Comments
Description
Transcript
Cisco AnyConnect VPN Client アドミニスト
Cisco AnyConnect VPN Client アドミニスト レータ ガイド Cisco AnyConnect VPN Client Administrator Guide リリース 2.4 Text Part Number: OL-20841-01-J 【注意】シスコ製品をご使用になる前に、安全上の注意 (www.cisco.com/jp/go/safety_warning/)をご確認ください。 本書は、米国シスコシステムズ発行ドキュメントの参考和訳です。 リンク情報につきましては、日本語版掲載時点で、英語版にアップ デートがあり、リンク先のページが移動 / 変更されている場合があ りますことをご了承ください。 あくまでも参考和訳となりますので、正式な内容については米国サ イトのドキュメントを参照ください。 また、契約等の記述については、弊社販売パートナー、または、弊 社担当者にご確認ください。 このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨事項 は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用は、すべ てユーザ側の責任になります。 対象製品のソフトウェア ライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。 The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version of the UNIX operating system.All rights reserved.Copyright © 1981, Regents of the University of California. ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコシステ ムズおよびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保 証をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。 いかなる場合においても、シスコシステムズおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめと する、間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコシステムズまたはその供給者に知らされていても、それらに対する責任を一切負 わないものとします。 CCDE, CCENT, CCSI, Cisco Eos, Cisco HealthPresence, Cisco IronPort, the Cisco logo, Cisco Nurse Connect, Cisco Pulse, Cisco SensorBase, Cisco StackPower, Cisco StadiumVision, Cisco TelePresence, Cisco Unified Computing System, Cisco WebEx, DCE, Flip Channels, Flip for Good, Flip Mino, Flipshare (Design), Flip Ultra, Flip Video, Flip Video (Design), Instant Broadband, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn, Cisco Capital, Cisco Capital (Design), Cisco:Financed (Stylized), Cisco Store, Flip Gift Card, and One Million Acts of Green are service marks; and Access Registrar, Aironet, AllTouch, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Lumin, Cisco Nexus, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, Continuum, EtherFast, EtherSwitch, Event Center, Explorer, Follow Me Browsing, GainMaker, iLYNX, IOS, iPhone, IronPort, the IronPort logo, Laser Link, LightStream, Linksys, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, PCNow, PIX, PowerKEY, PowerPanels, PowerTV, PowerTV (Design), PowerVu, Prisma, ProConnect, ROSA, SenderBase, SMARTnet, Spectrum Expert, StackWise, WebEx, and the WebEx logo are registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries. All other trademarks mentioned in this document or website are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (0910R) このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワー ク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なも のではなく、偶然の一致によるものです。 Cisco AnyConnect VPN Client アドミニストレータ ガイド ©2009 Cisco Systems, Inc. All rights reserved. Copyright © 2009–2010, シスコシステムズ合同会社 . All rights reserved. CONTENTS このマニュアルについて 対象読者 表記法 ix ix ix 関連資料 x マニュアルの入手方法およびテクニカル サポート CHAPTER 1 AnyConnect の概要 xi 1-1 リモート ユーザ インターフェイス 1-1 AnyConnect ライセンスのオプション 1-6 AnyConnect Standalone および WebLaunch のオプション 1-7 1-7 AnyConnect のファイルとコンポーネント 1-8 Start Before Logon コンポーネントのインストール(Windows のみ) VPN クライアント コンピュータにインストールされる AnyConnect ファイル コンフィギュレーションおよび展開の概要 AnyConnect API CHAPTER 2 1-9 1-10 1-10 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 セキュリティ アプライアンスによる AnyConnect クライアントの展開方法 2-1 2-1 2-2 AnyConnect クライアントをインストールする前に 2-2 AnyConnect クライアントの自動インストール方法 AnyConnect クライアントと新規インストールされた Windows 2000 2-3 信頼済みサイトのリストへのセキュリティ アプライアンスの追加(IE) 2-4 ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加 2-4 インストールする AnyConnect クライアント ファイルの入手先 2-6 複数の AnyConnect クライアント イメージをロードする場合の接続時間の短縮方 法 2-6 AnyConnect クライアントのダウンロードのためのセキュリティ アプライアンスの設 定 2-7 リモート ユーザに対する AnyConnect クライアント ダウンロードのプロンプト 追加の AnyConnect 機能で使用するモジュールのイネーブル化 証明書のみの認証の設定 2-10 2-12 2-13 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J iii Contents CHAPTER 3 AnyConnect クライアント機能の設定 3-1 AnyConnect クライアント プロファイルの設定と展開 デフォルトのクライアント プロファイル クライアント プロファイルの編集 プロファイルの XML の確認 3-2 3-3 3-4 3-5 AnyConnect クライアントへのクライアント プロファイルの展開 3-8 AnyConnect ローカル ポリシーの設定 3-9 AnyConnect ローカル ポリシー ファイルの例 MST ファイルを使用した Windows クライアント用パラメータの変更 手動での AnyConnect ローカル ポリシー ファイルのパラメータ変更 3-6 3-9 3-10 3-10 Start Before Logon の設定 3-12 Start Before Logon コンポーネントのインストール(Windows のみ) Windows Vista と Vista 以前のシステムとの Start Before Logon の相違点 3-12 SBL をイネーブルにするプロファイル パラメータ 3-13 SBL をユーザ制御可能にする方法 セキュリティ アプライアンスでの SBL のイネーブル化 3-13 マニフェスト ファイルの使用 3-12 3-14 3-15 SBL のトラブルシューティング Windows 7 および Vista システムでの Start Before Logon(PLAP)の設定 3-16 Windows OS ごとの Start Before Logon の違い 3-16 PLAP のインストール PLAP を使用した Windows Vista または Windows 7 PC へのログイン 3-19 PLAP を使用した AnyConnect クライアントからの接続解除 3-15 3-17 3-20 FIPS と追加セキュリティのイネーブル化 3-20 AnyConnect ローカル ポリシー ファイルのパラメータと値 3-23 AnyConnect ローカル ポリシー ファイルの例 当社の MST ファイルによる FIPS のイネーブル化 3-23 独自の MST ファイルによる任意のローカル ポリシー パラメータの変更 3-23 すべてのオペレーティング システムでの Enable FIPS ツールを使用したパラメータ変 更 3-24 手動での AnyConnect ローカル ポリシー ファイルのパラメータ変更 Trusted Network Detection のイネーブル化 3-25 3-26 複数のプロファイルで複数のセキュリティ アプライアンスに接続するユーザ 証明書ストアの設定 3-28 3-28 Windows での証明書ストアの制御 証明書ストアの例 3-28 3-29 Mac および Linux での PEM 証明書ストアの作成 PEM ファイルのファイル名に関する制約事項 ユーザ証明書の保存 3-29 3-30 3-30 Cisco AnyConnect VPN Client アドミニストレータ ガイド iv OL-20841-01-J Contents 証明書ストア使用の制限 3-31 Simplified Certificate Enrollment Protocol の設定 3-31 自動または手動による証明書のプロビジョニングと更新 自動的な証明書要求 3-32 3-32 手動による証明書取得 3-32 Windows 証明書の警告 3-33 証明書のプロビジョニングと更新を行う SCEP プロトコルの設定 SCEP 要求後の証明書ストレージ 証明書の期限切れの注意 3-38 3-38 AnyConnect 用の SCEP プロトコルをサポートする ASA の設定 3-39 ASA での証明書のみの認証の設定 証明書照合の設定 3-34 3-38 3-39 3-39 Key Usage 証明書照合 Extended Key Usage 証明書照合 証明書認定者名マッピング 証明書照合の例 3-39 3-40 3-41 認証証明書選択のプロンプト 3-45 AutomaticCertSelection を使用したクライアント プロファイルの設定 ユーザによる、AnyConnect プリファレンスの自動証明書選択の設定 バックアップ サーバ リスト パラメータの設定 3-46 3-47 Windows Mobile デバイスへの AnyConnect のインストール Windows Mobile のポリシー設定 3-45 3-47 3-48 64 ビット Linux への AnyConnect のインストール 3-50 Mac OS で Java インストーラが失敗した場合の手動インストール オプションの使用 起動時自動接続の設定 自動再接続の設定 3-51 3-52 Host Scan のインストール サーバ リストの設定 3-54 3-54 DNS フォールバックの分割 スクリプト化 3-51 3-56 3-57 スクリプトの要件と制限 3-57 スクリプトの作成、テスト、および展開 3-58 スクリプト用の AnyConnect プロファイルの設定 スクリプトのトラブルシューティング プロキシ サポート プロキシの無視 3-59 3-61 3-62 3-62 Mac/Safari のプライベート プロキシ Internet Explorer の接続タブのロック 3-62 3-62 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J v Contents クライアントレス サポートのためのプロキシ自動設定ファイルの生成 3-63 Windows ユーザのための、RDP セッションからの AnyConnect セッションの許可 AnyConnect over L2TP または PPTP 3-64 AnyConnect over L2TP または PPTP の設定 ユーザによる PPP 除外の上書き 3-66 その他の AnyConnect プロファイル設定の構成 CHAPTER 4 その他の AnyConnect の管理要件の実現 3-63 3-65 3-67 4-1 Microsoft Active Directory を使用して、ドメイン ユーザの Internet Explorer の信頼済みサ イト リストにセキュリティ アプライアンスを追加する方法 4-1 AnyConnect クライアントおよび Cisco Secure Desktop を CSA と相互運用するための設 CHAPTER 5 定方法 4-2 認証の管理 5-1 SDI トークン(SoftID)の統合 5-1 ネイティブ SDI と RADIUS SDI の比較 5-1 5-2 SDI 認証の使用 5-4 SDI 認証交換のカテゴリ 通常の SDI 認証ログイン 5-4 新規ユーザ モード、PIN クリア モード、および新規 PIN モード 新しい PIN の入手 5-5 「Next Passcode」および「Next Token Code」身分証明要求 5-5 5-6 5-7 RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持 5-7 AnyConnect クライアントと RADIUS/SDI サーバの対話 RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設 定 CHAPTER 6 5-7 AnyConnect クライアントとインストーラのカスタマイズとローカライズ 6-1 6-1 AnyConnect クライアントのカスタマイズ 個別の GUI コンポーネントとカスタム コンポーネントの置き換え クライアント API を使用する実行ファイルの展開 6-3 トランスフォームを使用した GUI のカスタマイズ 6-5 トランスフォームの例 6-2 6-7 カスタム アイコンおよびロゴの作成について デフォルトの AnyConnect の英語メッセージの変更 6-8 6-12 AnyConnect クライアントの GUI とインストーラのローカライズ 6-14 AnyConnect GUI のローカライズ 6-15 ASDM 変換テーブル エディタを使用した翻訳 変換テーブルのエクスポートと編集による翻訳 6-14 6-19 Cisco AnyConnect VPN Client アドミニストレータ ガイド vi OL-20841-01-J Contents AnyConnect インストーラ画面のローカライズ 6-22 ツールを使用した社内展開用メッセージ カタログの作成 新しい翻訳テンプレートと変換テーブルの統合 CHAPTER 7 通信ユーザのガイドライン 6-25 6-25 7-1 AnyConnect CLI コマンドを使用した接続(スタンドアロン モード) ログアウト 7-3 セキュア接続(鍵)アイコンの設定 CHAPTER 8 7-1 7-3 AnyConnect セッションの管理、モニタリング、およびトラブルシューティング すべての VPN セッションの接続解除 個別の VPN セッションの接続解除 詳細な統計情報の表示 8-1 8-1 8-2 Windows Mobile デバイスでの統計情報の表示 8-3 8-4 VPN 接続の問題の解決 8-4 MTU サイズの調整 圧縮の排除による VPN パフォーマンスの向上と Windows Mobile 接続の許可 DART を使用したトラブルシューティング情報の収集 8-6 DART ソフトウェアの入手 8-6 DART のインストール AnyConnect を使用した DART のインストール ホストへの DART の手動インストール 8-7 8-8 Windows PC での DART の実行 APPENDIX A 8-1 オープン ソフトウェア ライセンスの通知事項 OpenSSL/Open SSL Project License Issues A-1 8-5 8-5 8-6 A-1 A-1 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J vii Contents Cisco AnyConnect VPN Client アドミニストレータ ガイド viii OL-20841-01-J このマニュアルについて このマニュアルでは、Cisco AnyConnect VPN Client イメージを中央サイトのセキュリティ アプライ アンスにインストールする方法、リモート ユーザのコンピュータに展開するためのクライアントの設 定方法、ASDM で AnyConnect の接続プロファイルやグループ ポリシーを設定する方法、クライアン トをモバイル デバイスにインストールする方法、および、AnyConnect VPN 接続のモニタリングとト ラブルシューティングを行う方法について説明します。 このマニュアル中で「セキュリティ アプライアンス」という用語は、すべてのモデルの Cisco ASA 5500 シリーズ(ASA 5505 以上)を意味します。 対象読者 このマニュアルは、次の作業を行う管理者を対象としています。 • ネットワーク セキュリティの管理 • セキュリティ アプライアンスのインストールおよび設定 • VPN 設定 表記法 このマニュアルでは、次の表記法を使用しています。 表記法 説明 太字 コマンド、キーワード、およびユーザが入力するテキストは、太字で示してい ます。 イタリック体 マニュアルのタイトル、初出の用語または強調する用語、およびユーザが値を 指定する引数は、イタリック体で示しています。 [ ] 角カッコの中の要素は、省略可能です。 {[x | y | z]} 必ずどれか 1 つを選択しなければならない必須キーワードは、波カッコで囲 み、縦棒で区切って示しています。 [x | y | z] どれか 1 つを選択できる省略可能なキーワードは、角カッコで囲み、縦棒で区 切って示しています。 ストリング 引用符を付けない一組の文字。ストリングの前後には引用符を使用しません。 引用符を使用すると、その引用符も含めてストリングとみなされます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J ix このマニュアルについて courier フォント システムが表示する端末セッションおよび情報は、courier フォントで示して います。 < > パスワードのように出力されない文字は、山カッコで囲んで示しています。 [ ] システム プロンプトに対するデフォルトの応答は、角カッコで囲んで示してい ます。 !, # コードの先頭に感嘆符(!)またはポンド記号(#)がある場合には、コメント 行であることを示します。 (注) 「注釈」です。 ヒント 注意 ワンポイント アドバイス 「問題解決に役立つ情報」です。 「要注意」の意味です。機器の損傷またはデータ損失を予防するための注意事項が記述されています。 「時間を節約するための方法」です。記述されている操作や設定を行うと時間を節約できます。 関連資料 詳細については、次のマニュアルを参照してください。 • 『Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide』 • 『Cisco ASA 5500 Series Release Notes 』 • 『Cisco ASDM Release Notes』 • Cisco ASDM オンライン ヘルプ • 『Release Notes for Cisco AnyConnect VPN Client, Release 2.0』 • 『Cisco Security Appliance Command Reference』 • 『Cisco Security Appliance Logging Configuration and System Log Messages』 • 『Cisco Secure Desktop Configuration Guide for Cisco ASA 5500 Series Administrators』 • この製品のオープン ソース ライセンス情報については、次のリンクを参照してください。 http://www.cisco.com/en/US/docs/security/asa/asa80/license/opensrce.html#wp50053 Cisco AnyConnect VPN Client アドミニストレータ ガイド x OL-20841-01-J このマニュアルについて マニュアルの入手方法およびテクニカル サポート マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新 される『What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂 版の技術マニュアルの一覧も示されています。 http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html 『What's New in Cisco Product Documentation』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできま す。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J xi このマニュアルについて Cisco AnyConnect VPN Client アドミニストレータ ガイド xii OL-20841-01-J C H A P T E R 1 AnyConnect の概要 Cisco AnyConnect VPN Client は次世代型の VPN クライアントで、ASA バージョン 8.0 以降および ASDM 6.0 以降を実行している Cisco 5500 シリーズ適応型セキュリティ アプライアンスへのセキュア な VPN 接続をリモート ユーザに提供します。 この章は、次の項で構成されています。 • 「リモート ユーザ インターフェイス」(P.1-1) • 「AnyConnect ライセンスのオプション」(P.1-6) • 「AnyConnect Standalone および WebLaunch のオプション」(P.1-7) • 「AnyConnect のファイルとコンポーネント」(P.1-7) • 「コンフィギュレーションおよび展開の概要」(P.1-10) • 「AnyConnect API」(P.1-10) リモート ユーザ インターフェイス リモート ユーザには、Cisco AnyConnect VPN Client のユーザ インターフェイスが表示されます (図 1-1)。Connection タブのドロップダウン リストに、リモート システムに接続するためのプロファ イルが表示されます。オプションで、表示するバナー メッセージを [ 接続(Connection)] タブで設定 できます。インターフェイスの下部の状況表示行に、接続のステータスが表示されます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 1-1 第1章 AnyConnect の概要 リモート ユーザ インターフェイス 図 1-1 Cisco AnyConnect VPN Client のユーザ インターフェイス、[ 接続(Connection)] タブ 証明書を設定していない場合は、図 1-2 のようなダイアログボックスが表示されます。 図 1-2 (注) [ セキュリティ アラート(Security Alert)] ダイアログボックス このダイアログボックスが表示されるのは、正しい証明書が導入されていない場合だけです。[ はい ] をクリックすると、証明書の要件を回避できます。 [ セキュリティ アラート(Security Alert)] ダイアログボックスは、指定されたセキュリティ アプライ アンスへの最初の接続試行でのみ表示されます。接続の確立に成功すると、サーバ証明書の「サムプリ ント」がプリファレンス ファイルに保存されるため、同じセキュリティ アプライアンスへの後続の接 続では、ユーザに対するプロンプトは表示されません。 ユーザが、別のセキュリティ アプライアンスに接続してから戻ると、再び [ セキュリティ アラート (Security Alert)] ダイアログボックスが表示されます。 表 1-1 に、[ セキュリティ アラート(Security Alert)] ダイアログボックスが表示される条件と結果を 示します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 1-2 OL-20841-01-J 第1章 AnyConnect の概要 リモート ユーザ インターフェイス 表 1-1 証明書、セキュリティの警告、および接続のステータス セキュリティ の警告が表示 されるか 証明書のステータス クライアント接続のステータス セキュリティ アプライアンスからクライアントに いいえ 送信されたサーバ証明書が、独立して検証可能で、 かつ証明書に重大なエラーがない。 成功。 セキュリティ アプライアンスからクライアントに 送信されたサーバ証明書が、独立して検証可能で なく、かつ証明書に重大なエラーがある。 いいえ 失敗。 セキュリティ アプライアンスからクライアントに 送信されたサーバ証明書が、独立して検証可能で なく、かつ証明書に重大なエラーがない。 はい クライアントで証明書を確認で きないため、セキュリティに問 題があると考えられます。クラ イアントは、接続試行を続ける かどうか、ユーザに確認します。 図 1-3 に、現在の接続情報が表示されている [ 統計情報(Statistics)] タブを示します。 図 1-3 Cisco AnyConnect VPN Client のユーザ インターフェイス、[ 統計情報(Statistics)] タブ [ 詳細(Details)] ボタンをクリックすると、[ 統計情報の詳細(Statistics Details)] ウィンドウが表示 されます(図 1-4)。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 1-3 第1章 AnyConnect の概要 リモート ユーザ インターフェイス 図 1-4 Cisco AnyConnect VPN Client のユーザ インターフェイス、[ 統計情報の詳細(Statistics Details)] タブ このウィンドウに表示されるオプションは、クライアント PC にロードされているパッケージによって 異なります。オプションを使用できない場合は、ダイアログボックスでそのオプション ボタンがアク ティブにならず、オプション名の横に「(未インストール(Not Installed))」と表示されます。オプ ションは次のとおりです。 • [ 元に戻す(Reset)] をクリックすると、接続情報がゼロにリセットされます。AnyConnect によ る新しいデータの収集がすぐに開始されます。 • [ 統計情報のエクスポート ...(Export Stats...)] をクリックすると、接続の統計情報がテキスト ファイルに保存され、あとから分析とデバッグを行えます。 • [ トラブルシューティング ...(Troubleshoot...)] をクリックすると、DART(Diagnostic AnyConnect Reporting Tool)ウィザードが起動されます。指定したログ ファイルと診断情報を結 び付けることで、AnyConnect のクライアント接続の分析とデバッグに使用できます。DART パッ ケージの詳細については、「DART を使用したトラブルシューティング情報の収集」(P.8-5)を参 照してください。 [ ルートの詳細(Route Details)] タブ(図 1-5)には、この接続のセキュアなルートとセキュアでない ルートが表示されます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 1-4 OL-20841-01-J 第1章 AnyConnect の概要 リモート ユーザ インターフェイス 図 1-5 (注) Cisco AnyConnect VPN Client のユーザ インターフェイス、[ ルートの詳細(Route Details)] タブ 宛先が 0.0.0.0 でサブネット マスクが 0.0.0.0 の Secured Routes エントリは、すべてのトラフィックが トンネルで処理されることを意味します。 [ エクスポート(Export)] および [ ログの表示(View Log)] ボタンを使用した接続の監視の詳細につ いては、「詳細な統計情報の表示」(P.8-2)を参照してください。 [ バージョン情報(About)] タブ(図 1-6)には、Cisco AnyConnect クライアントのバージョン情報、 著作権情報、および文書情報が表示されます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 1-5 第1章 AnyConnect の概要 AnyConnect ライセンスのオプション 図 1-6 Cisco AnyConnect VPN Client のユーザ インターフェイス、[ バージョン情報(About)] タブ AnyConnect ライセンスのオプション 次のオプションは AnyConnect クライアントの全機能をサポートし、指定された数の SSL VPN セッ ションをサポートしています。 • Cisco AnyConnect Essentials ライセンス • Cisco AnyConnect Premium Clientless SSL VPN Edition ライセンス • Cisco AnyConnect Premium Clientless SSL VPN Edition 共有ライセンス • Cisco FLEX ライセンス 上の 3 つのライセンスはデバイスごと(セキュリティ アプライアンスごと)に相互排他的ですが、混 合ネットワークを設定することができます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 1-6 OL-20841-01-J 第1章 AnyConnect の概要 AnyConnect Standalone および WebLaunch のオプション AnyConnect Standalone および WebLaunch の オプション ユーザは、次のモードで AnyConnect クライアントを使用できます。 • スタンドアロン モード:ユーザは、Web ブラウザを使用せずに、Cisco AnyConnect VPN Client 接続を確立できます。ユーザの PC に AnyConnect クライアントを永続的にインストールした場 合、ユーザはスタンドアロン モードで実行できます。スタンドアロン モードでは、ユーザは AnyConnect クライアントをその他のアプリケーションと同じように開き、ユーザ名とパスワード クレデンシャルを AnyConnect GUI のフィールドに入力します。システムの設定によっては、グ ループを選択する必要もあります。接続が確立されると、セキュリティ アプライアンスはユーザ の PC にあるクライアントのバージョンをチェックし、必要な場合、最新バージョンをダウンロー ドします。 • WebLaunch モード:ユーザは、https プロトコルを使用して、ブラウザの [ アドレス(Address)] または [ 場所(Location)] フィールドにセキュリティ アプライアンスの URL を入力します。次 に、ユーザ名とパスワードの情報を [ ログイン( Logon ) ] 画面で入力し、グループを選択して、 [ 送信(submit)] をクリックします。バナーが指定されている場合はその情報が表示され、[ 続行 (Continue)] をクリックしてバナーを確認します。 ポータル ウィンドウが表示されます。AnyConnect クライアントを起動するには、ユーザがメイン ペインで [AnyConnect の起動(Start AnyConnect)] をクリックします。一連の文書ウィンドウが 表示されます。[ 接続確立(Connection Established)] ダイアログが表示されると、接続が機能し、 ユーザがオンライン アクティビティを処理できるようになります。 スタンドアロン モードと WebLaunch モードのどちらで接続する場合でも、クライアントを接続するに は、セキュリティ アプライアンスに AnyConnect クライアントがインストールされている必要があり ます。そうすることで、エンタープライズ ソフトウェア導入システムを使用してクライアントを導入 した場合でも、どのバージョンのクライアントがセッションを確立できるかを、セキュリティ アプラ イアンスで一元的に実施できるようになります。クライアント パッケージをセキュリティ アプライア ンスにロードすると、ロードされたものと同じ最新バージョンだけが接続可能というポリシーが実施さ れます。AnyConnect ユーザは、最新のセキュリティ機能を持つ最新バージョンのクライアントをセ キュリティ アプライアンスにロードし、クライアントをアップグレードする必要があります。 AnyConnect のファイルとコンポーネント インストールおよび設定の手順には、セキュリティ アプライアンスで実行する必要がある手順と、リ モート コンピュータで実行する必要がある手順の 2 つがあります。AnyConnect クライアント ソフト ウェアは、ASA リリース 8.0(1)以降に組み込まれています。AnyConnect クライアント ソフトウェ アを永続的にリモート PC 上に常駐させることも、接続の間だけ常駐させることもできます。 クライアントは、セキュリティ アプライアンスにロードして、リモート ユーザがセキュリティ アプラ イアンスにログインしたときに自動的に展開することも、PC 上のアプリケーションとして、ネット ワーク管理者が標準のソフトウェア展開メカニズムを使用してインストールすることもできます。 AnyConnect のクライアント ファイルと API パッケージは次の場所で入手できます。 http://www.cisco.com/cgi-bin/tablebuild.pl/anyconnect Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 1-7 第1章 AnyConnect の概要 AnyConnect のファイルとコンポーネント Start Before Logon コンポーネントのインストール(Windows のみ) 表 1-2 Cisco AnyConnect VPN Client Download Software サイトでダウンロード可能なファイル AnyConnectProfileEditor.zip AnyConnect Profile Editor が格納された Zip ファイル。 anyconnect-all-packages-AnyConnectRelease_Number-k9.zip このリリース バージョンのすべてのクライ アント インストール パッケージが格納され た Zip ファイル。API は含まれていません。 anyconnect-dart-win-AnyConnectRelease_Number-k9.msi Windows プラットフォーム用の DART を含 むスタンドアロン MSI パッケージ。 anyconnect-gina-win-AnyConnectRelease_Number-pre-deploy-k9-lang.zip Windows Start Before Login 用の言語ローカ リゼーション変換ファイル。 anyconnect-gina-win-AnyConnectRelease_Number-pre-deploy-k9.msi Windows 2k/XP/Vista 用の Start Before Login GINA モジュール。 anyconnect-gina-win-AnyConnectRelease_Number-web-deploy-k9-lang.zip Windows Start Before の Web 展開用言語 ローカリゼーション変換ファイル。 anyconnect-linux-AnyConnectRelease_Number-k9.pkg Linux プラットフォーム用の Web 展開パッ ケージ。 anyconnect-linux-AnyConnectRelease_Number-k9.tar.gz Linux プラットフォーム用のスタンドアロン tarball パッケージ。 anyconnect-macosx-i386-AnyConnectRelease_Number-k9.dmg Mac OS X Intel プラットフォーム用のスタ ンドアロン DMG パッケージ。 anyconnect-macosx-i386-AnyConnectRelease_Number-k9.pkg Mac OS X Intel プラットフォーム用の Web 展開パッケージ。 anyconnect-macosx-powerpc-AnyConnectRelease_Number-k9.dmg Mac OS X PowerPC プラットフォーム用の スタンドアロン DMG パッケージ。 anyconnect-macosx-powerpc-AnyConnectRelease_Number-k9.pkg Mac OS X PowerPC プラットフォーム用の Web 展開パッケージ。 anyconnect-no-dart-win-AnyConnectRelease_Number-k9.pkg Windows プラットフォーム用の DART を含 まない Web 展開 MSI パッケージ。 anyconnect-win-AnyConnectRelease_Number-k9.pkg Windows プラットフォーム用の Web 展開 パッケージ。 anyconnect-win-AnyConnectRelease_Number-pre-deploy-k9-lang.zip Windows プラットフォームの展開前パッ ケージ用言語ローカリゼーション変換ファ イル。 anyconnect-win-AnyConnectRelease_Number-pre-deploy-k9.msi Windows プラットフォーム用のスタンドア ロン MSI パッケージ。 anyconnect-win-AnyConnectRelease_Number-web-deploy-k9-lang.zip Windows プラットフォームの Web 展開パッ ケージ用言語ローカリゼーション変換ファ イル。 anyconnect-wince-ARMv4I-AnyConnectRelease_Number-k9.cab Windows Mobile プラットフォーム用のスタ ンドアロン CAB パッケージ(署名付き)。 anyconnect-wince-ARMv4I-AnyConnectRelease_Number-k9.pkg Windows Mobile プラットフォーム用の Web 展開パッケージ。 anyconnect-wince-ARMv4I-activesync-AnyConnectRelease_Number-k9.msi Windows Mobile プラットフォーム用の ActiveSync MSI パッケージ。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 1-8 OL-20841-01-J 第1章 AnyConnect の概要 AnyConnect のファイルとコンポーネント AnyConnect の WebLaunch 用にセキュリティ アプライアンスを設定した場合、AnyConnect によって コンポーネントが自動的に正しい順序で指定されます。それ以外の場合は、Start Before Logon コン ポーネントを、コア クライアントのインストール後にインストールする必要があります。さらに、 AnyConnect 2.2 の Start Before Logon コンポーネントの場合は、バージョン 2.2 以降のコア AnyConnect クライアント ソフトウェアのインストールが必要です。AnyConnect クライアントの展開 前および MSI ファイルを使用した Start Before Logon コンポーネントの展開前の場合(Altiris、Active Directory または SMS など独自のソフトウェア展開手段を持つ大企業の場合など)、コンポーネントを 正しい順序で指定する必要があります。 VPN クライアント コンピュータにインストールされる AnyConnect ファイル AnyConnect Client によって、次のファイルがローカル コンピュータにダウンロードされます。 表 1-3 エンドポイントの AnyConnect ファイル ファイル 説明 anyfilename.xml AnyConnect Client のプロファイル。このファイルは、特定のユーザ タイ プに対して設定される機能およびアトリビュート値を指定します。 AnyConnectProfile.tmpl AnyConnect Client ソフトウェアに付属する AnyConnect Client プロファ イルの例。 AnyConnectProfile.xsd XML スキーマ フォーマットを指定。AnyConnect はこのファイルを使用 して、プロファイルを確認します。 AnyConnect によってこの 3 つのファイルが、次に示す同じディレクトリにダウンロードされます。 表 1-4 エンドポイントの AnyConnect ファイルのパス OS ディレクトリ パス Windows 7 C:¥Users¥username¥AppData¥Local¥Cisco¥Cisco AnyConnect VPN Client¥ Windows Vista C:¥Users¥username¥AppData¥Local¥Cisco¥Cisco AnyConnect VPN Client¥ Windows XP C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥Profile¥ Mac OS X /Users/username/.anyconnect Linux /home/username/.anyconnect Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 1-9 第1章 AnyConnect の概要 コンフィギュレーションおよび展開の概要 コンフィギュレーションおよび展開の概要 AnyConnect プロファイル エディタを使用して、プリファレンス ファイルでクライアント機能を設定 してから、ユーザが Web ブラウザを使用して VPN に接続するときに、クライアントに連動して自動的 にこのファイルをアップロードするよう、セキュリティ アプライアンスを設定します。プリファレン ス ファイルによって、ユーザ インターフェイスの表示が決まり、ホスト コンピュータの名前とアドレ スが定義されます。さまざまなプリファレンス ファイルを作成し、セキュリティ アプライアンスに設 定されたグループ プロファイルに割り当てておくと、こうした機能に対してさまざまなアクセスを行 えるようになります。対応するグループ プロファイルへの割り当てに従い、セキュリティ アプライア ンスは接続設定時に、ユーザのグループ プロファイルに割り当てられた内容を自動的に実行します。 プロファイルによって、接続設定に関する基本情報が提供され、ユーザはそれを管理または変更するこ とができません。AnyConnect クライアントのユーザ プロファイルは、アクセス可能にするセキュア ゲートウェイ(セキュリティ アプライアンス)ホストを指定する XML ファイルです。さらに、プロ ファイルで、追加の接続アトリビュートおよび制約が伝搬されます。 通常、各ユーザが 1 つのプロファイル ファイルを使用します。このプロファイルには、ユーザが必要 とするすべてのホスト、および必要に応じて追加の設定が含まれます。場合によっては、特定のユーザ に複数のプロファイルを割り当てたいことがあります。たとえば、複数の場所で作業するユーザは、複 数のプロファイルを必要とすることがあります。この場合、ユーザはドロップダウン リストから適切 なプロファイルを選択します。ただし、Start Before Login など、一部のプロファイル設定は、グロー バル レベルで接続を制御します。ホストに固有のその他の設定は、選択したホストに依存します。 または、プリファレンス ファイルとクライアントをアプリケーションと同様にコンピュータにインス トールしておくか、ユーザが自分でインストールし、あとからアクセスできるようにする方法もありま す。Windows Mobile では、この方法だけがサポートされています。 AnyConnect API AnyConnect との VPN 接続を別のアプリケーションから自動的に行う場合は、次のように Application Programming Interface(API)を使用します。 • プリファレンス • トンネルグループ方式の設定 API パッケージには、マニュアル、ソース ファイル、および Cisco AnyConnect VPN クライアント用 の C++ インターフェイスをサポートするライブラリが含まれています。Windows、Linux、および Mac OS X のクライアント作成に使用できるライブラリとサンプル プログラムもあります。API パッ ケージには Windows プラットフォーム用のプロジェクト ファイル(Makefile)が付属しています。そ の他のプラットフォームに対しては、プラットフォーム固有のスクリプトにサンプル コードのコンパ イル方法が示されています。独自のアプリケーション(GUI、CLI、または組み込みアプリケーショ ン)と、これらのファイルやバイナリをリンクすることができます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 1-10 OL-20841-01-J C H A P T E R 2 AnyConnect クライアントを展開するための セキュリティ アプライアンスの設定 この章では、AnyConnect クライアントを展開するためのセキュリティ アプライアンスを、ASDM を 使用して設定する方法について説明します。CLI を使用してセキュリティ アプライアンスを設定する 方法については、『Cisco 5500 Series Adaptive Security Appliance CLI Configuration Guide』を参照し てください。 この章は、次の項で構成されています。 • 「セキュリティ アプライアンスによる AnyConnect クライアントの展開方法」(P.2-1) • 「AnyConnect クライアントをインストールする前に」(P.2-2) • 「AnyConnect クライアントのダウンロードのためのセキュリティ アプライアンスの設定」(P.2-7) • 「リモート ユーザに対する AnyConnect クライアント ダウンロードのプロンプト」(P.2-10) • 「追加の AnyConnect 機能で使用するモジュールのイネーブル化」(P.2-12) • 「証明書のみの認証の設定」(P.2-13) セキュリティ アプライアンスによる AnyConnect クライア ントの展開方法 Cisco AnyConnect VPN クライアントには、リモート ユーザ用として、セキュリティ アプライアンス へのセキュアな SSL 接続が用意されています。以前にインストールされたクライアントを持たないリ モート ユーザは、クライアントレス SSL VPN 接続を許可するよう設定されたインターフェイスのブラ ウザに、IP アドレスまたは DNS 名を入力します。http:// リクエストを https:// リクエストにリダイレ クトするようセキュリティ アプライアンスが設定されていない場合、ユーザは https://<address> 形式 で URL を入力する必要があります。 URL を入力すると、ブラウザがそのインターフェイスに接続して、ログイン画面が表示されます。 ユーザがログインと認証に成功し、クライアントを必要とするユーザであることがセキュリティ アプ ライアンスによって確認されると、リモート コンピュータのオペレーティング システムに応じたクラ イアントがダウンロードされます。ダウンロード後、クライアントがインストールおよび設定され、セ キュア SSL 接続が確立されます。接続終了時にクライアントが維持されるか、アンインストールされ るかは、セキュリティ アプライアンスの設定で決まります。 以前にインストールされたクライアントの場合は、ユーザの認証時にセキュリティ アプライアンスが クライアントのバージョンを調べて、必要に応じてクライアントをアップグレードします。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 2-1 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 AnyConnect クライアントをインストールする前に クライアントがセキュリティ アプライアンスとの SSL VPN をネゴシエートするときに、クライアント は Datagram Transport Layer Security(DTLS )を使用した接続の使用を試みます。DTLS では、一部 の SSL 接続で発生する遅延と帯域幅の問題が防止され、パケット遅延の影響を受けやすいリアルタイ ム アプリケーションのパフォーマンスが向上します。DTLS 接続を確立できない場合は、Transport Layer Security(TLS)にフォールバックします。 セキュリティ アプライアンスは、グループ ポリシー、または接続を確立したユーザのユーザ名アトリ ビュートに基づいて、クライアントをダウンロードします。セキュリティ アプライアンスは、自動的 にクライアントをダウンロードするよう設定することも、クライアントをダウンロードするかどうかを リモート ユーザに尋ねるよう設定することもできます。後者の場合は、ユーザからの返答がない場合 に、タイムアウト期間後にクライアントをダウンロードするようセキュリティ アプライアンスを設定 することも、ログイン ページを表示するよう設定することもできます。 AnyConnect クライアントをインストールする前に 次の項では、AnyConnect クライアントを正しくインストールするための推奨事項、および証明書、 Cisco Security Agent(CSA)、信頼済みサイトの追加、ブラウザのアラートへの対処方法について説明 しています。 • 「AnyConnect クライアントの自動インストール方法」(P.2-2) • 「AnyConnect クライアントと新規インストールされた Windows 2000」(P.2-3) • 「信頼済みサイトのリストへのセキュリティ アプライアンスの追加(IE)」(P.2-4) • 「ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加」(P.2-4) AnyConnect クライアントの自動インストール方法 クライアント PC に AnyConnect クライアント ソフトウェアを自動インストールする際には、次の推奨 事項と警告が適用されます。 • AnyConnect クライアントのセットアップ中のユーザへのプロンプトを最小限にするには、クライ アント PC 上とセキュリティ アプライアンス上の証明書データを一致させます。 – セキュリティ アプライアンス上の証明書に対して Certificate Authority(CA; 認証局)を使用 する場合は、クライアント マシン上で信頼済み CA として設定されたものを選択します。 – セキュリティ アプライアンス上で自己署名証明書を使用する場合は、それを信頼済みルート 証明書としてクライアントにインストールしておきます。 手順はブラウザによって異なります。この項の次の手順を参照してください。 – セキュリティ アプライアンスの証明書の Common Name(CN; 通常名)と、クライアントが 接続に使用する名前が一致していることを確認します。デフォルトでは、セキュリティ アプ ライアンスの証明書の CN フィールドは IP アドレスになっています。クライアントが DNS 名 を使用する場合は、セキュリティ アプライアンスの証明書の CN フィールドをその名前に変更 します。 