Junos Pulse - Juniper Networks

by user

on 28 марта 2017

Category: Documents

>> Downloads: 4

views

Report

Comments

Description

Download Junos Pulse - Juniper Networks

Transcript

Junos Pulse - Juniper Networks

Junos Pulse
管理ガイド
Release
リリース
発行: 2011-03-22
Copyright © 2011, Juniper Networks, Inc.
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, California 94089
408-745-2000
www.juniper.net
This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright © 1986-1997,
Epilogue Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no part
of them is in the public domain.
This product includes memory allocation software developed by Mark Moraes, copyright © 1988, 1989, 1993, University of Toronto.
This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentation
and software included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by the Regents of the University of California. Copyright
© 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.
GateD software copyright © 1995, the Regents of the University. All rights reserved. Gate Daemon was originated and developed through
release 3.0 by Cornell University and its collaborators. Gated is based on Kirton’s EGP, UC Berkeley’s routing daemon (routed), and
DCN’s HELLO routing protocol. Development of Gated has been supported in part by the National Science Foundation. Portions of the GateD
software copyright © 1988, Regents of the University of California. All rights reserved. Portions of the GateD software copyright ©
1991, D. L. S. Associates.
This product includes software developed by Maker Communications, Inc., copyright © 1996, 1997, Maker Communications, Inc.
Juniper Networks, Junos, Steel-Belted Radius, NetScreen, and ScreenOS are registered trademarks of Juniper Networks, Inc. in the United
States and other countries. The Juniper Networks Logo, the Junos logo, and JunosE are trademarks of Juniper Networks, Inc. All other
trademarks, service marks, registered trademarks, or registered service marks are the property of their respective owners.
Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify,
transfer, or otherwise revise this publication without notice.
Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned
by or licensed to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312,
6,429,706, 6,459,579, 6,493,347, 6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785.
Junos Pulse Administration Guide
Copyright © 2011, Juniper Networks, Inc.
All rights reserved.
改訂履歴
2010-06-09—リリース 1.0
2010-07-01—リリース 1.0 - iOS デバイスサポートのアップデート
2011-01-31—リリース 2.0
The information in this document is current as of the date listed in the revision history.
ii
Copyright © 2011, Juniper Networks, Inc.
END USER LICENSE AGREEMENT
READ THIS END USER LICENSE AGREEMENT (“AGREEMENT”) BEFORE DOWNLOADING, INSTALLING, OR USING THE SOFTWARE. BY DOWNLOADING, INSTALLING,
OR USING THE SOFTWARE OR OTHERWISE EXPRESSING YOUR AGREEMENT TO THE TERMS CONTAINED HEREIN, YOU (AS CUSTOMER OR IF YOU ARE NOT THE
CUSTOMER, AS A REPRESENTATIVE/AGENT AUTHORIZED TO BIND THE CUSTOMER) CONSENT TO BE BOUND BY THIS AGREEMENT. IF YOU DO NOT OR CANNOT
AGREE TO THE TERMS CONTAINED HEREIN, THEN (A) DO NOT DOWNLOAD, INSTALL, OR USE THE SOFTWARE, AND (B) YOU MAY CONTACT JUNIPER NETWORKS
REGARDING LICENSE TERMS.
1. The Parties. The parties to this Agreement are (i) Juniper Networks, Inc. (if the Customer’s principal office is located in the
Americas) or Juniper Networks (Cayman) Limited (if the Customer’s principal office is located outside the Americas) (such applicable
entity being referred to herein as “Juniper”), and (ii) the person or organization that originally purchased from Juniper or an
authorized Juniper reseller the applicable license(s) for use of the Software (“Customer”) (collectively, the “Parties”).
2. The Software. In this Agreement, “Software” means the program modules and features of the Juniper or Juniper-supplied software,
for which Customer has paid the applicable license or support fees to Juniper or an authorized Juniper reseller, or which was embedded
by Juniper in equipment which Customer purchased from Juniper or an authorized Juniper reseller. “Software” also includes updates,
upgrades and new releases of such software. “Embedded Software” means Software which Juniper has embedded in or loaded onto the Juniper
equipment and any updates, upgrades, additions or replacements which are subsequently embedded in or loaded onto the equipment.
3. License Grant. Subject to payment of the applicable fees and the limitations and restrictions set forth herein, Juniper grants to
Customer a non-exclusive and non-transferable license, without right to sublicense, to use the Software, in executable form only, subject
to the following use restrictions:
a. Customer shall use Embedded Software solely as embedded in, and for execution on, Juniper equipment originally purchased by Customer
from Juniper or an authorized Juniper reseller.
b. Customer shall use the Software on a single hardware chassis having a single processing unit, or as many chassis or processing units
for which Customer has paid the applicable license fees; provided, however, with respect to the Steel-Belted Radius or Odyssey Access
Client software only, Customer shall use such Software on a single computer containing a single physical random access memory space and
containing any number of processors. Use of the Steel-Belted Radius or IMS AAA software on multiple computers or virtual machines (e.g.,
Solaris zones) requires multiple licenses, regardless of whether such computers or virtualizations are physically contained on a single
chassis.
c. Product purchase documents, paper or electronic user documentation, and/or the particular licenses purchased by Customer may specify
limits to Customer’s use of the Software. Such limits may restrict use to a maximum number of seats, registered endpoints, concurrent
users, sessions, calls, connections, subscribers, clusters, nodes, realms, devices, links, ports or transactions, or require the purchase
of separate licenses to use particular features, functionalities, services, applications, operations, or capabilities, or provide
throughput, performance, configuration, bandwidth, interface, processing, temporal, or geographical limits. In addition, such limits
may restrict the use of the Software to managing certain kinds of networks or require the Software to be used only in conjunction with
other specific Software. Customer’s use of the Software shall be subject to all such limitations and purchase of all applicable licenses.
d. For any trial copy of the Software, Customer’s right to use the Software expires 30 days after download, installation or use of
the Software. Customer may operate the Software after the 30-day trial period only if Customer pays for a license to do so. Customer
may not extend or create an additional trial period by re-installing the Software after the 30-day trial period.
e. The Global Enterprise Edition of the Steel-Belted Radius software may be used by Customer only to manage access to Customer’s
enterprise network. Specifically, service provider customers are expressly prohibited from using the Global Enterprise Edition of the
Steel-Belted Radius software to support any commercial network access services.
The foregoing license is not transferable or assignable by Customer. No license is granted herein to any user who did not originally
purchase the applicable license(s) for the Software from Juniper or an authorized Juniper reseller.
4. Use Prohibitions. Notwithstanding the foregoing, the license provided herein does not permit the Customer to, and Customer agrees
not to and shall not: (a) modify, unbundle, reverse engineer, or create derivative works based on the Software; (b) make unauthorized
copies of the Software (except as necessary for backup purposes); (c) rent, sell, transfer, or grant any rights in and to any copy of
the Software, in any form, to any third party; (d) remove any proprietary notices, labels, or marks on or in any copy of the Software
or any product in which the Software is embedded; (e) distribute any copy of the Software to any third party, including as may be
embedded in Juniper equipment sold in the secondhand market; (f) use any ‘locked’ or key-restricted feature, function, service,
application, operation, or capability without first purchasing the applicable license(s) and obtaining a valid key from Juniper, even
if such feature, function, service, application, operation, or capability is enabled without a key; (g) distribute any key for the
Software provided by Juniper to any third party; (h) use the Software in any manner that extends or is broader than the uses purchased
Copyright © 2011, Juniper Networks, Inc.
iii
by Customer from Juniper or an authorized Juniper reseller; (i) use Embedded Software on non-Juniper equipment; (j) use Embedded Software
(or make it available for use) on Juniper equipment that the Customer did not originally purchase from Juniper or an authorized Juniper
reseller; (k) disclose the results of testing or benchmarking of the Software to any third party without the prior written consent of
Juniper; or (l) use the Software in any manner other than as expressly provided herein.
5. Audit. Customer shall maintain accurate records as necessary to verify compliance with this Agreement. Upon request by Juniper,
Customer shall furnish such records to Juniper and certify its compliance with this Agreement.
6. Confidentiality. The Parties agree that aspects of the Software and associated documentation are the confidential property of
Juniper. As such, Customer shall exercise all reasonable commercial efforts to maintain the Software and associated documentation in
confidence, which at a minimum includes restricting access to the Software to Customer employees and contractors having a need to use
the Software for Customer’s internal business purposes.
7. Ownership. Juniper and Juniper’s licensors, respectively, retain ownership of all right, title, and interest (including copyright)
in and to the Software, associated documentation, and all copies of the Software. Nothing in this Agreement constitutes a transfer or
conveyance of any right, title, or interest in the Software or associated documentation, or a sale of the Software, associated
documentation, or copies of the Software.
8. Warranty, Limitation of Liability, Disclaimer of Warranty. The warranty applicable to the Software shall be as set forth in the
warranty statement that accompanies the Software (the “Warranty Statement”). Nothing in this Agreement shall give rise to any obligation
to support the Software. Support services may be purchased separately. Any such support shall be governed by a separate, written support
services agreement. TO THE MAXIMUM EXTENT PERMITTED BY LAW, JUNIPER SHALL NOT BE LIABLE FOR ANY LOST PROFITS, LOSS OF DATA, OR COSTS
OR PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES, OR FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES ARISING OUT OF THIS AGREEMENT,
THE SOFTWARE, OR ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. IN NO EVENT SHALL JUNIPER BE LIABLE FOR DAMAGES ARISING FROM UNAUTHORIZED
OR IMPROPER USE OF ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. EXCEPT AS EXPRESSLY PROVIDED IN THE WARRANTY STATEMENT TO THE EXTENT
PERMITTED BY LAW, JUNIPER DISCLAIMS ANY AND ALL WARRANTIES IN AND TO THE SOFTWARE (WHETHER EXPRESS, IMPLIED, STATUTORY, OR OTHERWISE),
INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. IN NO EVENT DOES JUNIPER WARRANT
THAT THE SOFTWARE, OR ANY EQUIPMENT OR NETWORK RUNNING THE SOFTWARE, WILL OPERATE WITHOUT ERROR OR INTERRUPTION, OR WILL BE FREE OF
VULNERABILITY TO INTRUSION OR ATTACK. In no event shall Juniper’s or its suppliers’ or licensors’ liability to Customer, whether in
contract, tort (including negligence), breach of warranty, or otherwise, exceed the price paid by Customer for the Software that gave
rise to the claim, or if the Software is embedded in another Juniper product, the price paid by Customer for such other product. Customer
acknowledges and agrees that Juniper has set its prices and entered into this Agreement in reliance upon the disclaimers of warranty
and the limitations of liability set forth herein, that the same reflect an allocation of risk between the Parties (including the risk
that a contract remedy may fail of its essential purpose and cause consequential loss), and that the same form an essential basis of
the bargain between the Parties.
9. Termination. Any breach of this Agreement or failure by Customer to pay any applicable fees due shall result in automatic termination
of the license granted herein. Upon such termination, Customer shall destroy or return to Juniper all copies of the Software and related
documentation in Customer’s possession or control.
10. Taxes. All license fees payable under this agreement are exclusive of tax. Customer shall be responsible for paying Taxes arising
from the purchase of the license, or importation or use of the Software. If applicable, valid exemption documentation for each taxing
jurisdiction shall be provided to Juniper prior to invoicing, and Customer shall promptly notify Juniper if their exemption is revoked
or modified. All payments made by Customer shall be net of any applicable withholding tax. Customer will provide reasonable assistance
to Juniper in connection with such withholding taxes by promptly: providing Juniper with valid tax receipts and other required documentation
showing Customer’s payment of any withholding taxes; completing appropriate applications that would reduce the amount of withholding
tax to be paid; and notifying and assisting Juniper in any audit or tax proceeding related to transactions hereunder. Customer shall
comply with all applicable tax laws and regulations, and Customer will promptly pay or reimburse Juniper for all costs and damages
related to any liability incurred by Juniper as a result of Customer’s non-compliance or delay with its responsibilities herein.
Customer’s obligations under this Section shall survive termination or expiration of this Agreement.
11. Export. Customer agrees to comply with all applicable export laws and restrictions and regulations of any United States and any
applicable foreign agency or authority, and not to export or re-export the Software or any direct product thereof in violation of any
such restrictions, laws or regulations, or without all necessary approvals. Customer shall be liable for any such violations. The version
of the Software supplied to Customer may contain encryption or other capabilities restricting Customer’s ability to export the Software
without an export license.
12. Commercial Computer Software. The Software is “commercial computer software” and is provided with restricted rights. Use,
duplication, or disclosure by the United States government is subject to restrictions set forth in this Agreement and as provided in
DFARS 227.7201 through 227.7202-4, FAR 12.212, FAR 27.405(b)(2), FAR 52.227-19, or FAR 52.227-14(ALT III) as applicable.
iv
Copyright © 2011, Juniper Networks, Inc.
13. Interface Information. To the extent required by applicable law, and at Customer's written request, Juniper shall provide Customer
with the interface information needed to achieve interoperability between the Software and another independently created program, on
payment of applicable fee, if any. Customer shall observe strict obligations of confidentiality with respect to such information and
shall use such information in compliance with any applicable terms and conditions upon which Juniper makes such information available.
14. Third Party Software. Any licensor of Juniper whose software is embedded in the Software and any supplier of Juniper whose products
or technology are embedded in (or services are accessed by) the Software shall be a third party beneficiary with respect to this
Agreement, and such licensor or vendor shall have the right to enforce this Agreement in its own name as if it were Juniper. In addition,
certain third party software may be provided with the Software and is subject to the accompanying license(s), if any, of its respective
owner(s). To the extent portions of the Software are distributed under and subject to open source licenses obligating Juniper to make
the source code for such portions publicly available (such as the GNU General Public License (“GPL”) or the GNU Library General Public
License (“LGPL”)), Juniper will make such source code portions (including Juniper modifications, as appropriate) available upon request
for a period of up to three years from the date of distribution. Such request can be made in writing to Juniper Networks, Inc., 1194
N. Mathilda Ave., Sunnyvale, CA 94089, ATTN: General Counsel. You may obtain a copy of the GPL at http://www.gnu.org/licenses/gpl.html,
and a copy of the LGPL at http://www.gnu.org/licenses/lgpl.html .
15. Miscellaneous. This Agreement shall be governed by the laws of the State of California without reference to its conflicts of laws
principles. The provisions of the U.N. Convention for the International Sale of Goods shall not apply to this Agreement. For any disputes
arising under this Agreement, the Parties hereby consent to the personal and exclusive jurisdiction of, and venue in, the state and
federal courts within Santa Clara County, California. This Agreement constitutes the entire and sole agreement between Juniper and the
Customer with respect to the Software, and supersedes all prior and contemporaneous agreements relating to the Software, whether oral
or written (including any inconsistent terms contained in a purchase order), except that the terms of a separate written agreement
executed by an authorized Juniper representative and Customer shall govern to the extent such terms are inconsistent or conflict with
terms contained herein. No modification to this Agreement nor any waiver of any rights hereunder shall be effective unless expressly
assented to in writing by the party to be charged. If any portion of this Agreement is held invalid, the Parties agree that such
invalidity shall not affect the validity of the remainder of this Agreement. This Agreement and associated documentation has been written
in the English language, and the Parties agree that the English version will govern. (For Canada: Les parties aux présentés confirment
leur volonté que cette convention de même que tous les documents y compris tout avis qui s'y rattaché, soient redigés en langue anglaise.
(Translation: The parties confirm that this Agreement and all related documentation is and will be in the English language)).
Copyright © 2011, Juniper Networks, Inc.
v
vi
Copyright © 2011, Juniper Networks, Inc.
目次
このガイドについて ...............................................xiii
目的 ............................................................xiii
対象者 ...........................................................xiii
マニュアルの表記規則 ...............................................xiii
関連マニュアル .....................................................xiv
Obtaining Documentation .............................................xiv
Documentation Feedback ..............................................xiv
Requesting Technical Support ..........................................xv
Self-Help Online Tools and Resources ...............................xv
Opening a Case with JTAC .........................................xv
第1部
Junos Pulse
第1章
Junos Pulse の概要 ..................................................3
Junos Pulse を導入する ................................................3
位置認識 ........................................................5
セッション移行 ...................................................5
中央管理 ........................................................6
セキュリティ証明書 ...............................................6
準拠と修復 ......................................................7
二要素認証 ......................................................7
バインドされているクライアントとされていないクライアント ...............8
SA シリーズゲートウェイと IC シリーズゲートウェイの配備オプション ......8
WXC シリーズゲートウェイの配備オプション ............................9
SRX シリーズゲートウェイの配備オプション ...........................10
自動ソフトウェア更新 .............................................10
サポートされるネットワークゲートウェイ ................................10
Junos Pulse クライアントのインストール要件 ..............................11
Junos Pulse クライアントエラーメッセージにアクセスする ..................12
Odyssey アクセスクライアントから Junos Pulse へ移行する ..................14
ワイヤレス接続性、OAC および Junos Pulse ............................14
Network Connect から Junos Pulse に移行する .............................15
第2章
IC シリーズゲートウェイに Junos Pulse を構成する .....................17
始める前に .........................................................17
Junos Pulse と IC シリーズゲートウェイの概要 ...........................18
Juno Pulse 用の役割を設定する .........................................18
クライアント接続設定のオプション ......................................21
クライアント接続設定を作成する ........................................24
位置認識規則を設定する ...............................................26
Junos Pulse コンポーネント設定オプション ...............................29
Copyright © 2011, Juniper Networks, Inc.
vii
Junos Pulse 管理ガイド
クライアントコンポーネント設定を作成する ...............................30
エンドポイントセキュリティの監視と管理 ................................31
修復オプション ..................................................32
修復メッセージを発行する .............................................35
SMS/SCCM 修復を使用する ..............................................36
Shavlik 修復を使用する ...............................................37
拡張エンドポイントセキュリティを有効にする .............................39
同種類のゲートウェイ間で Junos Pulse 構成をプッシュする ...................41
Pulse の自動アップグレードを有効または無効にする .........................42
Junos Pulse ソフトウェアのアップグレード ...............................43
第3章
SA シリーズアプライアンスに Junos Pulse を構成する ...................45
始める前に .........................................................45
Junos Pulse および SA シリーズアプライアンスの概要 ......................45
Junos Pulse および IVS ...........................................46
Juno Pulse 用の役割を設定する .........................................47
Junos Pulse 用の役割オプションを設定する ............................47
クライアント接続設定のオプション ......................................49
クライアント接続設定を作成する ........................................53
位置認識規則を設定する ...............................................54
Junos Pulse コンポーネント設定オプション ...............................57
クライアントコンポーネント設定を作成する ...............................58
エンドポイントセキュリティの監視と管理 ................................59
修復オプション ..................................................60
修復メッセージを発行する .............................................63
SMS/SCCM 修復を使用する ..............................................63
Shavlik 修復を使用する ...............................................65
拡張エンドポイントセキュリティを有効にする .............................66
同種類のゲートウェイ間で Junos Pulse 構成をプッシュする ...................68
Pulse の自動アップグレードを有効または無効にする .........................70
Junos Pulse ソフトウェアのアップグレード ...............................71
第4章
SRX シリーズゲートウェイに Junos Pulse を構成する ....................73
Junos Pulse および SRX シリーズゲートウェイ ............................73
動的 VPN 構成概要 ...................................................74
第5章
WXC シリーズゲートウェイに Junos Pulse を構成する ....................77
Junos Pulse クライアントをインストールする ..............................77
WXC シリーズゲートウェイから Junos Pulse クライアントをダウンロードす
る ........................................................77
SA シリーズアプライアンスから Junos Pulse クライアントをダウンロードす
る ........................................................78
Junos Pulse クライアントをアンインストールする .......................79
ソフトウェア、構成、およびポリシを管理する ..............................79
WXC シリーズゲートウェイから Junos Pulse クライアントダウンロードを有
効化する ...................................................79
WXC シリーズゲートウェイで Junos Pulse クライアント隣接関係を有効化す
る ........................................................80
viii
Copyright © 2011, Juniper Networks, Inc.
目次
WXC シリーズゲートウェイで Junos Pulse クライアントポリシを構成する ...80
WXC シリーズゲートウェイで Junos Pulse クライアントのステータスを表示す
る ........................................................81
WXC シリーズゲートウェイで Junos Puls クライアント構成を定義する .......82
WXC シリーズゲートウェイで Junos Pulse クライアント構成を表示する ......82
Junos Pulse クライアントソフトウェアを WXC シリーズゲートウェイへアッ
プロードする ................................................82
WXC シリーズゲートウェイから Junos Pulse クライアントを配布する .......83
SA シリーズアプライアンスから Pulse クライアントを配布する ........83
SMS/SCCM を介して Pulse クライアントを配布する ...................84
第6章
セッション移行 .....................................................87
セッション移行の概要 ................................................87
セッション移行およびセッションタイムアウト .........................89
セッション移行のしくみ ...........................................89
セッション移行とセッション寿命 ....................................89
認証サーバーに関するサポート ......................................89
タスクサマリー:セッション移行を構成する ...............................90
Pulse クライアント用にセッション移行を構成する ..........................91
セッション移行用に IF-MAP 連携型ネットワークを構成する ...................91
第7章
Junos Pulse クライアントソフトウェアを配備する .......................95
Junos Pulse クライアントのインストールの概要 ............................95
Web からの Junos Pulse クライアントのインストール ........................96
事前構成済みファイルを使用して Junos Pulse クライアントをインストールする ...97
アドバンスドコマンドラインオプションを使用して Pulse クライアントをイ
ンストールする ..............................................98
例 ........................................................99
第2部
Junos Pulse の互換性
第8章
クライアントソフトウェアの機能比較 .................................103
機能比較:Odyssey アクセスクライアントおよび Junos Pulse .................103
機能比較:Network Connect および Junos Pulse ............................107
Pulse 分割トンネリング ..........................................109
機能比較：WX クライアントおよび Junos Pulse ............................109
第3部
モバイルデバイス対応 Junos Pulse
第9章
モバイルデバイス対応 Junos Pulse および Junos Pulse Mobile Security
Suite ............................................................113
概要 .............................................................113
Junos Pulse Mobile Security Gateway ...............................114
第10章
Apple iOS デバイス対応 Junos Pulse ..................................115
Apple iOS 対応 Junos Pulse 概要 ......................................115
始める前に ....................................................116
Apple iOS 対応 Pulse の役割と領域を構成する ............................116
Junos Pulse VPN App をインストールする ................................119
構成プロファイルを使用する ..........................................120
ログファイルの収集 ................................................120
Copyright © 2011, Juniper Networks, Inc.
ix
Junos Pulse 管理ガイド
第11章
Google Android デバイス対応 Junos Pulse .............................121
Android 対応 Junos Pulse 概要 ........................................121
Android 対応 Pulse の役割と領域を構成する ..............................121
第12章
Nokia Symbian デバイス対応 Junos Pulse ..............................125
Symbian 対応 Junos Pulse ............................................125
Symbian デバイスでの Junos Pulse の SA シリーズアプライアンスの構成 ...125
第13章
Windows Mobile デバイス対応 Junos Pulse .............................129
Windows Mobile 対応 Junos Pulse ......................................129
モバイルデバイス対応の Pulse R1.0 および R2.0 互換性 ................129
Windows Mobile エンドポイント対応の Junos Pulse での SA シリーズアプラ
イアンスを構成する ..........................................130
Windows Mobile デバイスへのアプリケーションの定義 ...................131
第14章
Junos Pulse Mobile Security Suite ...................................133
Junos Pulse Mobile Security 概要 .....................................133
Pulse Mobile Security Suite 機能 ..................................134
Pulse Mobile Security 構成概要 ...................................135
SA シリーズアプライアンスアクセス用 Pulse Mobile Security を要求する .....135
第4部
索引
索引 .............................................................139
x
Copyright © 2011, Juniper Networks, Inc.
表の一覧
このガイドについて ...............................................xiii
表1: 注意アイコン .................................................xiii
表2: Junos Pulse 説明書 .............................................xiv
第1部
Junos Pulse
第1章
Junos Pulse の概要 ..................................................3
表3: Junos Pulse クライアントのハードウェアおよびソフトウェア要件 ..........11
第2章
IC シリーズゲートウェイに Junos Pulse を構成する .....................17
表4: Junos Pulse 接続設定の構成可能なパラメータ .........................22
第3章
SA シリーズアプライアンスに Junos Pulse を構成する ...................45
表5: Junos Pulse 接続設定用の構成可能なパラメータ ........................50
第2部
Junos Pulse の互換性
第8章
クライアントソフトウェアの機能比較 .................................103
表6:
表7:
表8:
表9:
Odyssey アクセスクライアントおよび Junos Pulse との機能比較 .........103
Network Connect および Junos Pulse の機能比較 ......................107
Pulse 分割トンネリング ..........................................109
WX クライアントと Junos Pulse の機能比較 ..........................110
第3部
モバイルデバイス対応 Junos Pulse
第14章
Junos Pulse Mobile Security Suite ...................................133
表10: Pulse Mobile Security Suite 機能 ................................134
Copyright © 2011, Juniper Networks, Inc.
xi
Junos Pulse 管理ガイド
xii
Copyright © 2011, Juniper Networks, Inc.
このガイドについて
•
目的 xiiiページ
•
対象者 xiiiページ
•
マニュアルの表記規則 xiiiページ
•
関連マニュアル xivページ
•
Obtaining Documentation xivページ
•
Documentation Feedback xivページ
•
Requesting Technical Support xvページ
目的
Junos Pulse 管理ガイドは、Junos Pulse について説明しています。ネットワーク管理者の方
を対象とし、Juniper Networks ゲートウェイから Junos Pulse クライアントソフトウェアを
使用してネットワークアクセスを設定する方法と管理する方法を説明します。
対象者
この Junos Pulse 管理ガイドは、Juniper Networks ゲートウェイから Junos Pulse クライ
アントソフトウェアを使用して、ネットワークアクセスの設定と管理を担当するネットワー
ク管理者の方を対象としています。このガイドでは、Junos Pulse をアクセスクライアントと
して構成する方法を説明します。「Junos Pulse 管理ガイド」の手続きを使う前に、アクセス
ゲートウェイの構成作業を完了しておくことと、また管理方法について熟知している必要があ
ります。このガイドは、アクセスゲートウェイに関するいくつかの管理ガイドを参照していま
す。
マニュアルの表記規則
xiiiページの表1 は、このガイドで使用する注意アイコンを示しています。
表1: 注意アイコン
アイコン
意味
説明
情報ノート
重要な機能や手順を示します。
注意
データの損失またはハードウェアの損傷の原因となる可能性のある状態を示し
ます。
Copyright © 2011, Juniper Networks, Inc.
xiii
Junos Pulse 管理ガイド
関連マニュアル
xivページの表2 には、関連する Junos Pulse の説明を記載しています。
表2: Junos Pulse 説明書
タイトル
説明
Junos Pulse Mobile Security 管理ガイド
Pulse Mobile Security Suite について記載し、モバイルデバイスにおけるセキュリ
ティの設定および管理を担当するネットワーク管理者を対象とする手順が含まれてい
ます。
Junos Pulse Secure Access サービス管理ガイ
ド
Juniper Networks SA シリーズアプライアンスの構成および保守方法を記載していま
す。
Junos Pulse Access Control サービス管理ガイ
ド
Unified Access Control ソリューションおよび IC シリーズ 4500 および 6500 デバ
イスの構成と保守方法を記載します。
アプリケーションアクセラレーション管理ガイ
ド
JWOS Web インターフェースを使用して、Juniper Networks WXC アプリケーションア
クセラレーションゲートウェイおよびそのリモート Junos Pulse クライアントを構
成、監視、管理する方法を記載しています。
Junos セキュリティ構成ガイド
Junos OS を起動している SRX シリーズサービスゲートウェイのセキュリティ機能
の使用および構成方法を記載しています。
Obtaining Documentation
To obtain the most current version of all Juniper Networks technical documentation,
see the products documentation page on the Juniper Networks Web site at
http://www.juniper.net/.
To order a documentation CD, which contains this guide, contact your sales
representative.
Copies of the Management Information Bases (MIBs) available in a software release are
included on the documentation CDs and at http://www.juniper.net/.
Documentation Feedback
We encourage you to provide feedback, comments, and suggestions so that we can improve
the documentation. You can send your comments to [email protected], or fill
out the documentation feedback form at https://www.juniper.net/cgi-bin/docbugreport/ .
If you are using e-mail, be sure to include the following information with your
comments:
xiv
•
Document or topic name
•
URL or page number
•
Software release version (if applicable)
Copyright © 2011, Juniper Networks, Inc.
このガイドについて
Requesting Technical Support
Technical product support is available through the Juniper Networks Technical Assistance
Center (JTAC). If you are a customer with an active J-Care or JNASC support contract,
or are covered under warranty, and need post-sales technical support, you can access
our tools and resources online or open a case with JTAC.
•
JTAC policies—For a complete understanding of our JTAC procedures and policies,
review the JTAC User Guide located at http://www.juniper.net/us/en/local/pdf/resourceguides/7100059-en.pdf .
•
Product warranties—For product warranty information, visit
http://www.juniper.net/support/warranty/ .
•
JTAC hours of operation—The JTAC centers have resources available 24 hours a day, 7
days a week, 365 days a year.
Self-Help Online Tools and Resources
For quick and easy problem resolution, Juniper Networks has designed an online
self-service portal called the Customer Support Center (CSC) that provides you with
the following features:
•
Find CSC offerings: http://www.juniper.net/customers/support/
•
Search for known bugs: http://www2.juniper.net/kb/
•
Find product documentation: http://www.juniper.net/techpubs/
•
Find solutions and answer questions using our Knowledge Base: http://kb.juniper.net/
•
Download the latest versions of software and review release notes:
http://www.juniper.net/customers/csc/software/
•
Search technical bulletins for relevant hardware and software notifications:
https://www.juniper.net/alerts/
•
Join and participate in the Juniper Networks Community Forum:
http://www.juniper.net/company/communities/
•
Open a case online in the CSC Case Management tool: http://www.juniper.net/cm/
To verify service entitlement by product serial number, use our Serial Number
Entitlement (SNE) Tool: https://tools.juniper.net/SerialNumberEntitlementSearch/
Opening a Case with JTAC
You can open a case with JTAC on the Web or by telephone.
•
Use the Case Management tool in the CSC at http://www.juniper.net/cm/ .
•
Call 1-888-314-JTAC (1-888-314-5822 toll-free in the USA, Canada, and Mexico).
For international or direct-dial options in countries without toll-free numbers, see
http://www.juniper.net/support/requesting-support.html .
Copyright © 2011, Juniper Networks, Inc.
xv
Junos Pulse 管理ガイド
xvi
Copyright © 2011, Juniper Networks, Inc.
第1部
Junos Pulse
ここでは Junos Pulse を紹介し、Junos Pulse の機能を説明するとともに、構成の概念も示し
ます。
•
Junos Pulse の概要 3ページ
•
IC シリーズゲートウェイに Junos Pulse を構成する 17ページ
•
SA シリーズアプライアンスに Junos Pulse を構成する 45ページ
•
SRX シリーズゲートウェイに Junos Pulse を構成する 73ページ
•
WXC シリーズゲートウェイに Junos Pulse を構成する 77ページ
•
セッション移行 87ページ
•
Junos Pulse クライアントソフトウェアを配備する 95ページ
Copyright © 2011, Juniper Networks, Inc.
1
Junos Pulse 管理ガイド
2
Copyright © 2011, Juniper Networks, Inc.
第1章
Junos Pulse の概要
•
Junos Pulse を導入する 3ページ
•
サポートされるネットワークゲートウェイ 10ページ
•
Junos Pulse クライアントのインストール要件 11ページ
•
Junos Pulse クライアントエラーメッセージにアクセスする 12ページ
•
Odyssey アクセスクライアントから Junos Pulse へ移行する 14ページ
•
Network Connect から Junos Pulse に移行する 15ページ
Junos Pulse を導入する
Junos Pulse は、統合された接続性、位置認識対応ネットワークアクセス、高速化およびセ
キュリティをサポートする、拡張マルチサービスネットワーククライアントです。Junos
Pulse は、エンドポイントでの Pulse クライアントソフトウェアと Pulse 接続設定の構成、
配備、制御をネットワーク管理者に任せることにより、ユーザー体験を簡素化します。
注: モバイルデバイス対応 Junos Pulse については、111ページの「モバイルデバ
イス対応 Junos Pulse」を参照してください。
Junos Pulse は、クライアントソフトウェアとサーバーソフトウェアで構成されます。クラ
イアントソフトウェアは、LAN および WAN 上の保護されたリソースやサービスへの安全に認
証されたネットワーク接続を可能にします。サーバーソフトウェアは、サポートされている
Juniper Networks ゲートウェイの管理者インターフェースに統合されます。
Pulse は、Juniper Networks SA シリーズ SSL VPN アプライアンスと連携することにより、企
業およびサービスプロバイダのネットワークにリモートアクセスと接続性を提供します。Pulse
は、Juniper Networks Application Acceleration ゲートウェイ（WXC）と連携し、アプリケー
ション高速化機能を提供します。また、Juniper Networks IC シリーズ UAC アプライアンスと
連携することにより、LAN ベースネットワークやアプリケーションへのアクセス向けに、安全
で識別可能な NAC を提供します。さらに、Pulse は、スパイウェア防御やマルウェア対策アプ
リケーションなどのサードパーティ製のエンドポイントセキュリティアプリケーションを統
合します。
Junos Pulse Windows クライアント対応 Junos Pulse クライアントインターフェース（4ペー
ジの図1を参照）には、3 つのパネルがあります。[Connections] パネルは、Pulse 接続をリス
トします。各接続は、特定のアクセスゲートウェイを介したネットワークアクセスを可能に
Copyright © 2011, Juniper Networks, Inc.
3
Junos Pulse 管理ガイド
する一連のプロパティから成ります。[Connections] パネルは、Pulse インストールごとに表
示されます。[Security] パネルは、Juniper Networks Enhanced Endpoint Security（EES）ア
プリケーションなどのオプションのセキュリティオプションが配備される場合にのみ表示され
ます。アクセスゲートウェイに EES を提供できるライセンスがある場合、EES を有効にして
ホストチェッカー構成の一部として配備できます。[Connections] パネルと [Security] パネ
ルでは、項目を拡張して詳細情報を表示できます。[Acceleration] パネルは、Pulse クライア
ントとアプリケーションアクセラレータ（WXC）ゲートウェイ間に隣接関係がある場合にのみ
表示可能です。
図 1: Junos Pulse クライアントインターフェース
Junos Pulse は、LAN アクセス向け Odyssey Access Client、WAN アクセス向け Network Connect
または SRX クライアントソフトウェア、およびアプリケーション高速化サービス向け WX ク
ライアントソフトウェアの機能を組み合わせます。モバイルデバイス（スマートフォン）の
ユーザーは、SA シリーズアプライアンスへの安全な接続性に対応している各アプリケーショ
ンストアから Pulse モバイルデバイスアプリケーションをインストールします。また、モ
バイルデバイスユーザーは、オプションのセキュリティコンポーネントを有効にすることも
できます。
5ページの図2 に、異なるゲートウェイが混在するネットワーク環境で Junos Pulse クライア
ントソフトウェアがどのようにアクセスやアプリケーション高速化を提供するかを示します。
4
Copyright © 2011, Juniper Networks, Inc.
第1章: Junos Pulse の概要
図 2: ネットワークの Junos Pulse
位置認識
位置認識機能を使用すると、エンドポイント所在地に基づき、接続を自動的に有効化するよう
に定義できます。Pulse は、管理者が定義した規則を評価してエンドポイントの位置を判断し
ます。例えば、ユーザーが自宅から SA シリーズアプライアンスを経由して企業ネットワーク
に接続した時はセキュアトンネルを自動確立する規則や、LAN 経由で企業ネットワークに接続
した時は UAC 接続を確立する規則を定義できます。位置認識規則は、クライアントの IP アド
レスとネットワークインターフェース情報に基づきます。
セッション移行
Junos Pulse のセッション移行機能をサポートするようにアクセス環境を構成すると、ユーザー
はあるゲートウェイを経由して一度ネットワークにログインするだけで、再認証する必要なく、
別のゲートウェイへ安全にアクセスすることができます。例えば、ユーザーは自宅で SA シリー
ズアプライアンス経由で接続し、職場に移動後は再度ログインしなくても IC シリーズアプ
ライアンス経由で接続できます。セッション移行機能によって、ユーザーは Juniper Networks
ゲートウェイで保護されているネットワーク内の異なるリソースにアクセスするたびに信用情
Copyright © 2011, Juniper Networks, Inc.
5
Junos Pulse 管理ガイド
報を提示する必要もなくなります。ユーザーに対してセッション移行を有効にするには、IF-MAP
連携が必要です。
中央管理
構成を中央で集中管理することは、Junos Pulse の主要な機能の 1 つです。中央管理を実現す
るには、IC シリーズもしくは SA シリーズのアプライアンスを使用し、クライアントに必要な
すべての接続を構成してから、Push Configuration 機能を使用してそれらの構成を他のサー
バーに（IC から IC、または SA から SA）配信します。2 つ以上の Junos Pulse サーバーが
あるネットワークでは、クライアントを特定の Junos Pulse サーバーにバインドすることがで
きます。
そのサーバーの Junos Pulse 接続を定義できます。接続には、特定のアクセスゲートウェイ
へ接続するために Pulse クライアントに必要なすべての情報を含めます。接続は、Junos Pulse
のインストール時にエンドポイントにインストールでき、その後に追加や変更が可能です。各
Junos Pulse 接続のオプションによって、管理者はクライアントに対する管理レベルを定義す
ることができます。接続のオプションには次があります。
•
デフォルトでは、Junos Pulse 経由のネットワーク接続では、ユーザーはログオン信用情報
を保存できます。ユーザーにログオン時にいつも信用情報を提示させるには、Junos Pulse
管理インターフェースでこの機能を無効にできます。
•
既存の Junos Pulse 接続設定に対して、ユーザーが手動で新しいネットワーク接続を構成で
きるかどうかを指定できます。
•
動的接続を作成して、接続設定の配信作業を簡素化することができます。動的接続は、ユー
ザーがゲートウェイの Web ポータルにログインした後に、既存の Pulse クライアントに自
動的にダウンロードされます。また、Junos Pulse の Web インストールの一部としてもイン
ストールされます。サポートされるアクセスゲートウェイごとに、デフォルトの接続設定が
1 つあり、その中に動的接続が 1 つあります。
•
クライアントが未知の証明書を信用できるかどうかを指定できます。
•
クライアントのワイヤレス接続環境を管理することを選択できます。Junos Pulse は、エン
ドポイントのネイティブワイヤレスサプリカントに依存しますが、クライアントが Pulse
接続を経由して有線ネットワークに接続したときはすべてのワイヤレス接続を切断するよう
に Pulse を設定できます。また、Pulse クライアントがワイヤレスインターフェースを経
由して接続される場合に使用可能な、許可されたワイヤレスネットワーク（スキャンリス
ト）を指定することもできます。
セキュリティ証明書
ユーザーは CA サーバーを追加、またはサーバーリストを管理することはできません。ブラウ
ザが証明書を扱うのと同じように、Pulse が証明書を扱います。Pulse の動的証明書信用オプ
ションが接続に有効な場合、エンドポイントの証明書ストアで定義された CA からの証明書で
なければ、ユーザーは提示された証明書を受理または拒否できます。
802.1X 接続は、証明書検証の追加されたレイヤ上で有効です。アクセスデバイス上の 802.1X
接続を定義するとき、各 CA にサーバー証明書識別名を指定できます。
6
Copyright © 2011, Juniper Networks, Inc.
