Cisco AnyConnect VPN Client アドミニスト

by user

on 28 марта 2017

Category: Documents

>> Downloads: 6

views

Report

Comments

Description

Download Cisco AnyConnect VPN Client アドミニスト

Transcript

Cisco AnyConnect VPN Client アドミニスト

Cisco AnyConnect VPN Client アドミニスト
レータガイド
Cisco AnyConnect VPN Client Administrator Guide
リリース 2.4
Text Part Number: OL-20841-01-J
【注意】シスコ製品をご使用になる前に、安全上の注意
（www.cisco.com/jp/go/safety_warning/）をご確認ください。
本書は、米国シスコシステムズ発行ドキュメントの参考和訳です。
リンク情報につきましては、日本語版掲載時点で、英語版にアップ
デートがあり、リンク先のページが移動 / 変更されている場合があ
りますことをご了承ください。
あくまでも参考和訳となりますので、正式な内容については米国サ
イトのドキュメントを参照ください。
また、契約等の記述については、弊社販売パートナー、または、弊
社担当者にご確認ください。
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨事項
は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用は、すべ
てユーザ側の責任になります。
対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public
domain version of the UNIX operating system.All rights reserved.Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコシステ
ムズおよびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保
証をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコシステムズおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめと
する、間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコシステムズまたはその供給者に知らされていても、それらに対する責任を一切負
わないものとします。
CCDE, CCENT, CCSI, Cisco Eos, Cisco HealthPresence, Cisco IronPort, the Cisco logo, Cisco Nurse Connect, Cisco Pulse, Cisco SensorBase, Cisco StackPower,
Cisco StadiumVision, Cisco TelePresence, Cisco Unified Computing System, Cisco WebEx, DCE, Flip Channels, Flip for Good, Flip Mino, Flipshare (Design), Flip Ultra,
Flip Video, Flip Video (Design), Instant Broadband, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn, Cisco Capital,
Cisco Capital (Design), Cisco:Financed (Stylized), Cisco Store, Flip Gift Card, and One Million Acts of Green are service marks; and Access Registrar, Aironet, AllTouch,
AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo,
Cisco IOS, Cisco Lumin, Cisco Nexus, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation,
Continuum, EtherFast, EtherSwitch, Event Center, Explorer, Follow Me Browsing, GainMaker, iLYNX, IOS, iPhone, IronPort, the IronPort logo, Laser Link, LightStream,
Linksys, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, PCNow, PIX, PowerKEY, PowerPanels, PowerTV, PowerTV (Design),
PowerVu, Prisma, ProConnect, ROSA, SenderBase, SMARTnet, Spectrum Expert, StackWise, WebEx, and the WebEx logo are registered trademarks of Cisco Systems,
Inc. and/or its affiliates in the United States and certain other countries.
All other trademarks mentioned in this document or website are the property of their respective owners. The use of the word partner does not imply a partnership relationship
between Cisco and any other company. (0910R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワー
クトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なも
のではなく、偶然の一致によるものです。
Cisco AnyConnect VPN Client アドミニストレータガイド
©2009 Cisco Systems, Inc.
All rights reserved.
Copyright © 2009–2010, シスコシステムズ合同会社 .
All rights reserved.
CONTENTS
このマニュアルについて
対象読者
表記法
ix
ix
ix
関連資料
x
マニュアルの入手方法およびテクニカルサポート
CHAPTER
1
AnyConnect の概要
xi
1-1
リモートユーザインターフェイス
1-1
AnyConnect ライセンスのオプション
1-6
AnyConnect Standalone および WebLaunch のオプション
1-7
1-7
AnyConnect のファイルとコンポーネント
1-8
Start Before Logon コンポーネントのインストール（Windows のみ）
VPN クライアントコンピュータにインストールされる AnyConnect ファイル
コンフィギュレーションおよび展開の概要
AnyConnect API
CHAPTER
2
1-9
1-10
1-10
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
セキュリティアプライアンスによる AnyConnect クライアントの展開方法
2-1
2-1
2-2
AnyConnect クライアントをインストールする前に
2-2
AnyConnect クライアントの自動インストール方法
AnyConnect クライアントと新規インストールされた Windows 2000 2-3
信頼済みサイトのリストへのセキュリティアプライアンスの追加（IE）
2-4
ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加
2-4
インストールする AnyConnect クライアントファイルの入手先
2-6
複数の AnyConnect クライアントイメージをロードする場合の接続時間の短縮方
法
2-6
AnyConnect クライアントのダウンロードのためのセキュリティアプライアンスの設
定
2-7
リモートユーザに対する AnyConnect クライアントダウンロードのプロンプト
追加の AnyConnect 機能で使用するモジュールのイネーブル化
証明書のみの認証の設定
2-10
2-12
2-13
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
iii
Contents
CHAPTER
3
AnyConnect クライアント機能の設定
3-1
AnyConnect クライアントプロファイルの設定と展開
デフォルトのクライアントプロファイル
クライアントプロファイルの編集
プロファイルの XML の確認
3-2
3-3
3-4
3-5
AnyConnect クライアントへのクライアントプロファイルの展開
3-8
AnyConnect ローカルポリシーの設定
3-9
AnyConnect ローカルポリシーファイルの例
MST ファイルを使用した Windows クライアント用パラメータの変更
手動での AnyConnect ローカルポリシーファイルのパラメータ変更
3-6
3-9
3-10
3-10
Start Before Logon の設定
3-12
Start Before Logon コンポーネントのインストール（Windows のみ）
Windows Vista と Vista 以前のシステムとの Start Before Logon の相違点
3-12
SBL をイネーブルにするプロファイルパラメータ
3-13
SBL をユーザ制御可能にする方法
セキュリティアプライアンスでの SBL のイネーブル化
3-13
マニフェストファイルの使用
3-12
3-14
3-15
SBL のトラブルシューティング
Windows 7 および Vista システムでの Start Before Logon（PLAP）の設定
3-16
Windows OS ごとの Start Before Logon の違い
3-16
PLAP のインストール
PLAP を使用した Windows Vista または Windows 7 PC へのログイン
3-19
PLAP を使用した AnyConnect クライアントからの接続解除
3-15
3-17
3-20
FIPS と追加セキュリティのイネーブル化
3-20
AnyConnect ローカルポリシーファイルのパラメータと値
3-23
AnyConnect ローカルポリシーファイルの例
当社の MST ファイルによる FIPS のイネーブル化
3-23
独自の MST ファイルによる任意のローカルポリシーパラメータの変更
3-23
すべてのオペレーティングシステムでの Enable FIPS ツールを使用したパラメータ変
更
3-24
手動での AnyConnect ローカルポリシーファイルのパラメータ変更
Trusted Network Detection のイネーブル化
3-25
3-26
複数のプロファイルで複数のセキュリティアプライアンスに接続するユーザ
証明書ストアの設定
3-28
3-28
Windows での証明書ストアの制御
証明書ストアの例
3-28
3-29
Mac および Linux での PEM 証明書ストアの作成
PEM ファイルのファイル名に関する制約事項
ユーザ証明書の保存
3-29
3-30
3-30
Cisco AnyConnect VPN Client アドミニストレータガイド
iv
OL-20841-01-J
Contents
証明書ストア使用の制限
3-31
Simplified Certificate Enrollment Protocol の設定
3-31
自動または手動による証明書のプロビジョニングと更新
自動的な証明書要求
3-32
3-32
手動による証明書取得
3-32
Windows 証明書の警告
3-33
証明書のプロビジョニングと更新を行う SCEP プロトコルの設定
SCEP 要求後の証明書ストレージ
証明書の期限切れの注意
3-38
3-38
AnyConnect 用の SCEP プロトコルをサポートする ASA の設定
3-39
ASA での証明書のみの認証の設定
証明書照合の設定
3-34
3-38
3-39
3-39
Key Usage 証明書照合
Extended Key Usage 証明書照合
証明書認定者名マッピング
証明書照合の例
3-39
3-40
3-41
認証証明書選択のプロンプト
3-45
AutomaticCertSelection を使用したクライアントプロファイルの設定
ユーザによる、AnyConnect プリファレンスの自動証明書選択の設定
バックアップサーバリストパラメータの設定
3-46
3-47
Windows Mobile デバイスへの AnyConnect のインストール
Windows Mobile のポリシー設定
3-45
3-47
3-48
64 ビット Linux への AnyConnect のインストール
3-50
Mac OS で Java インストーラが失敗した場合の手動インストールオプションの使用
起動時自動接続の設定
自動再接続の設定
3-51
3-52
Host Scan のインストール
サーバリストの設定
3-54
3-54
DNS フォールバックの分割
スクリプト化
3-51
3-56
3-57
スクリプトの要件と制限
3-57
スクリプトの作成、テスト、および展開
3-58
スクリプト用の AnyConnect プロファイルの設定
スクリプトのトラブルシューティング
プロキシサポート
プロキシの無視
3-59
3-61
3-62
3-62
Mac/Safari のプライベートプロキシ
Internet Explorer の接続タブのロック
3-62
3-62
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
v
Contents
クライアントレスサポートのためのプロキシ自動設定ファイルの生成
3-63
Windows ユーザのための、RDP セッションからの AnyConnect セッションの許可
AnyConnect over L2TP または PPTP 3-64
AnyConnect over L2TP または PPTP の設定
ユーザによる PPP 除外の上書き
3-66
その他の AnyConnect プロファイル設定の構成
CHAPTER
4
その他の AnyConnect の管理要件の実現
3-63
3-65
3-67
4-1
Microsoft Active Directory を使用して、ドメインユーザの Internet Explorer の信頼済みサ
イトリストにセキュリティアプライアンスを追加する方法
4-1
AnyConnect クライアントおよび Cisco Secure Desktop を CSA と相互運用するための設
CHAPTER
5
定方法
4-2
認証の管理
5-1
SDI トークン（SoftID）の統合
5-1
ネイティブ SDI と RADIUS SDI の比較
5-1
5-2
SDI 認証の使用
5-4
SDI 認証交換のカテゴリ
通常の SDI 認証ログイン
5-4
新規ユーザモード、PIN クリアモード、および新規 PIN モード
新しい PIN の入手
5-5
「Next Passcode」および「Next Token Code」身分証明要求
5-5
5-6
5-7
RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持
5-7
AnyConnect クライアントと RADIUS/SDI サーバの対話
RADIUS/SDI メッセージをサポートするためのセキュリティアプライアンスの設
定
CHAPTER
6
5-7
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
6-1
6-1
AnyConnect クライアントのカスタマイズ
個別の GUI コンポーネントとカスタムコンポーネントの置き換え
クライアント API を使用する実行ファイルの展開
6-3
トランスフォームを使用した GUI のカスタマイズ
6-5
トランスフォームの例
6-2
6-7
カスタムアイコンおよびロゴの作成について
デフォルトの AnyConnect の英語メッセージの変更
6-8
6-12
AnyConnect クライアントの GUI とインストーラのローカライズ
6-14
AnyConnect GUI のローカライズ
6-15
ASDM 変換テーブルエディタを使用した翻訳
変換テーブルのエクスポートと編集による翻訳
6-14
6-19
Cisco AnyConnect VPN Client アドミニストレータガイド
vi
OL-20841-01-J
Contents
AnyConnect インストーラ画面のローカライズ
6-22
ツールを使用した社内展開用メッセージカタログの作成
新しい翻訳テンプレートと変換テーブルの統合
CHAPTER
7
通信ユーザのガイドライン
6-25
6-25
7-1
AnyConnect CLI コマンドを使用した接続（スタンドアロンモード）
ログアウト
7-3
セキュア接続（鍵）アイコンの設定
CHAPTER
8
7-1
7-3
AnyConnect セッションの管理、モニタリング、およびトラブルシューティング
すべての VPN セッションの接続解除
個別の VPN セッションの接続解除
詳細な統計情報の表示
8-1
8-1
8-2
Windows Mobile デバイスでの統計情報の表示
8-3
8-4
VPN 接続の問題の解決
8-4
MTU サイズの調整
圧縮の排除による VPN パフォーマンスの向上と Windows Mobile 接続の許可
DART を使用したトラブルシューティング情報の収集
8-6
DART ソフトウェアの入手
8-6
DART のインストール
AnyConnect を使用した DART のインストール
ホストへの DART の手動インストール
8-7
8-8
Windows PC での DART の実行
APPENDIX
A
8-1
オープンソフトウェアライセンスの通知事項
OpenSSL/Open SSL Project
License Issues A-1
8-5
8-5
8-6
A-1
A-1
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
vii
Contents
Cisco AnyConnect VPN Client アドミニストレータガイド
viii
OL-20841-01-J
このマニュアルについて
このマニュアルでは、Cisco AnyConnect VPN Client イメージを中央サイトのセキュリティアプライ
アンスにインストールする方法、リモートユーザのコンピュータに展開するためのクライアントの設
定方法、ASDM で AnyConnect の接続プロファイルやグループポリシーを設定する方法、クライアン
トをモバイルデバイスにインストールする方法、および、AnyConnect VPN 接続のモニタリングとト
ラブルシューティングを行う方法について説明します。
このマニュアル中で「セキュリティアプライアンス」という用語は、すべてのモデルの Cisco
ASA 5500 シリーズ（ASA 5505 以上）を意味します。
対象読者
このマニュアルは、次の作業を行う管理者を対象としています。
• ネットワークセキュリティの管理
• セキュリティアプライアンスのインストールおよび設定
• VPN 設定
表記法
このマニュアルでは、次の表記法を使用しています。
表記法
説明
太字
コマンド、キーワード、およびユーザが入力するテキストは、太字で示してい
ます。
イタリック体
マニュアルのタイトル、初出の用語または強調する用語、およびユーザが値を
指定する引数は、イタリック体で示しています。
[ ]
角カッコの中の要素は、省略可能です。
{[x | y | z]}
必ずどれか 1 つを選択しなければならない必須キーワードは、波カッコで囲
み、縦棒で区切って示しています。
[x | y | z]
どれか 1 つを選択できる省略可能なキーワードは、角カッコで囲み、縦棒で区
切って示しています。
ストリング
引用符を付けない一組の文字。ストリングの前後には引用符を使用しません。
引用符を使用すると、その引用符も含めてストリングとみなされます。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
ix
このマニュアルについて
courier フォント
システムが表示する端末セッションおよび情報は、courier フォントで示して
います。
< >
パスワードのように出力されない文字は、山カッコで囲んで示しています。
[ ]
システムプロンプトに対するデフォルトの応答は、角カッコで囲んで示してい
ます。
!, #
コードの先頭に感嘆符（!）またはポンド記号（#）がある場合には、コメント
行であることを示します。
（注）「注釈」です。
ヒント
注意
ワンポイントアドバイス
「問題解決に役立つ情報」です。
「要注意」の意味です。機器の損傷またはデータ損失を予防するための注意事項が記述されています。
「時間を節約するための方法」です。記述されている操作や設定を行うと時間を節約できます。
関連資料
詳細については、次のマニュアルを参照してください。
• 『Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide』
• 『Cisco ASA 5500 Series Release Notes 』
• 『Cisco ASDM Release Notes』
• Cisco ASDM オンラインヘルプ
• 『Release Notes for Cisco AnyConnect VPN Client, Release 2.0』
• 『Cisco Security Appliance Command Reference』
• 『Cisco Security Appliance Logging Configuration and System Log Messages』
• 『Cisco Secure Desktop Configuration Guide for Cisco ASA 5500 Series Administrators』
• この製品のオープンソースライセンス情報については、次のリンクを参照してください。
http://www.cisco.com/en/US/docs/security/asa/asa80/license/opensrce.html#wp50053
Cisco AnyConnect VPN Client アドミニストレータガイド
x
OL-20841-01-J
このマニュアルについて
マニュアルの入手方法およびテクニカルサポート
マニュアルの入手方法、テクニカルサポート、その他の有用な情報について、次の URL で、毎月更新
される『What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂
版の技術マニュアルの一覧も示されています。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
『What's New in Cisco Product Documentation』は RSS フィードとして購読できます。また、リーダー
アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできま
す。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
xi
このマニュアルについて
Cisco AnyConnect VPN Client アドミニストレータガイド
xii
OL-20841-01-J
C H A P T E R
1
AnyConnect の概要
Cisco AnyConnect VPN Client は次世代型の VPN クライアントで、ASA バージョン 8.0 以降および
ASDM 6.0 以降を実行している Cisco 5500 シリーズ適応型セキュリティアプライアンスへのセキュア
な VPN 接続をリモートユーザに提供します。
この章は、次の項で構成されています。
• 「リモートユーザインターフェイス」（P.1-1）
• 「AnyConnect ライセンスのオプション」（P.1-6）
• 「AnyConnect Standalone および WebLaunch のオプション」（P.1-7）
• 「AnyConnect のファイルとコンポーネント」（P.1-7）
• 「コンフィギュレーションおよび展開の概要」（P.1-10）
• 「AnyConnect API」（P.1-10）
リモートユーザインターフェイス
リモートユーザには、Cisco AnyConnect VPN Client のユーザインターフェイスが表示されます
（図 1-1）。Connection タブのドロップダウンリストに、リモートシステムに接続するためのプロファ
イルが表示されます。オプションで、表示するバナーメッセージを [ 接続（Connection）] タブで設定
できます。インターフェイスの下部の状況表示行に、接続のステータスが表示されます。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
1-1
第1章
AnyConnect の概要
リモートユーザインターフェイス
図 1-1
Cisco AnyConnect VPN Client のユーザインターフェイス、[ 接続（Connection）] タブ
証明書を設定していない場合は、図 1-2 のようなダイアログボックスが表示されます。
図 1-2
（注）
[ セキュリティアラート（Security Alert）] ダイアログボックス
このダイアログボックスが表示されるのは、正しい証明書が導入されていない場合だけです。[ はい ]
をクリックすると、証明書の要件を回避できます。
[ セキュリティアラート（Security Alert）] ダイアログボックスは、指定されたセキュリティアプライ
アンスへの最初の接続試行でのみ表示されます。接続の確立に成功すると、サーバ証明書の「サムプリ
ント」がプリファレンスファイルに保存されるため、同じセキュリティアプライアンスへの後続の接
続では、ユーザに対するプロンプトは表示されません。
ユーザが、別のセキュリティアプライアンスに接続してから戻ると、再び [ セキュリティアラート
（Security Alert）] ダイアログボックスが表示されます。
表 1-1 に、[ セキュリティアラート（Security Alert）] ダイアログボックスが表示される条件と結果を
示します。
Cisco AnyConnect VPN Client アドミニストレータガイド
1-2
OL-20841-01-J
第1章
AnyConnect の概要
リモートユーザインターフェイス
表 1-1
証明書、セキュリティの警告、および接続のステータス
セキュリティ
の警告が表示
されるか
証明書のステータス
クライアント接続のステータス
セキュリティアプライアンスからクライアントにいいえ
送信されたサーバ証明書が、独立して検証可能で、
かつ証明書に重大なエラーがない。
成功。
セキュリティアプライアンスからクライアントに
送信されたサーバ証明書が、独立して検証可能で
なく、かつ証明書に重大なエラーがある。
いいえ
失敗。
セキュリティアプライアンスからクライアントに
送信されたサーバ証明書が、独立して検証可能で
なく、かつ証明書に重大なエラーがない。
はい
クライアントで証明書を確認で
きないため、セキュリティに問
題があると考えられます。クラ
イアントは、接続試行を続ける
かどうか、ユーザに確認します。
図 1-3 に、現在の接続情報が表示されている [ 統計情報（Statistics）] タブを示します。
図 1-3
Cisco AnyConnect VPN Client のユーザインターフェイス、[ 統計情報（Statistics）] タブ
[ 詳細（Details）] ボタンをクリックすると、[ 統計情報の詳細（Statistics Details）] ウィンドウが表示
されます（図 1-4）。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
1-3
第1章
AnyConnect の概要
リモートユーザインターフェイス
図 1-4
Cisco AnyConnect VPN Client のユーザインターフェイス、[ 統計情報の詳細（Statistics
Details）] タブ
このウィンドウに表示されるオプションは、クライアント PC にロードされているパッケージによって
異なります。オプションを使用できない場合は、ダイアログボックスでそのオプションボタンがアク
ティブにならず、オプション名の横に「（未インストール（Not Installed））」と表示されます。オプ
ションは次のとおりです。
• [ 元に戻す（Reset）] をクリックすると、接続情報がゼロにリセットされます。AnyConnect によ
る新しいデータの収集がすぐに開始されます。
• [ 統計情報のエクスポート ...（Export Stats...）] をクリックすると、接続の統計情報がテキスト
ファイルに保存され、あとから分析とデバッグを行えます。
• [ トラブルシューティング ...（Troubleshoot...）] をクリックすると、DART（Diagnostic
AnyConnect Reporting Tool）ウィザードが起動されます。指定したログファイルと診断情報を結
び付けることで、AnyConnect のクライアント接続の分析とデバッグに使用できます。DART パッ
ケージの詳細については、「DART を使用したトラブルシューティング情報の収集」（P.8-5）を参
照してください。
[ ルートの詳細（Route Details）] タブ（図 1-5）には、この接続のセキュアなルートとセキュアでない
ルートが表示されます。
Cisco AnyConnect VPN Client アドミニストレータガイド
1-4
OL-20841-01-J
第1章
AnyConnect の概要
リモートユーザインターフェイス
図 1-5
（注）
Cisco AnyConnect VPN Client のユーザインターフェイス、[ ルートの詳細（Route
Details）] タブ
宛先が 0.0.0.0 でサブネットマスクが 0.0.0.0 の Secured Routes エントリは、すべてのトラフィックが
トンネルで処理されることを意味します。
[ エクスポート（Export）] および [ ログの表示（View Log）] ボタンを使用した接続の監視の詳細につ
いては、「詳細な統計情報の表示」（P.8-2）を参照してください。
[ バージョン情報（About）] タブ（図 1-6）には、Cisco AnyConnect クライアントのバージョン情報、
著作権情報、および文書情報が表示されます。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
1-5
第1章
AnyConnect の概要
AnyConnect ライセンスのオプション
図 1-6
Cisco AnyConnect VPN Client のユーザインターフェイス、[ バージョン情報（About）]
タブ
AnyConnect ライセンスのオプション
次のオプションは AnyConnect クライアントの全機能をサポートし、指定された数の SSL VPN セッ
ションをサポートしています。
• Cisco AnyConnect Essentials ライセンス
• Cisco AnyConnect Premium Clientless SSL VPN Edition ライセンス
• Cisco AnyConnect Premium Clientless SSL VPN Edition 共有ライセンス
• Cisco FLEX ライセンス
上の 3 つのライセンスはデバイスごと（セキュリティアプライアンスごと）に相互排他的ですが、混
合ネットワークを設定することができます。
Cisco AnyConnect VPN Client アドミニストレータガイド
1-6
OL-20841-01-J
第1章
AnyConnect の概要
AnyConnect Standalone および WebLaunch のオプション
AnyConnect Standalone および WebLaunch の
オプション
ユーザは、次のモードで AnyConnect クライアントを使用できます。
• スタンドアロンモード：ユーザは、Web ブラウザを使用せずに、Cisco AnyConnect VPN Client
接続を確立できます。ユーザの PC に AnyConnect クライアントを永続的にインストールした場
合、ユーザはスタンドアロンモードで実行できます。スタンドアロンモードでは、ユーザは
AnyConnect クライアントをその他のアプリケーションと同じように開き、ユーザ名とパスワード
クレデンシャルを AnyConnect GUI のフィールドに入力します。システムの設定によっては、グ
ループを選択する必要もあります。接続が確立されると、セキュリティアプライアンスはユーザ
の PC にあるクライアントのバージョンをチェックし、必要な場合、最新バージョンをダウンロー
ドします。
• WebLaunch モード：ユーザは、https プロトコルを使用して、ブラウザの [ アドレス（Address）]
または [ 場所（Location）] フィールドにセキュリティアプライアンスの URL を入力します。次
に、ユーザ名とパスワードの情報を [ ログイン（ Logon ） ] 画面で入力し、グループを選択して、
[ 送信（submit）] をクリックします。バナーが指定されている場合はその情報が表示され、[ 続行
（Continue）] をクリックしてバナーを確認します。
ポータルウィンドウが表示されます。AnyConnect クライアントを起動するには、ユーザがメイン
ペインで [AnyConnect の起動（Start AnyConnect）] をクリックします。一連の文書ウィンドウが
表示されます。[ 接続確立（Connection Established）] ダイアログが表示されると、接続が機能し、
ユーザがオンラインアクティビティを処理できるようになります。
スタンドアロンモードと WebLaunch モードのどちらで接続する場合でも、クライアントを接続するに
は、セキュリティアプライアンスに AnyConnect クライアントがインストールされている必要があり
ます。そうすることで、エンタープライズソフトウェア導入システムを使用してクライアントを導入
した場合でも、どのバージョンのクライアントがセッションを確立できるかを、セキュリティアプラ
イアンスで一元的に実施できるようになります。クライアントパッケージをセキュリティアプライア
ンスにロードすると、ロードされたものと同じ最新バージョンだけが接続可能というポリシーが実施さ
れます。AnyConnect ユーザは、最新のセキュリティ機能を持つ最新バージョンのクライアントをセ
キュリティアプライアンスにロードし、クライアントをアップグレードする必要があります。
AnyConnect のファイルとコンポーネント
インストールおよび設定の手順には、セキュリティアプライアンスで実行する必要がある手順と、リ
モートコンピュータで実行する必要がある手順の 2 つがあります。AnyConnect クライアントソフト
ウェアは、ASA リリース 8.0（1）以降に組み込まれています。AnyConnect クライアントソフトウェ
アを永続的にリモート PC 上に常駐させることも、接続の間だけ常駐させることもできます。
クライアントは、セキュリティアプライアンスにロードして、リモートユーザがセキュリティアプラ
イアンスにログインしたときに自動的に展開することも、PC 上のアプリケーションとして、ネット
ワーク管理者が標準のソフトウェア展開メカニズムを使用してインストールすることもできます。
AnyConnect のクライアントファイルと API パッケージは次の場所で入手できます。
http://www.cisco.com/cgi-bin/tablebuild.pl/anyconnect
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
1-7
第1章
AnyConnect の概要
AnyConnect のファイルとコンポーネント
Start Before Logon コンポーネントのインストール（Windows のみ）
表 1-2
Cisco AnyConnect VPN Client Download Software サイトでダウンロード可能なファイル
AnyConnectProfileEditor.zip
AnyConnect Profile Editor が格納された
Zip ファイル。
anyconnect-all-packages-AnyConnectRelease_Number-k9.zip
このリリースバージョンのすべてのクライ
アントインストールパッケージが格納され
た Zip ファイル。API は含まれていません。
anyconnect-dart-win-AnyConnectRelease_Number-k9.msi
Windows プラットフォーム用の DART を含
むスタンドアロン MSI パッケージ。
anyconnect-gina-win-AnyConnectRelease_Number-pre-deploy-k9-lang.zip
Windows Start Before Login 用の言語ローカ
リゼーション変換ファイル。
anyconnect-gina-win-AnyConnectRelease_Number-pre-deploy-k9.msi
Windows 2k/XP/Vista 用の Start Before
Login GINA モジュール。
anyconnect-gina-win-AnyConnectRelease_Number-web-deploy-k9-lang.zip
Windows Start Before の Web 展開用言語
ローカリゼーション変換ファイル。
anyconnect-linux-AnyConnectRelease_Number-k9.pkg
Linux プラットフォーム用の Web 展開パッ
ケージ。
anyconnect-linux-AnyConnectRelease_Number-k9.tar.gz
Linux プラットフォーム用のスタンドアロン
tarball パッケージ。
anyconnect-macosx-i386-AnyConnectRelease_Number-k9.dmg
Mac OS X Intel プラットフォーム用のスタ
ンドアロン DMG パッケージ。
anyconnect-macosx-i386-AnyConnectRelease_Number-k9.pkg
Mac OS X Intel プラットフォーム用の Web
展開パッケージ。
anyconnect-macosx-powerpc-AnyConnectRelease_Number-k9.dmg
Mac OS X PowerPC プラットフォーム用の
スタンドアロン DMG パッケージ。
anyconnect-macosx-powerpc-AnyConnectRelease_Number-k9.pkg
Mac OS X PowerPC プラットフォーム用の
Web 展開パッケージ。
anyconnect-no-dart-win-AnyConnectRelease_Number-k9.pkg
Windows プラットフォーム用の DART を含
まない Web 展開 MSI パッケージ。
anyconnect-win-AnyConnectRelease_Number-k9.pkg
Windows プラットフォーム用の Web 展開
パッケージ。
anyconnect-win-AnyConnectRelease_Number-pre-deploy-k9-lang.zip
Windows プラットフォームの展開前パッ
ケージ用言語ローカリゼーション変換ファ
イル。
anyconnect-win-AnyConnectRelease_Number-pre-deploy-k9.msi
Windows プラットフォーム用のスタンドア
ロン MSI パッケージ。
anyconnect-win-AnyConnectRelease_Number-web-deploy-k9-lang.zip
Windows プラットフォームの Web 展開パッ
ケージ用言語ローカリゼーション変換ファ
イル。
anyconnect-wince-ARMv4I-AnyConnectRelease_Number-k9.cab
Windows Mobile プラットフォーム用のスタ
ンドアロン CAB パッケージ（署名付き）。
anyconnect-wince-ARMv4I-AnyConnectRelease_Number-k9.pkg
Windows Mobile プラットフォーム用の Web
展開パッケージ。
anyconnect-wince-ARMv4I-activesync-AnyConnectRelease_Number-k9.msi Windows Mobile プラットフォーム用の
ActiveSync MSI パッケージ。
Cisco AnyConnect VPN Client アドミニストレータガイド
1-8
OL-20841-01-J
第1章
AnyConnect の概要
AnyConnect のファイルとコンポーネント
AnyConnect の WebLaunch 用にセキュリティアプライアンスを設定した場合、AnyConnect によって
コンポーネントが自動的に正しい順序で指定されます。それ以外の場合は、Start Before Logon コン
ポーネントを、コアクライアントのインストール後にインストールする必要があります。さらに、
AnyConnect 2.2 の Start Before Logon コンポーネントの場合は、バージョン 2.2 以降のコア
AnyConnect クライアントソフトウェアのインストールが必要です。AnyConnect クライアントの展開
前および MSI ファイルを使用した Start Before Logon コンポーネントの展開前の場合（Altiris、Active
Directory または SMS など独自のソフトウェア展開手段を持つ大企業の場合など）、コンポーネントを
正しい順序で指定する必要があります。
VPN クライアントコンピュータにインストールされる AnyConnect
ファイル
AnyConnect Client によって、次のファイルがローカルコンピュータにダウンロードされます。
表 1-3
エンドポイントの AnyConnect ファイル
ファイル
説明
anyfilename.xml
AnyConnect Client のプロファイル。このファイルは、特定のユーザタイ
プに対して設定される機能およびアトリビュート値を指定します。
AnyConnectProfile.tmpl AnyConnect Client ソフトウェアに付属する AnyConnect Client プロファ
イルの例。
AnyConnectProfile.xsd
XML スキーマフォーマットを指定。AnyConnect はこのファイルを使用
して、プロファイルを確認します。
AnyConnect によってこの 3 つのファイルが、次に示す同じディレクトリにダウンロードされます。
表 1-4
エンドポイントの AnyConnect ファイルのパス
OS
ディレクトリパス
Windows 7
C:¥Users¥username¥AppData¥Local¥Cisco¥Cisco AnyConnect VPN Client¥
Windows Vista C:¥Users¥username¥AppData¥Local¥Cisco¥Cisco AnyConnect VPN Client¥
Windows XP
C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco AnyConnect
VPN Client¥Profile¥
Mac OS X
/Users/username/.anyconnect
Linux
/home/username/.anyconnect
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
1-9
第1章
AnyConnect の概要
コンフィギュレーションおよび展開の概要
コンフィギュレーションおよび展開の概要
AnyConnect プロファイルエディタを使用して、プリファレンスファイルでクライアント機能を設定
してから、ユーザが Web ブラウザを使用して VPN に接続するときに、クライアントに連動して自動的
にこのファイルをアップロードするよう、セキュリティアプライアンスを設定します。プリファレン
スファイルによって、ユーザインターフェイスの表示が決まり、ホストコンピュータの名前とアドレ
スが定義されます。さまざまなプリファレンスファイルを作成し、セキュリティアプライアンスに設
定されたグループプロファイルに割り当てておくと、こうした機能に対してさまざまなアクセスを行
えるようになります。対応するグループプロファイルへの割り当てに従い、セキュリティアプライア
ンスは接続設定時に、ユーザのグループプロファイルに割り当てられた内容を自動的に実行します。
プロファイルによって、接続設定に関する基本情報が提供され、ユーザはそれを管理または変更するこ
とができません。AnyConnect クライアントのユーザプロファイルは、アクセス可能にするセキュア
ゲートウェイ（セキュリティアプライアンス）ホストを指定する XML ファイルです。さらに、プロ
ファイルで、追加の接続アトリビュートおよび制約が伝搬されます。
通常、各ユーザが 1 つのプロファイルファイルを使用します。このプロファイルには、ユーザが必要
とするすべてのホスト、および必要に応じて追加の設定が含まれます。場合によっては、特定のユーザ
に複数のプロファイルを割り当てたいことがあります。たとえば、複数の場所で作業するユーザは、複
数のプロファイルを必要とすることがあります。この場合、ユーザはドロップダウンリストから適切
なプロファイルを選択します。ただし、Start Before Login など、一部のプロファイル設定は、グロー
バルレベルで接続を制御します。ホストに固有のその他の設定は、選択したホストに依存します。
または、プリファレンスファイルとクライアントをアプリケーションと同様にコンピュータにインス
トールしておくか、ユーザが自分でインストールし、あとからアクセスできるようにする方法もありま
す。Windows Mobile では、この方法だけがサポートされています。
AnyConnect API
AnyConnect との VPN 接続を別のアプリケーションから自動的に行う場合は、次のように Application
Programming Interface（API）を使用します。
• プリファレンス
• トンネルグループ方式の設定
API パッケージには、マニュアル、ソースファイル、および Cisco AnyConnect VPN クライアント用
の C++ インターフェイスをサポートするライブラリが含まれています。Windows、Linux、および
Mac OS X のクライアント作成に使用できるライブラリとサンプルプログラムもあります。API パッ
ケージには Windows プラットフォーム用のプロジェクトファイル（Makefile）が付属しています。そ
の他のプラットフォームに対しては、プラットフォーム固有のスクリプトにサンプルコードのコンパ
イル方法が示されています。独自のアプリケーション（GUI、CLI、または組み込みアプリケーショ
ン）と、これらのファイルやバイナリをリンクすることができます。
Cisco AnyConnect VPN Client アドミニストレータガイド
1-10
OL-20841-01-J
C H A P T E R
2
AnyConnect クライアントを展開するための
セキュリティアプライアンスの設定
この章では、AnyConnect クライアントを展開するためのセキュリティアプライアンスを、ASDM を
使用して設定する方法について説明します。CLI を使用してセキュリティアプライアンスを設定する
方法については、『Cisco 5500 Series Adaptive Security Appliance CLI Configuration Guide』を参照し
てください。
この章は、次の項で構成されています。
• 「セキュリティアプライアンスによる AnyConnect クライアントの展開方法」（P.2-1）
• 「AnyConnect クライアントをインストールする前に」（P.2-2）
• 「AnyConnect クライアントのダウンロードのためのセキュリティアプライアンスの設定」（P.2-7）
• 「リモートユーザに対する AnyConnect クライアントダウンロードのプロンプト」（P.2-10）
• 「追加の AnyConnect 機能で使用するモジュールのイネーブル化」（P.2-12）
• 「証明書のみの認証の設定」（P.2-13）
セキュリティアプライアンスによる AnyConnect クライア
ントの展開方法
Cisco AnyConnect VPN クライアントには、リモートユーザ用として、セキュリティアプライアンス
へのセキュアな SSL 接続が用意されています。以前にインストールされたクライアントを持たないリ
モートユーザは、クライアントレス SSL VPN 接続を許可するよう設定されたインターフェイスのブラ
ウザに、IP アドレスまたは DNS 名を入力します。http:// リクエストを https:// リクエストにリダイレ
クトするようセキュリティアプライアンスが設定されていない場合、ユーザは https://<address> 形式
で URL を入力する必要があります。
URL を入力すると、ブラウザがそのインターフェイスに接続して、ログイン画面が表示されます。
ユーザがログインと認証に成功し、クライアントを必要とするユーザであることがセキュリティアプ
ライアンスによって確認されると、リモートコンピュータのオペレーティングシステムに応じたクラ
イアントがダウンロードされます。ダウンロード後、クライアントがインストールおよび設定され、セ
キュア SSL 接続が確立されます。接続終了時にクライアントが維持されるか、アンインストールされ
るかは、セキュリティアプライアンスの設定で決まります。
以前にインストールされたクライアントの場合は、ユーザの認証時にセキュリティアプライアンスが
クライアントのバージョンを調べて、必要に応じてクライアントをアップグレードします。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
2-1
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
AnyConnect クライアントをインストールする前に
クライアントがセキュリティアプライアンスとの SSL VPN をネゴシエートするときに、クライアント
は Datagram Transport Layer Security（DTLS ）を使用した接続の使用を試みます。DTLS では、一部
の SSL 接続で発生する遅延と帯域幅の問題が防止され、パケット遅延の影響を受けやすいリアルタイ
ムアプリケーションのパフォーマンスが向上します。DTLS 接続を確立できない場合は、Transport
Layer Security（TLS）にフォールバックします。
セキュリティアプライアンスは、グループポリシー、または接続を確立したユーザのユーザ名アトリ
ビュートに基づいて、クライアントをダウンロードします。セキュリティアプライアンスは、自動的
にクライアントをダウンロードするよう設定することも、クライアントをダウンロードするかどうかを
リモートユーザに尋ねるよう設定することもできます。後者の場合は、ユーザからの返答がない場合
に、タイムアウト期間後にクライアントをダウンロードするようセキュリティアプライアンスを設定
することも、ログインページを表示するよう設定することもできます。
AnyConnect クライアントをインストールする前に
次の項では、AnyConnect クライアントを正しくインストールするための推奨事項、および証明書、
Cisco Security Agent（CSA）、信頼済みサイトの追加、ブラウザのアラートへの対処方法について説明
しています。
• 「AnyConnect クライアントの自動インストール方法」（P.2-2）
• 「AnyConnect クライアントと新規インストールされた Windows 2000」（P.2-3）
• 「信頼済みサイトのリストへのセキュリティアプライアンスの追加（IE）」（P.2-4）
• 「ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加」（P.2-4）
AnyConnect クライアントの自動インストール方法
クライアント PC に AnyConnect クライアントソフトウェアを自動インストールする際には、次の推奨
事項と警告が適用されます。
• AnyConnect クライアントのセットアップ中のユーザへのプロンプトを最小限にするには、クライ
アント PC 上とセキュリティアプライアンス上の証明書データを一致させます。
– セキュリティアプライアンス上の証明書に対して Certificate Authority（CA; 認証局）を使用
する場合は、クライアントマシン上で信頼済み CA として設定されたものを選択します。
– セキュリティアプライアンス上で自己署名証明書を使用する場合は、それを信頼済みルート
証明書としてクライアントにインストールしておきます。
手順はブラウザによって異なります。この項の次の手順を参照してください。
– セキュリティアプライアンスの証明書の Common Name（CN; 通常名）と、クライアントが
接続に使用する名前が一致していることを確認します。デフォルトでは、セキュリティアプ
ライアンスの証明書の CN フィールドは IP アドレスになっています。クライアントが DNS 名
を使用する場合は、セキュリティアプライアンスの証明書の CN フィールドをその名前に変更
します。
証明書に Subject Alternate Name（SAN）が含まれている場合、ブラウザは [ サブジェクト
（Subject）] フィールドの CN 値を無視し、SAN フィールドの DNS 名を調べます。
ユーザがホスト名を使用して ASA に接続する場合は、SAN に ASA のホスト名とドメイン名
が含まれている必要があります。たとえば、SAN フィールドが
DNS Name=hostname.domain.com となっている必要があります。
Cisco AnyConnect VPN Client アドミニストレータガイド
2-2
OL-20841-01-J
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
AnyConnect クライアントをインストールする前に
ユーザが IP アドレスを使用して ASA に接続する場合は、SAN に ASA の IP アドレスが含ま
れている必要があります。たとえば、SAN フィールドが DNS Name=209.165.200.254 となっ
ている必要があります。
• AnyConnect クライアントのインストール中に、Cisco Security Agent（CSA）から警告が表示さ
れることがあります。
現在出荷中のバージョンの CSA は、AnyConnect クライアントと互換性のある組み込みルールを持っ
ていません。CSA バージョン 5.0 以降を使用すると、次の手順により次のルールを作成できます。
ステップ 1
ルールモジュール「Cisco Secure Tunneling Client Module」に次の FACL を追加します。
Priority Allow, no Log, Description: “Cisco Secure Tunneling Browsers, read/write
vpnweb.ocx”
Applications in the following class: “Cisco Secure Tunneling Client - Controlled Web
Browsers”
Attempt: Read file, Write File
すべての @SYSTEM\vpnweb.ocx ファイルで、次のことを行います。
ステップ 2
アプリケーションクラス「Cisco Secure Tunneling Client - Installation Applications」に次のプロセス
名を追加します。
**\vpndownloader.exe
@program_files\**\Cisco\Cisco AnyConnect VPN Client\vpndownloader.exe
将来のバージョンの CSA には、このルールが組み込まれる予定です。
Microsoft Internet Explorer（MSIE）ユーザは、信頼済みサイトリストにセキュリティアプライアン
スを追加するか、Java をインストールすることを推奨します。Java をインストールすると、インス
トールに対して ActiveX コントロールが有効になり、ユーザの操作が最小限で済みます。セキュリ
ティが強化された Windows XP SP2 のユーザにとって、このことは非常に重要です。Windows Vista
ユーザは、信頼済みサイトのリストにセキュリティアプライアンスを追加し、ダイナミック展開機能
を使用する必要があります。信頼済みサイトのリストにセキュリティアプライアンスを追加する方法
については、『Cisco AnyConnect VPN Client アドミニストレータガイド』を参照してください。
Microsoft Active Directory を使用して、Internet Explorer の信頼済みサイトリストにセキュリティア
プライアンスを追加する方法については、
『Cisco AnyConnect VPN Client アドミニストレータガイド』
の「付録 B」を参照してください。
AnyConnect クライアントと新規インストールされた Windows 2000
ごくまれに、Windows 2000 が新規インストールまたはクリーンインストールされたコンピュータに
AnyConnect クライアントをインストールした場合、AnyConnect クライアントが接続に失敗し、コン
ピュータに次のメッセージが表示されることがあります。
The required system DLL (filename) is not present on the system.
