この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
カスタマー エクスペリエンス フィードバック モジュールは、デフォルトで有効になっています。このモジュールは、カスタマーがどの機能およびモジュールを有効にし、使用しているかという匿名の情報をシスコに提供します。この情報によりユーザ エクスペリエンスを把握できるため、シスコは品質、信頼性、パフォーマンス、ユーザ エクスペリエンスを継続して改善できます。
カスタマー エクスペリエンス フィードバック モジュールを手動で無効にするには、スタンドアロン プロファイル エディタを使用して CustomerExperience_Feedback.xml ファイルを作成します。AnyConnect サービスを停止し、ファイルの名前を CustomerExperience_Feedback.xml にし、C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\CustomerExperienceFeedback\ ディレクトリにそのファイルを配置する必要があります。ファイルが無効フラグを設定して作成されると、AnyConnect に手動で展開できます。結果を確認するには、[AnyConnect について(AnyConnect About)] メニューを開き、カスタマー エクスペリエンス フィードバック モジュールが [インストール済みモジュール(Installed Module)] セクションにリストされていないことを確認します。
コマンド ライン パラメータ:1 つ以上のプロパティが、コマンド ライン インストーラ msiexec のパラメータとして渡されます。この方法は、事前展開に使用します。Web 展開ではサポートされません。
インストーラ トランスフォーム:トランスフォームを使用して、インストーラのプロパティ テーブルを変更できます。トランスフォームの作成には、いくつかのツールを使用できます。一般的なツールの 1 つが Microsoft Orca です。Orca ツールは、Microsoft Windows Installer Software Development Kit(SDK)の一部で、Microsoft Windows SDK に同梱されています。Windows SDK を入手するには、http://msdn.microsoft.com を参照し、使用している Windows のバージョンに対応する SDK を探します。
トランスフォームは、事前展開のみに使用できます。(ダウンローダがインストーラを呼び出したときに、シスコによって署名されたトランスフォームのみが Web 展開を実行します。)アウトオブバンドの方法で、自分のトランスフォームを適用できますが、詳細は、このガイドの範囲外です。
次の Windows インストーラ プロパティで、AnyConnect インストールをカスタマイズします。他にも Microsoft によってサポートされる数多くの Windows インストーラ プロパティがあることに留意してください。
システム MTU のリセット:VPN インストーラ プロパティ(RESET_ADAPTER_MTU)が 1 に設定されている場合、すべての Windows ネットワーク アダプタの MTU 設定がデフォルト値にリセットされます。変更を有効にするには、システムをリブートする必要があります。
Windows ロックダウンの設定:デバイスのCisco AnyConnect Secure Mobility Clientに対するエンド ユーザのアクセス権は制限することを推奨します。エンド ユーザに追加の権限を与える場合、インストーラでは、AnyConnect サービスをユーザとローカル管理者がオフにしたり停止したりできないようにするロックダウン機能を提供できます。また、サービス パスワードを使用して、コマンド プロンプトからサービスを停止できます。
VPN、ネットワーク アクセス マネージャ、Web セキュリティ、ネットワーク可視化モジュール、および Umbrella ローミング セキュリティ モジュールの MSI インストーラは、共通のプロパティ(LOCKDOWN)をサポートします。LOCKDOWN が 0 以外の値に設定されている場合、インストーラに関連付けられた Windows サービスをエンドポイント デバイスでユーザまたはローカル管理者が制御することはできません。サンプルのトランスフォームを使用して、このプロパティを設定し、ロックダウンした各 MSI インストーラにトランスフォームを適用することを推奨します。サンプルのトランスフォームは、Cisco AnyConnect Secure Mobility Clientソフトウェア ダウンロード ページからダウンロードできます。
1 つ以上のオプション モジュールに加えてコア クライアントを展開する場合、LOCKDOWN プロパティを各インストーラに適用する必要があります。この操作は片方向のみであり、製品を再インストールしない限り削除できません。
(注) | AMP イネーブラ インストーラには、VPN インストーラが組み合わされています。 |
