Comments
Description
Transcript
Cisco ASA シリーズ VPN ASDM コンフィギュレーション ガイド
Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド ソ フ ト ウ ェ ア バージ ョ ン 7.4 ASA 5506-X、ASA 5506H-X、ASA 5506W-X、ASA 5508-X、ASA 5512-X、 ASA 5515-X、ASA 5516-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5585-X、 ASA サービ ス モジ ュ ール、適応型セキ ュ リ テ ィ 仮想ア プ ラ イ ア ン ス向け 初版:2015 年 3 月 23 日 最終更新日:2015 年 4 月 7 日 Cisco Systems, Inc. www.cisco.com シ ス コ は世界各国 200 箇所にオ フ ィ ス を開設 し ています。 各オ フ ィ スの住所、電話番号、FAX 番号は当社の Web サイ ト (www.cisco.com/go/offices) www.cisco.com/go/offices. Text Part Number: な し 、オ ン ラ イ ン専用 こ のマニ ュ アルに記載 さ れてい る仕様および製品に関する情報は、予告な し に変更 さ れる こ と があ り ます。こ のマ ニ ュ アルに記載 さ れてい る表現、情報、および推奨事項は、すべて正確であ る と 考え ていますが、明示的であれ黙示 的であれ、一切の保証の責任を負わない もの と し ます。こ のマニ ュ アルに記載 さ れてい る製品の使用は、すべて ユーザ側の責任にな り ます。 対象製品の ソ フ ト ウ ェ ア ラ イ セ ン ス お よ び限定保証は、製品に添付 さ れた『Information Packet』に記載 さ れてい ま す。添付 さ れていない場合には、代理店に ご連絡 く だ さ い。 The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California. こ こ に記載 さ れてい る 他のいか な る 保証に も よ ら ず、各社のすべてのマ ニ ュ アルお よ び ソ フ ト ウ ェ アは、障害 も 含めて「現状の ま ま 」 と し て提供 さ れ ま す。シ ス コ お よ び こ れ ら 各社は、商品性の保証、特定目的への準拠の保証、お よ び権利 を 侵害 し ない こ と に関す る 保証、あ る いは取引過程、使用、取引慣行に よ っ て発生す る 保証を は じ め と す る 、明示 さ れた ま たは黙示 さ れた一切の保証の責任 を負わない も の と し ま す。 いか な る 場合において も 、シ ス コ お よ びその供給者は、こ のマ ニ ュ アルの使用 ま たは使用で き ない こ と に よ っ て発生す る 利益の損失やデー タ の損傷 を は じ め と す る 、間接的、派生的、偶発的、あ る いは特殊な損害について、あ ら ゆ る 可能性が シ ス コ ま たはその供給者に知 ら さ れていて も 、それ ら に対す る 責任 を一切負わな い も の と し ま す。 Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. シ ス コ の商標の一覧は、 www.cisco.com/go/trademarks で ご確認いた だけ ま す。 Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R) こ のマ ニ ュ アルで使用 し てい る IP ア ド レ ス お よ び電話番号は、実際の ア ド レ ス お よ び電話番号を 示す も のでは あ り ま せん。マ ニ ュ アル内の例、コ マ ン ド 出力、 ネ ッ ト ワ ー ク ト ポ ロ ジ図、お よ びその他の図は、説明のみ を目的 と し て使用 さ れてい ま す。説明の中に実際の ア ド レ ス お よ び電話番号が使用 さ れていた と し て も 、それは意図的な も のではな く 、偶然の一致に よ る も のです。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド Copyright © 2015 Cisco Systems, Inc. All rights reserved. このマニ ュ アルについて • マ ニ ュ アルの目的、 iii ページ • 関連資料、 iii ページ • 表記法、 iv ページ • マ ニ ュ アルの入手方法お よ びテ ク ニ カル サポー ト 、 v ページ マニ ュ アルの目的 こ のマ ニ ュ アルの目的は、ASDM を使用 し て適応型セ キ ュ リ テ ィ ア プ ラ イ ア ン ス (ASA) 上で VPN を設定す る 支援をす る こ と です。こ のマ ニ ュ アルは、すべての機能を網羅 し てい る わけでは な く 、ご く 一般的な コ ン フ ィ ギ ュ レ ーシ ョ ン の事例を紹介 し てい ま す。 こ のマ ニ ュ アルは、Cisco ASA シ リ ーズに適用 さ れ ま す。こ のマ ニ ュ アル を通 じ て、「ASA」 と い う 語は、特に指定がない限 り 、サポー ト さ れてい る モデルに一般的に適用 さ れ ま す。 注 ASDM では、多数の ASA バージ ョ ン をサポー ト し ています。ASDM のマニ ュ アルおよびオン ラ イ ン ヘルプには、ASA でサポー ト さ れてい る最新機能がすべて含まれています。古いバージ ョ ンの ASA ソ フ ト ウ ェ ア を実行し てい る場合は、そのバージ ョ ンでサポー ト さ れていない機能が こ のマニ ュ ア ルに含まれてい る可能性があ り ます。各章の機能履歴表を参照し て、機能が追加 さ れた時期を確認し て く だ さ い。各 ASA のバージ ョ ンでサポー ト さ れてい る ASDM の最小バージ ョ ンについては、 『Cisco ASA Series Compatibility』を参照し て く だ さ い。 関連資料 詳細については、「Navigating the Cisco ASA Series Documentation」 (http://www.cisco.com/go/asadocs)を参照 し て く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド iii 表記法 こ のマ ニ ュ アルでは、次の表記法を使用 し てい ま す。 表記法 説明 太字 コ マ ン ド 、キー ワ ー ド 、お よ びユーザが入力す る テ キ ス ト は太字で記載 さ れ ま す。 イ タ リ ッ ク体 文書の タ イ ト ル、新規用語、強調す る 用語、お よ びユーザが値を指定す る 引数は、イ タ リ ッ ク 体 で示 し てい ま す。 [ ] 角カ ッ コ の中の要素は、省略可能です。 {x | y | z } 必ずいずれか 1 つを選択 し な ければな ら ない必須キー ワ ー ド は、波カ ッ コ で囲み、縦棒で区切っ て示 し てい ま す。 [x|y|z] いずれか 1 つを選択で き る 省略可能な キー ワ ー ド は、角カ ッ コ で囲み、縦 棒で区切っ て示 し てい ま す。 string 引用符を付け ない一組の文字。string の前後には引用符を使用 し ま せん。 引用符を使用す る と 、その引用符 も 含め て string と みな さ れ ま す。 courier フォン ト コ マ ン ド 、キー ワ ー ド 、お よ びユーザが入力 し た テ キ ス ト は、太字の フ ォ ン ト で示 し てい ま す。 太字の courier フォン ト イ タ リ ッ ク 体の courier フ ォ ン 注 ヒント 注意 シ ス テ ム が表示す る 端末セ ッ シ ョ ンお よ び情報は、courier フ ォ ン ト で示 し てい ま す。 courier ト ユーザが値を指定す る 引数は、イ タ リ ッ ク 体の courier フ ォ ン ト で示 し てい ま す。 < > パス ワー ド の よ う に出力 さ れない文字は、山カ ッ コ で囲んで示 し てい ます。 [ ] シ ス テ ム プ ロ ン プ ト に対す る デ フ ォ ル ト の応答は、角カ ッ コ で囲んで示 し てい ま す。 !、# コ ー ド の先頭に感嘆符(!) ま たはポ ン ド 記号(#)が あ る 場合には、コ メ ン ト 行で あ る こ と を示 し ま す。 「注釈」です。 「問題解決に役立つ情報」です。 「要注意」の意味です。機器の損傷 ま たはデー タ 損失を予防す る ための注意事項が記述 さ れてい ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド iv マニ ュ アルの入手方法およびテ ク ニ カル サポー ト マ ニ ュ アルの入手方法、テ ク ニ カル サポー ト 、その他の有用な情報について、次の URL で、毎月 更新 さ れ る 『What's New in Cisco Product Documentation』を参照 し て く だ さ い。シ ス コ の新規お よ び改訂版の技術マ ニ ュ アルの一覧 も 示 さ れてい ま す。 http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html 『What's New in Cisco Product Documentation』は、シ ス コ の新規お よ び改訂版の技術マ ニ ュ アル の一覧 も 示 し 、RSS フ ィ ー ド と し て購読で き ま す。ま た、リ ーダー ア プ リ ケーシ ョ ン を 使用 し て コ ン テ ン ツ を デ ス ク ト ッ プに配信す る こ と も で き ま す。RSS フ ィ ー ド は無料のサー ビ ス です。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド v Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド vi パ ー ト 1 サイ ト 間 VPN および ク ラ イ ア ン ト VPN CH A P T E R 1 VPN ウ ィ ザー ド 初版:2015 年 3 月 23 日 最終更新日:2015 年 4 月 7 日 VPN の概要 ASAは、ユーザがプ ラ イ ベー ト な接続 と 見なす TCP/IP ネ ッ ト ワ ー ク ( イ ン タ ーネ ッ ト な ど )全体 でセ キ ュ ア な接続を確立す る こ と に よ り 、バーチ ャ ル プ ラ イ ベー ト ネ ッ ト ワ ー ク を構築 し ま す。こ れに よ っ て、single-user-to-LAN 接続 と LAN-to-LAN 接続を確立で き ま す。 LAN-to-LAN 接続で IPv4 と IPv6 の両方のア ド レ ッ シ ン グ が使用 さ れてい る と き に、ASA で VPN ト ン ネルがサポー ト さ れ る のは、両方の ピ ア が ASA で あ り 、かつ両方の内部ネ ッ ト ワ ー ク の ア ド レ ッ シ ン グ方式が一致 し てい る (両方 と も IPv4 ま たは IPv6)場合です。こ れは、両方の ピ ア の内部ネ ッ ト ワ ー ク が IPv6 で外部ネ ッ ト ワ ー ク が IPv6 の場合に も 当ては ま り ま す。 セキ ュ アな接続は ト ン ネル と 呼ばれ、ASA は、ト ン ネ リ ン グ プ ロ ト コ ルを使用 し て、セキ ュ リ テ ィ パ ラ メ ー タ のネ ゴ シエー ト 、ト ン ネルの作成およ び管理、パケ ッ ト のカプセル化、ト ン ネルを通 し た パケ ッ ト の送信ま たは受信、パケ ッ ト のカプセル化の解除を行い ます。ASAは、双方向の ト ン ネル エン ド ポ イ ン ト と し て機能 し ます。た と えば、プ レーン パケ ッ ト を受信 し て カプセル化 し 、それを ト ン ネルの も う 一方の側に送信する こ と がで き ます。そのエン ド ポ イ ン ト で、パケ ッ ト はカプセル 化が解除 さ れ、最終的な宛先に送信 さ れます。ま た、セキ ュ リ テ ィ アプ ラ イ ア ン スは、カプセル化 さ れたパケ ッ ト を受信 し て カプセル化を解除 し 、それを最終的な宛先に送信する こ と も で き ます。 VPN ウ ィ ザー ド では、基本的な LAN-to-LAN お よ び リ モー ト ア ク セ ス VPN 接続を設定 し て、認 証のための事前共有キー ま たはデジ タ ル証明書を割 り 当て る こ と がで き ま す。ASDM を使用 し て拡張機能を編集お よ び設定 し て く だ さ い。 こ こ では、次の 4 つの VPN ウ ィ ザー ド について説明 し ま す。 • Clientless SSL VPN Wizard(1-2 ページ) ASA ク ラ イ ア ン ト レ ス SSL VPN では、ほぼすべての イ ン タ ーネ ッ ト 接続環境か ら の Secure Socket Layer(SSL) リ モー ト ア ク セ ス 接続機能を提供 し ま す。Web ブ ラ ウ ザ と そのネ イ テ ィ ブの SSL 暗号化機能だけで ア ク セ ス が可能です。こ のブ ラ ウ ザベー ス の VPN に よ り 、適応型 セ キ ュ リ テ ィ ア プ ラ イ ア ン ス へのセ キ ュ ア な リ モー ト ア ク セ ス VPN ト ン ネル を確立で き ま す。認証 さ れ る と 、ユーザにはポー タ ル ページが表示 さ れ、サポー ト さ れ る 特定の内部 リ ソ ー ス に ア ク セ ス で き る よ う にな り ま す。ネ ッ ト ワ ー ク 管理者は、グループ単位でユーザに リ ソ ー ス への ア ク セ ス 権限を付与 し ま す。ユーザは、内部ネ ッ ト ワ ー ク 上の リ ソ ー ス に直接 ア ク セ ス す る こ と はで き ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-1 第1章 VPN ウ ィ ザー ド Clientless SSL VPN Wizard • AnyConnect VPN Wizard(1-3 ページ) Cisco AnyConnect VPN ク ラ イ ア ン ト は ASA へのセキ ュ アな SSL 接続ま たは IPsec(IKEv2)接続 を提供 し 、こ れに よ り 、リ モー ト ユーザに よ る企業 リ ソ ースへのフル VPN ト ン ネ リ ン グが可能 と な り ます。事前に ク ラ イ ア ン ト が イ ン ス ト ール さ れていない場合、リ モー ト ユーザは、ク ラ イ ア ン ト レ ス VPN 接続を受け入れ る よ う に設定 さ れた イ ン タ ーフ ェ イ ス の IP ア ド レ ス をブ ラ ウ ザに入力 し ます。ASA は、リ モー ト コ ン ピ ュー タ のオペレーテ ィ ン グ シ ス テ ムに適合す る ク ラ イ ア ン ト を ダ ウ ン ロ ー ド し ます。ダ ウ ン ロ ー ド が完了する と 、ク ラ イ ア ン ト が自動的に イ ン ス ト ールお よ び設定 さ れ、セキ ュ ア接続が確立 さ れます。接続終了時に ク ラ イ ア ン ト が残 さ れる か、ア ン イ ン ス ト ール さ れ る かは、ASA の設定で決ま り ます。事前に ク ラ イ ア ン ト が イ ン ス ト ー ル さ れてい る場合は、ユーザの認証時に、ASA が ク ラ イ ア ン ト の リ ビ ジ ョ ン を検査 し 、必要に応 じ て ク ラ イ ア ン ト を ア ッ プグ レー ド し ます。 • IPsec IKEv2 Remote Access Wizard(1-5 ページ) IKEv2 に よ っ て、他のベン ダーの VPN ク ラ イ ア ン ト が ASA に接続で き ま す。こ のサポー ト に よ っ て セ キ ュ リ テ ィ が強化 さ れ る と と も に、IPsec リ モー ト ア ク セ ス に関 し て国や地方自 治体が定め る 要件 も 満た さ れ ま す。 • IPsec IKEv1 Remote Access Wizard(1-7 ページ) • IPsec Site-to-Site VPN Wizard(1-12 ページ) Clientless SSL VPN Wizard こ の ウ ィ ザー ド では、サポー ト さ れ る 特定の内部 リ ソ ー ス に対す る 、ポー タ ル ページ か ら の ク ラ イ ア ン ト レ ス ブ ラ ウ ザベー ス 接続を イ ネーブルに し ま す。 [SSL VPN Interface] 接続プ ロ フ ァ イ ル と 、SSL VPN ユーザの接続先 と な る イ ン タ ー フ ェ イ ス を指定 し ま す。 • [Connection Profile Name]:接続プ ロ フ ァ イ ルの名前 を指定 し ま す。 • [SSL VPN Interface]:SSL VPN 接続のためにユーザが ア ク セ ス す る イ ン タ ー フ ェ イ ス です。 • [Digital Certificate]:ASA の認証のために ASA か ら リ モー ト Web ブ ラ ウ ザに何を送信す る か を指定 し ま す。 – [Certificate]: ド ロ ッ プダ ウ ン リ ス ト か ら 選択 し ま す。 • Accessing the Connection Profile – [Connection Group Alias/URL]:グループ エ イ リ ア ス は ロ グ イ ン時に [Group] ド ロ ッ プダ ウ ン リ ス ト か ら 選択 さ れ ま す。こ の URL が Web ブ ラ ウ ザに入力 さ れ ま す。 – [Display Group Alias list at the login page]: ロ グ イ ン ページに グループ エ イ リ ア ス の リ ス ト を表示す る 場合にオ ン に し ま す。 [User Authentication] こ のペ イ ン では、認証情報を指定 し ま す。 • [Authenticate using a AAA server group]:ASAが リ モー ト AAA サーバ グループに ア ク セ ス し て ユーザ を認証で き る よ う にす る 場合に イ ネーブルに し ま す。 – [AAA Server Group Name]:事前設定 さ れた グループの リ ス ト か ら AAA サーバ グループ を選択す る か、[New] を ク リ ッ ク し て新 し い グループ を作成 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-2 第1章 VPN ウ ィ ザー ド AnyConnect VPN Wizard • [Authenticate using the local user database]:ASAに保存 さ れてい る ロ ーカル デー タ ベー ス に新 し いユーザ を追加 し ま す。 – [Username]:ユーザのユーザ名を作成 し ま す。 – [Password]:ユーザのパ ス ワ ー ド を作成 し ま す。 – [Confirm Password]:確認のために同 じ パ ス ワ ー ド を再入力 し ま す。 – [Add/Delete]: ロ ーカル デー タ ベース にユーザを追加ま たはデー タ ベース か ら 削除 し ます。 [Group Policy] グループ ポ リ シーに よ っ て、ユーザ グループの共通属性を設定 し ま す。新 し い グループ ポ リ シーを作成す る か、ま たは既存のポ リ シーを選択 し て修正 し ま す。 • [Create new group policy]:新 し い グループ ポ リ シーを作成で き ま す。新 し いポ リ シーの名前 を入力 し ま す。 • [Modify existing group policy]:修正す る 既存の グループ ポ リ シーを選択 し ま す。 [Bookmark List] グループ イ ン ト ラ ネ ッ ト Web サ イ ト の リ ス ト を設定 し ま す。こ れ ら のサ イ ト は、ポー タ ル ペー ジに リ ン ク と し て表示 さ れ ま す。例 と し ては、https://intranet.acme.com 、rdp://10.120.1.2 、 vnc://100.1.1.1 な ど が あ り ま す。 • [Bookmark List]: ド ロ ッ プダ ウ ン リ ス ト か ら 選択 し ま す。 • [Manage]:[Configure GUI Customization Object] ダ イ ア ロ グボ ッ ク ス を開 く 場合に ク リ ッ ク し ます。 AnyConnect VPN Wizard こ の ウ ィ ザー ド は、AnyConnect VPN ク ラ イ ア ン ト か ら の VPN 接続を受け入れ る よ う に ASA を 設定す る と き に使用 し ま す。こ の ウ ィ ザー ド では、フ ル ネ ッ ト ワ ー ク ア ク セ ス がで き る よ う に IPsec(IKEv2)プ ロ ト コ ル ま たは SSL VPN プ ロ ト コ ル を設定 し ま す。VPN 接続が確立 し た と き に、ASA に よ っ て自動的に AnyConnect VPN ク ラ イ ア ン ト がエ ン ド ユーザのデバ イ ス に ア ッ プ ロ ー ド さ れ ま す。 こ の ウ ィ ザー ド を実行 し て も 、事前展開シナ リ オにおいて自動的に IKEv2 プ ロ フ ァ イ ルが適用 さ れ る わけではない こ と について ユーザに注意を促 し ま す。IKEv2 を正常に事前展開す る のに 必要な指示 ま たは手順を示す必要が あ り ま す。 [Connection Profile Identification] [Connection Profile Identification] では、リ モー ト ア ク セ ス ユーザに対す る ASA を指定 し ま す。 • [Connection Profile Name]: リ モー ト ア ク セ ス ユーザが VPN 接続のために ア ク セ ス す る 名前 を指定 し ま す。 • [VPN Access Interface]: リ モー ト ア ク セ ス ユーザが VPN 接続のために ア ク セ ス す る イ ン タ ー フ ェ イ ス を選択 し ま す。 [VPN Protocols] こ の接続プ ロ フ ァ イ ルに対 し て許可す る VPN プ ロ ト コ ル を指定 し ま す。 AnyConnect ク ラ イ ア ン ト のデ フ ォ ル ト は SSL です。接続プ ロ フ ァ イ ルの VPN ト ン ネル プ ロ ト コ ル と し て IPsec を イ ネーブルに し た場合は、IPsec を イ ネーブルに し た ク ラ イ ア ン ト プ ロ フ ァ イ ル を作成 し て展開す る こ と も 必要にな り ま す(作成す る には、ASDM のプ ロ フ ァ イ ル エデ ィ タ を使用 し ま す)。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-3 第1章 VPN ウ ィ ザー ド AnyConnect VPN Wizard AnyConnect ク ラ イ ア ン ト の WebLaunch の代わ り に事前展開す る 場合は、最初の ク ラ イ ア ン ト 接続 で SSL を使用 し 、ク ラ イ ア ン ト プ ロ フ ァ イ ルを セ ッ シ ョ ン中に ASA か ら 受け取 り ます。以降の接 続では、ク ラ イ ア ン ト はそのプ ロ フ ァ イ ルで指定 さ れたプ ロ ト コ ル(SSL ま たは IPsec)を使用 し ま す。IPsec が指定 さ れたプ ロ フ ァ イ ルを ク ラ イ ア ン ト と と も に事前展開 し た場合は、最初の ク ラ イ ア ン ト 接続で IPsec が使用 さ れます。IPsec を イ ネーブルに し た状態の ク ラ イ ア ン ト プ ロ フ ァ イ ル を事前展開す る 方法の詳細については、『AnyConnect Secure Mobility Client Administrator Guide』を参 照 し て く だ さ い。 • SSL • IPsec (IKE v2) • [Device Certificate]: リ モー ト ア ク セ ス ク ラ イ ア ン ト に対す る ASA を指定 し ます。AnyConnect の 機能の中には、Always on や IPsec/IKEv2 の よ う に、有効なデバ イ ス証明書が ASA に存在する こ と を要件 と する も のがあ り ます。 • [Manage]:[Manage] を選択す る と [Manage Identity Certificates] ウ ィ ン ド ウ が開 き ま す。 – [Add]:ID 証明書 と その詳細情報を追加す る には、[Add] を選択 し ま す。 – [Show Details]:特定の証明書を選択 し て [Show Details] を ク リ ッ ク す る と 、[Certificate Details] ウ ィ ン ド ウ が開 き 、その証明書の発行対象者 と 発行者が表示 さ れ る ほか、シ リ ア ル番号、使用方法、対応す る ト ラ ス ト ポ イ ン ト 、有効期間な ど が表示 さ れ ま す。 – [Delete]:削除す る 証明書を強調表示 し て [Delete] を ク リ ッ ク し ま す。 – [Export]:証明書を強調表示 し て [Export] を ク リ ッ ク する と 、その証明書を フ ァ イ ルにエ ク ス ポー ト で き ます。こ の と き に、暗号化パス フ レーズ を付け る かど う かを指定で き ます。 – [Enroll ASA SSL VPN with Entrust]:Entrust か ら の SSL Advantage デジ タ ル証明書を使用 す る と 、す ぐ に Cisco ASA SSL VPN ア プ ラ イ ア ン ス の稼働を開始で き ま す。 [Client Images] ASA は、ク ラ イ ア ン ト デバ イ ス がエ ン タ ープ ラ イ ズ ネ ッ ト ワ ー ク に ア ク セ ス す る と き に、最新 の AnyConnect パ ッ ケージ を そのデバ イ ス に自動的に ア ッ プ ロ ー ド す る こ と がで き ま す。ブ ラ ウ ザのユーザ エージ ェ ン ト と イ メ ージ と の対応を、正規表現を使用 し て指定で き ま す。ま た、接続 の設定に要す る 時間を最小限にす る ために、最 も よ く 使用 さ れ る オペ レ ーテ ィ ン グ シ ス テ ム を リ ス ト の先頭に移動で き ま す。 [Authentication Methods] こ の画面では、認証情報を指定 し ま す。 • [AAA server group]:ASA が リ モー ト AAA サーバ グループに ア ク セ ス し て ユーザ を認証で き る よ う にす る 場合に イ ネーブルに し ま す。AAA サーバ グループ を、事前設定 さ れた グルー プの リ ス ト か ら 選択す る か、[New] を ク リ ッ ク し て新 し い グループ を作成 し ま す。 • [Local User Database Details]:ASA 上に格納 さ れてい る ロ ーカル デー タ ベー ス に新 し いユー ザ を追加 し ま す。 – [Username]:ユーザのユーザ名を作成 し ま す。 – [Password]:ユーザのパ ス ワ ー ド を作成 し ま す。 – [Confirm Password]:確認のために同 じ パ ス ワ ー ド を再入力 し ま す。 – [Add/Delete]: ロ ーカル デー タ ベース にユーザを追加ま たはデー タ ベース か ら 削除 し ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-4 第1章 VPN ウ ィ ザー ド IPsec IKEv2 Remote Access Wizard [Client Address Assignment] リ モー ト AnyConnect ユーザのための IP ア ド レ ス 範囲を指定 し ま す。 • [IPv4 Address Pools]:SSL VPN ク ラ イ ア ン ト は、ASA に接続 し た と き に新 し い IP ア ド レ ス を 受け取 り ま す。ク ラ イ ア ン ト レ ス 接続では新 し い IP ア ド レ ス は不要です。ア ド レ ス プールで は、リ モー ト ク ラ イ ア ン ト が受け取 る こ と ので き る ア ド レ ス 範囲が定義 さ れ ま す。既存の IP ア ド レ ス プール を選択す る か、[New] を ク リ ッ ク し て新 し いプール を作成 し ま す。 [New] を選択 し た場合は、開始 と 終了の IP ア ド レ ス お よ びサブネ ッ ト マ ス ク を指定す る 必 要が あ り ま す。 • [IPv6 Address Pool]:既存の IP ア ド レ ス プール を選択す る か、[New] を ク リ ッ ク し て新 し い プール を作成 し ま す。 注 IPv6 ア ド レ ス プールは、IKEv2 接続プ ロ フ ァ イ ル用には作成で き ま せん。 [Network Name Resolution Servers] リ モー ト ユーザが内部ネ ッ ト ワ ー ク に ア ク セ ス す る と き に ど の ド メ イ ン名を解決す る か を指定 し ま す。 • [DNS Servers]:DNS サーバの IP ア ド レ ス を入力 し ま す。 • [WINS Servers]:WINS サーバの IP ア ド レ ス を入力 し ま す。 • [Domain Name]:デ フ ォ ル ト の ド メ イ ン名を入力 し ま す。 [NAT Exempt] ASA 上でネ ッ ト ワ ー ク 変換が イ ネーブルに設定 さ れてい る 場合は、VPN ト ラ フ ィ ッ ク に対 し て こ の変換を免除す る 必要が あ り ま す。 [AnyConnect Client Deployment] 次の 2 つの方法のいずれか を使用 し て、AnyConnect ク ラ イ ア ン ト プ ロ グ ラ ム を ク ラ イ ア ン ト デ バ イ ス に イ ン ス ト ールで き ま す。 • WebLaunch:AnyConnect ク ラ イ ア ン ト パ ッ ケージは、Web ブ ラ ウ ザ を使用 し て ASA に ア ク セ ス し た と き に自動的に イ ン ス ト ール さ れ ま す。 • 事前展開:手動で AnyConnect ク ラ イ ア ン ト パ ッ ケージ を イ ン ス ト ール し ま す。 [Allow Web Launch] は、すべて の接続に影響が及ぶグ ロ ーバル設定です。こ のチ ェ ッ ク ボ ッ ク ス がオ フ(許可 し な い)の場合は、AnyConnect SSL 接続 と ク ラ イ ア ン ト レ ス SSL 接続は機能 し ま せん。 事前展開の場合は、disk0:/test2_client_profile.xml プ ロ フ ァ イ ル バ ン ド ルの中に .msi フ ァ イ ルが あ り 、こ の ク ラ イ ア ン ト プ ロ フ ァ イ ル を ASA か ら AnyConnect パ ッ ケージに入れてお く 必要が あ り ま す。こ れは、IPsec 接続を期待 し た と お り に確実に動作 さ せ る ためです。 IPsec IKEv2 Remote Access Wizard IKEv2 Remote Access Wizard を使用 し て、モバ イ ル ユーザな ど の VPN ク ラ イ ア ン ト の安全な リ モー ト ア ク セ ス を設定 し 、リ モー ト IPsec ピ ア に接続す る イ ン タ ー フ ェ イ ス を指定 し ま す。 [Connection Profile Identification] [Connection Profile Name] に接続プ ロ フ ァ イ ルの名前 を入力 し 、[VPN Access Interface] で IPsec IKEv2 リ モー ト ア ク セ ス に使用す る VPN ア ク セ ス イ ン タ ー フ ェ イ ス を選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-5 第1章 VPN ウ ィ ザー ド IPsec IKEv2 Remote Access Wizard • [Connection Profile Name]:名前 を入力 し て、こ の IPsec 接続の ト ン ネル接続ポ リ シーを含む レ コ ー ド を作成 し ま す。接続ポ リ シーでは、認証、許可、ア カ ウ ン テ ィ ン グ サーバ、デ フ ォ ル ト グループ ポ リ シー、お よ び IKE 属性を指定で き ま す。こ の VPN ウ ィ ザー ド で設定す る 接 続ポ リ シーでは、認証方式を指定 し 、ASA のデ フ ォ ル ト の グループ ポ リ シーを使用 し ま す。 • [VPN Access Interface]: リ モー ト IPsec ピ ア と のセ キ ュ ア な ト ン ネル を 確立す る イ ン タ ー フ ェ イ ス を 選択 し ま す。ASAに複数の イ ン タ ー フ ェ イ ス が あ る 場合は、こ の ウ ィ ザー ド を 実 行す る 前に VPN コ ン フ ィ ギ ュ レ ーシ ョ ン を 計画 し 、セ キ ュ ア な接続 を 確立す る 予定の リ モー ト IPsec ピ ア ご と に、使用す る イ ン タ ー フ ェ イ ス を 特定 し てお く 必要が あ り ま す。 [Authentication] ページ [IKE Peer Authentication]: リ モー ト サ イ ト ピ アは、事前共有キー、証明書、ま たは EAP を使用 し た ピ ア認証のいずれか を使用 し て認証 し ま す。 • [Pre-shared Key]:1~128 文字の英数字文字列 を入力 し ま す。 事前共有キーを使用す る と 、リ モー ト ピ ア の数が限定的でかつネ ッ ト ワ ー ク が安定 し てい る 場合、通信をすばや く 簡単にセ ッ ト ア ッ プで き ま す。それぞれの IPsec ピ アは、セ キ ュ ア な 接続を確立す る 相手の ピ ア ご と に コ ン フ ィ ギ ュ レ ーシ ョ ン情報を必要 と す る ため、大規模な ネ ッ ト ワ ー ク では ス ケー ラ ビ リ テ ィ の問題が生 じ る 場合が あ り ま す。 IPsec ピ ア の各ペアは、事前共有キーを交換 し て セ キ ュ ア な ト ン ネル を確立す る 必要が あ り ま す。セ キ ュ ア な方法を使用 し て、リ モー ト サ イ ト の管理者 と 事前共有キーを交換 し て く だ さ い。 • [Enable Certificate Authentication]:オ ン にす る と 、認証に証明書を使用で き ま す。 • [Enable peer authentication using EAP]:オ ン にす る と 、認証に EAP を使用で き ま す。こ の チ ェ ッ ク ボ ッ ク ス を オ ン に し た場合は、ロ ーカル認証に証明書を使用す る 必要が あ り ま す。 • [Send an EAP identity request to the client]: リ モー ト ア ク セ ス VPN ク ラ イ ア ン ト に EAP 認証 要求を送信で き ま す。 [IKE Local Authentication] • ロ ーカル認証を イ ネーブルに し て、事前共有キー ま たは証明書のいずれか を選択 し ま す。 – [Preshared Key]:1 ~ 128 文字の英数字文字列を入力 し ま す。 – [Certificate]: ロ ーカ ル ASA と リ モー ト IPsec ピ ア の間の認証で証明書 を 使用す る 場合 に ク リ ッ ク し ま す。こ のセ ク シ ョ ン を 完了す る には、あ ら か じ め CA への登録 を 済 ま せ、 1 つ以上の証明書 を ASAに ダ ウ ン ロ ー ド し てお く 必要が あ り ま す。 デジ タ ル証明書に よ る IPSec ト ン ネルの確立に使用す る セ キ ュ リ テ ィ キーを効率 よ く 管理で き ま す。デジ タ ル証明書には、名前、シ リ アル番号、会社、部門、ま たは IP ア ド レ ス な ど の、ユーザ ま たはデバ イ ス を識別す る 情報が記述 さ れてい ま す。ま たデジ タ ル証明 書には、公開キーの コ ピ ー も 含 ま れてい ま す。 デジ タ ル証明書を使用す る には、デジ タ ル証明書を発行す る 認証局(CA)に各 ピ ア を登 録 し ま す。CA は、信頼で き る ベン ダー ま たは組織内で設置 し たプ ラ イ ベー ト CA の場合 も あ り ま す。 2 つの ピ ア が通信す る 場合は、証明書 と デジ タ ル署名 さ れたデー タ を交換 し て、相互の認 証を行い ま す。新 し い ピ ア を ネ ッ ト ワ ー ク に追加す る 場合は、その ピ ア を CA に登録 し ま す。他の ピ ア が追加の設定を行 う 必要はあ り ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-6 第1章 VPN ウ ィ ザー ド IPsec IKEv1 Remote Access Wizard [Authentication Methods] IPsec IKEv2 リ モー ト ア ク セ ス では RADIUS 認証のみがサポー ト さ れてい ま す。 • [AAA Server Group]:先に構成 さ れた AAA サーバ グループ を選択 し ま す。 • [New]:新 し い AAA サーバ グループ を設定す る 場合に ク リ ッ ク し ま す。 • [AAA Server Group Details]: こ の領域を使用 し て、AAA サーバ グループ を必要に応 じ て変更 し ま す。 [Client Address Assignment] 画面上にすでに表示 さ れてい る 内容が最 も 役立ち ま す。 IPv4 お よ び IPv6 の ア ド レ ス プール を作成す る か、選択 し ま す。リ モー ト ア ク セ ス ク ラ イ ア ン ト には、IPv4 ま たは IPv6 のプールの ア ド レ ス が割 り 当て ら れ ま す。両方を設定 し た場合は、IPv4 ア ド レ ス が優先 さ れ ま す。詳細については、「 ロ ーカル IP ア ド レ ス プールの設定」を参照 し て く だ さ い。 [Network Name Resolution Servers] リ モー ト ユーザが内部ネ ッ ト ワ ー ク に ア ク セ ス す る と き に ど の よ う に ド メ イ ン名を解決す る か を指定 し ま す。 • [DNS Servers]:DNS サーバの IP ア ド レ ス を入力 し ま す。 • [WINS Servers]:WINS サーバの IP ア ド レ ス を入力 し ま す。 • [Default Domain Name]:デ フ ォ ル ト の ド メ イ ン名を入力 し ま す。 [NAT Exempt] • [Exempt VPN traffic from Network Address Translation]:ASA で NAT が イ ネーブルにな っ てい る 場合は、こ のチ ェ ッ ク ボ ッ ク ス を オ ン にす る 必要が あ り ま す。 IPsec IKEv1 Remote Access Wizard 注 Cisco VPN Client は耐用年数末期で、サポー ト が終了 し てい ま す。AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト に ア ッ プ グ レ ー ド す る 必要が あ り ま す。 IKEv1 Remote Access Wizard を使用 し て、モバ イ ル ユーザな ど の VPN ク ラ イ ア ン ト の安全な リ モー ト ア ク セ ス を設定 し 、リ モー ト IPsec ピ ア に接続す る イ ン タ ー フ ェ イ ス を指定 し ま す。 • [VPN Tunnel Interface]: リ モー ト ア ク セ ス ク ラ イ ア ン ト で使用す る イ ン タ ーフ ェ イ ス を選択 し ま す。ASA に複数の イ ン タ ーフ ェ イ ス があ る 場合は、こ の ウ ィ ザー ド を実行す る 前に ASA で イ ン タ ーフ ェ イ ス を設定 し ま す。 • [Enable inbound IPsec sessions to bypass interface access lists]:ASA に よ っ て常に許可 さ れ る (つま り 、イ ン タ ーフ ェ イ ス の access-list 文をチ ェ ッ ク し ない) よ う に、IPsec 認証の着信セ ッ シ ョ ン を イ ネーブルに し ます。着信セ ッ シ ョ ンがバ イ パ スす る のは、イ ン タ ーフ ェ イ ス ACL だけです。 設定 さ れた グループ ポ リ シー、ユーザ、お よ びダ ウ ン ロ ー ド さ れた ACL は適用 さ れます。 [Remote Access Client] さ ま ざ ま な タ イ プの リ モー ト ア ク セ ス ユーザが、こ の ASA への VPN ト ン ネル を開 く こ と がで き ま す。こ の ト ン ネルの VPN ク ラ イ ア ン ト の タ イ プ を選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-7 第1章 VPN ウ ィ ザー ド IPsec IKEv1 Remote Access Wizard • VPN Client Type – [Easy VPN Remote product] – [Microsoft Windows client using L2TP over IPsec]:PPP 認証プ ロ ト コ ル を指定 し ま す。選択 肢は、PAP、CHAP、MS-CHAP-V1、MS-CHAP-V2、お よ び EAP-PROXY です。 [PAP]:認証中に ク リ ア テ キ ス ト のユーザ名 と パ ス ワ ー ド を 渡すので、安全では あ り ま せん。 [CHAP]:サーバのチ ャ レ ン ジに対す る 応答で、ク ラ イ ア ン ト は暗号化 さ れたチ ャ レ ン ジ と パ ス ワ ー ド お よ び ク リ ア テ キ ス ト のユーザ名を返 し ま す。こ のプ ロ ト コ ルは、PAP よ り 安全ですが、デー タ は暗号化 さ れ ま せん。 [MS-CHAP, Version 1]:CHAP と 似てい ますが、サーバは、CHAP の よ う な ク リ ア テ キ ス ト のパ ス ワ ー ド ではな く 、暗号化 し たパ ス ワ ー ド だけ を保存お よ び比較す る ので安全です。 [MS-CHAP, Version 2]:MS-CHAP, Version 1 以上のセ キ ュ リ テ ィ 強化機能が含 ま れて い ま す。 [EAP-Proxy]:EAP を イ ネーブルに し ま す。こ れに よ っ てASAは、PPP の認証プ ロ セ ス を 外部の RADIUS 認証サーバに代行 さ せ ま す。 リ モー ト ク ラ イ ア ン ト でプ ロ ト コ ルが指定 さ れていない場合は、指定 し ないで く だ さ い。 – 指定す る のは、ク ラ イ ア ン ト か ら ト ン ネル グループ名が username@tunnelgroup と し て 送信 さ れ る 場合です。 VPN ク ラ イ ア ン ト 認証方式 と ト ン ネル グループ名 認証方式を設定 し 、接続ポ リ シー( ト ン ネル グループ)を作成す る には、[VPN Client Authentication Method and Name] ペ イ ン を使用 し ま す。 • [Authentication Method]: リ モー ト サ イ ト ピ アは、事前共有キーか証明書のいずれか を使用 し て認証 し ま す。 – [Pre-shared Key]: ロ ーカル ASA と リ モー ト IPsec ピ ア の間の認証で事前共有キーを使用 す る 場合に ク リ ッ ク し ま す。 事前共有キーを使用す る と 、リ モー ト ピ ア の数が限定的でかつネ ッ ト ワ ー ク が安定 し て い る 場合、通信をすばや く 簡単にセ ッ ト ア ッ プで き ま す。それぞれの IPsec ピ アは、セ キ ュ ア な接続を確立す る 相手の ピ ア ご と に コ ン フ ィ ギ ュ レ ーシ ョ ン情報を必要 と す る ため、大規模な ネ ッ ト ワ ー ク では ス ケー ラ ビ リ テ ィ の問題が生 じ る 場合が あ り ま す。 IPsec ピ ア の各ペアは、事前共有キー を交換 し て セ キ ュ ア な ト ン ネル を確立す る 必要が あ り ま す。セ キ ュ ア な方法を使用 し て、リ モー ト サ イ ト の管理者 と 事前共有キーを交換 し て く だ さ い。 – [Pre-shared Key]:1~128 文字の英数字文字列 を入力 し ま す。 – [Certificate]: ロ ーカ ル ASA と リ モー ト IPsec ピ ア の間の認証で証明書 を 使用す る 場合 に ク リ ッ ク し ま す。こ のセ ク シ ョ ン を 完了す る には、あ ら か じ め CA への登録 を 済 ま せ、 1 つ以上の証明書 を ASAに ダ ウ ン ロ ー ド し てお く 必要が あ り ま す。 デジ タ ル証明書に よ る IPSec ト ン ネルの確立に使用す る セ キ ュ リ テ ィ キーを効率 よ く 管理で き ま す。デジ タ ル証明書には、名前、シ リ アル番号、会社、部門、ま たは IP ア ド レ ス な ど の、ユーザ ま たはデバ イ ス を識別す る 情報が記述 さ れてい ま す。ま たデジ タ ル証明 書には、公開キーの コ ピ ー も 含 ま れてい ま す。 デジ タ ル証明書を使用す る には、デジ タ ル証明書を発行す る 認証局(CA)に各 ピ ア を登 録 し ま す。CA は、信頼で き る ベン ダー ま たは組織内で設置 し たプ ラ イ ベー ト CA の場合 も あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-8 第1章 VPN ウ ィ ザー ド IPsec IKEv1 Remote Access Wizard 2 つの ピ ア が通信す る 場合は、証明書 と デジ タ ル署名 さ れたデー タ を 交換 し て、相互の 認証 を 行い ま す。新 し い ピ ア を ネ ッ ト ワ ー ク に追加す る 場合は、そ の ピ ア を CA に登録 し ま す。他の ピ ア が追加の設定 を 行 う 必要は あ り ま せん。 [Certificate Signing Algorithm]:デジ タ ル証明書署名アルゴ リ ズ ム を表示 し ま す(RSA の 場合は rsa-sig)。 – [Challenge/response authentication (CRACK)]: ク ラ イ ア ン ト が RADIUS な ど の一般的な方 式を使用 し て認証を行い、サーバが公開キーに よ る 認証方式を使用 し てい る 場合に、強 力な相互認証を実現 し ま す。セ キ ュ リ テ ィ ア プ ラ イ ア ン ス は、Nokia 92xx Communicator Series デバ イ ス で Nokia VPN Client を認証す る ために、IKE オプ シ ョ ン と し て CRACK を サポー ト し てい ま す。 • [Tunnel Group Name]:名前を入力 し て、こ の IPsec 接続の ト ン ネル接続ポ リ シーを含む レ コ ー ド を作成 し ま す。接続ポ リ シーでは、認証、許可、ア カ ウ ン テ ィ ン グ サーバ、デ フ ォ ル ト グループ ポ リ シー、お よ び IKE 属性を指定で き ま す。こ の VPN ウ ィ ザー ド で設定す る 接続 ポ リ シーでは、認証方式を指定 し 、ASA のデ フ ォ ル ト の グループ ポ リ シーを使用 し ま す。 [Client Authentication] [Client Authentication] ペ イ ン では、ASA が リ モー ト ユーザ を認証す る と き に使用す る 方法を選 択 し ま す。次のオプシ ョ ン のいずれか を選択 し ま す。 • [Authenticate using the local user database]:ASAの内部の認証方式を使用す る 場合に ク リ ッ ク し ま す。こ の方式は、ユーザの数が少な く て安定 し てい る 環境で使用 し ま す。次のペ イ ン で は、ASAに個々のユーザの ア カ ウ ン ト を作成で き ま す。 • [Authenticate using an AAA server group]: リ モー ト ユーザ認証で外部サーバ グループ を使用 す る 場合に ク リ ッ ク し ま す。 – [AAA Server Group Name]:先に構成 さ れた AAA サーバ グループ を選択 し ま す。 – [New...]:新 し い AAA サーバ グループ を設定す る 場合に ク リ ッ ク し ま す。 [User Accounts] User Accounts ペ イ ン では、認証を目的 と し て、ASAの内部ユーザ デー タ ベー ス に新 し いユーザ を追加 し ま す。 [Address Pool] [Address Pool] ペ イ ン では、ASAが リ モー ト VPN ク ラ イ ア ン ト に割 り 当て る ロ ーカル IP ア ド レ ス のプール を設定 し ま す。 • [Tunnel Group Name]: こ の ア ド レ ス プールが適用 さ れ る 接続プ ロ フ ァ イ ル( ト ン ネル グルー プ)の名前が表示 さ れ ま す。こ の名前は、[VPN Client Name and Authentication Method] ペ イ ン ( ス テ ッ プ 3)で設定 し た も のです。 • [Pool Name]:ア ド レ ス プールの記述 ID を選択 し ま す。 • [New...]:新 し い ア ド レ ス プール を設定 し ま す。 • [Range Start Address]:ア ド レ ス プールの開始 IP ア ド レ ス を入力 し ま す。 • [Range End Address]:ア ド レ ス プールの終了 IP ア ド レ ス を入力 し ま す。 • [Subnet Mask]:(任意) こ れ ら の IP ア ド レ ス のサブネ ッ ト マ ス ク を選択 し ま す。 [Attributes Pushed to Client (Optional)] [Attributes Pushed to Client (Optional)]ペ イ ン では、DNS サーバ と WINS サーバお よ びデ フ ォ ル ト ド メ イ ン 名につい て の情報 を リ モー ト ア ク セ ス ク ラ イ ア ン ト に渡す動作 を ASAに実行 さ せ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-9 第1章 VPN ウ ィ ザー ド IPsec IKEv1 Remote Access Wizard • [Tunnel Group]:ア ド レ ス プールが適用 さ れ る 接続ポ リ シーの名前を表示 し ま す。こ の名前 は、[VPN Client Name and Authentication Method] ペ イ ン で設定 し た も のです。 • [Primary DNS Server]:プ ラ イ マ リ DNS サーバの IP ア ド レ ス を入力 し ま す。 • [Secondary DNS Server]:セ カ ン ダ リ DNS サーバの IP ア ド レ ス を入力 し ま す。 • [Primary WINS Server]:プ ラ イ マ リ WINS サーバの IP ア ド レ ス を入力 し ま す。 • [Secondary WINS Server]:セ カ ン ダ リ WINS サーバの IP ア ド レ ス を入力 し ま す。 • [Default Domain Name]:デ フ ォ ル ト の ド メ イ ン名を入力 し ま す。 [IKE Policy] Internet Security Association and Key Management Protocol(ISAKMP) と も 呼ばれ る IKE は、2 台のホ ス ト で IPsec セキ ュ リ テ ィ ア ソ シエーシ ョ ン の構築方法を一致 さ せ る ためのネ ゴ シエーシ ョ ン プ ロ ト コ ルです。各 IKE ネ ゴ シエーシ ョ ンは、フ ェ ーズ 1 と フ ェ ーズ 2 と 呼ばれ る 2 つの部分に分かれ ます。フ ェ ーズ 1 は、以後の IKE ネ ゴ シエーシ ョ ン メ ッ セージ を保護す る 最初の ト ン ネルを作成 し ます。フ ェ ーズ 2 では、デー タ を保護す る ト ン ネルが作成 さ れ ます。 [IKE Policy] ペ イ ン では、フ ェ ーズ 1 IKE ネ ゴ シエーシ ョ ン の条件を設定 し ま す。こ の条件には、 デー タ を保護 し 、プ ラ イ バシーを守 る 暗号化方式、ピ ア の ID を確認す る 認証方式、お よ び暗号 キー判別アルゴ リ ズ ム を強化す る Diffie-Hellman グループが含 ま れ ま す。こ の アル ゴ リ ズ ム を使 用 し て、ASAは暗号キー と ハ ッ シ ュ キーを導出 し ま す。 • [Encryption]:フ ェ ーズ 2 ネ ゴ シ エーシ ョ ン を保護す る フ ェ ーズ 1 SA を確立す る ためにASA が使用す る 、対称暗号化アルゴ リ ズ ム を選択 し ま す。ASAは、次の暗号化アル ゴ リ ズ ム を サ ポー ト し ま す。 アルゴ リ ズム 説明 DES デー タ 暗号規格。56 ビ ッ ト キーを使用 し ま す。 3DES Triple DES。56 ビ ッ ト キー を使用 し て暗号化 を 3 回実行 し ま す。 AES-128 高度暗号化規格。128 ビ ッ ト キーを使用 し ま す。 aes-192 192 ビ ッ ト キーを使用す る AES。 AES-256 256 ビ ッ ト キーを使用す る AES。 デ フ ォ ル ト の 3DES は DES よ り も セ キ ュ ア ですが、暗号化 と 復号化には、よ り 多 く の処理を 必要 と し ま す。同様に、AES オプ シ ョ ン に よ る セ キ ュ リ テ ィ は強力ですが、必要な処理量 も 増大 し ま す。 注 • [Authentication]:認証やデー タ 整合性の確保のために使用す る ハ ッ シ ュ アル ゴ リ ズ ム を選択 し ま す。デ フ ォ ル ト は SHA です。MD5 のダ イ ジ ェ ス ト は小 さ く 、SHA よ り も わずかに速い と さ れてい ま す。MD5 は、( き わめ て困難ですが)攻撃に よ り 破れ る こ と が実証 さ れてい ま す。 ただ し 、ASAで使用 さ れ る Keyed-Hash Message Authentication Code(HMAC)バージ ョ ン は こ の攻撃を防ぎ ま す。 • [Diffie-Hellman Group]:Diffie-Hellman グループ ID を選択 し ま す。2 つの IPsec ピ アは、相互に 共有秘密情報を転送す る こ と な く 共有秘密情報を導出す る ために こ の ID を使用 し ま す。デ フ ォ ル ト の Group 2(1024 ビ ッ ト Diffie-Hellman)は、Group 5(1536 ビ ッ ト ) と 比較 し て、CPU の実行時間は短いですが、安全性は低 く な り ま す。 VPN 3000 シ リ ーズ コ ン セ ン ト レ ー タ のデ フ ォ ル ト 値は MD5 です。ASA と VPN コ ン セ ン ト レ ー タ の間の接続では、接続の両方の側で、フ ェ ーズ 1 と 2 の IKE ネ ゴ シ エーシ ョ ン の認証方式を同 じ にす る 必要が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-10 第1章 VPN ウ ィ ザー ド IPsec IKEv1 Remote Access Wizard [IPsec Settings (Optional)] [IPsec Settings](任意)ペ イ ン では、ア ド レ ス 変換が不要な ロ ーカル ホ ス ト /ネ ッ ト ワ ー ク を指定 し ま す。デ フ ォ ル ト に よ り ASAは、ダ イ ナ ミ ッ ク ま たは ス タ テ ィ ッ ク のネ ッ ト ワ ー ク ア ド レ ス 変 換(NAT)を使用 し て、内部ホ ス ト お よ びネ ッ ト ワ ー ク の本当の IP ア ド レ ス を外部ホ ス ト か ら 隠 し ま す。NAT は、信頼で き ない外部ホ ス ト に よ る 攻撃の危険性を最小限に抑え ま すが、VPN に よ っ て認証お よ び保護 さ れてい る ホ ス ト に対 し ては不適切な場合が あ り ま す。 た と えば、ダ イ ナ ミ ッ ク NAT を使用す る 内部ホ ス ト は、プールか ら 無作為に選択 し た ア ド レ ス と 照合す る こ と に よ り 、その IP ア ド レ ス を変換 さ せ ま す。外部ホ ス ト か ら は、変換 さ れた ア ド レ ス だけが見え る よ う にな り ま す。本当の IP ア ド レ ス にデー タ を送信す る こ と に よ っ て こ れ ら の内 部ホ ス ト に到達 し よ う と す る リ モー ト VPN ク ラ イ ア ン ト は、NAT 免除ルール を設定 し ない限 り 、こ れ ら の ホ ス ト には接続で き ま せん。 注 すべての ホ ス ト と ネ ッ ト ワ ー ク を NAT か ら 免除す る 場合は、こ のペ イ ン では何 も 設定 し ま せん。 エ ン ト リ が 1 つで も 存在す る と 、他のすべての ホ ス ト と ネ ッ ト ワ ー ク は NAT に従い ま す。 • [Interface]:選択 し た ホ ス ト ま たはネ ッ ト ワ ー ク に接続す る イ ン タ ー フ ェ イ ス の名前を選択 し ま す。 • [Exempt Networks]:選択 し た イ ン タ ー フ ェ イ ス ネ ッ ト ワ ー ク か ら 免除す る ホ ス ト ま たは ネ ッ ト ワ ー ク の IP ア ド レ ス を選択 し ま す。 • [Enable split tunneling]: リ モー ト ア ク セ ス ク ラ イ ア ン ト か ら のパブ リ ッ ク イ ン タ ーネ ッ ト 宛の ト ラ フ ィ ッ ク を暗号化せずに送信す る 場合に選択 し ま す。ス プ リ ッ ト ト ン ネ リ ン グ に よ り 、保護 さ れた ネ ッ ト ワ ー ク の ト ラ フ ィ ッ ク が暗号化 さ れ、保護 さ れていないネ ッ ト ワ ー ク の ト ラ フ ィ ッ ク は暗号化 さ れ ま せん。ス プ リ ッ ト ト ン ネ リ ン グ を イ ネーブルにす る と 、 ASAは、認証後に IP ア ド レ ス の リ ス ト を リ モー ト VPN ク ラ イ ア ン ト にプ ッ シ ュ し ま す。リ モー ト VPN ク ラ イ ア ン ト は、ASAの背後に あ る IP ア ド レ ス への ト ラ フ ィ ッ ク を暗号化 し ま す。他のすべての ト ラ フ ィ ッ ク は、暗号化な し で イ ン タ ーネ ッ ト に直接送 り 出 さ れ、ASAは関 与 し ま せん。 • [Enable Perfect Forwarding Secrecy (PFS)]:フ ェーズ 2 IPsec キーを生成す る と き に Perfect Forward Secrecy を使用す る か ど う か、お よ び使用す る 値のサ イ ズ を指定 し ます。PFS は、新 し い キーはすべて、あ ら ゆ る 過去のキー と 関係 し ない と い う 暗号化 コ ン セプ ト です。IPsec ネ ゴ シ エーシ ョ ン では、PFS が イ ネーブルにな る ま で、フ ェ ーズ 2 キーはフ ェ ーズ 1 キーに基づいて い ます。PFS では、キーの生成に Diffie-Hellman 方式が採用 さ れてい ます。 PFS に よ っ て、秘密キーの 1 つが将来解読 さ れて も 、一連の長期公開キーお よ び秘密キーか ら 派生 し た セ ッ シ ョ ン キーは解読 さ れな く な り ま す。 PFS は、接続の両側で イ ネーブルにす る 必要が あ り ま す。 – [Diffie-Hellman Group]:Diffie-Hellman グループ ID を選択 し ま す。2 つの IPsec ピ アは、相 互に共有秘密情報を転送す る こ と な く 共有秘密情報を導出す る ために こ の ID を使用 し ま す。デ フ ォ ル ト の Group 2(1024 ビ ッ ト Diffie-Hellman)は、Group 5(1536 ビ ッ ト ) と 比較 し て、CPU の実行時間は短いですが、安全性は低 く な り ま す。 概要 設定に問題なければ、[Finish] を ク リ ッ ク し ます。ASDM に よ っ て LAN-to-LAN の コ ン フ ィ ギ ュ レー シ ョ ンが保存 さ れます。[Finish] を ク リ ッ ク し た後は、こ の VPN ウ ィ ザー ド を使用し て こ の コ ン フ ィ ギ ュ レーシ ョ ン を変更する こ と はで き ません。ASDM を使用し て拡張機能を編集および設定し て く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-11 第1章 VPN ウ ィ ザー ド IPsec Site-to-Site VPN Wizard IPsec Site-to-Site VPN Wizard 2 台の ASA デバ イ ス 間の ト ン ネル を「サ イ ト ツーサ イ ト ト ン ネル」 と 呼び、こ れは双方向です。サ イ ト ツーサ イ ト VPN ト ン ネルでは、IPsec プ ロ ト コ ル を使用 し てデー タ が保護 さ れ ま す。 [Peer Device Identification] • [Peer IP Address]:他のサ イ ト ( ピ ア デバ イ ス )の IP ア ド レ ス を設定 し ま す。 • [VPN Access Interface]:サ イ ト ツーサ イ ト ト ン ネルに使用する イ ン タ ーフ ェ イ ス を選択 し ます。 [Traffic to Protects] こ の ス テ ッ プでは、ロ ーカル ネ ッ ト ワ ー ク お よ び リ モー ト ネ ッ ト ワ ー ク を指定 し ま す。こ れ ら のネ ッ ト ワ ー ク では、IPsec 暗号化を使用 し て ト ラ フ ィ ッ ク が保護 さ れ ま す。 • [Local Networks]:IPsec ト ン ネルで使用 さ れ る ホ ス ト を指定 し ま す。 • [Remote Networks]:IPsec ト ン ネルで使用 さ れ る ネ ッ ト ワ ー ク を指定 し ま す。 [Security] こ の ス テ ッ プでは、ピ ア デバ イ ス と の認証の方法を設定 し ます。単純な設定を選択す る か、事前共 有キーを指定で き ま す。ま た さ ら に詳細なオプシ ョ ン については、以下に説明す る [Customized Configuration] を選択で き ます。 • [IKE Version]:ど ち ら のバージ ョ ン を使用す る かに応 じ て、[IKEv1] ま たは [IKEv2] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 • IKE version 1 Authentication Methods – [Pre-shared Key]:事前共有キーを使用す る と 、リ モー ト ピ ア の数が限定的でかつネ ッ ト ワ ー ク が安定 し てい る 場合、通信をすばや く 簡単にセ ッ ト ア ッ プで き ま す。それぞれの IPsec ピ アは、セ キ ュ ア な接続を確立す る 相手の ピ ア ご と に コ ン フ ィ ギ ュ レ ーシ ョ ン情 報を必要 と す る ため、大規模な ネ ッ ト ワ ー ク では ス ケー ラ ビ リ テ ィ の問題が生 じ る 場合 が あ り ま す。 IPsec ピ ア の各ペアは、事前共有キー を交換 し て セ キ ュ ア な ト ン ネル を確立す る 必要が あ り ま す。セ キ ュ ア な方法を使用 し て、リ モー ト サ イ ト の管理者 と 事前共有キーを交換 し て く だ さ い。 – [Device Certificate]: ロ ーカル ASA と リ モー ト IPsec ピ ア の間の認証で証明書を使用す る 場合に ク リ ッ ク し ま す。 デジ タ ル証明書に よ る IPSec ト ン ネルの確立に使用す る セ キ ュ リ テ ィ キーを効率 よ く 管理で き ま す。デジ タ ル証明書には、名前、シ リ アル番号、会社、部門、ま たは IP ア ド レ ス な ど の、ユーザ ま たはデバ イ ス を識別す る 情報が記述 さ れてい ま す。ま たデジ タ ル証明 書には、公開キーの コ ピ ー も 含 ま れてい ま す。 2 つの ピ ア が通信す る 場合は、証明書 と デジ タ ル署名 さ れたデー タ を交換 し て、相互の認 証を行い ま す。新 し い ピ ア を ネ ッ ト ワ ー ク に追加す る 場合は、その ピ ア を CA に登録 し ま す。他の ピ ア が追加の設定を行 う 必要はあ り ま せん。 • IKE version 2 Authentication Methods – [Local Pre-shared Key]:IPsec IKEv2 認証方式 と 暗号化アル ゴ リ ズ ム を指定 し ま す。 – [Local Device Certificate]:VPN ア ク セ ス の認証を、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス を通 し て行い ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-12 第1章 VPN ウ ィ ザー ド IPsec Site-to-Site VPN Wizard – [Remote Peer Pre-shared Key]: ロ ーカル ASA と リ モー ト IPsec ピ ア の間の認証で事前共 有キーを使用す る 場合に ク リ ッ ク し ま す。 – [Remote Peer Certificate Authentication]: こ のチ ェ ッ ク ボ ッ ク ス がオ ン の と き は、ピ ア デ バ イ ス が証明書を使用 し て こ のデバ イ ス に対 し て自身の認証を行 う こ と がで き ま す。 • [Encryption Algorithms]: こ の タ ブでは、デー タ の保護に使用す る 暗号化アル ゴ リ ズ ム の タ イ プ を選択 し ま す。 – [IKE Policy]:IKEv1/IKEv2 認証方式 を指定 し ま す。 – [IPsec Proposal]:IPsec 暗号化アル ゴ リ ズ ム を指定 し ま す。 • Perfect Forward Secrecy – [Enable Perfect Forwarding Secrecy (PFS)]:フ ェーズ 2 IPsec キーを生成す る と き に Perfect Forward Secrecy を使用す る か ど う か、お よ び使用す る 値のサ イ ズ を指定 し ます。PFS は、新 し いキーはすべて、あ ら ゆ る 過去のキー と 関係 し ない と い う 暗号化 コ ン セプ ト です。IPsec ネ ゴ シエーシ ョ ン では、PFS が イ ネーブルにな る ま で、フ ェ ーズ 2 キーは フ ェ ーズ 1 キー に基づいてい ます。PFS では、キーの生成に Diffie-Hellman 方式が採用 さ れてい ます。 PFS に よ っ て、秘密キーの 1 つが将来解読 さ れて も 、一連の長期公開キーお よ び秘密キー か ら 派生 し た セ ッ シ ョ ン キーは解読 さ れな く な り ま す。 PFS は、接続の両側で イ ネーブルにす る 必要が あ り ま す。 – [Diffie-Hellman Group]:Diffie-Hellman グループ ID を選択 し ま す。2 つの IPsec ピ アは、相 互に共有秘密情報を転送す る こ と な く 共有秘密情報を導出す る ために こ の ID を使用 し ま す。デ フ ォ ル ト の Group 2(1024 ビ ッ ト Diffie-Hellman)は、Group 5(1536 ビ ッ ト ) と 比較 し て、CPU の実行時間は短いですが、安全性は低 く な り ま す。 [NAT Exempt] • [Exempt ASA side host/network from address translation]: ド ロ ッ プダ ウ ン リ ス ト を使用 し て、 ア ド レ ス 変換か ら 除外す る ホ ス ト ま たはネ ッ ト ワ ー ク を選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-13 第1章 IPsec Site-to-Site VPN Wizard Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 1-14 VPN ウ ィ ザー ド CH A P T E R 2 IKE と ロー ド バラ ン シ ング • IKE の設定(2-1 ページ) • IPsec の設定(2-9 ページ) IKE の設定 IKE は ISAKMP と も 呼ばれ、2 台の ホ ス ト で IPsec セ キ ュ リ テ ィ ア ソ シ エーシ ョ ン の構築方法を 一致 さ せ る ためのネ ゴ シ エーシ ョ ン プ ロ ト コ ルです。バーチ ャ ル プ ラ イ ベー ト ネ ッ ト ワ ー ク の ASA を設定す る には、シ ス テ ム全体に適用す る グ ロ ーバル IKE パ ラ メ ー タ を設定 し ま す。ま た、 VPN 接続を確立す る ために ピ ア がネ ゴ シ エー ト す る IKE ポ リ シー も 作成 し ま す。 ステ ッ プ 1 IKE の有効化。 ステ ッ プ 2 サ イ ト 間 VPN の IKE パ ラ メ ー タ を設定 し ま す。 ステ ッ プ 3 IKE ポ リ シー を設定 し ま す。 IKE の有効化 ステ ッ プ 1 ステ ッ プ 2 VPN 接続に対 し て IKE を有効にす る 方法 a. ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] を選択 し ま す。 b. [Access Interfaces] 領域で、IKE を使用す る イ ン タ ー フ ェ イ ス に対 し て、[IPsec (IKEv2) Access] の下に あ る [Allow Access] を オ ン に し ま す。 サ イ ト 間 VPN に対 し て IKE を有効にす る 方法 a. ASDM で、[Configuration] > [Site-to-Site VPN] > [Connection Profiles] を選択 し ま す。 b. IKEv1 お よ び IKEv2 を使用す る イ ン タ ー フ ェ イ ス を選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-1 第2章 IKE と ロー ド バ ラ ン シ ン グ IKE の設定 サイ ト 間 VPN の IKE パラ メ ー タ ASDM で、[Configuration] > [Site-to-Site VPN] > [Advanced] > [IKE Parameters] の順に選択 し ま す。 NAT の透過性 • [Enable IPsec over NAT-T] IPsec over NAT-T に よ り IPSec ピ アは、リ モー ト ア ク セ ス と LAN-to-LAN の両方の接続を NAT デバ イ ス を介 し て確立で き ま す。NAT-T は UDP デー タ グ ラ ム の IPsec ト ラ フ ィ ッ ク を カ プセル化 し 、ポー ト 4500 を使用 し て、NAT デバ イ ス にポー ト 情報 を提供 し ま す。NAT-T は すべての NAT デバ イ ス を自動検出 し 、必要な場合だけ IPsec ト ラ フ ィ ッ ク を カ プセル化 し ま す。こ の機能は、デ フ ォ ル ト で イ ネーブルに さ れてい ま す。 – ASAは、デー タ 交換を行 う ク ラ イ ア ン ト に応 じ て、標準の IPSec、IPSec over TCP、NAT-T、 お よ び IPSec over UDP を同時にサポー ト で き ま す。 – NAT-T と IPsec over UDP の両方が イ ネーブルにな っ てい る 場合、NAT-T が優先 さ れ ま す。 – イ ネーブルにな っ てい る 場合、IPsec over TCP は他のすべて の接続方式 よ り も 優先 さ れ ま す。 ASAに よ る NAT-T の実装では、次の場合において、単一の NAT/PAT デバ イ ス の背後に あ る IPSec ピ ア を サポー ト し ま す。 – LAN-to-LAN 接続。 – LAN-to-LAN 接続 ま たは複数の リ モー ト ア ク セ ス ク ラ イ ア ン ト のいずれか。ただ し 、両 方を混在 さ せ る こ と はで き ま せん。 NAT-T を使用す る には、次の手順を実行す る 必要が あ り ま す。 – ポー ト 4500 を開 く ために使用す る イ ン タ ー フ ェ イ ス の ACL を作成 し ま す ([Configuration] > [Firewall] > [Access Rules])。 – こ のペ イ ン で、IPSec over NAT-T を イ ネーブルに し ま す。 – [Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Prefragmentation Policies] ペイ ンのフ ラ グ メ ンテーシ ョ ン ポ リ シー パ ラ メ ータ で、[Enable IPsec Pre-fragmentation] で使用する イ ン ター フ ェ イ ス を編集し ます。こ れが設定さ れてい る場合、IP フ ラ グ メ ンテーシ ョ ン をサポー ト し ていない NAT デバ イ ス間を ト ラ フ ィ ッ ク が移動で き ます。こ れに よ って、IP フ ラ グ メ ンテー シ ョ ン をサポー ト する NAT デバイ スの動作が妨げら れる こ と はあ り ません。 • Enable IPsec over TCP IPSec over TCP を 使用す る と 、標準 ESP や標準 IKE が機能で き な い環境、ま たは既存の フ ァ イ ア ウ ォ ール ルール を 変更 し た場合に限 っ て機能で き る 環境で、VPN ク ラ イ ア ン ト が動作 可能に な り ま す。IPSec over TCP は TCP パ ケ ッ ト 内で IKE プ ロ ト コ ル と IPSec プ ロ ト コ ル を カ プセル化 し 、NAT と PAT の両方のデバ イ ス お よ び フ ァ イ ア ウ ォ ールに よ り セ キ ュ ア な ト ン ネ リ ン グ を 実現 し ま す。こ の機能はデ フ ォ ル ト で無効に設定 さ れて い ま す。 注 こ の機能は、プ ロ キ シベー ス の フ ァ イ ア ウ ォ ールでは動作 し ま せん。 IPsec over TCP は、リ モー ト ア ク セ ス ク ラ イ ア ン ト で動作 し ま す。ま た、すべての物理 イ ン タ ー フ ェ イ ス と VLAN イ ン タ ー フ ェ イ ス で も 動作 し ま す。こ れは、ASA機能に対応す る ク ラ イ ア ン ト に限 ら れ ま す。LAN-to-LAN 接続では機能 し ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-2 第2章 IKE と ロー ド バラ ン シ ング IKE の設定 – ASAは、デー タ 交換を行 う ク ラ イ ア ン ト に応 じ て、標準の IPsec、IPsec over TCP、 NAT-Traversal、お よ び IPsec over UDP を同時にサポー ト で き ま す。 – 1 度に 1 つの ト ン ネル を サポー ト す る VPN 3002 ハー ド ウ ェ ア ク ラ イ ア ン ト は、標準の IPsec、IPsec over TCP、NAT-Traversal、ま たは IPsec over UDP を使用 し て接続で き ま す。 イ ネーブルにな っ てい る 場合、IPsec over TCP は他のすべて の接続方式 よ り も 優先 さ れ ま す。 – ASA と その接続先の ク ラ イ ア ン ト の両方で IPsec over TCP を イ ネーブルに し ま す。 最大 10 個のポー ト を指定 し て、それ ら のポー ト に対 し て IPsec over TCP を イ ネーブルにで き ま す。ポー ト 80(HTTP)やポー ト 443(HTTPS)な ど の ウ ェ ル ノ ウ ン ポー ト を入力す る と 、そ のポー ト に関連付け ら れてい る プ ロ ト コ ルが機能 し な く な る こ と を示す警告がシ ス テ ム に 表示 さ れ ま す。その結果、ブ ラ ウ ザ を使用 し て、IKE が イ ネーブルの イ ン タ ー フ ェ イ ス か ら ASAを管理す る こ と がで き な く な り ま す。こ の問題を解決す る には、HTTP/HTTPS 管理を別 のポー ト に再設定 し ま す。 ASAだけで な く 、ク ラ イ ア ン ト で も TCP ポー ト を設定す る 必要が あ り ま す。ク ラ イ ア ン ト の 設定には、ASA用に設定 し た ポー ト を少な く と も 1 つ含め る 必要が あ り ま す。 ピ アに送信 さ れる ID IKE ネ ゴ シエーシ ョ ン で ピ ア が相互に相手 を識別す る [Identity] を選択 し ま す。 住所 ISAKMP の識別情報を交換す る ホ ス ト の IP ア ド レ ス を使用 し ま す。 Hostname ISAKMP の識別情報を交換す る ホ ス ト の完全修飾 ド メ イ ン名を使用 し ま す(デ フ ォ ル ト )。こ の名前は、ホ ス ト 名 と ド メ イ ン名で構成 さ れ ま す。 キー ID リ モー ト ピ ア が事前共有キーを検索す る ために使用す る [Key Id String] を指 定 し ま す。 自動 接続 タ イ プに よ っ て IKE ネ ゴ シ エーシ ョ ン を決定 し ま す。 • 事前共有キーの IP ア ド レ ス • 証明書認証の cert DN。 セ ッ シ ョ ン制御 • [Disable Inbound Aggressive Mode Connections] フ ェ ーズ 1 の IKE ネ ゴ シ エーシ ョ ン では、Main モー ド と Aggressive モー ド のいずれか を使 用で き ま す。ど ち ら のモー ド も 同 じ サービ ス を提供 し ま すが、Aggressive モー ド の場合に ピ ア間で必要 と さ れ る 交換処理は、3 つではな く 2 つだけです。Agressive モー ド の方が高速で すが、通信パーテ ィ の ID は保護 さ れ ま せん。そのため、情報を暗号化す る セ キ ュ ア な SA を 確立す る 前に、ピ ア間で ID 情報を交換す る 必要が あ り ま す。こ の機能はデ フ ォ ル ト で無効に 設定 さ れてい ま す。 • [Alert Peers Before Disconnecting] – ASAのシ ャ ッ ト ダ ウ ン ま たは リ ブー ト 、セ ッ シ ョ ン ア イ ド ル タ イ ム ア ウ ト 、最大接続時 間の超過、ま たは管理者に よ る 停止な ど のい く つかの理由で、ク ラ イ ア ン ト セ ッ シ ョ ン ま たは LAN-to-LAN セ ッ シ ョ ン が ド ロ ッ プす る こ と が あ り ま す。 – ASAは、(LAN-to-LAN コ ン フ ィ ギ ュ レ ーシ ョ ン の場合)限定 さ れた ピ ア で あ る VPN ク ラ イ ア ン ト と VPN 3002 ハー ド ウ ェ ア ク ラ イ ア ン ト に、セ ッ シ ョ ン が接続解除 さ れ る 直 前に通知 し 、その理由 を 伝え る こ と がで き ま す。ア ラ ー ト を 受信 し た ピ ア ま たは ク ラ イ ア ン ト は、その理由 を 復号化 し て イ ベ ン ト ロ グ ま たはポ ッ プ ア ッ プ ペ イ ン に表示 し ま す。こ の機能はデ フ ォ ル ト で無効に設定 さ れて い ま す。 – こ のペ イ ン では、ASAがそれ ら の ア ラ ー ト を送信 し 、接続解除の理由を伝え る こ と がで き る よ う に、通知機能を イ ネーブルにす る こ と がで き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-3 第2章 IKE と ロー ド バ ラ ン シ ン グ IKE の設定 限定 さ れた ク ラ イ ア ン ト と ピ ア には次の も のが含 ま れ ま す。 – ア ラ ー ト が イ ネーブルにな っ てい る セ キ ュ リ テ ィ ア プ ラ イ ア ン ス – バージ ョ ン 4.0 以降の ソ フ ト ウ ェ ア を実行 し てい る VPN ク ラ イ ア ン ト (設定は不要) – 4.0 以降の ソ フ ト ウ ェ ア を実行 し 、ア ラ ー ト が イ ネーブルにな っ てい る VPN 3002 ハー ド ウ ェア ク ラ イ アン ト – 4.0 以降の ソ フ ト ウ ェ ア を実行 し 、ア ラ ー ト が イ ネーブルにな っ てい る VPN 3000 シ リ ー ズ コ ンセン ト レータ • [Wait for All Active Sessions to Voluntarily Terminate Before Rebooting] すべての ア ク テ ィ ブ セ ッ シ ョ ン が自発的に終了 し た場合に限 り 、ASAが リ ブー ト す る よ う に ス ケ ジ ュ ール を設定で き ま す。こ の機能はデ フ ォ ル ト で無効に設定 さ れてい ま す。 • [Number of SAs Allowed in Negotiation for IKEv1] 一時点でのネ ゴ シ エーシ ョ ン中 SA の総数 を制限 し ま す。 IKE v2 特有の設定 追加のセ ッ シ ョ ン制御は、オープ ン SA の数 を制限す る IKE v2 で使用で き ま す。デ フ ォ ル ト で は、ASA はオープ ン SA の数を制限 し ま せん。 • [Cookie Challenge]:選択す る と 、SA 初期パ ケ ッ ト への応答 と し て、ASA か ら ク ッ キー チ ャ レ ン ジ が ピ ア デバ イ ス に送信 さ れ る よ う に な り ま す。 – [% threshold before incoming SAs are cookie challenged]:ASA に対 し て許可 さ れ る SA の 総数の う ち、ネ ゴ シ エーシ ョ ン中で あ る も のの割合(%)。こ の数に達す る と 、以降の SA ネ ゴ シ エーシ ョ ン に対 し て ク ッ キー チ ャ レ ン ジが行われ ま す。範囲は 0 ~ 100 % です。 デ フ ォ ル ト 値は 50 % です。 • [Number of Allowed SAs in Negotiation]:一時点でのネ ゴ シ エーシ ョ ン中 SA の総数を制限 し ま す。ク ッ キー チ ャ レ ン ジ と 併用す る 場合は、有効な ク ロ ス チ ェ ッ ク が行われ る よ う に、 ク ッ キー チ ャ レ ン ジの し き い値を こ の制限 よ り も 低 く し て く だ さ い。 • [Maximum Number of SAs Allowed]:ASA 上で許可 さ れ る IKEv2 接続の数を制限 し ま す。デ フ ォ ル ト では、ラ イ セ ン ス で指定 さ れてい る 最大接続数が上限です。 • [Notify Invalid Selector]:SA で受信 さ れた着信パケ ッ ト がその SA の ト ラ フ ィ ッ ク セ レ ク タ と 一致 し ない場合に、管理者は ピ アへの IKE 通知の送信 を有効 ま たは無効にで き ま す。こ の 通知の送信はデ フ ォ ル ト では、無効にな っ てい ま す。 [Preventing DoS Attacks with IKE v2 Specific Settings] 着信セ キ ュ リ テ ィ ア ソ シエーシ ョ ン(SA)識別のチ ャ レ ン ジ を行 う ク ッ キー チ ャ レ ン ジ を設定す る か、オープ ン な SA の数を制限す る こ と に よ り 、IPsec IKEv2 接続に対す る サービ ス 拒否(DoS)攻 撃を防止で き ます。デフ ォ ル ト では、ASA は、オープ ン な SA の数を制限せず、SA の ク ッ キー チ ャ レ ン ジ を行 う こ と はあ り ま せん。許可 さ れ る SA の数を制限す る こ と も で き ま す。こ れに よ っ て、 それ以降は接続のネ ゴ シエーシ ョ ン が行われな く な る ため、ク ッ キー チ ャ レ ン ジ機能では阻止で き ず現在の接続を保護で き ない可能性があ る 、メ モ リ や CPU への攻撃を防止で き ます。 DoS 攻撃では、攻撃者が攻撃を開始す る と 、ピ ア デバ イ ス か ら SA 初期パケ ッ ト が送信 さ れ、ASA か ら その応答が送信 さ れ ま すが、ピ ア デバ イ ス か ら のそれ以降の応答が停止 さ れ ま す。ピ ア デバ イ ス が こ れを継続的に行 う と 、許可 さ れてい る 数の SA 要求が使い果た さ れて し ま い、最終的に ASA が応答を停止 し て し ま う こ と があ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-4 第2章 IKE と ロー ド バラ ン シ ング IKE の設定 ク ッ キー チ ャ レ ン ジの し き い値(%)を イ ネーブルにす る と 、オープ ン SA ネ ゴ シ エーシ ョ ン の数 が制限 さ れ ま す。た と えば、デ フ ォ ル ト 設定の 50 % では、許可 さ れ る SA の 50 % がネ ゴ シ エー シ ョ ン中(オープ ン)の と き に、ASA は、それ以降到着 し た SA 初期パケ ッ ト に対 し て ク ッ キー チ ャ レ ン ジ を行い ま す。10,000 個の IKEv2 SA が許可 さ れ る Cisco ASA 5585-X では、5000 個の SA がオープ ン にな る と 、それ以降の着信 SA に対 し て ク ッ キー チ ャ レ ン ジが行われ ま す。 [Number of SAs Allowed in Negotiation]、ま たは [Maximum Number of SAs Allowed] と と も に使用す る 場合は、有効な ク ロ ス チ ェ ッ ク が行われ る よ う に、ク ッ キー チ ャ レ ン ジの し き い値を こ れ ら の設定 よ り も 低 く し て く だ さ い。 [Configuration] > [Site-to-Site VPN] > [Advanced] > [System Options] を選択 し て、IPsec レ ベルのす べての SA の寿命 を制限す る こ と も で き ま す。 IKE ポ リ シー [Configuration] > [Site-to-Site VPN] > [Advanced] > [IKE Policies] こ のペ イ ンは、IKEv1 ポ リ シー と IKEv2 ポ リ シーを追加、編集、ま たは削除す る ために使用 し ます。 IKE ネ ゴ シエーシ ョ ン の条件 を設定す る には、次に示す項目を含む IKE ポ リ シーを 1 つ以上作 成 し ま す。 • 一意のプ ラ イ オ リ テ ィ (1 ~ 65,543、1 が最高のプ ラ イ オ リ テ ィ )。 • ピ ア の ID を確認す る 認証方式。 • デー タ を保護 し 、プ ラ イ バシーを守 る 暗号化方式。 • HMAC 方式。送信者の身元を保証 し 、搬送中に メ ッ セージが変更 さ れてい ない こ と を保証 し ま す。 • 暗号キー判別アルゴ リ ズ ム を強化す る Diffie-Hellman グループ。こ の アル ゴ リ ズ ム を使用 し て、ASAは暗号キー と ハ ッ シ ュ キーを導出 し ま す。 • ASAが暗号キーを置 き 換え る 前に、こ の暗号キーを使用す る 最長時間の制限。 各 IKE ネ ゴ シエーシ ョ ン は、フ ェ ーズ 1 と フ ェ ーズ 2 と 呼ばれ る 2 つの部分に分かれ ま す。 フ ェ ーズ 1 は、以後の IKE ネ ゴ シ エーシ ョ ン メ ッ セージ を保護す る 最初の ト ン ネル を作成 し ま す。フ ェ ーズ 2 では、デー タ を保護す る ト ン ネルが作成 さ れ ま す。 IKEv1 の場合は、各パ ラ メ ー タ に対 し て 1 つの設定だけ を イ ネーブルにで き ます。IKEv2 の場合は、 1 つのプ ロ ポーザルで複数の設定([Encryption]、[D-H Group]、[Integrity Hash]、お よ び [PRF Hash])を 指定で き ます。 IKE ポ リ シーが何 も 設定 さ れてい ない場合、ASA はデ フ ォ ル ト のポ リ シーを使用 し ま す。デ フ ォ ル ト ポ リ シーは常にプ ラ イ オ リ テ ィ が最 も 低 く 設定 さ れ、各パ ラ メ ー タ はデ フ ォ ル ト 値に設定 さ れ ま す。特定のパ ラ メ ー タ の値を指定 し ない場合、デ フ ォ ル ト 値が適用 さ れ ま す。 IKE ネ ゴ シエーシ ョ ン が開始 さ れ る と 、ネ ゴ シエーシ ョ ン を開始す る ピ ア がそのポ リ シーすべ て を リ モー ト ピ ア に送信 し ま す。リ モー ト ピ アは、一致す る ポ リ シーがないか ど う か、所有す る ポ リ シーを プ ラ イ オ リ テ ィ 順に検索 し ま す。 暗号化、ハ ッ シ ュ 、認証、お よ び Diffie-Hellman の値が同 じ で、SA ラ イ フ タ イ ム が送信 さ れた ポ リ シーの ラ イ フ タ イ ム以下の場合には、IKE ポ リ シー間に一致が存在 し ま す。ラ イ フ タ イ ム が等 し く ない場合は、( リ モー ト ピ ア ポ リ シーか ら の)短い方の ラ イ フ タ イ ム が適用 さ れ ま す。一致す る ポ リ シーがない場合、IKE はネ ゴ シエーシ ョ ン を拒否 し 、IKE SA は確立 さ れ ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-5 第2章 IKE と ロー ド バ ラ ン シ ン グ IKE の設定 フ ィ ール ド • [IKEv1 Policies]:設定済み IKE ポ リ シーそれぞれのパ ラ メ ー タ 設定を表示 し ま す。 – [Priority #]:ポ リ シーのプ ラ イ オ リ テ ィ を示 し ま す。 – [Encryption]:暗号化方式を示 し ま す。 – [Hash]:ハ ッ シ ュ アル ゴ リ ズ ム を示 し ま す。 – [D-H Group]:Diffie-Hellman グループ を示 し ま す。 – [Authentication]:認証方式を示 し ま す。 – [Lifetime(secs)]:SA ラ イ フ タ イ ム を秒数で示 し ま す。 • [IKEv2 Policies]:設定済み IKEv2 ポ リ シーそれぞれのパ ラ メ ー タ 設定を表示 し ま す。 – [Priority #]:ポ リ シーのプ ラ イ オ リ テ ィ を示 し ま す。 – [Encryption]:暗号化方式を示 し ま す。 – [Integrity Hash]:ハ ッ シ ュ アル ゴ リ ズ ム を示 し ま す。 – [PRF Hash]:疑似乱数関数(PRF)ハ ッ シ ュ アルゴ リ ズ ム を示 し ま す。 – [D-H Group]:Diffie-Hellman グループ を示 し ま す。 – [Lifetime(secs)]:SA ラ イ フ タ イ ム を秒数で示 し ま す。 IKEv1 ポ リ シーの追加または編集 [Configuration] > [Site-to-Site VPN] > [Advanced] > [IKE Policies] > [Add/Edit IKE Policy] フ ィ ール ド [Priority #]:IKE ポ リ シーのプ ラ イ オ リ テ ィ を設定す る 数字を入力 し ま す。範囲は 1 ~ 65535 で、 1 が最高のプ ラ イ オ リ テ ィ です。 [Encryption]:暗号化方式を選択 し ま す。こ れは、2 つの IPSec ピ ア間で伝送 さ れ る デー タ を保護す る 対称暗号化アルゴ リ ズ ム です。次の中か ら 選択で き ま す。 des 56 ビ ッ ト DES-CBC。安全性は低いですが、他の選択肢 よ り 高速です。 デフ ォル ト 。 3des 168 ビ ッ ト Triple DES。 aes 128 ビ ッ ト AES。 aes-192 192 ビ ッ ト AES。 aes-256 256 ビ ッ ト AES。 [Hash]:デー タ の整合性を保証す る ハ ッ シ ュ アル ゴ リ ズ ム を選択 し ま す。パケ ッ ト が、そのパ ケ ッ ト に記 さ れてい る 発信元か ら 発信 さ れた こ と 、ま た搬送中に変更 さ れていない こ と を保証 し ま す。 sha SHA-1 md5 MD5 デ フ ォ ル ト 値は SHA-1 です。MD5 のダ イ ジ ェ ス ト の方が小 さ く 、SHA-1 よ り も やや速い と 見な さ れてい ま す。し か し 、MD5 に 対す る 攻撃が成功( こ れは非常に困難) し て も 、IKE が使用す る HMAC バ リ ア ン ト が こ の攻撃を防ぎ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-6 第2章 IKE と ロー ド バラ ン シ ング IKE の設定 [Authentication]:各 IPSec ピ ア の ID を 確立す る ためにASAが使用す る 認証方式 を 選択 し ま す。 事前共有キーは拡大す る ネ ッ ト ワ ー ク に対応 し た拡張が困難ですが、小規模ネ ッ ト ワ ー ク では セ ッ ト ア ッ プが容易です。次の選択肢が あ り ま す。 pre-share 事前共有キー。 rsa-sig RSA シ グ ニチ ャ アルゴ リ ズ ム に よ っ て生成 さ れた キー付 き のデジ タ ル証明書。 crack モバ イ ル IPSec が イ ネーブルに な っ て い る ク ラ イ ア ン ト の IKE Challenge/Response for Authenticated Cryptographic Keys プ ロ ト コ ル。証明書以 外の認証技術 を 使用 し ま す。 [D-H Group]:Diffie-Hellman グループ ID を選択 し ま す。こ の ID は、2 つの IPSec ピ ア が、相互に共 有秘密情報を転送す る のではな く 、共有秘密情報を取 り 出すために使用 し ま す。 1 グループ 1 (768 ビ ッ ト ) 2 グループ 2 (1024 ビ ッ ト ) 5 グループ 5 (1536 ビ ッ ト ) デ フ ォ ル ト の Group 2(1024 ビ ッ ト Diffie-Hellman)は、 Group 1 ま たは 5 と 比較 し て、CPU の実行時間は短いです が、安全性は低 く な り ま す。 [Lifetime (secs)]:[Unlimited] を オ ン にす る か、SA ラ イ フ タ イ ム を整数で入力 し ま す。デ フ ォ ル ト は 86,400 秒、つ ま り 24 時間です。ラ イ フ タ イ ム を長 く す る ほ ど 、ASA は以後の IPSec セ キ ュ リ テ ィ ア ソ シ エーシ ョ ン を よ り 緩やかにセ ッ ト ア ッ プ し ま す。暗号化強度は十分な レ ベルに あ る ため、キーの再生成間隔を極端に短 く (約 2 ~ 3 分ご と に) し な く て も セ キ ュ リ テ ィ は保証 さ れ ま す。デ フ ォ ル ト を その ま ま 使用す る こ と を推奨 し ま す。 [Time Measure]:時間基準を選択 し ま す。ASAでは、次の値を使用で き ま す。 120 ~ 86,400 秒 2 ~ 1,440 分 1 ~ 24 時間 1日 IKEv2 ポ リ シーの追加または編集 [Configuration] > [Site-to-Site VPN] > [Advanced] > [IKE Policies] > [Add/Edit IKEv2 Policy] フ ィ ール ド [Priority #]:IKEv2 ポ リ シーのプ ラ イ オ リ テ ィ を設定す る 数字を入力 し ま す。範囲は 1 ~ 65535 で、 1 が最高のプ ラ イ オ リ テ ィ です。 [Encryption]:暗号化方式を選択 し ま す。こ れは、2 つの IPSec ピ ア間で伝送 さ れ る デー タ を保護す る 対称暗号化アルゴ リ ズ ム です。次の中か ら 選択で き ま す。 des 56 ビ ッ ト DES-CBC 暗号化を ESP に対 し て指定 し ま す。 3des (デ フ ォ ル ト ) ト リ プル DES 暗号化アルゴ リ ズ ム を ESP に対 し て指定 し ま す。 aes AES と 128 ビ ッ ト キー暗号化を ESP に対 し て指定 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-7 第2章 IKE と ロー ド バ ラ ン シ ン グ IKE の設定 aes-192 AES と 192 ビ ッ ト キー暗号化を ESP に対 し て指定 し ま す。 aes-256 AES と 256 ビ ッ ト キー暗号化を ESP に対 し て指定 し ま す。 aes-gcm AES-GCM/GMAC 128 ビ ッ ト のサポー ト を対称暗号化 と 整合性に対 し て指定 し ま す。 aes-gcm-192 AES-GCM/GMAC 192 ビ ッ ト のサポー ト を対称暗号化 と 整合性に対 し て指定 し ま す。 aes-gcm-256 AES-GCM/GMAC 256 ビ ッ ト のサポー ト を対称暗号化 と 整合性に対 し て指定 し ま す。 NULL 暗号化が行われない こ と を示 し ま す。 [D-H Group]:Diffie-Hellman グループ ID を選択 し ま す。こ の ID は、2 つの IPSec ピ ア が、相互に共 有秘密情報を転送す る のではな く 、共有秘密情報を取 り 出すために使用 し ま す。 1 グループ 1 (768 ビ ッ ト ) 2 グループ 2 (1024 ビ ッ ト ) 5 グループ 5 (1536 ビ ッ ト ) 14 グループ 14 19 グループ 19 こ れがデフ ォル ト です。Group 2(1024 ビ ッ ト Diffie-Hellman)で は、実行に必要な CPU 時間が少な く な り ますが、Group 2 ま た は 5 よ り 安全性が劣 り ます。 グループ 20 21 グループ 21 24 グループ 24 [Integrity Hash]:ESP プ ロ ト コ ルのデー タ 整合性を保証す る ためのハ ッ シ ュ アル ゴ リ ズ ム を選択 し ま す。パケ ッ ト が、そのパケ ッ ト に記 さ れてい る 発信元か ら 発信 さ れた こ と 、ま た搬送中に変 更 さ れていない こ と を保証 し ま す。 デ フ ォ ル ト は SHA 1 です。MD5 の方がダ イ ジ ェ ス ト が小 さ く 、 SHA 1 よ り も やや速い と 見な さ れてい ま す。し か し 、MD5 に対す る 攻撃が成功( こ れは非常に困難) し て も 、IKE が使用す る HMAC バ リ ア ン ト が こ の攻撃を防ぎ ま す。 sha SHA 1 md5 MD5 sha256 SHA 2、256 ビ ッ ト 256 ビ ッ ト のダ イ ジ ェ ス ト でセ キ ュ ア ハ ッ シ ュ アル ゴ リ ズ ム のダ イ ジ ェ ス ト SHA 2 を指定 し ま す。 sha384 SHA 2、384 ビ ッ ト 384 ビ ッ ト のダ イ ジ ェ ス ト でセ キ ュ ア ハ ッ シ ュ アル ゴ リ ズ ム のダ イ ジ ェ ス ト SHA 2 を指定 し ま す。 sha512 SHA 2、512 ビ ッ ト 512 ビ ッ ト のダ イ ジ ェ ス ト でセ キ ュ ア ハ ッ シ ュ アル ゴ リ ズ ム のダ イ ジ ェ ス ト SHA 2 を指定 し ま す。 null AES-GCM ま たは AES-GMAC が暗号化アル ゴ リ ズ ム と し て設定 さ れてい る こ と を示 し ま す。AES-GCM が暗号化アル ゴ リ ズ ム と し て設定 さ れてい る 場合は、ヌ ル整合性アル ゴ リ ズ ム を選択す る 必要が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-8 第2章 IKE と ロー ド バラ ン シ ング IPsec の設定 [Pseudo-Random Function (PRF)]:SA で使用 さ れ る すべての暗号化アル ゴ リ ズ ム のための キー関 連情報の組み立てに使用 さ れ る PRF を指定 し ま す。 デ フ ォ ル ト 値は SHA-1 です。MD5 のダ イ ジ ェ ス ト の方が小 さ く 、SHA-1 よ り も やや速い と 見な さ れてい ま す。し か し 、MD5 に 対す る 攻撃が成功( こ れは非常に困難) し て も 、IKE が使用す る HMAC バ リ ア ン ト が こ の攻撃を防ぎ ま す。 sha SHA-1 md5 MD5 sha256 SHA 2、256 ビ ッ ト 256 ビ ッ ト のダ イ ジ ェ ス ト でセ キ ュ ア ハ ッ シ ュ アル ゴ リ ズ ム のダ イ ジ ェ ス ト SHA 2 を指定 し ま す。 sha384 SHA 2、384 ビ ッ ト 384 ビ ッ ト のダ イ ジ ェ ス ト でセ キ ュ ア ハ ッ シ ュ アル ゴ リ ズ ム のダ イ ジ ェ ス ト SHA 2 を指定 し ま す。 sha512 SHA 2、512 ビ ッ ト 512 ビ ッ ト のダ イ ジ ェ ス ト でセ キ ュ ア ハ ッ シ ュ アル ゴ リ ズ ム のダ イ ジ ェ ス ト SHA 2 を指定 し ま す。 [Lifetime (secs)]:[Unlimited] を オ ン にす る か、SA ラ イ フ タ イ ム を整数で入力 し ま す。デ フ ォ ル ト は 86,400 秒、つ ま り 24 時間です。ラ イ フ タ イ ム を長 く す る ほ ど 、ASAは以後の IPSec セ キ ュ リ テ ィ ア ソ シ エーシ ョ ン を よ り 迅速にセ ッ ト ア ッ プ し ま す。暗号化強度は十分な レ ベルに あ る た め、キーの再生成間隔を極端に短 く (約 2 ~ 3 分ご と に) し な く て も セ キ ュ リ テ ィ は保証 さ れ ま す。デ フ ォ ル ト を その ま ま 使用す る こ と を推奨 し ま す。 ASAでは、次の値を使用で き ま す。 120 ~ 86,400 秒 2 ~ 1,440 分 1 ~ 24 時間 1日 IPsec の設定 ASA では、IPsec は LAN-to-LAN VPN 接続に使用 さ れ、client-to-LAN VPN 接続に も IPsec を使用 で き ま す。IPsec の用語では、「ピ ア」は、リ モー ト ア ク セ ス ク ラ イ ア ン ト ま たは別のセ キ ュ ア ゲー ト ウ ェ イ を指 し ま す。ASA は、シ ス コ ピ ア(IPv4 ま たは IPv6) と 、関連す る すべての標準に準拠 し たサー ド パーテ ィ ピ ア と の LAN-to-LAN IPsec 接続を サポー ト し ます。 ト ン ネルを確立す る 間に、2 つの ピ アは、認証、暗号化、カ プセル化、キー管理を制御す る セ キ ュ リ テ ィ ア ソ シエーシ ョ ン を ネ ゴ シエー ト し ま す。こ れ ら のネ ゴ シエーシ ョ ン には、ト ン ネルの確立 (IKE SA) と 、ト ン ネル内の ト ラ フ ィ ッ ク の制御(IPsec SA) と い う 2 つの フ ェ ーズが含 ま れ ます。 LAN-to-LAN VPN は、地理的に異な る 場所に あ る ネ ッ ト ワ ー ク を接続 し ま す。IPsec LAN-to-LAN 接続では、ASAは発信側 ま たは応答側 と し て機能 し ま す。IPsec client-to-LAN 接続では、ASAは応 答側 と し てだけ機能 し ま す。発信側は SA を提案 し 、応答側は、設定 さ れた SA パ ラ メ ー タ に従っ て、SA の提示 を受け入れ る か、拒否す る か、ま たは対案を提示 し ま す。接続を確立す る には、両方 のエ ン テ ィ テ ィ で SA が一致す る 必要が あ り ま す。 ASAは、次の IPSec 属性を サポー ト し ま す。 • 認証でデジ タ ル証明書を使用す る と き に、フ ェ ーズ 1 ISAKMP セ キ ュ リ テ ィ ア ソ シ エー シ ョ ン を ネ ゴ シ エー ト す る 場合の Main モー ド • 認証で事前共有キーを使用す る と き に、フ ェ ーズ 1 ISAKMP セ キ ュ リ テ ィ ア ソ シエーシ ョ ン (SA)を ネ ゴ シエー ト す る 場合の Aggressive モー ド Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-9 第2章 IKE と ロー ド バ ラ ン シ ン グ IPsec の設定 • 認証アルゴ リ ズ ム: – ESP-MD5-HMAC-128 – ESP-SHA1-HMAC-160 • 認証モー ド : – 事前共有キー – X.509 デジ タ ル証明書 • Diffie-Hellman Group 1、2、お よ び 5 • 暗号化アルゴ リ ズ ム: – AES-128、-192、お よ び -256 – 3DES-168 – DES-56 – ESP-NULL • 拡張認証(XAuth) • モー ド コ ン フ ィ ギ ュ レ ーシ ョ ン(別名 ISAKMP コ ン フ ィ ギ ュ レ ーシ ョ ン方式) • ト ン ネル カ プセル化モー ド • LZS を使用 し た IP 圧縮(IPCOMP) ステ ッ プ 1 暗号マ ッ プ を設定 し ま す。 ステ ッ プ 2 [IPsec Pre-Fragmentation Policies]を設定 し ま す。 ステ ッ プ 3 [IPsec Proposals (Transform Sets)]を設定 し ま す。 暗号マ ッ プ [Configuration] > [Site-to-Site VPN] > [Advanced] > [Crypto Maps] こ のペ イ ン には、IPSec ルールに定義 さ れてい る 、現在設定 さ れてい る ク リ プ ト マ ッ プが表示 さ れ ま す。こ こ では、IPSec ルール を追加、編集、削除、切 り 取 り 、お よ び貼 り 付け し た り 、上下に移動 さ せた り で き ま す。 注 暗黙のルールは、編集、削除、ま たは コ ピ ーで き ま せん。ASAは、ダ イ ナ ミ ッ ク ト ン ネル ポ リ シー が設定 さ れてい る 場合、リ モー ト ク ラ イ ア ン ト か ら ト ラ フ ィ ッ ク の選択提案を暗黙的に受け入 れ ま す。特定の ト ラ フ ィ ッ ク を選択す る こ と に よ っ て、その提案を無効化で き ま す。 [Interface]、[Source]、[Destination]、[Destination Service]、ま たは [Rule Query] を 選択、[is] ま たは [contains] を 選択、あ る いは フ ィ ル タ パ ラ メ ー タ を 入力す る こ と に よ っ て、ルール を 検索(ルー ルの表示 を フ ィ ル タ 処理)す る こ と も で き ま す。[...] を ク リ ッ ク し て、選択可能なすべて の既存 エ ン ト リ が示 さ れた参照ダ イ ア ロ グ ボ ッ ク ス を 開 き ま す。ダ イ ア グ ラ ム は、ルール を 図で表示 す る た めに使用 し ま す。 IPsec ルールでは以下を指定 し ま す。 • [Type: Priority]:ルールの タ イ プ(Static ま たは Dynamic) と そのプ ラ イ オ リ テ ィ を表示 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-10 第2章 IKE と ロー ド バラ ン シ ング IPsec の設定 • Traffic Selection – [#]:ルール番号を示 し ま す。 – [Source]: ト ラ フ ィ ッ ク を [Remote Side Host/Network] カ ラ ム の リ ス ト にあ る IP ア ド レ ス 宛てに送信す る と き に、こ のルールに従 う IP ア ド レ ス を示 し ま す。詳細モー ド ([Show Detail] ボ タ ン を参照)では、ア ド レ ス カ ラ ム に、「any」 と い う 語が含 ま れ る イ ン タ ーフ ェ イ ス 名が表示 さ れ る 場合があ り ま す(例:「inside:any」)。any は、内部 イ ン タ ーフ ェ イ ス のす べてのホ ス ト がルールの影響を受け る こ と を意味 し ま す。 – [Destination]: ト ラ フ ィ ッ ク が [Security Appliance Side Host/Network] カ ラ ム の リ ス ト に あ る IP ア ド レ ス か ら 送信 さ れ る と き に、こ のルールに従 う IP ア ド レ ス を一覧表示 し ま す。詳細モー ド ([Show Detail] ボ タ ン を参照)では、ア ド レ ス カ ラ ム に、「any」 と い う 語が 含 ま れ る イ ン タ ー フ ェ イ ス 名が表示 さ れ る 場合が あ り ま す(例:「outside:any」)。any は、 外部 イ ン タ ー フ ェ イ ス のすべての ホ ス ト がルールの影響を受け る こ と を意味 し ま す。さ ら に詳細モー ド では、ア ド レ ス カ ラ ム に角カ ッ コ で囲 ま れた IP ア ド レ ス が含 ま れ る こ と も あ り ま す([209.165.201.1-209.165.201.30] な ど )。こ れ ら のア ド レ ス は、変換済みア ド レ ス です。内部ホ ス ト が外部ホ ス ト への接続を作成す る と 、ASAは内部ホ ス ト の ア ド レ ス を プールの ア ド レ ス にマ ッ ピ ン グ し ま す。ホ ス ト が ア ウ ト バ ウ ン ド 接続を作成 し た 後、ASAは こ の ア ド レ ス マ ッ ピ ン グ を維持 し ま す。こ のア ド レ ス マ ッ ピ ン グ構造は xlate と 呼ばれ、一定の時間 メ モ リ に保持 さ れ ま す。 – [Service]:ルールに よ っ て指定 さ れ る サー ビ ス と プ ロ ト コ ル を指定 し ま す(TCP、UDP、 ICMP、ま たは IP)。 – [Action]:IPSec ルールの タ イ プ(保護す る 、ま たは保護 し ない)を指定 し ま す。 • [Transform Set]:ルールの ト ラ ン ス フ ォ ーム セ ッ ト を表示 し ま す。 • [Peer]:IPsec ピ ア を識別 し ま す。 • [PFS]:ルールの完全転送秘密設定値 を表示 し ま す。 • [NAT-T Enabled]:ポ リ シーで NAT Traversal が有効にな っ てい る か ど う か を示 し ま す。 • [Reverse Route Enabled]:ポ リ シーで逆ルー ト 注入が イ ネーブルにな っ てい る か ど う か を示 し ま す。 • [Connection Type]:( ス タ テ ィ ッ ク ト ン ネル ポ リ シーでのみ有効)。こ のポ リ シーの接続 タ イ プ を bidirectional、originate-only、ま たは answer-only と し て識別 し ま す。 • [SA Lifetime]:ルールの SA ラ イ フ タ イ ム を表示 し ま す。 • [CA Certificate]:ポ リ シーの CA 証明書を表示 し ま す。こ れは、ス タ テ ィ ッ ク 接続にだけ適用 さ れ ま す。 • [IKE Negotiation Mode]:IKE ネ ゴ シ エーシ ョ ン で、Main モー ド ま たは Aggressive モー ド を使 用す る か ど う か を表示 し ま す。 • [Description]:(任意) こ のルールの簡単な説明 を指定 し ま す。既存ルールの場合は、ルールの 追加時に入力 し た説明にな り ま す。暗黙のルールには、「Implicit rule」 と い う 記述が含 ま れて い ま す。暗黙のルール以外のルールの説明を編集す る には、こ の カ ラ ム を右 ク リ ッ ク し て [Edit Description] を選択す る か、こ の カ ラ ム を ダブル ク リ ッ ク し ま す。 • [Enable Anti-replay window size]:ア ン チ リ プ レ イ ウ ィ ン ド ウ のサ イ ズ を、64 ~ 1028 の範囲 の 64 の倍数で設定 し ま す。ト ラ フ ィ ッ ク シ ェ ー ピ ン グ を使用す る 、階層型 QoS ポ リ シーに おけ る プ ラ イ オ リ テ ィ キ ュ ー イ ン グ(「[Rule Actions] > [QoS] タ ブ」を参照)に伴 う 副次的な 影響 と し ては、パケ ッ ト の順番が変わ る 点が挙げ ら れ ま す。IPsec パケ ッ ト では、ア ン チ リ プ レ イ ウ ィ ン ド ウ 内にない不連続パケ ッ ト に よ り 、警告 syslog メ ッ セージが生成 さ れ ま す。こ れ ら の警告は、プ ラ イ オ リ テ ィ キ ュ ー イ ン グ の場合は誤報です。ア ン チ リ プ レ イ のパネル サ イ ズ を設定す る と 、誤報を回避す る こ と がで き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-11 第2章 IKE と ロー ド バ ラ ン シ ン グ IPsec の設定 [Create or Edit an IPsec Rule] の [Tunnel Policy (Crypto Map) - Basic] タ ブ [Configuration] > [Site-to-Site VPN] > [Advanced] > [Crypto Maps] > [Create / Edit IPsec Rule] > [Tunnel Policy (Crypto Map) - Basic] こ のペ イ ン では、IPSec ルールの新 し い ト ン ネル ポ リ シーを定義 し ま す。こ こ で定義す る 値は、 [OK] を ク リ ッ ク し た後に [IPSec Rules] テーブルに表示 さ れ ま す。すべてのルールは、デ フ ォ ル ト で [IPSec Rules] テーブルに表示 さ れ る と す ぐ に イ ネーブルにな り ま す。 [Tunnel Policy] ペ イ ン では、IPSec( フ ェ ーズ 2)セ キ ュ リ テ ィ ア ソ シ エーシ ョ ン(SA)のネ ゴ シ エー ト で使用す る ト ン ネル ポ リ シー を 定義で き ま す。ASDM は、ユーザの コ ン フ ィ ギ ュ レ ー シ ョ ン 編集結果 を 取 り 込み ま すが、[Apply] を ク リ ッ ク す る ま では実行中の コ ン フ ィ ギ ュ レ ー シ ョ ン に保存 し ま せん。 すべての ト ン ネル ポ リ シーでは、ト ラ ン ス フ ォ ーム セ ッ ト を指定 し 、適用す る セ キ ュ リ テ ィ ア プ ラ イ ア ン ス イ ン タ ー フ ェ イ ス を特定す る 必要が あ り ま す。ト ラ ン ス フ ォ ーム セ ッ ト では、 IPSec の暗号化処理 と 復号化処理を実行す る 暗号化アル ゴ リ ズ ムお よ びハ ッ シ ュ アル ゴ リ ズ ム を特定 し ま す。すべての IPSec ピ ア が同 じ アル ゴ リ ズ ム を サポー ト す る と は限 ら ないため、多 く のポ リ シーを指定 し て、それぞれに 1 つのプ ラ イ オ リ テ ィ を割 り 当て る よ う にす る こ と も で き ま す。その後セ キ ュ リ テ ィ ア プ ラ イ ア ン ス は、リ モー ト の IPSec ピ ア と ネ ゴ シ エー ト し て、両方 の ピ ア がサポー ト す る ト ラ ン ス フ ォ ーム セ ッ ト を一致 さ せ ま す。 ト ン ネル ポ リ シーは、ス タ テ ィ ッ ク ま たは ダ イ ナ ミ ッ ク にす る こ と がで き ま す。ス タ テ ィ ッ ク ト ン ネル ポ リ シーでは、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス で IPSec 接続を許可す る 1 つ以上の リ モー ト IPSec ピ ア ま たはサブネ ッ ト ワ ー ク を特定 し ま す。ス タ テ ィ ッ ク ポ リ シーを使用 し て、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス で接続を開始す る か、ま たは リ モー ト ホ ス ト か ら 接続要求を受信す る か ど う か を指定で き ま す。ス タ テ ィ ッ ク ポ リ シーでは、許可 さ れ る ホ ス ト ま たはネ ッ ト ワ ー ク を識別す る ために必要な情報を入力す る 必要が あ り ま す。 ダ イ ナ ミ ッ ク ト ン ネル ポ リ シーは、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス と の接続 を 開始す る こ と を 許可 さ れ る リ モー ト ホ ス ト につい て の情報 を 指定で き な いか、ま たは指定 し な い場合に使用 し ま す。リ モー ト VPN 中央サ イ ト デバ イ ス と の関係で、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス を VPN ク ラ イ ア ン ト と し て し か使用 し な い場合は、ダ イ ナ ミ ッ ク ト ン ネル ポ リ シー を 設定す る 必要は あ り ま せん。ダ イ ナ ミ ッ ク ト ン ネル ポ リ シーが最 も 効果的な のは、リ モー ト ア ク セ ス ク ラ イ ア ン ト が、VPN 中央サ イ ト デバ イ ス と し て動作す る セ キ ュ リ テ ィ ア プ ラ イ ア ン ス か ら ユーザ ネ ッ ト ワ ー ク への接続 を 開始で き る よ う にす る 場合です。ダ イ ナ ミ ッ ク ト ン ネル ポ リ シーは、リ モー ト ア ク セ ス ク ラ イ ア ン ト にダ イ ナ ミ ッ ク に割 り 当て ら れた IP ア ド レ ス が あ る 場合、ま た は多 く の リ モー ト ア ク セ ス ク ラ イ ア ン ト に別々のポ リ シー を 設定 し な い よ う にす る 場合に役 立ち ま す。 フ ィ ール ド • [Interface]: こ のポ リ シーを適用す る イ ン タ ー フ ェ イ ス 名を選択 し ま す。 • [Policy Type]: こ の ト ン ネル ポ リ シーの タ イ プ と し て、[Static] ま たは [Dynamic] を選択 し ます。 • [Priority]:ポ リ シーのプ ラ イ オ リ テ ィ を入力 し ま す。 • [IKE Proposals (Transform Sets)]:IKEv1 お よ び IKEv2 の IPsec プ ロ ポーザル を指定 し ま す。 – [IKEv1 IPsec Proposal]:ポ リ シーのプ ロ ポーザル( ト ラ ン ス フ ォ ーム セ ッ ト )を選択 し て [Add] を ク リ ッ ク す る と 、ア ク テ ィ ブ な ト ラ ン ス フ ォ ーム セ ッ ト の リ ス ト に移動 し ま す。[Move Up] ま たは [Move Down] を ク リ ッ ク し て、リ ス ト ボ ッ ク ス 内でのプ ロ ポーザ ルの順番を入れ替え ま す。ク リ プ ト マ ッ プ エ ン ト リ ま たはダ イ ナ ミ ッ ク ク リ プ ト マ ッ プ エ ン ト リ には、最大で 11 のプ ロ ポーザル を追加で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-12 第2章 IKE と ロー ド バラ ン シ ング IPsec の設定 – [IKEv2 IPsec Proposal]:ポ リ シーのプ ロ ポーザル( ト ラ ン ス フ ォ ーム セ ッ ト )を選択 し て [Add] を ク リ ッ ク す る と 、ア ク テ ィ ブ な ト ラ ン ス フ ォ ーム セ ッ ト の リ ス ト に移動 し ま す。[Move Up] ま たは [Move Down] を ク リ ッ ク し て、リ ス ト ボ ッ ク ス 内でのプ ロ ポーザ ルの順番を入れ替え ま す。ク リ プ ト マ ッ プ エ ン ト リ ま たはダ イ ナ ミ ッ ク ク リ プ ト マ ッ プ エ ン ト リ には、最大で 11 のプ ロ ポーザル を追加で き ま す。 • [Peer Settings - Optional for Dynamic Crypto Map Entries]:ポ リ シーの ピ ア設定値を設定 し ま す。 – [Connection Type]:(ス タ テ ィ ッ ク ト ンネル ポ リ シーでのみ有効)。bidirectional、originate-only、 ま たは answer-only を選択し て、こ のポ リ シーの接続タ イ プを指定し ます。LAN-to-LAN 接続 の場合は、bidirectional ま たは answer-only(originate-only ではない)を選択し ます。LAN-to-LAN 冗長接続の場合は、answer-only を選択し ます。originate only を選択し た場合は、最大 10 個の冗 長ピ ア を指定で き ます。単方向に対し てだけ、originate only ま たは answer only を指定で き ま す。ど ち ら も デフ ォル ト で イ ネーブルにな っ ていません。 – [IP Address of Peer to Be Added]:追加す る IPSec ピ ア の IP ア ド レ ス を入力 し ま す。 • [Enable Perfect Forwarding Secrecy]:ポ リ シーの PFS を イ ネーブルにす る 場合にオ ン に し ま す。 PFS は、新 し いキーはすべて、あ ら ゆ る 過去のキー と 関係 し ない と い う 暗号化 コ ン セプ ト で す。IPSec ネ ゴ シエーシ ョ ン での フ ェ ーズ 2 キーは、PFS を指定 し ない限 り フ ェ ーズ 1 に基づ いて生成 さ れ ます。 • [Diffie-Hellman Group]:PFS を イ ネーブルにす る 場合は、ASAがセ ッ シ ョ ン キーの生成に使 用す る Diffie-Hellman グループ も 選択す る 必要が あ り ま す。次の選択肢が あ り ま す。 – [Group 1(768 ビ ッ ト )]:PFS を 使用 し 、Diffie-Hellman Group 1 を 使用 し て IPSec セ ッ シ ョ ン キー を 生成 し ま す。こ の と き の素数 と generator 数は 768 ビ ッ ト です。こ のオプ シ ョ ン は高い安全性 を 示 し ま すが、よ り 多 く の処理オーバーヘ ッ ド を 必要 と し ま す。 – [Group 2(1024 ビ ッ ト )]:PFS を使用 し 、Diffie-Hellman Group 2 を使用 し て IPSec セ ッ シ ョ ン キーを生成 し ま す。こ の と き の素数 と generator 数は 1024 ビ ッ ト です。こ のオプ シ ョ ン は Group 1 よ り 高い安全性を示 し ま すが、よ り 多 く の処理オーバーヘ ッ ド を必要 と し ま す。 – [Group 5(1536 ビ ッ ト )]:PFS を使用 し 、Diffie-Hellman Group 5 を使用 し て IPSec セ ッ シ ョ ン キーを生成 し ま す。こ の と き の素数 と generator 数は 1536 ビ ッ ト です。こ のオプ シ ョ ン は Group 2 よ り 高い安全性を示 し ま すが、よ り 多 く の処理オーバーヘ ッ ド を必要 と し ま す。 – [Group 14]:完全転送秘密を使用 し 、IKEv2 に対 し て Diffie-Hellman グループ 14 を使用 し ま す。 – [Group 19]:完全転送秘密を使用 し 、IKEv2 に対す る Diffie-Hellman グループ 19 を使用 し て、ECDH を サポー ト し ま す。 – [Group 20]:完全転送秘密を使用 し 、IKEv2 に対 し て Diffie-Hellman グループ 20 を使用 し て、ECDH を サポー ト し ま す。 – [Group 21]:完全転送秘密を使用 し 、IKEv2 に対 し て Diffie-Hellman グループ 21 を使用 し て、ECDH を サポー ト し ま す。 – [Group 24]:完全転送秘密を使用 し 、IKEv2 に対 し て Diffie-Hellman グループ 24 を使用 し ま す。 [Create or Edit IPsec Rule] の [Tunnel Policy (Crypto Map) - Advanced] タ ブ [Configuration] > [Site-to-Site VPN] > [Advanced] > [Crypto Maps] > [Create / Edit IPsec Rule] > [Tunnel Policy (Crypto Map) - Advanced] Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-13 第2章 IKE と ロー ド バ ラ ン シ ン グ IPsec の設定 フ ィ ール ド • [Enable NAT-T]: こ のポ リ シーの NAT Traversal(NAT-T)を イ ネーブルに し ま す。 • [Enable Reverse Route Injection]: こ のポ リ シーの逆ルー ト 注入を イ ネーブルに し ま す。 逆ルー ト 注入(RRI)は、ダ イ ナ ミ ッ ク ルーテ ィ ン グ プ ロ ト コ ル を使用す る 内部ルー タ の ルーテ ィ ン グ テーブルにデー タ を入力す る ために使用 さ れ ま す。ダ イ ナ ミ ッ ク ルーテ ィ ン グ プ ロ ト コ ルの例 と し ては、Open Shortest Path First(OSPF)、Enhanced Interior Gateway Routing Protocol(EIGRP)(ASA を実行す る 場合)、ルーテ ィ ン グ情報プ ロ ト コ ル(RIP)( リ モー ト VPN ク ラ イ ア ン ト や LAN-to-LAN セ ッ シ ョ ン に使用)が あ り ま す。 • [Security Association Lifetime Settings]:セ キ ュ リ テ ィ ア ソ シエーシ ョ ン(SA)の期間を設定 し ま す。こ のパ ラ メ ー タ に よ り 、IPsec SA キーの ラ イ フ タ イ ム の測定単位を指定 し ま す。ラ イ フ タ イ ム は、IPsec SA が期限切れにな る ま での存続期間を示 し 、新 し い キー と 再ネ ゴ シ エー ト す る 必要が あ り ま す。 – [Time]:時(hh)、分(mm)、お よ び秒(ss)単位で SA の ラ イ フ タ イ ム を指定 し ま す。 – [Traffic Volume]:キ ロ バ イ ト 単位の ト ラ フ ィ ッ ク で SA ラ イ フ タ イ ム を定義 し ます。IPsec SA が期限切れにな る ま でのペ イ ロ ー ド デー タ のキ ロ バ イ ト 数を入力 し ます。最小値は 100 KB、デフ ォ ル ト 値は 10000 KB、最大値は 2147483647 KB です。 • [Static Type Only Settings]: ス タ テ ィ ッ ク ト ン ネル ポ リ シーのパ ラ メ ー タ を指定 し ま す。 – [Device Certificate]:使用す る 証明書を選択 し ま す。デ フ ォ ル ト の [None](事前共有キーを 使用)以外の値を選択す る 場合。[None] 以外を選択す る と 、[Send CA certificate chain] チ ェ ッ ク ボ ッ ク ス がオ ン にな り ま す。 – [Send CA certificate chain]: ト ラ ス ト ポ イ ン ト チ ェーン全体の伝送を イ ネーブルに し ます。 – [IKE Negotiation Mode]:IKE ネ ゴ シ エーシ ョ ン モー ド (Main ま たは Aggressive)を選択 し ま す。こ のパ ラ メ ー タ に よ り 、キー情報の交換 と SA のセ ッ ト ア ッ プ を行 う 場合のモー ド を設定 し ま す。ネ ゴ シ エーシ ョ ン の発信側が使用す る モー ド を設定 し 、応答側は自動ネ ゴ シ エーシ ョ ン し ま す。Aggressive モー ド は高速で、使用す る パケ ッ ト と 交換回数を少な く す る こ と がで き ま すが、通信パーテ ィ の ID は保護 さ れ ま せん。Main モー ド は低速で、 パケ ッ ト と 交換回数が多 く な り ま すが、通信パーテ ィ の ID を保護 し ま す。こ のモー ド は よ り 安全性が高 く 、デ フ ォ ル ト で選択 さ れてい ま す。[Aggressive] を選択す る と 、 [Diffie-Hellman Group] リ ス ト が ア ク テ ィ ブにな り ま す。 – [Diffie-Hellman Group]:適用する Diffie-Hellman グループを選択し ます。Group 1(768 ビ ッ ト )、 Group 2(1024 ビ ッ ト )Group 5(1536 ビ ッ ト )の中か ら選択し ます。 • [ESP v3]:着信 ICMP エ ラ ー メ ッ セージ を、暗号化マ ッ プ と ダ イ ナ ミ ッ ク 暗号化マ ッ プの ど ち ら に対 し て検証す る か を指定 し 、セ キ ュ リ テ ィ 単位の ア ソ シ エーシ ョ ン ポ リ シーを設定 す る か、ト ラ フ ィ ッ ク フ ロ ー パケ ッ ト を イ ネーブルに し ま す。 – [Validate incoming ICMP error messages]:IPsec ト ン ネル を介 し て受信 さ れ、プ ラ イ ベー ト ネ ッ ト ワ ー ク 上の内部ホ ス ト が宛先の こ れ ら の ICMP エ ラ ー メ ッ セージ を検証す る か ど う か を選択 し ま す。 – [Enable Do Not Fragment (DF) policy]:IP ヘ ッ ダーに Do-Not-Fragment(DF)ビ ッ ト セ ッ ト を持つ大 き なパケ ッ ト を IPSec サブシ ス テ ム が ど の よ う に処理す る か を定義 し ま す。次 のいずれか を選択 し ま す。 [Clear DF bit]:DF ビ ッ ト を無視 し ま す。 [Copy DF bit]:DF ビ ッ ト を維持 し ま す。 [Set DF bit]:DF ビ ッ ト を設定 し て使用 し ま す。 – [Enable Traffic Flow Confidentiality (TFC) packets]: ト ン ネル を通過す る ト ラ フ ィ ッ ク プ ロ フ ァ イ ル を マ ス ク す る ダ ミ ーの TFC パケ ッ ト を イ ネーブルに し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-14 第2章 IKE と ロー ド バラ ン シ ング IPsec の設定 注 TFC を イ ネーブルにす る 前に、[Tunnel Policy (Crypto Map)] の [Basic] タ ブで IKE v2 IPsec プ ロ ポーザルが設定 さ れていな ければな り ま せん。 バー ス ト 、ペ イ ロ ー ド サ イ ズ、お よ び タ イ ム ア ウ ト パ ラ メ ー タ を使用 し て、指定 し た SA で不定期に ラ ン ダ ム な長 さ のパケ ッ ト を生成 し ま す。 [Create or Edit IPsec Rule] の [Traffic Selection] タ ブ [Configuration] > [Site-to-Site VPN] > [Advanced] > [Crypto Maps] > [Create / Edit IPsec Rule] > [Traffic Selection] こ のペ イ ン では、保護す る (許可) ト ラ フ ィ ッ ク ま たは保護 し ない(拒否) ト ラ フ ィ ッ ク を定義で き ま す。 フ ィ ール ド • [Action]: こ のルールで実行す る ア ク シ ョ ン を指定 し ま す。選択肢は、[protect] と [do not protect] です。 • [Source]:送信元ホ ス ト ま たはネ ッ ト ワ ー ク の IP ア ド レ ス 、ネ ッ ト ワ ー ク オブジ ェ ク ト グ ループ、ま たは イ ン タ ー フ ェ イ ス IP ア ド レ ス を指定 し ま す。ルールでは、送信元 と 宛先の両 方で同 じ ア ド レ ス を使用で き ま せん。[...] を ク リ ッ ク し て、次の フ ィ ール ド を含む [Browse Source] ダ イ ア ロ グ ボ ッ ク ス を開 き ま す。 – [Add/Edit]:送信元ア ド レ ス ま たはグループ を追加す る には、[IP Address] ま たは [Network Object Group] を選択 し ま す。 – [Delete]:エ ン ト リ を削除 し ま す。 – [Filter]:表示 さ れ る 結果を フ ィ ル タ リ ン グす る IP ア ド レ ス を入力 し ま す。 – [Name]:続 く パ ラ メ ー タ が、送信元ホ ス ト ま たはネ ッ ト ワ ー ク の名前を指定す る こ と を 示 し ま す。 – [IP Address]:続 く パ ラ メ ー タ が、送信元ホ ス ト ま たはネ ッ ト ワ ー ク の イ ン タ ー フ ェ イ ス 、 IP ア ド レ ス 、お よ びサブネ ッ ト マ ス ク を指定す る こ と を示 し ま す。 – [Netmask]:IP ア ド レ ス に適用す る 標準サブネ ッ ト マ ス ク を選択 し ま す。こ のパ ラ メ ー タ は、[IP Address] オプ シ ョ ン ボ タ ン を選択す る と き に表示 さ れ ま す。 – [Description]:説明 を入力 し ま す。 – [Selected Source]:選択 し た エ ン ト リ を 送信元 と し て含め る には [Source] を ク リ ッ ク し ま す。 • [Destination]:宛先ホ ス ト ま たはネ ッ ト ワ ー ク の IP ア ド レ ス 、ネ ッ ト ワ ー ク オブジ ェ ク ト グ ループ、ま たは イ ン タ ー フ ェ イ ス IP ア ド レ ス を指定 し ま す。ルールでは、送信元 と 宛先の両 方で同 じ ア ド レ ス を使用で き ま せん。[...] を ク リ ッ ク し て、次の フ ィ ール ド を含む [Browse Destination] ダ イ ア ロ グ を開 き ま す。 – [Add/Edit]:[IP Address] ま たは [Network Object Group] を選択 し て、宛先ア ド レ ス ま たは グループ を追加 し ま す。 – [Delete]:エ ン ト リ を削除 し ま す。 – [Filter]:表示 さ れ る 結果を フ ィ ル タ リ ン グす る IP ア ド レ ス を入力 し ま す。 – [Name]:続 く パ ラ メ ー タ が、宛先ホ ス ト ま たはネ ッ ト ワ ー ク の名前を指定す る こ と を示 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-15 第2章 IKE と ロー ド バ ラ ン シ ン グ IPsec の設定 – [IP Address]:続 く パ ラ メ ー タ が、宛先ホ ス ト ま たはネ ッ ト ワ ー ク の イ ン タ ー フ ェ イ ス 、IP ア ド レ ス 、お よ びサブネ ッ ト マ ス ク を指定す る こ と を示 し ま す。 – [Netmask]:IP ア ド レ ス に適用す る 標準サブネ ッ ト マ ス ク を選択 し ま す。こ のパ ラ メ ー タ は、[IP Address] オプ シ ョ ン ボ タ ン を選択す る と き に表示 さ れ ま す。 – [Description]:説明 を入力 し ま す。 – [Selected Destination]:選択 し た エ ン ト リ を 宛先 と し て含め る には [Destination] を ク リ ッ ク し ま す。 • [Service]:サー ビ ス を入力す る か、ま たは [...] を ク リ ッ ク し て [Browse Service] ダ イ ア ロ グ ボ ッ ク ス を開 き 、サービ ス の リ ス ト か ら 選択で き ま す。 • [Description]:[Traffic Selection] のエ ン ト リ の説明 を入力 し ま す。 • More Options – [Enable Rule]: こ のルール を イ ネーブルに し ま す。 – [Source Service]:サービ ス を入力す る か、[...] を ク リ ッ ク し てサービ ス 参照ダ イ ア ロ グ ボ ッ ク ス を開 き 、サービ ス の リ ス ト か ら 選択 し ま す。 – [Time Range]: こ のルール を適用す る 時間範囲を定義 し ま す。 – [Group]:続 く パ ラ メ ー タ が、送信元ホ ス ト ま たはネ ッ ト ワ ー ク の イ ン タ ー フ ェ イ ス と グ ループ名を指定す る こ と を示 し ま す。 – [Interface]:IP ア ド レ ス の イ ン タ ー フ ェ イ ス 名 を選択 し ま す。こ のパ ラ メ ー タ は、[IP Address] オプ シ ョ ン ボ タ ン を選択す る と き に表示 さ れ ま す。 – [IP address]: こ のポ リ シーが適用 さ れ る イ ン タ ー フ ェ イ ス の IP ア ド レ ス を指定 し ま す。 こ のパ ラ メ ー タ は、[IP Address] オプ シ ョ ン ボ タ ン を選択す る と き に表示 さ れ ま す。 – [Destination]:送信元、宛先の ホ ス ト ま たはネ ッ ト ワ ー ク につい て、IP ア ド レ ス 、ネ ッ ト ワ ー ク オブ ジ ェ ク ト グ ループ、ま たは イ ン タ ー フ ェ イ ス IP ア ド レ ス を 指定 し ま す。 ルールでは、送信元 と 宛先の両方で同 じ ア ド レ ス を 使用で き ま せん。こ れ ら の フ ィ ール ド のいずれかで [...] を ク リ ッ ク し 、次の フ ィ ール ド を 含む [Browse] ダ イ ア ロ グ ボ ッ ク ス を 開 き ま す。 – [Name]:送信元 ま たは宛先の ホ ス ト ま たはネ ッ ト ワ ー ク と し て使用す る イ ン タ ー フ ェ イ ス 名を選択 し ま す。こ のパ ラ メ ー タ は、[Name] オプ シ ョ ン ボ タ ン を選択す る と き に表示 さ れ ま す。こ れは、こ のオプシ ョ ン に関連付け ら れ る 唯一のパ ラ メ ー タ です。 – [Interface]:IP ア ド レ ス の イ ン タ ー フ ェ イ ス 名 を選択 し ま す。こ のパ ラ メ ー タ は、[Group] オプ シ ョ ン ボ タ ン を ク リ ッ ク す る と き に表示 さ れ ま す。 – [Group]:送信元 ま たは宛先のホ ス ト ま たはネ ッ ト ワ ー ク に指定 さ れた イ ン タ ーフ ェ イ ス に存在す る グループの名前を選択 し ま す。リ ス ト にエ ン ト リ が何 も ない場合は、既存グ ループの名前を入力で き ま す。こ のパ ラ メ ー タ は、[Group] オプシ ョ ン ボ タ ン を ク リ ッ ク す る と き に表示 さ れ ます。 • 注 [Protocol and Service]: こ のルールに関連す る プ ロ ト コ ル パ ラ メ ー タ と サー ビ ス パ ラ メ ー タ を指定 し ま す。 「Any - any」IPsec ルールは使用で き ま せん。こ の タ イ プのルールに よ り 、デバ イ ス お よ び その ピ ア が複数の LAN-to-LAN ト ン ネル を サポー ト で き な く な り ま す。 – [TCP]: こ のルール を TCP 接続に適用す る こ と を指定 し ま す。こ れ を選択す る と 、[Source Port] グループ ボ ッ ク ス と [Destination Port] グループ ボ ッ ク ス も 表示 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-16 第2章 IKE と ロー ド バラ ン シ ング IPsec の設定 – [UDP]:ルール を UDP 接続に適用す る こ と を指定 し ま す。こ れ を選択す る と 、[Source Port] グループ ボ ッ ク ス と [Destination Port] グループ ボ ッ ク ス も 表示 さ れ ま す。 – [ICMP]:ルール を ICMP 接続に適用す る こ と を指定 し ま す。こ れ を選択す る と 、[ICMP Type] グループ ボ ッ ク ス も 表示 さ れ ま す。 – [IP]: こ のルール を IP 接続に適用す る こ と を指定 し ま す。こ れ を選択す る と 、[IP Protocol] グループ ボ ッ ク ス も 表示 さ れ ま す。 – [Manage Service Groups]:[Manage Service Groups] ペ イ ン を表示 し ま す。こ のパネルでは、 TCP/UDP サー ビ ス /ポー ト の グループ を追加、編集、ま たは削除で き ま す。 – [Source Port] お よ び [Destination Port]:[Protocol and Service] グループ ボ ッ ク ス で選択 し たオプシ ョ ン ボ タ ン に応 じ て、TCP ま たは UDP ポー ト パ ラ メ ー タ が表示 さ れ ま す。 – [Service]:個々のサービ ス のパ ラ メ ー タ を指定 し よ う と し てい る こ と を示 し ま す。フ ィ ル タ の適用時に使用す る サービ ス 名 と ブー リ ア ン演算子を指定 し ま す。 – [Boolean operator]( ラ ベルな し ):[Service] ボ ッ ク ス で指定 し たサービ ス を照合す る と き に 使用す る ブー リ ア ン条件(等号、不等号、大な り 、小な り 、ま たは範囲)を一覧表示 し ます。 – [Service]( ラ ベルな し ):照合対象のサー ビ ス (https、kerberos その他)を特定 し ま す。range サービ ス 演算子を指定す る と 、こ のパ ラ メ ー タ は 2 つのボ ッ ク ス に変わ り ま す。ボ ッ ク ス に、範囲の開始値 と 終了値を入力 し ま す。 – [...] :サー ビ ス の リ ス ト が表示 さ れ、こ こ で選択 し たサービ ス が [Service] ボ ッ ク ス に表 示 さ れ ま す。 – [Service Group]:送信元ポー ト のサービ ス グループの名前を指定 し よ う と し てい る こ と を示 し ま す。 – [Service]( ラ ベルな し ):使用す る サー ビ ス グループ を選択 し ま す。 – [ICMP Type]:使用す る ICMP タ イ プ を指定 し ま す。デ フ ォ ル ト は any です。[...] ボ タ ン を ク リ ッ ク す る と 、使用可能な タ イ プの リ ス ト が表示 さ れ ま す。 • Options – [Time Range]:既存の時間範囲の名前を指定す る か、ま たは新 し い範囲を作成 し ま す。 – [...] :[Add Time Range] ペ イ ン が表示 さ れ、こ こ で新 し い時間範囲を定義で き ま す。 – [Please enter the description below (optional)]:ルールについて簡単な説明を入力す る ため の ス ペー ス です。 [IPsec Pre-Fragmentation Policies] [Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Prefragmentation Policies] IPSec Pre-Fragmentation ポ リ シーでは、パブ リ ッ ク イ ン タ ー フ ェ イ ス を 介 し て ト ラ フ ィ ッ ク を ト ン ネ リ ン グす る と き に、最大伝送単位(MTU)の設定 を 超え る パ ケ ッ ト の処理方法 を 指定 し ま す。こ の機能に よ り 、ASA と ク ラ イ ア ン ト の間のルー タ ま たは NAT デバ イ ス が IP フ ラ グ メ ン ト を 拒否 ま たは ド ロ ッ プす る 場合に対処で き ま す。た と えば、ク ラ イ ア ン ト がASAの背後の FTP サーバに対 し て FTP get コ マ ン ド を 実行す る と し ま す。FTP サーバか ら 送信 さ れ る パ ケ ッ ト は、 カ プセル化 さ れた と き にパブ リ ッ ク イ ン タ ー フ ェ イ ス 上の ASA の MTU サ イ ズ を 超過 し ま す。 選択 し た オプ シ ョ ン に よ り 、ASAでの こ れ ら のパ ケ ッ ト の処理方法が決 ま り ま す。事前 フ ラ グ メ ン テーシ ョ ン ポ リ シーは、ASAのパブ リ ッ ク イ ン タ ー フ ェ イ ス か ら 送出 さ れ る すべて の ト ラ フ ィ ッ ク に適用 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-17 第2章 IKE と ロー ド バ ラ ン シ ン グ IPsec の設定 ASAは、ト ン ネ リ ン グ さ れたすべてのパケ ッ ト を カ プセル化 し ま す。カ プセル化 し た後、ASAは、 パブ リ ッ ク イ ン タ ー フ ェ イ ス か ら 送信す る 前に MTU の設定値を超え る パケ ッ ト を フ ラ グ メ ン ト 化 し ま す。こ れがデ フ ォ ル ト のポ リ シーです。こ のオプシ ョ ン は、フ ラ グ メ ン ト 化 さ れたパ ケ ッ ト が、障害な し で ト ン ネル通過を許可 さ れ る 状況で機能 し ま す。FTP の例では、大 き なパ ケ ッ ト が カ プセル化 さ れて か ら 、IP レ イ ヤで フ ラ グ メ ン ト 化 さ れ ま す。中間デバ イ ス は、フ ラ グ メ ン ト を ド ロ ッ プす る か、ま たは異常な フ ラ グ メ ン ト だけ を ド ロ ッ プ し ま す。ロ ー ド バ ラ ン シ ン グ デバ イ ス が、異常 フ ラ グ メ ン ト を取 り 入れ る 可能性が あ り ま す。 事前 フ ラ グ メ ン テーシ ョ ン を イ ネーブルにす る と 、ASAは、MTU の設定値を超え る ト ン ネ リ ン グ さ れたパケ ッ ト を カ プセル化す る 前に、フ ラ グ メ ン ト 化 し ま す。こ れ ら のパケ ッ ト で DF ビ ッ ト が設定 さ れてい る 場合、ASAは DF ビ ッ ト を ク リ ア し 、パケ ッ ト を フ ラ グ メ ン ト 化 し てか ら カ プセル化 し ま す。こ の ア ク シ ョ ン に よ り 、パブ リ ッ ク イ ン タ ー フ ェ イ ス を離れ る 2 つの独立 し た 非 フ ラ グ メ ン ト 化 IP パケ ッ ト が作成 さ れ、ピ ア サ イ ト で再構成 さ れ る 完全なパケ ッ ト に フ ラ グ メ ン ト を変換す る こ と に よ り 、こ れ ら のパケ ッ ト が ピ ア サ イ ト に正常に伝送 さ れ ま す。こ こ での 例では、ASAが MTU を無効に し 、DF ビ ッ ト を ク リ アす る こ と に よ っ て フ ラ グ メ ン テーシ ョ ン を 許可 し ま す。 注 いずれの イ ン タ ーフ ェ イ ス であ っ て も 、[MTU] ま たは [Pre-Fragmentation] オプシ ョ ン を変更す る と 、すべての 既存接続が切断 さ れ ます。た と えば、パブ リ ッ ク イ ン タ ーフ ェ イ ス で 100 件のア ク テ ィ ブな ト ン ネルが終了 し 、その と き に外部 イ ン タ ーフ ェ イ ス で [MTU] ま たは [Pre-Fragmentation] オプシ ョ ン を変更す る と 、パブ リ ッ ク イ ン タ ーフ ェ イ ス のすべてのア ク テ ィ ブな ト ン ネルが ド ロ ッ プ さ れます。 こ のペ イ ン では、親ペ イ ン で選択 し た イ ン タ ー フ ェ イ ス の既存の IPSec 事前 フ ラ グ メ ン テー シ ョ ン ポ リ シー と Do-Not-Fragment(DF)ビ ッ ト ポ リ シー を 表示 ま たは編集 し ま す。 フ ィ ール ド • [Interface]:選択 さ れた イ ン タ ー フ ェ イ ス を識別 し ま す。こ のダ イ ア ロ グ ボ ッ ク ス を使用 し て も 、こ のパ ラ メ ー タ は変更で き ま せん。 • [Enable IPsec pre-fragmentation]:IPSec の事前 フ ラ グ メ ン テーシ ョ ン を イ ネーブル ま たは デ ィ セーブルに し ま す。ASAは、カ プセル化す る 前に、MTU の設定を超え る ト ン ネ リ ン グ さ れたパケ ッ ト を フ ラ グ メ ン ト 化 し ま す。こ れ ら のパケ ッ ト で DF ビ ッ ト が設定 さ れてい る 場 合、ASAは DF ビ ッ ト を ク リ ア し 、パケ ッ ト を フ ラ グ メ ン ト 化 し てか ら カ プセル化 し ま す。こ の ア ク シ ョ ン に よ り 、パブ リ ッ ク イ ン タ ー フ ェ イ ス を離れ る 2 つの独立 し た非 フ ラ グ メ ン ト 化 IP パケ ッ ト が作成 さ れ、ピ ア サ イ ト で再構成 さ れ る 完全なパケ ッ ト に フ ラ グ メ ン ト を 変換す る こ と に よ り 、こ れ ら のパケ ッ ト が ピ ア サ イ ト に正常に伝送 さ れ ま す。 • [DF Bit Setting Policy]:Do-Not-Fragment ビ ッ ト ポ リ シー:[Copy]、[Clear]、ま たは [Set] [IPsec Proposals (Transform Sets)] [Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Proposals (Transform Sets)] ト ラ ン ス フ ォームは、デー タ フ ロ ーで実行 さ れ る操作のセ ッ ト で、デー タ 認証、デー タ 機密性、お よ びデー タ 圧縮を実現 し ます。た と えば、1 つの ト ラ ン ス フ ォームは、3DES 暗号化 と HMAC-MD5 認証 アルゴ リ ズ ム(ESP-3DES-MD5)に よ る ESP プ ロ ト コ ルです。 こ のペ イ ン は、後述す る IKEv1 お よ び IKEv2 ト ラ ン ス フ ォ ーム セ ッ ト を表示、追加、編集、ま た は削除す る ために使用 し ま す。各テーブルには、設定済みの ト ラ ン ス フ ォ ーム セ ッ ト の名前 と 詳 細が表示 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-18 第2章 IKE と ロー ド バラ ン シ ング ロー ド バ ラ ン シ ング フ ィ ール ド • [IKEv1 IPsec Proposals (Transform Sets)] – [Mode]:ESP 暗号化 と 認証を適用す る モー ド 。こ れに よ り 、ESP が適用 さ れ る オ リ ジナル の IP パケ ッ ト の部分が決定 さ れ ま す。Tunnel モー ド では、ESP 暗号化 と 認証が元の IP パ ケ ッ ト 全体(IP ヘ ッ ダー と デー タ )に適用 さ れ る ため、本来の送信元ア ド レ ス と 宛先ア ド レ ス が隠 さ れ る こ と にな り ま す。 – [ESP Encryption]: ト ラ ン ス フ ォ ーム セ ッ ト のカ プセル化セ キ ュ リ テ ィ プ ロ ト コ ル(ESP) 暗号化アルゴ リ ズ ム。ESP では、デー タ プ ラ イ バシー サービ ス 、オプシ ョ ン のデー タ 認 証、お よ び リ プ レ イ 攻撃防止サービ ス が提供 さ れ ま す。ESP は、保護 さ れてい る デー タ を カ プセル化 し ます。 – [ESP Authentication]: ト ラ ン ス フ ォ ーム セ ッ ト の ESP 認証アル ゴ リ ズ ム。 • [IKEv2 IPsec Proposals] – [Encryption]:IKEv2 IPsec プ ロ ポーザルの カ プセル化セ キ ュ リ テ ィ プ ロ ト コ ル(ESP)暗 号化アルゴ リ ズ ム を示 し ま す。ESP では、デー タ プ ラ イ バシー サービ ス 、オプシ ョ ン の デー タ 認証、お よ び リ プ レ イ 攻撃防止サービ ス が提供 さ れ ま す。ESP は、保護 さ れてい る デー タ を カ プセル化 し ま す。 – [Integrity Hash]:ESP プ ロ ト コ ルのデー タ 整合性を保証す る ためのハ ッ シ ュ アル ゴ リ ズ ム を示 し ま す。パケ ッ ト が想定 し た発信元か ら 発信 さ れた こ と 、ま た搬送中に変更 さ れ てい る こ と を保証 し ま す。パケ ッ ト が想定 し た発信元か ら 発信 さ れた こ と 、ま た搬送中 に変更 さ れてい る こ と を保証 し ま す。AES-GCM/GMAC が暗号化アルゴ リ ズ ム と し て設 定 さ れてい る 場合は、ヌ ル整合性アルゴ リ ズ ム を選択す る 必要が あ り ま す。 ロー ド バラ ン シ ング ロー ド バラ ン シ ングについて リ モー ト ク ラ イ ア ン ト コ ン フ ィ ギ ュ レ ーシ ョ ン で、複数のASAを同 じ ネ ッ ト ワ ー ク に接続 し て リ モー ト セ ッ シ ョ ン を処理 し てい る 場合、こ れ ら のデバ イ ス でセ ッ シ ョ ン負荷を分担す る よ う に設定で き ま す。こ の機能は、ロ ー ド バ ラ ン シ ン グ と 呼ばれ ま す。ロ ー ド バ ラ ン シ ン グ では、最 も 負荷の低いデバ イ ス にセ ッ シ ョ ン ト ラ フ ィ ッ ク が送信 さ れ ま す。こ のため、すべてのデバ イ ス 間で負荷が分散 さ れ ま す。こ れに よ り 、シ ス テ ム リ ソ ー ス を効率的に利用で き 、パ フ ォ ーマ ン ス と 可用性が向上 し ま す。 仮想 ク ラ ス タ の作成 ロ ー ド バ ラ ン シ ン グ を実装す る には、同 じ プ ラ イ ベー ト LAN 間ネ ッ ト ワ ー ク 上の複数のデバ イ ス を、論理的に 仮想 ク ラ ス タ と し て グループ化 し ま す。 セ ッ シ ョ ン の負荷は、仮想 ク ラ ス タ 内のすべてのデバ イ ス に分散 さ れ ます。仮想 ク ラ ス タ 内の 1 つ のデバ イ ス であ る 仮想 ク ラ ス タ マ ス タ ーは、着信接続要求を バ ッ ク ア ッ プ デバ イ ス と 呼ばれ る 他 のデバ イ ス に転送 し ます。仮想 ク ラ ス タ マ ス タ ーは、ク ラ ス タ 内のすべてのデバ イ ス を モニ タ し 、 各デバ イ ス の負荷を追跡 し て、その負荷に基づいてセ ッ シ ョ ン の負荷を分散 し ます。仮想 ク ラ ス タ マ ス タ ーの役割は、1 つの物理デバ イ ス に結び付け ら れ る も のではな く 、デバ イ ス間でシ フ ト で き ます。た と えば、現在の仮想 ク ラ ス タ マ ス タ ーで障害が発生す る と 、ク ラ ス タ 内のバ ッ ク ア ッ プ デ バ イ ス の 1 つがその役割を引 き 継いで、す ぐ に新 し い仮想 ク ラ ス タ マ ス タ ーにな り ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-19 第2章 IKE と ロー ド バ ラ ン シ ン グ ロー ド バラ ン シ ング 仮想 ク ラ ス タ は、外部の ク ラ イ ア ン ト には 1 つの仮想 ク ラ ス タ IP ア ド レ ス と し て表示 さ れます。こ の IP ア ド レ スは、特定の物理デバ イ ス に結び付け ら れていません。現在の仮想 ク ラ ス タ マ ス ターに 属し てい る ため、仮想のア ド レ ス です。接続の確立を試みてい る VPN ク ラ イ ア ン ト は、最初に こ の仮 想 ク ラ ス タ IP ア ド レ スに接続し ます。仮想 ク ラ ス タ マ ス ターは、ク ラ ス タ内で使用で き る ホ ス ト の う ち、最 も 負荷の低いホ ス ト のパブ リ ッ ク IP ア ド レ ス を ク ラ イ ア ン ト に返し ます。2 回目の ト ラ ンザ ク シ ョ ンで、ク ラ イ ア ン ト は直接そのホ ス ト に接続し ます( こ の動作はユーザには透過的です)。仮想 ク ラ ス タ マ ス ターは、こ の よ う に し て リ ソース全体に均等かつ効率的に ト ラ フ ィ ッ ク を転送し ます。 ク ラ ス タ 内のマ シ ン で障害が発生す る と 、終了 さ れた セ ッ シ ョ ン はただちに仮想 ク ラ ス タ IP ア ド レ ス に再接続で き ま す。次に、仮想 ク ラ ス タ マ ス タ ーは、ク ラ ス タ 内の別の ア ク テ ィ ブ デバ イ ス に こ れ ら の接続を転送 し ま す。仮想 ク ラ ス タ マ ス タ ー自体に障害が発生 し た場合、ク ラ ス タ 内 のバ ッ ク ア ッ プ デバ イ ス が、ただちに新 し い仮想セ ッ シ ョ ン マ ス タ ーを自動的に引 き 継ぎ ま す。ク ラ ス タ 内の複数のデバ イ ス で障害が発生 し て も 、ク ラ ス タ 内のデバ イ ス が 1 つ稼働 し てい て使用可能で あ る 限 り 、ユーザは ク ラ ス タ に引 き 続 き 接続で き ま す。 ロ ー ド バ ラ ン シ ン グ ク ラ ス タ は、同 じ リ リ ー ス ま たは混在 リ リ ー ス の ASA で構成で き ま す。た だ し 、次の制約が あ り ま す。 • 同じ リ リ ースの ASA の両方で構成 さ れる ロー ド バ ラ ン シ ン グ ク ラ ス タ は、IPsec、AnyConnect、お よび ク ラ イ ア ン ト レ ス SSL VPN ク ラ イ ア ン ト と ク ラ イ ア ン ト レ ス セ ッ シ ョ ンの組み合わせに 対し て ロー ド バ ラ ン シ ン グ を実行で き ます。 • 混在 リ リ ー ス の ASA ま たは同 じ リ リ ー ス の ASA で構成 さ れ る ロ ー ド バ ラ ン シ ン グ ク ラ ス タ は、IPsec セ ッ シ ョ ン のみを サポー ト で き ま す。ただ し 、こ の よ う な コ ン フ ィ ギ ュ レ ーシ ョ ン で は、ASAは、それぞれの IPsec のキ ャ パシ テ ィ に完全に到達 し ない可能性があ り ます。「 ロ ー ド バ ラ ン シ ン グ と フ ェ ールオーバーの比較」( 21 ページ)は、こ の状況を示 し てい ま す。 Release 7.1(1) 以降、IPsec セ ッ シ ョ ン と SSL VPN セ ッ シ ョ ンは、ク ラ ス タ 内の各デバ イ ス が伝送す る 負荷を決定す る と き に均等にカ ウ ン ト ま たは重み付け し ま す。こ れは、ASA Release 7.0(x) ソ フ ト ウ ェ ア と VPN 3000 コ ン セ ン ト レー タ 用の ロ ー ド バ ラ ン シ ン グの計算か ら の逸脱を意味 し てい ます。つ ま り 、こ れ ら のプ ラ ッ ト フ ォ ーム では、いずれ も 一部のハー ド ウ ェ ア プ ラ ッ ト フ ォ ーム に おいて、IPsec セ ッ シ ョ ン の負荷 と は異な る SSL VPN セ ッ シ ョ ン の負荷を計算す る 重み付け アル ゴ リ ズ ム を使用 し てい ま す。 ク ラ ス タ の仮想マ ス タ ーは、ク ラ ス タ の メ ン バにセ ッ シ ョ ン要求を割 り 当て ま す。ASAは、すべ てのセ ッ シ ョ ン、SSL VPN ま たは IPsec を同等 と 見な し 、それ ら を同等に割 り 当て ま す。許可す る IPsec セ ッ シ ョ ン と SSL VPN セ ッ シ ョ ン の数は、コ ン フ ィ ギ ュ レ ーシ ョ ンお よ び ラ イ セ ン ス で許 可 さ れてい る 最大数 ま で設定で き ま す。 ロ ー ド バ ラ ン シ ン グ ク ラ ス タ で最大 10 の ノ ー ド はテ ス ト 済みです。こ れ よ り ク ラ ス タ が多 く て も 機能 し ま すが、その よ う な ト ポ ロ ジは正式にはサポー ト さ れてい ま せん。 地理的ロー ド バラ ン シ ング ロ ー ド バ ラ ン シ ン グ環境において DNS 解決が一定の間隔で変化す る 場合は、存続可能時間 (TTL)の値を ど の よ う に設定す る か を慎重に検討す る 必要があ り ま す。DNS ロ ー ド バ ラ ン ス 設定 が AnyConnect と の組み合わせで適切に機能す る には、マ ッ ピ ン グ を処理す る ASA の名前が、そ の ASA が選択 さ れた時点か ら ト ン ネルが完全に確立 さ れ る ま での間、同 じ で あ る 必要があ り ま す。所定の時間が経過 し て も ク レ デン シ ャ ルが入力 さ れない場合は、ル ッ ク ア ッ プが再び開始 し て別の IP ア ド レ ス が解決済みア ド レ ス と な る こ と があ り ます。DNS のマ ッ ピ ン グ先が別の ASA に変更 さ れた後で ク レデン シ ャ ルが入力 さ れた場合は、VPN ト ン ネルの確立に失敗 し ま す。 VPN の地理的 ロ ー ド バ ラ ン シ ン グ では、Cisco Global Site Selector(GSS)が使用 さ れ る こ と が あ り ま す。GSS では DNS が ロ ー ド バ ラ ン シ ン グ に使用 さ れ、DNS 解決の存続可能時間(TTL)のデ フ ォ ル ト 値は 20 秒 と な っ てい ま す。GSS での TTL の値を大 き く す る と 、接続失敗の確率を大幅 に引 き 下げ る こ と がで き ま す。値を大 き く す る と 、ユーザが ク レ デン シ ャ ル を入力 し て ト ン ネル を確立す る と き の認証 フ ェ ーズに十分な時間を取 る こ と がで き ま す。 ク レ デン シ ャ ル入力のための時間を増やすには、「起動時接続」をデ ィ セーブルにす る こ と も 検 討 し て く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-20 第2章 IKE と ロー ド バラ ン シ ング ロー ド バ ラ ン シ ング ロー ド バラ ン シ ング と フ ェ ールオーバーの比較 ロ ー ド バ ラ ン シ ン グ と フ ェ ールオーバーは ど ち ら も ハ イ アベ イ ラ ビ リ テ ィ 機能ですが、こ れ ら は機能 も 要件 も 異な り ま す。場合に よ っ ては、ロ ー ド バ ラ ン シ ン グ と フ ェ ールオーバーの両方を 使用で き ま す。次の項では、こ れ ら の機能の違いについて説明 し ま す。 ロー ド バ ラ ンシン グ と は、リ モー ト ア ク セ ス VPN ト ラ フ ィ ッ ク を、仮想 ク ラ ス タ内のデバ イ ス間で 均等に分配する メ カニズ ムの こ と です。こ の機能は、スループ ッ ト ま たはその他の要因を考慮し ない 単純な ト ラ フ ィ ッ ク の分散に基づいています。ロー ド バ ラ ン シン グ ク ラ ス タ は 2 つ以上のデバ イ ス で構成 さ れ、その う ちの 1 つが仮想マ ス ター と な り 、それ以外はバ ッ ク ア ッ プ と な り ます。こ れ ら の デバ イ スは、完全に同じ タ イ プであ る必要はな く 、同じ ソ フ ト ウ ェ ア バージ ョ ンやコ ン フ ィ ギ ュ レーシ ョ ン を使用する必要 も あ り ません。仮想 ク ラ ス タ内のすべてのア ク テ ィ ブなデバ イ スがセ ッ シ ョ ンの負荷を伝送し ます。ロー ド バ ラ ン シン グに よ り 、ト ラ フ ィ ッ ク は ク ラ ス タ内の最 も 負荷の少 ないデバ イ スに転送 さ れ、負荷はすべてのデバ イ ス間に分散 さ れます。こ れに よ り 、シ ス テム リ ソ ー スが効率的に使用 さ れ、パフ ォーマン ス が向上し、ハ イ アベイ ラ ビ リ テ ィ が実現 さ れます。 フ ェールオーバー コ ン フ ィ ギ ュ レーシ ョ ンでは、2 台の同一のASAを、専用のフ ェールオーバー リ ン ク と 、ス テー ト フル フ ェールオーバー リ ン ク (任意)で接続し ます。ア ク テ ィ ブ イ ン ターフ ェ イ スおよ び装置のヘルスがモニ タ さ れて、所定のフ ェールオーバー条件に一致し てい る かど う かが判断さ れま す。こ れ ら の条件に一致し た場合は、フ ェールオーバーが行われます。フ ェールオーバーは、VPN と フ ァ イ ア ウ ォールの両方のコ ン フ ィ ギ ュ レーシ ョ ン をサポー ト し ます。 ASAは、ア ク テ ィ ブ/ア ク テ ィ ブ フ ェ ールオーバー と ア ク テ ィ ブ/ ス タ ン バ イ フ ェ ールオーバー の 2 つの フ ェ ールオーバーを サポー ト し ま す。VPN 接続は、ア ク テ ィ ブ/ ス タ ン バ イ の単一ルー テ ッ ド モー ド でのみ実行 さ れ ま す。Active/Active フ ェ ールーバーにはマルチ コ ン テ キ ス ト モー ド が必要で あ る ため、VPN 接続を サポー ト し ま せん。 ア ク テ ィ ブ/ア ク テ ィ ブ フ ェ ールオーバーでは、両方の装置がネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を渡す こ と がで き ま す。こ れは、同 じ 結果にな る 可能性が あ り ま すが、真の ロ ー ド バ ラ ン シ ン グ ではあ り ま せん。フ ェ ールオーバーが行われ る と 、残 り の ア ク テ ィ ブ装置が、設定 さ れたパ ラ メ ー タ に 基づいて結合 さ れた ト ラ フ ィ ッ ク の通過を引 き 継ぎ ま す。し たが っ て、ア ク テ ィ ブ/ア ク テ ィ ブ フ ェ ールオーバーを構成す る 場合は、両方の装置の合計 ト ラ フ ィ ッ ク が各装置の容量以内にな る よ う にす る 必要が あ り ま す。 ア ク テ ィ ブ/ ス タ ン バ イ フ ェ ールオーバーでは、1 つの装置だけが ト ラ フ ィ ッ ク を通過 さ せ る こ と がで き 、も う 1 つの装置は ス タ ン バ イ 状態で待機 し て、ト ラ フ ィ ッ ク を通過 さ せ ま せん。ア ク テ ィ ブ/ ス タ ン バ イ フ ェ ールオーバーでは、2 番目の ASA を使用 し て、障害の発生 し た装置の機 能を引 き 継ぎ ま す。ア ク テ ィ ブ装置が故障す る と 、ス タ ン バ イ 状態に変わ り 、そ し て ス タ ン バ イ 装置が ア ク テ ィ ブ状態に変わ り ま す。ア ク テ ィ ブにな る 装置が、障害の発生 し た装置の IP ア ド レ ス ( ま たは、ト ラ ン ス ペア レ ン ト フ ァ イ ア ウ ォ ールの場合は管理 IP ア ド レ ス )お よ び MAC ア ド レ ス を引 き 継いで、ト ラ フ ィ ッ ク の転送を開始 し ま す。現在 ス タ ン バ イ にな っ てい る 装置が、ア ク テ ィ ブ装置の ス タ ン バ イ の IP ア ド レ ス を引 き 継ぎ ま す。ア ク テ ィ ブ装置で障害が発生す る と 、 ス タ ン バ イ 装置は、ク ラ イ ア ン ト VPN ト ン ネル を中断す る こ と な く 引 き 継ぎ ま す。 ロー ド バラ ン シ ングのラ イ セ ン ス VPN ロー ド バ ラ ンシン グ を使用する には、Security Plus ラ イ セン ス を備えた ASA モデル 5512-X、ま た は ASA モデル 5515-X 以降が必要です。ま た、VPN ロー ド バ ラ ンシン グには、ア ク テ ィ ブな 3DES/AES ラ イ セン ス も必要です。セキ ュ リ テ ィ アプ ラ イ アン スは、ロー ド バ ラ ンシン グ を イ ネーブルにする前 に、こ の暗号ラ イ セン スが存在する かど う かをチェ ッ ク し ます。ア ク テ ィ ブな 3DES ま たは AES の ラ イ セン スが検出さ れない場合、セキ ュ リ テ ィ アプ ラ イ アン スはロー ド バ ラ ンシン グ を イ ネーブルに せず、ラ イ セン スで こ の使用方法が許可さ れていない場合には、ロー ド バ ラ ンシン グ シ ス テムに よ る 3DES の内部コ ン フ ィ ギ ュ レーシ ョ ン も抑止し ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-21 第2章 IKE と ロー ド バ ラ ン シ ン グ ロー ド バラ ン シ ング ロー ド バラ ン シ ングの前提条件 • ロ ー ド バ ラ ン シ ン グ を設定す る 前に、ま ず ASA でパブ リ ッ ク イ ン タ ー フ ェ イ ス と プ ラ イ ベー ト イ ン タ ー フ ェ イ ス を設定す る 必要が あ り ま す。こ れ を行 う には、[Configuration] > [Device Setup] > [Interfaces] を選択 し ま す。 • 仮想 ク ラ ス タ IP ア ド レ ス が参照す る イ ン タ ー フ ェ イ ス を事前に設定す る 必要が あ り ま す。 • ク ラ ス タ に参加す る すべてのデバ イ ス は、同 じ ク ラ ス タ 固有の値(IP ア ド レ ス 、暗号化設定、 暗号キー、お よ びポー ト )を共有す る 必要が あ り ま す。ク ラ ス タ 内の ロ ー ド バ ラ ン シ ン グ デ バ イ ス のすべての外部お よ び内部ネ ッ ト ワ ー ク イ ン タ ー フ ェ イ ス は、同 じ IP ネ ッ ト ワ ー ク 上に存在す る 必要が あ り ま す。 ロー ド バラ ン シ ングに関するガ イ ド ラ イ ン 適格な ク ラ イ ア ン ト ロ ー ド バ ラ ン シ ン グは、次の ク ラ イ ア ン ト で開始 さ れ る リ モー ト セ ッ シ ョ ン でのみ有効です。 • Cisco AnyConnect Secure Mobility Client(Release 3.0 以降) • Cisco ASA 5505 セ キ ュ リ テ ィ ア プ ラ イ ア ン ス (Easy VPN ク ラ イ ア ン ト と し て動作す る 場合) • IKE リ ダ イ レ ク ト を サポー ト す る IOS EZVPN ク ラ イ ア ン ト デバ イ ス (IOS 831/871) • ク ラ イ ア ン ト レ ス SSL VPN( ク ラ イ ア ン ト ではない) ロー ド バ ラ ン シ ン グは、IPsec ク ラ イ ア ン ト セ ッ シ ョ ン と SSL VPN ク ラ イ ア ン ト および ク ラ イ ア ン ト レ ス セ ッ シ ョ ンで機能し ます。LAN-to-LAN を含む他のすべての VPN 接続タ イ プ(L2TP、PPTP、 L2TP/IPsec)は、ロー ド バ ラ ン シ ン グが イ ネーブルにな っ てい るASAに接続で き ますが、こ れ ら の接 続タ イ プは ロー ド バ ラ ン シ ン グには参加で き ません。 証明書の確認 AnyConnect で ロ ー ド バ ラ ン シ ン グ の証明書確認を実行 し 、IP ア ド レ ス に よ っ て接続が リ ダ イ レ ク ト さ れてい る 場合、ク ラ イ ア ン ト に よ り 、こ の IP ア ド レ ス を通 し て その名前チ ェ ッ ク がすべて 実行 さ れ ま す。リ ダ イ レ ク ト IP ア ド レ ス が証明書の一般名、つ ま り subject alt name に一覧表示 さ れてい る こ と を確認す る 必要が あ り ま す。IP ア ド レ ス が こ れ ら の フ ィ ール ド に存在 し ない場合、 証明書は非信頼 と 見な さ れ ま す。 RFC 2818 で定義 さ れた ガ イ ド ラ イ ン に従っ て、subject alt name が証明書に組み込 ま れてい る 場 合、名前チ ェ ッ ク にのみ subject alt name を使用 し 、一般名は無視 し ま す。証明書を提示 し てい る サーバの IP ア ド レ ス が証明書の subject alt name で定義 さ れてい る こ と を確認 し ま す。 ス タ ン ド ア ロ ン ASA の場合、IP ア ド レ ス はその ASA の IP です。ク ラ ス タ リ ン グ環境では、証明 書の設定に よ り 異な り ま す。ク ラ ス タ で使用 さ れてい る 証明書が 1 つの場合、それが ク ラ ス タ の IP にな り 、証明書には Subject Alternative Name 拡張子が あ り 、それぞれ ASA の IP と FQDN を 持っ てい ま す。ク ラ ス タ で使用 さ れてい る 証明書が複数の場合、それが再度 ASA の IP ア ド レ ス にな る はずです。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-22 第2章 IKE と ロー ド バラ ン シ ング ロー ド バ ラ ン シ ング High Availability and Scalability Wizard を使用し た VPN ロー ド バラ ンシング の設定 リ モー ト ク ラ イ ア ン ト コ ン フ ィ ギ ュ レーシ ョ ン で、複数のASAを同 じ ネ ッ ト ワ ー ク に接続 し て リ モー ト セ ッ シ ョ ン を処理 し てい る 場合、こ れ ら のデバ イ ス でセ ッ シ ョ ン負荷を分担す る よ う に設 定で き ます。こ の機能は ロ ー ド バ ラ ン シ ン グ と 呼ばれ、最 も 負荷の低いデバ イ ス にセ ッ シ ョ ン ト ラ フ ィ ッ ク が送信 さ れ ます。こ のため、すべてのデバ イ ス間で負荷が分散 さ れ ます。ロ ー ド バ ラ ン シ ン グに よ り 、シ ス テ ム リ ソ ース が効率的に使用 さ れ、パフ ォ ーマ ン ス と シ ス テ ム アベ イ ラ ビ リ テ ィ が向上 し ます。 [VPN Cluster Load Balancing Configuration] 画面を使用 し て、デバ イ ス が ロ ー ド バ ラ ン シ ン グ ク ラ ス タ に参加す る のに必要なパ ラ メ ー タ を設定 し ま す。 ロ ー ド バ ラ ン シ ン グ を イ ネーブルにす る には、次の手順を実行 し ま す。 • 共通仮想 ク ラ ス タ IP ア ド レ ス 、UDP ポー ト (必要に応 じ て)、お よ び ク ラ ス タ の IPsec 共有秘 密情報を確立す る こ と に よ り ロ ー ド バ ラ ン シ ン グ ク ラ ス タ を設定す る 。こ れ ら の値は、ク ラ ス タ 内の各デバ イ ス で同一です。 • デバ イ ス で ロ ー ド バ ラ ン シ ン グ を イ ネーブルに し 、デバ イ ス 固有のプ ロ パテ ィ を定義す る こ と に よ り 、参加デバ イ ス を設定す る 。こ れ ら の値はデバ イ ス に よ っ て異な り ま す。 前提条件 暗号化を使用す る 場合は、イ ン タ ー フ ェ イ ス 内に ロ ー ド バ ラ ン シ ン グ を設定す る 必要が あ り ま す。その イ ン タ ー フ ェ イ ス が ロ ー ド バ ラ ン シ ン グ内部 イ ン タ ー フ ェ イ ス で イ ネーブルにな っ て いない場合、ク ラ ス タ の暗号化を設定 し よ う と す る と エ ラ ー メ ッ セージが表示 さ れ ま す。 ステ ッ プ 1 [Wizards] > [High Availability and Scalability] を選択 し ま す。 ステ ッ プ 2 [Configuration Type] 画面で、[Configure VPN Cluster Load Balancing] を ク リ ッ ク し て か ら 、[Next] を ク リ ッ ク し ま す。 ステ ッ プ 3 仮想 ク ラ ス タ 全体を表す 1 つの IP ア ド レ ス を選択 し ま す。仮想 ク ラ ス タ 内のすべての ASA が共 有す る パブ リ ッ ク サブネ ッ ト の ア ド レ ス 範囲内で、IP ア ド レ ス を指定 し ま す。 ステ ッ プ 4 こ のデバ イ ス が参加す る 仮想 ク ラ ス タ の UDP ポー ト を指定 し ま す。デ フ ォ ル ト 値は 9023 です。 別の ア プ リ ケーシ ョ ン で こ のポー ト が使用 さ れてい る 場合は、ロ ー ド バ ラ ン シ ン グ に使用す る UDP の宛先ポー ト 番号を入力 し ま す。 ステ ッ プ 5 IPsec 暗号化を イ ネーブルに し て、デバ イ ス間で通信 さ れ るすべての ロ ー ド バ ラ ン シ ン グ情報が暗 号化 さ れ る よ う にする には、[Enable IPsec Encryption] チ ェ ッ ク ボ ッ ク ス をオンに し ます。共有秘密を 指定 し 、確認す る必要があ り ます。仮想 ク ラ ス タ 内の ASA は、IPsec を使用する LAN-to-LAN ト ン ネ ルを介 し て通信 し ます。IPsec 暗号化をデ ィ セーブルにする には、[Enable IPsec Encryption] チ ェ ッ ク ボ ッ ク ス をオ フに し ます。 ステ ッ プ 6 IPsec 暗号化 を イ ネーブルにす る と き に、IPsec ピ ア間の共有秘密を指定 し ま す。入力 し た値は、連 続す る ア ス タ リ ス ク 文字 と し て表示 さ れ ま す。 ステ ッ プ 7 ク ラ ス タ 内の こ のデバ イ ス に割 り 当て る プ ラ イ オ リ テ ィ を指定 し ま す。値の範囲は 1 ~ 10 です。 プ ラ イ オ リ テ ィ は、起動時 ま たは既存のマ ス タ ーで障害が発生 し た と き に、こ のデバ イ ス が仮想 ク ラ ス タ マ ス タ ーにな る 可能性を表 し ま す。プ ラ イ オ リ テ ィ を高 く 設定す る と (た と えば 10)、 こ のデバ イ ス が仮想 ク ラ ス タ マ ス タ ーにな る 可能性が高 く な り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-23 第2章 IKE と ロー ド バ ラ ン シ ン グ ロー ド バラ ン シ ング 注 仮想 ク ラ ス タ 内のデバ イ ス を異な る タ イ ミ ン グで起動 し た場合、最初に起動 し たデバ イ ス が、仮想 ク ラ ス タ マ ス タ ーの役割を果たす と 想定 さ れ ます。ど の仮想 ク ラ ス タ に も マ ス タ ーが必要であ る ため、起動 し た と き に仮想 ク ラ ス タ 内の各デバ イ ス はチ ェ ッ ク を行い、 ク ラ ス タ に仮想マ ス タ ーがあ る こ と を確認 し ます。仮想マ ス タ ーがない場合、そのデバ イ ス がマ ス タ ーの役割を果た し ます。後で起動 し 、ク ラ ス タ に追加 さ れたデバ イ ス は、セ カ ン ダ リ デバ イ ス にな り ます。仮想 ク ラ ス タ 内のすべてのデバ イ ス が同時に起動 さ れた と き は、最高の優先順位が設定 さ れたデバ イ ス が仮想 ク ラ ス タ マ ス タ ーにな り ます。仮想 ク ラ ス タ 内の複数のデバ イ ス が同時に起動 さ れ、いずれ も 最高の優先順位が設定 さ れてい る 場 合、最 も 低い IP ア ド レ ス を持つデバ イ ス が仮想 ク ラ ス タ マ ス タ ーにな り ます。 ステ ッ プ 8 こ のデバ イ ス のパブ リ ッ ク イ ン タ ー フ ェ イ ス の名前 ま たは IP ア ド レ ス を指定 し ま す。 ステ ッ プ 9 こ のデバ イ ス のプ ラ イ ベー ト イ ン タ ー フ ェ イ ス の名前 ま たは IP ア ド レ ス を指定 し ま す。 ス テ ッ プ 10 VPN ク ラ イ ア ン ト 接続を ク ラ ス タ デバ イ ス に リ ダ イ レ ク ト す る と き 、外部 IP ア ド レ ス の代わ り に ク ラ ス タ デバ イ ス の ホ ス ト 名 と ド メ イ ン名を使用 し て、VPN ク ラ ス タ マ ス タ ーに よ っ て完全 修飾 ド メ イ ン名が送信 さ れ る よ う にす る には、[Send FQDN to client instead of an IP address when redirecting] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 ス テ ッ プ 11 [Next] を ク リ ッ ク し ま す。[Summary] 画面で コ ン フ ィ ギ ュ レ ーシ ョ ン を確認 し ま す。 ス テ ッ プ 12 [Finish] を ク リ ッ ク し ま す。 VPN ク ラ ス タ ロ ー ド バ ラ ン シ ン グ の設定が ASA に送信 さ れ ま す。 VPN ロー ド バラ ン シ ングの設定(ウ ィ ザー ド を使用 し ない場合) [Load Balancing]ペ イ ン([Configuration] > [Remote Access VPN] > [Load Balancing])では、ASA の ロ ー ド バ ラ ン シ ン グ を イ ネーブルにす る こ と がで き ま す。ロ ー ド バ ラ ン シ ン グ を イ ネーブルに す る には、次の手順を実行 し ま す。 • 共通仮想 ク ラ ス タ IP ア ド レ ス 、UDP ポー ト (必要に応 じ て)、お よ び ク ラ ス タ の IPsec 共有秘 密情報を確立す る こ と に よ り ロ ー ド バ ラ ン シ ン グ ク ラ ス タ を設定す る 。こ れ ら の値は、ク ラ ス タ 内のすべてのデバ イ ス で同一です。 • デバ イ ス で ロ ー ド バ ラ ン シ ン グ を イ ネーブルに し 、デバ イ ス 固有のプ ロ パテ ィ を定義す る こ と に よ り 、参加デバ イ ス を設定す る 。こ れ ら の値はデバ イ ス に よ っ て異な り ま す。 は じ める前に • IPv6 ア ド レ ス を使用 し た ク ラ イ ア ン ト が ASA の公開 さ れてい る IPv4 ア ド レ ス に正常に接 続す る には、IPv6 か ら IPv4 へネ ッ ト ワ ー ク ア ド レ ス 変換が可能なデバ イ ス がネ ッ ト ワ ー ク に存在す る 必要が あ り ま す。 • 暗号化を使用する場合は、イ ン タ ーフ ェ イ ス内に ロ ー ド バ ラ ン シ ン グ を設定する必要があ り ま す。その イ ン タ ーフ ェ イ ス が ロ ー ド バ ラ ン シ ン グ内部 イ ン タ ーフ ェ イ ス で イ ネーブルにな っ て いない場合、ク ラ ス タ の暗号化を設定 し よ う と する と エ ラ ー メ ッ セージが表示 さ れます。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Load Balancing] の順に選択 し ま す。 ステ ッ プ 2 [Participate in Load Balancing] を オ ン に し て、こ の ASA が ロ ー ド バ ラ ン シ ン グ ク ラ ス タ に参加 し てい る こ と を指定 し ま す。 ロ ー ド バ ラ ン シ ン グ に参加す る すべての ASA に対 し て こ の方法で ロ ー ド バ ラ ン シ ン グ を イ ネーブルにす る 必要が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-24 第2章 IKE と ロー ド バラ ン シ ング ロー ド バ ラ ン シ ング ステ ッ プ 3 [VPN Cluster Configuration] エ リ ア で、次の フ ィ ール ド を設定 し ま す。こ れ ら の値は、仮想 ク ラ ス タ 全体で同 じ で あ る 必要が あ り ま す。すべての ク ラ ス タ に同一の ク ラ ス タ 設定を行 う 必要が あ り ま す。 • [Cluster IPv4 Address]:IPv4 仮想 ク ラ ス タ 全体を表す単一の IPv4 ア ド レ ス を指定 し ま す。仮 想 ク ラ ス タ 内のすべてのASAが共有す る パブ リ ッ ク サブネ ッ ト の ア ド レ ス 範囲内で、IP ア ド レ ス を選択 し ま す。 – [UDP Port]: こ のデバ イ ス が参加す る 仮想 ク ラ ス タ の UDP ポー ト を指定 し ま す。デ フ ォ ル ト 値は 9023 です。別のア プ リ ケーシ ョ ン で こ のポー ト が使用 さ れてい る 場合は、ロ ー ド バ ラ ン シ ン グ に使用す る UDP の宛先ポー ト 番号を入力 し ま す。 • 注 ステ ッ プ 4 [Cluster IPv6 Address]:IPv6 仮想 ク ラ ス タ 全体を表す単一の IPv6 ア ド レ ス を指定 し ま す。仮 想 ク ラ ス タ 内のすべてのASAが共有す る パブ リ ッ ク サブネ ッ ト の ア ド レ ス 範囲内で、IP ア ド レ ス を選択 し ま す。IPv6 ア ド レ ス を使用 し た ク ラ イ ア ン ト は、ASA ク ラ ス タ の公開 さ れて い る IPv6 ア ド レ ス 経由 ま たは GSS サーバ経由で AnyConnect 接続を行 う こ と がで き ま す。 同様に、IPv6 ア ド レ ス を使用 し た ク ラ イ ア ン ト は、ASA ク ラ ス タ の公開 さ れてい る IPv4 ア ド レ ス 経由 ま たは GSS サーバ経由で AnyConnect VPN 接続を行 う こ と がで き ま す。ど ち ら の タ イ プの接続 も ASA ク ラ ス タ 内で ロ ー ド バ ラ ン シ ン グ で き ま す。 少な く と も 1 台の DNS サーバに DNS サーバ グループが設定 さ れてお り 、ASA イ ン タ ー フ ェ イ ス の 1 つで DNS ル ッ ク ア ッ プが イ ネーブルに さ れてい る 場合、[Cluster IPv4 Address] お よ び [Cluster IPv6 Address] フ ィ ール ド では、仮想 ク ラ ス タ の完全修飾 ド メ イ ン名 も 指定 で き ます。 • [Enable IPSec Encryption]:IPSec 暗号化を イ ネーブル ま たはデ ィ セーブルに し ます。こ のボ ッ ク ス を オ ン に し て、共有秘密情報を指定 し て確認 し ます。仮想 ク ラ ス タ 内の ASA は、IPsec を使用 す る LAN-to-LAN ト ン ネルを介 し て通信 し ます。デバ イ ス間で通信 さ れ る すべての ロ ー ド バ ラ ン シ ン グ情報が暗号化 さ れ る よ う にす る には、こ のチ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 • [IPSec Shared Secret]:IPSec 暗号化が イ ネーブルにな っ てい る と き に、IPSec ピ ア間の共有秘 密情報を指定 し ま す。ボ ッ ク ス に入力す る 値は、連続す る ア ス タ リ ス ク 文字 と し て表示 さ れ ま す。 • [Verify Secret]:共有秘密情報を再入力 し ま す。[IPSec Shared Secret] ボ ッ ク ス に入力 さ れた共 有秘密情報の値を確認 し ま す。 特定の ASA の [VPN Server Configuration] エ リ ア の フ ィ ール ド を設定 し ま す。 • [Public Interface]: こ のデバ イ ス のパブ リ ッ ク イ ン タ ー フ ェ イ ス の名前 ま たは IP ア ド レ ス を 指定 し ま す。 • [Private Interface]: こ のデバ イ ス のプ ラ イ ベー ト イ ン タ ー フ ェ イ ス の名前 ま たは IP ア ド レ ス を指定 し ま す。 • [Priority]: ク ラ ス タ 内で こ のデバ イ ス に割 り 当て る プ ラ イ オ リ テ ィ を指定 し ま す。値の範囲 は 1 ~ 10 です。プ ラ イ オ リ テ ィ は、起動時 ま たは既存のマ ス タ ーで障害が発生 し た と き に、 こ のデバ イ ス が仮想 ク ラ ス タ マ ス タ ーにな る 可能性を表 し ま す。優先順位を高 く 設定すれ ば(10 な ど )、こ のデバ イ ス が仮想 ク ラ ス タ マ ス タ ーにな る 可能性が高 く な り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-25 第2章 IKE と ロー ド バ ラ ン シ ン グ ロー ド バラ ン シ ング 注 仮想 ク ラ ス タ 内のデバ イ ス を 異な る タ イ ミ ン グ で起動 し た場合、最初に起動 し たデバ イ ス が、仮想 ク ラ ス タ マ ス タ ーの役割 を 果たす と 想定 さ れ ま す。仮想 ク ラ ス タ にはマ ス タ ーが必要で あ る た め、起動 し た と き に仮想 ク ラ ス タ 内の各デバ イ ス はチ ェ ッ ク を 行 い、ク ラ ス タ に仮想マ ス タ ーが あ る こ と を 確認 し ま す。仮想マ ス タ ーが な い場合、そのデ バ イ ス がマ ス タ ーの役割 を 果た し ま す。後で起動 し 、ク ラ ス タ に追加 さ れたデバ イ ス は、 バ ッ ク ア ッ プ デバ イ ス に な り ま す。仮想 ク ラ ス タ 内のすべて のデバ イ ス が同時に起動 さ れた と き は、最高の優先順位が設定 さ れたデバ イ ス が仮想 ク ラ ス タ マ ス タ ーに な り ま す。仮想 ク ラ ス タ 内の複数のデバ イ ス が同時に起動 さ れ、いずれ も 最高の優先順位が 設定 さ れて い る 場合、最 も 低い IP ア ド レ ス を 持つデバ イ ス が仮想 ク ラ ス タ マ ス タ ーに な り ま す。 • [NAT Assigned IPv4 Address]: こ のデバ イ ス の IP ア ド レ ス を NAT に よ っ て変換 し た結果の IP ア ド レ ス を指定 し ま す。NAT を使用 し ない場合( ま たはデバ イ ス が NAT を使用す る フ ァ イ ア ウ ォ ールの背後にはない場合)は、こ の フ ィ ール ド を空白の ま ま に し て く だ さ い。 • [NAT Assigned IPv6 Address]: こ のデバ イ ス の IP ア ド レ ス を NAT に よ っ て変換 し た結果の IP ア ド レ ス を指定 し ま す。NAT を使用 し ない場合( ま たはデバ イ ス が NAT を使用す る フ ァ イ ア ウ ォ ールの背後にはない場合)は、こ の フ ィ ール ド を空白の ま ま に し て く だ さ い。 • [Send FQDN to client]: こ のチ ェ ッ ク ボ ッ ク ス を オ ン にす る と 、VPN ク ラ ス タ マ ス タ ーが VPN ク ラ イ ア ン ト 接続 を ク ラ ス タ デバ イ ス に リ ダ イ レ ク ト す る と き に、外部 IP ア ド レ ス の代わ り に ク ラ ス タ デバ イ ス の ホ ス ト 名 と ド メ イ ン 名 を 使用 し て完全修飾 ド メ イ ン 名が 送信 さ れ る よ う に な り ま す。 デ フ ォ ル ト で、ASA は ロ ー ド バ ラ ン シ ン グ リ ダ イ レ ク シ ョ ン の IP ア ド レ ス だ け を ク ラ イ ア ン ト に送信 し ま す。DNS 名に基づ く 証明書が使用 さ れて い る 場合、その証明書はバ ッ ク ア ッ プ デバ イ ス に リ ダ イ レ ク ト さ れた と き に無効に な り ま す。 VPN ク ラ ス タ マ ス タ ー と し て、ASAは、VPN ク ラ イ ア ン ト 接続を別の ク ラ ス タ デバ イ ス に リ ダ イ レ ク ト す る 場合に、DNS 逆ル ッ ク ア ッ プ を使用 し て、その ク ラ ス タ デバ イ ス ( ク ラ ス タ 内の別のASA)の外部 IP ア ド レ ス ではな く 完全修飾 ド メ イ ン名(FQDN)を送信で き ま す。 ク ラ ス タ 内の ロ ー ド バ ラ ン シ ン グ デバ イ ス のすべての外部お よ び内部ネ ッ ト ワ ー ク イ ン タ ー フ ェ イ ス は、同 じ IP ネ ッ ト ワ ー ク 上に存在す る 必要が あ り ま す。 注 IPv6 を使用 し 、FQDNS を ク ラ イ ア ン ト に送信す る と き に、こ れ ら の名前は DNS を通 じ て ASA で解決で き る 必要が あ り ま す。 詳細については、「FQDN を使用 し た ク ラ イ ア ン ト レ ス SSL VPN ロ ー ド バ ラ ン シ ン グ の有効 化」を参照 し て く だ さ い。 FQDN を使用 し た ク ラ イ ア ン ト レ ス SSL VPN ロー ド バラ ン シ ングの有効化 ステ ッ プ 1 [Send FQDN to client instead of an IP address when redirecting] チ ェ ッ ク ボ ッ ク ス を オ ン に し て、 ロ ー ド バ ラ ン シ ン グ での FQDN の使用を イ ネーブルに し ま す。 ステ ッ プ 2 使用す る ASAの外部 イ ン タ ー フ ェ イ ス のエ ン ト リ が ま だ存在 し ない場合は、各 イ ン タ ー フ ェ イ ス のエ ン ト リ を DNS サーバに追加 し ま す。ASAの各外部 IP ア ド レ ス には、ル ッ ク ア ッ プ用に関 連付け ら れてい る DNS エ ン ト リ が含 ま れてい る 必要が あ り ま す。