィ ッ
ク がゲー ト ウ ェ イ を通 じ て
内部ネ ッ ト ワ ー ク リ ソ ー ス
ＮｅｔＥｘｔｅｎｄｅｒ の概要
ＮｅｔＥｘｔｅｎｄｅｒ は、 ウィンドウズ ユーザのための ＳＳＬ-ＶＰＮ クライアントであり、 透過的にダウンロードさ
れ、 会社のネットワーク上で任意のアプリケーションを安全に実行できるようにします。 このクライアントは、
ＡｃｔｉｖｅＸ とネゴシエートするのにポイント ツー ポイント プロトコル （ＰＰＰ） アダプタ インスタンスを使用しま
す。
ＮｅｔＥｘｔｅｎｄｅｒ は、 この ＡｃｔｉｖｅＸ コンポーネントがインストールされているかどうかを調べます。 ＡｃｔｉｖｅＸ
のダウンロードが完了すると、 ＮｅｔＥｘｔｅｎｄｅｒ はインストールを許可します。 最初にするのは、 リモート ネッ
トワークへの ＮｅｔＥｘｔｅｎｄｅｒ トンネルを作成し、 そのリモート ネットワークを仮想的に結合することです。 こ
れにより、 ユーザがドライブのマウント、 ファイルのアップロードおよびダウンロード、 リソースへのアクセスと
いった処理をローカル ネットワークと同様の感覚で行えるようになります。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
5
ＮｅｔＥｘｔｅｎｄｅｒ は、 この ＡｃｔｉｖｅＸ コンポーネントがインストールされているかどうかを調べます。 ＡｃｔｉｖｅＸ
のダウンロードが完了すると、 ＮｅｔＥｘｔｅｎｄｅｒ はインストールを許可します。 最初にするのは、 リモート ネッ
トワークへの ＮｅｔＥｘｔｅｎｄｅｒ トンネルを作成し、 そのリモート ネットワークを仮想的に結合することです。 こ
れにより、 ユーザがドライブのマウント、 ファイルのアップロードおよびダウンロード、 リソースへのアクセスと
いった処理をローカル ネットワークと同様の感覚で行えるようになります。
ＮｅｔＥｘｔｅｎｄｅｒ のウィンドウズ クライアントに関する要件は次のとおりです。
• ウィンドウズ ２０００ プロフェッショナル、 ウィンドウズ ＸＰ ホーム／プロフェッショナル、 ウィンドウズ
２０００ サーバ、 またはウィンドウズ ２００３ サーバ。
• インターネット エクスプローラ ５.０.１ 以上。 スクリプトを含む ＡｃｔｉｖｅＸ ファイルをダウンロードして実行す
るにはインターネット エクスプローラが必要です。
• ＮｅｔＥｘｔｅｎｄｅｒ をインストールするには管理権限が必要です。
ＮｅｔＥｘｔｅｎｄｅｒ への接続の詳細については、 『ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ ユーザ ガイド』 を参照してくださ
い。
ＤＮＳ の概要
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ ソフトウェアの ＤＮＳ 設定部分を使用して、 ホスト名、 ＤＮＳ サーバ アドレス、
ＷＩＮＳ サーバ アドレスを設定することができます。 これにより、 デバイスがホスト名を ＩＰ アドレスへと解決で
きるようになります。
ネットワーク ルートの概要
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置は、 明示的なデフォルト ゲートウェイを通してリモート ＩＰ ネットワークに到達
するよう設定できます。 このゲートウェイは、 通常は ＳＳＬ-ＶＰＮ 装置に接続しているアップストリーム ファイ
アウォールとなります。 更にデフォルト ルートには、 特定のホストやネットワークに対する静的ルートを優先パ
スとして、 デフォルト ゲートウェイ以外に個別に設定することも可能です。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
6
配備のガイドライン
以下のセクションでは、 配備のガイドラインについて詳しく説明します。
サポートするユーザ接続数
一般的な使用シナリオ （たとえば大きなファイルを連続的にダウンロードする場合など） では、 パフォーマ
ンスを最適化するために、 同時ユーザ接続の数を １００ 程度に制限することをお勧めします。 これは社員
数 １,０００ 人までの組織に適した設定ですが、 もっと多くの同時接続を扱うこともできます。 その他に、 使
用するアプリケーションの複雑さや大きなファイルの共有なども、 パフォーマンスに影響を与える要因になり
ます。
リソース タイプのサポート
以下の表は、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置にアクセスするさまざまな方法を詳しく示しています。
アクセス メカニズム
標準のウェブ ブラウザ
アクセス タイプ
• ＦＴＰ およびウィンドウズ ネットワーク ファイル共有のサポートを備えたファイ
ルおよびファイル システム
• ウェブベースのアプリケーション
• マイクロソフト アウトルック ウェブ アクセスおよびその他のウェブ対応アプリ
ケーション
• ＨＴＴＰ および ＨＴＴＰＳ のイントラネット
ＳｏｎｉｃＷＡＬＬ ＮｅｔＥｘｔｅｎｄｅｒ
（ＡｃｔｉｖｅＸ クライアント）
• 以下のようなあらゆる ＴＣＰ ／ ＩＰ ベースのアプリケーション
• ユーザのラップトップ上のネイティブ クライアントを通じた電子メール ア
クセス （マイクロソフト アウトルック、 ロータス ノーツなど）
• 商用アプリケーションおよび自作アプリケーション
• ネットワーク管理者によって許可された柔軟なネットワーク アクセス
ダウンロード可能な ＡｃｔｉｖｅＸ クラ
イアントまたは Ｊａｖａ クライアント
• リモート デスクトップまたはリモート サーバ プラットフォームのリモート制御下
にある、 デスクトップ マシン上にインストールされたアプリケーション （また
はアプリケーション サーバ上でホストされているアプリケーション）
• ターミナル サービス、 ＶＮＣ、 Ｔｅｌｎｅｔ、 ＳＳＨ
ＳｏｎｉｃＷＡＬＬ 製品との統合
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置をその他の ＳｏｎｉｃＷＡＬＬ 製品と統合すると、 ＳｏｎｉｃＷＡＬＬ ＰＲＯ ／ ＴＺ
シリーズ製品ラインを補完できます。 着信 ＨＴＴＰＳ トラフィックは、 ＳｏｎｉｃＷＡＬＬ ファイアウォール装置に
よって ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置へとリダイレクトされます。 このトラフィックは ＳＳＬ-ＶＰＮ 装置で復号
化されてファイアウォールに返され、 そこで内部ネットワーク リソースに到達するための道筋が検討されま
す。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
7
ＳＳＬ-ＶＰＮ のコンポーネント
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ は、 保護された内部ネットワークに対するクライアント不要の ＩＤ ベースの安全な
リモート アクセスを実現します。 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ では、 仮想オフィス環境を使用することで、
ユーザがプライベート ネットワーク全体または個々のコンポーネント （ファイル共有、 ウェブ サーバ、 ＦＴＰ
サーバ、 リモート デスクトップなどに加え、 マイクロソフト ターミナル サーバ上でホストされている個々のアプ
リケーションまで対応可能） に対して安全なリモート アクセスを行うことができます。 これらの安全なリモート
アクセスは、 次のコンポーネントによって実現されています。
• ＮｅｔＥｘｔｅｎｄｅｒ
• ファイル共有
• ネットワーク リソース
ＮｅｔＥｘｔｅｎｄｅｒ の概念
ＮｅｔＥｘｔｅｎｄｅｒ により、 リモート ユーザは保護された内部ネットワークに完全にアクセスできるようになりま
す。 これは、 従来の ＩＰＳｅｃ ＶＰＮ クライアントで実現されていた機能と実質的に同じものですが、
ＮｅｔＥｘｔｅｎｄｅｒ の場合はクライアントを手動でインストールする必要がありません。 その代わりに、
ＮｅｔＥｘｔｅｎｄｅｒ クライアントが ＡｃｔｉｖｅＸ コンポーネントとしてリモート ユーザの ＰＣ に自動的にインストール
され、 この ＡｃｔｉｖｅＸ コンポーネントが、 内部ネットワーク上の許可されたホストおよびサブネットに対する
ＳＳＬベースの安全なポイント ツー ポイント アクセスを実現するための仮想アダプタをインスタンス化します。
ファイル共有
ファイル共有は、 ＣＩＦＳ （Ｃｏｍｍｏｎ Ｉｎｔｅｒｎｅｔ Ｆｉｌｅ Ｓｙｓｔｅｍ） プロトコルまたは ＳＭＢ （Ｓｅｒｖｅｒ
Ｍｅｓｓａｇｅ Ｂｌｏｃｋ） プロトコルを使用するマイクロソフト ファイル共有への安全なウェブ インターフェースをリ
モート ユーザに提供します。 ファイル共有では、 マイクロソフトのネットワーク コンピュータやマイ ネットワーク
によく似たスタイルのウェブ インターフェースが採用されており、 適切な権限を持つユーザがネットワーク共
有を参照して、 ファイルの名前変更、 削除、 取得、 アップロードを行い、 後で参照するためにブックマー
クを作成することができます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
8
ネットワーク リソース
ネットワーク リソースとは、 ＳＳＬ-ＶＰＮ を通じてアクセスできる信頼済みネットワークの、 より細かいレベル
のコンポーネントです。 管理者がネットワーク リソースを事前定義してユーザまたはグループにブックマークと
して割り当てることもできますし、 ユーザが自分用のネットワーク リソースを定義してブックマークを作成する
こともできます。 ネットワーク リソースには以下のリモート アクセス機能が含まれています。
属性
設定
ＨＴＴＰ （ウェブ）
内部ネットワーク、 または ＳＳＬ-ＶＰＮ 装置が到達できるその他のネットワーク
セグメント （インターネットを含む） 上の ＨＴＴＰ サーバに対するプロキシ アク
セス。 リモート ユーザが ＨＴＴＰＳ を使用して ＳＳＬ-ＶＰＮ 装置と通信し、
ＵＲＬ を要求すると、 ＳＳＬ-ＶＰＮ がその ＵＲＬ を ＨＴＴＰ 経由で取得します。
その後、 ＵＲＬ が必要に応じて変換され、 復号化されてリモート ユーザに返
されます。
ＨＴＴＰＳ （セキュア ウェブ）
内部ネットワーク、 または ＳＳＬ-ＶＰＮ 装置が到達できるその他のネットワーク
セグメント （インターネットを含む） 上の ＨＴＴＰＳ サーバに対するプロキシ アク
セス。
Ｔｅｌｎｅｔ （Ｊａｖａ）
リモート ユーザのウェブ ブラウザを通じて配信される Ｊａｖａ ベースの Ｔｅｌｎｅｔ
クライアント。 リモート ユーザがアクセス可能な Ｔｅｌｎｅｔ サーバの ＩＰ アドレスを
指定すると、 ＳＳＬ-ＶＰＮ が目的のサーバへの接続を確立し、 ネイティブな
Ｔｅｌｎｅｔ を使用して、 ＳＳＬ 上のユーザとサーバとの通信を代行します。
ＳＳＨ （Ｊａｖａ）
リモート ユーザのウェブ ブラウザを通じて配信される Ｊａｖａ ベースの ＳＳＨ ク
ライアント。 リモート ユーザがアクセス可能な ＳＳＨ サーバの ＩＰ アドレスを指定
すると、 ＳＳＬ-ＶＰＮ が目的のサーバへの接続を確立し、 ネイティブに暗号
化された ＳＳＨ を使用して、 ＳＳＬ 上のユーザとサーバとの通信を代行しま
す。
ＦＴＰ （Ｗｅｂ）
内部ネットワーク、 または ＳＳＬ-ＶＰＮ 装置が到達できるその他のネットワーク
セグメント （インターネットを含む） 上の ＦＴＰ サーバに対するプロキシ アクセ
ス。 リモート ユーザが ＨＴＴＰＳ を使用して ＳＳＬ-ＶＰＮ 装置と通信し、 ＵＲＬ
を要求すると、 ＳＳＬ-ＶＰＮ がその ＵＲＬ を ＨＴＴＰ 経由で取得し、 必要に応
じて変換し、 復号化してリモート ユーザに返します。
リモート デスクトップ
リモート デスクトップは、 内部ネットワーク上のリモート デスクトップ プロトコル
（ＲＤＰ） および、 仮想ネットワーク コンピューティング （ＶＮＣ） 対応のワーク
ステーションとサーバに対するアクセスをリモート ユーザに提供し、 そのコン
ピュータを実際に操作しているに近い環境を実現します。 各種のリモート デス
クトップ プロトコルの詳細については、 以下のセクションを参照してください。
アプリケーション
アプリケーションとは、 デスクトップ全体ではなく特定のアプリケーションに対す
る ＲＤＰ セッションのことを指します。 これにより、 管理者およびユーザが
ＣＲＭ ソフトウェアや財務会計ソフトウェアといった個別のアプリケーションへの
アクセスを定義することができ、 リモート ユーザにデスクトップ全体のアクセス
権を与えずに済みます。 アプリケーションを閉じると、 そのセッションも終了し
ます。 各種のアプリケーション プロトコルの詳細については、 以下のセクション
を参照してください。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
9
リモート デスクトップ プロトコル
最近のマイクロソフトのワークステーションやサーバにはリモート アクセスを簡単に実現できる ＲＤＰ サーバの
機能が用意されていますし、 簡単に入手してインストールできる無償の ＶＮＣ サーバ オプションもほとんど
のオペレーティング システム用に数多く公開されています。 ＲＤＰ クライアントや ＶＮＣ クライアントは、 許可
されたリモート ユーザのウェブ ブラウザを通じて次のような形式で自動的に配信されます。
• ＲＤＰ４ （Ｊａｖａ） - ＲＤＰ４ はマイクロソフトのリモート デスクトップ プロトコルの初期バージョンであり、
Ｊａｖａ クライアントとして提供できるのでプラットフォーム互換性が広いという長所があります。 ＲＤＰ４ は、
ＲＤＰ５ とは異なり、 全画面モードや ＲＤＰ セッション内の音声に対応していません。
• ＲＤＰ５ （ＡｃｔｉｖｅＸ） - ＲＤＰ５ はマイクロソフトが現在使用しているバージョンのリモート デスクトップ プ
ロトコルであり、 セッション音声や全画面モードなど豊富な機能を備えているため、 ＡｃｔｉｖｅＸ クライアン
トの形式でしか使用できません。
• ＶＮＣ （Ｊａｖａ） - ＶＮＣ はもともと ＡＴ ＆ Ｔ によって開発されたものですが、 今日ではオープン ソース
ソフトウェアとして広く使われています。 さまざまな ＶＮＣ サーバがありますが、 どの ＶＮＣ サーバもほと
んどのワークステーションやサーバにインストールしてリモート アクセスを実現することができます。 これら
のサーバに接続するための ＶＮＣ クライアントは、 リモート ユーザのウェブ ブラウザを通じて Ｊａｖａ クラ
イアントとして配信されます。
アプリケーション プロトコル
使用できるアプリケーション プロトコルを以下に示します。
ＲＤＰ （Ｊａｖａ） - Ｊａｖａ ベースの ＲＤＰ４ クライアントを使用してターミナル サーバに接続し、 指定のパス
（たとえば C:\programfiles\microsoft office\office11\winword.exe） にあるアプリケーションを自動的に呼
び出します。
ＲＤＰ５ （ＡｃｔｉｖｅＸ） - ＡｃｔｉｖｅＸ ベースの ＲＤＰ５ クライアントを使用してターミナル サーバに接続し、 指
定のパス （たとえば C:\programfiles\ethereal\ethereal.exe） にあるアプリケーションを自動的に呼び出し
ます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
10
ëÊ 2 èÕ
第2章
基本システム エンティティの設定
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の設定を始める前に、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 管理インターフェース環
境の一部であるツールを確認することをお勧めします。
この章の構成は以下のとおりです。
• 12 ページ 「ブラウザ要件」
• 13 ページ 「ウェブ管理インターフェースの概要」
• 16 ページ 「状況環境の概要」
• 20 ページ 「イベント ログの概要」
• 24 ページ 「使用中のユーザ数の概要」
• 26 ページ 「ソフトウェアとシステムの使用の設定」
• 29 ページ 「証明書の管理」
• 32 ページ 「監視の概要」
• 34 ページ 「個別ロゴの設定」
• 34 ページ 「診断の実行」
• 36 ページ 「ＮｅｔＥｘｔｅｎｄｅｒ の設定」
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
11
ブラウザ要件
ウェブ管理インターフェースと ＳＳＬ-ＶＰＮ ポータルでは、 以下のウェブ ブラウザがサポートされています。
Ｊａｖａ は、 ＳＳＬ-ＶＰＮ ポータルの各種機能にのみ必要であり、 ウェブ管理インターフェースには必要あり
ません。
表 1 ブラウザ要件
項目
要件
• インターネット エクスプローラ ５.０.１ 以上、 Ｍｏｚｉｌｌａ １.ｘ、 またはネットス
ブラウザ
ケープ ７.０ 以上
• オペラ ７.０ 以上
• ＦｉｒｅＦｏｘ １.０ 以上
Ｊａｖａ
• Ｓｕｎ ＪＲＥ １.３.１ 以上
• マイクロソフト ＪＶＭ ５ 以上
アップル マック ＯＳ Ｘ
• ブラウザ ： サファリ １.２ 以上
• Ｊａｖａ ： Ｓｕｎ ＪＲＥ １.１ 以上
Ｕｎｉｘ、 Ｌｉｎｕｘ、 または ＢＳＤ
ブラウザ ： Ｍｏｚｉｌｌａ 1.ｘ またはネットスケープ ７.０ 以上
サファリ １.２ 以上
• Ｊａｖａ ： Ｓｕｎ ＪＲＥ １.１ 以上
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ ソフトウェアを設定する場合、 管理者は、 ＪａｖａＳｃｒｉｐｔ、 Ｃｏｏｋｉｅ、 および
ＳＳＬ 対応のウェブ ブラウザを使う必要があります。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
12
ウェブ管理インターフェースの概要
以下は、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のウェブベース管理インターフェースに接続する場合の基本セッ
ションの概要です。 管理セッションと基本セットアップ タスクの詳細については、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ
２０００ 導入ガイドを参照してください。 ＳＳＬ-ＶＰＮ のウェブベース管理インターフェースにアクセスするに
は、 以下の手順に従います。
1. ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の Ｘ０ ポートにクロス ケーブルの片端を接続します。 ＳｏｎｉｃＷＡＬＬ
ＳＳＬ-ＶＰＮ 装置の管理に使っているコンピュータにケーブルのもう一方の端を接続します。
図 1 クロス ケーブルによる Ｘ０ ポートと管理ステーションの接続
3ONIC7!,,33,60.
8
▤ℂࠬ࠹࡯࡚ࠪࡦ
2. ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の管理に使うコンピュータの静的 ＩＰ アドレスが、 １９２.１６８.２００.２０ な
ど、 １９２.１６８.２００.ｘ ／ ２４ サブネットに入るように設定します。 コンピュータの静的 ＩＰ アドレスのセット
アップについては、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ ２０００ 導入ガイドを参照してください。
補足 インターネット エクスプローラ ５.０.１ 以上、 ネットスケープ ナビゲータ ４.７ 以上、 Ｍｏｚｉｌｌａ １.７ 以
上、 Ｆｉｒｅｆｏｘ など、 Ｊａｖａ と ＨＴＴＰ のアップロードをサポートしているウェブ ブラウザの使用を
お勧めします。
3. ウェブ ブラウザを開き、 場所またはアドレスフィールドに 〈https://192.168.200.1〉 （既定の ＬＡＮ 管
理 ＩＰ アドレス） を入力します。
4. セキュリティ警告が表示されます。 はいボタンを選択して次に進みます。
図 2 ＩＰ アドレスのアクセス時に表示されるセキュリティ警告
補足 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の設定では上記のブラウザの使用が認められていますが、 アプリ
ケーションの全スイートを利用するためには、 ＪａｖａＳｃｒｉｐｔ、 Ｊａｖａ、 Ｃｏｏｋｉｅ、 ＳＳＬ、 および ＡｃｔｉｖｅＸ
をサポートしている ＩＥ ５.０.１ 以上を使う必要があります。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
13
5. ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 管理インターフェースが表示されるので、 指示に従ってユーザ名とパス
ワードを入力します。 ユーザ名フィールドに ａｄｍｉｎ を入力し、 パスワード フィールドに ｐａｓｓｗｏｒｄ を
入力し、 ドメインドロップダウン リストから ＬｏｃａｌＤｏｍａｉｎ を選び、 ログイン ボタンを選択します。
図 3 ログイン画面
表示される既定のページは、 システム ＞ 状況ページです。 このページの詳細については、 16 ページ
「状況環境の概要」 を参照してください。
補足 環境に最初に表示される既定のページとして仮想オフィスポータルのホームページを入力した場合
は、 ユーザ権限しかないドメインを選択したことになります。 管理者権限は、 ＬｏｃａｌＤｏｍａｉｎ 認証ドメイン
からのみ実行できます。 管理者としてログインしたい場合は、 ログイン画面のドメイン リスト ボックスで、
ＬｏｃａｌＤｏｍａｉｎ を選択してください。
ブラウザ ウィンドウの左側にある システム、 ネットワーク、 ポータル、 ＮｅｔＥｘｔｅｎｄｅｒ、 ユーザ、 ログ、
および仮想オフィスの各メニューで、 管理設定を構成します。 ナビゲーション オプションのいずれかを選択
すると、 新しいナビゲーション リンクが表示されます。 ナビゲーション リンクを選択すると、 対応する管理
ウィンドウが表示されます。
ナビゲーション メニューのオンライン ヘルプ オプションには、 状況に応じたオンライン ヘルプが表示されま
す。 管理情報と手順については、 オンライン ヘルプを参照してください。
ナビゲーション メニューの一番下にあるログアウト オプションを選択すると、 管理セッションが終了し、 認
証ウィンドウが再表示されます。 ログアウトを選択した場合は、 再認証しなければシステムを管理すること
はできません。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
14
ウェブ インターフェースのレイアウト
以下の表に、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ のウェブ インターフェースのレイアウトを詳しく説明します。
表 2 ＳＳＬ-ＶＰＮ 装置のウェブ インターフェースのレイアウト
トップ メニュー
メニュー
オプション
システム
状況
装置の状況を表示する
時間
時間パラメータを設定する
設定
設定のインポート、 エクスポート、 および保管を行う
証明書
証明書のインポートまたは生成を行う
監視
帯域使用、 使用中のユーザ数、 ＣＰＵ 使用率 （％）、 およびメモリ使用
率 （％） のグラフを表示する
診断
診断セッションを実行する
再起動
システムを再起動する
インターフェース
装置のインターフェースを設定する
ＤＮＳ
ドメイン名を解決するように装置を設定する
ルート
デフォルト ルートと静的ルートを設定する
ホスト解決
ホスト名を解決する
ネットワーク オブ
ジェクト
ＩＰ アドレスをサービスにバインドする再利用可能なエンティティを作成する
ネットワーク
ポータル
ＮｅｔＥｘｔｅｎｄｅｒ
ユーザ
ログ
ポータル レイアウト 認証のためにユーザが ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ にリダイレクトされたとき
に表示する個別の待ち受けページを作成する
ドメイン
アクセス ポリシーを作成できる認証ドメインを作成する
個別ロゴ
ポータル ページに組織のロゴを作成する
クライアント ルート
ＮｅｔＥｘｔｅｎｄｅｒ アプリケーションで使うクライアント ルートを作成する
クライアント アドレ
ス
ＮｅｔＥｘｔｅｎｄｅｒ アプリケーションで使うクライアント アドレスを作成する
状況
ユーザとグループの状況を表示する
ローカル ユーザ
ローカル ユーザを設定する
ローカル グループ
ローカル グループを設定する
表示
機器で生成済みの Ｓｙｓｌｏｇ エントリを表示する
設定
ログ環境の設定を構成する
仮想オフィス
仮想オフィスポータルのホームページにアクセスする
オンライン ヘル
プ
オンライン ヘルプにアクセスする
ログアウト
装置からログアウトする
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
15
状況環境の概要
システム ＞ 状況ページ環境は、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 環境での作業の開始ポイントです。 ここに表
示される詳細情報から、 ご使用の ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置で何が発生しているかを把握することが
できます。
システム ＞ 状況ページには、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のライセンスと ＳｏｎｉｃＷＡＬＬ セキュリティ
サービスのライセンスの管理に役立つ幅広いさまざまな情報とリンクが提供されます。 ＳｏｎｉｃＷＡＬＬ 装置
に関する状況情報が、 システム メッセージ、 最近の警告、 システム情報、 ライセンスと登録、 およ
び ネットワーク インターフェースの ６ つのセクションに分けて表示されます。
図 4 システム ＞ 状況ページ
システム情報
最近の警告
システム
メッセージ
ライセンス
と登録
ネットワーク イン
ターフェース
以下の表は システム ＞ 状況ページの領域の詳細です。 .
