[ASA Group Policies] ダイアログボックス
[Add ASA Group Policies]/[Edit ASA Group Policies] ダイアログボックスを使用して、ASA ユーザ グループ ポリシー オブジェクトを作成、コピー、および編集します。
ASA グループ ポリシーは、Easy VPN トポロジ、リモート アクセス IPSec VPN、およびリモート アクセス SSL VPN の ASA セキュリティ アプライアンスで設定されます。Easy VPN またはリモート アクセス VPN 接続を設定する場合は、リモート クライアントが属するグループ ポリシーを作成する必要があります。グループ ポリシーは、VPN 接続用のユーザ関連の属性と値のペアがセットになったもので、デバイスに内部的(ローカル)に保存されるか、外部の AAA サーバに保存されます。トンネル グループは、トンネルの確立後にユーザ接続の期間を設定するグループ ポリシーを使用します。グループ ポリシーを使用すると、各ユーザに対して個別に各属性を指定するのではなく、属性セット全体をユーザまたはユーザ グループに適用できます。
(注) |
オブジェクトを作成するテクノロジーを選択する必要があります。選択したテクノロジーに応じて、構成に適切な設定を使用できます。IKEv1 または IKEv2 オプションを選択した場合、選択した IKE バージョンをサポートするには、IKE Proposal ポリシーおよび IPSec Proposal ポリシーも設定する必要があります。 |
バージョン 4.18 から、Cisco Security Manager ではグループポリシーをオーバーライドするオプションが導入されました。[ASAグループポリシー(ASA Group Policy)] ページでは、デバイスオーバーライドを有イネーブルにして、右クリックメニューからデバイスオーバーライドを編集できます。オーバーライドを有効にすると、
ナビゲーション パス
Policy Object Managerで、[ASAグループポリシー(ASA Group Policies)] を選択します。作業領域内を右クリックして [新規オブジェクト(New Object)] を選択するか、行を右クリックして [オブジェクトの編集(Edit Object)] を選択します。
ヒント |
このタイプのオブジェクトを使用するポリシーの設定時には、リモート アクセスおよび Easy VPN 用の Connection Profile ポリシー、またはリモート アクセス VPN 用の Group Policies ポリシーを含むオブジェクトを作成することもできます。 |
関連項目
フィールド リファレンス
要素 |
説明 |
||||
---|---|---|---|---|---|
名前 |
最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、ポリシー オブジェクトの作成を参照してください。 |
||||
説明 |
(任意)オブジェクトの説明。 |
||||
[Settings] ペイン ダイアログボックスの本体は左右に分割されたペインであり、左側にはコンテンツ テーブル、右側にはコンテンツ テーブルで選択された項目に関連する設定が表示されます。 まずテクノロジー設定を指定する必要があります。次に、左側のコンテンツ テーブルから項目を選択し、必要なオプションを設定できます。[Technology] ページの選択内容によって、これらのページとコンテンツ テーブルで使用できるオプションが制御されます。 コンテンツ テーブルの上部にあるフォルダは、次に説明する設定可能な VPN テクノロジーまたはその他の設定を表します。 |
|||||
Technology settings |
これらの設定によって、グループ ポリシーで定義できる内容が制御されます。
[外部(External)] を選択すると、設定できる属性は、AAA サーバーを識別する AAA サーバーグループオブジェクトの名前およびそのパスワードだけになります。
外部サーバーグループを選択すると、[パスワード(Password)] フィールドと [確認(Confirm)] フィールドがアクティブになります。サーバでの認証に使用する英数字のパスワードを両方のフィールドに入力します。パスワードには最大 128 文字を使用できます。スペースは使用できません。 |
||||
DNS/WINS |
グループに関連付けられているクライアントにプッシュされる、DNS サーバと WINS サーバおよびドメイン名。ASA グループ ポリシーの DNS/WINS 設定を参照してください。 |
||||
スプリット トンネリング(Split Tunneling) |
この設定によって、リモート クライアントでは、暗号化されたパケットを条件に応じてセキュアなトンネルを介して中央サイトに送信でき、同時に、ネットワーク インターフェイスを介してインターネットにクリア テキスト トンネルを確立できます。ASA グループ ポリシーのスプリット トンネリング設定を参照してください。 |
||||
Easy VPN/IPSec VPN |
Easy VPN およびリモート アクセス IPSec VPN の設定:
|
||||
SSL VPN |
SSL VPN の設定:
|
||||
接続設定 |
バナー テキストを含む、グループの接続設定(セッション タイムアウトやアイドル タイムアウトなど)。ASA グループ ポリシーの接続設定 を参照してください。 |
||||
全般設定 |
|
ASA ポリシーグループのオーバーライド
Cisco Security Manager では、デバイスのグループポリシーが作成され、Cisco Security Manager レベルで維持されます。アップグレードがある場合、再検出時に、Cisco Security Manager はこれらのポリシーを新しいものとして再作成します(ポリシー名にサフィックスを付けます)。この重複に対応するために、バージョン 4.18 から、[デバイスごとに値のオーバーライドを許可(Allow Value Override per device)] チェックボックスを使用して、特定のデバイスにグループポリシーのオーバーライドを設定します。詳細については、オブジェクト オーバーライドの管理を参照してください。
グループポリシーのオーバーライドをデバイスレベルで編集できます。[Policy Object Overrides] ウィンドウ を参照してください。
リモートアクセス VPN マルチコンテキスト モードでサポートされる CLI - グループポリシー
次の CLI は、マルチコンテキストモードのリモートアクセス VPN で、ASA バージョン9.5(2) のグループポリシーでサポートされています。これらの CLI は、管理およびユーザコンテキストでサポートされています。
(注) |
サポートされていない設定の場合、Security Manager は無視できる警告メッセージを表示します。デルタは生成されません。 |
-
address-pools
-
バナー
-
Client-bypass-protocol
-
default-domain
-
Dhcp-network-scope
-
Dns-server
-
終了(Exit)
-
Gateway-fqdn
-
Gateway-fqdn
-
Ipv6-address-pools
-
Ipv6-address-pools
-
Msie-proxy
-
なし
-
Security-group-tag
-
Smartcard-removal-disconnect
-
Periodic-authentication
-
Split-dns
-
split-tunnel-all-dns
-
Split-tunnel-network-list
-
Split-tunnel-policy
-
Vpn-access-hours
-
Vpn-filter(S2S のマルチモードで既にサポートされています)
-
Vpn-simultaneous-logins
-
Vpn-idle-timeout(S2S のマルチモードで既にサポートされています)
-
Vpn-session-timeout(S2S のマルチモードで既にサポートされています)
-
Vpn-tunnel-protocol ssl-client
-
Wins-server
-
webvpn
-
Anyconnect-custom
-
anyconnect Dpd-interval
-
anyconnect dtls
-
anyconnect firewall-rule
-
anyconnect keep-installer
-
anyconnect modules
-
anyconnect Mtu
-
anyconnect routing-filtering-ignore
-
anyconnect Ssl
-
exit
-
homepage value | none
-
×
-
ASA グループ ポリシーのクライアント設定
[Client Configuration] 設定ページを使用して、Easy VPN またはリモート アクセス VPN 用の、ASA グループ ポリシーの Cisco クライアント パラメータを設定します。