こ れ ら の DNS エ ン ト リ に対 し ては、逆ル ッ ク ア ッ プ も イ ネーブルにす る 必要が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-26 第2章 IKE と ロー ド バラ ン シ ング ロー ド バ ラ ン シ ング ステ ッ プ 3 [Configuration] > [Device Management] > [DNS] > [DNS Client] ダ イ ア ロ グ ボ ッ ク ス で、DNS サー バへのルー ト を持つ イ ン タ ー フ ェ イ ス の ASA での DNS ル ッ ク ア ッ プ を イ ネーブルに し ま す。 ステ ッ プ 4 ASAで DNS サーバの IP ア ド レ ス を定義 し ま す。こ れには、こ のダ イ ア ロ グ ボ ッ ク ス の [Add] を ク リ ッ ク し ま す。[Add DNS Server Group] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。追加す る DNS サーバ の IPv4 ま たは IPv6 ア ド レ ス を入力 し ま す。た と えば、192.168.1.1 ま たは 2001:DB8:2000::1 です。 ステ ッ プ 5 [OK] お よ び [Apply] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-27 第2章 ロー ド バラ ン シ ング Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 2-28 IKE と ロー ド バ ラ ン シ ン グ CH A P T E R 3 一般的な VPN 設定 • シ ス テ ム オプ シ ョ ン(3-1 ページ) • 最大 VPN セ ッ シ ョ ン数の設定(3-3 ページ) • DTLS 設定(3-3 ページ) • DNS サーバ グループの設定(3-4 ページ) • 暗号化 コ ア のプールの設定(3-4 ページ) • SSL VPN 接続用の ク ラ イ ア ン ト ア ド レ ス 指定(3-5 ページ) • グループ ポ リ シー(3-6 ページ) • 接続プ ロ フ ァ イ ル(3-41 ページ) • 接続プ ロ フ ァ イ ル、ク ラ イ ア ン ト レ ス SSL VPN(3-56 ページ) • IKEv1 接続プ ロ フ ァ イ ル(3-60 ページ) • IKEv2 接続プ ロ フ ァ イ ル(3-73 ページ) • IPsec ま たは SSL VPN 接続プ ロ フ ァ イ ルへの証明書のマ ッ ピ ン グ(3-75 ページ) • Site-to-Site 接続プ ロ フ ァ イ ル(3-78 ページ) • AnyConnect VPN ク ラ イ ア ン ト イ メ ージ(3-85 ページ) • AnyConnect VPN ク ラ イ ア ン ト 接続の設定(3-86 ページ) • AnyConnect ホ ス ト ス キ ャ ン(3-92 ページ) • AnyConnect セ キ ュ ア モ ビ リ テ ィ ソ リ ュ ーシ ョ ン(3-96 ページ) • AnyConnect の カ ス タ マ イ ズ と ロ ーカ リ ゼーシ ョ ン(3-98 ページ) • AnyConnect 3.1 の AnyConnect Essentials(3-101 ページ) • IPsec VPN ク ラ イ ア ン ト ソ フ ト ウ ェ ア(3-101 ページ) • Zone Labs Integrity Server(3-102 ページ) • ISE ポ リ シーの適用(3-103 ページ) システム オプシ ョ ン [Configuration] > [Remote Access VPN] > [Network (Client) Access] > Advanced > [IPSec] > [System Options] ペ イ ン( ま たは [Configuration] > [Site-to-Site VPN] > [Advanced] > [System Options] を使 用 し て到達)を使用すれば、ASA 上の IPsec セ ッ シ ョ ン と VPN セ ッ シ ョ ン に固有の機能を設定で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-1 第3章 一般的な VPN 設定 シ ス テム オプ シ ョ ン • [Limit maximum number of active IPsec VPN sessions]:ア ク テ ィ ブ な IPsec VPN セ ッ シ ョ ン の最大数の制限 を イ ネーブル ま たはデ ィ セーブルに し ま す。範囲は、ハー ド ウ ェ ア プ ラ ッ ト フ ォ ー ム と ソ フ ト ウ ェ ア ラ イ セ ン ス に よ っ て異な り ま す。 – [Maximum IPsec Sessions]:ア ク テ ィ ブな IPsec VPN セ ッ シ ョ ン の最大許可数を指定 し ま す。こ の フ ィ ール ド は、上記のチ ェ ッ ク ボ ッ ク ス を オ ン に し て、ア ク テ ィ ブな IPsec VPN セ ッ シ ョ ン の最大数を制限 し た場合にだけ ア ク テ ィ ブにな り ま す。 • [L2TP Tunnel Keep-alive Timeout]:キープ ア ラ イ ブ メ ッ セージの頻度を秒単位で指定 し ま す。 範囲は 10 ~ 300 秒です。デ フ ォ ル ト は 60 秒です。こ れは、Network(Client)Access 専用の高度 な シ ス テ ム オプ シ ョ ン です。 • VPN ト ン ネルの確立時に、既存の フ ロ ーを再分類 し ま す。 • [Preserve stateful VPN flows when the tunnel drops]:ネ ッ ト ワ ー ク 拡張モー ド (NEM)での IPsec ト ン ネル フ ロ ーの保持を イ ネーブル ま たはデ ィ セーブルに し ま す。永続的な IPsec ト ン ネル フ ロ ー機能を イ ネーブルにす る と 、[Timeout] ダ イ ア ロ グ ボ ッ ク ス で ト ン ネルが再作成 さ れ る 限 り 、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス が ス テー ト 情報に ア ク セ ス で き る ため、デー タ は正常 に フ ロ ーを続行 し ま す。こ のオプシ ョ ン は、デ フ ォ ル ト で無効です。 注 • ト ン ネル TCP フ ロ ーは ド ロ ッ プ さ れないため、ク リ ーン ア ッ プは TCP タ イ ム ア ウ ト に依存 し ま す。ただ し 、特定の ト ン ネル フ ロ ーの タ イ ム ア ウ ト がデ ィ セーブルにな っ て る 場合、手動 ま たは他の方法( ピ ア か ら の TCP RST な ど )に よ っ て ク リ ア さ れ る ま で、その フ ロ ーはシ ス テ ム内で保持 さ れ ま す。 [IPsec Security Association Lifetime]:セ キ ュ リ テ ィ ア ソ シエーシ ョ ン(SA)の期間を設定 し ま す。こ のパ ラ メ ー タ に よ り 、IPsec SA キーの ラ イ フ タ イ ム の測定単位を指定 し ま す。ラ イ フ タ イ ム は、IPsec SA が期限切れにな る ま での存続期間を示 し 、新 し い キー と 再ネ ゴ シ エー ト す る 必要が あ り ま す。 – [Time]:時(hh)、分(mm)、お よ び秒(ss)単位で SA の ラ イ フ タ イ ム を指定 し ま す。 – [Traffic Volume]:キ ロ バ イ ト 単位の ト ラ フ ィ ッ ク で SA ラ イ フ タ イ ム を定義し ます。IPsec SA が期限切れにな る ま でのペイ ロー ド データ のキ ロ バ イ ト 数を入力し ます。ま たは [unlimited] をオンに し ます。最小値は 100 KB、デフ ォル ト 値は 10000 KB、最大値は 2147483647 KB です。 • [Enable PMTU (Path Maximum Transmission Unit) Aging]:管理者が PMTU のエージ ン グ を イ ネーブルにす る こ と がで き ま す。 – [Interval to Reset PMTU of an SA (Security Association)]:PMTU 値が元の値に リ セ ッ ト さ れ る 秒数を入力 し ま す。 • [Enable inbound IPSec sessions to bypass interface access-lists]。Group policy and per-user authorization ACLs still apply to the traffic]:ASA は、VPN ト ラ フ ィ ッ ク が ASA イ ン タ ーフ ェ イ ス で終了す る こ と をデフ ォ ル ト で許可 し てい る ため、IKE ま たは ESP( ま たはその他の タ イ プ の VPN パケ ッ ト )を ア ク セ ス ルールで許可す る 必要はあ り ません。こ のオプシ ョ ン を オ ン に し てい る 場合は、復号化 さ れた VPN パケ ッ ト の ロ ーカル IP ア ド レ ス に対す る ア ク セ ス ルー ルは不要です。VPN ト ン ネルは VPN セ キ ュ リ テ ィ メ カ ニ ズ ム を使用 し て正常に終端 さ れた ため、こ の機能に よ っ て、コ ン フ ィ ギ ュ レーシ ョ ン が簡略化 さ れ、ASAのパ フ ォ ーマ ン ス はセ キ ュ リ テ ィ リ ス ク を負 う こ と な く 最大化 さ れ ます (グループ ポ リ シーお よ びユーザ単位の 許可 ACL は、引 き 続 き ト ラ フ ィ ッ ク に適用 さ れ ま す)。 こ のオプ シ ョ ン を オ フ にす る こ と に よ り 、ア ク セ ス ルール を ロ ーカル IP ア ド レ ス に適用す る こ と を強制的に適用で き ま す。ア ク セ ス ルールは ロ ーカル IP ア ド レ ス に適用 さ れ、VPN パケ ッ ト が復号化 さ れ る 前に使用 さ れていた元の ク ラ イ ア ン ト IP ア ド レ ス には適用 さ れ ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-2 第3章 一般的な VPN 設定 最大 VPN セ ッ シ ョ ン数の設定 • [Permit communication between VPN peers connected to the same interface]: こ の機能を イ ネー ブル ま たはデ ィ セーブルに し ま す。 同 じ イ ン タ ー フ ェ イ ス を介 し て着信 ク ラ イ ア ン ト VPN ト ラ フ ィ ッ ク を暗号化せずに、ま た は暗号化 し て リ ダ イ レ ク ト す る こ と も で き ま す。同 じ イ ン タ ー フ ェ イ ス を介 し て VPN ト ラ フ ィ ッ ク を暗号化せずに送信す る 場合は、その イ ン タ ー フ ェ イ ス に対す る NAT を イ ネーブ ルに し 、プ ラ イ ベー ト IP ア ド レ ス を パブ リ ッ ク にルーテ ィ ン グ可能な ア ド レ ス に変換す る 必要が あ り ま す(ただ し 、ロ ーカル IP ア ド レ ス プールですでにパブ リ ッ ク IP ア ド レ ス を使 用 し てい る 場合は除 き ま す)。 • [Compression Settings]:圧縮を イ ネーブルにす る 機能(WebVPN お よ び SSL VPN ク ラ イ ア ン ト ) を指定 し ます。圧縮はデフ ォ ル ト で イ ネーブルにな っ てい ます。 最大 VPN セ ッ シ ョ ン数の設定 VPN セ ッ シ ョ ン ま たは AnyConnect ク ラ イ ア ン ト VPN セ ッ シ ョ ン で許可 さ れ る 最大数を指定す る には、次の手順を実行 し ま す。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Advanced] > [Maximum VPN Sessions] を選択 し ま す。 ステ ッ プ 2 [Maximum AnyConnect Sessions] フ ィ ール ド に、許可 さ れた セ ッ シ ョ ン の最大数を入力 し ま す。 有効値は、1 か ら の ラ イ セ ン ス で許容 さ れ る セ ッ シ ョ ン の最大数 ま でです。 ステ ッ プ 3 [Maximum Other VPN Sessions] フ ィ ール ド に、許容 さ れた VPN セ ッ シ ョ ン の最大数を入力 し ま す。こ れには、Cisco VPN ク ラ イ ア ン ト (IPsec IKEv1)LAN-to-LAN VPN、お よ び ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン が含 ま れ ま す。 有効値は、1 か ら の ラ イ セ ン ス で許容 さ れ る セ ッ シ ョ ン の最大数 ま でです。 ステ ッ プ 4 [Apply] を ク リ ッ ク し ま す。 DTLS 設定 Datagram Transport Layer Security(DTLS)を イ ネーブルにす る こ と に よ り 、SSL VPN 接続を確立す る AnyConnect VPN ク ラ イ ア ン ト は、SSL ト ン ネルお よ び DTLS ト ン ネル と い う 2 つの同時 ト ン ネルを使用で き ま す。DTLS に よ っ て、一部の SSL 接続に関連す る 遅延お よ び帯域幅の問題が回 避 さ れ、パケ ッ ト 遅延の影響を受けやすい リ アル タ イ ム アプ リ ケーシ ョ ン のパ フ ォ ーマ ン ス が向 上 し ま す。 DTLS を イ ネーブルに し ない場合、SSL VPN 接続を確立す る AnyConnect ク ラ イ ア ン ト ユーザ は、SSL VPN ト ン ネルでだけ接続 し ま す。 • [Interface]:ASAの イ ン タ ー フ ェ イ ス の リ ス ト を表示 し ま す。 • [DTLS Enabled]: イ ン タ ー フ ェ イ ス で AnyConnect ク ラ イ ア ン ト に よ る DTLS 接続を イ ネー ブルにす る 場合にオ ン に し ま す。 • [UDP Port (default 443)]:(任意)DTLS 接続用に別の UDP ポー ト を指定 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-3 第3章 一般的な VPN 設定 DNS サーバ グループの設定 DNS サーバ グループの設定 [Configuration] > [Remote Access VPN] > [DNS] ダ イ ア ロ グ ボ ッ ク ス では、サーバ グループ名、 サーバ、タ イ ム ア ウ ト の秒数、許容 リ ト ラ イ 回数、お よ び ド メ イ ン名を含む、設定済みの DNS サーバがテーブルに表示 さ れ ま す。こ のダ イ ア ロ グ ボ ッ ク ス で、DNS サーバ グループ を追加、編 集、ま たは削除で き ま す。 • [Add or Edit]:[Add or Edit DNS Server Group] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。別の場所に あ る ヘルプ • [Delete]:選択 し た行を テーブルか ら 削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 • [DNS Server Group]: こ の接続の DNS サーバ グループ と し て使用す る サーバ を選択 し ま す。 デ フ ォ ル ト は DefaultDNS です。 • [Manage]:[Configure DNS Server Group] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 暗号化コ アのプールの設定 AnyConnect TLS/DTLS ト ラ フ ィ ッ ク に対 し て よ り 適切な ス ループ ッ ト パ フ ォ ーマ ン ス が得 ら れ る よ う に、対称型マルチプ ロ セ ッ シ ン グ(SMP)プ ラ ッ ト フ ォ ーム上での暗号化 コ アの割 り 当て を 変更す る こ と がで き ます。こ の変更に よ っ て、SSL VPN デー タ パ ス が高速化 さ れ、AnyConnect、ス マー ト ト ン ネル、お よ びポー ト 転送において、ユーザが認識で き る パ フ ォ ーマ ン ス 向上が実現 し ます。暗号化 コ アのプールを設定す る には、次の手順を実行 し ます。 は じ める前に 暗号化 コ ア再分散が利用で き る のは、次のプ ラ ッ ト フ ォ ーム です。 • 5585-X • 5545-X • 5555-X • ASASM ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Advanced] > [Crypto Engine] を選択 し ま す。 ステ ッ プ 2 [Accelerator Bias] ド ロ ッ プダ ウ ン リ ス ト か ら 、次のいずれか を選択 し ま す。 注 ステ ッ プ 3 こ の フ ィ ール ド は、機能が ASA で使用可能な場合にだけ表示 さ れ ま す。 • [balanced]:暗号化ハー ド ウ ェ ア リ ソ ース を均等に分散 し ます(Admin/SSL お よ び IPsec コ ア)。 • [ipsec]:IPsec を優先す る よ う に暗号化ハー ド ウ ェ ア リ ソ ー ス を割 り 当て ま す(SRTP 暗号化 音声 ト ラ フ ィ ッ ク を含む)。 • [ssl]:Admin/SSL を優先す る よ う に暗号化ハー ド ウ ェ ア リ ソ ー ス を割 り 当て ま す。 [Apply] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-4 第3章 一般的な VPN 設定 SSL VPN 接続用の ク ラ イ ア ン ト ア ド レ ス指定 SSL VPN 接続用のク ラ イ ア ン ト ア ド レ ス指定 こ のダ イ ア ロ グ ボ ッ ク ス を使用 し て、グ ロ ーバル ク ラ イ ア ン ト ア ド レ ス の割 り 当て ポ リ シーを 指定 し 、イ ン タ ー フ ェ イ ス に固有の ア ド レ ス プール を設定 し ま す。こ のダ イ ア ロ グ ボ ッ ク ス を使 用 し て、イ ン タ ー フ ェ イ ス に固有の ア ド レ ス プール を追加、編集、ま たは削除す る こ と も で き ま す。ダ イ ア ロ グ ボ ッ ク ス 下部のテーブルには、設定 さ れてい る イ ン タ ー フ ェ イ ス 固有の ア ド レ ス プールの一覧が表示 さ れ ま す。 • [Global Client Address Assignment Policy]:すべての IPsec 接続 と SSL VPN Client 接続 (AnyConnect ク ラ イ ア ン ト 接続を含む)に影響す る ポ リ シーを設定 し ま す。ASAは、ア ド レ ス を見つけ る ま で、選択 さ れた ソ ー ス を順番に使用 し ま す。 – [Use authentication server]: ク ラ イ ア ン ト ア ド レ ス の ソ ー ス と し て、ASAが認証サーバの 使用を試み る よ う に指定 し ま す。 – [Use DHCP]: ク ラ イ ア ン ト ア ド レ ス の ソ ー ス と し て、ASAが DHCP の使用を試み る よ う に指定 し ま す。 – [Use address pool]: ク ラ イ ア ン ト ア ド レ ス の ソ ー ス と し て、ASAが ア ド レ ス プールの使 用を試み る よ う に指定 し ま す。 • [Interface-Specific IPv4 Address Pools]:設定 さ れてい る イ ン タ ー フ ェ イ ス 固有の ア ド レ ス プールの一覧を表示 し ま す。 • [Interface-Specific IPv6 Address Pools]:設定 さ れてい る イ ン タ ー フ ェ イ ス 固有の ア ド レ ス プールの一覧を表示 し ま す。 • [Add]:[Assign Address Pools to Interface] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、イ ン タ ー フ ェ イ ス お よ び割 り 当て る ア ド レ ス プール を選択で き ま す。 • [Edit]: イ ン タ ー フ ェ イ ス と ア ド レ ス プールの フ ィ ール ド に値が取 り 込 ま れた状態で、 [Assign Address Pools to Interface] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 • [Delete]:選択 し た イ ン タ ー フ ェ イ ス に固有のア ド レ ス プール を削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 Assign Address Pools to Interface こ のダ イ ア ロ グ ボ ッ ク ス を使用 し て、イ ン タ ー フ ェ イ ス を選択 し 、その イ ン タ ー フ ェ イ ス に ア ド レ ス プール を 1 つ以上割 り 当て ま す。 • [Interface]:ア ド レ ス プールの割 り 当て先 イ ン タ ー フ ェ イ ス を選択 し ま す。デ フ ォ ル ト は DMZ です。 • [Address Pools]:指定 し た イ ン タ ー フ ェ イ ス に割 り 当て る ア ド レ ス プール を指定 し ま す。 • [Select]:[Select Address Pools] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス で は、こ の イ ン タ ー フ ェ イ ス に割 り 当て る ア ド レ ス プール を 1 つ以上選択で き ま す。選択内容 は、[Assign Address Pools to Interface] ダ イ ア ロ グ ボ ッ ク ス の [Address Pools] フ ィ ール ド に表 示 さ れ ま す。 Select Address Pools [Select Address Pools] ダ イ ア ロ グ ボ ッ ク ス には、ク ラ イ ア ン ト ア ド レ ス の割 り 当て で選択可能な プール名、開始ア ド レ ス と 終了ア ド レ ス 、お よ びア ド レ ス プールのサブネ ッ ト マ ス ク が表示 さ れ、リ ス ト のエ ン ト リ を追加、編集、削除で き ま す。 • [Add]:[Add IP Pool] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、新 し い IP ア ド レ ス プール を設定で き ま す。 • [Edit]:[Edit IP Pool] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、選択 し た IP ア ド レ ス プール を変更で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-5 第3章 一般的な VPN 設定 グループ ポ リ シー • [Delete]:選択 し た ア ド レ ス プール を削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 • [Assign]: イ ン タ ー フ ェ イ ス に割 り 当て ら れてい る ア ド レ ス プール名を表示 し ま す。イ ン タ ー フ ェ イ ス に追加す る 個々の未割 り 当て プール を ダブル ク リ ッ ク し ま す。[Assign] フ ィ ー ル ド のプール割 り 当て一覧が更新 さ れ ま す。 IP ア ド レ ス プールの追加または編集 IP ア ド レ ス プール を設定 ま たは変更 し ま す。 • [Name]:IP ア ド レ ス プールに割 り 当て ら れてい る 名前 を指定 し ま す。 • [Starting IP Address]:プールの最初の IP ア ド レ ス を指定 し ま す。 • [Ending IP Address]:プールの最後の IP ア ド レ ス を指定 し ま す。 • [Subnet Mask]:プール内の ア ド レ ス に適用す る サブネ ッ ト マ ス ク を選択 し ま す。 グループ ポ リ シー グループ ポ リ シーは、ASA の内部( ロ ーカル)ま たは外部の RADIUS ま たは LDAP サーバに格納 さ れてい る ユーザ指向の属性 と 値のペア のセ ッ ト です。VPN 接続を確立す る 際に、グループ ポ リ シーに よ っ て ク ラ イ ア ン ト に属性が割 り 当て ら れ ま す。デ フ ォ ル ト では、VPN ユーザにはグ ループ ポ リ シーが関連付け ら れ ま せん。グループ ポ リ シー情報は、VPN 接続プ ロ フ ァ イ ル( ト ン ネル グループ)お よ びユーザ ア カ ウ ン ト で使用 さ れ ま す。 ASA には、DfltGrpPolicy と い う 名前のデ フ ォ ル ト グループ ポ リ シーが あ り ま す。デ フ ォ ル ト グ ループ パ ラ メ ー タ は、すべての グループお よ びユーザに共通で あ る と 考え ら れ る パ ラ メ ー タ で、 コ ン フ ィ ギ ュ レ ーシ ョ ン タ ス ク の効率化に役立ち ま す。新 し い グループは こ のデ フ ォ ル ト グ ループか ら パ ラ メ ー タ を「継承」で き 、ユーザは自身の グループ ま たはデ フ ォ ル ト グループか ら パ ラ メ ー タ を「継承」で き ま す。こ れ ら のパ ラ メ ー タ は、グループお よ びユーザ を設定す る と き に 上書 き で き ま す。 内部グループ ポ リ シー と 外部グループ ポ リ シーを設定で き ま す。内部グループ ポ リ シーは ロ ー カルに保存 さ れ、外部グループは RADIUS サーバ ま たは LDAP サーバに外部で保存 さ れ ま す。 [Group Policy] ダ イ ア ロ グ ボ ッ ク ス で、次の種類のパ ラ メ ー タ を設定 し ま す。 • 一般属性:名前、バナー、ア ド レ ス プール、プ ロ ト コ ル、フ ィ ル タ リ ン グ、お よ び接続の設定。 • サーバ:DNS お よ び WINS サーバ、DHCP ス コ ープ、お よ びデ フ ォ ル ト ド メ イ ン名。 • 詳細属性: ス プ リ ッ ト ト ン ネ リ ン グ、IE ブ ラ ウ ザ プ ロ キ シ、AnyConnect ク ラ イ ア ン ト 、お よ び IPsec ク ラ イ ア ン ト 。 こ れ ら のパ ラ メ ー タ を設定す る 前に、次の項目を設定す る 必要があ り ます。 • ア ク セ ス 時間([General] > [More Options] > [Access Hours])。 • フ ィ ル タ ([General] > [More Options] > [Filters])。 • IPsec セ キ ュ リ テ ィ ア ソ シエーシ ョ ン([Configuration] > [Policy Management] > [Traffic Management] > [Security Associations])。 • フ ィ ル タ リ ン グお よ び ス プ リ ッ ト ト ン ネ リ ン グ用のネ ッ ト ワ ー ク リ ス ト ([Configuration] > [Policy Management] > [Traffic Management] > [Network Lists])。 • ユーザ認証サーバ と 内部認証サーバ([Configuration] > [System] > [Servers] > [Authentication])。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-6 第3章 一般的な VPN 設定 グループ ポ リ シー 次の タ イ プの グループ ポ リ シーを設定で き ま す。 • 外部グループ ポ リ シー:外部グループ ポ リ シーは、ASA か ら RADIUS ま たは LDAP サーバ を指 し て、ほ と ん ど のポ リ シー情報を取得 し ま す。それ以外の情報は、内部グループ ポ リ シーに設定 さ れ ま す。外部グループ ポ リ シーは、ネ ッ ト ワ ー ク ( ク ラ イ ア ン ト )ア ク セ ス VPN 接続、ク ラ イ ア ン ト レ ス SSL VPN 接続、お よ びサ イ ト 間 VPN 接続に対 し て同 じ 方法で設定 さ れ ま す。 • 内部グループ ポ リ シー: こ れ ら の接続は、エ ン ド ポ イ ン ト に イ ン ス ト ール さ れた VPN ク ラ イ ア ン ト に よ っ て開始 さ れ ま す。AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト お よ び Cisco IPsec VPN ク ラ イ ア ン ト は、VPN ク ラ イ ア ン ト の使用例です。VPN ク ラ イ ア ン ト が認証 さ れ る と 、オ ン サ イ ト の場合、リ モー ト ユーザは企業ネ ッ ト ワ ー ク ま たはアプ リ ケーシ ョ ン にア ク セ ス で き ま す。リ モー ト ユーザ と 企業ネ ッ ト ワ ー ク 間のデー タ ト ラ フ ィ ッ ク は、暗号化に よ っ て イ ン タ ーネ ッ ト を通過す る 際に保護 さ れ ます。 • AnyConnect ク ラ イ ア ン ト の内部グループ ポ リ シー • ク ラ イ ア ン ト レ ス SSL VPN の内部グループ ポ リ シー: こ れは、ブ ラ ウ ザ ベー ス の VPN ア ク セ ス と も 呼ばれ ま す。ASA のポー タ ル ページに正常に ロ グ イ ンす る と 、リ モー ト ユーザは Web ページに表示 さ れ る リ ン ク か ら 企業ネ ッ ト ワ ー ク と ア プ リ ケーシ ョ ン に ア ク セ ス で き ま す。リ モー ト ユーザ と 企業ネ ッ ト ワ ー ク 間のデー タ ト ラ フ ィ ッ ク は、SSL ト ン ネル を通過 す る 際に保護 さ れ ま す。 • Site-to-Site 内部グループ ポ リ シー [Group Policy] ペ イ ン フ ィ ール ド ASDM の [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] ペ イ ン には、設定済みの グループ ポ リ シーが一覧表示 さ れ ま す。VPN グループ ポ リ シーを管理す る ための [Add]、[Edit]、お よ び [Delete] ボ タ ン を以下に示 し ま す。 • [Add]: ド ロ ッ プダ ウ ン リ ス ト が表示 さ れ、内部 ま たは外部の グループ ポ リ シー を追加す る か ど う か を選択で き ま す。単に [Add] を ク リ ッ ク す る 場合は、デ フ ォ ル ト に よ り 内部グルー プ ポ リ シーを作成す る こ と にな り ま す。[Add] を ク リ ッ ク す る と 、[Add Internal Group Policy] ダ イ ア ロ グ ボ ッ ク ス ま たは [Add External Group Policy] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ れ ら のダ イ ア ロ グ ボ ッ ク ス を使用 し て、新 し い グループ ポ リ シーを一覧に追加で き ま す。こ のダ イ ア ロ グ ボ ッ ク ス には、3 つの メ ニ ュ ー セ ク シ ョ ン が あ り ま す。それぞれの メ ニ ュ ー項 目を ク リ ッ ク す る と 、その項目のパ ラ メ ー タ が表示 さ れ ま す。項目間を移動す る と き 、ASDM は設定を保持 し ま す。すべての メ ニ ュ ー セ ク シ ョ ン でパ ラ メ ー タ の設定が終了 し た ら 、 [Apply] ま たは [Cancel] を ク リ ッ ク し ま す。 • [Edit]:[Edit Group Policy] ダ イ ア ロ グ ボ ッ ク ス を表示 し ま す。こ のダ イ ア ロ グ ボ ッ ク ス を使 用 し て、既存の グループ ポ リ シーを編集で き ま す。 • [Delete]:AAA グループ ポ リ シー を リ ス ト か ら 削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 • [Assign]:1 つ以上の接続プ ロ フ ァ イ ルに グループ ポ リ シーを割 り 当て る こ と がで き ま す。 • [Name]:現在設定 さ れてい る グループ ポ リ シーの名前を一覧表示 し ま す。 • [Type]:現在設定 さ れてい る 各グループ ポ リ シーの タ イ プ を一覧表示 し ま す。 • [Tunneling Protocol]:現在設定 さ れてい る 各グループ ポ リ シーが使用す る ト ン ネ リ ン グ プ ロ ト コ ル を一覧表示 し ま す。 • [Connection Profiles/Users Assigned to]: こ の グループ ポ リ シーに関連付け ら れた ASA に直接 設定 さ れた接続プ ロ フ ァ イ ル と ユーザ を示 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-7 第3章 一般的な VPN 設定 グループ ポ リ シー 外部グループ ポ リ シー 外部グループ ポ リ シーは、外部サーバか ら 認可お よ び認証の属性値を取得 し ま す。こ の グループ ポ リ シーでは、ASA が属性の ク エ リ ーを実行で き る RADIUS ま たは LDAP サーバ グループ を特 定 し 、その属性を取得す る と き に使用す る パ ス ワ ー ド を指定 し ま す。 ASAの外部グループ名は、RADIUS サーバのユーザ名を参照 し てい ま す。つ ま り 、ASA 上で外部 グループ X を設定す る と 、RADIUS サーバが ク エ リ を ユーザ X に対す る 認証要求 と 見な し ま す。 し たが っ て、事実上、外部グループは ASA に と っ て特別な意味を持つ RADIUS サーバ上のユー ザ ア カ ウ ン ト にすぎ ま せん。外部グループ属性が認証す る 予定のユーザ と 同 じ RADIUS サーバ に存在す る 場合、それ ら の間で名前を重複 さ せ る こ と はで き ま せん。 外部サーバ を使用す る よ う に ASA を設定す る 前に、正 し い ASA 認可属性でサーバ を設定 し 、そ れ ら の属性のサブセ ッ ト か ら 個々のユーザに対す る 個別の許可を割 り 当て る 必要が あ り ま す。 外部サーバ を設定す る には、「認可お よ び認証用の外部サーバ」の説明に従っ て く だ さ い。 こ れ ら の RADIUS 設定には、ロ ーカル認証の RADIUS、Active Directory/Kerberos Windows DC の RADIUS、NT/4.0 ド メ イ ン の RADIUS、LDAP の RADIUS が含 ま れ ま す。 外部グループ ポ リ シーの フ ィ ール ド • [Name]:追加 ま たは変更す る グループ ポ リ シーを特定 し ま す。[Edit External Group Policy] の 場合、こ の フ ィ ール ド は表示専用です。 • [Server Group]: こ のポ リ シーの適用先 と し て利用で き る サーバ グループ を一覧表示 し ま す。 • [New]:新 し い RADIUS サーバ グループ ま たは新 し い LDAP サーバ グループ を作成す る か ど う か を選択で き る ダ イ ア ロ グ ボ ッ ク ス を開 き ま す。ど ち ら の場合 も [Add AAA Server Group] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 • [Password]: こ のサーバ グループ ポ リ シーのパ ス ワ ー ド を指定 し ま す。 AAA サーバの作成お よ び設定については、『Cisco ASA Series General Operations ASDM Configuration Guide』の「AAA Servers and Local Database」の章を参照 し て く だ さ い。 AAA サーバでのパスワー ド 管理 ASAでは、RADIUS お よ び LDAP プ ロ ト コ ルのパ ス ワ ー ド 管理を サポー ト し ま す。 「password-expire-in-days」オプシ ョ ン は、LDAP に対 し てのみサポー ト さ れ ま す。その他のパ ラ メ ー タ は、こ の よ う な通知機能を サポー ト す る RADIUS、RADIUS 対応 NT サーバ、LDAP サーバな ど の AAA サーバで有効です。RADIUS ま たは LDAP 認証が設定 さ れていない場合、 ASAでは こ の コ マ ン ド が無視 さ れ ま す。 注 現在の と こ ろ MS-CHAP を サポー ト し ていて も 、MS-CHAPv2 はサポー ト し てい ない RADIUS サーバ も あ り ま す。こ の機能には MS-CHAPv2 が必要な ため、ベン ダーに確 認 し て く だ さ い。 ASA では通常、LDAP に よ る 認証時、ま たは MS-CHAPv2 を サ ポー ト す る RADIUS コ ン フ ィ ギ ュ レ ーシ ョ ン に よ る 認証時に、次の接続 タ イ プに対す る パ ス ワ ー ド 管理がサポー ト さ れ ま す。 – AnyConnect VPN ク ラ イ ア ン ト – IPsec VPN ク ラ イ ア ン ト – IPsec IKEv2 ク ラ イ ア ン ト – ク ラ イ ア ン ト レ ス SSL VPN Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-8 第3章 一般的な VPN 設定 グループ ポ リ シー Kerberos/Active Directory(Windows パ ス ワ ー ド ) ま たは NT 4.0 ド メ イ ン では、パ ス ワ ー ド 管 理はサポー ト さ れ ま せん 。一部の RADIUS サーバ(Cisco ACS な ど )は、認証要求 を 別の認証 サーバにプ ロ キ シす る 場合が あ り ま す。た だ し 、ASA か ら は RADIUS サーバのみに対 し て 通信 し て い る よ う に見え ま す。 注 LDAP でパ ス ワ ー ド を変更す る には、市販の LDAP サーバ ご と に独自の方法が使用 さ れてい ま す。現在、ASAでは Microsoft Active Directory お よ び Sun LDAP サーバに対 し てのみ、独自のパ ス ワ ー ド 管理 ロ ジ ッ ク を実装 し てい ま す。 ネ イ テ ィ ブ LDAP には、SSL 接続が必要です。LDAP のパ ス ワ ー ド 管理を実行す る 前に、SSL 上での LDAP を イ ネーブルにす る 必要が あ り ま す。デ フ ォ ル ト では、LDAP はポー ト 636 を 使用 し ま す。 AnyConnect でのパスワー ド のサポー ト ASA では、AnyConnect の次のパ ス ワ ー ド 管理機能を サポー ト し ま す。 • ユーザが接続 し よ う と し た と き のパ ス ワ ー ド 期限切れの通知。 • パ ス ワ ー ド の期限が切れ る 前のパ ス ワ ー ド 期限切れの リ マ イ ン ダ。 • パ ス ワ ー ド 期限切れの無効化。ASA は AAA サーバか ら のパ ス ワ ー ド 期限切れの通知を無視 し 、ユーザの接続を許可 し ま す。 パス ワー ド 管理を設定する と 、ASA は、リ モー ト ユーザが ロ グ イ ン し よ う と し た と き に、現在のパス ワー ド の期限が切れてい る こ と 、ま たは期限切れが近づいてい る こ と を通知し ます。それか ら ASA は、ユーザがパス ワー ド を変更で き る よ う に し ます。現行のパス ワー ド が失効し ていない場合、ユーザ はその古いパス ワー ド を使用し て ロ グ イ ン し続けて、後でパス ワー ド を変更する こ と がで き ます。 AnyConnect ク ラ イ ア ン ト はパ ス ワ ー ド の変更を開始で き ず、AAA サーバか ら の変更要求に ASA を介 し て応答す る こ と し かで き ま せん。AAA サーバは、AD にプ ロ キ シす る RADIUS サーバ、ま た は LDAP サーバにす る 必要があ り ま す。 ASA は、次の条件下ではパ ス ワ ー ド 管理を サポー ト し ま せん。 • ロ ーカル(内部)認証を使用す る 場合 • LDAP 認証 を使用す る 場合 • RADIUS 認証のみを使用 し てお り 、ユーザが RADIUS サーバ デー タ ベー ス に存在す る 場合 パ ス ワ ー ド 期限切れの無効化を設定す る と 、ASA は AAA サーバか ら の account-disabled イ ン ジ ケー タ を無視す る よ う にな り ま す。こ れは、セ キ ュ リ テ ィ 上の リ ス ク にな る 可能性が あ り ま す。 た と えば、管理者のパ ス ワ ー ド を変更 し ない よ う にす る 場合が あ り ま す。 パス ワー ド 管理を イ ネーブルにする と 、ASA は AAA サーバに MS-CHAPv2 認証要求を送信し ます。 内部グループ ポ リ シー 内部グループ ポ リ シー、一般属性 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] ペ イ ン で、 [Add or Edit Group Policy] ダ イ ア ロ グ ボ ッ ク ス を使用すれば、追加 ま たは変更す る グループ ポ リ シーの ト ン ネ リ ン グ プ ロ ト コ ル、フ ィ ル タ 、接続設定、お よ びサーバ を指定で き ま す。こ のダ イ ア ロ グ ボ ッ ク ス の各 フ ィ ール ド で、[Inherit] チ ェ ッ ク ボ ッ ク ス を選択す る と 、対応す る 設定の値を デ フ ォ ル ト グループ ポ リ シーか ら 取得で き ま す。[Inherit] は、こ のダ イ ア ロ グ ボ ッ ク ス の属性す べてのデ フ ォ ル ト 値です。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-9 第3章 一般的な VPN 設定 グループ ポ リ シー ASDM を起動 し 、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add or Edit Internal Group Policy] > [General] を選択 し て、内部グループ ポ リ シーの一般属性を設定で き ます。 [Add Internal Group Policy] > [General] ダ イ ア ロ グ ボ ッ ク ス には、次の属性が表示 さ れ ま す。こ れ ら の属性は、SSL VPN と IPsec セ ッ シ ョ ン に適用 さ れ ま す。そのため、い く つかの属性は、1 つの タ イ プのセ ッ シ ョ ン に表示 さ れ、他の タ イ プには表示 さ れ ま せん。 • [Name]: こ の グループ ポ リ シーの名前を最大 64 文字で指定 し ま す( ス ペー ス の使用可)。Edit 機能の場合、こ の フ ィ ール ド は読み取 り 専用です。 • [Banner]: ロ グ イ ン時にユーザに対 し て表示す る バナー テ キ ス ト を指定 し ま す。長 さ は最大 491 文字です。デ フ ォ ル ト 値は あ り ま せん。 IPsec VPN ク ラ イ ア ン ト は、バナー用の完全な HTML を サポー ト し てい ま す。ただ し 、ク ラ イ ア ン ト レ ス ポー タ ルお よ び AnyConnect ク ラ イ ア ン ト は部分的な HTML を サポー ト し てい ま す。バナーが リ モー ト ユーザに適切に表示 さ れ る よ う にす る には、次のガ イ ド ラ イ ン に従 い ま す。 – IPsec ク ラ イ ア ン ト ユーザの場合は、/n タ グ を使用 し ま す。 – AnyConnect ク ラ イ ア ン ト ユーザの場合は、<BR> タ グ を使用 し ま す。 • [SCEP forwarding URL]: ク ラ イ ア ン ト プ ロ フ ァ イ ルで SCEP プ ロ キ シ を設定す る 場合に必要 な CA の ア ド レ ス 。 • [Address Pools]: こ の グループ ポ リ シーで使用す る 1 つ以上の IPv4 ア ド レ ス プールの名前 を指定 し ま す。[Inherit] チ ェ ッ ク ボ ッ ク ス がオ ン の場合、グループ ポ リ シーはデ フ ォ ル ト グ ループ ポ リ シーで指定 さ れてい る IPv4 ア ド レ ス プール を使用 し ま す。IPv4 ア ド レ ス プール を追加 ま たは編集す る 方法の詳細については を参照 し て く だ さ い。 [Select]:[Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ に し て、[Select] コ マ ン ド ボ タ ン を ア ク テ ィ ブに し ま す。[Select] を ク リ ッ ク し て、[Address Pools] ダ イ ア ロ グ ボ ッ ク ス を 開 き ま す。こ の ダ イ ア ロ グ ボ ッ ク ス には、ク ラ イ ア ン ト ア ド レ ス 割 り 当て で選択可能な ア ド レ ス プールのプー ル名、開始ア ド レ ス と 終了ア ド レ ス 、お よ びサブ ネ ッ ト マ ス ク が表示 さ れ、そ の リ ス ト か ら エ ン ト リ を 選択、追加、編集、削除、お よ び割 り 当て で き ま す。 • [IPv6 Address Pools]: こ の グループ ポ リ シーで使用す る 1 つ以上の IPv6 ア ド レ ス プールの 名前を指定 し ま す。 [Select]:[Inherit] チ ェ ッ ク ボ ッ ク ス をオ フ に し て、[Select] コ マ ン ド ボ タ ン を ア ク テ ィ ブに し ま す。[Select] を ク リ ッ ク する と 、前述の よ う な [Select Address Pools] ダ イ ア ロ グボ ッ ク ス が開き ま す。IPv4 ア ド レ ス プールを追加ま たは編集す る方法の詳細についてはを参照 し て く だ さ い。 注 内部グループ ポ リ シーで IPv4 と IPv6 両方の ア ド レ ス プール を指定で き ま す。 • [More Options]:フ ィ ール ド の右側に あ る 下矢印を ク リ ッ ク し て、こ の グループ ポ リ シーの追 加の設定可能な オプシ ョ ン を表示 し ま す。 • [Tunneling Protocols]: こ の グループが使用で き る ト ン ネ リ ン グ プ ロ ト コ ル を指定 し ま す。 ユーザは、選択 さ れてい る プ ロ ト コ ルだけ を使用で き ま す。次の選択肢が あ り ま す。 – [Clientless SSL VPN]:SSL/TLS に よ る VPN の使用法を指定 し ま す。こ の VPN では、ソ フ ト ウ ェ アやハー ド ウ ェ ア の ク ラ イ ア ン ト を必要 と せずに、Web ブ ラ ウ ザ を使用 し て ASA へのセ キ ュ ア な リ モー ト ア ク セ ス ト ン ネル を確立 し ま す。ク ラ イ ア ン ト レ ス SSL VPN を使用す る と 、HTTPS イ ン タ ーネ ッ ト サ イ ト を利用で き る ほ と ん ど すべての コ ン ピ ュ ー タ か ら 、企業の Web サ イ ト 、Web 対応ア プ リ ケーシ ョ ン、NT/AD フ ァ イ ル共有 (Web 対応)、電子 メ ール、お よ びその他の TCP ベー ス ア プ リ ケーシ ョ ン な ど 、幅広い企 業 リ ソ ー ス に簡単に ア ク セ ス で き る よ う にな り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-10 第3章 一般的な VPN 設定 グループ ポ リ シー – [SSL VPN Client]:Cisco AnyConnect VPN ク ラ イ ア ン ト ま たは レ ガ シー SSL VPN ク ラ イ ア ン ト の使用を指定 し ま す。AnyConnect ク ラ イ ア ン ト を使用 し てい る 場合は、こ のプ ロ ト コ ル を選択 し て Mobile User Security(MUS)がサポー ト さ れ る よ う にす る 必要が あ り ま す。 – [IPsec IKEv1]:IP セ キ ュ リ テ ィ プ ロ ト コ ル。IPsec は最 も セ キ ュ ア な プ ロ ト コ ル と さ れて お り 、VPN ト ン ネルのほぼ完全な アーキ テ ク チ ャ を提供 し ま す。Site-to-Site( ピ ア ツー ピ ア)接続、お よ び Cisco VPN ク ラ イ ア ン ト と LAN 間の接続の両方で IPsec IKEv1 を使用 で き ま す。 – [IPsec IKEv2]:AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト に よ っ てサポー ト さ れて い ま す。IKEv2 を使用 し た IPsec を使用す る AnyConnect 接続では、ソ フ ト ウ ェ ア ア ッ プ デー ト 、ク ラ イ ア ン ト プ ロ フ ァ イ ル、GUI の ロ ーカ リ ゼーシ ョ ン(翻訳) と カ ス タ マ イ ゼーシ ョ ン、Cisco Secure Desktop、SCEP プ ロ キ シ な ど の拡張機能が提供 さ れ ま す。 – [L2TP over IPsec]:多 く の PC およびモバ イ ル PC のオペレーテ ィ ン グ シ ス テムで提供 さ れる VPN ク ラ イ ア ン ト を使用し てい る リ モー ト ユーザが、パブ リ ッ ク IP ネ ッ ト ワー ク を介し て セキ ュ リ テ ィ アプ ラ イ ア ン スおよびプ ラ イベー ト 企業ネ ッ ト ワー ク へのセキ ュ アな接続を 確立で き る よ う に し ます。L2TP は、データ の ト ンネ リ ン グに PPP over UDP(ポー ト 1701) を使用し ます。セキ ュ リ テ ィ アプ ラ イ ア ン スは、IPsec 転送モー ド 用に設定する必要があ り ます。 • [Filter]:IPv4 ま たは IPv6 接続で使用す る ア ク セ ス コ ン ト ロ ール リ ス ト を 指定す る か、グ ループ ポ リ シーか ら 値 を 継承す る か ど う か を 指定 し ま す。フ ィ ル タ は、ASA を 経由 し て着 信 し た ト ン ネ リ ン グ さ れたデー タ パ ケ ッ ト を 、送信元ア ド レ ス 、宛先ア ド レ ス 、プ ロ ト コ ル な ど の基準に よ っ て、許可す る か拒否す る か を 決定す る ルールで構成 さ れ ま す。フ ィ ル タ お よ びルール を 設定す る には、[Manage] を ク リ ッ ク し ま す。 • [NAC Policy]: こ の グループ ポ リ シーに適用す る ネ ッ ト ワ ー ク ア ド ミ ッ シ ョ ン コ ン ト ロ ー ル ポ リ シーの名前を選択 し ま す。オプシ ョ ン の NAC ポ リ シーを各グループ ポ リ シーに割 り 当て る こ と がで き ま す。デ フ ォ ル ト 値は --None-- です。 • [Manage]:[Configure NAC Policy] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。1 つ以上の NAC ポ リ シー を設定す る と 、[NAC Policy] 属性の横の ド ロ ッ プダ ウ ン リ ス ト に、設定 し た NAC ポ リ シー名 がオプ シ ョ ン と し て表示 さ れ ま す。 • [Access Hours]: こ のユーザに適用 さ れ る 既存の ア ク セ ス 時間ポ リ シーが あ る 場合はその名 前を選択す る か、ま たは新 し い ア ク セ ス 時間ポ リ シーを作成 し ま す。デ フ ォ ル ト は [Inherit] です。ま た、[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ の場合のデ フ ォ ル ト は [--Unrestricted--] です。 [Manage] を ク リ ッ ク し て、[Browse Time Range] ダ イ ア ロ グ ボ ッ ク ス を開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、時間範囲を追加、編集、ま たは削除で き ま す。 • [Simultaneous Logins]: こ のユーザに許可す る 同時 ロ グ イ ン の最大数 を 指定 し ま す。デ フ ォ ル ト 値は 3 です。最小値は 0 で、こ の場合 ロ グ イ ン が無効に な り 、ユーザ ア ク セ ス を 禁止 し ま す。 注 • 最大数の制限はあ り ま せんが、複数の同時接続の許可がセ キ ュ リ テ ィ の低下を招 き 、 パ フ ォ ーマ ン ス に影響を及ぼすおそれが あ り ま す。 [Restrict Access to VLAN]:(オプ シ ョ ン )「VLAN マ ッ ピ ン グ」 と も 呼ばれ ま す。こ のパ ラ メ ー タ に よ り 、こ の グループ ポ リ シーが適用 さ れ る セ ッ シ ョ ン の出力 VLAN イ ン タ ー フ ェ イ ス を 指定 し ま す。ASA は、こ の グ ループか ら 選択 し た VLAN にすべて の ト ラ フ ィ ッ ク を 転送 し ま す。こ の属性 を 使用 し て VLAN を グ ループ ポ リ シーに割 り 当て、ア ク セ ス コ ン ト ロ ー ル を 簡素化 し ま す。こ の属性に値 を 割 り 当て る 方法は、ACL を 使用 し て セ ッ シ ョ ン の ト ラ フ ィ ッ ク を フ ィ ル タ リ ン グす る 方法の代替方法です。ド ロ ッ プ ダ ウ ン リ ス ト には、デ フ ォ ル ト 値(Unrestricted)の他に、こ の ASA で設定 さ れて い る VLAN だ け が表示 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-11 第3章 一般的な VPN 設定 グループ ポ リ シー 注 こ の機能は、HTTP 接続の場合には有効ですが、FTP お よ び CIFS 接続では使用で き ま せん。 • [Connection Profile (Tunnel Group) Lock]: こ のパ ラ メ ー タ を使用す る と 、選択 さ れた接続プ ロ フ ァ イ ル( ト ン ネル グループ)を使用す る VPN ア ク セ ス のみを許可 し 、別の接続 フ ァ イ ル を 使用す る ア ク セ ス を回避で き ま す。デ フ ォ ル ト の継承値は [None] です。 • [Maximum Connect Time]:[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ で あ る 場合、こ のパ ラ メ ー タ は、 ユーザの最大接続時間を分単位で指定 し ま す。こ こ で指定 し た時間が経過す る と 、シ ス テ ム は接続を終了 し ま す。最短時間は 1 分で、最長時間は 35791394 分(4000 年超、その可能性は ほ と ん ど あ り ま せん)です。接続時間を無制限にす る には、[Unlimited] を チ ェ ッ ク し ま す(デ フ ォ ル ト )。 • [Idle Timeout]:[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ で あ る 場合、こ のパ ラ メ ー タ は、ユーザの ア イ ド ル タ イ ム ア ウ ト 時間を分単位で指定 し ま す。こ の期間、ユーザ接続に通信ア ク テ ィ ビ テ ィ がなか っ た場合、シ ス テ ム は接続を終了 し ま す。最短時間は 1 分で、最長時間は 10080 分 です。デ フ ォ ル ト は 30 分です。接続時間を無制限にす る には、[Unlimited] を オ ン に し ま す。こ の値は、ク ラ イ ア ン ト レ ス SSL VPN のユーザには適用 さ れ ま せん。 • [Security Group Tag (SGT)]: こ の グループ ポ リ シーに接続す る VPN ユーザに割 り 当て ら れ る SGT タ グ の数値を入力 し ま す。 • [On smart card removal]:デフ ォル ト オプシ ョ ン [Disconnect] で、認証に使用 さ れる ス マー ト カー ド が除外 さ れる と 、ク ラ イ ア ン ト は接続を切断し ます。接続の間、ス マー ト カー ド を コ ン ピ ュータ に保持する こ と をユーザに要求し ない場合は、[Keep the connection] を ク リ ッ ク し ます。 ス マー ト カー ド の取 り 外 し に関す る 設定は、RSA ス マー ト カー ド を使用す る Microsoft Windows でのみ機能 し ま す。 内部グループ ポ リ シーの設定、サーバ属性 [Group Policy] > [Servers] ウ ィ ン ド ウ で、DNS サーバ、WINS サーバお よ び DNS ス コ ープ を設定 し ま す。DNS お よ び WINS サーバはフル ト ン ネル ク ラ イ ア ン ト (IPsec、AnyConnect、SVC、L2TP/IPsec) のみに適用 さ れ、名前解決に使用 さ れます。DHCP ス コ ープは、DHCP ア ド レ ス割 り 当てが設定 さ れてい る 場合に使用 さ れ ます。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add] ま た は [Edit] > [Servers] を選択 し ま す。 ステ ッ プ 2 DefaultGroupPolicy を編集 し ていない限 り 、[DNS Servers] の [Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ に し ま す。 ステ ッ プ 3 [DNS Servers] フ ィ ール ド で、こ の グループ を使用す る DNS サーバの IPv4 ア ド レ ス ま たは IPv6 ア ド レ ス を追加 し ま す。 複数の DNS サーバ を指定す る 場合、リ モー ト ア ク セ ス ク ラ イ ア ン ト は、こ の フ ィ ール ド で指定 さ れた順序で DNS サーバ を使用 し よ う と し ま す。 こ こ で行っ た変更は、ASDM の こ のグループ ポ リ シーを使用 し てい る ク ラ イ ア ン ト の [Configuration] > [Remote Access VPN] > [DNS] ウ ィ ン ド ウ で設定 さ れた DNS 設定 よ り 優先 さ れます。 AnyConnect 3.0.4 以降は、[DNS Servers] フ ィ ール ド で最大 25 の DNS サーバ エ ン ト リ がサポー ト さ れ ま す。こ れ以前の リ リ ー ス では、最大 10 の DNS サーバ エ ン ト リ し かサポー ト さ れ ません。 ステ ッ プ 4 [WINS Servers] の [Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ に し ま す。 hostname(config-group-policy)# wins-server value {ip_address [ip_address] | none} hostname(config-group-policy)# Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-12 第3章 一般的な VPN 設定 グループ ポ リ シー ステ ッ プ 5 [WINS Servers] フ ィ ール ド に、プ ラ イ マ リ WINS サーバ と セ カ ン ダ リ WINS サーバの IP ア ド レ ス を入力 し ま す。最初に指定す る IP ア ド レ ス がプ ラ イ マ リ WINS サーバの IP ア ド レ ス です。2 番目 (任意)の IP ア ド レ ス はセ カ ン ダ リ WINS サーバの IP ア ド レ ス です。 wins-server コ マ ン ド を入力す る たびに、既存の設定が上書 き さ れ ま す。た と えば、WINS サーバ x.x.x.x を設定 し てか ら WINS サーバ y.y.y.y を設定す る と 、2 番めの コ マ ン ド に よ っ て最初の設定 が上書 き さ れ、y.y.y.y が唯一の WINS サーバにな り ま す。サーバ を複数設定す る 場合 も 同様です。 設定済みのサーバ を上書 き す る のではな く 、WINS サーバ を追加す る には、こ の コ マ ン ド を入力 す る と き に、すべての WINS サーバの IP ア ド レ ス を含め ま す。 次の例は、CLI で FirstGroup と い う 名前の グループ ポ リ シーに、IP ア ド レ ス が 10.10.10.15 と 10.10.10.30 で あ る WINS サーバ を設定す る 方法を示 し てい ま す。 hostname(config)# group-policy FirstGroup attributes hostname(config-group-policy)# wins-server value 10.10.10.15 10.10.10.30 hostname(config-group-policy)# ステ ッ プ 6 [More Options] バーの二重矢印を ク リ ッ ク し て、[More Options] エ リ ア を展開 し ま す。 ステ ッ プ 7 デ フ ォ ル ト ド メ イ ン が [Configuration] > [Remote Access VPN] > [DNS] ウ ィ ン ド ウ に指定 さ れて いない場合、[Default Domain] フ ィ ール ド にデ フ ォ ル ト ド メ イ ン を指定す る 必要が あ り ま す。た と えば、example.com. と い う ド メ イ ン名お よ び ト ッ プ レ ベル ド メ イ ン を使用 し ま す。 ステ ッ プ 8 [OK] を ク リ ッ ク し ま す。 ステ ッ プ 9 [Apply] を ク リ ッ ク し ま す。 内部グループ ポ リ シー、ブ ラ ウザ プ ロキシ [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [Advanced] > [Browser Proxy] こ のダ イ ア ロ グ ボ ッ ク ス では、Microsoft Internet Explorer の設定を再構成す る ために ク ラ イ ア ン ト にプ ッ シ ュ ダ ウ ン さ れ る 属性を設定 し ま す。 • [Proxy Server Policy]: ク ラ イ ア ン ト PC の Microsoft Internet Explorer ブ ラ ウ ザのプ ロ キ シ ア ク シ ョ ン(「 メ ソ ッ ド 」)を設定 し ま す。 – [Do not modify client proxy settings]: こ の ク ラ イ ア ン ト PC の Internet Explorer の HTTP ブ ラ ウ ザ プ ロ キ シ サーバ設定を変更 し ま せん。 – [Do not use proxy]: ク ラ イ ア ン ト PC の Internet Explorer の HTTP プ ロ キ シ設定をデ ィ セー ブルに し ま す。 – [Select proxy server settings from the following]:選択内容に応 じ て、[Auto detect proxy]、 [Use proxy server settings given below]、お よ び [Use proxy auto configuration (PAC) given below] のチ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 – [Auto-detect proxy]: ク ラ イ ア ン ト PC で、Internet Explorer の自動プ ロ キ シ サーバ検出の 使用を イ ネーブルに し ま す。 – [Use proxy server settings specified below]:[Proxy Server Name or IP Address] フ ィ ール ド で 設定 さ れた値を使用す る よ う に、Internet Explorer の HTTP プ ロ キ シ サーバ設定値を設定 し ま す。 – [Use proxy auto configuration (PAC) given below]:[Proxy Auto Configuration (PAC)] フ ィ ー ル ド で指定 し た フ ァ イ ル を、自動 コ ン フ ィ ギ ュ レ ーシ ョ ン属性の ソ ー ス と し て使用す る よ う に指定 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-13 第3章 一般的な VPN 設定 グループ ポ リ シー • [Proxy Server Settings]:Microsoft Internet Explorer を使用 し て、Microsoft ク ラ イ ア ン ト のプ ロ キ シ サーバ パ ラ メ ー タ を設定 し ま す。 – [Server Address and Port]: こ の ク ラ イ ア ン ト PC で適用 さ れ る 、Microsoft Internet Explorer サーバの IP ア ド レ ス ま たは名前、お よ びポー ト を指定 し ま す。 – [Bypass Proxy Server for Local Addresses]: ク ラ イ ア ン ト PC での Microsoft Internet Explorer ブ ラ ウ ザ プ ロ キ シ ロ ーカル バ イ パ ス 設定値を設定 し ま す。[Yes] を選択す る と ロ ーカル バ イ パ ス が イ ネーブルにな り 、[No] を選択す る と ロ ーカル バ イ パ ス がデ ィ セーブルにな り ま す。 – [Exception List]:プ ロ キ シ サーバ ア ク セ ス か ら 除外す る サーバの名前 と IP ア ド レ ス を 一覧表示 し ま す。プ ロ キ シ サーバ経由の ア ク セ ス を行わない ア ド レ ス の リ ス ト を入力 し ま す。こ の リ ス ト は、[Internet Explorer の Proxy Settings] ダ イ ア ロ グ ボ ッ ク ス に あ る [Exceptions] リ ス ト に相当 し ま す。 • [Proxy Auto Configuration Settings]:PAC URL は自動設定 フ ァ イ ルの URL を 指定 し ま す。こ の フ ァ イ ルには、ブ ラ ウ ザがプ ロ キ シ情報 を 探せ る 場所が記述 さ れて い ま す。プ ロ キ シ自動 コ ン フ ィ ギ ュ レ ーシ ョ ン(PAC)機能 を 使用す る 場合、リ モー ト ユーザは、Cisco AnyConnect VPN ク ラ イ ア ン ト を 使用す る 必要が あ り ま す。 多 く のネ ッ ト ワ ー ク 環境が、Web ブ ラ ウ ザ を特定のネ ッ ト ワ ー ク リ ソ ー ス に接続す る HTTP プ ロ キ シ を定義 し てい ま す。HTTP ト ラ フ ィ ッ ク がネ ッ ト ワ ー ク リ ソ ー ス に到達で き る の は、プ ロ キ シがブ ラ ウ ザに指定 さ れ、ク ラ イ ア ン ト が HTTP ト ラ フ ィ ッ ク を プ ロ キ シにルー テ ィ ン グす る 場合だけです。SSLVPN ト ン ネルに よ り 、HTTP プ ロ キ シ の定義が複雑にな り ま す。企業ネ ッ ト ワ ー ク に ト ン ネ リ ン グす る と き に必要な プ ロ キ シが、ブ ロ ー ド バ ン ド 接続 経由で イ ン タ ーネ ッ ト に接続 さ れ る と き や、サー ド パーテ ィ ネ ッ ト ワ ー ク 上に あ る と き に 必要な も の と は異な る こ と が あ る ためです。 ま た、大規模ネ ッ ト ワ ー ク を構築 し てい る 企業では、複数のプ ロ キ シ サーバ を設定 し 、一時 的な状態に基づいて ユーザがその中か ら プ ロ キ シ サーバ を選択で き る よ う にす る こ と が必 要にな る 場合が あ り ま す。.pac フ ァ イ ル を使用す る と 、管理者は数多 く のプ ロ キ シ か ら ど の プ ロ キ シ を社内のすべての ク ラ イ ア ン ト コ ン ピ ュ ー タ に使用す る か を決定す る 単一の ス ク リ プ ト フ ァ イ ル を作成で き ま す。 次に、PAC フ ァ イ ル を使用す る 例を い く つか示 し ま す。 – ロ ー ド バ ラ ン シ ン グ のため リ ス ト か ら プ ロ キ シ を ラ ン ダ ム に選択 し ま す。 – サーバの メ ン テナ ン ス ス ケ ジ ュ ールに対応す る ために、時刻 ま たは曜日別にプ ロ キ シ を 交代で使用 し ま す。 – プ ラ イ マ リ プ ロ キ シ で障害が発生 し た場合に備え て、使用す る バ ッ ク ア ッ プ プ ロ キ シ サーバ を指定 し ま す。 – ロ ーカル サブネ ッ ト を元に、ロ ー ミ ン グ ユーザ用に最 も 近いプ ロ キ シ を指定 し ま す。 テ キ ス ト エデ ィ タ を使用 し て、自分のブ ラ ウ ザにプ ロ キ シ自動 コ ン フ ィ ギ ュ レーシ ョ ン(.pac) フ ァ イ ルを作成で き ます。.pac フ ァ イ ル と は、URL の コ ン テ ン ツ に応 じ て、使用す る 1 つ以上の プ ロ キ シ サーバを指定す る ロ ジ ッ ク を含む JavaScript フ ァ イ ルです。[PAC URL] フ ィ ール ド を 使用 し て、.pac フ ァ イ ルの取得元 URL を指定 し ます。ブ ラ ウ ザは、.pac フ ァ イ ルを使用 し てプ ロ キ シ設定を判断 し ます。 • Proxy Lockdown – [Allow Proxy Lockdown for Client System]: こ の機能を イ ネーブルにす る と 、AnyConnect VPN セ ッ シ ョ ン の間、Microsoft Internet Explorer の [接続] タ ブが非表示にな り ま す。こ の 機能をデ ィ セーブルにす る と 、[接続] タ ブの表示は変更 さ れ ま せん。こ の タ ブのデ フ ォ ル ト 設定は、ユーザの レ ジ ス ト リ 設定に応 じ て表示 ま たは非表示にな り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-14 第3章 一般的な VPN 設定 グループ ポ リ シー AnyConnect ク ラ イ ア ン ト の内部グループ ポ リ シー 内部グループ ポ リ シー、詳細、AnyConnect ク ラ イ ア ン ト • [Keep Installer on Client System]: リ モー ト コ ン ピ ュー タ 上で永続的な ク ラ イ ア ン ト の イ ン ス ト ー ルを可能に し ます。こ れを イ ネーブルにする こ と に よ り 、ク ラ イ ア ン ト の自動的なア ン イ ン ス ト ール機能がデ ィ セーブルにな り ます。ク ラ イ ア ン ト は、後続の接続のために リ モー ト コ ン ピ ュー タ に イ ン ス ト ール さ れた ま ま なので、リ モー ト ユーザの接続時間が短縮 さ れます。 • [Compression]:圧縮を行 う と 、転送 さ れ る パケ ッ ト のサ イ ズが減少す る ため、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス と ク ラ イ ア ン ト 間の通信パフ ォーマ ン ス が向上 し ます。 • [Datagram TLS]:Datagram Transport Layer Security に よ り 、一部の SSL 接続に関連す る 遅延 と 帯域幅の問題を回避 し 、パケ ッ ト 遅延の影響を受けやすい リ アル タ イ ム アプ リ ケーシ ョ ン の パ フ ォ ーマ ン ス を改善 し ま す。 • [Ignore Don't Defrag (DF) Bit]: こ の機能では、DF ビ ッ ト が設定 さ れてい る パケ ッ ト を強制的に フ ラ グ メ ン テーシ ョ ン し て、ト ン ネルを通過 さ せ る こ と がで き ます。使用例 と し て、TCP MSS ネ ゴ シエーシ ョ ン に適切に応答 し ないネ ッ ト ワー ク のサーバに対す る 使用な ど があ り ます。 • [Client Bypass Protocol]: ク ラ イ ア ン ト プ ロ ト コ ル バ イ パ ス 機能を使用す る と 、ASA が IPv6 ト ラ フ ィ ッ ク だけ を予期 し てい る と き の IPv4 ト ラ フ ィ ッ ク の管理方法や、IPv4 ト ラ フ ィ ッ ク だけ を予期 し てい る と き の IPv6 ト ラ フ ィ ッ ク の管理方法を設定す る こ と がで き ま す。 AnyConnect ク ラ イ ア ン ト が ASA に VPN 接続す る と き に、ASA は IPv4 と IPv6 の一方 ま た は両方の ア ド レ ス を割 り 当て ま す。ASA が AnyConnect 接続に IPv4 ア ド レ ス ま たは IPv6 ア ド レ ス だけ を割 り 当て た場合に、ASA が IP ア ド レ ス を割 り 当て なか っ た ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク について、ク ラ イ ア ン ト プ ロ ト コ ル バ イ パ ス に よ っ て その ト ラ フ ィ ッ ク を ド ロ ッ プ さ せ る か、ま たは ASA を バ イ パ ス し て ク ラ イ ア ン ト か ら の暗号化な し 、つ ま り 「 ク リ ア テ キ ス ト 」 と し ての送信を許可す る か を設定で き る よ う にな り ま し た。 た と えば、IPv4 ア ド レ ス のみ AnyConnect 接続に割 り 当て ら れ、エ ン ド ポ イ ン ト がデ ュ アル ス タ ッ ク さ れてい る と 想定 し て く だ さ い。こ のエ ン ド ポ イ ン ト が IPv6 ア ド レ ス への到達を 試みた と き に、ク ラ イ ア ン ト バ イ パ ス プ ロ ト コ ル機能がデ ィ セーブルの場合は、IPv6 ト ラ フ ィ ッ ク が ド ロ ッ プ さ れ ま すが、ク ラ イ ア ン ト バ イ パ ス プ ロ ト コ ルが イ ネーブルの場合は、 IPv6 ト ラ フ ィ ッ ク は ク ラ イ ア ン ト か ら ク リ ア テ キ ス ト と し て送信 さ れ ま す。 • [FQDN of This Device]: こ の情報は、VPN セ ッ シ ョ ン の再確立で使用 さ れ る ASA IP ア ド レ ス を解決す る ために、ネ ッ ト ワ ー ク ロ ー ミ ン グ の後で ク ラ イ ア ン ト に使用 さ れ ま す。こ の設定 は、さ ま ざ ま な IP プ ロ ト コ ルのネ ッ ト ワ ー ク 間の ロ ー ミ ン グ を サポー ト す る う え で重要で す(IPv4 か ら IPv6 な ど )。 注 AnyConnect プ ロ フ ァ イ ルに あ る ASA FQDN を使用 し て ロ ー ミ ン グ後に ASA IP ア ド レ ス を取得す る こ と はで き ま せん。ア ド レ ス が ロ ー ド バ ラ ン シ ン グ シナ リ オの正 し いデバ イ ス ( ト ン ネルが確立 さ れてい る デバ イ ス ) と 一致 し ない場合が あ り ま す。 デバ イ ス の FQDN が ク ラ イ ア ン ト に配信 さ れない場合、ク ラ イ ア ン ト は、以前に ト ン ネルが 確立 さ れてい る IP ア ド レ ス への再接続を試み ま す。異な る IP プ ロ ト コ ル(IPv4 か ら IPv6)の ネ ッ ト ワ ー ク 間の ロ ー ミ ン グ を サポー ト す る には、AnyConnect は、ト ン ネルの再確立に使用 す る ASA ア ド レ ス を決定で き る よ う に、ロ ー ミ ン グ後にデバ イ ス FQDN の名前解決を行 う 必要が あ り ま す。ク ラ イ ア ン ト は、初期接続中にプ ロ フ ァ イ ルに存在す る ASA FQDN を使用 し ま す。以後のセ ッ シ ョ ン再接続では、使用可能な場合は常に、ASA に よ っ て プ ッ シ ュ さ れ た( ま た、グループ ポ リ シーで管理者が設定 し た)デバ イ ス FQDN を使用 し ま す。FQDN が設 定 さ れていない場合、ASA は、[Device Setup] > [Device Name/Password and Domain Name] の 設定内容か ら デバ イ ス FQDN を取得(お よ び ク ラ イ ア ン ト に送信) し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-15 第3章 一般的な VPN 設定 グループ ポ リ シー デバ イ ス FQDN が ASA に よ っ てプ ッ シ ュ さ れていない場合、ク ラ イ ア ン ト は、異な る IP プ ロ ト コ ルのネ ッ ト ワ ー ク 間の ロ ー ミ ン グ後に VPN セ ッ シ ョ ン を再確立で き ま せん。 • [MTU]:SSL 接続の MTU サ イ ズ を調整 し ま す。256 ~ 1410 バ イ ト の範囲で値を入力 し ま す。 デ フ ォ ル ト では、IP/UDP/DTLS のオーバーヘ ッ ド 分を差 し 引 き 、接続で使用す る イ ン タ ー フ ェ イ ス の MTU に基づいて、自動的に MTU サ イ ズが調整 さ れ ま す。 • [Keepalive Messages]:[Interval] フ ィ ール ド に 15 秒か ら 600 秒 ま での数 を 入力す る こ と に よ り 、接続が ア イ ド ルの時間がデバ イ ス に よ っ て制限 さ れて い る 場合で も 、キープ ア ラ イ ブ メ ッ セージ の間隔 を イ ネーブルお よ び調整 し て、プ ロ キ シ、フ ァ イ ア ウ ォ ール、ま たは NAT デバ イ ス を 通 し た接続 を 確実に開い た ま ま にす る こ と がで き ま す。ま た、間隔 を 調整す る こ と に よ り 、リ モー ト ユーザが、Microsoft Outlook や Microsoft Internet Explorer な ど の ソ ケ ッ ト ベー ス の ア プ リ ケーシ ョ ン を 実際に実行 し て い な い と き で も 、ク ラ イ ア ン ト が切断 と 再 接続 を 行わ な い こ と が保証 さ れ ま す。 • [Optional Client Modules to Download]:ダ ウ ン ロ ー ド 時間を最小限に抑え る ために、AnyConnect ク ラ イ ア ン ト は、サポー ト す る 各機能で必要 と さ れ る モジ ュ ールだけ を(ASA か ら )ダ ウ ン ロ ー ド す る よ う に要求 し ます。次の よ う な他の機能を イ ネーブルにす る モジ ュ ールの名前を 指定す る 必要があ り ます。AnyConnect ク ラ イ ア ン ト のバージ ョ ン 4.0 には、次のモジ ュ ールが 含ま れてい ます(旧バージ ョ ン ではモジ ュ ールの数が少な く な り ます)。 – AnyConnect DART: ト ラ ブルシ ュ ーテ ィ ン グ情報を簡単に Cisco TAC に送信で き る よ う に、シ ス テ ム ロ グ の ス ナ ッ プシ ョ ッ ト お よ びその他の診断情報が キ ャ プチ ャ さ れ、.zip フ ァ イ ルがデ ス ク ト ッ プに作成 さ れ ま す。 – AnyConnect ネ ッ ト ワ ー ク ア ク セ ス マネージ ャ :以前は Cisco Secure Services Client と 呼 ばれてい ま し た。こ のモ ジ ュ ールでは、802.1X( レ イ ヤ 2)が提供 さ れ、有線ネ ッ ト ワ ー ク お よ び ワ イ ヤ レ ス ネ ッ ト ワ ー ク への ア ク セ ス のデバ イ ス 認証が AnyConnect に統合 さ れ ま す。 – AnyConnect SBL:Start Before Logon(SBL)では、Windows の ロ グ イ ン ダ イ ア ロ グ ボ ッ ク ス が表示 さ れ る 前に AnyConnect を開始す る こ と に よ り 、ユーザ を Windows への ロ グ イ ン前 に VPN 接続を介 し て企業 イ ン フ ラ へ強制的に接続 さ せ ます。 – AnyConnect Web セ キ ュ リ テ ィ モ ジ ュ ール:以前は ScanSafe Hostscan と 呼ばれてい ま し た。こ のモ ジ ュ ールは、AnyConnect に統合 さ れてい ま す。 – AnyConnect テ レ メ ト リ モ ジ ュ ール:悪意の あ る コ ン テ ン ツ の発信元に関す る 情報を Cisco IronPort Web セ キ ュ リ テ ィ ア プ ラ イ ア ン ス (WSA)に送信 し ま す。WSA では、こ の デー タ を使用 し て、URL の フ ィ ル タ リ ン グ ルール を改善 し ま す。 注 テ レ メ ト リ モ ジ ュ ールは AnyConnect バージ ョ ン 4.0 ではサポー ト さ れ ま せん。 – AnyConnect ポ ス チ ャ モ ジ ュ ール:以前は Cisco Secure Desktop HostScan 機能 と 呼ばれて い ま し た。ポ ス チ ャ モ ジ ュ ールが AnyConnect に統合 さ れ、AnyConnect で、ASA への リ モー ト ア ク セ ス 接続を作成す る 前にポ ス チ ャ ア セ ス メ ン ト の ク レ デン シ ャ ル を収集す る こ と がで き ま す。 • [Always-On VPN]:AnyConnect サービ ス プ ロ フ ァ イ ルの常時接続 VPN フ ラ グ設定をデ ィ セー ブルにす る か、ま たは AnyConnect サービ ス プ ロ フ ァ イ ル設定を使用す る 必要があ る か を決定 し ます。常時接続 VPN 機能に よ り 、ユーザが コ ン ピ ュ ー タ に ロ グオ ンす る と 、AnyConnect は VPN セ ッ シ ョ ン を自動的に確立 し ます。VPN セ ッ シ ョ ンは、ユーザが コ ン ピ ュ ー タ か ら ロ グオ フす る ま で維持 さ れ ます。物理的な接続が失われて も セ ッ シ ョ ンは維持 さ れ、AnyConnect は、 適応型セキ ュ リ テ ィ アプ ラ イ ア ン ス と の物理的な接続の再確立を絶えず試行 し 、VPN セ ッ シ ョ ン を再開 し ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-16 第3章 一般的な VPN 設定 グループ ポ リ シー 常時接続 VPN に よ っ て、企業ポ リ シーを適用 し て、セキ ュ リ テ ィ 脅威か ら デバ イ ス を保護で き ます。常時接続 VPN を使用 し て、エ ン ド ポ イ ン ト が信頼ネ ッ ト ワー ク 内ではない場合にいつで も AnyConnect が VPN セ ッ シ ョ ン を確立 し た こ と を確認で き ます。イ ネーブルにす る と 、接続 が存在 し ない場合のネ ッ ト ワ ー ク 接続の管理方法を決定す る ポ リ シーが設定 さ れます。 注 • 常時接続 VPN には、AnyConnect セキ ュ ア モ ビ リ テ ィ 機能を サポー ト す る AnyConnect リ リ ース が必要です。 [Client Profiles to Download]:プ ロ フ ァ イ ルは、AnyConnect ク ラ イ ア ン ト で VPN、ネ ッ ト ワー ク ア ク セ ス マネージ ャ、Web セキ ュ リ テ ィ 、およびテ レ メ ト リ の設定に使用 さ れる コ ン フ ィ ギ ュ レー シ ョ ン パ ラ メ ータ のグループです。[Add] を ク リ ッ ク し て [Select Anyconnect Client Profiles] ウ ィ ン ド ウ を起動する と 、グループ ポ リ シー用に以前に作成 さ れたプ ロ フ ァ イ ルを指定で き ます。 AnyConnect ト ラ フ ィ ッ ク に対する スプ リ ッ ト ト ンネ リ ングの設定 ス プ リ ッ ト ト ン ネ リ ン グは、VPN ト ン ネル(暗号化) と VPN ト ン ネル外の他のネ ッ ト ワ ー ク ト ラ フ ィ ッ ク (非暗号化、つ ま り 「 ク リ ア テ キ ス ト 」)を介 し て一部の AnyConnect ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を誘導 し ま す。 ス プ リ ッ ト ト ン ネ リ ン グ を設定す る には、ス プ リ ッ ト ト ン ネ リ ン グ ポ リ シーを作成 し 、そのポ リ シーに ア ク セ ス コ ン ト ロ ール リ ス ト を設定 し 、グループ ポ リ シーに ス プ リ ッ ト ト ン ネル ポ リ シーを追加 し ま す。グループ ポ リ シーを ク ラ イ ア ン ト に送信す る 際に、ク ラ イ ア ン ト は ス プ リ ッ ト ト ン ネ リ ン グ ポ リ シーの ACL を使用 し て ど こ にネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を送信す る か を決定 し ま す。 Windows ク ラ イ ア ン ト では、最初に ASA か ら の フ ァ イ ア ウ ォ ール ルールが評価 さ れ、次に ク ラ イ ア ン ト の フ ァ イ ア ウ ォ ール ルールが評価 さ れ ま す。Mac OS X では、ク ラ イ ア ン ト の フ ァ イ ア ウ ォ ール ルールお よ び フ ィ ル タ ルールは使用 さ れ ま せん。Linux シ ス テ ム の AnyConnect バー ジ ョ ン 3.1.05149 以降では、circumvent-host-filtering と い う 名前の カ ス タ ム属性を グループ プ ロ フ ァ イ ルに追加 し て true に設定す る こ と で、ク ラ イ ア ン ト の フ ァ イ ア ウ ォ ール ルールお よ び フ ィ ル タ ルール を評価す る よ う に AnyConnect を設定で き ま す。 ア ク セ ス リ ス ト を作成す る 場合: • ア ク セ ス コ ン ト ロ ール リ ス ト には IPv4 お よ び IPv6 両方の ア ド レ ス を指定で き ま す。 • 標準 ACL を使用す る と 、1 つの ア ド レ ス ま たはネ ッ ト ワ ー ク のみが使用 さ れ ま す。 • 拡張 ACL を使用す る と 、ソ ー ス ネ ッ ト ワ ー ク が ス プ リ ッ ト ト ン ネ リ ン グ ネ ッ ト ワ ー ク にな り ま す。こ の場合、宛先ネ ッ ト ワ ー ク は無視 さ れ ま す。 • any が設定 さ れた ア ク セ ス リ ス ト や、split include ま たは split exclude が 0.0.0.0/0.0.0.0 ま たは ::/0 に設定 さ れた ア ク セ ス リ ス ト は、ク ラ イ ア ン ト に送信 さ れ ま せん。すべての ト ラ フ ィ ッ ク を ト ン ネル経由で送信す る には、ス プ リ ッ ト ト ン ネル ポ リ シーに対 し て [Tunnel All Networks] を選択 し ま す。 • ア ド レ ス 0.0.0.0/255.255.255.255 ま たは ::/128 は、ス プ リ ッ ト ト ン ネル ポ リ シーが [Exclude Network List Below] の場合にのみ ク ラ イ ア ン ト に送信 さ れ ま す。こ の設定は、ト ン ネル ト ラ フ ィ ッ ク が ロ ーカル サブネ ッ ト 宛で ない こ と を ク ラ イ ア ン ト に通知 し ま す。 • AnyConnect では、ス プ リ ッ ト ト ン ネ リ ン グ ポ リ シーで指定 さ れたすべてのサ イ ト 、お よ び ASA に よ っ て割 り 当て ら れた IP ア ド レ ス と 同 じ サブネ ッ ト 内に含 ま れ る すべてのサ イ ト に ト ラ フ ィ ッ ク を渡 し ま す。た と えば、ASA に よ っ て割 り 当て ら れた IP ア ド レ ス が 10.1.1.1、マ ス ク が 255.0.0.0 の場合、エ ン ド ポ イ ン ト デバ イ ス は、ス プ リ ッ ト ト ン ネ リ ン グ ポ リ シーに 関係な く 、10.0.0.0/8 を宛先 と す る すべて の ト ラ フ ィ ッ ク を渡 し ま す。そのため、割 り 当て ら れた IP ア ド レ ス が、期待 さ れ る ロ ーカル サブネ ッ ト を適切に参照す る よ う に、ネ ッ ト マ ス ク を使用 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-17 第3章 一般的な VPN 設定 グループ ポ リ シー は じ める前に 注 • 適切な ACE で ア ク セ ス リ ス ト を作成す る 必要が あ り ま す。 • ス プ リ ッ ト ト ン ネル ポ リ シーを IPv4 ネ ッ ト ワ ー ク 用 と IPv6 ネ ッ ト ワ ー ク 用に作成 し た場 合は、指定 し た ネ ッ ト ワ ー ク リ ス ト が両方のプ ロ ト コ ルで使用 さ れ ま す。こ のため、ネ ッ ト ワ ー ク リ ス ト には、IPv4 お よ び IPv6 の両方の ト ラ フ ィ ッ ク のア ク セ ス コ ン ト ロ ール エ ン ト リ (ACE)が含 ま れてい る 必要が あ り ま す。こ れ ら の ACL を作成 し ていない場合は、一般的な 操作の コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド を参照 し て く だ さ い。 ス プ リ ッ ト ト ン ネ リ ン グはセ キ ュ リ テ ィ 機能ではな く 、ト ラ フ ィ ッ ク 管理機能です。最大限のセ キ ュ リ テ ィ を確保す る には、ス プ リ ッ ト ト ン ネ リ ン グ を イ ネーブルに し ない こ と を推奨 し ま す。 次の手順では、フ ィ ール ド の隣に [Inherit] チ ェ ッ ク ボ ッ ク ス が あ る すべての ケー ス で、[Inherit] チ ェ ッ ク ボ ッ ク ス がオ ン の ま ま の場合、設定 し てい る グループ ポ リ シーは、その フ ィ ール ド につ いて、デ フ ォ ル ト グループ ポ リ シー と 同 じ 値を使用す る こ と を意味 し ま す。[Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ にす る と 、グループ ポ リ シーに固有の新 し い値を指定で き ま す。 ステ ッ プ 1 ASDM を使用 し て ASA に接続 し 、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] に移動 し ま す。 ステ ッ プ 2 [Add] を ク リ ッ ク し て新 し い グループ ポ リ シーを追加す る か、既存の グループ ポ リ シー を選択 し て [Edit] を ク リ ッ ク し ま す。 ステ ッ プ 3 [Advanced] > [Split Tunneling] を選択 し ま す。 ステ ッ プ 4 [DNS Names] フ ィ ール ド に、ト ン ネル を 介 し て AnyConnect で解決す る ド メ イ ン 名 を 入力 し ま す。こ れ ら の名前は、プ ラ イ ベー ト ネ ッ ト ワ ー ク 上の ホ ス ト に対応 し ま す。split-include ト ン ネ リ ン グ が設定 さ れて い る 場合は、指定 さ れた DNS サーバがネ ッ ト ワ ー ク リ ス ト に含 ま れて い る 必要が あ り ま す。フ ィ ール ド には、完全修飾 ド メ イ ン 名、IPv4 ア ド レ ス 、ま たは IPv6 ア ド レ ス を 入力で き ま す。 ステ ッ プ 5 ス プ リ ッ ト ト ン ネ リ ン グ をデ ィ セーブルにす る には、[Yes] を ク リ ッ ク し て [Send All DNS Lookups Through Tunnel] を イ ネーブルに し ます。こ のオプシ ョ ン を設定す る と 、DNS ト ラ フ ィ ッ ク が物理ア ダプ タ に漏れず、ク リ ア テ キ ス ト で送信 さ れ る ト ラ フ ィ ッ ク が拒否 さ れ ます。DNS 解決に失敗す る と 、ア ド レ ス は未解決の ま ま残 り ます。AnyConnect ク ラ イ ア ン ト は、VPN 外のア ド レ ス を解決 し よ う と は し ません。 ス プ リ ッ ト ト ン ネ リ ン グ を イ ネーブルにす る には、[No] を選択 し ま す(デ フ ォ ル ト )。こ の設定で は、ク ラ イ ア ン ト は ス プ リ ッ ト ト ン ネル ポ リ シーに従っ て ト ン ネル を介 し て DNS ク エ リ を送信 し ま す。 ステ ッ プ 6 ス プ リ ッ ト ト ンネ リ ン グ を設定する には、[Inherit] チ ェ ッ ク ボ ッ ク ス をオフに し、スプ リ ッ ト ト ンネ リ ン グ ポ リ シーを選択し ます。[Inherit] チェ ッ ク ボ ッ ク ス をオフに し ない場合、グループ ポ リ シーで は、デフ ォル ト グループ ポ リ シーであ る DfltGrpPolicy で定義 さ れた ス プ リ ッ ト ト ンネ リ ン グ設定 が使用 さ れます。デフ ォル ト グループ ポ リ シーのス プ リ ッ ト ト ンネ リ ン グ ポ リ シーのデフ ォル ト 設定は [Tunnel All Networks] です。 ス プ リ ッ ト ト ン ネ リ ン グ ポ リ シーを定義す る には、ド ロ ッ プダ ウ ン [Policy] お よ び [IPv6 Policy] か ら 選択 し ま す。[Policy] フ ィ ール ド では、IPv4 ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク の ス プ リ ッ ト ト ン ネ リ ン グ ポ リ シーを定義 し ま す。[IPv6 Policy] フ ィ ール ド では、IPv6 ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク の ス プ リ ッ ト ト ン ネ リ ン グ ポ リ シーを選択 し ま す。そ う し た違い以外は、こ れ ら の フ ィ ール ド の 目的は同 じ です。 [Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ に し た ら 、次のいずれかのポ リ シー オプシ ョ ン を選択で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-18 第3章 一般的な VPN 設定 グループ ポ リ シー • [Exclude Network List Below]: ク リ ア テキ ス ト で送信 さ れ る ト ラ フ ィ ッ ク の宛先ネ ッ ト ワー ク の リ ス ト を定義 し ます。こ の機能は、社内ネ ッ ト ワー ク に ト ン ネルを介 し て接続 し なが ら 、ロ ーカ ル ネ ッ ト ワー ク 上のデバ イ ス(プ リ ン タ な ど)にア ク セ スする リ モー ト ユーザに と っ て役立ち ます。 • [Tunnel Network List Below]:[Network List] で指定 さ れた ネ ッ ト ワ ー ク 間のすべての ト ラ フ ィ ッ ク が ト ン ネ リ ン グ さ れ ま す。イ ン ク ルー ド ネ ッ ト ワ ー ク リ ス ト 内の ア ド レ ス への ト ラ フ ィ ッ ク が ト ン ネ リ ン グ さ れ ま す。その他すべての ア ド レ ス に対す る デー タ は、ク リ ア テ キ ス ト で送信 さ れ、リ モー ト ユーザの イ ン タ ーネ ッ ト サービ ス プ ロ バ イ ダーに よ っ てルー テ ィ ン グ さ れ ま す。 ASA 9.1.4 以降のバージ ョ ン では、イ ン ク ルー ド リ ス ト を指定す る と き に、イ ン ク ルー ド 範 囲内のサブネ ッ ト にエ ク ス ク ルー ド リ ス ト も 指定で き ま す。こ れ ら の除外 さ れたサブネ ッ ト は ト ン ネ リ ン グ さ れず、イ ン ク ルー ド リ ス ト の残 り のネ ッ ト ワ ー ク は ト ン ネ リ ン グ さ れ ま す。イ ン ク ルー ド リ ス ト のサブネ ッ ト ではないエ ク ス ク ルージ ョ ン リ ス ト 内のネ ッ ト ワ ー ク は、ク ラ イ ア ン ト で無視 さ れ ま す。Linux の場合、サブネ ッ ト の除外を サポー ト す る に は、グループ ポ リ シーに カ ス タ ム属性を追加す る 必要が あ り ま す。 次に例を示 し ま す。 注 Split-Include ネ ッ ト ワ ー ク が ロ ーカル サブネ ッ ト の完全一致(192.168.1.0/24 な ど)の場 合、対応す る ト ラ フ ィ ッ ク は ト ン ネ リ ン グ さ れてい ま す。Split-Include ネ ッ ト ワ ー ク が ロ ーカル サブネ ッ ト の ス ーパーセ ッ ト (192.168.0.0/16 な ど)の場合、対応す る ト ラ フ ィ ッ ク は、ロ ーカル サブネ ッ ト を除 き 、ト ン ネ リ ン グ さ れてい ま す。ロ ーカル サブネ ッ ト ト ラ フ ィ ッ ク も ト ン ネ リ ン グす る には、一致す る Split-Include ネ ッ ト ワ ー ク (192.168.1.0/24 お よ び 192.168.0.0/16 の両方を Split-Include ネ ッ ト ワ ー ク と し て指定)を追加す る 必要があ り ま す。 Split-Include ネ ッ ト ワ ー ク が無効(0.0.0.0/0.0.0.0 な ど)の場合、ス プ リ ッ ト ト ン ネ リ ン グは デ ィ セーブルにな り ます(すべての ト ラ フ ィ ッ ク が ト ン ネ リ ン グ さ れ ま す)。 • ステ ッ プ 7 [Tunnel All Networks]: こ のポ リ シーは、すべての ト ラ フ ィ ッ ク が ト ン ネ リ ン グ さ れ る よ う に 指定 し ま す。こ の指定では、実質的に ス プ リ ッ ト ト ン ネ リ ン グは無効にな り ま す。リ モー ト ユーザは企業ネ ッ ト ワ ー ク を経由 し て イ ン タ ーネ ッ ト に ア ク セ ス し ま すが、ロ ーカル ネ ッ ト ワ ー ク にはア ク セ ス で き ま せん。こ れがデ フ ォ ル ト のオプシ ョ ン です。 [Network List] フ ィ ール ド で、ス プ リ ッ ト ト ン ネ リ ン グ ポ リ シーを適用す る ア ク セ ス コ ン ト ロ ー ル リ ス ト を選択 し ま す [Inherit] チ ェ ッ ク ボ ッ ク ス がオ ン の場合、グループ ポ リ シーはデ フ ォ ル ト グループ ポ リ シーで指定 さ れてい る ネ ッ ト ワ ー ク リ ス ト を使用 し ま す。 [Manage] コ マ ン ド ボ タ ン を選択 し て [ACL Manager] ダ イ ア ロ グ ボ ッ ク ス を開 き ま す。こ のボ ッ ク ス では、ネ ッ ト ワ ー ク リ ス ト と し て使用す る ア ク セ ス コ ン ト ロ ール リ ス ト を設定で き ま す。ネ ッ ト ワ ー ク リ ス ト を作成 ま たは編集す る 方法の詳細については、一般的な操作の コ ン フ ィ ギ ュ レー シ ョ ン ガ イ ド を参照 し て く だ さ い。 拡張 ACL リ ス ト には IPv4 ア ド レ ス と IPv6 ア ド レ ス の両方を含め る こ と がで き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-19 第3章 一般的な VPN 設定 グループ ポ リ シー ステ ッ プ 8 ステ ッ プ 9 [Intercept DHCP Configuration Message from Microsoft Clients] は DHCP 代行受信に固有の追加パ ラ メ ー タ を示 し ま す。DHCP 代行受信に よ っ て Microsoft XP ク ラ イ ア ン ト は、ASAで ス プ リ ッ ト ト ン ネ リ ン グ を使用で き る よ う にな り ま す。 • [Intercept]:DHCP 代行受信を許可す る か ど う か を指定 し ま す。[Inherit] を選択 し ない場合、デ フ ォ ル ト 設定は [No] です。 • [Subnet Mask]:使用す る サブネ ッ ト マ ス ク を選択 し ま す。 [OK] を ク リ ッ ク し ま す。 サブネ ッ ト の除外をサポー ト するための Linux の設定 ス プ リ ッ ト ト ン ネ リ ン グ用に [Tunnel Network List Below] を設定 し た場合、Linux ではサブネ ッ ト の除外を サポー ト す る ために追加の設定が必要にな り ま す。circumvent-host-filtering と い う 名 前の カ ス タ ム属性を作成 し て true に設定 し 、ス プ リ ッ ト ト ン ネ リ ン グ用に設定 さ れた グループ ポ リ シーに関連付け る 必要が あ り ま す。 ステ ッ プ 1 ASDM に接続 し 、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Custom Attributes] に移動 し ま す。 ステ ッ プ 2 [Add] を ク リ ッ ク し 、circumvent-host-filtering と い う 名前の カ ス タ ム属性を作成 し て、その値を true に設定 し ま す。 ステ ッ プ 3 ク ラ イ ア ン ト フ ァ イ ア ウ ォ ールに使用す る グループ ポ リ シーを編集 し 、[Advanced] > [AnyConnect Client] > [Custom Attributes] に移動 し ま す。 ステ ッ プ 4 作成 し た カ ス タ ム属性 circumvent-host-filtering を ス プ リ ッ ト ト ン ネ リ ン グ に使用す る グルー プ ポ リ シーに追加 し ま す。 内部グループ ポ リ シー、AnyConnect ク ラ イ ア ン ト 属性 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [Advanced] > [AnyConnect Client] には、こ のグループ ポ リ シーで設定可能な AnyConnect ク ラ イ ア ン ト の属性が表示 さ れます。 • 注 [Keep Installer on Client System]: リ モー ト コ ン ピ ュ ー タ 上で永続的な ク ラ イ ア ン ト の イ ン ス ト ール を可能に し ま す。こ れ を イ ネーブルにす る こ と に よ り 、ク ラ イ ア ン ト の自動的な ア ン イ ン ス ト ール機能がデ ィ セーブルにな り ま す。ク ラ イ ア ン ト は、後続の接続のために リ モー ト コ ン ピ ュ ー タ に イ ン ス ト ール さ れた ま ま なので、リ モー ト ユーザの接続時間が短縮 さ れ ま す。 [Keep Installer on Client System] は、AnyConnect ク ラ イ ア ン ト のバージ ョ ン 2.5 以降でサ ポー ト さ れてい ま せん。 • [Datagram Transport Layer Security (DTLS)]:一部の SSL 接続に関連す る 遅延 と 帯域幅の問 題 を 回避 し 、パ ケ ッ ト 遅延の影響 を 受けやすい リ アル タ イ ム ア プ リ ケーシ ョ ン のパ フ ォ ー マ ン ス を 改善 し ま す。 • [DTLS Compression]:DTLS におけ る 圧縮を設定 し ま す。 • [SSL Compression]:SSL/TLS におけ る 圧縮を設定 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-20 第3章 一般的な VPN 設定 グループ ポ リ シー • [Ignore Don't Defrag (DF) Bit]: こ の機能では、DF ビ ッ ト が設定 さ れてい る パケ ッ ト を強制的 に フ ラ グ メ ン テーシ ョ ン し て、ト ン ネル を通過 さ せ る こ と がで き ま す。使用例 と し て、TCP MSS ネ ゴ シ エーシ ョ ン に適切に応答 し ないネ ッ ト ワ ー ク のサーバに対す る 使用な ど が あ り ま す。 • [Client Bypass Protocol]: ク ラ イ ア ン ト プ ロ ト コ ル バ イ パ ス では、ASA が IPv6 ト ラ フ ィ ッ ク だけ を予期 し てい る と き の IPv4 ト ラ フ ィ ッ ク の管理方法や、IPv4 ト ラ フ ィ ッ ク だけ を予期 し てい る と き の IPv6 ト ラ フ ィ ッ ク の管理方法を設定 し ま す。 AnyConnect ク ラ イ ア ン ト が ASA に VPN 接続す る と き に、ASA は IPv4 と IPv6 の一方 ま た は両方の ア ド レ ス を割 り 当て ま す。ク ラ イ ア ン ト バ イ パ ス プ ロ ト コ ルでは、ASA が IP ア ド レ ス を割 り 当て な か っ た ト ラ フ ィ ッ ク を ド ロ ッ プす る か、ま たは ASA を バ イ パ ス し て ク ラ イ ア ン ト か ら の暗号化な し 、つ ま り 「 ク リ ア テ キ ス ト 」 と し ての送信を許可す る か を決定 し ま す。 た と えば、IPv4 ア ド レ ス のみ AnyConnect 接続に割 り 当て ら れ、エ ン ド ポ イ ン ト がデ ュ アル ス タ ッ ク さ れてい る と 想定 し て く だ さ い。こ のエ ン ド ポ イ ン ト が IPv6 ア ド レ ス への到達を 試みた と き に、ク ラ イ ア ン ト バ イ パ ス プ ロ ト コ ル機能がデ ィ セーブルの場合は、IPv6 ト ラ フ ィ ッ ク が ド ロ ッ プ さ れ ま すが、ク ラ イ ア ン ト バ イ パ ス プ ロ ト コ ルが イ ネーブルの場合は、 IPv6 ト ラ フ ィ ッ ク は ク ラ イ ア ン ト か ら ク リ ア テ キ ス ト と し て送信 さ れ ま す。 • [FQDN of This Device]: こ の情報は、VPN セ ッ シ ョ ン の再確立で使用 さ れ る ASA IP ア ド レ ス を解決す る ために、ネ ッ ト ワ ー ク ロ ー ミ ン グ の後で ク ラ イ ア ン ト に使用 さ れ ま す。こ の設定 は、さ ま ざ ま な IP プ ロ ト コ ルのネ ッ ト ワ ー ク 間の ロ ー ミ ン グ を サポー ト す る う え で重要で す(IPv4 か ら IPv6 な ど )。 注 AnyConnect プ ロ フ ァ イ ルに あ る ASA FQDN を使用 し て ロ ー ミ ン グ後に ASA IP ア ド レ ス を取得す る こ と はで き ま せん。ア ド レ ス が ロ ー ド バ ラ ン シ ン グ シナ リ オの正 し いデバ イ ス ( ト ン ネルが確立 さ れてい る デバ イ ス ) と 一致 し ない場合が あ り ま す。 デバ イ ス の FQDN が ク ラ イ ア ン ト に配信 さ れない場合、ク ラ イ ア ン ト は、以前に ト ン ネルが 確立 さ れてい る IP ア ド レ ス への再接続を試み ま す。異な る IP プ ロ ト コ ル(IPv4 か ら IPv6)の ネ ッ ト ワ ー ク 間の ロ ー ミ ン グ を サポー ト す る には、AnyConnect は、ト ン ネルの再確立に使用 す る ASA ア ド レ ス を決定で き る よ う に、ロ ー ミ ン グ後にデバ イ ス FQDN の名前解決を行 う 必要が あ り ま す。ク ラ イ ア ン ト は、初期接続中にプ ロ フ ァ イ ルに存在す る ASA FQDN を使用 し ま す。以後のセ ッ シ ョ ン再接続では、使用可能な場合は常に、ASA に よ っ て プ ッ シ ュ さ れ た( ま た、グループ ポ リ シーで管理者が設定 し た)デバ イ ス FQDN を使用 し ま す。FQDN が設 定 さ れていない場合、ASA は、[Device Setup] > [Device Name/Password and Domain Name] の 設定内容か ら デバ イ ス FQDN を取得(お よ び ク ラ イ ア ン ト に送信) し ま す。 デバ イ ス FQDN が ASA に よ っ てプ ッ シ ュ さ れていない場合、ク ラ イ ア ン ト は、異な る IP プ ロ ト コ ルのネ ッ ト ワ ー ク 間の ロ ー ミ ン グ後に VPN セ ッ シ ョ ン を再確立で き ま せん。 • [MTU]:SSL 接続の MTU サ イ ズ を調整 し ま す。256 ~ 1410 バ イ ト の範囲で値を入力 し ま す。 デ フ ォ ル ト では、IP/UDP/DTLS のオーバーヘ ッ ド 分を差 し 引 き 、接続で使用す る イ ン タ ー フ ェ イ ス の MTU に基づいて、自動的に MTU サ イ ズが調整 さ れ ま す。 • [Keepalive Messages]:[Interval] フ ィ ール ド に 15 秒か ら 600 秒 ま での数 を 入力す る こ と に よ り 、接続が ア イ ド ルの時間がデバ イ ス に よ っ て制限 さ れて い る 場合で も 、キープ ア ラ イ ブ メ ッ セージ の間隔 を イ ネーブルお よ び調整 し て、プ ロ キ シ、フ ァ イ ア ウ ォ ール、ま たは NAT デバ イ ス を 通 し た接続 を 確実に開い た ま ま にす る こ と がで き ま す。ま た、間隔 を 調整す る こ と に よ り 、リ モー ト ユーザが、Microsoft Outlook や Microsoft Internet Explorer な ど の ソ ケ ッ ト ベー ス の ア プ リ ケーシ ョ ン を 実際に実行 し て い な い と き で も 、ク ラ イ ア ン ト が切断 と 再 接続 を 行わ な い こ と が保証 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-21 第3章 一般的な VPN 設定 グループ ポ リ シー • [Optional Client Modules to Download]:ダ ウ ン ロ ー ド 時間を最小限に抑え る ために、AnyConnect ク ラ イ ア ン ト は、サポー ト す る各機能で必要 と さ れ る モジ ュールだけ を(ASA か ら )ダ ウ ン ロ ー ド する よ う に要求 し ます。次の よ う な他の機能を イ ネーブルにする モジ ュールの名前を指定する 必要があ り ます。AnyConnect ク ラ イ ア ン ト のバージ ョ ン 4.0 には、次のモジ ュールが含まれてい ます(旧バージ ョ ンではモジ ュールの数が少な く な り ます)。 – AnyConnect DART: ト ラ ブルシ ュ ーテ ィ ン グ情報を簡単に Cisco TAC に送信で き る よ う に、シ ス テ ム ロ グ の ス ナ ッ プシ ョ ッ ト お よ びその他の診断情報が キ ャ プチ ャ さ れ、.zip フ ァ イ ルがデ ス ク ト ッ プに作成 さ れ ま す。 – AnyConnect ネ ッ ト ワ ー ク ア ク セ ス マネージ ャ :以前は Cisco Secure Services Client と 呼 ばれてい ま し た。こ のモ ジ ュ ールでは、802.1X( レ イ ヤ 2)が提供 さ れ、有線ネ ッ ト ワ ー ク お よ び ワ イ ヤ レ ス ネ ッ ト ワ ー ク への ア ク セ ス のデバ イ ス 認証が AnyConnect に統合 さ れ ま す。 – AnyConnect SBL:Start Before Logon(SBL)では、Windows の ロ グ イ ン ダ イ ア ロ グ ボ ッ ク ス が表示 さ れ る 前に AnyConnect を開始す る こ と に よ り 、ユーザ を Windows への ロ グ イ ン前 に VPN 接続を介 し て企業 イ ン フ ラ へ強制的に接続 さ せ ます。 – AnyConnect Web セ キ ュ リ テ ィ モ ジ ュ ール:以前は ScanSafe Hostscan と 呼ばれてい ま し た。こ のモ ジ ュ ールは、AnyConnect に統合 さ れてい ま す。 – AnyConnect テ レ メ ト リ モジ ュ ール:悪意のあ る コ ン テ ン ツ の発信元に関す る 情報を Cisco IronPort Web セ キ ュ リ テ ィ アプ ラ イ ア ン ス(WSA)に送信 し ます。WSA では、こ のデー タ を 使用 し て、URL の フ ィ ル タ リ ン グ ルールを改善 し ます。 注 テ レ メ ト リ は AnyConnect 4.0 ではサポー ト さ れ ま せん。 – AnyConnect ポ ス チ ャ モ ジ ュ ール:以前は Cisco Secure Desktop HostScan 機能 と 呼ばれて い ま し た。ポ ス チ ャ モ ジ ュ ールが AnyConnect に統合 さ れ、AnyConnect で、ASA への リ モー ト ア ク セ ス 接続を作成す る 前にポ ス チ ャ ア セ ス メ ン ト の ク レ デン シ ャ ル を収集す る こ と がで き ま す。 • [Always-On VPN]:AnyConnect サービ ス プ ロ フ ァ イ ルの常時接続 VPN フ ラ グ設定をデ ィ セー ブルにす る か、ま たは AnyConnect サービ ス プ ロ フ ァ イ ル設定を使用す る 必要があ る か を決定 し ます。常時接続 VPN 機能に よ り 、ユーザが コ ン ピ ュ ー タ に ロ グオ ンす る と 、AnyConnect は VPN セ ッ シ ョ ン を自動的に確立 し ます。VPN セ ッ シ ョ ンは、ユーザが コ ン ピ ュ ー タ か ら ロ グオ フす る ま で維持 さ れ ます。物理的な接続が失われて も セ ッ シ ョ ンは維持 さ れ、AnyConnect は、 適応型セキ ュ リ テ ィ アプ ラ イ ア ン ス と の物理的な接続の再確立を絶えず試行 し 、VPN セ ッ シ ョ ン を再開 し ます。 常時接続 VPN に よ っ て、企業ポ リ シーを適用 し て、セ キ ュ リ テ ィ 脅威か ら デバ イ ス を保護で き ま す。常時接続 VPN を使用 し て、エ ン ド ポ イ ン ト が信頼ネ ッ ト ワ ー ク 内ではない場合にい つで も AnyConnect が VPN セ ッ シ ョ ン を確立 し た こ と を確認で き ます。イ ネーブルにす る と 、 接続が存在 し ない場合のネ ッ ト ワ ー ク 接続の管理方法を決定す る ポ リ シーが設定 さ れ ま す。 注 • 常時接続 VPN には、AnyConnect セ キ ュ ア モ ビ リ テ ィ 機能を サポー ト す る AnyConnect リ リ ー ス が必要です。 [Client Profiles to Download]:プ ロ フ ァ イ ルは、AnyConnect ク ラ イ ア ン ト で VPN、ネ ッ ト ワ ー ク ア ク セ ス マネージ ャ 、Web セ キ ュ リ テ ィ 、お よ びテ レ メ ト リ の設定に使用 さ れ る コ ン フ ィ ギ ュ レ ーシ ョ ン パ ラ メ ー タ の グループです。[Add] を ク リ ッ ク し て [Select AnyConnect Client Profiles] ウ ィ ン ド ウ を起動す る と 、グループ ポ リ シー用に以前に作成 さ れたプ ロ フ ァ イ ル を 指定で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-22 第3章 一般的な VPN 設定 グループ ポ リ シー 内部グループ ポ リ シー、AnyConnect ログ イ ン設定 内部グループ ポ リ シーの [Advanced] > [AnyConnect Client] > [Login Setting] ペ イ ン では、リ モー ト ユーザに AnyConnect ク ラ イ ア ン ト のダ ウ ン ロ ー ド を求め る プ ロ ン プ ト を表示す る よ う に、ま た は ク ラ イ ア ン ト レ ス SSL VPN のポー タ ル ページに接続を誘導す る よ う に ASA を設定で き ま す。 • [Post Login Setting]:ユーザにプ ロ ン プ ト を表示 し て、デ フ ォ ル ト のポ ス ト ロ グ イ ン選択を実 行す る ための タ イ ム ア ウ ト を設定す る 場合に選択 し ま す。 • [Default Post Login Selection]: ロ グ イ ン後に実行す る ア ク シ ョ ン を選択 し ま す。 ク ラ イ ア ン ト フ ァ イ アウ ォ ールを使用 し た VPN における ローカル デバイ スのサポー ト の有効化 内部グループ ポ リ シーの [Advanced] > [AnyConnect Client] > [Client Firewall] ペ イ ン では、ク ラ イ ア ン ト でのパブ リ ッ ク ネ ッ ト ワ ー ク と プ ラ イ ベー ト ネ ッ ト ワ ー ク の処理に影響す る ク ラ イ ア ン ト シ ス テ ム の フ ァ イ ア ウ ォ ールに送信す る ルールを設定で き ま す。 リ モー ト ユーザが ASA に接続する と 、すべての ト ラ フ ィ ッ ク がその VPN 接続を介し て ト ンネ リ ン グ さ れる ため、ユーザは ローカル ネ ッ ト ワー ク 上の リ ソ ース にア ク セ ス で き な く な り ます。こ う し た リ ソ ース には、ローカル コ ン ピ ュータ と 同期する プ リ ン タ、カ メ ラ、Windows Mobile デバ イ ス(テ ザー デバ イ ス)な どが含まれます。こ の問題は、ク ラ イ ア ン ト プ ロ フ ァ イ ルで [Local LAN Access] を 有効にする こ と で解消 さ れます。ただ し、ローカル ネ ッ ト ワー ク へのア ク セ ス が無制限にな る ため、 一部の企業ではセキ ュ リ テ ィ やポ リ シーについて懸念が生じ る可能性があ り ます。プ リ ン タやテ ザー デバ イ ス な ど特定タ イ プの ローカル リ ソ ースに対する ア ク セ ス を制限する エン ド ポ イ ン ト の OS のフ ァ イ ア ウ ォール ルールを導入する よ う に ASA を設定で き ます。 そのための操作 と し て、印刷用の特定ポー ト に対する ク ラ イ アン ト フ ァ イ ア ウ ォール ルールを有効 に し ます。ク ラ イ アン ト では、着信ルール と 発信ルールが区別れ さ ます。印刷機能の場合、ク ラ イ アン ト では発信接続に必要なポー ト は開放さ れますが、着信 ト ラ フ ィ ッ ク はすべてブ ロ ッ ク さ れます。 注 管理者 と し て ロ グ イ ン し たユーザは、ASA に よ り ク ラ イ ア ン ト へ展開 さ れた フ ァ イ ア ウ ォ ール ルール を修正で き る こ と に注意が必要です。限定的な権限を持つユーザは、ルール を修正で き ま せん。ど ち ら のユーザの場合 も 、接続が終了 し た時点で ク ラ イ ア ン ト に よ り フ ァ イ ア ウ ォ ール ルールが再適用 さ れ ま す。 ク ラ イ ア ン ト フ ァ イ ア ウ ォ ール を設定 し てい る 場合、ユーザが Active Directory(AD)サーバで認 証 さ れ る と 、ク ラ イ ア ン ト では引 き 続 き ASA の フ ァ イ ア ウ ォ ール ポ リ シーが適用 さ れ ま す。た だ し 、AD グループ ポ リ シーで定義 さ れたルールは、ク ラ イ ア ン ト フ ァ イ ア ウ ォ ールのルール よ り も 優先 さ れ ま す。 以下の項では、次の処理を行 う ための手順について説明 し ま す。 • ロ ーカル プ リ ン タ をサポー ト す る ための ク ラ イ ア ン ト フ ァ イ ア ウ ォ ールの導入(3-24 ページ) • VPN 用のテザー デバ イ ス サポー ト の設定(3-26 ページ) フ ァ イ アウ ォ ールの動作に関する注意事項 こ こ に記載 し たのは、AnyConnect ク ラ イ ア ン ト では フ ァ イ ア ウ ォ ールが ど の よ う に使用 さ れ る かについての注意事項です。 • フ ァ イ ア ウ ォ ール ルールには送信元 IP は使用 さ れ ま せん。ク ラ イ ア ン ト では、ASA か ら 送 信 さ れた フ ァ イ ア ウ ォ ール ルール内の送信元 IP 情報は無視 さ れ ま す。送信元 IP は、ルール がパブ リ ッ ク かプ ラ イ ベー ト かに応 じ て ク ラ イ ア ン ト が特定 し ま す。パブ リ ッ ク ルールは、 ク ラ イ ア ン ト 上のすべての イ ン タ ー フ ェ イ ス に適用 さ れ ま す。プ ラ イ ベー ト ルールは、仮想 ア ダプ タ に適用 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-23 第3章 一般的な VPN 設定 グループ ポ リ シー • ASA は、ACL ルールに対 し て数多 く のプ ロ ト コ ルをサポー ト し てい ます。ただ し 、AnyConnect の フ ァ イ ア ウ ォ ール機能でサポー ト さ れてい る のは、TCP、UDP、ICMP、お よ び IP のみです。ク ラ イ ア ン ト では、異な る プ ロ ト コ ルでルールが受信 さ れた場合、そのルールは無効な フ ァ イ ア ウ ォ ール ルール と し て処理 さ れ、さ ら にセキ ュ リ テ ィ 上の理由か ら ス プ リ ッ ト ト ン ネ リ ン グ が無効 と な り 、フル ト ン ネ リ ン グが使用 さ れ ます。 • ASA 9.0 か ら 、パブ リ ッ ク ネ ッ ト ワ ー ク ルールお よ びプ ラ イ ベー ト ネ ッ ト ワ ー ク ルールは、 ユニ フ ァ イ ド ア ク セ ス コ ン ト ロ ール リ ス ト を サポー ト し てい ま す。こ れ ら の ア ク セ ス コ ン ト ロ ール リ ス ト は、同 じ ルールで IPv4 お よ び IPv6 ト ラ フ ィ ッ ク を定義す る 場合に使用で き ま す。 ただ し 次の よ う に、オペ レ ーテ ィ ン グ シ ス テ ム に よ っ て動作が異な る ため注意が必要です。 • Windows コ ン ピ ュ ー タ の場合、Windows Firewall では拒否ルールが許可ルールに優先 し ま す。ASA に よ り 許可ルールが AnyConnect ク ラ イ ア ン ト へプ ッ シ ュ さ れて も 、ユーザが カ ス タ ム の拒否ルール を作成 し ていれば、AnyConnect ルールは適用 さ れ ま せん。 • Windows Vista の場合、フ ァ イ ア ウ ォ ール ルールが作成 さ れ る と 、Windows Vista ではポー ト 番 号の範囲がカ ン マ区切 り の文字列 と し て認識 さ れ ます。ポー ト 範囲は、最大で 300 ポー ト です (1 ~ 300、5000 ~ 5300 な ど)。指定 し た範囲が 300 ポー ト を超え る 場合は、最初の 300 ポー ト に 対 し てのみフ ァ イ ア ウ ォール ルールが適用 さ れ ます。 • フ ァ イ ア ウ ォ ール サービ ス が AnyConnect ク ラ イ ア ン ト に よ り 開始 さ れ る 必要が あ る (シ ス テ ム に よ り 自動的に開始 さ れない)Windows ユーザは、VPN 接続の確立にかな り の時間を要 す る 場合が あ り ま す。 • Mac コ ン ピ ュ ー タ の場合、AnyConnect ク ラ イ ア ン ト では、ASA で適用 さ れたの と 同 じ 順序で ルールが適用 さ れ ま す。グ ロ ーバル ルールは必ず最後にな る よ う に し て く だ さ い。 • サー ド パーテ ィ フ ァ イ ア ウ ォ ールの場合、AnyConnect ク ラ イ ア ン ト フ ァ イ ア ウ ォ ール と サー ド パーテ ィ フ ァ イ ア ウ ォ ールの双方で許可 さ れた タ イ プの ト ラ フ ィ ッ ク のみ通過で き ま す。AnyConnect ク ラ イ ア ン ト で許可 さ れてい る 特定の タ イ プの ト ラ フ ィ ッ ク で あ っ て も 、 サー ド パーテ ィ フ ァ イ ア ウ ォ ールに よ っ て ブ ロ ッ ク さ れれば、その ト ラ フ ィ ッ ク は ク ラ イ ア ン ト で も ブ ロ ッ ク さ れ ま す。 ロー カル プ リ ン タ をサポー ト する ためのク ラ イ ア ン ト フ ァ イ アウ ォ ールの導入 ASA は、ASA バージ ョ ン 8.3(1) 以降、お よ び ASDM バージ ョ ン 6.3(1) 以降で、AnyConnect ク ラ イ ア ン ト フ ァ イ ア ウ ォ ール機能を サポー ト し てい ま す。こ の項では、ロ ーカル プ リ ン タ への ア ク セ ス が許可 さ れ る よ う に ク ラ イ ア ン ト フ ァ イ ア ウ ォ ール を設定す る 方法、お よ び VPN 接続の 失敗時に フ ァ イ ア ウ ォ ール を使用す る よ う ク ラ イ ア ン ト プ ロ フ ァ イ ル を設定す る 方法について 説明 し ま す。 ク ラ イ ア ン ト フ ァ イ アウ ォ ールの制限事項 ク ラ イ ア ン ト フ ァ イ ア ウ ォ ール を使用 し て ロ ーカル LAN ア ク セ ス を制限す る 場合には次の制 限事項が適用 さ れ ま す。 • OS の制限事項に よ り 、Windows XP が実行 さ れてい る コ ン ピ ュ ー タ の ク ラ イ ア ン ト フ ァ イ ア ウ ォ ール ポ リ シーは、着信 ト ラ フ ィ ッ ク に対 し てのみ適用 さ れ ま す。発信ルールお よ び双 方向ルールは無視 さ れ ま す。こ れには、「permit ip any any」な ど の フ ァ イ ア ウ ォ ール ルールが 含 ま れ ま す。 • ホ ス ト ス キ ャ ンや一部のサー ド パーテ ィ フ ァ イ ア ウ ォ ールは、フ ァ イ ア ウ ォ ール を妨害す る 可能性が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-24 第3章 一般的な VPN 設定 グループ ポ リ シー 以下の表は、送信元ポー ト お よ び宛先ポー ト の設定に よ り 影響を受け る ト ラ フ ィ ッ ク の方向を ま と めた も のです。 送信元ポー ト 宛先ポー ト 影響を受け る ト ラ フ ィ ッ ク の方向 特定のポー ト 番号 特定のポー ト 番号 着信お よ び発信 範囲 ま たは「すべて」(値は 0) 範囲 ま たは「すべて」(値は 0) 着信お よ び発信 特定のポー ト 番号 範囲 ま たは「すべて」(値は 0) 着信のみ 範囲 ま たは「すべて」(値は 0) 特定のポー ト 番号 発信のみ ロー カル印刷に関する ACL ルールの例 ACL AnyConnect_Client_Local_Print は、ク ラ イ ア ン ト フ ァ イ ア ウ ォ ール を設定 し やす く す る た めに、ASDM を備え てい ま す。グループ ポ リ シーの [Client Firewall] ペ イ ン のパブ リ ッ ク ネ ッ ト ワ ー ク ルールのために ACL を選択す る 際は、一覧に次の ACE を含め ま す。 . 表 3-1 イン ター フ ェ イ ス Protocol 送信元 ポー ト Destination Address 宛先 ポー ト 説明 Permission すべて拒否 拒否 パブ リック いずれ デフ ォ か(Any) ル ト いずれか (Any) デフ ォ ルト LPD 許可 パブ リック TCP デフ ォ ルト いずれか (Any) 515 IPP 許可 パブ リック TCP デフ ォ ルト いずれか (Any) 631 プリ ンタ 許可 パブ リック TCP デフ ォ ルト いずれか (Any) 9100 mDNS 許可 パブ リック UDP デフ ォ ルト 224.0.0.251 5353 LLMNR 許可 パブ リック UDP デフ ォ ルト 224.0.0.252 5355 NetBios 許可 パブ リック TCP デフ ォ ルト いずれか (Any) 137 NetBios 許可 パブ リック UDP デフ ォ ルト いずれか (Any) 137 注 注 AnyConnect_Client_Local_Print の ACL ルール デ フ ォ ル ト のポー ト 範囲は 1 ~ 65535 です。 ロ ーカル印刷を有効にす る には、定義済み ACL ルール「allow Any Any」に対 し 、ク ラ イ ア ン ト プ ロ フ ァ イ ルの [Local LAN Access] 機能 を有効にす る 必要が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-25 第3章 一般的な VPN 設定 グループ ポ リ シー VPN 用のローカル印刷サポー ト の設定 エ ン ド ユーザが ロ ーカル プ リ ン タ に出力で き る よ う にす る には、グループ ポ リ シーで標準 ACL を作成 し ま す。ASA はその ACL を VPN ク ラ イ ア ン ト に送信 し 、VPN ク ラ イ ア ン ト は ク ラ イ ア ン ト の フ ァ イ ア ウ ォ ール設定を変更 し ま す。 ステ ッ プ 1 グループ ポ リ シーで、AnyConnect ク ラ イ ア ン ト フ ァ イ ア ウ ォールを有効に し ます。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択 し ます。 ステ ッ プ 2 グループ ポ リ シーを選択 し て、[Edit] を ク リ ッ ク し ま す。 ステ ッ プ 3 [Advanced] > [AnyConnect Client] > [Client Firewall] を選択 し ま す。プ ラ イ ベー ト ネ ッ ト ワ ー ク ルールに対応す る [Manage] を ク リ ッ ク し ま す。 ステ ッ プ 4 前述 し た ACE を含む ACL を作成 し ま す。こ の ACL を プ ラ イ ベー ト ネ ッ ト ワ ー ク ルール と し て 追加 し ま す。 ステ ッ プ 5 常時接続の自動 VPN ポ リ シーを有効に し 、かつ ク ロ ーズ ド ポ リ シーを指定 し てい る 場合、VPN 障害が発生す る と ユーザは ロ ーカル リ ソ ー ス に ア ク セ ス で き ま せん。こ のシナ リ オでは、プ ロ フ ァ イ ル エデ ィ タ で [Preferences (Cont)] に移動 し 、[Apply last local VPN resource rules] を オ ン に す る と フ ァ イ ア ウ ォ ール ルール を適用す る こ と がで き ま す。 VPN 用のテザー デバイ ス サポー ト の設定 テザー デバ イ ス を サポー ト し て企業ネ ッ ト ワ ー ク を保護す る 場合は、グループ ポ リ シーで標準 的な ACL を作成 し 、テザー デバ イ ス で使用す る 宛先ア ド レ ス の範囲 を指定 し ま す。さ ら に、ト ン ネ リ ン グ VPN ト ラ フ ィ ッ ク か ら 除外す る ネ ッ ト ワ ー ク リ ス ト と し て ス プ リ ッ ト ト ン ネ リ ン グ 用の ACL を指定 し ま す。ま た、VPN 障害時には最後の VPN ロ ーカル リ ソ ー ス ルールが使用 さ れ る よ う に ク ラ イ ア ン ト プ ロ フ ァ イ ル を設定す る こ と も 必要です。 注 AnyConnect を実行す る コ ン ピ ュ ー タ と 同期す る 必要があ る Windows モバ イ ルデバ イ ス に ついては、ACL で IPv4 宛先ア ド レ ス を 169.254.0.0、ま たは IPv6 宛先ア ド レ ス を fe80::/64 と 指定 し ます。 ステ ッ プ 1 ASDM で、[Group Policy] > [Advanced] > [Split Tunneling] を選択 し ま す。 ステ ッ プ 2 [Network List] フ ィ ール ド の隣にあ る [Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ に し 、[Manage] を ク リ ッ ク し ま す。 ステ ッ プ 3 [Extended ACL] タ ブ を ク リ ッ ク し ま す。 ステ ッ プ 4 [Add] を ク リ ッ ク し 、さ ら に [Add ACL] を ク リ ッ ク し ま す。新 し い ACL の名前を指定 し ま す。 ステ ッ プ 5 テーブルで新 し い ACL を選択 し て、[Add] を ク リ ッ ク し 、さ ら に [Add ACE] を ク リ ッ ク し ま す。 ステ ッ プ 6 [Action] で [Permit] オプ シ ョ ン ボ タ ン を選択 し ま す。 ステ ッ プ 7 宛先条件エ リ ア で、IPv4 宛先ア ド レ ス を 169.254.0.0、ま たは IPv6 宛先ア ド レ ス を fe80::/64 と 指 定 し ま す。 ステ ッ プ 8 [Service] に対 し て IP を選択 し ま す。 ステ ッ プ 9 [OK] を ク リ ッ ク し ま す。 ス テ ッ プ 10 [OK] を ク リ ッ ク し て、ACL を保存 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-26 第3章 一般的な VPN 設定 グループ ポ リ シー ス テ ッ プ 11 内部グループ ポ リ シーの [Split Tunneling] ペ イ ン で、ス テ ッ プ 7 で指定 し た IP ア ド レ ス に応 じ て [Inherit for the Policy or IPv6 Policy] チ ェ ッ ク ボ ッ ク ス を オ フ に し て、[Exclude Network List Below] を選択 し ま す。[Network List] で、作成 し た ACL を選択 し ま す。 ス テ ッ プ 12 [OK] を ク リ ッ ク し ま す。 ス テ ッ プ 13 [Apply] を ク リ ッ ク し ま す。 内部グループ ポ リ シー、AnyConnect ク ラ イ ア ン ト キー再生成 ASA と ク ラ イ ア ン ト が キーを再生成 し 、暗号キー と 初期ベ ク ト ルについて再ネ ゴ シ エーシ ョ ン す る と き には、キーの再生成ネ ゴ シ エーシ ョ ン が行われ、接続のセ キ ュ リ テ ィ が強化 さ れ ま す。 内部グループ ポ リ シーの [Advanced] > [AnyConnect Client] > [Key Regeneration] ペ イ ン では、 キー再生成のパ ラ メ ー タ を設定 し ま す。 • [Renegotiation Interval]:セ ッ シ ョ ンの開始か ら キーの再生成が実行さ れる までの分数を 1 ~ 10080 (1 週間)の範囲で指定するには、[Unlimited] チェ ッ ク ボ ッ ク ス をオフに し ます。 • [Renegotiation Method]:[Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ に し て、デ フ ォ ル ト の グループ ポ リ シー と は異な る 再ネ ゴ シ エーシ ョ ン方式を指定 し ま す。キー再生成をデ ィ セーブルにす る には、[None] オプ シ ョ ン ボ タ ン を選択 し 、キー再生成時に新 し い ト ン ネル を確立す る には、 [SSL] ま たは [New Tunnel] オプ シ ョ ン ボ タ ン を選択 し ま す。 注 [Renegotiation Method] を [SSL] ま たは [New Tunnel] に設定す る と 、キー再生成時に SSL 再ネ ゴ シ エーシ ョ ン が行われず、ク ラ イ ア ン ト が キー再生成時に新規 ト ン ネル を 確立す る こ と が指定 さ れ ま す。anyconnect ssl rekey コ マ ン ド の履歴につい ては、 コ マ ン ド リ フ ァ レ ン ス を 参照 し て く だ さ い。 内部グループ ポ リ シー、AnyConnect ク ラ イ ア ン ト デ ッ ド ピ ア検出 Dead Peer Detection(DPD)に よ り 、ピ ア が応答 し て し な い、接続で障害が発生 し て い る 状態 を 、 セ キ ュ リ テ ィ ア プ ラ イ ア ン ス (ゲー ト ウ ェ イ ) ま たは ク ラ イ ア ン ト がすばや く 確実に検出で き る よ う に し ま す。 ASA で DPD が イ ネーブルに さ れて い る 場合、最適 MTU(OMTU)機能 を 使用 し て、ク ラ イ ア ン ト が DTLS パ ケ ッ ト を 正常に渡す こ と がで き る 最大エ ン ド ポ イ ン ト MTU を 検出 し ま す。最大 MTU ま でパデ ィ ン グ さ れた DPD パ ケ ッ ト を 送信す る こ と に よ っ て、OMTU を 実装 し ま す。ペ イ ロ ー ド の正 し いエ コ ー を ヘ ッ ド エ ン ド か ら 受信す る と 、MTU サ イ ズ が受け入れ ら れ ま す。受 け入れ ら れな か っ た場合、MTU は小 さ く さ れ、プ ロ ト コ ルで許可 さ れて い る 最小 MTU に到達 す る ま で、繰 り 返 し プ ロ ーブが送信 さ れ ま す。 注 OMTU を使用 し て も 、既存の ト ン ネル DPD 機能を妨げ る こ と は あ り ま せん。 内部グループ ポ リ シーの [Advanced] > [AnyConnect Client] > [Dead Peer Detection] ペ イ ン では、 DPD を使用す る タ イ ミ ン グ を設定 し ま す。 • [Gateway Side Detection]:DPD がセ キ ュ リ テ ィ ア プ ラ イ ア ン ス (ゲー ト ウ ェ イ )に よ っ て実行 さ れ る よ う に指定す る には、[Disable] チ ェ ッ ク ボ ッ ク ス を オ フ に し ま す。セ キ ュ リ テ ィ ア プ ラ イ ア ン ス が DPD を実行す る と き の間隔を 30 ~ 3600 秒の範囲で入力 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-27 第3章 一般的な VPN 設定 グループ ポ リ シー • [Client Side Detection]:DPD が ク ラ イ ア ン ト に よ っ て実行 さ れ る よ う に指定す る には、 [Disable] チ ェ ッ ク ボ ッ ク ス を オ フ に し ま す。ク ラ イ ア ン ト が DPD を実行す る と き の間隔を 30 ~ 3600 秒の範囲で入力 し ま す。 制限事項 DPD は、埋め込みが許可 さ れない標準実装に基づ く ため、こ の機能は、IPsec と は併用で き ま せん。 内部グループ ポ リ シー、ク ラ イ ア ン ト レ ス ポー タ ルの AnyConnect カ ス タ マ イズ 内部グループ ポ リ シーの [Advanced] > [AnyConnect Client] > [Customization] ペ イ ン では、グルー プ ポ リ シーの ク ラ イ ア ン ト レ ス ポー タ ルの ロ グ イ ン ページ を カ ス タ マ イ ズ で き ま す。 • [Portal Customization]:[AnyConnect Client/SSL VPN] ポー タ ル ページに適用す る カ ス タ マ イ ゼーシ ョ ン を選択 し ま す。事前設定済みのポー タ ル カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト を 選択す る か、ま たはデ フ ォ ル ト グループ ポ リ シーで定義 さ れてい る カ ス タ マ イ ゼーシ ョ ン を受け入れ る こ と がで き ま す。デ フ ォ ル ト は DfltCustomization です。 – [Manage]:[Configure GUI Customization object]s ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ の ダ イ ア ロ グ ボ ッ ク ス では、カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト の追加、編集、削除、イ ン ポー ト 、ま たはエ ク ス ポー ト を 指定で き ま す。 • 注 [Homepage URL (optional)]:グループ ポ リ シーに関連付け ら れたユーザの ク ラ イ ア ン ト レ ス ポー タ ルに表示す る ホーム ページの URL を指定 し ま す。http:// ま たは https:// のいずれかで 始 ま る ス ト リ ン グ にす る 必要が あ り ま す。ク ラ イ ア ン ト レ ス ユーザには、認証の成功後す ぐ に こ のページが表示 さ れ ま す。AnyConnect は、VPN 接続が正常に確立 さ れ る と 、こ の URL に 対 し てデ フ ォ ル ト の Web ブ ラ ウ ザ を起動 し ま す。 AnyConnect は、Linux プ ラ ッ ト フ ォ ーム、Android モバ イ ル デバ イ ス 、お よ び Apple iOS モ バ イ ル デバ イ ス で こ の フ ィ ール ド を現在サポー ト し てい ま せん。設定 さ れてい る 場合、 こ れ ら の AnyConnect ク ラ イ ア ン ト に よ っ て無視 さ れ ま す。 • [Use Smart Tunnel for Homepage]:ポー ト 転送を使用す る 代わ り にポー タ ルに接続す る ス マー ト ト ン ネル を作成 し ま す。 • [Access Deny Message]:ア ク セ ス を拒否す る ユーザに表示す る メ ッ セージ を作成す る には、 こ の フ ィ ール ド に入力 し ま す。 内部グループ ポ リ シーの AnyConnect ク ラ イ ア ン ト カ ス タ ム属性の設定 内部グループ ポ リ シーの [Advanced] > [AnyConnect Client] > [Custom Attributes] ペ イ ン は、こ の ポ リ シーに現在割 り 当て ら れてい る カ ス タ ム属性を示 し ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、す でに定義済みの カ ス タ ム属性を こ のポ リ シーに関連付け る か、カ ス タ ム属性を定義 し て こ のポ リ シーに関連付け る こ と がで き ま す。 カ ス タ ム属性は AnyConnect ク ラ イ ア ン ト に送信 さ れ、ア ッ プ グ レ ー ド の延期な ど の機能を設定 す る ために使用 さ れ ます。カ ス タ ム属性には タ イ プ と 名前付 き の値があ り ます。ま ず属性の タ イ プ を定義 し た後、こ の タ イ プの名前付 き の値を 1 つ以上定義で き ま す。機能に対 し て設定す る 固 有の カ ス タ ム属性の詳細については、使用 し てい る AnyConnect リ リ ー ス の『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照 し て く だ さ い。 カ ス タ ム属性は、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Custom Attributes] お よ び [AnyConnect Custom Attribute Names] で事前に定義す る こ と も で き ま す。事前に定義 し た カ ス タ ム属性は、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー と グループ ポ リ シーの両方で使用 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-28 第3章 一般的な VPN 設定 グループ ポ リ シー こ の手順を使用 し て、カ ス タ ム属性を追加 ま たは編集 し ま す。設定済みの カ ス タ ム属性を削除す る こ と も で き ま すが、別の グループ ポ リ シーに関連付け ら れてい る 場合は編集 ま たは削除で き ま せん。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [Advanced] > [AnyConnect Client] > [Custom Attributes] に移動 し ま す。 ステ ッ プ 2 [Add] を ク リ ッ ク し て [Create Custom Attribute] ペ イ ン を開 き ま す。 ステ ッ プ 3 ド ロ ッ プダ ウ ン リ ス ト か ら 事前に定義 さ れた属性 タ イ プ を選択す る か、次の手順を実行 し て属 性 タ イ プ を設定 し ま す。 a. [Manage] を ク リ ッ ク し 、[Configure Custom Attribute Types] ペ イ ン で [Add] を ク リ ッ ク し ま す。 b. [Create Custom Attribute Type] ペ イ ン で、新 し い属性の [Type] と [Description] を入力 し ま す。 ど ち ら の フ ィ ール ド も 必須項目です。 c. [OK] を ク リ ッ ク し て こ のペ イ ン を閉 じ 、も う 一度 [OK] を ク リ ッ ク し て、新 し く 定義 し た カ ス タ ム属性の タ イ プ を選択 し ま す。 ステ ッ プ 4 [Select Value] を選択 し ま す。 ステ ッ プ 5 [Select value] ド ロ ッ プダ ウ ン リ ス ト か ら 事前に定義 さ れた名前付 き の値を選択す る か、次の手 順を実行 し て新 し い名前付 き の値を設定 し ま す。 a. [Manage] を ク リ ッ ク し 、[Configure Custom Attributes] ペ イ ン で [Add] を ク リ ッ ク し ま す。 b. [Create Custom Attribute Name] ペ イ ン で、前に選択 ま たは設定 し た属性 タ イ プ を選択 し 、新 し い属性の [Name] と [Value] を入力 し ま す。ど ち ら の フ ィ ール ド も 必須項目です。 値を追加す る には、[Add] を ク リ ッ ク し て値を入力 し 、[OK] を ク リ ッ ク し ます。値は 420 文字を 超え てはな り ません。値が こ の長 さ を超え る 場合は、追加の値 コ ン テ ン ツ のために複数の値を 追加 し ます。設定値は AnyConnect ク ラ イ ア ン ト に送信 さ れ る 前に連結 さ れます。 c. ステ ッ プ 6 [OK] を ク リ ッ ク し て こ のペ イ ン を閉 じ 、も う 一度 [OK] を ク リ ッ ク し て、こ の属性の新 し く 定義 し た名前付 き の値を選択 し ま す。 [Create Custom Attribute] ペ イ ン で [OK] を ク リ ッ ク し ま す。 IPsec(IKEv1)ク ラ イ ア ン ト の内部グループ ポ リ シー 内部グループ ポ リ シー、IPsec(IKEv1)ク ラ イ ア ン ト の一般属性 [Configuration] > [Remote Access] > [Network (Client) Access] > [Group Policies] > [Advanced] > [IPsec (IKEv1) Client] で、 [Add or Edit Group Policy] > [IPsec] ダ イ ア ロ グ ボ ッ ク ス を使用すれば、 追加 ま たは変更す る グループ ポ リ シーの ト ン ネ リ ン グ プ ロ ト コ ル、フ ィ ル タ 、接続設定、お よ び サーバ を指定で き ま す。 • [Re-Authentication on IKE Re-key]:[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ で あ る 場合に、IKE キーの 再生成が行われた と き の再認証を イ ネーブル ま たはデ ィ セーブルに し ま す。ユーザは、30 秒 以内に ク レ デン シ ャ ルを入力す る 必要があ り ま す。ま た、約 2 分間で SA が期限切れにな り 、 ト ン ネルが終了す る ま での間に、3 回 ま で入力を再試行で き ま す。 • [Allow entry of authentication credentials until SA expires]:設定済み SA の最大 ラ イ フ タ イ ム ま で、ユーザは認証 ク レ デン シ ャ ル を こ の回数再入力で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-29 第3章 一般的な VPN 設定 グループ ポ リ シー • [IP Compression]:[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ で あ る 場合に、IP Compression を イ ネーブ ル ま たはデ ィ セーブルに し ま す。 • [Perfect Forward Secrecy]:[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ で あ る 場合に、完全転送秘密(PFS) を イ ネーブル ま たはデ ィ セーブルに し ま す。PFS は、特定の IPsec SA のキーが他のシー ク レ ッ ト (他のキーな ど)か ら 導出 さ れた も のでない こ と を保証 し ま す。つ ま り 、PFS では、攻撃者が あ る キーを突破 し て も 、そ こ か ら 他のキーを導出す る こ と はで き ない こ と が保証 さ れ ま す。 PFS が イ ネーブルにな っ ていない場合は、IKE SA の秘密キーが突破 さ れ る と 、その攻撃者は、 IPsec のすべての保護デー タ を コ ピー し 、IKE SA のシー ク レ ッ ト の知識を使用 し て、その IKE SA に よ っ て設定 さ れた IPsec SA のセ キ ュ リ テ ィ を侵す こ と がで き る と 推測 さ れ ま す。PFS を 使用す る と 、攻撃者が IKE を突破 し て も 、直接 IPsec にはア ク セ ス で き ま せん。その場合、攻撃 者は各 IPsec SA を個別に突破す る 必要があ り ま す。 • [Store Password on Client System]: ク ラ イ ア ン ト シ ス テ ム でのパ ス ワ ー ド の保管を イ ネーブ ル ま たはデ ィ セーブルに し ま す。 注 パ ス ワ ー ド を ク ラ イ ア ン ト シ ス テ ム で保管す る と 、潜在的な セ キ ュ リ テ ィ リ ス ク が発生 し ま す。 • [IPsec over UDP]:IPsec over UDP の使用を イ ネーブル ま たはデ ィ セーブルに し ま す。 • [IPsec over UDP Port]:IPsec over UDP で使用す る UDP ポー ト を指定 し ま す。 • [Tunnel Group Lock]:[Inherit] チ ェ ッ ク ボ ッ ク ス ま たは値 [None] が選択 さ れていない場合に、 選択 し た ト ン ネル グループ を ロ ッ ク し ま す。 • [IPsec Backup Servers]:[Server Configuration] フ ィ ール ド と [Server IP Addresses] フ ィ ール ド を ア ク テ ィ ブに し ま す。こ れに よ っ て、こ れ ら の値が継承 さ れない場合に使用す る UDP バ ッ ク ア ッ プ サーバ を指定で き ま す。 – [Server Configuration]:IPsec バ ッ ク ア ッ プ サーバ と し て使用す る サーバ設定オプシ ョ ン を一覧表示 し ま す。使用で き る オプシ ョ ン は、[Keep Client Configuration](デ フ ォ ル ト )、 [Use Backup Servers Below]、お よ び [Clear Client Configuration] です。 – [Server Addresses(space delimited)]:IPsec バ ッ ク ア ッ プ サーバの IP ア ド レ ス を指定 し ま す。こ の フ ィ ール ド は、[Server Configuration] で選択 し た値が Use Backup Servers Below で あ る 場合にだけ使用で き ま す。 内部グループ ポ リ シーの IPsec(IKEv1)ク ラ イ ア ン ト のア ク セス ルールについて こ のダ イ ア ロ グ ボ ッ ク ス の [Client Access Rules] テーブルには、ク ラ イ ア ン ト ア ク セ ス ルール を 25 件 ま で表示で き ま す。ク ラ イ ア ン ト ア ク セ ス ルール を追加す る と き には次の フ ィ ール ド を設 定 し ま す。 • [Priority]: こ のルールの優先順位を選択 し ま す。 • [Action]: こ のルールに基づいて ア ク セ ス を許可 ま たは拒否 し ま す。 • [VPN Client Type]: こ のルール を適用す る VPN ク ラ イ ア ン ト の タ イ プ( ソ フ ト ウ ェ ア ま たは ハー ド ウ ェ ア)を指定 し ま す。ソ フ ト ウ ェ ア ク ラ イ ア ン ト の場合は、すべての Windows ク ラ イ ア ン ト ま たはサブセ ッ ト を自由形式のテ キ ス ト で指定 し ま す。 • [VPN Client Version]: こ のルールを適用す る VPN ク ラ イ ア ン ト のバージ ョ ン を指定 し ます(複 数可)。こ のカ ラ ム には、こ の ク ラ イ ア ン ト に適用 さ れ る ソ フ ト ウ ェ ア ま たはフ ァ ーム ウ ェ ア イ メ ージのカ ン マ区切 り リ ス ト が含ま れ ます。エ ン ト リ は自由形式のテ キ ス ト で、* はすべて のバージ ョ ン と 一致 し ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-30 第3章 一般的な VPN 設定 グループ ポ リ シー ク ラ イ ア ン ト ア ク セス ルールの定義 • ルール を定義 し ない場合、ASAはすべての接続 タ イ プ を許可 し ま す。ただ し 、ユーザがデ フ ォ ル ト グループ ポ リ シーに存在す る ルール を継承す る 場合が あ り ま す。 • ク ラ イ ア ン ト がいずれのルールに も 一致 し ない場合、ASAは接続を拒否 し ま す。拒否ルール を定義す る 場合は、許可ルール も 1 つ以上定義す る 必要が あ り ま す。定義 し ない場合、ASAは すべての接続を拒否 し ま す。 • * 文字は ワ イ ル ド カー ド です。ワ イ ル ド カー ド は各ルールで複数回入力す る こ と がで き ます。 • ルール セ ッ ト 全体に対 し て 255 文字の制限が あ り ま す。 • ク ラ イ ア ン ト の タ イ プ ま たはバージ ョ ン(あ る いはその両方)を送信 し ない ク ラ イ ア ン ト に は、n/a を入力で き ま す。 内部グループ ポ リ シー、IPsec(IKEv1)ク ラ イ ア ン ト のク ラ イ ア ン ト フ ァ イ アウ ォ ール [Add or Edit Group Policy] の [Client Firewall] ダ イ ア ロ グ ボ ッ ク ス では、追加 ま たは変更す る グ ループ ポ リ シーに対 し て VPN ク ラ イ ア ン ト の フ ァ イ ア ウ ォ ール設定を行 う こ と がで き ま す。こ れ ら の フ ァ イ ア ウ ォ ール機能を使用で き る のは、Microsoft Windows 上で動作 し てい る VPN ク ラ イ ア ン ト だけです。現在、ハー ド ウ ェ ア ク ラ イ ア ン ト ま たは他(Windows 以外)の ソ フ ト ウ ェ ア ク ラ イ ア ン ト では、こ れ ら の機能は使用で き ま せん。 VPN ク ラ イ ア ン ト を使用 し てASAに接続 し てい る リ モー ト ユーザは、適切な フ ァ イ ア ウ ォ ール オプ シ ョ ン を選択で き ま す。 最初のシナ リ オでは、リ モー ト ユーザの PC 上にパー ソ ナル フ ァ イ ア ウ ォ ールが イ ン ス ト ール さ れてい ます。VPN ク ラ イ ア ン ト は、ロ ーカル フ ァ イ ア ウ ォ ールで定義 さ れてい る フ ァ イ ア ウ ォ ー ル ポ リ シーを適用 し 、その フ ァ イ ア ウ ォールが実行 さ れてい る こ と を確認す る ためにモニ タ し ま す。フ ァ イ ア ウ ォ ールの実行が停止す る と 、VPN ク ラ イ ア ン ト はASAへの通信を ド ロ ッ プ し ます。 ( こ の フ ァ イ ア ウ ォ ール適用 メ カ ニズ ムは Are You There(AYT) と 呼ばれます。VPN ク ラ イ ア ン ト が 定期的に「are you there?」 メ ッ セージ を送信す る こ と に よ っ て フ ァ イ ア ウ ォ ールを モニ タ す る か ら です。応答が返 さ れない場合、VPN ク ラ イ ア ン ト は、フ ァ イ ア ウ ォ ールがダ ウ ン し たため ASA への 接続が終了 し た と 認識 し ます)。ネ ッ ト ワー ク 管理者が こ れ ら の PC フ ァ イ ア ウ ォ ールを独自に設 定す る 場合 も あ り ますが、こ の方法を使用すれば、ユーザは各自の設定を カ ス タ マ イ ズで き ます。 第 2 のシナ リ オでは、VPN ク ラ イ ア ン ト PC のパー ソ ナル フ ァ イ ア ウ ォ ールに中央集中型フ ァ イ ア ウ ォ ール ポ リ シーを適用す る こ と が選択 さ れ る こ と があ り ま す。一般的な例 と し ては、ス プ リ ッ ト ト ン ネ リ ン グ を使用 し て グループの リ モー ト PC への イ ン タ ーネ ッ ト ト ラ フ ィ ッ ク を ブ ロ ッ ク す る こ と が挙げ ら れ ます。こ の方法は、ト ン ネルが確立 さ れてい る 間、イ ン タ ーネ ッ ト 経由 の侵入か ら PC を保護す る ので、中央サ イ ト も 保護 さ れ ま す。こ の フ ァ イ ア ウ ォ ールのシナ リ オ は、プ ッ シ ュ ポ リ シー ま たは Central Protection Policy(CPP) と 呼ばれ ま す。ASAでは、VPN ク ラ イ ア ン ト に適用す る ト ラ フ ィ ッ ク 管理ルールのセ ッ ト を作成 し 、こ れ ら のルールを フ ィ ル タ に関連 付け て、その フ ィ ル タ を フ ァ イ ア ウ ォ ール ポ リ シーに指定 し ま す。ASAは、こ のポ リ シーを VPN ク ラ イ ア ン ト ま で配信 し ま す。その後、VPN ク ラ イ ア ン ト はポ リ シーを ロ ーカル フ ァ イ ア ウ ォ ー ルに渡 し 、そ こ でポ リ シーが適用 さ れ ま す。 [Configuration] > [Remote Access] > [Network (Client) Access] > [Group Policies] > [Advanced] > [IPsec (IKEv1) Client] > [Client Firewall] タ ブ フ ィ ール ド • [Inherit]:グループ ポ リ シーがデ フ ォ ル ト グループ ポ リ シーか ら ク ラ イ ア ン ト の フ ァ イ ア ウ ォ ール設定を取得す る か ど う か を決め ま す。こ のオプシ ョ ン はデ フ ォ ル ト 設定です。設定 す る と 、こ のダ イ ア ロ グ ボ ッ ク ス に あ る 残 り の属性がその設定に よ っ て上書 き さ れ、名前が グ レ ー表示にな り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-31 第3章 一般的な VPN 設定 グループ ポ リ シー • [Client Firewall Attributes]:実装 さ れてい る フ ァ イ ア ウ ォ ールの タ イ プ(実装 さ れてい る 場合)や その フ ァ イ ア ウ ォールのポ リ シーな ど、ク ラ イ ア ン ト フ ァ イ ア ウ ォール属性を指定 し ます。 • [Firewall Setting]:フ ァ イ ア ウ ォールが存在する かど う かを一覧表示し ます。存在する場合には、そ のフ ァ イ ア ウ ォールが必須かオプシ ョ ンかを一覧表示し ます。[No Firewall](デフ ォル ト )を選択す る と 、こ のダ イ ア ロ グボ ッ ク スにあ る残 り のフ ィ ール ド は、いずれ も ア ク テ ィ ブにな り ません。こ のグループのユーザを フ ァ イ ア ウ ォールで保護する場合は [Firewall Required] ま たは [Firewall Optional] 設定を選択し ます。 Firewall Required を選択し た場合は、こ のグループのユーザ全員が、指定さ れたフ ァ イ ア ウ ォール を使用する必要があ り ます。ASAは、指定さ れた、サポー ト さ れてい る フ ァ イ ア ウ ォールが イ ン ス ト ールおよび実行さ れていない状態で接続を試行し たセ ッ シ ョ ン を ド ロ ッ プ し ます。こ の場合、 ASAは、フ ァ イ ア ウ ォール設定が一致し ない こ と を VPN ク ラ イ アン ト に通知し ます。 注 グループで フ ァ イ ア ウ ォ ール を 必須にす る 場合には、その グ ループに Windows VPN ク ラ イ ア ン ト 以外の ク ラ イ ア ン ト が存在 し な い こ と を 確認 し て く だ さ い。Windows VPN ク ラ イ ア ン ト 以外の ク ラ イ ア ン ト ( ク ラ イ ア ン ト モー ド の ASA 5505 と VPN 3002 ハー ド ウ ェ ア ク ラ イ ア ン ト を 含む)は接続で き ま せん。 こ の グループに、ま だ フ ァ イ ア ウ ォ ールに対応 し ていない リ モー ト ユーザがい る 場合は、 [Firewall Optional] を選択 し ま す。Firewall Optional 設定を使用す る と 、グループ内のすべての ユーザが接続で き る よ う にな り ま す。フ ァ イ ア ウ ォ ールに対応 し てい る ユーザは、フ ァ イ ア ウ ォ ール を使用で き ま す。フ ァ イ ア ウ ォ ールな し で接続す る ユーザには、警告 メ ッ セージが 表示 さ れ ま す。こ の設定は、一部のユーザが フ ァ イ ア ウ ォ ール を サポー ト し てお り 、他のユー ザがサポー ト し ていない グループ を作成す る と き に役立ち ま す。た と えば、移行途中の グ ループでは、一部の メ ン バは フ ァ イ ア ウ ォ ール機能を設定 し 、別のユーザは ま だ設定 し てい ない こ と が あ り ま す。 • [Firewall Type]:シ ス コ を含む複数のベン ダーのフ ァ イ ア ウ ォールを一覧表示 し ます。[Custom Firewall] を選択する と 、[Custom Firewall] の下のフ ィ ール ド がア ク テ ィ ブにな り ます。指定 し た フ ァ イ ア ウ ォールが、使用で き る フ ァ イ ア ウ ォール ポ リ シー と 相関 し てい る必要があ り ます。 設定 し た フ ァ イ ア ウ ォールに よ り 、サポー ト さ れ る フ ァ イ ア ウ ォール ポ リ シー オプシ ョ ンが 決ま り ます。 • [Custom Firewall]:カ ス タ ム フ ァ イ ア ウ ォ ールのベン ダー ID、製品 ID、お よ び説明を指定 し ま す。 – [Vendor ID]: こ のグループ ポ リ シーのカ ス タ ム フ ァ イ ア ウ ォールのベンダーを指定し ます。 – [Product ID]: こ の グループ ポ リ シー用に設定 さ れ る カ ス タ ム フ ァ イ ア ウ ォ ールの製品 ま たはモデル名を指定 し ま す。 – [Description]:(任意)カ ス タ ム フ ァ イ ア ウ ォ ールについ て説明 し ま す。 • [Firewall Policy]:カ ス タ ム フ ァ イ ア ウ ォ ール ポ リ シーの タ イ プ と 送信元を指定 し ま す。 – [Policy defined by remote firewall (AYT)]:フ ァ イ ア ウ ォ ール ポ リ シーが リ モー ト フ ァ イ ア ウ ォ ール(Are You There)に よ っ て定義 さ れ る よ う に指定 し ま す。Policy defined by remote firewall(AYT)は、こ の グループの リ モー ト ユーザの フ ァ イ ア ウ ォ ールが、各自の PC に存在す る こ と を意味 し てい ま す。こ の ロ ーカル フ ァ イ ア ウ ォ ールが、VPN ク ラ イ ア ン ト に フ ァ イ ア ウ ォ ール ポ リ シーを適用 し ま す。ASAは、指定 さ れた フ ァ イ ア ウ ォ ー ルが イ ン ス ト ール さ れ、実行中で あ る 場合にだけ、こ の グループの VPN ク ラ イ ア ン ト が 接続で き る よ う に し ま す。指定 さ れた フ ァ イ ア ウ ォ ールが実行 さ れていない場合、接続 は失敗 し ま す。接続が確立す る と 、VPN ク ラ イ ア ン ト が フ ァ イ ア ウ ォ ール を 30 秒ご と に ポー リ ン グ し て、その フ ァ イ ア ウ ォ ールが実行 さ れてい る こ と を確認 し ま す。フ ァ イ ア ウ ォ ールの実行が停止す る と 、VPN ク ラ イ ア ン ト はセ ッ シ ョ ン を終了 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-32 第3章 一般的な VPN 設定 グループ ポ リ シー – [Policy pushed (CPP)]:ポ リ シーが ピ ア か ら プ ッ シ ュ さ れ る よ う に指定 し ま す。こ のオプ シ ョ ン を 選択す る 場合は、[Inbound Traffic Policy] お よ び [Outbound Traffic Policy] リ ス ト と [Manage] ボ タ ン が ア ク テ ィ ブに な り ま す。ASA は、[Policy Pushed (CPP)] ド ロ ッ プ ダ ウ ン リ ス ト で選択 さ れた フ ィ ル タ に よ っ て定義 さ れ る ト ラ フ ィ ッ ク 管理ルール を こ の グ ループの VPN ク ラ イ ア ン ト に適用 し ま す。メ ニ ュ ーで使用で き る 選択肢は、こ の ASA で定義 さ れて い る フ ィ ル タ で、デ フ ォ ル ト フ ィ ル タ も 含 ま れ ま す。ASAが こ れ ら のルール を VPN ク ラ イ ア ン ト にプ ッ シ ュ す る こ と に注意 し て く だ さ い。ASAではな く VPN ク ラ イ ア ン ト か ら 見たルール を 作成 し 、定義す る 必要が あ り ま す。た と えば、「in」 と 「out」はそれぞれ、VPN ク ラ イ ア ン ト に着信す る ト ラ フ ィ ッ ク と 、VPN ク ラ イ ア ン ト か ら 発信 さ れ る ト ラ フ ィ ッ ク です。VPN ク ラ イ ア ン ト に ロ ーカ ル フ ァ イ ア ウ ォ ール も あ る 場合、ASAか ら プ ッ シ ュ さ れた ポ リ シーは、ロ ーカ ル フ ァ イ ア ウ ォ ールのポ リ シー と 同時に機能 し ま す。いずれかの フ ァ イ ア ウ ォ ールのルールでブ ロ ッ ク さ れたすべて のパ ケ ッ ト が ド ロ ッ プ さ れ ま す。 – [Inbound Traffic Policy]:着信 ト ラ フ ィ ッ ク に対 し て使用で き る プ ッ シ ュ ポ リ シーを一覧 表示 し ま す。 – [Outbound Traffic Policy]:発信 ト ラ フ ィ ッ ク に対 し て使用で き る プ ッ シ ュ ポ リ シーを一 覧表示 し ま す。 – [Manage]:[ACL Manager] ダ イ ア ロ グ ボ ッ ク ス を表示 し ま す。こ のダ イ ア ロ グ ボ ッ ク ス で、ア ク セ ス コ ン ト ロ ール リ ス ト (ACL)を設定で き ま す。 内部グループ ポ リ シー、IPsec(IKEv1)のハー ド ウ ェ ア ク ラ イ ア ン ト 属性 注 VPN 3002 ハー ド ウ ェ ア ク ラ イ ア ン ト は耐用年数末期で、サポー ト が終了 し てい ま す。こ の設定 については、ASA 9.2 のマ ニ ュ アル を参照 し て く だ さ い。 ク ラ イ ア ン ト レ ス SSL VPN の内部グループ ポ リ シー 内部グループ ポ リ シー、ク ラ イ ア ン ト レ ス SSL VPN 一般属性 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add/Edit] > [Add or Edit Internal Group Policy] > [General] [Add or Edit Group Policy] ダ イ ア ロ グ ボ ッ ク ス では、追加 ま たは編集す る グループ ポ リ シーの ト ン ネ リ ン グ プ ロ ト コ ル、フ ィ ル タ 、接続設定、お よ びサーバ を指定で き ま す。こ のダ イ ア ロ グ ボ ッ ク ス の各フ ィ ール ド で、[Inherit] チ ェ ッ ク ボ ッ ク ス を選択す る と 、対応す る 設定の値をデフ ォ ル ト グ ループ ポ リ シーか ら 取得で き ま す。[Inherit] は、こ のダ イ ア ロ グ ボ ッ ク ス の属性すべてのデフ ォ ル ト 値です。 [Add Internal Group Policy] > [General] ダ イ ア ロ グ ボ ッ ク ス には、次の属性が表示 さ れ ま す。 • [Name]: こ の グループ ポ リ シーの名前を最大 64 文字で指定 し ま す( ス ペー ス の使用可)。Edit 機能の場合、こ の フ ィ ール ド は読み取 り 専用です。 • [Banner]: ロ グ イ ン時にユーザに対 し て表示す る バナー テ キ ス ト を指定 し ま す。長 さ は最大 491 文字です。デ フ ォ ル ト 値は あ り ま せん。 ク ラ イ ア ン ト レ ス ポー タ ルお よ び AnyConnect ク ラ イ ア ン ト は部分的な HTML を サ ポー ト し て い ま す。バナーが リ モー ト ユーザに適切に表示 さ れ る よ う にす る には、次のガ イ ド ラ イ ン に従い ま す。 – ク ラ イ ア ン ト レ ス ユーザの場合は、<BR> タ グ を使用 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-33 第3章 一般的な VPN 設定 グループ ポ リ シー • [Tunneling Protocols]: こ の グループが使用で き る ト ン ネ リ ン グ プ ロ ト コ ル を指定 し ま す。 ユーザは、選択 さ れてい る プ ロ ト コ ルだけ を使用で き ま す。次の選択肢が あ り ま す。 – [Clientless SSL VPN]:SSL/TLS に よ る VPN の使用法 を 指定 し ま す。こ の VPN では、ソ フ ト ウ ェ アやハー ド ウ ェ ア の ク ラ イ ア ン ト を 必要 と せずに、Web ブ ラ ウ ザ を 使用 し て ASA へのセ キ ュ ア な リ モー ト ア ク セ ス ト ン ネル を 確立 し ま す。ク ラ イ ア ン ト レ ス SSL VPN を 使用す る と 、HTTPS イ ン タ ーネ ッ ト サ イ ト を 利用で き る ほ と ん ど すべて の コ ン ピ ュ ー タ か ら 、企業の Web サ イ ト 、Web 対応ア プ リ ケーシ ョ ン 、NT/AD フ ァ イ ル共有 (Web 対応)、電子 メ ール、お よ びそ の他の TCP ベー ス ア プ リ ケーシ ョ ン な ど 、幅広い企 業 リ ソ ー ス に簡単に ア ク セ ス で き る よ う に な り ま す。 – [SSL VPN Client]:Cisco AnyConnect VPN ク ラ イ ア ン ト ま たは レ ガ シー SSL VPN ク ラ イ ア ン ト の使用を指定 し ま す。AnyConnect ク ラ イ ア ン ト を使用 し てい る 場合は、こ のプ ロ ト コ ル を選択 し て MUS がサポー ト さ れ る よ う にす る 必要が あ り ま す。 – [IPsec IKEv1]:IP セ キ ュ リ テ ィ プ ロ ト コ ル。IPsec は最 も セ キ ュ ア な プ ロ ト コ ル と さ れて お り 、VPN ト ン ネルのほぼ完全な アーキ テ ク チ ャ を提供 し ま す。Site-to-Site( ピ ア ツー ピ ア)接続、お よ び Cisco VPN ク ラ イ ア ン ト と LAN 間の接続の両方で IPsec IKEv1 を使用 で き ま す。 – [IPsec IKEv2]:AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト に よ っ て サ ポー ト さ れて い ま す。IKEv2 を 使用 し た IPsec を 使用す る AnyConnect 接続では、ソ フ ト ウ ェ ア ア ッ プ デー ト 、ク ラ イ ア ン ト プ ロ フ ァ イ ル、GUI の ロ ーカ リ ゼーシ ョ ン(翻訳) と カ ス タ マ イ ゼーシ ョ ン 、Cisco Secure Desktop、SCEP プ ロ キ シ な ど の拡張機能が提供 さ れ ま す。 – [L2TP over IPsec]:多 く の PC およびモバ イ ル PC のオペレーテ ィ ン グ シ ス テムで提供 さ れる VPN ク ラ イ ア ン ト を使用し てい る リ モー ト ユーザが、パブ リ ッ ク IP ネ ッ ト ワー ク を介し て セキ ュ リ テ ィ アプ ラ イ ア ン スおよびプ ラ イベー ト 企業ネ ッ ト ワー ク へのセキ ュ アな接続を 確立で き る よ う に し ます。L2TP は、データ の ト ンネ リ ン グに PPP over UDP(ポー ト 1701) を使用し ます。セキ ュ リ テ ィ アプ ラ イ ア ン スは、IPsec 転送モー ド 用に設定する必要があ り ます。 • [Web ACL]:(Clientless SSL VPN 専用) ト ラ フ ィ ッ ク を フ ィ ル タ リ ン グす る 場合は、ド ロ ッ プ ダ ウ ン リ ス ト か ら ア ク セ ス コ ン ト ロ ール リ ス ト (ACL)を選択 し ま す。選択す る 前に ACL を 表示、変更、追加、ま たは削除す る 場合は、リ ス ト の横に あ る [Manage] を ク リ ッ ク し ま す。 • [Access Hours]: こ のユーザに適用 さ れ る 既存の ア ク セ ス 時間ポ リ シーが あ る 場合はその名 前を選択す る か、ま たは新 し い ア ク セ ス 時間ポ リ シーを作成 し ま す。デ フ ォ ル ト は [Inherit] です。ま た、[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ の場合のデ フ ォ ル ト は [--Unrestricted--] です。 時間範囲オブジ ェ ク ト を表示 ま たは追加す る には、リ ス ト の横に あ る [Manage] を ク リ ッ ク し ま す。 • [Simultaneous Logins]: こ のユーザに許可す る 同時 ロ グ イ ン の最大数を指定 し ます。デフ ォ ル ト 値は 3 です。最小値は 0 で、こ の場合 ロ グ イ ンが無効にな り 、ユーザ ア ク セ ス を禁止 し ます。 注 • 最大数の制限はあ り ま せんが、複数の同時接続の許可がセ キ ュ リ テ ィ の低下を招 き 、 パ フ ォ ーマ ン ス に影響を及ぼすおそれが あ り ま す。 [Restrict Access to VLAN]:(オプシ ョ ン)「VLAN マ ッ ピ ン グ」 と も 呼ばれ ま す。こ のパ ラ メ ー タ に よ り 、こ の グループ ポ リ シーが適用 さ れ る セ ッ シ ョ ン の出力 VLAN イ ン タ ー フ ェ イ ス を指定 し ま す。ASA は、こ の グループの ト ラ フ ィ ッ ク すべて を、選択 し た VLAN に転送 し ま す。こ の属性を使用 し て VLAN を グループ ポ リ シーに割 り 当て、ア ク セ ス コ ン ト ロ ール を 簡素化 し ま す。こ の属性に値を割 り 当て る 方法は、ACL を使用 し て セ ッ シ ョ ン の ト ラ フ ィ ッ ク を フ ィ ル タ リ ン グす る 方法の代替方法です。ド ロ ッ プダ ウ ン リ ス ト には、デ フ ォ ル ト 値 (Unrestricted)の他に、こ のASAで設定 さ れてい る VLAN だけが表示 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-34 第3章 一般的な VPN 設定 グループ ポ リ シー 注 こ の機能は、HTTP 接続の場合には有効ですが、FTP お よ び CIFS 接続では使用で き ません。 • [Connection Profile (Tunnel Group) Lock]: こ のパ ラ メ ー タ を使用す る と 、選択 さ れた接続プ ロ フ ァ イ ル( ト ン ネル グループ)を使用す る VPN ア ク セ ス のみを許可 し 、別の接続 フ ァ イ ル を 使用す る ア ク セ ス を回避で き ま す。デ フ ォ ル ト の継承値は [None] です。 • [Maximum Connect Time]:[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ で あ る 場合、こ のパ ラ メ ー タ は、 ユーザの最大接続時間を分単位で指定 し ま す。こ こ で指定 し た時間が経過す る と 、シ ス テ ム は接続を終了 し ま す。最短時間は 1 分で、最長時間は 35791394 分(4000 年超)です。接続時間 を無制限にす る には、[Unlimited] を チ ェ ッ ク し ま す(デ フ ォ ル ト )。 • [Idle Timeout]:[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ であ る 場合、こ のパ ラ メ ー タ は、ユーザのア イ ド ル タ イ ム ア ウ ト 時間を分単位で指定 し ます。こ の期間、ユーザ接続に通信ア ク テ ィ ビ テ ィ が なか っ た場合、シ ス テ ムは接続を終了 し ます。最短時間は 1 分で、最長時間は 10080 分です。デ フ ォ ル ト は 30 分です。接続時間を無制限にす る には、[Unlimited] を オ ン に し ます。こ の値は、ク ラ イ ア ン ト レ ス SSL VPN のユーザには適用 さ れ ません。 • [Session Alert Interval]:[Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ にす る と 、自動的に [Default] チ ェ ッ ク ボ ッ ク ス がオ ン にな り ます。こ れに よ り 、セ ッ シ ョ ン ア ラ ー ト 間隔が 30 分に設定 さ れます。新 し い値を指定す る 場合は、[Default] チ ェ ッ ク ボ ッ ク ス を オ フ に し て、セ ッ シ ョ ン ア ラ ー ト 間隔 (1 ~ 30 分)を分数ボ ッ ク ス で指定 し ます。 • [Idle Alert Interval]:[Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ にす る と 、自動的に [Default] チ ェ ッ ク ボ ッ ク ス がオ ン にな り ま す。こ れに よ り 、ア イ ド ル ア ラ ー ト 間隔が 30 分に設定 さ れ ま す。新 し い値を指定す る 場合は、[Default] チ ェ ッ ク ボ ッ ク ス を オ フ に し て、セ ッ シ ョ ン ア ラ ー ト 間 隔(1 ~ 30 分)を分数ボ ッ ク ス で指定 し ま す。 内部グループ ポ リ シー、ク ラ イ ア ン ト レ ス SSL VPN ア ク セス ポー タ ル [Portal] 属性に よ り 、ク ラ イ ア ン ト レ ス SSL VPN 接続を確立す る こ の グループ ポ リ シーの メ ン バのポー タ ル ページに表示 さ れ る コ ン テ ン ツ が決 ま り ま す。こ のペ イ ン では、ブ ッ ク マー ク リ ス ト と URL エ ン ト リ 、フ ァ イ ル サーバ ア ク セ ス 、ポー ト 転送 と ス マー ト ト ン ネル、ActiveX リ レ ー、お よ び HTTP の設定を イ ネーブルにで き ま す。 • [Bookmark List]:あ ら か じ め設定 さ れたブ ッ ク マー ク リ ス ト を選択す る か、ま たは [Manage] を ク リ ッ ク し て新 し い リ ス ト を作成 し ま す。ブ ッ ク マー ク は リ ン ク と し て表示 さ れ、ユーザ は こ の リ ン ク を使用 し て ポー タ ル ページ か ら 移動で き ま す。 • [URL Entry]: リ モー ト ユーザが URL を ポー タ ル URL フ ィ ール ド に直接入力で き る よ う に す る 場合に イ ネーブルに し ま す。 • [File Access Control]:共通 イ ン タ ーネ ッ ト フ ァ イ ル シ ス テ ム(CIFS)フ ァ イ ルの「非表示共 有」の表示状態を制御 し ま す。非表示共有は、共有名の末尾の ド ル記号($)で識別 さ れ ま す。た と えば、ド ラ イ ブ C は C$ と し て共有 さ れ ま す。非表示共有では、共有 フ ォ ルダは表示 さ れ ず、ユーザは こ れ ら の非表示 リ ソ ー ス を参照 ま たはア ク セ ス す る こ と を禁止 さ れ ま す。 – [File Server Entry]: リ モー ト ユーザが フ ァ イ ル サーバの名前を入力で き る よ う にす る 場 合に イ ネーブルに し ま す。 – [File Server Browsing]: リ モー ト ユーザが使用可能な フ ァ イ ル サーバ を参照で き る よ う にす る 場合に イ ネーブルに し ま す。 – [Hidden Share Access]:共有 フ ォ ルダ を非表示にす る 場合に イ ネーブルに し ま す。 • [Port Forwarding Control]:Java Applet に よ る ク ラ イ ア ン ト レ ス SSL VPN 接続に よ り 、ユーザ が TCP ベー ス のア プ リ ケーシ ョ ン に ア ク セ ス で き る よ う に し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-35 第3章 一般的な VPN 設定 グループ ポ リ シー – [Port Forwarding List]: こ の グループ ポ リ シーに関連付け る 事前設定済み TCP ア プ リ ケーシ ョ ン の リ ス ト を選択 し ま す。新 し い リ ス ト を作成 し た り 、既存の リ ス ト を編集 し た り す る には、[Manage] を ク リ ッ ク し ま す。 – [Auto Applet Download]:ユーザが始めて ロ グ イ ンす る と き に実行 さ れ る 、Java Applet の 自動 イ ン ス ト ールお よ び起動を イ ネーブルに し ま す。 – [Applet Name]:[Applet] ダ イ ア ロ グ ボ ッ ク ス の タ イ ト ルバーの名前を、指定す る 名前に変 更 し ま す。デ フ ォ ル ト の名前は [Application Access] です。 • [Smart Tunnel]:セ キ ュ リ テ ィ ア プ ラ イ ア ン ス を パ ス ウ ェ イ と し て、ま た、ASA を プ ロ キ シ サーバ と し て使用す る ク ラ イ ア ン ト レ ス (ブ ラ ウ ザベー ス )SSL VPN セ ッ シ ョ ン を使用 し て、ス マー ト ト ン ネルのオプシ ョ ン を指定 し ま す。 – [Smart Tunnel Policy]:ネ ッ ト ワ ー ク リ ス ト か ら 選択 し 、いずれか 1 つの ト ン ネル オプ シ ョ ン を 指定 し ま す([use smart tunnel for the specified network]、[do not use smart tunnel for the specified network]、ま たは [use tunnel for all network traffic])。ス マー ト ト ン ネル ネ ッ ト ワ ー ク を グ ループ ポ リ シー ま たはユーザ名に割 り 当て る と 、そ の グ ループ ポ リ シー ま たはユーザ名にセ ッ シ ョ ン が関連付け ら れて い る すべて のユーザの場合に ス マー ト ト ン ネル ア ク セ ス が イ ネーブルに な り ま すが、リ ス ト で指定 さ れて い る ア プ リ ケーシ ョ ン への ス マー ト ト ン ネル ア ク セ ス は制限 さ れ ま す。ス マー ト ト ン ネル リ ス ト を 表示、追加、変更、ま たは削除す る には、[Manage] を ク リ ッ ク し ま す。 – [Smart Tunnel Application]: ド ロ ッ プ ダ ウ ン リ ス ト か ら 選択 し 、エ ン ド ス テーシ ョ ン に イ ン ス ト ール さ れて い る TCP ベー ス の ア プ リ ケーシ ョ ン Winsock 2 を イ ン ト ラ ネ ッ ト 上のサーバに接続 し ま す。ス マー ト ト ン ネル ア プ リ ケーシ ョ ン を 表示、追加、変更、ま た は削除す る には、[Manage] を ク リ ッ ク し ま す。 – [Smart Tunnel all Applications]:すべてのアプ リ ケーシ ョ ン を ト ン ネ リ ン グす る には、こ の チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。ネ ッ ト ワ ー ク リ ス ト か ら 選択 し た り 、エ ン ド ユーザ が外部アプ リ ケーシ ョ ン用に起動す る 可能性があ る 実行フ ァ イ ルを認識 し た り す る こ と な く 、すべてのアプ リ ケーシ ョ ン が ト ン ネ リ ン グ さ れ ます。 – [Auto Start]:ユーザの ロ グ イ ン時に、ス マー ト ト ン ネル ア ク セ ス を自動的に開始す る に は、こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。ユーザの ロ グ イ ン時に ス マー ト ト ン ネル ア ク セ ス を開始す る こ のオプシ ョ ン は Windows だけに適用 さ れ ま す。ユーザの ロ グ イ ン時 に ス マー ト ト ン ネル ア ク セ ス を イ ネーブルに し て、ユーザに手動で開始す る よ う に要 求す る 場合は こ のチ ェ ッ ク ボ ッ ク ス を オ フ に し ま す。ユーザは、[Clientless SSL VPN Portal] ページの [Application Access] > [Start Smart Tunnels] ボ タ ン を使用 し て ア ク セ ス を 開始で き ま す。 – [Auto Sign-on Server List]:ユーザがサーバへの ス マー ト ト ン ネル接続を確立す る と き に ユーザ ク レデン シ ャ ルを再発行す る 場合、ド ロ ッ プダ ウ ン リ ス ト か ら リ ス ト 名を選択 し ます。各 ス マー ト ト ン ネル自動サ イ ン オ ン リ ス ト のエ ン ト リ は、ユーザ ク レデン シ ャ ル のサブ ミ ッ シ ョ ン を自動化す る サーバ を示 し ま す。ス マー ト ト ン ネル自動サ イ ン オ ン リ ス ト を表示、追加、変更、ま たは削除す る には、[Manage] ボ タ ン を ク リ ッ ク し ます。 – [Windows Domain Name (Optional)]:共通命名規則(domain\username)が認証に必要な場 合、自動サ イ ン オ ン二次ユーザ名に追加す る Windows の ド メ イ ン を指定 し ま す。た と え ば、ユーザ名 qu_team の認証を行 う 場合、CISCO と 入力 し て CISCO\qa_team を指定 し ま す。自動サ イ ン オ ン サーバ リ ス ト で関連す る エ ン ト リ を設定す る 場合、[Use Windows domain name with user name] オプシ ョ ン も オ ン にす る 必要が あ り ま す。 • [ActiveX Relay]: ク ラ イ ア ン ト レ ス ユーザが Microsoft Office ア プ リ ケーシ ョ ン を ブ ラ ウ ザ か ら 起動で き る よ う に し ま す。ア プ リ ケーシ ョ ン は、セ ッ シ ョ ン を使用 し て Microsoft Office ド キ ュ メ ン ト のダ ウ ン ロ ー ド と ア ッ プ ロ ー ド を行い ま す。ActiveX の リ レ ーは、ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を終了す る ま で有効な ま ま です。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-36 第3章 一般的な VPN 設定 グループ ポ リ シー その他のオプ シ ョ ン: • [HTTP Proxy]: ク ラ イ ア ン ト への HTTP ア プ レ ッ ト プ ロ キ シの転送を イ ネーブル ま たはデ ィ セーブルに し ま す。こ のプ ロ キ シは、適切な コ ン テ ン ツ変換に干渉す る テ ク ノ ロ ジー(Java、 ActiveX、Flash な ど )に対 し て有用です。こ のプ ロ キ シに よ っ て、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス の使用を継続 し なが ら 、マ ン グ リ ン グ を回避で き ま す。転送プ ロ キ シは、ブ ラ ウ ザの古いプ ロ キ シ設定を自動的に修正 し 、すべての HTTP お よ び HTTPS 要求 を新 し いプ ロ キ シ設定に リ ダ イ レ ク ト し ま す。HTTP ア プ レ ッ ト プ ロ キ シ では、HTML、CSS、JavaScript、VBScript、 ActiveX、Java な ど 、ほ と ん ど すべての ク ラ イ ア ン ト 側テ ク ノ ロ ジーがサポー ト さ れてい ま す。サポー ト さ れてい る ブ ラ ウ ザは、Microsoft Internet Explorer だけです。 • [Auto Start (HTTP Proxy)]:ユーザの ロ グ イ ン時に HTTP プ ロ キ シ を自動的に イ ネーブルにす る 場合にオ ン に し ま す。ユーザ ロ グ イ ン時に ス マー ト ト ン ネル ア ク セ ス を イ ネーブルに し て、ユーザに手動で開始す る よ う に要求す る 場合はオ フ に し ま す。 • [HTTP Compression]: ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン での HTTP デー タ の圧縮を イ ネーブルに し ま す。 内部グループ ポ リ シーの設定、ク ラ イ ア ン ト レ ス SSL VPN のポー タ ルのカ ス タ マ イズ グループ ポ リ シーの カ ス タ マ イ ゼーシ ョ ン を設定す る には、事前設定済みのポー タ ル カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト を選択す る か、ま たはデ フ ォ ル ト グループ ポ リ シーで定義 さ れてい る カ ス タ マ イ ゼーシ ョ ン を受け入れ ま す。表示す る URL を設定す る こ と も で き ま す。 ク ラ イ ア ン ト レ ス SSL VPN ア ク セ ス 接続に ア ク セ ス ポー タ ル を カ ス タ マ イ ズす る ための手順 は、ネ ッ ト ワ ー ク ア ク セ ス ク ラ イ ア ン ト 接続 と 同 じ です。内部グループ ポ リ シー、ク ラ イ ア ン ト レ ス ポー タ ルの AnyConnect カ ス タ マ イ ズ(3-28 ページ)を参照 し て く だ さ い。 内部グループ ポ リ シー、ク ラ イ ア ン ト レ ス SSL VPN のログ イ ン設定 リ モー ト ユーザに AnyConnect ク ラ イ ア ン ト のダ ウ ン ロ ー ド を求め る プ ロ ン プ ト を表示す る よ う に、ま たは ク ラ イ ア ン ト レ ス SSL VPN のポー タ ル ページに進む よ う に ASA を設定で き ます。内部 グループ ポ リ シー、AnyConnect ロ グ イ ン設定(3-23 ページ)を参照 し て く だ さ い。 