表 3 システム ＞ 状況ページの領域
領域
説明
システム情報
その ＳＳＬ-ＶＰＮ 装置の、 基本的で標準的な詳細情報を表示します。 これら
の詳細情報は、 モデル番号、 シリアル番号、 認証コード、 現在の装置の
ファームウェア バージョン、 ＲＯＭ バージョン、 装置の ＣＰＵ 使用率とメモリ
使用率 （ システム ＞ 監視ページより ）、 システム日付とシステム時刻、 シ
ステムを最初に起動してからの経過時間 （ アップタイム ）、 そして使用中の
ユーザ数を含みます。
最近の警告
最近の侵入イベント、 特に、 変則的なシステムの動作やエラーに関してのテ
キストを表示します。 これらの情報は、 そのイベントの日付と時刻、 イベントが
発生したユーザのホスト、 イベントを特徴付ける簡単なテキスト メッセージを
含みます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
16
領域
説明
システム メッセージ
ＳＳＬ-ＶＰＮ 装置上の最近のイベント、 特にシステム設定の変更に関してのテ
キストを表示します。
ライセンスと登録
装置のシリアル番号と認証コード、 登録状況そしてユーザ ライセンスを表示し
ます。 また、 装置を手動で登録するための、 登録コードの入力フィールドを
表示します。
ネットワーク インターフェース
装置上のインターフェースのリストを、 設定された ＩＰ アドレスとリンク ステータ
スとともに表示します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
17
システム情報
このセクションには、 以下の情報が表示されます。
表 4 システム情報
フィールド
説明
モデル
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のタイプ
シリアル番号
ＳｏｎｉｃＷＡＬＬ 装置のシリアル番号または ＭＡＣ アドレス
認証コード
〈https://www.mysonicwall.com〉 の登録データベースで ＳｏｎｉｃＷＡＬＬ 装置
を認証する場合に使う英数字コード
ファームウェア バージョン
ＳｏｎｉｃＷＡＬＬ 装置にロードされているファームウェア バージョン
ＲＯＭ バージョン
ＲＯＭ バージョン
ＣＰＵ （使用率）
直前の ５ 分間の ＣＰＵ 平均使用率と ＳｏｎｉｃＷＡＬＬ 装置プロセッサのタイプ
システム時間
現在の実際の時間
アップタイム
最初に起動したときから現時点までの ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置がアク
ティブであった日数、 時間数、 分数、 および秒数
使用中のユーザ数
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置に現在ログインしているユーザの数
最近の警告
このセクションには、 システム イベントやシステム エラーに関連するメッセージが表示されます。 攻撃メッ
セージには、 ＡＶ 警告、 禁止する電子メール添付ファイル、 不正な証明書などが含まれます。 青色の
矢印を選択すると、 ログ ＞ 表示 ページが表示されます。 最近の警告セクションのフィールドは、 以下のと
おりです。
• 日付／時間 － メッセージが生成された日時
• ユーザ － メッセージを生成したタスクを実行しようとしたユーザの名前
• メッセージ － エラーを表す実際のメッセージ
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
18
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の登録
インターネット接続を確立したら、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置を登録することをお勧めします。
ＳｏｎｉｃＷＡＬＬ 装置の登録には、 以下のようなメリットがあります。
• ＳｏｎｉｃＯＳ ファームウェア更新にアクセスできる
• ＳｏｎｉｃＷＡＬＬ テクニカルサポートが得られる
• （ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置と併用する目的で購入した ＳｏｎｉｃＷＡＬＬ ファイアウォールがある場
合） ＳｏｎｉｃＷＡＬＬ 侵入防御サービス、 ＳｏｎｉｃＷＡＬＬ ゲートウェイ アンチウィルス、 コンテンツ フィルタ
サービス、 およびネットワーク アンチウィルスの ３０ 日間無料トライアルを試用できる
登録する前に
SSL-VPN を登録する際、 ＤＮＳ と時間が正しく設定されていることを確認します。 時間の設定は、 システ
ム ＞ 時間ページで行いす。 ＤＮＳ の設定は、 ネットワーク ＞ ＤＮＳ ページで行います。
SSL-VPN を登録するには、 ｍｙＳｏｎｉｃＷＡＬＬ アカウントが必要です。 新しい ｍｙＳｏｎｉｃＷＡＬＬ アカウント
は、 ＳｏｎｉｃＷＡＬＬ 管理インターフェースから直接作成できます。
補足 ｍｙＳｏｎｉｃＷＡＬＬ 登録情報は、 売却したり、 他の会社と共有したりされません。
ｍｙＳｏｎｉｃＷＡＬＬ での登録
1. SSL-VPN 管理インターフェースにログインしていない場合は、 ユーザ名 ａｄｍｉｎ と、 セットアップ ウィ
ザードで設定した管理者パスワードを使用してログインします。
2. 管理インターフェースにシステム ＞ 状況ページが表示されない場合は、 左側にあるナビゲーション メ
ニューでシステムを選択し、 次に状況を選択します。
3. 装置は、 ライセンスと登録セクションに表示されるシリアル番号と認証コードを使うことによって
〈https://www.mysonicwall.com〉 サイトで登録できます。 ＳｏｎｉｃＷＡＬＬ ウェブサイト リンクを選択する
と、 ｍｙＳｏｎｉｃＷＡＬＬ アカウントにアクセスします。 装置の登録完了後に認証コードが提供されます。
取得した登録コードを下記に入力してください。 という見出しの下のフィールドに登録コードを入力し、
更新を選択します。
図 5 ライセンスと登録
補足 ｍｙＳｏｎｉｃＷＡＬＬ アカウントをお持ちでない場合は、 〈https://www.mysonicwall.com〉 サイトで、
アカウントを新規に作成する必要があります。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
19
イベント ログの概要
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置は、 失敗したログイン試行、 ＮｅｔＥｘｔｅｎｄｅｒ セッション、 ログアウト イベント
などのシステム イベントを追跡するためのイベント ログを保持します。 このログは、 ログ ＞ 表示ページに表
示したり、 利便性やアーカイブのために電子メール アドレスに自動的に送信したりできます。
図 6 ログ ＞ 表示ページ
ログはテーブル形式で表示され、 列を基準に並べ替えることができます。 ＳｏｎｉｃＷＡＬＬ 装置は、 成功し
たログインやエクスポートされた設定などのイベントを通知することができます。 警告は、 電子メール アドレ
スまたは電子メール ページャのいずれかに即時に送信できます。
ログ エントリには、 イベントの日時、 およびイベントを説明する簡単なメッセージが含まれます。 ログ ページ
には、 ログ メッセージが、 並べ替え可能で検索可能なテーブルに表示されます。 ＳｏｎｉｃＷＡＬＬ
ＳＳＬ-ＶＰＮ 装置には、 ２５０ＫＢ のログデータまたは約 １,０００ 個のログ メッセージが保管できます。 ログ
ファイルがログ サイズ制限に達すると、 ログ エントリは消去され、 必要に応じて ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ
管理者の電子メール アドレスに送信されます。
ログ エントリに表示される情報は以下のとおりです。
表 5 ログ ページの列
列
説明
時間
タイムスタンプには、 ログ イベントの日時が ＹＹ ／ ＭＭ ／ ＤＤ ／ ＨＨ ／
ＭＭ ／ ＳＳ （年／月／日／時間／分／秒） の形式で表示される。 時間は
２４ 時間形式で表示される。 日時は、 システム ＞ 時間ページで設定された
ＳＳＬ-ＶＰＮ ゲートウェイのローカル時間に基づく
優先順位
イベントに関連付けられた重大度。 重大度の有効な値は、 緊急、 警告、
重大、 エラー、 警告、 通告、 情報、 およびデバッグ
送信元
送信元の ＩＰ アドレスは、 そのログ イベントを生成したユーザまたは管理者の
機器の ＩＰ アドレスを示す。 システム エラーなど、 送信元の ＩＰ アドレスが表
示されないイベントもある
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
20
列
説明
送信先
送信先の ＩＰ アドレスは、 そのイベントに関連付けられたサーバまたはサービ
スの名前または ＩＰ アドレスを示す。 例えば、 ユーザが ＳＳＬ-ＶＰＮ ポータル
を介してイントラネットのウェブ サイトにアクセスした場合、 対応するログ エント
リには、 アクセスしたウェブ サイトの ＩＰ アドレスまたは完全修飾ドメイン名
（ＦＱＤＮ） が表示される
ユーザ
メッセージが生成されたときに装置にログインしていたユーザの名前
メッセージ
ログ メッセージのテキスト
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
21
ログ設定の概要
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ は、 ウェブベースのログ、 Ｓｙｓｌｏｇ、 および電子メール警告メッセージをサポー
トしています。 また、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ は、 イベント ログ ファイルを消去する前に ＳＳＬ-ＶＰＮ 管
理者の電子メール アドレスに送信するように設定することもできます。
Ｓｙｓｌｏｇ は、 システム アクティビティとネットワーク アクティビティを記録する業界標準のログ プロトコルで
す。 Ｓｙｓｌｏｇ メッセージは、 ＷＥＬＦ （ＷｅｂＴｒｅｎｄｓ Ｅｎｈａｎｃｅｄ Ｌｏｇ Ｆｏｒｍａｔ） で送信されるので、 通
常の標準的なファイアウォールやネットワーク レポート製品はログ ファイルを受け取って解釈することができ
ます。 Ｓｙｓｌｏｇ サービスは、 ＵＤＰ ポート ５１４ で待機している外部の Ｓｙｓｌｏｇ サーバに Ｓｙｓｌｏｇ メッセー
ジを転送します。
図 7 ログ ＞ 設定ページ
ログと警告の設定を構成するには、 以下の手順に従います。
1. イベント ログの設定を始めるには、 左側のナビゲーション メニューのログ ＞ 設定 ページにナビゲートし
ます。
2. 主格 Ｓｙｓｌｏｇ サーバ フィールドに、 Ｓｙｓｌｏｇ サーバの ＩＰ アドレスまたは完全修飾ドメイン名 （ＦＱＤＮ）
を入力します。 Ｓｙｓｌｏｇ ログが必要ない場合は、 このフィールドを空白のままにしておきます。
3. 予備用または ２ つ目の Ｓｙｓｌｏｇ サーバがある場合は、 そのサーバの ＩＰ アドレスまたはドメイン名を副
格 Ｓｙｓｌｏｇ サーバ フィールドに入力します。
4. 電子メールでイベント ログ ファイルを受け取るには、 イベントログと警告領域のイベントログの電子メール
送信先フィールドに完全な電子メール アドレス （ｕｓｅｒｎａｍｅ@ｄｏｍａｉｎ.ｃｏｍ） を入力します。 イベント
ログ ファイルは、 イベント ログが消去される前に、 指定された電子メール アドレスに送信されます。 こ
のフィールドを空白のままにした場合、 ログ ファイルは電子メールで送信されません。
5. 電子メールで警告メッセージを受け取るには、 警告の電子メール送信先フィールドに完全な電子メー
ル アドレス （ｕｓｅｒｎａｍｅ@ｄｏｍａｉｎ.ｃｏｍ） または電子メール ページャ アドレスを入力します。 警告イ
ベントが発生すると、 指定された電子メール アドレスに電子メールが送信されます。 警告メッセージを
生成するイベントのタイプを、 ログ ＞ 設定ページのログと警告の種別領域で定義します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
22
このフィールドを空白のままにした場合、 警告メッセージは電子メールで送信されません。
6. ログ ファイルまたは警告メッセージを電子メール アドレスに送信するには、 メール サーバ フィールドに
メール サーバの ＤＮＳ 名または ＩＰ アドレスを入力します。
このフィールドを空白のままにした場合、 ログ ファイルと警告メッセージは電子メールで送信されませ
ん。
7. ログ ファイルを消去して管理者の電子メール アドレスに送信する時期をイベント ログの送信フィールドで
指定します。 オプション " 一杯のとき " を選択した場合、 イベント ログは、 ログ ファイルが一杯になっ
たときに電子メール アドレスに送信され、 送信後に消去されます。 "１ 日ごと " または "１ 週間ごと "
オプションを選択した場合、 ログ ファイルは １ 日に １ 回または １ 週間に １ 回電子メール アドレスに送
信されて削除されます。 "１ 日ごと " または "１ 週間ごと " を選択した場合は、 時間前にログ ファイル
が一杯になった場合もログ ファイルは消去されます。
8. ログ ＞ 表示ページで、 ログの消去ボタンを選択して、 現在のイベント ログを削除することができます。
イベント ログは電子メールで送信されません。
9. ログ ＞ 設定ページのログと警告の種別領域で Ｓｙｓｌｏｇ、 イベント ログ、 または警告メッセージとして識
別されるログ メッセージの重大度を定義します。 ログのカテゴリは、 重大度の高いものから低いものまで
設定されています。 特定のログ サービスに対してカテゴリを選択すると、 そのログ カテゴリとそれより重
大度の高いイベントがログに記録されます。
例えば、 イベント ログ サービスに対してエラー ラジオ ボタンを選択すると、 緊急、 警告、 重大、 お
よびエラーのすべてのイベントが内部のログ ファイルに記録されます。
10. 適用を選択して構成の設定を更新します。
ログ テーブルのエントリのナビゲートと並べ替え
ログ表示 ドロップダウン リストでは、 多数のログ イベントを簡単に閲覧できるようにページ付けがされていま
す。 これらのログ イベントにナビゲートするには、 以下の表で説明するファシリティを使用します。
表 6 ログ テーブルのナビゲーション ファシリティ
ナビゲーション ボタン
説明
検索
範囲リストで選択した範囲に基づき、 指定した設定を含むログを検索で
きます。 範囲には、 時間、 優先順位、 送信元、 送信先、 および
ユーザがあります。 検索結果にリストされる結果の順序は、 選択した範
囲のタイプによって異なります。
除外
検索条件に一致したログ以外のすべてのログ エントリを表示します。
表示するページ
エントリの数が多いために複数のページが表示される場合に、 ページを
指定してそのページのログ エントリを表示できます。 ログ エントリのページ
が 1 ページだけの場合、 このファシリティは表示されません。
リセット
検索結果をリセットして、 すべてのログを表示します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
23
使用中のユーザ数の概要
ユーザ ＞ 状況ページには、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置にログインしているアクティブなユーザ数と管
理者数が表示されます。
図 8 ユーザ ＞ 状況ページ
使用中のユーザ セッション ウィンドウには、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置ポータルまたは管理インター
フェースにログインしている現在のユーザまたは管理者が表示されます。 このウィンドウの列は以下のとおり
です。
表 7 アクティブなユーザの情報
列
説明
名前
ユーザの ＩＤ を示す文字列
グループ
ユーザが属するグループ
ＩＰ アドレス
ユーザがログインしているワークステーションの ＩＰ アドレス
ログイン時間
ユーザが ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置との接続を最初に確立した時間が、
曜日、 日付、 および時刻 （ＨＨ ： ＭＭ ： ＳＳ） で表される
ログイン経過時間
ユーザが ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置との接続を最初に確立してからの経
過時間が、 日数と時間数 （ＨＨ ： ＭＭ ： ＳＳ） で表される
無動作時間
ユーザが ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置に対してアクティブではない状態ま
たは無動作の状態だった時間
ログアウト
ユーザを装置からログアウトさせることができるアイコン
エントリには、 ユーザの名前、 ユーザが属するグループ、 ユーザの ＩＰ アドレス、 およびユーザがログイン
した時間を示すタイムスタンプが表示されます。 管理者は、 ユーザの右側に表示されているごみ箱アイコ
ンを選択することで、 直ちにユーザ セッションを終了してユーザをログアウトさせることができます。
ＳＳＬ-ＶＰＮ 装置上の現在のユーザについての詳細は、 第 4 章 「ユーザの設定」 を参照してください。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
24
時刻と日付の設定
時刻と日付を設定するには、 システム ＞ 設定ページにナビゲートします。 時刻と日付の設定は、 ログ イ
ベントのタイムスタンプやその他の内部の目的に使用されます。
時刻と日付を設定するには、 以下の手順に従います。
1. タイムゾーン ドロップダウン メニューで、 タイムゾーンを選択します。
2. 時刻と日付の設定を手動で定義するには、 希望する時刻 （２４ 時間形式） と日付を入力します。
3. 適用を選択して設定を更新します。
図 9 システム ＞ 時刻ページ
ＮＴＰ の設定
Ｎｅｔｗｏｒｋ Ｔｉｍｅ Ｐｒｏｔｏｃｏｌ （ ＮＴＰ ） を有効にすると、 ＮＴＰ の時刻設定が手動の時刻設定に優先しま
す。 ＮＴＰ の時刻設定は、 ＮＴＰ サーバと、 タイムゾーン メニューで選択したタイムゾーンによって決まりま
す。
ＮＴＰ を使って装置の時刻を設定するには、 以下の手順に従います。
1. ＮＴＰ を使用して自動的に時刻を調整するチェックボックスを選択します。
2. 更新間隔フィールドに、 時刻設定を ＮＴＰ サーバと同期する間隔を秒単位で入力します。 間隔を定義
しないと、 既定の更新間隔である ６４ 秒が自動的に選択されます。
3. ＮＴＰ サーバ １ フィールドに、 ＮＴＰ サーバの ＩＰ アドレスまたは完全修飾ドメイン名 （ＦＱＤＮ） を入力し
ます。
4. 冗長性がある場合は、 ＮＴＰ サーバ ２ と ＮＴＰ サーバ ３ の （オプション） フィールドに、 予備の ＮＴＰ
サーバ アドレスを入力します。
5. 適用を選択して設定を更新します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
25
ソフトウェアとシステムの使用の設定
システム ＞ 設定ページから、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の現在のシステム設定による以下のタスク
を実行することができます。
• バックアップ設定ファイルのエクスポート
• 設定ファイルのインポート
• 設定の保管
• ファイル設定の暗号化
• 変更後の設定の自動保管
図 10 システム ＞ 設定ページ
設定ファイルのインポート
構成の設定をバックアップ ファイルに保存し、 この保存した設定ファイルから後で設定をインポートすること
ができます。 バックアップ ファイル名は、 既定では ｓｓｌｖｐｎＳｅｔｔｉｎｇｓ.ｚｉｐ です。 設定ファイルをインポート
するには、 以下の手順に従います。
1. システム ＞ 設定ページに移動します。
2. 設定ファイルをインポートするには、 設定のインポートを選択します。 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ は設
定のインポート ダイアログ ボックスを表示します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
26
図 11 設定のインポート フォーム
3. 参照を選択して、 インポートしたい （設定が含まれている） ファイルが置かれている場所にナビゲートし
ます。 ファイルはどのような名前でも構いません。
4. アップロードを選択します。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ ＳｏｎｉｃＯＳ によって、 ファイルから設定がインポートされ、 装置がその設定
で再構成されます。
補足 システムを再設定する準備が整っていることを確認します。 ファイルをインポートすると、 直ちに既
存の設定が上書きされます。
5. ファイルのインポートが終了したら、 装置を再起動して変更を適用します。
バックアップ設定ファイルのエクスポート
構成の設定をバックアップ ファイルに保存またはエクスポートして、 この保存した設定ファイルを後でイン
ポートすることができます。 バックアップ ファイル名は、 既定では ｓｓｌｖｐｎＳｅｔｔｉｎｇｓ.ｚｉｐ です。 バックアッ
プ設定ファイルをエクスポートするには、 以下の手順に従います。
1. システム ＞ 設定ページに移動します。
2. 設定のバックアップ ファイルを保存するには、 設定のエクスポートを選択します。
使っているブラウザが、 設定ファイルを開くかどうかを尋ねます。
図 12 ファイルのダウンロード ダイアログ ボックス
3. 保存を選択し、 ＯＫ を選択します。
4. 設定ファイルを保存する場所を選択します。 ファイル名は、 既定では ｓｓｌｖｐｎＳｅｔｔｉｎｇｓ.ｚｉｐ ですが、
変更できます。
5. 保存を選択して設定ファイルを保存します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
27
設定の保存
最新の設定セッションで作成した設定を保存するには、 設定の保存を選択します。
変更後の設定の自動保存
システム ＞ 設定ページから、 現在の設定をフラッシュ メモリに保存することができます。 変更後に自動的
に設定を保存するチェックボックスを選択していると、 設定は自動的にフラッシュ メモリのファイルに保存さ
れます。 システムを再起動したとき、 この最新の設定が再ロードされます。 このチェックボックスを選択し
ない場合は、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置は、 再起動される度に設定を保存するよう促します。
設定ファイルの暗号化
セキュリティのために、 システム ＞ 設定ページで設定ファイルを暗号化することができます。 ただし、 設
定ファイルを暗号化すると、 トラブルシューティングの目的で編集したり確認したりできなくなります。
設定ファイルを暗号化するには、 設定ファイルを暗号化するチェックボックスを選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
28
証明書の管理
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ には、 事前インストール済みの ＳＳＬ 機能対応自己署名 Ｘ５０９ 証明書が添付
されています。 自己署名証明書の機能はすべて、 有名な認証局 （ＣＡ） から発行される証明書と同じで
すが、 信頼できるルート ストアにインポートするまでセキュリティ警告 「信頼できないルート ＣＡ 証明書で
す」 が発行されます。 このインポート手順を実行するには、 認証後にポータルで証明書のインポート ボタ
ンを選択します。
自己署名証明書の使用に代わるもう １ つの方法は、 証明書署名リクエスト （ＣＳＲ） を生成し、 有名な
ＣＡ に提出して有効な証明書を発行してもらうことです。 有名な ＣＡ には、 Ｖｅｒｉｓｉｇｎ
〈www.verisign.com〉 や ＲｅｇｉｓｔｅｒＦｌｙ 〈www.registerfly.com〉 などがあります。
補足 この装置には、 事前ロード済みの証明書が添付されています。
証明書署名リクエストの生成
Ｖｅｒｉｓｉｇｎ や Ｔｈａｗｔｅ などの幅広く認められている認証局から有効な証明書を入手するには、
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の証明書署名リクエストを生成しなければなりません。 証明書署名リクエス
トを生成するには、 以下の手順に従います。
1. システム ＞ 証明書ページにナビゲートします。
2. ＣＳＲ の生成を選択して ＣＳＲ と証明書鍵を生成します。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ が、 証明書署名リクエストの生成ダイアログ ボックスを表示します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
29
図 13 証明書署名リクエストの生成ダイアログ ボックス
3. ダイアログ ボックスのフィールドに入力し、 適用を選択します。
4. すべての情報が正しく入力されると、 ｃｓｒ.ｚｉｐ ファイルが作成されます。 この ｚｉｐ ファイルをディスクに
保存します。 このファイルを認証局に提出する必要があります。
証明書と発行者情報の表示
現在ロードされている ＳＳＬ 証明書は、 証明書テーブルにリストされます。 証明書と発行者情報を表示す
るには、 以下の手順に従います。
1. 証明書に対応する設定アイコンを選択します。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ が、 発行者情報や証明書のサブジェクト情報を確認できる証明書の編集ダ
イアログ ボックスを表示します。
図 14 証明書の編集ダイアログ ボックス
2. 証明書の編集ダイアログ ボックスから、 発行者情報や証明書のサブジェクト情報を確認することができ
ます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
30
3. 証明書の共通名を更新するには、 共通名フィールドに正しい ＩＰ アドレスまたは文字列を入力します。
4. 適用を選択して変更を適用します。
また、 期限切れの証明書や不正な証明書を削除することもできます。 証明書を削除するには、 ごみ
箱アイコンを選択します。
補足 ＳＳＬ 証明書がアクティブな場合は ごみ箱アイコンは利用できません。 証明書を削除するには、 別
の ＳＳＬ 証明書をアップロードしてアクティブにします。 これで、 証明書の表示ウィンドウから、 アクティブで
はない証明書を削除することができます。
証明書のインポート
証明書をインポートするには、 以下の手順に従います。
1. システム ＞ 証明書ページにナビゲートします。