第1章: Junos Pulse の概要
準拠と修復
Pulse はホストチェッカーアプリケーションをサポートすることで、エンドポイントの状態を
評価し、エンドポイントの重要なソフトウェアを更新することができます。IC シリーズおよび
SA シリーズゲートウェイ上のホストチェッカーポリシで規則を構成することにより、ネット
ワークに入ることを許可されているエンドポイントでのセキュリティ準拠に対応する最小限の
基準を指定することができます。ホストチェッカーを使用し、以下を行うことができます。
•
拡張エンドポイントセキュリティ（EES）でのマルウェア保護
ESS はマルウェア、スパイウェア、ウィールス、ワームがエンドポイントに存在しないこと
を確認し、ホストチェッカーポリシ構成によってこれらのエンドポイントを制限または隔離
することができます。ESS は IC シリーズおよび SA シリーズゲートウェイのオプションの
ライセンス機能です。
•
ウイルス署名監視
ホストチェッカーを構成することで、クライアントコンピュータにインストールされている
ウィルス署名、オペレーションシステム、ソフトウェアバージョンおよびパッチが最新の
ものであるかを監視し、検証することができます。特定の基準を満たしていないエンドポイ
ントには、自動修復を設定することができます。
•
パッチ管理情報監視、およびパッチ配備
Windows エンドポイントのオペレーティングシステムのサービスパック、ソフトウェアバー
ジョン、またはデスクトップアプリケーションのパッチバージョンの適合性を確認するよ
う、ホストチェッカーポリシを設定できます。
IC シリーズおよび SA シリーズゲートウェイは、修復指示（どのパッチまたはソフトウェ
アが非適合なのかを説明するメッセージや、エンドポイントがパッチを取得できるリンクな
ど）を送信することができます
•
パッチ修復オプション
Pulse およびホストチェッカーは、Microsoft システム管理サーバー、Microsoft システム
センタ構成マネージャ（SMS/SCCM）または Shavlik パッチ配備エンジンによってエンドポイ
ントの修復をサポートします。SMS/SCCM の場合は、Pulse は事前にインストールされた
SMS/SCCM クライアントをトリガし、事前構成された SMS/SCCM サーバーからパッチを取得し
ます。Shavlik の場合は、パッチ配備エンジンを使用することにより、 Pulse が修復が必要
なエンドポイントにパッチをダウンロードします。Shavlik は Microsoft およびその他のベ
ンダの Web サイトから直接パッチを提供します。（Shavlik 修復にはインターネット接続が
必要です。）Shavlik パッチ管理はオプション機能です。Shavlik パッチ監視および配備に
は、別途のライセンスが必要です。
二要素認証
Pulse はソフトトークン、ハードトークン、スマートカード認証での RSA SecurID 認証を
サポートします。 SecurID ソフトウェア（RSA クライアント 4.1 およびそれ以上）はすでに
クライアントコンピュータにインストールされていなければなりません。
Copyright © 2011, Juniper Networks, Inc.
7
Junos Pulse 管理ガイド
バインドされているクライアントとされていないクライアント
Pulse のもう 1 つの構成管理機能は、Pulse クライアントを単一のゲートウェイもしくは特定
のゲートウェイ集団にバインドすることです。バインドする目的は、Junos Pulse クライアン
トが他のゲートウェイにアクセスした際に、異なる構成を受け取ることを防止することです。
以下に、バインドされている Junos Pulse クライアントとされていないクライアントの動作を
説明します。
•
バインドされているクライアント—バインドされているクライアントは、単一ゲートウェイま
たはゲートウェイ集団によって管理されます。ゲートウェイの管理者は、エンドポイントに
インストールする Junos Pulse 接続とソフトウェアコンポーネントを定義します。アクセ
スゲートウェイが管理しているクライアントがそのゲートウェイに接続すると、ゲートウェ
イは構成とソフトウェアコンポーネントの更新を自動的に設定します。ゲートウェイの管理
者は、ユーザーに対して、ゲートウェイから受け取った接続の追加、削除、変更を許可する
ことができます。また、ゲートウェイ管理者は、動的接続（ユーザーがブラウザでゲートウェ
イにログインしたときにゲートウェイが追加する接続）を許可できます。動的接続を使用す
ると、バインドされているクライアントは、バインドしているゲートウェイとは別のゲート
ウェイから接続を追加することができるようになります。
バインドされているエンドポイントは、バインドしているサーバーから接続設定オプション
と接続を受け取りますが、Pulse クライアントソフトウェアを、自動アップグレードオプ
ションが有効になっている任意の Pulse サーバーからアップグレードさせることができま
す。
•
バインドされていないクライアント—バインドされていないクライアントは、そのユーザーに
よって管理されます。Junos Pulse ソフトウェアは、接続していない状態でインストールさ
れます。ユーザーは接続を手動で追加することになります。サポートされているゲートウェ
イの Web ポータルから、動的接続を追加することができます。バインドされていないクライ
アントは、どのアクセスゲートウェイからも構成のアップデートを受け取りません（アクセ
スゲートウェイで定義されているクライアント構成であっても）。
SA シリーズゲートウェイと IC シリーズゲートウェイの配備オプション
ネットワーク側で、Junos Pulse 構成はサポートされているゲートウェイの管理コンソールに
統合されます。SA シリーズおよび IC シリーズアプライアンスでは、サポートされている任
意のゲートウェイにクライアントを接続するために必要なすべての接続とコンポーネントを配
備することができます。SA シリーズおよび IC シリーズアプライアンスは、次の配備オプショ
ンをサポートします。
•
8
Web インストール—エンドポイントに必要なすべての接続性とサービスの設定を作成し、アク
セスゲートウェイの Web ポータルに接続するエンドポイントにソフトウェアをインストー
ルし、ゲートウェイへ正常にログインします。IC シリーズおよび SA シリーズアプライア
ンスは、デフォルトのクライアント接続設定とクライアントコンポーネント設定を備えてい
ます。これらのデフォルト設定を利用すれば、接続設定またはコンポーネント設定を新規に
作成しなくても Junos Pulse をユーザーに配備できます。クライアントのデフォルト設定で
は、動的接続や、接続に必要なコンポーネントのみのインストール、そしてエンドポイント
が接続する IC シリーズアプライアンスまたは SA シリーズアプライアンスへの自動接続
を許可することができます。
Copyright © 2011, Juniper Networks, Inc.
第1章: Junos Pulse の概要
•
デフォルトインストーラ—デフォルトの Junos Pulse インストーラパッケージ（.msi 形式
と .exe 形式の両方）は、アクセスゲートウェイソフトウェアに含まれています。管理者
は、このデフォルトインストーラをエンドポイントに配布してインストールし、その後、
ユーザー側で接続を作成してもらいます。または、デフォルトの Junos Pulse パッケージを
インスートールした後に、ユーザーは動的接続が有効にされているアクセスゲートウェイの
ユーザー Web ポータルの場所に移動して、動的接続を自動的にインストールできます。動的
接続は、クライアントが特定のサーバーに接続できるように事前定義された接続パラメータ
設定です。ユーザーがアクセスゲートウェイのユーザー Web ポータルにログインできる場
合、これらの接続パラメータはダウンロードされて Junos Pulse クライアントにインストー
ルされます。
•
事前構成インストーラ—エンドポイントが接続性とサービスに必要とする接続を作成し、設定
ファイル（.jnprpreconfig）およびデフォルトの Pulse .msi インストールプログラムをダ
ウンロードします。次に、オプションの設定ファイルで msiexec コマンドを使用して、.msi
インストールプログラムを実行します。SMS/SCCM のような標準ソフトウェア配布プロセス
によって、msiexec コマンドを使用して Pulse を配備することができます。
注: モバイルデバイス対応の Junos Pulse は Windows エンドポイント対応の Pulse
とは別の配備モデルを使用します。モバイルデバイス対応 Pulse については、111
ページの「モバイルデバイス対応 Junos Pulse」を参照してください。
WXC シリーズゲートウェイの配備オプション
Junos Pulse クライアントは、クライアントシステムとリモート WXC シリーズゲートウェイ
間のトラフィックを高速化します。WXC シリーズゲートウェイと Pulse クライアントは、互
いに相手を自動検出して、ユーザーの介入なしでトラフィックの高速化を開始します。WXC シ
リーズゲートウェイは、次の配備オプションをサポートします。
•
WXC の管理者は Pulse ダウンロードを有効にし、Pulse クライアント構成を設定すると、
ユーザーは、JWOS 6.1 で動作する WXC シリーズゲートウェイから Junos Pulse クライア
ントをダウンロードできます。ライセンスがある場合は、Junos Pulse 選択が WXC シリーズ
ゲートウェイ対応 Web インターフェースのタスクバーに表示されます。
•
ユーザーが SA シリーズアプライアンスへアクセスした時に、Junos Pulse クライアントを
自動的にダウンロードしインストールすることができます。バージョン 7.0 以降の SA シ
リーズアプライアンスでは、WX 接続を構成し、Pulse クライアントソフトウェアと一緒に
インストールすることができます。さらに、WX 接続を IC シリーズアプライアンスからク
ライアントに配備することもできます。IC シリーズアプライアンスは、WAN アプリケーショ
ンアクセラレーションを使用しない環境の LAN アクセス用ですが、IC シリーズおよび SA
シリーズのアプライアンスはあらゆるタイプの Pulse 接続を配備できるため、管理者は Puls
を柔軟に配備することができます。
注: モバイルデバイス対応の Junos Pulse はアプリケーションアクセラレーショ
ンをサポートしていません。モバイルデバイス対応 Pulse については、111ページ
の「モバイルデバイス対応 Junos Pulse」を参照してください。
Copyright © 2011, Juniper Networks, Inc.
9
Junos Pulse 管理ガイド
SRX シリーズゲートウェイの配備オプション
SRX シリーズゲートウェイから Junos Pulse クライアントソフトウェアを構成して配備する
機能はまだありませんが、Junos OS リリース 10.2 で動作し、動的 VPN アクセスが有効にさ
れていて構成済みである SRX シリーズゲートウェイに接続するために、エンドポイントは
Junos Pulse クライアントソフトウェアを使用することができます。以下に、SRX シリーズ
ゲートウェイ接続の配備オプションについて説明します。
•
「Firewall」接続タイプを使用する接続を作成し、それらを IC および SA シリーズゲート
ウェイから配備できます。
•
Junos Pulse インストーラを、サポートされているゲートウェイから、または Juniper
Networks Web からダウンロードして、SMS/SCCM などのローカルの配布方法でインストール
できます。Pulse をインストール後に、ユーザー側で SRX ゲートウェイへの接続を作成しま
す。
注: モバイルデバイス用の Junos Pulse は SA シリーズアプライアンスにアクセ
スのみ可能です。モバイルデバイス対応 Pulse については、111ページの「モバイ
ルデバイス対応 Junos Pulse」を参照してください。
自動ソフトウェア更新
Junos Pulse クライアントソフトウェアがエンドポイントに配備されると、ソフトウェアは自
動更新されます。IC シリーズまたは SA シリーズアプライアンスの Junos Pulse ソフトウェ
アをアップグレードすると、更新されたソフトウェアコンポーネントは、クライアントが次回
に接続した時に配信されます。（この自動アップグレード機能を無効にできます。）SRX シリー
ズゲートウェイおよび WXC シリーズゲートウェイは、自動ソフトウェアアップグレードを
サポートしません。
新しい接続に必要な追加の Pulse ソフトウェアコンポーネントは、必要に応じてクライアン
トに配信されます。ネットワーク接続プロパティは、アクセスゲートウェイに定義されている
クライアントの役割に応じて、接続時にクライアントに渡され、クライアントのコンピュータ
に格納されます。
関連項目
•
87ページのセッション移行の概要
•
129ページのWindows Mobile エンドポイント対応 Junos Pulse
•
42ページのPulse の自動アップグレードを有効または無効にする
サポートされるネットワークゲートウェイ
以下の Juniper Networks ゲートウェイは Junos Pulse をサポートします。
10
•
IC シリーズ UAC ゲートウェイリリース 4.0 以降
•
SA シリーズ SSL VPN アプライアンスリリース 7.0 以降
Copyright © 2011, Juniper Networks, Inc.
第1章: Junos Pulse の概要
•
WXC シリーズ JWOS リリース 6.1 以降
•
SRX シリーズリリース 10.2 以降
注: SRX シリーズゲートウェイから Junos Pulse クライアントソフトウェアを構
成して配備する機能はまだありませんが、Junos OS リリース 10.2 以降を実行する
SRX シリーズゲートウェイへ接続するには、エンドポイントは Junos Pulse クラ
イアントソフトウェアを使用できます。「Firewall」接続タイプを使用する接続を
作成し、サポートするゲートウェイからそれらを配備できます。さらに、サポート
されているゲートウェイから、または Juniper Networks Web から、Pulse インス
トーラをダウンロードして、ローカルの配布方法でインストールできます。
関連項目
•
11ページのJunos Pulse クライアントのインストール要件
Junos Pulse クライアントのインストール要件
11ページの表3 では、Windows のエンドポイント対応の Junos Pulse クライアントソフトウェ
アをサポートするために必要な最小限のハードウェアおよびソフトウェア要件を一覧にしてい
ます。モバイルデバイス対応 Pulse については、111ページの「モバイルデバイス対応 Junos
Pulse」を参照してください。拡張プラットフォームサポート情報については、
http://www.juniper.net/support/products/pulse の「Junos Pulse サポートされるプラットフォー
ムガイド」を参照してください。
表3: Junos Pulse クライアントのハードウェアおよびソフトウェア要件
コンポーネント
要件
オペレーティングシステムおよ
びブラウザ
Windows 7 Enterprise 64 ビット、Internet Explorer 8.0（32 ビッ
ト）と Firefox 3.5
Vista Enterprise SP2 32 ビット、Internet Explorer 7.0、Internet
Explorer 8.0、および Firefox 3.0
XP Professional SP3 32 ビット、Internet Explorer 7.0、Internet
Explorer 8.0、および Firefox 3.5
CPU
500 MHz
メモリ
RAM 512 MB
使用可能ディスク容量
30 MB の最小空き容量
400 MB の WX 接続容量
Copyright © 2011, Juniper Networks, Inc.
11
Junos Pulse 管理ガイド
注: セキュリティの強化のために、Windows エンドポイントの Fast User Switching
（ユーザーの簡易切替え）機能を無効にするようお勧めします。ユーザーの簡易切
替えは、1 台のコンピュータから複数のユーザーが同時にログオンできる機能です。
この機能は、Windows 7 と Windows Vista、および Windows XP のドメインユー
ザーでは、この機能はデフォルトで有効になっています。ユーザーの簡易切替え機
能を有効にすると、システム上のすべての同時ユーザーのセッションが、ネットワー
クおよび IC シリーズアプライアンスへの現在のデスクトップ接続にアクセスでき
ます。したがって、1 人のユーザーがネットワークに接続中に、同じコンピュータ
でログインした他のユーザーはその同じネットワークにアクセスできることになり、
セキュリティリスクが生じます。
関連項目
•
3ページのJunos Pulse を導入する
•
10ページのサポートされるネットワークゲートウェイ
Junos Pulse クライアントエラーメッセージにアクセスする
Junos Pulse クライアントのエラーメッセージと警告メッセージは、エンドポイントのメッ
セージカタログファイルに存在します。各メッセージは、問題の簡単な説明とより具体的な
説明、さらに解決の方策から構成されています。いくつかのメッセージカタログファイルは、
Junos Pulse コンポーネントがエンドポイントにインストールされるときに、その一部として
そのエンドポイントにのみインストールされます。
すべてのメッセージカタログファイルはローカライズされています。ファイル名で、どの言
語であるかを示しています。例：MessageCatalogConnMgr_EN.txt は、英語のファイルであるこ
とを示しています。言語は、以下のようなファイル名表記規則で示されます。
12
•
DE—ドイツ語
•
EN—英語
•
ES—スペイン語
•
FR—フランス語
•
JA—日本語
•
KO—韓国語
•
ZH—中国語（繁体字）
•
ZH-CN—中国語（簡体字）
Copyright © 2011, Juniper Networks, Inc.
第1章: Junos Pulse の概要
Junos Pulse エンドポイントに保持できるメッセージカタログファイルは次の通りです。
•
\Program Files\Common Files\Juniper Networks\8021xAccessMethod\
MessageCatalog8021xAM_DE.txt
MessageCatalog8021xAM_EN.txt
MessageCatalog8021xAM_ES.txt
MessageCatalog8021xAM_FR.txt
MessageCatalog8021xAM_JA.txt
MessageCatalog8021xAM_KO.txt
MessageCatalog8021xAM_ZH-CN.txt
MessageCatalog8021xAM_ZH.txt
•
\Program Files\Common Files\Juniper Networks\Connection Manager\
MessageCatalog8021xAM_DE.txt
MessageCatalogConnMgr_EN.txt
MessageCatalogConnMgr_ES.txt
MessageCatalogConnMgr_FR.txt
MessageCatalogConnMgr_JA.txt
MessageCatalogConnMgr_KO.txt
MessageCatalogConnMgr_ZH-CN.txt
MessageCatalogConnMgr_ZH.txt
•
\Program Files\Common Files\Juniper Networks\eapService\
MessageCatalogEapAM_DE.txt
MessageCatalogEapAM_EN.txt
MessageCatalogEapAM_ES.txt
MessageCatalogEapAM_FR.txt
MessageCatalogEapAM_JA.txt
MessageCatalogEapAM_KO.txt
MessageCatalogEapAM_ZH-CN.txt
MessageCatalogEapAM_ZH.txt
•
\Program Files\Common Files\Juniper Networks\iveConnMethod\
MessageCatalogIveAM_DE.txt
MessageCatalogIveAM_EN.txt
MessageCatalogIveAM_ES.txt
MessageCatalogIveAM_FR.txt
MessageCatalogIveAM_JA.txt
MessageCatalogIveAM_KO.txt
MessageCatalogIveAM_ZH-CN.txt
MessageCatalogIveAM_ZH.txt
•
\Program Files\Common Files\Juniper Networks\JamUI\
MessageCatalogPulseUI_DE.txt
MessageCatalogPulseUI_EN.txt
MessageCatalogPulseUI_ES.txt
MessageCatalogPulseUI_FR.txt
MessageCatalogPulseUI_JA.txt
MessageCatalogPulseUI_KO.txt
MessageCatalogPulseUI_ZH-CN.txt
MessageCatalogPulseUI_ZH.txt
Copyright © 2011, Juniper Networks, Inc.
13
Junos Pulse 管理ガイド
関連項目
•
\Program Files\Common Files\Juniper Networks\JUNS\
MessageCatalogCommon_DE.txt
MessageCatalogCommon_EN.txt
MessageCatalogCommon_ES.txt
MessageCatalogCommon_FR.txt
MessageCatalogCommon_JA.txt
MessageCatalogCommon_KO.txt
MessageCatalogCommon_ZH-CN.txt
MessageCatalogCommon_ZH.txt
•
\Program Files\Common Files\Juniper Networks\WX Client\
MessagecatalogWxAM_DE.txt
MessagecatalogWxAM_EN.txt
MessagecatalogWxAM_ES.txt
MessagecatalogWxAM_FR.txt
MessagecatalogWxAM_JA.txt
MessagecatalogWxAM_KO.txt
MessagecatalogWxAM_ZH-CN.txt
MessagecatalogWxAM_ZH.txt
•
3ページのJunos Pulse を導入する
Odyssey アクセスクライアントから Junos Pulse へ移行する
Junos Pulse および Odyssey アクセスクライアント（OAC）リリース 5.3 以降は、同一のエ
ンドポイントに同時にインストールすることができます。5.3 より前の OAC バージョンは、
Pulse のインストール前に、ユーザーがアップグレードまたはアンインストールする必要があ
ります。Pulse インストールプログラムは、OAC の存在をチェックします。リリース 5.3 以
降の OAC が存在していれば、Pulse のインストールは続行されます。リリース 5.3 より前の
OAC では、アンインストールまたはアップグレードを指示するメッセージが表示されます。
ワイヤレス接続性、OAC および Junos Pulse
エンドポイントのワイヤレスサプリカントとして機能する OAC は、ワイヤレスネットワーク
へのログイン要求の処理をはじめ、認証サーバーにログイン信用情報の提示、エンドポイント
がローミングしている間は接続の維持を行います。エンドポイントのワイヤレスサプリカント
として OAC リリース 5.3 以降を引き続き使用可能です。または、Pulse をインストール後に
アンインストールしてネイティブ Windows ワイヤレスサプリカントまたは他のワイヤレス接
続ソフトウェアを（エンドポイントにインストールされている場合）アクティブにすることも
できます。Junos Pulse には、ワイヤレスサプリカントコンポーネントが含まれていません。
エンドポイントに Junos Puse があり OAC はない場合、ワイヤレス接続のためには Windows
ワイヤレスサプリカントを構成する必要があります。
関連項目
14
•
103ページのOAC の機能および Junos Pulse
•
10ページのサポートされるネットワークゲートウェイ
Copyright © 2011, Juniper Networks, Inc.
第1章: Junos Pulse の概要
Network Connect から Junos Pulse に移行する
Junos Pulse とNetwork Connect（NC）リリース 6.3 以降は、エンドポイントで同時に動作で
きます。例えば、Junos Pulse をサポートしない SA シリーズアプライアンスへの接続は、NC
を使用すると確立できます。
注: Pulse インストールプログラムは、NC が存在するかをチェックします。NC リ
リース 6.3 以降を検出すると、インストールを続行します。リリース 6.3 より前
の NC が存在すると、ユーザーに対して NC をアップグレードするよう指示するメッ
セージを表示します。
SA シリーズアプライアンス経由で接続するエンドポイントでは、Junos Pulse が Windows メ
インデスクトップで動作する場合、Secure Virtual Workspace（SVW）内で Junos Pulse を起
動することはできません。Pulse は SVW との連動をサポートしていません。
関連項目
•
107ページのNetwork Connect の機能と Junos Pulse
•
10ページのサポートされるネットワークゲートウェイ
Copyright © 2011, Juniper Networks, Inc.
15
Junos Pulse 管理ガイド
16
Copyright © 2011, Juniper Networks, Inc.
第2章
IC シリーズゲートウェイに Junos Pulse
を構成する
•
始める前に 17ページ
•
Junos Pulse と IC シリーズゲートウェイの概要 18ページ
•
Juno Pulse 用の役割を設定する 18ページ
•
クライアント接続設定のオプション 21ページ
•
クライアント接続設定を作成する 24ページ
•
位置認識規則を設定する 26ページ
•
Junos Pulse コンポーネント設定オプション 29ページ
•
クライアントコンポーネント設定を作成する 30ページ
•
エンドポイントセキュリティの監視と管理 31ページ
•
修復メッセージを発行する 35ページ
•
SMS/SCCM 修復を使用する 36ページ
•
Shavlik 修復を使用する 37ページ
•
拡張エンドポイントセキュリティを有効にする 39ページ
•
同種類のゲートウェイ間で Junos Pulse 構成をプッシュする 41ページ
•
Pulse の自動アップグレードを有効または無効にする 42ページ
•
Junos Pulse ソフトウェアのアップグレード 43ページ
始める前に
Junos Pulse の構成を開始する前に、ネットワークの IC シリーズアプライアンスを構成する
必要があります。また、認証サーバー、サインイン設定、およびその他の認証設定も定義して
おく必要があります。認証設定やホストチェッカー設定は、Junos Pulse のインストールに直
に影響します。エンドポイントが保護されているリソースへのアクセスを許可してもらうには
条件を順守する必要があり、管理者がその条件を定義できます。詳細については、「Junos Pulse
Access Control サービス管理ガイド」を参照してください。
関連項目
•
3ページのJunos Pulse を導入する
Copyright © 2011, Juniper Networks, Inc.
17
Junos Pulse 管理ガイド
Junos Pulse と IC シリーズゲートウェイの概要
管理者は IC シリーズアプライアンスを構成し、さらにそのゲートウェイに Junos Pulse の
設定を構成する必要があります。そうすることで、ユーザーが認証を要求する際に、管理者が
作成した役割マッピングとオプションのセキュリティプロファイルに基づき、役割を割り当て
ることができます。ユーザーとデバイスが特定リソースへのアクセスを許可されるのは、その
領域に対する適切な信用情報を提示でき、適切な役割が割り当てられていて、そのエンドポイ
ントがセキュリティ制限を順守している場合に限られます。ユーザーは、管理者が定めたセキュ
リティ制限を順守しないエンドポイントからネットワークへ接続しようとしても、その領域や
役割へアクセスできません。
Pulse を構成するには、Pulse をどのように配備したいかを決めておく必要があります。Junos
Pulse を配備するには、次の 1 つまたは複数のオプションを使用できます。
関連項目
•
デフォルトを使用するか、Junos Pulse デフォルトのコンポーネント設定と接続設定を変更
した後に、ユーザー側でゲートウェイのユーザー Web ポータルにログインして Pulse をダ
ウンロードして配備します。インストールが完了すると、ユーザーにはネットワークリソー
スへアクセスするために必要なすべての接続が与えられます。
•
エンドポイントが接続性とサービスに必要とする接続を作成し、設定ファイル
（.jnprpreconfig）およびデフォルトの Pulse .msi インストールプログラムをダウンロー
ドします。次に、オプションの設定ファイルで msiexec コマンドを使用して、.msi インス
トールプログラムを実行します。SMS/SCCM のような標準ソフトウェア配布プロセスによっ
て、msiexec コマンドを使用して Pulse を配備することができます。
•
事前構成されていない Junos Pulse を配備します。IC シリーズアプライアンスからデフォ
ルトの Junos Pulse インストールファイルを .msi か .exe 形式でダウンロードし、それ
を管理者の組織の標準的なソフトウェア配布方法でエンドポイントに配備することができま
す。インストーラには事前構成された接続が含まれていないので、ユーザー側で手動でネッ
トワーク接続を定義する必要があります。または、管理者がアクセスゲートウェイごとに動
的接続を作成できます。これらの接続は、ユーザーがゲートウェイのユーザ Web ポータルへ
のログイン信用情報を提示したときに、インストールされた Pulse クライアントに自動的に
ダウンロードされます。
•
45ページのJunos Pulse および SA シリーズデバイスの概要
•
73ページのJunos Pulse と SRX シリーズゲートウェイ
•
79ページのWXC シリーズゲートウェイから Pulse クライアントダウンロードを有効化する
Juno Pulse 用の役割を設定する
役割は、役割にマップされるユーザーのネットワークセッションプロパティを指定します。
以下に、Juno Pulse を導入する役割に適用できる設定オプションについて説明します。役割設
定オプションの詳細については、「Junos Pulse Access Control サービス管理ガイド」を参照
してください。
18
Copyright © 2011, Juniper Networks, Inc.
第2章: IC シリーズゲートウェイに Junos Pulse を構成する
Pulse エンドポイントに役割を設定するには、次の操作を行います。
1. 管理コンソールで、[Users] > [User Roles] > [New User Role] を選択します。
2. 役割の名前を入力し、オプションで、説明を入力します。ここに入力した名前は [Roles]
ページの [Roles] リストに表示されます。
3. [Save Changes] をクリックします。役割設定タブが表示されます。
4. 以下のオプションを設定します。
[General] > [Restrictions]
•
[Source IP]—ソース IP オプションは、エンドポイントの IP アドレスまたは IP アドレ
ス範囲に基づいて、この役割に役務を割り当てます。
•
[Browser]—ブラウザオプションは、Web から IC シリーズアプライアンスへアクセスす
るときに、特定タイプのブラウザを使用するよう強制します。ブラウザオプションは、
動的接続や、役割を介した Pulse のインストールなど、IC シリーズアプライアンスに
Weｂポータルからアクセスする操作にのみ適用できます。Junos Pulse クライアントと
IC シリーズアプライアンス間の通常の接続操作は、ブラウザの制約に影響されません。
•
証明書—証明書オプションでは、ユーザーは適切な認証局から指定されたクライアント側
証明書を有するエンドポイントからサインインする必要があります。このオプションを有
効にする前に、管理コンソールの [Trusted Client CA] ページで、クライアント側証明
書を IC シリーズアプライアンスにインストール済みであることを確認してください。
•
ホストチェッカー—ホストチェッカーオプションでは、ホストチェッカーポリシを有効
化し、役割に対して 1 つまたは複数のポリシを選択し、その条件をエンドポイントが満
たすべきかどうかを指定できます。認証およびホストチェッカーポリシの構成について
は「Junos Pulse Access Control サービス管理ガイド」を参照してください。
[General] > [Session] オプション
•
[Session lifetime]—セッション寿命オプションは、ユーザーセッションのタイムアウト
値を設定します。以下のデフォルト値を変更することができます。
•
[Max. Session Length]—ユーザーセッションを終了するまでの時間を分単位で指定し
ます。ユーザーセッションの間、最大セッション時間の経過前に、IC シリーズアプ
ライアンスは認証信用情報を再入力するようユーザーに要求します。そのため、警告な
しにユーザーセッションが終了することを回避できます。
•
[Heartbeat Interval]—セッションを存続させるために Pulse クライアントが IC シ
リーズアプライアンスに通知する間隔を指定します。エージェントのハートビート間
隔は、ホストチェッカーのハートビート間隔より長くする必要があります。そうでない
と、パフォーマンスに影響することがあります。一般に、エージェントのハートビート
間隔は、ホストチェッカーよりも最低 50% 長く設定します。
•
[Heartbeat Timeout]—エンドポイントがハートビートに応答しない場合、IC シリーズ
アプライアンスがセッションを終了させるまでの待機時間を指定します。
•
[Enable Session Extension]—このオプションは、OAC セッションにのみ適用できます。
Junos Pulse クライアントは、セッション間隔を超過してセッションを延長することを
ユーザーに要求しません。
Copyright © 2011, Juniper Networks, Inc.
19
Junos Pulse 管理ガイド
•
[Roaming session]— ユーザーセッションはソース IP アドレス間を移動して機能するこ
とができます。次のローミングセッションオプションがあります。
•
[Enabled]—この役割にマップされたユーザーがローミングできるようにします。ローミ
ングセッションは異なる IP アドレス間で機能できるため、動的 IP アドレスにアク
セスできるモバイルユーザーは、ある場所から IC シリーズアプライアンスにサイン
インした後、他の場所で操作を継続することができます。
•
[Limit to subnet]—ローミングセッションの使用を [Netmasknetmask] ボックスで指
定するローカルサブネットに制限します。特定の IP アドレスでサインインしたユー
ザーは、別の IP アドレスでも同じサブネットに含まれている限り、その新しい IP ア
ドレスでセッションを継続して使用できます。
•
[Disabled]—この役割にマップされたユーザーはローミングすることができなくなりま
す。ある IP アドレスからサインインしたユーザーは、別の IP アドレスからアクティ
ブのインフラネットコントローラセッションの使用を継続することができません。
ユーザーセッションは初期のソース IP アドレスに拘束されます。
[General] > [UI] オプション
[UI] オプションを使用すると、ブラウザを介してログインしたユーザーに表示する Web
ページオプションを定義できます。この役割に対して認証設定をすでに定義してあること
を確認してください。サインインポリシ、サインインページ、サインイン通知、認証プロ
トコル設定については、「Junos Pulse Access Control サービス管理ガイド」を参照して
ください。
5. [Agent] タブを選択します。「エージェント」とは、この役割に割り当てられたユーザー用
のクライアントプログラムです。以下のオプションを構成します。
•
[Install Agent for this role] を選択します。
•
[Install Junos Pulse] を選択します。
6. [Session scripts] 領域で、必要に応じて次の位置を指定することもできます。
•
Windows :[Session start script]—Pulse が IC シリーズアプライアンスに接続後に実
行する、この役割に割り当てられたユーザー用のスクリプトを指定します。例えば、保護
されたリソースで共有するためにエンドポイントにネットワークドライブをマップする
スクリプトを指定することができます。
•
Windows :[Session end script]—Junos Pulse が IC シリーズアプライアンスから接続
を切断後に実行する、この役割に割り当てられたユーザー用のスクリプトを指定します。
例えば、マップされているネットワークドライブの接続を切断するようにスクリプトを
指定できます。開始スクリプトが定義されていない、または開始スクリプトが実行されて
いない場合は、終了スクリプトは作動しません。
7. [Save Changes] をクリックし、[Agent] > [Junos Pulse Setting] を選択します。
8. 作成したコンポーネント設定を選択、デフォルトのコンポーネント設定を使用、または
[none] を選択します。既存の Pulse ユーザーに新しい接続か更新した接続を配布する目的
でこの役割を作成するには、[none] を選択します。
9. [Users] > [User Realms] > [Select Realm] > [Role Mapping] > [New Rule] を選択して、
Junos Pulse ユーザーを設定済みの役割にマップする、役割マッピング規則を設定します。
20
Copyright © 2011, Juniper Networks, Inc.
第2章: IC シリーズゲートウェイに Junos Pulse を構成する
関連項目
•
31ページのエンドポイントセキュリティの監視と管理
クライアント接続設定のオプション
Junos Pulse クライアント接続設定には、ネットワークオプションが含まれています。これら
のオプションでは、Junos Pulse をサポートするアクセスゲートウェイへのクライアント接続
に対して、特定の接続ポリシを設定できます。22ページの表4 では、接続設定オプションにつ
いて説明します。
Copyright © 2011, Juniper Networks, Inc.
21
Junos Pulse 管理ガイド
表4: Junos Pulse 接続設定の構成可能なパラメータ
オプション
ログオン情報の保存許可—Junos Pulse クライアントのログオン信用情報ダイアログ
ボックスで、[Save Settings] チェックボックスを使用可能にするかどうかを制御
します。このチェックボックスをクリアすると、Junos Pulse クライアントは、
ユーザーに常に信用情報の提示を求めます。このチェックボックスを選択すると、
ユーザーに信用情報を保存できる選択肢が与えられます。
Junos Pulse クライアントは認識したユーザー設定を保有できます。これらの設定
はエンドポイントに保有され、異なるゲートウェイや方法で接続されるにつれて拡
大していきます。Junos Pulse クライアントは、次の設定を保存できます。
•
証明書の受理
•
証明書の選択
•
領域
•
ユーザー名とパスワード
•
プロキシのユーザー名/パスワード
•
セカンダリユーザー名/パスワード
•
役割
注: 認証サーバーが、ACE サーバーまたはRadius サーバーで、認証が [set to
Users authenticate using tokens] に設定されている場合、Pulse は [Allow saving
logon information] オプションを無視します。ユーザーにユーザー名とトークンの
要求プロンプトが表示されると、[Save settings] チェックボックスは無効になり
ます。Pulse はソフトトークン認証、ハードトークン認証およびスマートカード
認証をサポートします。
ユーザーが設定の保存を選択すると、その情報が、その後の各接続に使用されます。
入力は要求されません。設定が変わると（例えばユーザーがパスワードを変更した
場合）、保存されている設定は無効になり、接続の試行は失敗します。この場合、
ユーザーはクライアントの[Forget Saved Settings] 機能を使用する必要がありま
す。[Forget Saved Settings] 機能は、保存されている情報をすべて消去するため、
Junos Pulse はユーザーの次回の接続試行で、必要な情報を要求します。
ユーザー接続の許可—ユーザーによる接続の追加を制御します。
動的証明書信用—ユーザーが未知の証明書を信頼するかどうかを決定します。この
チェックボックスを選択すると、ユーザーは無効な証明書に対して発行される警告
を無視して目的のゲートウェイに接続できます。証明書ベースの認証を設定する詳
細については、「Junos Pulse Access Control サービス管理ガイド」または「Junos
Pulse Secure Access サービス管理ガイド」を参照してください。
動的接続—Web ブラウザ経由の新規のサポートされたゲートウェイに遭遇した場合、
新しい接続を自動的に Junos Pulse クライアントへ追加することを許可します。
ワイヤレス抑止—有線接続が利用可能な場合は、ワイヤレスアクセスを無効にしま
す。有線接続がなくなると、Pulse は、以下のプロパティを設定してワイヤレス接
続を有効にします。
•
ネットワークが中継中でなくても接続する。
•
コンピュータ情報が使用可能ならコンピュータとして認証する。
•
このネットワークが範囲内なら接続する。
注: ワイヤレス抑止を有効にする場合は、クライアントが有線接続で接続するよう
に構成していることも確認します。
22
Copyright © 2011, Juniper Networks, Inc.
第2章: IC シリーズゲートウェイに Junos Pulse を構成する
表4: Junos Pulse 接続設定の構成可能なパラメータ（続き）
接続設定用の接続を作成するときは、接続タイプを選択します。接続タイプには次のオプションがありま
す。
802.1X オプショ
ン
アダプタタイプ—認証に使用するアダプタのタイプを有線またはワイヤレスのいず
れかで指定します。
外部ユーザー名—ユーザーが暗号化されたトンネルを本当のログイン名（内部 IDと
呼ばれます）で通過するときに、匿名でログインしているように表示することを有
効にします。これによって、ユーザー信用情報の盗視が防止され、内部識別名も保
護されます。一般には、デフォルト値である匿名デフォルト値を入力します。場合
により、追加のテキストを追加する必要があります。例えば、ユーザーの認証を外
部識別名でサーバーまでルートする場合、[email protected] のような書式を使う
必要があります。ボックスを空白にしておくと、クライアントはユーザーのログイ
ン名（内部識別名）を外部識別名として通過させます。
スキャンリスト—アダプタタイプにワイヤレスを選択した場合、スキャンリスト
ボックスを利用して、優先順位に従って接続する SSID を指定することが可能です。
802.1X 接続対応
の信頼されるサー
バーリスト
サーバー証明書 DN—サーバー証明書識別名（DN）とその署名をする証明局（CA）を
指定します。DN フィールドを空白のままにすると、選択した CA によって署名され
ているすべてのサーバー証明書をクライアントが承認することを許可します。
IC または SA オ
プション
ユーザーによる接続ポリシの上書きの許可—ユーザーに手動での接続または切断によ
る接続ポリシの上書きを許可します。一般には、このオプションを選択し、ユーザー
があらゆる条件下で接続を確立できるようにします。
[This server]—エンドポイントがこのゲートウェイに接続するかどうかを指定しま
す。
[URL]—別のゲートウェイの URL をデフォルト接続として指定できます。異なるサー
バーの URL を指定して、ネットワーク内の他のゲートウェイの接続を作成します。
ファイアウォール
オプション（動的
VPN 用）
ユーザーによる接続ポリシの上書きの許可—ユーザーに手動での接続または切断によ
る接続ポリシの上書きを許可します。一般には、このオプションを選択し、ユーザー
があらゆる条件下で接続を確立できるようにします。
URL—ファイアウォールの位置を指定します。
WX オプション
ユーザーによる接続ポリシの上書きの許可—ユーザーに手動での接続または切断によ
る接続ポリシの上書きを許可します。一般には、このオプションを選択し、ユーザー
があらゆる条件下で接続を確立できるようにします。
コミュニティ文字列—コミュニティ文字列によって識別されている同じコミュニティ
に属する場合のみ、Junos Pulse クライアントおよび Application Acceleration
（WXC）ゲートウェイは WAN 最適化のための隣接性を形成することができます。WX
接続の作成時には、その接続のコミュニティ文字列が、Application Acceleration
（WXC）ゲートウェイに定義したコミュニティ文字列と一致することを確認してくだ
さい。
IC か SA、またはファイアウォール接続を作成する場合は、位置認識機能を制御する規則を含む接続確立
方法も指定することができます。接続を確立するには、以下のオプションを使用できます。
Copyright © 2011, Juniper Networks, Inc.