内部グループ ポ リ シー、ク ラ イ ア ン ト レ ス SSL VPN ア ク セス用のシ ングル サイ ンオン サーバ と 自動サイ ンオン サーバ シ ン グル サ イ ン オ ン サーバ と 自動サ イ ン オ ン サーバ を設定す る には、を参照 し て く だ さ い。 Site-to-Site 内部グループ ポ リ シー サ イ ト 間 VPN 接続の グループ ポ リ シーでは、ト ン ネ リ ン グ プ ロ ト コ ル、フ ィ ル タ 、お よ び接続設 定を指定 し ま す。こ のダ イ ア ロ グ ボ ッ ク ス の各 フ ィ ール ド で、[Inherit] チ ェ ッ ク ボ ッ ク ス を選択 す る と 、対応す る 設定の値をデ フ ォ ル ト グループ ポ リ シーか ら 取得で き ま す。[Inherit] は、こ の ダ イ ア ロ グ ボ ッ ク ス の属性すべてのデ フ ォ ル ト 値です。 フ ィ ール ド [Add Internal Group Policy] > [General] ダ イ ア ロ グ ボ ッ ク ス には、次の属性が表示 さ れ ま す。こ れ ら の属性は、SSL VPN と IPsec セ ッ シ ョ ン、ま たは ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン に適用 さ れ ま す。そのため、い く つかの属性は、1 つの タ イ プのセ ッ シ ョ ン に表示 さ れ、他の タ イ プには 表示 さ れ ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-37 第3章 一般的な VPN 設定 グループ ポ リ シー • [Name]: こ の グループ ポ リ シーの名前を指定 し ま す。Edit 機能の場合、こ の フ ィ ール ド は読 み取 り 専用です。 • [Tunneling Protocols]: こ の グループが許可す る ト ン ネ リ ン グ プ ロ ト コ ル を指定 し ま す。ユー ザは、選択 さ れてい る プ ロ ト コ ルだけ を使用で き ま す。次の選択肢が あ り ま す。 – [Clientless SSL VPN]:SSL/TLS に よ る VPN の使用法を指定 し ま す。こ の VPN では、ソ フ ト ウ ェ アやハー ド ウ ェ アの ク ラ イ ア ン ト を必要 と せずに、Web ブ ラ ウ ザ を使用 し てASAへ のセ キ ュ ア な リ モー ト ア ク セ ス ト ン ネルを確立 し ます。ク ラ イ ア ン ト レ ス SSL VPN を使 用す る と 、HTTPS イ ン タ ーネ ッ ト サ イ ト を利用で き る ほ と ん どすべての コ ン ピ ュ ー タ か ら 、企業の Web サ イ ト 、Web 対応アプ リ ケーシ ョ ン、NT/AD フ ァ イ ル共有(Web 対応)、電 子 メ ール、お よ びその他の TCP ベー ス アプ リ ケーシ ョ ン な ど、幅広い企業 リ ソ ー ス に簡 単にア ク セ ス で き る よ う にな り ま す。 – [SSL VPN Client]:Cisco AnyConnect VPN ク ラ イ ア ン ト ま たは レ ガ シー SSL VPN ク ラ イ ア ン ト の使用を指定 し ま す。AnyConnect ク ラ イ ア ン ト を使用 し てい る 場合は、こ のプ ロ ト コ ル を選択 し て MUS がサポー ト さ れ る よ う にす る 必要が あ り ま す。 – [IPsec IKEv1]:IP セ キ ュ リ テ ィ プ ロ ト コ ル。IPsec は最 も セ キ ュ ア な プ ロ ト コ ル と さ れて お り 、VPN ト ン ネルのほぼ完全な アーキ テ ク チ ャ を提供 し ま す。Site-to-Site( ピ ア ツー ピ ア)接続、お よ び Cisco VPN ク ラ イ ア ン ト と LAN 間の接続の両方で IPsec IKEv1 を使用 で き ま す。 – [IPsec IKEv2]:AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト に よ っ てサポー ト さ れて い ま す。IKEv2 を使用 し た IPsec を使用す る AnyConnect 接続では、ソ フ ト ウ ェ ア ア ッ プ デー ト 、ク ラ イ ア ン ト プ ロ フ ァ イ ル、GUI の ロ ーカ リ ゼーシ ョ ン(翻訳) と カ ス タ マ イ ゼーシ ョ ン、Cisco Secure Desktop、SCEP プ ロ キ シ な ど の拡張機能が提供 さ れ ま す。 – [L2TP over IPsec]:多 く の PC およびモバ イ ル PC のオペレーテ ィ ン グ シ ス テムで提供 さ れる VPN ク ラ イ ア ン ト を使用し てい る リ モー ト ユーザが、パブ リ ッ ク IP ネ ッ ト ワー ク を介し て セキ ュ リ テ ィ アプ ラ イ ア ン スおよびプ ラ イベー ト 企業ネ ッ ト ワー ク へのセキ ュ アな接続を 確立で き る よ う に し ます。L2TP は、データ の ト ンネ リ ン グに PPP over UDP(ポー ト 1701) を使用し ます。セキ ュ リ テ ィ アプ ラ イ ア ン スは、IPsec 転送モー ド 用に設定する必要があ り ます。 • [Filter]:(Network (Client) Access 専用)使用す る ア ク セ ス コ ン ト ロ ール リ ス ト を指定す る か、 ま たは グループ ポ リ シーか ら 値を継承す る か ど う か を指定 し ま す。フ ィ ル タ は、ASAを経由 し て着信 し た ト ン ネ リ ン グ さ れたデー タ パケ ッ ト を、送信元ア ド レ ス 、宛先ア ド レ ス 、プ ロ ト コ ルな ど の基準に よ っ て、許可す る か拒否す る か を決定す る ルールで構成 さ れ ま す。フ ィ ル タ お よ びルール を設定す る 方法については、[Group Policy] ダ イ ア ロ グ ボ ッ ク ス を参照 し て く だ さ い。ACL を表示お よ び設定で き る [ACL Manager] を開 く には、[Manage] を ク リ ッ ク し ま す。 • [Idle Timeout]:[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ であ る 場合、こ のパ ラ メ ー タ は、ユーザのア イ ド ル タ イ ム ア ウ ト 時間を分単位で指定 し ます。こ の期間、ユーザ接続に通信ア ク テ ィ ビ テ ィ が なか っ た場合、シ ス テ ムは接続を終了 し ます。最短時間は 1 分で、最長時間は 10080 分です。デ フ ォ ル ト は 30 分です。接続時間を無制限にす る には、[Unlimited] を オ ン に し ます。こ の値は、ク ラ イ ア ン ト レ ス SSL VPN のユーザには適用 さ れ ません。 • [Maximum Connect Time]:[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ で あ る 場合、こ のパ ラ メ ー タ は、 ユーザの最大接続時間を分単位で指定 し ま す。こ こ で指定 し た時間が経過す る と 、シ ス テ ム は接続を終了 し ま す。最短時間は 1 分で、最長時間は 35791394 分(4000 年超)です。接続時間 を無制限にす る には、[Unlimited] を チ ェ ッ ク し ま す(デ フ ォ ル ト )。 • [Periodic Authentication Interval]:[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ の場合に、定期的な証明書 確認を実行す る 間隔を設定で き ま す。範囲は 1 ~ 168 時間で、デ フ ォ ル ト は無効にな っ てい ま す。確認を無制限にす る には、[Unlimited] を オ ン に し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-38 第3章 一般的な VPN 設定 グループ ポ リ シー ローカル ユーザの VPN ポ リ シー属性の設定 ステ ッ プ 1 ASDM を開始 し 、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を選 択 し ま す。 ステ ッ プ 2 設定す る ユーザ を選択 し 、[Edit] を ク リ ッ ク し ま す。 ステ ッ プ 3 左側のペ イ ン で、[VPN Policy] を ク リ ッ ク し ま す。 ステ ッ プ 4 ユーザの グループ ポ リ シーを指定 し ま す。ユーザ ポ リ シーは、こ の グループ ポ リ シーの属性を 継承 し ま す。デ フ ォ ル ト グループ ポ リ シーの設定を継承す る よ う 設定 さ れてい る 他の フ ィ ール ド が あ る 場合、こ の グループ ポ リ シーで指定 さ れた属性がデ フ ォ ル ト グループ ポ リ シーで設定 さ れた属性 よ り 優先 さ れ ま す。 ステ ッ プ 5 ユーザが使用で き る ト ン ネ リ ン グ プ ロ ト コ ル を指定す る か、グループ ポ リ シーか ら 値を継承す る か ど う か を指定 し ま す。目的の [Tunneling Protocols] チ ェ ッ ク ボ ッ ク ス を オ ン に し 、使用で き る よ う にす る VPN ト ン ネ リ ン グ プ ロ ト コ ル を選択 し ま す。次の選択肢が あ り ま す。 ステ ッ プ 6 • (SSL/TLS を利用す る VPN) ク ラ イ ア ン ト レ ス SSL VPN では、Web ブ ラ ウ ザ を使用 し て VPN コ ン セ ン ト レ ー タ へのセ キ ュ ア な リ モー ト ア ク セ ス ト ン ネル を確立 し 、こ のオプシ ョ ン は ソ フ ト ウ ェ ア ク ラ イ ア ン ト も ハー ド ウ ェ ア ク ラ イ ア ン ト も 必要 と し ま せん。ク ラ イ ア ン ト レ ス SSL VPN を使用す る と 、HTTPS を通 じ て安全な イ ン タ ーネ ッ ト サ イ ト を利用で き る ほ と ん ど すべての コ ン ピ ュ ー タ か ら 、企業の Web サ イ ト 、Web 対応ア プ リ ケーシ ョ ン、NT/AD フ ァ イ ル共有、電子 メ ール、お よ びその他の TCP ベー ス ア プ リ ケーシ ョ ン な ど 、幅広い企業 リ ソ ー ス に簡単に ア ク セ ス で き る よ う にな り ま す。 • SSL VPN ク ラ イ ア ン ト は、Cisco AnyConnect Client ア プ リ ケーシ ョ ン のダ ウ ン ロ ー ド 後に接 続で き る よ う に し ま す。最初に ク ラ イ ア ン ト レ ス SSL VPN 接続を使用 し て こ の ア プ リ ケー シ ョ ン を ダ ウ ン ロ ー ド し ま す。接続す る たびに、必要に応 じ て ク ラ イ ア ン ト ア ッ プデー ト が 自動的に行われ ま す。 • [IPsec IKEv1]:IP セ キ ュ リ テ ィ プ ロ ト コ ル。IPsec は最 も セ キ ュ ア な プ ロ ト コ ル と さ れてお り 、VPN ト ン ネルのほぼ完全な アーキ テ ク チ ャ を提供 し ま す。Site-to-Site( ピ ア ツー ピ ア)接 続、お よ び Cisco VPN ク ラ イ ア ン ト と LAN 間の接続の両方で IPsec IKEv1 を使用で き ま す。 • [IPsec IKEv2]:AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト に よ っ てサポー ト さ れてい ま す。IKEv2 を使用 し た IPsec を使用す る AnyConnect 接続では、ソ フ ト ウ ェ ア ア ッ プデー ト 、ク ラ イ ア ン ト プ ロ フ ァ イ ル、GUI の ロ ーカ リ ゼーシ ョ ン(翻訳) と カ ス タ マ イ ゼーシ ョ ン、Cisco Secure Desktop、SCEP プ ロ キ シ な ど の拡張機能が提供 さ れ ます。 • L2TP over IPSec では、複数の PC やモバ イ ル PC に採用 さ れてい る 一般的な オペ レ ーテ ィ ン グ シ ス テ ム に付属の VPN ク ラ イ ア ン ト を使用す る リ モー ト ユーザが、パブ リ ッ ク IP ネ ッ ト ワ ー ク を介 し て ASA お よ びプ ラ イ ベー ト 企業ネ ッ ト ワ ー ク へのセ キ ュ ア な接続を確立で き る よ う に し ま す。 使用す る フ ィ ル タ (IPv4 ま たは IPv6)を指定す る か、ま たはグループ ポ リ シーの値を継承す る か ど う か を指定 し ま す。フ ィ ル タ は、ASAを経由 し て着信 し た ト ン ネ リ ン グ さ れたデー タ パケ ッ ト を、送信元ア ド レ ス 、宛先ア ド レ ス 、プ ロ ト コ ルな ど の基準に よ っ て、許可す る か拒否す る か を決 定す る ルールで構成 さ れ ま す。フ ィ ル タ お よ びルール を設定す る には、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [General] > [More Options] > [Filter] を選択 し ま す。 [Manage] を ク リ ッ ク し て、ACL と ACE を追加、編集、お よ び削除で き る [ACL Manager] ペ イ ン を 表示 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-39 第3章 一般的な VPN 設定 グループ ポ リ シー ステ ッ プ 7 接続プ ロ フ ァ イ ル( ト ン ネル グ ループ ロ ッ ク )が あ る 場合、それ を 継承す る か ど う か、ま たは選 択 し た ト ン ネル グ ループ ロ ッ ク を 使用す る か ど う か を 指定 し ま す。特定の ロ ッ ク を 選択す る と 、ユーザの リ モー ト ア ク セ ス は こ の グループだ けに制限 さ れ ま す。ト ン ネル グループ ロ ッ ク では、VPN ク ラ イ ア ン ト で設定 さ れた グループ と 、そのユーザが割 り 当て ら れて い る グ ループ が同 じ か ど う か を チ ェ ッ ク す る こ と に よ っ て、ユーザが制限 さ れ ま す。同一では な か っ た場合、 ASAはユーザに よ る 接続 を 禁止 し ま す。[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ の場合、デ フ ォ ル ト 値 は [None] です。 ステ ッ プ 8 [Store Password on Client System] 設定を グループか ら継承する かど う かを指定し ます。[Inherit] チェ ッ ク ボ ッ ク ス をオフにする と 、[Yes] および [No] のオプシ ョ ン ボ タ ンが有効にな り ます。[Yes] を ク リ ッ ク する と 、ロ グ イ ン パス ワー ド が ク ラ イ アン ト シ ス テムに保存さ れます(セキ ュ リ テ ィ が低下するおそ れのあ る オプシ ョ ンです)。接続ご と にユーザにパス ワー ド の入力を求め る よ う にする には、[No] を ク リ ッ ク し ます(デフ ォル ト )。セキ ュ リ テ ィ を最大限に確保する ために も、パス ワー ド の保存は許可し ない こ と を推奨し ます。 ステ ッ プ 9 こ のユーザに適用す る ア ク セ ス 時間ポ リ シーを指定す る 、そのユーザの新 し い ア ク セ ス 時間ポ リ シーを作成す る 、ま たは [Inherit] チ ェ ッ ク ボ ッ ク ス を オ ン の ま ま に し ま す。デ フ ォ ル ト は [Inherit] です。ま た、[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ の場合のデ フ ォ ル ト は [Unrestricted] です。 [Manage] を ク リ ッ ク し て、[Add Time Range] ダ イ ア ロ グ ボ ッ ク ス を開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス で ア ク セ ス 時間の新規セ ッ ト を指定で き ま す。 ス テ ッ プ 10 ユーザに よ る 同時 ロ グ イ ン数を指定 し ま す。同時 ロ グ イ ン設定は、こ のユーザに指定で き る 最大 同時 ロ グ イ ン数を指定 し ま す。デ フ ォ ル ト 値は 3 です。最小値は 0 で、こ の場合 ロ グ イ ン が無効に な り 、ユーザ ア ク セ ス を禁止 し ま す。 注 最大値を設定て制限 し ておかない同時に多数の接続が許可 さ れ る ため、セ キ ュ リ テ ィ と パ フ ォ ーマ ン ス の低下を招 く おそれが あ り ま す。 ス テ ッ プ 11 ユーザ接続時間の最大接続時間を分で指定 し ま す。こ こ で指定 し た時間が経過す る と 、シ ス テ ム は接続を終了 し ま す。最短時間は 1 分、最長時間は 2147483647 分(4000 年超)です。接続時間を無 制限にす る には、[Unlimited] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す(デ フ ォ ル ト )。 ス テ ッ プ 12 ユーザの ア イ ド ル タ イ ム ア ウ ト を 分で指定 し ま す。こ の期間、こ のユーザの接続に通信ア ク テ ィ ビ テ ィ が な か っ た場合、シ ス テ ム は接続 を 終了 し ま す。最短時間は 1 分で、最長時間は 10080 分です。こ の値は、ク ラ イ ア ン ト レ ス SSL VPN 接続のユーザには適用 さ れ ま せん。 ス テ ッ プ 13 セ ッ シ ョ ン ア ラ ー ト 間隔を設定し ます。[Inherit] チ ェ ッ ク ボ ッ ク ス をオフにする と 、[Default] チ ェ ッ ク ボ ッ ク スは自動的に検査 さ れ、セ ッ シ ョ ンのア ラ ー ト 間隔が 30 分に設定 さ れます。新し い値を指 定する場合は、[Default] チ ェ ッ ク ボ ッ ク ス をオフに し て、セ ッ シ ョ ン ア ラ ー ト 間隔(1 ~ 30 分)を分数 ボ ッ ク ス で指定し ます。 ス テ ッ プ 14 ア イ ド ル ア ラ ー ト 間隔 を 設定 し ま す。[Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ にす る と 、自動的に [Default] チ ェ ッ ク ボ ッ ク ス がオ ン に な り ま す。こ れに よ り 、ア イ ド ル ア ラ ー ト 間隔が 30 分に設 定 さ れ ま す。新 し い値 を 指定す る 場合は、[Default] チ ェ ッ ク ボ ッ ク ス を オ フ に し て、セ ッ シ ョ ン ア ラ ー ト 間隔(1 ~ 30 分)を 分数ボ ッ ク ス で指定 し ま す。 ス テ ッ プ 15 こ のユーザに対 し て専用の IPv4 ア ド レ ス を設定す る 場合は、[Dedicated IPv4 Address] 領域(任 意)で、IPv4 ア ド レ ス お よ びサブネ ッ ト マ ス ク を入力 し ま す。 ス テ ッ プ 16 こ のユーザに対 し て専用の IPv6 ア ド レ ス を設定す る 場合は、[Dedicated IPv6 Address] フ ィ ール ド (任意)で、IPv6 ア ド レ ス を IPv6 プ レ フ ィ ッ ク ス と と も に入力 し ま す。IPv6 プ レ フ ィ ッ ク ス は、 IPv6 ア ド レ ス が常駐す る サブネ ッ ト を示 し ま す。 ス テ ッ プ 17 [OK] を ク リ ッ ク し ま す。 変更内容が実行 コ ン フ ィ ギ ュ レ ーシ ョ ン に保存 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-40 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル 接続プ ロ フ ァ イル 接続プ ロ フ ァ イ ル( ト ン ネル グループ と も 呼ばれ る )では、VPN 接続の接続属性を設定 し ま す。 こ れ ら の属性は、Cisco AnyConnect VPN ク ラ イ ア ン ト 、ク ラ イ ア ン ト レ ス SSL VPN 接続、お よ び IKEv1 と IKEv2 のサー ド パーテ ィ VPN ク ラ イ ア ン ト に適用 さ れ ま す。 AnyConnect 接続プ ロ フ ァ イル、メ イ ン ペ イ ン AnyConnect 接続プ ロ フ ァ イ ルの メ イ ン ペ イ ン では、イ ン タ ー フ ェ イ ス 上の ク ラ イ ア ン ト ア ク セ ス を有効に し て、接続プ ロ フ ァ イ ル を追加、編集、お よ び削除で き ま す。ロ グ イ ン時にユーザが特 定の接続を選択で き る よ う にす る か ど う か も 指定で き ま す。 • [Access Interfaces]:ア ク セ ス を イ ネーブルにす る イ ン タ ー フ ェ イ ス を テーブルか ら 選択で き ま す。こ のテーブルの フ ィ ール ド には、イ ン タ ー フ ェ イ ス 名やチ ェ ッ ク ボ ッ ク ス が表示 さ れ、 ア ク セ ス を許可す る か ど う か を指定 し ま す。 – イ ン タ ーフ ェ イ ス テーブルの AnyConnect 接続に設定す る イ ン タ ーフ ェ イ ス の行で、イ ン タ ーフ ェ イ ス で イ ネーブルにす る プ ロ ト コ ルを オ ン に し ま す。SSL ア ク セ ス 、IPSec ア ク セ ス 、ま たはその両方を許可で き ま す。 SSL を オ ン にす る と 、DTLS(Datagram Transport Layer Security)がデフ ォ ル ト で イ ネーブル にな り ます。DTLS に よ り 、一部の SSL 接続で発生す る 遅延お よ び帯域幅の問題が回避 さ れ、パケ ッ ト 遅延の影響を受けやすい リ アル タ イ ム アプ リ ケーシ ョ ン のパ フ ォ ーマ ン ス が向上 し ま す。 IPsec(IKEv2)ア ク セ ス を オ ン にす る と 、ク ラ イ ア ン ト サー ビ ス がデ フ ォ ル ト で イ ネーブ ルにな り ま す。ク ラ イ ア ン ト サービ ス には、ソ フ ト ウ ェ ア ア ッ プデー ト 、ク ラ イ ア ン ト プ ロ フ ァ イ ル、GUI の ロ ーカ リ ゼーシ ョ ン(翻訳) と カ ス タ マ イ ゼーシ ョ ン、Cisco Secure Desktop、SCEP プ ロ キ シ な ど の拡張 Anyconnect 機能が含 ま れてい ま す。ク ラ イ ア ン ト サービ ス をデ ィ セーブルに し て も 、AnyConnect ク ラ イ ア ン ト では IKEv2 と の基本的な IPsec 接続が確立 さ れ ま す。 – [Device Certificate]:RSA キー ま たは ECDSA キーの認証の証明書を指定で き ま す。デバ イ ス 証明書の指定(3-42 ページ)を参照 し て く だ さ い。 – [Port Setting]:HTTPS お よ び DTLS(RA ク ラ イ ア ン ト のみ)接続のポー ト 番号を設定 し ま す。接続プ ロ フ ァ イ ル、ポー ト 設定(3-43 ページ)を参照 し て く だ さ い。 – [Bypass interface access lists for inbound VPN sessions]:[Enable inbound VPN sessions to bypass interface ACLs] がデフ ォ ル ト でオ ンにな っ てい ます。セキ ュ リ テ ィ アプ ラ イ ア ン ス が、す べての VPN ト ラ フ ィ ッ ク の イ ン タ ーフ ェ イ ス ACL の通過を許可 し ます。た と えば、外部 イ ン タ ーフ ェ イ ス ACL が復号化 さ れた ト ラ フ ィ ッ ク の通過を許可 し ない場合で も 、セ キ ュ リ テ ィ アプ ラ イ ア ン ス は リ モー ト プ ラ イ ベー ト ネ ッ ト ワー ク を信頼 し 、復号化 さ れ たパケ ッ ト の通過を許可 し ます。こ のデフ ォ ル ト の動作を変更で き ます。イ ン タ ーフ ェ イ ス ACL に VPN 保護対象 ト ラ フ ィ ッ ク の検査を行わせ る ためには、こ のチ ェ ッ ク ボ ッ ク ス を オ フ に し ます。 • Login Page Setting – ユーザはそのエ イ リ ア ス で識別 さ れ る 接続プ ロ フ ァ イ ル を ロ グ イ ン ページ で選択で き ま す。こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し ない場合、デ フ ォ ル ト 接続プ ロ フ ァ イ ルは DefaultWebVPNGroup です。 – [Shutdown portal login page.]: ロ グ イ ン がデ ィ セーブルの場合に Web ページ を表示 し ま す。 • [Connection Profiles]:接続( ト ン ネル グループ)のプ ロ ト コ ル固有属性を設定 し ま す。 – [Add/Edit]:接続プ ロ フ ァ イ ル( ト ン ネル グループ)を追加 ま たは編集 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-41 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル – [Name]:接続プ ロ フ ァ イ ルの名前。 – [Aliases]:接続プ ロ フ ァ イ ルの別名。 – [SSL VPN Client Protocol]:SSL VPN ク ラ イ ア ン ト に ア ク セ ス 権を与え る か ど う か を指定 し ま す。 – [Group Policy]: こ の接続プ ロ フ ァ イ ルのデ フ ォ ル ト グループ ポ リ シーを表示 し ま す。 – [Allow user to choose connection, identified by alias in the table above, at login page]:[Login] ページ での接続プ ロ フ ァ イ ル( ト ン ネル グループ)エ イ リ ア ス の表示を イ ネーブルにす る 場合はオ ン に し ま す。 • [Let group URL take precedence if group URL and certificate map match different connection profiles. Otherwise, the connection profile matches the certificate map will be used.]: こ のオプ シ ョ ン では、接続プ ロ フ ァ イ ルの選択プ ロ セ ス 時に グ ループ URL お よ び証明書の値の相対 的プ リ フ ァ レ ン ス を 指定 し ま す。ASA で、推奨 さ れ る 値 と 一致す る 値が見つか ら な い場合 は、別の値に一致す る 接続プ ロ フ ァ イ ルが選択 さ れ ま す。VPN エ ン ド ポ イ ン ト で指定 し た グループ URL を 、同 じ グループ URL を 指定す る 接続プ ロ フ ァ イ ル と 照合す る た めに、多数 の古い ASA ソ フ ト ウ ェ ア リ リ ー ス で使用 さ れ る プ リ フ ァ レ ン ス を 利用す る 場合にのみ、こ のオプ シ ョ ン を オ ン に し ま す。こ のオプ シ ョ ン は、デ フ ォ ル ト ではオ フ に な っ て い ま す。オ フ に し た場合、ASA は接続プ ロ フ ァ イ ルで指定 し た証明書 フ ィ ール ド 値 を 、エ ン ド ポ イ ン ト で使用す る 証明書の フ ィ ール ド 値 と 照合 し て、接続プ ロ フ ァ イ ル を 割 り 当て ま す。 デバイ ス証明書の指定 [Specify Device Certificate] ペ イ ン を使用す る と 、接続を作成 し よ う と し た場合に、ク ラ イ ア ン ト に 対 し て ASA を識別す る 証明書を指定で き ます。こ の画面は、AnyConnect 接続プ ロ フ ァ イ ルお よ び ク ラ イ ア ン ト レ ス接続プ ロ フ ァ イ ル用です。Alway-on IPsec/IKEv2 な ど の特定の AnyConnect 機能 では、有効で信頼で き る デバ イ ス の証明書を ASA で利用で き る 必要があ り ます。 ASA リ リ ー ス 9.4.1 以降では、ECDSA 証明書を(AnyConnect ク ラ イ ア ン ト と ク ラ イ ア ン ト レ ス SSL の両方か ら の)SSL 接続に使用で き ま す。こ の リ リ ー ス 以前は、AnyConnect IPsec 接続用の ECDSA 証明書だけがサポー ト さ れ、設定 さ れ ま し た。 ステ ッ プ 1 ステ ッ プ 2 (VPN 接続のみ)[RSA Key] 領域の [Certificate] で、次のいずれかの タ ス ク を実行 し ま す。 • 1 つの証明書を選択 し て、両方のプ ロ ト コ ル を使用 し て ク ラ イ ア ン ト を認証す る 場合、[Use the same device certificate for SSL and IPsec IKEv2] チ ェ ッ ク ボ ッ ク ス を オ ン の ま ま に し ま す。 リ ス ト ボ ッ ク ス で使用で き る 証明書を選択 し た り 、[Manage] を ク リ ッ ク し て、使用す る ID 証明書を作成 し た り で き ま す。 • [Use the same device certificate for SSL and IPsec IKEv2] チ ェ ッ ク ボ ッ ク ス を オ フ に し て、SSL 接続 ま たは IPSec 接続の別個の証明書を指定 し ま す。 [Device Certificate] リ ス ト ボ ッ ク ス か ら 証明書を選択 し ま す。 必要な証明書が表示 さ れない場合は、[Manage] ボ タ ン を ク リ ッ ク し て、ASA の ID 証明書を管理 し ま す。 ステ ッ プ 3 (VPN 接続のみ)[ECDSA key] フ ィ ール ド の [Certificate] で、リ ス ト ボ ッ ク ス か ら ECDSA の証明 書を選択す る か、[Manage] を ク リ ッ ク し て、ECDSA の ID 証明書を作成 し ま す。 ステ ッ プ 4 [OK] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-42 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル 接続プ ロ フ ァ イル、ポー ト 設定 ASDM の接続プ ロ フ ァ イ ル ペ イ ン で SSL お よ び DTLS 接続( リ モー ト ア ク セ ス のみ)のポー ト 番号を設定 し ま す。 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] フ ィ ール ド • [HTTPS Port]:HTTPS(ブ ラ ウザベース)SSL 接続用に イ ネーブルにする ポー ト 。範囲は 1 ~ 65535 です。デフ ォル ト はポー ト 443 です。 • [DTLS Port]:DTLS 接続用に イ ネーブルにす る UDP ポー ト 。範囲は 1 ~ 65535 です。デ フ ォ ル ト はポー ト 443 です。 AnyConnect 接続プ ロ フ ァ イル、基本属性 AnyConnect VPN 接続の基本属性を設定す る には、[AnyConnect Connection Profiles] セ ク シ ョ ン で [Add] ま たは [Edit] を選択 し ま す。[Add/Edit AnyConnect Connection Profile] > [Basic] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 • [Name]:[Add] の場合、追加す る 接続プ ロ フ ァ イ ルの名前を指定 し ま す。[Edit] の場合、こ の フ ィ ール ド は編集で き ま せん。 • [Aliases]:(任意) こ の接続の代替名を 1 つ以上入力 し ま す。名前は、ス ペー ス ま たは句読点で 区切 る こ と がで き ま す。 • [Authentication]:認識の方法を、次の中か ら 1 つ選択 し 、認証処理で使用す る AAA サーバ グ ループ を指定 し ま す。 – AAA、Certificate、ま たは Both:AAA、Certificate、ま たは Both か ら 使用す る 認証処理の種 類を選択 し ま す。Certificate ま たは Both を選択す る と 、ユーザは接続す る ために証明書 を入力す る 必要が あ り ま す。 – [AAA Server Group]: ド ロ ッ プダ ウ ン リ ス ト か ら AAA サーバ グループ を選択 し ま す。デ フ ォ ル ト 設定は LOCAL です。こ の場合は、ASAが認証を処理す る よ う に指定 さ れ ま す。 選択す る 前に、[Manage] を ク リ ッ ク し て、こ のダ イ ア ロ グ ボ ッ ク ス に重ねて ダ イ ア ロ グ ボ ッ ク ス を開 き 、AAA サーバ グループの ASA コ ン フ ィ ギ ュ レ ーシ ョ ン を表示 し た り 、 変更を加え た り す る こ と がで き ま す。 – LOCAL 以外の グループ を選択す る と 、[Use LOCAL if Server Group Fails] チ ェ ッ ク ボ ッ ク ス が選択で き る よ う にな り ま す。 – [Use LOCAL if Server Group fails]:Authentication Server Group 属性に よ っ て指定 さ れた グ ループに障害が発生 し た と き に、LOCAL デー タ ベー ス を イ ネーブルにす る 場合はオ ン に し ま す。 • [Client Address Assignment]:使用す る DHCP サーバ、ク ラ イ ア ン ト ア ド レ ス プール、ク ラ イ ア ン ト IPv6 ア ド レ ス プール を選択 し ま す。 – [DHCP Servers]:使用す る DHCP サーバの名前 ま たは IP ア ド レ ス を入力 し ま す。 – [Client Address Pools]: ク ラ イ ア ン ト ア ド レ ス 割 り 当て で使用す る 、選択可能な設定済み の IPv4 ア ド レ ス プールの名前を入力 し ま す。選択す る 前に、[Select] を ク リ ッ ク し て、こ のダ イ ア ロ グ ボ ッ ク ス に重ねて ダ イ ア ロ グ ボ ッ ク ス を開 き 、ア ド レ ス プール を表示 し た り 、変更を加え た り す る こ と がで き ま す。IPv4 ア ド レ ス プール を追加 ま たは編集す る 方 法の詳細については を参照 し て く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-43 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル – [Client IPv6 Address Pools]: ク ラ イ ア ン ト ア ド レ ス 割 り 当て で使用す る 、選択可能な設定 済みの IPv6 ア ド レ ス プールの名前を入力 し ま す。選択す る 前に、[Select] を ク リ ッ ク し て、こ のダ イ ア ロ グ ボ ッ ク ス に重ねて ダ イ ア ロ グ ボ ッ ク ス を開 き 、ア ド レ ス プール を表 示 し た り 、変更を加え た り す る こ と がで き ま す。IPv4 ア ド レ ス プール を追加 ま たは編集 す る 方法の詳細については を参照 し て く だ さ い。 • [Default Group Policy]:使用す る グループ ポ リ シーを選択 し ま す。 – [Group Policy]: こ の接続のデ フ ォ ル ト グループ ポ リ シー と し て割 り 当て る VPN グルー プ ポ リ シーを選択 し ま す。VPN グループ ポ リ シーは、ユーザ指向属性値のペア の集合 で、デバ イ ス で内部に、ま たは RADIUS サーバで外部に保存で き ま す。デ フ ォ ル ト 値は DfltGrpPolicy です。[Manage] を ク リ ッ ク し て別のダ イ ア ロ グ ボ ッ ク ス を重ねて開 き 、グ ループ ポ リ シー コ ン フ ィ ギ ュ レ ーシ ョ ン に変更を加え る こ と がで き ま す。 – [Enable SSL VPN client protocol]:VPN 接続の SSL を イ ネーブルにする場合にオンに し ます。 – [Enable IPsec (IKEv2) client protocol]:接続で IKEv2 を使用す る IPsec を イ ネーブルにす る 場合にオ ン に し ま す。 – [DNS Servers]:ポ リ シーの DNS サーバの IP ア ド レ ス を入力 し ま す(1 つ ま たは複数)。 – [WINS Servers]:ポ リ シーの WINS サーバの IP ア ド レ ス を入力 し ま す(1 つ ま たは複数)。 – [Domain]:デ フ ォ ル ト の ド メ イ ン名を入力 し ま す。 • [Find]:検索文字列 と し て使用す る GUI ラ ベル ま たは CLI コ マ ン ド を入力 し 、[Next] ま たは [Previous] を ク リ ッ ク し て検索を開始 し ま す。 接続プ ロ フ ァ イル、詳細属性 [Advanced] メ ニ ュ ー項目 と そのダ イ ア ロ グ ボ ッ ク ス では、こ の接続に関す る 次の特性 を設定で き ま す。 注 • 一般属性 • ク ラ イ ア ン ト ア ド レ ス 指定属性 • 認証属性 • 認可属性 • ア カ ウ ン テ ィ ン グ属性 • ネーム サーバ属性 • ク ラ イ ア ン ト レ ス SSL VPN 属性 SSL VPN 属性お よ び 2 次認証属性は、SSL VPN 接続プ ロ フ ァ イ ルにだけ適用 さ れ ま す。 AnyConnect 接続プ ロ フ ァ イル、一般属性 • [Enable Simple Certificate Enrollment (SCEP) for this Connection Profile] • [Strip the realm from username before passing it on to the AAA server] • [Strip the group from username before passing it on to the AAA server] • [Group Delimiter] • [Enable Password Management]:AAA サーバか ら の account-disabled イ ン ジ ケー タ の上書 き と 、ユーザに対す る パ ス ワ ー ド 期限切れの通知に関す る パ ラ メ ー タ を設定で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-44 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル 注 override account-disabled を許可す る こ と は、潜在的なセ キ ュ リ テ ィ リ ス ク と な り ます。 – [Notify user __ days prior to password expiration]:パ ス ワ ー ド が期限切れにな る ま での特定 の日数を指定 し 、その日数だけ前の日の ロ グ イ ン時に ASDM がユーザに通知す る よ う 指 定 し ま す。デ フ ォ ル ト では、パ ス ワ ー ド が期限切れにな る よ り 14 日前にユーザへの通知 を開始 し 、以後、ユーザがパ ス ワ ー ド を変更す る ま で毎日通知す る よ う に設定 さ れてい ま す。範囲は 1 ~ 180 日です。 – [Notify user on the day password expires]:パ ス ワ ー ド が期限切れにな る 当日にユーザに通 知 し ま す。 ど ち ら の場合で も 、変更 さ れずにパ ス ワ ー ド が期限切れにな る と 、ASAはパ ス ワ ー ド を変 更す る 機会を ユーザに提供 し ま す。現在のパ ス ワ ー ド の期限が切れていな ければ、ユーザ はそのパ ス ワ ー ド で引 き 続 き ロ グ イ ン で き ま す。 こ の処理に よ っ てパ ス ワ ー ド の期限が切れ る ま での日数が変わ る のではな く 、通知が イ ネーブルにな る だけで あ る と い う 点に注意 し て く だ さ い。こ のオプシ ョ ン を選択す る 場 合は、日数 も 指定す る 必要が あ り ま す。 – [Override account-disabled indication from AAA server]:AAA サーバか ら の account-disabled イ ン ジ ケー タ を上書 き し ま す。 • [Translate Assigned IP Address to Public IP Address]: ま れに、内部ネ ッ ト ワ ー ク で、割 り 当て ら れた ロ ーカ ル IP ア ド レ ス ではな く 、VPN ピ ア の実際の IP ア ド レ ス を 使用す る 場合が あ り ま す。VPN では通常、内部ネ ッ ト ワ ー ク に ア ク セ ス す る た めに、割 り 当て ら れた ロ ーカ ル IP ア ド レ ス が ピ ア に指定 さ れ ま す。た だ し 、内部サーバお よ びネ ッ ト ワ ー ク セ キ ュ リ テ ィ が ピ ア の実際の IP ア ド レ ス に基づ く 場合な ど に、ロ ーカ ル IP ア ド レ ス を 変換 し て ピ ア の実 際のパブ リ ッ ク IP ア ド レ ス に戻す場合が あ り ま す。こ の機能は、ト ン ネル グループ ご と に 1 つの イ ン タ ー フ ェ イ ス で イ ネーブルにす る こ と がで き ま す。 – [Enable the address translation on interface]:ア ド レ ス 変換を可能に し 、ア ド レ ス が表示 さ れ る イ ン タ ー フ ェ イ ス を選択す る こ と がで き ま す。outside は AnyConnect ク ラ イ ア ン ト が 接続す る イ ン タ ー フ ェ イ ス で あ り 、inside は新 し い ト ン ネル グループに固有の イ ン タ ー フ ェ イ ス です。 注 • ルーテ ィ ン グ の問題お よ び他の制限事項のため、こ の機能が必要で ない場合は、こ の 機能の使用は推奨 し ま せん。 [Find]:検索文字列 と し て使用す る GUI ラ ベル ま たは CLI コ マ ン ド を入力 し 、[Next] ま たは [Previous] を ク リ ッ ク し て検索を開始 し ま す。 接続プ ロ フ ァ イル、ク ラ イ ア ン ト ア ド レ ス指定 接続プ ロ フ ァ イ ルの [Client Addressing] ペ イ ン では、こ の接続プ ロ フ ァ イ ルで使用す る ために特 定の イ ン タ ー フ ェ イ ス に IP ア ド レ ス プール を割 り 当て ま す。[Client Addressing] ペ イ ン はすべて の ク ラ イ ア ン ト 接続プ ロ フ ァ イ ルに共通で、次の ASDM パ ス か ら ア ク セ ス で き ま す。 • [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] • [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec (IKEv1) Connection Profiles] • [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec (IKEv2) Connection Profiles] Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-45 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル こ こ で設定す る ア ド レ ス プールは、接続プ ロ フ ァ イ ルの [Basic] ペ イ ン で も 設定で き ま す。 AnyConnect 接続プ ロ フ ァ イ ルでは、IPv4 ア ド レ ス プールだけで な く IPv6 ア ド レ ス プール も 割 り 当て る こ と がで き ま す。 ク ラ イ ア ン ト ア ド レ ス 指定を設定す る には、リ モー ト ア ク セ ス ク ラ イ ア ン ト 接続プ ロ フ ァ イ ル (AnyConnect、IKEv1 ま たは IKEv2)を開 き 、[Advanced] > [Client Addressing] を選択 し ま す。 • ア ド レ ス プールの コ ン フ ィ ギ ュ レ ーシ ョ ン を表示 ま たは変更す る には、ダ イ ア ロ グ ボ ッ ク ス の [Add] ま たは [Edit] を ク リ ッ ク し ま す。[Assign Address Pools to Interface] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、ASAで設定 さ れた イ ン タ ー フ ェ イ ス に IP ア ド レ ス プール を割 り 当て る こ と がで き ま す。[Select] を ク リ ッ ク し ま す。こ のダ イ ア ロ グ ボ ッ ク ス を使用 し て、ア ド レ ス プールの コ ン フ ィ ギ ュ レ ーシ ョ ン を表示 し ま す。ア ド レ ス プールの コ ン フ ィ ギ ュ レ ーシ ョ ン を変更す る には、次の手順を実行 し ま す。 – ASA に ア ド レ ス プール を追加す る には、[Add] を ク リ ッ ク し ま す。[Add IP Pool] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – ASA の ア ド レ ス プールの コ ン フ ィ ギ ュ レ ーシ ョ ン を変更す る には、[Edit] を ク リ ッ ク し ま す。プール内の ア ド レ ス が使用 さ れていない場合には、[Edit IP Pool] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 使用中の場合はア ド レ ス プール を変更で き ま せん。[Edit] を ク リ ッ ク し た と き に ア ド レ ス プールが使用中で あ っ た場合、ASDM は、エ ラ ー メ ッ セージ と と も に、プール内のそ の ア ド レ ス を使用 し てい る 接続名お よ びユーザ名の一覧を表示 し ま す。 – ASA の ア ド レ ス プール を削除す る には、テーブルでそのエ ン ト リ を選択 し 、[Delete] を ク リ ッ ク し ま す。 使用中の場合はア ド レ ス プール を削除で き ま せん。[Delete] を ク リ ッ ク し た と き にア ド レ ス プールが使用中で あ っ た場合、ASDM は、エ ラ ー メ ッ セージ と と も に、プール内の その ア ド レ ス を使用 し てい る 接続名の一覧を表示 し ま す。 • ア ド レ ス プールを イ ン タ ーフ ェ イ ス に割 り 当て る には、[Add] を ク リ ッ ク し ます。[Assign Address Pools to Interface] ダ イ ア ロ グボ ッ ク ス が開 き ます。ア ド レ ス プールを割 り 当て る イ ン タ ーフ ェ イ ス を選択 し ます。[Address Pools] フ ィ ール ド の横にあ る [Select] を ク リ ッ ク し ます。 [Select Address Pools] ダ イ ア ロ グボ ッ ク ス が開き ます。イ ン タ ーフ ェ イ ス に割 り 当て る個々の未 割 り 当てプールを ダブル ク リ ッ ク する か、ま たは個々の未割 り 当てプールを選択 し て [Assign] を ク リ ッ ク し ます。隣のフ ィ ール ド にプール割 り 当ての一覧が表示 さ れます。[OK] を ク リ ッ ク し て、こ れ ら のア ド レ ス プールの名前を [Address Pools] フ ィ ール ド に取 り 込み、も う 一度 [OK] を ク リ ッ ク し て割 り 当ての コ ン フ ィ ギ ュ レーシ ョ ン を完了 し ます。 • イ ン ターフ ェ イ スに割 り 当て ら れてい る ア ド レ ス プールを変更する には、その イ ン ターフ ェ イ ス をダブル ク リ ッ クする か、イ ン ターフ ェ イ ス を選択し て [Edit] を ク リ ッ ク し ます。[Assign Address Pools to Interface] ダ イ ア ロ グボ ッ ク スが開き ます。ア ド レ ス プールを削除する には、各プール名を ダブル ク リ ッ ク し、キーボー ド の [Delete] キーを押し ます。イ ン ターフ ェ イ スにその他のフ ィ ール ド を割 り 当て る場合は、[Address Pools] フ ィ ール ド の横にあ る [Select] を ク リ ッ ク し ます。[Select Address Pools] ダ イ ア ロ グボ ッ ク スが開き ます。[Assign] フ ィ ール ド には、イ ン ターフ ェ イ スに割 り 当て られてい る ア ド レ ス プール名が表示さ れます。イ ン ターフ ェ イ スに追加する個々の未割 り 当 てプールをダブル ク リ ッ ク し ます。[Assign] フ ィ ール ド のプール割 り 当て一覧が更新さ れます。 [OK] を ク リ ッ ク し て、こ れ ら のア ド レ ス プールの名前で [Address Pools] フ ィ ール ド を確認 し 、も う 一度 [OK] を ク リ ッ ク し て割 り 当ての コ ン フ ィ ギ ュ レーシ ョ ン を完了し ます。 • エ ン ト リ を削除す る には、そのエ ン ト リ を選択 し て [Delete] を ク リ ッ ク し ま す。 関連項目 • 接続プ ロ フ ァ イ ル、ク ラ イ ア ン ト ア ド レ ス 指定、追加 ま たは編集 • 接続プ ロ フ ァ イ ル、ア ド レ ス プール • 接続プ ロ フ ァ イ ル、詳細、IP プールの追加 ま たは編集 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-46 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル 接続プ ロ フ ァ イル、ク ラ イ ア ン ト ア ド レ ス指定、追加または編集 接続プ ロ フ ァ イ ルに ア ド レ ス プール を割 り 当て る には、[Advanced] > [Client Addressing] を選択 し 、[Add] ま たは [Edit] を選択 し ま す。 • [Interface]:ア ド レ ス プールの割 り 当て先イ ン ターフ ェ イ ス を選択し ます。デフ ォル ト は DMZ です。 • [Address Pools]:指定 し た イ ン タ ー フ ェ イ ス に割 り 当て る ア ド レ ス プール を指定 し ま す。 • [Select]:[Select Address Pools] ダ イ ア ロ グボ ッ ク ス が開き ます。こ のダ イ ア ロ グボ ッ ク ス では、こ の イ ン ターフ ェ イ スに割 り 当て る ア ド レ ス プールを 1 つ以上選択で き ます。選択内容は、[Assign Address Pools to Interface] ダ イ ア ロ グボ ッ ク ス の [Address Pools] フ ィ ール ド に表示 さ れます。 接続プ ロ フ ァ イル、ア ド レ ス プール [Connection Profile] > [Advanced] の [Select Address Pools] ダ イ ア ロ グボ ッ ク スに、ク ラ イ アン ト ア ド レ ス割 り 当てに使用可能なア ド レ ス プールのプール名、開始ア ド レ ス と 終了ア ド レ ス、およびサブネ ッ ト マ ス ク が表示さ れます。その リ ス ト を使って接続プ ロ フ ァ イルを追加、編集、ま たは削除で き ます。 • [Add]:[Add IP Pool] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、新 し い IP ア ド レ ス プール を設定で き ま す。 • [Edit]:[Edit IP Pool] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、選択 し た IP ア ド レ ス プール を変更で き ま す。 • [Delete]:選択 し た ア ド レ ス プール を削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 • [Assign]: イ ン タ ーフ ェ イ ス に割 り 当て ら れてい る ア ド レ ス プール名を表示 し ま す。イ ン タ ー フ ェ イ ス に追加す る 個々の未割 り 当てプールを ダブル ク リ ッ ク し ま す。[Assign] フ ィ ール ド のプール割 り 当て一覧が更新 さ れ ます。 接続プ ロ フ ァ イル、詳細、IP プールの追加または編集 [Connection Profile] > [Advanced] の [Add or Edit IP Pool] ダ イ ア ロ グ ボ ッ ク ス を使用すれば、ク ラ イ ア ン ト ア ド レ ス 割 り 当て用の IP ア ド レ ス の範囲を指定 ま たは変更で き ま す。 • [Name]:IP ア ド レ ス プールに割 り 当て ら れてい る 名前 を指定 し ま す。 • [Starting IP Address]:プールの最初の IP ア ド レ ス を指定 し ま す。 • [Ending IP Address]:プールの最後の IP ア ド レ ス を指定 し ま す。 • [Subnet Mask]:プール内の ア ド レ ス に適用す る サブネ ッ ト マ ス ク を選択 し ま す。 AnyConnect 接続プ ロ フ ァ イル、認証属性 [Connection Profile] > [Advanced] > [Authentication] タ ブで、次の フ ィ ール ド を設定で き ま す。 • [Interface-specific Authentication Server Groups]:指定の イ ン タ ー フ ェ イ ス に対す る 認証サー バ グループの割 り 当て を管理 し ま す。 – [Add or Edit]:[Assign Authentication Server Group to Interfac]e ダ イ ア ロ グボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グボ ッ ク ス では、イ ン タ ーフ ェ イ ス と サーバ グループ を指定す る と と も に、選択 し たサーバ グループで障害が発生 し た場合に LOCAL デー タ ベースへの フ ォ ール バ ッ ク を許可す る か ど う か を指定で き ます。こ のダ イ ア ロ グボ ッ ク ス の [Manage] ボ タ ン を ク リ ッ ク す る と 、[Configure AAA Server Groups] ダ イ ア ロ グ ボ ッ ク ス が開 き ます。 [Interface/Server Group] テーブルに選択内容が表示 さ れます。 – [Delete]:選択 し たサーバ グループ を テーブルか ら 削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-47 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル • [Username Mapping from Certificate]:ユーザ名を抽出す る 方法お よ びデジ タ ル証明書の フ ィ ール ド を指定で き ま す。 – [Pre-fill Username from Certificate]:指定 し た証明書の フ ィ ール ド か ら ユーザ名を抽出 し 、 こ のパネルの後に続 く オプシ ョ ン に従っ て、ユーザ名/パ ス ワ ー ド 認証お よ び認可に使用 し ま す。 – [Hide username from end user]:抽出 し たユーザ名はエ ン ド ユーザに表示 さ れ ま せん。 – [Use script to choose username]:デジ タ ル証明書か ら ユーザ名 を選択す る 場合に使用す る ス ク リ プ ト 名を指定 し ま す。デ フ ォ ル ト は [None] です。 – [Add or Edit]:[Opens the Add or Edit Script Content] ダ イ ア ロ グ ボ ッ ク ス が開 き 、証明書の ユーザ名のマ ッ ピ ン グ に使用す る ス ク リ プ ト を定義で き ま す。 – [Delete]:選択 し た ス ク リ プ ト を削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 – [Use the entire DN as the username]:証明書の [Distinguished Name] フ ィ ール ド 全体を ユー ザ名 と し て使用す る 場合に指定 し ま す。 – [Specify the certificate fields to be used as the username]:ユーザ名に結合す る 1 つ以上の フ ィ ール ド を指定 し ま す。 プ ラ イ マ リ 属性お よ びセ カ ン ダ リ 属性の有効値は、次の と お り です。 属性 C 定義 CN Common Name(一般名):人、シ ス テ ム、その他のエ ン テ ィ テ ィ の名前。 セ カ ン ダ リ 属性 と し ては使用で き ま せん。 DNQ ド メ イ ン名修飾子。 EA E-mail Address(電子 メ ール ア ド レ ス )。 GENQ Generational Qualifier(世代修飾子)。 GN Given Name(名)。 I Initials( イ ニ シ ャ ル)。 L Locality(地名):組織が置かれてい る 市 ま たは町。 N 名前 O Organization(組織):会社、団体、機関、連合、その他のエンテ ィ テ ィ の名前。 OU Organizational Unit(組織ユニ ッ ト ):組織(O)内のサブ グループ。 SER Serial Number(シ リ アル番号)。 SN Surname(姓)。 SP State/Province(州ま たは都道府県):組織が置かれてい る州ま たは都道府県。 T Title( タ イ ト ル)。 UID User Identifier(ユーザ ID)。 UPN User Principal Name(ユーザ プ リ ン シパル名)。 Country(国名):2 文字の国名略語。国名 コ ー ド は、ISO 3166 国名略語に 準拠 し てい ま す。 – [Primary Field]:ユーザ名に使用す る 証明書の最初の フ ィ ール ド を選択 し ま す。こ の値が 指定 さ れてい る 場合、[Secondary Field] は無視 さ れ ま す。 – [Secondary Field]:[Primary Field] が指定さ れていない場合、使用する フ ィ ール ド を選択し ます。 • [Find]:検索文字列 と し て使用す る GUI ラ ベル ま たは CLI コ マ ン ド を入力 し 、[Next] ま たは [Previous] を ク リ ッ ク し て検索を開始 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-48 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル 接続プ ロ フ ァ イル、2 次認証属性 [Connection Profile] > [Advanced] の下の [Secondary Authentication] を使用すれば、二重認証 と し て も 知 ら れ る 2 次認証を設定す る こ と がで き ま す。2 次認証が有効にな っ てい る 場合は、エ ン ド ユーザが ロ グ オ ンす る と き に有効な認証 ク レ デン シ ャ ル を 2 セ ッ ト 入力す る 必要が あ り ま す。 証明書のユーザ名の事前入力 と 2 次認証を組み合わせて使用で き ま す。こ のダ イ ア ロ グ ボ ッ ク ス の フ ィ ール ド は、1 次認証で設定す る フ ィ ール ド と 似てい ま すが、こ れ ら の フ ィ ール ド は 2 次 認証にだけ関連 し ま す。 二重認証が イ ネーブルに な っ て い る 場合、こ れ ら の属性はユーザ名 と し て使用す る 1 つ以上の フ ィ ール ド を 証明書か ら 選択 し ま す。証明書属性か ら セ カ ン ダ リ ユーザ名 を 設定す る と 、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス は、指定 さ れた証明書 フ ィ ール ド を 、2 次ユーザ名/パ ス ワ ー ド 認証 処理に 2 つ目のユーザ名 を 使用す る よ う 強制 さ れ ま す。 注 証明書のセ カ ン ダ リ ユーザ名 と と も に 2 次認証サーバ グループ も 指定す る 場合で も 、認証処理 にはプ ラ イ マ リ ユーザ名だけが使用 さ れ ま す。 • [Secondary Authorization Server Group]:セ カ ン ダ リ ク レ デン シ ャ ル を抽出す る 認証サーバ グ ループ を指定 し ま す。 – [Server Group]:セ カ ン ダ リ サーバ AAA グループ と し て使用す る 認証サーバ グループ を 選択 し ま す。デ フ ォ ル ト は none です。SDI サーバ グループはセ カ ン ダ リ サーバ グループ にで き ま せん。 – [Manage]:[Configure AAA Server Group] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – [Use LOCAL if Server Group fails]:指定 し たサーバ グループに障害が発生 し た場合の LOCAL デー タ ベー ス への フ ォ ールバ ッ ク を指定 し ま す。 – [Use primary username]: ロ グ イ ン ダ イ ア ロ グ がユーザ名を 1 つだけ要求す る よ う 指定 し ま す。 – [Attributes Server]:プ ラ イ マ リ 属性サーバかセ カ ン ダ リ 属性サーバか を選択 し ま す。 注 こ の接続プ ロ フ ァ イ ルの認証サーバ も 指定 し た場合で も 、認証サーバ設定が優先 さ れ ま す。ASAは、こ のセ カ ン ダ リ 認証サーバ を無視 し ま す。 – [Session Username Server]:プ ラ イ マ リ セ ッ シ ョ ン ユーザ名サーバかセ カ ン ダ リ セ ッ シ ョ ン ユーザ名サーバか を指定 し ま す。 • [Interface-Specific Authorization Server Groups]:指定の イ ン タ ー フ ェ イ ス に対す る 認可サーバ グループの割 り 当て を管理 し ま す。 – [Add or Edit]:[Assign Authentication Server Group to Interfac]e ダ イ ア ロ グボ ッ ク ス が開き ます。 こ のダ イ ア ロ グボ ッ ク ス では、イ ン ターフ ェ イ ス と サーバ グループを指定する と と も に、選 択し たサーバ グループで障害が発生し た場合に LOCAL データベースへのフ ォールバ ッ ク を許可する かど う かを指定で き ます。こ のダ イ ア ロ グボ ッ ク ス の [Manage] ボ タ ン を ク リ ッ ク する と 、[Configure AAA Server Groups] ダ イ ア ロ グボ ッ ク ス が開き ます。[Interface/Server Group] テーブルに選択内容が表示 さ れます。 – [Delete]:選択 し たサーバ グループ を テーブルか ら 削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 • [Username Mapping from Certificate]:ユーザ名を抽出す る デジ タ ル証明書の フ ィ ール ド を指 定で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-49 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル • [Pre-fill Username from Certificate]: こ のパネルで指定 さ れてい る最初のフ ィ ール ド お よ び 2 番目 のフ ィ ール ド か ら 、2 次認証に使用 さ れ る名前を抽出する場合にオンに し ます。こ の属性をオン にする前に、AAA お よ び証明書の認証方式を設定す る必要があ り ます。こ れを行 う には、同 じ ウ ィ ン ド ウ の [Basic] パネルに戻 り 、[Method] の横の [Both] をオンに し ます。 • [Hide username from end user]:2 次認証に使用 さ れ る ユーザ名を VPN ユーザに非表示にす る 場合にオ ン に し ま す。 • [Fallback when a certificate is unavailable]: こ の属性は、[Hide username from end user] がオ ン の場合にのみ使用可能です。証明書が使用不可な場合は、Cisco Secure Desktop の ホ ス ト ス キ ャ ン デー タ を 使用 し て、2 次認証のユーザ名 を 事前入力 し ま す。 • [Password]:2 次認証に使用 さ れ る パ ス ワ ー ド の取得方式 と し て次のいずれか を選択 し ま す。 – [Prompt]:ユーザにパ ス ワ ー ド を入力す る よ う プ ロ ン プ ト を表示 し ま す。 – [Use Primary]:すべての 2 次認証に 1 次認証のパ ス ワ ー ド を再利用 し ま す。 – [Use]:すべての 2 次認証の共通セ カ ン ダ リ パ ス ワ ー ド を入力 し ま す。 • [Specify the certificate fields to be used as the username]:ユーザ名 と し て一致す る 1 つ以上の フ ィ ール ド を指定 し ます。セ カ ン ダ リ ユーザ名/パ ス ワ ー ド 認証 ま たは認可に証明書のユーザ 名事前入力機能で こ のユーザ名を使用す る には、ユーザ名事前入力お よ びセ カ ン ダ リ ユーザ 名事前入力 も 設定す る 必要があ り ます。 – [Primary Field]:ユーザ名に使用す る 証明書の最初の フ ィ ール ド を選択 し ま す。こ の値が 指定 さ れてい る 場合、[Secondary Field] は無視 さ れ ま す。 – [Secondary Field]:[Primary Field] が指定 さ れていない場合、使用す る フ ィ ール ド を選択 し ま す。 最初の フ ィ ール ド お よ び 2 番目の フ ィ ール ド の属性には、次のオプ シ ョ ン が あ り ま す。 属性 定義 C Country(国名):2 文字の国名略語。国名 コ ー ド は、ISO 3166 国名略語に 準拠 し てい ま す。 CN Common Name(一般名):人、シ ス テ ム、その他のエ ン テ ィ テ ィ の名前。 セ カ ン ダ リ 属性 と し ては使用で き ま せん。 DNQ ド メ イ ン名修飾子。 EA E-mail Address(電子 メ ール ア ド レ ス )。 GENQ Generational Qualifier(世代修飾子)。 GN Given Name(名)。 I Initials( イ ニ シ ャ ル)。 L Locality(地名):組織が置かれてい る 市 ま たは町。 N 名前 O Organization(組織):会社、団体、機関、連合、その他のエ ン テ ィ テ ィ の 名前。 OU Organizational Unit(組織ユニ ッ ト ):組織(O)内のサブ グループ。 SER Serial Number(シ リ アル番号)。 SN Surname(姓)。 SP State/Province(州 ま たは都道府県):組織が置かれてい る 州 ま たは都道 府県。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-50 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル 属性 定義 T Title( タ イ ト ル)。 UID User Identifier(ユーザ ID)。 UPN User Principal Name(ユーザ プ リ ン シパル名)。 • [Use the entire DN as the username]:完全なサブジ ェ ク ト DN(RFC1779)を使用 し て、デジ タ ル 証明書か ら 認可 ク エ リ ーの名前を取得 し ま す。 • [Use script to select username]:デジ タ ル証明書か ら ユーザ名を抽出す る ス ク リ プ ト を指定 し ま す。デ フ ォ ル ト は [None] です。 – [Add or Edit]:[Opens the Add or Edit Script Content] ダ イ ア ロ グ ボ ッ ク ス が開 き 、証明書の ユーザ名のマ ッ ピ ン グ に使用す る ス ク リ プ ト を定義で き ま す。 – [Delete]:選択 し た ス ク リ プ ト を削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 AnyConnect 接続プ ロ フ ァ イル、認可属性 AnyConnect 接続プ ロ フ ァ イ ルの [Authorization] ダ イ ア ロ グ ボ ッ ク ス を使用すれば、イ ン タ ー フ ェ イ ス 固有の認可サーバ グループ を表示、追加、編集、ま たは削除す る こ と がで き ま す。こ のダ イ ア ロ グ ボ ッ ク ス のテーブルの各行には、イ ン タ ー フ ェ イ ス 固有サーバ グループの ス テー タ ス が表示 さ れ ま す。表示 さ れ る のは、イ ン タ ー フ ェ イ ス 名、それに関連付け ら れたサーバ グループ、 お よ び選択 し たサーバ グループで障害が発生 し た と き に ロ ーカル デー タ ベー ス への フ ォ ール バ ッ ク が イ ネーブルにな っ てい る か ど う かです。 こ のペ イ ン の フ ィ ール ド は、AnyConnect、IKEv1、IKEv2、お よ び ク ラ イ ア ン ト レ ス SSL 接続プ ロ フ ァ イ ルで共通です。 • [Authorization Server Group]:認可パ ラ メ ー タ を記述す る 認可サーバ グループ を指定 し ま す。 – [Server Group]:使用す る 認可サーバ グループ を選択 し ま す。デ フ ォ ル ト は none です。 – [Manage]:[Configure AAA Server Group] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。AAA サーバの 設定については、ク ラ イ ア ン ト レ ス SSL VPN 接続プ ロ フ ァ イ ル、認証、サーバ グループ の追加(3-58 ページ)を参照 し て く だ さ い。 – [Users must exist in the authorization database to connect]:ユーザが こ の基準を満たす必要 が あ る 場合は、こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 • [Interface-specific Authorization Server Groups]:指定の イ ン タ ー フ ェ イ ス に対す る 認可サーバ グループの割 り 当て を管理 し ま す。 – [Add or Edit]:[Assign Authentication Server Group to Interfac]e ダ イ ア ロ グボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グボ ッ ク ス では、イ ン タ ーフ ェ イ ス と サーバ グループ を指定す る と と も に、選択 し たサーバ グループで障害が発生 し た場合に LOCAL デー タ ベースへの フ ォ ール バ ッ ク を許可す る か ど う か を指定で き ます。こ のダ イ ア ロ グボ ッ ク ス の [Manage] ボ タ ン を ク リ ッ ク す る と 、[Configure AAA Server Groups] ダ イ ア ロ グ ボ ッ ク ス が開 き ます。 [Interface/Server Group] テーブルに選択内容が表示 さ れます。 – [Delete]:選択 し たサーバ グループ を テーブルか ら 削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-51 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル • [Username Mapping from Certificate]:ユーザ名を抽出す る デジ タ ル証明書の フ ィ ール ド を指 定で き ま す。 – [Use script to select username]:デジ タ ル証明書か ら ユーザ名を選択す る 場合に使用す る ス ク リ プ ト 名を指定 し ま す。デ フ ォ ル ト は [None] です。証明書 フ ィ ール ド か ら ユーザ名 を選択す る ス ク リ プ ト を作成す る 方法については、を参照 し て く だ さ い。 – [Add or Edit]:[Opens the Add or Edit Script Content] ダ イ ア ロ グ ボ ッ ク ス が開 き 、証明書の ユーザ名のマ ッ ピ ン グ に使用す る ス ク リ プ ト を定義で き ま す。 – [Delete]:選択 し た ス ク リ プ ト を削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 – [Use the entire DN as the username]:証明書の [Distinguished Name] フ ィ ール ド 全体を ユー ザ名 と し て使用す る 場合に指定 し ま す。 – [Specify the certificate fields to be used as the username]:ユーザ名に結合す る 1 つ以上の フ ィ ール ド を指定 し ま す。 – [Primary Field]:ユーザ名に使用す る 証明書の最初の フ ィ ール ド を選択 し ま す。こ の値が 指定 さ れてい る 場合、[Secondary Field] は無視 さ れ ま す。 – [Secondary Field]:[Primary Field] が指定 さ れていない場合、使用す る フ ィ ール ド を選択 し ま す。 • [Find]:検索文字列 と し て使用す る GUI ラ ベル ま たは CLI コ マ ン ド を入力 し 、[Next] ま たは [Previous] を ク リ ッ ク し て検索を開始 し ま す。 AnyConnect 接続プ ロ フ ァ イル、認可、ユーザ名を選択するためのス ク リ プ ト の内容の追加 AnyConnect 接続プ ロ フ ァ イ ルの [Authorization] ペ イ ン で [use a script to select username] を選択 し 、[Add] ま たは [Edit] ボ タ ン を ク リ ッ ク す る と 、次の フ ィ ール ド が表示 さ れ ま す。 ス ク リ プ ト では、他のマ ッ ピ ン グ オプシ ョ ン では表示 さ れない認可用の証明書 フ ィ ール ド を使 用で き ま す。 注 ス ク リ プ ト を使用 し た証明書か ら のユーザ名事前入力で ク ラ イ ア ン ト 証明書のユーザ名が見つ か ら ない場合、AnyConnect ク ラ イ ア ン ト お よ び ク ラ イ ア ン ト レ ス WebVPN に「Unknown」 と 表示 さ れ ま す。 • [Script Name]: ス ク リ プ ト の名前を指定 し ま す。認証お よ び認可の ス ク リ プ ト 名は同 じ で な ければな り ま せん。こ こ で ス ク リ プ ト を定義 し 、CLI は、こ の機能を実行す る ために同 じ ス ク リ プ ト を使用 し ま す。 • [Select script parameters]: ス ク リ プ ト の属性お よ び内容を指定 し ま す。 • [Value for Username]:ユーザ名 と し て使用す る 一般的な DN 属性の ド ロ ッ プダ ウ ン リ ス ト (Subject DN)か ら 属性を選択 し ま す。 • [No Filtering]:指定 し た DN 名全体を使用す る よ う 指定 し ま す。 • [Filter by substring]:開始 イ ンデ ッ ク ス (一致す る 最初の文字の文字列内の位置)お よ び終了 イ ンデ ッ ク ス (検索す る 文字列数)を指定 し ま す。こ のオプシ ョ ン を選択す る 場合、開始 イ ン デ ッ ク ス は、空白にはで き ま せん。終了 イ ンデ ッ ク ス を空白にす る と デ フ ォ ル ト は -1 と な り 、文字列全体が一致す る か ど う か検索 さ れ ま す。 た と えば、ホ ス ト /ユーザの値を含む DN 属性の Common Name(CN)を選択 し た と し ま す。次 の表に、さ ま ざ ま な戻 り 値を実現す る 部分文字列を使用 し て こ の値を フ ィ ル タ す る 方法を示 し ま す。戻 り 値は、ユーザ名 と し て実際に事前入力 さ れ る 値です。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-52 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル 表 3-2 部分文字列によ る フ ィ ル タ リ ング 開始 イ ン デ ッ クス 終了 イ ン デ ッ ク ス 戻り値 1 5 host/ 6 10 user 6 -1 user こ の表の 3 行目の よ う にマ イ ナ ス の イ ンデ ッ ク ス を使用 し て、文字列の最後か ら 部分文字列 の最後 ま で( こ の場合は「user」の「r」)カ ウ ン ト す る よ う 指定 し ま す。 部分文字列に よ る フ ィ ル タ リ ン グ を使用す る 場合、検索す る 部分文字列の長 さ がわか っ てい る こ と が必要です。次の例では、正規表現照合 ま たは Lua 形式の カ ス タ ム ス ク リ プ ト を使用 し ま す。 • 例 1:[Regular Expression Matching]:[Regular Expression] フ ィ ール ド に検索に適用す る 正規表現 を入力 し ます。一般的な正規表現の演算子が適用 さ れ ます。「Email Address (EA)」DN 値の @ 記 号ま でのすべての文字列を フ ィ ル タ リ ン グす る ために正規表現を使用す る と し ます。^[^@]* が こ れを実行で き る 正規表現の 1 つです。こ の例では、DN 値に [email protected] が含ま れてい る 場合、正規表現の後の戻 り 値は user1234 と な り ます。 • 例 2:[Use custom script in Lua format]:検索フ ィ ール ド を解析す る ために、Lua プ ロ グ ラ ム言語で 記述 さ れた カ ス タ ム ス ク リ プ ト を指定 し ます。こ のオプシ ョ ン を選択す る と 、カ ス タ ム Lua ス ク リ プ ト を フ ィ ール ド に入力で き る よ う にな り ます。ス ク リ プ ト は次の よ う にな り ます。 return cert.subject.cn..'/'..cert.subject.l 1 つのユーザ名 と し て使用す る 2 つの DN フ ィ ール ド 、ユーザ名(cn)お よ び地域(l)を結合 し 、2 つの フ ィ ール ド 間に ス ラ ッ シ ュ (/)文字を挿入 し ま す。 次の表に Lua ス ク リ プ ト で使用可能な属性名 と 説明を示 し ま す。 注 Lua では大文字 と 小文字が区別 さ れ ま す。 表 3-3 属性名 と 説明 属性名 説明 cert.subject.c Country cert.subject.cn Common Name cert.subject.dnq DN 修飾子 cert.subject.ea 電子 メ ール ア ド レ ス cert.subject.genq 世代修飾子 cert.subject.gn 名 cert.subject.i イ ニシ ャル cert.subject.l 地名 cert.subject.n 名前 cert.subject.o マ ニ ュ アルの構成 cert.subject.ou 組織単位 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-53 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル 表 3-3 属性名 と 説明 cert.subject.ser サブ ジ ェ ク ト シ リ アル番号 cert.subject.sn 姓 cert.subject.sp 州/県 cert.subject.t Title cert.subject.uid ユーザ ID cert.issuer.c Country cert.issuer.cn Common Name cert.issuer.dnq DN 修飾子 cert.issuer.ea 電子 メ ール ア ド レ ス cert.issuer.genq 世代修飾子 cert.issuer.gn 名 cert.issuer.i イ ニシ ャル cert.issuer.l 地名 cert.issuer.n 名前 cert.issuer.o マ ニ ュ アルの構成 cert.issuer.ou 組織単位 cert.issuer.ser 発行元シ リ アル番号 cert.issuer.sn 姓 cert.issuer.sp 州/県 cert.issuer.t Title cert.issuer.uid ユーザ ID cert.serialnumber 証明書シ リ アル番号 cert.subjectaltname.upn ユーザ プ リ ン シパル名 ト ン ネル グループ ス ク リ プ ト を ア ク テ ィ ブに し てい る と き にエ ラ ーが発生 し 、ス ク リ プ ト が ア ク テ ィ ブにな ら な か っ た場合、管理者の コ ン ソ ールにエ ラ ー メ ッ セージが表示 さ れ ま す。 ク ラ イ ア ン ト レ ス SSL VPN 接続プ ロ フ ァ イル、イ ン タ ー フ ェ イ スへの認可サーバ グルー プの割 り 当て こ のダ イ ア ロ グ ボ ッ ク ス では、イ ン タ ー フ ェ イ ス を AAA サーバ グループに関連付け ら れ ま す。 結果は、[Authorization] ダ イ ア ロ グ ボ ッ ク ス のテーブルに表示 さ れ ま す。 • [Interface]: イ ン タ ー フ ェ イ ス を選択 し ま す。デ フ ォ ル ト は DMZ です。 • [Server Group]:選択 し た イ ン タ ー フ ェ イ ス に割 り 当て る サーバ グループ を選択 し ま す。デ フ ォ ル ト は LOCAL です。 • [Manage]:[Configure AAA Server Group] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-54 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル 接続プ ロ フ ァ イル、ア カ ウン テ ィ ング [Connection Profile] > [Advanced] の [Accounting] ペ イ ン では、ASA 全体の ア カ ウ ン テ ィ ン グ オプ シ ョ ン を設定 し ま す。 • [Accounting Server Group]:ア カ ウ ン テ ィ ン グ に使用す る すでに定義済みのサーバ グループ を選択 し ま す。 • [Manage]:AAA サーバ グループ を作成で き る [Configure AAA Server Groups] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 接続プ ロ フ ァ イル、グループ エ イ リ アス と グループ URL [Connection Profile] > [Advanced] の [GroupAlias/Group Group URL] ダ イ ア ロ グ ボ ッ ク ス では、リ モー ト ユーザの ロ グ イ ン時に表示 さ れ る 内容を左右す る 属性を設定 し ま す。こ のダ イ ア ロ グ の フ ィ ール ド は AnyConnect ク ラ イ ア ン ト お よ び ク ラ イ ア ン ト レ ス SSL VPN で同 じ ですが、ク ラ イ ア ン ト レ ス SSL VPN には追加の フ ィ ール ド が 1 つあ り ま す。接続プ ロ フ ァ イ ルの タ ブの名前 は、AnyConnect では [Group URL/Group Alias] で、ク ラ イ ア ン ト レ ス SSL VPN では [Clientless SSL VPN] です。 • [Enable the display of Radius Reject-Message on the login screen]:認証が拒否 さ れた場合に 「Radius-Reject」 メ ッ セージ を ロ グ イ ン画面に表示す る には、こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 • [Enable the display of SecurId message on the login screen]: ロ グ イ ン ダ イ ア ロ グ ボ ッ ク ス に 「SecurID」 メ ッ セージ を表示す る には こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 • [Manage]:[Configure GUI Customization Objects] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 • [Connection Aliases]:既存の接続エ イ リ ア ス と その ス テー タ ス の一覧が テーブルに表示 さ れ ま す。各項目 を テーブルに追加 し た り 、テーブルか ら 削除 し た り で き ま す。ロ グ イ ン 時に ユーザが特定の接続( ト ン ネル グループ)を 選択で き る よ う に接続が設定 さ れて い る 場合 は、ユーザの ロ グ イ ン ページ に接続エ イ リ ア ス が表示 さ れ ま す。こ の テーブルの行は編集 で き る た め、[Edit] ボ タ ン は あ り ま せん。テーブルの上の「i」ア イ コ ン を ク リ ッ ク す る と 、編 集機能の ツ ール ヒ ン ト が表示 さ れ ま す。 – [Add]:[Add Connection Alias] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、接続エ イ リ ア ス を追加 し 、イ ネーブルにす る こ と がで き ま す。 – [Delete]:選択 し た行を接続エ イ リ ア ス テーブルか ら 削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 – テーブルに表示 さ れてい る エ イ リ ア ス を編集す る には、行を ダブル ク リ ッ ク し ま す。 • [Group URLs]:既存の グループ URL と その ス テー タ ス の一覧がテーブルに表示 さ れ ま す。各 項目を テーブルに追加 し た り 、テーブルか ら 削除 し た り で き ま す。ロ グ イ ン時にユーザが特 定の グループ を選択で き る よ う に接続が設定 さ れてい る 場合は、ユーザの ロ グ イ ン ページ に グループ URL が表示 さ れ ま す。こ のテーブルの行は編集で き る ため、[Edit] ボ タ ン は あ り ま せん。テーブルの上の「i」ア イ コ ン を ク リ ッ ク す る と 、編集機能の ツ ール ヒ ン ト が表示 さ れ ま す。 – [Add:Add Group URL] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、 グループ URL を追加 し 、イ ネーブルにす る こ と がで き ま す。 – [Delete]:選択 し た行を接続エ イ リ ア ス テーブルか ら 削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 – テーブルに表示 さ れてい る URL を編集す る には、行を ダブル ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-55 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル、ク ラ イ ア ン ト レ ス SSL VPN • [Do not run Cisco Secure Desktop (CSD) on client machine when using group URLs defined above to access the ASA. (If a client connects using a connection alias, this setting is ignored.)]:[Group URLs] テーブルのエ ン ト リ に一致す る URL を使用す る CSD を実行 し ない よ う にす る 場合、 オ ン に し ま す。こ のオプシ ョ ン を オ ン にす る と 、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス が こ れ ら の ユーザか ら エ ン ド ポ イ ン ト 基準を受信 し ない よ う にす る ため、ユーザに VPN ア ク セ ス を提 供す る よ う DAP 設定を変更す る 必要が あ り ま す。 接続プ ロ フ ァ イル、ク ラ イ ア ン ト レ ス SSL VPN [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] ダ イ ア ロ グ ボ ッ ク ス には、現在定義 さ れてい る ク ラ イ ア ン ト レ ス SSL VPN 接続プ ロ フ ァ イ ルお よ び グ ロ ーバルの ク ラ イ ア ン ト レ ス オプシ ョ ン が一覧表示 さ れ ま す。 • [Access Interfaces]:ア ク セ ス で イ ネーブルにす る イ ン タ ー フ ェ イ ス を選択で き ま す。こ の テーブルの フ ィ ール ド には、イ ン タ ー フ ェ イ ス 名やチ ェ ッ ク ボ ッ ク ス が表示 さ れ、ア ク セ ス を許可す る か ど う か を指定 し ま す。 – [Device Certificate]:RSA キーま たは ECDSA キーま たは ト ラ ス ト ポ イ ン ト の認証の証明書 を指定で き ます。2 つの ト ラ ス ト ポ イ ン ト を設定す る オプシ ョ ン があ り ます。ク ラ イ ア ン ト は、ベン ダー ID ペ イ ロ ー ド に よ る ECDSA のサポー ト を示 し ます。ASA は、設定 し た ト ラ ス ト ポ イ ン ト リ ス ト を ス キ ャ ン し 、ク ラ イ ア ン ト がサポー ト す る 最初の 1 つを選択 し ま す。ECDSA を使用す る 場合は、RSA ト ラ ス ト ポ イ ン ト の前に、こ の ト ラ ス ト ポ イ ン ト を設 定す る 必要があ り ます。 – [Manage]:[Manage Identity Certificates] ダ イ ア ロ グボ ッ ク ス が開 き ます。こ のダ イ ア ロ グボ ッ ク ス では、選択 し た証明書の詳細を追加、編集、削除、エ ク ス ポー ト 、ま たは表示で き ます。 – [Port Setting]: ク ラ イ ア ン ト レ ス SSL お よ び IPsec(IKEv2)接続のポー ト 番号を設定 し ま す。範囲は 1 ~ 65535 です。デ フ ォ ル ト はポー ト 443 です。 • Login Page Setting – エ イ リ ア ス で識別 さ れ る 接続プ ロ フ ァ イ ル を ロ グ イ ン ページ で選択で き ま す。選択 し な い場合は、DefaultWebVPNGroup が接続プ ロ フ ァ イ ルにな り ま す。ユーザの ロ グ イ ン ページに、ユーザが接続で使用す る 特定の ト ン ネル グループ を選択す る ための ド ロ ッ プ ダ ウ ン リ ス ト が表示 さ れ る よ う に指定 し ま す。 – [Allow user to enter internal password on the login page]:内部サーバへの ア ク セ ス 時に異な る パ ス ワ ー ド を入力す る オプシ ョ ン を追加 し ま す。 – [Shutdown portal login page]: ロ グ イ ンがデ ィ セーブルの場合に Web ページ を表示 し ます。 • [Connection Profiles]: こ の接続( ト ン ネル グループ)の接続ポ リ シーを決定す る レ コ ー ド を示 し た接続テーブル を表示 し ま す。各 レ コ ー ド に よ っ て、その接続のデ フ ォ ル ト グループ ポ リ シーが識別 さ れ ま す。レ コ ー ド には、プ ロ ト コ ル固有の接続パ ラ メ ー タ が含 ま れてい ま す。 – [Add]:選択 し た接続の [Add Clientless SSL VPN] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – [Edit]:選択 し た接続の [Edit Clientless SSL VPN] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – [Delete]:選択 し た接続を テーブルか ら 削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 – [Name]:接続プ ロ フ ァ イ ルの名前。 – [Enabled]: イ ネーブルにな っ てい る 場合にチ ェ ッ ク マー ク が付 き ま す。 – [Aliases]:接続プ ロ フ ァ イ ルの別名。 – [Authentication Method]:使用す る 認証方式を指定 し ま す。 – [Group Policy]: こ の接続プ ロ フ ァ イ ルのデ フ ォ ル ト グループ ポ リ シーを表示 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-56 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル、ク ラ イ ア ン ト レ ス SSL VPN • [Let group URL take precedence if group URL and certificate map match different connection profiles. Otherwise, the connection profile matches the certificate map will be used.]: こ のオプ シ ョ ン では、接続プ ロ フ ァ イ ルの選択プ ロ セ ス 時に グ ループ URL お よ び証明書の値の相対 的プ リ フ ァ レ ン ス を 指定 し ま す。ASA で、エ ン ド ポ イ ン ト に よ っ て指定 さ れた推奨 さ れ る 値 を 、接続プ ロ フ ァ イ ルに よ っ て指定 さ れた推奨 さ れ る 値 と 照合で き な い場合は、別の値 と 一致す る 接続プ ロ フ ァ イ ルが選択 さ れ ま す。VPN エ ン ド ポ イ ン ト で指定 し た グ ループ URL を 、同 じ グループ URL を 指定す る 接続プ ロ フ ァ イ ル と 照合す る た めに、多数の古い ASA ソ フ ト ウ ェ ア リ リ ー ス で使用 さ れ る プ リ フ ァ レ ン ス を 利用す る 場合にのみ、こ のオプ シ ョ ン を オ ン に し ま す。こ のオプ シ ョ ン は、デ フ ォ ル ト ではオ フ に な っ て い ま す。オ フ に し た場合、 ASA は接続プ ロ フ ァ イ ルで指定 し た証明書 フ ィ ール ド 値 を 、エ ン ド ポ イ ン ト で使用す る 証 明書の フ ィ ール ド 値 と 照合 し て、接続プ ロ フ ァ イ ル を 割 り 当て ま す。 ク ラ イ ア ン ト レ ス SSL VPN 接続プ ロ フ ァ イル、基本属性 [Clientless SSL VPN Connection Profile] > [Advanced] > [Basic] ダ イ ア ロ グ ボ ッ ク ス では、基本属性 を設定 し ま す。 • [Name]:接続名を指定 し ま す。編集機能の場合、こ の フ ィ ール ド は読み取 り 専用です。 • [Aliases]:(任意) こ の接続の代替名を 1 つ以上指定し ます。[Clientless SSL VPN Access Connections] ダ イ ア ロ グボ ッ ク スでそのオプシ ョ ン を設定し てい る場合に、ロ グ イ ン ページに別名が表示さ れ ます。 • [Authentication]:認証パ ラ メ ー タ を指定 し ま す。 – [Method]: こ の接続で、AAA 認証、証明書認証、ま たはその両方を使用す る か ど う か を指 定 し ま す。デ フ ォ ル ト は AAA 認証です。 – [AAA server Group]: こ の接続の認証処理で使用す る AAA サーバ グループ を選択 し ま す。デ フ ォ ル ト は LOCAL です。 – [Manage]:[Configure AAA Server Group] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 • [DNS Server Group]: こ の接続の DNS サーバ グループ と し て使用す る サーバ を選択 し ま す。 デ フ ォ ル ト は DefaultDNS です。 • [Default Group Policy]: こ の接続で使用す る デ フ ォ ル ト グループ ポ リ シーのパ ラ メ ー タ を指 定 し ま す。 – [Group Policy]: こ の接続で使用す る デ フ ォ ル ト グループ ポ リ シーを選択 し ま す。デ フ ォ ル ト は DfltGrpPolicy です。 – [Clientless SSL VPN Protocol]: こ の接続での ク ラ イ ア ン ト レ ス SSL VPN プ ロ ト コ ル を イ ネーブル ま たはデ ィ セーブルに し ま す。 ク ラ イ ア ン ト レ ス SSL VPN 接続プ ロ フ ァ イル、一般属性 [Clientless SSL VPN Connection Profile] > [Advanced] > [General] ダ イ ア ロ グ ボ ッ ク ス を使用 し て、 AAA サーバに渡す前にユーザ名か ら レ ル ム と グループ を除去す る か ど う か を指定 し 、パ ス ワ ー ド 管理オプ シ ョ ン を指定 し ま す。 • [Password Management]:AAA サーバか ら の account-disabled イ ン ジ ケー タ の上書 き と 、ユー ザに対す る パ ス ワ ー ド 期限切れの通知に関す る パ ラ メ ー タ を設定で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-57 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル、ク ラ イ ア ン ト レ ス SSL VPN – [Enable notification password management]: こ のチ ェ ッ ク ボ ッ ク ス を オ ンにす る と 、次の 2 つ のパ ラ メ ー タ が利用で き る よ う にな り ます。パ ス ワー ド が期限切れにな る ま での特定の日 数を指定 し 、その日数だけ前の日の ロ グ イ ン時にユーザに通知す る か、ま たはパ ス ワ ー ド が期限切れにな る 当日にユーザに通知す る か を決定 し ます。デフ ォ ル ト では、パ ス ワ ー ド が期限切れにな る よ り 14 日前にユーザへの通知を開始 し 、以後、ユーザがパ ス ワ ー ド を変 更す る ま で毎日通知す る よ う に設定 さ れてい ます。範囲は 1 ~ 180 日です。 注 こ の処理に よ っ てパ ス ワ ー ド の期限が切れ る ま での日数が変わ る のではな く 、通知 が イ ネーブルにな る だけで あ る と い う 点に注意 し て く だ さ い。こ のオプシ ョ ン を選 択す る 場合は、日数 も 指定す る 必要が あ り ま す。 ど ち ら の場合で も 、変更 さ れずにパ ス ワ ー ド が期限切れにな る と 、ASAはパ ス ワ ー ド を 変更す る 機会を ユーザに提供 し ま す。現行のパ ス ワ ー ド が失効 し ていない場合、ユーザ はそのパ ス ワ ー ド を使用 し て ロ グ イ ン し 続け る こ と がで き ま す。 こ のパ ラ メ ー タ は、こ の よ う な通知機能を サポー ト す る RADIUS、RADIUS 対応 NT サー バ、LDAP サーバな ど の AAA サーバで有効です。RADIUS ま たは LDAP 認証が設定 さ れ ていない場合、ASAでは こ の コ マ ン ド が無視 さ れ ま す。 – [Override account-disabled indication from AAA server]:AAA サーバか ら の account-disabled イ ン ジ ケー タ を上書 き し ま す。 注 override account-disabled を許可す る こ と は、潜在的な セ キ ュ リ テ ィ リ ス ク と な り ま す。 ク ラ イ ア ン ト レ ス SSL VPN 接続プ ロ フ ァ イル、認証 [Clientless SSL VPN Connection Profile] > [Advanced] > [Authentication] ダ イ ア ロ グ ボ ッ ク ス では、 イ ン タ ー フ ェ イ ス 固有の認可サーバ グループ を表示、追加、編集、ま たは削除で き ま す。こ のダ イ ア ロ グ ボ ッ ク ス のテーブルの各行には、イ ン タ ー フ ェ イ ス 固有サーバ グループの ス テー タ ス が 表示 さ れ ま す。表示 さ れ る のは、イ ン タ ー フ ェ イ ス 名、それに関連付け ら れたサーバ グループ、お よ び選択 し たサーバ グループで障害が発生 し た と き に ロ ーカル デー タ ベー ス への フ ォ ール バ ッ ク が イ ネーブルにな っ てい る か ど う かです。 [Authentication] ペ イ ン の フ ィ ール ド は、AnyConnect 接続プ ロ フ ァ イ ル、認証属性(3-47 ページ) で説明 し た AnyConnect 認証の場合 と 同 じ です。 ク ラ イ ア ン ト レ ス SSL VPN 接続プ ロ フ ァ イル、認証、サーバ グループの追加 [Clientless SSL VPN Connection Profile] > [Advanced] > [Authentication] ダ イ ア ロ グ ボ ッ ク ス の [Add] ボ タ ン を ク リ ッ ク す る と 、イ ン タ ー フ ェ イ ス を AAA サーバ グループに関連付け る こ と が で き ま す。 こ の設定を行 う フ ィ ール ド については、ク ラ イ ア ン ト レ ス SSL VPN 接続プ ロ フ ァ イ ル、イ ン タ ー フ ェ イ ス への認可サーバ グループの割 り 当て(3-54 ページ)を参照 し て く だ さ い。 ク ラ イ ア ン ト レ ス SSL VPN 接続プ ロ フ ァ イル、2 次認証 ク ラ イ ア ン ト レ ス SSL の 2 次認証設定 フ ィ ール ド は、接続プ ロ フ ァ イ ル、2 次認証属性(3-49 ペー ジ)に記載 さ れてい る AnyConnect ク ラ イ ア ン ト ア ク セ ス と 同様です。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-58 第3章 一般的な VPN 設定 接続プ ロ フ ァ イル、ク ラ イ ア ン ト レ ス SSL VPN ク ラ イ ア ン ト レ ス SSL VPN 接続プ ロ フ ァ イル、認可 ク ラ イ ア ン ト レ ス SSL の認可設定フ ィ ール ド は、AnyConnect、IKEv1、お よ び IKEv2 の場合 と 同 じ で す。こ れ ら のフ ィ ール ド の詳細については、AnyConnect 接続プ ロ フ ァ イ ル、認可属性(3-51 ページ) を参照 し て く だ さ い。 ク ラ イ ア ン ト レ ス SSL VPN 接続プ ロ フ ァ イル、NetBIOS サーバ ク ラ イ ア ン ト レ ス SSL VPN 接続プ ロ フ ァ イ ルの [Advanced] > [NetBIOS Servers] ダ イ ア ロ グ ボ ッ ク ス には、設定済みの NetBIOS サーバの属性が表示 さ れます。[Add or Edit Tunnel Group dialog box for Clientless SSL VPN access] > [NetBIOS] ダ イ ア ロ グ ボ ッ ク ス を使用すれば、ト ン ネル グループの NetBIOS 属性を設定す る こ と がで き ます。ク ラ イ ア ン ト レ ス SSL VPN では、NetBIOS と Common Internet File System(共通 イ ン タ ーネ ッ ト フ ァ イ ル シ ス テ ム)プ ロ ト コ ルを使用 し て、リ モー ト シ ス テ ム上の フ ァ イ ルにア ク セ ス し た り 、フ ァ イ ルを共有 し た り し ます。Windows コ ン ピ ュ ー タ にその コ ン ピ ュ ー タ 名を使用 し て フ ァ イ ル共有接続を し よ う と す る と 、指定 さ れた フ ァ イ ル サーバは ネ ッ ト ワ ー ク 上の リ ソ ース を識別す る 特定の NetBIOS 名 と 対応 し ます。 ASA は、NetBIOS 名を IP ア ド レ ス にマ ッ プす る ために NetBIOS ネーム サーバに ク エ リ ー を送 信 し ま す。ク ラ イ ア ン ト レ ス SSL VPN では、リ モー ト シ ス テ ム の フ ァ イ ル を ア ク セ ス ま たは共 有す る ための NetBIOS が必要です。 NBNS 機能 を動作 さ せ る には、少な く と も 1 台の NetBIOS サーバ(ホ ス ト )を設定す る 必要が あ り ま す。冗長性を実現す る ために NBNS サーバ を 3 つ ま で設定で き ま す。ASAは、リ ス ト の最初 のサーバ を NetBIOS/CIFS 名前解決に使用 し ま す。ク エ リ ーが失敗す る と 、次のサーバが使用 さ れ ま す。 [NetBIOS Servers] ペ イ ンの フ ィ ール ド • [IP Address]:設定 さ れた NetBIOS サーバの IP ア ド レ ス を表示 し ま す。 • [Master Browser]:サーバが WINS サーバで あ る か、あ る いは CIFS サーバ(つ ま り マ ス タ ブ ラ ウ ザ)に も なれ る サーバで あ る か を表 し ま す。 • [Timeout (seconds)]:サーバが NBNS ク エ リ ーに対す る 応答 を待つ最初の時間を秒単位で表 示 し ま す。こ の時間を過ぎ る と 、次のサーバに ク エ リ ーを送信 し ま す。 • [Retries]:設定 さ れたサーバに対す る NBNS ク エ リ ーの送信を順番に リ ト ラ イ す る 回数を表 示 し ま す。言い換えれば、エ ラ ーを返す ま でサーバの リ ス ト を巡回す る 回数 と い う こ と です。 最小 リ ト ラ イ 数は 0 です。デフ ォ ル ト の再試行回数は 2 回です。最大 リ ト ラ イ 数は 10 です。 • [Add/Edit]:NetBIOS サーバ を追加 し ま す。[Add or Edit NetBIOS Server] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 • [Delete]:選択 し た NetBIOS 行を リ ス ト か ら 削除 し ま す。 • [Move Up/Move Down]:ASAが、こ のボ ッ ク ス に表示 さ れた順序で NetBIOS サーバに NBNS ク エ リ ーを送信 し ま す。こ のボ ッ ク ス を使用 し て、ク エ リ ーを リ ス ト 内で上下に動かす こ と に よ り 、優先順位を変更 し ま す。 ク ラ イ ア ン ト レ ス SSL VPN 接続プ ロ フ ァ イ ル、グループ URL と エ イ リ アス ク ラ イ ア ン ト レ ス 接続プ ロ フ ァ イ ルの [Advanced] > [Clientless SSL VPN] ペ イ ン では、ロ グ イ ン 時の リ モー ト ユーザの画面に影響す る 属性を設定で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-59 第3章 一般的な VPN 設定 IKEv1 接続プ ロ フ ァ イル • [Portal Page Customization(Clientless SSL VPN only)]:適用す る 事前設定 さ れた カ ス タ マ イ ゼーシ ョ ン属性を指定す る こ と に よ り 、ユーザの ロ グ イ ン ページのル ッ ク ア ン ド フ ィ ール を設定 し ま す。デ フ ォ ル ト は DfltCustomization です。 こ のダ イ ア ロ グ の残 り の フ ィ ール ド は、AnyConnect 接続プ ロ フ ァ イ ルの場合 と 同 じ です。 IKEv1 接続プ ロ フ ァ イル IKEv1 接続プ ロ フ ァ イ ルは、L2TP IPsec な ど のネ イ テ ィ ブ VPN ク ラ イ ア ン ト と サー ド パーテ ィ VPN ク ラ イ ア ン ト の認証ポ リ シーを定義 し ま す。IKEv1 接続プ ロ フ ァ イ ルは、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec (IKEv1) Connection Profiles] ペ イ ン で設 定 し ま す。 • [Access Interfaces]:IPsec ア ク セ ス で イ ネーブルにす る イ ン タ ー フ ェ イ ス を選択 し ま す。デ フ ォ ル ト では、ア ク セ ス 方式は何 も 選択 さ れてい ま せん。 • [Connection Profiles]:既存の IPsec 接続の設定済みパ ラ メ ー タ を表形式で表示 し ま す。 [Connections] テーブルには、接続ポ リ シーを決定す る レ コ ー ド が表示 さ れ ま す。1 つの レ コ ー ド に よ っ て、その接続のデ フ ォ ル ト グループ ポ リ シーが識別 さ れ ま す。レ コ ー ド にはプ ロ ト コ ル固有の接続パ ラ メ ー タ が含 ま れてい ま す。テーブルには、次の カ ラ ム が あ り ま す。 – [Name]:IPsec IKEv1 接続の名前 ま たは IP ア ド レ ス を指定 し ま す。 – [IPsec Enabled]:IPsec プ ロ ト コ ルが イ ネーブルにな っ てい る か ど う か を示 し ま す。こ の プ ロ ト コ ルは、[Add or Edit IPsec Remote Access Connection] の [Basic] ダ イ ア ロ グ ボ ッ ク ス で イ ネーブルに し ま す。 – [L2TP/IPsec Enabled]:L2TP/IPsec プ ロ ト コ ルが イ ネーブルにな っ てい る か ど う か を示 し ま す。こ のプ ロ ト コ ルは、[Add or Edit IPsec Remote Access Connection] の [Basic] ダ イ ア ロ グ ボ ッ ク ス で イ ネーブルに し ま す。 – [Authentication Server Group]:認証を提供で き る サーバ グループの名前。 – [Group Policy]: こ の IPsec 接続の グループ ポ リ シーの名前を示 し ま す。 注 [Delete]:選択し たサーバ グループを テーブルか ら 削除し ます。確認 さ れず、や り 直し も で き ません。 IPsec リ モー ト ア ク セス接続プ ロ フ ァ イル、[Basic] タ ブ [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPSec(IKEv1) Connection Profiles] の [Add or Edit IPsec Remote Access Connection Profile Basic] ダ イ ア ロ グ ボ ッ ク ス を使用 すれば、L2TP-IPsec を含む IPsec IKEv1 VPN 接続用の共通属性を設定す る こ と がで き ま す。 • [Name]: こ の接続プ ロ フ ァ イ ルの名前。 • [IKE Peer Authentication]:IKE ピ ア を設定 し ま す。 – [Pre-shared key]:接続の事前共有キーの値を指定 し ます。事前共有キーの最大長は 128 文字 です。 – [Identity Certificate]:ID 証明書が設定お よ び登録 さ れてい る 場合は、ID 証明書の名前を 選択 し ま す。 – [Manage]:[Manage Identity Certificates] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、選択 し た証明書の詳細を追加、編集、削除、エ ク ス ポー ト 、ま たは表示で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-60 第3章 一般的な VPN 設定 IKEv1 接続プ ロ フ ァ イル • [User Authentication]:ユーザ認証で使用す る サーバの情報を指定 し ま す。詳細な認証情報は [Advanced] セ ク シ ョ ン で設定で き ま す。 – [Server Group]:ユーザ認証で使用する サーバ グループを選択 し ます。デフ ォ ル ト は LOCAL です。LOCAL 以外のサーバ グループを選択する と 、[Fallback] チ ェ ッ ク ボ ッ ク ス が選択で き る よ う にな り ます。サーバ グループを追加する には、[Manage] ボ タ ン を ク リ ッ ク し ます。 – [Fallback]:指定 し たサーバ グループで障害が発生 し た場合に、ユーザ認証で LOCAL を 使用す る か ど う か を指定 し ま す。 • [Client Address Assignment]: ク ラ イ ア ン ト 属性の割 り 当て に関連 し た属性を指定 し ま す。 – [DHCP Servers]:使用す る DHCP サーバの IP ア ド レ ス を指定 し ま す。最大で 10 台 ま での サーバ を ス ペー ス で区切っ て追加で き ま す。 – [Client Address Pools]:事前定義済みのア ド レ ス プールを 6 個 ま で指定 し ま す。ア ド レ ス プールを定義す る には、[Configuration] > [Remote Access VPN] > [Network Client Access] > [Address Assignment] > [Address Pools] に移動す る か、ま たは [Select] ボ タ ン を ク リ ッ ク し ます。 • [Default Group Policy]:デ フ ォ ル ト グループ ポ リ シーに関連 し た属性を指定 し ま す。 – [Group Policy]: こ の接続で使用す る デフ ォ ル ト グループ ポ リ シーを選択 し ます。デフ ォ ル ト は DfltGrpPolicy です。こ のグループ ポ リ シーに関連付け る 新 し いグループ ポ リ シーを 定義す る には、[Manage] を ク リ ッ ク し ます。 – [Enable IPsec Protocol and Enable L2TP over IPsec protocol]: こ の接続で使用す る プ ロ ト コ ル を選択 し ま す。 IKEv1 ク ラ イ ア ン ト ア ド レ ス指定 ク ラ イ ア ン ト ア ド レ ス 指定の設定はすべての ク ラ イ ア ン ト 接続プ ロ フ ァ イ ルに共通です。詳細に ついては、「接続プ ロ フ ァ イ ル、ク ラ イ ア ン ト ア ド レ ス 指定(3-45 ページ)」を参照 し て く だ さ い。 IKEv1 接続プ ロ フ ァ イル、認証 認証の設定はすべての ク ラ イ ア ン ト 接続プ ロ フ ァ イ ルに共通です。詳細については、 「AnyConnect 接続プ ロ フ ァ イ ル、認証属性(3-47 ページ)」を参照 し て く だ さ い。 IKEv1 接続プ ロ フ ァ イル、認可 認可の設定はすべての ク ラ イ ア ン ト 接続プ ロ フ ァ イ ルに共通です。詳細については、 「AnyConnect 接続プ ロ フ ァ イ ル、認証属性(3-47 ページ)」を参照 し て く だ さ い。 IKEv1 接続プ ロ フ ァ イル、ア カ ウン テ ィ ング ア カ ウ ン テ ィ ン グ の設定はすべての ク ラ イ ア ン ト 接続プ ロ フ ァ イ ルに共通です。詳細について は、<<add link>> を参照 し て く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-61 第3章 一般的な VPN 設定 IKEv1 接続プ ロ フ ァ イル IKEv1 接続プ ロ フ ァ イル、IPsec IKEv1 用の IPSec の設定は、IKE プ ロ フ ァ イ ルに共通です。詳細につい ては、<<add link>> を参照 し て く だ さ い。 IKEv1 接続プ ロ フ ァ イル、PPP こ の IKEv1 接続プ ロ フ ァ イ ル を使用 し て PPP 接続で許可 さ れ る 認証プ ロ ト コ ル を設定す る に は、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec (IKEv1) Connection Profiles] を開いて、いずれかの接続プ ロ フ ァ イ ル を追加 ま たは編集 し ま す。 こ のダ イ ア ロ グボ ッ ク ス は、IPsec IKEv1 リ モー ト ア ク セ ス接続プ ロ フ ァ イ ルに だけ 適用 さ れます。 • [CHAP]:PPP 接続で CHAP プ ロ ト コ ルの使用を イ ネーブルに し ま す。 • [MS-CHAP-V1]:PPP 接続で MS-CHAP-V1 プ ロ ト コ ルの使用を イ ネーブルに し ま す。 • [MS-CHAP-V2]:PPP 接続で MS-CHAP-V2 プ ロ ト コ ルの使用を イ ネーブルに し ま す。 • [PAP]:PPP 接続で PAP プ ロ ト コ ルの使用を イ ネーブルに し ま す。 • [EAP-PROXY]:PPP 接続で EAP-PROXY プ ロ ト コ ルの使用を イ ネーブルに し ま す。EAP は、 Extensible Authentication protocol(拡張認証プ ロ ト コ ル)を意味 し ま す。 [Add/Edit Remote Access Connections] > [Advanced] > [General] こ のダ イ ア ロ グ ボ ッ ク ス を使用 し て、AAA サーバに渡す前にユーザ名か ら レ ル ム と グループ を 除去す る か ど う か を指定 し 、パ ス ワ ー ド 管理パ ラ メ ー タ を指定 し ま す。 • 注 [Strip the realm from the username before passing it on to the AAA server]:レルム(管理 ド メ イ ン)を ユーザ名か ら 除去 し てか ら 、そのユーザ名を AAA サーバに渡す処理を イ ネーブルま たはデ ィ セーブルに し ます。認証時にユーザ名の レルム修飾子を削除する には、[Strip Realm] チ ェ ッ ク ボ ッ ク ス をオンに し ます。レルム名は、AAA(認証、許可、ア カ ウ ン テ ィ ン グ)のユーザ名に追加 で き ます。レルムに対 し て有効なデ リ ミ タ は @ だけです。形式は、username@realm です。た と え ば、[email protected] です。こ の [Strip Realm] チ ェ ッ ク ボ ッ ク ス をオンにする と 、認証は ユーザ名のみに基づいて行われます。オ フに し た場合は、username@realm 文字列全体に基づい て認証が行われます。サーバでデ リ ミ タ を解析で き ない場合は、こ のチ ェ ッ ク ボ ッ ク ス をオン にする必要があ り ます。 レルム と グループは、両方をユーザ名に追加で き ます。その場合、ASAは、グループ と AAA 機能用の レルムに対 し て設定 さ れたパ ラ メ ー タ を使用 し ます。こ のオプシ ョ ンのフ ォー マ ッ ト は [email protected]#VPNGroup の よ う に、ユーザ名[@realm][<# ま たは !> グルー プ] と い う 形式を取 り ます。こ のオプシ ョ ン を選択 し た場合は、グループ デ リ ミ タ と し て # ま たは ! を使用する必要があ り ます。こ れは、@ が レルム デ リ ミ タ と し て も 使用 さ れてい る 場合には、ASA が @ を グループ デ リ ミ タ と 解釈で き ないためです。 Kerberos レルムは特殊事例です。Kerberos レルムの命名規則 と し て、Kerberos レルム と 関連 付け ら れてい る DNS ド メ イ ン名を大文字で表記 し ます。た と えば、ユーザが example.com ド メ イ ンに存在する場合には、Kerberos レルム を EXAMPLE.COM と 表記 し ます。 VPN 3000 Concentrator は user@grouppolicy をサポー ト し てい ますが、ASA は user@grouppolicy をサポー ト し てい ません。L2TP/IPsec ク ラ イ ア ン ト だけが、 user@tunnelgroup を介 し た ト ン ネル ス イ ッ チン グ をサポー ト し てい ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-62 第3章 一般的な VPN 設定 IKEv1 接続プ ロ フ ァ イル • [Strip the group from the username before passing it on to the AAA server]:グループ名をユーザ名か ら除 去し、そのユーザ名を AAA サーバに渡す処理を イ ネーブルま たはデ ィ セーブルに し ます。認証時 にユーザ名のグループ名を削除する には、[Strip Group] チェ ッ ク ボ ッ ク ス をオンに し ます。こ のオ プシ ョ ンは、[Enable Group Lookup] ボ ッ ク ス をオンに し た場合にだけ有効です。デ リ ミ タ を使用し てグループ名をユーザ名に追加し、Group Lookup を イ ネーブルにする と 、ASAは、デ リ ミ タ の左側 にあ る文字をすべてユーザ名 と 解釈し、右側の文字をすべてグループ名 と 解釈し ます。有効なグ ループ デ リ ミ タ は @、#、および ! で、@ が Group Lookup のデフ ォル ト です。JaneDoe@VPNGroup、 JaneDoe#VPNGroup や JaneDoe!VPNGroup の よ う に、ユーザ名<デ リ ミ タ > グループ の形式でグルー プをユーザ名に追加し ます。 • [Password Management]:AAA サーバか ら の account-disabled イ ン ジ ケー タ の上書 き と 、ユー ザに対す る パ ス ワ ー ド 期限切れの通知に関す る パ ラ メ ー タ を設定で き ま す。 – [Override account-disabled indication from AAA server]:AAA サーバか ら の account-disabled イ ン ジ ケー タ を上書 き し ま す。 注 override account-disabled を許可す る こ と は、潜在的な セ キ ュ リ テ ィ リ ス ク と な り ま す。 – [Enable notification upon password expiration to allow user to change password]: こ のチ ェ ッ ク ボ ッ ク ス を オ ン にす る と 、次の 2 つのパ ラ メ ー タ が利用で き る よ う にな り ま す。パ ス ワ ー ド が期限切れにな る ま での特定の日数を指定 し 、その日数だけ前の日の ロ グ イ ン時 にユーザに通知す る か、ま たはパ ス ワ ー ド が期限切れにな る 当日にユーザに通知す る か を選択で き ま す。デ フ ォ ル ト では、パ ス ワ ー ド が期限切れにな る よ り 14 日前にユーザへ の通知を開始 し 、以後、ユーザがパ ス ワ ー ド を変更す る ま で毎日通知す る よ う に設定 さ れてい ま す。範囲は 1 ~ 180 日です。 注 こ の処理に よ っ てパ ス ワ ー ド の期限が切れ る ま での日数が変わ る のではな く 、通知 が イ ネーブルにな る だけで あ る と い う 点に注意 し て く だ さ い。こ のオプシ ョ ン を選 択す る 場合は、日数 も 指定す る 必要が あ り ま す。 ど ち ら の場合で も 、変更 さ れずにパ ス ワ ー ド が期限切れにな る と 、ASAはパ ス ワ ー ド を 変更す る 機会を ユーザに提供 し ま す。現行のパ ス ワ ー ド が失効 し ていない場合、ユーザ はそのパ ス ワ ー ド を使用 し て ロ グ イ ン し 続け る こ と がで き ま す。 こ のパ ラ メ ー タ は、こ の よ う な通知機能を サポー ト す る RADIUS、RADIUS 対応 NT サー バ、LDAP サーバな ど の AAA サーバで有効です。RADIUS ま たは LDAP 認証が設定 さ れ ていない場合、ASAでは こ の コ マ ン ド が無視 さ れ ま す。 こ の機能では、MS-CHAPv2 を使用す る 必要が あ り ま す。 [Add/Edit Connection Profile] > [General] > [Authentication] こ のダ イ ア ロ グ ボ ッ ク ス は、IPsec on Remote Access お よ び Site-to-Site ト ン ネル グループの場合 に表示 さ れ ま す。こ のダ イ ア ロ グ ボ ッ ク ス 内の設定は、ASA 全体の こ の接続プ ロ フ ァ イ ル( ト ン ネル グループ)に適用 さ れ ま す。イ ン タ ー フ ェ イ ス ご と に認証サーバ グループ を設定す る には、 [Advanced] を ク リ ッ ク し ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、次の属性を設定で き ま す。 • [Authentication Server Group]:LOCAL グループ(デ フ ォ ル ト )な ど の利用可能な認証サーバ グループ を一覧表示 し ま す。None も 選択可能です。None ま たは Local 以外を選択す る と 、 [Use LOCAL if Server Group Fails] チ ェ ッ ク ボ ッ ク ス が利用で き る よ う にな り ま す。イ ン タ ー フ ェ イ ス ご と に認証サーバ グループ を設定す る には、[Advanced] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-63 第3章 一般的な VPN 設定 IKEv1 接続プ ロ フ ァ イル • [Use LOCAL if Server Group fails]:Authentication Server Group 属性に よ っ て指定 さ れた グ ループに障害が発生 し た場合の LOCAL デー タ ベー ス への フ ォ ールバ ッ ク を イ ネーブル ま たはデ ィ セーブルに し ま す。 [Enable Group Lookup] ボ ッ ク ス を オ フ にす る と 、ユーザ名のみに基づ く 認証を設定で き ま す。[Enable Group Lookup] ボ ッ ク ス と [Strip Group] の両方を オ ン にす る と 、AAA サー バで グループ名が付加 さ れたユーザのデー タ ベー ス を維持 し なが ら 、同時にユーザ名の みに基づいて ユーザ を認証す る こ と がで き ま す。 [Add/Edit SSL VPN Connection] > [General] > [Authorization] こ のダ イ ア ロ グ ボ ッ ク ス での設定は、ASA 全体の接続( ト ン ネル グループ)に グ ロ ーバルに適用 さ れ ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、次の属性を設定で き ま す。 • [Authorization Server Group]:LOCAL グループ を含む、利用可能な認可サーバ グループ を一 覧表示 し ま す。None(デ フ ォ ル ト ) も 選択可能です。None 以外を選択す る と 、[Users must exist in authorization database to connect] チ ェ ッ ク ボ ッ ク ス が利用で き る よ う にな り ま す。 • [Users must exist in authorization database to connect]:ASAに対 し 、認可デー タ ベー ス 内のユー ザだけに接続を許可す る よ う に命令 し ま す。デ フ ォ ル ト では、こ の機能はデ ィ セーブルに な っ てい ま す。認可サーバで こ の機能を使用す る よ う に設定 し てお く 必要が あ り ま す。 • [Interface-Specific Authorization Server Groups]:(任意) イ ン タ ー フ ェ イ ス ご と に認可サーバ グループ を設定で き ま す。イ ン タ ー フ ェ イ ス に固有の認可サーバ グループは、グ ロ ーバル サーバ グループ よ り も 優先 さ れ ま す。イ ン タ ー フ ェ イ ス に固有の認可を明示的に設定 し て いない場合には、グループ レ ベルでだけ認可が実行 さ れ ま す。 – [Interface]:認可を実行す る イ ン タ ー フ ェ イ ス を選択 し ま す。標準の イ ン タ ー フ ェ イ ス は、outside(デ フ ォ ル ト )、inside、お よ び DMZ です。他の イ ン タ ー フ ェ イ ス を設定 し た場 合には、その イ ン タ ー フ ェ イ ス も リ ス ト に表示 さ れ ま す。 – [Server Group]:LOCAL グループ を含む、先に設定 し た利用可能な認可サーバ グループ を 選択 し ます。サーバ グループは、複数の イ ン タ ーフ ェ イ ス と 関連付け る こ と がで き ま す。 – [Add]:[Add] を ク リ ッ ク す る と 、イ ン タ ー フ ェ イ ス ま たはサーバ グループ設定がテーブ ルに追加 さ れ、利用可能な リ ス ト か ら イ ン タ ー フ ェ イ ス が削除 さ れ ま す。 – [Remove]:[Remove] を ク リ ッ ク す る と 、イ ン タ ー フ ェ イ ス ま たはサーバ グループがテー ブルか ら 削除 さ れ、利用可能な リ ス ト に イ ン タ ー フ ェ イ ス が戻 り ま す。 • [Authorization Settings]:ASAが認可のために認識す る ユーザ名の値を設定で き る よ う に し ま す。こ の名前は、デジ タ ル証明書を使用 し て認証 し 、LDAP ま たは RADIUS 認可を必要 と す る ユーザに適用 さ れ ま す。 – [Use entire DN as username]:認定者名(DN)全体を ユーザ名 と し て使用す る こ と を許可 し ま す。 – [Specify individual DN fields as the username]:個々の DN フ ィ ール ド を ユーザ名 と し て使 用す る こ と を イ ネーブルに し ま す。 – [Primary DN Field]:選択内容の DN フ ィ ール ド 識別子すべて を一覧表示 し ま す。 DN フ ィ ール ド 定義 Country(C) 2 文字の国名略記。国名コー ド は、ISO 3166 国名略語に準拠し ています。 Common Name(CN) 人やシ ス テ ム、その他のエ ン テ ィ テ ィ の名前。こ れは、ID 階層の最下位 (最 も 固有性の高い)レ ベルです。 DN Qualifier(DNQ) 特定の DN 属性。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-64 第3章 一般的な VPN 設定 IKEv1 接続プ ロ フ ァ イル DN フ ィ ール ド 定義 E-mail Address(EA) 証明書を所有す る 人、シ ス テ ム、ま たはエ ン テ ィ テ ィ の電子 メ ール ア ド レ ス。 Generational Qualifier (GENQ) Jr.、Sr.、III な ど の世代修飾子。 Given Name(GN) 証明書所有者の名。 Initials(I) 証明書所有者の姓 と 名の最初の文字。 Locality(L) 組織が所在す る 市 ま たは町。 Name(N) 証明書所有者の名。 Organization(O) 会社、施設、機関、協会、その他のエ ン テ ィ テ ィ の名前。 Organizational Unit (OU) 組織内のサブ グループ。 Serial Number(SER) 証明書のシ リ アル番号。 Surname(SN) 証明書所有者の姓。 State/Province(S/P) 組織が所在す る 州や県。 Title(T) 博士な ど 、証明書の所有者の肩書。 User ID(UID) 証明書の所有者の識別番号。 User Principal Name (UPN) ス マー ト カー ド に よ る 証明書認証で使用。 – [Secondary DN Field]:選択内容の DN フ ィ ール ド 識別子のすべて(上記の表を参照)を一 覧表示 し 、選択 し ていない場合には None オプシ ョ ン を追加 し ま す。 [Enable Group Lookup] ボ ッ ク ス を オ フ にす る と 、ユーザ名のみに基づ く 認証を設定で き ま す。[Enable Group Lookup] ボ ッ ク ス と [Strip Group] の両方を オ ン にす る と 、AAA サー バで グループ名が付加 さ れたユーザのデー タ ベー ス を維持 し なが ら 、同時にユーザ名の みに基づいて ユーザ を認証す る こ と がで き ま す。 [Add/Edit Tunnel Group] > [General] > [Client Address Assignment] ア ド レ ス 割 り 当てに DHCP ま たはア ド レ ス プールを使用す る か ど う か を指定す る には、 [Configuration] > [VPN] > [I P Address Management] > [Assignment] に移動 し ま す。[Add or Edit Tunnel Group] > [General] > [Client Address Assignment] ダ イ ア ロ グ ボ ッ ク ス では、次の ク ラ イ ア ン ト ア ド レ ス 割 り 当て属性を設定で き ま す。 • [DHCP Servers]:使用す る DHCP サーバ を指定 し ま す。一度に最大 10 台のサーバ を追加で き ま す。 – [IP Address]:DHCP サーバの IP ア ド レ ス を指定 し ま す。 – [Add]:指定 さ れた DHCP サーバ を、ク ラ イ ア ン ト ア ド レ ス 割 り 当て用の リ ス ト に追加 し ま す。 – [Delete]:指定 さ れた DHCP サーバ を、ク ラ イ ア ン ト ア ド レ ス 割 り 当て用の リ ス ト か ら 削 除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 • [Address Pools]:次のパ ラ メ ー タ を使用 し て、最大 6 つのア ド レ ス プール を指定で き ま す。 – [Available Pools]:選択可能な設定済みの ア ド レ ス プール を一覧表示 し ま す。 – [Add]:選択し たア ド レ ス プールを ク ラ イ アン ト ア ド レ ス割 り 当て用の リ ス ト に追加し ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-65 第3章 一般的な VPN 設定 IKEv1 接続プ ロ フ ァ イル – [Remove]:選択 し た ア ド レ ス プール を [Assigned Pools] リ ス ト か ら [Available Pools] リ ス ト に移動 し ま す。 – [Assigned Pools]:ア ド レ ス 割 り 当て用に選択 し た ア ド レ ス プール を一覧表示 し ま す。 注 イ ン タ ーフ ェ イ ス に固有のア ド レ ス プールを設定す る には、Advanced を ク リ ッ ク し ま す。 [Add/Edit Tunnel Group] > [General] > [Advanced] • [Interface-Specific Authentication Server Groups]: イ ン タ ー フ ェ イ ス と サーバ グループ を認証 用に設定で き ま す。 – [Interface]:選択可能な イ ン タ ー フ ェ イ ス を一覧表示 し ま す。 – [Server Group]: こ の イ ン タ ー フ ェ イ ス で利用可能な認証サーバ グループ を一覧表示 し ま す。 – [Use LOCAL if server group fails]:サーバ グループに障害が発生 し た場合の LOCAL デー タ ベー ス への フ ォ ールバ ッ ク を イ ネーブル ま たはデ ィ セーブルに し ま す。 – [Add]:選択 し た利用可能な イ ン タ ー フ ェ イ ス と 認証サーバ グループ間の ア ソ シエー シ ョ ン を、割 り 当て ら れた リ ス ト に追加 し ま す。 – [Remove]:選択 し た イ ン タ ー フ ェ イ ス と 認証サーバ グループの ア ソ シ エーシ ョ ン を、割 り 当て ら れた リ ス ト か ら 利用可能な リ ス ト に移動 し ま す。 – [Interface/Server Group/Use Fallback]:割 り 当て ら れた リ ス ト に追加 し た選択内容 を表示 し ま す。 • [Interface-Specific Client IP Address Pools]: イ ン タ ー フ ェ イ ス と ク ラ イ ア ン ト の IP ア ド レ ス プール を指定で き ま す。最大 6 個のプール を指定で き ま す。 – [Interface]:追加可能な イ ン タ ー フ ェ イ ス を一覧表示 し ま す。 – [Address Pool]: こ の イ ン タ ー フ ェ イ ス と 関連付け で き る ア ド レ ス プール を 一覧表示 し ま す。 – [Add]:選択 し た利用可能な イ ン タ ー フ ェ イ ス と ク ラ イ ア ン ト の IP ア ド レ ス プール間の ア ソ シ エーシ ョ ン を、割 り 当て ら れた リ ス ト に追加 し ま す。 – [Remove]:選択 し た イ ン タ ー フ ェ イ ス ま たはア ド レ ス プールの ア ソ シ エーシ ョ ン を、割 り 当て ら れた リ ス ト か ら 利用可能な リ ス ト に移動 し ま す。 – [Interface/Address Pool]:割 り 当て ら れた リ ス ト に追加 さ れた選択内容 を表示 し ま す。 [Add/Edit Tunnel Group] > [IPsec for Remote Access] > [IPsec] [Configuration] > [VPN] > [General] > [Tunnel Group] > [Add/Edit Tunnel Group] > [IPSec for Remote Access] > [IPsec] タ ブ • [Pre-shared Key]: ト ン ネル グループの事前共有キーの値を指定で き ま す。事前共有キーの最 大長は 128 文字です。 • [Trustpoint Name]: ト ラ ス ト ポ イ ン ト が設定 さ れてい る 場合には、ト ラ ス ト ポ イ ン ト 名を選択 し ま す。ト ラ ス ト ポ イ ン ト と は、認証局を表現 し た も のです。ト ラ ス ト ポ イ ン ト には、CA の ID、CA 固有の コ ン フ ィ ギ ュ レ ーシ ョ ン パ ラ メ ー タ 、登録 さ れてい る ID 証明書 と の ア ソ シ エーシ ョ ン が含 ま れてい ま す。 • [Authentication Mode]:認証モー ド を、none、xauth、ま たは hybrid の中か ら 指定 し ま す。 – [none]:認証モー ド を指定 し ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-66 第3章 一般的な VPN 設定 IKEv1 接続プ ロ フ ァ イル – [xauth]:IKE 拡張認証モー ド を使用す る よ う に指定 し ま す。こ の認証モー ド は、TACACS+ ま たは RADIUS を使用す る IKE 内のユーザ を認証す る 機能 を提供 し ま す。 – [hybrid]:ハ イ ブ リ ッ ド モー ド を使用す る よ う に指定 し ま す。こ の認証モー ド では、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス 認証にデジ タ ル認証を使用で き 、リ モー ト VPN ユーザ認証 に別の レ ガ シー方式(RADIUS、TACACS+、SecurID な ど )を使用で き ま す。こ のモー ド で は、イ ン タ ーネ ッ ト キー交換(IKE)の フ ェ ーズ 1 が次の手順に分かれてい ま す。こ れ ら を 合せてハ イ ブ リ ッ ド 認証 と 呼び ま す。 注 1. セ キ ュ リ テ ィ ア プ ラ イ ア ン ス では、リ モー ト VPN ユーザが標準公開キー技術で認証 さ れ ま す。こ れに よ り 、単方向に認証す る IKE セ キ ュ リ テ ィ ア ソ シエーシ ョ ン が確立 さ れ ま す。 2. 次に、拡張認証(xauth)交換で リ モー ト VPN ユーザが認証 さ れ ま す。こ の拡張認証では、 サポー ト さ れてい る 従来のいずれかの認証方式を使用で き ま す。 認証 タ イ プ を ハ イ ブ リ ッ ド に設定す る 前に、認証サーバ を設定 し 、事前共有キーを作成す る 必要が あ り ま す。 • [IKE Peer ID Validation]:IKE ピ ア ID 確認要求を無視す る か、必須 と す る か、あ る いは証明書 に よ っ てサポー ト さ れてい る 場合にだけチ ェ ッ ク す る か を選択 し ま す。 • [Enable sending certificate chain]:証明書チ ェ ーン全体の送信 を イ ネーブル ま たはデ ィ セーブ ルに し ま す。こ の ア ク シ ョ ン には、ルー ト 証明書お よ び送信内のすべての下位 CA 証明書が 含 ま れ ま す。 • [ISAKMP Keep Alive]:ISAKMP キープア ラ イ ブ モニ タ リ ン グ を イ ネーブルに し 、設定 し ます。 – [Disable Keep Alives]:ISAKMP キープア ラ イ ブを イ ネーブルま たはデ ィ セーブルに し ます。 – [Monitor Keep Alives]:ISAKMP キープ ア ラ イ ブ モ ニ タ リ ン グ を イ ネーブル ま たはデ ィ セーブルに し ま す。こ のオプシ ョ ン を選択す る と 、[Confidence Interval] フ ィ ール ド と [Retry Interval] フ ィ ール ド が利用で き る よ う にな り ま す。 – [Confidence Interval]:ISAKMP キープア ラ イ ブの信頼間隔を指定 し ます。こ れは、ピ アがキー プア ラ イ ブ モニ タ リ ン グ を開始する ま でにASAが許可する ア イ ド ル時間を表す秒数です。 最小 10 秒、最大 300 秒です。リ モー ト ア ク セ ス グループのデフ ォ ル ト は 300 秒です。 – [Retry Interval]:ISAKMP キープ ア ラ イ ブの リ ト ラ イ 間の待機秒数を指定 し ま す。デ フ ォ ル ト 値は 2 秒です。 – [Head end will never initiate keepalive monitoring]:中央サ イ ト のASAが キープ ア ラ イ ブ モ ニ タ リ ン グ を開始 し ない よ う に指定 し ま す。 • [Interface-Specific Authentication Mode]:認証モー ド を イ ン タ ー フ ェ イ ス ご と に指定 し ま す。 – [Interface]:名前付 き イ ン タ ー フ ェ イ ス を選択 し ま す。デ フ ォ ル ト の イ ン タ ー フ ェ イ ス は inside と outside ですが、別の イ ン タ ー フ ェ イ ス 名 を設定 し た場合には、その名前が リ ス ト に表示 さ れ ま す。 – [Authentication Mode]:認証モー ド を、上記の none、xauth、ま たは hybrid の中か ら 選択で き ま す。 – [Interface/Authentication Mode] テーブル: イ ン タ ー フ ェ イ ス 名 と 、選択 さ れてい る 関連認 証モー ド を表示 し ま す。 – [Add]:選択 し た イ ン タ ー フ ェ イ ス と 認証モー ド のペア を [Interface/Authentication Modes] テーブルに追加 し ま す。 – [Remove]:選択 し た イ ン タ ー フ ェ イ ス と 認証モー ド のペア を [Interface/Authentication Modes] テーブルか ら 削除 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-67 第3章 一般的な VPN 設定 IKEv1 接続プ ロ フ ァ イル • [Client VPN Software Update Table]: ク ラ イ ア ン ト タ イ プ、VPN ク ラ イ ア ン ト の リ ビ ジ ョ ン、 お よ び イ ン ス ト ール さ れてい る 各 ク ラ イ ア ン ト VPN ソ フ ト ウ ェ ア パ ッ ケージの イ メ ージ URL を一覧表示 し ま す。ク ラ イ ア ン ト タ イ プ ご と に、許可 さ れ る ク ラ イ ア ン ト ソ フ ト ウ ェ ア リ ビ ジ ョ ン と 、必要に応 じ て、ソ フ ト ウ ェ ア ア ッ プ グ レ ー ド を ダ ウ ン ロ ー ド す る URL ま たは IP ア ド レ ス を指定で き ま す。ク ラ イ ア ン ト ア ッ プデー ト メ カ ニ ズ ム(Client Update ダ イ ア ロ グ ボ ッ ク ス に詳細説明が あ り ま す)は、こ の情報を使用 し て、各 VPN ク ラ イ ア ン ト が適 切な リ ビ ジ ョ ン レ ベルで実行 さ れてい る か ど う か、適切で あれば、通知 メ ッ セージ と ア ッ プ デー ト メ カ ニ ズ ム を、旧式の ソ フ ト ウ ェ ア を実行 し てい る ク ラ イ ア ン ト に提供す る か ど う か を判断 し ま す。 – [Client Type]:VPN ク ラ イ ア ン ト タ イ プ を識別 し ま す。 – [VPN Client Revisions]:許可 さ れ る VPN ク ラ イ ア ン ト の リ ビ ジ ョ ン レ ベルを指定 し ま す。 – [Image URL]:適切な VPN ク ラ イ ア ン ト ソ フ ト ウ ェ ア イ メ ージ を ダ ウ ン ロ ー ド で き る URL ま たは IP ア ド レ ス を指定 し ま す。ダ イ ア ロ グ ボ ッ ク ス ベー ス の VPN ク ラ イ ア ン ト の場合、URL は http:// ま たは https:// と い う 形式です。ク ラ イ ア ン ト モー ド の ASA 5505 ま たは VPN 3002 ハー ド ウ ェ ア ク ラ イ ア ン ト の場合、URL は tftp:// と い う 形式です。 Site-to-Site VPN の ト ンネル グループの追加/編集 [Configuration] > [VPN] > [General] > [Tunnel Group] > [Add/Edit Tunnel Group] > [IPSec for Remote Access] > [IPSec] タ ブ • [Pre-shared Key]: ト ン ネル グループの事前共有キーの値を指定で き ま す。事前共有キーの最 大長は 128 文字です。 • [Trustpoint Name]: ト ラ ス ト ポ イ ン ト が設定 さ れてい る 場合には、ト ラ ス ト ポ イ ン ト 名を選択 し ま す。ト ラ ス ト ポ イ ン ト と は、認証局を表現 し た も のです。ト ラ ス ト ポ イ ン ト には、CA の ID、CA 固有の コ ン フ ィ ギ ュ レ ーシ ョ ン パ ラ メ ー タ 、登録 さ れてい る ID 証明書 と の ア ソ シ エーシ ョ ン が含 ま れてい ま す。 • [Authentication Mode]:認証モー ド を、none、xauth、ま たは hybrid の中か ら 指定 し ま す。 – [none]:認証モー ド を指定 し ま せん。 – [xauth]:IKE 拡張認証モー ド を使用す る よ う に指定 し ま す。こ の認証モー ド は、TACACS+ ま たは RADIUS を使用す る IKE 内のユーザ を認証す る 機能 を提供 し ま す。 – [hybrid]:ハ イ ブ リ ッ ド モー ド を使用す る よ う に指定 し ま す。こ の認証モー ド では、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス 認証にデジ タ ル認証を使用で き 、リ モー ト VPN ユーザ認証 に別の レ ガ シー方式(RADIUS、TACACS+、SecurID な ど )を使用で き ま す。こ のモー ド で は、イ ン タ ーネ ッ ト キー交換(IKE)の フ ェ ーズ 1 が次の手順に分かれてい ま す。こ れ ら を 合せてハ イ ブ リ ッ ド 認証 と 呼び ま す。 注 1. セ キ ュ リ テ ィ ア プ ラ イ ア ン ス では、リ モー ト VPN ユーザが標準公開キー技術で認証 さ れ ま す。こ れに よ り 、単方向に認証す る IKE セ キ ュ リ テ ィ ア ソ シエーシ ョ ン が確立 さ れ ま す。 2. 次に、拡張認証(xauth)交換で リ モー ト VPN ユーザが認証 さ れ ま す。こ の拡張認証では、 サポー ト さ れてい る 従来のいずれかの認証方式を使用で き ま す。 認証 タ イ プ を ハ イ ブ リ ッ ド に設定す る 前に、認証サーバ を設定 し 、事前共有キーを作成す る 必要が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-68 第3章 一般的な VPN 設定 IKEv1 接続プ ロ フ ァ イル • [Certificate Settings]:次の証明書チ ェ ーン と IKE ピ ア検証の属性を設定 し ま す。 – [Send certificate chain]:証明書チ ェ ーン全体の送信を イ ネーブル ま たはデ ィ セーブルに し ま す。こ の ア ク シ ョ ン には、ルー ト 証明書お よ び送信内のすべての下位 CA 証明書が含 ま れ ま す。 – [IKE Peer ID Validation]:IKE ピ ア ID 確認要求を無視す る か、必須 と す る か、あ る いは証 明書に よ っ てサポー ト さ れてい る 場合にだけチ ェ ッ ク す る か を選択 し ま す。 • [IKE Keep Alive]:IKE(ISAKMP)キープア ラ イ ブ モニ タ リ ン グ を イ ネーブルに し て設定 し ます。 – [Disable Keep Alives]:IKE キープ ア ラ イ ブ を イ ネーブル ま たはデ ィ セーブルに し ま す。 – [Monitor Keep Alives]:IKE キープ ア ラ イ ブ モ ニ タ リ ン グ を イ ネーブル ま たはデ ィ セーブ ルに し ま す。こ のオプシ ョ ン を選択す る と 、[Confidence Interval] フ ィ ール ド と [Retry Interval] フ ィ ール ド が利用で き る よ う にな り ま す。 – [Confidence Interval]:IKE キープア ラ イ ブの信頼間隔を指定 し ま す。こ れは、ピ アがキープ ア ラ イ ブ モニ タ リ ン グ を開始す る ま でにASAが許可す る ア イ ド ル時間を表す秒数です。 最小 10 秒、最大 300 秒です。リ モー ト ア ク セ ス グループのデフ ォ ル ト は 300 秒です。 – [Retry Interval]:IKE キープ ア ラ イ ブの リ ト ラ イ 間の待機秒数 を指定 し ま す。デ フ ォ ル ト 値は 2 秒です。 – [Head end will never initiate keepalive monitoring]:中央サ イ ト のASAが キープ ア ラ イ ブ モ ニ タ リ ン グ を開始 し ない よ う に指定 し ま す。 • [Default Group Policy]:次の グループ ポ リ シーの属性を指定 し ま す。 – [Group Policy]:デ フ ォ ル ト の グループ ポ リ シー と し て使用す る グループ ポ リ シーを選 択 し ま す。デ フ ォ ル ト 値は DfltGrpPolicy です。 – [Manage]:[Configure Group Policies] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – [IPsec Protocol]: こ の接続プ ロ フ ァ イ ルでの IPsec プ ロ ト コ ルの使用を イ ネーブル ま たは デ ィ セーブルに し ま す。 • [Interface-Specific Authentication Mode]:認証モー ド を イ ン タ ー フ ェ イ ス ご と に指定 し ま す。 – [Interface]: イ ン タ ーフ ェ イ ス名を選択で き ます。デフ ォ ル ト の イ ン タ ーフ ェ イ スは inside と outside ですが、別の イ ン タ ーフ ェ イ ス名を設定 し た場合には、その名前が リ ス ト に表示 さ れます。 – [Authentication Mode]:認証モー ド を、上記の none、xauth、ま たは hybrid の中か ら 選択で き ま す。 – [Interface/Authentication Mode] テーブル: イ ン タ ー フ ェ イ ス 名 と 、選択 さ れてい る 関連認 証モー ド を表示 し ま す。 – [Add]:選択 し た イ ン タ ー フ ェ イ ス と 認証モー ド のペア を [Interface/Authentication Modes] テーブルに追加 し ま す。 – [Remove]:選択 し た イ ン タ ー フ ェ イ ス と 認証モー ド のペア を [Interface/Authentication Modes] テーブルか ら 削除 し ま す。 • [Client VPN Software Update Table]: ク ラ イ ア ン ト タ イ プ、VPN ク ラ イ ア ン ト の リ ビ ジ ョ ン、お よ び イ ン ス ト ール さ れてい る 各 ク ラ イ ア ン ト VPN ソ フ ト ウ ェ ア パ ッ ケージの イ メ ージ URL を一覧表示 し ます。ク ラ イ ア ン ト タ イ プ ご と に、許可 さ れ る ク ラ イ ア ン ト ソ フ ト ウ ェ ア リ ビ ジ ョ ン と 、必要に応 じ て、ソ フ ト ウ ェ ア ア ッ プ グ レ ー ド を ダ ウ ン ロ ー ド す る URL ま たは IP ア ド レ ス を指定で き ま す。ク ラ イ ア ン ト ア ッ プデー ト メ カ ニ ズ ム([Client Update] ウ ィ ン ド ウ に 詳細説明があ り ま す)は、こ の情報を使用 し て、各 VPN ク ラ イ ア ン ト が適切な リ ビ ジ ョ ン レ ベルで実行 さ れてい る か ど う か、適切で あれば、通知 メ ッ セージ と ア ッ プデー ト メ カ ニ ズ ム を、旧式の ソ フ ト ウ ェ ア を実行 し てい る ク ラ イ ア ン ト に提供す る か ど う か を判断 し ま す。 – [Client Type]:VPN ク ラ イ ア ン ト タ イ プ を識別 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-69 第3章 一般的な VPN 設定 IKEv1 接続プ ロ フ ァ イル – [VPN Client Revisions]:許可 さ れ る VPN ク ラ イ ア ン ト の リ ビ ジ ョ ン レベルを指定 し ます。 – [Image URL]:適切な VPN ク ラ イ ア ン ト ソ フ ト ウ ェ ア イ メ ージ を ダ ウ ン ロ ー ド で き る URL ま たは IP ア ド レ ス を指定 し ま す。Windows ベー ス の VPN ク ラ イ ア ン ト の場合、URL は http:// ま たは https:// と い う 形式です。ク ラ イ ア ン ト モー ド の ASA 5505 ま たは VPN 3002 ハー ド ウ ェ ア ク ラ イ ア ン ト の場合、URL は tftp:// と い う 形式です。 [Add/Edit Tunnel Group] > [IPsec for LAN to LAN Access] > [General] > [Basic] [Configuration] > [VPN] > [General] > [Tunnel Group] > [Add/Edit Tunnel Group] > [IPsec for LAN to LAN Access] > [General] タ ブ > [Basic] タ ブ ダ イ ア ロ グ ボ ッ ク ス では、ユーザが追加す る ([Add] 機 能のみ) ト ン ネル グループの名前を指定 し て、グループ ポ リ シーを選択で き ま す。編集す る 場合 は、[General] ダ イ ア ロ グ ボ ッ ク ス に、変更す る ト ン ネル グループの名前 と タ イ プが表示 さ れ ま す。 • [Name]: こ の ト ン ネル グループに割 り 当て ら れた名前を指定 し ま す。Edit 機能の場合、こ の フ ィ ール ド は表示専用です。 • [Type]:(表示専用)追加 ま たは編集す る ト ン ネル グループの タ イ プ を表示 し ま す。こ の フ ィ ール ド の内容は、前のダ イ ア ロ グ ボ ッ ク ス での選択内容に よ っ て異な り ま す。 • [Group Policy]:現在設定 さ れてい る グループ ポ リ シーを一覧表示 し ま す。デ フ ォ ル ト 値は、 デ フ ォ ル ト グループ ポ リ シーで あ る DfltGrpPolicy です。 • [Strip the realm (administrative domain) from the username before passing it on to the AAA server]:レル ム をユーザ名か ら 除去 し 、そのユーザ名を AAA サーバに渡す処理を イ ネーブルま たはデ ィ セーブルに し ます。認証時にユーザ名の レルム修飾子を削除する には、[Strip Realm] チ ェ ッ ク ボ ッ ク ス をオンに し ます。レルム名は、AAA(認証、許可、ア カ ウ ン テ ィ ン グ)のユーザ名に追加 で き ます。レルムに対 し て有効なデ リ ミ タ は @ だけです。形式は、username@realm です。た と え ば、[email protected] です。こ の [Strip Realm] チ ェ ッ ク ボ ッ ク ス をオンにする と 、認証は ユーザ名のみに基づいて行われます。オ フに し た場合は、username@realm 文字列全体に基づい て認証が行われます。サーバでデ リ ミ タ を解析で き ない場合は、こ のチ ェ ッ ク ボ ッ ク ス をオン にする必要があ り ます。 注 レルム と グループは、両方をユーザ名に追加で き ます。その場合、ASAは、グループ と AAA 機能用の レルムに対 し て設定 さ れたパ ラ メ ー タ を使用 し ます。こ のオプシ ョ ンのフ ォー マ ッ ト は [email protected]#VPNGroup の よ う に、ユーザ名[@realm][<# ま たは !> グルー プ] と い う 形式を取 り ます。こ のオプシ ョ ン を選択 し た場合は、グループ デ リ ミ タ と し て # ま たは ! を使用する必要があ り ます。こ れは、@ が レルム デ リ ミ タ と し て も 使用 さ れてい る 場合には、ASA が @ を グループ デ リ ミ タ と 解釈で き ないためです。 Kerberos レルムは特殊事例です。Kerberos レルムの命名規則 と し て、Kerberos レルム と 関連 付け ら れてい る DNS ド メ イ ン名を大文字で表記 し ます。た と えば、ユーザが example.com ド メ イ ンに存在する場合には、Kerberos レルム を EXAMPLE.COM と 表記 し ます。 VPN 3000 Concentrator は user@grouppolicy をサポー ト し てい ますが、ASA は user@grouppolicy をサポー ト し てい ません。L2TP/IPsec ク ラ イ ア ン ト だけが、 user@tunnelgroup を介 し た ト ン ネル ス イ ッ チン グ をサポー ト し てい ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-70 第3章 一般的な VPN 設定 IKEv1 接続プ ロ フ ァ イル • [Strip the group from the username before passing it on to the AAA server]:グループ名を ユーザ名 か ら 除去 し 、そのユーザ名を AAA サーバに渡す処理を イ ネーブル ま たはデ ィ セーブルに し ます。認証時にユーザ名のグループ名を削除す る には、[Strip Group] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。こ のオプシ ョ ンは、[Enable Group Lookup] ボ ッ ク ス を オ ン に し た場合にだけ有効で す。デ リ ミ タ を使用 し て グループ名を ユーザ名に追加 し 、Group Lookup を イ ネーブルにす る と 、ASAは、デ リ ミ タ の左側にあ る 文字をすべてユーザ名 と 解釈 し 、右側の文字をすべて グ ループ名 と 解釈 し ま す。有効な グループ デ リ ミ タ は @、#、お よ び ! で、@ が Group Lookup のデ フ ォ ル ト です。JaneDoe@VPNGroup、JaneDoe#VPNGroup や JaneDoe!VPNGroup の よ う に、ユー ザ名<デ リ ミ タ > グループ の形式で グループ を ユーザ名に追加 し ま す。 • [Password Management]:AAA サーバか ら の account-disabled イ ン ジ ケー タ の上書 き と 、ユー ザに対す る パ ス ワ ー ド 期限切れの通知に関す る パ ラ メ ー タ を設定で き ま す。 – [Override account-disabled indication from AAA server]:AAA サーバか ら の account-disabled イ ン ジ ケー タ を上書 き し ま す。 注 override account-disabled を許可す る こ と は、潜在的な セ キ ュ リ テ ィ リ ス ク と な り ま す。 – [Enable notification upon password expiration to allow user to change password]: こ のチ ェ ッ ク ボ ッ ク ス を オ ン にす る と 、次の 2 つのパ ラ メ ー タ が利用で き る よ う にな り ま す。[Enable notification prior to expiration] チ ェ ッ ク ボ ッ ク ス を オ ン に し ない と 、ユーザは、パ ス ワ ー ド の期限が切れた後で通知を受信 し ます。 – [Enable notification prior to expiration]: こ のオプシ ョ ン を オ ン にす る と 、ASAは、リ モー ト ユーザの ロ グ イ ン時に、現在のパ ス ワ ー ド の期限切れが迫っ てい る か、期限が切れてい る こ と を通知 し 、パ ス ワ ー ド を変更す る 機会を ユーザに提供 し ま す。現行のパ ス ワ ー ド が失効 し ていない場合、ユーザはそのパ ス ワ ー ド を使用 し て ロ グ イ ン し 続け る こ と がで き ま す。こ のパ ラ メ ー タ は、こ の よ う な通知機能を サポー ト す る RADIUS、RADIUS 対応 NT サーバ、LDAP サーバな ど の AAA サーバで有効です。RADIUS ま たは LDAP 認証が 設定 さ れていない場合、ASAでは こ の コ マ ン ド が無視 さ れ ま す。 こ の処理に よ っ てパ ス ワ ー ド の期限が切れ る ま での日数が変わ る わけではな く 、通知が イ ネーブルにな る と い う こ と に注意 し て く だ さ い。こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し た ら 、日数 も 指定す る 必要が あ り ま す。 – [Notify...days prior to expiration]:現在のパ ス ワ ー ド の期限切れが迫っ てい る こ と を ユー ザに通知す る 日を、期限切れにな る ま での日数で指定 し ま す。範囲は 1 ~ 180 日です。 [Add/Edit Tunnel Group] > [IPsec for LAN to LAN Access] > [IPsec] [Configuration] > [VPN] > [General] > [Tunnel Group] > Add/Edit Tunnel Group] > [IPsec for LAN to LAN Access] > [IPSec] タ ブの追加 ま たは編集ダ イ ア ロ グ ボ ッ ク ス を使用すれば、IPsec Site-to-Site に固有の ト ン ネル グループ パ ラ メ ー タ を設定 ま たは編集す る こ と がで き ま す。 • [Name]: こ の ト ン ネル グループに割 り 当て ら れた名前を指定 し ま す。Edit 機能の場合、こ の フ ィ ール ド は表示専用です。 • [Type]:(表示専用)追加 ま たは編集す る ト ン ネル グループの タ イ プ を表示 し ま す。こ の フ ィ ール ド の内容は、前のダ イ ア ロ グ ボ ッ ク ス での選択内容に よ っ て異な り ま す。 • [Pre-shared Key]: ト ン ネル グループの事前共有キーの値を指定で き ま す。事前共有キーの最 大長は 128 文字です。 • [Trustpoint Name]: ト ラ ス ト ポ イ ン ト が設定 さ れてい る 場合には、ト ラ ス ト ポ イ ン ト 名を選択 し ま す。ト ラ ス ト ポ イ ン ト と は、認証局を表現 し た も のです。ト ラ ス ト ポ イ ン ト には、CA の ID、CA 固有の コ ン フ ィ ギ ュ レ ーシ ョ ン パ ラ メ ー タ 、登録 さ れてい る ID 証明書 と の ア ソ シ エーシ ョ ン が含 ま れてい ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-71 第3章 一般的な VPN 設定 IKEv1 接続プ ロ フ ァ イル • [Authentication Mode]:認証モー ド を、none、xauth、ま たは hybrid の中か ら 指定 し ま す。 – [none]:認証モー ド を指定 し ま せん。 – [xauth]:IKE 拡張認証モー ド を使用す る よ う に指定 し ま す。こ の認証モー ド は、TACACS+ ま たは RADIUS を使用す る IKE 内のユーザ を認証す る 機能 を提供 し ま す。 – [hybrid]:ハ イ ブ リ ッ ド モー ド を使用す る よ う に指定 し ま す。こ の認証モー ド では、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス 認証にデジ タ ル認証を使用で き 、リ モー ト VPN ユーザ認証 に別の レ ガ シー方式(RADIUS、TACACS+、SecurID な ど )を使用で き ま す。こ のモー ド で は、イ ン タ ーネ ッ ト キー交換(IKE)の フ ェ ーズ 1 が次の手順に分かれてい ま す。こ れ ら を 合せてハ イ ブ リ ッ ド 認証 と 呼び ま す。 注 1. セ キ ュ リ テ ィ ア プ ラ イ ア ン ス では、リ モー ト VPN ユーザが標準公開キー技術で認証 さ れ ま す。こ れに よ り 、単方向に認証す る IKE セ キ ュ リ テ ィ ア ソ シエーシ ョ ン が確立 さ れ ま す。 2. 次に、拡張認証(xauth)交換で リ モー ト VPN ユーザが認証 さ れ ま す。こ の拡張認証では、 サポー ト さ れてい る 従来のいずれかの認証方式を使用で き ま す。 認証 タ イ プ を ハ イ ブ リ ッ ド に設定す る 前に、認証サーバ を設定 し 、事前共有キーを作成す る 必要が あ り ま す。 • [IKE Peer ID Validation]:IKE ピ ア ID 確認要求を無視す る か、必須 と す る か、あ る いは証明書 に よ っ てサポー ト さ れてい る 場合にだけチ ェ ッ ク す る か を選択 し ま す。 • [Enable sending certificate chain]:証明書チ ェ ーン全体の送信 を イ ネーブル ま たはデ ィ セーブ ルに し ま す。こ の ア ク シ ョ ン には、ルー ト 証明書お よ び送信内のすべての下位 CA 証明書が 含 ま れ ま す。 • [ISAKMP Keep Alive]:ISAKMP キープア ラ イ ブ モニ タ リ ン グ を イ ネーブルに し 、設定 し ま す。 – [Disable Keep Alives]:ISAKMP キープア ラ イ ブを イ ネーブルま たはデ ィ セーブルに し ます。 – [Monitor Keep Alives]:ISAKMP キープ ア ラ イ ブ モ ニ タ リ ン グ を イ ネーブル ま たはデ ィ セーブルに し ま す。こ のオプシ ョ ン を選択す る と 、[Confidence Interval] フ ィ ール ド と [Retry Interval] フ ィ ール ド が利用で き る よ う にな り ま す。 – [Confidence Interval]:ISAKMP キープ ア ラ イ ブの信頼間隔を指定 し ま す。こ れは、ピ ア が キープ ア ラ イ ブ モニ タ リ ン グ を開始す る ま でにASAが許可す る ア イ ド ル時間を表す秒 数です。最小 10 秒、最大 300 秒です。リ モー ト ア ク セ ス グループのデ フ ォ ル ト は 300 秒 です。 – [Retry Interval]:ISAKMP キープ ア ラ イ ブの リ ト ラ イ 間の待機秒数を指定 し ま す。デ フ ォ ル ト 値は 2 秒です。 – [Head end will never initiate keepalive monitoring]:中央サ イ ト のASAが キープ ア ラ イ ブ モ ニ タ リ ン グ を開始 し ない よ う に指定 し ま す。 • [Interface-Specific Authentication Mode]:認証モー ド を イ ン タ ー フ ェ イ ス ご と に指定 し ま す。 – [Interface]:名前付 き イ ン タ ー フ ェ イ ス を選択 し ま す。デ フ ォ ル ト の イ ン タ ー フ ェ イ ス は inside と outside ですが、別の イ ン タ ー フ ェ イ ス 名 を設定 し た場合には、その名前が リ ス ト に表示 さ れ ま す。 – [Authentication Mode]:認証モー ド を、上記の none、xauth、ま たは hybrid の中か ら 選択で き ま す。 – [Interface/Authentication Mode] テーブル: イ ン タ ー フ ェ イ ス 名 と 、選択 さ れてい る 関連認 証モー ド を表示 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-72 第3章 一般的な VPN 設定 IKEv2 接続プ ロ フ ァ イル – [Add]:選択 し た イ ン タ ー フ ェ イ ス と 認証モー ド のペア を [Interface/Authentication Modes] テーブルに追加 し ま す。 – [Remove]:選択 し た イ ン タ ー フ ェ イ ス と 認証モー ド のペア を [Interface/Authentication Modes] テーブルか ら 削除 し ま す。 • [Client VPN Software Update Table]: ク ラ イ ア ン ト タ イ プ、VPN ク ラ イ ア ン ト の リ ビ ジ ョ ン、 お よ び イ ン ス ト ール さ れてい る 各 ク ラ イ ア ン ト VPN ソ フ ト ウ ェ ア パ ッ ケージの イ メ ージ URL を一覧表示 し ま す。ク ラ イ ア ン ト タ イ プ ご と に、許可 さ れ る ク ラ イ ア ン ト ソ フ ト ウ ェ ア リ ビ ジ ョ ン と 、必要に応 じ て、ソ フ ト ウ ェ ア ア ッ プ グ レ ー ド を ダ ウ ン ロ ー ド す る URL ま たは IP ア ド レ ス を指定で き ま す。ク ラ イ ア ン ト ア ッ プデー ト メ カ ニ ズ ム(Client Update ダ イ ア ロ グ ボ ッ ク ス に詳細説明が あ り ま す)は、こ の情報を使用 し て、各 VPN ク ラ イ ア ン ト が適 切な リ ビ ジ ョ ン レ ベルで実行 さ れてい る か ど う か、適切で あれば、通知 メ ッ セージ と ア ッ プ デー ト メ カ ニ ズ ム を、旧式の ソ フ ト ウ ェ ア を実行 し てい る ク ラ イ ア ン ト に提供す る か ど う か を判断 し ま す。 – [Client Type]:VPN ク ラ イ ア ン ト タ イ プ を識別 し ま す。 – [VPN Client Revisions]:許可 さ れ る VPN ク ラ イ ア ン ト の リ ビ ジ ョ ン レ ベルを指定 し ま す。 – [Image URL]:適切な VPN ク ラ イ ア ン ト ソ フ ト ウ ェ ア イ メ ージ を ダ ウ ン ロ ー ド で き る URL ま たは IP ア ド レ ス を指定 し ま す。Windows ベー ス の VPN ク ラ イ ア ン ト の場合、 URL は http:// ま たは https:// と い う 形式です。ク ラ イ ア ン ト モー ド の ASA 5505 ま たは VPN 3002 ハー ド ウ ェ ア ク ラ イ ア ン ト の場合、URL は tftp:// と い う 形式です。 IKEv2 接続プ ロ フ ァ イル IKEv2 接続プ ロ フ ァ イ ルでは、AnyConnect VPN ク ラ イ ア ン ト に対す る EAP、証明書ベー ス 、お よ び事前共有キー ベー ス の認証を定義 し ま す。ASDM の設定パネルは、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec (IKEv2) Connection Profiles] です。 • [Access Interfaces]:IPsec ア ク セ ス で イ ネーブルにす る イ ン タ ー フ ェ イ ス を選択 し ま す。デ フ ォ ル ト では、ア ク セ ス 方式は何 も 選択 さ れてい ま せん。 • [Bypass interface access lists for inbound VPN sessions]:着信 VPN セ ッ シ ョ ンの イ ン タ ーフ ェ イ ス ア ク セ ス リ ス ト をバ イ パ スす る には、こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。グループ ポ リ シーお よ びユーザ ポ リ シーのア ク セ ス リ ス ト はすべての ト ラ フ ィ ッ ク に常に適用 さ れます。 • [Connection Profiles]:既存の IPsec 接続の設定済みパ ラ メ ー タ を表形式で表示 し ま す。 [Connection Profiles] テーブルには、接続ポ リ シーを決定す る レ コ ー ド が表示 さ れ ま す。1 つ の レ コ ー ド に よ っ て、その接続のデフ ォ ル ト グループ ポ リ シーが識別 さ れます。レ コ ー ド には プ ロ ト コ ル固有の接続パ ラ メ ー タ が含まれてい ます。テーブルには、次のカ ラ ム があ り ます。 – [Name]:IPsec 接続の名前 ま たは IP ア ド レ ス を指定 し ま す。 – [IKEv2 Enabled]:オ ン にな っ てい る 場合は、IKEv2 プ ロ ト コ ルが イ ネーブルにな っ てい る こ と を示 し ま す。 – [Authentication Server Group]:認証に使用す る サーバ グループの名前を指定 し ま す。 – [Group Policy]: こ の IPsec 接続の グループ ポ リ シーの名前を示 し ま す。 注 [Delete]:選択し たサーバ グループを テーブルか ら 削除し ます。確認 さ れず、や り 直し も で き ません。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-73 第3章 一般的な VPN 設定 IKEv2 接続プ ロ フ ァ イル IPsec IKEv2 接続プ ロ フ ァ イル、[Basic] タ ブ [Add or Edit IPsec Remote Access Connection Profile Basic] ダ イ ア ロ グ ボ ッ ク ス では、IPsec IKEv2 接続の共通属性を設定 し ま す。 • [Name]:接続名を指定 し ま す。 • [IKE Peer Authentication]:IKE ピ ア を設定 し ま す。 – [Pre-shared key]:接続の事前共有キーの値を指定 し ます。事前共有キーの最大長は 128 文字 です。 – [Enable Certificate Authentication]:オ ン にす る と 、認証に証明書を使用で き ま す。 – [Enable peer authentication using EAP]:オンにする と 、認証に EAP を使用で き ます。こ のチ ェ ッ ク ボ ッ ク ス をオンに し た場合は、ローカル認証に証明書を使用する必要があ り ます。 – [Send an EAP identity request to the client]: リ モー ト ア ク セ ス VPN ク ラ イ ア ン ト に EAP 認証要求を送信で き ま す。 – [Identity Certificate]:ID 証明書が設定お よ び登録 さ れてい る 場合は、ID 証明書の名前を 選択 し ま す。 – [Manage]:[Manage Identity Certificates] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、選択 し た証明書の詳細を追加、編集、削除、エ ク ス ポー ト 、ま たは表示で き ま す。 • [User Authentication]:ユーザ認証で使用す る サーバの情報を指定 し ま す。詳細な認証情報は [Advanced] セ ク シ ョ ン で設定で き ま す。 – [Server Group]:ユーザ認証で使用する サーバ グループを選択し ます。デフ ォル ト は LOCAL です。LOCAL 以外のサーバ グループを選択する と 、[Fallback] チェ ッ ク ボ ッ ク ス が選択で き る よ う にな り ます。 – [Manage]:[Configure AAA Server Group] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – [Fallback]:指定 し たサーバ グループで障害が発生 し た場合に、ユーザ認証で LOCAL を 使用す る か ど う か を指定 し ま す。 • [Client Address Assignment]: ク ラ イ ア ン ト 属性の割 り 当て に関連 し た属性を指定 し ま す。 – [DHCP Servers]:使用す る DHCP サーバの IP ア ド レ ス を指定 し ま す。最大で 10 台 ま での サーバ を ス ペー ス で区切っ て追加で き ま す。 – [Client Address Pools]:事前定義済みのア ド レ ス プールを 6 個 ま で指定 し ま す。ア ド レ ス プールを定義す る には、[Configuration] > [Remote Access VPN] > [Network Client Access] > [Address Assignment] > [Address Pools] に移動 し ま す。 – [Select]:[Select Address Pools] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 • [Default Group Policy]:デ フ ォ ル ト グループ ポ リ シーに関連 し た属性を指定 し ま す。 – [Group Policy]: こ の接続で使用す る デ フ ォ ル ト グループ ポ リ シーを選択 し ま す。デ フ ォ ル ト は DfltGrpPolicy です。 – [Manage]:[Configure Group Policies] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、グループ ポ リ シーを追加、編集、ま たは削除で き ま す。 – [Client Protocols]: こ の接続で使用す る プ ロ ト コ ル を選択 し ま す。デ フ ォ ル ト では、IPsec と L2TP over IPsec の両方が選択 さ れてい ま す。 – [Enable IKEv2 Protocol]: リ モー ト ア ク セ ス 接続プ ロ フ ァ イ ルで使用す る ために IKEv2 プ ロ ト コ ルを イ ネーブルに し ます。こ れは、先ほ ど選択 し た グループ ポ リ シーの属性です。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-74 第3章 一般的な VPN 設定 IPsec ま たは SSL VPN 接続プ ロ フ ァ イルへの証明書のマ ッ ピ ング IPsec リ モー ト ア ク セス接続プ ロ フ ァ イル、詳細、[IPsec] タ ブ IPsec(IKEv2)接続プ ロ フ ァ イ ルの [IPsec] テーブルに次の フ ィ ール ド が あ り ま す。 • [Send certificate chain]:証明書チ ェ ーン全体の送信を イ ネーブル ま たはデ ィ セーブルにす る 場合にオ ン に し ま す。こ の ア ク シ ョ ン には、ルー ト 証明書お よ び送信内のすべての下位 CA 証明書が含 ま れ ま す。 • [IKE Peer ID Validation]:IKE ピ ア ID の有効性を チ ェ ッ ク し ないか、必須 と す る か、あ る いは 証明書に よ っ てサポー ト さ れてい る 場合にチ ェ ッ ク す る か を ド ロ ッ プダ ウ ン リ ス ト か ら 選 択 し ま す。 IPsec ま たは SSL VPN 接続プ ロ フ ァ イ ルへの証明書の マ ッ ピング ASAが ク ラ イ ア ン ト 証明書認証に よ る IPsec 要求を受信す る と 、設定 し たポ リ シーに従っ て接続 プ ロ フ ァ イ ルが接続に割 り 当て ら れ ま す。そのポ リ シーは、設定 し たルールを使用で き 、証明書 OU フ ィ ール ド 、IKE ID(ホ ス ト 名、IP ア ド レ ス 、キー ID な ど)、ピ ア IP ア ド レ ス 、ま たはデフ ォ ル ト 接続プ ロ フ ァ イ ルを使用で き ま す。SSL 接続の場合、ASAは設定 し たルールだけ を使用 し ま す。 ルール を使用す る IPsec 接続 ま たは SSL 接続の場合、ASAは一致が見つか る ま でルールに対 し て 証明書の属性を評価 し ま す。一致す る ルールが見つか る と 、そのルールに関連付け ら れた接続プ ロ フ ァ イ ル を接続に割 り 当て ま す。一致す る ルールが見つか ら ない場合、ASA は、デ フ ォ ル ト の 接続プ ロ フ ァ イ ル(IPsec の場合は DefaultRAGroup、SSL VPN の場合は DefaultWEBVPNGroup) を接続に割 り 当て ま す。ユーザは、接続プ ロ フ ァ イ ルが イ ネーブルにな っ ていれば、ポー タ ル ページに表示 さ れ る ド ロ ッ プダ ウ ン リ ス ト か ら その接続プ ロ フ ァ イ ル を選択で き ま す。こ の接 続プ ロ フ ァ イ ルの接続を 1 回試みた場合の結果は、証明書が有効か ど う か、そ し て接続プ ロ フ ァ イ ルの認証設定に よ っ て異な り ま す。 ポ リ シーに一致す る 証明書グループは、証明書ユーザの権限グループ を特定す る ために使用す る 方法を定義 し ま す。 [Policy] ペ イ ン で照合す る ポ リ シーを設定 し ま す。照合す る ルール を選択す る 場合は、[Rules] ペ イ ン に移動 し てルール を指定 し ま す。 証明書/接続プ ロ フ ァ イル マ ッ プ、ポ リ シー IPsec 接続におい て、ポ リ シーに一致す る 証明書グループは、証明書ユーザの権限グループ を特 定す る ために使用す る 方法を定義 し ま す。こ れ ら のポ リ シーの設定は、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Certificate to Connection Profile Maps] > [Policy] で構成 し ま す。 • [Use the configured rules to match a certificate to a group]:[Rules] で定義 し たルール を使用で き ま す。 • [Use the certificate OU field to determine the group]:証明書に一致す る グループ を決定す る 組 織ユニ ッ ト フ ィ ール ド を使用で き ま す。こ の設定は、デ フ ォ ル ト でオ ン にな っ てい ま す。 • [Use the IKE identity to determine the group]:[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [IKE Parameters] で定義済みの ID を使用で き ま す。 IKE ID は、IP ア ド レ ス 、キー ID に よ り 、ま たは自動で指定 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-75 第3章 一般的な VPN 設定 IPsec または SSL VPN 接続プ ロ フ ァ イルへの証明書のマ ッ ピ ング • [Use the peer IP address to determine the group]:ピ ア の IP ア ド レ ス を使用で き ま す。こ の設定 は、デ フ ォ ル ト でオ ン にな っ てい ま す。 • [Default to group]:一致す る 先行の方法がない場合に使用 さ れ る 、証明書ユーザのデ フ ォ ル ト グループ を選択で き ま す。こ の設定は、デ フ ォ ル ト でオ ン にな っ てい ま す。[Default] に あ る デ フ ォ ル ト グループ を ク リ ッ ク し て、リ ス ト を グループ化 し ま す。設定にはグループが必要で す。リ ス ト 内に グループがない場合、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] で グループ を定義す る 必要が あ り ま す。 証明書/接続プ ロ フ ァ イル マ ッ プ ルール IPsec 接続におい て、ポ リ シーに一致す る 証明書グ ループは、証明書ユーザの権限グ ループ を 特 定す る ために使用す る 方法 を 定義 し ま す。プ ロ フ ァ イ ル マ ッ プは、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Certificate to Connection Profile Maps] > [Rules] で作成 し ま す。 こ のペ イ ン には、証明書/接続プ ロ フ ァ イ ル マ ッ プの リ ス ト と マ ッ ピ ン グ基準が表示 さ れ ま す。 証明書/接続プ ロ フ ァ イル マ ッ プ、証明書照合ルール基準の追加 接続プ ロ フ ァ イ ル を マ ッ ピ ン グ ルールにマ ッ プす る マ ッ プ プ ロ フ ァ イ ル を作成 し ま す。 • [Map]:次のいずれか を選択 し ま す。 – [Existing]:ルール を含め る マ ッ プの名前を選択 し ま す。 – [New]:ルールの新 し いマ ッ プ名を入力 し ま す。 • [Priority]:10 進数を入力 し て、接続要求を受け取っ た と き に ASA がマ ッ プ を評価す る 順序を 指定 し ま す。定義 さ れてい る 最初のルールのデ フ ォ ル ト プ ラ イ オ リ テ ィ は 10 です。ASAは、 最低位のプ ラ イ オ リ テ ィ 番号のマ ッ プ と 最初に比較 し て各接続を評価 し ま す。 • [Mapped to Connection Profile]:以前は「 ト ン ネル グループ」 と 呼んでいた接続プ ロ フ ァ イ ル を選択 し て、こ のルールにマ ッ ピ ン グ し ま す。 次の項の説明に あ る マ ッ プへのルール基準の割 り 当て を行わない場合、ASAはそのマ ッ プ エ ン ト リ を無視 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-76 第3章 一般的な VPN 設定 IPsec ま たは SSL VPN 接続プ ロ フ ァ イルへの証明書のマ ッ ピ ング 証明書照合ルール基準の追加/編集 こ のダ イ ア ロ グ ボ ッ ク ス は、接続プ ロ フ ァ イ ルにマ ッ ピ ン グ可能な証明書照合ルール基準を設 定す る ために使用 し ま す。 • [Rule Priority]:(表示専用) 接続要求を受け取っ た と き にASAがマ ッ プ を評価す る 順番。ASA は、最低位のプ ラ イ オ リ テ ィ 番号のマ ッ プ と 最初に比較 し て各接続を評価 し ま す。 • [Mapped to Group]:(表示専用) ルールが割 り 当て ら れてい る 接続プ ロ フ ァ イ ル。 • [Field]: ド ロ ッ プダ ウ ン リ ス ト か ら 、評価す る 証明書の部分を選択 し ま す。 – [Subject]:証明書を使用す る ユーザ ま たはシ ス テ ム。CA のルー ト 証明書の場合は、 Subject と Issuer が同 じ です。 – [Alternative Subject]:サブジ ェ ク ト 代替名拡張に よ り 、追加す る ID を証明書のサブジ ェ ク ト にバ イ ン ド で き ま す。 – [Issuer]:証明書を発行 し た CA ま たは他のエ ン テ ィ テ ィ (管轄元)。 – [Extended Key Usage]:一致の候補 と し て選択で き る 、よ り 高度な基準を提供す る ク ラ イ ア ン ト 証明書の拡張。 • [Component]:([Subject of Issuer] が選択 さ れてい る 場合にのみ適用 さ れ ま す)。