システム ＞ 証明書ページから、 現在ロードされている証明書を確認したり、 デジタル証明書をアップ
ロードしたり、 新しい ＣＳＲ を生成したりできます。
図 15 システム ＞ 証明書ページ
2. 証明書のインポートを選択します。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ が、 証明書のインポート ダイアログ ボックスを表示します。
図 16 証明書のインポート ダイアログ ボックス
3. 参照を選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
31
4. ディスクまたはネットワーク ドライブ上でデジタル証明書の ｚｉｐ ファイルを探して選択します。 どのような
ファイル名でも受け入れられますが、 拡張子は ".ｚｉｐ" でなければなりません。 ｚｉｐ ファイルには、 証
明書ファイル ｓｅｒｖｅｒ.ｃｒｔ と証明書鍵ファイル ｓｅｒｖｅｒ.ｋｅｙ が入っています。 ｚｉｐ ファイルにこれらの
２ つのファイルが入っていないと、 その ｚｉｐ ファイルはアップロードされません。
5. アップロードを選択します。
証明書のアップロードが終了すると、 その証明書はシステム ＞ 証明書ページの証明書リストに表示さ
れます。
補足 公認の認証局 （ＣＡ） で生成された有効な証明書にはパスワードが必要です。
ＰＥＭ 証明書の追加
認証局が利用する署名された中間 （連鎖された） 証明書のような証明書チェーンと共に利用するため
の、 ＰＥＭ エンコード形式の追加の ＣＡ 証明書をインポートできます。
ＰＥＭ 証明書を追加するには、 以下の手順に従います。
1. システム ＞ 証明書にナビゲートします。
2. 追加の ＣＡ 証明書領域の、 証明書のインポートを選択します。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ は証明書のインポート ダイアログ ボックスを表示します。
3. 参照を選択します。
4. ＰＥＭ エンコードされたデジタル証明書の ｚｉｐ ファイルをディスク上かネットワークドライブにおき、 それを
選択します。 どのようなファイル名でもかまいませんが、 .ｚｉｐ の拡張子である必要があります。 ｚｉｐ ファ
イルは、 ｓｅｒｖｅｒ.ｃｒｔ という名の証明書ファイルと、 ｓｅｒｖｅｒ.ｋｅｙ という名の証明書鍵を含んでいま
す。 もし、 これらの ２ ファイルがはいっていなければ、 その ｚｉｐ ファイルはアップロードされません。
5. アップロードを選択します。
6. 証明書のアップロードが終わると、 システム ＞ 証明書ページの証明書リストに、 その証明書が表示さ
れます。
監視の概要
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置には、 装置の使用と処理能力を把握するためにユーザが設定して確認で
きる監視ツールが用意されています。 装置の監視機能を設定および確認するには、 以下の手順に従いま
す。
1. システム ＞ 監視ページにナビゲートします。
システム ＞ 監視ページが表示されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
32
図 17 システム ＞ 監視ページ
2. 以下の表に、 ４ つの異なる監視グラフについて説明します。
表 8 監視グラフのタイプ
グラフ
説明
使用帯域幅 （Ｋｂｐｓ）
毎時間、 毎日、 毎週、 または毎月測定した、 機器が送受信する １ 秒あ
たりのデータ容量を Ｋｂｐｓ 単位で示す
使用中のユーザ数
毎時間、 毎日、 毎週、 または毎月測定した、 装置にログインしているユー
ザの数。 この数値は、 ２、 ３、 ５ などの整数で表される
ＣＰＵ 使用率 （％）
毎時間、 毎日、 毎週、 または毎月測定した、 使用中の装置プロセッサに
おける処理能力使用量。 この数値は、 ＣＰＵ の全処理能力に対するパーセ
ントで表される
メモリ使用率 （％）
毎時間、 毎日、 毎週、 または毎月測定した、 装置で使用された利用可能
メモリの容量。 この数値は、 利用可能メモリの全容量に対するパーセントで表
される
3. これらのグラフに表示される監視結果の期間を変更するには、 監視期間リストから、 毎時間、 毎日、
毎週、 または毎月のいづれかの期間オプションを選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
33
個別ロゴの設定
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置ユーザ向けの組織ホームページの個別ロゴを設定することができます。 組
織の個別ロゴを作成するには、 以下の手順を実行します。
1. ポータル ＞ 個別ロゴ ページにナビゲートします。
図 18 ポータル ＞ 個別ロゴ ページ
2. アップロードするロゴ フィールドで、 参照 ... を選択し、 フォルダを参照してアップロードするログ ファイル
を入手します。
3. アップロードを選択します。 これで、 新しいロゴがユーザ向けホームページに表示されます。 仮想オ
フィスを選択してそのロゴを確認します。
補足 ロゴ ファイルは、 ＧＩＦ 形式でなければ、 ホームページにアップロードして表示できません。
診断の実行
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置からの Ｐｉｎｇ 診断を実行することができます。 実行するには、 以下の手順
に従います。
1. システム ＞ 診断ページにナビゲートします。
システム ＞ 診断ページが表示されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
34
図 19 システム ＞ 診断ページ
2. 診断ツール リストボックスで、 Ｐｉｎｇ オプションを選択します。
3. 対象先 ＩＰ アドレス／名前フィールドに、 Ｐｉｎｇ セッションの宛先の ＩＰ アドレスまたはドメイン名を入力しま
す。
4. 実行を選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
35
ＮｅｔＥｘｔｅｎｄｅｒ の設定
ＮｅｔＥｘｔｅｎｄｅｒ は、 ウィンドウズ ユーザのための ＳＳＬ-ＶＰＮ クライアントであり、 透過的にダウンロードさ
れ、 会社のネットワーク上で任意のアプリケーションを安全に実行できるようにします。 このクライアントは、
ＡｃｔｉｖｅＸ とネゴシエートするのにポイント ツー ポイント プロトコル （ＰＰＰ） アダプタ インスタンスを使用しま
す。 ＮｅｔＥｘｔｅｎｄｅｒ は、 リモート クライアントを継ぎ目なくローカル ネットワークの資源にアクセスさせま
す。
ＮｅｔＥｘｔｅｎｄｅｒ ＞ 状況ウィンドウは、 ＮｅｔＥｘｔｅｎｄｅｒ のアクティブなセッションを表示します。 また、 アク
ティブな ＮｅｔＥｘｔｅｎｄｅｒ セッションをログ アウトさせることもできます。
ＮｅｔＥｘｔｅｎｄｅｒ のクライアント ルートの追加
ＮｅｔＥｘｔｅｎｄｅｒ クライアント ルートは、 すべての ＮｅｔＥｘｔｅｎｄｅｒ クライアントが通過し、 リモート ユーザが、
ＳＳＬ-ＶＰＮ 接続を通してアクセスできるプライーベート ネットワークを決定します。
1. ＮｅｔＥｘｔｅｎｄｅｒ ＞ クライアント ルート ページにナビゲートします。
2. クライアント ルートの追加ボタンを選択します。
クライアント ルートの追加ダイアログ ボックスが表示されます。
図 20 クライアント ルートの追加ダイアログ ボックス
3. 送信先ネットワーク フィールドに、 ＮｅｔＥｘｔｅｎｄｅｒ によるアクセスを与える、 信頼できるネットワークの
ＩＰ アドレスを入力します。 例えば、 ネットワーク １９２.１６８.５０.０ ／ ２４ の ＤＭＺ に接続しようとしてい
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
36
て、 自分の ＬＡＮ ネットワーク １９２.１６８.１６８.０ ／ ２４ へのアクセスを与えるならば、
１９２.１６８.１６８.０ と入力します。
補足 オプションとして、 送信先ネットワークとサブネット マスクに ０.０.０.０ を入力すると、 ＮｅｔＥｘｔｅｎｄｅｒ
を通したすべての ＳＳＬ-ＶＰＮ クライアント トラフィックを通します。
4. サブネット マスク フィールドに適切なサブネット マスクを入力します。
5. 追加を選択します。
ＮｅｔＥｘｔｅｎｄｅｒ のアドレス範囲の設定
ＮｅｔＥｘｔｅｎｄｅｒ の ＩＰ 範囲は、 ＮｅｔＥｘｔｅｎｄｅｒ のセッションの間リモート ユーザに割り当てられる ＩＰ アドレス
の領域を定義します。 この範囲は、 サポート対象の、 同時に存在する ＮｅｔＥｘｔｅｎｄｅｒ の最大ユーザ数に
１ を足したものを満たす必要があります。 （ 例えば、 １５ ユーザは、 １９２.１６８.２００.１００ から
１９２.１６８.２００.１２５ のように １６ のアドレスが必要です。 ）
この範囲は、 ＳＳＬ-ＶＰＮ 装置が接続しているインターフェースと同じサブネットの中にあるべきです。
ＳＳＬ-ＶＰＮ 装置と同じセグメントに他のホストがある場合、 他に割り当てられたアドレスと重なったり衝突した
りしてはいけません。 以下のような方法で、 正しいサブネットを決定できます。
• ＮｅｔＥｘｔｅｎｄｅｒ の範囲を既定のままにしておく。 （ １９２.１６８.２００.１００ から １９２.１６８.２００.２００ ）
• 存在する ＤＭＺ のサブ ネットの中で、 範囲を選択する。 例えば、 ＤＭＺ が １９２.１６８.５０.０ ／ ２４ の
サブ ネットを使っていて、 ３０ の同時に存在する ＮｅｔＥｘｔｅｎｄｅｒ セッションをサポートしたいならば、 ま
だ使用されていない １９２.１６８.５０.２２０ から １９２.１６８.５０.２５０ を使える。
• 存在する ＬＡＮ のサブ ネットの中で、 範囲を選択する。 例えば、 ＬＡＮ が １９２.１６８.１６８.０ ／ ２４ の
サブ ネットを使っていて、 １０ の同時に存在する ＮｅｔＥｘｔｅｎｄｅｒ セッションをサポートしたいならば、 ま
だ使用されていない １９２.１６８.１６８.２４０ から １９２.１６８.１６８.２５０ を使える。
ＮｅｔＥｘｔｅｎｄｅｒ のアドレス範囲を指定するには、 以下の手順を実行します。
1. ＮｅｔＥｘｔｅｎｄｅｒ ＞ クライアント アドレス ページにナビゲートします。
ＮｅｔＥｘｔｅｎｄｅｒ ＞ クライアント アドレス ページが表示されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
37
図 21 ＮｅｔＥｘｔｅｎｄｅｒ ＞ クライアント アドレス ページ
2. クライアント アドレス範囲の開始フィールドに、 クライアント アドレス範囲の開始クライアント アドレスを
指定します。
3. クライアント アドレス範囲の終了フィールドに、 クライアント アドレス範囲の終了クライアント アドレスを
指定します。
補足 ＤＭＺ サブネット内で範囲を設定する場合は、 その値が使われていないことを確認してください。
ＬＡＮ サブネット内で範囲を設定する場合も、 その値が使われていないことを確認してください。
4. 適用を選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
38
ëÊ 3 èÕ
第3章
ネットワーク設定の構成
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の設定を始めるには、 ネットワーク インターフェース、 ＤＮＳ 設定、 ルー
ト、 ホスト解決を含む、 ネットワーク設定を構成する必要があります。 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の ＩＰ
設定とインターフェース設定は、 ネットワーク ＞ インターフェース ページから構成できます。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の管理者は、 インターフェース ウィンドウから、 主格 （Ｘ０） インター
フェースの ＩＰ アドレスを設定できます。 また、 必要に応じて、 追加インターフェースを設定することもでき
ます。
補足 外から内への ＳＳＬ-ＶＰＮ インターフェースとして設定できるのは、 ネットワーク インターフェース Ｘ０
のみです。 インターフェース Ｘ０ のみが ＳＳＬ-ＶＰＮ セッションを許可します。 ウェブ サーバはインター
フェース Ｘ０ でのみ ＳＳＬ-ＶＰＮ セッションを待機するので、 管理はインターフェース Ｘ０ からしか行えませ
ん。 ただし、 配備シナリオによっては、 インターフェース Ｘ１、 Ｘ２、 および Ｘ３ の使用が必要になることも
あります。 ターミナル サービス機器はインターフェース Ｘ１ に接続できます。
この章の構成は以下のとおりです。
• 40 ページ 「ウェブ管理ポートの設定」
• 40 ページ 「ネットワーク インターフェースの設定」
• 42 ページ 「ＤＮＳ 設定の構成」
• 43 ページ 「装置のデフォルト ルートの設定」
• 44 ページ 「装置の静的ルートの設定」
• 45 ページ 「ホスト解決の設定」
• 47 ページ 「ネットワーク オブジェクトの設定」
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
39
ウェブ管理ポートの設定
一つの公開 ＩＰ アドレスによる配備では、 ＨＴＴＰ および ＨＴＴＰＳ トラフィックが外部から ＳｏｎｉｃＷＡＬＬ
ＳＳＬ-ＶＰＮ 装置へ到達するように、 ゲートウェイ装置の既定の管理ポートを設定してください。
補足 ＨＴＴＰＳ は ＳＳＬ-ＶＰＮ の操作に必須ですが、 ＨＴＴＰ トラフィックの通過はオプションです。 ＨＴＴＰ
の通過を許可することによって、 ログイン画面へのユーザのアクセスには ＨＴＴＰ プロトコルを使えるものと
し、 その後のセッションは ＨＴＴＰＳ に移行させる、 といった使い方ができます。
ゲートウェイ装置の管理ポートを変更した後は、 どのインターフェースにおいても以降のゲートウェイ装置へ
のアクセスには新しいポートを使用しなければなりません。 例えば、 http://192.168.168.168:8080、 あ
るいは https://67.115.118.146:444 となります。
1. ゲートウェイ装置の ＨＴＴＰ 管理ポートを ８０８０ に設定します。 （あるいは、 ゲートウェイ装置の既定
ポート以外の未使用のポート）
2. ゲートウェイ装置の ＨＴＴＰＳ 管理ポートを ４４４ に設定します。 （あるいは、 ゲートウェイ装置の既定
ポート以外の未使用のポート）
ＳｏｎｉｃＯＳ で既定の管理ポートを変更するには、 以下の手順を実行します。
1. システム＞管理を選択します。
2. ウェブ管理設定のセクションまでスクロールします。
3. ＨＴＴＰ のポートを、 ８０ から別の未使用のポート、 例えば ８０８０ へ変更します。
4. ＨＴＴＰＳ のポートを、 ４４３ から別の未使用のポート、 例えば ４４４ へ変更します。
5. ページ上部にある適用ボタンを選択します。
補足 あるいは、 管理の要件によっては、 ウェブ インターフェースでの ＨＴＴＰ および ＨＴＴＰＳ 管理を無
効にすることもできます。 この場合、 ネットワーク管理タスクの実行を始める前に、 管理ポート番号を変更
して、 ＳｏｎｉｃＷＡＬＬ ＧＭＳ ネットワーク管理環境と互換性があるように ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置を
設定する必要があります。 これらのタスクを実行するには、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ２０００ 導入ガイドを
参照してください。
ネットワーク インターフェースの設定
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のポートが同じネットワーク上のファイアウォールまたはターゲット機器と通信
する場合は、 インターフェースに ＩＰ アドレスとサブネット マスクを割り当てる必要があります。
補足 Ｘ０ インターフェースが、 ＳＳＬ-ＶＰＮ のセッションと管理にアクティブな唯一のインターフェースで
す。
ＳＳＬ-ＶＰＮ 装置でインターフェースのこれらの設定を構成するには、 次の手順に従います。
補足 Ｘ０ インターフェースの ＩＰ アドレスが変更されると、 ＳＳＬ-ＶＰＮ サービスは自動的に再起動されま
す。 これによって既存のユーザ セッションはすべて切断されるので、 再接続する必要があります。
1. ネットワーク ＞ インターフェース ページにナビゲートします。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
40
図 1 ネットワーク ＞ インターフェース ページ
2. 希望のインターフェースに対応する設定アイコンを選択します。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ が、 インターフェースの編集ダイアログ ボックスを表示します。
図 2 インターフェースの編集ダイアログ ボックス
3. ＩＰ アドレス フィールドに ＩＰ アドレスを入力します。
4. サブネット マスク フィールドにサブネット マスクを入力します。
5. ＯＫ を選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
41
ＤＮＳ 設定の構成
ホスト名および ＵＲＬ 名を対応する ＩＰ アドレスへ解決できるようにするため、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装
置のためのドメイン ネーム サービス （ＤＮＳ） サーバを設定することができます。 これにより、
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置は、 その ＤＮＳ へ接続し、 完全修飾ドメイン名 （ＦＱＤＮ） を使ってサイト
の解決を行うことができます。
ネットワーク ＞ ＤＮＳ ページで、 ＳＳＬ-ＶＰＮ 管理者は、 ホスト名、 ＤＮＳ サーバ アドレス、 および ＷＩＮＳ
サーバ アドレスを設定できます。 ＷＩＮＳ サーバの設定はオプションですが、 ＤＮＳ サーバの設定は必須で
す。
1. ネットワーク ＞ ＤＮＳ ページにナビゲートします。
ＤＮＳ サーバを設定するには、 以下の手順に従います。
図 3 ネットワーク ＞ ＤＮＳ ページ
2. ホスト名領域の ＳＳＬ-ＶＰＮ ゲートウェイ ホスト名フィールドに、 ＳＳＬ-ＶＰＮ 装置のホスト名を入力し
ます。
3. ＤＮＳ 設定領域の主格 ＤＮＳ サーバ フィールドに、 主格 ＤＮＳ サーバのアドレスを入力します。
4. ＤＮＳ 設定領域の副格 ＤＮＳ サーバ フィールドには、 オプションで副格 ＤＮＳ サーバのアドレスを入力し
ます。
5. ＤＮＳ 設定領域の ＤＮＳ ドメイン フィールドには、 オプションで ＤＮＳ ドメインのアドレスを入力します。
6. ＷＩＮＳ 設定領域の主格 ＷＩＮＳ サーバ フィールドには、 オプションで主格 ＷＩＮＳ サーバのアドレスを入
力します。
7. ＷＩＮＳ 設定領域の副格 ＷＩＮＳ サーバ フィールドには、 オプションで副格 ＷＩＮＳ サーバのアドレスを入
力します。
8. 適用を選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
42
装置のデフォルト ルートの設定
リモート ネットワークと通信できるように ＳＳＬ-ＶＰＮ 装置の既定ゲートウェイを設定する必要があります。 リ
モート ネットワークとは、 装置独自のネットワークとは異なる任意の ＩＰ サブネットです。 一般に、 既定ゲート
ウェイは、 ＳＳＬ-ＶＰＮ の接続先の ＳｏｎｉｃＷＡＬＬ ファイアウォール インターフェースの ＩＰ アドレスになりま
す。 これがこの装置のデフォルト ルートです。
管理者は、 ネットワーク ＞ ルート ページから、 既定のネットワーク ルートを定義したり、 別の静的ルート
を追加したりできます。 静的ルートはオプションですが、 既定のネットワーク ルートはインターネット アクセス
に必須です。 デフォルト ルートや静的ルートの詳細については、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ２０００ 導入ガイ
ドを参照してください。
デフォルト ルートを設定するには、 以下の手順に従います。
1. ネットワーク ＞ ルート ページにナビゲートします。
図 4 ネットワーク ＞ ルート ページ
2. デフォルト ゲートウェイ フィールドに、 ＳＳＬ-ＶＰＮ がネットワークに接続する場合に通るファイアウォー
ルの ＩＰ アドレスまたはその他のゲートウェイ機器の ＩＰ アドレスを入力します。 このアドレスが装置のデ
フォルト ルートとして機能します。
3. インターフェース リストボックスで、 ネットワークへの接続インターフェースの役割を果たすインター
フェースを選択します。 一般に、 このインターフェースは Ｘ０ になります。
4. 適用を選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
43
装置の静的ルートの設定
ネットワークのトポロジーに基づき、 既定のゲートウェイを通って特定のサブネットにアクセスするよりも、 特
定のサブネットへの静的ルートを設定することが必要になる、 またはそのほうが好ましい場合があります。 デ
フォルト ルートは機器の既定ゲートウェイですが、 ＳＳＬ-ＶＰＮ 装置が他のネットワークにもアクセスできるよ
うにする必要がある場合は静的ルートを追加することができます。 ルーティングや静的ルートの詳細につい
ては、 標準的な Ｌｉｎｕｘ の参考書を参照してください。
装置の明示的な宛先への静的ルートを設定するには、 以下の手順に従います。
1. ネットワーク ＞ ルート ページにナビゲートします。
2. 静的ルートの追加ボタンを選択します。
静的ルートの追加ダイアログ ボックスが表示されます。
図 5 静的ルートの追加ダイアログ ボックス
3. 送信先ネットワーク フィールドに、 静的ルートを定義したいサブネットまたはホストを指定します。
（例、 １９２.１６８.２２０.０）
4. サブネット マスク フィールドに、 前項で指定したネットワークまたはホストに対応するサブネット マスクの
値を入力します。 （例、 ２５５.２５５.２５５.０ またはホストに対し ２５５.２５５.２５５.２５５）
5. デフォルト ゲートウェイ フィールドに、装置をネットワークに接続するルータの ＩＰ アドレスを入力します。
6. インターフェース リストボックスで、 装置をネットワークに接続するインターフェースを選択します。
7. 追加を選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
44
ホスト解決の設定
ホスト解決ページで、 ネットワーク管理者は、 ホスト名または完全修飾ドメイン名 （ＦＱＤＮ） を ＩＰ アドレス
に設定つまりマップすることができます。
補足 ホスト解決エントリは、 ＳＳＬ-ＶＰＮ 装置自体で自動的に作成されます。 削除しないでください。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置は、 ＮｅｔＢＩＯＳ クライアントと ＷＩＮＳ （Ｗｉｎｄｏｗｓ Ｉｎｔｅｒｎｅｔ Ｎａｍｉｎｇ
Ｓｅｒｖｉｃｅ） クライアントの両方として機能し、 ローカル ネットワークのホスト名と、 対応する ＩＰ アドレスを認
識することができます。
ホスト名を ＩＰ アドレスに解決するには、 以下の手順に従います。
1. ネットワーク ＞ ホスト解決ページにナビゲートします。
ネットワーク ＞ ホスト解決ページが表示されます。
図 6 ネットワーク ＞ ホスト解決ページ
2. ホスト名の追加を選択します。 ホスト名の追加ダイアログ ボックスが表示されます。
図 7 ホスト名の追加 ダイアログ ボックス
3. ＩＰ アドレス フィールドに、 ホスト名にマップする ＩＰ アドレスを入力します。
4. ホスト名フィールドに、 指定した ＩＰ アドレスにマップするホスト名を入力します。
5. エイリアス フィールドに、 ホスト名のエイリアスである文字列を入力します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
45
6. 追加を選択します。 これで、
ホスト解決ページに、 下図のように新しいホスト名が表示されます。
図 8 ホスト解決ページ
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
46
ネットワーク オブジェクトの設定
便宜上、 サービスとそのサービスにマップされている ＩＰ アドレスの両方を含むエンティティを作成することが
できます。 このエンティティをネットワーク オブジェクトといいます。 これを使えば、 ポリシーを適用するときに
サービスを明示的な宛先に指定することが簡単になります。 サービスと ＩＰ アドレスの両方を指定しなくても、
ネットワーク オブジェクトを参照するだけで済みます。
ネットワーク オブジェクトを作成するには、 以下の手順に従います。
1. ネットワーク ＞ ネットワーク オブジェクト ページにナビゲートします。
ネットワーク ＞ ネットワーク オブジェクト ページが表示されます。
図 9 ネットワーク ＞ ネットワーク オブジェクト ページ
2. ネットワーク オブジェクトの追加ボタンを選択します。
ネットワーク オブジェクトの追加ダイアログ ボックスが表示されます。
図 10 ネットワーク オブジェクトの追加ダイアログ ボックス
3. 名前フィールドに、 作成するネットワーク オブジェクトの名前にする文字列を入力します。
4. サービス リストを選択し、 サービスのタイプを選択します。
5. 追加を選択します。
ネットワーク ＞ ネットワーク オブジェクト ページのネットワーク オブジェクト リストに、新しいネットワーク
オブジェクトが表示されます。
6. 作成したネットワーク オブジェクトにアドレスを割り当てるには、 設定アイコンを選択します。
ネットワーク オブジェクトの編集ダイアログ ボックスが表示されます。 ここでは、 ネットワーク オブジェク
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
47
ト名とそれに関連付けられているサービスが表示されることに注意してください。 また、 ネットワーク オブ
ジェクトにマップされた既存のアドレスを含むアドレス リストも表示されます。 ネットワーク オブジェクトに対
して作成する新しいアドレスは、 このリストに表示されます。
図 11 ネットワーク オブジェクトの編集ダイアログ ボックス
7. 追加を選択します。
オブジェクト アドレスの定義ダイアログ ボックスが表示されます。
図 12 オブジェクト アドレスの定義ダイアログ ボックス
8. オブジェクト種別リストを選択し、 オブジェクトのタイプを選択します。
オブジェクトには次の ２ つのタイプがあります。
• ＩＰ アドレス － 明示的な ＩＰ アドレス .