23
Junos Pulse 管理ガイド
表4: Junos Pulse 接続設定の構成可能なパラメータ（続き）
[Manually by the user]—エンドポイントが開始されると、Junos Pulse クライアン
トソフトウェアが開始しますが、接続は試みません。ユーザーは、Junos Pulse ク
ライアントのユーザーインターフェースを使って接続を選択する必要があります。
[Automatically after user logs on]—エンドポイントが開始されて、ユーザーがエ
ンドポイントにログインすると、Junos Pulse クライアントソフトウェアが自動的
に接続します。
注: 自動的に開始するように構成されたエンドポイントへのすべての接続は、動作
開始時に目的のネットワークへの接続を行うようになります。複数接続を避けるに
は、位置認識規則を使用します。
[According to location awareness rules]—位置認識規則により、条件付きでエン
ドポイントへ接続するようにします。例えば、エンドポイントが社内イントラネッ
トに接続している場合は IC シリーズアプライアンスに接続し、リモート地点にい
る場合は SA シリーズアプライアンスに接続します。
Pulse 接続はエンドポイントにある指定されたインターフェースの IP アドレスを
使用し、そのネットワークの位置を決定します。それぞれの位置認識規則は、以下
の設定を含みます。
•
[Name]—記述名。例：“corporate-DNS”名前には、文字、数字、ハイフン、下線
を含むことができます。
•
[Action]—IP アドレスを見つけるために接続が行う方法次の中から 1 つを選択
します。
•
[DNS Server]—指定のインターフェースのエンドポイントの DNS サーバーが指
定値のうちの 1 つに設定されている場合に、エンドポイントに接続すること
を許可します。[Condition] ボックスを使用して、IP アドレスまたはアドレ
ス範囲を指定します。
•
[Resolve Address]—指定されているインターフェースで、[DNS Name] ボック
スで指定されているホスト名が DNS サーバーで解決できる場合は、エンドポ
イントは接続できます。[Address Range] ボックスに 1 つまたは複数のアド
レス範囲が指定されている場合、アドレスはその中の 1 つに解決されて、表
現の条件を満たす必要があります。
•
[Endpoint Address]—指定されているインターフェースの IP アドレスが、[IP
Address Range] ボックスで指定されている範囲の内部にあれば、エンドポイ
ントは接続できます。
注: 否定の位置認識規則を作成するには、最初に肯定状態を作成してから、規則要
件ロジックを使用して、その規則を否定条件として使用します。
関連項目
•
31ページのエンドポイントセキュリティの監視と管理
クライアント接続設定を作成する
Junos Pulse クライアント構成を作成するには、次の操作を行います。
1. 管理コンソールから [Users] > [Junos Pulse] > [Connections] を選択します。
2. [New] をクリックします。
3. 名前を入力し、必要に応じて、この接続設定の説明を入力します。
24
Copyright © 2011, Juniper Networks, Inc.
第2章: IC シリーズゲートウェイに Junos Pulse を構成する
注: 接続を作成する前に、接続設定名を入力する必要があります。
4. [Save Changes] をクリックします。
5. メインの [Junos Pulse Connections] ページから、接続設定を選択します。
6. [Options] で、以下のチェックボックスを選択またはクリアします。
•
[Allow saving logon information]
•
[Allow user connections]
•
[Dynamic certificate trust]
•
[Dynamic connections]
•
[Wireless suppression]
7. [Connections] で、[New] をクリックして新しい接続を定義します。
8. 名前を入力し、必要に応じて、この接続の説明を入力します。
9. 接続のタイプを選択します。以下のタイプの 1 つを選択できます。
•
802.1X
•
IC or SA
•
Firewall
•
WX
10. [802.1X] を選択した場合は、以下のチェックボックスに値を入力、選択、またはクリアし
ます。
•
[Adapter type]—有線かワイヤレスを選択します。
•
[Outer username]—外部ユーザー名を入力します。
•
[Scan list]—優先度の順に接続する SSID を入力します。
11. [Save Changes] をクリックします。
12. [IC or SA] タイプを選択した場合は、以下のチェックボックスを選択、またはクリアしま
す。
•
[Allow user to override connection policy]
•
[Connect automatically]
•
[This Server]—この接続は、現在作成しているサーバーの URL を使用します。
•
[URL]—[This Server]— を選択しなかった場合、その接続のサーバーの URL を指定しま
す。
13. [Firewall] を選択した場合には、[Address] ボックスに IP アドレスを入力します。
14. [Options] リストから、次のチェックボックスを選択またはクリアします。
Copyright © 2011, Juniper Networks, Inc.
25
Junos Pulse 管理ガイド
•
[Allow user to override connection policy]
•
[Connect automatically]
•
[URL]—ファイアウォールのネットワークアドレスを入力します。
15. （オプション）位置認識規則を作成して、位置認識を有効にできます。位置認識は、特定の
インターフェースへの接続を強制できます。詳細については、26ページの「「位置認識規則
の設定」」を参照してください。
16. [WX] を選択する場合は、[Connect Automatically] チェックボックスを選択し、クライア
ントがネットワークの Application Acceleration（WXC）ゲートウェイへの隣接関係を自動
形成できるようにします。
注: アプリケーション高速化を使用する接続は、Kasperskyソフトウェアが Pulse
クライアントエンドポイントにインストールされている場合は、UDP ポート
3578 のトラフィックを許可する構成をしなければなりません。
17. クライアント接続設定の作成が済んだら、クライアントコンポーネント設定を作成して、
この接続設定を選択します。
関連項目
•
31ページのエンドポイントセキュリティの監視と管理
位置認識規則を設定する
位置認識機能を使用すると、Pulse クライアントは自己の位置を検出して正しく接続できるよ
うになります。例えば、遠隔地で起動された Pulse クライアントは、自動的に SA シリーズ
アプライアンスに接続します。ところがその同じクライアントが企業のオフィスで起動される
と、自動的に IC シリーズアプライアンスに接続します。
注: 位置認識とセッション移行は、ユーザーの接続操作を簡素化する点で類似して
いますが、それを異なる状況下で実現します。位置認識機能では、どこに接続する
かをユーザーの PC ログイン時に、Pulse クライアントが決定します。セッション
移行が発生するのは、ユーザーがログオフする代わりに PC をスタンバイか休止モー
ドに切り替えて、その後に異なるネットワーク環境で PC を開始したときです。位
置認識機能を使用すると、Pulse クライアントは的確に新しいセッションを開始し
ます。セッション移行機能では、Pulse サーバーはインテリジェントに既存のセッ
ションを移行します。
位置認識機能は、管理者が個々の接続に定義する規則に依存します。規則に指定された条件が
真であれば、Pulse は接続を試みます。多数の接続から選別する位置認識規則をセットアップ
するには、位置認識規則を各接続に対して定義する必要があります。各位置認識規則は、指定
されたネットワークインターフェースの IP アドレスに到達できる、または DNS 名を解決す
るエンドポイントの能力に基づきます。
26
Copyright © 2011, Juniper Networks, Inc.
第2章: IC シリーズゲートウェイに Junos Pulse を構成する
注: 位置認識動作は、分割トンネリング構成から影響を受けます。例えば、位置認
識規則が物理アダプタで作成されたアドレス解決に依存し、分割トンネリングが無
効になっている場合は、Pulse が接続を確立後に、その規則は常に FALSE と解決し
ます。
以下に、位置認識規則の例を 2 つの接続で示します。最初の例は、エンドポイントが企業 LAN
に接続されると TRUE と判定される IC シリーズアプライアンス接続です。その次の例は、エ
ンドポイントの位置がリモートなら TRUE と判定される SA シリーズアプライアンス接続で
す。
IC シリーズアプライアンス接続
エンドポイントの物理ネットワークインターフェースに到達できる DNS サーバーが、管理者の
組織の内部 DNS サーバーの 1 つであれば、接続を確立します。
SA シリーズアプライアンス接続
エンドポイントの物理ネットワークインターフェースに到達できる DNS サーバーが、管理者の
組織の内部 DNS サーバーのどれでもなく、SA シリーズアプライアンスの DNS 名が SA シリー
ズアプライアンスの外部向け IP アドレスに解決される場合は、接続を確立します。
注: 接続を手動か自動に設定でき、または位置認識規則によって制御できます。ユー
ザーがログインすると、Pulse クライアントは、自動接続に設定されているか位置
認識規則で制御される接続リストのすべての接続を試みます。
注: 否定の位置認識規則を作成するには、最初に肯定状態を作成してから、規則要
件ロジックを使用して、その規則を否定条件として使用します。
位置認識規則を設定するには、次の操作を行います。
1. 接続を作成していなければ作成します。または既存の接続を開きます。
Firewall 接続と IC または SA 接続に対して位置認識規則を設定できます。位置認識規則
は、802.1X と WX 接続に適用できません。
2. [Connection is established] 領域で、[According to location awareness rules] を選択
し、[New] をクリックします。
3. 規則の名前を指定します。
4. [Action] リストで、次の 1 つを選択します。
•
[DNS server]—エンドポイントのネットワークプロパティに関連付けられている DNS サー
バーが、ある値または一連の値に設定されている（またはされていない）場合は、接続し
ます。[IP address] ボックスの DNS サーバー IP アドレスを指定します。また、以下の
条件を満足すべきネットワークインターフェースも指定します。
•
[Physical]—エンドポイントの物理インターフェースで条件を満足する必要があります。
•
[Junos Pulse]—Junos Pulse が接続を確立する際に作成する仮想インターフェースで条
件を満足する必要があります。
Copyright © 2011, Juniper Networks, Inc.
27
Junos Pulse 管理ガイド
•
•
[Any]—任意のインターフェースを使用します。
[Resolve address]—構成済みのホスト名または一連のホスト名が、エンドポイントにより
ある特定の IP アドレスに解決される（またはされない）場合に、接続します。[DNS name]
ボックスのホスト名と、[IP address] ボックスの 1 つまたは複数の IP アドレスを指定
します。また、以下の条件を満足すべきネットワークインターフェースも指定します。
注: Pulse クライアントソフトウェアは、ネットワークインターフェースが
変化した時に、IP および DNS ポリシを評価します。DNS ルックアップは、
DNS 構成が変化した時、または特定のホストレコードの生存時間
（time-to-live）値（10 分）が経過したときに発生します。なんらかの理由
により Pulse がホストを解決できない場合は、構成済み DNS サーバーリス
トを 30 秒間隔でポーリングします。過去に正常に解決されたことのあるホス
トであれば、time-to-live（生存時間）タイマの時間が切れるまでポーリング
を続行します。過去に正常に解決されたことのないホストなら、解決する試み
は即座に失敗します。
•
[Endpoint Address]—エンドポイントのネットワークアダプタに、ある範囲または一連の
範囲の内側か外側にある IP アドレスがある場合、接続します。[IP address] ボックス
の 1 つまたは複数の IP アドレスを指定します。また、以下の条件を満足すべきネット
ワークインターフェースも指定します。
5. [Save Changes] をクリックします。
1 つまたは複数の規則の作成が済むと、その接続に使用したい各規則を有効にする必要があり
ます。規則の否定形を有効にするには、規則のカスタムバージョンを使用します。位置認識規
則を有効にするには、次の操作を行います。
1. 接続の位置認識規則のリストで、有効にしたい各規則の横のチェックボックスを選択しま
す。
2. 選択した位置認識規則の施行方法については、次のオプションの 1 つを選択します。
•
[All of the above rules]—選択されたすべての位置認識規則が守られる場合にのみ、条
件は TRUE となり、接続を試みます。
•
[Any of the above rules]—選択された位置認識規則のどれかが守られる場合に、条件は
TRUE となり、接続を試みます。
•
[Custom]—選択されたすべての位置認識規則が、[Custom] ボックスで指定されたブール論
理に従い守られる場合にのみ、条件は TRUE となり、接続を試みます。否定の位置認識規
則を指定するには、論理条件式を使用します。例えば、Rule–1 が偽（FALSE）で、Rule–2
が真（TRUE）の場合に、SA シリーズアプライアンスに接続します。この例のカスタム
ボックスでは、ブール論理は次のようになります。NOT Rule-1 AND Rule-2。使用できる
ブール論理演算子は、 AND、OR、NOT と、括弧 () です。
3. [Save Changes] をクリックします。
関連項目
28
•
87ページのセッション移行の概要
Copyright © 2011, Juniper Networks, Inc.
第2章: IC シリーズゲートウェイに Junos Pulse を構成する
Junos Pulse コンポーネント設定オプション
Pulse コンポーネント設定には、Junos Pulse 接続性とサービスを提供するソフトウェアコン
ポーネントが含まれています。
注: クライアントコンポーネントのオプションは、Web ベースのインストールにの
み影響します。事前に構成されたインストーラの場合は、MSIEXEC コマンドの一部
としてコンポーネントを指定します。
コンポーネント設定オプションには、以下の選択肢があります。
•
[All components]—すべての Pulse 接続タイプをサポートします。拡張エンドポイントセ
キュリティEES ライセンスのある場合のみ利用可能な（EES）コンポーネントは、、ユーザー
に割り当てられた役割に必要な場合に限り含まれます。[All components] オプションは、ク
ライアントエンドポイントに対して、すべての対応するゲートウェイに接続可能にし、アプ
リケーション高速化の使用を可能にする場合にのみ使用されます。
•
[No components]—例えば、新しい接続を追加するために、既存の Pulse クライアント構成を
更新します。この設定は新規インストールには使用しないでください。
•
[Minimal components]—選択されている接続をサポートする必要があるコンポーネントのみを
含みます。例えば、作成する接続設定が IC もしくは SA 接続を含んでいる場合は、コンポー
ネント設定は IC または SA デバイスへの接続に必要なコンポーネントのみを含みます。デ
フォルトは [Minimal components] で、選択した接続のために必要なすべてのコンポーネン
トを提供し、Junos Pulse インストールファイルのサイズを制限します。
注: 最小限のコンポーネントおよび接続していない状態で Pulse を配備しないで
ください。その場合は、Pulse クライアントはどのデバイスにも接続することが
できず、ユーザーは Pulse クライアントインターフェースから接続を作成する
ことができません。
注: 選択している Pulse コンポーネントは Web インストールにのみ適用されま
す。コマンドラインオプションを使用して特定のコンポーネントを指定しない
限りは、事前に構成されたインストーラは、常にすべてのコンポーネントをイン
ストールします。
関連項目
•
95ページのJunos Pulse クライアントのインストールの概要
•
97ページの事前構成済みファイルを使用して Junos Pulse クライアントをインストールする
•
30ページのクライアントコンポーネント設定を作成する
Copyright © 2011, Juniper Networks, Inc.
29
Junos Pulse 管理ガイド
クライアントコンポーネント設定を作成する
Pulse クライアントコンポーネントのオプションは、Web ベースのインストールにのみ影響し
ます。事前に構成されたインストーラの場合は、MSIEXEC コマンドの一部としてコンポーネン
トを指定します。クライアントコンポーネント設定を作成するには、次の操作を行います。
1. 管理コンソールから [Users] > [Junos Pulse] > [Components] を選択します。
2. [New] をクリックして、新しいコンポーネント設定を作成します。
3. クライアント接続設定をまだ作成していない場合は、[Users] > [Junos Pulse] >
[Connections] を選択して、新しい接続設定を作成します。または、デフォルトのクライア
ント構成を利用できます。この構成は動的接続を許可し、匿名の外部ユーザー名をサポート
するほか、クライアントは IC または SA シリーズアプライアンスに自動接続できます。
4. クライアントコンポーネント設定の名前を指定します。
5. （オプション）このクライアントコンポーネント設定の説明を入力します。
6. 作成した接続設定を選択するか、またはデフォルトの接続設定を使用します。
7. Junos Pulse クライアントコンポーネントについて、次のオプションボタンの 1 つを選
択します。
•
[All components]—すべての Junos Pulse コンポーネントが含まれ、すべてのアクセス方
法とすべての機能がサポートされます。
•
[No components]—例えば、新しい接続を追加するために、既存の Pulse クライアント構
成を更新します。このオプションは Pulse がすでにインストールされている場合にのみ
機能します。Pulse のインストール中には、このオプションを使用しないでください。
•
[Minimal components]—選択されている接続をサポートする必要があるコンポーネントの
みを含みます。例えば、作成する接続設定が IC もしくは SA 接続を含んでいる場合は、
コンポーネント設定は IC または SA デバイスへの接続に必要なコンポーネントのみを含
みます。デフォルトは [Minimal components] で、選択した接続のために必要なすべての
コンポーネントを提供し、Junos Pulse インストールファイルのサイズを制限します。
注: 最小限のコンポーネントおよび接続していない状態で Pulse を配備しな
いでください。その場合は、Pulse クライアントはどのデバイスにも接続する
ことができず、ユーザーは Pulse クライアントインターフェースから接続を
作成することができません。
注: 選択している Pulse コンポーネントは Web インストールにのみ適用され
ます。コマンドラインオプションを使用して特定のコンポーネントを指定し
ない限りは、事前に構成されたインストーラは、常にすべてのコンポーネント
をインストールします。
30
Copyright © 2011, Juniper Networks, Inc.
第2章: IC シリーズゲートウェイに Junos Pulse を構成する
8. [Save Changes] をクリックします。
9. コンポーネント設定を作成後に、役割経由でクライアントをユーザーに配布します。ユー
ザーが役割にアクセスすると、インストーラは、エンドポイントに自動的にダウンロードさ
れます。インストーラコンポーネントおよび接続が、エンドポイントクライアントに適用
されます。
コンポーネントリストを変更せずに、ある役割のコンポーネント接続に関連付けられてい
るクライアント接続を変更すると、エンドポイントが現在接続中であれば即座に、そうでな
ければ次回の接続で、エンドポイントの既存の構成が置き換えられます。
1 人のユーザーに割り当てられている複数の役割の各々に異なるコンポーネント設定が含ま
れている場合、どのクライアント（コンポーネント設定）を配信すべきかは、エンドポイン
トの役割リストの一番目の役割によって決定されます。
関連項目
•
95ページのJunos Pulse クライアントのインストールの概要
•
97ページの事前構成済みファイルを使用して Junos Pulse クライアントをインストールする
•
31ページのエンドポイントセキュリティの監視と管理
エンドポイントセキュリティの監視と管理
Windows システムにおいて、エンドポイントのオペレーティングシステムのサービスパック、
ソフトウェアバージョン、またはデスクトップアプリケーションのパッチバージョンの適合
性を確認するよう、ホストチェッカーポリシを設定できます。ホストチェッカーは、ホスト
チェッカーポリシで事前定義した規則に対して、ベンダが提供する最新のパッチバージョン
リストを使用します。ホストチェッカーは安全でないパッチをスキャンしません。
IC シリーズデバイスおよびホストチェッカーは、TNC ベースの整合性測定コレクタ（IMC）お
よび整合性測定ベリファイア（IMV）の対応するペア間における情報の流れを管理します。IMC
は、ホスト上で動作するソフトウェアモジュールであり、ウイルス対策、スパイウェア対策、
パッチ管理、ファイアウォールなど、ホストに関する設定やセキュリティの情報を収集します。
IMV は、IC シリーズデバイス上で動作するソフトウェアモジュールであり、ホストの整合性
の特定の側面を確認します。IC シリーズデバイス上の各 IMV は、クライアントエンドポイ
ント上の対応する IMC と連携し、エンドポイントがホストチェッカー規則を満たしていること
を確認します。IMC は、エンドポイントを頻繁にスキャンし、セキュリティステータスに変化
はないかを確認します。例えば、ユーザーがウイルスチェックを解除した場合、IMC がこのこ
とを検出すると、新しい確認作業をトリガして、変更されたシステムがホストチェッカーポリ
シの要件に準拠することを確認します。リモートの IMV サーバー上にインストールされたサー
ドパーティの IMV を使用して、クライアントコンピュータ上にインストールされたサードパー
ティの IMC をホストチェッカーが監視するように設定することができます。
最新のパッチバージョン情報は、Juniper のステージングサイトから入手することができま
す。最新リストは手動でダウンロードして IC シリーズデバイスにインポートすることができ
ます。もしくは、Juniper のステージングサイトや独自のステージングサイトから、指定し
た間隔で自動的にインポートすることも可能です。
監視は、同じポリシ内にはない 1 つ以上の特定の製品または特定のパッチに基づいて行うこと
ができます。例えば、Internet Explorer のバージョン 7 を 1 つのポリシでチェックし、別
のポリシで Patch MSOO-039: SSL Certificate Validation Vulnerabilities を確認すること
Copyright © 2011, Juniper Networks, Inc.
31
Junos Pulse 管理ガイド
ができます。その後、ユーザーが特定パッチの適用された最新バージョンのブラウザを持って
いるようにするため、役割レベルまたは領域レベルで両方のポリシをエンドポイントに適用し
ます。さらに、Microsoft 製品の場合は、無視したいパッチの重大度を指定することができま
す。例えば、低または中程度の脅威を無視することができます。
Junos Pulse を配備する場合は、ホストチェッカーがインストーラに含まれています。役割レ
ベルまたは領域レベルでホストチェッカーを呼び出し、認証を試みるエンドポイントに対して
アクセス要件を指定できます。領域レベルで実施されているホストチェッカーポリシは、ユー
ザーが認証される前に発生します。認証後に役割レベルでのホストチェッカーポリシが実行さ
れますが、それはユーザーが保護されたリソースへのアクセスを許可される前に行われます。
最初にエンドポイントが IC シリーズデバイスに接続する場合は、IMC の最新バージョンがホ
ストコンピュータにダウンロードされます。初期確認には、10 ～ 20 秒かかります。IMC ファ
イルが最新のバージョンでなくなった場合、その後のチェックで自動的にアップデートされま
す。
注: エンドポイントがパッチ評価ポリシのある IC シリーズデバイスへ初回接続す
るときに、その接続がレイヤ 2 接続の場合は、IMC はダウンロードされません。こ
の場合、レイヤ 3 接続を再試行するか、または管理者に連絡するよう指示する指示
メッセージをユーザーに表示するように、修復役割を設定する必要があります。
ホストチェッカーポリシの構成についての詳細は、「Junos Pulse Access Control サービス
管理ガイド」を参照してください。
修復オプション
ホストチェッカーはエンドポイントの問題を識別することができます。しかしながら、ホスト
チェッカーおよび IC シリーズデバイスは、問題を解決することができません。それは非適合
のエンドポイントでの修復タスクを実行することになるからです。これらの問題を修復するた
めに、IC シリーズデバイスは以下の修復オプションをサポートしています。
•
32
ユーザーへの指示—IC シリーズデバイスは、非適合のパッチまたはソフトウェア、さらに
ユーザーが必要なソフトウェアを取得できるリンクを記載したメッセージを送信します。33
ページの図3 にて一般的な Pulse 修復メッセージを示しています。
Copyright © 2011, Juniper Networks, Inc.
第2章: IC シリーズゲートウェイに Junos Pulse を構成する
図 3: Pulse 修復指示
•
SMS/SCCM 修復を開始する—以前はシステム管理マネージャ（SMS）と呼ばれていたシステム
センタ構成マネージャ（ConfigMgr または SCCM）を使用して修復する場合は、エンドポイン
トに事前にインストールされた SMS/SCCM クライアントはホストチェッカーによってトリガ
され、事前に構成された SMS/SCCM サーバーからパッチを取得します。このメカニズムは、
SMS/SCCM サーバーで公開されているこれらのパッチのみをインストールします。
•
Shavlik 修復を開始する—IC シリーズソフトウェア R4.1 およびそれ以後のバージョンが
Shavlik 修復をサポートしています。Shavlik 修復はオプションのライセンス機能です。ホ
ストチェッカーの実行後、エンドポイントに修復が必要な場合、ユーザーは必要なパッチを
インストールするように指示されます。修復オプションを自動的に起動するように設定する
ことができます。Shavlik パッチ実装エンジンはエンドポイントにダウンロードされます。
エンジンはベンダのパッチ保存場所にリンクし、パッチをインストールします。34ページの
図4
Copyright © 2011, Juniper Networks, Inc.
33
Junos Pulse 管理ガイド
図 4: Shavlik パッチ修復の Pulse クライアントスクリーン
34
Copyright © 2011, Juniper Networks, Inc.
第2章: IC シリーズゲートウェイに Junos Pulse を構成する
関連項目
•
35ページの修復メッセージを発行する
•
36ページのSMS/SCCM 修復を使用する
•
37ページのShavlik 修復を使用する
修復メッセージを発行する
ホストチェッカーポリシがエンドポイントが準拠していないことを発見すると、ホストチェッ
カーは Pulse インターフェースにカスタム指示およびエンドポイントの準拠方法についての理
由文字列を記載したメッセージを表示します。エンドポイントが保護されたリソースにアクセ
スできるようになる前に、ユーザーはメッセージに記載されている手順を行わなければなりま
せん。
ホストチェッカーポリシに修復メッセージを指定するには、以下を行います。
1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し
ます。
2. [Policies] セクションで、[New] をクリックして、新しいホストチェッカーポリシを作成
します。
ホストチェッカー規則の設定についての詳細は、「Junos Pulse Access Control サービス
管理ガイド」を参照してください。
3. ホストチェッカーポリシの一部として、[Enable Custom Instructions] を選択します。
このオプションを選択すると、テキストボックスが表示されます。ホストチェッカー修復
ページでユーザーに表示する指示を入力します。テキストをフォーマットして、ポリシサー
バーや Web サイトなどのリソースへのリンクを追加するには、以下のような HTML タグを
使用します。、、 、、および<a href> が使用できます。例：
最新の署名ファイルがありません。
<a href=”www.company.com”>ここをクリックして、最新の署名ファイルをダウンロードし
てください。</a>
4. オプションとして、[Send reason strings] を選択します。ホストチェッカーまたは IMV
によって返され、クライアントコンピュータがホストチェッカーポリシの要件を満たして
いない理由を説明するユーザーに対するメッセージ（理由文字列と呼ばれる）を表示するに
は、このオプションを選択します。理由文字列はユーザーに IMV がクライアントコンピュー
ターでチェックした事項を説明します。このオプションは、事前に定義された規則、カスタ
ム規則、および Juniper Networks TNC SDK のエクステンションを使用するサードパーティ
IMV に適用されます。
5. [Save Changes] をクリックします。
Pulse ユーザーに対して設定した領域または役割でのホストチェッカーポリシを含んでいるこ
とを確認します。
関連項目
•
31ページのエンドポイントセキュリティの監視と管理
•
36ページのSMS/SCCM 修復を使用する
•
37ページのShavlik 修復を使用する
Copyright © 2011, Juniper Networks, Inc.
35
Junos Pulse 管理ガイド
SMS/SCCM 修復を使用する
Junos Pulse は、パッチ配備に SMS/SCCM ダウンロード方式をサポートします。IC シリーズ
デバイスがパッチ配備用に SMS/SCCM 方式を構成している場合は、Pulse クライアントのエン
ドポイントは SMS/SCCM クライアントをすでにインストールしている必要があります。そうで
ない場合は修復は失敗します。
通常、ソフトウェア管理用に SMS/SCCM が設定されたエンドポイントでは、15 分以上の間隔で
更新のためサーバーをポーリングします。最悪のシナリオでは、既存のホストチェッカーソフ
トウェア要件に準拠しないクライアントは、次の更新間隔までログインを待つ必要があります。
SMS/SCCM ダウンロード方式を使用すると、パッチ評価チェック直後にソフトウェア更新を開始
するよう、クライアントに強制できます。ユーザーがログインを試み、ホストチェッカーパッ
チ評価ポリシに準拠するために必要なソフトウェアバージョンがエンドポイントにない場合、
ホストチェッカーは、すぐに更新するためサーバーをポーリングするよう、直ちにクライアン
トに通知します。クライアントは、SMS/SCCM 更新が開始したという通知を受領します。
通知を受けたときに、クライアントを更新するように SMS/SCCM を構成するには、SMS/SCCM で
アドバタイズメント時間を [As soon as possible] に設定します。
クライアントを、SMS/SCCM サーバーの特定のグループまたはコレクションに割り当てると、
サーバーは、そのコレクション用のパッチをアドバタイズできます。コレクションに対応する
役割を IC シリーズデバイスで設定できます。SMS/SCCM は、その役割に適したパッチを送信
できます。
エンドポイント上に SMS/SCCM クライアントを適切にインストール、設定し、SMS/SCCM サー
バーが到達可能でなければなりません。レイヤ 2 ネットワークでは、エンドポイントがネット
ワークに接続される前に、ホストチェッカーが実行されます。ホストチェッカーは、クライア
ントに設定された SMS/SCCM サーバーの IP アドレスを取得できます。エンドポイントが非準
拠になり修復が必要な場合、クライアントを更新するようサーバーに通知できるまで、ホスト
チェッカーは、15 秒ごとにサーバー IP アドレスに ping を送信します。
この機能が有効な場合、予期される動作をユーザーに通知しなければなりません。SMS/SCCM が
アドバタイズメントを返信するまで、ユーザーに通知はありません。
注: Juniper Networks は、いずれかの時点で 1 つのエンドポイントに対して 1 つ
のパッチ配備のみを行うことを推奨します。しかしながら、SMS/SCCM 更新が進行中
かどうかを判断する手段がないので、SMS/SCCM 更新が発生しているのと同時に、
パッチ配備エンジンが開始される可能性もあります。（このことは、Pulse が 2 つ
のデバイスに接続していて、その 1 つが SMS/SCCM 修復を使用し、もう一方が
Shavlik パッチ配備エンジンを使用している場合に起こる可能性があります。）ほ
とんどのパッチは 2 つのインスタンスを実行することを許可していないので、一方
の修復操作は失敗することになります。
管理コンソールでは、すべてのホストチェッカーポリシに対して、1 つのホストチェッカー
パッチ修復オプション（SMS/SCCM または Shavlik のいずれか）のみを選択することを許可し
ています。
36
Copyright © 2011, Juniper Networks, Inc.
第2章: IC シリーズゲートウェイに Junos Pulse を構成する
Pulse が 1 つ以上の IC シリーズまたは SA シリーズデバイスに接続している場合は、一方
は SMS/SCCM 修復を使用し、もう一方は Shavlik 修復を使用し、両方の操作が可能になりま
す。両方のデバイスが Shavlik 修復を使用している場合は、この要求はキューされます。
SMS/SCCM 評価および修復を有効にするには、次の操作を行います。
1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し
ます。
2. [Policies] セクションで、[New] をクリックして、新しいホストチェッカーポリシを作成
します。
ホストチェッカー規則の設定についての詳細は、「Junos Pulse Access Control サービス
管理ガイド」を参照してください。
3. [Patch Remediation Options] で、[SMS/SCCM Patch Deployment] を選択します。
4. [Save Changes] をクリックします。
Pulse ユーザーに対して設定した領域または役割でのホストチェッカーポリシを含んでいるこ
とを確認します。
関連項目
•
31ページのエンドポイントセキュリティの監視と管理
•
35ページの修復メッセージを発行する
•
37ページのShavlik 修復を使用する
Shavlik 修復を使用する
指定のホストチェッカーパッチポリシと準拠していない Junos Pulse R2.0 以上を使用する
エンドポイントは、必要なパッチで更新され、Shavlik パッチ配備エンジンで自動的に準拠す
るようにできます。エンドポイントのホストチェッカー IMC はパッチ配備と連動し、IMV から
報告された欠けているパッチのダウンロードし、インストールを行います。Shavlik ソフトウェ
アはエンドポイントで実行され、ベンダの Web サイトから指定のパッチをダウンロードし、ホ
ストチェッカーポリシで必要なパッチをインストールします。Shavlik は IC シリーズデバ
イスでのオプションのライセンス機能です。
注: Shavlik パッチ監視および配備には、別途のライセンスが必要です。
Shavlik パッチ配備エンジンは IC シリーズデバイスでホストされる実行可能ファイルで、
Pulse 配備の一部としてエンドポイントにダウンロードされます。修復作業中は、配備エンジ
ンはベンダの Web サイトから直接パッチをダウンロードするので、Shavlik 修復にはインター
ネット接続が必要になります。Shavlik パッチ配備エンジンは、レイヤ 3 接続なしではレイヤ
2 で動作しません。
パッチ評価に必要なファイルのすべては、Juniper Networks Customer Support Center ESAP
パッケージにある UAC R4.1 で開始するエンドポイントセキュリティ評価プラグイン（ESAP）
の一部です。デフォルトの ESAP パッケージは必要なパッチ配備ファイルに含まれる UAC R4.1
に付属しています。古い ESAP パッケージは、これらのデバイスで更新する際に失敗します。
Copyright © 2011, Juniper Networks, Inc.
37
Junos Pulse 管理ガイド
ESAP ファイルの更新方法についての詳細は、「Junos Pulse Access Control サービス管理ガ
イド」を参照してください。
パッチ監視対応の IMC および IMV ソフトウェアは下位互換性があります。この機能は、Pulse
R2.0 以降で利用可能なので、新しい Pulse と古い IMV（Pulse サポート付き）との通信、ま
たは新しい IMV と古い IMC との通信が現在と同じ動作で行われます。パッチ評価には変更が
ないので、Shavlik 配備エンジンは修復するために呼び出されません。
注: Juniper Networks は、いずれかの時点で 1 つのエンドポイントに対して 1 つ
のパッチ配備操作のみを行うことを推奨します。しかしながら、SMS/SCCM 更新が進
行中かどうかを判断する手段がないので、SMS/SCCM の更新と同時に、パッチ配備エ
ンジンが開始される可能性もあります。（このことは、Pulse が 2 つのデバイスに
接続していて、その 1 つが SMS/SCCM 修復を使用し、もう一方が Shavlik パッチ
配備エンジンを使用している場合に起こる可能性があります。）ほとんどのパッチ
は 2 つのインスタンスを実行することを許可していないので、一方の修復操作は失
敗することになります。
管理コンソールでは、すべてのホストチェッカーポリシに対して、1 つのホストチェッカー
パッチ修復オプション（SMS/SCCM または Shavlik のいずれか）のみを選択することを許可し
ています。
Pulse が 1 つ以上の IC シリーズまたは SA シリーズデバイスに接続している場合は、一方
は SMS/SCCM 修復を使用し、もう一方は Shavlik 修復を使用し、両方の操作が可能になりま
す。両方のデバイスが Shavlik 修復を使用している場合は、この要求はキューされます。
SMS/SCCM 評価および修復を有効にするには、次の操作を行います。
1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し
ます。
2. [Policies] セクションで、[New] をクリックして、新しいホストチェッカーポリシを作成
します。
ホストチェッカー規則の設定についての詳細は、「Junos Pulse Access Control サービス
管理ガイド」を参照してください。
3. [Patch Remediation Options] で、[Shavlik Patch Deployment] を選択します。
4. ユーザーにパッチ更新のインストールをするか決定することを許可するには、[Prompt the
user for consent before automatic patch deployment] を選択します。
パッチの配備完了には、少し時間がかかります。パッチによってはシステムの再起動が必要
です。
5. ユーザーからパッチのインストールを要求することを許可する場合は、デフォルトアクショ
ンを選択します。ユーザーが 1 分以内に要求への返答をした場合は、デフォルトアクショ
ンは自動的に起動します。次のデフォルトアクションから 1 つを選択します。
•
[Deploy patches]
•
[Do not deploy patches]
6. [Save Changes] をクリックします。
38
Copyright © 2011, Juniper Networks, Inc.
第2章: IC シリーズゲートウェイに Junos Pulse を構成する
関連項目
•
31ページのエンドポイントセキュリティの監視と管理
•
35ページの修復メッセージを発行する
•
36ページのSMS/SCCM 修復を使用する
拡張エンドポイントセキュリティを有効にする
ホストチェッカーには、Windows エンドポイントを検出し修復できる統合スパイウェア対策機
能が含まれています。拡張エンドポイントセキュリティ（EES）は、次のマルウェア、スパイ
ウェア、ウイルス、またはワームが、IC シリーズデバイスへの接続を試みるエンドポイント
に存在しないことを保証します。また、ホストチェッカーポリシの設定によって、これらのエ
ンドポイントを制限または隔離できます。エンドポイントで EES が実行している場合は、Pulse
インターフェースには、EES ステータスを示すセキュリティペインが表示されます。
注: デフォルトでは、基本ライセンスは 2 つの同時のエンドポイントにこの機能を
使用することを可能にします。追加したユーザーにこの機能を有効にするには、別
にライセンスを購入することができます。
EES はエンドポイントでのプロセスのスキャン、ファイルシステムの書き込みと操作の実行の
監視をし、非準拠のコンピュータを自動的に修復することができます。EES は検出された脅威
を報告しますが、修復はしません。場合によっては、準拠を達成するため、ユーザーは、コン
ピュータの再起動を指示される場合があります。
EES は、インターネット上の Web Root Spy Sweeper サーバーからエンドポイントに自動的に
ダウンロードされる署名データベースを使用します。署名データベースは、IC シリーズデバ
イス上でホストされません。EES が正常に動作するには、エンドポイントはインターネットに
アクセスできる必要があります。さらに、デフォルトの修復役割を設定する場合、修復役割に
指定されるエンドポイントは、*.webroot.com にアクセスできなければなりません。
IC シリーズデバイスを設定し、署名データベースの有効期限を決定することができます。デー
タベースの寿命は、ホストチェッカーポリシを渡すことにより、ユーザーがリソースにアクセ
スできるかどうかを決定するために使用されるしきい値です。例えば、署名が作成されてから
5 日目で、寿命を 3 日に設定している場合、ユーザーは、リソースにアクセスできます。寿命
を 4 日に設定していると、エンドポイントは、ホストチェッカーポリシに失敗します。署名
の更新は、定期的に行われるので、エンドポイントは通常は最新の更新状態です。
IC シリーズデバイスへ接続する前に、インターネット接続がエンドポイントで利用できず、
署名の寿命をチェックするオプションを選択している場合、署名が古すぎれば、ポリシに合格
しません。例えば、ユーザーが数日間エンドポイントにアクセスしておらず、署名が最新でな
ければ、エンドポイントは、IC シリーズデバイスにアクセスできません。このことを避ける
ために、*.webroot.com での署名更新用にインターネットへの限定アクセスを許容する、デフォ
ルトの修復役割を作成しなければなりません。
レイヤ 2 での EES スキャン用に設定したエンドポイントは、どれもチェックに失敗します。
ネットワーク接続を許可するには、ユーザーを修復 VLAN に再割り当てする領域を設定しなけ
ればなりません。これによって、エンドポイントのユーザーが必要な署名更新に接続しダウン
ロードできるようになります。または初回接続の場合は、EES はパッケージをインストールし
ます。
Copyright © 2011, Juniper Networks, Inc.
39
Junos Pulse 管理ガイド
複数のポリシが作成されず、ポリシを有効にしたすべての領域と役割で同じポリシが使用され
るよう、[Endpoint Security] > [Host Checker] メインページで EES を設定します。領域ま
たは役割を作成するとき、他のホストチェッカーポリシに加えて EES 制限も有効にできます。
注: エンドポイントに EES ポリシを設定する場合は、ホストチェッカー EES ポリ
シによって保護されているリソースへの最初のアクセス試行では、別の EES インス
トーラ（約 5MB）がエンドポイントにダウンロードされます。ユーザーのエンドポ
イントは問題のあるソフトウェアがあるかをスキャンされ、署名は自動的にインス
トールされます。
ユーザー側
大量のデータがダウンロードされ（インストーラに約 5 MB、署名に約 12 MB）、その後メモリ
スキャンが行われます。インストール後、署名が更新されます。また、メモリスキャンが実行
され、スパイウェアがメモリにロードされていないことを確認します。ダウンロード、更新、
スキャンの完了には、長い時間を必要とします。
脅威が検出されると、自動的にホストチェッカーによって修復され、報告はされません。脅威
が修復できない場合は、エンドポイントからサーバーに報告します。エンドポイントの準拠状
態に応じて、役割とユーザーセッションを調整できます。複数のユーザー文字列で、準拠ス
テータスをユーザーに自動的に通知します。
EES スパイウェア対策を有効にし使用するには、次の操作を行います。
1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し
ます。
2. [Options] で、[Advanced Endpoint Protection: Malware Protection] タブを選択します。
3. [Enable Advanced Endpoint Protection: Malware Protection] チェックボックスを選択
します。
4. 署名定義データベースの寿命を設定するには、[Signature definitions should not be older
than] チェックボックスを選択します。寿命を日数（3～30）で入力します。この数字は、
署名の許容可能な古さを決定します。ここでは、更新の頻度は変更されません。
5. ネットワーク接続の許可後に、バックグラウンドで即座に EES スキャンを有効にするには、
[Install EES and scan endpoints after network connection is established] チェック
ボックスを選択します。
このオプションを選択すると、スキャンが実行される前に、すぐに接続が許可されます。こ
のオプションはユーザーが接続し、すぐに作業を開始できるようにします。しかしながら、
エンドポイントがマルウェアをスキャンする前にネットワークへアクセスすることを許可す
るので、このオプションの安全性は低いものとなります。
6. [Save Changes] をクリックします。
領域またはロールのホストチェッカー制限を作成または設定すると、[Enhanced Endpoint
Security: Malware Protection] を選択して、その役割または領域に適用します。
関連項目
40
•
31ページのエンドポイントセキュリティの監視と管理
•
35ページの修復メッセージを発行する
Copyright © 2011, Juniper Networks, Inc.