これが発生するのは、コンピュータの winnt\system32 ディレクトリにファイル MSVCP60.dll または
MSVCRT.dll がない場合です。この問題の詳細については、Microsoft サポート情報の記事 259403
（http://support.microsoft.com/kb/259403）を参照してください。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
2-3
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
AnyConnect クライアントをインストールする前に
信頼済みサイトのリストへのセキュリティアプライアンスの追加（IE）
セキュリティアプライアンスを信頼済みサイトのリストに追加するには、Microsoft Internet Explorer
を使用して、次の手順を実行します。
（注）
ステップ 1
これは、Windows Vista で WebLaunch を使用して実行する必要があります。
[ ツール（Tools）]、[ インターネットオプション（Internet Options）] の順に選択します。
[ インターネットオプション（Internet Options）] ウィンドウが開きます。
ステップ 2
[ セキュリティ（Security）] タブをクリックします。
ステップ 3
[ 信頼済みサイト（Trusted Sites）] アイコンをクリックします。
ステップ 4
[ サイト（Sites）] をクリックします。
[ 信頼済みサイト（Trusted Sites）] ウィンドウが開きます。
ステップ 5
セキュリティアプライアンスのホスト名または IP アドレスを入力します。複数のサイトをサポートす
るには、https://*.yourcompany.com のようなワイルドカードを使用します。この例では、
yourcompany.com ドメイン内のすべての ASA 5500 が許可されます。
ステップ 6
[ 追加（Add）] をクリックします。
ステップ 7
[OK] をクリックします。
[ 信頼済みサイト（Trusted Sites）] ウィンドウが閉じます。
ステップ 8
[ インターネットオプション（Internet Options）] ウィンドウで [OK] をクリックします。
ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加
ここでは、ブラウザの警告ウィンドウへの対応として、自己署名証明書を信頼済みルート証明書として
クライアントにインストールする方法について説明します。
Microsoft Internet Explorer の [ セキュリティの警告（Security Alert）] ウィンドウへの対応
ここでは、Microsoft Internet Explorer の [ セキュリティの警告（Security Alert）] ウィンドウへの対応
として、自己署名証明書を信頼済みルート証明書としてクライアントにインストールする方法について
説明します。このウィンドウは、Microsoft Internet Explorer で、信頼済みサイトとして認識されない
セキュリティアプライアンスへの接続が確立したときに開きます。[ セキュリティの警告（Security
Alert）] ウィンドウの上半分には、次のテキストが表示されます。
Information you exchange with this site cannot be viewed or changed by others.
However, there is a problem with the site's security certificate. The security
certificate was issued by a company you have not chosen to trust. View the certificate
to determine whether you want to trust the certifying authority.
次の手順に従って、信頼済みルート証明書として証明書をインストールします。
ステップ 1
[ セキュリティの警告（Security Alert）] ウィンドウの [ 証明書の表示（View Certificate）] をクリック
します。
[ 証明書（Certificate）] ウィンドウが開きます。
ステップ 2
[ 証明書のインストール（Install Certificate）] をクリックします。
Cisco AnyConnect VPN Client アドミニストレータガイド
2-4
OL-20841-01-J
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
AnyConnect クライアントをインストールする前に
[ 証明書のインポートウィザードの開始（Certificate Import Wizard Welcome）] が開きます。
ステップ 3
[ 次へ（Next）] をクリックします。
[ 証明書インポートウィザード（Certificate Import Wizard）] - [ 証明書ストア（Certificate Store）]
ウィンドウが開きます。
ステップ 4
[ 証明書の種類に基づいて、自動的に証明書ストアを選択する（Automatically select the certificate
store based on the type of certificate）] をクリックします。
ステップ 5
[ 次へ（Next）] をクリックします。
[ 証明書インポートウィザードの完了（Certificate Import Wizard - Completing）] ウィンドウが開きま
す。
ステップ 6
ステップ 7
[ 完了（Finish）] をクリックします。
別の [ セキュリティ警告（Security Warning）] ウィンドウで「この証明書をインストールしますか ?
（Do you want to install this certificate?）」というメッセージが表示されるので、[ はい（Yes）] をク
リックします。
[ 証明書のインポートウィザード（Certificate Import Wizard）] ウィンドウに、インポートが成功した
というメッセージが表示されます。
ステップ 8
[OK] をクリックして、このウィンドウを閉じます。
ステップ 9
[OK] をクリックして、[ 証明書（Certificate）] ウィンドウを閉じます。
ステップ 10
[ はい（Yes）] をクリックして、[ セキュリティの警告（Security Alert）] ウィンドウを閉じます。
セキュリティアプライアンスのウィンドウが開き、証明書が信頼されたというメッセージが表示され
ます。
Netscape、Mozilla、または Firefox の [ 未知の認証局により証明（Certified by an Unknown
Authority）] ウィンドウへの対応
ここでは、[Web サイトが未知の認証局により証明されています（Web Site Certified by an Unknown
Authority）] ウィンドウへの対応として、自己署名証明書を信頼済みルート証明書としてクライアント
にインストールする方法について説明します。このウィンドウは、Netscape、Mozilla、または Firefox
で、信頼済みサイトとして認識されないセキュリティアプライアンスへの接続が確立したときに開き
ます。このウィンドウには、次のテキストが表示されます。
Unable to verify the identity of <Hostname_or_IP_address> as a trusted site.
次の手順に従って、信頼済みルート証明書として証明書をインストールします。
ステップ 1
[Web サイトが未知の認証局により証明されています（Web Site Certified by an Unknown Authority）]
ウィンドウの [ 証明書を審査する（Examine Certificate）] ボタンをクリックします。
[ 証明書ビューア（Certificate Viewer）] ウィンドウが開きます。
ステップ 2
[ 今後この証明書を受け入れる（Accept this certificate permanently）] オプションをクリックします。
ステップ 3
[OK] をクリックします。
セキュリティアプライアンスのウィンドウが開き、証明書が信頼されたというメッセージが表示され
ます。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
2-5
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
AnyConnect クライアントをインストールする前に
インストールする AnyConnect クライアントファイルの入手先
すべての AnyConnect クライアントは次の場所に保存されています。
http://www.cisco.com/cgi-bin/tablebuild.pl/anyconnect
AnyConnect クライアントのパッケージは次のとおりです。
• anyconnect-win-2.3.0254-k9.pkg：AnyConnect、vpngina、DART が含まれています。
• anyconnect-no-dart-win-2.3.0254-k9.pkg：AnyConnect、vpngina が含まれますが、DART は含ま
れていません。
同じ場所で、次の AnyConnect ファイルもダウンロードおよびロードできます。
• AnyConnect 変換ファイル：anyconnect.po_2.3.0254.zip
• AnyConnect API：anyconnect_API_2.3.0254.zip
• DART（Diagnostic AnyConnect Reporting Tool）：DART が含まれるダウンロードファイルには、
次のものがあります。
– anyconnect-win-2.3.00254-k9.pkg：AnyConnect、vpngina、DART が含まれています。
– anyconnect-dart-win.msi：DART インストールパッケージだけが含まれ、AnyConnect また
は vpngina ソフトウェアは含まれていません。
（注）
ダウンロードファイル anyconnect-no-dart-win-2.3.0254-k9.pkg には AnyConnect および
vpngina ソフトウェアが含まれますが、DART は含まれていません。
DART の zip ファイル内には msi が格納されており、他の MS msi と同様に展開およびインストー
ルできます。DART によって、[ スタート（Start）] -> [ すべてのプログラム（All Programs）] ->
[Cisco] -> [Cisco DART] にプログラムグループが作成されます。デフォルトでは、
「DARTBundle.zip」という名前のデスクトップアイコンから出力ファイルを使用できます。
複数の AnyConnect クライアントイメージをロードする場合の接続時間
の短縮方法
複数の AnyConnect クライアントイメージをセキュリティアプライアンスにロードする場合は、リ
モートユーザ数が最大のときに接続時間が最短になる順序で、イメージをロードする必要があります。
セキュリティアプライアンスは、オペレーティングシステムと一致するまで、クライアントイメージ
の一部をリモートコンピュータにダウンロードしていきます。イメージのダウンロードは、リストの
上から順に行われます。そのため、リモートコンピュータで最も多く使用されているオペレーティン
グシステムと一致するイメージを、リストの先頭に指定する必要があります。
モバイルユーザは接続速度が遅いため、Windows Mobile 用の AnyConnect クライアントイメージを
リストの最初でロードする必要があります。
モバイルユーザに対しては、正規表現キーワードを使用して、モバイルデバイスの接続時間を短縮す
ることができます。ブラウザは適応型セキュリティアプライアンスに接続するときに、HTTP ヘッ
ダーにユーザエージェント文字列を含めます。適応型セキュリティアプライアンスはその文字列を受
け取ると、その文字列がイメージに対して設定された表現と一致した場合に、他のクライアントイ
メージをテストすることなく、すぐにそのイメージをダウンロードします。
Cisco AnyConnect VPN Client アドミニストレータガイド
2-6
OL-20841-01-J
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
AnyConnect クライアントのダウンロードのためのセキュリティアプライアンスの設定
AnyConnect クライアントのダウンロードのためのセキュ
リティアプライアンスの設定
AnyConnect クライアントを展開するようセキュリティアプライアンスを準備するには、次の手順に従
います。
ステップ 1
Cisco.com から最新の AnyConnect クライアントパッケージをダウンロードします。
ソフトウェアのダウンロードページは次の場所にあります。
http://www.cisco.com/cgi-bin/tablebuild.pl/anyconnect
ステップ 2
AnyConnect クライアントパッケージを SSL VPN クライアントとして指定します。
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワークアクセ
ス（Network Access）] > [ 詳細（Advanced ）] > [SSL VPN] > [ クライアント設定（Client Settings）]
を選択します。[SSL VPN クライアント設定（SSL VPN Client Settings）] パネルが表示されます
（図 2-1）。
このパネルには、クライアントイメージとして認識された AnyConnect クライアントファイルが一覧
表示されます。この表に表示される順序は、セキュリティアプライアンスがリモートコンピュータに
ファイルをダウンロードする順序を反映しています。
クライアントイメージを追加するには、[SSL VPN クライアントイメージ（SSL VPN Client Images）]
領域で [ 追加（Add）] をクリックします。Cisco.com からダウンロードしたファイルの名前を入力し、
[ アップロード（Upload）] をクリックします。コンピュータ内でファイルを参照することもできます。
図 2-1
AnyConnect クライアントイメージの指定
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
2-7
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
AnyConnect クライアントのダウンロードのためのセキュリティアプライアンスの設定
ステップ 3
アドレスの割り当て方式を設定します。
DHCP や、ユーザが割り当てたアドレス指定を使用できます。ローカル IP アドレスプールを作成し、
そのプールをトンネルグループに割り当てる方法もあります。このガイドでは、一般的なアドレス
プール方式を例として使用します。
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（ク
ライアント）アクセス（Network (Client) Access）] > [ アドレス割り当て（Address Assignment）] >
[ アドレスプール（Address Pools）] を選択します（図 2-2）。[IP プールの追加（Add IP Pool）] ウィ
ンドウにアドレスプール情報を入力します。
図 2-2
[IP プールの追加（Add IP Pool）] ダイアログ
Cisco AnyConnect VPN Client アドミニストレータガイド
2-8
OL-20841-01-J
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
AnyConnect クライアントのダウンロードのためのセキュリティアプライアンスの設定
ステップ 4
クライアントダウンロードを有効にし、接続プロファイルでアドレスプールを割り当てます。
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クラ
イアント）アクセス（Network (Client) Access）] > [AnyConnect 接続プロファイル（AnyConnect
Connection Profiles）] を選択します。（図 2-3）の矢印に従って AnyConnect クライアントを有効にし
てから、アドレスプールを割り当てます。
図 2-3
SSL VPN クライアントダウンロードの有効化
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
2-9
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
リモートユーザに対する AnyConnect クライアントダウンロードのプロンプト
ステップ 5
グループポリシーで許可された VPN トンネリングプロトコルとして SSL VPN を指定します。
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クラ
イアント）アクセス（Network (Client) Access）] > [ グループポリシー（Group Policies）] を選択し
ます。[ グループポリシー（Group Policies）] パネルが表示されます。図 2-4 の矢印に従って、グルー
プの SSL VPN を有効にします。
図 2-4
トンネリングプロトコルとしての SSL VPN の指定
リモートユーザに対する AnyConnect クライアントダウン
ロードのプロンプト
デフォルトでは、リモートユーザがブラウザを使用して最初に接続したときに、セキュリティアプラ
イアンスは AnyConnect クライアントをダウンロードしません。ユーザの認証後、デフォルトのクライ
アントレスポータルページに [AnyConnect クライアントの起動（Start AnyConnect Client）] ドロ
ワーが表示され、ユーザがクライアントのダウンロードを選択できるようになっています。または、ク
ライアントレスポータルページを表示することなく、すぐにクライアントをダウンロードするようセ
キュリティアプライアンスを設定できます。
リモートユーザにプロンプトを表示し、設定された時間内にクライアントをダウンロードするか、ク
ライアントレスポータルページを表示するかを選択できるよう、セキュリティアプライアンスを設定
することもできます。
この機能は、グループポリシーまたはユーザに対して設定できます。このようなログイン設定を変更
するには、次の手順に従ってください。
Cisco AnyConnect VPN Client アドミニストレータガイド
2-10
OL-20841-01-J
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
リモートユーザに対する AnyConnect クライアントダウンロードのプロンプト
ステップ 1
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クラ
イアント）アクセス（Network (Client) Access）] > [ グループポリシー（Group Policies）] を選択し
ます。グループポリシーを選択して、[ 編集（Edit）] をクリックします。[ 内部グループポリシーの編
集（Edit Internal Group Policy）] ウィンドウが表示されます（図 2-5）。
ステップ 2
ナビゲーションペインで、[ 詳細（Advanced）] > [SSL VPN クライアント（SSL VPN Client）] > [ ロ
グイン設定（Login Settings）] を選択します。[ ログイン後の設定（Post Login settings）] が表示され
ます。必要に応じて [ 継承（Inherit）] チェックボックスを選択解除し、[ ログイン後の設定（Post
Login setting）] を選択します。
ユーザにプロンプトを表示する場合は、タイムアウト時間を指定し、その時間経過後のデフォルト動作
を [ ログイン後のデフォルト動作選択（Default Post Login Selection）] で選択します。
図 2-5
ステップ 3
ログイン設定の変更
[OK] をクリックし、変更をグループポリシーに適用します。
図 2-6 は、[ ユーザに選択のプロンプトを表示（Prompt user to choose）] と [SSL VPN クライアントを
ダウンロード（Download SSL VPN Client）] を選択した場合に、リモートユーザに表示されるプロン
プトを示しています。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
2-11
第2章
追加の AnyConnect 機能で使用するモジュールのイネーブル化
図 2-6
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
リモートユーザに表示されるログイン後プロンプト
追加の AnyConnect 機能で使用するモジュールのイネーブ
ル化
AnyConnect クライアント用に新しい機能がリリースされた場合、リモートユーザが新しい機能を使用
できるように、リモートユーザの AnyConnect クライアントをアップデートする必要があります。ダ
ウンロード時間を最小にするため、AnyConnect クライアントは、サポートする各機能に必要なモ
ジュールの（セキュリティアプライアンスからの）ダウンロードだけを要求します。
新しい機能をイネーブルにするには、グループポリシーまたはユーザ名の設定の一部として、新しい
モジュール名を指定する必要があります。グループポリシーのモジュールダウンロードを有効にする
には、次の手順に従います。
ステップ 1
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クラ
イアント）アクセス（Network (Client) Access）] > [ グループポリシー（Group Policies）] を選択し
ます。グループポリシーを選択して、[ 編集（Edit）] をクリックします。[ 内部グループポリシーの編
集（Edit Internal Group Policy）] ウィンドウが表示されます（図 2-7）。
ステップ 2
ナビゲーションペインで、[ 詳細（Advanced）] > [SSL VPN クライアント（SSL VPN Client）] を選
択します。[ ダウンロードするオプションのクライアントモジュール（Optional Client Module to
Download）] のドロップリストをクリックし、モジュールを選択します。
Cisco AnyConnect VPN Client アドミニストレータガイド
2-12
OL-20841-01-J
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
証明書のみの認証の設定
図 2-7
ステップ 3
ダウンロードするオプションのクライアントモジュールの指定
[OK] をクリックし、変更をグループポリシーに適用します。
[Start Before Logon] を選択した場合は、AnyConnect クライアントプロファイルでもこのクライアン
ト機能を有効にする必要があります。詳細については、「AnyConnect クライアント機能の設定」を参
照してください。
証明書のみの認証の設定
ユーザ名とパスワードを使用して AAA でユーザを認証するか、デジタル証明書で認証するか（また
は、その両方を使用するか）を指定する必要があります。証明書のみの認証を設定すると、ユーザはデ
ジタル証明書で接続でき、ユーザ ID とパスワードを入力する必要がなくなります。
証明書のみの認証は、接続プロファイルの中で設定できます。この設定を有効にするには、次の手順に
従います。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
2-13
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
証明書のみの認証の設定
ステップ 1
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クラ
イアント）アクセス（Network (Client) Access）] > [AnyConnect 接続プロファイル（AnyConnect
Connection Profiles）] を選択します。接続プロファイルを選択し、[ 編集（Edit）] をクリックします。
[SSL VPN 接続プロファイルの編集（Edit SSL VPN Connection Profile）] ウィンドウが表示されます
（図 2-8）。
図 2-8
ステップ 2
ステップ 3
証明書のみの認証の設定
[ 認証（Authentication）] エリアで方式として [ 証明書（Certificate）] を指定します。
（省略可能）インターフェイスに特定の証明書を割り当てることができます。[ クライアント証明書が必
要（Require Client Certificate）] をクリックします（図 2-9）。
Cisco AnyConnect VPN Client アドミニストレータガイド
2-14
OL-20841-01-J
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
証明書のみの認証の設定
図 2-9
ステップ 4
インターフェイスで証明書が必要
（省略可能）各インターフェイスで SSL 認証に使用する証明書があれば、その証明書を指定できます。
特定のインターフェイスに対して証明書を指定しない場合、フォールバック証明書が使用されます。
そのためには、[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ 詳細
（Advanced）] > [SSL 設定（SSL Settings）] を選択します。[ 証明書（Certificates）] エリアで、イン
ターフェイスを選択して [ 編集（Edit）] をクリックします。[SSL 証明書の選択（Select SSL
Certificate）] ウィンドウが表示されます（図 2-10）。ドロップリストから証明書を選択します。[OK]
をクリックし、変更を適用します。
図 2-10
インターフェイスの証明書の指定
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
2-15
第2章
AnyConnect クライアントを展開するためのセキュリティアプライアンスの設定
証明書のみの認証の設定
Cisco AnyConnect VPN Client アドミニストレータガイド
2-16
OL-20841-01-J
C H A P T E R
3
AnyConnect クライアント機能の設定
AnyConnect クライアントには、クライアント機能をイネーブルにして設定する 2 つのファイルがあり
ます。1 つは AnyConnect クライアントプロファイルで、もう 1 つは AnyConnect ローカルポリシー
です。この章では、AnyConnect クライアント機能について説明し、プロファイル、ローカルポリ
シー、およびセキュリティアプライアンスでこの機能をイネーブルにする方法について説明します。
AnyConnect クライアントプロファイル
AnyConnect プロファイルは、クライアントのインストールおよびアップデートの際にセキュリティア
プライアンスによって展開される XML ファイルで、接続確立に関する基本情報、および Start Before
Logon（SBL）などの拡張機能を提供します。ユーザはプロファイルを管理または修正できません。
すべての AnyConnect クライアントユーザに対してグローバルにプロファイルを展開するようにセ
キュリティアプライアンスを設定することも、ユーザのグループポリシーに基づいてプロファイルを
展開するように設定することもできます。通常、各ユーザが 1 つのプロファイルファイルを使用しま
す。このプロファイルには、ユーザが必要とするすべてのホスト、および必要に応じて追加の設定が含
まれます。場合によっては、特定のユーザに複数のプロファイルを割り当てたいことがあります。たと
えば、複数の場所で作業するユーザは、複数のプロファイルを必要とすることがあります。この場合、
ユーザはドロップダウンリストから適切なプロファイルを選択します。Start Before Login など、一部
のプロファイル設定は、グローバルレベルで接続を制御します。ホストに固有のその他の設定は、選
択したホストに依存します。
AnyConnect ローカルポリシー
AnyConnect ローカルポリシーは、AnyConnect VPN クライアントの追加のセキュリティパラメータ
を指定します。これには、Federal Information Processing Standard（FIPS; 連邦情報処理標準）レベル
1 準拠モードでの動作が含まれます。AnyConnect ローカルポリシーのその他のパラメータは、リモー
トアップデートを禁止して中間者攻撃を防いだり、管理者またはルート以外のユーザがクライアント
設定を修正できないようにすることによって、セキュリティを高めます。クライアントプロファイル
と異なり、ローカルポリシーはセキュリティアプライアンスによって展開されません。そのため、企
業のソフトウェア展開システムによって展開する必要があります。
この章の最初の 2 つの項では、AnyConnect クライアントプロファイルまたはローカルポリシーの変
更方法について説明します。
• 「AnyConnect クライアントプロファイルの設定と展開」（P.3-2）
• 「AnyConnect ローカルポリシーの設定」（P.3-8）
ここでは、各クライアント機能について説明し、AnyConnect クライアントプロファイル、ローカル
ポリシー、およびセキュリティアプライアンスソフトウェアに対する必要な変更について説明します。
• 「Start Before Logon の設定」（P.3-10）
• 「FIPS と追加セキュリティのイネーブル化」（P.3-20）
• 「Trusted Network Detection のイネーブル化」（P.3-26）
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-1
第3章
AnyConnect クライアント機能の設定
AnyConnect クライアントプロファイルの設定と展開
• 「証明書ストアの設定」（P.3-28）
• 「Simplified Certificate Enrollment Protocol の設定」（P.3-31）
• 「証明書照合の設定」（P.3-39）
• 「認証証明書選択のプロンプト」（P.3-45）
• 「バックアップサーバリストパラメータの設定」（P.3-47）
• 「Windows Mobile のポリシー設定」（P.3-48）
• 「サーバリストの設定」（P.3-54）
• 「DNS フォールバックの分割」（P.3-56）
• 「スクリプト化」（P.3-57）
• 「プロキシサポート」（P.3-62）
• 「Windows ユーザのための、RDP セッションからの AnyConnect セッションの許可」（P.3-63）
• 「AnyConnect over L2TP または PPTP」（P.3-64）
AnyConnect クライアントプロファイルの設定と展開
AnyConnect クライアントプロファイルは、エンドポイントのファイルシステムにキャッシュされる
XML ファイルです。このファイルで XML タグとして表されるクライアントパラメータは、VPN
セッションを確立してクライアント機能をイネーブルにする VPN セキュリティアプライアンスを指定
します。
XML プロファイルは、テキストエディタで作成し、保存できます。クライアントのインストールには
1 つのプロファイルテンプレート（AnyConnectProfile.tmpl）が含まれていて、これをコピーして名前
を変更し、XML ファイルとして保存してから、別のプロファイルファイルを作成する基本として使用
できます。
プロファイルファイルは、セキュリティアプライアンスからリモートユーザの PC のディレクトリ
C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥Profile
にダウンロードされます。Windows Vista の場合は場所が少し異なり、C:¥ProgramData¥Cisco¥Cisco
AnyConnect VPN Client¥Profile になります。リモート PC にダウンロードする準備として、まず、プ
ロファイルをセキュリティアプライアンスにインポートする必要があります。プロファイルは、
ASDM またはコマンドラインインターフェイスでインポートできます。AnyConnect クライアントに
よって自動的にダウンロードされる AnyConnectProfile.tmpl ファイルは、AnyConnect プロファイル
のサンプルです。
（注）
プロファイルのクライアント初期化パラメータをクライアント設定に適用するには、ユーザが接続して
いるセキュリティアプライアンスが、そのプロファイルにホストエントリとして含まれている必要が
あります。セキュリティアプライアンスのアドレスまたは FQDN をホストエントリとしてプロファイ
ルに追加していない場合、フィルタがセッションに適用されません。たとえば、証明書照合を作成し、
証明書が基準と適切に一致した場合でも、プロファイルにセキュリティアプライアンスをホストエン
トリとして追加しなかった場合、この証明書の一致は無視されます。プロファイルへのホストエント
リの追加の詳細については、「サーバリストの設定」（P.3-54）を参照してください。
ここでは、次の内容について説明します。
• 「デフォルトのクライアントプロファイル」（P.3-3）
• 「クライアントプロファイルの編集」（P.3-4）
• 「プロファイルの XML の確認」（P.3-5）
Cisco AnyConnect VPN Client アドミニストレータガイド
3-2
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
AnyConnect クライアントプロファイルの設定と展開
• 「AnyConnect クライアントへのクライアントプロファイルの展開」（P.3-6）
デフォルトのクライアントプロファイル
プロファイルアトリビュートを設定するには、XML プロファイルテンプレートを変更し、独自の
ファイル名で保存します。このプロファイルファイルを任意の時点でエンドユーザに配布します。配
布メカニズムは、ソフトウェアの配布に組み込まれます。
次の例は、AnyConnect プロファイルファイルのサンプルを示しています。太字の値は、修正してプロ
ファイルをカスタマイズ可能です。この例では、読みやすくするために、大きなグループを空白行で区
切っています。この空白行は、実際のプロファイルには挿入しないでください。
注意
本書の例をカットアンドペーストしないでください。カットアンドペーストすると、改行が入り、
XML が機能しなくなることがあります。代わりに、プロファイルテンプレートファイルをテキス
トエディタ（メモ帳やワードパッドなど）で開いてください。
<?xml version="1.0" encoding="UTF-8" ?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="false">false</UseStartBeforeLogon>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<AutoReconnect UserControllable="true">
true
<AutoReconnectBehavior
UserControllable="false">ReconnectAfterResume</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
<CertificateMatch>
<KeyUsage>
<MatchKey>Non_Repudiation</MatchKey>
<MatchKey>Digital_Signature</MatchKey>
</KeyUsage>
<ExtendedKeyUsage>
<ExtendedMatchKey>ClientAuth</ExtendedMatchKey>
<ExtendedMatchKey>ServerAuth</ExtendedMatchKey>
<CustomExtendedMatchKey>1.3.6.1.5.5.7.3.11</CustomExtendedMatchKey>
</ExtendedKeyUsage>
<DistinguishedName>
<DistinguishedNameDefinition Operator="Equal" Wildcard="Enabled"
MatchCase="Enabled">
<Name>CN</Name>
<Pattern>ASASecurity</Pattern>
</DistinguishedNameDefinition>
</DistinguishedName>
</CertificateMatch>
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-3
第3章
AnyConnect クライアント機能の設定
AnyConnect クライアントプロファイルの設定と展開
<BackupServerList>
<HostAddress>asa-02.cisco.com</HostAddress>
<HostAddress>192.168.1.172</HostAddress>
</BackupServerList>
<MobilePolicy>
<DeviceLockRequired MaximumTimeoutMinutes="60" MinimumPasswordLength="4"
PasswordComplexity="pin" />
</MobilePolicy>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>CVC-ASA-01</HostName>
<HostAddress>CVC-ASA-01.example.com</HostAddress>
<UserGroup>StandardUser</UserGroup>
<BackupServerList>
<HostAddress>cvc-asa-02.example.com</HostAddress>
<HostAddress>cvc-asa-03.example.com</HostAddress>
</BackupServerList>
</HostEntry>
</ServerList>
</AnyConnectProfile>
クライアントプロファイルの編集
クライアントインストールから、プロファイルファイル（AnyConnectProfile.xml）のコピーを取得し
ます。コピーを作成し、そのコピーの名前をわかりやすい名前に変更してください。または、既存のプ
ロファイルを修正することもできます。表「エンドポイントの AnyConnect ファイルのパス」に、サ
ポート対象オペレーティングシステムごとのプロファイルパスを示します。
プロファイルファイルを編集します。次の例で、Windows のプロファイルファイル
（AnyConnectProfile.xml）の内容を示します。
<?xml version="1.0" encoding="UTF-8"?>
<!-This is a template file that can be configured to support the
identification of secure hosts in your network.
The file needs to be renamed to CiscoAnyConnectProfile.xml.
The svc profiles command imports updated profiles for downloading to
client machines.