• ＩＰ ネットワーク － 開始アドレスとサブネット マスクの両方で定義される ＩＰ アドレスの範囲
9. 選択したオブジェクトのタイプに関する適切な情報を入力します。
• オブジェクトのタイプが ＩＰ アドレスの場合は、 ＩＰ アドレス フィールドに ＩＰ アドレスを入力します。
• オブジェクトのタイプがネットワーク アドレスの場合は、 ネットワーク アドレス フィールドに開始 ＩＰ アド
レスを入力し、 サブネット マスク フィールドにサブネット マスクを入力します。
10. 追加を選択します。
ネットワーク オブジェクトの編集ダイアログ ボックスのアドレス リストに、 ＩＰ アドレスが表示されます。 以
下の図に例を示します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
48
図 13 新しいネットワーク範囲が表示されたネットワーク オブジェクトの編集
11. 閉じるを選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
49
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
50
ëÊ 4 èÕ
第4章
ユーザ アクセス ポリシーとグループ アク
セス ポリシーの設定
この章では、 ユーザとグループを定義し、 そのユーザとグループのために ＳＳＬ-ＶＰＮ アクセス ポリシーと
ブックマークを設定する方法を説明します。 ポリシーは、 ＳＳＬ-ＶＰＮ 装置で定義されているオブジェクトに
さまざまなレベルでアクセスできるようにします。
この章は以下のセクションで構成されます。
• 52 ページ 「アクセス ポリシーの概念」
• 52 ページ 「グループの設定」
• 54 ページ 「グループ ポリシーの編集」
• 55 ページ 「グループ ブックマークの設定」
• 57 ページ 「ＬＤＡＰ 認証ドメインのグループ設定」
• 61 ページ 「アクティブ ディレクトリ、 ＮＴ、 および ＲＡＤＩＵＳ ドメインのグループ設定」
• 62 ページ 「ユーザの設定」
• 62 ページ 「新規ユーザの追加」
• 64 ページ 「ユーザの編集」
• 65 ページ 「ユーザ ポリシーの編集」
• 69 ページ 「ユーザ ブックマークの編集」
• 70 ページ 「ログイン ポリシーの設定」
• 74 ページ 「グローバル設定の編集」
• 74 ページ 「グローバル設定」
• 77 ページ 「アクセス ポリシー階層」
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
51
アクセス ポリシーの概念
アクセス ポリシーは、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の各種オブジェクトにさまざまなレベルでアクセスでき
るようにするものです。 ＳＳＬ-ＶＰＮ は、 特定の装置に対するアクセス レベルを制御します。 設定可能なア
クセス レベルは、 グローバル、 グループ、 ユーザの ３ レベルです。 特定の ＩＰ アドレス、 ＩＰ アドレス範
囲、 全アドレス、 またはネットワーク オブジェクトに対してアクセス ポリシーを作成することによって、 アクセ
スを遮断または許可することができます。
グループの設定
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のローカル ユーザまたはローカル グループ ウィンドウを表示するには、 ウェ
ブ ブラウザから ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置にログインします。
• ユーザを表示するには、 ユーザ ＞ ローカル ユーザ ページにナビゲートする
• グループを表示するには、 ユーザ ＞ ローカル グループ ページにナビゲートする
ドメインを作成するとグループが自動的に作成されることに注意してください。 ドメインは、 ポータル ＞ ドメ
イン ページで作成することができます。 ユーザ ＞ ローカル グループ ウィンドウからグループを直接作成す
ることもできます。
次は、 ユーザ ＞ ローカル グループ ページの例です。
図 1 ユーザ ＞ ローカル グループ ページ
新規グループの追加
ユーザ ＞ ローカル グループ ウィンドウに次の ２ つの既定のオブジェクトがあります。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
52
• グローバル ポリシー － 組織内のすべてのノードのアクセス ポリシーです。
• ＬｏｃａｌＤｏｍａｉｎ － ＬｏｃａｌＤｏｍａｉｎ グループは、 既定の ＬｏｃａｌＤｏｍａｉｎ 認証ドメインに対応して自動
的に作成されます。 これは、 特に指定がなかったときローカル ユーザが追加される既定のグループで
す。
新規のグループを作成するには、 以下の手順を実行します。
1. グループの追加を選択します。 ローカル グループの追加ウィンドウが表示されます。
図 2 ローカル グループの追加ダイアログ ボックス
2. グループの記述名をグループ名フィールドに入力します。
3. 適切なドメインをドメイン メニューで選択します。 ドメインがグループにマッピングされます。
4. 追加を選択して設定を更新します。 グループを追加すると、 新規のグループはローカル ユーザまたは
ローカル グループ ウィンドウに追加されます。
設定したすべてのグループがローカル グループ ウィンドウに表示されます。 グループはアルファベット順で
表示されます。
グループの削除
グループを削除するには、 ローカル グループ テーブル内の削除したいグループのごみ箱アイコンを選択し
ます。 ローカル グループ ウィンドウが表示され、 削除されたグループが定義済みグループのリストから消え
ます。
補足 ユーザの追加されたグループ、 および認証ドメインに対して作成された既定のグループを削除する
ことはできません。 認証ドメインの既定のグループを削除するには、 対応するドメインを削除します （ローカ
ル グループ テーブルでグループを削除することはできません）。 認証ドメインの既定のグループ以外につい
ては、 最初にグループ内のすべてのユーザを削除します。 その後、 ローカル グループ テーブル上でグ
ループを削除することができます。
グループの編集
グループを編集するには、 ローカル グループ テーブル内の編集したいグループの設定アイコンを選択しま
す。 グループ設定の編集ダイアログ ボックスが表示されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
53
図 3 グループ設定の編集ダイアログ ボックス
グループ名、 ドメイン名、 無動作タイムアウトなどの、 全般的なグループ情報が表示されます。 グルー
プ名とドメイン名フィールドは設定できません。
このグループ内のユーザの無動作タイムアウトを設定するには、 次の手順を実行します。
1. 許容する無動作時間 （分） を無動作タイムアウト フィールドに入力します。
2. 適用を選択して設定の変更を保存します。
無動作タイムアウトは、 ユーザ、 グループ、 グローバルの各レベルで設定できます。 タイムアウトをユーザ
とグループのレベルで ０ に設定すると、 グローバル タイムアウトの設定が使われます。 複数のレベルでタイ
ムアウトを設定した場合、 ユーザ タイムアウトの設定がグループ タイムアウトより優先され、 グループ タイム
アウトがグローバル タイムアウトより優先されます。
最大タイムアウト時間は １００， ０００ 分を超えます。 しかし、 グローバル設定の編集ページでタイムアウト
を ０ に設定すると、 無動作タイムアウトは無効になります （ユーザとグループの無動作タイムアウトも ０ に
設定した場合）。
グループ ポリシーの編集
グループ アクセス ポリシーでは、 すべてのトラフィックが既定で許可されます。 追加の許可および拒否ポリ
シーを、 送信先アドレスまたはアドレス範囲か、 サービス種別ごとに作成することができます。
ポリシーは限定的な方が優先されます。 例えば、 特定の ＩＰ アドレスに適用されるポリシーは ＩＰ アドレス範
囲に適用されるポリシーよりも優先されます。 特定の ＩＰ アドレスに適用されるポリシーが ２ つあるときは、
特定のサービス （ＲＤＰ など） に関するポリシーがすべてのサービスに関するポリシーよりも優先されます。
補足 ユーザ ポリシーはすべてのグループ ポリシーよりも優先され、 グループ ポリシーはすべてのグロー
バル ポリシーよりも優先されます。 これはポリシーの定義と関係ありません （すべての ＩＰ アドレスへのアク
セスを許可するユーザ ポリシーは、 特定の ＩＰ アドレスへのアクセスを拒否するグループ ポリシーよりも優
先されます）。 詳細については、 この章の最後のセクション 「アクセス ポリシー階層」 を参照してください。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
54
グループ アクセス ポリシーを定義するには、 ポリシーの追加を選択します。 ポリシーの追加ダイアログ
ボックスが表示されます。
図 4 ポリシーの追加ダイアログ ボックス
1. ポリシーの適用先メニューで、 定義済みネットワーク オブジェクト、 個別ホスト、 アドレス範囲、 全アド
レスのどれを適用先とするかを選択します。
2. ポリシーの名前をポリシー名フィールドに指定します。
補足 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のポリシーは、 ＳＳＬ-ＶＰＮ 接続の送信元アドレスではなく、 送信先
アドレスに適用されます。 インターネット上の特定の ＩＰ アドレスがポリシー エンジンを通じて ＳＳＬ-ＶＰＮ
ゲートウェイの認証を受けることを許可または阻止することはできません。 この種のポリシーは、 ファイア
ウォール ルールで定義する必要があります。 ユーザのログイン ポリシー ページから ＩＰ アドレスで送信元の
ログインを制御することは可能です。
3. ポリシーを定義済みネットワーク オブジェクトに適用する場合は、 ネットワーク オブジェクトを選択して、
適用するオブジェクトを選択します。
• ポリシーを特定のホストに適用する場合は、 ＩＰ アドレス を選択して、 ローカル ホスト コンピュータ
の ＩＰ アドレスを入力します。
• ポリシーをアドレス範囲に適用する場合は、 ＩＰ アドレス範囲を選択して、 ＩＰ ネットワーク アドレスと
サブネット マスクを入力します。
4. サービスの種類をサービス メニューから選択します。 ポリシーの適用先がネットワーク オブジェクトの場
合は、 そのネットワーク オブジェクト定義されたサービスが使用されます。
5. 状況メニューから許可または拒否を選択して特定のサービスまたはホスト コンピュータの ＳＳＬ-ＶＰＮ 接
続を許可または拒否します。
6. 追加を選択して設定を更新します。 設定の更新後、 新しいグループ ポリシーがグループ設定の編集
ウィンドウに表示されます。
グループ ポリシーは、 グループ ポリシー リストに優先度の高いものから順番に表示されます。
グループ ブックマークの設定
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のブックマークは、 頻繁に接続するローカル エリア ネットワーク上のコン
ピュータに ＳＳＬ-ＶＰＮ ユーザが簡単にアクセスできるようにする仕組みです。 グループ ブックマークは、
特定のグループのすべてのメンバーに適用されます。 グループ ブックマークを定義するには、 以下の手順
を実行します。
1. ユーザ ＞ ローカル グループ ウィンドウにナビゲートします。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
55
2. ブックマークを作成したいグループの設定アイコンを選択します。
グループ設定の編集ダイアログ ボックスが表示されます。
図 5 グループ設定の編集ダイアログ ボックス
3. ブックマークの追加を選択します。
ブックマークの追加ウィンドウが表示されます。
図 6 ブックマークの追加ダイアログ ボックス
グループ ブックマークを定義すると、 グループのメンバー全員が ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置ポータル
で定義済みのブックマークを見ることができます。 グループの個々のメンバーがグループ ブックマークを削
除または変更することはできません。 グループ ブックマークを編集または追加するには、 以下の手順を実
行します。
1. ブックマークの名前となる文字列をブックマーク名フィールドに入力します。
2. 完全修飾ドメイン名 (FQDN)、 またはブックマープをマッピングするコンピュータの ＩＰ アドレスを名前また
は ＩＰ アドレス フィールドに入力します。
3. サービスの種類をサービス メニューで選択します。 次のいずれかのサービスをブックマークにマッピング
する場合は、 ここで手順 ５ に進みます。
• 仮想ネットワーク コンピューティング （ＶＮＣ）
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
56
• ファイル転送プロトコル （ＦＴＰ）
• Ｔｅｌｎｅｔ
• セキュア シェル （ＳＳＨ）
• ウェブ （ＨＴＴＰ）
• セキュア ウェブ （ＨＴＴＰＳ）
• ファイル共有 （ＣＩＦＳ ／ ＳＭＢ）
4. ＲＤＰ５ または ＲＤＰ４ を選択すると、 ＳＳＬ-ＶＰＮ 装置のブックマークの追加ダイアログ ボックスに画面
サイズ フィールドが表示されます。
図 7 ブックマークの追加ダイアログ ボックス
補足 画面サイズはコンピュータによって異なるので、 リモート デスクトップ アプリケーションを使用するとき
は、 リモート デスクトップ セッションの実行元のコンピュータのサイズを選択する必要があります。 また、 場
合によってはリモート コンピュータ上のアプリケーションのパスをアプリケーション パス フィールドで指定する必
要があります。
5. 追加を選択して設定を更新します。 設定の更新後、 新しいグループ ブックマークがグループ設定の
編集ウィンドウに表示されます。
ＬＤＡＰ 認証ドメインのグループ設定
補足 マイクロソフトのアクティブ ディレクトリ データベースでは、 ＬＤＡＰ 組織スキーマが使われます。 アク
ティブ ディレクトリ データベースの問い合わせには Ｋｅｒｂｅｒｏｓ 認証 （標準の認証 － ＳｏｎｉｃＷＡＬＬ
ＳＳＬ-ＶＰＮ 装置では " アクティブ ディレクトリ " ドメイン認証と呼ぶ）、 ＮＴＬＭ 認証 （ＳｏｎｉｃＷＡＬＬ
ＳＳＬ-ＶＰＮ 装置では ＮＴ ドメイン認証と呼ぶ）、 または ＬＤＡＰ データベース問い合わせを使用します。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置で設定された ＬＤＡＰ ドメインがアクティブ ディレクトリ サーバの認証を受け
ることができます。
ＬＤＡＰ （Ｌｉｇｈｔｗｅｉｇｈｔ Ｄｉｒｅｃｔｏｒｙ Ａｃｃｅｓｓ Ｐｒｏｔｏｃｏｌ） は、 ディレクトリの問い合わせと更新のための標
準です。 ＬＤＡＰ は多層的な階層 （例えば、 グループや組織単位） をサポートしているので、
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置は、 この情報を問い合わせ、 ＬＤＡＰ 属性に基づいて特定のポリシーまた
はブックマークを提供することができます。 ＬＤＡＰ 属性を設定することで、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置
管理者は、 ＬＤＡＰ またはアクティブ ディレクトリ データベースに既に設定されているグループを利用できる
ので、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置で同じグループを手動で作り直さなくて済みます。
ＬＤＡＰ 認証ドメインを作成すると、 既定の ＬＤＡＰ グループが ＬＤＡＰ ドメインと同じ名前で作成されます。
このドメインでグループを追加または削除することもできますが、 既定の ＬＤＡＰ グループは削除できませ
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
57
ん。 ＬＤＡＰ 属性を作成されたユーザが仮想オフィス ホーム ページに入ると、 当該ユーザのグループに対
して作成したブックマークがブックマーク テーブルに表示されます。
ＬＤＡＰ グループについては ＬＤＡＰ 属性を定義できます。 例えば、 ＬＤＡＰ グループのユーザは ＬＤＡＰ
サーバで定義されている特定のグループまたは組織単位のメンバーでなければならないというような指定が
できます。 あるいは特定の ＬＤＡＰ 識別名を指定することもできます。
グループの ＬＤＡＰ 属性を追加して、 ユーザが仮想オフィス環境に入ったとき、 設定されているブックマー
クが表示されるようにするには、 以下の手順を実行します。
1. ポータル ＞ ドメイン ページにナビゲートします。
ポータル ＞ ドメイン ページが表示されます。
図 8 ポータル ＞ ドメイン ページ
2. ドメインの追加を選択します。
ドメインの追加ダイアログ ボックスが表示されます。
図 9 ドメインの追加ダイアログ ボックス
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
58
3. 認証種別 リスト ボックスで、 ＬＤＡＰ 認証オプションを選択します。
4. ドメイン名フィールドに、 作成する新しいドメインの名前となる文字列を入力します。 これはユーザのロ
グイン ページのドメイン リスト ボックスに表示されるドメイン名です。 この名前を ＬＤＡＰ ／アクティブ ディ
レクトリ ドメイン名と一致させる必要はありませんが、 ユーザにとってわかりやすい名前を使用してくださ
い。 実際の ＬＤＡＰ ／アクティブ ディレクトリ ドメイン名など、 ユーザに馴染みの名前を使うことをお勧め
します。
5. サーバ アドレス フィールドに、 認証 ＬＤＡＰ サーバの ＩＰ アドレスを入力します。
6. ＬＤＡＰ ＢａｓｅＤＮ フィールドに、 ＬＤＡＰ ツリーの基本識別名となる変数文字列を入力します。 例え
ば、 ｃｎ ＝ ｕｓｅｒｓ， ｄｃ ＝ ｍｏｏｓｉｆｅｒ， ｄｃ ＝ ｃｏｍ。 この文字列は、 引用符なしで入力しなければ
なりません。
7. ポータル レイアウト名リスト ボックスで、 希望のレイアウトを選択します。
8. ログイン時にクライアント証明書の提示を要求する場合は、 クライアント デジタル証明書を要求する
チェック ボックスをオンにします。 このチェック ボックスをオンにすると、 クライアントはクライアント証明
書の提示が必要になるので、 強固な相互認証が実現されます。
9. ユーザ ＞ ローカル グループ ページで、 設定オプションを選択します。
グループ設定の編集ページに、 ＬＤＡＰ 属性のフィールドが表示されます。
図 10 グループ設定の編集ダイアログ ボックスの ＬＤＡＰ 属性フィールド
10. オプションとして、 一つまたは複数の ＬＤＡＰ 属性フィールドに適切な名前を入力することができます。
ここでは、 名前＝値という形式で一連の ＬＤＡＰ 属性を追加します。 ＬＤＡＰ 属性の完全なリストについ
ては、 ＳｏｎｉｃＷＡＬＬ ＬＤＡＰ 属性マニュアルを参照してください。
一般的な例としては、 属性フィールドに ｍｅｍｂｅｒＯｆ ＝属性を入力します。 これには次の一般変数
種別をまとめて指定できます。
ＣＮ ＝ － 一般名。 ＤＮ ＝ － 識別名。 ＤＣ ＝ － ドメイン コンポーネント
ｍｅｍｂｅｒＯｆ 行に変数をまとめて指定するときは、 全体を引用符で囲む必要があります。 変数と変数
の間はカンマで区切ります。 ＣＮ および ＤＣ 変数を使用する場合の構文は次のようになります。
ｍｅｍｂｅｒＯｆ ＝ "ＣＮ ＝ <ｓｔｒｉｎｇ>，ＤＣ ＝ <ｓｔｒｉｎｇ>
次は、 ＣＮ および ＤＣ 変数を使用した場合の ＬＤＡＰ 属性フィールドの入力例です。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
59
ｍｅｍｂｅｒＯｆ ＝” ＣＮ ＝ Ｔｅｒｍｉｎａｌ Ｓｅｒｖｅｒ Ｃｏｍｐｕｔｅｒｓ， ＣＮ ＝ Ｕｓｅｒｓ， ＤＣ ＝ ｓｏｎｉｃｗａｌｌ， ＤＣ
＝ ｎｅｔ”
11. 無動作タイムアウト値を無動作タイムアウト フィールドに入力します。
12. 適用を選択します。
ＬＤＡＰ 属性の例
グループごとに最高 ４ つの ＬＤＡＰ 属性を入力できます。 次は、 アクティブ ディレクトリの ＬＤＡＰ ユーザの
ＬＤＡＰ 属性の例です。
ｎａｍｅ ＝”Ａｄｍｉｎｉｓｔｒａｔｏｒ”
ｍｅｍｂｅｒＯｆ ＝”ＣＮ ＝ Ｔｅｒｍｉｎａｌ Ｓｅｒｖｅｒ Ｃｏｍｐｕｔｅｒｓ，ＣＮ ＝ Ｕｓｅｒｓ，ＤＣ ＝
ｓｏｎｉｃｗａｌｌ，ＤＣ ＝ ｎｅｔ”
ｏｂｊｅｃｔＣｌａｓｓ ＝”ｕｓｅｒ”
ｍｓＮＰＡｌｌｏｗＤｉａｌｉｎ ＝”ＦＡＬＳＥ”
ＬＤＡＰ 属性情報
ＬＤＡＰ 属性に関して次のことに注意してください。
• グループに複数の属性が定義されている場合、 ＬＤＡＰ ユーザはすべての属性を満たさなければなりま
せん。
• ＬＤＡＰ 認証は、 認証時に与えられたのと同じ資格情報を使用して ＬＤＡＰ ツリーにバインドされます。
アクティブ ディレクトリに対して使用する場合、 これは与えられたログイン資格情報が、
ｓａｍＡｃｃｏｕｎｔＮａｍｅ （ログイン名） ではなく ＣＮ （一般名） 属性と一致しなければならないことを意味
します。 例えば、 ＮＴ ／アクティブ ディレクトリ ログイン名が ｌｍｏｏｓｅ で、 フルネームが ｌａｒｒｙ ｍｏｏｓｅ
の場合、 ＳＳＬ-ＶＰＮ に ＬＤＡＰ 認証を使用してログインするとき、 ユーザ名として ｌａｒｒｙ ｍｏｏｓｅ を指
定します。 この動作は、 ＳＳＬ-ＶＰＮ ファームウェアの以降のリリースで変更される可能性があります。
• 属性が定義されていない場合は、 ＬＤＡＰ サーバによって承認されたすべてのユーザがグループのメン
バーになることができます。
• 複数のグループが定義されていて、 ユーザが ２ つのグループのすべての ＬＤＡＰ 属性を満たしている
場合、 そのユーザは一番多くの ＬＤＡＰ 属性が定義されているグループに所属するものと見なされま
す。 対応する ＬＤＡＰ グループの属性の数が等しいときは、 グループのアルファベット順に所属グルー
プが決められます。
• ＬＤＡＰ ユーザが、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置に設定されたどの ＬＤＡＰ グループの ＬＤＡＰ 属性も
満たしていない場合、 そのユーザはポータルにログインできません。 つまり、 ＬＤＡＰ 属性機能を使用
することで、 管理者は ＬＤＡＰ グループまたは組織ごとに個別のルールを作成するだけでなく、 特定の
ＬＤＡＰ ユーザだけをポータルにログインさせることもできるわけです。
ＬＤＡＰ ユーザおよび属性の例
ＬＤＡＰ グループに手動で追加したユーザの設定は ＬＤＡＰ 属性よりも優先されます。
例えば、 ＬＤＡＰ 属性 ｏｂｊｅｃｔＣｌａｓｓ ＝ "Ｐｅｒｓｏｎ" がグループ Ｇｒｏｕｐ１ に対して定義され、 ＬＤＡＰ 属
性 ｍｅｍｂｅｒＯｆ ＝ "ＣＮ ＝ ＷＩＮＳ Ｕｓｅｒｓ， ＤＣ ＝ ｓｏｎｉｃｗａｌｌ， ＤＣ ＝ ｎｅｔ が Ｇｒｏｕｐ２ に対して定義
されているものとします。
ユーザ Ｊａｎｅ が ＬＤＡＰ サーバで Ｐｅｒｓｏｎ オブジェクト クラスのメンバーとして定義されていて、 しかし
ＷＩＮＳ ユーザ グループのメンバーではない場合、 Ｊａｎｅ は ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の Ｇｒｏｕｐ１ の
メンバーになります。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
60
しかし、 管理者が手動でユーザ Ｊａｎｅ を ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の Ｇｒｏｕｐ２ に追加すると、 その
ＬＤＡＰ 属性は無視され、 Ｊａｎｅ は Ｇｒｏｕｐ２ のメンバーになります。
ＬＤＡＰ サーバの問い合わせ
ＬＤＡＰ またはアクティブ ディレクトリ サーバに問い合わせてユーザの ＬＤＡＰ 属性を調べるには、 いくつか
方法があります。 コンピュータに ｌｄａｐｓｅａｒｃｈ ツールがある場合 （例えば、 ＯｐｅｎＬＤＡＰ がインストールさ
れた Ｌｉｎｕｘ コンピュータでは） 次のコマンドを実行します。
ｌｄａｐｓｅａｒｃｈ -ｈ １０ . ０ . ０ . ５ -ｘ -Ｄ
”ｃｎ ＝ ｄｅｍｏ，ｃｎ ＝ ｕｓｅｒｓ，ｄｃ ＝ ｓｏｎｉｃｗａｌｌ，ｄｃ ＝ ｎｅｔ”-ｗ ｄｅｍｏ １２３ -ｂ
”ｄｃ ＝ ｓｏｎｉｃｗａｌｌ，ｄｃ ＝ ｎｅｔ”＞ ／ ｔｍｐ ／ ｆｉｌｅ
ここで、
• １０.０.０.５ は、 ＬＤＡＰ またはアクティブ ディレクトリ サーバの ＩＰ アドレス
• ｃｎ ＝ ｄｅｍｏ， ｃｎ ＝ ｕｓｅｒｓ， ｄｃ ＝ ｓｏｎｉｃｗａｌｌ， ｄｃ ＝ ｎｅｔ は、 ＬＤＡＰ ユーザの識別名
• ｄｅｍｏ１２３ は、 ユーザ ｄｅｍｏ のパスワード
• ｄｃ ＝ ｓｏｎｉｃｗａｌｌ， ｄｃ ＝ ｎｅｔ は、 問い合わせ先の基本ドメイン
• ＞／ ｔｍｐ ／ ｆｉｌｅ は、 オプションで、 ＬＤＡＰ の問い合わせの結果を保存するファイル
ウィンドウズ サーバから ＬＤＡＰ サーバに問い合わせを行う方法については、 以下を参照してください。
www.microsoft.com/Resources/Documentation/ windowsserv/2003/all/techref/en-us/
w2k3tr_adsrh_what.asp
http://www.microsoft.com/Resources/Documentation/windowsserv/2003/all/techref/enus/w2k3tr_adsrh_how.asp?frame=true
アクティブ ディレクトリ、 ＮＴ、 および ＲＡＤＩＵＳ ドメインのグループ
設定
ＲＡＤＩＵＳ、 マイクロソフト ＮＴ ドメイン、 またはアクティブ ディレクトリ サーバに対して （Ｋｅｒｂｅｒｏｓ を使用し
て） 認証を行う場合、 ＡＡＡ ユーザおよびグループを個別に定義できます。 これは必須でありませんが、
個別の ＡＡＡ ユーザに対してポリシーやブックマークを別々に作成できます。
ユーザのログイン時、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置はアクティブ ディレクトリ、 ＲＡＤＩＵＳ、 または ＮＴ
サーバを調べて、 ユーザのログインが承認されているか確認します。 ユーザが承認されている場合、
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置は、 ユーザがユーザおよびグループに関する ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ
装置データベースに定義されているか確認します。 ユーザが定義されていれば、 ユーザのために定義さ
れているポリシーとブックマークが適用されます。
例えば、 ＲＡＤＩＵＳ ドメインが ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置に "Ｍｉａｍｉ ＲＡＤＩＵＳ サーバ " という名前で