クライアント設定は、マルチコンテキストモードの ASA 9.5(2) リモートアクセス VPN ではサポートされていません。
ナビゲーション パス
[ASA Group Policies] ダイアログボックスの目次で [Easy VPN/IPSec VPN] > [クライアント設定(Client Configuration)] を選択します。
フィールド リファレンス
要素 |
説明 |
||
---|---|---|---|
Store Password on Client System |
ローカル システムにパスワードを格納することをユーザに許可するかどうかを指定します。この機能は、ローカル システムがセキュアなサイトに存在する場合にだけイネーブルにしてください。 |
||
Enable IPsec over UDP UDP ポート(UDP Port) |
NAT を実行しているセキュリティ アプライアンスへの UDP を使用した接続を Cisco VPN Client またはハードウェア クライアントに許可するかどうかを指定します。 このオプションを選択した場合は、4001 ~ 49151 の範囲の UDP ポート番号を指定します。IPsec ネゴシエーションでは、セキュリティ アプライアンスは、設定されたポートでリッスンし、他のフィルタ ルールによって UDP トラフィックがドロップされた場合でもこのポートの UDP トラフィックを転送します。
|
||
IPsec Backup Servers Servers List |
バックアップ サーバの設定を指定します。
バックアップ サーバは、クライアント上またはプライマリ セキュリティ アプライアンス上で設定できます。セキュリティ アプライアンス上でバックアップ サーバを設定すると、セキュリティ アプライアンスは、バックアップ サーバ ポリシーをグループ内のクライアントにプッシュし、クライアント上でバックアップ サーバ リストが設定されている場合はそのリストを置き換えます。 |
ASA グループ ポリシーのクライアント ファイアウォール属性
クライアント ファイアウォール属性の設定を使用して、Easy VPN またはリモート アクセス IPSec VPN 用の、ASA グループ ポリシーの VPN クライアントのファイアウォール設定値を設定します。Microsoft Windows を実行している VPN クライアントだけが、これらのファイアウォール設定を使用できます。
クライアント ファイアウォール属性は、マルチコンテキストモードの ASA 9.5(2) リモートアクセス VPN ではサポートされていません。
ナビゲーション パス
[ASA Group Policies] ダイアログボックスの目次で [Easy VPN/IPSec VPN] > [クライアント ファイアウォール属性(Client Firewall Attributes)] を選択します。
フィールド リファレンス
要素 |
説明 |
||
---|---|---|---|
ファイアウォールモード |
グループのクライアント システムのファイアウォール要件:
|
||
Firewall Type |
必須または任意にするファイアウォールのタイプ。このリストには、Cisco、Network ICE、Sygate、および Zone Labs など、サポートされているすべてのファイアウォール ソフトウェアが示されます。
|
||
Policy Source |
一部のタイプのファイアウォールでは、クライアント ファイアウォールがポリシーを取得する場所を設定できます。
[着信トラフィックポリシー(Inbound Traffic Policy)] フィールドと [発信トラフィックポリシー(Outbound Traffic Policy)] フィールドの両方で、拡張アクセス コントロール リスト ポリシー オブジェクトまたは統合 ACL の名前を入力するか、[選択(Select)] をクリックしてリストから選択するか、または新しいオブジェクトを作成する必要があります。統合 ACL は、ASA バージョン 9.0 以降でサポートされています。 |
||
カスタム ファイアウォール |
カスタム ファイアウォールをファイアウォール タイプとして選択した場合に、必須または任意のファイアウォールを定義する属性:
|
ASA グループ ポリシーのハードウェア クライアント属性
ハードウェア クライアント属性設定を使用して、Easy VPN またはリモート アクセス IPSec VPN 用の、ASA グループ ポリシーの VPN 3002 ハードウェア クライアント設定値を設定します。
ハードウェアクライアント属性は、マルチコンテキストモードの ASA 9.5(2) リモートアクセス VPN ではサポートされていません。
ナビゲーション パス
[ASA Group Policies] ダイアログボックスのコンテンツテーブルで [Easy VPN/IPSec VPN] > [ハードウェアクライアント属性(Hardware Client Attributes)] を選択します。
フィールド リファレンス
要素 |
説明 |
||
---|---|---|---|
Require Interactive Client Authentication |
セキュア ユニット認証をイネーブルにするかどうかを指定します。セキュア ユニット認証では、クライアントがトンネルを開始するたびに、ユーザ名とパスワードを使用した認証を実行するように VPN ハードウェア クライアントに求めることによって、セキュリティを高めます。ハードウェア クライアントには、ユーザ名およびパスワードは保存されません。
|
||
Require Individual User Authentication |
ハードウェア クライアントの背後の個々のユーザが、このトンネル経由でネットワークにアクセスする場合に認証される必要があるかどうかを指定します。個々のユーザーは、設定した認証サーバーの順序に従って認証されます。 このオプションを選択しない場合、セキュリティ アプライアンスでは、別のグループ ポリシーからユーザ認証の値を継承できます。 |
||
Enable Cisco IP Phone Bypass |
ハードウェア クライアントの背後の IP 電話が、ユーザ認証プロセスなしで接続できるかどうかを指定します。セキュア ユニット認証は、他のユーザに関しては引き続き有効です。 |
||
Enable LEAP Bypass |
VPN ハードウェア クライアントの背後のワイヤレス デバイスからの Lightweight Extensible Authentication Protocol(LEAP)パケットが、ユーザ認証の前に、VPN トンネルを通過できるかどうかを指定します。このアクションによって、Cisco ワイヤレス アクセス ポイント デバイスを使用するワークステーションは、LEAP 認証を確立し、その後ユーザ認証ごとに認証を再度実行できます。
|
||
Allow Network Extension Mode |
ハードウェア クライアントのネットワーク拡張モードをイネーブルにするかどうかを指定します。 ネットワーク拡張モードを使用すると、ハードウェア クライアントは、単一のルーティング可能なネットワークを VPN トンネルを介してリモート プライベート ネットワークに提供できます。IPsec によって、ハードウェア クライアントの背後のプライベート ネットワークからセキュリティ アプライアンスの背後のネットワークまでのすべてのトラフィックがカプセル化されます。PAT は適用されません。セキュリティ アプライアンスの背後のデバイスは、ハードウェア クライアントの背後のプライベート ネットワーク上のデバイスには、トンネルを介してだけ直接アクセスできます。またその逆も可能です。トンネルはハードウェア クライアントによって開始される必要がありますが、トンネルがアップ状態になったあとは、いずれの側もデータ交換を開始できます。 |
||
Idle Timeout Mode |
個々のクライアントの非アクティブ期間を処理する方法:
|
ASA グループ ポリシーの IPSec 設定
IPsec 設定を使用して、Easy VPN またはリモート アクセス IPSec VPN 用の、ASA グループ ポリシーのトンネリング プロトコル、フィルタ、接続設定、およびサーバを指定します。これにより、認証、暗号化、カプセル化、およびキー管理を制御するセキュリティ アソシエーションが作成されます。
IPSec は、マルチコンテキストモードの ASA 9.5(2) リモートアクセス VPN ではサポートされていません。
ナビゲーション パス
[ASA Group Policies] ダイアログボックスの目次から を選択します。
フィールド リファレンス
要素 |
説明 |
||
---|---|---|---|
Enable Re-Authentication on IKE Re-Key |