-->
<Configuration>
<ClientInitialization>
<UseStartBeforeLogon>false</UseStartBeforeLogon>
</ClientInitialization>
<HostEntry>
<HostName></HostName>
<HostAddress></HostAddress>
</HostEntry>
<HostEntry>
<HostName></HostName>
<HostAddress></HostAddress>
</HostEntry>
</Configuration>
Cisco AnyConnect VPN Client アドミニストレータガイド
3-4
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
AnyConnect クライアントプロファイルの設定と展開
HostName には、ユーザ用のセキュアゲートウェイまたはクラスタを指定します。これは、ユーザ
GUI の [ 接続（Connection）] タブの [ 接続先（Connect to）] ドロップダウンリストに表示されます。
任意の名前を使用できます。HostAddress には、接続するセキュアゲートウェイの実際のホスト名とド
メイン（hostname.example.com など）を指定します（この値には IP アドレスも指定できますが、推
奨されません）。HostName の値は、HostAddress 値のホスト名部分と同じにすることができますが、
親タグの HostEntry によってこれらの値が関連付けられるため、必ずしも一致させる必要はありませ
ん。ただし、両方の子タグのホスト名を一致させると、管理者による VPN 接続のテストおよびトラブ
ルシューティングが簡単になります。
<HostEntry>
<HostName>Sales_gateway</HostName>
<HostAddress>Sales_gateway.example.com</HostAddress>
</HostEntry>
（注）
本書の例をカットアンドペーストしないでください。カットアンドペーストすると、改行が入り、
XML が機能しなくなることがあります。代わりに、プロファイルテンプレートファイルをテキスト
エディタ（メモ帳やワードパッドなど）で開いてください。
ワークステーションに AnyConnect をインストールした後、次の場所に表示されるテンプレートを使用
します。¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco AnyConnect VPN
Client¥Profile¥AnyConnectProfile.tmpl
プロファイルの XML の確認
作成した AnyConnect クライアントプロファイルの XML を確認することは重要です。オンライン確
認ツールまたは ASDM のプロファイルインポート機能を使用します。確認のために、プロファイルテ
ンプレートと同じディレクトリにある AnyConnectProfile.xsd を使用できます。この .xsd ファイルは、
クライアントプロファイルの XML スキーマ定義で、セキュアゲートウェイ管理者が保守し、クライ
アントソフトウェアと共に配布する目的で用意されています。
（注）
セキュリティアプライアンスにインポートする前に、プロファイルを確認してください。これによっ
て、クライアント側での確認が不要になります。
このスキーマに基づいた XML ファイルは、ソフトウェアの配布のバンドルファイルとして、または
自動ダウンロードメカニズムの一部として、いつでもクライアントに配布できます。自動ダウンロー
ドメカニズムは、一部の Cisco Secure Gateway 製品でのみ使用できます。
MSXML 6.0 を使用する Microsoft Windows では、AnyConnect クライアントは XML プロファイルを
プロファイルの XSD スキーマと照合して確認し、失敗した確認はすべてログに記録します。MSXML
6.0 は Windows 7 および Vista に同梱されています。Windows XP の場合は、Microsoft の次のリンク
からダウンロードできます。
http://www.microsoft.com/downloads/details.aspx?FamilyID=d21c292c-368b-4ce1-9dab-3e9827b
70604&displaylang=en
プロファイルを修正するときは、入力を確認し、XML タグ名のキャピタリゼーションと一致している
ことを確認してください。これは、プロファイルの確認に失敗するよくあるエラーです。たとえば、次
のプリファレンスエントリがあるプロファイルを確認するとします。
<UseStartBeforeLogon UserControllable="false">False</UseStartBeforeLogon>
この場合、次のエラーメッセージが表示されます。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-5
第3章
AnyConnect クライアント機能の設定
AnyConnect クライアントプロファイルの設定と展開
図 3-1
XML の確認エラー
この例では、値の False（先頭が大文字）は false（すべて小文字）にする必要があり、エラーはその
ことを示しています。
AnyConnect クライアントへのクライアントプロファイルの展開
AnyConnect クライアントにプロファイルを展開するには、次の手順に従ってセキュリティアプライア
ンスを設定します。
ステップ 1
セキュリティアプライアンスがクライアントプロファイルファイルをキャッシュメモリにロードする
ように指定します。
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クラ
イアント）アクセス（Network (Client) Access）] > [ 詳細（Advanced）] > [ クライアント設定（Client
Settings）] の順に選択します（図 3-2）。
ステップ 2
[SSL VPN クライアントプロファイル（SSL VPN Client Profiles）] エリアで [ 追加（Add）] をクリッ
クします。[SSL VPN クライアントプロファイルの追加（Add SSL VPN Client Profiles）] ダイアログ
ボックスが表示されます。
図 3-2
AnyConnect VPN クライアントプロファイルの追加または編集
Cisco AnyConnect VPN Client アドミニストレータガイド
3-6
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
AnyConnect クライアントプロファイルの設定と展開
ステップ 3
プロファイル名およびプロファイルパッケージ名を対応するフィールドに入力します。プロファイル
パッケージ名を参照するには、[ フラッシュの表示（Browse Flash）] をクリックします。[ フラッシュ
の表示（Browse Flash）] ダイアログボックスが表示されます（図 3-3）。
図 3-3
ステップ 4
[ フラッシュの表示（Browse Flash）] ダイアログボックス
テーブルからファイルを選択します。ファイル名が、テーブルの下の [ ファイル名（File Name）]
フィールドに表示されます。[OK] をクリックします。選択したファイル名が、[SSL VPN クライアン
トプロファイルの追加（Add SSL VPN Client Profiles）] または [SSL VPN クライアントプロファイ
ルの編集（Edit SSL VPN Client Profiles）] ダイアログボックスの [ プロファイルパッケージ（Profile
Package）] フィールドに表示されます。
[SSL VPN クライアントプロファイルの追加（Add SSL VPN Client Profiles）] または [SSL VPN クラ
イアントプロファイルの編集（Edit SSL VPN Client Profiles）] ダイアログボックスで、[OK] をク
リックします。これによって、クライアントユーザのグループポリシーおよびユーザ名のアトリ
ビュートにプロファイルを使用できるようになります。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-7
第3章
AnyConnect クライアント機能の設定
AnyConnect ローカルポリシーの設定
ステップ 5
グループポリシーのプロファイルを指定するには、[ 設定（Configuration）] > [ リモートアクセス
VPN（Remote Access VPN）] > [ ネットワーク（クライアント）アクセス（Network (Client)
Access）] > [ グループポリシー（Group Policies）] の順に選択します（図 3-4）。
図 3-4
グループポリシーで使用するプロファイルの指定
ステップ 6
[ 継承（Inherit）] を選択解除して、ダウンロードするクライアントプロファイルをドロップダウンリ
ストから選択します。
ステップ 7
設定が終了したら、[OK] をクリックします。
AnyConnect ローカルポリシーの設定
AnyConnect ローカルポリシーは、AnyConnect VPN クライアントの追加のセキュリティパラメータ
を指定します。これには、暗号化モジュールに固有のセキュリティ要件に関する米国政府標準規格であ
る Federal Information Processing Standard（FIPS; 連邦情報処理標準）140-2 レベル 1 モードでの動作
が含まれます。FIPS 140-2 標準は、暗号ベースのセキュリティシステムを使用してコンピュータおよ
び遠隔通信の機密情報を保護するすべての政府機関に適用されます。
AnyConnect ローカルポリシーのその他のパラメータは、リモートアップデートを禁止して中間者攻
撃を防いだり、管理者またはルート以外のユーザがクライアント設定を修正できないようにすることに
よって、セキュリティを高めます。
AnyConnect ローカルポリシーのパラメータは、AnyConnectLocalPolicy.xml という名前の XML ファ
イルにあります。このファイルは、ASA 5500 シリーズのセキュリティアプライアンスでは展開されま
せん。企業のソフトウェア展開システムを使用してこのファイルを展開するか、ユーザコンピュータ
上で手動でファイルを変更する必要があります。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-8
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
AnyConnect ローカルポリシーの設定
ここでは、次の内容について説明します。
「AnyConnect ローカルポリシーファイルの例」（P.3-9）
「MST ファイルを使用した Windows クライアント用パラメータの変更」（P.3-9）
「手動での AnyConnect ローカルポリシーファイルのパラメータ変更」（P.3-10）
AnyConnect ローカルポリシーファイルの例
次に、AnyConnect ローカルポリシーファイルの例を示します。
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectLocalPolicy acversion="2.4.140"
xmlns=http://schemas.xmlsoap.org/encoding/
xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectLocalPolicy.xsd">
<FipsMode>false</FipsMode>
<BypassDownloader>false</BypassDownloader>
<RestrictWebLaunch>false</RestrictWebLaunch>
<StrictCertificateTrust>false</StrictCertificateTrust>
<RestrictPreferenceCaching>false</RestrictPreferenceCaching>
<RestrictTunnelProtocols>false</RestrictTunnelProtocols>
</AnyConnectLocalPolicy>
MST ファイルを使用した Windows クライアント用パラメータの変更
Windows インストールの場合、提供される MST ファイルを標準 MSI インストールファイルに適用し
て、FIPS モードをイネーブル化するなど、AnyConnect ローカルポリシーのパラメータを変更できま
す。インストール時に、FIPS がイネーブル化された AnyConnect ローカルポリシーファイルが生成さ
れます。
MST ファイルは、次の URL の SW ダウンロードエリアからダウンロードできます。
http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278875403
MST ファイルには、次のカスタム行があります。名前は、AnyConnect ローカルポリシーファイル
（AnyConnectLocalPolicy.xml）のパラメータに対応しています。これらのパラメータの説明と設定可
能な値については、表 3-3 を参照してください。
• LOCAL_POLICY_BYPASS_DOWNLOADER
• LOCAL_POLICY_FIPS_MODE
• LOCAL_POLICY_RESTRICT_PREFERENCE_CACHING
• LOCAL_POLICY_RESTRICT_TUNNEL_PROTOCOLS
• LOCAL_POLICY_RESTRICT_WEB_LAUNCH
• LOCAL_POLICY_STRICT_CERTIFICATE_TRUST
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-9
第3章
AnyConnect クライアント機能の設定
Start Before Logon の設定
手動での AnyConnect ローカルポリシーファイルのパラメータ変更
AnyConnect ローカルポリシーのパラメータを手動で変更するには、次の手順に従ってください。
ステップ 1
クライアントインストールから、AnyConnect ローカルポリシーファイル
（AnyConnectLocalPolicy.xml）のコピーを取得します。
表 3-1 に、各オペレーティングシステムでのインストールパスを示します。
表 3-1
オペレーティングシステムと AnyConnect ローカルポリシーファイルのインストールパス
オペレーティングシステム
Windows
Windows Mobile
インストールパス
%ALLUSERSAPPDATA%\Cisco\Cisco
AnyConnect VPN Client1
%PROGRAMFILES%\Cisco AnyConnect
VPN Client
Linux
/opt/cisco/vpn
Mac OS X
/opt/cisco/vpn
1. %ALLUSERSAPPDATA% は、同じ名前の環境変数を指します。ほとんどの Windows インストレー
ションでは、C:¥Program Files です。
ステップ 2
パラメータ設定を編集します。次の例は、Windows の AnyConnect ローカルポリシーファイルの内容
を示しています。
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectLocalPolicy acversion="2.4.140"
xmlns=http://schemas.xmlsoap.org/encoding/
xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectLocalPolicy.xsd">
<FipsMode>false</FipsMode>
<BypassDownloader>false</BypassDownloader>
<RestrictWebLaunch>false</RestrictWebLaunch>
<StrictCertificateTrust>false</StrictCertificateTrust>
<RestrictPreferenceCaching>false</RestrictPreferenceCaching>
<RestrictTunnelProtocols>false</RestrictTunnelProtocols>
</AnyConnectLocalPolicy>
ステップ 3
ファイルを AnyConnectLocalPolicy.xml として保存し、企業の IT ソフトウェア展開システムを使用し
てこのファイルをリモートコンピュータに展開します。
Start Before Logon の設定
Start Before Logon（SBL）では、Windows ログインダイアログボックスが表示される前に
AnyConnect クライアントを起動することで、ユーザが Windows にログインする前に強制的に VPN 接
続で企業インフラストラクチャに接続されます。セキュリティアプライアンスで認証後、Windows ロ
グインダイアログが表示され、ユーザは通常どおりにログインします。SBL は Windows でのみ使用可
能で、ログインスクリプト、パスワードのキャッシュ、ネットワークドライブからローカルドライブ
へのマッピングなどの使用を制御できます。
SBL 機能をイネーブルにするには、AnyConnect クライアントプロファイルを変更して、セキュリ
ティアプライアンスが SBL 用のクライアントモジュールをダウンロードできるようにする必要があり
ます。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-10
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
Start Before Logon の設定
SBL をイネーブルにする理由としては、次のものがあります。
• ユーザのコンピュータに Active Directory インフラストラクチャを導入済みである。
• コンピュータのキャッシュにクレデンシャルを入れることができない（グループポリシーで
キャッシュのクレデンシャル使用が許可されない場合）。
• ネットワークリソースから、またはネットワークリソースへのアクセスを必要とする場所からロ
グインスクリプトを実行する必要がある。
• ネットワークでマッピングされるドライブを使用し、Microsoft Active Directory インフラストラ
クチャの認証を必要とする。
• インフラストラクチャとの接続を必要とする場合があるネットワーキングコンポーネント（MS
NAP/CS NAC など）が存在する。
AnyConnect クライアントで行う SBL の設定は、この機能のイネーブル化だけです。ログイン前に実
施されるこのプロセスは、ネットワーク管理者が自身の状況の要件に基づいて処理します。ログイン
スクリプトは、ドメインまたは個々のユーザに割り当てることができます。一般に、ドメインの管理者
は、バッチファイルか類似のものを Microsoft Active Directory のユーザまたはグループに定義してい
ます。ユーザがログインするとすぐに、ログインスクリプトが実行されます。
SBL は、ローカルの社内 LAN 上で等価となるネットワークを作成します。たとえば、SBL をイネー
ブルにすると、ユーザはローカルのインフラストラクチャにアクセスできるため、通常はオフィス内の
ユーザが実行するログインスクリプトをリモートユーザからも使用できるようになります。
ログインスクリプトの作成については、次の Microsoft TechNet の記事を参照してください。
http://technet2.microsoft.com/windowsserver/en/library/8a268d3a-2aa0-4469-8cd2-8f28d6a630801033
.mspx?mfr=true
Windows XP でローカルのログインスクリプトを使用する詳細については、次の Microsoft の記事を参
照してください。
http://www.windowsnetworking.com/articles_tutorials/wxpplogs.html
これ以外では、コンピュータへのログインに使用するキャッシュクレデンシャルを許可しないように
システムを設定する必要がある場合があります。このシナリオでは、ユーザは社内ネットワーク上のド
メインコントローラと通信可能にして、コンピュータへのアクセスが許可される前にユーザのクレデ
ンシャルが確認されるようにする必要があります。
SBL は、呼び出されたときにネットワークに接続されている必要があります。場合によっては、ワイ
ヤレス接続がワイヤレスインフラストラクチャに接続するユーザクレデンシャルに依存しているため、
接続できないことがあります。SBL モードがログインのクレデンシャルフェーズに先行するため、こ
のシナリオでは接続できません。このケースで SBL を機能させるには、ログインを通してクレデン
シャルをキャッシュするようにワイヤレス接続を設定するか、もしくはその他のワイヤレス認証を設定
する必要があります。
ここでは、次の内容について説明します。
「Start Before Logon コンポーネントのインストール（Windows のみ）」（P.3-12）
「Windows 7 および Vista システムでの Start Before Logon（PLAP）の設定」（P.3-15）
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-11
第3章
AnyConnect クライアント機能の設定
Start Before Logon の設定
Start Before Logon コンポーネントのインストール（Windows のみ）
Start Before Logon コンポーネントは、コアクライアントのインストール後にインストールする必要が
あります。さらに、AnyConnect 2.2 の Start Before Logon コンポーネントの場合は、バージョン 2.2 以
降のコア AnyConnect クライアントソフトウェアのインストールが必要です。AnyConnect クライアン
トの展開前および MSI ファイルを使用した Start Before Logon コンポーネントの展開前の場合
（Altiris、Active Directory または SMS など独自のソフトウェア展開手段を持つ大企業の場合など）、
正しい順序でインストールする必要があります。インストールの順序は、AnyConnect が Web 展開ま
たは Web 更新されている場合（または両方の場合）に管理者がロードした時点で自動的に処理されま
す。インストールの詳細については、『Release Notes for Cisco AnyConnect VPN Client, Release 2.2』
を参照してください。
Windows Vista と Vista 以前のシステムとの Start Before Logon の相違点
Windows Vista システムでは、SBL のイネーブル化の手順が一部異なります。以前のシステムでは、
VPNGINA（virtual private network graphical identification and authentication の略称）という名称のコ
ンポーネントで SBL をインストールしていました。Vista システムでは、PLAP というコンポーネント
で SBL を実装します。
AnyConnect クライアントでは、Windows Vista の Start Before Logon 機能は Pre-Login Access
Provider（PLAP）という接続可能なクレデンシャルプロバイダーです。この機能を使用すると、ネッ
トワーク管理者は、クレデンシャルの収集やネットワークリソースへの接続などの特定のタスクをロ
グイン前に実行することができます。PLAP は Windows Vista および Windows Server 2008 に Start
Before Logon 機能を提供します。PLAP は、vpnplap.dll を使用する 32 ビットのオペレーティングシ
ステムと、vpnplap64.dll を使用する 64 ビットのオペレーティングシステムをサポートします。PLAP
機能は、Windows の x86 バージョンおよび x64 バージョンをサポートします。
（注）
この項で説明する VPNGINA とは Vista 以前のプラットフォームの Start Before Logon 機能を指し、
PLAP は Windows Vista システムの Start Before Logon 機能を指します。
Vista 以前のシステムでは、Start Before Logon は VPN Graphical Identification and Authentication
Dynamic Link Library（vpngina.dll）と呼ばれるコンポーネントを使用して Start Before Logon の機能
を提供しています。Windows Vista では、システムに同梱されている Windows PLAP コンポーネント
によって、この Windows GINA コンポーネントが置き換えられています。
GINA は、ユーザが Ctrl+Alt+Del というキーの組み合せを押すと起動します。PLAP では、
Ctrl+Alt+Del のキーの組み合せを押すとウィンドウが表示され、システムにログインするか、ウィン
ドウの右下隅にあるネットワーク接続ボタンで任意の Network Connections （PLAP コンポーネント）
を起動するかを選択できます。
次の項では、VPNGINA と PLAP SBL の設定および手順について説明します。Windows Vista プラッ
トフォームでの SBL 機能（PLAP）のイネーブル化の方法と使用方法の詳細については、「Windows 7
および Vista システムでの Start Before Logon（PLAP）の設定」（P.3-15）を参照してください。
SBL をイネーブルにするプロファイルパラメータ
UseStartBeforeLogon の要素値によって、この機能をオン（true）またはオフ（false）にできます。プ
ロファイルでこの値を true に設定すると、ログオンシーケンスの一部として、追加の処理が発生しま
す。詳細については、Start Before Logon の説明を参照してください。
SBL をイネーブルにするには、AnyConnect プロファイルで、<UseStartBefore Logon> の値を true に
設定します。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-12
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
Start Before Logon の設定
<ClientInitialization>
<UseStartBeforeLogon>true</UseStartBeforeLogon>
</ClientInitialization>
SBL をディセーブルにするには、同じ値を false に設定します。
次の表に、設定を示します。
表 3-2
UseStartBeforeLogon クライアント初期化タグ
デフォルト値1
可能な値2
ユーザ制御可能
デフォルトでユーザ制御可能3
サポートされる OS
true
true、false
はい
true
Mobile 以外の Windows
1. プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。
2. <UseStartBeforeLogon>true</UseStartBeforeLogon> のように、開始タグと終了タグの間にパラメータ値を挿入します。
3. ユーザ制御可能アトリビュートは、<UseStartBeforeLogon UserControllable="true">true</UseStartBeforeLogon> のように、
プリファレンスタグの中で定義します。可能な値は「true」または「false」です。これによって、preferences*.xml ファイルで
プリファレンスが上書きされるかどうかが決まります。これはオプションのアトリビュートで、定義されていない場合、デフォ
ルト値が使用されます。プロファイルで UserControllable="true" になっているプリファレンスは、[ プリファレンス
（Preferences）] ダイアログに表示されます。
SBL をユーザ制御可能にする方法
SBL をユーザ制御可能にするには、SBL をイネーブルにするときに、次の文を使用します。
<UseStartBeforeLogon UserControllable=”true”>true</UseStartBeforeLogon>
デフォルトに戻して、SBL をユーザ制御不可にするには、UseStartBeforeLogon プリファレンスの中
の UserControllable プリファレンスを false に設定します。
セキュリティアプライアンスでの SBL のイネーブル化
ダウンロード時間を最小にするため、AnyConnect クライアントは、サポートする各機能に必要なコア
モジュールの（セキュリティアプライアンスからの）ダウンロードだけを要求します。SBL をイネー
ブルにするには、セキュリティアプライアンスのグループポリシーで、SBL モジュール名を指定する
必要があります。
さらに、グループポリシーに指定したプロファイルファイルで、UseStartBeforeLogon パラメータを
true に設定する必要があります。次の例を参考にしてください。
<UseStartBeforeLogon UserControllable=“false”>true</UseStartBeforeLogon>
（注）
SBL を有効にするには、ユーザがリモートコンピュータをリブートする必要があります。
セキュリティアプライアンスで SBL モジュールを指定するには、次の手順に従ってください。
ステップ 1
ステップ 2
ステップ 3
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クラ
イアント）アクセス（Network (Client) Access）] > [ グループポリシー（Group Policies）] の順に選
択します（図 3-5）。
グループポリシーを選択して、[ 編集（Edit）] をクリックします。[ 内部グループポリシーの編集
（Edit Internal Group Policy）] ウィンドウが表示されます。
左側のナビゲーションペインで [Advanced（詳細）] > [SSL VPN Client（SSL VPN クライアント）]
の順に選択します。SSL VPN 設定が表示されます。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-13
第3章
AnyConnect クライアント機能の設定
Start Before Logon の設定
ステップ 4
[ ダウンロードするオプションのクライアントモジュール（Optional Client Module for Download）]
設定の [ 継承（Inherit）] ボックスをオフにします。
ステップ 5
ドロップダウンリストで、Start Before Logon モジュールを選択します。
図 3-5
ダウンロードする SBL モジュールの指定
マニフェストファイルの使用
セキュリティアプライアンスにアップロードされる AnyConnect パッケージには、VPNManifest.xml
というファイルが含まれています。次に、このファイルのサンプルコンテンツを示します。
<?xml version="1.0" encoding="UTF-7"?> <vpn rev="1.0">
<file version="2.1.0150" id="VPNCore" is_core="yes" type="exe" action="install">
<uri>binaries/anyconnect-win-2.1.0150-web-deploy-k9.exe</uri>
</file>
<file version="2.1.0150" id="gina" is_core="yes" type="exe" action="install"
module="vpngina">
<uri>binaries/anyconnect-gina-win-2.1.0150-web-deploy-k9.exe</uri>
</file>
</vpn>
セキュリティアプライアンスは、前述のステップ 1 で説明した設定済みプロファイルを格納していま
す。また、AnyConnect クライアント、ダウンローダユーティリティ、マニフェストファイル、さら
に他のオプションのモジュールまたはサポートする各種ファイルが含まれる、1 つ以上の AnyConnect
パッケージも格納します。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-14
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
Start Before Logon の設定
リモートユーザが WebLaunch またはすでにインストールされているクライアントを使用してセキュリ
ティアプライアンスに接続すると、ダウンローダが最初にダウンロードされて起動し、マニフェスト
ファイルを使用してリモートユーザのコンピュータにアップグレードが必要な既存のクライアントが
あるかどうか、または新規インストールが必要かどうかを確認します。マニフェストファイルには、
ダウンロードしてインストールが必要なオプションのモジュール（この例では VPNGINA）があるか
どうかを示す情報も含まれます。VPNGINA のインストールは、ユーザのグループポリシーでダウン
ロードするオプションモジュールとして SBL が指定されている場合にアクティブ化されます。この場
合、AnyConnect クライアントと VPNGINA がインストールされ、次回のリブートからは Windows の
ドメインログオンよりも先に AnyConnect クライアントが画面に表示されます。
クライアントをインストールすると、クライアントコンピュータの次の場所に、サンプルプロファイ
ルが提供されます。
C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco¥AnyConnect VPN
Client¥Profile¥AnyConnectProfile.tmpl
SBL のトラブルシューティング
SBL で問題が発生した場合は、次の手順を実行します。
ステップ 1
プロファイルがプッシュされていることを確認します。
ステップ 2
以前のプロファイルを削除します（*.xml と指定してハードドライブ上の格納場所を検索します）。
ステップ 3
Windows の [ プログラムの追加と削除（Add/Remove Programs）] を使用して、Cisco AnyConnect ク
ライアントの Start Before Login コンポーネントをアンインストールします。コンピュータをリブート
して、再テストします。
ステップ 4
イベントビューア（Event Viewer）でユーザの AnyConnect ログをクリアし、再テストします。
ステップ 5
クライアントを再インストールするために Web をブラウズしてセキュリティアプライアンスに戻りま
す。
ステップ 6
いったんリブートします。次回のリブートでは、[Start Before Logon] プロンプトが表示されます。
ステップ 7
AnyConnect イベントログを .evt フォーマットでシスコに送信します。
ステップ 8
次のエラーが表示された場合は、ユーザプロファイルを削除します。
Description: Unable to parse the profile C:¥Documents and Settings¥All
Users¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥Profile¥VABaseProfile.xml.
Host data not available.
ステップ 9
.tmpl ファイルに戻り、コピーを .xml ファイルとして保存して、この XML ファイルをデフォルトプロ
ファイルとして使用します。
Windows 7 および Vista システムでの Start Before Logon（PLAP）の
設定
その他の Windows プラットフォームと同じように、Start Before Logon（SBL）機能によって、ユーザ
が Windows にログインする前に VPN 接続が開始されます。これによって、ユーザは自分のコン
ピュータにログインする前に、企業のインフラストラクチャに接続されます。Microsoft Windows 7 お
よび Vista は Windows XP と異なるメカニズムを使用しているため、Windows 7 および Vista の
AnyConnect クライアントの SBL 機能も異なるメカニズムを使用します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-15
第3章
AnyConnect クライアント機能の設定
Start Before Logon の設定
AnyConnect クライアントでは、新しい SBL 機能は Pre-Login Access Provider（PLAP）という接続可
能なクレデンシャルプロバイダーです。この機能を使用すると、プログラマチックネットワーク管理
者は、クレデンシャルの収集やネットワークリソースへの接続などの特定のタスクをログイン前に実
行することができます。PLAP は、Windows 7 および Vista で SBL 機能を提供します。PLAP は、
vpnplap.dll を使用する 32 ビットのオペレーティングシステムと、vpnplap64.dll を使用する 64 ビット
のオペレーティングシステムをサポートします。PLAP 機能は、x86 および x64 をサポートします。
（注）
この項で説明する VPNGINA とは Windows XP の Start Before Logon 機能を指し、PLAP は Windows
7 および Vista の Start Before Logon 機能を指します。
Windows OS ごとの Start Before Logon の違い
Windows XP では、Start Before Logon は VPN Graphical Identification and Authentication Dynamic
Link Library（vpngina.dll）と呼ばれるコンポーネントを使用して Start Before Logon の機能を実現し
ています。Windows Vista では、システムに同梱されている Windows PLAP コンポーネントによって、
この Windows GINA コンポーネントが置き換えられています。
Windows XP では、GINA コンポーネントは、Ctrl+Alt+Del のキーの組み合せで起動します。PLAP で
は、Ctrl+Alt+Del のキーの組み合せを押すとウィンドウが表示され、システムにログインするか、
ウィンドウの右下隅にあるネットワーク接続ボタンで任意の Network Connections（PLAP コンポーネ
ント）を起動するかを選択できます。
PLAP のインストール
vpnplap.dll および vpnplap64.dll の両コンポーネントは、既存の GINA インストールパッケージの一
部になっているため、単一のアドオン Start Before Logon パッケージをセキュリティアプライアンスに
ロードできます。ロードされると、該当するコンポーネントがターゲットプラットフォームにインス
トールされます。PLAP はオプションの機能です。インストーラソフトウェアは、基盤のオペレー
ティングシステムを検出して該当する DLL をシステムディレクトリに配置します。Windows Vista 以
前のオペレーティングシステムでは、インストーラは 32 ビット版のオペレーティングシステムに
vpngina.dll コンポーネントをインストールします。Windows Vista または Windows Server 2008 では、
インストーラは、32 ビット版と 64 ビット版のどちらのオペレーティングシステムが使用されている
かを判別して、該当する PLAP コンポーネントをインストールします。
（注）
VPNGINA または PLAP コンポーネントがインストールされたまま AnyConnect クライアントをアン
インストールすると、VPNGINA または PLAP のコンポーネントはディセーブルとなり、リモート
ユーザの画面に表示されなくなります。
一度インストールされると、start before logon がアクティブ化されるようにユーザプロファイル
「SBL をイネーブルにする
<profile.xml> ファイルを変更するまで、PLAP はアクティブになりません。
プロファイルパラメータ」（P.3-12）を参照してください。アクティブ化後に、ユーザは [ ユーザーの
切り替え（Switch User）] をクリックし、さらに画面下右側のネットワーク接続アイコンをクリックし
て Network Connect コンポーネントを呼び出します。
（注）
誤ってユーザインターフェイスの画面表示を最小化した場合は、Alt+Tab キーの組み合せで元に戻り
ます。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-16
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
Start Before Logon の設定
PLAP を使用した Windows Vista または Windows 7 PC へのログイン
PLAP をイネーブルにして Windows Vista または Windows 7 にログインするには、次の手順に従って
ください。画面の例は、Windows Vista のものです（Microsoft で必要な手順です）。
ステップ 1
Windows Vista のスタート画面で、Ctrl+Alt+Delete キーの組み合せを押します（図 3-6）。
図 3-6
ネットワーク接続ボタンを表示する Vista ログイン画面
この手順で Vista のログインウィンドウに [ ユーザーの切り替え（Switch User）] ボタンが表示されま
す（図 3-7）。
図 3-7
[ ユーザーの切り替え（Switch User）] ボタンが表示された Vista ログインウィンドウ
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-17
第3章
AnyConnect クライアント機能の設定
Start Before Logon の設定
ステップ 2
（注）
[ ユーザーの切り替え（Switch User）]（図の赤丸部分）をクリックします。画面の右下隅にネット
ワークログインアイコンが表示されたネットワーク接続ウィンドウ（図 3-8）が表示されます。ネッ
トワークログインアイコンは図 3-8 の赤丸部分です。
AnyConnect 接続によってすでに接続済みのユーザが [ ユーザーの切り替え（Switch User）] をクリッ
クしても、VPN 接続は接続解除されません。ネットワーク接続ボタンをクリックすると、元の VPN 接
続が終了します。[ キャンセル（Cancel）] をクリックすると、VPN 接続が終了します。
図 3-8
ステップ 3
Vista のネットワーク接続ウィンドウ
ウィンドウの右下隅に表示されるネットワーク接続ボタンをクリックすると、AnyConnect クライアン
トが起動します。次の AnyConnect クライアントのログインウィンドウが表示されます（図 3-9）。
図 3-9
AnyConnect クライアントログインウィンドウ
Cisco AnyConnect VPN Client アドミニストレータガイド
3-18
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
Start Before Logon の設定
ステップ 4
（注）
ステップ 5
AnyConnect クライアントへの通常のログインではこの AnyConnect GUI を使用します。
この例では、AnyConnect クライアントがインストールされている唯一の接続プロバイダーであること
を前提としています。複数のプロバイダーをインストールしている場合は、このウィンドウに表示され
る項目から、ユーザがいずれかを選択する必要があります。
正常に接続されると、Vista のネットワーク接続ウィンドウと同様の画面が表示されますが、今回は右
下隅に Microsoft の [ 接続解除（Disconnect）] ボタン（図 3-10）が表示される点が異なります。この
表示は、接続が正常に実行されたことを通知するためのものです。
図 3-10
接続解除ウィンドウ
ログインに関連するアイコンをクリックします。例では、[VistaAdmin] をクリックしてマシンへのロ
グインを完了させます。
注意
接続が確立されると、ログイン時間が無制限になります。ユーザが接続後にログインしなかった場
合、トンネルは接続されたままになります。
PLAP を使用した AnyConnect クライアントからの接続解除
正常にトンネル接続されると、PLAP コンポーネントは元のウィンドウに戻ります。今回は、ウィンド
ウの右下隅に [ 接続解除（Disconnect）] ボタンが表示されます（図 3-10 の赤丸部分）。
[ 接続解除（Disconnect）] をクリックすると、VPN トンネルが接続解除されます。
[ 接続解除（Disconnect）] ボタンに応答する明示的な接続解除以外に、トンネルは次の状況でも接続
解除されます。
• ユーザが PLAP を使用して PC にログインした後で [ キャンセル（Cancel）] を押した。
• ユーザがシステムにログインする前に PC がシャットダウンした。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-19
第3章
AnyConnect クライアント機能の設定
FIPS と追加セキュリティのイネーブル化
この動作は、Windows Vista PLAP アーキテクチャの機能であり、AnyConnect クライアントの機能で
はありません。
FIPS と追加セキュリティのイネーブル化
AnyConnect ローカルポリシーは、AnyConnect VPN クライアントの追加のセキュリティパラメータ
を指定します。これには、暗号化モジュールに固有のセキュリティ要件に関する米国政府標準規格であ
る Federal Information Processing Standard（FIPS; 連邦情報処理標準）140-2 レベル 1 モードでの動作
が含まれます。FIPS 140-2 標準は、暗号ベースのセキュリティシステムを使用してコンピュータおよ
び遠隔通信の機密情報を保護するすべての政府機関に適用されます。
AnyConnect ローカルポリシーのその他のパラメータは、リモートアップデートを禁止して中間者攻
撃を防いだり、管理者またはルート以外のユーザがクライアント設定を修正できないようにすることに
よって、セキュリティを高めます。
AnyConnect ローカルポリシーのパラメータは、AnyConnectLocalPolicy.xml という名前の XML ファ
イルにあります。このファイルは、ASA 5500 シリーズのセキュリティアプライアンスでは展開されま
せん。企業のソフトウェア展開システムを使用してこのファイルを展開するか、ユーザコンピュータ
上で手動でファイルを変更する必要があります。
Windows に対しては、標準 MST インストールファイルに適用して FIPS をイネーブル可能な
Microsoft Transform（MST）ファイルを用意してあります。この MST では、その他の AnyConnect
ローカルポリシーパラメータは変更されません。コマンドラインツールの Enable FIPS ツールを使用
することもできます。このツールを実行するには、Windows 上では管理者権限が必要です。Linux ま
たは Mac 上では、root ユーザとして実行する必要があります。MST または Enable FIPS ツールは、
AnyConnect クライアントのソフトウェアダウンロードページからダウンロードできます。
または、AnyConnect ローカルポリシーファイルのコピーをクライアントインストールから取得し、
手動でパラメータを編集して、ユーザのコンピュータに展開してください。
ここでは、これらの手順をすべて説明します。
• 「AnyConnect ローカルポリシーファイルのパラメータと値」（P.3-20）
• 「AnyConnect ローカルポリシーファイルの例」（P.3-9）
• 「MST ファイルを使用した Windows クライアント用パラメータの変更」（P.3-9）
• 「手動での AnyConnect ローカルポリシーファイルのパラメータ変更」（P.3-10）
• 「すべてのオペレーティングシステムでの Enable FIPS ツールを使用したパラメータ変更」
（P.3-24）
AnyConnect ローカルポリシーファイルのパラメータと値
（注）
プロファイルファイルのポリシーパラメータを省略した場合、機能はデフォルト動作になります。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-20
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
FIPS と追加セキュリティのイネーブル化
表 3-3 に、AnyConnect ローカルポリシーファイルとその値を示します。
表 3-3
AnyConnect ローカルポリシーファイルとその値
パラメータおよび説明
値および値の形式
acversion
形式は acversion="<version number>"。
このファイルのすべてのパラメータを解釈できる
AnyConnect クライアントの最小バージョンを指定。
指定されているバージョンよりも古いクライアントが
ファイルを読み取った場合、イベントログ警告が発行
されます。
xmlns
XML 名前空間指定子。ほとんどの場合、管理者はこ
形式は URL。例：
xmlns=http://schemas.xmlsoap.org/encoding/
のパラメータを変更しません。
xsi:schemaLocation
スキーマロケーションの XML 指定子。ほとんどの場
合、管理者はこのパラメータを変更しません。
xmlns:xsi
XML スキーマインスタンス指定子。ほとんどの場
合、管理者はこのパラメータを変更しません。
形式は URL。例：
xsi:schemaLocation="http://schemas.xmlsoap.org/
encoding/AnyConnectLocalPolicy.xsd">
形式は URL。例：
xmlns:xsi=http://www.w3.org/2001/
XMLSchema-instance
FipsMode
true：FIPS モードをイネーブル。
クライアントの FIPS モードをイネーブル化。クライ
アントは、FIPS 標準で承認されているアルゴリズム
およびプロトコルだけを使用します。
false：FIPS モードをディセーブル（デフォルト）。
BypassDownloader
true：クライアントは、セキュリティアプライアンス上にプロファ
イルのアップデート、翻訳、カスタマイゼーション、オプションの
モジュール、コアソフトウェアのアップデートなど、ダイナミッ
クコンテンツがあるかどうかをチェックしません。
ダイナミックコンテンツのローカルバージョンの存
在を検出し、アップデートする VPNDownloader.exe
モジュールの呼び出しをディセーブルにします。
false：クライアントは、セキュリティアプライアンス上にダイナ
ミックコンテンツがあるかどうかをチェックします（デフォル
ト）。
（注）
RestrictWebLaunch
WebLaunch の使用を禁止し、強制的に AnyConnect
FIPS 準拠のスタンドアロン接続モードでユーザを接
続することによって、ユーザが FIPS 準拠でないブラ
ウザを使用して AnyConnect トンネルを開始するセ
セキュリティアプライアンスでクライアントプロファイル
を設定する場合は、BypassDownloader を true に設定した
セキュリティアプライアンスに接続する前に、クライアン
トプロファイルをクライアントにインストールしておく必
要があります。プロファイルには管理者が定義したポリ
シーが含まれていることがあるため、セキュリティアプラ
イアンスを使用してクライアントプロファイルを集中管理
しない場合を除いて、BypassDownloader を true に設定し
ないでください。
true：WebLaunch の試行は失敗し、クライアントからユーザに情
報メッセージが表示されます。
false：WebLaunch を許可します（デフォルト。AnyConnect 2.3 以
前と同じ動作）。
キュリティクッキーを取得しないようにします。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-21
第3章
AnyConnect クライアント機能の設定
FIPS と追加セキュリティのイネーブル化
表 3-3
AnyConnect ローカルポリシーファイルとその値（続き）
パラメータおよび説明
値および値の形式
StrictCertificateTrust
true：クライアントから自己署名証明書を使用するセキュリティ
ゲートウェイへの接続が失敗します。
リモートセキュリティゲートウェイを認証するとき
に、AnyConnect クライアントは、確認できない証明 false：クライアントは、証明書を受け入れるようにプロンプトを表
書を許可しません。これらの証明書を受け入れるよう示します（デフォルト。AnyConnect 2.3 以前と同じ動作）。
にプロンプトを表示することはありません。クライア
ントから自己署名証明書を使用するセキュリティゲー
トウェイへの接続が失敗します。
RestrictPreferenceCaching
Credentials：ユーザ名および第 2 ユーザ名はキャッシュされませ
設計上、AnyConnect クライアントは、機密情報を
ディスクにキャッシュしません。このパラメータをイ
ネーブルにすると、AnyConnect プリファレンスに格
納されているすべての種類のユーザ情報に、このポリ
シーが拡張されます。
ん。
Thumbprints：クライアントおよびサーバの証明書のサムプリント
はキャッシュされません。
CredentialsAndThumbprints：証明書のサムプリントおよびユーザ
名はキャッシュされません。
All：自動プリファレンスはどれもキャッシュされません。
false：すべてのプリファレンスがディスクに書き込まれます（デ
フォルト。AnyConnect 2.3 以前と同じ動作）。
RestrictTunnelProtocols（現在はサポート対象外）
TLS：クライアントは IKEv2 および ESP のみを使用してトンネル
を確立します。セキュリティゲートウェイへの情報の伝達に、
TLS/DTLS は使用しません。
特定のトンネルプロトコルファミリを使用してセ
キュリティアプライアンスへの接続を確立することを
禁止します。
IPSec：クライアントは、認証およびトンネリングに TLS/DTLS だ
けを使用します。
false：接続確立で、任意の暗号化プロトコルを使用できます（デ
フォルト）。
（注）
TLS またはその他のプロトコルの使用を禁止した場合、
Secure Desktop の自動アップグレードなど、一部の拡張機
能が使用できなくなる場合があります。
ExcludeFirefoxNSSCertStore（Linux および Mac）
true：Firefox NSS 証明書ストアを除外します。
クライアントが Firefox NSS 証明書ストアを使用して false：Firefox NSS 証明書ストアを許可します（デフォルト）。
サーバ証明書を確認することを、許可または除外しま
す。ストアには、クライアント証明書認証用の証明書
を取得する場所に関する情報があります。
ExcludePemFileCertStore（Linux および Mac）
true：PEM ファイル証明書ストアを除外します。
クライアントが PEM ファイル証明書ストアを使用し
てサーバ証明書を確認することを、許可または除外し
ます。ストアは FIPS 対応の OpenSSL を使用し、ク
ライアント証明書認証用の証明書を取得する場所に関
する情報があります。PEM ファイル証明書ストアを
許可することによって、リモートユーザが FIPS 準拠
の証明書ストアを使用するようにできます。
false：PEM ファイル証明書ストアを許可します（デフォルト）。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-22
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
FIPS と追加セキュリティのイネーブル化
表 3-3
AnyConnect ローカルポリシーファイルとその値（続き）
パラメータおよび説明
値および値の形式
ExcludeMacNativeCertStore（Mac 専用）
true：Mac ネイティブ証明書ストアを除外します。
クライアントが Mac ネイティブ（キーチェーン）証
明書ストアを使用してサーバ証明書を確認すること
を、許可または除外します。
false：Mac ネイティブ証明書ストアを許可します（デフォルト）。
ExcludeWinNativeCertStore（Windows 専用。現在
true：Windows Internet Explorer 証明書ストアを除外します。
はサポート対象外）
false：Windows Internet Explorer 証明書ストアを許可します
クライアントが Windows Internet Explorer ネイティ（デフォルト）。
ブ証明書ストアを使用してサーバ証明書を確認するこ
とを、許可または除外します。
