Comments
Description
Transcript
Junos Pulse - Juniper Networks
Junos Pulse 管理ガイド Release リリース 発行: 2011-03-22 Copyright © 2011, Juniper Networks, Inc. Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, California 94089 408-745-2000 www.juniper.net This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright © 1986-1997, Epilogue Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no part of them is in the public domain. This product includes memory allocation software developed by Mark Moraes, copyright © 1988, 1989, 1993, University of Toronto. This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentation and software included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by the Regents of the University of California. Copyright © 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved. GateD software copyright © 1995, the Regents of the University. All rights reserved. Gate Daemon was originated and developed through release 3.0 by Cornell University and its collaborators. Gated is based on Kirton’s EGP, UC Berkeley’s routing daemon (routed), and DCN’s HELLO routing protocol. Development of Gated has been supported in part by the National Science Foundation. Portions of the GateD software copyright © 1988, Regents of the University of California. All rights reserved. Portions of the GateD software copyright © 1991, D. L. S. Associates. This product includes software developed by Maker Communications, Inc., copyright © 1996, 1997, Maker Communications, Inc. Juniper Networks, Junos, Steel-Belted Radius, NetScreen, and ScreenOS are registered trademarks of Juniper Networks, Inc. in the United States and other countries. The Juniper Networks Logo, the Junos logo, and JunosE are trademarks of Juniper Networks, Inc. All other trademarks, service marks, registered trademarks, or registered service marks are the property of their respective owners. Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice. Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned by or licensed to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347, 6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785. Junos Pulse Administration Guide Copyright © 2011, Juniper Networks, Inc. All rights reserved. 改訂履歴 2010-06-09—リリース 1.0 2010-07-01—リリース 1.0 - iOS デバイス サポートのアップデート 2011-01-31—リリース 2.0 The information in this document is current as of the date listed in the revision history. ii Copyright © 2011, Juniper Networks, Inc. END USER LICENSE AGREEMENT READ THIS END USER LICENSE AGREEMENT (“AGREEMENT”) BEFORE DOWNLOADING, INSTALLING, OR USING THE SOFTWARE. BY DOWNLOADING, INSTALLING, OR USING THE SOFTWARE OR OTHERWISE EXPRESSING YOUR AGREEMENT TO THE TERMS CONTAINED HEREIN, YOU (AS CUSTOMER OR IF YOU ARE NOT THE CUSTOMER, AS A REPRESENTATIVE/AGENT AUTHORIZED TO BIND THE CUSTOMER) CONSENT TO BE BOUND BY THIS AGREEMENT. IF YOU DO NOT OR CANNOT AGREE TO THE TERMS CONTAINED HEREIN, THEN (A) DO NOT DOWNLOAD, INSTALL, OR USE THE SOFTWARE, AND (B) YOU MAY CONTACT JUNIPER NETWORKS REGARDING LICENSE TERMS. 1. The Parties. The parties to this Agreement are (i) Juniper Networks, Inc. (if the Customer’s principal office is located in the Americas) or Juniper Networks (Cayman) Limited (if the Customer’s principal office is located outside the Americas) (such applicable entity being referred to herein as “Juniper”), and (ii) the person or organization that originally purchased from Juniper or an authorized Juniper reseller the applicable license(s) for use of the Software (“Customer”) (collectively, the “Parties”). 2. The Software. In this Agreement, “Software” means the program modules and features of the Juniper or Juniper-supplied software, for which Customer has paid the applicable license or support fees to Juniper or an authorized Juniper reseller, or which was embedded by Juniper in equipment which Customer purchased from Juniper or an authorized Juniper reseller. “Software” also includes updates, upgrades and new releases of such software. “Embedded Software” means Software which Juniper has embedded in or loaded onto the Juniper equipment and any updates, upgrades, additions or replacements which are subsequently embedded in or loaded onto the equipment. 3. License Grant. Subject to payment of the applicable fees and the limitations and restrictions set forth herein, Juniper grants to Customer a non-exclusive and non-transferable license, without right to sublicense, to use the Software, in executable form only, subject to the following use restrictions: a. Customer shall use Embedded Software solely as embedded in, and for execution on, Juniper equipment originally purchased by Customer from Juniper or an authorized Juniper reseller. b. Customer shall use the Software on a single hardware chassis having a single processing unit, or as many chassis or processing units for which Customer has paid the applicable license fees; provided, however, with respect to the Steel-Belted Radius or Odyssey Access Client software only, Customer shall use such Software on a single computer containing a single physical random access memory space and containing any number of processors. Use of the Steel-Belted Radius or IMS AAA software on multiple computers or virtual machines (e.g., Solaris zones) requires multiple licenses, regardless of whether such computers or virtualizations are physically contained on a single chassis. c. Product purchase documents, paper or electronic user documentation, and/or the particular licenses purchased by Customer may specify limits to Customer’s use of the Software. Such limits may restrict use to a maximum number of seats, registered endpoints, concurrent users, sessions, calls, connections, subscribers, clusters, nodes, realms, devices, links, ports or transactions, or require the purchase of separate licenses to use particular features, functionalities, services, applications, operations, or capabilities, or provide throughput, performance, configuration, bandwidth, interface, processing, temporal, or geographical limits. In addition, such limits may restrict the use of the Software to managing certain kinds of networks or require the Software to be used only in conjunction with other specific Software. Customer’s use of the Software shall be subject to all such limitations and purchase of all applicable licenses. d. For any trial copy of the Software, Customer’s right to use the Software expires 30 days after download, installation or use of the Software. Customer may operate the Software after the 30-day trial period only if Customer pays for a license to do so. Customer may not extend or create an additional trial period by re-installing the Software after the 30-day trial period. e. The Global Enterprise Edition of the Steel-Belted Radius software may be used by Customer only to manage access to Customer’s enterprise network. Specifically, service provider customers are expressly prohibited from using the Global Enterprise Edition of the Steel-Belted Radius software to support any commercial network access services. The foregoing license is not transferable or assignable by Customer. No license is granted herein to any user who did not originally purchase the applicable license(s) for the Software from Juniper or an authorized Juniper reseller. 4. Use Prohibitions. Notwithstanding the foregoing, the license provided herein does not permit the Customer to, and Customer agrees not to and shall not: (a) modify, unbundle, reverse engineer, or create derivative works based on the Software; (b) make unauthorized copies of the Software (except as necessary for backup purposes); (c) rent, sell, transfer, or grant any rights in and to any copy of the Software, in any form, to any third party; (d) remove any proprietary notices, labels, or marks on or in any copy of the Software or any product in which the Software is embedded; (e) distribute any copy of the Software to any third party, including as may be embedded in Juniper equipment sold in the secondhand market; (f) use any ‘locked’ or key-restricted feature, function, service, application, operation, or capability without first purchasing the applicable license(s) and obtaining a valid key from Juniper, even if such feature, function, service, application, operation, or capability is enabled without a key; (g) distribute any key for the Software provided by Juniper to any third party; (h) use the Software in any manner that extends or is broader than the uses purchased Copyright © 2011, Juniper Networks, Inc. iii by Customer from Juniper or an authorized Juniper reseller; (i) use Embedded Software on non-Juniper equipment; (j) use Embedded Software (or make it available for use) on Juniper equipment that the Customer did not originally purchase from Juniper or an authorized Juniper reseller; (k) disclose the results of testing or benchmarking of the Software to any third party without the prior written consent of Juniper; or (l) use the Software in any manner other than as expressly provided herein. 5. Audit. Customer shall maintain accurate records as necessary to verify compliance with this Agreement. Upon request by Juniper, Customer shall furnish such records to Juniper and certify its compliance with this Agreement. 6. Confidentiality. The Parties agree that aspects of the Software and associated documentation are the confidential property of Juniper. As such, Customer shall exercise all reasonable commercial efforts to maintain the Software and associated documentation in confidence, which at a minimum includes restricting access to the Software to Customer employees and contractors having a need to use the Software for Customer’s internal business purposes. 7. Ownership. Juniper and Juniper’s licensors, respectively, retain ownership of all right, title, and interest (including copyright) in and to the Software, associated documentation, and all copies of the Software. Nothing in this Agreement constitutes a transfer or conveyance of any right, title, or interest in the Software or associated documentation, or a sale of the Software, associated documentation, or copies of the Software. 8. Warranty, Limitation of Liability, Disclaimer of Warranty. The warranty applicable to the Software shall be as set forth in the warranty statement that accompanies the Software (the “Warranty Statement”). Nothing in this Agreement shall give rise to any obligation to support the Software. Support services may be purchased separately. Any such support shall be governed by a separate, written support services agreement. TO THE MAXIMUM EXTENT PERMITTED BY LAW, JUNIPER SHALL NOT BE LIABLE FOR ANY LOST PROFITS, LOSS OF DATA, OR COSTS OR PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES, OR FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES ARISING OUT OF THIS AGREEMENT, THE SOFTWARE, OR ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. IN NO EVENT SHALL JUNIPER BE LIABLE FOR DAMAGES ARISING FROM UNAUTHORIZED OR IMPROPER USE OF ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. EXCEPT AS EXPRESSLY PROVIDED IN THE WARRANTY STATEMENT TO THE EXTENT PERMITTED BY LAW, JUNIPER DISCLAIMS ANY AND ALL WARRANTIES IN AND TO THE SOFTWARE (WHETHER EXPRESS, IMPLIED, STATUTORY, OR OTHERWISE), INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. IN NO EVENT DOES JUNIPER WARRANT THAT THE SOFTWARE, OR ANY EQUIPMENT OR NETWORK RUNNING THE SOFTWARE, WILL OPERATE WITHOUT ERROR OR INTERRUPTION, OR WILL BE FREE OF VULNERABILITY TO INTRUSION OR ATTACK. In no event shall Juniper’s or its suppliers’ or licensors’ liability to Customer, whether in contract, tort (including negligence), breach of warranty, or otherwise, exceed the price paid by Customer for the Software that gave rise to the claim, or if the Software is embedded in another Juniper product, the price paid by Customer for such other product. Customer acknowledges and agrees that Juniper has set its prices and entered into this Agreement in reliance upon the disclaimers of warranty and the limitations of liability set forth herein, that the same reflect an allocation of risk between the Parties (including the risk that a contract remedy may fail of its essential purpose and cause consequential loss), and that the same form an essential basis of the bargain between the Parties. 9. Termination. Any breach of this Agreement or failure by Customer to pay any applicable fees due shall result in automatic termination of the license granted herein. Upon such termination, Customer shall destroy or return to Juniper all copies of the Software and related documentation in Customer’s possession or control. 10. Taxes. All license fees payable under this agreement are exclusive of tax. Customer shall be responsible for paying Taxes arising from the purchase of the license, or importation or use of the Software. If applicable, valid exemption documentation for each taxing jurisdiction shall be provided to Juniper prior to invoicing, and Customer shall promptly notify Juniper if their exemption is revoked or modified. All payments made by Customer shall be net of any applicable withholding tax. Customer will provide reasonable assistance to Juniper in connection with such withholding taxes by promptly: providing Juniper with valid tax receipts and other required documentation showing Customer’s payment of any withholding taxes; completing appropriate applications that would reduce the amount of withholding tax to be paid; and notifying and assisting Juniper in any audit or tax proceeding related to transactions hereunder. Customer shall comply with all applicable tax laws and regulations, and Customer will promptly pay or reimburse Juniper for all costs and damages related to any liability incurred by Juniper as a result of Customer’s non-compliance or delay with its responsibilities herein. Customer’s obligations under this Section shall survive termination or expiration of this Agreement. 11. Export. Customer agrees to comply with all applicable export laws and restrictions and regulations of any United States and any applicable foreign agency or authority, and not to export or re-export the Software or any direct product thereof in violation of any such restrictions, laws or regulations, or without all necessary approvals. Customer shall be liable for any such violations. The version of the Software supplied to Customer may contain encryption or other capabilities restricting Customer’s ability to export the Software without an export license. 12. Commercial Computer Software. The Software is “commercial computer software” and is provided with restricted rights. Use, duplication, or disclosure by the United States government is subject to restrictions set forth in this Agreement and as provided in DFARS 227.7201 through 227.7202-4, FAR 12.212, FAR 27.405(b)(2), FAR 52.227-19, or FAR 52.227-14(ALT III) as applicable. iv Copyright © 2011, Juniper Networks, Inc. 13. Interface Information. To the extent required by applicable law, and at Customer's written request, Juniper shall provide Customer with the interface information needed to achieve interoperability between the Software and another independently created program, on payment of applicable fee, if any. Customer shall observe strict obligations of confidentiality with respect to such information and shall use such information in compliance with any applicable terms and conditions upon which Juniper makes such information available. 14. Third Party Software. Any licensor of Juniper whose software is embedded in the Software and any supplier of Juniper whose products or technology are embedded in (or services are accessed by) the Software shall be a third party beneficiary with respect to this Agreement, and such licensor or vendor shall have the right to enforce this Agreement in its own name as if it were Juniper. In addition, certain third party software may be provided with the Software and is subject to the accompanying license(s), if any, of its respective owner(s). To the extent portions of the Software are distributed under and subject to open source licenses obligating Juniper to make the source code for such portions publicly available (such as the GNU General Public License (“GPL”) or the GNU Library General Public License (“LGPL”)), Juniper will make such source code portions (including Juniper modifications, as appropriate) available upon request for a period of up to three years from the date of distribution. Such request can be made in writing to Juniper Networks, Inc., 1194 N. Mathilda Ave., Sunnyvale, CA 94089, ATTN: General Counsel. You may obtain a copy of the GPL at http://www.gnu.org/licenses/gpl.html, and a copy of the LGPL at http://www.gnu.org/licenses/lgpl.html . 15. Miscellaneous. This Agreement shall be governed by the laws of the State of California without reference to its conflicts of laws principles. The provisions of the U.N. Convention for the International Sale of Goods shall not apply to this Agreement. For any disputes arising under this Agreement, the Parties hereby consent to the personal and exclusive jurisdiction of, and venue in, the state and federal courts within Santa Clara County, California. This Agreement constitutes the entire and sole agreement between Juniper and the Customer with respect to the Software, and supersedes all prior and contemporaneous agreements relating to the Software, whether oral or written (including any inconsistent terms contained in a purchase order), except that the terms of a separate written agreement executed by an authorized Juniper representative and Customer shall govern to the extent such terms are inconsistent or conflict with terms contained herein. No modification to this Agreement nor any waiver of any rights hereunder shall be effective unless expressly assented to in writing by the party to be charged. If any portion of this Agreement is held invalid, the Parties agree that such invalidity shall not affect the validity of the remainder of this Agreement. This Agreement and associated documentation has been written in the English language, and the Parties agree that the English version will govern. (For Canada: Les parties aux présentés confirment leur volonté que cette convention de même que tous les documents y compris tout avis qui s'y rattaché, soient redigés en langue anglaise. (Translation: The parties confirm that this Agreement and all related documentation is and will be in the English language)). Copyright © 2011, Juniper Networks, Inc. v vi Copyright © 2011, Juniper Networks, Inc. 目次 このガイドについて ...............................................xiii 目的 ............................................................xiii 対象者 ...........................................................xiii マニュアルの表記規則 ...............................................xiii 関連マニュアル .....................................................xiv Obtaining Documentation .............................................xiv Documentation Feedback ..............................................xiv Requesting Technical Support ..........................................xv Self-Help Online Tools and Resources ...............................xv Opening a Case with JTAC .........................................xv 第1部 Junos Pulse 第1章 Junos Pulse の概要 ..................................................3 Junos Pulse を導入する ................................................3 位置認識 ........................................................5 セッション移行 ...................................................5 中央管理 ........................................................6 セキュリティ証明書 ...............................................6 準拠と修復 ......................................................7 二要素認証 ......................................................7 バインドされているクライアントとされていないクライアント ...............8 SA シリーズ ゲートウェイと IC シリーズ ゲートウェイの配備オプション ......8 WXC シリーズ ゲートウェイの配備オプション ............................9 SRX シリーズ ゲートウェイの配備オプション ...........................10 自動ソフトウェア更新 .............................................10 サポートされるネットワーク ゲートウェイ ................................10 Junos Pulse クライアントのインストール要件 ..............................11 Junos Pulse クライアント エラー メッセージにアクセスする ..................12 Odyssey アクセス クライアントから Junos Pulse へ移行する ..................14 ワイヤレス接続性、OAC および Junos Pulse ............................14 Network Connect から Junos Pulse に移行する .............................15 第2章 IC シリーズ ゲートウェイに Junos Pulse を構成する .....................17 始める前に .........................................................17 Junos Pulse と IC シリーズ ゲートウェイの概要 ...........................18 Juno Pulse 用の役割を設定する .........................................18 クライアント接続設定のオプション ......................................21 クライアント接続設定を作成する ........................................24 位置認識規則を設定する ...............................................26 Junos Pulse コンポーネント設定オプション ...............................29 Copyright © 2011, Juniper Networks, Inc. vii Junos Pulse 管理ガイド クライアント コンポーネント設定を作成する ...............................30 エンドポイント セキュリティの監視と管理 ................................31 修復オプション ..................................................32 修復メッセージを発行する .............................................35 SMS/SCCM 修復を使用する ..............................................36 Shavlik 修復を使用する ...............................................37 拡張エンドポイント セキュリティを有効にする .............................39 同種類のゲートウェイ間で Junos Pulse 構成をプッシュする ...................41 Pulse の自動アップグレードを有効または無効にする .........................42 Junos Pulse ソフトウェアのアップグレード ...............................43 第3章 SA シリーズ アプライアンスに Junos Pulse を構成する ...................45 始める前に .........................................................45 Junos Pulse および SA シリーズ アプライアンスの概要 ......................45 Junos Pulse および IVS ...........................................46 Juno Pulse 用の役割を設定する .........................................47 Junos Pulse 用の役割オプションを設定する ............................47 クライアント接続設定のオプション ......................................49 クライアント接続設定を作成する ........................................53 位置認識規則を設定する ...............................................54 Junos Pulse コンポーネント設定オプション ...............................57 クライアント コンポーネント設定を作成する ...............................58 エンドポイント セキュリティの監視と管理 ................................59 修復オプション ..................................................60 修復メッセージを発行する .............................................63 SMS/SCCM 修復を使用する ..............................................63 Shavlik 修復を使用する ...............................................65 拡張エンドポイント セキュリティを有効にする .............................66 同種類のゲートウェイ間で Junos Pulse 構成をプッシュする ...................68 Pulse の自動アップグレードを有効または無効にする .........................70 Junos Pulse ソフトウェアのアップグレード ...............................71 第4章 SRX シリーズ ゲートウェイに Junos Pulse を構成する ....................73 Junos Pulse および SRX シリーズ ゲートウェイ ............................73 動的 VPN 構成概要 ...................................................74 第5章 WXC シリーズ ゲートウェイに Junos Pulse を構成する ....................77 Junos Pulse クライアントをインストールする ..............................77 WXC シリーズ ゲートウェイから Junos Pulse クライアントをダウンロードす る ........................................................77 SA シリーズ アプライアンスから Junos Pulse クライアントをダウンロードす る ........................................................78 Junos Pulse クライアントをアンインストールする .......................79 ソフトウェア、構成、およびポリシを管理する ..............................79 WXC シリーズ ゲートウェイから Junos Pulse クライアント ダウンロードを有 効化する ...................................................79 WXC シリーズ ゲートウェイで Junos Pulse クライアント隣接関係を有効化す る ........................................................80 viii Copyright © 2011, Juniper Networks, Inc. 