第2章: IC シリーズゲートウェイに Junos Pulse を構成する
•
36ページのSMS/SCCM 修復を使用する
•
37ページのShavlik 修復を使用する
同種類のゲートウェイ間で Junos Pulse 構成をプッシュする
Push Configuration 機能は、Junos Pulse 接続、コンポーネント、アップロードされた Junos
Pulse パッケージを中央管理することができます。Push Configuration 機能は、たとえば IC
から IC、または SA から SA のように同種類のゲートウェイ間で、構成設定のすべてまたは一
部を選んでコピーすることができます。
このセクションでは、Push Configuration 機能を使用して Pulse を中央管理する方法につい
て説明します。Push Configuration 機能でゲートウェイのすべての設定を中央管理する完全な
説明については、適切な管理ガイドを参照してください。
以下に構成のプッシュ機能に関する留意点を示します。
•
1 回の操作で 1 つまたは複数のゲートウェイにプッシュできます。1 回のプッシュ操作で最
大 8 つのゲートウェイにプッシュできます。最大 25 のプッシュ操作を同時に実行できま
す。最大ターゲットゲートウェイ数は 200 です。1 つのターゲットゲートウェイへのプッ
シュが失敗すると、操作は次のターゲットに進み、指定されたすべてのターゲットがアップ
デートされるまで続行します。結果ページには、ステータスと処理中に発生した問題が表示
されます。
•
クラスタのメンバゲートウェイへのプッシュは、ターゲットゲートウェイがソースゲート
ウェイと同じクラスタのメンバでなければ可能です。
•
ターゲットゲートウェイは、プッシュされた構成設定を拒絶できます。デフォルトでは、受
け入れます。
•
更新終了後に、ターゲットゲートウェイはサービスを再開します。サービスを再開準備中
に、中断が短時間発生することがあります。したがって、プッシュをターゲットがアイドル
中かこの中断を調整できる時間帯に実行するようお勧めします。
•
ターゲットゲートウェイは、プッシュされた構成の受信時に警告メッセージを発行しませ
ん。
•
ターゲットゲートウェイは、プッシュの処理時に自動的に管理者をログアウトします。
•
ソースとターゲットゲートウェイのビルドバージョンと番号は、同じである必要がありま
す。
•
ソースゲートウェイの管理者アカウントは、人的介入なしでターゲットゲートウェイにサ
インインする必要があります。たとえば、動的信用情報またはマージされていない複数のロー
ルを持つことは、手動による操作を必要とするためできません。
Push Configuration 機能を使用する前に、次の条件に従い、システムを構成する必要がありま
す。
•
.Administrators 役割にマップし、その結果として管理に関して全権を持つ「スーパー管理
者」を作成する必要があります。[Authentication] > [Auth Servers] > [Administrator
Server] > [Users] の設定を変更し、自己に .Administrators 役割を追加します。
Copyright © 2011, Juniper Networks, Inc.
41
Junos Pulse 管理ガイド
•
ターゲットゲートウェイの管理者アカウントは、応答/チャレンジタイプの、認証を使用し
ない静的パスワード認証または 2 要素トークンを使用する必要があります。たとえば、証明
書、Soft ID、Defender 認証はサポートされません。[Administrators] > [Admin Realms] >
[Administrator Realm] > [General] 設定を変更し、管理者領域の正しい認証サーバーを選
択します。
•
ターゲットゲートウェイにサインするために管理者に役割を選択させるように管理者アカウ
ントを設定するのは避けます。例えば、Push Configuration 管理者役割のように、1 つの
ユーザーを複数の役割にマップすると、役割を統合しようとして失敗するので、避けます。
Push Configuration 管理者に特定のアカウントを作成すると、管理者がサインインプロセ
スで役割を選択する必要がないことが保証され、さらにログファイル中で Push Configuration
管理者のアクションが明瞭に区別できるようになるため、この方策をお勧めします。
[Administrators] > [Admin Realms] > [Administrator Realm] > [Role Mapping] 設定を使
用し、適切な役割マッピング規則を設定します。
あるアクセスゲートウェイから同種類のゲートウェイに Junos Pulse 構成をプッシュするに
は、次の操作を行います。
1. まだターゲットを定義してない場合は、[Maintenance] > [Push Config] > [Targets] を選
択して定義します。ターゲットの定義方法の詳細は、適切なゲートウェイの管理ガイドを参
照してください。
2. 管理コンソールで、[Maintenance] > [Push Config] > [Push Configuration] を選択しま
す。
3. [What to push] ボックスで、[Selected configuration] を選択し、構成カテゴリを表示し
ます。
4. リストを下方向に移動し、Junos Pulse ラベルの項目を拡張表示します。
5. [Select All Configurations] チェックボックスを選択し、このゲートウェイのすべての
Junos Pulse 構成をプッシュします。または、以下のカテゴリから、選択しない、すべての
項目、または選択した項目のみ、を選択します。
•
[Junos Pulse Connections]—接続設定と接続
•
[Junos Pulse Components]—コンポーネント設定
•
[Junos Pulse Versions]—ゲートウェイにアップロードされた Pulse パッケージ
6. ターゲットを [Selected Targets] ボックスに追加します。
7. [Push Configuration] をクリックします。
Pulse の自動アップグレードを有効または無効にする
エンドポイントに配備した Junos Pulse クライアントソフトウェアは、自動的に更新されま
す。Pulse クライアントは、サーバーから更新を受信することができます。ゲートウェイで
Pulse ソフトウェアをアップグレードすると、更新されたソフトウェアコンポーネントは、ク
ライアントが次回に接続した時にプッシュされます。
42
Copyright © 2011, Juniper Networks, Inc.
第2章: IC シリーズゲートウェイに Junos Pulse を構成する
注: バインドされているエンドポイントは、バインドしているサーバーから接続設
定オプションと接続を受け取りますが、Pulse クライアントソフトウェアを、自動
アップグレードオプションが有効になっている任意の Pulse サーバーからアップ
グレードさせることができます。ソフトウェアのアップグレード中は、クライアン
トは一時的に接続を失います。
Pulse クライアントソフトウェアのアップグレードは、デフォルトで有効になっています。こ
のアップグレードの動作を変更するには、次の操作を行います。
1. ゲートウェイの管理コンソールで、[Maintenance] > [System] > [Options] を選択します。
2. [Enable automatic upgrade of Junos Pulse Clients] チェックボックスを選択するかク
リアします。
3. [Save Changes] をクリックします。
関連項目
•
43ページのJunos Pulse ソフトウェアをアップグレードする
Junos Pulse ソフトウェアのアップグレード
サポートされる各ゲートウェイのソフトウェアイメージには、Junos Pulse クライアントソ
フトウェアパッケージが含まれています。新しいバージョンの Pulse ソフトウェアが使用可
能になると、それをゲートウェイにアップロードできます。1 つのゲートウェイに 2 つ以上の
Pulse バージョンを置くことができますが、アクティブにできるのは 1 つの Pulse クライア
ントパッケージのみです。新しい Pulse バージョンをアクティブにすると、ゲートウェイの
自動アップグレードオプションが有効にされていれば、接続されている Pulse クライアント
はユーザーに対してアップグレード要求を表示します。ユーザーは、アップグレードのインス
トールを続行するか、キャンセルできます。キャンセルを選択すると、クライアントがサーバー
に接続するたびにアップグレード要求が表示されます。ソフトウェアのアップグレード中は、
Pulse クライアントは一時的に接続を失います。
Copyright © 2011, Juniper Networks, Inc.
43
Junos Pulse 管理ガイド
図 5: Pulse クライアントアップグレードメッセージ
新しい Pulse ソフトウェアパッケージをゲートウェイにアクセスできる場所に配備できたら、
以下の操作で IC シリーズまたは SA シリーズアプライアンスにソフトウェアをアップロード
します。
1. デバイスの管理コンソールで、[Users] > [Junos Pulse] > [Components] を選択します。
2. [Manage Junos Pulse Client Versions] セクションで、[Browse] をクリックし、ソフト
ウェアパッケージを選択します。
3. [Upload] をクリックします。
1 度に 1 つの Junos Pulse ソフトウェアパッケージのみをアクティブにできます。新しい
パッケージのアップロードが済むと、それを有効にする必要があります。
Pulse パッケージをデフォルトとして有効にするには、次の操作を行います。
1. ゲートウェイの管理コンソールで、[Users] > [Junos Pulse] > [Components] を選択しま
す。
2. [Manage Junos Pulse Client Versions] セクションで、選択するバージョンの横のラジオ
ボタンを選択し、[Activate] をクリックします。
関連項目
44
•
82ページのPulse クライアントソフトウェアを WXC シリーズゲートウェイへアップロード
する
•
42ページのPulse の自動アップグレードを有効または無効にする
Copyright © 2011, Juniper Networks, Inc.
第3章
SA シリーズアプライアンスに Junos Pulse
を構成する
•
始める前に 45ページ
•
Junos Pulse および SA シリーズアプライアンスの概要 45ページ
•
Juno Pulse 用の役割を設定する 47ページ
•
クライアント接続設定のオプション 49ページ
•
クライアント接続設定を作成する 53ページ
•
位置認識規則を設定する 54ページ
•
Junos Pulse コンポーネント設定オプション 57ページ
•
クライアントコンポーネント設定を作成する 58ページ
•
エンドポイントセキュリティの監視と管理 59ページ
•
修復メッセージを発行する 63ページ
•
SMS/SCCM 修復を使用する 63ページ
•
Shavlik 修復を使用する 65ページ
•
拡張エンドポイントセキュリティを有効にする 66ページ
•
同種類のゲートウェイ間で Junos Pulse 構成をプッシュする 68ページ
•
Pulse の自動アップグレードを有効または無効にする 70ページ
•
Junos Pulse ソフトウェアのアップグレード 71ページ
始める前に
Junos Pulse の構成を開始する前に、SA シリーズアプライアンスをネットワークに構成して
おく必要があります。また、認証サーバー、サインイン設定、およびその他の認証設定も定義
しておく必要があります。認証設定やホストチェッカー設定は、Pulse のインストールに直に
影響を与えます。これは、保護されているリソースへアクセスが許可されるためにはエンドポ
イントが順守しなければならない条件があり、それを管理者が定義できるためです。詳細につ
いては、「Juniper Networks Secure Access サービス管理ガイド」を参照してください。
Junos Pulse および SA シリーズアプライアンスの概要
管理者は SA シリーズアプライアンスを構成し、さらにそのゲートウェイに Junos Pulse の
設定を構成する必要があります。そうすることで、ユーザーが認証を要求する際に、管理者が
Copyright © 2011, Juniper Networks, Inc.
45
Junos Pulse 管理ガイド
作成した役割マッピングとオプションのセキュリティプロファイルに基づき、役割を割り当て
ることができます。ユーザーとデバイスに特定リソースへのアクセスが許可されるのは、その
領域に対する適切な信用情報を提示でき、適切な役割が割り当てられており、そのエンドポイ
ントがセキュリティ制限を順守している場合に限られます。ユーザーは、管理者が定めたセキュ
リティ制限を順守しないエンドポイントからネットワークへ接続しようとしても、その領域や
役割へアクセスできません。
Pulse を構成するには、Pulse クライアントソフトウェアをどのように配備したいかを決めて
おく必要があります。Pulse を配備するには、次の 1 つまたは複数のオプションを使用できま
す。
•
デフォルトを使用するか、Junos Pulse デフォルトコンポーネント設定とデフォルト接続設
定を変更した後に、ユーザーがゲートウェイのユーザー Web ポータルにログインすることに
より、Pulse をダウンロード、および配信して、ユーザーに役割を割り当てます。インストー
ルが完了すると、ユーザーにはネットワークリソースへアクセスするために必要なすべての
接続が与えられます。
•
エンドポイントが接続性とサービスに必要とする接続を作成し、設定ファイル
（.jnprpreconfig）およびデフォルトの Pulse .msi インストールプログラムをダウンロー
ドします。次に、オプションの設定ファイルで msiexec コマンドを使用して、.msi インス
トールプログラムを実行します。SMS/SCCM のような標準ソフトウェア配布プロセスによっ
て、msiexec コマンドを使用して Pulse を配備することができます。
•
事前構成されていない Junos Pulse を配布します。SA シリーズアプライアンスからデフォ
ルトの Junos Pulse インストールファイルを .msi か .exe 形式でダウンロードし、それ
を管理者の組織の標準的なソフトウェア配布方法でエンドポイントに配布することができま
す。インストーラには事前構成された接続が含まれていないので、ユーザー側で手動でネッ
トワーク接続を定義する必要があります。または、管理者がアクセスゲートウェイごとに動
的接続を作成できます。これらの接続は、ユーザーがゲートウェイのユーザ Web ポータルへ
のログイン信用情報を提示したときに、インストールされた Pulse クライアントに自動的に
ダウンロードされます。
SA シリーズアプライアンスに Junos Pulse を構成する操作を以下に要約します。
•
だれがネットワーク上のどのリソースとアプリケーションにアクセスできるかを制御する、
ユーザー役割を作成して割り当てます。アクセス環境をエージェントレスまたは Network
Connect から変更する場合は、Junos Pulse に特定の役割を新たに作成する必要があります。
•
ホストチェッカーポリシを用いて、エンドポイントのセキュリティ制限を定義します。
•
認証ドメインを確立するには、ユーザー領域を定義します。アクセス環境をエージェントレ
スまたは Network Connect から変更する場合は、通常は既存の領域を使用します。
•
役割マッピングを用いて、役割を適切な領域に関連付けて、アクセス制御階層を定義します。
•
Junos Pulse コンポーネント設定、接続設定、および接続を定義します。
•
Junos Pulse をエンドポイントに配備します。
Junos Pulse および IVS
Windows クライアント対応の Junos Pulse は SA シリーズアプライアンスのインスタント仮
想システム（IVS）と互換性がありません。IVS システムでは、Pulse クライアントの IP アド
レスは、仮想化された IVE 用に定義されたプールからではなく、ルート IVE アドレスプール
46
Copyright © 2011, Juniper Networks, Inc.
第3章: SA シリーズアプライアンスに Junos Pulse を構成する
から使用されます。IVS の詳細については、Juniper Networks Secure Access サービス管理ガ
イドを参照してください。
関連項目
•
47ページのJuno Pulse 用の役割を設定する
•
24ページのクライアント接続設定を作成する
Juno Pulse 用の役割を設定する
ユーザー役割は、セッション設定とオプション、個人用設定（ユーザーインターフェースのカ
スタム化とブックマーク）、有効化対応アクセス機能（Web、ファイル、Telnet/SSH、ターミナ
ルサービス、ネットワーク、ミーティング、E メールアクセス）を定義します。ユーザーロー
ルでは、個々の要求に対するリソースアクセスコントロールまたはその他のリソースベース
のオプションは指定しません。例えば、ユーザー役割は、ユーザーが Web ブラウズを操作でき
るかどうかを定義できます。ただし、アクセスを許可する個々の Web リソースについては、別
の Web リソースポリシで定義します。
以下に、Pulse に適用される役割の設定オプションの手順を示します。役割設定オプションの
詳細については、「Junos Pulse Secure Access サービス管理ガイド」を参照してください。
Junos Pulse エンドポイント用の役割を作成するには、次の操作を行います。
1. 管理コンソールで、[Users] > [User Roles] > [New User Role] を選択します。
2. 役割の名前を入力し、オプションで、説明を入力します。ここに入力した名前は [Roles]
ページの [Roles] リストに表示されます。
3. [Save Changes] をクリックします。[Role] 設定タブが表示されます。
Junos Pulse 用の役割オプションを設定する
役割設定タブのすべてのオプションの説明は、「Junos Pulse Secure Access サービス管理ガ
イド」に記載されています。Junos Pulse での特定の役割オプションは、[Network] タブに存
在します。
Junos Pulse エンドポイントに役割を設定するには、次の操作を行います。
1. 管理コンソールで、[Users] > [User Roles] を選択します。
2. 設定したい役割をクリックしてから、[Network Connection] タブをクリックします。
3. [Client Options] で、[Junos Pulse] を選択します。
4. [Split Tunneling Options] で、次の分割トンネリングオプションを選択します。
•
分割トンネリング—分割トンネリングオプションで、クライアント上のネットワークト
ラフィックの流れを定義することができます。
•
有効にする—Pulse がクライアントのルートを変更すると、企業のイントラネット用の
トラフィックは Pulse（Pulse トンネル）によって作成された仮想アダプタを使用し、
すべての他のトラフィックはローカルの物理アダプタを経由します。
•
無効にする—Pulse セッションが確立した場合、分割トンネリング動作をする可能性の
ある、事前に定義されたローカルサブネットおよびホスト間のルートは削除されます。
Copyright © 2011, Juniper Networks, Inc.
47
Junos Pulse 管理ガイド
クライアントからのすべてのネットワークトラフィックは Pulse トンネルを経由しま
す。分割トンネルが無効になると、VPN セッションがアクティブの場合は、ユーザーは
ローカル LAN リソースにアクセスすることができません。
注: 位置認識動作は、分割トンネリング構成から影響を受けます。例えば、
位置認識規則が物理アダプタで作成されたアドレス解決に依存し、分割トン
ネリングが無効になっている場合は、Pulse が接続を確立後に、その規則は
常に FALSE と解決します。
•
•
ルート優先—ルートテーブルの優先順位を以下のように定義することができます。
•
はい—Pulse 仮想アダプタと関連するルートテーブルが優先されます。Pulse 仮想アダ
プタと物理アダプタ間に競合がある場合は、Pulse は物理インターフェースを優先しま
す。接続が終了すると、Pulse は元のルートを復元します。
•
いいえ—現在の IP ルートを優先します。
ルート監視—Pulse はルートテーブルを監視し、適切なアクションを行います。
•
はい—ルートテーブルに変更が行われた場合、Pulse は接続を終了します。
•
いいえ—ルートテーブルはクライアントのエンドポイントでの変更を許可されます。
5. [Auto Launch Options] で、[Auto-launch] チェックボックスを選択して、エンドポイン
トの起動時に Pulse が自動的にアクティブになるように設定します。
6. [Session scripts] 領域で、必要に応じて次の位置を指定することもできます。
•
Windows :[Session start script]—Junos Pulse が SA シリーズアプライアンスに接続
後に実行する、この役割りに割り当てられたユーザー用のスクリプトを指定します。例え
ば、保護されたリソースで共有するためにエンドポイントにあるネットワークドライブ
をその保護されたリソースへマップするようにスクリプトを指定することができます。
•
Windows :[Session end script]—Junos Pulse が SA シリーズアプライアンスから接続
を切断後に実行する、この役割りに割り当てられたユーザー用のスクリプトを指定しま
す。例えば、マップされているネットワークドライブの接続を切断するようにスクリプ
トを指定できます。開始スクリプトが定義されていない、または開始スクリプトが実行さ
れていない場合は、終了スクリプトは作動しません。
7. [Save Changes] をクリックします。
[Host Checker] オプションでは、ホストチェッカーポリシの有効化、役割に対する 1 つまた
は複数のポリシの選択、選択したホストチェッカーポリシのすべての条件または 1 つの条件
のみをエンドポイントが満たしていることが必要かどうかの指定などができます。エンドポイ
ントのセキュリティ設定を構成する詳細については、「Junos Pulse Access Control サービス
管理ガイド」を参照してください。
48
Copyright © 2011, Juniper Networks, Inc.
第3章: SA シリーズアプライアンスに Junos Pulse を構成する
選択した役割のホストチェッカーを設定するには、次の操作を行います。
1. 選択した役割について、[General] > [Restrictions] > [Host Checker] を選択します。
2. [Allow users whose workstations meet the requirements specified by these Host Checker
policies] チェックボックスを選択します。
3. [Add] をクリックしてホストチェッカーポリシを [Available Policies] リストから
[Selected Policies] リストに移動します。
4. [Allow access to the role...] を選択して、エンドポイントが選択したホストチェッカー
ポリシのどれかに合格する場合にアクセス権を与えます。
5. [Save Changes] をクリックします。
関連項目
•
45ページのJunos Pulse および SA シリーズデバイスの概要
クライアント接続設定のオプション
Junos Pulse クライアント接続設定には、ネットワークオプションが含まれています。これら
のオプションでは、Junos Pulse をサポートするアクセスゲートウェイへのクライアント接続
に対して、特定の接続ポリシを設定できます。50ページの表5 では、接続設定オプションにつ
いて説明します。
Copyright © 2011, Juniper Networks, Inc.
49
Junos Pulse 管理ガイド
表5: Junos Pulse 接続設定用の構成可能なパラメータ
オプション
ログオン情報の保存許可—Junos Pulse クライアントのログオン信用情報ダイアログ
ボックスで、[Save Settings] チェックボックスを使用可能にするかどうかを制御
します。このチェックボックスをクリアすると、Junos Pulse クライアントは、
ユーザーに常に信用情報の提示を求めます。このチェックボックスを選択すると、
ユーザーに信用情報を保存できる選択肢が与えられます。
Junos Pulse クライアントは認識したユーザー設定を保有できます。これらの設定
はエンドポイントに保有され、異なるゲートウェイや方法で接続されるにつれて拡
大していきます。Junos Pulse クライアントは、次の設定を保存できます。
•
証明書の受理
•
証明書の選択
•
領域
•
ユーザー名とパスワード
•
プロキシのユーザー名/パスワード
•
セカンダリユーザー名/パスワード
•
役割
注: 認証サーバーが、ACE サーバーまたはRadius サーバーで、認証が [set to
Users authenticate using tokens] に設定されている場合、Pulse は [Allow saving
logon information] オプションを無視します。ユーザーにユーザー名とトークンの
要求プロンプトが表示されると、[Save settings] チェックボックスは無効になり
ます。Pulse はソフトトークン認証、ハードトークン認証およびスマートカード
認証をサポートします。
ユーザーが設定の保存を選択すると、その情報が、その後の各接続に使用されます。
入力は要求されません。設定が変わると（例えばユーザーがパスワードを変更した
場合）、保存されている設定は無効になり、接続の試行は失敗します。この場合、
ユーザーはクライアントの[Forget Saved Settings] 機能を使用する必要がありま
す。[Forget Saved Settings] 機能は、保存されている情報をすべて消去するため、
Junos Pulse はユーザーの次回の接続試行で、必要な情報を要求します。
ユーザー接続の許可—ユーザーによる接続の追加を制御します。
動的証明書信用—ユーザーが未知の証明書を信頼するかどうかを決定します。この
チェックボックスを有効にすると、ユーザーは無効な証明書に対して発行される警
告を無視して目的のゲートウェイに接続できます。証明書ベースの認証を設定する
詳細については、「Junos Pulse Access Control サービス管理ガイド」または
「Junos Pulse Secure Access サービス管理ガイド」を参照してください。
動的接続—Web ブラウザ経由の新規のサポートされたゲートウェイに遭遇した場合、
新しい接続を自動的に Junos Pulse クライアントへ追加することを許可します。
ワイヤレス抑止—有線接続が利用可能な場合は、ワイヤレスアクセスを無効にしま
す。
有線接続がなくなると、Pulse は、以下のプロパティを設定してワイヤレス接続を
有効にします。
•
ネットワークが中継中でなくても接続する。
•
コンピュータ情報が使用可能ならコンピュータとして認証する。
•
このネットワークが範囲内なら接続する。
注: ワイヤレス抑止を有効にする場合は、クライアントが有線接続で接続するよう
に構成していることも確認します。
50
Copyright © 2011, Juniper Networks, Inc.
第3章: SA シリーズアプライアンスに Junos Pulse を構成する
表5: Junos Pulse 接続設定用の構成可能なパラメータ（続き）
接続設定用の接続を作成するときは、接続タイプを選択します。接続タイプには次のオプションが提供さ
れます。
802.1X オプショ
ン
アダプタタイプ—認証に使用するアダプタのタイプを以下から指定します。有線か
無線（ワイアレス）を指定します。
外部ユーザー名—ユーザーが暗号化されたトンネルを本当のログイン名（内部 IDと
呼ばれます）で通過するときに、匿名でログインしているように表示することを有
効にします。これによって、ユーザー信用情報の盗視が防止され、内部識別名も保
護されます。一般には、デフォルト値である匿名デフォルト値を入力します。場合
により、追加のテキストを追加する必要があります。例えば、ユーザーの認証を外
部識別名でサーバーまでルートする場合、[email protected] のような書式を使う
必要があります。ボックスを空白にしておくと、クライアントはユーザーのログイ
ン名（内部識別名）を外部識別名として通過させます。
スキャンリスト—アダプタタイプにワイヤレスを選択した場合、スキャンリスト
ボックスを利用して、優先順位に従って接続する SSID を指定することが可能です。
802.1X 接続対応
の信頼されるサー
バーリスト
サーバー証明書 DN—サーバー証明書識別名（DN）とその署名をする証明局（CA）を
指定します。DN フィールドを空白のままにすると、選択した CA によって署名され
ているすべてのサーバー証明書をクライアントが承認することを許可します。
IC または SA オ
プション
ユーザーによる接続ポリシの上書きの許可—ユーザーに手動での接続または切断によ
る接続ポリシの上書きを許可します。一般には、このオプションを選択し、ユーザー
があらゆる条件下で接続を確立できるようにします。
[This server]—エンドポイントがこのゲートウェイに接続するかどうかを指定しま
す。
[URL]—別のゲートウェイの URL をデフォルト接続として指定できます。異なるサー
バーの URL を指定して、ネットワーク内の他のゲートウェイの接続を作成します。
ファイアウォール
オプション：
ユーザーによる接続ポリシの上書きの許可—ユーザーに手動での接続または切断によ
る接続ポリシの上書きを許可します。一般には、このオプションを選択し、ユーザー
があらゆる条件下で接続を確立できるようにします。
URL—ファイアウォールの位置を指定します。
WX オプション
ユーザーによる接続ポリシの上書きの許可—ユーザーに手動での接続または切断によ
る接続ポリシの上書きを許可します。一般には、このオプションを選択し、ユーザー
があらゆる条件下で接続を確立できるようにします。
注: アプリケーション高速化を使用する接続は、Kasperskyソフトウェアが Pulse
クライアントエンドポイントにインストールされている場合は、UDP ポート 3578
のトラフィックを許可する構成をしなければなりません。
コミュニティ文字列—コミュニティ文字列によって識別されている同じコミュニティ
に属する場合のみ、Junos Pulse クライアントおよび Application Acceleration
（WXC）ゲートウェイは WAN 最適化のための隣接性を形成することができます。WX
接続の作成時には、その接続のコミュニティ文字列が、Application Acceleration
（WXC）ゲートウェイに定義したコミュニティ文字列と一致することを確認してくだ
さい。
Copyright © 2011, Juniper Networks, Inc.
51
Junos Pulse 管理ガイド
表5: Junos Pulse 接続設定用の構成可能なパラメータ（続き）
IC か SA、またはファイアウォール接続を作成する場合は、位置認識機能を制御する規則を含む接続確立
方法も指定することができます。接続を確立するには、以下のオプションを使用できます。
[Manually by the user]—エンドポイントが開始されると、Junos Pulse クライアン
トソフトウェアが開始しますが、接続は試みません。ユーザーは、Junos Pulse ク
ライアントのユーザーインターフェースを使って接続を選択する必要があります。
[Automatically after user logs on]—エンドポイントが開始し、ユーザーがエンド
ポイントにログオンしたときに、Junos Pulse クライアントソフトウェアが自動的
に接続します。
注: エンドポイントで、自動接続が設定されているすべての接続は、開始時にそれ
ぞれのターゲットネットワークへ接続を試みます。複数の接続を行うことを避ける
ために、位置認識規則を構成しなければなりません。
[According to location awareness rules]—位置認識規則により、条件付きでエン
ドポイントへ接続するようにします。例えば、エンドポイントが社内イントラネッ
トに接続している場合は IC シリーズアプライアンスに接続し、リモート地点にい
る場合は SA シリーズアプライアンスに接続します。
Pulse 接続はエンドポイントにある指定されたインターフェースの IP アドレスを
使用し、そのネットワークの位置を決定します。それぞれの位置認識規則は、以下
の設定を含みます。
•
[Name]—記述名。例：“corporate-DNS”名前には、文字、数字、ハイフン、下線
を含むことができます。
•
[Action]—IP アドレスを見つけるために接続が行う方法次の中から 1 つを選択
します。
•
[DNS Server]—指定のインターフェースのエンドポイントの DNS サーバーが指
定値のうちの 1 つに設定されている場合に、エンドポイントに接続すること
を許可します。IP アドレスまたはアドレス範囲を指定するには、[Condition]
ボックスを使用します。
•
[Resolve Address]—指定されているインターフェースで、[DNS Name] ボック
スで指定されているホスト名が DNS サーバーで解決できる場合は、エンドポ
イントは接続できます。[Address Range] ボックスに 1 つまたは複数のアド
レス範囲が指定されている場合、アドレスはその中の 1 つに解決されて、表
現の条件を満たす必要があります。
•
[Endpoint Address]—指定されているインターフェースの IP アドレスが、[IP
Address Range] ボックスで指定されている範囲の内部にあれば、エンドポイ
ントは接続できます。
注: 否定の位置認識規則を作成するには、最初に肯定状態を作成してから、規則要
件ロジックを使用して、その規則を否定条件として使用します。
関連項目
52
•
45ページのJunos Pulse および SA シリーズデバイスの概要
•
24ページのクライアント接続設定を作成する
Copyright © 2011, Juniper Networks, Inc.
第3章: SA シリーズアプライアンスに Junos Pulse を構成する
クライアント接続設定を作成する
Junos Pulse クライアント構成を作成するには、次の操作を行います。
1. 管理コンソールから [Users] > [Junos Pulse] > [Connections] を選択します。
2. [New] をクリックします。
3. 名前を入力し、必要に応じて、この接続設定の説明を入力します。
注: 接続を作成する前に、接続設定名を入力する必要があります。
4. [Save Changes] をクリックします。
5. メインの [Junos Pulse Connections] ページから、接続設定を選択します。
6. [Options] で、以下のチェックボックスを選択またはクリアします。
•
[Allow saving logon information]
•
[Allow user connections]
•
[Dynamic certificate trust]
•
[Dynamic connections]
•
[Wireless suppression]
7. [Connections] で、[New] をクリックして新しい接続を定義します。
8. 名前を入力し、必要に応じて、この接続の説明を入力します。
9. 接続のタイプを選択します。以下のタイプの 1 つを選択できます。
•
802.1X
•
IC or SA
•
Firewall
•
WX
10. [802.1X] を選択した場合は、以下のチェックボックスに値を入力、選択、またはクリアし
ます。
•
[Adapter type]—有線かワイヤレスを選択します。
•
[Outer username]—外部ユーザー名を入力します。
•
[Scan list]—優先度の順に接続する SSID を入力します。
11. [Save Changes] をクリックします。
12. [IC or SA] タイプを選択した場合は、以下のチェックボックスを選択、またはクリアしま
す。
Copyright © 2011, Juniper Networks, Inc.
53
Junos Pulse 管理ガイド
•
[Allow user to override connection policy]
•
[Connect automatically]
•
[This Server]—この接続は、現在作成しているサーバーの URL を使用します。
•
[URL]—[This Server]— を選択しなかった場合、その接続のサーバーの URL を指定しま
す。
13. [Firewall] を選択した場合には、[Address] ボックスに IP アドレスを入力します。
14. [Options] リストから、次のチェックボックスを選択またはクリアします。
•
[Allow user to override connection policy]
•
[Connect automatically]
•
[URL]—ファイアウォールのネットワークアドレスを入力します。
15. （オプション）位置認識規則を作成して、位置認識を有効にできます。位置認識は、特定の
インターフェースへの接続を強制できます。詳細については、26ページの「「位置認識規則
の設定」」を参照してください。
16. [WX] を選択する場合は、[Connect Automatically] チェックボックスを選択し、クライア
ントがネットワークの Application Acceleration（WXC）ゲートウェイへの隣接関係を自動
形成できるようにします。
注: アプリケーション高速化を使用する接続は、Kasperskyソフトウェアが Pulse
クライアントエンドポイントにインストールされている場合は、UDP ポート
3578 のトラフィックを許可する構成をしなければなりません。
17. クライアント接続設定の作成が済んだら、クライアントコンポーネント設定を作成して、
この接続設定を選択します。
関連項目
•
31ページのエンドポイントセキュリティの監視と管理
位置認識規則を設定する
位置認識機能を使用すると、Pulse クライアントは自己の位置を検出して正しく接続できるよ
うになります。例えば、遠隔地で起動された Pulse クライアントは、自動的に SA シリーズ
アプライアンスに接続します。ところがその同じクライアントが企業のオフィスで起動される
と、自動的に IC シリーズアプライアンスに接続します。
54
Copyright © 2011, Juniper Networks, Inc.
第3章: SA シリーズアプライアンスに Junos Pulse を構成する
注: 位置認識とセッション移行は、ユーザーの接続操作を簡素化する点で類似して
いますが、それを異なる状況下で実現します。位置認識機能では、どこに接続する
かをユーザーの PC ログイン時に、Pulse クライアントが決定します。セッション
移行が発生するのは、ユーザーがログオフする代わりに PC をスタンバイか休止モー
ドに切り替えて、その後に異なるネットワーク環境で PC を開始したときです。位
置認識機能を使用すると、Pulse クライアントは的確に新しいセッションを開始し
ます。セッション移行機能では、Pulse サーバーはインテリジェントに既存のセッ
ションを移行します。
位置認識機能は、管理者が個々の接続に定義する規則に依存します。規則に指定された条件が
真であれば、Pulse は接続を試みます。多数の接続から選別する位置認識規則をセットアップ
するには、位置認識規則を各接続に対して定義する必要があります。各位置認識規則は、指定
されたネットワークインターフェースの IP アドレスに到達できる、または DNS 名を解決す
るエンドポイントの能力に基づきます。
注: 位置認識動作は、分割トンネリング構成から影響を受けます。例えば、位置認
識規則が物理アダプタで作成されたアドレス解決に依存し、分割トンネリングが無
効になっている場合は、Pulse が接続を確立後に、その規則は常に FALSE と解決し
ます。
以下に、位置認識規則の例を 2 つの接続で示します。最初の例は、エンドポイントが企業 LAN
に接続されると TRUE と判定される IC シリーズアプライアンス接続です。その次の例は、エ
ンドポイントの位置がリモートなら TRUE と判定される SA シリーズアプライアンス接続で
す。
IC シリーズアプライアンス接続
エンドポイントの物理ネットワークインターフェースに到達できる DNS サーバーが、管理者の
組織の内部 DNS サーバーの 1 つであれば、接続を確立します。
SA シリーズアプライアンス接続
エンドポイントの物理ネットワークインターフェースに到達できる DNS サーバーが、管理者の
組織の内部 DNS サーバーのどれでもなく、SA シリーズアプライアンスの DNS 名が SA シリー
ズアプライアンスの外部向け IP アドレスに解決される場合は、接続を確立します。
注: 接続を手動か自動に設定でき、または位置認識規則によって制御できます。ユー
ザーがログインすると、Pulse クライアントは、自動接続に設定されているか位置
認識規則で制御される接続リストのすべての接続を試みます。
注: 否定の位置認識規則を作成するには、最初に肯定状態を作成してから、規則要
件ロジックを使用して、その規則を否定条件として使用します。
Copyright © 2011, Juniper Networks, Inc.
55
Junos Pulse 管理ガイド
位置認識規則を設定するには、次の操作を行います。
1. 接続を作成していなければ作成します。または既存の接続を開きます。
Firewall 接続と IC または SA 接続に対して位置認識規則を設定できます。位置認識規則
は、802.1X と WX 接続に適用できません。
2. [Connection is established] 領域で、[According to location awareness rules] を選択
し、[New] をクリックします。
3. 規則の名前を指定します。
4. [Action] リストで、次の 1 つを選択します。
•
•
[DNS server]—エンドポイントのネットワークプロパティに関連付けられている DNS サー
バーが、ある値または一連の値に設定されている（またはされていない）場合は、接続し
ます。[IP address] ボックスの DNS サーバー IP アドレスを指定します。また、以下の
条件を満足すべきネットワークインターフェースも指定します。
•
[Physical]—エンドポイントの物理インターフェースで条件を満足する必要があります。
•
[Junos Pulse]—Junos Pulse が接続を確立する際に作成する仮想インターフェースで条
件を満足する必要があります。
•
[Any]—任意のインターフェースを使用します。
[Resolve address]—構成済みのホスト名または一連のホスト名が、エンドポイントにより
ある特定の IP アドレスに解決される（またはされない）場合に、接続します。[DNS name]
ボックスのホスト名と、[IP address] ボックスの 1 つまたは複数の IP アドレスを指定
します。また、以下の条件を満足すべきネットワークインターフェースも指定します。
注: Pulse クライアントソフトウェアは、ネットワークインターフェースが
変化した時に、IP および DNS ポリシを評価します。DNS ルックアップは、
DNS 構成が変化した時、または特定のホストレコードの生存時間
（time-to-live）値（10 分）が経過したときに発生します。なんらかの理由
により Pulse がホストを解決できない場合は、構成済み DNS サーバーリス
トを 30 秒間隔でポーリングします。過去に正常に解決されたことのあるホス
トであれば、time-to-live（生存時間）タイマの時間が切れるまでポーリング
を続行します。過去に正常に解決されたことのないホストなら、解決する試み
は即座に失敗します。
•
[Endpoint Address]—エンドポイントのネットワークアダプタに、ある範囲または一連の
範囲の内側か外側にある IP アドレスがある場合、接続します。[IP address] ボックス
の 1 つまたは複数の IP アドレスを指定します。また、以下の条件を満足すべきネット
ワークインターフェースも指定します。
5. [Save Changes] をクリックします。
56
Copyright © 2011, Juniper Networks, Inc.