AnyConnect ローカルポリシーファイルの例
次に、AnyConnect ローカルポリシーファイルの例を示します。
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectLocalPolicy acversion="2.4.140"
xmlns=http://schemas.xmlsoap.org/encoding/
xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectLocalPolicy.xsd">
<FipsMode>false</FipsMode>
<BypassDownloader>false</BypassDownloader>
<RestrictWebLaunch>false</RestrictWebLaunch>
<StrictCertificateTrust>false</StrictCertificateTrust>
<RestrictPreferenceCaching>false</RestrictPreferenceCaching>
<RestrictTunnelProtocols>false</RestrictTunnelProtocols>
</AnyConnectLocalPolicy>
当社の MST ファイルによる FIPS のイネーブル化
Windows インストールでは、当社が提供する MST ファイルを標準 MSI インストールファイルに適用
して、AnyConnect ローカルポリシーで FIPS をイネーブル化できます。この MST は FIPS をイネーブ
ルにするだけで、その他のパラメータは変更しません。インストール時に、FIPS がイネーブル化され
た AnyConnect ローカルポリシーファイルが生成されます。
MST ファイルは、次の URL の SW ダウンロードエリアからダウンロードできます。
http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278875403
独自の MST ファイルによる任意のローカルポリシーパラメータの変更
独自の MST ファイルを作成して、任意のローカルポリシーパラメータを変更できます。次のカスタ
ム行を使用して、独自の MST ファイルを作成してください。名前は、AnyConnect ローカルポリシー
ファイル（AnyConnectLocalPolicy.xml）のパラメータに対応しています。これらのパラメータの説明
と設定可能な値については、表 3-3 を参照してください。
• LOCAL_POLICY_BYPASS_DOWNLOADER
• LOCAL_POLICY_FIPS_MODE
• LOCAL_POLICY_RESTRICT_PREFERENCE_CACHING
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-23
第3章
AnyConnect クライアント機能の設定
FIPS と追加セキュリティのイネーブル化
• LOCAL_POLICY_RESTRICT_TUNNEL_PROTOCOLS
• LOCAL_POLICY_RESTRICT_WEB_LAUNCH
• LOCAL_POLICY_STRICT_CERTIFICATE_TRUST
（注）
AnyConnect クライアントインストールは、ユーザコンピュータ上にある既存のローカルポリシー
ファイルを自動的には上書きしません。クライアントインストーラで新しいポリシーファイルを作成
するには、その前にユーザコンピュータ上の既存のポリシーファイルを削除しておく必要があります。
すべてのオペレーティングシステムでの Enable FIPS ツールを使用したパ
ラメータ変更
すべてのオペレーティングシステムで、Enable FIPS ツールを使用して、FIPS をイネーブル化した
AnyConnect ローカルポリシーファイルを作成できます。Enable FIPS ツールはコマンドラインツー
ルで、実行するには、Windows では管理者権限が必要です。Linux および Mac では、root ユーザとし
て実行する必要があります。
Enable FIPS ツールは、AnyConnect クライアントのソフトウェアダウンロードページからダウンロー
ドできます。
表 3-4 に、指定できるポリシー設定と、使用する引数および構文を示します。引数値の動作は、表 3-3
で AnyConnect ローカルポリシーファイルのパラメータに指定されている動作と同じです。
Enable FIPS ツールを実行するには、コンピュータのコマンドラインから EnableFIPS < 引数 > コマン
ドを入力します。Enable FIPS ツールを使用するときは、次のことに注意してください。
• 引数を何も指定しなかった場合、ツールによって FIPS がイネーブル化され、vpnagent サービス
（Windows）または vpnagent デーモン（Mac および Linux ）が再起動されます。
• 複数の引数はスペースで区切ります。
次に、Windows コンピュータ上で実行する Enable FIPS ツールのコマンド例を示します。
EnableFIPS rwl=false sct=true bd=true fm=false
次ぶ、Linux または Mac コンピュータ上で実行するコマンド例を示します。
./EnableFIPS rwl=false sct=true bd=true fm=false
表 3-4 に、ポリシー設定と Enable FIPS ツールの引数を示します。
表 3-4
ポリシー設定と Enable FIPS ツールの引数
ポリシー設定
引数および構文
FIPS モード
fm=[true | false]
ダウンローダのバイパス
bd=[true | false]
WebLaunch の制限
rwl=[true | false]
厳格な証明書トラスト
sct=[true | false]
プリファレンスキャッシングの制限
rpc=[Credentials | Thumbprints | CredentialsAndThumbprints | All | false]
FireFox NSS 証明書ストアの除外
（Linux および Mac）
efn=[true | false]
Cisco AnyConnect VPN Client アドミニストレータガイド
3-24
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
FIPS と追加セキュリティのイネーブル化
表 3-4
ポリシー設定と Enable FIPS ツールの引数
ポリシー設定
引数および構文
PEM ファイル証明書ストアの除外
（Linux および Mac）
epf=[true | false]
Mac ネイティブ証明書ストアの除外
（Mac のみ）
emn=[true | false]
手動での AnyConnect ローカルポリシーファイルのパラメータ変更
AnyConnect ローカルポリシーのパラメータを手動で変更するには、次の手順に従ってください。
ステップ 1
クライアントインストールから、AnyConnect ローカルポリシーファイル
（AnyConnectLocalPolicy.xml）のコピーを取得します。
表 3-5 に、各オペレーティングシステムでのインストールパスを示します。
表 3-5
オペレーティングシステムと AnyConnect ローカルポリシーファイルのインストールパス
オペレーティングシステム
Windows
Windows Mobile
インストールパス
%ALLUSERSAPPDATA%\Cisco\Cisco
AnyConnect VPN Client1
%PROGRAMFILES%\Cisco AnyConnect
VPN Client
Linux
/opt/cisco/vpn
Mac OS X
/opt/cisco/vpn
1. %ALLUSERSAPPDATA% は、同じ名前の環境変数を指します。
ほとんどの Win XP システムでは C:¥Documents and Settings¥All Users、Windows Vista では
C:¥ProgramData です。
ステップ 2
パラメータ設定を編集します。次の例は、Windows の AnyConnect ローカルポリシーファイルの内容
を示しています。
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectLocalPolicy acversion="2.4.140"
xmlns=http://schemas.xmlsoap.org/encoding/
xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectLocalPolicy.xsd">
<FipsMode>false</FipsMode>
<BypassDownloader>false</BypassDownloader>
<RestrictWebLaunch>false</RestrictWebLaunch>
<StrictCertificateTrust>false</StrictCertificateTrust>
<RestrictPreferenceCaching>false</RestrictPreferenceCaching>
<RestrictTunnelProtocols>false</RestrictTunnelProtocols>
</AnyConnectLocalPolicy>
ステップ 3
ファイルを AnyConnectLocalPolicy.xml として保存し、企業の IT ソフトウェア展開システムを使用し
てこのファイルをリモートコンピュータに展開します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-25
第3章
AnyConnect クライアント機能の設定
Trusted Network Detection のイネーブル化
Trusted Network Detection のイネーブル化
Trusted Network Detection（TND）を使用すると、ユーザが企業ネットワークの中（信頼ネットワー
ク）にいる場合は自動的に AnyConnect クライアントが VPN 接続を接続解除し、企業ネットワークの
外（非信頼ネットワーク）にいる場合は VPN 接続を開始するようにできます。この機能を使用する
と、ユーザが信頼ネットワークの外にいるときに VPN 接続を開始することによって、セキュリティ意
識を高めることができます。
クライアントで Start Before Logon （SBL）も実行している場合は、ユーザが信頼ネットワークの中に
移動すると、コンピュータ上に表示されている SBL ウィンドウが自動的に閉じます。
TND を使用していても、ユーザは手動で VPN 接続を確立できます。信頼ネットワークの中でユーザ
が手動で開始した VPN 接続は、接続解除されません。TND で VPN セッションが接続解除されるの
は、ユーザが最初は非信頼ネットワークにいて、その後信頼ネットワークに移動した場合だけです。た
とえば、ユーザが自宅で VPN 接続を確立してから会社に移動した場合、TND はこの VPN セッション
を接続解除します。
TND 機能は AnyConnect クライアントの GUI を制御し、接続を自動的に開始するため、GUI を常に実
行している必要があります。ユーザが GUI を終了した場合、TND は VPN 接続を自動的に開始できま
せん。
AnyConnect クライアントは、Windows XP 以降、および Mac OS X で TND をサポートします。
TND は、AnyConnect プロファイル（AnyConnectProfile.xml）で設定します。セキュリティアプライ
アンスの設定を変更する必要はありません。表 3-6 に、TND を設定するプロファイルパラメータとそ
の値を示します。
表 3-6
Trusted Network Detection のパラメータ
名前
可能な値と説明
AutomaticVPNPolicy
true：TND をイネーブル。TrustedNetworkPolicy パラメータおよび UntrustedNetworkPolicy
パラメータに従って、VPN 接続を開始または停止する必要があるときに自動的に管理します。
false：TND をディセーブル。VPN 接続は、手動でないと開始および停止できません。
（注）
AutomaticVPNPolicy の設定にかかわらず、ユーザは VPN 接続を手動で制御できま
す。
TrustedNetworkPolicy
Disconnect：信頼ネットワークで VPN 接続を接続解除。
DoNothing：信頼ネットワークでは何もしない。
UntrustedNetworkPolicy
Connect：非信頼ネットワークで VPN 接続を開始（VPN 接続がない場合）。
DoNothing：非信頼ネットワークでは何もしない。
（注）
TrustedNetworkPolicy と UntrustedNetworkPolicy の両方を DoNothing に設定すると、
TND がディセーブルになります。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-26
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
Trusted Network Detection のイネーブル化
表 3-6
Trusted Network Detection のパラメータ（続き）
TrustedDNSDomains
クライアントが信頼ネットワーク内にいるときに、ネットワークインターフェイスが持つ可
能性のある DNS サフィックスのリスト（カンマ区切りの文字列）。次に、
TrustedDNSDomain 文字列の例を示します。
*.cisco.com
DNS サフィックスでは、ワイルドカード（*）がサポートされます。
TrustedDNSServers
クライアントが信頼ネットワーク内にいるときに、ネットワークインターフェイスが持つ可
能性のある DNS サーバアドレスのリスト（カンマ区切りの文字列）。次に、
TrustedDNSServers 文字列の例を示します。
161.44.124.*,64.102.6.247
DNS サーバアドレスでは、ワイルドカード（*）がサポートされます。
（注）
TrustedDNSDomains と TrustedDNSServers の両方を設定した場合は、両方の設定が一致していない
と、ユーザは信頼ネットワークの中にいると見なされません。
次のテキストは、TND パラメータを設定したプロファイルファイルの ClientInitialization セクション
を示しています。この例では、信頼ネットワークの中にいるときは自動的に VPN 接続を接続解除し、
非信頼ネットワークにいるときは VPN 接続を開始するようにクライアントが設定されます。
<AutomaticVPNPolicy>true
<TrustedDNSDomains>*.cisco.com</TrustedDNSDomains>
<TrustedDNSServers>161.44.124.*,64.102.6.247</TrustedDNSServers>
<TrustedNetworkPolicy>Disconnect</TrustedNetworkPolicy>
<UntrustedNetworkPolicy>Connect</UntrustedNetworkPolicy>
</AutomaticVPNPolicy>
表 3-7 に、DNS サフィックスの一致の例を示します。
表 3-7
DNS サフィックスの一致の例
一致する DNS サフィックス
cisco.com（これだけ）
cisco.com
TrustedDNSDomains に使用する値
cisco.com
*cisco.com
および
または
anyconnect.cisco.com
cisco.com, anyconnect.cisco.com
asa.cisco.com
*.cisco.com
および
または
anyconnect.cisco.com
asa.cisco.com, anyconnect.cisco.com
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-27
第3章
AnyConnect クライアント機能の設定
証明書ストアの設定
複数のプロファイルで複数のセキュリティアプライアンスに接続する
ユーザ
ユーザコンピュータ上に複数のプロファイルがある場合、ユーザが TND イネーブルのセキュリティ
アプライアンスから TND イネーブルでないセキュリティアプライアンスに接続を変更したときに、問
題が発生することがあります。ユーザが TND イネーブルのセキュリティアプライアンスに接続してい
た場合、そのユーザは TND イネーブルのプロファイルを受け取っています。そのユーザが、信頼ネッ
トワークの外でコンピュータをリブートすると、TND イネーブルのクライアントの GUI が表示され、
最後に接続していたセキュリティアプライアンスへの接続が試行されますが、このセキュリティアプ
ライアンスは、TND イネーブルでない可能性があります。
クライアントが TND イネーブルのセキュリティアプライアンスに接続し、ユーザは TND イネーブル
でないセキュリティアプライアンスに接続したい場合は、ユーザが手動で接続解除してから、TND イ
ネーブルでないセキュリティアプライアンスに接続する必要があります。ユーザが TND 対応と TND
非対応の両方のセキュリティアプライアンスに接続する可能性がある場合は、TND をイネーブルにす
る前に、この問題について検討してください。
この問題の解決法としては、次の回避策があります。
• 企業ネットワーク上にあるすべてのセキュリティアプライアンスにロードされるクライアントプ
ロファイルで、TND をイネーブルにする。
• すべてのセキュリティアプライアンスがリストされた 1 つのプロファイルをホストエントリセク
ションに作成し、このプロファイルをすべてのセキュリティアプライアンスにロードする。
• 複数の異なるプロファイルが必要ない場合は、すべてのセキュリティアプライアンスのプロファ
イルに同じプロファイル名を使用する。セキュリティアプライアンスによって、既存のプロファ
イルが上書きされます。
証明書ストアの設定
ファイルストアを使用して証明書認証を実行するように、AnyConnect クライアントを設定できます。
ブラウザに依存して証明書の確認および署名を行う代わりに、クライアントがリモートコンピュータ
のファイルシステムから証明書ファイルを読み取り、確認と署名を行います。
Windows では、クライアントが証明書を検索する証明書ストアを制御できます。証明書のルックアッ
プをユーザストアのみ、またはマシンストアのみに制限するようにクライアントを設定できます。
Mac および Linux では、PEM 形式の証明書ファイル用の証明書ストアを作成できます。ここでは、証
明書ストアを設定し、その使用を制御する手順について説明します。
• 「Windows での証明書ストアの制御」（P.3-28）
• 「Mac および Linux での PEM 証明書ストアの作成」（P.3-29）
• 「証明書ストア使用の制限」（P.3-31）
Windows での証明書ストアの制御
AnyConnect クライアントが証明書を検索する証明書ストアを制御します。これは、Windows の
AnyConnect クライアントだけに適用されます。
Windows では、ローカルマシン用と現在のユーザ用に、個別の証明書ストアが提供されます。コン
ピュータ上で管理者権限を持つユーザは、両方のストアにアクセスできます。証明書のルックアップを
ユーザストアのみ、またはマシンストアのみに制限するようにクライアントを設定できます。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-28
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
証明書ストアの設定
AnyConnect クライアントプロファイルの ClientInitialization 要素に CertificateStore パラメータを追
加することによって、証明書のルックアップを制限します。可能な値は、All（デフォルト）、
Machine、または User の 3 つです（大文字と小文字が区別されます）。
（注）
ほとんどの場合、デフォルト設定（All）が適しています。変更が必要となる特別な理由またはシナリ
オ要件がある場合を除いて、この設定は変更しないでください。
CertificateStore 設定がプロファイルにない場合、AnyConnect はすべての使用可能な証明書ストアを使
用します。この設定は、Windows 以外のプラットフォームでは無効です。
AnyConnect クライアントプロファイルの ClientInitialization セクションで、使用する証明書ストアを
指定できます。可能な値は次のとおりです。
• All：（デフォルト）すべての証明書を受け入れ可能です。
• Machine：マシン証明書（コンピュータで識別された証明書）を使用します。
• User：ユーザ生成の証明書を使用します。
（注）
これらのアトリビュートでは、大文字と小文字が区別されます。
次の表に、CertificateStore タグに関する情報を示します。
表 3-8
CertificateStore クライアント初期化タグ
デフォルト値1
可能な値2
ユーザ制御可能3
サポートされる OS
All
All、Machine、User
いいえ
すべて
1. プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。
2. <CertificateStore>Machine</CertificateStore> のように、開始タグと終了タグ
の間にパラメータ値を挿入します。
3. パラメータがユーザ制御をサポートしていない場合、Anyconnect は
usercontrollable="true" 文字列を無視します。
証明書ストアの例
次の例で、マシン証明書を使用するようにクライアント証明書選択を変更する ClientInitialization 要素
の CertificateStore パラメータの設定方法を示します。
<CertificateStore>Machine</CertificateStore>
値 machine によって、AnyConnect クライアントは Windows マシン証明書ストアで証明書を検索する
ように指示されます。これは、証明書がこのストアにあり、ユーザにマシンの管理者権限がない場合に
役立ちます。
Mac および Linux での PEM 証明書ストアの作成
AnyConnect クライアントは、Privacy Enhanced Mail（PEM）形式のファイルストアを使用した証明
書認証をサポートしています。ブラウザに依存して証明書の確認および署名を行う代わりに、クライア
ントがリモートコンピュータのファイルシステムから PEM 形式の証明書ファイルを読み取り、確認
と署名を行います。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-29
第3章
AnyConnect クライアント機能の設定
証明書ストアの設定
PEM ファイルのファイル名に関する制約事項
あらゆる条件下で AnyConnect クライアントが適切な証明書を取得するためには、ファイルが次の要件
を満たしている必要があります。
• すべての証明書ファイルは、拡張子 .pem で終わっていること。
• すべての秘密鍵ファイルは、拡張子 .key で終わっていること。
• クライアント証明書と、それに対応する秘密鍵のファイル名が同じであること。
たとえば、client.pem と client.key など。
（注）
PEM ファイルのコピーを保持する代わりに、PEM ファイルへのソフトリンクを使用できま
す。
ユーザ証明書の保存
PEM ファイル証明書ストアを作成するには、表 9 に示すパスとフォルダを作成します。これらのフォ
ルダに、適切な証明書を配置してください。
表 9
PEM ファイル証明書ストアのフォルダと、保存される証明書の種類
PEM ファイル証明書ストアのフォルダ
~/.cisco/certificates/ca1
保存される証明書の種類
~/.cisco/certificates/client
クライアント証明書
~/.cisco/certificates/client/
秘密鍵
信頼できる CA とルート証明書
1. ~ は、ホームディレクトリを表します。
（注）
マシン証明書の要件は、PEM ファイル証明書の要件と同じですが、ルートディレクトリが異
なります。マシン証明書の場合は、~/.cisco を /opt/.cisco に置き換えてください。それ以外は、
表 9 に示すパス、フォルダ、証明書の種類が適用されます。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-30
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
Simplified Certificate Enrollment Protocol の設定
証明書ストア使用の制限
AnyConnect ローカルポリシーで、Firefox NSS（Linux および Mac）、PEM ファイル、Mac ネイティ
ブ（キーチェーン）、および Windows Internet Explorer ネイティブの各証明書ストアの使用を制限する
パラメータを設定することで、クライアントが使用する証明書ストアに関して追加の制限を設定できま
す。表 3-10 に、これらの制限を制御するパラメータを示します。
表 3-10
AnyConnect ローカルポリシーの証明書ストアのパラメータ
パラメータおよび説明
値および値の形式
ExcludeFirefoxNSSCertStore（Linux および Mac）
true：Firefox NSS 証明書ストアを除外します。
クライアントが Firefox NSS 証明書ストアを使用して
false：Firefox NSS 証明書ストアを許可します（デフォルト）。
サーバ証明書を確認することを、許可または除外しま
す。ストアには、クライアント証明書認証用の証明書を
取得する場所に関する情報があります。
ExcludePemFileCertStore（Linux および Mac）
true：PEM ファイル証明書ストアを除外します。
クライアントが PEM ファイル証明書ストアを使用して false：PEM ファイル証明書ストアを許可します（デフォルト）。
サーバ証明書を確認することを、許可または除外しま
す。ストアは FIPS 対応の OpenSSL を使用し、クライ
アント証明書認証用の証明書を取得する場所に関する情
報があります。PEM ファイル証明書ストアを許可する
ことによって、リモートユーザが FIPS 準拠の証明書ス
トアを使用するようにできます。
ExcludeMacNativeCertStore（Mac 専用）
true：Mac ネイティブ証明書ストアを除外します。
クライアントが Mac ネイティブ（キーチェーン）証明 false：Mac ネイティブ証明書ストアを許可します（デフォルト）。
書ストアを使用してサーバ証明書を確認することを、許
可または除外します。
ExcludeWinNativeCertStore（Windows 専用。現在は true：Windows Internet Explorer 証明書ストアを除外します。
サポート対象外）
クライアントが Windows Internet Explorer ネイティブ
証明書ストアを使用してサーバ証明書を確認すること
を、許可または除外します。
false：Windows Internet Explorer 証明書ストアを許可します（デ
フォルト）。
Simplified Certificate Enrollment Protocol の設定
AnyConnect スタンドアロンクライアントは、Simple Certificate Enrollment Protocol（SCEP）を利用
して、クライアント認証に使用する証明書をプロビジョニングおよび更新できます。SCEP の目的は、
使用可能な既存のテクノロジーを使用して、スケーラブルな方法で、ネットワークデバイスに証明書
を安全に発行できるようにすることです。
当社の SCEP プロトコルの実装では、AnyConnect クライアントが証明書要求を送信し、認証局（CA）
が自動的に要求を受け入れまたは拒否します（SCEP プロトコルでは、クライアントが証明書を要求し
てから、受け入れまたは拒否の応答を受信するまで CA にポーリングするという方式も許可されていま
す。ポーリング方式は、このリリースでは実装されていません）。
AnyConnect 管理者は、SCEP 要求の使用方法をクライアントプロファイルファイルで設定します。こ
のファイルは、クライアントにダウンロードされる XML ファイルで、クライアントの動作に影響を与
える設定が含まれています。表 3-11 に、SCEP 機能の設定に使用されるプロファイル要素を示します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-31
第3章
AnyConnect クライアント機能の設定
Simplified Certificate Enrollment Protocol の設定
SCEP プロトコルの使用は、AnyConnect クライアントをサポートするすべてのオペレーティングシス
テムでサポートされています。
ここでは、次の内容について説明します。
• 「自動または手動による証明書のプロビジョニングと更新」（P.3-32）
• 「証明書のプロビジョニングと更新を行う SCEP プロトコルの設定」（P.3-34）
• 「SCEP 要求後の証明書ストレージ」（P.3-38）
• 「証明書の期限切れの注意」（P.3-38）
• 「AnyConnect 用の SCEP プロトコルをサポートする ASA の設定」（P.3-38）
自動または手動による証明書のプロビジョニングと更新
SCEP 要求は、AnyConnect が証明書要求を自動的に開始するようにも、ユーザが証明書要求を手動で
要求するようにも設定できます。
自動的な証明書要求
AnyConnect は 2 とおりのケースで、新しい証明書を自動的に取得しようとします。どちらの場合も、
クライアント証明書の認証に失敗してからでないと、AnyConnect は自動的に新しい証明書を取得しよ
うとしません。
最初のケースは、クライアントプロファイルの <AutomaticSCEPHost> 要素で識別されるグループ
URL にユーザが接続しようとしたときです。AnyConnect は、SCEP に対応したグループ URL に基づ
いた VPN が確立された後で、SCEP 証明書要求を開始します。
証明書 ID を要求するプロンプトが、ユーザに表示される場合があります。証明書 ID は、認証局に提
供されるチャレンジパスワードまたはトークンであり、これによってユーザが認証局に対して識別さ
れます。この ID と、プロファイルの SCEP セクションのその他のデータを使用して、AnyConnect は
認証局に接続し、SCEP 取得プロセスを続行します。クライアントプロファイルで <CAURL> 要素の
PromptForChallengePW アトリビュートがイネーブルの場合、AnyConnect は証明書 ID を要求する
プロンプトを表示します。
自動証明書取得がトリガされる 2 番目の方式は、クライアントプロファイルで <CertificateSCEP> 要
素が定義されていない場合です。この場合、認証局へのアクセスをサポートするように設定された接続
プロファイルを使用して、ユーザは接続を試行します。VPN がアクティブになると、AnyConnect は
クライアントプロファイルを検索し、VPN アクティベーションの一部としてダウンロードして、接続
用に選択されたグループ URL がクライアントプロファイルにあるかどうかを確認します。
AnyConnect がクライアントプロファイルの <AutomaticSCEPHost> 要素でグループ URL を検出した
場合、これによって、前の方式で説明した方法と同じ方法で自動 SCEP 取得プロセスが起動されます。
手動による証明書取得
AnyConnect インターフェイスの [ 証明書の取得（Get Certificate）] ボタンまたは [ 登録（Enroll）] ボ
タンをクリックして、新しい証明書の要求をユーザが開始します。AnyConnect にこれらのボタンが表
示されるのは、AnyConnect プロファイルの SCEP セクションが設定されていて、次の条件のいずれか
に当てはまる場合です。
• ASA が証明書を要求したが、ホストの証明書が使用可能でないか、受け入れ可能でない。
• AnyConnect が使用中の現在の証明書に設定された有効期限が、AnyConnect プロファイルの
<CertificateExpirationThreshold> 要素で定義された日数以内に切れる。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-32
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
Simplified Certificate Enrollment Protocol の設定
• AnyConnect が使用中の現在の証明書の有効期限が切れている。
ユーザが証明書要求を開始できるのは、次のいずれかの場合だけです。
• ホストから認証局に直接アクセスできる。
• 公開された認証局である。
• 認証局にアクセスするための VPN トンネルが、ホストで確立済みである。
• 認証局の URL が、クライアントプロファイルの <CAURL> 要素で定義されている。
図 3-11
[ 証明書の取得（Get Certificate）] および [ 登録（Enroll）] ボタン
Windows 証明書の警告
自動または手動で Windows クライアントが初めて認証局から証明書を取得しようとしたときに、
図 3-12 のような警告が表示されることがあります。プロンプトが表示されたら、[ はい（Yes）] をク
リックしてください。ユーザ証明書とルート証明書を受信できます。[ いいえ（No）] をクリックする
と、ユーザ証明書の受信だけが行われ、認証はできません。
図 3-12
Windows 証明書のセキュリティ警告
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-33
第3章
AnyConnect クライアント機能の設定
Simplified Certificate Enrollment Protocol の設定
証明書のプロビジョニングと更新を行う SCEP プロトコルの設定
クライアントプロファイルで <CertificateSCEP> 要素が定義され、そのクライアントプロファイルが
グループポリシーで指定され、そのグループポリシーがユーザの接続プロファイルで指定されている
場合、AnyConnect クライアントは SCEP プロトコルを使用して証明書を取得します。
表 3-11 に、SCEP の設定に使用するクライアントプロファイルの要素を示します。例 3-1 に、クライ
アントプロファイルの SCEP 要素の例を示します。
クライアントプロファイルの設定方法の詳細については、「AnyConnect クライアントプロファイルの
設定と展開」（P.3-2）を参照してください。
表 3-11
SCEP の設定に使用するユーザプロファイルファイルの要素
要素名
親
説明
CertificateEnrollment
ClientInitialization
証明書登録の開始タグ。
CertificateExpirationThreshold CertificateEnrollment
証明書が失効することを AnyConnect が警告する、証明書の有効
期限前の日数。
デフォルト：0
値の範囲：0 ～ 180
この要素のデフォルト値は 0 で、警告を表示しません。最大値
は、証明書の有効期限の 180 日前です。
次の例では、CertificateExpirationThreshold が 14 日に設定され
ます。
（注）
AutomaticSCEPHost
CertificateEnrollment
CertificateExpirationThreshold がサポートされるのは、
SCEP がディセーブルのときだけです。クライアントプ
ロファイルで <CertificateSCEP> 要素が定義されていない
場合、SCEP がディセーブルになります。
このアトリビュートで ASA ホスト名が指定され、SCEP 証明書取
得用の接続プロファイル（トンネルグループ）が設定されている
場合、ホストは自動証明書取得を試行します。
許可される値：
• ASA\ 接続プロファイル名の完全修飾ドメイン名
• ASA\ 接続プロファイル名の IP アドレス
次の例では、AutomaticSCEPHost フィールドで、ASA のホスト
名として asa.cisco.com が指定され、SCEP 証明書取得用に設定
された接続プロファイル（トンネルグループ）の名前として
scep_eng が指定されます。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-34
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
Simplified Certificate Enrollment Protocol の設定
表 3-11
SCEP の設定に使用するユーザプロファイルファイルの要素
要素名
親
説明
CAURL
CertificateEnrollment
SCEP CA サーバを指定します。
許可される値：CA サーバの完全修飾ドメイン名または IP アドレ
ス。
次の例では、CAURL フィールドで SCEP CA サーバの名前とし
て ca01.cisco.com が指定されます。
CAURL のアトリビュート：
PromptForChallengePW：手動で証明書要求を行う場合に
使用します。ユーザが [ 証明書の取得（Get Certificate）] を
クリックすると、ユーザ名とワンタイムパスワードを要求す
るプロンプトが表示されます。
許可される値：true、false
次の例の PromptForChallengePW アトリビュートは、
「true」
に設定されています。
Thumbprint：CA の証明書サムプリント。SHA1 または
MD5 ハッシュを使用します。次の例の Thumbprint アトリ
ビュートは、8475B661202E3414D4BB223A464E6AAB8CA123AB
です。
CertificateSCEP
CertificateEnrollment
証明書の内容の要求方法を定義するセクション。次の例の
CertificateSCEP 要素を参照してください。
CADomain
CertificateSCEP
認証局のドメイン。
次の例で、CADomain は cisco.com です。
Name_CN
CertificateSCEP
証明書の通常名。
次の例では、Name_CN は %USER% で、これはユーザの ASA ユー
ザ名ログインクレデンシャルに対応します。
Department_OU
CertificateSCEP
証明書で指定されている部門名。
Company_O
CertificateSCEP
証明書で指定されている企業名。
State_ST
CertificateSCEP
証明書で指定されている州 ID。
Country_C
CertificateSCEP
証明書で指定されている国 ID。
Email_EA
CertificateSCEP
電子メールアドレス。
次の例では、Email_EA は %USER%.cisco.com です。%USER% は、
ユーザの ASA ユーザ名ログインクレデンシャルに対応します。
Domain_DC
CertificateSCEP
ドメインコンポーネント。次の例では、Domain_DC は
cisco.com に設定されています。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-35
第3章
AnyConnect クライアント機能の設定
Simplified Certificate Enrollment Protocol の設定
表 3-11
SCEP の設定に使用するユーザプロファイルファイルの要素
要素名
親
説明
DisplayGetCertButton
CertificateSCEP
AnyConnect GUI に [ 証明書の取得（Get Certificate）] ボタンを
表示するかどうかを決定します。管理者は、ユーザが AnyConnect
インターフェイスを操作するときに、何をしているのかがわかり
やすいようにボタンを設定できます。このボタンがない場合は、
AnyConnect が認証局に接続して証明書登録を試行していること
を示すメッセージボックスと共に、[ 登録（Enroll）] というラベ
ルの付いたボタンが表示されます。
デフォルト値：false
値の範囲：true、false
DisplayGetCertButton アトリビュートが false に設定されている
と、[ 証明書の取得（Get Certificate）] ボタンが AnyConnect
GUI に表示されません。証明書の認証のプロビジョニングと更新
をユーザが手動で要求できないようにする場合は、false を選択し
ます。
DisplayGetCertButton アトリビュートが true に設定されている
と、CertificateExpirationThreshold 要素で定義された期間内に証
明書の有効期限が切れるよう設定されている場合の期限切れ後、
または証明書がない場合に、[ 証明書の取得（Get Certificate）]
ボタンが表示されます。証明書の認証のプロビジョニングと更新
をユーザが手動で要求できるようにする場合は、true を選択しま
す。通常、ユーザはあらかじめ VPN トンネルを作成する必要な
く、認証局にアクセスできます。
次の例では、DisplayGetCertButton は false に設定されています。
ServerList
AnyConnectProfile
サーバリストの開始タグ。サーバリストは、AnyConnect が最初
に起動されたときに表示されます。ユーザは、ログインする ASA
を選択できます。次の例の ServerList を参照してください。
HostEntry
ServerList
ASA の設定の開始タグ。次の例の、2 番目の HostEntry 要素を参
照してください。
HostName
HostEntry
ASA のホスト名。次の例の、2 番目の HostEntry 要素では、
HostName 要素は Certificate Enroll です。
HostAddress
HostEntry
ASA の完全修飾ドメイン名。次の例の、2 番目の HostEntry 要素
では、HostAddress 要素は ourasa.cisco.com に設定されていま
す。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-36
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
Simplified Certificate Enrollment Protocol の設定
表 3-11
SCEP の設定に使用するユーザプロファイルファイルの要素
要素名
親
説明
AutomaticSCEPHost
HostEntry
この要素の定義および許可される値は、この表ですでに説明した
要素の定義および許可される値と同じです。ただし、この要素が
設定されているときに、ユーザがサーバリストからこの
HostEntry を選択すると、この値によって、ユーザプロファイル
ファイルで先に設定されている AutomaticSCEPHost の値が上書
きされます。
次の例では、この HostEntry の AutomaticSCEPHost に、
ourasa.cisco.com/scep_eng が設定されています。
CAURL
HostEntry
この要素の定義、許可される値、およびアトリビュートは、この
表ですでに説明した要素の定義、許可される値、およびアトリ
ビュートと同じです。ただし、この要素が設定されているとき
に、ユーザがサーバリストからこの HostEntry を選択すると、こ
の値によって、ユーザプロファイルファイルで先に設定されてい
る CAURL の値が上書きされます。
次の例では、この HostEntry の CAURL に、
ourasa.cisco.com/scep_eng が設定されています。
例 3-1
ユーザプロファイルの SCEP 要素の例
<AnyConnectProfile>
<ClientInitialization>
<CertificateEnrollment>
<CertificateExpirationThreshold>14</CertificateExpirationThreshold>
<AutomaticSCEPHost>asa.cisco.com/scep_eng</AutomaticSCEPHost>
<CAURL PromptForChallengePW="true"
Thumbprint="8475B661202E3414D4BB223A464E6AAB8CA123AB">ca01.cisco.com</CAURL>
<CertificateSCEP>
<CADomain>cisco.com</CADomain>
<Name_CN>%USER%</Name_CN>
<Department_OU>Engineering</Department_OU>
<Company_O>Cisco Systems</Company_O>
<State_ST>Colorado</State_ST>
<Country_C>US</Country_C>
<Email_EA>%USER%@cisco.com</Email_EA>
<Domain_DC>cisco.com</Domain_DC>
<DisplayGetCertButton>false</DisplayGetCertButton>
</CertificateSCEP>
</CertificateEnrollment>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>ABC-ASA</HostName>
<HostAddress>ABC-asa-cluster.cisco.com</HostAddress>
</HostEntry>
<HostEntry>
<HostName>Certificate Enroll</HostName>
<HostAddress>ourasa.cisco.com</HostAddress>
<AutomaticSCEPHost>ourasa.cisco.com/scep_eng</AutomaticSCEPHost>
<CAURL PromptForChallengePW="false"
Thumbprint="8475B655202E3414D4BB223A464E6AAB8CA123AB">ca02.cisco.com</CAURL>
</HostEntry>
</ServerList>
</AnyConnectProfile>
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-37
第3章
AnyConnect クライアント機能の設定
Simplified Certificate Enrollment Protocol の設定
（注）
本書の例をカットアンドペーストしないでください。カットアンドペーストすると、改行が入り、
XML が機能しなくなることがあります。代わりに、プロファイルテンプレートファイルをテキスト
エディタ（メモ帳やワードパッドなど）で開いてください。
SCEP 要求後の証明書ストレージ
SCEP 要求を通じて取得された証明書は、ユーザの個人用証明書ストアに保管されます。さらに、
Windows デスクトッププラットフォーム上で十分な権限がユーザにある場合、証明書はマシンストア
にも保存されます。MAC プラットフォームでは、SCEP 要求を通じて取得された証明書が、「ログイ
ン」キーチェーンだけに追加されます。Linux では、Firefox ブラウザ証明書ストアがサポートされて
います。
証明書の期限切れの注意
AnyConnect 管理者は、証明書が失効することをユーザに警告するように、クライアントプロファイル
を設定できます。<CertificateExpirationThreshold> 要素によって、証明書が失効することを
AnyConnect が警告する、証明書の有効期限前の日数を指定します。
この要素を使用すると、ユーザが SCEP 方式を使用して更新しないと証明書が失効するという警告を
発することもできます。この場合は、クライアントプロファイルで <CertificateExpirationThreshold>
要素を定義しますが、<CertificateSCEP> 要素は定義しません。
手動で証明書を更新するように SCEP 取得プロセスが設定されている場合、ユーザは「手動による証
明書取得」（P.3-32）の手順に従います。自動的に証明書を更新するように SCEP 取得プロセスが設定
されている場合は、AnyConnect が「自動的な証明書要求」（P.3-32）の手順に従います。
AnyConnect 用の SCEP プロトコルをサポートする ASA の設定
プライベート Registration Authority（RA; 登録局）へのアクセスを提供するため、ASA 管理者は、目
的の RA へのプライベート側ネットワーク接続を制限する ACL が含まれるグループ URL を作成する
必要があります。自動的に証明書を取得するには、ユーザがこのグループ URL に接続し、認証を行う
必要があります。
ユーザがこのグループ URL で認証を行うと、AnyConnect は接続プロファイルに割り当てられている
クライアントプロファイルをダウンロードします。クライアントプロファイルには、
<CertificateEnrollment> セクションがあります。このセクションの情報を使用して、クライアントは
自動的に、クライアントプロファイルの <CAURL> 要素で指定されている認証局に接続し、証明書登
録を開始します。ASA 管理者は、次の設定作業を実行する必要があります。
• 特に設定したグループを指すグループ URL を ASA で作成する。
• ユーザのクライアントプロファイルの <AutomaticSCEPHost> 要素で、このグループ URL を指定
する。
• <CertificateEnrollment> セクションを含むクライアントプロファイルを、特に設定したグループ
に結び付ける。
• 特に設定したグループに ACL を設定して、プライベート側 RA へのトラフィックを制限する。
SCEP がイネーブルされたグループがユーザに公開されることを防ぐため、ASA では「イネーブル」
にしないでください。ここで説明した実装を使用すれば、ユーザがグループにアクセスするために、グ
ループを公開する必要がありません。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-38
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
証明書照合の設定
ASA での証明書のみの認証の設定
複数のグループを使用する環境で証明書のみの認証をサポートするには、管理者が複数のグループ
URL をプロビジョニングします。各グループ URL には、さまざまなプロファイルと、グループ固有の
証明書マップを作成するためのカスタマイズされたデータが含まれます。たとえば、ASA に開発部の
Department_OU 値をプロビジョニングし、このプロセスによる証明書が ASA に提供されたときに、
このグループにユーザを配置するようにできます。
証明書照合の設定
AnyConnect クライアントは、次の証明書照合タイプをサポートします。これらのいくつか、またはす
べてを使用して、クライアント証明書を照合できます。証明書照合は、AnyConnect プロファイルで設
定できるグローバル基準です。次の基準があります。
• Key Usage
• Extended Key Usage
• 認定者名
Key Usage 証明書照合
証明書の key usage は、指定された証明書で実行できる幅広い操作の制約のセットを提供します。サ
ポートされるセットは、次のとおりです。
• DIGITAL_SIGNATURE
• NON_REPUDIATION
• KEY_ENCIPHERMENT
• DATA_ENCIPHERMENT
• KEY_AGREEMENT
• KEY_CERT_SIGN
• CRL_SIGN
• ENCIPHER_ONLY
• DECIPHER_ONLY
プロファイルには、0 個以上の照合基準を含めることができます。1 つ以上の基準が指定されている場
合、証明書が一致すると見なされるには、少なくとも 1 つの基準が一致している必要があります。
「証明書照合の例」（P.3-41）の例で、これらのアトリビュートを設定する方法を示します。
Extended Key Usage 証明書照合
この照合では、Extended Key Usage フィールドに基づいて、クライアントが使用できる証明書を管理
者が制限できます。表 3-12 に、既知の制約のセットと、それに対応するオブジェクト ID（OID）を示
します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-39
第3章
AnyConnect クライアント機能の設定
証明書照合の設定
表 3-12
Extended Key Usage 証明書
制約
OID
ServerAuth
1.3.6.1.5.5.7.3.1
ClientAuth
1.3.6.1.5.5.7.3.2
CodeSign
1.3.6.1.5.5.7.3.3
EmailProtect
1.3.6.1.5.5.7.3.4
IPSecEndSystem
1.3.6.1.5.5.7.3.5
IPSecTunnel
1.3.6.1.5.5.7.3.6
IPSecUser
1.3.6.1.5.5.7.3.7
TimeStamp
1.3.6.1.5.5.7.3.8
OCSPSign
1.3.6.1.5.5.7.3.9
DVCS
1.3.6.1.5.5.7.3.10
その他すべての OID（本書の例で使用している 1.3.6.1.5.5.7.3.11 など）は、「カスタム」と見なされま
す。管理者は、既知のセットに必要な OID がない場合、独自の OID を追加できます。プロファイルに
は、0 個以上の照合基準を含めることができます。証明書が一致すると見なされるには、指定されてい
るすべての基準に一致している必要があります。AnyConnect クライアントがエンドポイントに自動的
にダウンロードする、AnyConnectProfile.tmpl という名前の AnyConnect プロファイルの例を参照し
てください。
証明書認定者名マッピング
証明書認定者名マッピング機能によって、管理者は、クライアントが使用できる証明書を特定の基準お
よび基準照合条件に一致する証明書に制限できます。表 3-13 に、サポートされる基準を示します。
表 3-13
証明書認定者名マッピングの基準
ID
説明
CN
SubjectCommonName
SN
SubjectSurName
GN
SubjectGivenName
N
SubjectUnstructName
I
SubjectInitials
GENQ
SubjectGenQualifier
DNQ
SubjectDnQualifier
C
SubjectCountry
L
SubjectCity
SP
SubjectState
ST
SubjectState
O
SubjectCompany
OU
SubjectDept
T
SubjectTitle
Cisco AnyConnect VPN Client アドミニストレータガイド
3-40
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
証明書照合の設定
表 3-13
証明書認定者名マッピングの基準（続き）
ID
説明
CN
SubjectCommonName
EA
SubjectEmailAddr
DC
DomainComponent
ISSUER-CN
IssuerCommonName
ISSUER-SN
IssuerSurName
ISSUER-GN
IssuerGivenName
ISSUER-N
IssuerUnstructName
ISSUER-I
IssuerInitials
ISSUER-GENQ
IssuerGenQualifier
ISSUER-DNQ
IssuerDnQualifier
ISSUER-C
IssuerCountry
ISSUER-L
IssuerCity
ISSUER-SP
IssuerState
ISSUER-ST
IssuerState
ISSUER-O
IssuerCompany
ISSUER-OU
IssuerDept
ISSUER-T
IssuerTitle
ISSUER-EA
IssuerEmailAddr
ISSUER-DC
IssuerDomainComponent
プロファイルには、0 個以上の照合基準を含めることができます。証明書が一致すると見なされるに
は、指定されているすべての基準に一致している必要があります。認定者名照合によって、追加の照合
基準が提供されます。たとえば、管理者が、指定した文字列が証明書に含まれている必要があるか、含
まれていてはいけないかを指定できます。また、文字列のワイルドカードも使用できます。
AnyConnect クライアントがエンドポイントに自動的にダウンロードする、AnyConnectProfile.tmpl と
いう名前の AnyConnect プロファイルの例を参照してください。
証明書照合の例
（注）
この例、およびそれ以降の例で使用する KeyUsage、ExtendedKeyUsage、および DistinguishedName
のプロファイル値は単なる例です。使用する証明書に適用する CertificateMatch 基準だけを設定してく
ださい。
次の例で、クライアント証明書選択を調整するために使用できるアトリビュートのイネーブル方法を示
します。
<CertificateMatch>
<!-Specifies Certificate Key attributes that can be used for choosing
acceptable client certificates.