ルールで使用 す る 識別名 コ ン ポーネ ン ト を次の中か ら 選択 し ま す。 DN フ ィ ール ド 定義 Whole Field DN 全体。 Country(C) 2 文字の国名略語。国名 コ ー ド は、ISO 3166 国名略語に準拠 し てい ます。 Common Name(CN) ユーザ、シ ス テ ム、その他のエ ン テ ィ テ ィ の名前。こ れは、ID 階層の最 下位(最 も 固有性の高い)レ ベルです。 DN Qualifier(DNQ) 特定の DN 属性。 E-mail Address(EA) 証明書を所有す る ユーザ、シ ス テ ム、ま たはエ ン テ ィ テ ィ の電子 メ ール ア ド レ ス。 Generational Qualifier Jr.、Sr.、ま たは III な ど の世代修飾子。 (GENQ) Given Name(GN) 証明書所有者の名前(名)。 Initials(I) 証明書所有者の姓 と 名の最初の文字。 Locality(L) 組織が所在す る 市町村。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-77 第3章 一般的な VPN 設定 Site-to-Site 接続プ ロ フ ァ イル DN フ ィ ール ド 定義 Name(N) 証明書所有者の名前。 Organization(O) 会社、団体、機関、協会、その他のエ ン テ ィ テ ィ の名前。 Organizational Unit (OU) 組織内のサブ グループ。 Serial Number(SER) 証明書のシ リ アル番号。 Surname(SN) 証明書所有者の姓。 State/Province(S/P) 組織が所在す る 州や県。 Title(T) 証明書所有者の役職(Dr. な ど )。 User ID(UID) 証明書所有者の ID 番号。 Unstructured Name (UNAME) unstructuredName 属性 タ イ プは、サブジ ェ ク ト の名前を非構造化 ASCII 文字列 と し て指定 し ま す。 IP Address(IP) IP ア ド レ ス フ ィ ール ド 。 • [Operator]:ルールで使用す る 演算子を選択 し ま す。 – [Equals]:認定者名 フ ィ ール ド が値に完全一致す る 必要が あ り ま す。 – [Contains]:認定者名 フ ィ ール ド に値が含 ま れてい る 必要が あ り ま す。 – [Does Not Equal]:認定者名 フ ィ ール ド が値 と 一致 し ない よ う に し ま す。 – [Does Not Contain]:認定者名 フ ィ ール ド に値が含 ま れない よ う に し ま す。 • [Value]:255 文字 ま での範囲で演算子のオブジ ェ ク ト を指定 し ま す。Extended Key Usage 機能 の場合、ド ロ ッ プダ ウ ン リ ス ト で事前定義 さ れた値のいずれか を選択す る か、他の拡張の OID を入力で き ま す。事前定義 さ れた値は次の と お り です。 選択項目 キー使用の目的 OID 文字列 clientauth ク ラ イ ア ン ト 認証 1.3.6.1.5.5.7.3.2 codesigning コ ー ド 署名 1.3.6.1.5.5.7.3.3 emailprotection 安全な電子 メ ール保護 1.3.6.1.5.5.7.3.4 ocspsigning OCSP 署名 1.3.6.1.5.5.7.3.9 serverauth サーバ認証 1.3.6.1.5.5.7.3.1 timestamping タ イ ム ス タ ンプ 1.3.6.1.5.5.7.3.8 Site-to-Site 接続プ ロ フ ァ イル [Connection Profiles] ダ イ ア ロ グ ボ ッ ク ス には、現在設定 さ れてい る Site-to-Site 接続プ ロ フ ァ イ ル( ト ン ネル グループ)の属性が表示 さ れ ま す。こ のダ イ ア ロ グ ボ ッ ク ス を使用すれば、接続プ ロ フ ァ イ ル名を解析す る と き に使用す る デ リ ミ タ を選択 し た り 、接続プ ロ フ ァ イ ル を追加、変更、 ま たは削除 し た り す る こ と も で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-78 第3章 一般的な VPN 設定 Site-to-Site 接続プ ロ フ ァ イル ASA では、IKEv1 ま たは IKEv2 を使用 し て IPv4 ま たは IPv6 の IPsec LAN-to-LAN VPN 接続がサ ポー ト さ れ、内部 IP ヘ ッ ダーお よ び外部 IP ヘ ッ ダーを使用 し て内部ネ ッ ト ワ ー ク お よ び外部 ネ ッ ト ワ ー ク がサポー ト さ れ ま す。 [Site to Site Connection Profile] ペ イ ンの フ ィ ール ド • [Access Interfaces]: イ ン タ ー フ ェ イ ス の リ モー ト ピ ア デバ イ ス に よ っ て ア ク セ ス で き る デ バ イ ス イ ン タ ー フ ェ イ ス のテーブルが表示 さ れ ま す。 – [Interface]:ア ク セ ス を イ ネーブル ま たはデ ィ セーブルにす る デバ イ ス イ ン タ ーフ ェ イ ス。 – [Allow IKEv1 Access]:ピ ア デバ イ ス に よ る IPsec IKEv1 ア ク セ ス を イ ネーブルにす る 場 合にオ ン に し ま す。 – [Allow IKEv2 Access]:ピ ア デバ イ ス に よ る IPsec IKEv2 ア ク セ ス を イ ネーブルにす る 場 合にオ ン に し ま す。 • [Connection Profiles]:プ ロ フ ァ イ ル を追加、編集、ま たは削除で き る 接続プ ロ フ ァ イ ルのテー ブル を表示 し ま す。 – [Add]:[Add IPsec Site-to-Site connection profile] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – [Edit]:[Edit IPsec Site-to-Site connection profile] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – [Delete]:選択 し た接続プ ロ フ ァ イ ル を削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 – [Name]:接続プ ロ フ ァ イ ルの名前。 – [Interface]:接続プ ロ フ ァ イ ルが イ ネーブルにな っ てい る イ ン タ ー フ ェ イ ス 。 – [Local Network]: ロ ーカル ネ ッ ト ワ ー ク の IP ア ド レ ス を指定 し ま す。 – [Remote Network]: リ モー ト ネ ッ ト ワ ー ク の IP ア ド レ ス を指定 し ま す。 – [IKEv1 Enabled]:接続プ ロ フ ァ イ ルに対 し て イ ネーブルに な っ て い る IKEv1 を 表示 し ま す。 – [IKEv2 Enabled]:接続プ ロ フ ァ イ ルに対 し て イ ネーブルに な っ て い る IKEv2 を 表示 し ま す。 – [Group Policy]:接続プ ロ フ ァ イ ルのデ フ ォ ル ト グループ ポ リ シーを表示 し ま す。 Site-to-Site 接続プ ロ フ ァ イル、追加または編集 [Add or Edit IPsec Site-to-Site Connection] ダ イ ア ロ グ ボ ッ ク ス では、IPsec Site-to-Site 接続を作成 ま たは変更で き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、IP ア ド レ ス (IPv4 ま たは IPv6)の指定、接続 名の指定、イ ン タ ー フ ェ イ ス の選択、IKEv1 ピ アお よ び IKEv2 ピ ア と ユーザ認証パ ラ メ ー タ の指 定、保護 さ れた ネ ッ ト ワ ー ク の指定、お よ び暗号化アルゴ リ ズ ム の指定を行 う こ と がで き ま す。 2 つの ピ ア の内部お よ び外部ネ ッ ト ワ ー ク が IPv4 の場合(内部お よ び外部 イ ン タ ー フ ェ イ ス 上 の ア ド レ ス が IPv4 の場合)、ASAで、シ ス コ ま たはサー ド パーテ ィ の ピ ア と の LAN-to-LAN VPN 接続がサポー ト さ れ ま す。 IPv4 ア ド レ ッ シ ン グ と IPv6 ア ド レ ッ シ ン グ が混在 し た、ま たはすべて IPv6 ア ド レ ッ シ ン グ の LAN-to-LAN 接続につい ては、両方の ピ ア が Cisco ASA 5500 シ リ ーズ セ キ ュ リ テ ィ ア プ ラ イ ア ン ス の場合、お よ び両方の内部ネ ッ ト ワ ー ク の ア ド レ ッ シ ン グ方式が一致 し て い る 場合(両 方が IPv4 ま たは両方が IPv6 の場合)は、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス で VPN ト ン ネルがサ ポー ト さ れ ま す。 具体的には、両方の ピ ア が Cisco ASA 5500 シ リ ーズASAの場合、次の ト ポ ロ ジ がサポー ト さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-79 第3章 一般的な VPN 設定 Site-to-Site 接続プ ロ フ ァ イル • ASAの内部ネ ッ ト ワ ー ク が IPv4 で、外部ネ ッ ト ワ ー ク が IPv6(内部 イ ン タ ー フ ェ イ ス 上の ア ド レ ス が IPv4 で、外部 イ ン タ ー フ ェ イ ス 上の ア ド レ ス が IPv6) • ASAの内部ネ ッ ト ワ ー ク が IPv6 で、外部ネ ッ ト ワ ー ク が IPv4(内部 イ ン タ ー フ ェ イ ス 上の ア ド レ ス が IPv6 で、外部 イ ン タ ー フ ェ イ ス 上の ア ド レ ス が IPv4) • ASAの内部ネ ッ ト ワ ー ク が IPv6 で、外部ネ ッ ト ワ ー ク が IPv6(内部お よ び外部 イ ン タ ー フ ェ イ ス 上の ア ド レ ス が IPv6) [Basic] パネルの フ ィ ール ド • [Peer IP Address]:IP ア ド レ ス (IPv4 ま たは IPv6)を指定 し 、その ア ド レ ス を ス タ テ ィ ッ ク にす る か ど う か を指定で き ま す。 • [Connection Name]: こ の接続プ ロ フ ァ イ ルに割 り 当て ら れた名前を指定 し ま す。Edit 機能の 場合、こ の フ ィ ール ド は表示専用です。接続名が、[Peer IP Address] フ ィ ール ド で指定 さ れ る IP ア ド レ ス と 同 じ にな る よ う に指定で き ま す。 • [Interface]: こ の接続で使用す る イ ン タ ー フ ェ イ ス を選択 し ま す。 • [Protected Networks]: こ の接続で保護 さ れてい る ロ ーカルお よ び リ モー ト ネ ッ ト ワ ー ク を選 択 ま たは指定 し ま す。 – [IP Address Type]:ア ド レ ス が IPv4 ア ド レ ス ま たは IPv6 ア ド レ ス のいずれで あ る か を指 定 し ま す。 – [Local Network]: ロ ーカル ネ ッ ト ワ ー ク の IP ア ド レ ス を指定 し ま す。 – [...]:[Browse Local Network] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス で は、ロ ーカル ネ ッ ト ワ ー ク を選択で き ま す。 – [Remote Network]: リ モー ト ネ ッ ト ワ ー ク の IP ア ド レ ス を指定 し ま す。 • [IPsec Enabling]: こ の接続プ ロ フ ァ イ ルの グループ ポ リ シー、お よ びそのポ リ シーで指定 し た キー交換プ ロ ト コ ル を指定 し ま す。 – [Group Policy Name]: こ の接続プ ロ フ ァ イ ルに関連付け ら れてい る グループ ポ リ シーを 指定 し ま す。 – [Manage]:[Browse Remote Network] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、リ モー ト ネ ッ ト ワ ー ク を選択で き ま す。 – [Enable IKEv1]:指定 し た グループ ポ リ シーで キー交換プ ロ ト コ ル IKEv1 を イ ネーブル に し ま す。 – [Enable IKEv2]:指定 し た グループ ポ リ シーで キー交換プ ロ ト コ ル IKEv2 を イ ネーブル に し ま す。 • [IKEv1 Settings] タ ブ:IKEv1 の次の認証設定お よ び暗号化設定を指定 し ま す。 – [Pre-shared Key]: ト ン ネル グループの事前共有キーの値を指定 し ま す。事前共有キーの 最大長は 128 文字です。 – [Device Certificate]:認証で使用す る ID 証明書が あ る 場合は、その名前を指定 し ま す。 – [Manage]:[Manage Identity Certificates] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、すでに設定 さ れてい る 証明書の表示、新 し い証明書の追加、証明書の詳細 の表示、お よ び証明書の編集 ま たは削除を行 う こ と がで き ま す。 – [IKE Policy]:IKE プ ロ ポーザルで使用す る 暗号化アルゴ リ ズ ム を 1 つ以上指定 し ま す。 – [Manage]:[Configure IKEv1 Proposals] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – [IPsec Proposal]:IPsec IKEv1 プ ロ ポーザルで使用す る 暗号化アルゴ リ ズ ム を 1 つ以上指 定 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-80 第3章 一般的な VPN 設定 Site-to-Site 接続プ ロ フ ァ イル • [IKEv2 Settings] タ ブ:IKEv2 の次の認証設定お よ び暗号化設定を指定 し ま す。 – [Local Pre-shared Key]: ト ン ネル グループの事前共有キーの値を指定 し ま す。事前共有 キーの最大長は 128 文字です。 – [Local Device Certificate]:認証で使用す る ID 証明書があ る 場合は、その名前を指定 し ます。 – [Manage]:[Manage Identity Certificates] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、すでに設定 さ れてい る 証明書の表示、新 し い証明書の追加、証明書の詳細 の表示、お よ び証明書の編集 ま たは削除を行 う こ と がで き ま す。 – [Remote Peer Pre-shared Key]: ト ン ネル グループの リ モー ト ピ ア事前共有キーの値を指 定 し ま す。事前共有キーの最大長は 128 文字です。 – [Remote Peer Certificate Authentication]:[Allowed] を オ ン に し て、こ の接続プ ロ フ ァ イ ル の IKEv2 接続用の証明書認証を許可 し ま す。 – [Manage]:証明書の表示や新規証明書の追加を実行で き る [Manage CA Certificates] ダ イ ア ロ グ が開 き ま す。 – [IKE Policy]:IKE プ ロ ポーザルで使用す る 暗号化アルゴ リ ズ ム を 1 つ以上指定 し ま す。 – [Manage]:[Configure IKEv1 Proposals] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – [IPsec Proposal]:IPsec IKEv1 プ ロ ポーザルで使用す る 暗号化アルゴ リ ズ ム を 1 つ以上指 定 し ま す。 – [Select]:IKEv2 接続の接続プ ロ フ ァ イ ルにプ ロ ポーザル を割 り 当て る こ と がで き る [Select IPsec Proposals (Transform Sets)] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – こ の接続プ ロ フ ァ イ ルには、[Advanced] > [Crypto Map Entry, and Adv] も あ り ま す。 Site-to-Site ト ンネル グループ ASDM ペ イ ン の [Configuration] > [Site-to-Site VPN] > [Advanced] > [Tunnel Groups] では、IPsec Site-to-Site 接続プ ロ フ ァ イ ル( ト ン ネル グループ)の属性を指定 し ま す。ま た、IKE ピ ア と ユーザ 認証パ ラ メ ー タ の選択、IKE キープ ア ラ イ ブ モ ニ タ リ ン グ の設定、お よ びデ フ ォ ル ト グループ ポ リ シーの選択 も 行 う こ と がで き ま す。 • [Name]: こ の ト ン ネル グループに割 り 当て ら れた名前を指定 し ま す。Edit 機能の場合、こ の フ ィ ール ド は表示専用です。 • [IKE Authentication]:IKE ピ ア の認証で使用す る 事前共有キーお よ び ID 証明書パ ラ メ ー タ を 指定 し ま す。 – [Pre-shared Key]: ト ン ネル グループの事前共有キーの値を指定 し ま す。事前共有キーの 最大長は 128 文字です。 – [Identity Certificate]:認証で使用す る ID 証明書が あ る 場合は、その名前を指定 し ま す。 – [Manage]:[Manage Identity Certificates] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、すでに設定 さ れてい る 証明書の表示、新 し い証明書の追加、証明書の詳細 の表示、お よ び証明書の編集 ま たは削除を行 う こ と がで き ま す。 – [IKE Peer ID Validation]:IKE ピ ア ID の有効性を チ ェ ッ ク す る か ど う か を指定 し ま す。デ フ ォ ル ト は Required です。 • [IPsec Enabling]: こ の接続プ ロ フ ァ イ ルの グループ ポ リ シー、お よ びそのポ リ シーで指定 し た キー交換プ ロ ト コ ル を指定 し ま す。 – [Group Policy Name]: こ の接続プ ロ フ ァ イ ルに関連付け ら れてい る グループ ポ リ シーを 指定 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-81 第3章 一般的な VPN 設定 Site-to-Site 接続プ ロ フ ァ イル – [Manage]:[Browse Remote Network] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、リ モー ト ネ ッ ト ワ ー ク を選択で き ま す。 – [Enable IKEv1]:指定 し た グループ ポ リ シーで キー交換プ ロ ト コ ル IKEv1 を イ ネーブル に し ま す。 – [Enable IKEv2]:指定 し た グループ ポ リ シーで キー交換プ ロ ト コ ル IKEv2 を イ ネーブル に し ま す。 • [IKEv1 Settings] タ ブ:IKEv1 の次の認証設定お よ び暗号化設定を指定 し ま す。 – [Pre-shared Key]: ト ン ネル グループの事前共有キーの値を指定 し ま す。事前共有キーの 最大長は 128 文字です。 – [Device Certificate]:認証で使用す る ID 証明書が あ る 場合は、その名前を指定 し ま す。 – [Manage]:[Manage Identity Certificates] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、すでに設定 さ れてい る 証明書の表示、新 し い証明書の追加、証明書の詳細 の表示、お よ び証明書の編集 ま たは削除を行 う こ と がで き ま す。 – [IKE Policy]:IKE プ ロ ポーザルで使用す る 暗号化アルゴ リ ズ ム を 1 つ以上指定 し ま す。 – [Manage]:[Configure IKEv1 Proposals] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – [IPsec Proposal]:IPsec IKEv1 プ ロ ポーザルで使用す る 暗号化アルゴ リ ズ ム を 1 つ以上指 定 し ま す。 • [IKEv2 Settings] タ ブ:IKEv2 の次の認証設定お よ び暗号化設定を指定 し ま す。 – [Local Pre-shared Key]: ト ン ネル グループの事前共有キーの値を指定 し ま す。事前共有 キーの最大長は 128 文字です。 – [Local Device Certificate]:認証で使用す る ID 証明書があ る 場合は、その名前を指定 し ます。 – [Manage]:[Manage Identity Certificates] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、すでに設定 さ れてい る 証明書の表示、新 し い証明書の追加、証明書の詳細 の表示、お よ び証明書の編集 ま たは削除を行 う こ と がで き ま す。 – [Remote Peer Pre-shared Key]: ト ン ネル グループの リ モー ト ピ ア事前共有キーの値を指 定 し ま す。事前共有キーの最大長は 128 文字です。 – [Remote Peer Certificate Authentication]:[Allowed] を オ ン に し て、こ の接続プ ロ フ ァ イ ル の IKEv2 接続用の証明書認証を許可 し ま す。 – [Manage]:証明書の表示や新規証明書の追加を実行で き る [Manage CA Certificates] ダ イ ア ロ グ が開 き ま す。 – [IKE Policy]:IKE プ ロ ポーザルで使用す る 暗号化アルゴ リ ズ ム を 1 つ以上指定 し ま す。 – [Manage]:[Configure IKEv1 Proposals] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – [IPsec Proposal]:IPsec IKEv1 プ ロ ポーザルで使用す る 暗号化アルゴ リ ズ ム を 1 つ以上指 定 し ま す。 – [Select]:IKEv2 接続の接続プ ロ フ ァ イ ルにプ ロ ポーザル を割 り 当て る こ と がで き る [Select IPsec Proposals (Transform Sets)] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 • [IKE Keepalive]:IKE キープ ア ラ イ ブ モニ タ リ ン グ を イ ネーブルに し 、設定を行い ま す。次の 属性の中か ら 1 つだけ選択で き ま す。 – [Disable Keep Alives]:IKE キープ ア ラ イ ブ を イ ネーブル ま たはデ ィ セーブルに し ま す。 – [Monitor Keep Alives]:IKE キープ ア ラ イ ブ モ ニ タ リ ン グ を イ ネーブル ま たはデ ィ セー ブルに し ま す。こ のオプ シ ョ ン を 選択す る と 、[Confidence Interval] フ ィ ール ド と [Retry Interval] フ ィ ール ド が利用で き る よ う に な り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-82 第3章 一般的な VPN 設定 Site-to-Site 接続プ ロ フ ァ イル – [Confidence Interval]:IKE キープ ア ラ イ ブの信頼間隔を指定 し ま す。こ れは、ピ ア が キー プ ア ラ イ ブ モニ タ リ ン グ を開始す る ま でにASAが許可す る ア イ ド ル時間を表す秒数で す。最小 10 秒、最大 300 秒です。リ モー ト ア ク セ ス グループのデ フ ォ ル ト は 10 秒です。 – [Retry Interval]:IKE キープ ア ラ イ ブの リ ト ラ イ 間の待機秒数 を指定 し ま す。デ フ ォ ル ト 値は 2 秒です。 – [Head end will never initiate keepalive monitoring]:中央サ イ ト のASAが キープ ア ラ イ ブ モ ニ タ リ ン グ を開始 し ない よ う に指定 し ま す。 Site-to-Site 接続プ ロ フ ァ イル、暗号マ ッ プ エ ン ト リ こ のダ イ ア ロ グ ボ ッ ク ス では、現在の Site-to-Site 接続プ ロ フ ァ イ ルの暗号パ ラ メ ー タ を指定 し ま す。 • [Priority]:一意のプ ラ イ オ リ テ ィ (1 ~ 65,543、1 が最高のプ ラ イ オ リ テ ィ )。IKE ネ ゴ シ エー シ ョ ン が開始 さ れ る と 、ネ ゴ シ エーシ ョ ン を開始す る ピ ア がそのポ リ シーすべて を リ モー ト ピ ア に送信 し ま す。リ モー ト ピ アは、一致す る ポ リ シーがないか ど う か、所有す る ポ リ シー を プ ラ イ オ リ テ ィ 順に検索 し ま す。 • [Perfect Forward Secrecy]:特定の IPsec SA のキーが他の秘密情報(他のキーな ど)か ら 導出 さ れた も のでない こ と を保証 し ま す。PFS に よ り 、攻撃者がキーを突破で き た と し て も 、その キーか ら 他のキーを導出で き ない よ う に し ま す。PFS を イ ネーブルにす る と 、Diffie-Hellman Group リ ス ト がア ク テ ィ ブにな り ま す。 – [Diffie-Hellman Group]:2 つの IPsec ピ ア が、相互に共有秘密情報を転送す る こ と な く 共 有秘密情報を導出す る ために使用す る ID。Group 1(768 ビ ッ ト )、Group 2(1024 ビ ッ ト )、 お よ び Group 5(1536 ビ ッ ト )の中か ら 選択 し ま す。 • [Enable NAT-T]: こ のポ リ シーの NAT Traversal(NAT-T)を イ ネーブルに し ま す。こ れに よ り IPsec ピ アは、NAT デバ イ ス を介 し て リ モー ト ア ク セ ス と LAN-to-LAN の両方の接続を確立 で き ま す。 • [Enable Reverse Route Injection]: リ モー ト ト ン ネルのエ ン ド ポ イ ン ト に よ っ て保護 さ れてい る ネ ッ ト ワ ー ク と ホ ス ト のルーテ ィ ン グ プ ロ セ ス に、ス タ テ ィ ッ ク ルー ト が自動的に挿入 さ れ る よ う にす る こ と がで き ま す。 • [Security Association Lifetime]:セ キ ュ リ テ ィ ア ソ シ エーシ ョ ン(SA)の期間を設定 し ま す。こ のパ ラ メ ー タ に よ り 、IPsec SA キーの ラ イ フ タ イ ム の測定単位を指定 し ま す。ラ イ フ タ イ ム は、IPsec SA が期限切れにな る ま での存続期間を示 し 、新 し い キー と 再ネ ゴ シ エー ト す る 必 要が あ り ま す。 – [Time]:時(hh)、分(mm)、お よ び秒(ss)単位で SA の ラ イ フ タ イ ム を指定 し ま す。 – [Traffic Volume]:キ ロ バ イ ト 単位の ト ラ フ ィ ッ ク で SA ラ イ フ タ イ ム を定義 し ます。IPsec SA が期限切れにな る ま でのペ イ ロ ー ド デー タ のキ ロ バ イ ト 数を入力 し ます。最小値は 100 KB、デフ ォ ル ト 値は 10000 KB、最大値は 2147483647 KB です。 • [Static Crypto Map Entry Parameters]:ピ ア IP ア ド レ ス が Static に指定 さ れてい る 場合に、次の 追加パ ラ メ ー タ を指定 し ま す。 – [Connection Type]:許可 さ れ る ネ ゴ シ エーシ ョ ン を、bidirectional、answer-only、ま たは originate-only と し て指定 し ま す。 – [Send ID Cert. Chain]:証明書チ ェ ーン全体の送信を イ ネーブルに し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-83 第3章 一般的な VPN 設定 Site-to-Site 接続プ ロ フ ァ イル – [IKE Negotiation Mode]:SA、Main、ま たは Aggressive の中か ら 、セ ッ ト ア ッ プで キー情報 を交換す る と き のモー ド を設定 し ま す。ネ ゴ シ エーシ ョ ン の発信側が使用す る モー ド も 設定 さ れ ま す。応答側は自動ネ ゴ シ エーシ ョ ン し ま す。Aggressive モー ド は高速で、使用 す る パケ ッ ト と 交換回数を少な く す る こ と がで き ま すが、通信パーテ ィ の ID は保護 さ れ ま せん。Main モー ド は低速で、パケ ッ ト と 交換回数が多 く な り ま すが、通信パーテ ィ の ID を保護 し ま す。こ のモー ド は よ り 安全性が高 く 、デ フ ォ ル ト で選択 さ れてい ま す。 [Aggressive] を選択す る と 、[Diffie-Hellman Group] リ ス ト が ア ク テ ィ ブにな り ま す。 – [Diffie-Hellman Group]:2 つの IPsec ピ ア が、相互に共有秘密情報を転送す る こ と な く 共 有秘密情報を導出す る ために使用す る ID。Group 1(768 ビ ッ ト )、Group 2(1024 ビ ッ ト )、 お よ び Group 5(1536 ビ ッ ト )の中か ら 選択 し ま す。 Site-to-Site 接続プ ロ フ ァ イル、CA 証明書の管理 [IKE Peer Authentication] の下にあ る [Manage] を ク リ ッ ク す る と 、[Manage CA Certificates] ダ イ ア ロ グ ボ ッ ク ス が開 き ます。こ のダ イ ア ロ グ ボ ッ ク ス は、IKE ピ ア認証に使用可能な CA 証明書の リ ス ト のエ ン ト リ を表示、追加、編集、お よ び削除す る ために使用 し ま す。[Manage CA Certificates] ダ イ ア ロ グ ボ ッ ク ス には、証明書の発行先、証明書の発行元、証明書の有効期限、お よ び利用デー タ な ど、現在設定 さ れてい る 証明書の情報が一覧表示 さ れ ま す。 • [Add or Edit]:[Install Certificate] ダ イ ア ロ グ ボ ッ ク ス ま たは [Edit Certificate] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。こ れ ら のダ イ ア ロ グ ボ ッ ク ス では、証明書の情報を指定 し 、証明書を イ ン ス ト ールで き ま す • [Show Details]:テーブルで選択す る 証明書の詳細情報 を表示 し ま す。 • [Delete]:選択 し た証明書を テーブルか ら 削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 Site-to-Site 接続プ ロ フ ァ イル、証明書のイ ン ス ト ール こ のダ イ ア ロ グ ボ ッ ク ス を使用 し て、新 し い CA 証明書を イ ン ス ト ール し ま す。次のいずれかの 方法で証明書を取得で き ま す。 • 証明書 フ ァ イ ル を参照 し て フ ァ イ ルか ら イ ン ス ト ール し ま す。 • 事前取得済みの PEM 形式の証明書テ キ ス ト を こ のダ イ ア ロ グ ボ ッ ク ス 内のボ ッ ク ス に貼 り 付け ま す。 • [Use SCEP]:Simple Certificate Enrollment Protocol(SCEP)の使用を指定 し ま す。証明書サービ ス の ア ド オ ン は、Windows Server 2003 フ ァ ミ リ で実行 さ れ ま す。SCEP プ ロ ト コ ルのサポー ト を提供 し 、こ れに よ り シ ス コ のルー タ お よ び他の中間ネ ッ ト ワ ー ク デバ イ ス は、証明書を 取得で き ま す。 – [SCEP URL: http://]:SCEP 情報のダ ウ ン ロ ー ド 元の URL を指定 し ま す。 – [Retry Period]:SCEP ク エ リ ー間の必須経過時間を分数で指定 し ま す。 – [Retry Count]: リ ト ラ イ の最大許容回数を指定 し ま す。 • [More Options]:[Configure Options for CA Certificate] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 こ のダ イ ア ロ グボ ッ ク ス を使用し て、こ の IPsec リ モー ト ア ク セ ス接続の CA 証明書の取得に関 する詳細を指定し ます。こ のダ イ ア ロ グボ ッ ク スに含まれる ダ イ ア ロ グボ ッ ク スは、[Revocation Check]、[CRL Retrieval Policy]、[CRL Retrieval Method]、[OCSP Rules]、および [Advanced] です。 [Revocation Check] ダ イ ア ロ グ ボ ッ ク ス は、CA 証明書失効確認に関す る 情報を指定す る ため に使用 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-84 第3章 一般的な VPN 設定 AnyConnect VPN ク ラ イ ア ン ト イ メ ージ – オプシ ョ ン ボ タ ン に よ り 、失効状態について証明書を チ ェ ッ ク す る か ど う か を指定 し ま す。[Do not check certificates for revocation] ま たは [Check Certificates for revocation] を選 択 し ま す。 – [Revocation Methods area]:失効チ ェ ッ ク に使用す る 方法(CRL ま たは OCSP)、お よ びそ れ ら の方法を使用す る 順序を指定で き ま す。いずれか一方 ま たは両方の方法を選択で き ま す。 AnyConnect VPN ク ラ イ ア ン ト イ メ ージ [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Client Software] ペ イ ン に、ASDM で設定 さ れた AnyConnect ク ラ イ ア ン ト イ メ ージが一覧表示 さ れ ま す。 [AnyConnect Client Image] テーブル:ASDM で設定 さ れたパ ッ ケージ フ ァ イ ル を表示 し ま す。 ASA が イ メ ージ を リ モー ト PC にダ ウ ン ロ ー ド す る 順序 を設定で き ま す。 • [Add]:[Add AnyConnect Client Image] ダ イ ア ロ グ ボ ッ ク ス が表示 さ れ ま す。こ の ダ イ ア ロ グ ボ ッ ク ス では、フ ラ ッ シ ュ メ モ リ 内の フ ァ イ ル を ク ラ イ ア ン ト イ メ ージ フ ァ イ ル と し て指 定 し た り 、フ ラ ッ シ ュ メ モ リ か ら 、ク ラ イ ア ン ト イ メ ージ と し て指定す る フ ァ イ ル を 参照 し た り で き ま す。ま た、フ ァ イ ル を ロ ーカ ル コ ン ピ ュ ー タ か ら フ ラ ッ シ ュ メ モ リ に ア ッ プ ロ ー ド す る こ と も で き ま す。 • [Replace]:[Replace AnyConnect Client Image] ダ イ ア ロ グ ボ ッ ク ス が表示 さ れ ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、フ ラ ッ シ ュ メ モ リ 内の フ ァ イ ル を ク ラ イ ア ン ト イ メ ージ と し て指定 し て、[SSL VPN Client Image] テーブルで選択 し た イ メ ージ と 置換で き ま す。ま た、フ ァ イ ル を ロ ーカル コ ン ピ ュ ー タ か ら フ ラ ッ シ ュ メ モ リ に ア ッ プ ロ ー ド す る こ と も で き ま す。 • [Delete]:テーブルか ら イ メ ージ を削除 し ま す。イ メ ージ を削除 し て も 、パ ッ ケージ フ ァ イ ル は フ ラ ッ シ ュ か ら 削除 さ れ ま せん。 • [Move Up] お よ び [Move Down]:上矢印 と 下矢印 を 使用 し て、ASA が ク ラ イ ア ン ト イ メ ージ を リ モー ト PC にダ ウ ン ロ ー ド す る と き の順序 を 変更 し ま す。テーブルの一番上に あ る イ メ ージ を 最初に ダ ウ ン ロ ー ド し ま す。こ の ため、最 も よ く 使用す る オペ レ ーテ ィ ン グ シ ス テ ム で使用 さ れ る イ メ ージ を 一番上に移動す る 必要が あ り ま す。 AnyConnect VPN ク ラ イ ア ン ト イ メ ージ、追加/交換 こ のペ イ ン では、AnyConnect ク ラ イ ア ン ト イ メ ージ と し て追加す る か、ま たはテーブルの リ ス ト にすでに含 ま れてい る イ メ ージ と 置換す る 、ASA フ ラ ッ シ ュ メ モ リ の フ ァ イ ルの名前を指定 で き ま す。ま た、識別す る フ ァ イ ル を フ ラ ッ シ ュ メ モ リ か ら 参照 し た り 、ロ ーカル コ ン ピ ュ ー タ か ら フ ァ イ ル を ア ッ プ ロ ー ド し た り す る こ と も で き ま す。 • [Flash SVC Image]:SSL VPN ク ラ イ ア ン ト イ メ ージ と し て識別す る 、フ ラ ッ シ ュ メ モ リ 内の フ ァ イ ル を指定 し ま す。 • [Browse Flash]:フ ラ ッ シ ュ メ モ リ に格納 さ れてい る すべての フ ァ イ ル を参照で き る [Browse Flash Dialog] ダ イ ア ロ グ ボ ッ ク ス を表示 し ま す。 • [Upload]:[Upload Image] ダ イ ア ロ グ ボ ッ ク ス が表示 さ れ ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、 ク ラ イ ア ン ト イ メ ージ と し て指定す る フ ァ イ ルを ロ ーカル PC か ら ア ッ プ ロ ー ド で き ます。 • [Regular expression to match user-agent]:ASAが、ブ ラ ウ ザに よ っ て渡 さ れた User-Agent 文字 列に一致 さ せ る 文字列を指定 し ま す。モバ イ ル ユーザの場合、こ の機能を使用 し て モバ イ ル デバ イ ス の接続時間を短縮で き ま す。ブ ラ ウ ザがASAに接続す る と き 、User-Agent ス ト リ ン グ が HTTP ヘ ッ ダーに含め ら れ ま す。ASAに よ っ て ス ト リ ン グ が受信 さ れ、その ス ト リ ン グ が あ る イ メ ージ用に設定 さ れた式 と 一致す る と 、その イ メ ージがただちにダ ウ ン ロ ー ド さ れ ま す。こ の場合、他の ク ラ イ ア ン ト イ メ ージはテ ス ト さ れ ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-85 第3章 一般的な VPN 設定 AnyConnect VPN ク ラ イ ア ン ト 接続の設定 AnyConnect VPN ク ラ イ ア ン ト イ メ ージ、イ メ ージのア ッ プ ロー ド こ のペ イ ン では、ロ ーカ ル コ ン ピ ュ ー タ ま たはセ キ ュ リ テ ィ ア プ ラ イ ア ン ス の フ ラ ッ シ ュ メ モ リ に格納 さ れて い る 、AnyConnect ク ラ イ ア ン ト イ メ ージ と し て識別す る フ ァ イ ルのパ ス を 指定で き ま す。ロ ーカ ル コ ン ピ ュ ー タ ま たはセ キ ュ リ テ ィ ア プ ラ イ ア ン ス の フ ラ ッ シ ュ メ モ リ か ら 、識別す る フ ァ イ ル を 参照で き ま す。 • [Local File Path]: ロ ーカル コ ン ピ ュ ー タ に格納 さ れてい る 、SSL VPN ク ラ イ ア ン ト イ メ ージ と し て識別す る フ ァ イ ルの名前を指定 し ま す。 • [Browse Local Files]:[Select File Path] ダ イ ア ロ グ ボ ッ ク ス が表示 さ れ ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、ロ ーカル コ ン ピ ュ ー タ 上のすべての フ ァ イ ル を表示 し 、ク ラ イ ア ン ト イ メ ー ジ と し て識別す る フ ァ イ ル を選択で き ま す。 • [Flash File System Path]:セ キ ュ リ テ ィ ア プ ラ イ ア ン ス の フ ラ ッ シ ュ メ モ リ に格納 さ れてい る 、SSL VPN ク ラ イ ア ン ト イ メ ージ と し て識別す る フ ァ イ ルの名前を指定 し ま す。 • [Browse Flash]:[Browse Flash] ダ イ ア ロ グ ボ ッ ク ス が表示 さ れ ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス の フ ラ ッ シ ュ メ モ リ に格納 さ れてい る すべての フ ァ イ ル を表示 し 、ク ラ イ ア ン ト イ メ ージ と し て識別す る フ ァ イ ル を選択で き ま す。 • [Upload File]:フ ァ イ ルの ア ッ プ ロ ー ド を開始 し ま す。 AnyConnect VPN ク ラ イ ア ン ト 接続の設定 AnyConnect ク ラ イ ア ン ト プ ロ フ ァ イルの設定 AnyConnect ク ラ イ ア ン ト プ ロ フ ァ イ ル をすべての AnyConnect ユーザに グ ロ ーバルに展開す る か、ま たは グループ ポ リ シーに基づいて ユーザに展開す る よ う に ASA を設定で き ま す。通常、 ユーザは、イ ン ス ト ール さ れてい る AnyConnect モジ ュ ールご と に 1 つの ク ラ イ ア ン ト プ ロ フ ァ イ ル を持ち ま す。ユーザに複数のプ ロ フ ァ イ ル を割 り 当て る こ と も で き ま す。た と えば、複数の 場所で作業す る ユーザには、複数のプ ロ フ ァ イ ルが必要にな る こ と が あ り ま す。一部のプ ロ フ ァ イ ル設定(SBL な ど )は、グ ロ ーバル レ ベルで接続 を制御 し ま す。その他の設定は、特定の ホ ス ト に固有で あ り 、選択 さ れた ホ ス ト に よ り 異な り ま す。 AnyConnect ク ラ イ ア ン ト プ ロ フ ァ イ ルの作成 と 展開、お よ び ク ラ イ ア ン ト 機能の制御の詳細に ついては、『AnyConnect VPN Client Administrator Guide』を参照 し て く だ さ い。 ク ラ イ ア ン ト プ ロ フ ァ イ ルは、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Client Profile] で設定 し ま す。 [Add/Import]:[Add AnyConnect Client Profiles] ダ イ ア ロ グ ボ ッ ク ス が表示 さ れ ま す。こ のダ イ ア ロ グ ボ ッ ク ス では、フ ラ ッ シ ュ メ モ リ 内の フ ァ イ ル を プ ロ フ ァ イ ル と し て指定 し た り 、フ ラ ッ シ ュ メ モ リ でプ ロ フ ァ イ ル と し て指定す る フ ァ イ ル を参照 し た り で き ま す。ま た、フ ァ イ ル を ロ ーカル コ ン ピ ュ ー タ か ら フ ラ ッ シ ュ メ モ リ に ア ッ プ ロ ー ド す る こ と も で き ま す。 • [Profile Name]:グループ ポ リ シーの AnyConnect ク ラ イ ア ン ト プ ロ フ ァ イ ル を指定 し ま す。 • [Profile Usage]:最初に作成 さ れた と き にプ ロ フ ァ イ ルに割 り 当て ら れた用途(VPN、ネ ッ ト ワ ー ク ア ク セ ス マネージ ャ 、Web セ キ ュ リ テ ィ 、ま たはテ レ メ ト リ )を表示 し ま す。ASDM が、XML フ ァ イ ルで指定 さ れた用途を認識 し ない場合、ド ロ ッ プダ ウ ン リ ス ト が選択可能 にな り 、用途 タ イ プ を手動で選択で き ま す。 • [Group Policy]:プ ロ フ ァ イ ルのグループ ポ リ シーを指定 し ます。プ ロ フ ァ イ ルは、AnyConnect ク ラ イ ア ン ト と と も に こ のグループ ポ リ シーに属 し てい る ユーザにダ ウ ン ロ ー ド さ れます。 • [Profile Location]:ASA の フ ラ ッ シ ュ メ モ リ 内のプ ロ フ ァ イ ル フ ァ イ ルへのパ ス を指定 し ま す。こ の フ ァ イ ルが存在 し ない場合、ASA はプ ロ フ ァ イ ル テ ン プ レ ー ト に基づいて フ ァ イ ル を作成 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-86 第3章 一般的な VPN 設定 AnyConnect VPN ク ラ イ ア ン ト 接続の設定 [Edit]:[Edit SSL VPN Client Profile] ウ ィ ン ド ウ が表示 さ れ ま す。AnyConnect ク ラ イ ア ン ト 機能の プ ロ フ ァ イ ルに含 ま れてい る 設定を変更で き ま す。 Export • [Device Profile Path]:プ ロ フ ァ イ ル フ ァ イ ルのパ ス お よ び フ ァ イ ル名を表示 し ま す。 • [Local Path]:パ ス と フ ァ イ ル名を指定 し てプ ロ フ ァ イ ル フ ァ イ ル を エ ク ス ポー ト し ま す。 • [Browse Local]: ク リ ッ ク し て ウ ィ ン ド ウ を起動 し 、ロ ーカル デバ イ ス フ ァ イ ル シ ス テ ム を 参照 し ま す。 [Delete]:テーブルか ら プ ロ フ ァ イ ル を削除 し ま す。プ ロ フ ァ イ ル を削除 し て も 、XML フ ァ イ ルは フ ラ ッ シ ュ か ら 削除 さ れ ま せん。 [AnyConnect Client Profiles] テーブル:AnyConnect ク ラ イ ア ン ト プ ロ フ ァ イ ル と し て指定 さ れた XML フ ァ イ ル を表示 し ま す。 AnyConnect ト ラ フ ィ ッ ク に対するネ ッ ト ワー ク ア ド レ ス変換の免除 ネ ッ ト ワ ー ク ア ド レ ス 変換(NAT)を 実行す る よ う に ASA を 設定 し た場合は、AnyConnect ク ラ イ ア ン ト 、内部ネ ッ ト ワ ー ク 、お よ び DMZ の企業 リ ソ ー ス が相互に接続 を 開始で き る よ う に、 リ モー ト ア ク セ ス AnyConnect ク ラ イ ア ン ト ト ラ フ ィ ッ ク を 変換の対象外にす る 必要が あ り ま す。AnyConnect ク ラ イ ア ン ト ト ラ フ ィ ッ ク を 変換の対象外にで き な い と 、AnyConnect ク ラ イ ア ン ト お よ び他の企業 リ ソ ー ス が通信で き な く な り ま す。 「ア イ デン テ ィ テ ィ NAT」(「NAT 免除」 と も 呼ばれてい る )に よ り ア ド レ ス を自 ら に変換で き ま す。こ れに よ り 効果的に NAT が回避 さ れ ま す。ア イ デン テ ィ テ ィ NAT は 2 つの ア ド レ ス プール、 ア ド レ ス プール と サブネ ッ ト ワ ー ク 、ま たは 2 つのサブネ ッ ト ワ ー ク 間で適用で き ま す。 こ の手順は、例に あ る ネ ッ ト ワ ー ク ト ポ ロ ジの次の仮定のネ ッ ト ワ ー ク オブジ ェ ク ト 間で ア イ デン テ ィ テ ィ NAT を設定す る 方法を示 し てい ま す。それ ら は、Engineering VPN ア ド レ ス プー ル、Sales VPN ア ド レ ス プール、ネ ッ ト ワ ー ク 内、DMZ ネ ッ ト ワ ー ク 、お よ び イ ン タ ーネ ッ ト で す。ア イ デン テ ィ テ ィ NAT 設定ではそれぞれ、NAT 規則が 1 つ必要です。 表 3-4 VPN ク ラ イ ア ン ト のア イ デン テ ィ テ ィ NAT を設定するネ ッ ト ワー ク ア ド レ ス ア ド レ ッ シ ング ネ ッ ト ワー ク ま たはア ド レ ス ネ ッ ト ワー ク 名ま たはア ド レ プール ス プール名 ア ド レ ス範囲 内部ネ ッ ト ワ ー ク inside-network 10.50.50.0 - 10.50.50.255 Engineering VPN ア ド レ ス プール Engineering-VPN 10.60.60.1 - 10.60.60.254 Sales VPN ア ド レ ス プール Sales-VPN 10.70.70.1 - 10.70.70.254 DMZ ネ ッ ト ワ ー ク DMZ-network 192.168.1.0 - 192.168.1.255 ステ ッ プ 1 ASDM に ロ グ イ ン し 、[Configuration] > [Firewall] > [NAT Rules] に移動 し ま す。 ステ ッ プ 2 Engineering VPN ア ド レ ス プールの ホ ス ト が Sales VPN ア ド レ ス プールの ホ ス ト に接続で き る よ う 、NAT 規則を作成 し ま す。ASA が Unified NAT テーブルの他の規則の前に こ の規則を評価す る よ う 、[NAT Rules] ペ イ ン で、[Add] > [Add NAT Rule Before "Network Object" NAT rules] に移動 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-87 第3章 一般的な VPN 設定 AnyConnect VPN ク ラ イ ア ン ト 接続の設定 NAT ルールは ト ッ プダ ウ ン方式で最初に一致 し たルールか ら 順に適用 さ れます。ASA に よ り いっ たんパケ ッ ト が特定の NAT 規則 と 一致する と 、それ以上評価は行われません。ASA が NAT 規則を早ま っ て広範な NAT 規則に一致 し ない よ う 、Unified NAT テーブルの先頭に 最 も 固有の NAT 規則を配置する こ と が重要です。 注 図 3-1 a. [Add NAT rule] ダ イ ア ログ ボ ッ ク ス [Match criteria: Original Packet] エ リ ア で、次の フ ィ ール ド を設定 し ま す。 – [Source Interface:] Any – [Destination Interface:] Any – [Source Address:] [Source Address] ブ ラ ウ ズ ボ タ ン を ク リ ッ ク し 、Engineering VPN ア ド レ ス プール を表すネ ッ ト ワ ー ク オブジ ェ ク ト を作成 し ま す。オブジ ェ ク ト タ イ プ を ア ド レ ス の範囲 と し て定義 し ま す。自動ア ド レ ス ト ラ ン ス レ ーシ ョ ン ルールは追加 し な いで く だ さ い。例については、図 3-2 を参照 し て く だ さ い。 – [Destination Address:] [Destination Address] ブ ラ ウ ズ ボ タ ン を ク リ ッ ク し 、Sales VPN ア ド レ ス プール を表すネ ッ ト ワ ー ク オブジ ェ ク ト を作成 し ま す。オブジ ェ ク ト タ イ プ を ア ド レ ス の範囲 と し て定義 し ま す。自動ア ド レ ス ト ラ ン ス レ ーシ ョ ン ルールは追加 し ないで く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-88 第3章 一般的な VPN 設定 AnyConnect VPN ク ラ イ ア ン ト 接続の設定 図 3-2 b. VPN ア ド レ ス プールのネ ッ ト ワー ク オブ ジ ェ ク ト の作成 [Action Translated Packet] エ リ ア で、次の フ ィ ール ド を設定 し ま す。 – [Source NAT Type:] Static – [Source Address:] Original – [Destination Address:] Original – [Service:] Original c. [Options] エ リ ア で、次の フ ィ ール ド を設定 し ま す。 – [Enable rule] を オ ン に し ま す。 – [Translate DNS replies that match this rule] を オ フ にす る か、空に し てお き ま す。 – [Direction:] Both – [Description:] 規則の説明を入力 し ま す。 d. [OK] を ク リ ッ ク し ま す。 e. [Apply] を ク リ ッ ク し ま す。規則は図 3-4(3-92 ページ) の Unified NAT テーブルの規則 1 の よ う にな る はずです。 CLI の例: nat source static Engineering-VPN Engineering-VPN destination static Sales-VPN Sales-VPN f. ステ ッ プ 3 [Send] を ク リ ッ ク し ま す。 ASA が NAT を実行 し てい る 場合、同 じ VPN プール内の 2 つの ホ ス ト が互いに接続で き る よ う 、 ま たはそれ ら の ホ ス ト が VPN ト ン ネル経由で イ ン タ ーネ ッ ト に接続で き る よ う 、[Enable traffic between two or more hosts connected to the same interface] オプシ ョ ン を イ ネーブルにす る 必要が あ り ま す。こ れ を行 う には ASDM で、[Configuration] > [Device Setup] > [Interfaces] を選択 し ま す。 [Interface] パネルの下の [Enable traffic between two or more hosts connected to the same interface] を オ ン に し 、[Apply] を ク リ ッ ク し ま す。 CLI の例: same-security-traffic permit inter-interface Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-89 第3章 一般的な VPN 設定 AnyConnect VPN ク ラ イ ア ン ト 接続の設定 ステ ッ プ 4 Engineering VPN ア ド レ ス プールの ホ ス ト が Engineering VPN ア ド レ ス プールの他の ホ ス ト に 接続で き る よ う 、NAT 規則を作成 し ま す。ス テ ッ プ 2 で規則を作成 し た と き の よ う に こ の規則を 作成 し ま す。ただ し 、[Match criteria: Original Packet] エ リ ア で Engineering VPN ア ド レ ス プール を 送信元ア ド レ ス お よ び宛先ア ド レ ス 両方 と し て指定 し ま す。 ステ ッ プ 5 Engineering VPN リ モー ト ア ク セ ス ク ラ イ ア ン ト が「内部」ネ ッ ト ワ ー ク に接続で き る よ う NAT 規則を作成 し ま す。こ の規則が他の規則の前に処理 さ れ る よ う [NAT Rules] ペ イ ン で、[Add] > [Add NAT Rule Before "Network Object" NAT rules] を選択 し ま す。 a. [Match criteria: Original Packet] エ リ ア で、次の フ ィ ール ド を設定 し ま す。 – [Source Interface:] Any – [Destination Interface:] Any – [Source Address:] [Source Address] ブ ラ ウ ズ ボ タ ン を ク リ ッ ク し 、内部ネ ッ ト ワー ク を表す ネ ッ ト ワ ー ク オブジ ェ ク ト を作成 し ます。オブジ ェ ク ト タ イ プ を ア ド レ ス のネ ッ ト ワー ク と し て定義 し ます。自動ア ド レ ス ト ラ ン ス レーシ ョ ン ルールは追加 し ないで く だ さ い。 – [Destination Address]:[Destination Address] ブ ラ ウ ズ ボ タ ン を ク リ ッ ク し 、Engineering VPN ア ド レ ス プール を表すネ ッ ト ワ ー ク オブジ ェ ク ト を選択 し ま す。 図 3-3 b. inside-network オブ ジ ェ ク ト の追加 [Action Translated Packet] エ リ ア で、次の フ ィ ール ド を設定 し ま す。 – [Source NAT Type:] Static – [Source Address:] Original – [Destination Address:] Original – [Service:] Original c. [Options] エ リ ア で、次の フ ィ ール ド を設定 し ま す。 – [Enable rule] を オ ン に し ま す。 – [Translate DNS replies that match this rule] を オ フ にす る か、空に し てお き ま す。 – [Direction:] Both – [Description:] 規則の説明を入力 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-90 第3章 一般的な VPN 設定 AnyConnect VPN ク ラ イ ア ン ト 接続の設定 d. [OK] を ク リ ッ ク し ま す。 e. [Apply] を ク リ ッ ク し ま す。規則は図 3-4(3-92 ページ) の Unified NAT テーブルの規則 2 の よ う にな る はずです。 CLI の例 nat source static inside-network inside-network destination static Engineering-VPN Engineering-VPN ステ ッ プ 6 ス テ ッ プ 5 の方法に し たが っ て新 し い規則を作成 し 、Engineering VPN ア ド レ ス プール と DMZ ネ ッ ト ワ ー ク 間の接続の ア イ デン テ ィ テ ィ NAT を設定 し ま す。DMZ ネ ッ ト ワ ー ク を送信元ア ド レ ス 、Engineering VPN ア ド レ ス プール を宛先ア ド レ ス と し て使用 し ま す。 ステ ッ プ 7 新 し い NAT 規則を作成 し て、Engineering VPN ア ド レ ス プール を ト ン ネル経由に イ ン タ ーネ ッ ト に ア ク セ ス で き る よ う に し ま す。こ の場合、ア イ デン テ ィ テ ィ NAT は使用 し ま せん。送信元ア ド レ ス を プ ラ イ ベー ト ア ド レ ス か ら イ ン タ ーネ ッ ト ルーテ ィ ン グ可能な ア ド レ ス に変更す る ためです。こ の規則を作成す る には、次の手順に従い ま す。 a. こ の規則が他の規則の前に処理 さ れ る よ う [NAT Rules] ペ イ ン で、[Add] > [Add NAT Rule Before "Network Object" NAT rules] を選択 し ま す。 b. [Match criteria: Original Packet] エ リ ア で、次の フ ィ ール ド を設定 し ま す。 – [Source Interface:] Any – [Destination Interface:] Any。[Action: Translated Packet] エ リ ア の [Source Address] に [outside] を選択す る と 、こ の フ ィ ール ド には自動的に「outside」が入力 さ れ ま す。 – [Source Address]:[Source Address] ブ ラ ウ ズ ボ タ ン を ク リ ッ ク し 、Engineering VPN ア ド レ ス プール を表すネ ッ ト ワ ー ク オブジ ェ ク ト を選択 し ま す。 – [Destination Address:] Any c. [Action Translated Packet] エ リ ア で、次の フ ィ ール ド を設定 し ま す。 – [Source NAT Type:] Dynamic PAT (Hide) – [Source Address]:[Source Address] ブ ラ ウ ズ ボ タ ン を ク リ ッ ク し 、outside イ ン タ ー フ ェ イ ス を選択 し ま す。 – [Destination Address:] Original – [Service:] Original d. [Options] エ リ ア で、次の フ ィ ール ド を設定 し ま す。 – [Enable rule] を オ ン に し ま す。 – [Translate DNS replies that match this rule] を オ フ にす る か、空に し てお き ま す。 – [Direction:] Both – [Description:] 規則の説明を入力 し ま す。 e. [OK] を ク リ ッ ク し ま す。 f. [Apply] を ク リ ッ ク し ま す。規則は図 3-4(3-92 ページ) の Unified NAT テーブルの規則 5 の よ う にな る はずです。 CLI の例: nat (any,outside) source dynamic Engineering-VPN interface Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-91 第3章 一般的な VPN 設定 AnyConnect ホス ト スキ ャ ン 図 3-4 Unified NAT テーブル ステ ッ プ 8 Engineering VPN ア ド レ ス プールがそのプール自体、Sales VPN ア ド レ ス プール、内部ネ ッ ト ワーク 、 DMZ ネ ッ ト ワー ク 、およびイ ン ターネ ッ ト に到達する よ う に設定し た後に、Sales VPN ア ド レ ス プー ルについて同じ プ ロ セ ス を繰 り 返す必要があ り ます。ア イデンテ ィ テ ィ NAT を使用し て、Sales VPN ア ド レ ス プール ト ラ フ ィ ッ ク が、Sales VPN ア ド レ ス プール、内部ネ ッ ト ワーク 、DMZ ネ ッ ト ワー ク、 およびイ ン ターネ ッ ト 間のネ ッ ト ワーク ア ド レ ス変換の対象外 と な る よ う に し ます。 ステ ッ プ 9 ASA の [File] メ ニ ュ ーで [Save Running Configuration to Flash] を選択 し 、ア イ デン テ ィ テ ィ NAT 規則を実装 し ま す。 AnyConnect ホス ト スキ ャ ン AnyConnect ポ ス チ ャ モ ジ ュ ールに よ り 、AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト はホ ス ト に イ ン ス ト ール さ れてい る オペ レ ーテ ィ ン グ シ ス テ ム、お よ びア ン チ ウ イ ル ス 、ア ン チ ス パ イ ウ ェ ア、フ ァ イ ア ウ ォ ールの各 ソ フ ト ウ ェ ア を識別で き ま す。こ の情報は、ホ ス ト ス キ ャ ン ア プ リ ケーシ ョ ン に よ っ て収集 さ れ ま す。 ホ ス ト ス キ ャ ン サポー ト 表には、ポ ス チ ャ ポ リ シーで使用す る ア ン チ ウ イ ル ス 、ア ン チ ス パ イ ウ ェ ア、お よ び フ ァ イ ア ウ ォ ール ア プ リ ケーシ ョ ン の製品名 と バージ ョ ン 情報が含 ま れ ま す。 シ ス コ では、ホ ス ト ス キ ャ ン パ ッ ケージ に ホ ス ト ス キ ャ ン 、ホ ス ト ス キ ャ ン サ ポー ト 表、お よ び他の コ ン ポーネ ン ト を 含め て提供 し て い ま す。 要件 AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト を ポ ス チ ャ モ ジ ュ ール と と も 使用す る には、 ASA 8.4 が必要です。 AnyConnect SCEP 機能には、AnyConnect ポ ス チ ャ モ ジ ュ ールが必要です。 ホス ト スキ ャ ン パ ッ ケージ ASA への ホ ス ト ス キ ャ ン パ ッ ケージは次のいずれかの方法で ロ ー ド で き ま す。 • ス タ ン ド ア ロ ン パ ッ ケージ hostscan-version.pkg と し て ア ッ プ ロ ー ド で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-92 第3章 一般的な VPN 設定 AnyConnect ホ ス ト スキ ャ ン • AnyConnect セ キ ュ ア モ ビ リ テ ィ パ ッ ケージ anyconnect-win-version-k9.pkg を ア ッ プ ロ ー ド す る こ と に よ っ て、ア ッ プ ロ ー ド で き ま す。 • csd_version-k9.pkg は、Cisco Secure Desktop を ア ッ プ ロ ー ド す る こ と に よ っ て、ア ッ プ ロ ー ド で き ま す。 フ ァ イル 説明 hostscan-version.pkg こ の フ ァ イ ルには、ホ ス ト ス キ ャ ン ソ フ ト ウ ェ ア、ホ ス ト ス キ ャ ン ラ イ ブ ラ リ 、お よ びサポー ト 表が含 ま れて い ま す。 anyconnect-NGC-win-version-k9.pkg こ のパ ッ ケージには、hostscan-version.pkg フ ァ イ ルな ど 、Cisco AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト のすべての機能が含 ま れてい ま す。 csd_version-k9.pkg こ の フ ァ イ ルには、ホ ス ト ス キ ャ ン ソ フ ト ウ ェ ア、ホ ス ト ス キ ャ ン ラ イ ブ ラ リ 、サポー ト 表な ど 、Cisco Secure Desktop のすべての機能が含 ま れてい ま す。 こ の方式には、Cisco Secure Desktop 用の別個の ラ イ セ ン ス が必要です。 AnyConnect ホス ト スキ ャ ンのラ イ セ ン ス ポ ス チ ャ モ ジ ュ ールには、次の AnyConnect ラ イ セ ン シ ン グ要件が あ り ま す。 • 基本ホ ス ト ス キ ャ ン用の AnyConnect Premium。 • 次の場合は、Advanced Endpoint Assessment ラ イ セ ン ス が必要です。 – 修復 – [Mobile Device Management(モバ イ ル デバ イ ス 管理)] Advanced Endpoint Assessment をサポー ト するためのア ク テ ィ ベーシ ョ ン キーの入力 Advanced Endpoint Assessment には、Endpoint Assessment 機能のすべて が含 ま れてお り 、バー ジ ョ ン 要件 を 満たすた めに非準拠の コ ン ピ ュ ー タ を 更新す る よ う に設定で き ま す。次の手順に 従い、Advanced Endpoint Assessment を サポー ト す る た めに、シ ス コ か ら キー を 取得 し た ら 、 ASDM を 使用 し て キーの ア ク テ ィ ベーシ ョ ン を 行い ま す。 ステ ッ プ 1 [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択 し ま す。 ステ ッ プ 2 [New Activation Key] フ ィ ール ド に キーを入力 し ま す。 ステ ッ プ 3 [Update Activation Key] を ク リ ッ ク し ま す。 ステ ッ プ 4 [File] > [Save Running Configuration to Flash] を選択 し ま す。 [Advanced Endpoint Assessment] エ ン ト リ が表示 さ れ、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] ペ イ ン の [Host Scan Extensions] 領域内の [Configure] ボ タ ン が ア ク テ ィ ブに な り ま す。[Host Scan] ペ イ ン は、CSD が有効に な っ て い る 場合に限 り ア ク セ ス で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-93 第3章 一般的な VPN 設定 AnyConnect ホス ト スキ ャ ン ASA 上でのホス ト スキ ャ ンのイ ン ス ト ール と 有効化 次の手順を使用 し て、ASA 上で新 し い ホ ス ト ス キ ャ ン イ メ ージ を ア ッ プ ロ ー ド ま たはア ッ プ グ レ ー ド し 、有効にす る こ と がで き ま す。こ の イ メ ージに よ っ て、AnyConnect の ホ ス ト ス キ ャ ン機 能を イ ネーブルにす る こ と がで き ま す。ま た、こ の イ メ ージ を使用 し て、Cisco Secure Desktop (CSD)の既存の配置の ホ ス ト ス キ ャ ン サポー ト 表を ア ッ プ グ レ ー ド で き ま す。 フ ィ ール ド に、ス タ ン ド ア ロ ン の ホ ス ト ス キ ャ ン パ ッ ケージ、ま たは AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト パ ッ ケージのバージ ョ ン 3.0 以降を指定す る こ と がで き ま す。 以前に CSD イ メ ージ を ASA に ア ッ プ ロ ー ド し ていた場合は、指定す る ホ ス ト ス キ ャ ン イ メ ー ジに よ っ て、CSD パ ッ ケージに同梱 さ れていた既存の ホ ス ト ス キ ャ ン フ ァ イ ルが ア ッ プ グ レ ー ド ま たはダ ウ ン グ レ ー ド さ れ ま す。 ホ ス ト ス キ ャ ン を イ ン ス ト ール ま たはア ッ プ グ レ ー ド し た後に、セ キ ュ リ テ ィ アプ ラ イ ア ン ス を再起動す る 必要はあ り ま せんが、Secure Desktop Manager に ア ク セ ス す る には、Adaptive Security Device Manager(ASDM)を終了 し て再起動す る 必要があ り ま す。 は じ める前に ホ ス ト ス キ ャ ンには、AnyConnect セキ ュ ア モビ リ テ ィ ク ラ イ アン ト Premium ラ イ セン スが必要です。 ステ ッ プ 1 hostscan_version-k9.pkg フ ァ イ ル ま たは anyconnect-NGC-win-version-k9.pkg フ ァ イ ル を コ ン ピ ュ ー タ にダ ウ ン ロ ー ド し ま す。 ステ ッ プ 2 ASDM を開 き 、[Configuration] > [Remote Access VPN] > [Host Scan Image] の順に選択 し ま す。 [Host Scan Image] パネルが開 き ま す。 図 3-5 [Host Scan Image] パネル ステ ッ プ 3 [Upload] を ク リ ッ ク し て、ご使用の コ ン ピ ュ ー タ か ら ASA 上の ド ラ イ ブに ホ ス ト ス キ ャ ン パ ッ ケージの コ ピ ーを転送す る 準備を し ま す。 ステ ッ プ 4 [Upload Image] ダ イ ア ロ グ ボ ッ ク ス で、[Browse Local Files] を ク リ ッ ク し て ロ ーカル コ ン ピ ュ ー タ の ホ ス ト ス キ ャ ン パ ッ ケージ を検索 し ま す。 ステ ッ プ 5 ス テ ッ プ 1 でダ ウ ン ロ ー ド し た hostscan_version.pkg フ ァ イ ル ま たは anyconnect-NGC-win-version-k9.pkg フ ァ イ ルを選択 し 、[Select] を ク リ ッ ク し ま す。[Local File Path] フ ィ ール ド お よ び [Flash File System Path] フ ィ ール ド で選択 し た フ ァ イ ルのパ ス には、ホ ス ト ス キ ャ ン パ ッ ケージのア ッ プ ロ ー ド 先パ ス が反映 さ れ ます。ASA に複数の フ ラ ッ シ ュ ド ラ イ ブがあ る 場合は、別の フ ラ ッ シ ュ ド ラ イ ブ を示す よ う に [Flash File System Path] を編集で き ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-94 第3章 一般的な VPN 設定 AnyConnect ホ ス ト スキ ャ ン ステ ッ プ 6 [Upload File] を ク リ ッ ク し ま す。ASDM に よ っ て、フ ァ イ ルの コ ピ ーが フ ラ ッ シ ュ カー ド に転送 さ れ ま す。[Information] ダ イ ア ロ グ ボ ッ ク ス には、次の メ ッ セージが表示 さ れ ま す。 File has been uploaded to flash successfully. ステ ッ プ 7 [OK] を ク リ ッ ク し ま す。 ステ ッ プ 8 [Use Uploaded Image] ダ イ ア ロ グ で [OK] を ク リ ッ ク し て、現行 イ メ ージ と し て ア ッ プ ロ ー ド し た ホ ス ト ス キ ャ ン パ ッ ケージ フ ァ イ ル を使用 し ま す。 ステ ッ プ 9 [Enable Host Scan/CSD] がオ ン にな っ ていない場合はオ ン に し ま す。 ス テ ッ プ 10 [Apply] を ク リ ッ ク し ま す。 注 ス テ ッ プ 11 ASA 上で AnyConnect Essentials が イ ネーブルにな っ てい る 場合、CSD は AnyConnect Essentials と 組み合わせて動作 し ない と い う メ ッ セージが表示 さ れ ま す。AnyConnect Essentials を無効にす る か、保持す る か を選択 し ま す。 [File] メ ニ ュ ーか ら [Save Running Configuration To Flash] を選択 し ま す。 ホス ト スキ ャ ンの有効化または無効化 ASDM を使用 し て初め て ホ ス ト ス キ ャ ン イ メ ージ を イ ン ス ト ール ま たはア ッ プ グ レ ー ド す る 場合は、手順の一部 と し て その イ メ ージ を イ ネーブルに し ま す。それ以外の場合、ASDM を使用 し て ホ ス ト ス キ ャ ン イ メ ージ を有効 ま たは無効にす る には、次の手順を実行 し ま す。 ステ ッ プ 1 ASDM を開 き 、[Configuration] > [Remote Access VPN] > [Host Scan Image] の順に選択 し ま す。 [Host Scan Image] パネルが開 き ま す。 ステ ッ プ 2 [Enable Host Scan/CSD] を オ ン に し て ホ ス ト ス キ ャ ン を有効にす る か、ま たは [Enable Host Scan/CSD] を オ フ に し て ホ ス ト ス キ ャ ン を無効に し ま す。 ステ ッ プ 3 [Apply] を ク リ ッ ク し ま す。 ASA で有効にな っ ているホス ト スキ ャ ン バージ ョ ンの表示 ステ ッ プ 1 ASDM を開 き 、[Configuration] > [Remote Access VPN] > [Host Scan Image] に移動 し ま す。 [Host Scan Image Location] フ ィ ール ド に ホ ス ト ス キ ャ ン イ メ ージが指定 さ れてお り 、[Enable HostScan/CSD] ボ ッ ク ス がオ ン にな っ てい る 場合は、その イ メ ージのバージ ョ ン が ASA で使用 さ れ る ホ ス ト ス キ ャ ン バージ ョ ン と な り ま す。 [Host Scan Image] フ ィ ール ド が空で、[Enable HostScan/CSD] ボ ッ ク ス がオ ン にな っ てい る 場合は、 [Configuration] > [Remote Access VPN] > [Secure Desktop Manager] に移動 し ます。[Secure Desktop Image Location] フ ィ ール ド の CSD のバージ ョ ンが、ASA で使用 さ れ る ホ ス ト ス キ ャ ン バージ ョ ン と な り ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-95 第3章 一般的な VPN 設定 AnyConnect セキ ュ ア モ ビ リ テ ィ ソ リ ュ ーシ ョ ン ホス ト スキ ャ ンのア ン イ ン ス ト ール ホ ス ト ス キ ャ ン パ ッ ケージ を ア ン イ ン ス ト ールす る と 、ASDM イ ン タ ー フ ェ イ ス 上の ビ ュ ーか ら 削除 さ れ ま す。こ れに よ り 、ホ ス ト ス キ ャ ン ま たは CSD が イ ネーブルの場合で も ASA に よ る ホ ス ト ス キ ャ ン パ ッ ケージの展開が回避 さ れ ま す。ホ ス ト ス キ ャ ン を ア ン イ ン ス ト ール し て も 、フ ラ ッ シ ュ ド ラ イ ブの ホ ス ト ス キ ャ ン パ ッ ケージは削除 さ れ ま せん。 ステ ッ プ 1 ASDM を開 き 、[Configuration] > [Remote Access VPN] > [Host Scan Image] に移動 し ま す。 ステ ッ プ 2 [Host Scan Image] ペ イ ン で [Uninstall] を ク リ ッ ク し ま す。ASDM では、[Location] テ キ ス ト ボ ッ ク ス のテ キ ス ト が削除 さ れ ま す。 ステ ッ プ 3 [File] メ ニ ュ ーか ら [Save Running Configuration to Flash] を選択 し ま す。 AnyConnect ポスチ ャ モジ ュ ールのグループ ポ リ シーへの割 り 当て ステ ッ プ 1 ASDM を開 き 、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] の順に選択 し ま す。 ステ ッ プ 2 [Group Policies] パネルで [Add] を ク リ ッ ク し て新規グループ ポ リ シーを作成す る か、ま たはホ ス ト ス キ ャ ン パ ッ ケージ を割 り 当て る 既存のグループ ポ リ シーを選択 し 、[Edit] を ク リ ッ ク し ます。 ステ ッ プ 3 [Edit Internal Group Policy] パネルで、左側の [Advanced] ナ ビ ゲーシ ョ ン ツ リ ーを展開 し 、 [AnyConnect Client] を選択 し ま す。 ステ ッ プ 4 [Optional Client Modules to Download Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ に し ま す。 ステ ッ プ 5 [Optional Client Modules to Download] ド ロ ッ プダ ウ ン メ ニ ュ ーで [AnyConnect Posture Module] を オ ン に し 、[OK] を ク リ ッ ク し ま す。 ステ ッ プ 6 [OK] を ク リ ッ ク し ま す。 AnyConnect ク ラ イ ア ン ト での ホ ス ト ス キ ャ ン の動作の詳細については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照 し て く だ さ い。 AnyConnect セキ ュ ア モ ビ リ テ ィ ソ リ ュ ーシ ョ ン AnyConnect セ キ ュ ア モ ビ リ テ ィ は、従業員の移動時に企業の利益 と 資産を イ ン タ ーネ ッ ト の脅 威か ら 保護 し ま す。AnyConnect Secure Mobility に よ り Cisco IronPort S シ リ ーズ Web セ キ ュ リ テ ィ ア プ ラ イ ア ン ス は Cisco AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト を ス キ ャ ン で き 、ク ラ イ ア ン ト を悪意あ る ソ フ ト ウ ェ アや不適切なサ イ ト か ら 確実に保護 し ま す。ク ラ イ ア ン ト は、 Cisco IronPort S シ リ ーズ Web セ キ ュ リ テ ィ ア プ ラ イ ア ン ス 保護が イ ネーブルにな っ てい る か定 期的に確認 し ま す。 注 こ の機能には、Cisco AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト の AnyConnect セ キ ュ ア モ ビ リ テ ィ ラ イ セ ン ス サポー ト を提供す る Cisco IronPort Web セ キ ュ リ テ ィ ア プ ラ イ ア ン ス の リ リ ー ス が必要です。ま た、AnyConnect Secure Mobility 機能を サポー ト す る AnyConnect リ リ ー ス が必要です。AnyConnect 3.1 以降は こ の機能を サポー ト し てい ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-96 第3章 一般的な VPN 設定 AnyConnect セキ ュ ア モ ビ リ テ ィ ソ リ ュ ーシ ョ ン セ キ ュ ア モ ビ リ テ ィ ソ リ ュ ーシ ョ ン を設定す る には、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Secure Mobility Solution] の順に選択 し ま す。 図 3-6 • [Mobile User Security] ウ ィ ン ド ウ [Service Access Control]:WSA の通信元 と な る ホ ス ト ま たはネ ッ ト ワ ー ク ア ド レ ス を指定 し ま す。 – [Add]:選択 し た接続の [Add MUS Access Control Configuration] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – [Edit]:選択 し た接続の [Edit MUS Access Control Configuration] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 – [Delete]:選択 し た接続を テーブルか ら 削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 • [Enable Mobile User Security Service]:VPN を介 し た ク ラ イ ア ン ト と の接続を開始 し ま す。イ ネーブルにす る と 、ASA への接続時に WSA に よ っ て使用 さ れ る パ ス ワ ー ド を入力す る 必要 が あ り ま す。WSA が存在 し ない場合、ス テー タ ス は disabled にな り ま す。 • [Service Port]:サー ビ ス を イ ネーブルにす る 場合、サー ビ ス の ど のポー ト 番号を使用す る か を指定 し ま す。ポー ト の範囲は 1 ~ 65535 で、管理シ ス テ ム に よ り WSA にプ ロ ビ ジ ョ ニ ン グ さ れた対応す る 値 と 一致 さ せ る 必要が あ り ま す。デ フ ォ ル ト は 11999 です。 • [Change Password]:WSA ア ク セ ス パ ス ワ ー ド を変更で き ま す。 • [WSA Access Password]:ASA と WSA の間の認証で必要 と な る 共有シー ク レ ッ ト パ ス ワ ー ド を指定 し ま す。こ のパ ス ワ ー ド は、管理シ ス テ ム に よ り WSA にプ ロ ビ ジ ョ ニ ン グ さ れた 対応す る パ ス ワ ー ド と 一致 さ せ る 必要が あ り ま す。 • [Confirm Password]:指定 し たパ ス ワ ー ド を再入力 し ま す。 • [Show WSA Sessions]:ASA に接続 さ れた WSA のセ ッ シ ョ ン情報を表示で き ま す。接続 さ れ てい る ( ま たは接続 さ れた)WSA の ホ ス ト IP ア ド レ ス お よ び接続時間がダ イ ア ロ グ ボ ッ ク ス に返 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-97 第3章 一般的な VPN 設定 AnyConnect のカ ス タ マ イ ズ と ロー カ リ ゼーシ ョ ン MUS ア ク セス制御の追加または編集 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Secure Mobility Solution] の 下の [Add or Edit MUS Access Control] ダ イ ア ロ グ ボ ッ ク ス で、AnyConnect ク ラ イ ア ン ト の Mobile User Security(MUS)ア ク セ ス を設定 し ま す。 • [Interface Name]: ド ロ ッ プ ダ ウ ン リ ス ト を 使用 し て、追加 ま たは編集 し て い る イ ン タ ー フ ェ イ ス 名 を 選択 し ま す。 • [IP Address]:IPv4 ア ド レ ス ま たは IPv6 ア ド レ ス を入力で き ま す。 • [Mask]: ド ロ ッ プダ ウ ン リ ス ト を使用 し て、該当のマ ス ク を選択 し ま す。 AnyConnect のカ ス タ マ イズ と ローカ リ ゼーシ ョ ン こ の項はヘルプのみを目的 と し てい ま す。残 り の カ ス タ マ イ ズ情報については、AnyConnect 管理 者ガ イ ド を参照 し て く だ さ い。 AnyConnect VPN ク ラ イ ア ン ト を カ ス タ マ イ ズ し て、リ モー ト ユーザに、会社の イ メ ージ を表示 で き ま す。[AnyConnect Customization/Localization] の フ ィ ール ド を使用すれば、次の タ イ プの カ ス タ マ イ ズ さ れた フ ァ イ ル を イ ン ポー ト す る こ と がで き ま す。 • [Resources]:AnyConnect ク ラ イ ア ン ト の変更 さ れた GUI ア イ コ ン。 • [Binary]:AnyConnect イ ン ス ト ー ラ に代わ る 実行可能 フ ァ イ ル。こ れには、GUI フ ァ イ ルのほ か、VPN ク ラ イ ア ン ト プ ロ フ ァ イ ル、ス ク リ プ ト 、その他の ク ラ イ ア ン ト フ ァ イ ルが含 ま れ ま す。 • [Script]:AnyConnect が VPN 接続 を確立す る 前 ま たは後に実行す る ス ク リ プ ト 。 • [GUI Text and Messages]:AnyConnect ク ラ イ ア ン ト で使用 さ れ る タ イ ト ルお よ び メ ッ セージ。 • [Customized Installer]: ク ラ イ ア ン ト の イ ン ス ト ール を変更す る ト ラ ン ス フ ォ ーム。 • [Localized Installer]: ク ラ イ ア ン ト で使用 さ れ る 言語を変更す る ト ラ ン ス フ ォ ーム。 各ダ イ ア ロ グ では次の ア ク シ ョ ン を実行で き ま す。 • [Import] を ク リ ッ ク す る と 、[Import AnyConnect Customization Objects] ダ イ ア ロ グ が起動 し ま す。こ のダ イ ア ロ グ では、オブジ ェ ク ト と し て イ ン ポー ト す る フ ァ イ ル を指定で き ま す。 • [Export] を ク リ ッ ク す る と 、[Export AnyConnect Customization Objects] ダ イ ア ロ グ が起動 し ま す。こ のダ イ ア ロ グ では、オブジ ェ ク ト と し て エ ク ス ポー ト す る フ ァ イ ル を指定で き ま す。 • [Delete] を ク リ ッ ク す る と 、選択 し たオブジ ェ ク ト が削除 さ れ ま す。 AnyConnect のカ ス タ マ イズ と ローカ リ ゼーシ ョ ン、リ ソ ース イ ン ポー ト す る カ ス タ ム コ ン ポーネ ン ト の フ ァ イ ル名は、AnyConnect GUI で使用 さ れ る フ ァ イ ル名 と 一致 し てい る 必要が あ り ま す。こ れはオペ レ ーテ ィ ン グ シ ス テ ム に よ っ て異な り 、Mac お よ び Linux では大文字 と 小文字が区別 さ れ ま す。た と えば、Windows ク ラ イ ア ン ト 用の企業 ロ ゴ を置 き 換え る には、独自の企業 ロ ゴ を company_logo.png と し て イ ン ポー ト す る 必要が あ り ま す。 別の フ ァ イ ル名で イ ン ポー ト す る と 、AnyConnect イ ン ス ト ー ラ はその コ ン ポーネ ン ト を変更 し ま せん。ただ し 、独自の実行 フ ァ イ ル を展開 し て GUI を カ ス タ マ イ ズす る 場合は、その実行 フ ァ イ ルか ら 任意の フ ァ イ ル名の リ ソ ー ス フ ァ イ ル を呼び出す こ と がで き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-98 第3章 一般的な VPN 設定 AnyConnect のカ ス タ マ イ ズ と ロー カ リ ゼーシ ョ ン イ メ ージ を ソ ース フ ァ イ ル と し て(た と えば、company_logo.bmp) イ ン ポー ト す る場合、イ ン ポー ト し た イ メ ージは、同 じ フ ァ イ ル名を使用 し て別の イ メ ージ を再 イ ン ポー ト する ま で、AnyConnect を カ ス タ マ イ ズ し ます。た と えば、company_logo.bmp を カ ス タ ム イ メ ージに置き換えて、こ の イ メ ー ジ を削除する場合、同 じ フ ァ イ ル名を使用 し て新 し い イ メ ージ(ま たは元のシ ス コ ロ ゴ イ メ ージ) を イ ン ポー ト する ま で、ク ラ イ ア ン ト は こ の イ メ ージの表示を継続 し ます。 AnyConnect の カ ス タ マ イ ズ と ロ ー カ リ ゼーシ ョ ン 、バ イ ナ リ と スク リプ ト ES - The same help link is used in ASDM for both Binary and Script, so share this link for now, and submit a defect against ASDM to have them add another link. [AnyConnect Customization/Localization] > [Binary] Windows、Linux、ま たは Mac(PowerPC ま たは Intel ベー ス ) コ ン ピ ュ ー タ の場合、AnyConnect ク ラ イ ア ン ト API を使用す る 独自の ク ラ イ ア ン ト を展開で き ま す。ク ラ イ ア ン ト のバ イ ナ リ フ ァ イ ル を置 き 換え る こ と に よ っ て、AnyConnect GUI お よ び AnyConnect CLI を置 き 換え ま す。 [Import] ダ イ ア ロ グ の フ ィ ール ド は次の と お り です。 • [Name]:置 き 換え る AnyConnect フ ァ イ ルの名前を入力 し ま す。 • [Platform]:フ ァ イ ル を実行す る OS プ ラ ッ ト フ ォ ーム を選択 し ま す。 • [Select a file]:フ ァ イ ル名は、イ ン ポー ト す る フ ァ イ ルの名前 と 同 じ にす る 必要はあ り ま せん。 [AnyConnect Customization/Localization] > [Script] ス ク リ プ ト の展開 と ス ク リ プ ト の制限事項の詳細については、『AnyConnect VPN Client Administrators Guide』を参照 し て く だ さ い。 [Import] ダ イ ア ロ グ の フ ィ ール ド は次の と お り です。 • [Name]: ス ク リ プ ト の名前を入力 し ま す。名前には正 し い拡張子を指定 し て く だ さ い。た と えば、myscript.bat な ど です。 • [Script Type]: ス ク リ プ ト を実行す る タ イ ミ ン グ を選択 し ま す。 AnyConnect に よ っ て、ASA で フ ァ イ ルを ス ク リ プ ト と し て識別で き る よ う に、プ レ フ ィ ッ ク ス scripts_ と プ レ フ ィ ッ ク ス OnConnect ま たは OnDisconnect がユーザの フ ァ イ ル名に追加 さ れ ます。ク ラ イ ア ン ト が接続す る と 、ASA は、リ モー ト コ ン ピ ュ ー タ 上の適切な タ ーゲ ッ ト デ ィ レ ク ト リ に ス ク リ プ ト を ダ ウ ン ロ ー ド し 、scripts_ プ レ フ ィ ッ ク ス を削除 し 、OnConnect プ レ フ ィ ッ ク ス ま たは OnDisconnect プ レ フ ィ ッ ク ス を その ま ま残 し ます。た と えば、myscript.bat ス ク リ プ ト を イ ン ポー ト す る 場合、ス ク リ プ ト は、ASA 上では scripts_OnConnect_myscript.bat と な り ます。リ モー ト コ ン ピ ュ ー タ 上では、ス ク リ プ ト は OnConnect_myscript.bat と な り ます。 ス ク リ プ ト の実行の信頼性を確保す る ために、すべての ASA で同 じ ス ク リ プ ト を展開す る よ う に設定 し ま す。ス ク リ プ ト を修正 ま たは置換す る 場合は、旧バージ ョ ン と 同 じ 名前を使 用 し 、ユーザが接続す る 可能性の あ る すべての ASA に置換 ス ク リ プ ト を割 り 当て ま す。ユー ザが接続す る と 、新 し い ス ク リ プ ト に よ り 同 じ 名前の ス ク リ プ ト が上書 き さ れ ま す。 • [Platform]:フ ァ イ ル を実行す る OS プ ラ ッ ト フ ォ ーム を選択 し ま す。 • [Select a file]:フ ァ イ ル名は、ス ク リ プ ト に対 し て指定 し た名前 と 同 じ にする必要はあ り ません。 ASDM に よ っ て フ ァ イ ルが ソ ー ス フ ァ イ ルか ら イ ン ポー ト さ れ、[Name] に対 し て指定 し た 新 し い名前が作成 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-99 第3章 一般的な VPN 設定 AnyConnect のカ ス タ マ イ ズ と ロー カ リ ゼーシ ョ ン AnyConnect の カ ス タ マ イ ズ と ロ ー カ リ ゼーシ ョ ン 、GUI テ キス ト と メ ッ セージ デフ ォル ト の変換テーブルを編集する か、ま たは新し いテーブルを作成し て、AnyConnect ク ラ イ アン ト GUI に表示さ れる テキ ス ト と メ ッ セージを変更で き ます。こ のペイ ンは、[Language Localization] ペ イ ン と 同じ機能を持ち ます。よ り 高度な言語変換については、[Configuration] > [Remote Access VPN] > [Language Localization] に移動し ます。 上部 ツールバーに あ る 通常のボ タ ン に加え て、こ のペ イ ン には [Add] ボ タ ン と 、追加のボ タ ン を 備え た [Template] 領域 も あ り ま す。 [Add]:[Add] ボ タ ン を ク リ ッ ク す る と デ フ ォ ル ト の変換テーブルの コ ピ ーが開 き 、直接編集す る か保存す る こ と がで き ま す。保存 フ ァ イ ルの言語を選択 し 、フ ァ イ ル内のテ キ ス ト の言語を後で 編集す る こ と がで き ま す。 変換テーブルの メ ッ セージ を カ ス タ マ イ ズす る 場合、msgid は変更 し ないで く だ さ い。msgstr 内のテ キ ス ト を変更 し ま す。 テ ン プ レ ー ト の言語を指定 し ま す。テ ン プ レ ー ト はキ ャ ッ シ ュ メ モ リ 内の変換テーブルにな り 、指定 し た名前が付 き ま す。ブ ラ ウ ザの言語オプシ ョ ン と 互換性の あ る 短縮形を使用 し て く だ さ い。た と えば、中国語のテーブル を作成す る と き に IE を使用 し てい る 場合は、IE に よ っ て認識 さ れ る zh と い う 略語を使用 し ま す。 [Template] セ ク シ ョ ン • デ フ ォ ル ト の英語変換テーブルへの ア ク セ ス を提供す る テ ン プ レ ー ト 領域を展開す る には、 [Template] を ク リ ッ ク し ま す。 • デ フ ォ ル ト の英語変換テーブル を表示 し 、必要に応 じ て保存す る には、[View] を ク リ ッ ク し ま す。 • デ フ ォ ル ト の英語変換テーブルの コ ピ ーを表示せずに保存す る には、[Export] を ク リ ッ ク し ま す。 AnyConnect のカ ス タ マ イズ と ローカ リ ゼーシ ョ ン、カ ス タ マ イズ さ れた イ ンス ト ーラ ト ラ ンス フ ォーム 作成 し た独自の ト ラ ン ス フ ォ ーム を、ク ラ イ ア ン ト イ ン ス ト ー ラ プ ロ グ ラ ム を使用 し て展開す る こ と に よ っ て、AnyConnect ク ラ イ ア ン ト GUI を大幅に カ ス タ マ イ ズす る こ と がで き ま す (Windows のみ)。ト ラ ン ス フ ォ ーム を ASA に イ ン ポー ト す る と 、イ ン ス ト ー ラ プ ロ グ ラ ム を使 用 し て展開 さ れ ま す。 ト ラ ン ス フ ォ ーム の適用先 と し て選択で き る のは Windows だけです。ト ラ ン ス フ ォ ーム の詳細 については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照 し て く だ さ い。 AnyConnect のカ ス タ マ イズ と ローカ リ ゼーシ ョ ン、ローカ ラ イズ さ れた イ ンス ト ーラ ト ラ ンス フ ォーム ト ラ ン ス フ ォ ーム を使用 し て、ク ラ イ ア ン ト イ ン ス ト ー ラ プ ロ グ ラ ム に表示 さ れ る メ ッ セージ を翻訳で き ま す。ト ラ ン ス フ ォ ーム に よ っ て イ ン ス ト レ ーシ ョ ン が変更 さ れ ま すが、元のセ キ ュ リ テ ィ 署名 MSI は変化 し ま せん。こ れ ら の ト ラ ン ス フ ォ ーム では イ ン ス ト ー ラ 画面だけが翻訳 さ れ、ク ラ イ ア ン ト GUI 画面は翻訳 さ れ ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-100 第3章 一般的な VPN 設定 AnyConnect 3.1 の AnyConnect Essentials AnyConnect 3.1 の AnyConnect Essentials AnyConnect Essentials は別個に ラ イ セ ン ス さ れた SSL VPN ク ラ イ ア ン ト で、ASA全体で設定 さ れてお り 、次を除いて、完全な AnyConnect 機能を提供 し てい ま す。 • ク ラ イ ア ン ト レ ス SSL VPN な し • オプ シ ョ ン の Windows Mobile のサポー ト (Windows Mobile ラ イ セ ン ス の AnyConnect が必要 です。 AnyConnect Essentials ク ラ イ ア ン ト は、Microsoft Windows Vista、Windows Mobile、Windows XP、 Windows 2000、Linux、ま たは Macintosh OS X を実行 し てい る リ モー ト エ ン ド ユーザに Cisco SSL VPN Client の利点を も た ら し ま す。 AnyConnect Essentials を イ ネーブルにする には、[AnyConnect Essentials] ペイ ンの [Enable AnyConnect Essentials] チェ ッ ク ボ ッ ク ス をオンに し ます。こ のペイ ンは AnyConnect Essentials ラ イ セン スが ASA に イ ン ス ト ール さ れてい る場合にだけ表示 さ れます。 AnyConnect Essentials が イ ネーブル さ れ る と 、AnyConnect ク ラ イ ア ン ト は Essentials モー ド を使 用 し 、ク ラ イ ア ン ト レ ス SSL VPN ア ク セ ス がデ ィ セーブル さ れ ま す。AnyConnect Essentials が デ ィ セーブル さ れ る と 、AnyConnect ク ラ イ ア ン ト は完全な AnyConnect SSL VPN Client を使用 し ま す。 注 [Configuration] > [Device Management] > [Licensing] > [Activation Key pane simply] の AnyConnect Essentials ラ イ セ ン ス に関す る ス テー タ ス 情報には、AnyConnect Essential ラ イ セ ン ス が イ ン ス ト ール さ れてい る か ど う かが反映 さ れ ま す。[Enable AnyConnect Essentials License] チ ェ ッ ク ボ ッ ク ス の設定は こ の ス テー タ ス に反映 さ れ ま せん。 デバ イ ス への ア ク テ ィ ブな ク ラ イ ア ン ト レ ス セ ッ シ ョ ン が あ る 場合、AnyConnect Essentials モー ド を イ ネーブルにで き ま せん。SSL VPN セ ッ シ ョ ン の詳細を表示す る には、[SSL VPN Sessions] セ ク シ ョ ン の [Monitoring] > [VPN] > [VPN Sessions] リ ン ク を ク リ ッ ク し ま す。[Monitoring] > [VPN] > [VPN] > [VPN Statistics] > [Sessions] ペ イ ン が開 き ま す。セ ッ シ ョ ン の詳細を表示す る に は、[Filter By: Clientless SSL VPN] を選択 し て [Filter] を ク リ ッ ク し ま す。セ ッ シ ョ ン の詳細が表 示 さ れ ま す。 セ ッ シ ョ ン の詳細は表示せず、現在ア ク テ ィ ブな SSL VPN セ ッ シ ョ ン の数を表示す る には、 [Check Number of Clientless SSL Sessions] を オ ン に し ま す。SSL VPN セ ッ シ ョ ン の数が 0 の場合、 AnyConnect Essential を イ ネーブルにで き ま す。 注 AnyConnect Essential が イ ネーブルにな っ てい る 場合、Secure Desktop は機能 し ま せん。ただ し 、 Secure Desktop を イ ネーブルにす る 場合は AnyConnect Essential をデ ィ セーブルにで き ま す。 IPsec VPN ク ラ イ ア ン ト ソ フ ト ウ ェ ア 注 VPN ク ラ イ ア ン ト は耐用年数末期で、サポー ト が終了 し てい ま す。VPN ク ラ イ ア ン ト の設定に ついては、ASA バージ ョ ン 9.2 に関す る ASDM のマ ニ ュ アル を参照 し て く だ さ い。AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト に ア ッ プ グ レ ー ド す る こ と を推奨 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-101 第3章 一般的な VPN 設定 Zone Labs Integrity Server Zone Labs Integrity Server [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Zone Labs Integrity Server] パネル を使用すれば、Zone Labs Integrity サーバ を サポー ト す る よ う に ASA を設定す る こ と がで き ま す。こ のサーバは、プ ラ イ ベー ト ネ ッ ト ワ ー ク にア ク セ ス す る リ モー ト ク ラ イ ア ン ト でセ キ ュ リ テ ィ ポ リ シーを適用す る 目的で設計 さ れた Integrity System と い う シ ス テ ム の一部です。本質的には、ASAが、フ ァ イ ア ウ ォ ール サーバに対す る ク ラ イ ア ン ト PC のプ ロ キ シ と し て機能 し 、Integrity ク ラ イ ア ン ト と Integrity サーバ間で必要なすべて の Integrity 情報を リ レ ー し ま す。 注 現在の リ リ ー ス のセ キ ュ リ テ ィ ア プ ラ イ ア ン ス では同時に 1 台の Integrity サーバのみがサポー ト さ れてい ま すが、ユーザ イ ン タ ー フ ェ イ ス では最大 5 台の Integrity サーバの設定がサポー ト さ れてい ま す。ア ク テ ィ ブなサーバに障害が発生 し た場合は、ASA上で別の Integrity サーバ を設 定 し て、ク ラ イ ア ン ト VPN セ ッ シ ョ ン を再確立 し て く だ さ い。 • [Server IP address]:Integrity Server の IP ア ド レ ス を入力 し ま す。ド ッ ト 付 き 10 進数を使用 し ま す。 • [Add]:新 し いサーバ IP ア ド レ ス を Integrity Server の リ ス ト に追加 し ま す。こ のボ タ ン は、 Server IP ア ド レ ス フ ィ ール ド に ア ド レ ス が入力 さ れ る と ア ク テ ィ ブにな り ま す。 • [Delete]:選択 し たサーバ を Integrity Server リ ス ト か ら 削除 し ま す。 • [Move Up]:選択 し たサーバ を Integrity Server の リ ス ト 内で上に移動 し ま す。こ のボ タ ン は、 リ ス ト にサーバが 1 台以上存在す る 場合にだけ使用で き ま す。 • [Move Down]:選択 し たサーバ を Integrity Server の リ ス ト 内で下に移動 し ま す。こ のボ タ ン は、リ ス ト にサーバが 1 台以上存在す る 場合にだけ使用で き ま す。 • [Server Port]:ア ク テ ィ ブ な Integrity サーバ を リ ッ ス ンす る ASAのポー ト 番号を入力 し ま す。 こ の フ ィ ール ド は、Integrity Server の リ ス ト にサーバが少な く と も 1 台以上存在す る 場合に だけ使用で き ま す。デ フ ォ ル ト ポー ト 番号は 5054、範囲は 10 ~ 10000 です。こ の フ ィ ール ド は、Integrity Server リ ス ト 内にサーバが存在す る 場合にだけ使用で き ま す。 • [Interface]:ア ク テ ィ ブ な Integrity Server と 通信す る ASA イ ン タ ー フ ェ イ ス を選択 し ま す。こ の イ ン タ ー フ ェ イ ス 名 メ ニ ュ ーは、Integrity Server リ ス ト 内にサーバが存在す る 場合にだけ 使用で き ま す。 • [Fail Timeout]:ASAが、ア ク テ ィ ブ な Integrity Server に到達不能で あ る こ と を宣言す る ま で の待機秒数を入力 し ま す。デ フ ォ ル ト は 10 で、範囲は、5 ~ 20 です。 • [SSL Certificate Port]:SSL 認証で使用す る ASA のポー ト を指定 し ま す。デ フ ォ ル ト のポー ト は 80 です。 • [Enable SSL Authentication]:ASAに よ る リ モー ト ク ラ イ ア ン ト の SSL 証明書の認証 を イ ネーブルにす る 場合にオ ン に し ま す。デ フ ォ ル ト では、ク ラ イ ア ン ト SSL 認証はデ ィ セーブ ルに な っ て い ま す。 • [Close connection on timeout]: タ イ ム ア ウ ト 時に、ASA と Integrity Server 間の接続を終了す る 場合にオ ン に し ま す。デ フ ォ ル ト では、接続が維持 さ れ ま す。 • [Apply]:設定を実行 し てい る ASAに Integrity Server 設定を適用 し ま す。 • [Reset]: ま だ適用 さ れてい ない Integrity Server 設定の変更を削除 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-102 第3章 一般的な VPN 設定 ISE ポ リ シーの適用 ISE ポ リ シーの適用 Cisco Identity Services Engine(ISE)は、セ キ ュ リ テ ィ ポ リ シー管理お よ び制御プ ラ ッ ト フ ォ ーム です。有線、ワ イ ヤ レ ス 、VPN 接続の ア ク セ ス 制御 と セ キ ュ リ テ ィ コ ン プ ラ イ ア ン ス を自動化 し 、シ ン プルに し ま す。Cisco ISE は主に、Cisco TrustSec と 連携 し て セ キ ュ ア な ア ク セ ス お よ びゲ ス ト ア ク セ ス を提供 し 、BYOD に対す る 取 り 組みを サポー ト し 、使用ポ リ シーを適用す る ために 使用 さ れ ま す。 ISE Change of Authorization(CoA)機能は、認証、認可、お よ びア カ ウ ン テ ィ ン グ(AAA)セ ッ シ ョ ン の属性を、セ ッ シ ョ ン確立後に変更す る ための メ カ ニ ズ ム を提供 し ます。AAA のユーザ ま たは ユーザ グループのポ リ シーを変更す る と 、ISE か ら ASA へ CoA パケ ッ ト を直接送信 し て認証を 再初期化 し 、新 し いポ リ シーを適用で き ま す。イ ン ラ イ ン ポ ス チ ャ 実施ポ イ ン ト (IPEP)で、ASA と 確立 さ れた各 VPN セ ッ シ ョ ン のア ク セ ス コ ン ト ロ ール リ ス ト (ACL)を適用す る 必要がな く な り ま し た。 ISE ポ リ シーの適用は、次の VPN ク ラ イ ア ン ト でサポー ト さ れてい ま す。 • IPSec • AnyConnect • L2TP/IPSec シ ス テ ム フ ロ ーは次の と お り です。 注 1. エ ン ド ユーザが VPN 接続を要求 し ま す。 2. ASA は、ISE に対 し て ユーザ を認証 し 、ネ ッ ト ワ ー ク への限定ア ク セ ス を提供す る ユーザ ACL を受け取 り ま す。 3. ア カ ウ ン テ ィ ン グ開始 メ ッ セージが ISE に送信 さ れ、セ ッ シ ョ ン が登録 さ れ ま す。 4. ポ ス チ ャ ア セ ス メ ン ト が NAC エージ ェ ン ト と ISE 間で直接行われ ま す。こ のプ ロ セ ス は、 ASA に透過的です。 5. ISE が CoA の「ポ リ シー プ ッ シ ュ 」を介 し て ASA にポ リ シーの更新を送信 し ま す。こ れに よ り 、ネ ッ ト ワ ー ク ア ク セ ス 権限を高め る 新 し いユーザ ACL が識別 さ れ ま す。 後続の CoA 更新を介 し 、接続の ラ イ フ タ イ ム中に追加のポ リ シー評価が ASA に透過的に行われ る 場合が あ り ま す。 認可変更のための AAA サーバ グループの設定 次の手順は、認可変更の設定例です。 ステ ッ プ 1 ASDM で、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] を 選択 し ま す。 • RADIUS プ ロ ト コ ル を使用す る AAA サーバ グループ を作成す る か、既存の AAA サーバ グ ループ を編集 し ま す。 • [Accounting Mode] と し て [Single] を選択 し ま す。 • [Reactivation Mode] と し て [Depletion] を選択 し ま す。 • [Dead Time] フ ィ ール ド に 10 と 入力 し ま す。 • [Max Failed Attempts] フ ィ ール ド に 3 と 入力 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-103 第3章 一般的な VPN 設定 ISE ポ リ シーの適用 • [Enable Interim Accounting Update] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 • [Update Interval] フ ィ ール ド に 1 と 入力 し ま す。 • [Enable Active Directory Agent Mode] チ ェ ッ ク ボ ッ ク ス がオ フ にな っ てい る こ と を確認 し ます。 • [Enable Dynamic Authorization] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 • [Dynamic Authorization Port] フ ィ ール ド に 1700 と 入力 し ま す。 • [Use Authorization Only Mode] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 ステ ッ プ 2 [OK] を ク リ ッ ク し て変更を適用 し ま す。ま たは、[Cancel] を ク リ ッ ク し て変更を破棄 し ま す。 ステ ッ プ 3 (オプ シ ョ ン)AnyConnect を使用 し てい る 場合は、必要な ト ン ネル グループの [AnyConnect Connection Profile] 画面に移動 し て、接続プ ロ フ ァ イ ルで ト ン ネル グループ URL を指定 し ま す。 ステ ッ プ 4 • [Group URLs] セ ク シ ョ ン で [Add] を ク リ ッ ク し 、http://10.10.10.4/ISE-Tunnel-Group な ど の URL を入力 し ま す。 • [Enabled] チ ェ ッ ク ボ ッ ク ス がオ ン にな っ てい る こ と を確認 し ま す。 [OK] を ク リ ッ ク し て変更を適用 し ま す。 詳細については、一般的な操作の コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド の「AAA の RADIUS サーバの 設定」の章を参照 し て く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 3-104 CH A P T E R 4 VPN の IP ア ド レ ス IP ア ド レ スの割 り 当てポ リ シーの設定 ASAでは、リ モー ト ア ク セ ス ク ラ イ ア ン ト に IP ア ド レ ス を割 り 当て る 際に、次の 1 つ以上の方 式を使用す る こ と がで き ま す。 複数の ア ド レ ス 割 り 当て方式を設定す る と 、ASAは IP ア ド レ ス が見つか る ま で各オプシ ョ ン を検索 し ま す。 デ フ ォ ル ト では、すべての方式が イ ネーブルにな っ てい ま す。 • [Use authentication server]:ユーザ単位で外部認証、認可、ア カ ウ ン テ ィ ン グ サーバか ら ア ド レ ス を取得 し ま す。 IP ア ド レ ス が設定 さ れた認証サーバ を使用 し てい る 場合は、こ の方式を 使用す る こ と をお勧め し ま す。 [Configuration] > [AAA Setup] ペ イ ン で AAA サーバ を設定で き ま す。こ の方法は IPv4 お よ び IPv6 の割 り 当て ポ リ シーに使用で き ま す。 • [Use DHCP]:DHCP サーバか ら IP ア ド レ ス を取得 し ま す。 DHCP を使用す る 場合は、DHCP サーバ を設定す る 必要が あ り ま す。 ま た、DHCP サーバで使用可能な IP ア ド レ ス の範囲 も 定 義す る 必要が あ り ま す。 DHCP を使用す る 場合は、[Configuration] > [Remote Access VPN] > [DHCP Server] ペ イ ン でサーバ を設定 し ま す。 こ の方法は IPv4 の割 り 当て ポ リ シーに使用で き ま す。 • [Use an internal address pool]:内部的に設定さ れたア ド レ ス プールは、最も設定が簡単なア ド レ ス プール割 り 当て方式です。 こ の方法を使用する場合は、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Address Pools] ペイ ンで IP ア ド レ ス プールを設定 し ます。 こ の方法は IPv4 および IPv6 の割 り 当てポ リ シーに使用で き ます。 – [Allow the reuse of an IP address so many minutes after it is released]:IP ア ド レ ス が ア ド レ ス プールに戻 さ れた後に、IP ア ド レ ス を再利用す る ま での時間を指定 し ま す。 遅延時間 を設け る こ と に よ り 、IP ア ド レ ス がす ぐ に再割 り 当て さ れ る こ と に よ っ て発生す る 問題 が フ ァ イ ア ウ ォ ールで生 じ ない よ う にで き ま す。 デ フ ォ ル ト では、こ れはチ ェ ッ ク さ れ ま せん。つ ま り 、ASA は遅延時間を課 し ま せん。 遅延時間を設定す る 場合は、チ ェ ッ ク ボ ッ ク ス を オ ン に し 、IP ア ド レ ス を再割 り 当てす る ま での時間を 1 ~ 480 の範囲で指定 し ま す。こ の設定要素は IPv4 の割 り 当て ポ リ シーに使用で き ま す。 次の方法のいずれか を使用 し て、IP ア ド レ ス を リ モー ト ア ク セ ス ク ラ イ ア ン ト に割 り 当て る 方 法を指定 し ま す。 • IP ア ド レ ス 割 り 当て オプ シ ョ ン の設定 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 4-1 第4章 VPN の IP ア ド レ ス IP ア ド レ スの割 り 当てポ リ シーの設定 IP ア ド レ ス割 り 当てオプシ ョ ンの設定 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Assignment Policy] を選択 し ま す。 ステ ッ プ 2 [IPv4 Policy] エ リ ア で、ア ド レ ス 割 り 当て方式を オ ン に し て有効にす る か、オ フ に し て無効に し ま す。 次の方法は、デ フ ォ ル ト で有効にな っ てい ま す。 • [Use Authentication server]: IP ア ド レ ス を提供す る ために設定 し た認証、許可、ア カ ウ ン テ ィ ン グ(AAA)サーバを使用で き る よ う に し ま す。 • [Use DHCP]: IP ア ド レ ス を提供す る ために設定 し た ダ イ ナ ミ ッ ク ホ ス ト コ ン フ ィ ギ ュ レ ー シ ョ ン プ ロ ト コ ル(DHCP)サーバ を使用で き る よ う に し ま す。 • [Use internal address pools]:ASA で設定 さ れた ロ ーカ ル ア ド レ ス プール設定 を 使用で き る よ う に し ま す。 [Use internal address pools] を有効にす る 場合、IPv4 ア ド レ ス が解放 さ れた後、その ア ド レ ス の再 利用を有効にで き ま す。 You can specify a range of minutes from 0-480 after which the IP v4 address can be reused. ステ ッ プ 3 [IPv6 Policy] エ リ ア で、ア ド レ ス 割 り 当て方式を オ ン に し て有効にす る か、オ フ に し て無効に し ま す。 次の方法は、デ フ ォ ル ト で有効にな っ てい ま す。 • [Use Authentication server]: IP ア ド レ ス を提供す る ために設定 し た認証、許可、ア カ ウ ン テ ィ ン グ(AAA)サーバを使用で き る よ う に し ま す。 • [Use internal address pools]:ASA で設定 さ れた ロ ーカ ル ア ド レ ス プール設定 を 使用で き る よ う に し ま す。 ステ ッ プ 4 [Apply] を ク リ ッ ク し ま す。 ステ ッ プ 5 [OK] を ク リ ッ ク し ま す。 モー ド 次の表は、こ の機能を使用で き る モー ド を示 し た も のです。 フ ァ イ アウ ォ ール モー ド セキ ュ リ テ ィ コ ン テキス ト マルチ ルーテ ッ ド Transparent シ ン グル • — • コ ン テキ スト シ ス テム — — ア ド レ ス割 り 当て方式の表示 ASA で設定 さ れてい る ア ド レ ス割 り 当て方式を表示す る には、次のいずれかの方式を使用 し ます。 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Assignment Policy] の順に選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 4-2 第4章 VPN の IP ア ド レ ス ロー カル IP ア ド レ ス プールの設定 ローカル IP ア ド レ ス プールの設定 VPN リ モー ト ア ク セ ス ト ン ネルに対 し て IPv4 ま たは IPv6 ア ド レ ス プールを設定する には、ASDM を開き、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Management] > [Address Pools] > [Add/Edit IP Pool] を選択 し ます。 ア ド レ ス プールを削除する には、ASDM を開 き、 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Management] > [Address Pools] を選択 し ます。 削除する ア ド レ ス プールを選択 し 、[Delete] を ク リ ッ ク し ます。 ASA は、接続の接続プ ロ フ ァ イ ル ま たはグループ ポ リ シーに基づいて ア ド レ ス プール を使用 し ま す。 プールの指定順序は重要です。 接続プ ロ フ ァ イ ル ま たはグループ ポ リ シーに複数の ア ド レ ス プール を設定す る 場合、ASA はそれ ら を ASA に追加 し た順序で使用 し ま す。 ロ ーカルで ないサブネ ッ ト の ア ド レ ス を割 り 当て る 場合は、その よ う な ネ ッ ト ワ ー ク 用のルー ト の追加が容易にな る よ う に、サブネ ッ ト の境界を担当す る プール を追加す る こ と をお勧め し ま す。 ローカル IPv4 ア ド レ ス プールの設定 [IP Pool] エ リ ア には、設定 さ れた ア ド レ ス プールが、名前ご と に、それぞれの IP ア ド レ ス 範囲 (た と えば、10.10.147.100 ~ 10.10.147.177) と と も に表示 さ れ ま す。 プールが存在 し ない場合、エ リ アは空です。 ASAは、リ ス ト に表示 さ れ る 順番で こ れ ら のプール を使用 し ま す。最初のプール のすべての ア ド レ ス が割 り 当て ら れ る と 、次のプールの ア ド レ ス が使用 さ れ、以下同様に処理 さ れ ま す。 ロ ーカルで ないサブネ ッ ト の ア ド レ ス を割 り 当て る 場合は、その よ う な ネ ッ ト ワ ー ク 用のルー ト の追加が容易にな る よ う に、サブネ ッ ト の境界を担当す る プール を追加す る こ と をお勧め し ま す。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Address Pools] を選択 し ま す。 ステ ッ プ 2 IPv4 ア ド レ ス を追加す る には、[Add] > [IPv4 Address pool] を ク リ ッ ク し ま す。 既存の ア ド レ ス プール を編集す る には、ア ド レ ス プール テーブルで、[Edit] を ク リ ッ ク し ま す。 ステ ッ プ 3 [Add/Edit IP Pool] ダ イ ア ロ グ ボ ッ ク ス で、次の情報を入力 し ま す。 • [Pool Name]:ア ド レ ス プールの名前 を入力 し ま す。 最大 64 文字を指定で き ま す。 • [Starting Address]:設定 さ れた それぞれのプールで使用可能な最初の IP ア ド レ ス を示 し ま す。 た と えば 10.10.147.100 の よ う に、ド ッ ト 付 き 10 進数表記を使用 し ま す。 • [Ending Address]:設定 さ れた それぞれのプールで使用可能な最後の IP ア ド レ ス を示 し ま す。 た と えば 10.10.147.177 の よ う に、ド ッ ト 付 き 10 進数表記を使用 し ま す。 • [Subnet Mask]: こ の IP ア ド レ ス が常駐す る サブネ ッ ト を指定 し ま す。 ステ ッ プ 4 [Apply] を ク リ ッ ク し ま す。 ステ ッ プ 5 [OK] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 4-3 第4章 VPN の IP ア ド レ ス ロー カル IP ア ド レ ス プールの設定 ローカル IPv6 ア ド レ ス プールの設定 [IP Pool] エ リ ア には、設定 さ れた ア ド レ ス プールが、名前ご と に、開始 IP ア ド レ ス 範囲、ア ド レ ス プ レ フ ィ ッ ク ス 、プールに設定で き る ア ド レ ス 数 と と も に表示 さ れ ま す。 プールが存在 し な い場合、エ リ アは空です。 ASAは、リ ス ト に表示 さ れ る 順番で こ れ ら のプール を使用 し ま す。最初 のプールのすべての ア ド レ ス が割 り 当て ら れ る と 、次のプールの ア ド レ ス が使用 さ れ、以下同様 に処理 さ れ ま す。 ローカルでないサブネ ッ ト のア ド レ ス を割 り 当て る場合は、その よ う なネ ッ ト ワー ク 用のルー ト の追 加が容易にな る よ う に、サブネ ッ ト の境界を担当する プールを追加する こ と をお勧め し ます。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Address Pools] を選択 し ま す。 ステ ッ プ 2 IPv6 ア ド レ ス を追加す る には、[Add] > [IPv6 Address pool] を ク リ ッ ク し ま す。 既存の ア ド レ ス プール を編集す る には、ア ド レ ス プール テーブルで、[Edit] を ク リ ッ ク し ま す。 ステ ッ プ 3 [Add/Edit IP Pool] ダ イ ア ロ グ ボ ッ ク ス で、次の情報を入力 し ま す。 • [Name]:設定 さ れた各ア ド レ ス プールの名前を表示 し ま す。 • [Starting IP Address]:設定 さ れたプールで使用可能な最初の IP ア ド レ ス を入力 し ま す。 た と えば、2001:DB8::1 と な り ま す。 • [Prefix Length]:IP ア ド レ ス プ レ フ ィ ッ ク ス 長を ビ ッ ト 単位で入力 し ま す。 た と えば、32 は CIDR 表記で /32 を表 し ま す。 プ レ フ ィ ッ ク ス 長は、IP ア ド レ ス が常駐す る プールのサブ ネ ッ ト を定義 し ま す。 • [Number of Addresses]:開始 IP ア ド レ ス か ら 始 ま る 、プールに あ る IPv6 ア ド レ ス の数を指定 し ま す。 ステ ッ プ 4 [Apply] を ク リ ッ ク し ま す。 ステ ッ プ 5 [OK] を ク リ ッ ク し ま す。 グループ ポ リ シーへの内部ア ド レ ス プールの割 り 当て [Add or Edit Group Policy] ダ イ ア ロ グボ ッ ク ス では、追加ま たは編集 し てい る 内部ネ ッ ト ワ ー ク ( ク ラ イ ア ン ト )ア ク セ ス グループ ポ リ シーの ト ン ネ リ ン グ プ ロ ト コ ル、フ ィ ル タ 、接続設定、お よ び サーバを指定で き ます。 こ のダ イ ア ロ グ ボ ッ ク ス の各フ ィ ール ド で、[Inherit] チ ェ ッ ク ボ ッ ク ス を 選択す る と 、対応す る 設定の値をデフ ォ ル ト グループ ポ リ シーか ら 取得で き ます。 [Inherit] は、こ のダ イ ア ロ グボ ッ ク ス の属性すべてのデフ ォ ル ト 値です。 同 じ グ ループ ポ リ シーで IPv4 と IPv6 両方の ア ド レ ス ポ リ シー を 設定で き ま す。 同 じ グ ループ ポ リ シーに両方のバージ ョ ン の IP ア ド レ ス が設定 さ れて い る 場合、IPv4 に設定 さ れた ク ラ イ ア ン ト は IPv4 ア ド レ ス 、IPv6 に設定 さ れた ク ラ イ ア ン ト は IPv6 ア ド レ ス を 取得 し 、IPv4 ア ド レ ス と IPv6 ア ド レ ス 両方に設定 さ れた ク ラ イ ア ン ト は IPv4 ア ド レ ス と IPv6 ア ド レ ス 両方 を 取得 し ま す。 ステ ッ プ 1 ASDM を使用 し て ASA に接続 し 、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択 し ま す。 ステ ッ プ 2 新 し い グループ ポ リ シー ま たは内部ア ド レ ス プールで設定す る グループ ポ リ シーを作成 し 、 [Edit] を ク リ ッ ク し ま す。 [General attributes] ペ イ ンは [group policy] ダ イ ア ロ グで、デフ ォ ル ト で選択 さ れてい ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 4-4 第4章 VPN の IP ア ド レ ス DHCP ア ド レ ス指定の設定 ステ ッ プ 3 [Address Pools] フ ィ ール ド を使用 し て、こ の グループ ポ リ シーの IPv4 ア ド レ ス プール を指定 し ま す。 [Select] を ク リ ッ ク し 、IPv4 ア ド レ ス プール を追加 ま たは編集 し ま す。 ステ ッ プ 4 [IPv6 Address Pools] フ ィ ール ド を使用 し て、こ の グループ ポ リ シーに使用す る IPv6 ア ド レ ス プール を指定 し ま す。 [Select] を ク リ ッ ク し 、IPv6 ア ド レ ス プール を追加 ま たは編集 し ま す。 ステ ッ プ 5 [OK] を ク リ ッ ク し ま す。 ステ ッ プ 6 [Apply] を ク リ ッ ク し ま す。 DHCP ア ド レ ス指定の設定 DHCP を使用 し て VPN ク ラ イ ア ン ト の ア ド レ ス を割 り 当て る には、ま ず DHCP サーバ、お よ び その DHCP サーバで使用可能な IP ア ド レ ス の範囲を設定す る 必要が あ り ま す。 その後、接続プ ロ フ ァ イ ル単位で DHCP サーバ を定義 し ま す。 ま た、オプ シ ョ ン と し て、該当の接続プ ロ フ ァ イ ル ま たはユーザ名に関連付け ら れた グループ ポ リ シー内に、DHCP ネ ッ ト ワ ー ク ス コ ープ も 定 義で き ま す。 こ の ス コ ープは、使用す る IP ア ド レ ス プール を DHCP サーバに指定す る ための、IP ネ ッ ト ワ ー ク 番号 ま たは IP ア ド レ ス です。 次の例では、firstgroup と い う 名前の接続プ ロ フ ァ イ ルに、IP ア ド レ ス 172.33.44.19 の DHCP サーバ を定義 し てい ま す。 ま た、こ の例では、remotegroup と い う グループ ポ リ シーに対 し て、 192.86.0.0 と い う DHCP ネ ッ ト ワ ー ク ス コ ープ も 定義 し てい ま す (remotegroup と い う グループ ポ リ シーは、firstgroup と い う 接続プ ロ フ ァ イ ルに関連付け ら れてい ま す)。 ネ ッ ト ワ ー ク ス コ ー プ を定義 し ない場合、DHCP サーバはア ド レ ス プールの設定順にプール内を探 し て IP ア ド レ ス を割 り 当て ま す。 未割 り 当ての ア ド レ ス が見つか る ま で、プールが順に検索 さ れ ま す。 次の コ ン フ ィ ギ ュ レ ーシ ョ ン には、本来不要な手順が含 ま れてい ま す。こ れ ら は、以前にその接 続プ ロ フ ァ イ ルに名前を付け、接続プ ロ フ ァ イ ル タ イ プ を リ モー ト ア ク セ ス と し て定義 し てい た り 、グループ ポ リ シーに名前を付け、内部 ま たは外部 と し て指定 し ていた場合のためです。 こ れ ら の手順が次の例に記載 さ れてい る のは、こ れ ら の値を設定 し ない限 り 、後続の tunnel-group コ マ ン ド お よ び group-policy コ マ ン ド に ア ク セ ス で き ないので、注意を促すためです。 注意事項 と 制約事項 IPv4 ア ド レ ス を使用 し て、ク ラ イ ア ン ト ア ド レ ス を割 り 当て る DHCP サーバ を識別で き ま す。 DHCP を使用 し た IP ア ド レ スの割 り 当て DHCP サーバ を設定 し てか ら 、DHCP サーバ を使用す る グループ ポ リ シーを作成 し ま す。 その グ ループ ポ リ シーを選択す る と 、DHCP サーバが VPN 接続の ア ド レ ス を割 り 当て ま す。 ステ ッ プ 1 ステ ッ プ 2 DHCP サーバ を設定 し ま す。 DHCP サーバ を使用 し て IPv6 ア ド レ ス を AnyConnect ク ラ イ ア ン ト に割 り 当て る こ と はで き ま せん。 a. ASDM を使用 し て ASA に接続 し ま す。 b. [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Assignment Policy] で DHCP が イ ネーブルにな っ てい る こ と を確認 し ま す。 c. [Configuration] > [Remote Access VPN] > [DHCP Server] を 選択 し て、DHCP サーバ を 設定 し ま す。 グループ ポ リ シーに DHCP IP ア ド レ ス 指定を割 り 当て ま す。 a. [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] を選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 4-5 第4章 VPN の IP ア ド レ ス ロー カル ユーザへの IP ア ド レ スの割 り 当て b. [Connection Profiles] エ リ ア で [Add] ま たは [Edit] を ク リ ッ ク し ま す。 c. 接続プ ロ フ ァ イ ルの設定 ツ リ ーで、[Basic] を ク リ ッ ク し ま す。 d. [Client Address Assignment] エ リ ア で、ク ラ イ ア ン ト に IP ア ド レ ス を割 り 当て る ために使用 す る DHCP サーバの IPv4 ア ド レ ス を入力 し ま す。 た と えば、172.33.44.19 と 指定 し ま す。 e. DHCP ス コ ープ を定義す る ために、接続プ ロ フ ァ イ ルに関連付け ら れた グループ ポ リ シーを 編集 し ま す。 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択 し ま す。 f. 編集す る グループ ポ リ シーを ダ ブル ク リ ッ ク し ま す。 g. 設定 ツ リ ーで、[Servers] を ク リ ッ ク し ま す。 h. 下矢印を ク リ ッ ク し て、[More Options] エ リ ア を拡大表示 し ま す。 i. DHCP ス コ ープの [Inherit] のチ ェ ッ ク を外 し ま す。 j. 使用す る IP ア ド レ ス プール を DHCP サーバに指定す る ための、IP ネ ッ ト ワ ー ク 番号 ま たは IP ア ド レ ス を入力 し ま す。 た と えば、192.86.0.0 と 指定 し ま す。 k. [OK] を ク リ ッ ク し ま す。 l. [Apply] を ク リ ッ ク し ま す。 ローカル ユーザへの IP ア ド レ スの割 り 当て グループ ポ リ シーを使用す る よ う に ロ ーカル ユーザ ア カ ウ ン ト を設定 し 、ま た AnyConnect 属 性を設定す る こ と も で き ま す。 IP ア ド レ ス の他の ソ ー ス に障害が発生 し た場合に、こ れ ら のユー ザ ア カ ウ ン ト が フ ォ ールバ ッ ク を提供す る ので、管理者は引 き 続 き ア ク セ ス で き ま す。 こ こ では、ロ ーカル ユーザのすべての属性を設定す る 方法について説明 し ま す。 前提条件 こ の手順では、既存のユーザ を編集す る 方法について説明 し ま す。 ユーザ を追加す る には、 [Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を選択 し 、[Add] を ク リ ッ ク し ま す。 詳細については、一般的な操作の コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド を参照 し て く だ さ い。 デ フ ォ ル ト では、[Edit User Account] 画面の設定ご と に [Inherit] チ ェ ッ ク ボ ッ ク ス がオ ン にな っ てい ま す。つ ま り 、ユーザ ア カ ウ ン ト は、デ フ ォ ル ト グループ ポ リ シー DfltGrpPolicy のその設定 の値を継承す る と い う こ と です。 各設定内容を上書 き す る 場合は、[Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ に し 、新 し い値を入力 し ま す。 次の「手順の詳細」で、[Edit User Account] 画面の各設定について説明 し てい ま す。 ステ ッ プ 1 ASDM を開始 し 、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を選 択 し ま す。 ステ ッ プ 2 設定す る ユーザ を選択 し 、[Edit] を ク リ ッ ク し ま す。 ステ ッ プ 3 左側のペ イ ン で、[VPN Policy] を ク リ ッ ク し ま す。 ステ ッ プ 4 ユーザの グループ ポ リ シーを指定 し ま す。 ユーザ ポ リ シーは、こ の グループ ポ リ シーの属性を 継承 し ま す。 こ の画面にデ フ ォ ル ト グループ ポ リ シーの設定を継承す る よ う 設定 さ れてい る 他 の フ ィ ール ド が あ る 場合、こ の グループ ポ リ シーで指定 さ れた属性がデ フ ォ ル ト グループ ポ リ シーの属性 よ り 優先 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 4-6 第4章 VPN の IP ア ド レ ス ロー カル ユーザへの IP ア ド レ スの割 り 当て ステ ッ プ 5 ユーザが使用で き る ト ン ネ リ ン グ プ ロ ト コ ル を指定す る か、グループ ポ リ シーか ら 値を継承す る か ど う か を指定 し ま す。 目的の [Tunneling Protocols] チ ェ ッ ク ボ ッ ク ス を オ ン に し 、使用で き る VPN ト ン ネ リ ン グ プ ロ ト コ ル を選択 し ま す。 選択 さ れたプ ロ ト コ ルのみが使用可能にな り ま す。 次の選択肢が あ り ま す。 • (SSL/TLS を利用す る VPN) ク ラ イ ア ン ト レ ス SSL VPN では、Web ブ ラ ウ ザ を使用 し て VPN コ ン セ ン ト レ ー タ へのセ キ ュ ア な リ モー ト ア ク セ ス ト ン ネル を確立 し 、ソ フ ト ウ ェ ア ク ラ イ ア ン ト も ハー ド ウ ェ ア ク ラ イ ア ン ト も 必要 と し ま せん。 ク ラ イ ア ン ト レ ス SSL VPN を使 用す る と 、HTTPS イ ン タ ーネ ッ ト サ イ ト を利用で き る ほ と ん ど すべての コ ン ピ ュ ー タ か ら 、 企業の Web サ イ ト 、Web 対応ア プ リ ケーシ ョ ン、NT/AD フ ァ イ ル共有(Web 対応)、電子 メ ー ル、お よ びその他の TCP ベー ス ア プ リ ケーシ ョ ン な ど 、幅広い企業 リ ソ ー ス に簡単に ア ク セ ス で き る よ う にな り ま す。 • [IPsec IKEv1]:IP セ キ ュ リ テ ィ プ ロ ト コ ル。 IPsec は最 も セ キ ュ ア な プ ロ ト コ ル と さ れてお り 、VPN ト ン ネルのほぼ完全な アーキ テ ク チ ャ を提供 し ま す。 Site-to-Site( ピ ア ツー ピ ア)接 続では IPsec IKEv1 が使用 さ れ ま す。 • [IPsec IKEv2]:AnyConnect Secure Mobility Client 対応の IPsec IKEv2。 IKEv2 を使用 し た IPsec に よ る AnyConnect 接続では、SSL VPN 接続が使用で き る 同 じ 機能セ ッ ト を利用で き ま す。 • L2TP over IPSec では、複数の PC やモバ イ ル PC に採用 さ れてい る 一般的な オペ レ ーテ ィ ン グ シ ス テ ム に付属の VPN ク ラ イ ア ン ト を使用す る リ モー ト ユーザが、パブ リ ッ ク IP ネ ッ ト ワ ー ク を介 し て ASA お よ びプ ラ イ ベー ト 企業ネ ッ ト ワ ー ク へのセ キ ュ ア な接続を確立で き る よ う に し ま す。 注 ステ ッ プ 6 プ ロ ト コ ル を選択 し な か っ た場合は、エ ラ ー メ ッ セージが表示 さ れ ま す。 使用す る フ ィ ル タ (IPv4 ま たは IPv6)を指定す る か、ま たはグループ ポ リ シーの値を継承す る か ど う か を指定 し ま す。 フ ィ ル タ は、ASAを経由 し て着信 し た ト ン ネ リ ン グ さ れたデー タ パケ ッ ト を、送信元ア ド レ ス 、宛先ア ド レ ス 、プ ロ ト コ ルな ど の基準に よ っ て、許可す る か拒否す る か を 決定す る ルールで構成 さ れ ま す。 フ ィ ル タ お よ びルール を設定す る には、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [General] > [More Options] > [Filter] を選択 し ま す。 [Manage] を ク リ ッ ク し て、ACL と ACE を追加、編集、お よ び削除で き る [ACL Manager] ペ イ ン を 表示 し ま す。 ステ ッ プ 7 接続プ ロ フ ァ イル( ト ンネル グループ ロ ッ ク )があ る場合、それを継承する かど う か、ま たは選択し た ト ンネル グループ ロ ッ ク を使用する かど う かを指定し ます。特定の ロ ッ ク を選択する と 、ユーザの リ モー ト ア ク セ スは こ のグループだけに制限さ れます。 [Tunnel Group Lock] では、VPN ク ラ イ アン ト で 設定さ れたグループ と 、そのユーザが割 り 当て られてい る グループが同じ かど う かをチェ ッ クする こ と に よ って、ユーザが制限 さ れます。 同一ではなかった場合、ASAはユーザに よ る接続を禁止し ます。 [Inherit] チェ ッ ク ボ ッ ク スがオフの場合、デフ ォル ト 値は [None] です。 ステ ッ プ 8 [Store Password on Client System] 設定を グループか ら 継承す る か ど う か を指定 し ま す。 [Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ にす る と 、[Yes] お よ び [No] のオプ シ ョ ン ボ タ ン が有効にな り ま す。 [Yes] を ク リ ッ ク す る と 、ロ グ オ ン パ ス ワ ー ド が ク ラ イ ア ン ト シ ス テ ム に保存 さ れ ま す(セ キ ュ リ テ ィ が低下す る おそれの あ る オプシ ョ ン です)。 接続ご と にユーザにパ ス ワ ー ド の入力を求め る よ う にす る には、[No] を ク リ ッ ク し ま す(デ フ ォ ル ト )。 セ キ ュ リ テ ィ を最大限に確保す る ため に も 、パ ス ワ ー ド の保存は 許可 し ない こ と を推奨 し ま す。 ステ ッ プ 9 こ のユーザに適用す る ア ク セ ス 時間ポ リ シーを指定す る 、そのユーザの新 し い ア ク セ ス 時間ポ リ シーを作成す る 、ま たは [Inherit] チ ェ ッ ク ボ ッ ク ス を オ ン の ま ま に し ま す。 デ フ ォ ル ト は [Inherit] です。ま た、[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ の場合のデ フ ォ ル ト は [Unrestricted] です。 [Manage] を ク リ ッ ク し て、[Add Time Range] ダ イ ア ロ グ ボ ッ ク ス を開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス で ア ク セ ス 時間の新規セ ッ ト を指定で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 4-7 第4章 VPN の IP ア ド レ ス ロー カル ユーザへの IP ア ド レ スの割 り 当て ス テ ッ プ 10 ユーザに よ る 同時 ロ グ オ ン数を指定 し ま す。 Simultaneous Logons パ ラ メ ー タ は、こ のユーザに指 定で き る 最大同時 ロ グ オ ン数を指定 し ま す。 デ フ ォ ル ト 値は 3 です。 最小値は 0 で、こ の場合 ロ グ オ ン が無効にな り 、ユーザ ア ク セ ス を禁止 し ま す。 注 最大値を設定て制限 し ておかない同時に多数の接続が許可 さ れ る ため、セ キ ュ リ テ ィ と パ フ ォ ーマ ン ス の低下を招 く おそれが あ り ま す。 ス テ ッ プ 11 ユーザ接続時間の最大接続時間を分で指定 し ま す。 こ こ で指定 し た時間が経過す る と 、シ ス テ ム は接続を終了 し ま す。 最短時間は 1 分、最長時間は 2147483647 分(4000 年超)です。 接続時間を 無制限にす る には、[Unlimited] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す(デ フ ォ ル ト )。 ス テ ッ プ 12 ユーザの ア イ ド ル タ イ ム ア ウ ト を 分で指定 し ま す。 こ の期間、こ のユーザの接続に通信ア ク テ ィ ビ テ ィ が な か っ た場合、シ ス テ ム は接続 を 終了 し ま す。 最短時間は 1 分で、最長時間は 10080 分です。 こ の値は、ク ラ イ ア ン ト レ ス SSL VPN 接続のユーザには適用 さ れ ま せん。 ス テ ッ プ 13 セ ッ シ ョ ン ア ラ ー ト 間隔を設定 し ます。 [Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ にす る と 、自動的に [Default] チ ェ ッ ク ボ ッ ク ス がオ ンにな り ます。 こ れに よ り 、セ ッ シ ョ ン ア ラ ー ト 間隔が 30 分に設 定 さ れ ます。 新 し い値を指定す る 場合は、[Default] チ ェ ッ ク ボ ッ ク ス を オ フ に し て、セ ッ シ ョ ン ア ラ ー ト 間隔(1 ~ 30 分)を分数ボ ッ ク ス で指定 し ます。 ス テ ッ プ 14 ア イ ド ル ア ラ ー ト 間隔を設定 し ま す。 [Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ にす る と 、自動的に [Default] チ ェ ッ ク ボ ッ ク ス がオ ン にな り ま す。 こ れに よ り 、ア イ ド ル ア ラ ー ト 間隔が 30 分に設 定 さ れ ま す。 新 し い値を指定す る 場合は、[Default] チ ェ ッ ク ボ ッ ク ス を オ フ に し て、セ ッ シ ョ ン ア ラ ー ト 間隔(1 ~ 30 分)を分数ボ ッ ク ス で指定 し ま す。 ス テ ッ プ 15 こ のユーザに対 し て専用の IPv4 ア ド レ ス を設定す る 場合は、[Dedicated IPv4 Address] 領域(任 意)で、IPv4 ア ド レ ス お よ びサブネ ッ ト マ ス ク を入力 し ま す。 ス テ ッ プ 16 こ のユーザに対 し て専用の IPv6 ア ド レ ス を設定す る 場合は、[Dedicated IPv6 Address] フ ィ ール ド (任意)で、IPv6 ア ド レ ス を IPv6 プ レ フ ィ ッ ク ス と と も に入力 し ま す。 IPv6 プ レ フ ィ ッ ク ス は、 IPv6 ア ド レ ス が常駐す る サブネ ッ ト を示 し ま す。 ス テ ッ プ 17 ク ラ イ ア ン ト レ ス SSL の設定を行 う 場合は、左側のペ イ ン で、[Clientless SSL VPN] を ク リ ッ ク し ま す。 各設定内容を上書 き す る 場合は、[Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ に し 、新 し い値を入力 し ま す。 ス テ ッ プ 18 [Apply] を ク リ ッ ク し ま す。 変更内容が実行 コ ン フ ィ ギ ュ レ ーシ ョ ン に保存 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 4-8 CH A P T E R 5 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー こ の章では、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーを設定す る 方法を説明 し ま す。次の項目を取 り 上 げ ま す。 • ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーについて(5-1 ページ) • ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーの ラ イ セ ン ス (5-3 ページ) • ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーの設定(5-3 ページ) • DAP の AAA 属性選択基準の設定(5-6 ページ) • DAP のエ ン ド ポ イ ン ト 属性選択基準の設定(5-9 ページ) • Lua を使用 し た DAP におけ る 追加の DAP 選択基準の作成(5-19 ページ) • DAP ア ク セ ス と 許可ポ リ シー属性の設定(5-25 ページ) • DAP ト レ ー ス の実行(5-29 ページ) • DAP の例(5-29 ページ) ダ イ ナ ミ ッ ク ア ク セス ポ リ シーについて VPN ゲー ト ウ ェ イ は動的な環境で動作 し ま す。個々の VPN 接続には、頻繁に変更 さ れ る イ ン ト ラ ネ ッ ト 設定、組織内の各ユーザが持つ さ ま ざ ま な ロ ール、お よ び設定 と セ キ ュ リ テ ィ レ ベルが 異な る リ モー ト ア ク セ ス サ イ ト か ら の ロ グ イ ン な ど 、複数の変数が影響す る 可能性が あ り ま す。VPN 環境でのユーザ認可の タ ス ク は、ス タ テ ィ ッ ク な設定のネ ッ ト ワ ー ク での認可 タ ス ク よ り も か な り 複雑です。 ASAでの ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー(DAP)に よ り 、こ れ ら の多 く の変数に対処す る 認可機 能 を 設定で き ま す。ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーは、特定のユーザ ト ン ネル ま たはユーザ セ ッ シ ョ ン に関連付け る 一連の ア ク セ ス コ ン ト ロ ール属性 を 設定 し て作成 し ま す。こ れ ら の属 性に よ り 、複数の グ ループ メ ン バーシ ッ プやエ ン ド ポ イ ン ト セ キ ュ リ テ ィ の問題に対処 し ま す。つ ま り 、ASAでは、定義 し た ポ リ シーに基づ き 、特定のユーザに対 し て、特定のセ ッ シ ョ ン の ア ク セ ス が許可 さ れ ま す。ASA は、ユーザが接続 し た時点で、DAP レ コ ー ド か ら の属性 を 選択 ま たは集約す る こ と に よ っ て DAP を 生成 し ま す。DAP レ コ ー ド は、リ モー ト デバ イ ス のエ ン ド ポ イ ン ト セ キ ュ リ テ ィ 情報お よ び認証 さ れた ユーザの AAA 認可情報に基づい て選択 さ れ ま す。 選択 さ れた DAP レ コ ー ド は、ユーザ ト ン ネル ま たはセ ッ シ ョ ン に適用 さ れ ま す。 DAP シ ス テ ム には、注意を必要 と す る 次の コ ン ポーネ ン ト が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-1 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー ダ イ ナ ミ ッ ク ア ク セス ポ リ シーについて • DAP 選択 コ ン フ ィ ギ ュ レーシ ョ ン フ ァ イ ル:セ ッ シ ョ ン確立中に DAP レ コ ー ド を選択お よ び 適用す る ためにASAが使用す る 、基準が記述 さ れたテ キ ス ト フ ァ イ ル。ASAに保存 さ れてい ま す。ASDM を使用 し て、こ の フ ァ イ ルを変更 し た り 、XML デー タ 形式でASAにア ッ プ ロ ー ド し た り で き ます。DAP 選択設定フ ァ イ ルには、ユーザが設定す る すべての属性が記載 さ れてい ま す。こ れには、AAA 属性、エ ン ド ポ イ ン ト 属性、お よ びネ ッ ト ワ ー ク ACL と Web タ イ プ ACL の フ ィ ル タ 、ポー ト 転送、URL の リ ス ト と し て設定 さ れた ア ク セ ス ポ リ シーな ど があ り ます。 • DfltAccess ポ リ シー:常に DAP サマ リ ー テーブルの最後のエン ト リ で、プ ラ イ オ リ テ ィ は必ず 0。 デフ ォル ト ア ク セ ス ポ リ シーのア ク セ ス ポ リ シー属性を設定で き ますが、AAA 属性ま たはエン ド ポ イ ン ト 属性は含まれておらず、こ れ ら の属性は設定で き ません。DfltAccessPolicy は削除で き ません。ま た、サマ リ ー テーブルの最後のエン ト リ になってい る必要があ り ます。 詳細については、『Dynamic Access Deployment Guide』 (https://supportforums.cisco.com/docs/DOC-1369)を参照 し て く だ さ い。 DAP によ る リ モー ト ア ク セス プ ロ ト コルおよびポスチ ャ評価ツール のサポー ト ASA は、管理者が設定 し た ポ ス チ ャ 評価 ツール を使用 し て エ ン ド ポ イ ン ト セ キ ュ リ テ ィ 属性を 取得 し ま す。こ のポ ス チ ャ 評価 ツールには、AnyConnect ポ ス チ ャ モ ジ ュ ール、独立 し た ホ ス ト ス キ ャ ン パ ッ ケージ、お よ び NAC が含 ま れ ま す。 次の表に、DAP がサポー ト し てい る 各 リ モー ト ア ク セ ス プ ロ ト コ ル、その方式で使用可能な ポ ス チ ャ 評価 ツール、お よ びその ツールに よ っ て提供 さ れ る 情報を示 し ま す。 AnyConnect ポス チ ャ モ ジ ュ ール ホ ス ト スキ ャ ン パ ッ ケージ Cisco Secure Desktop (Endpoint Assessment ホ ス ト スキ ャ ン拡張機能が イ ネーブ ルで ない) AnyConnect ポス チ ャ モ ジ ュ ール ホ ス ト スキ ャ ン パ ッ ケージ Cisco Secure Desktop (Endpoint Assessment ホ ス ト NAC スキ ャ ン拡張機能が イ ネー ブルであ る) フ ァ イ ル情報、レ ジ ス ト リ キーの値、実行プ ロ セ ス 、オ ペ レ ーテ ィ ン グ シ ス テ ム を 返す ア ン チ ウ イ ル ス 、ア ン チ ス パ NAC ス テー VLAN タ イ プ イ ウ ェ ア、お よ びパー ソ ナル タ ス を返す と VLAN ID を返す フ ァ イ ア ウ ォ ール ソ フ ト ウ ェ ア の情報を返す IPsec VPN No No Yes Yes Cisco AnyConnect VPN Yes Yes Yes Yes ク ラ イ ア ン ト レ ス (ブ ラ ウ ザベー ス )SSL VPN Yes Yes No No PIX カ ッ ト スルー プ ロ キ シ(ポ スチャ評価は使用 不可) No No No No サポー ト あ り リ モー ト ア ク セス プロ ト コル Cisco NAC ア プ ラ イアンス DAP を使用する リ モー ト ア ク セス接続シーケン ス 次のシーケ ン ス に、標準的な リ モー ト ア ク セ ス 接続を確立す る 場合の概要を示 し ま す。 1. リ モー ト ク ラ イ ア ン ト が VPN 接続を試み ま す。 2. ASAは、設定 さ れた NAC 値 と Cisco Secure Desktop の Host Scan 値を使用 し て ポ ス チ ャ 評価 を実行 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-2 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーの ラ イ セ ン ス 3. ASAが、AAA を介 し て ユーザ を認証 し ま す。AAA サーバは、ユーザの認可属性 も 返 し ま す。 4. ASAが、AAA 認可属性を そのセ ッ シ ョ ン に適用 し 、VPN ト ン ネル を確立 し ま す。 5. ASAが、AAA 認可情報 と セ ッ シ ョ ン のポ ス チ ャ 評価情報に基づいて DAP レ コ ー ド を選択 し ま す。 6. ASAが、選択 し た DAP レ コ ー ド か ら DAP 属性を集約 し ま す。集約 さ れた属性が DAP ポ リ シーを構成 し ま す。 7. ASAがその DAP ポ リ シーを セ ッ シ ョ ン に適用 し ま す。 ダ イ ナ ミ ッ ク ア ク セス ポ リ シーのラ イ セ ン ス 注 こ の機能は、ペ イ ロ ー ド 暗号化機能のないモデルでは使用で き ま せん。 モデル ラ イ セ ン ス要件 ASAv Premium ラ イ セ ン ス 他のすべて のモ デル AnyConnect Premium ラ イ セ ン ス Advanced Endpoint Assessment ラ イ セ ン ス AnyConnect Mobile ラ イ セ ン ス 注 ASA 管理者が AnyConnect モバ イ ル ポ ス チ ャ DAP 属性を ど の よ う に使用す る かは、イ ン ス ト ー ル済みの AnyConnect ラ イ セ ン ス に よ っ て異な り ま す。 関連項目 DAP への AnyConnect エ ン ド ポ イ ン ト 属性の追加 ダ イ ナ ミ ッ ク ア ク セス ポ リ シーの設定 は じ める前に ステ ッ プ 1 • 特に記載のない限 り 、DAP エ ン ド ポ イ ン ト 属性 を設定す る 前に、ホ ス ト ス キ ャ ン を イ ン ス ト ールす る 必要が あ り ま す。 • フ ァ イ ル、プ ロ セ ス 、レ ジ ス ト リ のエ ン ド ポ イ ン ト 属性を設定す る 前に、フ ァ イ ル、プ ロ セ ス 、 レ ジ ス ト リ の基本ホ ス ト ス キ ャ ン属性を設定す る 必要が あ り ま す。手順については、ASDM を起動 し て [Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] の順に選択 し 、[Help] を ク リ ッ ク し て く だ さ い。 • DAP は、ASCII 文字のみサポー ト さ れ ま す。 ASDM を起動 し 、[Configuration] > [Remote Access VPN] > [Network (Client) Access] ま たは [Clientless SSL VPN Access] > [Dynamic Access Policies] の順に選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-3 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー ダ イ ナ ミ ッ ク ア ク セス ポ リ シーの設定 ステ ッ プ 2 特定の ア ン チ ウ イ ル ス 、ア ン チ ス パ イ ウ ェ ア、ま たはパー ソ ナル フ ァ イ ア ウ ォ ールのエ ン ド ポ イ ン ト 属性 を 含め る には、ペ イ ン の最上部近 く の [CSD configuration] リ ン ク を ク リ ッ ク し ま す。 次に、Cisco Secure Desktop お よ び Host Scan の拡張機能 を イ ネーブルに し ま す。こ の リ ン ク は、 こ れ ら 両方の機能 を すでに イ ネーブルに し て い る 場合には表示 さ れ ま せん。 Cisco Secure Desktop 拡張機能を イ ネーブルに し て Host Scan 拡張機能は イ ネーブルに し ない場 合、変更を適用す る と 、ASDM は Host Scan コ ン フ ィ ギ ュ レ ーシ ョ ン を イ ネーブルにす る リ ン ク を表示 し ま す。 ステ ッ プ 3 設定済みの DAP の リ ス ト を表示 し ま す。テーブルには次の フ ィ ール ド が表示 さ れ ま す。 • [ACL Priority]:DAP レ コ ー ド のプ ラ イ オ リ テ ィ を表示 し ま す。 ASA は、複数の DAP レ コ ー ド か ら ネ ッ ト ワ ー ク ACL と Web タ イ プ ACL を集約す る と き に、 こ の値を使用 し て ACL を論理的に順序付け し ま す。ASAは、最上位のプ ラ イ オ リ テ ィ 番号か ら 最下位のプ ラ イ オ リ テ ィ 番号の順に レ コ ー ド を並べ、最下位のプ ラ イ オ リ テ ィ を テーブル の一番下に配置 し ま す。番号が大 き いほ ど プ ラ イ オ リ テ ィ が高い こ と を意味 し ま す。た と え ば、値が 4 の DAP レ コ ー ド は値が 2 の レ コ ー ド よ り も 高いプ ラ イ オ リ テ ィ を持つ こ と にな り ま す。プ ラ イ オ リ テ ィ は、手動での並べ替えはで き ま せん。 • [Name]:DAP レ コ ー ド の名前を表示 し ま す。 • [Network ACL List]:セ ッ シ ョ ン に適用 さ れ る フ ァ イ ア ウ ォ ール ACL の名前を表示 し ま す。 • [Web-Type ACL List]:セ ッ シ ョ ン に適用 さ れ る SSL VPN ACL の名前 を表示 し ま す。 • [Description]:DAP レ コ ー ド の目的を説明 し ま す。 ステ ッ プ 4 [Add] ま たは [Edit] を ク リ ッ ク し て、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーの追加 ま たは編集(5-4 ページ)を実行 し ま す。 ステ ッ プ 5 [Apply] を ク リ ッ ク し て DAP 設定を保存 し ま す。 ステ ッ プ 6 [Find] フ ィ ール ド を使用 し て、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー(DAP)を検索 し ま す。 こ の フ ィ ール ド への入力を開始す る と 、DAP テーブルの各 フ ィ ール ド の先頭部分の文字が検索 さ れ、一致す る も のが検出 さ れ ま す。ワ イ ル ド カー ド を使用す る と 、検索範囲が広が り ま す。 た と えば、[Find] フ ィ ール ド に「sal」 と 入力 し た場合は、Sales と い う 名前の DAP と は一致 し ま す が、Wholesalers と い う 名前の DAP と は一致 し ま せん。[Find] フ ィ ール ド に「*sal」 と 入力 し た場 合は、テーブル内の Sales と Wholesalers の う ち、最初に出現す る も のが検出 さ れ ま す。 ステ ッ プ 7 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーのテ ス ト (5-5 ページ)を実行 し て設定を確認 し ま す。 ダ イ ナ ミ ッ ク ア ク セス ポ リ シーの追加または編集 ステ ッ プ 1 ASDM を起動 し 、[Configuration] > [Remote Access VPN] > [Network (Client) Access] ま たは [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add] ま たは [Edit] の順に選択 し ま す。 ステ ッ プ 2 こ のダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーの名前(必須) と 説明(オプシ ョ ン)を入力 し ま す。 ステ ッ プ 3 • [Policy Name] は、4 ~ 32 文字の文字列で、ス ペー ス は使用で き ま せん。 • DAP の [Description] フ ィ ール ド には 80 文字 ま で入力で き ま す。 [ACL Priority] フ ィ ール ド で、そのダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーのプ ラ イ オ リ テ ィ を設定 し ます。 セキ ュ リ テ ィ アプ ラ イ アン スは、こ こ で設定し た順序でア ク セ ス ポ リ シーを適用し ます。数が大きい ほどプ ラ イ オ リ テ ィ は高 く な り ます。有効値の範囲は 0 ~ 2147483647 です。デフ ォル ト 値は 0 です Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-4 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーの設定 ステ ッ プ 4 こ の DAP の選択基準を指定 し ま す。 a. [Selection Criteria] ペ イ ン の ド ロ ッ プダ ウ ン リ ス ト ( ラ ベルな し )で、ユーザが こ のダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーを使用す る には、すべてのエ ン ド ポ イ ン ト 属性を満たす こ と に加 え て、こ こ で設定 さ れ る AAA 属性値のいずれか([ANY]) ま たはすべて([ALL])が必要 と な る のか、それ と も 一切不要([NONE])で あ る のか を選択 し ま す。 重複す る エ ン ト リ は許可 さ れ ま せん。AAA ま たはエ ン ド ポ イ ン ト 属性な し の DAP レ コ ー ド を設定す る と 、ASAは常にその レ コ ー ド を選択 し ま す。こ れは、その レ コ ー ド がすべての選択 基準を満たす こ と にな る か ら です。 b. [AAA Attributes] フ ィ ール ド の [Add] ま たは [Edit] を ク リ ッ ク し て、DAP の AAA 属性選択基 準の設定(5-6 ページ)を実行 し ま す。 c. [Endpoint Attributes] 領域の [Add] ま たは [Edit] を ク リ ッ ク し て、DAP のエ ン ド ポ イ ン ト 属性 選択基準の設定(5-9 ページ)を実行 し ま す。 d. [Advanced] フ ィ ール ド を ク リ ッ ク し て、Lua を使用 し た DAP におけ る 追加の DAP 選択基準 の作成(5-19 ページ)を実行 し ま す。こ の機能を使用す る には、Lua プ ロ グ ラ ミ ン グ言語の知 識が必要です。 – [AND/OR]:基本的な選択ルール と 、こ こ で入力す る 論理式 と の関係を定義 し ま す。つ ま り 、すでに設定 さ れてい る AAA 属性お よ びエ ン ド ポ イ ン ト 属性に新 し い属性を追加す る のか、ま たはそれ ら 設定済みの属性に置 き 換え る のか を指定 し ま す。デ フ ォ ル ト は AND です。 – [Logical Expressions]:それぞれの タ イ プのエ ン ド ポ イ ン ト 属性の イ ン ス タ ン ス を複数設 定で き ま す。新 し い AAA ま たはエ ン ド ポ イ ン ト 選択属性を定義す る 自由形式の Lua を 入力 し ま す。ASDM は、こ こ で入力 さ れ る テ キ ス ト の検証を行わず、単に こ のテ キ ス ト を DAP XML フ ァ イ ルに コ ピ ー し ま す。ASAがそれ を処理 し 、解析不能な式が あれば破棄 し ま す。 ステ ッ プ 5 こ の DAP のア ク セ ス /許可ポ リ シー属性を指定 し ま す。 こ こ で設定す る 属性値は、既存のユーザ、グループ、ト ン ネル グループ、お よ びデ フ ォ ル ト の グ ループ レ コ ー ド を含め、AAA シ ス テ ム の認可値を上書 き し ま す。DAP ア ク セ ス と 許可ポ リ シー 属性の設定(5-25 ページ)を参照 し て く だ さ い。 ステ ッ プ 6 [OK] を ク リ ッ ク し ま す。 ダ イ ナ ミ ッ ク ア ク セス ポ リ シーのテス ト こ のペ イ ン では、認可属性値のペア を指定す る こ と に よ っ て、デバ イ ス で設定 さ れ る DAP レ コ ー ド セ ッ ト が取得 さ れ る か ど う か を テ ス ト で き ま す。 ステ ッ プ 1 属性値のペア を指定す る には、[AAA Attribute] テーブル と [Endpoint Attribute] テーブルに関連付 け ら れた [Add/Edit] ボ タ ン を使用 し ま す。 [Add/Edit] ボ タ ン を ク リ ッ ク す る と 表示 さ れ る ダ イ ア ロ グは、[Add/Edit AAA Attributes] ウ ィ ン ド ウ と [Add/Edit Endpoint Attributes] ダ イ ア ロ グ ボ ッ ク ス に表示 さ れ る ダ イ ア ロ グに似てい ま す。 ステ ッ プ 2 [Test] ボ タ ン を ク リ ッ ク し ま す。 デバ イ ス 上の DAP サブ シ ス テ ム は、各 レ コ ー ド の AAA お よ びエ ン ド ポ イ ン ト 選択属性を評価 す る と き に、こ れ ら の値を参照 し ま す。結果は、[Test Results] 領域に表示 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-5 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー DAP の AAA 属性選択基準の設定 DAP の AAA 属性選択基準の設定 DAP は AAA サービ ス を補完 し ま す。用意 さ れてい る 認可属性のセ ッ ト は限 ら れてい ま すが、そ れ ら の属性に よ っ て AAA で提供 さ れ る 認可属性を無効にで き ま す。AAA 属性は、Cisco AAA 属 性階層か ら 、ま たはASAが RADIUS ま たは LDAP サーバか ら 受信す る 一式の応答属性セ ッ ト か ら 指定で き ま す。ASAは、ユーザの AAA 認可情報 と セ ッ シ ョ ン のポ ス チ ャ 評価情報に基づいて DAP レ コ ー ド を選択 し ま す。ASA は、こ の情報に基づいて複数の DAP レ コ ー ド を選択で き 、それ ら の レ コ ー ド を集約 し て DAP 認可属性を作成 し ま す。 ステ ッ プ 1 DAP レ コ ー ド の選択基準 と し て AAA 属性を設定す る には、[Add/Edit AAA Attributes] ダ イ ア ロ グ ボ ッ ク ス で、使用す る Cisco、LDAP、ま たは RADIUS 属性を設定 し ま す。こ れ ら の属性は、入力 す る 値に対 し て「=」 ま たは「!=」のいずれかに設定で き ま す。各 DAP レ コ ー ド に設定可能な AAA 属性の数に制限はあ り ま せん。AAA 属性の詳細については、「AAA 属性の定義」を参照 し て く だ さ い。 [AAA Attributes Type]: ド ロ ッ プダ ウ ン リ ス ト を使用 し て、Cisco、LDAP、ま たは RADIUS 属性を 選択 し ま す。 • [Cisco]:AAA 階層モデルに保存 さ れてい る ユーザ認可属性を参照 し ま す。DAP レ コ ー ド の AAA 選択属性に、こ れ ら のユーザ認可属性の小規模なサブセ ッ ト を指定で き ま す。次の属性 が含 ま れ ま す。 – [Group Policy]:VPN ユーザ セ ッ シ ョ ン に関連付け ら れてい る グループ ポ リ シー名を示 し ま す。セ キ ュ リ テ ィ ア プ ラ イ ア ン ス で ロ ーカルに設定す る か、IETF ク ラ ス (25)属性 と し て RADIUS/LDAP か ら 送信 し ま す。最大 64 文字です。 – [Assigned IP Address]:ポ リ シーに指定す る IPv4 ア ド レ ス を入力 し ま す。フル ト ン ネル VPN ク ラ イ ア ン ト (IPsec、L2TP/IPsec、SSL VPN AnyConnect)に割 り 当て ら れた IP ア ド レ ス は、ク ラ イ ア ン ト レ ス SSL VPN には割 り 当て ら れ ません。ク ラ イ ア ン ト レ ス セ ッ シ ョ ン に はア ド レ ス の割 り 当てがないか ら です。 – [Assigned IPv6 Address]:ポ リ シーに指定す る IPv6 ア ド レ ス を入力 し ま す。 – [Connection Profile]: コ ネ ク シ ョ ン ま たは ト ネ リ ン グ の グループ名。最大 64 文字です。 – [Username]:認証 さ れたユーザのユーザ名。最大 64 文字です。ロ ーカル認証、RADIUS 認 証、LDAP 認証のいずれか を、ま たはその他の認証 タ イ プ(RSA/SDI、NT Domain な ど のい ずれか を使用 し てい る 場合に適用 さ れ ま す。 – [=/!=]: と 等 し い/ と 等 し く ない • [LDAP]:LDAP ク ラ イ ア ン ト は、ユーザの AAA セ ッ シ ョ ン に関連付け ら れたデー タ ベー ス に あ る すべてのネ イ テ ィ ブ LDAP 応答属性値のペア を保存 し ま す。LDAP ク ラ イ ア ン ト で は、受信 し た順に応答属性をデー タ ベー ス に書 き 込み ま す。その名前の後続の属性はすべて 廃棄 さ れ ま す。ユーザ レ コ ー ド と グループ レ コ ー ド の両方が LDAP サーバか ら 読み込 ま れ る と 、こ のシナ リ オが発生す る 場合が あ り ま す。ユーザ レ コ ー ド 属性が最初に読み込 ま れ、 グループ レ コ ー ド 属性 よ り も 常に優先 さ れ ま す。 Active Directory グ ループ メ ン バーシ ッ プ を サ ポー ト す る た めに、AAA LDAP ク ラ イ ア ン ト では、LDAP memberOf 応答属性に対す る 特別な処理が行われ ま す。AD memberOf 属性は、 AD 内の グ ループ レ コ ー ド の DN 文字列 を 指定 し ま す。グループの名前は、DN 文字列内の 最初の CN 値です。LDAP ク ラ イ ア ン ト では、DN 文字列か ら グループ名 を 抽出 し て、AAA memberOf 属性 と し て格納 し 、応答属性デー タ ベー ス に LDAP memberOf 属性 と し て格納 し ま す。LDAP 応答 メ ッ セージ内に追加の memberOf 属性が存在す る 場合、それ ら の属性か ら グループ名が抽出 さ れ、前の AAA memberOf 属性 と 結合 さ れて、グ ループ名が カ ン マで区 切 ら れた文字列が生成 さ れ ま す。こ の文字列は応答属性デー タ ベー ス 内で更新 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-6 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー DAP の AAA 属性選択基準の設定 LDAP 認証/認可サーバへの VPN リ モー ト ア ク セ ス セ ッ シ ョ ン が次の 3 つの Active Directory グループ(memberOf 列挙)のいずれか を返す場合は、次の通 り と な り ま す。 cn=Engineering,ou=People,dc=company,dc=com cn=Employees,ou=People,dc=company,dc=com cn=EastCoastast,ou=People,dc=company,dc=com ASA は、Engineering、Employees、EastCoast の 3 つの Active Directory グループ を処理 し ま す。 こ れ ら の グループは、aaa.ldap の選択基準 と し て ど の よ う な組み合わせで も 使用で き ま す。 LDAP 属性は、DAP レ コ ー ド 内の属性名 と 属性値のペア で構成 さ れてい ま す。LDAP 属性名 は、構文に従 う 必要が あ り 、大文字、小文字を区別 し ま す。た と えば、AD サーバが部門 と し て 返す値の代わ り に、LDAP 属性の Department を指定 し た場合、DAP レ コ ー ド は こ の属性設定 に基づ き 一致 し ま せん。 注 [Value] フ ィ ール ド に複数の値を入力す る には、セ ミ コ ロ ン(;)をデ リ ミ タ と し て使用 し ま す。次に例を示 し ま す。 eng;sale; cn=Audgen VPN,ou=USERS,o=OAG • [RADIUS]:RADIUS ク ラ イ ア ン ト は、ユーザの AAA セ ッ シ ョ ン に関連付け ら れたデー タ ベー ス に あ る すべてのネ イ テ ィ ブ RADIUS 応答属性値のペア を保存 し ま す。RADIUS ク ラ イ ア ン ト は、受け取っ た順序で応答属性をデー タ ベー ス に書 き 込み ま す。その名前の後続の 属性はすべて廃棄 さ れ ま す。ユーザ レ コ ー ド お よ びグループ レ コ ー ド の両方が RADIUS サーバか ら 読み込 ま れた場合、こ のシナ リ オが発生す る 可能性が あ り ま す。ユーザ レ コ ー ド 属性が最初に読み込 ま れ、グループ レ コ ー ド 属性 よ り も 常に優先 さ れ ま す。 RADIUS 属性は、DAP レ コ ー ド 内の属性番号 と 属性値のペア で構成 さ れてい ま す。セ キ ュ リ テ ィ ア プ ラ イ ア ン ス がサポー ト す る RADIUS 属性の一覧を示す表については、「セ キ ュ リ テ ィ ア プ ラ イ ア ン ス がサポー ト す る RADIUS の属性 と 値」を参照 し て く だ さ い。 注 RADIUS 属性につい て、DAP は Attribute ID = 4096 + RADIUS ID と 定義 し ま す。 次に例 を 示 し ま す。 RADIUS 属性「Access Hours」の Radius ID は 1 で あ り 、し た が っ て DAP 属性値は 4096 + 1 = 4097 と な り ま す。 RADIUS 属性「Member Of」の Radius ID は 146 で あ り 、し た が っ て DAP 属性値は 4096 + 146 = 4242 と な り ま す。 • LDAP お よ び RADIUS 属性には、次の値が あ り ま す。 – [Attribute ID]:属性の名前/番号。最大 64 文字です。 – [Value]:属性名(LDAP) ま たは数値(RADIUS)。 [Value] フ ィ ール ド に複数の値を入力す る には、セ ミ コ ロ ン(;)をデ リ ミ タ と し て使用 し ま す。次に例を示 し ま す。 eng;sale; cn=Audgen VPN,ou=USERS,o=OAG – [=/!=]: と 等 し い/ と 等 し く ない • LDAP には、[Get AD Groups] ボ タ ン が含 ま れ ま す。Active Directory グループの取得(5-8 ペー ジ)を参照 し て く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-7 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー DAP の AAA 属性選択基準の設定 Active Directory グループの取得 Active Directory サーバに ク エ リ ーを実行 し 、こ のペ イ ン で利用可能な AD グループ を問い合わ せ る こ と がで き ま す。こ の機能は、LDAP を使用 し てい る Active Directory サーバだけに適用 さ れ ま す。こ のボ タ ン は、Active Directory LDAP サーバに対 し て、ユーザが属す る グループの リ ス ト (memberOf 列挙)の問い合わせを実行 し ま す。こ の グループ情報を使用 し 、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーの AAA 選択基準を指定 し ま す。 AD グループは、CLI の show-ad-groups コ マ ン ド を バ ッ ク グ ラ ン ド で実行す る こ と で LDAP サー バか ら 取得 さ れ ま す。ASAがサーバか ら の応答を待機す る ま でのデ フ ォ ル ト 時間は 10 秒です。 aaa-server ホ ス ト コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド で group-search-timeout コ マ ン ド を実行 し 、時 間を調整で き ま す。 [Edit AAA Server] ペ イ ン で Group Base DN を変更 し 、Active Directory 階層の中で検索を開始す る レ ベル を変更で き ま す。ウ ィ ン ド ウ 内で、ASAがサーバの応答を待つ時間 も 変更で き ま す。こ れ ら の機能を設定す る には、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] > [Edit AAA Server] の順に選択 し ま す。 注 Active Directory サーバに あ る グループが多数で あ る 場合、取得 し た AD グループの リ ス ト (show ad-groups コ マ ン ド の出力)はサーバが応答パケ ッ ト に含め る こ と ので き る デー タ 量の制限に従 い切 り 捨て ら れ る こ と が あ り ま す。こ の問題を回避す る には、フ ィ ル タ 機能を使用 し て、サーバ か ら 返 さ れ る グループの数を減 ら し て く だ さ い。 [AD Server Group]:AD グループ を取得す る AAA サーバ グループ名。 [Filter By]:表示 さ れ る グループを減 ら すために、グループ名ま たはグループ名の一部を指定 し ます。 [Group Name]:サーバか ら 取得 さ れた AD グループの リ ス ト 。 AAA 属性の定義 次の表に、DAP で使用で き る AAA 選択属性名の定義を示 し ま す。属性名 フ ィ ール ド は、Lua 論理 式での各属性名の入力方法を示 し てお り 、[Add/Edit Dynamic Access Policy] ペ イ ン の [Advanced] セ ク シ ョ ン で使用 し ま す。 値 ス ト リ ン グの最 大長 aaa.cisco.grouppolicy AAA string 64 ASA上に あ る 、ま たは RADIUS/LDAP サーバか ら IETF-CLass (25) 属性 と し て 送信 さ れた グループ ポ リ シー名 aaa.cisco.ipaddress number - フル ト ンネル VPN ク ラ イ アン ト に割 り 当 て ら れた IP ア ド レ ス(IPsec、L2TP/IPsec、 SSL VPN AnyConnect) aaa.cisco.tunnelgroup AAA string 64 接続プ ロ フ ァ イ ル( ト ン ネル グループ) の名前 aaa.cisco.username AAA string 64 認証 さ れたユーザの名前( ロ ーカル認証 や認可を使用 し てい る 場合に適用) aaa.ldap.<label> LDAP string 128 LDAP 属性値ペア Attribute Type 属性名 シス コ LDAP ソ ース AAA Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-8 説明 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー DAP のエ ン ド ポ イ ン ト 属性選択基準の設定 RADIUS aaa.radius.<number> RADIUS string 128 RADIUS 属性値ペア セ キ ュ リ テ ィ ア プ ラ イ ア ン ス がサポー ト す る RADIUS 属性の一覧 を 示す表につい ては、「セ キ ュ リ テ ィ ア プ ラ イ ア ン ス がサポー ト す る RADIUS の属性 と 値」を 参照 し て く だ さ い。 DAP のエ ン ド ポ イ ン ト 属性選択基準の設定 エ ン ド ポ イ ン ト 属性には、エ ン ド ポ イ ン ト シ ス テ ム環境、ポ ス チ ャ 評価結果、お よ びアプ リ ケー シ ョ ンに関す る 情報が含まれてい ます。ASA は、エ ン ド ポ イ ン ト 属性の集合を セ ッ シ ョ ン確立時に 動的に生成 し 、セ ッ シ ョ ン に関連付け ら れたデー タ ベース にその属性を保存 し ます。各 DAP レ コ ー ド には、ASA がセ ッ シ ョ ンの DAP レ コ ー ド を選択す る ために満たす必要があ る エ ン ド ポ イ ン ト 選択属性が指定 さ れ ます。ASAは、設定 さ れたすべての条件を満たす DAP レ コ ー ド だけ を選択 し ます。 は じ める前に ステ ッ プ 1 • DAP レ コ ー ド の選択基準 と し てエ ン ド ポ イ ン ト 属性 を設定す る こ と は、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーの設定(5-3 ページ)のための大 き なプ ロ セ ス の一部です。DAP の選択基準 と し て エ ン ド ポ イ ン ト 属性を設定す る 前に、こ の手順を確認 し ま す。 • エ ン ド ポ イ ン ト 属性の詳細については、「エ ン ド ポ イ ン ト 属性の定義」を参照 し て く だ さ い。 • ホ ス ト ス キ ャ ン が ア ン チ ウ イ ル ス 、ア ン チ ス パ イ ウ ェ ア、お よ びパー ソ ナル フ ァ イ ア ウ ォ ー ルの各 メ モ リ 常駐型プ ロ グ ラ ム を チ ェ ッ ク す る 方法の詳細については、DAP と ア ン チ ウ イ ル ス 、ア ン チ ス パ イ ウ ェ ア、お よ びパー ソ ナル フ ァ イ ア ウ ォ ール プ ロ グ ラ ム(5-16 ページ)を 参照 し て く だ さ い。 [Add] ま たは [Edit] を ク リ ッ ク し て、次のいずれかのエ ン ド ポ イ ン ト 属性を選択基準 と し て追加 し ま す。 各 タ イ プのエ ン ド ポ イ ン ト 属性の イ ン ス タ ン ス を複数作成で き ま す。各 DAP レ コ ー ド に設定可 能な エ ン ド ポ イ ン ト 属性の数に制限はあ り ま せん。 • DAP へのア ン チ ス パ イ ウ ェ ア/ア ン チ ウ イ ル ス エ ン ド ポ イ ン ト 属性の追加(5-10 ページ) • DAP へのア プ リ ケーシ ョ ン属性の追加(5-10 ページ) • DAP への AnyConnect エ ン ド ポ イ ン ト 属性の追加(5-11 ページ) • DAP への フ ァ イ ル エ ン ド ポ イ ン ト 属性の追加(5-12 ページ) • DAP へのデバ イ ス エ ン ド ポ イ ン ト 属性の追加(5-13 ページ) • DAP への NAC エ ン ド ポ イ ン ト 属性の追加(5-13 ページ) • DAP へのオペ レ ーテ ィ ン グ シ ス テ ム エ ン ド ポ イ ン ト 属性の追加(5-13 ページ) • DAP へのパー ソ ナル フ ァ イ ア ウ ォ ール エ ン ド ポ イ ン ト 属性の追加(5-14 ページ) • DAP へのポ リ シー エ ン ド ポ イ ン ト 属性の追加(5-14 ページ) • DAP へのプ ロ セ ス エ ン ド ポ イ ン ト 属性の追加(5-14 ページ) • DAP への レ ジ ス ト リ エ ン ド ポ イ ン ト 属性の追加(5-15 ページ) Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-9 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー DAP のエ ン ド ポ イ ン ト 属性選択基準の設定 ステ ッ プ 2 条件に一致す る DAP ポ リ シーを指定 し ま す。 