証明書に Subject Alternate Name(SAN)が含まれている場合、ブラウザは [ サブジェクト (Subject)] フィールドの CN 値を無視し、SAN フィールドの DNS 名を調べます。 ユーザがホスト名を使用して ASA に接続する場合は、SAN に ASA のホスト名とドメイン名 が含まれている必要があります。たとえば、SAN フィールドが DNS Name=hostname.domain.com となっている必要があります。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 2-2 OL-20841-01-J 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 AnyConnect クライアントをインストールする前に ユーザが IP アドレスを使用して ASA に接続する場合は、SAN に ASA の IP アドレスが含ま れている必要があります。たとえば、SAN フィールドが DNS Name=209.165.200.254 となっ ている必要があります。 • AnyConnect クライアントのインストール中に、Cisco Security Agent(CSA)から警告が表示さ れることがあります。 現在出荷中のバージョンの CSA は、AnyConnect クライアントと互換性のある組み込みルールを持っ ていません。CSA バージョン 5.0 以降を使用すると、次の手順により次のルールを作成できます。 ステップ 1 ルール モジュール「Cisco Secure Tunneling Client Module」に次の FACL を追加します。 Priority Allow, no Log, Description: “Cisco Secure Tunneling Browsers, read/write vpnweb.ocx” Applications in the following class: “Cisco Secure Tunneling Client - Controlled Web Browsers” Attempt: Read file, Write File すべての @SYSTEM\vpnweb.ocx ファイルで、次のことを行います。 ステップ 2 アプリケーション クラス「Cisco Secure Tunneling Client - Installation Applications」に次のプロセス 名を追加します。 **\vpndownloader.exe @program_files\**\Cisco\Cisco AnyConnect VPN Client\vpndownloader.exe 将来のバージョンの CSA には、このルールが組み込まれる予定です。 Microsoft Internet Explorer(MSIE)ユーザは、信頼済みサイト リストにセキュリティ アプライアン スを追加するか、Java をインストールすることを推奨します。Java をインストールすると、インス トールに対して ActiveX コントロールが有効になり、ユーザの操作が最小限で済みます。セキュリ ティが強化された Windows XP SP2 のユーザにとって、このことは非常に重要です。Windows Vista ユーザは、信頼済みサイトのリストにセキュリティ アプライアンスを追加し、ダイナミック展開機能 を使用する必要があります。信頼済みサイトのリストにセキュリティ アプライアンスを追加する方法 については、『Cisco AnyConnect VPN Client アドミニストレータ ガイド』を参照してください。 Microsoft Active Directory を使用して、Internet Explorer の信頼済みサイト リストにセキュリティ ア プライアンスを追加する方法については、 『Cisco AnyConnect VPN Client アドミニストレータ ガイド』 の「付録 B」を参照してください。 AnyConnect クライアントと新規インストールされた Windows 2000 ごくまれに、Windows 2000 が新規インストールまたはクリーン インストールされたコンピュータに AnyConnect クライアントをインストールした場合、AnyConnect クライアントが接続に失敗し、コン ピュータに次のメッセージが表示されることがあります。 The required system DLL (filename) is not present on the system. これが発生するのは、コンピュータの winnt\system32 ディレクトリにファイル MSVCP60.dll または MSVCRT.dll がない場合です。この問題の詳細については、Microsoft サポート情報の記事 259403 (http://support.microsoft.com/kb/259403)を参照してください。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 2-3 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 AnyConnect クライアントをインストールする前に 信頼済みサイトのリストへのセキュリティ アプライアンスの追加(IE) セキュリティ アプライアンスを信頼済みサイトのリストに追加するには、Microsoft Internet Explorer を使用して、次の手順を実行します。 (注) ステップ 1 これは、Windows Vista で WebLaunch を使用して実行する必要があります。 [ ツール(Tools)]、[ インターネット オプション(Internet Options)] の順に選択します。 [ インターネット オプション(Internet Options)] ウィンドウが開きます。 ステップ 2 [ セキュリティ(Security)] タブをクリックします。 ステップ 3 [ 信頼済みサイト(Trusted Sites)] アイコンをクリックします。 ステップ 4 [ サイト(Sites)] をクリックします。 [ 信頼済みサイト(Trusted Sites)] ウィンドウが開きます。 ステップ 5 セキュリティ アプライアンスのホスト名または IP アドレスを入力します。複数のサイトをサポートす るには、https://*.yourcompany.com のようなワイルドカードを使用します。この例では、 yourcompany.com ドメイン内のすべての ASA 5500 が許可されます。 ステップ 6 [ 追加(Add)] をクリックします。 ステップ 7 [OK] をクリックします。 [ 信頼済みサイト(Trusted Sites)] ウィンドウが閉じます。 ステップ 8 [ インターネット オプション(Internet Options)] ウィンドウで [OK] をクリックします。 ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加 ここでは、ブラウザの警告ウィンドウへの対応として、自己署名証明書を信頼済みルート証明書として クライアントにインストールする方法について説明します。 Microsoft Internet Explorer の [ セキュリティの警告(Security Alert)] ウィンドウへの対応 ここでは、Microsoft Internet Explorer の [ セキュリティの警告(Security Alert)] ウィンドウへの対応 として、自己署名証明書を信頼済みルート証明書としてクライアントにインストールする方法について 説明します。このウィンドウは、Microsoft Internet Explorer で、信頼済みサイトとして認識されない セキュリティ アプライアンスへの接続が確立したときに開きます。[ セキュリティの警告(Security Alert)] ウィンドウの上半分には、次のテキストが表示されます。 Information you exchange with this site cannot be viewed or changed by others. However, there is a problem with the site's security certificate. The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority. 次の手順に従って、信頼済みルート証明書として証明書をインストールします。 ステップ 1 [ セキュリティの警告(Security Alert)] ウィンドウの [ 証明書の表示(View Certificate)] をクリック します。 [ 証明書(Certificate)] ウィンドウが開きます。 ステップ 2 [ 証明書のインストール(Install Certificate)] をクリックします。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 2-4 OL-20841-01-J 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 AnyConnect クライアントをインストールする前に [ 証明書のインポート ウィザードの開始(Certificate Import Wizard Welcome)] が開きます。 ステップ 3 [ 次へ(Next)] をクリックします。 [ 証明書インポート ウィザード(Certificate Import Wizard)] - [ 証明書ストア(Certificate Store)] ウィンドウが開きます。 ステップ 4 [ 証明書の種類に基づいて、自動的に証明書ストアを選択する(Automatically select the certificate store based on the type of certificate)] をクリックします。 ステップ 5 [ 次へ(Next)] をクリックします。 [ 証明書インポート ウィザードの完了(Certificate Import Wizard - Completing)] ウィンドウが開きま す。 ステップ 6 ステップ 7 [ 完了(Finish)] をクリックします。 別の [ セキュリティ警告(Security Warning)] ウィンドウで「この証明書をインストールしますか ? (Do you want to install this certificate?)」というメッセージが表示されるので、[ はい(Yes)] をク リックします。 [ 証明書のインポート ウィザード(Certificate Import Wizard)] ウィンドウに、インポートが成功した というメッセージが表示されます。 ステップ 8 [OK] をクリックして、このウィンドウを閉じます。 ステップ 9 [OK] をクリックして、[ 証明書(Certificate)] ウィンドウを閉じます。 ステップ 10 [ はい(Yes)] をクリックして、[ セキュリティの警告(Security Alert)] ウィンドウを閉じます。 セキュリティ アプライアンスのウィンドウが開き、証明書が信頼されたというメッセージが表示され ます。 Netscape、Mozilla、または Firefox の [ 未知の認証局により証明(Certified by an Unknown Authority)] ウィンドウへの対応 ここでは、[Web サイトが未知の認証局により証明されています(Web Site Certified by an Unknown Authority)] ウィンドウへの対応として、自己署名証明書を信頼済みルート証明書としてクライアント にインストールする方法について説明します。このウィンドウは、Netscape、Mozilla、または Firefox で、信頼済みサイトとして認識されないセキュリティ アプライアンスへの接続が確立したときに開き ます。このウィンドウには、次のテキストが表示されます。 Unable to verify the identity of <Hostname_or_IP_address> as a trusted site. 次の手順に従って、信頼済みルート証明書として証明書をインストールします。 ステップ 1 [Web サイトが未知の認証局により証明されています(Web Site Certified by an Unknown Authority)] ウィンドウの [ 証明書を審査する(Examine Certificate)] ボタンをクリックします。 [ 証明書ビューア(Certificate Viewer)] ウィンドウが開きます。 ステップ 2 [ 今後この証明書を受け入れる(Accept this certificate permanently)] オプションをクリックします。 ステップ 3 [OK] をクリックします。 セキュリティ アプライアンスのウィンドウが開き、証明書が信頼されたというメッセージが表示され ます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 2-5 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 AnyConnect クライアントをインストールする前に インストールする AnyConnect クライアント ファイルの入手先 すべての AnyConnect クライアントは次の場所に保存されています。 http://www.cisco.com/cgi-bin/tablebuild.pl/anyconnect AnyConnect クライアントのパッケージは次のとおりです。 • anyconnect-win-2.3.0254-k9.pkg:AnyConnect、vpngina、DART が含まれています。 • anyconnect-no-dart-win-2.3.0254-k9.pkg:AnyConnect、vpngina が含まれますが、DART は含ま れていません。 同じ場所で、次の AnyConnect ファイルもダウンロードおよびロードできます。 • AnyConnect 変換ファイル:anyconnect.po_2.3.0254.zip • AnyConnect API:anyconnect_API_2.3.0254.zip • DART(Diagnostic AnyConnect Reporting Tool):DART が含まれるダウンロード ファイルには、 次のものがあります。 – anyconnect-win-2.3.00254-k9.pkg:AnyConnect、vpngina、DART が含まれています。 – anyconnect-dart-win.msi:DART インストール パッケージだけが含まれ、AnyConnect また は vpngina ソフトウェアは含まれていません。 (注) ダウンロード ファイル anyconnect-no-dart-win-2.3.0254-k9.pkg には AnyConnect および vpngina ソフトウェアが含まれますが、DART は含まれていません。 DART の zip ファイル内には msi が格納されており、他の MS msi と同様に展開およびインストー ルできます。DART によって、[ スタート(Start)] -> [ すべてのプログラム(All Programs)] -> [Cisco] -> [Cisco DART] にプログラム グループが作成されます。デフォルトでは、 「DARTBundle.zip」という名前のデスクトップ アイコンから出力ファイルを使用できます。 複数の AnyConnect クライアント イメージをロードする場合の接続時間 の短縮方法 複数の AnyConnect クライアント イメージをセキュリティ アプライアンスにロードする場合は、リ モート ユーザ数が最大のときに接続時間が最短になる順序で、イメージをロードする必要があります。 セキュリティ アプライアンスは、オペレーティング システムと一致するまで、クライアント イメージ の一部をリモート コンピュータにダウンロードしていきます。イメージのダウンロードは、リストの 上から順に行われます。そのため、リモート コンピュータで最も多く使用されているオペレーティン グ システムと一致するイメージを、リストの先頭に指定する必要があります。 モバイル ユーザは接続速度が遅いため、Windows Mobile 用の AnyConnect クライアント イメージを リストの最初でロードする必要があります。 モバイル ユーザに対しては、正規表現キーワードを使用して、モバイル デバイスの接続時間を短縮す ることができます。ブラウザは適応型セキュリティ アプライアンスに接続するときに、HTTP ヘッ ダーにユーザエージェント文字列を含めます。適応型セキュリティ アプライアンスはその文字列を受 け取ると、その文字列がイメージに対して設定された表現と一致した場合に、他のクライアント イ メージをテストすることなく、すぐにそのイメージをダウンロードします。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 2-6 OL-20841-01-J 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 AnyConnect クライアントのダウンロードのためのセキュリティ アプライアンスの設定 AnyConnect クライアントのダウンロードのためのセキュ リティ アプライアンスの設定 AnyConnect クライアントを展開するようセキュリティ アプライアンスを準備するには、次の手順に従 います。 ステップ 1 Cisco.com から最新の AnyConnect クライアント パッケージをダウンロードします。 ソフトウェアのダウンロード ページは次の場所にあります。 http://www.cisco.com/cgi-bin/tablebuild.pl/anyconnect ステップ 2 AnyConnect クライアント パッケージを SSL VPN クライアントとして指定します。 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク アクセ ス(Network Access)] > [ 詳細(Advanced )] > [SSL VPN] > [ クライアント設定(Client Settings)] を選択します。[SSL VPN クライアント設定(SSL VPN Client Settings)] パネルが表示されます (図 2-1)。 このパネルには、クライアント イメージとして認識された AnyConnect クライアント ファイルが一覧 表示されます。この表に表示される順序は、セキュリティ アプライアンスがリモート コンピュータに ファイルをダウンロードする順序を反映しています。 クライアント イメージを追加するには、[SSL VPN クライアント イメージ(SSL VPN Client Images)] 領域で [ 追加(Add)] をクリックします。Cisco.com からダウンロードしたファイルの名前を入力し、 [ アップロード(Upload)] をクリックします。コンピュータ内でファイルを参照することもできます。 図 2-1 AnyConnect クライアント イメージの指定 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 2-7 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 AnyConnect クライアントのダウンロードのためのセキュリティ アプライアンスの設定 ステップ 3 アドレスの割り当て方式を設定します。 DHCP や、ユーザが割り当てたアドレス指定を使用できます。ローカル IP アドレス プールを作成し、 そのプールをトンネル グループに割り当てる方法もあります。このガイドでは、一般的なアドレス プール方式を例として使用します。 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(ク ライアント)アクセス(Network (Client) Access)] > [ アドレス割り当て(Address Assignment)] > [ アドレス プール(Address Pools)] を選択します(図 2-2)。[IP プールの追加(Add IP Pool)] ウィ ンドウにアドレス プール情報を入力します。 図 2-2 [IP プールの追加(Add IP Pool)] ダイアログ Cisco AnyConnect VPN Client アドミニストレータ ガイド 2-8 OL-20841-01-J 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 AnyConnect クライアントのダウンロードのためのセキュリティ アプライアンスの設定 ステップ 4 クライアント ダウンロードを有効にし、接続プロファイルでアドレス プールを割り当てます。 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クラ イアント)アクセス(Network (Client) Access)] > [AnyConnect 接続プロファイル(AnyConnect Connection Profiles)] を選択します。(図 2-3)の矢印に従って AnyConnect クライアントを有効にし てから、アドレス プールを割り当てます。 図 2-3 SSL VPN クライアント ダウンロードの有効化 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 2-9 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 リモート ユーザに対する AnyConnect クライアント ダウンロードのプロンプト ステップ 5 グループ ポリシーで許可された VPN トンネリング プロトコルとして SSL VPN を指定します。 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クラ イアント)アクセス(Network (Client) Access)] > [ グループ ポリシー(Group Policies)] を選択し ます。[ グループ ポリシー(Group Policies)] パネルが表示されます。図 2-4 の矢印に従って、グルー プの SSL VPN を有効にします。 図 2-4 トンネリング プロトコルとしての SSL VPN の指定 リモート ユーザに対する AnyConnect クライアント ダウン ロードのプロンプト デフォルトでは、リモート ユーザがブラウザを使用して最初に接続したときに、セキュリティ アプラ イアンスは AnyConnect クライアントをダウンロードしません。ユーザの認証後、デフォルトのクライ アントレス ポータル ページに [AnyConnect クライアントの起動(Start AnyConnect Client)] ドロ ワーが表示され、ユーザがクライアントのダウンロードを選択できるようになっています。または、ク ライアントレス ポータル ページを表示することなく、すぐにクライアントをダウンロードするようセ キュリティ アプライアンスを設定できます。 リモート ユーザにプロンプトを表示し、設定された時間内にクライアントをダウンロードするか、ク ライアントレス ポータル ページを表示するかを選択できるよう、セキュリティ アプライアンスを設定 することもできます。 この機能は、グループ ポリシーまたはユーザに対して設定できます。このようなログイン設定を変更 するには、次の手順に従ってください。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 2-10 OL-20841-01-J 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 リモート ユーザに対する AnyConnect クライアント ダウンロードのプロンプト ステップ 1 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クラ イアント)アクセス(Network (Client) Access)] > [ グループ ポリシー(Group Policies)] を選択し ます。グループ ポリシーを選択して、[ 編集(Edit)] をクリックします。[ 内部グループ ポリシーの編 集(Edit Internal Group Policy)] ウィンドウが表示されます(図 2-5)。 ステップ 2 ナビゲーション ペインで、[ 詳細(Advanced)] > [SSL VPN クライアント(SSL VPN Client)] > [ ロ グイン設定(Login Settings)] を選択します。[ ログイン後の設定(Post Login settings)] が表示され ます。必要に応じて [ 継承(Inherit)] チェックボックスを選択解除し、[ ログイン後の設定(Post Login setting)] を選択します。 ユーザにプロンプトを表示する場合は、タイムアウト時間を指定し、その時間経過後のデフォルト動作 を [ ログイン後のデフォルト動作選択(Default Post Login Selection)] で選択します。 図 2-5 ステップ 3 ログイン設定の変更 [OK] をクリックし、変更をグループ ポリシーに適用します。 図 2-6 は、[ ユーザに選択のプロンプトを表示(Prompt user to choose)] と [SSL VPN クライアントを ダウンロード(Download SSL VPN Client)] を選択した場合に、リモート ユーザに表示されるプロン プトを示しています。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 2-11 第2章 追加の AnyConnect 機能で使用するモジュールのイネーブル化 図 2-6 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 リモート ユーザに表示されるログイン後プロンプト 追加の AnyConnect 機能で使用するモジュールのイネーブ ル化 AnyConnect クライアント用に新しい機能がリリースされた場合、リモート ユーザが新しい機能を使用 できるように、リモート ユーザの AnyConnect クライアントをアップデートする必要があります。ダ ウンロード時間を最小にするため、AnyConnect クライアントは、サポートする各機能に必要なモ ジュールの(セキュリティ アプライアンスからの)ダウンロードだけを要求します。 新しい機能をイネーブルにするには、グループ ポリシーまたはユーザ名の設定の一部として、新しい モジュール名を指定する必要があります。グループ ポリシーのモジュール ダウンロードを有効にする には、次の手順に従います。 ステップ 1 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クラ イアント)アクセス(Network (Client) Access)] > [ グループ ポリシー(Group Policies)] を選択し ます。グループ ポリシーを選択して、[ 編集(Edit)] をクリックします。[ 内部グループ ポリシーの編 集(Edit Internal Group Policy)] ウィンドウが表示されます(図 2-7)。 ステップ 2 ナビゲーション ペインで、[ 詳細(Advanced)] > [SSL VPN クライアント(SSL VPN Client)] を選 択します。[ ダウンロードするオプションのクライアント モジュール(Optional Client Module to Download)] のドロップリストをクリックし、モジュールを選択します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 2-12 OL-20841-01-J 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 証明書のみの認証の設定 図 2-7 ステップ 3 ダウンロードするオプションのクライアント モジュールの指定 [OK] をクリックし、変更をグループ ポリシーに適用します。 [Start Before Logon] を選択した場合は、AnyConnect クライアント プロファイルでもこのクライアン ト機能を有効にする必要があります。詳細については、「AnyConnect クライアント機能の設定」を参 照してください。 証明書のみの認証の設定 ユーザ名とパスワードを使用して AAA でユーザを認証するか、デジタル証明書で認証するか(また は、その両方を使用するか)を指定する必要があります。証明書のみの認証を設定すると、ユーザはデ ジタル証明書で接続でき、ユーザ ID とパスワードを入力する必要がなくなります。 証明書のみの認証は、接続プロファイルの中で設定できます。この設定を有効にするには、次の手順に 従います。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 2-13 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 証明書のみの認証の設定 ステップ 1 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クラ イアント)アクセス(Network (Client) Access)] > [AnyConnect 接続プロファイル(AnyConnect Connection Profiles)] を選択します。接続プロファイルを選択し、[ 編集(Edit)] をクリックします。 [SSL VPN 接続プロファイルの編集(Edit SSL VPN Connection Profile)] ウィンドウが表示されます (図 2-8)。 図 2-8 ステップ 2 ステップ 3 証明書のみの認証の設定 [ 認証(Authentication)] エリアで方式として [ 証明書(Certificate)] を指定します。 (省略可能)インターフェイスに特定の証明書を割り当てることができます。[ クライアント証明書が必 要(Require Client Certificate)] をクリックします(図 2-9)。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 2-14 OL-20841-01-J 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 証明書のみの認証の設定 図 2-9 ステップ 4 インターフェイスで証明書が必要 (省略可能)各インターフェイスで SSL 認証に使用する証明書があれば、その証明書を指定できます。 特定のインターフェイスに対して証明書を指定しない場合、フォールバック証明書が使用されます。 そのためには、[ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ 詳細 (Advanced)] > [SSL 設定(SSL Settings)] を選択します。[ 証明書(Certificates)] エリアで、イン ターフェイスを選択して [ 編集(Edit)] をクリックします。[SSL 証明書の選択(Select SSL Certificate)] ウィンドウが表示されます(図 2-10)。ドロップリストから証明書を選択します。[OK] をクリックし、変更を適用します。 図 2-10 インターフェイスの証明書の指定 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 2-15 第2章 AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定 証明書のみの認証の設定 Cisco AnyConnect VPN Client アドミニストレータ ガイド 2-16 OL-20841-01-J C H A P T E R 3 AnyConnect クライアント機能の設定 AnyConnect クライアントには、クライアント機能をイネーブルにして設定する 2 つのファイルがあり ます。1 つは AnyConnect クライアント プロファイルで、もう 1 つは AnyConnect ローカル ポリシー です。この章では、AnyConnect クライアント機能について説明し、プロファイル、ローカル ポリ シー、およびセキュリティ アプライアンスでこの機能をイネーブルにする方法について説明します。 AnyConnect クライアント プロファイル AnyConnect プロファイルは、クライアントのインストールおよびアップデートの際にセキュリティ ア プライアンスによって展開される XML ファイルで、接続確立に関する基本情報、および Start Before Logon(SBL)などの拡張機能を提供します。ユーザはプロファイルを管理または修正できません。 すべての AnyConnect クライアント ユーザに対してグローバルにプロファイルを展開するようにセ キュリティ アプライアンスを設定することも、ユーザのグループ ポリシーに基づいてプロファイルを 展開するように設定することもできます。通常、各ユーザが 1 つのプロファイル ファイルを使用しま す。このプロファイルには、ユーザが必要とするすべてのホスト、および必要に応じて追加の設定が含 まれます。場合によっては、特定のユーザに複数のプロファイルを割り当てたいことがあります。たと えば、複数の場所で作業するユーザは、複数のプロファイルを必要とすることがあります。この場合、 ユーザはドロップダウン リストから適切なプロファイルを選択します。Start Before Login など、一部 のプロファイル設定は、グローバル レベルで接続を制御します。ホストに固有のその他の設定は、選 択したホストに依存します。 AnyConnect ローカル ポリシー AnyConnect ローカル ポリシーは、AnyConnect VPN クライアントの追加のセキュリティ パラメータ を指定します。これには、Federal Information Processing Standard(FIPS; 連邦情報処理標準)レベル 1 準拠モードでの動作が含まれます。AnyConnect ローカル ポリシーのその他のパラメータは、リモー ト アップデートを禁止して中間者攻撃を防いだり、管理者またはルート以外のユーザがクライアント 設定を修正できないようにすることによって、セキュリティを高めます。クライアント プロファイル と異なり、ローカル ポリシーはセキュリティ アプライアンスによって展開されません。そのため、企 業のソフトウェア展開システムによって展開する必要があります。 この章の最初の 2 つの項では、AnyConnect クライアント プロファイルまたはローカル ポリシーの変 更方法について説明します。 • 「AnyConnect クライアント プロファイルの設定と展開」(P.3-2) • 「AnyConnect ローカル ポリシーの設定」(P.3-8) ここでは、各クライアント機能について説明し、AnyConnect クライアント プロファイル、ローカル ポリシー、およびセキュリティ アプライアンスソフトウェアに対する必要な変更について説明します。 • 「Start Before Logon の設定」(P.3-10) • 「FIPS と追加セキュリティのイネーブル化」(P.3-20) • 「Trusted Network Detection のイネーブル化」(P.3-26) Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-1 第3章 AnyConnect クライアント機能の設定 AnyConnect クライアント プロファイルの設定と展開 • 「証明書ストアの設定」(P.3-28) • 「Simplified Certificate Enrollment Protocol の設定」(P.3-31) • 「証明書照合の設定」(P.3-39) • 「認証証明書選択のプロンプト」(P.3-45) • 「バックアップ サーバ リスト パラメータの設定」(P.3-47) • 「Windows Mobile のポリシー設定」(P.3-48) • 「サーバ リストの設定」(P.3-54) • 「DNS フォールバックの分割」(P.3-56) • 「スクリプト化」(P.3-57) • 「プロキシ サポート」(P.3-62) • 「Windows ユーザのための、RDP セッションからの AnyConnect セッションの許可」(P.3-63) • 「AnyConnect over L2TP または PPTP」(P.3-64) AnyConnect クライアント プロファイルの設定と展開 AnyConnect クライアント プロファイルは、エンドポイントのファイル システムにキャッシュされる XML ファイルです。このファイルで XML タグとして表されるクライアント パラメータは、VPN セッションを確立してクライアント機能をイネーブルにする VPN セキュリティ アプライアンスを指定 します。 XML プロファイルは、テキスト エディタで作成し、保存できます。クライアントのインストールには 1 つのプロファイル テンプレート(AnyConnectProfile.tmpl)が含まれていて、これをコピーして名前 を変更し、XML ファイルとして保存してから、別のプロファイル ファイルを作成する基本として使用 できます。 プロファイル ファイルは、セキュリティ アプライアンスからリモート ユーザの PC のディレクトリ C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥Profile にダウンロードされます。Windows Vista の場合は場所が少し異なり、C:¥ProgramData¥Cisco¥Cisco AnyConnect VPN Client¥Profile になります。リモート PC にダウンロードする準備として、まず、プ ロファイルをセキュリティ アプライアンスにインポートする必要があります。プロファイルは、 ASDM またはコマンドライン インターフェイスでインポートできます。AnyConnect クライアントに よって自動的にダウンロードされる AnyConnectProfile.tmpl ファイルは、AnyConnect プロファイル のサンプルです。 (注) プロファイルのクライアント初期化パラメータをクライアント設定に適用するには、ユーザが接続して いるセキュリティ アプライアンスが、そのプロファイルにホスト エントリとして含まれている必要が あります。セキュリティ アプライアンスのアドレスまたは FQDN をホスト エントリとしてプロファイ ルに追加していない場合、フィルタがセッションに適用されません。たとえば、証明書照合を作成し、 証明書が基準と適切に一致した場合でも、プロファイルにセキュリティ アプライアンスをホスト エン トリとして追加しなかった場合、この証明書の一致は無視されます。プロファイルへのホスト エント リの追加の詳細については、「サーバ リストの設定」(P.3-54)を参照してください。 ここでは、次の内容について説明します。 • 「デフォルトのクライアント プロファイル」(P.3-3) • 「クライアント プロファイルの編集」(P.3-4) • 「プロファイルの XML の確認」(P.3-5) Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-2 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 AnyConnect クライアント プロファイルの設定と展開 • 「AnyConnect クライアントへのクライアント プロファイルの展開」(P.3-6) デフォルトのクライアント プロファイル プロファイル アトリビュートを設定するには、XML プロファイル テンプレートを変更し、独自の ファイル名で保存します。このプロファイル ファイルを任意の時点でエンド ユーザに配布します。配 布メカニズムは、ソフトウェアの配布に組み込まれます。 次の例は、AnyConnect プロファイル ファイルのサンプルを示しています。太字の値は、修正してプロ ファイルをカスタマイズ可能です。この例では、読みやすくするために、大きなグループを空白行で区 切っています。この空白行は、実際のプロファイルには挿入しないでください。 注意 本書の例をカット アンド ペーストしないでください。カット アンド ペーストすると、改行が入り、 XML が機能しなくなることがあります。代わりに、プロファイル テンプレート ファイルをテキス ト エディタ(メモ帳やワードパッドなど)で開いてください。 <?xml version="1.0" encoding="UTF-8" ?> <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd"> <ClientInitialization> <UseStartBeforeLogon UserControllable="false">false</UseStartBeforeLogon> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreOverride>false</CertificateStoreOverride> <AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart> <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> <LocalLanAccess UserControllable="true">true</LocalLanAccess> <AutoReconnect UserControllable="true"> true <AutoReconnectBehavior UserControllable="false">ReconnectAfterResume</AutoReconnectBehavior> </AutoReconnect> <AutoUpdate UserControllable="false">true</AutoUpdate> <RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration> <CertificateMatch> <KeyUsage> <MatchKey>Non_Repudiation</MatchKey> <MatchKey>Digital_Signature</MatchKey> </KeyUsage> <ExtendedKeyUsage> <ExtendedMatchKey>ClientAuth</ExtendedMatchKey> <ExtendedMatchKey>ServerAuth</ExtendedMatchKey> <CustomExtendedMatchKey>1.3.6.1.5.5.7.3.11</CustomExtendedMatchKey> </ExtendedKeyUsage> <DistinguishedName> <DistinguishedNameDefinition Operator="Equal" Wildcard="Enabled" MatchCase="Enabled"> <Name>CN</Name> <Pattern>ASASecurity</Pattern> </DistinguishedNameDefinition> </DistinguishedName> </CertificateMatch> Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-3 第3章 AnyConnect クライアント機能の設定 AnyConnect クライアント プロファイルの設定と展開 <BackupServerList> <HostAddress>asa-02.cisco.com</HostAddress> <HostAddress>192.168.1.172</HostAddress> </BackupServerList> <MobilePolicy> <DeviceLockRequired MaximumTimeoutMinutes="60" MinimumPasswordLength="4" PasswordComplexity="pin" /> </MobilePolicy> </ClientInitialization> <ServerList> <HostEntry> <HostName>CVC-ASA-01</HostName> <HostAddress>CVC-ASA-01.example.com</HostAddress> <UserGroup>StandardUser</UserGroup> <BackupServerList> <HostAddress>cvc-asa-02.example.com</HostAddress> <HostAddress>cvc-asa-03.example.com</HostAddress> </BackupServerList> </HostEntry> </ServerList> </AnyConnectProfile> クライアント プロファイルの編集 クライアント インストールから、プロファイル ファイル(AnyConnectProfile.xml)のコピーを取得し ます。コピーを作成し、そのコピーの名前をわかりやすい名前に変更してください。または、既存のプ ロファイルを修正することもできます。表「エンドポイントの AnyConnect ファイルのパス」に、サ ポート対象オペレーティング システムごとのプロファイル パスを示します。 プロファイル ファイルを編集します。次の例で、Windows のプロファイル ファイル (AnyConnectProfile.xml)の内容を示します。 <?xml version="1.0" encoding="UTF-8"?> <!-This is a template file that can be configured to support the identification of secure hosts in your network. The file needs to be renamed to CiscoAnyConnectProfile.xml. The svc profiles command imports updated profiles for downloading to client machines. --> <Configuration> <ClientInitialization> <UseStartBeforeLogon>false</UseStartBeforeLogon> </ClientInitialization> <HostEntry> <HostName></HostName> <HostAddress></HostAddress> </HostEntry> <HostEntry> <HostName></HostName> <HostAddress></HostAddress> </HostEntry> </Configuration> Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-4 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 AnyConnect クライアント プロファイルの設定と展開 HostName には、ユーザ用のセキュア ゲートウェイまたはクラスタを指定します。これは、ユーザ GUI の [ 接続(Connection)] タブの [ 接続先(Connect to)] ドロップダウン リストに表示されます。 任意の名前を使用できます。HostAddress には、接続するセキュア ゲートウェイの実際のホスト名とド メイン(hostname.example.com など)を指定します(この値には IP アドレスも指定できますが、推 奨されません)。HostName の値は、HostAddress 値のホスト名部分と同じにすることができますが、 親タグの HostEntry によってこれらの値が関連付けられるため、必ずしも一致させる必要はありませ ん。ただし、両方の子タグのホスト名を一致させると、管理者による VPN 接続のテストおよびトラブ ルシューティングが簡単になります。 <HostEntry> <HostName>Sales_gateway</HostName> <HostAddress>Sales_gateway.example.com</HostAddress> </HostEntry> (注) 本書の例をカット アンド ペーストしないでください。カット アンド ペーストすると、改行が入り、 XML が機能しなくなることがあります。代わりに、プロファイル テンプレート ファイルをテキスト エディタ(メモ帳やワードパッドなど)で開いてください。 ワークステーションに AnyConnect をインストールした後、次の場所に表示されるテンプレートを使用 します。¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥Profile¥AnyConnectProfile.tmpl プロファイルの XML の確認 作成した AnyConnect クライアント プロファイルの XML を確認することは重要です。オンライン確 認ツールまたは ASDM のプロファイル インポート機能を使用します。確認のために、プロファイル テ ンプレートと同じディレクトリにある AnyConnectProfile.xsd を使用できます。この .xsd ファイルは、 クライアント プロファイルの XML スキーマ定義で、セキュア ゲートウェイ管理者が保守し、クライ アント ソフトウェアと共に配布する目的で用意されています。 (注) セキュリティ アプライアンスにインポートする前に、プロファイルを確認してください。これによっ て、クライアント側での確認が不要になります。 このスキーマに基づいた XML ファイルは、ソフトウェアの配布のバンドル ファイルとして、または 自動ダウンロード メカニズムの一部として、いつでもクライアントに配布できます。自動ダウンロー ド メカニズムは、一部の Cisco Secure Gateway 製品でのみ使用できます。 MSXML 6.0 を使用する Microsoft Windows では、AnyConnect クライアントは XML プロファイルを プロファイルの XSD スキーマと照合して確認し、失敗した確認はすべてログに記録します。MSXML 6.0 は Windows 7 および Vista に同梱されています。Windows XP の場合は、Microsoft の次のリンク からダウンロードできます。 http://www.microsoft.com/downloads/details.aspx?FamilyID=d21c292c-368b-4ce1-9dab-3e9827b 70604&displaylang=en プロファイルを修正するときは、入力を確認し、XML タグ名のキャピタリゼーションと一致している ことを確認してください。これは、プロファイルの確認に失敗するよくあるエラーです。たとえば、次 のプリファレンス エントリがあるプロファイルを確認するとします。 <UseStartBeforeLogon UserControllable="false">False</UseStartBeforeLogon> この場合、次のエラー メッセージが表示されます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-5 第3章 AnyConnect クライアント機能の設定 AnyConnect クライアント プロファイルの設定と展開 図 3-1 XML の確認エラー この例では、値の False(先頭が大文字)は false(すべて小文字)にする必要があり、エラーはその ことを示しています。 AnyConnect クライアントへのクライアント プロファイルの展開 AnyConnect クライアントにプロファイルを展開するには、次の手順に従ってセキュリティ アプライア ンスを設定します。 ステップ 1 セキュリティ アプライアンスがクライアント プロファイル ファイルをキャッシュ メモリにロードする ように指定します。 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クラ イアント)アクセス(Network (Client) Access)] > [ 詳細(Advanced)] > [ クライアント設定(Client Settings)] の順に選択します(図 3-2)。 ステップ 2 [SSL VPN クライアント プロファイル(SSL VPN Client Profiles)] エリアで [ 追加(Add)] をクリッ クします。[SSL VPN クライアント プロファイルの追加(Add SSL VPN Client Profiles)] ダイアログ ボックスが表示されます。 図 3-2 AnyConnect VPN クライアント プロファイルの追加または編集 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-6 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 AnyConnect クライアント プロファイルの設定と展開 ステップ 3 プロファイル名およびプロファイル パッケージ名を対応するフィールドに入力します。プロファイル パッケージ名を参照するには、[ フラッシュの表示(Browse Flash)] をクリックします。[ フラッシュ の表示(Browse Flash)] ダイアログボックスが表示されます(図 3-3)。 図 3-3 ステップ 4 [ フラッシュの表示(Browse Flash)] ダイアログボックス テーブルからファイルを選択します。ファイル名が、テーブルの下の [ ファイル名(File Name)] フィールドに表示されます。[OK] をクリックします。選択したファイル名が、[SSL VPN クライアン ト プロファイルの追加(Add SSL VPN Client Profiles)] または [SSL VPN クライアント プロファイ ルの編集(Edit SSL VPN Client Profiles)] ダイアログボックスの [ プロファイル パッケージ(Profile Package)] フィールドに表示されます。 [SSL VPN クライアント プロファイルの追加(Add SSL VPN Client Profiles)] または [SSL VPN クラ イアント プロファイルの編集(Edit SSL VPN Client Profiles)] ダイアログボックスで、[OK] をク リックします。