目次 WXC シリーズ ゲートウェイで Junos Pulse クライアント ポリシを構成する ...80 WXC シリーズ ゲートウェイで Junos Pulse クライアントのステータスを表示す る ........................................................81 WXC シリーズ ゲートウェイで Junos Puls クライアント構成を定義する .......82 WXC シリーズ ゲートウェイで Junos Pulse クライアント構成を表示する ......82 Junos Pulse クライアント ソフトウェアを WXC シリーズ ゲートウェイへアッ プロードする ................................................82 WXC シリーズ ゲートウェイから Junos Pulse クライアントを配布する .......83 SA シリーズ アプライアンスから Pulse クライアントを配布する ........83 SMS/SCCM を介して Pulse クライアントを配布する ...................84 第6章 セッション移行 .....................................................87 セッション移行の概要 ................................................87 セッション移行およびセッション タイムアウト .........................89 セッション移行のしくみ ...........................................89 セッション移行とセッション寿命 ....................................89 認証サーバーに関するサポート ......................................89 タスク サマリー:セッション移行を構成する ...............................90 Pulse クライアント用にセッション移行を構成する ..........................91 セッション移行用に IF-MAP 連携型ネットワークを構成する ...................91 第7章 Junos Pulse クライアント ソフトウェアを配備する .......................95 Junos Pulse クライアントのインストールの概要 ............................95 Web からの Junos Pulse クライアントのインストール ........................96 事前構成済みファイルを使用して Junos Pulse クライアントをインストールする ...97 アドバンスド コマンド ライン オプションを使用して Pulse クライアントをイ ンストールする ..............................................98 例 ........................................................99 第2部 Junos Pulse の互換性 第8章 クライアント ソフトウェアの機能比較 .................................103 機能比較:Odyssey アクセス クライアントおよび Junos Pulse .................103 機能比較:Network Connect および Junos Pulse ............................107 Pulse 分割トンネリング ..........................................109 機能比較:WX クライアントおよび Junos Pulse ............................109 第3部 モバイル デバイス対応 Junos Pulse 第9章 モバイル デバイス対応 Junos Pulse および Junos Pulse Mobile Security Suite ............................................................113 概要 .............................................................113 Junos Pulse Mobile Security Gateway ...............................114 第10章 Apple iOS デバイス対応 Junos Pulse ..................................115 Apple iOS 対応 Junos Pulse 概要 ......................................115 始める前に ....................................................116 Apple iOS 対応 Pulse の役割と領域を構成する ............................116 Junos Pulse VPN App をインストールする ................................119 構成プロファイルを使用する ..........................................120 ログ ファイルの収集 ................................................120 Copyright © 2011, Juniper Networks, Inc. ix Junos Pulse 管理ガイド 第11章 Google Android デバイス対応 Junos Pulse .............................121 Android 対応 Junos Pulse 概要 ........................................121 Android 対応 Pulse の役割と領域を構成する ..............................121 第12章 Nokia Symbian デバイス対応 Junos Pulse ..............................125 Symbian 対応 Junos Pulse ............................................125 Symbian デバイスでの Junos Pulse の SA シリーズ アプライアンスの構成 ...125 第13章 Windows Mobile デバイス対応 Junos Pulse .............................129 Windows Mobile 対応 Junos Pulse ......................................129 モバイル デバイス対応の Pulse R1.0 および R2.0 互換性 ................129 Windows Mobile エンドポイント対応の Junos Pulse での SA シリーズ アプラ イアンスを構成する ..........................................130 Windows Mobile デバイスへのアプリケーションの定義 ...................131 第14章 Junos Pulse Mobile Security Suite ...................................133 Junos Pulse Mobile Security 概要 .....................................133 Pulse Mobile Security Suite 機能 ..................................134 Pulse Mobile Security 構成概要 ...................................135 SA シリーズ アプライアンス アクセス用 Pulse Mobile Security を要求する .....135 第4部 索引 索引 .............................................................139 x Copyright © 2011, Juniper Networks, Inc. 表の一覧 このガイドについて ...............................................xiii 表1: 注意アイコン .................................................xiii 表2: Junos Pulse 説明書 .............................................xiv 第1部 Junos Pulse 第1章 Junos Pulse の概要 ..................................................3 表3: Junos Pulse クライアントのハードウェアおよびソフトウェア要件 ..........11 第2章 IC シリーズ ゲートウェイに Junos Pulse を構成する .....................17 表4: Junos Pulse 接続設定の構成可能なパラメータ .........................22 第3章 SA シリーズ アプライアンスに Junos Pulse を構成する ...................45 表5: Junos Pulse 接続設定用の構成可能なパラメータ ........................50 第2部 Junos Pulse の互換性 第8章 クライアント ソフトウェアの機能比較 .................................103 表6: 表7: 表8: 表9: Odyssey アクセス クライアントおよび Junos Pulse との機能比較 .........103 Network Connect および Junos Pulse の機能比較 ......................107 Pulse 分割トンネリング ..........................................109 WX クライアントと Junos Pulse の機能比較 ..........................110 第3部 モバイル デバイス対応 Junos Pulse 第14章 Junos Pulse Mobile Security Suite ...................................133 表10: Pulse Mobile Security Suite 機能 ................................134 Copyright © 2011, Juniper Networks, Inc. xi Junos Pulse 管理ガイド xii Copyright © 2011, Juniper Networks, Inc. このガイドについて • 目的 xiiiページ • 対象者 xiiiページ • マニュアルの表記規則 xiiiページ • 関連マニュアル xivページ • Obtaining Documentation xivページ • Documentation Feedback xivページ • Requesting Technical Support xvページ 目的 Junos Pulse 管理ガイドは、Junos Pulse について説明しています。ネットワーク管理者の方 を対象とし、Juniper Networks ゲートウェイから Junos Pulse クライアント ソフトウェアを 使用してネットワーク アクセスを設定する方法と管理する方法を説明します。 対象者 この Junos Pulse 管理ガイド は、Juniper Networks ゲートウェイから Junos Pulse クライ アント ソフトウェアを使用して、ネットワーク アクセスの設定と管理を担当するネットワー ク管理者の方を対象としています。このガイドでは、Junos Pulse をアクセス クライアントと して構成する方法を説明します。「Junos Pulse 管理ガイド」 の手続きを使う前に、アクセス ゲートウェイの構成作業を完了しておくことと、また管理方法について熟知している必要があ ります。このガイドは、アクセス ゲートウェイに関するいくつかの管理ガイドを参照していま す。 マニュアルの表記規則 xiiiページの表1 は、このガイドで使用する注意アイコンを示しています。 表1: 注意アイコン アイコン 意味 説明 情報ノート 重要な機能や手順を示します。 注意 データの損失またはハードウェアの損傷の原因となる可能性のある状態を示し ます。 Copyright © 2011, Juniper Networks, Inc. xiii Junos Pulse 管理ガイド 関連マニュアル xivページの表2 には、関連する Junos Pulse の説明を記載しています。 表2: Junos Pulse 説明書 タイトル 説明 Junos Pulse Mobile Security 管理ガイド Pulse Mobile Security Suite について記載し、モバイル デバイスにおけるセキュリ ティの設定および管理を担当するネットワーク管理者を対象とする手順が含まれてい ます。 Junos Pulse Secure Access サービス管理ガイ ド Juniper Networks SA シリーズ アプライアンスの構成および保守方法を記載していま す。 Junos Pulse Access Control サービス管理ガイ ド Unified Access Control ソリューションおよび IC シリーズ 4500 および 6500 デバ イスの構成と保守方法を記載します。 アプリケーション アクセラレーション管理ガイ ド JWOS Web インターフェースを使用して、Juniper Networks WXC アプリケーション ア クセラレーション ゲートウェイおよびそのリモート Junos Pulse クライアントを構 成、監視、管理する方法を記載しています。 Junos セキュリティ構成ガイド Junos OS を起動している SRX シリーズ サービス ゲートウェイのセキュリティ機能 の使用および構成方法を記載しています。 Obtaining Documentation To obtain the most current version of all Juniper Networks technical documentation, see the products documentation page on the Juniper Networks Web site at http://www.juniper.net/. To order a documentation CD, which contains this guide, contact your sales representative. Copies of the Management Information Bases (MIBs) available in a software release are included on the documentation CDs and at http://www.juniper.net/. Documentation Feedback We encourage you to provide feedback, comments, and suggestions so that we can improve the documentation. You can send your comments to [email protected], or fill out the documentation feedback form at https://www.juniper.net/cgi-bin/docbugreport/ . If you are using e-mail, be sure to include the following information with your comments: xiv • Document or topic name • URL or page number • Software release version (if applicable) Copyright © 2011, Juniper Networks, Inc. このガイドについて Requesting Technical Support Technical product support is available through the Juniper Networks Technical Assistance Center (JTAC). If you are a customer with an active J-Care or JNASC support contract, or are covered under warranty, and need post-sales technical support, you can access our tools and resources online or open a case with JTAC. • JTAC policies—For a complete understanding of our JTAC procedures and policies, review the JTAC User Guide located at http://www.juniper.net/us/en/local/pdf/resourceguides/7100059-en.pdf . • Product warranties—For product warranty information, visit http://www.juniper.net/support/warranty/ . • JTAC hours of operation—The JTAC centers have resources available 24 hours a day, 7 days a week, 365 days a year. Self-Help Online Tools and Resources For quick and easy problem resolution, Juniper Networks has designed an online self-service portal called the Customer Support Center (CSC) that provides you with the following features: • Find CSC offerings: http://www.juniper.net/customers/support/ • Search for known bugs: http://www2.juniper.net/kb/ • Find product documentation: http://www.juniper.net/techpubs/ • Find solutions and answer questions using our Knowledge Base: http://kb.juniper.net/ • Download the latest versions of software and review release notes: http://www.juniper.net/customers/csc/software/ • Search technical bulletins for relevant hardware and software notifications: https://www.juniper.net/alerts/ • Join and participate in the Juniper Networks Community Forum: http://www.juniper.net/company/communities/ • Open a case online in the CSC Case Management tool: http://www.juniper.net/cm/ To verify service entitlement by product serial number, use our Serial Number Entitlement (SNE) Tool: https://tools.juniper.net/SerialNumberEntitlementSearch/ Opening a Case with JTAC You can open a case with JTAC on the Web or by telephone. • Use the Case Management tool in the CSC at http://www.juniper.net/cm/ . • Call 1-888-314-JTAC (1-888-314-5822 toll-free in the USA, Canada, and Mexico). For international or direct-dial options in countries without toll-free numbers, see http://www.juniper.net/support/requesting-support.html . Copyright © 2011, Juniper Networks, Inc. xv Junos Pulse 管理ガイド xvi Copyright © 2011, Juniper Networks, Inc. 第1部 Junos Pulse ここでは Junos Pulse を紹介し、Junos Pulse の機能を説明するとともに、構成の概念も示し ます。 • Junos Pulse の概要 3ページ • IC シリーズ ゲートウェイに Junos Pulse を構成する 17ページ • SA シリーズ アプライアンスに Junos Pulse を構成する 45ページ • SRX シリーズ ゲートウェイに Junos Pulse を構成する 73ページ • WXC シリーズ ゲートウェイに Junos Pulse を構成する 77ページ • セッション移行 87ページ • Junos Pulse クライアント ソフトウェアを配備する 95ページ Copyright © 2011, Juniper Networks, Inc. 1 Junos Pulse 管理ガイド 2 Copyright © 2011, Juniper Networks, Inc. 第1章 Junos Pulse の概要 • Junos Pulse を導入する 3ページ • サポートされるネットワーク ゲートウェイ 10ページ • Junos Pulse クライアントのインストール要件 11ページ • Junos Pulse クライアント エラー メッセージにアクセスする 12ページ • Odyssey アクセス クライアントから Junos Pulse へ移行する 14ページ • Network Connect から Junos Pulse に移行する 15ページ Junos Pulse を導入する Junos Pulse は、統合された接続性、位置認識対応ネットワーク アクセス、高速化およびセ キュリティをサポートする、拡張マルチ サービス ネットワーク クライアントです。Junos Pulse は、エンドポイントでの Pulse クライアント ソフトウェアと Pulse 接続設定の構成、 配備、制御をネットワーク管理者に任せることにより、ユーザー体験を簡素化します。 注: モバイル デバイス対応 Junos Pulse については、111ページの「モバイル デバ イス対応 Junos Pulse」 を参照してください。 Junos Pulse は、クライアント ソフトウェアとサーバー ソフトウェアで構成されます。クラ イアント ソフトウェアは、LAN および WAN 上の保護されたリソースやサービスへの安全に認 証されたネットワーク接続を可能にします。サーバー ソフトウェアは、サポートされている Juniper Networks ゲートウェイの管理者インターフェースに統合されます。 Pulse は、Juniper Networks SA シリーズ SSL VPN アプライアンスと連携することにより、企 業およびサービス プロバイダのネットワークにリモート アクセスと接続性を提供します。Pulse は、Juniper Networks Application Acceleration ゲートウェイ(WXC)と連携し、アプリケー ション高速化機能を提供します。また、Juniper Networks IC シリーズ UAC アプライアンスと 連携することにより、LAN ベース ネットワークやアプリケーションへのアクセス向けに、安全 で識別可能な NAC を提供します。さらに、Pulse は、スパイウェア防御やマルウェア対策アプ リケーションなどのサードパーティ製のエンドポイント セキュリティ アプリケーションを統 合します。 Junos Pulse Windows クライアント対応 Junos Pulse クライアント インターフェース(4ペー ジの図1を参照)には、3 つのパネルがあります。[Connections] パネルは、Pulse 接続をリス トします。各接続は、特定のアクセス ゲートウェイを介したネットワーク アクセスを可能に Copyright © 2011, Juniper Networks, Inc. 3 Junos Pulse 管理ガイド する一連のプロパティから成ります。[Connections] パネルは、Pulse インストールごとに表 示されます。[Security] パネルは、Juniper Networks Enhanced Endpoint Security(EES)ア プリケーションなどのオプションのセキュリティ オプションが配備される場合にのみ表示され ます。アクセス ゲートウェイに EES を提供できるライセンスがある場合、EES を有効にして ホストチェッカー構成の一部として配備できます。[Connections] パネルと [Security] パネ ルでは、項目を拡張して詳細情報を表示できます。[Acceleration] パネルは、Pulse クライア ントとアプリケーション アクセラレータ(WXC)ゲートウェイ間に隣接関係がある場合にのみ 表示可能です。 図 1: Junos Pulse クライアント インターフェース Junos Pulse は、LAN アクセス向け Odyssey Access Client、WAN アクセス向け Network Connect または SRX クライアント ソフトウェア、およびアプリケーション高速化サービス向け WX ク ライアント ソフトウェアの機能を組み合わせます。モバイル デバイス(スマートフォン)の ユーザーは、SA シリーズ アプライアンスへの安全な接続性に対応している各アプリケーショ ン ストアから Pulse モバイル デバイス アプリケーションをインストールします。また、モ バイル デバイス ユーザーは、オプションのセキュリティ コンポーネントを有効にすることも できます。 5ページの図2 に、異なるゲートウェイが混在するネットワーク環境で Junos Pulse クライア ント ソフトウェアがどのようにアクセスやアプリケーション高速化を提供するかを示します。 4 Copyright © 2011, Juniper Networks, Inc. 第1章: Junos Pulse の概要 図 2: ネットワークの Junos Pulse 位置認識 位置認識機能を使用すると、エンドポイント所在地に基づき、接続を自動的に有効化するよう に定義できます。Pulse は、管理者が定義した規則を評価してエンドポイントの位置を判断し ます。例えば、ユーザーが自宅から SA シリーズ アプライアンスを経由して企業ネットワーク に接続した時はセキュア トンネルを自動確立する規則や、LAN 経由で企業ネットワークに接続 した時は UAC 接続を確立する規則を定義できます。位置認識規則は、クライアントの IP アド レスとネットワーク インターフェース情報に基づきます。 セッション移行 Junos Pulse のセッション移行機能をサポートするようにアクセス環境を構成すると、ユーザー はあるゲートウェイを経由して一度ネットワークにログインするだけで、再認証する必要なく、 別のゲートウェイへ安全にアクセスすることができます。例えば、ユーザーは自宅で SA シリー ズ アプライアンス経由で接続し、職場に移動後は再度ログインしなくても IC シリーズ アプ ライアンス経由で接続できます。セッション移行機能によって、ユーザーは Juniper Networks ゲートウェイで保護されているネットワーク内の異なるリソースにアクセスするたびに信用情 Copyright © 2011, Juniper Networks, Inc. 5 Junos Pulse 管理ガイド 報を提示する必要もなくなります。ユーザーに対してセッション移行を有効にするには、IF-MAP 連携が必要です。 中央管理 構成を中央で集中管理することは、Junos Pulse の主要な機能の 1 つです。中央管理を実現す るには、IC シリーズもしくは SA シリーズのアプライアンスを使用し、クライアントに必要な すべての接続を構成してから、Push Configuration 機能を使用してそれらの構成を他のサー バーに(IC から IC、または SA から SA)配信します。2 つ以上の Junos Pulse サーバーが あるネットワークでは、クライアントを特定の Junos Pulse サーバーにバインドすることがで きます。 そのサーバーの Junos Pulse 接続を定義できます。接続には、特定のアクセス ゲートウェイ へ接続するために Pulse クライアントに必要なすべての情報を含めます。接続は、Junos Pulse のインストール時にエンドポイントにインストールでき、その後に追加や変更が可能です。各 Junos Pulse 接続のオプションによって、管理者はクライアントに対する管理レベルを定義す ることができます。接続のオプションには次があります。 • デフォルトでは、Junos Pulse 経由のネットワーク接続では、ユーザーはログオン信用情報 を保存できます。ユーザーにログオン時にいつも信用情報を提示させるには、Junos Pulse 管理インターフェースでこの機能を無効にできます。 • 既存の Junos Pulse 接続設定に対して、ユーザーが手動で新しいネットワーク接続を構成で きるかどうかを指定できます。 • 動的接続を作成して、接続設定の配信作業を簡素化することができます。動的接続は、ユー ザーがゲートウェイの Web ポータルにログインした後に、既存の Pulse クライアントに自 動的にダウンロードされます。また、Junos Pulse の Web インストールの一部としてもイン ストールされます。サポートされるアクセス ゲートウェイごとに、デフォルトの接続設定が 1 つあり、その中に動的接続が 1 つあります。 • クライアントが未知の証明書を信用できるかどうかを指定できます。 • クライアントのワイヤレス接続環境を管理することを選択できます。Junos Pulse は、エン ドポイントのネイティブ ワイヤレス サプリカントに依存しますが、クライアントが Pulse 接続を経由して有線ネットワークに接続したときはすべてのワイヤレス接続を切断するよう に Pulse を設定できます。また、Pulse クライアントがワイヤレス インターフェースを経 由して接続される場合に使用可能な、許可されたワイヤレス ネットワーク(スキャン リス ト)を指定することもできます。 セキュリティ証明書 ユーザーは CA サーバーを追加、またはサーバー リストを管理することはできません。ブラウ ザが証明書を扱うのと同じように、Pulse が証明書を扱います。Pulse の動的証明書信用オプ ションが接続に有効な場合、エンドポイントの証明書ストアで定義された CA からの証明書で なければ、ユーザーは提示された証明書を受理または拒否できます。 802.1X 接続は、証明書検証の追加されたレイヤ上で有効です。アクセス デバイス上の 802.1X 接続を定義するとき、各 CA にサーバー証明書識別名を指定できます。 6 Copyright © 2011, Juniper Networks, Inc. 第1章: Junos Pulse の概要 準拠と修復 Pulse はホストチェッカー アプリケーションをサポートすることで、エンドポイントの状態を 評価し、エンドポイントの重要なソフトウェアを更新することができます。IC シリーズおよび SA シリーズ ゲートウェイ上のホストチェッカー ポリシで規則を構成することにより、ネット ワークに入ることを許可されているエンドポイントでのセキュリティ準拠に対応する最小限の 基準を指定することができます。ホストチェッカーを使用し、以下を行うことができます。 • 拡張エンドポイント セキュリティ(EES)でのマルウェア保護 ESS はマルウェア、スパイウェア、ウィールス、ワームがエンドポイントに存在しないこと を確認し、ホストチェッカー ポリシ構成によってこれらのエンドポイントを制限または隔離 することができます。ESS は IC シリーズおよび SA シリーズ ゲートウェイのオプションの ライセンス機能です。 • ウイルス署名監視 ホストチェッカーを構成することで、クライアント コンピュータにインストールされている ウィルス署名、オペレーション システム、ソフトウェア バージョンおよびパッチが最新の ものであるかを監視し、検証することができます。特定の基準を満たしていないエンドポイ ントには、自動修復を設定することができます。 • パッチ管理情報監視、およびパッチ配備 Windows エンドポイントのオペレーティング システムのサービスパック、ソフトウェア バー ジョン、またはデスクトップ アプリケーションのパッチ バージョンの適合性を確認するよ う、ホストチェッカー ポリシを設定できます。 IC シリーズおよび SA シリーズ ゲートウェイは、修復指示(どのパッチまたはソフトウェ アが非適合なのかを説明するメッセージや、エンドポイントがパッチを取得できるリンクな ど)を送信することができます • パッチ修復オプション Pulse およびホストチェッカーは、Microsoft システム管理サーバー、Microsoft システム センタ構成マネージャ(SMS/SCCM)または Shavlik パッチ配備エンジンによってエンドポイ ントの修復をサポートします。SMS/SCCM の場合は、Pulse は事前にインストールされた SMS/SCCM クライアントをトリガし、事前構成された SMS/SCCM サーバーからパッチを取得し ます。Shavlik の場合は、パッチ配備エンジンを使用することにより、 Pulse が修復が必要 なエンドポイントにパッチをダウンロードします。Shavlik は Microsoft およびその他のベ ンダの Web サイトから直接パッチを提供します。(Shavlik 修復にはインターネット接続が 必要です。)Shavlik パッチ管理はオプション機能です。Shavlik パッチ監視および配備に は、別途のライセンスが必要です。 二要素認証 Pulse はソフト トークン、ハード トークン、スマート カード認証での RSA SecurID 認証を サポートします。 SecurID ソフトウェア(RSA クライアント 4.1 およびそれ以上)はすでに クライアント コンピュータにインストールされていなければなりません。 Copyright © 2011, Juniper Networks, Inc. 7 Junos Pulse 管理ガイド バインドされているクライアントとされていないクライアント Pulse のもう 1 つの構成管理機能は、Pulse クライアントを単一のゲートウェイもしくは特定 のゲートウェイ集団にバインドすることです。バインドする目的は、Junos Pulse クライアン トが他のゲートウェイにアクセスした際に、異なる構成を受け取ることを防止することです。 以下に、バインドされている Junos Pulse クライアントとされていないクライアントの動作を 説明します。 • バインドされているクライアント—バインドされているクライアントは、単一ゲートウェイま たはゲートウェイ集団によって管理されます。ゲートウェイの管理者は、エンドポイントに インストールする Junos Pulse 接続とソフトウェア コンポーネントを定義します。アクセ ス ゲートウェイが管理しているクライアントがそのゲートウェイに接続すると、ゲートウェ イは構成とソフトウェア コンポーネントの更新を自動的に設定します。ゲートウェイの管理 者は、ユーザーに対して、ゲートウェイから受け取った接続の追加、削除、変更を許可する ことができます。また、ゲートウェイ管理者は、動的接続(ユーザーがブラウザでゲートウェ イにログインしたときにゲートウェイが追加する接続)を許可できます。動的接続を使用す ると、バインドされているクライアントは、バインドしているゲートウェイとは別のゲート ウェイから接続を追加することができるようになります。 バインドされているエンドポイントは、バインドしているサーバーから接続設定オプション と接続を受け取りますが、Pulse クライアント ソフトウェアを、自動アップグレードオプ ションが有効になっている任意の Pulse サーバーからアップグレードさせることができま す。 • バインドされていないクライアント—バインドされていないクライアントは、そのユーザーに よって管理されます。Junos Pulse ソフトウェアは、接続していない状態でインストールさ れます。ユーザーは接続を手動で追加することになります。サポートされているゲートウェ イの Web ポータルから、動的接続を追加することができます。バインドされていないクライ アントは、どのアクセス ゲートウェイからも構成のアップデートを受け取りません(アクセ ス ゲートウェイで定義されているクライアント構成であっても)。 SA シリーズ ゲートウェイと IC シリーズ ゲートウェイの配備オプション ネットワーク側で、Junos Pulse 構成はサポートされているゲートウェイの管理コンソールに 統合されます。SA シリーズおよび IC シリーズ アプライアンスでは、サポートされている任 意のゲートウェイにクライアントを接続するために必要なすべての接続とコンポーネントを配 備することができます。SA シリーズおよび IC シリーズ アプライアンスは、次の配備オプショ ンをサポートします。 • 8 Web インストール—エンドポイントに必要なすべての接続性とサービスの設定を作成し、アク セス ゲートウェイの Web ポータルに接続するエンドポイントにソフトウェアをインストー ルし、ゲートウェイへ正常にログインします。IC シリーズおよび SA シリーズ アプライア ンスは、デフォルトのクライアント接続設定とクライアント コンポーネント設定を備えてい ます。これらのデフォルト設定を利用すれば、接続設定またはコンポーネント設定を新規に 作成しなくても Junos Pulse をユーザーに配備できます。クライアントのデフォルト設定で は、動的接続や、接続に必要なコンポーネントのみのインストール、そしてエンドポイント が接続する IC シリーズ アプライアンスまたは SA シリーズ アプライアンスへの自動接続 を許可することができます。 Copyright © 2011, Juniper Networks, Inc. 第1章: Junos Pulse の概要 • デフォルト インストーラ—デフォルトの Junos Pulse インストーラ パッケージ(.msi 形式 と .exe 形式の両方)は、アクセス ゲートウェイ ソフトウェアに含まれています。管理者 は、このデフォルト インストーラをエンドポイントに配布してインストールし、その後、 ユーザー側で接続を作成してもらいます。または、デフォルトの Junos Pulse パッケージを インスートールした後に、ユーザーは動的接続が有効にされているアクセス ゲートウェイの ユーザー Web ポータルの場所に移動して、動的接続を自動的にインストールできます。動的 接続は、クライアントが特定のサーバーに接続できるように事前定義された接続パラメータ 設定です。ユーザーがアクセス ゲートウェイのユーザー Web ポータルにログインできる場 合、これらの接続パラメータはダウンロードされて Junos Pulse クライアントにインストー ルされます。 • 事前構成インストーラ—エンドポイントが接続性とサービスに必要とする接続を作成し、設定 ファイル(.jnprpreconfig)およびデフォルトの Pulse .msi インストール プログラムをダ ウンロードします。次に、オプションの設定ファイルで msiexec コマンドを使用して、.msi インストール プログラムを実行します。SMS/SCCM のような標準ソフトウェア配布プロセス によって、msiexec コマンドを使用して Pulse を配備することができます。 注: モバイル デバイス対応の Junos Pulse は Windows エンドポイント対応の Pulse とは別の配備モデルを使用します。モバイル デバイス対応 Pulse については、111 ページの「モバイル デバイス対応 Junos Pulse」 を参照してください。 WXC シリーズ ゲートウェイの配備オプション Junos Pulse クライアントは、クライアント システムとリモート WXC シリーズ ゲートウェイ 間のトラフィックを高速化します。WXC シリーズ ゲートウェイと Pulse クライアントは、互 いに相手を自動検出して、ユーザーの介入なしでトラフィックの高速化を開始します。WXC シ リーズ ゲートウェイは、次の配備オプションをサポートします。 • WXC の管理者は Pulse ダウンロードを有効にし、Pulse クライアント構成を設定すると、 ユーザーは、JWOS 6.1 で動作する WXC シリーズ ゲートウェイから Junos Pulse クライア ントをダウンロードできます。ライセンスがある場合は、Junos Pulse 選択が WXC シリーズ ゲートウェイ対応 Web インターフェースのタスク バーに表示されます。 • ユーザーが SA シリーズ アプライアンスへアクセスした時に、Junos Pulse クライアントを 自動的にダウンロードしインストールすることができます。バージョン 7.0 以降の SA シ リーズ アプライアンスでは、WX 接続を構成し、Pulse クライアント ソフトウェアと一緒に インストールすることができます。さらに、WX 接続を IC シリーズ アプライアンスからク ライアントに配備することもできます。IC シリーズ アプライアンスは、WAN アプリケーショ ン アクセラレーションを使用しない環境の LAN アクセス用ですが、IC シリーズおよび SA シリーズのアプライアンスはあらゆるタイプの Pulse 接続を配備できるため、管理者は Puls を柔軟に配備することができます。 注: モバイル デバイス対応の Junos Pulse はアプリケーション アクセラレーショ ンをサポートしていません。モバイル デバイス対応 Pulse については、111ページ の「モバイル デバイス対応 Junos Pulse」 を参照してください。 Copyright © 2011, Juniper Networks, Inc. 9 Junos Pulse 管理ガイド SRX シリーズ ゲートウェイの配備オプション SRX シリーズ ゲートウェイから Junos Pulse クライアント ソフトウェアを構成して配備する 機能はまだありませんが、Junos OS リリース 10.2 で動作し、動的 VPN アクセスが有効にさ れていて構成済みである SRX シリーズ ゲートウェイに接続するために、エンドポイントは Junos Pulse クライアント ソフトウェアを使用することができます。以下に、SRX シリーズ ゲートウェイ接続の配備オプションについて説明します。 • 「Firewall」接続タイプを使用する接続を作成し、それらを IC および SA シリーズ ゲート ウェイから配備できます。 • Junos Pulse インストーラを、サポートされているゲートウェイから、または Juniper Networks Web からダウンロードして、SMS/SCCM などのローカルの配布方法でインストール できます。Pulse をインストール後に、ユーザー側で SRX ゲートウェイへの接続を作成しま す。 注: モバイル デバイス用の Junos Pulse は SA シリーズ アプライアンスにアクセ スのみ可能です。モバイル デバイス対応 Pulse については、111ページの「モバイ ル デバイス対応 Junos Pulse」 を参照してください。 自動ソフトウェア更新 Junos Pulse クライアント ソフトウェアがエンドポイントに配備されると、ソフトウェアは自 動更新されます。IC シリーズまたは SA シリーズ アプライアンスの Junos Pulse ソフトウェ アをアップグレードすると、更新されたソフトウェア コンポーネントは、クライアントが次回 に接続した時に配信されます。(この自動アップグレード機能を無効にできます。)SRX シリー ズ ゲートウェイおよび WXC シリーズ ゲートウェイは、自動ソフトウェア アップグレードを サポートしません。 新しい接続に必要な追加の Pulse ソフトウェア コンポーネントは、必要に応じてクライアン トに配信されます。ネットワーク接続プロパティは、アクセス ゲートウェイに定義されている クライアントの役割に応じて、接続時にクライアントに渡され、クライアントのコンピュータ に格納されます。 関連項目 • 87ページのセッション移行の概要 • 129ページのWindows Mobile エンドポイント対応 Junos Pulse • 42ページのPulse の自動アップグレードを有効または無効にする サポートされるネットワーク ゲートウェイ 以下の Juniper Networks ゲートウェイは Junos Pulse をサポートします。 10 • IC シリーズ UAC ゲートウェイ リリース 4.0 以降 • SA シリーズ SSL VPN アプライアンス リリース 7.0 以降 Copyright © 2011, Juniper Networks, Inc. 第1章: Junos Pulse の概要 • WXC シリーズ JWOS リリース 6.1 以降 • SRX シリーズ リリース 10.2 以降 注: SRX シリーズ ゲートウェイから Junos Pulse クライアント ソフトウェアを構 成して配備する機能はまだありませんが、Junos OS リリース 10.2 以降を実行する SRX シリーズ ゲートウェイへ接続するには、エンドポイントは Junos Pulse クラ イアント ソフトウェアを使用できます。「Firewall」接続タイプを使用する接続を 作成し、サポートするゲートウェイからそれらを配備できます。さらに、サポート されているゲートウェイから、または Juniper Networks Web から、Pulse インス トーラをダウンロードして、ローカルの配布方法でインストールできます。 関連項目 • 11ページのJunos Pulse クライアントのインストール要件 Junos Pulse クライアントのインストール要件 11ページの表3 では、Windows のエンドポイント対応の Junos Pulse クライアント ソフトウェ アをサポートするために必要な最小限のハードウェアおよびソフトウェア要件を一覧にしてい ます。 モバイル デバイス対応 Pulse については、111ページの「モバイル デバイス対応 Junos Pulse」 を参照してください。拡張プラットフォーム サポート情報については、 http://www.juniper.net/support/products/pulse の「Junos Pulse サポートされるプラットフォー ム ガイド」を参照してください。 表3: Junos Pulse クライアントのハードウェアおよびソフトウェア要件 コンポーネント 要件 オペレーティング システムおよ びブラウザ Windows 7 Enterprise 64 ビット、Internet Explorer 8.0(32 ビッ ト)と Firefox 3.5 Vista Enterprise SP2 32 ビット、Internet Explorer 7.0、Internet Explorer 8.0、および Firefox 3.0 XP Professional SP3 32 ビット、Internet Explorer 7.0、Internet Explorer 8.0、および Firefox 3.5 CPU 500 MHz メモリ RAM 512 MB 使用可能ディスク容量 30 MB の最小空き容量 400 MB の WX 接続容量 Copyright © 2011, Juniper Networks, Inc. 11 Junos Pulse 管理ガイド 注: セキュリティの強化のために、Windows エンドポイントの Fast User Switching (ユーザーの簡易切替え)機能を無効にするようお勧めします。ユーザーの簡易切 替えは、1 台のコンピュータから複数のユーザーが同時にログオンできる機能です。 この機能は、Windows 7 と Windows Vista、および Windows XP のドメイン ユー ザーでは、この機能はデフォルトで有効になっています。ユーザーの簡易切替え機 能を有効にすると、システム上のすべての同時ユーザーのセッションが、ネットワー クおよび IC シリーズ アプライアンスへの現在のデスクトップ接続にアクセスでき ます。したがって、1 人のユーザーがネットワークに接続中に、同じコンピュータ でログインした他のユーザーはその同じネットワークにアクセスできることになり、 セキュリティ リスクが生じます。 関連項目 • 3ページのJunos Pulse を導入する • 10ページのサポートされるネットワーク ゲートウェイ Junos Pulse クライアント エラー メッセージにアクセスする Junos Pulse クライアントのエラー メッセージと警告メッセージは、エンドポイントのメッ セージ カタログ ファイルに存在します。各メッセージは、問題の簡単な説明とより具体的な 説明、さらに解決の方策から構成されています。いくつかのメッセージ カタログ ファイルは、 Junos Pulse コンポーネントがエンドポイントにインストールされるときに、その一部として そのエンドポイントにのみインストールされます。 すべてのメッセージ カタログ ファイルはローカライズされています。ファイル名で、どの言 語であるかを示しています。例:MessageCatalogConnMgr_EN.txt は、英語のファイルであるこ とを示しています。言語は、以下のようなファイル名表記規則で示されます。 12 • DE—ドイツ語 • EN—英語 • ES—スペイン語 • FR—フランス語 • JA—日本語 • KO—韓国語 • ZH—中国語(繁体字) • ZH-CN—中国語(簡体字) Copyright © 2011, Juniper Networks, Inc. 第1章: Junos Pulse の概要 Junos Pulse エンドポイントに保持できるメッセージ カタログ ファイルは次の通りです。 • \Program Files\Common Files\Juniper Networks\8021xAccessMethod\ MessageCatalog8021xAM_DE.txt MessageCatalog8021xAM_EN.txt MessageCatalog8021xAM_ES.txt MessageCatalog8021xAM_FR.txt MessageCatalog8021xAM_JA.txt MessageCatalog8021xAM_KO.txt MessageCatalog8021xAM_ZH-CN.txt MessageCatalog8021xAM_ZH.txt • \Program Files\Common Files\Juniper Networks\Connection Manager\ MessageCatalog8021xAM_DE.txt MessageCatalogConnMgr_EN.txt MessageCatalogConnMgr_ES.txt MessageCatalogConnMgr_FR.txt MessageCatalogConnMgr_JA.txt MessageCatalogConnMgr_KO.txt MessageCatalogConnMgr_ZH-CN.txt MessageCatalogConnMgr_ZH.txt • \Program Files\Common Files\Juniper Networks\eapService\ MessageCatalogEapAM_DE.txt MessageCatalogEapAM_EN.txt MessageCatalogEapAM_ES.txt MessageCatalogEapAM_FR.txt MessageCatalogEapAM_JA.txt MessageCatalogEapAM_KO.txt MessageCatalogEapAM_ZH-CN.txt MessageCatalogEapAM_ZH.txt • \Program Files\Common Files\Juniper Networks\iveConnMethod\ MessageCatalogIveAM_DE.txt MessageCatalogIveAM_EN.txt MessageCatalogIveAM_ES.txt MessageCatalogIveAM_FR.txt MessageCatalogIveAM_JA.txt MessageCatalogIveAM_KO.txt MessageCatalogIveAM_ZH-CN.txt MessageCatalogIveAM_ZH.txt • \Program Files\Common Files\Juniper Networks\JamUI\ MessageCatalogPulseUI_DE.txt MessageCatalogPulseUI_EN.txt MessageCatalogPulseUI_ES.txt MessageCatalogPulseUI_FR.txt MessageCatalogPulseUI_JA.txt MessageCatalogPulseUI_KO.txt MessageCatalogPulseUI_ZH-CN.txt MessageCatalogPulseUI_ZH.txt Copyright © 2011, Juniper Networks, Inc. 13 Junos Pulse 管理ガイド 関連項目 • \Program Files\Common Files\Juniper Networks\JUNS\ MessageCatalogCommon_DE.txt MessageCatalogCommon_EN.txt MessageCatalogCommon_ES.txt MessageCatalogCommon_FR.txt MessageCatalogCommon_JA.txt MessageCatalogCommon_KO.txt MessageCatalogCommon_ZH-CN.txt MessageCatalogCommon_ZH.txt • \Program Files\Common Files\Juniper Networks\WX Client\ MessagecatalogWxAM_DE.txt MessagecatalogWxAM_EN.txt MessagecatalogWxAM_ES.txt MessagecatalogWxAM_FR.txt MessagecatalogWxAM_JA.txt MessagecatalogWxAM_KO.txt MessagecatalogWxAM_ZH-CN.txt MessagecatalogWxAM_ZH.txt • 3ページのJunos Pulse を導入する Odyssey アクセス クライアントから Junos Pulse へ移行する Junos Pulse および Odyssey アクセス クライアント (OAC)リリース 5.3 以降は、同一のエ ンドポイントに同時にインストールすることができます。5.3 より前の OAC バージョンは、 Pulse のインストール前に、ユーザーがアップグレードまたはアンインストールする必要があ ります。Pulse インストール プログラムは、OAC の存在をチェックします。リリース 5.3 以 降の OAC が存在していれば、Pulse のインストールは続行されます。リリース 5.3 より前の OAC では、アンインストールまたはアップグレードを指示するメッセージが表示されます。 ワイヤレス接続性、OAC および Junos Pulse エンドポイントのワイヤレス サプリカントとして機能する OAC は、ワイヤレス ネットワーク へのログイン要求の処理をはじめ、認証サーバーにログイン信用情報の提示、エンドポイント がローミングしている間は接続の維持を行います。エンドポイントのワイヤレス サプリカント として OAC リリース 5.3 以降を引き続き使用可能です。または、Pulse をインストール後に アンインストールしてネイティブ Windows ワイヤレス サプリカントまたは他のワイヤレス接 続ソフトウェアを(エンドポイントにインストールされている場合)アクティブにすることも できます。Junos Pulse には、ワイヤレス サプリカント コンポーネントが含まれていません。 エンドポイントに Junos Puse があり OAC はない場合、ワイヤレス接続のためには Windows ワイヤレス サプリカントを構成する必要があります。 関連項目 14 • 103ページのOAC の機能および Junos Pulse • 10ページのサポートされるネットワーク ゲートウェイ Copyright © 2011, Juniper Networks, Inc. 第1章: Junos Pulse の概要 Network Connect から Junos Pulse に移行する Junos Pulse とNetwork Connect(NC)リリース 6.3 以降は、エンドポイントで同時に動作で きます。例えば、Junos Pulse をサポートしない SA シリーズ アプライアンスへの接続は、NC を使用すると確立できます。 注: Pulse インストール プログラムは、NC が存在するかをチェックします。NC リ リース 6.3 以降を検出すると、インストールを続行します。リリース 6.3 より前 の NC が存在すると、ユーザーに対して NC をアップグレードするよう指示するメッ セージを表示します。 SA シリーズ アプライアンス経由で接続するエンドポイントでは、Junos Pulse が Windows メ イン デスクトップで動作する場合、Secure Virtual Workspace(SVW)内で Junos Pulse を起 動することはできません。