ActiveX コントロールの有効化:AnyConnect 事前展開 VPN パッケージの以前のバージョンでは、VPN WebLaunch ActiveX コントロールがデフォルトでインストールされていました。AnyConnect 3.1 以降では、VPN ActiveX コントロールのインストールはデフォルトでオフになっています。この変更は、最もセキュアな設定をデフォルトにするために行われました。
AnyConnect クライアントとオプション モジュールを事前展開する際、VPN ActiveX コントロールを AnyConnect でインストールする必要がある場合には、msiexec またはトランスフォームとともに NOINSTALLACTIVEX=0 オプションを使用する必要があります。
[プログラムの追加と削除(Add/Remove Program List)] リストでの AnyConnect の非表示:インストールした AnyConnect モジュールをユーザの Windows コントロール パネルの [プログラムの追加と削除(Add/Remove Program List)] リストに表示されないようにすることができます。インストーラに ARPSYSTEMCOMPONENT=1 を渡すと、そのモジュールはインストール済みプログラムのリストに表示されなくなります。
サンプルのトランスフォームを使用して、このプロパティを設定し、非表示にする各モジュールの MSI インストーラごとにトランスフォームを適用することを推奨します。サンプルのトランスフォームは、Cisco AnyConnect Secure Mobility Clientソフトウェア ダウンロード ページからダウンロードできます。
次の表に、MSI インストール コマンド ライン コールの例およびプロファイルの展開先を示します。
シスコが提供する Windows トランスフォームを適応型セキュリティ アプライアンスにインポートすると、Web 展開に使用することができます。
AnyConnect インストーラに表示されるメッセージを翻訳できます。ASA はトランスフォームを使用して、インストーラに表示されるメッセージを翻訳します。トランスフォームによってインストレーションが変更されますが、元のセキュリティ署名 MSI は変化しません。これらのトランスフォームではインストーラ画面だけが翻訳され、クライアント GUI 画面は翻訳されません。
現時点では、30 の言語に対応するトランスフォームが用意されています。これらのトランスフォームは、cisco.com の AnyConnect ソフトウェア ダウンロード ページから、次の .zip ファイルで入手できます。
anyconnect-win-<VERSION>-webdeploy-k9-lang.zip
このファイルの <VERSION> は、AnyConnect のリリース バージョン(4.3.xxxxx など)を表します。
アーカイブには使用可能な翻訳用のトランスフォーム(.mst ファイル)が含まれています。用意されている 30 以外の言語をリモート ユーザに表示する必要がある場合は、独自のトランスフォームを作成し、それを新しい言語として ASA にインポートすることができます。Microsoft のデータベース エディタ Orca を使用して、既存のインストレーションおよび新規ファイルを修正できます。Orca は、Microsoft Windows Installer Software Development Kit(SDK)の一部で、Microsoft Windows SDK に同梱されています。
この手順では、言語にスペイン語(es)を指定しました。次の図は、AnyConnect の言語リストのスペイン語の新しいトランスフォームを示しています。
AnyConnect インストーラはローカライズできません。インストーラによって使用される文字列は、Mac インストーラ アプリケーションから取得され、AnyConnect インストーラからは取得されません。
Mac OS X については .pkg の動作をカスタマイズする標準の方法が提供されていないため、ACTransforms.xml を作成しました。この XML ファイルをインストーラとともに配置すると、インストーラはインストールを実行する前にこのファイルを読み取ります。ファイルをインストーラからの特定の相対パスに配置する必要があります。インストーラは、次の場所で変更が見つかるかどうかこの順序で検索します。
XML ファイルの形式は次のとおりです。
<ACTransforms> <PropertyName1>Value</PropertyName1> <PropertyName2>Value</PropertyName2> </ACTransforms>
たとえば、OS X ACTransforms.xml プロパティは、Web セキュリティの「スタンドアロン」展開を作成する場合 DisableVPN です。ACTransforms.xml は、DMG ファイルの Profiles ディレクトリ内にあります。
カスタマー エクスペリエンス フィードバック モジュールは、デフォルトで有効になっています。Mac OS X でこの機能を無効に切り替えるには、次の手順に従います。