-->
<KeyUsage>
<MatchKey>Non_Repudiation</MatchKey>
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-41
第3章
AnyConnect クライアント機能の設定
証明書照合の設定
<MatchKey>Digital_Signature</MatchKey>
</KeyUsage>
<!-Specifies Certificate Extended Key attributes that can be used for
choosing acceptable client certificates.
-->
<ExtendedKeyUsage>
<ExtendedMatchKey>ClientAuth</ExtendedMatchKey>
<ExtendedMatchKey>ServerAuth</ExtendedMatchKey>
<CustomExtendedMatchKey>1.3.6.1.5.5.7.3.11</CustomExtendedMatchKey>
</ExtendedKeyUsage>
<!-Certificate Distinguished Name matching allows for exact
match criteria in the choosing of acceptable client
certificates.
-->
<DistinguishedName>
<DistinguishedNameDefinition Operator="Equal" Wildcard="Enabled">
<Name>CN</Name>
<Pattern>ASASecurity</Pattern>
</DistinguishedNameDefinition>
<DistinguishedNameDefinition Operator="Equal" Wildcard="Disabled">
<Name>L</Name>
<Pattern>Boulder</Pattern>
</DistinguishedNameDefinition>
</DistinguishedName>
</CertificateMatch>
ClientInitialization セクションの CertificateMatch セクションで、クライアント証明書選択を調整する
プリファレンスを定義します。特に記述がない限り、これらのパラメータにはデフォルト値がありませ
ん。そのため、パラメータを指定しなかった場合は無効になります。表 3-14 に、これらのパラメータ
のまとめと、可能な値を示します。
CertificateMatch セクションをプロファイルに含めるのは、認証の一部に証明書を使用する場合だけで
す。ユーザ証明書を一意に識別するために必要な CertificateMatch サブセクション（KeyUsage、
ExtendedKeyUsage、および DistinguishedName）だけをプロファイルに含めてください。これらのセ
クションのデータは、照合するユーザ証明書に固有なものにする必要があります。
表 3-14
証明書照合パラメータ
XML タグ名
CertificateMatch
可能な値
説明
例
該当なし
グループ ID。
<CertificateMatch>...
</CertificateMatch>
KeyUsage
該当なし
グループ ID。
<KeyUsage>
<MatchKey>Non_Repudiation</MatchKey>
</KeyUsage>
CertificateMatch の子
パラメータ。これらの
アトリビュートを使用
して、受け入れ可能な
クライアント証明書を
指定します。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-42
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
証明書照合の設定
表 3-14
証明書照合パラメータ（続き）
XML タグ名
MatchKey
ExtendedKeyUsage
可能な値
説明
例
Decipher_Only
Encipher_Only
CRL_Sign
Key_Cert_Sign
Key_Agreement
Data_Encipherment
Key_Encipherment
Non_Repudiation
Digital_Signature
KeyUsage グループの
MatchKey アトリ
<KeyUsage>
<MatchKey>Non_Repudiation</MatchKey>
<MatchKey>Digital_Signature</MatchKey>
</KeyUsage>
該当なし
ビュートで、受け入れ
可能なクライアント証
明書の選択に使用でき
るアトリビュートを指
定します。1 つ以上の
照合キーを指定します。
指定されたキーの少な
くとも 1 つが一致する
証明書が選択されます。
グループ ID。
CertificateMatch の子
パラメータ。これらの
アトリビュートを使用
して、受け入れ可能な
クライアント証明書を
選択します。
ExtendedMatchKey
ClientAuth
ServerAuth
CodeSign
EmailProtect
IPSecEndSystem
IPSecTunnel
IPSecUser
TimeStamp
OCSPSign
DVCS
<ExtendedKeyUsage>
<ExtendedMatchKey>ClientAuth</ExtendedMatch
Key>
</ExtendedKeyUsage>
ExtendedKeyUsage グ
ループの
ExtendedMatchKey
<ExtendedMatchKey>ClientAuth</ExtendedMatch
Key>
<ExtendedMatchKey>ServerAuth</ExtendedMatch
で、 Key>
受け入れ可能なクライ
アント証明書の選択に
使用できるアトリ
ビュートを指定します。
0 個以上の拡張照合
キーを指定します。指
定されたすべてのキー
が一致する証明書が選
択されます。
<CustomExtendedMatchKey>1.3.6.1.5.5.7.3.11<
CustomExtendedMatch 既知の MIB OID 値。 ExtendedKeyUsage グ
Key
1.3.6.1.5.5.7.3.11 なループで、0 個以上のカ <CustomExtendedMatchKey>
ど。
DistinguishedName
n/a
スタム拡張照合キーを指
定できます。指定された
すべてのキーが一致する
証明書が選択されます。
キーは、OID 形式で指
定する必要があります
（1.3.6.1.5.5.7.3.11 な
ど）。
グループ ID。
<DistinguishedName>...</DistinguishedName>
DistinguishedName グ
ループでは、証明書認
定者名照合によって受
け入れ可能なクライア
ント証明書を選択する
ための、一致基準を指
定できます。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-43
第3章
AnyConnect クライアント機能の設定
証明書照合の設定
表 3-14
証明書照合パラメータ（続き）
可能な値
XML タグ名
DistinguishedNameDef 太字はデフォルト値
inition
を示しています。
Wildcard:
“Enabled”
“Disabled”
Operator:
“Equal” or ==
“NotEqual”or !==
MatchCase:
“Enabled”
“Disabled”
Name
Pattern
CN
DC
SN
GN
N
I
GENQ
DNQ
C
L
SP
ST
O
OU
T
EA
ISSUER-CN
ISSUER-DC
ISSUER-SN
ISSUER-GN
ISSUER-N
ISSUER-I
ISSUER-GENQ
ISSUER-DNQ
ISSUER-C
ISSUER-L
ISSUER-SP
ISSUER-ST
ISSUER-O
ISSUER-OU
ISSUER-T
ISSUER-EA
説明
例
DistinguishedNameDef <DistinguishedNameDefinition
inition で、照合で使用 Operator=”Equal” Wildcard=”Enabled”
Matchcase=”Enabled”>
する単一の認定者名ア
<Name>CN</Name>
トリビュートを定義す
<Pattern>ASASecurity</Pattern>
る演算子のセットを指 </DistinguishedNameDefinition>
定します。Operator は、
照合を実行するときに
使用する動作を指定し
ます。MatchCase は、
パターンマッチングで
大文字と小文字を区別
するかどうかを指定し
ます。
照合で使用する
DistinguishedName ア
トリビュート名。最大
で 10 個のアトリビュー
トを指定できます。
A string (1-30
照合で使用する文字列
characters)
（パターン）を指定しま
enclosed in double
す。この定義では、ワ
quotes. With
wildcards enabled, イルドカードパターン
the pattern can be マッチはデフォルトで
anywhere in the
ディセーブルになって
string.
います。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-44
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
認証証明書選択のプロンプト
認証証明書選択のプロンプト
以前のリリースでは、ユーザが証明書を使用して AnyConnect セッションを認証するときに、
AnyConnect は何も表示することなく、一致する証明書を提供していました。本リリースからは、有効
な証明書のリストをユーザに表示し、セッションの認証に使用する証明書を選択するよう、
AnyConnect を設定できるようになりました。
この設定は、AnyConnect がサポートする Mobile 以外の Windows オペレーティングシステムだけで
可能です。
AutomaticCertSelection を使用したクライアントプロファイルの設定
ユーザが認証証明書を選択できるようにするには、AnyConnect 管理者が、<AutomaticCertSelection>
要素を false に設定したクライアントプロファイルをユーザに提供する必要があります。クライアント
プロファイルの編集および配布の方法については、「AnyConnect クライアントプロファイルの設定と
展開」（P.3-2）を参照してください。
ここでは、<AutomaticCertSelection> 要素の説明と、クライアントプロファイルでの実例を示します。
表 3-15
AutomaticCertSelection 要素の説明
親
説明
要素名
AutomaticCertSelection
ClientInitialization
ユーザが AnyConnect セッションの認証に使用する証明書を選択すること
を、許可または禁止します。このフィールドがあると、[AnyConnect プリ
ファレンス（AnyConnect Preferences）] ダイアログボックスに [ 自動証
明書選択（Automatic certificate selection）] チェックボックスが表示され
ます。
許可される値：
• true：値を true に設定すると、AnyConnect が自動的に認証証明書を
選択できるようになります。
• false：値を false に設定すると、ユーザが認証証明書を選択するため
のプロンプトが表示されます。
デフォルト値：true
図 3-13
クライアントプロファイルの AutomaticCertSelection 要素
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<AnyConnectProfile>
<ClientInitialization>
<AutomaticCertSelection>false</AutomaticCertSelection>
</ClientInitialization>
<AnyConnectProfile>
注意
本書の例をカットアンドペーストしないでください。カットアンドペーストすると、改行が入り、
XML が機能しなくなることがあります。代わりに、プロファイルテンプレートファイルをテキス
トエディタで開いてください。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-45
第3章
AnyConnect クライアント機能の設定
認証証明書選択のプロンプト
ユーザによる、AnyConnect プリファレンスの自動証明書選択の設定
クライアントプロファイルに <AutomaticCertSelection> 要素がある場合、[AnyConnect プリファレン
ス（AnyConnect Preferences）] ダイアログボックスに [ 自動証明書選択（Automatic certificate
selection）] チェックボックスが表示されます。ユーザは、[ 自動証明書選択（Automatic certificate
selection）] チェックボックスをオンまたはオフにすることで、自動証明書選択をオンまたはオフにで
きます。
図 3-14
[ 自動証明書選択（Automatic certificate selection）] チェックボックス
Cisco AnyConnect VPN Client アドミニストレータガイド
3-46
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
バックアップサーバリストパラメータの設定
バックアップサーバリストパラメータの設定
ユーザが選択したサーバに障害が発生した場合にクライアントが使用する、バックアップサーバのリ
ストを設定できます。これらのサーバは、AnyConnect クライアントプロファイルの
ClientInitialization セクションで指定します。場合によっては、BackupServerList でホスト固有の設定
を指定することがあります。
これらのパラメータにはデフォルト値がありません。そのため、パラメータを指定しなかった場合は無
効になります。表 3-16 に、これらのパラメータと可能な値を示します。
（注）
BackupServerList セクションをプロファイルに含めるのは、バックアップサーバを指定する場
合だけです。
表 3-16
バックアップサーバパラメータ
名前
可能な値
説明
例
BackupServerList
n/a
グループ ID。
<BackupServerList>...</BackupServerList>
HostAddress
An IP address or a
Full-Qualified
Domain Name (FQDN)
バックアップサーバリ <BackupServerList>
<HostAddress>bos</HostAddress>
ストに含めるホストア
ドレスを指定します。 <HostAddress>bos.example.com</HostAddress>
</BackupServerList>
Windows Mobile デバイスへの AnyConnect のインス
トール
セキュリティアプライアンスでは、モバイルデバイス上で AnyConnect の WebLaunch がサポートさ
れません。そのため、モバイルユーザは、AnyConnect Client for Windows Mobile をダウンロードし
てインストールする必要があります。企業のコンピュータの場合と同じように、従業員に支給する
Windows Mobile デバイスに、AnyConnect を事前展開できます。
AnyConnect Client for Windows Mobile をダウンロードおよびインストールするには、次の手順に従っ
てください。
ステップ 1
次のいずれかのファイルを Cisco AnyConnect VPN Client Download Software サイトからダウンロー
ドして、Windows Mobile クライアントを取得します。
• すべてのクライアントインストールパッケージが含まれるファイル：
anyconnect-all-packages—AnyConnectRelease_Number-k9.zip
• シスコによって署名された Windows Mobile デバイス用の CAB パッケージ：
anyconnect-wince-ARMv4I-AnyConnectRelease_Number-k9.cab
• Windows Mobile プラットフォーム用の ActiveSync MSI パッケージ：
anyconnect-wince-ARMv4I-activesync-AnyConnectRelease_Number-k9.msi
ステップ 2
anyconnect-all-packages—AnyConnectRelease_Number-k9.zip ファイルをダウンロードした場合は、
このファイルを解凍します。
ステップ 3
クライアントへのリンクをユーザに提供する場合は、企業のサーバにファイルを転送します。
ステップ 4
Windows Mobile デバイスが、最新の『AnyConnect Release Notes』に記載されたシステム要件を満た
していることを確認します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-47
第3章
AnyConnect クライアント機能の設定
Windows Mobile のポリシー設定
ステップ 5
何らかの方法で、イントラネットサーバまたはローカルコンピュータからモバイルデバイスに .cab ま
たは .msi ファイルを転送します。たとえば、次の方法があります。
• 無線による Microsoft ActiveSync
• LAN または無線による HTTP、FTP、SSH、または共有ファイル
• Bluetooth
• （USB）ケーブル
• メディアカードによる転送
ステップ 6
モバイルデバイスを使用して転送したファイルを開き、インストールウィザードに従います。
Windows Mobile のポリシー設定
エンドユーザが Windows Mobile デバイスを使用して接続できるように、Mobile のポリシーパラメー
タを設定します。これらのパラメータは、Windows Mobile デバイスだけに適用されます。パラメータ
を含めるのは、エンドユーザが Windows Mobile を使用する場合だけにしてください。Windows
Mobile デバイスのサポートに関する詳しい最新情報については、最新バージョンの『Release Notes
for Cisco AnyConnect VPN Client』を参照してください。
（注）
Windows Mobile ポリシーの強制がサポートされるのは、Windows Mobile 5、Windows Mobile
5+AKU2、および Windows Mobile 6 だけです。Windows Mobile 6.1 ではサポートされていません。
強制できないセキュリティポリシーを要求するよう設定たセキュアゲートウェイに接続しようとする
と、失敗します。Windows Mobile 6.1 デバイスが含まれる環境では、管理者が Windows Mobile 6.1
ユーザ用に Mobile ポリシー強制を含まない別のグループを作成するか、セキュアゲートウェイで
Mobile ポリシー強制をディセーブルにする必要があります。
次のアトリビュートを指定すると、追加の設定をチェックできます。追加チェックが実行されるプラッ
トフォームが、Adaption Kit Upgrade 2（AKU2）の一部として配布された Messaging and Security
Feature Pack を適用した Windows Mobile 5 の場合は、「WM5AKU2+」で示してあります。
（注）
この設定では、すでに存在するポリシーが確認されるだけで、変更されません。
表 3-17 に、MobilePolicy パラメータとその値を示します。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-48
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
Windows Mobile のポリシー設定
表 3-17
Mobile のポリシーパラメータ
パラメータ
可能な値
説明
例
MobilePolicy
n/a
グループ ID。
<MobilePolicy>...</MobilePolicy>
DeviceLockRequired
該当なし
グループ ID。MobilePolicy グルー <DeviceLockRequired>
MaximumTimeoutMinutes=”60”
プの DeviceLockRequired は、
MinimumPasswordLength=”4”
VPN 接続を確立する前に、パス
PasswordComplexity=”pin”
ワードまたは PIN を使用して
</DeviceLockRequired>
Windows Mobile デバイスを設定
する必要があることを示します。
この設定が有効なのは、Microsoft
のデフォルト Local Authentication
Provider（LAP; ローカル認証プロ
バイダー）を使用する Windows
Mobile デバイスだけです。
（注）
MaximumTimeoutMinutes 任意の負ではない
整数
AnyConnect クライアント
は、Windows Mobile 5.0、
WM5AKU2+、および
Windows Mobile 6.0 でモ
バイルデバイスロックを
サポートしますが、
Windows Mobile 6.1 では
サポートしません。
DeviceLockRequired グループのこ <DeviceLockRequired>
MaximumTimeoutMinutes=”60”
のパラメータに負ではない数値が
MinimumPasswordLength=”4”
設定された場合、設定が必要な、
PasswordComplexity=”pin”
デバイスロックが有効になるまで </DeviceLockRequired>
の最大時間を分単位で指定します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-49
第3章
AnyConnect クライアント機能の設定
64 ビット Linux への AnyConnect のインストール
表 3-17
Mobile のポリシーパラメータ（続き）
パラメータ
可能な値
説明
MinimumPasswordLength
任意の負ではない
整数
DeviceLockRequired グループのこ <DeviceLockRequired>
のパラメータに負ではない数値が
設定された場合、デバイスロック
に使用する PIN またはパスワード
の文字数が、指定された数値以上
必要であることを示します。
例
MaximumTimeoutMinutes=”60”
MinimumPasswordLength=”4”
PasswordComplexity=”pin”
</DeviceLockRequired>
この設定は、強制する前に、
Exchange サーバと同期してモバイ
ルデバイスにプッシュする必要が
あります。（WM5AKU2+）
PasswordComplexity
"alpha"：英数字の指定された場合、左のカラムで示
パスワードが必要。すパスワードサブタイプのチェッ
クが行われます。
"pin"：数値の PIN
が必要。
"strong"：
Microsoft の定義に
この設定は、強制する前に、
Exchange サーバと同期してモバイ
ルデバイスにプッシュする必要が
あります。（WM5AKU2+）
<DeviceLockRequired>
MaximumTimeoutMinutes=”60”
MinimumPasswordLength=”4”
PasswordComplexity=”pin”
</DeviceLockRequired>
よる、強い英数字
のパスワードが必
要。7 文字以上で、
大文字、小文字、
数字、区切り文字
のうち少なくとも
3 種類が含まれて
いること。
（注）
AnyConnect for Windows Mobile を使用する前に、データプランについてサービスプロバイダーに確
認してください。現在のプランのデータ使用制限を超えると、追加料金がかかることがあります。
64 ビット Linux への AnyConnect のインストール
Ubuntu 9 の x86_64 バージョンに AnyConnect をインストールするには、次の手順に従ってください。
ステップ 1
次のコマンドを入力して、32 ビット互換ライブラリをインストールします。
administrator@ubuntu-904-64:/usr/local$ sudo apt-get install ia32-libs lib32nss-mdns
ステップ 2
32 ビット版の FireFox を http://www.mozilla.com からダウンロードして、/usr/local/firefox にインス
トールします。
クライアントは、必要な NSS 暗号化ライブラリを先にこのディレクトリで検索します。
ステップ 3
次のコマンドを入力して、ここで示すディレクトリに Firefox インストールを展開します。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-50
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
Mac OS で Java インストーラが失敗した場合の手動インストールオプションの使用
administrator@ubuntu-904-64:/usr/local$ sudo tar -C /usr/local -xvjf
~/Desktop/firefox-version.tar.bz2
ステップ 4
AnyConnect を使用するユーザごとに、少なくとも 1 回、Firefox を実行します。
これによって、AnyConnect が Firefox 証明書ストアと対話するために必要な .mozilla/firefox プロファ
イルがユーザのホームディレクトリに作成されます。
ステップ 5
スタンドアロンモードで AnyConnect クライアントをインストールします。
Mac OS で Java インストーラが失敗した場合の手動インス
トールオプションの使用
Mac 上で WebLaunch を使用して AnyConnect を起動し、Java インストールが失敗した場合は、ダイ
アログボックスに [ 手動インストール（Manual Install）] リンクが表示されます。次のように進めま
す。
ステップ 1
[ 手動インストール（Manual Install）] をクリックします。
ダイアログボックスに、vpnsetup.sh ファイルを保存するオプションが表示されます。
ステップ 2
vpnsetup.sh ファイルを Mac 上に保存します。
ステップ 3
ターミナルウィンドウを開き、CD コマンドを使用して、保存したファイルがあるディレクトリに移動
します。
ステップ 4
次のコマンドを入力します。
sudo /bin/sh vpnsetup.sh
vpnsetup スクリプトによって、AnyConnect インストールが開始されます。
ステップ 5
インストール後、[ アプリケーション（Applications）] > [Cisco] > [Cisco AnyConnect VPN Client] の
順に選択して、AnyConnect VPN セッションを開始します。
起動時自動接続の設定
デフォルトでは、AnyConnect は起動時に、AnyConnect クライアントプロファイルで指定されている
セキュアゲートウェイへの VPN 接続を自動的に確立します。接続時に AnyConnect は、セキュアゲー
トウェイから提供されたプロファイルとローカルプロファイルが同じでない場合、セキュアゲート
ウェイから提供されたプロファイルでローカルプロファイルを置き換え、このプロファイルの設定を
適用します。
デフォルトの自動接続設定を修正するには、クライアントプロファイルの <ClientInitialization> セク
ションに <AutoConnectOnStart> タグを挿入します。
自動接続をディセーブルにした状態でユーザが AnyConnect を起動した場合、AnyConnect GUI には、
デフォルトでユーザ制御可能として構成された設定が表示されます。ユーザは、 AnyConnect GUI の
[ 接続（Connect）] ドロップダウンリストからセキュアゲートウェイの名前を選択し、[ 接続
（Connect）] をクリックする必要があります。接続時に AnyConnect は、セキュリティアプライアンス
から提供された AnyConnect クライアントプロファイルの設定を適用します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-51
第3章
AnyConnect クライアント機能の設定
自動再接続の設定
表 3-18 に、<AutoConnectOnStart> タグに関する情報を示します。
表 3-18
AutoConnectOnStart タグ
XML タグ名
AutoConnectOnStart
デフォルト値1
可能な値2
ユーザ制御可能
デフォルトでユー
ザ制御可能3
サポートされる OS
true
true
はい
はい
すべて
false
1. プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。
2. <AutoConnectOnStart>true</AutoConnectOnStart> のように、開始タグと終了タグの間にパラメータ値を挿入します。
3. ユーザ制御アトリビュートに関連付けられた値に応じて [AnyConnect プリファレンス（AnyConnect Preferences）] ダイアログボックスに
パラメータ値が表示され、これらの値を変更できます。ユーザ制御アトリビュートはオプションです。挿入しなかった場合、AnyConnect
はデフォルト値を使用します。ユーザ制御を許可または拒否するには、
<AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart> のように、ユーザ制御アトリビュートを開始タグの中に挿入
します。
自動再接続の設定
AnyConnect は、自動再接続の動作を設定する、次の 2 つの XML タグをサポートしています。
• AutoReconnect：デフォルトで、AnyConnect は接続が失われたときに VPN 接続の再確立を試行
します。このタグのデフォルト設定は、true です。
• AutoReconnectBehavior：デフォルトで、AnyConnect はシステムが一時停止したときに VPN
セッションに割り当てられたリソースを解放し、システムがレジュームした後で再接続を試行しま
せん。このタグのデフォルト設定は、DisconnectOnSuspend です。
システムの一時停止とは、低電力スタンバイ、Windows の「休止状態」、Mac OS または Linux の「ス
リープ」のことです。システムのレジュームとは、システムの一時停止からの回復です。
（注）
AnyConnect 2.3 以前では、システムの一時停止に対するデフォルトの動作として、VPN セッションに
割り当てられたリソースを保持し、システムのレジューム後に VPN 接続を再確立していました。この
動作を維持するには、AutoReconnectBehavior タグに値 ReconnectAfterResume を割り当てます。
IPsec クライアントとは異なり、AnyConnect は VPN セッションの切断から回復できます。初期接続に
使用したメディアにかかわらず、AnyConnect はセッションを再確立できます。たとえば、有線、無
線、または 3G のセッションを再確立できます。
自動再接続設定を修正するには、クライアントプロファイルの <ClientInitialization> セクションに
<AutoReconnect> タグを挿入します。次の例で、接続が失われたときの AnyConnect VPN 再接続を
ディセーブルにして、動作をユーザ制御可能にする方法を示します。
<AutoReconnect UserControllable=”true”>false
</AutoReconnect>
（注）
自動再接続をディセーブルにすると、AnyConnect は接続解除の原因にかかわらず、再接続を試行しま
せん。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-52
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
自動再接続の設定
システムのレジュームに対応する動作を設定するには、デフォルトで自動再接続がイネーブルになって
いても、自動再接続をイネーブルにする必要があります。<AutoReconnect> タグの中に、
<AutoReconnectBehavior> タグを挿入してください。次の例で、システムがレジュームした後の
AnyConnect VPN 再接続動作をイネーブルにして、両方の動作をユーザ制御可能にする方法を示しま
す。
<AutoReconnect UserControllable=”true”>true
<AutoReconnectBehavior
UserControllable=”true”>ReconnectAfterResume</AutoReconnectBehavior>
</AutoReconnect>
表 3-19 に、これらのタグとデフォルト値を示します。
表 3-19
AutoReconnect および AutoReconnectBehavior クライアント初期化タグ
デフォルト
でユーザ制
御可能3
サポート
される
タグ
デフォルト値1
可能な値2
ユーザ制御
可能
AutoReconnect
true
true：VPN セッションが中断さ
はい
いいえ
すべて
はい
いいえ
Windows
OS
れた場合、クライアントはセッ
ションに割り当てられたリソー
スを保持し、再接続を試行しま
す。
false：VPN セッションが中断さ
れた場合、クライアントはセッ
ションに割り当てられたリソー
スを解放し、再接続を試行しま
せん。
AutoReconnectBehavior DisconnectOnSuspend
注：AutoReconnect が
true の場合だけ適用され
ます。
ReconnectAfterResume：クラ
イアントは、システムの一時停
止中に、VPN セッションに割り
当てられたリソースを保持しま
す。システムのレジューム後に、
再接続を試行します。
Mac OS
DisconnectOnSuspend：クライ
アントは、システムの一時停止
時に、VPN セッションに割り当
てられたリソースを解放します。
システムのレジューム後に、再
接続を試行しません。
1. プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。
2. <AutoReconnect>true</AutoReconnect> のように、開始タグと終了タグの間にパラメータ値を挿入します。
3. ユーザ制御アトリビュートに関連付けられた値に応じて [AnyConnect プリファレンス（AnyConnect Preferences）] ダイアログボックスに
パラメータ値が表示され、これらの値を変更できます。ユーザ制御アトリビュートはオプションです。挿入しなかった場合、AnyConnect
はデフォルト値を使用します。ユーザ制御を許可または拒否するには、<AutoReconnect UserControllable="true">true</AutoReconnect> の
ように、ユーザ制御アトリビュートを開始タグの中に挿入します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-53
第3章
AnyConnect クライアント機能の設定
Host Scan のインストール
Host Scan のインストール
ホストが VPN 接続を確立することによって発生するイントラネット感染の可能性を減らすには、Host
Scan を設定して、AnyConnect セッションを確立する条件としてアンチウイルス、アンチスパイウェ
ア、ファイアウォールソフトウェア、および関連する定義ファイルの更新をダウンロードおよび
チェックします。Host Scan は、Cisco Secure Desktop（CSD）に含まれています。CSD は
AnyConnect と協調して動作しますが、別の製品であり、本書では扱いません。CSD の詳細と CSD の
インストールについては、『Release Notes for Cisco Secure Desktop 』および『Cisco Secure Desktop
Configuration Guide for Cisco ASA 5500 Series Administrators』を参照してください。
サーバリストの設定
プロファイルの主要な使用目的の 1 つは、ユーザが接続サーバをリストできるようにすることです。
ユーザは、適切なサーバを選択します。このサーバリストは、ホスト名とホストアドレスのペアで構
成されています。ホスト名は、ホストを参照するために使用するエイリアス、FQDN、または IP アド
レスにできます。FQDN または IP アドレスを使用する場合、HostAddress 要素は必要ありません。接
続を確立するときに、ホストアドレスが指定されていれば、そのアドレスを接続アドレスとして使用
します。これによって、エイリアスまたはその他の名前をホスト名として使用できます。名前は、ネッ
トワークアドレス指定可能なホストに直接結び付ける必要はありません。ホストアドレスが指定され
ていない場合は、ホスト名に接続しようと試みます。
サーバリストの定義の一部として、デフォルトサーバを指定できます。このデフォルトサーバは、ク
ライアントを使用してユーザが初めて接続を試行するときなどに指定されます。ユーザがデフォルト以
外のサーバに接続すると、このユーザに関して、選択されたサーバが新しいデフォルトになります。
ユーザの選択によって、プロファイルの内容が変わることはありません。ユーザの選択は、ユーザプ
リファレンスに入力されます。
AnyConnect クライアントがエンドポイントに自動的にダウンロードする、AnyConnectProfile.tmpl と
いう名前の AnyConnect プロファイルの例を参照してください。
表 3-20 に、ServerList パラメータとその値を示します。この表では、参照するタグの名前を太字で示
してあります。これらの例中の値は、説明のためだけに使用されます。実際の設定には使用しないでく
ださい。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-54
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
サーバリストの設定
表 3-20
サーバリストパラメータ
XML タグ名
ServerList
可能な値
説明
例
該当なし
グループ ID。
<ServerList>
<HostEntry>
<HostName>ASA-01</HostName>
<HostAddress>cvc-asa01.cisco.com
</HostAddress>
</HostEntry>
<HostEntry>
<HostName>ASA-02</HostName>
<HostAddress>cvc-asa02.cisco.com
</HostAddress>
<UserGroup>StandardUser</UserGroup>
<BackupServerList>
<HostAddress>cvc-asa03.cisco.com
</BackupServerList>
</HostEntry>
</ServerList>
HostEntry
該当なし
<ServerList>
グループ ID。
<HostEntry>
ServerList の子パラ
<HostName>ASA-01</HostName>
メータ。特定のホスト
<HostAddress>cvc-asa01.cisco.com
への接続を試行するた
</HostAddress>
</HostEntry>
めに必要なデータです。
<HostEntry>
<HostName>ASA-02</HostName>
<HostAddress>cvc-asa02.cisco.com
</HostAddress>
<UserGroup>StandardUser</UserGroup>
<BackupServerList>
<HostAddress>cvc-asa03.cisco.com
</BackupServerList>
</HostEntry>
</ServerList>
HostName
An alias used to
refer to the host
or an FQDN or IP
address. If this
is an FQDN or IP
address, a
HostAddress is not
required.
HostEntry グループの
HostName パラメータ
<ServerList>
<HostEntry>
<HostName>ASA-01</HostName>
は、サーバリスト内で
<HostAddress>cvc-asa01.cisco.com
ホスト名を指定します。
</HostAddress>
</HostEntry>
FQDN または IP アドレ
<HostEntry>
スを使用する場合、
<HostName>ASA-02</HostName>
HostAddress は必要あ
<HostAddress>cvc-asa02.cisco.com
りません。
</HostAddress>
<UserGroup>StandardUser</UserGroup>
<BackupServerList>
<HostAddress>cvc-asa03.cisco.com
</BackupServerList>
</HostEntry>
</ServerList>
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-55
第3章
AnyConnect クライアント機能の設定
DNS フォールバックの分割
表 3-20
XML タグ名
HostAddress
UserGroup
サーバリストパラメータ（続き）
可能な値
説明
例
An IP address or
Full-Qualified
Domain Name (FQDN)
used to refer to
the host. If
HostName is an
FQDN or IP
address, a
HostAddress is not
required.
グループ ID。
<ServerList>
<HostEntry>
<HostName>ASA-01</HostName>
<HostAddress>cvc-asa01.cisco.com
</HostAddress>
</HostEntry>
<HostEntry>
<HostName>ASA-02</HostName>
<HostAddress>cvc-asa02.cisco.com
</HostAddress>
<UserGroup>StandardUser</UserGroup>
<BackupServerList>
<HostAddress>cvc-asa03.cisco.com
</HostAddress>
</BackupServerList>
</HostEntry>
</ServerList>
The tunnel group
to use when
connecting to the
specified host.
This parameter is
optional.
