Comments
Description
Transcript
管理ガイド - Juniper Networks
Odyssey アクセス クライアント (Windows) 管理ガイド エンタープライズ エディション FIPS エディション リリース 5.0 2009 年 02 月 Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000 www.juniper.net 品番:530-028166-01-JA Copyright Notice This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright © 1986-1997, Epilogue Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no part of them is in the public domain. This product includes memory allocation software developed by Mark Moraes, copyright © 1988, 1989, 1993, University of Toronto. This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentation and software included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by the Regents of the University of California. Copyright © 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved. GateD software copyright © 1995, the Regents of the University. All rights reserved. Gate Daemon was originated and developed through release 3.0 by Cornell University and its collaborators. Gated is based on Kirton's EGP, UC Berkeley's routing daemon (routed), and DCN's HELLO routing protocol. Development of Gated has been supported in part by the National Science Foundation. Portions of the GateD software copyright © 1988, Regents of the University of California. All rights reserved. Portions of the GateD software copyright © 1991, D. L. S. Associates. This product includes software developed by Maker Communications, Inc., copyright © 1996, 1997, Maker Communications, Inc. Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned by or licensed to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347, 6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785. Juniper Networks, the Juniper Networks logo, NetScreen, and ScreenOS are registered trademarks of Juniper Networks, Inc. in the United States and other countries. JUNOS and JUNOSe are trademarks of Juniper Networks, Inc. All other trademarks, service marks, registered trademarks, or registered service marks are the property of their respective owners. Copyright © 2008 Juniper Networks, Inc. All rights reserved. Printed in the USA. FCC Statement The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with the instruction manual, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device and may result in the equipment no longer complying with FCC requirements for Class A or Class B digital devices. In that event, your right to use the equipment may be limited by FCC regulations, and you may be required to correct any interference to radio or television communications at your own expense. U.S. Government Rights Commercial software and commercial software documentation: This documentation is commercial computer software documentation and the products (whether hardware or software) covered by this documentation are or contain commercial computer software. Government users are subject to the Juniper Networks, Inc. standard end user license agreement and any applicable provisions of the FAR and its supplements. No further rights are granted. Products (whether hardware or software) covered by, and information contained in, this documentation are controlled by U.S. Export Control laws and may be subject to the export or import laws in other countries. Nuclear, missile, chemical, biological weapons end uses or end users, whether direct or indirect, are strictly prohibited. Export or re-export to countries subject to U.S. embargo or to entities identified on US export exclusion lists, including, but not limited to, the denied persons and specially designated national lists, is strictly prohibited. Disclaimer THE SPECIFICATIONS AND INFORMATION REGARDING THE PRODUCTS IN THIS MANUAL ARE SUBJECT TO CHANGE WITHOUT NOTICE. ALL STATEMENTS, INFORMATION AND RECOMMENDATIONS IN THIS MANUAL ARE BELIEVED TO BE ACCURATE BUT ARE PRESENTED WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED. THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY. End User License Agreement READ THIS END USER LICENSE AGREEMENT ("AGREEMENT") BEFORE DOWNLOADING, INSTALLING, OR USING THE SOFTWARE. BY DOWNLOADING, INSTALLING, OR USING THE SOFTWARE OR OTHERWISE EXPRESSING YOUR AGREEMENT TO THE TERMS CONTAINED HEREIN, YOU (AS CUSTOMER OR IF YOU ARE NOT THE CUSTOMER, AS A REPRESENTATIVE/AGENT AUTHORIZED TO BIND THE CUSTOMER) CONSENT TO BE BOUND BY THIS AGREEMENT. IF YOU DO NOT OR CANNOT AGREE TO THE TERMS CONTAINED HEREIN, THEN (A) DO NOT DOWNLOAD, INSTALL, OR USE THE SOFTWARE, AND (B) YOU MAY CONTACT JUNIPER NETWORKS REGARDING LICENSE TERMS. 1. The Parties. The parties to this Agreement are Juniper Networks, Inc. and its subsidiaries (collectively "Juniper"), and the person or organization that originally purchased from Juniper or an authorized Juniper reseller the applicable Iicense(s) for use of the Software (“Customer”) (collectively, the "Parties"). 2. The Software. In this Agreement, "Software" means the program modules and features of the Juniper or Juniper-supplied software, and updates and releases of such software, for which Customer has paid the applicable license or support fees to Juniper or an authorized Juniper reseller. "Embedded Software" means Software which Juniper has embedded in the Juniper equipment. 3. License Grant. Subject to payment of the applicable fees and the limitations and restrictions set forth herein, Juniper grants to Customer a non-exclusive and non-transferable license, without right to sublicense, to use the Software, in executable form only, subject to the following use restrictions: a. Customer shall use the Embedded Software solely as embedded in, and for execution on, Juniper equipment originally purchased by Customer from Juniper or an authorized Juniper reseller. b. Customer shall use the Software on a single hardware chassis having a single processing unit, or as many chassis or processing units for which Customer has paid the applicable license fees; provided, however, with respect to the Steel-Belted Radius or Odyssey Access Client software only, Customer shall use such Software on a single computer containing a single physical random access memory space and containing any number of processors. Use of the Steel-Belted Radius software on multiple computers requires multiple licenses, regardless of whether such computers are physically contained on a single chassis. c. Product purchase documents, paper or electronic user documentation, and/or the particular licenses purchased by Customer may specify limits to Customer's use of the Software. Such limits may restrict use to a maximum number of seats, registered endpoints, concurrent users, sessions, calls, connections, subscribers, clusters, nodes, realms, devices, links, ports or transactions, or require the purchase of separate licenses to use particular features, functionalities, services, applications, operations, or capabilities, or provide throughput, performance, configuration, bandwidth, interface, processing, temporal, or geographical limits. In addition, such limits may restrict the use of the Software to managing certain kinds of networks or require the Software to be used only in conjunction with other specific Software. Customer's use of the Software shall be subject to all such limitations and purchase of all applicable licenses. d. For any trial copy of the Software, Customer's right to use the Software expires 30 days after download, installation or use of the Software. Customer may operate the Software after the 3D-day trial period only if Customer pays for a license to do so. Customer may not extend or create an additional trial period by re-installing the Software after the 3D-day trial period. e. The Global Enterprise Edition of the Steel-Belted Radius software may be used by Customer only to manage access to Customer's enterprise network. Specifically, service provider customers are expressly prohibited from using the Global Enterprise Edition of the Steel-Belted Radius software to support any commercial network access services. The foregoing license is not transferable or assignable by Customer. No license is granted herein to any user who did not originally purchase the applicable Iicense(s) for the Software from Juniper or an authorized Juniper reseller. 4. Use Prohibitions. Notwithstanding the foregoing, the license provided herein does not permit the Customer to, and Customer agrees not to and shall not: (a) modify, unbundle, reverse engineer, or create derivative works based on the Software; (b) make unauthorized copies of the Software (except as necessary for backup purposes); (c) rent, sell, transfer, or grant any rights in and to any copy of the Software, in any form, to any third party; (d) remove any proprietary notices, labels, or marks on or in any copy of the Software or any product in which the Software is embedded; (e) distribute any copy of the Software to any third party, including as may be embedded in Juniper equipment sold in the secondhand market; (f)use any 'locked' or key-restricted feature, function, service, application, operation, or capability without first purchasing the applicable Iicense(s) and obtaining a valid key from Juniper, even if such feature, function, service, application, operation, or capability is enabled without a key; (g) distribute any key for the Software provided by Juniper to any third party; (h) use the Software in any manner that extends or is broader than the uses purchased by Customer from Juniper or an authorized Juniper reseller; (i) use the Embedded Software on non-Juniper equipment; (j) use the Software (or make it available for use) on Juniper equipment that the Customer did not originally purchase from Juniper or an authorized Juniper reseller; (k) disclose the results of testing or benchmarking of the Software to any third party without the prior written consent of Juniper; or (I) use the Software in any manner other than as expressly provided herein. 5. Audit. Customer shall maintain accurate records as necessary to verify compliance with this Agreement. Upon request by Juniper, Customer shall furnish such records to Juniper and certify its compliance with this Agreement. 6. Confidentiality. The Parties agree that aspects of the Software and associated documentation are the confidential property of Juniper. As such, Customer shall exercise all reasonable commercial efforts to maintain the Software and associated documentation in confidence, which at a minimum includes restricting access to the Software to Customer employees and contractors having a need to use the Software for Customer's internal business purposes. 7. Ownership. Juniper and Juniper's licensors, respectively, retain ownership of all right, title, and interest (including copyright) in and to the Software, associated documentation, and all copies of the Software. Nothing in this Agreement constitutes a transfer or conveyance of any right, title, or interest in the Software or associated documentation, or a sale of the Software, associated documentation, or copies of the Software. 8. Warranty, Limitation of Liability, Disclaimer of Warranty. The warranty applicable to the Software shall be as set forth in the warranty statement that accompanies the Software (the "Warranty Statement"). Nothing in this Agreement shall give rise to any obligation to support the Software. Support services may be purchased separately. Any such support shall be governed by a separate, written support services agreement. TO THE MAXIMUM EXTENT PERMITTED BY LAW, JUNIPER SHALL NOT BE LIABLE FOR ANY LOST PROFITS, LOSS OF DATA, OR COSTS OR PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES, OR FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES ARISING OUT OF THIS AGREEMENT, THE SOFTWARE, OR ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. IN NO EVENT SHALL JUNIPER BE LIABLE FOR DAMAGES ARISING FROM UNAUTHORIZED OR IMPROPER USE OF ANY JUNIPER OR JUNIPER·SUPPLIED SOFTWARE. EXCEPT AS EXPRESSLY PROVIDED IN THE WARRANTY STATEMENT TO THE EXTENT PERMITTED BY LAW, JUNIPER DISCLAIMS ANY AND ALL WARRANTIES IN AND TO THE SOFTWARE (WHETHER EXPRESS, IMPLIED, STATUTORY, OR OTHERWISE), INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. IN NO EVENT DOES JUNIPER WARRANT THAT THE SOFTWARE, OR ANY EQUIPMENT OR NETWORK RUNNING THE SOFTWARE, WILL OPERATE WITHOUT ERROR OR INTERRUPTION, OR WILL BE FREE OF VULNERABILITY TO INTRUSION OR ATTACK. In no event shall Juniper's or its suppliers' or licensors' liability to Customer, whether in contract, tort (including negligence), breach of warranty, or otherwise, exceed the price paid by Customer for the Software that gave rise to the claim, or if the Software is embedded in another Juniper product, the price paid by Customer for such other product. Customer acknowledges and agrees that Juniper has set its prices and entered into this Agreement in reliance upon the disclaimers of warranty and the limitations of liability set forth herein, that the same reflect an allocation of risk between the Parties (including the risk that a contract remedy may fail of its essential purpose and cause consequential loss), and that the same form an essential basis of the bargain between the Parties. 9. Termination. Any breach of this Agreement or failure by Customer to pay any applicable fees due shall result in automatic termination of the license granted herein. Upon such termination, Customer shall destroy or return to Juniper all copies of the Software and related documentation in Customer's possession or control. 10. Taxes. All license fees for the Software are exclusive of taxes, withholdings, duties, or levies (collectively "Taxes"). Customer shall be responsible for paying Taxes arising from the purchase of the license, or importation or use of the Software. 11. Export. Customer agrees to comply with all applicable export laws and restrictions and regulations of any United States and any applicable foreign agency or authority, and not to export or re-export the Software or any direct product thereof in violation of any such restrictions, laws or regulations, or without all necessary approvals. Customer shall be liable for any such violations. The version of the Software supplied to Customer may contain encryption or other capabilities restricting Customer's ability to export the Software without an export license. 12. Commercial Computer Software. The Software is "commercial computer software" and is provided with restricted rights. Use, duplication, or disclosure by the United States government is subject to restrictions set forth in this Agreement and as provided in DFARS 227.7201 through 227.7202-4, FAR 12.212, FAR 27.405(b)(2), FAR 52.227-19; or FAR 52.227-14(ALT III) as applicable. 13. Interface Information. To the extent required by applicable law, and at Customer's written request, Juniper shall provide Customer with the interface information needed to achieve interoperability between the Software and another independently created program, on payment of applicable fee, if any. Customer shall observe strict obligations of confidentiality with respect to such information and shall use such information in compliance with any applicable terms and conditions upon which Juniper makes such information available. 