Pulse は SVW との連動をサポートしていません。 関連項目 • 107ページのNetwork Connect の機能と Junos Pulse • 10ページのサポートされるネットワーク ゲートウェイ Copyright © 2011, Juniper Networks, Inc. 15 Junos Pulse 管理ガイド 16 Copyright © 2011, Juniper Networks, Inc. 第2章 IC シリーズ ゲートウェイに Junos Pulse を構成する • 始める前に 17ページ • Junos Pulse と IC シリーズ ゲートウェイの概要 18ページ • Juno Pulse 用の役割を設定する 18ページ • クライアント接続設定のオプション 21ページ • クライアント接続設定を作成する 24ページ • 位置認識規則を設定する 26ページ • Junos Pulse コンポーネント設定オプション 29ページ • クライアント コンポーネント設定を作成する 30ページ • エンドポイント セキュリティの監視と管理 31ページ • 修復メッセージを発行する 35ページ • SMS/SCCM 修復を使用する 36ページ • Shavlik 修復を使用する 37ページ • 拡張エンドポイント セキュリティを有効にする 39ページ • 同種類のゲートウェイ間で Junos Pulse 構成をプッシュする 41ページ • Pulse の自動アップグレードを有効または無効にする 42ページ • Junos Pulse ソフトウェアのアップグレード 43ページ 始める前に Junos Pulse の構成を開始する前に、ネットワークの IC シリーズ アプライアンスを構成する 必要があります。また、認証サーバー、サインイン設定、およびその他の認証設定も定義して おく必要があります。認証設定やホストチェッカー設定は、Junos Pulse のインストールに直 に影響します。エンドポイントが保護されているリソースへのアクセスを許可してもらうには 条件を順守する必要があり、管理者がその条件を定義できます。詳細については、「Junos Pulse Access Control サービス管理ガイド」を参照してください。 関連項目 • 3ページのJunos Pulse を導入する Copyright © 2011, Juniper Networks, Inc. 17 Junos Pulse 管理ガイド Junos Pulse と IC シリーズ ゲートウェイの概要 管理者は IC シリーズ アプライアンスを構成し、さらにそのゲートウェイに Junos Pulse の 設定を構成する必要があります。そうすることで、ユーザーが認証を要求する際に、管理者が 作成した役割マッピングとオプションのセキュリティ プロファイルに基づき、役割を割り当て ることができます。ユーザーとデバイスが特定リソースへのアクセスを許可されるのは、その 領域に対する適切な信用情報を提示でき、適切な役割が割り当てられていて、そのエンドポイ ントがセキュリティ制限を順守している場合に限られます。ユーザーは、管理者が定めたセキュ リティ制限を順守しないエンドポイントからネットワークへ接続しようとしても、その領域や 役割へアクセスできません。 Pulse を構成するには、Pulse をどのように配備したいかを決めておく必要があります。Junos Pulse を配備するには、次の 1 つまたは複数のオプションを使用できます。 関連項目 • デフォルトを使用するか、Junos Pulse デフォルトのコンポーネント設定と接続設定を変更 した後に、ユーザー側でゲートウェイのユーザー Web ポータルにログインして Pulse をダ ウンロードして配備します。インストールが完了すると、ユーザーにはネットワーク リソー スへアクセスするために必要なすべての接続が与えられます。 • エンドポイントが接続性とサービスに必要とする接続を作成し、設定ファイル (.jnprpreconfig)およびデフォルトの Pulse .msi インストール プログラムをダウンロー ドします。次に、オプションの設定ファイルで msiexec コマンドを使用して、.msi インス トール プログラムを実行します。SMS/SCCM のような標準ソフトウェア配布プロセスによっ て、msiexec コマンドを使用して Pulse を配備することができます。 • 事前構成されていない Junos Pulse を配備します。IC シリーズ アプライアンスからデフォ ルトの Junos Pulse インストール ファイルを .msi か .exe 形式でダウンロードし、それ を管理者の組織の標準的なソフトウェア配布方法でエンドポイントに配備することができま す。インストーラには事前構成された接続が含まれていないので、ユーザー側で手動でネッ トワーク接続を定義する必要があります。または、管理者がアクセス ゲートウェイごとに動 的接続を作成できます。これらの接続は、ユーザーがゲートウェイのユーザ Web ポータルへ のログイン信用情報を提示したときに、インストールされた Pulse クライアントに自動的に ダウンロードされます。 • 45ページのJunos Pulse および SA シリーズ デバイスの概要 • 73ページのJunos Pulse と SRX シリーズ ゲートウェイ • 79ページのWXC シリーズ ゲートウェイから Pulse クライアント ダウンロードを有効化する Juno Pulse 用の役割を設定する 役割は、役割にマップされるユーザーのネットワーク セッション プロパティを指定します。 以下に、Juno Pulse を導入する役割に適用できる設定オプションについて説明します。役割設 定オプションの詳細については、「Junos Pulse Access Control サービス管理ガイド」を参照 してください。 18 Copyright © 2011, Juniper Networks, Inc. 第2章: IC シリーズ ゲートウェイに Junos Pulse を構成する Pulse エンドポイントに役割を設定するには、次の操作を行います。 1. 管理コンソールで、[Users] > [User Roles] > [New User Role] を選択します。 2. 役割の名前を入力し、オプションで、説明を入力します。ここに入力した名前は [Roles] ページの [Roles] リストに表示されます。 3. [Save Changes] をクリックします。役割設定タブが表示されます。 4. 以下のオプションを設定します。 [General] > [Restrictions] • [Source IP]—ソース IP オプションは、エンドポイントの IP アドレスまたは IP アドレ ス範囲に基づいて、この役割に役務を割り当てます。 • [Browser]—ブラウザ オプションは、Web から IC シリーズ アプライアンスへアクセスす るときに、特定タイプのブラウザを使用するよう強制します。ブラウザ オプションは、 動的接続や、役割を介した Pulse のインストールなど、IC シリーズ アプライアンスに Web ポータルからアクセスする操作にのみ適用できます。Junos Pulse クライアントと IC シリーズ アプライアンス間の通常の接続操作は、ブラウザの制約に影響されません。 • 証明書—証明書オプションでは、ユーザーは適切な認証局から指定されたクライアント側 証明書を有するエンドポイントからサインインする必要があります。このオプションを有 効にする前に、管理コンソールの [Trusted Client CA] ページで、クライアント側証明 書を IC シリーズ アプライアンスにインストール済みであることを確認してください。 • ホストチェッカー—ホストチェッカー オプションでは、ホストチェッカー ポリシを有効 化し、役割に対して 1 つまたは複数のポリシを選択し、その条件をエンドポイントが満 たすべきかどうかを指定できます。認証およびホストチェッカー ポリシの構成について は「Junos Pulse Access Control サービス管理ガイド」を参照してください。 [General] > [Session] オプション • [Session lifetime]—セッション寿命オプションは、ユーザー セッションのタイムアウト 値を設定します。以下のデフォルト値を変更することができます。 • [Max. Session Length]—ユーザー セッションを終了するまでの時間を分単位で指定し ます。ユーザー セッションの間、最大セッション時間の経過前に、IC シリーズ アプ ライアンスは認証信用情報を再入力するようユーザーに要求します。そのため、警告な しにユーザー セッションが終了することを回避できます。 • [Heartbeat Interval]—セッションを存続させるために Pulse クライアントが IC シ リーズ アプライアンスに通知する間隔を指定します。エージェントのハートビート間 隔は、ホストチェッカーのハートビート間隔より長くする必要があります。そうでない と、パフォーマンスに影響することがあります。一般に、エージェントのハートビート 間隔は、ホストチェッカーよりも最低 50% 長く設定します。 • [Heartbeat Timeout]—エンドポイントがハートビートに応答しない場合、IC シリーズ アプライアンスがセッションを終了させるまでの待機時間を指定します。 • [Enable Session Extension]—このオプションは、OAC セッションにのみ適用できます。 Junos Pulse クライアントは、セッション間隔を超過してセッションを延長することを ユーザーに要求しません。 Copyright © 2011, Juniper Networks, Inc. 19 Junos Pulse 管理ガイド • [Roaming session]— ユーザー セッションはソース IP アドレス間を移動して機能するこ とができます。次のローミング セッション オプションがあります。 • [Enabled]—この役割にマップされたユーザーがローミングできるようにします。ローミ ング セッションは異なる IP アドレス間で機能できるため、動的 IP アドレスにアク セスできるモバイル ユーザーは、ある場所から IC シリーズ アプライアンスにサイン インした後、他の場所で操作を継続することができます。 • [Limit to subnet]—ローミング セッションの使用を [Netmasknetmask] ボックスで指 定するローカル サブネットに制限します。特定の IP アドレスでサインインしたユー ザーは、別の IP アドレスでも同じサブネットに含まれている限り、その新しい IP ア ドレスでセッションを継続して使用できます。 • [Disabled]—この役割にマップされたユーザーはローミングすることができなくなりま す。ある IP アドレスからサインインしたユーザーは、別の IP アドレスからアクティ ブのインフラネット コントローラ セッションの使用を継続することができません。 ユーザー セッションは初期のソース IP アドレスに拘束されます。 [General] > [UI] オプション [UI] オプションを使用すると、ブラウザを介してログインしたユーザーに表示する Web ページ オプションを定義できます。この役割に対して認証設定をすでに定義してあること を確認してください。サインイン ポリシ、サインイン ページ、サインイン通知、認証プロ トコル設定については、「Junos Pulse Access Control サービス管理ガイド」を参照して ください。 5. [Agent] タブを選択します。「エージェント」とは、この役割に割り当てられたユーザー用 のクライアント プログラムです。以下のオプションを構成します。 • [Install Agent for this role] を選択します。 • [Install Junos Pulse] を選択します。 6. [Session scripts] 領域で、必要に応じて次の位置を指定することもできます。 • Windows :[Session start script]—Pulse が IC シリーズ アプライアンスに接続後に実 行する、この役割に割り当てられたユーザー用のスクリプトを指定します。例えば、保護 されたリソースで共有するためにエンドポイントにネットワーク ドライブをマップする スクリプトを指定することができます。 • Windows :[Session end script]—Junos Pulse が IC シリーズ アプライアンスから接続 を切断後に実行する、この役割に割り当てられたユーザー用のスクリプトを指定します。 例えば、マップされているネットワーク ドライブの接続を切断するようにスクリプトを 指定できます。開始スクリプトが定義されていない、または開始スクリプトが実行されて いない場合は、終了スクリプトは作動しません。 7. [Save Changes] をクリックし、[Agent] > [Junos Pulse Setting] を選択します。 8. 作成したコンポーネント設定を選択、デフォルトのコンポーネント設定を使用、または [none] を選択します。既存の Pulse ユーザーに新しい接続か更新した接続を配布する目的 でこの役割を作成するには、[none] を選択します。 9. [Users] > [User Realms] > [Select Realm] > [Role Mapping] > [New Rule] を選択して、 Junos Pulse ユーザーを設定済みの役割にマップする、役割マッピング規則を設定します。 20 Copyright © 2011, Juniper Networks, Inc. 第2章: IC シリーズ ゲートウェイに Junos Pulse を構成する 関連項目 • 31ページのエンドポイント セキュリティの監視と管理 クライアント接続設定のオプション Junos Pulse クライアント接続設定には、ネットワーク オプションが含まれています。これら のオプションでは、Junos Pulse をサポートするアクセス ゲートウェイへのクライアント接続 に対して、特定の接続ポリシを設定できます。22ページの表4 では、接続設定オプションにつ いて説明します。 Copyright © 2011, Juniper Networks, Inc. 21 Junos Pulse 管理ガイド 表4: Junos Pulse 接続設定の構成可能なパラメータ オプション ログオン情報の保存許可—Junos Pulse クライアントのログオン信用情報ダイアログ ボックスで、[Save Settings] チェック ボックスを使用可能にするかどうかを制御 します。このチェック ボックスをクリアすると、Junos Pulse クライアントは、 ユーザーに常に信用情報の提示を求めます。このチェック ボックスを選択すると、 ユーザーに信用情報を保存できる選択肢が与えられます。 Junos Pulse クライアントは認識したユーザー設定を保有できます。これらの設定 はエンドポイントに保有され、異なるゲートウェイや方法で接続されるにつれて拡 大していきます。Junos Pulse クライアントは、次の設定を保存できます。 • 証明書の受理 • 証明書の選択 • 領域 • ユーザー名とパスワード • プロキシのユーザー名/パスワード • セカンダリ ユーザー名/パスワード • 役割 注: 認証サーバーが、ACE サーバーまたはRadius サーバーで、認証が [set to Users authenticate using tokens] に設定されている場合、Pulse は [Allow saving logon information] オプションを無視します。ユーザーにユーザー名とトークンの 要求プロンプトが表示されると、[Save settings] チェック ボックスは無効になり ます。Pulse はソフト トークン認証、ハード トークン認証およびスマートカード 認証をサポートします。 ユーザーが設定の保存を選択すると、その情報が、その後の各接続に使用されます。 入力は要求されません。設定が変わると(例えばユーザーがパスワードを変更した 場合)、保存されている設定は無効になり、接続の試行は失敗します。この場合、 ユーザーはクライアントの[Forget Saved Settings] 機能を使用する必要がありま す。[Forget Saved Settings] 機能は、保存されている情報をすべて消去するため、 Junos Pulse はユーザーの次回の接続試行で、必要な情報を要求します。 ユーザー接続の許可—ユーザーによる接続の追加を制御します。 動的証明書信用—ユーザーが未知の証明書を信頼するかどうかを決定します。この チェック ボックスを選択すると、ユーザーは無効な証明書に対して発行される警告 を無視して目的のゲートウェイに接続できます。証明書ベースの認証を設定する詳 細については、「Junos Pulse Access Control サービス管理ガイド」または「Junos Pulse Secure Access サービス管理ガイド」を参照してください。 動的接続—Web ブラウザ経由の新規のサポートされたゲートウェイに遭遇した場合、 新しい接続を自動的に Junos Pulse クライアントへ追加することを許可します。 ワイヤレス抑止—有線接続が利用可能な場合は、ワイヤレス アクセスを無効にしま す。有線接続がなくなると、Pulse は、以下のプロパティを設定してワイヤレス接 続を有効にします。 • ネットワークが中継中でなくても接続する。 • コンピュータ情報が使用可能ならコンピュータとして認証する。 • このネットワークが範囲内なら接続する。 注: ワイヤレス抑止を有効にする場合は、クライアントが有線接続で接続するよう に構成していることも確認します。 22 Copyright © 2011, Juniper Networks, Inc. 第2章: IC シリーズ ゲートウェイに Junos Pulse を構成する 表4: Junos Pulse 接続設定の構成可能なパラメータ (続き) 接続設定用の接続を作成するときは、接続タイプを選択します。接続タイプには次のオプションがありま す。 802.1X オプショ ン アダプタ タイプ—認証に使用するアダプタのタイプを有線またはワイヤレスのいず れかで指定します。 外部ユーザー名—ユーザーが暗号化されたトンネルを本当のログイン名(内部 IDと 呼ばれます)で通過するときに、匿名でログインしているように表示することを有 効にします。これによって、ユーザー信用情報の盗視が防止され、内部識別名も保 護されます。一般には、デフォルト値である匿名デフォルト値を入力します。場合 により、追加のテキストを追加する必要があります。例えば、ユーザーの認証を外 部識別名でサーバーまでルートする場合、[email protected] のような書式を使う 必要があります。ボックスを空白にしておくと、クライアントはユーザーのログイ ン名(内部識別名)を外部識別名として通過させます。 スキャン リスト—アダプタ タイプにワイヤレスを選択した場合、スキャン リスト ボックスを利用して、優先順位に従って接続する SSID を指定することが可能です。 802.1X 接続対応 の信頼されるサー バー リスト サーバー証明書 DN—サーバー証明書識別名(DN)とその署名をする証明局(CA)を 指定します。DN フィールドを空白のままにすると、選択した CA によって署名され ているすべてのサーバー証明書をクライアントが承認することを許可します。 IC または SA オ プション ユーザーによる接続ポリシの上書きの許可—ユーザーに手動での接続または切断によ る接続ポリシの上書きを許可します。一般には、このオプションを選択し、ユーザー があらゆる条件下で接続を確立できるようにします。 [This server]—エンドポイントがこのゲートウェイに接続するかどうかを指定しま す。 [URL]—別のゲートウェイの URL をデフォルト接続として指定できます。異なるサー バーの URL を指定して、ネットワーク内の他のゲートウェイの接続を作成します。 ファイアウォール オプション(動的 VPN 用) ユーザーによる接続ポリシの上書きの許可—ユーザーに手動での接続または切断によ る接続ポリシの上書きを許可します。一般には、このオプションを選択し、ユーザー があらゆる条件下で接続を確立できるようにします。 URL—ファイアウォールの位置を指定します。 WX オプション ユーザーによる接続ポリシの上書きの許可—ユーザーに手動での接続または切断によ る接続ポリシの上書きを許可します。一般には、このオプションを選択し、ユーザー があらゆる条件下で接続を確立できるようにします。 コミュニティ文字列—コミュニティ文字列によって識別されている同じコミュニティ に属する場合のみ、Junos Pulse クライアントおよび Application Acceleration (WXC)ゲートウェイは WAN 最適化のための隣接性を形成することができます。WX 接続の作成時には、その接続のコミュニティ文字列が、Application Acceleration (WXC)ゲートウェイに定義したコミュニティ文字列と一致することを確認してくだ さい。 IC か SA、またはファイアウォール接続を作成する場合は、位置認識機能を制御する規則を含む接続確立 方法も指定することができます。接続を確立するには、以下のオプションを使用できます。 Copyright © 2011, Juniper Networks, Inc. 23 Junos Pulse 管理ガイド 表4: Junos Pulse 接続設定の構成可能なパラメータ (続き) [Manually by the user]—エンドポイントが開始されると、Junos Pulse クライアン ト ソフトウェアが開始しますが、接続は試みません。ユーザーは、Junos Pulse ク ライアントのユーザー インターフェースを使って接続を選択する必要があります。 [Automatically after user logs on]—エンドポイントが開始されて、ユーザーがエ ンドポイントにログインすると、Junos Pulse クライアント ソフトウェアが自動的 に接続します。 注: 自動的に開始するように構成されたエンドポイントへのすべての接続は、動作 開始時に目的のネットワークへの接続を行うようになります。複数接続を避けるに は、位置認識規則を使用します。 [According to location awareness rules]—位置認識規則により、条件付きでエン ドポイントへ接続するようにします。例えば、エンドポイントが社内イントラネッ トに接続している場合は IC シリーズ アプライアンスに接続し、リモート地点にい る場合は SA シリーズ アプライアンスに接続します。 Pulse 接続はエンドポイントにある指定されたインターフェースの IP アドレスを 使用し、そのネットワークの位置を決定します。それぞれの位置認識規則は、以下 の設定を含みます。 • [Name]—記述名。例:“corporate-DNS”名前には、文字、数字、ハイフン、下線 を含むことができます。 • [Action]—IP アドレスを見つけるために接続が行う方法次の中から 1 つを選択 します。 • [DNS Server]—指定のインターフェースのエンドポイントの DNS サーバーが指 定値のうちの 1 つに設定されている場合に、エンドポイントに接続すること を許可します。[Condition] ボックスを使用して、IP アドレスまたはアドレ ス範囲を指定します。 • [Resolve Address]—指定されているインターフェースで、[DNS Name] ボック スで指定されているホスト名が DNS サーバーで解決できる場合は、エンドポ イントは接続できます。[Address Range] ボックスに 1 つまたは複数のアド レス範囲が指定されている場合、アドレスはその中の 1 つに解決されて、表 現の条件を満たす必要があります。 • [Endpoint Address]—指定されているインターフェースの IP アドレスが、[IP Address Range] ボックスで指定されている範囲の内部にあれば、エンドポイ ントは接続できます。 注: 否定の位置認識規則を作成するには、最初に肯定状態を作成してから、規則要 件ロジックを使用して、その規則を否定条件として使用します。 関連項目 • 31ページのエンドポイント セキュリティの監視と管理 クライアント接続設定を作成する Junos Pulse クライアント構成を作成するには、次の操作を行います。 1. 管理コンソールから [Users] > [Junos Pulse] > [Connections] を選択します。 2. [New] をクリックします。 3. 名前を入力し、必要に応じて、この接続設定の説明を入力します。 24 Copyright © 2011, Juniper Networks, Inc. 第2章: IC シリーズ ゲートウェイに Junos Pulse を構成する 注: 接続を作成する前に、接続設定名を入力する必要があります。 4. [Save Changes] をクリックします。 5. メインの [Junos Pulse Connections] ページから、接続設定を選択します。 6. [Options] で、以下のチェック ボックスを選択またはクリアします。 • [Allow saving logon information] • [Allow user connections] • [Dynamic certificate trust] • [Dynamic connections] • [Wireless suppression] 7. [Connections] で、[New] をクリックして新しい接続を定義します。 8. 名前を入力し、必要に応じて、この接続の説明を入力します。 9. 接続のタイプを選択します。以下のタイプの 1 つを選択できます。 • 802.1X • IC or SA • Firewall • WX 10. [802.1X] を選択した場合は、以下のチェック ボックスに値を入力、選択、またはクリアし ます。 • [Adapter type]—有線かワイヤレスを選択します。 • [Outer username]—外部ユーザー名を入力します。 • [Scan list]—優先度の順に接続する SSID を入力します。 11. [Save Changes] をクリックします。 12. [IC or SA] タイプを選択した場合は、以下のチェック ボックスを選択、またはクリアしま す。 • [Allow user to override connection policy] • [Connect automatically] • [This Server]—この接続は、現在作成しているサーバーの URL を使用します。 • [URL]—[This Server]— を選択しなかった場合、その接続のサーバーの URL を指定しま す。 13. [Firewall] を選択した場合には、[Address] ボックスに IP アドレスを入力します。 14. [Options] リストから、次のチェック ボックスを選択またはクリアします。 Copyright © 2011, Juniper Networks, Inc. 25 Junos Pulse 管理ガイド • [Allow user to override connection policy] • [Connect automatically] • [URL]—ファイアウォールのネットワーク アドレスを入力します。 15. (オプション)位置認識規則を作成して、位置認識を有効にできます。位置認識は、特定の インターフェースへの接続を強制できます。詳細については、26ページの「「位置認識規則 の設定」」を参照してください。 16. [WX] を選択する場合は、[Connect Automatically] チェック ボックスを選択し、クライア ントがネットワークの Application Acceleration(WXC)ゲートウェイへの隣接関係を自動 形成できるようにします。 注: アプリケーション高速化を使用する接続は、Kasperskyソフトウェアが Pulse クライアント エンドポイントにインストールされている場合は、UDP ポート 3578 のトラフィックを許可する構成をしなければなりません。 17. クライアント接続設定の作成が済んだら、クライアント コンポーネント設定を作成して、 この接続設定を選択します。 関連項目 • 31ページのエンドポイント セキュリティの監視と管理 位置認識規則を設定する 位置認識機能を使用すると、Pulse クライアントは自己の位置を検出して正しく接続できるよ うになります。例えば、遠隔地で起動された Pulse クライアントは、自動的に SA シリーズ アプライアンスに接続します。ところがその同じクライアントが企業のオフィスで起動される と、自動的に IC シリーズ アプライアンスに接続します。 注: 位置認識とセッション移行は、ユーザーの接続操作を簡素化する点で類似して いますが、それを異なる状況下で実現します。位置認識機能では、どこに接続する かをユーザーの PC ログイン時に、Pulse クライアントが決定します。セッション 移行が発生するのは、ユーザーがログオフする代わりに PC をスタンバイか休止モー ドに切り替えて、その後に異なるネットワーク環境で PC を開始したときです。位 置認識機能を使用すると、Pulse クライアントは的確に新しいセッションを開始し ます。セッション移行機能では、Pulse サーバーはインテリジェントに既存のセッ ションを移行します。 位置認識機能は、管理者が個々の接続に定義する規則に依存します。規則に指定された条件が 真であれば、Pulse は接続を試みます。多数の接続から選別する位置認識規則をセットアップ するには、位置認識規則を各接続に対して定義する必要があります。各位置認識規則は、指定 されたネットワーク インターフェースの IP アドレスに到達できる、または DNS 名を解決す るエンドポイントの能力に基づきます。 26 Copyright © 2011, Juniper Networks, Inc. 第2章: IC シリーズ ゲートウェイに Junos Pulse を構成する 注: 位置認識動作は、分割トンネリング構成から影響を受けます。例えば、位置認 識規則が物理アダプタで作成されたアドレス解決に依存し、分割トンネリングが無 効になっている場合は、Pulse が接続を確立後に、その規則は常に FALSE と解決し ます。 以下に、位置認識規則の例を 2 つの接続で示します。最初の例は、エンドポイントが企業 LAN に接続されると TRUE と判定される IC シリーズ アプライアンス接続です。その次の例は、エ ンドポイントの位置がリモートなら TRUE と判定される SA シリーズ アプライアンス接続で す。 IC シリーズ アプライアンス接続 エンドポイントの物理ネットワーク インターフェースに到達できる DNS サーバーが、管理者の 組織の内部 DNS サーバーの 1 つであれば、接続を確立します。 SA シリーズ アプライアンス接続 エンドポイントの物理ネットワーク インターフェースに到達できる DNS サーバーが、管理者の 組織の内部 DNS サーバーのどれでもなく、SA シリーズ アプライアンスの DNS 名が SA シリー ズ アプライアンスの外部向け IP アドレスに解決される場合は、接続を確立します。 注: 接続を手動か自動に設定でき、または位置認識規則によって制御できます。ユー ザーがログインすると、Pulse クライアントは、自動接続に設定されているか位置 認識規則で制御される接続リストのすべての接続を試みます。 注: 否定の位置認識規則を作成するには、最初に肯定状態を作成してから、規則要 件ロジックを使用して、その規則を否定条件として使用します。 位置認識規則を設定するには、次の操作を行います。 1. 接続を作成していなければ作成します。または既存の接続を開きます。 Firewall 接続と IC または SA 接続に対して位置認識規則を設定できます。位置認識規則 は、802.1X と WX 接続に適用できません。 2. [Connection is established] 領域で、[According to location awareness rules] を選択 し、[New] をクリックします。 3. 規則の名前を指定します。 4. [Action] リストで、次の 1 つを選択します。 • [DNS server]—エンドポイントのネットワーク プロパティに関連付けられている DNS サー バーが、ある値または一連の値に設定されている(またはされていない)場合は、接続し ます。[IP address] ボックスの DNS サーバー IP アドレスを指定します。また、以下の 条件を満足すべきネットワーク インターフェースも指定します。 • [Physical]—エンドポイントの物理インターフェースで条件を満足する必要があります。 • [Junos Pulse]—Junos Pulse が接続を確立する際に作成する仮想インターフェースで条 件を満足する必要があります。 Copyright © 2011, Juniper Networks, Inc. 27 Junos Pulse 管理ガイド • • [Any]—任意のインターフェースを使用します。 [Resolve address]—構成済みのホスト名または一連のホスト名が、エンドポイントにより ある特定の IP アドレスに解決される(またはされない)場合に、接続します。[DNS name] ボックスのホスト名と、[IP address] ボックスの 1 つまたは複数の IP アドレスを指定 します。また、以下の条件を満足すべきネットワーク インターフェースも指定します。 注: Pulse クライアント ソフトウェアは、ネットワークインターフェースが 変化した時に、IP および DNS ポリシを評価します。DNS ルックアップ は、 DNS 構成が変化した時、または特定のホスト レコードの生存時間 (time-to-live)値(10 分)が経過したときに発生します。なんらかの理由 により Pulse がホストを解決できない場合は、構成済み DNS サーバー リス トを 30 秒間隔でポーリングします。過去に正常に解決されたことのあるホス トであれば、time-to-live(生存時間)タイマの時間が切れるまでポーリング を続行します。過去に正常に解決されたことのないホストなら、解決する試み は即座に失敗します。 • [Endpoint Address]—エンドポイントのネットワーク アダプタに、ある範囲または一連の 範囲の内側か外側にある IP アドレスがある場合、接続します。[IP address] ボックス の 1 つまたは複数の IP アドレスを指定します。また、以下の条件を満足すべきネット ワーク インターフェースも指定します。 5. [Save Changes] をクリックします。 1 つまたは複数の規則の作成が済むと、その接続に使用したい各規則を有効にする必要があり ます。規則の否定形を有効にするには、規則のカスタム バージョンを使用します。位置認識規 則を有効にするには、次の操作を行います。 1. 接続の位置認識規則のリストで、有効にしたい各規則の横のチェックボックスを選択しま す。 2. 選択した位置認識規則の施行方法については、次のオプションの 1 つを選択します。 • [All of the above rules]—選択されたすべての位置認識規則が守られる場合にのみ、条 件は TRUE となり、接続を試みます。 • [Any of the above rules]—選択された位置認識規則のどれかが守られる場合に、条件は TRUE となり、接続を試みます。 • [Custom]—選択されたすべての位置認識規則が、[Custom] ボックスで指定されたブール論 理に従い守られる場合にのみ、条件は TRUE となり、接続を試みます。否定の位置認識規 則を指定するには、論理条件式を使用します。例えば、Rule–1 が偽(FALSE)で、Rule–2 が真(TRUE)の場合に、SA シリーズ アプライアンスに接続します。この例のカスタム ボックスでは、ブール論理は次のようになります。NOT Rule-1 AND Rule-2。使用できる ブール論理演算子は、 AND、OR、NOT と、括弧 () です。 3. [Save Changes] をクリックします。 関連項目 28 • 87ページのセッション移行の概要 Copyright © 2011, Juniper Networks, Inc. 第2章: IC シリーズ ゲートウェイに Junos Pulse を構成する Junos Pulse コンポーネント設定オプション Pulse コンポーネント設定には、Junos Pulse 接続性とサービスを提供するソフトウェア コン ポーネントが含まれています。 注: クライアント コンポーネントのオプションは、Web ベースのインストールにの み影響します。事前に構成されたインストーラの場合は、MSIEXEC コマンドの一部 としてコンポーネントを指定します。 コンポーネント設定オプションには、以下の選択肢があります。 • [All components]—すべての Pulse 接続タイプをサポートします。拡張エンドポイント セ キュリティEES ライセンスのある場合のみ利用可能な(EES)コンポーネントは、、ユーザー に割り当てられた役割に必要な場合に限り含まれます。[All components] オプションは、ク ライアント エンドポイントに対して、すべての対応するゲートウェイに接続可能にし、アプ リケーション高速化の使用を可能にする場合にのみ使用されます。 • [No components]—例えば、新しい接続を追加するために、既存の Pulse クライアント構成を 更新します。この設定は新規インストールには使用しないでください。 • [Minimal components]—選択されている接続をサポートする必要があるコンポーネントのみを 含みます。例えば、作成する接続設定が IC もしくは SA 接続を含んでいる場合は、コンポー ネント設定は IC または SA デバイスへの接続に必要なコンポーネントのみを含みます。デ フォルトは [Minimal components] で、選択した接続のために必要なすべてのコンポーネン トを提供し、Junos Pulse インストール ファイルのサイズを制限します。 注: 最小限のコンポーネントおよび接続していない状態で Pulse を配備しないで ください。その場合は、Pulse クライアントはどのデバイスにも接続することが できず、ユーザーは Pulse クライアント インターフェースから接続を作成する ことができません。 注: 選択している Pulse コンポーネントは Web インストールにのみ適用されま す。コマンド ライン オプションを使用して特定のコンポーネントを指定しない 限りは、事前に構成されたインストーラは、常にすべてのコンポーネントをイン ストールします。 関連項目 • 95ページのJunos Pulse クライアントのインストールの概要 • 97ページの事前構成済みファイルを使用して Junos Pulse クライアントをインストールする • 30ページのクライアント コンポーネント設定を作成する Copyright © 2011, Juniper Networks, Inc. 29 Junos Pulse 管理ガイド クライアント コンポーネント設定を作成する Pulse クライアント コンポーネントのオプションは、Web ベースのインストールにのみ影響し ます。事前に構成されたインストーラの場合は、MSIEXEC コマンドの一部としてコンポーネン トを指定します。クライアント コンポーネント設定を作成するには、次の操作を行います。 1. 管理コンソールから [Users] > [Junos Pulse] > [Components] を選択します。 2. [New] をクリックして、新しいコンポーネント設定を作成します。 3. クライアント接続設定をまだ作成していない場合は、[Users] > [Junos Pulse] > [Connections] を選択して、新しい接続設定を作成します。または、デフォルトのクライア ント構成を利用できます。この構成は動的接続を許可し、匿名の外部ユーザー名をサポート するほか、クライアントは IC または SA シリーズ アプライアンスに自動接続できます。 4. クライアント コンポーネント設定の名前を指定します。 5. (オプション)このクライアント コンポーネント設定の説明を入力します。 6. 作成した接続設定を選択するか、またはデフォルトの接続設定を使用します。 7. Junos Pulse クライアント コンポーネントについて、次のオプション ボタンの 1 つを選 択します。 • [All components]—すべての Junos Pulse コンポーネントが含まれ、すべてのアクセス方 法とすべての機能がサポートされます。 • [No components]—例えば、新しい接続を追加するために、既存の Pulse クライアント構 成を更新します。このオプションは Pulse がすでにインストールされている場合にのみ 機能します。Pulse のインストール中には、このオプションを使用しないでください。 • [Minimal components]—選択されている接続をサポートする必要があるコンポーネントの みを含みます。例えば、作成する接続設定が IC もしくは SA 接続を含んでいる場合は、 コンポーネント設定は IC または SA デバイスへの接続に必要なコンポーネントのみを含 みます。デフォルトは [Minimal components] で、選択した接続のために必要なすべての コンポーネントを提供し、Junos Pulse インストール ファイルのサイズを制限します。 注: 最小限のコンポーネントおよび接続していない状態で Pulse を配備しな いでください。その場合は、Pulse クライアントはどのデバイスにも接続する ことができず、ユーザーは Pulse クライアント インターフェースから接続を 作成することができません。 注: 選択している Pulse コンポーネントは Web インストールにのみ適用され ます。コマンド ライン オプションを使用して特定のコンポーネントを指定し ない限りは、事前に構成されたインストーラは、常にすべてのコンポーネント をインストールします。 30 Copyright © 2011, Juniper Networks, Inc. 第2章: IC シリーズ ゲートウェイに Junos Pulse を構成する 8. [Save Changes] をクリックします。 9. コンポーネント設定を作成後に、役割経由でクライアントをユーザーに配布します。ユー ザーが役割にアクセスすると、インストーラは、エンドポイントに自動的にダウンロードさ れます。インストーラ コンポーネントおよび接続が、エンドポイント クライアントに適用 されます。 コンポーネント リストを変更せずに、ある役割のコンポーネント接続に関連付けられてい るクライアント接続を変更すると、エンドポイントが現在接続中であれば即座に、そうでな ければ次回の接続で、エンドポイントの既存の構成が置き換えられます。 1 人のユーザーに割り当てられている複数の役割の各々に異なるコンポーネント設定が含ま れている場合、どのクライアント(コンポーネント設定)を配信すべきかは、エンドポイン トの役割リストの一番目の役割によって決定されます。 関連項目 • 95ページのJunos Pulse クライアントのインストールの概要 • 97ページの事前構成済みファイルを使用して Junos Pulse クライアントをインストールする • 31ページのエンドポイント セキュリティの監視と管理 エンドポイント セキュリティの監視と管理 Windows システムにおいて、エンドポイントのオペレーティング システムのサービス パック、 ソフトウェア バージョン、またはデスクトップ アプリケーションのパッチ バージョンの適合 性を確認するよう、ホストチェッカー ポリシを設定できます。ホストチェッカーは、ホスト チェッカー ポリシで事前定義した規則に対して、ベンダが提供する最新のパッチ バージョン リストを使用します。ホストチェッカーは安全でないパッチをスキャンしません。 IC シリーズ デバイスおよびホストチェッカーは、TNC ベースの整合性測定コレクタ(IMC)お よび整合性測定ベリファイア(IMV)の対応するペア間における情報の流れを管理します。IMC は、ホスト上で動作するソフトウェア モジュールであり、ウイルス対策、スパイウェア対策、 パッチ管理、ファイアウォールなど、ホストに関する設定やセキュリティの情報を収集します。 IMV は、IC シリーズ デバイス上で動作するソフトウェア モジュールであり、ホストの整合性 の特定の側面を確認します。IC シリーズ デバイス上の各 IMV は、クライアント エンドポイ ント上の対応する IMC と連携し、エンドポイントがホストチェッカー規則を満たしていること を確認します。IMC は、エンドポイントを頻繁にスキャンし、セキュリティ ステータスに変化 はないかを確認します。例えば、ユーザーがウイルス チェックを解除した場合、IMC がこのこ とを検出すると、新しい確認作業をトリガして、変更されたシステムがホストチェッカー ポリ シの要件に準拠することを確認します。リモートの IMV サーバー上にインストールされたサー ドパーティの IMV を使用して、クライアント コンピュータ上にインストールされたサードパー ティの IMC をホストチェッカーが監視するように設定することができます。 最新のパッチ バージョン情報は、Juniper のステージング サイトから入手することができま す。最新リストは手動でダウンロードして IC シリーズ デバイスにインポートすることができ ます。もしくは、Juniper のステージング サイトや独自のステージング サイトから、指定し た間隔で自動的にインポートすることも可能です。 監視は、同じポリシ内にはない 1 つ以上の特定の製品または特定のパッチに基づいて行うこと ができます。例えば、Internet Explorer のバージョン 7 を 1 つのポリシでチェックし、別 のポリシで Patch MSOO-039: SSL Certificate Validation Vulnerabilities を確認すること Copyright © 2011, Juniper Networks, Inc. 31 Junos Pulse 管理ガイド ができます。その後、ユーザーが特定パッチの適用された最新バージョンのブラウザを持って いるようにするため、役割レベルまたは領域レベルで両方のポリシをエンドポイントに適用し ます。さらに、Microsoft 製品の場合は、無視したいパッチの重大度を指定することができま す。例えば、低または中程度の脅威を無視することができます。 Junos Pulse を配備する場合は、ホストチェッカーがインストーラに含まれています。役割レ ベルまたは領域レベルでホストチェッカーを呼び出し、認証を試みるエンドポイントに対して アクセス要件を指定できます。領域レベルで実施されているホストチェッカー ポリシは、ユー ザーが認証される前に発生します。認証後に役割レベルでのホストチェッカー ポリシが実行さ れますが、それはユーザーが保護されたリソースへのアクセスを許可される前に行われます。 最初にエンドポイントが IC シリーズ デバイスに接続する場合は、IMC の最新バージョンがホ スト コンピュータにダウンロードされます。初期確認には、10 ~ 20 秒かかります。IMC ファ イルが最新のバージョンでなくなった場合、その後のチェックで自動的にアップデートされま す。 注: エンドポイントがパッチ評価ポリシのある IC シリーズデバイスへ初回接続す るときに、その接続がレイヤ 2 接続の場合は、IMC はダウンロードされません。こ の場合、レイヤ 3 接続を再試行するか、または管理者に連絡するよう指示する指示 メッセージをユーザーに表示するように、修復役割を設定する必要があります。 ホストチェッカー ポリシの構成についての詳細は、「Junos Pulse Access Control サービス 管理ガイド」を参照してください。 修復オプション ホストチェッカーはエンドポイントの問題を識別することができます。しかしながら、ホスト チェッカーおよび IC シリーズ デバイスは、問題を解決することができません。それは非適合 のエンドポイントでの修復タスクを実行することになるからです。これらの問題を修復するた めに、IC シリーズ デバイスは以下の修復オプションをサポートしています。 • 32 ユーザーへの指示—IC シリーズ デバイスは、非適合のパッチまたはソフトウェア、さらに ユーザーが必要なソフトウェアを取得できるリンクを記載したメッセージを送信します。33 ページの図3 にて一般的な Pulse 修復メッセージを示しています。 Copyright © 2011, Juniper Networks, Inc. 第2章: IC シリーズ ゲートウェイに Junos Pulse を構成する 図 3: Pulse 修復指示 • SMS/SCCM 修復を開始する—以前はシステム管理マネージャ(SMS)と呼ばれていたシステム センタ構成マネージャ(ConfigMgr または SCCM)を使用して修復する場合は、エンドポイン トに事前にインストールされた SMS/SCCM クライアントはホストチェッカーによってトリガ され、事前に構成された SMS/SCCM サーバーからパッチを取得します。このメカニズムは、 SMS/SCCM サーバーで公開されているこれらのパッチのみをインストールします。 • Shavlik 修復を開始する—IC シリーズ ソフトウェア R4.1 およびそれ以後のバージョンが Shavlik 修復をサポートしています。Shavlik 修復はオプションのライセンス機能です。ホ ストチェッカーの実行後、エンドポイントに修復が必要な場合、ユーザーは必要なパッチを インストールするように指示されます。修復オプションを自動的に起動するように設定する ことができます。Shavlik パッチ実装エンジンはエンドポイントにダウンロードされます。 エンジンはベンダのパッチ保存場所にリンクし、パッチをインストールします。34ページの 図4 Copyright © 2011, Juniper Networks, Inc. 33 Junos Pulse 管理ガイド 図 4: Shavlik パッチ修復の Pulse クライアント スクリーン 34 Copyright © 2011, Juniper Networks, Inc. 第2章: IC シリーズ ゲートウェイに Junos Pulse を構成する 関連項目 • 35ページの修復メッセージを発行する • 36ページのSMS/SCCM 修復を使用する • 37ページのShavlik 修復を使用する 修復メッセージを発行する ホストチェッカー ポリシがエンドポイントが準拠していないことを発見すると、ホストチェッ カーは Pulse インターフェースにカスタム指示およびエンドポイントの準拠方法についての理 由文字列を記載したメッセージを表示します。エンドポイントが保護されたリソースにアクセ スできるようになる前に、ユーザーはメッセージに記載されている手順を行わなければなりま せん。 ホストチェッカー ポリシに修復メッセージを指定するには、以下を行います。 1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し ます。 2. [Policies] セクションで、[New] をクリックして、新しいホストチェッカー ポリシを作成 します。 ホストチェッカー規則の設定についての詳細は、「Junos Pulse Access Control サービス 管理ガイド」を参照してください。 3. ホストチェッカー ポリシの一部として、[Enable Custom Instructions] を選択します。 このオプションを選択すると、テキスト ボックスが表示されます。ホストチェッカー修復 ページでユーザーに表示する指示を入力します。テキストをフォーマットして、ポリシ サー バーや Web サイトなどのリソースへのリンクを追加するには、以下のような HTML タグを 使用します。<i>、<b>、<br>、<font>、および<a href> が使用できます。例: 最新の署名ファイルがありません。 <a href=”www.company.com”>ここをクリックして、最新の署名ファイルをダウンロードし てください。</a> 4. オプションとして、[Send reason strings] を選択します。ホストチェッカーまたは IMV によって返され、クライアント コンピュータがホストチェッカー ポリシの要件を満たして いない理由を説明するユーザーに対するメッセージ(理由文字列と呼ばれる)を表示するに は、このオプションを選択します。理由文字列はユーザーに IMV がクライアント コンピュー ターでチェックした事項を説明します。このオプションは、事前に定義された規則、カスタ ム規則、および Juniper Networks TNC SDK のエクステンションを使用するサードパーティ IMV に適用されます。 5. [Save Changes] をクリックします。 Pulse ユーザーに対して設定した領域または役割でのホストチェッカー ポリシを含んでいるこ とを確認します。 関連項目 • 31ページのエンドポイント セキュリティの監視と管理 • 36ページのSMS/SCCM 修復を使用する • 37ページのShavlik 修復を使用する Copyright © 2011, Juniper Networks, Inc. 35 Junos Pulse 管理ガイド SMS/SCCM 修復を使用する Junos Pulse は、パッチ配備に SMS/SCCM ダウンロード方式をサポートします。IC シリーズ デバイスがパッチ配備用に SMS/SCCM 方式を構成している場合は、Pulse クライアントのエン ドポイントは SMS/SCCM クライアントをすでにインストールしている必要があります。そうで ない場合は修復は失敗します。 通常、ソフトウェア管理用に SMS/SCCM が設定されたエンドポイントでは、15 分以上の間隔で 更新のためサーバーをポーリングします。最悪のシナリオでは、既存のホストチェッカー ソフ トウェア要件に準拠しないクライアントは、次の更新間隔までログインを待つ必要があります。 SMS/SCCM ダウンロード方式を使用すると、パッチ評価チェック直後にソフトウェア更新を開始 するよう、クライアントに強制できます。ユーザーがログインを試み、ホストチェッカー パッ チ評価ポリシに準拠するために必要なソフトウェア バージョンがエンドポイントにない場合、 ホストチェッカーは、すぐに更新するためサーバーをポーリングするよう、直ちにクライアン トに通知します。クライアントは、SMS/SCCM 更新が開始したという通知を受領します。 通知を受けたときに、クライアントを更新するように SMS/SCCM を構成するには、SMS/SCCM で アドバタイズメント時間を [As soon as possible] に設定します。 クライアントを、SMS/SCCM サーバーの特定のグループまたはコレクションに割り当てると、 サーバーは、そのコレクション用のパッチをアドバタイズできます。コレクションに対応する 役割を IC シリーズ デバイスで設定できます。SMS/SCCM は、その役割に適したパッチを送信 できます。 エンドポイント上に SMS/SCCM クライアントを適切にインストール、設定し、SMS/SCCM サー バーが到達可能でなければなりません。レイヤ 2 ネットワークでは、エンドポイントがネット ワークに接続される前に、ホストチェッカーが実行されます。ホストチェッカーは、クライア ントに設定された SMS/SCCM サーバーの IP アドレスを取得できます。エンドポイントが非準 拠になり修復が必要な場合、クライアントを更新するようサーバーに通知できるまで、ホスト チェッカーは、15 秒ごとにサーバー IP アドレスに ping を送信します。 この機能が有効な場合、予期される動作をユーザーに通知しなければなりません。SMS/SCCM が アドバタイズメントを返信するまで、ユーザーに通知はありません。 注: Juniper Networks は、いずれかの時点で 1 つのエンドポイントに対して 1 つ のパッチ配備のみを行うことを推奨します。