セキュリティ アプライアンスが、最初のフェーズ 1 IKE ネゴシエーション中にユーザに対してユーザ名とパスワードの入力を求めるかどうか、およびセキュリティを高めるために、IKE キーの再生成が発生するたびにユーザ認証を求めるかどうかを指定します。接続の反対側にユーザがいない場合、再認証は失敗します。 |
||
Enable IPsec Compression |
モデムで接続しているリモート ダイヤルイン ユーザの伝送レートを上げるデータ圧縮をイネーブルにするかどうかを指定します。
|
||
Enable Perfect Forward Secrecy (PFS) |
暗号化された各交換で一意のセッション キーを生成および使用するために、Perfect Forward Secrecy(PFS; 完全転送秘密)の使用をイネーブルにするかどうかを指定します。IPsec ネゴシエーションでは、PFS によって、新しい各暗号キーが以前のいずれのキーとも関連しないことが保証されます。 |
||
Tunnel Group Lock |
トンネル グループのロックでは、VPN クライアントで設定されているグループが、ユーザが割り当てられているトンネル グループと同じであるかどうかを確認することによって、ユーザを制限します。同じでない場合、セキュリティ アプライアンスによって、そのユーザの接続が防止されます。 トンネル名を指定しない場合、セキュリティ アプライアンスは、割り当てられているグループに関係なくユーザを認証します。グループのロックは、デフォルトではディセーブルになっています。 |
||
[Client Access Rules] テーブル |
クライアントのアクセス ルール。これらのルールによって、アクセスを拒否されるクライアントのタイプが制御されます(ある場合)。最大で 25 のルールを定義し、結合できます。ルールは 255 文字に制限されます。
最小の整数値を持つルールは、プライオリティが最も高くなります。したがって、クライアント タイプまたはバージョンと一致する最小の整数値を持つルールが適用されます。プライオリティの低いルールが矛盾する場合、セキュリティ アプライアンスはそのルールを無視します。
|
[Add Client Access Rules]/[Edit Client Access Rules] ダイアログボックス
[Client Access Rules] ダイアログボックスを使用して、クライアント アクセス ルールのプライオリティ、アクション、VPN クライアント タイプおよび VPN クライアント バージョンを作成または編集します。
ナビゲーション パス
ASA グループ ポリシーの IPSec 設定で、[クライアントアクセスルール(Client Access Rules)] テーブルの下にある [行の追加(Add Row)] ボタンをクリックするか、またはルールを選択して [行の編集(Edit Row)] ボタンをクリックします。
フィールド リファレンス
要素 |
説明 |
---|---|
プライオリティ |
ルールの相対的プライオリティ。 最小の整数値を持つルールは、プライオリティが最も高くなります。したがって、クライアント タイプまたはバージョンと一致する最小の整数値を持つルールが適用されます。プライオリティの低いルールが矛盾する場合、セキュリティ アプライアンスはそのルールを無視します。値は 1 ~ 65535 です。 |
操作 |
このルールで、クライアントへのトラフィック アクセスを許可するか拒否するかを指定します。 |
VPN Client Type VPN Client Version |
ルールが適用される VPN クライアントのタイプまたはバージョン。スペースを使用できます。 * をワイルドカードとして使用して、ゼロ以上の文字を照合できます。クライアントのタイプまたはバージョンを送信しないクライアントには n/a を使用できます。これらのフィールドに入力した文字列は、ASA デバイスで show vpn-sessiondb remote コマンドを使用して表示された文字列と一致する必要があります。 次に、プライオリティ、許可/拒否、タイプ、およびバージョンの例を順に示します。
|
ASA グループ ポリシーの SSL VPN クライアントレス設定
クライアントレス設定を使用して、リモート アクセス SSL VPN における企業ネットワークへのクライアントレス アクセス モードを ASA グループ ポリシー オブジェクトに設定します。
ユーザがクライアントレス モードで SSL VPN に接続する場合、そのユーザは SSL VPN ポータル ページにログインします。このポータル ページでは、ポータルの設定方法に応じて、ユーザは使用可能なすべての HTTP サイトにアクセスしたり、Web 電子メールにアクセスしたり、Common Internet File System(CIFS)ファイル サーバを参照したりできます。
クライアントレスは、マルチコンテキストモードの ASA 9.5(2) リモートアクセス VPN ではサポートされていません。
ナビゲーション パス
[ASA Group Policies] ダイアログボックスのコンテンツテーブルから [SSL VPN] > [クライアントレス(Clientless)] を選択します。
フィールド リファレンス
要素 |
説明 |
||
---|---|---|---|
Portal Page Websites |
ポータル ページ上に表示する Web サイト URL が含まれる SSL VPN ブックマーク ポリシー オブジェクトの名前。これらの Web サイトを使用すると、ユーザは目的のリソースにアクセスできます。オブジェクトの名前を入力するか、[選択(Select)] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。 |
||
Allow Users to Enter Websites |
ブラウザへの Web サイト URL の直接入力をリモート ユーザに許可するかどうかを指定します。このオプションを選択しない場合、ユーザはポータルに表示されている URL だけにアクセスできます。 |
||
Enable File Server Browsing |
CIFS ファイル サーバ上のファイル共有の参照をリモート ユーザに許可するかどうかを指定します。 |
||
Enable File Server Entry |
ファイル共有名の入力による CIFS ファイル サーバ上のファイル共有の検索をリモート ユーザに許可するかどうかを指定します。 |
||
Enable Hidden Shares |
非表示の CIFS 共有を表示することでユーザがアクセスできるようにするかどうかを指定します。 |
||
HTTP プロキシ |
セキュリティ アプライアンスが HTTP 接続を転送する外部 HTTP プロキシ サーバに許可するアクセスのタイプ。アクセスをイネーブルにするか、アクセスをディセーブルにするか、またはユーザのログイン時にプロキシを自動的に起動する [Auto Start] を選択できます。 |
||
Filter ACL |
ユーザによる SSL VPN へのアクセスを制限するために使用する、Web タイプのアクセス コントロール リスト ポリシー オブジェクトの名前。オブジェクトの名前を入力するか、[選択(Select)] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。バージョン 4.10 以降では、Web タイプ ACL に IPv6 値を入力できます。 |
||
Enable ActiveX Relay |
ActiveX リレーをイネーブルにするかどうかを指定します。ActiveX リレーによって、ユーザはポータル ページから ActiveX プログラムを起動できます。これにより、ユーザは Web ブラウザから Microsoft Office アプリケーションを起動し、Office 文書をアップロードおよびダウンロードできます。 |
||
UNIX Authentication Group ID |
UNIX 認証グループ ID。 |
||
UNIX Authentication User ID |
UNIX 認証ユーザ ID。 |
||
Smart Tunnel |
このグループに割り当てるスマート トンネル リスト ポリシー オブジェクトの名前。[選択(Select)] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。 スマート トンネルとは、Winsock 2 の TCP ベース アプリケーションとプライベート サイトとの間の接続です。この接続では、セキュリティ アプライアンスをパスウェイおよびプロキシ サーバとして使用して、クライアントレス(ブラウザベース)SSL VPN セッションを使用します。このため、スマート トンネルでは、ユーザは管理者権限を持つ必要はありません。詳細については、ASA デバイスの SSL VPN スマート トンネルの設定を参照してください。
|
||
Auto Start Smart Tunnel |