14. Third Party Software. Any licensor of Juniper whose software is embedded in the Software and any supplier of Juniper whose products or technology are embedded in (or services are accessed by) the Software shall be a third party beneficiary with respect to this Agreement, and such licensor or vendor shall have the right to enforce this Agreement in its own name as if it were Juniper. In addition, certain third party software may be provided with the Software and is subject to the accompanying Iicense(s), if any, of its respective owner(s). To the extent portions of the Software are distributed under and subject to open source licenses obligating Juniper to make the source code for such portions publicly available (such as the GNU General Public License ("GPL") or the GNU Library General Public License ("LGPL")), Juniper will make such source code portions (including Juniper modifications, as appropriate) available upon request for a period of up to three years from the date of distribution. Such request can be made in writing to Juniper Networks, Inc., 1194 N. Mathilda Ave., Sunnyvale, CA 94089, ATTN: General Counsel. You may obtain a copy of the GPL at http://www.gnu.org/licenses/gpl.html. and a copy of the LGPL at http://www.gnu.org/licenses/lgpl.html. 15. Miscellaneous. This Agreement shall be governed by the laws of the State of California without reference to its conflicts of laws principles. The provisions of the U.N. Convention for the International Sale of Goods shall not apply to this Agreement. For any disputes arising under this Agreement, the Parties hereby consent to the personal and exclusive jurisdiction of, and venue in, the state and federal courts within Santa Clara County, California. This Agreement constitutes the entire and sole agreement between Juniper and the Customer with respect to the Software, and supersedes all prior and contemporaneous agreements relating to the Software, whether oral or written (including any inconsistent terms contained in a purchase order), except that the terms of a separate written agreement executed by an authorized Juniper representative and Customer shall govern to the extent such terms are inconsistent or conflict with terms contained herein. No modification to this Agreement nor any waiver of any rights hereunder shall be effective unless expressly assented to in writing by the party to be charged. If any portion of this Agreement is held invalid, the Parties agree that such invalidity shall not affect the validity of the remainder of this Agreement. This Agreement and associated documentation has been written in the English language, and the Parties agree that the English version will govern. (For Canada: Les parties aux présentés confirment leur volonté que cette convention de même que tous les documents y compris tout avis qui s'y rattaché, soient redigés en langue anglaise. (Translation: The parties confirm that this Agreement and all related documentation are and will be in the English language)). 目次 はじめに ix 本マニュアルの対象読者................................................................................. x 規則 ................................................................................................................. x ドキュメント.................................................................................................. xi 製品ドキュメントとリリースノート ...................................................... xii コンテキスト センシティブ ヘルプ........................................................ xii テクニカル サポートの要求 .......................................................................... xii セルフヘルプ オンライン ツールおよびリソース ................................. xiii JTAC への問い合わせ ............................................................................. xiii 第1章 Odyssey アクセス クライアント管理者について 1 OAC ネットワーク認証の概要......................................................................... 2 OAC 構成の計画 .............................................................................................. 3 Odyssey アクセス クライアント管理者ツールの概要..................................... 5 接続設定 ................................................................................................... 6 初期設定 ................................................................................................... 7 マシン アカウント .................................................................................... 7 権限エディタ ............................................................................................ 7 マージ ルール ........................................................................................... 7 カスタム インストーラ............................................................................. 8 スクリプト コンポーザ............................................................................. 8 PAC マネージャ ........................................................................................ 8 第2章 ユーザー アカウントの構成 9 初期設定ツールの概要 .................................................................................... 9 初期設定の [ ツール ] メニュー オプション ........................................... 10 初期設定のプロセス フロー .......................................................................... 12 初期設定の構成 ............................................................................................. 13 Windows ログオン設定の管理................................................................ 14 デフォルトの Windows ログオン 設定の上書きに関する注意 ............... 15 ログイン名形式の構成............................................................................ 15 ユーザー アカウントの接続タイミングの構成 ............................................. 17 構成の設定のテスト ...................................................................................... 18 マシン接続設定のテスト ........................................................................ 18 ネットワーク アダプタおよび他の Wi-Fi サプリカントのコントロール ...... 19 第3章 マシン アカウントの構成 21 マシン アカウント ツール概要 ..................................................................... 22 マシン アカウント設定のプロセスの流れ ....................................................23 マシン アカウント接続を有効にする............................................................ 24 マシン アカウント設定の構成 ...................................................................... 24 マシン アカウント プロファイル オプション ........................................ 25 v Odyssey アクセス クライアント管理ガイド 第4章 いつ、どのようにネットワーク接続が発生するかを構成する 29 接続設定ツールの概要 .................................................................................. 29 接続設定の構成のプロセス フロー......................................................... 31 ネットワーク接続のタイミングについて ............................................... 32 ユーザー アカウント接続の構成 ................................................................... 33 Windows ログオン後、デスクトップの表示前に接続............................ 33 Windows ログオン前に接続 .................................................................. 34 マシン アカウント接続の構成 ...................................................................... 35 マシン アカウントの接続設定の構成 ..................................................... 36 マシンのみの接続の構成 ........................................................................ 37 ユーザー接続に切り替わるマシン接続の構成........................................ 37 GINA での Windows ログオン前の接続の設定.............................................. 38 Odyssey GINA モジュールのインストール ............................................. 39 Odyssey GINA モジュールの削除............................................................ 39 サードパーティの GINA モジュールと Odyssey GINA を使用 ................ 39 Windows ログオン時に実行している他のモジュールと GINA との 互換性 ..............................................................................................39 GINA をスマート カードと使用 .............................................................. 40 第5章 個別の OAC 機能に対する権限設定 43 権限設定の概要 ............................................................................................. 43 認証プロトコル....................................................................................... 44 TTLS 内部認証プロトコル....................................................................... 44 TTLS 内部 EAP プロトコル...................................................................... 44 PEAP 内部認証プロトコル ...................................................................... 44 プロファイルのプロパティ..................................................................... 44 オプション..............................................................................................44 ネットワークのプロパティ..................................................................... 44 Odyssey 制御 .......................................................................................... 45 ユーザー インターフェース設定 ............................................................ 45 ユーザー インターフェース - 構成セクションの非表示 ...................... 45 ユーザー インターフェース - 構成セクションの非表示 ...................... 45 権限限または制限の設定............................................................................... 46 権限エディタを使用する際のガイドライン .................................................. 46 第6章 マージ ルールを使用した更新の管理 49 マージ ルールの概要..................................................................................... 49 マージ ルールの使用例........................................................................... 49 マージ ルールの設定 .............................................................................. 50 マージ ルールの設定..................................................................................... 51 プロファイル用にマージ ルールを設定する .......................................... 52 ネットワーク用にマージ ルールを設定する .......................................... 52 個々のネットワーク用にマージ ルールを設定する................................ 52 自動スキャン リスト用にマージ ルールを設定する............................... 53 インフラネット コントローラ用にマージ ルールを設定する ................ 53 信頼用にマージ ルールを設定する......................................................... 54 [ その他 ] タブ用にマージ ルールを設定する......................................... 55 vi 第7章 Odyssey アクセス クライアントの配備 57 カスタム インストーラ ツールの概要........................................................... 57 カスタム インストーラ ツールを開く ....................................................58 配備のプロセス フロー ................................................................................. 59 新しいインストーラ ファイルの作成............................................................ 60 新しいカスタム インストーラ ファイルの作成ガイドライン ................ 60 カスタム更新ファイルの作成 ....................................................................... 61 ユーザー アカウント設定更新のプロセス フロー......................................... 62 事前構成ファイルのエクスポート ................................................................ 63 サイレント インストール オプションの使用 ......................................... 64 ユーザーのグループに対する OAC の事前構成 ............................................ 64 OAC 構成のセットアップ ....................................................................... 64 複数ユーザーへの配分のための OAC 更新の構成 .................................. 65 構成済みネットワーク接続の例外 ................................................................ 66 タスク サマリー:マシン アカウント用の更新設定のマージ.......................66 マシン アカウント設定更新のプロセス フロー ............................................ 68 スクリプトを使った OAC の配備 .................................................................. 69 スクリプト コンポーザの概要 ................................................................ 69 スクリプトの作成 ......................................................................................... 70 スクリプトを使ったプロファイルの追加または設定 ............................. 71 スクリプトを使ったプロファイルの削除 ............................................... 71 スクリプトを使った有線接続用プロファイルのアクティブ化............... 71 スクリプトを使ったネットワークの追加または設定 ............................. 72 スクリプトを使った構成済みネットワークの削除................................. 72 スクリプトを使った有線接続用ネットワークのアクティブ化............... 72 スクリプトを使った自動スキャン リストの追加または設定 ................. 73 スクリプトを使った自動スキャン リストの削除 ................................... 73 スクリプトを使用した他のタブの設定の管理........................................ 73 スクリプトを使用した信頼ツリーの追加または設定 ............................. 74 スクリプトを使用したオプション設定の置換........................................ 74 スクリプトによる SSID を使用したネットワークの削除 .......................75 スクリプトを使用した FIP オプション(FE のみ)の設定または置換... 75 スクリプトを使用した増分更新の配備................................................... 75 コマンドを使用した OAC スクリプトの作成およびロード .................... 77 第8章 保護アクセス信用情報の管理 79 PAC マネージャの画面の更新 ....................................................................... 79 PAC の削除 .................................................................................................... 79 PAC マネージャの終了 .................................................................................. 79 第9章 管理ワークフローの例 81 TTLS または PEAP のシングル サインオン ................................................... 81 GINA を使用して、Windows ログオン構成前の構成をする ......................... 82 ユーザー アカウント接続設定ツールを指定し、OAC GINA をインス トールする..............................................................................................82 Windows ログオン前設定のテスト ............................................................... 83 索引 85 vii Odyssey アクセス クライアント管理ガイド viii はじめに 本ガイドは、Odyssey アクセス クライアント管理者ツールを使用して、ユーザー が Odyssey アクセス クライアント (OAC) を構成、更新、配備する方法を記述して います。企業ネットワークでは、OAC は、保護されたネットワークへの認証され た、安全なアクセスのために 802.1X ワイヤレス アクセス ポイント、802.1X ス イッチおよびインフラネット コントローラとネゴシエートします。 Juniper Networks Steel-Belted Radius などの認証サーバーは、各ユーザーを認証し なければなりません。Juniper Networks の統合型アクセス管理 (UAC) ネットワー クでは、ネットワーク上の保護されたリソースへのアクセスが許可される前に、 ユーザーのエンドポイント コンピュータはセキュリティ コンプライアンスを確 認されます。802.1X が有効化されたスイッチが存在するネットワークでは、その スイッチは、ネットワーク セキュリティ アーキテクチャにおいての実施ポイン トです。 このリリースは OAC の 2 つの正規版をサポートします。 OAC エンタープライズ エディション (EE) OAC 米国連邦情報処理規格 (FIPS) エディション (FE) 本ガイドは、ライセンスの種類に基づく製品機能、製品ライセンスにおける違い を区別します。 保護されたネットワーク リソースへの認証されたアクセスが、インフラネット コントローラによって管理されている Juniper Networks 統合型アクセス管理セ キュリティ ソリューションを含んだネットワークに OAC を導入することができ ます。OAC が、認証されたアクセスのための AAA サーバーと直接ネゴシエート するインフラネット コントローラのない従来のネットワークに OAC を導入する こともできます。 本ガイドは、次の Juniper Networks のウェブ サイトにて PDF 形式で入手でき ます。 http://www.juniper.net/techpubs/ ix Odyssey アクセス クライアント管理ガイド 本マニュアルの対象読者 本ガイドは、企業ユーザーのための安全な有線およびワイヤレス ネットワーク アクセスを管理することを含めた責任を持つネットワーク管理者用です。本ガイ ドは、ユーザーに OAC を構成、配備して、EAP 認証プロトコルを構成し、そして どの OAC 機能をユーザーが見たり構成できるかを設定することに責任をもつ管 理者のためのものです。 OAC は、管理者および個々のユーザーに対して広範囲にわたる構成オプションと コントロールを提供します。企業のセキュリティ ポリシーと、Odyssey アクセス クライアント管理者での設定構成に基づいて、ユーザーがどのくらいの柔軟性と 管理能力を持つかを決定するのは管理者です。OAC の管理に責任を持つすべての 管理者は OAC の使用、そして Odyssey アクセス クライアント ユーザー ガイドで 示される情報について熟知していなければなりません。xi ページの「ドキュメン ト」を参照してください。 このドキュメントの内容の一部は、特に Juniper Networks 統合型アクセス管理 (UAC) セキュリティ ソリューションの構成タスクに関連しています。UAC ネット ワークで OAC を使用している場合は、次のウェブ サイトで Unified Access Control Administration Guide を参照してください。 http://www.juniper.net/techpubs/ 規則 以下の表は、この本を使う上での規約を表示しています。表 1 では、注意アイコ ンを定義し、表 2 では、テキスト スタイルの規約を定義し、表 3 では、CLI 規約 を定義し、表 4 では、GUI 規約を定義しています。 表 1:注意アイコン アイコン 意味 説明 参考情報 重要な機能や手順を示します。 注意 データの損失や、ハードウェアへダメージを及ぼす可能 性のあることを示しています。 警告 人体への傷害の危険に対する警戒を喚起しています。 表 2:テキスト スタイル方式 表記 説明 プレイン サンセリフ体 ファイル名、ディレクトリ名。 斜体 テキストで定義されている用語。 数値を提供するための変数。 本のタイトル。 +(プラス サイン) x 本マニュアルの対象読者 プラス サインのついたキーボード名は、2 つ以上のキー ボードを同時に押さなければならないということです。 はじめに 表 3:CLI の規則 表記 説明 太字 入力したコマンド、コマンド名、オプション。 プレイン サンセリフ体 ファイル名、ディレクトリ名。 コード、システム出力。 斜体 数値を提供するための変数。 [ ] 角括弧 角括弧で囲まれた要素は、オプションのキーワードまたは数 値を表示します。 | パイプ記号 パイプ文字で分けられた要素は、相互に排他的なキーワード または変数間の選択を示します。 {}枠 枠で囲まれた要素は、要求されたキーワードまたは変数を表 示します。 表 4:GUI 規則 表記 説明 >(右アングル ブラケット) UI を介するナビゲーション パス。 太字 タブ、ボタン、メニュー オプションなどの手順で選択される ユーザー インターフェース要素。 斜体 数値を提供するための変数。 ドキュメント 表 5 は OAC と UAC ドキュメンテーション セット、およびオンラインでのアクセ ス方法をリストしています。 表 5:OAC/UAC ドキュメンテーション セット タイトル 目的 Odyssey アクセス クライアントクイッ ク スタート ガイド 基本ユーザーが OAC をインストールし、有線、また はワイヤレス ネットワークにすばやく接続するのに 役立ちます。 Odyssey アクセス クライアントユー ザー ガイド 初級および上級のユーザーへ OAC の概要を、提供し ています。また、詳細な論議、ネットワーク構成と 認証設定についての手順、基本的なトラブルシュー ティングのアドバイスを記載しています。 Odyssey アクセス クライアント管理ガ 複数のユーザに対して、OAC を計画、構成、および 配備する方法、ユーザー グループのスキル レベルと 必要性を基準とした OAC オプションへのアクセス方 法、更新の管理方法、スクリプトを使用して更新を 展開する方法を、記載しています。 イド Unified Access Control Administration Guide Juniper Networks 統合型アクセス コントロール (UAC) ソリューションについて記載しており、構成 とメンテナンスについての手順を説明しています。 Unified Access Control Quick Start Guide インフラネット コントローラとインフラネット エ ンフォーサの構成に対する基本的なタスクを記載し ています。 ドキュメント xi Odyssey アクセス クライアント管理ガイド 表 5:OAC/UAC ドキュメンテーション セット タイトル 目的 Unified Access Control Client-Side Changes Guide Odyssey アクセス クライアントおよびインフラネッ ト コントローラーがクライアントのコンピュータへ 行う、ファイルのインストールや変更のレジストリ を含めた変更について記載しています。 Unified Access Control Custom Sign-in Pages Solutions Guide インフラネット コントローラがユーザーおよび管理 者に表示する事前認証、またはサインインページの 外観をカスタマイズする方法を記載しています。 Unified Access Control J.E.D.I. Solutions Guide ホストチェッカー クライアントとサーバー API を通 して、解決策を書き込み、実行する方法を記載して います。 Unified Access Control Deployment Scenarios Guide 統合型アクセス コントロール ソリューションの実 装に対する推奨作業を提供しています。 製品ドキュメントとリリースノート 製品のリリース ノート、Odyssey アクセス クライアントクイック スタート ガイ ド、Odyssey アクセス クライアントユーザー ガイド には次のウェブ サイトから アクセスできます。 http://www.juniper.net/techpubs/ リリースノートは、機能、変更、周知の問題、解決済の問題について最新の情報 を提供します。リリースノートの情報がドキュメンテーション セットのものと異 なる場合、リリースノートに従ってください。 コンテキスト センシティブ ヘルプ Odyssey アクセス クライアント管理者には、オンライン ヘルプが含まれており、 Odyssey アクセス クライアント管理者メニューバーにある [ ヘルプ ] > [ ヘルプ トピック ] からアクセスすることができます。 Odyssey アクセス クライアント管理者のコンテキスト センシティブ ヘルプにア クセスするには、キーボードの F1 を押してください。現在表示されている OAC コンテキストに関連のある情報がヘルプに表示されます。 テクニカル サポートの要求 製品のテクニカル サポートは、Juniper Networks 技術支援センター (JTAC) を通じ て利用可能です。お客様が、アクティブな J-Care または JNASC サポート契約を結 んだ顧客である場合、または保証の対象であり販売後のテクニカル サポートが必 要である場合、弊社のツールやリソースにオンラインでアクセスするか、または JTAC に相談できます。 xii テクニカル サポートの要求 JTAC ポリシー - 弊社の JTAC 手順およびポリシーを完全に理解するには、 http://www.juniper.net/customers/support/downloads/710059.pdf にある JTAC User Guide を参照してください。 