しかしながら、SMS/SCCM 更新が進行中 かどうかを判断する手段がないので、SMS/SCCM 更新が発生しているのと同時に、 パッチ配備エンジンが開始される可能性もあります。(このことは、Pulse が 2 つ のデバイスに接続していて、その 1 つが SMS/SCCM 修復を使用し、もう一方が Shavlik パッチ配備エンジンを使用している場合に起こる可能性があります。)ほ とんどのパッチは 2 つのインスタンスを実行することを許可していないので、一方 の修復操作は失敗することになります。 管理コンソールでは、すべてのホストチェッカー ポリシに対して、1 つのホストチェッカー パッチ修復オプション(SMS/SCCM または Shavlik のいずれか)のみを選択することを許可し ています。 36 Copyright © 2011, Juniper Networks, Inc. 第2章: IC シリーズ ゲートウェイに Junos Pulse を構成する Pulse が 1 つ以上の IC シリーズまたは SA シリーズ デバイスに接続している場合は、一方 は SMS/SCCM 修復を使用し、もう一方は Shavlik 修復を使用し、両方の操作が可能になりま す。両方のデバイスが Shavlik 修復を使用している場合は、この要求はキューされます。 SMS/SCCM 評価および修復を有効にするには、次の操作を行います。 1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し ます。 2. [Policies] セクションで、[New] をクリックして、新しいホストチェッカー ポリシを作成 します。 ホストチェッカー規則の設定についての詳細は、「Junos Pulse Access Control サービス 管理ガイド」を参照してください。 3. [Patch Remediation Options] で、[SMS/SCCM Patch Deployment] を選択します。 4. [Save Changes] をクリックします。 Pulse ユーザーに対して設定した領域または役割でのホストチェッカー ポリシを含んでいるこ とを確認します。 関連項目 • 31ページのエンドポイント セキュリティの監視と管理 • 35ページの修復メッセージを発行する • 37ページのShavlik 修復を使用する Shavlik 修復を使用する 指定のホストチェッカー パッチ ポリシと準拠していない Junos Pulse R2.0 以上を使用する エンドポイントは、必要なパッチで更新され、Shavlik パッチ配備エンジンで自動的に準拠す るようにできます。エンドポイントのホストチェッカー IMC はパッチ配備と連動し、IMV から 報告された欠けているパッチのダウンロードし、インストールを行います。Shavlik ソフトウェ アはエンドポイントで実行され、ベンダの Web サイトから指定のパッチをダウンロードし、ホ ストチェッカー ポリシで必要なパッチをインストールします。Shavlik は IC シリーズ デバ イスでのオプションのライセンス機能です。 注: Shavlik パッチ監視および配備には、別途のライセンスが必要です。 Shavlik パッチ配備エンジンは IC シリーズ デバイスでホストされる実行可能ファイルで、 Pulse 配備の一部としてエンドポイントにダウンロードされます。修復作業中は、配備エンジ ンはベンダの Web サイトから直接パッチをダウンロードするので、Shavlik 修復にはインター ネット接続が必要になります。Shavlik パッチ配備エンジンは、レイヤ 3 接続なしではレイヤ 2 で動作しません。 パッチ評価に必要なファイルのすべては、Juniper Networks Customer Support Center ESAP パッケージにある UAC R4.1 で開始するエンドポイント セキュリティ評価プラグイン(ESAP) の一部です。デフォルトの ESAP パッケージは必要なパッチ配備ファイルに含まれる UAC R4.1 に付属しています。古い ESAP パッケージは、これらのデバイスで更新する際に失敗します。 Copyright © 2011, Juniper Networks, Inc. 37 Junos Pulse 管理ガイド ESAP ファイルの更新方法についての詳細は、「Junos Pulse Access Control サービス管理ガ イド」を参照してください。 パッチ監視対応の IMC および IMV ソフトウェアは下位互換性があります。この機能は、Pulse R2.0 以降で利用可能なので、新しい Pulse と古い IMV(Pulse サポート付き)との通信、ま たは新しい IMV と古い IMC との通信が現在と同じ動作で行われます。パッチ評価には変更が ないので、Shavlik 配備エンジンは修復するために呼び出されません。 注: Juniper Networks は、いずれかの時点で 1 つのエンドポイントに対して 1 つ のパッチ配備操作のみを行うことを推奨します。しかしながら、SMS/SCCM 更新が進 行中かどうかを判断する手段がないので、SMS/SCCM の更新と同時に、パッチ配備エ ンジンが開始される可能性もあります。(このことは、Pulse が 2 つのデバイスに 接続していて、その 1 つが SMS/SCCM 修復を使用し、もう一方が Shavlik パッチ 配備エンジンを使用している場合に起こる可能性があります。)ほとんどのパッチ は 2 つのインスタンスを実行することを許可していないので、一方の修復操作は失 敗することになります。 管理コンソールでは、すべてのホストチェッカー ポリシに対して、1 つのホストチェッカー パッチ修復オプション(SMS/SCCM または Shavlik のいずれか)のみを選択することを許可し ています。 Pulse が 1 つ以上の IC シリーズまたは SA シリーズ デバイスに接続している場合は、一方 は SMS/SCCM 修復を使用し、もう一方は Shavlik 修復を使用し、両方の操作が可能になりま す。両方のデバイスが Shavlik 修復を使用している場合は、この要求はキューされます。 SMS/SCCM 評価および修復を有効にするには、次の操作を行います。 1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し ます。 2. [Policies] セクションで、[New] をクリックして、新しいホストチェッカー ポリシを作成 します。 ホストチェッカー規則の設定についての詳細は、「Junos Pulse Access Control サービス 管理ガイド」を参照してください。 3. [Patch Remediation Options] で、[Shavlik Patch Deployment] を選択します。 4. ユーザーにパッチ更新のインストールをするか決定することを許可するには、[Prompt the user for consent before automatic patch deployment] を選択します。 パッチの配備完了には、少し時間がかかります。パッチによってはシステムの再起動が必要 です。 5. ユーザーからパッチのインストールを要求することを許可する場合は、デフォルト アクショ ンを選択します。ユーザーが 1 分以内に要求への返答をした場合は、デフォルト アクショ ンは自動的に起動します。次のデフォルト アクションから 1 つを選択します。 • [Deploy patches] • [Do not deploy patches] 6. [Save Changes] をクリックします。 38 Copyright © 2011, Juniper Networks, Inc. 第2章: IC シリーズ ゲートウェイに Junos Pulse を構成する 関連項目 • 31ページのエンドポイント セキュリティの監視と管理 • 35ページの修復メッセージを発行する • 36ページのSMS/SCCM 修復を使用する 拡張エンドポイント セキュリティを有効にする ホストチェッカーには、Windows エンドポイントを検出し修復できる統合スパイウェア対策機 能が含まれています。拡張エンドポイント セキュリティ(EES)は、次のマルウェア、スパイ ウェア、ウイルス、またはワームが、IC シリーズ デバイスへの接続を試みるエンドポイント に存在しないことを保証します。また、ホストチェッカー ポリシの設定によって、これらのエ ンドポイントを制限または隔離できます。エンドポイントで EES が実行している場合は、Pulse インターフェースには、EES ステータスを示すセキュリティ ペインが表示されます。 注: デフォルトでは、基本ライセンスは 2 つの同時のエンドポイントにこの機能を 使用することを可能にします。追加したユーザーにこの機能を有効にするには、別 にライセンスを購入することができます。 EES はエンドポイントでのプロセスのスキャン、ファイル システムの書き込みと操作の実行の 監視をし、非準拠のコンピュータを自動的に修復することができます。EES は検出された脅威 を報告しますが、修復はしません。場合によっては、準拠を達成するため、ユーザーは、コン ピュータの再起動を指示される場合があります。 EES は、インターネット上の Web Root Spy Sweeper サーバーからエンドポイントに自動的に ダウンロードされる署名データベースを使用します。署名データベースは、IC シリーズ デバ イス上でホストされません。EES が正常に動作するには、エンドポイントはインターネットに アクセスできる必要があります。さらに、デフォルトの修復役割を設定する場合、修復役割に 指定されるエンドポイントは、*.webroot.com にアクセスできなければなりません。 IC シリーズ デバイスを設定し、署名データベースの有効期限を決定することができます。デー タベースの寿命は、ホストチェッカー ポリシを渡すことにより、ユーザーがリソースにアクセ スできるかどうかを決定するために使用されるしきい値です。例えば、署名が作成されてから 5 日目で、寿命を 3 日に設定している場合、ユーザーは、リソースにアクセスできます。寿命 を 4 日に設定していると、エンドポイントは、ホストチェッカー ポリシに失敗します。署名 の更新は、定期的に行われるので、エンドポイントは通常は最新の更新状態です。 IC シリーズ デバイスへ接続する前に、インターネット接続がエンドポイントで利用できず、 署名の寿命をチェックするオプションを選択している場合、署名が古すぎれば、ポリシに合格 しません。例えば、ユーザーが数日間エンドポイントにアクセスしておらず、署名が最新でな ければ、エンドポイントは、IC シリーズ デバイスにアクセスできません。このことを避ける ために、*.webroot.com での署名更新用にインターネットへの限定アクセスを許容する、デフォ ルトの修復役割を作成しなければなりません。 レイヤ 2 での EES スキャン用に設定したエンドポイントは、どれもチェックに失敗します。 ネットワーク接続を許可するには、ユーザーを修復 VLAN に再割り当てする領域を設定しなけ ればなりません。 これによって、エンドポイントのユーザーが必要な署名更新に接続しダウン ロードできるようになります。または初回接続の場合は、EES はパッケージをインストールし ます。 Copyright © 2011, Juniper Networks, Inc. 39 Junos Pulse 管理ガイド 複数のポリシが作成されず、ポリシを有効にしたすべての領域と役割で同じポリシが使用され るよう、[Endpoint Security] > [Host Checker] メイン ページで EES を設定します。領域ま たは役割を作成するとき、他のホストチェッカー ポリシに加えて EES 制限も有効にできます。 注: エンドポイントに EES ポリシを設定する場合は、ホストチェッカー EES ポリ シによって保護されているリソースへの最初のアクセス試行では、別の EES インス トーラ(約 5MB)がエンドポイントにダウンロードされます。ユーザーのエンドポ イントは問題のあるソフトウェアがあるかをスキャンされ、署名は自動的にインス トールされます。 ユーザー側 大量のデータがダウンロードされ(インストーラに約 5 MB、署名に約 12 MB)、その後メモリ スキャンが行われます。インストール後、署名が更新されます。また、メモリ スキャンが実行 され、スパイウェアがメモリにロードされていないことを確認します。ダウンロード、更新、 スキャンの完了には、長い時間を必要とします。 脅威が検出されると、自動的にホストチェッカーによって修復され、報告はされません。脅威 が修復できない場合は、エンドポイントからサーバーに報告します。エンドポイントの準拠状 態に応じて、役割とユーザー セッションを調整できます。複数のユーザー文字列で、準拠ス テータスをユーザーに自動的に通知します。 EES スパイウェア対策を有効にし使用するには、次の操作を行います。 1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し ます。 2. [Options] で、[Advanced Endpoint Protection: Malware Protection] タブを選択します。 3. [Enable Advanced Endpoint Protection: Malware Protection] チェック ボックスを選択 します。 4. 署名定義データベースの寿命を設定するには、[Signature definitions should not be older than] チェック ボックスを選択します。寿命を日数(3~30)で入力します。この数字は、 署名の許容可能な古さを決定します。ここでは、更新の頻度は変更されません。 5. ネットワーク接続の許可後に、バックグラウンドで即座に EES スキャンを有効にするには、 [Install EES and scan endpoints after network connection is established] チェック ボックスを選択します。 このオプションを選択すると、スキャンが実行される前に、すぐに接続が許可されます。こ のオプションはユーザーが接続し、すぐに作業を開始できるようにします。しかしながら、 エンドポイントがマルウェアをスキャンする前にネットワークへアクセスすることを許可す るので、このオプションの安全性は低いものとなります。 6. [Save Changes] をクリックします。 領域またはロールのホストチェッカー制限を作成または設定すると、[Enhanced Endpoint Security: Malware Protection] を選択して、その役割または領域に適用します。 関連項目 40 • 31ページのエンドポイント セキュリティの監視と管理 • 35ページの修復メッセージを発行する Copyright © 2011, Juniper Networks, Inc. 第2章: IC シリーズ ゲートウェイに Junos Pulse を構成する • 36ページのSMS/SCCM 修復を使用する • 37ページのShavlik 修復を使用する 同種類のゲートウェイ間で Junos Pulse 構成をプッシュする Push Configuration 機能は、Junos Pulse 接続、コンポーネント、アップロードされた Junos Pulse パッケージを中央管理することができます。Push Configuration 機能は、たとえば IC から IC、または SA から SA のように同種類のゲートウェイ間で、構成設定のすべてまたは一 部を選んでコピーすることができます。 このセクションでは、Push Configuration 機能を使用して Pulse を中央管理する方法につい て説明します。Push Configuration 機能でゲートウェイのすべての設定を中央管理する完全な 説明については、適切な管理ガイドを参照してください。 以下に構成のプッシュ機能に関する留意点を示します。 • 1 回の操作で 1 つまたは複数のゲートウェイにプッシュできます。1 回のプッシュ操作で最 大 8 つのゲートウェイにプッシュできます。最大 25 のプッシュ操作を同時に実行できま す。最大ターゲット ゲートウェイ数は 200 です。1 つのターゲット ゲートウェイへのプッ シュが失敗すると、操作は次のターゲットに進み、指定されたすべてのターゲットがアップ デートされるまで続行します。結果ページには、ステータスと処理中に発生した問題が表示 されます。 • クラスタのメンバ ゲートウェイへのプッシュは、ターゲット ゲートウェイがソース ゲート ウェイと同じクラスタのメンバでなければ可能です。 • ターゲット ゲートウェイは、プッシュされた構成設定を拒絶できます。デフォルトでは、受 け入れます。 • 更新終了後に、ターゲット ゲートウェイはサービスを再開します。サービスを再開準備中 に、中断が短時間発生することがあります。したがって、プッシュをターゲットがアイドル 中かこの中断を調整できる時間帯に実行するようお勧めします。 • ターゲット ゲートウェイは、プッシュされた構成の受信時に警告メッセージを発行しませ ん。 • ターゲット ゲートウェイは、プッシュの処理時に自動的に管理者をログアウトします。 • ソースとターゲット ゲートウェイのビルド バージョンと番号は、同じである必要がありま す。 • ソース ゲートウェイの管理者アカウントは、人的介入なしでターゲット ゲートウェイにサ インインする必要があります。たとえば、動的信用情報またはマージされていない複数のロー ルを持つことは、手動による操作を必要とするためできません。 Push Configuration 機能を使用する前に、次の条件に従い、システムを構成する必要がありま す。 • .Administrators 役割にマップし、その結果として管理に関して全権を持つ「スーパー管理 者」を作成する必要があります。[Authentication] > [Auth Servers] > [Administrator Server] > [Users] の設定を変更し、自己に .Administrators 役割を追加します。 Copyright © 2011, Juniper Networks, Inc. 41 Junos Pulse 管理ガイド • ターゲット ゲートウェイの管理者アカウントは、応答/チャレンジ タイプの、認証を使用し ない静的パスワード認証または 2 要素トークンを使用する必要があります。たとえば、証明 書、Soft ID、Defender 認証はサポートされません。[Administrators] > [Admin Realms] > [Administrator Realm] > [General] 設定を変更し、管理者領域の正しい認証サーバーを選 択します。 • ターゲット ゲートウェイにサインするために管理者に役割を選択させるように管理者アカウ ントを設定するのは避けます。例えば、Push Configuration 管理者役割のように、1 つの ユーザーを複数の役割にマップすると、役割を統合しようとして失敗するので、避けます。 Push Configuration 管理者に特定のアカウントを作成すると、管理者がサインイン プロセ スで役割を選択する必要がないことが保証され、さらにログ ファイル中で Push Configuration 管理者のアクションが明瞭に区別できるようになるため、この方策をお勧めします。 [Administrators] > [Admin Realms] > [Administrator Realm] > [Role Mapping] 設定を使 用し、適切な役割マッピング規則を設定します。 あるアクセス ゲートウェイから同種類のゲートウェイに Junos Pulse 構成をプッシュするに は、次の操作を行います。 1. まだターゲットを定義してない場合は、[Maintenance] > [Push Config] > [Targets] を選 択して定義します。ターゲットの定義方法の詳細は、適切なゲートウェイの管理ガイドを参 照してください。 2. 管理コンソールで、[Maintenance] > [Push Config] > [Push Configuration] を選択しま す。 3. [What to push] ボックスで、[Selected configuration] を選択し、構成カテゴリを表示し ます。 4. リストを下方向に移動し、Junos Pulse ラベルの項目を拡張表示します。 5. [Select All Configurations] チェック ボックスを選択し、このゲートウェイのすべての Junos Pulse 構成をプッシュします。または、以下のカテゴリから、選択しない、すべての 項目、または選択した項目のみ、を選択します。 • [Junos Pulse Connections]—接続設定と接続 • [Junos Pulse Components]—コンポーネント設定 • [Junos Pulse Versions]—ゲートウェイにアップロードされた Pulse パッケージ 6. ターゲットを [Selected Targets] ボックスに追加します。 7. [Push Configuration] をクリックします。 Pulse の自動アップグレードを有効または無効にする エンドポイントに配備した Junos Pulse クライアント ソフトウェアは、自動的に更新されま す。Pulse クライアントは、サーバーから更新を受信することができます。ゲートウェイで Pulse ソフトウェアをアップグレードすると、更新されたソフトウェア コンポーネントは、ク ライアントが次回に接続した時にプッシュされます。 42 Copyright © 2011, Juniper Networks, Inc. 第2章: IC シリーズ ゲートウェイに Junos Pulse を構成する 注: バインドされているエンドポイントは、バインドしているサーバーから接続設 定オプションと接続を受け取りますが、Pulse クライアント ソフトウェアを、自動 アップグレード オプションが有効になっている任意の Pulse サーバーからアップ グレードさせることができます。ソフトウェアのアップグレード中は、クライアン トは一時的に接続を失います。 Pulse クライアント ソフトウェアのアップグレードは、デフォルトで有効になっています。こ のアップグレードの動作を変更するには、次の操作を行います。 1. ゲートウェイの管理コンソールで、[Maintenance] > [System] > [Options] を選択します。 2. [Enable automatic upgrade of Junos Pulse Clients] チェック ボックスを選択するかク リアします。 3. [Save Changes] をクリックします。 関連項目 • 43ページのJunos Pulse ソフトウェアをアップグレードする Junos Pulse ソフトウェアのアップグレード サポートされる各ゲートウェイのソフトウェア イメージには、Junos Pulse クライアント ソ フトウェア パッケージが含まれています。新しいバージョンの Pulse ソフトウェアが使用可 能になると、それをゲートウェイにアップロードできます。1 つのゲートウェイに 2 つ以上の Pulse バージョンを置くことができますが、アクティブにできるのは 1 つの Pulse クライア ント パッケージのみです。新しい Pulse バージョンをアクティブにすると、ゲートウェイの 自動アップグレード オプションが有効にされていれば、接続されている Pulse クライアント はユーザーに対してアップグレード要求を表示します。ユーザーは、アップグレードのインス トールを続行するか、キャンセルできます。キャンセルを選択すると、クライアントがサーバー に接続するたびにアップグレード要求が表示されます。ソフトウェアのアップグレード中は、 Pulse クライアントは一時的に接続を失います。 Copyright © 2011, Juniper Networks, Inc. 43 Junos Pulse 管理ガイド 図 5: Pulse クライアント アップグレード メッセージ 新しい Pulse ソフトウェア パッケージをゲートウェイにアクセスできる場所に配備できたら、 以下の操作で IC シリーズまたは SA シリーズ アプライアンスにソフトウェアをアップロード します。 1. デバイスの管理コンソールで、[Users] > [Junos Pulse] > [Components] を選択します。 2. [Manage Junos Pulse Client Versions] セクションで、[Browse] をクリックし、ソフト ウェア パッケージを選択します。 3. [Upload] をクリックします。 1 度に 1 つの Junos Pulse ソフトウェア パッケージのみをアクティブにできます。新しい パッケージのアップロードが済むと、それを有効にする必要があります。 Pulse パッケージをデフォルトとして有効にするには、次の操作を行います。 1. ゲートウェイの管理コンソールで、[Users] > [Junos Pulse] > [Components] を選択しま す。 2. [Manage Junos Pulse Client Versions] セクションで、選択するバージョンの横のラジオ ボタンを選択し、[Activate] をクリックします。 関連項目 44 • 82ページのPulse クライアント ソフトウェアを WXC シリーズ ゲートウェイへアップロード する • 42ページのPulse の自動アップグレードを有効または無効にする Copyright © 2011, Juniper Networks, Inc. 第3章 SA シリーズ アプライアンスに Junos Pulse を構成する • 始める前に 45ページ • Junos Pulse および SA シリーズ アプライアンスの概要 45ページ • Juno Pulse 用の役割を設定する 47ページ • クライアント接続設定のオプション 49ページ • クライアント接続設定を作成する 53ページ • 位置認識規則を設定する 54ページ • Junos Pulse コンポーネント設定オプション 57ページ • クライアント コンポーネント設定を作成する 58ページ • エンドポイント セキュリティの監視と管理 59ページ • 修復メッセージを発行する 63ページ • SMS/SCCM 修復を使用する 63ページ • Shavlik 修復を使用する 65ページ • 拡張エンドポイント セキュリティを有効にする 66ページ • 同種類のゲートウェイ間で Junos Pulse 構成をプッシュする 68ページ • Pulse の自動アップグレードを有効または無効にする 70ページ • Junos Pulse ソフトウェアのアップグレード 71ページ 始める前に Junos Pulse の構成を開始する前に、SA シリーズ アプライアンスをネットワークに構成して おく必要があります。また、認証サーバー、サインイン設定、およびその他の認証設定も定義 しておく必要があります。認証設定やホストチェッカー設定は、Pulse のインストールに直に 影響を与えます。これは、保護されているリソースへアクセスが許可されるためにはエンドポ イントが順守しなければならない条件があり、それを管理者が定義できるためです。詳細につ いては、「Juniper Networks Secure Access サービス管理ガイド」を参照してください。 Junos Pulse および SA シリーズ アプライアンスの概要 管理者は SA シリーズ アプライアンスを構成し、さらにそのゲートウェイに Junos Pulse の 設定を構成する必要があります。そうすることで、ユーザーが認証を要求する際に、管理者が Copyright © 2011, Juniper Networks, Inc. 45 Junos Pulse 管理ガイド 作成した役割マッピングとオプションのセキュリティ プロファイルに基づき、役割を割り当て ることができます。ユーザーとデバイスに特定リソースへのアクセスが許可されるのは、その 領域に対する適切な信用情報を提示でき、適切な役割が割り当てられており、そのエンドポイ ントがセキュリティ制限を順守している場合に限られます。ユーザーは、管理者が定めたセキュ リティ制限を順守しないエンドポイントからネットワークへ接続しようとしても、その領域や 役割へアクセスできません。 Pulse を構成するには、Pulse クライアント ソフトウェアをどのように配備したいかを決めて おく必要があります。Pulse を配備するには、次の 1 つまたは複数のオプションを使用できま す。 • デフォルトを使用するか、Junos Pulse デフォルト コンポーネント設定とデフォルト接続設 定を変更した後に、ユーザーがゲートウェイのユーザー Web ポータルにログインすることに より、Pulse をダウンロード、および配信して、ユーザーに役割を割り当てます。インストー ルが完了すると、ユーザーにはネットワーク リソースへアクセスするために必要なすべての 接続が与えられます。 • エンドポイントが接続性とサービスに必要とする接続を作成し、設定ファイル (.jnprpreconfig)およびデフォルトの Pulse .msi インストール プログラムをダウンロー ドします。次に、オプションの設定ファイルで msiexec コマンドを使用して、.msi インス トール プログラムを実行します。SMS/SCCM のような標準ソフトウェア配布プロセスによっ て、msiexec コマンドを使用して Pulse を配備することができます。 • 事前構成されていない Junos Pulse を配布します。SA シリーズ アプライアンスからデフォ ルトの Junos Pulse インストール ファイルを .msi か .exe 形式でダウンロードし、それ を管理者の組織の標準的なソフトウェア配布方法でエンドポイントに配布することができま す。インストーラには事前構成された接続が含まれていないので、ユーザー側で手動でネッ トワーク接続を定義する必要があります。または、管理者がアクセス ゲートウェイごとに動 的接続を作成できます。これらの接続は、ユーザーがゲートウェイのユーザ Web ポータルへ のログイン信用情報を提示したときに、インストールされた Pulse クライアントに自動的に ダウンロードされます。 SA シリーズ アプライアンスに Junos Pulse を構成する操作を以下に要約します。 • だれがネットワーク上のどのリソースとアプリケーションにアクセスできるかを制御する、 ユーザー役割を作成して割り当てます。アクセス環境をエージェントレス または Network Connect から変更する場合は、Junos Pulse に特定の役割を新たに作成する必要があります。 • ホストチェッカー ポリシを用いて、エンドポイントのセキュリティ制限を定義します。 • 認証ドメインを確立するには、ユーザー領域を定義します。アクセス環境をエージェントレ スまたは Network Connect から変更する場合は、通常は既存の領域を使用します。 • 役割マッピングを用いて、役割を適切な領域に関連付けて、アクセス制御階層を定義します。 • Junos Pulse コンポーネント設定、接続設定、および接続を定義します。 • Junos Pulse をエンドポイントに配備します。 Junos Pulse および IVS Windows クライアント対応の Junos Pulse は SA シリーズ アプライアンスのインスタント仮 想システム(IVS)と互換性がありません。IVS システムでは、Pulse クライアントの IP アド レスは、仮想化された IVE 用に定義されたプールからではなく、ルート IVE アドレスプール 46 Copyright © 2011, Juniper Networks, Inc. 第3章: SA シリーズ アプライアンスに Junos Pulse を構成する から使用されます。IVS の詳細については、Juniper Networks Secure Access サービス管理ガ イドを参照してください。 関連項目 • 47ページのJuno Pulse 用の役割を設定する • 24ページのクライアント接続設定を作成する Juno Pulse 用の役割を設定する ユーザー役割は、セッション設定とオプション、個人用設定(ユーザー インターフェースのカ スタム化とブックマーク)、有効化対応アクセス機能(Web、ファイル、Telnet/SSH、ターミナ ルサービス、ネットワーク、ミーティング、E メール アクセス)を定義します。ユーザー ロー ルでは、個々の要求に対するリソース アクセス コントロールまたはその他のリソース ベース のオプションは指定しません。例えば、ユーザー役割は、ユーザーが Web ブラウズを操作でき るかどうかを定義できます。ただし、アクセスを許可する個々の Web リソースについては、別 の Web リソース ポリシで定義します。 以下に、Pulse に適用される役割の設定オプションの手順を示します。役割設定オプションの 詳細については、「Junos Pulse Secure Access サービス管理ガイド」を参照してください。 Junos Pulse エンドポイント用の役割を作成するには、次の操作を行います。 1. 管理コンソールで、[Users] > [User Roles] > [New User Role] を選択します。 2. 役割の名前を入力し、オプションで、説明を入力します。ここに入力した名前は [Roles] ページの [Roles] リストに表示されます。 3. [Save Changes] をクリックします。[Role] 設定タブが表示されます。 Junos Pulse 用の役割オプションを設定する 役割設定タブのすべてのオプションの説明は、「Junos Pulse Secure Access サービス管理ガ イド」に記載されています。Junos Pulse での特定の役割オプションは、[Network] タブに存 在します。 Junos Pulse エンドポイントに役割を設定するには、次の操作を行います。 1. 管理コンソールで、[Users] > [User Roles] を選択します。 2. 設定したい役割をクリックしてから、[Network Connection] タブをクリックします。 3. [Client Options] で、[Junos Pulse] を選択します。 4. [Split Tunneling Options] で、次の分割トンネリング オプションを選択します。 • 分割トンネリング—分割トンネリング オプションで、 クライアント上のネットワークト ラフィックの流れを定義することができます。 • 有効にする—Pulse がクライアントのルートを変更すると、企業のイントラネット用の トラフィックは Pulse(Pulse トンネル)によって作成された仮想アダプタを使用し、 すべての他のトラフィックはローカルの物理アダプタを経由します。 • 無効にする—Pulse セッションが確立した場合、分割トンネリング動作をする可能性の ある、事前に定義されたローカル サブネットおよびホスト間のルートは削除されます。 Copyright © 2011, Juniper Networks, Inc. 47 Junos Pulse 管理ガイド クライアントからのすべてのネットワーク トラフィックは Pulse トンネルを経由しま す。分割トンネルが無効になると、VPN セッションがアクティブの場合は、ユーザーは ローカル LAN リソースにアクセスすることができません。 注: 位置認識動作は、分割トンネリング構成から影響を受けます。例えば、 位置認識規則が物理アダプタで作成されたアドレス解決に依存し、分割トン ネリングが無効になっている場合は、Pulse が接続を確立後に、その規則は 常に FALSE と解決します。 • • ルート優先—ルート テーブルの優先順位を以下のように定義することができます。 • はい—Pulse 仮想アダプタと関連するルート テーブルが優先されます。Pulse 仮想アダ プタと物理アダプタ間に競合がある場合は、Pulse は物理インターフェースを優先しま す。接続が終了すると、Pulse は元のルートを復元します。 • いいえ—現在の IP ルートを優先します。 ルート監視—Pulse はルート テーブルを監視し、適切なアクションを行います。 • はい—ルート テーブルに変更が行われた場合、Pulse は接続を終了します。 • いいえ—ルート テーブルはクライアントのエンドポイントでの変更を許可されます。 5. [Auto Launch Options] で、[Auto-launch] チェック ボックスを選択して、エンドポイン トの起動時に Pulse が自動的にアクティブになるように設定します。 6. [Session scripts] 領域で、必要に応じて次の位置を指定することもできます。 • Windows :[Session start script]—Junos Pulse が SA シリーズ アプライアンスに接続 後に実行する、この役割りに割り当てられたユーザー用のスクリプトを指定します。例え ば、保護されたリソースで共有するためにエンドポイントにあるネットワーク ドライブ をその保護されたリソースへマップするようにスクリプトを指定することができます。 • Windows :[Session end script]—Junos Pulse が SA シリーズ アプライアンスから接続 を切断後に実行する、この役割りに割り当てられたユーザー用のスクリプトを指定しま す。例えば、マップされているネットワーク ドライブの接続を切断するようにスクリプ トを指定できます。開始スクリプトが定義されていない、または開始スクリプトが実行さ れていない場合は、終了スクリプトは作動しません。 7. [Save Changes] をクリックします。 [Host Checker] オプションでは、ホストチェッカー ポリシの有効化、役割に対する 1 つまた は複数のポリシの選択、選択したホストチェッカー ポリシのすべての条件または 1 つの条件 のみをエンドポイントが満たしていることが必要かどうかの指定などができます。エンドポイ ントのセキュリティ設定を構成する詳細については、「Junos Pulse Access Control サービス 管理ガイド」 を参照してください。 48 Copyright © 2011, Juniper Networks, Inc. 第3章: SA シリーズ アプライアンスに Junos Pulse を構成する 選択した役割のホストチェッカーを設定するには、次の操作を行います。 1. 選択した役割について、[General] > [Restrictions] > [Host Checker] を選択します。 2. [Allow users whose workstations meet the requirements specified by these Host Checker policies] チェック ボックスを選択します。 3. [Add] をクリックしてホストチェッカー ポリシを [Available Policies] リストから [Selected Policies] リストに移動します。 4. [Allow access to the role...] を選択して、エンドポイントが選択したホストチェッカー ポリシのどれかに合格する場合にアクセス権を与えます。 5. [Save Changes] をクリックします。 関連項目 • 45ページのJunos Pulse および SA シリーズ デバイスの概要 クライアント接続設定のオプション Junos Pulse クライアント接続設定には、ネットワーク オプションが含まれています。これら のオプションでは、Junos Pulse をサポートするアクセス ゲートウェイへのクライアント接続 に対して、特定の接続ポリシを設定できます。50ページの表5 では、接続設定オプションにつ いて説明します。 Copyright © 2011, Juniper Networks, Inc. 49 Junos Pulse 管理ガイド 表5: Junos Pulse 接続設定用の構成可能なパラメータ オプション ログオン情報の保存許可—Junos Pulse クライアントのログオン信用情報ダイアログ ボックスで、[Save Settings] チェックボックスを使用可能にするかどうかを制御 します。このチェック ボックスをクリアすると、Junos Pulse クライアントは、 ユーザーに常に信用情報の提示を求めます。このチェック ボックスを選択すると、 ユーザーに信用情報を保存できる選択肢が与えられます。 Junos Pulse クライアントは認識したユーザー設定を保有できます。これらの設定 はエンドポイントに保有され、異なるゲートウェイや方法で接続されるにつれて拡 大していきます。Junos Pulse クライアントは、次の設定を保存できます。 • 証明書の受理 • 証明書の選択 • 領域 • ユーザー名とパスワード • プロキシのユーザー名/パスワード • セカンダリ ユーザー名/パスワード • 役割 注: 認証サーバーが、ACE サーバーまたはRadius サーバーで、認証が [set to Users authenticate using tokens] に設定されている場合、Pulse は [Allow saving logon information] オプションを無視します。ユーザーにユーザー名とトークンの 要求プロンプトが表示されると、[Save settings] チェック ボックスは無効になり ます。Pulse はソフト トークン認証、ハード トークン認証およびスマートカード 認証をサポートします。 ユーザーが設定の保存を選択すると、その情報が、その後の各接続に使用されます。 入力は要求されません。設定が変わると(例えばユーザーがパスワードを変更した 場合)、保存されている設定は無効になり、接続の試行は失敗します。この場合、 ユーザーはクライアントの[Forget Saved Settings] 機能を使用する必要がありま す。[Forget Saved Settings] 機能は、保存されている情報をすべて消去するため、 Junos Pulse はユーザーの次回の接続試行で、必要な情報を要求します。 ユーザー接続の許可—ユーザーによる接続の追加を制御します。 動的証明書信用—ユーザーが未知の証明書を信頼するかどうかを決定します。この チェック ボックスを有効にすると、ユーザーは無効な証明書に対して発行される警 告を無視して目的のゲートウェイに接続できます。証明書ベースの認証を設定する 詳細については、「Junos Pulse Access Control サービス管理ガイド」または 「Junos Pulse Secure Access サービス管理ガイド」を参照してください。 動的接続—Web ブラウザ経由の新規のサポートされたゲートウェイに遭遇した場合、 新しい接続を自動的に Junos Pulse クライアントへ追加することを許可します。 ワイヤレス抑止—有線接続が利用可能な場合は、ワイヤレス アクセスを無効にしま す。 有線接続がなくなると、Pulse は、以下のプロパティを設定してワイヤレス接続を 有効にします。 • ネットワークが中継中でなくても接続する。 • コンピュータ情報が使用可能ならコンピュータとして認証する。 • このネットワークが範囲内なら接続する。 注: ワイヤレス抑止を有効にする場合は、クライアントが有線接続で接続するよう に構成していることも確認します。 50 Copyright © 2011, Juniper Networks, Inc. 第3章: SA シリーズ アプライアンスに Junos Pulse を構成する 表5: Junos Pulse 接続設定用の構成可能なパラメータ (続き) 接続設定用の接続を作成するときは、接続タイプを選択します。接続タイプには次のオプションが提供さ れます。 802.1X オプショ ン アダプタ タイプ—認証に使用するアダプタのタイプを以下から指定します。有線か 無線(ワイアレス)を指定します。 外部ユーザー名—ユーザーが暗号化されたトンネルを本当のログイン名(内部 IDと 呼ばれます)で通過するときに、匿名でログインしているように表示することを有 効にします。これによって、ユーザー信用情報の盗視が防止され、内部識別名も保 護されます。一般には、デフォルト値である匿名デフォルト値を入力します。場合 により、追加のテキストを追加する必要があります。例えば、ユーザーの認証を外 部識別名でサーバーまでルートする場合、[email protected] のような書式を使う 必要があります。ボックスを空白にしておくと、クライアントはユーザーのログイ ン名(内部識別名)を外部識別名として通過させます。 スキャン リスト—アダプタ タイプにワイヤレスを選択した場合、スキャン リスト ボックスを利用して、優先順位に従って接続する SSID を指定することが可能です。 802.1X 接続対応 の信頼されるサー バー リスト サーバー証明書 DN—サーバー証明書識別名(DN)とその署名をする証明局(CA)を 指定します。DN フィールドを空白のままにすると、選択した CA によって署名され ているすべてのサーバー証明書をクライアントが承認することを許可します。 IC または SA オ プション ユーザーによる接続ポリシの上書きの許可—ユーザーに手動での接続または切断によ る接続ポリシの上書きを許可します。一般には、このオプションを選択し、ユーザー があらゆる条件下で接続を確立できるようにします。 [This server]—エンドポイントがこのゲートウェイに接続するかどうかを指定しま す。 [URL]—別のゲートウェイの URL をデフォルト接続として指定できます。異なるサー バーの URL を指定して、ネットワーク内の他のゲートウェイの接続を作成します。 ファイアウォール オプション: ユーザーによる接続ポリシの上書きの許可—ユーザーに手動での接続または切断によ る接続ポリシの上書きを許可します。一般には、このオプションを選択し、ユーザー があらゆる条件下で接続を確立できるようにします。 URL—ファイアウォールの位置を指定します。 WX オプション ユーザーによる接続ポリシの上書きの許可—ユーザーに手動での接続または切断によ る接続ポリシの上書きを許可します。一般には、このオプションを選択し、ユーザー があらゆる条件下で接続を確立できるようにします。 注: アプリケーション高速化を使用する接続は、Kasperskyソフトウェアが Pulse クライアント エンドポイントにインストールされている場合は、UDP ポート 3578 のトラフィックを許可する構成をしなければなりません。 コミュニティ文字列—コミュニティ文字列によって識別されている同じコミュニティ に属する場合のみ、Junos Pulse クライアントおよび Application Acceleration (WXC)ゲートウェイは WAN 最適化のための隣接性を形成することができます。WX 接続の作成時には、その接続のコミュニティ文字列が、Application Acceleration (WXC)ゲートウェイに定義したコミュニティ文字列と一致することを確認してくだ さい。 Copyright © 2011, Juniper Networks, Inc. 51 Junos Pulse 管理ガイド 表5: Junos Pulse 接続設定用の構成可能なパラメータ (続き) IC か SA、またはファイアウォール接続を作成する場合は、位置認識機能を制御する規則を含む接続確立 方法も指定することができます。接続を確立するには、以下のオプションを使用できます。 [Manually by the user]—エンドポイントが開始されると、Junos Pulse クライアン ト ソフトウェアが開始しますが、接続は試みません。ユーザーは、Junos Pulse ク ライアントのユーザー インターフェースを使って接続を選択する必要があります。 [Automatically after user logs on]—エンドポイントが開始し、ユーザーがエンド ポイントにログオンしたときに、Junos Pulse クライアント ソフトウェアが自動的 に接続します。 注: エンドポイントで、自動接続が設定されているすべての接続は、開始時にそれ ぞれのターゲット ネットワークへ接続を試みます。複数の接続を行うことを避ける ために、位置認識規則を構成しなければなりません。 [According to location awareness rules]—位置認識規則により、条件付きでエン ドポイントへ接続するようにします。例えば、エンドポイントが社内イントラネッ トに接続している場合は IC シリーズ アプライアンスに接続し、リモート地点にい る場合は SA シリーズ アプライアンスに接続します。 Pulse 接続はエンドポイントにある指定されたインターフェースの IP アドレスを 使用し、そのネットワークの位置を決定します。それぞれの位置認識規則は、以下 の設定を含みます。 • [Name]—記述名。例:“corporate-DNS”名前には、文字、数字、ハイフン、下線 を含むことができます。 • [Action]—IP アドレスを見つけるために接続が行う方法次の中から 1 つを選択 します。 • [DNS Server]—指定のインターフェースのエンドポイントの DNS サーバーが指 定値のうちの 1 つに設定されている場合に、エンドポイントに接続すること を許可します。IP アドレスまたはアドレス範囲を指定するには、[Condition] ボックスを使用します。 • [Resolve Address]—指定されているインターフェースで、[DNS Name] ボック スで指定されているホスト名が DNS サーバーで解決できる場合は、エンドポ イントは接続できます。[Address Range] ボックスに 1 つまたは複数のアド レス範囲が指定されている場合、アドレスはその中の 1 つに解決されて、表 現の条件を満たす必要があります。 • [Endpoint Address]—指定されているインターフェースの IP アドレスが、[IP Address Range] ボックスで指定されている範囲の内部にあれば、エンドポイ ントは接続できます。 注: 否定の位置認識規則を作成するには、最初に肯定状態を作成してから、規則要 件ロジックを使用して、その規則を否定条件として使用します。 関連項目 52 • 45ページのJunos Pulse および SA シリーズ デバイスの概要 • 24ページのクライアント接続設定を作成する Copyright © 2011, Juniper Networks, Inc. 第3章: SA シリーズ アプライアンスに Junos Pulse を構成する クライアント接続設定を作成する Junos Pulse クライアント構成を作成するには、次の操作を行います。 1. 管理コンソールから [Users] > [Junos Pulse] > [Connections] を選択します。 2. [New] をクリックします。 3. 名前を入力し、必要に応じて、この接続設定の説明を入力します。 注: 接続を作成する前に、接続設定名を入力する必要があります。 4. [Save Changes] をクリックします。 5. メインの [Junos Pulse Connections] ページから、接続設定を選択します。 6. [Options] で、以下のチェック ボックスを選択またはクリアします。 • [Allow saving logon information] • [Allow user connections] • [Dynamic certificate trust] • [Dynamic connections] • [Wireless suppression] 7. [Connections] で、[New] をクリックして新しい接続を定義します。 8. 名前を入力し、必要に応じて、この接続の説明を入力します。 9. 接続のタイプを選択します。以下のタイプの 1 つを選択できます。 • 802.1X • IC or SA • Firewall • WX 10. [802.1X] を選択した場合は、以下のチェック ボックスに値を入力、選択、またはクリアし ます。 • [Adapter type]—有線かワイヤレスを選択します。 • [Outer username]—外部ユーザー名を入力します。 • [Scan list]—優先度の順に接続する SSID を入力します。 11. [Save Changes] をクリックします。 12. [IC or SA] タイプを選択した場合は、以下のチェック ボックスを選択、またはクリアしま す。 Copyright © 2011, Juniper Networks, Inc. 53 Junos Pulse 管理ガイド • [Allow user to override connection policy] • [Connect automatically] • [This Server]—この接続は、現在作成しているサーバーの URL を使用します。 • [URL]—[This Server]— を選択しなかった場合、その接続のサーバーの URL を指定しま す。 13. [Firewall] を選択した場合には、[Address] ボックスに IP アドレスを入力します。 14. [Options] リストから、次のチェック ボックスを選択またはクリアします。 • [Allow user to override connection policy] • [Connect automatically] • [URL]—ファイアウォールのネットワーク アドレスを入力します。 15. (オプション)位置認識規則を作成して、位置認識を有効にできます。位置認識は、特定の インターフェースへの接続を強制できます。詳細については、26ページの「「位置認識規則 の設定」」を参照してください。 16. [WX] を選択する場合は、[Connect Automatically] チェック ボックスを選択し、クライア ントがネットワークの Application Acceleration(WXC)ゲートウェイへの隣接関係を自動 形成できるようにします。 注: アプリケーション高速化を使用する接続は、Kasperskyソフトウェアが Pulse クライアント エンドポイントにインストールされている場合は、UDP ポート 3578 のトラフィックを許可する構成をしなければなりません。 17. クライアント接続設定の作成が済んだら、クライアント コンポーネント設定を作成して、 この接続設定を選択します。 関連項目 • 31ページのエンドポイント セキュリティの監視と管理 位置認識規則を設定する 位置認識機能を使用すると、Pulse クライアントは自己の位置を検出して正しく接続できるよ うになります。例えば、遠隔地で起動された Pulse クライアントは、自動的に SA シリーズ アプライアンスに接続します。ところがその同じクライアントが企業のオフィスで起動される と、自動的に IC シリーズ アプライアンスに接続します。 54 Copyright © 2011, Juniper Networks, Inc. 第3章: SA シリーズ アプライアンスに Junos Pulse を構成する 注: 位置認識とセッション移行は、ユーザーの接続操作を簡素化する点で類似して いますが、それを異なる状況下で実現します。位置認識機能では、どこに接続する かをユーザーの PC ログイン時に、Pulse クライアントが決定します。セッション 移行が発生するのは、ユーザーがログオフする代わりに PC をスタンバイか休止モー ドに切り替えて、その後に異なるネットワーク環境で PC を開始したときです。位 置認識機能を使用すると、Pulse クライアントは的確に新しいセッションを開始し ます。セッション移行機能では、Pulse サーバーはインテリジェントに既存のセッ ションを移行します。 位置認識機能は、管理者が個々の接続に定義する規則に依存します。規則に指定された条件が 真であれば、Pulse は接続を試みます。多数の接続から選別する位置認識規則をセットアップ するには、位置認識規則を各接続に対して定義する必要があります。各位置認識規則は、指定 されたネットワーク インターフェースの IP アドレスに到達できる、または DNS 名を解決す るエンドポイントの能力に基づきます。 