こ れ ら のエ ン ド ポ イ ン ト 属性の タ イ プ ご と に、ユーザが あ る タ イ プの イ ン ス タ ン ス のすべて を 持つ よ う に DAP ポ リ シーで要求す る (Match all = AND、デ フ ォ ル ト )のか、ま たはそれ ら の イ ン ス タ ン ス を 1 つだけ持つ よ う に要求す る (Match Any = OR)のか を決定 し ま す。 ステ ッ プ 3 a. [Logical Op] を ク リ ッ ク し ま す。 b. エ ン ド ポ イ ン ト 属性の タ イ プ ご と に、[Match Any](デ フ ォ ル ト ) ま たは [Match All] を選択 し ま す。 c. [OK] を ク リ ッ ク し ま す。 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーの追加 ま たは編集(5-4 ページ)に戻っ て く だ さ い。 DAP へのア ン チスパイ ウ ェ ア/ア ン チウ イルス エ ン ド ポ イ ン ト 属性の 追加 ステ ッ プ 1 [Endpoint Attribute Type] リ ス ト ボ ッ ク ス で、[Anti-Spyware] ま たは [Anti-Virus] を選択 し ま す。 ステ ッ プ 2 適切なボ タ ン [Enabled]、[Disabled]、ま たは [Not Installed] を ク リ ッ ク し て、選択 し たエ ン ド ポ イ ン ト 属性 と それに付随す る 修飾子([Enabled]/[Disabled]/[Not Installed] ボ タ ン の下の フ ィ ール ド )を イ ネーブルにす る か、デ ィ セーブルにす る か、ま たは イ ン ス ト ール し ないか を指定 し ま す。 ステ ッ プ 3 [Vendor ID] リ ス ト ボ ッ ク ス で、テ ス ト 対象の ア ン チ ス パ イ ウ ェ ア ま たはア ン チ ウ イ ル ス のベン ダーの名前を ク リ ッ ク し ま す。 ステ ッ プ 4 [Product Description] チ ェ ッ ク ボ ッ ク ス を オ ン に し て、テ ス ト す る ベン ダーの製品名を リ ス ト ボ ッ ク ス か ら 選択 し ま す。 ステ ッ プ 5 [Version] チ ェ ッ ク ボ ッ ク ス を オ ン に し て、操作 フ ィ ール ド を、[Version] リ ス ト ボ ッ ク ス で選択 し た製品バージ ョ ン番号に等 し い(=)、等 し く ない(!=)、よ り 小 さ い(<)、よ り 大 き い(>)、以下(<=)、 ま たは以上(>=)に設定 し ま す。 リ ス ト ボ ッ ク ス で選択 し たバージ ョ ン に x が付い てい る 場合(た と えば 3.x)は、こ の x を具体的 な リ リ ー ス 番号で置 き 換え ま す(た と えば 3.5)。 ステ ッ プ 6 [Last Update] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。最後の更新か ら の日数を指定 し ま す。更新を、こ こ で入力 し た日数 よ り も 早 く ([<])実行す る か、遅 く ([>])実行す る か を指定で き ま す。 ステ ッ プ 7 [OK] を ク リ ッ ク し ま す。 DAP へのア プ リ ケーシ ョ ン属性の追加 ステ ッ プ 1 [Endpoint Attribute Type] リ ス ト ボ ッ ク ス で [Application] を選択 し ま す。 ステ ッ プ 2 [Client Type] の操作 フ ィ ール ド で、[=](等 し い) ま たは [!=](等 し く ない)を選択 し ま す。 ステ ッ プ 3 [Client type] リ ス ト ボ ッ ク ス で、テ ス ト 対象の リ モー ト ア ク セ ス 接続の タ イ プ を指定 し ま す。 ステ ッ プ 4 [OK] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-10 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー DAP のエ ン ド ポ イ ン ト 属性選択基準の設定 DAP への AnyConnect エ ン ド ポ イ ン ト 属性の追加 AnyConnect エ ン ド ポ イ ン ト 属性(モバ イ ル ポ ス チ ャ ま たは AnyConnect ア イ デン テ ィ テ ィ 拡張 機能(ACIDex) と も 呼ばれ る )は、AnyConnect VPN ク ラ イ ア ン ト が ASA にポ ス チ ャ 情報を伝え る ために使用 さ れ ま す。ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーでは、こ のエ ン ド ポ イ ン ト 属性を使用 し て ユーザ を認可 し ま す。 モバ イ ル ポ ス チ ャ 属性を ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーに組み込む と 、エ ン ド ポ イ ン ト に ホ ス ト ス キ ャ ンや Cisco Secure Desktop がエ ン ド ポ イ ン ト に イ ン ス ト ール さ れていな く て も 適用で き ま す。 一部のモバイル ポ スチャ属性は、モバ イル デバイ ス上で実行し てい る AnyConnect ク ラ イ アン ト にの み関連し ます。その他のモバイル ポ スチャ属性は、モバイル デバ イ ス上で実行し てい る AnyConnect ク ラ イ アン ト と AnyConnect デス ク ト ッ プ ク ラ イ アン ト 上で実行し てい る AnyConnect ク ラ イ アン ト の両方に関連し ます。 は じ める前に モバ イ ル ポ ス チ ャ を活用す る には、AnyConnect Mobile ラ イ セ ン ス と 、AnyConnect Essentials ラ イ セ ン ス が ASA に イ ン ス ト ール さ れてい る 必要が あ り ま す。こ れ ら の ラ イ セ ン ス を イ ン ス ト ール す る 企業は、DAP 属性お よ び他の既存のエ ン ド ポ イ ン ト 属性に基づい てサポー ト さ れてい る モ バ イ ル デバ イ ス の DAP ポ リ シーを適用で き ま す。こ れには、モバ イ ル デバ イ ス か ら の リ モー ト ア ク セ ス の許可 ま たは拒否が含 ま れ ま す。 ステ ッ プ 1 [Endpoint Attribute Type] リ ス ト ボ ッ ク ス で [AnyConnect] を選択 し ま す。 ステ ッ プ 2 [Client Version] チ ェ ッ ク ボ ッ ク ス を オ ン に し て、等 し い(=)、等 し く ない(!=)、よ り 小 さ い(<)、よ り 大 き い(>)、以下(<=)、ま たは以上(>=)を操作フ ィ ール ド で選択 し てか ら 、[Client Version] フ ィ ー ル ド で AnyConnect ク ラ イ ア ン ト バージ ョ ン番号を指定 し ます。 こ のフ ィ ール ド を使用する と 、モバ イ ル デバ イ ス(携帯電話や タ ブ レ ッ ト な ど)の ク ラ イ ア ン ト バージ ョ ン を評価で き る ほか、デス ク ト ッ プや ラ ッ プ ト ッ プ デバ イ ス の ク ラ イ ア ン ト バージ ョ ン も 評価で き ます。 ステ ッ プ 3 [Platform] チ ェ ッ ク ボ ッ ク ス を オ ン に し て、等 し い(=) ま たは等 し く ない(!=)を操作 フ ィ ール ド で選択 し てか ら 、[Platform] リ ス ト ボ ッ ク ス でオペ レ ーテ ィ ン グ シ ス テ ム を選択 し ま す。 こ の フ ィ ール ド を使用す る と 、モバ イ ル デバ イ ス (携帯電話や タ ブ レ ッ ト な ど)のオペレーテ ィ ン グ シ ス テ ム を評価で き る ほか、デ ス ク ト ッ プや ラ ッ プ ト ッ プ デバ イ ス のオペレーテ ィ ン グ シ ス テ ム も 評価で き ま す。プ ラ ッ ト フ ォ ーム を選択す る と 、追加の属性フ ィ ール ド で あ る [Device Type] と [Device Unique ID] が使用可能にな り ま す。 ステ ッ プ 4 [Platform Version] チ ェ ッ ク ボ ッ ク ス を オ ン に し て、等 し い(=)、等 し く ない(!=)、よ り 小 さ い(<)、 よ り 大 き い(>)、以下(<=)、ま たは以上(>=)を操作 フ ィ ール ド で選択 し てか ら 、[Platform Version] フ ィ ール ド でオペ レ ーテ ィ ン グ シ ス テ ム バージ ョ ン番号を指定 し ま す。 作成す る DAP レ コ ー ド に こ の属性 も 含 ま れ る よ う にす る には、前の手順でプ ラ ッ ト フ ォ ーム も 必ず指定 し て く だ さ い。 ステ ッ プ 5 [Platform] チ ェ ッ ク ボ ッ ク ス を オ ン に し た場合は、[Device Type] チ ェ ッ ク ボ ッ ク ス を オ ン にす る こ と がで き ま す。等 し い(=) ま たは等 し く ない(!=)を操作 フ ィ ール ド で選択 し てか ら 、デバ イ ス を [Device Type] フ ィ ール ド で選択す る か入力 し ま す。 サポー ト さ れ る デバ イ ス で あ る に も かかわ ら ず、[Device Type] フ ィ ール ド の リ ス ト に表示 さ れ ていない場合は、[Device Type] フ ィ ール ド に入力で き ま す。デバ イ ス タ イ プ情報を入手す る 最 も 確実な方法は、AnyConnect ク ラ イ ア ン ト を エ ン ド ポ イ ン ト に イ ン ス ト ール し て ASA に接続 し 、 DAP ト レ ー ス を実行す る こ と です。DAP ト レ ー ス の結果の中で、endpoint.anyconnect.devicetype の値を見つけ ま す。こ の値を [Device Type] フ ィ ール ド に入力す る 必要が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-11 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー DAP のエ ン ド ポ イ ン ト 属性選択基準の設定 ステ ッ プ 6 [Platform] チ ェ ッ ク ボ ッ ク ス を オ ン に し た場合は、[Device Unique ID] チ ェ ッ ク ボ ッ ク ス を オ ン に す る こ と がで き ま す。等 し い(=) ま たは等 し く ない(!=)を操作 フ ィ ール ド で選択 し てか ら 、デバ イ ス の一意の ID を [Device Unique ID] フ ィ ール ド に入力 し ま す。 [Device Unique ID] に よ っ て個々のデバ イ ス が区別 さ れ る ので、特定のモバ イ ル デバ イ ス に対す る ポ リ シーを設定で き ま す。デバ イ ス の一意の ID を取得す る には、そのデバ イ ス を ASA に接続 し て DAP ト レ ー ス を実行 し 、endpoint.anyconnect.deviceuniqueid の値を見つけ る 必要が あ り ま す。こ の値を [Device Unique ID] フ ィ ール ド に入力す る 必要が あ り ま す。 ステ ッ プ 7 [Platform] を オ ン に し た場合は、[MAC Addresses Pool] フ ィ ール ド に MAC ア ド レ ス を追加で き ま す。等 し い(=) ま たは等 し く ない(!=)を操作 フ ィ ール ド で選択 し てか ら 、MAC ア ド レ ス を指定 し ま す。各 MAC ア ド レ ス の フ ォ ーマ ッ ト は xx-xx-xx-xx-xx-xx で あ る こ と が必要です。x は有効な 16 進数文字(0 ~ 9、A ~ F、ま たは a ~ f)です。MAC ア ド レ ス は、1 つ以上の空白 ス ペー ス で区切 る 必要が あ り ま す。 MAC ア ド レ ス に よ っ て個々の シ ス テ ム が区別 さ れ る ので、特定のデバ イ ス に対す る ポ リ シー を 設定で き ま す。シ ス テ ム の MAC ア ド レ ス を 取得す る には、そのデバ イ ス を ASA に接続 し て DAP ト レ ー ス を 実行 し 、endpoint.anyconnect.macaddress の値 を 見つけ る 必要が あ り ま す。こ の値 を [MAC Address Pool] フ ィ ール ド に入力す る 必要が あ り ま す。 ステ ッ プ 8 [OK] を ク リ ッ ク し ま す。 DAP へのフ ァ イル エ ン ド ポ イ ン ト 属性の追加 は じ める前に フ ァ イ ル エ ン ド ポ イ ン ト 属性を設定す る 前に、ど の フ ァ イ ル を ス キ ャ ンす る か を Cisco Secure Desktop の [Host Scan] ウ ィ ン ド ウ で定義 し ま す。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択 し ま す。詳細については、そのページの [Help] を ク リ ッ ク し ま す。 ステ ッ プ 1 [Endpoint Attribute Type] リ ス ト ボ ッ ク ス で [File] を選択 し ま す。 ステ ッ プ 2 [Exists] と [Does not exist] のオプ シ ョ ン ボ タ ン では、選択 し たエ ン ド ポ イ ン ト 属性 と それに付随 す る 修飾子([Exists]/[Does not exist] ボ タ ン の下に あ る フ ィ ール ド )が存在す る 必要が あ る か ど う かに応 じ て、該当す る も の を選択 し ま す。 ステ ッ プ 3 [Endpoint ID] リ ス ト ボ ッ ク ス で、ス キ ャ ン対象の フ ァ イ ル エ ン ト リ に等 し いエ ン ド ポ イ ン ト ID を ド ロ ッ プダ ウ ン リ ス ト か ら 選択 し ま す。 フ ァ イ ルの情報が [Endpoint ID] リ ス ト ボ ッ ク ス の下に表示 さ れ ま す。 ステ ッ プ 4 [Last Update] チ ェ ッ ク ボ ッ ク ス を オ ン に し てか ら 、更新日か ら の日数が指定の値 よ り も 小 さ い (<) と 大 き い(>)の ど ち ら を条件 と す る か を操作 フ ィ ール ド で選択 し ま す。更新日か ら の日数を [days] フ ィ ール ド に入力 し ま す。 ステ ッ プ 5 [Checksum] チ ェ ッ ク ボ ッ ク ス を オ ン に し てか ら 、テ ス ト 対象 フ ァ イ ルのチ ェ ッ ク サ ム値 と 等 し い(=) ま たは等 し く ない(!=)の ど ち ら を条件 と す る か を操作 フ ィ ール ド で選択 し ま す。 ステ ッ プ 6 [Compute CRC32 Checksum] を ク リ ッ ク す る と 、テ ス ト 対象の フ ァ イ ルのチ ェ ッ ク サ ム値が計算 さ れ ま す。 ステ ッ プ 7 [OK] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-12 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー DAP のエ ン ド ポ イ ン ト 属性選択基準の設定 DAP へのデバイ ス エ ン ド ポ イ ン ト 属性の追加 ステ ッ プ 1 [Endpoint Attribute Type] リ ス ト ボ ッ ク ス で [Device] を選択 し ま す。 ステ ッ プ 2 [Host Name] チ ェ ッ ク ボ ッ ク ス を オ ン に し てか ら 、テ ス ト 対象デバ イ ス の ホ ス ト 名 と 等 し い(=) ま たは等 し く ない(!=)の ど ち ら を条件 と す る か を操作 フ ィ ール ド で選択 し ま す。完全修飾 ド メ イ ン名(FQDN)ではな く 、コ ン ピ ュ ー タ の ホ ス ト 名のみを使用 し ま す。 ステ ッ プ 3 [MAC address] チ ェ ッ ク ボ ッ ク ス を オ ン に し て か ら 、テ ス ト 対象のネ ッ ト ワ ー ク イ ン タ ー フ ェ イ ス カー ド の MAC ア ド レ ス と 等 し い(=) ま たは等 し く ない(!=)の ど ち ら を条件 と す る か を操作 フ ィ ール ド で選択 し ま す。1 つのエ ン ト リ につ き MAC ア ド レ ス は 1 つだけです。ア ド レ ス の フ ォ ーマ ッ ト は xxxx.xxxx.xxxx で あ る こ と が必要です。x は 16 進数文字です。 ステ ッ プ 4 [BIOS Serial Number] チ ェ ッ ク ボ ッ ク ス を オ ン に し てか ら 、テ ス ト 対象のデバ イ ス の BIOS シ リ アル番号 と 等 し い(=) ま たは等 し く ない(!=)の ど ち ら を条件 と す る か を操作 フ ィ ール ド で選択 し ま す。数値 フ ォ ーマ ッ ト は、製造業者固有です。フ ォ ーマ ッ ト 要件はあ り ま せん。 ステ ッ プ 5 [TCP/UDP Port Number] チェ ッ ク ボ ッ ク ス をオンに し てか ら、テ ス ト 対象の リ ス ニン グ状態の TCP ポー ト と 等し い(=)ま たは等し く ない(!=)のど ち ら を条件 と する かを操作フ ィ ール ド で選択し ます。 TCP/UDP コ ン ボ ボ ッ ク ス では、テ ス ト 対象(TCP(IPv4)、UDP(IPv4)、TCP(IPv6)、ま たは UDP (IPv6))のポー ト の種類を選択 し ま す。複数のポー ト を テ ス ト す る 場合は、DAP の個々のエ ン ド ポ イ ン ト 属性のルール を い く つか作成 し 、それぞれに 1 個のポー ト を指定 し ま す。 ステ ッ プ 6 [Version of Secure Desktop (CSD)] チ ェ ッ ク ボ ッ ク ス を オ ン に し てか ら 、エ ン ド ポ イ ン ト 上で実行 さ れ る ホ ス ト ス キ ャ ン イ メ ージのバージ ョ ン と 等 し い(=) ま たは等 し く ない(!=)の ど ち ら を条 件 と す る か を操作 フ ィ ール ド で選択 し ま す。 ステ ッ プ 7 [Version of Endpoint Assessment] チ ェ ッ ク ボ ッ ク ス を オ ン に し てか ら 、テ ス ト 対象のエ ン ド ポ イ ン ト ア セ ス メ ン ト (OPSWAT)のバージ ョ ン と 等 し い(=)ま たは等 し く ない(!=)の ど ち ら を条件 と す る か を操作フ ィ ール ド で選択 し ま す。 ステ ッ プ 8 [OK] を ク リ ッ ク し ま す。 DAP への NAC エ ン ド ポ イ ン ト 属性の追加 ステ ッ プ 1 [Endpoint Attribute Type] リ ス ト ボ ッ ク ス で [NAC] を選択 し ま す。 ステ ッ プ 2 [Posture Status] チ ェ ッ ク ボ ッ ク ス を オ ン に し てか ら 、ACS に よ っ て受信 さ れ る ポ ス チ ャ ト ー ク ン 文字列 と 等 し い(=)ま たは等 し く ない(!=)の ど ち ら を条件 と す る か を操作フ ィ ール ド で選択 し ま す。ポ ス チ ャ ト ー ク ン文字列を [Posture Status] テ キ ス ト ボ ッ ク ス に入力 し ます。 ステ ッ プ 3 [OK] を ク リ ッ ク し ま す。 DAP へのオペレーテ ィ ング システム エ ン ド ポ イ ン ト 属性の追加 ステ ッ プ 1 [Endpoint Attribute Type] リ ス ト ボ ッ ク ス で [Operating System] を選択 し ま す。 ステ ッ プ 2 [OS Version] チ ェ ッ ク ボ ッ ク ス を オ ン に し て か ら 、[OS Version] リ ス ト ボ ッ ク ス で設定す る オペ レ ーテ ィ ン グ シ ス テ ム(Windows、Mac、ま たは Linux) と 等 し い(=) ま たは等 し く ない(!=)の ど ち ら を条件 と す る か を操作 フ ィ ール ド で選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-13 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー DAP のエ ン ド ポ イ ン ト 属性選択基準の設定 ステ ッ プ 3 [OS Update] チ ェ ッ ク ボ ッ ク ス を オ ン に し て か ら 、[OS Update] テ キ ス ト ボ ッ ク ス に入力す る Windows、Mac、ま たは Linux オペ レ ーテ ィ ン グ シ ス テ ム のサービ ス パ ッ ク と 等 し い(=) ま たは 等 し く ない(!=)の ど ち ら を条件 と す る か を操作 フ ィ ール ド で選択 し ま す。 ステ ッ プ 4 [OK] を ク リ ッ ク し ま す。 DAP へのパー ソ ナル フ ァ イ アウ ォ ール エ ン ド ポ イ ン ト 属性の追加 ステ ッ プ 1 [Endpoint Attribute Type] リ ス ト ボ ッ ク ス で [Operating System] を選択 し ま す。 ステ ッ プ 2 適切なボ タ ン [Enabled]、[Disabled]、ま たは [Not Installed] を ク リ ッ ク し て、選択 し たエ ン ド ポ イ ン ト 属性 と それに付随す る 修飾子([Enabled]/[Disabled]/[Not Installed] ボ タ ン の下の フ ィ ール ド )を イ ネーブルにす る か、デ ィ セーブルにす る か、ま たは イ ン ス ト ール し ないか を指定 し ま す。 ステ ッ プ 3 [Vendor ID] リ ス ト ボ ッ ク ス で、テ ス ト 対象のパー ソ ナル フ ァ イ ア ウ ォ ール ベン ダーの名前を ク リ ッ ク し ま す。 ステ ッ プ 4 [Product Description] チ ェ ッ ク ボ ッ ク ス を オ ン に し て、テ ス ト す る ベン ダーの製品名を リ ス ト ボ ッ ク ス か ら 選択 し ま す。 ステ ッ プ 5 [Version] チ ェ ッ ク ボ ッ ク ス を オ ン に し て、操作 フ ィ ール ド を、[Version] リ ス ト ボ ッ ク ス で選択 し た製品バージ ョ ン番号に等 し い(=)、等 し く ない(!=)、よ り 小 さ い(<)、よ り 大 き い(>)、以下(<=)、 ま たは以上(>=)に設定 し ま す。 [Version] リ ス ト ボ ッ ク ス で選択 し たバージ ョ ン に x が付いてい る 場合(た と えば 3.x)は、こ の x を 具体的な リ リ ース番号で置 き 換え ます(た と えば 3.5)。 ステ ッ プ 6 [OK] を ク リ ッ ク し ま す。 DAP へのポ リ シー エ ン ド ポ イ ン ト 属性の追加 ステ ッ プ 1 [Endpoint Attribute Type] リ ス ト ボ ッ ク ス で [Policy] を選択 し ま す。 ステ ッ プ 2 [Location] チ ェ ッ ク ボ ッ ク ス を オ ン に し てか ら 、Cisco Secure Desktop Microsoft Windows ロ ケー シ ョ ン プ ロ フ ァ イ ル と 等 し い(=) ま たは等 し く ない(!=)の ど ち ら を条件 と す る か を操作 フ ィ ー ル ド で選択 し ま す。Cisco Secure Desktop Microsoft Windows ロ ケーシ ョ ン プ ロ フ ァ イ ル文字列を [Location] テ キ ス ト ボ ッ ク ス に入力 し ま す。 ステ ッ プ 3 [OK] を ク リ ッ ク し ま す。 DAP へのプ ロ セス エ ン ド ポ イ ン ト 属性の追加 は じ める前に プ ロ セ ス エ ン ド ポ イ ン ト 属性を設定す る 前に、ど のプ ロ セ ス を ス キ ャ ンす る か を Cisco Secure Desktop の [Host Scan] ウ ィ ン ド ウ で定義 し ま す。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択 し ま す。詳細については、そのページの [Help] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-14 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー DAP のエ ン ド ポ イ ン ト 属性選択基準の設定 ステ ッ プ 1 [Endpoint Attribute Type] リ ス ト ボ ッ ク ス で [Process] を選択 し ま す。 ステ ッ プ 2 [Exists] ま たは [Does not exist] のボ タ ン では、選択 し たエ ン ド ポ イ ン ト 属性 と それに付随す る 修 飾子([Exists]/[Does not exist] ボ タ ン の下に あ る フ ィ ール ド )が存在す る 必要が あ る か ど う かに応 じ て、該当す る も の を ク リ ッ ク し ま す。 ステ ッ プ 3 [Endpoint ID] リ ス ト ボ ッ ク ス で、ス キ ャ ン対象のエ ン ド ポ イ ン ト ID を ド ロ ッ プダ ウ ン リ ス ト か ら 選択 し ま す。 エ ン ド ポ イ ン ト ID プ ロ セ ス 情報が リ ス ト ボ ッ ク ス の下に表示 さ れ ま す。 ステ ッ プ 4 [OK] を ク リ ッ ク し ま す。 DAP へのレ ジス ト リ エ ン ド ポ イ ン ト 属性の追加 レ ジ ス ト リ エ ン ド ポ イ ン ト 属性の ス キ ャ ン は Windows オペ レ ーテ ィ ン グ シ ス テ ム にのみ適用 さ れ ま す。 は じ める前に レ ジ ス ト リ エ ン ド ポ イ ン ト 属性を設定す る 前に、ど の レ ジ ス ト リ キーを ス キ ャ ンす る か を Cisco Secure Desktop の [Host Scan] ウ ィ ン ド ウ で定義 し ま す。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択 し ま す。詳細につい ては、そのペー ジの [Help] を ク リ ッ ク し ま す。 ステ ッ プ 1 [Endpoint Attribute Type] リ ス ト ボ ッ ク ス で [Registry] を選択 し ま す。 ステ ッ プ 2 [Exists] ま たは [Does not exist] のボ タ ン では、レ ジ ス ト リ エ ン ド ポ イ ン ト 属性 と それに付随す る 修飾子([Exists]/[Does not exist] ボ タ ン の下に あ る フ ィ ール ド )が存在す る 必要が あ る か ど う かに 応 じ て、該当す る も の を ク リ ッ ク し ま す。 ステ ッ プ 3 [Endpoint ID] リ ス ト ボ ッ ク ス で、ス キ ャ ン対象の レ ジ ス ト リ エ ン ト リ に等 し いエ ン ド ポ イ ン ト ID を ド ロ ッ プダ ウ ン リ ス ト か ら 選択 し ま す。 レ ジ ス ト リ の情報が [Endpoint ID] リ ス ト ボ ッ ク ス の下に表示 さ れ ま す。 ステ ッ プ 4 [Value] チ ェ ッ ク ボ ッ ク ス を オ ン に し てか ら 、操作 フ ィ ール ド で等 し い(=) ま たは等 し く ない(!=) を選択 し ま す。 ステ ッ プ 5 最初の [Value] リ ス ト ボ ッ ク ス で、レ ジ ス ト リ キーが dword か文字列か を指定 し ま す。 ステ ッ プ 6 2 つ目の [Value] 操作 リ ス ト ボ ッ ク ス に、ス キ ャ ン対象の レ ジ ス ト リ キーの値を入力 し ま す。 ステ ッ プ 7 ス キ ャ ン時に レ ジ ス ト リ エ ン ト リ の大文字 と 小文字の違い を無視す る には、チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。検索時に大文字 と 小文字を区別す る には、チ ェ ッ ク ボ ッ ク ス を オ フ に し て く だ さ い。 ステ ッ プ 8 [OK] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-15 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー DAP のエ ン ド ポ イ ン ト 属性選択基準の設定 DAP と ア ン チ ウ イ ルス、ア ン チ スパ イ ウ ェ ア、お よ びパー ソ ナル フ ァ イ ア ウ ォ ール プ ロ グ ラ ム セ キ ュ リ テ ィ ア プ ラ イ ア ン ス は、ユーザ属性が、設定済みの AAA 属性お よ びエ ン ド ポ イ ン ト 属 性に一致す る 場合に DAP ポ リ シーを使用 し ま す。Cisco Secure Desktop のプ リ ロ グ イ ン評価モ ジ ュ ールお よ びホ ス ト ス キ ャ ン モ ジ ュ ールは、設定済みエ ン ド ポ イ ン ト 属性の情報を セ キ ュ リ テ ィ ア プ ラ イ ア ン ス に返 し 、DAP サブ シ ス テ ム では、その情報に基づい て それ ら の属性値に一 致す る DAP レ コ ー ド を選択 し ま す。 ア ンチ ウ イ ル ス 、ア ン チ ス パ イ ウ ェ ア、お よ びパー ソ ナル フ ァ イ ア ウ ォ ール プ ロ グ ラ ム のほ と ん ど(すべてではな く )は、ア ク テ ィ ブ ス キ ャ ン を サポー ト し てい ま す。つ ま り 、それ ら のプ ロ グ ラ ム は メ モ リ 常駐型で あ り 、常に動作 し てい ま す。ホ ス ト ス キ ャ ン は、エ ン ド ポ イ ン ト にプ ロ グ ラ ム が イ ン ス ト ール さ れてい る か ど う か、お よ びそのプ ロ グ ラ ム が メ モ リ 常駐型か ど う か を、次の よ う に し てチ ェ ッ ク し ま す。 • イ ン ス ト ール さ れてい る プ ロ グ ラ ム が ア ク テ ィ ブ ス キ ャ ン を サポー ト し ない場合、ホ ス ト ス キ ャ ン はその ソ フ ト ウ ェ ア の存在を レ ポー ト し ま す。DAP シ ス テ ム は、そのプ ロ グ ラ ム を 指定す る DAP レ コ ー ド を選択 し ま す。 • イ ン ス ト ール さ れてい る プ ロ グ ラ ム が ア ク テ ィ ブ ス キ ャ ン を サポー ト し てお り 、そのプ ロ グ ラ ム で ア ク テ ィ ブ ス キ ャ ン が イ ネーブルにな っ てい る 場合、ホ ス ト ス キ ャ ン はその ソ フ ト ウ ェ ア の存在を レ ポー ト し ま す。こ の場合 も 、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス は、そのプ ロ グ ラ ム を指定す る DAP レ コ ー ド を選択 し ま す。 • イ ン ス ト ール さ れてい る プ ロ グ ラ ム が ア ク テ ィ ブ ス キ ャ ン を サポー ト し てお り 、そのプ ロ グ ラ ム で ア ク テ ィ ブ ス キ ャ ン がデ ィ セーブルにな っ てい る 場合、ホ ス ト ス キ ャ ン はその ソ フ ト ウ ェ ア の存在を無視 し ま す。セ キ ュ リ テ ィ ア プ ラ イ ア ン ス は、そのプ ロ グ ラ ム を指定す る DAP レ コ ー ド を選択 し ま せん。さ ら に、そのプ ロ グ ラ ム が イ ン ス ト ール さ れてい る と し て も 、DAP につい ての情報が多 く 含 ま れ る debug trace コ マ ン ド の出力にはプ ロ グ ラ ム の存在 が示 さ れ ま せん。 エ ン ド ポ イ ン ト 属性の定義 次に、DAP で使用で き る エ ン ド ポ イ ン ト 選択属性を示 し ます。属性名フ ィ ール ド は、Lua 論理式で の各属性名の入力方法を示 し てお り 、[Dynamic Access Policy Selection Criteria] ペ イ ン の [Advanced] 領域で使用 し ます。label 変数は、アプ リ ケーシ ョ ン、フ ァ イ ル名、プ ロ セ ス、ま たは レ ジ ス ト リ エ ン ト リ を示 し ます。 Attribute Type 属性名 ソ ース 値 ス ト リ ン グの 最大長 スパイ ウ ェ ア endpoint.as["label"].exists 対策(Cisco Secure Desktop endpoint.as["label"].version が必要) endpoint.as["label"].description ホス ト ス キャン true — アンチスパイ ウ ェ ア プ ロ グ ラ ムが存在する string 32 Version string 128 アンチスパイ ウ ェ ア の説明 整数 — アンチスパイ ウ ェ ア 定義を更新 し てか ら の経過時間(秒) endpoint.as["label"].lastupdate Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-16 説明 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー DAP のエ ン ド ポ イ ン ト 属性選択基準の設定 Attribute Type 属性名 ソ ース 値 ス ト リ ン グの 最大長 ウ イルス対策 endpoint.av["label"].exists ホス ト ス キャン true — ア ンチウ イ ルス プ ロ グ ラ ム が存在す る string 32 Version string 128 アンチウ イルスの説明 整数 — ア ン チ ウ イ ル ス 定義 を更新 し てか ら の経 過時間(秒) version — AnyConnect ク ラ イ アン ト のバージ ョ ン。 endpoint.anyconnect.platform string — AnyConnect ク ラ イ アン ト が イ ン ス ト ール さ れ てい る オペレーテ ィ ン グ シ ス テム。 endpoint.anyconnect.platformversion version 64 AnyConnect ク ラ イ アン ト が イ ン ス ト ール さ れ てい る オペレーテ ィ ン グ シ ス テムのバー ジ ョ ン。 endpoint.anyconnect.devicetype string 64 AnyConnect ク ラ イ アン ト が イ ン ス ト ール さ れ てい る モバ イル デバ イ スの タ イ プ。 64 AnyConnect ク ラ イ アン ト が イ ン ス ト ール さ れ てい る モバ イル デバ イ スの一意の ID。 string フ ォーマ ッ ト は xx-xx-xx-xx-xx-x x であ る こ と が 必要です。x は 有効な 16 進数 文字です。 AnyConnect ク ラ イ アン ト が イ ン ス ト ール さ れ てい るデバ イ スの MAC ア ド レ ス。 string — ク ラ イ ア ン ト タ イ プ: (Cisco Secure Desktop が必 endpoint.av["label"].version 要) endpoint.av["label"].description endpoint.av["label"].lastupdate AnyConnect (Cisco Secure Desktop や ホス ト ス キ ャ ンは 必要あ り ません) endpoint.anyconnect.clientversion エン ド ポ イ ント endpoint.anyconnect.deviceuniqueid endpoint.anyconnect.macaddress ア プ リ ケー ション endpoint.application.clienttype ア プ リ ケー ション 説明 CLIENTLESS ANYCONNECT IPSEC L2TP Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-17 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー DAP のエ ン ド ポ イ ン ト 属性選択基準の設定 Attribute Type 属性名 ソ ース 値 ス ト リ ン グの 最大長 デバ イ ス エン ド ポ イン ト string 64 ホ ス ト 名のみ。FQDN では あ り ま せん。 endpoint.device.MAC string フ ォーマ ッ ト は xxxx.xxxx.xxxx であ る こ と が必 要です。x は 16 進数文字です。 ネ ッ ト ワーク イ ン タ ー フ ェ イ ス カー ド の MAC ア ド レ ス 。1 つのエ ン ト リ につ き MAC ア ド レ ス は 1 つだけ です。 endpoint.device.id string 64 BIOS シ リ アル番号。 数値 フ ォ ーマ ッ ト は、 製造業者固有です。 フ ォ ーマ ッ ト 要件は あ り ま せん。 endpoint.device.port string 1 ~ 65535 の 整数。 リ ス ニ ン グ状態の TCP ポー ト 。1 回線ご と に 1 つのポー ト を 定義で き ま す。 endpoint.device.protection_version string 64 実行 さ れ る ホ ス ト ス キ ャ ン イ メ ージの バージ ョ ン。 endpoint.device.protection_extension string 64 Endpoint Assessment (OPSWAT)のバー ジョン true — フ ァ イ ルが存在す る endpoint.file["label"].lastmodified 整数 — フ ァ イ ルが最後に変 更 さ れてか ら の経過 時間(秒) endpoint.file["label"].crc.32 整数 — フ ァ イ ルの CRC32 ハッシュ File endpoint.device.hostname endpoint.file["label"].exists endpoint.file[“label”].endpointid Secure Desktop 説明 NAC endpoint.nac.status NAC string — ユーザ定義 ス テー タ ス ス ト リ ング オペ レ ー テ ィ ング シ ステム endpoint.os.version Secure Desktop string 32 オペ レ ーテ ィ ン グ シ ステム 整数 — Windows のサービ ス パッ ク true — パー ソ ナル フ ァ イ ア ウ ォ ールが存在す る endpoint.fw["label"].version string 32 Version endpoint.fw["label"].description string 128 パー ソ ナル フ ァ イ ア ウ ォ ールの説明 パー ソ ナル ファ イア ウ ォ ール (Secure Desktop が 必要) endpoint.os.servicepack endpoint.fw["label"].exists ホス ト ス キャン Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-18 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー Lua を使用 し た DAP における追加の DAP 選択基準の作成 Attribute Type 属性名 ソ ース 値 ス ト リ ン グの 最大長 ポ リ シー endpoint.policy.location Secure Desktop string 64 Cisco Secure Desktop か ら の ロ ケーシ ョ ン値 プロセス endpoint.process["label"].exists Secure Desktop true — プ ロ セ ス が存在す る string 255 プ ロ セ スのフル パス Secure Desktop dword string — dword string 255 レ ジ ス ト リ エン ト リ の値 string — VLAN タ イ プ: endpoint.process["label"].path レジス ト リ endpoint.registry["label"].type endpoint.registry["label"].value VLAN endoint.vlan.type CNA 説明 ACCESS AUTH ERROR GUEST QUARANTINE ERROR STATIC TIMEOUT Lua を使用 し た DAP における追加の DAP 選択基準の作成 こ の項では、AAA ま たはエ ン ド ポ イ ン ト 属性の論理式の作成方法について説明 し ま す。こ れ を 行 う には、Lua に関す る 高度な知識が必要です。Lua のプ ロ グ ラ ミ ン グ についての詳細は、以下を 参照 し て く だ さ い。http://www.lua.org/manual/5.1/manual.html [Advanced] フ ィ ール ド に、AAA ま たはエ ン ド ポ イ ン ト 選択論理演算を表す自由形式の Lua テ キ ス ト を入力 し ま す。ASDM は、こ こ で入力 さ れ る テ キ ス ト を検証せず、こ のテ キ ス ト を単に DAP ポ リ シー フ ァ イ ルに コ ピ ーす る だけです。ASAがそれ を処理 し 、解析不能な式が あれば破棄 さ れ ま す。 こ のオプ シ ョ ン は、上の説明に あ る AAA お よ びエ ン ド ポ イ ン ト の属性領域で指定可能な基準以 外の選択基準を追加す る 場合に有効です。た と えば、指定 さ れた条件のいずれか ま たはすべて を 満たす、あ る いはいずれ も 満た さ ない AAA 属性を使用す る よ う にASAを設定で き ま す。エ ン ド ポ イ ン ト 属性は累積 さ れ、すべて満たす必要が あ り ま す。セ キ ュ リ テ ィ ア プ ラ イ ア ン ス で 1 つの エ ン ド ポ イ ン ト 属性 ま たは別の属性を使用で き る よ う にす る には、Lua で適切な論理式を作成 し て こ こ で入力す る 必要が あ り ま す。 次の各項では、Lua EVAL 式作成の詳細 と 、例を示 し ま す。 • Lua EVAL 式を作成す る 構文 • DAP CheckAndMsg 関数 • DAP EVAL 式の例 • 追加の Lua 機能 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-19 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー Lua を使用 し た DAP における追加の DAP 選択基準の作成 Lua EVAL 式を作成する構文 注 [Advanced] モー ド を使用す る 必要が あ る 場合は、プ ロ グ ラ ム を直接的に検証す る こ と が可能に な り 、明確にな る ため、で き る だけ EVAL 式を使用す る こ と をお勧め し ま す。 EVAL(<attribute> , <comparison>, {<value> | <attribute>}, [<type>]) <attribute> AAA 属性、ま たは Cisco Secure Desktop か ら 返 さ れた属性。属性の定義 については、エ ン ド ポ イ ン ト 属性の定義(5-16 ページ)を参照 し て く だ さ い。 <comparison> 次の文字列のいずれか(引用符が必要) “EQ” 等しい “NE” 等 し く ない “LT” よ り 小さい “GT” よ り 大きい “LE” 以下 “GE” 以上 <value> 引用符で囲 ま れ、属性 と 比較す る 値を含む文字列 <type> 次の文字列のいずれか(引用符が必要) “string” 大文字、小文字を区別す る 文字列の比較 “” 大文字、小文字を区別 し ない文字列の比較 “integer” 数値比較で、文字列値を数値に変換 “hex” 16 進数を用いた数値比較で、16 進数の文字列を 16 進数 に変換 “version” X.Y.Z. 形式(X、Y、Z は数字)のバージ ョ ン を比較 追加の Lua 機能 ク ラ イ ア ン ト レ ス SSL VPN のダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーで作業 し てい る 場合、一致基準に 高度な柔軟性が必要 と さ れ る こ と が考え ら れ ま す。た と えば、以下に従い別の DAP を適用 し な ければな ら ない場合が あ り ま す。 • CheckAndMsg は、DAP が コ ールす る よ う に設定可能な Lua 関数です。条件に基づ き ユーザ メ ッ セージ を生成 し ま す。 • 組織ユニ ッ ト (OU) ま たはユーザ オブジ ェ ク ト の他の階層の レ ベル • 命名規則に し たが っ てい る も のの、一致す る 可能性が高い グループ名。グループ名では ワ イ ル ド カー ド を使用 し たほ う が良い場合が あ り ま す。 ASDM の [DAP] ペ イ ン内の [Advanced] セ ク シ ョ ン で Lua 論理式を作成 し 、こ の柔軟性を実現で き ま す。 DAP CheckAndMsg 関数 ASAは、Lua CheckAndMsg 関数が選択 さ れてお り 、結果が ク ラ イ ア ン ト レ ス SSL VPN ま たは AnyConnect の タ ー ミ ネーシ ョ ン と な る と き だけに、メ ッ セージ を ユーザに表示 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-20 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー Lua を使用 し た DAP における追加の DAP 選択基準の作成 CheckAndMsg 関数の構文は以下の通 り です。 CheckAndMsg(value, “<message string if value is true>”, “<message string if value if false>”) CheckAndMsg 関数の作成時には、以下の点に注意 し て く だ さ い。 • CheckAndMsg は、最初の引数 と し て渡 さ れた値を返 し ま す。 • 文字列比較を使用 し た く ない場合、EVAL 関数を最初の引数 と し て使用 し て く だ さ い。次に 例を示 し ま す。 (CheckAndMsg((EVAL(...)) , "true msg", "false msg")) CheckandMsg は EVAL 関数の結果 を 返 し 、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス は DAP レ コ ー ド を 選択すべ き か ど う か を 判断す る のにその結果 を 使用 し ま す。レ コ ー ド が選択 さ れた結果、 タ ー ミ ネーシ ョ ン と な っ た場合、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス は適切な メ ッ セージ を 表示 し ま す。 OU ベースの一致例 DAP は、論理式で LDAP サーバか ら 返 さ れ る 多数の属性を使用で き ま す。DAP ト レ ー ス の項で出 力例を参照す る か、debug dap ト レ ー ス を実行 し て く だ さ い。 LDAP サーバはユーザの認定者名(DN)を 返 し ま す。こ れは、デ ィ レ ク ト リ 内の ど の部分にユー ザ オブ ジ ェ ク ト が あ る か を 暗黙的に示 し ま す。た と えば、ユーザの DN が CN=Example User,OU=Admins,dc=cisco,dc=com で あ る 場合、こ のユーザは OU=Admins,dc=cisco,dc=com に 存在 し ま す。すべて の管理者が こ の OU( ま たは、こ の レ ベル以下の コ ン テナ)に存在す る 場合、 以下の よ う に、こ の基準に一致す る 論理式 を 使用で き ま す。 assert(function() if ( (type(aaa.ldap.distinguishedName) == "string") and (string.find(aaa.ldap.distinguishedName, "OU=Admins,dc=cisco,dc=com$") ~= nil) ) then return true end return false end)() こ の例では、string.find 関数で正規表現を使用で き ま す。文字列の最後に $ を使用 し 、こ の文字列 か ら distinguishedName フ ィ ール ド の最後への ア ン カーをつけ ま す。 グループ メ ンバーシ ッ プの例 AD グループ メ ン バーシ ッ プのパ タ ーン照合のために、基本論理式を作成で き ま す。ユーザが複 数の グループの メ ン バーで あ る こ と が考え ら れ る ため、DAP は LDAP サーバか ら の応答を表内 の別々のエ ン ト リ へ と 解析 し ま す。以下を実行す る には、高度な機能が必要です。 • memberOf フ ィ ール ド を文字列 と し て比較す る (ユーザが 1 つの グループだけに所属 し てい る 場合)。 • 返 さ れた それぞれの memberOf フ ィ ール ド で繰 り 返 し 処理 し 、返 さ れたデー タ が「table」 タ イ プで あ る か ど う か を確認す る 。 そのために記述 し 、テ ス ト し た関数を以下に示 し ま す。こ の例では、ユーザが「-stu」で終わ る いず れかの グループの メ ン バーで あ る 場合、こ の DAP に一致 し ま す。 assert(function() local pattern = "-stu$" local attribute = aaa.ldap.memberOf if ((type(attribute) == "string") and (string.find(attribute, pattern) ~= nil)) then return true elseif (type(attribute) == "table") then Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-21 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー Lua を使用 し た DAP における追加の DAP 選択基準の作成 local k, v for k, v in pairs(attribute) do if (string.find(v, pattern) ~= nil) then return true end end end return false end)() ア ン チウ イルスの例 次の例は、ア ン チ ウ イ ル ス ソ フ ト ウ ェ ア が検知 さ れたか ど う か を確認す る ために カ ス タ ム関数 を使用 し てい ま す。 assert(function() for k,v in pairs(endpoint.av) do if (EVAL(v.exists, "EQ", "true", "string")) then return true end end return false end)() ア ン チスパイ ウ ェ アの例 次の例は、ア ン チ ス パ イ ウ ェ ア が検知 さ れたか ど う か を確認す る ために カ ス タ ム関数を使用 し てい ま す。 assert(function() for k,v in pairs(endpoint.as) do if (EVAL(v.exists, "EQ", "true", "string")) then return true end end return false end)() フ ァ イ アウ ォ ールの例 次の例は、フ ァ イ ア ウ ォ ールが検知 さ れたか ど う か を確認す る ために カ ス タ ム関数を使用 し て い ま す。 assert(function() for k,v in pairs(endpoint.fw) do if (EVAL(v.exists, "EQ", "true", "string")) then return true end end return false end)() ア ン チウ イルス、ア ン チスパイ ウ ェ ア、またはすべてのフ ァ イ アウ ォ ールの例 次の例は、ア ン チ ウ イ ル ス 、ア ン チ ス パ イ ウ ェ ア ま たは フ ァ イ ア ウ ォ ールのいずれかの存在が検 知 さ れたか ど う か を確認す る ために カ ス タ ム関数を使用 し てい ま す。 assert(function() function check(antix) if (type(antix) == "table") then for k,v in pairs(antix) do if (EVAL(v.exists, "EQ", "true", "string")) then return true end end Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-22 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー Lua を使用 し た DAP における追加の DAP 選択基準の作成 end return false end return (check(endpoint.av) or check(endpoint.fw) or check(endpoint.as)) end)() ア ク セス拒否の例 ア ン チ ウ イ ル ス プ ロ グ ラ ム が存在 し ない場合の ア ク セ ス を拒否す る ために、次の関数を使用で き ま す。タ ー ミ ネーシ ョ ン を実行す る ための ア ク シ ョ ン が設定 さ れてい る DAP で使用 し ま す。 assert( function() for k,v in pairs(endpoint.av) do if (EVAL(v.exists, "EQ”, "true", "string")) then return false end end return CheckAndMsg(true, "Please install antivirus software before connecting.", nil) end)() ア ン チ ウ イ ル ス プ ロ グ ラ ム がないユーザが ロ グ イ ン し よ う と す る と 、DAP は次の メ ッ セージ を 表示 し ま す。 Please install antivirus software before connecting. DAP EVAL 式の例 Lua で論理式を作成す る 場合は、こ れ ら の例を参考に し て く だ さ い。 説明 例 Windows XP か ど う か を テ ス ト するエン ド ポ イ ン ト 。 EVAL(endpoint.os.version, "EQ", "Windows XP", "string") CLIENTLESS ま たは CVC ク (EVAL(endpoint.application.clienttype,"EQ","CLIENTLESS") ラ イ ア ン ト タ イ プに一致す る or EVAL(endpoint.application.clienttype, "EQ","CVC")) かど う かをテ ス ト するエン ド ポ イ ン ト 式。 Norton Antivirus バージ ョ ン 10.x か ど う か を テ ス ト す る が、10.5.x は除外す る エ ン ド ポ イ ン ト 式。 (EVAL(endpoint.av["NortonAV"].version, "GE", "10","version") and EVAL(endpoint.av["NortonAV"].version,"LT", "10.5", "version") or EVAL(endpoint.av[“NortonAV"].version, "GE", "10.6", "version"))) 単一ア ン チ ウ イ ル ス プ ロ グ ラ (CheckAndMsg(EVAL(endpoint.av["McAfeeAV"].exists,"NE","tru ム McAfee がユーザの PC に e"),"McAfee AV was not found on your computer", nil)) イ ン ス ト ール さ れて い る か ど う かのチ ェ ッ ク 。イ ン ス ト ー ル さ れて い な い場合は メ ッ セージ を 表示 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-23 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー Lua を使用 し た DAP における追加の DAP 選択基準の作成 説明 例 McAfee ア ン チ ウ イ ル ス 定義 が過去 10 日(864000 秒)以内 に更新 さ れたか ど う かの チ ェ ッ ク 。更新が必要な場合 は メ ッ セージ を表示 し ま す。 ((CheckAndMsg(EVAL(endpoint.av["McAfeeAV"].lastupdate,"GT ","864000","integer"),"AV Update needed! Please wait for the McAfee AV till it loads the latest dat file.",nil) )) debug dap trace で以下が返さ れ (CheckAndMsg(EVAL(endpoint.os.windows.hotfix["KB923414"]," た後に特定のホ ッ ト フ ィ ッ ク ス NE","true"),"The required hotfix is not installed on your PC.",nil)) があ る かど う かをチェ ッ ク。 endpoint.os.windows.hotfix[" KB923414"] = "true"; ア ン チウ イルス プ ログ ラ ムのチ ェ ッ ク ア ン チ ウ イ ル ス プ ロ グ ラ ム がない場合、ま たは実行 し ていない場合 も 、ユーザが問題に気づ き 、 修正で き る よ う に メ ッ セージ を設定で き ま す。こ れに よ り 、ア ク セ ス が拒否 さ れて も 、ASAは 「 タ ー ミ ネーシ ョ ン」状態の原因 と な っ たすべての メ ッ セージ を DAP か ら 収集 し 、ブ ラ ウ ザの ロ グ イ ン ページに表示 し ま す。ア ク セ ス が許可 さ れた場合、ASAはポー タ ル ページの DAP 評価プ ロ セ ス で生成 さ れたすべての メ ッ セージ を表示 し ま す。 次の例は、Norton Antivirus プ ロ グ ラ ム のチ ェ ッ ク で こ の機能を使用す る 方法を示 し ま す。 1. 次の Lua 式を コ ピ ー し 、[Add/Edit Dynamic Access Policy] ペ イ ン の [Advanced] フ ィ ール ド に 貼 り 付け ま す(右端に あ る 二重矢印を ク リ ッ ク し て、フ ィ ール ド を展開 し ま す)。 (CheckAndMsg(EVAL(endpoint.av["NortonAV"].exists, "EQ", "false"),"Your Norton AV was found but the active component of it was not enabled", nil) or CheckAndMsg(EVAL(endpoint.av["NortonAV"].exists, "NE", "true"),"Norton AV was not found on your computer", nil) ) 2. 同 じ [Advanced] フ ィ ール ド で、[OR] ボ タ ン を ク リ ッ ク し ま す。 3. 下の [Access Attributes] セ ク シ ョ ン の一番左の [Action] タ ブで、[Terminate] を ク リ ッ ク し ま す。 4. Norton Antivirus が イ ン ス ト ール さ れていないか、無効にな っ てい る PC か ら 接続 し ま す。予 測 さ れ る 結果は、接続が許可 さ れず、かつ メ ッ セージが点滅す る ! 点 と し て表示 さ れ ま す。 5. メ ッ セージ を表示す る には、点滅す る ! を ク リ ッ ク し ま す。 ア ン チウ イルス プ ログ ラ ム と 、1 日半以上経過 し た定義のチ ェ ッ ク こ の例では、Norton ま たは McAfee の ア ン チ ウ イ ル ス プ ロ グ ラ ム が存在す る か ど う か、ま た、ウ イ ル ス 定義が 1 日半(10,000 秒)以内の も ので あ る か ど う か を確認 し ま す。定義が 1 日半以上経過 し てい る 場合、ASAはセ ッ シ ョ ン を終了 し 、メ ッ セージ と 、修正す る ための リ ン ク を表示 し ま す。 こ の タ ス ク を完了す る には、次の手順を実行 し ま す。 1. 次の Lua 式を コ ピ ー し 、[Add/Edit Dynamic Access Policy] ペ イ ン の [Advanced] フ ィ ール ド に 貼 り 付け ま す(右端に あ る 二重矢印を ク リ ッ ク し て、フ ィ ール ド を展開 し ま す)。 ((EVAL(endpoint.av[“NortonAV”].exists,”EQ”,”true”,”string”) and CheckAndMsg(EVAL(endpoint.av[“NortonAV”].lastupdate,”GT”,”10000”,integer”),To remediate <a href=’http://www.symantec.com’>Click this link </a>”,nil)) or (EVAL(endpoint.av[“McAfeeAV”].exists,”EQ”,”true”,”string”) and CheckAndMsg(EVAL(endpoint.av[“McAfeeAV”].lastupdate,”GT”,”10000”,integer”),To remediate <a href=’http://www.mcafee.com’>Click this link</a>”,nil)) 2. 同 じ [Advanced] フ ィ ール ド で、[AND] を ク リ ッ ク し ま す。 3. 下の [Access Attributes] セ ク シ ョ ン の一番左の [Action] タ ブで、[Terminate] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-24 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー DAP ア ク セ ス と 許可ポ リ シー属性の設定 4. Norton ま たは McAfee の ア ン チ ウ イ ル ス プ ロ グ ラ ム が イ ン ス ト ール さ れてお り 、バージ ョ ン が 1 日半以上前の も ので あ る PC か ら 接続 し ま す。予測 さ れ る 結果は、接続が許可 さ れず、か つ メ ッ セージが点滅す る ! 点 と し て表示 さ れ ま す。 5. 修復に関す る メ ッ セージ と リ ン ク を表示す る には、点滅す る ! を ク リ ッ ク し ま す。 DAP ア ク セス と 許可ポ リ シー属性の設定 各 タ ブ を ク リ ッ ク し て、タ ブ内の フ ィ ール ド を設定 し ま す。 ステ ッ プ 1 特定の接続ま たはセ ッ シ ョ ンに適用 さ れ る特別な処理を指定する には、[Action] タ ブを選択 し ます。 • [Continue]:(デ フ ォ ル ト )セ ッ シ ョ ン に ア ク セ ス ポ リ シー属性を適用 し ま す。 • [Quarantine]:検疫を使用す る と 、すでに VPN 経由で ト ン ネル を確立 し た特定の ク ラ イ ア ン ト を制限で き ま す。ASA は、制限付 き ACL を セ ッ シ ョ ン に適用 し て制限付 き グループ を形 成 し ま す。こ の基にな る のは、選択 さ れた DAP レ コ ー ド です。管理目的で定義 さ れた ポ リ シーにエ ン ド ポ イ ン ト が準拠 し ていない と き も 、ユーザは修復のためのサービ ス (た と えば ア ン チ ウ イ ル ス ア プ リ ケーシ ョ ン の ア ッ プデー ト )に ア ク セ ス で き ま すが、そのユーザには 制限が適用 さ れ ま す。修復後、ユーザは再接続で き ま す。こ の再接続に よ り 、新 し いポ ス チ ャ ア セ ス メ ン ト が起動 さ れ ま す。こ の ア セ ス メ ン ト に合格す る と 、接続 さ れ ま す。こ のパ ラ メ ー タ を使用す る には、AnyConnect セ キ ュ ア モ ビ リ テ ィ 機能を サポー ト し てい る AnyConnect リ リ ー ス が必要です。 • [Terminate]:セ ッ シ ョ ン を終了 し ま す。 • [User Message]: こ の DAP レ コ ー ド が選択 さ れ る と き に、ポー タ ル ページに表示す る テ キ ス ト メ ッ セージ を入力 し ま す。最大 490 文字を入力で き ま す。ユーザ メ ッ セージは、黄色の オーブ と し て表示 さ れ ま す。ユーザが ロ グ イ ンす る と 、メ ッ セージは 3 回点滅 し てか ら 静止 し ま す。数件の DAP レ コ ー ド が選択 さ れ、それぞれにユーザ メ ッ セージが あ る 場合は、ユー ザ メ ッ セージがすべて表示 さ れ ま す。 URL やその他の埋め込みテキ ス ト を含め る こ と がで き ます。こ の場合は、正し い HTML タ グ を使 用する必要があ り ます。例:すべての コ ン ト ラ ク タは、ご使用のアンチウ イルス ソ フ ト ウ ェ アの ア ッ プグ レー ド 手順について、<a href='http://wwwin.example.com/procedure.html'>Instructions</a> を参 照し て く だ さ い。 ステ ッ プ 2 [Network ACL Filters] タ ブ を選択 し 、こ の DAP レ コ ー ド に適用 さ れ る ネ ッ ト ワ ー ク ACL を設定 し ま す。 DAP の ACL には、許可ルール ま たは拒否ルール を含め る こ と がで き ま すが、両方を含め る こ と はで き ま せん。ACL に許可ルール と 拒否ルールの両方が含 ま れてい る 場合、ASAはその ACL を 拒否 し ま す。 • [Network ACL] ド ロ ッ プダ ウ ン リ ス ト : こ の DAP レ コ ー ド に追加す る 、すでに設定済みの ネ ッ ト ワ ー ク ACL を選択 し ま す。すべての許可ルール ま たはすべての拒否ルール を含む ACL だけが適格 と さ れ、こ れ ら の適格な ACL だけが こ こ に表示 さ れ ま す。こ の フ ィ ール ド は、IPv4 お よ び IPv6 ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク の ア ク セ ス ルール を定義で き る 統合 ACL を サポー ト し てい ま す。 • [Manage]:ネ ッ ト ワ ー ク ACL を追加、編集、お よ び削除す る と き に ク リ ッ ク し ま す。 • [Network ACL] リ ス ト : こ の DAP レ コ ー ド のネ ッ ト ワ ー ク ACL が表示 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-25 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー DAP ア ク セ ス と 許可ポ リ シー属性の設定 ステ ッ プ 3 ステ ッ プ 4 • [Add>>]: ク リ ッ ク す る と 、ド ロ ッ プダ ウ ン リ ス ト で選択 し た ネ ッ ト ワ ー ク ACL が右側の [Network ACLs] リ ス ト に追加 さ れ ま す。 • [Delete]: ク リ ッ ク す る と 、強調表示 さ れてい る ネ ッ ト ワ ー ク ACL が [Network ACLs] リ ス ト か ら 削除 さ れ ま す。ASAか ら ACL を削除す る には、ま ず DAP レ コ ー ド か ら その ACL を削除 す る 必要が あ り ま す。 [Web-Type ACL Filters (clientless)] タ ブ を選択 し 、こ の DAP レ コ ー ド に適用 さ れ る Web タ イ プ ACL を設定 し ま す。DAP の ACL には、許可 ま たは拒否ルールだけ を含め る こ と がで き ま す。ACL に許可ルール と 拒否ルールの両方が含 ま れてい る 場合、ASAはその ACL を拒否 し ま す。 • [Web-Type ACL] ド ロ ッ プダ ウ ン リ ス ト : こ の DAP レ コ ー ド に追加す る 、設定済みの Web-type ACL を選択 し ます。すべての許可ルール ま たはすべての拒否ルールを含む ACL だけが適格 と さ れ、こ れ ら の適格な ACL だけが こ こ に表示 さ れ ます。 • [Manage...]:Web-type ACL を追加、編集、お よ び削除す る と き に ク リ ッ ク し ま す。 • [Web-Type ACL] リ ス ト : こ の DAP レ コ ー ド の Web-type ACL が表示 さ れ ま す。 • [Add>>]: ク リ ッ ク す る と 、ド ロ ッ プダ ウ ン リ ス ト で選択 し た Web-type ACL が右側の [Web-Type ACLs] リ ス ト に追加 さ れ ま す。 • [Delete]: ク リ ッ ク す る と 、Web-type ACL の 1 つが [Web-Type ACLs] リ ス ト か ら 削除 さ れ ま す。ASAか ら ACL を削除す る には、ま ず DAP レ コ ー ド か ら その ACL を削除す る 必要が あ り ま す。 [Functions] タ ブ を選択 し 、フ ァ イ ル サーバ エ ン ト リ と ブ ラ ウ ジ ン グ、HTTP プ ロ キ シ、お よ び DAP レ コ ー ド の URL エ ン ト リ を設定 し ま す。 • [File Server Browsing]:フ ァ イ ル サーバ ま たは共有機能の CIFS ブ ラ ウ ジ ン グ を イ ネーブル ま たはデ ィ セーブルに し ま す。 ブ ラ ウ ズには、NBNS(マ ス タ ー ブ ラ ウ ザ ま たは WINS)が必要です。NBNS に障害が発生 し た 場合や、NBNS が設定 さ れていない場合は、DNS を使用 し ま す。CIFS ブ ラ ウ ズ機能では、国際 化がサポー ト さ れてい ま せん。 • [File Server Entry]:ポー タ ル ページでユーザが フ ァ イ ル サーバのパ ス お よ び名前を入力で き る よ う にす る か ど う か を設定 し ま す。イ ネーブルにな っ てい る 場合、ポー タ ル ページに フ ァ イ ル サーバ エ ン ト リ の ド ロ ワ が配置 さ れ ま す。ユーザは、Windows フ ァ イ ルへのパ ス 名を直 接入力で き ま す。ユーザは、フ ァ イ ル を ダ ウ ン ロ ー ド 、編集、削除、名前変更、お よ び移動で き ま す。ま た、フ ァ イ ルお よ び フ ォ ルダ を追加す る こ と も で き ま す。適用可能な Windows サー バでユーザ ア ク セ ス に対 し て共有を設定す る 必要 も あ り ま す。ネ ッ ト ワ ー ク の要件に よ っ ては、ユーザが フ ァ イ ルへの ア ク セ ス 前に認証を受け る 必要が あ る こ と も あ り ま す。 • [HTTP Proxy]: ク ラ イ ア ン ト への HTTP アプ レ ッ ト プ ロ キ シの転送に関与 し ま す。こ のプ ロ キ シは、適切な コ ン テ ン ツ変換に干渉す る テ ク ノ ロ ジー(Java、ActiveX、Flash な ど)に対 し て有 用です。こ のプ ロ キ シに よ っ て、セ キ ュ リ テ ィ アプ ラ イ ア ン ス の使用を継続 し なが ら 、マ ン グ リ ン グ を回避で き ま す。転送 さ れたプ ロ キ シは、自動的にブ ラ ウ ザの古いプ ロ キ シ コ ン フ ィ ギ ュ レーシ ョ ン を変更 し て、すべての HTTP お よ び HTTPS 要求を新 し いプ ロ キ シ コ ン フ ィ ギ ュ レーシ ョ ン に リ ダ イ レ ク ト し ます。HTTP アプ レ ッ ト プ ロ キ シでは、HTML、CSS、 JavaScript、VBScript、ActiveX、Java な ど、ほ と ん どすべての ク ラ イ ア ン ト 側テ ク ノ ロ ジーがサ ポー ト さ れてい ま す。サポー ト さ れてい る ブ ラ ウ ザは、Microsoft Internet Explorer だけです。 • [URL Entry]:ポー タ ル ページ でユーザが HTTP/HTTPS URL を入力で き る よ う にす る か ど う か を設定 し ま す。こ の機能が イ ネーブルにな っ てい る 場合、ユーザは URL エ ン ト リ ボ ッ ク ス に Web ア ド レ ス を入力で き ま す。ま た、ク ラ イ ア ン ト レ ス SSL VPN を使用 し て、こ れ ら の Web サ イ ト に ア ク セ ス で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-26 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー DAP ア ク セ ス と 許可ポ リ シー属性の設定 SSL VPN を使用 し て も 、すべてのサ イ ト と の通信が必ず し も セ キ ュ ア にな る と はか ぎ り ま せん。 SSL VPN は、企業ネ ッ ト ワ ー ク 上の リ モー ト ユーザの PC や ワ ー ク ス テーシ ョ ン と ASA と の間 のデー タ 転送のセ キ ュ リ テ ィ を保証す る も のです。し たが っ て、ユーザが HTTPS 以外の Web リ ソ ー ス ( イ ン タ ーネ ッ ト 上や内部ネ ッ ト ワ ー ク 上に あ る も の)に ア ク セ ス す る 場合、企業のASA か ら 目的の Web サーバ ま での通信はセ キ ュ ア ではあ り ま せん。 ク ラ イ ア ン ト レ ス VPN 接続では、ASAはエ ン ド ユーザの Web ブ ラ ウ ザ と タ ーゲ ッ ト Web サー バ と の間のプ ロ キ シ と し て機能 し ま す。ユーザが SSL 対応 Web サーバに接続す る と 、ASAはセ キ ュ ア な接続を確立 し 、SSL 証明書を検証 し ま す。エ ン ド ユーザ ブ ラ ウ ザでは提示 さ れた証明書 を受信 し ないため、証明書を調査 し て検証す る こ と はで き ま せん。SSL VPN の現在の実装では、 期限切れにな っ た証明書を提示す る サ イ ト と の通信は許可 さ れ ま せん。ま た、ASAは、信頼で き る CA 証明書の検証 も 実行 し ま せん。こ のため、ユーザは、SSL 対応の Web サーバ と 通信す る 前 に、そのサーバに よ り 提示 さ れた証明書を分析す る こ と はで き ま せん。 ユーザの イ ン タ ーネ ッ ト ア ク セ ス を制限す る には、[Disable for the URL Entry] フ ィ ール ド を選択 し ま す。こ れに よ り 、SSL VPN ユーザが ク ラ イ ア ン ト レ ス VPN 接続中に Web サー フ ィ ン で き な い よ う に し ま す。 ステ ッ プ 5 • [Unchanged]:(デ フ ォ ル ト ) ク リ ッ ク す る と 、こ のセ ッ シ ョ ン に適用 さ れ る グループ ポ リ シー か ら の値が使用 さ れ ま す。 • [Enable/Disable]:機能を イ ネーブルにす る かデ ィ セーブルにす る か を指定 し ま す。 • [Auto-start]: ク リ ッ ク す る と HTTP プ ロ キ シが イ ネーブルにな り 、こ れ ら の機能に関連付け ら れた ア プ レ ッ ト が DAP レ コ ー ド に よ っ て自動的に起動す る よ う にな り ま す。 [Port Forwarding Lists] タ ブ を選択 し 、ユーザ セ ッ シ ョ ン のポー ト 転送 リ ス ト を設定 し ま す。 ポー ト 転送に よ り グループ内の リ モー ト ユーザは、既知の固定 TCP/IP ポー ト で通信す る ク ラ イ ア ン ト /サーバ ア プ リ ケーシ ョ ン に ア ク セ ス で き ま す。リ モー ト ユーザは、ロ ーカル PC に イ ン ス ト ール さ れた ク ラ イ ア ン ト ア プ リ ケーシ ョ ン を使用 し て、その ア プ リ ケーシ ョ ン を サポー ト す る リ モー ト サーバに安全に ア ク セ ス で き ま す。シ ス コ では、Windows Terminal Services、Telnet、 Secure FTP(FTP over SSH)、Perforce、Outlook Express、お よ び Lotus Notes について テ ス ト し てい ま す。その他の TCP ベー ス の ア プ リ ケーシ ョ ン の一部 も 機能す る と 考え ら れ ま すが、シ ス コ では テ ス ト し てい ま せん。 注 注意 ポー ト 転送は、一部の SSL/TLS バージ ョ ン では使用で き ま せん。 ポー ト 転送(アプ リ ケーシ ョ ン ア ク セ ス)お よ びデジ タ ル証明書を サポー ト す る Sun Microsystems Java Runtime Environment(JRE)1.4+ が リ モー ト コ ン ピ ュ ー タ に イ ン ス ト ール さ れてい る こ と を確 認 し ます。 • [Port Forwarding]: こ の DAP レ コ ー ド に適用 さ れ る ポー ト 転送 リ ス ト のオプ シ ョ ン を選択 し ま す。こ の フ ィ ール ド のその他の属性は、[Port Forwarding] を [Enable] ま たは [Auto-start] に 設定 し た場合にだけ イ ネーブルにな り ま す。 • [Unchanged]: ク リ ッ ク す る と 、属性が実行 コ ン フ ィ ギ ュ レ ーシ ョ ン か ら 削除 さ れ ま す。 • [Enable/Disable]:ポー ト 転送を イ ネーブルにす る かデ ィ セーブルにす る か を指定 し ま す。 • [Auto-start]: ク リ ッ ク す る と ポー ト 転送が イ ネーブルにな り 、DAP レ コ ー ド のポー ト 転送 リ ス ト に関連付け ら れた ポー ト 転送ア プ レ ッ ト が自動的に起動す る よ う にな り ま す。 • [Port Forwarding List] ド ロ ッ プダ ウ ン リ ス ト :DAP レ コ ー ド に追加す る 、設定済みのポー ト 転送 リ ス ト を選択 し ま す。 • [New...]:新規のポー ト 転送 リ ス ト を設定す る と き に ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-27 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー DAP ア ク セ ス と 許可ポ リ シー属性の設定 ステ ッ プ 6 ステ ッ プ 7 ステ ッ プ 8 • [Port Forwarding Lists]( ラ ベルな し ):DAP レ コ ー ド のポー ト 転送 リ ス ト が表示 さ れ ま す。 • [Add]: ク リ ッ ク す る と 、ド ロ ッ プダ ウ ン リ ス ト で選択 し た ポー ト 転送 リ ス ト が右側のポー ト 転送 リ ス ト に追加 さ れ ま す。 • [Delete]: ク リ ッ ク す る と 、選択 さ れてい る ポー ト 転送 リ ス ト がポー ト 転送 リ ス ト か ら 削除 さ れ ま す。ASAか ら ポー ト 転送 リ ス ト を削除す る には、ま ず DAP レ コ ー ド か ら その リ ス ト を削 除す る 必要が あ り ま す。 [Bookmarks] タ ブ を選択 し 、特定のユーザ セ ッ シ ョ ン URL のブ ッ ク マー ク を設定 し ま す。 • [Enable bookmarks]: ク リ ッ ク す る と イ ネーブルにな り ま す。こ のチ ェ ッ ク ボ ッ ク ス がオ フ の と き は、接続のポー タ ル ページにブ ッ ク マー ク は表示 さ れ ま せん。 • [Bookmark] ド ロ ッ プダ ウ ン リ ス ト :DAP レ コ ー ド に追加す る 、設定済みのブ ッ ク マー ク を選 択 し ま す。 • [Manage...]:ブ ッ ク マー ク を追加、イ ン ポー ト 、エ ク ス ポー ト 、削除す る と き に ク リ ッ ク し ます。 • [Bookmarks]( ラ ベルな し ): こ の DAP レ コ ー ド の URL リ ス ト が表示 さ れ ま す。 • [Add>>]: ク リ ッ ク す る と 、ド ロ ッ プダ ウ ン リ ス ト で選択 し たブ ッ ク マー ク が右側の URL 領 域に追加 さ れ ま す。 • [Delete]: ク リ ッ ク す る と 、選択 さ れてい る ブ ッ ク マー ク が URL リ ス ト 領域か ら 削除 さ れ ま す。ブ ッ ク マー ク を ASA か ら 削除す る には、初めにそのブ ッ ク マー ク を DAP レ コ ー ド か ら 削除す る 必要が あ り ま す。 [Access Method] タ ブ を選択 し 、許可す る リ モー ト ア ク セ ス の タ イ プ を設定 し ま す。 • [Unchanged]:現在の リ モー ト ア ク セ ス 方式を引 き 続 き 使用 し ま す。 • [AnyConnect Client]:Cisco AnyConnect VPN ク ラ イ ア ン ト を使用 し て接続 し ま す。 • [Web-Portal]: ク ラ イ ア ン ト レ ス VPN で接続 し ま す。 • [Both-default-Web-Portal]: ク ラ イ ア ン ト レ ス ま たは AnyConnect ク ラ イ ア ン ト を介 し て接続 し ま す。デ フ ォ ル ト は ク ラ イ ア ン ト レ ス です。 • [Both default AnyConnect Client]: ク ラ イ ア ン ト レ ス ま たは AnyConnect ク ラ イ ア ン ト を介 し て接続 し ま す。デ フ ォ ル ト は AnyConnect です。 [AnyConnect] タ ブ を選択 し 、Always-on VPN フ ラ グ の ス テー タ ス を選択 し ま す。 • [Always-On VPN for AnyConnect client]:AnyConnect サー ビ ス プ ロ フ ァ イ ル内の Always-on VPN フ ラ グ設定を未変更にす る か、デ ィ セーブルにす る か、AnyConnect プ ロ フ ァ イ ル設定を 使用す る か を指定 し ま す。 こ のパ ラ メ ータ を使用するには、Cisco Web セキ ュ リ テ ィ アプ ラ イ アン スの リ リ ースが、Cisco AnyConnect VPN ク ラ イ アン ト に対し てセキ ュ ア モビ リ テ ィ ソ リ ューシ ョ ン ラ イ センシン グ を サポー ト し てい る必要があ り ます。ま た、AnyConnect の リ リ ースが、「セキ ュ ア モビ リ テ ィ ソ リ ューシ ョ ン」の機能をサポー ト し てい る必要も あ り ます。詳細については、『Cisco AnyConnect VPN Client Administrator Guide』を参照し て く だ さ い。 ステ ッ プ 9 [AnyConnect Custom Attributes] タ ブ を選択 し 、定義済みの カ ス タ ム属性を表示 し て、こ のポ リ シーに関連付け ま す。ま た、カ ス タ ム属性を定義 し て か ら 、それ ら を こ のポ リ シーに関連付け る こ と も で き ま す。 カ ス タ ム属性は AnyConnect ク ラ イ ア ン ト に送信 さ れ、ア ッ プ グ レ ー ド の延期な ど の機能を設定 す る ために使用 さ れ ま す。カ ス タ ム属性には タ イ プ と 名前付 き の値が あ り ま す。ま ず属性の タ イ プ を定義 し た後、こ の タ イ プの名前付 き の値を 1 つ以上定義で き ま す。機能に対 し て設定す る 固 有の カ ス タ ム属性の詳細については、使用 し てい る AnyConnect リ リ ー ス の『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照 し て く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-28 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー DAP ト レ ースの実行 カ ス タ ム属性は、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Custom Attributes] お よ び [AnyConnect Custom Attribute Names] で事前に定義で き ま す。事前に定義 し た カ ス タ ム属性は、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー と グループ ポ リ シーの両方 で使用 さ れ ま す。 DAP ト レースの実行 DAP ト レ ー ス を実行す る と 、すべての接続済みデバ イ ス の DAP エ ン ド ポ イ ン ト 属性が表示 さ れ ま す。 ステ ッ プ 1 SSH タ ー ミ ナルか ら ASA に ロ グ オ ン し て特権 EXEC モー ド を開始 し ま す。 ASA の特権 EXEC モー ド では、表示 さ れ る プ ロ ン プ ト は hostname# と な り ま す。 ステ ッ プ 2 DAP デバ ッ グ を イ ネーブルに し ま す。セ ッ シ ョ ン のすべての DAP 属性が タ ー ミ ナル ウ ィ ン ド ウ に表示 さ れ ま す。 hostname# debug dap trace endpoint.anyconnect.clientversion="0.16.0021"; endpoint.anyconnect.platform="apple-ios"; endpoint.anyconnect.platformversion="4.1"; endpoint.anyconnect.devicetype="iPhone1,2"; endpoint.anyconnect.deviceuniqueid="dd13ce3547f2fa1b2c3d4e5f6g7h8i9j0fa03f75"; ステ ッ プ 3 (オプ シ ョ ン )DAP ト レ ー ス の出力 を 検索す る には、コ マ ン ド の出力 を シ ス テ ム ロ グ に送信 し ま す。ASA での ロ ギ ン グ の詳細につい て は、『Cisco ASA Series General Operations ASDM Configuration Guide』の「Configure Logging」を 参照 し て く だ さ い。 DAP の例 • DAP を使用 し た ネ ッ ト ワ ー ク リ ソ ー ス の定義 • DAP を使用 し た WebVPN ACL の適用 • CSD チ ェ ッ ク の強制 と DAP に よ る ポ リ シーの適用 DAP を使用 し たネ ッ ト ワー ク リ ソ ースの定義 こ の例は、ユーザ ま たはグループのネ ッ ト ワ ー ク リ ソ ー ス を定義す る 方法 と し て、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーを設定す る 方法を示 し てい ま す。Trusted_VPN_Access と い う 名前の DAP ポ リ シーは、ク ラ イ ア ン ト レ ス VPN ア ク セ ス と AnyConnect VPN ア ク セ ス を許可 し ま す。 Untrusted_VPN_Access と い う 名前のポ リ シーは、ク ラ イ ア ン ト レ ス VPN ア ク セ ス だけ を許可 し ま す。 ステ ッ プ 1 ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [Endpoint] に ア ク セ ス し ま す。 ステ ッ プ 2 各ポ リ シーの次の属性を設定 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-29 第5章 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー DAP の例 属性 Trusted_VPN_Access Untrusted_VPN_Access Endpoint Attribute Type Policy 信頼で き る 信頼で き ない Endpoint Attribute Process — ieexplore.exe Advanced Endpoint Assessment AntiVirus= McAfee Attribute CSD Location 信頼で き る 信頼で き ない LDAP memberOf Engineering、Managers ベン ダー ACL ア クセス Web-Type ACL AnyConnect お よ び Web Portal Web Portal DAP を使用 し た WebVPN ACL の適用 DAP では、Network ACLs(IPsec お よ び AnyConnect の場合)、Clientless SSL VPN Web-Type ACLs、 URL リ ス ト 、お よ び Functions を含め、ア ク セ ス ポ リ シー属性のサブセ ッ ト を直接適用で き ま す。グループ ポ リ シーが適用 さ れ る バナー ま たは ス プ リ ッ ト ト ン ネル リ ス ト な ど には、直接適 用で き ま せん。[Add/Edit Dynamic Access Policy] ペ イ ン の [Access Policy Attributes] タ ブには、 DAP が直接適用 さ れ る 属性の完全な メ ニ ュ ーが表示 さ れ ま す。 Active Directory/LDAP は、ユーザ グループ ポ リ シー メ ンバーシ ッ プをユーザ エン ト リ の「memberOf」 属性 と し て保存し ます。DAP は、AD グループ(memberOf)のユーザ = ASA が設定済み Web タ イ プ ACL を適用する Engineering と な る よ う に定義し ます。 ステ ッ プ 1 ASDM で、[Add AAA Attributes] ペ イ ン([Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [AAA Attributes] セ ク シ ョ ン > [Add AAA Attribute])に移動 し ま す。 ステ ッ プ 2 AAA 属性 タ イ プ と し ては、ド ロ ッ プダ ウ ン リ ス ト を使用 し て [LDAP] を選択 し ま す。 ステ ッ プ 3 [Attribute ID] フ ィ ール ド に、こ こ に示 さ れ る と お り 「memberOf」 と 入力 し ま す。大文字 と 小文字の 区別は重要です。 ステ ッ プ 4 [Value] フ ィ ール ド で、ド ロ ッ プダ ウ ン リ ス ト を使用 し て [=] を選択 し 、隣の フ ィ ール ド に 「Engineering」 と 入力 し ま す。 ステ ッ プ 5 ペ イ ン の [Access Policy Attributes] 領域で、[Web-Type ACL Filters] タ ブ を ク リ ッ ク し ま す。 ステ ッ プ 6 [Web-Type ACL] ド ロ ッ プダ ウ ン リ ス ト を使用 し て、AD グループ(memberOf)= Engineering の ユーザに適用す る ACL を選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-30 第5章 ダ イ ナ ミ ッ ク ア ク セス ポ リ シー DAP の例 CSD チ ェ ッ クの強制 と DAP によ るポ リ シーの適用 こ の例では、ユーザが 2 つの特定 AD/LDAP グループ(Engineering お よ び Employees) と 1 つの特 定 ASA ト ン ネル グループに属す る こ と を チ ェ ッ ク す る DAP を作成 し ま す。その後、ACL を ユー ザに適用 し ま す。 DAP が適用 さ れ る ACL に よ り 、リ ソ ー ス への ア ク セ ス を制御 し ま す。それ ら の ACL は、ASAの グループ ポ リ シーで定義 さ れ る ど の ACL よ り も 優先 さ れ ま す。ま たASAは、ス プ リ ッ ト ト ン ネ リ ン グ リ ス ト 、バナー、お よ び DNS な ど 、DAP で定義 ま たは制御 し ない要素の通常の AAA グ ループ ポ リ シー継承ルールお よ び属性を適用 し ま す。 ステ ッ プ 1 ASDM で、[Add AAA Attributes] ペ イ ン([Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [AAA Attributes] セ ク シ ョ ン > [Add AAA Attribute])に移動 し ま す。 ステ ッ プ 2 AAA 属性 タ イ プ と し ては、ド ロ ッ プダ ウ ン リ ス ト を使用 し て [LDAP] を選択 し ま す。 ステ ッ プ 3 [Attribute ID] フ ィ ール ド に、こ こ に示 さ れ る と お り 「memberOf」 と 入力 し ま す。大文字 と 小文字の 区別は重要です。 ステ ッ プ 4 [Value] フ ィ ール ド で、ド ロ ッ プダ ウ ン リ ス ト を使用 し て [=] を選択 し 、隣の フ ィ ール ド に 「Engineering」 と 入力 し ま す。 ステ ッ プ 5 [Attribute ID] フ ィ ール ド に、こ こ に示 さ れ る と お り 「memberOf」 と 入力 し ま す。大文字 と 小文字の 区別は重要です。 ステ ッ プ 6 [Value] フ ィ ール ド で、ド ロ ッ プダ ウ ン リ ス ト を使用 し て [=] を選択 し 、隣の フ ィ ール ド に 「Employees」 と 入力 し ま す。 ステ ッ プ 7 AAA 属性 タ イ プ と し ては、ド ロ ッ プダ ウ ン リ ス ト を使用 し て [Cisco] を選択 し ま す。 ステ ッ プ 8 [Tunnel] グループ ボ ッ ク ス を オ ン に し 、ド ロ ッ プダ ウ ン リ ス ト を使用 し て [=] を選択 し 、隣の ド ロ ッ プダ ウ ン リ ス ト で適切な ト ン ネル グループ(接続ポ リ シー)を選択 し ま す。 ステ ッ プ 9 [Access Policy Attributes] 領域の [Network ACL Filters] タ ブで、前の ス テ ッ プで定義 し た DAP 基 準を満たすユーザに適用す る ACL を選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-31 第5章 DAP の例 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 5-32 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー CH A P T E R 6 電子 メ ール プ ロキシ 電子 メ ール プ ロ キ シ を設定す る と 、リ モー ト 電子 メ ール機能を ク ラ イ ア ン ト レ ス SSL VPN の ユーザに拡張で き ま す。ユーザが電子 メ ール プ ロ キ シ経由で電子 メ ール セ ッ シ ョ ン を試行す る と 、電子 メ ール ク ラ イ ア ン ト が SSL プ ロ ト コ ル を使用 し て ト ン ネル を確立 し ま す。 電子 メ ール プ ロ キ シ プ ロ ト コ ルは次の と お り です。 POP3S POP3S は、ク ラ イ ア ン ト レ ス SSL VPN がサポー ト す る 電子 メ ール プ ロ キ シの 1 つです。デ フ ォ ル ト では、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス がポー ト 995 を リ ッ ス ン し 、ポー ト 995 ま たは設定 さ れ た ポー ト と の接続が自動的に許可 さ れ ま す。POP3 プ ロ キ シは、SSL 接続だけ を そのポー ト で許 可 し ま す。SSL ト ン ネルが確立 さ れた後に POP3 プ ロ ト コ ルが開始 さ れ、認証が行われ ま す。 POP3S は、電子 メ ール受信用のプ ロ ト コ ルです。 IMAP4S IMAP4S は、ク ラ イ ア ン ト レ ス SSL VPN がサポー ト す る 電子 メ ール プ ロ キ シの 1 つです。デ フ ォ ル ト では、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス がポー ト 993 を リ ッ ス ン し 、ポー ト 993 ま たは設定 さ れ た ポー ト と の接続が自動的に許可 さ れ ま す。IMAP4S プ ロ キ シは、SSL 接続だけ を そのポー ト で 許可 し ま す。SSL ト ン ネルが確立 さ れた後に IMAP4S プ ロ ト コ ルが開始 さ れ、認証が行われ ま す。IMAP4S は、電子 メ ール受信用のプ ロ ト コ ルです。 SMTPS SMTPS は、ク ラ イ ア ン ト レ ス SSL VPN がサポー ト す る 電子 メ ール プ ロ キ シの 1 つです。デ フ ォ ル ト では、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス がポー ト 988 を リ ッ ス ン し 、ポー ト 988 ま たは設定 さ れ た ポー ト と の接続が自動的に許可 さ れ ま す。SMTPS プ ロ キ シは、SSL 接続だけ を そのポー ト で許 可 し ま す。SSL ト ン ネルが確立 さ れた後に SMTPS プ ロ ト コ ルが開始 さ れ、認証が行われ ま す。 SMTPS は、電子 メ ール送信用のプ ロ ト コ ルです。 電子 メ ール プ ロキシの設定 電子 メ ール プ ロキシの要件 • 電子 メ ール プ ロ キ シ を経由 し て ロ ーカル と リ モー ト の両方か ら 電子 メ ールに ア ク セ ス す る ユーザは、電子 メ ール プ ロ グ ラ ム で、ロ ーカル ア ク セ ス 用 と リ モー ト ア ク セ ス 用に別々の 電子 メ ール ア カ ウ ン ト が必要です。 • 電子 メ ール プ ロ キ シ セ ッ シ ョ ン でユーザが認証 さ れ る 必要が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 6-1 第6章 電子 メ ール プ ロキシ AAA サーバ グループの設定 AAA サーバ グループの設定 ステ ッ プ 1 [Configuration] > [Features] > [VPN] > [E-mail Proxy] > [AAA] を参照 し ま す。 ステ ッ プ 2 該当の タ ブ([POP3S]、[IMAP4S]、ま たは [SMTPS])を選択 し て、AAA サーバ グループ を関連付 け、こ れ ら のセ ッ シ ョ ン に適用す る デ フ ォ ル ト の グループ ポ リ シーを設定 し ま す。 • [AAA server groups]:[AAA Server Groups] パネル([Configuration] > [Features] > [Properties] > [AAA Setup] > [AAA Server Groups])に移動す る 場合に ク リ ッ ク し ま す。こ こ では、AAA サー バ グループ を追加 ま たは編集で き ま す。 • [group policies]:[Group Policy] パネル([Configuration] > [Features] > [VPN] > [General] > [Group Policy])に移動す る 場合に ク リ ッ ク し ま す。こ こ では、グループ ポ リ シーを追加 ま た は編集で き ま す。 • [Authentication Server Group]:ユーザ認証用の認証サーバ グループ を選択 し ま す。デ フ ォ ル ト では、認証サーバが設定 さ れてい ま せん。AAA を認証方式 と し て設定 し た場合には ([Configuration] > [Features AAA] > [VPN] > [E-Mail Proxy] > [Authentication] パネル)、AAA サーバ を設定 し て こ こ で選択 し ない と 、常に認証に失敗 し ま す。 • [Authorization Server Group]:ユーザ認可用の認可サーバ グループ を選択 し ま す。デ フ ォ ル ト では、認可サーバが設定 さ れてい ま せん。 • [Accounting Server Group]:ユーザ ア カ ウ ン テ ィ ン グ用の ア カ ウ ン テ ィ ン グ サーバ グループ を選択 し ま す。デ フ ォ ル ト では、ア カ ウ ン テ ィ ン グ サーバが設定 さ れてい ま せん。 • [Default Group Policy]:AAA が CLASSID 属性 を返 さ ない場合にユーザに適用す る グループ ポ リ シーを選択 し ま す。長 さ は、4 ~ 15 文字の英数字です。デ フ ォ ル ト の グループ ポ リ シー を指定 し な か っ た場合 と 、CLASSID が存在 し ない場合には、ASA がセ ッ シ ョ ン を確立で き ま せん。 • [Authorization Settings]:ASA が認可のために認識す る ユーザ名の値を設定 し ま す。こ の名前 は、デジ タ ル証明書を使用 し て認証 し 、LDAP ま たは RADIUS 認可を必要 と す る ユーザに適 用 さ れ ま す。 – [Use the entire DN as the username]:認可用の認定者名 を使用す る 場合に選択 し ま す。 – [Specify individual DN fields as the username]:ユーザ認可用に特定の DN フ ィ ール ド を指 定す る 場合に選択 し ま す。 [DN] フ ィ ール ド は、プ ラ イ マ リ と セ カ ン ダ リ の 2 つを選択で き ま す。た と えば、EA を選 択 し た場合には、ユーザは電子 メ ール ア ド レ ス に よ っ て認証 さ れ ま す。John Doe と い う 一般名(CN) と [email protected] と い う 電子 メ ール ア ド レ ス を持つユーザは、John Doe ま たは johndoe と し て認証 さ れ ま せん。彼は [email protected] と し て認証 さ れ る 必要 が あ り ま す。EA お よ び O を選択 し た場合、John Doe は [email protected] お よ び Cisco Systems, Inc. と し て認証 さ れ る 必要が あ り ま す。 – [Primary DN Field]:認可用に設定す る プ ラ イ マ リ DN フ ィ ール ド を選択 し ま す。デ フ ォ ル ト は [CN] です。オプ シ ョ ン には、次の も のが含 ま れ ま す。 DN フ ィ ール ド 定義 Country(C) 2 文字の国名略語。国名 コ ー ド は、ISO 3166 国名略語に準拠 し てい ます。 Common Name(CN) ユーザ、シ ス テ ム、その他のエ ン テ ィ テ ィ の名前。こ れは、ID 階層の最 下位(最 も 固有性の高い)レ ベルです。 DN Qualifier(DNQ) 特定の DN 属性。 E-mail Address(EA) 証明書を所有す る ユーザ、シ ス テ ム、ま たはエ ン テ ィ テ ィ の電子 メ ール ア ド レ ス。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 6-2 第6章 電子 メ ール プ ロキシ 電子 メ ール プ ロキシ を設定する イ ン タ ー フ ェ イ スの識別 DN フ ィ ール ド 定義 Generational Qualifier (GENQ) Jr.、Sr.、ま たは III な ど の世代修飾子。 Given Name(GN) 証明書所有者の名前(名)。 Initials(I) 証明書所有者の姓 と 名の最初の文字。 Locality(L) 組織が所在す る 市町村。 Name(N) 証明書所有者の名前。 Organization(O) 会社、団体、機関、協会、その他のエ ン テ ィ テ ィ の名前。 Organizational Unit (OU) 組織内のサブ グループ。 Serial Number(SER) 証明書のシ リ アル番号。 Surname(SN) 証明書所有者の姓。 State/Province(S/P) 組織が所在す る 州や県。 Title(T) 証明書所有者の役職(Dr. な ど )。 User ID(UID) 証明書所有者の ID 番号。 – [Secondary DN Field]:(オプシ ョ ン)認可用に設定す る セ カ ン ダ リ DN フ ィ ール ド を選択 し ま す。デ フ ォ ル ト は [OU] です。オプ シ ョ ン には、上記の表に記載 さ れてい る も のすべ てに加え て、[None] が あ り ま す。こ れは、セ カ ン ダ リ フ ィ ール ド を指定 し ない場合に選択 し ま す。 電子 メ ール プ ロキシ を設定する イ ン タ ー フ ェ イ スの識別 [Email Proxy Access] 画面では、電子 メ ール プ ロ キ シ を設定する イ ン タ ーフ ェ イ ス を識別で き ます。 電子 メ ール プ ロ キ シは、個々の イ ン タ ーフ ェ イ ス で設定およ び編集で き ます。ま た、1 つの イ ン タ ー フ ェ イ ス で電子 メ ール プ ロ キ シ を設定お よ び編集すれば、その設定をすべての イ ン タ ーフ ェ イ ス に適用で き ます。管理専用の イ ン タ ーフ ェ イ スやサブ イ ン タ ーフ ェ イ ス に対 し て電子 メ ール プ ロ キ シは設定で き ません。 ステ ッ プ 1 ステ ッ プ 2 [Configuration] > [VPN] > [E-Mail Proxy] > [Access] を参照 し て、イ ン タ ー フ ェ イ ス で イ ネーブル にな っ てい る 電子 メ ール プ ロ キ シ を表示 し ま す。 • [Interface]:設定 さ れてい る すべての イ ン タ ー フ ェ イ ス の名前を表示 し ま す。 • [POP3S Enabled]:その イ ン タ ー フ ェ イ ス で POP3S が イ ネーブルか ど う か を示 し ま す。 • [IMAP4s Enabled]:その イ ン タ ー フ ェ イ ス で IMAP4S が イ ネーブルか ど う か を示 し ま す。 • [SMTPS Enabled]:その イ ン タ ー フ ェ イ ス で SMTPS が イ ネーブルか ど う か を示 し ま す。 強調表示 さ れてい る イ ン タ ー フ ェ イ ス の電子 メ ール プ ロ キ シ設定を変更す る には、[Edit] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 6-3 第6章 電子 メ ール プ ロキシ 電子 メ ール プ ロキシの認証の設定 電子 メ ール プ ロキシの認証の設定 電子 メ ール プ ロ キ シの タ イ プ ご と に認証方式を設定 し ま す。 ステ ッ プ 1 [Configuration] > [Features] > [VPN] > [E-mail Proxy] > [Authentication] を参照 し ま す。 ステ ッ プ 2 複数の認証方式か ら 選択で き ま す。 • [AAA]:AAA 認証を必須にす る 場合に選択 し ま す。こ のオプシ ョ ン を使用す る には、AAA サーバ を設定す る 必要が あ り ま す。ユーザは、ユーザ名、サーバ、お よ びパ ス ワ ー ド を入力 し ま す。ユーザは、VPN ユーザ名 と 電子 メ ール ユーザ名の両方を入力す る 必要が あ り ま す。そ の と き 、互いのユーザ名が異な る 場合にだけ、VPN 名デ リ ミ タ に よ っ て区切 り ま す。 • [Certificate]:証明書認証を必須にす る 場合に選択 し ま す。 注 現在の ASA ソ フ ト ウ ェ ア リ リ ー ス では、電子 メ ール プ ロ キ シに対 し て証明書認証が 機能 し ま せん。 証明書認証では、ユーザは ASA が SSL ネ ゴ シ エーシ ョ ン時に検証で き る 証明書を持っ てい る 必要が あ り ま す。SMTPS プ ロ キ シ では、証明書認証を唯一の認証方式 と し て使用で き ま す。その他の電子 メ ール プ ロ キ シ では 2 種類の認証方式が必要です。 証明書認証には、すべて同 じ CA か ら 発行 さ れた 3 種類の証明書が必要です。 - ASA の CA 証明書。 - ク ラ イ ア ン ト PC の CA 証明書。 - ク ラ イ ア ン ト PC の Web ブ ラ ウ ザ証明書。個人証明書 ま たは Web ブ ラ ウ ザ証明書 と も 呼ば れ ま す。 • [Piggyback HTTPS]:ピ ギーバ ッ ク 認証を必須にす る 場合に選択 し ま す。 こ の認証 ス キーム は、ユーザがすでに ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を確立 し てい る こ と を必須 と し ま す。ユーザは電子 メ ール ユーザ名だけ を入力 し ま す。パ ス ワ ー ド は不要 です。ユーザは、VPN ユーザ名 と 電子 メ ール ユーザ名の両方を入力す る 必要が あ り ま す。そ の と き 、互いのユーザ名が異な る 場合にだけ、VPN 名デ リ ミ タ に よ っ て区切 り ま す。 SMTPS 電子 メ ールは、最 も 頻繁に ピ ギーバ ッ ク を使用 し ま す。ほ と ん ど の SMTP サーバが、 ユーザが ロ グ イ ンす る こ と を許可 し ていないためです。 注 IMAP は、同時ユーザ数に よ っ て制限 さ れない多数のセ ッ シ ョ ン を生成 し ま すが、ユーザ名に対 し て許可 さ れてい る 同時 ロ グ イ ン の数を数え ま せん。IMAP セ ッ シ ョ ン の数が こ の最大値を超 え、ク ラ イ ア ン ト レ ス SSL VPN 接続の有効期限が切れた場合には、その後ユーザが新 し い接続 を確立で き ま せん。以下の解決策が あ り ま す。 - ユーザが IMAP ア プ リ ケーシ ョ ン を終了 し て ASA と のセ ッ シ ョ ン を ク リ ア し てか ら 、新 し い ク ラ イ ア ン ト レ ス SSL VPN 接続を確立す る 。 - 管理者が IMAP ユーザの同時 ロ グ イ ン数 を増やす([Configuration] > [Features] > [VPN] > [General] > [Group Policy] > [Edit Group Policy] > [General])。 - 電子 メ ール プ ロ キ シの HTTPS/ ピ ギーバ ッ ク 認証をデ ィ セーブルにす る 。 • [Mailhost]:(SMTPS のみ) メ ールホ ス ト 認証を必須にす る 場合に選択 し ま す。POP3S と IMAP4S は必ず メ ールホ ス ト 認証を実行す る ため、こ のオプ シ ョ ン は、SMTPS の場合にだけ 表示 さ れ ま す。こ の認証方式では、ユーザの電子 メ ール ユーザ名、サーバ、お よ びパ ス ワ ー ド が必要です。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 6-4 第6章 電子 メ ール プ ロキシ プ ロキシ サーバの識別 プ ロキシ サーバの識別 こ の [Default Server] パネルでは、ASA のプ ロ キ シ サーバ を識別 し 、電子 メ ール プ ロ キ シのデ フ ォ ル ト サーバ、ポー ト 、お よ び非認証セ ッ シ ョ ン制限を設定す る こ と がで き ま す。 ステ ッ プ 1 [Configuration] > [Features] > [VPN] > [E-mail Proxy] > [Default Servers] を参照 し ま す。 ステ ッ プ 2 次の フ ィ ール ド を設定 し ま す。 • [Name or IP Address]:デ フ ォ ル ト の電子 メ ール プ ロ キ シ サーバの DNS 名 ま たは IP ア ド レ ス を入力 し ま す。 • [Port]:ASA が電子 メ ール プ ロ キ シ ト ラ フ ィ ッ ク を リ ッ ス ンす る ポー ト 番号を入力 し ま す。 設定 さ れた ポー ト に対す る 接続が自動的に許可 さ れ ま す。電子 メ ール プ ロ キ シは、SSL 接続 だけ を こ のポー ト で許可 し ま す。SSL ト ン ネルが確立 さ れた後に電子 メ ール プ ロ キ シが開 始 さ れ、認証が行われ ま す。 デ フ ォ ル ト の設定は次の と お り です。 – 995(POP3 の場合) – 993(IMAP4S の場合) – 988(SMTPS の場合) • [Enable non-authenticated session limit]:非認証電子 メ ール プ ロ キ シ セ ッ シ ョ ン の数を制限す る 場合に選択 し ま す。認証プ ロ セ ス でのセ ッ シ ョ ン の制限を設定で き 、それに よ っ て DOS 攻 撃を防ぎ ま す。新 し いセ ッ シ ョ ン が、設定 さ れた制限を超え る と 、ASA が最 も 古い非認証接 続を終了 し ま す。非認証接続が存在 し ない場合には、最 も 古い認証接続が終了 し ま す。それに よ っ て認証済みのセ ッ シ ョ ン が終了す る こ と はあ り ま せん。 電子 メ ール プ ロ キ シ接続には、3 つの状態が あ り ま す。 1. 新規に電子 メ ール接続が確立 さ れ る と 、「認証 さ れていない」状態にな り ま す。 2. こ の接続でユーザ名が提示 さ れ る と 、「認証中」状態にな り ま す。 3. ASA が接続を認証す る と 、「認証済み」状態にな り ま す。 デ リ ミ タ の設定 こ のパネルでは、電子 メ ール プ ロ キ シ認証で使用す る ユーザ名/パ ス ワ ー ド デ リ ミ タ と サーバ デ リ ミ タ を設定 し ま す。 ステ ッ プ 1 [Configuration] > [Features] > [VPN] > [E-mail Proxy] > [Delimiters] を参照 し ま す。 ステ ッ プ 2 次の フ ィ ール ド を設定 し ま す。 • 注 [Username/Password Delimiter]:VPN ユーザ名 と 電子 メ ール ユーザ名を区切 る ためのデ リ ミ タ を選択 し ま す。電子 メ ール プ ロ キ シ で AAA 認証を使用す る 場合、お よ び VPN ユーザ名 と 電子 メ ール ユーザ名が異な る 場合に両方のユーザ名を使用 し ま す。電子 メ ール プ ロ キ シ セ ッ シ ョ ン に ロ グ イ ンす る と き に、ユーザは両方のユーザ名を入力 し 、こ こ で設定 し たデ リ ミ タ で区切 り ま す。ま た、電子 メ ール サーバ名 も 入力 し ま す。 ク ラ イ ア ン ト レ ス SSL VPN 電子 メ ール プ ロ キ シ ユーザのパ ス ワ ー ド に、デ リ ミ タ と し て使用 さ れてい る 文字を含め る こ と はで き ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 6-5 第6章 電子 メ ール プ ロキシ デ リ ミ タ の設定 • [Server Delimiter]:ユーザ名 と 電子 メ ール サーバ名 を 区切 る ためのデ リ ミ タ を 選択 し ま す。 こ のデ リ ミ タ は、VPN 名デ リ ミ タ と は別にす る 必要が あ り ま す。電子 メ ール プ ロ キ シ セ ッ シ ョ ン に ロ グ イ ン す る 場合には、ユーザ名 フ ィ ール ド にユーザ名 と サーバの両方 を 入力 し ま す。 た と えば、VPN 名デ リ ミ タ と し て : を 使用 し 、サーバ デ リ ミ タ と し て @ を 使用す る 場合に は、電子 メ ール プ ロ キ シ経由で電子 メ ール プ ロ グ ラ ム に ロ グ イ ン す る と き に、 vpn_username:e-mail_username@server と い う 形式でユーザ名 を 入力 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 6-6 CH A P T E R 7 VPN の監視 VPN 接続グ ラ フの監視 ASA の VPN 接続データ を グ ラ フ形式ま たは表形式で表示する には、次の画面を参照 し て く だ さ い。 [Monitor IPsec Tunnels] [Monitoring] > [VPN] > [VPN Connection Graphs] > [IPSec Tunnels] 表示や、エ ク ス ポー ト ま たは印刷の準備を行 う IPsec ト ン ネル タ イ プの グ ラ フ と テーブル を指定 し ま す。 [Monitor Sessions] [Monitoring] > [VPN] > [VPN Connection Graphs] > [Sessions]表示や、エ ク ス ポー ト ま たは印刷 の準備を行 う VPN セ ッ シ ョ ン タ イ プの グ ラ フ と テーブル を指定 し ま す。 VPN 統計の監視 特定の リ モー ト ア ク セ ス 、LAN 間、ク ラ イ ア ン ト レ ス SSL VPN、ま たは電子 メ ール プ ロ キ シ セ ッ シ ョ ン の詳細なパ ラ メ ー タ お よ び統計情報を表示す る には、次の画面を参照 し て く だ さ い。 パ ラ メ ー タ と 統計情報は、セ ッ シ ョ ン プ ロ ト コ ルに よ っ て異な り ま す。ま た、統計情報テーブル の内容は、選択 し た接続の タ イ プに よ っ て異な り ま す。各詳細テーブルには、それぞれのセ ッ シ ョ ン の関連パ ラ メ ー タ がすべて表示 さ れ ま す。 [Monitor Session] ウ ィ ン ド ウ [Monitoring] > [VPN] > [VPN Statistics] > [Sessions] ASA の VPN セ ッ シ ョ ン統計情報を表示 し ま す。こ のペ イ ン の 2 番目のテーブルの内容は、[Filter By] リ ス ト の選択に よ っ て異な り ま す。 注 • 管理者は、非ア ク テ ィ ブ状態のユーザ数を ト レース し、統計情報を確認で き る よ う にな り ま し た。ラ イ セン ス キ ャパシテ ィ に到達せず、新規ユーザが ロ グ イ ンで き る よ う に、最長時間非ア ク テ ィ ブなセ ッ シ ョ ンはア イ ド ル と マー ク さ れます(さ ら に自動的に ロ グオフ さ れます)。こ れ ら の統計情報は、show vpn-sessiondb CLI コ マン ド を使用し てア ク セ スする こ と も で き ます (『Cisco Security Appliance Command Reference Guide』を参照し て く だ さ い。)。 [All Remote Access] Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 7-1 第7章 VPN の監視 VPN 統計の監視 こ のテーブルの値が リ モー ト ア ク セ ス (IPsec ソ フ ト ウ ェ アお よ びハー ド ウ ェ ア ク ラ イ ア ン ト ) ト ラ フ ィ ッ ク に関連す る こ と を示 し ま す。 – [Username/Connection Profile]:セ ッ シ ョ ン のユーザ名 ま たは ロ グ イ ン名、お よ び接続プ ロ フ ァ イ ル( ト ン ネル グループ)を示 し ま す。ク ラ イ ア ン ト が認証にデジ タ ル証明書を使用 し てい る 場合、フ ィ ール ド に証明書の Subject CN ま たは Subject OU が表示 さ れ ま す。 – [Group Policy Connection Profile]:セ ッ シ ョ ン の ト ン ネル グループ ポ リ シー接続プ ロ フ ァ イ ルが表示 さ れ ま す。 – [Assigned IP Address/Public IP Address]: こ のセ ッ シ ョ ン の リ モー ト ク ラ イ ア ン ト に割 り 当て ら れてい る プ ラ イ ベー ト (「割 り 当て ら れた」)IP ア ド レ ス を示 し ま す。こ れは「内部」 ま たは「仮想」IP ア ド レ ス と も 呼ばれ、ク ラ イ ア ン ト はプ ラ イ ベー ト ネ ッ ト ワ ー ク 上の ホ ス ト と し て表示 さ れ ま す。ま た、こ の リ モー ト ア ク セ ス セ ッ シ ョ ン の ク ラ イ ア ン ト のパ ブ リ ッ ク IP ア ド レ ス も 表示 し ま す。パブ リ ッ ク IP ア ド レ ス は、「外部」IP ア ド レ ス と も 呼 ばれ ま す。通常、こ れは ISP に よ っ て ク ラ イ ア ン ト に割 り 当て ら れ ま す。こ の ア ド レ ス に よ り 、ク ラ イ ア ン ト は、パブ リ ッ ク ネ ッ ト ワ ー ク 上の ホ ス ト と し て機能す る こ と が可能 と な り ま す。 注 [Assigned IP Address] フ ィ ール ド は、ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン に は適用 さ れ ま せん。ASA(プ ロ キ シ)がすべて の ト ラ フ ィ ッ ク の送信元に な り ま す。ネ ッ ト ワ ー ク 拡張モー ド におけ る ハー ド ウ ェ ア ク ラ イ ア ン ト セ ッ シ ョ ン の 場合、割 り 当て ら れた IP ア ド レ ス は、ハー ド ウ ェ ア ク ラ イ ア ン ト のプ ラ イ ベー ト /内部ネ ッ ト ワ ー ク イ ン タ ー フ ェ イ ス のサブ ネ ッ ト です。 – [Ping]:ネ ッ ト ワ ー ク の接続テ ス ト のために、ICMP ping(Packet Internet Groper)パケ ッ ト を送信 し ま す。具体的には、ASAは、選択 し た ホ ス ト に ICMP Echo Request メ ッ セージ を 送信 し ま す。ホ ス ト が到達可能な場合、Echo Reply メ ッ セージ を返 し 、ASAはテ ス ト し た ホ ス ト の名前が記 さ れた Success メ ッ セージ、お よ び要求を送信 し て応答を受信す る ま での経過時間を表示 し ま す。何 ら かの理由で シ ス テ ム が到達不可能な場合(ホ ス ト がダ ウ ン し てい る 、ICMP が ホ ス ト で実行 し てい ない、ルー ト が設定 さ れていない、中間ルー タ がダ ウ ン し てい る 、ネ ッ ト ワ ー ク がダ ウ ン ま たは輻輳 し てい る な ど)、ASAには、テ ス ト し た ホ ス ト の名前が記 さ れた [Error] 画面が表示 さ れ ま す。 – [Logout By]: ロ グ ア ウ ト す る セ ッ シ ョ ン の フ ィ ル タ リ ン グ に使 う 基準を選択 し ま す。 --All Sessions-- 以外 を選択 し た場合、[Logout By] リ ス ト の右側のボ ッ ク ス が ア ク テ ィ ブ にな り ま す。値に Protocol for Logout By を選択 し た場合、ボ ッ ク ス が リ ス ト に変わ り 、ロ グ ア ウ ト フ ィ ル タ と し て使用す る プ ロ ト コ ル タ イ プ を選択で き ま す。こ の リ ス ト のデ フ ォ ル ト 値は IPsec です。Protocol 以外の値を選択 し た場合は、こ のボ ッ ク ス に適切な値 を入力す る 必要が あ り ま す。 [Monitor Active AnyConnect Sessions] [Monitoring] > [VPN] > [VPN Statistics] > [Sessions] ユーザ名、IP ア ド レ ス 、ア ド レ ス タ イ プ、ま たはパブ リ ッ ク ア ド レ ス で ソ ー ト さ れた AnyConnect ク ラ イ ア ン ト セ ッ シ ョ ン を表示 し ま す。 [Monitor VPN Session Details] [Monitoring] > [VPN] > [VPN Statistics] > [Sessions] > [Details] 選択 し た セ ッ シ ョ ン の コ ン フ ィ ギ ュ レ ーシ ョ ン 設定、統計情報、お よ び ス テー ト 情報 を 表示 し ま す。 • [NAC Result and Posture Token] Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 7-2 第7章 VPN の監視 VPN 統計の監視 ASDM では、ASA でネ ッ ト ワ ー ク ア ド ミ ッ シ ョ ン コ ン ト ロ ール を設定 し てい る 場合にだけ、こ の カ ラ ム に値が表示 さ れ ま す。 – [Accepted]:ACS は正常に リ モー ト ホ ス ト のポ ス チ ャ を検証 し ま し た。 – [Rejected]:ACS は リ モー ト ホ ス ト のポ ス チ ャ の検証に失敗 し ま し た。 – [Exempted]:ASAに設定 さ れた ポ ス チ ャ 検証免除 リ ス ト に従 っ て、リ モー ト ホ ス ト はポ ス チ ャ 検証を免除 さ れ ま し た。 – [Non-Responsive]: リ モー ト ホ ス ト は EAPoUDP Hello メ ッ セージに応答 し ま せんで し た。 – [Hold-off]:ポ ス チ ャ 検証に成功 し た後、ASA と リ モー ト ホ ス ト の EAPoUDP 通信が途絶 え ま し た。 – [N/A]:VPN NAC グループ ポ リ シーに従い、リ モー ト ホ ス ト の NAC はデ ィ セーブルに さ れてい ま す。 – [Unknown]:ポ ス チ ャ 検証が進行中です。 ポ ス チ ャ ト ー ク ン は、Access Control Server で設定可能な情報文字列です。ACS は情報提供 のためにASAにポ ス チ ャ ト ー ク ン を ダ ウ ン ロ ー ド し 、シ ス テ ム モ ニ タ リ ン グ、レ ポー ト 、デ バ ッ グ、お よ び ロ ギ ン グ を支援 し ま す。NAC Result に続 く 一般的な ポ ス チ ャ ト ー ク ン は、 Healthy、Checkup、Quarantine、Infected ま たは Unknown です。 [Session Details] ペ イ ン の [Details] タ ブには、次の カ ラ ム が表示 さ れ ま す。 – [ID]:セ ッ シ ョ ン にダ イ ナ ミ ッ ク に割 り 当て ら れた一意の ID。ID は、セ ッ シ ョ ンへの ASAの イ ンデ ッ ク ス と し て機能 し ま す。こ の イ ンデ ッ ク ス を使用 し て、セ ッ シ ョ ン に関 す る 情報を維持お よ び表示 し ま す。 – [Type]:セ ッ シ ョ ン の タ イ プ。IKE、IPsec ま たは NAC。 – [Local Addr., Subnet Mask, Protocol, Port, Remote Addr., Subnet Mask, Protocol, and Port]:実 際の( ロ ーカル)ピ アの両方に割 り 当て ら れてい る ア ド レ ス と ポー ト と 外部ルーテ ィ ン グ のためにその ピ アに割 り 当て ら れてい る ア ド レ ス と ポー ト 。 – [Encryption]: こ のセ ッ シ ョ ン で使用 し てい る デー タ 暗号化アルゴ リ ズ ム(あ る 場合)。 – [Assigned IP Address and Public IP Address]: こ のセ ッ シ ョ ン の リ モー ト ピ ア に割 り 当て ら れてい る プ ラ イ ベー ト IP ア ド レ ス を示 し ま す。内部 ま たは仮想 IP ア ド レ ス と も 呼ば れ、割 り 当て ら れてい る IP ア ド レ ス に よ っ て、リ モー ト ピ アはプ ラ イ ベー ト ネ ッ ト ワ ー ク 上に あ る よ う に見え ま す。2 番目の フ ィ ール ド には、こ のセ ッ シ ョ ン の リ モー ト コ ン ピ ュ ー タ のパブ リ ッ ク IP ア ド レ ス が表示 さ れ ま す。外部 IP ア ド レ ス と も 呼ばれ、通常、 パブ リ ッ ク IP ア ド レ ス は ISP に よ っ て リ モー ト コ ン ピ ュ ー タ に割 り 当て ら れ ま す。こ れに よ っ て、リ モー ト コ ン ピ ュ ー タ はパブ リ ッ ク ネ ッ ト ワ ー ク の ホ ス ト と し て機能で き ま す。 – [Other]:セ ッ シ ョ ン に関連付け ら れてい る その他の属性。 次の属性は、IKE セ ッ シ ョ ン、IPsec セ ッ シ ョ ン、お よ び NAC セ ッ シ ョ ン に適用 さ れ ま す。 – [Revalidation Time Interval]:成功 し た各ポ ス チ ャ 検証間に必要 と さ れ る 間隔(秒数)。 – [Time Until Next Revalidation]:最後のポ ス チ ャ 検証試行が成功 し なか っ た場合は 0 です。 それ以外の場合は、Revalidation Time Interval と 、正常に完了 し た直前のポ ス チ ャ 確認か ら の経過秒数 と の差です。 – [Status Query Time Interval]:成功 し た ポ ス チ ャ 検証 ま たは ス テー タ ス ク エ リ ーの応答 と 次の ス テー タ ス ク エ リ ーの応答 と の間に許容 さ れ る 時間(秒数)。ス テー タ ス ク エ リ ー は、直前のポ ス チ ャ 確認以降に ホ ス ト でポ ス チ ャ が変化 し たか ど う か を確認す る ため に、ASAが リ モー ト ホ ス ト に発行す る 要求です。 – [EAPoUDP Session Age]:最後に成功 し た ポ ス チ ャ 検証か ら 経過 し た秒数。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 7-3 第7章 VPN の監視 VPN 統計の監視 – [Hold-Off Time Remaining]:最後のポ ス チ ャ 検証が成功 し た場合は 0 秒です。それ以外の 場合は、次回のポ ス チ ャ 確認試行 ま での秒数です。 – [Posture Token]:Access Control Server で設定可能な情報文字列。ACS は情報提供のため にASAにポ ス チ ャ ト ー ク ン を ダ ウ ン ロ ー ド し 、シ ス テ ム モ ニ タ リ ン グ、レ ポー ト 、デ バ ッ グ、お よ び ロ ギ ン グ を支援 し ま す。一般的な ポ ス チ ャ ト ー ク ン は、Healthy、Checkup、 Quarantine、Infected、ま たは Unknown です。 – [Redirect URL]:ポ ス チ ャ 検証 ま たは ク ラ イ ア ン ト な し の認証が終わ る と 、ACS はセ ッ シ ョ ン用の ア ク セ ス ポ リ シーをASAにダ ウ ン ロ ー ド し ま す。Redirect URL は、ア ク セ ス ポ リ シー ペ イ ロ ー ド のオプシ ョ ン の一部です。ASAは、リ モー ト ホ ス ト のすべての HTTP(ポー ト 80)要求お よ び HTTPS(ポー ト 443)要求を Redirect URL(存在す る 場合)に リ ダ イ レ ク ト し ま す。ア ク セ ス ポ リ シーに Redirect URL が含 ま れていない場合、ASAは リ モー ト ホ ス ト か ら の HTTP 要求お よ び HTTPS 要求を リ ダ イ レ ク ト し ま せん。 Redirect URL は、IPsec セ ッ シ ョ ン が終了す る か、ポ ス チ ャ 再検証が実行 さ れ る ま で有効 です。ACS は、異な る Redirect URL が含 ま れ る か、Redirect URL が含 ま れない新 し い ア ク セ ス ポ リ シーを ダ ウ ン ロ ー ド し ま す。 [More]: こ のボ タ ン を押 し て、セ ッ シ ョ ンや ト ン ネル グループ を再検証 ま たは初期化 し ま す。 ACL タ ブには、セ ッ シ ョ ン に一致 し た ACE が含 ま れ る ACL が表示 さ れ ま す。 [Monitor Cluster Loads] [Monitoring] > [VPN] > [VPN Statistics] > [Cluster Loads] VPN ロ ー ド バ ラ ン シ ン グ ク ラ ス タ 内のサーバ間におけ る 現在の ト ラ フ ィ ッ ク の負荷分散を表 示 し ま す。サーバが ク ラ ス タ の一部で ない場合、こ のサーバが VPN ロ ー ド バ ラ ン シ ン グ ク ラ ス タ に参加 し ていない旨を伝え る 情報 メ ッ セージが表示 さ れ ま す。 [Monitor Crypto Statistics] [Monitoring] > [VPN] > [VPN Statistics] > [Crypto Statistics] ASA で現在ア ク テ ィ ブな ユーザお よ び管理者セ ッ シ ョ ン の暗号統計情報を表示 し ま す。テーブ ルの各行は、1 つの暗号統計情報を表 し ま す。 [Monitor Compression Statistics] [Monitoring] > [VPN] > [VPN Statistics] > [Compression Statistics] ASA で現在ア ク テ ィ ブな ユーザお よ び管理者セ ッ シ ョ ン の圧縮統計情報を表示 し ま す。テーブ ルの各行は、1 つの圧縮統計情報を表 し ま す。 [Monitor Encryption Statistics] [Monitoring] > [VPN] > [VPN Statistics] > [Encryption Statistics] ASA で現在ア ク テ ィ ブな ユーザお よ び管理者セ ッ シ ョ ン に よ っ て使用 さ れ る デー タ 暗号化アル ゴ リ ズ ム を表示 し ま す。テーブルの各行は、1 つの暗号化アル ゴ リ ズ ム タ イ プ を表 し ま す。 [Monitor Global IKE/IPsec Statistics] [Monitoring] > [VPN] > [VPN Statistics] > [Global IKE/IPSec Statistics] ASA で現在ア ク テ ィ ブな ユーザお よ び管理者セ ッ シ ョ ン の グ ロ ーバル IKE/IPsec 統計情報を表 示 し ま す。テーブルの各行は、1 つの グ ロ ーバル統計情報を表 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 7-4 第7章 VPN の監視 VPN 統計の監視 [Monitor NAC Session Summary] ア ク テ ィ ブ な累積ネ ッ ト ワ ー ク ア ド ミ ッ シ ョ ン コ ン ト ロ ール セ ッ シ ョ ン を表示 し ま す。 • [Active NAC Sessions]:ポ ス チ ャ 検証の対象の リ モー ト ピ ア に関す る 一般的な統計情報。 • [Cumulative NAC Sessions]:現在ポ ス チ ャ 検証の対象か、ま たは以前か ら 対象だ っ た リ モー ト ピ ア に関す る 一般的な統計情報。 • [Accepted]:ポ ス チ ャ 検証に成功 し 、Access Control Server に よ っ て ア ク セ ス ポ リ シーが与え ら れた ピ ア の数。 • [Rejected]:ポ ス チ ャ 検証に失敗 し 、Access Control Server に よ っ て ア ク セ ス ポ リ シーが与え ら れな か っ た ピ ア の数。 • [Exempted]:ASAで設定 さ れた [Posture Validation Exception] リ ス ト のエ ン ト リ に一致す る た め、ポ ス チ ャ 検証の対象にな っ ていない ピ ア の数。 • [Non-responsive]:Extensible Authentication Protocol(EAP)over UDP のポ ス チ ャ 検証要求に応 答 し ない ピ ア の数。CTA が実行 さ れていない ピ アは、こ の要求に応答 し ま せん。ASAの コ ン フ ィ ギ ュ レ ーシ ョ ン が ク ラ イ ア ン ト レ ス ホ ス ト を サポー ト す る 場合、Access Control Server は、ク ラ イ ア ン ト レ ス ホ ス ト に関連付け ら れてい る ア ク セ ス ポ リ シーを こ れ ら の ピ ア の ASAにダ ウ ン ロ ー ド し ま す。ク ラ イ ア ン ト レ ス ホ ス ト を サポー ト し ない場合、ASAは NAC デ フ ォ ル ト ポ リ シーを割 り 当て ま す。 • [Hold-off]:ポ ス チ ャ 検証が成功 し た後に、ASAが EAPoUDP 通信 を 失 っ た ピ ア の数。NAC Hold Timer 属性([Configuration] > [VPN] > [NAC])は、こ の タ イ プの イ ベ ン ト と 次のポ ス チ ャ 検証試行 と の間の遅延時間 を 判定 し ま す。 • [N/A]:VPN NAC グループ ポ リ シーに従っ て NAC が無効にな っ てい る ピ ア の数。 • [Revalidate All]:ピ ア のポ ス チ ャ ま たは割 り 当て ら れてい る ア ク セ ス ポ リ シー(ダ ウ ン ロ ー ド さ れた ACL)が変更 さ れた場合に ク リ ッ ク し ま す。こ のボ タ ン を ク リ ッ ク す る と 、ASAに よ っ て管理 さ れ る すべての NAC セ ッ シ ョ ン の新 し い無条件のポ ス チ ャ 検証を開始 し ま す。 こ のボ タ ン を ク リ ッ ク す る ま で各セ ッ シ ョ ン に対 し て有効だ っ た ポ ス チ ャ 検証 と 割 り 当て ら れてい る ア ク セ ス ポ リ シーは、新 し いポ ス チ ャ 検証が成功 ま たは失敗す る ま で有効の ま ま と な り ま す。ポ ス チ ャ 検証か ら 免除 さ れてい る セ ッ シ ョ ン には、こ のボ タ ン を ク リ ッ ク し て も 影響はあ り ま せん。 • [Initialize All]:ピ アのポ ス チ ャ ま たは割 り 当て ら れてい る ア ク セ ス ポ リ シー(ダ ウ ン ロ ー ド さ れた ACL)が変更 さ れ、セ ッ シ ョ ン に割 り 当て ら れてい る リ ソ ー ス を ク リ アす る 場合に ク リ ッ ク し ま す。こ のボ タ ン を ク リ ッ ク す る と 、ASAに よ っ て管理 さ れ る すべての NAC セ ッ シ ョ ン のポ ス チ ャ 検証で使用 さ れ る EAPoUDP ア ソ シエーシ ョ ン と 割 り 当て ら れてい る ア ク セ ス ポ リ シーを パージ し 、新 し い無条件のポ ス チ ャ 検証を開始 し ます。再検証中には NAC の デフ ォ ル ト の ACL が有効 と な る ため、セ ッ シ ョ ン を初期化す る と ユーザ ト ラ フ ィ ッ ク に影 響す る 場合があ り ま す。ポ ス チ ャ 検証か ら 免除 さ れてい る セ ッ シ ョ ン には、こ のボ タ ン を ク リ ッ ク し て も 影響はあ り ま せん。 [Monitor Protocol Statistics] [Monitoring] > [VPN] > [VPN Statistics] > [Protocol Statistics] ASA で現在ア ク テ ィ ブな ユーザお よ び管理者セ ッ シ ョ ン に よ っ て使用 さ れ る プ ロ ト コ ル を表示 し ま す。テーブルの各行は、1 つのプ ロ ト コ ル タ イ プ を表 し ま す。 [Monitor VLAN Mapping Sessions] 使用中の各グループ ポ リ シーの Restrict Access to VLAN パ ラ メ ー タ の値で判別 さ れた、出力 VLAN に割 り 当て ら れてい る セ ッ シ ョ ン数を表示 し ま す。ASAはすべての ト ラ フ ィ ッ ク を指定 さ れた VLAN に転送 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 7-5 第7章 VPN の監視 VPN 統計の監視 [Monitor SSO Statistics for Clientless SSL VPN Session] [Monitoring] > [VPN] > [WebVPN] > [SSO Statistics] ASA に設定 さ れてい る 現在ア ク テ ィ ブな シ ン グル サ イ ン オ ン(SSO)サーバの SSO 統計情報を 表示 し ま す。 注 こ れ ら の統計情報は、SiteMinder サーバお よ び SAML Browser Post Profile サーバの SSO に関す る も のだけです。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 7-6 CH A P T E R 8 SSL 設定 SSL 設定 次の場所のいずれかで SSL 設定を構成 し ま す。 • [Configuration] > [Device Management] > [Advanced] > [SSL Settings] • [Configuration] > [Remote Access VPN] > [Advanced] > [SSL Settings] ASA は、Secure Sockets Layer(SSL)プ ロ ト コ ルお よ び Transport Layer Security(TLS)を使用 し て、 ASDM、ク ラ イ ア ン ト レ ス SSL VPN、VPN、お よ びブ ラ ウ ザベー ス のセ ッ シ ョ ン のセ キ ュ ア な メ ッ セージ伝送を実現 し ます。[SSL Settings] ペ イ ン では、ク ラ イ ア ン ト と サーバの SSL バージ ョ ンお よ び暗号化アルゴ リ ズ ム を設定で き ま す。ま た、以前に設定 し た ト ラ ス ト ポ イ ン ト を特定の イ ン タ ーフ ェ イ ス に適用 し た り 、関連付け ら れた ト ラ ス ト ポ イ ン ト のない イ ン タ ーフ ェ イ ス の フ ォ ー ルバ ッ ク ト ラ ス ト ポ イ ン ト を設定 し た り す る こ と も で き ま す。 注 リ リ ー ス 9.3(2)では、SSLv3 は廃止 さ れてい ま す。現在のデ フ ォ ル ト は [any] ではな く [tlsv1] で す。[any] キー ワ ー ド は廃止 さ れ ま し た。[any]、[sslv3] ま たは [sslv3-only] を選択 し た場合、設定は 受け入れ ら れ ま すが警告が表示 さ れ ま す。[OK] を ク リ ッ ク し て作業を続行 し ま す。ASA の次の メ ジ ャ ー リ リ ー ス では、こ れ ら の キー ワ ー ド は ASA か ら 削除 さ れ ま す。 注 バージ ョ ン 9.4(1)では、SSLv3 キー ワー ド はすべて ASA 設定か ら 削除 さ れてお り 、SSLv3 のサポー ト が ASA か ら 削除 さ れま し た。SSLv3 が イ ネーブルにな っ てい る 場合は、SSLv3 オプシ ョ ン を指定 し た コ マ ン ド か ら ブー ト 時エ ラ ーが表示 さ れます。ASA はデフ ォ ル ト の TLSv1 に戻 り ます。 フ ィ ール ド • [Server SSL Version]:サーバ と し て動作す る と き に ASA が使用す る 最小の SSL/TLS プ ロ ト コ ル バージ ョ ン を ド ロ ッ プダ ウ ン リ ス ト か ら 指定 し ま す。 いずれか (Any) SSL V3 SSLv2 ク ラ イ ア ン ト の hello を受け入れ、共通の最新バージ ョ ン を ネ ゴ シ エー ト し ま す。 TLS V1 SSLv2 ク ラ イ ア ン ト の hello を受け入れ、TLSv1(以降)を ネ ゴ シ エー ト し ま す。 TLSV1.1 SSLv2 ク ラ イ ア ン ト の hello を受け入れ、TLSv1.1(以降)を ネ ゴ シエー ト し ます。 TLSV1.2 SSLv2 ク ラ イ ア ン ト の hello を受け入れ、TLSv1.2(以降)を ネ ゴ シエー ト し ます。 SSLv2 ク ラ イ ア ン ト の hello を受け入れ、SSLv3(以降)を ネ ゴ シ エー ト し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 8-1 第8章 SSL 設定 SSL 設定 • [Client SSL Version]: ク ラ イ ア ン ト と し て動作す る と き に ASA が使用す る 最小の SSL/TLS プ ロ ト コ ル バージ ョ ン を ド ロ ッ プダ ウ ン リ ス ト か ら 指定 し ま す。 いずれか(Any) SSLv3 ク ラ イ ア ン ト の hello を送信 し 、SSLv3(以降)を ネ ゴ シ エー ト し ま す。 SSL V3 SSLv3 ク ラ イ ア ン ト の hello を送信 し 、SSLv3(以降)を ネ ゴ シ エー ト し ま す。 TLS V1 TLSv1 ク ラ イ ア ン ト の hello を送信 し 、TLSv1(以降)を ネ ゴ シ エー ト し ま す。 TLSV1.1 TLSv1.1 ク ラ イ ア ン ト の hello を送信 し 、TLSv1.1(以降)を ネ ゴ シエー ト し ます。 TLSV1.2 TLSv1.2 ク ラ イ ア ン ト の hello を送信 し 、TLSv1.2(以降)を ネ ゴ シエー ト し ます。 • [Diffie-Hellmann group to be used with SSL]: ド ロ ッ プダ ウ ン リ ス ト か ら グループ を選択 し ま す。使用可能な オプシ ョ ン は、[Group1](768 ビ ッ ト 絶対値)、[Group2](1024 ビ ッ ト 絶対値)、 [Group5](1536 ビ ッ ト 絶対値)、[Group14](2048 ビ ッ ト 絶対値、224 ビ ッ ト 素数位数)、お よ び [Group24](2048 ビ ッ ト 絶対値、256 ビ ッ ト 素数位数)です。デ フ ォ ル ト 値は [Group2] です。 • [ECDH group to be used with SSL]: ド ロ ッ プダ ウ ン リ ス ト か ら グループを選択し ます。使用可能なオ プシ ョ ンは、[Group19](256 ビ ッ ト EC)、[Group20](384 ビ ッ ト EC)、および [Group21](521 ビ ッ ト EC)です。デフ ォル ト 値は [Group19] です。 TLSv1.2 では、次の暗号のサポー ト が追加 さ れてい ま す。 – ECDHE-ECDSA-AES256-GCM-SHA384 – ECDHE-RSA-AES256-GCM-SHA384 – DHE-RSA-AES256-GCM-SHA384 – AES256-GCM-SHA384 – ECDHE-ECDSA-AES256-SHA384 – ECDHE-RSA-AES256-SHA384 – ECDHE-ECDSA-AES128-GCM-SHA256 – ECDHE-RSA-AES128-GCM-SHA256 – DHE-RSA-AES128-GCM-SHA256 – RSA-AES128-GCM-SHA256 – ECDHE-ECDSA-AES128-SHA256 – ECDHE-RSA-AES128-SHA256 注 • 優先度が最 も 高いのは ECDSA 暗号お よ び DHE 暗号です。 [Encryption]:サポー ト す る バージ ョ ン、セ キ ュ リ テ ィ レ ベル、お よ び SSL 暗号化アル ゴ リ ズ ム を指定 し ま す。[Configure Cipher Algorithms/Custom String] ダ イ ア ロ グ ボ ッ ク ス を使用 し て テーブル エ ン ト リ を定義 ま たは変更す る には、[Edit] を ク リ ッ ク し ま す。SSL 暗号のセ キ ュ リ テ ィ レ ベル を選択 し 、[OK] を ク リ ッ ク し ま す。 – [Cipher Version]:ASA でサポー ト さ れ、SSL 接続に使用 さ れ る 暗号バージ ョ ン を一覧表 示 し ま す。 – [Cipher Security Level]:ASA でサポー ト さ れ、SSL 接続に使用 さ れ る 暗号セ キ ュ リ テ ィ レ ベル を一覧表示 し ま す。次のいずれかのオプシ ョ ン を選択 し ま す。 [All]:NULL-SHA を含むすべての暗号。 [Low]:NULL-SHA を除 く すべての暗号。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 8-2 第8章 SSL 設定 SSL 設定 [Medium]:NULL-SHA、DES-CBC-SHA、RC4-SHA、お よ び RC4-MD5 を除 く すべての暗号 ( こ れがデ フ ォ ル ト です)。 [Fips]:NULL-SHA、DES-CBC-SHA、RC4-MD5、RC4-SHA、お よ び DES-CBC3-SHA を除 く FIPS 準拠のすべての暗号。 [High]:SHA-2 を使用す る AES-256 暗号だけが含 ま れ、TLS バージ ョ ン 1.2 にのみ適用 さ れ ま す。 [Custom]:[Cipher algorithms/custom string] ボ ッ ク ス で指定す る 1 つ以上の暗号。こ のオプ シ ョ ン では、OpenSSL 暗号定義文字列を使用 し て暗号 ス イ ー ト を詳細に管理で き ま す。 – [Cipher Algorithms/Custom String]:ASA でサポー ト さ れ、SSL 接続に使用 さ れ る 暗号ア ル ゴ リ ズ ム を 一覧表示 し ま す。OpenSSL を 使用 し た暗号の詳細につい ては、 https://www.openssl.org/docs/apps/ciphers.html を 参照 し て く だ さ い。 ASA では、サポー ト さ れ る 暗号の優先順位が次の よ う に指定 さ れてい ま す。 TLSv1.2 だけでサポー ト さ れる暗号 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-GCM-SHA384 AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 DHE-RSA-AES256-SHA256 AES256-SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES128-GCM-SHA256 AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 DHE-RSA-AES128-SHA256 AES128-SHA256 TLSv1.1 または TLSv1.2 でサポー ト さ れない暗号 RC4-SHA RC4-MD5 DES-CBC-SHA NULL-SHA • [Server Name Indication (SNI)]: ド メ イ ン名 と その ド メ イ ン に関連付け る ト ラ ス ト ポ イ ン ト を 指定 し ま す。[Add/Edit Server Name Indication (SNI)] ダ イ ア ロ グ ボ ッ ク ス を使用 し て各 イ ン タ ー フ ェ イ ス の ド メ イ ンお よ び ト ラ ス ト ポ イ ン ト を定義 ま たは変更す る には、[Add] ま たは [Edit] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 8-3 第8章 SSL 設定 SSL 設定 – [Specify domain]: ド メ イ ン名 を入力 し ま す。 – [Select trustpoint to associate with domain]: ド ロ ッ プダ ウ ン リ ス ト か ら ト ラ ス ト ポ イ ン ト を選択 し ま す。 • [Certificates]:各 イ ン タ ー フ ェ イ ス の SSL 認証に使用す る 証明書を割 り 当て ま す。[Select SSL Certificate] ダ イ ア ロ グ ボ ッ ク ス を使用 し て各 イ ン タ ー フ ェ イ ス の ト ラ ス ト ポ イ ン ト を定義 ま たは変更す る には、[Edit] を ク リ ッ ク し ま す。 – [Primary Enrolled Certificate]: こ の イ ン タ ー フ ェ イ ス の証明書に使用す る ト ラ ス ト ポ イ ン ト を選択 し ま す。 – [Load Balancing Enrolled Certificate]:VPN ロ ー ド バ ラ ン シ ン グ が設定 さ れてい る 場合、証 明書で使用す る ト ラ ス ト ポ イ ン ト を選択 し ま す。 • [Fallback Certificate]:証明書が関連付け ら れて い な い イ ン タ ー フ ェ イ ス で使用す る 証明書 を 選択 し ま す。[None] を 選択す る と 、ASA はデ フ ォ ル ト の RSA キー ペア と 証明書 を 使用 し ま す。 • [Forced Certification Authentication Timeout]:証明書認証が タ イ ム ア ウ ト す る ま での分数を設 定 し ま す。 • [Apply]:変更内容を保存 し ま す。 • [Reset]:変更内容を取 り 消 し 、SSL パ ラ メ ー タ を以前に定義 し た値に リ セ ッ ト し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 8-4 CH A P T E R 9 外部 AAA サーバの VPN 用の設定 外部 AAA サーバについて こ の ASA は、外部 LDAP、RADIUS、ま たは TACACS+ サーバ を使用 し て、ASA の認証、認可、お よ びア カ ウ ン テ ィ ン グ(AAA)を サポー ト す る よ う に設定で き ま す。外部 AAA サーバは、設定 さ れ た ア ク セ ス 許可 と 属性を適用 し ま す。外部サーバ を使用す る よ う に ASA を設定す る 前に、正 し い ASA 許可属性で外部 AAA サーバ を設定 し 、それ ら の属性のサブセ ッ ト か ら 特定の ア ク セ ス 許可を個々のユーザに割 り 当て る 必要が あ り ま す。 許可属性のポ リ シー適用の概要 ASAは、ユーザ認可属性(ユーザ権利 ま たはユーザ権限 と も 呼ばれ る )を VPN 接続に適用す る た めのい く つかの方法を サポー ト し てい ま す。ASA を設定 し て、次のいずれかの組み合わせか ら ユーザ属性を取得で き ま す。 • ASA のダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー(DAP) • 外部 RADIUS ま たは LDAP 認証お よ び許可サーバ(お よ びその両方) • ASA の グループ ポ リ シー ASA がすべての ソ ー ス か ら 属性を受信す る と 、その属性が評価 さ れ、集約 さ れて ユーザ ポ リ シーに適用 さ れ ま す。属性の間で衝突が あ る 場合、DAP 属性が優先 さ れ ま す。 ASA に よ っ て属性が適用 さ れ る 順序は次の と お り です。 1. ASA 上の DAP 属性:バージ ョ ン 8.0(2) で導入 さ れた こ の属性は、他のすべての属性 よ り も 優 先 さ れ ま す。DAP 内でブ ッ ク マー ク ま たは URL リ ス ト を設定 し た場合は、グループ ポ リ シーで設定 さ れてい る ブ ッ ク マー ク や URL リ ス ト よ り も 優先 さ れ ま す。 2. AAA サーバ上のユーザ属性:ユーザ認証や認可が成功す る と 、サーバか ら こ の属性が返 さ れ ま す。こ れ ら の属性を、ASAの ロ ーカル AAA デー タ ベー ス の個々のユーザに設定 さ れてい る 属性(ASDM のユーザ ア カ ウ ン ト ) と 混同 し ないで く だ さ い。 3. ASA 上で設定 さ れてい る グループ ポ リ シー:RADIUS サーバか ら ユーザの RADIUS CLASS 属性 IETF-Class-25(OU=group-policy)の値が返 さ れた場合は、ASA はそのユーザ を同 じ 名前 の グループ ポ リ シーに入れて、その グループ ポ リ シーの属性の う ち、サーバか ら 返 さ れない も の を適用 し ま す。 LDAP サーバでは、任意の属性名を使用し てセ ッ シ ョ ンのグループ ポ リ シーを設定で き ます。 ASA 上で設定 さ れてい る LDAP 属性マ ッ プに よ っ て、LDAP 属性が Cisco 属性 IETF-Radius-Class にマ ッ ピ ン グ さ れます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 9-1 第9章 外部 AAA サーバの VPN 用の設定 外部 AAA サーバを使用する際のガ イ ド ラ イ ン 4. 接続プ ロ フ ァ イ ル(CLI では「 ト ン ネル グループ」 と 呼ばれ ます)に よ っ て割 り 当て ら れた グ ループ ポ リ シー:接続プ ロ フ ァ イ ルには、接続の事前設定が含 ま れてい る ほか、認証前にユー ザに適用 さ れ る デフ ォ ル ト のグループ ポ リ シーが含 ま れてい ま す。ASA に接続す る すべての ユーザは、最初に こ のグループに所属 し ま す。こ のグループでは、DAP、サーバか ら 返 さ れ る ユーザ属性、ま たはユーザに割 り 当て ら れた グループ ポ リ シーにはない属性が定義 さ れてい ます。 5. ASAで割 り 当て ら れたデ フ ォ ル ト の グループ ポ リ シー(DfltGrpPolicy):シ ス テ ム のデ フ ォ ル ト 属性は、DAP、ユーザ属性、グループ ポ リ シー、ま たは接続プ ロ フ ァ イ ルで不足 し てい る 値 を提供 し ま す。 外部 AAA サーバを使用する際のガ イ ド ラ イ ン ASAは、数値の ID ではな く 属性名に基づい て LDAP 属性を使用 し ま す。RADIUS 属性は、名前で はな く 数値 ID に よ っ て適用 さ れ ま す。 ASDM バージ ョ ン 7.0 の LDAP 属性には、cVPN3000 プ レ フ ィ ッ ク ス が含 ま れてい ま す。ASDM バージ ョ ン 7.1 以降では、こ のプ レ フ ィ ッ ク ス は削除 さ れてい ま す。 LDAP 属性は、RADIUS の章に記載 さ れてい る RADIUS 属性のサブセ ッ ト です。 Active Directory/LDAP VPN リ モー ト ア ク セス認可の例 こ の項では、Microsoft Active Directory サーバ を使用 し てい る ASAで認証お よ び認可を設定す る ための手順の例を示 し ま す。説明す る 項目は次の と お り です。 • ユーザ ベー ス の属性のポ リ シー適用(9-2 ページ) • 特定の グループ ポ リ シーへの LDAP ユーザの配置(9-4 ページ) • AnyConnect ト ン ネルへの ス タ テ ィ ッ ク IP ア ド レ ス の割 り 当て(9-5 ページ) • ダ イ ヤル イ ン の許可 ま たは拒否ア ク セ ス の適用(9-7 ページ) • ロ グ オ ン時間 と Time-of-Day ルールの適用(9-9 ページ) その他の設定例については、Cisco.com に あ る 次のテ ク ニ カル ノ ー ト を参照 し て く だ さ い。 • 『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』 • 『PIX/ASA 8.0: Use LDAP Authentication to Assign a Group Policy at Login』 ユーザ ベースの属性のポ リ シー適用 こ の例では、ユーザ向けの簡易バナーを表示 し て、標準の LDAP 属性を既知のベン ダー固有属性 (VSA)にマ ッ ピ ン グす る 方法 と 1 つ以上の LDAP 属性を 1 つ以上の Cisco LDAP 属性にマ ッ ピ ン グす る 方法を示 し ま す。こ の例は、IPsec VPN ク ラ イ ア ン ト 、AnyConnect SSL VPN ク ラ イ ア ン ト 、 ク ラ イ ア ン ト レ ス SSL VPN な ど、ど の接続 タ イ プに も 適用 さ れ ます。Y AD LDAP サーバ上で設定さ れたユーザに簡易バナーを適用するには、[General] タ ブの [Office] フ ィ ー ル ド を使用し てバナー テキ ス ト を入力し ます。こ のフ ィ ール ド では、physicalDeliveryOfficeName と い う 名前の属性を使用し ます。ASA で、physicalDeliveryOfficeName を Cisco 属性 Banner1 にマ ッ ピ ン グす る属性マ ッ プを作成し ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 9-2 第9章 外部 AAA サーバの VPN 用の設定 Active Directory/LDAP VPN リ モー ト ア ク セ ス認可の例 認証の間に、ASAはサーバか ら physicalDeliveryOfficeName の値を取得 し 、その値を Cisco 属性 Banner1 にマ ッ ピ ン グ し て ユーザにバナーを表示 し ま す。 ステ ッ プ 1 ユーザ名を右 ク リ ッ ク し て、[Properties] ダ イ ア ロ グ ボ ッ ク ス の [General] タ ブ を開 き 、AD/LDAP 属 性 physicalDeliveryOfficeName を使用す る [Office] フ ィ ール ド にバナー テ キ ス ト を入力 し ます。 ステ ッ プ 2 ASA 上で LDAP 属性マ ッ プ を作成 し ま す。 Banner と い う マ ッ プ を作成 し 、AD/LDAP 属性 physicalDeliveryOfficeName を Cisco 属性 Banner1 にマ ッ ピ ン グ し ま す。 hostname(config)# ldap attribute-map Banner hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Banner1 ステ ッ プ 3 LDAP 属性マ ッ プ を AAA サーバに関連付け ま す。 AAA サーバ グループ MS_LDAP の ホ ス ト 10.1.1.2 の AAA サーバ ホ ス ト コ ン フ ィ ギ ュ レ ー シ ョ ン モー ド を 開始 し 、以前作成 し た属性マ ッ プ Banner を 関連付け ま す。 hostname(config)# aaa-server MS_LDAP host 10.1.1.2 hostname(config-aaa-server-host)# ldap-attribute-map Banner ステ ッ プ 4 バナーの適用を テ ス ト し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 9-3 第9章 外部 AAA サーバの VPN 用の設定 Active Directory/LDAP VPN リ モー ト ア ク セス認可の例 特定のグループ ポ リ シーへの LDAP ユーザの配置 こ の例は、IPsec VPN ク ラ イ ア ン ト 、AnyConnect SSL VPN ク ラ イ ア ン ト 、ク ラ イ ア ン ト レ ス SSL VPN な ど 、ど の接続 タ イ プに も 適用 さ れ ま す。こ の例では、User1 は ク ラ イ ア ン ト レ ス SSL VPN 接続経由で接続 し ま す。 LDAP ユーザ を特定の グループ ポ リ シーに配置す る には、[Organization] タ ブの [Department] フ ィ ール ド を使用 し て グループ ポ リ シーの名前を入力 し ま す。次に、属性マ ッ プ を作成 し 、 [Department] を Cisco 属性で あ る IETF-Radius-Class にマ ッ ピ ン グ し ま す。 認証の間に、ASAはサーバか ら [Department] の値 を 取得 し 、そ の値 を IETF-Radius-Class にマ ッ ピ ン グ し て User1 を グループ ポ リ シーに配置 し ま す。 ステ ッ プ 1 ユーザ名を右 ク リ ッ ク し て、[Properties] ダ イ ア ロ グ ボ ッ ク ス の [Organization] タ ブ を開 き 、 [Department] フ ィ ール ド に「Group-Policy-1」 と 入力 し ま す。 ステ ッ プ 2 LDAP コ ン フ ィ ギ ュ レ ーシ ョ ン の属性マ ッ プ を定義 し ま す。 AD 属性 Department を Cisco 属性 IETF-Radius-Class にマ ッ ピ ン グ し ま す。 hostname(config)# ldap attribute-map group_policy hostname(config-ldap-attribute-map)# map-name Department IETF-Radius-Class ステ ッ プ 3 LDAP 属性マ ッ プ を AAA サーバに関連付け ま す。 AAA サーバ グループ MS_LDAP の ホ ス ト 10.1.1.2 の AAA サーバ ホ ス ト コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド を開始 し 、以前作成 し た属性マ ッ プ group_policy を関連付け ま す。 hostname(config)# aaa-server MS_LDAP host 10.1.1.2 hostname(config-aaa-server-host)# ldap-attribute-map group_policy Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 9-4 第9章 外部 AAA サーバの VPN 用の設定 Active Directory/LDAP VPN リ モー ト ア ク セ ス認可の例 ステ ッ プ 4 ASA でサーバの [Department] フ ィ ール ド に入力 し た グループ ポ リ シー Group-policy-1 を追加 し 、ユーザに割 り 当て る 必須ポ リ シー属性を設定 し ま す。 hostname(config)# group-policy Group-policy-1 external server-group LDAP_demo hostname(config-aaa-server-group)# ステ ッ プ 5 こ のユーザ と し て VPN 接続 を確立 し 、Group-Policy1 か ら の属性(お よ びその他に適用可能な、デ フ ォ ル ト の グループ ポ リ シーか ら の属性)がセ ッ シ ョ ン に継承 さ れてい る こ と を確認 し ま す。 ステ ッ プ 6 ASA と サーバの間の通信を モ ニ タ す る には、特権 EXEC モー ド で debug ldap 255 コ マ ン ド を イ ネーブルに し ま す。こ の コ マ ン ド か ら の出力の例を次に示 し ま す。こ れは、主要な メ ッ セージが わか る よ う に編集済みです。 [29] [29] [29] [29] [29] Authentication successful for user1 to 10.1.1.2 Retrieving user attributes from server 10.1.1.2 Retrieved Attributes: department: value = Group-Policy-1 mapped to IETF-Radius-Class: value = Group-Policy-1 AnyConnect ト ンネルへのス タ テ ィ ッ ク IP ア ド レ スの割 り 当て こ の例は、IPsec ク ラ イ ア ン ト や SSL VPN ク ラ イ ア ン ト な ど の フ ル ト ン ネル ク ラ イ ア ン ト に適 用 さ れ ま す。 ス タ テ ィ ッ ク AnyConnect ス タ テ ィ ッ ク IP 割 り 当て を適用す る には、AnyConnect ク ラ イ ア ン ト ユーザ Web1 を ス タ テ ィ ッ ク IP ア ド レ ス を受信す る よ う に設定 し て、そのア ド レ ス を AD LDAP サーバの [Dialin] タ ブの [Assign Static IP Address] フ ィ ール ド ( こ の フ ィ ール ド で msRADIUSFramedIPAddress 属性が使用 さ れ る )に入力 し 、こ の属性を Cisco 属性 IETF-Radius-Framed-IP-Address にマ ッ ピ ン グす る 属性マ ッ プ を作成 し ま す。 認証時に、ASA は msRADIUSFramedIPAddress の値を サーバか ら 取得 し 、その値を Cisco 属性 IETF-Radius-Framed-IP-Address にマ ッ ピ ン グ し 、ス タ テ ィ ッ ク ア ド レ ス を User1 に渡 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 9-5 第9章 外部 AAA サーバの VPN 用の設定 Active Directory/LDAP VPN リ モー ト ア ク セス認可の例 ステ ッ プ 1 ユーザ名を右 ク リ ッ ク し て、[Properties] ダ イ ア ロ グ ボ ッ ク ス の [Dial-in] タ ブ を開 き 、[Assign Static IP Address] チ ェ ッ ク ボ ッ ク ス を オ ン に し て、10.1.1.2 と い う IP ア ド レ ス を入力 し ま す。 ステ ッ プ 2 図に示す LDAP コ ン フ ィ ギ ュ レ ーシ ョ ン の属性マ ッ プ を作成 し ま す。 [Static Address] フ ィ ール ド で使用 さ れた AD 属性 msRADIUSFrameIPAddress を Cisco 属性 IETF-Radius-Framed-IP-Address にマ ッ ピ ン グ し ま す。 hostname(config)# ldap attribute-map static_address hostname(config-ldap-attribute-map)# map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address ステ ッ プ 3 LDAP 属性マ ッ プ を AAA サーバに関連付け ま す。 AAA サーバ グループ MS_LDAP の ホ ス ト 10.1.1.2 の AAA サーバ ホ ス ト コ ン フ ィ ギ ュ レ ー シ ョ ン モー ド を 開始 し 、以前作成 し た属性マ ッ プ static_address を 関連付け ま す。 hostname(config)# aaa-server MS_LDAP host 10.1.1.2 hostname(config-aaa-server-host)# ldap-attribute-map static_address ステ ッ プ 4 vpn-address-assignment コ マ ン ド が AAA を指定す る よ う に設定 さ れてい る か ど う か を確認す る ために、コ ン フ ィ ギ ュ レ ーシ ョ ン の こ の部分を表示 し ま す。 hostname(config)# show run all vpn-addr-assign vpn-addr-assign aaa << こ れが設定 さ れてい る こ と を確認 し ます >> no vpn-addr-assign dhcp vpn-addr-assign local hostname(config)# ステ ッ プ 5 ASA と AnyConnect ク ラ イ ア ン ト と の接続を確立 し ま す。ユーザが、サーバで設定 さ れ、ASA に マ ッ ピ ン グ さ れた IP ア ド レ ス を受信 し てい る こ と を確認 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 9-6 第9章 外部 AAA サーバの VPN 用の設定 Active Directory/LDAP VPN リ モー ト ア ク セ ス認可の例 ステ ッ プ 6 show vpn-sessiondb svc コ マ ン ド を使用 し て セ ッ シ ョ ン の詳細を表示 し 、割 り 当て ら れた ア ド レ ス を確認 し ま す。 hostname# show vpn-sessiondb svc Session Type: SVC Username : web1 Index : 31 Assigned IP : 10.1.1.2 Public IP : 10.86.181.70 Protocol : Clientless SSL-Tunnel DTLS-Tunnel Encryption : RC4 AES128 Hashing : SHA1 Bytes Tx : 304140 Bytes Rx : 470506 Group Policy : VPN_User_Group Tunnel Group : Group1_TunnelGroup Login Time : 11:13:05 UTC Tue Aug 28 2007 Duration : 0h:01m:48s NAC Result : Unknown VLAN Mapping : N/A VLAN : none ダ イヤルイ ンの許可または拒否ア ク セスの適用 こ の例では、ユーザに よ っ て許可 さ れ る ト ン ネ リ ン グ プ ロ ト コ ルを指定す る LDAP 属性マ ッ プ を 作成 し ます。[Dialin] タ ブの許可ア ク セ ス と 拒否ア ク セ ス の設定を Cisco 属性 Tunneling-Protocol に マ ッ ピ ン グ し ます。こ の属性は次の ビ ッ ト マ ッ プ値を サポー ト し ます。 値 ト ンネ リ ング プロ ト コル 1 PPTP 2 L2TP 4 1 IPsec(IKEv1) 8 2 L2TP/IPsec 16 ク ラ イ ア ン ト レ ス SSL 32 SSL ク ラ イ ア ン ト :AnyConnect ま たは SSL VPN ク ラ イアン ト 64 IPsec(IKEv2) 1. IPsec と L2TP over IPsec は同時にはサポー ト さ れ ま せん。そ の た め、値 4 と 8 は相互排他値 と な り ま す。 2. 注 1 を参照 し て く だ さ い。 こ の属性を使用 し て、プ ロ ト コ ルの [Allow Access](TRUE) ま たは [Deny Access](FALSE)の条件 を作成 し 、ユーザが ア ク セ ス を許可 さ れ る 方法を適用 し ま す。 ダ イ ヤル イ ン許可ア ク セ ス ま たは拒否ア ク セ ス を適用す る 他の例については、テ ク ニ カル ノ ー ト 『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』を 参照 し て く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 9-7 第9章 外部 AAA サーバの VPN 用の設定 Active Directory/LDAP VPN リ モー ト ア ク セス認可の例 ステ ッ プ 1 ユーザ名を右 ク リ ッ ク し て、[Properties] ダ イ ア ロ グ ボ ッ ク ス の [Dial-in] タ ブ を開 き 、[Allow Access] オプ シ ョ ン ボ タ ン を ク リ ッ ク し ま す。 注 ステ ッ プ 2 [Control access through the Remote Access Policy] オプ シ ョ ン を選択 し た場合は、値はサー バか ら 返 さ れず、適用 さ れ る 権限は ASA の内部グループ ポ リ シー設定に基づいて決定 さ れ ま す。 IPsec と AnyConnect の両方の接続を許可す る が ク ラ イ ア ン ト レ ス SSL 接続を拒否す る 属性マ ッ プ を作成 し ま す。 a. マ ッ プ tunneling_protocols を作成 し ま す。 hostname(config)# ldap attribute-map tunneling_protocols b. 許可ア ク セ ス 設定で使用 さ れ る AD 属性 msNPAllowDialin を Cisco 属性 Tunneling-Protocols にマ ッ ピ ン グ し ま す。 hostname(config-ldap-attribute-map)# map-name msNPAllowDialin Tunneling-Protocols c. マ ッ プ値を追加 し ま す。 hostname(config-ldap-attribute-map)# map-value msNPAllowDialin FALSE 48 hostname(config-ldap-attribute-map)# map-value msNPAllowDialin TRUE 4 ステ ッ プ 3 LDAP 属性マ ッ プ を AAA サーバに関連付け ま す。 a. AAA サーバ グループ MS_LDAP で ホ ス ト 10.1.1.2 の AAA サーバ ホ ス ト コ ン フ ィ ギ ュ レ ー シ ョ ン モー ド を開始 し ま す。 hostname(config)# aaa-server MS_LDAP host 10.1.1.2 b. 作成 し た属性マ ッ プ tunneling_protocols を関連付け ま す。 hostname(config-aaa-server-host)# ldap-attribute-map tunneling_protocols ステ ッ プ 4 属性マ ッ プが設定 し た と お り に機能す る こ と を確認 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 9-8 第9章 外部 AAA サーバの VPN 用の設定 Active Directory/LDAP VPN リ モー ト ア ク セ ス認可の例 ク ラ イ ア ン ト レ ス SSL を使用 し て接続を試み ま す。ユーザには、許可 さ れていない接続 メ カ ニ ズ ム が接続の失敗の原因で あ る こ と が通知 さ れ ま す。IPsec ク ラ イ ア ン ト の接続は成功 し ま す。こ れは、属性マ ッ プに従っ て IPsec に ト ン ネ リ ン グ プ ロ ト コ ルが許可 さ れ る ためです。 ログオン時間 と Time-of-Day ルールの適用 次の例では、ク ラ イ ア ン ト レ ス SSL ユーザ(た と えばビ ジ ネ ス パー ト ナー)にネ ッ ト ワ ー ク への ア ク セ ス を許可す る 時間帯を設定 し て適用す る 方法を示 し ま す。 AD サーバ上で、[Office] フ ィ ール ド を使用 し てパー ト ナーの名前を入力 し ま す。こ の フ ィ ール ド では、physicalDeliveryOfficeName 属性が使用 さ れ ま す。次に、ASA で属性マ ッ プ を作成 し 、その 属性を Cisco 属性 Access-Hours にマ ッ ピ ン グ し ま す。認証時に、ASA はサーバか ら physicalDeliveryOfficeName の値を取得 し て Access-Hours にマ ッ ピ ン グ し ま す。 ステ ッ プ 1 ユーザ を選択 し て、[Properties] を右 ク リ ッ ク し 、[General] タ ブ を開 き ま す。 ステ ッ プ 2 属性マ ッ プ を作成 し ま す。 属性マ ッ プ access_hours を作成 し て、[Office] フ ィ ール ド に使用 さ れ る AD 属性 physicalDeliveryOfficeName を Cisco 属性 Access-Hours にマ ッ ピ ン グ し ま す。 hostname(config)# ldap attribute-map access_hours hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Access-Hours ステ ッ プ 3 LDAP 属性マ ッ プ を AAA サーバに関連付け ま す。 AAA サーバ グループ MS_LDAP の ホ ス ト 10.1.1.2 の AAA サーバ ホ ス ト コ ン フ ィ ギ ュ レ ー シ ョ ン モー ド を 開始 し 、以前作成 し た属性マ ッ プ access_hours を 関連付け ま す。 hostname(config)# aaa-server MS_LDAP host 10.1.1.2 hostname(config-aaa-server-host)# ldap-attribute-map access_hours ステ ッ プ 4 各値にサーバで許可 さ れた時間範囲を設定 し ま す。 パー ト ナー ア ク セ ス 時間を月曜日か ら 金曜日の午前 9 時か ら 午後 5 時に設定 し ま す。 hostname(config)# time-range Partner hostname(config-time-range)# periodic weekdays 9:00 to 17:00 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 9-9 第9章 外部 AAA サーバの VPN 用の設定 Active Directory/LDAP VPN リ モー ト ア ク セス認可の例 ローカル ユーザのグループ ポ リ シーの作成 こ の手順では、既存のユーザ を 編集す る 方法につい て説明 し ま す。ユーザ を 追加す る には、 [Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を 選択 し 、[Add] を ク リ ッ ク し ま す。詳細につい ては、一般的な操作の コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド を 参照 し て く だ さ い。 は じ める前に デ フ ォ ル ト で、ユーザ ア カ ウ ン ト はデ フ ォ ル ト グループ ポ リ シー DfltGrpPolicy か ら 設定値を継 承 し ま す。各設定内容を上書 き す る 場合は、[Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ に し 、新 し い値を入 力 し ま す。 ステ ッ プ 1 ASDM を開始 し 、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を選択 し ま す。 ステ ッ プ 2 設定す る ユーザ を選択 し 、[Edit] を ク リ ッ ク し ま す。 [Edit User Account] 画面が開 き ま す。 ステ ッ プ 3 左側のペ イ ン で、[VPN Policy] を ク リ ッ ク し ま す。 ステ ッ プ 4 ユーザの グループ ポ リ シーを指定 し ま す。ユーザ ポ リ シーは、こ の グループ ポ リ シーの属性を 継承 し ま す。こ の画面にデ フ ォ ル ト グループ ポ リ シーの設定を継承す る よ う 設定 さ れてい る 他 の フ ィ ール ド が あ る 場合、こ の グループ ポ リ シーで指定 さ れた属性がデ フ ォ ル ト グループ ポ リ シーで設定 さ れた属性 よ り 優先 さ れ ま す。 ステ ッ プ 5 ユーザが使用で き る ト ン ネ リ ン グ プ ロ ト コ ル を指定す る か、グループ ポ リ シーか ら 値を継承す る か ど う か を指定 し ま す。目的の [Tunneling Protocols] チ ェ ッ ク ボ ッ ク ス を オ ン に し 、次の ト ン ネ リ ン グ プ ロ ト コ ルのいずれか を選択 し ま す。 • (SSL/TLS を利用す る VPN) ク ラ イ ア ン ト レ ス SSL VPN では、Web ブ ラ ウ ザ を使用 し て VPN コ ン セ ン ト レ ー タ へのセ キ ュ ア な リ モー ト ア ク セ ス ト ン ネル を確立 し 、ソ フ ト ウ ェ ア ク ラ イ ア ン ト も ハー ド ウ ェ ア ク ラ イ ア ン ト も 必要 と し ま せん。ク ラ イ ア ン ト レ ス SSL VPN を使 用す る と 、HTTPS イ ン タ ーネ ッ ト サ イ ト を利用で き る ほ と ん ど すべての コ ン ピ ュ ー タ か ら 、 企業の Web サ イ ト 、Web 対応ア プ リ ケーシ ョ ン、NT/AD フ ァ イ ル共有(Web 対応)、電子 メ ー ル、お よ びその他の TCP ベー ス ア プ リ ケーシ ョ ン な ど 、幅広い企業 リ ソ ー ス に簡単に ア ク セ ス で き る よ う にな り ま す。 • SSL VPN ク ラ イ ア ン ト は、Cisco AnyConnect Client ア プ リ ケーシ ョ ン のダ ウ ン ロ ー ド 後に ユーザが接続で き る よ う に し ま す。ユーザは、最初に ク ラ イ ア ン ト レ ス SSL VPN 接続を使用 し て こ の ア プ リ ケーシ ョ ン を ダ ウ ン ロ ー ド し ま す。ユーザが接続す る たびに、必要に応 じ て ク ラ イ ア ン ト ア ッ プデー ト が自動的に行われ ま す。 • [IPsec IKEv1]:IP セ キ ュ リ テ ィ プ ロ ト コ ル。IPsec は最 も セ キ ュ ア な プ ロ ト コ ル と さ れてお り 、VPN ト ン ネルのほぼ完全な アーキ テ ク チ ャ を提供 し ま す。Site-to-Site( ピ ア ツー ピ ア)接 続、お よ び Cisco VPN ク ラ イ ア ン ト と LAN 間の接続の両方で IPsec IKEv1 を使用で き ま す。 • [IPsec IKEv2]:AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト に よ っ てサポー ト さ れてい ま す。IKEv2 を使用 し た IPsec を使用す る AnyConnect 接続では、ソ フ ト ウ ェ ア ア ッ プデー ト 、 ク ラ イ ア ン ト プ ロ フ ァ イ ル、GUI の ロ ーカ リ ゼーシ ョ ン(翻訳) と カ ス タ マ イ ゼーシ ョ ン、 Cisco Secure Desktop、SCEP プ ロ キ シ な ど の拡張機能が提供 さ れ ま す。 • L2TP over IPSec では、複数の PC やモバ イ ル PC に採用 さ れてい る 一般的な オペ レ ーテ ィ ン グ シ ス テ ム に付属の VPN ク ラ イ ア ン ト を使用す る リ モー ト ユーザが、パブ リ ッ ク IP ネ ッ ト ワ ー ク を介 し て ASA お よ びプ ラ イ ベー ト 企業ネ ッ ト ワ ー ク へのセ キ ュ ア な接続を確立で き る よ う に し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 9-10 第9章 外部 AAA サーバの VPN 用の設定 Active Directory/LDAP VPN リ モー ト ア ク セ ス認可の例 注 ステ ッ プ 6 プ ロ ト コ ル を選択 し な か っ た場合は、エ ラ ー メ ッ セージが表示 さ れ ま す。 使用す る フ ィ ル タ (IPv4 ま たは IPv6)を指定す る か、ま たはグループ ポ リ シーの値を継承す る か ど う か を指定 し ま す。フ ィ ル タ は、ASAを経由 し て着信 し た ト ン ネ リ ン グ さ れたデー タ パケ ッ ト を、送信元ア ド レ ス 、宛先ア ド レ ス 、プ ロ ト コ ルな ど の基準に よ っ て、許可す る か拒否す る か を決 定す る ルールで構成 さ れ ま す。フ ィ ル タ お よ びルール を設定す る には、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [General] > [More Options] > [Filter] を選択 し ま す。 [Manage] を ク リ ッ ク し て、ACL と ACE を追加、編集、お よ び削除で き る [ACL Manager] ペ イ ン を 表示 し ま す。 ステ ッ プ 7 接続プ ロ フ ァ イ ル( ト ン ネル グループ ロ ッ ク )が あ る 場合、それ を継承す る か ど う か、ま たは選 択 し た ト ン ネル グループ ロ ッ ク を使用す る か ど う か を指定 し ま す。特定の ロ ッ ク を選択す る と 、ユーザの リ モー ト ア ク セ ス は こ の グループだけに制限 さ れ ま す。[Tunnel Group Lock] では、 VPN ク ラ イ ア ン ト で設定 さ れた グループ と 、そのユーザが割 り 当て ら れてい る グループが同 じ か ど う か を チ ェ ッ ク す る こ と に よ っ て、ユーザが制限 さ れ ま す。同一ではな か っ た場合、ASAは ユーザに よ る 接続を禁止 し ま す。[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ の場合、デ フ ォ ル ト 値は [None] です。 ステ ッ プ 8 [Store Password on Client System] 設定を グループか ら 継承す る か ど う か を指定 し ま す。[Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ にす る と 、[Yes] お よ び [No] のオプ シ ョ ン ボ タ ン が有効にな り ま す。 [Yes] を ク リ ッ ク す る と 、ロ グ イ ン パ ス ワ ー ド が ク ラ イ ア ン ト シ ス テ ム に保存 さ れ ま す(セ キ ュ リ テ ィ が低下す る おそれの あ る オプシ ョ ン です)。接続ご と にユーザにパ ス ワ ー ド の入力を求め る よ う にす る には、[No] を ク リ ッ ク し ま す(デ フ ォ ル ト )。セ キ ュ リ テ ィ を最大限に確保す る ため に も 、パ ス ワ ー ド の保存は 許可 し ない こ と を推奨 し ま す。VPN 3002 の場合、こ のパ ラ メ ー タ は、 対話型ハー ド ウ ェ ア ク ラ イ ア ン ト 認証や個別ユーザ認証には適用 さ れ ま せん。 ステ ッ プ 9 こ のユーザに適用す る ア ク セ ス 時間ポ リ シーを指定す る 、そのユーザの新 し い ア ク セ ス 時間ポ リ シーを作成す る 、ま たは [Inherit] チ ェ ッ ク ボ ッ ク ス を オ ン の ま ま に し ま す。デ フ ォ ル ト は [Inherit] です。ま た、[Inherit] チ ェ ッ ク ボ ッ ク ス がオ フ の場合のデ フ ォ ル ト は [Unrestricted] です。 [Manage] を ク リ ッ ク し て、[Add Time Range] ダ イ ア ロ グ ボ ッ ク ス を開 き ま す。こ のダ イ ア ロ グ ボ ッ ク ス で ア ク セ ス 時間の新規セ ッ ト を指定で き ま す。 ス テ ッ プ 10 ユーザに よ る 同時 ロ グ イ ン数を指定 し ま す。Simultaneous Logins パ ラ メ ー タ は、こ のユーザに指 定で き る 最大同時 ロ グ イ ン数を指定 し ま す。デ フ ォ ル ト 値は 3 です。最小値は 0 で、こ の場合 ロ グ イ ン が無効にな り 、ユーザ ア ク セ ス を禁止 し ま す。 注 最大値を設定て制限 し ておかない同時に多数の接続が許可 さ れ る ため、セ キ ュ リ テ ィ と パ フ ォ ーマ ン ス の低下を招 く おそれが あ り ま す。 ス テ ッ プ 11 ユーザ接続時間の最大接続時間を分で指定 し ま す。こ こ で指定 し た時間が経過す る と 、シ ス テ ム は接続を終了 し ま す。最短時間は 1 分で、最長時間は 2147483647 分(4000 年超、その可能性はほ と ん ど あ り ま せん)です。接続時間を無制限にす る には、[Unlimited] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す(デ フ ォ ル ト )。 ス テ ッ プ 12 ユーザの ア イ ド ル タ イ ム ア ウ ト を 分で指定 し ま す。こ の期間、こ のユーザの接続に通信ア ク テ ィ ビ テ ィ が な か っ た場合、シ ス テ ム は接続 を 終了 し ま す。最短時間は 1 分で、最長時間は 10080 分です。こ の値は、ク ラ イ ア ン ト レ ス SSL VPN 接続のユーザには適用 さ れ ま せん。 