はじめに 製品保証 - 製品保証に関する情報は、 http://www.juniper.net/support/warranty/ を参照してください。 JTAC 業務時間 - JTAC センターのリソースは、24 時間年中無休で利用でき ます。 セルフヘルプ オンライン ツールおよびリソース 問題を簡単に素早く解決するために、Juniper Networks では、Customer Support Center (CSC) という名前のオンライン セルフサービス ポータルを開設し、次の サービスを提供します。 CSC 提供物を確認 - http://www.juniper.net/customers/support/ 製品ドキュメントを探す - http://www.juniper.net/techpubs/ 弊社の知識ベースを使用してソリューションを発見、質問に回答 - http://kb.juniper.net/ ソフトウェアの最新バージョンをダウンロード、リリースノートを参照 - http://www.juniper.net/customers/csc/software/ 関連するハードウェアおよびソフトウェアの通知を技術告示で検索 - http://www.juniper.net/alerts/ Juniper Networks コミュニティ フォーラムに加入、参加 - http://www.juniper.net/company/communities/ CSC Case Manager でオンラインで問い合わせ - http://www.juniper.net/customers/cm/ 製品シリアル ナンバーによるサービス資格を確認するには、弊社の SNE (Serial Number Entitlement) ツールを使用 - https://tools.juniper.net/SerialNumberEntitlementSearch/ JTAC への問い合わせ JTAC とのケースの開設はウェブ サイトまたは電話でできます。 http://www.juniper.net/customers/cm/ にある、CSC の Case Manager ツールを 使用します。 電話 1-888-314-JTAC(1-888-314-5822 - 米国、カナダ、メキシコでは通話料 無料)。 通話料無料番号のない国での国際電話またはダイヤル直通電話は、 http://www.juniper.net/customers/support/requesting-support/ を参照してくだ さい。 テクニカル サポートの要求 xiii Odyssey アクセス クライアント管理ガイド xiv テクニカル サポートの要求 第1章 Odyssey アクセス クライアント管理者に ついて この項目は、Odyssey アクセス クライアント管理者の概要です。これは、OAC を 構成、更新、およびユーザーへの配備するための、またユーザーが OAC のどの機 能にアクセスできるかをコントロールするためのツール群です。Odyssey アクセ ス クライアント管理者には、OAC マネージャのメニュー バーからアクセスでき ます。[ ツール ] > [Odyssey アクセス クライアント アドミニストレータ ] をク リックします。 また、セキュアなネットワーク認証に必要なコンポーネントとプロセスの説明、 およびユーザーへの OAC の構成と配備を計画するときに考慮すべき項目の要約 が含まれます。 OAC は、802.1X ネットワーク アクセス クライアント ソフトウェアです。セキュ アな無線 LAN アクセスに必要な拡張認証プロトコル (EAP) を完全にサポートし ます。Juniper Networks Steel-Belted Radius のような 802.1X 互換の RADIUS サー バーと使用して、OAC は、WLAN ユーザーの認証および接続を安全に行います。 許可されたユーザーのみが接続でき、ログイン信用情報が危険にさらされず、デー タのプライバシがワイヤレス リンク上で維持されます。また、OAC は、識別情報 ベースの(有線 802.1X)ネットワーキングを配備している企業のクライアントと して使用できます。OAC は、企業ネットワーク、ホーム Wi-Fi ネットワーク、お よび公衆ホットスポットにワイヤレス アクセスを提供します。 Juniper Networks 統合型アクセス管理 (UAC) ソリューションは、ユーザー識別情 報およびデバイスのセキュリティ状態情報をネットワークの場所と組み合わせ、 各ユーザーに固有のアクセス制御ポリシーを作成します。このソリューションは、 802.1X を使用してレイヤー 2 で、またはオーバーレイ配備を使用してレイヤー 3 で有効化できます。また、UAC は、混合モードでプロビジョニングできます。 802.1X をネットワーク アクセス許可コントロールに使用し、レイヤー 3 をリ ソース アクセス コントロールに使用します。このソリューションの中央に位置 するのが、インフラネット コントローラです。これは、保護されたリソースへの アクセスを許可する前に、ユーザーの識別情報およびコンピュータのセキュリ ティ要件のコンプライアンスを確認するサーバーです。インフラネット エン フォーサは、インフラネット コントローラがセキュリティ ポリシーを実行する ためのファイアウォールです。インフラネット エンフォーサは、インフラネット コントローラおよび保護されたネットワーク リソースの前に配備されます。 1 Odyssey アクセス クライアント管理ガイド OAC ネットワーク認証の概要 OAC がセキュアなネットワーク接続を試みると、その接続が完了する前に、一連 のネゴシエーションによるトランザクションが行われます。図 1 は、そのような 接続に関わる、基本的なネットワーク コンポーネントおよびトランザクションを 要約しています。 ネットワークのセキュリティおよび認証に関する背景知識は、Odyssey アクセス クライアント ユーザー ガイドの付録 A「ネットワーク セキュリティの概念」を 参照してください。 図 1:ネットワーク認証イベント (レイヤー 2) (レイヤー 3) ユーザーまたはマシン(コンピュータ)は、保護されたネットワーク リソースへ のアクセスを獲得する前に、認識され認証されなければなりません。このような 接続には、ログオン プロセスが完了する前に、一連のイベントの発生が必要で す。IEEE 802.1X ネットワークでは、それらのイベントには、拡張認証プロトコ ル (EAP) 方式を使用した、ユーザーまたはマシンの認証が含まれます。UAC ネッ トワークでは、ユーザーおよびマシンの両方が、ネットワークのセキュリティ ポ リシーに準拠しなければなりません。 認証されたネットワーク アクセスのためには、次の基本的なイベントが発生しな ければなりません。 1. OAC は、認証されたネットワーク接続の確立を試みます。企業ネットワーク のインフラストラクチャにより、ネットワーク接続には、802.1X スイッチや ワイヤレス アクセス ポイントへのレイヤー 2 接続、またはインフラネット コントローラや 802.1X 認証をサポートしないスイッチへのレイヤー 3 接続 を含むことができます。 (インフラネット コントローラは、保護されたリソー スへのアクセスを許可する前に、ユーザーの識別情報およびコンピュータの セキュリティ要件へのコンプライアンスを確認するサーバーです。) 2. 有線の OAC クライアントについては、認証サーバーへの 802.1X スイッチ(レ イヤー 2)上の認証ポートを通って、認証は行われます。802.1X をサポート しないネットワーク スイッチについては、ネットワーク接続はレイヤー 3 で 行われます。 2 OAC ネットワーク認証の概要 第 1 章 Odyssey アクセス クライアント管理者について 3. ワイヤレス OAC クライアントは、802.1X アクセス ポイントを通って認証サー バーと通信します。クライアントおよび認証サーバーは、公開/秘密鍵交換を 行います。 4. 次に、認証サーバーは、セキュアなワイヤレス認証をネゴシエートするため に使用される、暗号化されたトンネルをセットアップします。 5. 有線またはワイヤレスの認証が成功すると、VLAN および適切な保護された ネットワーク リソースへのアクセス権がユーザーに与えられます。 OAC 構成の計画 OAC 構成を計画するときは、次の疑問について検討してください。 認証するのは、ユーザーまたはマシン、あるいはその両方ですか?複数ユー ザーをサポートする個々のエンドポイントをセットアップする場合は、マシ ンの認証の使用を検討します。使用する方式で、クライアント設定の構成の 手順の流れが決まります。 ユーザーのデスクトップ インターフェースが表示される前に、クライアント マシンはネットワークへ接続する必要がありますか?より前に動作するセッ トアップ スクリプトまたは他のプロセスを実行する必要がある場合、この機 能をサポートする OAC ユーザー アカウント設定を構成できます。 OAC 構成は、どれだけのバリエーションが必要ですか?インフラネット コン トローラ上で構成されたユーザーの役割に基づいて、OAC を構成し、インフ ラネット コントローラへ設定をエクスポートして、特定の役割にそれらの設 定をマッピングできます。 どの外部 EAP 認証プロトコルが必要ですか? UAC ネットワークでは、トンネ ル化トランスポート レイヤー セキュリティ (TTLS) または保護された EAP (PEAP) のいずれかを使用できます。従来のネットワークでは、企業セキュリ ティ ポリシーをチェックするか、どのプロトコルがサポートされるかネット ワーク セキュリティ担当者に尋ねてください。 TTLS または PEAP を使用する場合、どの内部認証プロトコルが必要ですか? 内部認証プロトコルとは、TTLS などのトンネリング プロトコルによって提供 される、トンネル内の通信の送受信のことです。UAC ネットワークでは、JUAC (Juniper Networks UAC) を使用しなければなりません。 どの暗号化方式が該当しますか?利用可能な暗号化方式は、ネットワークに 配備されたアクセス ポイントおよび、WEP (Wired Equivalent Privacy)、WPA (Wi-Fi Protected Access)、または WPA2 といった、選択したアソシエーション モードにより異なります。OAC の FIPS 版 (FE) を使用している場合、FIPS モー ドが選択されているかどうかにより、暗号化方式に制約があります。ネット ワークがどの方式をサポートするか、確信がない場合は、ネットワーク セ キュリティ担当者に問い合わせてください。 ユーザーがネットワーク自動スキャン リストにアクセス、更新することを許 可する必要がありますか?自動スキャンリストは、中間者攻撃または無線接 続を誘引することを目指した他のアプリケーションからのリスクをもたらす 可能性があります。ワイヤレス ネットワーク構成の一部として、プリエンプ ティブなネットワークの使用を検討してください。 OAC 構成の計画 3 Odyssey アクセス クライアント管理ガイド ワイヤレス ネットワークについて、ワイヤレス アクセス ポイントのサービ ス セット識別子 (SSID) は何ですか、また、それらをブロードキャストする必 要がありますか?ワイヤレス ネットワークを構成するために使用する SSID は、ネットワーク上のワイヤレス アクセス ポイントの SSID と一致しなけれ ばなりません。SSID なしでは、OAC はワイヤレス ネットワークを検出でき ますが、接続はできません。 ワイヤレス抑制は、ユーザーに意味がありますか?ワイヤレス抑制は、クラ イアントに有線ネットワーク接続が利用できる限り、無線接続を使用不能に します。通常、有線接続は、ネットワーク帯域幅が大きく、無線接続を必要 とするユーザーにワイヤレス ネットワーク帯域幅を確保しておきます。 アドホック ネットワークへのアクセスをユーザーに許可する必要があります か?アドホック ネットワークへのアクセスは、ユーザーに役立つ場合があり ますが、企業ネットワークにはセキュリティ上のリスクとなる可能性があり ます。 配備後にユーザーが構成の設定を変更することを許可する必要があります か?個人ユーザーに与える構成の柔軟性の程度は、企業のセキュリティ ポリ シーおよびユーザーの技術的な知識を反映します。この柔軟性の 1 つの利点 は、定義済み構成の変更を行ってほしくない多くのユーザーに、制御および オプションのより単純な集合を提供できるという点です。管理ツールにより、 個々の構成の設定の非表示、無効化、およびロックができます。 信頼されたサーバーおよび証明書の追加、削除、または変更をユーザーに許 可する必要がありますか? Odyssey アクセス クライアント マネージャに表 示されないよう、信頼設定へのアクセスをオフにすることによって、ユーザー が信頼構成の設定を変更するのを防ぐことができます。 ネットワークがインフラネット コントローラを含む場合、どのネットワーク プロファイル構成設定が該当しますか?ユーザーが変更できないように、こ れらの設定をロックする必要がありますか?各インフラネット コントロー ラは、個別のプロファイルを必要とします。 Windows Vista ユーザーに、ユーザーの簡易切り替えを許可する必要がありま すか?ユーザーの簡易切り替えは、Windows Vista には有効であり、Windows 2000 や Windows XP と違って、デフォルトではドメイン ユーザーに無効に はなっていません。 つまり、Windows Vista システム上の同時ユーザー セッションはすべて、ネッ トワークおよびインフラネット コントローラへの現在のデスクトップ接続 にアクセスできることを意味します。したがって、1 人のユーザーがネット ワーク接続を持っている場合、同じマシンにログインしている他のユーザー は、同じネットワーク接続にアクセスできます。これはセキュリティ上のリ スクをもたらします。1 つのユーザー セッションで動作するバックグランド プロセスが、別のセッションに許可されたネットワーク アクセスに便乗し、 そ の ユ ー ザ ー が ア ク セ ス 権 を 持 た な い リ ソ ー ス に ア ク セ ス で き ま す。 Windows Vista ユーザーに対してユーザーの簡易切り替えを無効化すること を推奨します。 4 OAC 構成の計画 ほとんどのユーザーの OAC 構成を制限し単純化したい場合、どの構成が最良 ですか?アクセスできないように、どのオプション設定を非表示にし、どれ を無効化する必要がありますか ? 第 1 章 Odyssey アクセス クライアント管理者について 他のワイヤレス サプリカント プログラムへのアクセスを許可する必要があ りますか、それとも OAC の使用を強制しますか? OAC がネットワーク アダ プタをすべて管理するよう構成し、ユーザーが OAC から出るのを防ぐことが できます。これにより、ユーザーが他の Wi-Fi サプリカント プログラムを使 用するのを防ぐことができます。 どのように構成を配備しますか? UAC ネットワークでは、構成済み OAC 設定を作成、保存し、インフラ ネット コントローラにアップロードするため ZIP ファイルにそれらを保 存できます。次に、IC 管理者は、特定の役割へ特定の OAC 構成を関連付 け、インフラネット コントローラから構成済みクライアントをダウン ロードできます。 従来のネットワークでは、MSI ファイルを使用し、スクリプトを更新でき ます。 ユーザーのために OAC を構成する前に、本ガイドおよび Odyssey アクセス クラ イアント ユーザー ガイドを十分に読み、利用可能なオプションのすべてについ て、できるだけ精通してください。 第 9 章、「管理ワークフローの例」は、ユーザーのシングル サインオンの設定な ど、一般的な管理タスクを実行するためのサンプル ワークフロー シナリオを提 供しています。 Odyssey アクセス クライアント管理者ツールの概要 あらかじめ OAC を構成し、 「プッシュ」テクノロジ ソフトウェア配備製品を使っ て、複数ユーザーに共通の構成を配備できます。これらは、複数ユーザーにソフ トウェアを同時に配布するために使用される、サードパーティ製製品です。また、 現在のネットワーク セキュリティ ポリシーを反映する、新しいまたは変更され た構成の設定で、既存のクライアントを更新できます。Odyssey アクセス クライ アント管理者ツールでは、構成された OAC クライアントをユーザーに配備する前 に、個々の OAC 機能の選択、および個々の設定の非表示、無効化またはロックが できます。 Odyssey アクセス クライアント管理者ツールは、Odyssey アクセス クライアント 管理者管理インターフェースに個別のアイコンとして表示されます。 Odyssey アクセス クライアント管理者を使用するには、Odyssey アクセス クライ アント マネージャメニュー バーから [ ツール ] > [Odyssey アクセス クライアン ト管理者 ] を選択します。また、OAC がインストールされているディレクトリで、 odClientAdministrator.exe アプリケーションをダブルクリックすることも可能で す。デフォルトの場所は、C:\Program Files\Juniper Networks\Odyssey Access Client\ Odyssey Access Client Manager です。 Odyssey アクセス クライアント管理者ツールの概要 5 Odyssey アクセス クライアント管理ガイド Odyssey アクセス クライアント管理者を開くと、利用可能な管理ツールが本ペー ジの図 2 に示すように、アイコンとして表示されます。ツールのいずれかを開く には、名前の上のアイコンをダブルクリックします。 図 2:Odyssey アクセス クライアント管理者のアイコン 接続設定 このツールを使用して、ネットワーク接続をいつ行うか、ネットワーク接続のタ イミングを構成します。これらの接続設定は、いつ認証が完了し、起動スクリプ トの実行のようなプロセスに対応するか、 のコントロールに柔軟性を提供します。 オプションは次のとおりです。 Windows デスクトップの表示後にネットワークへ接続する。この接続方式 は、ユーザー ログイン信用情報を必要とします。 Windows ログオンの後、Windows デスクトップの表示前に、ネットワークへ 接続する。この接続方式は、ユーザー ログイン信用情報を必要とします。 Windows ログオン前にネットワークへ接続する。この接続方式では、OAC GINA (Graphical Identification and Authentication) モジュールのインストール が必要です。34 ページの「Windows ログオン前に接続」および 39 ページの 「Odyssey GINA モジュールのインストール」を参照してください。この接続 方式は、ユーザー ログイン信用情報を必要とします。 Windows 起動時に、マシンのハードウェア レベル(ユーザー レベルではな い)でネットワークへ接続する。35 ページの「マシン アカウント接続の構 成」を参照してください。 GINA をインストールし使用する。38 ページの「GINA での Windows ログオ ン前の接続の設定」を参照してください。 31 ページの「接続設定の構成のプロセス フロー」を参照してください。 6 Odyssey アクセス クライアント管理者ツールの概要 第 1 章 Odyssey アクセス クライアント管理者について 初期設定 このツールを使用して、ユーザー アカウント構成の次のタスクのうち 1 つ以上を 実行します。 ユーザーのグループのために OAC を事前構成します。13 ページの「初期設 定の構成」および 63 ページの「事前構成ファイルのエクスポート」を参照し てください。 OAC を配備する前に、ユーザーのネットワークおよび認証プロファイルを セットアップします。 新しいカスタム インストーラまたは更新ファイルを作成する前に、構成済み 設定を作成しテストします。18 ページの「マシン接続設定のテスト」を参照 してください。 SIM カードおよび SIM カードの PIN 設定を管理します。詳細は、Odyssey ア クセス クライアント ユーザー ガイドの第 4 章を参照してください。 12 ページの「初期設定のプロセス フロー」を参照してください。 マシン アカウント このツールを使用して、ユーザーではなく物理マシンのために、認証されたネッ トワーク接続を構成します。マシン アカウントは、ユーザーがログインしていな いときにも持続的なネットワーク接続を提供します。35 ページの「マシン アカ ウント接続の構成」を参照してください。 23 ページの「マシン アカウント設定のプロセスの流れ」を参照してください。 権限エディタ このツールを使用して、構成で OAC 特有の機能を使用または変更するユーザーの 権限について、機能ごとにカスタマイズした制限を適用します。このツールを使っ て、ユーザーに変更を許可しない設定を無効化でき、場合によっては、Odyssey アクセス クライアント マネージャツールバーの [ 表示 ] メニューから、ユーザー がオンにできる一部の機能を、無効化でなく非表示にできます。 マージ ルール このツールを使用して、設定更新ファイルまたは新しいカスタム インストーラ ファイルの作成のためのルールを指定します。マージ ルールは、構成項目が、既 存のユーザー構成にどのように追加されるかを決めます。現在の構成を変更する ルールや、ユーザーが構成を編集するのを防ぐルールを割り当てることができま す。また、このツールを使用して、ユーザーが変更できないように、プロファイ ル、ネットワーク、自動スキャン リスト、インフラネット コントローラなどの 設定をロックできます。 Odyssey アクセス クライアント管理者ツールの概要 7 Odyssey アクセス クライアント管理ガイド カスタム インストーラ このツールを使用して、Odyssey アクセス クライアント管理者ツールで構成し た、ユーザーまたはマシンの初期設定から、MSI(構成済みインストーラ)ファ イルまたは設定更新ファイルを作成します。カスタム インストーラ ファイルを、 アップグレードおよび新規ユーザーのインストールに使用します。MSI ファイル があれば、様々な大量配備ツールで、ユーザーに OAC 構成を配備できます。 また、カスタム インストーラを使用して、更新された構成の設定を、既存のマシ ン アカウント(のみ)の設定とマージできます。 次の項目を参照してください。 59 ページの「配備のプロセス フロー」 62 ページの「ユーザー アカウント設定更新のプロセス フロー」 68 ページの「マシン アカウント設定更新のプロセス フロー」 スクリプト コンポーザ このツールを使用すると、OAC 構成を更新して、新しい設定の追加、既存の設定 の置換、および設定の削除を行う、構成スクリプトを作成できます。 PAC マネージャ このツールを使用して、EAP-FAST の保護されたアクセス信用情報 (PAC) を管理し ます。 8 Odyssey アクセス クライアント管理者ツールの概要 第2章 ユーザー アカウントの構成 1 人以上のユーザーへの配備のため、OAC を事前に構成するには、初期設定ツー ルを使用します。これらの設定を構成してから、接続設定ツールを使用して、ユー ザー アカウントの接続タイミングを構成します。構成の設定をセットアップする には、専用のコンピュータまたはラボ マシンを使用します。後にこれらの設定 を、カスタム インストーラ ツールを使って、MSI インストール ファイルに保存 します。 ユーザー用に OAC を事前構成し、ユーザーが初めて OAC を起動すると、OAC は それらの設定で開きます。構成済みの設定がない場合、ネットワーク、プロファ イル、またはアダプタが構成されていない、Juniper Networks からのデフォルト の構成が表示されます。 カスタム インストーラまたは設定更新ファイル用のネットワーク接続を定義す るには、初期設定ツールを使用します。権限エディタ ツールおよびマージ ルール ツールも、これらのタイプの構成のどちらかを考慮に入れる可能性があります。 初期設定ツールで選択する設定は、権限エディタまたはマージ ルール ツールの いずれかを使用して適用するルールについての構成の設定になります。同様に、 マージ ルールは、更新ファイルについてカスタム インストーラを通って配備さ れたユーザー構成に適用されます。49 ページの「マージ ルールを使用した更新 の管理」および 59 ページの「配備のプロセス フロー」を参照してください。マー ジ ルールを機能に適用する前に、初期設定ツールを使って機能を構成できます。 初期設定ツールの概要 初期設定ツールは、Odyssey アクセス クライアント マネージャによく似ていま す。サイド バーは同じです。したがって、同じ方法で、プロファイル、ネット ワーク、自動スキャン リスト、信頼されたサーバー、アダプタおよびインフラ ネット コントローラの各設定を構成できます。ただし、オプションにはいくつか の違いがあります。最も重要な違いは、複数ユーザーへの配備のために、OAC の 構成済みコピーを作成している場合、Odyssey アクセス クライアント マネージャ ではなく、初期設定ツールを使用しなければならないという点です。 メモ:FIPS ライセンスを持っている場合、ファイル メニューに、FIPS モードを オンおよびオフするためのオプションが表示されます。 初期設定ツールの概要 9 Odyssey アクセス クライアント管理ガイド 初期設定ツールの [ ツール ] メニューのオプションは、Odyssey アクセス クライ アント マネージャの [ツール] メニューのオプションと異なります。初期設定ツー ルの [ ファイル ] メニューには、Odyssey アクセス クライアント マネージャでは 利用可能な [ パスワードを忘れる ] および [ 一時的信頼を忘れる ] オプションがあ りません。これらは、複数ユーザーに配布された構成には適用されない、ローカ ル ユーザー オプションです。 初期設定の [ツール] メニュー オプション 初期設定ツールの [ ツール ] メニューには、次のオプションが含まれます。 初期設定の再ロードとテスト - ユーザーに配備する前に初期設定をテストし ます。17 ページの「ユーザー アカウントの接続タイミングの構成」を参照し てください。 SIM カード マネージャ - SIM(加入者識別モジュール)カードは、モバイル ワイヤレス デバイスに設置され、ネットワークで加入者を識別するために使 用される、電子カードです。クライアント コンピュータに SIM カード リー ダーがある場合、SIM カードを OAC 認証に使用できます。 また、SIM カード ハードウェア上の PIN(個人識別番号)を管理するために、 OAC を使用できます。Odyssey アクセス クライアント ユーザー ガイドの SIM カードの PIN 設定の管理に関する説明を参照してください。 ログ - debuglog.log ファイルの現在の内容を表示します。Odyssey アクセス クライアント ユーザー ガイドのログ ファイルの表示および診断に関する説 明を参照してください。 基本設定 - システム トレイ アイコン、コントロール パネル アイコン、また は Odyssey アクセス クライアント マネージャスプラッシュ画面の表示を切 り換えます。 Windows ログオン設定 - デフォルトの構成イメージを配備するすべてのユー ザーの、デ フ ォ ル ト の ネ ッ ト ワ ー ク 接 続 タ イ ミ ン グ を 無 効 に で き ま す。 Odyssey アクセス クライアント ユーザー ガイドの Windows ログオン設定の 管理に関する説明を参照してください。 オプション - 個別のタブとして組織された次のカテゴリの設定を示します。 セキュリティ 10 初期設定ツールの概要 セッション再開を有効化:設定した時間より前のセッションのセッ ション再開を制限します。 自動再認証の有効化:定期的な自動再認証を有効にし、再認証の頻度 を設定します。 サーバーの一時的信頼の有効化:認証サーバーが [信頼されたサー バー ] ダイアログ ボックスで信頼されたサーバーとして構成されて いないネットワークについて認証を行うことができます。 スマート カード PIN の要求プロンプト:スマート カード PIN の要求 プロンプトを表示します。 第 2 章 ユーザー アカウントの構成 インターフェース ワイヤレス抑止:有線接続手段を持たないユーザーのためにワイヤレ ス帯域幅を確保するため、有線ネットワーク接続が利用可能な場合は いつでも有線接続を選択する設定です。 有線/ワイヤレス アダプタの管理:有線またはワイヤレス アダプタに OAC を自動的に構成します。 プリエンプティブなネットワーク - Wi-Fi 接続ダイアログ ボックスで現 在有効なネットワークまたは自動スキャン リストを必ず上書きする、優 先ネットワークの自動スキャン リストを指定できます。 EAP-FAST - OAC が EAP-FAST 信用情報のプロンプトをいつ表示するか制 御します。 通知 - 認証およびネットワーク接続ステータスに関係する通知メッセー ジの表示を管理します。 デフォルトのログイン名 - 作成した認証プロファイルに現れる、デフォ ルトのログイン名プロンプト形式を変更できます。このオプションは、管 理者が有効にしている場合にのみ、Odyssey アクセス クライアント マ ネージャに表示されます。めったに使用されませんが、接続を必要とす るネットワークで、ログイン名形式要件が構成されたデフォルトとは異 なる場合、ログイン名の形式をセットアップできます。 初期設定ツールの概要 11 Odyssey アクセス クライアント管理ガイド 初期設定のプロセス フロー 図 3:初期設定のプロセス フロー 12 初期設定のプロセス フロー 第 2 章 ユーザー アカウントの構成 初期設定の構成 Odyssey アクセス クライアント管理者の [ 初期設定 ] ツールをダブルクリックし ます。 Odyssey アクセス クライアント マネージャで構成するのとほぼ同じ方法で、初期 設定ツールで次の機能の集合を構成します。これは、共通の構成イメージを配備 する、個人ユーザーまたはユーザーのグループのために行います。ユーザーの異 なるグループが異なる設定を必要とする場合、またはあるグループに別のグルー プよりも多くの制限を適用する必要がある場合、複数の構成イメージを作成でき ます。 次の設定カテゴリは、初期設定ツールのサイドバーの [ 構成 ] の下に表示され ます。 プロファイル - 認証されたアクセスが必要な特定のネットワークに対応する 認証設定を事前に構成します。認証プロファイルの構成についての指示は、 Odyssey アクセス クライアント ユーザー ガイドを参照してください。(有線 802.1X 接続には、認証プロファイルが必要です。) メモ:お使いの認証サーバーが、OAC で利用可能な EAP 認証方法のすべてをサ ポートするとは限りません。OAC での認証のセットアップの前に、認証サーバー が、どの方法を許可するかを前もって確認することをベスト プラクティスでは 推奨します。 ネットワーク - このユーザー、または複数のユーザーに配備する構成イメー ジ用に、デフォルトのネットワークを構成します。ネットワークの構成につ いての指示は、Odyssey アクセス クライアント ユーザー ガイドを参照してく ださい。 自動スキャン リスト - このユーザーに対し、あるいは複数のユーザーに配 備する構成イメージに対して、自動スキャン リスト用にネットワークを事前 構成して順番に並べます。自動スキャン リストおよびワイヤレス抑止などの 機能の構成についての指示は、Odyssey アクセス クライアント ユーザー ガイ ドを参照してください。 信頼されたサーバー - 構成に使うマシンのローカル マシン証明ストアにあ る、信頼されたルート CA または中間 CA 証明書を、事前構成します。次に、 ユーザーの信頼されたサーバーを初期設定ツールで構成します。信頼設定は 個々に構成できます。信頼されたサーバーの構成および証明書の追加または 削除に関する指示は、Odyssey アクセス クライアント ユーザー ガイドを参照 してください。 信頼構成のマージ ルール設定を管理する場合は、54 ページの「信頼用にマー ジ ルールを設定する」を参照してください。個々の証明書および識別情報エ ントリに対する、ロッキングのようなマージ ルール設定を管理できるように なります。 初期設定の構成 13 Odyssey アクセス クライアント管理ガイド アダプタ - ユーザーが利用できる有線またはワイヤレス アダプタを事前に 構成します。ユーザーは、同じ種類(有線またはワイヤレス)のアダプタを 各自のマシンにインストールする必要がありますが、まったく同じアダプタ の必要はありません(アダプタ名やモデルは違ってもよい)。ネットワーク ア ダプタの管理についての指示は、Odyssey アクセス クライアント ユーザー ガ イドを参照してください。 インフラネット コントローラ - ユーザーに 1 つ以上のインフラネット コン トローラを事前に構成します。ユーザーにインフラネット コントローラを事 前に構成する場合、初期設定ツールの [ ユーザーはこの IC から切断できない ] オプションにより、ユーザーが切断できないように、特定のインフラネット コントローラへのユーザー接続をロックできることに注意してください。 ユーザーがインフラネット コントローラに接続している限り、この機能は、 ホスト チェッカー ポリシーおよびエンドポイント保全性チェックを維持し ます。このオプションは、初期設定ツールでのみ利用可能です。 ユーザーが OAC を初めて実行する際、初期設定ツールで構成された設定が表示さ れます。以下について同じ構成設定が使用できます。 カスタム インストーラ 設定更新ファイル インフラネット コントローラへのエクスポート用の事前構成設定 メモ:カスタム インストーラあるいは設定更新ファイルを作成する前に、マー ジ ルール ツールを使い、どのように初期設定ツールの構成を更新済みまたは新 規ユーザー構成に適用するかを指定します。 Windows ログオン設定の管理 [ツール] > [Windows ログオン設定] を選択して、ネットワーク接続タイミング のデフォルト設定を上書きします。このオプションは、構成済み GINA 接続タイ ミングに基づいた構成のユーザーをサポートし、デフォルトの設定を無効にする 機能を提供します。これにより、OAC に構成されたデフォルト接続以外のネット ワークに接続できます。その場合、ログオン信用情報が異なる可能性があります。 ログオン タイミングのオプションの詳細な説明は、34 ページの「Windows ログ オン前に接続」を参照してください。 メモ:ログインのタイミングを変更すると、他の起動プロセスに影響する場合が あります。 ネットワーク管理者がどのように OAC を設定しているかにより、どの Windows ログオン オプションも、ユーザーのデフォルトのネットワーク接続タイミングと して指定できます。ネットワーク管理者が、各ユーザーにデフォルトのネットワー ク接続タイミングの設定変更を許可している場合もあります。この場合、ユーザー はデフォルトのネットワーク接続設定を上書きすることができます。 たとえば、ユーザーが、キャッシュされた信用情報を持つドメインへログオンで き、ネットワーク接続が Windows ログオンに先立って発生するように構成され ている場合、デスクトップが現れた後にネットワークへ接続するよう、接続タイ ミングを変更できます。 14 初期設定の構成 第 2 章 ユーザー アカウントの構成 デフォルトの Windows ログオン 設定の上書きに関する注意 Odyssey アクセス クライアント マネージャの [ ツール ] > [Windows ログオン設 定 ] オプションで、ユーザーは、デフォルトのネットワーク接続タイミングを上 書きできます。通常、これは接続設定ツールを使用してセットアップします。こ の設定の目的は、ログイン時の接続要件が異なるユーザーに対応することです。 