これによって、クライアント ユーザのグループ ポリシーおよびユーザ名のアトリ ビュートにプロファイルを使用できるようになります。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-7 第3章 AnyConnect クライアント機能の設定 AnyConnect ローカル ポリシーの設定 ステップ 5 グループ ポリシーのプロファイルを指定するには、[ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クライアント)アクセス(Network (Client) Access)] > [ グループ ポリシー(Group Policies)] の順に選択します(図 3-4)。 図 3-4 グループ ポリシーで使用するプロファイルの指定 ステップ 6 [ 継承(Inherit)] を選択解除して、ダウンロードするクライアント プロファイルをドロップダウン リ ストから選択します。 ステップ 7 設定が終了したら、[OK] をクリックします。 AnyConnect ローカル ポリシーの設定 AnyConnect ローカル ポリシーは、AnyConnect VPN クライアントの追加のセキュリティ パラメータ を指定します。これには、暗号化モジュールに固有のセキュリティ要件に関する米国政府標準規格であ る Federal Information Processing Standard(FIPS; 連邦情報処理標準)140-2 レベル 1 モードでの動作 が含まれます。FIPS 140-2 標準は、暗号ベースのセキュリティ システムを使用してコンピュータおよ び遠隔通信の機密情報を保護するすべての政府機関に適用されます。 AnyConnect ローカル ポリシーのその他のパラメータは、リモート アップデートを禁止して中間者攻 撃を防いだり、管理者またはルート以外のユーザがクライアント設定を修正できないようにすることに よって、セキュリティを高めます。 AnyConnect ローカル ポリシーのパラメータは、AnyConnectLocalPolicy.xml という名前の XML ファ イルにあります。このファイルは、ASA 5500 シリーズのセキュリティ アプライアンスでは展開されま せん。企業のソフトウェア展開システムを使用してこのファイルを展開するか、ユーザ コンピュータ 上で手動でファイルを変更する必要があります。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-8 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 AnyConnect ローカル ポリシーの設定 ここでは、次の内容について説明します。 「AnyConnect ローカル ポリシー ファイルの例」(P.3-9) 「MST ファイルを使用した Windows クライアント用パラメータの変更」(P.3-9) 「手動での AnyConnect ローカル ポリシー ファイルのパラメータ変更」(P.3-10) AnyConnect ローカル ポリシー ファイルの例 次に、AnyConnect ローカル ポリシー ファイルの例を示します。 <?xml version="1.0" encoding="UTF-8"?> <AnyConnectLocalPolicy acversion="2.4.140" xmlns=http://schemas.xmlsoap.org/encoding/ xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectLocalPolicy.xsd"> <FipsMode>false</FipsMode> <BypassDownloader>false</BypassDownloader> <RestrictWebLaunch>false</RestrictWebLaunch> <StrictCertificateTrust>false</StrictCertificateTrust> <RestrictPreferenceCaching>false</RestrictPreferenceCaching> <RestrictTunnelProtocols>false</RestrictTunnelProtocols> </AnyConnectLocalPolicy> MST ファイルを使用した Windows クライアント用パラメータの変更 Windows インストールの場合、提供される MST ファイルを標準 MSI インストール ファイルに適用し て、FIPS モードをイネーブル化するなど、AnyConnect ローカル ポリシーのパラメータを変更できま す。インストール時に、FIPS がイネーブル化された AnyConnect ローカル ポリシー ファイルが生成さ れます。 MST ファイルは、次の URL の SW ダウンロード エリアからダウンロードできます。 http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278875403 MST ファイルには、次のカスタム行があります。名前は、AnyConnect ローカル ポリシー ファイル (AnyConnectLocalPolicy.xml)のパラメータに対応しています。これらのパラメータの説明と設定可 能な値については、表 3-3 を参照してください。 • LOCAL_POLICY_BYPASS_DOWNLOADER • LOCAL_POLICY_FIPS_MODE • LOCAL_POLICY_RESTRICT_PREFERENCE_CACHING • LOCAL_POLICY_RESTRICT_TUNNEL_PROTOCOLS • LOCAL_POLICY_RESTRICT_WEB_LAUNCH • LOCAL_POLICY_STRICT_CERTIFICATE_TRUST Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-9 第3章 AnyConnect クライアント機能の設定 Start Before Logon の設定 手動での AnyConnect ローカル ポリシー ファイルのパラメータ変更 AnyConnect ローカル ポリシーのパラメータを手動で変更するには、次の手順に従ってください。 ステップ 1 クライアント インストールから、AnyConnect ローカル ポリシー ファイル (AnyConnectLocalPolicy.xml)のコピーを取得します。 表 3-1 に、各オペレーティング システムでのインストール パスを示します。 表 3-1 オペレーティング システムと AnyConnect ローカル ポリシー ファイルのインストール パス オペレーティング システム Windows Windows Mobile インストール パス %ALLUSERSAPPDATA%\Cisco\Cisco AnyConnect VPN Client1 %PROGRAMFILES%\Cisco AnyConnect VPN Client Linux /opt/cisco/vpn Mac OS X /opt/cisco/vpn 1. %ALLUSERSAPPDATA% は、同じ名前の環境変数を指します。ほとんどの Windows インストレー ションでは、C:¥Program Files です。 ステップ 2 パラメータ設定を編集します。次の例は、Windows の AnyConnect ローカル ポリシー ファイルの内容 を示しています。 <?xml version="1.0" encoding="UTF-8"?> <AnyConnectLocalPolicy acversion="2.4.140" xmlns=http://schemas.xmlsoap.org/encoding/ xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectLocalPolicy.xsd"> <FipsMode>false</FipsMode> <BypassDownloader>false</BypassDownloader> <RestrictWebLaunch>false</RestrictWebLaunch> <StrictCertificateTrust>false</StrictCertificateTrust> <RestrictPreferenceCaching>false</RestrictPreferenceCaching> <RestrictTunnelProtocols>false</RestrictTunnelProtocols> </AnyConnectLocalPolicy> ステップ 3 ファイルを AnyConnectLocalPolicy.xml として保存し、企業の IT ソフトウェア展開システムを使用し てこのファイルをリモート コンピュータに展開します。 Start Before Logon の設定 Start Before Logon(SBL)では、Windows ログイン ダイアログボックスが表示される前に AnyConnect クライアントを起動することで、ユーザが Windows にログインする前に強制的に VPN 接 続で企業インフラストラクチャに接続されます。セキュリティ アプライアンスで認証後、Windows ロ グイン ダイアログが表示され、ユーザは通常どおりにログインします。SBL は Windows でのみ使用可 能で、ログイン スクリプト、パスワードのキャッシュ、ネットワーク ドライブからローカル ドライブ へのマッピングなどの使用を制御できます。 SBL 機能をイネーブルにするには、AnyConnect クライアント プロファイルを変更して、セキュリ ティ アプライアンスが SBL 用のクライアント モジュールをダウンロードできるようにする必要があり ます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-10 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 Start Before Logon の設定 SBL をイネーブルにする理由としては、次のものがあります。 • ユーザのコンピュータに Active Directory インフラストラクチャを導入済みである。 • コンピュータのキャッシュにクレデンシャルを入れることができない(グループ ポリシーで キャッシュのクレデンシャル使用が許可されない場合)。 • ネットワーク リソースから、またはネットワーク リソースへのアクセスを必要とする場所からロ グイン スクリプトを実行する必要がある。 • ネットワークでマッピングされるドライブを使用し、Microsoft Active Directory インフラストラ クチャの認証を必要とする。 • インフラストラクチャとの接続を必要とする場合があるネットワーキング コンポーネント(MS NAP/CS NAC など)が存在する。 AnyConnect クライアントで行う SBL の設定は、この機能のイネーブル化だけです。ログイン前に実 施されるこのプロセスは、ネットワーク管理者が自身の状況の要件に基づいて処理します。ログイン スクリプトは、ドメインまたは個々のユーザに割り当てることができます。一般に、ドメインの管理者 は、バッチ ファイルか類似のものを Microsoft Active Directory のユーザまたはグループに定義してい ます。ユーザがログインするとすぐに、ログイン スクリプトが実行されます。 SBL は、ローカルの社内 LAN 上で等価となるネットワークを作成します。たとえば、SBL をイネー ブルにすると、ユーザはローカルのインフラストラクチャにアクセスできるため、通常はオフィス内の ユーザが実行するログイン スクリプトをリモート ユーザからも使用できるようになります。 ログイン スクリプトの作成については、次の Microsoft TechNet の記事を参照してください。 http://technet2.microsoft.com/windowsserver/en/library/8a268d3a-2aa0-4469-8cd2-8f28d6a630801033 .mspx?mfr=true Windows XP でローカルのログイン スクリプトを使用する詳細については、次の Microsoft の記事を参 照してください。 http://www.windowsnetworking.com/articles_tutorials/wxpplogs.html これ以外では、コンピュータへのログインに使用するキャッシュ クレデンシャルを許可しないように システムを設定する必要がある場合があります。このシナリオでは、ユーザは社内ネットワーク上のド メイン コントローラと通信可能にして、コンピュータへのアクセスが許可される前にユーザのクレデ ンシャルが確認されるようにする必要があります。 SBL は、呼び出されたときにネットワークに接続されている必要があります。場合によっては、ワイ ヤレス接続がワイヤレス インフラストラクチャに接続するユーザ クレデンシャルに依存しているため、 接続できないことがあります。SBL モードがログインのクレデンシャル フェーズに先行するため、こ のシナリオでは接続できません。このケースで SBL を機能させるには、ログインを通してクレデン シャルをキャッシュするようにワイヤレス接続を設定するか、もしくはその他のワイヤレス認証を設定 する必要があります。 ここでは、次の内容について説明します。 「Start Before Logon コンポーネントのインストール(Windows のみ)」(P.3-12) 「Windows 7 および Vista システムでの Start Before Logon(PLAP)の設定」(P.3-15) Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-11 第3章 AnyConnect クライアント機能の設定 Start Before Logon の設定 Start Before Logon コンポーネントのインストール(Windows のみ) Start Before Logon コンポーネントは、コア クライアントのインストール後にインストールする必要が あります。さらに、AnyConnect 2.2 の Start Before Logon コンポーネントの場合は、バージョン 2.2 以 降のコア AnyConnect クライアント ソフトウェアのインストールが必要です。AnyConnect クライアン トの展開前および MSI ファイルを使用した Start Before Logon コンポーネントの展開前の場合 (Altiris、Active Directory または SMS など独自のソフトウェア展開手段を持つ大企業の場合など)、 正しい順序でインストールする必要があります。インストールの順序は、AnyConnect が Web 展開ま たは Web 更新されている場合(または両方の場合)に管理者がロードした時点で自動的に処理されま す。インストールの詳細については、『Release Notes for Cisco AnyConnect VPN Client, Release 2.2』 を参照してください。 Windows Vista と Vista 以前のシステムとの Start Before Logon の相違点 Windows Vista システムでは、SBL のイネーブル化の手順が一部異なります。以前のシステムでは、 VPNGINA(virtual private network graphical identification and authentication の略称)という名称のコ ンポーネントで SBL をインストールしていました。Vista システムでは、PLAP というコンポーネント で SBL を実装します。 AnyConnect クライアントでは、Windows Vista の Start Before Logon 機能は Pre-Login Access Provider(PLAP)という接続可能なクレデンシャル プロバイダーです。この機能を使用すると、ネッ トワーク管理者は、クレデンシャルの収集やネットワーク リソースへの接続などの特定のタスクをロ グイン前に実行することができます。PLAP は Windows Vista および Windows Server 2008 に Start Before Logon 機能を提供します。PLAP は、vpnplap.dll を使用する 32 ビットのオペレーティング シ ステムと、vpnplap64.dll を使用する 64 ビットのオペレーティング システムをサポートします。PLAP 機能は、Windows の x86 バージョンおよび x64 バージョンをサポートします。 (注) この項で説明する VPNGINA とは Vista 以前のプラットフォームの Start Before Logon 機能を指し、 PLAP は Windows Vista システムの Start Before Logon 機能を指します。 Vista 以前のシステムでは、Start Before Logon は VPN Graphical Identification and Authentication Dynamic Link Library(vpngina.dll)と呼ばれるコンポーネントを使用して Start Before Logon の機能 を提供しています。Windows Vista では、システムに同梱されている Windows PLAP コンポーネント によって、この Windows GINA コンポーネントが置き換えられています。 GINA は、ユーザが Ctrl+Alt+Del というキーの組み合せを押すと起動します。PLAP では、 Ctrl+Alt+Del のキーの組み合せを押すとウィンドウが表示され、システムにログインするか、ウィン ドウの右下隅にあるネットワーク接続ボタンで任意の Network Connections (PLAP コンポーネント) を起動するかを選択できます。 次の項では、VPNGINA と PLAP SBL の設定および手順について説明します。Windows Vista プラッ トフォームでの SBL 機能(PLAP)のイネーブル化の方法と使用方法の詳細については、「Windows 7 および Vista システムでの Start Before Logon(PLAP)の設定」(P.3-15)を参照してください。 SBL をイネーブルにするプロファイル パラメータ UseStartBeforeLogon の要素値によって、この機能をオン(true)またはオフ(false)にできます。プ ロファイルでこの値を true に設定すると、ログオン シーケンスの一部として、追加の処理が発生しま す。詳細については、Start Before Logon の説明を参照してください。 SBL をイネーブルにするには、AnyConnect プロファイルで、<UseStartBefore Logon> の値を true に 設定します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-12 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 Start Before Logon の設定 <ClientInitialization> <UseStartBeforeLogon>true</UseStartBeforeLogon> </ClientInitialization> SBL をディセーブルにするには、同じ値を false に設定します。 次の表に、設定を示します。 表 3-2 UseStartBeforeLogon クライアント初期化タグ デフォルト値1 可能な値2 ユーザ制御可能 デフォルトでユーザ制御可能3 サポートされる OS true true、false はい true Mobile 以外の Windows 1. プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。 2. <UseStartBeforeLogon>true</UseStartBeforeLogon> のように、開始タグと終了タグの間にパラメータ値を挿入します。 3. ユーザ制御可能アトリビュートは、<UseStartBeforeLogon UserControllable="true">true</UseStartBeforeLogon> のように、 プリファレンス タグの中で定義します。可能な値は「true」または「false」です。これによって、preferences*.xml ファイルで プリファレンスが上書きされるかどうかが決まります。これはオプションのアトリビュートで、定義されていない場合、デフォ ルト値が使用されます。プロファイルで UserControllable="true" になっているプリファレンスは、[ プリファレンス (Preferences)] ダイアログに表示されます。 SBL をユーザ制御可能にする方法 SBL をユーザ制御可能にするには、SBL をイネーブルにするときに、次の文を使用します。 <UseStartBeforeLogon UserControllable=”true”>true</UseStartBeforeLogon> デフォルトに戻して、SBL をユーザ制御不可にするには、UseStartBeforeLogon プリファレンスの中 の UserControllable プリファレンスを false に設定します。 セキュリティ アプライアンスでの SBL のイネーブル化 ダウンロード時間を最小にするため、AnyConnect クライアントは、サポートする各機能に必要なコア モジュールの(セキュリティ アプライアンスからの)ダウンロードだけを要求します。SBL をイネー ブルにするには、セキュリティ アプライアンスのグループ ポリシーで、SBL モジュール名を指定する 必要があります。 さらに、グループ ポリシーに指定したプロファイル ファイルで、UseStartBeforeLogon パラメータを true に設定する必要があります。次の例を参考にしてください。 <UseStartBeforeLogon UserControllable=“false”>true</UseStartBeforeLogon> (注) SBL を有効にするには、ユーザがリモート コンピュータをリブートする必要があります。 セキュリティ アプライアンスで SBL モジュールを指定するには、次の手順に従ってください。 ステップ 1 ステップ 2 ステップ 3 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クラ イアント)アクセス(Network (Client) Access)] > [ グループ ポリシー(Group Policies)] の順に選 択します(図 3-5)。 グループ ポリシーを選択して、[ 編集(Edit)] をクリックします。[ 内部グループ ポリシーの編集 (Edit Internal Group Policy)] ウィンドウが表示されます。 左側のナビゲーション ペインで [Advanced(詳細)] > [SSL VPN Client(SSL VPN クライアント)] の順に選択します。SSL VPN 設定が表示されます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-13 第3章 AnyConnect クライアント機能の設定 Start Before Logon の設定 ステップ 4 [ ダウンロードするオプションのクライアント モジュール(Optional Client Module for Download)] 設定の [ 継承(Inherit)] ボックスをオフにします。 ステップ 5 ドロップダウン リストで、Start Before Logon モジュールを選択します。 図 3-5 ダウンロードする SBL モジュールの指定 マニフェスト ファイルの使用 セキュリティ アプライアンスにアップロードされる AnyConnect パッケージには、VPNManifest.xml というファイルが含まれています。次に、このファイルのサンプル コンテンツを示します。 <?xml version="1.0" encoding="UTF-7"?> <vpn rev="1.0"> <file version="2.1.0150" id="VPNCore" is_core="yes" type="exe" action="install"> <uri>binaries/anyconnect-win-2.1.0150-web-deploy-k9.exe</uri> </file> <file version="2.1.0150" id="gina" is_core="yes" type="exe" action="install" module="vpngina"> <uri>binaries/anyconnect-gina-win-2.1.0150-web-deploy-k9.exe</uri> </file> </vpn> セキュリティ アプライアンスは、前述のステップ 1 で説明した設定済みプロファイルを格納していま す。また、AnyConnect クライアント、ダウンローダ ユーティリティ、マニフェスト ファイル、さら に他のオプションのモジュールまたはサポートする各種ファイルが含まれる、1 つ以上の AnyConnect パッケージも格納します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-14 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 Start Before Logon の設定 リモート ユーザが WebLaunch またはすでにインストールされているクライアントを使用してセキュリ ティ アプライアンスに接続すると、ダウンローダが最初にダウンロードされて起動し、マニフェスト ファイルを使用してリモート ユーザのコンピュータにアップグレードが必要な既存のクライアントが あるかどうか、または新規インストールが必要かどうかを確認します。マニフェスト ファイルには、 ダウンロードしてインストールが必要なオプションのモジュール(この例では VPNGINA)があるか どうかを示す情報も含まれます。VPNGINA のインストールは、ユーザのグループ ポリシーでダウン ロードするオプション モジュールとして SBL が指定されている場合にアクティブ化されます。この場 合、AnyConnect クライアントと VPNGINA がインストールされ、次回のリブートからは Windows の ドメイン ログオンよりも先に AnyConnect クライアントが画面に表示されます。 クライアントをインストールすると、クライアント コンピュータの次の場所に、サンプル プロファイ ルが提供されます。 C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco¥AnyConnect VPN Client¥Profile¥AnyConnectProfile.tmpl SBL のトラブルシューティング SBL で問題が発生した場合は、次の手順を実行します。 ステップ 1 プロファイルがプッシュされていることを確認します。 ステップ 2 以前のプロファイルを削除します(*.xml と指定してハード ドライブ上の格納場所を検索します)。 ステップ 3 Windows の [ プログラムの追加と削除(Add/Remove Programs)] を使用して、Cisco AnyConnect ク ライアントの Start Before Login コンポーネントをアンインストールします。コンピュータをリブート して、再テストします。 ステップ 4 イベント ビューア(Event Viewer)でユーザの AnyConnect ログをクリアし、再テストします。 ステップ 5 クライアントを再インストールするために Web をブラウズしてセキュリティ アプライアンスに戻りま す。 ステップ 6 いったんリブートします。次回のリブートでは、[Start Before Logon] プロンプトが表示されます。 ステップ 7 AnyConnect イベント ログを .evt フォーマットでシスコに送信します。 ステップ 8 次のエラーが表示された場合は、ユーザ プロファイルを削除します。 Description: Unable to parse the profile C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥Profile¥VABaseProfile.xml. Host data not available. ステップ 9 .tmpl ファイルに戻り、コピーを .xml ファイルとして保存して、この XML ファイルをデフォルト プロ ファイルとして使用します。 Windows 7 および Vista システムでの Start Before Logon(PLAP)の 設定 その他の Windows プラットフォームと同じように、Start Before Logon(SBL)機能によって、ユーザ が Windows にログインする前に VPN 接続が開始されます。これによって、ユーザは自分のコン ピュータにログインする前に、企業のインフラストラクチャに接続されます。Microsoft Windows 7 お よび Vista は Windows XP と異なるメカニズムを使用しているため、Windows 7 および Vista の AnyConnect クライアントの SBL 機能も異なるメカニズムを使用します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-15 第3章 AnyConnect クライアント機能の設定 Start Before Logon の設定 AnyConnect クライアントでは、新しい SBL 機能は Pre-Login Access Provider(PLAP)という接続可 能なクレデンシャル プロバイダーです。この機能を使用すると、プログラマチック ネットワーク管理 者は、クレデンシャルの収集やネットワーク リソースへの接続などの特定のタスクをログイン前に実 行することができます。PLAP は、Windows 7 および Vista で SBL 機能を提供します。PLAP は、 vpnplap.dll を使用する 32 ビットのオペレーティング システムと、vpnplap64.dll を使用する 64 ビット のオペレーティング システムをサポートします。PLAP 機能は、x86 および x64 をサポートします。 (注) この項で説明する VPNGINA とは Windows XP の Start Before Logon 機能を指し、PLAP は Windows 7 および Vista の Start Before Logon 機能を指します。 Windows OS ごとの Start Before Logon の違い Windows XP では、Start Before Logon は VPN Graphical Identification and Authentication Dynamic Link Library(vpngina.dll)と呼ばれるコンポーネントを使用して Start Before Logon の機能を実現し ています。Windows Vista では、システムに同梱されている Windows PLAP コンポーネントによって、 この Windows GINA コンポーネントが置き換えられています。 Windows XP では、GINA コンポーネントは、Ctrl+Alt+Del のキーの組み合せで起動します。PLAP で は、Ctrl+Alt+Del のキーの組み合せを押すとウィンドウが表示され、システムにログインするか、 ウィンドウの右下隅にあるネットワーク接続ボタンで任意の Network Connections(PLAP コンポーネ ント)を起動するかを選択できます。 PLAP のインストール vpnplap.dll および vpnplap64.dll の両コンポーネントは、既存の GINA インストール パッケージの一 部になっているため、単一のアドオン Start Before Logon パッケージをセキュリティ アプライアンスに ロードできます。ロードされると、該当するコンポーネントがターゲット プラットフォームにインス トールされます。PLAP はオプションの機能です。インストーラ ソフトウェアは、基盤のオペレー ティング システムを検出して該当する DLL をシステム ディレクトリに配置します。Windows Vista 以 前のオペレーティング システムでは、インストーラは 32 ビット版のオペレーティング システムに vpngina.dll コンポーネントをインストールします。Windows Vista または Windows Server 2008 では、 インストーラは、32 ビット版と 64 ビット版のどちらのオペレーティング システムが使用されている かを判別して、該当する PLAP コンポーネントをインストールします。 (注) VPNGINA または PLAP コンポーネントがインストールされたまま AnyConnect クライアントをアン インストールすると、VPNGINA または PLAP のコンポーネントはディセーブルとなり、リモート ユーザの画面に表示されなくなります。 一度インストールされると、start before logon がアクティブ化されるようにユーザ プロファイル 「SBL をイネーブルにする <profile.xml> ファイルを変更するまで、PLAP はアクティブになりません。 プロファイル パラメータ」(P.3-12)を参照してください。アクティブ化後に、ユーザは [ ユーザーの 切り替え(Switch User)] をクリックし、さらに画面下右側のネットワーク接続アイコンをクリックし て Network Connect コンポーネントを呼び出します。 (注) 誤ってユーザ インターフェイスの画面表示を最小化した場合は、Alt+Tab キーの組み合せで元に戻り ます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-16 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 Start Before Logon の設定 PLAP を使用した Windows Vista または Windows 7 PC へのログイン PLAP をイネーブルにして Windows Vista または Windows 7 にログインするには、次の手順に従って ください。画面の例は、Windows Vista のものです(Microsoft で必要な手順です)。 ステップ 1 Windows Vista のスタート画面で、Ctrl+Alt+Delete キーの組み合せを押します(図 3-6)。 図 3-6 ネットワーク接続ボタンを表示する Vista ログイン画面 この手順で Vista のログイン ウィンドウに [ ユーザーの切り替え(Switch User)] ボタンが表示されま す(図 3-7)。 図 3-7 [ ユーザーの切り替え(Switch User)] ボタンが表示された Vista ログイン ウィンドウ Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-17 第3章 AnyConnect クライアント機能の設定 Start Before Logon の設定 ステップ 2 (注) [ ユーザーの切り替え(Switch User)](図の赤丸部分)をクリックします。画面の右下隅にネット ワーク ログイン アイコンが表示された ネットワーク接続ウィンドウ(図 3-8)が表示されます。ネッ トワーク ログイン アイコンは図 3-8 の赤丸部分です。 AnyConnect 接続によってすでに接続済みのユーザが [ ユーザーの切り替え(Switch User)] をクリッ クしても、VPN 接続は接続解除されません。ネットワーク接続ボタンをクリックすると、元の VPN 接 続が終了します。[ キャンセル(Cancel)] をクリックすると、VPN 接続が終了します。 図 3-8 ステップ 3 Vista のネットワーク接続ウィンドウ ウィンドウの右下隅に表示されるネットワーク接続ボタンをクリックすると、AnyConnect クライアン トが起動します。次の AnyConnect クライアントのログイン ウィンドウが表示されます(図 3-9)。 図 3-9 AnyConnect クライアント ログイン ウィンドウ Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-18 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 Start Before Logon の設定 ステップ 4 (注) ステップ 5 AnyConnect クライアントへの通常のログインではこの AnyConnect GUI を使用します。 この例では、AnyConnect クライアントがインストールされている唯一の接続プロバイダーであること を前提としています。複数のプロバイダーをインストールしている場合は、このウィンドウに表示され る項目から、ユーザがいずれかを選択する必要があります。 正常に接続されると、Vista のネットワーク接続ウィンドウと同様の画面が表示されますが、今回は右 下隅に Microsoft の [ 接続解除(Disconnect)] ボタン(図 3-10)が表示される点が異なります。この 表示は、接続が正常に実行されたことを通知するためのものです。 図 3-10 接続解除ウィンドウ ログインに関連するアイコンをクリックします。例では、[VistaAdmin] をクリックしてマシンへのロ グインを完了させます。 注意 接続が確立されると、ログイン時間が無制限になります。ユーザが接続後にログインしなかった場 合、トンネルは接続されたままになります。 PLAP を使用した AnyConnect クライアントからの接続解除 正常にトンネル接続されると、PLAP コンポーネントは元のウィンドウに戻ります。今回は、ウィンド ウの右下隅に [ 接続解除(Disconnect)] ボタンが表示されます(図 3-10 の赤丸部分)。 [ 接続解除(Disconnect)] をクリックすると、VPN トンネルが接続解除されます。 [ 接続解除(Disconnect)] ボタンに応答する明示的な接続解除以外に、トンネルは次の状況でも接続 解除されます。 • ユーザが PLAP を使用して PC にログインした後で [ キャンセル(Cancel)] を押した。 • ユーザがシステムにログインする前に PC がシャットダウンした。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-19 第3章 AnyConnect クライアント機能の設定 FIPS と追加セキュリティのイネーブル化 この動作は、Windows Vista PLAP アーキテクチャの機能であり、AnyConnect クライアントの機能で はありません。 FIPS と追加セキュリティのイネーブル化 AnyConnect ローカル ポリシーは、AnyConnect VPN クライアントの追加のセキュリティ パラメータ を指定します。これには、暗号化モジュールに固有のセキュリティ要件に関する米国政府標準規格であ る Federal Information Processing Standard(FIPS; 連邦情報処理標準)140-2 レベル 1 モードでの動作 が含まれます。FIPS 140-2 標準は、暗号ベースのセキュリティ システムを使用してコンピュータおよ び遠隔通信の機密情報を保護するすべての政府機関に適用されます。 AnyConnect ローカル ポリシーのその他のパラメータは、リモート アップデートを禁止して中間者攻 撃を防いだり、管理者またはルート以外のユーザがクライアント設定を修正できないようにすることに よって、セキュリティを高めます。 AnyConnect ローカル ポリシーのパラメータは、AnyConnectLocalPolicy.xml という名前の XML ファ イルにあります。このファイルは、ASA 5500 シリーズのセキュリティ アプライアンスでは展開されま せん。企業のソフトウェア展開システムを使用してこのファイルを展開するか、ユーザ コンピュータ 上で手動でファイルを変更する必要があります。 Windows に対しては、標準 MST インストール ファイルに適用して FIPS をイネーブル可能な Microsoft Transform(MST)ファイルを用意してあります。この MST では、その他の AnyConnect ローカル ポリシー パラメータは変更されません。コマンドライン ツールの Enable FIPS ツールを使用 することもできます。このツールを実行するには、Windows 上では管理者権限が必要です。Linux ま たは Mac 上では、root ユーザとして実行する必要があります。MST または Enable FIPS ツールは、 AnyConnect クライアントのソフトウェア ダウンロード ページからダウンロードできます。 または、AnyConnect ローカル ポリシー ファイルのコピーをクライアント インストールから取得し、 手動でパラメータを編集して、ユーザのコンピュータに展開してください。 ここでは、これらの手順をすべて説明します。 • 「AnyConnect ローカル ポリシー ファイルのパラメータと値」(P.3-20) • 「AnyConnect ローカル ポリシー ファイルの例」(P.3-9) • 「MST ファイルを使用した Windows クライアント用パラメータの変更」(P.3-9) • 「手動での AnyConnect ローカル ポリシー ファイルのパラメータ変更」(P.3-10) • 「すべてのオペレーティング システムでの Enable FIPS ツールを使用したパラメータ変更」 (P.3-24) AnyConnect ローカル ポリシー ファイルのパラメータと値 (注) プロファイル ファイルのポリシー パラメータを省略した場合、機能はデフォルト動作になります。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-20 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 FIPS と追加セキュリティのイネーブル化 表 3-3 に、AnyConnect ローカル ポリシー ファイルとその値を示します。 表 3-3 AnyConnect ローカル ポリシー ファイルとその値 パラメータおよび説明 値および値の形式 acversion 形式は acversion="<version number>"。 このファイルのすべてのパラメータを解釈できる AnyConnect クライアントの最小バージョンを指定。 指定されているバージョンよりも古いクライアントが ファイルを読み取った場合、イベント ログ警告が発行 されます。 xmlns XML 名前空間指定子。ほとんどの場合、管理者はこ 形式は URL。例: xmlns=http://schemas.xmlsoap.org/encoding/ のパラメータを変更しません。 xsi:schemaLocation スキーマ ロケーションの XML 指定子。ほとんどの場 合、管理者はこのパラメータを変更しません。 xmlns:xsi XML スキーマ インスタンス指定子。ほとんどの場 合、管理者はこのパラメータを変更しません。 形式は URL。例: xsi:schemaLocation="http://schemas.xmlsoap.org/ encoding/AnyConnectLocalPolicy.xsd"> 形式は URL。例: xmlns:xsi=http://www.w3.org/2001/ XMLSchema-instance FipsMode true:FIPS モードをイネーブル。 クライアントの FIPS モードをイネーブル化。クライ アントは、FIPS 標準で承認されているアルゴリズム およびプロトコルだけを使用します。 false:FIPS モードをディセーブル(デフォルト)。 BypassDownloader true:クライアントは、セキュリティ アプライアンス上にプロファ イルのアップデート、翻訳、カスタマイゼーション、オプションの モジュール、コア ソフトウェアのアップデートなど、ダイナミッ ク コンテンツがあるかどうかをチェックしません。 ダイナミック コンテンツのローカル バージョンの存 在を検出し、アップデートする VPNDownloader.exe モジュールの呼び出しをディセーブルにします。 false:クライアントは、セキュリティ アプライアンス上にダイナ ミック コンテンツがあるかどうかをチェックします(デフォル ト)。 (注) RestrictWebLaunch WebLaunch の使用を禁止し、強制的に AnyConnect FIPS 準拠のスタンドアロン接続モードでユーザを接 続することによって、ユーザが FIPS 準拠でないブラ ウザを使用して AnyConnect トンネルを開始するセ セキュリティ アプライアンスでクライアントプロファイル を設定する場合は、BypassDownloader を true に設定した セキュリティ アプライアンスに接続する前に、クライアン ト プロファイルをクライアントにインストールしておく必 要があります。プロファイルには管理者が定義したポリ シーが含まれていることがあるため、セキュリティ アプラ イアンスを使用してクライアント プロファイルを集中管理 しない場合を除いて、BypassDownloader を true に設定し ないでください。 true:WebLaunch の試行は失敗し、クライアントからユーザに情 報メッセージが表示されます。 false:WebLaunch を許可します(デフォルト。AnyConnect 2.3 以 前と同じ動作)。 キュリティ クッキーを取得しないようにします。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-21 第3章 AnyConnect クライアント機能の設定 FIPS と追加セキュリティのイネーブル化 表 3-3 AnyConnect ローカル ポリシー ファイルとその値 (続き) パラメータおよび説明 値および値の形式 StrictCertificateTrust true:クライアントから自己署名証明書を使用するセキュリティ ゲートウェイへの接続が失敗します。 リモート セキュリティ ゲートウェイを認証するとき に、AnyConnect クライアントは、確認できない証明 false:クライアントは、証明書を受け入れるようにプロンプトを表 書を許可しません。これらの証明書を受け入れるよう 示します(デフォルト。AnyConnect 2.3 以前と同じ動作)。 にプロンプトを表示することはありません。クライア ントから自己署名証明書を使用するセキュリティ ゲー トウェイへの接続が失敗します。 RestrictPreferenceCaching Credentials:ユーザ名および第 2 ユーザ名はキャッシュされませ 設計上、AnyConnect クライアントは、機密情報を ディスクにキャッシュしません。このパラメータをイ ネーブルにすると、AnyConnect プリファレンスに格 納されているすべての種類のユーザ情報に、このポリ シーが拡張されます。 ん。 Thumbprints:クライアントおよびサーバの証明書のサムプリント はキャッシュされません。 CredentialsAndThumbprints:証明書のサムプリントおよびユーザ 名はキャッシュされません。 All:自動プリファレンスはどれもキャッシュされません。 false:すべてのプリファレンスがディスクに書き込まれます(デ フォルト。AnyConnect 2.3 以前と同じ動作)。 RestrictTunnelProtocols(現在はサポート対象外) TLS:クライアントは IKEv2 および ESP のみを使用してトンネル を確立します。セキュリティ ゲートウェイへの情報の伝達に、 TLS/DTLS は使用しません。 特定のトンネル プロトコル ファミリを使用してセ キュリティ アプライアンスへの接続を確立することを 禁止します。 IPSec:クライアントは、認証およびトンネリングに TLS/DTLS だ けを使用します。 false:接続確立で、任意の暗号化プロトコルを使用できます(デ フォルト)。 (注) TLS またはその他のプロトコルの使用を禁止した場合、 Secure Desktop の自動アップグレードなど、一部の拡張機 能が使用できなくなる場合があります。 ExcludeFirefoxNSSCertStore(Linux および Mac) true:Firefox NSS 証明書ストアを除外します。 クライアントが Firefox NSS 証明書ストアを使用して false:Firefox NSS 証明書ストアを許可します(デフォルト)。 サーバ証明書を確認することを、許可または除外しま す。ストアには、クライアント証明書認証用の証明書 を取得する場所に関する情報があります。 ExcludePemFileCertStore(Linux および Mac) true:PEM ファイル証明書ストアを除外します。 クライアントが PEM ファイル証明書ストアを使用し てサーバ証明書を確認することを、許可または除外し ます。ストアは FIPS 対応の OpenSSL を使用し、ク ライアント証明書認証用の証明書を取得する場所に関 する情報があります。PEM ファイル証明書ストアを 許可することによって、リモート ユーザが FIPS 準拠 の証明書ストアを使用するようにできます。 false:PEM ファイル証明書ストアを許可します(デフォルト)。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-22 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 FIPS と追加セキュリティのイネーブル化 表 3-3 AnyConnect ローカル ポリシー ファイルとその値 (続き) パラメータおよび説明 値および値の形式 ExcludeMacNativeCertStore(Mac 専用) true:Mac ネイティブ証明書ストアを除外します。 クライアントが Mac ネイティブ(キーチェーン)証 明書ストアを使用してサーバ証明書を確認すること を、許可または除外します。 false:Mac ネイティブ証明書ストアを許可します(デフォルト)。 ExcludeWinNativeCertStore(Windows 専用。現在 true:Windows Internet Explorer 証明書ストアを除外します。 はサポート対象外) false:Windows Internet Explorer 証明書ストアを許可します クライアントが Windows Internet Explorer ネイティ (デフォルト)。 ブ証明書ストアを使用してサーバ証明書を確認するこ とを、許可または除外します。 AnyConnect ローカル ポリシー ファイルの例 次に、AnyConnect ローカル ポリシー ファイルの例を示します。 <?xml version="1.0" encoding="UTF-8"?> <AnyConnectLocalPolicy acversion="2.4.140" xmlns=http://schemas.xmlsoap.org/encoding/ xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectLocalPolicy.xsd"> <FipsMode>false</FipsMode> <BypassDownloader>false</BypassDownloader> <RestrictWebLaunch>false</RestrictWebLaunch> <StrictCertificateTrust>false</StrictCertificateTrust> <RestrictPreferenceCaching>false</RestrictPreferenceCaching> <RestrictTunnelProtocols>false</RestrictTunnelProtocols> </AnyConnectLocalPolicy> 当社の MST ファイルによる FIPS のイネーブル化 Windows インストールでは、当社が提供する MST ファイルを標準 MSI インストール ファイルに適用 して、AnyConnect ローカル ポリシーで FIPS をイネーブル化できます。この MST は FIPS をイネーブ ルにするだけで、その他のパラメータは変更しません。インストール時に、FIPS がイネーブル化され た AnyConnect ローカル ポリシー ファイルが生成されます。 MST ファイルは、次の URL の SW ダウンロード エリアからダウンロードできます。 http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278875403 独自の MST ファイルによる任意のローカル ポリシー パラメータの変更 独自の MST ファイルを作成して、任意のローカル ポリシー パラメータを変更できます。次のカスタ ム行を使用して、独自の MST ファイルを作成してください。名前は、AnyConnect ローカル ポリシー ファイル(AnyConnectLocalPolicy.xml)のパラメータに対応しています。これらのパラメータの説明 と設定可能な値については、表 3-3 を参照してください。 • LOCAL_POLICY_BYPASS_DOWNLOADER • LOCAL_POLICY_FIPS_MODE • LOCAL_POLICY_RESTRICT_PREFERENCE_CACHING Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-23 第3章 AnyConnect クライアント機能の設定 FIPS と追加セキュリティのイネーブル化 • LOCAL_POLICY_RESTRICT_TUNNEL_PROTOCOLS • LOCAL_POLICY_RESTRICT_WEB_LAUNCH • LOCAL_POLICY_STRICT_CERTIFICATE_TRUST (注) AnyConnect クライアント インストールは、ユーザ コンピュータ上にある既存のローカル ポリシー ファイルを自動的には上書きしません。