ス テ ッ プ 13 セ ッ シ ョ ン ア ラ ー ト 間隔を設定 し ます。[Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ にす る と 、自動的に [Default] チ ェ ッ ク ボ ッ ク ス がオ ンにな り ます。こ れに よ り 、セ ッ シ ョ ン ア ラ ー ト 間隔が 30 分に設 定 さ れ ます。新 し い値を指定す る 場合は、[Default] チ ェ ッ ク ボ ッ ク ス を オ フ に し て、セ ッ シ ョ ン ア ラ ー ト 間隔(1 ~ 30 分)を分数ボ ッ ク ス で指定 し ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 9-11 第9章 外部 AAA サーバの VPN 用の設定 Active Directory/LDAP VPN リ モー ト ア ク セス認可の例 ス テ ッ プ 14 ア イ ド ル ア ラ ー ト 間隔を設定 し ま す。[Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ にす る と 、自動的に [Default] チ ェ ッ ク ボ ッ ク ス がオ ン にな り ま す。こ れに よ り 、ア イ ド ル ア ラ ー ト 間隔が 30 分に設 定 さ れ ま す。新 し い値を指定す る 場合は、[Default] チ ェ ッ ク ボ ッ ク ス を オ フ に し て、セ ッ シ ョ ン ア ラ ー ト 間隔(1 ~ 30 分)を分数ボ ッ ク ス で指定 し ま す。 ス テ ッ プ 15 こ のユーザに対 し て専用の IPv4 ア ド レ ス を設定す る 場合は、[Dedicated IPv4 Address] 領域(任 意)で、IPv4 ア ド レ ス お よ びサブネ ッ ト マ ス ク を入力 し ま す。 ス テ ッ プ 16 こ のユーザに対 し て専用の IPv6 ア ド レ ス を設定す る 場合は、[Dedicated IPv6 Address] フ ィ ール ド (任意)で、IPv6 ア ド レ ス を IPv6 プ レ フ ィ ッ ク ス と と も に入力 し ま す。IPv6 プ レ フ ィ ッ ク ス は、 IPv6 ア ド レ ス が常駐す る サブネ ッ ト を示 し ま す。 ス テ ッ プ 17 ク ラ イ ア ン ト レ ス SSL の設定を行 う 場合は、左側のペ イ ン で、[Clientless SSL VPN] を ク リ ッ ク し ま す。各設定内容を上書 き す る 場合は、[Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ に し 、新 し い値を入力 し ま す。 ス テ ッ プ 18 [Apply] を ク リ ッ ク し ま す。 変更内容が実行 コ ン フ ィ ギ ュ レ ーシ ョ ン に保存 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 9-12 パ ー ト 2 ク ラ イ ア ン ト レ ス SSL VPN CH A P T E R 10 ク ラ イ ア ン ト レ ス SSL VPN ク ラ イ ア ン ト レ ス SSL VPN の概要 ク ラ イ ア ン ト レ ス SSL VPN を使用す る と 、エ ン ド ユーザは SSL 対応 Web ブ ラ ウ ザ を使用 し て、 任意の場所か ら 社内ネ ッ ト ワ ー ク の リ ソ ー ス に安全に ア ク セ ス で き ま す。ユーザは、ま ず、ク ラ イ ア ン ト レ ス SSL VPN ゲー ト ウ ェ イ で認証 し 、事前設定 さ れた ネ ッ ト ワ ー ク リ ソ ー ス に ア ク セ ス で き る よ う に し ま す。 注 ク ラ イ ア ン ト レ ス SSL VPN が イ ネーブルにな っ てい る 場合、セ キ ュ リ テ ィ コ ン テ キ ス ト ( フ ァ イ ア ウ ォ ール マルチモー ド と も 呼ばれ る ) と ア ク テ ィ ブ/ア ク テ ィ ブ ス テー ト フ ル フ ェ ール オーバーはサポー ト さ れ ま せん。 ク ラ イ ア ン ト レ ス SSL VPN は、ソ フ ト ウ ェ ア ま たはハー ド ウ ェ ア ク ラ イ ア ン ト を必要 と せず に、Web ブ ラ ウ ザ を使用 し て ASA へのセ キ ュ ア な リ モー ト ア ク セ ス VPN ト ン ネル を作成 し ま す。HTTP 経由で イ ン タ ーネ ッ ト に接続で き る ほ と ん ど のデバ イ ス か ら 、幅広い Web リ ソ ー ス と 、Web 対応お よ び レ ガ シー ア プ リ ケーシ ョ ン に安全かつ簡単に ア ク セ ス で き ま す。次の内容で 構成 さ れてい ま す。 • 内部 Web サ イ ト • Web 対応ア プ リ ケーシ ョ ン • NT/Active Directory フ ァ イ ル共有 • 電子 メ ール プ ロ キ シ(POP3S、IMAP4S、SMTPS な ど ) • Microsoft Outlook Web Access Exchange Server 2000、2003、お よ び 2007 • Microsoft Web App to Exchange Server 2010(8.4(2) 以降において) • Application Access(他の TCP ベー ス のアプ リ ケーシ ョ ン にア ク セ ス す る ための ス マー ト ト ン ネル ま たはポー ト 転送) ク ラ イ ア ン ト レ ス SSL VPN は Secure Sockets Layer(SSL)プ ロ ト コ ルお よ びその後継の Transport Layer Security(SSL/TLS1)を使用 し て、リ モー ト ユーザ と 、内部サーバ と し て設定 し た特定のサ ポー ト さ れてい る 内部 リ ソ ー ス と の間で、セ キ ュ ア な接続を提供 し ます。ASA はプ ロ キ シで処理 す る 必要があ る 接続を認識 し 、HTTP サーバは認証サブシ ス テ ム と 対話 し てユーザ を認証 し ま す。 ネ ッ ト ワ ー ク 管理者は、ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン のユーザに対 し て グループ単位 で リ ソ ー ス への ア ク セ ス を提供 し ま す。ユーザは、内部ネ ッ ト ワ ー ク 上の リ ソ ー ス に直接ア ク セ ス す る こ と はで き ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 10-1 第 10 章 ク ラ イ ア ン ト レ ス SSL VPN ク ラ イ ア ン ト レ ス SSL VPN の概要 ク ラ イ ア ン ト レ ス SSL VPN の前提条件 ASA リ リ ー ス 9.0 でサポー ト さ れてい る プ ラ ッ ト フ ォ ーム と ブ ラ ウ ザについ ては、『Supported VPN Platforms, Cisco ASA Series』を参照 し て く だ さ い。 ク ラ イ ア ン ト レ ス SSL VPN の注意事項 と 制約事項 • ActiveX ページ では、ActiveX リ レ ーを イ ネーブルにす る か、関連す る グループ ポ リ シーに activex-relay を入力 し てお く こ と が必要です。あ る いは、ス マー ト ト ン ネル リ ス ト を ポ リ シーに割 り 当て、エ ン ド ポ イ ン ト 上のブ ラ ウ ザ プ ロ キ シ例外 リ ス ト でプ ロ キ シが指定 さ れ る よ う に し てお き ま す。ユーザはその リ ス ト に「shutdown.webvpn.relay.」エ ン ト リ を追加す る 必要が あ り ま す。 • ASA では、Windows 7、Vista、Internet Explorer 8 ~ 10、Mac OS X、お よ び Linux か ら Windows 共有(CIFS)Web フ ォ ルダへの ク ラ イ ア ン ト レ ス ア ク セ ス はサポー ト さ れてい ま せん。 • DoD Common Access Card お よ び SmartCard を含む証明書認証は、Safari キーチ ェ ーン だけで 動作 し ま す。 • ASA は、ク ラ イ ア ン ト レ ス SSL VPN 接続用の DSA 証明書を サポー ト し ま せん。RSA 証明書 はサポー ト さ れ ま す。 • 一部の ド メ イ ンベー ス のセ キ ュ リ テ ィ 製品には、ASA か ら 送信 さ れた要求を超え る 要件が あ り ま す。 • コ ン フ ィ ギ ュ レ ーシ ョ ン制御の検査機能お よ びモ ジ ュ ラ ポ リ シー フ レ ーム ワ ー ク におけ る その他の検査機能はサポー ト さ れ ま せん。 • NAT お よ び PAT は ク ラ イ ア ン ト に適用可能では あ り ま せん。 • ク ラ イ ア ン ト レ ス SSL VPN の コ ンポーネン ト の一部には、Java ラ ン タ イ ム環境(JRE)が必要で す。Mac OS X v10.7 以降では Java はデフ ォル ト では イ ン ス ト ール さ れてい ません。Mac OS X で Java を イ ン ス ト ールする方法については、http://java.com/en/download/faq/java_mac.xml を参照し て く だ さ い。 ク ラ イ ア ン ト レ ス ポータ ル用に設定 さ れた複数のグループ ポ リ シーがあ る場合は、ロ グ イ ン ページ の ド ロ ッ プダ ウ ンに表示 さ れます。リ ス ト にあ る最初のグループ ポ リ シーで証明書が必要な場合 は、ユーザはマ ッ チン グ証明書が必要です。グループ ポ リ シーの一部が証明書を使用し ない場合、非 証明書ポ リ シーを最初に表示する には、リ ス ト を設定し ます。ま た、「0-Select-a-group」の名前でダ ミ ー グループ ポ リ シーを作成する こ と も で き ます。 ヒント グループ ポ リ シーの名前を アルフ ァ ベ ッ ト 順に付け る こ と で、最初に表示 さ れ る ポ リ シーを制御 で き ます。ま た、ポ リ シーの先頭に数字を付け る こ と も で き ます。た と えば、1-AAA、2-Certificate と し ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 10-2 CH A P T E R 11 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン 各 URL の書き換え デフ ォ ル ト では、ASA はすべての Web リ ソ ース(HTTPS、CIFS、RDP、プ ラ グ イ ン な ど)に対す る す べてのポー タ ル ト ラ フ ィ ッ ク を許可 し ます。ク ラ イ ア ン ト レ ス SSL VPN は、ASA だけに意味のあ る も のに各 URL を書 き 換え ます。ユーザは、要求 し た Web サ イ ト に接続 さ れてい る こ と を確認す る ために、こ の URL を使用で き ません。フ ィ ッ シ ン グ Web サ イ ト か ら の危険にユーザが さ ら さ れ る のを防 ぐ には、ク ラ イ ア ン ト レ ス ア ク セ ス に設定 し てい る ポ リ シー(グループ ポ リ シー、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー、ま たはその両方)に Web ACL を割 り 当て てポー タ ルか ら の ト ラ フ ィ ッ ク フ ロ ーを制御 し ます。こ れ ら のポ リ シーの URL エ ン ト リ を オ フ に切 り 替え て、何にア ク セ ス で き る かについてユーザが混乱 し ない よ う にす る こ と をお勧め し ます。 図 11-1 ユーザが入力 し た URL の例 図 11-2 セキ ュ リ テ ィ ア プ ラ イ ア ン ス に よ っ て書 き換え ら れ、ブ ラ ウザ ウ ィ ン ド ウに表示 さ れた 同 じ URL ステ ッ プ 1 ク ラ イ ア ン ト レ ス SSL VPN ア ク セ ス を必要 と す る すべてのユーザの グループ ポ リ シーを設定 し 、その グループ ポ リ シーに対 し てだけ ク ラ イ ア ン ト レ ス SSL VPN を イ ネーブルに し ま す。 ステ ッ プ 2 グループ ポ リ シー を 開 き 、[General] > [More Options] > [Web ACL] を 選択 し て [Manage] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-1 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン ク ラ イ ア ン ト レ ス SSL VPN ア ク セスの設定 ステ ッ プ 3 次のいずれか を行 う 場合、Web ACL を作成 し ま す。 • プ ラ イ ベー ト ネ ッ ト ワ ー ク 内の特定の タ ーゲ ッ ト だけに ア ク セ ス を許可す る 。 • プ ラ イ ベー ト ネ ッ ト ワ ー ク への ア ク セ ス だけ を許可す る 、イ ン タ ーネ ッ ト ア ク セ ス を拒否 す る 、ま たは信頼で き る サ イ ト への ア ク セ ス だけ を許可す る 。 ステ ッ プ 4 ク ラ イ ア ン ト レ ス SSL VPN ア ク セ ス 用に設定 し てい る すべてのポ リ シー(グループ ポ リ シー、 ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー、ま たはその両方)に Web ACL を割 り 当て ま す。Web ACL を DAP に割 り 当て る には、DAP レ コ ー ド を編集 し 、[Network ACL Filters] タ ブで Web ACL を選択 し ま す。 ステ ッ プ 5 ブ ラ ウ ザベー ス の接続の確立時に表示 さ れ る ポー タ ル ページ 上の URL エ ン ト リ を オ フ に切 り 替え ま す。グループ ポ リ シーのポー タ ル フ レ ーム と DAP の [Functions] タ ブの両方の [URL Entry] の横に あ る [Disable] を ク リ ッ ク し ま す。DAP 上の URL エ ン ト リ を オ フ に切 り 替え る に は、ASDM を使用 し て DAP レ コ ー ド を編集 し 、[Functions] タ ブ を ク リ ッ ク し て、URL エ ン ト リ の 横に あ る [Disable] を オ ン に し ま す。 ステ ッ プ 6 ユーザに、ポー タ ル ページの上のネ イ テ ィ ブ ブ ラ ウ ザの Address フ ィ ール ド に外部 URL を入力 す る か、別のブ ラ ウ ザ ウ ィ ン ド ウ を開いて、外部サ イ ト に ア ク セ ス す る か を指示 し ま す。 ク ラ イ ア ン ト レ ス SSL VPN ア ク セスの設定 ク ラ イ ア ン ト レ ス SSL VPN ア ク セ ス を設定す る 場合、次の操作が可能です。 • ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン向けに ASA イ ン タ ー フ ェ イ ス を イ ネーブルにす る 、 ま たはオ フ に切 り 替え る 。 • ク ラ イ ア ン ト レ ス SSL VPN 接続で使用す る ポー ト を選択す る 。 • 同時 ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン の最大数を設定す る 。 ステ ッ プ 1 ク ラ イ ア ン ト レ ス ア ク セ ス 用の グループ ポ リ シーを設定 ま たは作成す る には、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] ペ イ ン を選択 し ま す。 ステ ッ プ 2 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] の順 に進み ま す。 a. 各 ASA イ ン タ ー フ ェ イ ス の [Allow Access] を イ ネーブルにす る か、オ フ に切 り 替え ま す。 イ ン タ ー フ ェ イ ス の カ ラ ム には、設定 さ れてい る イ ン タ ー フ ェ イ ス の リ ス ト が表示 さ れ ま す。[WebVPN Enabled] フ ィ ール ド に、イ ン タ ー フ ェ イ ス の ク ラ イ ア ン ト レ ス SSL VPN の ス テー タ ス が表示 さ れ ま す。[Yes] の隣に緑のチ ェ ッ ク マー ク が入っ てい る と 、ク ラ イ ア ン ト レ ス SSL VPN は イ ネーブルにな っ てい ま す。[No] の横の赤色の丸は、ク ラ イ ア ン ト レ ス SSL VPN がオ フ に切 り 替え ら れてい る こ と を示 し ま す。 b. ステ ッ プ 3 [Port Setting] を ク リ ッ ク し、ク ラ イ ア ン ト レ ス SSL セ ッ シ ョ ンに使用する ポー ト 番号(1 ~ 65535) を入力し ます。デフ ォル ト は 443 です。ポー ト 番号を変更する と 、現在のすべての ク ラ イ ア ン ト レ ス SSL VPN 接続が切断 さ れる ため、現在のユーザは再接続する必要があ り ます。ま た、ASDM セ ッ シ ョ ンへの再接続を求め る メ ッ セージが表示 さ れます。 [Configuration] > [Remote Access VPN] > [Advanced] > [Maximum VPN Sessions] の順に進み、 [Maximum Other VPN Sessions] フ ィ ール ド で許可す る ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン の 最大数を入力 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-2 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ク ラ イ ア ン ト レ ス SSL VPN サーバ証明書の確認 ステ ッ プ 1 グループ ポ リ シーの ク ラ イ ア ン ト レ ス SSL VPN コ ン フ ィ ギ ュ レーシ ョ ン モー ド に切 り 替え ます。 webvpn ステ ッ プ 2 ユーザが HTTP/HTTPS URL を入力す る 機能を制御 し ま す。 url-entry ステ ッ プ 3 (オプ シ ョ ン)URL エ ン ト リ を オ フ に切 り 替え ま す。 url-entry disable ク ラ イ ア ン ト レ ス SSL VPN サーバ証明書の確認 ク ラ イ ア ン ト レ ス SSL VPN 経由で リ モー ト SSL 対応サーバに接続す る 場合は、リ モー ト サーバ を信頼で き る こ と 、ま た、接続先が実際にサーバで あ る こ と を認識す る こ と が重要です。ASA 9.0 には、ク ラ イ ア ン ト レ ス SSL VPN の信頼で き る 認証局(CA)証明書の リ ス ト に対す る SSL サー バ証明書の検証のためのサポー ト が追加 さ れてい ま す。 HTTPS プ ロ ト コ ル を使用 し て Web ブ ラ ウ ザ経由で リ モー ト サーバに接続す る 場合、サーバは サーバ自体を識別す る ために認証局(CA)が署名 し たデジ タ ル証明書を提供 し ま す。Web ブ ラ ウ ザには、サーバ証明書の有効性を検証す る ために使用 さ れ る 一連の CA 証明書が含 ま れてい ま す。こ れは、公開キー イ ン フ ラ ス ト ラ ク チ ャ (PKI)の 1 つの形式です。 ASA は信頼で き る プール証明書の管理機能を trustpool の形式で提供 し ま す。こ れは、複数の既知 の CA 証明書を表す ト ラ ス ト ポ イ ン ト の特殊な ケー ス と 見なす こ と がで き ま す。ASA には Web ブ ラ ウ ザに備わ っ てい る も の と 同様のデ フ ォ ル ト の一連の証明書が含 ま れてい ま す。管理者が 実行す る ま では動作 し ま せん。 注 ASA trustpool は Cisco IOS trustpool と 似てい ま すが、同 じ ではあ り ま せん。 HTTP サーバ検証の有効化 ステ ッ プ 1 ASDM で、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] を選択 し ま す。 ステ ッ プ 2 [Enable SSL Certificate Check] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 ステ ッ プ 3 [Disconnect User From HTTPS Site] を ク リ ッ ク し て、サーバが検証で き なか っ た場合に切断 し ま す。ま たは、[Allow User to Proceed to HTTPS Site] を ク リ ッ ク し て、チ ェ ッ ク が失敗 し た場合で も 、 ユーザが接続を継続で き る よ う に し ま す。 ステ ッ プ 4 [Apply] を ク リ ッ ク し て変更内容を保存 し ま す。 証明書のバン ド ルのイ ンポー ト 次の形式のいずれかで、さ ま ざ ま な場所か ら 個々の証明書 ま たは証明書のバ ン ド ル を イ ン ポー ト で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-3 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン ク ラ イ ア ン ト レ ス SSL VPN サーバ証明書の確認 • pkcs7 構造で ラ ッ プ さ れた DER 形式の x509 証明書。 • PEM 形式(PEM ヘ ッ ダーに囲 ま れた)の連結 し た x509 証明書の フ ァ イ ル。 ステ ッ プ 1 ASDM で、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] を選択 し ま す。 ステ ッ プ 2 [Import Bundle] を ク リ ッ ク し ま す。 ステ ッ プ 3 バ ン ド ルの場所を選択 し ま す。 ステ ッ プ 4 • バ ン ド ルが コ ン ピ ュ ー タ に保存 さ れてい る 場合は、[Import From a File] を ク リ ッ ク し 、 [Browse Local Files] を ク リ ッ ク し て、バ ン ド ル を選択 し ま す。 • バ ン ド ルが ASA フ ラ ッ シ ュ フ ァ イ ル シ ス テ ム に保存 さ れてい る 場合は、[Import From Flash] を ク リ ッ ク し 、[Browse Flash] を ク リ ッ ク し て、フ ァ イ ル を選択 し ま す。 • バン ド ルがサーバで ホ ス ト さ れてい る 場合は、[Import From a URL] を ク リ ッ ク し て、リ ス ト か ら プ ロ ト コ ル を選択 し 、フ ィ ール ド に URL を入力 し ま す。 • 署名検証が失敗 し た り 、バ ン ド ル を イ ン ポー ト で き ない場合に、バ ン ド ル を イ ン ポー ト す る よ う に設定 し て、後で個別の証明書エ ラ ーを修正 し ま す。証明書のいずれかに失敗 し た場合 はバ ン ド ル全体が失敗す る よ う に、チ ェ ッ ク ボ ッ ク ス を オ フ に し ま す。 [Import Bundle] を ク リ ッ ク し ま す。ま たは、[Cancel] を ク リ ッ ク し て変更を破棄 し ま す。 注 [Remove All Downloaded Trusted CA Certificates Prior to Import] チ ェ ッ ク ボ ッ ク ス を オ ン に し て、新 し いバ ン ド ル を イ ン ポー ト す る 前に trustpool を ク リ ア し ま す。 trustpool のエ ク スポー ト trustpool を正 し く 設定 し た ら 、プール を エ ク ス ポー ト す る 必要が あ り ま す。こ れに よ り 、こ のポ イ ン ト ま で(た と えばエ ク ス ポー ト 後に trustpool に追加 さ れた証明書を削除す る 場合な ど ) trustpool を復元で き ま す。ASA フ ラ ッ シ ュ フ ァ イ ル シ ス テ ム ま たは ロ ーカル フ ァ イ ル シ ス テ ム にプール を エ ク ス ポー ト で き ま す。 ASDM で、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] を選択 し 、[Export Pool] を ク リ ッ ク し ま す。 ステ ッ プ 1 [Export to a File] を ク リ ッ ク し ま す。 ステ ッ プ 2 [Browse Local Files] を ク リ ッ ク し ま す。 ステ ッ プ 3 trustpool を保存す る フ ォ ルダ を選択 し ま す。 ステ ッ プ 4 [File Name] ボ ッ ク ス に、trustpool の一意の覚えやすい名前を入力 し ま す。 ステ ッ プ 5 [Select] を ク リ ッ ク し ま す。 ステ ッ プ 6 [Export Pool] を ク リ ッ ク し て、フ ァ イ ル を保存 し ま す。ま たは、[Cancel] を ク リ ッ ク し て保存を停 止 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-4 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン Java Code Signer 証明書の削除 すべての証明書を削除す る には、ASDM で [Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] を選択 し 、[Clear Pool] を ク リ ッ ク し ま す。 注 trustpool を ク リ アす る 前に、現在の設定を復元で き る よ う に、現在の trustpool を エ ク ス ポー ト す る 必要が あ り ま す。 デ フ ォル ト の信頼で き る認証局 リ ス ト の復元 デフ ォ ル ト の信頼で き る 認証局(CA) リ ス ト を復元す る には、ASDM で [Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] を選択 し 、[Restore Default Trusted CA List] を ク リ ッ ク し 、[Import Bundle] を ク リ ッ ク し ます。 trustpool の更新 次のいずれかの条件が満た さ れ る 場合は、trustpool を更新す る 必要が あ り ま す。 • trustpool の証明書が期限切れ ま たは再発行 さ れてい る 。 • 公開 さ れた CA 証明書のバ ン ド ルに、特定の ア プ リ ケーシ ョ ン で必要な追加の証明書が含 ま れてい る 。 完全な更新に よ っ て、trustpool のすべて の証明書が置 き 換え ら れ ま す。 実用的な更新では、新 し い証明書を追加 し た り 、既存の証明書を置 き 換え る こ と がで き ま す。 証明書のバン ド ルの削除 trustpool を ク リ アす る と 、デ フ ォ ル ト のバ ン ド ルではないすべての証明書が削除 さ れ ま す。 デフ ォ ル ト のバン ド ルは削除で き ません。trustpool を ク リ アす る には、ASDM で [Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] を選択 し 、[Clear Pool] を ク リ ッ ク し ま す。 Java Code Signer コ ー ド 署名に よ り 、デジ タ ル署名が、実行可能な コ ー ド その も のに追加 さ れ ま す。こ のデジ タ ル 署名には、さ ま ざ ま な情報が保持 さ れてい ま す。署名以降にその コ ー ド が変更 さ れていない こ と を保証す る だけで な く 、署名者を認証す る 場合に使用す る こ と も で き ま す。 コ ー ド 署名者証明書は、関連付け ら れてい る 秘密キーがデジ タ ル署名の作成に使用 さ れ る 特殊 な証明書です。コ ー ド の署名に使用 さ れ る 証明書は CA か ら 取得 さ れ、署名 さ れた コ ー ド その も のが証明書の発生元を示 し ま す。 Java オブ ジ ェ ク ト 署名で使用す る 、設定 さ れた証明書を ド ロ ッ プダ ウ ン リ ス ト か ら 選択 し ま す。 Java Code Signer を設定す る には、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Java Code Signer] を選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-5 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン プ ラ グ イ ンへのブ ラ ウザ ア ク セスの設定 ク ラ イ ア ン ト レ ス SSL VPN が変換 し た Java オブ ジ ェ ク ト は、その後、ト ラ ス ト ポ イ ン ト に関連 付け ら れた PKCS12 デジ タ ル証明書に よ り 署名 さ れ ま す。[Java Trustpoint] ペ イ ン では、指定 さ れ た ト ラ ス ト ポ イ ン ト の場所か ら PKCS12 証明書 と キー関連情報を使用す る よ う に ク ラ イ ア ン ト レ ス SSL VPN Java オブ ジ ェ ク ト 署名機能を設定で き ま す。 ト ラ ス ト ポ イ ン ト を イ ン ポー ト す る には、[Configuration] > [Properties] > [Certificate] > [Trustpoint] > [Import] を選択 し ま す。 プ ラ グ イ ンへのブ ラ ウザ ア ク セスの設定 ブ ラ ウ ザ プ ラ グ イ ン は、Web ブ ラ ウ ザに よ っ て呼び出 さ れ る 独立 し たプ ロ グ ラ ム で、ブ ラ ウ ザ ウ ィ ン ド ウ 内で ク ラ イ ア ン ト を サーバに接続す る な ど の専用の機能を実行 し ま す。ASAに よ り 、 ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン で リ モー ト ブ ラ ウ ザにダ ウ ン ロ ー ド す る ためのプ ラ グ イ ン を イ ン ポー ト で き ま す。通常、シ ス コ では再配布す る プ ラ グ イ ン のテ ス ト を行っ てお り 、再 配布で き ないプ ラ グ イ ン の接続性を テ ス ト す る 場合 も あ り ま す。ただ し 、現時点では、ス ト リ ー ミ ン グ メ デ ィ ア を サポー ト す る プ ラ グ イ ン の イ ン ポー ト は推奨 し ま せん。 プ ラ グ イ ン を フ ラ ッ シ ュ デバ イ ス に イ ン ス ト ールす る と 、ASAは次の処理を実行 し ま す。 • (シ ス コ が配布 し たプ ラ グ イ ン のみ)URL で指定 し た jar フ ァ イ ル を解凍す る 。 • ASA フ ァ イ ル シ ス テ ム に フ ァ イ ル を書 き 込み ま す。 • ASDM の URL 属性の横に あ る ド ロ ッ プダ ウ ン リ ス ト に情報を入力 し ま す。 • 以後のすべての ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン でプ ラ グ イ ン を イ ネーブルに し 、 ポー タ ル ページの [Address] フ ィ ール ド の横に あ る ド ロ ッ プダ ウ ン リ ス ト に メ イ ン メ ニ ュ ー オプ シ ョ ン と オプシ ョ ン を追加 し ま す。 次に、以降の項で説明す る プ ラ グ イ ン を追加 し た と き の、ポー タ ル ページの メ イ ン メ ニ ュ ー と ア ド レ ス フ ィ ール ド の変更点を示 し ま す。 * 推奨 さ れないプ ラ グ イ ン。 表 11-1 ク ラ イ ア ン ト レ ス SSL VPN ポー タ ル ページへのプ ラ グ イ ンの影響 プラグ イン ポー タ ル ページに追加 さ れる メ イ ン メ ニ ュー オプシ ョ ン ポー タ ル ページに追加 さ れる [Address] フ ィ ール ド オ プ シ ョ ン ica Citrix MetaFrame Services ica:// rdp Terminal Servers rdp:// rdp2* Terminal Servers Vista rdp2:// ssh,telnet セ キ ュ ア シ ェ ル ssh:// Telnet services(v1 お よ び v2 を サポー ト ) telnet:// vnc Virtual Network Computing services vnc:// ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン でユーザがポー タ ル ページの関連付け ら れた メ ニ ュ ー オプ シ ョ ン を ク リ ッ ク す る と 、ポー タ ル ページには イ ン タ ー フ ェ イ ス への ウ ィ ン ド ウ と ヘルプ ペ イ ン が表示 さ れ ま す。ド ロ ッ プダ ウ ン リ ス ト に表示 さ れたプ ロ ト コ ル を ユーザが選択 し て [Address] フ ィ ール ド に URL を入力す る と 、接続を確立で き ま す。プ ラ グ イ ン は、シ ン グル サ イ ン オ ン(SSO)を サポー ト し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-6 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン プ ラ グ イ ンへのブ ラ ウザ ア ク セ スの設定 プ ラ グ イ ンに伴 う 前提条件 • プ ラ グ イ ンへの リ モー ト ア ク セ ス を提供す る には、ASAで ク ラ イ ア ン ト レ ス SSL VPN を イ ネーブルにす る 必要が あ り ま す。 • プ ラ グ イ ン に対 し て SSO サポー ト を設定す る には、プ ラ グ イ ン を イ ン ス ト ール し 、サーバへ の リ ン ク を表示す る ためのブ ッ ク マー ク エ ン ト リ を追加 し ま す。ま た、ブ ッ ク マー ク を追加 す る と き に、SSO サポー ト を指定 し ま す。 • リ モー ト で使用す る ために必要な最低限のア ク セ ス権は、ゲ ス ト 特権モー ド に属 し てい ます。 • プ ラ グ イ ン には、ActiveX ま たは Oracle Java ラ ン タ イ ム環境(JRE)が必要です。バージ ョ ン要 件については、互換性マ ト リ ク ス を参照 し て く だ さ い。 プ ラ グ イ ンに伴 う 制限 注 Remote Desktop Protocol プ ラ グ イ ンでは、セ ッ シ ョ ン ブ ローカ を使用し た ロー ド バ ラ ンシン グはサ ポー ト さ れていません。プ ロ ト コルに よ る セ ッ シ ョ ン ブ ローカか ら の リ ダ イ レ ク シ ョ ンの処理方法 のため、接続に失敗し ます。セ ッ シ ョ ン ブ ローカが使用さ れていない場合、プ ラ グ イ ンは動作し ます。 • プ ラ グ イ ン は、シ ン グル サ イ ン オ ン(SSO)を サポー ト し ま す。プ ラ グ イ ン は、ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を開 く と き に入力 し た ク レ デン シ ャ ル と 同 じ ク レ デン シ ャ ル を使用 し ま す。プ ラ グ イ ン はマ ク ロ 置換を サポー ト し ないため、内部 ド メ イ ン パ ス ワ ー ド な ど の さ ま ざ ま な フ ィ ール ド や、RADIUS ま たは LDAP サーバの属性で SSO を実行す る オプシ ョ ン は あ り ま せん。 • ス テー ト フ ル フ ェ ールオーバーが発生す る と 、プ ラ グ イ ン を使用 し て確立 さ れたセ ッ シ ョ ン は保持 さ れ ま せん。ユーザは フ ェ ールオーバー後に再接続す る 必要があ り ます。 • ス テー ト フ ル フ ェ ールオーバーではな く ス テー ト レ ス フ ェ ールオーバーを使用す る 場合は、 ブ ッ ク マー ク 、カ ス タ マ イ ゼーシ ョ ン、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シーな ど の ク ラ イ ア ン ト レ ス 機能は フ ェ ールオーバー ASA ペア間で同期 さ れ ま せん。フ ェ ールオーバーの発生時に、 こ れ ら の機能は動作 し ま せん。 プ ラ グ イ ンのためのセキ ュ リ テ ィ ア プ ラ イ ア ン スの準備 は じ める前に ク ラ イ ア ン ト レ ス SSL VPN が ASA イ ン タ ー フ ェ イ ス で イ ネーブルにな っ てい る こ と を確認 し ま す。 SSL 証明書の 一般名(CN) と し て IP ア ド レ ス を指定 し ないで く だ さ い。リ モー ト ユーザは、ASA と 通信す る ために FQDN の使用を試行 し ます。リ モー ト PC は、DNS ま たは System32\drivers\etc\hosts フ ァ イ ル内のエ ン ト リ を使用 し て、FQDN を解決で き る 必要があ り ます。 ステ ッ プ 1 ク ラ イ ア ン ト レ ス SSL VPN が ASA で有効にな っ てい る か ど う か を示 し ま す。 show running-config ステ ッ プ 2 ASA イ ン タ ー フ ェ イ ス に SSL 証明書を イ ン ス ト ール し て、リ モー ト ユーザ接続の完全修飾 ド メ イ ン名(FQDN)を指定 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-7 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン プ ラ グ イ ンへのブ ラ ウザ ア ク セスの設定 シス コ によ っ て再配布 さ れたプ ラ グ イ ンのイ ン ス ト ール シ ス コ では、Java ベー ス のオープ ン ソ ー ス コ ン ポーネ ン ト を再配布 し てい ま す。こ れは、ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン で Web ブ ラ ウ ザのプ ラ グ イ ン と し て ア ク セ ス さ れ る コ ン ポー ネ ン ト で、次の も のが あ り ま す。 は じ める前に ASA の イ ン タ ー フ ェ イ ス 上で ク ラ イ ア ン ト レ ス SSL VPN が イ ネーブルにな っ てい る こ と を確 認 し ま す。そのためには、show running-config コ マ ン ド を入力 し ま す。 表 11-2 シス コが再配布 し ている プ ラ グ イ ン Protocol 説明 RDP 再配布 し てい る プ ラ グ イ ンの ソ ース * Windows Vista お よ び Windows 2003 R2 で ホ ス ト さ れ る Microsoft Terminal Services に ア ク セ ス し ま す。 http://properjavardp.sourceforge.net/ リ モー ト デ ス ク ト ッ プ ActiveX コ ン ト ロ ール を サポー ト し ま す。 RDP お よ び RDP2 の両方を サポー ト す る こ のプ ラ グ イ ン を使 用す る こ と をお勧め し ま す。RDP お よ び RDP2 のバージ ョ ン 5.1 へのバージ ョ ン ア ッ プだけがサポー ト さ れてい ま す。バー ジ ョ ン 5.2 以降はサポー ト さ れてい ま せん。 RDP2 Windows Vista お よ び Windows 2003 R2 で ホ ス ト さ れ る Microsoft Terminal Services に ア ク セ ス し ま す。 http://properjavardp.sourceforge.net/ リ モー ト デ ス ク ト ッ プ ActiveX コ ン ト ロ ール を サポー ト し ま す。 注 SSH Secure Shell-Telnet プ ラ グ イ ン に よ り 、リ モー ト ユーザは リ モー ト コ ン ピ ュ ー タ への Secure Shell(v1 ま たは v2)ま たは Telnet 接続を確立で き ま す。 注 VNC こ の古いプ ラ グ イ ン は、RDP2 だけ を サポー ト し ま す。 こ のプ ラ グ イ ン を使用す る こ と は推奨 し ま せん。代わ り に、上記の RDP プ ラ グ イ ン を使用 し て く だ さ い。 http://javassh.org/ キーボー ド イ ン タ ラ ク テ ィ ブ認証は JavaSSH ではサ ポー ト さ れて い な い た め、(異な る 認証 メ カ ニ ズ ム の実 装に使用 さ れ る )SSH プ ラ グ イ ン ではサポー ト さ れ ま せん。 Virtual Network Computing プ ラ グ イ ン を使用す る と 、リ モー ト ユーザは リ モー ト デ ス ク ト ッ プ共有(VNC サーバ ま たは サービ ス と も 呼ばれ る )を オ ン に し た コ ン ピ ュ ー タ を、モニ タ 、キーボー ド 、お よ びマ ウ ス を使用 し て表示お よ び制御で き ま す。こ のバージ ョ ン では、テ キ ス ト のデ フ ォ ル ト の色が変更 さ れてい ま す。ま た、フ ラ ン ス 語 と 日本語のヘルプ フ ァ イ ル も ア ッ プデー ト さ れてい ま す。 http://www.tightvnc.com/ *展開の設定 と 制限につい ては、プ ラ グ イ ン のマ ニ ュ アル を参照 し て く だ さ い。 こ れ ら のプ ラ グ イ ン は、「Cisco Adaptive Security Appliance Software Download」サ イ ト で入手で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-8 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン プ ラ グ イ ンへのブ ラ ウザ ア ク セ スの設定 ステ ッ プ 1 ASA と の ASDM セ ッ シ ョ ン を確立す る ために使用す る コ ン ピ ュ ー タ に、plugins と い う 名前の一 時デ ィ レ ク ト リ を作成 し 、シ ス コ の Web サ イ ト か ら 、必要な プ ラ グ イ ン を plugins デ ィ レ ク ト リ にダ ウ ン ロ ー ド し ま す。 ステ ッ プ 2 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Client-Server Plug-ins] を選択 し ま す。 こ のペ イ ン には、ク ラ イ ア ン ト レ ス SSL セ ッ シ ョ ン で使用可能な現在 ロ ー ド さ れてい る プ ラ グ イ ン が表示 さ れ ま す。こ れ ら のプ ラ グ イ ン のハ ッ シ ュ お よ び日付 も 表示 さ れ ま す。 ステ ッ プ 3 [Import] を ク リ ッ ク し ま す。 ステ ッ プ 4 [Import Client-Server Plug-in] ダ イ ア ロ グ ボ ッ ク ス の フ ィ ール ド 値を入力す る には、次の説明を参 考に し て く だ さ い。 • [Plug-in Name]:次のいずれかの値を入力 し ま す。 – ica。Citrix MetaFrame ま たは Web Interface サービ ス へのプ ラ グ イ ン ア ク セ ス を提供す る 場合に指定 し ま す。 – Remote Desktop Protocol サービ ス へのプ ラ グ イ ン ア ク セ ス を提供す る には、rdp を入力 し ま す。 – セ キ ュ ア シ ェ ル サー ビ ス と Telnet サービ ス の 両方 にプ ラ グ イ ン ア ク セ ス を提供す る に は、ssh,telnet を入力 し ま す。 – Virtual Network Computing サー ビ ス にプ ラ グ イ ン ア ク セ ス を提供す る には、vnc を入力 し ま す。 注 • こ の メ ニ ュ ーの、記載のないオプシ ョ ン は実験的な も ので あ る ため、サポー ト さ れて い ま せん。 [Select the location of the plugin file]:次のいずれかのオプシ ョ ン を ク リ ッ ク し 、テ キ ス ト フ ィ ール ド にパ ス を挿入 し ま す。 – [Local computer]:関連す る [Path] フ ィ ール ド にプ ラ グ イ ン の場所 と 名前を入力す る か、 [Browse Local Files] を ク リ ッ ク し てプ ラ グ イ ン を選択 し 、プ ラ グ イ ン を選択 し て [Select] を ク リ ッ ク し ま す。 – [Flash file system]:関連す る [Path] フ ィ ール ド にプ ラ グ イ ン の場所 と 名前を入力す る か、 [Browse Flash] を ク リ ッ ク し てプ ラ グ イ ン を選択 し 、プ ラ グ イ ン を選択 し て [OK] を ク リ ッ ク し ま す。 – [Remote Server]: リ モー ト サーバで実行 さ れて い る サー ビ ス に応 じ て、関連付け ら れた [Path] 属性の横に あ る ド ロ ッ プ ダ ウ ン メ ニ ュ ーで [ftp]、[tftp]、ま たは [HTTP] を 選択 し ま す。隣に あ る テ キ ス ト フ ィ ール ド に、サーバの ホ ス ト 名 ま たは ア ド レ ス お よ びプ ラ グ イ ン へのパ ス を 入力 し ま す。 ステ ッ プ 5 [Import Now] を ク リ ッ ク し ま す。 ステ ッ プ 6 [Apply] を ク リ ッ ク し ま す。 こ れで、以降の ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン でプ ラ グ イ ン が使用で き る よ う にな り ま し た。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-9 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン プ ラ グ イ ンへのブ ラ ウザ ア ク セスの設定 Citrix XenApp Server へのア ク セスの提供 サー ド パーテ ィ のプ ラ グ イ ン に、ク ラ イ ア ン ト レ ス SSL VPN ブ ラ ウ ザ ア ク セ ス を提供す る 方法 の例 と し て、こ の項では、Citrix XenApp Server Client に ク ラ イ ア ン ト レ ス SSL VPN のサポー ト を 追加す る 方法について説明 し ま す。 ASA に Citrix プ ラ グ イ ン が イ ン ス ト ール さ れてい る 場合、ク ラ イ ア ン ト レ ス SSL VPN ユーザ は、ASA への接続を使用 し て、Citrix XenApp サー ビ ス に ア ク セ ス で き ま す。 ス テー ト フ ル フ ェ ールオーバーでは、Citrix プ ラ グ イ ン を使用 し て確立 さ れた セ ッ シ ョ ン が保持 さ れ ま せん。フ ェ ールオーバー後に Citrix ユーザ を再認証す る 必要が あ り ま す。 Citrix プ ラ グ イ ンの作成 と イ ン ス ト ール は じ める前に セ キ ュ リ テ ィ ア プ リ ケーシ ョ ン を プ ラ グ イ ン用に準備す る 必要が あ り ま す。 (Citrix)「セ キ ュ ア ゲー ト ウ ェ イ 」を使用 し ないモー ド で動作す る よ う に Citrix Web Interface ソ フ ト ウ ェ ア を設定す る 必要が あ り ま す。こ の設定を し ない と 、Citrix ク ラ イ ア ン ト は Citrix XenApp Server に接続で き ま せん。 ステ ッ プ 1 シ ス コ の ソ フ ト ウ ェ ア ダ ウ ン ロ ー ド Web サ イ ト か ら ica-plugin.zip フ ァ イ ル を ダ ウ ン ロ ー ド し ま す。 こ の フ ァ イ ルには、Citrix プ ラ グ イ ン を使用す る ためにシ ス コ が カ ス タ マ イ ズ し た フ ァ イ ルが含 ま れてい ま す。 ステ ッ プ 2 Citrix のサ イ ト か ら Citrix Java ク ラ イ ア ン ト を ダ ウ ン ロ ー ド し ま す。 Citrix Web サ イ ト のダ ウ ン ロ ー ド 領域で [Citrix Receiver]、[Receiver for Other Platforms] を選択 し 、 [Find] を ク リ ッ ク し ま す。[Receiver for Java] ハ イ パー リ ン ク を ク リ ッ ク し て アーカ イ ブ を ダ ウ ン ロ ー ド し ま す。 ステ ッ プ 3 アーカ イ ブか ら 次の フ ァ イ ル を抽出 し 、それ ら を ica-plugin.zip フ ァ イ ルに追加 し ま す。 • JICA-configN.jar • JICAEngN.jar ステ ッ プ 4 Citrix Java ク ラ イ ア ン ト に含 ま れてい る EULA に よ っ て、Web サーバ上に ク ラ イ ア ン ト を配置す る ための権限が与え ら れてい る こ と を確認 し ま す。 ステ ッ プ 5 ASDM を 使用す る か、ま たは特権 EXEC モー ド で次の CLI コ マ ン ド を 入力 し て、プ ラ グ イ ン を イ ン ス ト ール し ま す。 import webvpn plug-in protocol ica URL URL はホ ス ト 名 ま たは IP ア ド レ ス 、お よ び ica-plugin.zip フ ァ イ ルへのパ ス です。 注 Citrix セ ッ シ ョ ン に SSO サポー ト を提供す る 場合は、ブ ッ ク マー ク の追加は必須です。次 の よ う に、ブ ッ ク マー ク で便利な表示を提供す る URL パ ラ メ ー タ を使用す る こ と を推奨 し ま す。 ica://10.56.1.114/?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-10 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ポー ト 転送の設定 ステ ッ プ 6 SSL VPN ク ラ イ ア ン ト レ ス セ ッ シ ョ ン を確立 し 、ブ ッ ク マー ク を ク リ ッ ク す る か、Citrix サーバ の URL を入力 し ま す。 必要に応 じ て、『Client for Java Administrator's Guide』を参照 し て く だ さ い。 ポー ト 転送の設定 ポー ト 転送に よ り 、ユーザは ク ラ イ ア ン ト レ ス SSL VPN 接続を介 し て TCP ベー ス の ア プ リ ケー シ ョ ン に ア ク セ ス で き ま す。TCP ベー ス の ア プ リ ケーシ ョ ン には次の よ う な も のが あ り ま す。 • Lotus Notes • Microsoft Outlook • Microsoft Outlook Express • Perforce • Sametime • Secure FTP(FTP over SSH) • SSH • Telnet • Windows Terminal Service • XDDTS その他の TCP ベー ス のア プ リ ケーシ ョ ン も 動作す る 可能性はあ り ま すが、シ ス コ ではテ ス ト を 行っ てい ま せん。UDP を使用す る プ ロ ト コ ルは動作 し ま せん。 ポー ト 転送は、ク ラ イ ア ン ト レ ス SSL VPN 接続を介 し て TCP ベー ス の ア プ リ ケーシ ョ ン を サ ポー ト す る ための レ ガ シー テ ク ノ ロ ジーです。ポー ト 転送テ ク ノ ロ ジーを サポー ト す る 設定を 事前に構築 し てい る 場合は、ポー ト 転送の使用を選択す る こ と も で き ま す。 ポー ト 転送の代替方法 と し て次の こ と を検討 し て く だ さ い。 • ス マー ト ト ン ネル ア ク セ ス を使用す る と 、ユーザには次の よ う な利点が あ り ま す。 – ス マー ト ト ン ネルは、プ ラ グ イ ン よ り も パ フ ォ ーマ ン ス が向上 し ま す。 – ポー ト 転送 と は異な り 、ス マー ト ト ン ネルでは、ロ ーカル ポー ト への ロ ーカル ア プ リ ケーシ ョ ン のユーザ接続を要求 し ない こ と に よ り 、ユーザ エ ク ス ペ リ エ ン ス が簡略化 さ れ ま す。 – ポー ト 転送 と は異な り 、ス マー ト ト ン ネルでは、ユーザは管理者特権を持つ必要が あ り ま せん。 • ポー ト 転送お よ び ス マー ト ト ン ネル ア ク セ ス と は異な り 、プ ラ グ イ ン では、ク ラ イ ア ン ト ア プ リ ケーシ ョ ン を リ モー ト コ ン ピ ュ ー タ に イ ン ス ト ールす る 必要が あ り ま せん。 ASAでポー ト 転送を設定す る 場合は、ア プ リ ケーシ ョ ン が使用す る ポー ト を指定 し ま す。ス マー ト ト ン ネル ア ク セ ス を設定す る 場合は、実行 フ ァ イ ル ま たはそのパ ス の名前を指定 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-11 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン ポー ト 転送の設定 ポー ト 転送の前提条件 • リ モー ト ホ ス ト で、次のいずれかの 32 ビ ッ ト バージ ョ ン が実行 さ れてい る 必要が あ る 。 – Microsoft Windows Vista、Windows XP SP2 ま たは SP3、ま たは Windows 2000 SP4 – Apple Mac OS X 10.4 ま たは 10.5 と Safari 2.0.4(419.3) – Fedora Core 4 • ま た、リ モー ト ホ ス ト で Oracle Java ラ ン タ イ ム環境(JRE)5 以降が動作 し てい る 必要 も あ る 。 • Mac OS X 10.5.3 上の Safari のブ ラ ウ ザベー ス のユーザは、Safari での URL の解釈方法に 従 っ て、使用す る ク ラ イ ア ン ト 証明書 を 、1 回目は末尾に ス ラ ッ シ ュ を 含め、も う 1 回は ス ラ ッ シ ュ を 含めずに、ASAの URL を 使用 し て指定す る 必要が あ り ま す。次に例 を 示 し ま す。 – https://example.com/ – https://example.com 詳細については、『Safari, Mac OS X 10.5.3: Changes in client certificate authentication』を参照 し て く だ さ い。 • ポー ト 転送 ま たは ス マー ト ト ン ネル を使用す る Microsoft Windows Vista 以降のユーザは、 ASA の URL を信頼済みサ イ ト ゾーン に追加す る 。信頼済みサ イ ト ゾーン に ア ク セ ス す る に は、Internet Explorer を起動 し 、[Tools] > [Internet Options] > [Security] タ ブ を選択す る 必要が あ り ま す。Vista(以降の)ユーザは保護モー ド を オ フ に切 り 替え る と ス マー ト ト ン ネル ア ク セ ス を使用す る こ と も で き ま す。ただ し 、攻撃に対す る コ ン ピ ュ ー タ の脆弱性が増すため、こ の方法の使用はお勧め し ま せん。 • ポー ト 転送(ア プ リ ケーシ ョ ン ア ク セ ス )お よ びデジ タ ル証明書 を サポー ト す る た めに、リ モー ト コ ン ピ ュ ー タ に Oracle Java ラ ン タ イ ム 環境(JRE)1.5.x 以降が イ ン ス ト ール さ れて い る こ と を 確認 し ま す。JRE 1.4.x が実行中で、ユーザがデジ タ ル証明書で認証 さ れ る 場合、 JRE が Web ブ ラ ウ ザの証明書 ス ト ア に ア ク セ ス で き な い ため、ア プ リ ケーシ ョ ン は起動 し ま せん。 ポー ト 転送の制限事項 • ポー ト 転送は、ス タ テ ィ ッ ク TCP ポー ト を使用す る TCP ア プ リ ケーシ ョ ン のみを サポー ト し てい ま す。ダ イ ナ ミ ッ ク ポー ト ま たは複数の TCP ポー ト を使用す る ア プ リ ケーシ ョ ン は サポー ト し てい ま せん。た と えば、ポー ト 22 を使用す る SecureFTP は、ク ラ イ ア ン ト レ ス SSL VPN のポー ト 転送を介 し て動作 し ま すが、ポー ト 20 と 21 を使用す る 標準 FTP は動作 し ま せん。 • ポー ト 転送は、UDP を使用す る プ ロ ト コ ル を サポー ト し てい ま せん。 • ポー ト 転送は Microsoft Outlook Exchange(MAPI)プ ロ キ シ を サポー ト し てい ま せん。し か し 、 Microsoft Outlook Exchange Server と 連携す る こ と に よ り 、Microsoft Office Outlook の ス マー ト ト ン ネル サポー ト を設定す る こ と がで き ま す。 • ス テー ト フ ル フ ェ ールオーバーでは、Application Access(ポー ト 転送 ま たは ス マー ト ト ン ネ ル ア ク セ ス )を使用 し て確立 し た セ ッ シ ョ ン は保持 さ れ ま せん。ユーザは フ ェ ールオーバー 後に再接続す る 必要が あ り ま す。 • ポー ト 転送は、携帯情報端末(PDA)への接続はサポー ト し てい ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-12 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ポー ト 転送の設定 • ポー ト 転送を使用す る には、Java ア プ レ ッ ト を ダ ウ ン ロ ー ド し て ロ ーカル ク ラ イ ア ン ト を 設定す る 必要が あ り ま す。こ れには、ロ ーカル シ ス テ ム に対す る 管理者の許可が必要にな る ため、ユーザがパブ リ ッ ク リ モー ト シ ス テ ム か ら 接続 し た場合に、ア プ リ ケーシ ョ ン を使用 で き ない可能性が あ り ま す。 Java アプ レ ッ ト は、エン ド ユーザの HTML イ ン タ ーフ ェ イ ス にあ る アプ レ ッ ト 独自の ウ ィ ン ド ウ に表示 さ れます。こ の ウ ィ ン ド ウ には、ユーザが使用で き る転送ポー ト の リ ス ト の内容、ア ク テ ィ ブなポー ト 、お よ び送受信 さ れた ト ラ フ ィ ッ ク 量(バ イ ト 単位)が表示 さ れます。 • ロ ーカル IP ア ド レ ス 127.0.0.1 が使用 さ れてお り 、ASA か ら の ク ラ イ ア ン ト レ ス SSL VPN 接続に よ っ て更新で き ない場合、ポー ト 転送ア プ レ ッ ト は ロ ーカル ポー ト と リ モー ト ポー ト を同一 と し て表示 し ま す。その結果、ASA は、127.0.0.2、127.0.0.3 な ど 、ロ ーカル プ ロ キ シ ID の新 し い IP ア ド レ ス を作成 し ま す。hosts フ ァ イ ル を変更 し て異な る ループバ ッ ク を使用 で き る ため、リ モー ト ポー ト はア プ レ ッ ト で ロ ーカル ポー ト と し て使用 さ れ ま す。接続す る には、ポー ト を指定せずに ホ ス ト 名を指定 し て Telnet を使用 し ま す。正 し い ロ ーカル IP ア ド レ ス を ロ ーカル ホ ス ト フ ァ イ ルで使用で き ま す。 ポー ト 転送用の DNS の設定 ポー ト 転送では、リ モー ト サーバの ド メ イ ン名 ま たはその IP ア ド レ ス を ASA に転送 し て、解決 お よ び接続を行い ま す。つ ま り 、ポー ト 転送ア プ レ ッ ト は、ア プ リ ケーシ ョ ン か ら の要求を受け 入れて、その要求を ASA に転送 し ま す。ASA は適切な DNS ク エ リ ーを作成 し 、ポー ト 転送ア プ レ ッ ト の代わ り に接続を確立 し ま す。ポー ト 転送ア プ レ ッ ト は、ASA に対す る DNS ク エ リ ーだ け を作成 し ま す。ポー ト 転送ア プ レ ッ ト はホ ス ト フ ァ イ ル を ア ッ プデー ト し て、ポー ト 転送ア プ リ ケーシ ョ ン が DNS ク エ リ ーを実行 し た と き に、ク エ リ ーがループバ ッ ク ア ド レ ス に リ ダ イ レ ク ト さ れ る よ う に し ま す。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] の順 に ク リ ッ ク し ま す。 デ フ ォ ル ト の ク ラ イ ア ン ト レ ス SSL VPN グループ エ ン ト リ は、ク ラ イ ア ン ト レ ス 接続に使用 さ れ る デ フ ォ ル ト の接続プ ロ フ ァ イ ルです。 ステ ッ プ 2 設定を ク ラ イ ア ン ト レ ス 接続に も 使用す る 場合は、デ フ ォ ル ト の ク ラ イ ア ン ト レ ス SSL VPN グ ループ エ ン ト リ を強調表示 し 、[Edit] を ク リ ッ ク し ま す。こ のエ ン ト リ が使用 さ れない場合は、ク ラ イ ア ン ト 接続の コ ン フ ィ ギ ュ レ ーシ ョ ン で使用 さ れ る 接続プ ロ フ ァ イ ル を強調表示 し 、[Edit] を ク リ ッ ク し ま す。 ステ ッ プ 3 [DNS] 領域に ス キ ャ ン し 、ド ロ ッ プダ ウ ン リ ス ト か ら DNS サーバ を選択 し ま す。ド メ イ ン名を メ モ し てお き ま す。使用す る DNS サーバが ASDM に表示 さ れてい る 場合は、残 り の ス テ ッ プ を 飛ば し 、次のセ ク シ ョ ン に移動 し ま す。ポー ト 転送 リ ス ト のエ ン ト リ を設定す る 際、リ モー ト サーバの指定時には、同 じ ド メ イ ン名を入力す る 必要が あ り ま す。コ ン フ ィ ギ ュ レ ーシ ョ ン に DNS サーバがない場合は、残 り の ス テ ッ プ を続け ま す。 ステ ッ プ 4 [DNS] 領域で [Manage] を ク リ ッ ク し ま す。 ステ ッ プ 5 [Configure Multiple DNS Server Groups] を ク リ ッ ク し ま す。 ステ ッ プ 6 [Add] を ク リ ッ ク し ま す。 ステ ッ プ 7 [Name] フ ィ ール ド に新 し いサーバ グループ名を入力 し 、IP ア ド レ ス と ド メ イ ン名を入力 し ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-13 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン ポー ト 転送の設定 図 11-3 ポー ト 転送の DNS サーバ値の例 入力 し た ド メ イ ン名を書 き 留め ま す。後ほ ど 、ポー ト 転送エ ン ト リ を設定す る 際、リ モー ト サー バ を指定す る ために必要にな り ま す。 ステ ッ プ 8 [Connection Profiles] ウ ィ ン ド ウ が再度ア ク テ ィ ブにな る ま で、[OK] を ク リ ッ ク し ま す。 ステ ッ プ 9 ク ラ イ ア ン ト レ ス接続の設定で使用 さ れる、残 り すべての接続プ ロ フ ァ イ ルについて、手順 2 ~ 8 を 繰 り 返し ます。 ス テ ッ プ 10 [Apply] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-14 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ポー ト 転送の設定 ポー ト 転送エ ン ト リ の追加 と 編集 [Add/Edit Port Forwarding Entry] ダ イ ア ロ グ ボ ッ ク ス では、ク ラ イ ア ン ト レ ス SSL VPN 接続に よ る ア ク セ ス に適用 さ れ る ユーザ ま たはグループ ポ リ シーに関連付け る TCP ア プ リ ケーシ ョ ン を指定で き ま す。こ れ ら の ウ ィ ン ド ウ で属性に値を割 り 当て る には、次の手順を実行 し ま す。 は じ める前に ト ン ネル を確立 し て IP ア ド レ ス を解決す る には、[Remote Server] パ ラ メ ー タ に割 り 当て た DNS 名が [Domain Name] お よ び [Server Group] パ ラ メ ー タ と 一致す る 必要が あ り ま す。[Domain] お よ び [Server Group] パ ラ メ ー タ のデ フ ォ ル ト 設定は、いずれ も DefaultDNS です。 ステ ッ プ 1 [Add] を ク リ ッ ク し ま す。 ステ ッ プ 2 ア プ リ ケーシ ョ ン が使用す る TCP ポー ト 番号 を入力 し ま す。ロ ーカル ポー ト 番号は、リ ス ト 名 ご と に 1 度だけ使用で き ま す。ロ ーカル TCP サー ビ ス と の競合を避け る には、1024 ~ 65535 の範 囲に あ る ポー ト 番号を使用 し ま す。 ステ ッ プ 3 リ モー ト サーバの ド メ イ ン名ま たは IP ア ド レ ス を入力 し ます。特定の IP ア ド レ ス に対 し て ク ラ イ ア ン ト アプ リ ケーシ ョ ン を設定 し な く て済む よ う 、ド メ イ ン名を使用す る こ と をお勧め し ます。 ステ ッ プ 4 その ア プ リ ケーシ ョ ン用の well-known ポー ト 番号を入力 し ま す。 ステ ッ プ 5 ア プ リ ケーシ ョ ン の説明を入力 し ま す。最大で 64 文字 ま で指定可能です。 ステ ッ プ 6 (任意)ポー ト 転送 リ ス ト を強調表示 し 、[Assign] を ク リ ッ ク し て、選択 し た リ ス ト を 1 つ以上の グループ ポ リ シー、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー、ま たはユーザ ポ リ シーに割 り 当て ま す。 ポー ト 転送 リ ス ト の割 り 当て ク ラ イ ア ン ト レ ス SSL VPN 接続に よ る ア ク セ ス に適用 さ れ る ユーザ ま たはグループ ポ リ シーに 関連付け る TCP アプ リ ケーシ ョ ン の名前付 き リ ス ト を追加 ま たは編集で き ま す。グループ ポ リ シー と ユーザ名ご と に、次のいずれか を行 う よ う に ク ラ イ ア ン ト レ ス SSL VPN を設定で き ます。 注 • ユーザの ロ グ イ ン時に自動的にポー ト 転送ア ク セ ス を開始す る 。 • ユーザの ロ グ イ ン時にポー ト 転送ア ク セ ス を イ ネーブル化す る が、ク ラ イ ア ン ト レ ス SSL VPN ポー タ ル ページの [Application Access] > [Start Applications] を使用 し て、ポー ト 転送を 手動で開始す る よ う にユーザに要求す る 。 こ れ ら のオプ シ ョ ン は、各グループ ポ リ シー と ユーザ名に対 し て互いに排他的です。1 つだけ使 用 し て く だ さ い。 ステ ッ プ 1 リ ス ト の英数字の名前を指定 し ま す。最大で 64 文字 ま で指定可能です。 ステ ッ プ 2 ア プ リ ケーシ ョ ン の ト ラ フ ィ ッ ク を受信す る ロ ーカル ポー ト を入力 し ま す。ロ ーカル ポー ト 番 号は、リ ス ト 名ご と に 1 度だけ使用で き ま す。ロ ーカル TCP サービ ス と の競合を避け る には、 1024 ~ 65535 の範囲に あ る ポー ト 番号 を使用 し ま す。 注 リ モー ト サーバの IP ア ド レ ス ま たは DNS 名を入力 し ま す。特定の IP ア ド レ ス に対 し て ク ラ イ ア ン ト ア プ リ ケーシ ョ ン を設定 し な く て済む よ う 、ド メ イ ン名を使用す る こ と を お勧め し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-15 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン フ ァ イル ア ク セスの設定 ステ ッ プ 3 ア プ リ ケーシ ョ ン の ト ラ フ ィ ッ ク を受信す る リ モー ト ポー ト を入力 し ま す。 ステ ッ プ 4 TCP ア プ リ ケーシ ョ ン の説明を入力 し ま す。最大で 64 文字 ま で指定可能です。 ポー ト 転送の有効化 と 切 り 替え デ フ ォ ル ト では、ポー ト 転送はオ フ に な っ てい ま す。 ポー ト 転送を イ ネーブルに し た場合、ユーザは ク ラ イ ア ン ト レ ス SSL VPN ポー タ ル ページの [Application Access] > [Start Applications] を使用 し て、ポー ト 転送を手動で開始す る 必要が あ り ま す。 フ ァ イル ア ク セスの設定 ク ラ イ ア ン ト レ ス SSL VPN は、リ モー ト ユーザに HTTPS ポー タ ル ページ を提供 し てい ま す。こ のページは、ASAで実行す る プ ロ キ シ CIFS ク ラ イ ア ン ト ま たは FTP ク ラ イ ア ン ト (あ る いはそ の両方) と 連動 し てい ま す。ク ラ イ ア ン ト レ ス SSL VPN は、CIFS ま たは FTP を使用 し て、ユーザ が認証の要件を満た し てい る フ ァ イ ルのプ ロ パテ ィ が ア ク セ ス を制限 し ない限 り 、ネ ッ ト ワ ー ク 上の フ ァ イ ルへのネ ッ ト ワ ー ク ア ク セ ス を ユーザに提供 し ま す。CIFS ク ラ イ ア ン ト お よ び FTP ク ラ イ ア ン ト は透過的です。ク ラ イ ア ン ト レ ス SSL VPN か ら 送信 さ れ る ポー タ ル ページ で は、フ ァ イ ル シ ス テ ム に直接ア ク セ ス し てい る かの よ う に見え ま す。 ユーザが フ ァ イ ルの リ ス ト を要求す る と 、ク ラ イ ア ン ト レ ス SSL VPN は、その リ ス ト が含 ま れ る サーバの IP ア ド レ ス を マ ス タ ー ブ ラ ウ ザに指定 さ れてい る サーバに照会 し ま す。ASAは リ ス ト を入手 し て ポー タ ル ページ上の リ モー ト ユーザに送信 し ま す。 ク ラ イ ア ン ト レ ス SSL VPN は、ユーザの認証要件 と フ ァ イ ルのプ ロ パテ ィ に応 じ て、ユーザが 次の CIFS お よ び FTP の機能を呼び出す こ と がで き る よ う に し ま す。 • ド メ イ ン と ワ ー ク グループ、ド メ イ ン ま たは ワ ー ク グループ内のサーバ、サーバ内部の共有、 お よ び共有部分 ま たはデ ィ レ ク ト リ 内の フ ァ イ ルのナ ビ ゲー ト と リ ス ト 。 • デ ィ レ ク ト リ の作成。 • フ ァ イ ルのダ ウ ン ロ ー ド 、ア ッ プ ロ ー ド 、リ ネーム、移動、お よ び削除。 ASA は、通常、ASA と 同 じ ネ ッ ト ワ ー ク 上か、ま たは こ のネ ッ ト ワー ク か ら ア ク セ ス可能な場所の マ ス タ ー ブ ラ ウ ザ、WINS サーバ、ま たは DNS サーバを使用 し て、リ モー ト ユーザが ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン中に表示 さ れ る ポー タ ル ページの メ ニ ュ ー上ま たはツールバー上の [Browse Networks] を ク リ ッ ク し た と き に、ネ ッ ト ワ ー ク でサーバの リ ス ト を照会 し ます。 マ ス タ ー ブ ラ ウ ザ ま たは DNS サーバは、ASA 上の CIFS/FTP ク ラ イ ア ン ト に、ク ラ イ ア ン ト レ ス SSL VPN が リ モー ト ユーザに提供す る 、ネ ッ ト ワ ー ク 上の リ ソ ー ス の リ ス ト を 表示 し ま す。 注 フ ァ イ ル ア ク セ ス を設定する前に、ユーザ ア ク セ ス用のサーバに共有を設定する必要があ り ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-16 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン SharePoint ア ク セ スのための ク ロ ッ ク の精度の確認 CIFS フ ァ イル ア ク セスの要件 と 制限事項 \\server\share\subfolder\personal フ ォ ルダ に ア ク セ ス す る には、最低限、共有自体を含むすべ ての親 フ ォ ルダに対す る 読み取 り 権限がユーザに必要です。 CIFS デ ィ レ ク ト リ と ロ ーカル デ ス ク ト ッ プ と の間で フ ァ イ ルを コ ピー ア ン ド ペー ス ト す る に は、[Download] ま たは [Upload] を使用 し ま す。[Copy] ボ タ ンお よ び [Paste] ボ タ ンは リ モー ト 間の ア ク シ ョ ン のみで使用で き 、ロ ーカルか ら リ モー ト ま たは リ モー ト か ら ロ ーカルへのア ク シ ョ ン には使用で き ません。 CIFS ブ ラ ウ ズ サーバ機能は、2 バ イ ト 文字の共有名(13 文字を超え る 共有名)を サポー ト し てい ま せん。こ れは、表示 さ れ る フ ォ ルダの リ ス ト に影響を与え る だけで、フ ォ ルダへのユーザ ア ク セ ス には影響 し ま せん。回避策 と し て、2 バ イ ト の共有名を使用す る CIFS フ ォ ルダのブ ッ ク マー ク を事前に設定す る か、ユーザが cifs://server/<long-folder-name> 形式で フ ォ ルダの URL ま たは ブ ッ ク マー ク を入力 し ま す。次に例を示 し ま す。 cifs://server/Do you remember? cifs://server/Do%20you%20remember%3F フ ァ イル ア ク セスのサポー ト の追加 次の手順を実行 し て、フ ァ イ ル ア ク セ ス を設定 し ま す。 注 こ の手順では、マ ス タ ー ブ ラ ウ ザお よ び WINS サーバ を指定す る 方法について説明 し ま す。代わ り に、ASDM を使用 し て、フ ァ イ ル共有への ア ク セ ス を提供す る URL リ ス ト と エ ン ト リ を設定 す る こ と も で き ま す。 ASDM での共有の追加には、マ ス タ ー ブ ラ ウ ザ ま たは WINS サーバは必要あ り ま せん。ただ し 、 Browse Networks リ ン ク へのサポー ト は提供 さ れ ま せん。nbns-server コ マ ン ド を入力す る と き は、ホ ス ト 名 ま たは IP ア ド レ ス を使用 し て ServerA を参照で き ま す。ホ ス ト 名を使用す る 場合、 ASAはホ ス ト 名を IP ア ド レ ス に解決す る よ う に DNS サーバに要求 し ま す。 SharePoint ア ク セスのためのク ロ ッ クの精度の確認 ASA の ク ラ イ ア ン ト レ ス SSL VPN サーバは、ク ッ キーを使用し て、エン ド ポ イ ン ト の Microsoft Word な どのアプ リ ケーシ ョ ン と 対話し ます。ASAで設定 さ れた ク ッ キーの有効期間に よ り 、ASAの時間が 正し く ない場合、SharePoint サーバ上の文書にア ク セ スする と き に Word が正し く 機能し な く な る可 能性があ り ます。こ の よ う な誤作動を回避する には、ASA ク ロ ッ ク を正し く 設定し ます。NTP サーバ と ダ イ ナ ミ ッ ク に同期化 さ れる よ う にASAを設定する こ と をお勧め し ます。手順については、一般的 な操作の コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド の日付 と 時刻の設定の項を参照し て く だ さ い。 仮想デス ク ト ッ プ イ ン フ ラ ス ト ラ ク チ ャ(VDI) ASA は、Citrix サーバお よ び VMware VDI サーバへの接続を サポー ト し ま す。 • Citrix の場合、ASA では ク ラ イ ア ン ト レ ス ポー タ ル を介 し て ユーザの実行中の Citrix Receiver へア ク セ ス で き ま す。 • VMware は、( ス マー ト ト ン ネル)のア プ リ ケーシ ョ ン と し て設定 さ れ ま す。 VDI サーバには、他のサーバ ア プ リ ケーシ ョ ン な ど 、ク ラ イ ア ン ト レ ス ポー タ ルのブ ッ ク マー ク を介 し て ア ク セ ス で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-17 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン 仮想デス ク ト ッ プ イ ン フ ラ ス ト ラ ク チ ャ(VDI) VDI の制限事項 • 自動サ イ ン オ ン の場合、証明書ま たは ス マー ト カー ド を使用す る 認証はサポー ト さ れません。 こ れは、こ れ ら の認証形式では間にあ る ASA を許可 し ないためです。 • XML サービ ス は XenApp サーバお よ び XenDesktop サーバに イ ン ス ト ール し 、設定す る 必要 が あ り ま す。 • ス タ ン ド ア ロ ン モバ イ ル ク ラ イ ア ン ト を使用 し てい る 場合は、ク ラ イ ア ン ト 証明書の確認、 二重認証、内部パ ス ワ ー ド と CSD(Vault だけで な く 、すべて の CSD)はサポー ト さ れ ま せん。 Citrix モバイルのサポー ト Citrix Receiver を実行 し てい る モバ イ ル ユーザは、次を実行 し て Citrix サーバに接続で き ま す。 • AnyConnect で ASA に接続 し てか ら Citrix サーバに接続す る 。 • AnyConnect ク ラ イ ア ン ト を使用せずに ASA を介 し て Citrix サーバに接続す る 。ロ グ オ ン ク レ デン シ ャ ルには次を含め る こ と がで き ま す。 – Citrix ロ グ オ ン画面の接続プ ロ フ ァ イ ルのエ イ リ ア ス ( ト ン ネル グループ エ イ リ ア ス と も 呼ばれ る )。VDI サーバは、それぞれ別の権限 と 接続設定を備え た複数の グループ ポ リ シーを持つ こ と がで き ま す。 – RSA サーバが設定 さ れてい る 場合は RSA SecureID ト ー ク ン の値。RSA サポー ト には、無 効な エ ン ト リ 用の次の ト ー ク ン と 、最初の PIN ま たは期限切れ PIN 用の新 し い PIN を入 力す る ための次の ト ー ク ン が含 ま れてい ま す。 Citrix 用にサポー ト さ れている モバイル デバイ ス • iPad:Citrix Receiver バージ ョ ン 4.x 以降 • iPhone/iTouch:Citrix Receiver バージ ョ ン 4.x 以降 • Android 2.x/3.x/4.0/4.1 電話機:Citrix Receiver バージ ョ ン 2.x 以降 • Android 4.0 電話機:Citrix Receiver バージ ョ ン 2.x 以降 Citrix の制限 証明書の制限 • 証明書/ ス マー ト カー ド 認証は自動サ イ ン オ ン の手段 と し てはサポー ト さ れてい ま せん。 • ク ラ イ ア ン ト 証明書の確認お よ び CSD はサポー ト さ れてい ま せん。 • 証明書の Md5 署名は、iOS の既知の問題で あ る セ キ ュ リ テ ィ 上の問題 (http://support.citrix.com/article/CTX132798)か ら 動作 し てい ま せん。 • SHA2 シ グ ニチ ャ は Citrix Web サ イ ト (http://www.citrix.com/)の説明に従っ て Windows を除 き 、サポー ト さ れてい ま せん。 • 1024 以上の キーサ イ ズはサポー ト さ れてい ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-18 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン 仮想デス ク ト ッ プ イ ン フ ラ ス ト ラ ク チ ャ(VDI) その他の制限 • HTTP リ ダ イ レ ク ト はサポー ト さ れ ま せん。Citrix Receiver ア プ リ ケーシ ョ ン は リ ダ イ レ ク ト では機能 し ま せん。。 • XML サービ ス は XenApp サーバお よ び XenDesktop サーバに イ ン ス ト ール し 、設定す る 必要 が あ り ま す。 Citrix Mobile Receiver のユーザ ログオンについて Citrix サーバに接続 し てい る モバ イ ル ユーザの ロ グ オ ン は、ASA が Citrix サーバ を VDI サーバ と し て設定 し たか、ま たは VDI プ ロ キ シ サーバ と し て設定 し たかに よ っ て異な り ま す。 Citrix サーバが VDI サーバ と し て設定 さ れてい る 場合: 1. AnyConnect セ キ ュ ア モ ビ リ テ ィ ク ラ イ ア ン ト を使用 し 、VPN ク レ デン シ ャ ルで ASA に接 続 し ま す。 2. Citrix Mobile Receiver を使用 し 、Citrix サーバ ク レ デン シ ャ ルで Citrix サーバに接続 し ま す (シ ン グル サ イ ン オ ン を設定 し てい る 場合は、Citrix ク レ デン シ ャ ルは不要です)。 ASA が VDI プ ロ キ シ サーバ と し て設定 さ れてい る 場合: 1. Citrix Mobile Receiver を使用 し 、VPN と Citrix サーバの両方の ク レ デン シ ャ ル を入力 し て ASA に接続 し ま す。最初の接続後、正 し く 設定 さ れてい る 場合は、以降の接続に必要なのは VPN ク レ デン シ ャ ルだけです。 Citrix サーバを プ ロキシする ASA の設定 ASA を Citrix サーバのプ ロ キ シ と し て動作す る よ う に設定 し 、ASA への接続が Citrix サーバへ の接続で あ る かの よ う にユーザに見せ る こ と がで き ま す。ASDM の VDI プ ロ キ シが イ ネーブル にな っ てい る 場合は AnyConnect ク ラ イ ア ン ト は不要です。次の手順は、エ ン ド ユーザか ら Citrix に接続す る 方法の概要を示 し ま す。 ステ ッ プ 1 モバ イ ル ユーザが Citrix Receiver を起動 し 、ASA の URL に接続 し ま す。 ステ ッ プ 2 Citrix の ロ グ イ ン画面で、XenApp サーバの ク レデン シ ャ ル と VPN ク レ デン シ ャ ルを指定 し ま す。 ステ ッ プ 3 以降、Citrix サーバに接続す る 場合に必要にな る のは、VPN ク レ デン シ ャ ルだけです。 XenDesktop お よ び XenApp のプ ロ キ シ と し て ASA を使用す る と Citrix Access Gateway は必要な く な り ま す。XenApp サーバ情報が ASA に記録 さ れ、ASDM に表示 さ れ ま す。 Citrix サーバの ア ド レ ス お よ び ロ グ イ ン ク レ デン シ ャ ル を設定 し 、グループ ポ リ シー ま たは ユーザ名にその VDI サーバ を割 り 当て ま す。ユーザ名 と グループ ポ リ シーの両方を設定 し た場 合は、ユーザ名の設定に よ っ て グループ ポ リ シー設定がオーバー ラ イ ド さ れ ま す。 次の作業 http://www.youtube.com/watch?v=JMM2RzppaG8 : こ の ビ デオでは、その ASA を Citrix プ ロ キ シ と し て使用す る 利点について説明 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-19 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン 仮想デス ク ト ッ プ イ ン フ ラ ス ト ラ ク チ ャ(VDI) VDI サーバまたは VDI プ ロキシ サーバの設定 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [VDI Access] の順に選択 し ま す。 ステ ッ プ 2 1 つのサーバで、[Enable VDI Server Proxy] チ ェ ッ ク ボ ッ ク ス を オ ンに し 、VDI サーバを設定 し ます。 ステ ッ プ 3 VDI サーバに複数の グループ ポ リ シーを割 り 当て る には、[Configure All VDI Servers] を オ ン に し ま す。 ステ ッ プ 4 VDI サーバ を追加 し 、1 つ以上の グループ ポ リ シーを割 り 当て ま す。 グループ ポ リ シーへの VDI サーバの割 り 当て VDI サーバ を設定 し 、グループ ポ リ シーに割 り 当て る 方法は次の と お り です。 • [VDI Access] ペ イ ン で VDI サーバ を追加 し 、サーバに グループ ポ リ シーを割 り 当て る 。 • グループ ポ リ シーに VDI サーバ を追加す る 。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] を参照 し ま す。 ステ ッ プ 2 DfltGrpPolicy を編集 し 、左側の メ ニ ュ ーか ら [More Options] メ ニ ュ ーを展開 し ま す。 ステ ッ プ 3 [VDI Access] を選択 し ます。[Add] ま たは [Edit] を ク リ ッ ク し て、VDI サーバの詳細を表示 し ま す。 • [Server (Host Name or IP Address)]:XenApp ま たは XenDesktop サーバの ア ド レ ス 。こ の値は、 ク ラ イ ア ン ト レ ス マ ク ロ にす る こ と がで き ま す。 • [Port Number (Optional)]:Citrix サーバに接続す る ためのポー ト 番号。こ の値は、ク ラ イ ア ン ト レ ス マ ク ロ にす る こ と がで き ま す。 • [Active Directory Domain Name]:仮想化 イ ン フ ラ ス ト ラ ク チ ャ サーバに ロ グ イ ンす る ための ド メ イ ン。こ の値は、ク ラ イ ア ン ト レ ス マ ク ロ にす る こ と がで き ま す。 • [Use SSL Connection]:サーバに SSL を使用 し て接続す る 場合、チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 • [Username]:仮想化 イ ン フ ラ ス ト ラ ク チ ャ サーバに ロ グ イ ンす る ためのユーザ名。こ の値は、 ク ラ イ ア ン ト レ ス マ ク ロ にす る こ と がで き ま す。 • [Password]:仮想化 イ ン フ ラ ス ト ラ ク チ ャ サーバに ロ グ イ ンす る ためのパ ス ワ ー ド 。こ の値 は、ク ラ イ ア ン ト レ ス マ ク ロ にす る こ と がで き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-20 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ク ラ イ ア ン ト /サーバ プ ラ グ イ ンへのブ ラ ウザ ア ク セ スの設定 ク ラ イ ア ン ト /サーバ プ ラ グ イ ンへのブ ラ ウザ ア ク セス の設定 [Client-Server Plug-in] テーブルには、ASAに よ っ て ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン のブ ラ ウ ザで使用で き る よ う にな る プ ラ グ イ ン が表示 さ れ ま す。 プ ラ グ イ ン を追加、変更、ま たは削除す る には、次のいずれか を実行 し ま す。 • プ ラ グ イ ン を追加す る には、[Import] を ク リ ッ ク し ま す。[Import Plug-ins] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 プ ラ グ イ ン を削除す る には、そのプ ラ グ イ ン を選択 し て [Delete] を ク リ ッ ク し ま す。 ブ ラウザ プ ラグイ ンのイ ン ス ト ールについて ブ ラ ウ ザ プ ラ グ イ ン は、Web ブ ラ ウ ザに よ っ て呼び出 さ れ る 独立 し たプ ロ グ ラ ム で、ブ ラ ウ ザ ウ ィ ン ド ウ 内で ク ラ イ ア ン ト を サーバに接続す る な ど の専用の機能を実行 し ま す。ASAに よ り 、 ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン で リ モー ト ブ ラ ウ ザにダ ウ ン ロ ー ド す る ためのプ ラ グ イ ン を イ ン ポー ト で き ま す。通常、シ ス コ では再配布す る プ ラ グ イ ン のテ ス ト を行っ てお り 、再 配布で き ないプ ラ グ イ ン の接続性を テ ス ト す る 場合 も あ り ま す。ただ し 、現時点では、ス ト リ ー ミ ン グ メ デ ィ ア を サポー ト す る プ ラ グ イ ン の イ ン ポー ト は推奨 し ま せん。 プ ラ グ イ ン を フ ラ ッ シ ュ デバ イ ス に イ ン ス ト ールす る と 、ASAは次の処理を実行 し ま す。 • (シ ス コ が配布 し たプ ラ グ イ ン のみ)URL で指定 し た jar フ ァ イ ル を解凍す る 。 • ASA フ ァ イ ル シ ス テ ム の csco-config/97/plugin デ ィ レ ク ト リ に フ ァ イ ル を書 き 込む。 • ASDM の URL 属性の横に あ る ド ロ ッ プダ ウ ン リ ス ト に情報を入力 し ま す。 • 以後のすべての ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン でプ ラ グ イ ン を イ ネーブルに し 、 ポー タ ル ページの [Address] フ ィ ール ド の横に あ る ド ロ ッ プダ ウ ン リ ス ト に メ イ ン メ ニ ュ ー オプ シ ョ ン と オプシ ョ ン を追加 し ま す。 次の表に、以降の項で説明す る プ ラ グ イ ン を追加 し た と き の、ポー タ ル ページの メ イ ン メ ニ ュ ー と ア ド レ ス フ ィ ール ド の変更点を示 し ま す。 表 11-3 ク ラ イ ア ン ト レ ス SSL VPN ポー タ ル ページへのプ ラ グ イ ンの影響 プラグ イン ポー タ ル ペー ジ に追加 さ れ る メ イ ン メ ニ ュー オプシ ョ ン ポー タ ル ページに追加 さ れる [Address] フ ィ ール ド オ プ シ ョ ン ica Citrix Client citrix:// rdp Terminal Servers rdp:// rdp2 Terminal Servers Vista rdp2:// ssh,telnet SSH vnc 注 ssh:// Telnet telnet:// VNC Client vnc:// セ カ ン ダ リ ASA は、プ ラ イ マ リ ASA か ら プ ラ グ イ ン を取得 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-21 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン ク ラ イ ア ン ト /サーバ プ ラ グ イ ンへのブ ラ ウザ ア ク セスの設定 ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン でユーザがポー タ ル ページの関連付け ら れた メ ニ ュ ー オプ シ ョ ン を ク リ ッ ク す る と 、ポー タ ル ページには イ ン タ ー フ ェ イ ス への ウ ィ ン ド ウ と ヘルプ ペ イ ン が表示 さ れ ま す。ド ロ ッ プダ ウ ン リ ス ト に表示 さ れたプ ロ ト コ ル を ユーザが選択 し て [Address] フ ィ ール ド に URL を入力す る と 、接続を確立で き ま す。 注 Java プ ラ グ イ ン に よ っ ては、宛先サービ ス へのセ ッ シ ョ ン が設定 さ れていない場合で も 、接続済 みま たはオ ン ラ イ ン と い う ス テー タ ス が レ ポー ト さ れ る こ と があ り ます。open-source プ ラ グ イ ン は、ASAではな く ス テー タ ス を レ ポー ト し ま す。 は じ める前に • 注 セ キ ュ リ テ ィ ア プ ラ イ ア ン ス で ク ラ イ ア ン ト レ ス セ ッ シ ョ ン がプ ロ キ シ サーバ を使用す る よ う に設定 し てい る 場合、プ ラ グ イ ン は機能 し ま せん。 Remote Desktop Protocol プ ラ グ イ ン では、セ ッ シ ョ ン ブ ロ ーカ を使用 し た ロ ー ド バ ラ ン シ ン グはサポー ト さ れてい ま せん。プ ロ ト コ ルに よ る セ ッ シ ョ ン ブ ロ ーカ か ら の リ ダ イ レ ク シ ョ ン の処理方法のため、接続に失敗 し ま す。セ ッ シ ョ ン ブ ロ ーカ が使用 さ れてい ない場合、プ ラ グ イ ン は動作 し ま す。 • プ ラ グ イ ン は、シ ン グル サ イ ン オ ン(SSO)を サポー ト し ま す。プ ラ グ イ ン は、ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を開 く と き に入力 し た ク レ デン シ ャ ル と 同 じ ク レ デン シ ャ ル を使用 し ま す。プ ラ グ イ ン はマ ク ロ 置換を サポー ト し ないため、内部 ド メ イ ン パ ス ワ ー ド な ど の さ ま ざ ま な フ ィ ール ド や、RADIUS ま たは LDAP サーバの属性で SSO を実行す る オプシ ョ ン は あ り ま せん。 • プ ラ グ イ ン に対 し て SSO サポー ト を設定す る には、プ ラ グ イ ン を イ ン ス ト ール し 、サーバへ の リ ン ク を表示す る ためのブ ッ ク マー ク エ ン ト リ を追加 し ま す。ま た、ブ ッ ク マー ク を追加 す る と き に、SSO サポー ト を指定 し ま す。 • リ モー ト で使用す る ために必要な最低限のア ク セ ス権は、ゲ ス ト 特権モー ド に属 し てい ます。 ブ ラ ウザ プ ラ グ イ ンのイ ン ス ト ールに関する要件 • シ ス コ では、GNU 一般公的使用許諾(GPL)に従い、変更 を加え る こ と な く プ ラ グ イ ン を再配 布 し てい ま す。GPL に よ り 、こ れ ら のプ ラ グ イ ン を直接改良で き ま せん。 • プ ラ グ イ ンへの リ モー ト ア ク セ ス を提供す る には、ASAで ク ラ イ ア ン ト レ ス SSL VPN を イ ネーブルにす る 必要が あ り ま す。 • ス テー ト フ ル フ ェ ールオーバーが発生す る と 、プ ラ グ イ ン を使用 し て確立 さ れたセ ッ シ ョ ン は保持 さ れ ま せん。ユーザは フ ェ ールオーバー後に再接続す る 必要があ り ます。 • プ ラ グ イ ン には、ActiveX ま たは Oracle Java ラ ン タ イ ム環境(JRE)1.4.2(以降)がブ ラ ウ ザで イ ネーブルにな っ てい る 必要があ り ます。64 ビ ッ ト ブ ラ ウ ザには、RDP プ ラ グ イ ンの ActiveX バージ ョ ンはあ り ません。 RDP プ ラ グ イ ンのセ ッ ト ア ッ プ RDP プ ラ グ イ ン を セ ッ ト ア ッ プ し て使用す る には、新 し い環境変数を追加す る 必要が あ り ま す。 ステ ッ プ 1 [My Computer] を右 ク リ ッ ク し 、[System Properties] を開い て [Advanced] タ ブ を選択 し ま す。 ステ ッ プ 2 [Advanced] タ ブで、[Environment Variables] ボ タ ン を選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-22 第 11 章 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ク ラ イ ア ン ト /サーバ プ ラ グ イ ンへのブ ラ ウザ ア ク セ スの設定 ステ ッ プ 3 [New User Variable] ダ イ ア ロ グ ボ ッ ク ス で、RF_DEBUG 変数を入力 し ま す。 ステ ッ プ 4 [User variables] セ ク シ ョ ン の新 し い環境変数を確認 し ま す。 ステ ッ プ 5 バージ ョ ン 8.3 の前に ク ラ イ アン ト レ ス SSL VPN のバージ ョ ンで ク ラ イ アン ト コ ン ピ ュータ を使用 し ていた場合、古い Cisco Portforwarder Control を削除し て く だ さ い。C:/WINDOWS/Downloaded Program Files デ ィ レ ク ト リ を開いて、Portforwarder Control を右 ク リ ッ ク し て、[Remove] を選択し ます。 ステ ッ プ 6 Internet Explorer ブ ラ ウ ザのすべての キ ャ ッ シ ュ を ク リ ア し ま す。 ステ ッ プ 7 ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を起動 し て、RDP ActiveX プ ラ グ イ ン を使用 し て RDP セ ッ シ ョ ン を確立 し ま す。 こ れで Windows アプ リ ケーシ ョ ン の イ ベン ト ビ ュ ーアで イ ベン ト を確認で き る よ う にな り ます。 プ ラ グ イ ンのためのセキ ュ リ テ ィ ア プ ラ イ ア ン スの準備 ステ ッ プ 1 ク ラ イ ア ン ト レ ス SSL VPN が ASA イ ン タ ー フ ェ イ ス で イ ネーブルにな っ てい る こ と を確認 し ま す。 ステ ッ プ 2 リ モー ト ユーザが完全修飾 ド メ イ ン名(FQDN)を使用 し て接続す る ASA イ ン タ ー フ ェ イ ス に SSL 証明書を イ ン ス ト ール し ま す。 注 SSL 証明書の 一般名(CN) と し て IP ア ド レ ス を指定 し ないで く だ さ い。リ モー ト ユーザ は、ASA と 通信す る ために FQDN の使用を試行 し ま す。リ モー ト PC は、DNS ま たは System32\drivers\etc\hosts フ ァ イ ル内のエ ン ト リ を使用 し て、FQDN を解決で き る 必要が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-23 第 11 章 ク ラ イ ア ン ト /サーバ プ ラ グ イ ンへのブ ラ ウザ ア ク セスの設定 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 11-24 基本的な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン CH A P T E R 12 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン Microsoft Kerberos Constrained Delegation ソ リ ュ ーシ ョ ン 多 く の組織では、現在 ASA SSO 機能に よ っ て提供 さ れ る 以上の認証方式を使用 し て、ク ラ イ ア ン ト レ ス VPN ユーザ を認証 し 、ユーザの認証 ク レデン シ ャ ルを Web ベー ス の リ ソ ー ス にシーム レ ス に拡張す る 必要があ り ま す。ス マー ト カー ド お よ び ワ ン タ イ ム パ ス ワ ー ド (OTP)を使用 し た リ モー ト ア ク セ ス ユーザの認証に対す る 要求が大 き く な っ てい ま すが、SSO 機能では こ の要求を 満たすには不十分です。SSO 機能では、認証が必要にな る と 、従来のユーザ ク レデン シ ャ ル( ス タ テ ィ ッ ク なユーザ名 と パ ス ワ ー ド な ど)を ク ラ イ ア ン ト レ ス Web ベー ス の リ ソ ー ス に転送す る だ けで あ る ためです。 た と えば、証明書ベー ス ま たは OTP ベー ス の認証方式には、ASA が Web ベー ス の リ ソ ー ス への SSO ア ク セ ス を シーム レ ス に実行す る ために必要な従来のユーザ名 と パ ス ワ ー ド は含 ま れてい ません。証明書を使用 し て認証す る 場合、ASA が Web ベー ス の リ ソ ー ス へ拡張す る ためにユーザ 名 と パ ス ワ ー ド は必要あ り ません。そのため、SSO でサポー ト さ れない認証方式にな っ てい ま す。 こ れに対 し 、OTP には ス タ テ ィ ッ ク なユーザ名が含 ま れてい ま すが、パ ス ワ ー ド はダ イ ナ ミ ッ ク で あ り 、VPN セ ッ シ ョ ン中に後で変更 さ れ ます。一般に、Web ベー ス の リ ソ ー ス は ス タ テ ィ ッ ク な ユーザ名 と パ ス ワ ー ド を受け入れ る よ う に設定 さ れ る ため、OTP も SSO でサポー ト さ れない認 証方式にな っ てい ま す。 Microsoft の Kerberos Constrained Delegation(KCD)は、ASA の ソ フ ト ウ ェ ア リ リ ー ス 8.4 で導入 さ れた新機能で あ り 、プ ラ イ ベー ト ネ ッ ト ワ ー ク 内の Kerberos で保護 さ れた Web ア プ リ ケー シ ョ ンへの ア ク セ ス を提供 し ま す。こ の利点に よ り 、証明書ベー ス お よ び OTP ベー ス の認証方式 を Web ア プ リ ケーシ ョ ン にシーム レ ス に拡張で き ま す。し たが っ て、SSO と KCD は独立 し な が ら 連携 し 、多 く の組織では、ASA でサポー ト さ れ る すべての認証方式を使用 し て、ク ラ イ ア ン ト レ ス VPN ユーザ を認証 し 、ユーザの認証 ク レ デン シ ャ ル を Web ア プ リ ケーシ ョ ン にシーム レ ス に拡張で き ま す。 Microsoft Kerberos の要件 kcd-server コ マン ド が機能するには、ASA は ソース ド メ イ ン(ASA が常駐する ド メ イ ン) と ターゲ ッ ト ま たは リ ソース ド メ イ ン(Web サービ スが常駐する ド メ イ ン)間の信頼関係を確立する必要があ り ま す。ASA は、その独自のフ ォーマ ッ ト を使用し て、サービ スにア ク セ スする リ モー ト ア ク セ ス ユーザ の代わ り に、ソースか ら宛先 ド メ イ ンへの認証パス を越えて、必要なチケ ッ ト を取得し ます。 こ の よ う に認証パ ス を 越え る こ と は、ク ロ ス レ ル ム 認証 と 呼ばれ ま す。ク ロ ス レ ル ム 認証の各 フ ェ ーズ で、ASA は特定の ド メ イ ン の ク レ デ ン シ ャ ルお よ び後続の ド メ イ ン と の信頼関係に依 存 し て い ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-1 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン KCD の機能 KCD の機能 Kerberos は、ネ ッ ト ワ ー ク 内のエ ン テ ィ テ ィ のデジ タ ル識別情報 を 検証す る た めに、信頼で き る 第三者に依存 し て い ま す。こ れ ら のエ ン テ ィ テ ィ (ユーザ、ホ ス ト マ シ ン 、ホ ス ト 上で実行 さ れ る サー ビ ス な ど )は、プ リ ン シパル と 呼ばれ、同 じ ド メ イ ン 内に存在 し て い る 必要が あ り ま す。秘密キーの代わ り に、Kerberos では、サーバに対す る ク ラ イ ア ン ト の認証にチ ケ ッ ト が使用 さ れ ま す。チ ケ ッ ト は秘密キーか ら 導出 さ れ、ク ラ イ ア ン ト の ア イ デ ン テ ィ テ ィ 、暗号化 さ れた セ ッ シ ョ ン キー、お よ び フ ラ グ で構成 さ れ ま す。各チ ケ ッ ト は キー発行局に よ っ て発行 さ れ、ラ イ フ タ イ ム が設定 さ れ ま す。 Kerberos セ キ ュ リ テ ィ シ ス テ ム は、エ ン テ ィ テ ィ (ユーザ、コ ン ピ ュ ー タ 、ま たは ア プ リ ケー シ ョ ン )を 認証す る た めに使用 さ れ る ネ ッ ト ワ ー ク 認証プ ロ ト コ ルで あ り 、情報の受け手 と し て意図 さ れたデバ イ ス のみが復号化で き る よ う にデー タ を 暗号化す る こ と に よ っ て、ネ ッ ト ワ ー ク 伝送 を 保護 し ま す。ク ラ イ ア ン ト レ ス SSL VPN ユーザに Kerberos で保護 さ れた任意の Web サー ビ ス への SSO ア ク セ ス を 提供す る よ う に KCD を 設定で き ま す。こ の よ う な Web サー ビ ス やア プ リ ケーシ ョ ン の例 と し て、Outlook Web Access(OWA)、SharePoint、お よ び Internet Information Server(IIS)が あ り ま す。 Kerberos プ ロ ト コ ルに対す る 2 つの拡張機能 と し て、プ ロ ト コ ル移行お よ び制約付 き 委任 が実装 さ れ ま し た。こ れ ら の拡張機能に よ っ て、ク ラ イ ア ン ト レ ス ま たは SSL VPN リ モー ト ア ク セ ス ユーザは、プ ラ イ ベー ト ネ ッ ト ワ ー ク 内の Kerberos で認証 さ れ る ア プ リ ケーシ ョ ン に ア ク セ ス で き ま す。 プ ロ ト コ ル移行 では、ユーザ認証 レ ベルで さ ま ざ ま な認証 メ カ ニ ズ ム を サポー ト し 、後続の ア プ リ ケーシ ョ ン レ イ ヤでセ キ ュ リ テ ィ 機能(相互認証や制約付 き 委任な ど )について Kerberos プ ロ ト コ ルに切 り 替え る こ と に よ っ て、柔軟性 と セ キ ュ リ テ ィ が強化 さ れ ま す。制約付 き 委任 では、 ド メ イ ン管理者は、ア プ リ ケーシ ョ ン がユーザの代わ り を務め る こ と がで き る 範囲を制限す る こ と に よ っ て、ア プ リ ケーシ ョ ン信頼境界を指定 し て強制適用で き ま す。こ の柔軟性は、信頼で き ないサービ ス に よ る 危険の可能性を減 ら す こ と で、ア プ リ ケーシ ョ ン のセ キ ュ リ テ ィ 設計を 向上 さ せ ま す。 制約付 き 委任の詳細については、IETF の Web サ イ ト (http://www.ietf.org)に ア ク セ ス し て、RFC 1510 を参照 し て く だ さ い。 KCD を使用 し た認証フ ロー 次の図に、委任に対 し て信頼 さ れた リ ソ ー ス にユーザが ク ラ イ ア ン ト レ ス ポー タ ルに よ っ て ア ク セ ス す る と き に、直接的お よ び間接的に体験す る パケ ッ ト お よ びプ ロ セ ス フ ロ ーを示 し ま す。 こ のプ ロ セ ス は、次の タ ス ク が完了 し てい る こ と を前提 と し てい ま す。 • ASA 上で設定 さ れた KCD • Windows Active Directory への参加、お よ びサービ ス が委任に対 し て信頼 さ れた こ と の確認 • Windows Active Directory ド メ イ ン の メ ン バー と し て委任 さ れた ASA Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-2 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン KCD の機能 図 12-1 注 1. KCD プ ロ セス ク ラ イ ア ン ト レ ス ユーザ セ ッ シ ョ ン が、ユーザに設定 さ れてい る 認証 メ カ ニ ズ ム を使用 し て ASA に よ り 認証 さ れ ま す。( ス マー ト カー ド ク レデン シ ャ ルの場合、ASA に よ っ て、 デジ タ ル証明書の userPrincipalName を使用 し て Windows Active Directory に対 し て LDAP 認可が実行 さ れ ま す)。 認証が成功す る と 、ユーザは、ASA ク ラ イ ア ン ト レ ス ポー タ ル ページに ロ グ イ ン し ま す。 ユーザは、URL を ポー タ ル ページに入力す る か、ブ ッ ク マー ク を ク リ ッ ク し て、Web サー ビ ス に ア ク セ ス し ま す。こ の Web サービ ス で認証が必要な場合、サーバは、ASA ク レ デン シ ャ ルの認証確認を行い、サーバでサポー ト さ れてい る 認証方式の リ ス ト を送信 し ま す。 注 ク ラ イ ア ン ト レ ス SSL VPN の KCD は、すべて の認証方式(RADIUS、RSA/SDI、 LDAP、デジ タ ル証明書な ど )に対 し て サポー ト さ れて い ま す。次の AAA のサ ポー ト に関す る 表 を 参照 し て く だ さ い。 http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/access_aaa.ht ml#wp1069492 2. 認証確認時の HTTP ヘ ッ ダーに基づい て、ASA は、サーバで Kerberos 認証が必要か ど う か を 決定 し ま す。( こ れは SPNEGO メ カ ニ ズ ム の一部です)。バ ッ ク エ ン ド サーバ と の接続で、 Kerberos 認証が必要な場合、ASA は、ユーザの代わ り にそれ自体の た めに、サー ビ ス チ ケ ッ ト を キー発行局に要求 し ま す。 3. キー発行局は、要求 さ れたチケ ッ ト を ASA に返 し ま す。こ れ ら のチケ ッ ト が ASA に渡 さ れ る 場合 も 、ユーザの認可デー タ が含 ま れてい ま す。ASA は、ユーザがア ク セ ス す る 特定のサービ ス 用の KDC にサービ ス チケ ッ ト を要求 し ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-3 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン KCD の機能 注 ス テ ッ プ 1 ~ 3 では、プ ロ ト コ ル移行が行われ ます。こ れ ら の ス テ ッ プの後、Kerberos 以 外の認証プ ロ ト コ ルを使用 し て ASA に対 し て認証を行 う ユーザは、透過的に、Kerberos を使用 し て キー発行局に対 し て認証 さ れ ます。 4. ASA は、ユーザが ア ク セ ス す る 特定のサービ ス 用の キー発行局か ら のサー ビ ス チ ケ ッ ト を 要求 し ま す。 5. キー発行局は、特定のサービ ス のサービ ス チ ケ ッ ト を ASA に返 し ま す。 6. ASA は、サービ ス チ ケ ッ ト を使用 し て、Web サー ビ ス へのア ク セ ス を要求 し ま す。 7. Web サーバは、Kerberos サービ ス チケ ッ ト を認証 し て、サービ ス へのア ク セ ス を付与 し ま す。 認証が失敗 し た場合は、適切なエ ラ ー メ ッ セージが表示 さ れ、確認を求め ら れ ま す。Kerberos 認証が失敗 し た場合、予期 さ れた動作は基本認証に フ ォ ールバ ッ ク し ま す。 Active Directory での Windows サービ ス ア カ ウン ト の追加 ASA での KCD 実装にはサービ ス ア カ ウ ン ト が必要です。こ れはつ ま り 、コ ン ピ ュ ー タ の追加 ( ド メ イ ンへの ASA の追加な ど )に必要な権限を持っ た Active Directory ユーザ ア カ ウ ン ト です。 こ こ での例では、Active Directory ユーザ名 JohnDoe は、必要な権限を持っ たサー ビ ス ア カ ウ ン ト を示 し ま す。ユーザ権限を Active Directory に実装す る 方法の詳細については、Microsoft サポー ト に問い合わせ る か、http://microsoft.com を参照 し て く だ さ い。 KCD の DNS の設定 こ の項では、ASA で DNS を設定す る ために必要な設定手順の概要を示 し ま す。KCD を ASA で の認証委任方式 と し て使用す る 場合、ホ ス ト 名の解決 と 、ASA、ド メ イ ン コ ン ト ロ ー ラ (DC)、お よ び委任に対 し て信頼 さ れたサービ ス 間の通信を イ ネーブルにす る ために、DNS が必要です。 ステ ッ プ 1 ステ ッ プ 2 ASDM か ら 、[Configuration] > [Remote Access VPN] > [DNS] に移動 し 、DNS のセ ッ ト ア ッ プ を設 定 し ま す。 • [DNS Server Group]:DNS サーバの IP ア ド レ ス (192.168.0.3 な ど )を入力 し ま す。 • [Domain Name]:DC が属す る ド メ イ ン名を入力 し ま す。 適切な イ ン タ ー フ ェ イ ス で DNS ル ッ ク ア ッ プ を イ ネーブルに し ま す。ク ラ イ ア ン ト レ ス VPN の 配置には、社内ネ ッ ト ワ ー ク (通常は 内部 イ ン タ ー フ ェ イ ス )を介 し た DNS ル ッ ク ア ッ プが必要 です。 Active Directory ド メ イ ンに参加する ASA の設定 こ の項では、ASA が Active Directory ド メ イ ン の一部 と し て機能で き る よ う にす る ために必要な 設定手順の概要を示 し ま す。KCD では、ASA が Active Directory ド メ イ ン の メ ン バーで あ る こ と が必要です。こ の設定に よ り 、ASA と KCD サーバ間の制約付 き 委任 ト ラ ン ザ ク シ ョ ン に必要な 機能が イ ネーブルにな り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-4 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン 外部プ ロキシ サーバの使用法の設定 ステ ッ プ 1 ASDM か ら 、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Microsoft KCD Server] に移動 し ま す。 ステ ッ プ 2 [New] を ク リ ッ ク し て制約付 き 委任用の Kerberos サーバ グループ を追加 し 、次の項目を設定 し ま す。 • Server Group Configuration – [Server Group Name]:ASA での制約付 き 委任設定の名前を定義 し ま す。MSKCD(デ フ ォ ル ト 値)な ど です。冗長性のために複数のサーバ グループ を設定で き ま す。ただ し 、VPN ユーザの代わ り にサービ ス チ ケ ッ ト を要求す る ために使用す る KCD サーバ設定には、 割 り 当て る こ と がで き る サーバ グループは 1 つのみです。 – [Reactivation Mode]:目的のモー ド に対応す る オプシ ョ ン ボ タ ン を ク リ ッ ク し ま す ([Depletion] ま たは [Timed])。[Depletion] モー ド の場合、障害が発生 し たサーバは、グ ループ内のサーバがすべて非ア ク テ ィ ブにな っ た と き に限 り 、再ア ク テ ィ ブ化 さ れ ま す。[Timed] モー ド では、障害が発生 し たサーバは 30 秒のダ ウ ン タ イ ム の後で再ア ク テ ィ ブ化 さ れ ま す。[Depletion] は、デ フ ォ ル ト 設定です。 – [Dead Time]:再ア ク テ ィ ブ化モー ド と し て [Depletion] を選択 し た場合は、デ ッ ド 時間を 追加す る 必要が あ り ま す。10 分がデ フ ォ ル ト 設定です。こ の時間は、グループ内の最後の サーバが非ア ク テ ィ ブにな っ て か ら 、すべてのサーバ を再度 イ ネーブルにす る ま での時 間を分単位で表 し ま す。 – [Max Failed Attempts]:応答のないサーバ を非ア ク テ ィ ブ と 宣言す る ま でに許可 さ れ る 接 続試行の失敗回数を設定 し ま す。デ フ ォ ル ト の試行回数は 3 回です。 • Server Configuration – [Interface Name]:サーバが常駐す る イ ン タ ー フ ェ イ ス を選択 し ま す。一般に、認証サーバ の配置は、社内ネ ッ ト ワ ー ク に(通常は 内部 イ ン タ ー フ ェ イ ス を介 し て)常駐 し ま す。 – [Server Name]: ド メ イ ン コ ン ト ロ ー ラ のホ ス ト 名を定義 し ます。ServerHostName な ど です。 – [Timeout]:サーバか ら の応答を待機す る 最大時間(秒単位)を指定 し ま す。デ フ ォ ル ト は 10 秒です。 • Kerberos パ ラ メ ー タ – [Server Port]:88 がデ フ ォ ル ト で あ り 、KCD 用に使用 さ れ る 標準ポー ト です。 – [Retry Interval]:必要な再試行間隔を選択 し ま す。10 秒がデ フ ォ ル ト 設定です。 – [Realm]:DC の ド メ イ ン名をすべて大文字で入力 し ま す。ASA での KCD 設定では、レ ル ム値は大文字で あ る 必要が あ り ま す。レ ルム と は認証 ド メ イ ン の こ と です。サービ ス は、 同 じ レ ルム内のエ ン テ ィ テ ィ か ら の認証 ク レ デン シ ャ ルのみを受け入れ る こ と がで き ま す。レ ルム は、ASA が参加す る ド メ イ ン名 と 一致 し てい る 必要が あ り ま す。 ステ ッ プ 3 [OK] を ク リ ッ ク し て設定を適用 し 、リ モー ト ア ク セ ス ユーザの代わ り にサービ ス チ ケ ッ ト を 要求す る よ う に Microsoft KCD サーバ を設定 し ま す。 外部プ ロキシ サーバの使用法の設定 [Proxies] ペ イ ン を使用 し て、外部プ ロ キ シ サーバに よ っ て HTTP 要求 と HTTPS 要求を処理す る よ う にASAを設定 し ま す。こ れ ら のサーバは、ユーザ と イ ン タ ーネ ッ ト の仲介役 と し て機能 し ま す。すべての イ ン タ ーネ ッ ト ア ク セ ス がユーザ制御のサーバ を経由す る よ う に指定す る こ と で、 別の フ ィ ル タ リ ン グ が可能にな り 、セ キ ュ ア な イ ン タ ーネ ッ ト ア ク セ ス と 管理制御が保証 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-5 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン 外部プ ロキシ サーバの使用法の設定 [Restrictions(機能制限)] HTTP お よ び HTTPS プ ロ キ シ サー ビ ス では、PDA への接続を サポー ト し てい ま せん。 ステ ッ プ 1 [Use an HTTP Proxy Server] を ク リ ッ ク し ま す。 ステ ッ プ 2 IP ア ド レ ス ま たはホ ス ト 名で HTTP プ ロ キ シ サーバ を識別 し ま す。 ステ ッ プ 3 外部 HTTP プ ロ キ シ サーバの ホ ス ト 名 ま たは IP ア ド レ ス を入力 し ま す。 ステ ッ プ 4 HTTP 要求を受信す る ポー ト を入力 し ま す。デ フ ォ ル ト のポー ト は 80 です。 ステ ッ プ 5 (任意)HTTP プ ロ キ シ サーバに送信で き ない よ う にす る 1 つの URL、ま たは複数の URL の カ ン マ区切 り リ ス ト を入力 し ま す。こ の ス ト リ ン グ には文字数の制限はあ り ま せんが、コ マ ン ド 全体 で 512 文字以下 と な る よ う にす る 必要が あ り ま す。リ テ ラ ル URL を指定す る か、次の ワ イ ル ド カー ド を使用で き ま す。 • * は、ス ラ ッ シ ュ (/) と ピ リ オ ド (.)を含む任意の文字列 と 一致 し ま す。こ の ワ イ ル ド カー ド は、英数字 ス ト リ ン グ と と も に使用す る 必要が あ り ま す。 • ? は、ス ラ ッ シ ュ お よ び ピ リ オ ド を含む、任意の 1 文字に一致 し ま す。 • [x-y] は、x か ら y の範囲に あ る 任意の 1 文字に一致 し ま す。こ こ で、x は ANSI 文字セ ッ ト 内の 1 文字を、y は ANSI 文字セ ッ ト 内の別の 1 文字を示 し ま す。 • [!x-y] は、こ の範囲内に存在 し ない任意の 1 文字に一致 し ま す。 ステ ッ プ 6 (任意)各 HTTP プ ロ キ シ要求にユーザ名を付加 し て基本的なプ ロ キ シ認証を提供す る には、こ の キー ワ ー ド を入力 し ま す。 ステ ッ プ 7 各 HTTP 要求 と と も にプ ロ キ シ サーバに送信 さ れ る パ ス ワ ー ド を入力 し ま す。 ステ ッ プ 8 HTTP プ ロ キ シ サーバの IP ア ド レ ス を指定す る 方法の代替 と し て、[Specify PAC file URL] を選 択 し て、ブ ラ ウ ザにダ ウ ン ロ ー ド す る プ ロ キ シ自動 コ ン フ ィ ギ ュ レ ーシ ョ ン フ ァ イ ル を指定で き ま す。ダ ウ ン ロ ー ド が完了す る と 、PAC フ ァ イ ルは JavaScript 機能を使用 し て各 URL のプ ロ キ シ を識別 し ま す。隣接す る フ ィ ール ド に、http:// を入力 し 、プ ロ キ シ自動設定 フ ァ イ ルの URL を 入力 し ま す。http:// の部分 を省略す る と 、ASAはその URL を無視 し ま す。 ステ ッ プ 9 HTTPS プ ロ キ シ サーバ を使用す る か ど う か を選択 し ま す。 ス テ ッ プ 10 ク リ ッ ク し て、IP ア ド レ ス ま たはホ ス ト 名で HTTPS プ ロ キ シ サーバ を識別 し ま す。 ス テ ッ プ 11 外部 HTTPS プ ロ キ シ サーバの ホ ス ト 名 ま たは IP ア ド レ ス を入力 し ま す。 ス テ ッ プ 12 HTTPS 要求を受信す る ポー ト を入力 し ま す。デ フ ォ ル ト のポー ト は 443 です。 ス テ ッ プ 13 (任意)HTTPS プ ロ キ シ サーバに送信で き ない よ う にす る 1 つの URL、ま たは複数の URL の カ ン マ区切 り リ ス ト を入力 し ま す。こ の ス ト リ ン グには文字数の制限はあ り ま せんが、コ マ ン ド 全体 で 512 文字以下 と な る よ う にす る 必要があ り ま す。リ テ ラ ル URL を指定す る か、次の ワ イ ル ド カー ド を使用で き ま す。 • * は、ス ラ ッ シ ュ (/) と ピ リ オ ド (.)を含む任意の文字列 と 一致 し ま す。こ の ワ イ ル ド カー ド は、英数字 ス ト リ ン グ と と も に使用す る 必要が あ り ま す。 • ? は、ス ラ ッ シ ュ お よ び ピ リ オ ド を含む、任意の 1 文字に一致 し ま す。 • [x-y] は、x か ら y の範囲に あ る 任意の 1 文字に一致 し ま す。こ こ で、x は ANSI 文字セ ッ ト 内の 1 文字を、y は ANSI 文字セ ッ ト 内の別の 1 文字を示 し ま す。 • [!x-y] は、こ の範囲内に存在 し ない任意の 1 文字に一致 し ま す。 ス テ ッ プ 14 (任意)各 HTTPS プ ロ キ シ要求にユーザ名を付加 し て基本的なプ ロ キ シ認証を提供す る には、 キー ワ ー ド を入力 し ま す。 ス テ ッ プ 15 各 HTTPS 要求 と と も にプ ロ キ シ サーバに送信 さ れ る パ ス ワ ー ド を入力 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-6 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン SSO サーバ SSO サーバ [SSO Server] ペ イ ン では、Computer Associates SiteMinder SSO サーバ ま たは Security Assertion Markup Language(SAML)バージ ョ ン 1.1 Browser Post Profile SSO サーバに接続す る ク ラ イ ア ン ト レ ス SSL VPN 接続のユーザのシ ン グル サ イ ン オ ン(SSO)を設定ま たは削除で き ます。ク ラ イ ア ン ト レ ス SSL VPN でだけ使用で き る SSO のサポー ト に よ り 、ユーザは、ユーザ名 と パ ス ワ ー ド を複数 回入力 し な く て も 、さ ま ざ ま なサーバのセキ ュ ア な各種のサービ ス にア ク セ ス で き ます。 SSO 設定時に次の方法か ら 選択で き ま す。 • 基本の HTTP ま たは NTLMv1 認証を使用 し た自動サ イ ン オ ン。 • HTTP Form プ ロ ト コ ル、ま たは Computer Associates eTrust SiteMinder (旧 Netegrity SiteMinder)。 • SAML バージ ョ ン 1.1 Browser Post Profile。 [Restrictions(機能制限)] SAML Browser Artifact プ ロ フ ァ イ ル方式の アサーシ ョ ン交換は、サポー ト さ れてい ま せん。 次の章では、SiteMinder と SAML Browser Post Profile を使用 し て SSO を設定す る 手順について 説明 し ま す。 • SiteMinder と SAML Browser Post Profile の設定(12-7 ページ):基本 HTTP ま たは NTLM 認証 で SSO を設定 し ま す。 • セ ッ シ ョ ン設定の構成:HTTP Form プ ロ ト コ ルで SSO を設定 し ま す。 SSO の メ カ ニ ズ ム は、AAA プ ロ セ ス (HTTP Form)の一部 と し て開始 さ れ る か、AAA サーバ (SiteMinder)ま たは SAML Browser Post Profile サーバへのユーザ認証に成功 し た直後に開始 さ れ ま す。こ れ ら の場合、ASA上で実行 さ れてい る ク ラ イ ア ン ト レ ス SSL VPN サーバは、認証サー バに対 し てのユーザのプ ロ キ シ と し て機能 し ま す。ユーザが ロ グ イ ンす る と 、ク ラ イ ア ン ト レ ス SSL VPN サーバは、ユーザ名 と パ ス ワ ー ド を含む SSO 認証要求を HTTPS を使用 し て認証サー バに送信 し ま す。 認証サーバが認証要求を承認す る と 、SSO 認証 ク ッ キーが ク ラ イ ア ン ト レ ス SSL VPN サーバに 返 さ れ ま す。こ の ク ッ キーは、ユーザの代理 と し てASAで保持 さ れ、ユーザ認証で こ の ク ッ キー を使用 し て、SSO サーバで保護 さ れてい る ド メ イ ン内部の Web サ イ ト の安全を確保 し ま す。 SiteMinder と SAML Browser Post Profile の設定 SiteMinder ま たは SAML Browser Post Profile に よ る SSO 認証は AAA か ら 切 り 離 さ れてお り 、AAA プ ロ セ ス の完了後に実施 さ れ ます。ユーザ ま たはグループが対象の SiteMinder SSO を設定す る に は、まず AAA サーバ(RADIUS や LDAP な ど)を設定す る 必要があ り ます。AAA サーバがユーザを 認証 し た後、ク ラ イ ア ン ト レ ス SSL VPN サーバは、HTTPS を使用 し て認証要求を SiteMinder SSO サーバに送信 し ます。 SiteMinder SSO の場合は、ASA の設定を行 う 以外に、シ ス コ の認証ス キーム に よ っ て CA SiteMinder ポ リ シー サーバを設定す る 必要があ り ます。SAML Browser Post Profile の場合は、認証で使用す る Web Agent(Protected Resource URL)を設定す る 必要があ り ます。 サーバ ソ フ ト ウ ェ ア ベン ダーが提供す る SAML サーバのマ ニ ュ アルに従っ て、SAML サーバ を Relying Party モー ド で設定 し ま す。次の フ ィ ール ド が表示 さ れ ま す。 • [Server Name]:表示専用。設定 さ れた SSO サーバの名前 を表示 し ま す。入力で き る 文字の範 囲は、4 ~ 31 文字です。 • [Authentication Type]:表示専用。SSO サーバの タ イ プ を表示 し ま す。ASAは現在、SiteMinder タ イ プ と SAML Browser Post Profile タ イ プ を サポー ト し てい ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-7 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン SSO サーバ ステ ッ プ 1 • [URL]:表示専用。ASAが SSO 認証要求を行 う SSO サーバの URL を表示 し ま す。 • [Secret Key]:表示専用。SSO サーバ と の認証通信の暗号化に使用 さ れ る 秘密キーを表示 し ま す。キーは、任意の標準 ま たはシ フ ト 式英数字で構成 さ れ ま す。文字の最小数や最大数の制限 は あ り ま せん。 • [Maximum Retries]:表示専用。SSO 認証が失敗 し た場合にASAが リ ト ラ イ す る 回数を表示 し ま す。リ ト ラ イ の範囲は 1 ~ 5 回で、デ フ ォ ル ト の リ ト ラ イ 数は 3 回です。 • [Request Timeout (seconds)]:表示専用。失敗 し た SSO 認証試行を タ イ ム ア ウ ト さ せ る ま での 秒数を表示 し ま す。範囲は 1 ~ 30 秒で、デ フ ォ ル ト の秒数は 5 秒です。 • [Add/Edit]:[Add/Edit SSO Server] ダ イ ア ロ グ ボ ッ ク ス を開 き ま す。 • [Delete]:選択 し た SSO サーバ を削除 し ま す。 • [Assign]:SSO サーバ を強調表示 し 、こ のボ タ ン を ク リ ッ ク し て選択 し たサーバ を 1 つ以上の VPN グループ ポ リ シー ま たはユーザ ポ リ シーに割 り 当て ま す。 ア サーテ ィ ン グ パーテ ィ (ASA)を表す SAML サーバ パ ラ メ ー タ を設定 し ま す。 • 宛先 コ ン シ ュ ーマ(Web Agent)URL(ASA で設定 さ れ る ア サーシ ョ ン コ ン シ ュ ーマ URL と 同じ) • Issuer ID(通常はア プ ラ イ ア ン ス の ホ ス ト 名で あ る 文字列) • プ ロ フ ァ イ ル タ イ プ:Browser Post Profile ステ ッ プ 2 証明書を設定 し ま す。 ステ ッ プ 3 ア サーテ ィ ン グ パーテ ィ の ア サーシ ョ ン には署名が必要な こ と を指定 し ま す。 ステ ッ プ 4 SAML サーバがユーザ を特定す る 方法を、次の よ う に選択 し ま す。 • Subject Name type が DN • Subject Name format が uid=<user> 次の作業 シ ス コ の認証 ス キーム の SiteMinder への追加を参照 し て く だ さ い。 シス コの認証スキームの SiteMinder への追加 SiteMinder に よ る SSO を使用す る ための ASA の設定に加え、Java プ ラ グ イ ン と し て提供 さ れて い る 、シ ス コ の認証 ス キーム を使用す る よ う にユーザの CA SiteMinder ポ リ シー サーバ を設定す る 必要 も あ り ま す。こ の項では、完全な手順ではな く 、一般的な ス テ ッ プ を提示 し ま す。カ ス タ ム 認証 ス キーム を追加す る ための完全な手順については、CA SiteMinder のマ ニ ュ アル を参照 し て く だ さ い。ユーザの SiteMinder ポ リ シー サーバ にシ ス コ の認証 ス キーム を設定す る には、次の 手順を実行 し ま す。 前提条件 SiteMinder ポ リ シー サーバ を設定す る には、SiteMinder の経験が必要です。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-8 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン SSO サーバ ステ ッ プ 1 ステ ッ プ 2 SiteMinder Administration ユーテ ィ リ テ ィ を使用 し て、次の特定の値を使用で き る よ う に カ ス タ ム認証 ス キーム を作成 し ま す。 • Library フ ィ ール ド に、smjavaapi と 入力 し ま す。 • [Secret] フ ィ ール ド で、[Add SSO Server] ダ イ ア ロ グ の [Secret Key] フ ィ ール ド で設定 し た も の と 同 じ 秘密キーを入力 し ま す。 • Parameter フ ィ ール ド に、CiscoAuthAPI と 入力 し ま す。 Cisco.com に ロ グ イ ン し て、http://www.cisco.com/cisco/software/navigator.html か ら cisco_vpn_auth.jar フ ァ イ ル を ダ ウ ン ロ ー ド し て、SiteMinder サーバのデ フ ォ ル ト の ラ イ ブ ラ リ デ ィ レ ク ト リ に コ ピ ー し ま す。こ の .jar フ ァ イ ルは、Cisco ASA CD に も 含 ま れてい ま す。 SSO サーバの追加または編集 こ の SSO 方式では、CA SiteMinder と SAML Browser Post Profile を使用 し ま す。ま た、HTTP Form プ ロ ト コ ル ま たは基本 HTML お よ び NTLM 認証を使用 し て SSO を設定す る こ と も で き ま す。基 本 HTML ま たは NTLM 認証を使用す る よ う に設定す る 場合は、コ マ ン ド ラ イ ン イ ン タ ー フ ェ イ ス で auto sign-on コ マ ン ド を使用 し ま す。 ステ ッ プ 1 サーバ を追加す る 場合は、新 し い SSO の名前 を入力 し ま す。サーバ を編集す る 場合、こ の フ ィ ー ル ド は表示専用です。選択 し た SSO サーバの名前が表示 さ れ ま す。 ステ ッ プ 2 SSO サーバへの認証要求を暗号化す る ために使用す る 秘密キーを入力 し ま す。キーに使用す る 文字には、通常の英数字 と 、シ フ ト キーを押 し て入力 し た英数字を使用で き ま す。文字の最小数 や最大数の制限はあ り ま せん。秘密キーはパ ス ワ ー ド に似てお り 、作成、保存、設定がで き ま す。 Cisco Java プ ラ グ イ ン認証 ス キーム を使用 し て、ASA、SSO サーバ、お よ び SiteMinder ポ リ シー サーバで設定 さ れ ま す。 ステ ッ プ 3 失敗 し た SSO 認証試行を ASA が再試行す る 回数を入力 し ま す。こ の回数を超え て失敗す る と 認 証 タ イ ム ア ウ ト にな り ま す。範囲は 1 ~ 5 回で、1 回 と 5 回 も 含 ま れ ま す。デ フ ォ ル ト は 3 回です。 ステ ッ プ 4 失敗 し た SSO 認証試行を タ イ ム ア ウ ト さ せ る ま での秒数を入力 し ま す。範囲は 1 ~ 30 秒で、1 秒 と 30 秒 も 含 ま れ ま す。デ フ ォ ル ト は 5 秒です。 ステ ッ プ 5 [OK] を ク リ ッ ク し て設定を適用 し 、リ モー ト ア ク セ ス ユーザの代わ り にサービ ス チ ケ ッ ト を 要求す る よ う に Microsoft KCD サーバ を設定 し ま す(図 12-1 を参照)。[OK] を ク リ ッ ク す る と 、 Microsoft KCD サーバの設定 ウ ィ ン ド ウ が表示 さ れ ま す。 次の作業 HTTP Form プ ロ ト コ ル を使用す る 場合は、「セ ッ シ ョ ン設定の構成(12-17 ページ)」を参照 し て く だ さ い。 Kerberos サーバ グループの設定 制約付 き 委任用の Kerberos サーバ グループ MSKCD が、KCD サーバ設定に自動的に適用 さ れ ま す。Kerberos サーバ グループ を設定 し て、[Configuration] > [Remote Access VPN] > [AAA/Local User] > [AAA Server Groups] で管理す る こ と も で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-9 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン SSO サーバ ステ ッ プ 1 [Server Access Credential] セ ク シ ョ ン で、次の項目を設定 し ま す。 • [Username]:サー ビ ス ア カ ウ ン ト (Active Directory ユーザ名)を定義 し ま す。JohnDoe な ど で す。こ れには、Active Directory ド メ イ ンへの コ ン ピ ュ ー タ ア カ ウ ン ト の追加に必要な権限が 付与 さ れてい ま す。ユーザ名は、特定の管理ユーザには対応せず、単にサービ ス レ ベル権限 を持つユーザです。こ のサービ ス ア カ ウ ン ト は、ASA に よ っ て、リ ブー ト のたびにそれ自体 の コ ン ピ ュ ー タ ア カ ウ ン ト を Active Directory ド メ イ ン に追加す る ために使用 さ れ ま す。リ モー ト ユーザの代わ り に Kerberos チ ケ ッ ト を要求す る ために、コ ン ピ ュ ー タ ア カ ウ ン ト を 個別に設定す る 必要が あ り ま す。 注 • ステ ッ プ 2 注 ステ ッ プ 3 最初の参加には、管理者権限が必要です。ド メ イ ン コ ン ト ロ ー ラ のサービ ス レ ベル権 限を持つユーザはア ク セ ス で き ま せん。 [Password]:ユーザ名に関連付け る パ ス ワ ー ド を定義 し ま す(Cisco123 な ど )。パ ス ワ ー ド は、 特定のパ ス ワ ー ド には対応せず、単に Window ド メ イ ン コ ン ト ロ ー ラ でデバ イ ス を追加す る ためのサービ ス レ ベル パ ス ワ ー ド 権限です。 [Server Group Configuration] セ ク シ ョ ン で、次の項目を設定 し ま す。 • [Reactivation Mode]:使用す る モー ド ([Depletion] ま たは [Timed])を ク リ ッ ク し ま す。 [Depletion] モー ド の場合、障害が発生 し た サーバは、グ ループ内のサーバがすべて非ア ク テ ィ ブに な っ た と き に限 り 、再ア ク テ ィ ブ化 さ れ ま す。Timed モー ド では、障害が発生 し た サーバは 30 秒の停止時間の後で再ア ク テ ィ ブ化 さ れ ま す。[Depletion] は、デ フ ォ ル ト 設定 です。 • [Dead Time]:再ア ク テ ィ ブ化モー ド と し て [Depletion] を選択 し た場合は、デ ッ ド 時間を追加 す る 必要が あ り ま す。こ の時間は、グループ内の最後のサーバが非ア ク テ ィ ブにな っ て か ら 、 すべてのサーバ を再度 イ ネーブルにす る ま での時間を分単位で表 し ま す。10 分がデ フ ォ ル ト です。 • [Max Failed Attempts]:応答のないサーバ を非ア ク テ ィ ブ と 宣言す る ま でに許可 さ れ る 接続 試行の失敗回数を設定 し ま す。デ フ ォ ル ト の試行回数は 3 回です。 [Server Table] セ ク シ ョ ン では、前に設定 し た DC ホ ス ト 名 ServerHostName が KCD サーバ設定に 自動的に適用 さ れ ま し た(図 12-1 を参照)。 [Apply] を ク リ ッ ク し ま す。 注 設定の適用後、ASA に よ っ て Active Directory ド メ イ ン の参加プ ロ セ ス が自動的に開始 さ れ ま す。ASA のホ ス ト 名が Active Directory Users and Computers の Computers デ ィ レ ク ト リ に表示 さ れ ます。 ASA が ド メ イ ン に正常に参加 し たか ど う か を確認す る には、ASA プ ロ ン プ ト か ら 次の コ マ ン ド を実行 し ま す。 host# show webvpn kcd Kerberos Realm: WEST.LOCAL Domain Join: Complete Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-10 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ア プ リ ケーシ ョ ン プ ロ フ ァ イル カ ス タ マ イ ゼーシ ョ ン フ レ ームワー ク の設定 Kerberos で認証 さ れるサービ スにア ク セスするためのブ ッ ク マー クの設定 Outlook Web Access な ど の Kerberos で認証 さ れ る サービ ス に ASA ク ラ イ ア ン ト レ ス ポー タ ル を使用 し て ア ク セ ス す る には、ブ ッ ク マー ク リ ス ト を設定す る 必要が あ り ま す。ブ ッ ク マー ク リ ス ト は、リ モー ト ア ク セ ス ユーザに関連付け ら れた VPN セ キ ュ リ テ ィ ポ リ シーに基づいて、 それ ら のユーザに割 り 当て ら れ、表示 さ れ ま す。 は じ める前に Kerberos Constrained Delegation(KCD)を使用す る ア プ リ ケーシ ョ ンへのブ ッ ク マー ク を作成す る 場合は、[Enable Smart Tunnel] を オ ン に し ないで く だ さ い。 ステ ッ プ 1 ASDM GUI で、[Configuration] > [Remote Access VPN] > [Clientless VPN Access] > [Portal] > [Bookmarks] に移動 し ま す。 ステ ッ プ 2 [Bookmark List] に、サービ ス ロ ケーシ ョ ン を参照す る ための URL を入力 し ま す。 ア プ リ ケーシ ョ ン プ ロ フ ァ イル カ ス タ マ イゼーシ ョ ン フ レームワー クの設定 ク ラ イ ア ン ト レ ス SSL ア プ リ ケーシ ョ ン プ ロ フ ァ イ ル カ ス タ マ イ ゼーシ ョ ン フ レ ーム ワ ー ク (APCF)オプ シ ョ ン に よ り 、ASA は標準以外の ア プ リ ケーシ ョ ンや Web リ ソ ー ス を処理 し 、ク ラ イ ア ン ト レ ス SSL VPN 接続で正 し く 表示で き ま す。APCF プ ロ フ ァ イ ルには、特定の ア プ リ ケー シ ョ ン に関 し て、いつ(事前、事後)、ど こ の(ヘ ッ ダー、本文、要求、応答)、何(デー タ )を変換す る か を指定す る ス ク リ プ ト が あ り ま す。ス ク リ プ ト は XML 形式で記述 さ れ、sed( ス ト リ ーム エ デ ィ タ )の構文を使用 し て文字列お よ びテ キ ス ト を変換 し ま す。 ASA では複数のAPCF プ ロ フ ァ イ ル を 並行 し て設定お よ び実行で き ま す。1 つの APCF プ ロ フ ァ イ ルの ス ク リ プ ト 内に複数の APCF ルール を適用す る こ と がで き ま す。ASA は、設定履歴に基づ いて最 も 古いルール を最初に処理 し 、次に 2 番目に古いルール を処理 し ま す。 APCF プ ロ フ ァ イ ルは、ASAの フ ラ ッ シ ュ メ モ リ 、HTTP サーバ、HTTPS サーバ、ま たは TFTP サーバに保存で き ま す。 APCF プ ロ フ ァ イ ルは、シ ス コ の担当者のサポー ト が受け ら れ る 場合のみ設定す る こ と をお勧め し ま す。 APCF プ ロ フ ァ イルの管理 APCF プ ロ フ ァ イ ルは、ASA の フ ラ ッ シ ュ メ モ リ 、HTTP サーバ、HTTPS サーバ、FTP サーバ、ま たは TFTP サーバに保存で き ま す。こ のペ イ ン は、APCF パ ッ ケージ を追加、編集、お よ び削除す る 場合 と 、パ ッ ケージ を優先順位に応 じ て並べ替え る 場合に使用 し ま す。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Application Helper] の順に進み ま す。こ こ では、次の機能を実行で き ま す。 • [Add/Edit] を ク リ ッ ク し て、新 し い APCF プ ロ フ ァ イ ル を作成す る か、既存の APCF プ ロ フ ァ イ ル を変更 し ま す。 – [Flash file] を選択 し て、ASA の フ ラ ッ シ ュ メ モ リ に保存 さ れてい る APCF フ ァ イ ル を指 定 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-11 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン ア プ リ ケーシ ョ ン プ ロ フ ァ イル カ ス タ マ イゼーシ ョ ン フ レームワー ク の設定 次に [Upload] を ク リ ッ ク し て、ロ ーカル コ ン ピ ュ ー タ か ら ASA の フ ラ ッ シ ュ フ ァ イ ル シ ス テ ム に APCF フ ァ イ ル を取得す る か、[Browse] を ク リ ッ ク し て フ ラ ッ シ ュ メ モ リ に 既存す る APCF を選択 し ま す。 – [URL] を選択 し て、HTTP、HTTPS、FTP、ま たは TFTP サーバか ら APCF フ ァ イ ル を取得 し ま す。 ステ ッ プ 2 • [Delete] を ク リ ッ ク し て、既存の APCF プ ロ フ ァ イ ル を削除 し ま す。確認の画面は表示 さ れ ず、や り 直 し も で き ま せん。 • [Move Up] ま たは [Move Down] を ク リ ッ ク し て、リ ス ト 内の APCF プ ロ フ ァ イ ルの順序を入 れ替え ま す。順序は、使用 さ れ る APCF プ ロ フ ァ イ ル を決定 し ま す。 リ ス ト に変更が加え ら れていない場合は、[Refresh] を ク リ ッ ク し ま す。 APCF パ ッ ケージのア ッ プ ロー ド ステ ッ プ 1 コ ン ピ ュ ー タ 上に あ る APCF フ ァ イ ルへのパ ス が表示 さ れ ま す。[Browse Local] を ク リ ッ ク し て こ の フ ィ ール ド にパ ス を自動的に挿入す る か、パ ス を入力 し ま す。 ステ ッ プ 2 APCF フ ァ イ ル を見つけ て、コ ン ピ ュ ー タ に転送す る よ う に選択す る には ク リ ッ ク し ま す。 [Select File Path] ダ イ ア ロ グ ボ ッ ク ス に、自分の ロ ーカル コ ン ピ ュ ー タ で最後に ア ク セ ス し た フ ォ ルダの内容が表示 さ れ ま す。APCF フ ァ イ ルに移動 し て選択 し 、[Open] を ク リ ッ ク し ま す。 ASDM が [Local File Path] フ ィ ール ド に フ ァ イ ルのパ ス を挿入 し ま す。 ステ ッ プ 3 APCF フ ァ イ ル を ア ッ プ ロ ー ド す る ASA 上のパ ス が [Flash File System Path] に表示 さ れ ま す。 [Browse Flash] を ク リ ッ ク し て、APCF フ ァ イ ル を ア ッ プ ロ ー ド す る ASA 上の場所を特定 し ま す。[Browse Flash] ダ イ ア ロ グ ボ ッ ク ス に、フ ラ ッ シ ュ メ モ リ の内容が表示 さ れ ま す。 ステ ッ プ 4 ロ ーカル コ ン ピ ュ ー タ で選択 し た APCF フ ァ イ ルの フ ァ イ ル名が表示 さ れ ま す。混乱を防 ぐ た めに、こ の名前を使用す る こ と をお勧め し ま す。こ の フ ァ イ ルの名前が正 し く 表示 さ れてい る こ と を確認 し 、[OK] を ク リ ッ ク し ま す。[Browse Flash] ダ イ ア ロ グ ボ ッ ク ス が閉 じ ま す。ASDM が [Flash File System Path] フ ィ ール ド に ア ッ プ ロ ー ド 先の フ ァ イ ル パ ス を挿入 し ま す。 ステ ッ プ 5 自分の コ ン ピ ュ ー タ の APCF フ ァ イ ルの場所 と 、APCF フ ァ イ ル を ASA にダ ウ ン ロ ー ド す る 場 所を特定 し た ら 、[Upload File] を ク リ ッ ク し ま す。 ステ ッ プ 6 [Status] ウ ィ ン ド ウ が表示 さ れ、フ ァ イ ル転送中は開いた ま ま の状態を維持 し ま す。転送が終わ り 、[Information] ウ ィ ン ド ウ に「File is uploaded to flash successfully.」 と い う メ ッ セージが表示 さ れ ま す。[OK] を ク リ ッ ク し ま す。[Upload Image] ダ イ ア ロ グ ウ ィ ン ド ウ か ら 、[Local File Path] フ ィ ール ド と [Flash File System Path] フ ィ ール ド の内容が削除 さ れ ま す。こ れは、別の フ ァ イ ル を ア ッ プ ロ ー ド で き る こ と を表 し ま す。別の フ ァ イ ル を ア ッ プ ロ ー ド す る には、上記の手順を繰 り 返 し ま す。それ以外の場合は、[Close] を ク リ ッ ク し ま す。 ステ ッ プ 7 [Upload Image] ダ イ ア ロ グ ウ ィ ン ド ウ を閉 じ ま す。APCF フ ァ イ ル を フ ラ ッ シ ュ メ モ リ に ア ッ プ ロ ー ド し た後、ま たはア ッ プ ロ ー ド し ない場合に、[Close] を ク リ ッ ク し ま す。ア ッ プ ロ ー ド す る 場合には、[APCF] ウ ィ ン ド ウ の [APCF File Location] フ ィ ール ド に フ ァ イ ル名が表示 さ れ ま す。 ア ッ プ ロ ー ド し ない場合には、「Are you sure you want to close the dialog without uploading the file?」 と 尋ね る [Close Message] ダ イ ア ロ グ ボ ッ ク ス が表示 さ れ ま す。フ ァ イ ル を ア ッ プ ロ ー ド し ない 場合は、[OK] を ク リ ッ ク し ま す。[Close Message] ダ イ ア ロ グ ボ ッ ク ス と [Upload Image] ダ イ ア ロ グ ボ ッ ク ス が閉 じ ら れ、APCF [Add/Edit] ペ イ ン が表示 さ れ ま す。こ の処理が実行 さ れない場合 は、[Close Message] ダ イ ア ロ グ ボ ッ ク ス の [Cancel] を ク リ ッ ク し ま す。ダ イ ア ロ グ ボ ッ ク ス が閉 じ ら れ、フ ィ ール ド の値がその ま ま の状態で [Upload Image] ダ イ ア ロ グ ボ ッ ク ス が再度表示 さ れ ま す。[Upload File] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-12 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ア プ リ ケーシ ョ ン プ ロ フ ァ イル カ ス タ マ イ ゼーシ ョ ン フ レ ームワー ク の設定 APCF パケ ッ ト の管理 ステ ッ プ 1 ク ラ イ ア ン ト レ ス SSL VPN コ ン フ ィ ギ ュ レ ーシ ョ ン モー ド に切 り 替え ま す。 webvpn ステ ッ プ 2 ASA 上に ロ ー ド す る APCF プ ロ フ ァ イ ル を特定お よ び検索 し ま す。 こ の例では、フ ラ ッ シ ュ メ モ リ に保存 さ れてい る apcf1.xml と い う 名前の APCF プ ロ フ ァ イ ル を イ ネーブルにす る 方法 と 、ポー ト 番号 1440、パ ス が /apcf の myserver と い う 名前の HTTPS サー バに あ る APCF プ ロ フ ァ イ ル apcf2.xml を イ ネーブルにす る 方法を示 し ま す。 apcf 例: hostname(config)# webvpn hostname(config-webvpn)# apcf flash:/apcf/apcf1.xml hostname(config)# webvpn hostname(config-webvpn)# apcf https://myserver:1440/apcf/apcf2.xml ステ ッ プ 1 次の コ マ ン ド を使用 し て、APCF パケ ッ ト を追加、編集、お よ び削除 し 、パケ ッ ト を優先順位に応 じ て並べ替え ま す。 • [APCF File Location]:APCF パ ッ ケージの場所についての情報を表示 し ま す。ASA の フ ラ ッ シ ュ メ モ リ 、HTTP サーバ、HTTPS サーバ、FTP サーバ、ま たは TFTP サーバのいずれかです。 • [Add/Edit]:新規 ま たは既存の APCF プ ロ フ ァ イ ル を追加 ま たは編集 し ま す。 • [Delete]:既存の APCF プ ロ フ ァ イ ル を削除 し ま す。確認 さ れず、や り 直 し も で き ま せん。 • [Move Up]: リ ス ト 内の APCF プ ロ フ ァ イ ル を再配置 し ま す。リ ス ト に よ り 、ASAが APCF プ ロ フ ァ イ ル を使用す る と き の順序が決 ま り ま す。 ステ ッ プ 2 [Flash File] を ク リ ッ ク し て、ASA の フ ラ ッ シ ュ メ モ リ に保存 さ れてい る APCF フ ァ イ ル を指定 し ま す。 ステ ッ プ 3 フ ラ ッ シ ュ メ モ リ に保存 さ れてい る APCF フ ァ イ ルのパ ス を入力 し ま す。パ ス をすでに追加 し てい る 場合は、そのパ ス を特定す る ために参照 し た後、フ ラ ッ シ ュ メ モ リ に格納 さ れた APCF フ ァ イ ルに リ ダ イ レ ク ト し ま す。 ステ ッ プ 4 [Browse Flash] を ク リ ッ ク し て、フ ラ ッ シ ュ メ モ リ を参照 し 、APCF フ ァ イ ル を指定 し ま す。 [Browse Flash Dialog] ペ イ ン が表示 さ れ ま す。[Folders] お よ び [Files] 列を使用 し て APCF フ ァ イ ル を指定 し ま す。APCF フ ァ イ ル を選択 し て、[OK] を ク リ ッ ク し ま す。フ ァ イ ルへのパ ス が [Path] フ ィ ール ド に表示 さ れ ま す。 注 最近ダ ウ ン ロ ー ド し た APCF フ ァ イ ルの名前が表示 さ れない場合には、[Refresh] を ク リ ッ ク し ま す。 • [Upload]:APCF フ ァ イ ル を ロ ーカル コ ン ピ ュ ー タ か ら ASA の フ ラ ッ シ ュ フ ァ イ ル シ ス テ ム に ア ッ プ ロ ー ド し ま す。[Upload APCF Package] ペ イ ン が表示 さ れ ま す。 • [URL]:HTTP サーバ、HTTPS サーバ、ま たは TFTP サーバに保存 さ れてい る APCF フ ァ イ ル を使用す る 場合に ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-13 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン ア プ リ ケーシ ョ ン プ ロ フ ァ イル カ ス タ マ イゼーシ ョ ン フ レームワー ク の設定 • [ftp, http, https, and tftp (unlabeled)]:サーバ タ イ プ を特定 し ま す。 • [URL (unlabeled)]:FTP、HTTP、HTTPS、ま たは TFTP サーバへのパ ス を入力 し ま す。 APCF 構文 APCF プ ロ フ ァ イ ルは、XML フ ォ ーマ ッ ト お よ び sed ス ク リ プ ト の構文を使用 し ま す。次の表 に、こ の場合に使用す る XML タ グ を示 し ま す。 APCF のガ イ ド ラ イ ン APCF プ ロ フ ァ イ ルの使い方を誤 る と 、パ フ ォ ーマ ン ス が低下 し た り 、好 ま し く ない表現の コ ン テ ン ツ にな る 場合が あ り ま す。シ ス コ のエ ン ジ ニ ア リ ン グ部では、ほ と ん ど の場合、APCF プ ロ フ ァ イ ル を提供す る こ と で特定ア プ リ ケーシ ョ ン の表現上の問題を解決 し てい ま す。 表 12-1 APCF XML タ グ タグ 使用目的 <APCF>...</APCF> すべての APCF XML フ ァ イ ル を開 く ための必須の ルー ト 要素。 <version>1.0</version> APCF の実装バージ ョ ン を指定す る 必須の タ グ。現在 のバージ ョ ン は 1.0 だけです。 <application>...</application> XML 記述の本文 を囲む必須 タ グ。 <id> text </id> こ の特定の APCF 機能を記述す る 必須 タ グ。 <apcf-entities>...</apcf-entities> 単一ま たは複数の APCF エンテ ィ テ ィ を囲む必須タ グ。 <js-object>…</js-object> こ れ ら の タ グ の う ちの 1 つが、コ ン テ ン ツ の種類 ま たは APCF 処理が実施 さ れ る 段階を指定 し ま す。 <html-object>…</html-object> <process-request-header>...</process-request-header> <process-response-header>...</process-response-header> <preprocess-response-body>...</preprocess-response-body> <postprocess-response-body>...</postprocess-response-body> Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-14 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ア プ リ ケーシ ョ ン プ ロ フ ァ イル カ ス タ マ イ ゼーシ ョ ン フ レ ームワー ク の設定 表 12-1 APCF XML タ グ (続き) タグ 使用目的 <conditions>… </conditions> 処理前お よ び処理後の子要素 タ グ で、次の処理基準 を指定 し ま す。 <action> … </action> <do>…</do> • http-version(1.1、1.0、0.9 な ど ) • http-method(get、put、post、webdav) • http-scheme (“http/”, “https/”, other) • server-regexp regular expression containing ("a".."z" | "A".."Z" | "0".."9" | ".-_*[]?") • server-fnmatch (regular expression containing ("a".."z" | "A".."Z" | "0".."9" | ".-_*[]?+()\{},"), • user-agent-regexp • user-agent-fnmatch • request-uri-regexp • request-uri-fnmatch • 条件 タ グ の う ち 2 つ以上が存在す る 場合は、 ASA はすべて の タ グ に対 し て論理 AND を 実行 し ま す。 指定 し た条件で 1 つ以上の ア ク シ ョ ン を コ ン テ ン ツ で ラ ッ プ し ま す。こ れ ら のア ク シ ョ ン を定義す る に は、次の タ グ を使用で き ま す(下記参照)。 • <do> • <sed-script> • <rewrite-header> • <add-header> • <delete-header> 次のいずれかのア ク シ ョ ン の定義に使用 さ れ る ア ク シ ョ ン タ グ の子要素です。 • <no-rewrite/>: リ モー ト サーバか ら 受信 し た コ ン テ ン ツ を上書 き し ま せん。 • <no-toolbar/>:ツールバーを挿入 し ま せん。 • <no-gzip/>: コ ン テ ン ツ を圧縮 し ま せん。 • <force-cache/>:元のキ ャ ッ シ ュ 命令を維持 し ます。 • <force-no-cache/>:オブジ ェ ク ト を キ ャ ッ シ ュ で き ない よ う に し ま す。 • < downgrade-http-version-on-backend>: リ モー ト サーバに要求を送信す る と き に HTTP/1.0 を使用 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-15 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン ア プ リ ケーシ ョ ン プ ロ フ ァ イル カ ス タ マ イゼーシ ョ ン フ レームワー ク の設定 表 12-1 APCF XML タ グ (続き) タグ 使用目的 <sed-script> TEXT </sed-script> テキ ス ト ベース のオブジ ェ ク ト の コ ン テ ン ツの変更に 使用 さ れる ア ク シ ョ ン タ グの子要素です。TEXT は有 効な Sed ス ク リ プ ト であ る必要があ り ます。<sed-script> は、こ れ よ り 前に定義 さ れた <conditions> タ グに適用 さ れます。 <rewrite-header></rewrite-header> ア ク シ ョ ン タ グ の子要素です。<header> の子要素 タ グ で指定 さ れた HTTP ヘ ッ ダーの値を変更 し ま す (以下を参照 し て く だ さ い)。 <add-header></add-header> <header> の子要素 タ グ で指定 さ れた新 し い HTTP ヘ ッ ダーの追加に使用 さ れ る ア ク シ ョ ン タ グ の子要 素です(以下を参照 し て く だ さ い)。 <delete-header></delete-header> <header> の子要素 タ グ で指定 さ れた特定の HTTP ヘ ッ ダーの削除に使用 さ れ る ア ク シ ョ ン タ グ の子要 素です(以下を参照 し て く だ さ い)。 <header></header> 上書 き 、追加、ま たは削除 さ れ る HTTP ヘ ッ ダー名を 指定 し ま す。た と えば、次の タ グは Connection と い う 名前の HTTP ヘ ッ ダーの値を変更 し ま す。 <rewrite-header> <header>Connection</header> <value>close</value> </rewrite-header> APCF の設定例 例: <APCF> <version>1.0</version> <application> <id>Do not compress content from example.com</id> <apcf-entities> <process-request-header> <conditions> <server-fnmatch>*.example.com</server-fnmatch> </conditions> <action> <do><no-gzip/></do> </action> </process-request-header> </apcf-entities> </application> </APCF> 例: <APCF> <version>1.0</version> <application> <id>Change MIME type for all .xyz objects</id> <apcf-entities> <process-response-header> Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-16 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン セ ッ シ ョ ン設定の構成 <conditions> <request-uri-fnmatch>*.xyz</request-uri-fnmatch> </conditions> <action> <rewrite-header> <header>Content-Type</header> <value>text/html</value> </rewrite-header> </action> </process-response-header> </apcf-entities> </application> </APCF> セ ッ シ ョ ン設定の構成 [Clientless SSL VPN Add/Edit Internal Group Policy] > [More Options] > [Session Settings] ウ ィ ン ド ウ では、ク ラ イ ア ン ト レ ス SSL VPN のセ ッ シ ョ ン か ら セ ッ シ ョ ン の間にパー ソ ナ ラ イ ズ さ れた ユーザ情報を指定で き ま す。デ フ ォ ル ト に よ り 、各グループ ポ リ シーはデ フ ォ ル ト の グループ ポ リ シーか ら 設定を継承 し ま す。こ の ウ ィ ン ド ウ を使用 し て、デ フ ォ ル ト グループ ポ リ シーの パー ソ ナ ラ イ ズ さ れた ク ラ イ ア ン ト レ ス SSL VPN ユーザ情報、お よ び こ れ ら の設定値を区別す る グループ ポ リ シーすべて を指定 し ま す。 ステ ッ プ 1 [none] を ク リ ッ ク す る か、ま たは [User Storage Location] ド ロ ッ プダ ウ ン メ ニ ュ ーか ら フ ァ イ ル サーバ プ ロ ト コ ル(smb ま たは ftp)を ク リ ッ ク し ま す。シ ス コ では、ユーザ ス ト レ ージに CIFS を 使用す る こ と を推奨 し ま す。ユーザ名/パ ス ワ ー ド ま たはポー ト 番号を使用せずに CIFS を設定で き ま す。[CIFS] を選択す る 場合は、次の構文を入力 し ま す。 cifs//cifs-share/user/data [smb] ま たは [ftp] を選択す る 場合は、次の構文を使用 し て、隣のテ キ ス ト フ ィ ール ド に フ ァ イ ル シ ス テ ム の宛先を入力 し ま す。 username:password@host:port-number/path 例:mike:mysecret@ftpserver3:2323/public 注 こ の コ ン フ ィ ギ ュ レ ーシ ョ ン には、ユーザ名、パ ス ワ ー ド 、お よ び事前共有キーが示 さ れてい ま すが、ASAは、内部アル ゴ リ ズ ム を使用 し て暗号化 さ れた形式でデー タ を 保存 し 、そのデー タ を保護 し ま す。 ステ ッ プ 2 必要な場合は、保管場所へユーザがア ク セ ス で き る よ う にす る ためにセ キ ュ リ テ ィ アプ ラ イ ア ン ス が渡す文字列を入力 し ま す。 ステ ッ プ 3 [Storage Objects] ド ロ ッ プダ ウ ン メ ニ ュ ーか ら 次のいずれかのオプシ ョ ン を選択 し て、ユーザ と の関連でサーバが使用す る オブジ ェ ク ト を指定 し ま す。ASAは、こ れ ら のオブジ ェ ク ト を保存 し て ク ラ イ ア ン ト レ ス SSL VPN 接続を サポー ト し ま す。 • cookies,credentials • cookies • ク レ デン シ ャ ル Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-17 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン エ ン コ ーデ ィ ング ステ ッ プ 4 セ ッ シ ョ ン を タ イ ム ア ウ ト す る と き の ト ラ ン ザ ク シ ョ ン サ イ ズの限界値を KB 単位で入力 し ま す。こ の属性は、1 つの ト ラ ン ザ ク シ ョ ン にだけ適用 さ れ ま す。こ の値 よ り も 大 き な ト ラ ン ザ ク シ ョ ン だけが、セ ッ シ ョ ン の期限切れ ク ロ ッ ク を リ セ ッ ト し ま す。 エ ン コ ーデ ィ ング 文字エ ン コ ーデ ィ ン グ は「文字 コ ー ド 」や「文字セ ッ ト 」 と も 呼ばれ、raw デー タ (0 や 1 な ど )を文 字 と 組み合わせ、デー タ を表 し ま す。使用す る 文字エ ン コ ー ド 方式は、言語に よ っ て決 ま り ま す。 単一の方式を使 う 言語 も あれば、使わない言語 も あ り ま す。通常は、地域に よ っ て ブ ラ ウ ザで使 用 さ れ る デ フ ォ ル ト の コ ー ド 方式が決 ま り ま すが、リ モー ト ユーザが変更す る こ と も で き ま す。 ブ ラ ウ ザはページに指定 さ れたエ ン コ ー ド を検出す る こ と も で き 、そのエ ン コ ー ド に従っ て ド キ ュ メ ン ト を表示 し ま す。 エ ン コ ー ド 属性に よ り ポー タ ル ページ で使用 さ れ る 文字 コ ー ド 方式の値 を 指定す る こ と で、 ユーザがブ ラ ウ ザ を 使用 し て い る 地域や、ブ ラ ウ ザに対す る 何 ら かの変更に関係な く 、ページ が正 し く 表示 さ れ る よ う にで き ま す。 デ フ ォ ル ト では、ASA は「Global Encoding Type」を Common Internet File System(共通 イ ン タ ー ネ ッ ト フ ァ イ ル シ ス テ ム)サーバか ら のページに適用 し ま す。CIFS サーバ と 適切な文字エ ン コ ーデ ィ ン グ と のマ ッ ピ ン グ を、[Global Encoding Type] 属性に よ っ て グ ロ ーバルに、そ し て テー ブルに示 さ れてい る フ ァ イ ル エ ン コ ーデ ィ ン グ例外を使用 し て個別に行 う こ と に よ り 、フ ァ イ ル名やデ ィ レ ク ト リ パ ス 、お よ びページの適切な レ ン ダ リ ン グ が問題 と な る 場合に、CIFS ペー ジが正確に処理お よ び表示で き る よ う に し ま す。 文字エ ン コ ーデ ィ ングの表示または指定 エ ン コ ーデ ィ ン グ を使用す る と 、ク ラ イ ア ン ト レ ス SSL VPN ポー タ ル ページの文字エ ン コ ー デ ィ ン グ を表示 ま たは指定で き ま す。 ステ ッ プ 1 [Global Encoding Type] に よ っ て、表に記載 さ れてい る CIFS サーバか ら の文字エ ン コ ーデ ィ ン グ を除いて、すべての ク ラ イ ア ン ト レ ス SSL VPN ポー タ ル ページが継承す る 文字エ ン コ ーデ ィ ン グ が決 ま り ま す。文字列を入力す る か、ド ロ ッ プダ ウ ン リ ス ト か ら 選択肢を 1 つ選択 し ま す。リ ス ト には、最 も 一般的な次の値だけが表示 さ れ ま す。 • big5 • gb2312 • ibm-850 • iso-8859-1 • shift_jis • unicode • windows-1252 • none Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-18 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン 頻繁に再利用 さ れる オブ ジ ェ ク ト の格納 注 [none] を ク リ ッ ク す る か、ま たは ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン のブ ラ ウ ザが サポー ト し て い な い値 を 指定 し た場合には、ブ ラ ウ ザのデ フ ォ ル ト の コ ー ド が使用 さ れ ま す。 最大 40 文字か ら 成 り 、http://www.iana.org/assignments/character-sets で指定 さ れてい る いずれか の有効文字セ ッ ト と 同 じ 文字列を入力で き ま す。こ のページに示 さ れてい る 文字セ ッ ト の名前 ま たはエ イ リ ア ス のいずれか を使用で き ま す。こ の ス ト リ ン グは、大文字 と 小文字が区別 さ れ ま せん。ASAの設定を保存 し た と き に、コ マ ン ド イ ン タ ープ リ タ が大文字を小文字に変換 し ま す。 ステ ッ プ 2 エ ン コ ーデ ィ ン グ要件が「Global Encoding Type」属性設定 と は異な る CIFS サーバの名前 ま たは IP ア ド レ ス を入力 し ま す。ASAでは、指定 し た大文字 と 小文字の区別が保持 さ れ ま すが、名前を サーバ と 照合す る と き には大文字 と 小文字は区別 さ れ ま せん。 ステ ッ プ 3 CIFS サーバが ク ラ イ ア ン ト レ ス SSL VPN ポー タ ル ページ に対 し て指定す る 必要の あ る 文字 エ ン コ ーデ ィ ン グ を 選択 し ま す。文字列 を 入力す る か、ド ロ ッ プ ダ ウ ン リ ス ト か ら 選択 し ま す。 リ ス ト には、最 も 一般的な次の値だ け が登録 さ れて い ま す。 • big5 • gb2312 • ibm-850 • iso-8859-1 • shift_jis 注 日本語の Shift_jis 文字エ ン コ ーデ ィ ン グ を使用 し てい る 場合は、関連付け ら れてい る [Select Page Font] ペ イ ン の [Font Family] 領域にあ る [Do Not Specify] を ク リ ッ ク し て、こ の フ ォ ン ト フ ァ ミ リ を削除 し ま す。 • unicode • windows-1252 • none [none] を ク リ ッ ク す る か、ま たは ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン のブ ラ ウ ザがサポー ト し ていない値を指定 し た場合には、ブ ラ ウ ザのデ フ ォ ル ト の コ ー ド が使用 さ れ ま す。 最大 40 文字か ら 成 り 、http://www.iana.org/assignments/character-sets で指定 さ れてい る いずれか の有効文字セ ッ ト と 同 じ 文字列を入力で き ま す。こ のページに示 さ れてい る 文字セ ッ ト の名前 ま たはエ イ リ ア ス のいずれか を使用で き ま す。こ の ス ト リ ン グは、大文字 と 小文字が区別 さ れ ま せん。ASAの設定を保存 し た と き に、コ マ ン ド イ ン タ ープ リ タ が大文字を小文字に変換 し ま す。 頻繁に再利用 さ れるオブ ジ ェ ク ト の格納 キ ャ ッ シ ュ に よ り 、ク ラ イ ア ン ト レ ス SSL VPN のパ フ ォ ーマ ン ス を強化 し ま す。頻繁に再利用 さ れ る オブ ジ ェ ク ト を シ ス テ ム キ ャ ッ シ ュ に格納す る こ と で、書 き 換えの繰 り 返 し や コ ン テ ン ツ の圧縮の必要性を低減 し ま す。キ ャ ッ シ ュ を使用す る こ と で ト ラ フ ィ ッ ク 量が減 り 、結果 と し て多 く の ア プ リ ケーシ ョ ン が よ り 効率的に実行 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-19 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン コ ンテンツ リ ラ イ ト ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Content Cache] の順に選択 し ま す。 ステ ッ プ 2 [Enable Cache] がオ フ の場合は、オ ン に し ま す。 ステ ッ プ 3 キ ャ ッ シ ン グ条件を定義 し ま す。 • [Maximum Object Size]:ASAが キ ャ ッ シ ュ で き る ド キ ュ メ ン ト の最大サ イ ズ を KB 単位で入 力 し ま す。ASAが、オブジ ェ ク ト の元の(書 き 換え ま たは圧縮 さ れていない) コ ン テ ン ツ の長 さ を測定 し ま す。範囲は 0 ~ 10,000 KB で、デ フ ォ ル ト は 1,000 KB です。 • [Minimum Object Size]:ASAが キ ャ ッ シ ュ で き る ド キ ュ メ ン ト の最小サ イ ズ を KB 単位で入 力 し ま す。ASAが、オブジ ェ ク ト の元の(書 き 換え ま たは圧縮 さ れていない) コ ン テ ン ツ の長 さ を測定 し ま す。範囲は 0 ~ 10,000 KB で、デ フ ォ ル ト は 0 KB です。 注 [Maximum Object Size] は、[Minimum Object Size] よ り も 大 き い値にす る 必要があ り ます。 • [Expiration Time]:0 ~ 900 の整数を入力 し て、オブ ジ ェ ク ト を再検証 し ないで キ ャ ッ シ ュ す る 分数を設定 し ま す。デ フ ォ ル ト は 1 分です。 • [LM Factor]:1 ~ 100 の整数を入力 し ま す。デ フ ォ ル ト は 20 です。 • LM 因数は、最終変更 タ イ ム ス タ ン プだけ を持つオブ ジ ェ ク ト を キ ャ ッ シ ュ す る ためのポ リ シーを設定 し ま す。こ れに よ っ て、サーバ設定の変更値を持た ないオブジ ェ ク ト が再検証 さ れ ま す。ASAは、オブジ ェ ク ト が変更 さ れた後、お よ びオブジ ェ ク ト が期限切れの時刻を呼び 出 し た後の経過時間を推定 し ま す。推定 さ れた期限切れ時刻は、最終変更後の経過時間 と LM 因数の積に一致 し ま す。LM 因数を 0 に設定す る と 、ただちに再検証が実行 さ れ、100 に設 定す る と 、再検証 ま での許容最長時間にな り ま す。 • 期限切れ時刻は、ASA が、最終変更 タ イ ム ス タ ン プがな く 、サーバ設定の期限切れ時刻 も 明 示 さ れていないオブジ ェ ク ト を キ ャ ッ シ ュ す る 時間の長 さ を設定 し ま す。 • [Cache static content]:た と えば PDF フ ァ イ ルや イ メ ージ な ど 、リ ラ イ ト さ れ る こ と のないす べての コ ン テ ン ツ を キ ャ ッ シ ュ し ま す。 • [Restore Cache Default]:すべての キ ャ ッ シ ュ パ ラ メ ー タ をデ フ ォ ル ト 値に戻 し ま す。 コ ンテンツ リ ラ イ ト [Content Rewrite] ペ イ ン には、コ ン テ ン ツ の リ ラ イ ト が イ ネーブルにな っ てい る か、ま たはオ フ に切 り 替わ っ てい る すべての ア プ リ ケーシ ョ ン が一覧表示 さ れ ま す。 ク ラ イ ア ン ト レ ス SSL VPN では、コ ン テ ン ツ変換お よ び リ ラ イ ト エ ン ジ ン に よ っ て、JavaScript、 VBScript、Java、マルチバ イ ト 文字な ど の高度な要素か ら プ ロ キ シ HTTP への ト ラ フ ィ ッ ク ま で を含む、ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク を処理 し ま す。こ の よ う な ト ラ フ ィ ッ ク では、ユーザが ア プ リ ケーシ ョ ン に ア ク セ ス す る のに SSL VPN デバ イ ス 内部か ら ア プ リ ケーシ ョ ン を使用 し てい る か、SSL VPN デバ イ ス に依存せずに使用 し てい る かに よ っ て、セマ ン テ ィ ッ ク やア ク セ ス コ ン ト ロ ールのルールが異な る 場合が あ り ま す。 デ フ ォ ル ト では、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス はすべての ク ラ イ ア ン ト レ ス ト ラ フ ィ ッ ク を リ ラ イ ト 、ま たは変換 し ま す。一部の ア プ リ ケーシ ョ ン(公開 Web サ イ ト な ど )や Web リ ソ ー ス に よ っ ては、ASAを通過 し ない設定が求め ら れ る 場合が あ り ま す。こ のため、ASAでは、特定のサ イ ト やア プ リ ケーシ ョ ン をASAを通過せずにブ ラ ウ ズ で き る リ ラ イ ト 規則を作成で き ま す。こ れ は、VPN 接続におけ る ス プ リ ッ ト ト ン ネ リ ン に似てい ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-20 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン コ ンテンツ リ ラ イ ト 注 こ れ ら の機能強化は、ASA 9.0 の Content Rewriter に行われ ま し た。 • コ ン テ ン ツ リ ラ イ ト は、HTML5 に対す る サポー ト を追加 し ま し た。 • ク ラ イ ア ン ト レ ス SSL VPN リ ラ イ タ エ ン ジ ン の品質 と 有効性が大 き く 向上 し ま し た。その 結果、ク ラ イ ア ン ト レ ス SSL VPN ユーザのエ ン ド ユーザ エ ク ス ペ リ エ ン ス も 向上が期待で き ま す。 リ ラ イ ト ルールの作成 リ ラ イ ト ルールは複数作成で き ま す。セ キ ュ リ テ ィ ア プ ラ イ ア ン ス は リ ラ イ ト ルール を順序番 号に従っ て検索す る ため、ルールの番号は重要です。こ の と き 、最下位の番号か ら 順に検索 し て 行 き 、最初に一致 し たルールが適用 さ れ ま す。 [Content Rewrite] テーブルには、次の カ ラ ム が あ り ま す。 • [Rule Number]: リ ス ト 内でのルールの位置 を示す整数 を表示 し ま す。 • [Rule Name]:ルールが適用 さ れ る ア プ リ ケーシ ョ ン の名前を付け ま す。 • [Rewrite Enabled]: コ ン テ ン ツ の リ ラ イ ト を イ ネーブルかオ フ で表示 し ま す。 • [Resource Mask]: リ ソ ー ス マ ス ク を入力 し ま す。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Content Rewrite] の順に進み ま す。 ステ ッ プ 2 [Add] ま たは [Edit] を ク リ ッ ク し て、コ ン テ ン ツ リ ラ イ ト ルール を作成 ま たは更新 し ま す。 ステ ッ プ 3 こ のルール を イ ネーブルにす る には、[Enable content rewrite] を オ ン に し ま す。 ステ ッ プ 4 こ のルールの番号を入力 し ます。こ の番号は、リ ス ト の他のルールに相対的に、そのルールの優先順 位を示 し ます。番号がないルールは リ ス ト の最後に配置 さ れます。有効な範囲は 1 ~ 65534 です。 ステ ッ プ 5 (任意)ルールについて説明す る 英数字を指定 し ま す。最大 128 文字です。 ステ ッ プ 6 ルール を適用す る ア プ リ ケーシ ョ ンや リ ソ ー ス に対応す る 文字列を入力 し ま す。文字列の長 さ は最大で 300 文字です。次のいずれかの ワ イ ル ド カー ド を使用で き ま すが、少な く と も 1 つの英 数字を指定す る 必要が あ り ま す。 • *:すべてに一致 し ま す。ASDM では、* ま たは *.* で構成 さ れ る マ ス ク は受け付け ま せん。 • ?:単一文字 と 一致 し ま す。 • [!seq]:シーケ ン ス にない任意の文字 と 一致 し ま す。 • [seq]:シーケ ン ス に あ る 任意の文字 と 一致 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-21 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン ク ラ イ ア ン ト レ ス SSL VPN を介 し た電子 メ ールの使用 コ ン テ ン ツ リ ラ イ ト ルールの設定例 表 12-2 コ ン テ ン ツ リ ラ イ ト ルール 機能 コ ンテンツ のリ ラ イ ト を イ ネーブ ルにする ルール番号 Rule Name リ ソース マス ク youtube.com での HTTP URL の オ フ リ ラ イ タ を オ フ に切 り 替え る 1 no-rewrite-youtube *.youtube.com/* 上記のルールに一致 し ないす Check べての HTTP URL の リ ラ イ タ を イ ネーブルにす る 65,535 rewrite-all * ク ラ イ ア ン ト レ ス SSL VPN を介 し た電子 メ ールの使用 Web 電子 メ ールの設定:MS Outlook Web App ASA は、Microsoft Outlook Web App to Exchange Server 2010 お よ び Microsoft Outlook Web Access to Exchange Server 2007、2003、お よ び 2000 を サポー ト し てい ま す。 ステ ッ プ 1 ア ド レ ス フ ィ ール ド に電子 メ ール サービ ス の URL を入力す る か、ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン での関連す る ブ ッ ク マー ク を ク リ ッ ク す る 。 ステ ッ プ 2 プ ロ ン プ ト が表示 さ れた ら 、電子 メ ール サーバのユーザ名を domain\username 形式で入力す る 。 ステ ッ プ 3 電子 メ ール パ ス ワ ー ド を入力 し ま す。 ブ ッ ク マー クの設定 [Bookmarks] パネルでは、ブ ッ ク マー ク リ ス ト を追加、編集、削除、イ ン ポー ト 、お よ びエ ク ス ポー ト で き ま す。 [Bookmarks] パネル を使用 し て、ク ラ イ ア ン ト レ ス SSL VPN で ア ク セ ス す る ための、サーバお よ び URL の リ ス ト を設定 し ま す。ブ ッ ク マー ク リ ス ト の コ ン フ ィ ギ ュ レ ーシ ョ ン に続いて、その リ ス ト を 1 つ以上のポ リ シー(グループ ポ リ シー、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー、ま たはその 両方)に割 り 当て る こ と がで き ま す。各ポ リ シーのブ ッ ク マー ク リ ス ト は 1 つのみです。リ ス ト 名は、各 DAP の [URL Lists] タ ブの ド ロ ッ プダ ウ ン リ ス ト に表示 さ れ ま す。 一部の Web ページでの自動サ イ ンオンに、マ ク ロ置換を含むブ ッ ク マー ク を使用で き る よ う にな り ま し た。以前の POST プ ラ グ イ ン アプ ローチは、管理者がサ イ ンオン マ ク ロ を含む POST ブ ッ ク マー ク を指定し、POST 要求のポ ス ト の前に ロー ド する キ ッ ク オフ ページ を受信で き る よ う にする ため に作成 さ れま し た。こ の POST プ ラ グ イ ン アプ ローチでは、ク ッ キーま たはその他のヘ ッ ダー項目の 存在を必要 と する要求は排除 さ れま し た。現在は、管理者は事前ロー ド ページおよび URL を決定し、 こ れに よ っ てポ ス ト ロ グ イ ン要求の送信場所が指定 さ れます。事前ロー ド ページに よ っ て、エン ド ポ イ ン ト ブ ラ ウ ザは、ク レデン シ ャ ルを含む POST 要求を使用する のではな く 、Web サーバま たは Web アプ リ ケーシ ョ ンに送信 さ れる特定の情報を取得で き ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-22 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ブ ッ ク マー ク の設定 既存のブ ッ ク マー ク リ ス ト が表示 さ れ ま す。ブ ッ ク マー ク リ ス ト を追加、編集、削除、イ ン ポー ト 、ま たはエ ク ス ポー ト で き ま す。ア ク セ ス 用のサーバお よ び URL の リ ス ト を設定 し 、指定 し た URL リ ス ト 内の項目を配列す る こ と がで き ま す。 は じ める前に ブ ッ ク マー ク を設定す る こ と では、ユーザが不正なサ イ ト や会社の ア ク セプ タ ブル ユー ス ポ リ シーに違反す る サ イ ト に ア ク セ ス す る こ と を防 ぐ こ と はで き ま せん。ブ ッ ク マー ク リ ス ト を グ ループ ポ リ シー、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー、ま たはその両方に割 り 当て る 以外に、Web ACL を こ れ ら のポ リ シーに割 り 当て て、ト ラ フ ィ ッ ク フ ロ ーへの ア ク セ ス を制御 し ま す。こ れ ら のポ リ シー上の URL エ ン ト リ を オ フ に切 り 替え て、ユーザが ア ク セ ス で き る ページについて 混乱 し ない よ う に し ま す。 ステ ッ プ 1 追加す る リ ス ト の名前を指定す る か、修正 ま たは削除す る リ ス ト の名前を選択 し ま す。 ブ ッ ク マー ク の タ イ ト ルお よ び実際の関連付け ら れた URL が表示 さ れ ま す。 ステ ッ プ 2 (任意)[Add] を ク リ ッ ク し て、新 し いサーバ ま たは URL を設定 し ま す。次のいずれか を追加で き ま す。 • GET ま たは Post メ ソ ッ ド に よ る URL のブ ッ ク マー ク の追加 • 定義済みア プ リ ケーシ ョ ン テ ン プ レ ー ト に対す る URL の追加 • 自動サ イ ン オ ン ア プ リ ケーシ ョ ンへのブ ッ ク マー ク の追加 ステ ッ プ 3 (任意)[Edit] を ク リ ッ ク し て、サーバ、URL、ま たは表示名を変更 し ま す。 