第3章: SA シリーズアプライアンスに Junos Pulse を構成する
1 つまたは複数の規則の作成が済むと、その接続に使用したい各規則を有効にする必要があり
ます。規則の否定形を有効にするには、規則のカスタムバージョンを使用します。位置認識規
則を有効にするには、次の操作を行います。
1. 接続の位置認識規則のリストで、有効にしたい各規則の横のチェックボックスを選択しま
す。
2. 選択した位置認識規則の施行方法については、次のオプションの 1 つを選択します。
•
[All of the above rules]—選択されたすべての位置認識規則が守られる場合にのみ、条
件は TRUE となり、接続を試みます。
•
[Any of the above rules]—選択された位置認識規則のどれかが守られる場合に、条件は
TRUE となり、接続を試みます。
•
[Custom]—選択されたすべての位置認識規則が、[Custom] ボックスで指定されたブール論
理に従い守られる場合にのみ、条件は TRUE となり、接続を試みます。否定の位置認識規
則を指定するには、論理条件式を使用します。例えば、Rule–1 が偽（FALSE）で、Rule–2
が真（TRUE）の場合に、SA シリーズアプライアンスに接続します。この例のカスタム
ボックスでは、ブール論理は次のようになります。NOT Rule-1 AND Rule-2。使用できる
ブール論理演算子は、 AND、OR、NOT と、括弧 () です。
3. [Save Changes] をクリックします。
関連項目
•
87ページのセッション移行の概要
Junos Pulse コンポーネント設定オプション
Junos Pulse コンポーネントには、Pulse 接続性とサービスを提供するソフトウェアコンポー
ネントが含まれています。
コンポーネント設定オプションには、次のオプションがあります。
•
[All components]—すべてのコンポーネントを含みます。拡張エンドポイントセキュリティ
（EES）コンポーネントは、EES ライセンスを購入した場合のみ有効で、ユーザーの割り当て
られた役割によって要求された場合にのみ含まれます。[All components] オプションは、ク
ライアントエンドポイントに対して、すべてのサポートされるゲートウェイに接続可能に
し、アプリケーション高速化の使用を可能にする場合にのみ使用されます。WX コンポーネン
トを含んでいる場合は、Junos Pulse クライアントのインストール用にディスク容量要件を
300 MB に増設します。
•
[No components]—例として、新しい接続を追加するために、既存の Pulse クライアント構成
をアップデートする Pulse 構成設定ファイル（.jnprpreconfig）を事前構成します。このオ
プションは Pulse がすでにインストールされている場合にのみ機能します。Pulse のインス
トール中には、このオプションを使用しないでください。
•
[Minimal components]—選択されている接続をサポートする必要があるコンポーネントのみを
含みます。例えば、作成する接続設定が IC もしくは SA 接続を含んでいる場合は、コンポー
ネント設定は IC または SA デバイスへの接続に必要なコンポーネントのみを含みます。デ
フォルトは [Minimal components] で、選択した接続のために必要なすべてのコンポーネン
トを提供し、Junos Pulse インストールファイルのサイズを制限します。
Copyright © 2011, Juniper Networks, Inc.
57
Junos Pulse 管理ガイド
注: 最小限のコンポーネントおよび接続していない状態で Pulse を配備しないで
ください。その場合は、Pulse クライアントはどのデバイスにも接続することが
できず、ユーザーは Pulse クライアントインターフェースから接続を作成する
ことができません。
注: 選択している Pulse コンポーネントは Web インストールにのみ適用されま
す。コマンドラインオプションを使用して特定のコンポーネントを指定しない
限りは、事前に構成されたインストーラは、常にすべてのコンポーネントをイン
ストールします。
クライアントコンポーネント設定を作成する
クライアントコンポーネントのオプションは、Web ベースのインストールにのみ影響します。
事前に構成されたインストーラの場合は、MSIEXEC コマンドの一部としてコンポーネントを指
定します。クライアントコンポーネント設定を作成するには、次の操作を行います。
1. 管理コンソールから [Users] > [Junos Pulse] > [Components] を選択します。
2. [New] をクリックして、新しいコンポーネント設定を作成します。
3. クライアント接続設定をまだ作成していない場合は、[Users] > [Junos Pulse] >
[Connections] を選択して、新しい接続設定を作成します。または、デフォルトのクライア
ント設定を利用できます。この設定は動的接続を許可し、匿名の外部ユーザー名をサポート
するほか、クライアントは IC または SA シリーズアプライアンスに自動接続できます。
4. クライアントコンポーネント設定の名前を指定します。
5. （オプション）このクライアントコンポーネント設定の説明を入力します。
6. 作成した接続設定を選択するか、またはデフォルトの接続設定を使用します。
7. Junos Pulse クライアントコンポーネントに、次のオプションの 1 つを選択します。
58
•
[All components]—すべての Junos Pulse コンポーネントが含まれ、すべてのアクセス方
法とすべての機能がサポートされます。
•
[No components]—例えば、新しい接続を追加するために、既存の Pulse クライアント構
成を更新します。このオプションは Pulse がすでにインストールされている場合にのみ
機能します。Pulse のインストール中には、このオプションを使用しないでください。
•
[Minimal components]—選択されている接続をサポートする必要があるコンポーネントの
みを含みます。例えば、作成する接続設定が IC もしくは SA 接続を含んでいる場合は、
コンポーネント設定は IC または SA デバイスへの接続に必要なコンポーネントのみを含
みます。デフォルトは [Minimal components] で、選択した接続のために必要なすべての
コンポーネントを提供し、Junos Pulse インストールファイルのサイズを制限します。
Copyright © 2011, Juniper Networks, Inc.
第3章: SA シリーズアプライアンスに Junos Pulse を構成する
注: 最小限のコンポーネントおよび接続していない状態で Pulse を配備しな
いでください。その場合は、Pulse クライアントはどのデバイスにも接続する
ことができず、ユーザーは Pulse クライアントインターフェースから接続を
作成することができません。
注: 選択している Pulse コンポーネントは Web インストールにのみ適用され
ます。コマンドラインオプションを使用して特定のコンポーネントを指定し
ない限りは、事前に構成されたインストーラは、常にすべてのコンポーネント
をインストールします。
8. [Save Changes] をクリックします。
9. コンポーネント設定を作成後に、役割経由でクライアントをユーザーに配布します。ユー
ザーが役割にアクセスすると、インストーラは、エンドポイントに自動的にダウンロードさ
れます。インストーラコンポーネントおよび接続が、エンドポイントクライアントに適用
されます。
コンポーネントリストを変更せずに、ある役割のコンポーネント接続に関連付けられてい
るクライアント接続を変更すると、エンドポイントが現在接続中であれば即座に、そうでな
ければ次回の接続で、エンドポイントの既存の構成が置き換えられます。
1 人のユーザーに割り当てられている複数の役割の各々に異なるコンポーネント設定が含ま
れている場合、どのクライアント（コンポーネント設定）を配信すべきかは、エンドポイン
トの役割リストの一番目の役割によって決定されます。
エンドポイントセキュリティの監視と管理
Windows システムにおいて、エンドポイントのオペレーティングシステムのサービスパック、
ソフトウェアバージョン、またはデスクトップアプリケーションのパッチバージョンの適合
性を確認するよう、ホストチェッカーポリシを設定できます。ホストチェッカーは、ホスト
チェッカーポリシで事前定義した規則に対して、ベンダが提供する最新のパッチバージョン
リストを使用します。ホストチェッカーは安全でないパッチをスキャンしません。
SA シリーズデバイスおよびホストチェッカーは、TNC ベースの整合性測定コレクタ（IMC）お
よび整合性測定ベリファイア（IMV）の対応するペア間における情報の流れを管理します。IMC
は、エンドポイント上で動作するソフトウェアモジュールであり、ウイルス対策、スパイウェ
ア対策、パッチ管理、ファイアウォールなど、ホストに関する設定やセキュリティの情報を収
集します。IMV は、SA シリーズデバイス上で動作するソフトウェアモジュールであり、ホス
トの整合性の特定の側面を確認します。SA シリーズデバイス上の各 IMV は、クライアント
エンドポイント上の対応する IMC と連携し、エンドポイントがホストチェッカー規則を満たし
ていることを確認します。IMC は、エンドポイントを頻繁にスキャンし、セキュリティステー
タスに変化はないかを確認します。例えば、ユーザーがウイルスチェックを解除した場合、IMC
がこのことを検出すると、新しい確認作業をトリガして、変更されたシステムがホストチェッ
カーポリシの要件に準拠することを確認します。リモートの IMV サーバー上にインストール
されたサードパーティの IMV を使用して、クライアントコンピュータ上にインストールされ
たサードパーティの IMC をホストチェッカーが監視するように設定することができます。
Copyright © 2011, Juniper Networks, Inc.
59
Junos Pulse 管理ガイド
最新のパッチバージョン情報は、Juniper のステージングサイトから入手することができま
す。最新リストは手動でダウンロードして SA シリーズデバイスにインポートすることができ
ます。もしくは、Juniper のステージングサイトや独自のステージングサイトから、指定し
た間隔で自動的にインポートすることも可能です。
監視は、同じポリシ内にはない 1 つ以上の特定の製品または特定のパッチに基づいて行うこと
ができます。例えば、Internet Explorer のバージョン 7 を 1 つのポリシでチェックし、別
のポリシで Patch MSOO-039: SSL Certificate Validation Vulnerabilities を確認すること
ができます。その後、ユーザーが特定パッチの適用された最新バージョンのブラウザを持って
いるようにするため、役割レベルまたは領域レベルで両方のポリシをエンドポイントに適用し
ます。さらに、Microsoft 製品の場合は、無視したいパッチの重大度を指定することができま
す。例えば、低または中程度の脅威を無視することができます。
Pulse を配備する場合は、ホストチェッカーがインストーラに含まれています。役割レベルま
たは領域レベルでホストチェッカーを呼び出し、認証を試みるエンドポイントに対してアクセ
ス要件を指定できます。領域レベルで実施されているホストチェッカーポリシは、ユーザーが
認証される前に発生します。認証後に役割レベルでのホストチェッカーポリシが実行されます
が、それはユーザーが保護されたリソースへのアクセスを許可される前に行われます。最初に
エンドポイントが SA シリーズデバイスに接続する場合は、IMC の最新バージョンがホスト
コンピュータにダウンロードされます。初期確認には、10 ～ 20 秒かかります。IMC ファイル
が最新のバージョンでなくなった場合、その後のチェックで自動的に更新されます。
注: エンドポイントがパッチ評価ポリシのある SA シリーズデバイスへ初回接続す
るときに、その接続がレイヤ 2 接続の場合は、IMC はダウンロードされません。こ
の場合、レイヤ 3 接続を再試行するか、または管理者に連絡するように指示する
メッセージをユーザーに表示するために、修復役割を設定する必要があります。
ホストチェッカーポリシの構成についての詳細は、「Junos Pulse Secure Access サービス管
理ガイド」を参照してください。
修復オプション
ホストチェッカーはエンドポイントの問題を識別することができます。しかしながら、ホスト
チェッカーおよび SA シリーズデバイスは、問題を解決することができません。それは非適合
のエンドポイントでの修復タスクを実行することになるからです。これらの問題を修復するた
めに、SA シリーズデバイスは以下の修復オプションをサポートしています。
•
60
ユーザーへの指示—SA シリーズデバイスは、非適合のパッチまたはソフトウェア、さらに
ユーザーが必要なソフトウェアを取得できるリンクを記載したメッセージを送信します。61
ページの図6 にて一般的な Pulse 修復メッセージを示しています。
Copyright © 2011, Juniper Networks, Inc.
第3章: SA シリーズアプライアンスに Junos Pulse を構成する
図 6: Pulse 修復指示
•
SMS/SCCM 修復を開始する—以前はシステム管理マネージャ（SMS）と呼ばれていたシステム
センタ構成マネージャ（ConfigMgr または SCCM）を使用して修復する場合は、エンドポイン
トに事前にインストールされた SMS/SCCM クライアントはホストチェッカーによってトリガ
され、事前に構成された SMS/SCCM サーバーからパッチを取得します。このメカニズムは、
SMS/SCCM サーバーで公開されているこれらのパッチのみをインストールします。
•
Shavlik 修復を開始する—SA シリーズソフトウェア R7.1 およびそれ以後のバージョンが
Shavlik 修復をサポートしています。ホストチェッカーの実行後、エンドポイントに修復が
必要な場合、ユーザーは必要なパッチをインストールするように指示されます。修復オプショ
ンを自動的に起動するように設定することができます。Shavlik パッチ実装エンジンはエン
ドポイントにダウンロードされます。エンジンはベンダのパッチ保存場所にリンクし、パッ
チをインストールします。Shavlik 修復はオプションのライセンス機能です。62ページの図
7
Copyright © 2011, Juniper Networks, Inc.
61
Junos Pulse 管理ガイド
図 7: Shavlik パッチ修復の Pulse クライアントスクリーン
62
Copyright © 2011, Juniper Networks, Inc.
第3章: SA シリーズアプライアンスに Junos Pulse を構成する
関連項目
•
63ページの修復メッセージを発行する
•
63ページのSMS/SCCM 修復を使用する
•
65ページのShavlik 修復を使用する
修復メッセージを発行する
ホストチェッカーポリシがエンドポイントが非準拠であることを発見すると、ホストチェッ
カーは Pulse のクライアントインターフェースにカスタム指示およびエンドポイントの準拠
方法についての理由文字列を記載したメッセージを表示します。エンドポイントが保護された
リソースにアクセスできるようになる前に、ユーザーはメッセージに記載されている手順を行
わなければなりません。
ホストチェッカーポリシに修復メッセージを指定するには、以下を行います。
1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し
ます。
2. [Policies] セクションで、[New] をクリックして、新しいホストチェッカーポリシを作成
します。
ホストチェッカー規則の設定についての詳細は、「Junos Pulse Secure Access サービス管
理ガイド」を参照してください。
3. ホストチェッカーポリシの一部として、[Enable Custom Instructions] を選択します。
このオプションを選択すると、テキストボックスが表示されます。ホストチェッカー修復
ページでユーザーに表示する指示を入力します。テキストをフォーマットして、ポリシサー
バーや Web サイトなどのリソースへのリンクを追加するには、以下のような HTML タグを
使用します。、、 、、および<a href> が使用できます。例：
最新の署名ファイルがありません。
<a href=”www.company.com”>ここをクリックして、最新の署名ファイルをダウンロードし
てください。</a>
4. オプションとして、[Send reason strings] を選択します。ホストチェッカーまたは IMV
によって返され、クライアントコンピュータがホストチェッカーポリシの要件を満たして
いない理由を説明するユーザーに対するメッセージ（理由文字列と呼ばれる）を表示するに
は、このオプションを選択します。理由文字列はユーザーに IMV がクライアントエンドポ
イントでチェックした事項を記載します。このオプションは、事前に定義された規則、カス
タム規則、および Juniper Networks TNC SDK のエクステンションを使用するサードパー
ティ IMV に適用されます。
5. [Save Changes] をクリックします。
Pulse ユーザーに対して設定した領域または役割でのホストチェッカーポリシを含んでいるこ
とを確認します。
SMS/SCCM 修復を使用する
Junos Pulse は、パッチ配備に SMS/SCCM ダウンロード方式をサポートします。SA シリーズ
デバイスがパッチ配備用に SMS/SCCM 方式を構成している場合は、Pulse クライアントのエン
Copyright © 2011, Juniper Networks, Inc.
63
Junos Pulse 管理ガイド
ドポイントは SMS/SCCM クライアントをすでにインストールしている必要があります。そうで
ない場合は修復は失敗します。
通常、ソフトウェア管理用に SMS/SCCM が設定されたエンドポイントでは、15 分以上の間隔で
更新のためサーバーをポーリングします。最悪のシナリオでは、既存のホストチェッカーソフ
トウェア要件に準拠しないクライアントは、次の更新間隔までログインを待つ必要があります。
SMS/SCCM ダウンロード方式を使用すると、パッチ評価チェック直後にソフトウェア更新を開始
するよう、クライアントに強制できます。ユーザーがログインを試み、ホストチェッカーパッ
チ評価ポリシに準拠するために必要なソフトウェアバージョンがエンドポイントにない場合、
ホストチェッカーは、すぐに更新するためサーバーをポーリングするよう、直ちにクライアン
トに通知します。クライアントは、SMS/SCCM 更新が開始したという通知を受領します。
通知を受けたときに、クライアントを更新するように SMS/SCCM を構成するには、SMS/SCCM で
アドバタイズメント時間を [As soon as possible] に設定します。
クライアントを、SMS/SCCM サーバーの特定のグループまたはコレクションに割り当てると、
サーバーは、そのコレクション用のパッチをアドバタイズできます。コレクションに対応する
役割を IC シリーズデバイスで設定できます。SMS/SCCM は、その役割に適したパッチを送信
できます。
エンドポイント上に SMS/SCCM クライアントを適切にインストール、設定し、SMS/SCCM サー
バーが到達可能でなければなりません。レイヤ 2 ネットワークでは、エンドポイントがネット
ワークに接続される前に、ホストチェッカーが実行されます。ホストチェッカーは、クライア
ントに設定された SMS/SCCM サーバーの IP アドレスを取得できます。エンドポイントが非準
拠になり修復が必要な場合、クライアントを更新するようサーバーに通知できるまで、ホスト
チェッカーは、15 秒ごとにサーバー IP アドレスに ping を送信します。
この機能が有効な場合、予期される動作をユーザーに通知しなければなりません。SMS/SCCM が
アドバタイズメントを返信するまで、ユーザーに通知はありません。
注: Juniper Networks は、いずれかの時点で 1 つのエンドポイントに対して 1 つ
のパッチ配備のみを行うことを推奨します。しかしながら、SMS/SCCM の更新が進行
中かどうかを判断する手段がないので、SMS/SCCM 更新が発生しているのと同時に、
パッチ配備エンジンが開始される可能性もあります。（このことは、Pulse が 2 つ
のデバイスに接続していて、その 1 つが SMS/SCCM 修復を使用し、もう一方が
Shavlik パッチ配備エンジンを使用している場合に起こる可能性があります。）ほ
とんどのパッチは 2 つのインスタンスを実行することを許可していないので、一方
の修復操作は失敗することになります。
管理コンソールでは、すべてのホストチェッカーポリシに対して、1 つのホストチェッカー
パッチ修復オプション（SMS/SCCM または Shavlik のいずれか）のみを選択することを許可し
ています。
Pulse が 1 つ以上の IC シリーズまたは SA シリーズデバイスに接続している場合は、一方
は SMS/SCCM 修復を使用し、もう一方は Shavlik 修復を使用し、両方の操作が可能になりま
す。両方のデバイスが Shavlik 修復を使用している場合は、この要求はキューされます。
64
Copyright © 2011, Juniper Networks, Inc.
第3章: SA シリーズアプライアンスに Junos Pulse を構成する
SMS/SCCM 評価および修復を有効にするには、次の操作を行います。
1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し
ます。
2. [Policies] セクションで、[New] をクリックして、新しいホストチェッカーポリシを作成
します。
ホストチェッカー規則の設定についての詳細は、「Junos Pulse Secure Access サービス管
理ガイド」を参照してください。
3. [Patch Remediation Options] で、[SMS/SCCM Patch Deployment] を選択します。
4. [Save Changes] をクリックします。
Pulse ユーザーに対して設定した領域または役割でのホストチェッカーポリシを含んでいるこ
とを確認します。
Shavlik 修復を使用する
指定のホストチェッカーパッチポリシと準拠していない Junos Pulse 2.0 以上のエンドポイ
ントは、必要なパッチで更新され、Shavlik パッチ配備エンジンで自動的に準拠するようにで
きます。エンドポイントのホストチェッカー IMC はパッチ配備と連動し、IMV から報告された
欠けているパッチをダウンロードし、インストールを行います。Shavlik ソフトウェアはエン
ドポイントで実行され、ベンダの Web サイトから指定のパッチをダウンロードし、ホストチェッ
カーポリシで必要なパッチをインストールします。Shavlik は SA シリーズデバイスでのオ
プションのライセンス機能です。
注: Shavlik パッチ監視および配備には、別途のライセンスが必要です。
Shavlik パッチ配備エンジンは SA シリーズデバイスでホストされる実行可能ファイルで、
Pulse 配備の一部としてエンドポイントにダウンロードされます。修復作業中は、配備エンジ
ンはベンダの Web サイトから直接パッチをダウンロードするので、Shavlik 修復にはインター
ネット接続が必要になります。Shavlik パッチ配備エンジンは、レイヤ 3 接続なしではレイヤ
2 で動作しません。
パッチ評価に必要なファイルのすべては、Juniper Networks Customer Support Center ESAP
パッケージにある SA R7.1 で開始するエンドポイントセキュリティ評価プラグイン（ESAP）
の一部です。デフォルトの ESAP パッケージは必要なパッチ配備ファイルに含まれる SA R4.1
に付属しています。古い ESAP パッケージは、これらのデバイスで更新する際に失敗します。
ESAP ファイルの更新方法についての詳細は、「Junos Pulse Secure Access サービス管理ガイ
ド」を参照してください。
パッチ監視対応の IMC および IMV ソフトウェアは下位互換性があります。この機能は、Pulse
R2.0 以降で利用可能なので、新しい Pulse と古い IMV（Pulse サポート付き）との通信、ま
たは新しい IMV と古い IMC との通信が現在と同じ動作で行われます。パッチ評価には変更が
ないので、Shavlik 配備エンジンは修復するために呼び出されません。
Copyright © 2011, Juniper Networks, Inc.
65
Junos Pulse 管理ガイド
注: Juniper Networks は、いずれかの時点で 1 つのエンドポイントに対して 1 つ
のパッチ配備操作のみを行うことを推奨します。しかしながら、SMS/SCCM の更新が
進行中かどうかを判断する手段がないので、SMS/SCCM 更新が発生しているのと同時
に、パッチ配備エンジンが開始される可能性もあります。（このことは、Pulse が
2 つのデバイスに接続していて、その 1 つが SMS/SCCM 修復を使用し、もう一方が
Shavlik パッチ配備エンジンを使用している場合に起こる可能性があります。）ほ
とんどのパッチは 2 つのインスタンスを実行することを許可していないので、一方
の修復操作は失敗することになります。
管理コンソールでは、すべてのホストチェッカーポリシに対して、1 つのホストチェッカー
パッチ修復オプション（SMS/SCCM または Shavlik のいずれか）のみを選択することを許可し
ています。
Pulse が 1 つ以上の IC シリーズまたは SA シリーズデバイスに接続している場合は、一方
は SMS/SCCM 修復を使用し、もう一方は Shavlik 修復を使用し、両方の操作が可能になりま
す。両方のデバイスが Shavlik 修復を使用している場合は、この要求はキューされます。
SMS/SCCM 評価および修復を有効にするには、次の操作を行います。
1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し
ます。
2. [Policies] セクションで、[New] をクリックして、新しいホストチェッカーポリシを作成
します。
ホストチェッカー規則の設定についての詳細は、「Junos Pulse Access Control サービス
管理ガイド」を参照してください。
3. [Patch Remediation Options] で、[Shavlik Patch Deployment] を選択します。
4. ユーザーにパッチ更新のインストールをするか決定することを許可するには、[Prompt the
user for consent before automatic patch deployment] を選択します。
パッチの配備完了には、少し時間がかかります。パッチによってはシステムの再起動が必要
です。
5. ユーザーからパッチのインストールを要求することを許可する場合は、デフォルトアクショ
ンを選択します。ユーザーが 1 分以内に要求への返答をした場合は、デフォルトアクショ
ンは自動的に起動します。次のデフォルトアクションから 1 つを選択します。
•
[Deploy patches]
•
[Do not deploy patches]
6. [Save Changes] をクリックします。
拡張エンドポイントセキュリティを有効にする
ホストチェッカーには、Windows エンドポイントを検出し修復できる統合スパイウェア対策機
能が含まれています。拡張エンドポイントセキュリティ（EES）は、次のマルウェア、スパイ
ウェア、ウイルス、またはワームが、SA シリーズデバイスへの接続を試みるエンドポイント
に存在しないことを保証します。また、ホストチェッカーポリシの設定によって、これらのエ
66
Copyright © 2011, Juniper Networks, Inc.
第3章: SA シリーズアプライアンスに Junos Pulse を構成する
ンドポイントを制限または隔離できます。エンドポイントで EES が実行している場合は、Pulse
インターフェースには、EES ステータスを示すセキュリティペインが表示されます。
注: デフォルトでは、基本ライセンスは 2 つの同時のエンドポイントにこの機能を
使用することを可能にします。追加したユーザーにこの機能を有効にするには、別
にライセンスを購入することができます。
EES はエンドポイントでのプロセスのスキャン、ファイルシステムの書き込みと操作の実行の
監視をし、非準拠のコンピュータを自動的に修復することができます。EES は検出された脅威
を報告しますが、修復はしません。場合によっては、準拠を達成するため、ユーザーは、コン
ピュータの再起動を指示される場合があります。
EES は、インターネット上の Web Root Spy Sweeper サーバーからエンドポイントに自動的に
ダウンロードされる署名データベースを使用します。署名データベースは、IC シリーズデバ
イス上でホストされません。EES が正常に動作するには、エンドポイントはインターネットに
アクセスできる必要があります。さらに、デフォルトの修復役割を設定する場合、修復役割に
指定されるエンドポイントは、*.webroot.com にアクセスできなければなりません。
SA シリーズデバイスを設定し、署名データベースの有効期限を決定することができます。デー
タベースの寿命は、ホストチェッカーポリシを渡すことにより、ユーザーがリソースにアクセ
スできるかどうかを決定するために使用されるしきい値です。例えば、署名が作成されてから
5 日目で、寿命を 3 日に設定している場合、ユーザーは、リソースにアクセスできます。寿命
を 4 日に設定していると、エンドポイントは、ホストチェッカーポリシに失敗します。署名
の更新は、定期的に行われるので、エンドポイントは通常は最新の更新状態です。
SA シリーズデバイスへ接続する前に、インターネット接続がエンドポイントで利用できず、
署名の寿命をチェックするオプションを選択している場合、署名が古すぎれば、ポリシに合格
しません。例えば、ユーザーが数日間エンドポイントにアクセスしておらず、署名が最新でな
ければ、エンドポイントは、SA シリーズデバイスにアクセスできません。このことを避ける
ために、*.webroot.com での署名更新用にインターネットへの限定アクセスを許容する、デフォ
ルトの修復役割を作成しなければなりません。
レイヤ 2 での EES スキャン用に設定したエンドポイントは、どれもチェックに失敗します。
ネットワーク接続を許可するには、ユーザーを修復 VLAN に再割り当てする領域を設定しなけ
ればなりません。これによって、エンドポイントのユーザーが必要な署名アップデートに接続
しダウンロードできるようになります。または初回接続の場合は、EES はパッケージをインス
トールします。
複数のポリシが作成されず、ポリシを有効にしたすべての領域と役割で同じポリシが使用され
るよう、[Endpoint Security] > [Host Checker] メインページで EES を設定します。領域ま
たは役割を作成するとき、他のホストチェッカーポリシに加えて EES 制限も有効にできます。
注: エンドポイントに EES ポリシを設定する場合は、ホストチェッカー EES ポリ
シによって保護されているリソースへの最初のアクセス試行では、別の EES インス
トーラ（約 5 MB）がエンドポイントにダウンロードされます。ユーザーのエンドポ
イントは問題のあるソフトウェアがあるかをスキャンされ、署名は自動的にインス
トールされます。
Copyright © 2011, Juniper Networks, Inc.
67
Junos Pulse 管理ガイド
ユーザー側
大量のデータがダウンロードされ（インストーラに約 5 MB、署名に約 12 MB）、その後メモリ
スキャンが行われます。インストール後、署名が更新されます。また、メモリスキャンが実行
され、スパイウェアがメモリにロードされていないことを確認します。ダウンロード、更新、
スキャンの完了には、長い時間を必要とします。
脅威が検出されると、自動的にホストチェッカーによって修復され、報告はされません。脅威
が修復できない場合は、エンドポイントからサーバーに報告します。エンドポイントの準拠状
態に応じて、役割とユーザーセッションを調整できます。複数のユーザー文字列で、準拠ス
テータスをユーザーに自動的に通知します。
EES スパイウェア対策を有効にし使用するには、次の操作を行います。
1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し
ます。
2. [Options] で、[Advanced Endpoint Protection: Malware Protection] タブを選択します。
3. [Enable Advanced Endpoint Security: Malware Protection] チェックボックスを選択し
ます。
4. 署名定義データベースの寿命を設定するには、[Signature definitions should not be older
than] チェックボックスを選択します。寿命を日数（3～30）で入力します。この数字は、
署名の許容可能な古さを決定します。ここでは、更新の頻度は変更されません。
5. ネットワーク接続の許可後に、バックグラウンドで即座に EES スキャンを有効にするには、
[Install EES and scan endpoints after network connection is established] チェック
ボックスを選択します。
このオプションを選択すると、スキャンが実行される前に、すぐに接続が許可されます。こ
のオプションはユーザーが接続し、すぐに作業を開始できるようにします。しかしながら、
エンドポイントがマルウェアをスキャンする前にネットワークへアクセスすることを許可す
るので、このオプションの安全性は低いものとなります。
6. [Save Changes] をクリックします。
領域またはロールのホストチェッカー制限を作成または設定すると、[Enhanced Endpoint
Security: Malware Protection] を選択して、その役割または領域に適用します。
関連項目
•
63ページの修復メッセージを発行する
•
63ページのSMS/SCCM 修復を使用する
•
65ページのShavlik 修復を使用する
同種類のゲートウェイ間で Junos Pulse 構成をプッシュする
Push Configuration 機能は、Junos Pulse 接続、コンポーネント、アップロードされた Junos
Pulse パッケージを中央管理することができます。Push Configuration 機能は、たとえば IC
から IC、または SA から SA のように同種類のゲートウェイ間で、構成設定のすべてまたは一
部を選んでコピーすることができます。
68
Copyright © 2011, Juniper Networks, Inc.
第3章: SA シリーズアプライアンスに Junos Pulse を構成する
このセクションでは、Push Configuration 機能を使用して Pulse を中央管理する方法につい
て説明します。Push Configuration 機能でゲートウェイのすべての設定を中央管理する完全な
説明については、適切な管理ガイドを参照してください。
以下に構成のプッシュ機能に関する留意点を示します。
•
1 回の操作で 1 つまたは複数のゲートウェイにプッシュできます。1 回のプッシュ操作で最
大 8 つのゲートウェイにプッシュできます。最大 25 のプッシュ操作を同時に実行できま
す。最大ターゲットゲートウェイ数は 200 です。1 つのターゲットゲートウェイへのプッ
シュが失敗すると、操作は次のターゲットに進み、指定されたすべてのターゲットがアップ
デートされるまで続行します。結果ページには、ステータスと処理中に発生した問題が表示
されます。
•
クラスタのメンバゲートウェイへのプッシュは、ターゲットゲートウェイがソースゲート
ウェイと同じクラスタのメンバでなければ可能です。
•
ターゲットゲートウェイは、プッシュされた構成設定を拒絶できます。デフォルトでは、受
け入れます。
•
更新終了後に、ターゲットゲートウェイはサービスを再開します。サービスを再開準備中
に、中断が短時間発生することがあります。したがって、プッシュをターゲットがアイドル
中かこの中断を調整できる時間帯に実行するようお勧めします。
•
ターゲットゲートウェイは、プッシュされた構成の受信時に警告メッセージを発行しませ
ん。
•
ターゲットゲートウェイは、プッシュの処理時に自動的に管理者をログアウトします。
•
ソースとターゲットゲートウェイのビルドバージョンと番号は、同じである必要がありま
す。
•
ソースゲートウェイの管理者アカウントは、人的介入なしでターゲットゲートウェイにサ
インインする必要があります。たとえば、動的信用情報またはマージされていない複数のロー
ルを持つことは、手動による操作を必要とするためできません。
Push Configuration 機能を使用する前に、次の条件に従い、システムを構成する必要がありま
す。
•
.Administrators 役割にマップし、その結果として管理に関して全権を持つ「スーパー管理
者」を作成する必要があります。[Authentication] > [Auth Servers] > [Administrator
Server] > [Users] の設定を変更し、自己に .Administrators 役割を追加します。
•
ターゲットゲートウェイの管理者アカウントは、応答/チャレンジタイプの、認証を使用し
ない静的パスワード認証または 2 要素トークンを使用する必要があります。たとえば、証明
書、Soft ID、Defender 認証はサポートされません。[Administrators] > [Admin Realms] >
[Administrator Realm] > [General] 設定を変更し、管理者領域の正しい認証サーバーを選
択します。
•
ターゲットゲートウェイにサインするために管理者に役割を選択させるように管理者アカウ
ントを設定するのは避けます。例えば、Push Configuration 管理者役割のように、1 つの
ユーザーを複数の役割にマップすると、役割を統合しようとして失敗するので、避けます。
Push Configuration 管理者に特定のアカウントを作成すると、管理者がサインインプロセ
スで役割を選択する必要がないことが保証され、さらにログファイル中で Push Configuration
管理者のアクションが明瞭に区別できるようになるため、この方策をお勧めします。
Copyright © 2011, Juniper Networks, Inc.
69
Junos Pulse 管理ガイド
[Administrators] > [Admin Realms] > [Administrator Realm] > [Role Mapping] 設定を使
用し、適切な役割マッピング規則を設定します。
あるアクセスゲートウェイから同種類のゲートウェイに Junos Pulse 構成をプッシュするに
は、次の操作を行います。
1. まだターゲットを定義してない場合は、[Maintenance] > [Push Config] > [Targets] を選
択して定義します。ターゲットの定義方法の詳細は、適切なゲートウェイの管理ガイドを参
照してください。
2. 管理コンソールで、[Maintenance] > [Push Config] > [Push Configuration] を選択しま
す。
3. [What to push] ボックスで、[Selected configuration] を選択し、構成カテゴリを表示し
ます。
4. リストを下方向に移動し、Junos Pulse ラベルの項目を拡張表示します。
5. [Select All Configurations] チェックボックスを選択し、このゲートウェイのすべての
Junos Pulse 構成をプッシュします。または、以下のカテゴリから、選択しない、すべての
項目、または選択した項目のみ、を選択します。
•
[Junos Pulse Connections]—接続設定と接続
•
[Junos Pulse Components]—コンポーネント設定
•
[Junos Pulse Versions]—ゲートウェイにアップロードされた Pulse パッケージ
6. ターゲットを [Selected Targets] ボックスに追加します。
7. [Push Configuration] をクリックします。
Pulse の自動アップグレードを有効または無効にする
エンドポイントに配備した Junos Pulse クライアントソフトウェアは、自動的に更新されま
す。Pulse クライアントは、サーバーから更新を受信することができます。ゲートウェイで
Pulse ソフトウェアをアップグレードすると、更新されたソフトウェアコンポーネントは、ク
ライアントが次回に接続した時にプッシュされます。
注: バインドされているエンドポイントは、バインドしているサーバーから接続設
定オプションと接続を受け取りますが、Pulse クライアントソフトウェアを、自動
アップグレードオプションが有効になっている任意の Pulse サーバーからアップ
グレードさせることができます。ソフトウェアのアップグレード中は、クライアン
トは一時的に接続を失います。
Pulse クライアントソフトウェアのアップグレードは、デフォルトで有効になっています。こ
のアップグレードの動作を変更するには、次の操作を行います。
1. ゲートウェイの管理コンソールで、[Maintenance] > [System] > [Options] を選択します。
2. [Enable automatic upgrade of Junos Pulse Clients] チェックボックスを選択するかク
リアします。
70
Copyright © 2011, Juniper Networks, Inc.
第3章: SA シリーズアプライアンスに Junos Pulse を構成する
3. [Save Changes] をクリックします。
関連項目
•
43ページのJunos Pulse ソフトウェアをアップグレードする
Junos Pulse ソフトウェアのアップグレード
サポートされる各ゲートウェイのソフトウェアイメージには、Junos Pulse クライアントソ
フトウェアパッケージが含まれています。新しいバージョンの Pulse ソフトウェアが使用可
能になると、それをゲートウェイにアップロードできます。1 つのゲートウェイに 2 つ以上の
Pulse バージョンを置くことができますが、アクティブにできるのは 1 つの Pulse クライア
ントパッケージのみです。新しい Pulse バージョンをアクティブにすると、ゲートウェイの
自動アップグレードオプションが有効にされていれば、接続されている Pulse クライアント
はユーザーに対してアップグレード要求を表示します。ユーザーは、アップグレードのインス
トールを続行するか、キャンセルできます。キャンセルを選択すると、クライアントがサーバー
に接続するたびにアップグレード要求が表示されます。ソフトウェアのアップグレード中は、
Pulse クライアントは一時的に接続を失います。
図 8: Pulse クライアントアップグレードメッセージ
新しい Pulse ソフトウェアパッケージをゲートウェイにアクセスできる場所に配備できたら、
以下の操作で IC シリーズまたは SA シリーズアプライアンスにソフトウェアをアップロード
します。
1. デバイスの管理コンソールで、[Users] > [Junos Pulse] > [Components] を選択します。
2. [Manage Junos Pulse Client Versions] セクションで、[Browse] をクリックし、ソフト
ウェアパッケージを選択します。
3. [Upload] をクリックします。
1 度に 1 つの Junos Pulse ソフトウェアパッケージのみをアクティブにできます。新しい
パッケージのアップロードが済むと、それを有効にする必要があります。
Copyright © 2011, Juniper Networks, Inc.
71
Junos Pulse 管理ガイド
Pulse パッケージをデフォルトとして有効にするには、次の操作を行います。
1. ゲートウェイの管理コンソールで、[Users] > [Junos Pulse] > [Components] を選択しま
す。
2. [Manage Junos Pulse Client Versions] セクションで、選択するバージョンの横のラジオ
ボタンを選択し、[Activate] をクリックします。
関連項目
72
•
82ページのPulse クライアントソフトウェアを WXC シリーズゲートウェイへアップロード
する
•
42ページのPulse の自動アップグレードを有効または無効にする
Copyright © 2011, Juniper Networks, Inc.
第4章
SRX シリーズゲートウェイに Junos Pulse
を構成する
•
Junos Pulse および SRX シリーズゲートウェイ 73ページ
•
動的 VPN 構成概要 74ページ
Junos Pulse および SRX シリーズゲートウェイ
Junos Pulse は、Junos OS リリース 10.2 以降で動作する SRX シリーズゲートウェイへの、
仮想プライベートネットワーク（VPN）トンネル接続をサポートします。Junos Pulse クライ
アント用のファイアウォールアクセス環境を構成するには、SRX シリーズゲートウェイに VPN
設定を構成し、Junos Pulse クライアントのファイアウォール接続を作成し、配備する必要が
あります。
注: モバイルデバイス用の Junos Pulse は SA シリーズアプライアンスにアクセ
スのみ可能です。モバイルデバイス対応 Pulse については、111ページの「モバイ
ルデバイス対応 Junos Pulse」を参照してください。
Junos OS リリース 10.x で作動している SRX シリーズゲートウェイは Junos Pulse クライ
アントソフトウェアを配備できません。構成と配備のオプションには、次があります。
•
SA シリーズもしくは IC シリーズアプライアンスのある環境には、SRX シリーズゲート
ウェイのターゲット URL を使用する Firewall タイプの接続を作成します。次に、ユーザー
は、IC シリーズもしくは SA シリーズアプライアンスの Web ポータルにログインすること
によって、Junos Pulse クライアントソフトウェアと接続構成をインストールし、Junos
Pulse をインストールする役割を割り当てられることができます。このインストールが済む
と、エンドポイントに Junos Pulse クライアントソフトウェアと、SRX シリーズサービス
ゲートウェイへ接続するために必要な接続情報が整ったことになります。
•
デフォルトの Junos Pulse ソフトウェアパッケージをインストールしてから、ユーザー側
で SRX シリーズゲートウェイをポイントする新しい接続を作成してもらいます。Junos Pulse
クライアントソフトウェアは、次からダウンロードできます。
http://www.juniper.net/customers/csc/software/
SRX シリーズゲートウェイは、Juniper Networks Access Manager と呼ばれる旧バージョンの
アクセスクライアントをサポートします。Junos Pulse をエンドポイントに配備する前に、
Access Manager をアンインストールする必要があります。Pulse インストールプログラムは
Copyright © 2011, Juniper Networks, Inc.