クライアント インストーラで新しいポリシー ファイルを作成 するには、その前にユーザ コンピュータ上の既存のポリシー ファイルを削除しておく必要があります。 すべてのオペレーティング システムでの Enable FIPS ツールを使用したパ ラメータ変更 すべてのオペレーティング システムで、Enable FIPS ツールを使用して、FIPS をイネーブル化した AnyConnect ローカル ポリシー ファイルを作成できます。Enable FIPS ツールはコマンドライン ツー ルで、実行するには、Windows では管理者権限が必要です。Linux および Mac では、root ユーザとし て実行する必要があります。 Enable FIPS ツールは、AnyConnect クライアントのソフトウェア ダウンロード ページからダウンロー ドできます。 表 3-4 に、指定できるポリシー設定と、使用する引数および構文を示します。引数値の動作は、表 3-3 で AnyConnect ローカル ポリシー ファイルのパラメータに指定されている動作と同じです。 Enable FIPS ツールを実行するには、コンピュータのコマンドラインから EnableFIPS < 引数 > コマン ドを入力します。Enable FIPS ツールを使用するときは、次のことに注意してください。 • 引数を何も指定しなかった場合、ツールによって FIPS がイネーブル化され、vpnagent サービス (Windows)または vpnagent デーモン(Mac および Linux )が再起動されます。 • 複数の引数はスペースで区切ります。 次に、Windows コンピュータ上で実行する Enable FIPS ツールのコマンド例を示します。 EnableFIPS rwl=false sct=true bd=true fm=false 次ぶ、Linux または Mac コンピュータ上で実行するコマンド例を示します。 ./EnableFIPS rwl=false sct=true bd=true fm=false 表 3-4 に、ポリシー設定と Enable FIPS ツールの引数を示します。 表 3-4 ポリシー設定と Enable FIPS ツールの引数 ポリシー設定 引数および構文 FIPS モード fm=[true | false] ダウンローダのバイパス bd=[true | false] WebLaunch の制限 rwl=[true | false] 厳格な証明書トラスト sct=[true | false] プリファレンス キャッシングの制限 rpc=[Credentials | Thumbprints | CredentialsAndThumbprints | All | false] FireFox NSS 証明書ストアの除外 (Linux および Mac) efn=[true | false] Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-24 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 FIPS と追加セキュリティのイネーブル化 表 3-4 ポリシー設定と Enable FIPS ツールの引数 ポリシー設定 引数および構文 PEM ファイル証明書ストアの除外 (Linux および Mac) epf=[true | false] Mac ネイティブ証明書ストアの除外 (Mac のみ) emn=[true | false] 手動での AnyConnect ローカル ポリシー ファイルのパラメータ変更 AnyConnect ローカル ポリシーのパラメータを手動で変更するには、次の手順に従ってください。 ステップ 1 クライアント インストールから、AnyConnect ローカル ポリシー ファイル (AnyConnectLocalPolicy.xml)のコピーを取得します。 表 3-5 に、各オペレーティング システムでのインストール パスを示します。 表 3-5 オペレーティング システムと AnyConnect ローカル ポリシー ファイルのインストール パス オペレーティング システム Windows Windows Mobile インストール パス %ALLUSERSAPPDATA%\Cisco\Cisco AnyConnect VPN Client1 %PROGRAMFILES%\Cisco AnyConnect VPN Client Linux /opt/cisco/vpn Mac OS X /opt/cisco/vpn 1. %ALLUSERSAPPDATA% は、同じ名前の環境変数を指します。 ほとんどの Win XP システムでは C:¥Documents and Settings¥All Users、Windows Vista では C:¥ProgramData です。 ステップ 2 パラメータ設定を編集します。次の例は、Windows の AnyConnect ローカル ポリシー ファイルの内容 を示しています。 <?xml version="1.0" encoding="UTF-8"?> <AnyConnectLocalPolicy acversion="2.4.140" xmlns=http://schemas.xmlsoap.org/encoding/ xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectLocalPolicy.xsd"> <FipsMode>false</FipsMode> <BypassDownloader>false</BypassDownloader> <RestrictWebLaunch>false</RestrictWebLaunch> <StrictCertificateTrust>false</StrictCertificateTrust> <RestrictPreferenceCaching>false</RestrictPreferenceCaching> <RestrictTunnelProtocols>false</RestrictTunnelProtocols> </AnyConnectLocalPolicy> ステップ 3 ファイルを AnyConnectLocalPolicy.xml として保存し、企業の IT ソフトウェア展開システムを使用し てこのファイルをリモート コンピュータに展開します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-25 第3章 AnyConnect クライアント機能の設定 Trusted Network Detection のイネーブル化 Trusted Network Detection のイネーブル化 Trusted Network Detection(TND)を使用すると、ユーザが企業ネットワークの中(信頼ネットワー ク)にいる場合は自動的に AnyConnect クライアントが VPN 接続を接続解除し、企業ネットワークの 外(非信頼ネットワーク)にいる場合は VPN 接続を開始するようにできます。この機能を使用する と、ユーザが信頼ネットワークの外にいるときに VPN 接続を開始することによって、セキュリティ意 識を高めることができます。 クライアントで Start Before Logon (SBL)も実行している場合は、ユーザが信頼ネットワークの中に 移動すると、コンピュータ上に表示されている SBL ウィンドウが自動的に閉じます。 TND を使用していても、ユーザは手動で VPN 接続を確立できます。信頼ネットワークの中でユーザ が手動で開始した VPN 接続は、接続解除されません。TND で VPN セッションが接続解除されるの は、ユーザが最初は非信頼ネットワークにいて、その後信頼ネットワークに移動した場合だけです。た とえば、ユーザが自宅で VPN 接続を確立してから会社に移動した場合、TND はこの VPN セッション を接続解除します。 TND 機能は AnyConnect クライアントの GUI を制御し、接続を自動的に開始するため、GUI を常に実 行している必要があります。ユーザが GUI を終了した場合、TND は VPN 接続を自動的に開始できま せん。 AnyConnect クライアントは、Windows XP 以降、および Mac OS X で TND をサポートします。 TND は、AnyConnect プロファイル(AnyConnectProfile.xml)で設定します。セキュリティ アプライ アンスの設定を変更する必要はありません。表 3-6 に、TND を設定するプロファイル パラメータとそ の値を示します。 表 3-6 Trusted Network Detection のパラメータ 名前 可能な値と説明 AutomaticVPNPolicy true:TND をイネーブル。TrustedNetworkPolicy パラメータおよび UntrustedNetworkPolicy パラメータに従って、VPN 接続を開始または停止する必要があるときに自動的に管理します。 false:TND をディセーブル。VPN 接続は、手動でないと開始および停止できません。 (注) AutomaticVPNPolicy の設定にかかわらず、ユーザは VPN 接続を手動で制御できま す。 TrustedNetworkPolicy Disconnect:信頼ネットワークで VPN 接続を接続解除。 DoNothing:信頼ネットワークでは何もしない。 UntrustedNetworkPolicy Connect:非信頼ネットワークで VPN 接続を開始(VPN 接続がない場合)。 DoNothing:非信頼ネットワークでは何もしない。 (注) TrustedNetworkPolicy と UntrustedNetworkPolicy の両方を DoNothing に設定すると、 TND がディセーブルになります。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-26 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 Trusted Network Detection のイネーブル化 表 3-6 Trusted Network Detection のパラメータ (続き) TrustedDNSDomains クライアントが信頼ネットワーク内にいるときに、ネットワーク インターフェイスが持つ可 能性のある DNS サフィックスのリスト(カンマ区切りの文字列)。次に、 TrustedDNSDomain 文字列の例を示します。 *.cisco.com DNS サフィックスでは、ワイルドカード(*)がサポートされます。 TrustedDNSServers クライアントが信頼ネットワーク内にいるときに、ネットワーク インターフェイスが持つ可 能性のある DNS サーバ アドレスのリスト(カンマ区切りの文字列)。次に、 TrustedDNSServers 文字列の例を示します。 161.44.124.*,64.102.6.247 DNS サーバ アドレスでは、ワイルドカード(*)がサポートされます。 (注) TrustedDNSDomains と TrustedDNSServers の両方を設定した場合は、両方の設定が一致していない と、ユーザは信頼ネットワークの中にいると見なされません。 次のテキストは、TND パラメータを設定したプロファイル ファイルの ClientInitialization セクション を示しています。この例では、信頼ネットワークの中にいるときは自動的に VPN 接続を接続解除し、 非信頼ネットワークにいるときは VPN 接続を開始するようにクライアントが設定されます。 <AutomaticVPNPolicy>true <TrustedDNSDomains>*.cisco.com</TrustedDNSDomains> <TrustedDNSServers>161.44.124.*,64.102.6.247</TrustedDNSServers> <TrustedNetworkPolicy>Disconnect</TrustedNetworkPolicy> <UntrustedNetworkPolicy>Connect</UntrustedNetworkPolicy> </AutomaticVPNPolicy> 表 3-7 に、DNS サフィックスの一致の例を示します。 表 3-7 DNS サフィックスの一致の例 一致する DNS サフィックス cisco.com(これだけ) cisco.com TrustedDNSDomains に使用する値 cisco.com *cisco.com および または anyconnect.cisco.com cisco.com, anyconnect.cisco.com asa.cisco.com *.cisco.com および または anyconnect.cisco.com asa.cisco.com, anyconnect.cisco.com Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-27 第3章 AnyConnect クライアント機能の設定 証明書ストアの設定 複数のプロファイルで複数のセキュリティ アプライアンスに接続する ユーザ ユーザ コンピュータ上に複数のプロファイルがある場合、ユーザが TND イネーブルのセキュリティ アプライアンスから TND イネーブルでないセキュリティ アプライアンスに接続を変更したときに、問 題が発生することがあります。ユーザが TND イネーブルのセキュリティ アプライアンスに接続してい た場合、そのユーザは TND イネーブルのプロファイルを受け取っています。そのユーザが、信頼ネッ トワークの外でコンピュータをリブートすると、TND イネーブルのクライアントの GUI が表示され、 最後に接続していたセキュリティ アプライアンスへの接続が試行されますが、このセキュリティ アプ ライアンスは、TND イネーブルでない可能性があります。 クライアントが TND イネーブルのセキュリティ アプライアンスに接続し、ユーザは TND イネーブル でないセキュリティ アプライアンスに接続したい場合は、ユーザが手動で接続解除してから、TND イ ネーブルでないセキュリティ アプライアンスに接続する必要があります。ユーザが TND 対応と TND 非対応の両方のセキュリティ アプライアンスに接続する可能性がある場合は、TND をイネーブルにす る前に、この問題について検討してください。 この問題の解決法としては、次の回避策があります。 • 企業ネットワーク上にあるすべてのセキュリティ アプライアンスにロードされるクライアント プ ロファイルで、TND をイネーブルにする。 • すべてのセキュリティ アプライアンスがリストされた 1 つのプロファイルをホスト エントリ セク ションに作成し、このプロファイルをすべてのセキュリティ アプライアンスにロードする。 • 複数の異なるプロファイルが必要ない場合は、すべてのセキュリティ アプライアンスのプロファ イルに同じプロファイル名を使用する。セキュリティ アプライアンスによって、既存のプロファ イルが上書きされます。 証明書ストアの設定 ファイル ストアを使用して証明書認証を実行するように、AnyConnect クライアントを設定できます。 ブラウザに依存して証明書の確認および署名を行う代わりに、クライアントがリモート コンピュータ のファイル システムから証明書ファイルを読み取り、確認と署名を行います。 Windows では、クライアントが証明書を検索する証明書ストアを制御できます。証明書のルックアッ プをユーザ ストアのみ、またはマシン ストアのみに制限するようにクライアントを設定できます。 Mac および Linux では、PEM 形式の証明書ファイル用の証明書ストアを作成できます。ここでは、証 明書ストアを設定し、その使用を制御する手順について説明します。 • 「Windows での証明書ストアの制御」(P.3-28) • 「Mac および Linux での PEM 証明書ストアの作成」(P.3-29) • 「証明書ストア使用の制限」(P.3-31) Windows での証明書ストアの制御 AnyConnect クライアントが証明書を検索する証明書ストアを制御します。これは、Windows の AnyConnect クライアントだけに適用されます。 Windows では、ローカル マシン用と現在のユーザ用に、個別の証明書ストアが提供されます。コン ピュータ上で管理者権限を持つユーザは、両方のストアにアクセスできます。証明書のルックアップを ユーザ ストアのみ、またはマシン ストアのみに制限するようにクライアントを設定できます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-28 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 証明書ストアの設定 AnyConnect クライアント プロファイルの ClientInitialization 要素に CertificateStore パラメータを追 加することによって、証明書のルックアップを制限します。可能な値は、All(デフォルト)、 Machine、または User の 3 つです(大文字と小文字が区別されます)。 (注) ほとんどの場合、デフォルト設定(All)が適しています。変更が必要となる特別な理由またはシナリ オ要件がある場合を除いて、この設定は変更しないでください。 CertificateStore 設定がプロファイルにない場合、AnyConnect はすべての使用可能な証明書ストアを使 用します。この設定は、Windows 以外のプラットフォームでは無効です。 AnyConnect クライアント プロファイルの ClientInitialization セクションで、使用する証明書ストアを 指定できます。可能な値は次のとおりです。 • All:(デフォルト)すべての証明書を受け入れ可能です。 • Machine:マシン証明書(コンピュータで識別された証明書)を使用します。 • User:ユーザ生成の証明書を使用します。 (注) これらのアトリビュートでは、大文字と小文字が区別されます。 次の表に、CertificateStore タグに関する情報を示します。 表 3-8 CertificateStore クライアント初期化タグ デフォルト値1 可能な値2 ユーザ制御可能3 サポートされる OS All All、Machine、User いいえ すべて 1. プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。 2. <CertificateStore>Machine</CertificateStore> のように、開始タグと終了タグ の間にパラメータ値を挿入します。 3. パラメータがユーザ制御をサポートしていない場合、Anyconnect は usercontrollable="true" 文字列を無視します。 証明書ストアの例 次の例で、マシン証明書を使用するようにクライアント証明書選択を変更する ClientInitialization 要素 の CertificateStore パラメータの設定方法を示します。 <CertificateStore>Machine</CertificateStore> 値 machine によって、AnyConnect クライアントは Windows マシン証明書ストアで証明書を検索する ように指示されます。これは、証明書がこのストアにあり、ユーザにマシンの管理者権限がない場合に 役立ちます。 Mac および Linux での PEM 証明書ストアの作成 AnyConnect クライアントは、Privacy Enhanced Mail(PEM)形式のファイル ストアを使用した証明 書認証をサポートしています。ブラウザに依存して証明書の確認および署名を行う代わりに、クライア ントがリモート コンピュータのファイル システムから PEM 形式の証明書ファイルを読み取り、確認 と署名を行います。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-29 第3章 AnyConnect クライアント機能の設定 証明書ストアの設定 PEM ファイルのファイル名に関する制約事項 あらゆる条件下で AnyConnect クライアントが適切な証明書を取得するためには、ファイルが次の要件 を満たしている必要があります。 • すべての証明書ファイルは、拡張子 .pem で終わっていること。 • すべての秘密鍵ファイルは、拡張子 .key で終わっていること。 • クライアント証明書と、それに対応する秘密鍵のファイル名が同じであること。 たとえば、client.pem と client.key など。 (注) PEM ファイルのコピーを保持する代わりに、PEM ファイルへのソフト リンクを使用できま す。 ユーザ証明書の保存 PEM ファイル証明書ストアを作成するには、表 9 に示すパスとフォルダを作成します。これらのフォ ルダに、適切な証明書を配置してください。 表 9 PEM ファイル証明書ストアのフォルダと、保存される証明書の種類 PEM ファイル証明書ストアのフォルダ ~/.cisco/certificates/ca1 保存される証明書の種類 ~/.cisco/certificates/client クライアント証明書 ~/.cisco/certificates/client/ 秘密鍵 信頼できる CA とルート証明書 1. ~ は、ホーム ディレクトリを表します。 (注) マシン証明書の要件は、PEM ファイル証明書の要件と同じですが、ルート ディレクトリが異 なります。マシン証明書の場合は、~/.cisco を /opt/.cisco に置き換えてください。それ以外は、 表 9 に示すパス、フォルダ、証明書の種類が適用されます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-30 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 Simplified Certificate Enrollment Protocol の設定 証明書ストア使用の制限 AnyConnect ローカル ポリシーで、Firefox NSS(Linux および Mac)、PEM ファイル、Mac ネイティ ブ(キーチェーン)、および Windows Internet Explorer ネイティブの各証明書ストアの使用を制限する パラメータを設定することで、クライアントが使用する証明書ストアに関して追加の制限を設定できま す。表 3-10 に、これらの制限を制御するパラメータを示します。 表 3-10 AnyConnect ローカル ポリシーの証明書ストアのパラメータ パラメータおよび説明 値および値の形式 ExcludeFirefoxNSSCertStore(Linux および Mac) true:Firefox NSS 証明書ストアを除外します。 クライアントが Firefox NSS 証明書ストアを使用して false:Firefox NSS 証明書ストアを許可します(デフォルト)。 サーバ証明書を確認することを、許可または除外しま す。ストアには、クライアント証明書認証用の証明書を 取得する場所に関する情報があります。 ExcludePemFileCertStore(Linux および Mac) true:PEM ファイル証明書ストアを除外します。 クライアントが PEM ファイル証明書ストアを使用して false:PEM ファイル証明書ストアを許可します(デフォルト)。 サーバ証明書を確認することを、許可または除外しま す。ストアは FIPS 対応の OpenSSL を使用し、クライ アント証明書認証用の証明書を取得する場所に関する情 報があります。PEM ファイル証明書ストアを許可する ことによって、リモート ユーザが FIPS 準拠の証明書ス トアを使用するようにできます。 ExcludeMacNativeCertStore(Mac 専用) true:Mac ネイティブ証明書ストアを除外します。 クライアントが Mac ネイティブ(キーチェーン)証明 false:Mac ネイティブ証明書ストアを許可します(デフォルト)。 書ストアを使用してサーバ証明書を確認することを、許 可または除外します。 ExcludeWinNativeCertStore(Windows 専用。現在は true:Windows Internet Explorer 証明書ストアを除外します。 サポート対象外) クライアントが Windows Internet Explorer ネイティブ 証明書ストアを使用してサーバ証明書を確認すること を、許可または除外します。 false:Windows Internet Explorer 証明書ストアを許可します(デ フォルト)。 Simplified Certificate Enrollment Protocol の設定 AnyConnect スタンドアロン クライアントは、Simple Certificate Enrollment Protocol(SCEP)を利用 して、クライアント認証に使用する証明書をプロビジョニングおよび更新できます。SCEP の目的は、 使用可能な既存のテクノロジーを使用して、スケーラブルな方法で、ネットワーク デバイスに証明書 を安全に発行できるようにすることです。 当社の SCEP プロトコルの実装では、AnyConnect クライアントが証明書要求を送信し、認証局(CA) が自動的に要求を受け入れまたは拒否します(SCEP プロトコルでは、クライアントが証明書を要求し てから、受け入れまたは拒否の応答を受信するまで CA にポーリングするという方式も許可されていま す。ポーリング方式は、このリリースでは実装されていません)。 AnyConnect 管理者は、SCEP 要求の使用方法をクライアント プロファイル ファイルで設定します。こ のファイルは、クライアントにダウンロードされる XML ファイルで、クライアントの動作に影響を与 える設定が含まれています。表 3-11 に、SCEP 機能の設定に使用されるプロファイル要素を示します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-31 第3章 AnyConnect クライアント機能の設定 Simplified Certificate Enrollment Protocol の設定 SCEP プロトコルの使用は、AnyConnect クライアントをサポートするすべてのオペレーティング シス テムでサポートされています。 ここでは、次の内容について説明します。 • 「自動または手動による証明書のプロビジョニングと更新」(P.3-32) • 「証明書のプロビジョニングと更新を行う SCEP プロトコルの設定」(P.3-34) • 「SCEP 要求後の証明書ストレージ」(P.3-38) • 「証明書の期限切れの注意」(P.3-38) • 「AnyConnect 用の SCEP プロトコルをサポートする ASA の設定」(P.3-38) 自動または手動による証明書のプロビジョニングと更新 SCEP 要求は、AnyConnect が証明書要求を自動的に開始するようにも、ユーザが証明書要求を手動で 要求するようにも設定できます。 自動的な証明書要求 AnyConnect は 2 とおりのケースで、新しい証明書を自動的に取得しようとします。どちらの場合も、 クライアント証明書の認証に失敗してからでないと、AnyConnect は自動的に新しい証明書を取得しよ うとしません。 最初のケースは、クライアント プロファイルの <AutomaticSCEPHost> 要素で識別されるグループ URL にユーザが接続しようとしたときです。AnyConnect は、SCEP に対応したグループ URL に基づ いた VPN が確立された後で、SCEP 証明書要求を開始します。 証明書 ID を要求するプロンプトが、ユーザに表示される場合があります。証明書 ID は、認証局に提 供されるチャレンジ パスワードまたはトークンであり、これによってユーザが認証局に対して識別さ れます。この ID と、プロファイルの SCEP セクションのその他のデータを使用して、AnyConnect は 認証局に接続し、SCEP 取得プロセスを続行します。クライアント プロファイルで <CAURL> 要素の PromptForChallengePW アトリビュートがイネーブルの場合、AnyConnect は証明書 ID を要求する プロンプトを表示します。 自動証明書取得がトリガされる 2 番目の方式は、クライアント プロファイルで <CertificateSCEP> 要 素が定義されていない場合です。この場合、認証局へのアクセスをサポートするように設定された接続 プロファイルを使用して、ユーザは接続を試行します。VPN がアクティブになると、AnyConnect は クライアント プロファイルを検索し、VPN アクティベーションの一部としてダウンロードして、接続 用に選択されたグループ URL がクライアント プロファイルにあるかどうかを確認します。 AnyConnect がクライアント プロファイルの <AutomaticSCEPHost> 要素でグループ URL を検出した 場合、これによって、前の方式で説明した方法と同じ方法で自動 SCEP 取得プロセスが起動されます。 手動による証明書取得 AnyConnect インターフェイスの [ 証明書の取得(Get Certificate)] ボタンまたは [ 登録(Enroll)] ボ タンをクリックして、新しい証明書の要求をユーザが開始します。AnyConnect にこれらのボタンが表 示されるのは、AnyConnect プロファイルの SCEP セクションが設定されていて、次の条件のいずれか に当てはまる場合です。 • ASA が証明書を要求したが、ホストの証明書が使用可能でないか、受け入れ可能でない。 • AnyConnect が使用中の現在の証明書に設定された有効期限が、AnyConnect プロファイルの <CertificateExpirationThreshold> 要素で定義された日数以内に切れる。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-32 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 Simplified Certificate Enrollment Protocol の設定 • AnyConnect が使用中の現在の証明書の有効期限が切れている。 ユーザが証明書要求を開始できるのは、次のいずれかの場合だけです。 • ホストから認証局に直接アクセスできる。 • 公開された認証局である。 • 認証局にアクセスするための VPN トンネルが、ホストで確立済みである。 • 認証局の URL が、クライアント プロファイルの <CAURL> 要素で定義されている。 図 3-11 [ 証明書の取得(Get Certificate)] および [ 登録(Enroll)] ボタン Windows 証明書の警告 自動または手動で Windows クライアントが初めて認証局から証明書を取得しようとしたときに、 図 3-12 のような警告が表示されることがあります。プロンプトが表示されたら、[ はい(Yes)] をク リックしてください。ユーザ証明書とルート証明書を受信できます。[ いいえ(No)] をクリックする と、ユーザ証明書の受信だけが行われ、認証はできません。 図 3-12 Windows 証明書のセキュリティ警告 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-33 第3章 AnyConnect クライアント機能の設定 Simplified Certificate Enrollment Protocol の設定 証明書のプロビジョニングと更新を行う SCEP プロトコルの設定 クライアント プロファイルで <CertificateSCEP> 要素が定義され、そのクライアント プロファイルが グループ ポリシーで指定され、そのグループ ポリシーがユーザの接続プロファイルで指定されている 場合、AnyConnect クライアントは SCEP プロトコルを使用して証明書を取得します。 表 3-11 に、SCEP の設定に使用するクライアント プロファイルの要素を示します。例 3-1 に、クライ アント プロファイルの SCEP 要素の例を示します。 クライアント プロファイルの設定方法の詳細については、「AnyConnect クライアント プロファイルの 設定と展開」(P.3-2)を参照してください。 表 3-11 SCEP の設定に使用するユーザ プロファイル ファイルの要素 要素名 親 説明 CertificateEnrollment ClientInitialization 証明書登録の開始タグ。 CertificateExpirationThreshold CertificateEnrollment 証明書が失効することを AnyConnect が警告する、証明書の有効 期限前の日数。 デフォルト:0 値の範囲:0 ~ 180 この要素のデフォルト値は 0 で、警告を表示しません。最大値 は、証明書の有効期限の 180 日前です。 次の例では、CertificateExpirationThreshold が 14 日に設定され ます。 (注) AutomaticSCEPHost CertificateEnrollment CertificateExpirationThreshold がサポートされるのは、 SCEP がディセーブルのときだけです。クライアント プ ロファイルで <CertificateSCEP> 要素が定義されていない 場合、SCEP がディセーブルになります。 このアトリビュートで ASA ホスト名が指定され、SCEP 証明書取 得用の接続プロファイル(トンネル グループ)が設定されている 場合、ホストは自動証明書取得を試行します。 許可される値: • ASA\ 接続プロファイル名の完全修飾ドメイン名 • ASA\ 接続プロファイル名の IP アドレス 次の例では、AutomaticSCEPHost フィールドで、ASA のホスト 名として asa.cisco.com が指定され、SCEP 証明書取得用に設定 された接続プロファイル(トンネル グループ)の名前として scep_eng が指定されます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-34 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 Simplified Certificate Enrollment Protocol の設定 表 3-11 SCEP の設定に使用するユーザ プロファイル ファイルの要素 要素名 親 説明 CAURL CertificateEnrollment SCEP CA サーバを指定します。 許可される値:CA サーバの完全修飾ドメイン名または IP アドレ ス。 次の例では、CAURL フィールドで SCEP CA サーバの名前とし て ca01.cisco.com が指定されます。 CAURL のアトリビュート: PromptForChallengePW:手動で証明書要求を行う場合に 使用します。ユーザが [ 証明書の取得(Get Certificate)] を クリックすると、ユーザ名とワンタイム パスワードを要求す るプロンプトが表示されます。 許可される値:true、false 次の例の PromptForChallengePW アトリビュートは、 「true」 に設定されています。 Thumbprint:CA の証明書サムプリント。SHA1 または MD5 ハッシュを使用します。次の例の Thumbprint アトリ ビュートは、8475B661202E3414D4BB223A464E6AAB8CA123AB です。 CertificateSCEP CertificateEnrollment 証明書の内容の要求方法を定義するセクション。次の例の CertificateSCEP 要素を参照してください。 CADomain CertificateSCEP 認証局のドメイン。 次の例で、CADomain は cisco.com です。 Name_CN CertificateSCEP 証明書の通常名。 次の例では、Name_CN は %USER% で、これはユーザの ASA ユー ザ名ログイン クレデンシャルに対応します。 Department_OU CertificateSCEP 証明書で指定されている部門名。 Company_O CertificateSCEP 証明書で指定されている企業名。 State_ST CertificateSCEP 証明書で指定されている州 ID。 Country_C CertificateSCEP 証明書で指定されている国 ID。 Email_EA CertificateSCEP 電子メール アドレス。 次の例では、Email_EA は %USER%.cisco.com です。%USER% は、 ユーザの ASA ユーザ名ログイン クレデンシャルに対応します。 Domain_DC CertificateSCEP ドメイン コンポーネント。次の例では、Domain_DC は cisco.com に設定されています。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-35 第3章 AnyConnect クライアント機能の設定 Simplified Certificate Enrollment Protocol の設定 表 3-11 SCEP の設定に使用するユーザ プロファイル ファイルの要素 要素名 親 説明 DisplayGetCertButton CertificateSCEP AnyConnect GUI に [ 証明書の取得(Get Certificate)] ボタンを 表示するかどうかを決定します。管理者は、ユーザが AnyConnect インターフェイスを操作するときに、何をしているのかがわかり やすいようにボタンを設定できます。このボタンがない場合は、 AnyConnect が認証局に接続して証明書登録を試行していること を示すメッセージ ボックスと共に、[ 登録(Enroll)] というラベ ルの付いたボタンが表示されます。 デフォルト値:false 値の範囲:true、false DisplayGetCertButton アトリビュートが false に設定されている と、[ 証明書の取得(Get Certificate)] ボタンが AnyConnect GUI に表示されません。証明書の認証のプロビジョニングと更新 をユーザが手動で要求できないようにする場合は、false を選択し ます。 DisplayGetCertButton アトリビュートが true に設定されている と、CertificateExpirationThreshold 要素で定義された期間内に証 明書の有効期限が切れるよう設定されている場合の期限切れ後、 または証明書がない場合に、[ 証明書の取得(Get Certificate)] ボタンが表示されます。証明書の認証のプロビジョニングと更新 をユーザが手動で要求できるようにする場合は、true を選択しま す。通常、ユーザはあらかじめ VPN トンネルを作成する必要な く、認証局にアクセスできます。 次の例では、DisplayGetCertButton は false に設定されています。 ServerList AnyConnectProfile サーバ リストの開始タグ。サーバ リストは、AnyConnect が最初 に起動されたときに表示されます。ユーザは、ログインする ASA を選択できます。次の例の ServerList を参照してください。 HostEntry ServerList ASA の設定の開始タグ。次の例の、2 番目の HostEntry 要素を参 照してください。 HostName HostEntry ASA のホスト名。次の例の、2 番目の HostEntry 要素では、 HostName 要素は Certificate Enroll です。 HostAddress HostEntry ASA の完全修飾ドメイン名。次の例の、2 番目の HostEntry 要素 では、HostAddress 要素は ourasa.cisco.com に設定されていま す。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-36 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 Simplified Certificate Enrollment Protocol の設定 表 3-11 SCEP の設定に使用するユーザ プロファイル ファイルの要素 要素名 親 説明 AutomaticSCEPHost HostEntry この要素の定義および許可される値は、この表ですでに説明した 要素の定義および許可される値と同じです。ただし、この要素が 設定されているときに、ユーザがサーバ リストからこの HostEntry を選択すると、この値によって、ユーザ プロファイル ファイルで先に設定されている AutomaticSCEPHost の値が上書 きされます。 次の例では、この HostEntry の AutomaticSCEPHost に、 ourasa.cisco.com/scep_eng が設定されています。 CAURL HostEntry この要素の定義、許可される値、およびアトリビュートは、この 表ですでに説明した要素の定義、許可される値、およびアトリ ビュートと同じです。ただし、この要素が設定されているとき に、ユーザがサーバ リストからこの HostEntry を選択すると、こ の値によって、ユーザ プロファイル ファイルで先に設定されてい る CAURL の値が上書きされます。 次の例では、この HostEntry の CAURL に、 ourasa.cisco.com/scep_eng が設定されています。 例 3-1 ユーザ プロファイルの SCEP 要素の例 <AnyConnectProfile> <ClientInitialization> <CertificateEnrollment> <CertificateExpirationThreshold>14</CertificateExpirationThreshold> <AutomaticSCEPHost>asa.cisco.com/scep_eng</AutomaticSCEPHost> <CAURL PromptForChallengePW="true" Thumbprint="8475B661202E3414D4BB223A464E6AAB8CA123AB">ca01.cisco.com</CAURL> <CertificateSCEP> <CADomain>cisco.com</CADomain> <Name_CN>%USER%</Name_CN> <Department_OU>Engineering</Department_OU> <Company_O>Cisco Systems</Company_O> <State_ST>Colorado</State_ST> <Country_C>US</Country_C> <Email_EA>%USER%@cisco.com</Email_EA> <Domain_DC>cisco.com</Domain_DC> <DisplayGetCertButton>false</DisplayGetCertButton> </CertificateSCEP> </CertificateEnrollment> </ClientInitialization> <ServerList> <HostEntry> <HostName>ABC-ASA</HostName> <HostAddress>ABC-asa-cluster.cisco.com</HostAddress> </HostEntry> <HostEntry> <HostName>Certificate Enroll</HostName> <HostAddress>ourasa.cisco.com</HostAddress> <AutomaticSCEPHost>ourasa.cisco.com/scep_eng</AutomaticSCEPHost> <CAURL PromptForChallengePW="false" Thumbprint="8475B655202E3414D4BB223A464E6AAB8CA123AB">ca02.cisco.com</CAURL> </HostEntry> </ServerList> </AnyConnectProfile> Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-37 第3章 AnyConnect クライアント機能の設定 Simplified Certificate Enrollment Protocol の設定 (注) 本書の例をカット アンド ペーストしないでください。カット アンド ペーストすると、改行が入り、 XML が機能しなくなることがあります。代わりに、プロファイル テンプレート ファイルをテキスト エディタ(メモ帳やワードパッドなど)で開いてください。 SCEP 要求後の証明書ストレージ SCEP 要求を通じて取得された証明書は、ユーザの個人用証明書ストアに保管されます。さらに、 Windows デスクトップ プラットフォーム上で十分な権限がユーザにある場合、証明書はマシン ストア にも保存されます。MAC プラットフォームでは、SCEP 要求を通じて取得された証明書が、「ログイ ン」キーチェーンだけに追加されます。Linux では、Firefox ブラウザ証明書ストアがサポートされて います。 証明書の期限切れの注意 AnyConnect 管理者は、証明書が失効することをユーザに警告するように、クライアント プロファイル を設定できます。<CertificateExpirationThreshold> 要素によって、証明書が失効することを AnyConnect が警告する、証明書の有効期限前の日数を指定します。 この要素を使用すると、ユーザが SCEP 方式を使用して更新しないと証明書が失効するという警告を 発することもできます。この場合は、クライアント プロファイルで <CertificateExpirationThreshold> 要素を定義しますが、<CertificateSCEP> 要素は定義しません。 手動で証明書を更新するように SCEP 取得プロセスが設定されている場合、ユーザは「手動による証 明書取得」(P.3-32)の手順に従います。自動的に証明書を更新するように SCEP 取得プロセスが設定 されている場合は、AnyConnect が「自動的な証明書要求」(P.3-32)の手順に従います。 AnyConnect 用の SCEP プロトコルをサポートする ASA の設定 プライベート Registration Authority(RA; 登録局)へのアクセスを提供するため、ASA 管理者は、目 的の RA へのプライベート側ネットワーク接続を制限する ACL が含まれるグループ URL を作成する 必要があります。自動的に証明書を取得するには、ユーザがこのグループ URL に接続し、認証を行う 必要があります。 ユーザがこのグループ URL で認証を行うと、AnyConnect は接続プロファイルに割り当てられている クライアント プロファイルをダウンロードします。クライアント プロファイルには、 <CertificateEnrollment> セクションがあります。このセクションの情報を使用して、クライアントは 自動的に、クライアント プロファイルの <CAURL> 要素で指定されている認証局に接続し、証明書登 録を開始します。ASA 管理者は、次の設定作業を実行する必要があります。 • 特に設定したグループを指すグループ URL を ASA で作成する。 • ユーザのクライアント プロファイルの <AutomaticSCEPHost> 要素で、このグループ URL を指定 する。 • <CertificateEnrollment> セクションを含むクライアント プロファイルを、特に設定したグループ に結び付ける。 • 特に設定したグループに ACL を設定して、プライベート側 RA へのトラフィックを制限する。 SCEP がイネーブルされたグループがユーザに公開されることを防ぐため、ASA では「イネーブル」 にしないでください。ここで説明した実装を使用すれば、ユーザがグループにアクセスするために、グ ループを公開する必要がありません。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-38 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 証明書照合の設定 ASA での証明書のみの認証の設定 複数のグループを使用する環境で証明書のみの認証をサポートするには、管理者が複数のグループ URL をプロビジョニングします。各グループ URL には、さまざまなプロファイルと、グループ固有の 証明書マップを作成するためのカスタマイズされたデータが含まれます。たとえば、ASA に開発部の Department_OU 値をプロビジョニングし、このプロセスによる証明書が ASA に提供されたときに、 このグループにユーザを配置するようにできます。 証明書照合の設定 AnyConnect クライアントは、次の証明書照合タイプをサポートします。これらのいくつか、またはす べてを使用して、クライアント証明書を照合できます。証明書照合は、AnyConnect プロファイルで設 定できるグローバル基準です。次の基準があります。 • Key Usage • Extended Key Usage • 認定者名 Key Usage 証明書照合 証明書の key usage は、指定された証明書で実行できる幅広い操作の制約のセットを提供します。サ ポートされるセットは、次のとおりです。 • DIGITAL_SIGNATURE • NON_REPUDIATION • KEY_ENCIPHERMENT • DATA_ENCIPHERMENT • KEY_AGREEMENT • KEY_CERT_SIGN • CRL_SIGN • ENCIPHER_ONLY • DECIPHER_ONLY プロファイルには、0 個以上の照合基準を含めることができます。1 つ以上の基準が指定されている場 合、証明書が一致すると見なされるには、少なくとも 1 つの基準が一致している必要があります。 「証明書照合の例」(P.3-41)の例で、これらのアトリビュートを設定する方法を示します。 Extended Key Usage 証明書照合 この照合では、Extended Key Usage フィールドに基づいて、クライアントが使用できる証明書を管理 者が制限できます。表 3-12 に、既知の制約のセットと、それに対応するオブジェクト ID(OID)を示 します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-39 第3章 AnyConnect クライアント機能の設定 証明書照合の設定 表 3-12 Extended Key Usage 証明書 制約 OID ServerAuth 1.3.6.1.5.5.7.3.1 ClientAuth 1.3.6.1.5.5.7.3.2 CodeSign 1.3.6.1.5.5.7.3.3 EmailProtect 1.3.6.1.5.5.7.3.4 IPSecEndSystem 1.3.6.1.5.5.7.3.5 IPSecTunnel 1.3.6.1.5.5.7.3.6 IPSecUser 1.3.6.1.5.5.7.3.7 TimeStamp 1.3.6.1.5.5.7.3.8 OCSPSign 1.3.6.1.5.5.7.3.9 DVCS 1.3.6.1.5.5.7.3.10 その他すべての OID(本書の例で使用している 1.3.6.1.5.5.7.3.11 など)は、「カスタム」と見なされま す。管理者は、既知のセットに必要な OID がない場合、独自の OID を追加できます。プロファイルに は、0 個以上の照合基準を含めることができます。証明書が一致すると見なされるには、指定されてい るすべての基準に一致している必要があります。AnyConnect クライアントがエンドポイントに自動的 にダウンロードする、AnyConnectProfile.tmpl という名前の AnyConnect プロファイルの例を参照し てください。 証明書認定者名マッピング 証明書認定者名マッピング機能によって、管理者は、クライアントが使用できる証明書を特定の基準お よび基準照合条件に一致する証明書に制限できます。表 3-13 に、サポートされる基準を示します。 表 3-13 証明書認定者名マッピングの基準 ID 説明 CN SubjectCommonName SN SubjectSurName GN SubjectGivenName N SubjectUnstructName I SubjectInitials GENQ SubjectGenQualifier DNQ SubjectDnQualifier C SubjectCountry L SubjectCity SP SubjectState ST SubjectState O SubjectCompany OU SubjectDept T SubjectTitle Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-40 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 証明書照合の設定 表 3-13 証明書認定者名マッピングの基準 (続き) ID 説明 CN SubjectCommonName EA SubjectEmailAddr DC DomainComponent ISSUER-CN IssuerCommonName ISSUER-SN IssuerSurName ISSUER-GN IssuerGivenName ISSUER-N IssuerUnstructName ISSUER-I IssuerInitials ISSUER-GENQ IssuerGenQualifier ISSUER-DNQ IssuerDnQualifier ISSUER-C IssuerCountry ISSUER-L IssuerCity ISSUER-SP IssuerState ISSUER-ST IssuerState ISSUER-O IssuerCompany ISSUER-OU IssuerDept ISSUER-T IssuerTitle ISSUER-EA IssuerEmailAddr ISSUER-DC IssuerDomainComponent プロファイルには、0 個以上の照合基準を含めることができます。証明書が一致すると見なされるに は、指定されているすべての基準に一致している必要があります。