ServerList グループの
UserGroup パラメータ
CertificateMatch の子
パラメータ。これらの
アトリビュートを使用
して、受け入れ可能な
クライアント証明書を
選択します。
<ServerList>
<HostEntry>
<HostName>ASA-01</HostName>
がある場合、このパラ
<HostAddress>cvc-asa01.cisco.com
メータは、
</HostAddress>
</HostEntry>
HostAddress と組み合
<HostEntry>
せてグループベースの
<HostName>ASA-02</HostName>
URL を形成するために
<HostAddress>cvc-asa02.cisco.com
使用されます。
</HostAddress>
<UserGroup>StandardUser</UserGroup>
（注）グループベース
<BackupServerList>
の URL をサ
<HostAddress>cvc-asa03.cisco.com
ポートするに
</HostAddress>
は、ASA バー
</BackupServerList>
</HostEntry>
ジョン 8.0.3 以
</ServerList>
降が必要です。
DNS フォールバックの分割
セキュリティアプライアンスのグループポリシーで、トンネル処理するドメインの名前が指定されて
いる場合、AnyConnect クライアントは、そのドメインと一致する DNS クエリーだけをトンネル処理
します。その他の DNS クエリーはすべて拒否されます。DNS リゾルバはクライアントから拒否を受信
すると、今度は AnyConnect クライアントではなくパブリックインターフェイスを使用して再試行し
ます。
この機能には、次のことが必要です。
• 少なくとも 1 台の DNS サーバが設定されている。
• スプリットトンネリングがイネーブルになっている。
この機能を使用するには、セキュリティアプライアンスへの ASDM 接続を確立し、[ 設定
（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クライアン
ト）アクセス（Network (Client) Access）] > [ グループポリシー（Group Policies）] > [ 追加（Add）]
または [ 編集（Edit）] > [ 詳細（Advanced）] > [ スプリットトンネリング（Split Tunneling）] の順に
選択して、[DNS 名（DNS Names）] テキストボックスにトンネル処理するドメインの名前を入力しま
す。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-56
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
スクリプト化
スクリプト化
AnyConnect では、次のイベントが発生したときに、スクリプトをダウンロードして実行できます。
• セキュリティアプライアンスで新しい AnyConnect クライアント VPN セッションが確立された。
このイベントで起動されるスクリプトを OnConnect スクリプトと呼びます。スクリプトには、こ
のファイル名プレフィクスが必要です。
• セキュリティアプライアンスで AnyConnect クライアント VPN セッションがティアダウンされ
た。このイベントで起動されるスクリプトを OnDisconnect スクリプトと呼びます。スクリプトに
は、このファイル名プレフィクスが必要です。
これによって、Trusted Network Detection によって開始された新しい AnyConnect VPN セッションが
確立すると、OnConnect スクリプトが起動されます（このスクリプトを実行する要件が満たされてい
る場合）。ネットワーク切断後に永続的な AnyConnect VPN セッションが再接続されても、OnConnect
スクリプトは起動されません。
この機能の使用例としては、次のものがあります。
• VPN 接続時にグループポリシーを更新する。
• VPN 接続時にネットワークドライブをマッピングし、接続解除後にマッピングを解除する。
• VPN 接続時にサービスにログインし、接続解除後にログオフする。
ここでの説明は、スクリプトの作成方法と、ターゲットエンドポイントのコマンドラインからスクリ
プトを実行し、テストする方法についての知識があることを前提としています。
（注）
AnyConnect ソフトウェアダウンロードサイトにいくつかのサンプルスクリプトがあります。これら
を検討する場合は、単なる例であることに注意してください。実行に必要なローカルコンピュータの
要件を満たしていないことがあり、ネットワークおよびユーザのニーズに合わせてカスタマイズしなけ
れば使用できないことがあります。シスコでは、サンプルスクリプトまたはユーザ作成スクリプトは
サポートしていません。
スクリプトの要件と制限
AnyConnect では、最大 1 つの OnConnect スクリプトと最大 1 つの OnDisconnect スクリプトが実行
されますが、これらのスクリプトから別のスクリプトを起動できます。
AnyConnect では、スクリプトを特定の言語で作成する必要はありません。ただし、スクリプトを実行
可能なアプリケーションが、クライアントコンピュータにインストールされている必要があります。
AnyConnect でスクリプトを起動するには、このスクリプトがコマンドラインから実行可能になってい
る必要があります。
（注）
ソフトウェアダウンロードサイトにいくつかのサンプルスクリプトがあります。これらを検討する場
合は、単なる例であることに注意してください。実行に必要なローカルコンピュータの要件を満たし
ていないことがあり、ネットワークおよびユーザのニーズに合わせてカスタマイズしなければ使用でき
ないことがあります。
AnyConnect がサポートするすべての Microsoft Windows、Mac OS X、および Linux OS で、スクリ
プトの起動がサポートされます。Microsoft Windows Mobile では、スクリプト言語のネイティブサ
ポートはありませんが、AnyConnect スクリプトファイル名プレフィクスとディレクトリ要件を使用し
てコンパイルすれば、OnConnect アプリケーションと OnDisconnect アプリケーションを作成して自動
的に実行できます。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-57
第3章
AnyConnect クライアント機能の設定
スクリプト化
Microsoft Windows では、AnyConnect はユーザが Windows にログインして VPN セッションを確立し
た後でないと、スクリプトを起動できません。そのため、ユーザのセキュリティ環境に関連する制限
が、これらのスクリプトに適用されます。スクリプトが実行できる機能は、ユーザが起動権限を持つ機
能に限られます。
AnyConnect は、WebLaunch の起動中およびスタンドアロン起動中でのスクリプトの起動をサポート
します。
デフォルトでは、AnyConnect はスクリプトを起動しません。AnyConnect プロファイルの
EnableScripting パラメータを使用して、スクリプトをイネーブルにしてください。AnyConnect では、
スクリプトは必須ではありません。
クライアント GUI を終了しても、必ずしも VPN セッションは終了されません。OnDisconnect スクリ
プトは、セッションが終了した後で実行されます。
その他の要件は、次の項で示すように適用されます。
スクリプトの作成、テスト、および展開
AnyConnect スクリプトの展開方法を、次に示します。
ステップ 1
AnyConnect がスクリプトを起動するときにスクリプトが実行される OS タイプを使用して、スクリプ
トを作成およびテストします。
（注）
ステップ 2
Microsoft Windows コンピュータで作成されたスクリプトの行末コードは、Mac OS および
Linux で作成されたスクリプトの行末コードと異なっています。そのため、ターゲット OS で
スクリプトを作成し、テストする必要があります。ネイティブ OS のコマンドラインからスク
リプトを正しく実行できない場合は、AnyConnect でも正しく実行できません。
次のいずれかを実行して、スクリプトを展開します。
• バイナリ AnyConnect カスタマイゼーションを使用して、セキュリティアプライアンスからスク
リプトを展開します。
（注）
Microsoft Windows Mobile では、このオプションはサポートされません。手動でスクリプ
トを展開する必要があります。
バイナリ AnyConnect カスタマイゼーションを使用してスクリプトを展開する場合は、スクリプト
またはアプリケーションのファイル名に、次のプレフィクスが必要です。
–
scripts_OnConnect
–
scripts_OnDisconnect
AnyConnect は scripts_ プレフィクスを使用して、ファイルをスクリプトとして識別し、VPN エ
ンドポイントの適切なターゲットディレクトリに書き込みます。このとき、scripts_ プレフィク
スが削除され、OnConnect または OnDisconnect プレフィクスが残ります。
スクリプトの実行の信頼性を確保するために、すべてのセキュリティアプライアンスで同じスク
リプトを展開するように設定します。スクリプトを修正または置換する場合は、前のバージョンと
同じ名前を使用し、ユーザが接続する可能性のあるすべてのセキュリティアプライアンスに置換
スクリプトを割り当てる必要があります。ユーザが接続すると、新しいスクリプトで同じ名前のス
クリプトが上書きされます。
• または、スクリプトを実行する VPN エンドポイントに、スクリプトを手動で転送します。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-58
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
スクリプト化
この方式を使用する場合は、次のファイル名プレフィクスを使用します。
–
OnConnect
–
OnDisconnect
表 3-21 に示すディレクトリに、スクリプトをインストールします。
表 3-21
スクリプトの場所の要件
OS
ディレクトリ
Microsoft Windows 7 および
Vista
%ALLUSERPROFILE%\Cisco\Cisco AnyConnect VPN Client\Scripts
Microsoft Windows XP
%ALLUSERPROFILE%\Application Data\Cisco\Cisco AnyConnect VPN Client\
Scripts
Linux
/opt/cisco/vpn/scripts
（Linux では、User、Group、
Other にファイルの実行権限を
割り当てます）
Mac OS X
/opt/cisco/vpn/scripts
Windows Mobile
%PROGRAMFILES%\Cisco AnyConnect VPN Client\Scripts
スクリプト用の AnyConnect プロファイルの設定
スクリプトをイネーブルにするには、AnyConnect プロファイルに EnableScripting パラメータを挿入
する必要があります。表 3-22 に、AnyConnect プロファイルに挿入できるスクリプトパラメータを示
します。例は、表の後にあります。
表 3-22
スクリプトパラメータ
名前
可能な値と説明
EnableScripting
true：OnConnect スクリプトおよび OnDisconnect スクリプトがあれば、起動します。
false：（デフォルト）スクリプトを起動しません。
UserControllable
注：このパラメータを使用する場合は、この表の下の例 3 で示すように、
EnableScripting タグの中に組み込む必要があります。
次の値が可能です。
• true：ユーザが OnConnect スクリプトおよび OnDisconnect スクリプトの実行を、
イネーブルまたはディセーブルにできます。
• false：（デフォルト）ユーザがスクリプト機能を制御できません。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-59
第3章
AnyConnect クライアント機能の設定
スクリプト化
表 3-22
スクリプトパラメータ（続き）
TerminateScriptOnNextEvent
このパラメータが意味を持つのは、EnableScripting が true に設定されている場合だけで
す。
注：このパラメータを使用する場合は、この表の下の例 3 で示すように、
EnableScripting タグの中に組み込む必要があります。
次の値が可能です。
• true：別のスクリプト処理可能なイベントへの移行が発生した場合に、実行中のスク
リプトプロセスを終了します。たとえば、VPN セッションが終了すると、
AnyConnect は実行中の OnConnect スクリプトを終了します。AnyConnect が新し
い VPN セッションを開始すると、実行中の OnDisconnect スクリプトを終了しま
す。Microsoft Windows では、AnyConnect は OnConnect スクリプトまたは
OnDisconnect スクリプトが起動した任意のスクリプトと、そのすべての従属スクリ
プトも終了します。Mac OS および Linux では、AnyConnect は OnConnect スクリ
プトまたは OnDisconnect スクリプトだけを終了し、子スクリプトは終了しません。
• false：（デフォルト）別のスクリプト処理可能なイベントへの移行が発生しても、ス
クリプトプロセスを終了しません。
EnablePostSBLOnConnectScript このパラメータが意味を持つのは、EnableScripting が true に設定されていて、VPN エ
ンドポイントで Microsoft Windows 7、XP、または Vista が実行されている場合だけで
す。
注：このパラメータを使用する場合は、この表の下の例 3 で示すように、
EnableScripting タグの中に組み込む必要があります。
次の値が可能です。
• false：SBL が VPN セッションを確立したときに、OnConnect スクリプトを起動し
ません。
• true：（デフォルト）SBL が VPN セッションを確立したときに、OnConnect スクリ
プトを起動します。
これらのパラメータは、AnyConnect プロファイルの ClientInitialization セクションの任意の場所
に挿入します。
例 2
この例では、スクリプトをイネーブルにし、その他のスクリプトパラメータにはデフォルト値を使用
します。
<ClientInitialization>
<EnableScripting>true</EnableScripting>
</ClientInitialization>
例 3
この例では、スクリプトをイネーブルにし、その他のスクリプトパラメータのデフォルト値を上書き
します。
<ClientInitialization>
<EnableScripting UserControllable="true">true
<TerminateScriptOnNextEvent>true</TerminateScriptOnNextEvent>
Cisco AnyConnect VPN Client アドミニストレータガイド
3-60
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
スクリプト化
<EnablePostSBLOnConnectScript>false</EnablePostSBLOnConnectScript>
</EnableScripting>
</ClientInitialization>
（注）
AnyConnect プロファイルをセキュリティアプライアンスのグループポリシーに追加して、VPN エン
ドポイントに必ずダウンロードしてください。
スクリプトのトラブルシューティング
スクリプトの実行に失敗した場合は、次のようにして問題を解決してください。
ステップ 1
スクリプトに、OnConnect または OnDisconnect のプレフィクス名が付いていることを確認します。
表 3-22 に、各 OS のスクリプトディレクトリの要件を示してあります。
ステップ 2
スクリプトをコマンドラインから実行してみます。コマンドラインから実行できないスクリプトは、
AnyConnect でも実行できません。コマンドラインでスクリプトの実行に失敗する場合は、スクリプト
を実行するアプリケーションがインストールされていることを確認して、その OS でスクリプトを作成
し直してください。
ステップ 3
VPN エンドポイントのスクリプトディレクトリに、1 つの OnConnect スクリプトと 1 つの
OnDisconnect スクリプトだけがあることを確認します。最初のセキュリティアプライアンスが 1 つの
OnConnect スクリプトをダウンロードし、その後の接続で次のセキュリティアプライアンスが別の
ファイル名拡張子を持つ OnConnect スクリプトをダウンロードすると、AnyConnect で予期しないス
クリプトが実行される可能性があります。スクリプトパスに複数の OnConnect スクリプトまたは
OnDisconnect スクリプトがあり、バイナリ AnyConnect カスタマイゼーションを使用してスクリプト
を展開している場合は、スクリプトディレクトリの内容を削除し、AnyConnect VPN セッションを再
確立してください。スクリプトパスに複数の OnConnect スクリプトまたは OnDisconnect スクリプト
があり、手動展開を使用している場合は、不要なスクリプトを削除し、AnyConnect VPN セッション
を再確立してください。
ステップ 4
OS が Linux の場合は、スクリプトファイルに実行権限が設定されていることを確認します。
ステップ 5
AnyConnect プロファイルに EnableScripting パラメータが含まれていて、true に設定されていること
を確認します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-61
第3章
AnyConnect クライアント機能の設定
プロキシサポート
プロキシサポート
ここでは、プロキシサポート拡張機能の使用方法について説明します。
プロキシの無視
この機能では、ユーザの PC で設定されている Internet Explorer のプロキシ設定をバイパスするよう
に、AnyConnect プロファイルのポリシーを指定できます。これは、プロキシ設定によってユーザが企
業ネットワークの外部からトンネルを確立できない場合に役立ちます。
プロキシの無視をイネーブルにするには、次の行を AnyConnect プロファイルの <ClientInitialization>
セクションに挿入してください。
<ProxySettings>IgnoreProxy</ProxySettings>
（注）
現在、AnyConnect では、IgnoreProxy 設定だけがサポートされます。XML スキーマ
（AnyConnectProfile.xsd）の <ClientInitialization> セクションの新しい ProxySettings セクションにあ
る Native および Override 設定はサポートされません。
Mac/Safari のプライベートプロキシ
AnyConnect は、トンネルが確立された後、グループポリシーで設定されているプロキシ設定を Safari
ブラウザにダウンロードします。VPN セッションが終了すると、設定は元の状態に復元されます。
プロキシ設定にアクセスするには、セキュリティアプライアンスで ASDM セッションを確立し、[ 設
定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クライア
ント）アクセス（Network (Client) Access）] > [ グループポリシー（Group Policies）] > [ 追加（Add）]
または [ 編集（Edit）] > [ 詳細（Advanced）] > [IE ブラウザのプロキシ（IE Browser Proxy）] の順に
選択します。このウィンドウで設定したプロキシサービスが、Internet Explorer と Safari の両方に適
用されます。プロキシを使用しないパラメータがイネーブルの場合、セッションの間、Safari からプロ
キシ設定が削除されます。
Internet Explorer の接続タブのロック
ある条件下では、AnyConnect によって Internet Explorer の [ ツール（Tools）] > [ インターネットオ
プション（Internet Options）] > [ 接続（Connections）] タブが非表示にされます。このタブが表示さ
れていると、ユーザがプロキシ情報を設定できます。このタブを非表示にすると、ユーザが意図的また
は偶発的にトンネルを迂回することを防止できます。タブのロックは接続解除すると反転され、このタ
ブに関する管理者定義のポリシーの方が優先されます。このロックは、次のいずれかの条件で行われま
す。
• セキュリティアプライアンスの設定で、プライベート側プロキシが指定されている。
• AnyConnect が、Internet Explorer で定義されたパブリック側プロキシを使用してトンネルを確立
する。この場合は、セキュリティアプライアンスのスプリットトンネリングポリシーが Tunnel
All Networks に設定されている必要があります。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-62
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
Windows ユーザのための、RDP セッションからの AnyConnect セッションの許可
クライアントレスサポートのためのプロキシ自動設定ファイルの生成
いくつかのバージョンのセキュリティアプライアンスでは、AnyConnect セッションが確立された後
も、プロキシサーバを経由するクライアントレスポータルアクセスを許可するために、追加の
AnyConnect 設定が必要です。AnyConnect はこの設定が行われるよう、プロキシ自動設定（PAC）
ファイルを使用してクライアント側プロキシ設定を修正します。AnyConnect でこのファイルが生成さ
れるのは、ASA でプライベート側プロキシ設定が指定されていない場合だけです。
Windows ユーザのための、RDP セッションからの
AnyConnect セッションの許可
環境によっては、Windows リモートデスクトップを使用してクライアント PC にログインし、Remote
Desktop（RDP; リモートデスクトップ）セッションの中からセキュアゲートウェイへの VPN 接続を
開始する必要があります。この機能を利用すると、RDP セッションから VPN セッションを確立できま
す。この機能が正しく動作するには、スプリットトンネリング VPN 設定が必要です。スプリットト
ンネリングの詳細については、『Cisco ASDM User Guide』または『Cisco ASA 5500 Series Command
Line Configuration Guide Using the CLI』を参照してください。
デフォルトでは、他のローカルユーザがログインしていないときだけ、ローカルにログインしたユー
ザが VPN 接続を確立できます。ユーザがログアウトすると、VPN 接続は終了します。VPN 接続中に
別のローカルログインが行われると、接続は切断されます。VPN 接続中のリモートログインおよびロ
グアウトは制限されません。
（注）
この機能を使用すると、AnyConnect クライアントは、VPN 接続を確立したユーザがログオフしたと
きに、その VPN 接続を接続解除します。接続がリモートユーザによって確立されていた場合、そのリ
モートユーザがログオフすると、VPN 接続は終了します。
AnyConnect プロファイル設定によって、接続の確立時および接続中の Windows ログオンの処理方法
が決まります。これらのプリファレンスを設定できるのは、ネットワーク管理者だけです。この設定に
よって、RDP セッションから VPN 接続を確立できるように、ユーザがクライアントを設定できます。
この機能を使用しても、エンドユーザに対する AnyConnect クライアント GUI の表示は変更されませ
ん。表 3-23 に、プリファレンスを示します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-63
第3章
AnyConnect クライアント機能の設定
AnyConnect over L2TP または PPTP
表 3-23
Windows ログインプリファレンス
可能な値（太字はデフォルト）
XML タグ名
WindowsLogonEnforcement SingleLocalLogon：VPN 接続の全体で、ログインできるローカルユーザは 1 人だけです。
この設定では、ローカルユーザは 1 人以上のリモートユーザがクライアント PC にログイン
している間に VPN 接続を確立できますが、VPN 接続が排他的トンネリング用に設定されて
いる場合は、VPN 接続のクライアント PC ルーティングテーブルが変更されるため、リモー
トログインは接続解除されます。VPN 接続がスプリットトンネリング用に設定されている
場合、リモートログインが接続解除されるかどうかは、VPN 接続のルーティング設定によっ
て決まります。VPN 接続による企業ネットワークからのリモートユーザログインに対して、
SingleLocalLogin 設定は影響を与えません。
SingleLogon：VPN 接続の全体で、ログインできるユーザは 1 人だけです。VPN 接続の確立
時に、ローカルまたはリモートで複数のユーザがログインしている場合、接続は許可されま
せん。VPN 接続中にローカルまたはリモートで第 2 のユーザがログインすると、VPN 接続
が終了します。
SingleLogon に設定した場合、VPN 接続中に追加のログインが許可されません。そのため、
VPN 接続によるリモートログインは不可能です。
WindowsVPNEstablishment クライアント PC にリモートログインしたユーザが VPN 接続を確立したときの、
AnyConnect クライアントの動作を決定します。次の値が可能です。
• LocalUsersOnly：リモートログインしたユーザは、VPN 接続を確立できません。これ
は、以前のバージョンの AnyConnect クライアントと同じ機能です。
• AllowRemoteUsers：リモートユーザが VPN 接続を確立できます。ただし、設定された
VPN 接続ルーティングによってリモートユーザが接続解除された場合、リモートユー
ザがクライアント PC に再アクセスできるように、VPN 接続が終了します。
リモートユーザが VPN 接続を終了せずにリモートログインセッションを接続解除する
には、VPN を確立した後、90 秒間待つ必要があります。
現在、Vista では Start Before Logon（SBL）中に WindowsVPNEstablishment プロファイル
設定が適用されません。AnyConnect クライアントは、VPN 接続を確立したのがログイン前
のリモートユーザかどうかを判別しません。そのため、WindowsVPNEstablishment 設定が
LocalUsersOnly でも、リモートユーザが SBL で VPN 接続を確立できます。
AnyConnect over L2TP または PPTP
イスラエルなど一部の国の ISP では、L2TP および PPTP トンネリングプロトコルのサポートが必要で
す。
セキュアゲートウェイを宛先としたトラフィックを PPP 接続上で送信するため、AnyConnect は外部
トンネルが生成したポイントツーポイントアダプタを使用します。PPP 接続上で VPN トンネルを確立
するときに、AnyConnect は ASA よりも先を宛先としてトンネリングされたトラフィックから、この
ASA に宛てられたトラフィックを除外する必要があります。除外ルートを決定するかどうか、および
決定する方法を指定するには、PPPExclusion 設定オプションを使用します。
除外ルートは、セキュアでないルートとして AnyConnect GUI の [ ルート詳細（Route Details）] 画面
に表示されます。
次の項で、PPP 除外の設定方法について説明します。
• 「AnyConnect over L2TP または PPTP の設定」
• 「ユーザによる PPP 除外の上書き」
Cisco AnyConnect VPN Client アドミニストレータガイド
3-64
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
AnyConnect over L2TP または PPTP
AnyConnect over L2TP または PPTP の設定
デフォルトで、PPP 除外はディセーブルです。PPP 除外をイネーブルにするには、太字で示した
PPPExclusion 行を AnyConnect プロファイル（anyfilename.xml）の <ClientInitialization> セクション
に挿入してください。
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<PPPExclusion UserControllable="true">Automatic</PPPExclusion>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>DomainNameofASA</HostName>
<HostAddress>IPaddressOfASA</HostAddress>
</HostEntry>
</ServerList>
</AnyConnectProfile>
PPPExclusion UserControllable 値が true の場合、ユーザが PPP 除外設定を表示および変更できます。
ユーザが PPP 除外設定を表示および変更できないようにするには、false に変更します。
AnyConnect は、次の PPPExclusion 値をサポートします。
• Automatic：PPP 除外をイネーブルにします。AnyConnect は、PPP サーバの IP アドレスを自動的
に使用します。自動検出による IP アドレスの取得に失敗するときにだけこの値を変更するよう、
ユーザに指示してください。
• Override：これも、PPP 除外をイネーブルにします。自動検出で PPP サーバの IP アドレスを取得
できず、PPPExclusion UserControllable 値が true である場合は、次の項の説明に従ってこの設定
を使用するよう、ユーザに指示してください。
• Disabled：PPP 除外を適用しません。
PPP 除外に使用するセキュリティアプライアンスの IP アドレスをユーザが表示および変更できるよう
にするには、次の太字で示すように、UserControllable 値を true に設定して PPPExclusionServerIP タ
グを追加します。
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/AnyConnectProfile.xsd">
<ClientInitialization>
<PPPExclusion UserControllable="true">Automatic</PPPExclusion>
<PPPExclusionServerIP UserControllable="true"></PPPExclusionServerIP>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>SecureGatewayName</HostName>
<HostAddress>SecureGatewayName.domain</HostAddress>
</HostEntry>
</ServerList>
</AnyConnectProfile>
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-65
第3章
AnyConnect クライアント機能の設定
AnyConnect over L2TP または PPTP
ユーザによる PPP 除外の上書き
自動検出が機能せず、PPPExclusion UserControllable 値が true になっている場合は、次の手順に従っ
て手動で PPP 除外を上書きするよう、ユーザに指示してください。
ステップ 1
メモ帳などのエディタを使用して、プリファレンス XML ファイルを開きます。
このファイルは、ユーザのコンピュータ上で次のいずれかのパスにあります。
• Windows：%LOCAL_APPDATA%\Cisco\Cisco AnyConnect VPN Client\preferences.xml。例を示
します。
– Windows Vista：C:¥Users¥username¥AppData¥Local¥Cisco¥Cisco AnyConnect VPN
Client¥preferences.xml
– Windows XP：C:¥Documents and Settings¥username¥Local Settings¥Application
Data¥Cisco¥Cisco AnyConnect VPN Client¥preferences.xml
• Mac OS X：/Users/username/.anyconnect
• Linux：/home/username/.anyconnect
ステップ 2
PPPExclusion の詳細を <ControllablePreferences> の下に挿入して、Override 値と PPP サーバの IP
アドレスを指定します。アドレスは、完全な形式の IPv4 アドレスにする必要があります。次の例を参
考にしてください。
<AnyConnectPreferences>
<ControllablePreferences>
<PPPExclusion>Override
<PPPExclusionServerIP>192.168.22.44</PPPExclusionServerIP></PPPExclusion>
</ControllablePreferences>
</AnyConnectPreferences>
ステップ 3
ファイルを保存します。
ステップ 4
AnyConnect を終了して、再起動します。
Cisco AnyConnect VPN Client アドミニストレータガイド
3-66
OL-20841-01-J
第3章
AnyConnect クライアント機能の設定
その他の AnyConnect プロファイル設定の構成
その他の AnyConnect プロファイル設定の構成
表 3-24 に、AnyConnect クライアントプロファイル（.xml ファイル）の ClientInitialization セクショ
ンに挿入できる、その他のパラメータのデフォルト値および可能な値を示します。
表 3-24
その他の AnyConnect クライアント初期設定タグ
デフォルト値1 可能な値2
ユーザ制御可能3
デフォルトでユーザ
制御可能4
サポートされ
る OS
false
true、false
いいえ
該当なし
すべて
ShowPreConnectMessage false
true、false
いいえ
該当なし
すべて
MinimizeOnConnect
true
true、false
はい
はい
すべて
LocalLanAccess
false
true、false
はい
はい
すべて
AutoUpdate
true
いいえ
すべて
Automatic
true、false
Automatic
はい
RSASecurIDIntegration5
はい
いいえ
Windows
XML タグ名
CertificateStoreOverride
SoftwareToken
HardwareToken
1. プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。
2. <CertificateStoreOverride>true</CertificateStoreOverride> のように、開始タグと終了タグの間にパラメータ値を挿入し
ます。
3. パラメータがユーザ制御をサポートしていない場合、Anyconnect は usercontrollable="true" 文字列を無視します。
4. ユーザ制御アトリビュートに関連付けられた値に応じて [AnyConnect プリファレンス（AnyConnect Preferences）] ダイアログボックス
にパラメータ値が表示され、これらの値を変更できます。ユーザ制御アトリビュートはオプションです。挿入しなかった場合、
AnyConnect はデフォルト値を使用します。ユーザ制御を許可または拒否するには、
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> のように、ユーザ制御アトリビュートを開始
タグの中に挿入します。
5. AnyConnect クライアントは、RSA SecurID ソフトウェアのバージョン 1.1 以降と互換性があります。今回のリリースでは、RSA SecurID
Software Token クライアントソフトウェアは、Windows Vista および 64 ビットシステムをサポートしません。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
3-67
第3章
AnyConnect クライアント機能の設定
その他の AnyConnect プロファイル設定の構成
Cisco AnyConnect VPN Client アドミニストレータガイド
3-68
OL-20841-01-J
C H A P T E R
4
その他の AnyConnect の管理要件の実現
この章では、次の方法について説明します。
• 「Microsoft Active Directory を使用して、ドメインユーザの Internet Explorer の信頼済みサイトリ
ストにセキュリティアプライアンスを追加する方法」（P.4-1）
• 「AnyConnect クライアントおよび Cisco Secure Desktop を CSA と相互運用するための設定方法」
（P.4-2）
Microsoft Active Directory を使用して、ドメインユーザ
の Internet Explorer の信頼済みサイトリストにセキュリ
ティアプライアンスを追加する方法
Active Directory のドメイン管理者は、グループポリシーをドメインユーザにプッシュして、Internet
Explorer の信頼済みサイトのリストにセキュリティアプライアンスを追加できます。これは、個別の
ユーザが信頼済みサイトのリストにセキュリティアプライアンスを追加する手順とは異なります。こ
の手順は、ドメイン管理者が管理している Windows マシンの Internet Explorer にのみ適用されます。
（注）
Windows Vista を実行していて、WebLaunch を使用する予定のユーザは、セキュリティアプライアン
スを Internet Explorer の信頼済みサイトのリストに追加する必要があります。
Active Directory を使用して、グループポリシーによってセキュリティアプライアンスを Internet
Explorer の信頼済みサイトセキュリティゾーンに追加するポリシーを作成するには、次の手順を実行
します。
ステップ 1
Domain Admins グループのメンバーとしてログインします。
ステップ 2
[Active Directory ユーザーとコンピュータ MMC（Active Directory Users and Computers MMC）] ス
ナップインを開きます。
ステップ 3
グループポリシーオブジェクトを作成するドメインまたは組織ユニットを右クリックして、[ プロパ
ティ（Properties）] をクリックします。
ステップ 4
[ グループポリシー（Group Policy）] タブを選択して、[ 新規（New）] をクリックします。
ステップ 5
新しいグループポリシーオブジェクトの名前を入力して、Enter キーを押します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
4-1
第4章
AnyConnect クライアントおよび Cisco Secure Desktop を CSA と相互運用するための設定方法
その他の AnyConnect の管理要件の実現
ステップ 6
一部のユーザまたはグループにこの新しいポリシーが適用されないようにするには、[ プロパティ
（Properties）] をクリックします。[ セキュリティ（Security）] タブを選択します。このポリシーを適
用しないユーザまたはグループを追加し、[ 許可（Allow）] カラムの [ 読み取り（Read）] チェック
ボックスと [ グループポリシーの適用（Apply Group Policy ）] チェックボックスをオフにします。
[OK] をクリックします。
ステップ 7
[ 編集（Edit）] をクリックして、[ ユーザーの構成（User Configuration）] > [ Windows の設定
（Windows Settings）] > [Internet Explorer のメンテナンス（Internet Explorer Maintenance）] > [ セ
キュリティ（Security）] を選択します。
ステップ 8
右側のペインで [ セキュリティゾーンおよびコンテンツの規制（Security Zones and Content Ratings）]
を右クリックし、[ プロパティ（Properties）] をクリックします。
ステップ 9
[ 現行のセキュリティゾーンとプライバシーの設定をインポートする（Import the current security
zones and privacy settings）] を選択します。プロンプトが表示されたら、[ 続行（Continue）] をク
リックします。
ステップ 10
[ 設定の変更（Modify Settings）] をクリックし、[ 信頼済みサイト（Trusted Sites）] を選択して、[ サ
イト（Sites）] をクリックします。
ステップ 11
信頼済みサイトのリストに追加するセキュリティアプライアンスの URL を入力し、[ 追加（Add）] を
クリックします。
フォーマットは、ホスト名（https://vpn.mycompany.com）または IP アドレス（https://192.168.1.100）
です。
完全一致（https://vpn.mycompany.com）を使用することも、ワイルドカード
（https://*.mycompany.com）を使用することもできます。
ステップ 12
[ 閉じる（Close）] をクリックし、すべてのダイアログボックスが閉じるまで [OK] をクリックします。