事前展開パッケージ内の Profiles ディレクトリの XML ファイルである ACTransforms.xml の形式は次のとおりです。
<ACTransforms> <PropertyName1>Value</PropertyName1> <PropertyName2>Value</PropertyName2> </ACTransforms>
Windows または OS X プラットフォームでは、DTLS 接続でのみ DiffServ コード ポイント(DSCP)を制御するカスタム属性を設定できます。DSCP の保存により、デバイスは遅延の影響を受けやすいトラフィックを優先することができます。ルータでは、これが設定されているかどうかが反映され、アウトバウンド接続品質の向上のために優先トラフィックがマークされます。
カスタム属性タイプは DSCPPreservationAllowed であり、有効な値は True または False です。
(注) | デフォルトでは、AnyConnect は DSCP の保存を実行します(True)。無効にするには、ヘッドエンドでカスタム属性値を false に設定し、接続を再初期化します。 |
この機能は、ASDM の [設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループポリシー(Group Policies)] > [追加/編集(Add/Edit)] > [詳細(Advanced)] > [AnyConnectクライアント(AnyConnect Client)] > [カスタム属性(Custom Attributes)] で設定します。Cisco ASA 5500-X Series Next-Generation Firewalls, Configuration Guidesの該当するリリースを参照してください。
設定プロセスについては、AnyConnect は、すべてのネットワークのトンネルが設定されているときにローカル DHCP トラフィックを暗号化せずに流せるようにするために、AnyConnect クライアント接続時にローカル DHCP サーバに特殊なルートを追加します。また、このルートでのデータ漏えいを防ぐため、AnyConnect はホスト マシンの LAN アダプタに暗黙的なフィルタを適用し、DHCP トラフィックを除く、そのルートのすべてのトラフィックをブロックします。外部インターフェイスに接続し、ローカル DHCP サーバを使用して接続が確立されると、そのサーバへの特殊なルートが作成され、非仮想アダプタではなく NIC をポイントします。同じサーバで他のサービス(WINS、DNS など)が実行されている場合は、VPN セッションが確立されると、このルートがこれらのサービスを中断します。
Windows では、グループ ポリシーのカスタム属性を設定することで、パブリックな DHCP サーバ ルートの作成を制御できます。トンネル確立時のパブリック DHCP サーバ ルート作成を避けるために、no-dhcp-server-route カスタム属性が存在し、これを true に設定する必要があります。
この機能は、ASDM の [設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループポリシー(Group Policies)] > [追加/編集(Add/Edit)] > [詳細(Advanced)] > [AnyConnectクライアント(AnyConnect Client)] > [カスタム属性(Custom Attributes)] で設定します。Cisco ASA 5500-X Series Next-Generation Firewalls, Configuration Guidesの該当するリリースを参照してください。
設定プロセスについては、適応型セキュリティ アプライアンス(ASA)は、変換テーブルを使用して AnyConnect に表示されるユーザ メッセージを翻訳します。変換テーブルとは、翻訳されたメッセージ テキストの文字列を含むテキスト ファイルです。ASDM またはトランスフォーム(Windows の場合)を使用して、既存のメッセージを編集したり、言語を追加したりできます。
ローカリゼーション用の次の Windows サンプル トランスフォームは、www.cisco.com で入手できます。
Windows 用 AnyConnect パッケージ ファイルには、AnyConnect メッセージのデフォルトの英語の言語テンプレートが含まれます。AnyConnect パッケージを ASA にロードすると、ASA はこのファイルを自動的にインポートします。このテンプレートには、AnyConnect ソフトウェア内のメッセージ文字列の最新の変更が含まれています。これを使用すると、別の言語用の変換テーブルを新しく作成できます。または、www.cisco.com から入手可能な次の変換テーブルのいずれかをインポートすることができます(適応型セキュリティ アプライアンスへの変換テーブルのインポートを参照)。
次の項では、目的の言語が利用できない場合や、インポートした変換テーブルをさらにカスタマイズしたい場合などに、GUI テキストおよびメッセージを翻訳するための手順を説明します。