ユーザのログイン時に、スマート トンネル アクセスを自動的に開始するかどうかを指定します。このオプションを選択しない場合、ユーザは、ポータル ページ上のアプリケーション アクセス ツールを使用して手動でトンネルを開始する必要があります。 自動サインオンでは、Microsoft Windows オペレーティング システム上の Microsoft WININET ライブラリを使用する HTTP および HTTPS を使用するアプリケーションだけがサポートされています。たとえば、Microsoft Internet Explorer では、WININET ダイナミック リンク ライブラリを使用して、Web サーバーと通信します。
|
||
[スマート トンネル ネットワーク リスト(Smart Tunnel Network List)] |
次のオプションから選択して、スマートトンネルを使用するホストまたはネットワークのリストを選択します。選択を有効にするには、最初にスマート トンネル ネットワーク リストのエントリを作成する必要があります。詳細については、[スマートトンネルネットワークリストエントリの追加および編集(Add and Edit A Smart Tunnel Network List Entry] ダイアログボックスを参照してください。この機能は ASA ソフトウェアバージョン 8.3(1) 以降を実行しているデバイスでサポートされていることに注意してください。
|
||
Smart Tunnel Auto Signon Server List |
このグループに割り当てるスマート トンネル自動サインオン リスト ポリシー オブジェクトの名前。[選択(Select)] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。
|
||
[ドメイン名(Domain Name)](任意) |
一般的な命名ルール(ドメイン\ユーザ名)が認証に必要な場合に、自動サインオン時にユーザ名に追加する Windows ドメイン。たとえば、ユーザ名 qa_team の認証を行う場合、CISCO と入力して CISCO\qa_team を指定します。自動サインオン サーバ リストで関連エントリを設定する場合は、[Use Domain] オプションも選択する必要があります。 |
||
Port Forwarding List |
このグループに割り当てるポート転送リスト ポリシー オブジェクトの名前。ポート転送リストには、クライアントレス SSL VPN セッションのユーザが転送先 TCP ポートを介してアクセスできるアプリケーションのセットが含まれます。オブジェクトの名前を入力するか、[選択(Select)] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。
|
||
Auto Start Port Forwarding |
ユーザのログイン時に、ポート転送を自動的に開始するかどうかを指定します。
|
||
Port Forwarding Applet Name |
ポータル上の [Port Forwarding Java] アプレット画面に表示されるアプリケーション名または短い説明。最大 64 文字です。これは、ユーザがダウンロードするアプレットの名前です。このアプレットは、SSL VPN ゲートウェイで設定したサービス用の TCP プロキシとしてクライアント マシン上で動作します。
|
||
[VDI サーバーリスト(VDI Servers List)] テーブル |
仮想デスクトップ インフラストラクチャを構成する Citrix XenApp または XenDesktop サーバー。
|
[VDIサーバーの追加または編集(Add or Edit VDI Server)] ダイアログボックス
[VDI サーバー(VDI Server)] ダイアログボックスを使用して、Citrix XenApp または XenDesktop サーバーエントリを作成または編集します。
仮想デスクトップ インフラストラクチャ(VDI)モデルでは、管理者は、企業アプリケーションまたは企業アプリケーションに事前にロードされているデスクトップをパブリッシュし、エンドユーザーは、これらのアプリケーションにリモートアクセスします。これらの仮想リソースは、ユーザーが Citrix Access Gateway を移動してアクセスする必要がないように、電子メールなどのその他のリソースと同様に表示されます。ユーザーは Citrix Receiver モバイル クライアントを使用して ASA にログオンし、ASA は事前定義された Citrix XenApp または XenDesktop サーバーに接続されます。ユーザーが Citrix の仮想化されたリソースに接続する場合に、Citrix サーバーのアドレスおよびクレデンシャルをポイントするのではなく、ASA の SSL VPN IP アドレスおよびクレデンシャルを入力するように、管理者は [Group Policy] で Citrix サーバーのアドレスおよびログオン クレデンシャルを設定する必要があります。ASA がクレデンシャルを確認したら、受信側クライアントは ASA 経由で許可されているアプリケーションの取得を開始します。
サポートされているモバイル デバイス
-
iPad:Citrix Receiver バージョン 4.x 以降
-
iPhone/iTouch:Citrix Receiver バージョン 4.x 以降
-
Android 2.x/3.x/4.0/4.1 電話機:Citrix Receiver バージョン 2.x 以降
-
Android 4.0 電話機:Citrix Receiver バージョン 2.x 以降
ナビゲーション パス
ASA グループ ポリシーの SSL VPN クライアントレス設定で、[VDI サーバーリスト(VDI Servers List)] テーブルの下にある [行の追加(Add Row)] ボタンをクリックするか、またはルールを選択して [行の編集(Edit Row)] ボタンをクリックします。
フィールド リファレンス
要素 |
説明 |
---|---|
[ホスト名/IP アドレス(IPv4/IPv6)(Hostname/IP Address (IPv4/IPv6))] |
XenApp または XenDesktop サーバーのアドレス。この値は、クライアントレス マクロにすることができます。バージョン 4.12 以降、Cisco Security Manager では、バージョン 9.0 以降を実行している ASA デバイスの IPv6 アドレスがサポートされています。無効な IPv6 アドレスの場合、Security Manager はエラーをスローします。 |
[ポート番号(Port Number)](任意) |
Citrix サーバーに接続するためのポート番号。この値は、クライアントレス マクロにすることができます。 |
ドメイン |
仮想化インフラストラクチャ サーバーにログインするためのドメイン。この値は、クライアントレス マクロにすることができます。 |
Secure HTTP; セキュア HTTP |
サーバーに SSL を使用して接続する場合は、チェックボックスをオンにします。 |
ユーザー名 |
仮想化インフラストラクチャ サーバーにログインするためのユーザー名。この値は、クライアントレス マクロにすることができます。 ユーザー名に使用できるマクロは次のとおりです。
これらのマクロは、次の 3 つのパラメータを使用します。
|
パスワード |
仮想化インフラストラクチャ サーバーにログインするためのパスワード。この値は、クライアントレス マクロにすることができます。 パスワードに使用できるマクロは次のとおりです。
これらのマクロは、次の 3 つのパラメータを使用します。
|
ASA グループ ポリシーの SSL VPN フル クライアント設定
フル クライアント設定を使用して、リモート アクセス SSL VPN における企業ネットワークへのフル クライアント アクセス モードを ASA グループ ポリシー オブジェクトに設定します。
フル クライアント モードによって、SSL VPN トンネルを介して企業ネットワークに完全にアクセスできるようになります。フル クライアント アクセス モードでは、トンネル接続はグループ ポリシー設定によって決まります。フル クライアント ソフトウェアである SSL VPN Client(SVC)または AnyConnect がリモート クライアントにダウンロードされるため、トンネル接続はリモート ユーザが SSL VPN ゲートウェイにログインしたときに確立されます。
ヒント |
フルクライアントアクセスを有効にするには、デバイス上で ポリシーを設定して、そのデバイスにインストールする AnyConnect イメージパッケージを識別する必要があります。これらのイメージは、ユーザがダウンロードできるようにデバイス上に存在している必要があります。詳細については、SSL VPN AnyConnect クライアント設定についておよび[Add File Object]/[Edit File Object] ダイアログボックスを参照してください。 |
次のポリシーは、マルチコンテキストモードの ASA 9.5(2) リモートアクセス VPN でサポートされています。
-