ステ ッ プ 4 (任意)[Delete] を ク リ ッ ク し て、選択 し た項目を URL リ ス ト か ら 削除 し ま す。確認の画面は表示 さ れず、や り 直 し も で き ま せん。 ステ ッ プ 5 (任意)フ ァ イ ルの イ ン ポー ト 元 ま たはエ ク ス ポー ト 元の場所を選択 し ま す。 • [Local computer]: ロ ーカル PC に常駐す る フ ァ イ ル を イ ン ポー ト ま たはエ ク ス ポー ト す る 場 合に ク リ ッ ク し ま す。 • [Flash file system]:ASAに常駐す る フ ァ イ ル を イ ン ポー ト ま たはエ ク ス ポー ト す る 場合に ク リ ッ ク し ま す。 • [Remote server]:ASAか ら ア ク セ ス 可能な リ モー ト サーバに常駐す る フ ァ イ ル を イ ン ポー ト す る 場合に ク リ ッ ク し ま す。 • [Path]:フ ァ イ ルへの ア ク セ ス 方式(ftp、http、ま たは https)を指定 し 、フ ァ イ ルへのパ ス を入力 し ま す。 • [Browse Local Files/Browse Flash...]:フ ァ イ ルのパ ス を参照 し ま す。 ステ ッ プ 6 (任意)ブ ッ ク マー ク を強調表示 し 、[Assign] を ク リ ッ ク し て、選択 し たブ ッ ク マー ク を 1 つ以上 の グループ ポ リ シー、ダ イ ナ ミ ッ ク ア ク セ ス ポ リ シー、ま たは LOCAL ユーザに割 り 当て ま す。 ステ ッ プ 7 (任意)[Move Up] ま たは [Move Down] オプ シ ョ ン を使用 し て、選択 し た項目の位置を URL リ ス ト 内で変更 し ま す。 ステ ッ プ 8 [OK] を ク リ ッ ク し ま す。 次の作業 ク ラ イ ア ン ト レ ス SSL VPN セ キ ュ リ テ ィ 対策について確認 し て く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-23 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン ブ ッ ク マー ク の設定 GET または Post メ ソ ッ ド によ る URL のブ ッ ク マー クの追加 [Add Bookmark Entry] ダ イ ア ロ グ ボ ッ ク ス では、URL リ ス ト の リ ン ク ま たはブ ッ ク マー ク を作成 で き ま す。 は じ める前に ネ ッ ト ワ ー ク の共有 フ ォ ルダ に ア ク セ ス す る には、\\server\share\subfolder\<personal folder> 形 式 を 使用 し ま す。<personal folder> の上のすべて のポ イ ン ト に対す る リ ス ト 権限がユーザに必 要です。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] の 順に進み、[Add] ボ タ ン を ク リ ッ ク し ま す。 ステ ッ プ 2 [URL with GET or POST Method] を選択 し て、ブ ッ ク マー ク の作成に使用 し ま す。 ステ ッ プ 3 ポー タ ルに表示 さ れ る こ のブ ッ ク マー ク の名前を入力 し ま す。 ステ ッ プ 4 [URL] ド ロ ッ プダ ウ ン メ ニ ュ ーを使用 し て、URL タ イ プ(http、https、cifs、ま たは ftp)を選択 し ま す。[URL] ド ロ ッ プダ ウ ン は、標準の URL タ イ プ、イ ン ス ト ール し たすべてのプ ラ グ イ ン の タ イ プ を示 し ま す。 ステ ッ プ 5 こ のブ ッ ク マー ク (URL)の DNS 名 ま たは IP ア ド レ ス を入力 し ま す。プ ラ グ イ ン の場合は、サー バの名前を入力 し ま す。サーバ名の後に ス ラ ッ シ ュ と 疑問符(/?)を入力す る と 、オプシ ョ ン のパ ラ メ ー タ を指定で き ま す。それに続いて ア ン パサ ン ド を使用す る と 、次の構文に示す よ う に、パ ラ メ ー タ /値ペア を分け ら れ ま す。 server/?Parameter=Value&Parameter=Value 次に例を示 し ま す。 host/?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 プ ラ グ イ ン に よ っ て、入力で き る オプシ ョ ン のパ ラ メ ー タ /値ペア が決 ま り ま す。 プ ラ グ イ ン に対 し て、シ ン グル サ イ ン オ ン サポー ト を提供す る には、パ ラ メ ー タ /値ペア csco_sso=1 を使用 し ま す。次に例を示 し ま す。 host/?csco_sso=1&DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 ステ ッ プ 6 (任意)事前 ロ ー ド URL を入力 し ます。事前 ロ ー ド URL を入力す る と き に、待機時間 も 入力で き ま す。待機時間は、実際の POST URL に転送 さ れ る ま でに、ページの ロ ー ド に使用で き る 時間です。 ステ ッ プ 7 サブ タ イ ト ル と し て、ユーザに表示す る ブ ッ ク マー ク エ ン ト リ についての説明テ キ ス ト を入力 し ま す。 ステ ッ プ 8 [Thumbnail] ド ロ ッ プダ ウ ン メ ニ ュ ーを使用 し て、エ ン ド ユーザ ポー タ ル上のブ ッ ク マー ク に関 連付け る ア イ コ ン を選択 し ま す。 ステ ッ プ 9 [Manage] を ク リ ッ ク し て、サ ム ネール と し て使用す る イ メ ージ を イ ン ポー ト ま たはエ ク ス ポー ト し ま す。 ス テ ッ プ 10 ク リ ッ ク し てブ ッ ク マー ク を新 し い ウ ィ ン ド ウ で開 き ます。こ の ウ ィ ン ド ウ では、ス マー ト ト ン ネル機能を使用 し 、ASA を経由 し て宛先サーバ と のデー タ の送受信を行い ま す。すべてのブ ラ ウ ザ ト ラ フ ィ ッ ク は、SSL VPN ト ン ネルで安全に送受信 さ れ ま す。こ のオプシ ョ ン では、ブ ラ ウ ザ ベー ス のアプ リ ケーシ ョ ン に ス マー ト ト ン ネルのサポー ト を提供 し ま す。一方で、[Smart Tunnels] ([Clientless SSL VPN] > [Portal] メ ニ ュ ーに も あ り )では、非ブ ラ ウ ザベー ス のアプ リ ケーシ ョ ン も ス マー ト ト ン ネル リ ス ト に追加 し 、それ を グループ ポ リ シー と ユーザ名に割 り 当て ら れ ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-24 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ブ ッ ク マー ク の設定 ス テ ッ プ 11 [Allow the Users to Bookmark the Link] を オ ン に し て、ク ラ イ ア ン ト レ ス SSL VPN ユーザが、ブ ラ ウ ザの [Bookmarks] ま たは [Favorites] オプ シ ョ ン を 使用で き る よ う に し ま す。選択 を 解除す る と 、こ れ ら のオプ シ ョ ン を 使用で き ま せん。こ のオプ シ ョ ン を オ フ にす る と 、ク ラ イ ア ン ト レ ス SSL VPN ポー タ ルの [Home] セ ク シ ョ ン にブ ッ ク マー ク は表示 さ れ ま せん。 ス テ ッ プ 12 (任意)[Advanced Options] を選択 し て、ブ ッ ク マー ク の特徴の詳細を設定 し ま す。 • [URL Method]:単純なデー タ 取得の場合には [Get] を選択 し ま す。デー タ の保存 ま たは更新、 製品の注文、電子 メ ールの送信な ど 、デー タ を処理す る こ と に よ っ てデー タ に変更が加え ら れ る 可能性が あ る 場合には、[Post] を選択 し ま す。 • [Post Parameters]:Post URL 方式の詳細を設定 し ま す。 定義済みア プ リ ケーシ ョ ン テ ン プ レー ト に対する URL の追加 こ のオプ シ ョ ン は、事前に定義 さ れた ASDM テ ン プ レ ー ト を選択 し てい る ユーザのブ ッ ク マー ク の作成を簡略化 し ま す。ASDM テ ン プ レ ー ト には、特定の明確に定義 さ れた ア プ リ ケーシ ョ ン に対す る 事前に入力 さ れた必要な値が含 ま れ ま す。 は じ める前に 定義済みア プ リ ケーシ ョ ン のテ ン プ レ ー ト は、次の ア プ リ ケーシ ョ ン で現在使用で き ま す。 • Citrix XenApp • Citrix XenDesktop • Domino WebAccess • Microsoft Outlook Web Access 2010 • Microsoft Sharepoint 2007 • Microsoft SharePoint 2010 ステ ッ プ 1 ユーザに対 し て表示す る ブ ッ ク マー ク の名前を入力 し ま す。 ステ ッ プ 2 サブ タ イ ト ル と し て、ユーザに表示す る ブ ッ ク マー ク エ ン ト リ についての説明テ キ ス ト を入力 し ま す。 ステ ッ プ 3 [Thumbnail] ド ロ ッ プダ ウ ン メ ニ ュ ーを使用 し て、エ ン ド ユーザ ポー タ ル上のブ ッ ク マー ク に関 連付け る ア イ コ ン を選択 し ま す。 ステ ッ プ 4 [Manage] を ク リ ッ ク し て、サ ム ネール と し て使用す る イ メ ージ を イ ン ポー ト ま たはエ ク ス ポー ト し ま す。 ステ ッ プ 5 (任意)[Place This Bookmark on the VPN Home Page] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 ステ ッ プ 6 [Select Auto Sign-on Application] リ ス ト で、必要な ア プ リ ケーシ ョ ン を ク リ ッ ク し ま す。使用可能 な ア プ リ ケーシ ョ ン は次の と お り です。 • Citrix XenApp • Citrix XenDesktop • Domino WebAccess • Microsoft Outlook Web Access 2010 • Microsoft Sharepoint 2007 • Microsoft SharePoint 2010 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-25 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン ブ ッ ク マー ク の設定 ステ ッ プ 7 ロ グ イ ン ページの前に ロ ー ド さ れたページの URL を入力 し ま す。こ のページには、ロ グ イ ン画 面に進むためのユーザ イ ン タ ラ ク シ ョ ン が必要にな り ま す。URL には、任意の記号の番号を置 き 換え る * を入力で き ま す(た と えば、http*://www.example.com/test)。 ステ ッ プ 8 [Pre-login Page Control ID] を入力 し ま す。こ れは、ロ グ イ ン ページに進む前に事前 ロ グ イ ン ペー ジの URL で ク リ ッ ク イ ベン ト を取得す る 制御/ タ グ の ID です。 ステ ッ プ 9 [Application Parameters] を入力 し ま す。ア プ リ ケーシ ョ ン に応 じ て、次の内容が含 ま れ る 可能性 が あ り ま す。 • [Protocol]:HTTP ま たは HTTPS。 • [hostname]:た と えば、www.cisco.com な ど です。 • [Port Number]:ア プ リ ケーシ ョ ン で使用 さ れ る ポー ト 。 • [URL Path Appendix]:た と えば、/Citrix/XenApp な ど です。通常 こ れは、自動入力 さ れ ま す。 • [Domain]:接続す る ド メ イ ン。 • [User Name]:ユーザ名 と し て使用す る SSL VPN 変数。[Select Variable] を ク リ ッ ク し て、異な る 変数を選択 し ま す。 • [Password]:パ ス ワ ー ド と し て使用す る SSL VPN 変数。[Select Variable] を ク リ ッ ク し て、異な る 変数を選択 し ま す。 ス テ ッ プ 10 (任意)[Preview] を ク リ ッ ク し て、テ ン プ レ ー ト の出力 を表示 し ま す。[Edit] を ク リ ッ ク し て、テ ン プ レ ー ト を変更で き ま す。 ス テ ッ プ 11 [OK] を ク リ ッ ク し て、変更を行い ま す。ま たは、[Cancel] を ク リ ッ ク し て変更を破棄 し ま す。 自動サイ ンオン アプ リ ケーシ ョ ンへのブ ッ ク マー クの追加 こ のオプ シ ョ ン では、複雑な自動サ イ ン オ ン ア プ リ ケーシ ョ ン のブ ッ ク マー ク を作成で き ま す。 自動サ イ ン オ ン ア プ リ ケーシ ョ ン の設定には、2 つの手順が必要にな り ま す。 1. 基本的な初期デー タ が あ り 、POST パ ラ メ ー タ がないブ ッ ク マー ク を定義 し ま す。ブ ッ ク マー ク を保存お よ び割 り 当て て、グループ ま たはユーザ ポ リ シーで使用 し ま す。 2. ブ ッ ク マー ク を再度編集 し ま す。特定の キ ャ プチ ャ 機能を使用 し て、SSL VPN パ ラ メ ー タ を キ ャ プチ ャ し 、ブ ッ ク マー ク で編集 し ま す。 ステ ッ プ 1 ユーザに対 し て表示す る ブ ッ ク マー ク の名前を入力 し ま す。 ステ ッ プ 2 [URL] ド ロ ッ プダ ウ ン メ ニ ュ ーを使用 し て、URL タ イ プ(http、https、cifs、ま たは ftp)を選択 し ま す。イ ン ポー ト さ れたすべてのプ ラ グ イ ン の URL タ イ プが、こ の メ ニ ュ ーに表示 さ れ ま す。ポー タ ル ページに リ ン ク と し てプ ラ グ イ ン を表示す る には、プ ラ グ イ ン の URL タ イ プ を選択 し ま す。 ステ ッ プ 3 ブ ッ ク マー ク の DNS 名 ま たは IP ア ド レ ス を入力 し ま す。プ ラ グ イ ン の場合は、サーバの名前を 入力 し ま す。サーバ名の後に ス ラ ッ シ ュ と 疑問符(/?)を入力す る と 、オプシ ョ ン のパ ラ メ ー タ を 指定で き ま す。それに続いて ア ン パサ ン ド を使用す る と 、次の構文に示す よ う に、パ ラ メ ー タ /値 ペア を分け ら れ ま す。 server/?Parameter=Value&Parameter=Value 次に例を示 し ま す。 host/?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 プ ラ グ イ ン に よ っ て、入力で き る オプシ ョ ン のパ ラ メ ー タ /値ペア が決 ま り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-26 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ブ ッ ク マー ク の設定 プ ラ グ イ ン に対 し て、シ ン グル サ イ ン オ ン サポー ト を提供す る には、パ ラ メ ー タ /値ペア csco_sso=1 を使用 し ま す。次に例を示 し ま す。 host/?csco_sso=1&DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 ステ ッ プ 4 サブ タ イ ト ル と し て、ユーザに表示す る ブ ッ ク マー ク エ ン ト リ についての説明テ キ ス ト を入力 し ま す。 ステ ッ プ 5 [Thumbnail] ド ロ ッ プダ ウ ン メ ニ ュ ーを使用 し て、エ ン ド ユーザ ポー タ ル上のブ ッ ク マー ク に関 連付け る ア イ コ ン を選択 し ま す。 ステ ッ プ 6 [Manage] を ク リ ッ ク し て、サ ム ネール と し て使用す る イ メ ージ を イ ン ポー ト ま たはエ ク ス ポー ト し ま す。 ステ ッ プ 7 (任意)[Place This Bookmark on the VPN Home Page] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 ステ ッ プ 8 [Login Page URL] を入力 し ま す。入力す る URL には、ワ イ ル ド カー ド を使用で き ま す。た と えば、 http*://www.example.com/myurl* と 入力 し ま す。 ステ ッ プ 9 [Landing Page URL] を入力 し ま す。ASA では、ア プ リ ケーシ ョ ンへの正常な ロ グ イ ン を検出す る ために、ラ ンデ ィ ン グ ページ を設定す る 必要が あ り ま す。 ス テ ッ プ 10 (任意)[Post Script] を入力 し ま す。Microsoft Outlook Web Access な ど の一部の Web ア プ リ ケー シ ョ ン は、JavaScript を実行 し て、ロ グ イ ン フ ォ ーム を送信す る 前に、要求パ ラ メ ー タ を変更す る 場合が あ り ま す。[Post Script] フ ィ ール ド では、こ の よ う な ア プ リ ケーシ ョ ン の JavaScript を入力 で き ま す。 ス テ ッ プ 11 必要な [Form Parameters] を追加 し ま す。必要な SSL VPN 変数ご と に、[Add] を ク リ ッ ク し て、 [Name] を入力 し て、リ ス ト か ら 変数を選択 し ま す。[Edit] を ク リ ッ ク し てパ ラ メ ー タ を変更 し 、 [Delete] を ク リ ッ ク し て削除す る こ と がで き ま す。 ス テ ッ プ 12 ロ グ イ ン ページの前に ロ ー ド さ れたページの URL を入力 し ま す。こ のページには、ロ グ イ ン画 面に進むためのユーザ イ ン タ ラ ク シ ョ ン が必要にな り ま す。URL には、任意の記号の番号を置 き 換え る * を入力で き ま す(た と えば、http*://www.example.com/test)。 ス テ ッ プ 13 [Pre-login Page Control ID] を入力 し ま す。こ れは、ロ グ イ ン ページに進む前に事前 ロ グ イ ン ペー ジの URL で ク リ ッ ク イ ベン ト を取得す る 制御/ タ グ の ID です。 ス テ ッ プ 14 [OK] を ク リ ッ ク し て、変更を行い ま す。ま たは、[Cancel] を ク リ ッ ク し て変更を破棄 し ま す。 次の作業 ブ ッ ク マー ク を編集す る 場合、HTML Parameter Capture 機能を使用 し て、VPN 自動サ イ ン オ ン パ ラ メ ー タ を キ ャ プチ ャ で き ま す。ブ ッ ク マー ク は保存 さ れ、グループ ポ リ シー ま たはユーザに ま ず割 り 当て ら れ る 必要が あ り ま す。 [SSL VPN Username] を入力 し て か ら 、[Start Capture] を ク リ ッ ク し ま す。次に、Web ブ ラ ウ ザ を使 用 し て、VPN セ ッ シ ョ ン を開始 し て、イ ン ト ラ ネ ッ ト のページに進み ま す。プ ロ セ ス を完了す る には、[Stop Capture] を ク リ ッ ク し ま す。パ ラ メ ー タ が編集で き る よ う にな り 、ブ ッ ク マー ク に挿 入 さ れ ま す。 ブ ッ ク マー ク リ ス ト のイ ンポー ト およびエ ク スポー ト すでに設定済みのブ ッ ク マー ク リ ス ト は、イ ン ポー ト ま たはエ ク ス ポー ト で き ま す。使用準備が で き てい る リ ス ト を イ ン ポー ト し ま す。リ ス ト を エ ク ス ポー ト し て修正 ま たは編集 し て か ら 、再 イ ン ポー ト す る こ と も で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-27 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン ブ ッ ク マー ク の設定 ステ ッ プ 1 ブ ッ ク マー ク リ ス ト を名前で指定 し ま す。最大 64 文字で、ス ペー ス は使用で き ま せん。 ステ ッ プ 2 リ ス ト フ ァ イ ル を イ ン ポー ト す る 、ま たはエ ク ス ポー ト す る ための方法を選択 し ま す。 • [Local computer]: ロ ーカル PC に常駐す る フ ァ イ ル を イ ン ポー ト す る 場合に選択 し ま す。 • [Flash file system]:ASAに常駐す る フ ァ イ ル を エ ク ス ポー ト す る 場合に選択 し ま す。 • [Remote server]:ASAか ら ア ク セ ス 可能な リ モー ト サーバに常駐す る URL リ ス ト フ ァ イ ル を イ ン ポー ト す る 場合に ク リ ッ ク し ま す。 • [Path]:フ ァ イ ルへの ア ク セ ス 方式(ftp、http、ま たは https)を指定 し 、フ ァ イ ルへのパ ス を入力 し ま す。 • [Browse Local Files/Browse Flash]:フ ァ イ ルのパ ス を参照 し ま す。 • [Import/Export Now]: リ ス ト フ ァ イ ル を イ ン ポー ト ま たはエ ク ス ポー ト し ま す。 GUI カ ス タ マ イ ズ オ ブ ジ ェ ク ト (Web コ ン テ ン ツ)の イ ン ポー ト と エ ク スポー ト こ のダ イ ア ロ グ ボ ッ ク ス では、Web コ ン テ ン ツ オブジ ェ ク ト を イ ン ポー ト お よ びエ ク ス ポー ト で き ま す。Web コ ン テ ン ツ オブジ ェ ク ト の名前 と フ ァ イ ル タ イ プが表示 さ れ ま す。 Web コ ン テ ン ツ には、全体的に設定 さ れた ホー ム ページ か ら 、エ ン ド ユーザ ポー タ ル を カ ス タ マ イ ズす る と き に使用す る ア イ コ ン や イ メ ージ ま で、さ ま ざ ま な種類が あ り ま す。設定済みの Web コ ン テ ン ツ は、イ ン ポー ト ま たはエ ク ス ポー ト で き ま す。使用準備がで き て い る Web コ ン テ ン ツ を イ ン ポー ト し ま す。Web コ ン テ ン ツ を エ ク ス ポー ト し て修正 ま たは編集 し て か ら 、再 イ ン ポー ト す る こ と も で き ま す。 ステ ッ プ 1 ステ ッ プ 2 フ ァ イ ルの イ ン ポー ト 元 ま たはエ ク ス ポー ト 元の場所を選択 し ま す。 • [Local computer]: ロ ーカル PC に常駐す る フ ァ イ ル を イ ン ポー ト ま たはエ ク ス ポー ト す る 場 合に ク リ ッ ク し ま す。 • [Flash file system]:ASAに常駐す る フ ァ イ ル を イ ン ポー ト ま たはエ ク ス ポー ト す る 場合に ク リ ッ ク し ま す。 • [Remote server]:ASAか ら ア ク セ ス 可能な リ モー ト サーバに常駐す る フ ァ イ ル を イ ン ポー ト す る 場合に ク リ ッ ク し ま す。 • [Path]:フ ァ イ ルへの ア ク セ ス 方式(ftp、http、ま たは https)を指定 し 、フ ァ イ ルへのパ ス を入力 し ま す。 • [Browse Local Files.../Browse Flash...]:フ ァ イ ルのパ ス を参照 し ま す。 コ ン テ ン ツへの ア ク セ ス に認証が必要か ど う か を決定 し ま す。 パス のプ レ フ ィ ッ ク ス は、認証を要求する か ど う かに応 じ て異な り ます。ASAは、認証が必要なオブ ジ ェ ク ト の場合には /+CSCOE+/ を使用 し 、認証が不要なオブジ ェ ク ト の場合には /+CSCOU+/ を使 用 し ます。ASAはポー タ ル ページにだけ /+CSCOE+/ オブジ ェ ク ト を表示す る のに対 し 、/+CSCOU+/ オブジ ェ ク ト は、ロ グ イ ン ページ ま たはポータ ル ページのど ち ら かで表示ま たは使用可能です。 ステ ッ プ 3 ク リ ッ ク し て、フ ァ イ ル を イ ン ポー ト ま たはエ ク ス ポー ト し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-28 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ブ ッ ク マー ク の設定 ポス ト パラ メ ー タ の追加 と 編集 こ のペ イ ン では、ブ ッ ク マー ク エ ン ト リ と URL リ ス ト のポ ス ト パ ラ メ ー タ を設定 し ま す。 ク ラ イ ア ン ト レ ス SSL VPN 変数に よ り 、URL お よ び フ ォ ー ム ベー ス の HTTP post 操作で置換 が実行で き ま す。こ れ ら の変数はマ ク ロ と も 呼ばれ、ユーザ ID と パ ス ワ ー ド 、ま たはその他の 入力パ ラ メ ー タ を 含む、パー ソ ナル リ ソ ー ス へのユーザ ア ク セ ス を 設定で き ま す。こ の よ う な リ ソ ー ス の例には、ブ ッ ク マー ク エ ン ト リ 、URL リ ス ト 、お よ び フ ァ イ ル共有な ど が あ り ま す。 パ ラ メ ー タ の名前 と 値を、対応す る HTML フ ォ ーム の と お り に指定 し ま す。た と えば、 ステ ッ プ 1 <input name="param_name" value="param_value"> です。 提供 さ れてい る 変数のいずれか を ド ロ ッ プダ ウ ン リ ス ト か ら 選択で き ま す。ま た、変数を作成で き ま す。ド ロ ッ プダ ウ ン リ ス ト か ら は、次の変数を選択 し ま す。 表 12-3 ク ラ イ ア ン ト レ ス SSL VPN の変数 いいえ。 変数置換 定義 1 CSCO_WEBVPN_USERNAME SSL VPN ユーザ ロ グ イ ン ID。 2 CSCO_WEBVPN_PASSWORD SSL VPN ユーザ ロ グ イ ン パ ス ワ ー ド 。 3 CSCO_WEBVPN_INTERNAL_PASSWORD SSL VPN ユーザ内部 リ ソ ー ス パ ス ワ ー ド 。キ ャ ッ シ ュ さ れた認定証で あ り 、AAA サーバに よ っ て認証 さ れて い ま せん。ユーザが こ の値 を 入力す る と 、パ ス ワ ー ド 値の代わ り に、こ れが自動サ イ ン オ ン のパ ス ワ ー ド と し て使用 さ れ ま す。 4 CSCO_WEBVPN_CONNECTION_PROFILE SSL VPN ユーザ ロ グ イ ン グループ ド ロ ッ プダ ウ ン、接続 プ ロ フ ァ イ ル内の グループ エ イ リ ア ス 5 CSCO_WEBVPN_MACRO1 RADIUS/LDAP ベン ダー固有属性に よ っ て設定。 ldap-attribute-map を経由 し て LDAP か ら こ れ を マ ッ ピ ン グ す る 場合は、こ の変数を使用す る シ ス コ の属性は WEBVPN-Macro-Substitution-Value1 にな り ま す。 RADIUS 経由での変数置換は、VSA#223 に よ っ て行われ ま す。 6 CSCO_WEBVPN_MACRO2 RADIUS/LDAP ベ ン ダー固有属性に よ っ て設定。 ldap-attribute-map を 経由 し て LDAP か ら こ れ を マ ッ ピ ン グす る 場合は、こ の変数 を 使用す る シ ス コ の属性は WEBVPN-Macro-Substitution-Value2 に な り ま す。 RADIUS 経由での変数置換は、VSA#224 に よ っ て行われ ま す。 7 CSCO_WEBVPN_PRIMARY_USERNAME 二重認証用のプ ラ イ マ リ ユーザの ロ グ イ ン ID 8 CSCO_WEBVPN_PRIMARY_PASSWORD 二重認証用のプ ラ イ マ リ ユーザの ロ グ イ ン パ ス ワ ー ド 9 CSCO_WEBVPN_SECONDARY_USERNAME 二重認証用のセ カ ン ダ リ ユーザの ロ グ イ ン ID 10 CSCO_WEBVPN_SECONDARY_PASSWORD 二重認証用のセ カ ン ダ リ ユーザの ロ グ イ ン ID ASAが、こ れ ら 6 つの変数文字列のいずれか を エ ン ド ユーザ要求(ブ ッ ク マー ク ま たはポ ス ト フ ォ ーム)で認識す る と 、リ モー ト サーバに要求を渡す前に、ユーザ固有の値で変数を置換 し ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-29 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン ブ ッ ク マー ク の設定 注 ステ ッ プ 2 プ レ ーン テ キ ス ト で(セ キ ュ リ テ ィ ア プ ラ イ ア ン ス を使用せずに)HTTP Sniffer ト レ ー ス を実行 す る と 、任意の ア プ リ ケーシ ョ ン の http-post パ ラ メ ー タ を取得で き ま す。次の リ ン ク か ら 、無料 のブ ラ ウ ザ キ ャ プチ ャ ツールで あ る HTTP アナ ラ イ ザ を入手で き ま す。 http://www.ieinspector.com/httpanalyzer/downloadV2/IEHttpAnalyzerV2.exe 該当す る 変数を選択す る には、次の注意事項に従っ て く だ さ い。 • 変数 1 ~ 4 を使用す る 。ASA は、[SSL VPN Login] ページか ら 最初の 4 つの置 き 換えの値を 取得 し ま す。それには、ユーザ名、パ ス ワ ー ド 、内部パ ス ワ ー ド (オプシ ョ ン)、お よ びグループ の フ ィ ール ド が含 ま れ ま す。ユーザ要求内の こ れ ら の ス ト リ ン グ を認識 し 、こ の ス ト リ ン グ を ユーザ固有の値で置 き 換え て か ら 、リ モー ト サーバに要求を渡 し ま す。 た と えば、URL リ ス ト に http://someserver/homepage/CSCO_WEBVPN_USERNAME.html と い う リ ン ク が含 まれてい る と 、ASAは こ の リ ン ク を次の一意の リ ン ク に変換 し ます。 USER1 の場合、リ ン ク は http://someserver/homepage/USER1.html にな り ます。 USER2 の場合、リ ン ク は http://someserver/homepage/USER2.html にな り ます。 cifs://server/users/CSCO_WEBVPN_USERNAME の場合、ASA は、次の よ う に フ ァ イ ル ド ラ イ ブ を特定のユー ザにマ ッ プで き ます。 USER1 の場合、リ ン ク は cifs://server/users/USER1 にな り ます。 USER2 の場合、リ ン ク は cifs://server/users/USER2 にな り ます。 • 変数 5 と 6 を使用す る 。マ ク ロ 5 お よ び 6 の値は、RADIUS ま たは LDAP のベン ダー固有属 性(VSA)です。こ れ ら に よ り 、RADIUS ま たは LDAP サーバのいずれかで設定 し た代わ り の 設定を使用で き る よ う にな り ま す。 • 変数 7 ~ 10 を使用す る 。ASA が、こ れ ら 4 つの変数文字列のいずれか を エ ン ド ユーザ要求 (ブ ッ ク マー ク ま たはポ ス ト フ ォ ーム)で認識す る と 、リ モー ト サーバに要求を渡す前に、 ユーザ固有の値で変数を置換 し ま す。 次の例では、ホームページの URL を設定 し ます。 WebVPN-Macro-Value1 (ID=223), type string, は、wwwin-portal.example.com と し て返 さ れます。 WebVPN-Macro-Value2 (ID=224), type string, は 401k.com と し て返 さ れます。 ホームページの値を設定す る には、https://wwwin-portal.example.com に変換 さ れ る 変数置換を https://CSCO_WEBVPN_MACRO1 と し て設定 し ます。 • こ の場合の最善の方法は、ASDM で Homepage URL パ ラ メ ー タ を 設定す る こ と です。ス ク リ プ ト を 記述 し た り 何か を ア ッ プ ロ ー ド し な く て も 、管理者は グループ ポ リ シー内の ど の ページ が ス マー ト ト ン ネル経由で接続す る か を 指定で き ま す。ASDM の Network Client SSL VPN ま たは Clientless SSL VPN Access セ ク シ ョ ン か ら 、[Add/Edit Group Policy] ペ イ ン に移動 し ま す。パ ス は次の と お り です。 – [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit Group Policy] > [Advanced] > [SSL VPN Client] > [Customization] > [Homepage URL] 属性 – [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add/Edit Group Policy] > [More Options] > [Customization] > [Homepage URL] 属性 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-30 第 12 章 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レーシ ョ ン ブ ッ ク マー ク の設定 ステ ッ プ 3 ステ ッ プ 4 ブ ッ ク マー ク ま たは URL エ ン ト リ を設定 し ま す。SSL VPN 認証で RSA ワ ン タ イ ム パ ス ワ ー ド (OTP)を使用 し 、続いて OWA 電子 メ ール ア ク セ ス で ス タ テ ィ ッ ク な内部パ ス ワ ー ド を使用す る こ と に よ っ て、HTTP Post を使用 し て OWA リ ソ ー ス に ロ グ イ ン で き ま す。こ の場合の最善の方法 は、次のパ ス のいずれか を使用 し て ASDM でブ ッ ク マー ク エ ン ト リ を追加 ま たは編集す る こ と です。 • [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] > [Add/Edit Bookmark Lists] > [Add/Edit Bookmark Entry] > [Advanced Options] 領域 > [Add/Edit Post Parameters](URL Method 属性の [Post] を ク リ ッ ク す る と 表示 さ れ ま す) • [Network (Client) Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [URL Lists] タ ブ > [Manage] ボ タ ン > [Configured GUI Customization Objects] > [Add/Edit] ボ タ ン > [Add/Edit Bookmark List] > [Add/Edit Bookmark Entry] > [Advanced Options] 領域 > [Add/Edit Post Parameters] フ ァ イ ル共有(CIFS)URL 置換を設定す る こ と に よ っ て、よ り 柔軟な ブ ッ ク マー ク 設定を構成 し ま す。URL cifs://server/CSCO_WEBVPN_USERNAME を設定す る と 、ASA はそれ を ユーザの フ ァ イ ル共有ホーム デ ィ レ ク ト リ に自動的にマ ッ ピ ン グ し ま す。こ の方法では、パ ス ワ ー ド お よ び内 部パ ス ワ ー ド 置換 も 行え ま す。次に、URL 置換の例を示 し ま す。 cifs://CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server cifs://CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server/CSCO_WEBVPN_USERNAME cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server/CSCO_WEBVPN_USERNA ME 外部ポー ト のカ ス タ マ イズ 事前設定 さ れた ポー タ ル を使用す る 代わ り に、外部ポー タ ル機能を使用 し て独自のポー タ ル を 作成で き ま す。独自のポー タ ル を設定す る 場合、ク ラ イ ア ン ト レ ス ポー タ ル を バ イ パ ス し 、POST 要求を送信 し て ポー タ ル を取得で き ま す。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Customization] を選択 し ま す。必要な カ ス タ マ イ ゼーシ ョ ン を強調表示 し 、[Edit] を選択 し ま す。 ステ ッ プ 2 [Enable External Portal] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 ステ ッ プ 3 [URL] フ ィ ール ド に、POST 要求が許可 さ れ る よ う に、必要な外部ポー タ ル を入力 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-31 第 12 章 ブ ッ ク マー ク の設定 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 12-32 高度な ク ラ イ ア ン ト レ ス SSL VPN の コ ン フ ィ ギ ュ レ ーシ ョ ン CH A P T E R 13 ポ リ シー グループ • ス マー ト ト ン ネル ア ク セ ス (13-1 ページ) • ク ラ イ ア ン ト レ ス SSL VPN キ ャ プチ ャ ツール(13-12 ページ) • ポー タ ル ア ク セ ス ルールの設定(13-12 ページ) スマー ト ト ンネル ア ク セス 次の項では、ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン で ス マー ト ト ン ネル ア ク セ ス を イ ネーブル にす る 方法、それ ら の ア ク セ ス を提供す る ア プ リ ケーシ ョ ン の指定、お よ び使用上の注意につい て説明 し ま す。 ス マー ト ト ン ネル ア ク セ ス を設定す る には、ス マー ト ト ン ネル リ ス ト を作成 し ま す。こ の リ ス ト には、ス マー ト ト ン ネル ア ク セ ス に適 し た 1 つ以上のアプ リ ケーシ ョ ン、お よ び こ の リ ス ト に関 連付け ら れたエ ン ド ポ イ ン ト オペレ ーテ ィ ン グ シ ス テ ム を含め ます。各グループ ポ リ シー ま た は ロ ーカル ユーザ ポ リ シーでは 1 つの ス マー ト ト ン ネル リ ス ト がサポー ト さ れてい る ため、ブ ラ ウ ザベー ス ではないアプ リ ケーシ ョ ン を サポー ト 対象 と す る ために、グループ化 し て ス マー ト ト ン ネル リ ス ト に加え る 必要があ り ま す。リ ス ト を作成 し た ら 、1 つ以上のグループ ポ リ シー ま たは ロ ーカル ユーザ ポ リ シーにその リ ス ト を割 り 当て ま す。 次の項では、ス マー ト ト ン ネルお よ びその設定方法について説明 し ま す。 • ス マー ト ト ン ネルについて(13-2 ページ) • ス マー ト ト ン ネルの前提条件(13-2 ページ) • ス マー ト ト ン ネルのガ イ ド ラ イ ン(13-3 ページ) • ス マー ト ト ン ネルの設定(Lotus の例) • ト ン ネ リ ン グす る ア プ リ ケーシ ョ ン の設定の簡略化 • ス マー ト ト ン ネル リ ス ト について(13-8 ページ) • ス マー ト ト ン ネル自動サ イ ン オ ン サーバ リ ス ト の作成 • ス マー ト ト ン ネル自動サ イ ン オ ン サーバ リ ス ト へのサーバの追加 • ス マー ト ト ン ネル ア ク セ ス の イ ネーブル化 と オ フ への切 り 替え • ス マー ト ト ン ネルか ら の ロ グ オ フ の設定(13-11 ページ) Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-1 第 13 章 ポ リ シー グループ スマー ト ト ン ネル ア ク セス スマー ト ト ンネルについて ス マー ト ト ン ネルは、TCP ベー ス のアプ リ ケーシ ョ ン と プ ラ イ ベー ト サ イ ト 間の接続です。こ の ス マー ト ト ン ネルは、セ キ ュ リ テ ィ アプ ラ イ ア ン ス をパ ス ウ ェ イ と し て、ま た、ASAを プ ロ キ シ サーバ と し て使用す る ク ラ イ ア ン ト レ ス(ブ ラ ウ ザベー ス )SSL VPN セ ッ シ ョ ン を使用 し ま す。ス マー ト ト ン ネル ア ク セ ス を許可す る アプ リ ケーシ ョ ン を特定 し 、各アプ リ ケーシ ョ ン の ロ ーカ ル パ ス を指定で き ます。Microsoft Windows で実行す る アプ リ ケーシ ョ ン の場合は、チ ェ ッ ク サ ム の SHA-1 ハ ッ シ ュ の一致を、ス マー ト ト ン ネル ア ク セ ス を許可す る 条件 と し て要求 も で き ま す。 Lotus SameTime お よ び Microsoft Outlook は、ス マー ト ト ン ネル ア ク セ ス を許可す る ア プ リ ケー シ ョ ン の例です。 ス マー ト ト ン ネル を設定す る には、ア プ リ ケーシ ョ ン が ク ラ イ ア ン ト で あ る か、Web 対応ア プ リ ケーシ ョ ン で あ る かに応 じ て、次の手順のいずれか を実行す る 必要が あ り ま す。 • ク ラ イ ア ン ト ア プ リ ケーシ ョ ン の 1 つ以上の ス マー ト ト ン ネル リ ス ト を作成 し 、ス マー ト ト ン ネル ア ク セ ス を必要 と す る グループ ポ リ シー ま たは ロ ーカル ユーザ ポ リ シーにその リ ス ト を割 り 当て ま す。 • ス マー ト ト ン ネル ア ク セ ス に適格な Web 対応アプ リ ケーシ ョ ン の URL を指定す る 1 つ以上 のブ ッ ク マー ク リ ス ト エ ン ト リ を作成 し 、ス マー ト ト ン ネル ア ク セ ス を必要 と す る グルー プ ポ リ シー ま たは ロ ーカル ユーザ ポ リ シーにその リ ス ト を割 り 当て ます。 ま た、ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を介 し た ス マー ト ト ン ネル接続での ロ グ イ ン ク レ デン シ ャ ルの送信を自動化す る Web 対応ア プ リ ケーシ ョ ン の リ ス ト も 作成で き ま す。 スマー ト ト ン ネルの メ リ ッ ト ス マー ト ト ン ネル ア ク セ ス では、ク ラ イ ア ン ト の TCP ベー ス の ア プ リ ケーシ ョ ン は、ブ ラ ウ ザ ベー ス の VPN 接続を使用 し てサービ ス に ア ク セ ス で き ま す。こ の方法では、プ ラ グ イ ンや レ ガ シー テ ク ノ ロ ジーで あ る ポー ト 転送 と 比較 し て、ユーザには次の よ う な利点が あ り ま す。 • ス マー ト ト ン ネルは、プ ラ グ イ ン よ り も パ フ ォ ーマ ン ス が向上 し ま す。 • ポー ト 転送 と は異な り 、ス マー ト ト ン ネルでは、ロ ーカル ポー ト への ロ ーカル ア プ リ ケー シ ョ ン のユーザ接続を要求 し ない こ と に よ り 、ユーザ エ ク ス ペ リ エ ン ス が簡略化 さ れ ま す。 • ポー ト 転送 と は異な り 、ス マー ト ト ン ネルでは、ユーザは管理者特権 を 持つ必要が あ り ま せん。 プ ラ グ イ ン の利点は、ク ラ イ ア ン ト ア プ リ ケーシ ョ ン を リ モー ト コ ン ピ ュ ー タ に イ ン ス ト ール す る 必要がない と い う 点です。 スマー ト ト ンネルの前提条件 ASA Release 9.0 の ス マー ト ト ン ネルでサポー ト さ れてい る プ ラ ッ ト フ ォ ームお よ びブ ラ ウ ザに ついては、『Supported VPN Platforms, Cisco ASA Series』を参照 し て く だ さ い。 次の要件 と 制限事項が Windows での ス マー ト ト ン ネル ア ク セ ス には適用 さ れ ま す。 • Windows では ActiveX ま たは Oracle Java ラ ン タ イ ム環境(JRE)4 Update 15 以降(JRE 6 以降 を推奨)を ブ ラ ウ ザで イ ネーブルに し てお く 必要が あ る 。 • Winsock 2 の TCP ベー ス の ア プ リ ケーシ ョ ン だけ、ス マー ト ト ン ネル ア ク セ ス に適す る 。 • Mac OS X の場合に限 り 、Java Web Start を ブ ラ ウ ザで イ ネーブルに し てお く 必要が あ る 。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-2 第 13 章 ポ リ シー グループ ス マー ト ト ン ネル ア ク セ ス スマー ト ト ンネルのガ イ ド ラ イ ン • ス マー ト ト ン ネルは、Microsoft Windows を実行 し てい る コ ン ピ ュ ー タ と セ キ ュ リ テ ィ ア プ ラ イ ア ン ス 間に配置 さ れたプ ロ キ シだけ を サポー ト す る 。ス マー ト ト ン ネルは、Windows で シ ス テ ム全体のパ ラ メ ー タ を設定す る Internet Explorer 設定を使用 し ま す。こ の設定がプ ロ キ シ情報を含む場合が あ り ま す。 – Windows コ ン ピ ュ ー タ で、プ ロ キ シ が ASA に ア ク セ ス す る 必要が あ る 場合は、ク ラ イ ア ン ト のブ ラ ウ ザに ス タ テ ィ ッ ク プ ロ キ シ エ ン ト リ が必要で あ り 、接続先の ホ ス ト が ク ラ イ ア ン ト のプ ロ キ シ例外の リ ス ト に含 ま れて い る 必要が あ り ま す。 – Windows コ ン ピ ュ ー タ で、プ ロ キ シが ASA に ア ク セ ス す る 必要がな く 、プ ロ キ シが ホ ス ト ア プ リ ケーシ ョ ン に ア ク セ ス す る 必要が あ る 場合は、ASA が ク ラ イ ア ン ト のプ ロ キ シ例外の リ ス ト に含 ま れてい る 必要が あ り ま す。 プ ロ キ シ シ ス テ ム は ス タ テ ィ ッ ク プ ロ キ シ エ ン ト リ ま たは自動設定の ク ラ イ ア ン ト の設 定、ま たは PAC フ ァ イ ルに よ っ て定義で き ま す。現在、ス マー ト ト ン ネルでは、ス タ テ ィ ッ ク プ ロ キ シ設定だけがサポー ト さ れてい ま す。 • ス マー ト ト ン ネルでは、Kerberos Constrained Delegation(KCD)はサポー ト さ れない。 • Windows の場合、コ マ ン ド プ ロ ン プ ト か ら 開始 し た ア プ リ ケーシ ョ ン に ス マー ト ト ン ネル ア ク セ ス を追加す る 場合は、ス マー ト ト ン ネル リ ス ト の 1 つのエ ン ト リ の Process Name に 「cmd.exe」を指定 し 、別のエ ン ト リ に ア プ リ ケーシ ョ ン自体へのパ ス を指定す る 必要が あ る 。 こ れは「cmd.exe」が ア プ リ ケーシ ョ ン の親で あ る ためです。 • HTTP ベー ス の リ モー ト ア ク セ ス に よ っ て、い く つかのサブネ ッ ト が VPN ゲー ト ウ ェ イ へ のユーザ ア ク セ ス を ブ ロ ッ ク す る こ と が あ る 。こ れ を修正す る には、Web と エ ン ド ユーザの 場所 と の間の ト ラ フ ィ ッ ク を ルーテ ィ ン グす る ために ASA の前にプ ロ キ シ を配置 し ま す。 こ のプ ロ キ シが CONNECT 方式を サポー ト し てい る 必要が あ り ま す。認証が必要な プ ロ キ シの場合、ス マー ト ト ン ネルは、基本ダ イ ジ ェ ス ト 認証 タ イ プだけ を サポー ト し ま す。 • ス マー ト ト ン ネルが開始 さ れ る と 、ASAは、ブ ラ ウ ザ プ ロ セ ス が同 じ で あ る 場合に VPN セ ッ シ ョ ン経由ですべてのブ ラ ウ ザ ト ラ フ ィ ッ ク をデ フ ォ ル ト で送信す る 。ま た、tunnel-all ポ リ シーが適用 さ れてい る 場合にのみ、ASA は同 じ 処理を行い ま す。ユーザがブ ラ ウ ザ プ ロ セ ス の別の イ ン ス タ ン ス を開始す る と 、VPN セ ッ シ ョ ン経由ですべての ト ラ フ ィ ッ ク が送 信 さ れ ま す。ブ ラ ウ ザ プ ロ セ ス が同 じ で、セ キ ュ リ テ ィ ア プ ラ イ ア ン ス が URL への ア ク セ ス を提供 し ない場合、ユーザはその URL を開 く こ と はで き ま せん。回避策 と し て、tunnel-all ではない ト ン ネル ポ リ シーを割 り 当て ま す。 • ス テー ト フ ル フ ェ ールオーバーが発生 し た と き 、ス マー ト ト ン ネル接続は保持 さ れ ま せん。 ユーザは フ ェ ールオーバー後に再接続す る 必要が あ り ま す。 • ス マー ト ト ン ネルの Mac バージ ョ ン は、POST ブ ッ ク マー ク 、フ ォ ームベー ス の自動サ イ ン オ ン、ま たは POST マ ク ロ 置換を サポー ト し ない。 • Mac OS ユーザの場合、ポー タ ル ページ か ら 起動 さ れた ア プ リ ケーシ ョ ン だけ が ス マー ト ト ン ネル セ ッ シ ョ ン を 確立で き る 。こ の要件には、Firefox に対す る ス マー ト ト ン ネルのサ ポー ト も 含 ま れ ま す。ス マー ト ト ン ネル を 最初に使用す る 際に、Firefox を 使用 し て Firefox の別の イ ン ス タ ン ス を 起動す る には、csco_st と い う 名前のユーザ プ ロ フ ァ イ ルが必要で す。こ のユーザ プ ロ フ ァ イ ルが存在 し な い場合、セ ッ シ ョ ン では、作成す る よ う にユーザに 要求 し ま す。 • Mac OS X では、SSL ラ イ ブ ラ リ にダ イ ナ ミ ッ ク に リ ン ク さ れた、TCP を使用す る ア プ リ ケー シ ョ ン を ス マー ト ト ン ネルで使用で き る 。 • Mac OS X では、ス マー ト ト ン ネルは次を サポー ト し ない。 – プ ロ キ シ サービ ス – 自動サ イ ン オ ン Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-3 第 13 章 ポ リ シー グループ スマー ト ト ン ネル ア ク セス – 2 つの レ ベルの名前 ス ペー ス を使用す る ア プ リ ケーシ ョ ン – Telnet、SSH、cURL な ど の コ ン ソ ールベー ス の ア プ リ ケーシ ョ ン – dlopen ま たは dlsym を使用 し て libsocket コ ール を見つけ出すア プ リ ケーシ ョ ン – libsocket コ ール を見つけ出す ス タ テ ィ ッ ク に リ ン ク さ れた ア プ リ ケーシ ョ ン • Mac OS X では、プ ロ セ ス への フ ル パ ス が必要で あ る 。ま た、こ のパ ス は大文字 と 小文字が区 別 さ れ ま す。各ユーザ名のパ ス を指定 し ない よ う にす る には、部分パ ス の前にチルダ(~)を入 力 し ま す(例:~/bin/vnc)。 スマー ト ト ンネルの設定(Lotus の例) 注 こ の例では、アプ リ ケーシ ョ ン での ス マー ト ト ン ネル サポー ト を追加す る ために必要な最小限の 指示だけ を示 し ます。詳細については、以降の各項にあ る フ ィ ール ド の説明を参照 し て く だ さ い。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を選択 し ま す。 ステ ッ プ 2 ア プ リ ケーシ ョ ン を追加す る ス マー ト ト ン ネル リ ス ト を ダ ブル ク リ ッ ク す る か、ま たは [Add] を ク リ ッ ク し て ア プ リ ケーシ ョ ン の リ ス ト を作成 し 、[List Name] フ ィ ール ド にその リ ス ト の名 前を入力 し て [Add] を ク リ ッ ク し ま す。 た と えば、[Smart Tunnels] ペ イ ン で [Add] を ク リ ッ ク し 、[List Name] フ ィ ール ド に Lotus と 入力 し て [Add] を ク リ ッ ク し ま す。 ステ ッ プ 3 [Add or Edit Smart Tunnel List] ダ イ ア ロ グ ボ ッ ク ス で [Add] を ク リ ッ ク し ま す。 ステ ッ プ 4 [Application ID] フ ィ ール ド に、ス マー ト ト ン ネル リ ス ト 内のエ ン ト リ に対す る 一意の イ ン デ ッ ク ス と し て使用す る 文字列 を 入力 し ま す。 ステ ッ プ 5 [Process Name] ダ イ ア ロ グ ボ ッ ク ス に、フ ァ イ ル名 と ア プ リ ケーシ ョ ン の拡張子を入力 し ま す。 次の表 に、[Application ID] 文字列の例 と 、Lotus を サポー ト す る ために必要 と な る 関連付け ら れ たパ ス を示 し ま す。 表 13-1 スマー ト ト ンネルの例:Lotus 6.0 Thick Client with Domino Server 6.5.5 ア プ リ ケーシ ョ ン ID の例 必要最小限のプ ロ セ ス名 lotusnotes notes.exe lotusnlnotes nlnotes.exe lotusntaskldr ntaskldr.exe lotusnfileret nfileret.exe ステ ッ プ 6 [OS] の横の [Windows] を選択 し ま す。 ステ ッ プ 7 [OK] を ク リ ッ ク し ま す。 ステ ッ プ 8 リ ス ト に追加す る ア プ リ ケーシ ョ ン ご と に、ス テ ッ プ 3 ~ 7 を繰 り 返 し ま す。 ステ ッ プ 9 [Add or Edit Smart Tunnel List] ダ イ ア ロ グ ボ ッ ク ス で [OK] を ク リ ッ ク し ま す。 ス テ ッ プ 10 次の よ う に し て、関連付け ら れた ア プ リ ケーシ ョ ンへの ス マー ト ト ン ネル ア ク セ ス を許可す る グループ ポ リ シー と ロ ーカル ユーザ ポ リ シーに リ ス ト を割 り 当て ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-4 第 13 章 ポ リ シー グループ ス マー ト ト ン ネル ア ク セ ス • グループ ポ リ シーに リ ス ト を割 り 当て る には、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add] ま たは [Edit] > [Portal] を選択 し 、[Smart Tunnel List] ド ロ ッ プダ ウ ン リ ス ト か ら ス マー ト ト ン ネル名を選択 し ま す。 • ロ ーカル ユーザ ポ リ シーに リ ス ト を割 り 当て る には、[Configuration] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] ま たは [Edit] > [VPN Policy] > [Clientless SSL VPN] を選択 し 、[Smart Tunnel List] ド ロ ッ プダ ウ ン リ ス ト か ら ス マー ト ト ン ネル名を選択 し ます。 ト ンネ リ ングする ア プ リ ケーシ ョ ンの設定の簡略化 ス マー ト ト ン ネル ア プ リ ケーシ ョ ン リ ス ト は、基本的に、ト ン ネルへの ア ク セ ス を許可す る ア プ リ ケーシ ョ ン の フ ィ ル タ です。デ フ ォ ル ト では、ブ ラ ウ ザに よ っ て開始 さ れ る すべてのプ ロ セ ス に対 し て ア ク セ ス が許可 さ れ ま す。ス マー ト ト ン ネル対応ブ ッ ク マー ク に よ っ て、ク ラ イ ア ン ト レ ス セ ッ シ ョ ン では Web ブ ラ ウ ザに よ っ て開始 さ れ る プ ロ セ ス のみに ア ク セ ス が許可 さ れ ま す。ブ ラ ウ ザ以外の ア プ リ ケーシ ョ ン では、管理者はすべての ア プ リ ケーシ ョ ン を ト ン ネ リ ン グす る こ と を選択 し て、エ ン ド ユーザが ど の ア プ リ ケーシ ョ ン を起動す る か を知 る 必要性を な く す こ と がで き ま す。 注 こ の設定は、Windows プ ラ ッ ト フ ォ ーム のみに適用 さ れ ま す。 次の表に、ア ク セ ス を許可 さ れ る プ ロ セ ス の状況を示 し ま す。 状況 ス マー ト ト ン ネル対応ブ ッ ク マー ク ス マー ト ト ン ネル ア プ リ ケー シ ョ ン ア ク セス ア プ リ ケーシ ョ ン リ ス ト が指定 さ れ る アプ リ ケーシ ョ ン リ ス ト のプ ロ アプ リ ケーシ ョ ン リ ス ト のプ ロ セ ス名 と 一致す る任意のプ ロ セ セ ス名 と 一致す る プ ロ セ ス のみ ス にア ク セ ス権が付与 さ れます。 にア ク セ ス権が付与 さ れます。 ス マー ト ト ン ネル を オ フ に切 り 替え る すべて のプ ロ セ ス (お よ びその 子プ ロ セ ス )にア ク セ ス 権が付 与 さ れ ま す。 プ ロ セ ス に ア ク セ ス 権は付与 さ れ ま せん。 [Smart Tunnel all Applications] チ ェ ッ ク ボ ッ ク ス を オ ン にす る すべて のプ ロ セ ス (お よ びその 子プ ロ セ ス )にア ク セ ス 権が付 与 さ れ ま す。 ブ ラ ウ ザを開始 し たユーザが所 有す るすべてのプ ロ セ ス にア ク セ ス権が付与 さ れますが、その子 プ ロ セ ス には付与 さ れません。 注 ス マー ト ト ン ネル以外の Web ページに よ っ て開始 さ れたプ ロ セ ス も 含 ま れ ま す(Web ページが同 じ ブ ラ ウザ プロセスによ って 処理 さ れ る 場合)。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を選択 し ま す。 ステ ッ プ 2 [User Account] ウ ィ ン ド ウ で、編集す る ユーザ名を強調表示 し ま す。 ステ ッ プ 3 [Edit] を ク リ ッ ク し ま す。[Edit User Account] ウ ィ ン ド ウ が表示 さ れ ま す。 ステ ッ プ 4 [Edit User Account] ウ ィ ン ド ウ の左側のサ イ ド バーで、[VPN Policy] > [Clientless SSL VPN] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-5 第 13 章 ポ リ シー グループ スマー ト ト ン ネル ア ク セス ステ ッ プ 5 次のいずれかの操作を行い ま す。 • [smart tunnel_all_applications] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。リ ス ト を作成 し な く て も 、 ま たは外部ア プ リ ケーシ ョ ン について エ ン ド ユーザが起動す る 可能性が あ る 実行 フ ァ イ ル を知 ら な く て も 、すべての ア プ リ ケーシ ョ ン が ト ン ネ リ ン グ さ れ ま す。 • ま たは、次の ト ン ネル ポ リ シー オプシ ョ ン か ら 選択 し ま す。 – [Smart Tunnel Policy] パ ラ メ ー タ の [Inherit] チ ェ ッ ク ボ ッ ク ス を オ フ に し ま す。 – ネ ッ ト ワ ー ク リ ス ト か ら 選択 し 、ト ン ネル オプシ ョ ン の 1 つを指定 し ま す。指定 さ れた ネ ッ ト ワ ー ク に対 し て ス マー ト ト ン ネル を使用す る 、指定 さ れた ネ ッ ト ワ ー ク に対 し て ス マー ト ト ン ネル を使用 し ない、ま たはすべてのネ ッ ト ワ ー ク ト ラ フ ィ ッ ク に対 し て ト ン ネル を使用す る 、のいずれかです。 スマー ト ト ンネル ア ク セスに適格なア プ リ ケーシ ョ ンの追加 各 ASA の ク ラ イ ア ン ト レ ス SSL VPN コ ン フ ィ ギ ュ レ ーシ ョ ン は、ス マー ト ト ン ネル リ ス ト を サポー ト し てい ま す。各 リ ス ト は、ス マー ト ト ン ネル ア ク セ ス に適格な 1 つ以上の ア プ リ ケー シ ョ ン を示 し ま す。各グループ ポ リ シー ま たはユーザ名は 1 つの ス マー ト ト ン ネル リ ス ト のみ を サポー ト す る ため、サポー ト さ れ る 各ア プ リ ケーシ ョ ン のセ ッ ト を ス マー ト ト ン ネル リ ス ト に グループ化す る 必要が あ り ま す。 [Add or Edit Smart Tunnel Entry] ダ イ ア ロ グ ボ ッ ク ス では、ス マー ト ト ン ネル リ ス ト に あ る ア プ リ ケーシ ョ ン の属性を指定で き ま す。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] の順に進み、編集す る ス マー ト ト ン ネル ア プ リ ケーシ ョ ン リ ス ト を選択す る か、新 し い リ ス ト を追加 し ま す。 ステ ッ プ 2 新 し い リ ス ト の場合は、ア プ リ ケーシ ョ ン ま たはプ ロ グ ラ ム の リ ス ト に付け る 一意の名前を入 力 し ま す。ス ペー ス は使用 し ないで く だ さ い。 ス マー ト ト ン ネル リ ス ト の コ ン フ ィ ギ ュ レ ーシ ョ ン に続いて、ク ラ イ ア ン ト レ ス SSL VPN の グ ループ ポ リ シー と ロ ーカル ユーザ ポ リ シーの [Smart Tunnel List] 属性の横に リ ス ト 名が表示 さ れ ま す。他に設定す る 可能性が あ る リ ス ト と 、内容お よ び目的を区別で き る よ う な名前を付け て く だ さ い。 ステ ッ プ 3 [Add] を ク リ ッ ク し て、こ の ス マー ト ト ン ネル リ ス ト に必要な数のア プ リ ケーシ ョ ン を追加 し ま す。パ ラ メ ー タ については次で説明 し ま す。 • [Application ID]:ス マー ト ト ン ネル リ ス ト のエ ン ト リ に命名す る 文字列を入力 し ます。こ の ユーザ指定の名前は保存 さ れ、GUI に戻 さ れます。文字列はオペレーテ ィ ン グ シ ス テ ム に対 し て一意です。通常は、ス マー ト ト ン ネル ア ク セ ス を許可 さ れ る アプ リ ケーシ ョ ンに付け ら れ る 名前です。異な る パ ス ま たはハ ッ シ ュ 値を指定す る アプ リ ケーシ ョ ン の複数バージ ョ ン をサ ポー ト す る には、こ の属性を使用 し てエ ン ト リ を差別化 し 、オペレーテ ィ ン グ シ ス テ ム、お よ び各 リ ス ト エ ン ト リ に よ っ てサポー ト さ れてい る アプ リ ケーシ ョ ン の名前 と バージ ョ ンの両 方を指定 し ます。文字列は最大 64 文字ま で使用で き ます。 • [Process Name]:ア プ リ ケーシ ョ ン の フ ァ イ ル名 ま たはパ ス を入力 し ま す。ス ト リ ン グ には最 大 128 文字を使用で き ま す。 Windows では、ア プ リ ケーシ ョ ン に ス マー ト ト ン ネル ア ク セ ス を許可す る 場合に、こ の値 と リ モー ト ホ ス ト の ア プ リ ケーシ ョ ン パ ス の右側の値が完全に一致 し てい る 必要が あ り ま す。Windows で フ ァ イ ル名のみを指定す る と 、SSL VPN では、ア プ リ ケーシ ョ ン に ス マー ト ト ン ネル ア ク セ ス を許可す る 場合に、リ モー ト ホ ス ト に対 し て場所の制限を強制 し ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-6 第 13 章 ポ リ シー グループ ス マー ト ト ン ネル ア ク セ ス ア プ リ ケーシ ョ ン のパ ス を指定 し 、ユーザが別の場所に イ ン ス ト ール し た場合は、その ア プ リ ケーシ ョ ン は許可 さ れ ま せん。ア プ リ ケーシ ョ ン は、入力す る 値 と 文字列 と 右側の値が一 致 し てい る 限 り 、任意のパ ス に配置で き ま す。 ア プ リ ケーシ ョ ン が リ モー ト ホ ス ト の複数のパ ス のいずれかに あ る 場合に、ア プ リ ケー シ ョ ン に ス マー ト ト ン ネル ア ク セ ス を認可す る には、こ の フ ィ ール ド に ア プ リ ケーシ ョ ン の名前 と 拡張子だけ を指定す る か、ま たはパ ス ご と に固有の ス マー ト ト ン ネル エ ン ト リ を 作成 し ま す。 注 ス マー ト ト ン ネル ア ク セ ス で突然問題が発生す る 場合、Process Name 値が ア ッ プ グ レ ー ド さ れた ア プ リ ケーシ ョ ン に対 し て最新ではない可能性が あ り ま す。た と えば、ア プ リ ケーシ ョ ンへのデ フ ォ ル ト パ ス は、その ア プ リ ケーシ ョ ンお よ び次の ア ッ プ グ レ ー ド 版 を製造す る 企業が買収 さ れ る と 変更 さ れ る こ と が あ り ま す。 Windows の場合、コ マ ン ド プ ロ ン プ ト か ら 開始 し た ア プ リ ケーシ ョ ン に ス マー ト ト ン ネル ア ク セ ス を追加す る 場合は、ス マー ト ト ン ネル リ ス ト の 1 つのエ ン ト リ の Process Name に 「cmd.exe」を指定 し 、別のエ ン ト リ に ア プ リ ケーシ ョ ン自体へのパ ス を指定す る 必要が あ り ま す。こ れは「cmd.exe」が ア プ リ ケーシ ョ ン の親で あ る ためです。 • [OS]:[Windows] ま たは [Mac] を ク リ ッ ク し て、ア プ リ ケーシ ョ ン の ホ ス ト オペ レ ーテ ィ ン グ シ ス テ ム を指定 し ま す。 • [Hash](任意、Windows にのみ該当): こ の値 を 取得す る には、ア プ リ ケーシ ョ ン のチ ェ ッ ク サ ム(つ ま り 、実行 フ ァ イ ルのチ ェ ッ ク サ ム )を 、SHA-1 アル ゴ リ ズ ム を 使用 し てハ ッ シ ュ を 計算す る ユーテ ィ リ テ ィ に入力 し ま す。こ の よ う な ユーテ ィ リ テ ィ の例 と し て、Microsoft フ ァ イ ル チ ェ ッ ク サ ム 整合性検証(FCIV)を 挙げ る こ と がで き ま す。こ のユーテ ィ リ テ ィ は、http://support.microsoft.com/kb/841290/ で入手で き ま す。FCIV の イ ン ス ト ール後、ス ペー ス を 含 ま な いパ ス (c:/fciv.exe な ど )に、ハ ッ シ ュ す る ア プ リ ケーシ ョ ン の一時 コ ピ ー を 置 き 、コ マ ン ド ラ イ ン で fciv.exe -sha1 application と 入力 し て(fciv.exe -sha1 c:\msimn.exe な ど )、SHA-1 ハ ッ シ ュ を 表示 し ま す。 SHA-1 ハ ッ シ ュ は、常に 16 進数 40 文字です。 ク ラ イ ア ン ト レ ス SSL VPN は、アプ リ ケーシ ョ ンに ス マー ト ト ン ネル ア ク セ ス の認可を与え る 前に、[Application ID] に一致す る アプ リ ケーシ ョ ンのハ ッ シ ュ を計算 し ます。結果が [Hash] の値 と 一致すれば、アプ リ ケーシ ョ ンに ス マー ト ト ン ネル ア ク セ ス の資格を与え ます。 ハ ッ シ ュ を入力す る こ と に よ り 、[Application ID] で指定 し た文字列に一致す る 不正 フ ァ イ ル に対 し て SSL VPN が資格を与え ない よ う し てい ま す。チ ェ ッ ク サ ム は、ア プ リ ケーシ ョ ン の バージ ョ ン ま たはパ ッ チに よ っ て異な る ため、入力す る [Hash] 値は、リ モー ト ホ ス ト の 1 つ のバージ ョ ンやパ ッ チに し か一致 し ない可能性が あ り ま す。複数のバージ ョ ン の ア プ リ ケー シ ョ ン にハ ッ シ ュ を指定す る には、[Hash] 値ご と に固有の ス マー ト ト ン ネル エ ン ト リ を作 成 し ま す。 注 ステ ッ プ 4 [Hash] 値を入力 し 、ス マー ト ト ン ネル ア ク セ ス で、アプ リ ケーシ ョ ン の今後のバージ ョ ン ま たはパ ッ チ を サポー ト す る 必要があ る 場合は、ス マー ト ト ン ネル リ ス ト を更新 し 続け る 必要があ り ます。ス マー ト ト ン ネル ア ク セ ス に突然問題が発生 し た場合は、[Hash] 値を 含むアプ リ ケーシ ョ ン リ ス ト が、アプ リ ケーシ ョ ン のア ッ プ グ レー ド に よ っ て最新の状 態にな っ ていない可能性があ り ま す。ハ ッ シ ュ を入力 し ない こ と で、こ の問題を回避で き ます。 [OK] を ク リ ッ ク し て ア プ リ ケーシ ョ ン を保存 し 、こ の ス マー ト ト ン ネル リ ス ト に必要な数だけ ア プ リ ケーシ ョ ン を作成 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-7 第 13 章 ポ リ シー グループ スマー ト ト ン ネル ア ク セス ステ ッ プ 5 表 13-2 ス マー ト ト ン ネル リ ス ト の作成が終わ っ た ら 、その リ ス ト を ア ク テ ィ ブにす る には、次の手順 に従っ て、グループ ポ リ シー ま たは ロ ーカル ユーザ ポ リ シーにその リ ス ト を割 り 当て る 必要が あ り ま す。 • グループ ポ リ シーに リ ス ト を割 り 当て る には、[Config] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add] ま たは [Edit] > [Portal] を選択 し 、[Smart Tunnel List] 属性の横に あ る ド ロ ッ プダ ウ ン リ ス ト か ら ス マー ト ト ン ネル名を選択 し ま す。 • ロ ーカル ユーザ ポ リ シーに リ ス ト を割 り 当て る には、[Config] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] ま たは [Edit] > [VPN Policy] > [Clientless SSL VPN] を選 択 し 、[Smart Tunnel List] 属性の横に あ る ド ロ ッ プダ ウ ン リ ス ト か ら ス マー ト ト ン ネル名を 選択 し ま す。 スマー ト ト ンネル エ ン ト リ の例 ス マー ト ト ン ネルのサポー ト アプ リ ケーシ ョ ン ID(一意の文字列 であればどれで も Process Name OK) OS Mozilla Firefox firefox firefox.exe Windows Microsoft Outlook Express outlook-express msimn.exe Windows よ り 制限的な オプシ ョ ン:実行 フ ァ イ ルが 事前定義済みのパ ス に あ る 場合は、 Microsoft Outlook Express 専用。 outlook-express \Program Files\Outlook Express\msimn.exe Windows Mac で新 し い タ ー ミ ナル ウ ィ ン ド ウ を開 く ( ワ ン タ イ ム パ ス ワ ー ド が実装 さ れてい る ので、それ以降、同 じ タ ー ミ ナル ウ ィ ン ド ウ での ア プ リ ケーシ ョ ン の起動は失敗 し ま す)。 terminal Terminal Mac 新 し い ウ ィ ン ド ウ で ス マー ト ト ン ネル を 開始 new-terminal Terminal open -a MacTelnet Mac Mac タ ー ミ ナル ウ ィ ン ド ウ で ア プ リ ケー シ ョ ン を起動 curl Terminal curl www.example.com Mac スマー ト ト ンネル リ ス ト について グループ ポ リ シー と ユーザ名ご と に、次のいずれか を行 う よ う に ク ラ イ ア ン ト レ ス SSL VPN を 設定で き ま す。 注 • ユーザの ロ グ イ ン時に自動的に ス マー ト ト ン ネル ア ク セ ス を開始す る 。 • ユーザの ロ グ イ ン時に ス マー ト ト ン ネル ア ク セ ス を イ ネーブルにす る が、ユーザは ク ラ イ ア ン ト レ ス SSL VPN ポー タ ル ページ の [Application Access] > [Start Smart Tunnels] ボ タ ン を 使用 し て、ス マー ト ト ン ネル ア ク セ ス を手動で開始す る よ う にユーザに要求す る 。 ス マー ト ト ン ネル ロ グ オ ン オプ シ ョ ン は、各グループ ポ リ シー と ユーザ名に対 し て互いに排他 的です。1 つだけ使用 し て く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-8 第 13 章 ポ リ シー グループ ス マー ト ト ン ネル ア ク セ ス スマー ト ト ンネル自動サイ ンオン サーバ リ ス ト の作成 [Add Smart Tunnel Auto Sign-on Server List] ダ イ ア ロ グ ボ ッ ク ス で、ス マー ト ト ン ネルのセ ッ ト ア ッ プ中に ロ グ イ ン ク レ デン シ ャ ルの送信を自動化す る サーバの リ ス ト を追加 ま たは編集で き ま す。ス マー ト ト ン ネルの自動サ イ ン オ ン は、Internet Explorer お よ び Firefox で利用可能です。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] >[Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] の順に進み、[Smart Tunnel Auto Sign-on Server List] が展開 さ れてい る こ と を確認 し ま す。 ステ ッ プ 2 [Add] を ク リ ッ ク し て、他に設定す る 可能性が あ る リ ス ト と 、内容お よ び目的 を区別で き る よ う な リ モー ト サーバの リ ス ト の一意の名前を入力 し ま す。文字列は最大 64 文字 ま で使用で き ま す。ス ペー ス は使用 し ないで く だ さ い。 注 ス マー ト ト ン ネルの自動サ イ ン オ ン リ ス ト を作成 し た後は、ク ラ イ ア ン ト レ ス SSL VPN グルー プ ポ リ シーお よ び ロ ーカル ポ リ シー コ ン フ ィ ギ ュ レ ーシ ョ ン の下の [Auto Sign-on Server List] 属性の横に、リ ス ト 名が表示 さ れ ま す。 スマー ト ト ンネル自動サイ ンオン サーバ リ ス ト へのサーバの追加 次の手順では、ス マー ト ト ン ネル接続での自動サ イ ン オ ン を提供す る サーバの リ ス ト にサーバ を追加 し 、その リ ス ト を グループ ポ リ シー ま たは ロ ーカル ユーザに割 り 当て る 方法について説 明 し ま す。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] の順に進み、リ ス ト のいずれか を選択 し て、[Edit] を ク リ ッ ク し ま す。 ステ ッ プ 2 [Tunnel Auto Sign-On Server List] ダ イ ア ロ グ で [Add] ボ タ ン を ク リ ッ ク し て、ス マー ト ト ン ネル サーバ を も う 1 つ追加 し ま す。 ステ ッ プ 3 自動認証を行 う サーバの ホ ス ト 名 ま たは IP ア ド レ ス を入力 し ま す。 • [Hostname] を選択す る 場合、自動認証を行 う ホ ス ト 名 ま たは ワ イ ル ド カー ド マ ス ク を入力 し ま す。次の ワ イ ル ド カー ド 文字を使用で き ま す。 – *:任意の数の文字を一致 さ せ る 、ま たは ど の文字 も 一致 さ せ ま せん。 – ?:単一の文字を一致 さ せ ま す。 – [ ]:か っ こ 内に指定 さ れた範囲内の、任意の 1 文字を一致 さ せ ま す。 – た と えば、*.example.com と 入力 し ま す。こ のオプ シ ョ ン を使用す る と 、IP ア ド レ ス のダ イ ナ ミ ッ ク な変更か ら コ ン フ ィ ギ ュ レ ーシ ョ ン を保護 し ま す。 • [IP Address] を選択す る 場合、IP ア ド レ ス を入力 し ま す。 注 Firefox では、ワ イ ル ド カー ド を使用 し た ホ ス ト マ ス ク 、IP ア ド レ ス を使用 し たサブ ネ ッ ト 、ま たはネ ッ ト マ ス ク を サポー ト し てい ま せん。正確な ホ ス ト 名 ま たは IP ア ド レ ス を使用す る 必要が あ り ま す。た と えば、Firefox では、*.cisco.com を入力 し た場合、 email.cisco.com を ホ ス ト す る 自動サ イ ン オ ン は失敗 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-9 第 13 章 ポ リ シー グループ スマー ト ト ン ネル ア ク セス ステ ッ プ 4 [Windows Domain](オプ シ ョ ン):認証で必要な場合、ク リ ッ ク し て Windows ド メ イ ン を ユーザ名 に追加 し ま す。こ のオプシ ョ ン を使用す る 場合は、1 つ以上の グループ ポ リ シー ま たは ロ ーカル ユーザ ポ リ シーに ス マー ト ト ン ネル リ ス ト を割 り 当て る 際に、ド メ イ ン名を指定す る 必要が あ り ま す。 ステ ッ プ 5 [HTTP-based Auto Sign-On](オプ シ ョ ン) • [Authentication Realm]:レ ルム は Web サ イ ト の保護領域に関連付け ら れ、認証時に認証プ ロ ン プ ト ま たは HTTP ヘ ッ ダーのいずれかでブ ラ ウ ザに再度渡 さ れ ます。こ こ で自動サ イ ン オ ン が設定 さ れ、レ ルム の文字列が指定 さ れた ら 、ユーザは レ ルム の文字列を Web アプ リ ケー シ ョ ン(Outlook Web Access な ど)で設定 し 、Web アプ リ ケーシ ョ ン にサ イ ン オ ンす る こ と な く ア ク セ ス で き ま す。 イ ン ト ラ ネ ッ ト の Web ページの ソ ー ス コ ー ド で使用 さ れ る ア ド レ ス 形式を使用 し ま す。ブ ラ ウ ザ ア ク セ ス 用に ス マー ト ト ン ネル自動サ イ ン オ ン を設定 し てお り 、一部の Web ページ で ホ ス ト 名が使用 さ れ、他の Web ページ で IP ア ド レ ス が使用 さ れてい る 場合、あ る いは ど ち ら が使用 さ れてい る かわか ら ない場合は、両方を異な る ス マー ト ト ン ネル自動サ イ ン オ ン エ ン ト リ で指定 し ま す。それ以外の場合、Web ページの リ ン ク で、指定 さ れた フ ォ ーマ ッ ト と は異な る フ ォ ーマ ッ ト が使用 さ れ る と 、ユーザが リ ン ク を ク リ ッ ク し て も 開 き ま せん。 対応す る レ ルム がわか ら ない場合、管理者は ロ グ イ ン を一度実行 し 、プ ロ ン プ ト ダ イ ア ロ グ か ら 文字列を取得す る 必要が あ り ま す。 注 • [Port Number]:対応す る ホ ス ト のポー ト 番号 を指定 し ま す。Firefox では、ポー ト 番号が指定 さ れていない場合、自動サ イ ン オ ン はデ フ ォ ル ト のポー ト 番号 80 お よ び 443 でそれぞれア ク セ ス さ れた HTTP お よ び HTTPS に対 し て実行 さ れ ま す。 ステ ッ プ 6 [OK] を ク リ ッ ク し ま す。 ステ ッ プ 7 ス マー ト ト ン ネル自動サ イ ン オ ン サーバ リ ス ト の コ ン フ ィ ギ ュ レ ーシ ョ ン に続いて、その リ ス ト を ア ク テ ィ ブにす る には、グループ ポ リ シー ま たは ロ ーカル ユーザ ポ リ シーにその リ ス ト を 割 り 当て る 必要が あ り ま す。 • • グループ ポ リ シーに リ ス ト を割 り 当て る には、次の手順を実行 し ま す。 1. [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] の 順に進み、グループ ポ リ シーを開 き ま す。 2. [Portal] タ ブ を選択 し 、[Smart Tunnel] 領域を見つけ、[Auto Sign-on Server List] 属性の横に あ る ド ロ ッ プダ ウ ン リ ス ト か ら 自動サ イ ン オ ン サーバ リ ス ト を選択 し ま す。 ロ ーカル ユーザ ポ リ シーに リ ス ト を割 り 当て る には、次の手順を実行 し ま す。 1. [Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を選択 し 、自 動サ イ ン オ ン サーバ リ ス ト に割 り 当て る ロ ーカル ユーザ を編集 し ま す。 2. [VPN Policy] > [Clientless SSL VPN] の順に進み、[Smart Tunnel] 領域の下の [Auto Sign-on Server] 設定を探 し ま す。 3. [Inherit] を オ フ に し 、[Auto Sign-on Server List] 属性の横に あ る ド ロ ッ プダ ウ ン リ ス ト か ら サーバ リ ス ト を選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-10 第 13 章 ポ リ シー グループ ス マー ト ト ン ネル ア ク セ ス スマー ト ト ンネル ア ク セスのイ ネーブル化 と オ フへの切 り 替え デ フ ォ ル ト では、ス マー ト ト ン ネルはオ フ にな っ てい ま す。 ス マー ト ト ン ネル ア ク セ ス を イ ネーブルに し てい る 場合、ユーザは、ク ラ イ ア ン ト レ ス SSL VPN ポー タ ル ページ の [Application Access] > [Start Smart Tunnels] ボ タ ン を使用 し て、ス マー ト ト ン ネル ア ク セ ス を手動で開始す る 必要が あ り ま す。 スマー ト ト ンネルからのログオ フの設定 こ こ では、ス マー ト ト ン ネルか ら の適切な ロ グ オ フ 方法につい て説明 し ま す。すべてのブ ラ ウ ザ ウ ィ ン ド ウ を閉 じ る か、通知ア イ コ ン を右 ク リ ッ ク し て ロ グ ア ウ ト を確認す る と 、ス マー ト ト ン ネルか ら ロ グ オ フ で き ま す。 注 ポー タ ルに あ る ロ グ ア ウ ト ボ タ ン を使用す る こ と を強 く お勧め し ま す。こ の方法は、ク ラ イ ア ン ト レ ス SSL VPN 用で あ り 、ス マー ト ト ン ネルが使用 さ れてい る か ど う かに関係な く ロ グ オ フ が 行われ ま す。通知ア イ コ ン は、ブ ラ ウ ザ を使用 し ない ス タ ン ド ア ロ ン ア プ リ ケーシ ョ ン を使用す る 場合に限 り 使用す る 必要が あ り ま す。 親プ ロ セスが終了 し た場合のスマー ト ト ンネルからのログオ フの設定 こ の方法では、ロ グ オ フ を示すためにすべてのブ ラ ウ ザ を閉 じ る こ と が必要です。ス マー ト ト ン ネルの ラ イ フ タ イ ム は現在、プ ロ セ ス の ラ イ フ タ イ ム の開始に結び付け ら れてい ま す。た と え ば、Internet Explorer か ら ス マー ト ト ン ネル と 開始 し た場合、iexplore.exe が実行 さ れてい ない と ス マー ト ト ン ネルがオ フ にな り ま す。ス マー ト ト ン ネルは、ユーザが ロ グ ア ウ ト せずにすべて のブ ラ ウ ザ を閉 じ た場合で も 、VPN セ ッ シ ョ ン が終了 し た と 判断 し ま す。 注 場合に よ っ ては、ブ ラ ウ ザ プ ロ セ ス がエ ラ ーの結果 と し て、意図的にではな く 残っ てい る こ と が あ り ま す。ま た、Secure Desktop を使用 し てい る と き に、ユーザが Secure Desktop 内ですべてのブ ラ ウ ザ を閉 じ て も ブ ラ ウ ザ プ ロ セ ス が別のデ ス ク ト ッ プで実行 さ れてい る 場合が あ り ま す。し たが っ て、ス マー ト ト ン ネルは、現在のデ ス ク ト ッ プで表示 さ れてい る ウ ィ ン ド ウ がない場合に すべてのブ ラ ウ ザ イ ン ス タ ン ス が終了 し た と 見な し ま す。 通知ア イ コ ン を使用 し たスマー ト ト ンネルからのログオ フの設定 ブ ラ ウ ザ を閉 じ て も セ ッ シ ョ ン が失われない よ う にす る ために、ペア レ ン ト プ ロ セ ス の終了時 に ロ グ オ フ を オ フ に切 り 替え る こ と も で き ま す。こ の方法では、シ ス テ ム ト レ イ の通知ア イ コ ン を使用 し て ロ グ ア ウ ト し ま す。ア イ コ ン は、ユーザが ア イ コ ン を ク リ ッ ク し て ロ グ ア ウ ト す る ま で維持 さ れ ま す。ユーザが ロ グ ア ウ ト す る 前にセ ッ シ ョ ン の期限が切れた場合、ア イ コ ン は、次 回に接続を試行す る ま で維持 さ れ ま す。セ ッ シ ョ ン ス テー タ ス がシ ス テ ム ト レ イ で更新 さ れ る ま で時間がかか る こ と が あ り ま す。 注 こ の ア イ コ ン が、SSL VPN か ら ロ グ ア ウ ト す る 別の方法です。こ れは、VPN セ ッ シ ョ ン ス テー タ ス の イ ン ジ ケー タ ではあ り ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-11 第 13 章 ポ リ シー グループ ク ラ イ ア ン ト レ ス SSL VPN キ ャ プ チ ャ ツール ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を選択 し ま す。 ステ ッ プ 2 [Click on smart-tunnel logoff icon in the system tray] オプシ ョ ン ボ タ ン を イ ネーブルに し ま す。 ステ ッ プ 3 ウ ィ ン ド ウ の [Smart Tunnel Networks] 部分で、[Add] を オ ン に し て、ア イ コ ン を含め る ネ ッ ト ワ ー ク の IP ア ド レ ス と ホ ス ト 名の両方を入力 し ま す。 注 ア イ コ ン を右 ク リ ッ ク す る と 、SSL VPN か ら の ロ グ ア ウ ト を ユーザに求め る 単一の メ ニ ュ ー項目が表示 さ れ ま す。 ク ラ イ ア ン ト レ ス SSL VPN キ ャ プチ ャ ツール ク ラ イ ア ン ト レ ス SSL VPN CLI には、WebVPN 接続では正 し く 表示 さ れない Web サ イ ト に関す る 情報を記録で き る キ ャ プチ ャ ツールが含 ま れてい ま す。こ の ツールが記録す る デー タ は、シ ス コ カ ス タ マー サポー ト の担当者が問題の ト ラ ブルシ ュ ーテ ィ ン グ を行 う 際に役立ち ま す。 ク ラ イ ア ン ト レ ス SSL VPN キ ャ プチ ャ ツールの出力には次の 2 つの フ ァ イ ルが含 ま れ ま す。 • Web ページの ア ク テ ィ ビ テ ィ に応 じ て mangled.1, 2, 3, 4... な ど mangle フ ァ イ ル は、ク ラ イ ア ン ト レ ス SSL VPN 接続のページ を転送す る VPN コ ン セ ン ト レ ー タ の html の ア ク シ ョ ン を記録 し ま す。 • Web ページの ア ク テ ィ ビ テ ィ に応 じ て original.1,2,3,4... な ど 元の フ ァ イ ルは、 URL が VPN コ ン セ ン ト レ ー タ に送信 し た フ ァ イ ルです。 キ ャ プチ ャ ツールに よ っ て フ ァ イ ル出力を開 き 、表示す る には、[Administration] > [File Management] に移動 し ま す。出力 フ ァ イ ル を圧縮 し 、シ ス コ サポー ト 担当者に送信 し ま す。 注 ク ラ イ ア ン ト レ ス SSL VPN キ ャ プチ ャ ツ ール を使用す る と 、VPN コ ン セ ン ト レ ー タ のパ フ ォ ー マ ン ス が影響を受け ま す。出力 フ ァ イ ル を生成 し た後に、キ ャ プチ ャ ツール を必ずオ フ に切 り 替 え ま す。 ポー タ ル ア ク セス ルールの設定 こ の拡張機能に よ り 、カ ス タ マーは、HTTP ヘ ッ ダー内に存在す る デー タ に基づいて、ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を許可 ま たは拒否す る グ ロ ーバルな ク ラ イ ア ン ト レ ス SSL VPN ア ク セ ス ポ リ シーを設定す る こ と がで き ま す。ASA が ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を拒 否す る 場合、ただちにエ ン ド ポ イ ン ト にエ ラ ー コ ー ド を返 し ま す。 ASA は、こ の ア ク セ ス ポ リ シー を、エ ン ド ポ イ ン ト が ASA に対 し て認証す る 前に評価 し ま す。そ の結果、拒否の場合は、エ ン ド ポ イ ン ト か ら の追加の接続試行に よ る ASA の処理 リ ソ ー ス の消 費は よ り 少な く な り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-12 第 13 章 ポ リ シー グループ ポー タ ル ア ク セ ス ルールの設定 ステ ッ プ 1 ASDM を起動 し 、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Portal Access Rule] を選択 し ま す。 [Portal Access Rule] ウ ィ ン ド ウ が開 き ま す。 ステ ッ プ 2 [Add] を ク リ ッ ク し て ポー タ ル ア ク セ ス ルール を作成す る か、既存のルール を選択 し て [Edit] を ク リ ッ ク し ま す。 [Add Portal Access Rule] ま たは [Edit Portal Access Rule] ダ イ ア ロ グ ボ ッ ク ス が開 き ま す。 ステ ッ プ 3 1 ~ 65535 のルール番号を [Rule Priority] フ ィ ール ド に入力 し ま す。 ルールは 1 ~ 65535 のプ ラ イ オ リ テ ィ の順序で処理 さ れ ま す。 ステ ッ プ 4 [User Agent] フ ィ ール ド に、HTTP ヘ ッ ダーで検索す る ユーザ エージ ェ ン ト の名前を入力 し ます。 • 文字列を広範囲に指定す る には、文字列を ワ イ ル ド カー ド (*)で囲み ま す。た と えば、 *Thunderbird* です。検索文字列で ワ イ ル ド カー ド を使用す る こ と を推奨 し ま す。ワ イ ル ド カー ド を使用 し ない と 、ルールが ど の文字列 と も 一致 し ないか、予期 し た よ り も 大幅に少な い文字列 と し か一致 し ない場合が あ り ま す。 • 文字列に ス ペー ス が含 ま れてい る 場合、ASDM に よ っ て、ルールの保存時に文字列の最初 と 最後に自動的に引用符が追加 さ れ ま す。た と えば、my agent と 入力 し た場合、ASDM に よ っ て こ の文字列は "my agent" と し て保存 さ れ ま す。ASA では my agent の一致が検索 さ れ ま す。 ス ペー ス を含む文字列に引用符を追加 し ないで く だ さ い。ただ し 、文字列に追加 し た引用符 を ASA で照合 さ せ る 場合を除 き ま す。た と えば、“my agent” と 入力す る と 、ASDM はその文 字列を "\"my agent\’" と し て保存す る ため、“my agent” を検出 し よ う と し ま すが、my agent は見つか り ま せん。 • ステ ッ プ 5 ス ペー ス を含む文字列で ワ イ ル ド カー ド を使用す る 場合は、文字列全体を ワ イ ル ド カー ド で 開始 し て終了 し ま す。た と えば、*my agent* です。ASDM に よ っ て、ルールの保存時に、その文 字列は自動的に引用符で囲 ま れ ま す。 [Action] フ ィ ール ド で、[Deny] ま たは [Permit] を選択 し ま す。 ASA は、こ の設定に基づいて、ク ラ イ ア ン ト レ ス SSL VPN 接続を拒否 ま たは許可 し ま す。 ステ ッ プ 6 HTTP メ ッ セージ コ ー ド を [Returned HTTP Code] フ ィ ール ド に入力 し ま す。 HTTP メ ッ セージ番号 403 が フ ィ ール ド に あ ら か じ め入力 さ れてお り 、こ れがポー タ ル ア ク セ ス ルールのデ フ ォ ル ト 値です。メ ッ セージ コ ー ド の有効な範囲は 200 ~ 599 です。 ステ ッ プ 7 [OK] を ク リ ッ ク し ま す。 ステ ッ プ 8 [Apply] を ク リ ッ ク し ま す。 プ ロキシ バイパスの使用 ユーザはプ ロ キ シ バ イ パ ス を使用す る よ う に ASA を設定で き ま す。こ れは、プ ロ キ シ バ イ パ ス が提供す る 特別な コ ン テ ン ツ リ ラ イ ト 機能を使用 し た方が、ア プ リ ケーシ ョ ンや Web リ ソ ー ス を よ り 有効活用で き る 場合に設定 し ま す。プ ロ キ シ バ イ パ ス は コ ン テ ン ツ の書 き 換えに代わ る 手法で あ り 、元の コ ン テ ン ツ の変更を最小限に抑え ま す。多 く の場合、カ ス タ ム Web ア プ リ ケー シ ョ ン で こ れ を使用す る と 有効です。 プ ロ キ シ バ イ パ ス には複数のエ ン ト リ を設定で き ま す。エ ン ト リ を設定す る 順序は重要ではあ り ま せん。イ ン タ ー フ ェ イ ス と パ ス マ ス ク 、ま たは イ ン タ ー フ ェ イ ス と ポー ト に よ り 、プ ロ キ シ バ イ パ ス ルールが一意に指定 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-13 第 13 章 ポ リ シー グループ ポー タ ル ア ク セス ルールの設定 パ ス マ ス ク ではな く ポー ト を使用 し て プ ロ キ シ バ イ パ ス を設定す る 場合、ネ ッ ト ワ ー ク コ ン フ ィ ギ ュ レ ーシ ョ ン に よ っ ては、こ れ ら のポー ト が ASA に ア ク セ ス で き る よ う にす る ために、 フ ァ イ ア ウ ォ ール コ ン フ ィ ギ ュ レ ーシ ョ ン の変更が必要にな る こ と が あ り ま す。こ の制限を回 避す る には、パ ス マ ス ク を使用 し ま す。ただ し 、パ ス マ ス ク は変化す る こ と が あ る ため、複数の パ ス マ ス ク ス テー ト メ ン ト を使用 し て変化す る 可能性を な く す こ と が必要にな る 場合が あ り ま す。 パ ス は、URL で .com や .org、ま たはそ の他の タ イ プの ド メ イ ン 名の後に続 く 全体です。た と え ば、www.example.com/hrbenefits と い う URL では、hrbenefits がパ ス に な り ま す。同様に、 www.example.com/hrinsurance と い う URL では、hrinsurance がパ ス です。すべて の hr サ イ ト で プ ロ キ シ バ イ パ ス を 使用す る 場合は、*( ワ イ ル ド カー ド )を /hr* の よ う に使用 し て、コ マ ン ド を 複数回使用 し な い よ う にで き ま す。 ASA が コ ン テ ン ツ リ ラ イ ト を ほ と ん ど ま たは ま っ た く 実行 し ない場合のルールを設定で き ます。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxy Bypass] の順に進み ま す。 ステ ッ プ 2 プ ロ キ シ バ イ パ ス の イ ン タ ー フ ェ イ ス 名を選択 し ま す。 ステ ッ プ 3 プ ロ キ シ バ イ パ ス 用のポー ト ま たは URI を指定 し ま す。 ステ ッ プ 4 ステ ッ プ 5 • [Port]:(オプ シ ョ ン ボ タ ン)プ ロ キ シ バ イ パ ス にポー ト を使用 し ま す。有効な ポー ト 番号は 20000 ~ 21000 です。 • [Port]:(フ ィ ール ド )ASAがプ ロ キシ バ イ パス用に予約す る大 き な番号のポー ト を入力 し ます。 • [Path Mask]:(オプシ ョ ン ボ タ ン)プ ロ キ シ バ イ パ ス に URL を使用 し ま す。 • [Path Mask]:( フ ィ ール ド )プ ロ キ シ バ イ パ ス 用の URL を入力 し ま す。こ の URL には、正規表 現を使用で き ま す。 プ ロ キ シ バ イ パ ス の タ ーゲ ッ ト URL を定義 し ま す。 • [URL]:( ド ロ ッ プダ ウ ン リ ス ト )プ ロ ト コ ル と し て、http ま たは https を ク リ ッ ク し ま す。 • [URL](テ キ ス ト フ ィ ール ド ):プ ロ キ シ バ イ パ ス を適用す る URL を入力 し ま す。 リ ラ イ ト す る コ ン テ ン ツ を指定 し ま す。選択肢は、な し 、ま たは XML、リ ン ク 、お よ び ク ッ キーの 組み合わせです。 • [XML]:XML コ ン テ ン ツ を リ ラ イ ト す る 場合に選択 し ま す。 • [Hostname]: リ ン ク を リ ラ イ ト す る 場合に選択 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 13-14 CH A P T E R 14 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト ユーザ こ の章では、ユーザ リ モー ト シ ス テ ム の設定要件 と 作業の概要を説明 し ま す。ま た、ユーザが ク ラ イ ア ン ト レ ス SSL VPN の使用を開始で き る よ う に し ま す。内容は次の と お り です。 注 • ユーザ名 と パ ス ワ ー ド • セ キ ュ リ テ ィ の ヒ ン ト の通知 • ク ラ イ ア ン ト レ ス SSL VPN の機能を使用す る ための リ モー ト シ ス テ ム の設定 • ク ラ イ ア ン ト レ ス SSL VPN デー タ の キ ャ プチ ャ ASA が ク ラ イ ア ン ト レ ス SSL VPN 用に設定 さ れてい る こ と を確認 し ま す。 ユーザ名 と パスワー ド ネ ッ ト ワ ー ク に よ っ ては、リ モー ト セ ッ シ ョ ン 中にユーザが、コ ン ピ ュ ー タ 、イ ン タ ーネ ッ ト サー ビ ス プ ロ バ イ ダー、ク ラ イ ア ン ト レ ス SSL VPN、メ ール サーバ、フ ァ イ ル サーバ、企業ア プ リ ケーシ ョ ン の一部 ま たはすべて に ロ グ イ ン す る 必要が生 じ る こ と が あ り ま す。ユーザは さ ま ざ ま な コ ン テ キ ス ト で認証 を 行 う た めに、固有のユーザ名、パ ス ワ ー ド 、PIN な ど さ ま ざ ま な情 報が要求 さ れ る 場合が あ り ま す。必要な ア ク セ ス 権が あ る こ と を 確認 し て く だ さ い。 次の表に、ク ラ イ ア ン ト レ ス SSL VPN ユーザが知っ てお く 必要の あ る ユーザ名 と パ ス ワ ー ド の タ イ プ を示 し ま す。 表 14-1 ク ラ イ ア ン ト レ ス SSL VPN ユーザに通知するユーザ名 と パスワー ド ロ グ イ ン ユーザ名/ パスワー ド タ イ プ 目的 入力する タ イ ミ ン グ コ ンピ ュータ コ ン ピ ュ ー タ へのア ク セ ス コ ン ピ ュ ー タ の起動 Internet Service Provider:イ ン イ ン タ ーネ ッ ト へのア ク セ ス ターネ ッ ト サービ ス プ ロバ イ ダー イ ン タ ーネ ッ ト サービ ス プ ロ バ イ ダーへの接続 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト ネ ッ ト ワ ー ク へのア ク セ ス ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を開始 する と き File Server リ モー ト フ ァ イ ル サーバへのア ク セ ス ク ラ イ ア ン ト レ ス SSL VPN フ ァ イ ル ブ ラ ウ ジ ン グ機能 を 使用 し て、リ モー ト フ ァ イ ル サーバに ア ク セ ス す る と き Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 14-1 第 14 章 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト ユーザ セキ ュ リ テ ィ の ヒ ン ト の通知 表 14-1 ク ラ イ ア ン ト レ ス SSL VPN ユーザに通知するユーザ名 と パスワー ド (続き) ロ グ イ ン ユーザ名/ パスワー ド タ イ プ 目的 入力する タ イ ミ ン グ 企業ア プ リ ケーシ ョ ンへ のログイン フ ァ イ ア ウ ォ ールで保護 さ れた内部 サーバへのア ク セ ス ク ラ イ ア ン ト レ ス SSL VPN Web ブ ラ ウ ジ ン グ 機能を使用 し て、保護 さ れてい る 内部 Web サ イ ト にア ク セ スする と き メ ール サーバ ク ラ イ ア ン ト レ ス SSL VPN 経由に よ る 電子 メ ール メ ッ セージの送受信 リ モー ト メ ール サーバへのア ク セ ス セキ ュ リ テ ィ の ヒ ン ト の通知 次のセ キ ュ リ テ ィ の ヒ ン ト を通知 し て く だ さ い。 • ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン か ら 必ず ロ グ ア ウ ト し ま す。ロ グ ア ウ ト す る には、ク ラ イ ア ン ト レ ス SSL VPN ツールバーの logout ア イ コ ン を ク リ ッ ク す る か、ま たはブ ラ ウ ザ を閉 じ ま す。 • ク ラ イ ア ン ト レ ス SSL VPN を使用 し て も 、すべてのサ イ ト と の通信がセ キ ュ ア にな る わけ では あ り ま せん。ク ラ イ ア ン ト レ ス SSL VPN は、企業ネ ッ ト ワ ー ク 上の リ モー ト コ ン ピ ュ ー タ や ワ ー ク ス テーシ ョ ン と ASA と の間のデー タ 転送のセ キ ュ リ テ ィ を保証す る も のです。 し たが っ て、ユーザが HTTPS 以外の Web リ ソ ー ス ( イ ン タ ーネ ッ ト 上や内部ネ ッ ト ワ ー ク 上に あ る も の)に ア ク セ ス す る 場合、企業の ASA か ら 目的の Web サーバ ま での通信はセ キ ュ ア では あ り ま せん。 ク ラ イ ア ン ト レ ス SSL VPN の機能を使用するための リ モー ト システムの設定 次の表に、ク ラ イ ア ン ト レ ス SSL VPN を使用す る ための リ モー ト シ ス テ ム の設定に関連す る タ ス ク 、タ ス ク の要件 と 前提条件、お よ び推奨 さ れ る 使用法を示 し ま す。 各ユーザ ア カ ウ ン ト を異な る 設定に し た こ と に よ り 、ク ラ イ ア ン ト レ ス SSL VPN ユーザがそれ ぞれに使用で き る 機能が異な る 可能性が あ り ま す。こ の表では、情報を ユーザ ア ク テ ィ ビ テ ィ 別 に ま と めてい ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 14-2 第 14 章 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト ユーザ ク ラ イ ア ン ト レ ス SSL VPN の機能を使用する ための リ モー ト シ ス テムの設定 表 14-2 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト システム コ ン フ ィ ギ ュ レーシ ョ ン と エ ン ド ユーザの要件 タスク ク ラ イ ア ン ト レ ス SSL VPN の起動 リ モー ト シ ス テムま たはエ ン ド ユーザの 要件 仕様ま たは使用上の推奨事項 イ ン タ ーネ ッ ト への接続 サポー ト さ れてい る イ ン タ ーネ ッ ト 接続は、次 の と お り です。 ク ラ イ ア ン ト レ ス SSL VPN がサポー ト さ れてい る ブ ラ ウ ザ • 家庭の DSL、ケーブル、ダ イ ヤルア ッ プ • 公共の キ オ ス ク • ホ テルの回線 • 空港の無線 ノ ー ド • イ ン タ ーネ ッ ト カ フ ェ ク ラ イ ア ン ト レ ス SSL VPN には、次のブ ラ ウ ザ を推奨 し ます。他のブ ラ ウ ザでは、ク ラ イ ア ン ト レ ス SSL VPN 機能が完全にサポー ト さ れてい ない可能性があ り ます。 Microsoft Windows の場合: • Internet Explorer 8 • Firefox 8 Linux の場合: • Firefox 8 Mac OS X の場合: ブ ラ ウ ザで イ ネーブルに さ れてい る ク ッ キー ク ラ イ ア ン ト レ ス SSL VPN の URL • Safari 5 • Firefox 8 ポー ト 転送を介 し て ア プ リ ケーシ ョ ン にア ク セ ス す る ために、ブ ラ ウ ザで ク ッ キーを イ ネー ブルにす る 必要が あ り ま す。 HTTPS ア ド レ ス の形式は次の と お り です。 https://address address は、ク ラ イ ア ン ト レ ス SSL VPN が イ ネーブルに な っ て い る ASA( ま たは ロ ー ド バ ラ ン シ ン グ ク ラ ス タ )の イ ン タ ー フ ェ イ ス の IP ア ド レ ス ま たは DNS ホ ス ト 名です。た と え ば、https://10.89.192.163 ま たは https://cisco.example.com の よ う に な り ま す。 ク ラ イ ア ン ト レ ス SSL VPN のユーザ名 と パス ワー ド (オプ シ ョ ン) ロ ーカル プ リ ン タ ク ラ イ ア ン ト レ ス SSL VPN は、Web ブ ラ ウ ザ か ら ネ ッ ト ワ ー ク プ リ ン タ への印刷を サポー ト し てい ま せん。ロ ーカル プ リ ン タ への印刷 はサポー ト さ れてい ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 14-3 第 14 章 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト ユーザ ク ラ イ ア ン ト レ ス SSL VPN の機能を使用する ための リ モー ト シ ス テムの設定 表 14-2 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト システム コ ン フ ィ ギ ュ レーシ ョ ン と エ ン ド ユーザの要件 (続き) リ モー ト シ ス テムま たはエ ン ド ユーザの 要件 仕様ま たは使用上の推奨事項 タスク ク ラ イ ア ン ト レ ス SSL VPN 接続での フ ロ ー テ ィ ン グ ツールバーの 使用 フ ロ ーテ ィ ン グ ツールバーを使用す る と 、ク ラ イ ア ン ト レ ス SSL VPN を簡単に使用で き ま す。ツールバーを使用 し て、メ イ ン のブ ラ ウ ザ ウ ィ ン ド ウ に影響を与えずに、URL の入力、 フ ァ イ ルの場所のブ ラ ウ ズ、設定済み Web 接 続の選択がで き ま す。 ポ ッ プ ア ッ プ を ブ ロ ッ ク す る よ う にブ ラ ウ ザ が設定 さ れてい る 場合、フ ロ ーテ ィ ン グ ツー ルバーは表示で き ま せん。 フ ロ ーテ ィ ン グ ツールバーは、現在の ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を表 し ま す。 [Close] ボ タ ン を ク リ ッ ク す る と 、ASA に よ っ て ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を閉 じ る こ と を求め る メ ッ セージが表示 さ れ ま す。 ヒン ト Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 14-4 テ キ ス ト を テ キ ス ト フ ィ ール ド に貼 り 付け る には、Ctrl を押 し た状態で V を押 し ま す ( ク ラ イ ア ン ト レ ス SSL VPN ツールバーでは、右 ク リ ッ ク は イ ネーブルにな っ てい ま せん)。 第 14 章 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト ユーザ ク ラ イ ア ン ト レ ス SSL VPN の機能を使用する ための リ モー ト シ ス テムの設定 表 14-2 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト システム コ ン フ ィ ギ ュ レーシ ョ ン と エ ン ド ユーザの要件 (続き) タスク Web ブ ラ ウ ジ ン グ リ モー ト シ ス テムま たはエ ン ド ユーザの 要件 仕様ま たは使用上の推奨事項 保護 さ れてい る Web サ イ ト のユーザ名 と ク ラ イ ア ン ト レ ス SSL VPN を使用 し て も 、すべ パス ワー ド てのサ イ ト と の通信がセ キ ュ アにな る わけで はあ り ま せん。「セ キ ュ リ テ ィ の ヒ ン ト の通知」 を参照 し て く だ さ い。 ク ラ イ ア ン ト レ ス SSL VPN での Web ブ ラ ウ ジ ン グ のル ッ ク ア ン ド フ ィ ールは、ユーザが使 い慣れた も の と 異な る 場合が あ り ま す。次に例 を示 し ま す。 • ク ラ イ ア ン ト レ ス SSL VPN の タ イ ト ル バーが各 Web ページの上部に表示 さ れ る 。 • Web サ イ ト へのア ク セ ス 方法: – [Clientless SSL VPN Home] ページ上の [Enter Web Address] フ ィ ール ド に URL を入力す る 。 – [Clientless SSL VPN Home] ページ上に あ る 設定済みの Web サ イ ト リ ン ク を ク リ ッ クする。 – 上記 2 つの ど ち ら かの方法で ア ク セ ス し た Web ページ上の リ ン ク を ク リ ッ クする。 ま た、特定の ア カ ウ ン ト の設定に よ っ ては、次 の よ う にな る 場合 も あ り ま す。 ネ ッ ト ワーク ブ ラ ウジング と フ ァ イ ル管理 共有 リ モー ト ア ク セ ス 用に設定 さ れた フ ァ イル ア ク セ ス権 • 一部の Web サ イ ト がブ ロ ッ ク さ れてい る 。 • ア ク セ ス 可能な Web サ イ ト が、[Clientless SSL VPN Home] ページに リ ン ク と し て表 示 さ れ る サ イ ト に限定 さ れ る 。 ク ラ イ ア ン ト レ ス SSL VPN を介 し て ア ク セ ス で き る のは、共有 フ ォ ルダ と 共有 フ ァ イ ルに限 ら れ ま す。 保護 さ れてい る フ ァ イ ル サーバのサーバ — 名 と パス ワー ド フ ォルダ と フ ァ イルが存在する ド メ イ ン、 ワー ク グループ、およびサーバ名 ユーザは、組織ネ ッ ト ワ ー ク を 介 し て フ ァ イ ル を 見つけ る 方法に慣れて い な い場合が あ り ま す。 — コ ピ ー処理の進行中は、Copy File to Server コ マ ン ド を中断 し た り 、別の画面に移動 し た り し ないで く だ さ い。コ ピ ー処理を中断す る と 、不 完全な フ ァ イ ルがサーバに保存 さ れ る 可能性 が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 14-5 第 14 章 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト ユーザ ク ラ イ ア ン ト レ ス SSL VPN の機能を使用する ための リ モー ト シ ス テムの設定 表 14-2 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト システム コ ン フ ィ ギ ュ レーシ ョ ン と エ ン ド ユーザの要件 (続き) リ モー ト シ ス テムま たはエ ン ド ユーザの 要件 仕様ま たは使用上の推奨事項 タスク ア プ リ ケーシ ョ ン の 使用 注 Mac OS X の場合、こ の機能を サポー ト し てい る のは Safari ブ ラ ウ ザだけです。 注 こ の機能を使用す る には、Oracle Java Runtime Environment(JRE)を イ ン ス ト ール し て ロ ーカル ク ラ イ ア ン ト を設定す る 必要が あ り ま す。こ れには、ロ ーカル シ ス テ ム で管理者の許可が必要にな る ため、ユーザがパブ リ ッ ク リ モー ト シ ス テ ム か ら 接続 し た場合に、ア プ リ ケーシ ョ ン を使用で き ない可能性が あ り ま す。 (ポー ト 転送 ま たはア プ リ ケーシ ョ ン ア ク セ ス と 呼ばれ る ) 注意 ユーザは、ア プ リ ケーシ ョ ン を使用 し 終え た ら 、[Close] ア イ コ ン を ク リ ッ ク し て 必ず [Application Access] ウ ィ ン ド ウ を閉 じ る 必要が あ り ま す。こ の ウ ィ ン ド ウ を 正 し く 閉 じ ない と 、Application Access ま たはア プ リ ケーシ ョ ン自体に ア ク セ ス で き な く な る 可能性が あ り ま す。 イ ン ス ト ール済みの ク ラ イ ア ン ト ア プ リ — ケーシ ョ ン ブ ラ ウ ザで イ ネーブルに さ れてい る ク ッ キー — 管理者特権 イ ン ス ト ール済みの Oracle Java Runtime Environment(JRE)バージ ョ ン 1.4.x と 1.5.x ユーザは、DNS 名を使用 し てサーバ を指定す る 場合、ホ ス ト フ ァ イ ル を変更す る のに必要 にな る ため、コ ン ピ ュ ー タ に対す る 管理者ア ク セ ス 権が必要にな り ま す。 JRE が イ ン ス ト ール さ れていない場合は、ポ ッ プ ア ッ プ ウ ィ ン ド ウ が表示 さ れ、ユーザに対 し て使用可能なサ イ ト が示 さ れ ま す。 ブ ラ ウ ザで JavaScript を イ ネーブルにす る 必要が あ り ま す。デ フ ォ ル ト では有効 に設定 さ れてい ま す。 まれに、Java 例外エ ラ ーで、ポー ト 転送アプ レ ッ ト が失敗す る こ と があ り ます。こ の よ う な状況 が発生 し た場合は、次の手順を実行 し ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 14-6 1. ブ ラ ウ ザの キ ャ ッ シ ュ を ク リ ア し て、ブ ラ ウ ザ を閉 じ ま す。 2. Java ア イ コ ンが コ ン ピ ュ ー タ の タ ス ク バー に表示 さ れていない こ と を確認 し ます。Java の イ ン ス タ ン ス をすべて閉 じ ます。 3. ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を 確立 し 、ポー ト 転送 Java ア プ レ ッ ト を起動 し ま す。 第 14 章 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト ユーザ ク ラ イ ア ン ト レ ス SSL VPN の機能を使用する ための リ モー ト シ ス テムの設定 表 14-2 タスク ク ラ イ ア ン ト レ ス SSL VPN リ モー ト システム コ ン フ ィ ギ ュ レーシ ョ ン と エ ン ド ユーザの要件 (続き) リ モー ト シ ス テムま たはエ ン ド ユーザの 要件 仕様ま たは使用上の推奨事項 設定済みの ク ラ イ アン ト アプ リ ケーシ ョ ン ク ラ イ ア ン ト ア プ リ ケーシ ョ ン を設定す る に (必要な場合)。 は、ロ ーカルにマ ッ ピ ン グ さ れたサーバの IP ア ド レ ス と ポー ト 番号を使用 し ま す。こ の情報 注 Microsoft Outlook ク ラ イ ア ン ト の を見つけ る には、次の手順を実行 し ま す。 場合、こ の設定手順は不要です。 Windows 以外のすべての ク ラ イ ア ン ト ア プ リ ケーシ ョ ン では、設定が必要です。 Windows ア プ リ ケーシ ョ ン の設定が必要 か ど う か を確認す る には、[Remote Server] の値を チ ェ ッ ク し ま す。 • [Remote Server] にサーバ ホ ス ト 名が 含 ま れてい る 場合、ク ラ イ ア ン ト ア プ リ ケーシ ョ ン の設定は不要です。 • [Remote Server] フ ィ ール ド に IP ア ド レ ス が含 ま れてい る 場合、ク ラ イ ア ン ト ア プ リ ケーシ ョ ン を設定す る 必要 が あ り ま す。 1. リ モー ト シ ス テ ム で ク ラ イ ア ン ト レ ス SSL VPN を起動 し 、[Clientless SSL VPN Home] ページで Application Access リ ン ク を ク リ ッ ク し ま す。[Application Access] ウ ィ ン ド ウ が表示 さ れ ま す。 2. [Name] カ ラ ム で、使用す る サーバ名を確認 し 、こ のサーバに対応す る ク ラ イ ア ン ト IP ア ド レ ス と ポー ト 番号を [Local] カ ラ ム で 確認 し ま す。 3. こ の IP ア ド レ ス と ポー ト 番号を使用 し て、 ク ラ イ ア ン ト ア プ リ ケーシ ョ ン を設定 し ま す。設定手順は、ク ラ イ ア ン ト ア プ リ ケーシ ョ ン に よ っ て異な り ま す。 ク ラ イ ア ン ト レ ス SSL VPN で実行 さ れてい る ア プ リ ケーシ ョ ン で URL(電子 メ ール 内の URL な ど )を ク リ ッ ク し て も 、ク ラ イ ア ン ト レ ス SSL VPN ではそのサ イ ト は開 き ま せん。ク ラ イ ア ン ト レ ス SSL VPN で こ の よ う なサ イ ト を開 く には、[Enter (URL) Address] フ ィ ール ド に URL を カ ッ ト ア ン ド ペー ス ト し ま す。 Application Access を介 Application Access の要件を満たす(「ア プ 電子 メ ール を使用す る には、[Clientless SSL VPN Home] ページか ら Application Access を した リ ケーシ ョ ン の使用」を参照) 起動 し ま す。こ れに よ り 、メ ール ク ラ イ ア ン ト 電子 メ ールの使用 が使用で き る よ う にな り ま す。 注 注 IMAP ク ラ イ ア ン ト の使用中に メ ール サーバ と の接続が中断 し た り 、新 し く 接続を 確立で き ない場合は、IMAP ア プ リ ケーシ ョ ン を終了 し て ク ラ イ ア ン ト レ ス SSL VPN を再起動 し ま す。 他の電子 メ ール ク ラ イ ア ン ト Microsoft Outlook Express バージ ョ ン 5.5 お よ び 6.0 はテ ス ト 済みです。 ク ラ イ ア ン ト レ ス SSL VPN は、Lotus Notes や Eudora な ど の、ポー ト 転送を介 し た その他の SMTPS、POP3S、ま たは IMAP4S 電子 メ ール プ ロ グ ラ ム を サポー ト し ま すが、動作確認は行っ てい ま せん。 Web Access Web Access イ ン ス ト ール さ れてい る Web ベー ス の電 サポー ト さ れてい る 製品は次の と お り です。 子 メ ール製品 • Outlook Web Access 最適な結果を得 る ために、Internet Explorer 8.x 以上、ま たは Firefox 8 で OWA を使用 し て く だ さ い。 • Lotus Notes その他の Web ベー ス の電子 メ ール製品 も 動作 し ま すが、動作確認は行っ てい ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 14-7 第 14 章 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト ユーザ ク ラ イ ア ン ト レ ス SSL VPN デー タ のキ ャ プ チ ャ 表 14-2 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト システム コ ン フ ィ ギ ュ レーシ ョ ン と エ ン ド ユーザの要件 (続き) リ モー ト シ ス テムま たはエ ン ド ユーザの 要件 仕様ま たは使用上の推奨事項 タスク 電子 メ ール プ ロ キ シ を介 し た電子 メ ールの 使用 イ ン ス ト ール済みの SSL 対応 メ ール ア プ リ ケーシ ョ ン ASA SSL バージ ョ ン を TLSv1 Only に設 定 し ないで く だ さ い。Outlook お よ び Outlook Express では TLS はサポー ト さ れ ま せん。 サポー ト さ れてい る メ ール ア プ リ ケーシ ョ ン は次の と お り です。 • Microsoft Outlook • Microsoft Outlook Express バージ ョ ン 5.5 お よ び 6.0 その他の SSL 対応 ク ラ イ ア ン ト も 動作 し ま す が、動作確認は行っ てい ま せん。 設定済みの メ ール ア プ リ ケーシ ョ ン ク ラ イ ア ン ト レ ス SSL VPN デー タ のキ ャ プチ ャ CLI capture コ マ ン ド を使用す る と 、ク ラ イ ア ン ト レ ス SSL VPN 接続では正 し く 表示 さ れない Web サ イ ト に関す る 情報を記録で き ま す。こ のデー タ は、シ ス コ カ ス タ マー サポー ト エ ン ジ ニ ア に よ る 問題の ト ラ ブルシ ュ ーテ ィ ン グ に役立ち ま す。次の各項では、キ ャ プチ ャ コ マ ン ド の使 用方法について説明 し ま す。 注 • キ ャ プチ ャ フ ァ イ ルの作成 • キ ャ プチ ャ デー タ を表示す る ためのブ ラ ウ ザの使用 ク ラ イ ア ン ト レ ス SSL VPN キ ャ プチ ャ を イ ネーブルにす る と 、ASA のパ フ ォ ーマ ン ス に影響 し ま す。ト ラ ブルシ ュ ーテ ィ ン グ に必要な キ ャ プチ ャ フ ァ イ ル を生成 し た ら 、キ ャ プチ ャ を必ずオ フ に切 り 替え ま す。 キ ャ プチ ャ フ ァ イルの作成 ステ ッ プ 1 ク ラ イ ア ン ト レ ス SSL VPN キ ャ プチ ャ ユーテ ィ リ テ ィ を開始 し てパケ ッ ト を キ ャ プチ ャ し ます。 capture capture-name type webvpn user csslvpn-username 例: hostname# capture hr type webvpn user user2 • capture_name は、キ ャ プチ ャ に割 り 当て る 名前です。こ れは、キ ャ プチ ャ フ ァ イ ルの名前の 先頭に も 付加 さ れ ま す。 • csslvpn-username は、キ ャ プチ ャ の対象 と な る ユーザ名です。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 14-8 第 14 章 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト ユーザ ク ラ イ ア ン ト レ ス SSL VPN デー タ のキ ャ プ チ ャ ステ ッ プ 2 コ マ ン ド の no バージ ョ ン を使用 し て キ ャ プチ ャ を停止 し ま す。 no capture capture-name 例: hostname# no capture hr キ ャ プチ ャ ユーテ ィ リ テ ィ は capture-name.zip フ ァ イ ル を作成 し 、こ の フ ァ イ ルはパ ス ワ ー ド koleso で暗号化 さ れ ま す。 ステ ッ プ 3 .zip フ ァ イ ル を シ ス コ に送信す る か、Cisco TAC サービ ス リ ク エ ス ト に添付 し ま す。 ステ ッ プ 4 .zip フ ァ イ ルの内容 を確認す る には、パ ス ワ ー ド koleso を使用 し て フ ァ イ ル を解凍 し ま す。 キ ャ プチ ャ デー タ を表示するためのブ ラ ウザの使用 ステ ッ プ 1 ク ラ イ ア ン ト レ ス SSL VPN キ ャ プチ ャ ユーテ ィ リ テ ィ を開始 し ま す。 capture capture-name type webvpn user csslvpn-username 例: hostname# capture hr type webvpn user user2 ステ ッ プ 2 • capture_name は、キ ャ プチ ャ に割 り 当て る 名前です。こ れは、キ ャ プチ ャ フ ァ イ ルの名前の 先頭に も 付加 さ れ ま す。 • csslvpn-username は、キ ャ プチ ャ の対象 と な る ユーザ名です。 ブ ラ ウ ザ を開 き 、[Address] ボ ッ ク ス に次の よ う に入力 し ま す。 https://IP address or hostname of the ASA/webvpn_capture.html キ ャ プチ ャ さ れた コ ン テ ン ツ が sniffer 形式で表示 さ れ ま す。 ステ ッ プ 3 コ マ ン ド の no バージ ョ ン を使用 し て キ ャ プチ ャ を停止 し ま す。 no capture capture-name 例: hostname# no capture hr Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 14-9 第 14 章 ク ラ イ ア ン ト レ ス SSL VPN デー タ のキ ャ プ チ ャ Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 14-10 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト ユーザ CH A P T E R 15 ク ラ イ ア ン ト レ ス SSL VPN ユーザ こ の項では、ユーザが ク ラ イ ア ン ト レ ス SSL VPN の使用を開始す る ために、ユーザに伝え る 必 要の あ る 情報 も 明確に し ま す。説明す る 項目は次の と お り です。 • パ ス ワ ー ド の管理(15-1 ページ) • 自動サ イ ン オ ン の使用(15-8 ページ) • セ キ ュ リ テ ィ の ヒ ン ト の通知(15-9 ページ) • ク ラ イ ア ン ト レ ス SSL VPN の機能を使用す る ための リ モー ト シ ス テ ムの設定(15-10 ページ) パスワー ド の管理 オプ シ ョ ン で、パ ス ワ ー ド の期限切れが近づ く と エ ン ド ユーザに警告す る よ う にASAを設定で き ま す。 ASAでは、RADIUS お よ び LDAP プ ロ ト コ ルのパ ス ワ ー ド 管理を サポー ト し ま す。 「password-expire-in-days」オプシ ョ ン は、LDAP に対 し てのみサポー ト さ れ ま す。 IPsec リ モー ト ア ク セ ス と SSL VPN ト ン ネルグループのパ ス ワ ー ド 管理を設定で き ま す。パ ス ワ ー ド 管理を設定す る と 、ASA は、リ モー ト ユーザの ロ グ イ ン時に、現在のパ ス ワ ー ド の期限切 れが近づいてい る こ と 、ま たは期限が切れてい る こ と を通知 し ま す。それか ら ASAは、ユーザが パ ス ワ ー ド を変更で き る よ う に し ま す。現行のパ ス ワ ー ド が失効 し ていない場合、ユーザはその パ ス ワ ー ド を使用 し て ロ グ イ ン し 続け る こ と がで き ま す。 こ の コ マ ン ド は、こ の通知を サポー ト し てい る AAA サーバに対 し て有効です。 ASAの リ リ ー ス 7.1 以降では通常、LDAP に よ る 認証時、ま たは MS-CHAPv2 を サポー ト す る RADIUS コ ン フ ィ ギ ュ レ ーシ ョ ン に よ る 認証時に、次の接続 タ イ プに対す る パ ス ワ ー ド 管理が サポー ト さ れ ま す。 • AnyConnect VPN ク ラ イ ア ン ト • IPsec VPN ク ラ イ ア ン ト • ク ラ イ ア ン ト レ ス SSL VPN RADIUS サーバ(Cisco ACS な ど )は、認証要求を別の認証サーバにプ ロ キ シす る 場合が あ り ま す。ただ し 、ASAか ら は RADIUS サーバのみに対 し て通信 し てい る よ う に見え ま す。 は じ める前に • ネ イ テ ィ ブ LDAP には、SSL 接続が必要です。LDAP のパ ス ワ ー ド 管理を実行す る 前に、SSL 上での LDAP を イ ネーブルにす る 必要が あ り ま す。デ フ ォ ル ト では、LDAP はポー ト 636 を 使用 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-1 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ パスワー ド の管理 • 認証に LDAP デ ィ レ ク ト リ サーバ を使用 し てい る 場合、パ ス ワ ー ド 管理は Sun JAVA System Directory Server(旧名称は Sun ONE Directory Server)お よ び Microsoft Active Directory を使用 し てサポー ト さ れ ま す。 – Sun:Sun デ ィ レ ク ト リ サーバにア ク セ ス す る ためにASAに設定 さ れてい る DN は、その サーバ上のデ フ ォ ル ト パ ス ワ ー ド ポ リ シーに ア ク セ ス で き る 必要が あ り ま す。DN と し て、デ ィ レ ク ト リ 管理者、ま たはデ ィ レ ク ト リ 管理者権限を持つユーザ を使用す る こ と を推奨 し ま す。ま たは、デ フ ォ ル ト パ ス ワ ー ド ポ リ シーに ACI を設定で き ま す。 – Microsoft:Microsoft Active Directory でパ ス ワ ー ド 管理を イ ネーブルにす る には、LDAP over SSL を設定す る 必要が あ り ま す。 • MSCHAP を サポー ト す る 一部の RADIUS サーバは、現在 MSCHAPv2 を サポー ト し て い ま せん。こ の コ マ ン ド には MSCHAPv2 が必要な た め、ベ ン ダーに問い合わせて く だ さ い。 • Kerberos/Active Directory(Windows パ ス ワ ー ド ) ま たは NT 4.0 ド メ イ ン では、こ れ ら の接続 タ イ プのいずれについて も 、パ ス ワ ー ド 管理はサポー ト さ れ ま せん 。 • LDAP でパ ス ワ ー ド を変更す る には、市販の LDAP サーバ ご と に独自の方法が使用 さ れてい ま す。現在、ASAでは Microsoft Active Directory お よ び Sun LDAP サーバに対 し てのみ、独自 のパ ス ワ ー ド 管理 ロ ジ ッ ク を実装 し てい ま す。 • RADIUS ま たは LDAP 認証が設定 さ れていない場合、ASAでは こ の コ マ ン ド が無視 さ れ ま す。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > [Add or Edit] > [Advanced] > [General] > [Password Management] に移動 し ま す。 ステ ッ プ 2 [Enable password management] オプ シ ョ ン を ク リ ッ ク し ま す。 シス コの認証スキームの SiteMinder への追加 SiteMinder に よ る SSO を使用す る ための ASA の設定に加え、Java プ ラ グ イ ン と し て提供 さ れて い る シ ス コ の認証 ス キーム(シ ス コ の Web サ イ ト か ら ダ ウ ン ロ ー ド )を使用す る よ う にユーザの CA SiteMinder ポ リ シー サーバ を設定す る 必要 も あ り ま す。 は じ める前に SiteMinder ポ リ シー サーバ を設定す る には、SiteMinder の経験が必要です。 ステ ッ プ 1 SiteMinder Administration ユーテ ィ リ テ ィ を使用 し て、次の特定の引数を使用で き る よ う に カ ス タ ム認証 ス キーム を作成 し ま す。 • Library フ ィ ール ド に、smjavaapi と 入力 し ま す。 • Secret フ ィ ール ド に、ASAに設定 し た も の と 同 じ 秘密キーを入力 し ま す。 コ マ ン ド ラ イ ン イ ン タ ー フ ェ イ ス で policy-server-secret コ マ ン ド を使用 し て、ASA に秘密 キーを設定 し ま す。 • ステ ッ プ 2 Parameter フ ィ ール ド に、CiscoAuthAPI と 入力 し ま す。 Cisco.com に ロ グ イ ン し て、http://www.cisco.com/cisco/software/navigator.html か ら cisco_vpn_auth.jar フ ァ イ ルを ダ ウ ン ロー ド し て、SiteMinder サーバのデフ ォル ト の ラ イ ブ ラ リ デ ィ レ ク ト リ に コ ピー し ます。こ の .jar フ ァ イ ルは、Cisco ASA CD に も 含まれています。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-2 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ パスワー ド の管理 SAML POST SSO サーバの設定 サーバ ソ フ ト ウ ェ ア ベン ダーが提供す る SAML サーバのマ ニ ュ アルに従っ て、SAML サーバ を Relying Party モー ド で設定 し ま す。 ステ ッ プ 1 ア サーテ ィ ン グ パーテ ィ (ASA)を表す SAML サーバ パ ラ メ ー タ を設定 し ま す。 • Recipient consumer URL(ASA で設定す る assertion consumer URL と 同一) • Issuer ID(通常はア プ ラ イ ア ン ス の ホ ス ト 名で あ る 文字列) • Profile type:Browser Post Profile ステ ッ プ 2 証明書を設定 し ま す。 ステ ッ プ 3 ア サーテ ィ ン グ パーテ ィ の ア サーシ ョ ン には署名が必要な こ と を指定 し ま す。 ステ ッ プ 4 SAML サーバがユーザ を特定す る 方法を、次の よ う に選択 し ま す。 • Subject Name Type が DN • Subject Name format が uid=<user> HTTP Form プ ロ ト コルを使用 し た SSO の設定 こ の項では、SSO におけ る HTTP Form プ ロ ト コ ルの使用について説明 し ま す。HTTP Form プ ロ ト コ ルは、SSO 認証を実行す る ための手段で、AAA 方式 と し て も 使用で き ま す。こ のプ ロ ト コ ル は、ク ラ イ ア ン ト レ ス SSL VPN のユーザお よ び認証を行 う Web サーバの間で認証情報を交換す る セ キ ュ ア な方法を提供 し ま す。RADIUS サーバや LDAP サーバな ど の他の AAA サーバ と 組み 合わせて使用す る こ と がで き ま す。 ASA は、こ こ で も 認証 Web サーバに対す る ク ラ イ ア ン ト レ ス SSL VPN のユーザのプ ロ キ シ と し て機能 し ま すが、こ の場合は、要求に対 し て HTTP Form プ ロ ト コ ル と POST 方式を使用 し ま す。 フ ォ ーム デー タ を送受信す る よ う にASAを設定す る 必要が あ り ま す。 HTTP プ ロ ト コ ル を使用 し て SSO を正 し く 設定す る には、認証 と HTTP プ ロ ト コ ル交換につい ての詳 し い実務知識が必要です。 こ れは、一般的な プ ロ ト コ ル と し て、認証に使用す る Web サーバ ア プ リ ケーシ ョ ン の次の条件 に一致す る 場合にだけ適用で き ま す。 • 認証 ク ッ キーは、正常な要求に対 し て設定 さ れ、未許可の ロ グ イ ン に対 し て設定 さ れない よ う にす る 必要があ り ます。こ の場合、ASA は、失敗 し た認証か ら 正常な要求を識別す る こ と はで き ません。 次の図は、後述す る SSO 認証手順を示 し てい ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-3 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ パスワー ド の管理 HTTP Form を使用 し た SSO 認証 2 1 3 4 5 Tunnel Web VPN server Auth Web server 5 Other protected web server 148147 図 15-1 1. 最初に、ク ラ イ ア ン ト レ ス SSL VPN のユーザは、ユーザ名 と パ ス ワ ー ド を入力 し て ASA 上 の ク ラ イ ア ン ト レ ス SSL VPN サーバに ロ グ オ ン し ま す。 2. ユーザのプ ロ キ シ と し て動作す る ク ラ イ ア ン ト レ ス SSL VPN サーバは、こ の フ ォ ーム デー タ (ユーザ名お よ びパ ス ワ ー ド )を、POST 認証要求を使用 し て認証 Web サーバに転送 し ま す。 3. 認証 Web サーバがユーザのデー タ を承認 し た場合は、認証 ク ッ キーを ユーザの代行で保存 し ていた ク ラ イ ア ン ト レ ス SSL VPN サーバに戻 し ま す。 4. ク ラ イ ア ン ト レ ス SSL VPN サーバはユーザ ま での ト ン ネル を確立 し ま す。 5. こ れでユーザは、ユーザ名やパ ス ワ ー ド を再入力 し な く て も 、保護 さ れた SSO 環境内の他の Web サ イ ト に ア ク セ ス で き る よ う にな り ま す。 ASA でユーザ名やパ ス ワ ー ド な ど の POST デー タ を含め る よ う に フ ォ ーム パ ラ メ ー タ を設定 し て も 、Web サーバが要求す る 非表示のパ ラ メ ー タ が追加 さ れた こ と に、ユーザが最初に気付かな い可能性が あ り ま す。認証ア プ リ ケーシ ョ ン の中には、ユーザ側に表示 さ れず、ユーザが入力す る こ と も ない非表示デー タ を要求す る も の も あ り ま す。ただ し 、認証 Web サーバが要求す る 非表 示パ ラ メ ー タ を見つけ る のは可能です。こ れは、ASA を仲介役のプ ロ キ シ と し て使用せずに、 ユーザのブ ラ ウ ザか ら Web サーバに直接認証要求を出す方法で行い ま す。HTTP ヘ ッ ダー アナ ラ イ ザ を使用 し て Web サーバの応答を分析す る と 、非表示パ ラ メ ー タ が次の よ う な形式で表示 さ れ ま す。 <param name>=<URL encoded value>&<param name>=<URL encoded> 非表示パ ラ メ ー タ には、必須のパ ラ メ ー タ と オプシ ョ ン のパ ラ メ ー タ と が あ り ま す。Web サーバ が非表示パ ラ メ ー タ のデー タ を要求す る と 、Web サーバはそのデー タ を省略す る すべての認証 POST 要求 を拒否 し ま す。ヘ ッ ダー アナ ラ イ ザは、非表示パ ラ メ ー タ が必須かオプ シ ョ ン かにつ いては伝え ないため、必須のパ ラ メ ー タ が判別で き る ま ではすべての非表示パ ラ メ ー タ を含め てお く こ と をお勧め し ま す。 HTTP Form デー タ の収集 こ の項では、必要な HTTP Form デー タ を検出お よ び収集す る 手順を示 し ま す。認証 Web サーバ が要求す る パ ラ メ ー タ が何かわか ら ない場合は、認証交換を分析す る と パ ラ メ ー タ デー タ を収 集す る こ と がで き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-4 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ パスワー ド の管理 は じ める前に こ れ ら の手順では、ブ ラ ウ ザ と HTTP ヘ ッ ダー アナ ラ イ ザが必要です。 ステ ッ プ 1 ユーザのブ ラ ウ ザ と HTTP ヘ ッ ダー アナ ラ イ ザ を起動 し て、ASA を経由せずに Web サーバの ロ グ イ ン ページに直接接続 し ま す。 ステ ッ プ 2 Web サーバの ロ グ イ ン ページ がユーザのブ ラ ウ ザに ロ ー ド さ れて か ら 、ロ グ イ ン シーケ ン ス を 検証 し て交換時に ク ッ キーが設定 さ れて い る か ど う か判別 し ま す。Web サーバに よ っ て ロ グ イ ン ページ に ク ッ キーが ロ ー ド さ れて い る 場合は、こ の ロ グ イ ン ページ の URL を start-URL と し て設定 し ま す。 ステ ッ プ 3 Web サーバに ロ グ オ ンす る ためのユーザ名 と パ ス ワ ー ド を入力 し て、Enter を押 し ま す。こ の動 作に よ っ て、ユーザが検証す る 認証 POST 要求が HTTP ヘ ッ ダー アナ ラ イ ザ を使用 し て生成 さ れ ま す。 次に、ホ ス ト の HTTP ヘ ッ ダーお よ び本文が記載 さ れた POST 要求の例を示 し ま す。 POST /emco/myemco/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000430e1-7443-125c-ac05 -83846dc90034&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIr NT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fwww.example.com%2Femco%2Fmye mco%2FHTTP/1.1 Host: www.example.com (BODY) SMENC=ISO-8859-1&SMLOCALE=US-EN&USERID=Anyuser&USER_PASSWORD=XXXXXX&target=https%3A%2F% 2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0 ステ ッ プ 4 POST 要求を検証 し てプ ロ ト コ ル、ホ ス ト を コ ピ ー し 、URL を入力 し て action-uri パ ラ メ ー タ を設 定 し ま す。 ステ ッ プ 5 POST 要求の本文を検証 し て、次の情報を コ ピ ー し ま す。 a. ユーザ名パ ラ メ ー タ 。上記の例では、こ のパ ラ メ ー タ は USERID で、値 anyuser ではあ り ません。 b. パ ス ワ ー ド パ ラ メ ー タ 。上記の例では、こ のパ ラ メ ー タ は USER_PASSWORD です。 c. 非表示パ ラ メ ー タ 。こ のパ ラ メ ー タ は、POST 本文か ら ユーザ名パ ラ メ ー タ と パ ス ワ ー ド パ ラ メ ー タ を除 く すべて です。前の例の非表示パ ラ メ ー タ は次の と お り です。 SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Fe mco%2Fmyemco%2F&smauthreason=0 次の図は、HTTP アナ ラ イ ザの出力例に表示 さ れ る ア ク シ ョ ン URI、非表示、ユーザ名、パ ス ワ ー ド の各種パ ラ メ ー タ を強調 し て示 し た も のです。こ れは一例です。出力は Web サ イ ト に よ っ て大 幅に異な る こ と が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-5 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ パスワー ド の管理 図 15-2 action-uri、非表示、ユーザ名、パスワー ド の各種パラ メ ー タ 1 2 3 1 249533 2 3 ステ ッ プ 6 1 action URI パ ラ メ ー タ 2 非表示パ ラ メ ー タ 3 ユーザ名パ ラ メ ー タ と パ ス ワ ー ド パ ラ メ ータ Web サーバへの ロ グ オ ン が成功 し た ら 、HTTP ヘ ッ ダー アナ ラ イ ザ を使用 し て、サーバか ら ユー ザのブ ラ ウ ザに設定 さ れてい る ク ッ キー名を見つけ出す こ と に よ っ て、サーバの応答を検証 し ま す。こ れは auth-cookie-name パ ラ メ ー タ です。 次のサーバ応答ヘ ッ ダーでは、SMSESSION がセ ッ シ ョ ン の ク ッ キーの名前です。必要なのは こ の名前だけです。値は不要です。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-6 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ パスワー ド の管理 Set-Cookie: SMSESSION=yN4Yp5hHVNDgs4FT8dn7+Rwev41hsE49XlKc+1twie0gqnjbhkTkUnR8XWP3hvDH6PZP bHIHtWLDKTa8ngDB/lbYTjIxrbDx8WPWwaG3CxVa3adOxHFR8yjD55GevK3ZF4ujgU1lhO6fta0dSS OSepWvnsCb7IFxCw+MGiw0o88uHa2t4l+SillqfJvcpuXfiIAO06D/gtDF40Ow5YKHEl2KhDEvv+yQ zxwfEz2cl7Ef5iMr8LgGcDK7qvMcvrgUqx68JQOK2+RSwtHQ15bCZmsDU5vQVCvSQWC8OMHNGwpS25 3XwRLvd/h6S/tM0k98QMv+i3N8oOdj1V7flBqecH7+kVrU01F6oFzr0zM1kMyLr5HhlVDh7B0k9wp0 dUFZiAzaf43jupD5f6CEkuLeudYW1xgNzsR8eqtPK6t1gFJyOn0s7QdNQ7q9knsPJsekRAH9hrLBhW BLTU/3B1QS94wEGD2YTuiW36TiP14hYwOlCAYRj2/bY3+lYzVu7EmzMQ+UefYxh4cF2gYD8RZL2Rwm P9JV5l48I3XBFPNUw/3V5jf7nRuLr/CdfK3OO8+Pa3V6/nNhokErSgyxjzMd88DVzM41LxxaUDhbcm koHT9ImzBvKzJX0J+o7FoUDFOxEdIqlAN4GNqk49cpi2sXDbIarALp6Bl3+tbB4MlHGH+0CPscZXqo i/kon9YmGauHyRs+0m6wthdlAmCnvlJCDfDoXtn8DpabgiW6VDTrvl3SGPyQtUv7Wdahuq5SxbUzjY 2JxQnrUtwB977NCzYu2sOtN+dsEReWJ6ueyJBbMzKyzUB4L3i5uSYN50B4PCv1w5KdRKa5p3N0Nfq6 RM6dfipMEJw0Ny1sZ7ohz3fbvQ/YZ7lw/k7ods/8VbaR15ivkE8dSCzuf/AInHtCzuQ6wApzEp9CUo G8/dapWriHjNoi4llJOgCst33wEhxFxcWy2UWxs4EZSjsI5GyBnefSQTPVfma5dc/emWor9vWr0HnT QaHP5rg5dTNqunkDEdMIHfbeP3F90cZejVzihM6igiS6P/CEJAjE;Domain=.example.com;Path= / 次の図に、HTTP アナ ラ イ ザに よ る 許可 ク ッ キーの出力例を示 し ま す。こ れは一例です。出力は Web サ イ ト に よ っ て大幅に異な る こ と が あ り ま す。 HTTP アナ ラ イザの出力例に表示 さ れた認可ク ッ キー 1 249532 図 15-3 1 1 ステ ッ プ 7 認可 ク ッ キー 場合に よ っ ては、認証の成否にかかわ ら ず同 じ ク ッ キーがサーバに よ っ て設定 さ れ る 可能性が あ り 、こ の よ う な ク ッ キーは、SSO の目的上、認め ら れ ま せん。ク ッ キーが異な っ てい る こ と を確 認す る には、無効な ロ グ イ ン ク レ デン シ ャ ル を使用 し て ス テ ッ プ 1 か ら ス テ ッ プ 6 を繰 り 返 し 、 「失敗」 ク ッ キー と 「成功 し た」 ク ッ キー と を比較 し ま す。こ れで、HTTP Form プ ロ ト コ ルに よ る SSO をASAに設定す る ために必要なパ ラ メ ー タ デー タ を入手で き ま し た。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-7 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ 自動サイ ン オ ンの使用 自動サイ ンオンの使用 [Auto Sign-on] ウ ィ ン ド ウ ま たは タ ブでは、ク ラ イ ア ン ト レ ス SSL VPN ユーザの自動サ イ ン オ ン を設定 ま たは編集で き ま す。自動サ イ ン オ ン は、内部ネ ッ ト ワ ー ク に SSO 方式を ま だ展開 し てい ない場合に使用で き る 簡素化 さ れた単一サ イ ン オ ン方式です。特定の内部サーバに対 し て自動 サ イ ン オ ン を設定す る と 、ASA は、ク ラ イ ア ン ト レ ス SSL VPN ユーザが ASA への ロ グ オ ン で入 力 し た ロ グ イ ン ク レ デン シ ャ ル(ユーザ名 と パ ス ワ ー ド )を それ ら 特定の内部サーバに渡 し ま す。特定の範囲のサーバの特定の認証方式に応答す る よ う に、ASAを設定 し ま す。ASAが応答す る よ う に設定可能な認証方式は、Basic(HTTP)、NTLM、FTP と CIFS、ま たは こ れ ら の方式すべて を使用す る 認証で構成 さ れ ま す。 ユーザ名 と パ ス ワ ー ド のル ッ ク ア ッ プが ASA で失敗 し た場合は、空の文字列で置 き 換え ら れ、 動作は自動サ イ ン オ ン が不可の場合の状態に戻 さ れ ま す。 自動サ イ ン オ ン は、特定の内部サーバに SSO を設定す る 直接的な方法です。こ の項では、自動サ イ ン オ ン を行 う よ う に SSO を セ ッ ト ア ッ プす る 手順につい て説明 し ま す。Computer Associates SiteMinder SSO サーバ を使用 し て SSO をすでに導入 し てい る 場合、ま たは Security Assertion Markup Language(SAML)Browser Post Profile SSO が あ る 場合。こ の ソ リ ュ ーシ ョ ン を サポー ト す る よ う に ASA を設定す る には、SSO サーバ(12-7 ページ)を参照 し て く だ さ い。 次の フ ィ ール ド が表示 さ れ ま す。 • [IP Address]:次の [Mask] と 組み合わせて、認証 さ れ る サーバの IP ア ド レ ス の範囲を [Add/Edit Auto Sign-on] ダ イ ア ロ グ ボ ッ ク ス で設定 さ れた と お り に表示 し ま す。サーバは、 サーバの URI ま たはサーバの IP ア ド レ ス と マ ス ク で指定で き ま す。 • [Mask]:前の [IP Address] と 組み合わせて、[Add/Edit Auto Sign-on] ダ イ ア ロ グ ボ ッ ク ス で自 動サ イ ン オ ン を サポー ト す る よ う に設定 さ れたサーバの IP ア ド レ ス の範囲を表示 し ま す。 • [URI]:[Add/Edit Auto Sign-on] ダ イ ア ロ グ ボ ッ ク ス で設定 さ れたサーバ を識別す る URI マ ス ク を表示 し ま す。 • [Authentication Type]:[Add/Edit Auto Sign-on] ダ イ ア ロ グ ボ ッ ク ス で設定 さ れた認証の タ イ プ(Basic(HTTP)、NTLM、FTP と CIFS、ま たは こ れ ら の方式すべて)を表示 し ま す。 は じ める前に • 認証が不要なサーバ、ま たは ASA と は異な る ク レ デン シ ャ ル を使用す る サーバでは、自動サ イ ン オ ン を イ ネーブルに し ないで く だ さ い。自動サ イ ン オ ン が イ ネーブルの場合、ASA は、 ユーザ ス ト レ ージに あ る ク レ デン シ ャ ルに関係な く 、ユーザが ASA への ロ グ オ ン で入力 し た ロ グ イ ン ク レ デン シ ャ ル を渡 し ま す。 • 一定範囲のサーバに対 し て 1 つの方式(HTTP Basic な ど )を設定す る 場合に、その中の 1 台の サーバが異な る 方式(NTLM な ど )で認証を試み る と 、ASAはユーザの ロ グ イ ン ク レ デン シ ャ ル を そのサーバに渡 し ま せん。 ステ ッ プ 1 ク リ ッ ク し て自動サ イ ン オ ン命令を追加 ま たは編集 し ま す。自動サ イ ン オ ン命令は、自動サ イ ン オ ン機能を使用す る 内部サーバの範囲 と 、特定の認証方式を定義 し ま す。 ステ ッ プ 2 [Auto Sign-on] テーブルで選択 し た自動サ イ ン オ ン命令を削除す る 場合に ク リ ッ ク し ま す。 ステ ッ プ 3 [IP Block] を ク リ ッ ク し て、IP ア ド レ ス と マ ス ク を使用 し て内部サーバの範囲を指定 し ま す。 – [IP Address]:自動サ イ ン オ ン を設定す る 範囲の最初のサーバの IP ア ド レ ス を入力 し ます。 – [Mask]:[subnet mask] メ ニ ュ ーで、自動サ イ ン オ ン を サポー ト す る サーバのサーバ ア ド レ ス 範囲を定義す る サブネ ッ ト マ ス ク を選択 し ま す。 ステ ッ プ 4 [URI] を ク リ ッ ク し て、URI に よ っ て自動サ イ ン オ ン を サポー ト す る サーバを指定 し 、こ のボ タ ン の横にあ る フ ィ ール ド に URI を入力 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-8 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ セキ ュ リ テ ィ の ヒ ン ト の通知 ステ ッ プ 5 サーバに割 り 当て ら れ る 認証方式を決定 し ま す。指定 さ れた範囲のサーバの場合には、Basic HTTP 認証要求、NTLM 認証要求、FTP と CIFS の認証要求、ま たは こ れ ら 方式のいずれか を使用 す る 要求に応答す る に よ う に、ASAを設定で き ま す。 – [Basic]:サーバが Basic(HTTP)認証を サポー ト す る 場合は、こ のボ タ ン を ク リ ッ ク し ます。 – [NTLM]:サーバが NTLMv1 認証を サポー ト す る 場合は、こ のボ タ ン を ク リ ッ ク し ま す。 – [FTP/CIFS]:サーバが FTP と CIFS の認証を サポー ト す る 場合は、こ のボ タ ン を ク リ ッ ク し ま す。 – [Basic, NTLM, and FTP/CIFS]:サーバが上のすべての方式を サポー ト す る 場合は、こ のボ タ ン を ク リ ッ ク し ま す。 ユーザ名 と パスワー ド の要件 ネ ッ ト ワ ー ク に よ っ ては、リ モー ト セ ッ シ ョ ン中にユーザが、コ ン ピ ュ ー タ 、イ ン タ ーネ ッ ト サービ ス プ ロ バ イ ダー、ク ラ イ ア ン ト レ ス SSL VPN、メ ール サーバ、フ ァ イ ル サーバ、企業ア プ リ ケーシ ョ ン の一部 ま たはすべてに ロ グ イ ンす る 必要が生 じ る こ と が あ り ま す。ユーザは さ ま ざ ま な コ ン テ キ ス ト で認証を行 う ために、固有のユーザ名、パ ス ワ ー ド 、PIN な ど さ ま ざ ま な情報 が要求 さ れ る 場合が あ り ま す。次の表に、ク ラ イ ア ン ト レ ス SSL VPN ユーザが知っ てお く 必要 の あ る ユーザ名 と パ ス ワ ー ド の タ イ プ を示 し ま す。 ロ グ イ ン ユーザ名/ パスワー ド タ イ プ 目的 入力する タ イ ミ ン グ コ ンピ ュータ コ ン ピ ュ ー タ へのア ク セ ス コ ン ピ ュ ー タ の起動 Internet Service Provider:イ ン イ ン タ ーネ ッ ト へのア ク セ ス ターネ ッ ト サービ ス プ ロバ イ ダー イ ン タ ーネ ッ ト サービ ス プ ロ バ イ ダーへの接続 ク ラ イ ア ン ト レ ス SSL VPN リ モー ト ネ ッ ト ワ ー ク へのア クセス ク ラ イ ア ン ト レ ス SSL VPN の 起動 File Server リ モー ト フ ァ イ ル サーバへの ア クセス ク ラ イ ア ン ト レ ス SSL VPN フ ァ イ ル ブ ラ ウ ジ ン グ機能を 使用 し て、リ モー ト フ ァ イ ル サーバに ア ク セ ス す る と き 企業ア プ リ ケーシ ョ ンへ のログイン フ ァ イ ア ウ ォ ールで保護 さ れた ク ラ イ ア ン ト レ ス SSL VPN 内部サーバへのア ク セ ス Web ブ ラ ウ ジ ン グ機能を使用 し て、保護 さ れてい る 内部 Web サ イ ト にア ク セ スする と き メ ール サーバ ク ラ イ ア ン ト レ ス SSL VPN 経 由に よ る リ モー ト メ ール サー バへのア ク セ ス 電子 メ ール メ ッ セージ の送 受信 セキ ュ リ テ ィ の ヒ ン ト の通知 ユーザはいつで も ツールバーの [Logout] ア イ コ ン を ク リ ッ ク し て、ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を閉 じ る こ と がで き ます (ブ ラ ウ ザ ウ ィ ン ド ウ を閉 じ て も セ ッ シ ョ ンは閉 じ ません)。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-9 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ ク ラ イ ア ン ト レ ス SSL VPN の機能を使用する ための リ モー ト シ ス テムの設定 ク ラ イ ア ン ト レ ス SSL VPN は、企業ネ ッ ト ワ ー ク 上の リ モー ト PC や ワ ー ク ス テーシ ョ ン と ASA と の間のデー タ 転送のセ キ ュ リ テ ィ を保証す る も のです。ク ラ イ ア ン ト レ ス SSL VPN を使 用 し て も すべてのサ イ ト と の通信がセ キ ュ ア で あ る と は限 ら ない こ と を、ユーザに通知 し て く だ さ い。し たが っ て、ユーザが HTTPS 以外の Web リ ソ ー ス ( イ ン タ ーネ ッ ト 上や内部ネ ッ ト ワ ー ク 上に あ る も の)に ア ク セ ス す る 場合、企業の ASA か ら 目的の Web サーバ ま での通信は暗号化 さ れていないため、プ ラ イ ベー ト ではあ り ま せん。 「各 URL の書 き 換え」、 1 ページ に、セ ッ シ ョ ン内で実行す る 手順に応 じ て、ユーザ と 通信す る た めの追加の ヒ ン ト を示 し ま す。 ク ラ イ ア ン ト レ ス SSL VPN の機能を使用するための リ モー ト システムの設定 こ こ では、ク ラ イ ア ン ト レ ス SSL VPN を使用す る ための リ モー ト シ ス テ ム の設定方法について 説明 し ま す。 • ク ラ イ ア ン ト レ ス SSL VPN について(15-10 ページ) • ク ラ イ ア ン ト レ ス SSL VPN の前提条件(15-11 ページ) • ク ラ イ ア ン ト レ ス SSL VPN フ ロ ーテ ィ ン グ ツールバーの使用(15-11 ページ) • Web のブ ラ ウ ズ(15-11 ページ) • ネ ッ ト ワ ー ク のブ ラ ウ ズ( フ ァ イ ル管理)(15-12 ページ) • ポー ト 転送の使用(15-13 ページ) • ポー ト 転送を介 し た電子 メ ールの使用(15-14 ページ) • Web ア ク セ ス を介 し た電子 メ ールの使用(15-15 ページ) • 電子 メ ール プ ロ キ シ を介 し た電子 メ ールの使用(15-15 ページ) • ス マー ト ト ン ネルの使用(15-15 ページ) ユーザ ア カ ウ ン ト を別々に設定で き 、各ユーザは異な る ク ラ イ ア ン ト レ ス SSL VPN の機能を使 用で き ま す。 ク ラ イ ア ン ト レ ス SSL VPN について 次の よ う なサポー ト さ れてい る 接続を使用 し て、イ ン タ ーネ ッ ト に接続で き ま す。 注 • 家庭の DSL、ケーブル、ダ イ ヤルア ッ プ。 • 公共の キ オ ス ク 。 • ホ テルの ホ ッ ト ス ポ ッ ト 。 • 空港の無線 ノ ー ド 。 • イ ン タ ーネ ッ ト カ フ ェ 。 ク ラ イ ア ン ト レ ス SSL VPN がサポー ト す る Web ブ ラ ウ ザの リ ス ト については、『Supported VPN Platforms, Cisco ASA Series』を参照 し て く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-10 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ ク ラ イ ア ン ト レ ス SSL VPN の機能を使用する ための リ モー ト シ ス テムの設定 ク ラ イ ア ン ト レ ス SSL VPN の前提条件 注 • ポー ト 転送を介 し て ア プ リ ケーシ ョ ン に ア ク セ ス す る ために、ブ ラ ウ ザで ク ッ キーを イ ネー ブルにす る 必要が あ り ま す。 • ク ラ イ ア ン ト レ ス SSL VPN の URL が必要です。URL は、https://address の形式の https ア ド レ ス で あ る 必要が あ り ま す。address は、SSL VPN が イ ネーブルで あ る ASA( ま たは ロ ー ド バ ラ ン シ ン グ ク ラ ス タ )の イ ン タ ー フ ェ イ ス の IP ア ド レ ス ま たは DNS ホ ス ト 名です。た と え ば、https://cisco.example.com な ど です。 • ク ラ イ ア ン ト レ ス SSL VPN のユーザ名 と パ ス ワ ー ド が必要です。 ク ラ イ ア ン ト レ ス SSL VPN では ロ ーカル印刷がサポー ト さ れてい ま すが、VPN 経由に よ る 企業 ネ ッ ト ワ ー ク 上のプ リ ン タ への印刷はサポー ト さ れてい ま せん。 ク ラ イ ア ン ト レ ス SSL VPN フ ローテ ィ ング ツールバーの使用 フ ロ ーテ ィ ン グ ツールバーを使用す る と 、ク ラ イ ア ン ト レ ス SSL VPN を簡単に使用で き ま す。 ツールバーを使用 し て、メ イ ン のブ ラ ウ ザ ウ ィ ン ド ウ に影響を与えずに、URL の入力、フ ァ イ ル の場所のブ ラ ウ ズ、設定済み Web 接続の選択がで き ま す。 フ ロ ーテ ィ ン グ ツールバーは、現在の ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を表 し ます。[Close] ボ タ ン を ク リ ッ ク す る と 、ASA に よ っ て ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を閉 じ る こ と を求 め る メ ッ セージが表示 さ れます。 ヒント 注 テ キ ス ト を テ キ ス ト フ ィ ール ド に貼 り 付け る には、Ctrl を押 し た状態で V を押 し ま す ( ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン中は、表示 さ れ る ツールバー上での右 ク リ ッ ク はオ フ にな っ てい ま す)。 ポ ッ プ ア ッ プ を ブ ロ ッ ク す る よ う にブ ラ ウ ザが設定 さ れてい る 場合、フ ロ ーテ ィ ン グ ツール バーは表示で き ま せん。 Web のブ ラ ウズ ク ラ イ ア ン ト レ ス SSL VPN を使用 し て も 、すべてのサ イ ト と の通信がセ キ ュ ア にな る わけでは あ り ま せん。セ キ ュ リ テ ィ の ヒ ン ト の通知を参照 し て く だ さ い。 ク ラ イ ア ン ト レ ス SSL VPN での Web ブ ラ ウ ジ ン グ のル ッ ク ア ン ド フ ィ ールは、ユーザが使い慣 れた も の と 異な る 場合が あ り ま す。次に例を示 し ま す。 • ク ラ イ ア ン ト レ ス SSL VPN の タ イ ト ル バーが各 Web ページの上部に表示 さ れ る 。 • Web サ イ ト への ア ク セ ス 方法: – ク ラ イ ア ン ト レ ス SSL VPN [Home] ページ上の [Enter Web Address] フ ィ ール ド に URL を入力す る – ク ラ イ ア ン ト レ ス SSL VPN [Home] ページ上に あ る 設定済みの Web サ イ ト リ ン ク を ク リ ッ クする Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-11 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ ク ラ イ ア ン ト レ ス SSL VPN の機能を使用する ための リ モー ト シ ス テムの設定 – 上記 2 つの ど ち ら かの方法で ア ク セ ス し た Web ページ上の リ ン ク を ク リ ッ ク す る – 保護 さ れてい る Web サ イ ト のユーザ名 と パ ス ワ ー ド が必要です。 特定の ア カ ウ ン ト の設定に よ っ ては、次の よ う にな る 場合 も あ り ま す。 • 一部の Web サ イ ト がブ ロ ッ ク さ れてい る • 使用可能な Web サ イ ト が、ク ラ イ ア ン ト レ ス SSL VPN [Home] ページ上に リ ン ク と し て表示 さ れ る も のに限 ら れ る ま た、特定の ア カ ウ ン ト の設定に よ っ ては、次の よ う にな る 場合 も あ り ま す。 • 一部の Web サ イ ト がブ ロ ッ ク さ れてい る • 使用可能な Web サ イ ト が、ク ラ イ ア ン ト レ ス SSL VPN [Home] ページ上に リ ン ク と し て表示 さ れ る も のに限 ら れ る ネ ッ ト ワー クのブ ラ ウズ(フ ァ イル管理) ユーザは、組織ネ ッ ト ワ ー ク を介 し て フ ァ イ ル を見つけ る 方法に慣れていない場合が あ り ま す。 注 コ ピ ー処理の進行中は、Copy File to Server コ マ ン ド を中断 し た り 、別の画面に移動 し た り し な いで く だ さ い。コ ピ ー処理を中断す る と 、不完全な フ ァ イ ルがサーバに保存 さ れ る 可能性が あ り ま す。 重要な ポ イ ン ト は次の と お り です。 注 • 共有 リ モー ト ア ク セ ス 用に フ ァ イ ル ア ク セ ス 権を設定す る 必要が あ り ま す。 • 保護 さ れてい る フ ァ イ ル サーバのサーバ名 と パ ス ワ ー ド が必要です。 • フ ォ ルダ と フ ァ イ ルが存在す る ド メ イ ン、ワ ー ク グループ、お よ びサーバの名前が必要です。 ク ラ イ ア ン ト レ ス SSL VPN を介 し て ア ク セ ス で き る のは、共有 フ ォ ルダ と 共有 フ ァ イ ルに限 ら れ ま す。 Remote File Explorer の使用 ユーザは、Remote File Explorer を使用 し て、Web ブ ラ ウ ザか ら 企業ネ ッ ト ワ ー ク を ブ ラ ウ ズで き ま す。ユーザが Cisco SSL VPN ポー タ ル ページの [Remote File System] ア イ コ ン を ク リ ッ ク す る と 、ユーザのシ ス テ ム で ア プ レ ッ ト が起動 し 、ツ リ ーお よ び フ ォ ルダ ビ ュ ーに リ モー ト フ ァ イ ル シ ス テ ム が表示 さ れ ま す。 注 こ の機能では、ユーザのマ シ ン に Oracle Java ラ ン タ イ ム環境(JRE)1.4 以降が イ ン ス ト ール さ れ、 Web ブ ラ ウ ザで Java が イ ネーブルにな っ てい る 必要が あ り ま す。リ モー ト フ ァ イ ルの起動に は、JRE 1.6 以降が必要です。 ユーザはブ ラ ウ ザで次を実行で き ま す。 • リ モー ト フ ァ イ ル シ ス テ ム のブ ラ ウ ズ。 • フ ァ イ ルの名前の変更。 • リ モー ト フ ァ イ ル シ ス テ ム内、お よ び リ モー ト と ロ ーカルの フ ァ イ ル シ ス テ ム間での フ ァ イ ルの移動 ま たは コ ピ ー。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-12 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ ク ラ イ ア ン ト レ ス SSL VPN の機能を使用する ための リ モー ト シ ス テムの設定 • フ ァ イ ルのバル ク ア ッ プ ロ ー ド お よ びダ ウ ン ロ ー ド の実行。 フ ァ イ ル を ダ ウ ン ロ ー ド す る には、ブ ラ ウ ザで フ ァ イ ル を ク リ ッ ク し 、[Operations] > [Download] を選択 し 、[Save] ダ イ ア ロ グ で場所 と 名前を指定 し て フ ァ イ ル を保存 し ま す。 フ ァ イ ル を ア ッ プ ロ ー ド す る には、宛先 フ ォ ルダ を ク リ ッ ク し 、[Operations] > [Upload] を選 択 し 、[Open] ダ イ ア ロ グ で フ ァ イ ルの場所 と 名前を指定 し ま す。 こ の機能には次の制限が あ り ま す。 – ユーザは、ア ク セ ス を許可 さ れていないサブ フ ォ ルダ を表示で き ま せん。 – ユーザが ア ク セ ス を許可 さ れていない フ ァ イ ルは、ブ ラ ウ ザに表示 さ れて も 移動 ま たは コ ピ ーで き ま せん。 – ネ ス ト さ れた フ ォ ルダの最大の深 さ は 32 です。 – ツ リ ー ビ ュ ーでは、ド ラ ッ グ ア ン ド ド ロ ッ プの コ ピ ーがサポー ト さ れてい ま せん。 – Remote File Explorer の複数の イ ン ス タ ン ス の間で フ ァ イ ル を移動す る と き は、すべて の イ ン ス タ ン ス が同 じ サーバ を探索す る 必要が あ り ま す(ルー ト 共有)。 – Remote File Explorer は、1 つの フ ォ ルダに最大 1500 の フ ァ イ ルお よ び フ ォ ルダ を表示で き ま す。フ ォ ルダが こ の制限を超え た場合、フ ォ ルダは表示 さ れ ま せん。 ポー ト 転送の使用 ポー ト 転送を使用す る には、ク ラ イ ア ン ト ア プ リ ケーシ ョ ン を設定 し て、ロ ーカルにマ ッ ピ ン グ さ れたサーバの IP ア ド レ ス と ポー ト 番号を使用す る 必要が あ り ま す。 注 • こ の機能を使用す る には、Oracle Java ラ ン タ イ ム環境(JRE)を イ ン ス ト ール し て ロ ーカル ク ラ イ ア ン ト を設定す る 必要があ り ます。こ れには、ロ ーカル シ ス テ ム での管理者の許可、ま た は C:\windows\System32\drivers\etc の完全な制御が必要にな る ため、ユーザがパブ リ ッ ク リ モー ト シ ス テ ム か ら 接続 し た場合に、アプ リ ケーシ ョ ン を使用で き ない可能性があ り ます。 • ユーザは、[Close] ア イ コ ン を ク リ ッ ク し て ア プ リ ケーシ ョ ン を終了 し た ら 、必ず [Application Access] ウ ィ ン ド ウ を閉 じ る 必要が あ り ま す。こ の ウ ィ ン ド ウ を正 し く 閉 じ ない と 、Application Access ま たはア プ リ ケーシ ョ ン自体がオ フ に切 り 替わ る 可能性が あ り ま す。 詳細については、Application Access 使用時の hosts フ ァ イ ル エ ラ ーか ら の回復(18-1 ページ) を参照 し て く だ さ い。 は じ める前に • Mac OS X の場合、こ の機能を サポー ト し てい る のは Safari ブ ラ ウ ザだけです。 • ク ラ イ ア ン ト ア プ リ ケーシ ョ ン が イ ン ス ト ール さ れてい る 必要が あ り ま す。 • ブ ラ ウ ザで ク ッ キーを イ ネーブルにす る 必要が あ り ま す。 • DNS 名を使用 し てサーバ を指定す る 場合、ホ ス ト フ ァ イ ルの変更に必要にな る ため、PC に 対す る 管理者ア ク セ ス 権が必要です。 • Oracle Java ラ ン タ イ ム環境(JRE)バージ ョ ン 1.4.x と 1.5.x が イ ン ス ト ール さ れてい る 必要が あ り ま す。 JRE が イ ン ス ト ール さ れていない場合は、ポ ッ プ ア ッ プ ウ ィ ン ド ウ が表示 さ れ、ユーザに対 し て使用可能なサ イ ト が示 さ れ ま す。ま れに、Java 例外エ ラ ーで、ポー ト 転送ア プ レ ッ ト が失 敗す る こ と が あ り ま す。こ の よ う な状況が発生 し た場合は、次の手順を実行 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-13 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ ク ラ イ ア ン ト レ ス SSL VPN の機能を使用する ための リ モー ト シ ス テムの設定 a. ブ ラ ウ ザの キ ャ ッ シ ュ を ク リ ア し て、ブ ラ ウ ザ を閉 じ ま す。 b. Java ア イ コ ン が コ ン ピ ュ ー タ の タ ス ク バーに表示 さ れていない こ と を確認 し ま す。 c. Java の イ ン ス タ ン ス をすべて閉 じ ま す。 d. ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を確立 し 、ポー ト 転送 Java ア プ レ ッ ト を起動 し ま す。 • ブ ラ ウ ザで javascript を イ ネーブルにす る 必要が あ り ま す。デ フ ォ ル ト では有効に設定 さ れ てい ま す。 • 必要に応 じ て、ク ラ イ ア ン ト ア プ リ ケーシ ョ ン を設定す る 必要が あ り ま す。 注 Microsoft Outlook ク ラ イ ア ン ト の場合、こ の設定手順は不要です。Windows 以外のすべて の ク ラ イ ア ン ト ア プ リ ケーシ ョ ン では、設定が必要です。Windows ア プ リ ケーシ ョ ン の 設定が必要か ど う か を確認す る には、[Remote Server] フ ィ ール ド の値を チ ェ ッ ク し ま す。 [Remote Server] フ ィ ール ド にサーバ ホ ス ト 名が含 ま れてい る 場合、ク ラ イ ア ン ト ア プ リ ケーシ ョ ン の設定は不要です。[Remote Server] フ ィ ール ド に IP ア ド レ ス が含 ま れてい る 場合、ク ラ イ ア ン ト ア プ リ ケーシ ョ ン を設定す る 必要が あ り ま す。 ステ ッ プ 1 ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を開始 し て、[Home] ページの [Application Access] リ ン ク を ク リ ッ ク し ま す。[Application Access] ウ ィ ン ド ウ が表示 さ れ ま す。 ステ ッ プ 2 [Name] カ ラ ム で、使用す る サーバ名を確認 し 、こ のサーバに対応す る ク ラ イ ア ン ト IP ア ド レ ス と ポー ト 番号を [Local] カ ラ ム で確認 し ま す。 ステ ッ プ 3 こ の IP ア ド レ ス と ポー ト 番号を使用 し て、ク ラ イ ア ン ト ア プ リ ケーシ ョ ン を設定 し ま す。設定 手順は、ク ラ イ ア ン ト ア プ リ ケーシ ョ ン に よ っ て異な り ま す。 注 ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン上で実行 し てい る ア プ リ ケーシ ョ ン で URL(電 子 メ ール メ ッ セージ内の も のな ど )を ク リ ッ ク し て も 、サ イ ト がそのセ ッ シ ョ ン で開 く わけではあ り ま せん。サ イ ト を セ ッ シ ョ ン上で開 く には、その URL を [Enter Clientless SSL VPN (URL) Address] フ ィ ール ド に貼 り 付け ま す。 ポー ト 転送を介 し た電子 メ ールの使用 電子 メ ール を使用す る には、ク ラ イ ア ン ト レ ス SSL VPN の ホームページ か ら Application Access を起動 し ま す。こ れに よ り 、メ ール ク ラ イ ア ン ト が使用で き る よ う にな り ま す。 注 IMAP ク ラ イ ア ン ト の使用中に メ ール サーバ と の接続が中断 し た り 、新 し く 接続を確立で き な い場合は、IMAP ア プ リ ケーシ ョ ン を終了 し て ク ラ イ ア ン ト レ ス SSL VPN を再起動 し ま す。 ア プ リ ケーシ ョ ン ア ク セ ス お よ びその他の メ ール ク ラ イ ア ン ト の要件を満た し てい る 必要が あ り ま す。 Microsoft Outlook Express バージ ョ ン 5.5 お よ び 6.0 はテ ス ト 済みです。 ク ラ イ ア ン ト レ ス SSL VPN は、Lotus Notes お よ び Eudora な ど の、ポー ト 転送を介 し た その他の SMTPS、POP3S、ま たは IMAP4S 電子 メ ール プ ロ グ ラ ム を サポー ト し ま すが、動作確認は行っ て い ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-14 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ ク ラ イ ア ン ト レ ス SSL VPN の機能を使用する ための リ モー ト シ ス テムの設定 Web ア ク セス を介 し た電子 メ ールの使用 次の電子 メ ール ア プ リ ケーシ ョ ン がサポー ト さ れてい ま す。 • Microsoft Outlook Web App to Exchange Server 2010 OWA には、Internet Explorer 7 以降、ま たは Firefox 3.01 以降が必要です。 • Microsoft Outlook Web Access to Exchange Server 2007、2003、お よ び 2000 最適な結果を得 る ために、Internet Explorer 8.x 以降、ま たは Firefox 8.x で OWA を使用 し て く だ さ い。 • Louts iNotes 注 Web ベー ス の電子 メ ール製品が イ ン ス ト ール さ れてお り 、その他の Web ベー ス の電子 メ ール ア プ リ ケーシ ョ ン も 動作す る 必要が あ り ま すが、検証 さ れてい ま せん。 電子 メ ール プ ロキシ を介 し た電子 メ ールの使用 次の レ ガ シー電子 メ ール ア プ リ ケーシ ョ ン がサポー ト さ れてい ま す。 • Microsoft Outlook 2000 お よ び 2002 • Microsoft Outlook Express 5.5 お よ び 6.0 メ ール ア プ リ ケーシ ョ ン の使用方法 と 例については、「 ク ラ イ ア ン ト レ ス SSL VPN を介 し た電 子 メ ールの使用(12-22 ページ)」を参照 し て く だ さ い。 は じ める前に 注 • SSL 対応 メ ール ア プ リ ケーシ ョ ン が イ ン ス ト ール さ れてい る 必要が あ り ま す。 • ASA SSL バージ ョ ン を TLSv1 Only に設定 し ないで く だ さ い。Outlook お よ び Outlook Express では TLS はサポー ト さ れ ま せん。 • メ ール ア プ リ ケーシ ョ ン が正 し く 設定 さ れてい る 必要が あ り ま す。 その他の SSL 対応 ク ラ イ ア ン ト も 動作 し ま すが、動作確認は行っ てい ま せん。 スマー ト ト ンネルの使用 ス マー ト ト ン ネルの使用に管理権限は必要あ り ま せん。 注 ポー ト フ ォ ワ ーダの場合 と 異な り 、Java は自動的にダ ウ ン ロ ー ド さ れ ま せん。 • ス マー ト ト ン ネルには、Windows では ActiveX ま たは JRE(1.4x お よ び 1.5x)、Mac OS X では Java Web Start が必要です。 • ブ ラ ウ ザで ク ッ キーを イ ネーブルにす る 必要が あ り ま す。 • ブ ラ ウ ザで javascript を イ ネーブルにす る 必要が あ り ま す。 • Mac OS X では、フ ロ ン ト サ イ ド プ ロ キ シはサポー ト さ れてい ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-15 第 15 章 ク ラ イ ア ン ト レ ス SSL VPN ユーザ ク ラ イ ア ン ト レ ス SSL VPN の機能を使用する ための リ モー ト シ ス テムの設定 • ス マー ト ト ン ネル ア ク セ ス (13-1 ページ)で指定 さ れてい る オペ レ ーテ ィ ン グ シ ス テ ムお よ びブ ラ ウ ザだけがサポー ト さ れてい ま す。 • TCP ソ ケ ッ ト ベー ス のア プ リ ケーシ ョ ン だけがサポー ト さ れてい ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 15-16 CH A P T E R 16 モバイル デバイ スでのク ラ イ ア ン ト レ ス SSL VPN モバイル デバイ スでのク ラ イ ア ン ト レ ス SSL VPN の使用 Pocket PC ま たは他の認定 さ れたモバ イ ル デバ イ ス か ら ク ラ イ ア ン ト レ ス SSL VPN に ア ク セ ス で き ま す。認定 さ れたモバ イ ル デバ イ ス で ク ラ イ ア ン ト レ ス の SSL VPN を使用す る ために、 ASA 管理者 ま たは ク ラ イ ア ン ト レ ス SSL VPN ユーザは特別な こ と を行 う 必要はあ り ま せん。 シ ス コ は、次のモバ イ ル デバ イ ス プ ラ ッ ト フ ォ ーム を認定 し てい ま す。 HP iPaq H4150 Pocket PC 2003 Windows CE 4.20.0, build 14053 Pocket Internet Explorer (PIE) ROM version 1.10.03ENG ROM Date: 7/16/2004 ク ラ イ ア ン ト レ ス SSL VPN のモバ イ ル デバ イ ス のバージ ョ ン に よ っ て、次の よ う な相違点が あ り ま す。 • ポ ッ プ ア ッ プの ク ラ イ ア ン ト レ ス SSL VPN ウ ィ ン ド ウ はバナー Web ページに置 き 換わ っ て い ま す。 • 標準の ク ラ イ ア ン ト レ ス SSL VPN フ ロ ーテ ィ ン グ ツールバーが ア イ コ ン バーに置 き 換 わ っ てい ま す。こ のバーには、[Go]、[Home]、お よ び [Logout] の各種ボ タ ン が表示 さ れ ま す。 • メ イ ン の ク ラ イ ア ン ト レ ス SSL VPN ポー タ ル ページ に [Show Toolbar] ア イ コ ン が あ り ま せん。 • ク ラ イ ア ン ト レ ス SSL VPN の ロ グ ア ウ ト 時に、警告 メ ッ セージ で PIE ブ ラ ウ ザ を正 し く 閉 じ る 手順が表示 さ れ ま す。こ の手順に従わないで通常の方法でブ ラ ウ ザの ウ ィ ン ド ウ を閉 じ る と 、ク ラ イ ア ン ト レ ス SSL VPN ま たは HTTPS を使用す る すべてのセ キ ュ ア な Web サ イ ト か ら PIE が切断 さ れ ま せん。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 16-1 第 16 章 モバイ ル デバイ ス での ク ラ イ ア ン ト レ ス SSL VPN モバイル デバイ スでのク ラ イ ア ン ト レ ス SSL VPN の使用 モバイルでのク ラ イ ア ン ト レ ス SSL VPN の制限 • ク ラ イ ア ン ト レ ス SSL VPN は、OWA 2000 版お よ び OWA 2003 版の基本認証を サポー ト す る 。OWA サーバに基本認証を設定せずに ク ラ イ ア ン ト レ ス SSL VPN ユーザが こ のサーバに ア ク セ ス し よ う と す る と ア ク セ ス は拒否 さ れ ま す。 • サポー ト さ れていない ク ラ イ ア ン ト レ ス SSL VPN の機能 – Application Access お よ び他の Java 依存の各種機能 – HTTP プ ロ キ シ – Citrix Metaframe 機能(PDA に対応す る Citrix ICA ク ラ イ ア ン ト ソ フ ト ウ ェ ア が装備 さ れていない場合) Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 16-2 CH A P T E R 17 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イズ ク ラ イ ア ン ト レ ス SSL VPN ユーザ エ ク スペ リ エ ン スの カ ス タ マ イズ ロ グ イ ン ページ、ポータ ル ページ、ロ グア ウ ト ページな どの、ク ラ イ ア ン ト レ ス SSL VPN ユーザ エ ク スペ リ エン ス を カ ス タ マ イ ズで き ます。2 つの方式を使用で き ます。[Add/Edit Customization Object] ウ ィ ン ド ウ で、事前定義 さ れたページ コ ンポーネン ト を カ ス タ マ イ ズで き ます。こ の ウ ィ ン ド ウ で は、ページ を カ ス タ マ イ ズする ために使用 さ れ る、ASA 上に保存 さ れる XML フ ァ イ ル(カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト )を追加ま たは変更し ます。ま たは、XML フ ァ イ ルを ローカル コ ン ピ ュー タ ま たはサーバにエ ク ス ポー ト し、XML タ グ を変更し、フ ァ イ ルを ASA に再イ ンポー ト で き ます。 ど ち ら の方式で も 、接続プ ロ フ ァ イ ルま たはグループ ポ リ シーに適用する カ ス タ マ イ ゼーシ ョ ン オ ブジ ェ ク ト が作成 さ れます。 ロ グ イ ン ページの事前定義 さ れた コ ン ポーネ ン ト を カ ス タ マ イ ズす る のではな く 、独自のペー ジ を作成 し て ASA に イ ン ポー ト で き ま す( フ ル カ ス タ マ イ ゼーシ ョ ン)。 ロ グ イ ン ページの事前定義 さ れた コ ン ポーネ ン ト を カ ス タ マ イ ズ で き ま す。タ イ ト ル、言語オプ シ ョ ン、ユーザへの メ ッ セージ な ど が あ り ま す。ま たは、独自の カ ス タ ム ページ でページ を完全 に置 き 換え る こ と がで き ま す( フ ル カ ス タ マ イ ゼーシ ョ ン)。 