たとえば、複数ユーザーに配布された OAC 構成は、ほとんどの企業ユーザー用に 定義済みネットワークを含んでいる場合があります しかしながら、遠隔地のユー ザーは、他のネットワークへ接続する必要があり、ログインのタイミング要件が 異なることがあります。このオプションにより、それらのユーザーは、管理者特 権なしにデフォルトのログイン設定を上書きできます。このオプションは、頻繁 に使用されるものではありません。 メモ:接続設定ツールの [GINA] タブで構成するネットワーク接続設定をユー ザーが上書きできるようにする場合を除いて、初期設定ツールの [Windows ロ グオンのデフォルト設定を上書き ] を選択しないでください。 デフォルトのログイン設定が上書きされ、OAC GINA モジュールを使用している 場合、ユーザーは、Windows ログオンの前に行われるネットワーク接続を構成で きます。構成されたデフォルトのネットワーク接続設定は、権限エディタで制限 されていない限り、ユーザーが上書きできます。 Windows ログオン前に接続するように OAC が 構成されている場合、ユーザーは、 信頼されたサーバーの構成を上書きできません。Windows ログオン接続の信頼設 定を変更する唯一の方法は、初期設定ツールの [ 信頼されたサーバー ] ダイアロ グ ボックスでこれらの設定を変更することです。 ログイン名形式の構成 すべての新規 OAC ユーザーのデフォルト ログインを指定するには、初期設定 ツールから、[ ツール ] > [ オプション ] [ デフォルトのログイン名 ] を選択しま す。カスタム形式を指定した場合、指定したデフォルト ログイン名オプション で、ユーザー入力が必要とされる場合があります。この場合、ユーザーに対し、 一度だけカスタム ログイン名の入力を要求するプロンプトが表示されます。 16 ページの「カスタム ログイン名形式の指定」を参照してください。 その結果できたユーザーのデフォルト ログイン名は、次の状況で適用されます。 デフォルトのログイン名は、ユーザーが作成する新規 Odyssey アクセス クラ イアント マネージャ認証プロファイルの [ ログイン名 ] ボックスに自動的に 表示されます。 複数ユーザーへの配備用に認証プロファイルを事前構成する場合、[ログイン 名] ボックスを空欄のままにすることができます。プロファイル配布先のユー ザーが OAC を実行すると、[ ログイン名 ] ボックスには、個々のユーザーの Windows ログイン名が表示されます。 初期設定の構成 15 Odyssey アクセス クライアント管理ガイド ユーザー名が空欄のプロファイルを含んだ OAC スクリプトをユーザーがイ ンポートした場合、デフォルトのログイン名がプロファイルに自動的に入力 されます。 メモ:カスタム インストーラまたは設定更新ファイルが使用するデフォルト ロ グイン名をロックするのに、マージ ルール ツールは必要ありません。初期設定 ツールで指定したデフォルト ログイン名オプションは、すべてのカスタム イン ストーラあるいは設定更新ファイルで自動的に使用されます。 [オプション] ダイアログ ボックスからのログイン名形式を指定します。次の項目 を参照してください。 16 ページの「カスタム ログイン名形式の指定」- ユーザーが初めて OAC を 使用する際、正しいログイン名の形式をユーザーにプロンプト表示するとき のテキストを入力します。 17 ページの「ドメイン修飾または非修飾のログオン名の構成」- すべてのプ ロファイルで使用する Windows ログイン名形式を指定するには、これを使用 します。 カスタム ログイン名形式の指定 ユーザーが初めてユーザー認証用に OAC を実行する際の、ログイン名形式を表示 するプロンプトを設定できます。以下のプロファイルに対し、ユーザー入力のロ グイン名が自動的に入力されます。 ユーザーが作成するすべての新規認証プロファイル 設定更新ファイルおよびカスタム インストーラによるユーザー配布用に構 成した、ログイン名が空欄の認証プロファイルすべて。 たとえば、ユーザーのログイン名に以下の形式が必要な場合があります。 username@domain 新しいユーザーがログインする際に表示される、ログイン名の入力を要求するプ ロンプトを、以下に従って指定します。 1. 初期設定ツールバーから [ツール] > [オプション] を選択します。[オプショ ン] ダイアログ ボックスが表示されます。[デフォルトのログイン名] タブを 選択します。 2. [ 次のプロンプトを使用したログイン名の要求プロンプト ] を選択します。 3. ユーザーにログイン名の入力方法を指示するプロンプト テキストを入力し ます。 4. [OK] を選択します。 16 初期設定の構成 第 2 章 ユーザー アカウントの構成 ドメイン修飾または非修飾のログオン名の構成 すべてのユーザー プロファイルに対するデフォルトのログイン名を、ドメイン修 飾または非修飾の Windows ログオン名として指定するには、以下の手順に従い ます。 1. 初期設定ツールから [ツール] > [オプション] を選択します。[オプション] ダ イアログ ボックスが表示されたら、[デフォルトのログイン名] タブを選択し ます。 2. Windows ログイン名の形式を以下から選びます。 修飾 Windows ログオン名 - デフォルトのドメイン修飾 Windows ログ オン名形式 Domain_name\Logon_Name を使用します。 非修飾 Windows ログオン名 - ドメイン名修飾なしの Windows ログオ ン名を使用します。 3. [OK] を選択します。 ユーザー アカウントの接続タイミングの構成 マシン レベル認証を使用していない場合、ユーザーは、ログイン信用情報の提供 によりネットワークに接続します。ただし、ネットワーク認証のタイミング オプ ションがあり、認証された接続がいつ完了するかを決定することに注意してくだ さい。初期設定ツールを使用して、ユーザーアカウント構成の設定を完了した後、 これらの設定を構成します。 ユーザー ネットワーク接続を構成するには、次を実行します。 1. [ 接続設定 ] ツールをダブルクリックします。 2. [ユーザー アカウント] タブを選択します。 3. 希望する接続タイミング オプションを選択します。具体的な指示および詳細 は、32 ページの「ネットワーク接続のタイミングについて」を参照してくだ さい。 4. 設定を保存し、接続設定ツールを閉じます。 5. 権限エディタ ツールを使用して、制限またはロックする必要のある構成機能 を無効化します。 ユーザー アカウントの接続タイミングの構成 17 Odyssey アクセス クライアント管理ガイド 構成の設定のテスト この項目では、カスタム インストーラを作成して構成を配置する前に、ユーザー またはマシン接続の構成をテストする方法について説明しています。 [ 初期設定の再ロードとテスト ] オプションは、初期設定ツールで定義された構 成を Odyssey アクセス クライアント マネージャへロードし、ネットワーク接続 を試みます。接続が失敗した場合は、エラー メッセージとログ ファイル内のエ ントリに基づき、他の接続失敗と同様に、トラブルシューティングを行ってく ださい。 ユーザー接続設定をテストするには、以下の手順に従います。 1. [初期設定] ツールをダブルクリックします。 2. 初期設定ツールから [ツール] > [初期設定の再ロードとテスト] を選択し ます。 3. [OK] を選択します。これにより、現在の Odyssey アクセス クライアント マ ネージャ設定は永久的に削除され、設定が初期設定ツールから Odyssey アク セス クライアント マネージャにロードされます。 4. Odyssey アクセス クライアント マネージャの Wi-Fi またはイーサネット接続 ダイアログ ボックスによって、接続をすべてテストします。Odyssey アクセ ス クライアント マネージャでユーザーが行った変更は、初期設定ツールには 反映されません。 5. 接続トラブルを解決し、必要に応じて接続を再テストするには、初期設定ツー ルに戻ってください。 マシン接続設定のテスト テストしたいネットワーク接続は、接続設定ツールの [マシン アカウント] タブで 構成された接続タイプ向けに構成、設定しなければなりません。 マシン接続設定をテストするには、次を実行します。 1. [接続設定] ツールをダブルクリックします。 2. [マシン アカウント] タブを選択します。 3. [マシン接続をアクティブにしておく] を選択します。 4. [OK] を選択します。 5. システム トレイのアイコンをダブルクリックして、Odyssey アクセス クライ アント マネージャを開き、接続のステータスを表示します。 6. 必要な場合、[ マシン アカウント ] タブに戻り、接続の問題を修正し、これら の接続を再テストします。 7. 接続設定を変更した場合、[ 接続設定 ] ダイアログ ボックスの [ マシン アカ ウント] タブを選択し、前の設定を復元します。 18 構成の設定のテスト 第 2 章 ユーザー アカウントの構成 ネットワーク アダプタおよび他の Wi-Fi サプリカントのコン トロール ネットワーク アダプタを管理し、他の Wi-Fi サプリカント プログラムを使用する ために、ユーザーが持つ柔軟性の程度をコントロールできます。(OAC は、 Juniper Networks の Wi-Fi サプリカント プログラムです。)デフォルトでは、ユー ザーは、OAC 構成でのネットワーク アダプタの追加または削除が可能で、OAC を 終了できます。 多くの場合、ユーザーにこの種の柔軟性を与えることは有益かもしれません。た とえば、ユーザーは、テスト ネットワークにアクセスするために、サードパー ティ製ワイヤレス サプリカントとアダプタを使用できます。 しかしながら、この柔軟性は、企業ネットワーク ポリシーを無効にするためにも 使用できます。OAC 以外のワイヤレス アクセス クライアントを使用すると、ユー ザーは、Odyssey アクセス クライアント管理者で設定された制限を回避できる場 合があります。たとえば、ユーザーは、別のワイヤレス サプリカント プログラ ムと Wi-Fi アダプタを使用し、ロックされた構成で非承認のプロトコルを使用し て非企業ネットワークにアクセスできます。また、ユーザーは、OAC で無効な、 非承認のプロトコルを使用できます。 OAC が管理しない非 802.1X 有線ネットワーク カードを使ったユーザーは、暗号 化されていないデータを送信できます。 このリスクは、以下のように管理できます。 次のように OAC を構成して、そのようなシナリオを予防できます。ユーザー のエンドポイント コンピュータ上で存在する有線またはワイヤレス アダプ タを自動的に管理し、また、OAC を配備する前に、マージ ルール ツールで この設定をロックするよう構成します。 初期設定ツールから [ ツール ] > [ オプション ] > [ インターフェース ] オプ ションを選択し、マシン上の有線またはワイヤレス ネットワーク アダプタ を自動的に構成しバインドするよう、OAC を構成します。OAC が動作してい る限り、ユーザーのマシンに接続されたネットワーク アダプタを必ず構成し ます。 権限エディタを使用して、ユーザーが OAC を終了するのを防ぐことができま す。[ユーザーは Odyssey を終了できない] を選択します。 OAC には、外部プログラムが OAC サービスを無効化するのを許可する機能が あります。権限エディタを使用して、ユーザーが OAC を無効化するのを防ぐ ことができます。[ユーザーは Odyssey を無効にできない] を選択します。ま た、マージ ルール ツールを使用して、設定をロックし、ユーザーが設定を変 更するのを防ぐこともできます。 ネットワーク アダプタおよび他の Wi-Fi サプリカントのコントロール 19 Odyssey アクセス クライアント管理ガイド 20 ネットワーク アダプタおよび他の Wi-Fi サプリカントのコントロール 第3章 マシン アカウントの構成 各トピックには次の情報が含まれています。 マシン アカウント ツール概要(22 ページ) マシン アカウント設定のプロセスの流れ(23 ページ) マシン アカウント接続を有効にする(24 ページ) マシン アカウント構成は、ユーザーでなく物理マシンを、ネットワークに対して 認証します。このタイプの構成では、静的に定義されたユーザー アカウント、あ るいは Active Directory でマシン ID が設定された際に作成されたマシン信用情報 を使用します。静的に定義されたユーザー アカウントは、Active Directory で存在 していなくとも、有効なログイン信用情報を含んでいます。 ユーザーがログインする前に、マシンがネットワークに接続するために、マシン アカウントを使用します。事前構成されたユーザー名とパスワードを使用、また は Windows 環境の場合は、マシンの実際の Active Directory 信用情報または証明 書を使用して行われます。 OAC がネットワークに最も早く接続できるのは、マシン アカウント接続です。毎 晩実施されるバックアップや、ユーザーがログオンしているかどうかに関わらず 実行される更新プロセスなど、管理タスクに役に立ちます。さらに起動時に実行 される Active Directory のドメイン ポリシー スクリプトにも使用されます。 マシン(コンピュータ)には名前とパスワードがあり、ユーザーがログインする 前にネットワークに送信されます。マシン接続が有効な場合、ユーザーがログイ ンしていなくても、マシンが起動している限りネットワーク IP 接続が継続しま す。 マシン認証とユーザー認証は相反します。ただしマシン接続を、ユーザーがネッ トワークにログインした時点でユーザー レベルの接続に移行し、その後ユーザー のログアウトでマシン接続を再開するように構成できます。 メモ:マシン アカウントを構成し、ファイルに設定を保存した後に、クライア ントのマシンに構成設定が一度インストールされると、リブートすることが要 求されます。 21 Odyssey アクセス クライアント管理ガイド マシン アカウント ツール概要 マシン アカウント ツールは初期設定ツールと同じようなものです。サイドバー はどの表示でも同一なので、それぞれのプロファイル、ネットワーク、自動スキャ ンリスト、トラステッド サーバー、アダプタ、インフラネット コントローラを 同じ方法で構成することができます。もちろん、オプションでは少し異なる部分 もあります。 Odyssey アクセス クライアント管理者にある [マシン アカウント] をダブルクリッ クし、マシン アカウント ツールを開きます。 マシン アカウント ツールのファイル メニューには、Odyssey アクセス クライア ント マネージャで利用できる [ パスワードを忘れる ]、[一時的信頼を忘れる ] の オプションはありません。広範囲にわたる構成を適用しないローカル ユーザー オプションがあります。 マシン アカウント ツールのツール メニュー オプションは Odyssey アクセス ク ライアント マネージャツール メニューほどのオプションの数はありません。 マシン アカウント ツールの [ ツール ] > [ オプション ] をクリックしてください。 これらのタブのカテゴリがあります。 セキュリティ インターフェース プリエンプティブ ネットワーク 通知 これらのカテゴリーのオプションは Odyssey アクセス クライアント マネージャ で [ ツール ] > [ オプション ] を選択することと同じです。 メモ:[サーバーの一時的信頼の有効化] と、[スマート カード PIN の要求プロン プト ] という 2 つのオプションは使用できないので、薄い色でマシン アカウン ト ツールに表示されます。 Odyssey アクセス クライアント マネージャで提示されている次のオプションは、 初期設定ツールに表示されません。 22 マシン アカウント ツール概要 Odyssey アクセス クライアント管理者 電波の調査 診断 スクリプトの実行 新規スクリプトのチェック 第 3 章 マシン アカウントの構成 マシン アカウント設定のプロセスの流れ 図 4:マシン アカウント設定のプロセスの流れ マシン アカウント設定のプロセスの流れ 23 Odyssey アクセス クライアント管理ガイド マシン アカウント接続を有効にする 接続設定ツールで、マシン アカウントを構成するには 1. [ 接続設定 ] をダブルクリックし、[ マシン アカウント ] タブを選択します。 2. [ マシン アカウントを使用してネットワーク接続を有効化 ] を選択します。 3. [マシン接続をアクティブにしておく。ユーザーはマシン接続を介して接続さ れる] を選択します。この場合マシン アカウントは、ユーザーが Windows に ログインしていない場合もアクティブです。 接続設定ツールでマシン レベルのネットワーク接続を構成した後、マシン アカ ウント ツールを使って、プロファイル用にマシン ネットワーク接続設定を構成 します。このタイプの構成は Odyssey アクセス クライアント マネージャの接続 設定の構成方法と同じようなものです。 マシン アカウントが、ユーザー アカウント用に設定されたのと異なる VLAN に、 割り当てられている可能性があります。マシン アカウントを、ユーザーのログイ ンでユーザー アカウントに移行するよう構成した場合、VLAN の割り当てが異な るためマシンの IP アドレスが変わる可能性があります。同様に、ユーザーのログ オフでマシン アカウントに戻すようアカウントが構成されている場合、IP アドレ スと VLAN の割り当てが元通りに変更される可能性があります。 マシン アカウント設定の構成 以下の機能のセットを、Odyssey アクセス クライアント マネージャで構成するの と同じ方法で、マシン アカウント設定ツールを使用して構成します。このことは、 個人のユーザー、または共通の構成イメージを配備しているユーザー グループに 対して行います。それぞれのユーザー グループが別々の設定を要求する、1 つの グループに他のグループよりも多く制限を適用させる必要がある場合は、1 つ以 上の構成イメージを作成することができます。 以下の設定のカテゴリーは、[ 初期設定ツール ] のサイドバーにある [ 設定 ] の下 に表示されます。 プロファイル - 認証アクセスが必要な、特定のネットワークと対応している 認証設定を事前構成します。認証プロファイルの構成の手順については、 (有線 Odyssey アクセス クライアント ユーザー ガイドを参照してください。 802.1X 接続には認証プロファイルが要求されます。 ) メモ:お使いの認証サーバーは、OAC で利用可能な EAP 認証方法のすべてをサ ポートしていない場合があります。一番の推奨案としては、OAC で認証を設定 する前に、どの方式で認証サーバーが許可するのかをあらかじめ知っておくこ とです。 24 ネットワーク - ユーザー、または複数のユーザーに配備する構成イメージ用 に、デフォルト ネットワークを構成します。ネットワークの構成の手順につ いては、Odyssey アクセス クライアント ユーザー ガイドを参照してください。 マシン アカウント接続を有効にする 第 3 章 マシン アカウントの構成 自動スキャン リスト - このユーザー、あるいは複数のユーザーに配備する 構成イメージに対して、自動スキャン リスト用にネットワークを事前構成し て順番に並べます。ワイヤレス抑止等の機能と自動スキャン リストの構成の 手順については Odyssey アクセス クライアント ユーザー ガイドを参照して ください。 信頼されたサーバー - 構成の更新に使うマシンのローカル マシン証明スト アにある 信頼されたルート CA または中間 CA 証明を、事前構成します。次 にユーザーに対して信頼されたサーバーを初期設定ツールで構成します。単 独に信頼設定を構成することができます。信頼サーバーの構成と証明書の追 加と削除の手順については、Odyssey アクセス クライアント ユーザー ガイド を参照してください。 信頼構成のマージ ルールの設定を管理するには、54 ページの「信頼用にマー ジ ルールを設定する」を参照してください。ロック、個人の証明書と ID 入力 などの、マージ ルール設定を管理することができます。 アダプタ - ユーザーが所有している有線あるいはワイヤレス アダプタを事 前構成します。ユーザーは、同じ種類(有線またはワイヤレス)のアダプタ を各自のマシンにインストールする必要がありますが、まったく同じアダプ タである必要はありません(アダプタ名やモデルは違ってもよい)。ネット ワーク アダプタ管理の手順については、Odyssey アクセス クライアント ユー ザー ガイドを参照してください。 インフラネット コントローラ - ユーザーに対して、1 つ以上のインフラネッ ト コントローラを事前構成します。[ ユーザーはこの IC から切断できない ] チェックボックスをクリックして、特定のインフラネット コントローラへの ユーザー接続をロックします。この機能を使う目的は、ホストチェッカー ポ リシーとエンドポイント整合性チェックをユーザーがネットワーク上に存在 する限り維持することです。このオプションは、初期設定ツールでのみ利用 できます。ネットワークの構成の手順については、Odyssey アクセス クライ アント ユーザー ガイドを参照してください。 マシン アカウント プロファイル オプション 1 つのマシン アカウントに対し、ネットワーク、プロファイル、自動スキャンリ スト、信頼サーバー、アダプタ、インフラネット コントローラを構成することが できます。マシン アカウント ツールで構成で構成されたネットワーク、プロファ イル、アダプタ、またはインフラネット コントローラのみが、マシン接続に使用 されます。 マシン アカウントの設定 パスワード信用情報 マシン アカウント プロファイルにパスワードを入力し、カスタム インストーラ を作成する予定であれば、入力した信用情報がこのインストーラを使用する OAC のコピーすべてで使用されます。ユーザー信用情報が必要な場合、各クライアン ト マシンに手動で信用情報を入力することをお勧めします。 EAP-TLS 用の自動証明書選択の設定 認証に EAP-TLS が必要で、この構成を複数のユーザーに配布する予定の場合、マ シン接続に使用するプロファイルで [自動 証明書選択の使用] を選択します。認 証プロファイルの構成についての詳細は Odyssey アクセス クライアント ユー ザー ガイドを参照してください。 マシン アカウント設定の構成 25 Odyssey アクセス クライアント管理ガイド マシン認証に対する信用構成要件 信頼されたルート CA あるいは中間 CA 証明書を、マシン アカウント ツールの [ 信頼されたサーバー ] ダイアログボックスで、マシン接続用に構成します。この 構成の前に、構成に使用するマシンの証明書ストアに、証明書が保存されている ことを確認してください。証明書の追加方法に関しての情報は Odyssey アクセス クライアント ユーザー ガイドにある信頼サーバーの管理についての詳細を参照 してください。 マシン アカウント設定の制限 デフォルトのログイン名と EAP-FAST オプション、そしてトークンに関連するも のなどのユーザーの介入が必要な認証方法は、マシン アカウント設定には適用さ れません。そのため、マシン アカウント ツールの [ プロファイル プロパティ ] ダ イアログボックスは、Odyssey アクセス クライアント マネージャのものと若干異 なります。 マシン パスワードの構成 マシン信用情報を Active Directory のリストに照らしてチェックする RADIUS サーバーでマシンを認証する際に、マシン信用情報(マシン名と マシン ドメイ ン パスワード)を構成できます。マシン信用情報は、マシンがドメインに参加す るときに自動で作成されます。 認証にマシン信用情報を使うには、以下の手順を行います。 1. マシン アカウント ツールの [構成 ] > [ プロファイル ] > [ 追加 ] ダイアログ ボックスを選択し、[ プロファイルの追加 ] ダイアログボックスの [ ユーザー 情報] タブの [マシン信用情報の使用] を選びます。 [ マシン信用情報の使用 ] を選択した場合は、OAC はコンピュータが認証のた めにドメインに接続したときに作成されたマシン信用情報を使用します。こ のオプションを選択していない場合は、OAC は、ログイン名として提供され たユーザー名であればどのような名前でも使用します。 2. (オプション)領域名を選択し、マシン信用情報を Realm(オプション)の @ ボックスで修飾します([ マシン信用情報の使用 ] チェックボックスの下にあ ります)。そうでない場合はこのフィールドを空欄のままにします。 RADIUS プロキシをサポートするよう RADIUS 認証サーバーが設定されてい る場合、領域名修飾が必要である可能性があります。 3. TLS で認証されていない場合は、[パスワードを使用したログインの許可] チェックボックスを選択します。 マシン信用情報が構成された場合、接続設定ツールを開きます。[マシン アカウン ト ] タブを選択して、[ マシン アカウントを使用してネットワーク接続を有効化 ] を選択します。 26 マシン アカウント設定の構成 第 3 章 マシン アカウントの構成 マシン信用情報をサポートする EAP 方式 マシン信用情報は EAP-TTLS または EAP-PEAP とのみ有効です。プロファイル用 に、これら認証方法をその内の 1 つまたは両方を選択します。次に必要に応じて、 [ プロファイル プロパティ ] ダイアログボックスの [TTLS 設定 ] タブ、あるいは [PEAP 設定] タブで、認証オプションを設定します。マシン アカウント プロファ イル用に認証プロトコルを選択する手順については、Odyssey アクセス クライア ント ユーザー ガイドを参照してください。 マシンの認証の有効化 OAC は UAC ネットワークでは、Active Directory マシン認証とエンドポイント評 価をサポートしています。これは、マシン アカウントを、整合性チェック用に構 成できるということです。 メモ:一度 OAC マシン アカウントにユーザー マシンをインストールすると、イ ンストールのプロセスが完了した後に、マシンを(手動で)リブートしなけれ ばなりません。 この機能が使えるようにする手順を以下に示します。 1. [ マシン アカウント ツール ] をダブルクリックし、サイドバーの [ プロファ イル ] アイコンを選択します。 2. [ ユーザー情報 ] タブでは、ログイン名を指定し、[ ユーザーマシン信用情報 ] を選択します。デフォルトではなく、領域名を指定することもできます。 3. [TTLS] タブをクリックし、内部プロトコルとして [EAP] を選択します。次に 内部 EAP プロトコルとして [JUAC] を選択します。 (これらの設定はデフォル トに取って代わります。) メモ:マシンレベルの接続に関してエンドポイント整合性チェックが失敗した 場合、ユーザー インターフェースがないため、修復指示やその他の通知は表示 されません。 (接続は Windows ログオンが完了する前に確立されます。)この場 合、マシン認証用に定義されたポリシーにもよりますが、自動修復を行うこと のできる保護 VLAN にマシンをリダイレクトすることが可能です。 マシン アカウント設定の構成 27 Odyssey アクセス クライアント管理ガイド 28 マシン アカウント設定の構成 第4章 いつ、どのようにネットワーク接続が発生す るかを構成する 本章のトピックは、以下の情報を含みます。 接続設定ツールの概要(29 ページ) 接続設定の構成のプロセス フロー(31 ページ) ユーザー アカウント接続の構成(33 ページ) マシン アカウント接続の構成(35 ページ) GINA での Windows ログオン前の接続の設定(38 ページ) 接続設定ツールの概要 接続設定ツールにより、OAC ネットワーク接続のタイプおよびタイミングを制御 するオプションを構成できます。 デフォルトでは、Windows のデスクトップが表示された後、OAC がネットワーク に接続します。これは、Windows 起動シーケンスの初期に特別の処理が必要な い、最も一般的な場合です。しかしながら、場合によっては、認証された接続を より早く確立する必要があります。たとえば、ユーザーがログインする前にドメ イン認証を有効化したり、起動プロセスの間の特定のタイミングでスクリプトを 実行することが、必要な場合もあります。 Odyssey アクセス クライアント管理者の [ 接続設定 ] ツールをダブルクリックし ます。[ 接続設定 ] ダイアログ ボックスには、3 つのタブがあります。 ユーザー アカウント - ユーザーのネットワーク接続のデフォルトのタイミ ングを設定します。ユーザー レベルでは、ネットワーク接続は、ユーザーの ログイン信用情報を必要とし、ユーザーがログインしている限り持続します。 接続設定ツールの概要 29 Odyssey アクセス クライアント管理ガイド 30 接続設定ツールの概要 マシン アカウント - Windows の起動時にマシン信用情報を使って接続する、 マシン レベルのネットワーク接続を設定します。マシン レベルでは、ネット ワーク接続は、ユーザーの信用情報または物理コンピュータの信用情報のい ずれかを使用します。どのユーザーがログインしているかに関係なく、マシ ン(コンピュータ)が、Windows を実行している限り、マシン接続は持続で きます。 GINA - GINA (Graphical Identification and Authentication) を使用して、 Windows 起動前の認証をコントロールします。GINA は、認証に必要なユー ザー信用情報を集めるために、Windows ログオン プロセスの前に動作する、 代替可能な DLL(ダイナミック リンク ライブラリ)です。GINA は、 Windows ログオン前にネットワーク接続を有効化するのに役立ちます。複 数のベンダーが独自の GINA を提供しています。Odyssey GINA モジュール は、OAC との連携用に作られ、他のベンダー製の GINA モジュールと互換性 を持っています。38 ページの「GINA での Windows ログオン前の接続の設 定」を参照してください。 第 4 章 いつ、どのようにネットワーク接続が発生するかを構成する 接続設定の構成のプロセス フロー 図 5:接続設定のプロセス フロー 接続設定ツールの概要 31 Odyssey アクセス クライアント管理ガイド メモ:ユーザー アカウントの接続設定を構成する前に、初期設定ツールを使用 して、ユーザー アカウントを構成します。同様に、マシン アカウントの接続設 定を構成する前に、マシン アカウント ツールを使用して、マシン アカウント設 定を構成します。 ネットワーク接続のタイミングについて Windows の起動や認証などのイベントに基づいて、ネットワーク接続を行うよう 設定できます。接続のタイミングは、マシン接続レベルあるいはユーザー ログイ ン レベルで適用され、それらは互いに排他的です。この項目に説明された設定で 使用可能なオプションを示します。 ユーザー レベルの接続オプション 3 タイプのユーザー レベル接続は、以下のとおりです。 ユーザーが Windows にログインする直前に、ユーザーの信用情報に基づいて ユーザー レベルのネットワーク接続が確立されます。 ユーザーが Windows にログインした後、デスクトップが表示される前に、 ユーザーの信用情報に基づいてユーザー レベルのネットワーク接続が確立 されます。 Windows のデスクトップが表示された後、ユーザーの信用情報に基づいて ユーザー レベルのネットワーク接続が確立されます。 他の機能を選択することにより、これらの設定の一部が有効または無効になるこ とに注意してください。 様々なネットワーク接続オプションの構成に関する詳細、およびあるシナリオを 選択する理由に関する情報は、次の項目を参照してください。 37 ページの「マシンのみの接続の構成」。 37 ページの「ユーザー接続に切り替わるマシン接続の構成」。 マシン レベルの接続オプション ネットワークへのマシン接続は、物理コンピュータのログイン信用情報または ユーザーの信用情報のいずれかを使用できます。 マシン接続には以下の設定オプションが利用できます。 32 接続設定ツールの概要 マシン レベルのネットワーク接続が、Windows 起動時に確立されます。この 種の接続では、ユーザーがログインしていない状態でも、マシンが動作して いる限り、ネットワークに接続できます。更新スクリプトやバックアップを 配備したい場合、ユーザーのログイン状態にかかわらず、このオプションが 利用できます。 Windows 起動時にマシン レベルのネットワーク接続が確立され、ユーザー が Windows にログインする直前、ユーザー レベルの認証接続に切り替わり ます。 第 4 章 いつ、どのようにネットワーク接続が発生するかを構成する Windows 起動時にマシン レベルのネットワーク接続が確立され、ユーザーが Windows にログインした後、デスクトップが表示される前に、ユーザー レベ ルの認証接続に切り替わります。 Windows 起動時にマシン レベルのネットワーク接続が確立され、デスクトッ プが表示された後に、ユーザー レベルの認証接続に切り替わります。 ユーザー アカウント接続の構成 どのタイミングを選ぶかによって、ネットワーク接続の確立が左右される場合が あります。デフォルトのオプションでは、デスクトップが表示された後にネット ワーク接続を確立します。ただし、ネットワークから起動スクリプトを実行する 場合など、ユーザーがデスクトップ表示前にネットワーク接続を必要とする場合、 より早いタイミングを選択する必要があります。 Windows ログオン プロンプトが現れる前または後に、接続が発生するよう構成 するには、[ 接続設定 ] ツールの [ ユーザー アカウント ] タブを選択します。 [Odyssey を使用してネットワークへ接続 ] の下のオプションを使用します。次の オプションが、いつログイン プロンプトが表示されるかを制御します。 ユーザー デスクトップの表示後 - デスクトップ表示前にユーザーがネット ワーク接続を確立しないようにします。これは、デフォルトの設定です。 Windows ログオン後、デスクトップの表示前 - Windows ログオン後デスク トップ表示前に、ユーザーがネットワーク接続を確立するようにします。 33 ページの「Windows ログオン後、デスクトップの表示前に接続」を参照し てください。 以下の設定を使用して Windows ログオン前 - ユーザーが Windows ログオ ン前にネットワーク接続を確立するようにします。34 ページの「Windows ロ グオン前に接続」を参照してください。 カスタム インストーラの Windows ログオン機能の構成または構成の設定の更新 は、15 ページの「ログイン名形式の構成」のガイドラインに従ってください。 Windows ログオン後、デスクトップの表示前に接続 Windows デスクトップ表示後に接続する場合、次の 2 つの状態から選択します。 このマシンのユーザーが有線アダプタを介してネットワークに接続した場 合、常に接続を保留します。これには [有線アダプタ] を選択します。このオ プションは、有線アダプタが 802.1X のハブあるいはスイッチに接続してい ない場合でも、適用されます。 指定のアダプタを 1 つ以上経由してユーザーがネットワークに接続した場合、 常に接続を保留します。これには [ 以下のアダプタいずれか ] を選択します。 このオプションは一覧のアダプタすべてに有効です。 ユーザー アカウント接続の構成 33 Odyssey アクセス クライアント管理ガイド アダプタ一覧の編集は、以下のように行います。 a. [ 編集 ] を選択します。[ アダプタの選択 ] ダイアログ ボックスが表示さ れます。 b. デスクトップ表示後に生じるネットワーク接続に使用する、アダプタを 選択します。 c. [OK] をクリックして [アダプタの選択] ダイアログ ボックスを閉じます。 選択したアダプタが、[ 接続設定 ] ツールの [ ユーザー アカウント ] タブの [ 編集 ] ボタンの横にあるリストに表示されます。 