セキュリティ グループ タグ(Security Group Tag)
-
定期的な証明書の検証(Periodic Certificate Verification)
-
Client Dead Peer Detection Timeout
-
Gateway Dead Peer Detection Timeout
-
Datalayerトランスポート層セキュリティ圧縮(Datalayer Transport layer Security Compression)
-
Keep AnyConnect Client on Client System
-
ルーティングとフィルタルールを無視(Ignore Routing and Filter Rules)
-
AnyConnectモジュール(AnyConnect Modules)
-
AnyConnect MTU
-
AnyConnectファイアウォールクライアントパブリックACL(AnyConnect Firewall-Client Public ACL)
-
AnyConnectファイアウォールクライアントプライベートACL(AnyConnect Firewall-Client Private ACL)
-
Enable Datagram Transport Layer Security
ナビゲーション パス
[ASA Group Policies] ダイアログボックスの目次から を選択します。
フィールド リファレンス
要素 |
説明 |
||
---|---|---|---|
Enable Full Client |
フル クライアント モードをイネーブルにするかどうかを指定します。 |
||
[モード(Mode)] |
SSL VPN が動作するモード:
|
||
Keep AnyConnect Client on Client System |
クライアントの切断後も、AnyConnect クライアントをクライアント システムにインストールしておくかどうかを指定します。クライアントをインストールしたままにしておかない場合、ユーザは、ゲートウェイに接続するたびにクライアントをダウンロードする必要があります。 |
||
Enable Keepalive Messages |
トンネルでのデータ送受信にピアを使用できることを示すために、ピア間でキープアライブ メッセージを交換するかどうかを指定します。キープアライブ メッセージは、設定された間隔で送信され、その間隔で切断が発生すると、バックアップ デバイスを使用して新しいトンネルが作成されます。 このオプションを選択した場合は、リモートクライアントが IKE キープアライブパケットの送信を待機する時間間隔(秒単位)を [間隔(Interval)] フィールドに入力します。 |
||
SSL圧縮(SSL Compression) |
データ圧縮を有効にするかどうかを指定します。有効にする場合は、使用するデータ圧縮の方法([なし(None)]、[デフレート(Deflate)] または [LZS])を選択します。データ圧縮を使用すると、モデムで接続するリモート ダイヤルイン ユーザーの転送速度が向上します。
|
||
Client Dead Peer Detection Timeout (sec) |
パケットが SSL VPN トンネルを介してリモート ユーザから受信されるたびに、Dead-Peer Detection(DPD)タイマーがリセットされる時間間隔(秒数)。 DPD は、着信トラフィックが受信されなくても発信トラフィックを送信する必要がある場合にだけピア デバイス間でキープアライブ メッセージを送信するために使用されます。 |
||
Gateway Dead Peer Detection Timeout (sec) |
パケットが SSL VPN トンネルを介してゲートウェイから受信されるたびに、Dead-Peer Detection(DPD)タイマーがリセットされる時間間隔(秒数)。 |
||
Key Renegotiation Method |
リモート ユーザ グループ クライアントのトンネル キーをリフレッシュする方法は、次のとおりです。
トンネルの更新サイクルの時間間隔(分単位)を [間隔(Interval)] フィールドに入力します。 |
||
Enable Datagram Transport Layer Security |
グループの Datagram Transport Layer Security(DTLS)接続をイネーブルにするかどうかを指定します。 DTLS をイネーブルにすると、AnyConnect クライアントは、SSL VPN 接続を確立して 2 つのトンネル(SSL トンネルと DTLS トンネル)を同時に使用できます。DTLS によって、一部の SSL 接続に関連する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。 |
||
Datagram Transport Layer Security圧縮(Datagram Transport Layer Security Compression) |
グループの Datagram Transport Layer Security(DTLS)接続を圧縮するかどうかを指定します。圧縮する場合は、使用するデータ圧縮の方法([なし(None)]、[デフォルト(Default)]、または [LZS])を選択します。 |
||
Don't Fragment(DF)ビットを無視(Ignore Don’t Fragment (DF) bit) |
フラグメント化が必要なパケットの DF ビットを無視するかどうかを指定します。この機能では、DF ビットが設定されているパケットを強制的にフラグメント化して、トンネルを通過させることができます。使用例として、TCP MSS ネゴシエーションに適切に応答しないネットワークのサーバーに対する使用などがあります。 |
||
AnyConnect Module |
AnyConnect クライアントがオプションの機能を有効にするために必要なモジュール。[選択(Select)] をクリックして、[AnyConnectモジュールの追加(Add AnyConnect Module)] ダイアログボックスから該当するモジュールを選択します。
|
||
AnyConnect MTU |
Cisco AnyConnect VPN クライアントによって確立された SSL VPN 接続の最大伝送単位(MTU)サイズ。 |
||
AnyConnect Always-On VPN(AnyConnect Always-On VPN) |
Always-On VPN を使用すると、システムにログオンした後、AnyConnnect で VPN セッションを自動的に確立できます。VPN セッションは、システムからログオフするまで開いたままになります。 次のオプションのいずれか 1 つを選択します。
|
||
AnyConnect Profile Name |
グループに使用する AnyConnect プロファイルの名前。カンマで区切ることで複数のプロファイル名を入力できます。この名前を設定して、[リモートアクセスVPN(Remote Access VPN)] > [SSL VPN] > [その他の設定(Other Settings)] ポリシー内のプロファイルに関連付ける必要があります。
|
||
Prompt User to Choose Client Time User Has to Choose Default Location |
クライアントのダウンロードをユーザに確認するかどうかを指定します。ユーザーが選択を完了する必要がある秒数を [ユーザーの選択完了時間(Time User Has to Choose)] フィールドに入力します。デフォルトは 120 秒です。 このオプションを選択しない場合、ユーザには即座にデフォルトの場所が示されます。また、選択する時間が期限切れになった場合も、デフォルトの場所がユーザに示されます。
|
||
セキュリティ グループ タグ(Security Group Tag) |
VPN セッションのセキュリティ グループ タギングは、ASA バージョン 9.3(1) 以降でサポートされています。セキュリティ グループ タグ(SGT)は、外部 AAA サーバを利用して VPN セッションに割り当てることができます。また、ローカル ユーザ データベースの設定によって割り当てることも可能です。さらに、レイヤ 2 イーサネット経由で、Cisco TrustSec システムを介してこのタグを伝搬することができます。AAA サーバーが SGT を提供できない場合には、セキュリティ グループ タグをグループ ポリシーで利用したり、ローカル ユーザーが利用したりすることができます。 [デフォルト(Default)] チェックボックスをオンにすると、セキュリティグループタグは割り当てられません。 セキュリティグループタグを指定するには、[デフォルト(Default)] チェックボックスをオフにし、このグループポリシーで接続する VPN ユーザーに割り当てられる SGT タグの数値を [セキュリティグループタグ(Security Group Tag)] フィールドに入力します。有効値は 2 ~ 65519 です。 |