ステップ 13
ドメインまたはフォレスト全体にポリシーが伝搬されるまで待ちます。
ステップ 14
[ インターネットオプション（Internet Options）] ウィンドウで [OK] をクリックします。
AnyConnect クライアントおよび Cisco Secure Desktop
を CSA と相互運用するための設定方法
リモートユーザに Cisco Security Agent（CSA）がインストールされている場合は、AnyConnect VPN
Client および Cisco Secure Desktop をセキュリティアプライアンスと相互運用できるように、CSA ポ
リシーをリモートユーザにインポートする必要があります。
そのためには、次の手順を実行します。
ステップ 1
AnyConnect クライアントおよび Cisco Secure Desktop の CSA ポリシーを取得します。次の場所から
ファイルを取得できます。
• セキュリティアプライアンスに同梱の CD
• ASA 5500 シリーズ適応型セキュリティアプライアンスのソフトウェアダウンロードページ
（http://www.cisco.com/cgi-bin/tablebuild.pl/asa）
ファイル名は、AnyConnect-CSA.zip および CSD-for-CSA-updates.zip です。
ステップ 2
.zip パッケージファイルから、.export ファイルを展開します。
Cisco AnyConnect VPN Client アドミニストレータガイド
4-2
OL-20841-01-J
第4章
その他の AnyConnect の管理要件の実現
AnyConnect クライアントおよび Cisco Secure Desktop を CSA と相互運用するための設定方法
ステップ 3
ステップ 4
ステップ 5
インポートする正しいバージョンの .export ファイルを選択します。CSA バージョン 5.2 以降の場合
は、バージョン 5.2 のエクスポートファイルです。CSA バージョン 5.0 および 5.1 の場合は、5.x のエ
クスポートファイルです。
CSA Management Center の [ メンテナンス（Maintenance）] > [ エクスポート / インポート
（Export/Import）] タブを使用して、ファイルをインポートします。
VPN ポリシーに新しいルールモジュールを追加して、ルールを生成します。
詳細については、CSA のマニュアル『Using Management Center for Cisco Security Agents 5.2』を参
照してください。ポリシーのエクスポートに関する情報は、
「Exporting and Importing Configurations」
の項にあります。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
4-3
第4章
AnyConnect クライアントおよび Cisco Secure Desktop を CSA と相互運用するための設定方法
その他の AnyConnect の管理要件の実現
Cisco AnyConnect VPN Client アドミニストレータガイド
4-4
OL-20841-01-J
C H A P T E R
5
認証の管理
この章では、次のテーマおよびタスクについて説明します。
• 「SDI トークン（SoftID）の統合」（P.5-1）
• 「ネイティブ SDI と RADIUS SDI の比較」（P.5-1）
• 「SDI 認証の使用」（P.5-2）
• 「RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持」（P.5-7）
SDI トークン（SoftID）の統合
Cisco AnyConnect VPN Client のリリース 2.1 以降では、Windows XP および Windows 2000 プラット
フォームで動作する RSA SecurID クライアントソフトウェアのサポートを統合します。このサポート
により、IT 管理者は強力な認証を行いながら業務を容易に遂行できるようになります。RSA SecurID
ソフトウェアオーセンティケータは、企業の資産へのセキュアなアクセスのために必要となる管理項
目数を減らします。リモートデバイスに常駐する RSA SecurID Software Token は、1 回限定で使用可
能なパスコードを 60 秒ごとにランダムに生成します。SDI は Security Dynamics 社製テクノロジーの
略称で、ハードウェアとソフトウェアの両方のトークンを使用する、この 1 回限定利用のパスワード生
成テクノロジーを意味します。
（注）
AnyConnect クライアントは、RSA SecurID ソフトウェアのバージョン 1.1 以降と互換性があります。
今回のリリースでは、RSA SecurID Software Token クライアントソフトウェアは、Windows Vista お
よび 64 ビットシステムをサポートしません。また、AnyConnect クライアントは、RSA Software
Token クライアントソフトウェアにインポートされた複数のトークンから選択する機能はサポートし
ていません。その代わりに、AnyConnect クライアントは RSA SecurID Software Token GUI を介して
デフォルト選択のトークンを使用します。
ネイティブ SDI と RADIUS SDI の比較
ネットワーク管理者は、SDI 認証を可能にするセキュアゲートウェイを次のいずれかのモードで設定
することができます。
• ネイティブ SDI：SDI サーバと直接通信して SDI 認証を処理できるセキュアゲートウェイのネイ
ティブ機能です。
• RADIUS SDI：RADIUS SDI プロキシを使用して SDI サーバと通信することで SDI 認証を行うセ
キュアゲートウェイのプロセスです。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
5-1
第5章
認証の管理
SDI 認証の使用
リリース 2.1 以降では、後述の場合を除いて、リモートユーザからネイティブ SDI と RADIUS SDI を
区別できません。SDI メッセージは SDI サーバ上で設定が可能なため、（P.5-10）上のメッセージテキ
スト（セキュリティアプライアンスを参照）は、SDI サーバ上のメッセージテキストに一致する必要
があります。一致しないと、リモートクライアントユーザに表示されるプロンプトが、認証中に必要
なアクションとして適切でない場合があります。この場合、AnyConnect クライアントが応答できずに
認証が失敗する場合があります。
RADIUS SDI の身分証明要求は、少数の例外はありますが、基本的にはミラーネイティブの SDI 交換
です。両者とも最終的には SDI サーバと通信するため、クライアントから必要な情報と要求される情
報の順序は同じです。明記した場合を除き、ここでは今後、ネイティブ SDI について説明します。
RADIUS SDI 認証を行うリモートユーザが AnyConnect VPN クライアントでセキュリティアプライ
アンスに接続し、RSA SecurID トークンを使用して認証を試みると、セキュリティアプライアンスは
RADIUS サーバと通信し、次にこのサーバは認証について SDI サーバと通信します。
AnyConnect クライアントとの互換性が保持される ASA 設定の詳細については、「RADIUS/SDI プロ
キシと AnyConnect クライアントの互換性の保持」（P.5-7）を参照してください。
SDI 認証の使用
ログイン（身分証明要求）ダイアログボックスは、ユーザが属するトンネルグループに設定されてい
る認証タイプと一致しています。ログインダイアログボックスの入力フィールドには、どのような種
類の入力が認証に必要か明確に示されます。ユーザ名 / パスワードによる認証を行うユーザには、
図 5-1 のようなダイアログボックスが表示されます。
図 5-1
ユーザ名 / パスワードを入力する認証用ダイアログボックス
Cisco AnyConnect VPN Client アドミニストレータガイド
5-2
OL-20841-01-J
第5章
認証の管理
SDI 認証の使用
SDI 認証では、リモートユーザは AnyConnect クライアントソフトウェアインターフェイスに個人識
別番号（PIN）を入力して RSA SecurID パスコードを受け取ります。セキュアなアプリケーションに
パスコードを入力すると、RSA Authentication Manager がこのパスコードを確認してユーザにアクセ
スを許可します。
RSA SecurID ハードウェアまたはソフトウェアのトークンを使用するユーザには、パスコードまたは
PIN を入力する入力フィールドが表示されます。ダイアログボックス下部のステータス行には、さらに
この点に関連する情報が表示されます。ユーザは、ソフトウェアトークンの PIN またはパスコードを
AnyConnect ユーザインターフェイスに直接入力します。図 5-2（P.5-3）を参照してください。
図 5-2
PIN およびパスコードを入力するダイアログボックス
最初に表示されるログインダイアログボックスの外観は、セキュアゲートウェイの設定によって異な
ります。セキュアゲートウェイには、メインのログインページからメインのインデックス URL を指
定するか、トンネルグループのログインページからトンネルグループの URL（URL/ トンネルグルー
プ）を指定する 2 通りの方法でアクセスできます。メインのログインページからセキュアゲートウェ
イにアクセスするには、セキュアゲートウェイの [SSL VPN 接続プロファイル（SSL VPN Connection
Profiles）] で [ ユーザに接続選択を許可する（Allow user to select connection）] チェックボックスを
オンにする必要があります。いずれの方法でも、ゲートウェイはクライアントにログインページを送
信します。メインのログインページにはドロップダウンボックスがあり、ここからトンネルグループ
を選択します。トンネルグループログインページにはこの表示はありません。トンネルグループは
URL で指定されるためです。
メインのログインページでログイン（ドロップダウンのトンネルグループリストを使用）する場合、
デフォルトのトンネルグループの認証タイプによって、最初に設定するパスワード入力フィールドの
ラベルが決まります。たとえば、デフォルトのトンネルグループは SDI 認証を使用するため、フィー
ルドのラベルは [ パスコード（Passcode）] ですが、認証タイプが NTLM の場合、フィールドラベル
は [ パスワード（Password）] になります。リリース 2.1 以降では、ユーザが別のトンネルグループを
選択してもフィールドラベルはダイナミックには更新されません。トンネルグループのログインペー
ジでは、フィールドラベルはトンネルグループの要件に一致します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
5-3
第5章
認証の管理
SDI 認証の使用
クライアントは、パスワード入力フィールドへの RSA SecurID Software Token の PIN の入力をサポー
トします。RSA SecurID Software Token ソフトウェアがインストール済みでトンネルグループの認証
タイプが SDI の場合、フィールドラベルは [ パスコード（ Passcode ）] となり、ステータスバーには
[ ユーザ名と、パスコードまたはソフトウェアトークン PIN を入力してください（Enter a username
and passcode or software token PIN.）] と表示されます。PIN を入力すると、同じトンネルグループお
よびユーザ名で行う次回のログインからは、ラベルが [PIN] のフィールドが表示されます。クライアン
トは、入力された PIN を使用して RSA SecurID Software Token DLL からパスコードを取得します。
認証が成功するたびにクライアントはトンネルグループ、ユーザ名、認証タイプを保存し、保存され
たトンネルグループが新たにデフォルトのトンネルグループとなります。
AnyConnect クライアントはすべての SDI 認証のパスコードを受け入れます。パスワード入力ラベルが
[PIN] の場合でも、ユーザはステータスバーの指示どおりにパスコードを入力することができます。ク
ライアントは、セキュアゲートウェイにパスコードをそのまま送信します。パスコードを使用すると、
同じトンネルグループおよびユーザ名で行う次回のログインからは、ラベルが [ パスコード
（Passcode）] のフィールドが表示されます。
SDI 認証交換のカテゴリ
すべての SDI 認証交換は次のいずれかのカテゴリに分類されます。
• 通常の SDI 認証ログイン
• 通常ログイン身分証明要求
• 新規ユーザモード
• 新規 PIN モード
• PIN クリアモード
• 次のトークンコードモード
通常の SDI 認証ログイン
通常ログイン身分証明要求は、常に最初の身分証明要求です。SDI 認証ユーザは、ユーザ名およびトー
クンパスコード（ソフトウェアトークンの場合は PIN）を、ユーザ名とパスコードまたは PIN フィー
ルドにそれぞれ指定する必要があります。クライアントはユーザの入力に応じてセキュアゲートウェ
イ（中央サイトのデバイス）に情報を返し、セキュアゲートウェイはこの認証を認証サーバ（SDI ま
たは RADIUS プロキシ経由の SDI）で確認します。
認証サーバが認証要求を受け入れた場合、セキュアゲートウェイは認証が成功したページをクライア
ントに送信します。これで認証交換が完了します。
パスコードが拒否された場合は認証は失敗し、セキュアゲートウェイは、エラーメッセージとともに
新しいログイン身分証明要求ページを送信します。SDI サーバでパスコード失敗しきい値に達した場
合、SDI サーバはトークンを次のトークンコードモードに配置します。「「Next Passcode」および
「Next Token Code」身分証明要求」（P.5-6）を参照してください。
Cisco AnyConnect VPN Client アドミニストレータガイド
5-4
OL-20841-01-J
第5章
認証の管理
SDI 認証の使用
新規ユーザモード、PIN クリアモード、および新規 PIN モード
PIN のクリアは、ネットワーク管理者だけの権限で、SDI サーバでのみ実行できます。
新規ユーザモード、PIN クリアモード、新規 PIN モードでは、AnyConnect クライアントは、後の
「next passcode」ログイン身分証明要求で使用するために、ユーザ作成 PIN またはシステムが割り当て
た PIN をキャッシュに入れます。
PIN クリアモードと新規ユーザモードは、リモートユーザから見ると違いがなく、また、セキュア
ゲートウェイでの処理も同じです。いずれの場合も、リモートユーザは新しい PIN を入力するか、
SDI サーバから割り当てられる新しい PIN を受け入れる必要があります。唯一の相違点は、最初の身
分証明要求時のユーザの応答です。
新規 PIN モードでは、通常の身分証明要求と同様に、既存の PIN を使用してパスコードが生成されま
す。PIN クリアモードでは、ユーザがトークンコードだけを入力するハードウェアトークンとして
PIN が使用されることはありません。RSA ソフトウェアトークンのパスコードを生成するためにゼロ
が 8 つ並ぶ PIN（00000000）が使用されます。いずれの場合も、SDI サーバ管理者は、使用すべき
PIN 値（ある場合）をユーザに通知する必要があります。
新規ユーザを SDI サーバに追加すると、既存ユーザの PIN をクリアする場合と同じ結果になります。
いずれの場合も、ユーザは新しい PIN を指定するか、SDI サーバから割り当てられる新しい PIN を受
け入れる必要があります。これらのモードでは、ユーザはハードウェアトークンとして、RSA デバイ
スのトークンコードのみ入力します。いずれの場合も、SDI サーバ管理者は、使用すべき PIN 値（あ
る場合）をユーザに通知する必要があります。
新しい PIN の入手
現行の PIN がない場合、システム設定に応じて、SDI サーバは次の条件のいずれかを満たす必要があ
ります。
• ユーザは、PIN を作成するか、システムの割り当てを受け入れるかを選択できる。
• ユーザは新規 PIN を作成する必要がある。
• システムがユーザに新規 PIN を割り当てる必要がある。
デフォルトでは、PIN はシステムによって割り当てられます。PIN をリモートユーザ自身で作成する
方法とシステムで割り当てる方法を選択できるように SDI サーバを設定している場合、ログイン画面
にはオプションを示すドロップダウンメニューが表示されます。ステータス行にプロンプトメッセー
ジが表示されます。いずれの場合も、ユーザは今後のログイン認証のためにこの新規 PIN を忘れない
ようにする必要があります。
新規 PIN の作成
ユーザが新しく PIN を作成するように選択して [ 続行（Continue）] をクリックすると、AnyConnect
クライアントにこの PIN を入力するためのダイアログボックス（図 5-3（P.5-6））が表示されます。
PIN は 4 ～ 8 桁の長さの数値にする必要があります。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
5-5
第5章
認証の管理
SDI 認証の使用
図 5-3
新規 PIN の作成
ユーザが PIN を作成する場合、新規 PIN を入力および確認したら、[ 続行（Continue）] をクリックし
ます。PIN は一種のパスワードであるため、ユーザがこの入力フィールドに入力する内容はアスタリス
クで表示されます。RADIUS プロキシを使用する場合、PIN の確認は、最初のダイアログボックスの
次に表示される、別の身分証明要求で行われます。クライアントは新しい PIN をセキュアゲートウェ
イに送信し、セキュアゲートウェイは「next passcode」身分証明要求に進みます。
システムが割り当てる PIN の場合、ユーザがログインページで入力したパスコードを SDI サーバが受
け入れると、セキュアゲートウェイはシステムが割り当てた PIN をクライアントに送信します。ユー
ザは [ 続行（Continue）] をクリックする必要があります。クライアントは、ユーザが新規 PIN を確認
したことを示す応答をセキュアゲートウェイに返し、システムは「next passcode」身分証明要求に進
みます。
いずれの場合も、ユーザは次回のログイン認証のために PIN を忘れないようにする必要があります。
「Next Passcode」および「Next Token Code」身分証明要求
「next passcode」身分証明要求では、クライアントが新規 PIN の作成または割り当て時にキャッシュに
入れられた PIN 値を使用して RSA SecurID Software Token DLL から次のパスコードを取得し、ユー
ザにプロンプト表示せずにこれをセキュアゲートウェイに返します。同様に、ソフトウェアトークン
用の「next Token Code」身分証明要求では、クライアントは RSA SecurID Software Token DLL から
次のトークンコードを取得します。
Cisco AnyConnect VPN Client アドミニストレータガイド
5-6
OL-20841-01-J
第5章
認証の管理
RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持
RADIUS/SDI プロキシと AnyConnect クライアントの互換
性の保持
ここでは、AnyConnect クライアントが、RSA SecureID ソフトウェアトークンを使用して、1 台以上
の SDI サーバのプロキシサーバである RADIUS サーバ経由でクライアントに配布されたユーザプロ
ンプトに適切に応答する手順について説明します。ここでは、次の内容について説明します。
• 「AnyConnect クライアントと RADIUS/SDI サーバの対話」
• 「RADIUS/SDI メッセージをサポートするためのセキュリティアプライアンスの設定」
AnyConnect クライアントと RADIUS/SDI サーバの対話
リモートユーザが AnyConnect クライアントでセキュリティアプライアンスに接続し、RSA SecurID
トークンを使用して認証を試みると、セキュリティアプライアンスは RADIUS サーバと通信を行い、
次に、RADIUS サーバが認証について SDI サーバと通信を行います。
認証中、RADIUS サーバからはアクセス時の身分証明要求メッセージがセキュリティアプライアンス
に提示されます。これらの身分証明要求メッセージ内に、SDI サーバからのテキストが含まれる応答
メッセージがあります。このメッセージテキストは、セキュリティアプライアンスが SDI サーバと直
接通信している場合と RADIUS プロキシを経由して通信している場合とで異なります。このため、ネ
イティブ SDI サーバとして AnyConnect クライアントに認識されるようにするには、セキュリティア
プライアンスは RADIUS サーバからのメッセージを解釈する必要があります。
また、SDI メッセージは SDI サーバ上で設定が可能なため、セキュリティアプライアンス上のメッ
セージテキストは、その一部または全体が SDI サーバ上のメッセージテキストに一致する必要があり
ます。一致しないと、リモートクライアントユーザに表示されるプロンプトが、認証中に必要なアク
ションとして適切でない場合があります。この場合、AnyConnect クライアントが応答できずに認証が
失敗する場合があります。
RADIUS/SDI メッセージをサポートするためのセキュリティアプライアン
スの設定
ここでは、セキュリティアプライアンスが SDI 独自の RADIUS 応答メッセージを解釈するよう設定
し、AnyConnect ユーザに適切なアクションをとらせるための手順を示します。
RADIUS 応答メッセージを転送するための接続プロファイル（トンネルグループ）を、SDI サーバと
の直接通信をシミュレートする方法で設定します。SDI サーバで認証されるユーザは、この接続プロ
ファイルを介して接続する必要があります。
ステップ 1
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クラ
イアント）アクセス（Network (Client) Access）] > [SSL VPN 接続プロファイル（SSL VPN
Connection Profiles）] の順に選択します。[SSL VPN 接続プロファイルの編集（Edit SSL VPN
Connection Profile）] ウィンドウが表示されます（図 5-4）。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
5-7
第5章
認証の管理
RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持
図 5-4
[SSL VPN 接続プロファイルの編集（Edit SSL VPN Connection Profile）] 画面
ステップ 2
[ ログイン画面の SecurID メッセージ表示をイネーブルにする（Enable the display of SecurID
messages on the login screen ）] にチェックマークを付けます。
ステップ 3
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [AAA サーバグルー
プ（AAA Server Groups）] の順に選択します。
[AAA サーバの追加（Add AAA Server）] ウィンドウが表示されます（図 5-5）。
Cisco AnyConnect VPN Client アドミニストレータガイド
5-8
OL-20841-01-J
第5章
認証の管理
RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持
図 5-5
ステップ 4
RADIUS SDI メッセージの設定
[SDI メッセージ（SDI Messages）] 領域で [ メッセージテーブル（Message Table）] をクリックして
表を展開し、メッセージを表示します。メッセージテキストフィールドをダブルクリックするとメッ
セージが編集できます。RADIUS サーバから送信されたメッセージとテキストの一部または全体が一
致するように、RADIUS 応答メッセージテキストをセキュリティアプライアンスで設定します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
5-9
第5章
認証の管理
RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持
セキュリティアプライアンスのデフォルトメッセージテキストは Cisco Secure Access Control
Server（ACS）のデフォルトメッセージテキストと同じです。Cisco Secure ACS を使用し、デフォル
トメッセージテキストを使用している場合は、セキュリティアプライアンスでメッセージテキストを
設定する必要はありません。これ以外の場合は、メッセージテキストが一致するようにメッセージを
設定します。
表 5-1 に、メッセージコード、デフォルトの RADIUS 応答メッセージテキスト、および各メッセージ
の機能を示します。セキュリティアプライアンスは、表での出現順に文字列を検索するため、メッ
セージテキスト用に使用する文字列が別の文字列のサブセットでないことを確認する必要があります。
たとえば、
「new PIN」は、new-pin-sup および next-ccode-and-reauth の両方のデフォルトメッセージ
テキストのサブセットです。new-pin-sup を「new PIN」として設定する場合、セキュリティアプライ
アンスが RADIUS サーバから「new PIN with the next card code」を受け取ると、
next-ccode-and-reauth コードではなく、new-pin-sup コードにテキストが一致します。
表 5-1
SDI 操作コード、デフォルトメッセージテキスト、およびメッセージ機能
デフォルトの RADIUS
メッセージコード応答メッセージテキスト機能
next-code
Enter Next PASSCODE
ユーザは PIN なしの NEXT トークンコードを入力す
る必要があることを示します。
new-pin-sup
Please remember your
new PIN
新規システムの PIN が提供され、ユーザにこの PIN
が表示されることを示します。
new-pin-meth
Do you want to enter your 新規 PIN を作成するための新規 PIN 方式をユーザか
own pin
ら要求します。
new-pin-req
Enter your new
Alpha-Numerical PIN
ユーザが生成した PIN を示し、ユーザが PIN を入力
することを要求します。
new-pin-reenter
Reenter PIN
ユーザが指定した PIN の確認のためにセキュリティ
アプライアンスで内部的に使用されます。クライア
ントはユーザにプロンプト表示せずに PIN を確認し
ます。
new-pin-sys-ok
New PIN Accepted
ユーザが指定した PIN が許容されたことを示します。
next-ccode-andreauth
new PIN with the next
card code
PIN の操作を進め、次のトークンコードを待機する
必要があり、新規 PIN と次のトークンコードの両方
を認証用として入力するようにユーザに示します。
ready-for-syspin
ACCEPT A SYSTEM
GENERATED PIN
セキュリティアプライアンスで内部的に使用されま
す。システムで生成された PIN に対して準備が完了
したことをユーザに示します。
Cisco AnyConnect VPN Client アドミニストレータガイド
5-10
OL-20841-01-J
C H A P T E R
6
AnyConnect クライアントとインストーラの
カスタマイズとローカライズ
AnyConnect VPN クライアントは、クライアントとインストーラのプログラムが異なる言語にローカ
ライズ（翻訳）されるようにカスタマイズすることができます。
この章は、次の内容で構成されています。
• 「AnyConnect クライアントのカスタマイズ」（P.6-1）
• 「デフォルトの AnyConnect の英語メッセージの変更」（P.6-12）
• 「AnyConnect クライアントの GUI とインストーラのローカライズ」（P.6-14）
AnyConnect クライアントのカスタマイズ
AnyConnect VPN クライアントをカスタマイズして、Windows、Linux、および Mac OS X コンピュー
タ上で稼動するクライアントを含むリモートユーザに、自社企業のイメージを表示することができま
す。
（注）
Windows Mobile デバイスで稼動する AnyConnect クライアントのカスタマイズはサポートさ
れていません。
クライアントをカスタマイズするには、次の 3 つ方法のいずれかを使用します。
– 企業ロゴおよびアイコンなど個別のクライアント GUI コンポーネントをセキュリティアプラ
イアンスにインポートし、インストーラからリモートコンピュータに展開することによって、
クライアントのブランドを変更する。
– 独自の GUI または CLI を提供し、AnyConnect API を使用する、独自のプログラムをイン
ポートする（Windows および Linux のみ）。
– 多数のブランド変更のために作成したトランスフォームをインポートする（Windows のみ）。
インストーラを使用してセキュリティアプライアンスから展開されます。
これらの方法の手順について、次の項で説明します。
• 「個別の GUI コンポーネントとカスタムコンポーネントの置き換え」（P.6-2）
• 「クライアント API を使用する実行ファイルの展開」（P.6-3）
• 「トランスフォームを使用した GUI のカスタマイズ」（P.6-5）
• 「カスタムアイコンおよびロゴの作成について」（P.6-8）
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
6-1
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントのカスタマイズ
個別の GUI コンポーネントとカスタムコンポーネントの置き換え
独自のカスタムファイルをセキュリティアプライアンスにインポートし、その新しいファイルをクラ
イアントに展開することによって、AnyConnect クライアントをカスタマイズすることができます。
表 6-2、表 6-3、および表 6-4 に、オリジナルの GUI アイコンのサンプルイメージとそのサイズを示
します。この情報は、カスタムファイルの作成に使用できます。
カスタムファイルをインポートし、クライアントに展開するには、次の手順に従います。
ステップ 1
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クラ
イアント）アクセス（Network (Client) Access）] > [AnyConnect カスタマイゼーション / ローカリ
ゼーション（AnyConnect Customization/Localization）] > [ リソース（Resources）] の順に選択しま
す。
[ インポート（Import）] をクリックします。[AnyConnect カスタマイゼーションオブジェクトのイン
ポート（Import AnyConnect Customization Object）] ウィンドウが表示されます（図 6-1）。
図 6-1
ステップ 2
カスタマイゼーションオブジェクトのインポート
インポートするファイルの名前を入力します。置き換え可能なすべての GUI コンポーネントのファイ
ル名については、表 6-2、表 6-3、および表 6-4 を参照してください。
Cisco AnyConnect VPN Client アドミニストレータガイド
6-2
OL-20841-01-J
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントのカスタマイズ
（注）
ステップ 3
カスタムコンポーネントのファイル名は、AnyConnect クライアント GUI に使用されるファイ
ル名と一致している必要があります。この GUI コンポーネントのファイル名は OS によって異
なり、Mac と Linux では大文字と小文字が区別されます。たとえば、Windows クライアント
用の企業ロゴを置き換えるには、独自の企業ロゴを company_logo.bmp としてインポートする
必要があります。別のファイル名でインポートすると、AnyConnect インストーラはそのコン
ポーネントを変更しません。ただし、独自の実行ファイルを展開して GUI をカスタマイズする
場合は、その実行ファイルから任意のファイル名のリソースファイルを呼び出すことができま
す。
プラットフォームを選択し、インポートするファイルを指定します。[ インポートの実行（Import
Now）] をクリックします。ファイルがテーブル（図 6-2）に表示されます。
図 6-2
テーブルに表示されたインポート済みのファイル
クライアント API を使用する実行ファイルの展開
Windows、Linux、または Mac（PPP または Intel ベース）コンピュータの場合、AnyConnect クライ
アント API を使用する独自のクライアントを展開できます。クライアントのバイナリファイルを置き
換えることによって、AnyConnect GUI または AnyConnect CLI を置き換えます。表 6-1 に、クライア
ント実行ファイルのファイル名を、オペレーティングシステム別に示します。
表 6-1
クライアント実行ファイルのファイル名前
OS
クライアント GUI ファイル
クライアント CLI
ファイル
Windows
vpnui.exe
vpncli.exe
Linux
vpnui
クライアント
Mac
非サポート
vpn
1
vpn
1. セキュリティアプライアンスからの展開はサポートされません。ただし、
Altiris Agent などの他の手段によって、クライアント GUI を置き換える Mac
用の実行ファイルを展開できます。
セキュリティアプライアンスにインポートした、ロゴイメージなどの任意のリソースファイルを実行
ファイルから呼び出すことができます（図 6-1 を参照）。事前定義された GUI コンポーネントを置き換
える場合とは異なり、独自の実行ファイルを展開する場合は、リソースファイルに任意のファイル名
を使用できます。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
6-3
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントのカスタマイズ
セキュリティアプライアンスにインポートするカスタム Windows クライアントバイナリ（GUI また
は CLI バージョン）には、署名することをお勧めします。署名付きバイナリには、使用可能な多くの
機能があります。バイナリが署名されていないと、次の機能に影響が生じます。
• Web-Launch：クライアントレスポータルは使用可能でユーザ認証も可能です。ただし、トンネル
確立周辺の動作が予期したとおりに行われません。クライアントに署名のない GUI が存在すると、
クライアントレス接続試行の一部がクライアントで開始されません。また、この状態が検出された
場合、クライアントでの接続試行が中断されます。
• SBL：Start Before Logon 機能では、ユーザのクレデンシャルを要求するために使用するクライア
ント GUI には署名が必要です。署名がないと、GUI は開始されません。SBL は CLI プログラムで
サポートされないため、影響を受けるのは GUI バイナリファイルだけです。
• 自動アップグレード：クライアントの新バージョンへのアップグレード中は古い GUI が存在しま
すが、新しい GUI がインストールされると新規 GUI が開始されます。新しい GUI は署名がない
と開始されません。Web-Launch と同様、この GUI に署名がないと VPN 接続は終了します。ただ
し、アップグレード後のクライアントはインストールされたままになります。
クライアント GUI をカスタマイズする実行ファイルをインポートする手順は、次のとおりです。
ステップ 1
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クラ
イアント）アクセス（Network (Client) Access）] > [AnyConnect カスタマイゼーション / ローカリ
ゼーション（AnyConnect Customization/Localization）] > [ バイナリ（Binary）] の順に選択します。
[ インポート（Import）] をクリックします。[AnyConnect カスタマイゼーションオブジェクトのイン
ポート（Import AnyConnect Customization Objects）] ウィンドウが表示されます（表 6-1）。
図 6-3
実行ファイルのインポート
Cisco AnyConnect VPN Client アドミニストレータガイド
6-4
OL-20841-01-J
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントのカスタマイズ
ステップ 2
インポートするファイルの名前を入力します。
実行ファイルのファイル名は、AnyConnect クライアント GUI に使用されるファイル名と一致してい
る必要があります。たとえば、Windows クライアント用のクライアント GUI を置き換えるには、独自
の実行ファイルを vpnui.exe としてインポートする必要があります。別のファイル名でインポートする
と、AnyConnect インストーラはその実行ファイルを変更しません。
ステップ 3
プラットフォームを選択し、インポートするファイルを指定します。[ インポートの実行（Import
Now）] をクリックします。ファイルがテーブル（図 6-2）に表示されます。
図 6-4
テーブルに表示されたインポート済みの実行ファイル
トランスフォームを使用した GUI のカスタマイズ
作成した独自のトランスフォームを、クライアントインストーラプログラムを使用して展開すること
によって、AnyConnect クライアント GUI を大幅にカスタマイズすることができます（Windows の
み）。トランスフォームをセキュリティアプライアンスにインポートすると、インストーラプログラム
を使用して展開されます。
MSI トランスフォームを作成するには、Microsoft から Orca という名前の無料データベースエディタ
をダウンロードし、インストールします。このツールを使用して、既存のインストレーションを修正
し、場合によっては新しいファイルを追加します。Orca ツールは、Microsoft Windows Installer
Software Development Kit（SDK）の一部で、Microsoft Windows SDK に同梱されています。次のリ
ンクから Orca プログラムを含むバンドルを入手できます。
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/orca_exe.asp
SDK をインストールすると、Orca MSI は、次の場所に格納されています。
C:¥Program Files¥Microsoft SDK SP1¥Microsoft Platform SDK¥Bin¥Orca.msi
Orca ソフトウェアをインストールしてから、[ スタート（Start）] > [ すべてのプログラム（All
Programs）] メニューを選択して Orca プログラムにアクセスします。
トランスフォームをインポートする手順は、次のとおりです。
ステップ 1
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クラ
イアント）アクセス（Network (Client) Access）] > [AnyConnect カスタマイゼーション / ローカリ
ゼーション（AnyConnect Customization/Localization）] > [ カスタマイズされたインストーラトラン
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
6-5
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントのカスタマイズ
スフォーム（Customized Installer Transforms）] の順に選択します。[ インポート（Import）] をク
リックします。[AnyConnect カスタマイゼーションオブジェクトのインポート（Import AnyConnect
Customization Objects）] ウィンドウが表示されます（図 6-5）。
図 6-5
カスタマイズ用トランスフォームのインポート
ステップ 2
インポートするファイルの名前を入力します。他のカスタマイズ用オブジェクトの名前とは異なり、こ
の名前はセキュリティアプライアンスにとって重要ではないため、自由に指定できます。
ステップ 3
プラットフォームを選択し、インポートするファイルを指定します。[ インポートの実行（Import
Now）] をクリックします。ファイルがテーブル（図 6-6）に表示されます。
（注）
トランスフォームの適用先として選択できるのは Windows だけです。
Cisco AnyConnect VPN Client アドミニストレータガイド
6-6
OL-20841-01-J
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントのカスタマイズ
図 6-6
テーブルに表示されたカスタマイズ用のトランスフォーム
トランスフォームの例
このマニュアルでは、トランスフォームの作成についてのチュートリアルを提供できませんが、トラン
スフォームの代表的なエントリをいくつか次に示します。これらのエントリでは、company_logo.bmp
がローカルコピーと置き換えられ、カスタムプロファイル MyProfile.xml がインストールされます。
DATA CHANGE - Component Component ComponentId
+ MyProfile.xml {39057042-16A2-4034-87C0-8330104D8180}
Directory_ Attributes Condition KeyPath
Profile_DIR 0 MyProfile.xml
DATA CHANGE - FeatureComponents Feature_ Component_
+ MainFeature MyProfile.xml
DATA CHANGE - File File Component_ FileName FileSize Version Language Attributes Sequence