AnyConnect のテキストとメッセージの追加または編集。メッセージ ファイルを追加または編集して、1 つ以上のメッセージ ID のメッセージ テキストを次の方法で変更して、メッセージ ファイルに変更を加えることができます。
適応型セキュリティ アプライアンスへの変換テーブルのインポート。[ファイルに保存(Save to File)] をクリックして、そのファイルを編集し、ファイルを ASDM にもう一度インポートすることで、メッセージ ファイルをエクスポートできます。
ASA の変換テーブルを更新した後、クライアントをリスタートして別の接続に成功するまでは、更新したメッセージは適用されません。
(注) | クライアントを ASA から展開せずに、Altiris Agent などの社内のソフトウェア展開システムを使用する場合は、Gettext などのカタログ ユーティリティを使用して、手動で AnyConnect 変換テーブル(anyconnect.po)を .mo ファイルに変換し、その .mo ファイルをクライアント コンピュータの適切なフォルダにインストールします。詳細については、「エンタープライズ展開用のメッセージ カタログの作成」(3-22 ページ)を参照してください。 |
英語変換テーブルを追加または編集し、1 つ以上のメッセージ ID のメッセージ テキストを変更することによって、AnyConnect GUI に表示される英語のメッセージを変更できます。メッセージ ファイルを開いたら、次の操作でそれを編集できます。
(注) | 非モバイル デバイスで実行される AnyConnect の場合、Cisco Secure Desktop が使用されていない場合でも、ホスト スキャン メッセージがローカライズされるためには、適応型セキュリティ アプライアンスに Cisco Secure Desktop 変換テーブルもインポートする必要があります。 |
クライアントを ASA から展開せずに、Altiris Agent などの社内のソフトウェア展開システムを使用する場合は、Gettext などのユーティリティを使用して、手動で AnyConnect 変換テーブルをメッセージ カタログに変換できます。テーブルを .po ファイルから .mo ファイルに変換後、そのファイルをクライアント コンピュータ上の該当するフォルダに配置します。
(注) | GetText と PoeEdit は、サードパーティ製ソフトウェア アプリケーションです。AnyConnect GUI をカスタマイズする推奨方法は、ASA からデフォルトの .mo ファイルを取得し、クライアントへの展開での必要に応じてそのファイルを編集する方法です。デフォルトの .mo ファイルを使用することによって、GetText や PoeEdit などのサードパーティ製アプリケーションに起因する潜在的な変換に関する問題を回避することができます。 |
Gettext は GNU プロジェクトのユーティリティであり、コマンド ウィンドウで実行できます。詳しくは、GNU の Web サイト(gnu.org)を参照してください。また、Poedit などの、Gettext を使用する GUI ベースのユーティリティを使用することもできます。このソフトウェアは poedit.net から入手できます。Gettext を使用してメッセージ カタログを作成する手順は、次のとおりです。
AnyConnect メッセージ テンプレートのディレクトリAnyConnect メッセージ テンプレートは、各オペレーティング システムで、次に示すフォルダにあります。
(注) | \l10n ディレクトリは、次に示す各ディレクトリ パスの一部です。このディレクトリ名のスペルは、小文字の l(「エル」)、1、0、小文字の n です。 |
新しいユーザ メッセージが、AnyConnect の一部のリリースに追加されています。これらの新しいメッセージの翻訳を有効にするために、新しいメッセージ文字列は、最新のクライアント イメージとともにパッケージ化された翻訳テンプレートに追加されています。以前のクライアントに含まれていたテンプレートに基づいて変換テーブルを作成した場合、リモート ユーザには新しいメッセージが自動的には表示されません。最新のテンプレートを既存の変換テーブルに統合し、変換テーブルに新しいメッセージを含める必要があります。
統合を実行するための無料のサードパーティ製ツールがあります。GNU プロジェクトの Gettext ユーティリティには Windows 版があり、コマンド ウィンドウで実行できます。詳しくは、GNU の Web サイト(gnu.org)を参照してください。また、Poedit などの、Gettext を使用する GUI ベースのユーティリティを使用することもできます。このソフトウェアは poedit.net から入手できます。両方の手順を次に示します。
(注) | この手順は、すでに最新の AnyConnect イメージ パッケージを ASA にロードしてあることが前提になっています。まだロードしていない場合は、テンプレートをエクスポートできません。 |
リモート ユーザが ASA に接続してクライアントをダウンロードすると、AnyConnect がコンピュータの優先言語を検出し、指定されたシステム ロケールを検出して適切な変換テーブルを適用します。