認定者名照合によって、追加の照合 基準が提供されます。たとえば、管理者が、指定した文字列が証明書に含まれている必要があるか、含 まれていてはいけないかを指定できます。また、文字列のワイルドカードも使用できます。 AnyConnect クライアントがエンドポイントに自動的にダウンロードする、AnyConnectProfile.tmpl と いう名前の AnyConnect プロファイルの例を参照してください。 証明書照合の例 (注) この例、およびそれ以降の例で使用する KeyUsage、ExtendedKeyUsage、および DistinguishedName のプロファイル値は単なる例です。使用する証明書に適用する CertificateMatch 基準だけを設定してく ださい。 次の例で、クライアント証明書選択を調整するために使用できるアトリビュートのイネーブル方法を示 します。 <CertificateMatch> <!-Specifies Certificate Key attributes that can be used for choosing acceptable client certificates. --> <KeyUsage> <MatchKey>Non_Repudiation</MatchKey> Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-41 第3章 AnyConnect クライアント機能の設定 証明書照合の設定 <MatchKey>Digital_Signature</MatchKey> </KeyUsage> <!-Specifies Certificate Extended Key attributes that can be used for choosing acceptable client certificates. --> <ExtendedKeyUsage> <ExtendedMatchKey>ClientAuth</ExtendedMatchKey> <ExtendedMatchKey>ServerAuth</ExtendedMatchKey> <CustomExtendedMatchKey>1.3.6.1.5.5.7.3.11</CustomExtendedMatchKey> </ExtendedKeyUsage> <!-Certificate Distinguished Name matching allows for exact match criteria in the choosing of acceptable client certificates. --> <DistinguishedName> <DistinguishedNameDefinition Operator="Equal" Wildcard="Enabled"> <Name>CN</Name> <Pattern>ASASecurity</Pattern> </DistinguishedNameDefinition> <DistinguishedNameDefinition Operator="Equal" Wildcard="Disabled"> <Name>L</Name> <Pattern>Boulder</Pattern> </DistinguishedNameDefinition> </DistinguishedName> </CertificateMatch> ClientInitialization セクションの CertificateMatch セクションで、クライアント証明書選択を調整する プリファレンスを定義します。特に記述がない限り、これらのパラメータにはデフォルト値がありませ ん。そのため、パラメータを指定しなかった場合は無効になります。表 3-14 に、これらのパラメータ のまとめと、可能な値を示します。 CertificateMatch セクションをプロファイルに含めるのは、認証の一部に証明書を使用する場合だけで す。ユーザ証明書を一意に識別するために必要な CertificateMatch サブセクション(KeyUsage、 ExtendedKeyUsage、および DistinguishedName)だけをプロファイルに含めてください。これらのセ クションのデータは、照合するユーザ証明書に固有なものにする必要があります。 表 3-14 証明書照合パラメータ XML タグ名 CertificateMatch 可能な値 説明 例 該当なし グループ ID。 <CertificateMatch>... </CertificateMatch> KeyUsage 該当なし グループ ID。 <KeyUsage> <MatchKey>Non_Repudiation</MatchKey> </KeyUsage> CertificateMatch の子 パラメータ。これらの アトリビュートを使用 して、受け入れ可能な クライアント証明書を 指定します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-42 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 証明書照合の設定 表 3-14 証明書照合パラメータ (続き) XML タグ名 MatchKey ExtendedKeyUsage 可能な値 説明 例 Decipher_Only Encipher_Only CRL_Sign Key_Cert_Sign Key_Agreement Data_Encipherment Key_Encipherment Non_Repudiation Digital_Signature KeyUsage グループの MatchKey アトリ <KeyUsage> <MatchKey>Non_Repudiation</MatchKey> <MatchKey>Digital_Signature</MatchKey> </KeyUsage> 該当なし ビュートで、受け入れ 可能なクライアント証 明書の選択に使用でき るアトリビュートを指 定します。1 つ以上の 照合キーを指定します。 指定されたキーの少な くとも 1 つが一致する 証明書が選択されます。 グループ ID。 CertificateMatch の子 パラメータ。これらの アトリビュートを使用 して、受け入れ可能な クライアント証明書を 選択します。 ExtendedMatchKey ClientAuth ServerAuth CodeSign EmailProtect IPSecEndSystem IPSecTunnel IPSecUser TimeStamp OCSPSign DVCS <ExtendedKeyUsage> <ExtendedMatchKey>ClientAuth</ExtendedMatch Key> </ExtendedKeyUsage> ExtendedKeyUsage グ ループの ExtendedMatchKey <ExtendedMatchKey>ClientAuth</ExtendedMatch Key> <ExtendedMatchKey>ServerAuth</ExtendedMatch で、 Key> 受け入れ可能なクライ アント証明書の選択に 使用できるアトリ ビュートを指定します。 0 個以上の拡張照合 キーを指定します。指 定されたすべてのキー が一致する証明書が選 択されます。 <CustomExtendedMatchKey>1.3.6.1.5.5.7.3.11< CustomExtendedMatch 既知の MIB OID 値。 ExtendedKeyUsage グ Key 1.3.6.1.5.5.7.3.11 な ループで、0 個以上のカ <CustomExtendedMatchKey> ど。 DistinguishedName n/a スタム拡張照合キーを指 定できます。指定された すべてのキーが一致する 証明書が選択されます。 キーは、OID 形式で指 定する必要があります (1.3.6.1.5.5.7.3.11 な ど)。 グループ ID。 <DistinguishedName>...</DistinguishedName> DistinguishedName グ ループでは、証明書認 定者名照合によって受 け入れ可能なクライア ント証明書を選択する ための、一致基準を指 定できます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-43 第3章 AnyConnect クライアント機能の設定 証明書照合の設定 表 3-14 証明書照合パラメータ (続き) 可能な値 XML タグ名 DistinguishedNameDef 太字はデフォルト値 inition を示しています。 Wildcard: “Enabled” “Disabled” Operator: “Equal” or == “NotEqual”or !== MatchCase: “Enabled” “Disabled” Name Pattern CN DC SN GN N I GENQ DNQ C L SP ST O OU T EA ISSUER-CN ISSUER-DC ISSUER-SN ISSUER-GN ISSUER-N ISSUER-I ISSUER-GENQ ISSUER-DNQ ISSUER-C ISSUER-L ISSUER-SP ISSUER-ST ISSUER-O ISSUER-OU ISSUER-T ISSUER-EA 説明 例 DistinguishedNameDef <DistinguishedNameDefinition inition で、照合で使用 Operator=”Equal” Wildcard=”Enabled” Matchcase=”Enabled”> する単一の認定者名ア <Name>CN</Name> トリビュートを定義す <Pattern>ASASecurity</Pattern> る演算子のセットを指 </DistinguishedNameDefinition> 定します。Operator は、 照合を実行するときに 使用する動作を指定し ます。MatchCase は、 パターン マッチングで 大文字と小文字を区別 するかどうかを指定し ます。 照合で使用する DistinguishedName ア トリビュート名。最大 で 10 個のアトリビュー トを指定できます。 A string (1-30 照合で使用する文字列 characters) (パターン)を指定しま enclosed in double す。この定義では、ワ quotes. With wildcards enabled, イルドカード パターン the pattern can be マッチはデフォルトで anywhere in the ディセーブルになって string. います。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-44 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 認証証明書選択のプロンプト 認証証明書選択のプロンプト 以前のリリースでは、ユーザが証明書を使用して AnyConnect セッションを認証するときに、 AnyConnect は何も表示することなく、一致する証明書を提供していました。本リリースからは、有効 な証明書のリストをユーザに表示し、セッションの認証に使用する証明書を選択するよう、 AnyConnect を設定できるようになりました。 この設定は、AnyConnect がサポートする Mobile 以外の Windows オペレーティング システムだけで 可能です。 AutomaticCertSelection を使用したクライアント プロファイルの設定 ユーザが認証証明書を選択できるようにするには、AnyConnect 管理者が、<AutomaticCertSelection> 要素を false に設定したクライアント プロファイルをユーザに提供する必要があります。クライアント プロファイルの編集および配布の方法については、「AnyConnect クライアント プロファイルの設定と 展開」(P.3-2)を参照してください。 ここでは、<AutomaticCertSelection> 要素の説明と、クライアント プロファイルでの実例を示します。 表 3-15 AutomaticCertSelection 要素の説明 親 説明 要素名 AutomaticCertSelection ClientInitialization ユーザが AnyConnect セッションの認証に使用する証明書を選択すること を、許可または禁止します。このフィールドがあると、[AnyConnect プリ ファレンス(AnyConnect Preferences)] ダイアログボックスに [ 自動証 明書選択(Automatic certificate selection)] チェックボックスが表示され ます。 許可される値: • true:値を true に設定すると、AnyConnect が自動的に認証証明書を 選択できるようになります。 • false:値を false に設定すると、ユーザが認証証明書を選択するため のプロンプトが表示されます。 デフォルト値:true 図 3-13 クライアント プロファイルの AutomaticCertSelection 要素 <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd"> <AnyConnectProfile> <ClientInitialization> <AutomaticCertSelection>false</AutomaticCertSelection> </ClientInitialization> <AnyConnectProfile> 注意 本書の例をカット アンド ペーストしないでください。カット アンド ペーストすると、改行が入り、 XML が機能しなくなることがあります。代わりに、プロファイル テンプレート ファイルをテキス ト エディタで開いてください。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-45 第3章 AnyConnect クライアント機能の設定 認証証明書選択のプロンプト ユーザによる、AnyConnect プリファレンスの自動証明書選択の設定 クライアント プロファイルに <AutomaticCertSelection> 要素がある場合、[AnyConnect プリファレン ス(AnyConnect Preferences)] ダイアログボックスに [ 自動証明書選択(Automatic certificate selection)] チェックボックスが表示されます。ユーザは、[ 自動証明書選択(Automatic certificate selection)] チェックボックスをオンまたはオフにすることで、自動証明書選択をオンまたはオフにで きます。 図 3-14 [ 自動証明書選択(Automatic certificate selection)] チェックボックス Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-46 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 バックアップ サーバ リスト パラメータの設定 バックアップ サーバ リスト パラメータの設定 ユーザが選択したサーバに障害が発生した場合にクライアントが使用する、バックアップ サーバのリ ストを設定できます。これらのサーバは、AnyConnect クライアント プロファイルの ClientInitialization セクションで指定します。場合によっては、BackupServerList でホスト固有の設定 を指定することがあります。 これらのパラメータにはデフォルト値がありません。そのため、パラメータを指定しなかった場合は無 効になります。表 3-16 に、これらのパラメータと可能な値を示します。 (注) BackupServerList セクションをプロファイルに含めるのは、バックアップ サーバを指定する場 合だけです。 表 3-16 バックアップ サーバ パラメータ 名前 可能な値 説明 例 BackupServerList n/a グループ ID。 <BackupServerList>...</BackupServerList> HostAddress An IP address or a Full-Qualified Domain Name (FQDN) バックアップ サーバ リ <BackupServerList> <HostAddress>bos</HostAddress> ストに含めるホスト ア ドレスを指定します。 <HostAddress>bos.example.com</HostAddress> </BackupServerList> Windows Mobile デバイスへの AnyConnect のインス トール セキュリティ アプライアンスでは、モバイル デバイス上で AnyConnect の WebLaunch がサポートさ れません。そのため、モバイル ユーザは、AnyConnect Client for Windows Mobile をダウンロードし てインストールする必要があります。企業のコンピュータの場合と同じように、従業員に支給する Windows Mobile デバイスに、AnyConnect を事前展開できます。 AnyConnect Client for Windows Mobile をダウンロードおよびインストールするには、次の手順に従っ てください。 ステップ 1 次のいずれかのファイルを Cisco AnyConnect VPN Client Download Software サイトからダウンロー ドして、Windows Mobile クライアントを取得します。 • すべてのクライアント インストール パッケージが含まれるファイル: anyconnect-all-packages—AnyConnectRelease_Number-k9.zip • シスコによって署名された Windows Mobile デバイス用の CAB パッケージ: anyconnect-wince-ARMv4I-AnyConnectRelease_Number-k9.cab • Windows Mobile プラットフォーム用の ActiveSync MSI パッケージ: anyconnect-wince-ARMv4I-activesync-AnyConnectRelease_Number-k9.msi ステップ 2 anyconnect-all-packages—AnyConnectRelease_Number-k9.zip ファイルをダウンロードした場合は、 このファイルを解凍します。 ステップ 3 クライアントへのリンクをユーザに提供する場合は、企業のサーバにファイルを転送します。 ステップ 4 Windows Mobile デバイスが、最新の『AnyConnect Release Notes』に記載されたシステム要件を満た していることを確認します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-47 第3章 AnyConnect クライアント機能の設定 Windows Mobile のポリシー設定 ステップ 5 何らかの方法で、イントラネット サーバまたはローカル コンピュータからモバイル デバイスに .cab ま たは .msi ファイルを転送します。たとえば、次の方法があります。 • 無線による Microsoft ActiveSync • LAN または無線による HTTP、FTP、SSH、または共有ファイル • Bluetooth • (USB)ケーブル • メディア カードによる転送 ステップ 6 モバイル デバイスを使用して転送したファイルを開き、インストール ウィザードに従います。 Windows Mobile のポリシー設定 エンド ユーザが Windows Mobile デバイスを使用して接続できるように、Mobile のポリシー パラメー タを設定します。これらのパラメータは、Windows Mobile デバイスだけに適用されます。パラメータ を含めるのは、エンド ユーザが Windows Mobile を使用する場合だけにしてください。Windows Mobile デバイスのサポートに関する詳しい最新情報については、最新バージョンの『Release Notes for Cisco AnyConnect VPN Client』を参照してください。 (注) Windows Mobile ポリシーの強制がサポートされるのは、Windows Mobile 5、Windows Mobile 5+AKU2、および Windows Mobile 6 だけです。Windows Mobile 6.1 ではサポートされていません。 強制できないセキュリティ ポリシーを要求するよう設定たセキュア ゲートウェイに接続しようとする と、失敗します。Windows Mobile 6.1 デバイスが含まれる環境では、管理者が Windows Mobile 6.1 ユーザ用に Mobile ポリシー強制を含まない別のグループを作成するか、セキュア ゲートウェイで Mobile ポリシー強制をディセーブルにする必要があります。 次のアトリビュートを指定すると、追加の設定をチェックできます。追加チェックが実行されるプラッ トフォームが、Adaption Kit Upgrade 2(AKU2)の一部として配布された Messaging and Security Feature Pack を適用した Windows Mobile 5 の場合は、「WM5AKU2+」で示してあります。 (注) この設定では、すでに存在するポリシーが確認されるだけで、変更されません。 表 3-17 に、MobilePolicy パラメータとその値を示します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-48 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 Windows Mobile のポリシー設定 表 3-17 Mobile のポリシー パラメータ パラメータ 可能な値 説明 例 MobilePolicy n/a グループ ID。 <MobilePolicy>...</MobilePolicy> DeviceLockRequired 該当なし グループ ID。MobilePolicy グルー <DeviceLockRequired> MaximumTimeoutMinutes=”60” プの DeviceLockRequired は、 MinimumPasswordLength=”4” VPN 接続を確立する前に、パス PasswordComplexity=”pin” ワードまたは PIN を使用して </DeviceLockRequired> Windows Mobile デバイスを設定 する必要があることを示します。 この設定が有効なのは、Microsoft のデフォルト Local Authentication Provider(LAP; ローカル認証プロ バイダー)を使用する Windows Mobile デバイスだけです。 (注) MaximumTimeoutMinutes 任意の負ではない 整数 AnyConnect クライアント は、Windows Mobile 5.0、 WM5AKU2+、および Windows Mobile 6.0 でモ バイル デバイス ロックを サポートしますが、 Windows Mobile 6.1 では サポートしません。 DeviceLockRequired グループのこ <DeviceLockRequired> MaximumTimeoutMinutes=”60” のパラメータに負ではない数値が MinimumPasswordLength=”4” 設定された場合、設定が必要な、 PasswordComplexity=”pin” デバイス ロックが有効になるまで </DeviceLockRequired> の最大時間を分単位で指定します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-49 第3章 AnyConnect クライアント機能の設定 64 ビット Linux への AnyConnect のインストール 表 3-17 Mobile のポリシー パラメータ (続き) パラメータ 可能な値 説明 MinimumPasswordLength 任意の負ではない 整数 DeviceLockRequired グループのこ <DeviceLockRequired> のパラメータに負ではない数値が 設定された場合、デバイス ロック に使用する PIN またはパスワード の文字数が、指定された数値以上 必要であることを示します。 例 MaximumTimeoutMinutes=”60” MinimumPasswordLength=”4” PasswordComplexity=”pin” </DeviceLockRequired> この設定は、強制する前に、 Exchange サーバと同期してモバイ ル デバイスにプッシュする必要が あります。(WM5AKU2+) PasswordComplexity "alpha":英数字の 指定された場合、左のカラムで示 パスワードが必要。 すパスワード サブタイプのチェッ クが行われます。 "pin":数値の PIN が必要。 "strong": Microsoft の定義に この設定は、強制する前に、 Exchange サーバと同期してモバイ ル デバイスにプッシュする必要が あります。(WM5AKU2+) <DeviceLockRequired> MaximumTimeoutMinutes=”60” MinimumPasswordLength=”4” PasswordComplexity=”pin” </DeviceLockRequired> よる、強い英数字 のパスワードが必 要。7 文字以上で、 大文字、小文字、 数字、区切り文字 のうち少なくとも 3 種類が含まれて いること。 (注) AnyConnect for Windows Mobile を使用する前に、データ プランについてサービス プロバイダーに確 認してください。現在のプランのデータ使用制限を超えると、追加料金がかかることがあります。 64 ビット Linux への AnyConnect のインストール Ubuntu 9 の x86_64 バージョンに AnyConnect をインストールするには、次の手順に従ってください。 ステップ 1 次のコマンドを入力して、32 ビット互換ライブラリをインストールします。 administrator@ubuntu-904-64:/usr/local$ sudo apt-get install ia32-libs lib32nss-mdns ステップ 2 32 ビット版の FireFox を http://www.mozilla.com からダウンロードして、/usr/local/firefox にインス トールします。 クライアントは、必要な NSS 暗号化ライブラリを先にこのディレクトリで検索します。 ステップ 3 次のコマンドを入力して、ここで示すディレクトリに Firefox インストールを展開します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-50 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 Mac OS で Java インストーラが失敗した場合の手動インストール オプションの使用 administrator@ubuntu-904-64:/usr/local$ sudo tar -C /usr/local -xvjf ~/Desktop/firefox-version.tar.bz2 ステップ 4 AnyConnect を使用するユーザごとに、少なくとも 1 回、Firefox を実行します。 これによって、AnyConnect が Firefox 証明書ストアと対話するために必要な .mozilla/firefox プロファ イルがユーザのホーム ディレクトリに作成されます。 ステップ 5 スタンドアロン モードで AnyConnect クライアントをインストールします。 Mac OS で Java インストーラが失敗した場合の手動インス トール オプションの使用 Mac 上で WebLaunch を使用して AnyConnect を起動し、Java インストールが失敗した場合は、ダイ アログボックスに [ 手動インストール(Manual Install)] リンクが表示されます。次のように進めま す。 ステップ 1 [ 手動インストール(Manual Install)] をクリックします。 ダイアログボックスに、vpnsetup.sh ファイルを保存するオプションが表示されます。 ステップ 2 vpnsetup.sh ファイルを Mac 上に保存します。 ステップ 3 ターミナル ウィンドウを開き、CD コマンドを使用して、保存したファイルがあるディレクトリに移動 します。 ステップ 4 次のコマンドを入力します。 sudo /bin/sh vpnsetup.sh vpnsetup スクリプトによって、AnyConnect インストールが開始されます。 ステップ 5 インストール後、[ アプリケーション(Applications)] > [Cisco] > [Cisco AnyConnect VPN Client] の 順に選択して、AnyConnect VPN セッションを開始します。 起動時自動接続の設定 デフォルトでは、AnyConnect は起動時に、AnyConnect クライアント プロファイルで指定されている セキュア ゲートウェイへの VPN 接続を自動的に確立します。接続時に AnyConnect は、セキュア ゲー トウェイから提供されたプロファイルとローカル プロファイルが同じでない場合、セキュア ゲート ウェイから提供されたプロファイルでローカル プロファイルを置き換え、このプロファイルの設定を 適用します。 デフォルトの自動接続設定を修正するには、クライアント プロファイルの <ClientInitialization> セク ションに <AutoConnectOnStart> タグを挿入します。 自動接続をディセーブルにした状態でユーザが AnyConnect を起動した場合、AnyConnect GUI には、 デフォルトでユーザ制御可能として構成された設定が表示されます。ユーザは、 AnyConnect GUI の [ 接続(Connect)] ドロップダウン リストからセキュア ゲートウェイの名前を選択し、[ 接続 (Connect)] をクリックする必要があります。接続時に AnyConnect は、セキュリティ アプライアンス から提供された AnyConnect クライアント プロファイルの設定を適用します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-51 第3章 AnyConnect クライアント機能の設定 自動再接続の設定 表 3-18 に、<AutoConnectOnStart> タグに関する情報を示します。 表 3-18 AutoConnectOnStart タグ XML タグ名 AutoConnectOnStart デフォルト値1 可能な値2 ユーザ制御可能 デフォルトでユー ザ制御可能3 サポートされる OS true true はい はい すべて false 1. プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。 2. <AutoConnectOnStart>true</AutoConnectOnStart> のように、開始タグと終了タグの間にパラメータ値を挿入します。 3. ユーザ制御アトリビュートに関連付けられた値に応じて [AnyConnect プリファレンス(AnyConnect Preferences)] ダイアログボックスに パラメータ値が表示され、これらの値を変更できます。ユーザ制御アトリビュートはオプションです。挿入しなかった場合、AnyConnect はデフォルト値を使用します。ユーザ制御を許可または拒否するには、 <AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart> のように、ユーザ制御アトリビュートを開始タグの中に挿入 します。 自動再接続の設定 AnyConnect は、自動再接続の動作を設定する、次の 2 つの XML タグをサポートしています。 • AutoReconnect:デフォルトで、AnyConnect は接続が失われたときに VPN 接続の再確立を試行 します。このタグのデフォルト設定は、true です。 • AutoReconnectBehavior:デフォルトで、AnyConnect はシステムが一時停止したときに VPN セッションに割り当てられたリソースを解放し、システムがレジュームした後で再接続を試行しま せん。このタグのデフォルト設定は、DisconnectOnSuspend です。 システムの一時停止とは、低電力スタンバイ、Windows の「休止状態」、Mac OS または Linux の「ス リープ」のことです。システムのレジュームとは、システムの一時停止からの回復です。 (注) AnyConnect 2.3 以前では、システムの一時停止に対するデフォルトの動作として、VPN セッションに 割り当てられたリソースを保持し、システムのレジューム後に VPN 接続を再確立していました。この 動作を維持するには、AutoReconnectBehavior タグに値 ReconnectAfterResume を割り当てます。 IPsec クライアントとは異なり、AnyConnect は VPN セッションの切断から回復できます。初期接続に 使用したメディアにかかわらず、AnyConnect はセッションを再確立できます。たとえば、有線、無 線、または 3G のセッションを再確立できます。 自動再接続設定を修正するには、クライアント プロファイルの <ClientInitialization> セクションに <AutoReconnect> タグを挿入します。次の例で、接続が失われたときの AnyConnect VPN 再接続を ディセーブルにして、動作をユーザ制御可能にする方法を示します。 <AutoReconnect UserControllable=”true”>false </AutoReconnect> (注) 自動再接続をディセーブルにすると、AnyConnect は接続解除の原因にかかわらず、再接続を試行しま せん。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-52 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 自動再接続の設定 システムのレジュームに対応する動作を設定するには、デフォルトで自動再接続がイネーブルになって いても、自動再接続をイネーブルにする必要があります。<AutoReconnect> タグの中に、 <AutoReconnectBehavior> タグを挿入してください。次の例で、システムがレジュームした後の AnyConnect VPN 再接続動作をイネーブルにして、両方の動作をユーザ制御可能にする方法を示しま す。 <AutoReconnect UserControllable=”true”>true <AutoReconnectBehavior UserControllable=”true”>ReconnectAfterResume</AutoReconnectBehavior> </AutoReconnect> 表 3-19 に、これらのタグとデフォルト値を示します。 表 3-19 AutoReconnect および AutoReconnectBehavior クライアント初期化タグ デフォルト でユーザ制 御可能3 サポート される タグ デフォルト値1 可能な値2 ユーザ制御 可能 AutoReconnect true true:VPN セッションが中断さ はい いいえ すべて はい いいえ Windows OS れた場合、クライアントはセッ ションに割り当てられたリソー スを保持し、再接続を試行しま す。 false:VPN セッションが中断さ れた場合、クライアントはセッ ションに割り当てられたリソー スを解放し、再接続を試行しま せん。 AutoReconnectBehavior DisconnectOnSuspend 注:AutoReconnect が true の場合だけ適用され ます。 ReconnectAfterResume:クラ イアントは、システムの一時停 止中に、VPN セッションに割り 当てられたリソースを保持しま す。システムのレジューム後に、 再接続を試行します。 Mac OS DisconnectOnSuspend:クライ アントは、システムの一時停止 時に、VPN セッションに割り当 てられたリソースを解放します。 システムのレジューム後に、再 接続を試行しません。 1. プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。 2. <AutoReconnect>true</AutoReconnect> のように、開始タグと終了タグの間にパラメータ値を挿入します。 3. ユーザ制御アトリビュートに関連付けられた値に応じて [AnyConnect プリファレンス(AnyConnect Preferences)] ダイアログボックスに パラメータ値が表示され、これらの値を変更できます。ユーザ制御アトリビュートはオプションです。挿入しなかった場合、AnyConnect はデフォルト値を使用します。ユーザ制御を許可または拒否するには、<AutoReconnect UserControllable="true">true</AutoReconnect> の ように、ユーザ制御アトリビュートを開始タグの中に挿入します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-53 第3章 AnyConnect クライアント機能の設定 Host Scan のインストール Host Scan のインストール ホストが VPN 接続を確立することによって発生するイントラネット感染の可能性を減らすには、Host Scan を設定して、AnyConnect セッションを確立する条件としてアンチウイルス、アンチスパイウェ ア、ファイアウォール ソフトウェア、および関連する定義ファイルの更新をダウンロードおよび チェックします。Host Scan は、Cisco Secure Desktop(CSD)に含まれています。CSD は AnyConnect と協調して動作しますが、別の製品であり、本書では扱いません。CSD の詳細と CSD の インストールについては、『Release Notes for Cisco Secure Desktop 』および『Cisco Secure Desktop Configuration Guide for Cisco ASA 5500 Series Administrators』を参照してください。 サーバ リストの設定 プロファイルの主要な使用目的の 1 つは、ユーザが接続サーバをリストできるようにすることです。 ユーザは、適切なサーバを選択します。このサーバ リストは、ホスト名とホスト アドレスのペアで構 成されています。ホスト名は、ホストを参照するために使用するエイリアス、FQDN、または IP アド レスにできます。FQDN または IP アドレスを使用する場合、HostAddress 要素は必要ありません。接 続を確立するときに、ホスト アドレスが指定されていれば、そのアドレスを接続アドレスとして使用 します。これによって、エイリアスまたはその他の名前をホスト名として使用できます。名前は、ネッ トワーク アドレス指定可能なホストに直接結び付ける必要はありません。ホスト アドレスが指定され ていない場合は、ホスト名に接続しようと試みます。 サーバ リストの定義の一部として、デフォルト サーバを指定できます。このデフォルト サーバは、ク ライアントを使用してユーザが初めて接続を試行するときなどに指定されます。ユーザがデフォルト以 外のサーバに接続すると、このユーザに関して、選択されたサーバが新しいデフォルトになります。 ユーザの選択によって、プロファイルの内容が変わることはありません。ユーザの選択は、ユーザ プ リファレンスに入力されます。 AnyConnect クライアントがエンドポイントに自動的にダウンロードする、AnyConnectProfile.tmpl と いう名前の AnyConnect プロファイルの例を参照してください。 表 3-20 に、ServerList パラメータとその値を示します。この表では、参照するタグの名前を太字で示 してあります。これらの例中の値は、説明のためだけに使用されます。実際の設定には使用しないでく ださい。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-54 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 サーバ リストの設定 表 3-20 サーバ リスト パラメータ XML タグ名 ServerList 可能な値 説明 例 該当なし グループ ID。 <ServerList> <HostEntry> <HostName>ASA-01</HostName> <HostAddress>cvc-asa01.cisco.com </HostAddress> </HostEntry> <HostEntry> <HostName>ASA-02</HostName> <HostAddress>cvc-asa02.cisco.com </HostAddress> <UserGroup>StandardUser</UserGroup> <BackupServerList> <HostAddress>cvc-asa03.cisco.com </BackupServerList> </HostEntry> </ServerList> HostEntry 該当なし <ServerList> グループ ID。 <HostEntry> ServerList の子パラ <HostName>ASA-01</HostName> メータ。特定のホスト <HostAddress>cvc-asa01.cisco.com への接続を試行するた </HostAddress> </HostEntry> めに必要なデータです。 <HostEntry> <HostName>ASA-02</HostName> <HostAddress>cvc-asa02.cisco.com </HostAddress> <UserGroup>StandardUser</UserGroup> <BackupServerList> <HostAddress>cvc-asa03.cisco.com </BackupServerList> </HostEntry> </ServerList> HostName An alias used to refer to the host or an FQDN or IP address. If this is an FQDN or IP address, a HostAddress is not required. HostEntry グループの HostName パラメータ <ServerList> <HostEntry> <HostName>ASA-01</HostName> は、サーバ リスト内で <HostAddress>cvc-asa01.cisco.com ホスト名を指定します。 </HostAddress> </HostEntry> FQDN または IP アドレ <HostEntry> スを使用する場合、 <HostName>ASA-02</HostName> HostAddress は必要あ <HostAddress>cvc-asa02.cisco.com りません。 </HostAddress> <UserGroup>StandardUser</UserGroup> <BackupServerList> <HostAddress>cvc-asa03.cisco.com </BackupServerList> </HostEntry> </ServerList> Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-55 第3章 AnyConnect クライアント機能の設定 DNS フォールバックの分割 表 3-20 XML タグ名 HostAddress UserGroup サーバ リスト パラメータ (続き) 可能な値 説明 例 An IP address or Full-Qualified Domain Name (FQDN) used to refer to the host. If HostName is an FQDN or IP address, a HostAddress is not required. グループ ID。 <ServerList> <HostEntry> <HostName>ASA-01</HostName> <HostAddress>cvc-asa01.cisco.com </HostAddress> </HostEntry> <HostEntry> <HostName>ASA-02</HostName> <HostAddress>cvc-asa02.cisco.com </HostAddress> <UserGroup>StandardUser</UserGroup> <BackupServerList> <HostAddress>cvc-asa03.cisco.com </HostAddress> </BackupServerList> </HostEntry> </ServerList> The tunnel group to use when connecting to the specified host. This parameter is optional. ServerList グループの UserGroup パラメータ CertificateMatch の子 パラメータ。これらの アトリビュートを使用 して、受け入れ可能な クライアント証明書を 選択します。 <ServerList> <HostEntry> <HostName>ASA-01</HostName> がある場合、このパラ <HostAddress>cvc-asa01.cisco.com メータは、 </HostAddress> </HostEntry> HostAddress と組み合 <HostEntry> せてグループ ベースの <HostName>ASA-02</HostName> URL を形成するために <HostAddress>cvc-asa02.cisco.com 使用されます。 </HostAddress> <UserGroup>StandardUser</UserGroup> (注) グループ ベース <BackupServerList> の URL をサ <HostAddress>cvc-asa03.cisco.com ポートするに </HostAddress> は、ASA バー </BackupServerList> </HostEntry> ジョン 8.0.3 以 </ServerList> 降が必要です。 DNS フォールバックの分割 セキュリティ アプライアンスのグループ ポリシーで、トンネル処理するドメインの名前が指定されて いる場合、AnyConnect クライアントは、そのドメインと一致する DNS クエリーだけをトンネル処理 します。その他の DNS クエリーはすべて拒否されます。DNS リゾルバはクライアントから拒否を受信 すると、今度は AnyConnect クライアントではなくパブリック インターフェイスを使用して再試行し ます。 この機能には、次のことが必要です。 • 少なくとも 1 台の DNS サーバが設定されている。 • スプリット トンネリングがイネーブルになっている。 この機能を使用するには、セキュリティ アプライアンスへの ASDM 接続を確立し、[ 設定 (Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クライアン ト)アクセス(Network (Client) Access)] > [ グループ ポリシー(Group Policies)] > [ 追加(Add)] または [ 編集(Edit)] > [ 詳細(Advanced)] > [ スプリット トンネリング(Split Tunneling)] の順に 選択して、[DNS 名(DNS Names)] テキスト ボックスにトンネル処理するドメインの名前を入力しま す。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-56 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 スクリプト化 スクリプト化 AnyConnect では、次のイベントが発生したときに、スクリプトをダウンロードして実行できます。 • セキュリティ アプライアンスで新しい AnyConnect クライアント VPN セッションが確立された。 このイベントで起動されるスクリプトを OnConnect スクリプトと呼びます。スクリプトには、こ のファイル名プレフィクスが必要です。 • セキュリティ アプライアンスで AnyConnect クライアント VPN セッションがティアダウンされ た。このイベントで起動されるスクリプトを OnDisconnect スクリプトと呼びます。スクリプトに は、このファイル名プレフィクスが必要です。 これによって、Trusted Network Detection によって開始された新しい AnyConnect VPN セッションが 確立すると、OnConnect スクリプトが起動されます(このスクリプトを実行する要件が満たされてい る場合)。ネットワーク切断後に永続的な AnyConnect VPN セッションが再接続されても、OnConnect スクリプトは起動されません。 この機能の使用例としては、次のものがあります。 • VPN 接続時にグループ ポリシーを更新する。 • VPN 接続時にネットワーク ドライブをマッピングし、接続解除後にマッピングを解除する。 • VPN 接続時にサービスにログインし、接続解除後にログオフする。 ここでの説明は、スクリプトの作成方法と、ターゲット エンドポイントのコマンドラインからスクリ プトを実行し、テストする方法についての知識があることを前提としています。 (注) AnyConnect ソフトウェア ダウンロード サイトにいくつかのサンプル スクリプトがあります。これら を検討する場合は、単なる例であることに注意してください。実行に必要なローカル コンピュータの 要件を満たしていないことがあり、ネットワークおよびユーザのニーズに合わせてカスタマイズしなけ れば使用できないことがあります。シスコでは、サンプル スクリプトまたはユーザ作成スクリプトは サポートしていません。 スクリプトの要件と制限 AnyConnect では、最大 1 つの OnConnect スクリプトと最大 1 つの OnDisconnect スクリプトが実行 されますが、これらのスクリプトから別のスクリプトを起動できます。 AnyConnect では、スクリプトを特定の言語で作成する必要はありません。ただし、スクリプトを実行 可能なアプリケーションが、クライアント コンピュータにインストールされている必要があります。 AnyConnect でスクリプトを起動するには、このスクリプトがコマンドラインから実行可能になってい る必要があります。 (注) ソフトウェア ダウンロード サイトにいくつかのサンプル スクリプトがあります。これらを検討する場 合は、単なる例であることに注意してください。実行に必要なローカル コンピュータの要件を満たし ていないことがあり、ネットワークおよびユーザのニーズに合わせてカスタマイズしなければ使用でき ないことがあります。 AnyConnect がサポートするすべての Microsoft Windows、Mac OS X、および Linux OS で、スクリ プトの起動がサポートされます。Microsoft Windows Mobile では、スクリプト言語のネイティブ サ ポートはありませんが、AnyConnect スクリプト ファイル名プレフィクスとディレクトリ要件を使用し てコンパイルすれば、OnConnect アプリケーションと OnDisconnect アプリケーションを作成して自動 的に実行できます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-57 第3章 AnyConnect クライアント機能の設定 スクリプト化 Microsoft Windows では、AnyConnect はユーザが Windows にログインして VPN セッションを確立し た後でないと、スクリプトを起動できません。そのため、ユーザのセキュリティ環境に関連する制限 が、これらのスクリプトに適用されます。スクリプトが実行できる機能は、ユーザが起動権限を持つ機 能に限られます。 AnyConnect は、WebLaunch の起動中およびスタンドアロン起動中でのスクリプトの起動をサポート します。 デフォルトでは、AnyConnect はスクリプトを起動しません。AnyConnect プロファイルの EnableScripting パラメータを使用して、スクリプトをイネーブルにしてください。AnyConnect では、 スクリプトは必須ではありません。 クライアント GUI を終了しても、必ずしも VPN セッションは終了されません。OnDisconnect スクリ プトは、セッションが終了した後で実行されます。 その他の要件は、次の項で示すように適用されます。 スクリプトの作成、テスト、および展開 AnyConnect スクリプトの展開方法を、次に示します。 ステップ 1 AnyConnect がスクリプトを起動するときにスクリプトが実行される OS タイプを使用して、スクリプ トを作成およびテストします。 (注) ステップ 2 Microsoft Windows コンピュータで作成されたスクリプトの行末コードは、Mac OS および Linux で作成されたスクリプトの行末コードと異なっています。そのため、ターゲット OS で スクリプトを作成し、テストする必要があります。ネイティブ OS のコマンドラインからスク リプトを正しく実行できない場合は、AnyConnect でも正しく実行できません。 次のいずれかを実行して、スクリプトを展開します。 • バイナリ AnyConnect カスタマイゼーションを使用して、セキュリティ アプライアンスからスク リプトを展開します。 (注) Microsoft Windows Mobile では、このオプションはサポートされません。手動でスクリプ トを展開する必要があります。 