+ MyProfile.xml MyProfile.xml MyProf~1.xml|MyProfile.xml 601 8192 35
<> company_logo.bmp 37302{39430} 8192{0}
DATA CHANGE - Media DiskId LastSequence DiskPrompt Cabinet VolumeLabel Source
+ 2 35
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
6-7
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントのカスタマイズ
カスタムアイコンおよびロゴの作成について
次の表で、AnyConnect クライアントがサポートするオペレーティングシステムごとに、置き換えるこ
とができるファイルを示します。
（注）
独自のカスタムイメージを作成してクライアントアイコンを置き換えるには、使用するイメージのサ
イズを、オリジナルの Cisco イメージと同じサイズにする必要があります。
Windows の場合
Windows のファイルはすべて、%PROGRAMFILES%\Cisco\Cisco AnyConnect VPN Client\res\ にあ
ります。表 6-2 に、置き換えることができるファイルと、その影響を受けるクライアント GUI エリア
を示します。
（注）
%PROGRAMFILES% は、同じ名前の環境変数を指します。ほとんどの Windows インスト
レーションでは、C:¥Program Files です。
表 6-2
Windows 用 AnyConnect クライアントのアイコンファイル
Windows インストレー
ションでのファイル名
影響を受けるクライアント GUI エリア
AboutTab.ico
[ バージョン情報（About）] タブに表示される
イメージサイズ
（ピクセル数、
幅×高さ）
16 × 16
アイコン。
company_logo.bmp
ユーザインターフェイスの各タブに表示される 142 × 92
企業ロゴ。
connected.ico
クライアントが接続中のときに表示されるトレ
イアイコン。
ConnectionTab.ico
[ 接続（Connection）] タブに表示されるアイコ 16 × 16
ン。
disconnecting.ico
クライアントが接続解除の処理中であるときに
表示されるトレイアイコン。
GUI.ico
Windows Vista の [Start Before Login] 画面に表 48 × 48
示されるアイコン。
32 × 32
24 × 24
16 × 16
16 × 16
16 × 16
Cisco AnyConnect VPN Client アドミニストレータガイド
6-8
OL-20841-01-J
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントのカスタマイズ
表 6-2
Windows 用 AnyConnect クライアントのアイコンファイル（続き）
Windows インストレー
イメージサイズ
（ピクセル数、
幅×高さ）
ションでのファイル名
影響を受けるクライアント GUI エリア
reconnecting.ico
クライアントが再接続の処理中であるときに表
示されるトレイアイコン。
StatsTab.ico
[ 統計情報（Statistics）] タブに表示されるアイ 16 × 16
16 × 16
コン。
unconnected.ico
クライアントが接続中でないときに表示される
トレイアイコン。
16 × 16
Linux の場合
Linux のファイルはすべて、/opt/cisco/vpn/pixmaps/ にあります。表 6-3 に、置き換えることができる
ファイルと、その影響を受けるクライアント GUI エリアを示します。
表 6-3
Linux 用 AnyConnect クライアントのアイコンファイル
Linux インストレーション
イメージサイズ
（ピクセル数、
幅×高さ）
でのファイル名
影響を受けるクライアント GUI エリア
company-logo.png
ユーザインターフェイスの各タブに表示される 142 × 92
企業ロゴ。
cvc-about.png
[ バージョン情報（About）] タブに表示される
16 × 16
アイコン。
cvc-connect.png
cvc-disconnect.png
[ 接続（Connect）] ボタンの隣、および [ 接続
（Connection）] タブに表示されるアイコン。
[ 接続解除（Disconnect）] ボタンの隣に表示さ
16 × 16
16 × 16
れるアイコン。
cvc-info.png
[ 統計情報（Statistics）] タブに表示されるアイ 16 × 16
コン。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
6-9
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントのカスタマイズ
表 6-3
Linux 用 AnyConnect クライアントのアイコンファイル（続き）
Linux インストレーション
イメージサイズ
（ピクセル数、
幅×高さ）
でのファイル名
影響を受けるクライアント GUI エリア
systray_connected.png
クライアントが接続中のときに表示されるトレ
イアイコン。
16 × 16
systray_notconnected.png
クライアントが接続中でないときに表示される
トレイアイコン。
16 × 16
systray_disconnecting.png
クライアントが接続解除の処理中のときに表示
されるトレイアイコン。
16 × 16
systray_reconnecting.png
クライアントが再接続中のときに表示されるト
レイアイコン。
16 × 16
vpnui48.png
メインプログラムアイコン。
48 × 48
Mac OS X の場合
OS X のファイルはすべて、/Applications/Cisco AnyConnect VPN Client/Contents/Resources にありま
す。表 6-4 に、置き換えることができるファイルと、その影響を受けるクライアント GUI エリアを示
します。
表 6-4
Mac OS X 用 AnyConnect クライアントのアイコンファイル
Mac OS X インストレーションでの
ファイル名
イメージサイズ
影響を受けるクライアント GUI エ（ピクセル数、
リア
幅×高さ）
bubble.png
クライアントが接続または接続解
除したときに表示される通知バブ
ル。
142 × 92
connected.png
クライアントが接続中のときに、
接続解除ボタンの下に表示される
アイコン。
32 × 32
Cisco AnyConnect VPN Client アドミニストレータガイド
6-10
OL-20841-01-J
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントのカスタマイズ
表 6-4
Mac OS X 用 AnyConnect クライアントのアイコンファイル（続き）
Mac OS X インストレーションでの
ファイル名
イメージサイズ
影響を受けるクライアント GUI エ（ピクセル数、
リア
幅×高さ）
logo.png
メイン画面の右上に表示されるロ
ゴアイコン。
menu_connected.png
接続状態のメニューバーアイコン。 16 × 16
menu_error.png
エラー状態のメニューバーアイコ
ン。
16 × 16
menu_idle.png
接続解除されているアイドルメ
ニューバーアイコン。
16 × 16
menu_reconnecting.png
再接続処理中のメニューバーアイ
コン。
16 × 16
warning.png
さまざまな認証 / 証明書警告のログ
インフィールドの代わりに表示さ
れるアイコン。
40 × 40
vpngui.icns
50 × 33
すべてのアイコンサービス
128 × 128
（Dock、Sheets、Finder など）で使
用される Mac OS X アイコンファ
イルフォーマット。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
6-11
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
デフォルトの AnyConnect の英語メッセージの変更
デフォルトの AnyConnect の英語メッセージの変更
英語変換テーブルを追加し、ASDM の編集ウィンドウでメッセージテキストを変更することによっ
て、AnyConnect クライアント GUI に表示される英語のメッセージを変更できます。
ここでは、デフォルトの英語メッセージを変更する方法について説明します。
ステップ 1
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ ネットワーク（クラ
イアント）アクセス（Network (Client) Access）] > [AnyConnect カスタマイゼーション / ローカリ
ゼーション（AnyConnect Customization/Localization）] > [GUI テキストおよびメッセージ（GUI
Text and Messages）] の順に選択します。[ 追加（Add）] をクリックします。[ 言語ローカリゼーショ
ンエントリの追加（Add Language Localization Entry）] ウィンドウが表示されます（図 6-9）。
図 6-7
英語変換テーブルの追加
Cisco AnyConnect VPN Client アドミニストレータガイド
6-12
OL-20841-01-J
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
デフォルトの AnyConnect の英語メッセージの変更
ステップ 2
[ 言語（Language）] ドロップリストをクリックし、言語として [ 英語（English）(en)] を指定します。
英語の変換テーブルが、ペインの言語リストに表示されます。
ステップ 3
[ 編集（Edit）] をクリックして、メッセージの編集を開始します。[ 言語ローカリゼーションエントリ
の編集（Edit Language Localization Entry）] ウィンドウが表示されます（図 6-8）。msgid の引用符で
囲まれたテキストは、クライアントに表示されるデフォルトの英語テキストです。変更してはいけませ
ん。msgstr の文字列には、msgid のデフォルトテキストを置き換えるために、クライアントで使用さ
れるテキストが含まれます。msgstr の引用符の間に、使用するテキストを挿入します。
次の例では、「Call your network administrator at 800-553-2447」が挿入されています。
図 6-8
ステップ 4
メッセージテキストの編集
[OK] をクリックしてから、[GUI テキストおよびメッセージ（GUI Text and Messages）] ペインで [ 適
用（Apply）] をクリックして、変更を保存します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
6-13
第6章
AnyConnect クライアントの GUI とインストーラのローカライズ
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントの GUI とインストーラのローカ
ライズ
AnyConnect VPN クライアントまたはクライアントインストーラの表示メッセージは、リモートユー
ザが希望する言語に翻訳することができます。
（注）
Altiris Agent などの社内の IT 展開ソフトウェアを使用して AnyConnect クライアントを展
開する場合、翻訳できるのはインストーラだけです。クライアントは翻訳できません。セ
キュリティアプライアンスからクライアントを展開する場合は、クライアントだけを翻訳
できます。
ここでは、この機能の設定について説明し、手順を示します。
• 「AnyConnect GUI のローカライズ」（P.6-14）
• 「AnyConnect インストーラ画面のローカライズ」（P.6-22）
• 「ツールを使用した社内展開用メッセージカタログの作成」（P.6-25）
• 「新しい翻訳テンプレートと変換テーブルの統合」（P.6-25）
AnyConnect GUI のローカライズ
セキュリティアプライアンスは、変換テーブルを使用して AnyConnect クライアントに表示される
ユーザメッセージを翻訳します。この変換テーブルは、翻訳されたメッセージテキストを挿入する文
字列が記述されたテキストファイルです。Windows 用 AnyConnect クライアントパッケージファイル
には、AnyConnect メッセージとして使用する、英語の言語テンプレートが含まれています。クライア
ントイメージをロードすると、セキュリティアプライアンスによって自動的にこのファイルがイン
ポートされます。このファイルには、メッセージ文字列の最新の変更が含まれています。これを使用す
ると、別の言語用の変換テーブルを新しく作成できます。
また、フランス語および日本語用の変換テーブルを、AnyConnect クライアントのソフトウェアダウン
ロードページから入手することもできます。これらのファイルには、シスコのソフトウェアエンジニ
アが追加した最新のメッセージが含まれていない可能性がありますが、変換テーブルを新規に作成する
よりも、これらのファイルを使用する方が簡単です。これらのファイルは、テキストエディタや
Poedit などの翻訳エディタを使用して編集後にインポートすることも、最初にインポートしてから
ASDM を使用した変換テーブルエディタで編集することもできます。
リモートユーザがセキュリティアプライアンスに接続してクライアントをダウンロードすると、クラ
イアントはそのコンピュータの設定言語を検出して、該当する変換テーブルを適用します。クライアン
トは、オペレーティングシステムのインストール時に指定されたロケールを検出します。Windows の
言語オプションの詳細については、次の URL を参照してください。
http://www.microsoft.com/windowsxp/using/setup/winxp/yourlanguage.mspx
http://www.microsoft.com/globaldev/reference/win2k/setup/changeUI.mspx
（注）
クライアントをセキュリティアプライアンスから展開せずに、Altiris Agent などの社内のソフトウェ
ア展開システムを使用する場合は、Gettext などのカタログユーティリティを使用して、手動で
AnyConnect 変換テーブル（anyconnect.po）を a .mo ファイルに変換し、その a .mo ファイルをクライ
アントコンピュータの適切なフォルダにインストールします。詳細は「ツールを使用した社内展開用
メッセージカタログの作成」（P.6-25）を参照してください。
Cisco AnyConnect VPN Client アドミニストレータガイド
6-14
OL-20841-01-J
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントの GUI とインストーラのローカライズ
次の項では、GUI テキストを翻訳する 2 つの異なる方法について、詳しい手順を説明します。
• 「ASDM 変換テーブルエディタを使用した翻訳」（P.6-15）
• 「変換テーブルのエクスポートと編集による翻訳」（P.6-19）
ASDM 変換テーブルエディタを使用した翻訳
ここでは、ASDM を使用して AnyConnect クライアント GUI をローカライズする方法について説明し
ます。
ステップ 1
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ 言語ローカリゼー
ション（Language Localization）] の順に選択します。[ 追加（Add）] をクリックします。[ 言語ロー
カリゼーションエントリの追加（Add Language Localization Entry ）] ウィンドウが表示されます
（図 6-9）。
図 6-9
[ 言語ローカリゼーション（Language Localization）] ペイン
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
6-15
第6章
AnyConnect クライアントの GUI とインストーラのローカライズ
ステップ 2
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
[ 翻訳ドメイン（Translation Domain）] ドロップリストをクリックし、[AnyConnect] を選択します
（図 6-10）。これによって、AnyConnect GUI 関連のメッセージだけが編集用に表示されます。
図 6-10
翻訳ドメイン
Cisco AnyConnect VPN Client アドミニストレータガイド
6-16
OL-20841-01-J
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントの GUI とインストーラのローカライズ
ステップ 3
この変換テーブルの言語を指定します（図 6-11）。ASDM では、Windows およびブラウザで認識され
る標準的な言語略称が、このテーブルで使用されます（スペイン語は es など）。
図 6-11
言語の選択
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
6-17
第6章
AnyConnect クライアントの GUI とインストーラのローカライズ
ステップ 4
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
変換テーブルが、ペインの言語リストに表示されます（この例では es）。ただし、翻訳されたメッセー
ジはありません。翻訳されたテキストの追加を開始するには、[ 編集（Edit）] をクリックします。[ 言
語ローカリゼーションエントリの編集（Edit Language Localization Entry）] ウィンドウが表示されま
す（図 6-12）。
メッセージ文字列（msgstr）の引用符の間に、翻訳したテキストを追加します。次の例では、メッセー
ジ文字列の引用符の間に「Connectado」（「Connected」のスペイン語）を挿入しています。
[OK] をクリックしてから、[ 言語ローカリゼーション（Language Localization）] ペインで [ 適用
（Apply）] をクリックして変更を保存します。
図 6-12
変換テーブルの編集
Cisco AnyConnect VPN Client アドミニストレータガイド
6-18
OL-20841-01-J
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントの GUI とインストーラのローカライズ
変換テーブルのエクスポートと編集による翻訳
ここでは、AnyConnect 翻訳テンプレートをリモートコンピュータにエクスポートしてから、エディタ
や、Gettext または Poedit などのサードパーティ製ツールを使用して変換テーブルを編集する手順につ
いて説明します。
GNU プロジェクトの Gettext ユーティリティには Windows 版があり、コマンドウィンドウで実行で
きます。詳しくは、GNU の Web サイト（gnu.org）を参照してください。また、Poedit などの、
Gettext を使用する GUI ベースのユーティリティを使用することもできます。このソフトウェアは
poedit.net から入手できます。
ステップ 1
AnyConnect 翻訳テンプレートをエクスポートします。
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ 言語ローカリゼー
ション（Language Localization）] の順に選択します。[ 言語ローカリゼーション（Language
Localization）] ペインが表示されます（図 6-13）。[ テンプレート（Templates）] リンクをクリックす
ると、利用可能なテンプレートのテーブルが表示されます。[AnyConnect] テンプレートを選択し、[ エ
クスポート（Export）] をクリックします。[ 言語ローカリゼーションのエクスポート（Export
Language Localization）] ウィンドウが表示されます。エクスポートの方法を選択し、ファイル名を指
定します。図 6-13 では、ファイル名 AnyConnect_translation_table で、ローカルコンピュータにエク
スポートしています。
図 6-13
翻訳テンプレートのエクスポート
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
6-19
第6章
AnyConnect クライアントの GUI とインストーラのローカライズ
ステップ 2
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
変換テーブルを編集します。
次の例は、AnyConnect テンプレートの一部を示しています。この出力の最後には、メッセージ
Connected のメッセージ ID フィールド（msgid）とメッセージ文字列フィールド（msgstr）がありま
す。このメッセージは、AnyConnect クライアントが VPN 接続を確立したときに、クライアントの
GUI に表示されます（テンプレート全体には、メッセージフィールドのペアが多数含まれています）。
# SOME DESCRIPTIVE TITLE.
# Copyright (C) YEAR THE PACKAGE'S COPYRIGHT HOLDER
# This file is distributed under the same license as the PACKAGE package.
# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
#
#, fuzzy
msgid ""
msgstr ""
"Project-Id-Version: PACKAGE VERSION\n"
"Report-Msgid-Bugs-To: \n"
"POT-Creation-Date: 2006-11-01 16:39-0700\n"
"PO-Revision-Date: YEAR-MO-DA HO:MI+ZONE\n"
"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
"Language-Team: LANGUAGE <[email protected]>\n"
"MIME-Version: 1.0\n"
"Content-Type: text/plain; charset=CHARSET\n"
"Content-Transfer-Encoding: 8bit\n"
msgid "Connected"
msgstr ""
msgid には、デフォルトの翻訳が記述されています。msgid の後の msgstr が、翻訳を表しています。
翻訳を作成するには、翻訳したテキストを、msgstr 文字列の引用符の間に入力します。たとえば、
メッセージ「Connected」をスペイン語に翻訳するには、次のように、対応するスペイン語を引用符の
間に挿入します。
msgid "Connected"
msgstr "Conectado"
ファイルを必ず保存してください。
ステップ 3
この翻訳テンプレートを、指定した言語用の新しい変換テーブルとしてインポートします。
[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access VPN）] > [ 言語ローカリゼー
ション（Language Localization）] の順に選択します。[ 言語ローカリゼーション（Language
Localization）] ペインが表示されます（図 6-13）。[ インポート（Import）] をクリックします。[ 言語
ローカリゼーションのインポート（Import Language Localization）] ウィンドウが表示されます。
ステップ 4
この変換テーブルの言語を選択します。[ 言語（Language）] ドロップリストをクリックして、言語と
その一般的な略称を表示します。手動で略称を入力する場合は、ブラウザおよびオペレーティングシ
ステムが認識できる略称を使用してください。
Cisco AnyConnect VPN Client アドミニストレータガイド
6-20
OL-20841-01-J
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントの GUI とインストーラのローカライズ
ステップ 5
[ 翻訳ドメイン（Translation Domain）] として AnyConnect を指定し、インポート方法を選択して、
ファイル名を指定します。[ インポートの実行（Import Now）] をクリックします。テーブルが正常に
インポートされたことを示すメッセージが表示されます。
[ 適用（Apply）] をクリックし、変更を必ず保存してください。
図 6-13 では、言語として [ スペイン語（Spanish）(es)] を指定し、ステップ 1 でエクスポートした
ファイル（AnyConnect_translation_table）をインポートしています。図 6-15 では、AnyConnect の言
語リストに、スペイン語用の新しい変換テーブルが表示されています。
図 6-14
新しい変換テーブルとしての翻訳テンプレートのインポート
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
6-21
第6章
AnyConnect クライアントの GUI とインストーラのローカライズ
図 6-15
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
言語テーブルに表示された新しい言語
AnyConnect インストーラ画面のローカライズ
AnyConnect クライアント GUI と同様に、クライアントインストーラプログラムに表示されるメッ
セージを翻訳できます。セキュリティアプライアンスはトランスフォームを使用して、インストーラ
に表示されるメッセージを翻訳します。トランスフォームによってインストレーションが変更されます
が、元のセキュリティ署名 MSI は変化しません。これらのトランスフォームではインストーラ画面だ
けが翻訳され、クライアント GUI 画面は翻訳されません。
言語にはそれぞれ独自のトランスフォームがあります。トランスフォームは Orca などのトランス
フォームエディタで編集して、メッセージの文字列を変更できます。その後、トランスフォームをセ
キュリティアプライアンスにインポートします。ユーザがクライアントをダウンロードすると、クラ
イアントはコンピュータの目的の言語（オペレーティングシステムのインストール時に指定されたロ
ケール）を検出し、該当するトランスフォームを適用します。
現時点では、30 の言語に対応するトランスフォームが用意されています。これらのトランスフォーム
は、cisco.com の AnyConnect クライアントソフトウェアダウンロードページから、次の .zip ファイ
ルで入手できます。
anyconnect-win-<VERSION>-web-deploy-k9-lang.zip
このファイルの <VERSION> は、AnyConnect のリリースバージョン（2.2.103 など）を表します。
パッケージには使用可能な翻訳用のトランスフォーム（.mst ファイル）が含まれています。用意され
ている 30 以外の言語をリモートユーザに表示する必要がある場合は、独自のトランスフォームを作成
し、それを新しい言語としてセキュリティアプライアンスにインポートすることができます。
Microsoft のデータベースエディタ Orca を使用して、既存のインストレーションおよび新規ファイル
を修正できます。Orca は、Microsoft Windows Installer Software Development Kit（SDK）の一部で、
Microsoft Windows SDK に同梱されています。次のリンクから Orca プログラムを含むバンドルを入手
できます。
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/orca_exe.asp
SDK をインストールすると、Orca MSI は、次の場所に格納されています。
C:¥Program Files¥Microsoft SDK SP1¥Microsoft Platform SDK¥Bin¥Orca.msi
Cisco AnyConnect VPN Client アドミニストレータガイド
6-22
OL-20841-01-J
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントの GUI とインストーラのローカライズ
ここでは、ASDM を使用してトランスフォームをセキュリティアプライアンスにインポートする方法
について説明します。
ステップ 1
トランスフォームをインポートします。[ 設定（Configuration）] > [ リモートアクセス VPN（Remote
Access VPN）] > [ ネットワーク（クライアント）アクセス（Network (Client) Access）] >
[AnyConnect カスタマイゼーション / ローカリゼーション（AnyConnect Customization/Localization）]
> [ ローカライズされたインストーラトランスフォーム（Localized Installer Transforms）] の順に選択
します。[ インポート（Import）] をクリックします。[MST 言語ローカリゼーションのインポート
（Import MST Language Localization）] ウィンドウが表示されます（図 6-16）。
図 6-16
ステップ 2
インストーラプログラムを翻訳するトランスフォームのインポート
このトランスフォームの言語を選択します。[ 言語（Language）] ドロップリストをクリックして、言
語とその一般的な略称を表示します。手動で略称を入力する場合は、ブラウザおよびオペレーティング
システムが認識できる略称を使用してください。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
6-23
第6章
AnyConnect クライアントの GUI とインストーラのローカライズ
ステップ 3
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
[ インポートの実行（Import Now）] をクリックします。テーブルが正常にインポートされたことを示
すメッセージが表示されます。
[ 適用（Apply）] をクリックし、変更を必ず保存してください。
図 6-16 では、言語に [ スペイン語（Spanish）(es)] を指定しています。図 6-17 では、AnyConnect の
言語リストに、スペイン語用の新しいトランスフォームが表示されています。
図 6-17
テーブルに表示されたインポート済みのトランスフォーム
Cisco AnyConnect VPN Client アドミニストレータガイド
6-24
OL-20841-01-J
第6章
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
AnyConnect クライアントの GUI とインストーラのローカライズ
ツールを使用した社内展開用メッセージカタログの作成
クライアントをセキュリティアプライアンスから展開せずに、Altiris Agent などの社内のソフトウェ
ア展開システムを使用する場合は、Gettext などのユーティリティを使用して、手動で AnyConnect 変
換テーブルをメッセージカタログに変換できます。テーブルを a .po ファイルから a .mo ファイルに変
換後、そのファイルをクライアントコンピュータ上の該当するフォルダに配置します。
Gettext は GNU プロジェクトのユーティリティであり、コマンドウィンドウで実行できます。詳しく
は、GNU の Web サイト（gnu.org）を参照してください。また、Poedit などの、Gettext を使用する
GUI ベースのユーティリティを使用することもできます。このソフトウェアは poedit.net から入手でき
ます。
AnyConnect クライアントメッセージのテンプレートは、次のフォルダにあります。
Windows XP：
%ALLUSERSPROFILE%\Application Data\Cisco\Cisco AnyConnect VPN
Client\l10n\<LANGUAGE-CODE>\LC_MESSAGES
Windows Vista：
%ALLUSERSPROFILE%\Cisco\Cisco AnyConnect VPN Client\l10n\
<LANGUAGE-CODE>\LC_MESSAGES
Mac OS X および Linux：
/opt/cisco/vpn/l10n/<LANGUAGE-CODE>/LC_MESSAGES
Gettext を使用してメッセージカタログを作成する手順は、次のとおりです。
ステップ 1
Gettext ユーティリティを http://www.gnu.org/software/gettext/ からダウンロードし、管理用のコン
ピュータ（リモートのユーザコンピュータ以外）にインストールします。
ステップ 2
AnyConnect クライアントがインストールされたコンピュータにある、AnyConnect メッセージテンプ
レート AnyConnect.po を取得します。
ステップ 3
この AnyConnect.po ファイルを編集し（notepad.exe または任意のプレーンテキストエディタを使
用）、必要に応じて文字列を変更します。
ステップ 4
Gettext のメッセージファイルコンパイラを実行して、次のように .po ファイルから .mo ファイルを作
成します。
msgfmt -o AnyConnect.mo AnyConnect.po
ステップ 5
.mo ファイルを、ユーザのコンピュータ上の適切なフォルダに格納します。
新しい翻訳テンプレートと変換テーブルの統合
当社では、クライアント接続に関する有用な情報を提供するため、AnyConnect ユーザに表示する新し
いメッセージを追加することがあります。そのような新しいメッセージの翻訳を可能にするため、当社
で新しいメッセージ文字列を作成し、それを最新のクライアントイメージにパッケージされた翻訳テ
ンプレートに含めてあります。そのため、最新のクライアントにアップグレードすると、新しいメッ
セージが含まれたテンプレートも入手できます。ただし、前のクライアントに含まれていたテンプレー
トを基礎に変換テーブルを作成してある場合は、リモートユーザに新しいメッセージが自動的に表示
されるわけではありません。最新のテンプレートを変換テーブルに統合し、変換テーブルに新しいメッ
セージを含める必要があります。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
6-25
第6章
AnyConnect クライアントの GUI とインストーラのローカライズ
AnyConnect クライアントとインストーラのカスタマイズとローカライズ
統合には、便利なサードパーティ製のツールを利用できます。GNU プロジェクトの Gettext ユーティ
リティには Windows 版があり、コマンドウィンドウで実行できます。詳しくは、GNU の Web サイト
（gnu.org）を参照してください。また、Poedit などの、Gettext を使用する GUI ベースのユーティリ
ティを使用することもできます。このソフトウェアは poedit.net から入手できます。両方の手順を次に
示します。
ステップ 1
[ リモートアクセス VPN（Remote Access VPN）] > [ 言語のローカリゼーション（Language
Localization）] > [ テンプレート（Templates）] を選択し、最新の AnyConnect 翻訳テンプレートをエ
クスポートします。AnyConnect.pot というファイル名で、テンプレートをエクスポートします。この
ファイル名にすると、msgmerge.exe プログラムからメッセージカタログテンプレートとして認識され
ます。
（注）
ステップ 2
この手順は、すでに最新の AnyConnect イメージパッケージをセキュリティアプライアンスに
ロードしてあることが前提になっています。まだロードしていない場合は、テンプレートをエ
クスポートできません。
AnyConnect テンプレートおよび変換テーブルを統合します。
Windows 版の Gettext ユーティリティを使用している場合は、コマンドプロンプトウィンドウを開き、
次のコマンドを実行します。このコマンドでは、次のように、AnyConnect 変換テーブル（.po）とテ
ンプレート（.pot）が統合され、AnyConnect_merged.po ファイルが新しく作成されます。
msgmerge -o AnyConnect_merged.po AnyConnect.po AnyConnect.pot
このコマンドの実行結果の例を次に示します。
C:¥Program Files¥GnuWin32¥bin> msgmerge -o AnyConnect_merged.po AnyConnect.po
AnyConnect.pot
....................................... done.
Poedit を使用している場合は、初めに AnyConnect.po ファイルを開きます。それには、[ ファイル
（File）] > [ 開く（Open）] > <AnyConnect.po> の順に選択します。
次に、[ カタログ（Catalog）] > [POT ファイルを元に更新します（Update from POT file ）] >
<AnyConnect.pot> の順に選択して、テンプレートと統合します。
新しい文字列と使用されなくなった文字列の両方を示す、[ サマリを更新中（Update Summary）] ウィ
ンドウが表示されます。ファイルを保存します。このファイルを次の手順でインポートします。
ステップ 3
[ リモートアクセス VPN（Remote Access VPN）] > [ 言語のローカリゼーション（Language
Localization）] から、統合した変換テーブルをインポートします。[ インポート（Import）] をクリッ
クし、言語を指定して、翻訳ドメインとして AnyConnect を選択します。インポートするファイルとし
て AnyConnect_merged.po を指定します。
Cisco AnyConnect VPN Client アドミニストレータガイド
6-26
OL-20841-01-J
C H A P T E R
7
通信ユーザのガイドライン
VPN ユーザとの通信に関しては、次のガイドラインを検討してください。また、ユーザからガイドラ
インを求められたときに、この項を参考にしてください。ここでは、次の項目について説明します。
• 「AnyConnect CLI コマンドを使用した接続（スタンドアロンモード）」（P.7-1）
• 「ログアウト」（P.7-3）
• 「セキュア接続（鍵）アイコンの設定」（P.7-3）
AnyConnect CLI コマンドを使用した接続（スタンドアロ
ンモード）
Cisco AnyConnect VPN Client には、グラフィカルユーザインターフェイスを使用せずにコマンドを
発行することを希望するユーザ向けに、CLI があります。次の項では、CLI コマンドプロンプトの起
動方法について説明します。
Windows の場合
Windows システムで CLI コマンドプロンプトを起動し、コマンドを発行するには、Windows のフォ
ルダ C:¥Program Files¥Cisco¥Cisco AnyConnect VPN Client にあるファイル vpncli.exe を探します。
ファイル vpncli.exe をダブルクリックします。
Linux および Mac OS X の場合
Linux システムまたは Mac OS X システムで CLI コマンドプロンプトを起動し、コマンドを発行する
には、フォルダ /opt/cisco/vpn/bin/ にあるファイル vpn を探します。ファイル vpn を実行します。
CLI は、独自のプロンプトが表示される対話モードで実行するか、コマンドを使用してコマンドライン
で実行することができます。表 7-1 に、CLI コマンドを示します。
表 7-1
コマンド
AnyConnect クライアント CLI コマンド
処理
connect IP アドレスまたはエ特定のセキュリティアプライアンスへの接続を確立します。
イリアス
disconnect
前に確立した接続を閉じます。
stats
確立した接続に関する統計情報を表示します。
quit
CLI 対話モードを終了します。
exit
CLI 対話モードを終了します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
7-1
第7章
通信ユーザのガイドライン
AnyConnect CLI コマンドを使用した接続（スタンドアロンモード）
次の例は、ユーザがコマンドラインから接続を確立し、終了する例です。
Windows
connect 209.165.200.224
アドレスが 209.165.200.224. のセキュリティアプライアンスへの接続を確立します。200.224. 要求さ
れたホストに接続した後、AnyConnect クライアントは、ユーザが属するグループを表示し、ユーザの
ユーザ名とパスワードを要求します。オプションのバナーが指定されている場合、ユーザはバナーに応
答する必要があります。デフォルトの応答は n で、接続試行を終了します。次の例を参考にしてくだ
さい。
VPN> connect 209.165.200.224
>>contacting host (209.165.200.224) for login information...
>>Please enter your username and password.
Group: testgroup
Username: testuser
Password: ********
>>notice: Please respond to banner.
VPN>
STOP! Please read. Scheduled system maintenance will occur tonight from 1:00-2:00 AM for
one hour. The system will not be available during that time.
accept? [y/n] y
>> notice: Authentication succeeded. Checking for updates...
>> state: Connecting
>> notice: Establishing connection to 209.165.200.224.
>> State: Connected
>> notice: VPN session established.
VPN>
stats
現在の接続の統計情報を表示します。次の例を参考にしてください。
VPN> stats
[ Tunnel Information ]
Time Connected:01:17:33
Client Address:192.168.23.45
Server Address:209.165.200.224
[ Tunnel Details ]
Tunneling Mode:All Traffic
Protocol: DTLS
Protocol Cipher: RSA_AES_256_SHA1
Protocol Compression: None
[ Data Transfer ]
Bytes (sent/received): 1950410/23861719
Packets (sent/received): 18346/28851
Bypassed (outbound/inbound): 0/0
Discarded (outbound/inbound): 0/0
[ Secure Routes ]
Network
0.0.0.0
VPN>
Subnet
0.0.0.0
disconnect
前に確立した接続を閉じます。次の例を参考にしてください。
VPN> disconnect
Cisco AnyConnect VPN Client アドミニストレータガイド
7-2
OL-20841-01-J
第7章
通信ユーザのガイドライン
ログアウト
>> state: Disconnecting
>> state: Disconnected
>> notice: VPN session ended.
VPN>
quit または exit
どちらかのコマンドで、CLI の対話モードを終了します。次の例を参考にしてください。
quit
goodbye
>>state: Disconnected
Linux または Mac OS X
/opt/cisco/vpn/bin/vpn connect 1.2.3.4
アドレスが 1.2.3.4 のセキュリティアプライアンスへの接続を確立します。
/opt/cisco/vpn/bin/vpn connect some_asa_alias
プロファイルを読み込み、エイリアス some_asa_alias を検索してアドレスを探し、セキュリティアプ
ライアンスへの接続を確立します。
/opt/cisco/vpn/bin/vpn stats
VPN 接続に関する統計情報を表示します。
/opt/cisco/vpn/bin/vpn disconnect
VPN セッションがある場合、接続解除します。
ログアウト
セキュリティノート：セッションを終了するときは、必ずログアウトしてください。特に、図書館や
インターネットカフェなど共用コンピュータを使用する場合は、ログアウトが重要です。ログアウト
しないと、次にコンピュータを使用した人が、ファイルにアクセスできる可能性があります。組織をセ
キュリティリスクにさらさないでください。必ずログアウトしてください。
セキュア接続（鍵）アイコンの設定
鍵のアイコンは、セキュアな接続を示しています。Windows XP では、最近使用されていない他のアイ
コンと同様に、このアイコンが自動的に非表示になります。Windows XP でこのアイコンが非表示にさ
れないようにするには、次の手順に従ってください。
ステップ 1
トレイアイコンが表示されたタスクバーの、かぎカッコ（<）を右クリックします。
ステップ 2
[ 通知のカスタマイズ ...（Customize Notifications...）] を選択します。
ステップ 3
[Cisco Systems AnyConnect VPN Client] を選択し、[ 常に表示（Always Show）] に設定します。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
7-3
第7章
通信ユーザのガイドライン
セキュア接続（鍵）アイコンの設定
Cisco AnyConnect VPN Client アドミニストレータガイド
7-4
OL-20841-01-J
C H A P T E R
8
AnyConnect セッションの管理、モニタリン
グ、およびトラブルシューティング
この章では、次のテーマおよびタスクについて説明します。
• 「すべての VPN セッションの接続解除」（P.8-1）
• 「個別の VPN セッションの接続解除」（P.8-1）
• 「詳細な統計情報の表示」（P.8-2）
• 「VPN 接続の問題の解決」（P.8-4）
• 「DART を使用したトラブルシューティング情報の収集」（P.8-5）
すべての VPN セッションの接続解除
すべての AnyConnect クライアントと SSL VPN セッションをログオフするには、グローバルコンフィ
ギュレーションモードで vpn-sessiondb logoff svc コマンドを使用します。
vpn-sessiondb logoff svc
これに応答して、システムが、VPN セッションをログオフすることの確認を要求します。Enter キーま
たは y キーを押して確認します。ログオフをキャンセルするには、その他のキーを押します。
次の例は、すべての SSL VPN セッションをログオフします。
hostname# vpn-sessiondb logoff svc
INFO: Number of sessions of type "svc" logged off : 1
Do you want to logoff the VPN session(s)? [confirm]
INFO: Number of sessions logged off : 6
hostname#
個別の VPN セッションの接続解除
name オプション、または index オプションを使用すると、個別にセッションをログオフできます。
vpn-sessiondb logoff name name
vpn-sessiondb logoff index index
たとえば、ユーザ tester をログオフさせるには、次のコマンドを入力します。
hostname# vpn-sessiondb logoff name tester
Do you want to logoff the VPN session(s)? [confirm]
INFO: Number of sessions with name "tester" logged off : 1
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
8-1
第8章
AnyConnect セッションの管理、モニタリング、およびトラブルシューティング
詳細な統計情報の表示
hostname#
ユーザ名とインデックス番号（クライアントイメージの順に付与）は、どちらも show vpn-sessiondb
svc コマンドの出力に表示されます。
次の例では、vpn-sessiondb logoff コマンドの name オプションを使用して、セッションを終了してい
ます。
hostname# vpn-sessiondb logoff name testuser
INFO: Number of sessions with name "testuser" logged off : 1
詳細な統計情報の表示
現在の AnyConnect クライアントセッションについての統計情報を表示するには、ユーザ GUI の [ 詳
細（Details）] ボタンをクリックします。
[ 統計情報の詳細（Statistics Details）] ダイアログが表示されます。このウィンドウの [ 統計情報
（Statistics）] タブでは、統計情報のリセットとエクスポート、およびトラブルシューティング用の
ファイル収集を行えます。
図 8-1
AnyConnect VPN クライアントの [ 統計情報の詳細（Statistics Details）] ダイアログ
このウィンドウに表示されるオプションは、クライアント PC にロードされているパッケージによって
異なります。オプションを使用できない場合は、ダイアログボックスでそのオプションボタンがアク
ティブにならず、オプション名の横に「（未インストール（Not Installed））」と表示されます。オプ
ションは次のとおりです。
• [ 元に戻す（Reset）] をクリックすると、接続情報がゼロにリセットされます。AnyConnect によ
る新しいデータの収集がすぐに開始されます。
• [ 統計情報のエクスポート ...（Export Stats...）] をクリックすると、接続の統計情報がテキスト
ファイルに保存され、あとから分析とデバッグを行えます。
Cisco AnyConnect VPN Client アドミニストレータガイド
8-2
OL-20841-01-J
第8章
AnyConnect セッションの管理、モニタリング、およびトラブルシューティング
詳細な統計情報の表示
• [ トラブルシューティング ...（Troubleshoot...）] をクリックすると、DART（Diagnostic
AnyConnect Reporting Tool）ウィザードが起動されます。指定したログファイルと診断情報を結
び付けることで、AnyConnect のクライアント接続の分析とデバッグに使用できます。DART パッ
ケージの詳細については、「DART を使用したトラブルシューティング情報の収集」（P.8-5）を参
照してください。
Windows Mobile デバイスでの統計情報の表示
Windows Mobile デバイスの AnyConnect ユーザも、画面右下の [ メニュー（Menu）] をクリックし、
表示されたメニューから希望する機能を選択すると、統計情報の詳細のエクスポート機能とロギング機
能を使用できます（図 8-2）。
図 8-2
Windows Mobile の [ ロギング（Logging）] メニュー
[ ロギング（Logging）] をクリックすると、ロギング設定ダイアログボックスが表示されます
（図 8-3）。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
8-3
第8章
AnyConnect セッションの管理、モニタリング、およびトラブルシューティング
VPN 接続の問題の解決
図 8-3
Windows Mobile のロギング設定ダイアログボックス
このダイアログボックスのスライダーを動かすと、ログファイルの総数と、1 つのログファイルの容
量を制御し、タスクの実行タイミングをイネーブルにできます。
[ ログを参照（Browse Logs）] をクリックすると、別のブラウザウィンドウにログメッセージの
HTML リストが表示されます。
VPN 接続の問題の解決
次の項は、VPN 接続の問題を解決するために参照してください。
MTU サイズの調整
多くの家庭用エンドユーザ終端装置（ホームルータなど）は、IP フラグメントの作成またはアセンブ
リを適切に処理しません。特に UDP の場合はそうなります。DTLS は UDP ベースのプロトコルであ
るため、場合によってはフラグメンテーションを防止するため、MTU を小さくする必要があります。
MTU パラメータでは、クライアントとセキュリティアプライアンスにトンネルで転送するパケットの
最大サイズが設定されます。VPN ユーザで大量のパケット損失が発生している場合、または Microsoft
Outlook などのアプリケーションがトンネル経由で機能しない場合は、フラグメンテーションの問題が
発生している可能性があります。ユーザまたはユーザのグループの MTU を減らすことで、問題を解決
できることがあります。
AnyConnect クライアントが確立する SSL VPN 接続の最大伝送ユニットサイズ（256 ～ 1406 バイト）
を調整するには、次の手順に従ってください。
Cisco AnyConnect VPN Client アドミニストレータガイド
8-4
OL-20841-01-J
第8章
AnyConnect セッションの管理、モニタリング、およびトラブルシューティング
DART を使用したトラブルシューティング情報の収集
ステップ 1
ASDM インターフェイスで、[ 設定（Configuration）] > [ リモートアクセス VPN（Remote Access
VPN）] > [ ネットワーク（クライアント）アクセス（Network (Client) Access）] > [ グループポリ
シー（Group Policies）] > [ 追加（Add）] または [ 編集（Edit）] の順に選択します。
[ 内部グループポリシーの編集（Edit Internal Group Policy）] ダイアログボックスが表示されます。
ステップ 2
[ 詳細（Advanced）] > [SSL VPN クライアント（SSL VPN Client）] の順に選択します。
ステップ 3
[ 継承（Inherit）] チェックボックスをオフにして、MTU フィールドで適切な値を指定します。
デフォルトのグループポリシーでは、このコマンドのデフォルトのサイズが 1406 です。MTU サイズ
は、接続に使用するインターフェイスの MTU から IP/UDP/DTLS オーバーヘッドを減算して、自動的
に調整されます。
この設定が影響を与えるのは、SSL で確立された AnyConnect クライアント接続と、SSL with DTLS
で確立された AnyConnect クライアント接続だけです。
圧縮の排除による VPN パフォーマンスの向上と Windows Mobile 接続の
許可
低帯域幅の接続では、圧縮によって転送されるパケットのサイズが削減され、セキュリティアプライ
アンスとクライアントとの間の通信パフォーマンスが向上します。デフォルトでは、グローバルレベ
ルと特定のグループまたはユーザレベルの両方で、すべての SSL VPN 接続で圧縮がセキュリティア
プライアンスでイネーブルになっています。ブロードバンド接続では、圧縮によってパフォーマンスが
低下することがあります。
（注）
Windows Mobile 用の AnyConnect クライアントは、圧縮をサポートしていません。
グローバルな圧縮設定が、デフォルトでイネーブルになっています。グローバルに圧縮を設定するに
は、グローバルコンフィギュレーションモードから CLI コマンド compression svc コマンドを使用し
ます。
DART を使用したトラブルシューティング情報の収集
DART は Diagnostic AnyConnect Reporting Tool の略で、AnyConnect のインストールと接続に関する
問題のトラブルシューティングに役立つデータの収集に使用できます。DART は、Windows 7、Vista、
および XP と、Mac OS、Linux をサポートしています。DART は、Windows 7、Vista、および XP と、
Mac OS、Linux をサポートしています。
DART ウィザードは、AnyConnect クライアントが稼動するコンピュータ上で実行されます。DART に
よってログ、状態情報、および診断情報が収集され、それを Cisco Technical Assistance Center（TAC）
での分析に使用できます。DART の実行に管理者権限は不要です。
DART は、AnyConnect ソフトウェアのコンポーネントに依存せずに機能しますが、AnyConnect から
起動可能で、AnyConnect ログファイル（ある場合）の収集を行います。
どのバージョンの DART も、すべてのバージョンの AnyConnect に使用できます。それぞれのバー
ジョン番号は同期していません。DART を最適化するためには、使用する AnyConnect のバージョン
にかかわらず、AnyConnect VPN Client ソフトウェアダウンロードサイトにある最新のバージョンを
ダウンロードするようにしてください。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
8-5
第8章
AnyConnect セッションの管理、モニタリング、およびトラブルシューティング
DART を使用したトラブルシューティング情報の収集
現在のところ、DART は単独でインストールできますが、AnyConnect ダイナミックダウンロードイ
ンフラストラクチャの一部として、このアプリケーションを管理者がクライアント PC にプッシュする
こともできます。インストールされると、[ スタート（Start）] ボタンにある Cisco フォルダから、
DART ウィザードを起動できます。
（注）
シスコがお客様に DART を提供しているのは、重要なトラブルシューティング情報を簡単に収集でき
るようにするためですが、DART はリリースサイクルの「ベータ」フェーズであることに注意してく
ださい。
DART ソフトウェアの入手
DART は、AnyConnect クライアントのダウンロードおよびインストールパッケージに含まれ、単体
の .msi ファイルとしても入手できます。
どのバージョンの DART も、すべてのバージョンの AnyConnect に使用できます。それぞれのバー
ジョン番号は同期していません。DART を最適化するためには、使用する AnyConnect のバージョン
にかかわらず、AnyConnect VPN Client ソフトウェアダウンロードサイトにある最新のバージョンを
ダウンロードするようにしてください。
Cisco.com にある、DART ファイルを含む AnyConnect ダウンロードファイルは次のとおりです。最
新のバージョン番号については、『Release Notes for Cisco AnyConnect VPN Client』を参照してくだ
さい。
• anyconnect-all-packages-2.4.version-k9.zip：すべての AnyConnect パッケージが含まれていま
す。
• anyconnect-dart-win-2.4.version-k9.pkg：DART のインストールパッケージだけが含まれ、
AnyConnect または vpngina ソフトウェアは含まれていません。DART を単体のアプリケーション
としてインストールする場合は、これを使用してください。
DART のインストール
管理者は、DART を AnyConnect インストレーションの一部として含めることができます。または、
Cisco.com の登録ユーザが「DART ソフトウェアの入手」の説明に従って、
http://www.cisco.com/cgi-bin/tablebuild.pl/anyconnect からファイルをダウンロードし、PC に手動で
インストールすることもできます。
ユーザが AnyConnect クライアントをダウンロードすると、新しいバージョンの DART がある場合は
それも、自動的にユーザの PC にダウンロードされます。新しいバージョンの AnyConnect クライアン
トが、自動アップグレードの中でダウンロードされると、新しいバージョンの DART がある場合は、
それもダウンロードファイルに含まれます。
（注）
グループポリシー設定（svc modules コマンドまたは対応する ASDM ダイアログで設定）に dart
キーワードがない場合は、DART がパッケージに含まれていても、AnyConnect は DART をインス
トールしません。
AnyConnect を使用した DART のインストール
この手順では、次回リモートユーザが接続するときに、そのユーザのマシンに DART がダウンロード
されます。
Cisco AnyConnect VPN Client アドミニストレータガイド
8-6
OL-20841-01-J
第8章
AnyConnect セッションの管理、モニタリング、およびトラブルシューティング
DART を使用したトラブルシューティング情報の収集
ステップ 1
他のシスコのソフトウェアパッケージと同様に、DART を含む AnyConnect パッケージをセキュリ
ティアプライアンスにロードします。
ステップ 2
DART を含む AnyConnect の .pkg ファイルをセキュリティアプライアンスにインストール後、明示的
に DART をリモートユーザのマシンにインストールする必要があります。これは、次のように ASDM
または CLI を使用して実行します。
• ASDM を使用する場合は、[ 設定（Configuration）] をクリックしてから、[ リモートアクセス
VPN（Remote Access VPN）] > [ ネットワーク（クライアント）アクセス（Network (Client)
Access）] > [ グループポリシー（Group Policy）] の順にクリックします。
新しいグループポリシーを追加するか、既存のグループポリシーを編集します。グループポリ
シーのダイアログボックスで、[ 詳細（Advanced）] を展開し、[SSL VPN クライアント（SSL
VPN Client）] をクリックします。
[SSL VPN クライアント（SSL VPN Client）] ダイアログボックスで、[ ダウンロードするオプ
ションのクライアントモジュール（Optional Client Modules to Download）] オプションの [ 継承
（Inherit）] をオフにします。このオプションのドロップダウンリストから dart モジュールを選択
します。
使用するバージョンの ASDM に、DART オプションのチェックボックスがない場合は、フィール
ドにキーワード dart を入力します。DART と Start Before Logon の両方をイネーブルにするには、
dart と vpngina の両方を任意の順序でカンマで区切ってフィールドに入力します。
[OK] をクリックしてから、[ 適用（Apply）] をクリックします。
• CLI を使用する場合は、svc modules value dart コマンドを使用します。
（注）
あとで svc modules none に変更したり、[ ダウンロードするオプションのクライアントモジュール
（Optional Client Modules to Download）] フィールドの DART の選択を解除しても、DART はインス
トールされたままになります。セキュリティアプライアンスからは DART をアンインストールできま
せん。DART を削除するには、Windows のコントロールパネルの、[ プログラムの追加と削除
（Add/Remove Programs）] を使用してください。この方法で DART を削除しても、ユーザが
AnyConnect クライアントを使用して再接続すると、自動的に再インストールされます。上位バージョ
ンの DART を含んだ AnyConnect パッケージがセキュリティアプライアンスにアップロードされ、設
定されている場合は、ユーザが接続すると DART が自動的にアップグレードされます。
DART の実行方法については、「Windows PC での DART の実行」（P.8-8）を参照してください。
ホストへの DART の手動インストール
ステップ 1
Cisco.com から DART ソフトウェアを入手します。「DART ソフトウェアの入手」（P.8-6）を参照し
て、anyconnect-dart-win-2.4.version-k9.pkg をローカルにインストールします。
ステップ 2
WinZip® などのファイル圧縮ユーティリティを使用して、anyconnect-dart-win-2.4.version-k9.pkg
の内容を、ディレクトリ構造を維持した状態で展開します。
ステップ 3
anyconnect-dart-win-2.4.version-k9.pkg ファイルの内容を展開して作成された binaries ディレクト
リを開きます。
ステップ 4
anyconnect-dart-win-2.4.version-k9.msi ファイルをダブルクリックして、[DART セットアップウイ
ザード（DART Setup Wizard] を起動します。
ステップ 5
初期画面で [ 次へ（Next）] をクリックします。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
8-7
第8章
AnyConnect セッションの管理、モニタリング、およびトラブルシューティング
DART を使用したトラブルシューティング情報の収集
ステップ 6
[ ライセンス契約に同意する（I accept the terms in the License Agreement）] を選択して、エンドユー
ザのライセンス契約に同意し、[ 次へ（Next）] をクリックします。
ステップ 7
[ インストール（Install）] をクリックして、DART をインストールします。インストールウィザード
によって、DartOffline.exe が <System Drive>:¥Program Files¥Cisco¥Cisco DART ディレクトリにイ
ンストールされます。
ステップ 8
[ 完了（Finish）] をクリックして、インストールを完了します。
DART の実行方法については、「Windows PC での DART の実行」（P.8-8）を参照してください。
Windows PC での DART の実行
Windows PC で DART ウィザードを実行して DART バンドルを作成するには、次の手順に従ってくだ
さい。
ステップ 1
AnyConnect クライアント GUI を起動します。
ステップ 2
[ 統計情報（Statistics）] タブをクリックしてから、ダイアログボックス下部の [ 詳細（Details）] ボタ
ンをクリックします。[ 統計情報の詳細（Statistics Details）] ダイアログボックスが表示されます。
ステップ 3
[ 統計情報の詳細（Statistics Details）] ウィンドウ下部の [ トラブルシューティング（Troubleshoot）]
をクリックします。
ステップ 4
初期画面で [ 次へ（Next）] をクリックします。[ バンドル作成オプション（Bundle Creation Option）]
ダイアログボックスが表示されます。
ステップ 5
[ バンドル作成オプション（Bundle Creation Option）] エリアで、[ デフォルト（Default）] または [ カ
スタム（Custom ）] を選択します。
• [ デフォルト（Default）] オプションでは、代表的なログファイルと診断情報が含まれます。たと
えば、AnyConnect ログファイルや Cisco Secure Desktop ログファイル、コンピュータの一般情
報、DART が実行した内容と実行しなかった内容についての要約などが含まれます。
[ デフォルト（Default）] を選択してから、ダイアログボックス下部の [ 次へ（Next）] をクリック
すると、DART のバンドル作成が開始されます。バンドルのデフォルト名は DARTBundle.zip で、
ローカルデスクトップに保存されます。
• [ カスタム（Custom）] を選択した場合は、[ 次へ（Next）] をクリックすると、DART ウィザード
によってさらにダイアログボックスが表示され、バンドルに含めるファイルや、バンドルの保存場
所を指定します。
ヒント [ カスタム（Custom）] を選択すると、バンドルに含めるファイルはデフォルトのままにして、
ファイルの保存場所だけは別の場所を指定するということもできます。
ステップ 6
DART バンドルを暗号化するには、[ 暗号化オプション（Encryption Option）] エリアで [ バンドルの
暗号化をイネーブルにする（Enable Bundle Encryption ）] にチェックを入れてから、[ 暗号化パスワー
ド（Encryption Password）] フィールドにパスワードを入力します。オプションで [ パスワードをマス
ク（Mask Password）] を選択すると、[ 暗号化パスワード（Encryption Password）] フィールドおよび
[ パスワードの再入力（Reenter Password）] フィールドに入力したパスワードが、アスタリスク（*）
でマスクされるようになります。
ステップ 7
[ 次へ（Next）] をクリックします。[ デフォルト（Default）] を選択した場合、DART はバンドルの作
成を開始します。[ カスタム（Custom）] を選択した場合は、ウィザードが次のステップに進みます。
Cisco AnyConnect VPN Client アドミニストレータガイド
8-8
OL-20841-01-J
第8章
AnyConnect セッションの管理、モニタリング、およびトラブルシューティング
DART を使用したトラブルシューティング情報の収集
ステップ 8
[ ログファイルの選択（Log File Selection）] ダイアログボックスで、バンドルに含めるログファイル
と設定ファイルを選択します。DART が通常状態で収集するファイルのリストをデフォルトに戻すに
は、[ デフォルトに戻す（Restore Default）] をクリックします。[ 次へ（Next）] をクリックします。
ステップ 9
[ 診断情報の選択（Diagnostic Information Selection）] ダイアログボックスで、バンドルに含める診断
情報を選択します。DART が通常状態で収集するファイルのリストをデフォルトに戻すには、[ デフォ
ルトに戻す（Restore Default）] をクリックします。[ 次へ（Next）] をクリックします。
ステップ 10
[ コメントとターゲットバンドルの場所（Comments and Target Bundle Location）] ダイアログボック
スで、次のフィールドを設定します。
• [ コメント（Comments）] エリアに、バンドルに含めるコメントを入力します。入力したコメント
は、DART のバンドルに含められる comments.txt ファイルに保存されます。
• [ ターゲットバンドルの場所（Target Bundle Location）] フィールドで、バンドルの保存場所を参
照します。
[ 次へ（Next）] をクリックします。
ステップ 11
[ 要約（Summary）] ダイアログボックスでカスタマイズの内容を確認し、[ 次へ（Next）] をクリック
してバンドルを作成するか、[ 戻る（Back）] をクリックしてカスタマイズの内容に変更を加えます。
ステップ 12
DART のバンドル作成が終了したら、[ 完了（Finish）] をクリックします。
ヒント
状況によっては、DART の実行に数分以上かかったという報告を受けることがあります。デフォルト
リストのファイル収集に長い時間を要している思われる場合は、[ キャンセル（Cancel）] をクリック
してからウィザードを再実行し、カスタム DART バンドルを作成して必要なファイルだけを選択して
ください。
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
8-9
第8章
AnyConnect セッションの管理、モニタリング、およびトラブルシューティング
DART を使用したトラブルシューティング情報の収集
Cisco AnyConnect VPN Client アドミニストレータガイド
8-10
OL-20841-01-J
A P P E N D I X
A
オープンソフトウェアライセンスの通知事項
OpenSSL/Open SSL Project
This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit
(http://www.openssl.org/).
This product includes cryptographic software written by Eric Young ([email protected]).
This product includes software written by Tim Hudson ([email protected]).
License Issues
The OpenSSL toolkit stays under a dual license, i.e. both the conditions of the OpenSSL License and the
original SSLeay license apply to the toolkit.See below for the actual license texts.Actually both licenses
are BSD-style Open Source licenses.In case of any license issues related to OpenSSL please contact
[email protected].
OpenSSL License:
Copyright © 1998-2009 The OpenSSL Project.All rights reserved.
Redistribution and use in source and binary forms, with or without modification, are permitted provided
that the following conditions are met:
1. Redistributions of source code must retain the copyright notice, this list of conditions and the
following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions, and
the following disclaimer in the documentation and/or other materials provided with the distribution.
3. All advertising materials mentioning features or use of this software must display the following
acknowledgment: “This product includes software developed by the OpenSSL Project for use in the
OpenSSL Toolkit (http://www.openssl.org/)”.
4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to endorse or promote
products derived from this software without prior written permission.For written permission, please
contact [email protected].
5. Products derived from this software may not be called "OpenSSL" nor may "OpenSSL" appear in
their names without prior written permission of the OpenSSL Project.
6. Redistributions of any form whatsoever must retain the following acknowledgment:
"This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit
(http://www.openssl.org/)".
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
A-1
付録 A
オープンソフトウェアライセンスの通知事項
OpenSSL/Open SSL Project
THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT "AS IS"' AND ANY EXPRESSED OR
IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF
MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.IN NO
EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY
DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR
SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER
CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH
DAMAGE.
This product includes cryptographic software written by Eric Young ([email protected]).This product
includes software written by Tim Hudson ([email protected]).
Original SSLeay License:
Copyright © 1995-1998 Eric Young ([email protected]).All rights reserved.
This package is an SSL implementation written by Eric Young ([email protected]).
The implementation was written so as to conform with Netscape's SSL.
This library is free for commercial and non-commercial use as long as the following conditions are
adhered to.The following conditions apply to all code found in this distribution, be it the RC4, RSA,
lhash, DES, etc., code; not just the SSL code.The SSL documentation included with this distribution is
covered by the same copyright terms except that the holder is Tim Hudson ([email protected]).
Copyright remains Eric Young's, and as such any Copyright notices in the code are not to be removed.If
this package is used in a product, Eric Young should be given attribution as the author of the parts of the
library used.This can be in the form of a textual message at program startup or in documentation (online
or textual) provided with the package.
Redistribution and use in source and binary forms, with or without modification, are permitted provided
that the following conditions are met:
1. Redistributions of source code must retain the copyright notice, this list of conditions and the
following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and
the following disclaimer in the documentation and/or other materials provided with the distribution.
3. All advertising materials mentioning features or use of this software must display the following
acknowledgement:
"This product includes cryptographic software written by Eric Young ([email protected])".
The word 'cryptographic' can be left out if the routines from the library being used are not
cryptography-related.
4. If you include any Windows specific code (or a derivative thereof) from the apps directory
(application code) you must include an acknowledgement: "This product includes software written
by Tim Hudson ([email protected])".
THIS SOFTWARE IS PROVIDED BY ERIC YOUNG "AS IS" AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF
MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.IN NO
EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT,
INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
Cisco AnyConnect VPN Client アドミニストレータガイド
A-2
OL-20841-01-J
付録 A
オープンソフトウェアライセンスの通知事項
OpenSSL/Open SSL Project
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
The license and distribution terms for any publicly available version or derivative of this code cannot be
changed.i.e. this code cannot simply be copied and put under another distribution license [including the
GNU Public License].
Cisco AnyConnect VPN Client アドミニストレータガイド
OL-20841-01-J
A-3
付録 A
オープンソフトウェアライセンスの通知事項
OpenSSL/Open SSL Project
Cisco AnyConnect VPN Client アドミニストレータガイド
A-4
OL-20841-01-J