作成してある場合、 "Ｍｉａｍｉ ＲＡＤＩＵＳ サーバ " ドメインのメンバーであるユーザをグループに追加すること
ができます。 これらのユーザ名は ＲＡＤＩＵＳ サーバで設定した名前と一致しなければなりません。 その後、
ユーザがポータルにログインすると、 ポリシー、 ブックマーク、 その他の設定がユーザに適用されます。
ＡＡＡ ユーザが ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置に存在しなければ、 グローバルな設定、 ポリシー、 ブック
マークだけがユーザに適用されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
61
外部 （非ローカル） ユーザに対するブックマークのサポート
仮想オフィスのブックマーク システムでは、 グループとユーザの両方のレベルでブックマークを作成するこ
とができます。 管理者が作成したグループとユーザの両方のブックマークは該当ユーザに伝播しますが、
各ユーザは個人の専用ブックマークを作成することができます。
ブックマークは ＳＳＬ-ＶＰＮ のローカル設定ファイルに保存されるので、 グループおよびユーザのブックマー
クを定義済みのグループおよびユーザ エンティティと対応づける必要があります。 ローカル
（ＬｏｃａｌＤｏｍａｉｎ） のグループおよびユーザを操作するときは、 管理者が装置上のグループおよびユーザ
を手動で定義しなければならないので、 これが自動化されます。 同様に、 外部 （非 ＬｏｃａｌＤｏｍａｉｎ、
例えば、 ＲＡＤＩＵＳ、 ＮＴ、 ＬＤＡＰ） グループを操作するときは、 外部ドメインの作成によって対応する
ローカル グループが作成されるので、 この対応づけが自動化されます。
しかし、 外部 （非 ＬｏｃａｌＤｏｍａｉｎ） のユーザを操作するときは、 ユーザ作成 （個人） ブックマークを
ＳＳＬ-ＶＰＮ の設定ファイル内に保存できるように、 ローカル ユーザ エンティティが存在していなければなり
ません。 ブックマークを ＳＳＬ-ＶＰＮ 自体に保存する必要があるのは、 ＬＤＡＰ、 ＲＡＤＩＵＳ、 および ＮＴ 認
証の外部ドメインが、 この情報をブックマークとして保存する仕組みを提供していないからです。
個人のブックマークを使いたい外部ドメイン ユーザのために管理者がローカル ユーザを手動で作成しなくて
済むように、 ＳｏｎｉｃＯＳ ＳＳＬ-ＶＰＮ は外部ドメイン ユーザが個人のブックマークを作成したとき対応する
ローカル ユーザ エンティティを自動的に作成してブックマーク情報を保存できるようにします。
補足 ローカル ユーザ エンティティが作成されるのはユーザがブックマークを追加したときだけです。 ユー
ザがブックマークを追加しなければ、 ローカル ユーザの自動作成は行われません。
例えば、 ＲＡＤＩＵＳ ドメイン ｍｙＲＡＤＩＵＳ が作成されていて、 ＲＡＤＩＵＳ ユーザ ｊｄｏｅ が ＳＳＬ-ＶＰＮ にロ
グオンした場合、 その時点で ｊｄｏｅ が個人のブックマークを追加すると、 ｊｄｏｅ というローカル ユーザが
ＳＳＬ-ＶＰＮ 装置に Ｅｘｔｅｒｎａｌ 種別で作成され、 それを管理者は他のローカル ユーザと同じように扱うこ
とができるようになります。 外部ローカル ユーザは、 管理者が削除するまで存続します。
ユーザの設定
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のユーザをローカル ユーザ ウィンドウから定義することもできます。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のローカル ユーザ ウィンドウを表示するには、 左側のナビゲーション メ
ニューのユーザ オプションを選択し、 ローカル ユーザ オプションを選択します。
補足 Ｒａｄｉｕｓ、 ＬＤＡＰ、 ＮＴ ドメイン、 またはアクティブ ディレクトリ認証を使うように設定されたユーザ
は、 外部認証サーバがユーザ名とパスワードを検証するので、 パスワードを必要としません。
新規ユーザの追加
新規のユーザを作成するには、 以下の手順を実行します。
1. ユーザ ＞ ローカル ユーザ ページにナビゲートします。
ユーザ ＞ ローカル ユーザ ページが表示されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
62
図 11 ユーザ ＞ ローカル ユーザ ページ
2. ユーザ ＞ ローカル ユーザ ウィンドウでユーザの追加を選択します。
ローカル ユーザの追加ダイアログ ボックスが表示されます。
図 12 ローカル ユーザの追加ダイアログ ボックス
3. ユーザのユーザ名をユーザ名フィールドに入力します。 これは、 ユーザが ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ
装置ポータルにログインするとき入力する名前です。
4. ユーザの所属するグループの名前をグループ／ドメイン メニューで選択します。
5. ユーザのパスワードとなる文字列をパスワード フィールドに入力します。
6. パスワードの文字列をパスワードの確認フィールドにもう一度入力してパスワードを確認します。
補足 ユーザ名とパスワードは、 どちらも大文字と小文字が区別されます。
7. ユーザ種別リスト ボックスで、 ユーザ種別オプションとしてユーザまたは管理者のどちらかを選択しま
す。
選択したグループのドメインでアクティブ ディレクトリ、 ＲＡＤＩＵＳ、 ＮＴ ドメイン、 ＬＤＡＰ などの外部認証
が使われている場合は、 ユーザの追加ウィンドウが閉じ、 新しいユーザがローカル ユーザ リストに追加
されます。
8. 追加を選択して設定を更新します。 ユーザを追加すると、 新しいユーザがローカル ユーザ ウィンドウ
に追加されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
63
補足 ＲＡＤＩＵＳ、 ＬＤＡＰ、 ＮＴ およびアクティブ ディレクトリのユーザ名の入力が必要になるのは、 ユー
ザごとに個別にポリシーやブックマークを定義する場合だけです。 ユーザが ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置
で定義されていなければ、 グローバルなポリシーとブックマークが、 外部認証サーバに対するユーザ認証
に適用されます。 外部 （非 ＬｏｃａｌＤｏｍａｉｎ） のユーザを操作するときは、 ユーザ作成 （個人） ブック
マークを ＳＳＬ-ＶＰＮ の設定ファイルに保存できるように、 ローカル ユーザ エンティティが存在していなけ
ればなりません。 ブックマークを ＳＳＬ-ＶＰＮ 自体に保存する必要があるのは、 ＬＤＡＰ、 ＲＡＤＩＵＳ、 およ
び ＮＴ 認証の外部ドメインが、 この情報をブックマークとして保存する仕組みを提供していないからです。
個人のブックマークを使いたい外部ドメイン ユーザのために管理者がローカル ユーザを手動で作成しなくて
済むように、 ＳｏｎｉｃＯＳ ＳＳＬ-ＶＰＮ は外部ドメイン ユーザが個人のブックマークを作成したとき対応する
ローカル ユーザ エンティティを自動的に作成してブックマーク情報を保存できるようにします。
ユーザの削除
ユーザを削除するには、 削除したいユーザのごみ箱アイコンを選択します。 削除されたユーザはローカル
ユーザ ウィンドウから消えます。
ユーザの編集
ユーザの属性を編集できる場所にナビゲートするには、 以下の手順を実行します。
1. ユーザ ＞ ローカル ユーザ ウィンドウにナビゲートします。
2. ローカル ユーザ リスト内のユーザ エントリの設定アイコンを選択します。
ユーザ設定の編集ウィンドウが表示されます。 ユーザ設定の編集リストにユーザ名、 グループ名、 ド
メイン名が表示されます。 これらのフィールドは設定できません。 これらのフィールドの情報を変更する
必要がある場合は、 ユーザの削除を選択してユーザを削除してから正しい情報でユーザを作り直しま
す。
図 13 ユーザ設定の編集ウィンドウ
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
64
ユーザ設定の編集ウィンドウには、 次の表に示すとおり、 ４ つのタブがあります。
タブ
説明
一般
パスワードと、 装置の無動作タイムアウトを設定する。 既定のタブ
ポリシー
装置のセッションからリソースにアクセスするときのアクセス ポリシーを作成す
る
ブックマーク
サービスに簡単にアクセスするためのブックマークをユーザ レベルで作成する
ログイン ポリシー
ログイン用のアクセス ポリシーを作成する
ユーザが外部認証サーバの認証を受ける場合、 ユーザ種別とパスワード フィールドは表示されません。
パスワード フィールドを設定できないのは、 認証サーバがパスワードを検証するからです。 ユーザ種別を設
定できないのは、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置以外では、 ユーザが内部ユーザ データベースの認証を
受けて管理者権限を持つことはできないからです。 また、 ユーザ種別 Ｅｘｔｅｒｎａｌ は、 外部認証ユーザに
対応して自動的に作成されるローカル ユーザ インスタンスを識別するために使用されます。
ユーザのパスワードと無動作タイムアウトの変更
ローカル ドメインのユーザの場合はユーザのパスワードと無動作タイムアウト値を変更できます。 パスワードを
変更するには次のようにします。
1. 新しいユーザ パスワードをパスワード フィールドに入力します。
2. ＯＫ を選択して設定を更新します。
無動作タイムアウトを変更するには次のようにします。
1. 許容する無動作時間 （分） を無動作タイムアウト フィールドに入力します。
2. ＯＫ を選択して設定の変更を保存します。
ユーザ ポリシーの編集
ユーザのアクセス ポリシーを編集するには、 以下の手順を実行します。
1. ポリシー タブを選択します。
ユーザ設定の編集 － ポリシー タブが表示されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
65
図 14 ユーザ設定の編集 － ポリシー タブ
2. ポリシーの追加アイコンを選択します。
ポリシーの追加ダイアログ ボックスが表示されます。
3. ポリシーの適用先メニューで、 ポリシーの適用先として、 ネットワーク オブジェクト、 ＩＰ アドレス、 ＩＰ ア
ドレス範囲、 あるいはすべてのアドレスのいずれかを選択します。
補足 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のポリシーは ＳＳＬ-ＶＰＮ 接続の送信元アドレスではなく送信先アド
レスに適用されます。 インターネット上の特定の ＩＰ アドレスがポリシー エンジンを通じて ＳＳＬ-ＶＰＮ ゲート
ウェイの認証を受けることを許可または阻止することはできません。 ユーザのログイン ポリシー ページから ＩＰ
アドレスで送信元のログインを制御することも可能です。
• ポリシーを定義済みネットワーク オブジェクトに適用する場合は、 ネットワーク オブジェクトを選択し
て、 適用するオブジェクトを選択します。
• ポリシーを特定のホストに適用する場合は、 そのローカル ホストの ＩＰ アドレスを ＩＰ アドレスのフィー
ルドに入力します。
• ポリシーをアドレス範囲に適用する場合は、 ＩＰ アドレス範囲を選択して、 ＩＰ ネットワーク アドレスと
サブネット マスクを入力します。
4. サービスの種類をサービス メニューから選択します。 ポリシーの適用先がネットワーク オブジェクトの場
合は、 そのネットワーク オブジェクト定義されたサービスが使用されます。
5. 状況メニューから許可または拒否を選択して特定のサービスまたはホスト コンピュータの ＳＳＬ-ＶＰＮ 接
続を許可または拒否します。
6. 追加を選択して設定を更新します。 設定を更新すると、 新しいポリシーがユーザ設定の編集ウィンドウ
に表示されます。
ユーザのポリシーは、 現在のユーザ ポリシー テーブルに、 優先度の高いものから順番に表示されま
す。 ポリシーの追加ダイアログ ボックスの内容はポリシーの適用先 リスト ボックスで選択したオブジェク
トの種別に応じて変化します。 オブジェクトは次のとおりです。
• ネットワーク オブジェクト
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
66
• ＩＰ アドレス
• ＩＰ アドレス範囲
• すべての ＩＰ アドレス
選択したオブジェクトに応じて、 以下のいずれかの手順でポリシーを追加します。
ネットワーク オブジェクトのポリシーを編集する
1. ポリシーの適用先フィールドで、 ネットワーク オブジェクト オプションを選択します。
図 15 ネットワーク オブジェクトを使用するポリシーの追加ダイアログ ボックス
2. ポリシーの名前をポリシー名フィールドに指定します。
3. ネットワーク オブジェクト リスト ボックスから、 適用するネットワーク オブジェクトを選択します。
4. 状況リスト ボックスで、 アクセス動作として許可または拒否を選択します
5. 追加を選択します。
ＩＰ アドレスのポリシーを編集する
1. ポリシーの適用先フィールドで、 ＩＰ アドレス オプションを選択します。
図 16 ＩＰ アドレスを使用するポリシーの追加ダイアログ ボックス
2. ポリシーの名前をポリシー名フィールドに指定します。
3. ネットワーク アドレスを ＩＰ アドレス フィールドに入力します。
4. サービス リスト ボックスで、 サービス オプションを選択します。
5. 状況リスト ボックスで、 アクセス動作として許可または拒否を選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
67
6. 追加を選択します。
ＩＰ アドレス範囲のポリシーを編集する
1. ポリシーの適用先フィールドで、 ＩＰ アドレス範囲オプションを選択します。
図 17 ＩＰ アドレス範囲を使用するポリシーの追加ダイアログ ボックス
2. ポリシーの名前をポリシー名フィールドに指定します。
3. ネットワーク アドレスを ＩＰ ネットワーク アドレス フィールドに入力します。
4. サブネット マスクをサブネット マスクフィールドに入力します。
5. サービス リスト ボックスで、 サービス オプションを選択します。
6. 状況リスト ボックスで、 アクセス動作として許可または拒否を選択します。
7. 追加を選択します。
すべてのアドレス ポリシーの編集
1. ポリシーの適用先フィールドで、 すべてのアドレス オプションを選択します。
図 18 すべてのアドレスを使用するポリシーの追加ダイアログ ボックス
2. ポリシーの名前をポリシー名フィールドに指定します。
3. すべての ＩＰ アドレスを指定するとき、 ＩＰ アドレス範囲フィールドは読み取り専用になります。
4. サービス リスト ボックスで、 サービス オプションを選択します。
5. 状況リスト ボックスで、 アクセス動作として許可または拒否を選択します。
6. 追加を選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
68
ユーザ ブックマークの編集
ユーザ ブックマークを定義するには、 以下の手順を実行します。
1. ブックマーク タブを選択します。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ のユーザ設定の編集 － ブックマーク タブが表示されます。
図 19 ユーザ設定の編集 － ブックマーク タブ
2. ブックマークの追加を選択します。
ブックマークの追加ダイアログ ボックスが表示されます。
図 20 ブックマークの追加ダイアログ ボックス
ユーザ ブックマークが定義されると、 ユーザは ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の仮想オフィス ホーム
ページで定義済みのブックマークを見ることができます。 管理者の作成したブックマークを個々のユーザが
削除または変更することはできません。
3. ブックマークの名前となる文字列をブックマーク名フィールドに入力します。
4. コンピュータのドメイン名または ＩＰ アドレスを名前または ＩＰ アドレス フィールドに入力します。
5. サービス種別をサービス リスト ボックスで選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
69
6. ＲＤＰ５ または ＲＤＰ４ を選択した場合、 ＳＳＬー ＶＰＮ 装置のブックマークの追加ダイアログ ボックスに
画面サイズ フィールドが表示されます。
図 21 ＲＤＰ５ サービスを使用するブックマークの追加ダイアログ ボックス
画面サイズはコンピュータによって異なるので、 リモート デスクトップ アプリケーションを使用するときは、
リモート デスクトップ セッションの実行元のコンピュータのサイズを選択する必要があります。 また、 場合
によってはアプリケーション パス フィールドでリモート コンピュータ上のアプリケーションのパスを指定す
る必要があります。
7. 追加を選択して設定を更新します。 設定を更新すると、 新しいユーザ ブックマークがユーザ設定の編
集ウィンドウに表示されます。
ログイン ポリシーの設定
ＳＳＬ-ＶＰＮ 装置に対するログインを、 ユーザの ＩＰ アドレスによって許可または拒否するポリシーを設定す
ることができます。 装置へのログインを許可または拒否するには、 以下の手順を実行します。
1. ユーザ ＞ ローカル ユーザ ページにナビゲートします。
2. 特定のユーザの設定アイコンを選択します。
ユーザ設定の編集ダイアログ ボックスが表示されます。
3. ログイン ポリシー タブを選択します。
ユーザ設定の編集 － ログイン ポリシー タブが表示されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
70
図 22 ユーザ設定の編集 － ログイン ポリシー タブ
4. ログイン ポリシー領域で、 ユーザに適用したいログイン ポリシーを選択します。 ログイン ポリシーにつ
いては次の表を参照してください。
ポリシー
説明
ログインを無効にする
特定のユーザが装置にログインするのを阻止する
ユーザは、 ログインするためにクラ 特定のユーザがクライアントの認める証明書を提示したかどうかで装置へのロ
イアント証明書が必要
グインを条件付きで許可する
5. 選択したポリシーを送信元 ＩＰ アドレスに適用するには、 アクセス ポリシー （許可または拒否） を、 送
信元 ＩＰ アドレスに対するログイン ポリシー領域の定義済みアドレスからのログイン リスト ボックスで
選択し、 リスト上の追加を選択します。
アドレスの定義ダイアログ ボックスが下図のように表示されます。
図 23 アドレスの定義ダイアログ ボックス
6. 送信元アドレス種別のいずれかのオプションを送信元アドレス種別リスト ボックスから選択します。
• ＩＰ アドレス － 特定の ＩＰ アドレスを選択します。
• ＩＰ ネットワーク － ＩＰ アドレス範囲を選択します。 このアドレスを選択すると、 次の図のアドレスの
定義ダイアログ ボックスが表示されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
71
図 24 アドレスの定義ダイアログ ボックス
7. 選択したアドレス種別の詳細を指定します。
• 特定の ＩＰ アドレスの場合は、 その ＩＰ アドレスを ＩＰ アドレス フィールドに入力します。
• ＩＰ ネットワークの場合は、 ＩＰ アドレスをネットワーク アドレス フィールドに入力し、 さらにアドレス範
囲を指定するサブネット マスク値をマスク フィールドに入力します。
8. 追加を選択します。
アドレスまたはアドレス範囲がユーザ設定の編集ダイアログ ボックスの定義済みアドレス リストに表示さ
れます。 例えば、 ネットワーク アドレス １０.０.６１.２１５、 サブネット マスク ２５５.２５５.２５５.２４０ のアドレ
ス範囲を選択すると、 定義済みアドレス リストに １０.０.６１.２０８ － １０.０.６１.２２３ と表示されます。 選
択したログイン ポリシーが、 この範囲のアドレスに適用されます。
図 25 ユーザ設定の編集 － ログイン ポリシー タブ
9. 選択したポリシーをクライアント ブラウザに適用するには、 クライアント ブラウザに対するログイン ポリ
シー領域の定義済みブラウザからのログイン リスト ボックスでアクセス ポリシー （許可または拒否） を
選択し、 リスト上の追加を選択します。
ブラウザの定義ダイアログ ボックスが表示されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
72
図 26 ブラウザの定義ダイアログ ボックス
10. ブラウザの名前をクライアント ブラウザ フィールドに入力し、 追加を選択します。
ブラウザの名前が定義済みブラウザ リストに表示されます。
11. ＯＫ を選択します。
ユーザの新しいログイン ポリシーが保存されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
73
グローバル設定
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のグローバル設定はローカル ユーザまたはローカル グループ環境から設
定されます。 これを表示するには、 左側のナビゲーション メニューのユーザ オプションを選択し、 ローカ
ル ユーザまたはローカル グループオプションを選択します。
グローバル設定の編集
グローバル設定を編集するには、 以下の手順を実行します。
1. ユーザ ＞ ローカル ユーザまたはユーザ ＞ ローカル グループ ウィンドウにナビゲートします。
2. ユーザまたはグループ リスト上部のグローバル ポリシー グループまたはユーザの右側の設定アイコンを
選択します。 グローバル設定の編集ウィンドウが表示されます。
図 27 グローバル設定の編集ウィンドウ
3. すべてのユーザまたはグループの無動作タイムアウトを設定するには、 許可する無動作タイムアウト時
間 （分） を無動作タイムアウト フィールドに入力します。
4. 適用を選択して設定の変更を保存します。
無動作タイムアウトは、 ユーザ、 グループ、 グローバルの各レベルで設定できます。 特定のユーザに複
数のタイムアウトが設定されている場合は、 ユーザ タイムアウトの設定がグループ タイムアウトよりも優先さ
れ、 グループ タイムアウトがグローバル タイムアウトよりも優先されます。
グローバル タイムアウトを ０ に設定すると、 グループまたはユーザのタイムアウトを設定していないユーザの
無動作タイムアウト無動作タイムアウトが無効になります。
グローバル ポリシーの編集
グローバル アクセス ポリシーを定義するには、 以下の手順を実行します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
74
1. ポリシーの追加を選択します。
ポリシーの追加ウィンドウが表示されます。
補足 ユーザとグループのアクセス ポリシーはグローバル ポリシーよりも優先されます。
図 28 ポリシーの追加ダイアログ ボックス
2. ポリシーの適用先メニューで、 定義済みネットワーク オブジェクト、 個別ホスト、 アドレス範囲、 全アド
レスのどれを適用先とするかを選択します。
3. ポリシーの名前をポリシー名フィールドに指定します。
補足 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のポリシーは、 ＳＳＬ-ＶＰＮ 接続の送信元アドレスではなく、 送信先
アドレスに適用されます。 インターネット上の特定の ＩＰ アドレスがポリシー エンジンを通じて ＳＳＬ-ＶＰＮ 装
置の認証を受けることを許可または阻止することはできません。
• ポリシーを特定のホストに適用する場合は、 ポリシーの適用先 リストボックスから ＩＰ アドレス を選
択して、 ローカル ホスト コンピュータの ＩＰ アドレスを入力します。
• ポリシーをアドレス範囲に適用する場合は、 ＩＰ アドレス範囲を選択して、 ＩＰ ネットワーク アドレスと
サブネット マスクを入力します。
4. サービスの種類をサービス メニューで選択します。 ポリシーの適用先がネットワーク オブジェクトの場合
は、 そのネットワーク オブジェクトにサービスの種類が定義されます。
5. 許可または拒否を状況メニューから選択して特定のサービスまたはホスト コンピュータの ＳＳＬ-ＶＰＮ 接
続を許可または拒否します。
6. 追加を選択して設定を更新します。 設定を更新すると、 新しいポリシーがグローバル設定の編集ウィ
ンドウに表示されます。
グローバル ポリシーは、 グローバル設定の編集ダイアログ ボックスのポリシー リストに優先度の高いも
のから順番に表示されます。
適用先リスト ボックスで選択したオブジェクト種別ごとのポリシーの設定方法については、 「ユーザ ポリ
シーの編集」 セクションを参照してください。
グローバル ブックマークの編集
グローバル ブックマークを編集するには、 以下の手順を実行します。
1. ユーザ ＞ ローカル ユーザまたはユーザ ＞ ローカル グループ ページにナビゲートします。
2. グローバル ポリシー エントリの設定アイコンを選択します。
グローバル ポリシーの編集ウィンドウが表示されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
75
3. ブックマークの追加を選択します。
ブックマークの追加ウィンドウが表示されます。
図 29 ブックマークの追加ダイアログ ボックス
グローバル ブックマークが定義されると、 メンバー全員が ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置ポータルで定
義済みのブックマークを見ることができます。 個々のユーザがグローバル ブックマークを削除または変
更することはできません。
ＲＤＰ ブックマークの場合は、 次のブックマークの追加ダイアログ ボックスが表示されます。
図 30 ＲＤＰ の場合のブックマークの追加ダイアログ ボックス
4. ブックマークを追加するには、 ブックマークの名前ををブックマーク名フィールドに入力します。
5. コンピュータのドメイン名または ＩＰ アドレスを名前または ＩＰ アドレス フィールドに入力します。
6. サービス種別をサービス リスト ボックスで選択します。
7. ＲＤＰ サービスを選択した場合は、 画面サイズを画面サイズ リスト ボックスで選択し、 アプリケーション
のパスをアプリケーションおよびパス フィールドで指定します。
8. 追加を選択して設定を更新します。 設定を更新すると、 新しいグローバル ブックマークがグローバル
設定の編集 ウィンドウのブックマーク リストに表示されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
76
アクセス ポリシー階層
管理者は、 ユーザ、 グループ、 グローバル ポリシーを、 定義済みネットワーク オブジェクト、 ＩＰ アドレ
ス、 アドレス範囲、 全 ＩＰ アドレス、 および各種の ＳＳＬ-ＶＰＮ サービスに対して定義することができます。
では、 どのポリシーの優先度が高いのでしょう？特定の種類のトラフィックに複数のポリシーが適用される場
合、 そのトラフィックは許可されるのか、 それとも阻止されるのでしょうか？
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のポリシー階層は次のように定義されています。