||
定期的な証明書の検証(Periodic Certificate Verification) |
VPN セッションでクライアント証明書の定期的な検証と失効チェックを有効にするかどうかを指定します。このオプションを選択する場合は、1 ~ 168 の時間間隔を時間単位で入力します。この機能は、ASA ソフトウェアバージョン 9.4(1) 以降を実行しているデバイスでのみサポートされています。 デフォルトでは、定期的な証明書の検証は無効になっています。 |
||
AnyConnectファイアウォールクライアントパブリックACL(AnyConnect Firewall-Client Public ACL) |
SSL VPN へのユーザーアクセスを制限するために使用する拡張または統合アクセス制御リスト、あるいはポリシーオブジェクトの名前。パブリック ルールは、クライアント上のすべてのインターフェイスに適用されます。オブジェクトの名前を入力するか、[選択(Select)] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。 統合 ACL は、ASA バージョン 9.0 からサポートされています。デフォルトは拡張 ACL です。デバイスのバージョンが ASA 9.0 より後の場合、すべての Anyconnect 値は統合 ACL として検出され、展開中に展開されます。 |
||
AnyConnectファイアウォールクライアントプライベートACL(AnyConnect Firewall-Client Private ACL) |
SSL VPN へのユーザーアクセスを制限するために使用する拡張または統合アクセス制御リストポリシーオブジェクトの名前。プライベート ルールは、仮想アダプタに適用されます。オブジェクトの名前を入力するか、[選択(Select)] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。 統合 ACL は、ASA バージョン 9.0 からサポートされています。デフォルトは拡張 ACL です。デバイスのバージョンが ASA 9.0 より後の場合、すべての Anyconnect 値は統合 ACL として検出され、展開中に展開されます。 |
||
[AnyConnectカスタム属性(AnyConnect Custom Attributes)] テーブル |
[AnyConnectカスタム属性(AnyConnect Custom Attributes)] テーブルには、このグループポリシーに割り当てられているカスタム属性、名前、および対応する値が一覧表示されます。[SSL VPNのその他の設定(SSL VPN Other Settings)] ページの [AnyConnectカスタム属性(AnyConnect Custom Attributes)] タブで定義されている AnyConnect カスタム属性がここに一覧表示されます(AnyConnect カスタム属性(ASA)の設定を参照)。バージョン 4.7 以降、Cisco Security Manager では、カスタム属性データを既存のカスタム属性タイプに追加できます。 カスタム属性をグループポリシーに追加するか、グループポリシーから削除し、各属性の値を設定できます。
詳細については、[AnyConnectカスタム属性の追加/編集(Add/Edit AnyConnect Custom Attribute)] ダイアログボックスを参照してください。 |
ASA グループ ポリシーの SSL VPN 設定
SSL VPN 設定を使用して、ユーザがサーバにアクセスするための自動サインオン ルールなど、クライアントレスおよびポート転送(シン クライアント)アクセス モードが機能するために必要な属性を設定します。自動サインオンでは、SSL VPN ユーザ ログイン クレデンシャル(ユーザ名とパスワード)を中間サーバに自動的に渡すように、セキュリティ アプライアンスが設定されます。複数の自動サインオン ルールを設定できます。
ホームページ URL ポリシーは、マルチコンテキストモードの ASA 9.5(2) リモートアクセス VPN の [SSL] タブでサポートされています。
ナビゲーション パス
[ASA Group Policies] ダイアログボックスのコンテンツテーブルから [SSL VPN] > [設定(Settings)] を選択します。
フィールド リファレンス
要素 |
説明 |
---|---|
ホーム ページ |
SSL VPN ホーム ページの URL。この URL は自由形式のテキストです。このページは、ユーザが VPN にログインするときに表示されます。URL を入力しないと、ホーム ページは表示されません。 バージョン 4.12 以降、Security Manager は、ソフトウェアバージョン 9.0 以降を実行している ASA デバイスのホームページ URL で IPv6 アドレスをサポートします。IPv6 アドレスのホームページ URL の形式は、http://[IPv6 アドレス]/appname です。ホームページ URL の先頭には http://(または)https:// を付ける必要があります。 |
Authentication Failure Message |
VPN へのログインには成功したが、VPN 権限を持っていないために何も実行できないリモート ユーザに表示するメッセージ。デフォルトのメッセージを次に示します。 「Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features. Contact your IT administrator for more information.」 |
Minimum Keepalive Object Size (kilobytes) |
セキュリティ アプライアンスのキャッシュに格納できる IKE キープアライブ パケットの最小サイズ(KB 単位)。 |
Single Sign On Server |
このグループに使用するサーバを指定する、Single Sign-On(SSO; シングル サインオン)サーバ ポリシー オブジェクトの名前(ある場合)。SSO サーバによって、ユーザは、ユーザ名とパスワードを 1 回入力するだけで、ネットワーク内の他のサーバにアクセスできます。アクセスするたびにログインする必要はありません。SSO サーバを設定する場合は、自動サインオン ルール テーブルも設定します。 オブジェクトの名前を入力するか、[選択(Select)] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。詳細については、[Add Single Sign On Server]/[Edit Single Sign On Server] ダイアログボックスを参照してください。 |
Enable HTTP Compression |
HTTP 圧縮オブジェクトをセキュリティ アプライアンスにキャッシュできるかどうかを指定します。 |
[Auto Signon Rules] テーブル |
シングルサインオンサーバーを設定する場合、自動サインオンルールテーブルには、ユーザーのログイン情報が提供される中間サーバーを決定するルールが含まれています。したがって、ネットワーク内の一部のサーバにはシングル サインオンを提供し、他のサーバには提供しないようにできます。 各ルールは許可ルールであり、サーバを識別する IP アドレス、サブネット、または Uniform Resource Identifier(URI; ユニフォーム リソース識別子)、およびユーザがサーバへのアクセスを試行したときにサーバに送信される認証のタイプ(基本 HTML、NTLM、FTP、またはこれらすべて)を示します。これらのルールは上から下の順に処理され、最初に一致したルールが適用されます。したがって、上下の矢印ボタンを使用してルールを必ず適切な順番に並べてください。 ユーザは、これらのいずれのルールでも識別されなかったサーバにアクセスする場合、そのサーバにログインしてアクセスする必要があります。
|
Portal Page Customization |
ポータル Web ページの外観を定義する SSL VPN カスタマイゼーション ポリシー オブジェクトの名前。このポータル ページによって、リモート ユーザは、SSL VPN ネットワークで使用可能すべてのリソースにアクセスできます。オブジェクトを選択しない場合は、デフォルトのページ外観が使用されます。 オブジェクトの名前を入力するか、[選択(Select)] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。詳細については、SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定を参照してください。 |
User Storage Location |