73
Junos Pulse 管理ガイド
Access Manager があるかを確認します。存在する場合は、Pulse をインストールする前に
Access Manager をアンインストールするよう指示するメッセージをユーザーに表示します。
動的 VPN 構成概要
動的 VPN は管理者に Juniper Networks デバイスのゲートウェイへの IPsec アクセスを提供
します。
次の手順では、動的 VPN を構成するためのタスクを示しています。これらのトピックについて
の詳細は、JUNOS© ソフトウェア説明書を参照してください。
1. リモートクライアンへの認証およびアドレス割り当てを構成するには、次の操作を行いま
す。
a. XAuth プロファイルを構成することによって、ユーザーを認証し、アドレスを割り当て
ます。ローカル認証または外部 RADIUS サーバーを使用することができます。[edit
access] 階層レベルにある [profile] 構成ステートメントを使用して、XAuth プロファ
イルを構成します。
Web 認証用に XAuth プロファイルを使用するには、[edit access firewall-authentication]
階層レベルにある[web-authentication] 構成ステートメントを使用します。
b. ローカル認証が使用される場合は、ローカルアクセスプールの IP アドレスを割り当
てます。[edit access] 階層レベルの [address-assignment pool] 構成ステートメントを
使用します。IP アドレスのサブネットまたは範囲を指定することができます。DNS およ
び WINS サーバーの IP アドレスも指定します。
2. VPN トンネルの設定をするには、次の操作を行います。
a. IKE ポリシを設定します。モードはアグレッシブでなければなりません。基本、互換性、
または標準プロポーザル設定を使用することができます。フェーズ 1 認証では、事前共
有鍵のみがサポートされます。[edit security ike] 階層レベルの [policy] 構成ステー
トメントを使用します。
b. IKE ゲートウェイを設定します。共有 IKE ID またはグループ IKE ID のいずれも使用
することができます。ゲートウェイへの最大数の同時接続を設定することができます。
[edit security ike] 階層レベルの [gateway] 構成ステートメントを使用します。
c. IPsec VPN を設定します。[edit security ipsec] 階層レベルの [policy] 構成ステート
メントで、基本、互換性、標準のプロポーザル設定を指定することができます。[edit
security ipsec] 階層レベルにある [vpn] 構成ステートメントを使用して、IPsec ゲー
トウェイおよびポリシを構成します。
d. セキュリティポリシを設定すると、リモートクライアントから IKE ゲートウェイへの
トラフィックを許可します。[edit security policies from-zone zone to-zone zone] 階
層レベルの [policy] 構成ステートメントを使用します。
注: このセキュリティポリシの配置は重要です。VPN トンネル経由で送信さ
れるためのトラフィックが正確に処理されるように、さらに具体的な非 VPN
ポリシよりもセキュリティポリシを上に配置しなければなりません。
74
Copyright © 2011, Juniper Networks, Inc.
第4章: SRX シリーズゲートウェイに Junos Pulse を構成する
e. ホストへのインバウンドトラフィックを構成すると、そのインターフェースに接続する
システムのデバイスに到達するために、特定のトラフィックを許可します。例として、
IKE および HTTPS トラフィックは許可されなければなりません。
f. （オプション）クライアントのアドレスプールがデバイスに直接接続されているサブ
ネットに属している場合は、デバイスは同じゾーンにある他のデバイスのプールにある
アドレスへの ARP 要求に応答する必要があります。[edit security nat] 階層レベルの
[proxy-arp] 構成ステートメントを使用します。サブネットをプールにあるアドレスおよ
びデバイスに直接接続するインターフェースを指定します。
3. リモートクライアントと動的 VPN を関連付けるには、次の操作を行います。
a. 動的 VPN で使用するアクセスプロファイルを指定します。[edit security dynamic-vpn]
階層レベルの [access-profile] 構成ステートメントを使用します。
b. 動的 VPN を使用することができるクライアントを設定する。保護されたリソース（保護
されたリソースへのトラフィックは、指定された動的 VPN トンネルを通過し、そのため
ファイアウォールのセキュリティポリシで保護されている）または保護されたリソース
リストでの例外（トラフィックは動的 VPN トンネルを通過せず、クリアテキストで送信
される）を指定します。これらのオプションは、トンネルが使用可能な場合に、クライ
アントにプッシュされるルートを制御します。そのため、トンネル経由で送信されるト
ラフックを制御します。[edit security dynamic-vpn] 階層レベルの [clients] 構成ス
テートメントを使用します。
関連項目
•
95ページのJunos Pulse クライアントのインストールの概要
Copyright © 2011, Juniper Networks, Inc.
75
Junos Pulse 管理ガイド
76
Copyright © 2011, Juniper Networks, Inc.
第5章
WXC シリーズゲートウェイに Junos Pulse
を構成する
この章では、WXC アプリケーションアクセラレーションゲートウェイから Junos Pulse をイ
ンストールして管理する方法について説明します。
•
Junos Pulse クライアントをインストールする 77ページ
•
ソフトウェア、構成、およびポリシを管理する 79ページ
Junos Pulse クライアントをインストールする
モバイルユーザーとリモート Windows ユーザーは、Junos Pulse クライアントをインストー
ルすることによってアプリケーション高速化のメリットを享受できます。Pulse クライアント
は、クライアントシステムとリモート WXC シリーズゲートウェイ間のトラフィックを高速化
します。WXC シリーズゲートウェイと Pulse クライアントは、互いに相手を自動検出して、
ユーザーの介入なしでトラフィックの高速化を開始します。
注: Junos Pulse は、他のクライアントのゲートウェイとして機能する 1 つの
Windows システムではなく、各 Windows クライアントにインストールする必要があ
ります。
Junos Pulse クライアントは次のようにインストールします。
•
WXC シリーズゲートウェイから Junos Pulse クライアントをダウンロードする 77ページ
•
SA シリーズアプライアンスから Junos Pulse クライアントをダウンロードする 78ページ
•
Junos Pulse クライアントをアンインストールする 79ページ
WXC シリーズゲートウェイから Junos Pulse クライアントをダウンロードする
Junos Pulse クライアントは、クライアントライセンスを有する JWOS 6.1 を実行している
WXC シリーズゲートウェイのいずれからもダウンロードできます。ライセンスがある場合は、
WXC シリーズゲートウェイの Web インターフェースのタスクバーに [Junos Pulse] のセレク
ションが表示されます。
Pulse クライアントソフトウェアをダウンロードする前に、ユーザーは以下を行う必要があり
ます。
Copyright © 2011, Juniper Networks, Inc.
77
Junos Pulse 管理ガイド
•
Pulse クライアントダウンロードが有効化されているかを確認します (「79ページの「WXC
シリーズゲートウェイから Pulse クライアントダウンロードを有効化する」」を参照して
ください)。
•
Pulse クライアント構成を指定します (「82ページの「WXC シリーズゲートウェイで Pulse
クライアント構成を定義する」」を参照してください)。
WXC シリーズゲートウェイから Windows 7、Windows Vista、または Windows XP を起動して
いるコンピューターに Pulse クライアントをダウンロードするには、次の操作を行います。
1. WX クライアントがインストールされている場合は、[Start] > [All Programs] > [Juniper
Networks] > [WX Client] > [Uninstall] を選択して、WX をアンインストールします。 WX
クライアントは JWOS 6.0 のみをサポートしているので、Pulse クライアントとは準拠して
いません。
2. 次の URL をサポートされている Web ブラウザに入力します。
https://WXC IP address/client
3. 必要に応じてユーザー名とパスワードを入力し、[Login] をクリックします。
4. [Install Now] を選択し、必要に応じて [Security Warning] ダイアログボックスで
[Install] をクリックします。以下にご注意ください。
•
Windows ファイアウォールが有効化されている場合、クライアントに外部接続を許可する
ようメッセージが表示されたときに [Unblock] をクリックします。
•
Network Connect クライアントを停止するようメッセージが表示されたら、[OK] をクリッ
クし、Junos Pulse クライアントがインストールされた後で Network Connect クライア
ントを再起動します。
インストールが完了したら Junos Pulse クライアントが自動的に開始し、Junos Pulse ア
イコンが Windows デスクトップの右下隅のシステムトレイに表示されます。リモート WXC
ゲートウェイが発見されると、アプリケーション高速化が自動的に開始します。他に設定す
る必要はありません。
SA シリーズアプライアンスから Junos Pulse クライアントをダウンロードする
ユーザーが SA シリーズアプライアンスへアクセスした時に、Junos Pulse クライアントを自
動的にダウンロードしインストールすることができます。バージョン 6.5 あるいは 6.3 の SA
シリーズアプライアンスでは、まず Junos Pulse クライアントを WXC シリーズゲートウェ
イからエクスポートし、SA シリーズアプライアンスにアップロードする必要があります (「83
ページの「WXC シリーズゲートウェイから Pulse クライアントを配布する」」を参照してく
ださい)。バージョン 7.0（あるいはそれ以降）の SA シリーズアプライアンスは Junos Pulse
クライアントを含むため、WXC シリーズゲートウェイからクライアントをエクスポートする必
要はありません。
SA シリーズアプライアンスから Junos Pulse クライアントをダウンロードするには、次の操
作を行います。
1. Windows 7、Windows Vista、あるいは Windows XP を起動しているコンピュータから、対応
している Web ブラウザに SA シリーズアプライアンスの URL を入力します。例：
https://wx-sa.juniper.net
78
Copyright © 2011, Juniper Networks, Inc.
第5章: WXC シリーズゲートウェイに Junos Pulse を構成する
[Loading Components] ページが表示されます。Junos Pulse クライアントインストーラの
ダウンロード用にホストチェッカーウィンドウが開き、続いて Junos Pulse クライアント
ウィンドウがクライアントのダウンロードとインストール用に開きます。以下にご注意くだ
さい。
•
Windows ファイアウォールが有効化されている場合、Junos Pulse クライアントに外部接
続を許可するようメッセージが表示されたら[Unblock] をクリックします。
•
Network Connect クライアントを停止するようメッセージが表示されたら、[OK] をクリッ
クし、Junos Pulse クライアントがインストールされた後で Network Connect クライア
ントを再起動します。
•
ホストチェッカーあるいは Junos Pulse クライアントのインストールが不適切であった
ことを示すメッセージが表示されたら、インストールを完了させるために[Try Again] を
クリックします。
インストールが完了すると、Junos Pulse クライアントが自動的に開始します。クライアン
トを手動で開始するには、システムトレイの Junos Pulse アイコンをダブルクリックしま
す。リモート WXC シリーズゲートウェイが発見されたら、アプリケーション高速化が自動
的に開始します。他に設定する必要はありません。
Junos Pulse クライアントをアンインストールする
Junos Pulse クライアントソフトウェアをアンインストールするには、[Start] > [All
Programs] > [Juniper Networks] > [Junos Pulse] > [Uninstall] を選択するか、以下のプロ
グラムを実行します (必要に応じて C: を Windows がインストールされているドライブに変更
します)：
C:\Program Files\Juniper Networks\Junos Pulse\Uninstall.exe
ソフトウェア、構成、およびポリシを管理する
以下の項では、Pulse クライアントを管理する方法を説明します。
•
WXC シリーズゲートウェイから Junos Pulse クライアントダウンロードを有効化す
る 79ページ
•
WXC シリーズゲートウェイで Junos Pulse クライアント隣接関係を有効化する 80ページ
•
WXC シリーズゲートウェイで Junos Pulse クライアントポリシを構成する 80ページ
•
WXC シリーズゲートウェイで Junos Pulse クライアントのステータスを表示する 81ページ
•
WXC シリーズゲートウェイで Junos Puls クライアント構成を定義する 82ページ
•
WXC シリーズゲートウェイで Junos Pulse クライアント構成を表示する 82ページ
•
Junos Pulse クライアントソフトウェアを WXC シリーズゲートウェイへアップロードす
る 82ページ
•
WXC シリーズゲートウェイから Junos Pulse クライアントを配布する 83ページ
WXC シリーズゲートウェイから Junos Pulse クライアントダウンロードを有効化する
Windows ユーザーは、JWOS 6.1 以降を実行しておりクライアントダウンロードが有効化され
ている WXC シリーズゲートウェイから、Pulse クライアントソフトウェアをダウンロードし
Copyright © 2011, Juniper Networks, Inc.
79
Junos Pulse 管理ガイド
イントールできます。オプションで、ユーザーがクライアントソフトウェアをダウンロードす
る前にユーザーにログインを要求することも可能です。
クライアントソフトウェアのダウンロードを有効化するには、次の操作を行います。
1. [Junos Pulse] > [Setup] > [Pulse Software Download] を選択します。
2. 表示された Pulse ソフトウェアのバージョンが正しいかを確認します。より最新のバージョ
ンが利用可能な場合、それを WXC シリーズゲートウェイにアップロードする必要がありま
す (「82ページの「Pulse クライアントソフトウェアを WXC シリーズゲートウェイにアッ
プロードする」」を参照してください)。
3. [Allow Pulse software download] を選択して、ユーザーによるクライアントソフトウェ
アのダウンロードを許可します。
4. [Require user authentication] を選択してユーザーにログインを要求し、必要なユーザー
名とパスワードを指定します。
5. [Submit] をクリックして変更内容を確定します。
6. 次回再起動したときのために変更内容を維持するには、タスクバーの [Save] をクリックし
ます。
WXC シリーズゲートウェイで Junos Pulse クライアント隣接関係を有効化する
デフォルトでは、JWOS 6.1（あるいはそれ以降）を実行している WXC シリーズゲートウェイ
は、Pulse クライアントソフトウェアの対応バージョンを実行しているすべてのクライアント
で、隣接関係を形成することができます。隣接関係が確立されるとトラフィックが高速化され
ます。クライアント隣接関係はいつでも無効化あるいは有効化できます。隣接関係が手動で無
効化される (あるいは何らかの理由で切断される) と、隣接関係を再確立するのに約 30 秒要
します。
注: アプリケーション高速化を使用する接続は、Kasperskyソフトウェアが Pulse
エンドポイントにインストールされている場合は、UDP ポート 3578 のトラフィッ
クを許可する構成をしなければなりません。
Junos Pulse クライアントで隣接関係を有効化あるいは無効化するには、次の操作を行います。
1. [Junos Pulse] > [Setup] > [Pulse Adjacency] を選択します。
2. [Allow adjacency with Pulse clients] を選択して WXC が Junos Pulse クライアントと
隣接関係を形成するのを有効化します。チェックボックスを外した場合、現在の隣接関係
すべてが無効化され、クライアントのトラフィックの流れがすべてリセットされます。
3. [Submit] をクリックして変更内容を確定します。
4. 次回再起動したときのために変更内容を維持するには、タスクバーの [Save] をクリックし
ます。
WXC シリーズゲートウェイで Junos Pulse クライアントポリシを構成する
現在隣接する（接続している）各クライアント、あるいは前回 WXC シリーズゲートウェイが
再開された後で隣接関係にある各クライアントに対し、圧縮および高速化サービスを構成でき
80
Copyright © 2011, Juniper Networks, Inc.
第5章: WXC シリーズゲートウェイに Junos Pulse を構成する
ます。隣接関係が確立されると、ローカルアプリケーションポリシが、そのクライアントに
送信されたトラフィックに適用されます。
クライアントに対しデフォルト構成を定義するには「82ページの「「WXC シリーズゲートウェ
イで Pulse クライアント構成を定義する」」を参照してください。
Pulse クライアントポリシを構成するには、次の操作を行います。
1. [Junos Pulse] > [Policies] を選択します。
2. 該当するクライアントの横にあるサービスのチェックボックスを選択することによって、1
つ以上のクライアントに対しサービスを有効化します。すべてのクライアントに対してサー
ビスを有効化あるいは無効化するには、リストの下にある [Select All/Clear] チェック
ボックスを選択するか、チェックを外します。
3. 変更内容を有効にするには [Submit] をクリックします。破棄するには [Reset] をクリッ
クします。
4. 次回再起動したときのために変更内容を維持するには、タスクバーの [Save] をクリックし
ます。
WXC シリーズゲートウェイで Junos Pulse クライアントのステータスを表示する
各 Pulse クライアントの接続ステータスや、ローカル WXC シリーズゲートウェイと各リモー
ト Pulse クライアント間の各サービスのステータスを、表示することができます。クライアン
ト一覧には、隣接関係にある（接続されている）クライアントと、接続待ちのすべてのクライ
アント、あるいは前回 WXC が再起動された後からアクティブになったクライアントすべてが含
まれます。アクティブでない隣接関係は 15 分後に接続解除されます。
Junos Pulse クライアントのステータスを表示するには、次の操作を行います。
1. [Junos Pulse] > [Status] を選択します。
2. ステータスアイコンを確認します。
アイコン
説明
Junos Pulse クライアントが隣接しています (接続済)。
Junos Pulse クライアントが接続されていない、接続待ちの状態である、あるい
は接続中か接続解除中です。
サービスは正常に機能しています。
ローカル WXC シリーズゲートウェイでサービスが有効化されていません。サー
ビスを有効化するには「80ページの「WXC シリーズゲートウェイで Pulse クラ
イアントポリシを構成する」」を参照してください。
問題がある場合、あるいはローカル WXC シリーズゲートウェイでサービスが有
効化されているが Pulse クライアント上で無効化されている。
Copyright © 2011, Juniper Networks, Inc.
81
Junos Pulse 管理ガイド
WXC シリーズゲートウェイで Junos Puls クライアント構成を定義する
ユーザーが Pulse クライアントソフトウェアをダウンロードすると、クライアントの構成が
含まれます。クライアント構成を現在の WXC 構成ファイル (startup.cfg) から生成するか、
ローカルディスク、FTP サーバー、あるいは TFTP サーバーからカスタマイズされた構成ファ
イルをロードする必要があります。
現在のクライアント構成を表示するには「82ページの「WXC シリーズゲートウェイで Pulse
クライアント構成を表示する」」をご覧ください。
1. [Junos Pulse] > [Admin] > [Load Pulse Configuration] を選択します。
クライアント構成と最後に更新された時間がページの上部に示されます。クライアント構成
が定義されていない場合は [Not Available] が表示されます。
2. 次の中から 1 つを選択します。
構成ファイルを生成する
[startup.cfg] ファイルに保存されている現在の WXC 構成に基づいて、クラ
イアント構成を生成します。
ローカルディスク
ネットワーク内のパソコンでパスとファイル名を指定するか、[Browse] をク
リックして構成ファイルを選択します。
TFTP サーバー
TFTP サーバーの IP アドレスと、サーバー上のパスとファイル名を
[/juniper/client_config.cfg] のように指定します。
FTP サーバー
FTP サーバーの IP アドレスと、サーバー上のパスとファイル名を
[/juniper/client_config.cfg] のように指定します。FTP サーバーが匿名ユー
ザーのアクセスを受け付けない場合、サーバーに対し読み取り/書き込み権限
を有するアカウントのユーザー名とパスワードを入力します。
3. [Load] をクリックしてクライアント構成を更新します。
WXC シリーズゲートウェイで Junos Pulse クライアント構成を表示する
Pulse クライアントにダウンロードされたデフォルト構成を、Web インタフェースを介して見
ることができます。WXC シリーズゲートウェイから Pulse クライアント構成を生成する場合、
クライアント構成にはゲートウェイ構成からの CLI コマンドのサブセットが含まれます。
クライアント構成を表示するには、次の操作を行います。
1. [Junos Pulse] > [Admin] > [Display Pulse Configuration] を選択します。
2. クライアント構成を表示します。構成内の CLI コマンドの詳細については、「JWOS コマン
ド参照ガイド」を参照してください。
Junos Pulse クライアントソフトウェアを WXC シリーズゲートウェイへアップロードする
Pulse クライアントソフトウェアの新しいバージョンが利用可能になった場合、ユーザー用に
ダウンロード可能になる前、あるいは配布用にエクスポート可能になる前に、WXC シリーズ
ゲートウェイにアップロードする必要があります。Pulse クライアントソフトウェアは、ロー
カルディスクあるいは FTP または TFTP サーバーからロードできます。
82
Copyright © 2011, Juniper Networks, Inc.
第5章: WXC シリーズゲートウェイに Junos Pulse を構成する
Pulse クライアントソフトウェアの新しいバージョンをアップロードするには次の操作を行い
ます。
1. [Junos Pulse] > [Admin] > [Load Pulse Software] を選択します。
2. ページの一番上に表示されたクライアントのバージョンを上書きしてよいか確認します。
3. 以下のいずれかを選択して、新しい Pulse のバージョンのロケーションを指定します。
ローカルディスク
ネットワーク内のコンピュータでパスとファイル名を指定するか、[Browse]
をクリックしてクライアントソフトウェアファイルを選択します。
TFTP サーバー
TFTP サーバーの IP アドレスと、サーバー上のパスおよびファイル名を指定
します。
FTP サーバー
FTP サーバーの IP アドレスと、サーバー上のパスおよびファイル名を指定
します。FTP サーバーが匿名ユーザーのアクセスを受け付けない場合、サー
バー上で読み取り/書き込み権限を有するアカウントのユーザー名とパスワー
ドを入力します。
4. [Load] をクリックして Junos Pulse クライアントソフトウェアを更新します。
WXC シリーズゲートウェイから Junos Pulse クライアントを配布する
WXC シリーズゲートウェイから Pulse クライアントをダウンロードすることをユーザーに許
可することに加え、以下のいずれかの方法でクライアントを配布することも可能です。
•
Juniper Networks SA シリーズ SSL VPN アプライアンス—ユーザーが SA シリーズアプライ
アンスへアクセスする場合は、Junos Pulse クライアントは、自動的にダウンロードされ、
インストールされます。バージョン 6.5 あるいは 6.3 の SA シリーズアプライアンスで
は、Pulse クライアントソフトウェアパッケージを WXC シリーズゲートウェイからエク
スポートし、その後そのパッケージを SA シリーズアプライアンスにアップロードする必要
があります。バージョン 7.0 以降の SA シリーズアプライアンスは Pulse クライアントを
含むため、WXC ゲートウェイからクライアントをエクスポートする必要はありません。SA シ
リーズアプライアンスの Junos Pulse 構成情報は、「Junos Pulse 管理ガイド」と「Junos
Pulse Secure Access サービス管理ガイド」の両方に含まれています。
•
Microsoft システム管理サーバー（SMS）または Microsoft システムセンタ構成マネージャ
（SCCM）—Windows インストーラファイルに含まれるクライアント構成をエクスポートする
ことにより、SMS/SCCM 経由で Junos Pulse クライアントを配布することができます。
SA シリーズアプライアンスから Pulse クライアントを配布する
以下の手順に従って、Junos Pulse クライアントをバージョン 6.5 あるいは 6.3 の SA シリー
ズアプライアンスから配布できます。バージョン 7.0 以降の SA シリーズアプライアンスで
Pulse クライアントを配布するには、「Junos Pulse 管理ガイド」または「Junos Pulse Secure
Access 管理ガイド」を参照してください。
1. Junos Pulse クライアント構成をロードあるいは生成します (「82ページの「「WXC シリー
ズゲートウェイで Pulse クライアント構成を定義する」」を参照してください)。
2. [Junos Pulse] > [Admin] > [Export Pulse Software] を選択します。
Copyright © 2011, Juniper Networks, Inc.
83
Junos Pulse 管理ガイド
3. SA シリーズアプライアンスにインストールするクライアントソフトウェアパッケージを
エクスポートします。
a. ホストチェッカーが Junos Pulse クライアントをインストールし開始するよう、[Create
Host Checker package for use with SA] を選択します。クライアントに障害が生じる
か、手動でクライアントが停止された場合、自動的に再開されません。
b. [Export]、続いて [OK] をクリックして、ローカルフォルダあるいは共有ファイルに
[.zip] ファイルを保存します。
4. SA シリーズアプライアンスに、エクスポートしたソフトウェアパッケージをアップロー
ドします。
a. SA シリーズアプライアンスの管理コンソールに管理者としてログインし、
[Authentication] > [Endpoint Security] > [Host Checker] を選択します。
b. [Perform check every X minutes] と [Client-side process, login inactivity timeout]
が 10 分以上に設定され、タイムアウト間隔がチェック間隔よりも長く設定されていな
いことを確認します。
c. [New 3rd Party Policy] を選択し、ポリシ名を指定して、エクスポートされた Junos
Pulse クライアントソフトウェアパッケージをポリシファイルとして選択します。
d. [Save Changes] をクリックします。
e. [Users] > [User Realms] > [Select Realm] > [Authentication Policy] > [Host
Checker] を選択します。表示された Junos Pulse クライアントポリシに対し、[Evaluate
Policies] および [Require and Enforce] チェックボックスの両方を選択します。
f. [Save Changes] をクリックしてホストチェッカーポリシを保存します。
SMS/SCCM を介して Pulse クライアントを配布する
SMS/SCCM を使って Junos Pulse クライアントを配布するには、WXC シリーズゲートウェイか
らクライアント構成をエクスポートして、Windows インストーラファイルにあるデフォルトの
クライアント構成の替わりに使用する必要があります。
Junos Pulse クライアント SMS を介して配布するには、次の操作を行います。
1. WXC シリーズゲートウェイからクライアント構成をエクスポートするには、次の操作を行
います。
a. [Junos Pulse] > [Admin] > [Export Pulse Software] を選択します。
b. [Download Configuration for MSI package] を選択します。
c. [Export] をクリックして、ローカルフォルダあるいは共有ファイルに [Config_All.ini]
ファイルを保存します。
2. Junos Pulse クライアントソフトウェアの Windows インストーラバージョン (a .msi
file) を、InstallShield 2008 が搭載されたコンピュータにダウンロードします。このソ
フトウェアは http://www.juniper.net/customers/support からダウンロードできます。
3. InstallShield でダウンロードされたファイルを開き、[Installation Designer] タブを選
択します。
84
Copyright © 2011, Juniper Networks, Inc.
第5章: WXC シリーズゲートウェイに Junos Pulse を構成する
4. 左のペインで [Organization] > [Components] を選択し、中央のペインにある最初のコン
ポーネントフォルダを開きます。
5. 中央のペインで [Files] サブフォルダを選択し、右ペインに表示されている [Config_All.ini]
ファイルを右クリックして [Delete] を選択します。
6. [Files] サブフォルダを右クリックして [Add] を選択します。
7. WXC からエクスポートした [Config_All.ini] ファイルを探して [Open] をクリックします。
8. [In a new CAB file] ファイルを選択し、[Stream the new CAB file into the Windows
Installer package] チェックボックスを選択して、[OK] をクリックします。
9. [Save] をクリックして変更内容を保存します。
Copyright © 2011, Juniper Networks, Inc.
85
Junos Pulse 管理ガイド
86
Copyright © 2011, Juniper Networks, Inc.
第6章
セッション移行
•
セッション移行の概要 87ページ
•
タスクサマリー:セッション移行を構成する 90ページ
•
Pulse クライアント用にセッション移行を構成する 91ページ
•
セッション移行用に IF-MAP 連携型ネットワークを構成する 91ページ
セッション移行の概要
2 つ以上の Juniper Networks ゲートウェイ (IC シリーズゲートウェイおよび SA シリーズ
ゲートウェイ) においてセッション移行を有効にした場合、別途認証を提供することなく、Junos
Pulse エンドポイントをあるロケーションから別のロケーションに移行して異なるアクセス
ゲートウェイに接続できます。例えば、ユーザーは自宅で SA シリーズゲートウェイ経由で接
続し、職場に移動してから IC シリーズゲートウェイ経由で再認証なしに接続できます。セッ
ション移行が有効化されていない場合、Pulse ユーザーは、別のゲートウェイ経由でネットワー
クにアクセス試行をするたびに再認証する必要があります。
同じ IF-MAP サーバーを使うか相互に複製された IF-MAP サーバーを使い、同じ IF-MAP 連携
型ネットワークに存在する IC シリーズゲートウェイと SA シリーズゲートウェイ間でセッ
ションを移行できます。
ゲートウェイが存在する認証グループも同じでなければなりません。認証グループは、認証領
域を介して構成されます。認証グループは文字列で、一般的な使用のために定義します。認証
グループを使い、同じような認証方式の領域をまとめることができます。例えば、SecurID 認
証用にある認証グループを指定し、AD 用に別の認証グループを指定するということです。1 つ
の単一ゲートウェイを、領域ごとに異なる認証グループで、複数の認証グループに所属させる
ことができます。
ユーザーが認証を行う IC シリーズあるいは SA シリーズゲートウェイは、IF-MAP サーバー
にセッション情報を発行します。連携型ネットワーク内の他の IF-MAP クライアントはその情
報を使用して、ユーザーへの追加の認証なしでアクセスを許可します。
ユーザーセッションが別のゲートウェイに移行されると、移行ゲートウェイが IF-MAP サー
バーに新しいセッション情報を発行します。セッションは移行ゲートウェイと関連付けられま
す。IF-MAP サーバーは認証ゲートウェイに通知し、認証ゲートウェイから存在していたセッ
ションの情報が削除され、IF-MAP サーバーには移行ゲートウェイからのセッション情報のみが
残ります。認証ゲートウェイはそのローカルセッションテーブルからセッションについての
情報を削除し、ユーザーライセンス数が減らされます。
Copyright © 2011, Juniper Networks, Inc.
87
Junos Pulse 管理ガイド
セッションが移行されると、その属性が領域にしたがって役割マッピングを実施します。標準
の役割マッピング規則がユーザーのアクセス能力を決定します。ユーザー属性はセッションが
移行された際にインポートできます。あるいは移行されたユーザーセッションについて属性を
検索するよう、専用ディレクトリサーバーを構成できます。セッション移行でユーザーセッ
ションが保持されるよう、ホストチェッカーポリシを必要としない限定アクセス修復役割を構
成します。この役割は、エンドポイントが休止あるいはスリープ状態であるときにホストチェッ
カーのタイムアウト値を超えてしまう可能性があるために、必要となります。新しい修復役割
ではユーザーのセッションが保持されます。
移行されたセッションが適用される役割あるいは領域に追加のホストチェッカーポリシが構成
された場合、それらのポリシは、役割あるいは領域へのアクセスをユーザーに許可する前に実
施されます。異なるゲートウェイの管理者は、ホストチェッカーポリシがエンドポイントの互
換性を考慮に入れ適切に設定されているか確認する必要があります。
移行アクセスゲートウェイの [Active Users] ログに新しいセッションが表示され、セッショ
ン継続時間に対するライセンス数が増やされます。
88ページの図9 は Pulse のセッション移行の有効化におけるタスクの流れを示しています。
図 9: Pulse セッション移行の要件
88
Copyright © 2011, Juniper Networks, Inc.
第6章: セッション移行
セッション移行およびセッションタイムアウト
認証サーバー上でのセッションタイムアウトは移行セッションには適用されません。その代わ
りに、セッション開始時間が適用されます。インバウンドサーバーは、元のサーバーの元の
セッションの開始時間を使ってセッションタイムアウトを判断します。
セッション移行が有効化されているエンドポイントをユーザーが再起動すると、サーバー上で
セッションが短時間保持されます。IC シリーズゲートウェイのセッションでは、ハートビー
トタイムアウトが期限切れになるまでセッションが保持されます。SA シリーズゲートウェイ
のセッションでは、セッションが保持される時間はアイドルタイムアウトによって決まりま
す。
IC シリーズあるいは SA シリーズゲートウェイに接続しているエンドポイントが再起動され、
ユーザーがまだサインアウトしていない場合、エンドポイントの再起動後にユーザーが同じア
クセスゲートウェイに接続を試みたとき、以前のセッションがまだアクティブであれば Pulse
はユーザーの信用情報を要求することなく以前のセッションを再開します。
セッション移行のしくみ
セッション移行はサーバーを連携させるのに IF-MAP 連携を使用します。
セッションが確立されると、認証ゲートウェイはセッション ID を含むセッション情報を IF-MAP
サーバーに発行します。セッション ID も Pulse クライアントに送信されます。
Pulse クライアントが同じ認証グループの移行ゲートウェイに接続すると、Pulse クライアン
トは移行ゲートウェイにセッション ID を送信します。移行ゲートウェイはセッション ID を
使い、IF-MAP サーバーのセッション情報を検索します。セッション情報が有効な場合、移行
ゲートウェイはセッション ID を使って Pulse クライアントが実行しているエンドポイントの
ローカルセッションを確立します。
ユーザーセッションが移行したことを IF-MAP サーバーが認証ゲートウェイに通知し、認証
ゲートウェイは IF-MAP サーバーからセッション情報を削除します。
セッション移行とセッション寿命
セッション移行はユーザーに最大限の柔軟性とモビリティを提供するよう設計されています。
ユーザーはもはやオフィスに縛られることはありません。仕事場がユーザーとともに移動し、
オンラインバンキングなどの雑用も仕事場で済ますことが可能です。この柔軟性により、ユー
ザーはアクティブセッションの有効期限が切れても長期間パソコンから離れることができま
す。セッション移行には、ユーザーが IC シリーズあるいは SA シリーズゲートウェイでアク
ティブなセッションを保持している必要があります。
ユーザーがコンピュータから離れているときにユーザーセッションがタイムアウトにならない
よう、セッション寿命を調整することが可能です。セッション寿命はゲートウェイで、管理コ
ンソールの [Users] > [User Roles] > [Role Name] >[ General] > [Session Options] ページで
調整できます。
認証サーバーに関するサポート
セッション移行は、インバウンド側の認証サーバーによってある程度動作が異なります。
Copyright © 2011, Juniper Networks, Inc.
89
Junos Pulse 管理ガイド
認証サーバーに関するサポートの概要は次の通りです。
•
ローカル認証サーバー—ローカル認証サーバーでユーザー名が有効な場合、移行が成功しま
す。
•
LDAP サーバー—LDAP 認証サーバーがユーザー名を識別名（DN）に解決できる場合、移行が成
功します。
•
NIS サーバー—NIS 認証サーバーが NIS 認証サーバー上でユーザー名を見つけることができ
る場合、移行が成功します。
•
ACE サーバー—移行は常に成功します。
•
RADIUS サーバー—移行は常に成功します。[Lookup Attributes using Directory Server] を
選択すると、ユーザーコンテキストデータに属性は存在しません。
•
アクティブディレクトリ—移行は常に成功します。ディレクトリサーバーオプションを使っ
たルックアップ属性は、ご使用の構成によって機能しない可能性があります。
•
匿名セッションが認証されないため、移行セッションはサポートされません。
•
Siteminder—Siteminder SSO が使用されるため、移行セッションはサポートされません。
•
証明書—証明書を使ってセッションが認証されるため、移行セッションはサポートされませ
ん。
•
SAML—SAML SSO が使用されるため、移行セッションはサポートされません。
注: ローカル、NIS、LDAP 認証サーバーについては、インバウンドユーザー名は既
存のアカウントを反映している必要があります。
関連項目
•
91ページのPulse クライアント用にセッション移行を構成する
•
90ページのタスクサマリ:セッション移行を構成する
タスクサマリー:セッション移行を構成する
Junos Pulse クライアントでユーザーにセッション移行を許可するには、以下のタスクを行い
ます。
1. ユーザーに対するセッション移行の目的で含めるべき位置を指定するよう、位置認識規則を
クライアント接続設定内に構成します。例えば、企業 IC シリーズゲートウェイ接続およ
び SA シリーズゲートウェイ接続用に位置識別規則を構成します。
2. IF-MAP 連携型ネットワークを、適切な IC シリーズゲートウェイと SA シリーズゲート
ウェイで、同じ IF-MAP 連携サーバーの IF-MAP 連携クライアントとして構成します。
3. 各ゲートウェイについて、ユーザーエントリが認証サーバー上で構成されるようにします。
4. 各ゲートウェイにおいて、すべてのユーザーに対しユーザー役割が構成されるようにしま
す。
5. エンドポイントがスリープあるいは休止状態のときにユーザーセッションを維持できるよ
う、ホストチェッカーポリシなしで修復役割を定義します。
90
Copyright © 2011, Juniper Networks, Inc.
第6章: セッション移行
6. 各ゲートウェイのリソースへのアクセスをユーザーに許可する、役割マッピング規則を設定
します。
7. 管理コンソールの [User Realms] ページからセッション移行を有効化して構成します。
8. Pulse クライアントをユーザーに配布します。
関連項目
•
87ページのセッション移行の概要
•
91ページのPulse クライアント用にセッション移行を構成する
•
91ページのセッション移行用に IF-MAP 連携型ネットワークを構成する
Pulse クライアント用にセッション移行を構成する
注: セッション移行を有効化する IC シリーズゲートウェイおよび SA シリーズ
ゲートウェイすべてが、同じ IF-MAP 連携サーバーの IF-MAP 連携クライアントで
あることを確認します。さらに、各ゲートウェイがこのセッションで説明されてい
る手順に従って構成されていることを確認します。
セッション移行を構成するには、次の操作を行います。
1. 管理コンソールで、[Users] > [User Realms] を選択します。
2. 既存の領域を選択するか、領域を新たに作成します。
3. [General] ページで [Session Migration] チェックボックスを選択します。さらにオプ
ションが表示されます。
4. [Authentication Group] ボックスに、ユーザーに対しセッション移行を提供するゲートウェ
イすべてに共通する、文字列を入力します。認証グループは ID として使用されます。
5. [Use Attributes from IF-MAP] あるいは [Lookup Attributes using Directory Server]
のいずれかのオプションボタンを選択します。
注: LDAP サーバーを使用している場合のみ、ディレクトリサーバーを使って
ルックアップ属性を選択してください。LDAP サーバーでは属性がより高速に処
理されます。
関連項目
•
87ページのセッション移行の概要
•
90ページのタスクサマリ:セッション移行を構成する
•
91ページのセッション移行用に IF-MAP 連携型ネットワークを構成する
セッション移行用に IF-MAP 連携型ネットワークを構成する
セッション移行を正常に展開するためには、IC シリーズデバイス IF-MAP サーバーを構成し、
ユーザーが IF-MAP クライアントとしてアクセスするように、接続されたすべての IC シリー
Copyright © 2011, Juniper Networks, Inc.
91
Junos Pulse 管理ガイド
ズデバイスおよび SA シリーズデバイスを設定します。SA シリーズアプライアンスは IF-MAP
サーバーになることはできません。
クライアントを追加するには、クライアントの IP アドレスおよびセキュリティメカニズムと
信用情報を指定しなければなりません。
IF-MAP サーバー証明書を IF-MAP サーバーにインストールする必要があります。クライアント
は、サーバーに接続する際にサーバー証明書を確認します。サーバー証明書は認証機関（CA）
によって署名され、クライアントは CA が署名した証明書を信用するよう構成される必要があ
ります。またサーバー証明書内のホスト名が、クライアントの IF-MAP URL のホスト名に一致
する必要があります。
IF-MAP サーバーを、各 IC シリーズデバイスおよび SA シリーズデバイス IF-MAP クライア
ントに特定する必要があります。サーバーを追加するには、サーバーの IF-MAP URL およびユー
ザーが認証を要求する方法を指定します。URL とセキュリティ設定を、IF-MAP クライアントが
接続する IF-MAP サーバーのものと一致させます。
IC シリーズデバイスで IF-MAP サーバーを設定するには、次の操作を行います。
1. 管理コンソールで [System] > [IF-MAP Federation] > [Overview] を選択します。
2. IC シリーズデバイスにおいて、[Choose whether this IC Series device runs an IF-MAP
Server, an IF-MAP client, or no IF-MAP] で、[IF-MAP Server] オプションボタンを選
択します。
3. [Save Changes] をクリックします。
4. 管理コンソールから [System] > [IF-MAP Federation] > [This Server] > [Clients] を選
択します。
5. IF-MAP クライアントで、このクライアントの [Name] とオプションの [Description] を入
力します。
例えば、名前に「SA-access1.corporate.com」、説明に「Secure Access 1」と入力します。
6. クライアントの IP アドレスを 1 つ以上入力します。マルチホームのクライアントの場合、
物理ネットワークインタフェースをすべてリストアップするのがベストです。クライアン
トが IC シリーズデバイスあるいは SA シリーズアプライアンスクラスタの場合、すべ
てのノードの内部および外部ネットワークインタフェースをリストアップします。設備エ
ラーによって IF-MAP クライアントと IF-MAP サーバー間のトラフィックが別のネットワー
クインタフェースに再ルーティングされる可能性があるため、すべてのインタフェースの
IP アドレスを入力することが必要です。IP アドレスをすべてリストアップすることによ
り、IF-MAP の連携がエラー時も機能する可能性を最大にします。
例として、172.16.100.105 を入力するとします。
7. [Authentication] で [Client Authentication Method:] [Basic or Certificate] を選択
します。.
a. [Basic] を選択した場合、ユーザー名とパスワードを入力します。同じ情報を IF-MAP
サーバーに追加する必要があります。
92
Copyright © 2011, Juniper Networks, Inc.