バイナリ AnyConnect カスタマイゼーションを使用してスクリプトを展開する場合は、スクリプト またはアプリケーションのファイル名に、次のプレフィクスが必要です。 – scripts_OnConnect – scripts_OnDisconnect AnyConnect は scripts_ プレフィクスを使用して、ファイルをスクリプトとして識別し、VPN エ ンドポイントの適切なターゲット ディレクトリに書き込みます。このとき、scripts_ プレフィク スが削除され、OnConnect または OnDisconnect プレフィクスが残ります。 スクリプトの実行の信頼性を確保するために、すべてのセキュリティ アプライアンスで同じスク リプトを展開するように設定します。スクリプトを修正または置換する場合は、前のバージョンと 同じ名前を使用し、ユーザが接続する可能性のあるすべてのセキュリティ アプライアンスに置換 スクリプトを割り当てる必要があります。ユーザが接続すると、新しいスクリプトで同じ名前のス クリプトが上書きされます。 • または、スクリプトを実行する VPN エンドポイントに、スクリプトを手動で転送します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-58 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 スクリプト化 この方式を使用する場合は、次のファイル名プレフィクスを使用します。 – OnConnect – OnDisconnect 表 3-21 に示すディレクトリに、スクリプトをインストールします。 表 3-21 スクリプトの場所の要件 OS ディレクトリ Microsoft Windows 7 および Vista %ALLUSERPROFILE%\Cisco\Cisco AnyConnect VPN Client\Scripts Microsoft Windows XP %ALLUSERPROFILE%\Application Data\Cisco\Cisco AnyConnect VPN Client\ Scripts Linux /opt/cisco/vpn/scripts (Linux では、User、Group、 Other にファイルの実行権限を 割り当てます) Mac OS X /opt/cisco/vpn/scripts Windows Mobile %PROGRAMFILES%\Cisco AnyConnect VPN Client\Scripts スクリプト用の AnyConnect プロファイルの設定 スクリプトをイネーブルにするには、AnyConnect プロファイルに EnableScripting パラメータを挿入 する必要があります。表 3-22 に、AnyConnect プロファイルに挿入できるスクリプト パラメータを示 します。例は、表の後にあります。 表 3-22 スクリプト パラメータ 名前 可能な値と説明 EnableScripting true:OnConnect スクリプトおよび OnDisconnect スクリプトがあれば、起動します。 false:(デフォルト)スクリプトを起動しません。 UserControllable 注:このパラメータを使用する場合は、この表の下の例 3 で示すように、 EnableScripting タグの中に組み込む必要があります。 次の値が可能です。 • true:ユーザが OnConnect スクリプトおよび OnDisconnect スクリプトの実行を、 イネーブルまたはディセーブルにできます。 • false:(デフォルト)ユーザがスクリプト機能を制御できません。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-59 第3章 AnyConnect クライアント機能の設定 スクリプト化 表 3-22 スクリプト パラメータ (続き) TerminateScriptOnNextEvent このパラメータが意味を持つのは、EnableScripting が true に設定されている場合だけで す。 注:このパラメータを使用する場合は、この表の下の例 3 で示すように、 EnableScripting タグの中に組み込む必要があります。 次の値が可能です。 • true:別のスクリプト処理可能なイベントへの移行が発生した場合に、実行中のスク リプト プロセスを終了します。たとえば、VPN セッションが終了すると、 AnyConnect は実行中の OnConnect スクリプトを終了します。AnyConnect が新し い VPN セッションを開始すると、実行中の OnDisconnect スクリプトを終了しま す。Microsoft Windows では、AnyConnect は OnConnect スクリプトまたは OnDisconnect スクリプトが起動した任意のスクリプトと、そのすべての従属スクリ プトも終了します。Mac OS および Linux では、AnyConnect は OnConnect スクリ プトまたは OnDisconnect スクリプトだけを終了し、子スクリプトは終了しません。 • false:(デフォルト)別のスクリプト処理可能なイベントへの移行が発生しても、ス クリプト プロセスを終了しません。 EnablePostSBLOnConnectScript このパラメータが意味を持つのは、EnableScripting が true に設定されていて、VPN エ ンドポイントで Microsoft Windows 7、XP、または Vista が実行されている場合だけで す。 注:このパラメータを使用する場合は、この表の下の例 3 で示すように、 EnableScripting タグの中に組み込む必要があります。 次の値が可能です。 • false:SBL が VPN セッションを確立したときに、OnConnect スクリプトを起動し ません。 • true:(デフォルト)SBL が VPN セッションを確立したときに、OnConnect スクリ プトを起動します。 これらのパラメータは、AnyConnect プロファイルの ClientInitialization セクションの任意の場所 に挿入します。 例 2 この例では、スクリプトをイネーブルにし、その他のスクリプト パラメータにはデフォルト値を使用 します。 <ClientInitialization> <EnableScripting>true</EnableScripting> </ClientInitialization> 例 3 この例では、スクリプトをイネーブルにし、その他のスクリプト パラメータのデフォルト値を上書き します。 <ClientInitialization> <EnableScripting UserControllable="true">true <TerminateScriptOnNextEvent>true</TerminateScriptOnNextEvent> Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-60 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 スクリプト化 <EnablePostSBLOnConnectScript>false</EnablePostSBLOnConnectScript> </EnableScripting> </ClientInitialization> (注) AnyConnect プロファイルをセキュリティ アプライアンスのグループ ポリシーに追加して、VPN エン ドポイントに必ずダウンロードしてください。 スクリプトのトラブルシューティング スクリプトの実行に失敗した場合は、次のようにして問題を解決してください。 ステップ 1 スクリプトに、OnConnect または OnDisconnect のプレフィクス名が付いていることを確認します。 表 3-22 に、各 OS のスクリプト ディレクトリの要件を示してあります。 ステップ 2 スクリプトをコマンドラインから実行してみます。コマンドラインから実行できないスクリプトは、 AnyConnect でも実行できません。コマンドラインでスクリプトの実行に失敗する場合は、スクリプト を実行するアプリケーションがインストールされていることを確認して、その OS でスクリプトを作成 し直してください。 ステップ 3 VPN エンドポイントのスクリプト ディレクトリに、1 つの OnConnect スクリプトと 1 つの OnDisconnect スクリプトだけがあることを確認します。最初のセキュリティ アプライアンスが 1 つの OnConnect スクリプトをダウンロードし、その後の接続で次のセキュリティ アプライアンスが別の ファイル名拡張子を持つ OnConnect スクリプトをダウンロードすると、AnyConnect で予期しないス クリプトが実行される可能性があります。スクリプト パスに複数の OnConnect スクリプトまたは OnDisconnect スクリプトがあり、バイナリ AnyConnect カスタマイゼーションを使用してスクリプト を展開している場合は、スクリプト ディレクトリの内容を削除し、AnyConnect VPN セッションを再 確立してください。スクリプト パスに複数の OnConnect スクリプトまたは OnDisconnect スクリプト があり、手動展開を使用している場合は、不要なスクリプトを削除し、AnyConnect VPN セッション を再確立してください。 ステップ 4 OS が Linux の場合は、スクリプト ファイルに実行権限が設定されていることを確認します。 ステップ 5 AnyConnect プロファイルに EnableScripting パラメータが含まれていて、true に設定されていること を確認します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-61 第3章 AnyConnect クライアント機能の設定 プロキシ サポート プロキシ サポート ここでは、プロキシ サポート拡張機能の使用方法について説明します。 プロキシの無視 この機能では、ユーザの PC で設定されている Internet Explorer のプロキシ設定をバイパスするよう に、AnyConnect プロファイルのポリシーを指定できます。これは、プロキシ設定によってユーザが企 業ネットワークの外部からトンネルを確立できない場合に役立ちます。 プロキシの無視をイネーブルにするには、次の行を AnyConnect プロファイルの <ClientInitialization> セクションに挿入してください。 <ProxySettings>IgnoreProxy</ProxySettings> (注) 現在、AnyConnect では、IgnoreProxy 設定だけがサポートされます。XML スキーマ (AnyConnectProfile.xsd)の <ClientInitialization> セクションの新しい ProxySettings セクションにあ る Native および Override 設定はサポートされません。 Mac/Safari のプライベート プロキシ AnyConnect は、トンネルが確立された後、グループ ポリシーで設定されているプロキシ設定を Safari ブラウザにダウンロードします。VPN セッションが終了すると、設定は元の状態に復元されます。 プロキシ設定にアクセスするには、セキュリティ アプライアンスで ASDM セッションを確立し、[ 設 定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クライア ント)アクセス(Network (Client) Access)] > [ グループ ポリシー(Group Policies)] > [ 追加(Add)] または [ 編集(Edit)] > [ 詳細(Advanced)] > [IE ブラウザのプロキシ(IE Browser Proxy)] の順に 選択します。このウィンドウで設定したプロキシ サービスが、Internet Explorer と Safari の両方に適 用されます。プロキシを使用しないパラメータがイネーブルの場合、セッションの間、Safari からプロ キシ設定が削除されます。 Internet Explorer の接続タブのロック ある条件下では、AnyConnect によって Internet Explorer の [ ツール(Tools)] > [ インターネット オ プション(Internet Options)] > [ 接続(Connections)] タブが非表示にされます。このタブが表示さ れていると、ユーザがプロキシ情報を設定できます。このタブを非表示にすると、ユーザが意図的また は偶発的にトンネルを迂回することを防止できます。タブのロックは接続解除すると反転され、このタ ブに関する管理者定義のポリシーの方が優先されます。このロックは、次のいずれかの条件で行われま す。 • セキュリティ アプライアンスの設定で、プライベート側プロキシが指定されている。 • AnyConnect が、Internet Explorer で定義されたパブリック側プロキシを使用してトンネルを確立 する。この場合は、セキュリティ アプライアンスのスプリット トンネリング ポリシーが Tunnel All Networks に設定されている必要があります。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-62 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 Windows ユーザのための、RDP セッションからの AnyConnect セッションの許可 クライアントレス サポートのためのプロキシ自動設定ファイルの生成 いくつかのバージョンのセキュリティ アプライアンスでは、AnyConnect セッションが確立された後 も、プロキシ サーバを経由するクライアントレス ポータル アクセスを許可するために、追加の AnyConnect 設定が必要です。AnyConnect はこの設定が行われるよう、プロキシ自動設定(PAC) ファイルを使用してクライアント側プロキシ設定を修正します。AnyConnect でこのファイルが生成さ れるのは、ASA でプライベート側プロキシ設定が指定されていない場合だけです。 Windows ユーザのための、RDP セッションからの AnyConnect セッションの許可 環境によっては、Windows リモート デスクトップを使用してクライアント PC にログインし、Remote Desktop(RDP; リモート デスクトップ)セッションの中からセキュア ゲートウェイへの VPN 接続を 開始する必要があります。この機能を利用すると、RDP セッションから VPN セッションを確立できま す。この機能が正しく動作するには、スプリット トンネリング VPN 設定が必要です。スプリット ト ンネリングの詳細については、『Cisco ASDM User Guide』または『Cisco ASA 5500 Series Command Line Configuration Guide Using the CLI』を参照してください。 デフォルトでは、他のローカル ユーザがログインしていないときだけ、ローカルにログインしたユー ザが VPN 接続を確立できます。ユーザがログアウトすると、VPN 接続は終了します。VPN 接続中に 別のローカル ログインが行われると、接続は切断されます。VPN 接続中のリモート ログインおよびロ グアウトは制限されません。 (注) この機能を使用すると、AnyConnect クライアントは、VPN 接続を確立したユーザがログオフしたと きに、その VPN 接続を接続解除します。接続がリモート ユーザによって確立されていた場合、そのリ モート ユーザがログオフすると、VPN 接続は終了します。 AnyConnect プロファイル設定によって、接続の確立時および接続中の Windows ログオンの処理方法 が決まります。これらのプリファレンスを設定できるのは、ネットワーク管理者だけです。この設定に よって、RDP セッションから VPN 接続を確立できるように、ユーザがクライアントを設定できます。 この機能を使用しても、エンド ユーザに対する AnyConnect クライアント GUI の表示は変更されませ ん。表 3-23 に、プリファレンスを示します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-63 第3章 AnyConnect クライアント機能の設定 AnyConnect over L2TP または PPTP 表 3-23 Windows ログイン プリファレンス 可能な値(太字はデフォルト) XML タグ名 WindowsLogonEnforcement SingleLocalLogon:VPN 接続の全体で、ログインできるローカル ユーザは 1 人だけです。 この設定では、ローカル ユーザは 1 人以上のリモート ユーザがクライアント PC にログイン している間に VPN 接続を確立できますが、VPN 接続が排他的トンネリング用に設定されて いる場合は、VPN 接続のクライアント PC ルーティング テーブルが変更されるため、リモー ト ログインは接続解除されます。VPN 接続がスプリット トンネリング用に設定されている 場合、リモート ログインが接続解除されるかどうかは、VPN 接続のルーティング設定によっ て決まります。VPN 接続による企業ネットワークからのリモート ユーザ ログインに対して、 SingleLocalLogin 設定は影響を与えません。 SingleLogon:VPN 接続の全体で、ログインできるユーザは 1 人だけです。VPN 接続の確立 時に、ローカルまたはリモートで複数のユーザがログインしている場合、接続は許可されま せん。VPN 接続中にローカルまたはリモートで第 2 のユーザがログインすると、VPN 接続 が終了します。 SingleLogon に設定した場合、VPN 接続中に追加のログインが許可されません。そのため、 VPN 接続によるリモート ログインは不可能です。 WindowsVPNEstablishment クライアント PC にリモート ログインしたユーザが VPN 接続を確立したときの、 AnyConnect クライアントの動作を決定します。次の値が可能です。 • LocalUsersOnly:リモート ログインしたユーザは、VPN 接続を確立できません。これ は、以前のバージョンの AnyConnect クライアントと同じ機能です。 • AllowRemoteUsers:リモート ユーザが VPN 接続を確立できます。ただし、設定された VPN 接続ルーティングによってリモート ユーザが接続解除された場合、リモート ユー ザがクライアント PC に再アクセスできるように、VPN 接続が終了します。 リモート ユーザが VPN 接続を終了せずにリモート ログイン セッションを接続解除する には、VPN を確立した後、90 秒間待つ必要があります。 現在、Vista では Start Before Logon(SBL)中に WindowsVPNEstablishment プロファイル 設定が適用されません。AnyConnect クライアントは、VPN 接続を確立したのがログイン前 のリモート ユーザかどうかを判別しません。そのため、WindowsVPNEstablishment 設定が LocalUsersOnly でも、リモート ユーザが SBL で VPN 接続を確立できます。 AnyConnect over L2TP または PPTP イスラエルなど一部の国の ISP では、L2TP および PPTP トンネリング プロトコルのサポートが必要で す。 セキュア ゲートウェイを宛先としたトラフィックを PPP 接続上で送信するため、AnyConnect は外部 トンネルが生成したポイントツーポイント アダプタを使用します。PPP 接続上で VPN トンネルを確立 するときに、AnyConnect は ASA よりも先を宛先としてトンネリングされたトラフィックから、この ASA に宛てられたトラフィックを除外する必要があります。除外ルートを決定するかどうか、および 決定する方法を指定するには、PPPExclusion 設定オプションを使用します。 除外ルートは、セキュアでないルートとして AnyConnect GUI の [ ルート詳細(Route Details)] 画面 に表示されます。 次の項で、PPP 除外の設定方法について説明します。 • 「AnyConnect over L2TP または PPTP の設定」 • 「ユーザによる PPP 除外の上書き」 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-64 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 AnyConnect over L2TP または PPTP AnyConnect over L2TP または PPTP の設定 デフォルトで、PPP 除外はディセーブルです。PPP 除外をイネーブルにするには、太字で示した PPPExclusion 行を AnyConnect プロファイル(anyfilename.xml)の <ClientInitialization> セクション に挿入してください。 <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd"> <ClientInitialization> <PPPExclusion UserControllable="true">Automatic</PPPExclusion> </ClientInitialization> <ServerList> <HostEntry> <HostName>DomainNameofASA</HostName> <HostAddress>IPaddressOfASA</HostAddress> </HostEntry> </ServerList> </AnyConnectProfile> PPPExclusion UserControllable 値が true の場合、ユーザが PPP 除外設定を表示および変更できます。 ユーザが PPP 除外設定を表示および変更できないようにするには、false に変更します。 AnyConnect は、次の PPPExclusion 値をサポートします。 • Automatic:PPP 除外をイネーブルにします。AnyConnect は、PPP サーバの IP アドレスを自動的 に使用します。自動検出による IP アドレスの取得に失敗するときにだけこの値を変更するよう、 ユーザに指示してください。 • Override:これも、PPP 除外をイネーブルにします。自動検出で PPP サーバの IP アドレスを取得 できず、PPPExclusion UserControllable 値が true である場合は、次の項の説明に従ってこの設定 を使用するよう、ユーザに指示してください。 • Disabled:PPP 除外を適用しません。 PPP 除外に使用するセキュリティ アプライアンスの IP アドレスをユーザが表示および変更できるよう にするには、次の太字で示すように、UserControllable 値を true に設定して PPPExclusionServerIP タ グを追加します。 <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/AnyConnectProfile.xsd"> <ClientInitialization> <PPPExclusion UserControllable="true">Automatic</PPPExclusion> <PPPExclusionServerIP UserControllable="true"></PPPExclusionServerIP> </ClientInitialization> <ServerList> <HostEntry> <HostName>SecureGatewayName</HostName> <HostAddress>SecureGatewayName.domain</HostAddress> </HostEntry> </ServerList> </AnyConnectProfile> Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-65 第3章 AnyConnect クライアント機能の設定 AnyConnect over L2TP または PPTP ユーザによる PPP 除外の上書き 自動検出が機能せず、PPPExclusion UserControllable 値が true になっている場合は、次の手順に従っ て手動で PPP 除外を上書きするよう、ユーザに指示してください。 ステップ 1 メモ帳などのエディタを使用して、プリファレンス XML ファイルを開きます。 このファイルは、ユーザのコンピュータ上で次のいずれかのパスにあります。 • Windows:%LOCAL_APPDATA%\Cisco\Cisco AnyConnect VPN Client\preferences.xml。例を示 します。 – Windows Vista:C:¥Users¥username¥AppData¥Local¥Cisco¥Cisco AnyConnect VPN Client¥preferences.xml – Windows XP:C:¥Documents and Settings¥username¥Local Settings¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥preferences.xml • Mac OS X:/Users/username/.anyconnect • Linux:/home/username/.anyconnect ステップ 2 PPPExclusion の詳細を <ControllablePreferences> の下に挿入して、Override 値と PPP サーバの IP アドレスを指定します。アドレスは、完全な形式の IPv4 アドレスにする必要があります。次の例を参 考にしてください。 <AnyConnectPreferences> <ControllablePreferences> <PPPExclusion>Override <PPPExclusionServerIP>192.168.22.44</PPPExclusionServerIP></PPPExclusion> </ControllablePreferences> </AnyConnectPreferences> ステップ 3 ファイルを保存します。 ステップ 4 AnyConnect を終了して、再起動します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-66 OL-20841-01-J 第3章 AnyConnect クライアント機能の設定 その他の AnyConnect プロファイル設定の構成 その他の AnyConnect プロファイル設定の構成 表 3-24 に、AnyConnect クライアント プロファイル(.xml ファイル)の ClientInitialization セクショ ンに挿入できる、その他のパラメータのデフォルト値および可能な値を示します。 表 3-24 その他の AnyConnect クライアント初期設定タグ デフォルト値1 可能な値2 ユーザ制御可能3 デフォルトでユーザ 制御可能4 サポートされ る OS false true、false いいえ 該当なし すべて ShowPreConnectMessage false true、false いいえ 該当なし すべて MinimizeOnConnect true true、false はい はい すべて LocalLanAccess false true、false はい はい すべて AutoUpdate true いいえ すべて Automatic true、false Automatic はい RSASecurIDIntegration5 はい いいえ Windows XML タグ名 CertificateStoreOverride SoftwareToken HardwareToken 1. プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。 2. <CertificateStoreOverride>true</CertificateStoreOverride> のように、開始タグと終了タグの間にパラメータ値を挿入し ます。 3. パラメータがユーザ制御をサポートしていない場合、Anyconnect は usercontrollable="true" 文字列を無視します。 4. ユーザ制御アトリビュートに関連付けられた値に応じて [AnyConnect プリファレンス(AnyConnect Preferences)] ダイアログボックス にパラメータ値が表示され、これらの値を変更できます。ユーザ制御アトリビュートはオプションです。挿入しなかった場合、 AnyConnect はデフォルト値を使用します。ユーザ制御を許可または拒否するには、 <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> のように、ユーザ制御アトリビュートを開始 タグの中に挿入します。 5. AnyConnect クライアントは、RSA SecurID ソフトウェアのバージョン 1.1 以降と互換性があります。今回のリリースでは、RSA SecurID Software Token クライアント ソフトウェアは、Windows Vista および 64 ビット システムをサポートしません。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 3-67 第3章 AnyConnect クライアント機能の設定 その他の AnyConnect プロファイル設定の構成 Cisco AnyConnect VPN Client アドミニストレータ ガイド 3-68 OL-20841-01-J C H A P T E R 4 その他の AnyConnect の管理要件の実現 この章では、次の方法について説明します。 • 「Microsoft Active Directory を使用して、ドメイン ユーザの Internet Explorer の信頼済みサイト リ ストにセキュリティ アプライアンスを追加する方法」(P.4-1) • 「AnyConnect クライアントおよび Cisco Secure Desktop を CSA と相互運用するための設定方法」 (P.4-2) Microsoft Active Directory を使用して、ドメイン ユーザ の Internet Explorer の信頼済みサイト リストにセキュリ ティ アプライアンスを追加する方法 Active Directory のドメイン管理者は、グループ ポリシーをドメイン ユーザにプッシュして、Internet Explorer の信頼済みサイトのリストにセキュリティ アプライアンスを追加できます。これは、個別の ユーザが信頼済みサイトのリストにセキュリティ アプライアンスを追加する手順とは異なります。こ の手順は、ドメイン管理者が管理している Windows マシンの Internet Explorer にのみ適用されます。 (注) Windows Vista を実行していて、WebLaunch を使用する予定のユーザは、セキュリティ アプライアン スを Internet Explorer の信頼済みサイトのリストに追加する必要があります。 Active Directory を使用して、グループ ポリシーによってセキュリティ アプライアンスを Internet Explorer の信頼済みサイト セキュリティ ゾーンに追加するポリシーを作成するには、次の手順を実行 します。 ステップ 1 Domain Admins グループのメンバーとしてログインします。 ステップ 2 [Active Directory ユーザーとコンピュータ MMC(Active Directory Users and Computers MMC)] ス ナップインを開きます。 ステップ 3 グループ ポリシー オブジェクトを作成するドメインまたは組織ユニットを右クリックして、[ プロパ ティ(Properties)] をクリックします。 ステップ 4 [ グループ ポリシー(Group Policy)] タブを選択して、[ 新規(New)] をクリックします。 ステップ 5 新しいグループ ポリシー オブジェクトの名前を入力して、Enter キーを押します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 4-1 第4章 AnyConnect クライアントおよび Cisco Secure Desktop を CSA と相互運用するための設定方法 その他の AnyConnect の管理要件の実現 ステップ 6 一部のユーザまたはグループにこの新しいポリシーが適用されないようにするには、[ プロパティ (Properties)] をクリックします。[ セキュリティ(Security)] タブを選択します。このポリシーを適 用しないユーザまたはグループを追加し、[ 許可(Allow)] カラムの [ 読み取り(Read)] チェック ボックスと [ グループ ポリシーの適用(Apply Group Policy )] チェックボックスをオフにします。 [OK] をクリックします。 ステップ 7 [ 編集(Edit)] をクリックして、[ ユーザーの構成(User Configuration)] > [ Windows の設定 (Windows Settings)] > [Internet Explorer のメンテナンス(Internet Explorer Maintenance)] > [ セ キュリティ(Security)] を選択します。 ステップ 8 右側のペインで [ セキュリティ ゾーンおよびコンテンツの規制(Security Zones and Content Ratings)] を右クリックし、[ プロパティ(Properties)] をクリックします。 ステップ 9 [ 現行のセキュリティ ゾーンとプライバシーの設定をインポートする(Import the current security zones and privacy settings)] を選択します。プロンプトが表示されたら、[ 続行(Continue)] をク リックします。 ステップ 10 [ 設定の変更(Modify Settings)] をクリックし、[ 信頼済みサイト(Trusted Sites)] を選択して、[ サ イト(Sites)] をクリックします。 ステップ 11 信頼済みサイトのリストに追加するセキュリティ アプライアンスの URL を入力し、[ 追加(Add)] を クリックします。 フォーマットは、ホスト名(https://vpn.mycompany.com)または IP アドレス(https://192.168.1.100) です。 完全一致(https://vpn.mycompany.com)を使用することも、ワイルドカード (https://*.mycompany.com)を使用することもできます。 ステップ 12 [ 閉じる(Close)] をクリックし、すべてのダイアログボックスが閉じるまで [OK] をクリックします。 ステップ 13 ドメインまたはフォレスト全体にポリシーが伝搬されるまで待ちます。 ステップ 14 [ インターネット オプション(Internet Options)] ウィンドウで [OK] をクリックします。 AnyConnect クライアントおよび Cisco Secure Desktop を CSA と相互運用するための設定方法 リモート ユーザに Cisco Security Agent(CSA)がインストールされている場合は、AnyConnect VPN Client および Cisco Secure Desktop をセキュリティ アプライアンスと相互運用できるように、CSA ポ リシーをリモート ユーザにインポートする必要があります。 そのためには、次の手順を実行します。 ステップ 1 AnyConnect クライアントおよび Cisco Secure Desktop の CSA ポリシーを取得します。次の場所から ファイルを取得できます。 • セキュリティ アプライアンスに同梱の CD • ASA 5500 シリーズ適応型セキュリティ アプライアンスのソフトウェア ダウンロード ページ (http://www.cisco.com/cgi-bin/tablebuild.pl/asa) ファイル名は、AnyConnect-CSA.zip および CSD-for-CSA-updates.zip です。 ステップ 2 .zip パッケージ ファイルから、.export ファイルを展開します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 4-2 OL-20841-01-J 第4章 その他の AnyConnect の管理要件の実現 AnyConnect クライアントおよび Cisco Secure Desktop を CSA と相互運用するための設定方法 ステップ 3 ステップ 4 ステップ 5 インポートする正しいバージョンの .export ファイルを選択します。CSA バージョン 5.2 以降の場合 は、バージョン 5.2 のエクスポート ファイルです。CSA バージョン 5.0 および 5.1 の場合は、5.x のエ クスポート ファイルです。 CSA Management Center の [ メンテナンス(Maintenance)] > [ エクスポート / インポート (Export/Import)] タブを使用して、ファイルをインポートします。 VPN ポリシーに新しいルール モジュールを追加して、ルールを生成します。 詳細については、CSA のマニュアル『Using Management Center for Cisco Security Agents 5.2』を参 照してください。ポリシーのエクスポートに関する情報は、 「Exporting and Importing Configurations」 の項にあります。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 4-3 第4章 AnyConnect クライアントおよび Cisco Secure Desktop を CSA と相互運用するための設定方法 その他の AnyConnect の管理要件の実現 Cisco AnyConnect VPN Client アドミニストレータ ガイド 4-4 OL-20841-01-J C H A P T E R 5 認証の管理 この章では、次のテーマおよびタスクについて説明します。 • 「SDI トークン(SoftID)の統合」(P.5-1) • 「ネイティブ SDI と RADIUS SDI の比較」(P.5-1) • 「SDI 認証の使用」(P.5-2) • 「RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持」(P.5-7) SDI トークン(SoftID)の統合 Cisco AnyConnect VPN Client のリリース 2.1 以降では、Windows XP および Windows 2000 プラット フォームで動作する RSA SecurID クライアント ソフトウェアのサポートを統合します。このサポート により、IT 管理者は強力な認証を行いながら業務を容易に遂行できるようになります。RSA SecurID ソフトウェア オーセンティケータは、企業の資産へのセキュアなアクセスのために必要となる管理項 目数を減らします。リモート デバイスに常駐する RSA SecurID Software Token は、1 回限定で使用可 能なパスコードを 60 秒ごとにランダムに生成します。SDI は Security Dynamics 社製テクノロジーの 略称で、ハードウェアとソフトウェアの両方のトークンを使用する、この 1 回限定利用のパスワード生 成テクノロジーを意味します。 (注) AnyConnect クライアントは、RSA SecurID ソフトウェアのバージョン 1.1 以降と互換性があります。 今回のリリースでは、RSA SecurID Software Token クライアント ソフトウェアは、Windows Vista お よび 64 ビット システムをサポートしません。また、AnyConnect クライアントは、RSA Software Token クライアント ソフトウェアにインポートされた複数のトークンから選択する機能はサポートし ていません。その代わりに、AnyConnect クライアントは RSA SecurID Software Token GUI を介して デフォルト選択のトークンを使用します。 ネイティブ SDI と RADIUS SDI の比較 ネットワーク管理者は、SDI 認証を可能にするセキュア ゲートウェイを次のいずれかのモードで設定 することができます。 • ネイティブ SDI:SDI サーバと直接通信して SDI 認証を処理できるセキュア ゲートウェイのネイ ティブ機能です。 • RADIUS SDI:RADIUS SDI プロキシを使用して SDI サーバと通信することで SDI 認証を行うセ キュア ゲートウェイのプロセスです。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 5-1 第5章 認証の管理 SDI 認証の使用 リリース 2.1 以降では、後述の場合を除いて、リモート ユーザからネイティブ SDI と RADIUS SDI を 区別できません。SDI メッセージは SDI サーバ上で設定が可能なため、(P.5-10)上のメッセージ テキ スト(セキュリティ アプライアンスを参照)は、SDI サーバ上のメッセージ テキストに一致する必要 があります。一致しないと、リモート クライアント ユーザに表示されるプロンプトが、認証中に必要 なアクションとして適切でない場合があります。この場合、AnyConnect クライアントが応答できずに 認証が失敗する場合があります。 RADIUS SDI の身分証明要求は、少数の例外はありますが、基本的にはミラー ネイティブの SDI 交換 です。両者とも最終的には SDI サーバと通信するため、クライアントから必要な情報と要求される情 報の順序は同じです。明記した場合を除き、ここでは今後、ネイティブ SDI について説明します。 RADIUS SDI 認証を行うリモート ユーザが AnyConnect VPN クライアントでセキュリティ アプライ アンスに接続し、RSA SecurID トークンを使用して認証を試みると、セキュリティ アプライアンスは RADIUS サーバと通信し、次にこのサーバは認証について SDI サーバと通信します。 AnyConnect クライアントとの互換性が保持される ASA 設定の詳細については、「RADIUS/SDI プロ キシと AnyConnect クライアントの互換性の保持」(P.5-7)を参照してください。 SDI 認証の使用 ログイン(身分証明要求)ダイアログボックスは、ユーザが属するトンネル グループに設定されてい る認証タイプと一致しています。ログイン ダイアログボックスの入力フィールドには、どのような種 類の入力が認証に必要か明確に示されます。ユーザ名 / パスワードによる認証を行うユーザには、 図 5-1 のようなダイアログボックスが表示されます。 図 5-1 ユーザ名 / パスワードを入力する認証用ダイアログボックス Cisco AnyConnect VPN Client アドミニストレータ ガイド 5-2 OL-20841-01-J 第5章 認証の管理 SDI 認証の使用 SDI 認証では、リモート ユーザは AnyConnect クライアント ソフトウェア インターフェイスに 個人識 別番号(PIN)を入力して RSA SecurID パスコードを受け取ります。セキュアなアプリケーションに パスコードを入力すると、RSA Authentication Manager がこのパスコードを確認してユーザにアクセ スを許可します。 RSA SecurID ハードウェアまたはソフトウェアのトークンを使用するユーザには、パスコードまたは PIN を入力する入力フィールドが表示されます。ダイアログボックス下部のステータス行には、さらに この点に関連する情報が表示されます。ユーザは、ソフトウェア トークンの PIN またはパスコードを AnyConnect ユーザ インターフェイスに直接入力します。図 5-2(P.5-3)を参照してください。 図 5-2 PIN およびパスコードを入力するダイアログボックス 最初に表示されるログイン ダイアログボックスの外観は、セキュア ゲートウェイの設定によって異な ります。セキュア ゲートウェイには、メインのログイン ページからメインのインデックス URL を指 定するか、トンネルグループのログイン ページからトンネルグループの URL(URL/ トンネルグルー プ)を指定する 2 通りの方法でアクセスできます。メインのログイン ページからセキュア ゲートウェ イにアクセスするには、セキュア ゲートウェイの [SSL VPN 接続プロファイル(SSL VPN Connection Profiles)] で [ ユーザに接続選択を許可する(Allow user to select connection)] チェックボックスを オンにする必要があります。いずれの方法でも、ゲートウェイはクライアントにログイン ページを送 信します。メインのログイン ページにはドロップダウン ボックスがあり、ここからトンネル グループ を選択します。トンネルグループ ログイン ページにはこの表示はありません。トンネルグループは URL で指定されるためです。 メインのログイン ページでログイン(ドロップダウンのトンネルグループ リストを使用)する場合、 デフォルトのトンネル グループの認証タイプによって、最初に設定するパスワード入力フィールドの ラベルが決まります。たとえば、デフォルトのトンネル グループは SDI 認証を使用するため、フィー ルドのラベルは [ パスコード(Passcode)] ですが、認証タイプが NTLM の場合、フィールド ラベル は [ パスワード(Password)] になります。リリース 2.1 以降では、ユーザが別のトンネル グループを 選択してもフィールド ラベルはダイナミックには更新されません。トンネルグループのログイン ペー ジでは、フィールド ラベルはトンネルグループの要件に一致します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 5-3 第5章 認証の管理 SDI 認証の使用 クライアントは、パスワード入力フィールドへの RSA SecurID Software Token の PIN の入力をサポー トします。RSA SecurID Software Token ソフトウェアがインストール済みでトンネルグループの認証 タイプが SDI の場合、フィールド ラベルは [ パスコード( Passcode )] となり、ステータス バーには [ ユーザ名と、パスコードまたはソフトウェア トークン PIN を入力してください(Enter a username and passcode or software token PIN.)] と表示されます。PIN を入力すると、同じトンネル グループお よびユーザ名で行う次回のログインからは、ラベルが [PIN] のフィールドが表示されます。クライアン トは、入力された PIN を使用して RSA SecurID Software Token DLL からパスコードを取得します。 認証が成功するたびにクライアントはトンネル グループ、ユーザ名、認証タイプを保存し、保存され たトンネル グループが新たにデフォルトのトンネル グループとなります。 AnyConnect クライアントはすべての SDI 認証のパスコードを受け入れます。パスワード入力ラベルが [PIN] の場合でも、ユーザはステータス バーの指示どおりにパスコードを入力することができます。ク ライアントは、セキュア ゲートウェイにパスコードをそのまま送信します。パスコードを使用すると、 同じトンネル グループおよびユーザ名で行う次回のログインからは、ラベルが [ パスコード (Passcode)] のフィールドが表示されます。 SDI 認証交換のカテゴリ すべての SDI 認証交換は次のいずれかのカテゴリに分類されます。 • 通常の SDI 認証ログイン • 通常ログイン身分証明要求 • 新規ユーザ モード • 新規 PIN モード • PIN クリア モード • 次のトークン コード モード 通常の SDI 認証ログイン 通常ログイン身分証明要求は、常に最初の身分証明要求です。SDI 認証ユーザは、ユーザ名およびトー クン パスコード(ソフトウェア トークンの場合は PIN)を、ユーザ名とパスコードまたは PIN フィー ルドにそれぞれ指定する必要があります。クライアントはユーザの入力に応じてセキュア ゲートウェ イ(中央サイトのデバイス)に情報を返し、セキュア ゲートウェイはこの認証を認証サーバ(SDI ま たは RADIUS プロキシ経由の SDI)で確認します。 認証サーバが認証要求を受け入れた場合、セキュア ゲートウェイは認証が成功したページをクライア ントに送信します。これで認証交換が完了します。 パスコードが拒否された場合は認証は失敗し、セキュア ゲートウェイは、エラー メッセージとともに 新しいログイン身分証明要求ページを送信します。SDI サーバでパスコード失敗しきい値に達した場 合、SDI サーバはトークンを次のトークン コード モードに配置します。「「Next Passcode」および 「Next Token Code」身分証明要求」(P.5-6)を参照してください。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 5-4 OL-20841-01-J 第5章 認証の管理 SDI 認証の使用 新規ユーザ モード、PIN クリア モード、および新規 PIN モード PIN のクリアは、ネットワーク管理者だけの権限で、SDI サーバでのみ実行できます。 新規ユーザ モード、PIN クリア モード、新規 PIN モードでは、AnyConnect クライアントは、後の 「next passcode」ログイン身分証明要求で使用するために、ユーザ作成 PIN またはシステムが割り当て た PIN をキャッシュに入れます。 PIN クリア モードと新規ユーザ モードは、リモート ユーザから見ると違いがなく、また、セキュア ゲートウェイでの処理も同じです。いずれの場合も、リモート ユーザは新しい PIN を入力するか、 SDI サーバから割り当てられる新しい PIN を受け入れる必要があります。唯一の相違点は、最初の身 分証明要求時のユーザの応答です。 新規 PIN モードでは、通常の身分証明要求と同様に、既存の PIN を使用してパスコードが生成されま す。PIN クリア モードでは、ユーザがトークン コードだけを入力するハードウェア トークンとして PIN が使用されることはありません。RSA ソフトウェア トークンのパスコードを生成するためにゼロ が 8 つ並ぶ PIN(00000000)が使用されます。いずれの場合も、SDI サーバ管理者は、使用すべき PIN 値(ある場合)をユーザに通知する必要があります。 新規ユーザを SDI サーバに追加すると、既存ユーザの PIN をクリアする場合と同じ結果になります。 いずれの場合も、ユーザは新しい PIN を指定するか、SDI サーバから割り当てられる新しい PIN を受 け入れる必要があります。これらのモードでは、ユーザはハードウェア トークンとして、RSA デバイ スのトークン コードのみ入力します。いずれの場合も、SDI サーバ管理者は、使用すべき PIN 値(あ る場合)をユーザに通知する必要があります。 新しい PIN の入手 現行の PIN がない場合、システム設定に応じて、SDI サーバは次の条件のいずれかを満たす必要があ ります。 • ユーザは、PIN を作成するか、システムの割り当てを受け入れるかを選択できる。 • ユーザは新規 PIN を作成する必要がある。 • システムがユーザに新規 PIN を割り当てる必要がある。 デフォルトでは、PIN はシステムによって割り当てられます。PIN をリモート ユーザ自身で作成する 方法とシステムで割り当てる方法を選択できるように SDI サーバを設定している場合、ログイン画面 にはオプションを示すドロップダウン メニューが表示されます。ステータス行にプロンプト メッセー ジが表示されます。いずれの場合も、ユーザは今後のログイン認証のためにこの新規 PIN を忘れない ようにする必要があります。 新規 PIN の作成 ユーザが新しく PIN を作成するように選択して [ 続行(Continue)] をクリックすると、AnyConnect クライアントにこの PIN を入力するためのダイアログボックス(図 5-3(P.5-6))が表示されます。 PIN は 4 ~ 8 桁の長さの数値にする必要があります。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 5-5 第5章 認証の管理 SDI 認証の使用 図 5-3 新規 PIN の作成 ユーザが PIN を作成する場合、新規 PIN を入力および確認したら、[ 続行(Continue)] をクリックし ます。PIN は一種のパスワードであるため、ユーザがこの入力フィールドに入力する内容はアスタリス クで表示されます。RADIUS プロキシを使用する場合、PIN の確認は、最初のダイアログボックスの 次に表示される、別の身分証明要求で行われます。クライアントは新しい PIN をセキュア ゲートウェ イに送信し、セキュア ゲートウェイは「next passcode」身分証明要求に進みます。 システムが割り当てる PIN の場合、ユーザがログイン ページで入力したパスコードを SDI サーバが受 け入れると、セキュア ゲートウェイはシステムが割り当てた PIN をクライアントに送信します。ユー ザは [ 続行(Continue)] をクリックする必要があります。クライアントは、ユーザが新規 PIN を確認 したことを示す応答をセキュア ゲートウェイに返し、システムは「next passcode」身分証明要求に進 みます。 いずれの場合も、ユーザは次回のログイン認証のために PIN を忘れないようにする必要があります。 