Windows ログオン前に接続 メモ:[Windows ログオン前に接続 ] 設定を構成する前に、接続設定ツールの [GINA] タブを選択して、Odyssey GINA モジュールをインストールします。 39 ページの「Odyssey GINA モジュールのインストール」および 39 ページの 「Windows ログオン時に実行している他のモジュールと GINA との互換性」を 参照してください。 ネットワーク構成に、認証にパスワードが必要なプロファイルがある場合、[ 構 成] > [プロファイル] > [プロパティ ] > [ユーザー情報] を選択して、[パスワー ド] サブタブの [Windows パスワードの使用] ボックスをクリックします。 Odyssey アクセス クライアント ユーザー ガイドの認証プロファイルの構成に関 する説明を参照してください。 ネットワーク構成が、EAP-TLS または他の証明書ベースの認証方式を指定するプ ロファイルを必要とする場合、[プロファイルのプロパティ] ダイアログ ボックス の [ユーザー情報] タブにある [証明書] サブタブで [自分のスマート カード リー ダーからの証明書を使用] を選択します。このタイプの接続の構成に対するオプ ションは、以下のとおりです。 失敗時に代替設定を使用 - Windows ログオン前に起こった接続に対し、別 の有線 802.1X アダプタとプロファイル(あるいはワイヤレス アダプタ ネッ トワーク)を提供します。表示されたアダプタとネットワークによる接続が 失敗し、失敗コードが返された場合、代替設定が適用されます。 このオプションの利用法の 1 つは、Windows ログオン前に生じた接続に対し て、別の 802.1X 有線アダプタ(およびプロファイル)を提供することです。 別の使用法は、失敗した場合に、代替のアダプタおよびネットワークを提供 することです。OAC は、接続を確立しようとして、代替設定を自動的に使用 します。 メモ:代替設定オプションは、同じタイプの接続に適用されます。すなわち、無 線接続が失敗した場合、代替アダプタおよびネットワークも、ワイヤレスでな ければなりません。ワイヤレス接続から有線接続への、または有線接続からワ イヤレス接続へのフェールオーバーは、有効ではありません。 このオプションの代替設定を構成する前に、初期設定ツールで別のアダプタ とプロファイルを設定します。 このオプションを選択した後、[ 代替設定の編集 ] ボタンを選択して、別のア ダプタおよびネットワークを選択します。 34 ユーザー アカウント接続の構成 第 4 章 いつ、どのようにネットワーク接続が発生するかを構成する 接続要求プロンプト - ログイン時のネットワーク接続の前にプロンプト画面 を表示するかどうか制御するオプションが 3 つあります。オプションは次の とおりです。 表示しない - 接続の試みが失敗した場合でも、ユーザーに接続要求プロ ンプトを表示したくない場合、このオプションを選択します。 接続の失敗時 - 接続の試みが失敗した場合のみユーザーにプロンプト を表示したい場合、このオプションを選択します。 ネットワークへの接続前 - ユーザーが Windows にログオンするたびに プロンプトを表示したい場合、このオプションを選択します。 ユーザーのデスクトップが表示されてから、Odyssey アクセス クライアント を使用してネットワークへ接続 - ユーザーがネットワーク アダプタで接続 できる場合、Windows ログオン前の接続設定を上書きします。 [有線アダプタ] を選択します。この場合、OAC はデスクトップ表示後に接続 します。 マシン アカウント接続の構成 マシン アカウントの目的は、ユーザーではなく物理マシン(コンピュータ)を ネットワークに接続、認証することです。このプロセスでは、IP アドレスをマシ ンに割り当てます(レイヤー 2 ネットワーク接続)。ユーザーがログインする前 に、ネットワーク接続および IP アドレス割り当てが発生します。これは、ユー ザーが接続する前に、ドメイン レベルのリソースおよびドライブ マッピングを セットアップするのに役立ちます。 ユーザー認証の場合、マシンの認証とは異なり、ネットワークへの接続に別の信 用情報が必要となります。物理マシンがネットワークにアクセスしている場合で も、別のプロセスでユーザーがログオンし認証される必要があります。 マシン アカウント接続を設定する場合、マシン アカウント接続の認証プロファ イル オプション(使用する信用情報やネットワークなど)も設定する必要があり ます。25 ページの「マシン アカウント プロファイル オプション」を参照してく ださい。 接続設定ツールの [マシン アカウント] タブを選択して、 (ユーザーではなく)マ シンの信用情報でマシンの起動時にネットワークへ接続します。そして、[マシン アカウントを使用してネットワーク接続を有効化] チェック ボックスを選択しま す。次に、相互に排他的な以下のオプションのどれかを選択します。 マシン接続をアクティブにしておく。ユーザーはマシン接続を介して接続さ れる - ユーザーのログイン後もマシン レベルのネットワーク接続を維持し ます。このオプションの場合、ユーザーがネットワーク接続を制御できる能 力が劣りますが、ネットワーク リソースへのアクセスは可能です。ステータ ス情報の表示や、ネットワークへの再接続を行えますが、既存の OAC 構成を 変更することはできません。 このオプションは、旅行代理店など、複数のユーザーが事務所の空いている コンピュータを使って同様のタスクを行う環境をサポートします。マシンは 認証される必要がありますが、ユーザーは必要ありません。 マシン アカウント接続の構成 35 Odyssey アクセス クライアント管理ガイド マシン接続を破棄する。ユーザーは自分の信用情報で接続する - マシン接続 を破棄し、ログイン時のユーザーの Windows 信用情報に基づいて自動的に新 たなネットワーク接続を確立します。この接続タイプの場合、マシン接続が アクティブなときほど、ユーザーのネットワーク アクセスが制限されませ ん。認証されると、Odyssey アクセス クライアント マネージャを使用した接 続設定の変更や表示が可能になります。 誰もログインしていないときでも、エンドポイント マシンを接続していなけ ればならない場合に、このオプションを使用します。マシン接続は、リモー ト管理タスクまたは業務時間外に動作するシステム サービス スクリプトを サポートするために使用されます。そのマシンからのネットワーク アクセス を必要なユーザーは、自分の信用情報を提供しなければなりません。 ユーザーがログオフすると、接続はマシン アカウントに戻ります。 このオプションを選んだ場合、[ ユーザー アカウント ] タブをクリックして、 ユーザー接続のタイミングを設定します。 タイミングは以下のいずれかを選択します。 ユーザー デスクトップの表示後 Windows ログオン後、デスクトップの表示前 以下の設定を使用して Windows ログオン前 マシン アカウントの接続設定の構成 選択項目に基づいて、接続設定を次のように構成します。 1. Odyssey アクセス クライアント管理者の [ 接続設定 ] ツールをダブルクリッ クして、開きます。 2. [ マシン アカウント ] タブからマシン ネットワーク接続オプションを選択し ます。 3. ネットワーク接続設定を構成します。 4. 初期設定ツールをダブルクリックして、新規ユーザー アカウント設定を構成 し、マシン接続が確立された後に、ユーザーが自分の信用情報を使用して接 続できるようにします。 36 マシン アカウント接続の構成 第 4 章 いつ、どのようにネットワーク接続が発生するかを構成する マシンのみの接続の構成 ユーザー信用情報に依存せずに、ネットワーク上のクライアント・マシンを識別 するため、マシン認証を使用して、ネットワークに全クライアント マシンを接続 できます。マシン関連の起動プロセスがある場合、これは便利です。この機能を 使用して、ユーザーがログオフしているときでも、クライアント マシンのネット ワーク接続を維持できます。このようにして、マシンがオンで Windows が動作 している限り、ユーザーがログインしていなくても、マシンはネットワークに常 に接続されています。これは、業務時間外のスクリプトの実行およびリモート管 理タスクに便利です。 マシンのみの接続を構成するには、次の手順に従います。 1. [ 接続設定 ] ツールをダブルクリックします。 2. [ マシン アカウント ] タブをクリックして、[ マシン アカウントを使用して ネットワーク接続を有効化 ] を選択します。 3. [ マシン接続をアクティブにしておく ] を選択します。 4. [OK] を選択します。 5. [マシン アカウント] ツールをダブルクリックします。ネットワーク、アダプ タ、プロファイルなど、マシンのネットワーク接続をセットアップし、マシ ン アカウント ツールを閉じます。マシン アカウント プロファイルの指定に 関する詳細は、26 ページの「マシン パスワードの構成」を参照してください。 ユーザー接続に切り替わるマシン接続の構成 マシン信用情報を使用して、ネットワークにクライアント マシンをすべて接続 し、次に、ユーザーがログインするときに、ユーザー認証を要求できます。この オプションでは、ユーザーがログインする前に、Windows 起動時にネットワーク タスクを実行し、ユーザーがログインするときに、認証済みのユーザーレベル ネットワーク接続に切り替えることができます。夜間やユーザーが通常はオフィ スにいない時間に、保守スクリプトおよびバックアップを実行できるわけです。 ユーザー接続に切り替えることができるマシン接続を構成するには、次を実行し ます。 1. Odyssey アクセス クライアント管理者の [ 接続設定 ] ツールをダブルクリッ クします。 2. [ マシン アカウント ] タブをクリックして、[ マシン アカウントを使用して ネットワーク接続を有効化 ] を選択します。 3. [ マシン接続を破棄する ] を選択します。 4. [ユーザー アカウント] タブを選択し、利用可能なユーザー認証タイミング オ プションの 1 つを選択して、[OK] を選択します。 マシン アカウント接続の構成 37 Odyssey アクセス クライアント管理ガイド 5. [ マシン アカウント ] ツールをダブルクリックします。[ マシン アカウント ] ダイアログ ボックスが表示されます。[ ネットワーク ] ダイアログ ボックス、 [ 信頼されたサーバー ] ダイアログ ボックス、[ アダプタ ] ダイアログ ボック ス、および [ プロファイル ] ダイアログ ボックスを使用して、マシン ネット ワーク接続を構成します。マシン アカウント プロファイルの指定に関する詳 細は、26 ページの「マシン パスワードの構成」を参照してください。 6. マシン アカウント ツールを閉じます。 7. [ 初期設定 ] ツールをダブルクリックします。[ 初期設定ツール ] ダイアログ ボックスが表示されます。[ プロファイル ] ダイアログ ボックス、[ ネット ワーク ] ダイアログ ボックス、[ 信頼されたサーバー ] ダイアログ ボックス、 および [ アダプタ ] ダイアログ ボックスを使用して、ユーザー ネットワーク 接続を構成します。 8. [ マージ ルール ] ツールをダブルクリックして、ロックが必要な構成機能を ロックします。 9. 終了したら、初期設定ツールを閉じます。 GINA での Windows ログオン前の接続の設定 GINA は、OAC の Graphical Identification and Authentication モジュールです。GINA は、Windows ログオン プロセスが完了する前に動作する、代替可能なダイナミッ ク リンク ライブラリ (DLL) です。GINA は、Windows ログオン前にネットワーク 接続を有効化するのに役立ちます。ユーザーのログイン信用情報を Windows の ログオン ダイアログ ボックスからキャプチャし、実際の Windows ログオンを遅 らせることによって、他のセットアップ プロセスやスクリプトを先に実行できる ようにします。ユーザーが Windows ログオン信用情報を入力するとすぐに、GINA は、その情報を取得、使用して、ログイン プロセスおよびネットワーク接続が完 了する前に、ユーザーを認証します。このように、接続前に、ユーザーはネット ワーク上で認証されます。 Windows ログオン前の接続は、起動プロセスでネットワーク接続が必要な場合に 役に立ちます。また、企業が Active Directory をユーザー データベースとして使 用している場合、有効なツールとなります。 メモ:この種のネットワーク接続を使用できるようにするには、Odyssey GINA モジュールをインストールする必要があります。 Odyssey GINA は、高度な設定ツールであり、Windows GINA モジュールに詳し く、使い方を理解している管理者を対象としています。Odyssey GINA モジュール は Windows GINA より優先され、OAC 接続および認証とのみ使用されます。 メモ:Windows Vista システムにおいては、GINA についてここで説明した機能 は、信用情報プロバイダによって提供されます。Odyssey GINA 画面は、両方の プラットフォームで同一です。すなわち、ダイアログ ボックスは、信用情報プ ロバイダ ツールを GINA と呼びます。 Vista システム上には、GINA アカウントのための個別のログイン タイル(また はアイコン)があります。タイルは OAC アイコン を示しています。 38 GINA での Windows ログオン前の接続の設定 第 4 章 いつ、どのようにネットワーク接続が発生するかを構成する Odyssey GINA モジュールのインストール GINA モジュールをインストールするには、次を実行します。 1. 接続設定ツールの [GINA] タブで [Odyssey GINA モジュールのインストール ] ボタンをクリックします。 2. 接続設定ツールの [ ユーザー アカウント ] タブで Windows ログオン前の接続 設定を構成します。 Odyssey GINA モジュールの削除 Odyssey アクセス クライアント GINA モジュールを削除するには、 次を実行します。 1. 接続設定ツールの [GINA] タブで [Odyssey GINA モジュールの削除] ボタンを 選択します。 2. GINA モジュールの削除を完了するためにマシンを再起動します。 サードパーティの GINA モジュールと Odyssey GINA を使用 サードパーティの GINA モジュールを Odyssey GINA モジュールと使用するには、 サードパーティの GINA モジュールをインストールした 後で、Odyssey GINA モ ジュールをインストールします。 サードパーティの GINA モジュールをインストールする前に Odyssey GINA モ ジュールをインストールした場合、以下を行います。 1. 39 ページの「Odyssey GINA モジュールの削除」の指示を使用して、Odyssey GINA モジュールを削除します。 2. サードパーティ GINA モジュールをインストールします。 3. 39 ページの「Odyssey GINA モジュールのインストール」の指示を使用して、 Odyssey GINA モジュールをインストールします。 4. コンピュータを再起動します。マシンを再起動するまで、GINA モジュールの インストールは完了しません。 Windows ログオン時に実行している他のモジュールと GINA との互換性 Odyssey GINA モジュールは、Windows ログオン ダイアログ ボックスを表示する Windows GINA モジュールの前に動作することによって機能します。 OAC と他のログオン モジュール間の相互関係について、 以下に注意してください。 Microsoft Windows のログオン画面に代わる一部のアプリケーションに対し、 OAC によって信用情報がプロンプトされる場合があります。 OAC は、シングル サインオンの動作を保持しつつ、多くのログイン モジュー ルと互換性を持っています。 Novell Client for Windows の場合、OAC はログイン時に、信用情報のプロンプ ト表示を行わずに Novell の信用情報を使用します。 GINA での Windows ログオン前の接続の設定 39 Odyssey アクセス クライアント管理ガイド GINA をスマート カードと使用 スマート カードを GINA 認証で使用する場合、以下を行う必要があります。 1. [ 構成 ] > [ プロファイル ] > [ プロファイルのプロパティ ] を選択し、 EAP-PEAP、EAP-TTLS、EAP-TLS(内部認証プロトコルとしての TLS)など、 証明書ベースの認証プロトコルを使用する認証プロファイルを作成します。 2. [ ユーザー情報 ] タブを選択し、[ ログイン名 ] ボックスにテキスト文字列を 入力します。 ([ ログイン名 ] ボックスを空欄にすると、認証に失敗します。) Juniper Networks の Steel-Belted Radius を認証に使用している場合は、すべて のテキスト文字列が許可されます。別の AAA 認証サーバーの場合、この文字 列の要件が異なります。 3. [ ユーザー情報 ] > [ 証明書 ] タブを選択し、[ 自分の証明書を使用したログ インの許可 ] と [ 自分のスマート カード リーダーからの証明書を使用 ] の両 方を選択します。 メモ:GINA をインストールする場合、Windows ログオン前あるいはログオン後 の認証用に、スマート カードとパスワード ベースのプロトコルの両方を使用す るプロファイルを構成できます。EAP-TLS は GINA ログオン時スマート カード でのみ動作します。 4. [OK] を選択してプロファイルを保存します。 5. Odyssey アクセス クライアント ユーザー ガイドの指示に従って、ネットワー クとサーバー信頼を構成します。手順 1 のプロファイルを必ずこのネット ワークに関連付けます。 6. 初期設定ツールから [ ツール ] > [ オプション ] を選択して、必要なオプショ ンを設定します。 7. 初期設定ツールを閉じます。 8. [ 接続設定 ] ツールをダブルクリックして、以下を行います。 a. GINA をインストールしていない場合、39 ページの「Odyssey GINA モ ジュールのインストール」の指示に従ってインストールします。 b. [ ユーザー アカウント ] タブで、該当する Windows ログオン前の設定オ プションを設定して、手順 2 で構成したネットワークを選択します。 9. [ マージ ルール ] ツールをダブルクリックし、手順 1 で作成したプロファイ ルをロックします。さらに、他にもロックが必要な機能があれば、ロックし ます。 メモ:FIPS モードをオンにすると、OAC スマート カード PIN 管理が無効にな ります。 40 GINA での Windows ログオン前の接続の設定 第 4 章 いつ、どのようにネットワーク接続が発生するかを構成する GINA 接続の設定に関して、次の点に注意してください。 初期設定ツールで、デフォルトのユーザー アカウント ネットワーク設定すべ てを構成できます。ただし [ 初期設定 ] ツールでは制限付きオプションがデ フォルトで無効にされていないため、ネットワーク接続を適切に設定してく ださい。 初期設定ツールでデフォルトの Windows ログオン設定を構成する場合のみ に適用される機能については、ユーザーが Odyssey アクセス クライアント マネージャのメニューバーから [ ツール ] > [Windows ログオン設定 ] を選 択して、デフォルトの Windows ログオン設定を書き換える場合、使用でき ません。 マシン アカウント ツールを使って、マシン アカウント ネットワーク設定の すべてを構成できます。マシン アカウント ツールでは、制限付きオプション が無効化されています。 パスワード、トークン、PIN プロンプト制限は、リスト表示されたプロトコ ルが使用されているときに適用されます(内部あるいは外部認証プロトコル として)。 スマート カード証明書付きの EAP-TLS と、EAP-TTLS などのパスワード ベー スのプロトコルを両方含む、Windows ログオン前マシン認証を構成すること ができます。この場合、ユーザーがログオンにスマート カードを使用するか、 あるいは Windows のパスワードを使用するかによって、認証方法が異なりま す。ログインで両方のオプションがプロンプト表示され、ユーザーはそのい ずれかを選ぶ必要があります。 GINA での Windows ログオン前の接続の設定 41 Odyssey アクセス クライアント管理ガイド 42 GINA での Windows ログオン前の接続の設定 第5章 個別の OAC 機能に対する権限設定 権限設定の概要 権限エディタ ツールを使用すると、個々の OAC 構成設定を有効化、無効化、非 表示にすることができ、そしてユーザーに表示される、またはユーザーがアクセ スできる機能をコントロールすることができます。権限エディタは、どの認証プ ロトコルがネットワークでサポートされているかを決定し、ユーザーのネット ワークがサポートするワイヤレス ネットワークのプロパティを管理します。そし て、Odyssey アクセス クライアント マネージャのインターフェースの一部を無効 にして、ネットワーク、またはインフラネット コントローラに接続し、切断する だけの必要のあるユーザーにとって単純なインターフェースを提供します。 上級ユーザーには、ネットワークの作成、構成、または信頼設定の変更などがで きる機能へのアクセス権を与えることもできます。この場合、上級ユーザーに合 わせた、別に事前定義された構成を作成、配備し、権限エディタを使用して、そ のユーザー グループに適切なオプションを有効にします。オプションは広範囲に わたるので、必要に応じて柔軟に設定を管理することができます。 この機能を使い、ユーザーによる OAC の構成における特定の機能の変更につい て、機能ごとに制限をカスタマイズします。このツールを使ってユーザーに変更 を許可しない設定を無効化でき、場合によっては、ユーザーが [表示] メニューか らオンにできる一部の機能を、無効化でなく非表示にできます。 権限エディタ ツールで構成した設定は、自動的に現在のマシン、つまり配布用に OAC を事前構成するのに使用するマシンに適用されます。また、権限の構成を 1 人以上のユーザーに エクスポートするためのファイルも作成できます。66 ペー ジの「タスク サマリー:マシン アカウント用の更新設定のマージ」を参照してく ださい。 権限エディタで Odyssey アクセス クライアント マネージャの外観を管理するも のではないその他のオプションを無効にしても、それでもなおメニューまたはダ イアログボックスに無効にされたオプションは表示されます。ユーザーが無効化 されたオプションにアクセスを試みた場合、ダイアログボックスで、管理者がそ のオプション無効化したということが表示されます。 権限設定の概要 43 Odyssey アクセス クライアント管理ガイド 認証プロトコル このカテゴリのオプションは、EAP-SIM 等の個々の外部 EAP プロトコルを有効あ るいは無効にします。個々のプロトコルは、無効にされた後もプロトコル選択一 覧に表示されます。しかしユーザーが [OK] をクリックしてプロファイル設定の 保存を試みた場合、エラー メッセージで無効なプロトコルが指定され、すべての 設定が確認されるまで保存作業が完了できません。 TTLS 内部認証プロトコル このカテゴリのオプションは、MS-CHAP 等の個々のプロトコルを有効あるいは無 効にします。個々のプロトコルは、無効にされた後もプロトコル選択一覧に表示 されます。しかしユーザーが [OK] をクリックしてプロファイル設定の保存を試 みた場合、エラー メッセージで無効なプロトコルが指定され、すべての設定が確 認されるまで保存作業が完了できません。 TTLS 内部 EAP プロトコル このカテゴリのオプションは、EAP-GenericTokenCard 等の個々の外部 EAP プロ トコルを有効あるいは無効にします。個々のプロトコルは、無効にされた後もプ ロトコル選択一覧に表示されます。しかしユーザーが [OK] をクリックしてプロ ファイル設定の保存を試みた場合、エラー メッセージで無効なプロトコルが指定 され、すべての設定が確認されるまで保存作業が完了できません。 PEAP 内部認証プロトコル このカテゴリのオプションは、EAP-POTP 等の個々の内部 PEAP プロトコルを有 効あるいは無効にします。個々のプロトコルは、無効にされた後もプロトコル選 択一覧に表示されます。しかしユーザーが [OK] をクリックしてプロファイル設 定の保存を試みた場合、エラー メッセージで無効なプロトコルが指定され、すべ ての設定が確認されるまで保存作業が完了できません。 プロファイルのプロパティ このカテゴリのオプションは、ログイン認証の一部として、有効な証明書の要求 を有効あるいは無効化します。 オプション このカテゴリのオプションは、ユーザーに対し一時的信頼を有効あるいは無効化 します。このオプションは、無効化された後も [初期設定] > [ツール] > [オプ ション] メニューの [セキュリティ ] タブに表示されます。無効化されている限り ユーザーはこれを変更できません。 ネットワークのプロパティ このカテゴリのオプションは、ピアツーピア ネットワークや特定の暗号化プロト コルなど、特定のネットワーク オプションを有効化あるいは無効化します。この カテゴリのオプションの 1 つで、SSID を送信しないネットワークへのアクセスを 無効化できます。この設定により、OAC でネットワークが SSID で構成されてい る場合でも、SSID を送信しない、あらゆるワイヤレス ネットワークへのアクセ スが切断されます。権限エディタの設定は、OAC の現在の設定を優先させます。 44 権限設定の概要 第 5 章 個別の OAC 機能に対する権限設定 Odyssey 制御 これはセキュリティ関連のオプションで、ユーザーや外部プログラムが Windows レジストリを編集して OAC が無効にされるのを防ぎます。初期設定ツールの全ア ダプタを管理するオプションと連動し、ユーザーが別の無許可のワイヤレス クラ イアントを使い、保護されたネットワーク リソースにアクセスするのを防ぎま す。19 ページの「ネットワーク アダプタおよび他の Wi-Fi サプリカントのコント ロール」を参照してください。 ユーザー インターフェース設定 このカテゴリの設定を使用して、Odyssey アクセス クライアント管理者または [ ヘルプ ] メニューにあるライセンス キーを削除します。Odyssey アクセス クラ イアント マネージャのサイドバーで個々の設定を非表示にできます。さらに、 ユーザーがネットワーク セキュリティ ポリシーを回避する目的で、別のワイヤ レス アクセスを利用して Windows のレジストリを編集し、OAC を無効化するの を防ぐことも可能です。 メモ:Odyssey アクセス クライアント管理者へのアクセスを無効にしたとき は、ユーザー自身がこのツールにアクセスすることを無効にできます。 drive:\Program Files\Juniper Networks\Odyssey Access Client\ odClientAdministrator.exe から再起動できます。 ユーザー インターフェース - 構成セクションの非表示 このカテゴリのオプションを使用して、サイドバー(プロファイル、ネットワー ク、自動スキャン リスト、信頼されたサーバー、アダプタ、インフラネット コ ントローラ)で個々の構成フォルダを非表示にするか、あるいはサイドバーの [構成] セクション全体を非表示にします。 非表示(無効化されていない)として構成された設定は Odyssey アクセス クライ アント マネージャメニューバーの [ 表示 ] メニューで表示されます。ユーザーは [ 表示 ] メニューで、どの設定が非表示にされたかを確認することができ、それら の設定を一度に表示するように切り替えることができます。権限エディタで非表 示として設定を構成した場合、ユーザーが Odyssey アクセス クライアント マ ネージャを開始する毎に、設定は非表示としてリセットします。 構成オプションを非表示にしなかった場合、[表示]メニューは Odyssey アクセス クライアント マネージャメニューバーで表示されません。 ユーザー インターフェース - 構成セクションの非表示 このカテゴリのオプションを使用して、サイド バー(プロファイル、ネットワー ク、自動スキャン リスト、信頼されたサーバー、アダプタ、インフラネット コ ントローラ)で個々の構成フォルダを無効化、そして非表示にするか、あるいは サイドバーの [ 構成 ] セクション全体を非表示にします。非表示かつ無効化され た機能は管理者の管理下にあり、[表示] メニューには表示されません。管理者の みが有効に戻すことができます。 権限設定の概要 45 Odyssey アクセス クライアント管理ガイド 権限限または制限の設定 個々の構成設定のために権限または制限を設定するには、権限エディタ ツールを 開きます。権限エディタ ツール の設定には、以下の状態があります。 有効 無効 非表示 非表示設定はユーザー インターフェース管理のみです。 Odyssey アクセス クライアント マネージャ機能に対する権限制限は次のように 行います。 1. [EAP-SIM の無効化 ] 等、チェックボックスを選択して制限を設定します。 (Odyssey アクセス クライアント アドミニストレータ等の一部の機能は、無 効化された場合ユーザーに表示されません。) 2. 制限する機能を選択し、[OK] を選びます。 制限を解除するには、チェックボックスをオフにします。 権限エディタを使用する際のガイドライン 権限または制限の設定/変更の場合に、以下のガイドラインに従います。 46 権限限または制限の設定 マージ ルール ツールで制限(ロック)する機能は、すべて権限エディタ ツー ルで構成する制約の対象外となります。 制限した機能あるいはオプションについては、ユーザーが構成したり使用す ることはできませんが、引き続きユーザーに表示される場合もあります。 [ネットワークの無効化] を選択した場合、ユーザーは [任意] ネットワーク機 能を使って不特定のネットワークに接続することはできません。ネットワー ク アクセスの管理についての詳細は Odyssey アクセス クライアント ユー ザー ガイドを参照してください。 [アドホック ネットワークの無効化] を選んだ場合、ユーザーはピアツーピア 接続を行えません。 [ ツール ] メニューの [Odyssey アクセス クライアント アドミニストレータを 削除する ] を選択すると、ユーザーは Odyssey アクセス クライアント マネー ジャの Odyssey アクセス クライアント管理者にアクセスできません。これに より、EE および FE ライセンスのユーザーが通常利用できる Odyssey アクセ ス クライアント管理者、へのアクセスが制限できます。 [ ライセンス キー アイテムを [ ヘルプ ] メニューから削除 ] を選ぶと、ユー ザーはライセンス キーを変更あるいは表示できません。 第 5 章 個別の OAC 機能に対する権限設定 [ 非認証を無効化 ] オプションのいずれかを選択した場合、ユーザーは、プロ ファイルをネットワーク接続に割り当てない場合は、特定の暗号化プロトコ ルを使ってネットワーク構成を作成することができません。 [非認証のクリア接続を無効化] オプションは、暗号化がないと構成されたネッ トワーク記述に適用されます([ネットワーク プロパティ ] ダイアログボック スの暗号化方式で [なし] が選択されている)。 [ 認証を無効化 ] オプションのいずれかを選択した場合、ユーザーは、プロファ イルをネットワーク接続に割り当てる際に、特定の暗号化プロトコルを使っ てネットワーク構成を作成することができません。 設定を非表示(無効化ではなく)にする場合は、Odyssey アクセス クライア ント マネージャメニューバーは 設定を表示しながら [ 表示 ] メニュー表示し ます。ユーザーは、それらを選択することによって、オプションを切り替え ることができます。設定を非表示にしなかった場合、[ 表示 ] メニューは表示 されません。 [ユーザーは Odyssey を終了できない] を選択すると、ユーザーが OAC を終了 するのを防ぐことができます。この設定を有効化するとシステム トレイの OAC アイコンから、[ 終了 ] の選択項目が削除されます。この設定を [ ワイヤ レス (WiFi) アダプタをすべて管理] および [有線(イーサネット)アダプタを すべて管理 ] オプションと併用し、ユーザーが別のワイヤレス サプリカント プログラムを使うのを防ぎ、さらにネットワーク アクセス セキュリティ ポ リシーが回避される可能性も防ぎます。 メモ:個々の構成設定カテゴリをロックし、マージ ルール ツールを使用するこ とによって、そのカテゴリの変更ができないようにできます。 権限エディタを使用する際のガイドライン 47 Odyssey アクセス クライアント管理ガイド 48 権限エディタを使用する際のガイドライン 第6章 マージ ルールを使用した更新の管理 マージ ルールの概要 マージ ルールでは、初期設定ツールで定義した構成の設定の追加、置換、または ロックができます。マージ ルールは、OAC 構成更新の管理に役立つことを目的と しています。マージ ルールは、次のカテゴリの構成の設定に適用できます。各カ テゴリは、[ マージ ルール ] ダイアログ ボックスのタブで表されています。 プロファイル ネットワーク 自動スキャン リスト インフラネット コントローラ 信頼 その他 マージ ルールの使用例 現在のユーザー構成への更新に影響するルールを構成する、使用例は次のとおり です。 ユーザーまたはマシンのグループへの OAC の定期的な更新。 既存の構成へのネットワーク、プロファイル、自動スキャン リスト、または インフラネットコントローラの追加。 OAC の新バージョンでのユーザーのアップグレード。 新しいマシンにインストールするロックされた構成の設定。 (デフォルト設定 では、すべての構成設定が有効です。) FIPS モードまたは信頼設定のような、ユーザーによる変更を望まない設定の ロック。また、インフラネット コントローラまたは対応するプロファイル構 成をロックしたり、特定のインフラネット コントローラへの接続をユーザー に要求したりできます。 マージ ルールの概要 49 Odyssey アクセス クライアント管理ガイド マージ ルールの設定 個々のマージ ルールの設定は以下のとおりです。ルールが適用される設定のカテ ゴリに基づいて、これらのルールのすべてが利用可能だとは限らないことに注意 してください。 なし-これらの設定は、既存のユーザー構成へはマージしませんが、新規ユー ザー アカウントには設定します。 ない場合は追加 - 既存のユーザー構成に設定を追加しますが、ネットワーク またはプロフィル名など、同じ名前の設定には上書きしません。これは、マー ジ ルール ツールの [その他] 以外のすべてのタブでデフォルトです。[その他] タブでは、このオプションは利用できません。このモードは、OAC をインス トールした現在のユーザーに加え、新規ユーザーの構成にも影響します。ユー ザーは、これらの設定を変更できます。 設定、ある場合は置換 - 既存のユーザー構成に設定を追加し、すでに存在す る場合、同じ名前の設定を上書きします。このモードは、OAC をインストー ルした現在のユーザーに加え、新規ユーザーの構成にも影響します。ユーザー は、これらの設定を変更できます。 ユーザー情報以外はロック - プロファイルに関連したユーザー信用情報(ユー ザー名、パスワード、またはユーザー証明書)を除いて、既存のユーザー構 成の設定をすべて上書きします。 このオプションはプロファイルに対してのみ有効です。これによってユー ザーは、信用情報を除き、ロックされたプロファイルのどの部分も編集する ことができなくなります。