クライアントレス SSL VPN のセッション間に、ユーザの個人情報が格納される場所。場所を指定しなかった場合、情報はセッション間で格納されません。格納される情報は暗号化されます。 ファイル システムの指定を次の形式で入力します。 protocol://username:password@host:port/path ここで、protocol はサーバーのプロトコル、username と password はサーバー上の有効なユーザーアカウント、および host はサーバーの名前を示します。また、port はプロトコルのデフォルトを使用しない場合のポート番号、および path は使用するサーバー上の場所のディレクトリパスを示します。次に例を示します。 cifs://newuser:12345678@anyfiler02a/new_share |
Storage Key 確認(Confirm) |
セッション間で格納されるデータを保護するために使用されるストレージ キー。スペースはサポートされていません。 |
Post Max Size |
ポストするオブジェクトに許可される最大サイズ。指定できる値の範囲は 0 ~ 2147483647(デフォルト)です。[0] を設定すると、ポスティングが防止されます。 |
Upload Max Size |
アップロードするオブジェクトに許可される最大サイズ。指定できる値の範囲は 0 ~ 2147483647(デフォルト)です。[0] を設定すると、アップロードが防止されます。 |
Download Max Size |
ダウンロードするオブジェクトに許可される最大サイズ。指定できる値の範囲は 0 ~ 2147483647(デフォルト)です。[0] を設定すると、ダウンロードが防止されます。 |
[Add Auto Signon Rules]/[Edit Auto Signon Rules] ダイアログボックス
[Add Auto Signon Rules]/[Edit Auto Signon Rules] ダイアログボックスを使用して、セキュリティ アプライアンスが内部サーバに SSL VPN ユーザ ログイン クレデンシャルを渡すために使用する自動サインオン ルールを設定します。
ナビゲーション パス
ASA グループ ポリシーの SSL VPN 設定を開いてから、[作成(Create)] をクリックするか、またはテーブル内の項目を選択して [編集(Edit)] をクリックします。
フィールド リファレンス
要素 |
説明 |
||
---|---|---|---|
Allow IP |
ルールの IPv4 または IPv6 アドレスまたはサブネットを設定するには、このオプションを選択します。このサブネット内のすべてのサーバに、指定したログイン クレデンシャルが提供されます。バージョン 4.12 以降、Security Manager は、ASA 9.0 以降を実行しているデバイスの IPv6 アドレスをサポートします。
ユーザがアクセスしようとする内部サーバに対してアプライアンスがクレデンシャルを送信する必要がある場合は、すべての内部ネットワーク用のルールを作成します。このことは、単一のルールを使用して実現できる場合があります。 |
||
Allow URI |
このオプションを選択して、ルールの Universal Resource Identifier(URI; ユニバーサル リソース識別子)を設定します。これにより、IP アドレスではなく URI に基づいて内部サーバが識別されます。たとえば、https://*.example.com/* では、example.com ドメイン内のあらゆるサーバー上の全 Web ページ用のルールが作成されます。0 以上の文字に適用するワイルドカードとしてアスタリスクを使用します。 |
||
ログイン クレデンシャル |
Security Manager バージョン 4.7 以降、使用可能な変数またはマクロからログインユーザー名とパスワードを選択できます。
ユーザー名に使用できるマクロは次のとおりです。
これらのマクロは、次の 3 つのパラメータを使用します。
パスワードに使用できるマクロは次のとおりです。
|
||
認証タイプ(Authentication Type) |
このルールが該当するサーバにセキュリティ アプライアンスが渡すクレデンシャルのタイプ(基本 HTML、NT LAN Manager(NTLM)認証、FTP、またはこれらの方式すべて)。 デフォルトのオプションは [すべて(All)] です。特定のタイプにログインを制限する必要がある場合を除き、デフォルトを使用してください。 |
ASA グループポリシーのブラウザ プロキシ設定
ブラウザプロキシの設定を使用して、ブラウザの属性を構成します。
ブラウザプロキシは、マルチコンテキストモードの ASA 9.5(2) リモートアクセス VPN でサポートされています。
ナビゲーション パス
[ASA Group Policies] ダイアログボックスのコンテンツテーブルから [ブラウザプロキシ( Browser Proxy)] を選択します。
フィールド リファレンス
要素 |
説明 |
---|---|
プロキシサーバーポリシー(Proxy Server Policy) |
次のいずれかを選択します。
|
プロキシ方式の選択(Select Proxy Method) |
次の項目の 1 つ以上を選択します。
|
プロキシサーバーの設定(Proxy Server Setting) |
次を入力します。
|
プロキシ自動構成(PAC)URL(Proxy Auto Configuration (PAC) URL) |
自動構成ファイルの URL を指定します。このファイルには、ブラウザがプロキシ情報を探せる場所が記述されています。 |
ポリシーロックダウン(Policy Lockdown) |
[有効(Enable)] を選択すると、AnyConnect VPN セッション時にブラウザの接続タブが非表示になります。[無効(Disable)] を選択すると、接続タブの表示はそのまま変わりません。このオプションを使用しない場合は、[なし(None)] を選択します。デフォルトで選択されているオプションは [なし(None)] です。 |
ASA グループ ポリシーの DNS/WINS 設定
DNS/WINS 設定を使用して、この ASA グループ ポリシーに関連付けられているクライアントにプッシュする DNS サーバと WINS サーバおよびドメイン名を定義します。これらの設定は、Easy VPN、リモート アクセス IPSec および SSL VPN の設定に適用されます。
DNS/WINS は、マルチコンテキストモードの ASA 9.5(2) リモートアクセス VPN でサポートされています。
ナビゲーション パス
[ASA Group Policies] ダイアログボックスのコンテンツ テーブルから [DNS/WINS] を選択します。
フィールド リファレンス
要素 |
説明 |
---|---|
プライマリ IPv4 DNS サーバー |
グループのプライマリ DNS サーバーの IPv4 アドレス。ネットワーク/ホストオブジェクトの IPv4 アドレスまたは名前を入力します、または [選択(Select)] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。セカンダリ IPv4 DNS サーバーを設定するには、プライマリ IPv4 DNS サーバーアドレスが必須です。 |
セカンダリ IPv4 DNS サーバー |
グループのセカンダリ DNS サーバーの IPv4 アドレス。ネットワーク/ホストオブジェクトの IPv4 アドレスまたは名前を入力します、または [選択(Select)] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。 |
プライマリ IPv6 DNS サーバー |
グループのプライマリ DNS サーバーの IPv6 アドレス。ネットワーク/ホストオブジェクトの IPv6 アドレスまたは名前を入力します、または [選択(Select)] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。バージョン 4.12 以降、Security Manager は ASA デバイス 9.0 以降の IPv6 アドレスをサポートします。プライマリ IPv6 DNS サーバーアドレスは、セカンダリ IPv6 DNS サーバーを設定するために必須です。 |
セカンダリ IPv6 DNS サーバー |
グループのセカンダリ DNS サーバーの IPv6 アドレス。ネットワーク/ホストオブジェクトの IPv6 アドレスまたは名前を入力します、または [選択(Select)] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。バージョン 4.12 以降、Security Manager は ASA デバイス 9.0 以降の IPv6 アドレスをサポートします。 |
プライマリ WINS サーバ(Primary WINS Server) |
グループのプライマリ WINS サーバの IP アドレス。ネットワーク/ホストオブジェクトの IP アドレスまたは名前を入力するか [選択(Select)] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。 |