「Next Passcode」および「Next Token Code」身分証明要求 「next passcode」身分証明要求では、クライアントが新規 PIN の作成または割り当て時にキャッシュに 入れられた PIN 値を使用して RSA SecurID Software Token DLL から次のパスコードを取得し、ユー ザにプロンプト表示せずにこれをセキュア ゲートウェイに返します。同様に、ソフトウェア トークン 用の「next Token Code」身分証明要求では、クライアントは RSA SecurID Software Token DLL から 次のトークン コードを取得します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 5-6 OL-20841-01-J 第5章 認証の管理 RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持 RADIUS/SDI プロキシと AnyConnect クライアントの互換 性の保持 ここでは、AnyConnect クライアントが、RSA SecureID ソフトウェア トークンを使用して、1 台以上 の SDI サーバのプロキシ サーバである RADIUS サーバ経由でクライアントに配布されたユーザ プロ ンプトに適切に応答する手順について説明します。ここでは、次の内容について説明します。 • 「AnyConnect クライアントと RADIUS/SDI サーバの対話」 • 「RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアンスの設定」 AnyConnect クライアントと RADIUS/SDI サーバの対話 リモート ユーザが AnyConnect クライアントでセキュリティ アプライアンスに接続し、RSA SecurID トークンを使用して認証を試みると、セキュリティ アプライアンスは RADIUS サーバと通信を行い、 次に、RADIUS サーバが認証について SDI サーバと通信を行います。 認証中、RADIUS サーバからはアクセス時の身分証明要求メッセージがセキュリティ アプライアンス に提示されます。これらの身分証明要求メッセージ内に、SDI サーバからのテキストが含まれる応答 メッセージがあります。このメッセージ テキストは、セキュリティ アプライアンスが SDI サーバと直 接通信している場合と RADIUS プロキシを経由して通信している場合とで異なります。このため、ネ イティブ SDI サーバとして AnyConnect クライアントに認識されるようにするには、セキュリティ ア プライアンスは RADIUS サーバからのメッセージを解釈する必要があります。 また、SDI メッセージは SDI サーバ上で設定が可能なため、セキュリティ アプライアンス上のメッ セージ テキストは、その一部または全体が SDI サーバ上のメッセージ テキストに一致する必要があり ます。一致しないと、リモート クライアント ユーザに表示されるプロンプトが、認証中に必要なアク ションとして適切でない場合があります。この場合、AnyConnect クライアントが応答できずに認証が 失敗する場合があります。 RADIUS/SDI メッセージをサポートするためのセキュリティ アプライアン スの設定 ここでは、セキュリティ アプライアンスが SDI 独自の RADIUS 応答メッセージを解釈するよう設定 し、AnyConnect ユーザに適切なアクションをとらせるための手順を示します。 RADIUS 応答メッセージを転送するための接続プロファイル(トンネル グループ)を、SDI サーバと の直接通信をシミュレートする方法で設定します。SDI サーバで認証されるユーザは、この接続プロ ファイルを介して接続する必要があります。 ステップ 1 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クラ イアント)アクセス(Network (Client) Access)] > [SSL VPN 接続プロファイル(SSL VPN Connection Profiles)] の順に選択します。[SSL VPN 接続プロファイルの編集(Edit SSL VPN Connection Profile)] ウィンドウが表示されます(図 5-4)。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 5-7 第5章 認証の管理 RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持 図 5-4 [SSL VPN 接続プロファイルの編集(Edit SSL VPN Connection Profile)] 画面 ステップ 2 [ ログイン画面の SecurID メッセージ表示をイネーブルにする(Enable the display of SecurID messages on the login screen )] にチェックマークを付けます。 ステップ 3 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [AAA サーバ グルー プ(AAA Server Groups)] の順に選択します。 [AAA サーバの追加(Add AAA Server)] ウィンドウが表示されます(図 5-5)。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 5-8 OL-20841-01-J 第5章 認証の管理 RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持 図 5-5 ステップ 4 RADIUS SDI メッセージの設定 [SDI メッセージ(SDI Messages)] 領域で [ メッセージ テーブル(Message Table)] をクリックして 表を展開し、メッセージを表示します。メッセージ テキスト フィールドをダブルクリックするとメッ セージが編集できます。RADIUS サーバから送信されたメッセージとテキストの一部または全体が一 致するように、RADIUS 応答メッセージ テキストをセキュリティ アプライアンスで設定します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 5-9 第5章 認証の管理 RADIUS/SDI プロキシと AnyConnect クライアントの互換性の保持 セキュリティ アプライアンスのデフォルト メッセージ テキストは Cisco Secure Access Control Server(ACS)のデフォルト メッセージ テキストと同じです。Cisco Secure ACS を使用し、デフォル ト メッセージ テキストを使用している場合は、セキュリティ アプライアンスでメッセージ テキストを 設定する必要はありません。これ以外の場合は、メッセージ テキストが一致するようにメッセージを 設定します。 表 5-1 に、メッセージ コード、デフォルトの RADIUS 応答メッセージ テキスト、および各メッセージ の機能を示します。セキュリティ アプライアンスは、表での出現順に文字列を検索するため、メッ セージ テキスト用に使用する文字列が別の文字列のサブセットでないことを確認する必要があります。 たとえば、 「new PIN」は、new-pin-sup および next-ccode-and-reauth の両方のデフォルト メッセージ テキストのサブセットです。new-pin-sup を「new PIN」として設定する場合、セキュリティ アプライ アンスが RADIUS サーバから「new PIN with the next card code」を受け取ると、 next-ccode-and-reauth コードではなく、new-pin-sup コードにテキストが一致します。 表 5-1 SDI 操作コード、デフォルト メッセージ テキスト、およびメッセージ機能 デフォルトの RADIUS メッセージ コード 応答メッセージ テキスト 機能 next-code Enter Next PASSCODE ユーザは PIN なしの NEXT トークンコードを入力す る必要があることを示します。 new-pin-sup Please remember your new PIN 新規システムの PIN が提供され、ユーザにこの PIN が表示されることを示します。 new-pin-meth Do you want to enter your 新規 PIN を作成するための新規 PIN 方式をユーザか own pin ら要求します。 new-pin-req Enter your new Alpha-Numerical PIN ユーザが生成した PIN を示し、ユーザが PIN を入力 することを要求します。 new-pin-reenter Reenter PIN ユーザが指定した PIN の確認のためにセキュリティ アプライアンスで内部的に使用されます。クライア ントはユーザにプロンプト表示せずに PIN を確認し ます。 new-pin-sys-ok New PIN Accepted ユーザが指定した PIN が許容されたことを示します。 next-ccode-andreauth new PIN with the next card code PIN の操作を進め、次のトークンコードを待機する 必要があり、新規 PIN と次のトークンコードの両方 を認証用として入力するようにユーザに示します。 ready-for-syspin ACCEPT A SYSTEM GENERATED PIN セキュリティ アプライアンスで内部的に使用されま す。システムで生成された PIN に対して準備が完了 したことをユーザに示します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 5-10 OL-20841-01-J C H A P T E R 6 AnyConnect クライアントとインストーラの カスタマイズとローカライズ AnyConnect VPN クライアントは、クライアントとインストーラのプログラムが異なる言語にローカ ライズ(翻訳)されるようにカスタマイズすることができます。 この章は、次の内容で構成されています。 • 「AnyConnect クライアントのカスタマイズ」(P.6-1) • 「デフォルトの AnyConnect の英語メッセージの変更」(P.6-12) • 「AnyConnect クライアントの GUI とインストーラのローカライズ」(P.6-14) AnyConnect クライアントのカスタマイズ AnyConnect VPN クライアントをカスタマイズして、Windows、Linux、および Mac OS X コンピュー タ上で稼動するクライアントを含むリモート ユーザに、自社企業のイメージを表示することができま す。 (注) Windows Mobile デバイスで稼動する AnyConnect クライアントのカスタマイズはサポートさ れていません。 クライアントをカスタマイズするには、次の 3 つ方法のいずれかを使用します。 – 企業ロゴおよびアイコンなど個別のクライアント GUI コンポーネントをセキュリティ アプラ イアンスにインポートし、インストーラからリモート コンピュータに展開することによって、 クライアントのブランドを変更する。 – 独自の GUI または CLI を提供し、AnyConnect API を使用する、独自のプログラムをイン ポートする(Windows および Linux のみ)。 – 多数のブランド変更のために作成したトランスフォームをインポートする(Windows のみ)。 インストーラを使用してセキュリティ アプライアンスから展開されます。 これらの方法の手順について、次の項で説明します。 • 「個別の GUI コンポーネントとカスタム コンポーネントの置き換え」(P.6-2) • 「クライアント API を使用する実行ファイルの展開」(P.6-3) • 「トランスフォームを使用した GUI のカスタマイズ」(P.6-5) • 「カスタム アイコンおよびロゴの作成について」(P.6-8) Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 6-1 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントのカスタマイズ 個別の GUI コンポーネントとカスタム コンポーネントの置き換え 独自のカスタム ファイルをセキュリティ アプライアンスにインポートし、その新しいファイルをクラ イアントに展開することによって、AnyConnect クライアントをカスタマイズすることができます。 表 6-2、表 6-3、および表 6-4 に、オリジナルの GUI アイコンのサンプル イメージとそのサイズを示 します。この情報は、カスタム ファイルの作成に使用できます。 カスタム ファイルをインポートし、クライアントに展開するには、次の手順に従います。 ステップ 1 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クラ イアント)アクセス(Network (Client) Access)] > [AnyConnect カスタマイゼーション / ローカリ ゼーション(AnyConnect Customization/Localization)] > [ リソース(Resources)] の順に選択しま す。 [ インポート(Import)] をクリックします。[AnyConnect カスタマイゼーション オブジェクトのイン ポート(Import AnyConnect Customization Object)] ウィンドウが表示されます(図 6-1)。 図 6-1 ステップ 2 カスタマイゼーション オブジェクトのインポート インポートするファイルの名前を入力します。置き換え可能なすべての GUI コンポーネントのファイ ル名については、表 6-2、表 6-3、および表 6-4 を参照してください。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 6-2 OL-20841-01-J 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントのカスタマイズ (注) ステップ 3 カスタム コンポーネントのファイル名は、AnyConnect クライアント GUI に使用されるファイ ル名と一致している必要があります。この GUI コンポーネントのファイル名は OS によって異 なり、Mac と Linux では大文字と小文字が区別されます。たとえば、Windows クライアント 用の企業ロゴを置き換えるには、独自の企業ロゴを company_logo.bmp としてインポートする 必要があります。別のファイル名でインポートすると、AnyConnect インストーラはそのコン ポーネントを変更しません。ただし、独自の実行ファイルを展開して GUI をカスタマイズする 場合は、その実行ファイルから任意のファイル名のリソース ファイルを呼び出すことができま す。 プラットフォームを選択し、インポートするファイルを指定します。[ インポートの実行(Import Now)] をクリックします。ファイルがテーブル(図 6-2)に表示されます。 図 6-2 テーブルに表示されたインポート済みのファイル クライアント API を使用する実行ファイルの展開 Windows、Linux、または Mac(PPP または Intel ベース)コンピュータの場合、AnyConnect クライ アント API を使用する独自のクライアントを展開できます。クライアントのバイナリ ファイルを置き 換えることによって、AnyConnect GUI または AnyConnect CLI を置き換えます。表 6-1 に、クライア ント実行ファイルのファイル名を、オペレーティング システム別に示します。 表 6-1 クライアント実行ファイルのファイル名前 OS クライアント GUI ファイル クライアント CLI ファイル Windows vpnui.exe vpncli.exe Linux vpnui クライアント Mac 非サポート vpn 1 vpn 1. セキュリティ アプライアンスからの展開はサポートされません。ただし、 Altiris Agent などの他の手段によって、クライアント GUI を置き換える Mac 用の実行ファイルを展開できます。 セキュリティ アプライアンスにインポートした、ロゴ イメージなどの任意のリソース ファイルを実行 ファイルから呼び出すことができます(図 6-1 を参照)。事前定義された GUI コンポーネントを置き換 える場合とは異なり、独自の実行ファイルを展開する場合は、リソース ファイルに任意のファイル名 を使用できます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 6-3 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントのカスタマイズ セキュリティ アプライアンスにインポートするカスタム Windows クライアント バイナリ(GUI また は CLI バージョン)には、署名することをお勧めします。署名付きバイナリには、使用可能な多くの 機能があります。バイナリが署名されていないと、次の機能に影響が生じます。 • Web-Launch:クライアントレス ポータルは使用可能でユーザ認証も可能です。ただし、トンネル 確立周辺の動作が予期したとおりに行われません。クライアントに署名のない GUI が存在すると、 クライアントレス接続試行の一部がクライアントで開始されません。また、この状態が検出された 場合、クライアントでの接続試行が中断されます。 • SBL:Start Before Logon 機能では、ユーザのクレデンシャルを要求するために使用するクライア ント GUI には署名が必要です。署名がないと、GUI は開始されません。SBL は CLI プログラムで サポートされないため、影響を受けるのは GUI バイナリ ファイルだけです。 • 自動アップグレード:クライアントの新バージョンへのアップグレード中は古い GUI が存在しま すが、新しい GUI がインストールされると新規 GUI が開始されます。新しい GUI は署名がない と開始されません。Web-Launch と同様、この GUI に署名がないと VPN 接続は終了します。ただ し、アップグレード後のクライアントはインストールされたままになります。 クライアント GUI をカスタマイズする実行ファイルをインポートする手順は、次のとおりです。 ステップ 1 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クラ イアント)アクセス(Network (Client) Access)] > [AnyConnect カスタマイゼーション / ローカリ ゼーション(AnyConnect Customization/Localization)] > [ バイナリ(Binary)] の順に選択します。 [ インポート(Import)] をクリックします。[AnyConnect カスタマイゼーション オブジェクトのイン ポート(Import AnyConnect Customization Objects)] ウィンドウが表示されます(表 6-1)。 図 6-3 実行ファイルのインポート Cisco AnyConnect VPN Client アドミニストレータ ガイド 6-4 OL-20841-01-J 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントのカスタマイズ ステップ 2 インポートするファイルの名前を入力します。 実行ファイルのファイル名は、AnyConnect クライアント GUI に使用されるファイル名と一致してい る必要があります。たとえば、Windows クライアント用のクライアント GUI を置き換えるには、独自 の実行ファイルを vpnui.exe としてインポートする必要があります。別のファイル名でインポートする と、AnyConnect インストーラはその実行ファイルを変更しません。 ステップ 3 プラットフォームを選択し、インポートするファイルを指定します。[ インポートの実行(Import Now)] をクリックします。ファイルがテーブル(図 6-2)に表示されます。 図 6-4 テーブルに表示されたインポート済みの実行ファイル トランスフォームを使用した GUI のカスタマイズ 作成した独自のトランスフォームを、クライアント インストーラ プログラムを使用して展開すること によって、AnyConnect クライアント GUI を大幅にカスタマイズすることができます(Windows の み)。トランスフォームをセキュリティ アプライアンスにインポートすると、インストーラ プログラム を使用して展開されます。 MSI トランスフォームを作成するには、Microsoft から Orca という名前の無料データベース エディタ をダウンロードし、インストールします。このツールを使用して、既存のインストレーションを修正 し、場合によっては新しいファイルを追加します。Orca ツールは、Microsoft Windows Installer Software Development Kit(SDK)の一部で、Microsoft Windows SDK に同梱されています。次のリ ンクから Orca プログラムを含むバンドルを入手できます。 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/orca_exe.asp SDK をインストールすると、Orca MSI は、次の場所に格納されています。 C:¥Program Files¥Microsoft SDK SP1¥Microsoft Platform SDK¥Bin¥Orca.msi Orca ソフトウェアをインストールしてから、[ スタート(Start)] > [ すべてのプログラム(All Programs)] メニューを選択して Orca プログラムにアクセスします。 トランスフォームをインポートする手順は、次のとおりです。 ステップ 1 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クラ イアント)アクセス(Network (Client) Access)] > [AnyConnect カスタマイゼーション / ローカリ ゼーション(AnyConnect Customization/Localization)] > [ カスタマイズされたインストーラ トラン Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 6-5 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントのカスタマイズ スフォーム(Customized Installer Transforms)] の順に選択します。[ インポート(Import)] をク リックします。[AnyConnect カスタマイゼーション オブジェクトのインポート(Import AnyConnect Customization Objects)] ウィンドウが表示されます(図 6-5)。 図 6-5 カスタマイズ用トランスフォームのインポート ステップ 2 インポートするファイルの名前を入力します。他のカスタマイズ用オブジェクトの名前とは異なり、こ の名前はセキュリティ アプライアンスにとって重要ではないため、自由に指定できます。 ステップ 3 プラットフォームを選択し、インポートするファイルを指定します。[ インポートの実行(Import Now)] をクリックします。ファイルがテーブル(図 6-6)に表示されます。 (注) トランスフォームの適用先として選択できるのは Windows だけです。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 6-6 OL-20841-01-J 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントのカスタマイズ 図 6-6 テーブルに表示されたカスタマイズ用のトランスフォーム トランスフォームの例 このマニュアルでは、トランスフォームの作成についてのチュートリアルを提供できませんが、トラン スフォームの代表的なエントリをいくつか次に示します。これらのエントリでは、company_logo.bmp がローカル コピーと置き換えられ、カスタム プロファイル MyProfile.xml がインストールされます。 DATA CHANGE - Component Component ComponentId + MyProfile.xml {39057042-16A2-4034-87C0-8330104D8180} Directory_ Attributes Condition KeyPath Profile_DIR 0 MyProfile.xml DATA CHANGE - FeatureComponents Feature_ Component_ + MainFeature MyProfile.xml DATA CHANGE - File File Component_ FileName FileSize Version Language Attributes Sequence + MyProfile.xml MyProfile.xml MyProf~1.xml|MyProfile.xml 601 8192 35 <> company_logo.bmp 37302{39430} 8192{0} DATA CHANGE - Media DiskId LastSequence DiskPrompt Cabinet VolumeLabel Source + 2 35 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 6-7 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントのカスタマイズ カスタム アイコンおよびロゴの作成について 次の表で、AnyConnect クライアントがサポートするオペレーティング システムごとに、置き換えるこ とができるファイルを示します。 (注) 独自のカスタム イメージを作成してクライアント アイコンを置き換えるには、使用するイメージのサ イズを、オリジナルの Cisco イメージと同じサイズにする必要があります。 Windows の場合 Windows のファイルはすべて、%PROGRAMFILES%\Cisco\Cisco AnyConnect VPN Client\res\ にあ ります。表 6-2 に、置き換えることができるファイルと、その影響を受けるクライアント GUI エリア を示します。 (注) %PROGRAMFILES% は、同じ名前の環境変数を指します。ほとんどの Windows インスト レーションでは、C:¥Program Files です。 表 6-2 Windows 用 AnyConnect クライアントのアイコン ファイル Windows インストレー ションでのファイル名 影響を受けるクライアント GUI エリア AboutTab.ico [ バージョン情報(About)] タブに表示される イメージ サイズ (ピクセル数、 幅×高さ) 16 × 16 アイコン。 company_logo.bmp ユーザ インターフェイスの各タブに表示される 142 × 92 企業ロゴ。 connected.ico クライアントが接続中のときに表示されるトレ イ アイコン。 ConnectionTab.ico [ 接続(Connection)] タブに表示されるアイコ 16 × 16 ン。 disconnecting.ico クライアントが接続解除の処理中であるときに 表示されるトレイ アイコン。 GUI.ico Windows Vista の [Start Before Login] 画面に表 48 × 48 示されるアイコン。 32 × 32 24 × 24 16 × 16 16 × 16 16 × 16 Cisco AnyConnect VPN Client アドミニストレータ ガイド 6-8 OL-20841-01-J 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントのカスタマイズ 表 6-2 Windows 用 AnyConnect クライアントのアイコン ファイル (続き) Windows インストレー イメージ サイズ (ピクセル数、 幅×高さ) ションでのファイル名 影響を受けるクライアント GUI エリア reconnecting.ico クライアントが再接続の処理中であるときに表 示されるトレイ アイコン。 StatsTab.ico [ 統計情報(Statistics)] タブに表示されるアイ 16 × 16 16 × 16 コン。 unconnected.ico クライアントが接続中でないときに表示される トレイ アイコン。 16 × 16 Linux の場合 Linux のファイルはすべて、/opt/cisco/vpn/pixmaps/ にあります。表 6-3 に、置き換えることができる ファイルと、その影響を受けるクライアント GUI エリアを示します。 表 6-3 Linux 用 AnyConnect クライアントのアイコン ファイル Linux インストレーション イメージ サイズ (ピクセル数、 幅×高さ) でのファイル名 影響を受けるクライアント GUI エリア company-logo.png ユーザ インターフェイスの各タブに表示される 142 × 92 企業ロゴ。 cvc-about.png [ バージョン情報(About)] タブに表示される 16 × 16 アイコン。 cvc-connect.png cvc-disconnect.png [ 接続(Connect)] ボタンの隣、および [ 接続 (Connection)] タブに表示されるアイコン。 [ 接続解除(Disconnect)] ボタンの隣に表示さ 16 × 16 16 × 16 れるアイコン。 cvc-info.png [ 統計情報(Statistics)] タブに表示されるアイ 16 × 16 コン。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 6-9 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントのカスタマイズ 表 6-3 Linux 用 AnyConnect クライアントのアイコン ファイル (続き) Linux インストレーション イメージ サイズ (ピクセル数、 幅×高さ) でのファイル名 影響を受けるクライアント GUI エリア systray_connected.png クライアントが接続中のときに表示されるトレ イ アイコン。 16 × 16 systray_notconnected.png クライアントが接続中でないときに表示される トレイ アイコン。 16 × 16 systray_disconnecting.png クライアントが接続解除の処理中のときに表示 されるトレイ アイコン。 16 × 16 systray_reconnecting.png クライアントが再接続中のときに表示されるト レイ アイコン。 16 × 16 vpnui48.png メイン プログラム アイコン。 48 × 48 Mac OS X の場合 OS X のファイルはすべて、/Applications/Cisco AnyConnect VPN Client/Contents/Resources にありま す。表 6-4 に、置き換えることができるファイルと、その影響を受けるクライアント GUI エリアを示 します。 表 6-4 Mac OS X 用 AnyConnect クライアントのアイコン ファイル Mac OS X インストレーションでの ファイル名 イメージ サイズ 影響を受けるクライアント GUI エ (ピクセル数、 リア 幅×高さ) bubble.png クライアントが接続または接続解 除したときに表示される通知バブ ル。 142 × 92 connected.png クライアントが接続中のときに、 接続解除ボタンの下に表示される アイコン。 32 × 32 Cisco AnyConnect VPN Client アドミニストレータ ガイド 6-10 OL-20841-01-J 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントのカスタマイズ 表 6-4 Mac OS X 用 AnyConnect クライアントのアイコン ファイル (続き) Mac OS X インストレーションでの ファイル名 イメージ サイズ 影響を受けるクライアント GUI エ (ピクセル数、 リア 幅×高さ) logo.png メイン画面の右上に表示されるロ ゴ アイコン。 menu_connected.png 接続状態のメニューバー アイコン。 16 × 16 menu_error.png エラー状態のメニューバー アイコ ン。 16 × 16 menu_idle.png 接続解除されているアイドル メ ニューバー アイコン。 16 × 16 menu_reconnecting.png 再接続処理中のメニューバー アイ コン。 16 × 16 warning.png さまざまな認証 / 証明書警告のログ イン フィールドの代わりに表示さ れるアイコン。 40 × 40 vpngui.icns 50 × 33 すべてのアイコン サービス 128 × 128 (Dock、Sheets、Finder など)で使 用される Mac OS X アイコン ファ イル フォーマット。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 6-11 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ デフォルトの AnyConnect の英語メッセージの変更 デフォルトの AnyConnect の英語メッセージの変更 英語変換テーブルを追加し、ASDM の編集ウィンドウでメッセージ テキストを変更することによっ て、AnyConnect クライアント GUI に表示される英語のメッセージを変更できます。 ここでは、デフォルトの英語メッセージを変更する方法について説明します。 ステップ 1 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クラ イアント)アクセス(Network (Client) Access)] > [AnyConnect カスタマイゼーション / ローカリ ゼーション(AnyConnect Customization/Localization)] > [GUI テキストおよびメッセージ(GUI Text and Messages)] の順に選択します。[ 追加(Add)] をクリックします。[ 言語ローカリゼーショ ン エントリの追加(Add Language Localization Entry)] ウィンドウが表示されます(図 6-9)。 図 6-7 英語変換テーブルの追加 Cisco AnyConnect VPN Client アドミニストレータ ガイド 6-12 OL-20841-01-J 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ デフォルトの AnyConnect の英語メッセージの変更 ステップ 2 [ 言語(Language)] ドロップ リストをクリックし、言語として [ 英語(English)(en)] を指定します。 英語の変換テーブルが、ペインの言語リストに表示されます。 ステップ 3 [ 編集(Edit)] をクリックして、メッセージの編集を開始します。[ 言語ローカリゼーション エントリ の編集(Edit Language Localization Entry)] ウィンドウが表示されます(図 6-8)。msgid の引用符で 囲まれたテキストは、クライアントに表示されるデフォルトの英語テキストです。変更してはいけませ ん。msgstr の文字列には、msgid のデフォルト テキストを置き換えるために、クライアントで使用さ れるテキストが含まれます。msgstr の引用符の間に、使用するテキストを挿入します。 次の例では、「Call your network administrator at 800-553-2447」が挿入されています。 図 6-8 ステップ 4 メッセージ テキストの編集 [OK] をクリックしてから、[GUI テキストおよびメッセージ(GUI Text and Messages)] ペインで [ 適 用(Apply)] をクリックして、変更を保存します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 6-13 第6章 AnyConnect クライアントの GUI とインストーラのローカライズ AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントの GUI とインストーラのローカ ライズ AnyConnect VPN クライアントまたはクライアント インストーラの表示メッセージは、リモート ユー ザが希望する言語に翻訳することができます。 (注) Altiris Agent などの社内の IT 展開ソフトウェアを使用して AnyConnect クライアントを展 開する場合、翻訳できるのはインストーラだけです。クライアントは翻訳できません。セ キュリティ アプライアンスからクライアントを展開する場合は、クライアントだけを翻訳 できます。 ここでは、この機能の設定について説明し、手順を示します。 • 「AnyConnect GUI のローカライズ」(P.6-14) • 「AnyConnect インストーラ画面のローカライズ」(P.6-22) • 「ツールを使用した社内展開用メッセージ カタログの作成」(P.6-25) • 「新しい翻訳テンプレートと変換テーブルの統合」(P.6-25) AnyConnect GUI のローカライズ セキュリティ アプライアンスは、変換テーブルを使用して AnyConnect クライアントに表示される ユーザ メッセージを翻訳します。この変換テーブルは、翻訳されたメッセージ テキストを挿入する文 字列が記述されたテキスト ファイルです。Windows 用 AnyConnect クライアント パッケージ ファイル には、AnyConnect メッセージとして使用する、英語の言語テンプレートが含まれています。クライア ント イメージをロードすると、セキュリティ アプライアンスによって自動的にこのファイルがイン ポートされます。このファイルには、メッセージ文字列の最新の変更が含まれています。これを使用す ると、別の言語用の変換テーブルを新しく作成できます。 また、フランス語および日本語用の変換テーブルを、AnyConnect クライアントのソフトウェア ダウン ロード ページから入手することもできます。これらのファイルには、シスコのソフトウェア エンジニ アが追加した最新のメッセージが含まれていない可能性がありますが、変換テーブルを新規に作成する よりも、これらのファイルを使用する方が簡単です。これらのファイルは、テキスト エディタや Poedit などの翻訳エディタを使用して編集後にインポートすることも、最初にインポートしてから ASDM を使用した変換テーブル エディタで編集することもできます。 リモート ユーザがセキュリティ アプライアンスに接続してクライアントをダウンロードすると、クラ イアントはそのコンピュータの設定言語を検出して、該当する変換テーブルを適用します。クライアン トは、オペレーティング システムのインストール時に指定されたロケールを検出します。Windows の 言語オプションの詳細については、次の URL を参照してください。 http://www.microsoft.com/windowsxp/using/setup/winxp/yourlanguage.mspx http://www.microsoft.com/globaldev/reference/win2k/setup/changeUI.mspx (注) クライアントをセキュリティ アプライアンスから展開せずに、Altiris Agent などの社内のソフトウェ ア展開システムを使用する場合は、Gettext などのカタログ ユーティリティを使用して、手動で AnyConnect 変換テーブル(anyconnect.po)を a .mo ファイルに変換し、その a .mo ファイルをクライ アント コンピュータの適切なフォルダにインストールします。詳細は「ツールを使用した社内展開用 メッセージ カタログの作成」(P.6-25)を参照してください。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 6-14 OL-20841-01-J 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントの GUI とインストーラのローカライズ 次の項では、GUI テキストを翻訳する 2 つの異なる方法について、詳しい手順を説明します。 • 「ASDM 変換テーブル エディタを使用した翻訳」(P.6-15) • 「変換テーブルのエクスポートと編集による翻訳」(P.6-19) ASDM 変換テーブル エディタを使用した翻訳 ここでは、ASDM を使用して AnyConnect クライアント GUI をローカライズする方法について説明し ます。 ステップ 1 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ 言語ローカリゼー ション(Language Localization)] の順に選択します。[ 追加(Add)] をクリックします。[ 言語ロー カリゼーション エントリの追加(Add Language Localization Entry )] ウィンドウが表示されます (図 6-9)。 図 6-9 [ 言語ローカリゼーション(Language Localization)] ペイン Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 6-15 第6章 AnyConnect クライアントの GUI とインストーラのローカライズ ステップ 2 AnyConnect クライアントとインストーラのカスタマイズとローカライズ [ 翻訳ドメイン(Translation Domain)] ドロップ リストをクリックし、[AnyConnect] を選択します (図 6-10)。これによって、AnyConnect GUI 関連のメッセージだけが編集用に表示されます。 図 6-10 翻訳ドメイン Cisco AnyConnect VPN Client アドミニストレータ ガイド 6-16 OL-20841-01-J 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントの GUI とインストーラのローカライズ ステップ 3 この変換テーブルの言語を指定します(図 6-11)。ASDM では、Windows およびブラウザで認識され る標準的な言語略称が、このテーブルで使用されます(スペイン語は es など)。 図 6-11 言語の選択 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 6-17 第6章 AnyConnect クライアントの GUI とインストーラのローカライズ ステップ 4 AnyConnect クライアントとインストーラのカスタマイズとローカライズ 変換テーブルが、ペインの言語リストに表示されます(この例では es)。ただし、翻訳されたメッセー ジはありません。翻訳されたテキストの追加を開始するには、[ 編集(Edit)] をクリックします。[ 言 語ローカリゼーション エントリの編集(Edit Language Localization Entry)] ウィンドウが表示されま す(図 6-12)。 メッセージ文字列(msgstr)の引用符の間に、翻訳したテキストを追加します。次の例では、メッセー ジ文字列の引用符の間に「Connectado」(「Connected」のスペイン語)を挿入しています。 [OK] をクリックしてから、[ 言語ローカリゼーション(Language Localization)] ペインで [ 適用 (Apply)] をクリックして変更を保存します。 図 6-12 変換テーブルの編集 Cisco AnyConnect VPN Client アドミニストレータ ガイド 6-18 OL-20841-01-J 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントの GUI とインストーラのローカライズ 変換テーブルのエクスポートと編集による翻訳 ここでは、AnyConnect 翻訳テンプレートをリモート コンピュータにエクスポートしてから、エディタ や、Gettext または Poedit などのサードパーティ製ツールを使用して変換テーブルを編集する手順につ いて説明します。 GNU プロジェクトの Gettext ユーティリティには Windows 版があり、コマンド ウィンドウで実行で きます。詳しくは、GNU の Web サイト(gnu.org)を参照してください。また、Poedit などの、 Gettext を使用する GUI ベースのユーティリティを使用することもできます。このソフトウェアは poedit.net から入手できます。 ステップ 1 AnyConnect 翻訳テンプレートをエクスポートします。 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ 言語ローカリゼー ション(Language Localization)] の順に選択します。[ 言語ローカリゼーション(Language Localization)] ペインが表示されます(図 6-13)。[ テンプレート(Templates)] リンクをクリックす ると、利用可能なテンプレートのテーブルが表示されます。[AnyConnect] テンプレートを選択し、[ エ クスポート(Export)] をクリックします。[ 言語ローカリゼーションのエクスポート(Export Language Localization)] ウィンドウが表示されます。エクスポートの方法を選択し、ファイル名を指 定します。図 6-13 では、ファイル名 AnyConnect_translation_table で、ローカル コンピュータにエク スポートしています。 図 6-13 翻訳テンプレートのエクスポート Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 6-19 第6章 AnyConnect クライアントの GUI とインストーラのローカライズ ステップ 2 AnyConnect クライアントとインストーラのカスタマイズとローカライズ 変換テーブルを編集します。 次の例は、AnyConnect テンプレートの一部を示しています。この出力の最後には、メッセージ Connected のメッセージ ID フィールド(msgid)とメッセージ文字列フィールド(msgstr)がありま す。このメッセージは、AnyConnect クライアントが VPN 接続を確立したときに、クライアントの GUI に表示されます(テンプレート全体には、メッセージ フィールドのペアが多数含まれています)。 # SOME DESCRIPTIVE TITLE. # Copyright (C) YEAR THE PACKAGE'S COPYRIGHT HOLDER # This file is distributed under the same license as the PACKAGE package. # FIRST AUTHOR <EMAIL@ADDRESS>, YEAR. # #, fuzzy msgid "" msgstr "" "Project-Id-Version: PACKAGE VERSION\n" "Report-Msgid-Bugs-To: \n" "POT-Creation-Date: 2006-11-01 16:39-0700\n" "PO-Revision-Date: YEAR-MO-DA HO:MI+ZONE\n" "Last-Translator: FULL NAME <EMAIL@ADDRESS>\n" "Language-Team: LANGUAGE <[email protected]>\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=CHARSET\n" "Content-Transfer-Encoding: 8bit\n" msgid "Connected" msgstr "" msgid には、デフォルトの翻訳が記述されています。msgid の後の msgstr が、翻訳を表しています。 翻訳を作成するには、翻訳したテキストを、msgstr 文字列の引用符の間に入力します。たとえば、 メッセージ「Connected」をスペイン語に翻訳するには、次のように、対応するスペイン語を引用符の 間に挿入します。 msgid "Connected" msgstr "Conectado" ファイルを必ず保存してください。 ステップ 3 この翻訳テンプレートを、指定した言語用の新しい変換テーブルとしてインポートします。 [ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ 言語ローカリゼー ション(Language Localization)] の順に選択します。[ 言語ローカリゼーション(Language Localization)] ペインが表示されます(図 6-13)。[ インポート(Import)] をクリックします。[ 言語 ローカリゼーションのインポート(Import Language Localization)] ウィンドウが表示されます。 ステップ 4 この変換テーブルの言語を選択します。[ 言語(Language)] ドロップ リストをクリックして、言語と その一般的な略称を表示します。手動で略称を入力する場合は、ブラウザおよびオペレーティング シ ステムが認識できる略称を使用してください。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 6-20 OL-20841-01-J 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントの GUI とインストーラのローカライズ ステップ 5 [ 翻訳ドメイン(Translation Domain)] として AnyConnect を指定し、インポート方法を選択して、 ファイル名を指定します。[ インポートの実行(Import Now)] をクリックします。テーブルが正常に インポートされたことを示すメッセージが表示されます。 [ 適用(Apply)] をクリックし、変更を必ず保存してください。 図 6-13 では、言語として [ スペイン語(Spanish)(es)] を指定し、ステップ 1 でエクスポートした ファイル(AnyConnect_translation_table)をインポートしています。図 6-15 では、AnyConnect の言 語リストに、スペイン語用の新しい変換テーブルが表示されています。 図 6-14 新しい変換テーブルとしての翻訳テンプレートのインポート Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 6-21 第6章 AnyConnect クライアントの GUI とインストーラのローカライズ 図 6-15 AnyConnect クライアントとインストーラのカスタマイズとローカライズ 言語テーブルに表示された新しい言語 AnyConnect インストーラ画面のローカライズ AnyConnect クライアント GUI と同様に、クライアント インストーラ プログラムに表示されるメッ セージを翻訳できます。セキュリティ アプライアンスはトランスフォームを使用して、インストーラ に表示されるメッセージを翻訳します。トランスフォームによってインストレーションが変更されます が、元のセキュリティ署名 MSI は変化しません。これらのトランスフォームではインストーラ画面だ けが翻訳され、クライアント GUI 画面は翻訳されません。 言語にはそれぞれ独自のトランスフォームがあります。トランスフォームは Orca などのトランス フォーム エディタで編集して、メッセージの文字列を変更できます。その後、トランスフォームをセ キュリティ アプライアンスにインポートします。ユーザがクライアントをダウンロードすると、クラ イアントはコンピュータの目的の言語(オペレーティング システムのインストール時に指定されたロ ケール)を検出し、該当するトランスフォームを適用します。 現時点では、30 の言語に対応するトランスフォームが用意されています。これらのトランスフォーム は、cisco.com の AnyConnect クライアント ソフトウェア ダウンロード ページから、次の .zip ファイ ルで入手できます。 anyconnect-win-<VERSION>-web-deploy-k9-lang.zip このファイルの <VERSION> は、AnyConnect のリリース バージョン(2.2.103 など)を表します。 パッケージには使用可能な翻訳用のトランスフォーム(.mst ファイル)が含まれています。用意され ている 30 以外の言語をリモート ユーザに表示する必要がある場合は、独自のトランスフォームを作成 し、それを新しい言語としてセキュリティ アプライアンスにインポートすることができます。 Microsoft のデータベース エディタ Orca を使用して、既存のインストレーションおよび新規ファイル を修正できます。Orca は、Microsoft Windows Installer Software Development Kit(SDK)の一部で、 Microsoft Windows SDK に同梱されています。次のリンクから Orca プログラムを含むバンドルを入手 できます。 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/orca_exe.asp SDK をインストールすると、Orca MSI は、次の場所に格納されています。 C:¥Program Files¥Microsoft SDK SP1¥Microsoft Platform SDK¥Bin¥Orca.msi Cisco AnyConnect VPN Client アドミニストレータ ガイド 6-22 OL-20841-01-J 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントの GUI とインストーラのローカライズ ここでは、ASDM を使用してトランスフォームをセキュリティ アプライアンスにインポートする方法 について説明します。 