この種のロックの適用を計画している場合、初期 設定ツールで作成するプロファイルにユーザー名、パスワード、またはユー ザー証明書を指定しないでください。 ロック - 既存のユーザー構成の設定をすべて設定または置換し、ユーザーが それらを編編集できないようにします。機能をロックすると、OAC は、同じ 名前の現在のユーザー設定をすべて削除し、新規あるいは現在のユーザーが、 編集できないようにします。ロックされた機能には、次のインジケータの 1 つが表示されます。 ダイアログ ボックスに表示された機能すべてがロックされている場合、 読み取り専用のマークがダイアログ ボックスのタイトル バーに表示さ れます。 ダイアログ ボックスのタブに、選択したタブの機能がロックされている ことを示すテキストが表示されます。 マージ ルールで行った設定は、構成しているマシンのすべてのユーザーの設定に 影響します。変更した内容は、マージ ルールを閉じるとすぐに有効になります。 その後、ユーザーに構成の更新を提供する際、あるいは新しいインストーラ ファ イルを作成する際に、これらのマージ ルールを使用します。 50 マージ ルールの概要 第 6 章 マージ ルールを使用した更新の管理 マージ ルールの設定 マージ ルール ツールを使用して、現在のマシンまたはカスタム インストーラで 作成した設定ファイルに、初期設定および Windows ログオン構成を適用するた めのルールを割り当てます。 マージ ルールの設定を始めるには、次を実行します。 1. [ マージ ルール ] ツールをダブルクリックします。[ マージ ルール ] ダイアロ グ ボックスが表示されます。 2. [ プロファイル ] タブを選択して、1 つ以上のプロファイルの更新を管理しま す。(同様に、ネットワーク、自動スキャン リスト、またはインフラネット コントローラの更新を管理するには、ダイアログ ボックスの適切なタブを選 択します。) 3. [ 次のプロファイルのみを許可 ] を選択して、リストにあるプロファイルの更 新を管理します。このオプションは、以下のように構成に影響します。 ユーザーは、初期設定ツールによって構成するプロファイルのみを使用 できます。 ユーザー信用情報を除くすべてのユーザー プロファイルについて、すべ てのオプションがロックされます。 ユーザーは各自の構成に新しいプロファイルを追加できません。 管理者によって構成されたロック済みの各プロファイルに対し、ユー ザーは各自の信用情報を編集できます。 事前に構成されたプロファイルはユーザーに表示されず、無効化されて います。 これらをユーザーに表示するには、[次のプロファイルのみを許可] チェッ ク ボックスをクリアします。 すべてのプロファイルのロックに加え、これらロックされたプロファイ ル 1 つ以上に対してユーザー信用情報をロックしたい場合、ユーザー信 用情報をロックしたいプロファイルを選び、マウス ボタンを使用して、 [ロック] を選択します。 4. [OK] を選択します。 マージ ルールの設定 51 Odyssey アクセス クライアント管理ガイド プロファイル用にマージ ルールを設定する 1 つあるいは複数のプロファイルにマージ ルールを設定するには、以下の手順を 行います。 1. マウスの右ボタンを使用して、リストのプロファイル構成を 1 つ以上選択し、 プロファイルを選択して、[マージ ルールの設定] を選択します。利用可能な マージ モードが、コンテキスト メニューに一覧表示されます。 2. メニューから構成モード(なし、ない場合は追加、設定、ある場合は置換、 ユーザー情報以外はロック、ロック)の 1 つを選びます。 認証プロファイルへの更新に必要な他のマージ ルール モードについて、これら の手順を繰り返します。 ネットワーク用にマージ ルールを設定する ネットワーク構成用にマージ ルールを設定するには、次を実行します。 1. マージ ルール ツールで [ネットワーク] タブを選択します。ネットワークをす べてロックするか、または個別ネットワークにマージ ルールを設定できます。 2. リストのネットワークすべてをロックするには、[ 次のネットワークのみを許 可 ] を選択します。これによって以下の変更が適用されます。 ユーザーは、初期設定ツールで構成されたネットワークのみを使用でき ます。 すべてのユーザー ネットワークの全コンポーネントがロックされます。 ユーザーは各自の構成に新しいネットワークを追加できません。 事前に OAC で構成されたネットワークは、ユーザーに対しすべて非表示 で無効化されています。これらをユーザーに再表示する唯一の方法とし て、[ 次のネットワークのみを許可 ] をクリアします。 個々のネットワーク用にマージ ルールを設定する 1 つあるいは複数のネットワークにマージ ルールを設定するには、以下の手順を 行います。 1. リストから 1 つ以上のネットワーク構成を選択します。 2. メニューから構成モード(なし、ない場合は追加、設定、ある場合は置換、 ユーザー情報以外はロック、ロック)の 1 つを選びます。 メモ:FIPS モードが必要なネットワークをすべてロックします。 (FE のみ) 3. [OK] を選択します。 初期設定ツールで構成したプロファイルに適用したい他のマージ ルール モード について、これらの手順を繰り返します。 52 マージ ルールの設定 第 6 章 マージ ルールを使用した更新の管理 自動スキャン リスト用にマージ ルールを設定する 自動スキャン リスト用にマージ ルールを設定するには、次を実行します。 1. マージ ルール ツールで [自動スキャン リスト] タブを選択します。自動スキャ ン リストをすべてロックするか、または個々の自動スキャン リストにマージ ルールを設定できます。 2. 自動スキャン リストすべてをロックするには、[ 次の自動スキャン リストの みを許可 ] を選択します。ロックされた自動スキャン リストの結果は、以下 のとおりです。 ユーザーは、初期設定で構成する自動スキャン リストのみにアクセスで きます。 すべてのユーザー自動スキャン リストの全コンポーネントが、ロックさ れます。 ユーザーは新しい自動スキャン リストを各自の構成に追加します。 事前に OAC で構成された自動スキャン リストは、ユーザーに対しすべて 非表示で無効化されています。これらをユーザーに再表示するには、[ 次 の自動スキャン リストのみを許可 ] の設定をクリアします。 自動スキャン リスト用に 1 つ以上の個別のマージ ルールを設定するには、次を 実行します。 1. リストから 1 つ以上の自動スキャン リストを選択します。 2. マウスの右ボタンを使用して、表示されたメニューから構成モード(なし、 ない場合は追加、設定、ある場合は置換、ロック)を選択します。 3. 自動スキャン リストへの更新に必要な他のマージ ルール モードについて、 この手順を繰り返します。 インフラネット コントローラ用にマージ ルールを設定する インフラネット コントローラ用にマージ ルールを設定するには、次を実行します。 1. マージ ルール ツールで [インフラネット コントローラ] タブを選択します。 インフラネット コントローラをすべてロックするか、または個別のインフラ ネット コントローラにマージ ルールを設定できます。 2. インフラネット コントローラをすべてロックするには、[ 次のインフラネッ ト コントローラのみを許可] を選択します。ロックされたインフラネット コ ントローラの結果は、以下のとおりです。 ユーザーは、初期設定ツールによって構成するインフラネット コントロー ラのみを使用できます。 すべてのインフラネット コントローラの全コンポーネントがロックされ ます。 マージ ルールの設定 53 Odyssey アクセス クライアント管理ガイド ユーザーは新しいインフラネット コントローラを各自の構成に追加でき ません。 事前に OAC で構成されたインフラネット コントローラは、ユーザーに対 しすべて非表示で無効化されています。これらをユーザーに再表示する には、[ 次の自動スキャン リストのみを許可 ] の設定をクリアします。 3. [OK] を選択します。 信頼用にマージ ルールを設定する OAC の前のリリースでは、信頼のマージ ルール設定は [その他] タブにあり、マー ジ ルール設定が、信頼テーブル全体に一様に適用されていました。信頼構成は、 マージ ルールの精細な構成を提供し、別の [マージ ルール信頼] タブに置かれて います。 たとえば、Acme Corporation には、Verisign のような有名で広く信頼された ルー ト CA が発行した、自身の認証機関 (CA) があります。 Verisign CA (設定、置換) Acme CA (ロック) <any> (ロック) Acme CA は、インフラネット コントローラなど、自身の目的に証明書を発行でき ます。Acme 従業員は、ユーザー認証が成功するためには、それらの証明書を信 頼しなければなりません。通常、セキュリティ担当者は、個人ユーザーが自分の 信頼設定を構成することを望みません。したがって、セキュリティ担当者は、初 期設定ツールを使用して、信頼構成をセットアップし、ロックされた信頼構成を ユーザーへ配布するためにマージ ルールを使用します。 セキュリティ担当者は、ルート (Verisign) に他の下位 CA を追加するか、または必 要に応じてそれらを削除するため、信頼設定を更新できます。この例では、Verisign CA が信頼されている限り、Acme CA および下位の CA はすべて信頼されます。 信頼用のマージ ルール設定に関する注意 54 マージ ルールの設定 信頼されたサーバーの既存のリストへ、信頼されたサーバーのエントリを追 加できます。また、下位の証明書識別情報を追加し、それらのためのマージ ルールを設定できます。 信頼ツリーの個々のノードをロックするために、マージ ルール設定を構成で きます。信頼ツリーのエントリをロックすると、ユーザーは、そのエントリ の信頼設定を変更できません。ロックの設定は、ノードからその下位まで伝 播します。 個々の信頼ノードに設定した [ ない場合は追加 ] または [ 設定、ある場合は置 換 ] のいずれかのマージ ルールは、その先祖(親ノード)にも適用されます。 そのルールは、別に設定した場合を除いて、ノードの子孫(子)には適用さ れません。 [なし] を選択すると、マージ ルールを取り消すことができます。 第 6 章 マージ ルールを使用した更新の管理 [その他] タブ用にマージ ルールを設定する マージ ルール ツールで [その他] タブを選択します。このタブを使用して、次の 設定カテゴリに構成更新ルールを割り当てます。 Windows ログオン設定 セキュリティと EAP-FAST FIPS モード オプション インターフェース(ワイヤレス抑止およびネットワーク アダプタ) オプション:プリエンプティブなネットワーク オプション:通知(警告および障害メッセージの表示および表示タイミング を制御する設定) FIPS モード設定 (FE のみ)初期設定ツールで FIPS モード設定を構成します。これらの設定に関す る情報は、Odyssey アクセス クライアント ユーザー ガイドを参照してください。 ネットワークで FIPS モード接続が必要な場合、初期設定ツールで [FIPS モード オ ン ] を選択し、マージ ルールとして FIPS モード設定をロックできます。 ユーザーの集合へのマージ ルールの適用に関する情報は、66 ページの「タスク サマリー:マシン アカウント用の更新設定のマージ」を参照してください。 メモ:マージ ルール ツールを閉じるのに [OK] を選択すると、警告あるいはエ ラー メッセージが表示される場合があります。たとえば、無効なマージ ルール を割り当てようとすると、エラー メッセージが表示されます。これらのエラー メッセージには、マージ ルール エラーまたは不整合の対処に役立つ情報が含ま れています。 マージ ルールの設定 55 Odyssey アクセス クライアント管理ガイド 56 マージ ルールの設定 第7章 Odyssey アクセス クライアントの配備 本章では、1 人以上のユーザーに、新しく更新された OAC 構成を配備するのに利 用可能な方法を説明します。これには、インフラネット コントローラが後にイン ポートできる XML 形式(ZIP ファイルに含まれる)で、構成をエクスポートする 機能が含まれます。配備方法は次のとおりです。 MSI ファイルを使用して、構成済み設定を配備する。 MSI ファイルを使用して、更新された構成の設定を配備する。 インフラネット コントローラで使用するため構成の設定をエクスポートする。 スクリプトを使用して、更新された構成の設定を配備する。 カスタム インストーラ ツールの概要 このツールを使用して、Odyssey アクセス クライアント管理者ツールで構成し た、ユーザーまたはマシンの初期設定から、構成済みインストーラ MSI ファイル または設定更新ファイルを作成します。また、このツールを使用して、構成と共 に OAC ライセンス キーを配備できます。MSI ファイルに構成の設定を保存した ら、SMS などの大量流通プッシュ テクノロジ ソフトウェアを使用して、設定を 配備できます。あるいは、インフラネット コントローラからの配備に使用する ZIP ファイルに設定をエクスポートできます。 ユーザーに配備する構成設定は、初期設定、マシン アカウント、権限エディタ、 マージ ルールの各ツールで構成された次のような設定です。 1 人以上のユーザーおよび 1 台以上のマシンへの OAC の構成済みコピー。 既存のユーザーおよびマシンのための更新された OAC 構成。 新しいライセンスまたは更新されたライセンス。 カスタム インストーラ ツールの概要 57 Odyssey アクセス クライアント管理ガイド カスタム インストーラ ツールを開く カスタム インストーラ ツールを開くには、Odyssey アクセス クライアント管理 者の [カスタム インストーラ] をダブルクリックします。 カスタム インストーラ ファイルおよび更新されたユーザー設定ファイルの構成 は、Odyssey アクセス クライアント マネージャにあるのではなく、Odyssey アク セス クライアント管理者ツールを使用して設定した機能に由来します。 Odyssey アクセス クライアント管理者で構成の設定を構成しテストした後、 Odyssey アクセス クライアント管理者のカスタム インストーラ ツールを使用し て、テンプレートから構成されたデフォルト設定で新しい OAC インストーラ ファイルを作成します。構成の設定のテストについての詳細は 17 ページの「ユー ザー アカウントの接続タイミングの構成」を参照してください。また、66 ペー ジの「タスク サマリー:マシン アカウント用の更新設定のマージ」も参照して ください。 メモ:マシン アカウントを構成し、MSI. ファイルに設定を保存した後、構成設 定をクライアント マシンにインストールしたら、再起動が必要です。 58 カスタム インストーラ ツールの概要 第 7 章 Odyssey アクセス クライアントの配備 配備のプロセス フロー 図 6:配備のプロセス フロー 配備のプロセス フロー 59 Odyssey アクセス クライアント管理ガイド 新しいインストーラ ファイルの作成 インストーラ ファイルは次のように作成します。 1. [ 新規インストーラ ファイル ] オプション ボタンを選択します。 2. ソース インストーラ ファイル MSI を指定します。このファイルは、OAC の 完全な製品インストーラ ファイルでなければなりません。ファイル名(パス と)を入力するか、または上部の [ 参照 ] ボタンを選択します。[ ソース ファ イルの選択 ] ダイアログ ボックスが表示されます。 3. [ ソース ファイルの選択 ] ダイアログ ボックスの下にある [ ファイルの種類 ] リストを使って、正しいファイルの種類を探します。ソース ファイルとして、 現在あるいは以前のリリースのオリジナル OAC インストーラ ファイル (OdysseyClient.MSI) を使うことができます。ウィンドウ内のソース ファイル をダブルクリックして、[ 開く ] を選択します。 4. [ 参照 ] を選択して、必要に応じて希望するファイルに進みます。[ 宛先ファ イルの選択 ] ダイアログ ボックスが表示されます。新規(宛先)MSI ファイ ルの名前を選択します。ファイル名を入力するか、現在のディレクトリにあ る既存のファイルを選択し、[ 保存 ] を選択します。 あるいは、[ライセンス キーのエクスポート] を選択し、配布するコピー数の 有効なライセンス キーを入力できます。 5. インストールの実行中にダイアログ ボックスを表示したくない場合、[ サイ レント インストール ] を選択します。このオプションを選んでライセンス キーをエクスポートしなかった場合、インストールされた製品のライセンス が 30 日で期限切れになります。 6. [OK] を選択して、カスタム インストーラ ファイルを作成します。 新しいカスタム インストーラ ファイルの作成ガイドライン 配備のために新しいカスタム インストーラ ファイルを準備するときは、次のガ イドラインに注意してください。 60 新しいカスタム インストーラ ファイルを作成して、ライセンス キーをエク スポートしなかった場合、インストールされた製品のライセンスが 30 日で期 限切れになります。 UAC ネットワークのデフォルトの OAC ライセンスは製品に組み込まれます。 したがって、ライセンス キーのプロンプト表示はありません。したがって、 デフォルトのライセンス キーに基づいたカスタム インストーラは、必ずサイ レント インストールになります。ライセンス キーのプロンプト表示が必要な いからです。 マージ ルール ツールで指定するすべてのロック ルールが、新しいカスタム インストーラ ファイルに適用されます。カスタム インストーラ ツールから [設定更新ファイル] オプションを選んだ場合、マージ ルール ツールと権限エ ディタ ツールで構成する、マージ ルールと権限制限からの管理更新を含ん だ、構成ファイルを作成できます。新しいインストーラには、設定更新を使 用できません。66 ページの「タスク サマリー:マシン アカウント用の更新 設定のマージ」を参照してください。 新しいインストーラ ファイルの作成 第 7 章 Odyssey アクセス クライアントの配備 カスタム更新ファイルの作成 カスタム更新ファイルには、更新した構成の設定がすべて含まれます。設定更新 ファイルと新規インストーラ ファイルの違いは、新規インストーラ ファイルに は OAC インストール用のソフトウェアも含まれているという点です。 カスタム更新ファイルは次のように作成します。 1. [ 設定更新ファイル ] をダブルクリックします。 2. ソース インストーラ ファイル MSI を指定します。ファイル名(およびパス) を入力するか、上の [ 参照 ] ボタンを選択します。[ ソース ファイルの選択 ] ボックスが表示されます。 3. [ ソース ファイルの選択 ] ダイアログ ボックスの下にある [ ファイルの種類 ] リストを選択して、正しいファイルの種類を探します。ソース ファイルとし て、現在あるいは以前のリリースのオリジナル OAC インストーラ ファイル (OdysseyClient.MSI) を使うことができます。アーカイブしていない場合は、製 品 CD の [ クライアント ] ディレクトリでこのファイルを見つけます。ウィン ドウ内のソース ファイルをダブルクリックして、[ 開く ] を選択します。 4. [ 参照 ] を選択して、必要に応じて希望するディレクトリを探します。[ 宛先 ファイルの選択 ] ダイアログ ボックスが表示されます。新規(宛先)MSI ファ イルの名前を選択します。ファイル名を入力するか、現在のディレクトリに ある既存のファイルを選択し、[ 保存 ] を選択します。 5. オプションで [ ライセンス キーのエクスポート ] を選択し、配布したいコピー 数がカバーできるライセンス キーを入力します。 6. インストールの実行中にダイアログ ボックスを表示したくない場合、[サイレ ント インストール] をクリックします。 7. [OK] を選択して、カスタム インストーラ ファイルを作成します。 62 ページの図 7、 「ユーザー アカウント設定更新のプロセス フロー」を参照して ください。 マシン アカウントの設定を更新するため、このツールを使用するには、66 ペー ジの「タスク サマリー:マシン アカウント用の更新設定のマージ」を参照してく ださい。 カスタム更新ファイルの作成 61 Odyssey アクセス クライアント管理ガイド ユーザー アカウント設定更新のプロセス フロー 図 7:ユーザー アカウント設定更新のプロセス フロー 62 ユーザー アカウント設定更新のプロセス フロー 第 7 章 Odyssey アクセス クライアントの配備 事前構成ファイルのエクスポート このオプションを使用して、詳細な OAC 設定ファイルをエクスポートします。こ のファイルは、インフラネット コントローラによってインポートされ、ユーザー に配備するときに特定のユーザー役割にマッピングできます。このようにして、 特定のユーザー役割に OAC 設定ファイルを適用できます。 メモ:特に、このオプションは、構成が特定のユーザー役割と関連付けられてい る UAC ネットワークでの、インフラネット コントローラからの OAC 構成の配 備に関係します。この機能の使用についての詳細は、Unified Access Control Administration Guide にある、事前構成インストーラの使用に関する説明を参照 してください。 次の Odyssey アクセス クライアント管理者ツールは、事前構成ファイルの作成に 有効です。 接続設定 初期設定 マシン アカウント 権限エディタ マージ ルール 次の情報を事前構成ファイルに含めることができます。 上に挙げた Odyssey アクセス クライアント管理者ツールを使用した、構成済 み設定のすべて。 ライセンス キーオプション。 GINA がインストールされているかどうかを示すフラグ このように、事前構 成ファイルは、インストールまたはアップグレードの一部として、GINA がイ ンストールされているかどうかコントロールできます。 インフラネット コントローラの管理者が、ユーザーへの配備のために設定をエク スポートできるように、事前構成ファイルのオプションで、ZIP ファイルに OAC 設定を保存できます。ZIP ファイルの内容には、次のものが含まれます。 XML ファイル(preconfig.xml および properties.xml) 証明書(.pfx ファイル) インフラネット コントローラへインポートするため事前構成設定ファイルを作 成するには、次を実行します。 1. [ 事前構成ファイル ] を選択します。 事前構成ファイルのエクスポート 63 Odyssey アクセス クライアント管理ガイド 2. [ 参照 ] ボタンを選択し、ZIP ファイルに設定を保存する場所へ移動します。 [宛先ファイルの保存] ダイアログ ボックスが表示されます。新規(宛先)MSI ファイルの名前を選択します。ファイル名を入力するか、現在のディレクト リにある既存のファイルを選択し、[保存] を選択します。 3. オプションで、[ライセンス キーのエクスポート] を選択し、ある役割に配布 する OAC のコピーの有効なライセンス キー(エンタープライズまたは FIPS エディション)を入力します。 4. [OK] をクリックします。 事前構成 ZIP ファイルのエクスポート、およびインフラネット コントローラにお けるユーザー役割へのファイルのマッピングに関する詳細は、Unified Access Control Administration Guide にあるインフラネット コントローラの初期設定に関 する説明を参照してください。 サイレント インストール オプションの使用 更新を「静かに」(クライアント ユーザーによる操作なしに)インストールする よう、カスタム インストーラ ファイルを配備できます。[ カスタム インストーラ ] ダイアログ ボックスで [ サイレント インストール ] オプションを選択します。 ユーザーのグループに対する OAC の事前構成 カスタム インストーラの作成により、ユーザーのグループへ配備するため、プロ ファイルおよびネットワークを事前に構成できます。このカスタマイズされたイ ンストーラでインストールする OAC の各コピーには、デフォルトのネットワーク 構成があります。ユーザー全員が同じネットワーク構成を必要とする場合、カス タム インストーラの作成により、エンド ユーザーが構成情報を入力する手間が 減ったりなくなったりします。OAC の新しいインストールを必要としないユー ザーには、ユーザーの構成を更新するために同じ設定を使用できます。 OAC 構成のセットアップ Odyssey アクセス クライアント管理者で利用可能なツールを使用して定義する 構成は、ユーザーが後で変更できる初期設定を配備するために使用できます(設 定をロックした場合を除く)。接続のタイミング、認証プロトコル、の正確な設定 を指定する構成をセットアップできます。また、ユーザーは、ネットワークは変 更できないが、ホーム オフィスで使用する Wi-Fi アダプタやプロファイルなど、 他の設定の追加や変更は可能なネットワークもセットアップできます。構成を セットアップしたら、任意のまたはすべての OAC ユーザーに配備できます。 1. 構成を指定する Windows コンピュータに OAC をインストールしていない場 合、カスタム インストーラの構成を定義する前に、次の手順に従ってください。 2. ネットワーク構成および接続オプションを構成します。いくつかの構成オプ ションがあります。次の項目で説明された手順の 1 つに従います。 64 ユーザー アカウントの接続タイミングの構成(17 ページ) マシン アカウント接続を有効にする(24 ページ) ユーザー接続に切り替わるマシン接続の構成(37 ページ) ユーザーのグループに対する OAC の事前構成 第 7 章 Odyssey アクセス クライアントの配備 3. 権限エディタで、この構成済みインストーラに含める機能アクセスまたはコ ントロールの制限を構成します。43 ページの「個別の OAC 機能に対する権 限設定」を参照してください。 4. マージ ルール ツールで、この構成済みインストーラに含めるロック オプショ ンを構成します。49 ページの「マージ ルールを使用した更新の管理」を参照 してください。 5. ネットワーク接続をテストします。デフォルトの構成を定義したら、各ネッ トワーク接続をテストできます。17 ページの「ユーザー アカウントの接続タ イミングの構成」を参照してください。 これで構成がセットアップされ、構成済み OAC インストーラを作成する準備がで きました。 複数ユーザーへの配分のための OAC 更新の構成 OAC 構成を多くのユーザー用に更新できます。たとえば、ユーザー構成を新しい OAC の機能で更新したい場合、カスタム インストーラ ツールで [設定更新ファイ ル] を選択することにより、更新されたカスタム構成ファイルを作成できます。 このオプションを使ってカスタム OAC 更新設定ファイルを作成する場合、この ファイルを構成の更新用にユーザーに配布することができます。ただし、このオ プションを使って OAC のバージョン アップグレードを行うことはできません。 OAC 更新構成ファイルを作成する前に、更新された OAC 構成をユーザーのマシ ンにどのように適用するかを指定する、マージ ルールを構成できます。 更新済み構成ファイルを、接続設定ツールの接続設定、マシン アカウント ツー ルのマシン アカウント設定、初期設定ツールのユーザー設定、マージ ルール ツー ルのロック オプション、および権限エディタ ツールの特定機能の制約設定に基 づいて作成できます。 更新構成ファイルは、次のように作成します。 1. [カスタム インストーラ] ツールをダブルクリックします。 2. [設定更新ファイル] を選択します。 3. [参照] をクリックし、宛先ファイルを探します。[宛先ファイルの選択] ダイ アログ ボックスが表示されます。 4. [宛先] ボックスの横に、保存したい構成ファイルの名前を入力します。 5. [保存] を選択します。 6. [OK] を選択して、カスタム インストーラ ツールを閉じます。 7. ファイルをユーザーのマシンにインストールします。各自のマシンに対して 管理権限を持ったユーザーのみ、そのマシンでカスタム更新ファイルを実行 できます。 ユーザーのグループに対する OAC の事前構成 65 Odyssey アクセス クライアント管理ガイド 構成済みネットワーク接続の例外 次は、構成で指定できるネットワーク接続オプションの例外です。 クライアント証明書は事前に構成できません。 (初期設定ツールまたはマシン アカウント ツールのいずれかの [ プロファイル ] ダイアログ ボックスにある) [ プロファイルの追加 ] ダイアログ ボックスの [ 認証 ] タブで EAP-TLS を選択 した場合、OAC がはじめてクライアント マシンで実行されたとき、ユーザー はクライアント証明書を選択するように促されます。ただし、初期設定ツー ルまたはマシン アカウント ツールの [ 信頼されたサーバー] ダイアログ ボッ クスで、信頼されたルート サーバーの証明書を構成することはできます。 OAC は、自動証明書選択をサポートします。すなわち、ユーザーに証明書が 1 つしかない場合、OAC はプロンプトを表示せずに、それをインストールし ます。ユーザーが証明書をインストールしていない場合、または複数の証明 書がある場合、OAC は、証明書を指定するようにユーザーに促します。ユー ザーに証明書が 1 つしかなく、それが期限切れの場合、OAC は、同じ共通名 を備えた証明書を検索します。 保存されたパスワードまたはログイン名を事前に構成できません。 タスク サマリー:マシン アカウント用の更新設定のマージ [カスタム インストーラ] ダイアログ ボックスの [マシン設定のマージ] オプショ ンを選択して、ユーザー用に OAC 構成設定を更新できます。これにより、設定が 既存の構成にマージされ、既存の OAC 構成の特定部分が保持されます。マシン アカウント設定がすでに構成されているシステム上で、アップグレードあるいは 設定更新用に事前構成インストーラを作成する際、[マシン設定のマージ] チェッ ク ボックスを有効にして、ネットワーク、プロファイル、インフラネット コン トローラ、自動スキャン リスト用に、既存のマシン設定をカスタム インストー ラからの新しい設定とマージすることができます。名前が重複する場合、新しい 設定に上書きされます。自動スキャン リストの場合は多少異なります。自動ス キャン リストの照合では、新しい自動スキャン リストのネットワークがリスト の一番下に追加されます。 メモ:この機能はマシン アカウントのみが対象です。 66 構成済みネットワーク接続の例外 第 7 章 Odyssey アクセス クライアントの配備 このオプションは、カスタム インストーラまたは設定更新ファイルの作成時のみ 適用されます。[マシン設定のマージ] 設定オプションを選択した、次のタスクを 実行します。 新しい自動スキャン リスト、インフラネット コントローラ、ネットワーク、 認証プロファイルをターゲット システムに追加します。 ネットワークの更新の際、SSID とネットワーク名が、現在のネットワークの 該当する設定と一致した場合、更新されたネットワークで現在のバージョン が書き換えられます。 現在のネットワーク構成の設定は、それぞれ更新済みの構成によって上書き されます。現在のネットワークが AES 暗号化を使用し、更新が TKIP を指定 する場合、更新済みの暗号化設定によって、既存の設定が上書きされます。 ターゲット システム上の既存のインフラネット コントローラ、ネットワー ク、プロファイルを置き換えます。 認証プロファイルとインフラネット コントローラについては、更新のプロ ファイルまたはインフラネット コントローラの名前が現在のものと一致す る場合、現在のバージョンが更新に置き換えられます。 現在のネットワーク構成の設定は、それぞれ更新済みの構成によって上書き されます。現在のプロファイルが TLS 認証を使用し、更新が PEAP を指定す る場合、更新された認証設定によって既存の設定が上書きされます。 インストーラからの自動スキャン リストを、ターゲット マシン上のものと マージします。自動スキャン リストの名前が現在のものと一致する場合、更 新の内容が現在のものとマージされ、これにより、現在のファイルの既存の ネットワークで、更新に含まれないものが保持されます。 このオプションは、アダプタやアダプタの設定には適用されません。また、初期 設定ツールで定義された構成設定にも関連しません。68 ページの図 8、「マシン アカウント設定更新のプロセス フロー」を参照してください。 このオプションを有効にするには、[マシン設定のマージ] チェック ボックスを選 択します。 タスク サマリー:マシン アカウント用の更新設定のマージ 67 Odyssey アクセス クライアント管理ガイド マシン アカウント設定更新のプロセス フロー 図 8:マシン アカウント設定更新のプロセス フロー 68 マシン アカウント設定更新のプロセス フロー 第 7 章 Odyssey アクセス クライアントの配備 スクリプトを使った OAC の配備 スクリプト コンポーザを使用して、ユーザーに更新された構成の設定を配布しま す。更新は、ネットワーク、プロファイル、自動スキャン リストに適用されま す。カスタム インストーラ ツールを使って、初期設定の設定と配備を行った後、 スクリプト コンポーザ ツールによって、既存の構成設定を更新できます。1 つの スクリプトを使って、プロファイル、ネットワーク、スキャン リスト用に更新を 配布できます。スクリプトのデータ形式は XML です。 メモ:スクリプト コンポーザで作成したスクリプトには、証明書を含めること はできません。 スクリプト コンポーザの概要 スクリプト コンポーザを使用すると、OAC 構成を更新して、新しい設定の追加、 既存の設定の置換、および設定の削除を行う、構成スクリプトを作成できます。 スクリプトを使用して、Macintosh、Linux、Windows Mobile/CE など、Odyssey アクセス クライアント管理者を含まない Windows デスクトップ バージョン以 外のプラットフォームへ、構成済み OAC 設定を配備できます。したがって、設定 は、Windows デスクトップ マシン上で構成し、MSI ファイルではなくスクリプト として配備しなければなりません。 メモ:スクリプト コンポーザは、それらの設定が構成されたマシン上の Odyssey アクセス クライアント マネージャ設定を使用します。スクリプトは、テンプ レート マシン上のユーザー データから構成されます。システム データ(初期設 定ツールで構成された設定)からではありません。 スクリプトは、システム全体のデータまたは初期設定データとは対照的に、スク リプトを実行するユーザーに影響するデータを特に指向しているという点で、設 定ファイルと異なります。 また、スクリプトを使用して、信頼されたサーバー、セキュリティと EAP-FAST、 ワイヤレス抑止、プリエンプティブなネットワーク、および Windows ログオン のタイミングの設定を変更できます。 スクリプトで遂行できるタスクは、次のとおりです。 追加 - ユーザー構成で現在定義されていない設定を追加します。これらの更 新は、スクリプト実行時に適用されます(ユーザーの構成に同じ名前のコン ポーネントがない場合のみ)。追加するために選択できる構成の設定は、ロー カル マシンの OAC のコピーになければなりません。 設定- 現在の設定を設定あるいは置換します。追加または置換するために選 択できる構成の設定は、ローカル マシンの OAC のコピーになければなりま せん。 削除 - すべての構成設定を削除します。設定は、管理者のローカル マシン の構成の一部である必要はありません。 スクリプトを使った OAC の配備 69 Odyssey アクセス クライアント管理ガイド 接続 - 自動接続を有効化します。