セカンダリ WINS サーバ(Secondary WINS Server) |
グループのプライマリ WINS サーバの IP アドレス。ネットワーク/ホストオブジェクトの IP アドレスまたは名前を入力するか [選択(Select)] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。 |
DHCP Network Scope |
グループの DHCP ネットワークのスコープ。ネットワーク/ホスト オブジェクトの IP ネットワークアドレスまたは名前を入力します。または [選択(Select)] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。 |
デフォルト ドメイン |
グループのデフォルト ドメイン名。デフォルトは空白、つまりなしです。 |
ASA グループ ポリシーのスプリット トンネリング設定
スプリット トンネリング設定を使用して、中央サイトへのセキュアなトンネルを設定すると同時にインターネットへのクリア テキスト トンネルを設定します。これらの設定は、Easy VPN、リモート アクセス IPSec および SSL VPN の設定に適用されます。
スプリット トンネリングを使用すると、リモート クライアントは、条件に応じて、パケットを IPsec または SSL VPN トンネルを介して暗号化された形式で送信したり、クリア テキスト形式でネットワーク インターフェイスに送信したりできます。スプリット トンネリングがイネーブルになっている場合、宛先がトンネルの反対側でないパケットは、暗号化、トンネルを介した送信、復号化、および最終的な宛先へのルーティングが必要ありません。スプリット トンネリング ポリシーは、特定のネットワークに適用されます。
スプリットトンネリングは、マルチコンテキストモードの ASA 9.5(2) リモートアクセス VPN でサポートされています。
ヒント |
最適なセキュリティを確保するには、スプリット トンネリングをイネーブルにしないことを推奨します。 |
ナビゲーション パス
[ASA Group Policies] ダイアログボックスのコンテンツテーブルから [スプリットトンネリング(Split Tunneling)] を選択します。
フィールド リファレンス
要素 |
説明 |
---|---|
DNS Names |
スプリット トンネルを介して解決されるドメイン名のリスト。他のすべての名前は、パブリック DNS サーバを使用して解決されます。リストを入力しない場合は、デフォルトのポリシー グループからリストが継承されます。 複数のエントリは、スペースまたはカンマで区切ります。文字列全体で最大 255 文字を使用できます。 |
トンネルを介してすべての DNS トラフィックを送信する |
AnyConnect クライアントが、VPN トンネル(SSL または IPsec/IKEv2)を経由するすべての DNS アドレスを解決するかどうかを指定します。トンネルを介した DNS 解決に失敗すると、アドレスは未解決のまま残り、AnyConnect クライアントは、パブリック DNS サーバを介したアドレスの解決を試行しません。 このオプションを選択しない場合、クライアントは、トンネルオプションの設定で指定されたスプリットトンネルポリシーに従って、トンネルを介して DNS クエリを送信します。 |
Tunnel Option |
イネーブルにする、スプリット トンネリングのポリシー:
|
IPv6 トンネルオプション |
バージョン 4.10 以降、Security Manager は、ASA バージョン 9.0 からのスプリットトンネリングに対して IPv6 トラフィックのサポートを提供します。 イネーブルにする、スプリット トンネリングのポリシー:
|
ネットワーク |
トラフィックがトンネルを通過する必要があるネットワーク、およびトンネリングを必要としないネットワークを識別する、標準、拡張、または統合アクセス制御リストのポリシーオブジェクトの名前。統合 ACL は、ASA バージョン 9.0 からサポートされています。許可および拒否する方法は、[トンネルオプション(Tunnel Option)] での選択に応じて解釈されます。 オブジェクトの名前を入力するか、[選択(Select)] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。ACL を指定しない場合、ネットワーク リストは、デフォルト グループ ポリシーから継承されます。 |
ASA グループ ポリシーの接続設定
接続設定を使用して、アクセス コントロールおよびセッション タイムアウトを含む、ASA グループ ポリシーの接続特性を設定します。これらの設定は、Easy VPN およびリモート アクセス IPsec または SSL VPN の各セッションに適用されます。
接続設定は、マルチコンテキストモードの ASA 9.5(2) リモートアクセス VPN でサポートされています。
ナビゲーション パス
[ASA Group Policies] ダイアログボックスの目次から [接続設定(Connection Settings)] を選択します。
フィールド リファレンス
要素 |
説明 |
---|---|
Filter ACL |
VPN 接続でトラフィックをフィルタリングするために使用する拡張アクセスコントロールリスト(ACL)ポリシーオブジェクトの名前。ACL は、許可または拒否するトラフィックを決定します。オブジェクトの名前を入力するか、[選択(Select)] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。バージョン 4.10 および ASA バージョン 9.0 以降では、標準、拡張、または統合 ACL オブジェクトのリストから選択できます。 この ACL は、クライアントレス SSL VPN 接続には適用されません。 |
バナー テキスト(Banner Text) |
リモート クライアントが VPN に接続したときに、リモート クライアント上に表示されるバナー、つまり初期テキスト。
|
IPv4アドレスプール(IPv4 Address Pools) |
このグループポリシーで使用する 1 つ以上の IPv4 アドレスプールの名前を指定します。IPv4 アドレスプールオブジェクトの名前をカンマで区切って入力するか、[選択(Select)] をクリックしてリストからオブジェクトを選択するか新しいオブジェクトを作成します。 |
IPv6 アドレス プール(IPv6 Address Pools) |
このグループポリシーで使用する 1 つ以上の IPv6 アドレスプールの名前を指定します。IPv6 アドレスプールオブジェクトの名前をカンマで区切って入力するか、[選択(Select)] をクリックしてリストからオブジェクトを選択するか新しいオブジェクトを作成します。バージョン 4.12 以降、Security Manager は ASA デバイス 9.0 以降の IPv6 アドレスプールをサポートします。 |
Access hours |
VPN へのアクセスをユーザに許可する時間を指定する、時間範囲ポリシー オブジェクトの名前。時間範囲を指定しない場合、ユーザはいつでも VPN にアクセスできます。ネットワークへのアクセスを特定の時間(通常の就業時間や自分の組織での就業時間など)に制限する場合は、時間範囲を指定します。 オブジェクトの名前を入力するか、[選択(Select)] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。詳細については、時間範囲オブジェクトの設定を参照してください。 |
Max Simultaneous Logins |
1 人のユーザに許可する同時ログイン数。値は、0 ~ 2147483647 です。デフォルトは 3 です。[0] を指定すると、ログインがディセーブルになり、ユーザはアクセスできなくなります。 |
Max Connection Time |
ユーザが VPN への接続を継続できる最大時間。次のいずれかを選択します。
|
アイドル タイムアウト |
接続がアイドル状態である、つまり通信アクティビティがない場合に、ユーザが VPN への接続を継続できる合計時間。次のいずれかを選択します。
|
VLAN マッピング VLAN ID(Admin. VLAN ID) |
VLAN ID の値は 1 ~ 4094 で、ASA の VLAN インターフェイスに対応している必要があります。 ASA の VLAN マッピング機能により、VPN 接続からのトラフィックを指定された VLAN インターフェイスに送信できます。 Cisco Security Manager バージョン 4.10 および ASA バージョン 9.5(1) 以降では、IPv6 アドレスをリモートユーザに割り当てることができます。 Cisco Security Manager バージョン 4.17 以降、ASA 9.9(2) 以降のマルチコンテキストデバイスで VLAN を設定できます。 |