ステップ 1 | ダイアログボックスに移動します。コントロール パネルをカテゴリ別に表示している場合は、 を選択します。 |
ステップ 2 | 言語/ロケール設定を指定し、これらの設定がすべてのユーザ アカウントのデフォルト設定として使用されることを指定します。 |
ステップ 3 | Web Security を使用して展開している場合、Web Security エージェントをリスタートし、新しい翻訳内容を取得します。 |
(注) | 場所が指定されていない場合、AnyConnect はデフォルトで言語のみが設定されます。たとえば、「fr-ca」ディレクトリが見つからないと、AnyConnect は「fr」ディレクトリを調べます。翻訳内容を表示するのに、表示言語、場所、またはキーボードを変更する必要はありません。 |
この項の表は、置き換えることができる AnyConnect ファイルをオペレーティング システムごとに示しています。表に含まれるイメージは、AnyConnect VPN クライアント、ネットワーク アクセス マネージャ、および Web セキュリティ モジュールにより使用されます。
カスタム コンポーネントのファイル名は、AnyConnect GUI で使用されるファイル名と一致している必要があります。これはオペレーティング システムによって異なり、Mac および Linux では大文字と小文字が区別されます。たとえば、Windows クライアント用の企業ロゴを置き換えるには、独自の企業ロゴを company_logo.png としてインポートする必要があります。別のファイル名でインポートすると、AnyConnect インストーラはそのコンポーネントを変更しません。ただし、独自の実行ファイルを展開して GUI をカスタマイズする場合は、その実行ファイルから任意のファイル名のリソース ファイルを呼び出すことができます。
イメージをソース ファイルとして(たとえば、company_logo.bmp)インポートする場合、インポートしたイメージは、同じファイル名を使用して別のイメージを再インポートするまで、AnyConnect をカスタマイズします。たとえば、company_logo.bmp をカスタム イメージに置き換えて、このイメージを削除する場合、同じファイル名を使用して新しいイメージ(または元のシスコ ロゴ イメージ)をインポートするまで、クライアントはこのイメージの表示を継続します。
独自のカスタム ファイルをセキュリティ アプライアンスにインポートし、その新しいファイルをクライアントに展開することによって、AnyConnect をカスタマイズすることができます。
Windows 用のファイルはすべて次の場所に格納されています。
%PROGRAMFILES%\Cisco\Cisco AnyConnect Secure Mobility Client\res\
(注) | %PROGRAMFILES% は、同じ名前の環境変数を指します。ほとんどの Windows インストレーションでは、C:\Program Files です。 |
Linux 用のファイルはすべて次の場所に格納されています。
/opt/cisco/anyconnect/pixmaps/
次の表に、置換できるファイルと影響を受けるクライアント GUI エリアを示します。
/Cisco AnyConnect Secure Mobility Client/Contents/Resources
次の表に、置換できるファイルと影響を受けるクライアント GUI エリアを示します。
クライアントが接続または接続解除したときに表示される通知バブル。 |
|
|
|
すべてのアイコン サービス(Dock、Sheets、Finder など)で使用される Mac OS X アイコンのファイル形式。 |
|
|
AnyConnect のユーザにヘルプを提供するために、サイトに関する手順を含むヘルプ ファイルを作成し、適応型セキュリティ アプライアンスにロードします。ユーザが AnyConnect に接続すると、AnyConnect がヘルプ ファイルをダウンロードし、AnyConnect ユーザ インターフェイス上にヘルプ アイコンを表示します。ユーザがヘルプ アイコンをクリックすると、ブラウザにヘルプ ファイルが開きます。PDF および HTML ファイルがサポートされています。
AnyConnect では、次のイベントが発生したときに、スクリプトをダウンロードして実行できます。
セキュリティ アプライアンスで新しいクライアント VPN セッションが確立された。このイベントによって起動するスクリプトを OnConnect スクリプトと呼びます。スクリプトには、このファイル名プレフィックスが必要です。
セキュリティ アプライアンスでクライアント VPN セッションが切断された。このイベントによって起動するスクリプトを OnDisconnect スクリプトと呼びます。スクリプトには、このファイル名プレフィックスが必要です。