注: 位置認識動作は、分割トンネリング構成から影響を受けます。例えば、位置認 識規則が物理アダプタで作成されたアドレス解決に依存し、分割トンネリングが無 効になっている場合は、Pulse が接続を確立後に、その規則は常に FALSE と解決し ます。 以下に、位置認識規則の例を 2 つの接続で示します。最初の例は、エンドポイントが企業 LAN に接続されると TRUE と判定される IC シリーズ アプライアンス接続です。その次の例は、エ ンドポイントの位置がリモートなら TRUE と判定される SA シリーズ アプライアンス接続で す。 IC シリーズ アプライアンス接続 エンドポイントの物理ネットワーク インターフェースに到達できる DNS サーバーが、管理者の 組織の内部 DNS サーバーの 1 つであれば、接続を確立します。 SA シリーズ アプライアンス接続 エンドポイントの物理ネットワーク インターフェースに到達できる DNS サーバーが、管理者の 組織の内部 DNS サーバーのどれでもなく、SA シリーズ アプライアンスの DNS 名が SA シリー ズ アプライアンスの外部向け IP アドレスに解決される場合は、接続を確立します。 注: 接続を手動か自動に設定でき、または位置認識規則によって制御できます。ユー ザーがログインすると、Pulse クライアントは、自動接続に設定されているか位置 認識規則で制御される接続リストのすべての接続を試みます。 注: 否定の位置認識規則を作成するには、最初に肯定状態を作成してから、規則要 件ロジックを使用して、その規則を否定条件として使用します。 Copyright © 2011, Juniper Networks, Inc. 55 Junos Pulse 管理ガイド 位置認識規則を設定するには、次の操作を行います。 1. 接続を作成していなければ作成します。または既存の接続を開きます。 Firewall 接続と IC または SA 接続に対して位置認識規則を設定できます。位置認識規則 は、802.1X と WX 接続に適用できません。 2. [Connection is established] 領域で、[According to location awareness rules] を選択 し、[New] をクリックします。 3. 規則の名前を指定します。 4. [Action] リストで、次の 1 つを選択します。 • • [DNS server]—エンドポイントのネットワーク プロパティに関連付けられている DNS サー バーが、ある値または一連の値に設定されている(またはされていない)場合は、接続し ます。[IP address] ボックスの DNS サーバー IP アドレスを指定します。また、以下の 条件を満足すべきネットワーク インターフェースも指定します。 • [Physical]—エンドポイントの物理インターフェースで条件を満足する必要があります。 • [Junos Pulse]—Junos Pulse が接続を確立する際に作成する仮想インターフェースで条 件を満足する必要があります。 • [Any]—任意のインターフェースを使用します。 [Resolve address]—構成済みのホスト名または一連のホスト名が、エンドポイントにより ある特定の IP アドレスに解決される(またはされない)場合に、接続します。[DNS name] ボックスのホスト名と、[IP address] ボックスの 1 つまたは複数の IP アドレスを指定 します。また、以下の条件を満足すべきネットワーク インターフェースも指定します。 注: Pulse クライアント ソフトウェアは、ネットワークインターフェースが 変化した時に、IP および DNS ポリシを評価します。DNS ルックアップ は、 DNS 構成が変化した時、または特定のホスト レコードの生存時間 (time-to-live)値(10 分)が経過したときに発生します。なんらかの理由 により Pulse がホストを解決できない場合は、構成済み DNS サーバー リス トを 30 秒間隔でポーリングします。過去に正常に解決されたことのあるホス トであれば、time-to-live(生存時間)タイマの時間が切れるまでポーリング を続行します。過去に正常に解決されたことのないホストなら、解決する試み は即座に失敗します。 • [Endpoint Address]—エンドポイントのネットワーク アダプタに、ある範囲または一連の 範囲の内側か外側にある IP アドレスがある場合、接続します。[IP address] ボックス の 1 つまたは複数の IP アドレスを指定します。また、以下の条件を満足すべきネット ワーク インターフェースも指定します。 5. [Save Changes] をクリックします。 56 Copyright © 2011, Juniper Networks, Inc. 第3章: SA シリーズ アプライアンスに Junos Pulse を構成する 1 つまたは複数の規則の作成が済むと、その接続に使用したい各規則を有効にする必要があり ます。規則の否定形を有効にするには、規則のカスタム バージョンを使用します。位置認識規 則を有効にするには、次の操作を行います。 1. 接続の位置認識規則のリストで、有効にしたい各規則の横のチェックボックスを選択しま す。 2. 選択した位置認識規則の施行方法については、次のオプションの 1 つを選択します。 • [All of the above rules]—選択されたすべての位置認識規則が守られる場合にのみ、条 件は TRUE となり、接続を試みます。 • [Any of the above rules]—選択された位置認識規則のどれかが守られる場合に、条件は TRUE となり、接続を試みます。 • [Custom]—選択されたすべての位置認識規則が、[Custom] ボックスで指定されたブール論 理に従い守られる場合にのみ、条件は TRUE となり、接続を試みます。否定の位置認識規 則を指定するには、論理条件式を使用します。例えば、Rule–1 が偽(FALSE)で、Rule–2 が真(TRUE)の場合に、SA シリーズ アプライアンスに接続します。この例のカスタム ボックスでは、ブール論理は次のようになります。NOT Rule-1 AND Rule-2。使用できる ブール論理演算子は、 AND、OR、NOT と、括弧 () です。 3. [Save Changes] をクリックします。 関連項目 • 87ページのセッション移行の概要 Junos Pulse コンポーネント設定オプション Junos Pulse コンポーネントには、Pulse 接続性とサービスを提供するソフトウェア コンポー ネントが含まれています。 コンポーネント設定オプションには、次のオプションがあります。 • [All components]—すべてのコンポーネントを含みます。拡張エンドポイント セキュリティ (EES)コンポーネントは、EES ライセンスを購入した場合のみ有効で、ユーザーの割り当て られた役割によって要求された場合にのみ含まれます。[All components] オプションは、ク ライアント エンドポイントに対して、すべてのサポートされるゲートウェイに接続可能に し、アプリケーション高速化の使用を可能にする場合にのみ使用されます。WX コンポーネン トを含んでいる場合は、Junos Pulse クライアントのインストール用にディスク容量要件を 300 MB に増設します。 • [No components]—例として、新しい接続を追加するために、既存の Pulse クライアント構成 をアップデートする Pulse 構成設定ファイル(.jnprpreconfig)を事前構成します。このオ プションは Pulse がすでにインストールされている場合にのみ機能します。Pulse のインス トール中には、このオプションを使用しないでください。 • [Minimal components]—選択されている接続をサポートする必要があるコンポーネントのみを 含みます。例えば、作成する接続設定が IC もしくは SA 接続を含んでいる場合は、コンポー ネント設定は IC または SA デバイスへの接続に必要なコンポーネントのみを含みます。デ フォルトは [Minimal components] で、選択した接続のために必要なすべてのコンポーネン トを提供し、Junos Pulse インストール ファイルのサイズを制限します。 Copyright © 2011, Juniper Networks, Inc. 57 Junos Pulse 管理ガイド 注: 最小限のコンポーネントおよび接続していない状態で Pulse を配備しないで ください。その場合は、Pulse クライアントはどのデバイスにも接続することが できず、ユーザーは Pulse クライアント インターフェースから接続を作成する ことができません。 注: 選択している Pulse コンポーネントは Web インストールにのみ適用されま す。コマンド ライン オプションを使用して特定のコンポーネントを指定しない 限りは、事前に構成されたインストーラは、常にすべてのコンポーネントをイン ストールします。 クライアント コンポーネント設定を作成する クライアント コンポーネントのオプションは、Web ベースのインストールにのみ影響します。 事前に構成されたインストーラの場合は、MSIEXEC コマンドの一部としてコンポーネントを指 定します。クライアント コンポーネント設定を作成するには、次の操作を行います。 1. 管理コンソールから [Users] > [Junos Pulse] > [Components] を選択します。 2. [New] をクリックして、新しいコンポーネント設定を作成します。 3. クライアント接続設定をまだ作成していない場合は、[Users] > [Junos Pulse] > [Connections] を選択して、新しい接続設定を作成します。または、デフォルトのクライア ント設定を利用できます。この設定は動的接続を許可し、匿名の外部ユーザー名をサポート するほか、クライアントは IC または SA シリーズ アプライアンスに自動接続できます。 4. クライアント コンポーネント設定の名前を指定します。 5. (オプション)このクライアント コンポーネント設定の説明を入力します。 6. 作成した接続設定を選択するか、またはデフォルトの接続設定を使用します。 7. Junos Pulse クライアント コンポーネントに、次のオプションの 1 つを選択します。 58 • [All components]—すべての Junos Pulse コンポーネントが含まれ、すべてのアクセス方 法とすべての機能がサポートされます。 • [No components]—例えば、新しい接続を追加するために、既存の Pulse クライアント構 成を更新します。このオプションは Pulse がすでにインストールされている場合にのみ 機能します。Pulse のインストール中には、このオプションを使用しないでください。 • [Minimal components]—選択されている接続をサポートする必要があるコンポーネントの みを含みます。例えば、作成する接続設定が IC もしくは SA 接続を含んでいる場合は、 コンポーネント設定は IC または SA デバイスへの接続に必要なコンポーネントのみを含 みます。デフォルトは [Minimal components] で、選択した接続のために必要なすべての コンポーネントを提供し、Junos Pulse インストール ファイルのサイズを制限します。 Copyright © 2011, Juniper Networks, Inc. 第3章: SA シリーズ アプライアンスに Junos Pulse を構成する 注: 最小限のコンポーネントおよび接続していない状態で Pulse を配備しな いでください。その場合は、Pulse クライアントはどのデバイスにも接続する ことができず、ユーザーは Pulse クライアント インターフェースから接続を 作成することができません。 注: 選択している Pulse コンポーネントは Web インストールにのみ適用され ます。コマンド ライン オプションを使用して特定のコンポーネントを指定し ない限りは、事前に構成されたインストーラは、常にすべてのコンポーネント をインストールします。 8. [Save Changes] をクリックします。 9. コンポーネント設定を作成後に、役割経由でクライアントをユーザーに配布します。ユー ザーが役割にアクセスすると、インストーラは、エンドポイントに自動的にダウンロードさ れます。インストーラ コンポーネントおよび接続が、エンドポイント クライアントに適用 されます。 コンポーネント リストを変更せずに、ある役割のコンポーネント接続に関連付けられてい るクライアント接続を変更すると、エンドポイントが現在接続中であれば即座に、そうでな ければ次回の接続で、エンドポイントの既存の構成が置き換えられます。 1 人のユーザーに割り当てられている複数の役割の各々に異なるコンポーネント設定が含ま れている場合、どのクライアント(コンポーネント設定)を配信すべきかは、エンドポイン トの役割リストの一番目の役割によって決定されます。 エンドポイント セキュリティの監視と管理 Windows システムにおいて、エンドポイントのオペレーティング システムのサービスパック、 ソフトウェア バージョン、またはデスクトップ アプリケーションのパッチ バージョンの適合 性を確認するよう、ホストチェッカー ポリシを設定できます。ホストチェッカーは、ホスト チェッカー ポリシで事前定義した規則に対して、ベンダが提供する最新のパッチ バージョン リストを使用します。ホストチェッカーは安全でないパッチをスキャンしません。 SA シリーズ デバイスおよびホストチェッカーは、TNC ベースの整合性測定コレクタ(IMC)お よび整合性測定ベリファイア(IMV)の対応するペア間における情報の流れを管理します。IMC は、エンドポイント上で動作するソフトウェア モジュールであり、ウイルス対策、スパイウェ ア対策、パッチ管理、ファイアウォールなど、ホストに関する設定やセキュリティの情報を収 集します。IMV は、SA シリーズ デバイス上で動作するソフトウェア モジュールであり、ホス トの整合性の特定の側面を確認します。SA シリーズ デバイス上の各 IMV は、クライアント エンドポイント上の対応する IMC と連携し、エンドポイントがホストチェッカー規則を満たし ていることを確認します。IMC は、エンドポイントを頻繁にスキャンし、セキュリティ ステー タスに変化はないかを確認します。例えば、ユーザーがウイルス チェックを解除した場合、IMC がこのことを検出すると、新しい確認作業をトリガして、変更されたシステムがホストチェッ カー ポリシの要件に準拠することを確認します。リモートの IMV サーバー上にインストール されたサードパーティの IMV を使用して、クライアント コンピュータ上にインストールされ たサードパーティの IMC をホストチェッカーが監視するように設定することができます。 Copyright © 2011, Juniper Networks, Inc. 59 Junos Pulse 管理ガイド 最新のパッチ バージョン情報は、Juniper のステージング サイトから入手することができま す。最新リストは手動でダウンロードして SA シリーズ デバイスにインポートすることができ ます。もしくは、Juniper のステージング サイトや独自のステージング サイトから、指定し た間隔で自動的にインポートすることも可能です。 監視は、同じポリシ内にはない 1 つ以上の特定の製品または特定のパッチに基づいて行うこと ができます。例えば、Internet Explorer のバージョン 7 を 1 つのポリシでチェックし、別 のポリシで Patch MSOO-039: SSL Certificate Validation Vulnerabilities を確認すること ができます。その後、ユーザーが特定パッチの適用された最新バージョンのブラウザを持って いるようにするため、役割レベルまたは領域レベルで両方のポリシをエンドポイントに適用し ます。さらに、Microsoft 製品の場合は、無視したいパッチの重大度を指定することができま す。例えば、低または中程度の脅威を無視することができます。 Pulse を配備する場合は、ホストチェッカーがインストーラに含まれています。役割レベルま たは領域レベルでホストチェッカーを呼び出し、認証を試みるエンドポイントに対してアクセ ス要件を指定できます。領域レベルで実施されているホストチェッカー ポリシは、ユーザーが 認証される前に発生します。認証後に役割レベルでのホストチェッカー ポリシが実行されます が、それはユーザーが保護されたリソースへのアクセスを許可される前に行われます。最初に エンドポイントが SA シリーズ デバイスに接続する場合は、IMC の最新バージョンがホスト コンピュータにダウンロードされます。初期確認には、10 ~ 20 秒かかります。IMC ファイル が最新のバージョンでなくなった場合、その後のチェックで自動的に更新されます。 注: エンドポイントがパッチ評価ポリシのある SA シリーズ デバイスへ初回接続す るときに、その接続がレイヤ 2 接続の場合は、IMC はダウンロードされません。こ の場合、レイヤ 3 接続を再試行するか、または管理者に連絡するように指示する メッセージをユーザーに表示するために、修復役割を設定する必要があります。 ホストチェッカー ポリシの構成についての詳細は、「Junos Pulse Secure Access サービス管 理ガイド」を参照してください。 修復オプション ホストチェッカーはエンドポイントの問題を識別することができます。しかしながら、ホスト チェッカーおよび SA シリーズ デバイスは、問題を解決することができません。それは非適合 のエンドポイントでの修復タスクを実行することになるからです。これらの問題を修復するた めに、SA シリーズ デバイスは以下の修復オプションをサポートしています。 • 60 ユーザーへの指示—SA シリーズ デバイスは、非適合のパッチまたはソフトウェア、さらに ユーザーが必要なソフトウェアを取得できるリンクを記載したメッセージを送信します。61 ページの図6 にて一般的な Pulse 修復メッセージを示しています。 Copyright © 2011, Juniper Networks, Inc. 第3章: SA シリーズ アプライアンスに Junos Pulse を構成する 図 6: Pulse 修復指示 • SMS/SCCM 修復を開始する—以前はシステム管理マネージャ(SMS)と呼ばれていたシステム センタ構成マネージャ(ConfigMgr または SCCM)を使用して修復する場合は、エンドポイン トに事前にインストールされた SMS/SCCM クライアントはホストチェッカーによってトリガ され、事前に構成された SMS/SCCM サーバーからパッチを取得します。このメカニズムは、 SMS/SCCM サーバーで公開されているこれらのパッチのみをインストールします。 • Shavlik 修復を開始する—SA シリーズ ソフトウェア R7.1 およびそれ以後のバージョンが Shavlik 修復をサポートしています。ホストチェッカーの実行後、エンドポイントに修復が 必要な場合、ユーザーは必要なパッチをインストールするように指示されます。修復オプショ ンを自動的に起動するように設定することができます。Shavlik パッチ実装エンジンはエン ドポイントにダウンロードされます。エンジンはベンダのパッチ保存場所にリンクし、パッ チをインストールします。Shavlik 修復はオプションのライセンス機能です。62ページの図 7 Copyright © 2011, Juniper Networks, Inc. 61 Junos Pulse 管理ガイド 図 7: Shavlik パッチ修復の Pulse クライアント スクリーン 62 Copyright © 2011, Juniper Networks, Inc. 第3章: SA シリーズ アプライアンスに Junos Pulse を構成する 関連項目 • 63ページの修復メッセージを発行する • 63ページのSMS/SCCM 修復を使用する • 65ページのShavlik 修復を使用する 修復メッセージを発行する ホストチェッカー ポリシがエンドポイントが非準拠であることを発見すると、ホストチェッ カーは Pulse のクライアント インターフェースにカスタム指示およびエンドポイントの準拠 方法についての理由文字列を記載したメッセージを表示します。エンドポイントが保護された リソースにアクセスできるようになる前に、ユーザーはメッセージに記載されている手順を行 わなければなりません。 ホストチェッカー ポリシに修復メッセージを指定するには、以下を行います。 1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し ます。 2. [Policies] セクションで、[New] をクリックして、新しいホストチェッカー ポリシを作成 します。 ホストチェッカー規則の設定についての詳細は、「Junos Pulse Secure Access サービス管 理ガイド」を参照してください。 3. ホストチェッカー ポリシの一部として、[Enable Custom Instructions] を選択します。 このオプションを選択すると、テキスト ボックスが表示されます。ホストチェッカー修復 ページでユーザーに表示する指示を入力します。テキストをフォーマットして、ポリシ サー バーや Web サイトなどのリソースへのリンクを追加するには、以下のような HTML タグを 使用します。<i>、<b>、<br>、<font>、および<a href> が使用できます。例: 最新の署名ファイルがありません。 <a href=”www.company.com”>ここをクリックして、最新の署名ファイルをダウンロードし てください。</a> 4. オプションとして、[Send reason strings] を選択します。ホストチェッカーまたは IMV によって返され、クライアント コンピュータがホストチェッカー ポリシの要件を満たして いない理由を説明するユーザーに対するメッセージ(理由文字列と呼ばれる)を表示するに は、このオプションを選択します。理由文字列はユーザーに IMV がクライアント エンドポ イントでチェックした事項を記載します。このオプションは、事前に定義された規則、カス タム規則、および Juniper Networks TNC SDK のエクステンションを使用するサードパー ティ IMV に適用されます。 5. [Save Changes] をクリックします。 Pulse ユーザーに対して設定した領域または役割でのホストチェッカー ポリシを含んでいるこ とを確認します。 SMS/SCCM 修復を使用する Junos Pulse は、パッチ配備に SMS/SCCM ダウンロード方式をサポートします。SA シリーズ デバイスがパッチ配備用に SMS/SCCM 方式を構成している場合は、Pulse クライアントのエン Copyright © 2011, Juniper Networks, Inc. 63 Junos Pulse 管理ガイド ドポイントは SMS/SCCM クライアントをすでにインストールしている必要があります。そうで ない場合は修復は失敗します。 通常、ソフトウェア管理用に SMS/SCCM が設定されたエンドポイントでは、15 分以上の間隔で 更新のためサーバーをポーリングします。最悪のシナリオでは、既存のホストチェッカー ソフ トウェア要件に準拠しないクライアントは、次の更新間隔までログインを待つ必要があります。 SMS/SCCM ダウンロード方式を使用すると、パッチ評価チェック直後にソフトウェア更新を開始 するよう、クライアントに強制できます。ユーザーがログインを試み、ホストチェッカー パッ チ評価ポリシに準拠するために必要なソフトウェア バージョンがエンドポイントにない場合、 ホストチェッカーは、すぐに更新するためサーバーをポーリングするよう、直ちにクライアン トに通知します。クライアントは、SMS/SCCM 更新が開始したという通知を受領します。 通知を受けたときに、クライアントを更新するように SMS/SCCM を構成するには、SMS/SCCM で アドバタイズメント時間を [As soon as possible] に設定します。 クライアントを、SMS/SCCM サーバーの特定のグループまたはコレクションに割り当てると、 サーバーは、そのコレクション用のパッチをアドバタイズできます。コレクションに対応する 役割を IC シリーズ デバイスで設定できます。SMS/SCCM は、その役割に適したパッチを送信 できます。 エンドポイント上に SMS/SCCM クライアントを適切にインストール、設定し、SMS/SCCM サー バーが到達可能でなければなりません。レイヤ 2 ネットワークでは、エンドポイントがネット ワークに接続される前に、ホストチェッカーが実行されます。ホストチェッカーは、クライア ントに設定された SMS/SCCM サーバーの IP アドレスを取得できます。エンドポイントが非準 拠になり修復が必要な場合、クライアントを更新するようサーバーに通知できるまで、ホスト チェッカーは、15 秒ごとにサーバー IP アドレスに ping を送信します。 この機能が有効な場合、予期される動作をユーザーに通知しなければなりません。SMS/SCCM が アドバタイズメントを返信するまで、ユーザーに通知はありません。 注: Juniper Networks は、いずれかの時点で 1 つのエンドポイントに対して 1 つ のパッチ配備のみを行うことを推奨します。しかしながら、SMS/SCCM の更新が進行 中かどうかを判断する手段がないので、SMS/SCCM 更新が発生しているのと同時に、 パッチ配備エンジンが開始される可能性もあります。(このことは、Pulse が 2 つ のデバイスに接続していて、その 1 つが SMS/SCCM 修復を使用し、もう一方が Shavlik パッチ配備エンジンを使用している場合に起こる可能性があります。)ほ とんどのパッチは 2 つのインスタンスを実行することを許可していないので、一方 の修復操作は失敗することになります。 管理コンソールでは、すべてのホストチェッカー ポリシに対して、1 つのホストチェッカー パッチ修復オプション(SMS/SCCM または Shavlik のいずれか)のみを選択することを許可し ています。 Pulse が 1 つ以上の IC シリーズまたは SA シリーズ デバイスに接続している場合は、一方 は SMS/SCCM 修復を使用し、もう一方は Shavlik 修復を使用し、両方の操作が可能になりま す。両方のデバイスが Shavlik 修復を使用している場合は、この要求はキューされます。 64 Copyright © 2011, Juniper Networks, Inc. 第3章: SA シリーズ アプライアンスに Junos Pulse を構成する SMS/SCCM 評価および修復を有効にするには、次の操作を行います。 1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し ます。 2. [Policies] セクションで、[New] をクリックして、新しいホストチェッカー ポリシを作成 します。 ホストチェッカー規則の設定についての詳細は、「Junos Pulse Secure Access サービス管 理ガイド」を参照してください。 3. [Patch Remediation Options] で、[SMS/SCCM Patch Deployment] を選択します。 4. [Save Changes] をクリックします。 Pulse ユーザーに対して設定した領域または役割でのホストチェッカー ポリシを含んでいるこ とを確認します。 Shavlik 修復を使用する 指定のホストチェッカー パッチ ポリシと準拠していない Junos Pulse 2.0 以上のエンドポイ ントは、必要なパッチで更新され、Shavlik パッチ配備エンジンで自動的に準拠するようにで きます。エンドポイントのホストチェッカー IMC はパッチ配備と連動し、IMV から報告された 欠けているパッチをダウンロードし、インストールを行います。Shavlik ソフトウェアはエン ドポイントで実行され、ベンダの Web サイトから指定のパッチをダウンロードし、ホストチェッ カー ポリシで必要なパッチをインストールします。Shavlik は SA シリーズ デバイスでのオ プションのライセンス機能です。 注: Shavlik パッチ監視および配備には、別途のライセンスが必要です。 Shavlik パッチ配備エンジンは SA シリーズ デバイスでホストされる実行可能ファイルで、 Pulse 配備の一部としてエンドポイントにダウンロードされます。修復作業中は、配備エンジ ンはベンダの Web サイトから直接パッチをダウンロードするので、Shavlik 修復にはインター ネット接続が必要になります。Shavlik パッチ配備エンジンは、レイヤ 3 接続なしではレイヤ 2 で動作しません。 パッチ評価に必要なファイルのすべては、Juniper Networks Customer Support Center ESAP パッケージにある SA R7.1 で開始するエンドポイント セキュリティ評価プラグイン(ESAP) の一部です。デフォルトの ESAP パッケージは必要なパッチ配備ファイルに含まれる SA R4.1 に付属しています。古い ESAP パッケージは、これらのデバイスで更新する際に失敗します。 ESAP ファイルの更新方法についての詳細は、「Junos Pulse Secure Access サービス管理ガイ ド」を参照してください。 パッチ監視対応の IMC および IMV ソフトウェアは下位互換性があります。この機能は、Pulse R2.0 以降で利用可能なので、新しい Pulse と古い IMV(Pulse サポート付き)との通信、ま たは新しい IMV と古い IMC との通信が現在と同じ動作で行われます。パッチ評価には変更が ないので、Shavlik 配備エンジンは修復するために呼び出されません。 Copyright © 2011, Juniper Networks, Inc. 65 Junos Pulse 管理ガイド 注: Juniper Networks は、いずれかの時点で 1 つのエンドポイントに対して 1 つ のパッチ配備操作のみを行うことを推奨します。しかしながら、SMS/SCCM の更新が 進行中かどうかを判断する手段がないので、SMS/SCCM 更新が発生しているのと同時 に、パッチ配備エンジンが開始される可能性もあります。(このことは、Pulse が 2 つのデバイスに接続していて、その 1 つが SMS/SCCM 修復を使用し、もう一方が Shavlik パッチ配備エンジンを使用している場合に起こる可能性があります。)ほ とんどのパッチは 2 つのインスタンスを実行することを許可していないので、一方 の修復操作は失敗することになります。 管理コンソールでは、すべてのホストチェッカー ポリシに対して、1 つのホストチェッカー パッチ修復オプション(SMS/SCCM または Shavlik のいずれか)のみを選択することを許可し ています。 Pulse が 1 つ以上の IC シリーズまたは SA シリーズ デバイスに接続している場合は、一方 は SMS/SCCM 修復を使用し、もう一方は Shavlik 修復を使用し、両方の操作が可能になりま す。両方のデバイスが Shavlik 修復を使用している場合は、この要求はキューされます。 SMS/SCCM 評価および修復を有効にするには、次の操作を行います。 1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し ます。 2. [Policies] セクションで、[New] をクリックして、新しいホストチェッカー ポリシを作成 します。 ホストチェッカー規則の設定についての詳細は、「Junos Pulse Access Control サービス 管理ガイド」を参照してください。 3. [Patch Remediation Options] で、[Shavlik Patch Deployment] を選択します。 4. ユーザーにパッチ更新のインストールをするか決定することを許可するには、[Prompt the user for consent before automatic patch deployment] を選択します。 パッチの配備完了には、少し時間がかかります。パッチによってはシステムの再起動が必要 です。 5. ユーザーからパッチのインストールを要求することを許可する場合は、デフォルト アクショ ンを選択します。ユーザーが 1 分以内に要求への返答をした場合は、デフォルト アクショ ンは自動的に起動します。次のデフォルト アクションから 1 つを選択します。 • [Deploy patches] • [Do not deploy patches] 6. [Save Changes] をクリックします。 拡張エンドポイント セキュリティを有効にする ホストチェッカーには、Windows エンドポイントを検出し修復できる統合スパイウェア対策機 能が含まれています。拡張エンドポイント セキュリティ(EES)は、次のマルウェア、スパイ ウェア、ウイルス、またはワームが、SA シリーズ デバイスへの接続を試みるエンドポイント に存在しないことを保証します。また、ホストチェッカー ポリシの設定によって、これらのエ 66 Copyright © 2011, Juniper Networks, Inc. 第3章: SA シリーズ アプライアンスに Junos Pulse を構成する ンドポイントを制限または隔離できます。エンドポイントで EES が実行している場合は、Pulse インターフェースには、EES ステータスを示すセキュリティ ペインが表示されます。 注: デフォルトでは、基本ライセンスは 2 つの同時のエンドポイントにこの機能を 使用することを可能にします。追加したユーザーにこの機能を有効にするには、別 にライセンスを購入することができます。 EES はエンドポイントでのプロセスのスキャン、ファイル システムの書き込みと操作の実行の 監視をし、非準拠のコンピュータを自動的に修復することができます。EES は検出された脅威 を報告しますが、修復はしません。場合によっては、準拠を達成するため、ユーザーは、コン ピュータの再起動を指示される場合があります。 EES は、インターネット上の Web Root Spy Sweeper サーバーからエンドポイントに自動的に ダウンロードされる署名データベースを使用します。署名データベースは、IC シリーズ デバ イス上でホストされません。EES が正常に動作するには、エンドポイントはインターネットに アクセスできる必要があります。さらに、デフォルトの修復役割を設定する場合、修復役割に 指定されるエンドポイントは、*.webroot.com にアクセスできなければなりません。 SA シリーズ デバイスを設定し、署名データベースの有効期限を決定することができます。デー タベースの寿命は、ホストチェッカー ポリシを渡すことにより、ユーザーがリソースにアクセ スできるかどうかを決定するために使用されるしきい値です。例えば、署名が作成されてから 5 日目で、寿命を 3 日に設定している場合、ユーザーは、リソースにアクセスできます。寿命 を 4 日に設定していると、エンドポイントは、ホストチェッカー ポリシに失敗します。署名 の更新は、定期的に行われるので、エンドポイントは通常は最新の更新状態です。 SA シリーズ デバイスへ接続する前に、インターネット接続がエンドポイントで利用できず、 署名の寿命をチェックするオプションを選択している場合、署名が古すぎれば、ポリシに合格 しません。例えば、ユーザーが数日間エンドポイントにアクセスしておらず、署名が最新でな ければ、エンドポイントは、SA シリーズ デバイスにアクセスできません。このことを避ける ために、*.webroot.com での署名更新用にインターネットへの限定アクセスを許容する、デフォ ルトの修復役割を作成しなければなりません。 レイヤ 2 での EES スキャン用に設定したエンドポイントは、どれもチェックに失敗します。 ネットワーク接続を許可するには、ユーザーを修復 VLAN に再割り当てする領域を設定しなけ ればなりません。 これによって、エンドポイントのユーザーが必要な署名アップデートに接続 しダウンロードできるようになります。または初回接続の場合は、EES はパッケージをインス トールします。 複数のポリシが作成されず、ポリシを有効にしたすべての領域と役割で同じポリシが使用され るよう、[Endpoint Security] > [Host Checker] メイン ページで EES を設定します。領域ま たは役割を作成するとき、他のホストチェッカー ポリシに加えて EES 制限も有効にできます。 注: エンドポイントに EES ポリシを設定する場合は、ホストチェッカー EES ポリ シによって保護されているリソースへの最初のアクセス試行では、別の EES インス トーラ(約 5 MB)がエンドポイントにダウンロードされます。ユーザーのエンドポ イントは問題のあるソフトウェアがあるかをスキャンされ、署名は自動的にインス トールされます。 Copyright © 2011, Juniper Networks, Inc. 67 Junos Pulse 管理ガイド ユーザー側 大量のデータがダウンロードされ(インストーラに約 5 MB、署名に約 12 MB)、その後メモリ スキャンが行われます。インストール後、署名が更新されます。また、メモリ スキャンが実行 され、スパイウェアがメモリにロードされていないことを確認します。ダウンロード、更新、 スキャンの完了には、長い時間を必要とします。 脅威が検出されると、自動的にホストチェッカーによって修復され、報告はされません。脅威 が修復できない場合は、エンドポイントからサーバーに報告します。エンドポイントの準拠状 態に応じて、役割とユーザー セッションを調整できます。複数のユーザー文字列で、準拠ス テータスをユーザーに自動的に通知します。 EES スパイウェア対策を有効にし使用するには、次の操作を行います。 1. 管理コンソールで、[Authentication] > [Endpoint Security] > [Host Checker] を選択し ます。 2. [Options] で、[Advanced Endpoint Protection: Malware Protection] タブを選択します。 3. [Enable Advanced Endpoint Security: Malware Protection] チェック ボックスを選択し ます。 4. 署名定義データベースの寿命を設定するには、[Signature definitions should not be older than] チェック ボックスを選択します。寿命を日数(3~30)で入力します。この数字は、 署名の許容可能な古さを決定します。ここでは、更新の頻度は変更されません。 5. ネットワーク接続の許可後に、バックグラウンドで即座に EES スキャンを有効にするには、 [Install EES and scan endpoints after network connection is established] チェック ボックスを選択します。 このオプションを選択すると、スキャンが実行される前に、すぐに接続が許可されます。こ のオプションはユーザーが接続し、すぐに作業を開始できるようにします。しかしながら、 エンドポイントがマルウェアをスキャンする前にネットワークへアクセスすることを許可す るので、このオプションの安全性は低いものとなります。 6. [Save Changes] をクリックします。 領域またはロールのホストチェッカー制限を作成または設定すると、[Enhanced Endpoint Security: Malware Protection] を選択して、その役割または領域に適用します。 関連項目 • 63ページの修復メッセージを発行する • 63ページのSMS/SCCM 修復を使用する • 65ページのShavlik 修復を使用する 同種類のゲートウェイ間で Junos Pulse 構成をプッシュする Push Configuration 機能は、Junos Pulse 接続、コンポーネント、アップロードされた Junos Pulse パッケージを中央管理することができます。Push Configuration 機能は、たとえば IC から IC、または SA から SA のように同種類のゲートウェイ間で、構成設定のすべてまたは一 部を選んでコピーすることができます。 68 Copyright © 2011, Juniper Networks, Inc. 第3章: SA シリーズ アプライアンスに Junos Pulse を構成する このセクションでは、Push Configuration 機能を使用して Pulse を中央管理する方法につい て説明します。Push Configuration 機能でゲートウェイのすべての設定を中央管理する完全な 説明については、適切な管理ガイドを参照してください。 以下に構成のプッシュ機能に関する留意点を示します。 • 1 回の操作で 1 つまたは複数のゲートウェイにプッシュできます。1 回のプッシュ操作で最 大 8 つのゲートウェイにプッシュできます。最大 25 のプッシュ操作を同時に実行できま す。最大ターゲット ゲートウェイ数は 200 です。1 つのターゲット ゲートウェイへのプッ シュが失敗すると、操作は次のターゲットに進み、指定されたすべてのターゲットがアップ デートされるまで続行します。結果ページには、ステータスと処理中に発生した問題が表示 されます。 • クラスタのメンバ ゲートウェイへのプッシュは、ターゲット ゲートウェイがソース ゲート ウェイと同じクラスタのメンバでなければ可能です。 • ターゲット ゲートウェイは、プッシュされた構成設定を拒絶できます。デフォルトでは、受 け入れます。 • 更新終了後に、ターゲット ゲートウェイはサービスを再開します。サービスを再開準備中 に、中断が短時間発生することがあります。したがって、プッシュをターゲットがアイドル 中かこの中断を調整できる時間帯に実行するようお勧めします。 • ターゲット ゲートウェイは、プッシュされた構成の受信時に警告メッセージを発行しませ ん。 • ターゲット ゲートウェイは、プッシュの処理時に自動的に管理者をログアウトします。 • ソースとターゲット ゲートウェイのビルド バージョンと番号は、同じである必要がありま す。 • ソース ゲートウェイの管理者アカウントは、人的介入なしでターゲット ゲートウェイにサ インインする必要があります。たとえば、動的信用情報またはマージされていない複数のロー ルを持つことは、手動による操作を必要とするためできません。 Push Configuration 機能を使用する前に、次の条件に従い、システムを構成する必要がありま す。 • .Administrators 役割にマップし、その結果として管理に関して全権を持つ「スーパー管理 者」を作成する必要があります。[Authentication] > [Auth Servers] > [Administrator Server] > [Users] の設定を変更し、自己に .Administrators 役割を追加します。 • ターゲット ゲートウェイの管理者アカウントは、応答/チャレンジ タイプの、認証を使用し ない静的パスワード認証または 2 要素トークンを使用する必要があります。たとえば、証明 書、Soft ID、Defender 認証はサポートされません。[Administrators] > [Admin Realms] > [Administrator Realm] > [General] 設定を変更し、管理者領域の正しい認証サーバーを選 択します。 • ターゲット ゲートウェイにサインするために管理者に役割を選択させるように管理者アカウ ントを設定するのは避けます。例えば、Push Configuration 管理者役割のように、1 つの ユーザーを複数の役割にマップすると、役割を統合しようとして失敗するので、避けます。 Push Configuration 管理者に特定のアカウントを作成すると、管理者がサインイン プロセ スで役割を選択する必要がないことが保証され、さらにログ ファイル中で Push Configuration 管理者のアクションが明瞭に区別できるようになるため、この方策をお勧めします。 Copyright © 2011, Juniper Networks, Inc. 69 Junos Pulse 管理ガイド [Administrators] > [Admin Realms] > [Administrator Realm] > [Role Mapping] 設定を使 用し、適切な役割マッピング規則を設定します。 あるアクセス ゲートウェイから同種類のゲートウェイに Junos Pulse 構成をプッシュするに は、次の操作を行います。 1. まだターゲットを定義してない場合は、[Maintenance] > [Push Config] > [Targets] を選 択して定義します。ターゲットの定義方法の詳細は、適切なゲートウェイの管理ガイドを参 照してください。 2. 管理コンソールで、[Maintenance] > [Push Config] > [Push Configuration] を選択しま す。 3. [What to push] ボックスで、[Selected configuration] を選択し、構成カテゴリを表示し ます。 4. リストを下方向に移動し、Junos Pulse ラベルの項目を拡張表示します。 5. [Select All Configurations] チェック ボックスを選択し、このゲートウェイのすべての Junos Pulse 構成をプッシュします。または、以下のカテゴリから、選択しない、すべての 項目、または選択した項目のみ、を選択します。 • [Junos Pulse Connections]—接続設定と接続 • [Junos Pulse Components]—コンポーネント設定 • [Junos Pulse Versions]—ゲートウェイにアップロードされた Pulse パッケージ 6. ターゲットを [Selected Targets] ボックスに追加します。 7. [Push Configuration] をクリックします。 Pulse の自動アップグレードを有効または無効にする エンドポイントに配備した Junos Pulse クライアント ソフトウェアは、自動的に更新されま す。Pulse クライアントは、サーバーから更新を受信することができます。ゲートウェイで Pulse ソフトウェアをアップグレードすると、更新されたソフトウェア コンポーネントは、ク ライアントが次回に接続した時にプッシュされます。 注: バインドされているエンドポイントは、バインドしているサーバーから接続設 定オプションと接続を受け取りますが、Pulse クライアント ソフトウェアを、自動 アップグレード オプションが有効になっている任意の Pulse サーバーからアップ グレードさせることができます。ソフトウェアのアップグレード中は、クライアン トは一時的に接続を失います。 Pulse クライアント ソフトウェアのアップグレードは、デフォルトで有効になっています。こ のアップグレードの動作を変更するには、次の操作を行います。 1. ゲートウェイの管理コンソールで、[Maintenance] > [System] > [Options] を選択します。 2. [Enable automatic upgrade of Junos Pulse Clients] チェック ボックスを選択するかク リアします。 70 Copyright © 2011, Juniper Networks, Inc. 第3章: SA シリーズ アプライアンスに Junos Pulse を構成する 3. [Save Changes] をクリックします。 関連項目 • 43ページのJunos Pulse ソフトウェアをアップグレードする Junos Pulse ソフトウェアのアップグレード サポートされる各ゲートウェイのソフトウェア イメージには、Junos Pulse クライアント ソ フトウェア パッケージが含まれています。新しいバージョンの Pulse ソフトウェアが使用可 能になると、それをゲートウェイにアップロードできます。1 つのゲートウェイに 2 つ以上の Pulse バージョンを置くことができますが、アクティブにできるのは 1 つの Pulse クライア ント パッケージのみです。新しい Pulse バージョンをアクティブにすると、ゲートウェイの 自動アップグレード オプションが有効にされていれば、接続されている Pulse クライアント はユーザーに対してアップグレード要求を表示します。ユーザーは、アップグレードのインス トールを続行するか、キャンセルできます。キャンセルを選択すると、クライアントがサーバー に接続するたびにアップグレード要求が表示されます。ソフトウェアのアップグレード中は、 Pulse クライアントは一時的に接続を失います。 図 8: Pulse クライアント アップグレード メッセージ 新しい Pulse ソフトウェア パッケージをゲートウェイにアクセスできる場所に配備できたら、 以下の操作で IC シリーズまたは SA シリーズ アプライアンスにソフトウェアをアップロード します。 1. デバイスの管理コンソールで、[Users] > [Junos Pulse] > [Components] を選択します。 2. [Manage Junos Pulse Client Versions] セクションで、[Browse] をクリックし、ソフト ウェア パッケージを選択します。 3. [Upload] をクリックします。 1 度に 1 つの Junos Pulse ソフトウェア パッケージのみをアクティブにできます。新しい パッケージのアップロードが済むと、それを有効にする必要があります。 Copyright © 2011, Juniper Networks, Inc. 71 Junos Pulse 管理ガイド Pulse パッケージをデフォルトとして有効にするには、次の操作を行います。 1. ゲートウェイの管理コンソールで、[Users] > [Junos Pulse] > [Components] を選択しま す。 2. [Manage Junos Pulse Client Versions] セクションで、選択するバージョンの横のラジオ ボタンを選択し、[Activate] をクリックします。 関連項目 72 • 82ページのPulse クライアント ソフトウェアを WXC シリーズ ゲートウェイへアップロード する • 42ページのPulse の自動アップグレードを有効または無効にする Copyright © 2011, Juniper Networks, Inc. 第4章 SRX シリーズ ゲートウェイに Junos Pulse を構成する • Junos Pulse および SRX シリーズ ゲートウェイ 73ページ • 動的 VPN 構成概要 74ページ Junos Pulse および SRX シリーズ ゲートウェイ Junos Pulse は、Junos OS リリース 10.2 以降で動作する SRX シリーズ ゲートウェイへの、 仮想プライベート ネットワーク(VPN)トンネル接続をサポートします。Junos Pulse クライ アント用のファイアウォール アクセス環境を構成するには、SRX シリーズ ゲートウェイに VPN 設定を構成し、Junos Pulse クライアントのファイアウォール接続を作成し、配備する必要が あります。 注: モバイル デバイス用の Junos Pulse は SA シリーズ アプライアンスにアクセ スのみ可能です。モバイル デバイス対応 Pulse については、111ページの「モバイ ル デバイス対応 Junos Pulse」 を参照してください。 Junos OS リリース 10.x で作動している SRX シリーズ ゲートウェイは Junos Pulse クライ アント ソフトウェアを配備できません。構成と配備のオプションには、次があります。 • SA シリーズもしくは IC シリーズ アプライアンスのある環境には、SRX シリーズ ゲート ウェイのターゲット URL を使用する Firewall タイプの接続を作成します。次に、ユーザー は、IC シリーズもしくは SA シリーズ アプライアンスの Web ポータルにログインすること によって、Junos Pulse クライアント ソフトウェアと接続構成をインストールし、Junos Pulse をインストールする役割を割り当てられることができます。このインストールが済む と、エンドポイントに Junos Pulse クライアント ソフトウェアと、SRX シリーズ サービス ゲートウェイへ接続するために必要な接続情報が整ったことになります。 • デフォルトの Junos Pulse ソフトウェア パッケージをインストールしてから、ユーザー側 で SRX シリーズ ゲートウェイをポイントする新しい接続を作成してもらいます。Junos Pulse クライアント ソフトウェアは、次からダウンロードできます。 http://www.juniper.net/customers/csc/software/ SRX シリーズ ゲートウェイは、Juniper Networks Access Manager と呼ばれる旧バージョンの アクセス クライアントをサポートします。Junos Pulse をエンドポイントに配備する前に、 Access Manager をアンインストールする必要があります。Pulse インストール プログラムは Copyright © 2011, Juniper Networks, Inc. 73 Junos Pulse 管理ガイド Access Manager があるかを確認します。存在する場合は、Pulse をインストールする前に Access Manager をアンインストールするよう指示するメッセージをユーザーに表示します。 動的 VPN 構成概要 動的 VPN は管理者に Juniper Networks デバイスのゲートウェイへの IPsec アクセスを提供 します。 次の手順では、動的 VPN を構成するためのタスクを示しています。これらのトピックについて の詳細は、JUNOS© ソフトウェア説明書を参照してください。 1. リモート クライアンへの認証およびアドレス割り当てを構成するには、次の操作を行いま す。 a. XAuth プロファイルを構成することによって、ユーザーを認証し、アドレスを割り当て ます。ローカル認証または外部 RADIUS サーバーを使用することができます。[edit access] 階層レベルにある [profile] 構成ステートメントを使用して、XAuth プロファ イルを構成します。 Web 認証用に XAuth プロファイルを使用するには、[edit access firewall-authentication] 階層レベルにある[web-authentication] 構成ステートメントを使用します。 b. ローカル認証が使用される場合は、ローカル アクセス プールの IP アドレスを割り当 てます。[edit access] 階層レベルの [address-assignment pool] 構成ステートメントを 使用します。IP アドレスのサブネットまたは範囲を指定することができます。DNS およ び WINS サーバーの IP アドレスも指定します。 2. VPN トンネルの設定をするには、次の操作を行います。 a. IKE ポリシを設定します。モードはアグレッシブでなければなりません。基本、互換性、 または標準プロポーザル設定を使用することができます。フェーズ 1 認証では、事前共 有鍵のみがサポートされます。[edit security ike] 階層レベルの [policy] 構成ステー トメントを使用します。 b. IKE ゲートウェイを設定します。共有 IKE ID またはグループ IKE ID のいずれも使用 することができます。ゲートウェイへの最大数の同時接続を設定することができます。 [edit security ike] 階層レベルの [gateway] 構成ステートメントを使用します。 