第6章: セッション移行
b. [Certificate] を選択した場合、このクライアントについて、どの認証機関（CA）を使っ
て証明書を確認するかを指定します。オプションで、特定のクライアント証明書属性で
値を要求するため、証明書の属性あるいは制限を指定します。
8. [Save Changes] をクリックして、IF-MAP サーバーに IF-MAP クライアントインスタンス
を保存します。
IC シリーズデバイスおよび SA シリーズデバイスクライアントで IF-MAP 設定を構成する
には、次の操作を行います。
1. 管理コンソールで [System] > [IF-MAP Federation] > [Overview] を選択します。
2. IC シリーズデバイスにおいて、[Choose whether this IC Series device runs an IF-MAP
Server, an IF-MAP client, or no IF-MAP] から、[IF-MAP Client] オプションボタンを
選択します。SA シリーズデバイスで、[Enable IF-MAP Client] チェックボックスを選択
します。
3. IF-MAP サーバーで、IF-MAP Web サービスのサーバー URL を入力します。すべての Juniper
Networks IF-MAP サーバーには、サーバー URL に /dana-ws/soap/dsifmap を追加します。
例えば、https://access2.corporate.com/dana-ws/soap/dsifmap とします。
4. クライアント認証方法について [Basic] あるいは [Certificate] を選択します。
a. [Basic] を選択した場合、ユーザー名およびパスワードを入力します。これは、IF-MAP
サーバーに入力した情報と同じです。
b. [Certificate] を選択した場合、使用するデバイス証明書を選択します。
IF-MAP サーバー証明書に署名した CA の証明書は [System] > [Configuration] >
[Certificates] > [Trusted Server CA] ページから追加します。
IF-MAP クライアントが、IF-MAP サーバー証明書を検証します。検証が失敗すると、接
続も失敗します。クライアントコンピュータの IF-MAP URL のホスト名が、IF-MAP サー
バーのサーバー証明書のホスト名と一致しているか、また、サーバー証明書に署名した
CA が IF-MAP クライアントのトラステッドサーバー CA として構成されているかを確
認します。
5. [Save Changes] をクリックします。
関連項目
•
87ページのセッション移行の概要
•
90ページのタスクサマリ:セッション移行を構成する
Copyright © 2011, Juniper Networks, Inc.
93
Junos Pulse 管理ガイド
94
Copyright © 2011, Juniper Networks, Inc.
第7章
Junos Pulse クライアントソフトウェアを
配備する
•
Junos Pulse クライアントのインストールの概要 95ページ
•
Web からの Junos Pulse クライアントのインストール 96ページ
•
事前構成済みファイルを使用して Junos Pulse クライアントをインストールする 97ページ
Junos Pulse クライアントのインストールの概要
ここでは、Pulse クライアントソフトウェアを SA シリーズおよび IC シリーズアプライア
ンスから配備する方法を説明します。SRX シリーズサービスゲートウェイは、まだ Pulse の
配備をサポートしていません。アプリケーションアクセラレーションゲートウェイ（WXC）
は、WX の接続の配備のみをサポートします。アプリケーションアクセラレーション（WXC）
ゲートウェイから Pulse を配備する方法については、77ページの「「Junos Pulse クライアン
トをインストールする」」を参照してください。
IC シリーズアプライアンスおよび SA シリーズアプライアンスには、デフォルトの接続設定
とコンポーネント設定が含まれています。これらのデフォルト設定を利用すると、新しい接続
設定とコンポーネント設定を作成しなくても Junos Pulse をユーザーに配備できます。クライ
アントのデフォルト設定では、動的接続や、接続に必要なコンポーネントのみのインストール、
そしてエンドポイントが接続する IC シリーズアプライアンスまたは SA シリーズアプライ
アンスへの自動接続を許可することができます。
どのような配備の場合であっても、事前に認証設定、領域、役割を構成しておく必要がありま
す。
SA シリーズおよび IC シリーズアプライアンスから Junos Pulse をエンドポイントに配備す
るには、以下の方法があります。
•
Web インストール—Web インストールでは、ユーザーがアクセスゲートウェイの Web ポータ
ルにログインします。また、Pulse インストールをサポートする役割が割り当てられます。
ユーザーが Junos Pulse を起動するリンクをクリックすると、デフォルトのインストール
プログラムが Pulse をエンドポイントに追加し、デフォルトのコンポーネント設定とデフォ
ルトの接続設定も追加します。これらのデフォルトを変更しない限り、自動接続としてゲー
トウェイへの接続が設定される Pulse インストールがエンドポイントに配布されます。他の
ゲートウェイの接続を追加したり、デフォルトのオプションを変更するには、デフォルトの
接続設定を編集することができます。
Copyright © 2011, Juniper Networks, Inc.
95
Junos Pulse 管理ガイド
注: Web インストールでは、Firefox ブラウザでのインストールの場合は、ユー
ザーは Java をインストールし有効にする必要があり、Internet Explrer でのイ
ンストールの場合は、Active X を有効にする必要があります。ブラウザがこの要
件を満たさない場合は、ユーザーはインストールが始まる時に、そのことが記載
されたメッセージを受け取ります。
•
事前構成済みインストーラ—事前構成済みインストーラは、エンドポイントに必要なすべての
接続を指定してから、エンドポイントに管理者のローカル組織の標準的なソフトウェア配布
方法（Microsoft SMS など）で配備するインストールプログラムを作成します。エンドポイ
ントに Pulse をインストール後は、ユーザー側でさらに構成する必要はありません。
•
デフォルトインストーラ—デフォルトの Pulse インストールプログラムを .exe または
.msi 形式でダウンロードして、管理者のローカル組織の標準的なソフトウェア配布方法
（Microsoft SMS/SCCM など）でエンドポイントに配備できます。Junos Pulse クライアント
ソフトウェアは、接続を除くすべてのコンポーネントと一緒にインストールされます。ユー
ザーはデフォルトの Pulse をインストールした後に、Pulse クライアントユーザーイン
ターフェースから、またはブラウザでゲートウェイの Web ポータルにアクセスして、新しい
接続を追加することができます。後者の方法では、ゲートウェイの動的接続が自動的にダウ
ンロードされ、新しい接続が Pulse クライアントの接続リストに追加されます。
Web からの Junos Pulse クライアントのインストール
Web からインストールするには、ユーザーにアクセスゲートウェイの Web インターフェース
にログインするように指示します。正常にログインできると、ユーザーに Pulse クライアント
ソフトウェアの自動ダウンロードとインストールが含まれる役割が割り当てられます。
注: Web インストールには、ユーザーが Java をインストール済みで、Firefox ブ
ラウザ、または ActiveX 経由でのインストールを有効にしている、またはInternet
Explorer 経由でのインストールを有効にしている必要があります。ブラウザがこの
要件を満たさない場合は、ユーザーはインストールが始まる時に、そのことが記載
されたメッセージを受け取ります。
デフォルトの Junos Pulse インストール設定には、最小限のコンポーネントと 1 つのアクセ
スゲートウェイへの接続が含まれています。Web インストールにカスタマイズされた設定を含
めたい場合は、次のどれかを実行できます。
96
•
デフォルトの接続設定を編集し、新しい接続を追加する。デフォルトのインストーラは、デ
フォルトの接続設定が含まれているデフォルトのコンポーネント設定を使用します。
•
新しい接続設定を作成してから、デフォルトのコンポーネント設定を編集してその接続設定
を追加します。
•
デフォルトによるインストール時に一緒に含める接続が含まれているコンポーネント設定を
指定するよう、役割を編集します。
Copyright © 2011, Juniper Networks, Inc.
第7章: Junos Pulse クライアントソフトウェアを配備する
注: Pulse のインストール時は、Windows エンドポイントのアクティブなネットワー
ク接続が再起動されます。WAN 経由でアクセスゲートウェイの Web インターフェー
スへの Pulse インストールを開始するときには、ネットワーク接続を再確立するた
めに ISP に再ログインが必要な場合もあります。ユーザーはインストールを開始す
る前に、このような問題があることを知っておく必要があります。
事前構成済みファイルを使用して Junos Pulse クライアントをインストールする
クライアント接続セットを作成し、クライアントコンポーネント設定内にどの接続を含めるの
かを指定した後、Pulse クライアントと一緒に配信したいすべての接続が入っている事前構成
したファイルを作成することができます。msiexec（windows\system32\msiexec.exe）を使用し
て .msi インストーラプログラムを実行する場合は、オプションとして事前構成したファイル
を指定します。
注: ADDLOCAL コマンドラインオプションを使用して特定のコンポーネントを指定
しない限りは、事前に構成されたインストーラは、常にすべてのコンポーネントを
インストールします。事前に構成されたインストーラによってインストールされた
コンポーネントは、事前構成ファイルを作成するために使用したコンポーネント設
定ではなく、ADDLOCAL オプションによって決定されます。
エンドポイントに配布する事前構成済みの Junos Pulse インストーラを作成するには、次の操
作を行います。
1. [Users] > [Junos Pulse] > [Connections] を選択し、配布したい接続を含む接続設定を作
成します。
2. [Users] > [Junos Pulse] > [Components] を選択します。
3. 必要な場合は、配布したい接続設定を含む、新しいコンポーネント設定を作成します。[All
components]、[No components]、または[Minimal components] のいずれかのオプションを
選択することができます。msiexec コマンドラインに事前構成されたインストーラを使用
して、インストールするコンポーネントを指定します。
4. 配布したいコンポーネント設定の横にあるチェックボックスを選択します。
5. [Download Installer Configuration] をクリックします。事前構成を保存するよう表示さ
れます。ファイルの名前と保存場所をメモしておきます。事前構成されたファイルはネット
ワーク共有または msi. と一緒に配布することでクライアントに利用可能である必要があり
ます。
6. [Maintenance] > [System] > [Installers] を選択します。
環境によっては、Juniper インストーラサービスをダウンロードしてください。Pulse を
インストールするには、ユーザーは適切な権限を持っている必要があります。Juniper イン
ストーラサービスは権限制限を無視し、ユーザーが制限された権限で Pulse をインストー
ルすることを可能にします。
7. 以下の Windows 環境に適切な Junos Pulse インストーラをダウンロードします。
•
Junos Pulse Installer（32-bit）
Copyright © 2011, Juniper Networks, Inc.
97
Junos Pulse 管理ガイド
Junos Pulse Installer（64-bit）
•
事前構成されたファイルを使用して Pulse をインストールするには、msiexec コマンドを使用
して Pulse インストーラプログラムを実行し、CONFIGFILE プロパティを指定して、事前構成
ファイルを指定します。コマンドラインプロパティ（CONFIGFILE および ADDLOCAL）は、大
文字小文字が区別され、全て大文字です。CONFIGFILE プロパティは構成ファイルへの完全なパ
スを指定しなければなりません。例：
msiexec -i JunosPulse.msi CONFIGFILE=c:\temp\myconfiguration.jnprpreconfig
アドバンスドコマンドラインオプションを使用して Pulse クライアントをインストールする
msiexec（.msi プログラムを起動するためのコマンドライン）を使用して Pulse 事前構成イ
ンストーラプログラムを実行し、次のオプションを指定することができます。
•
CONFIGFILE—このプロパティは構成ファイルを指定し、インストール中に Pulse へインポー
トされます。このプロパティは構成ファイルへの完全なパスを含む必要があります。例：
msiexec -i JunosPulse.msi CONFIGFILE=c:\temp\myconfiguration.jnprpreconfig
•
ADDLOCAL—このプロパティはどの機能および機能オプション（サブ機能）をインストールする
かを指定します。それぞれの機能は、指定されたプラットフォームからのクライアント接続
をサポートするために必要なコアコンポーネントから成り立っています。また、オプション
のサブ機能を指定することができます。例えば、802.1X 接続をサポートしたい場合は、
Pulse8021x サブ機能を指定しなければなりません。
注: 全てのコンポーネントをインストールするには、ADDLOCAL オプションを使用
せずにインストーラを実行します。
機能およびサブ機能の名前は大文字、小文字が区別されます。1 つのコマンドで複数の機能
を指定するには、それぞれの機能をコンマで区切ります。
ADDLOCAL 機能:
•
PulseNC—SA シリーズ SSL VPN アプライアンスに必要な Pulse コンポーネント。
•
PulseUAC—IC シリーズ Unified Access Control アプライアンスに必要な Pulse コンポー
ネント。
•
PulseSRX—SRX シリーズサービスゲートウェイに必要な Pulse コンポーネント
•
PulseWX—アプリケーションアクセラレーションプラットフォームに必要な Pulse コン
ポーネント。
オプションのサブ機能：
98
•
Pulse8021x—PulseUAC で利用可能。802.1x 接続コンポーネントを含みます。
•
NCEES—PulseNC で利用可能。SA シリーズアプライアンスへの接続用拡張エンドポイン
トセキュリティコンポーネントを含みます。
•
NCTNCClientPlugin—PulseNC で利用可能。SA シリーズアプライアンスへの接続用トラ
ステッド Network Connect コンポーネントを含みます。
Copyright © 2011, Juniper Networks, Inc.
第7章: Junos Pulse クライアントソフトウェアを配備する
•
UACEES—PulseUAC で利用可能。IC Unified Access Control アプライアンスへの接続用
拡張エンドポイントセキュリティコンポーネントを含みます。
•
UACTNCClientPlugin—PulseUAC で利用可能。IC Unified Access Control アプライアン
スへのトラステッド Network Connect コンポーネントを含みます。
•
UACNetshim—PulseUAC で利用可能。
例
802.1x および EES サポートを使用して PulseUAC をインストールするには、次のコマンドラ
インを使用します。
msiexec -i JunosPulse.msi ADDLOCAL=PulseUAC,Pulse8021x,UACEES
PulseNC および PulseSRX をインストールするには、次のコマンドラインを使用します。
msiexec -i JunosPulse.msi ADDLOCAL=PulseNC,PulseSRX
EES および TNC クライアントプラグインをインストールするには、次のコマンドラインを使
用します。
msiexec -i JunosPulse.msi ADDLOCAL=PulseNC,NCEES,NCTNCClientPlugin
PulseWX をインストールするには、次のコマンドラインを使用します。
msiexec -i JunosPulse.msi ADDLOCAL=PulseWX
PulseNC および PulseUAC に両方に対するサブ機能をインストールする場合は、サブ機能は一
度のみ指定します。例えば、PulseNC と PulseUAC に EES および TNC クライアントプラグイ
ンサブ機能をインストールするには、次のコマンドラインのうちのいずれか 1 つを使用しま
す。
msiexec.exe -i JunosPulse.msi ADDLOCAL=PulseUAC,PulseNC,UACEES
msiexec.exe -i JunosPulse.msi ADDLOCAL=PulseUAC,PulseNC,NCCEES
msiexec.exe -i JunosPulse.msi ADDLOCAL=PulseUAC,PulseNC,UACEES,NCCEES
関連項目
•
24ページのクライアント接続設定を作成する
•
30ページのクライアントコンポーネント設定を作成する
Copyright © 2011, Juniper Networks, Inc.
99
Junos Pulse 管理ガイド
100
Copyright © 2011, Juniper Networks, Inc.
第2部
Junos Pulse の互換性
ここでは、Junos Pulse の機能を、Odyssey Access Client、Network Connect、WX Client ソ
フトウェアのそれぞれの機能と比較して具体的に説明します。
•
クライアントソフトウェアの機能比較 103ページ
Copyright © 2011, Juniper Networks, Inc.
101
Junos Pulse 管理ガイド
102
Copyright © 2011, Juniper Networks, Inc.
第8章
クライアントソフトウェアの機能比較
•
機能比較:Odyssey アクセスクライアントおよび Junos Pulse 103ページ
•
機能比較:Network Connect および Junos Pulse 107ページ
•
機能比較：WX クライアントおよび Junos Pulse 109ページ
機能比較:Odyssey アクセスクライアントおよび Junos Pulse
103ページの表6 に、Odyssey アクセスクライアント（OAC）リリース 5.3 および Pulse との
機能の比較を示します。
表6: Odyssey アクセスクライアントおよび Junos Pulse との機能比較
機能
Junos Pulse
リリース 1.0
Junos Pulse
リリース 2.0
OAC
リリース
5.3
有
有
有
（Microsoft
Windows サプリカン
トを使用）
（Microsoft
Windows サプリカン
トを使用）
有
有
（Microsoft
Windows サプリカン
トを使用）
（Microsoft
Windows サプリカン
トを使用）
有
有
（Microsoft
Windows サプリカン
トを使用）
（Microsoft
Windows サプリカン
トを使用）
有線/ワイヤレス 802.1X 機能
有線 802.1X サポート
自動スキャンリスト
ワイヤレス抑止
ネットワークプロバイダのサポート（パス
ワードのスクラップ化、リスティング）
有
有
有
関連付けモードおよび暗号化方式
Copyright © 2011, Juniper Networks, Inc.
103
Junos Pulse 管理ガイド
表6: Odyssey アクセスクライアントおよび Junos Pulse との機能比較（続
き）
機能
関連付けモードサポート（オープン、共
有、WPA/WPA2 対応）
暗号化（WEP、TKIP、AES、事前構成済みキー
付き WEP、事前共有済みキー付き WPA/WPA2
対応）
Junos Pulse
リリース 1.0
Junos Pulse
リリース 2.0
OAC
リリース
5.3
有
有
有
（Microsoft
Windows サプリカン
トを使用）
（Microsoft
Windows サプリカン
トを使用）
有
有
（Microsoft
Windows サプリカン
トを使用）
（Microsoft
Windows サプリカン
トを使用）
有
EAP 方式
EAP-TLS 外部認証
有
EAP-TTLS 外部認証
有
有
有
•
EAP-JUAC 内部認証を使用
有
有
有
•
EAP-MSCHAPv2 内部認証を使用
有
•
EAP-GTC 内部認証を使用
有
•
EAP-MD5 内部認証を使用
有
•
PAP 内部認証を使用
有
•
CHAP 内部認証を使用
有
•
MSCHAP 内部認証を使用
有
•
MSCHAPv2 内部認証を使用
有
EAP-TTLS 外部認証
有
•
EAP-JUAC 内部認証を使用
有
•
EAP-DD5 内部認証を使用
有
•
EAP-GTC 内部認証を使用
有
認証方法
104
ユーザー名とパスワードの要求
有
有
有
証明書サポート（自動、特定）
有
有
有
Copyright © 2011, Juniper Networks, Inc.
第8章: クライアントソフトウェアの機能比較
表6: Odyssey アクセスクライアントおよび Junos Pulse との機能比較（続
き）
Junos Pulse
リリース 2.0
OAC
リリース
5.3
スマートカードリーダーからの証明書
有
有
ソフトトークンサポート
有
有
機能
Junos Pulse
リリース 1.0
マシンログインサポート
有
マシン認証と後続のユーザー認証
有
32 ビットと 64-ビットの Windows Vista
と Windows 7 の信用情報プロバイダ
有
事前デスクトップログイン（IC シリーズ
アプライアンスへの）
有
構成可能な UAC レイヤ 2 接続
有
構成可能な接続関連付けモード
接続関連付けモードをクライアントから構
成することはできません。構成は IC シリー
ズアプライアンスから動的にダウンロード
されます。
有
認定
FIPS 準拠
有
共通の基準
インストールおよびアップグレード方法
自動アップグレード
有
有
有
Web ベースインストール
有
有
有
スタンドアロン（MSI）インストール
有
有
有
アップグレードまたは以前のバージョンと
コーディネート
有
有
有
手動アンインストール
有
有
有
ブラウザベースのインストールとアップグ
レード
有
有
有
有
有
有
診断とログ作成
IPsec 診断と構成
Copyright © 2011, Juniper Networks, Inc.
105
Junos Pulse 管理ガイド
表6: Odyssey アクセスクライアントおよび Junos Pulse との機能比較（続
き）
機能
Junos Pulse
リリース 1.0
Junos Pulse
リリース 2.0
OAC
リリース
5.3
ホストエンフォーサ
有
ログビュアー
有
ログ作成および診断
有
有
有
デバッグレベル、
ファイルサイズ制
限
デバッグレベル、
ファイルサイズ制
限
OPSWAT IMV サポート
有
有
有
Shavlik IMV サポート（パッチ評価）
有
有
有
自動パッチ修復
有
有
有
SMS/SCCM 経由
Shavlik または
SMS/SCCM 経由
SMS/SCCM
経由
ホストチェッカーサポート
有
有
有
拡張エンドポイントセキュリティサポー
ト（Windows OS のみ）
有
有
有
NAT-T による Policy Enforcement Point
への IPsec トンネリング
有
有
有
アクセスサービスおよびプラグイン
有
有
有
その他の機能
サードパーティ EAP メッセージのブロック
有
レイヤ 3 認証
有
有
有
サーバーベースの領域／役割の事前構成
有
有
有
セッション継続時間の延長
106
有
IC 濃度（IC シリーズアプライアンスに接
続、状態メッセージ、経過時間など）
有
有
有
クラスタ化 IC シリーズアプライアンスの
クライアントサイト管理
有
有
有
Kerberos SSO
有
有
有
Copyright © 2011, Juniper Networks, Inc.
第8章: クライアントソフトウェアの機能比較
表6: Odyssey アクセスクライアントおよび Junos Pulse との機能比較（続
き）
Junos Pulse
リリース 1.0
Junos Pulse
リリース 2.0
OAC
リリース
5.3
初期構成（無介入のクライアントプロビ
ジョニング）
有
有
有
IC シリーズアプライアンスに動的に構成
可能
有
有
有
機能
機能比較:Network Connect および Junos Pulse
Network Connect（NC）は、SA シリーズリモートアクセス用のクライアントプログラムで
す。Junos Pulse は、NC の大半の機能性を備えています。107ページの表7 では、NC および
Pulse の機能を比較しています。
表7: Network Connect および Junos Pulse の機能比較
機能
Junos Pulse
リリース 1.0
Junos Pulse
リリース 2.0
Network Connect
リリース 6.3
有
有
有
プロキシサポート
Internet Explorer
Mozilla Firefox
有
分割トンネリングオプション
ルート監視無しの分割ト
ンネリングの無効化
有
有
ルート監視付き分割トン
ネリングの無効化
有
有
ルート監視付き分割トン
ネリングの有効化
有
有
有
有
ローカルサブネットへ
のアクセス許可付き分割
トンネリングの有効化
有
有
ローカルサブネットへ
のアクセス許可付き分割
トンネリングの無効化
有
有
ルート監視無し分割トン
ネリングの有効化
有
クライアント起動オプション
Copyright © 2011, Juniper Networks, Inc.
107
Junos Pulse 管理ガイド
表7: Network Connect および Junos Pulse の機能比較（続き）
機能
Junos Pulse
リリース 1.0
Junos Pulse
リリース 2.0
Network Connect
リリース 6.3
コマンドラインラン
チャ
有
接続時にログオフ
有
スタンドアロンクライ
アントとして起動
有
有
有
ブラウザから起動
有
有
有
GINA および信用情報プ
ロバイダサポート
有
トランスポートモード
SSL フォールバック
モード
有
有
有
ESP
有
その他の機能
OPSWAT IMVサポート
有
有
有
Shavlik IMVサポート
（パッチ評価）
有
有
有
パッチ自動修復
有
有
SMS/SCCM 経由
Shavlik または
SMS/SCCM 経由
ホストチェッカーサ
ポート
有
有
有
拡張エンドポイントセ
キュリティサポート
（Windows OS のみ）
有
有
有
有
有
クライアントが接続また
は切断時に構成済みスク
リプトを実行
108
SA ゲートウェイの構成
に基づき DNS サーバー
検索順序を変更
有
有
有
接続の中断時に自動再接
続
有
有
有
Copyright © 2011, Juniper Networks, Inc.
第8章: クライアントソフトウェアの機能比較
表7: Network Connect および Junos Pulse の機能比較（続き）
Junos Pulse
リリース 1.0
Junos Pulse
リリース 2.0
Network Connect
リリース 6.3
ダイアルアップアダプ
タサポート
有
有
有
3G ワイヤレスアダプタ
サポート
有
有
有
Max/Idleセッションタ
イムアウト
有
有
有
有
有
有
機能
ログ作成
ファイルにログ採取
ログのアップロード
有
認定
FIPS
有
Pulse 分割トンネリング
109ページの表8 では Network Connect 分割トンネリングオプションを一覧にし、Pulse 2.0
以降の分割トンネリングオプションへのマップ方法を説明しています。
表8: Pulse 分割トンネリング
NC 分割トンネルオプション
Pulse 分割トンネル設定
ルート優先状態
ルート監視状態
分割トンネルの無効化
無効化
有
有
分割トンネリングを無効化するがローカルアクセスは許可
する
無効化
無
無
分割トンネリングの有効化
有効化
有
無
ルート監視付き分割トンネルの有効化
有効化
有
有
分割トンネルを有効化し、ローカルアクセスを許可する
有効化
無
無
機能比較：WX クライアントおよび Junos Pulse
110ページの表9 に、WX クライアントおよび Pulse の機能の比較を示します。
Copyright © 2011, Juniper Networks, Inc.
109
Junos Pulse 管理ガイド
表9: WX クライアントと Junos Pulse の機能比較
Junos Pulse
リリース 1.0
Junos Pulse
リリース 2.0
WX クライアント
リリース 1.0
TCP アクセラレーション
有
有
有
CIFS アクセラレーショ
ン
有
有
有
有
有
機能
アクセラレーション
圧縮
LZ 圧縮
キャッシング
NSC ディスクベース
キャッシング
有
隣接関係
Max 隣接関係
110
4
4
4
Copyright © 2011, Juniper Networks, Inc.
第3部
モバイルデバイス対応 Junos Pulse
•
モバイルデバイス対応 Junos Pulse および Junos Pulse Mobile Security Suite 113ページ
•
Apple iOS デバイス対応 Junos Pulse 115ページ
•
Google Android デバイス対応 Junos Pulse 121ページ
•
Nokia Symbian デバイス対応 Junos Pulse 125ページ
•
Windows Mobile デバイス対応 Junos Pulse 129ページ
•
Junos Pulse Mobile Security Suite 133ページ
Copyright © 2011, Juniper Networks, Inc.
111
Junos Pulse 管理ガイド
112
Copyright © 2011, Juniper Networks, Inc.
第9章
モバイルデバイス対応 Junos Pulse およ
び Junos Pulse Mobile Security Suite
•
概要 113ページ
概要
モバイルデバイス対応の Junos Pulse を使用すると、モバイル（携帯）デバイスから SA シ
リーズアプライアンス経由の社内電子メールや社内イントラネットなどの企業のアプリケー
ションへの認証されたアクセスが可能になります。モバイルデバイス対応 Pulse クライアン
トソフトウェアには、リモート VPN 機能や Junos Pulse Mobile Security Suite によって有
効化されるデバイスセキュリティ機能も含まれています。
Junos Pulse Mobile Security Suite は、ウィルス対策、スパム防御、パーソナルファイア
ウォールサービスを提供し、管理者によるデバイスアプリケーションやコンテンツの監視と
削除、バックアップの実行、操作の復元、リモートロックおよびリモートワイプ操作の起動、
GPS を使用したデバイスの追跡などが可能になります。それぞれのサポートされたモバイルデ
バイスは、Pulse Mobile Security Suite 機能にある特定の項目をサポートします。
それぞれのサポートされているモバイルデバイスは、ユーザーが特定のデバイスタイプ対応
の Pulse VPN クライアントソフトウェアをインストールすることを要求します。Pulse モバ
イルデバイスソフトウェアは、サポートされているモバイルデバイスを取扱うアプリスト
アで無料でダウンロードすることができます。モバイルデバイス用 Pulse および Pulse Mobile
Security ソフトウェアは直接 SA シリーズアプライアンスから配備することができません。
安全な接続性のタイプおよびサポートされたセキュリティ機能は、それぞれのモバイルのオペ
レーションシステムでのサポートの種類によって異なります。
注: すべてのデバイスに対して、管理者は認証サーバーを設定し、そしてモバイル
デバイスユーザーに対してアカウントを作成していなければなりません。
Pulse は次のモバイルデバイスでサポートされています。
®
•
Apple iOS 対応 Junos Pulse
•
Google Android™対応 Junos Pulse
•
BlackBerry 対応 Junos Pulse
Copyright © 2011, Juniper Networks, Inc.
113
Junos Pulse 管理ガイド
注: BlackBerry クライアントは SA シリーズアプライアンスへの VPN 接続性をサ
ポートしていません。
134ページの表10 では、Pulse によってサポートされているモバイルデバイス OS バージョン
および各モバイルデバイス OS でサポートされているセキュリティ機能を一覧にしています。
Junos Pulse Mobile Security Gateway
SA 管理コンソールを使用してモバイルデバイスの Pulse 用のネットワークアクセスを有効
にしている場合でも、Junos Pulse Mobile Security Gateway を使用することにより、管理者
はモバイルデバイスのセキュリティ機能を管理します。Pulse Mobile Security Gateway の管
理インターフェースはモバイルデバイスの保護および管理を可能にします。Pulse Mobile
Security Gateway は、SaaS（software-as-a-service）として利用可能です。詳細は、「Junos
Pulse Mobile Security Gateway 管理ガイド」を参照してください。
114
Copyright © 2011, Juniper Networks, Inc.
第10章
Apple iOS デバイス対応 Junos Pulse
•
Apple iOS 対応 Junos Pulse 概要 115ページ
•
Apple iOS 対応 Pulse の役割と領域を構成する 116ページ
•
Junos Pulse VPN App をインストールする 119ページ
•
構成プロファイルを使用する 120ページ
•
ログファイルの収集 120ページ
Apple iOS 対応 Junos Pulse 概要
Junos Pulse は、Apple iOS デバイス（iPhone、iPad、iPod Touch）と SA シリーズアプライ
アンス間の認証付きレイヤ 3 SSL VPN セッションを作成することができます。Junos Pulse
は、ID、領域、役割に基づき、企業のアプリケーションやデータに安全に接続することができ
ます。Junos Pulse は、iTunes App Store からダウンロードできます。
Juniper Networks SA シリーズアプライアンスへの SSL VPN アクセスには、以下のソフトウェ
アバージョンが必要です。
•
Apple iOS 4.1 以降
•
Juniper Networks SA シリーズアプライアンスリリース 6.4 以降
Junos Pulse VPN app は、以下の機能をサポートします。
•
パケットの完全レイヤ 3 トンネリング
•
UDP/ESP と NCP/SSL モード
•
クライアント認証証明書を含む、あらゆる種類の認証
•
分割トンネリングモード：
•
•
分割トンネリングを無効にし、ローカルサブネットへのアクセスを可能にする
•
分割トンネリングの有効化
Apple VPN オンデマンド
電話で実行中のあらゆるアプリケーションがホスト事前定義された設定で 1 つのホストへの
接続を開始する場合、VPN オンデマンド構成は、iOS デバイスを有効にし、自動的に VPN 接
続を初期化します。VPN オンデマンド接続はクライアントの証明書ベースの認証を使用する
ので、ユーザーは VPN 接続が開始されるたびに資格情報を提示する必要がありません。VPN
Copyright © 2011, Juniper Networks, Inc.
115
Junos Pulse 管理ガイド
オンデマンド構成で VPN を作成する方法の詳細については、www.apple.com にある「iPhone
OS Enterprise Deployment Guide」を参照してください。
始める前に
SA シリーズアプライアンスに Apple iOS デバイスのサポートを構成する前に、次のようなク
ライアントソフトウェアの動作に注意してください。
•
Wi-Fi 接続の場合、ユーザーがデバイスを再び起動させた際に、Pulse は VPN トンネルを
自動的に再接続します。3G 接続の場合は、ユーザーが Safari や Mail などのアプリケー
ションを使ってネットワークトラフィックを生成したときに、VPN が再接続されます。
•
認証が必要なプロキシ経由の接続はサポートされません。
•
SA/プロキシホスト名に対して静的ホストマッピングは作成されません。
•
DNS の考慮点
•
分割トンネルモードを Split tunneling disabled with access to local subnet（分割
トンネリングを無効にし、ローカルサブネットへのアクセスを可能にする）に設定する
と、Pulse は、SA シリーズアプライアンスを介して構成された DNS サーバーを使用しま
す。
•
分割トンネルモードを Split tunneling enabled（分割トンネリングを有効にする）に設
定すると、SA シリーズアプライアンスを介して構成された DNS サーバーは SA ドメイン
内のホスト名用にのみ使用されます。
•
セッションスクリプトはサポートされません。
•
RADIUS アカウント機能はサポートされません。
•
Junos Pulse をサポートする Juniper ゲートウェイを介した Web ベースインストールは、
サポートされません。
•
セッションタイムアウトリマインダはサポートされません。
•
クライアント証明書認証を使用する場合で、ユーザーが割り当てられている役割の中から選
択できるように設定されている場合は、ユーザーには役割リストが表示されず、代わりに役
割名を入力するよう要求されます。
Apple iOS 対応 Pulse の役割と領域を構成する
Apple iOS デバイスから SA シリーズアプライアンスへの SSL/VPN アクセスを可能にするに
は、デバイスユーザーは Junos Pulse app をダウンロードし、インストールおよび構成し、
SA 管理者は指定の領域、および役割設定を SA シリーズアプライアンス上に構成しなければ
なりません。
Apple iOS デバイスがアクセスできるように SA シリーズアプライアンスを構成するには、次
の操作を行います。
1. SA シリーズアプライアンスの管理コンソールにログインします。
2. [User Roles] > [New User Role] を選択します。
116
Copyright © 2011, Juniper Networks, Inc.
第10章: Apple iOS デバイス対応 Junos Pulse
3. [New Role] ページで、役割の名前を入力し、必要な場合はその説明も入力します。この操
作の後半に領域を作成し、領域ユーザーをこの役割にマップするため、役割名をメモしてお
きます。
4. [New Role] ページの [Access Features] セクションで、[Network Connect] チェックボッ
クスと [Network Connect] オプションを選択します。
Junos Pulse クライアント用のアクセスを構成していますが、ここでは [Network Connect]
オプションを選択する必要があります。
5. [Save Changes] をクリックして、役割を作成し、役割設定タブを表示させます。
6. [Web] > [Bookmarks] を選択し、[New Bookmark] をクリックします。
Android 対応の Pulse ユーザーインターフェースで表示されるボタンを有効にするには、
ブックマークを作成する必要があります。通常は、企業のイントラネットおよび Web 電子
メール用のブックマークを作成します。電子メールのブックマークを作成し、Android の
Pulse インターフェース内の電子メールボタンを有効にする必要があります。また電子メー
ルのブックマークは Mobile Webmail という名前を付けなければなりません。
Copyright © 2011, Juniper Networks, Inc.
117
Junos Pulse 管理ガイド
図 10: Pulse クライアント用電子メールブックマークの作成
注: もう 1 つの方法としては、Web リソースポリシを使用してブックマークを
定義することができます。リソースポリシの詳細については、「Junos Pulse
Secure Access サービス管理ガイド」を参照してください。
7. デフォルトセッションのタイムアウトを変更するには、[General] > [Session Options]
を選択します。
8. [Session lifetime] セクションで、[Max. Session Length] を分刻みで指定します。残り
のセッション時間がモバイルデバイスクライアントの Pulse インターフェースに日時間:
分:秒という形式で表示されます。その他のセッション設定はモバイルクライアントに適用
されません。
9. この役割の [Network Connect] タブで、[Split Tunneling Options] が正しく設定されて
いることを確認してから、[Save Changes] をクリックします。
118
Copyright © 2011, Juniper Networks, Inc.
第10章: Apple iOS デバイス対応 Junos Pulse
10. [Users] > [Resource Policies] > [Network Connect] > [NC Connection Profiles] を選
択します。
11. [New Profile] をクリックします。
SA シリーズアプライアンスはクライアントからセッション開始要求を受信すると、管理者
が作成した IP アドレスポリシに基づいて、クライアントに IP アドレスを割り当てます。
接続プロファイルを定義するには、次の点に注意します。
•
プロキシサーバー設定—分割トンネリングが有効なときには、クライアントプロキシ構
成の自動変更はサポートされません。
•
DNS 設定—分割トンネリングが有効なときは、IVE DNS を最初に検索することはサポート
されません。分割トンネリングが有効なときは、Junos Pulse は IVE DNS 検索ドメンの
みのホストのクエリに IVE DNS を使用します。他のすべてのクエリは、クライアントの
DNS サーバーに送られます。
12. [Roles] 領域で、[Policy applies to SELECTED roles] を選択します。次に、iOS デバイ
ス用に作成した役割を [Selected roles] リストに追加します。
13. [Save Changes] をクリックします。
14. [Users] > [User Realms] > [New User Realm] を選択します。
15. 名前と説明を入力します。[Save Changes] をクリックして、領域を作成し、領域オプショ
ンタブを表示させます。
16. 領域の [General] タブで、[Session Migration] チェックボックスを選択します。
17. 領域の [Authentication Policy] タブで、[Host Checker] をクリックし、すべてのホスト
チェッカーポリシが無効にされていることを確認します。iOS デバイスはホストチェッカー
をサポートしません。
18. 領域の [Role Mapping] タブで、この操作の前半で作成した iOS デバイスの役割にすべて
のユーザーをマップする新しい規則を作成します。
Junos Pulse VPN App をインストールする
SA シリーズアプライアンスに接続する iOS デバイスを設定するには、次の操作を行います。
1. Junos Pulse app を iTunes App Store からダウンロードします。
2. iOS デバイスで、Junos Pulse を起動します。
3. メインステータスページの [Configuration] 項目をタップして、[Pulse] 設定を表示し
ます。
4. モバイルデバイスのサインイン URL として定義した URL で新しい構成を作成します。必
要に応じて、証明書設定を構成します。
Copyright © 2011, Juniper Networks, Inc.
119
Junos Pulse 管理ガイド
注: iPhone ユーザーが初めて Pulse を起動すると、セキュリティ警告が表示され、
Pulse SSL VPN 機能を有効にするよう要求されます。このセキュリティ対策は、悪
意のある VPN ソフトウェアのサイレントインストールを阻止します。ユーザーが
Pulse ソフトウェアの受入れを拒否すると、デバイス上の [Home] ボタンが押され
るまで、Pulse スプラッシュ画面が表示されます。ユーザーが Pulse ソフトウェア
を受け入れた場合は、Pulse が開始して、セキュリティ警告は表示されません。
注: 証明書認証の場合は、SA ゲートウェイ SSL 証明書が CA より発行されます。
この証明書は自己署名できません。CA が iOS デバイス上の信頼された CA でない
場合は、CA 証明書は iOS デバイスにインポートされる必要があります。また、SA
ゲートウェイはホスト名（IP アドレスではない）を使用してアクセスされ、ホスト
名は SA ゲートウェイの SSL 証明書の Common Name（通称）と一致していなければ
なりません。
構成プロファイルを使用する
ユーザーに手動で Pulse VPN 構成を作成するように指示する代わりに、構成プロファイルを使
用して、iOS デバイスの Pulse 構成を定義し、構成プロファイルを電子メールまたは Web ペー
ジに掲載することで配布します。ユーザーが電子メールの添付書類を開く、または iOS デバイ
スで Safari を使用してプロファイルをダウンロードすると、インストールプロセスを開始す
るように指示されます。
iPhone 構成ユティリティを使用して、構成プロファイルを作成し、Juniper SSL を VPN ペイ
ロードの接続タイプとして指定することができます。iPhone Configuration Utility（3.0以
降）は、Apple サポート Web ページからダウンロードすることができます。構成プロファイル
を作成する方法とユティリティの詳細については、www.apple.comにある「iPhone OS Enterprise
Deployment Guide」を参照してください。
ログファイルの収集
iOS デバイスユーザーは次の手順で、Junos Pulse ログファイルを電子メールで送信します。
1. iOS デバイスで、Junos Pulse app を起動します。
2. [Status] をタップします。
3. [Logs] > [Send Logs] とタップします。
4. 電子メールアドレスを入力して、[Send] をタップします。
120
Copyright © 2011, Juniper Networks, Inc.