ステップ 1 トランスフォームをインポートします。[ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クライアント)アクセス(Network (Client) Access)] > [AnyConnect カスタマイゼーション / ローカリゼーション(AnyConnect Customization/Localization)] > [ ローカライズされたインストーラ トランスフォーム(Localized Installer Transforms)] の順に選択 します。[ インポート(Import)] をクリックします。[MST 言語ローカリゼーションのインポート (Import MST Language Localization)] ウィンドウが表示されます(図 6-16)。 図 6-16 ステップ 2 インストーラ プログラムを翻訳するトランスフォームのインポート このトランスフォームの言語を選択します。[ 言語(Language)] ドロップ リストをクリックして、言 語とその一般的な略称を表示します。手動で略称を入力する場合は、ブラウザおよびオペレーティング システムが認識できる略称を使用してください。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 6-23 第6章 AnyConnect クライアントの GUI とインストーラのローカライズ ステップ 3 AnyConnect クライアントとインストーラのカスタマイズとローカライズ [ インポートの実行(Import Now)] をクリックします。テーブルが正常にインポートされたことを示 すメッセージが表示されます。 [ 適用(Apply)] をクリックし、変更を必ず保存してください。 図 6-16 では、言語に [ スペイン語(Spanish)(es)] を指定しています。図 6-17 では、AnyConnect の 言語リストに、スペイン語用の新しいトランスフォームが表示されています。 図 6-17 テーブルに表示されたインポート済みのトランスフォーム Cisco AnyConnect VPN Client アドミニストレータ ガイド 6-24 OL-20841-01-J 第6章 AnyConnect クライアントとインストーラのカスタマイズとローカライズ AnyConnect クライアントの GUI とインストーラのローカライズ ツールを使用した社内展開用メッセージ カタログの作成 クライアントをセキュリティ アプライアンスから展開せずに、Altiris Agent などの社内のソフトウェ ア展開システムを使用する場合は、Gettext などのユーティリティを使用して、手動で AnyConnect 変 換テーブルをメッセージ カタログに変換できます。テーブルを a .po ファイルから a .mo ファイルに変 換後、そのファイルをクライアント コンピュータ上の該当するフォルダに配置します。 Gettext は GNU プロジェクトのユーティリティであり、コマンド ウィンドウで実行できます。詳しく は、GNU の Web サイト(gnu.org)を参照してください。また、Poedit などの、Gettext を使用する GUI ベースのユーティリティを使用することもできます。このソフトウェアは poedit.net から入手でき ます。 AnyConnect クライアント メッセージのテンプレートは、次のフォルダにあります。 Windows XP: %ALLUSERSPROFILE%\Application Data\Cisco\Cisco AnyConnect VPN Client\l10n\<LANGUAGE-CODE>\LC_MESSAGES Windows Vista: %ALLUSERSPROFILE%\Cisco\Cisco AnyConnect VPN Client\l10n\ <LANGUAGE-CODE>\LC_MESSAGES Mac OS X および Linux: /opt/cisco/vpn/l10n/<LANGUAGE-CODE>/LC_MESSAGES Gettext を使用してメッセージ カタログを作成する手順は、次のとおりです。 ステップ 1 Gettext ユーティリティを http://www.gnu.org/software/gettext/ からダウンロードし、管理用のコン ピュータ(リモートのユーザ コンピュータ以外)にインストールします。 ステップ 2 AnyConnect クライアントがインストールされたコンピュータにある、AnyConnect メッセージ テンプ レート AnyConnect.po を取得します。 ステップ 3 この AnyConnect.po ファイルを編集し(notepad.exe または任意のプレーン テキスト エディタを使 用)、必要に応じて文字列を変更します。 ステップ 4 Gettext のメッセージ ファイル コンパイラを実行して、次のように .po ファイルから .mo ファイルを作 成します。 msgfmt -o AnyConnect.mo AnyConnect.po ステップ 5 .mo ファイルを、ユーザのコンピュータ上の適切なフォルダに格納します。 新しい翻訳テンプレートと変換テーブルの統合 当社では、クライアント接続に関する有用な情報を提供するため、AnyConnect ユーザに表示する新し いメッセージを追加することがあります。そのような新しいメッセージの翻訳を可能にするため、当社 で新しいメッセージ文字列を作成し、それを最新のクライアント イメージにパッケージされた翻訳テ ンプレートに含めてあります。そのため、最新のクライアントにアップグレードすると、新しいメッ セージが含まれたテンプレートも入手できます。ただし、前のクライアントに含まれていたテンプレー トを基礎に変換テーブルを作成してある場合は、リモート ユーザに新しいメッセージが自動的に表示 されるわけではありません。最新のテンプレートを変換テーブルに統合し、変換テーブルに新しいメッ セージを含める必要があります。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 6-25 第6章 AnyConnect クライアントの GUI とインストーラのローカライズ AnyConnect クライアントとインストーラのカスタマイズとローカライズ 統合には、便利なサードパーティ製のツールを利用できます。GNU プロジェクトの Gettext ユーティ リティには Windows 版があり、コマンド ウィンドウで実行できます。詳しくは、GNU の Web サイト (gnu.org)を参照してください。また、Poedit などの、Gettext を使用する GUI ベースのユーティリ ティを使用することもできます。このソフトウェアは poedit.net から入手できます。両方の手順を次に 示します。 ステップ 1 [ リモート アクセス VPN(Remote Access VPN)] > [ 言語のローカリゼーション(Language Localization)] > [ テンプレート(Templates)] を選択し、最新の AnyConnect 翻訳テンプレートをエ クスポートします。AnyConnect.pot というファイル名で、テンプレートをエクスポートします。この ファイル名にすると、msgmerge.exe プログラムからメッセージ カタログ テンプレートとして認識され ます。 (注) ステップ 2 この手順は、すでに最新の AnyConnect イメージ パッケージをセキュリティ アプライアンスに ロードしてあることが前提になっています。まだロードしていない場合は、テンプレートをエ クスポートできません。 AnyConnect テンプレートおよび変換テーブルを統合します。 Windows 版の Gettext ユーティリティを使用している場合は、コマンド プロンプト ウィンドウを開き、 次のコマンドを実行します。このコマンドでは、次のように、AnyConnect 変換テーブル(.po)とテ ンプレート(.pot)が統合され、AnyConnect_merged.po ファイルが新しく作成されます。 msgmerge -o AnyConnect_merged.po AnyConnect.po AnyConnect.pot このコマンドの実行結果の例を次に示します。 C:¥Program Files¥GnuWin32¥bin> msgmerge -o AnyConnect_merged.po AnyConnect.po AnyConnect.pot ....................................... done. Poedit を使用している場合は、初めに AnyConnect.po ファイルを開きます。それには、[ ファイル (File)] > [ 開く(Open)] > <AnyConnect.po> の順に選択します。 次に、[ カタログ(Catalog)] > [POT ファイル を元に更新します(Update from POT file )] > <AnyConnect.pot> の順に選択して、テンプレートと統合します。 新しい文字列と使用されなくなった文字列の両方を示す、[ サマリを更新中(Update Summary)] ウィ ンドウが表示されます。ファイルを保存します。このファイルを次の手順でインポートします。 ステップ 3 [ リモート アクセス VPN(Remote Access VPN)] > [ 言語のローカリゼーション(Language Localization)] から、統合した変換テーブルをインポートします。[ インポート(Import)] をクリッ クし、言語を指定して、翻訳ドメインとして AnyConnect を選択します。インポートするファイルとし て AnyConnect_merged.po を指定します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 6-26 OL-20841-01-J C H A P T E R 7 通信ユーザのガイドライン VPN ユーザとの通信に関しては、次のガイドラインを検討してください。また、ユーザからガイドラ インを求められたときに、この項を参考にしてください。ここでは、次の項目について説明します。 • 「AnyConnect CLI コマンドを使用した接続(スタンドアロン モード)」(P.7-1) • 「ログアウト」(P.7-3) • 「セキュア接続(鍵)アイコンの設定」(P.7-3) AnyConnect CLI コマンドを使用した接続(スタンドアロ ン モード) Cisco AnyConnect VPN Client には、グラフィカル ユーザ インターフェイスを使用せずにコマンドを 発行することを希望するユーザ向けに、CLI があります。次の項では、CLI コマンド プロンプトの起 動方法について説明します。 Windows の場合 Windows システムで CLI コマンド プロンプトを起動し、コマンドを発行するには、Windows のフォ ルダ C:¥Program Files¥Cisco¥Cisco AnyConnect VPN Client にあるファイル vpncli.exe を探します。 ファイル vpncli.exe をダブルクリックします。 Linux および Mac OS X の場合 Linux システムまたは Mac OS X システムで CLI コマンド プロンプトを起動し、コマンドを発行する には、フォルダ /opt/cisco/vpn/bin/ にあるファイル vpn を探します。ファイル vpn を実行します。 CLI は、独自のプロンプトが表示される対話モードで実行するか、コマンドを使用してコマンドライン で実行することができます。表 7-1 に、CLI コマンドを示します。 表 7-1 コマンド AnyConnect クライアント CLI コマンド 処理 connect IP アドレスまたはエ 特定のセキュリティ アプライアンスへの接続を確立します。 イリアス disconnect 前に確立した接続を閉じます。 stats 確立した接続に関する統計情報を表示します。 quit CLI 対話モードを終了します。 exit CLI 対話モードを終了します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 7-1 第7章 通信ユーザのガイドライン AnyConnect CLI コマンドを使用した接続(スタンドアロン モード) 次の例は、ユーザがコマンドラインから接続を確立し、終了する例です。 Windows connect 209.165.200.224 アドレスが 209.165.200.224. のセキュリティ アプライアンスへの接続を確立します。200.224. 要求さ れたホストに接続した後、AnyConnect クライアントは、ユーザが属するグループを表示し、ユーザの ユーザ名とパスワードを要求します。オプションのバナーが指定されている場合、ユーザはバナーに応 答する必要があります。デフォルトの応答は n で、接続試行を終了します。次の例を参考にしてくだ さい。 VPN> connect 209.165.200.224 >>contacting host (209.165.200.224) for login information... >>Please enter your username and password. Group: testgroup Username: testuser Password: ******** >>notice: Please respond to banner. VPN> STOP! Please read. Scheduled system maintenance will occur tonight from 1:00-2:00 AM for one hour. The system will not be available during that time. accept? [y/n] y >> notice: Authentication succeeded. Checking for updates... >> state: Connecting >> notice: Establishing connection to 209.165.200.224. >> State: Connected >> notice: VPN session established. VPN> stats 現在の接続の統計情報を表示します。次の例を参考にしてください。 VPN> stats [ Tunnel Information ] Time Connected:01:17:33 Client Address:192.168.23.45 Server Address:209.165.200.224 [ Tunnel Details ] Tunneling Mode:All Traffic Protocol: DTLS Protocol Cipher: RSA_AES_256_SHA1 Protocol Compression: None [ Data Transfer ] Bytes (sent/received): 1950410/23861719 Packets (sent/received): 18346/28851 Bypassed (outbound/inbound): 0/0 Discarded (outbound/inbound): 0/0 [ Secure Routes ] Network 0.0.0.0 VPN> Subnet 0.0.0.0 disconnect 前に確立した接続を閉じます。次の例を参考にしてください。 VPN> disconnect Cisco AnyConnect VPN Client アドミニストレータ ガイド 7-2 OL-20841-01-J 第7章 通信ユーザのガイドライン ログアウト >> state: Disconnecting >> state: Disconnected >> notice: VPN session ended. VPN> quit または exit どちらかのコマンドで、CLI の対話モードを終了します。次の例を参考にしてください。 quit goodbye >>state: Disconnected Linux または Mac OS X /opt/cisco/vpn/bin/vpn connect 1.2.3.4 アドレスが 1.2.3.4 のセキュリティ アプライアンスへの接続を確立します。 /opt/cisco/vpn/bin/vpn connect some_asa_alias プロファイルを読み込み、エイリアス some_asa_alias を検索してアドレスを探し、セキュリティ アプ ライアンスへの接続を確立します。 /opt/cisco/vpn/bin/vpn stats VPN 接続に関する統計情報を表示します。 /opt/cisco/vpn/bin/vpn disconnect VPN セッションがある場合、接続解除します。 ログアウト セキュリティ ノート:セッションを終了するときは、必ずログアウトしてください。特に、図書館や インターネット カフェなど共用コンピュータを使用する場合は、ログアウトが重要です。ログアウト しないと、次にコンピュータを使用した人が、ファイルにアクセスできる可能性があります。組織をセ キュリティ リスクにさらさないでください。必ずログアウトしてください。 セキュア接続(鍵)アイコンの設定 鍵のアイコンは、セキュアな接続を示しています。Windows XP では、最近使用されていない他のアイ コンと同様に、このアイコンが自動的に非表示になります。Windows XP でこのアイコンが非表示にさ れないようにするには、次の手順に従ってください。 ステップ 1 トレイ アイコンが表示されたタスクバーの、かぎカッコ(<)を右クリックします。 ステップ 2 [ 通知のカスタマイズ ...(Customize Notifications...)] を選択します。 ステップ 3 [Cisco Systems AnyConnect VPN Client] を選択し、[ 常に表示(Always Show)] に設定します。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 7-3 第7章 通信ユーザのガイドライン セキュア接続(鍵)アイコンの設定 Cisco AnyConnect VPN Client アドミニストレータ ガイド 7-4 OL-20841-01-J C H A P T E R 8 AnyConnect セッションの管理、モニタリン グ、およびトラブルシューティング この章では、次のテーマおよびタスクについて説明します。 • 「すべての VPN セッションの接続解除」(P.8-1) • 「個別の VPN セッションの接続解除」(P.8-1) • 「詳細な統計情報の表示」(P.8-2) • 「VPN 接続の問題の解決」(P.8-4) • 「DART を使用したトラブルシューティング情報の収集」(P.8-5) すべての VPN セッションの接続解除 すべての AnyConnect クライアントと SSL VPN セッションをログオフするには、グローバル コンフィ ギュレーション モードで vpn-sessiondb logoff svc コマンドを使用します。 vpn-sessiondb logoff svc これに応答して、システムが、VPN セッションをログオフすることの確認を要求します。Enter キーま たは y キーを押して確認します。ログオフをキャンセルするには、その他のキーを押します。 次の例は、すべての SSL VPN セッションをログオフします。 hostname# vpn-sessiondb logoff svc INFO: Number of sessions of type "svc" logged off : 1 Do you want to logoff the VPN session(s)? [confirm] INFO: Number of sessions logged off : 6 hostname# 個別の VPN セッションの接続解除 name オプション、または index オプションを使用すると、個別にセッションをログオフできます。 vpn-sessiondb logoff name name vpn-sessiondb logoff index index たとえば、ユーザ tester をログオフさせるには、次のコマンドを入力します。 hostname# vpn-sessiondb logoff name tester Do you want to logoff the VPN session(s)? [confirm] INFO: Number of sessions with name "tester" logged off : 1 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 8-1 第8章 AnyConnect セッションの管理、モニタリング、およびトラブルシューティング 詳細な統計情報の表示 hostname# ユーザ名とインデックス番号(クライアント イメージの順に付与)は、どちらも show vpn-sessiondb svc コマンドの出力に表示されます。 次の例では、vpn-sessiondb logoff コマンドの name オプションを使用して、セッションを終了してい ます。 hostname# vpn-sessiondb logoff name testuser INFO: Number of sessions with name "testuser" logged off : 1 詳細な統計情報の表示 現在の AnyConnect クライアント セッションについての統計情報を表示するには、ユーザ GUI の [ 詳 細(Details)] ボタンをクリックします。 [ 統計情報の詳細(Statistics Details)] ダイアログが表示されます。このウィンドウの [ 統計情報 (Statistics)] タブでは、統計情報のリセットとエクスポート、およびトラブルシューティング用の ファイル収集を行えます。 図 8-1 AnyConnect VPN クライアントの [ 統計情報の詳細(Statistics Details)] ダイアログ このウィンドウに表示されるオプションは、クライアント PC にロードされているパッケージによって 異なります。オプションを使用できない場合は、ダイアログボックスでそのオプション ボタンがアク ティブにならず、オプション名の横に「(未インストール(Not Installed))」と表示されます。オプ ションは次のとおりです。 • [ 元に戻す(Reset)] をクリックすると、接続情報がゼロにリセットされます。AnyConnect によ る新しいデータの収集がすぐに開始されます。 • [ 統計情報のエクスポート ...(Export Stats...)] をクリックすると、接続の統計情報がテキスト ファイルに保存され、あとから分析とデバッグを行えます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 8-2 OL-20841-01-J 第8章 AnyConnect セッションの管理、モニタリング、およびトラブルシューティング 詳細な統計情報の表示 • [ トラブルシューティング ...(Troubleshoot...)] をクリックすると、DART(Diagnostic AnyConnect Reporting Tool)ウィザードが起動されます。指定したログ ファイルと診断情報を結 び付けることで、AnyConnect のクライアント接続の分析とデバッグに使用できます。DART パッ ケージの詳細については、「DART を使用したトラブルシューティング情報の収集」(P.8-5)を参 照してください。 Windows Mobile デバイスでの統計情報の表示 Windows Mobile デバイスの AnyConnect ユーザも、画面右下の [ メニュー(Menu)] をクリックし、 表示されたメニューから希望する機能を選択すると、統計情報の詳細のエクスポート機能とロギング機 能を使用できます(図 8-2)。 図 8-2 Windows Mobile の [ ロギング(Logging)] メニュー [ ロギング(Logging)] をクリックすると、ロギング設定ダイアログボックスが表示されます (図 8-3)。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 8-3 第8章 AnyConnect セッションの管理、モニタリング、およびトラブルシューティング VPN 接続の問題の解決 図 8-3 Windows Mobile のロギング設定ダイアログボックス このダイアログボックスのスライダーを動かすと、ログ ファイルの総数と、1 つのログ ファイルの容 量を制御し、タスクの実行タイミングをイネーブルにできます。 [ ログを参照(Browse Logs)] をクリックすると、別のブラウザ ウィンドウにログ メッセージの HTML リストが表示されます。 VPN 接続の問題の解決 次の項は、VPN 接続の問題を解決するために参照してください。 MTU サイズの調整 多くの家庭用エンド ユーザ終端装置(ホーム ルータなど)は、IP フラグメントの作成またはアセンブ リを適切に処理しません。特に UDP の場合はそうなります。DTLS は UDP ベースのプロトコルであ るため、場合によってはフラグメンテーションを防止するため、MTU を小さくする必要があります。 MTU パラメータでは、クライアントとセキュリティ アプライアンスにトンネルで転送するパケットの 最大サイズが設定されます。VPN ユーザで大量のパケット損失が発生している場合、または Microsoft Outlook などのアプリケーションがトンネル経由で機能しない場合は、フラグメンテーションの問題が 発生している可能性があります。ユーザまたはユーザのグループの MTU を減らすことで、問題を解決 できることがあります。 AnyConnect クライアントが確立する SSL VPN 接続の最大伝送ユニット サイズ(256 ~ 1406 バイト) を調整するには、次の手順に従ってください。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 8-4 OL-20841-01-J 第8章 AnyConnect セッションの管理、モニタリング、およびトラブルシューティング DART を使用したトラブルシューティング情報の収集 ステップ 1 ASDM インターフェイスで、[ 設定(Configuration)] > [ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クライアント)アクセス(Network (Client) Access)] > [ グループ ポリ シー(Group Policies)] > [ 追加(Add)] または [ 編集(Edit)] の順に選択します。 [ 内部グループ ポリシーの編集(Edit Internal Group Policy)] ダイアログボックスが表示されます。 ステップ 2 [ 詳細(Advanced)] > [SSL VPN クライアント(SSL VPN Client)] の順に選択します。 ステップ 3 [ 継承(Inherit)] チェックボックスをオフにして、MTU フィールドで適切な値を指定します。 デフォルトのグループ ポリシーでは、このコマンドのデフォルトのサイズが 1406 です。MTU サイズ は、接続に使用するインターフェイスの MTU から IP/UDP/DTLS オーバーヘッドを減算して、自動的 に調整されます。 この設定が影響を与えるのは、SSL で確立された AnyConnect クライアント接続と、SSL with DTLS で確立された AnyConnect クライアント接続だけです。 圧縮の排除による VPN パフォーマンスの向上と Windows Mobile 接続の 許可 低帯域幅の接続では、圧縮によって転送されるパケットのサイズが削減され、セキュリティ アプライ アンスとクライアントとの間の通信パフォーマンスが向上します。デフォルトでは、グローバル レベ ルと特定のグループまたはユーザ レベルの両方で、すべての SSL VPN 接続で圧縮がセキュリティ ア プライアンスでイネーブルになっています。ブロードバンド接続では、圧縮によってパフォーマンスが 低下することがあります。 (注) Windows Mobile 用の AnyConnect クライアントは、圧縮をサポートしていません。 グローバルな圧縮設定が、デフォルトでイネーブルになっています。グローバルに圧縮を設定するに は、グローバル コンフィギュレーション モードから CLI コマンド compression svc コマンドを使用し ます。 DART を使用したトラブルシューティング情報の収集 DART は Diagnostic AnyConnect Reporting Tool の略で、AnyConnect のインストールと接続に関する 問題のトラブルシューティングに役立つデータの収集に使用できます。DART は、Windows 7、Vista、 および XP と、Mac OS、Linux をサポートしています。DART は、Windows 7、Vista、および XP と、 Mac OS、Linux をサポートしています。 DART ウィザードは、AnyConnect クライアントが稼動するコンピュータ上で実行されます。DART に よってログ、状態情報、および診断情報が収集され、それを Cisco Technical Assistance Center(TAC) での分析に使用できます。DART の実行に管理者権限は不要です。 DART は、AnyConnect ソフトウェアのコンポーネントに依存せずに機能しますが、AnyConnect から 起動可能で、AnyConnect ログ ファイル(ある場合)の収集を行います。 どのバージョンの DART も、すべてのバージョンの AnyConnect に使用できます。それぞれのバー ジョン番号は同期していません。DART を最適化するためには、使用する AnyConnect のバージョン にかかわらず、AnyConnect VPN Client ソフトウェア ダウンロード サイトにある最新のバージョンを ダウンロードするようにしてください。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 8-5 第8章 AnyConnect セッションの管理、モニタリング、およびトラブルシューティング DART を使用したトラブルシューティング情報の収集 現在のところ、DART は単独でインストールできますが、AnyConnect ダイナミック ダウンロード イ ンフラストラクチャの一部として、このアプリケーションを管理者がクライアント PC にプッシュする こともできます。インストールされると、[ スタート(Start)] ボタンにある Cisco フォルダから、 DART ウィザードを起動できます。 (注) シスコがお客様に DART を提供しているのは、重要なトラブルシューティング情報を簡単に収集でき るようにするためですが、DART はリリース サイクルの「ベータ」フェーズであることに注意してく ださい。 DART ソフトウェアの入手 DART は、AnyConnect クライアントのダウンロードおよびインストール パッケージに含まれ、単体 の .msi ファイルとしても入手できます。 どのバージョンの DART も、すべてのバージョンの AnyConnect に使用できます。それぞれのバー ジョン番号は同期していません。DART を最適化するためには、使用する AnyConnect のバージョン にかかわらず、AnyConnect VPN Client ソフトウェア ダウンロード サイトにある最新のバージョンを ダウンロードするようにしてください。 Cisco.com にある、DART ファイルを含む AnyConnect ダウンロード ファイルは次のとおりです。最 新のバージョン番号については、『Release Notes for Cisco AnyConnect VPN Client』を参照してくだ さい。 • anyconnect-all-packages-2.4.version-k9.zip:すべての AnyConnect パッケージが含まれていま す。 • anyconnect-dart-win-2.4.version-k9.pkg:DART のインストール パッケージだけが含まれ、 AnyConnect または vpngina ソフトウェアは含まれていません。DART を単体のアプリケーション としてインストールする場合は、これを使用してください。 DART のインストール 管理者は、DART を AnyConnect インストレーションの一部として含めることができます。または、 Cisco.com の登録ユーザが「DART ソフトウェアの入手」の説明に従って、 http://www.cisco.com/cgi-bin/tablebuild.pl/anyconnect からファイルをダウンロードし、PC に手動で インストールすることもできます。 ユーザが AnyConnect クライアントをダウンロードすると、新しいバージョンの DART がある場合は それも、自動的にユーザの PC にダウンロードされます。新しいバージョンの AnyConnect クライアン トが、自動アップグレードの中でダウンロードされると、新しいバージョンの DART がある場合は、 それもダウンロード ファイルに含まれます。 (注) グループ ポリシー設定(svc modules コマンドまたは対応する ASDM ダイアログで設定)に dart キーワードがない場合は、DART がパッケージに含まれていても、AnyConnect は DART をインス トールしません。 AnyConnect を使用した DART のインストール この手順では、次回リモート ユーザが接続するときに、そのユーザのマシンに DART がダウンロード されます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 8-6 OL-20841-01-J 第8章 AnyConnect セッションの管理、モニタリング、およびトラブルシューティング DART を使用したトラブルシューティング情報の収集 ステップ 1 他のシスコのソフトウェア パッケージと同様に、DART を含む AnyConnect パッケージをセキュリ ティ アプライアンスにロードします。 ステップ 2 DART を含む AnyConnect の .pkg ファイルをセキュリティ アプライアンスにインストール後、明示的 に DART をリモート ユーザのマシンにインストールする必要があります。これは、次のように ASDM または CLI を使用して実行します。 • ASDM を使用する場合は、[ 設定(Configuration)] をクリックしてから、[ リモート アクセス VPN(Remote Access VPN)] > [ ネットワーク(クライアント)アクセス(Network (Client) Access)] > [ グループ ポリシー(Group Policy)] の順にクリックします。 新しいグループ ポリシーを追加するか、既存のグループ ポリシーを編集します。グループ ポリ シーのダイアログボックスで、[ 詳細(Advanced)] を展開し、[SSL VPN クライアント(SSL VPN Client)] をクリックします。 [SSL VPN クライアント(SSL VPN Client)] ダイアログボックスで、[ ダウンロードするオプ ションのクライアント モジュール(Optional Client Modules to Download)] オプションの [ 継承 (Inherit)] をオフにします。このオプションのドロップダウン リストから dart モジュールを選択 します。 使用するバージョンの ASDM に、DART オプションのチェックボックスがない場合は、フィール ドにキーワード dart を入力します。DART と Start Before Logon の両方をイネーブルにするには、 dart と vpngina の両方を任意の順序でカンマで区切ってフィールドに入力します。 [OK] をクリックしてから、[ 適用(Apply)] をクリックします。 • CLI を使用する場合は、svc modules value dart コマンドを使用します。 (注) あとで svc modules none に変更したり、[ ダウンロードするオプションのクライアント モジュール (Optional Client Modules to Download)] フィールドの DART の選択を解除しても、DART はインス トールされたままになります。セキュリティ アプライアンスからは DART をアンインストールできま せん。DART を削除するには、Windows のコントロール パネルの、[ プログラムの追加と削除 (Add/Remove Programs)] を使用してください。この方法で DART を削除しても、ユーザが AnyConnect クライアントを使用して再接続すると、自動的に再インストールされます。上位バージョ ンの DART を含んだ AnyConnect パッケージがセキュリティ アプライアンスにアップロードされ、設 定されている場合は、ユーザが接続すると DART が自動的にアップグレードされます。 DART の実行方法については、「Windows PC での DART の実行」(P.8-8)を参照してください。 ホストへの DART の手動インストール ステップ 1 Cisco.com から DART ソフトウェアを入手します。「DART ソフトウェアの入手」(P.8-6)を参照し て、anyconnect-dart-win-2.4.version-k9.pkg をローカルにインストールします。 ステップ 2 WinZip® などのファイル圧縮ユーティリティを使用して、anyconnect-dart-win-2.4.version-k9.pkg の内容を、ディレクトリ構造を維持した状態で展開します。 ステップ 3 anyconnect-dart-win-2.4.version-k9.pkg ファイルの内容を展開して作成された binaries ディレクト リを開きます。 ステップ 4 anyconnect-dart-win-2.4.version-k9.msi ファイルをダブルクリックして、[DART セットアップ ウイ ザード(DART Setup Wizard] を起動します。 ステップ 5 初期画面で [ 次へ(Next)] をクリックします。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 8-7 第8章 AnyConnect セッションの管理、モニタリング、およびトラブルシューティング DART を使用したトラブルシューティング情報の収集 ステップ 6 [ ライセンス契約に同意する(I accept the terms in the License Agreement)] を選択して、エンド ユー ザのライセンス契約に同意し、[ 次へ(Next)] をクリックします。 ステップ 7 [ インストール(Install)] をクリックして、DART をインストールします。インストール ウィザード によって、DartOffline.exe が <System Drive>:¥Program Files¥Cisco¥Cisco DART ディレクトリにイ ンストールされます。 ステップ 8 [ 完了(Finish)] をクリックして、インストールを完了します。 DART の実行方法については、「Windows PC での DART の実行」(P.8-8)を参照してください。 Windows PC での DART の実行 Windows PC で DART ウィザードを実行して DART バンドルを作成するには、次の手順に従ってくだ さい。 ステップ 1 AnyConnect クライアント GUI を起動します。 ステップ 2 [ 統計情報(Statistics)] タブをクリックしてから、ダイアログボックス下部の [ 詳細(Details)] ボタ ンをクリックします。[ 統計情報の詳細(Statistics Details)] ダイアログボックスが表示されます。 ステップ 3 [ 統計情報の詳細(Statistics Details)] ウィンドウ下部の [ トラブルシューティング(Troubleshoot)] をクリックします。 ステップ 4 初期画面で [ 次へ(Next)] をクリックします。[ バンドル作成オプション(Bundle Creation Option)] ダイアログボックスが表示されます。 ステップ 5 [ バンドル作成オプション(Bundle Creation Option)] エリアで、[ デフォルト(Default)] または [ カ スタム(Custom )] を選択します。 • [ デフォルト(Default)] オプションでは、代表的なログ ファイルと診断情報が含まれます。たと えば、AnyConnect ログ ファイルや Cisco Secure Desktop ログ ファイル、コンピュータの一般情 報、DART が実行した内容と実行しなかった内容についての要約などが含まれます。 [ デフォルト(Default)] を選択してから、ダイアログボックス下部の [ 次へ(Next)] をクリック すると、DART のバンドル作成が開始されます。バンドルのデフォルト名は DARTBundle.zip で、 ローカル デスクトップに保存されます。 • [ カスタム(Custom)] を選択した場合は、[ 次へ(Next)] をクリックすると、DART ウィザード によってさらにダイアログボックスが表示され、バンドルに含めるファイルや、バンドルの保存場 所を指定します。 ヒント [ カスタム(Custom)] を選択すると、バンドルに含めるファイルはデフォルトのままにして、 ファイルの保存場所だけは別の場所を指定するということもできます。 ステップ 6 DART バンドルを暗号化するには、[ 暗号化オプション(Encryption Option)] エリアで [ バンドルの 暗号化をイネーブルにする(Enable Bundle Encryption )] にチェックを入れてから、[ 暗号化パスワー ド(Encryption Password)] フィールドにパスワードを入力します。オプションで [ パスワードをマス ク(Mask Password)] を選択すると、[ 暗号化パスワード(Encryption Password)] フィールドおよび [ パスワードの再入力(Reenter Password)] フィールドに入力したパスワードが、アスタリスク(*) でマスクされるようになります。 ステップ 7 [ 次へ(Next)] をクリックします。[ デフォルト(Default)] を選択した場合、DART はバンドルの作 成を開始します。[ カスタム(Custom)] を選択した場合は、ウィザードが次のステップに進みます。 Cisco AnyConnect VPN Client アドミニストレータ ガイド 8-8 OL-20841-01-J 第8章 AnyConnect セッションの管理、モニタリング、およびトラブルシューティング DART を使用したトラブルシューティング情報の収集 ステップ 8 [ ログ ファイルの選択(Log File Selection)] ダイアログボックスで、バンドルに含めるログ ファイル と設定ファイルを選択します。DART が通常状態で収集するファイルのリストをデフォルトに戻すに は、[ デフォルトに戻す(Restore Default)] をクリックします。[ 次へ(Next)] をクリックします。 ステップ 9 [ 診断情報の選択(Diagnostic Information Selection)] ダイアログボックスで、バンドルに含める診断 情報を選択します。DART が通常状態で収集するファイルのリストをデフォルトに戻すには、[ デフォ ルトに戻す(Restore Default)] をクリックします。[ 次へ(Next)] をクリックします。 ステップ 10 [ コメントとターゲット バンドルの場所(Comments and Target Bundle Location)] ダイアログボック スで、次のフィールドを設定します。 • [ コメント(Comments)] エリアに、バンドルに含めるコメントを入力します。入力したコメント は、DART のバンドルに含められる comments.txt ファイルに保存されます。 • [ ターゲット バンドルの場所(Target Bundle Location)] フィールドで、バンドルの保存場所を参 照します。 [ 次へ(Next)] をクリックします。 ステップ 11 [ 要約(Summary)] ダイアログボックスでカスタマイズの内容を確認し、[ 次へ(Next)] をクリック してバンドルを作成するか、[ 戻る(Back)] をクリックしてカスタマイズの内容に変更を加えます。 ステップ 12 DART のバンドル作成が終了したら、[ 完了(Finish)] をクリックします。 ヒント 状況によっては、DART の実行に数分以上かかったという報告を受けることがあります。デフォルト リストのファイル収集に長い時間を要している思われる場合は、[ キャンセル(Cancel)] をクリック してからウィザードを再実行し、カスタム DART バンドルを作成して必要なファイルだけを選択して ください。 Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J 8-9 第8章 AnyConnect セッションの管理、モニタリング、およびトラブルシューティング DART を使用したトラブルシューティング情報の収集 Cisco AnyConnect VPN Client アドミニストレータ ガイド 8-10 OL-20841-01-J A P P E N D I X A オープン ソフトウェア ライセンスの通知事項 OpenSSL/Open SSL Project This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/). This product includes cryptographic software written by Eric Young ([email protected]). This product includes software written by Tim Hudson ([email protected]). License Issues The OpenSSL toolkit stays under a dual license, i.e. both the conditions of the OpenSSL License and the original SSLeay license apply to the toolkit.See below for the actual license texts.Actually both licenses are BSD-style Open Source licenses.In case of any license issues related to OpenSSL please contact [email protected]. OpenSSL License: Copyright © 1998-2009 The OpenSSL Project.All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions, and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgment: “This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/)”. 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to endorse or promote products derived from this software without prior written permission.For written permission, please contact [email protected]. 5. Products derived from this software may not be called "OpenSSL" nor may "OpenSSL" appear in their names without prior written permission of the OpenSSL Project. 6. Redistributions of any form whatsoever must retain the following acknowledgment: "This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/)". Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J A-1 付録 A オープン ソフトウェア ライセンスの通知事項 OpenSSL/Open SSL Project THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT "AS IS"' AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. This product includes cryptographic software written by Eric Young ([email protected]).This product includes software written by Tim Hudson ([email protected]). Original SSLeay License: Copyright © 1995-1998 Eric Young ([email protected]).All rights reserved. This package is an SSL implementation written by Eric Young ([email protected]). The implementation was written so as to conform with Netscape's SSL. This library is free for commercial and non-commercial use as long as the following conditions are adhered to.The following conditions apply to all code found in this distribution, be it the RC4, RSA, lhash, DES, etc., code; not just the SSL code.The SSL documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson ([email protected]). Copyright remains Eric Young's, and as such any Copyright notices in the code are not to be removed.If this package is used in a product, Eric Young should be given attribution as the author of the parts of the library used.This can be in the form of a textual message at program startup or in documentation (online or textual) provided with the package. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: "This product includes cryptographic software written by Eric Young ([email protected])". The word 'cryptographic' can be left out if the routines from the library being used are not cryptography-related. 4. If you include any Windows specific code (or a derivative thereof) from the apps directory (application code) you must include an acknowledgement: "This product includes software written by Tim Hudson ([email protected])". THIS SOFTWARE IS PROVIDED BY ERIC YOUNG "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY Cisco AnyConnect VPN Client アドミニストレータ ガイド A-2 OL-20841-01-J 付録 A オープン ソフトウェア ライセンスの通知事項 OpenSSL/Open SSL Project THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. The license and distribution terms for any publicly available version or derivative of this code cannot be changed.i.e. this code cannot simply be copied and put under another distribution license [including the GNU Public License]. Cisco AnyConnect VPN Client アドミニストレータ ガイド OL-20841-01-J A-3 付録 A オープン ソフトウェア ライセンスの通知事項 OpenSSL/Open SSL Project Cisco AnyConnect VPN Client アドミニストレータ ガイド A-4 OL-20841-01-J