c. IPsec VPN を設定します。[edit security ipsec] 階層レベルの [policy] 構成ステート メントで、基本、互換性、標準のプロポーザル設定を指定することができます。[edit security ipsec] 階層レベルにある [vpn] 構成ステートメントを使用して、IPsec ゲー トウェイおよびポリシを構成します。 d. セキュリティ ポリシを設定すると、リモート クライアントから IKE ゲートウェイへの トラフィックを許可します。[edit security policies from-zone zone to-zone zone] 階 層レベルの [policy] 構成ステートメントを使用します。 注: このセキュリティ ポリシの配置は重要です。VPN トンネル経由で送信さ れるためのトラフィックが正確に処理されるように、さらに具体的な非 VPN ポリシよりもセキュリティ ポリシを上に配置しなければなりません。 74 Copyright © 2011, Juniper Networks, Inc. 第4章: SRX シリーズ ゲートウェイに Junos Pulse を構成する e. ホストへのインバウンド トラフィックを構成すると、そのインターフェースに接続する システムのデバイスに到達するために、特定のトラフィックを許可します。例として、 IKE および HTTPS トラフィックは許可されなければなりません。 f. (オプション)クライアントのアドレス プールがデバイスに直接接続されているサブ ネットに属している場合は、デバイスは同じゾーンにある他のデバイスのプールにある アドレスへの ARP 要求に応答する必要があります。[edit security nat] 階層レベルの [proxy-arp] 構成ステートメントを使用します。サブネットをプールにあるアドレスおよ びデバイスに直接接続するインターフェースを指定します。 3. リモート クライアントと動的 VPN を関連付けるには、次の操作を行います。 a. 動的 VPN で使用するアクセス プロファイルを指定します。[edit security dynamic-vpn] 階層レベルの [access-profile] 構成ステートメントを使用します。 b. 動的 VPN を使用することができるクライアントを設定する。保護されたリソース(保護 されたリソースへのトラフィックは、指定された動的 VPN トンネルを通過し、そのため ファイアウォールのセキュリティ ポリシで保護されている)または保護されたリソース リストでの例外(トラフィックは動的 VPN トンネルを通過せず、クリアテキストで送信 される)を指定します。これらのオプションは、トンネルが使用可能な場合に、クライ アントにプッシュされるルートを制御します。そのため、トンネル経由で送信されるト ラフックを制御します。[edit security dynamic-vpn] 階層レベルの [clients] 構成ス テートメントを使用します。 関連項目 • 95ページのJunos Pulse クライアントのインストールの概要 Copyright © 2011, Juniper Networks, Inc. 75 Junos Pulse 管理ガイド 76 Copyright © 2011, Juniper Networks, Inc. 第5章 WXC シリーズ ゲートウェイに Junos Pulse を構成する この章では、WXC アプリケーション アクセラレーション ゲートウェイから Junos Pulse をイ ンストールして管理する方法について説明します。 • Junos Pulse クライアントをインストールする 77ページ • ソフトウェア、構成、およびポリシを管理する 79ページ Junos Pulse クライアントをインストールする モバイル ユーザーとリモート Windows ユーザーは、Junos Pulse クライアントをインストー ルすることによってアプリケーション高速化のメリットを享受できます。Pulse クライアント は、クライアント システムとリモート WXC シリーズ ゲートウェイ間のトラフィックを高速化 します。WXC シリーズ ゲートウェイと Pulse クライアントは、互いに相手を自動検出して、 ユーザーの介入なしでトラフィックの高速化を開始します。 注: Junos Pulse は、他のクライアントのゲートウェイとして機能する 1 つの Windows システムではなく、各 Windows クライアントにインストールする必要があ ります。 Junos Pulse クライアントは次のようにインストールします。 • WXC シリーズ ゲートウェイから Junos Pulse クライアントをダウンロードする 77ページ • SA シリーズ アプライアンスから Junos Pulse クライアントをダウンロードする 78ページ • Junos Pulse クライアントをアンインストールする 79ページ WXC シリーズ ゲートウェイから Junos Pulse クライアントをダウンロードする Junos Pulse クライアントは、クライアント ライセンスを有する JWOS 6.1 を実行している WXC シリーズ ゲートウェイのいずれからもダウンロードできます。ライセンスがある場合は、 WXC シリーズ ゲートウェイの Web インターフェースのタスクバーに [Junos Pulse] のセレク ションが表示されます。 Pulse クライアント ソフトウェアをダウンロードする前に、ユーザーは以下を行う必要があり ます。 Copyright © 2011, Juniper Networks, Inc. 77 Junos Pulse 管理ガイド • Pulse クライアント ダウンロードが有効化されているかを確認します (「79ページの「WXC シリーズ ゲートウェイから Pulse クライアント ダウンロードを有効化する」」を参照して ください)。 • Pulse クライアント構成を指定します (「82ページの「WXC シリーズ ゲートウェイで Pulse クライアント構成を定義する」」を参照してください)。 WXC シリーズ ゲートウェイから Windows 7、Windows Vista、または Windows XP を起動して いるコンピューターに Pulse クライアントをダウンロードするには、次の操作を行います。 1. WX クライアントがインストールされている場合は、[Start] > [All Programs] > [Juniper Networks] > [WX Client] > [Uninstall] を選択して、WX をアンインストールします。 WX クライアントは JWOS 6.0 のみをサポートしているので、Pulse クライアントとは準拠して いません。 2. 次の URL をサポートされている Web ブラウザに入力します。 https://WXC IP address/client 3. 必要に応じてユーザー名とパスワードを入力し、[Login] をクリックします。 4. [Install Now] を選択し、必要に応じて [Security Warning] ダイアログ ボックスで [Install] をクリックします。以下にご注意ください。 • Windows ファイアウォールが有効化されている場合、クライアントに外部接続を許可する ようメッセージが表示されたときに [Unblock] をクリックします。 • Network Connect クライアントを停止するようメッセージが表示されたら、[OK] をクリッ クし、Junos Pulse クライアントがインストールされた後で Network Connect クライア ントを再起動します。 インストールが完了したら Junos Pulse クライアントが自動的に開始し、Junos Pulse ア イコンが Windows デスクトップの右下隅のシステム トレイに表示されます。リモート WXC ゲートウェイが発見されると、アプリケーション高速化が自動的に開始します。他に設定す る必要はありません。 SA シリーズ アプライアンスから Junos Pulse クライアントをダウンロードする ユーザーが SA シリーズ アプライアンスへアクセスした時に、Junos Pulse クライアントを自 動的にダウンロードしインストールすることができます。バージョン 6.5 あるいは 6.3 の SA シリーズ アプライアンスでは、まず Junos Pulse クライアントを WXC シリーズ ゲートウェ イからエクスポートし、SA シリーズ アプライアンスにアップロードする必要があります (「83 ページの「WXC シリーズ ゲートウェイから Pulse クライアントを配布する」」を参照してく ださい)。バージョン 7.0(あるいはそれ以降)の SA シリーズ アプライアンスは Junos Pulse クライアントを含むため、WXC シリーズ ゲートウェイからクライアントをエクスポートする必 要はありません。 SA シリーズ アプライアンスから Junos Pulse クライアントをダウンロードするには、次の操 作を行います。 1. Windows 7、Windows Vista、あるいは Windows XP を起動しているコンピュータから、対応 している Web ブラウザに SA シリーズ アプライアンスの URL を入力します。例: https://wx-sa.juniper.net 78 Copyright © 2011, Juniper Networks, Inc. 第5章: WXC シリーズ ゲートウェイに Junos Pulse を構成する [Loading Components] ページが表示されます。Junos Pulse クライアント インストーラの ダウンロード用にホストチェッカー ウィンドウが開き、続いて Junos Pulse クライアント ウィンドウがクライアントのダウンロードとインストール用に開きます。以下にご注意くだ さい。 • Windows ファイアウォールが有効化されている場合、Junos Pulse クライアントに外部接 続を許可するようメッセージが表示されたら[Unblock] をクリックします。 • Network Connect クライアントを停止するようメッセージが表示されたら、[OK] をクリッ クし、Junos Pulse クライアントがインストールされた後で Network Connect クライア ントを再起動します。 • ホストチェッカーあるいは Junos Pulse クライアントのインストールが不適切であった ことを示すメッセージが表示されたら、インストールを完了させるために[Try Again] を クリックします。 インストールが完了すると、Junos Pulse クライアントが自動的に開始します。クライアン トを手動で開始するには、システム トレイの Junos Pulse アイコンをダブルクリックしま す。リモート WXC シリーズ ゲートウェイが発見されたら、アプリケーション高速化が自動 的に開始します。他に設定する必要はありません。 Junos Pulse クライアントをアンインストールする Junos Pulse クライアント ソフトウェアをアンインストールするには、[Start] > [All Programs] > [Juniper Networks] > [Junos Pulse] > [Uninstall] を選択するか、以下のプロ グラムを実行します (必要に応じて C: を Windows がインストールされているドライブに変更 します): C:\Program Files\Juniper Networks\Junos Pulse\Uninstall.exe ソフトウェア、構成、およびポリシを管理する 以下の項では、Pulse クライアントを管理する方法を説明します。 • WXC シリーズ ゲートウェイから Junos Pulse クライアント ダウンロードを有効化す る 79ページ • WXC シリーズ ゲートウェイで Junos Pulse クライアント隣接関係を有効化する 80ページ • WXC シリーズ ゲートウェイで Junos Pulse クライアント ポリシを構成する 80ページ • WXC シリーズ ゲートウェイで Junos Pulse クライアントのステータスを表示する 81ページ • WXC シリーズ ゲートウェイで Junos Puls クライアント構成を定義する 82ページ • WXC シリーズ ゲートウェイで Junos Pulse クライアント構成を表示する 82ページ • Junos Pulse クライアント ソフトウェアを WXC シリーズ ゲートウェイへアップロードす る 82ページ • WXC シリーズ ゲートウェイから Junos Pulse クライアントを配布する 83ページ WXC シリーズ ゲートウェイから Junos Pulse クライアント ダウンロードを有効化する Windows ユーザーは、JWOS 6.1 以降を実行しておりクライアント ダウンロードが有効化され ている WXC シリーズ ゲートウェイから、Pulse クライアント ソフトウェアをダウンロードし Copyright © 2011, Juniper Networks, Inc. 79 Junos Pulse 管理ガイド イントールできます。オプションで、ユーザーがクライアント ソフトウェアをダウンロードす る前にユーザーにログインを要求することも可能です。 クライアント ソフトウェアのダウンロードを有効化するには、次の操作を行います。 1. [Junos Pulse] > [Setup] > [Pulse Software Download] を選択します。 2. 表示された Pulse ソフトウェアのバージョンが正しいかを確認します。より最新のバージョ ンが利用可能な場合、それを WXC シリーズ ゲートウェイにアップロードする必要がありま す (「82ページの「Pulse クライアント ソフトウェアを WXC シリーズ ゲートウェイにアッ プロードする」」を参照してください)。 3. [Allow Pulse software download] を選択して、ユーザーによるクライアント ソフトウェ アのダウンロードを許可します。 4. [Require user authentication] を選択してユーザーにログインを要求し、必要なユーザー 名とパスワードを指定します。 5. [Submit] をクリックして変更内容を確定します。 6. 次回再起動したときのために変更内容を維持するには、タスクバーの [Save] をクリックし ます。 WXC シリーズ ゲートウェイで Junos Pulse クライアント隣接関係を有効化する デフォルトでは、JWOS 6.1(あるいはそれ以降)を実行している WXC シリーズ ゲートウェイ は、Pulse クライアント ソフトウェアの対応バージョンを実行しているすべてのクライアント で、隣接関係を形成することができます。隣接関係が確立されるとトラフィックが高速化され ます。クライアント隣接関係はいつでも無効化あるいは有効化できます。隣接関係が手動で無 効化される (あるいは何らかの理由で切断される) と、隣接関係を再確立するのに約 30 秒要 します。 注: アプリケーション高速化を使用する接続は、Kasperskyソフトウェアが Pulse エンドポイントにインストールされている場合は、UDP ポート 3578 のトラフィッ クを許可する構成をしなければなりません。 Junos Pulse クライアントで隣接関係を有効化あるいは無効化するには、次の操作を行います。 1. [Junos Pulse] > [Setup] > [Pulse Adjacency] を選択します。 2. [Allow adjacency with Pulse clients] を選択して WXC が Junos Pulse クライアントと 隣接関係を形成するのを有効化します。チェック ボックスを外した場合、現在の隣接関係 すべてが無効化され、クライアントのトラフィックの流れがすべてリセットされます。 3. [Submit] をクリックして変更内容を確定します。 4. 次回再起動したときのために変更内容を維持するには、タスクバーの [Save] をクリックし ます。 WXC シリーズ ゲートウェイで Junos Pulse クライアント ポリシを構成する 現在隣接する(接続している)各クライアント、あるいは前回 WXC シリーズ ゲートウェイが 再開された後で隣接関係にある各クライアントに対し、圧縮および高速化サービスを構成でき 80 Copyright © 2011, Juniper Networks, Inc. 第5章: WXC シリーズ ゲートウェイに Junos Pulse を構成する ます。隣接関係が確立されると、ローカル アプリケーション ポリシが、そのクライアントに 送信されたトラフィックに適用されます。 クライアントに対しデフォルト構成を定義するには「82ページの「「WXC シリーズ ゲートウェ イで Pulse クライアント構成を定義する」」を参照してください。 Pulse クライアント ポリシを構成するには、次の操作を行います。 1. [Junos Pulse] > [Policies] を選択します。 2. 該当するクライアントの横にあるサービスのチェック ボックスを選択することによって、1 つ以上のクライアントに対しサービスを有効化します。すべてのクライアントに対してサー ビスを有効化あるいは無効化するには、リストの下にある [Select All/Clear] チェック ボックスを選択するか、チェックを外します。 3. 変更内容を有効にするには [Submit] をクリックします。破棄するには [Reset] をクリッ クします。 4. 次回再起動したときのために変更内容を維持するには、タスクバーの [Save] をクリックし ます。 WXC シリーズ ゲートウェイで Junos Pulse クライアントのステータスを表示する 各 Pulse クライアントの接続ステータスや、ローカル WXC シリーズ ゲートウェイと各リモー ト Pulse クライアント間の各サービスのステータスを、表示することができます。クライアン ト一覧には、隣接関係にある(接続されている)クライアントと、接続待ちのすべてのクライ アント、あるいは前回 WXC が再起動された後からアクティブになったクライアントすべてが含 まれます。アクティブでない隣接関係は 15 分後に接続解除されます。 Junos Pulse クライアントのステータスを表示するには、次の操作を行います。 1. [Junos Pulse] > [Status] を選択します。 2. ステータス アイコンを確認します。 アイコン 説明 Junos Pulse クライアントが隣接しています (接続済)。 Junos Pulse クライアントが接続されていない、接続待ちの状態である、あるい は接続中か接続解除中です。 サービスは正常に機能しています。 ローカル WXC シリーズ ゲートウェイでサービスが有効化されていません。サー ビスを有効化するには「80ページの「WXC シリーズ ゲートウェイで Pulse クラ イアント ポリシを構成する」」を参照してください。 問題がある場合、あるいはローカル WXC シリーズ ゲートウェイでサービスが有 効化されているが Pulse クライアント上で無効化されている。 Copyright © 2011, Juniper Networks, Inc. 81 Junos Pulse 管理ガイド WXC シリーズ ゲートウェイで Junos Puls クライアント構成を定義する ユーザーが Pulse クライアント ソフトウェアをダウンロードすると、クライアントの構成が 含まれます。クライアント構成を現在の WXC 構成ファイル (startup.cfg) から生成するか、 ローカル ディスク、FTP サーバー、あるいは TFTP サーバーからカスタマイズされた構成ファ イルをロードする必要があります。 現在のクライアント構成を表示するには「82ページの「WXC シリーズ ゲートウェイで Pulse クライアント構成を表示する」」をご覧ください。 1. [Junos Pulse] > [Admin] > [Load Pulse Configuration] を選択します。 クライアント構成と最後に更新された時間がページの上部に示されます。クライアント構成 が定義されていない場合は [Not Available] が表示されます。 2. 次の中から 1 つを選択します。 構成ファイルを生成する [startup.cfg] ファイルに保存されている現在の WXC 構成に基づいて、クラ イアント構成を生成します。 ローカル ディスク ネットワーク内のパソコンでパスとファイル名を指定するか、[Browse] をク リックして構成ファイルを選択します。 TFTP サーバー TFTP サーバーの IP アドレスと、サーバー上のパスとファイル名を [/juniper/client_config.cfg] のように指定します。 FTP サーバー FTP サーバーの IP アドレスと、サーバー上のパスとファイル名を [/juniper/client_config.cfg] のように指定します。FTP サーバーが匿名ユー ザーのアクセスを受け付けない場合、サーバーに対し読み取り/書き込み権限 を有するアカウントのユーザー名とパスワードを入力します。 3. [Load] をクリックしてクライアント構成を更新します。 WXC シリーズ ゲートウェイで Junos Pulse クライアント構成を表示する Pulse クライアントにダウンロードされたデフォルト構成を、Web インタフェースを介して見 ることができます。WXC シリーズ ゲートウェイから Pulse クライアント構成を生成する場合、 クライアント構成にはゲートウェイ構成からの CLI コマンドのサブセットが含まれます。 クライアント構成を表示するには、次の操作を行います。 1. [Junos Pulse] > [Admin] > [Display Pulse Configuration] を選択します。 2. クライアント構成を表示します。構成内の CLI コマンドの詳細については、「JWOS コマン ド参照ガイド」を参照してください。 Junos Pulse クライアント ソフトウェアを WXC シリーズ ゲートウェイへアップロードする Pulse クライアント ソフトウェアの新しいバージョンが利用可能になった場合、ユーザー用に ダウンロード可能になる前、あるいは配布用にエクスポート可能になる前に、WXC シリーズ ゲートウェイにアップロードする必要があります。Pulse クライアント ソフトウェアは、ロー カル ディスクあるいは FTP または TFTP サーバーからロードできます。 82 Copyright © 2011, Juniper Networks, Inc. 第5章: WXC シリーズ ゲートウェイに Junos Pulse を構成する Pulse クライアント ソフトウェアの新しいバージョンをアップロードするには次の操作を行い ます。 1. [Junos Pulse] > [Admin] > [Load Pulse Software] を選択します。 2. ページの一番上に表示されたクライアントのバージョンを上書きしてよいか確認します。 3. 以下のいずれかを選択して、新しい Pulse のバージョンのロケーションを指定します。 ローカル ディスク ネットワーク内のコンピュータでパスとファイル名を指定するか、[Browse] をクリックしてクライアント ソフトウェア ファイルを選択します。 TFTP サーバー TFTP サーバーの IP アドレスと、サーバー上のパスおよびファイル名を指定 します。 FTP サーバー FTP サーバーの IP アドレスと、サーバー上のパスおよびファイル名を指定 します。FTP サーバーが匿名ユーザーのアクセスを受け付けない場合、サー バー上で読み取り/書き込み権限を有するアカウントのユーザー名とパスワー ドを入力します。 4. [Load] をクリックして Junos Pulse クライアント ソフトウェアを更新します。 WXC シリーズ ゲートウェイから Junos Pulse クライアントを配布する WXC シリーズ ゲートウェイから Pulse クライアントをダウンロードすることをユーザーに許 可することに加え、以下のいずれかの方法でクライアントを配布することも可能です。 • Juniper Networks SA シリーズ SSL VPN アプライアンス—ユーザーが SA シリーズ アプライ アンスへアクセスする場合は、Junos Pulse クライアントは、自動的にダウンロードされ、 インストールされます。バージョン 6.5 あるいは 6.3 の SA シリーズ アプライアンスで は、Pulse クライアント ソフトウェア パッケージを WXC シリーズ ゲートウェイからエク スポートし、その後そのパッケージを SA シリーズ アプライアンスにアップロードする必要 があります。バージョン 7.0 以降の SA シリーズ アプライアンスは Pulse クライアントを 含むため、WXC ゲートウェイからクライアントをエクスポートする必要はありません。SA シ リーズ アプライアンスの Junos Pulse 構成情報は、「Junos Pulse 管理ガイド」と 「Junos Pulse Secure Access サービス管理ガイド」の両方に含まれています。 • Microsoft システム管理サーバー(SMS)または Microsoft システム センタ構成マネージャ (SCCM)—Windows インストーラ ファイルに含まれるクライアント構成をエクスポートする ことにより、SMS/SCCM 経由で Junos Pulse クライアントを配布することができます。 SA シリーズ アプライアンスから Pulse クライアントを配布する 以下の手順に従って、Junos Pulse クライアントをバージョン 6.5 あるいは 6.3 の SA シリー ズ アプライアンスから配布できます。バージョン 7.0 以降の SA シリーズ アプライアンスで Pulse クライアントを配布するには、「Junos Pulse 管理ガイド」または 「Junos Pulse Secure Access 管理ガイド」を参照してください。 1. Junos Pulse クライアント構成をロードあるいは生成します (「82ページの「「WXC シリー ズ ゲートウェイで Pulse クライアント構成を定義する」」を参照してください)。 2. [Junos Pulse] > [Admin] > [Export Pulse Software] を選択します。 Copyright © 2011, Juniper Networks, Inc. 83 Junos Pulse 管理ガイド 3. SA シリーズ アプライアンスにインストールするクライアント ソフトウェア パッケージを エクスポートします。 a. ホストチェッカーが Junos Pulse クライアントをインストールし開始するよう、[Create Host Checker package for use with SA] を選択します。クライアントに障害が生じる か、手動でクライアントが停止された場合、自動的に再開されません。 b. [Export]、続いて [OK] をクリックして、ローカル フォルダあるいは共有ファイルに [.zip] ファイルを保存します。 4. SA シリーズ アプライアンスに、エクスポートしたソフトウェア パッケージをアップロー ドします。 a. SA シリーズ アプライアンスの管理コンソールに管理者としてログインし、 [Authentication] > [Endpoint Security] > [Host Checker] を選択します。 b. [Perform check every X minutes] と [Client-side process, login inactivity timeout] が 10 分以上に設定され、タイムアウト間隔がチェック間隔よりも長く設定されていな いことを確認します。 c. [New 3rd Party Policy] を選択し、ポリシ名を指定して、エクスポートされた Junos Pulse クライアント ソフトウェア パッケージをポリシ ファイルとして選択します。 d. [Save Changes] をクリックします。 e. [Users] > [User Realms] > [Select Realm] > [Authentication Policy] > [Host Checker] を選択します。表示された Junos Pulse クライアント ポリシに対し、[Evaluate Policies] および [Require and Enforce] チェック ボックスの両方を選択します。 f. [Save Changes] をクリックしてホストチェッカー ポリシを保存します。 SMS/SCCM を介して Pulse クライアントを配布する SMS/SCCM を使って Junos Pulse クライアントを配布するには、WXC シリーズ ゲートウェイか らクライアント構成をエクスポートして、Windows インストーラ ファイルにあるデフォルトの クライアント構成の替わりに使用する必要があります。 Junos Pulse クライアント SMS を介して配布するには、次の操作を行います。 1. WXC シリーズ ゲートウェイからクライアント構成をエクスポートするには、次の操作を行 います。 a. [Junos Pulse] > [Admin] > [Export Pulse Software] を選択します。 b. [Download Configuration for MSI package] を選択します。 c. [Export] をクリックして、ローカル フォルダあるいは共有ファイルに [Config_All.ini] ファイルを保存します。 2. Junos Pulse クライアント ソフトウェアの Windows インストーラ バージョン (a .msi file) を、InstallShield 2008 が搭載されたコンピュータにダウンロードします。このソ フトウェアは http://www.juniper.net/customers/support からダウンロードできます。 3. InstallShield でダウンロードされたファイルを開き、[Installation Designer] タブを選 択します。 84 Copyright © 2011, Juniper Networks, Inc. 第5章: WXC シリーズ ゲートウェイに Junos Pulse を構成する 4. 左のペインで [Organization] > [Components] を選択し、中央のペインにある最初のコン ポーネント フォルダを開きます。 5. 中央のペインで [Files] サブフォルダを選択し、右ペインに表示されている [Config_All.ini] ファイルを右クリックして [Delete] を選択します。 6. [Files] サブフォルダを右クリックして [Add] を選択します。 7. WXC からエクスポートした [Config_All.ini] ファイルを探して [Open] をクリックします。 8. [In a new CAB file] ファイルを選択し、[Stream the new CAB file into the Windows Installer package] チェック ボックスを選択して、[OK] をクリックします。 9. [Save] をクリックして変更内容を保存します。 Copyright © 2011, Juniper Networks, Inc. 85 Junos Pulse 管理ガイド 86 Copyright © 2011, Juniper Networks, Inc. 第6章 セッション移行 • セッション移行の概要 87ページ • タスク サマリー:セッション移行を構成する 90ページ • Pulse クライアント用にセッション移行を構成する 91ページ • セッション移行用に IF-MAP 連携型ネットワークを構成する 91ページ セッション移行の概要 2 つ以上の Juniper Networks ゲートウェイ (IC シリーズ ゲートウェイ および SA シリーズ ゲートウェイ) においてセッション移行を有効にした場合、別途認証を提供することなく、Junos Pulse エンドポイントをあるロケーションから別のロケーションに移行して異なるアクセス ゲートウェイに接続できます。例えば、ユーザーは自宅で SA シリーズ ゲートウェイ経由で接 続し、職場に移動してから IC シリーズ ゲートウェイ経由で再認証なしに接続できます。セッ ション移行が有効化されていない場合、Pulse ユーザーは、別のゲートウェイ経由でネットワー クにアクセス試行をするたびに再認証する必要があります。 同じ IF-MAP サーバーを使うか相互に複製された IF-MAP サーバーを使い、同じ IF-MAP 連携 型ネットワークに存在する IC シリーズ ゲートウェイと SA シリーズ ゲートウェイ間でセッ ションを移行できます。 ゲートウェイが存在する認証グループも同じでなければなりません。認証グループは、認証領 域を介して構成されます。認証グループは文字列で、一般的な使用のために定義します。認証 グループを使い、同じような認証方式の領域をまとめることができます。例えば、SecurID 認 証用にある認証グループを指定し、AD 用に別の認証グループを指定するということです。1 つ の単一ゲートウェイを、領域ごとに異なる認証グループで、複数の認証グループに所属させる ことができます。 ユーザーが認証を行う IC シリーズあるいは SA シリーズ ゲートウェイは、IF-MAP サーバー にセッション情報を発行します。連携型ネットワーク内の他の IF-MAP クライアントはその情 報を使用して、ユーザーへの追加の認証なしでアクセスを許可します。 ユーザー セッションが別のゲートウェイに移行されると、移行ゲートウェイが IF-MAP サー バーに新しいセッション情報を発行します。セッションは移行ゲートウェイと関連付けられま す。IF-MAP サーバーは認証ゲートウェイに通知し、認証ゲートウェイから存在していたセッ ションの情報が削除され、IF-MAP サーバーには移行ゲートウェイからのセッション情報のみが 残ります。認証ゲートウェイはそのローカル セッション テーブルからセッションについての 情報を削除し、ユーザー ライセンス数が減らされます。 Copyright © 2011, Juniper Networks, Inc. 87 Junos Pulse 管理ガイド セッションが移行されると、その属性が領域にしたがって役割マッピングを実施します。標準 の役割マッピング規則がユーザーのアクセス能力を決定します。ユーザー属性はセッションが 移行された際にインポートできます。あるいは移行されたユーザー セッションについて属性を 検索するよう、専用ディレクトリ サーバーを構成できます。セッション移行でユーザー セッ ションが保持されるよう、ホストチェッカー ポリシを必要としない限定アクセス修復役割を構 成します。この役割は、エンドポイントが休止あるいはスリープ状態であるときにホストチェッ カーのタイムアウト値を超えてしまう可能性があるために、必要となります。新しい修復役割 ではユーザーのセッションが保持されます。 移行されたセッションが適用される役割あるいは領域に追加のホストチェッカー ポリシが構成 された場合、それらのポリシは、役割あるいは領域へのアクセスをユーザーに許可する前に実 施されます。異なるゲートウェイの管理者は、ホストチェッカー ポリシがエンドポイントの互 換性を考慮に入れ適切に設定されているか確認する必要があります。 移行アクセス ゲートウェイの [Active Users] ログに新しいセッションが表示され、セッショ ン継続時間に対するライセンス数が増やされます。 88ページの図9 は Pulse のセッション移行の有効化におけるタスクの流れを示しています。 図 9: Pulse セッション移行の要件 88 Copyright © 2011, Juniper Networks, Inc. 第6章: セッション移行 セッション移行およびセッション タイムアウト 認証サーバー上でのセッションタイムアウトは移行セッションには適用されません。その代わ りに、セッション開始時間が適用されます。インバウンド サーバーは、元のサーバーの元の セッションの開始時間を使ってセッション タイムアウトを判断します。 セッション移行が有効化されているエンドポイントをユーザーが再起動すると、サーバー上で セッションが短時間保持されます。IC シリーズ ゲートウェイのセッションでは、ハートビー ト タイムアウトが期限切れになるまでセッションが保持されます。SA シリーズ ゲートウェイ のセッションでは、セッションが保持される時間はアイドルタイム アウトによって決まりま す。 IC シリーズあるいは SA シリーズ ゲートウェイに接続しているエンドポイントが再起動され、 ユーザーがまだサインアウトしていない場合、エンドポイントの再起動後にユーザーが同じア クセス ゲートウェイに接続を試みたとき、以前のセッションがまだアクティブであれば Pulse はユーザーの信用情報を要求することなく以前のセッションを再開します。 セッション移行のしくみ セッション移行はサーバーを連携させるのに IF-MAP 連携を使用します。 セッションが確立されると、認証ゲートウェイはセッション ID を含むセッション情報を IF-MAP サーバーに発行します。セッション ID も Pulse クライアントに送信されます。 Pulse クライアントが同じ認証グループの移行ゲートウェイに接続すると、Pulse クライアン トは移行ゲートウェイにセッション ID を送信します。移行ゲートウェイはセッション ID を 使い、IF-MAP サーバーのセッション情報を検索します。セッション情報が有効な場合、移行 ゲートウェイはセッション ID を使って Pulse クライアントが実行しているエンドポイントの ローカル セッションを確立します。 ユーザー セッションが移行したことを IF-MAP サーバーが認証ゲートウェイに通知し、認証 ゲートウェイは IF-MAP サーバーからセッション情報を削除します。 セッション移行とセッション寿命 セッション移行はユーザーに最大限の柔軟性とモビリティを提供するよう設計されています。 ユーザーはもはやオフィスに縛られることはありません。仕事場がユーザーとともに移動し、 オンライン バンキングなどの雑用も仕事場で済ますことが可能です。この柔軟性により、ユー ザーはアクティブ セッションの有効期限が切れても長期間パソコンから離れることができま す。セッション移行には、ユーザーが IC シリーズあるいは SA シリーズ ゲートウェイでアク ティブなセッションを保持している必要があります。 ユーザーがコンピュータから離れているときにユーザー セッションがタイムアウトにならない よう、セッション寿命を調整することが可能です。セッション寿命はゲートウェイで、管理コ ンソールの [Users] > [User Roles] > [Role Name] >[ General] > [Session Options] ページで 調整できます。 認証サーバーに関するサポート セッション移行は、インバウンド側の認証サーバーによってある程度動作が異なります。 Copyright © 2011, Juniper Networks, Inc. 89 Junos Pulse 管理ガイド 認証サーバーに関するサポートの概要は次の通りです。 • ローカル認証サーバー—ローカル認証サーバーでユーザー名が有効な場合、移行が成功しま す。 • LDAP サーバー—LDAP 認証サーバーがユーザー名を識別名(DN)に解決できる場合、移行が成 功します。 • NIS サーバー—NIS 認証サーバーが NIS 認証サーバー上でユーザー名を見つけることができ る場合、移行が成功します。 • ACE サーバー—移行は常に成功します。 • RADIUS サーバー—移行は常に成功します。[Lookup Attributes using Directory Server] を 選択すると、ユーザー コンテキスト データに属性は存在しません。 • アクティブ ディレクトリ—移行は常に成功します。ディレクトリ サーバー オプションを使っ たルックアップ属性は、ご使用の構成によって機能しない可能性があります。 • 匿名セッションが認証されないため、移行セッションはサポートされません。 • Siteminder—Siteminder SSO が使用されるため、移行セッションはサポートされません。 • 証明書—証明書を使ってセッションが認証されるため、移行セッションはサポートされませ ん。 • SAML—SAML SSO が使用されるため、移行セッションはサポートされません。 注: ローカル、NIS、LDAP 認証サーバーについては、インバウンド ユーザー名は既 存のアカウントを反映している必要があります。 関連項目 • 91ページのPulse クライアント用にセッション移行を構成する • 90ページのタスク サマリ:セッション移行を構成する タスク サマリー:セッション移行を構成する Junos Pulse クライアントでユーザーにセッション移行を許可するには、以下のタスクを行い ます。 1. ユーザーに対するセッション移行の目的で含めるべき位置を指定するよう、位置認識規則を クライアント接続設定内に構成します。例えば、企業 IC シリーズ ゲートウェイ接続およ び SA シリーズ ゲートウェイ接続用に位置識別規則を構成します。 2. IF-MAP 連携型ネットワークを、適切な IC シリーズ ゲートウェイと SA シリーズ ゲート ウェイで、同じ IF-MAP 連携サーバーの IF-MAP 連携クライアントとして構成します。 3. 各ゲートウェイについて、ユーザー エントリが認証サーバー上で構成されるようにします。 4. 各ゲートウェイにおいて、すべてのユーザーに対しユーザー役割が構成されるようにしま す。 5. エンドポイントがスリープあるいは休止状態のときにユーザー セッションを維持できるよ う、ホストチェッカー ポリシなしで修復役割を定義します。 90 Copyright © 2011, Juniper Networks, Inc. 第6章: セッション移行 6. 各ゲートウェイのリソースへのアクセスをユーザーに許可する、役割マッピング規則を設定 します。 7. 管理コンソールの [User Realms] ページからセッション移行を有効化して構成します。 8. Pulse クライアントをユーザーに配布します。 関連項目 • 87ページのセッション移行の概要 • 91ページのPulse クライアント用にセッション移行を構成する • 91ページのセッション移行用に IF-MAP 連携型ネットワークを構成する Pulse クライアント用にセッション移行を構成する 注: セッション移行を有効化する IC シリーズ ゲートウェイおよび SA シリーズ ゲートウェイすべてが、同じ IF-MAP 連携サーバーの IF-MAP 連携クライアントで あることを確認します。さらに、各ゲートウェイがこのセッションで説明されてい る手順に従って構成されていることを確認します。 セッション移行を構成するには、次の操作を行います。 1. 管理コンソールで、[Users] > [User Realms] を選択します。 2. 既存の領域を選択するか、領域を新たに作成します。 3. [General] ページで [Session Migration] チェック ボックスを選択します。さらにオプ ションが表示されます。 4. [Authentication Group] ボックスに、ユーザーに対しセッション移行を提供するゲートウェ イすべてに共通する、文字列を入力します。認証グループは ID として使用されます。 5. [Use Attributes from IF-MAP] あるいは [Lookup Attributes using Directory Server] のいずれかのオプション ボタンを選択します。 注: LDAP サーバーを使用している場合のみ、ディレクトリ サーバーを使って ルックアップ属性を選択してください。LDAP サーバーでは属性がより高速に処 理されます。 関連項目 • 87ページのセッション移行の概要 • 90ページのタスク サマリ:セッション移行を構成する • 91ページのセッション移行用に IF-MAP 連携型ネットワークを構成する セッション移行用に IF-MAP 連携型ネットワークを構成する セッション移行を正常に展開するためには、IC シリーズ デバイス IF-MAP サーバーを構成し、 ユーザーが IF-MAP クライアントとしてアクセスするように、接続されたすべての IC シリー Copyright © 2011, Juniper Networks, Inc. 91 Junos Pulse 管理ガイド ズ デバイスおよび SA シリーズ デバイスを設定します。SA シリーズ アプライアンスは IF-MAP サーバーになることはできません。 クライアントを追加するには、クライアントの IP アドレスおよびセキュリティ メカニズムと 信用情報を指定しなければなりません。 IF-MAP サーバー証明書を IF-MAP サーバーにインストールする必要があります。クライアント は、サーバーに接続する際にサーバー証明書を確認します。サーバー証明書は認証機関(CA) によって署名され、クライアントは CA が署名した証明書を信用するよう構成される必要があ ります。またサーバー証明書内のホスト名が、クライアントの IF-MAP URL のホスト名に一致 する必要があります。 IF-MAP サーバーを、各 IC シリーズ デバイスおよび SA シリーズ デバイス IF-MAP クライア ントに特定する必要があります。サーバーを追加するには、サーバーの IF-MAP URL およびユー ザーが認証を要求する方法を指定します。URL とセキュリティ設定を、IF-MAP クライアントが 接続する IF-MAP サーバーのものと一致させます。 IC シリーズ デバイスで IF-MAP サーバーを設定するには、次の操作を行います。 1. 管理コンソールで [System] > [IF-MAP Federation] > [Overview] を選択します。 2. IC シリーズ デバイスにおいて、[Choose whether this IC Series device runs an IF-MAP Server, an IF-MAP client, or no IF-MAP] で、[IF-MAP Server] オプション ボタンを選 択します。 3. [Save Changes] をクリックします。 4. 管理コンソールから [System] > [IF-MAP Federation] > [This Server] > [Clients] を選 択します。 5. IF-MAP クライアントで、このクライアントの [Name] とオプションの [Description] を入 力します。 例えば、名前に「SA-access1.corporate.com」、説明に「Secure Access 1」と入力します。 6. クライアントの IP アドレスを 1 つ以上入力します。マルチホームのクライアントの場合、 物理ネットワーク インタフェースをすべてリストアップするのがベストです。クライアン トが IC シリーズ デバイスあるいは SA シリーズ アプライアンス クラスタの場合、すべ てのノードの内部および外部ネットワーク インタフェースをリストアップします。設備エ ラーによって IF-MAP クライアントと IF-MAP サーバー間のトラフィックが別のネットワー ク インタフェースに再ルーティングされる可能性があるため、すべてのインタフェースの IP アドレスを入力することが必要です。IP アドレスをすべてリストアップすることによ り、IF-MAP の連携がエラー時も機能する可能性を最大にします。 例として、172.16.100.105 を入力するとします。 7. [Authentication] で [Client Authentication Method:] [Basic or Certificate] を選択 します。. a. [Basic] を選択した場合、ユーザー名とパスワードを入力します。同じ情報を IF-MAP サーバーに追加する必要があります。 92 Copyright © 2011, Juniper Networks, Inc. 第6章: セッション移行 b. [Certificate] を選択した場合、このクライアントについて、どの認証機関(CA)を使っ て証明書を確認するかを指定します。オプションで、特定のクライアント証明書属性で 値を要求するため、証明書の属性あるいは制限を指定します。 8. [Save Changes] をクリックして、IF-MAP サーバーに IF-MAP クライアント インスタンス を保存します。 IC シリーズ デバイスおよび SA シリーズ デバイス クライアントで IF-MAP 設定を構成する には、次の操作を行います。 1. 管理コンソールで [System] > [IF-MAP Federation] > [Overview] を選択します。 2. IC シリーズ デバイスにおいて、[Choose whether this IC Series device runs an IF-MAP Server, an IF-MAP client, or no IF-MAP] から、[IF-MAP Client] オプション ボタンを 選択します。SA シリーズ デバイスで、[Enable IF-MAP Client] チェック ボックスを選択 します。 3. IF-MAP サーバーで、IF-MAP Web サービスのサーバー URL を入力します。すべての Juniper Networks IF-MAP サーバーには、サーバー URL に /dana-ws/soap/dsifmap を追加します。 例えば、https://access2.corporate.com/dana-ws/soap/dsifmap とします。 4. クライアント認証方法について [Basic] あるいは [Certificate] を選択します。 a. [Basic] を選択した場合、ユーザー名およびパスワードを入力します。これは、IF-MAP サーバーに入力した情報と同じです。 b. [Certificate] を選択した場合、使用するデバイス証明書を選択します。 IF-MAP サーバー証明書に署名した CA の証明書は [System] > [Configuration] > [Certificates] > [Trusted Server CA] ページから追加します。 IF-MAP クライアントが、IF-MAP サーバー証明書を検証します。検証が失敗すると、接 続も失敗します。クライアント コンピュータの IF-MAP URL のホスト名が、IF-MAP サー バーのサーバー証明書のホスト名と一致しているか、また、サーバー証明書に署名した CA が IF-MAP クライアントのトラステッド サーバー CA として構成されているかを確 認します。 5. [Save Changes] をクリックします。 関連項目 • 87ページのセッション移行の概要 • 90ページのタスク サマリ:セッション移行を構成する Copyright © 2011, Juniper Networks, Inc. 93 Junos Pulse 管理ガイド 94 Copyright © 2011, Juniper Networks, Inc. 第7章 Junos Pulse クライアント ソフトウェアを 配備する • Junos Pulse クライアントのインストールの概要 95ページ • Web からの Junos Pulse クライアントのインストール 96ページ • 事前構成済みファイルを使用して Junos Pulse クライアントをインストールする 97ページ Junos Pulse クライアントのインストールの概要 ここでは、Pulse クライアント ソフトウェアを SA シリーズおよび IC シリーズ アプライア ンスから配備する方法を説明します。SRX シリーズ サービス ゲートウェイは、まだ Pulse の 配備をサポートしていません。アプリケーション アクセラレーション ゲートウェイ(WXC) は、WX の接続の配備のみをサポートします。アプリケーション アクセラレーション(WXC) ゲートウェイから Pulse を配備する方法については、77ページの「「Junos Pulse クライアン トをインストールする」」を参照してください。 IC シリーズ アプライアンスおよび SA シリーズ アプライアンスには、デフォルトの接続設定 とコンポーネント設定が含まれています。これらのデフォルト設定を利用すると、新しい接続 設定とコンポーネント設定を作成しなくても Junos Pulse をユーザーに配備できます。クライ アントのデフォルト設定では、動的接続や、接続に必要なコンポーネントのみのインストール、 そしてエンドポイントが接続する IC シリーズ アプライアンスまたは SA シリーズ アプライ アンスへの自動接続を許可することができます。 どのような配備の場合であっても、事前に認証設定、領域、役割を構成しておく必要がありま す。 SA シリーズおよび IC シリーズ アプライアンスから Junos Pulse をエンドポイントに配備す るには、以下の方法があります。 • Web インストール—Web インストールでは、ユーザーがアクセス ゲートウェイの Web ポータ ルにログインします。また、Pulse インストールをサポートする役割が割り当てられます。 ユーザーが Junos Pulse を起動するリンクをクリックすると、デフォルトのインストール プログラムが Pulse をエンドポイントに追加し、デフォルトのコンポーネント設定とデフォ ルトの接続設定も追加します。これらのデフォルトを変更しない限り、自動接続としてゲー トウェイへの接続が設定される Pulse インストールがエンドポイントに配布されます。他の ゲートウェイの接続を追加したり、デフォルトのオプションを変更するには、デフォルトの 接続設定を編集することができます。 Copyright © 2011, Juniper Networks, Inc. 95 Junos Pulse 管理ガイド 注: Web インストールでは、Firefox ブラウザでのインストールの場合は、ユー ザーは Java をインストールし有効にする必要があり、Internet Explrer でのイ ンストールの場合は、Active X を有効にする必要があります。ブラウザがこの要 件を満たさない場合は、ユーザーはインストールが始まる時に、そのことが記載 されたメッセージを受け取ります。 • 事前構成済みインストーラ—事前構成済みインストーラは、エンドポイントに必要なすべての 接続を指定してから、エンドポイントに管理者のローカル組織の標準的なソフトウェア配布 方法(Microsoft SMS など)で配備するインストール プログラムを作成します。エンドポイ ントに Pulse をインストール後は、ユーザー側でさらに構成する必要はありません。 • デフォルト インストーラ—デフォルトの Pulse インストール プログラムを .exe または .msi 形式でダウンロードして、管理者のローカル組織の標準的なソフトウェア配布方法 (Microsoft SMS/SCCM など)でエンドポイントに配備できます。Junos Pulse クライアント ソフトウェアは、接続を除くすべてのコンポーネントと一緒にインストールされます。ユー ザーはデフォルトの Pulse をインストールした後に、Pulse クライアント ユーザー イン ターフェースから、またはブラウザでゲートウェイの Web ポータルにアクセスして、新しい 接続を追加することができます。後者の方法では、ゲートウェイの動的接続が自動的にダウ ンロードされ、新しい接続が Pulse クライアントの接続リストに追加されます。 Web からの Junos Pulse クライアントのインストール Web からインストールするには、ユーザーにアクセス ゲートウェイの Web インターフェース にログインするように指示します。正常にログインできると、ユーザーに Pulse クライアント ソフトウェアの自動ダウンロードとインストールが含まれる役割が割り当てられます。 