• ユーザ ポリシーはどのグループ ポリシーよりも優先される
• グループ ポリシーはどのグローバル ポリシーよりも優先される
• 複数のユーザ、 グループ、 またはグローバル ポリシーが設定されている場合は、 最も限定的なポリ
シーが優先される
例えば、 特定の ＩＰ アドレスに設定されたポリシーはアドレス範囲に設定されたポリシーよりも優先されます。
また、 ＩＰ アドレス範囲に適用されるポリシーは全 ＩＰ アドレスに適用されるポリシーよりも優先されます。 複
数の ＩＰ アドレス範囲が設定されている場合、 最も小さいアドレス範囲が優先されます。 ホスト名は個別の
ＩＰ アドレスと同等に扱われます。 では、 ＩＰ アドレス、 ホスト名、 およびアドレス範囲を含む定義済みネット
ワーク オブジェクトはどうなるでしょう？
ネットワーク オブジェクトの優先度はアドレス範囲と似ています。 ただし、 ネットワーク オブジェクト全体では
なく、 個別のアドレスまたはアドレス範囲で優先度が決まります。
例えば、 次のグローバル ポリシーの設定を考えます。
• ポリシー 1 ： ＩＰ アドレス範囲 １０.０.０.０ － １０.０.０.２５５ のすべてのサービスを阻止する拒否ルール
• ポリシー 2 ： １０.０.１.２ － １０.０.１.１０ への ＦＴＰ アクセスを阻止する拒否ルール
• ポリシー ３ ： 定義済みネットワーク オブジェクト （ＦＴＰ Ｓｅｒｖｅｒｓ） に対する ＦＴＰ アクセスを許可する
許可ルール。 ＦＴＰ Ｓｅｒｖｅｒｓ ネットワーク オブジェクトは次のアドレスを含む。 １０.０.０.５ －
１０.０.０.２０。 10.0.0.5 - 10.0.0.20. さらに ｆｔｐ.ｃｏｍｐａｎｙ.ｃｏｍ を含み、 これは １０.０.１.３ に解決され
る
ユーザまたはグループ ポリシーが衝突していないと仮定します。 このときユーザが次へのアクセスを試みま
す。
• ＦＴＰ サーバ （１０.０.０.１）。 ユーザはポリシー １ で阻止される
• ＦＴＰ サーバ （１０.０.１.５）。 ユーザはポリシー ２ で阻止される
• ＦＴＰ サーバ （１０.０.０.１０）。 ユーザはポリシー ３ でアクセスを許可される。 ＩＰ アドレス範囲 １０.０.０.５
－ １０.０.０.２０ は、 ポリシー １ の ＩＰ アドレス範囲よりも限定的
• ｆｔｐ.ｃｏｍｐａｎｙ.ｃｏｍ の ＦＴＰ サーバ。 ユーザはポリシー ３ でアクセスを許可される。 特定のホスト名は
ポリシー ２ の ＩＰ アドレス範囲よりも限定的
補足 ｆｔｐ.ｃｏｍｐａｎｙ.ｃｏｍ に ＩＰ アドレス １０.０.１.３ ではアクセスできないことに注意してください。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のポリシー エンジンは、 ＤＮＳ の逆引きを実行しません。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
77
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
78
ëÊ 5 èÕ
第5章
ポータル、 ドメインとレイアウトの設定
この章では、 ポータルの設定方法、 ポータルへのレイアウトの割当方法、 ＲＡＤＩＵＳ、 ＮＴ ドメイン、
ＬＤＡＰ などの認証ドメインの定義方法と、 アクティブ ディレクトリの設定について説明します。 また、 ポータ
ルとポータル レイアウトのパラメータの設定方法についても詳しく説明します。
この章の構成は以下のとおりです。
• 80 ページ 「ポータル レイアウト」
• 86 ページ 「認証ドメインの概要」
• 87 ページ 「ローカル ユーザ データベース認証の設定」
• 88 ページ 「ＲＡＤＩＵＳ 認証の設定」
• 89 ページ 「ＮＴ ドメイン認証の設定」
• 90 ページ 「ＬＤＡＰ 認証の設定」
• 91 ページ 「アクティブ ディレクトリ認証の設定」
• 92 ページ 「アクティブ ディレクトリのトラブル シューティング」
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
79
ポータル レイアウト
個別ポータル レイアウトを設定することで、 ユーザが認証のために ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ にリダイレクト
されたときにユーザごとに個別の待ち受けページを表示できます。
図 1 ポータル ＞ ポータル レイアウト ページ
ネットワーク管理者は、 ポータルに個々のレイアウトを定義することができます。 レイアウトの設定には、
テーマ、 メニュー レイアウト、 表示するポータル ページ、 表示するポータル アプリケーションのアイコン、
およびウェブ キャッシュ制御オプションが含まれます。
既定ポータル レイアウトは ＬｏｃａｌＤｏｍａｉｎ ポータルです。 別のポータル レイアウトを追加したり、 修正した
りすることもできます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
80
ポータル レイアウト環境の表示
新しいポータル レイアウトを追加するには、 以下の手順に従います。
1. ポータル ＞ ポータル レイアウト ウィンドウで、 ポータル レイアウトの追加ボタンを選択します。
ポータル レイアウト ウィンドウが表示されます。 このウィンドウには、 レイアウトとホーム ページの ２ つ
のタブがあります。 レイアウトが既定のタブです。
図 2 ポータル レイアウト － レイアウト タブ
2. 以下の表に、 ポータル レイアウト － レイアウト タブのフィールドを示します。
表 1 ポータル レイアウト － レイアウト フィールド
フィールド
説明
ポータル レイアウト名
このポータルを参照する場合に使うタイトル。 内部参照専用で、 ユーザには
表示されない
ポータル サイト タイトル
ユーザがこのポータルにアクセスしたときにウェブ ブラウザのタイトル バーに表
示されるタイトル
ポータル バナー タイトル
ポータル自体の一番上に表示されるウェルカム テキスト
ログイン メッセージ
ポータル ログイン ページで認証エリアの上に表示されるオプション テキスト
仮想ホスト／ドメイン名
複数のポータルが提供される環境では、 仮想ホストを使うことでポータル
ＵＲＬ に簡単にリダイレクトできる
ポータル ＵＲＬ
この特定のポータルにアクセスする場合に使う ＵＲＬ
個別ログイン ページを表示する
このポータルの既定 （ＳｏｎｉｃＷＡＬＬ） ログイン ページではなく個別のログイン
ページを表示する
個別ログイン ページにログイン メッ ログイン メッセージ テキスト ボックスに指定されたメッセージを表示する
セージを表示する
キャッシュ制御のための ＨＴＴＰ メ
タ タグを有効にする
すべての ＨＴＴＰ ／ ＨＴＴＰＳ ページに ＨＴＴＰ メタ タグを埋め込み、 リモート
ユーザのブラウザのキャッシュにコンテンツが保管されないようにする
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
81
フィールド
説明
ＡｃｔｉｖｅＸ ウェブ キャッシュ クリー
ナを有効にする
ＳＳＬ-ＶＰＮ セッションの終了後にすべてのセッションのコンテンツを消去する
ＡｃｔｉｖｅＸ コントロール （ブラウザのサポートが必要） をロードする
自己署名証明書のインポートリンク
を表示する
信頼できるルート ストアに自己署名証明書をインポートするためのリンクをリ
モート ユーザに提供する。 自己署名証明書を使っている場合は、 ユーザが
このリンクを選択して証明書をインポートできるようにこの機能を有効にすること
を勧める
ポータル レイアウトの設定
ポータル レイアウトを設定する方法は ２ つあります。
• 既存のレイアウトを修正する （ポータル ＞ ポータル レイアウト ウィンドウでレイアウトの名前を選択す
る）
• 新しいポータル レイアウトを設定する
新しいポータル レイアウトを設定するには、 以下の手順に従います。
1. ポータル レイアウト名フィールドにポータル レイアウトの説明的な名前を入力します。 この名前は、
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置ポータル ＵＲＬ のパスの一部になります。
例えば、 ＳＳＬ-ＶＰＮ ポータルが 〈https://vpn.company.com〉 でホストされているときにポータル レイ
アウト ｓａｌｅｓ を作成した場合、 ユーザは、 サブサイト 〈https://vpn.company.com/portal/sales〉 に
アクセスできます。
補足 ポータル レイアウト名には、 英数字、 ハイフン （-）、 および下線 （_） しか使用できません。 これ
以外の文字やスペースを入力すると、 レイアウト名は最初の英数字以外の文字の前で切り捨てられます。
2. ポータル サイト タイトル フィールドに、 ウェブ ブラウザ ウィンドウのタイトルを入力します。
3. 専用のログイン ページを表示するには、 個別ログイン ページを表示するチェックボックスを選択しま
す。
4. ユーザがポータルにログインする前にバナー メッセージを表示したい場合は、 ポータル バナー タイト
ル フィールドにバナー タイトルのテキストを入力します。
ホスト名が異なる別個のポータルを作成したい場合は、 仮想ホスト／ドメイン名フィールドにホスト名を
入力します。 このフィールドはオプションです。
仮想ホスト名を作成すると、 ユーザは既定 ＵＲＬ とは異なる別のホスト名を使ってログインできるように
なります。 例えば、 販売担当者は、 管理用の既定ドメイン 〈https://vpn.company.com〉 ではなく、
〈https://sales.company.com〉 にアクセスできます。 仮想ホスト名を定義しても、 ポータル ＵＲＬ （例
えば、 〈https://vpn.company.com/portal/sales〉） は存在します。 仮想ホスト名を作成することで、
管理者はユーザ グループごとに別個のログイン ＵＲＬ を提供できます。
補足 仮想ホスト名とドメイン名を ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の外部 ＩＰ アドレスに解決できるように外
部 ＤＮＳ サーバにエントリを追加してください。
仮想ホスト名を使う場合は、 ＊ .ｄｏｍａｉｎ ＳＳＬ 証明書を購入する必要があります。 そうしないと、 ユーザ
が ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置ポータルにログインしたときに 証明書ホスト名の不一致警告が表示され
ます。 証明書ホスト名の不一致の影響を受けるのはログイン ページのみです。 ＳＳＬ-ＶＰＮ クライアント アプ
リケーションはホスト名不一致の影響を受けません。
仮想ホスト名には、 英数字、 ハイフン （-）、 および下線 （_） しか使用できません。
5. キャッシュ制御のための ＨＴＴＰ メタ タグを有効にするチェックボックスを選択して、 このポータル レイ
アウトに ＨＴＴＰ メタ タグ キャッシュ制御ディレクティブを適用します。 キャッシュ制御ディレクティブに
は、 次のものが含まれます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
82
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="cache-control" content="must-revalidate">
これらのディレクティブを適用することで、 ＳＳＬ-ＶＰＮ ポータルページとその他のウェブ コンテンツの
キャッシングを防ぐことができます。
補足 セキュリティ上、 および古いウェブ ページ、 テーマ、 およびデータがユーザのウェブ ブラウザの
キャッシュに保管されることを防ぐために、 ＨＴＴＰ メタ タグを有効にすることを強くお勧めします。
6. ＡｃｔｉｖｅＸ ウェブ キャッシュ クリーナを有効にするチェックボックスを選択して、 ユーザが
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置にログインしたときに ＡｃｔｉｖｅＸ キャッシュ コントロールをロードします。
ウェブ キャッシュ クリーナにより、 ユーザがログアウトしたとき、 またはウェブ ブラウザ ウィンドウを閉じた
ときに、 すべてのセッションの一時インターネット ファイル、 Ｃｏｏｋｉｅ、 およびブラウザ履歴を削除する
ことを求めるプロンプトが表示されます。 ＡｃｔｉｖｅＸ をサポートしていないウェブ ブラウザでは、 ＡｃｔｉｖｅＸ
ウェブ キャッシュ コントロールは無視されます。
ホームページの設定
ホームページは、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置ポータルのオプションの開始ページです。 ホームページ
を設定することで、 モバイル ユーザがポータルにログインしたときに表示する個別ページを作成できます。
ホームページは完全に個別化できるので、 リモート アクセス手順、 サポート情報、 技術に関する問い合
わせ先情報、 ＶＰＮ 関連ニュースの更新などをリモート ユーザに伝える理想的な方法となります。
また、 ホームページは、 制限ユーザの開始ページとしても適しています。 例えば、 モバイル ユーザやビ
ジネス パートナがアクセスを許可されているファイルやウェブ ＵＲＬ が限られている場合、 ホームページを
設定すれば、 対象ユーザにはそれらの関連リンクしか表示されません。
ページのタイトルを編集したり、 ページの一番上に表示するホーム ページ メッセージを作成したり、 ユーザ
ごとに該当するすべてのブックマーク （ユーザ、 グループ、 およびグローバル） を表示したり、 必要に応
じて ＨＴＭＬ ファイルをアップロードしたりできます。
ホームページを設定するには、 以下の手順に従います。
1. ポータル ＞ ポータル レイアウト ページにナビゲートします。
2. レイアウトに対応する設定ボタンを選択します。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ はポータル レイアウト設定ページを表示します。
3. ホームページ タブを選択します。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ はホームページ タブを表示します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
83
図 3 ポータル レイアウト － ホームページ タブ
4. 以下の表に、 ポータル レイアウト － ホームページ タブのフィールドを示します。
表 2 ポータル レイアウト － ホームページ のフィールド
フィールド
説明
ホームページ メッセージを表示す
る
ユーザが ＳＳＬ-ＶＰＮ 装置に対する認証に成功した後で個別のホームページ
メッセージを表示する
ＮｅｔＥｘｔｅｎｄｅｒ を表示する
ＮｅｔＥｘｔｅｎｄｅｒ のリンクを表示し、 ユーザがクライアントレスの ＮｅｔＥｘｔｅｎｄｅｒ
仮想アダプタをインストールして起動できるようにする。
ファイル共有を表示する
ファイル共有を表示する
ブックマーク テーブルを表示する
管理者提供のブックマークが含まれるブックマーク テーブルを表示する。 ま
た、 ユーザはネットワーク リソースへの独自のブックマークを定義することもで
きる
ホームページ メッセージ
ユーザ認証の成功後にホームページ上に表示できるオプション テキスト
ブックマーク テーブル タイトル
ポータルのホーム ページ上のブックマーク セクションを表すオプション テキス
ト
5. ＡｃｔｉｖｅＸ アプリケーションの中には、 ＡｃｔｉｖｅＸ ターミナル サービス クライアントなど、 信頼できるルー
ト ＣＡ からの証明書でサーバに接続しなければ機能しないものもあります。 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ
装置に付属のテスト用 ＳＳＬ 証明書を使っている場合、 自己署名証明書インポートのリンクを表示す
るチェックボックスを選択すると、 ウィンドウズ ユーザが自己署名証明書を簡単にインポートできるように
なります。
ただし、 Ｖｅｒｉｓｉｇｎ、 Ｔｈａｗｔｅ などの信頼できるルート ＣＡ からの有効な ＳＳＬ 証明書をアップロードす
ることを強くお勧めします。 アップロードした場合は、 自己署名証明書インポートのリンクを表示する
チェックボックスを選択しないでください。 ＯＫ を選択してホームページのコンテンツを更新します。
ポータルのホームページに関する重要な情報
通常の ＳＳＬ-ＶＰＮ 管理者の場合は、 プレーン テキストのホームページ メッセージとネットワーク リソース
へのリンクのリストがあれば、 ポータルのホーム ページとして不足はありません。 しかし、 表示したいコンテ
ンツがほかにある上級管理者の場合は、 以下の情報を検討してください。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
84
• ホームページは ＩＦＲＡＭＥ （内部 ＨＴＭＬ フレーム） で表示される
• ｉｆｒａｍｅ の幅は ５４２ ピクセルだが、 ナビゲーション メニューとコンテンツ間のバッファは ２９ ピクセルな
ので、 利用可能なワークスペースは ５１３ ピクセルである
• ホームページの一番下に表示する個別 ＨＴＭＬ ファイルをアップロードできる。 ホームページ メッセージ
に ＨＴＭＬ タグと ＪａｖａＳｃｒｉｐｔ を追加することもできる
• アップロードした ＨＴＭＬ ファイルは他のコンテンツの後ろに表示されるので、 このファイルに <ｈｅａｄ> タ
グや <ｂｏｄｙ> タグを入れてはならない
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
85
認証ドメインの概要
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のドメイン設定ウィンドウを表示するには、 ポータル ＞ ドメイン ページに
ナビゲートし、 ポータル ＞ ドメイン ウィンドウを表示します。
図 4 ポータル ＞ ドメイン ページ
アクセス ポリシーを作成するには、 まず認証ドメインを作成しなければなりません。 既定で、
ＬｏｃａｌＤｏｍａｉｎ 認証ドメインがすでに定義されています。 ＬｏｃａｌＤｏｍａｉｎ ドメインは内部ユーザ データ
ベースです。
リモート認証サーバに対する認証を要求する追加ドメインを作成することもできます。 ＳｏｎｉｃＷＡＬＬ
ＳＳＬ-ＶＰＮ は、 内部ユーザ データベース認証のほかに、 Ｒａｄｉｕｓ、 ＬＤＡＰ、 ＮＴ ドメイン、 およびアク
ティブ ディレクトリの認証をサポートしています。
補足 ドメインにポータル レイアウトを適用するには、 ドメインを作成する際、 ドメインの追加 ダイアログ
ボックス上のポータル レイアウト名のリスト ボックスから、 適用したいポータル レイアウトを選択します。 選
択されたポータル レイアウトは、 新しいドメインのすべてのユーザに適用されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
86
ローカル ユーザ データベース認証の設定
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置に保管されているユーザ名とパスワードを使ってユーザを認証する複数のド
メインを作成することができます。 これは、 ユーザごとに異なるポータル レイアウト （ ＳＳＬ-ＶＰＮ ポータル
ページ、 テーマなど） を表示したい場合に必要です。
新しい認証ドメインを作成するには , 以下の手順を実行します。
1. ドメインの追加を選択します。 以下のような
ドメインの追加ダイアログ ボックスが表示されます。
図 5 認証種別としてローカル ユーザ データベースが選択されているドメインの追加ダイアログ ボックス
2. 認証種別リスト ボックスからローカル ユーザ データベースを選択します。
3. ドメイン名フィールドに認証ドメインの説明的な名前を入力します。 これは、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ
ポータルにログインするためにユーザが選択するドメイン名です。
4. ポータル レイアウト名フィールドにレイアウトの名前を入力します。 他のレイアウトをポータル ＞ ポータ
ル レイアウト ページで追加定義することもできます。
5. ログインでクライアント証明書の使用を要求したい場合には、 必要に応じて、 クライアント デジタル証
明書を要求するチェックボックスを選択します。 このチェックボックスを選択することによって、 強力な
相互認証のためにクライアント証明書を提示することをクライアントに要求します。
6. 追加を選択して設定を追加します。 ドメインが追加されると、 ドメイン設定テーブルにそのドメインが追加
されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
87
ＲＡＤＩＵＳ 認証の設定
ＲＡＤＩＵＳ 認証のドメインを作成するには、 以下の手順に従います。
1. ドメインの追加を選択して、 ドメインの追加ダイアログ ボックスを表示します。
2. 認証種別メニューから ＲＡＤＩＵＳ を選択します。 ＲＡＤＩＵＳ 設定フィールドが表示されます。
図 6 認証種別として ＲＡＤＩＵＳ が選択されているドメインの追加ダイアログ ボックス
3. ドメイン名フィールドに認証ドメインの説明的な名前を入力します。 これは、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ
装置ポータルにログインするためにユーザが選択するドメイン名です。
4. ＲＡＤＩＵＳ サーバ アドレスフィールドに ＲＡＤＩＵＳ サーバの ＩＰ アドレスまたはドメイン名を入力します。
5. ＲＡＤＩＵＳ サーバで要求される場合は、 秘密パスワード フィールドに認証の秘密パスワードを入力しま
す。
6. ポータル レイアウト名リスト ボックスでレイアウトの名前を選択します。
7. 追加を選択して設定を追加します。 ドメインが追加されると、 ドメイン設定テーブルにそのドメインが追加
されます。
補足 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置は、 ＰＡＰ 認証を使って、 指定された ＲＡＤＩＵＳ サーバに対する認
証を試みます。 通常、 ＲＡＤＩＳＵ サーバは、 ＳＳＬ-ＶＰＮ 装置からの ＲＡＤＩＵＳ クライアント接続を受け入
れるように設定する必要があります。 一般に、 この接続の発信元は ＳＳＬ-ＶＰＮ の Ｘ０ インターフェースの
ＩＰ アドレスのようです。 この設定方法については、 ＲＡＤＩＵＳ サーバのマニュアルを参照してください。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
88
ＮＴ ドメイン認証の設定
ＮＴ ドメイン認証を設定するには、 以下の手順に従います。
1. ドメインの追加を選択して、 ドメインの追加ダイアログ ボックスを表示します。
2. 認証種別メニューから ＮＴ ドメインを選択します。 ＮＴ ドメイン設定フィールドが表示されます。
図 7 認証種別として ＮＴ ドメインが選択されているドメインの追加ダイアログ ボックス
3. ドメイン名フィールドに認証ドメインの説明的な名前を入力します。 これは、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ
装置ポータルに対して認証するときにユーザが選択するドメイン名です。 ＮＴ ドメイン名と同じ値でも構
いません。
4. ＮＴ ドメイン名フィールドに ＮＴ 認証ドメインを入力します。 これは、 ネットワーク認証のためにウィンドウ
ズ認証サーバで設定されるドメイン名です。
5. ＮＴ サーバ アドレス フィールドにサーバの ＩＰ アドレスまたはホストとドメイン名を入力します。
6. ポータル レイアウト名フィールドにレイアウトの名前を入力します。 他のレイアウトをポータル ＞ ポータ
ル レイアウト ページで追加定義することもできます。
7. 追加を選択して設定を追加します。 ドメインが追加されると、 ドメイン設定テーブルにそのドメインが追加
されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
89
ＬＤＡＰ 認証の設定
ＬＤＡＰ 認証を設定するには、 以下の手順に従います。
1. ドメインの追加を選択して、 ドメインの追加ダイアログ ボックスを表示します。
2. 認証種別メニューから ＬＤＡＰ を選択します。 ＬＤＡＰ ドメイン設定フィールドが表示されます。
図 8 認証種別として ＬＤＡＰ が選択されているドメインの追加ダイアログ ボックス
3. ドメイン名フィールドに認証ドメインの説明的な名前を入力します。 これは、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ
装置ポータルにログインするためにユーザが選択するドメイン名です。 サーバ アドレス フィールドと同じ値
でも構いません。
4. サーバ アドレス フィールドにサーバの ＩＰ アドレスまたはドメイン名を入力します。
5. ＬＤＡＰ ＢａｓｅＤＮ フィールドに ＬＤＡＰ 問い合わせの検索ベースを入力します。 検索ベースの文字列と
しては、 例えば ＣＮ ＝ Ｕｓｅｒｓ， ＤＣ ＝ ｙｏｕｒｄｏｍａｉｎ， ＤＣ ＝ ｃｏｍ などがあります。
補足 ユーザが ＬＤＡＰ を使って認証を試みると、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置は、 ユーザから提供さ
れた認証情報を使って ＬＤＡＰ ツリーにバインドすることを試みます。 マイクロソフトのアクティブ ディレクトリに
対して ＬＤＡＰ 認証を使う場合は、 ユーザはアカウント名ではなくフルネームを指定しなければなりません。
例えば、 アカウント名が "ｊｄｏｅ" のユーザ "Ｊｏｈｎ Ｄｏｅ" は、 "Ｊｏｈｎ Ｄｏｅ" を使ってログインしなければな
りません。 そうしないと、 ＬＤＡＰ バインドの試みは失敗し、 認証は中止されます。 認証でユーザにフル
ネームではなくアカウント名 （’ ｊｄｏｅ’ などの ｓａｍＡｃｃｏｕｎｔＮａｍｅ） を使わせたい場合は、 アクティブ
ディレクトリ （Ｋｅｒｂｅｒｏｓ） ドメイン認証の使用を検討してください。
補足 ＬＤＡＰ ＢａｓｅＤＮ フィールドに入力する場合は、 引用符 （""） を省いてください。
6. ポータル レイアウト名のフィールドで、 レイアウトの名前を選択します。 新規のレイアウトを追加するには、
ポータル＞ポータル レイアウト のページで定義します。
7. ログインでクライアント証明書の使用を要求したい場合は、 必要に応じて、 クライアント デジタル証明
書を要求するチェックボックスを選択します。 このチェックボックスを選択することによって、 強力な相
互認証のためにクライアント証明書を提示することをクライアントに要求します。
8. 追加を選択して設定を追加します。 ドメインが追加されると、 ドメイン設定テーブルにそのドメインが追
加されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
90
アクティブ ディレクトリ認証の設定
ウィンドウズ アクティブ ディレクトリ認証を設定するには、 以下の手順に従います。