Customization Editor によ る ログ イ ン ページのカ ス タ マ イズ 次の図に、ロ グ イ ン ページ と カ ス タ マ イ ズ可能な事前定義の コ ン ポーネ ン ト を示 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-1 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN ユーザ エ ク スペ リ エ ン スのカ ス タ マ イ ズ 図 17-1 ク ラ イ ア ン ト レ ス ログ イ ン ページの コ ンポーネン ト Informational Panel Title Panel Logon Form and Fields Order Language 247844 Browser Window Title ロ グ イ ン ページのすべての コ ン ポーネ ン ト を カ ス タ マ イ ズす る には、次の手順を実行 し ま す。 [Preview] ボ タ ン を ク リ ッ ク し て、各 コ ン ポーネ ン ト に対す る 変更 を プ レ ビ ュ ーで き ま す。 ステ ッ プ 1 事前定義 さ れた カ ス タ マ イ ゼーシ ョ ン を指定 し ま す。[Logon Page] に移動 し 、[Customize pre-defined logon page components] を選択 し ま す。ブ ラ ウ ザ ウ ィ ン ド ウ の タ イ ト ル を指定 し ま す。 ステ ッ プ 2 タ イ ト ル パネル を表示 し 、カ ス タ マ イ ズ し ま す。[Logon Page] > [Title Panel] の順に選択 し 、 [Display title panel] を オ ン に し ま す。タ イ ト ル と し て表示す る テ キ ス ト を入力 し 、ロ ゴ を指定 し ま す。フ ォ ン ト ス タ イ ル を指定 し ま す。 ステ ッ プ 3 表示す る 言語オプシ ョ ン を指定 し ま す。[Logon Page] > [Language] の順に選択 し 、[Enable Language Selector] を オ ン に し ま す。リ モー ト ユーザに表示す る 言語を追加 ま たは削除 し ま す。リ ス ト 内の言語には、[Configuration] > [Remote Access VPN] > [Language Localization] で設定す る 変 換テーブルが必要です。 ステ ッ プ 4 ロ グ イ ン フ ォ ーム を カ ス タ マ イ ズ し ま す。[Logon Page] > [Logon Form] の順に選択 し ま す。 フ ォ ーム のテ キ ス ト お よ びパネル内の フ ォ ン ト ス タ イ ル を カ ス タ マ イ ズ し ま す。接続プ ロ フ ァ イ ルでセ カ ン ダ リ 認証サーバが設定 さ れてい る 場合にのみ、セ カ ン ダ リ パ ス ワ ー ド フ ィ ール ド がユーザに表示 さ れ ま す。 ステ ッ プ 5 ロ グ イ ン フ ォ ーム の フ ィ ール ド を配置 し ま す。[Logon Page] > [Form Fields Order] の順に選択 し ま す。上矢印ボ タ ン と 下矢印ボ タ ン を使用 し て、フ ィ ール ド が表示 さ れ る 順序を変更 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-2 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN ユーザ エ ク スペ リ エ ン スのカ ス タ マ イ ズ ステ ッ プ 6 ユーザへの メ ッ セージ を追加 し ま す。[Logon Page] > [Informational Panel] の順に選択 し 、[Display informational panel] を オ ン に し ま す。パネルに表示す る テ キ ス ト を追加 し 、ロ グ イ ン フ ォ ーム に 対 し てパネルの位置を変更 し 、こ のパネルに表示す る ロ ゴ を指定 し ま す。 ステ ッ プ 7 著作権宣言文を表示 し ま す。[Logon Page] > [Copyright Panel] の順に選択 し 、[Display copyright panel] を オ ン に し ま す。著作権のために表示す る テ キ ス ト を追加 し ま す。 ステ ッ プ 8 [OK] を ク リ ッ ク し てか ら 、編集 し た カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト に変更を適用 し ま す。 次の作業 独自の完全に カ ス タ マ イ ズ し たページ での ロ グ イ ン ページ の置 き 換え につい て確認 し て く だ さ い。 独自の完全に カ ス タ マ イズ し たページでのログ イ ン ページの置き換え 提供 さ れ る ロ グ イ ン ページの特定の コ ン ポーネ ン ト を変更す る のではな く 、独自の カ ス タ ム ロ グ イ ン画面を使用す る 場合は、フ ル カ ス タ マ イ ゼーシ ョ ン機能を使用 し て こ の高度な カ ス タ マ イ ゼーシ ョ ン を実行で き ま す。 フ ル カ ス タ マ イ ゼーシ ョ ン を使用 し て、独自の ロ グ イ ン画面の HTML を入力 し 、ASAで関数を 呼び出す Cisco HTML コ ー ド を挿入 し ま す。こ れで、Login フ ォ ーム と 言語セ レ ク タ ド ロ ッ プダ ウ ン リ ス ト が作成 さ れ ま す。 こ のマ ニ ュ アルでは、独自の HTML コ ー ド を作成す る ために必要な修正内容、お よ び ASA が独 自の コ ー ド を使用す る 場合に設定す る 必要が あ る タ ス ク について説明 し ま す。 次の図に、フ ル カ ス タ マ イ ゼーシ ョ ン機能に よ っ て有効化 さ れ る 簡単な カ ス タ ム ロ グ イ ン画面 の例を示 し ま す。 図 17-2 ログ イ ン ページのフル カ ス タ マ イゼーシ ョ ン例 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-3 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN ユーザ エ ク スペ リ エ ン スのカ ス タ マ イ ズ カ ス タ ム ログ イ ン画面フ ァ イルの作成 次の HTML コ ー ド は例 と し て使用 さ れ、表示す る コ ー ド です。 <head> <meta http-equiv="Content-Type" content="text/html; charset=windows-1252"> <title>New Page 3</title> <base target="_self"> </head> <p align="center"> <img border="0" src="/+CSCOU+/cisco_logo.jpg" width="188" height="48"><font face="Snap ITC" size="6" color="#FF00FF"> </font><font face="Snap ITC" color="#FF00FF" size="7"> </font><i><b><font color="#FF0000" size="7" face="Sylfaen"> SSL VPN Service by the Cisco ASA5500</font></b></i></p> <body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')"> <table> <tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr> <tr><td></td><td></td><td></td></tr> <tr> <td height="379"></td> <td height="379"></td> <td align=middle valign=middle> <div id=lform > <p> </p> <p> </p> <p> </p> <p>Loading...</p> </div> </td> </tr> <tr> <td width="251"></td> <td width="1"></td> <td align=right valign=right width="800"> <img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle"> </td></tr> </table> 字下げ さ れた コ ー ド は、画面に Login フ ォ ーム と 言語セ レ ク タ を挿入 し ま す。関数 csco_ShowLoginForm('lform') は Login フ ォ ーム を挿入 し ま す。 csco_ShowLanguageSelector('selector') は、言語セ レ ク タ を挿入 し ま す。 ステ ッ プ 1 フ ァ イ ルに login.inc と い う 名前を付け ま す。こ の フ ァ イ ル を イ ン ポー ト す る と 、ASAは こ の フ ァ イ ル名を ロ グ イ ン画面 と し て認識 し ま す。 ステ ッ プ 2 こ の フ ァ イ ルで使用 さ れ る イ メ ージのパ ス に /+CSCOU+/ を含め る よ う に変更 し ま す。 認証前に リ モー ト ユーザに表示 さ れ る フ ァ イ ルは、パ ス /+CSCOU+/ で表 さ れ る ASAの キ ャ ッ シ ュ メ モ リ の特定のエ リ ア に置 く 必要が あ り ま す。その た め、こ の フ ァ イ ルに あ る 各 イ メ ージ の ソ ー ス は こ のパ ス に含め る 必要が あ り ま す。次に例 を 示 し ま す。 src=”/+CSCOU+/asa5520.gif” Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-4 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN ユーザ エ ク スペ リ エ ン スのカ ス タ マ イ ズ ステ ッ プ 3 下記の特別な HTML コ ー ド を挿入 し ま す。こ の コ ー ド には、Login フ ォ ーム と 言語セ レ ク タ を画 面に挿入す る 前述のシ ス コ の関数が含 ま れてい ま す。 <body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')"> <table> <tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr> <tr><td></td><td></td><td></td></tr> <tr> <td height="379"></td> <td height="379"></td> <td align=middle valign=middle> <div id=lform > <p> </p> <p> </p> <p> </p> <p>Loading...</p> </div> </td> </tr> <tr> <td width="251"></td> <td width="1"></td> <td align=right valign=right width="800"> <img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle"> </td></tr> </table> フ ァ イルおよびイ メ ージのイ ンポー ト ステ ッ プ 1 [Clientless SSL VPN Access] > [Portal] > [Web Contents] の順に選択 し ま す。 ステ ッ プ 2 [Import] を ク リ ッ ク し ま す。 ステ ッ プ 3 a. [Source] オプシ ョ ン を選択 し 、Web コ ン テ ン ツ を フ ァ イ ルのパ ス を入力 し ま す。 b. [Destination] 領域で、[Require Authentication to access its content] に対 し て [No] を選択 し ま す。こ れに よ り 、フ ァ イ ルは、認証の前にユーザが ア ク セ ス で き る フ ラ ッ シ ュ メ モ リ の領域 に保存 さ れ ま す。 [Import Now] を ク リ ッ ク し ま す。 カ ス タ ム ログ イ ン画面を使用する セキ ュ リ テ ィ アプ ラ イ ア ン スの設定 ステ ッ プ 1 [Clientless SSL VPN Access] > [Portal] > [Customization] のテーブルで カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト を選択 し 、[Edit] を ク リ ッ ク し ま す。 ステ ッ プ 2 ナ ビ ゲーシ ョ ン ペ イ ン で、[Logon Page] を選択 し ま す。 ステ ッ プ 3 [Replace pre-defined logon page with a custom page] を選択 し ま す。 ステ ッ プ 4 [Manage] を ク リ ッ ク し て、ロ グ イ ン ページ フ ァ イ ル を イ ン ポー ト し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-5 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 ステ ッ プ 5 [Destination] 領域で、[No] を選択 し て、認証の前に ロ グ イ ン ページがユーザに表示 さ れ る よ う に し ま す。 ステ ッ プ 6 [Edit Customization Object] ウ ィ ン ド ウ に戻 り 、[General] を ク リ ッ ク し て、必要な接続プ ロ フ ァ イ ルお よ びグループ ポ リ シーの カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト を イ ネーブルに し ま す。 ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 こ の項は、エ ン ド ユーザの ために ク ラ イ ア ン ト レ ス SSL VPN を 設定す る シ ス テ ム 管理者 を 対 象に し て い ま す。こ こ では、エ ン ド ユーザ イ ン タ ー フ ェ イ ス を カ ス タ マ イ ズす る 方法、お よ び リ モー ト シ ス テ ム の設定要件 と 作業の概要 を 説明 し ま す。ユーザが ク ラ イ ア ン ト レ ス SSL VPN の使用 を 開始す る た めに、ユーザに伝え る 必要の あ る 情報 を 明確に し ま す。 エ ン ド ユーザ イ ン タ ー フ ェ イ スの定義 ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザ イ ン タ ー フ ェ イ ス は一連の HTML パネルで構成 さ れ ま す。ユーザは、ASA イ ン タ ー フ ェ イ ス の IP ア ド レ ス を https://address 形式で入力す る こ と に よ り 、ク ラ イ ア ン ト レ ス SSL VPN に ロ グ イ ン し ま す。最初に表示 さ れ る パネルは、ロ グ イ ン 画 面です。 ク ラ イ ア ン ト レ ス SSL VPN ホーム ページの表示 ユーザが ロ グ イ ンす る と 、ポー タ ル ページが開 き ま す。 ホームページには設定済みの ク ラ イ ア ン ト レ ス SSL VPN 機能がすべて表示 さ れ、選択済みの ロ ゴ、テ キ ス ト 、お よ び色が外観に反映 さ れてい ま す。こ のサ ン プル ホームページには、特定の フ ァ イ ル共有の指定機能以外のすべての ク ラ イ ア ン ト レ ス SSL VPN 機能が表示 さ れてい ま す。ユー ザは こ の ホームページ を使用 し て、ネ ッ ト ワ ー ク のブ ラ ウ ズ、URL の入力、特定の Web サ イ ト へ の ア ク セ ス 、お よ び Application Access(ポー ト 転送 と ス マー ト ト ン ネル)に よ る TCP ア プ リ ケー シ ョ ンへの ア ク セ ス を実行で き ま す。 ク ラ イ ア ン ト レ ス SSL VPN の Application Access パネルの表示 ポー ト 転送 ま たは ス マー ト ト ン ネルを開始す る には、[Application Access] ボ ッ ク ス の [Go] ボ タ ン を ク リ ッ ク し ます。[Application Access] ウ ィ ン ド ウ が開 き 、こ の ク ラ イ ア ン ト レ ス SSL VPN 接続 用に設定 さ れた TCP アプ リ ケーシ ョ ン が表示 さ れ ま す。こ のパネルを開いた ま ま で アプ リ ケー シ ョ ン を使用す る 場合は、通常の方法で アプ リ ケーシ ョ ン を起動 し ます。 注 ス テー ト フ ル フ ェ ールオーバーでは、Application Access を使用 し て確立 し た セ ッ シ ョ ン は保持 さ れ ま せん。ユーザは フ ェ ールオーバー後に再接続す る 必要が あ り ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-6 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 フ ローテ ィ ング ツールバーの表示 次の図に示す フ ロ ーテ ィ ン グ ツールバーは、現在の ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を表 し ま す。 図 17-3 ク ラ イ ア ン ト レ ス SSL VPN フ ローテ ィ ング ツールバー Moves the toolbar to the other side of the browser Logs the user out Displays the portal home page 191984 Launches a dialog box for URL entry フ ロ ーテ ィ ン グ ツールバーの次の特性に注意 し て く だ さ い。 • ツールバーを使用 し て、メ イ ン のブ ラ ウ ザ ウ ィ ン ド ウ に影響を与えずに、URL の入力、フ ァ イ ルの場所のブ ラ ウ ズ、設定済み Web 接続の選択がで き ま す。 • ポ ッ プ ア ッ プ を ブ ロ ッ ク す る よ う にブ ラ ウ ザが設定 さ れてい る 場合、フ ロ ーテ ィ ン グ ツー ルバーは表示で き ま せん。 • ツールバーを閉 じ る と 、ASA は ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を終了す る よ う 促す メ ッ セージ を表示 し ま す。 ク ラ イ ア ン ト レ ス SSL VPN ページのカ ス タ マ イズ ク ラ イ ア ン ト レ ス SSL VPN ユーザに表示 さ れ る ポー タ ル ページの外観を変え る こ と がで き ま す。変更で き る 外観には、ユーザがセ キ ュ リ テ ィ アプ ラ イ ア ン ス に接続す る と き に表示 さ れ る [Login] ページ、セ キ ュ リ テ ィ アプ ラ イ ア ン ス のユーザ承認後に表示 さ れ る [Home] ページ、ユー ザがアプ リ ケーシ ョ ン を起動す る と き に表示 さ れ る [Application Access] ウ ィ ン ド ウ 、お よ びユー ザが ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン か ら ロ グ ア ウ ト す る と き に表示 さ れ る [Logout] ペー ジが含 ま れ ま す。 ポー タ ル ページのカ ス タ マ イ ズ後は、こ の カ ス タ マ イ ゼーシ ョ ン を保存 し て、特定の接続プ ロ フ ァ イ ル、グループ ポ リ シー、ま たはユーザに適用で き ま す。ASA を リ ロ ー ド す る か、ま たは ク ラ イ ア ン ト レ ス SSL を オ フ に切 り 替え てか ら 再度 イ ネーブルにす る ま で、変更は適用 さ れ ません。 い く つ も の カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト を作成、保存 し て、個々のユーザ ま たはユーザ グループに応 じ て ポー タ ル ページの外観を変更す る よ う にセ キ ュ リ テ ィ ア プ ラ イ ア ン ス を イ ネーブル化で き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-7 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 カ ス タ マ イゼーシ ョ ンに関する情報 ASAは、カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト を使用 し て、ユーザ画面の外観を定義 し ま す。カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト は、リ モー ト ユーザに表示 さ れ る カ ス タ マ イ ズ可能なすべての 画面項目に対す る XML タ グ を含む XML フ ァ イ ルか ら コ ン パ イ ル さ れ ま す。ASA ソ フ ト ウ ェ ア には、リ モー ト PC にエ ク ス ポー ト で き る カ ス タ マ イ ゼーシ ョ ン テ ン プ レ ー ト が含 ま れてい ま す。こ のテ ン プ レ ー ト を編集 し て、新 し い カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト と し てASAに イ ン ポー ト し 戻す こ と がで き ま す。 カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト を エ ク ス ポー ト す る と 、XML タ グ を 含む XML フ ァ イ ル が、指定 し た URL に作成 さ れ ま す。カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト に よ っ て作成 さ れ る Template と い う 名前の XML フ ァ イ ルには、空の XML タ グ が含 ま れてお り 、新 し い カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト を 作成す る た めの基礎 と し て利用で き ま す。こ のオブ ジ ェ ク ト は変更 し た り 、キ ャ ッ シ ュ メ モ リ か ら 削除 し た り す る こ と はで き ま せんが、エ ク ス ポー ト し 、編集 し て、新 し い カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト と し て再度 ASA に イ ン ポー ト で き ま す。 カ ス タ マ イゼーシ ョ ン オブ ジ ェ ク ト 、接続プ ロ フ ァ イル、およびグループ ポ リ シー ユーザが初めて接続す る と き には、接続プ ロ フ ァ イ ル( ト ン ネル グループ)で指定 さ れたデフ ォ ル ト の カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト (DfltCustomization)が ロ グ イ ン画面の表示方法を決定 し ます。接続プ ロ フ ァ イ ル リ ス ト が イ ネーブルにな っ てい る 場合に、独自のカ ス タ マ イ ゼーシ ョ ン があ る 別のグループ を ユーザが選択す る と 、その新 し いグループのカ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト を反映 し て画面が変わ り ます。 リ モー ト ユーザが認証 さ れた後は、画面の外観は、その グループ ポ リ シーに カ ス タ マ イ ゼー シ ョ ン オブ ジ ェ ク ト が割 り 当て ら れてい る か ど う かに よ っ て決 ま り ま す。 カ ス タ マ イゼーシ ョ ン テ ン プ レー ト の編集 こ の項では、カ ス タ マ イ ゼーシ ョ ン テ ン プ レ ー ト の内容を示 し て、便利な図を提供 し てい ま す。 こ れ ら を参照 し て、正 し い XML タ グ をすばや く 選択 し て、画面表示を変更で き ま す。 テ キ ス ト エデ ィ タ ま たは XML エデ ィ タ を使用 し て、XML フ ァ イ ル を編集で き ま す。次の例は、 カ ス タ マ イ ゼーシ ョ ン テ ン プ レ ー ト の XML タ グ を示 し てい ま す。一部の冗長 タ グは、見やす く す る ために削除 し て あ り ま す。 例: <custom> <localization> <languages>en,ja,zh,ru,ua</languages> <default-language>en</default-language> </localization> <auth-page> <window> <title-text l10n="yes"><![CDATA[SSL VPN Service]]></title-text> </window> <full-customization> <mode>disable</mode> <url></url> </full-customization> <language-selector> <mode>disable</mode> <title l10n="yes">Language:</title> <language> Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-8 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 <code>en</code> <text>English</text> </language> <language> <code>zh</code> <text>ä¸å›½ (Chinese)</text> </language> <language> <code>ja</code> <text>日本 (Japanese)</text> </language> <language> <code>ru</code> <text>РуÑÑкий (Russian)</text> </language> <language> <code>ua</code> <text>УкÑ?аїнÑька (Ukrainian)</text> </language> </language-selector> <logon-form> <title-text l10n="yes"><![CDATA[Login]]></title-text> <title-background-color><![CDATA[#666666]]></title-background-color> <title-font-color><![CDATA[#ffffff]]></title-font-color> <message-text l10n="yes"><![CDATA[Please enter your username and password.]]></message-text> <username-prompt-text l10n="yes"><![CDATA[USERNAME:]]></username-prompt-text> <password-prompt-text l10n="yes"><![CDATA[PASSWORD:]]></password-prompt-text> <internal-password-prompt-text l10n="yes">Internal Password:</internal-password-prompt-text> <internal-password-first>no</internal-password-first> <group-prompt-text l10n="yes"><![CDATA[GROUP:]]></group-prompt-text> <submit-button-text l10n="yes"><![CDATA[Login]]></submit-button-text> <title-font-color><![CDATA[#ffffff]]></title-font-color> <title-background-color><![CDATA[#666666]]></title-background-color> <font-color>#000000</font-color> <background-color>#ffffff</background-color> <border-color>#858A91</border-color> </logon-form> <logout-form> <title-text l10n="yes"><![CDATA[Logout]]></title-text> <message-text l10n="yes"><![CDATA[Goodbye.<br> For your own security, please:<br> <li>Clear the browser's cache <li>Delete any downloaded files <li>Close the browser's window]]></message-text> <login-button-text l10n="yes">Logon</login-button-text> <hide-login-button>no</hide-login-button> <title-background-color><![CDATA[#666666]]></title-background-color> <title-font-color><![CDATA[#ffffff]]></title-font-color> <title-font-color><![CDATA[#ffffff]]></title-font-color> <title-background-color><![CDATA[#666666]]></title-background-color> <font-color>#000000</font-color> <background-color>#ffffff</background-color> <border-color>#858A91</border-color> </logout-form> <title-panel> <mode>enable</mode> <text l10n="yes"><![CDATA[SSL VPN Service]]></text> <logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url> Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-9 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 <gradient>yes</gradient> <style></style> <background-color><![CDATA[#ffffff]]></background-color> <font-size><![CDATA[larger]]></font-size> <font-color><![CDATA[#800000]]></font-color> <font-weight><![CDATA[bold]]></font-weight> </title-panel> <info-panel> <mode>disable</mode> <image-url l10n="yes">/+CSCOU+/clear.gif</image-url> <image-position>above</image-position> <text l10n="yes"></text> </info-panel> <copyright-panel> <mode>disable</mode> <text l10n="yes"></text> </copyright-panel> </auth-page> <portal> <title-panel> <mode>enable</mode> <text l10n="yes"><![CDATA[SSL VPN Service]]></text> <logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url> <gradient>yes</gradient> <style></style> <background-color><![CDATA[#ffffff]]></background-color> <font-size><![CDATA[larger]]></font-size> <font-color><![CDATA[#800000]]></font-color> <font-weight><![CDATA[bold]]></font-weight> </title-panel> <browse-network-title l10n="yes">Browse Entire Network</browse-network-title> <access-network-title l10n="yes">Start AnyConnect</access-network-title> <application> <mode>enable</mode> <id>home</id> <tab-title l10n="yes">Home</tab-title> <order>1</order> </application> <application> <mode>enable</mode> <id>web-access</id> <tab-title l10n="yes"><![CDATA[Web Applications]]></tab-title> <url-list-title l10n="yes"><![CDATA[Web Bookmarks]]></url-list-title> <order>2</order> </application> <application> <mode>enable</mode> <id>file-access</id> <tab-title l10n="yes"><![CDATA[Browse Networks]]></tab-title> <url-list-title l10n="yes"><![CDATA[File Folder Bookmarks]]></url-list-title> <order>3</order> </application> <application> <mode>enable</mode> <id>app-access</id> <tab-title l10n="yes"><![CDATA[Application Access]]></tab-title> <order>4</order> </application> <application> <mode>enable</mode> <id>net-access</id> <tab-title l10n="yes">AnyConnect</tab-title> <order>4</order> </application> Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-10 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 <application> <mode>enable</mode> <id>help</id> <tab-title l10n="yes">Help</tab-title> <order>1000000</order> </application> <toolbar> <mode>enable</mode> <logout-prompt-text l10n="yes">Logout</logout-prompt-text> <prompt-box-title l10n="yes">Address</prompt-box-title> <browse-button-text l10n="yes">Browse</browse-button-text> </toolbar> <column> <width>100%</width> <order>1</order> </column> <pane> <type>TEXT</type> <mode>disable</mode> <title></title> <text></text> <notitle></notitle> <column></column> <row></row> <height></height> </pane> <pane> <type>IMAGE</type> <mode>disable</mode> <title></title> <url l10n="yes"></url> <notitle></notitle> <column></column> <row></row> <height></height> </pane> <pane> <type>HTML</type> <mode>disable</mode> <title></title> <url l10n="yes"></url> <notitle></notitle> <column></column> <row></row> <height></height> </pane> <pane> <type>RSS</type> <mode>disable</mode> <title></title> <url l10n="yes"></url> <notitle></notitle> <column></column> <row></row> <height></height> </pane> <url-lists> <mode>group</mode> </url-lists> <home-page> <mode>standard</mode> <url></url> </home-page> </portal> </custom> Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-11 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 次の図に、[Login] ページ と ページ を カ ス タ マ イ ズす る XML タ グ を示 し ま す。こ れ ら の タ グはす べて、上位 レ ベルの タ グ <auth-page> にネ ス ト さ れてい ま す。 図 17-4 [Login] ページ と 関連の XML タ グ <title-panel> <mode> <title-panel> <text> <front-color> <font-weight> <font-gradient> <style> <copyright-panel> <mode> <text> <logon-form> <logon-form> <title-text> <title-font-colors> <title-background-color> <logon-form> <message-text> <username-prompt-text> <password-prompt-text> <internal-password-prompt-text> <internal-password-first> <group-prompt-text> 191904 <title-panel> <logo-url> <title-panel> <background-colors> <logon-form> <submit-button-text> <logon-form> <background-color> 次の図に、[Login] ページ で使用可能な言語セ レ ク タ ド ロ ッ プダ ウ ン リ ス ト と 、こ の機能を カ ス タ マ イ ズす る ための XML タ グ を示 し ま す。こ れ ら の タ グはすべて、上位 レ ベルの <auth-page> タ グ にネ ス ト さ れてい ま す。 図 17-5 [Login] 画面上の言語セ レ ク タ と 関連の XML タ グ <localization> <default-language> <language-selector> <title> <language-selector> <language> <code> <text> 191903 <language-selector> <mode> 次の図に、[Login] ページ で使用で き る Information Panel と こ の機能を カ ス タ マ イ ズす る ための XML タ グ を示 し ま す。こ の情報は [Login] ボ ッ ク ス の左側 ま たは右側に表示 さ れ ま す。こ れ ら の タ グは、上位 レ ベルの <auth-page> タ グ にネ ス ト さ れてい ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-12 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 図 17-6 [Login] 画面上の Information Panel と 関連の XML タ グ <info-panel> <image-url> <image-position> <info-panel> <text> 191905 <info-panel> <mode> 次の図に、ポー タ ル ページ と こ の機能を カ ス タ マ イ ズす る ための XML タ グ を示 し ま す。こ れ ら の タ グは、上位 レ ベルの <auth-page> タ グ にネ ス ト さ れてい ま す。 図 17-7 ポー タ ル ページ と 関連の XML タ グ <title-panel> <toolbar> <text> <mode> <gradient> <font-weight> <toolbar> <font-size> <front-color> <prompt-box-titles> <title-panel> <logo-url> <title-panel> <mode> <toolbar> <logout-prompt-te <toolbar> <browse-button-text> <title-panel> <background-colors> <url-lists> <mode> <applications> <tab-Titles> <order> <mode> <pane> <type> <mode> <title> <text> <notitle> <column> <row> <height> <column> <width> <order> 191906 第 17 章 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-13 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 ログ イ ン画面の高度な カ ス タ マ イゼーシ ョ ン 提供 さ れ る ロ グ イ ン画面の特定の画面要素を変更す る のではな く 、独自の カ ス タ ム ロ グ イ ン画 面を使用す る 場合は、フ ル カ ス タ マ イ ゼーシ ョ ン 機能を使用 し て こ の高度な カ ス タ マ イ ゼー シ ョ ン を実行で き ま す。 フ ル カ ス タ マ イ ゼーシ ョ ン を使用 し て、独自の ロ グ イ ン画面の HTML を入力 し 、ASAで関数を 呼び出す Cisco HTML コ ー ド を挿入 し ま す。こ れで、Login フ ォ ーム と 言語セ レ ク タ ド ロ ッ プダ ウ ン リ ス ト が作成 さ れ ま す。 こ の項では、独自の HTML コ ー ド を作成す る ために必要な修正内容、お よ びASAが独自の コ ー ド を使用す る 場合に設定す る 必要が あ る タ ス ク について説明 し ま す。 次の図に、ク ラ イ ア ン ト レ ス SSL VPN ユーザに表示 さ れ る 標準の Cisco ロ グ イ ン画面を示 し ま す。Login フ ォ ーム は、HTML コ ー ド で呼び出す関数に よ っ て表示 さ れ ま す。 図 17-8 標準の Cisco [Login] ページ 次の図に、[Language Selector] ド ロ ッ プダ ウ ン リ ス ト を示 し ま す。こ の機能は、ク ラ イ ア ン ト レ ス SSL VPN ユーザにはオプシ ョ ン と な っ てお り 、ロ グ イ ン画面の HTML コ ー ド 内の関数に よ っ て も 呼び出 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-14 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 図 17-9 言語セ レ ク タ ド ロ ッ プダウン リ ス ト 次の図に、フ ル カ ス タ マ イ ゼーシ ョ ン機能に よ っ て有効化 さ れ る 簡単な カ ス タ ム ロ グ イ ン画面 の例を示 し ま す。 図 17-10 ログ イ ン画面のフル カ ス タ マ イゼーシ ョ ン例 次の HTML コ ー ド は例 と し て使用 さ れ、表示す る コ ー ド です。 例: <head> <meta http-equiv="Content-Type" content="text/html; charset=windows-1252"> <title>New Page 3</title> <base target="_self"> </head> <p align="center"> <img border="0" src="/+CSCOU+/cisco_logo.jpg" width="188" height="48"><font face="Snap ITC" size="6" color="#FF00FF"> Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-15 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 </font><font face="Snap ITC" color="#FF00FF" size="7"> </font><i><b><font color="#FF0000" size="7" face="Sylfaen"> SSL VPN Service by the Cisco ASA5500</font></b></i></p> <body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')"> <table> <tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr> <tr><td></td><td></td><td></td></tr> <tr> <td height="379"></td> <td height="379"></td> <td align=middle valign=middle> <div id=lform > <p> </p> <p> </p> <p> </p> <p>Loading...</p> </div> </td> </tr> <tr> <td width="251"></td> <td width="1"></td> <td align=right valign=right width="800"> <img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle"> </td></tr> </table> 字下げ さ れた コ ー ド は、画面に Login フ ォ ーム と 言語セ レ ク タ を挿入 し ま す。関数 csco_ShowLoginForm('lform') は Login フ ォ ーム を挿入 し ま す。 csco_ShowLanguageSelector('selector') は、言語セ レ ク タ を挿入 し ま す。 HTML フ ァ イルの変更 ステ ッ プ 1 フ ァ イ ルに login.inc と い う 名前を付け ま す。こ の フ ァ イ ル を イ ン ポー ト す る と 、ASAは こ の フ ァ イ ル名を ロ グ イ ン画面 と し て認識 し ま す。 ステ ッ プ 2 こ の フ ァ イ ルで使用 さ れ る イ メ ージのパ ス に /+CSCOU+/ を含め る よ う に変更 し ま す。 認証前に リ モー ト ユーザに表示 さ れ る フ ァ イ ルは、パ ス /+CSCOU+/ で表 さ れ る ASAの キ ャ ッ シ ュ メ モ リ の特定のエ リ ア に置 く 必要が あ り ま す。そのため、こ の フ ァ イ ルに あ る 各 イ メ ージの ソ ー ス は こ のパ ス に含め る 必要が あ り ま す。次に例を示 し ま す。 src=”/+CSCOU+/asa5520.gif” ステ ッ プ 3 下記の特別な HTML コ ー ド を挿入 し ま す。こ の コ ー ド には、Login フ ォ ーム と 言語セ レ ク タ を画 面に挿入す る 前述のシ ス コ の関数が含 ま れてい ま す。 <body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')"> <table> <tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr> <tr><td></td><td></td><td></td></tr> <tr> <td height="379"></td> Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-16 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 <td height="379"></td> <td align=middle valign=middle> <div id=lform > <p> </p> <p> </p> <p> </p> <p>Loading...</p> </div> </td> </tr> <tr> <td width="251"></td> <td width="1"></td> <td align=right valign=right width="800"> <img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle"> </td></tr> </table> ポー タ ル ページのカ ス タ マ イズ 次の図に、ポー タ ル ページ と カ ス タ マ イ ズ可能な事前定義の コ ン ポーネ ン ト を示 し ま す。 図 17-11 ポー タ ル ページのカ ス タ マ イズ可能な コ ンポーネン ト Title Panel Tool Bar Custom Panes Home Page Applications ページの コ ン ポーネ ン ト を カ ス タ マ イ ズす る 以外に、ポー タ ル ページ を、テ キ ス ト 、イ メ ージ、 RSS フ ィ ー ド 、ま たは HTML を表示す る カ ス タ ム ペ イ ン に分割で き ま す。 ポー タ ル ページ を カ ス タ マ イ ズす る には、次の手順を実行 し ま す。[Preview] ボ タ ン を ク リ ッ ク し て、各 コ ン ポーネ ン ト に対す る 変更を プ レ ビ ュ ーで き ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-17 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 ステ ッ プ 1 [Portal Page] に移動 し 、ブ ラ ウ ザ ウ ィ ン ド ウ の タ イ ト ル を指定 し ま す。 ステ ッ プ 2 タ イ ト ル パネル を表示 し 、カ ス タ マ イ ズ し ま す。[Portal Page] > [Title Panel] の順に選択 し 、 [Display title panel] を オ ン に し ま す。タ イ ト ル と し て表示す る テ キ ス ト を入力 し 、ロ ゴ を指定 し ま す。フ ォ ン ト ス タ イ ル を指定 し ま す。 ステ ッ プ 3 ツールバーを イ ネーブルに し て カ ス タ マ イ ズ し ま す。[Portal Page] > [Toolbar] の順に選択 し 、 [Display toolbar] を オ ン に し ま す。プ ロ ン プ ト ボ ッ ク ス 、参照ボ タ ン、お よ び ロ グ ア ウ ト プ ロ ン プ ト を必要に応 じ て カ ス タ マ イ ズ し ま す。 ステ ッ プ 4 ア プ リ ケーシ ョ ン リ ス ト を カ ス タ マ イ ズ し ま す。[Portal Page] > [Applications] の順に選択 し 、 [Show navigation panel] を オ ン に し ま す。テーブルに入力 さ れてい る ア プ リ ケーシ ョ ン は ASA の 設定で イ ネーブルに し た ア プ リ ケーシ ョ ン で あ り 、ク ラ イ ア ン ト /サーバ プ ラ グ イ ンやポー ト 転 送ア プ リ ケーシ ョ ン が含 ま れてい ま す。 ステ ッ プ 5 ポー タ ル ページ ス ペー ス で カ ス タ ム ペ イ ン を作成 し ま す。[Portal Page] > [Custom Panes] の順に 選択 し 、必要に応 じ て、ウ ィ ン ド ウ を テ キ ス ト 、イ メ ージ、RSS フ ィ ー ド 、ま たは HTML ページの 行お よ びカ ラ ム に分割 し ま す。 ステ ッ プ 6 ホームページの URL を指定 し ま す。[Portal Page] > [Home Page] の順に選択 し 、[Enable custom intranet Web page] を オ ン に し ま す。ブ ッ ク マー ク の構成を定義す る ブ ッ ク マー ク モー ド を選択 し ま す。 タ イ ム ア ウ ト ア ラ ー ト メ ッ セージお よ び ツールチ ッ プ を設定 し ま す。[Portal Page] > [Timeout Alerts] の順に選択 し ま す。 次の作業 カ ス タ ム ポー タ ル タ イ ム ア ウ ト ア ラ ー ト の設定について確認 し て く だ さ い。 カ ス タ ム ポー タ ル タ イムアウ ト ア ラ ー ト の設定 ク ラ イ ア ン ト レ ス SSL VPN 機能のユーザが VPN セ ッ シ ョ ン で時間を管理で き る よ う に、ク ラ イ ア ン ト レ ス SSL VPN ポー タ ル ページには、ク ラ イ ア ン ト レ ス VPN セ ッ シ ョ ン が終了す る ま で の合計残 り 時間を示すカ ウ ン ト ダ ウ ン タ イ マーが表示 さ れ ま す。セ ッ シ ョ ン は、非ア ク テ ィ ブ状 態に よ っ て、ま たは設定 さ れた最大許容接続時間が終了 し た ために、タ イ ム ア ウ ト し ま す。 ユーザのセ ッ シ ョ ン が、ア イ ド ル タ イ ム ア ウ ト ま たはセ ッ シ ョ ン タ イ ム ア ウ ト に よ り 終了す る こ と を ユーザに警告す る カ ス タ ム メ ッ セージ を作成で き ま す。デ フ ォ ル ト の ア イ ド ル タ イ ム ア ウ ト メ ッ セージは カ ス タ ム メ ッ セージに よ っ て置 き 換え ら れ ま す。デ フ ォ ル ト の メ ッ セージ は、「Your session will expire in %s .」です。メ ッ セージ内の %s プ レ ー ス ホルダは、進行す る カ ウ ン ト ダ ウ ン タ イ マーで置 き 換え ら れ ま す。 ステ ッ プ 1 ASDM を起動 し 、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Customization] を選択 し ま す。 ステ ッ プ 2 [Add] を ク リ ッ ク し て新 し い カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト を追加す る か、既存の カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト を選択 し て [Edit] を ク リ ッ ク し 、カ ス タ ム ア イ ド ル タ イ ム ア ウ ト メ ッ セージ を既存の カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト に追加 し ま す。 ステ ッ プ 3 [Add / Edit Customization Object] ペ イ ン で、ナ ビ ゲーシ ョ ン ツ リ ーの [Portal Page] ノ ー ド を展開 し て、[Timeout Alerts] を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-18 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 ステ ッ プ 4 [Enable alert visual tooltip (red background for timer countdown)] を オ ン に し ま す。こ れに よ り 、カ ウ ン ト ダ ウ ン タ イ マーが ツ ール ヒ ン ト と し て赤の背景に表示 さ れ ま す。ユーザが [Time left] 領 域 を ク リ ッ ク す る と 、時間領域が拡大 さ れて、カ ス タ ム タ イ ム ア ウ ト ア ラ ー ト メ ッ セージ が表 示 さ れ ま す。こ のボ ッ ク ス を オ フ の ま ま に し てお く と 、カ ス タ ム タ イ ム ア ウ ト ア ラ ー ト はポ ッ プ ア ッ プ ウ ィ ン ド ウ に表示 さ れ ま す。 ステ ッ プ 5 [Idle Timeout Message] ボ ッ ク ス お よ び [Session Timeout Message] ボ ッ ク ス に メ ッ セージ を入力 し ま す。メ ッ セージの例は、次の と お り です。「Warning: Your session will end in %s. Please complete your work and prepare to close your applications.」 ステ ッ プ 6 [OK] を ク リ ッ ク し ま す。 ステ ッ プ 7 [Apply] を ク リ ッ ク し ま す。 カ ス タ マ イ ゼー シ ョ ン オ ブ ジ ェ ク ト フ ァ イ ルでの カ ス タ ム タ イ ムア ウ ト ア ラ ー ト の 指定 必要に応 じ て、ASA の外部の既存の カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト フ ァ イ ル を編集 し 、 ASA に イ ン ポー ト で き ま す。 タ イ ム ア ウ ト メ ッ セージは、XML カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト フ ァ イ ルの <timeout-alerts> XML 要素で設定 さ れ ま す。<timeout-alerts> 要素は <portal> 要素の子です。 <portal> 要素は <custom> 要素の子です。 <timeout-alerts> 要素は、<portal> の子要素の順序では、<home-page> 要素の後、<application> 要素 の前に配置 し ま す。 <timeout-alerts> の次の子要素 を指定す る 必要が あ り ま す。 • <alert-tooltip>:「yes」に設定 さ れ る と 、カ ウ ン ト ダ ウ ン タ イ マーはユーザに ツ ール ヒ ン ト と し て赤の背景に表示 さ れ ま す。カ ウ ン ト ダ ウ ン タ イ マーを ク リ ッ ク す る と 、ツールチ ッ プが 展開 さ れて、カ ス タ ム メ ッ セージが表示 さ れ ま す。「no」に設定 さ れ る か未定義の場合、カ ス タ ム メ ッ セージはポ ッ プ ア ッ プ ウ ィ ン ド ウ でユーザに表示 さ れ ま す。 • <session-timeout-message>: こ の要素に カ ス タ ム セ ッ シ ョ ン タ イ ム ア ウ ト メ ッ セージ を 入 力 し ま す。設定 さ れてお り 、空ではな い場合は、デ フ ォ ル ト メ ッ セージ の代わ り に、カ ス タ ム メ ッ セージ を 受け取 り ま す。メ ッ セージ内の %s プ レ ー ス ホ ルダは、進行す る カ ウ ン ト ダ ウ ン タ イ マーで置 き 換え ら れ ま す。 • <idle-timeout-message>: こ の要素に カ ス タ ム ア イ ド ル タ イ ム ア ウ ト メ ッ セージ を入力 し ま す。設定 さ れてお り 、空ではない場合は、デ フ ォ ル ト メ ッ セージの代わ り に、カ ス タ ム メ ッ セージ を受け取 り ま す。%s プ レ ー ス ホルダは、進行す る カ ウ ン ト ダ ウ ン タ イ マーで置 き 換 え ら れ ま す。 次の作業 カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト の イ ン ポー ト お よ びエ ク ス ポー ト と 、XML ベー ス のポー タ ル カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト と URL リ ス ト の作成について確認 し て く だ さ い。 タ イムアウ ト ア ラ ー ト 要素および子要素の設定例 こ の例では、<portal> 要素の <timeout-alerts> 要素のみを示 し ま す。 注 こ の例を既存のカ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト にカ ッ ト ア ン ド ペース ト し ないで く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-19 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 <portal> <window></window> <title-panel></title-panel> <toolbar></toolbar> <url-lists></url-lists> <navigation-panel></navigation-panel> <home-page> <timeout-alerts> <alert-tooltip>yes</alert-tooltip> <idle-timeout-message>You session expires in %s due to idleness.</idle-timeout-message> <session-timeout-message>Your session expires in %s.</session-timeout-message> </timeout-alerts> <application></application> <column></column> <pane></pane> <external-portal></external-portal> </portal> ログアウ ト ページのカ ス タ マ イズ 次の図に、カ ス タ マ イ ズ可能な ロ グ ア ウ ト ページ を示 し ま す。 図 17-12 ログアウ ト ページのコ ンポーネン ト 247845 Title and Text ロ グ ア ウ ト ページ を カ ス タ マ イ ズす る には、次の手順を実行 し ま す。[Preview] ボ タ ン を ク リ ッ ク し て、各 コ ン ポーネ ン ト に対す る 変更を プ レ ビ ュ ーで き ま す。 ステ ッ プ 1 [Logout Page] に移動 し ま す。必要に応 じ て、タ イ ト ル ま たはテ キ ス ト を カ ス タ マ イ ズ し ま す。 ステ ッ プ 2 ユーザに便利な よ う に、ロ グ ア ウ ト ページに [Login] ボ タ ン を表示で き ま す。そのためには、 [Show logon button] を オ ン に し ま す。必要に応 じ て、ボ タ ン のテ キ ス ト を カ ス タ マ イ ズ し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-20 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 ステ ッ プ 3 必要に応 じ て、タ イ ト ルの フ ォ ン ト ま たは背景を カ ス タ マ イ ズ し ま す。 ステ ッ プ 4 [OK] を ク リ ッ ク し てか ら 、編集 し た カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト に変更を適用 し ま す。 カ ス タ マ イゼーシ ョ ン オブジ ェ ク ト の追加 ステ ッ プ 1 [Add] を ク リ ッ ク し 、新 し いカ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト の名前を入力 し ます。最大 64 文字 で、スペース は使用で き ません。 ステ ッ プ 2 (任意)[Find] を ク リ ッ ク し て、カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト を検索 し ま す。こ の フ ィ ール ド への入力を開始す る と 、各 フ ィ ール ド の先頭部分の文字が検索 さ れ、一致す る も のが検出 さ れ ま す。ワ イ ル ド カー ド を使用 し て、検索を展開で き ま す。た と えば、[Find] フ ィ ール ド に sal と 入 力す る と 、sales と い う 名前の カ ス タ マ イ ゼーシ ョ ン オブ ジ ェ ク ト は一致 し ま すが、wholesalers と い う 名前の カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト は一致 し ま せん。[Find] フ ィ ール ド に *sal と 入力 し た場合は、テーブル内の sales と wholesalers の う ち、最初に出現す る も のが検出 さ れ ま す。 上矢印 と 下矢印を使用 し て、上 ま たは下に あ る 、一致す る 次の文字列に移動 し ま す。[Match Case] チ ェ ッ ク ボ ッ ク ス を オ ン に し て、大文字 と 小文字が区別 さ れ る よ う に し ま す。 ステ ッ プ 3 ステ ッ プ 4 オ ン ス ク リ ーン キーボー ド を ポー タ ル ページ上にいつ表示す る か を指定 し ま す。次の選択肢が あ り ま す。 • Do not show OnScreen Keyboard • Show only for the login page • Show for all portal pages requiring authentication (任意)カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト を強調表示 し 、[Assign] を ク リ ッ ク し て、選択 し たオ ブ ジ ェ ク ト を 1 つ以上の グループ ポ リ シー、接続プ ロ フ ァ イ ル、ま たは LOCAL ユーザに割 り 当 て ま す。 カ ス タ マ イゼーシ ョ ン オブジ ェ ク ト のイ ンポー ト およびエ ク スポー ト 既存の カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト を イ ン ポー ト ま たはエ ク ス ポー ト で き ま す。エ ン ド ユーザに適用す る オブジ ェ ク ト を イ ン ポー ト し ま す。ASAにすでに存在す る カ ス タ マ イ ゼー シ ョ ン オブ ジ ェ ク ト は、編集のためにエ ク ス ポー ト し 、その後再 イ ン ポー ト で き ま す。 ステ ッ プ 1 カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト を名前で指定 し ま す。最大 64 文字で、ス ペー ス は使用で き ま せん。 ステ ッ プ 2 カ ス タ マ イ ゼーシ ョ ン フ ァ イ ル を イ ン ポー ト す る 、ま たはエ ク ス ポー ト す る ための方法を選択 し ま す。 • [Local computer]: ロ ーカル PC に常駐す る フ ァ イ ル を イ ン ポー ト す る には、こ の方式を選択 し ま す。 • [Path]:フ ァ イ ルへのパ ス を入力 し ま す。 • [Browse Local Files]:フ ァ イ ルのパ ス を参照 し ま す。 • [Flash file system]:ASAに常駐す る フ ァ イ ルを エ ク ス ポー ト す る には、こ の方式を選択 し ま す。 • [Path]:フ ァ イ ルへのパ ス を入力 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-21 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 ステ ッ プ 3 • [Browse Flash]:フ ァ イ ルのパ ス を参照 し ま す。 • [Remote server]:ASAか ら ア ク セ ス で き る リ モー ト サーバに常駐す る カ ス タ マ イ ゼーシ ョ ン フ ァ イ ル を イ ン ポー ト す る には、こ のオプシ ョ ン を選択 し ま す。 • [Path]:フ ァ イ ルへの ア ク セ ス 方式(ftp、http、ま たは https)を指定 し 、フ ァ イ ルへのパ ス を入力 し ま す。 ク リ ッ ク し て、フ ァ イ ル を イ ン ポー ト ま たはエ ク ス ポー ト し ま す。 XML カ ス タ マ イゼーシ ョ ン フ ァ イルの構成について 次の図に、XML カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト の フ ァ イ ル構造を示 し ま す。 注 パ ラ メ ー タ / タ グ が指定 さ れな ければデ フ ォ ル ト /継承値が使用 さ れ ま す。存在す る 場合は、空の 文字列で あ っ て も パ ラ メ ー タ / タ グ値が設定 さ れ ま す。 表 17-1 XML ベース カ ス タ マ イゼーシ ョ ン フ ァ イルの構造 プリセッ ト値 説明 — — ルー ト タ グ ノード — — 認証ページ コ ン フ ィ ギ ュ レ ーシ ョ ンの タ グ コ ン テナ window ノード — — ブ ラ ウザ ウ ィ ン ド ウ title-text string 任意の文字列 空の文字列 — title-panel ノード — — ロ ゴお よびテキス ト を表示 し たページの 先頭パネル mode text enable|disable disable — text text 任意の文字列 空の文字列 — logo-url text 任意の URL 空の イ メ ー ジ URL — copyright-panel ノード — — 著作権情報を示 し た ページの下部ペ イ ン mode text enable|disable disable — text text 任意の URL 空の文字列 — info-panel ノード — — カ ス タ ム テキス ト と イ メ ージ を表示 し た ペイ ン mode string enable|disable disable — image-position string above|below above テ キ ス ト に対す る 相対的な イ メ ージ の位置 タグ タ イプ custom ノード auth-page 値 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-22 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 表 17-1 XML ベース カ ス タ マ イゼーシ ョ ン フ ァ イルの構造 (続き) image-url string 任意の URL 空の イ メ ージ — text string 任意の文字列 空の文字列 — logon-form ノード — — ユーザ名、パスワー ド 、グループ プ ロ ン プ ト の フ ォ ーム title-text string 任意の文字列 Logon — message-text string 任意の文字列 空の文字列 — username-prompt-text string 任意の文字列 [Username] — password-prompt-text string 任意の文字列 Password — internal-password-prompt- string text 任意の文字列 Internal Password — group-prompt-text string 任意の文字列 Group — submit-button-text string 任意の文字列 Logon logout-form ノード — — ロ グアウ ト メ ッ セー ジ と 、ロ グ イ ン ま たは ウ ィ ン ド ウ を閉 じ る ためのボ タ ン を表示 し た フ ォ ーム title-text string 任意の文字列 Logout — message-text string 任意の文字列 空の文字列 — login-button-text string 任意の文字列 ログイン close-button-text string 任意の文字列 Close window — language-selector ノード — — 言語を選択する ド ロ ッ プ ダウ ン リ ス ト mode string enable|disable disable — title text — Language 言語 を選択す る よ う 求め る プ ロ ン プ ト テキ ス ト language ノード (複数) — — — code string — — — text string — — — portal ノード — — ポー タ ル ページ コ ン フ ィ ギ ュ レ ーシ ョ ン の タ グ コ ン テナ window ノード — — 認証ページの説明を 参照 title-text string 任意の文字列 空の文字列 — title-panel ノード — — 認証ページの説明を 参照 mode string enable|disable Disable — text string 任意の文字列 空の文字列 — Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-23 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 表 17-1 XML ベース カ ス タ マ イゼーシ ョ ン フ ァ イルの構造 (続き) logo-url string 任意の URL 空の イ メ ー ジ URL — navigation-panel ノード — — ア プ リ ケーシ ョ ン タ ブの左側のペ イ ン mode string enable|disable イ ネーブ ル化 — ア プ リ ケーシ ョ ン ノード (複数) — id string 該当な し ス ト ッ ク アプ リ ケーシ ョ ン の場合: 該当な し ノ ー ド は(ID に よ っ て)設定 さ れてい る ア プ リ ケーシ ョ ンのデ フ ォ ル ト を変更する — web-access file-access app-access net-access help ins の場合: 固有のプ ラ グ イ ン tab-title string — 該当な し — order number — 該当な し エ レ メ ン ト の並べ 替えで使用す る 値。 デフ ォ ル ト のエ レ メ ン ト 順の値には、 1000、2000、3000 な ど の段階があ り ま す。た と えば、最初 と 2 番目のエ レ メ ン ト の間にエ レ メ ン ト を挿入す る には、 1001 ~ 1999 の値を 使用 し ま す。 url-list-title string — 該当な し ア プ リ ケーシ ョ ン にブ ッ ク マー ク が あ る 場合は、グルー プ化 さ れたブ ッ ク マー ク を表示 し た パネルの タ イ ト ル mode string enable|disable 該当な し v ツ ールバー ノード — — — mode string enable|disable Enable — prompt-box-title string 任意の文字列 住所 URL プ ロ ン プ ト リ ス ト のタ イ ト ル Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-24 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 表 17-1 XML ベース カ ス タ マ イゼーシ ョ ン フ ァ イルの構造 (続き) browse-button-text string 任意の文字列 ブラ ウズ [Browse] ボ タ ン の テキ ス ト logout-prompt-text string 任意の文字列 Logout — column ノード (複数) — — デ フ ォ ル ト で 1 列を 表示 width string — 該当な し — order number — 該当な し エ レ メ ン ト の並べ 替え で使用す る 値。 url-lists ノード — — URL リ ス ト は、明示的 にオ フ に切 り 替え ら れていない場合、ポー タ ル ホーム ページの デフ ォル ト エレ メ ン ト と 見な さ れる mode string group | nogroup group モー ド : group:Web Bookmarks や File Bookmarks な ど の ア プ リ ケーシ ョ ン タ イ プに よ っ て グ ループ化 さ れたエ レメント no-group:URL リ ス ト を別々のペ イ ン に表示す る disable:デ フ ォ ル ト で URL リ ス ト を表 示 し ない パネル ノード — — 追加ペ イ ン の設定 を許可 (複数) mode string enable|disable — コ ン フ ィ ギ ュ レー シ ョ ン を削除せず にパネル を一時的 にオ フ に切 り 替え る 場合に使用す る title string — — — type string — — Supported types: RSS IMAGE TEXT HTML url string — — RSS、IMAGE、ま た は HTML タ イ プの ペ イ ン の URL Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-25 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 表 17-1 XML ベース カ ス タ マ イゼーシ ョ ン フ ァ イルの構造 (続き) url-mode string — — モー ド :mangle、 no-mangle text string — — TEXT タ イ プ ペ イ ン のテ キ ス ト column number — — — カ ス タ マ イゼーシ ョ ンの設定例 次の例は、次の カ ス タ マ イ ゼーシ ョ ン オプシ ョ ン を示 し てい ま す。 • File ア ク セ ス ア プ リ ケーシ ョ ン の タ ブ を非表示にす る 。 • Web Access ア プ リ ケーシ ョ ン の タ イ ト ル と 順序を変更す る 。 • ホーム ページ で 2 つの カ ラ ム を定義す る 。 • RSS ペ イ ン を追加す る 。 • 2 番目のペ イ ン の上部に 3 つのペ イ ン(テ キ ス ト 、イ メ ージ、お よ び html)を追加す る 。 <custom name="Default"> <auth-page> <window> <title-text l10n="yes">title WebVPN Logon</title> </window> <title-panel> <mode>enable</mode> <text l10n="yes">EXAMPLE WebVPN</text> <logo-url>http://www.example.com/images/EXAMPLE.gif</logo-url> </title-panel> <copyright> <mode>enable</mode> <text l10n="yes">(c)Copyright, EXAMPLE Inc., 2006</text> </copyright> <info-panel> <mode>enable</mode> <image-url>/+CSCOE+/custom/EXAMPLE.jpg</image-url> <text l10n="yes"> <![CDATA[ <div> <b>Welcome to WebVPN !.</b> </div> ]]> </text> </info-panel> <logon-form> <form> <title-text l10n="yes">title WebVPN Logon</title> <message-text l10n="yes">message WebVPN Logon</title> <username-prompt-text l10n="yes">Username</username-prompt-text> <password-prompt-text l10n="yes">Password</password-prompt-text> <internal-password-prompt-text l10n="yes">Domain password</internal-password-prompt-text> <group-prompt-text l10n="yes">Group</group-prompt-text> Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-26 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 <submit-button-text l10n="yes">Logon</submit-button-text> </form> </logon-form> <logout-form> <form> <title-text l10n="yes">title WebVPN Logon</title> <message-text l10n="yes">message WebVPN Logon</title> <login-button-text l10n="yes">Login</login-button-text> <close-button-text l10n="yes">Logon</close-button-text> </form> </logout-form> <language-slector> <language> <code l10n="yes">code1</code> <text l10n="yes">text1</text> </language> <language> <code l10n="yes">code2</code> <text l10n="yes">text2</text> </language> </language-slector> </auth-page> <portal> <window> <title-text l10n="yes">title WebVPN Logon</title> </window> <title-panel> <mode>enable</mode> <text l10n="yes">EXAMPLE WebVPN</text> <logo-url>http://www.example.com/logo.gif</logo-url> </title-panel> <navigation-panel> <mode>enable</mode> </navigation-panel> <application> <id>file-access</id> <mode>disable</mode> </application> <application> <id>web-access</id> <tab-title>EXAMPLE Intranet</tab-title> <order>3001</order> </application> <column> <order>2</order> <width>40%</width> <column> <column> <order>1</order> <width>60%</width> <column> <url-lists> <mode>no-group</mode> </url-lists> Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-27 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 <pane> <id>rss_pane</id> <type>RSS</type> <url>rss.example.com?id=78</url> </pane> <pane> <type>IMAGE</type> <url>http://www.example.com/logo.gif</url> <column>1</column> <row>2</row> </pane> <pane> <type>HTML</type> <title>EXAMPLE news</title> <url>http://www.example.com/news.html</url> <column>1</column> <row>3</row> </pane> </portal> </custom> カ ス タ マ イゼーシ ョ ン テ ン プ レー ト の使用 Template と い う 名前の カ ス タ マ イ ゼーシ ョ ン テ ン プ レ ー ト には、現在使用 さ れてい る タ グすべ て と 、その使用法を説明 し た対応す る コ メ ン ト が含 ま れてい ま す。export コ マ ン ド を使用 し 、次 の よ う に し てASAか ら カ ス タ マ イ ゼーシ ョ ン テ ン プ レ ー ト を ダ ウ ン ロ ー ド し ま す。 hostname# export webvpn customization Template tftp://webserver/default.xml hostname# Template フ ァ イ ルは、変更 ま たは削除で き ま せん。こ の例の よ う に し てエ ク ス ポー ト す る 場合 は、default.xml と い う 新 し い名前で保存 し ま す。こ の フ ァ イ ルで変更を行っ た後、組織の必要を満 たすカ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト を作成 し 、ASAdefault.xml ま たは選択す る 別の名前の フ ァ イ ル と し て に イ ン ポー ト し ま す。次に例を示 し ま す。 hostname# import webvpn customization General tftp://webserver/custom.xml hostname# こ こ で custom.xml と い う 名前の XML オブジ ェ ク ト を イ ンポー ト し、 ASA で General と 命名し ます。 カ ス タ マ イゼーシ ョ ン テ ン プ レー ト Template と い う 名前の カ ス タ マ イ ゼーシ ョ ン テ ン プ レ ー ト を次に示 し ま す。 <?xml version="1.0" encoding="UTF-8" ?> - <!-Copyright (c) 2008,2009 by Cisco Systems, Inc. All rights reserved. Note: all white spaces in tag values are significant and preserved. Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-28 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 Tag: custom Description: Root customization tag Tag: custom/languages Description: Contains list of languages, recognized by ASA Value: string containing comma-separated language codes. Each language code is a set dash-separated alphanumeric characters, started with alpha-character (for example: en, en-us, irokese8-language-us) Default value: en-us Tag: custom/default-language Description: Language code that is selected when the client and the server were not able to negotiate the language automatically. For example the set of languages configured in the browser is "en,ja", and the list of languages, specified by 'custom/languages' tag is "cn,fr", the default-language will be used. Value: string, containing one of the language coded, specified in 'custom/languages' tag above. Default value: en-us ********************************************************* Tag: custom/auth-page Description: Contains authentication page settings ********************************************************* Tag: custom/auth-page/window Description: Contains settings of the authentication page browser window Tag: custom/auth-page/window/title-text Description: The title of the browser window of the authentication page Value: arbitrary string Default value: Browser's default value ********************************************************* Tag: custom/auth-page/title-panel Description: Contains settings for the title panel Tag: custom/auth-page/title-panel/mode Description: The title panel mode Value: enable|disable Default value: disable Tag: custom/auth-page/title-panel/text Description: The title panel text. Value: arbitrary string Default value: empty string Tag: custom/auth-page/title-panel/logo-url Description: The URL of the logo image (imported via "import webvpn webcontent") Value: URL string Default value: empty image URL Tag: custom/auth-page/title-panel/background-color Description: The background color of the title panel Value: HTML color format, for example #FFFFFF Default value: #FFFFFF Tag: custom/auth-page/title-panel/font-color Description: The background color of the title panel Value: HTML color format, for example #FFFFFF Default value: #000000 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-29 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 Tag: custom/auth-page/title-panel/font-weight Description: The font weight Value: CSS font size value, for example bold, bolder,lighter etc. Default value: empty string Tag: custom/auth-page/title-panel/font-size Description: The font size Value: CSS font size value, for example 10pt, 8px, x-large, smaller etc. Default value: empty string Tag: custom/auth-page/title-panel/gradient Description: Specifies using the background color gradient Value: yes|no Default value:no Tag: custom/auth-page/title-panel/style Description: CSS style of the title panel Value: CSS style string Default value: empty string ********************************************************* Tag: custom/auth-page/copyright-panel Description: Contains the copyright panel settings Tag: custom/auth-page/copyright-panel/mode Description: The copyright panel mode Value: enable|disable Default value: disable Tag: custom/auth-page/copyright-panel/text Description: The copyright panel text Value: arbitrary string Default value: empty string ********************************************************* Tag: custom/auth-page/info-panel Description: Contains information panel settings Tag: custom/auth-page/info-panel/mode Description: The information panel mode Value: enable|disable Default value: disable Tag: custom/auth-page/info-panel/image-position Description: Position of the image, above or below the informational panel text Values: above|below Default value: above Tag: custom/auth-page/info-panel/image-url Description: URL of the information panel image (imported via "import webvpn webcontent") Value: URL string Default value: empty image URL Tag: custom/auth-page/info-panel/text Description: Text of the information panel Text: arbitrary string Default value: empty string ********************************************************* Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-30 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 Tag: custom/auth-page/logon-form Description: Contains logon form settings Tag: custom/auth-page/logon-form/title-text Description: The logon form title text Value: arbitrary string Default value: "Logon" Tag: custom/auth-page/logon-form/message-text Description: The message inside of the logon form Value: arbitrary string Default value: empty string Tag: custom/auth-page/logon-form/username-prompt-text Description: The username prompt text Value: arbitrary string Default value: "Username" Tag: custom/auth-page/logon-form/password-prompt-text Description: The password prompt text Value: arbitrary string Default value: "Password" Tag: custom/auth-page/logon-form/internal-password-prompt-text Description: The internal password prompt text Value: arbitrary string Default value: "Internal Password" Tag: custom/auth-page/logon-form/group-prompt-text Description: The group selector prompt text Value: arbitrary string Default value: "Group" Tag: custom/auth-page/logon-form/submit-button-text Description: The submit button text Value: arbitrary string Default value: "Logon" Tag: custom/auth-page/logon-form/internal-password-first Description: Sets internal password first in the order Value: yes|no Default value: no Tag: custom/auth-page/logon-form/title-font-color Description: The font color of the logon form title Value: HTML color format, for example #FFFFFF Default value: #000000 Tag: custom/auth-page/logon-form/title-background-color Description: The background color of the logon form title Value: HTML color format, for example #FFFFFF Default value: #000000 Tag: custom/auth-page/logon-form/font-color Description: The font color of the logon form Value: HTML color format, for example #FFFFFF Default value: #000000 Tag: custom/auth-page/logon-form/background-color Description: The background color of the logon form Value: HTML color format, for example #FFFFFF Default value: #000000 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-31 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 ********************************************************* Tag: custom/auth-page/logout-form Description: Contains the logout form settings Tag: custom/auth-page/logout-form/title-text Description: The logout form title text Value: arbitrary string Default value: "Logout" Tag: custom/auth-page/logout-form/message-text Description: The logout form message text Value: arbitrary string Default value: Goodbye. For your own security, please: Clear the browser's cache Delete any downloaded files Close the browser's window Tag: custom/auth-page/logout-form/login-button-text Description: The text of the button sending the user to the logon page Value: arbitrary string Default value: "Logon" ********************************************************* Tag: custom/auth-page/language-selector Description: Contains the language selector settings Tag: custom/auth-page/language-selector/mode Description: The language selector mode Value: enable|disable Default value: disable Tag: custom/auth-page/language-selector/title Description: The language selector title Value: arbitrary string Default value: empty string Tag: custom/auth-page/language-selector/language (multiple) Description: Contains the language settings Tag: custom/auth-page/language-selector/language/code Description: The code of the language Value (required): The language code string Tag: custom/auth-page/language-selector/language/text Description: The text of the language in the language selector drop-down box Value (required): arbitrary string ********************************************************* Tag: custom/portal Description: Contains portal page settings ********************************************************* Tag: custom/portal/window Description: Contains the portal page browser window settings Tag: custom/portal/window/title-text Description: The title of the browser window of the portal page Value: arbitrary string Default value: Browser's default value Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-32 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 ********************************************************* Tag: custom/portal/title-panel Description: Contains settings for the title panel Tag: custom/portal/title-panel/mode Description: The title panel mode Value: enable|disable Default value: disable Tag: custom/portal/title-panel/text Description: The title panel text. Value: arbitrary string Default value: empty string Tag: custom/portal/title-panel/logo-url Description: The URL of the logo image (imported via "import webvpn webcontent") Value: URL string Default value: empty image URL Tag: custom/portal/title-panel/background-color Description: The background color of the title panel Value: HTML color format, for example #FFFFFF Default value: #FFFFFF Tag: custom/auth-pa/title-panel/font-color Description: The background color of the title panel Value: HTML color format, for example #FFFFFF Default value: #000000 Tag: custom/portal/title-panel/font-weight Description: The font weight Value: CSS font size value, for example bold, bolder,lighter etc. Default value: empty string Tag: custom/portal/title-panel/font-size Description: The font size Value: CSS font size value, for example 10pt, 8px, x-large, smaller etc. Default value: empty string Tag: custom/portal/title-panel/gradient Description: Specifies using the background color gradient Value: yes|no Default value:no Tag: custom/portal/title-panel/style Description: CSS style for title text Value: CSS style string Default value: empty string ********************************************************* Tag: custom/portal/application (multiple) Description: Contains the application setting Tag: custom/portal/application/mode Description: The application mode Value: enable|disable Default value: enable Tag: custom/portal/application/id Description: The application ID. Standard application ID's are: home, web-access, file-access, app-access, network-access, help Value: The application ID string Default value: empty string Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-33 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 Tag: custom/portal/application/tab-title Description: The application tab text in the navigation panel Value: arbitrary string Default value: empty string Tag: custom/portal/application/order Description: The order of the application's tab in the navigation panel. Applications with lesser order go first. Value: arbitrary number Default value: 1000 Tag: custom/portal/application/url-list-title Description: The title of the application's URL list pane (in group mode) Value: arbitrary string Default value: Tab tite value concatenated with "Bookmarks" ********************************************************* Tag: custom/portal/navigation-panel Description: Contains the navigation panel settings Tag: custom/portal/navigation-panel/mode Description: The navigation panel mode Value: enable|disable Default value: enable ********************************************************* Tag: custom/portal/toolbar Description: Contains the toolbar settings Tag: custom/portal/toolbar/mode Description: The toolbar mode Value: enable|disable Default value: enable Tag: custom/portal/toolbar/prompt-box-title Description: The universal prompt box title Value: arbitrary string Default value: "Address" Tag: custom/portal/toolbar/browse-button-text Description: The browse button text Value: arbitrary string Default value: "Browse" Tag: custom/portal/toolbar/logout-prompt-text Description: The logout prompt text Value: arbitrary string Default value: "Logout" ********************************************************* Tag: custom/portal/column (multiple) Description: Contains settings of the home page column(s) Tag: custom/portal/column/order Description: The order the column from left to right. Columns with lesser order values go first Value: arbitrary number Default value: 0 Tag: custom/portal/column/width Description: The home page column width Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-34 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 Value: percent Default value: default value set by browser Note: The actual width may be increased by browser to accommodate content ********************************************************* Tag: custom/portal/url-lists Description: Contains settings for URL lists on the home page Tag: custom/portal/url-lists/mode Description: Specifies how to display URL lists on the home page: group URL lists by application (group) or show individual URL lists (nogroup). URL lists fill out cells of the configured columns, which are not taken by custom panes. Use the attribute value "nodisplay" to not show URL lists on the home page. Value: group|nogroup|nodisplay Default value: group ********************************************************* Tag: custom/portal/pane (multiple) Description: Contains settings of the custom pane on the home page Tag: custom/portal/pane/mode Description: The mode of the pane Value: enable|disable Default value: disable Tag: custom/portal/pane/title Description: The title of the pane Value: arbitrary string Default value: empty string Tag: custom/portal/pane/notitle Description: Hides pane's title bar Value: yes|no Default value: no Tag: custom/portal/pane/type Description: The type of the pane. Supported types: TEXT - inline arbitrary text, may contain HTML tags; HTML - HTML content specified by URL shown in the individual iframe; IMAGE - image specified by URL RSS - RSS feed specified by URL Value: TEXT|HTML|IMAGE|RSS Default value: TEXT Tag: custom/portal/pane/url Description: The URL for panes with type Value: URL string Default value: empty string HTML,IMAGE or RSS Tag: custom/portal/pane/text Description: The text value for panes with type TEXT Value: arbitrary string Default value:empty string Tag: custom/portal/pane/column Description: The column where the pane located. Value: arbitrary number Default value: 1 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-35 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 Tag: custom/portal/pane/row Description: The row where the pane is located Value: arbitrary number Default value: 1 Tag: custom/portal/pane/height Description: The height of the pane Value: number of pixels Default value: default value set by browser ********************************************************* Tag: custom/portal/browse-network-title Description: The title of the browse network link Value: arbitrary string Default value: Browse Entire Network Tag: custom/portal/access-network-title Description: The title of the link to start a network access session Value: arbitrary string Default value: Start AnyConnect --> - <custom> - <localization> <languages>en,ja,zh,ru,ua</languages> <default-language>en</default-language> </localization> - <auth-page> - <window> - <title-text l10n="yes"> - <![CDATA[ WebVPN Service ]]> </title-text> </window> - <language-selector> <mode>disable</mode> <title l10n="yes">Language:</title> - <language> <code>en</code> <text>English</text> </language> - <language> <code>zh</code> <text>?? (Chinese)</text> </language> - <language> <code>ja</code> <text>?? (Japanese)</text> </language> - <language> <code>ru</code> <text>??????? (Russian)</text> </language> - <language> <code>ua</code> <text>?????????? (Ukrainian)</text> </language> </language-selector> - <logon-form> Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-36 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 - <title-text l10n="yes"> - <![CDATA[ ログイン ]]> </title-text> - <title-background-color> - <![CDATA[ #666666 ]]> </title-background-color> - <title-font-color> - <![CDATA[ #ffffff ]]> </title-font-color> - <message-text l10n="yes"> - <![CDATA[ Please enter your username and password. ]]> </message-text> - <username-prompt-text l10n="yes"> - <![CDATA[ USERNAME: ]]> </username-prompt-text> - <password-prompt-text l10n="yes"> - <![CDATA[ PASSWORD: ]]> password-prompt-text <internal-password-prompt-text l10n="yes" /> <internal-password-first>no</internal-password-first> - <group-prompt-text l10n="yes"> - <![CDATA[ GROUP: ]]> </group-prompt-text> - <submit-button-text l10n="yes"> - <![CDATA[ ログイン ]]> </submit-button-text> - <title-font-color> - <![CDATA[ #ffffff ]]> </title-font-color> - <title-background-color> - <![CDATA[ #666666 ]]> </title-background-color> <font-color>#000000</font-color> <background-color>#ffffff</background-color> </logon-form> - <logout-form> - <title-text l10n="yes"> - <![CDATA[ Logout ]]> </title-text> - <message-text l10n="yes"> - <![CDATA[ Goodbye. Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-37 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 ]]> </message-text> </logout-form> - <title-panel> <mode>enable</mode> - <text l10n="yes"> - <![CDATA[ WebVPN Service ]]> </text> <logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url> <gradient>yes</gradient> <style /> - <background-color> - <![CDATA[ #ffffff ]]> </background-color> - <font-size> - <![CDATA[ larger ]]> </font-size> - <font-color> - <![CDATA[ #800000 ]]> </font-color> - <font-weight> - <![CDATA[ bold ]]> </font-weight> </title-panel> - <info-panel> <mode>disable</mode> <image-url l10n="yes">/+CSCOU+/clear.gif</image-url> <image-position>above</image-position> <text l10n="yes" /> </info-panel> - <copyright-panel> <mode>disable</mode> <text l10n="yes" /> </copyright-panel> </auth-page> - <portal> - <title-panel> <mode>enable</mode> - <text l10n="yes"> - <![CDATA[ WebVPN Service ]]> </text> <logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url> <gradient>yes</gradient> <style /> - <background-color> - <![CDATA[ #ffffff ]]> </background-color> - <font-size> - <![CDATA[ larger Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-38 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 ]]> </font-size> - <font-color> - <![CDATA[ #800000 ]]> </font-color> - <font-weight> - <![CDATA[ bold ]]> </font-weight> </title-panel> <browse-network-title l10n="yes">Browse Entire Network</browse-network-title> <access-network-title l10n="yes">Start AnyConnect</access-network-title> - <application> <mode>enable</mode> <id>home</id> <tab-title l10n="yes">Home</tab-title> <order>1</order> </application> - <application> <mode>enable</mode> <id>web-access</id> - <tab-title l10n="yes"> - <![CDATA[ Web Applications ]]> </tab-title> - <url-list-title l10n="yes"> - <![CDATA[ Web Bookmarks ]]> </url-list-title> <order>2</order> </application> - <application> <mode>enable</mode> <id>file-access</id> - <tab-title l10n="yes"> - <![CDATA[ Browse Networks ]]> </tab-title> - <url-list-title l10n="yes"> - <![CDATA[ File Folder Bookmarks ]]> </url-list-title> <order>3</order> </application> - <application> <mode>enable</mode> <id>app-access</id> - <tab-title l10n="yes"> - <![CDATA[ Application Access ]]> </tab-title> <order>4</order> </application> - <application> <mode>enable</mode> <id>net-access</id> Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-39 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 <tab-title l10n="yes">AnyConnect</tab-title> <order>4</order> </application> - <application> <mode>enable</mode> <id>help</id> <tab-title l10n="yes">Help</tab-title> <order>1000000</order> </application> - <toolbar> <mode>enable</mode> <logout-prompt-text l10n="yes">Logout</logout-prompt-text> <prompt-box-title l10n="yes">Address</prompt-box-title> <browse-button-text l10n="yes">Browse</browse-button-text> </toolbar> - <column> <width>100%</width> <order>1</order> </column> - <pane> <type>TEXT</type> <mode>disable</mode> <title /> <text /> <notitle /> <column /> <row /> <height /> </pane> - <pane> <type>IMAGE</type> <mode>disable</mode> <title /> <url l10n="yes" /> <notitle /> <column /> <row /> <height /> </pane> - <pane> <type>HTML</type> <mode>disable</mode> <title /> <url l10n="yes" /> <notitle /> <column /> <row /> <height /> </pane> - <pane> <type>RSS</type> <mode>disable</mode> <title /> <url l10n="yes" /> <notitle /> <column /> <row /> <height /> </pane> - <url-lists> <mode>group</mode> </url-lists> </portal> </custom> Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-40 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 ヘルプのカ ス タ マ イズ ASAは、ク ラ イ ア ン ト レ ス セ ッ シ ョ ン の間、ア プ リ ケーシ ョ ン ペ イ ン にヘルプ コ ン テ ン ツ を表 示 し ま す。それぞれの ク ラ イ ア ン ト レ ス ア プ リ ケーシ ョ ン ペ イ ン には、事前設定 さ れた フ ァ イ ル名を使用す る 独自のヘルプ フ ァ イ ルの コ ン テ ン ツ が表示 さ れ ま す。た と えば、[Application Access] パネルに表示 さ れ る ヘルプ コ ン テ ン ツ は、app-access-hlp.inc と い う フ ァ イ ルの内容で す。次の図に、ク ラ イ ア ン ト レ ス ア プ リ ケーシ ョ ン パネル と 、ヘルプの コ ン テ ン ツ の事前設定 さ れた フ ァ イ ル名を示 し ま す。 表 17-2 ク ラ イ ア ン ト レ ス ア プ リ ケーシ ョ ン Application Type パネル フ ァ イル名 規格 Application Access app-access-hlp.inc 規格 Browse Networks file-access-hlp.inc 規格 AnyConnect Client net-access-hlp.inc 規格 Web Access web-access-hlp.inc プラグイン MetaFrame Access ica-hlp.inc プラグイン Terminal Servers rdp-hlp.inc プラグイン Telnet/SSH Servers プラグイン VNC Connections 1. 1 ssh,telnet-hlp.inc vnc-hlp.inc こ のプ ラ グ イ ン は、sshv1 と sshv2 の両方を実行で き ま す。 シ ス コ が提供す る ヘルプ フ ァ イ ル を カ ス タ マ イ ズす る か、ま たは別の言語でヘルプ フ ァ イ ル を 作成で き ま す。次に [Import] ボ タ ン を使用 し て、ASAの フ ラ ッ シ ュ メ モ リ にそれ ら の フ ァ イ ル を コ ピ ー し 、その後の ク ラ イ ア ン ト レ ス セ ッ シ ョ ン中に表示 し ま す。ま た、以前に イ ン ポー ト し た ヘルプ コ ン テ ン ツ フ ァ イ ル を エ ク ス ポー ト し 、カ ス タ マ イ ズ し て、フ ラ ッ シ ュ メ モ リ に再 イ ン ポー ト す る こ と も で き ま す。 ステ ッ プ 1 [Import] を ク リ ッ ク し て、[Import Application Help Content] ダ イ ア ロ グ を起動 し ま す。こ のダ イ ア ロ グ では、ク ラ イ ア ン ト レ ス セ ッ シ ョ ン中に表示す る 新 し いヘルプ コ ン テ ン ツ を フ ラ ッ シ ュ メ モ リ に イ ン ポー ト で き ま す。 ステ ッ プ 2 (任意)[Export] を ク リ ッ ク し て、テーブルか ら 選択 し 、以前に イ ン ポー ト し たヘルプ コ ン テ ン ツ を取得 し ま す。 ステ ッ プ 3 (任意)[Delete] を ク リ ッ ク し て、テーブルか ら 選択 し 、以前に イ ン ポー ト し たヘルプ コ ン テ ン ツ を削除 し ま す。 ステ ッ プ 4 ブ ラ ウ ザに表示 さ れ る 言語の省略形が表示 さ れ ま す。こ の フ ィ ール ド は、フ ァ イ ル変換には 使用 さ れ ま せん 。フ ァ イ ル内で使用 さ れ る 言語を示 し ま す。テーブル内の略語に関連付け る 言語名を 特定す る には、ブ ラ ウ ザで表示 さ れ る 言語の リ ス ト を表示 し ま す。た と えば、次の手順のいずれ か を使用す る と 、ダ イ ア ロ グ ウ ィ ン ド ウ に言語 と 関連の言語 コ ー ド が表示 さ れ ま す。 • Internet Explorer を起動 し て、[Tools] > [Internet Options] > [Languages] > [Add] を選択 し ま す。 • Mozilla Firefox を起動 し て、[Tools] > [Options] > [Advanced] > [General] を選択 し 、[Languages] の隣に あ る [Choose] を ク リ ッ ク し て、[Select a language to add] を ク リ ッ ク し ま す。 ヘルプ コ ン テ ン ツ フ ァ イ ルが イ ン ポー ト さ れた と き の フ ァ イ ル名が表示 さ れ ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-41 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 シス コが提供するヘルプ フ ァ イルのカ ス タ マ イズ シ ス コ が提供す る ヘルプ フ ァ イ ル を カ ス タ マ イ ズす る には、ま ず、フ ラ ッ シ ュ メ モ リ カー ド か ら フ ァ イ ルの コ ピ ーを取得す る 必要が あ り ま す。 ステ ッ プ 1 ブ ラ ウ ザ を使用 し て、ASA と の ク ラ イ ア ン ト レ ス セ ッ シ ョ ン を確立 し ま す。 ステ ッ プ 2 次の表の「セ キ ュ リ テ ィ ア プ ラ イ ア ン ス の フ ラ ッ シ ュ メ モ リ 内のヘルプ フ ァ イ ルの URL」に あ る 文字列を ASA の ア ド レ ス に追加 し 、次の説明に従っ て language の部分を置 き 換え、次に Enter を押 し てヘルプ フ ァ イ ル を表示 し ま す。 表 17-3 ク ラ イ ア ン ト レ ス ア プ リ ケーシ ョ ン用にシス コが提供するヘルプ フ ァ イル Application Type パネル Application Access 規格 Browse Networks 規格 AnyConnect Client 規格 Web Access 規格 プ ラ グ イ ン Terminal Servers プ ラ グ イ ン Telnet/SSH Servers プ ラ グ イ ン VNC Connections セキ ュ リ テ ィ ア プ ラ イ ア ン スの フ ラ ッ シ ュ メ モ リ 内のヘルプ フ ァ イルの URL /+CSCOE+/help/language/app-access-hlp.inc /+CSCOE+/help/language/file-access-hlp.inc /+CSCOE+/help/language/net-access-hlp.inc /+CSCOE+/help/language/web-access-hlp.inc /+CSCOE+/help/language/rdp-hlp.inc /+CSCOE+/help/language/ssh,telnet-hlp.inc /+CSCOE+/help/language/vnc-hlp.inc language は、ブ ラ ウ ザで表示 さ れ る 言語の略語です。略語は フ ァ イ ル変換では 使用 さ れ ま せん 。 こ れは、フ ァ イ ルで使用 さ れ る 言語を示 し ま す。シ ス コ が提供す る 英語版のヘルプ フ ァ イ ル を表 示す る 場合は、略語 と し て en と 入力 し ま す。 次の ア ド レ ス 例は、Terminal Servers のヘルプの英語版を表示 し ま す。 https://address_of_security_appliance/+CSCOE+/help/en/rdp-hlp.inc ステ ッ プ 3 [File] > [Save (Page) As] を選択 し ま す。 注 [File name] ボ ッ ク ス の内容は変更 し ないで く だ さ い。 ステ ッ プ 4 [Save as type] オプ シ ョ ン を [Web Page, HTML only] に変更 し て、[Save] を ク リ ッ ク し ま す。 ステ ッ プ 5 任意の HTML エデ ィ タ を使用 し て フ ァ イ ル を カ ス タ マ イ ズ し ま す。 注 ほ と ん ど の HTML タ グ を使用で き ま すが、文書お よ びその構造を定義す る タ グは 使用 し ないで く だ さ い (た と えば、<html>、<title>、<body>、<head>、<h1>、<h2> な ど は使用 し ない で く だ さ い)。<b> タ グ な ど の文字 タ グや、コ ン テ ン ツ の構造を決め る <p>、<ol>、<ul>、お よ び <li> タ グは使用で き ま す。 ステ ッ プ 6 オ リ ジナルの フ ァ イ ル名 と 拡張子を指定 し て、HTML only と し て フ ァ イ ル を保存 し ま す。 ステ ッ プ 7 フ ァ イ ル名が表 17-4 に あ る フ ァ イ ル名のいずれか と 一致す る こ と 、お よ び余分な フ ァ イ ル拡張 子がない こ と を確認 し ま す。 ASDM に戻 り 、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択 し て、修正 さ れたヘルプ フ ァ イ ル を フ ラ ッ シ ュ メ モ リ に イ ン ポー ト し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-42 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 シス コが提供 し ていない言語用のヘルプ フ ァ イルの作成 標準 HTML を使用 し て他の言語のヘルプ フ ァ イ ル を作成 し ま す。サポー ト す る それぞれの言語 に別の フ ォ ルダ を作成す る こ と をお勧め し ま す。 注 ほ と ん ど の HTML タ グ を使用で き ま すが、文書お よ びその構造を定義す る タ グは 使用 し ないで く だ さ い(た と えば、<html>、<title>、<body>、<head>、<h1>、<h2> な ど は使用 し ないで く だ さ い)。 <b> タ グ な ど の文字 タ グや、コ ン テ ン ツ の構造を決め る <p>、<ol>、<ul>、お よ び <li> タ グは使用 で き ま す。 HTML only と し て フ ァ イ ルを保存 し ます。[Filename] カ ラ ムにあ る フ ァ イ ル名を使用 し て く だ さ い。 ASDM に戻 り 、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択 し て、新 し いヘルプ フ ァ イ ル を フ ラ ッ シ ュ メ モ リ に イ ン ポー ト し ま す。 ア プ リ ケーシ ョ ンのヘルプ コ ン テ ン ツの イ ン ポー ト お よ び エ ク ス ポー ト [Import Application Help Content] ダ イ ア ロ グ ボ ッ ク ス を使用 し て、ク ラ イ ア ン ト レ ス セ ッ シ ョ ン 中にポー タ ル ページに表示す る ために、ヘルプ フ ァ イ ル を フ ラ ッ シ ュ メ モ リ に イ ン ポー ト し ま す。[Export Application Help Content] ダ イ ア ロ グ ボ ッ ク ス を使用 し て、以前に イ ン ポー ト し たヘル プ フ ァ イ ル を その後の編集のために取得 し ま す。 ステ ッ プ 1 [Language] フ ィ ール ド に よ っ て ブ ラ ウ ザに表示 さ れ る 言語が指定 さ れ ま すが、こ の フ ィ ール ド は フ ァ イ ル変換には使用 さ れ ま せん ( こ の フ ィ ール ド は、[Export Application Help Content] ダ イ ア ロ グ ボ ッ ク ス では非ア ク テ ィ ブです)。[Language] フ ィ ール ド の横に あ る ド ッ ト (複数)を ク リ ッ ク し 、[Browse Language Code] ダ イ ア ロ グ ボ ッ ク ス で、表示 さ れ る 言語を含む行を ダブル ク リ ッ ク し ま す。[Language Code] フ ィ ール ド の略語がその行の略語 と 一致す る こ と を確認 し て、 [OK] を ク リ ッ ク し ま す。 ステ ッ プ 2 ヘルプ コ ン テ ン ツ を提供す る 言語が [Browse Language Code] ダ イ ア ロ グ ボ ッ ク ス にない場合 は、次の手順を実行 し ま す。 1. ブ ラ ウ ザに表示 さ れ る 言語お よ び略語の リ ス ト を表示 し ま す。 2. 言語の略語を [Language Code] フ ィ ール ド に入力 し 、[OK] を ク リ ッ ク し ま す。 ま たは ド ッ ト (複数)の左に あ る [Language] テ キ ス ト ボ ッ ク ス に入力す る こ と も で き ま す。 次のいずれかの操作を実行す る と 、ダ イ ア ロ グ ボ ッ ク ス に言語お よ び関連付け ら れた言語 コ ー ド が表示 さ れ ま す。 • Internet Explorer を起動 し て、[Tools] > [Internet Options] > [Languages] > [Add] を選択 し ま す。 • Mozilla Firefox を起動 し て、[Tools] > [Options] > [Advanced] > [General] を選択 し 、[Languages] の隣に あ る [Choose] を ク リ ッ ク し て、[Select a language to add] を ク リ ッ ク し ま す。 ステ ッ プ 3 イ ン ポー ト し てい る 場合は、新 し いヘルプ コ ン テ ン ツ フ ァ イ ル を [File Name] ド ロ ッ プダ ウ ン リ ス ト か ら 選択 し ま す。エ ク ス ポー ト す る 場合は、こ の フ ィ ール ド は使用で き ま せん。 ステ ッ プ 4 ソ ー ス フ ァ イ ル( イ ン ポー ト の場合) ま たは転送先 フ ァ イ ル(エ ク ス ポー ト の場合)のパ ラ メ ー タ を設定 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-43 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ク ラ イ ア ン ト レ ス SSL VPN エ ン ド ユーザの設定 • [Local computer]: ソ ー ス ま たは転送先 フ ァ イ ルが ロ ーカル コ ン ピ ュ ー タ に あ る 場合に指定 し ま す。 – [Path]: ソ ー ス ま たは転送先 フ ァ イ ルのパ ス を指定 し ま す。 – [Browse Local Files]: ソ ース ま たは転送先フ ァ イ ルの ロ ーカル コ ン ピ ュ ー タ を参照 し ます。 • [Flash file system]: ソ ー ス ま たは転送先 フ ァ イ ルがASAの フ ラ ッ シ ュ メ モ リ に あ る 場合に指 定 し ま す。 – [Path]:フ ラ ッ シ ュ メ モ リ 内の ソ ー ス ま たは転送先 フ ァ イ ルのパ ス を指定 し ま す。 – [Browse Flash]: ソ ー ス ま たは転送先 フ ァ イ ルの あ る フ ラ ッ シ ュ メ モ リ を参照 し ま す。 • [Remote server]: ソ ー ス ま たは転送先 フ ァ イ ルが リ モー ト サーバに あ る 場合に指定 し ま す。 – [Path]:ftp、tftp、ま たは http( イ ン ポー ト の場合のみ)の中か ら フ ァ イ ル転送( コ ピ ー)方式 を選択 し 、パ ス を指定 し ま す。 シス コが提供するヘルプ フ ァ イルのカ ス タ マ イズ シ ス コ が提供す る ヘルプ フ ァ イ ル を カ ス タ マ イ ズす る には、ま ず、フ ラ ッ シ ュ メ モ リ カー ド か ら フ ァ イ ルの コ ピ ーを取得す る 必要が あ り ま す。 ステ ッ プ 1 ブ ラ ウ ザ を使用 し て、ASA と の ク ラ イ ア ン ト レ ス セ ッ シ ョ ン を確立 し ま す。 ステ ッ プ 2 次の表の「セ キ ュ リ テ ィ ア プ ラ イ ア ン ス の フ ラ ッ シ ュ メ モ リ 内のヘルプ フ ァ イ ルの URL」に あ る 文字列を ASA の ア ド レ ス に追加 し 、次の説明に従っ て language の部分を置 き 換え、次に Enter を押 し てヘルプ フ ァ イ ル を表示 し ま す。 表 17-4 ク ラ イ ア ン ト レ ス ア プ リ ケーシ ョ ン用にシス コが提供するヘルプ フ ァ イル Application Type パネル Application Access 規格 Browse Networks 規格 AnyConnect Client 規格 Web Access 規格 プ ラ グ イ ン Terminal Servers プ ラ グ イ ン Telnet/SSH Servers プ ラ グ イ ン VNC Connections セキ ュ リ テ ィ ア プ ラ イ ア ン スの フ ラ ッ シ ュ メ モ リ 内のヘルプ フ ァ イルの URL /+CSCOE+/help/language/app-access-hlp.inc /+CSCOE+/help/language/file-access-hlp.inc /+CSCOE+/help/language/net-access-hlp.inc /+CSCOE+/help/language/web-access-hlp.inc /+CSCOE+/help/language/rdp-hlp.inc /+CSCOE+/help/language/ssh,telnet-hlp.inc /+CSCOE+/help/language/vnc-hlp.inc language は、ブ ラ ウ ザで表示 さ れ る 言語の略語です。略語は フ ァ イ ル変換では 使用 さ れ ま せん 。 こ れは、フ ァ イ ルで使用 さ れ る 言語を示 し ま す。シ ス コ が提供す る 英語版のヘルプ フ ァ イ ル を表 示す る 場合は、略語 と し て en と 入力 し ま す。 次の ア ド レ ス 例は、Terminal Servers のヘルプの英語版を表示 し ま す。 https://address_of_security_appliance/+CSCOE+/help/en/rdp-hlp.inc ステ ッ プ 3 [File] > [Save (Page) As] を選択 し ま す。 注 [File name] ボ ッ ク ス の内容は変更 し ないで く だ さ い。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-44 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ブ ッ ク マー ク ヘルプのカ ス タ マ イ ズ ステ ッ プ 4 [Save as type] オプ シ ョ ン を [Web Page, HTML only] に変更 し て、[Save] を ク リ ッ ク し ま す。 ステ ッ プ 5 任意の HTML エデ ィ タ を使用 し て フ ァ イ ル を カ ス タ マ イ ズ し ま す。 注 ほ と ん ど の HTML タ グ を使用で き ま すが、文書お よ びその構造を定義す る タ グは 使用 し ないで く だ さ い (た と えば、<html>、<title>、<body>、<head>、<h1>、<h2> な ど は使用 し ない で く だ さ い)。<b> タ グ な ど の文字 タ グや、コ ン テ ン ツ の構造を決め る <p>、<ol>、<ul>、お よ び <li> タ グは使用で き ま す。 ステ ッ プ 6 オ リ ジナルの フ ァ イ ル名 と 拡張子を指定 し て、HTML only と し て フ ァ イ ル を保存 し ま す。 ステ ッ プ 7 フ ァ イ ル名が表 17-4 に あ る フ ァ イ ル名のいずれか と 一致す る こ と 、お よ び余分な フ ァ イ ル拡張 子がない こ と を確認 し ま す。 ASDM に戻 り 、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択 し て、修正 さ れたヘルプ フ ァ イ ル を フ ラ ッ シ ュ メ モ リ に イ ン ポー ト し ま す。 シス コが提供 し ていない言語用のヘルプ フ ァ イルの作成 標準 HTML を使用 し て他の言語のヘルプ フ ァ イ ル を作成 し ま す。サポー ト す る それぞれの言語 に別の フ ォ ルダ を作成す る こ と をお勧め し ま す。 注 ほ と ん ど の HTML タ グ を使用で き ま すが、文書お よ びその構造を定義す る タ グは 使用 し ないで く だ さ い(た と えば、<html>、<title>、<body>、<head>、<h1>、<h2> な ど は使用 し ないで く だ さ い)。 <b> タ グ な ど の文字 タ グや、コ ン テ ン ツ の構造を決め る <p>、<ol>、<ul>、お よ び <li> タ グは使用 で き ま す。 HTML only と し て フ ァ イ ル を保存 し ま す。次の表の フ ァ イ ル名列に あ る フ ァ イ ル名を使用 し て く だ さ い。 ASDM に戻 り 、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択 し て、新 し いヘルプ フ ァ イ ル を フ ラ ッ シ ュ メ モ リ に イ ン ポー ト し ま す。 ブ ッ ク マー ク ヘルプのカ ス タ マ イズ ASA は、選択 し た各ブ ッ ク マー ク の ア プ リ ケーシ ョ ン パネルにヘルプの内容を表示 し ま す。こ れ ら のヘルプ フ ァ イ ル を カ ス タ マ イ ズ し た り 、他の言語でヘルプ フ ァ イ ル を作成 し た り で き ま す。次に、後続のセ ッ シ ョ ン中に表示す る ために、フ ァ イ ル を フ ラ ッ シ ュ メ モ リ に イ ン ポー ト し ま す。事前に イ ン ポー ト し たヘルプ コ ン テ ン ツ フ ァ イ ル を取得 し て、変更 し 、フ ラ ッ シ ュ メ モ リ に再 イ ン ポー ト す る こ と も で き ま す。 各ア プ リ ケーシ ョ ン のパネルには、事前に設定 さ れた フ ァ イ ル名 を 使用 し て独自のヘルプ フ ァ イ ル コ ン テ ン ツ が表示 さ れ ま す。今後、各 フ ァ イ ルは、ASAの フ ラ ッ シ ュ メ モ リ 内の /+CSCOE+/help/language/ と い う URL に置かれ ま す。次の表に、VPN セ ッ シ ョ ン 用に保守で き る 各ヘルプ フ ァ イ ルの詳細 を 示 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-45 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ブ ッ ク マー ク ヘルプのカ ス タ マ イ ズ 表 17-5 VPN ア プ リ ケーシ ョ ンのヘルプ フ ァ イル Application Type パネル セキ ュ リ テ ィ ア プ ラ イ ア ン スの フ ラ ッ シ ュ メ モ リ 内のヘルプ フ ァ イルの URL シ ス コ が提供す る ヘルプ フ ァ イ ルに英語版があ るか 規格 Application Access /+CSCOE+/help/language/app-access-hlp.inc Yes 規格 Browse Networks /+CSCOE+/help/language/file-access-hlp.inc Yes 規格 AnyConnect Client /+CSCOE+/help/language/net-access-hlp.inc Yes 規格 Web Access Yes /+CSCOE+/help/language/web-access-hlp.inc プ ラ グ イ ン MetaFrame Access /+CSCOE+/help/language/ica-hlp.inc No プ ラ グ イ ン Terminal Servers Yes /+CSCOE+/help/language/rdp-hlp.inc プ ラ グ イ ン Telnet/SSH Servers /+CSCOE+/help/language/ssh,telnet-hlp.inc Yes プ ラ グ イ ン VNC Connections Yes /+CSCOE+/help/language/vnc-hlp.inc language は、ブ ラ ウ ザに表示 さ れ る 言語の省略形です。こ の フ ィ ール ド は、フ ァ イ ル変換には 使 用 さ れ ま せん 。フ ァ イ ル内で使用 さ れ る 言語を示 し ま す。特定の言語 コ ー ド を指定す る には、ブ ラ ウ ザに表示 さ れ る 言語の リ ス ト か ら その言語の省略形を コ ピ ー し ま す。た と えば、次の手順の いずれか を使用す る と 、ダ イ ア ロ グ ウ ィ ン ド ウ に言語 と 関連の言語 コ ー ド が表示 さ れ ま す。 • Internet Explorer を起動 し て、[Tools] > [Internet Options] > [Languages] > [Add] を選択 し ま す。 • Mozilla Firefox を起動 し て、[Tools] > [Options] > [Advanced] > [General] を選択 し 、[Languages] の隣に あ る [Choose] を ク リ ッ ク し て、[Select a language to add] を ク リ ッ ク し ま す。 シス コが提供するヘルプ フ ァ イルのカ ス タ マ イズ シ ス コ が提供するヘルプ フ ァ イ ルを カ ス タ マ イ ズする には、まずフ ラ ッ シ ュ メ モ リ カー ド か ら フ ァ イ ルの コ ピーを取得する必要があ り ます。次の手順で、コ ピーを取得 し て カ ス タ マ イ ズ し ます。 ステ ッ プ 1 ブ ラ ウ ザ を使用 し て、ASA と の ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を確立 し ま す。 ステ ッ プ 2 「セ キ ュ リ テ ィ ア プ ラ イ ア ン ス の フ ラ ッ シ ュ メ モ リ 内のヘルプ フ ァ イ ルの URL」に あ る 文字列 を ASA の ア ド レ ス に追加 し 、Enter を押 し てヘルプ フ ァ イ ル を表示 し ま す。 注 英語版のヘルプ フ ァ イ ル を取得す る には、language の と こ ろ に en を入力 し ま す。 次の ア ド レ ス 例は、Terminal Servers のヘルプの英語版を表示 し ま す。 https://address_of_security_appliance/+CSCOE+/help/en/rdp-hlp.inc ステ ッ プ 3 [File] > [Save (Page) As] を選択 し ま す。 注 [File name] ボ ッ ク ス の内容は変更 し ないで く だ さ い。 ステ ッ プ 4 [Save as type] オプ シ ョ ン を [Web Page, HTML only] に変更 し て、[Save] を ク リ ッ ク し ま す。 ステ ッ プ 5 任意の HTML エデ ィ タ を使用 し て フ ァ イ ル を変更 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-46 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ブ ッ ク マー ク ヘルプのカ ス タ マ イ ズ 注 ほ と ん ど の HTML は使用で き ま すが、ド キ ュ メ ン ト やその構造を定義す る タ グは使用 で き ま せん 。た と えば、<html>、<title>、<body>、<head>、<h1>、<h2> な ど は使用 し ないで く だ さ い。<b> タ グ な ど の文字 タ グや、コ ン テ ン ツ の構造を決め る <p>、<ol>、<ul>、お よ び <li> タ グは使用で き ま す。 ステ ッ プ 6 オ リ ジナルの フ ァ イ ル名 と 拡張子を指定 し て、HTML only と し て フ ァ イ ル を保存 し ま す。 ステ ッ プ 7 フ ァ イ ル名が表内の フ ァ イ ル名のいずれか と 一致す る こ と 、お よ び余分な フ ァ イ ル拡張子がな い こ と を確認 し ま す。 ASDM に戻 り 、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択 し て、新 し いヘルプ フ ァ イ ル を フ ラ ッ シ ュ メ モ リ に イ ン ポー ト し ま す。 シス コが提供 し ていない言語用のヘルプ フ ァ イルの作成 HTML を使用 し て、他の言語でヘルプ フ ァ イ ル を作成 し ま す。 サポー ト す る それぞれの言語に別の フ ォ ルダ を作成す る こ と をお勧め し ま す。 HTML only と し て フ ァ イ ル を保存 し ま す。「セ キ ュ リ テ ィ ア プ ラ イ ア ン ス の フ ラ ッ シ ュ メ モ リ 内のヘルプ フ ァ イ ルの URL」の最後の ス ラ ッ シ ュ の後に あ る フ ァ イ ル名を使用 し ま す。 VPN セ ッ シ ョ ン中に表示す る ために フ ァ イ ル を イ ン ポー ト す る 場合は、次の項を参照 し て く だ さ い。 サポー ト さ れていない言語のヘルプ フ ァ イルを作成する と きの制約事項 ほ と ん どの HTML は使用で き ますが、ド キ ュ メ ン ト やその構造を定義する タ グは使用で き ません。 た と えば、<html>、<title>、<body>、<head>、<h1>、<h2> な どは使用 し ないで く だ さ い。<b> タ グ な どの 文字 タ グや、コ ン テ ン ツの構造を決め る <p>、<ol>、<ul>、お よ び <li> タ グは使用で き ます。 言語変換について ASA は、ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン 全体の言語変換 を 提供 し ま す。こ れには、ロ グ イ ン 、ロ グ ア ウ ト バナー、お よ びプ ラ グ イ ン お よ び AnyConnect な ど の認証後に表示 さ れ る ポー タ ル ページ が含 ま れ ま す。リ モー ト ユーザに可視で あ る 機能エ リ ア と それ ら の メ ッ セージは、 変換 ド メ イ ン 内に ま と め ら れて い ま す。次の表に、変換 ド メ イ ン お よ び、変換 さ れ る 機能領域 を 示 し ま す。 表 17-6 言語翻訳 ド メ イ ンのオプ シ ョ ン 変換 ド メ イ ン 変換 さ れる機能エ リ ア AnyConnect Cisco AnyConnect VPN ク ラ イ ア ン ト のユーザ イ ン タ ー フ ェ イ ス に表示 さ れ る メ ッ セージ。 バナー ク ラ イ ア ン ト レ ス 接続で VPN ア ク セ ス が拒否 さ れ る 場合に表示 さ れ る メ ッ セージ。 CSD Cisco Secure Desktop(CSD)の メ ッ セージ。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-47 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ブ ッ ク マー ク ヘルプのカ ス タ マ イ ズ 変換 ド メ イ ン 変換 さ れる機能エ リ ア カ ス タ マ イ ゼー ション ロ グ イ ン ページ、ロ グ ア ウ ト ページ、ポー タ ル ページの メ ッ セージ、お よ びユーザに よ る カ ス タ マ イ ズが可能なすべての メ ッ セージ。 plugin-ica Citrix プ ラ グ イ ン の メ ッ セージ。 plugin-rdp Remote Desktop Protocol プ ラ グ イ ン の メ ッ セージ。 plugin-rdp2 Java Remote Desktop Protocol プ ラ グ イ ン の メ ッ セージ。 plugin-telnet,ssh Telnet お よ び SSH プ ラ グ イ ン の メ ッ セージ。 plugin-vnc VNC プ ラ グ イ ン の メ ッ セージ。 PortForwarder ポー ト フ ォ ワ ーデ ィ ン グ ユーザに表示 さ れ る メ ッ セージ。 url-list ユーザがポー タ ル ページの URL ブ ッ ク マー ク に指定す る テ キ ス ト 。 webvpn カ ス タ マ イ ズで き ないすべての レ イ ヤ 7 メ ッ セージ、AAA メ ッ セージ、お よ びポー タ ル メ ッ セージ。 ASA には、標準機能の一部で あ る 各 ド メ イ ン用の変換テーブル テ ン プ レ ー ト が含 ま れてい ま す。プ ラ グ イ ン のテ ン プ レ ー ト はプ ラ グ イ ン と も に含 ま れてお り 、独自の変換 ド メ イ ン を定義 し ま す。 変換 ド メ イ ン のテ ン プ レ ー ト を エ ク ス ポー ト で き ま す。こ れで、入力す る URL にテ ン プ レ ー ト の XML フ ァ イ ルが作成 さ れ ま す。こ の フ ァ イ ルの メ ッ セージ フ ィ ール ド は空です。メ ッ セージ を編集 し て、テ ン プ レ ー ト を イ ン ポー ト し 、フ ラ ッ シ ュ メ モ リ に置かれ る 新 し い変換テーブル オブ ジ ェ ク ト を作成で き ま す。 既存の変換テーブル を エ ク ス ポー ト す る こ と も で き ま す。作成 し た XML フ ァ イ ルに事前に編集 し た メ ッ セージが表示 さ れ ま す。こ の XML フ ァ イ ル を同 じ 言語名で再 イ ン ポー ト す る と 、新 し いバージ ョ ン の変換テーブルが作成 さ れ、以前の メ ッ セージが上書 き さ れ ま す。 テ ン プ レ ー ト には ス タ テ ィ ッ ク の も の も 、ASAの設定に基づいて変化す る も の も あ り ま す。ク ラ イ ア ン ト レ ス ユーザの ロ グ イ ンお よ び ロ グ ア ウ ト ページ、ポー タ ル ページ、お よ び URL ブ ッ ク マー ク は カ ス タ マ イ ズが可能な ため、ASAは customization お よ び url-list 変換 ド メ イ ン テ ン プ レ ー ト を ダ イ ナ ミ ッ ク に生成 し 、テ ン プ レ ー ト は変更内容を こ れ ら の機能エ リ ア に自動的に反 映 さ せ ま す。 変換テーブルを作成 し た後、こ のテーブルを使用 し て、カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト を作成 し 、グループ ポ リ シーま たはユーザ属性に適用で き ます。AnyConnect 変換 ド メ イ ン以外では、カ ス タ マ イ ゼーシ ョ ン オブジ ェ ク ト を作成 し 、そのオブジ ェ ク ト で使用す る 変換テーブルを識別 し 、グ ループ ポ リ シーま たはユーザに対 し てそのカ ス タ マ イ ゼーシ ョ ン を指定す る ま で、変換テーブル は影響を及ぼす こ と はな く 、ユーザ画面の メ ッ セージは変換 さ れ ません。AnyConnect ド メ イ ン の 変換テーブルに対す る 変更は、ただちに AnyConnect ク ラ イ ア ン ト ユーザに表示 さ れます。 変換テーブルの編集 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Language Localization] の順に進み ま す。[Language Localization] ペ イ ン が表示 さ れた ら 、[Add] を ク リ ッ ク し ま す。 ステ ッ プ 2 ド ロ ッ プダ ウ ン ボ ッ ク ス か ら 言語 ロ ーカ リ ゼーシ ョ ン テ ン プ レ ー ト を選択 し ま す。こ のボ ッ ク ス のエ ン ト リ は、変換す る 機能エ リ ア に対応 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-48 第 17 章 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ ブ ッ ク マー ク ヘルプのカ ス タ マ イ ズ ステ ッ プ 3 テ ン プ レ ー ト の言語を指定 し ま す。テ ン プ レ ー ト はキ ャ ッ シ ュ メ モ リ 内の変換テーブルにな り 、 指定 し た名前が付 き ま す。ブ ラ ウ ザの言語オプシ ョ ン と 互換性の あ る 短縮形を使用 し て く だ さ い。た と えば、中国語のテーブル を作成す る と き に IE を使用 し てい る 場合は、IE に よ っ て認識 さ れ る zh と い う 略語を使用 し ま す。 ステ ッ プ 4 変換テーブル を編集 し ま す。msgid フ ィ ール ド で表 さ れ る 変換対象の メ ッ セージ ご と に、対応す る msgstr フ ィ ール ド の引用符の間に変換済みテ キ ス ト を入力 し ま す。次の例では、メ ッ セージ Connected の msgstr フ ィ ール ド に ス ペ イ ン語テ キ ス ト を入力 し てい ま す。 msgid "Connected" msgstr "Conectado" ステ ッ プ 5 [OK] を ク リ ッ ク し ま す。 変換テーブルの追加 テ ン プ レ ー ト に基づいて新 し い変換テーブル を追加す る か、ま たは こ のペ イ ン ですでに イ ン ポー ト さ れた変換テーブル を修正で き ま す。 ステ ッ プ 1 修正す る テ ン プ レ ー ト を選択 し 、新 し い変換テーブルの基礎 と し て使用 し ま す。テ ン プ レ ー ト は 変換 ド メ イ ン に構成 さ れ、特定の機能領域に影響 し ま す。 ステ ッ プ 2 ド ロ ッ プダ ウ ン リ ス ト か ら 変換 ド メ イ ン を選択 し ま す。( こ の フ ィ ール ド は [GUI Text and Messages] ペ イ ン に グ レ ー表示 さ れ ま す。) ステ ッ プ 3 言語を指定 し ま す。ブ ラ ウ ザの言語オプシ ョ ン と 互換性の あ る 略語を使用 し て く だ さ い。ASA は、こ の名前で新 し い変換テーブル を作成 し ま す。 ステ ッ プ 4 エデ ィ タ を使用 し て メ ッ セージ変換を変更 し ま す。メ ッ セージ ID フ ィ ール ド (msgid)には、デ フ ォ ル ト の変換が含 ま れてい ま す。msgid に続 く メ ッ セージ文字列 フ ィ ール ド (msgstr)で変換を 指定 し ま す。変換を作成す る には、msgstr 文字列の引用符の間に変換対象のテ キ ス ト を入力 し ま す。た と えば、「Connected」 と い う メ ッ セージ を ス ペ イ ン語に変換す る には、msgstr の引用符の間 に ス ペ イ ン語のテ キ ス ト を挿入 し ま す。 msgid "Connected" msgstr "Conectado" 変更を行っ た後、[Apply] を ク リ ッ ク し て変換テーブル を イ ン ポー ト し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-49 第 17 章 ブ ッ ク マー ク ヘルプのカ ス タ マ イ ズ Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 17-50 ク ラ イ ア ン ト レ ス SSL VPN のカ ス タ マ イ ズ CH A P T E R 18 ク ラ イ ア ン ト レ ス SSL VPN の ト ラ ブル シ ュ ーテ ィ ング 2014 年 4 月 14 日 Application Access 使用時の hosts フ ァ イル エ ラ ーからの 回復 Application Access の実行の妨げにな る hosts フ ァ イ ル エ ラ ーを回避す る ために、Application Access を使用 し 終え た ら 、Application Access ウ ィ ン ド ウ を必ず閉 じ る よ う に し ま す。ウ ィ ン ド ウ を閉 じ る には、[Close] ア イ コ ン を ク リ ッ ク し ま す。 Application Access が正 し く 終了 し なか っ た場合は、hosts フ ァ イ ルは、ク ラ イ ア ン ト レ ス SSL VPN 用にカ ス タ マ イ ズ さ れた状態の ま ま にな っ てい ます。ユーザが次に Application Access を起動す る と き に、ク ラ イ ア ン ト レ ス SSL VPN は hosts.webvpn フ ァ イ ルを検索す る こ と で、Application Access の状態をチ ェ ッ ク し ます。hosts.webvpn フ ァ イ ルが検出 さ れ る と 、「Backup HOSTS File Found」 と い う エ ラ ー メ ッ セージが表示 さ れ、Application Access が一時的にオ フ に切 り 替わ り ます。 Application Access が異常終了 し た場合は、リ モー ト ア ク セ ス ク ラ イ ア ン ト /サーバ ア プ リ ケー シ ョ ン が不安定な状態にな り ま す。ク ラ イ ア ン ト レ ス SSL VPN を使用せずに こ れ ら の ア プ リ ケーシ ョ ン を起動 し よ う と す る と 、正 し く 動作 し ない場合が あ り ま す。通常の接続先の ホ ス ト が 使用で き な く な る 場合が あ り ま す。一般に こ の よ う な状況は、自宅か ら リ モー ト で ア プ リ ケー シ ョ ン を実行 し 、Application Access ウ ィ ン ド ウ を終了せずに コ ン ピ ュ ー タ を シ ャ ッ ト ダ ウ ン し 、 その後職場でその ア プ リ ケーシ ョ ン を実行 し よ う と し た場合に発生 し ま す。 Application Access ウ ィ ン ド ウ を正 し く 閉 じ ない と 、次のエ ラ ーが発生す る 可能性が あ り ま す。 • 次に Application Access を起動 し よ う と し た と き に、Application Access がオ フ に切 り 替わ っ てい る 可能性が あ り 、「Backup HOSTS File Found」エ ラ ー メ ッ セージが表示 さ れ る 。 • ア プ リ ケーシ ョ ン を ロ ーカルで実行 し てい る 場合で も 、ア プ リ ケーシ ョ ン自体がオ フ に切 り 替わ っ てい る か、ま たは動作 し ない。 こ の よ う な エ ラ ーは、Application Access ウ ィ ン ド ウ を不適切な方法で終了 し た こ と が原因です。 次に例を示 し ま す。 • Application Access の使用中に、ブ ラ ウ ザが ク ラ ッ シ ュ し た。 • Application Access の使用中に、停電 ま たはシ ス テ ム シ ャ ッ ト ダ ウ ン が発生 し た。 • 作業中に Application Access ウ ィ ン ド ウ を最小化 し 、こ の ウ ィ ン ド ウ が ア ク テ ィ ブな状態(た だ し 最小化 さ れてい る )で コ ン ピ ュ ー タ を シ ャ ッ ト ダ ウ ン し た。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 18-1 第 18 章 ク ラ イ ア ン ト レ ス SSL VPN の ト ラ ブルシ ュ ーテ ィ ン グ Application Access 使用時の hosts フ ァ イル エ ラ ーから の回復 hosts フ ァ イルの概要 ロ ーカル シ ス テ ム上の hosts フ ァ イ ルは、IP ア ド レ ス を ホ ス ト 名にマ ッ ピ ン グ し てい ま す。 Application Access を起動す る と 、ク ラ イ ア ン ト レ ス SSL VPN は hosts フ ァ イ ル を修正 し 、ク ラ イ ア ン ト レ ス SSL VPN 固有のエ ン ト リ を追加 し ま す。Application Access ウ ィ ン ド ウ を正 し く 閉 じ て Application Access を終了す る と 、hosts フ ァ イ ルは元の状態に戻 り ま す。 Application Access の起動前 Application Access の起動時 Application Access の終了時 Application Access の終了後 注 hosts フ ァ イ ルは元の状態です。 • ク ラ イ ア ン ト レ ス SSL VPN は hosts フ ァ イ ル を hosts.webvpn に コ ピ ー し て、バ ッ ク ア ッ プ を作成 し ま す。 • 次に、ク ラ イ ア ン ト レ ス SSL VPN は hosts フ ァ イ ル を編集 し 、ク ラ イ ア ン ト レ ス SSL VPN 固有の情報を挿入 し ま す。 • ク ラ イ ア ン ト レ ス SSL VPN はバ ッ ク ア ッ プ フ ァ イ ル を hosts フ ァ イ ルに コ ピ ー し て、hosts フ ァ イ ル を元の状態に戻 し ま す。 • ク ラ イ ア ン ト レ ス SSL VPN は、 hosts.webvpn を削除 し ま す。 hosts フ ァ イ ルは元の状態です。 Microsoft 社の ア ン チ ス パ イ ウ ェ ア ソ フ ト ウ ェ ア は、ポー ト 転送 Java ア プ レ ッ ト に よ る hosts フ ァ イ ルの変更 を ブ ロ ッ ク し ま す。ア ン チ ス パ イ ウ ェ ア ソ フ ト ウ ェ ア の使用時に hosts フ ァ イ ルの変更 を 許可す る 方法の詳細につい て は、www.microsoft.com を 参照 し て く だ さ い。 ク ラ イ ア ン ト レ ス SSL VPN によ る hosts フ ァ イルの自動再設定 リ モー ト ア ク セ ス サーバに接続で き る 場合は、hosts フ ァ イ ル を再設定 し 、Application Access や ア プ リ ケーシ ョ ン を再度 イ ネーブルにす る ために、次の手順を実行 し ま す。 ステ ッ プ 1 ク ラ イ ア ン ト レ ス SSL VPN を起動 し て ロ グ イ ン し ま す。 [Applications Access] リ ン ク を ク リ ッ ク し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 18-2 第 18 章 ク ラ イ ア ン ト レ ス SSL VPN の ト ラ ブルシ ュ ーテ ィ ング Application Access 使用時の hosts フ ァ イル エ ラ ーか ら の回復 ステ ッ プ 2 次のいずれかのオプシ ョ ン を選択 し ま す。 • [Restore from backup]: ク ラ イ ア ン ト レ ス SSL VPN は強制的に正 し く シ ャ ッ ト ダ ウ ン さ れ ま す。ク ラ イ ア ン ト レ ス SSL VPN は hosts.webvpn backup フ ァ イ ル を hosts フ ァ イ ルに コ ピ ー し 、hosts フ ァ イ ル を元の状態に戻 し て か ら 、hosts.webvpn を削除 し ま す。その後、Application Access を再起動す る 必要が あ り ま す。 • [Do nothing]:Application Access は起動 し ま せん。リ モー ト ア ク セ ス の ホームページが再び表 示 さ れ ま す。 • [Delete backup]: ク ラ イ ア ン ト レ ス SSL VPN は hosts.webvpn フ ァ イ ル を削除 し 、hosts フ ァ イ ル を ク ラ イ ア ン ト レ ス SSL VPN 用に カ ス タ マ イ ズ さ れた状態に し てお き ま す。元の hosts フ ァ イ ル設定は失われ ま す。Application Access は、ク ラ イ ア ン ト レ ス SSL VPN 用に カ ス タ マ イ ズ さ れた hosts フ ァ イ ル を新 し いオ リ ジナル と し て使用 し て起動 し ま す。こ のオプシ ョ ン は、hosts フ ァ イ ル設定が失われて も 問題がない場合にだけ選択 し て く だ さ い。Application Access が不適切にシ ャ ッ ト ダ ウ ン さ れた後に、ユーザ ま たはユーザが使用す る プ ロ グ ラ ム に よ っ て hosts フ ァ イ ルが編集 さ れた可能性が あ る 場合は、他の 2 つのオプ シ ョ ン の ど ち ら か を選択す る か、ま たは hosts フ ァ イ ル を手動で編集 し ま す 手動によ る hosts フ ァ イルの再設定 現在の場所か ら リ モー ト ア ク セ ス サーバに接続で き ない場合や、カ ス タ マ イ ズ し た hosts フ ァ イ ルの編集内容を失いた く ない場合は、次の手順に従っ て、hosts フ ァ イ ル を再設定 し 、Application Access と ア プ リ ケーシ ョ ン を再度 イ ネーブルに し ま す。 ステ ッ プ 1 hosts フ ァ イ ル を見つけ て編集 し ま す。最 も 一般的な場所は、c:\windows\sysem32\drivers\etc\hosts です。 ステ ッ プ 2 # added by WebVpnPortForward と い う 文字列が含ま れてい る 行があ る か ど う か をチ ェ ッ ク し ます。 こ の文字列を含む行があ る 場合、hosts フ ァ イ ルは ク ラ イ ア ン ト レ ス SSL VPN 用にカ ス タ マ イ ズ さ れてい ます。hosts フ ァ イ ルが ク ラ イ ア ン ト レ ス SSL VPN 用にカ ス タ マ イ ズ さ れてい る 場合、次の 例の よ う にな っ てい ます。 server1 # added by WebVpnPortForward server1.example.com invalid.cisco.com # added by WebVpnPortForward server2 # added by WebVpnPortForward server2.example.com invalid.cisco.com # added by WebVpnPortForward Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 18-3 第 18 章 ク ラ イ ア ン ト レ ス SSL VPN の ト ラ ブルシ ュ ーテ ィ ン グ 管理者に よ る ク ラ イ ア ン ト レ ス SSL VPN ユーザへのア ラ ー ト の送信 server3 # added by WebVpnPortForward server3.example.com invalid.cisco.com # added by WebVpnPortForward # Copyright (c) 1993-1999 Microsoft Corp. # # こ れは、Microsoft TCP/IP for Windows が使用す る hosts フ ァ イ ルのサンプルです。 # # こ の フ ァ イ ルには、ホ ス ト 名に対す る IP ア ド レ ス のマ ッ ピ ン グが含まれてい ます。Each # エン ト リ は個別の行に納め る 必要があ り ます。IP ア ド レ ス は # 最初のカ ラ ムに配置 し 、その後ろに対応す る ホ ス ト 名を続けて く だ さ い。 # IP ア ド レ ス と ホ ス ト 名は 1 以上の スペース で区切 る # 必要があ り ます。 # # さ ら に、コ メ ン ト (た と えば、こ の文)は、「#」記号で示 し た個別の行に挿入す る か、 # ま たはマシ ン名を続け ます。 # #例: # # 102.54.94.97 cisco.example.com # source server # 38.25.63.10 x.example.com # x client host 123.0.0.1 localhost と い う 文字列が含 ま れてい る 行を削除 し ま す。 ステ ッ プ 3 # added by WebVpnPortForward ステ ッ プ 4 フ ァ イ ル を保存 し て、閉 じ ま す。 ステ ッ プ 5 ク ラ イ ア ン ト レ ス SSL VPN を起動 し て ロ グ イ ン し ま す。 ステ ッ プ 6 [Application Access] リ ン ク を ク リ ッ ク し ま す。 管理者によ る ク ラ イ ア ン ト レ ス SSL VPN ユーザへの ア ラ ー ト の送信 ステ ッ プ 1 メ イ ン ASDM ア プ リ ケーシ ョ ン ウ ィ ン ド ウ で、[Tools] > [Administrator's Alert Message to Clientless SSL VPN Users] の順に選択 し ま す。 ステ ッ プ 2 送信す る 新規 ま たは編集済みの ア ラ ー ト 内容を入力 し て、[Post Alert] を ク リ ッ ク し ま す。 ステ ッ プ 3 現在の ア ラ ー ト 内容を削除 し て新 し い ア ラ ー ト 内容を入力す る には、[Cancel Alert] を ク リ ッ ク し ま す。 ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン ク ッ キーの保護 Flash アプ リ ケーシ ョ ンや Java アプ レ ッ ト な ど の埋め込みオブジ ェ ク ト 、お よ び外部アプ リ ケー シ ョ ンは通常、サーバ と 連携す る ために既存のセ ッ シ ョ ン ク ッ キーに依存 し てい ます。セ ッ シ ョ ン ク ッ キーは、初期化時に JavaScript を使用 し てブ ラ ウ ザか ら 取得 さ れます。ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ンの ク ッ キーに httponly フ ラ グ を追加す る と 、セ ッ シ ョ ン ク ッ キーはブ ラ ウ ザだけ で認識 さ れ、ク ラ イ ア ン ト 側の ス ク リ プ ト では認識 さ れな く な り ます。こ れに よ り 、セ ッ シ ョ ンの 共有は不可能にな り ます。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 18-4 第 18 章 ク ラ イ ア ン ト レ ス SSL VPN の ト ラ ブルシ ュ ーテ ィ ング ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン ク ッ キーの保護 は じ める前に • VPN セ ッ シ ョ ン の ク ッ キー設定は、ア ク テ ィ ブな ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン が ない場合にだけ変更 し て く だ さ い。 • ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン の ス テー タ ス を確認す る には、show vpn-sessiondb webvpn コ マ ン ド を使用 し ま す。 • すべての ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン か ら ロ グ ア ウ ト す る には、vpn-sessiondb logoff webvpn コ マ ン ド を使用 し ま す。 • 次の ク ラ イ ア ン ト レ ス SSL VPN 機能は、http-only-cookie コ マ ン ド が イ ネーブルの場合に動 作 し ま せん。 – Java プ ラ グ イ ン – Java リ ラ イ タ – ポー ト フ ォ ワ ーデ ィ ン グ。 – フ ァ イル ブラ ウザ – デ ス ク ト ッ プ ア プ リ ケーシ ョ ン(MS Office ア プ リ ケーシ ョ ン な ど )を必要 と す る SharePoint 機能 – AnyConnect WebLaunch – Citrix Receiver、XenDesktop、お よ び Xenon – ブ ラ ウ ザ ベー ス ま たはブ ラ ウ ザ プ ラ グ イ ン ベー ス で ないその他の ア プ リ ケーシ ョ ン ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン Cookie が JavaScript な ど の ク ラ イ ア ン ト 側の ス ク リ プ ト を介 し てサー ド パーテ ィ か ら ア ク セ ス さ れない よ う にす る には、次の手順を実行 し ま す。 ステ ッ プ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [HTTP Cookie] の順に選択 し ま す。 ステ ッ プ 2 [Enable HTTP-only VPN cookies] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 注 ステ ッ プ 3 こ の設定は、Cisco TAC か ら 指示 さ れた場合にのみ使用 し て く だ さ い。こ の コ マ ン ド を イ ネーブルにす る と 、「ガ イ ド ラ イ ン」に記載 さ れてい る ク ラ イ ア ン ト レ ス SSL VPN 機能が 警告な し で動作 し な く な る ため、セ キ ュ リ テ ィ 上の リ ス ク が発生 し ま す。 [Apply] を ク リ ッ ク し て変更内容を保存 し ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 18-5 第 18 章 ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン ク ッ キーの保護 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 18-6 ク ラ イ ア ン ト レ ス SSL VPN の ト ラ ブルシ ュ ーテ ィ ン グ CH A P T E R 19 ク ラ イ ア ン ト レ ス SSL VPN ラ イ セン ス ク ラ イ ア ン ト レ ス SSL VPN のラ イ セ ン ス 注 こ の機能は、ペ イ ロ ー ド 暗号化機能のないモデルでは使用で き ま せん。 VPN ラ イ セ ン ス には、別途購入可能な AnyConnect Plus ま たは Apex ラ イ セ ン ス が必要です。 AnyConnect ラ イ セ ン ス を 購入す る 場合は、次の最大値 を 参照 し て く だ さ い。すべて の タ イ プの 組み合わせ VPN セ ッ シ ョ ン の最大数は、こ の表に示す最大セ ッ シ ョ ン 数 を 越え る こ と はで き ま せん。 モデル ラ イ セ ン ス要件 ASA 5506-X、 5506H-X、5506W-X 50 セ ッ シ ョ ン です。 ASA 5508-X 100 セ ッ シ ョ ン です。 共有 ラ イ セ ン ス はサポー ト さ れてい ま せん。 共有 ラ イ セ ン ス はサポー ト さ れてい ま せん。 ASA 5512-X ASA 5515-X ASA 5516-X • 250 セ ッ シ ョ ン です。 • オプシ ョ ンの共有 ラ イ セ ン ス:Participant ま たは Server。Server ラ イ セ ン ス では、500 ~ 50,000 (500 単位で増加)お よ び 50,000 ~ 545,000(1000 単位で増加)。 • 250 セ ッ シ ョ ン です。 • オプシ ョ ンの共有 ラ イ セ ン ス:Participant ま たは Server。Server ラ イ セ ン ス では、500 ~ 50,000 (500 単位で増加)お よ び 50,000 ~ 545,000(1000 単位で増加)。 • 300 セ ッ シ ョ ン です。 共有 ラ イ セ ン ス はサポー ト さ れてい ま せん。 ASA 5525-X ASA 5545-X • 750 セ ッ シ ョ ン です。 • オプシ ョ ンの共有 ラ イ セ ン ス:Participant ま たは Server。Server ラ イ セ ン ス では、500 ~ 50,000 (500 単位で増加)お よ び 50,000 ~ 545,000(1000 単位で増加)。 • 2500 セ ッ シ ョ ン です。 • オプシ ョ ンの共有 ラ イ セ ン ス:Participant ま たは Server。Server ラ イ セ ン ス では、500 ~ 50,000 (500 単位で増加)お よ び 50,000 ~ 545,000(1000 単位で増加)。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 19-1 第 19 章 ク ラ イ ア ン ト レ ス SSL VPN ラ イ セ ン ス ク ラ イ ア ン ト レ ス SSL VPN のラ イ セ ン ス モデル ラ イ セ ン ス要件 • 5000 セ ッ シ ョ ン です。 • オプシ ョ ンの共有 ラ イ セ ン ス:Participant ま たは Server。Server ラ イ セ ン ス では、500 ~ 50,000 (500 単位で増加)お よ び 50,000 ~ 545,000(1000 単位で増加)。 ASA 5585-X (SSP-10) • 5000 セ ッ シ ョ ン です。 • オプシ ョ ンの共有 ラ イ セ ン ス:Participant ま たは Server。Server ラ イ セ ン ス では、500 ~ 50,000 (500 単位で増加)お よ び 50,000 ~ 545,000(1000 単位で増加)。 ASA 5585-X (SSP-20、-40、お よ び -60) • 10,000 セ ッ シ ョ ン です。 • オプシ ョ ンの共有 ラ イ セ ン ス:Participant ま たは Server。Server ラ イ セ ン ス では、500 ~ 50,000 (500 単位で増加)お よ び 50,000 ~ 545,000(1000 単位で増加)。 ASASM • 10,000 セ ッ シ ョ ン です。 • オプシ ョ ンの共有 ラ イ セ ン ス:Participant ま たは Server。Server ラ イ セ ン ス では、500 ~ 50,000 (500 単位で増加)お よ び 50,000 ~ 545,000(1000 単位で増加)。 ASA 5555-X ASAv5 250 セ ッ シ ョ ン です。 ASAv10 250 セ ッ シ ョ ン です。 ASAv30 750 セ ッ シ ョ ン です。 ク ラ イ ア ン ト レ ス SSL VPN セ ッ シ ョ ン を開始 し た後、ポー タ ルか ら AnyConnect ク ラ イ ア ン ト セ ッ シ ョ ン を開始 し た場合は、合計 1 つのセ ッ シ ョ ン が使用 さ れてい ま す。こ れに対 し て、最初 に AnyConnect ク ラ イ ア ン ト を( ス タ ン ド ア ロ ン ク ラ イ ア ン ト な ど か ら )開始 し た後、ク ラ イ ア ン ト レ ス SSL VPN ポー タ ルに ロ グ イ ン し た場合は、2 つのセ ッ シ ョ ン が使用 さ れてい ま す。 Cisco ASA シ リ ーズ VPN ASDM コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド 19-2