注: Web インストールには、ユーザーが Java をインストール済みで、Firefox ブ ラウザ、または ActiveX 経由でのインストールを有効にしている、またはInternet Explorer 経由でのインストールを有効にしている必要があります。ブラウザがこの 要件を満たさない場合は、ユーザーはインストールが始まる時に、そのことが記載 されたメッセージを受け取ります。 デフォルトの Junos Pulse インストール設定には、最小限のコンポーネントと 1 つのアクセ ス ゲートウェイへの接続が含まれています。Web インストールにカスタマイズされた設定を含 めたい場合は、次のどれかを実行できます。 96 • デフォルトの接続設定を編集し、新しい接続を追加する。デフォルトのインストーラは、デ フォルトの接続設定が含まれているデフォルトのコンポーネント設定を使用します。 • 新しい接続設定を作成してから、デフォルトのコンポーネント設定を編集してその接続設定 を追加します。 • デフォルトによるインストール時に一緒に含める接続が含まれているコンポーネント設定を 指定するよう、役割を編集します。 Copyright © 2011, Juniper Networks, Inc. 第7章: Junos Pulse クライアント ソフトウェアを配備する 注: Pulse のインストール時は、Windows エンドポイントのアクティブなネットワー ク接続が再起動されます。WAN 経由でアクセス ゲートウェイの Web インターフェー スへの Pulse インストールを開始するときには、ネットワーク接続を再確立するた めに ISP に再ログインが必要な場合もあります。ユーザーはインストールを開始す る前に、このような問題があることを知っておく必要があります。 事前構成済みファイルを使用して Junos Pulse クライアントをインストールする クライアント接続セットを作成し、クライアント コンポーネント設定内にどの接続を含めるの かを指定した後、Pulse クライアントと一緒に配信したいすべての接続が入っている事前構成 したファイルを作成することができます。msiexec(windows\system32\msiexec.exe)を使用し て .msi インストーラ プログラムを実行する場合は、オプションとして事前構成したファイル を指定します。 注: ADDLOCAL コマンド ライン オプションを使用して特定のコンポーネントを指定 しない限りは、事前に構成されたインストーラは、常にすべてのコンポーネントを インストールします。事前に構成されたインストーラによってインストールされた コンポーネントは、事前構成ファイルを作成するために使用したコンポーネント設 定ではなく、ADDLOCAL オプションによって決定されます。 エンドポイントに配布する事前構成済みの Junos Pulse インストーラを作成するには、次の操 作を行います。 1. [Users] > [Junos Pulse] > [Connections] を選択し、配布したい接続を含む接続設定を作 成します。 2. [Users] > [Junos Pulse] > [Components] を選択します。 3. 必要な場合は、配布したい接続設定を含む、新しいコンポーネント設定を作成します。[All components]、[No components]、または[Minimal components] のいずれかのオプションを 選択することができます。msiexec コマンド ラインに事前構成されたインストーラを使用 して、インストールするコンポーネントを指定します。 4. 配布したいコンポーネント設定の横にあるチェック ボックスを選択します。 5. [Download Installer Configuration] をクリックします。事前構成を保存するよう表示さ れます。ファイルの名前と保存場所をメモしておきます。事前構成されたファイルはネット ワーク共有または msi. と一緒に配布することでクライアントに利用可能である必要があり ます。 6. [Maintenance] > [System] > [Installers] を選択します。 環境によっては、Juniper インストーラ サービスをダウンロードしてください。Pulse を インストールするには、ユーザーは適切な権限を持っている必要があります。Juniper イン ストーラ サービスは権限制限を無視し、ユーザーが制限された権限で Pulse をインストー ルすることを可能にします。 7. 以下の Windows 環境に適切な Junos Pulse インストーラをダウンロードします。 • Junos Pulse Installer(32-bit) Copyright © 2011, Juniper Networks, Inc. 97 Junos Pulse 管理ガイド Junos Pulse Installer(64-bit) • 事前構成されたファイルを使用して Pulse をインストールするには、msiexec コマンドを使用 して Pulse インストーラ プログラムを実行し、CONFIGFILE プロパティを指定して、事前構成 ファイルを指定します。コマンド ライン プロパティ(CONFIGFILE および ADDLOCAL)は、大 文字小文字が区別され、全て大文字です。CONFIGFILE プロパティは構成ファイルへの完全なパ スを指定しなければなりません。例: msiexec -i JunosPulse.msi CONFIGFILE=c:\temp\myconfiguration.jnprpreconfig アドバンスド コマンド ライン オプションを使用して Pulse クライアントをインストールする msiexec(.msi プログラムを起動するためのコマンド ライン)を使用して Pulse 事前構成イ ンストーラ プログラムを実行し、次のオプションを指定することができます。 • CONFIGFILE—このプロパティは構成ファイルを指定し、インストール中に Pulse へインポー トされます。このプロパティは構成ファイルへの完全なパスを含む必要があります。例: msiexec -i JunosPulse.msi CONFIGFILE=c:\temp\myconfiguration.jnprpreconfig • ADDLOCAL—このプロパティはどの機能および機能オプション(サブ機能)をインストールする かを指定します。それぞれの機能は、指定されたプラットフォームからのクライアント接続 をサポートするために必要なコア コンポーネントから成り立っています。また、オプション のサブ機能を指定することができます。例えば、802.1X 接続をサポートしたい場合は、 Pulse8021x サブ機能を指定しなければなりません。 注: 全てのコンポーネントをインストールするには、ADDLOCAL オプションを使用 せずにインストーラを実行します。 機能およびサブ機能の名前は大文字、小文字が区別されます。1 つのコマンドで複数の機能 を指定するには、それぞれの機能をコンマで区切ります。 ADDLOCAL 機能: • PulseNC—SA シリーズ SSL VPN アプライアンスに必要な Pulse コンポーネント。 • PulseUAC—IC シリーズ Unified Access Control アプライアンスに必要な Pulse コンポー ネント。 • PulseSRX—SRX シリーズ サービス ゲートウェイに必要な Pulse コンポーネント • PulseWX—アプリケーション アクセラレーション プラットフォームに必要な Pulse コン ポーネント。 オプションのサブ機能: 98 • Pulse8021x—PulseUAC で利用可能。802.1x 接続コンポーネントを含みます。 • NCEES—PulseNC で利用可能。SA シリーズ アプライアンスへの接続用拡張エンドポイン ト セキュリティ コンポーネントを含みます。 • NCTNCClientPlugin—PulseNC で利用可能。SA シリーズ アプライアンスへの接続用トラ ステッド Network Connect コンポーネントを含みます。 Copyright © 2011, Juniper Networks, Inc. 第7章: Junos Pulse クライアント ソフトウェアを配備する • UACEES—PulseUAC で利用可能。IC Unified Access Control アプライアンスへの接続用 拡張エンドポイント セキュリティ コンポーネントを含みます。 • UACTNCClientPlugin—PulseUAC で利用可能。IC Unified Access Control アプライアン スへのトラステッド Network Connect コンポーネントを含みます。 • UACNetshim—PulseUAC で利用可能。 例 802.1x および EES サポートを使用して PulseUAC をインストールするには、次のコマンド ラ インを使用します。 msiexec -i JunosPulse.msi ADDLOCAL=PulseUAC,Pulse8021x,UACEES PulseNC および PulseSRX をインストールするには、次のコマンド ラインを使用します。 msiexec -i JunosPulse.msi ADDLOCAL=PulseNC,PulseSRX EES および TNC クライアント プラグインをインストールするには、次のコマンド ラインを使 用します。 msiexec -i JunosPulse.msi ADDLOCAL=PulseNC,NCEES,NCTNCClientPlugin PulseWX をインストールするには、次のコマンド ラインを使用します。 msiexec -i JunosPulse.msi ADDLOCAL=PulseWX PulseNC および PulseUAC に両方に対するサブ機能をインストールする場合は、サブ機能は一 度のみ指定します。例えば、PulseNC と PulseUAC に EES および TNC クライアント プラグイ ン サブ機能をインストールするには、次のコマンド ラインのうちのいずれか 1 つを使用しま す。 msiexec.exe -i JunosPulse.msi ADDLOCAL=PulseUAC,PulseNC,UACEES msiexec.exe -i JunosPulse.msi ADDLOCAL=PulseUAC,PulseNC,NCCEES msiexec.exe -i JunosPulse.msi ADDLOCAL=PulseUAC,PulseNC,UACEES,NCCEES 関連項目 • 24ページのクライアント接続設定を作成する • 30ページのクライアント コンポーネント設定を作成する Copyright © 2011, Juniper Networks, Inc. 99 Junos Pulse 管理ガイド 100 Copyright © 2011, Juniper Networks, Inc. 第2部 Junos Pulse の互換性 ここでは、Junos Pulse の機能を、Odyssey Access Client、Network Connect、WX Client ソ フトウェアのそれぞれの機能と比較して具体的に説明します。 • クライアント ソフトウェアの機能比較 103ページ Copyright © 2011, Juniper Networks, Inc. 101 Junos Pulse 管理ガイド 102 Copyright © 2011, Juniper Networks, Inc. 第8章 クライアント ソフトウェアの機能比較 • 機能比較:Odyssey アクセス クライアントおよび Junos Pulse 103ページ • 機能比較:Network Connect および Junos Pulse 107ページ • 機能比較:WX クライアントおよび Junos Pulse 109ページ 機能比較:Odyssey アクセス クライアントおよび Junos Pulse 103ページの表6 に、Odyssey アクセス クライアント(OAC)リリース 5.3 および Pulse との 機能の比較を示します。 表6: Odyssey アクセス クライアントおよび Junos Pulse との機能比較 機能 Junos Pulse リリース 1.0 Junos Pulse リリース 2.0 OAC リリース 5.3 有 有 有 (Microsoft Windows サプリカン トを使用) (Microsoft Windows サプリカン トを使用) 有 有 (Microsoft Windows サプリカン トを使用) (Microsoft Windows サプリカン トを使用) 有 有 (Microsoft Windows サプリカン トを使用) (Microsoft Windows サプリカン トを使用) 有線/ワイヤレス 802.1X 機能 有線 802.1X サポート 自動スキャン リスト ワイヤレス抑止 ネットワーク プロバイダのサポート(パス ワードのスクラップ化、リスティング) 有 有 有 関連付けモードおよび暗号化方式 Copyright © 2011, Juniper Networks, Inc. 103 Junos Pulse 管理ガイド 表6: Odyssey アクセス クライアントおよび Junos Pulse との機能比較 (続 き) 機能 関連付けモード サポート(オープン、共 有、WPA/WPA2 対応) 暗号化(WEP、TKIP、AES、事前構成済みキー 付き WEP、事前共有済みキー付き WPA/WPA2 対応) Junos Pulse リリース 1.0 Junos Pulse リリース 2.0 OAC リリース 5.3 有 有 有 (Microsoft Windows サプリカン トを使用) (Microsoft Windows サプリカン トを使用) 有 有 (Microsoft Windows サプリカン トを使用) (Microsoft Windows サプリカン トを使用) 有 EAP 方式 EAP-TLS 外部認証 有 EAP-TTLS 外部認証 有 有 有 • EAP-JUAC 内部認証を使用 有 有 有 • EAP-MSCHAPv2 内部認証を使用 有 • EAP-GTC 内部認証を使用 有 • EAP-MD5 内部認証を使用 有 • PAP 内部認証を使用 有 • CHAP 内部認証を使用 有 • MSCHAP 内部認証を使用 有 • MSCHAPv2 内部認証を使用 有 EAP-TTLS 外部認証 有 • EAP-JUAC 内部認証を使用 有 • EAP-DD5 内部認証を使用 有 • EAP-GTC 内部認証を使用 有 認証方法 104 ユーザー名とパスワードの要求 有 有 有 証明書サポート(自動、特定) 有 有 有 Copyright © 2011, Juniper Networks, Inc. 第8章: クライアント ソフトウェアの機能比較 表6: Odyssey アクセス クライアントおよび Junos Pulse との機能比較 (続 き) Junos Pulse リリース 2.0 OAC リリース 5.3 スマート カード リーダーからの証明書 有 有 ソフト トークン サポート 有 有 機能 Junos Pulse リリース 1.0 マシン ログイン サポート 有 マシン認証と後続のユーザー認証 有 32 ビットと 64-ビット の Windows Vista と Windows 7 の信用情報プロバイダ 有 事前デスクトップ ログイン(IC シリーズ アプライアンスへの) 有 構成可能な UAC レイヤ 2 接続 有 構成可能な接続関連付けモード 接続関連付けモードをクライアントから構 成することはできません。構成は IC シリー ズ アプライアンスから動的にダウンロード されます。 有 認定 FIPS 準拠 有 共通の基準 インストールおよびアップグレード方法 自動アップグレード 有 有 有 Web ベース インストール 有 有 有 スタンドアロン(MSI)インストール 有 有 有 アップグレードまたは以前のバージョンと コーディネート 有 有 有 手動アンインストール 有 有 有 ブラウザ ベースのインストールとアップグ レード 有 有 有 有 有 有 診断とログ作成 IPsec 診断と構成 Copyright © 2011, Juniper Networks, Inc. 105 Junos Pulse 管理ガイド 表6: Odyssey アクセス クライアントおよび Junos Pulse との機能比較 (続 き) 機能 Junos Pulse リリース 1.0 Junos Pulse リリース 2.0 OAC リリース 5.3 ホスト エンフォーサ 有 ログ ビュアー 有 ログ作成および診断 有 有 有 デバッグ レベル、 ファイル サイズ制 限 デバッグ レベル、 ファイル サイズ制 限 OPSWAT IMV サポート 有 有 有 Shavlik IMV サポート(パッチ評価) 有 有 有 自動パッチ修復 有 有 有 SMS/SCCM 経由 Shavlik または SMS/SCCM 経由 SMS/SCCM 経由 ホストチェッカー サポート 有 有 有 拡張エンドポイント セキュリティ サポー ト(Windows OS のみ) 有 有 有 NAT-T による Policy Enforcement Point への IPsec トンネリング 有 有 有 アクセス サービスおよびプラグイン 有 有 有 その他の機能 サードパーティ EAP メッセージのブロック 有 レイヤ 3 認証 有 有 有 サーバーベースの領域/役割の事前構成 有 有 有 セッション継続時間の延長 106 有 IC 濃度(IC シリーズ アプライアンスに接 続、状態メッセージ、経過時間など) 有 有 有 クラスタ化 IC シリーズ アプライアンスの クライアント サイト管理 有 有 有 Kerberos SSO 有 有 有 Copyright © 2011, Juniper Networks, Inc. 第8章: クライアント ソフトウェアの機能比較 表6: Odyssey アクセス クライアントおよび Junos Pulse との機能比較 (続 き) Junos Pulse リリース 1.0 Junos Pulse リリース 2.0 OAC リリース 5.3 初期構成(無介入のクライアント プロビ ジョニング) 有 有 有 IC シリーズ アプライアンスに動的に構成 可能 有 有 有 機能 機能比較:Network Connect および Junos Pulse Network Connect(NC)は、SA シリーズ リモート アクセス用のクライアント プログラムで す。Junos Pulse は、NC の大半の機能性を備えています。107ページの表7 では、NC および Pulse の機能を比較しています。 表7: Network Connect および Junos Pulse の機能比較 機能 Junos Pulse リリース 1.0 Junos Pulse リリース 2.0 Network Connect リリース 6.3 有 有 有 プロキシ サポート Internet Explorer Mozilla Firefox 有 分割トンネリング オプション ルート監視無しの分割ト ンネリングの無効化 有 有 ルート監視付き分割トン ネリングの無効化 有 有 ルート監視付き分割トン ネリングの有効化 有 有 有 有 ローカル サブネットへ のアクセス許可付き分割 トンネリングの有効化 有 有 ローカル サブネットへ のアクセス許可付き分割 トンネリングの無効化 有 有 ルート監視無し分割トン ネリングの有効化 有 クライアント起動オプション Copyright © 2011, Juniper Networks, Inc. 107 Junos Pulse 管理ガイド 表7: Network Connect および Junos Pulse の機能比較 (続き) 機能 Junos Pulse リリース 1.0 Junos Pulse リリース 2.0 Network Connect リリース 6.3 コマンド ライン ラン チャ 有 接続時にログオフ 有 スタンドアロン クライ アントとして起動 有 有 有 ブラウザから起動 有 有 有 GINA および信用情報プ ロバイダサポート 有 トランスポート モード SSL フォールバック モード 有 有 有 ESP 有 その他の機能 OPSWAT IMVサポート 有 有 有 Shavlik IMVサポート (パッチ評価) 有 有 有 パッチ自動修復 有 有 SMS/SCCM 経由 Shavlik または SMS/SCCM 経由 ホストチェッカー サ ポート 有 有 有 拡張エンドポイント セ キュリティ サポート (Windows OS のみ) 有 有 有 有 有 クライアントが接続また は切断時に構成済みスク リプトを実行 108 SA ゲートウェイの構成 に基づき DNS サーバー 検索 順序を変更 有 有 有 接続の中断時に自動再接 続 有 有 有 Copyright © 2011, Juniper Networks, Inc. 第8章: クライアント ソフトウェアの機能比較 表7: Network Connect および Junos Pulse の機能比較 (続き) Junos Pulse リリース 1.0 Junos Pulse リリース 2.0 Network Connect リリース 6.3 ダイアルアップ アダプ タ サポート 有 有 有 3G ワイヤレスアダプタ サポート 有 有 有 Max/Idleセッション タ イムアウト 有 有 有 有 有 有 機能 ログ作成 ファイルにログ採取 ログのアップロード 有 認定 FIPS 有 Pulse 分割トンネリング 109ページの表8 では Network Connect 分割トンネリング オプションを一覧にし、Pulse 2.0 以降の分割トンネリング オプションへのマップ方法を説明しています。 表8: Pulse 分割トンネリング NC 分割トンネル オプション Pulse 分割トンネル設定 ルート優先状態 ルート監視状態 分割トンネルの無効化 無効化 有 有 分割トンネリングを無効化するがローカル アクセスは許可 する 無効化 無 無 分割トンネリングの有効化 有効化 有 無 ルート監視付き分割トンネルの有効化 有効化 有 有 分割トンネルを有効化し、ローカルアクセスを許可する 有効化 無 無 機能比較:WX クライアントおよび Junos Pulse 110ページの表9 に、WX クライアントおよび Pulse の機能の比較を示します。 Copyright © 2011, Juniper Networks, Inc. 109 Junos Pulse 管理ガイド 表9: WX クライアントと Junos Pulse の機能比較 Junos Pulse リリース 1.0 Junos Pulse リリース 2.0 WX クライアント リリース 1.0 TCP アクセラレーション 有 有 有 CIFS アクセラレーショ ン 有 有 有 有 有 機能 アクセラレーション 圧縮 LZ 圧縮 キャッシング NSC ディスクベース キャッシング 有 隣接関係 Max 隣接関係 110 4 4 4 Copyright © 2011, Juniper Networks, Inc. 第3部 モバイル デバイス対応 Junos Pulse • モバイル デバイス対応 Junos Pulse および Junos Pulse Mobile Security Suite 113ページ • Apple iOS デバイス対応 Junos Pulse 115ページ • Google Android デバイス対応 Junos Pulse 121ページ • Nokia Symbian デバイス対応 Junos Pulse 125ページ • Windows Mobile デバイス対応 Junos Pulse 129ページ • Junos Pulse Mobile Security Suite 133ページ Copyright © 2011, Juniper Networks, Inc. 111 Junos Pulse 管理ガイド 112 Copyright © 2011, Juniper Networks, Inc. 第9章 モバイル デバイス対応 Junos Pulse およ び Junos Pulse Mobile Security Suite • 概要 113ページ 概要 モバイル デバイス対応の Junos Pulse を使用すると、モバイル(携帯)デバイスから SA シ リーズ アプライアンス経由の社内電子メールや社内イントラネットなどの企業のアプリケー ションへの認証されたアクセスが可能になります。モバイル デバイス対応 Pulse クライアン ト ソフトウェアには、リモート VPN 機能や Junos Pulse Mobile Security Suite によって有 効化されるデバイス セキュリティ機能も含まれています。 Junos Pulse Mobile Security Suite は、ウィルス対策、スパム防御、パーソナル ファイア ウォール サービスを提供し、管理者によるデバイス アプリケーションやコンテンツの監視と 削除、バックアップの実行、操作の復元、リモートロックおよびリモート ワイプ操作の起動、 GPS を使用したデバイスの追跡などが可能になります。それぞれのサポートされたモバイル デ バイスは、Pulse Mobile Security Suite 機能にある特定の項目をサポートします。 それぞれのサポートされているモバイル デバイスは、ユーザーが特定のデバイス タイプ対応 の Pulse VPN クライアント ソフトウェアをインストールすることを要求します。Pulse モバ イル デバイス ソフトウェアは、サポートされているモバイル デバイスを取扱うアプリ スト アで無料でダウンロードすることができます。モバイル デバイス用 Pulse および Pulse Mobile Security ソフトウェアは直接 SA シリーズ アプライアンスから配備することができません。 安全な接続性のタイプおよびサポートされたセキュリティ機能は、それぞれのモバイルのオペ レーション システムでのサポートの種類によって異なります。 注: すべてのデバイスに対して、管理者は認証サーバーを設定し、そしてモバイル デバイス ユーザーに対してアカウントを作成していなければなりません。 Pulse は次のモバイル デバイスでサポートされています。 ® • Apple iOS 対応 Junos Pulse • Google Android™対応 Junos Pulse • BlackBerry 対応 Junos Pulse Copyright © 2011, Juniper Networks, Inc. 113 Junos Pulse 管理ガイド 注: BlackBerry クライアントは SA シリーズ アプライアンスへの VPN 接続性をサ ポートしていません。 134ページの表10 では、Pulse によってサポートされているモバイル デバイス OS バージョン および各モバイル デバイス OS でサポートされているセキュリティ機能を一覧にしています。 Junos Pulse Mobile Security Gateway SA 管理コンソールを使用してモバイル デバイスの Pulse 用のネットワーク アクセスを有効 にしている場合でも、Junos Pulse Mobile Security Gateway を使用することにより、管理者 はモバイル デバイスのセキュリティ機能を管理します。Pulse Mobile Security Gateway の管 理インターフェースはモバイル デバイスの保護および管理を可能にします。Pulse Mobile Security Gateway は、SaaS(software-as-a-service)として利用可能です。詳細は、「Junos Pulse Mobile Security Gateway 管理ガイド」を参照してください。 114 Copyright © 2011, Juniper Networks, Inc. 第10章 Apple iOS デバイス対応 Junos Pulse • Apple iOS 対応 Junos Pulse 概要 115ページ • Apple iOS 対応 Pulse の役割と領域を構成する 116ページ • Junos Pulse VPN App をインストールする 119ページ • 構成プロファイルを使用する 120ページ • ログ ファイルの収集 120ページ Apple iOS 対応 Junos Pulse 概要 Junos Pulse は、Apple iOS デバイス(iPhone、iPad、iPod Touch)と SA シリーズ アプライ アンス間の認証付きレイヤ 3 SSL VPN セッションを作成することができます。Junos Pulse は、ID、領域、役割に基づき、企業のアプリケーションやデータに安全に接続することができ ます。Junos Pulse は、iTunes App Store からダウンロードできます。 Juniper Networks SA シリーズ アプライアンスへの SSL VPN アクセスには、以下のソフトウェ ア バージョンが必要です。 • Apple iOS 4.1 以降 • Juniper Networks SA シリーズ アプライアンス リリース 6.4 以降 Junos Pulse VPN app は、以下の機能をサポートします。 • パケットの完全レイヤ 3 トンネリング • UDP/ESP と NCP/SSL モード • クライアント認証証明書を含む、あらゆる種類の認証 • 分割トンネリングモード: • • 分割トンネリングを無効にし、ローカル サブネットへのアクセスを可能にする • 分割トンネリングの有効化 Apple VPN オンデマンド 電話で実行中のあらゆるアプリケーションがホスト事前定義された設定で 1 つのホストへの 接続を開始する場合、VPN オンデマンド構成は、iOS デバイスを有効にし、自動的に VPN 接 続を初期化します。VPN オンデマンド接続はクライアントの証明書ベースの認証を使用する ので、ユーザーは VPN 接続が開始されるたびに資格情報を提示する必要がありません。VPN Copyright © 2011, Juniper Networks, Inc. 115 Junos Pulse 管理ガイド オンデマンド構成で VPN を作成する方法の詳細については、www.apple.com にある「iPhone OS Enterprise Deployment Guide」を参照してください。 始める前に SA シリーズ アプライアンスに Apple iOS デバイスのサポートを構成する前に、次のようなク ライアント ソフトウェアの動作に注意してください。 • Wi-Fi 接続の場合、ユーザーがデバイスを再び起動させた際に、Pulse は VPN トンネルを 自動的に再接続します。3G 接続の場合は、ユーザーが Safari や Mail などのアプリケー ションを使ってネットワーク トラフィックを生成したときに、VPN が再接続されます。 • 認証が必要なプロキシ経由の接続はサポートされません。 • SA/プロキシ ホスト名に対して静的ホスト マッピングは作成されません。 • DNS の考慮点 • 分割トンネル モードを Split tunneling disabled with access to local subnet(分割 トンネリングを無効にし、ローカル サブネットへのアクセスを可能にする)に設定する と、Pulse は、SA シリーズ アプライアンスを介して構成された DNS サーバーを使用しま す。 • 分割トンネルモードを Split tunneling enabled(分割トンネリングを有効にする)に設 定すると、SA シリーズ アプライアンスを介して構成された DNS サーバーは SA ドメイン 内のホスト名用にのみ使用されます。 • セッション スクリプトはサポートされません。 • RADIUS アカウント機能はサポートされません。 • Junos Pulse をサポートする Juniper ゲートウェイを介した Web ベース インストールは、 サポートされません。 • セッション タイムアウト リマインダはサポートされません。 • クライアント証明書認証を使用する場合で、ユーザーが割り当てられている役割の中から選 択できるように設定されている場合は、ユーザーには役割リストが表示されず、代わりに役 割名を入力するよう要求されます。 Apple iOS 対応 Pulse の役割と領域を構成する Apple iOS デバイスから SA シリーズ アプライアンスへの SSL/VPN アクセスを可能にするに は、デバイス ユーザーは Junos Pulse app をダウンロードし、インストールおよび構成し、 SA 管理者は指定の領域、および役割設定を SA シリーズ アプライアンス上に構成しなければ なりません。 Apple iOS デバイスがアクセスできるように SA シリーズ アプライアンスを構成するには、次 の操作を行います。 1. SA シリーズ アプライアンスの管理コンソールにログインします。 2. [User Roles] > [New User Role] を選択します。 116 Copyright © 2011, Juniper Networks, Inc. 第10章: Apple iOS デバイス対応 Junos Pulse 3. [New Role] ページで、役割の名前を入力し、必要な場合はその説明も入力します。この操 作の後半に領域を作成し、領域ユーザーをこの役割にマップするため、役割名をメモしてお きます。 4. [New Role] ページの [Access Features] セクションで、[Network Connect] チェック ボッ クスと [Network Connect] オプションを選択します。 Junos Pulse クライアント用のアクセスを構成していますが、ここでは [Network Connect] オプションを選択する必要があります。 5. [Save Changes] をクリックして、役割を作成し、役割設定タブを表示させます。 6. [Web] > [Bookmarks] を選択し、[New Bookmark] をクリックします。 Android 対応の Pulse ユーザー インターフェースで表示されるボタンを有効にするには、 ブックマークを作成する必要があります。通常は、企業のイントラネットおよび Web 電子 メール用のブックマークを作成します。電子メールのブックマークを作成し、Android の Pulse インターフェース内の電子メール ボタンを有効にする必要があります。また電子メー ルのブックマークは Mobile Webmail という名前を付けなければなりません。 Copyright © 2011, Juniper Networks, Inc. 117 Junos Pulse 管理ガイド 図 10: Pulse クライアント用電子メール ブックマークの作成 注: もう 1 つの方法としては、Web リソース ポリシを使用してブックマークを 定義することができます。リソース ポリシの詳細については、「Junos Pulse Secure Access サービス管理ガイド」を参照してください。 7. デフォルト セッションのタイムアウトを変更するには、[General] > [Session Options] を選択します。 8. [Session lifetime] セクションで、[Max. Session Length] を分刻みで指定します。残り のセッション時間がモバイル デバイス クライアントの Pulse インターフェースに日 時間: 分:秒という形式で表示されます。その他のセッション設定はモバイル クライアントに適用 されません。 9. この役割の [Network Connect] タブで、[Split Tunneling Options] が正しく設定されて いることを確認してから、[Save Changes] をクリックします。 118 Copyright © 2011, Juniper Networks, Inc. 第10章: Apple iOS デバイス対応 Junos Pulse 10. [Users] > [Resource Policies] > [Network Connect] > [NC Connection Profiles] を選 択します。 11. [New Profile] をクリックします。 SA シリーズ アプライアンスはクライアントからセッション開始要求を受信すると、管理者 が作成した IP アドレス ポリシに基づいて、クライアントに IP アドレスを割り当てます。 接続プロファイルを定義するには、次の点に注意します。 • プロキシ サーバー設定—分割トンネリングが有効なときには、クライアント プロキシ構 成の自動変更はサポートされません。 • DNS 設定—分割トンネリングが有効なときは、IVE DNS を最初に検索することはサポート されません。分割トンネリングが有効なときは、Junos Pulse は IVE DNS 検索ドメンの みのホストのクエリに IVE DNS を使用します。他のすべてのクエリは、クライアントの DNS サーバーに送られます。 12. [Roles] 領域で、[Policy applies to SELECTED roles] を選択します。次に、iOS デバイ ス用に作成した役割を [Selected roles] リストに追加します。 13. [Save Changes] をクリックします。 14. [Users] > [User Realms] > [New User Realm] を選択します。 15. 名前と説明を入力します。[Save Changes] をクリックして、領域を作成し、領域オプショ ン タブを表示させます。 16. 領域の [General] タブで、[Session Migration] チェック ボックスを選択します。 17. 領域の [Authentication Policy] タブで、[Host Checker] をクリックし、すべてのホスト チェッカー ポリシが無効にされていることを確認します。iOS デバイスはホストチェッカー をサポートしません。 18. 領域の [Role Mapping] タブで、この操作の前半で作成した iOS デバイスの役割にすべて のユーザーをマップする新しい規則を作成します。 Junos Pulse VPN App をインストールする SA シリーズ アプライアンスに接続する iOS デバイスを設定するには、次の操作を行います。 1. Junos Pulse app を iTunes App Store からダウンロードします。 2. iOS デバイスで、Junos Pulse を起動します。 3. メイン ステータス ページの [Configuration] 項目をタップして、[Pulse] 設定を表示し ます。 4. モバイル デバイスのサインイン URL として定義した URL で新しい構成を作成します。必 要に応じて、証明書設定を構成します。 Copyright © 2011, Juniper Networks, Inc. 119 Junos Pulse 管理ガイド 注: iPhone ユーザーが初めて Pulse を起動すると、セキュリティ警告が表示され、 Pulse SSL VPN 機能を有効にするよう要求されます。このセキュリティ対策は、悪 意のある VPN ソフトウェアのサイレント インストールを阻止します。ユーザーが Pulse ソフトウェアの受入れを拒否すると、デバイス上の [Home] ボタンが押され るまで、Pulse スプラッシュ画面が表示されます。ユーザーが Pulse ソフトウェア を受け入れた場合は、Pulse が開始して、セキュリティ警告は表示されません。 注: 証明書認証の場合は、SA ゲートウェイ SSL 証明書が CA より発行されます。 この証明書は自己署名できません。CA が iOS デバイス上の信頼された CA でない 場合は、CA 証明書は iOS デバイスにインポートされる必要があります。また、SA ゲートウェイはホスト名(IP アドレスではない)を使用してアクセスされ、ホスト 名は SA ゲートウェイの SSL 証明書の Common Name(通称)と一致していなければ なりません。 構成プロファイルを使用する ユーザーに手動で Pulse VPN 構成を作成するように指示する代わりに、構成プロファイルを使 用して、iOS デバイスの Pulse 構成を定義し、構成プロファイルを電子メールまたは Web ペー ジに掲載することで配布します。ユーザーが電子メールの添付書類を開く、または iOS デバイ スで Safari を使用してプロファイルをダウンロードすると、インストール プロセスを開始す るように指示されます。 iPhone 構成ユティリティを使用して、構成プロファイルを作成し、Juniper SSL を VPN ペイ ロードの接続タイプとして指定することができます。iPhone Configuration Utility(3.0以 降)は、Apple サポート Web ページからダウンロードすることができます。構成プロファイル を作成する方法とユティリティの詳細については、www.apple.comにある「iPhone OS Enterprise Deployment Guide」を参照してください。 ログ ファイルの収集 iOS デバイス ユーザーは次の手順で、Junos Pulse ログ ファイルを電子メールで送信します。 1. iOS デバイスで、Junos Pulse app を起動します。 2. [Status] をタップします。 3. [Logs] > [Send Logs] とタップします。 4. 電子メール アドレスを入力して、[Send] をタップします。 120 Copyright © 2011, Juniper Networks, Inc. 第11章 Google Android デバイス対応 Junos Pulse • Android 対応 Junos Pulse 概要 121ページ • Android 対応 Pulse の役割と領域を構成する 121ページ Android 対応 Junos Pulse 概要 Junos Pulse は Google Android を実行しているデバイスと SA シリーズ アプライアンス間の 認証された SSL セッションを作成することができます。Junos Pulse は、ID、領域、役割に基 づき、Web ベースのアプリケーションおよびデータへの安全な接続を可能にします。Junos Pulse は Android マーケットでダウンロードすることができます。134ページの表10 では Pulse に よってサポートされるモバイル デバイス OS バージョンが一覧になっています。Android デバ イス アクセスは SA シリーズ リリース 6.5 以降でサポートされています。 注: Google Android OS には、証明書ベースの認証のサポートに関しての制限があ ります。証明書認証を成功させるには、ユーザー証明書、および秘密鍵は別のファ イルに存在しなければなりません。必要な場合は、Android デバイスに証明書およ び鍵をインストールする前に、openssl コマンドを使用することによって秘密鍵を 証明書と別に保存することができます。Juniper Networks Knowledgebase の KB19692 には、Android での Junos Pulse 対応の証明書認証を成功させるための証明書と鍵 の作成方法に関する詳細が記載されています。 Android 対応 Pulse の役割と領域を構成する Android デバイスから SA シリーズ アプライアンスへのアクセスを可能にするには、SA 管理 者は特定の領域および役割設定を SA シリーズ アプライアンスに構成する必要があります。 Android デバイス対応の SA シリーズ アプライアンスのアクセスを構成するには、次の操作を 行います。 1. SA シリーズ アプライアンスの管理コンソールにログインします。 2. [User Roles] > [New User Role] を選択します。 3. [New Role] ページで、役割の名前を入力し、必要な場合はその説明も入力します。この操 作の後半に領域を作成し、領域ユーザーをこの役割にマップするため、役割名をメモしてお きます。 4. [Access Features] セクションで [Web] を選択します。 Copyright © 2011, Juniper Networks, Inc. 121 Junos Pulse 管理ガイド 5. [Save Changes] をクリックして、役割を作成し、役割設定タブを表示させます。 6. [Web] > [Bookmarks] を選択し、[New Bookmark] をクリックします。 Android 対応の Pulse ユーザー インターフェースで表示されるボタンを有効にするには、 ブックマークを作成する必要があります。通常は、企業のイントラネットおよび Web 電子 メール用のブックマークを作成します。電子メールのブックマークを作成し、Android の Pulse インターフェース内の電子メール ボタンを有効にする必要があります。また電子メー ルのブックマークは Mobile Webmail という名前を付けなければなりません。 図 11: Pulse クライアント用電子メール ブックマークの作成 注: もう 1 つの方法としては、Web リソース ポリシを使用してブックマークを 定義することができます。リソース ポリシの詳細については、「Junos Pulse Secure Access サービス管理ガイド」を参照してください。 122 Copyright © 2011, Juniper Networks, Inc. 第11章: Google Android デバイス対応 Junos Pulse 7. デフォルト セッションのタイムアウトを変更するには、[General] > [Session Options] を選択します。 8. [Session lifetime] セクションで、[Max. Session Length] を分刻みで指定します。残り のセッション時間がモバイル デバイス クライアントの Pulse インターフェースに日 時間: 分:秒という形式で表示されます。その他のセッション設定はモバイル クライアントに適用 されません。 9. [Users] > [User Realms] > [New User Realm] を選択します。 10. 名前を指定し、必要な場合は説明も入力します。[Save Changes] をクリックして領域を作 成し、領域のオプション タブを表示します。 11. 領域の [Authentication Policy] タブで、[Host Checker] をクリックし、オプションの Pulse Mobile Security チェック以外のすべてのホストチェッカー ポリシが無効にされて いることを確認します。 管理者は、モバイル デバイス ユーザーが Pulse Mobile Security ソフトウェアをインス トールし、有効にしていることを要求することができます。詳細は、133ページの「「Junos Pulse Mobile Security 概要」」を参照してください。 12. 領域の [Role Mapping] タブで、この操作の前半で作成した Android の役割にすべてのユー ザーをマップする新しいルールを作成します。 関連項目 • 133ページのJunos Pulse Mobile Security 概要 Copyright © 2011, Juniper Networks, Inc. 123 Junos Pulse 管理ガイド 124 Copyright © 2011, Juniper Networks, Inc. 第12章 Nokia Symbian デバイス対応 Junos Pulse • Symbian 対応 Junos Pulse 125ページ Symbian 対応 Junos Pulse Junos Pulse は Nokia Symbian を実行しているデバイスと SA シリーズ アプライアンス間の 認証されたセッションを作成することができます。Symbian デバイス対応 Junos Pulse は IKEv2 (インターネット鍵交換)を使用して、IPsec プロトコル スイートでのセキュリティ アソシ エーションを設定します。Junos Pulse は、ID、領域、役割に基づき、Web ベースのアプリケー ションおよびデータへの安全な接続を可能にします。Junos Pulse は Nokia Ovi ストアでダウ ンロードすることができます。134ページの表10 では Pulse によってサポートされるモバイル デバイス OS バージョンが一覧になっています。モバイル デバイス アクセスは SA シリーズ リリース 7.0 以降でサポートされています。 Symbian デバイスでの Junos Pulse の SA シリーズ アプライアンスの構成 Symbian デバイスから SA シリーズ アプライアンスへのアクセスを可能にするには、デバイス ユーザーは Junos Pulse app をダウンロードおよびインストールし、SA 管理者は指定の領域、 および役割設定を SA シリーズ アプライアンス上に構成しなければなりません。 Symbian デバイス アクセス対応の SA シリーズ アプライアンスを構成するには、次の操作を 行います。 1. SA シリーズ アプライアンスの管理コンソールにログインします。 2. [User Roles] > [New User Role] を選択します。 3. [New Role] ページで、役割の名前を入力し、必要な場合はその説明も入力します。この操 作の後半に領域を作成し、領域ユーザーをこの役割にマップするため、役割名をメモしてお きます。 4. [New Role] ページの [Access Features] セクションで [IKEv2] チェック ボックスを選択 します。 5. [Save Changes] をクリックして、役割を作成し、役割設定タブを表示させます。 6. [Web] > [Bookmarks] を選択し、[New Bookmark] をクリックします。 Android 対応の Pulse ユーザー インターフェースで表示されるボタンを有効にするには、 ブックマークを作成する必要があります。通常は、企業のイントラネットおよび Web 電子 メール用のブックマークを作成します。電子メールのブックマークを作成し、Android の Copyright © 2011, Juniper Networks, Inc. 125 Junos Pulse 管理ガイド Pulse インターフェース内の電子メール ボタンを有効にする必要があります。また電子メー ルのブックマークは Mobile Webmail という名前を付けなければなりません。 図 12: Pulse クライアント用電子メール ブックマークの作成 注: もう 1 つの方法としては、Web リソース ポリシを使用してブックマークを 定義することができます。リソース ポリシの詳細については、「Junos Pulse Secure Access サービス管理ガイド」を参照してください。 7. デフォルト セッションのタイムアウトを変更するには、[General] > [Session Options] を選択します。 8. [Session lifetime] セクションで、[Max. Session Length] を分刻みで指定します。残り のセッション時間がモバイル デバイス クライアントの Pulse インターフェースに日 時間: 分:秒という形式で表示されます。その他のセッション設定はモバイル クライアントに適用 されません。 126 Copyright © 2011, Juniper Networks, Inc. 第12章: Nokia Symbian デバイス対応 Junos Pulse 9. [Users] > [User Realms] > [New User Realm] を選択します。 10. 名前を入力し、任意で説明も入力します。[Save Changes] をクリックして、領域を作成し、 領域オプション タブを表示させます。 11. 領域の [Authentication Policy] タブで、[Host Checker] をクリックし、オプションの Pulse Mobile Security チェック以外のすべてのホストチェッカー ポリシが無効にされて いることを確認します。 管理者は、モバイル デバイス ユーザーが Pulse Mobile Security ソフトウェアをインス トールし、有効にしていることを要求することができます。詳細は、133ページの「「Junos Pulse Mobile Security 概要」」を参照してください。 12. 領域の [Role Mapping] タブで、この操作の前半で作成した Symbian デバイスの役割にす べてのユーザーをマップする新しいルールを作成します。 関連項目 • 133ページのJunos Pulse Mobile Security 概要 Copyright © 2011, Juniper Networks, Inc. 127 Junos Pulse 管理ガイド 128 Copyright © 2011, Juniper Networks, Inc. 第13章 Windows Mobile デバイス対応 Junos Pulse • Windows Mobile 対応 Junos Pulse 129ページ Windows Mobile 対応 Junos Pulse Junos Pulse は、Windows Mobile オペレーティング システムを起動するモバイル エンドポイ ントで動作するクライアント アプリケーションから企業サーバーへの、アプリケーションレベ ルの安全なリモート アクセスを提供できます。Lotus Notes、Microsoft Outlook、Citrix、 ActiveSync、アプリケーション サーバーなどの個々のクライアント/サーバー アプリケーショ ンに安全なアクセスを提供することができます。Pulse は Windows Marketplace for Mobile でダウンロードすることができます。134ページの表10 では Pulse によってサポートされるモ バイル デバイス OS バージョンが一覧になっています。モバイル デバイス アクセスは SA シ リーズ リリース 6.5 以降でサポートされています。 注: Junos Pulse 2.0 は Windows Mobile デバイス対応の新しいクライアント ソフ トウェアを導入します。Pulse 2.0 クライアントはオプションの Pulse Mobile Security Suite をサポートします。Pulse 2.0 クライアントは Windows Marketplace で無料ダウンロードが可能です。SA シリーズ アプライアンスから直接インストー ルする、Windows Mobile デバイス対応 Pulse の以前のバージョンがすでに存在す る Windows Mobile デバイスに Pulse 2.0 モバイル クライアントをインストール する場合は、インストールの際には以前のクライアントの存在が検出されて、新し いクライアントのインストール前にそれを削除してください。 モバイル デバイス対応の Pulse R1.0 および R2.0 互換性 Windows Mobile デバイス対応の Pulse R1.0 クライアント ソフトウェアは、 Windows Secure Access Manager(WSAM)に基づいています。Pulse R1.0 クライアント ソフトウェアは、Windows Mobile デバイスおよび Windows XP、Windows Vista、および Windows 7 エンドポイントで実 行します。Pulse R1.0 クライアント ソフトウェアは SA シリーズ デバイスからダウンロード およびインストールします。Windows Mobile デバイス対応 Pulse R1.0 クライアント ソフト ウェアはホストチェッカーをサポートします。 Windows Mobile デバイス対応 Pulse R2.0 クライアント ソフトウェアもまた WSAM に基づい ています。しかしながら、Windows Mobile デバイス対応 Pulse R2.0 クライアント ソフトウェ アは、新しもので、別のソフトウェアです。