1. ドメインの追加を選択して、 ドメインの追加ダイアログ ボックスを表示し、 以下の手順に従います。
補足 すべての認証タイプの中で、 アクティブ ディレクトリ認証が、 クロック スキュー、 つまり
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置とアクティブ ディレクトリ サーバとの時間のずれに最も敏感です。 アクティブ
ディレクトリを使って認証することができない場合は、 この章の最後のトラブルシューティング手順を参照して
ください。
2. 認証種別メニューからアクティブ ディレクトリを選択します。 アクティブ ディレクトリ設定フィールドが表示
されます。
図 9 認証種別としてアクティブ ディレクトリが選択されているドメインの追加ダイアログ ボックス
3. ドメイン名フィールドに認証ドメインの説明的な名前を入力します。 これは、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ
装置ポータルにログインするためにユーザが選択するドメイン名です。 これは、 ネットワーク設定に応じ
て、 サーバ アドレス フィールドまたはアクティブ ディレクトリ ドメイン フィールドと同じ値でも構いませ
ん。
4. サーバ アドレス フィールドにアクティブ ディレクトリ サーバの ＩＰ アドレスまたはホストとドメイン名を入力し
ます。
5. アクティブ ディレクトリ ドメイン フィールドにアクティブ ディレクトリ ドメイン名を入力します。
6. ポータル レイアウト名フィールドにレイアウトの名前を入力します。 他のレイアウトをポータル ＞ ポータル
レイアウト ページで追加定義することもできます。
7. ログインでクライアント証明書の使用を要求したい場合は、 必要に応じて、 クライアント デジタル証明
書を要求するチェックボックスを選択します。 このチェックボックスを選択することによって、 強力な相
互認証のためにクライアント証明書を提示することをクライアントに要求します。 クライアント証明書の
ＣＮＡＭＥ は、 ユーザがログインする場合に指定するユーザ名と一致しなければなりません。 また、 こ
のクライアント証明書は、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置で信頼済みの認証局 （ＣＡ） で生成されたも
のでなければなりません。
8. 追加を選択して設定を追加します。 ドメインが追加されると、 ドメイン設定テーブルにそのドメインが追加
されます。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
91
アクティブ ディレクトリのトラブル シューティング
ユーザがアクティブ ディレクトリを介して接続することができない場合は、 以下の点を確認してください。
1. アクティブ ディレクトリ サーバの時間設定と ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の時間設定は同期していな
ければなりません。 アクティブ ディレクトリがクライアントを認証する場合に使う Ｋｅｒｂｅｒｏｓ 認証では、
ウィンドウズ サーバとクライアント （ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置） との時間のずれが最大 １５ 分まで
認められています。 この問題を解決する一番簡単な方法は、 システム ＞ 時間ページでネットワーク タ
イム プロトコルを設定し、 またサーバの時間設定が正しいことを確認することです。
2. ウィンドウズ サーバがアクティブ ディレクトリ認証に対応していることを確認します。 ウィンドウズ ＮＴ４.０
サーバを使っている場合は、 ＮＴ ドメイン認証しかサポートされていません。 一般に、 ウィンドウズ
２０００ サーバとウィンドウズ ２００３ サーバは、 従来のウィンドウズ クライアントをサポートするために ＮＴ
ドメイン認証にも対応しています。
ドメイン設定テーブル
設定されたドメインはすべて、 ポータル ＞ ドメイン ウィンドウのドメイン設定テーブルにリストされます。 ドメ
インは、 作成された順にリストされます。
ドメインの削除
ドメインを削除するには、 ドメイン設定テーブルで、 削除したいドメインに対応するごみ箱アイコンを選択し
ます。 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置が更新されると、 削除したドメインはドメイン設定テーブルに表示さ
れなくなります。
補足 ＬｏｃａｌＤｏｍａｉｎ ドメインを削除することはできません。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
92
ïtò^ A
付録 A
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置のサードパーティ
ファイアウォール用設定
この付録では、 さまざまなサードパーティ ファイアウォールを ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置と共に配備す
るための設定方法について説明します。
この付録は次のセクションから構成されています。
• 93 ページ 「Ｃｉｓｃｏ ＰＩＸ を ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置と共に配備するための設定」
• 99 ページ 「Ｌｉｎｋｓｙｓ ＷＲＴ５４ＧＳ」
• 100 ページ 「Ｗａｔｃｈｇｕａｒｄ Ｆｉｒｅｂｏｘ Ｘ Ｅｄｇｅ」
• 101 ページ 「Ｎｅｔｇｅａｒ ＦＶＳ３１８」
• 103 ページ 「Ｎｅｔｇｅａｒ Ｗｉｒｅｌｅｓｓ Ｒｏｕｔｅｒ ＭＲ８１４ ＳＳＬ の設定」
• 104 ページ 「Ｃｈｅｃｋｐｏｉｎｔ ＡＩＲ ５５」
Ｃｉｓｃｏ ＰＩＸ を ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置と共に配備
するための設定
準備
ＰＩＸ のコンソール ポートへの管理接続、 または ＰＩＸ のいずれかのインターフェースに対する Ｔｅｌｎｅｔ ／
ＳＳＨ 接続が必要です。 ＰＩＸ にアクセスして設定の変更を発行するためには、 ＰＩＸ のグローバル パスワード
と有効レベル パスワードを知っている必要があります。 これらのパスワードを知らない場合は、 ネットワーク
管理者に確認してから次の作業に進んでください。
ＳｏｎｉｃＷＡＬＬ では、 ＰＩＸ の ＯＳ を、 使用する ＰＩＸ がサポートしている最新バージョンへと更新することを
お勧めしています。 このマニュアルは ＰＩＸ ＯＳ ６.３.５ を実行している Ｃｉｓｃｏ ＰＩＸ ５１５ｅ を対象にしており、
これが ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置と相互運用するための推奨バージョンです。 新しいバージョンの ＰＩＸ
ＯＳ を入手するためには、 お使いの Ｃｉｓｃｏ ＰＩＸ についての Ｃｉｓｃｏ ＳｍａｒｔＮＥＴ サポート契約と ＣＣＯ ログ
インが必要です。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
93
以降の配置例で使用する ＷＡＮ ／ ＤＭＺ ／ ＬＡＮ の ＩＰ アドレスは、 実際に有効なものではなく、 お使い
のネットワーク環境に合わせて変更する必要があるという点に注意してください。
補足 推奨バージョン ： ＰＩＸ ＯＳ ６.３.５ 以上
Ｃｉｓｃｏ ＰＩＸ に関する管理上の考慮事項
以降で説明する ２ つの配置方法では、 ＰＩＸ の ＷＡＮ インターフェース ＩＰ アドレスを、 内部の
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置に対する外部接続の手段として使用しています。 ＰＩＸ は ＨＴＴＰ ／ Ｓ 経由
での管理が可能ですが、 推奨バージョンの ＰＩＸ ＯＳ では、 既定の管理ポート （８０,４４３） の再割り当て
ができません。 そのため、 ＨＴＴＰ ／ Ｓ 管理 ＧＵＩ を無効にする必要があります。 ＨＴＴＰ ／ Ｓ 管理 ＧＵＩ を
無効にするには、’ clear http’ コマンドを発行します。
補足 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置に独立した静的な ＷＡＮ ＩＰ アドレスを割り当てている場合は、 ＰＩＸ
上の ＨＴＴＰ ／ Ｓ 管理 ＧＵＩ を無効にする必要はありません。
方法 １　ＬＡＮ インターフェース上に ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置
を配備する
1. 管理システムから ＳＳＬ-ＶＰＮ 装置の管理 ＧＵＩ にログインします。 既定の管理インターフェースは Ｘ０
で、 既定の ＩＰ アドレスは １９２.１６８.２００.１ です。
2. ’ ネットワーク ＞ インターフェース’ ページに進み、 Ｘ０ インターフェースの’ 設定’ アイコンを選択
します。 表示されたポップアップで、 ＸＯ のアドレスを’ １９２.１６８.１００.２’ に変更し、 マスクを’
２５５.２５５.２５５.０’ にします。 その後、’ ＯＫ’ ボタンを選択して変更を保存、 適用します。
3. ’ ネットワーク ＞ ルート’ ページに進み、 デフォルト ゲートウェイを’ １９２.１６８.１００.１’ に変更しま
す。 その後、 右上隅の’ 適用’ ボタンを選択して変更を保存、 適用します。
4. ’ ＮｅｔＥｘｔｅｎｄｅｒ ＞ クライアント アドレス’ ページに進みます。 内部 ＬＡＮ ネットワーク上で使用され
ていない １９２.１６８.１００.０ ／ ２４ ネットワークの ＩＰ アドレスの範囲を入力する必要があります。 既存の
ＤＨＣＰ サーバがある場合、 または ＰＩＸ が内部インターフェース上で ＤＨＣＰ サーバを実行している場
合は、 これらのアドレスと競合しないように注意してください。 たとえば、’ クライアント アドレス範囲の
開始’ の隣にあるフィールドに’ １９２.１６８.１００.２０１’ と入力し、’ クライアント アドレス範囲の終了’
の隣にあるフィールドに’ １９２.１６８.１００.２４９’ と入力します。 その後、 右上隅の’ 適用’ ボタンを
選択して変更を保存、 適用します。
5. ’ ＮｅｔＥｘｔｅｎｄｅｒ ＞ クライアント ルート’ ページに進みます。 ’ １９２.１６８.１００.０’ に関するクライ
アント ルートを追加します。 ’ １９２.１６８.２００.０’ に関するエントリが既にある場合は、 既存のものを削
除します。
6. ’ ネットワーク ＞ ＤＮＳ’ ページに進み、 内部ネットワークの ＤＮＳ アドレス、 内部ドメイン名、 ＷＩＮＳ
サーバ アドレスを入力します。 これらは ＮｅｔＥｘｔｅｎｄｅｒ を正しく機能させるために重要な情報なので注
意して入力してください。 その後、 右上隅の’ 適用’ ボタンを選択して変更を保存、 適用します。
7. ’ システム ＞ 再起動’ ページに進み、’ 再起動’ ボタンを選択します。
8. ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の Ｘ０ インターフェースを ＰＩＸ の ＬＡＮ ネットワークにインストールしま
す。 装置のその他のインターフェースにフックしないよう注意してください。
9. コンソール ポート、 ｔｅｌｎｅｔ、 または ＳＳＨ を通じて ＰＩＸ の管理 ＣＬＩ に接続し、 設定モードに入ります。
10. ’ clear http’ コマンドを発行して、 ＰＩＸ の ＨＴＴＰ ／ Ｓ 管理 ＧＵＩ を無効にします。
11. ’ access-list sslvpn permit tcp any host x.x.x.x eq www’ コマンドを発行します （x.x.x.x の部分は
お使いの ＰＩＸ の ＷＡＮ ＩＰ アドレスで置き換えます）。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
94
12. ’ access-list sslvpn permit tcp any host x.x.x.x eq https’ コマンドを発行します （x.x.x.x の部分は
お使いの ＰＩＸ の ＷＡＮ ＩＰ アドレスで置き換えます）。
13. ’ static (inside,outside) tcp x.x.x.x www 192.168.100.2 www netmask 255.255.255.255 0 0’ コマ
ンドを発行します （x.x.x.x の部分はお使いの ＰＩＸ の ＷＡＮ ＩＰ アドレスで置き換えます）。
14. ’ static (inside,outside) tcp x.x.x.x https 192.168.100.2 https netmask 255.255.255.255 0 0’ コ
マンドを発行します （x.x.x.x の部分はお使いの ＰＩＸ の ＷＡＮ ＩＰ アドレスで置き換えます）。
15. ’ access-group sslvpn in interface outside’ コマンドを発行します。
16. 設定モードを抜け、’ wr mem’ コマンドを発行して変更を保存、 適用します。
17. 外部システムから、 ＨＴＴＰ と ＨＴＴＰＳ の両方を使用して ＳＳＬ-ＶＰＮ 装置に接続してみます。
ＳＳＬ-ＶＰＮ 装置にアクセスできない場合は、 上記すべてのステップを確認して、 もう一度テストしてく
ださい。
最終的な設定例 （関連部分を太字で記載）
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security4
enable password SqjOo0II7Q4T90ap encrypted
passwd SqjOo0II7Q4T90ap encrypted
hostname tenaya
domain-name vpntestlab.com
clock timezone PDT -8
clock summer-time PDT recurring
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list sslvpn permit tcp any host 64.41.140.167 eq www
access-list sslvpn permit tcp any host 64.41.140.167 eq https
pager lines 24
logging on
logging timestamp
logging buffered warnings
logging history warnings
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 64.41.140.167 255.255.255.224
ip address inside 192.168.100.1 255.255.255.0
no ip address dmz
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
95
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.100.0 255.255.255.0 0 0
static (inside,outside) tcp 64.41.140.167 www 192.168.100.2 www netmask 255.255.255.255 0 0
static (inside,outside) tcp 64.41.140.167 https 192.168.100.2 https netmask 255.255.255.255 0 0
access-group sslvpn in interface outside
route outside 0.0.0.0 0.0.0.0 64.41.140.166 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
ntp server 192.43.244.18 source outside prefer
no snmp-server location
no snmp-server contact
snmp-server community SF*&^SDG
no snmp-server enable traps
floodguard enable
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 15
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 15
console timeout 20
dhcpd address 192.168.100.101-192.168.100.199 inside
dhcpd dns 192.168.100.10
dhcpd lease 600
dhcpd ping_timeout 750
dhcpd domain vpntestlab.com
dhcpd enable inside
terminal width 80
banner motd Restricted Access.Please log in to continue.
Cryptochecksum:422aa5f321418858125b4896d1e51b89
: end
tenaya#
方法 ２　ＤＭＺ インターフェース上に ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置
を配備する
この方法はオプションであり、 使用されていない第三のインターフェースを備えた ＰＩＸ （ＰＩＸ ５１５、 ＰＩＸ
５２５、 ＰＩＸ ５３５ など） が必要です。 ここでは ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の既定のナンバリング ス
キーマを使用します。
1. 管理システムから ＳＳＬ-ＶＰＮ 装置の管理 ＧＵＩ にログインします。 既定の管理インターフェースは Ｘ０
で、 既定の ＩＰ アドレスは １９２.１６８.２００.１ です。
2. ’ ネットワーク ＞ ルート’ ページに進み、 デフォルト ゲートウェイが’ １９２.１６８.２００.２’ に設定され
ていることを確認します。 その後、 右上隅の’ 適用’ ボタンを選択して変更を保存、 適用します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
96
3. ’ ＮｅｔＥｘｔｅｎｄｅｒ ＞ クライアント アドレス’ ページに進みます。 ’ クライアント アドレス範囲の開
始’ の隣にあるフィールドに’ １９２.１６８.２００.２０１’ と入力し、’ クライアント アドレス範囲の終了’
の隣にあるフィールドに’ １９２.１６８.２００.２４９’ と入力します。 その後、 右上隅の’ 適用’ ボタンを
選択して変更を保存、 適用します。
4. ’ ＮｅｔＥｘｔｅｎｄｅｒ ＞ クライアント ルート’ ページに進みます。 ’ １９２.１６８.１００.０’ と’
１９２.１６８.２００.０’ に関するクライアント ルートを追加します。
5. ’ ネットワーク ＞ ＤＮＳ’ ページに進み、 内部ネットワークの ＤＮＳ アドレス、 内部ドメイン名、 ＷＩＮＳ
サーバ アドレスを入力します。 これらは ＮｅｔＥｘｔｅｎｄｅｒ を正しく機能させるために重要な情報なので注
意して入力してください。 その後、 右上隅の’ 適用’ ボタンを選択して変更を保存、 適用します。
6. ’ システム ＞ 再起動’ ページに進み、’ 再起動’ ボタンを選択します。
7. ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の Ｘ０ インターフェースを ＰＩＸ の使用されていない ＤＭＺ ネットワークに
インストールします。 装置のその他のインターフェースにフックしないよう注意してください。
8. コンソール ポート、 ｔｅｌｎｅｔ、 または ＳＳＨ を通じて ＰＩＸ の管理 ＣＬＩ に接続し、 設定モードに入ります。
9. ’ clear http’ コマンドを発行して、 ＰＩＸ の ＨＴＴＰ ／ Ｓ 管理 ＧＵＩ を無効にします。
10. ’ interface ethernet2 auto’ コマンドを発行します （インターフェース名は、 実際に使用するインター
フェースに置き換えます）。
11. ’ nameif ethernet2 dmz security4’ コマンドを発行します （インターフェース名は、 実際に使用する
インターフェースに置き換えます）。
12. ’ ip address dmz 192.168.200.2 255.255.255.0’ コマンドを発行します。
13. ’ nat (dmz) 1 192.168.200.0 255.255.255.0 0 0’ コマンドを発行します。
14. ’ access-list sslvpn permit tcp any host x.x.x.x eq www’ コマンドを発行します （x.x.x.x の部分は
お使いの ＰＩＸ の ＷＡＮ ＩＰ アドレスで置き換えます）。
15. ’ access-list sslvpn permit tcp any host x.x.x.x eq https’ コマンドを発行します （x.x.x.x の部分は
お使いの ＰＩＸ の ＷＡＮ ＩＰ アドレスで置き換えます）。
16. ’ access-list dmz-to-inside permit ip 192.168.200.0 255.255.255.0 192.168.100.0
255.255.255.0’ コマンドを発行します。
17. ’ access-list dmz-to-inside permit ip host 192.168.200.1 any’ コマンドを発行します。
18. ’ static (dmz,outside) tcp x.x.x.x www 192.168.200.1 www netmask 255.255.255.255 0 0’ コマ
ンドを発行します （x.x.x.x の部分はお使いの ＰＩＸ の ＷＡＮ ＩＰ アドレスで置き換えます）。
19. ’ static (dmz,outside) tcp x.x.x.x https 192.168.200.1 https netmask 255.255.255.255 0 0’ コマ
ンドを発行します （x.x.x.x の部分はお使いの ＰＩＸ の ＷＡＮ ＩＰ アドレスで置き換えます）。
20. ’ static (inside,dmz) 192.168.100.0 192.168.100.0 netmask 255.255.255.0 0 0’ コマンドを発行し
ます。
21. ’ access-group sslvpn in interface outside’ コマンドを発行します。
22. ’ access-group dmz-to-inside in interface dmz’ コマンドを発行します。
23. 設定モードを抜け、’ wr mem’ コマンドを発行して変更を保存、 適用します。
24. 外部システムから、 ＨＴＴＰ と ＨＴＴＰＳ の両方を使用して ＳＳＬ-ＶＰＮ 装置に接続してみます。
ＳＳＬ-ＶＰＮ 装置にアクセスできない場合は、 上記すべてのステップを確認して、 もう一度テストしてく
ださい。
最終的な設定例 （関連部分を太字で記載）
PIX Version 6.3(5)
interface ethernet0 auto
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
97
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security4
enable password SqjOo0II7Q4T90ap encrypted
passwd SqjOo0II7Q4T90ap encrypted
hostname tenaya
domain-name vpntestlab.com
clock timezone PDT -8
clock summer-time PDT recurring
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list sslvpn permit tcp any host 64.41.140.167 eq www
access-list sslvpn permit tcp any host 64.41.140.167 eq https
access-list dmz-to-inside permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list dmz-to-inside permit ip host 192.168.200.1 any
pager lines 24
logging on
logging timestamp
logging buffered warnings
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 64.41.140.167 255.255.255.224
ip address inside 192.168.100.1 255.255.255.0
ip address dmz 192.168.200.2 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.100.0 255.255.255.0 0 0
nat (dmz) 1 192.168.200.0 255.255.255.0 0 0
static (dmz,outside) tcp 64.41.140.167 www 192.168.200.1 www netmask 255.255.255.255 0 0
static (dmz,outside) tcp 64.41.140.167 https 192.168.200.1 https netmask 255.255.255.255 0 0
static (inside,dmz) 192.168.100.0 192.168.100.0 netmask 255.255.255.0 0 0
access-group sslvpn in interface outside
access-group dmz-to-inside in interface dmz
route outside 0.0.0.0 0.0.0.0 64.41.140.166 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
98
ntp server 192.43.244.18 source outside prefer
floodguard enable
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 15
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 15
console timeout 20
dhcpd address 192.168.100.101-192.168.100.199 inside
dhcpd dns 192.168.100.10
dhcpd lease 600
dhcpd ping_timeout 750
dhcpd domain vpntestlab.com
dhcpd enable inside
terminal width 80
banner motd Restricted Access.Please log in to continue.