第11章
Google Android デバイス対応 Junos Pulse
•
Android 対応 Junos Pulse 概要 121ページ
•
Android 対応 Pulse の役割と領域を構成する 121ページ
Android 対応 Junos Pulse 概要
Junos Pulse は Google Android を実行しているデバイスと SA シリーズアプライアンス間の
認証された SSL セッションを作成することができます。Junos Pulse は、ID、領域、役割に基
づき、Web ベースのアプリケーションおよびデータへの安全な接続を可能にします。Junos Pulse
は Android マーケットでダウンロードすることができます。134ページの表10 では Pulse に
よってサポートされるモバイルデバイス OS バージョンが一覧になっています。Android デバ
イスアクセスは SA シリーズリリース 6.5 以降でサポートされています。
注: Google Android OS には、証明書ベースの認証のサポートに関しての制限があ
ります。証明書認証を成功させるには、ユーザー証明書、および秘密鍵は別のファ
イルに存在しなければなりません。必要な場合は、Android デバイスに証明書およ
び鍵をインストールする前に、openssl コマンドを使用することによって秘密鍵を
証明書と別に保存することができます。Juniper Networks Knowledgebase の KB19692
には、Android での Junos Pulse 対応の証明書認証を成功させるための証明書と鍵
の作成方法に関する詳細が記載されています。
Android 対応 Pulse の役割と領域を構成する
Android デバイスから SA シリーズアプライアンスへのアクセスを可能にするには、SA 管理
者は特定の領域および役割設定を SA シリーズアプライアンスに構成する必要があります。
Android デバイス対応の SA シリーズアプライアンスのアクセスを構成するには、次の操作を
行います。
1. SA シリーズアプライアンスの管理コンソールにログインします。
2. [User Roles] > [New User Role] を選択します。
3. [New Role] ページで、役割の名前を入力し、必要な場合はその説明も入力します。この操
作の後半に領域を作成し、領域ユーザーをこの役割にマップするため、役割名をメモしてお
きます。
4. [Access Features] セクションで [Web] を選択します。
Copyright © 2011, Juniper Networks, Inc.
121
Junos Pulse 管理ガイド
5. [Save Changes] をクリックして、役割を作成し、役割設定タブを表示させます。
6. [Web] > [Bookmarks] を選択し、[New Bookmark] をクリックします。
Android 対応の Pulse ユーザーインターフェースで表示されるボタンを有効にするには、
ブックマークを作成する必要があります。通常は、企業のイントラネットおよび Web 電子
メール用のブックマークを作成します。電子メールのブックマークを作成し、Android の
Pulse インターフェース内の電子メールボタンを有効にする必要があります。また電子メー
ルのブックマークは Mobile Webmail という名前を付けなければなりません。
図 11: Pulse クライアント用電子メールブックマークの作成
注: もう 1 つの方法としては、Web リソースポリシを使用してブックマークを
定義することができます。リソースポリシの詳細については、「Junos Pulse
Secure Access サービス管理ガイド」を参照してください。
122
Copyright © 2011, Juniper Networks, Inc.
第11章: Google Android デバイス対応 Junos Pulse
7. デフォルトセッションのタイムアウトを変更するには、[General] > [Session Options]
を選択します。
8. [Session lifetime] セクションで、[Max. Session Length] を分刻みで指定します。残り
のセッション時間がモバイルデバイスクライアントの Pulse インターフェースに日時間:
分:秒という形式で表示されます。その他のセッション設定はモバイルクライアントに適用
されません。
9. [Users] > [User Realms] > [New User Realm] を選択します。
10. 名前を指定し、必要な場合は説明も入力します。[Save Changes] をクリックして領域を作
成し、領域のオプションタブを表示します。
11. 領域の [Authentication Policy] タブで、[Host Checker] をクリックし、オプションの
Pulse Mobile Security チェック以外のすべてのホストチェッカーポリシが無効にされて
いることを確認します。
管理者は、モバイルデバイスユーザーが Pulse Mobile Security ソフトウェアをインス
トールし、有効にしていることを要求することができます。詳細は、133ページの「「Junos
Pulse Mobile Security 概要」」を参照してください。
12. 領域の [Role Mapping] タブで、この操作の前半で作成した Android の役割にすべてのユー
ザーをマップする新しいルールを作成します。
関連項目
•
133ページのJunos Pulse Mobile Security 概要
Copyright © 2011, Juniper Networks, Inc.
123
Junos Pulse 管理ガイド
124
Copyright © 2011, Juniper Networks, Inc.
第12章
Nokia Symbian デバイス対応 Junos Pulse
•
Symbian 対応 Junos Pulse 125ページ
Symbian 対応 Junos Pulse
Junos Pulse は Nokia Symbian を実行しているデバイスと SA シリーズアプライアンス間の
認証されたセッションを作成することができます。Symbian デバイス対応 Junos Pulse は IKEv2
（インターネット鍵交換）を使用して、IPsec プロトコルスイートでのセキュリティアソシ
エーションを設定します。Junos Pulse は、ID、領域、役割に基づき、Web ベースのアプリケー
ションおよびデータへの安全な接続を可能にします。Junos Pulse は Nokia Ovi ストアでダウ
ンロードすることができます。134ページの表10 では Pulse によってサポートされるモバイル
デバイス OS バージョンが一覧になっています。モバイルデバイスアクセスは SA シリーズ
リリース 7.0 以降でサポートされています。
Symbian デバイスでの Junos Pulse の SA シリーズアプライアンスの構成
Symbian デバイスから SA シリーズアプライアンスへのアクセスを可能にするには、デバイス
ユーザーは Junos Pulse app をダウンロードおよびインストールし、SA 管理者は指定の領域、
および役割設定を SA シリーズアプライアンス上に構成しなければなりません。
Symbian デバイスアクセス対応の SA シリーズアプライアンスを構成するには、次の操作を
行います。
1. SA シリーズアプライアンスの管理コンソールにログインします。
2. [User Roles] > [New User Role] を選択します。
3. [New Role] ページで、役割の名前を入力し、必要な場合はその説明も入力します。この操
作の後半に領域を作成し、領域ユーザーをこの役割にマップするため、役割名をメモしてお
きます。
4. [New Role] ページの [Access Features] セクションで [IKEv2] チェックボックスを選択
します。
5. [Save Changes] をクリックして、役割を作成し、役割設定タブを表示させます。
6. [Web] > [Bookmarks] を選択し、[New Bookmark] をクリックします。
Android 対応の Pulse ユーザーインターフェースで表示されるボタンを有効にするには、
ブックマークを作成する必要があります。通常は、企業のイントラネットおよび Web 電子
メール用のブックマークを作成します。電子メールのブックマークを作成し、Android の
Copyright © 2011, Juniper Networks, Inc.
125
Junos Pulse 管理ガイド
Pulse インターフェース内の電子メールボタンを有効にする必要があります。また電子メー
ルのブックマークは Mobile Webmail という名前を付けなければなりません。
図 12: Pulse クライアント用電子メールブックマークの作成
注: もう 1 つの方法としては、Web リソースポリシを使用してブックマークを
定義することができます。リソースポリシの詳細については、「Junos Pulse
Secure Access サービス管理ガイド」を参照してください。
7. デフォルトセッションのタイムアウトを変更するには、[General] > [Session Options]
を選択します。
8. [Session lifetime] セクションで、[Max. Session Length] を分刻みで指定します。残り
のセッション時間がモバイルデバイスクライアントの Pulse インターフェースに日時間:
分:秒という形式で表示されます。その他のセッション設定はモバイルクライアントに適用
されません。
126
Copyright © 2011, Juniper Networks, Inc.
第12章: Nokia Symbian デバイス対応 Junos Pulse
9. [Users] > [User Realms] > [New User Realm] を選択します。
10. 名前を入力し、任意で説明も入力します。[Save Changes] をクリックして、領域を作成し、
領域オプションタブを表示させます。
11. 領域の [Authentication Policy] タブで、[Host Checker] をクリックし、オプションの
Pulse Mobile Security チェック以外のすべてのホストチェッカーポリシが無効にされて
いることを確認します。
管理者は、モバイルデバイスユーザーが Pulse Mobile Security ソフトウェアをインス
トールし、有効にしていることを要求することができます。詳細は、133ページの「「Junos
Pulse Mobile Security 概要」」を参照してください。
12. 領域の [Role Mapping] タブで、この操作の前半で作成した Symbian デバイスの役割にす
べてのユーザーをマップする新しいルールを作成します。
関連項目
•
133ページのJunos Pulse Mobile Security 概要
Copyright © 2011, Juniper Networks, Inc.
127
Junos Pulse 管理ガイド
128
Copyright © 2011, Juniper Networks, Inc.
第13章
Windows Mobile デバイス対応 Junos Pulse
•
Windows Mobile 対応 Junos Pulse 129ページ
Windows Mobile 対応 Junos Pulse
Junos Pulse は、Windows Mobile オペレーティングシステムを起動するモバイルエンドポイ
ントで動作するクライアントアプリケーションから企業サーバーへの、アプリケーションレベ
ルの安全なリモートアクセスを提供できます。Lotus Notes、Microsoft Outlook、Citrix、
ActiveSync、アプリケーションサーバーなどの個々のクライアント／サーバーアプリケーショ
ンに安全なアクセスを提供することができます。Pulse は Windows Marketplace for Mobile
でダウンロードすることができます。134ページの表10 では Pulse によってサポートされるモ
バイルデバイス OS バージョンが一覧になっています。モバイルデバイスアクセスは SA シ
リーズリリース 6.5 以降でサポートされています。
注: Junos Pulse 2.0 は Windows Mobile デバイス対応の新しいクライアントソフ
トウェアを導入します。Pulse 2.0 クライアントはオプションの Pulse Mobile
Security Suite をサポートします。Pulse 2.0 クライアントは Windows Marketplace
で無料ダウンロードが可能です。SA シリーズアプライアンスから直接インストー
ルする、Windows Mobile デバイス対応 Pulse の以前のバージョンがすでに存在す
る Windows Mobile デバイスに Pulse 2.0 モバイルクライアントをインストール
する場合は、インストールの際には以前のクライアントの存在が検出されて、新し
いクライアントのインストール前にそれを削除してください。
モバイルデバイス対応の Pulse R1.0 および R2.0 互換性
Windows Mobile デバイス対応の Pulse R1.0 クライアントソフトウェアは、 Windows Secure
Access Manager（WSAM）に基づいています。Pulse R1.0 クライアントソフトウェアは、Windows
Mobile デバイスおよび Windows XP、Windows Vista、および Windows 7 エンドポイントで実
行します。Pulse R1.0 クライアントソフトウェアは SA シリーズデバイスからダウンロード
およびインストールします。Windows Mobile デバイス対応 Pulse R1.0 クライアントソフト
ウェアはホストチェッカーをサポートします。
Windows Mobile デバイス対応 Pulse R2.0 クライアントソフトウェアもまた WSAM に基づい
ています。しかしながら、Windows Mobile デバイス対応 Pulse R2.0 クライアントソフトウェ
アは、新しもので、別のソフトウェアです。SA シリーズデバイスから直接ダウンロードおよ
びインストールするのではなく、Windows Marketplace からダウンロードおよびインストール
Copyright © 2011, Juniper Networks, Inc.
129
Junos Pulse 管理ガイド
を行います。Windows Mobile デバイス対応 Pulse R2.0 クライアントソフトウェアはホスト
チェッカーをサポートしますしません。
Windows Mobile デバイス上に Pulse 1.0 がすでに存在している環境での動作および最善の利
用方法を以下に記載します。
•
モバイルデバイスに Pulse R1.0 がインストールされている場合は、Pulse 2.0 インストー
ルプログラムが Pulse R1.0 をアンインストールし、ホストチェッカーを検出し、削除しま
す。
•
Windows Mobile デバイスに Pulse R2.0 がインストールされている場合は、ユーザーはブラ
ウザを使用して、Pulse R1.0（WSAM）が有効になっている領域へサインインしてはいけませ
ん。Pulse R2.0 がすでにインストールされているかどうかを Pulse R1.0 は検出できないの
で、ユーザーに Pulse R1.0 をインストールするように指示します。
•
Windows Mobile デバイスに Pulse 2.0 がインストールされている場合は、ユーザーはホス
トチェッカーが有効になっている SA シリーズデバイス上の役割に接続し、ホストチェッ
カーをインストールするように指示されます。しかしながら、ユーザーがインストールでき
る場合は、何も起こりません。このことを避けるために、Windows Mobile デバイスアクセ
ス対応の Pulse 2.0 の別の役割を作成してください。
Windows Mobile エンドポイント対応の Junos Pulse での SA シリーズアプライアンスを構成する
このセクションでは、Windows Mobile エンドポイント対応 Junos Pulse を構成する方法を説
明します。詳細については、「Junos Pulse Secure Access サービス管理ガイド」を参照して
ください。このガイドは、Windows、Linux および Mac エンドポイントで動作するクライアン
トアプリケーションから企業サーバーへアプリケーションレベルでリモートアクセスする構
成方法も説明しています。
Windows Mobile エンドポイントの Junos Pulse を構成する前に、ネットワーク ID の指定や
ユーザー ID の追加など、SA シリーズアプライアンスの接続性を構成するすべての操作が完
了していることを確認してください。
SA シリーズアプライアンスの Windows Mobile エンドポイント対応 Junos Pulse を構成する
には、次の操作を行います。
1. クライアント/サーバーアプリケーションまたは宛先ネットワークへのアクセスを有効にす
るリソースプロファイルを作成し、適切な設定を構成します（[Users] > [Resource
Profiles] を選択する）。
2. 対応する自動ポリシを作成し、そのポリシを既存のユーザー役割に割り当てます（[Users]
> [Resource Profiles] > [SAM] を選択します）。
リソースプロファイルの使用を推奨しますが、管理コンソールで次の手順に従う代わりに、
役割およびリソースポリシ設定を使用することができます。
a. 役割レベルでアクセスを有効にします（[Users] > [User Roles] > [Role] > [General]
> [Overview] を選択する）。
b. クライアント/サーバーアプリケーションとサーバーを指定します（[Users] > [User
Roles] > [SAM] > [Applications] を選択する）。
130
Copyright © 2011, Juniper Networks, Inc.
第13章: Windows Mobile デバイス対応 Junos Pulse
c. アプリケーションサーバーを指定する（[Users] > [Resource Policies] > [SAM] >
[Access] を選択する）。
3. リソースプロファイルまたは役割とリソースポリシにより、クライアント/サーバーアプ
リケーション、または宛先ネットワークへのアクセスを有効にした後、以下の管理コンソー
ルページで、一般的な役割とリソースオプションを変更できます。
a. （オプション）サーバーを自動的に起動し、クライアントソフトウェアをアップグレー
ドするか、などの役割レベルのオプションを構成します([Users] > [User Roles] > [SAM]
> [Options] を選択する)。
b. （オプション）リソースレベルで IP ベースのホスト名の一致を制御する（[Users] >
[Resource Policies] > [SAM] > [Options] を選択する）。
4. Windows Mobile エンドポイント対応 Pulse の適切なバージョンがリモートクライアント
に利用可能であることを確認する（[Maintenance] > [System] > [Installers] を選択す
る）。
Windows Mobile デバイスへのアプリケーションの定義
Windows Mobile 対応の Junos Pulse は指定したクライアント/サーバーアプリケーションの
みにアクセスできます。アプリケーションの指定は役割内で行います。
アプリケーションを定義するには、次の操作を行います。
1. [Users] > [User Roles] > [Select Role] > [SAM] > [Applications] を選択します。
以下は、モバイルエンドポイント用に有効にできる、モバイルゲートウェイ専用の実行可能
ファイルです。
•
tmail.exe—Pocket Outlook アプリケーションを指定します。
Pulse は、Pocket Outlook で次のモードをサポートします。
関連項目
•
•
S-IMAP/S-POP および S-SMTP
•
ActiveSync—Pocket Outlook アクセスが提供される有効なモバイルエンドポイントが
ActiveSync を使用する場合、Exchange Server の IP アドレスがユーザー役割内で定義さ
れた宛先ホストリストに表示されることを確認してください。Exchange Server 2007 の
組み込み機能である Direct Push は、サポートされています。ただし、HTTPServerTimeout
の値を 20 分以内に設定する必要があります。
•
mstsc40.exe—Windows Terminal Services アプリケーションを指定します。
•
explore.exe— Pocket Internet Explorer アプリケーションを指定します。
133ページのJunos Pulse Mobile Security 概要
Copyright © 2011, Juniper Networks, Inc.
131
Junos Pulse 管理ガイド
132
Copyright © 2011, Juniper Networks, Inc.
第14章
Junos Pulse Mobile Security Suite
•
Junos Pulse Mobile Security 概要 133ページ
•
SA シリーズアプライアンスアクセス用 Pulse Mobile Security を要求する 135ページ
Junos Pulse Mobile Security 概要
Junos Pulse Mobile Security Suite はモバイルデバイス対応 Pulse アプリケーションのオ
プション機能です。この機能は、モバイルセキュリティと、デバイス管理を提供します。ま
た、ウィルス、スパイウェア、トロイの木馬やワームなどからデバイスを保護し、デバイスが
紛失、盗難にあう危険性を軽減するツールも含んでいます。
Junos Pulse Mobile Security Suite は次の機能を提供します。
•
ウィルス対策—電子メール、ショートメッセージサービス（SMS）、マルチメディアメッ
セージサービス（SMS）、直接ダウンロード、ブルートゥース、または赤外線伝送によって
配信されるウィルスおよびマルウェアに対してデバイスを保護します。
•
ファイアウォール—TCP/IP トラフィックをフィルタおよびブロックすることで脅威からユー
ザーを保護します。双方向で、ポートベース、そして IP をベースとしたパケットフィルタ
オプションは、有害、不振なコンテンツからモバイルデバイスを保護し、不正なコンテンツ
がデバイスに転送されることを防ぎます。ファイアウォールは携帯データと WI-FI トラフィッ
クを監視します。
•
スパム防御—着信およびメッセージのフィルタリングを行います。ユーザーは、拒否（遮断）
したい連絡先を番号に代えてその番号で複数のグループにカスタマイズ（特別に整理）し、
ボイススパムおよび SMS スパムを遮断することで中断と妨害を防止することができます。
•
デバイス監視と制御—SMS、MMS および電子メールメッセージのリアルタイムでのコンテンツ
の監視を行います。管理者は電話のログ、アドレス帳、さらにデバイスに保存されている写
真へアクセスすることができます。
•
紛失および盗難防止—紛失および盗難防止機能は、管理者によって実行される Pulse Mobile
Security Gateway からのコマンド起動によるリモートロック、リモートワイプ、GPS 追
跡、バックアップと復元、リモートアラーム、SIM 変更通知があります。
•
バックアップおよび復元—ユーザーがデバイスに保存されている連絡先、およびカレンダ PM
データのバックアップを取ることができます。
注: ユーザーは、バックアップを開始することはできますが、管理者が復元を行
わなければなりません。
Copyright © 2011, Juniper Networks, Inc.
133
Junos Pulse 管理ガイド
デバイス管理—Pulse Mobile Security Gateway は、管理および制御のための管理インター
フェースを提供します。Pulse Mobile Security Gateway は、ユーザーのアカウントおよび
プロファイルの作成、デバイスの規則やポリシの作成、遠隔操作でのクライアント上での機
能の実行、デバイスからの不適切なアプリケーションの削除、マルウェア検出およびセキュ
リティレベルに関連するレポートの生成などを管理者が行うことを可能にします。詳細は、
「Junos Pulse Mobile Security Gateway 管理ガイド」を参照してください。
Pulse Mobile Security Suite 機能
134ページの表10 では、各モバイルデバイスでサポートされるPulse Mobile Security Suite
機能を示します。接続およびセキュリティ機能は、それぞれ独立して作動します。セキュリティ
機能はデバイスの 3G、4G、または Wi-Fi アクセスに依存しています。例えば、ウィルス定義
はデバイスの VPN ステータスに関係なく更新されます。
表10: Pulse Mobile Security Suite 機能
Apple
iOS
（4.1）
Windows Mobile
（6.0、6.1 お
よび 6.5）
Symbian（シ
リーズ 60 3 版
および 5 版）
✓
✓
✓
✓
✓
パーソナルファイアウォール
✓
✓
スパム防御
✓
✓
✓
✓
✓
✓
監視および制御
✓
✓
✓
✓
盗難防止
✓
✓
✓
✓
Google Android（1.6、
2.0、2.1、2.2）
Pulse Mobile Security 機能
VPN
アクセスは、認証された
SSL ブラウザセッショ
ン経由です。
ウィルス対策
✓
バックアップおよび復元
BlackBerry
（4.2 以
降）
✓
注: ユーザーはバックアップを開始でき
ます。復元作業は管理者が行わなければ
なりません。
注: 盗難防止機能はゲートウェイ経由で
制御されます。
134
•
Android および Windows Mobile デバイスアクセスは SA シリーズリリース 6.5 以降でサ
ポートされています。
•
モバイルデバイスアクセスは SA シリーズリリース 7.0 以降でサポートされています。
•
Apple iOS デバイスアクセスは SA シリーズリリース 6.4 以降でサポートされています。
•
Pulse Mobile Security チェック機能は SA シリーズ 7.0 リリース 2 以降で利用可能です。
Copyright © 2011, Juniper Networks, Inc.
第14章: Junos Pulse Mobile Security Suite
Pulse Mobile Security 構成概要
ユーザーが Pulse Mobile Security ソフトウェアを含む Junos Pulse app をインストールし
た後に、ユーザーはセキュリティソフトウェアを登録し、有効化しなければなりません。ソフ
トウェアはユーザーに任意のユーザー名とパスワード、およびライセンスキーを入力するよう
に指示します。Pulse Mobile Security 管理者は、電子メールまたは SMS 経由で各ユーザーに
ライセンスキーを提供する必要があります。登録後に、デバイス情報を Pulse Mobile Security
Gateway データベースに追加します。
注: 任意のユーザー名とパスワードは今後の使用のために保存しておきます。
SA シリーズアプライアンスアクセス用 Pulse Mobile Security を要求する
Pulse Mobile Security は Pulse モバイルデバイス app のオプションのライセンス機能で
す。SA 管理者は SA シリーズアプライアンスを構成し、ホストチェックを実行し、SA シリー
ズアプライアンスでデバイスへアクセスする前に、モバイルデバイス上で Pulse Mobile
Security が有効になっているように要求します。セキュリティ機能を選択する場合は、次の基
準を満たす時のみ、Pulse クライアントは SA に接続することを許可されます。
•
モバイルデバイスユーザーは Pulse Mobile Security Suite を登録している。
•
モバイルデバイスはスキャンされ、ウィルスに感染していない。
注: Pulse Mobile Security チェック機能は SA シリーズアプライアンスリリー
ス 7.0 リリース 2 以降で利用可能です。Pulse Mobile Security チェック機能は、
Apple iOS デバイスではサポートされていません。
デバイス上で Pulse Mobile Security ソフトウェアを要求するには、次の操作を行います。
1. SA シリーズアプライアンスの管理コンソールで、[Users] > [User Realms] を選択しま
す。
2. モバイルデバイスに作成した領域を選択します。必要な場合は、新しい領域を作成します。
3. [Authentication Policy] タブで、[Host Checker] を選択します。
4. [Enable Mobile Security Check] チェックボックスを選択し、[Save Changes] を選択し
ます。
これで、モバイルセキュリティチェックはすべての領域にユーザーに適用されました。モ
バイルデバイスのアクセスに 1 つ以上の領域を作成した場合は、それぞれの領域でこの
チェックボックスを有効にします。
モバイルデバイスユーザーは次のタスクを実行しなければなりません。
•
特定のデバイスタイプに対する Pulse クライアントソフトウェア app をダウンロードお
よびインストールします。Pulse Mobile Security クライアントソフトウェアは VPN app
とバンドルされます。
Copyright © 2011, Juniper Networks, Inc.
135
Junos Pulse 管理ガイド
136
•
Pulse アイコンをタップして、Pulse Mobile Security を開始します。
•
デバイスが登録されていない場合は、ライセンスキーを含めた登録情報を入力するように指
示されます。
Copyright © 2011, Juniper Networks, Inc.
第4部
索引
•
索引 139ページ
Copyright © 2011, Juniper Networks, Inc.
137
Junos Pulse 管理ガイド
138
Copyright © 2011, Juniper Networks, Inc.
索引
記号
E
3G ワイヤレス....................................109
802.1X
接続、IC シリーズアプライアンス..............23
接続、SA シリーズアプライアンス..............51
EAP 方式.........................................104
EAP-GTC 内部認証.................................104
EAP-JUAC 内部認証................................104
EAP-MD5 内部認証.................................104
EAP-MSCHAPv2 内部認証............................104
EAP-PEAP 外部認証................................104
EAP-TLS 外部認証.................................104
EAP-TTLS 外部認証................................104
EES（拡張エンドポイントセキュリティ
IC............................................39
SA............................................66
Enable Session Extension..........................19
ESP トランスポートモード........................108
A
Access Manager....................................73
ACE サーバー..................................22, 50
ActiveSync.......................................131
ActiveX
Web インストール..............................96
AES..............................................104
Android
証明書認証...................................121
バージョン...................................134
Apple iOS
バージョン...................................134
Apple iPhone................................116, 119
B
BlackBerry.......................................113
バージョン...................................134
F
FIPS........................................105, 109
Forget Saved Settings.........................22, 50
FTP サーバー、使用する
Pulse クライアントソフトウェアをロードす
る .........................................8 2
クライアント構成ファイルをロードする..........82
G
C
CHAP 内部認証....................................104
CIFS アクセラレーション
クライアントステータス.......................81
クライアントポリシ...........................80
ConfigMgr.....................................33, 61
CPU 要件..........................................11
customer support..................................xv
contacting JTAC...............................xv
D
DNS サーバー検索.................................108
DNS ルックアップ..............................28, 56
documentation
comments on..................................xiv
Copyright © 2011, Juniper Networks, Inc.
GINA.............................................108
Google Android
バージョン...................................134
H
Heartbeat Interval................................19
Heartbeat Timeout.................................19
I
IC シリーズアプライアンス
コンポーネント設定オプション..................29
IF-MAP
サーバーおよびクライアント....................91
セッション移行用の構成........................91
IMC および IMV、概要..............................32
SA............................................60
139
Junos Pulse 管理ガイド
iOS
バージョン...................................134
iPhone
Pulse をインストールする.....................119
SSL/VPN アクセス.............................116
IVS...............................................46
J
Java
Web インストール..............................96
Junos Pulse Mobile Security Suite................xiv
Junos Pulse インストーラ、作成する................97
Junos Pulse クライアント
SMS/SCCM または SA 経由で配布する.............83
SA シリーズアプライアンスからダウンロー
ド .........................................7 8
WXC ゲートウェイからダウンロード..............77
アンインストール..............................79
クライアントイメージをロードする ............82
クライアント構成を定義する....................82
ステータスを表示する..........................81
ダウンロードの有効化..........................79
ポリシを構成する..............................80
隣接関係の構成................................80
Junos Pulse クライアントからダウンロード......77, 78
Junos Pulse クライアントのアンインストール........79
Nokia Symbian
アクセスのを構成する.........................125
バージョン...................................134
O
OAC、Pulseとの機能比較...........................103
Odyssey アクセスクライアント
互換バージョン................................14
サポートされるリリース........................14
Odyssey アクセスクライアント
Pulseとの機能比較............................103
OPSWAT IMV..................................106, 108
P
PAP 内部認証.....................................104
Pulse Mobile Security Suite.................xiv, 133
機能.........................................134
Pulse およびセキュリティ証明書.....................6
R
Radius サーバー...............................22, 50
Roaming session...................................20
RSA SecurID
クライアントソフトウェアバージョン...........7
RSA SofToken.....................................105
S
K
Kaspersky
およびアプリケーション高速化......26, 51, 54, 80
Kerberos SSO.....................................106
L
limit to subnet...................................20
LZ 圧縮
クライアントステータス.......................81
クライアントポリシ...........................80
M
manuals
comments on..................................xiv
Max. Session Length...............................19
Microsoft システムセンタ構成マネージャ.......33, 61
MSCHAP 内部認証..................................104
MSCHAPv2 内部認証................................104
N
NAT-T............................................106
netmask...........................................20
140
S-IMAP/S-POP.....................................131
S-SMTP...........................................131
SA シリーズアプライアンス、から Junos Pulse クラ
イアントをダウンロード..........................78
SCCM..........................................33, 61
Secure Virtual Workspace..........................15
Shavlik
IC での構成...................................37
SA で構成する.................................65
Shavlik IMV.................................106, 108
SMS...........................................33, 61
SMS/SCCM または SA 経由で Junos Pulse クライアン
ト配布する......................................83
SMS（システム管理サーバー）...................36, 63
SofToken.........................................105
software upgrades
Junos Pulse クライアント用....................82
SRX シリーズゲートウェイ
配備オプション................................10
SSL フォールバック...............................108
support, technical 参照 technical support
SVW...............................................15
Copyright © 2011, Juniper Networks, Inc.
索引
Symbian
アクセスを構成する...........................125
バージョン...................................134
T
TCP アクセラレーション
クライアントステータス.......................81
クライアントポリシ...........................80
technical support
contacting JTAC...............................xv
TKIP.............................................104
U
UDP ポート 3578
およびアプリケーション高速化......26, 51, 54, 80
V
VPN...............................................73
W
Web インストール..............................95, 96
WEP..............................................104
Wi-Fi
iOS デバイス.................................116
Windows
サポートされるバージョン......................11
Windows
サポートされるバージョン .....................11
Windows Mobile...................................129
アクセスを構成する...........................130
バージョン...................................134
WPA/WPA2.........................................104
WX クライアント、Pulse との機能比較..............109
WX 接続オプション
コミュニティ文字列........................23, 51
WXC シリーズゲートウェイ
配備オプション.................................9
アップグレードする
クライアントソフトウェア.....................82
アドバンスドエンドポイント制御
IC............................................39
SA............................................66
application-level remote access..................129
暗号化方式
IC シリーズアプライアンス...................103
イ
位置認識
位置認識規則..............................23, 52
概要...........................................5
設定......................................26, 54
インスタント仮想システム..........................46
インストーラ
Web.......................................95, 96
事前構成済み..............................96, 97
デフォルト....................................96
インストール
Junos Pulse クライアント......................77
要件..........................................11
ウ
ウィルス署名バージョン監視.........................7
ユーザー役割
SA シリーズアプライアンス....................47
エ
エクスポートする
Junos Pulse クライアントソフトウェアまたは構
成 .........................................8 3
エラーメッセージ.................................12
オ
オペレーティングシステムサポート................11
カ
ア
アクセラレーション
WX クライアントと Pulse の比較...............110
クライアントステータス.......................81
クライアントポリシ...........................80
アダプタタイプ...............................23, 51
圧縮 ............................................110
クライアントステータス.......................81
クライアントポリシ...........................80
アップグレード
クライアントソフトウェア.................43, 71
Copyright © 2011, Juniper Networks, Inc.
拡張エンドポイントセキュリティ
IC シリーズアプライアンスコンポーネント設定
オプション.................................29
拡張エンドポイントセキュリティ（EES）
IC............................................39
SA............................................66
ガ
外部ユーザー名
802.1X 接続、IC シリーズアプライアンス.......23
802.1X 接続、SA シリーズアプライアンス.......51
141
Junos Pulse 管理ガイド
キ
機能
Pulse Mobile Security Suite..................134
証明書認証
Android......................................121
診断.............................................105
信用情報プロバイダ..........................105, 108
ク
クライアント、Junos Pulse
SMS/SCCM または SA 経由で配布する.............83
SA シリーズアプライアンスからダウンロー
ド .........................................7 8
WXC ゲートウェイからダウンロード..............77
アンインストール..............................79
クライアントイメージをロードする ............82
クライアント構成を定義する....................82
ステータスを表示する..........................81
ダウンロードの有効化..........................79
ポリシを構成する..............................80
隣接関係の構成................................80
クライアントエラー...............................12
コ
構成、Junos Pulse クライアント
表示する......................................82
構成する、Junos Pulse クライアント
定義する......................................82
コマンドラインランチャ.........................108
コミュニティ文字列............................23, 51
コンポーネント設定、Junos Pulse 用に設定す
る..........................................30, 58
コンポーネント設定オプション
IC シリーズアプライアンス....................29
SA シリーズアプライアンス....................57
サ
サプリカント.......................................6
サポートされる言語................................12
サポートされるゲートウェイ........................10
サポートされるデバイスのバージョン...............134
サーバー証明書 DN
802.1X 接続、IC シリーズアプライアンス.......23
802.1X 接続、SA シリーズアプライアンス.......51
シ
システムセンタ構成マネージャ.................33, 61
証明書
サポート.....................................104
スマートカード..............................105
選択......................................22, 50
役割、IC シリーズアプライアンス..............19
142
ジ
事前構成インストーラ...............................9
事前構成済みインストーラ......................96, 97
自動アップグレード............................42, 70
自動更新..........................................10
自動スキャンリスト..............................103
ス
スキャンリスト...............................6, 103
802.1X 接続、IC シリーズアプライアンス.......23
802.1X 接続、SA シリーズアプライアンス.......51
スクリプト.......................................108
IC シリーズアプライアンス....................20
SA シリーズ...................................48
スパイウェア対策
IC............................................39
SA............................................66
スマートカード...............................7, 105
スマートカード認証............................22, 50
セ
整合性測定コレクタ（IMC）およびベリファイア（IMV）
SA............................................60
整合性測定コレクタ（IMC）およびベリファイア
（IMVs）........................................32
生存時間、DNS.................................28, 56
セキュリティ
EES...........................................29
リスク........................................12
セキュリティ証明書、Pulse での.....................6
セッション移行....................................87
および IF-MAP.................................91
およびセッションタイムアウト.................89
および認証サーバーサポート...................89
概要...........................................5
構成する......................................91
タスクサマリ.................................90
セッション寿命....................................19
セッションスクリプト............................108
IC シリーズアプライアンス....................20
SA シリーズ...................................48
Copyright © 2011, Juniper Networks, Inc.
索引
セッションタイムアウト..........................109
Android......................................123
iOS..........................................118
Symbian......................................126
セッションの延長.................................106
接続規則
接続......................................26, 54
接続性
ワイヤレス....................................14
接続設定
SA シリーズアプライアンス................24, 53
接続設定オプション
アダプタタイプ................................51
アダプタタイプ...............................23
コミュニティ文字列........................23, 51
サーバー証明書 DN.........................23, 51
スキャンリスト...........................23, 51
動的証明書信用............................22, 50
動的接続..................................22, 50
ユーザー接続の許可........................22, 50
ユーザーによる接続ポリシの上書きの許可、IC ま
たは SA................................23, 51
ユーザーによる接続ポリシの上書きの許可、
WX.....................................23, 51
ユーザーによる接続ポリシの上書きの許可、ファ
イアウォール...........................23, 51
ログオン情報の保存許可....................22, 50
ワイヤレス抑止............................22, 50
接続設定のオプション..........................21, 49
説明書
関連説明書 ..................................xiv
ソ
ソフトウェアアップグレード
およびバインドされたクライアント...............8
概要..........................................10
ソフトウェアパッケージ.......................43, 71
ソフトウェア要件..................................11
ソフトウェアをロードする
Junos Pulse クライアント用....................82
ソフトトークン............................7, 22, 50
ツ
接続設定オプション
外部ユーザー名............................23, 51
デフォルトインストーラ...........................96
デフォルトの配備..................................95
ト
トラブルシューティング
アプリケーション高速化............26, 51, 54, 80
トークン認証...............................7, 22, 50
ド
動的 VPNs
構成概要......................................74
動的証明書信用
IC シリーズアプライアンス....................22
SA シリーズアプライアンス....................50
動的接続........................................6, 9
IC シリーズアプライアンス....................22
SA シリーズアプライアンス....................50
概要...........................................8
ニ
認識したユーザー設定..........................22, 50
認証
SecurID........................................7
認証方法.........................................104
ハ
配備オプション
概要...........................................8
ハードウェア要件..................................11
ハードトークン.............................7, 22, 50
バ
バインドおよびバインドされていないクライアント
ソフトウェアアップグレード...............43, 70
バインドされていないクライアント
概要...........................................8
バインドされているクライアントとされていないクラ
イアント
概要...........................................8
バージョン
Windows サポート..............................11
ゲートウェイサポート.........................10
バージョン監視ウィルス署名およびファイアウォー
ル...............................................7
デ
ディスク容量要件..................................11
デフォルト、Pulse 構成.............................8
Copyright © 2011, Juniper Networks, Inc.
143
Junos Pulse 管理ガイド
パ
マ
パスワード
Junos Pulse クライアントソフトウェアをダウン
ロードする.................................79
１回のみ..................................22, 50
パッチ評価、ホストチェッカーポリシでの
IC............................................31
SA............................................59
パッチヒョウカ、ホストチェッカーポリシでの........7
パッチ評価バージョン監視...........................7
マシン認証.......................................105
マルウェア、ホストチェッカーポリシ
IC............................................39
SA............................................66
マルウェアに対する保護、スパイウェア
IC............................................39
SA............................................66
メ
フ
メッセージ........................................12
メモリ要件........................................11
ファイアウォールアクセス
SRX 上の構成..................................73
モ
Enable Mobile Security チェックを有効にする......135
ブ
ブラウザ要件......................................11
分割トンネリング
iOS デバイス.................................115
NC および Pulse の比較.......................107
分割トンネリングオプション.......................47
ヤ
役割
Android デバイス.............................121
IC シリーズアプライアンス....................19
iOS デバイス.................................116
SA シリーズアプライアンス....................47
Symbian デバイス.............................125
Windows Mobile デバイス......................130
プ
プッシュ構成..................................41, 68
プラットフォームサポート
Windows.......................................11
ゲートウェイ..................................10
ホ
ホストエンフォーサ..............................106
ホストチェッカー
IC シリーズアプライアンス....................19
IC での Shavlik...............................37
SA での Shavlik...............................65
ホストチェッカーパッチ評価ポリシ..................7
IC............................................31
SA............................................59
ホストチェッカーポリシを使用するシステム管理サー
バー（SMS）.................................36, 63
ホストチェッカーポリシを使用するシステムセンタ
構成マネージャ..............................36, 63
ホストチェック..................................135
ユ
ユーザーインターフェース..........................4
ユーザー接続の許可
IC シリーズアプライアンス....................22
SA シリーズアプライアンス....................50
ユーザーによる接続ポリシの上書きの許可
WX 接続オプション.............................23
接続オプション、WX............................51
接続オプション、IC または SA..............23, 51
接続オプション、ファイアウォール..........23, 51
ユーザーの簡易切換え、セキュリティリスクとして....12
ユーザー名およびパスワード
Junos Pulse クライアントソフトウェアをダウン
ロードする.................................79
ユーザー役割
IC シリーズアプライアンス....................19
リ
ポ
領域
ポート 3578
およびアプリケーション高速化..........26, 51, 54
およびアプリケーション高速化..................80
Android デバイス.............................123
iOS デバイス.................................119
Symbian デバイス.............................127
リリース
ゲートウェイサポート.........................10
144
Copyright © 2011, Juniper Networks, Inc.
索引
隣接関係.........................................110
ル
ルート監視.......................................107
ロ
ログビュアー....................................106
ログインする
Junos Pulse クライアントソフトウェアをダウン
ロードする.................................79
ログオン情報の保存許可
IC シリーズゲートウェイ......................22
SA シリーズアプライアンス....................50
ログファイル
iOS デバイス.................................120
ローカライゼーション..............................12
ローミング........................................20
ワ
ワイヤレスサプリカント...........................14
ワイヤレスサプリカント............................6
ワイヤレス抑止
IC シリーズアプライアンス...............22, 103
SA シリーズアプライアンス....................50
Copyright © 2011, Juniper Networks, Inc.
145
Junos Pulse 管理ガイド
146
Copyright © 2011, Juniper Networks, Inc.