SA シリーズ デバイスから直接ダウンロードおよ びインストールするのではなく、Windows Marketplace からダウンロードおよびインストール Copyright © 2011, Juniper Networks, Inc. 129 Junos Pulse 管理ガイド を行います。Windows Mobile デバイス対応 Pulse R2.0 クライアント ソフトウェアはホスト チェッカーをサポートしますしません。 Windows Mobile デバイス上に Pulse 1.0 がすでに存在している環境での動作および最善の利 用方法を以下に記載します。 • モバイル デバイスに Pulse R1.0 がインストールされている場合は、Pulse 2.0 インストー ル プログラムが Pulse R1.0 をアンインストールし、ホストチェッカーを検出し、削除しま す。 • Windows Mobile デバイスに Pulse R2.0 がインストールされている場合は、ユーザーはブラ ウザを使用して、Pulse R1.0(WSAM)が有効になっている領域へサインインしてはいけませ ん。Pulse R2.0 がすでにインストールされているかどうかを Pulse R1.0 は検出できないの で、ユーザーに Pulse R1.0 をインストールするように指示します。 • Windows Mobile デバイスに Pulse 2.0 がインストールされている場合は、ユーザーはホス トチェッカーが有効になっている SA シリーズ デバイス上の役割に接続し、ホストチェッ カーをインストールするように指示されます。しかしながら、ユーザーがインストールでき る場合は、何も起こりません。このことを避けるために、Windows Mobile デバイス アクセ ス対応の Pulse 2.0 の別の役割を作成してください。 Windows Mobile エンドポイント対応の Junos Pulse での SA シリーズ アプライアンスを構成する このセクションでは、Windows Mobile エンドポイント対応 Junos Pulse を構成する方法を説 明します。詳細については、「Junos Pulse Secure Access サービス管理ガイド」を参照して ください。このガイドは、Windows、Linux および Mac エンドポイントで動作するクライアン ト アプリケーションから企業サーバーへアプリケーションレベルでリモート アクセスする構 成方法も説明しています。 Windows Mobile エンドポイントの Junos Pulse を構成する前に、ネットワーク ID の指定や ユーザー ID の追加など、SA シリーズ アプライアンスの接続性を構成するすべての操作が完 了していることを確認してください。 SA シリーズ アプライアンスの Windows Mobile エンドポイント対応 Junos Pulse を構成する には、次の操作を行います。 1. クライアント/サーバー アプリケーションまたは宛先ネットワークへのアクセスを有効にす るリソース プロファイルを作成し、適切な設定を構成します([Users] > [Resource Profiles] を選択する)。 2. 対応する自動ポリシを作成し、そのポリシを既存のユーザー役割に割り当てます([Users] > [Resource Profiles] > [SAM] を選択します)。 リソース プロファイルの使用を推奨しますが、管理コンソールで次の手順に従う代わりに、 役割およびリソース ポリシ設定を使用することができます。 a. 役割レベルでアクセスを有効にします([Users] > [User Roles] > [Role] > [General] > [Overview] を選択する)。 b. クライアント/サーバー アプリケーションとサーバーを指定します([Users] > [User Roles] > [SAM] > [Applications] を選択する)。 130 Copyright © 2011, Juniper Networks, Inc. 第13章: Windows Mobile デバイス対応 Junos Pulse c. アプリケーション サーバーを指定する([Users] > [Resource Policies] > [SAM] > [Access] を選択する)。 3. リソース プロファイルまたは役割とリソース ポリシにより、クライアント/サーバー アプ リケーション、または宛先ネットワークへのアクセスを有効にした後、以下の管理コンソー ル ページで、一般的な役割とリソース オプションを変更できます。 a. (オプション)サーバーを自動的に起動し、クライアント ソフトウェアをアップグレー ドするか、などの役割レベルのオプションを構成します([Users] > [User Roles] > [SAM] > [Options] を選択する)。 b. (オプション)リソース レベルで IP ベースのホスト名の一致を制御する([Users] > [Resource Policies] > [SAM] > [Options] を選択する)。 4. Windows Mobile エンドポイント対応 Pulse の適切なバージョンがリモート クライアント に利用可能であることを確認する([Maintenance] > [System] > [Installers] を選択す る)。 Windows Mobile デバイスへのアプリケーションの定義 Windows Mobile 対応の Junos Pulse は指定したクライアント/サーバー アプリケーションの みにアクセスできます。アプリケーションの指定は役割内で行います。 アプリケーションを定義するには、次の操作を行います。 1. [Users] > [User Roles] > [Select Role] > [SAM] > [Applications] を選択します。 以下は、モバイル エンドポイント用に有効にできる、モバイルゲート ウェイ専用の実行可能 ファイルです。 • tmail.exe—Pocket Outlook アプリケーションを指定します。 Pulse は、Pocket Outlook で次のモードをサポートします。 関連項目 • • S-IMAP/S-POP および S-SMTP • ActiveSync—Pocket Outlook アクセスが提供される有効なモバイル エンドポイントが ActiveSync を使用する場合、Exchange Server の IP アドレスがユーザー役割内で定義さ れた宛先ホスト リストに表示されることを確認してください。Exchange Server 2007 の 組み込み機能である Direct Push は、サポートされています。ただし、HTTPServerTimeout の値を 20 分以内に設定する必要があります。 • mstsc40.exe—Windows Terminal Services アプリケーションを指定します。 • explore.exe— Pocket Internet Explorer アプリケーションを指定します。 133ページのJunos Pulse Mobile Security 概要 Copyright © 2011, Juniper Networks, Inc. 131 Junos Pulse 管理ガイド 132 Copyright © 2011, Juniper Networks, Inc. 第14章 Junos Pulse Mobile Security Suite • Junos Pulse Mobile Security 概要 133ページ • SA シリーズ アプライアンス アクセス用 Pulse Mobile Security を要求する 135ページ Junos Pulse Mobile Security 概要 Junos Pulse Mobile Security Suite はモバイル デバイス対応 Pulse アプリケーションのオ プション機能です。この機能は、モバイル セキュリティと、デバイス管理を提供します。ま た、ウィルス、スパイウェア、トロイの木馬やワームなどからデバイスを保護し、デバイスが 紛失、盗難にあう危険性を軽減するツールも含んでいます。 Junos Pulse Mobile Security Suite は次の機能を提供します。 • ウィルス対策—電子メール、ショート メッセージ サービス(SMS)、マルチメディア メッ セージ サービス(SMS)、直接ダウンロード、ブルートゥース、または赤外線伝送によって 配信されるウィルスおよびマルウェアに対してデバイスを保護します。 • ファイアウォール—TCP/IP トラフィックをフィルタおよびブロックすることで脅威からユー ザーを保護します。双方向で、ポートベース、そして IP をベースとしたパケット フィルタ オプションは、有害、不振なコンテンツからモバイル デバイスを保護し、不正なコンテンツ がデバイスに転送されることを防ぎます。ファイアウォールは携帯データと WI-FI トラフィッ クを監視します。 • スパム防御—着信およびメッセージのフィルタリングを行います。ユーザーは、拒否(遮断) したい連絡先を番号に代えてその番号で複数のグループにカスタマイズ(特別に整理)し、 ボイス スパムおよび SMS スパムを遮断することで中断と妨害を防止することができます。 • デバイス監視と制御—SMS、MMS および電子メール メッセージのリアルタイムでのコンテンツ の監視を行います。管理者は電話のログ、アドレス帳、さらにデバイスに保存されている写 真へアクセスすることができます。 • 紛失および盗難防止—紛失および盗難防止機能は、管理者によって実行される Pulse Mobile Security Gateway からのコマンド起動によるリモート ロック、リモート ワイプ、GPS 追 跡、バックアップと復元、リモート アラーム、SIM 変更通知があります。 • バックアップおよび復元—ユーザーがデバイスに保存されている連絡先、およびカレンダ PM データのバックアップを取ることができます。 注: ユーザーは、バックアップを開始することはできますが、管理者が復元を行 わなければなりません。 Copyright © 2011, Juniper Networks, Inc. 133 Junos Pulse 管理ガイド デバイス管理—Pulse Mobile Security Gateway は、管理および制御のための管理インター フェースを提供します。Pulse Mobile Security Gateway は、ユーザーのアカウントおよび プロファイルの作成、デバイスの規則やポリシの作成、遠隔操作でのクライアント上での機 能の実行、デバイスからの不適切なアプリケーションの削除、マルウェア検出およびセキュ リティ レベルに関連するレポートの生成などを管理者が行うことを可能にします。詳細は、 「Junos Pulse Mobile Security Gateway 管理ガイド」を参照してください。 Pulse Mobile Security Suite 機能 134ページの表10 では、各モバイル デバイスでサポートされるPulse Mobile Security Suite 機能を示します。接続およびセキュリティ機能は、それぞれ独立して作動します。セキュリティ 機能はデバイスの 3G、4G、または Wi-Fi アクセスに依存しています。例えば、ウィルス定義 はデバイスの VPN ステータスに関係なく更新されます。 表10: Pulse Mobile Security Suite 機能 Apple iOS (4.1) Windows Mobile (6.0、6.1 お よび 6.5) Symbian(シ リーズ 60 3 版 および 5 版) ✓ ✓ ✓ ✓ ✓ パーソナル ファイアウォール ✓ ✓ スパム防御 ✓ ✓ ✓ ✓ ✓ ✓ 監視および制御 ✓ ✓ ✓ ✓ 盗難防止 ✓ ✓ ✓ ✓ Google Android(1.6、 2.0、2.1、2.2) Pulse Mobile Security 機能 VPN アクセスは、認証された SSL ブラウザ セッショ ン経由です。 ウィルス対策 ✓ バックアップおよび復元 BlackBerry (4.2 以 降) ✓ 注: ユーザーはバックアップを開始でき ます。復元作業は管理者が行わなければ なりません。 注: 盗難防止機能はゲートウェイ経由で 制御されます。 134 • Android および Windows Mobile デバイス アクセスは SA シリーズ リリース 6.5 以降でサ ポートされています。 • モバイル デバイス アクセスは SA シリーズ リリース 7.0 以降でサポートされています。 • Apple iOS デバイス アクセスは SA シリーズ リリース 6.4 以降でサポートされています。 • Pulse Mobile Security チェック機能は SA シリーズ 7.0 リリース 2 以降で利用可能です。 Copyright © 2011, Juniper Networks, Inc. 第14章: Junos Pulse Mobile Security Suite Pulse Mobile Security 構成概要 ユーザーが Pulse Mobile Security ソフトウェアを含む Junos Pulse app をインストールし た後に、ユーザーはセキュリティ ソフトウェアを登録し、有効化しなければなりません。ソフ トウェアはユーザーに任意のユーザー名とパスワード、およびライセンス キーを入力するよう に指示します。Pulse Mobile Security 管理者は、電子メールまたは SMS 経由で各ユーザーに ライセンス キーを提供する必要があります。登録後に、デバイス情報を Pulse Mobile Security Gateway データベースに追加します。 注: 任意のユーザー名とパスワードは今後の使用のために保存しておきます。 SA シリーズ アプライアンス アクセス用 Pulse Mobile Security を要求する Pulse Mobile Security は Pulse モバイル デバイス app のオプションのライセンス機能で す。SA 管理者は SA シリーズ アプライアンスを構成し、ホスト チェックを実行し、SA シリー ズ アプライアンスでデバイスへアクセスする前に、モバイル デバイス上で Pulse Mobile Security が有効になっているように要求します。セキュリティ機能を選択する場合は、次の基 準を満たす時のみ、Pulse クライアントは SA に接続することを許可されます。 • モバイル デバイス ユーザーは Pulse Mobile Security Suite を登録している。 • モバイル デバイスはスキャンされ、ウィルスに感染していない。 注: Pulse Mobile Security チェック機能は SA シリーズ アプライアンス リリー ス 7.0 リリース 2 以降で利用可能です。Pulse Mobile Security チェック機能は、 Apple iOS デバイスではサポートされていません。 デバイス上で Pulse Mobile Security ソフトウェアを要求するには、次の操作を行います。 1. SA シリーズ アプライアンスの管理コンソールで、[Users] > [User Realms] を選択しま す。 2. モバイル デバイスに作成した領域を選択します。必要な場合は、新しい領域を作成します。 3. [Authentication Policy] タブで、[Host Checker] を選択します。 4. [Enable Mobile Security Check] チェック ボックスを選択し、[Save Changes] を選択し ます。 これで、モバイル セキュリティ チェックはすべての領域にユーザーに適用されました。モ バイル デバイスのアクセスに 1 つ以上の領域を作成した場合は、それぞれの領域でこの チェック ボックスを有効にします。 モバイル デバイス ユーザーは次のタスクを実行しなければなりません。 • 特定のデバイス タイプに対する Pulse クライアント ソフトウェア app をダウンロードお よびインストールします。Pulse Mobile Security クライアント ソフトウェアは VPN app とバンドルされます。 Copyright © 2011, Juniper Networks, Inc. 135 Junos Pulse 管理ガイド 136 • Pulse アイコンをタップして、Pulse Mobile Security を開始します。 • デバイスが登録されていない場合は、ライセンス キーを含めた登録情報を入力するように指 示されます。 Copyright © 2011, Juniper Networks, Inc. 第4部 索引 • 索引 139ページ Copyright © 2011, Juniper Networks, Inc. 137 Junos Pulse 管理ガイド 138 Copyright © 2011, Juniper Networks, Inc. 索引 記号 E 3G ワイヤレス....................................109 802.1X 接続、IC シリーズ アプライアンス..............23 接続、SA シリーズ アプライアンス..............51 EAP 方式.........................................104 EAP-GTC 内部認証.................................104 EAP-JUAC 内部認証................................104 EAP-MD5 内部認証.................................104 EAP-MSCHAPv2 内部認証............................104 EAP-PEAP 外部認証................................104 EAP-TLS 外部認証.................................104 EAP-TTLS 外部認証................................104 EES(拡張エンドポイント セキュリティ IC............................................39 SA............................................66 Enable Session Extension..........................19 ESP トランスポート モード........................108 A Access Manager....................................73 ACE サーバー..................................22, 50 ActiveSync.......................................131 ActiveX Web インストール..............................96 AES..............................................104 Android 証明書認証...................................121 バージョン...................................134 Apple iOS バージョン...................................134 Apple iPhone................................116, 119 B BlackBerry.......................................113 バージョン...................................134 F FIPS........................................105, 109 Forget Saved Settings.........................22, 50 FTP サーバー、使用する Pulse クライアント ソフトウェアをロードす る .........................................8 2 クライアント構成ファイルをロードする..........82 G C CHAP 内部認証....................................104 CIFS アクセラレーション クライアント ステータス.......................81 クライアント ポリシ...........................80 ConfigMgr.....................................33, 61 CPU 要件..........................................11 customer support..................................xv contacting JTAC...............................xv D DNS サーバー検索.................................108 DNS ルックアップ..............................28, 56 documentation comments on..................................xiv Copyright © 2011, Juniper Networks, Inc. GINA.............................................108 Google Android バージョン...................................134 H Heartbeat Interval................................19 Heartbeat Timeout.................................19 I IC シリーズ アプライアンス コンポーネント設定オプション..................29 IF-MAP サーバーおよびクライアント....................91 セッション移行用の構成........................91 IMC および IMV、概要..............................32 SA............................................60 139 Junos Pulse 管理ガイド iOS バージョン...................................134 iPhone Pulse をインストールする.....................119 SSL/VPN アクセス.............................116 IVS...............................................46 J Java Web インストール..............................96 Junos Pulse Mobile Security Suite................xiv Junos Pulse インストーラ、作成する................97 Junos Pulse クライアント SMS/SCCM または SA 経由で配布する.............83 SA シリーズ アプライアンスからダウンロー ド .........................................7 8 WXC ゲートウェイからダウンロード..............77 アンインストール..............................79 クライアント イメージをロードする ............82 クライアント構成を定義する....................82 ステータスを表示する..........................81 ダウンロードの有効化..........................79 ポリシを構成する..............................80 隣接関係の構成................................80 Junos Pulse クライアントからダウンロード......77, 78 Junos Pulse クライアントのアンインストール........79 Nokia Symbian アクセスのを構成する.........................125 バージョン...................................134 O OAC、Pulseとの機能比較...........................103 Odyssey アクセス クライアント 互換バージョン................................14 サポートされるリリース........................14 Odyssey アクセス クライアント Pulseとの機能比較............................103 OPSWAT IMV..................................106, 108 P PAP 内部認証.....................................104 Pulse Mobile Security Suite.................xiv, 133 機能.........................................134 Pulse およびセキュリティ証明書.....................6 R Radius サーバー...............................22, 50 Roaming session...................................20 RSA SecurID クライアント ソフトウェア バージョン...........7 RSA SofToken.....................................105 S K Kaspersky およびアプリケーション高速化......26, 51, 54, 80 Kerberos SSO.....................................106 L limit to subnet...................................20 LZ 圧縮 クライアント ステータス.......................81 クライアント ポリシ...........................80 M manuals comments on..................................xiv Max. Session Length...............................19 Microsoft システム センタ構成マネージャ.......33, 61 MSCHAP 内部認証..................................104 MSCHAPv2 内部認証................................104 N NAT-T............................................106 netmask...........................................20 140 S-IMAP/S-POP.....................................131 S-SMTP...........................................131 SA シリーズアプライアンス、から Junos Pulse クラ イアントをダウンロード..........................78 SCCM..........................................33, 61 Secure Virtual Workspace..........................15 Shavlik IC での構成...................................37 SA で構成する.................................65 Shavlik IMV.................................106, 108 SMS...........................................33, 61 SMS/SCCM または SA 経由で Junos Pulse クライアン ト配布する......................................83 SMS(システム管理サーバー)...................36, 63 SofToken.........................................105 software upgrades Junos Pulse クライアント用....................82 SRX シリーズ ゲートウェイ 配備オプション................................10 SSL フォールバック...............................108 support, technical 参照 technical support SVW...............................................15 Copyright © 2011, Juniper Networks, Inc. 索引 Symbian アクセスを構成する...........................125 バージョン...................................134 T TCP アクセラレーション クライアント ステータス.......................81 クライアント ポリシ...........................80 technical support contacting JTAC...............................xv TKIP.............................................104 U UDP ポート 3578 およびアプリケーション高速化......26, 51, 54, 80 V VPN...............................................73 W Web インストール..............................95, 96 WEP..............................................104 Wi-Fi iOS デバイス.................................116 Windows サポートされるバージョン......................11 Windows サポートされるバージョン .....................11 Windows Mobile...................................129 アクセスを構成する...........................130 バージョン...................................134 WPA/WPA2.........................................104 WX クライアント、Pulse との機能比較..............109 WX 接続オプション コミュニティ文字列........................23, 51 WXC シリーズ ゲートウェイ 配備オプション.................................9 アップグレードする クライアント ソフトウェア.....................82 アドバンスド エンドポイント制御 IC............................................39 SA............................................66 application-level remote access..................129 暗号化方式 IC シリーズ アプライアンス...................103 イ 位置認識 位置認識規則..............................23, 52 概要...........................................5 設定......................................26, 54 インスタント仮想システム..........................46 インストーラ Web.......................................95, 96 事前構成済み..............................96, 97 デフォルト....................................96 インストール Junos Pulse クライアント......................77 要件..........................................11 ウ ウィルス署名バージョン監視.........................7 ユーザー役割 SA シリーズ アプライアンス....................47 エ エクスポートする Junos Pulse クライアント ソフトウェアまたは構 成 .........................................8 3 エラー メッセージ.................................12 オ オペレーティング システム サポート................11 カ ア アクセラレーション WX クライアントと Pulse の比較...............110 クライアント ステータス.......................81 クライアント ポリシ...........................80 アダプタ タイプ...............................23, 51 圧縮 ............................................110 クライアント ステータス.......................81 クライアント ポリシ...........................80 アップグレード クライアント ソフトウェア.................43, 71 Copyright © 2011, Juniper Networks, Inc. 拡張エンドポイント セキュリティ IC シリーズ アプライアンス コンポーネント設定 オプション.................................29 拡張エンドポイント セキュリティ(EES) IC............................................39 SA............................................66 ガ 外部ユーザー名 802.1X 接続、IC シリーズ アプライアンス.......23 802.1X 接続、SA シリーズ アプライアンス.......51 141 Junos Pulse 管理ガイド キ 機能 Pulse Mobile Security Suite..................134 証明書認証 Android......................................121 診断.............................................105 信用情報プロバイダ..........................105, 108 ク クライアント、Junos Pulse SMS/SCCM または SA 経由で配布する.............83 SA シリーズ アプライアンスからダウンロー ド .........................................7 8 WXC ゲートウェイからダウンロード..............77 アンインストール..............................79 クライアント イメージをロードする ............82 クライアント構成を定義する....................82 ステータスを表示する..........................81 ダウンロードの有効化..........................79 ポリシを構成する..............................80 隣接関係の構成................................80 クライアント エラー...............................12 コ 構成、Junos Pulse クライアント 表示する......................................82 構成する、Junos Pulse クライアント 定義する......................................82 コマンド ライン ランチャ.........................108 コミュニティ文字列............................23, 51 コンポーネント設定、Junos Pulse 用に設定す る..........................................30, 58 コンポーネント設定オプション IC シリーズ アプライアンス....................29 SA シリーズ アプライアンス....................57 サ サプリカント.......................................6 サポートされる言語................................12 サポートされるゲートウェイ........................10 サポートされるデバイスのバージョン...............134 サーバー証明書 DN 802.1X 接続、IC シリーズ アプライアンス.......23 802.1X 接続、SA シリーズ アプライアンス.......51 シ システム センタ構成マネージャ.................33, 61 証明書 サポート.....................................104 スマート カード..............................105 選択......................................22, 50 役割、IC シリーズ アプライアンス..............19 142 ジ 事前構成インストーラ...............................9 事前構成済みインストーラ......................96, 97 自動アップグレード............................42, 70 自動更新..........................................10 自動スキャン リスト..............................103 ス スキャン リスト...............................6, 103 802.1X 接続、IC シリーズ アプライアンス.......23 802.1X 接続、SA シリーズ アプライアンス.......51 スクリプト.......................................108 IC シリーズ アプライアンス....................20 SA シリーズ...................................48 スパイウェア対策 IC............................................39 SA............................................66 スマート カード...............................7, 105 スマートカード認証............................22, 50 セ 整合性測定コレクタ(IMC)およびベリファイア(IMV) SA............................................60 整合性測定コレクタ(IMC)およびベリファイア (IMVs)........................................32 生存時間、DNS.................................28, 56 セキュリティ EES...........................................29 リスク........................................12 セキュリティ証明書、Pulse での.....................6 セッション移行....................................87 および IF-MAP.................................91 およびセッション タイムアウト.................89 および認証サーバー サポート...................89 概要...........................................5 構成する......................................91 タスク サマリ.................................90 セッション寿命....................................19 セッション スクリプト............................108 IC シリーズ アプライアンス....................20 SA シリーズ...................................48 Copyright © 2011, Juniper Networks, Inc. 索引 セッション タイムアウト..........................109 Android......................................123 iOS..........................................118 Symbian......................................126 セッションの延長.................................106 接続規則 接続......................................26, 54 接続性 ワイヤレス....................................14 接続設定 SA シリーズ アプライアンス................24, 53 接続設定オプション アダプタタイプ................................51 アダプタ タイプ...............................23 コミュニティ文字列........................23, 51 サーバー証明書 DN.........................23, 51 スキャン リスト...........................23, 51 動的証明書信用............................22, 50 動的接続..................................22, 50 ユーザー接続の許可........................22, 50 ユーザーによる接続ポリシの上書きの許可、IC ま たは SA................................23, 51 ユーザーによる接続ポリシの上書きの許可、 WX.....................................23, 51 ユーザーによる接続ポリシの上書きの許可、ファ イアウォール...........................23, 51 ログオン情報の保存許可....................22, 50 ワイヤレス抑止............................22, 50 接続設定のオプション..........................21, 49 説明書 関連説明書 ..................................xiv ソ ソフトウェア アップグレード およびバインドされたクライアント...............8 概要..........................................10 ソフトウェア パッケージ.......................43, 71 ソフトウェア要件..................................11 ソフトウェアをロードする Junos Pulse クライアント用....................82 ソフト トークン............................7, 22, 50 ツ 接続設定オプション 外部ユーザー名............................23, 51 デフォルト インストーラ...........................96 デフォルトの配備..................................95 ト トラブルシューティング アプリケーション高速化............26, 51, 54, 80 トークン認証...............................7, 22, 50 ド 動的 VPNs 構成概要......................................74 動的証明書信用 IC シリーズ アプライアンス....................22 SA シリーズ アプライアンス....................50 動的接続........................................6, 9 IC シリーズ アプライアンス....................22 SA シリーズ アプライアンス....................50 概要...........................................8 ニ 認識したユーザー設定..........................22, 50 認証 SecurID........................................7 認証方法.........................................104 ハ 配備オプション 概要...........................................8 ハードウェア要件..................................11 ハードトークン.............................7, 22, 50 バ バインドおよびバインドされていないクライアント ソフトウェア アップグレード...............43, 70 バインドされていないクライアント 概要...........................................8 バインドされているクライアントとされていないクラ イアント 概要...........................................8 バージョン Windows サポート..............................11 ゲートウェイ サポート.........................10 バージョン監視ウィルス署名およびファイアウォー ル...............................................7 デ ディスク容量要件..................................11 デフォルト、Pulse 構成.............................8 Copyright © 2011, Juniper Networks, Inc. 143 Junos Pulse 管理ガイド パ マ パスワード Junos Pulse クライアント ソフトウェアをダウン ロードする.................................79 1回のみ..................................22, 50 パッチ評価、ホストチェッカー ポリシでの IC............................................31 SA............................................59 パッチヒョウカ、ホストチェッカー ポリシでの........7 パッチ評価バージョン監視...........................7 マシン認証.......................................105 マルウェア、ホストチェッカー ポリシ IC............................................39 SA............................................66 マルウェアに対する保護、スパイウェア IC............................................39 SA............................................66 メ フ メッセージ........................................12 メモリ要件........................................11 ファイアウォール アクセス SRX 上の構成..................................73 モ Enable Mobile Security チェックを有効にする......135 ブ ブラウザ要件......................................11 分割トンネリング iOS デバイス.................................115 NC および Pulse の比較.......................107 分割トンネリング オプション.......................47 ヤ 役割 Android デバイス.............................121 IC シリーズ アプライアンス....................19 iOS デバイス.................................116 SA シリーズ アプライアンス....................47 Symbian デバイス.............................125 Windows Mobile デバイス......................130 プ プッシュ構成..................................41, 68 プラットフォーム サポート Windows.......................................11 ゲートウェイ..................................10 ホ ホスト エンフォーサ..............................106 ホストチェッカー IC シリーズ アプライアンス....................19 IC での Shavlik...............................37 SA での Shavlik...............................65 ホストチェッカー パッチ評価ポリシ..................7 IC............................................31 SA............................................59 ホストチェッカー ポリシを使用するシステム管理サー バー(SMS).................................36, 63 ホストチェッカー ポリシを使用するシステム センタ 構成マネージャ..............................36, 63 ホスト チェック..................................135 ユ ユーザー インターフェース..........................4 ユーザー接続の許可 IC シリーズ アプライアンス....................22 SA シリーズ アプライアンス....................50 ユーザーによる接続ポリシの上書きの許可 WX 接続オプション.............................23 接続オプション、WX............................51 接続オプション、IC または SA..............23, 51 接続オプション、ファイアウォール..........23, 51 ユーザーの簡易切換え、セキュリティリスクとして....12 ユーザー名およびパスワード Junos Pulse クライアント ソフトウェアをダウン ロードする.................................79 ユーザー役割 IC シリーズ アプライアンス....................19 リ ポ 領域 ポート 3578 およびアプリケーション高速化..........26, 51, 54 およびアプリケーション高速化..................80 Android デバイス.............................123 iOS デバイス.................................119 Symbian デバイス.............................127 リリース ゲートウェイ サポート.........................10 144 Copyright © 2011, Juniper Networks, Inc. 索引 隣接関係.........................................110 ル ルート監視.......................................107 ロ ログ ビュアー....................................106 ログインする Junos Pulse クライアント ソフトウェアをダウン ロードする.................................79 ログオン情報の保存許可 IC シリーズ ゲートウェイ......................22 SA シリーズ アプライアンス....................50 ログ ファイル iOS デバイス.................................120 ローカライゼーション..............................12 ローミング........................................20 ワ ワイヤレス サプリカント...........................14 ワイヤレス サプリカント............................6 ワイヤレス抑止 IC シリーズ アプライアンス...............22, 103 SA シリーズ アプライアンス....................50 Copyright © 2011, Juniper Networks, Inc. 145 Junos Pulse 管理ガイド 146 Copyright © 2011, Juniper Networks, Inc.