Cryptochecksum:81330e717bdbfdc16a140402cb503a77
: end
Ｌｉｎｋｓｙｓ ＷＲＴ５４ＧＳ
ＳＳＬ-ＶＰＮ は Ｌｉｎｋｓｙｓ ワイヤレス ルータの ＬＡＮ スイッチ上で設定する必要があります。
ここでは、 お使いの Ｌｉｎｋｓｙｓ にケーブル ＩＳＰ が ＤＨＣＰ 経由で単一の ＷＡＮ ＩＰ を割り当てており、 この
Ｌｉｎｋｓｙｓ が １９２.１６８.１.０ ／ ２４ という既定の ＬＡＮ ＩＰ アドレス スキーマを使用していることを前提にして
います。
補足 推奨ファームウェア ： このセットアップでは、 バージョン ２.０７.１ 以上のファームウェアを推奨しま
す。
Ｌｉｎｋｓｙｓ を ＳＳＬ-ＶＰＮ 装置と相互運用できるように設定するには、 ＳＳＬ （４４３） ポートを ＳＳＬ-ＶＰＮ
装置の ＩＰ アドレスに転送する必要があります。
1. Ｌｉｎｋｓｙｓ デバイスにログインします。
2. Ａｐｐｌｉｃａｔｉｏｎｓ ＆ Ｇａｍｉｎｇ タブを選択します。
図 1 Ａｐｐｌｉｃａｔｉｏｎｓ ＆ Ｇａｍｉｎｇ タブ
3. 次の情報を入力します。
Ａｐｐｌｉｃａｔｉｏｎ
ＳＳＬ-ＶＰＮ
ポート転送先アプリケーションの名前
Ｐｏｒｔ Ｒａｎｇｅ Ｓｔａｒｔ
４４３
アプリケーションで使用される開始ポート番号
Ｐｏｒｔ Ｒａｎｇｅ Ｅｎｄ
４４３
アプリケーションで使用される終了ポート番号
Ｐｒｏｔｏｃｏｌ
ＴＣＰ
ＳＳＬ-ＶＰＮ 装置は ＴＣＰ を使用
ＩＰ Ａｄｄｒｅｓｓ
192.168.1.10
ＳＳＬ-ＶＰＮ 装置に割り当てられる ＩＰ アドレス
Ｅｎａｂｌｅ
オン
ＳＳＬ ポート転送を有効にするにはチェックボックスをオン
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
99
4. 設定が完了したら、 ページの下部にある Ｓａｖｅ Ｓｅｔｔｉｎｇｓ ボタンを選択します。
これで、 Ｌｉｎｋｓｙｓ が ＳＳＬ-ＶＰＮ 装置と相互運用するようになります。
Ｗａｔｃｈｇｕａｒｄ Ｆｉｒｅｂｏｘ Ｘ Ｅｄｇｅ
ここでは、 ＷａｔｃｈＧｕａｒｄ Ｆｉｒｅｂｏｘ Ｘ Ｇａｔｅｗａｙ の ＩＰ アドレスが １９２.１６８.１００.１ に設定され、
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ の ＩＰ アドレスが １９２.１６８.１００.２ に設定されているものと想定します。
補足 以降のステップは、 ＷａｔｃｈＧｕａｒｄ ＳＯＨＯ６ シリーズのファイアウォールでも同様です。
作業を始める前に、 ＷａｔｃｈＧｕａｒｄ のどのポートを管理に使用しているかを確認します。 ＷａｔｃｈＧｕａｒｄ を
ＨＴＴＰＳ （４４３） ポートで管理していない場合は、 次のステップに従ってください。 ＷａｔｃｈＧｕａｒｄ を
ＨＴＴＰＳ （４４３） ポートで管理している場合は、 最初にこの設定方法の注意事項を参照してください。
1. ブラウザを開き、 ＷａｔｃｈＧｕａｒｄ Ｆｉｒｅｂｏｘ Ｘ Ｅｄｇｅ 装置の ＩＰ アドレスを入力します （例 ：
１９２.１６８.１００.１）。 アクセスに成功すると、 次のような "Ｓｙｓｔｅｍ Ｓｔａｔｕｓ" ページが表示されます。
図 2 ＷａｔｃｈＧｕａｒｄ　Ｓｙｓｔｅｍ Ｓｔａｔｕｓ　ウィンドウ
2. ＷａｔｃｈＧｕａｒｄ の管理インターフェースが既に ＨＴＴＰＳ をポート ４４３ で受け付けるように設定されてい
る場合は、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置と ＷａｔｃｈＧｕａｒｄ 装置の両方を管理できるようにポートを変
更する必要があります。
3. Ａｄｍｉｎｉｓｔｒａｔｉｏｎ ＞ Ｓｙｓｔｅｍ Ｓｅｃｕｒｉｔｙ を選択します。
図 3 ＷａｔｃｈＧｕａｒｄ Ａｄｍｉｎｉｓｔｒａｔｉｏｎ ＞ Ｓｙｓｔｅｍ Ｓｅｃｕｒｉｔｙ ダイアログ ボックス
4. Ｕｓｅ ｎｏｎ-ｓｅｃｕｒｅ ＨＴＴＰ ｉｎｓｔｅａｄ ｏｆ ｓｅｃｕｒｅ ＨＴＴＰＳ ｆｏｒ ａｄｍｉｎｉｓｔｒａｔｉｖｅ Ｗｅｂ ｓｉｔｅ をオフに
します。
5. ＨＴＴＰ Ｓｅｒｖｅｒ Ｐｏｒｔ を ４４４ に変更し、 Ｓｕｂｍｉｔ ボタンを選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
100
これで、 ＷａｔｃｈＧｕａｒｄ を ＷＡＮ からポート ４４４ で管理できるようになります。 ＷａｔｃｈＧｕａｒｄ にアクセス
するには次のようにします。 〈https://<watchguard wan ip>:444〉
6. 左側のナビゲーション メニューで Ｆｉｒｅｗａｌｌ ＞ Ｉｎｃｏｍｉｎｇ を選択します。
7. ＨＴＴＰＳ サービスの Ｆｉｌｔｅｒ を Ａｌｌｏｗ に設定し、 Ｓｅｒｖｉｃｅ Ｈｏｓｔ フィールドに ＳｏｎｉｃＷＡＬＬ
ＳＳＬ-ＶＰＮ 装置の ＷＡＮ ＩＰ アドレス （１９２.１６８.１００.２） を入力します。
8. ページの下部にある Ｓｕｂｍｉｔ ボタンを選択します。
これで、 Ｗａｔｃｈｇｕａｒｄ Ｆｉｒｅｂｏｘ Ｘ Ｅｄｇｅ が ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置と相互運用できるようになり
ます。
Ｎｅｔｇｅａｒ ＦＶＳ３１８
ここでは、 ＮｅｔＧｅａｒ ＦＶＳ３１８ Ｇａｔｅｗａｙ の ＩＰ アドレスが １９２.１６８.１００.１ に設定され、 ＳｏｎｉｃＷＡＬＬ
ＳＳＬ-ＶＰＮ の ＩＰ アドレスが １９２.１６８.１００.２ に設定されているものと想定します。
1. Ｎｅｔｇｅａｒ 管理インターフェースの左側のインデックスから Ｒｅｍｏｔｅ Ｍａｎａｇｅｍｅｎｔ を選択します。
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ を Ｎｅｔｇｅａｒ ゲートウェイ デバイスと連携させるためには、 ＮｅｔＧｅａｒ の管理
ポートが ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の管理ポートと競合しないようにする必要があります。
2. Ａｌｌｏｗ Ｒｅｍｏｔｅ Ｍａｎａｇｅｍｅｎｔ チェックボックスをオフにします。
3. Ａｐｐｌｙ ボタンを選択して変更を保存します。
補足 ＮｅｔＧｅａｒ の Ｒｅｍｏｔｅ Ｍａｎａｇｅｍｅｎｔ が必要な場合は、 このチェックボックスをオンのままにして、
既定のポートを変更します （８０８０ を推奨します）。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
101
図 4 ＮｅｔＧｅａｒ Ｒｅｍｏｔｅ Ｍａｎａｇｅｍｅｎｔ ウィンドウ
4. 左側のナビゲーションで Ａｄｄ Ｓｅｒｖｉｃｅ を選択します。
5. Ａｄｄ Ｃｕｓｔｏｍ Ｓｅｒｖｉｃｅ ボタンを選択します。
6. サービス定義を作成するために、 次の情報を入力します。
Ｎａｍｅ
ＨＴＴＰＳ
Ｔｙｐｅ
ＴＣＰ ／ ＵＤＰ
Ｓｔａｒｔ Ｐｏｒｔ
443
Ｆｉｎｉｓｈ Ｐｏｒｔ
443
図 5 ＮｅｔＧｅａｒ Ａｄｄ Ｃｕｓｔｏｍ Ｓｅｒｖｉｃｅ ダイアログ ボックス
7. 左側のナビゲーションで Ｐｏｒｔｓ を選択します。
8. Ａｄｄ ボタンを選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
102
図 6 ＮｅｔＧｅａｒ Ａｄｄ Ｓｅｒｖｅｒ ダイアログ ボックス
9. Ｓｅｒｖｉｃｅ Ｎａｍｅ ドロップダウン メニューから ＨＴＴＰＳ を選択します。
10. Ａｃｔｉｏｎ ドロップダウン メニューでは ＡＬＬＯＷ ａｌｗａｙｓ を選択します。
11. Ｌｏｃａｌ Ｓｅｒｖｅｒ Ａｄｄｒｅｓｓ フィールドに ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の ＷＡＮ ＩＰ アドレスを入力しま
す。
12. Ａｐｐｌｙ ボタンを選択して変更を保存します。
これで、 Ｎｅｔｇｅａｒ ゲートウェイ デバイスが ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置と相互運用できるようになりま
す。
Ｎｅｔｇｅａｒ Ｗｉｒｅｌｅｓｓ Ｒｏｕｔｅｒ ＭＲ８１４ ＳＳＬ の設定
ここでは、 ＮｅｔＧｅａｒ Ｗｉｒｅｌｅｓｓ Ｒｏｕｔｅｒ の ＩＰ アドレスが １９２.１６８.１００.１ に設定され、 ＳｏｎｉｃＷＡＬＬ
ＳＳＬ-ＶＰＮ の ＩＰ アドレスが １９２.１６８.１００.２ に設定されているものと想定します。
1. Ｎｅｔｇｅａｒ の管理インターフェースの左側のインデックスから Ａｄｖａｎｃｅｄ ＞ Ｐｏｒｔ Ｍａｎａｇｅｍｅｎｔ を
選択します。
2. ページ中央の Ａｄｄ Ｃｕｓｔｏｍ Ｓｅｒｖｉｃｅ ボタンを選択します。
3. Ｓｅｒｖｉｃｅ Ｎａｍｅ フィールドにサービス名を入力します （例 ： ＳＳＬ-ＶＰＮ）。
図 7 ＮｅｔＧｅａｒ Ｐｏｒｔｓ - Ｃｕｓｔｏｍ Ｓｅｒｖｉｃｅ ダイアログボックス
4. Ｓｔａｒｔｉｎｇ Ｐｏｒｔ フィールドに ４４３ と入力します。
5. Ｅｎｄｉｎｇ Ｐｏｒｔ フィールドに ４４３ と入力します。
6. Ｓｅｒｖｅｒ ＩＰ Ａｄｄｒｅｓｓ フィールドに ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置の ＷＡＮ ＩＰ アドレスを入力します。
7. Ａｐｐｌｙ ボタンを選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
103
これで、 Ｎｅｔｇｅａｒ ワイヤレス ルータが ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ 装置と相互運用できるようになります。
Ｃｈｅｃｋｐｏｉｎｔ ＡＩＲ ５５
ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ と Ｃｈｅｃｋ Ｐｏｉｎｔ ＡＩＲ ５５ を連携させる
まず必要なのは、 ホストベースのネットワーク オブジェクトを定義することです。 そのためには、 Ｆｉｌｅ メ
ニューの "Ｍａｎａｇｅ" と "Ｎｅｔｗｏｒｋ Ｏｂｊｅｃｔｓ" を使用します。
図 8 Ｃｈｅｃｋ Ｐｏｉｎｔ ホスト ノード オブジェクト ダイアログ ボックス
補足 このオブジェクトは、 内部ネットワークに存在するものとして定義されます。 ＳｏｎｉｃＷＡＬＬ
ＳＳＬ-ＶＰＮ をセキュア セグメント （非武装地帯とも呼ばれます） に配置する場合は、 後述のファイア
ウォール規則でセキュア セグメントから内部ネットワークへの必要なトラフィックを通過させる必要がありま
す。
図 9 次に、 作成したオブジェクトの ＮＡＴ タブを選択します。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
104
図 10 Ｃｈｅｃｋ Ｐｏｉｎｔ ＮＡＴ のプロパティ ダイアログ ボックス
ここで外部 ＩＰ アドレスを入力します （それがファイアウォールの既存の外部 ＩＰ アドレスでない場合）。 変換
方法として’ ｓｔａｔｉｃ’ を選択します。 "ＯＫ" を選択すると、 次のような必須の ＮＡＴ 規則が自動的に作成
されます。
図 11 Ｃｈｅｃｋ Ｐｏｉｎｔ ＮＡＴ 規則 ウィンドウ
静的ルート
Ｃｈｅｃｋ Ｐｏｉｎｔ ＡＩＲ５５ の大部分のインストール環境では、 静的ルートが必要です。 このルートは、
ＳＳＬ-ＶＰＮ のパブリック ＩＰ アドレスからの全トラフィックを内部 ＩＰ アドレスに送信します。
#route add 64.41.140.167 netmask 255.255.255.255 192.168.100.2
ＡＲＰ
Ｃｈｅｃｋ Ｐｏｉｎｔ ＡＩＲ５５ には、 自動 ＡＲＰ 作成と呼ばれる機能があります。 この機能により、 副格外部 ＩＰ
アドレス （ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ のパブリック ＩＰ アドレス） に関する ＡＲＰ エントリが自動的に追加され
ます。 Ｎｏｋｉａ のセキュリティ プラットフォーム上で Ｃｈｅｃｋ Ｐｏｉｎｔ を実行する場合は、 この機能を無効にす
るよう推奨されています。 そのため、 外部 ＩＰ アドレスに関する ＡＲＰ エントリを Ｎｏｋｉａ Ｖｏｙａｇｅｒ ＧＵＩ の中
で手動で追加する必要があります。
さらに、 すべてのトラフィックをインターネットから ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ に流すためのトラフィック規則ま
たはポリシー規則が必要になります。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
105
図 12 Ｃｈｅｃｋ Ｐｏｉｎｔ ポリシー規則 ウィンドウ
ここでも、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ を Ｃｈｅｃｋ Ｐｏｉｎｔ ファイアウォールのセキュア セグメントに配置する場
合は、 関連トラフィックを ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ から内部ネットワークに流すための第二の規則が必要
になります。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
106
ïtò^ B
付録 B
ＮｅｔＥｘｔｅｎｄｅｒ の トラブル シューティング
この付録では、 ＮｅｔＥｘｔｅｎｄｅｒ ユーティリティのトラブル シューティングのための対応表を示します。
表 1 ＮｅｔＥｘｔｅｎｄｅｒ がインストールできない
問題
解決法
ＮｅｔＥｘｔｅｎｄｅｒ がインストールできな
い
1. ウィンドウズのバージョンを確認してください。 ＮｅｔＥｘｔｅｎｄｅｒ は、
ウィンドウズ ２０００ またはそれ以降のバージョンのみに対応してい
ます。
2. ユーザが管理者権限を持っていることを確認してください。 管理者
権限を持ったユーザだけが、 ＮｅｔＥｘｔｅｎｄｅｒ のインストールや設
定作業を行うことができます。
3. ＡｃｔｉｖｅＸ が、 インターネット エクスプローラまたはサード パーティ
のソフトによってブロックされていないか確認してください。
4. 上記によっても問題が解決しない場合は、 以下の情報を取得し
てサポートまで連絡してください。
• デバイス マネージャから取得した ＳＳＬ-ＶＰＮ ＮｅｔＥｘｔｅｎｄｅｒ アダプタ
のバージョン情報
• 以下のパスに存在するログ ファイル
C:\Program files\SonicWALL\SSL-VPN NetExtender\clientLog.txt
• ウィンドウズのコントロール パネルの管理ツール フォルダ内にあるイベ
ント ビューアから取得したイベント情報。 アプリケーションおよびシステ
ム イベントを選択し、 操作 / ログ ファイルの名前をつけて保存 メ
ニューを使って、 各イベントをログ ファイルに保存してください。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
107
表 2 ＮｅｔＥｘｔｅｎｄｅｒ の接続エントリを作成できない
問題
解決法
ＮｅｔＥｘｔｅｎｄｅｒ の接続エントリを作成
できない
1. デバイス マネージャを開いて、 ＳＳＬ-ＶＰＮ ＮｅｔＥｘｔｅｎｄｅｒ アダプ
タが正しくインストールされていることを確認してください。 もし正しく
インストールされていない場合は、 デバイス リストからアダプタを削
除し、 機器を再起動して ＮｅｔＥｘｔｅｎｄｅｒ を再インストールしてくだ
さい。
2. コントロールパネルの管理ツールフォルダ内にあるサービスを開い
て、 サービスマネージャーを起動します。 Ｒｅｍｏｔｅ Ａｃｃｅｓｓ
Ａｕｔｏ Ｃｏｎｎｅｃｔｉｏｎ Ｍａｎａｇｅｒ および Ｒｅｍｏｔｅ Ａｃｃｅｓｓ
Ｃｏｎｎｅｃｔｉｏｎ Ｍａｎａｇｅｒ を探して、 その ２ つのサービスの状態が
開始 になっていることを確認します。 もし 開始 になっていない場
合は、 それらを自動スタートアップするように設定し、 機器を再
起動して、 ＮｅｔＥｘｔｅｎｄｅｒ を再起動してください。
3. 別のダイヤルアップ接続が使用中でないことを確認してください。
もし使用中の場合は、 その接続を切断し、 機器を再起動して、
ＮｅｔＥｘｔｅｎｄｅｒ を再起動してください。
4. 上記によっても問題が解決しない場合は、 以下の情報を取得し
てサポートまで連絡してください。
• デバイス マネージャから取得した ＳＳＬ-ＶＰＮ ＮｅｔＥｘｔｅｎｄｅｒ アダプタ
のバージョン情報
• 以下のパスに存在するログ ファイル
C:\Program files\SonicWALL\SSL-VPN NetExtender\clientLog.txt
• ウィンドウズ のコントロール パネルの管理ツール フォルダ内にあるイベ
ント ビューアから取得したイベント情報。 アプリケーションおよびシステ
ムイベントを選択し、 操作 / ログ ファイルの名前をつけて保存 メ
ニューを使って、 各イベントをログ ファイルに保存してください
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
108
表 3 ＮｅｔＥｘｔｅｎｄｅｒ が接続できない
問題
解決法
ＮｅｔＥｘｔｅｎｄｅｒ が接続できない
1. デバイス マネージャを開いて、 ＳＳＬ-ＶＰＮ ＮｅｔＥｘｔｅｎｄｅｒ アダプ
タが正しくインストールされていることを確認してください。 もし正しく
インストールされていない場合は、 デバイス リストからアダプタを削
除し、 機器を再起動して ＮｅｔＥｘｔｅｎｄｅｒ を再インストールしてくだ
さい。
2. ネットワーク接続を開いて、 ＳｏｎｉｃＷＡＬＬ ＳＳＬ-ＶＰＮ
ＮｅｔＥｘｔｅｎｄｅｒ のダイヤルアップ接続エントリが作成されていること
を確認してください。 もし作成されていない場合は、 機器を再起
動して ＮｅｔＥｘｔｅｎｄｅｒ を再インストールしてください。
3. 別のダイヤルアップ接続が使用中でないことを確認してください。
もし使用中の場合は、 その接続を切断し、 機器を再起動して、
ＮｅｔＥｘｔｅｎｄｅｒ を再起動してください。
4. 上記によっても問題が解決しない場合は、 以下の情報を取得し
てサポートまで連絡してください。
• デバイス マネージャから取得した ＳＳＬ-ＶＰＮ ＮｅｔＥｘｔｅｎｄｅｒ アダプタ
のバージョン情報
• 以下のパスに存在するログ ファイル
C:\Program files\SonicWALL\SSL-VPN NetExtender\clientLog.txt
• ウィンドウズの コントロール パネルの管理ツール フォルダ内にあるイベ
ント ビューアから取得したイベント情報。 アプリケーションおよびシステ
ム イベントを選択し、 操作 / ログ ファイルの名前をつけて保存 メ
ニューを使って、 各イベントをログ ファイルに保存してください
表 4 ＮｅｔＥｘｔｅｎｄｅｒ 接続後のブルースクリーン表示エラー
問題
解決法
ＮｅｔＥｘｔｅｎｄｅｒ 接続後のブルースク
リーン表示エラー
1. ＮｅｔＥｘｔｅｎｄｅｒ をアンインストールし、 機器を再起動して、 最新
バージョンの ＮｅｔＥｘｔｅｎｄｅｒ を再インストールします。
2. 上記によっても問題が解決しない場合は、 以下の情報を取得し
てサポートまで連絡してください。
• デバイス マネージャから取得した ＳＳＬ-ＶＰＮ ＮｅｔＥｘｔｅｎｄｅｒ アダプタ
のバージョン情報
• 以下のパスに存在するログ ファイル
C:\Program files\SonicWALL\SSL-VPN NetExtender\clientLog.txt
• 以下のパスに存在する ＷＩｎｄｏｗｓ メモリ ダンプ ファイル
C:\Windows\MEMORY.DMP
このファイルが見つからない場合は、 システム プロパティを開いて、
詳細設定タブにある 起動と回復 の設定ボタンを選択します。 デバッ
グ情報の書き込みフィールドにあるリスト ボックスで、 完全メモリ ダン
プ、 カーネル メモリ ダンプ、 あるいは最小メモリ ダンプのいずれかを
選択します。 もちろん、 そのダンプ ファイルを取得するためには、 ブ
ルースクリーンを再度表示させる必要があります。
• ウィンドウズのコントロール パネルの管理ツール フォルダ内にあ
るイベント ビューアから取得したイベント情報。 アプリケーション
およびシステム イベントを選択し、 操作 / ログ ファイルの名前
をつけて保存 メニューを使って、 各イベントをログ ファイルに
保存してください。
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
109
Trademarks
SonicWALL is a registered trademark of SonicWALL, Inc.
Microsoft Windows 98, Windows NT, Windows 2000, Windows XP, Windows Server 2003, Internet
Explorer, and Active Directory are trademarks or registered trademarks of Microsoft Corporation.
Netscape is a registered trademark of Netscape Communications Corporation in the U.S. and other
countries. Netscape Navigator and Netscape Communicator are also trademarks of Netscape
Communications Corporation and may be registered outside the U.S.
Adobe, Acrobat, and Acrobat Reader are either registered trademarks or trademarks of Adobe
Systems Incorporated in the U.S. and/or other countries.
Cisco Systems and Cisco PIX 515e and Linksys and Linksys Playtoy23 are either registered trademarks
or trademarks of Cisco Systems in the U.S. and /or other countries.
Watchguard and Watchguard Firebox X Edge are either registered trademarks or trademarks of
Watchguard Technologies Corporation in the U.S. and/or other countries.
NetGear, NetGear FVS318, and NetGear Wireless Router MR814 SSL are either registered trademarks
or trademarks of NetGear, Inc., in the U.S. and/or other countries.
Check Point and Check Point AIR 55 are either registered trademarks or trademarks of Check Point
Software Technologies, Ltd., in the U.S. and/or other countries.
Other product and company names mentioned herein may be trademarks and/or registered trademarks
of their respective companies and are the sole property of their respective manufacturers.
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
110
Limited Warranty
SonicWALL, Inc. warrants that commencing from the delivery date to Customer (but in any case
commencing not more than ninety (90) days after the original shipment by SonicWALL), and continuing
for a period of twelve (12) months, that the product will be free from defects in materials and
workmanship under normal use. This Limited Warranty is not transferable and applies only to the original
end user of the product. SonicWALL and its suppliers' entire liability and Customer's sole and exclusive
remedy under this limited warranty will be shipment of a replacement product. At SonicWALL's discretion
the replacement product may be of equal or greater functionality and may be of either new or like-new
quality. SonicWALL's obligations under this warranty are contingent upon the return of the defective
product according to the terms of SonicWALL's then-current Support Services policies.
This warranty does not apply if the product has been subjected to abnormal electrical stress, damaged
by accident, abuse, misuse or misapplication, or has been modified without the written permission of
SonicWALL.
DISCLAIMER OF WARRANTY. EXCEPT AS SPECIFIED IN THIS WARRANTY, ALL EXPRESS OR IMPLIED
CONDITIONS, REPRESENTATIONS, AND WARRANTIES INCLUDING, WITHOUT LIMITATION, ANY IMPLIED
WARRANTY OR CONDITION OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE,
NONINFRINGEMENT, SATISFACTORY QUALITY OR ARISING FROM A COURSE OF DEALING, LAW,
USAGE, OR TRADE PRACTICE, ARE HEREBY EXCLUDED TO THE MAXIMUM EXTENT ALLOWED BY
APPLICABLE LAW. TO THE EXTENT AN IMPLIED WARRANTY CANNOT BE EXCLUDED, SUCH
WARRANTY IS LIMITED IN DURATION TO THE WARRANTY PERIOD. BECAUSE SOME STATES OR
JURISDICTIONS DO NOT ALLOW LIMITATIONS ON HOW LONG AN IMPLIED WARRANTY LASTS, THE
ABOVE LIMITATION MAY NOT APPLY TO YOU. THIS WARRANTY GIVES YOU SPECIFIC LEGAL RIGHTS,
AND YOU MAY ALSO HAVE OTHER RIGHTS WHICH VARY FROM JURISDICTION TO JURISDICTION. This
disclaimer and exclusion shall apply even if the express warranty set forth above fails of its essential
purpose.
DISCLAIMER OF LIABILITY. SONICWALL'S SOLE LIABILITY IS THE SHIPMENT OF A REPLACEMENT
PRODUCT AS DESCRIBED IN THE ABOVE LIMITED WARRANTY. IN NO EVENT SHALL SONICWALL OR
ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER, INCLUDING, WITHOUT LIMITATION,
DAMAGES FOR LOSS OF PROFITS, BUSINESS INTERRUPTION, LOSS OF INFORMATION, OR OTHER
PECUNIARY LOSS ARISING OUT OF THE USE OR INABILITY TO USE THE PRODUCT, OR FOR SPECIAL,
INDIRECT, CONSEQUENTIAL, INCIDENTAL, OR PUNITIVE DAMAGES HOWEVER CAUSED AND
REGARDLESS OF THE THEORY OF LIABILITY ARISING OUT OF THE USE OF OR INABILITY TO USE
HARDWARE OR SOFTWARE EVEN IF SONICWALL OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE
POSSIBILITY OF SUCH DAMAGES. In no event shall SonicWALL or its suppliers' liability to Customer,
whether in contract, tort (including negligence), or otherwise, exceed the price paid by Customer. The
foregoing limitations shall apply even if the above-stated warranty fails of its essential purpose.
BECAUSE SOME STATES OR JURISDICTIONS DO NOT ALLOW LIMITATION OR EXCLUSION OF
CONSEQUENTIAL OR INCIDENTAL DAMAGES, THE ABOVE LIMITATION MAY NOT APPLY TO YOU.
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
111
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
112
索引
C
ＣＳＲ
ＣＳＲリクエストの作成 29
L
ＬＤＡＰ認証 90
N
ＮｅｔＥｘｔｅｎｄｅｒ
概念 8
ＮＴドメイン認証 89
S
ＳｏｎｉｃＷＡＬＬテクニカル サポート vii
ＳＳＬ 2, 3, 8
証明書のインポート 29
ハンドシェーク 2
ＳＳＬ- ＶＰＮ 12, 29, 51, 55, 56, 66, 69, 75, 76, 77,
82, 84, 87
ＳＳＬ－ＶＰＮ 2
概念 4
長所 1
Ｓｙｓｌｏｇの設定 22
あ
アクティブ ディレクトリ認証 91
暗号化 2
か
概念
ＮｅｔＥｘｔｅｎｄｅｒ 8
ＳｏｎｉｃＷＡＬＬ ＳＳＬ－ＶＰＮ 4
ドメイン vi
ポータル vi
レイアウト vi
管理インターフェース ix
共通アイコン xii
サブメニュー x
状況バー x
テーブルのナビゲート xi
ナビゲート x
ヘルプ xii
変更の適用 x
ログアウト xii
き
既定の設定の復元 28
く
グループの設定 52
グループ ブックマーク 56
グループ ポリシー 55
グローバル設定 74
グローバル ブックマーク 76
グローバル ポリシー 75
し
時刻と日付の設定 25
システム
警告 18
状況 16
情報 18
証明書
アクティブ化 32
削除 31
証明書署名リクエスト （ＣＳＲ）、 ＣＳＲを参照 29
せ
静的ルート 43
設定ファイルのエクスポート 27
て
電子メール警告 22
と
ドメイン 4, 15, 86, 87, 90, 92
概要 4
設定 79
に
認証ドメイン 79
概要 86
ふ
ブラウザ要件 12
ゆ
ユーザの削除 64
ユーザの設定 62
ユーザ ブックマーク 69
ユーザポリシー 65
れ
レイアウト vi
ろ
ログ
イベントの表示 20
ログ設定の構成 22
グループの削除 53
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者 ガ イ ド
113
114
Ｓ ｏ ｎ ｉ ｃ Ｗ Ａ Ｌ Ｌ Ｓ Ｓ Ｌ - Ｖ Ｐ Ｎ 管理者ガ イ ド
SonicWALL, Inc.
〒107-0052 東京都港区赤坂 1 丁目 8 番地 6 号 赤坂 HKN ビル 7F
T: 03-5573-4701 F: 03-5573-4708 www.sonicwall.co.jp
[email protected]
© 2006 SonicWALL, Inc. SonicWALLは、SonicWALL, Inc.の登録商標です。
ここに記載されている他の製品名、企業名は、各企業の商標または登録商標です。
製品の仕様、説明は予告なく変更されることがあります。
P/ N 232-000949-01
Rev A 9/08