有線接続用のプロファイル、あるいはワイ ヤレス接続用のネットワークまたは自動スキャン リストを選択します。使用 されるアダプタは、OAC でユーザーに対して最初に構成された正しいアダプ タです。 またはコマンドライン インターフェースを使い、構成全体をスクリプトにエクス ポートできます。 メモ:現在のクライアント構成でマージ ルールによってロックされた設定と名 前およびタイプが同じスクリプトに、構成設定(ネットワークなど)がある場 合、その設定がマージ ルール ツールでロックを解除されてからしか、スクリプ トの更新設定は、クライアントで更新されません。設定のロックが解除される と、スクリプトでインポートした更新値が表示され有効になります。この状況 は、ユーザーが Odyssey アクセス クライアント管理者にアクセスできて、ロー カルで一部の設定をロックした場合に起こります。 スクリプト ファイルを作成し配布した後、Odyssey アクセス クライアント マ ネージャの [ ツール ] > [ 新規スクリプトのチェック ] をクリックして、ユーザー はこのスクリプトにアクセスできます。75 ページの「スクリプトを使用した増分 更新の配備」を参照してください。 スクリプトの作成 スクリプト コンポーザでスクリプトを作成するには、次を実行します。 1. 追加あるいは変更したい設定を含めるよう、構成を設定します。スクリプト コンポーザは、これらの設定が構成されたマシン上の Odyssey クライアント マネージャの設定を使用します。スクリプトは、テンプレート マシン上の ユーザー データから構成されます。システム データ(初期設定ツールで構成 された設定)からではありません。 個々の構成の設定に関する詳細は、Odyssey アクセス クライアント ユーザー ガイドを参照してください。 2. [スクリプト コンポーザ] ツールをダブルクリックします。[スクリプト コン ポーザ] ダイアログ ボックスが表示されます。 3. 生成したい各スクリプトについて、追加、削除、または変更したい全項目の スクリプト コンポーザ設定を構成します。 4. [スクリプトの生成] を選択します。[宛先ファイルの選択] ダイアログ ボック スが表示されます。 5. スクリプトのファイル形式を指定します。 70 スクリプトの作成 OAC が、ユーザーの操作なしにスクリプトを実行するように、スクリプ トを自動スクリプトとして保存する場合、ファイル タイプ .odyClientScriptAuto を選びます。 ユーザーがスクリプト実行を選べるようスクリプトを保存する場合、 ファイル タイプ .odyClientScript を選びます。 第 7 章 Odyssey アクセス クライアントの配備 6. ファイル タイプを選んだ後、ファイル名を入力します。 7. [ 保存 ] を選択します。 8. [ 完了 ] を選択します。 9. スクリプトをユーザー マシンの適切なディレクトリに配置します。 スクリプトを使ったプロファイルの追加または設定 同じスクリプトで、Odyssey アクセス クライアント マネージャで構成した任意の 数のプロファイルを追加または設定できます。 スクリプト コンポーザからプロファイルを追加または設定するには、次を実行し ます。 1. スクロール リストの [ 追加 ] または [ 設定 ] カテゴリで [ プロファイル ] を選 択します。Odyssey アクセス クライアント マネージャで構成した全プロファ イルが、右側のリストに表示されます。 2. このアクション カテゴリに含めるプロファイルをすべて選択します。 3. 変更を行ったら [ 完了 ] を選択します。 以下のガイドラインに注意してください。 選択したプロファイルに、名前やパスワードなど、ユーザー識別情報を含め た場合、上記設定によるスクリプトを実行するユーザーに、これらの情報が 伝達されます。パスワードは暗号化されます。 選択したプロファイル内のユーザー識別情報を空欄にした場合、スクリプト の実行中、OAC が、名前やパスワードをユーザーの Windows の識別情報に 置き換えようとします。成功しなかった場合、ユーザーがネットワーク OAC に最初に接続したときに、識別情報の信用情報を要求するプロンプトがユー ザーに表示されます。 証明書情報は、このスクリプトでは渡されません。 スクリプトを使ったプロファイルの削除 ユーザーが構成したプロファイルは、プロファイル名がわかっている限り、いず れも削除することができます。 プロファイルを削除するには、次の手順に従います。 1. スクロール リストの [ 削除 ] カテゴリで [ プロファイル ] を選択します。 2. 提供されたテキスト領域に、削除するプロファイルの名前を入力します。 スクリプトを使った有線接続用プロファイルのアクティブ化 以下の手順に従って、プロファイルを OAC 有線接続用にアクティブ化します。 1. スクロール リストの [ 削除 ] カテゴリで [ プロファイル ] を選択します。 2. [ 完了 ] を選択します。 スクリプトの作成 71 Odyssey アクセス クライアント管理ガイド スクリプトを使ったネットワークの追加または設定 Odyssey アクセス クライアント マネージャで構成した 1 つあるいは複数のネッ トワークを、同じスクリプトで追加または設定存在する場合は置換できます。 ネットワークを追加または設定するには、次の手順に従います。 1. [追加] または [設定] カテゴリで [ネットワーク] を選択します。Odyssey ア クセス クライアント マネージャで構成した全ネットワークが、右側のリス トに表示されます。 2. このカテゴリに含めるネットワークをすべて選択します。 3. 変更を行ったら [ 完了 ] を選択します。 スクリプトを使った構成済みネットワークの削除 構成済みのネットワークは、正しい名前 SSID と該当する記述がわかる限り、い ずれも削除することができます。あるいは、同じ SSID を持つネットワークをす べて削除できます。この場合、記述ごとに指定する必要はありません。 構成コンポーネントはいずれも削除することが可能です。Odyssey アクセス クラ イアント マネージャで削除されるよう、コンポーネントを構成する必要はありま せん。スクリプトで削除用に名前を入力したコンポーネントについては、そのス クリプトの実行中にユーザー構成から削除されます。 1 つまたは複数のネットワークを削除するには、以下の手順に従います。 1. スクロール リストの [ 削除 ] カテゴリで [ ネットワーク ] を選択します。 2. 提供されたテキスト領域に、削除したいネットワークの名前 (SSID) と記述 (ある場合)を入力します。Odyssey アクセス クライアント マネージャで表 示される、特別なネットワーク記述構文を使用しなければなりません。名前 と記述のペアを次の形式で提供します。 記述 SSID 3. このスクリプトで削除するネットワークを追加するには、削除するネット ワークのそれぞれの名前と記述を入力し、[Enter] を押します。 4. 変更を行ったら [ 完了 ] を選択します。 スクリプトを使った有線接続用ネットワークのアクティブ化 以下の手順に従って、ネットワークを OAC ワイヤレス接続用にアクティブ化し ます。 1. スクリプト コンポーザの [接続] で [ネットワーク] を選択します。 2. [完了] を選択します。 72 スクリプトの作成 第 7 章 Odyssey アクセス クライアントの配備 スクリプトを使った自動スキャン リストの追加または設定 Odyssey アクセス クライアント マネージャで構成した自動スキャン リストを追 加または設定するには、次を実行します。 1. スクリプト コンポーザの [ 追加 ] あるいは [ 設定 ] カテゴリで、[ 自動スキャ ン リスト ] を選択します。Odyssey アクセス クライアント マネージャで構成 した自動スキャン リストがすべて、右側に表示されます。 2. このカテゴリに含める自動スキャン リストをすべて選択します。 3. [ 完了 ] を選択します。 スクリプトを使った自動スキャン リストの削除 1 つまたは複数の自動スキャン リストを削除するには、次を実行します。 1. [ 削除 ] カテゴリで [ 自動スキャン リスト ] を選択します。 2. 提供されたテキスト領域に、削除する自動スキャン リストの名前を入力し ます。 3. このスクリプトで削除する自動スキャン リストを追加するには、削除する自 動スキャン リストの名前をそれぞれ入力し、[Enter] を押します。 4. [ 完了 ] を選択します。 OAC ワイヤレス接続に使用する自動スキャン リストをアクティブ化するには、ス クリプト コンポーザの [ 接続 ] で自動スキャン リストを選択します。 スクリプトを使用した他のタブの設定の管理 スクリプト コンポーザのアクション カテゴリとして [ 追加 ] と [ 設定 ] のいずれ を選ぶかによって、これらの各カテゴリの設定変更のオプションが 1 つあるいは 複数提供されます。 信頼されたサーバー セキュリティと EAP-FAST インターフェースワイヤレス抑止およびネットワーク アダプタ プリエンプティブなネットワーク 通知警告および障害メッセージの表示および表示タイミングを制御する設定 Windows ログオン設定 これらの設定の構成に関する情報は、Odyssey アクセス クライアント ユーザー ガイドを参照してください。 スクリプトの作成 73 Odyssey アクセス クライアント管理ガイド スクリプトを使用した信頼ツリーの追加または設定 Odyssey アクセス クライアント マネージャの [ 信頼されたサーバー ] ダイアロ グ ボックスで構成した完全な信頼ツリーを追加または設定するには、次を実行 します。 1. スクリプト コンポーザの [ 追加 ] あるいは [ 設定 ] カテゴリで、[ その他 ] を 選択します。 2. [ 信頼されたサーバー] チェック ボックスを選択します。追加する信頼ツリー 用のスクリプトを実行すると、新しい信頼エントリが既存の信頼ツリーに挿 入されます。設定する信頼ツリー用のスクリプトを実行すると、信頼ツリー 全体が置換されます。 3. [ 完了 ] を選択します。 スクリプトを使用したオプション設定の置換 Odyssey アクセス クライアント マネージャの [ ツール ] > [ オプション ] を選択 して構成したオプション設定を設定置換するには、次を実行します。 1. スクリプト コンポーザの [追加] あるいは [設定] で、[その他] を選択します。 2. [セキュリティ ] および [EAP-FAST] タブで構成する設定を含めるには、オプ ションで、[ツール] > [オプション] > [セキュリティ ] または [ツール] > [オ プション] > [EAP-FAST] を選択します。 3. [インターフェース] タブで構成した設定を含めるには、オプションで [ツー ル] > [オプション] > [インターフェース] > [ワイヤレス抑止] を選択し ます。 [ツール ] > [オプション ] > [インターフェース ] タブには、有線の(イーサ ネット)アダプタをすべて管理するオプションやワイヤレス (Wi-Fi) アダプタ をすべて管理するためのオプションも含まれます。 4. OAC ユーザーに表示される警告および障害通知メッセージの表示を管理する ため、オプションで [ツール] > [オプション] > [通知] を選択します。 5. Odyssey アクセス クライアント マネージャの [ツール] > [オプション] > [ プリエンプティブなネットワーク ] ダイアログ ボックスで構成した設定を 含めるため、オプションで [ツール] > [オプション] > [プリエンプティブな ネットワーク] を選択します。 6. [ 完了 ] を選択します。 74 スクリプトの作成 第 7 章 Odyssey アクセス クライアントの配備 スクリプトによる SSID を使用したネットワークの削除 ネットワーク名または説明の構文を使用する代わりに、SSID によってネットワー クを削除できます。ユーザーが 1 つあるいは複数の SSID を削除するスクリプト を実行すると、指定した SSID を持つネットワークすべてが、ユーザーの OAC 構 成から削除されます。 SSID で 1 つ以上のネットワークを削除するには、次の手順を行います。 1. スクロール リストの [ 削除 ] カテゴリで [SSID] を選択します。 2. 提供されたテキスト領域に、削除するネットワークの SSID を入力します。特 殊な構文を使用する必要はありません。 3. 削除したい各 SSID の名前を指定した後に Enter キーを押して、このスクリプ トで削除する SSID を追加します。 4. [ 完了 ] を選択します。 メモ:同じ SSID を持つネットワーク記述を複数削除する場合、スクリプト コン ポーザの [ ネットワーク ] カテゴリで各ネットワークを別々に入力するよりも、 [SSID] カテゴリを使用して、この SSID を持つネットワークすべてをより簡単に 削除することができます。 スクリプトを使用した FIP オプション(FE のみ)の設定または置換 初期設定ツールで、ユーザーに対する [FIPS モード ] 設定を設定あるいは変更で きます。 ユーザーに対し FIPS モードを選択またはクリアするには、次の手順を行います。 1. [ 初期設定 ] ツールをダブルクリックします。 2. [ファイル] メニュー オプションで [FIPS モード オン] または [FIPS モード オ フ ] を選択します。FIPS ライセンスを使用している場合のみ、これらのオプ ションが表示されます。 スクリプトを使用した増分更新の配備 1 人以上のユーザーの OAC 構成を更新できます。たとえば、ネットワークに新し い SSID を追加する場合、Odyssey アクセス クライアント管理者でネットワーク を 1 度構成し、次に、更新される構成を 1 人以上のユーザーに配備するスクリプ トを作成できます。 ユーザーの OAC 設定の更新には、2 タイプの構成スクリプトがあります。 OAC が新しいスクリプトをポーリングする場合に必ず自動的に実行されるス クリプトを配布できます。 実行をユーザーが選択できるスクリプトを配布できます。ユーザーのスクリ プトとの対話に関する詳細は、Odyssey アクセス クライアント ユーザー ガイ ドを参照してください。 スクリプトの作成 75 Odyssey アクセス クライアント管理ガイド ユーザー構成を更新するために構成スクリプトを提供するには、次を実行します。 1. スクリプト コンポーザまたはコマンドライン インターフェースを使用して、 1 つ以上のスクリプトを生成します。 スクリプト コンポーザを使用したスクリプトの作成に関する詳細は、 69 ページの「スクリプトを使った OAC の配備」を参照してください。自 動スクリプトまたは通常のスクリプト用の適切な拡張子を必ず付けて、 スクリプトを保存してください。 77 ページの「コマンドを使用した OAC スクリプトの作成およびロード」 を参照してください。ユーザーは、コマンドライン インターフェースを 使用して作成した、暗号化されたスクリプトは実行できません。 2. ユーザーのコンピュータの次のパスにあるディレクトリにスクリプトを配布 します。 Application Data\Funk Software\Odyssey Client\newScripts ここで、Application Data は通常、次の場所にあります。 volume:\Documents and Settings\username\Application Data これは、英語版でない OS では、異なる場合があります。 メモ:Application Data ディレクトリを表示するには、隠しファイルおよびフォ ルダを表示しなければなりません。 オペレーティング システムによっては、Application Data フォルダへの物理パス は必ず、Windows シェル プログラマによって使用される CSIDL_APPDATA パスに なります。Application Data フォルダが見つかれば、Odyssey Access Client\ newScripts でスクリプトにアクセスできます。 OAC は、新しいスクリプトがないか、このディレクトリを頻繁にポーリング します。新しいスクリプトは、以下のように処理されます。 OAC が検出すると、自動スクリプトは自動的に実行されます。 ユーザーが、Odyssey アクセス クライアント マネージャから [ ツール ] > [ 新規スクリプトのチェック ] を選択すると、他のスクリプトを実行また は削除できます。 スクリプトが自動スクリプトでない場合、つまり、手動で実行しなけれ ばならない場合、スクリプトを格納しなければならない、ファイル シス テムの特定の場所はありません。 マージ ルールまたは権限の制限をユーザー構成に適用したい場合、66 ページの 「タスク サマリー:マシン アカウント用の更新設定のマージ」の指示に従う必要 があることに注意してください。 76 スクリプトの作成 第 7 章 Odyssey アクセス クライアントの配備 コマンドを使用した OAC スクリプトの作成およびロード コマンドライン インターフェースを使用して、Odyssey アクセス クライアント マネージャ構成全体をエクスポートするスクリプトを作成できます。構文は以下 のとおりです。 odClientAdministrator arguments Odyssey アクセス クライアント マネージャ構成を保存エクスポートするため、ま たは保存した構成を Odyssey アクセス クライアント マネージャへ復元インポー トするために使用できる引数は、次のとおりです。 /E[xport]=filename /I[mport]=filename /Key= encryptionKey /N[oSavePrivateData] /S[ilent] 次にあげる引数の組み合わせが使用できます。 /E=filename /E=filename /N /E=filename /S /E=filename /K=encryptionKey /N /E=filename /K=encryptionKey /N /S /E=filename /K=encryptionKey /E=filename /K=encryptionKey /S /I=filename /I=filename /S /I=filename /K=encryptionKey /I=filename /K=encryptionKey /S このコマンドライン インターフェースの挙動に関する、次のガイドラインに注意 してください。 管理者特権を持つユーザーのみが、コマンドラインからスクリプトをイン ポートまたはエクスポートできます。ただし、ユーザーは、Odyssey アクセ ス クライアント マネージャで [ ツール ] > [ スクリプトの実行 ] を選択して、 スクリプトをインポートできます。ユーザーが、OAC アドミニストレータで [ ツール ] > [ スクリプトの実行 ] コマンドを選択して、保存した構成をイン ポートできるようにしたい場合は、構成を保存するときに .odyClientScript ファイル拡張子を使用します。 スクリプトの作成 77 Odyssey アクセス クライアント管理ガイド 78 スクリプトの作成 ユーザーが手動で実行するための、暗号化されていない構成スクリプトを保 存するときは、.odyClientScript ファイル拡張子を使用します。この拡張子を 使用する場合、このスクリプトをユーザーに提供するときに、Odyssey アク セス クライアント マネージャから [ ツール ] > [ スクリプトの実行 ] を選択 し、このコマンドライン インターフェースを使用して作成した暗号化されて いないスクリプトを参照するよう、ユーザーに指示できます。 自動スクリプトとしての使用を意図している暗号化されていないスクリプト を保存するときは、.odyClientScriptAuto ファイル拡張子を使用します。75 ペー ジの「スクリプトを使用した増分更新の配備」の手順の指示に従って配布す ると、OAC は自動スクリプトを自動的に実行します。 複数のスイッチを使用する場合、各スイッチ コマンド間にスペースを入れ ます。 /S(サイレント モード)スイッチを使用しない場合、Odyssey アクセス クラ イアント管理者は必ず、インポートまたはエクスポートの後にメッセージを 表示します。 エラー レベルが必ず返されます。したがって、エラー レベルを返すために、 バッチ ファイルで errorlevel コマンドを使用できます。0 は成功を示します。 失敗すると、ゼロでない値を返します。 このコマンドライン インターフェースを使用して作成するスクリプトは、 Odyssey アクセス クライアント マネージャ構成に新しい項目も追加し、名 前が同じ場合は、既存の項目を置換します。 暗号鍵を指定しない場合、インストールされた OAC で任意のユーザーがこの スクリプトを実行できるように、OAC はパスワード、WEP 鍵、およびパスフ レーズを暗号化します。エクスポート スクリプトで /K 暗号鍵スイッチを指 定する場合、この Odyssey アクセス クライアント マネージャ構成スクリプ トをインポートすると、提供する暗号鍵も使用しなければなりません。 スクリプトをエクスポートするときに /K スイッチを指定すると、この鍵には |、& といった記号を使用できません。 構成をエクスポートするときに /N スイッチを指定すると、個人データ(ユー ザー名、パスワード、および提供する WEP 鍵)のどれもエクスポートされま せん。 証明書は、このコマンドライン インターフェースを使用してエクスポートさ れません。 アダプタ タイプ(有線またはワイヤレス)はエクスポートされますが、アダ プタの詳細はされません。 スクリプト コンポーザを使用して作成した OAC スクリプトについては、 Odyssey アクセス クライアント マネージャでロックしている場合でも、エ クスポートされた機能はロックされません。機能をロックするには、マージ ルール ツールを使用して、カスタム更新ファイルを作成します。66 ページ の「タスク サマリー:マシン アカウント用の更新設定のマージ」を参照し てください。 第8章 保護アクセス信用情報の管理 PAC 管理ツールは EAP-FAST への保護アクセス信用情報 (PAC) を管理(表示また は削除)します。 PAC(保護アクセス信用情報)は、EAP-FAST 認証時に セキュア アクセス コント ロール サーバー (ACS) で、相互認証を行うのに使用します。PAC は TLS トンネル のセットアップで証明書の代わりに使用される暗号化鍵を持っており、この鍵は ランダムに生成されます。 ACS のドキュメントで、保護アクセス信用情報の説明と、どのように作成され サーバーにプロビジョニングされるかについて、確認してください。 PAC マネージャツールをダブルクリックして、現在使用中の保護アクセス信用情 報を表示、または削除します。 PAC マネージャの画面の更新 選択した PAC の一覧表示を更新するには [ 更新 ] をクリックします。 PAC の削除 選択した 1 つあるいは複数の PAC をリストから削除するには [ 削除 ] を選択し ます。 PAC マネージャの終了 PAC マネージャ ツールを終了するには、[ 閉じる ] を選択します。 PAC マネージャの画面の更新 79 Odyssey アクセス クライアント管理ガイド 80 PAC マネージャの終了 第9章 管理ワークフローの例 このトピックでは、共通の管理タスクを説明し、タスクを完了するためのワーク フロー手順を示しています。これらのタスクは OAC マネージャと Odyssey アク セス クライアント管理者の知識が必要です。 Windows ログオン前の接続は、起動プロセスでネットワーク接続が必要な場合に 役に立ちます。たとえば、OAC および OAC GINA モジュールを使用した Windows ログオンの前に EAP-TTLS または EAP-PEAP 認証のための OAC の構成をすること ができます。OAC GINA モジュールを使用すると、Windows ユーザーがログイン 前に Windows ログオン信用情報を使い、ネットワークへ接続することを可能に します。 メモ:OAC GINA モジュールをインストールせずに、この機能を使用することは できません。 TTLS または PEAP のシングル サインオン サーバーの確認に使用される認証局 (CA) 証明書をインストールし、その名前を 知っていなければなりません。証明書は、ローカル マシン上の信頼ルート証明書 ストアにインストールされていなければなりません。 Windows ログオン接続前に OAC を構成するには。 1. 初期設定ツールでネットワーク構成を作成します。 2. 接続設定ツールを使用して、ユーザー アカウントと GINA 接続設定を設定し ます。 3. 接続設定をテストし、必要に応じて初期設定ツール、接続設定ツール、また は両方のツールで構成設定を更新します。 TTLS または PEAP のシングル サインオン 81 Odyssey アクセス クライアント管理ガイド GINA を使用して、Windows ログオン構成前の構成をする Windows ログオンに先立って、接続設定を完了する前に、まず最初にネットワー ク構成を初期設定ツールで定義しなければなりません。 ネットワーク構成を設定する手順は、OAC マネージャで記載されているものと同 じです。 1. アダプタを設定します。 2. プロファイルを作成します。GINA を使用してプロファイルを作成するとき は、ログイン名は空白にしておきます。 3. ネットワークを追加します。 4. 信頼サーバー証明書を設定します。 5. ネットワークへ接続します。 これらの各手順の説明は、Juniper Networks Odyssey アクセス クライアント ユー ザー ガイドを参照してください。 ユーザー アカウント接続設定ツールを指定し、OAC GINA をイ ンストールする 接続設定を構成し、Odyssey GINA をインストールするには。 1. Odyssey アクセス クライアント管理者の [ 接続設定 ] ツールをダブルクリッ クします。 2. [GINA] タブを選択し、[Odyssey GINA モジュールのインストール ] を選択し ます。GINA モジュールがインストールされている場合、この手順を省略し ます。 3. [ユーザー アカウント] タブ を選択し、[以下の設定を使用して Windows ログ オン前] を選択します。 4. 構成設定が完了した後に、[OK] を選択します。 マシンの起動時に認証を要求された場合は、マシン起動時にマシン アカウントを 使用してユーザーがネットワークに接続し、それから接続を切断して、Windows ログオン前にユーザー信用情報でネットワークへ接続するように、マシン アカウ ント設定を構成することができます。この場合は、[OK] を選択する前に、[ 接続 設定 ] タブの [ マシン アカウント ] タブでマシン アカウント設定を構成します。 Windows 以外の外部データベースへのシングル サインオン認証に OAC を使用す る場合は、[OK] を選択して接続設定ツールを閉じる前に、[ネットワークへの接 続前の要求プロンプト] を選択します。 82 GINA を使用して、Windows ログオン構成前の構成をする 第 9 章 管理ワークフローの例 Windows ログオン前設定のテスト Windows ログオン前設定をテストするには。 1. [初期設定] ツールをダブルクリックして、[ツール] > [初期設定の再ロードと テスト] を選択します。 2. OAC マネージャを開きます。 3. 使用しているネットワーク接続(ワイヤレスまたは優先)のタイプに基づい て、[Wi-Fi] または [ イーサネット ] ダイアログボックスで接続ステータスを 確認します。 4. 初期設定または接続設定ツールで設定を変更し、必要であれば初期設定ツー ルから再テストします。 Windows ログオン前設定のテスト 83 Odyssey アクセス クライアント管理ガイド 84 Windows ログオン前設定のテスト 索引 A V Active Directory マシン アカウント....................................................26 VLAN マシン アカウント用 ................................................24 E W EAP 方式 パスワード信用情報 .................................................27 EAP-FAST オプション マシン アカウント用 ................................................26 EAP-TTLS スマート カード .......................................................40 Windows GINA Odyssey GINA との互換性 ........................................39 Windows ログオン スキップ ...................................................................35 タイミング オプション.............................................33 遅延...........................................................................38 デフォルトの上書き .................................................15 Windows ログオン設定 ....................................................14 Windows ログオン前 上書き .......................................................................35 G GINA Novell Client の信用情報 ...........................................39 インストール ......................................................38, 39 概要 ..........................................................................38 削除 ..........................................................................39 スマート カード .......................................................40 他の製品との互換性 .................................................39 Graphical Identification and Authentication GINA を参照 N Novell Client for Windows GINA との互換性.......................................................39 O odClientAdministrator.exe...................................................5 odyClientScriptAuto ..........................................................70 Odyssey アクセス クライアント アドミニストレータ 無効化 .......................................................................46 OdysseyClient.msi ............................................................61 Odyssey のスキップ.........................................................35 Odyssey のバイパス.........................................................35 あ アップグレード カスタム インストーラ.............................................58 い インストーラ 更新ファイル ............................................................61 作成およびカスタマイズ ..........................................58 新規ファイル ............................................................61 インストール GINA..........................................................................38 サイレント................................................................61 インフラネット コントローラ 定義済み ...................................................................25 事前構成 ...................................................................14 ロック .................................................................49, 53 インポート スクリプト コマンドライン.........................................................77 う PAC マネージャ 使用 ............................................................................8 上書き Windows ログオン....................................................35 デフォルトの接続設定..............................................15 S え P SIM カード マネージャ ....................................................10 SSID スクリプトを使用した削除 ......................................75 エクスポート コマンドライン.........................................................77 スクリプト................................................................77 制限...........................................................................43 ライセンス キー..................................................61, 64 索引 85 Odyssey アクセス クライアント管理ガイド お さ オンライン ヘルプ ........................................................... xii 再認証 自動 ..........................................................................10 頻度の設定................................................................10 サイレント インストール ............................................................60 スクリプトのエクスポート ......................................77 か カスタム インストーラ 管理ツール ............................................................... 58 使用 ...................................................................... 8, 57 設定更新ファイル..................................................... 65 加入者識別モジュール..................................................... 10 管理ツール 概要 ............................................................................ 5 く クライアントの更新 ........................................................ 65 け 権限 有効 / 無効 ................................................................ 46 権限エディタ 使用 ............................................................................ 7 こ 更新 ................................................................................... 9 EAP-FAST の設定 ...................................................... 69 Windows ログオン タイミング設定 ......................... 69 信頼されたサーバーの設定 ...................................... 69 スキャン リスト ....................................................... 69 セキュリティの設定 ................................................. 69 接続設定 ................................................................... 69 プリエンプティブなネットワークの設定................. 69 プロファイル............................................................ 69 ユーザー構成...................................................... 57, 65 ワイヤレス抑止の設定 ............................................. 69 構成 インフラネット コントローラへのエクスポート..... 14 カスタム インストーラ、作成.......................................... 58 クライアントの更新 ................................................. 65 計画 ............................................................................ 3 設定の構成または置換 ............................................. 69 設定の削除 ............................................................... 69 設定の置換 ............................................................... 50 設定のテスト............................................................ 18 設定の配備 ............................................................... 50 代替 .......................................................................... 34 プッシュ ................................................................... 65 マシン接続 ............................................................... 22 マシン名 ................................................................... 26 ロック設定 ............................................................... 50 構成済みの設定 ............................................................... 13 構成設定 テスト....................................................................... 10 構成設定のテスト............................................................ 10 互換性 GINA ......................................................................... 39 コマンドライン エクスポート スクリプト......................................... 77 スクリプト ............................................................... 77 86 索引 し 事前構成 ..........................................................................14 インフラネット コントローラ..................................14 ルート CA .................................................................13 事前構成設定 ...................................................................24 自動再認証.......................................................................10 自動スキャン リスト 内容の事前構成 ........................................................25 スクリプトを使った追加 ..........................................73 内容の事前構成 ........................................................13 非表示.......................................................................53 ロック.......................................................................53 自動スキャン リストの削除 スクリプトの使用.....................................................73 自動スクリプト 配布 ..........................................................................75 証明書 スクリプト................................................................71 スマート カード GINA で..............................................................41 パスワード ベースのプロトコルで構成 ...................40 マシン アカウント....................................................26 マシン アカウント用 CA...........................................26 マシン アカウント用自動選択..................................25 初期設定 概要 ............................................................................9 カスタム インストーラ.............................................14 管理ツール................................................................13 使用 ............................................................................7 マージ ルール .............................................................9 シングル サインオン .........................................................5 信用情報 マシン.......................................................................26 信頼 マシン アカウント....................................................26 信頼サーバー 定義済み ...................................................................25 信頼されたサーバー 上書き.......................................................................15 事前構成 ...................................................................13 ロック.......................................................................54 信頼されたルート CA 事前構成 ...................................................................13 信頼ルート CA 定義済み ...................................................................25 す スクリプト EAP-FAST 設定の管理 ...............................................73 SSID、削除 ...............................................................75 Windows ログオン設定の管理..................................73 索引 宛先ファイル ............................................................70 コマンドラインから .................................................77 指示 ..........................................................................75 自動スキャン リストの削除 .....................................73 自動スキャン リストの追加 .....................................73 証明書 .......................................................................71 信頼設定の管理 ........................................................73 セキュリティ設定の管理 ..........................................73 通知の管理................................................................73 データ形式................................................................69 ネットワーク ............................................................72 ネットワーク アダプタの管理..................................73 ネットワークの削除 .................................................72 ネットワークの追加または置換 ...............................72 プリエンプティブなネットワークの管理.................73 プロファイル ............................................................71 プロファイルのアクティブ化...................................71 プロファイルの削除 .................................................71 プロファイルの追加または設定 ...............................71 ユーザーへのファイルの配布...................................75 ワイヤレス抑止の管理..............................................73 スクリプト コンポーザ 使用 ............................................................................8 定義済み ...................................................................69 スクリプトの作成 ............................................................70 スマート カード EAP-TTLS...................................................................40 GINA で .....................................................................40 Windows ログオンで GINA と使用 ...........................40 せ た 代替設定 編集...........................................................................34 て 定義済み...........................................................................25 インフラネット コントローラ ..................................25 ルート CA..................................................................25 テスト 管理者による設定 .....................................................18 デフォルト 初期ユーザーの設定 .................................................13 デフォルト ネットワーク 構成...........................................................................24 デフォルトのネットワーク 構成...........................................................................13 テンプレート カスタム インストーラ.............................................58 と ドメイン パスワード マシン .......................................................................26 な 内部認証 スマート カード ログオン用プロトコル...................40 に 認証 イベントの流れ...........................................................2 構成済みの設定.........................................................13 事前構成設定 ............................................................24 証明書ベース ............................................................34 スマート カード ログオン用プロファイル ...............40 パスワードベース .....................................................34 ユーザー ...................................................................17 レイヤー 2 ..................................................................2 レイヤー 3 ..................................................................2 制限 OAC 機能 ..................................................................43 PIN プロンプト .........................................................41 削除 ..........................................................................46 トークン ...................................................................41 パスワード................................................................41 ユーザー アカウント設定 .........................................41 ログオン設定 ............................................................41 製品ドキュメント ............................................................ xii セッション再開................................................................10 接続 Windows ログオン タイミングの制御......................33 設定 GINA 要件 ..........................................................34 有線ネットワーク Odyssey GINA の上書き.....................................35 接続設定 概要 ..........................................................................29 使用 ............................................................................6 接続要求プロンプト オプション................................................................35 設定 更新ファイル ............................................................65 初期ユーザーのデフォルト ......................................13 定義済み .....................................................................9 マージ ルール ...........................................................51 ね ネットワーク アドホックの無効化 .................................................46 自動接続の有効化 .....................................................70 スクリプト................................................................72 スクリプトを使用した削除.......................................72 すべてを無効化.........................................................46 デフォルトの構成 ...............................................13, 24 プリエンプティブ .....................................................11 マシンの認証 ............................................................35 優先...........................................................................11 ロックまたは制限 .....................................................52 ネットワーク アダプタ ..............................................25, 14 ネットワーク接続 Windows ログオン前 ................................................33 一番早い ...................................................................21 タイミング オプション.............................................33 タイミングの制御 .....................................................32 タイミングの設定 .....................................................14 索引 87 Odyssey アクセス クライアント管理ガイド マシンおよびユーザー ............................................. 37 マシンのみ ............................................................... 37 マシン レベル ........................................................... 32 オプション ........................................................ 32 要求プロンプト画面 ................................................. 35 ネットワーク接続タイミング デフォルト設定の無効化 .......................................... 10 は 配備 構成の更新 ............................................................... 57 ライセンスの更新..................................................... 57 パスワード マシン....................................................................... 26 マシン アカウント用 ................................................ 25 ふ プッシュ 構成 .......................................................................... 65 プロファイル スクリプトを使ったアクティブ化 ........................... 71 スクリプトを使った構成.......................................... 71 制限またはロック..................................................... 51 へ 別のアダプタ 有線 802.1X .............................................................. 34 ヘルプ メニュー オプション ........................................... 11 ほ カスタム インストーラ ............................................ 58 設定更新ファイル..................................................... 65 ま マージ ルール インフラネット コントローラ用 .............................. 53 カスタム インストーラ ............................................ 65 自動スキャン リスト用 ............................................ 53 使用 .......................................................................... 51 使用例....................................................................... 49 設定 .................................................................... 50, 51 定期的な更新............................................................ 49 ネットワーク用 ........................................................ 52 プロファイル用 ........................................................ 52 使用 ............................................................................ 7 マシン アカウント 概要 .......................................................................... 21 管理ツール ............................................................... 22 使用 .......................................................................... 21 証明書....................................................................... 26 信用情報 ................................................................... 26 制限 .......................................................................... 26 接続 構成 ................................................................... 22 ユーザー ログオンなし ..................................... 37 ユーザー ログオン前......................................... 37 索引 む 無効化 機能 ..........................................................................46 構成オプション ........................................................43 ゆ ユーザー アカウント 制限つきオプション .................................................41 ユーザー レベルの接続 オプション................................................................32 設定 ..........................................................................33 タイミングの管理.....................................................32 ら ライセンス キー OAC マネージャ ........................................................ ix り 保存 88 接続設定 .............................................................24, 35 接続のテスト ............................................................18 ドメイン パスワード ................................................26 パスワード信用情報 .................................................25 有効化.......................................................................24 使用 ............................................................................7 マシン名 構成 ..........................................................................26 マシン レベルの接続 設定 ..........................................................................35 タイミング................................................................32 目的 ..........................................................................32 領域 パスワード信用情報 .................................................26 リリースノート................................................................ xii ろ ログイン カスタム名................................................................16 ログイン名 修飾 ..........................................................................17 ログオン Windows 信頼、設定 ........................................................15 デフォルトの上書き ..........................................15 信用情報の取得 ........................................................38 デフォルト名の構成 .................................................15 ログ ビューア ..................................................................10 ロック FIPS モード設定........................................................55 OAC 機能 ..................................................................43 インフラネット コントローラ..................................53 機能 マージ ルール....................................................51 自動スキャン リスト ................................................53 信頼されたサーバー .................................................54 ネットワーク ............................................................52 プロファイル ............................................................51