Trusted Network Detection によって開始された新しいクライアント VPN セッションが確立すると、OnConnect スクリプトがトリガーされます(スクリプトを実行するための要件が満たされている場合)が、ネットワーク中断後に永続 VPN セッションを再接続しても、OnConnect スクリプトはトリガーされません。
AnyConnect は、WebLaunch の起動中およびスタンドアロン起動中でのスクリプトの起動をサポートします。
ここでの説明は、スクリプトの作成方法と、ターゲット エンドポイントのコマンド ラインからスクリプトを実行し、テストする方法についての知識があることを前提としています。
サポートされるスクリプトの数:AnyConnect は、1 つの OnConnect スクリプトおよび 1 つの OnDisconnect スクリプトのみを実行します。ただし、これらのスクリプトが別のスクリプトを起動する場合があります。
ファイル形式:AnyConnect は、ファイル名で OnConnect スクリプトおよび onDisconnect スクリプトを識別します。また、ファイル拡張子に関係なく、OnConnect または OnDisconnect で始まるファイルを検索します。照合プレフィックスに関連する最初のスクリプトが実行されます。解釈されたスクリプト(VBS、Perl、Bash など)または実行可能ファイルを認識します。
スクリプト言語:クライアントでは、スクリプトを特定の言語で作成する必要はありません。ただし、スクリプトを実行可能なアプリケーションが、クライアント コンピュータにインストールされている必要があります。クライアントでスクリプトを起動するためには、このスクリプトがコマンド ラインから実行可能であることが必要です。
Windows セキュリティ環境によるスクリプトの制限:Microsoft Windows では、AnyConnect はユーザが Windows にログインし、VPN セッションを確立した後でのみスクリプトを起動できます。そのため、ユーザのセキュリティ環境に伴う制限が、これらのスクリプトに適用されます。スクリプトが実行できる機能は、ユーザが起動権限を持つ機能に限られます。AnyConnect は、Windows でスクリプトを実行中は CMD ウィンドウを非表示にします。したがって、テストの目的で、.bat ファイル内のメッセージを表示するスクリプトを実行しても機能しません。
スクリプトの有効化:デフォルトでは、クライアントはスクリプトを起動しません。スクリプトを有効にするには、AnyConnect プロファイルの EnableScripting パラメータを使用します。これにより、クライアントではスクリプトが存在する必要がなくなります。
クライアント GUI 終了:クライアント GUI を終了しても、必ずしも VPN セッションは終了しません。OnDisconnect スクリプトは、セッションが終了した後で実行されます。
64 ビット Windows でのスクリプトの実行:AnyConnect クライアントは、32 ビット アプリケーションです。64 ビット Windows バージョンで実行すると、cmd.exe の 32 ビット バージョンが使用されます。
32 ビットの cmd.exe では、64 ビットの cmd.exe でサポートされているコマンドの一部が欠けているため、一部のスクリプトについては、サポートされていないコマンドの実行を試行したときにスクリプトの実行が停止したり、一部実行されてから停止したりする場合があります。たとえば、64 ビットの cmd.exe でサポートされている msg コマンドは、32 ビット バージョンの Windows 7(%WINDIR%\SysWOW64 に含まれる)では理解されない場合があります。
対象のオペレーティング システムでスクリプトを作成およびテストします。ネイティブ オペレーティング システムのコマンド ラインからスクリプトを正しく実行できない場合は、AnyConnect でも正しく実行できません。
(注) | 必ずクライアント プロファイルを ASA のグループ ポリシーに追加し、それを VPN エンドポイントにダウンロードしてください。 |
ステップ 1 | スクリプトに、OnConnect または OnDisconnect のプレフィックス名が付いていることを確認します。各オペレーティング システムで必要なスクリプト ディレクトリについては、「スクリプトの作成、テスト、および展開」を参照してください。 |
ステップ 2 | スクリプトをコマンド ラインから実行してみます。コマンド ラインから実行できないスクリプトは、クライアントでも実行できません。コマンド ラインでスクリプトの実行に失敗する場合は、スクリプトを実行するアプリケーションがインストールされていることを確認し、そのオペレーティング システムでスクリプトを作成し直してください。 |
ステップ 3 | VPN エンドポイントのスクリプト ディレクトリに、OnConnect スクリプトと OnDisconnect スクリプトがそれぞれ 1 つのみ存在していることを確認してください。クライアントが ASA から OnConnect スクリプトをダウンロードして、別の ASA 用の異なるファイル名サフィックスを持つ 2 番目の OnConnect スクリプトをダウンロードした場合、クライアントは意図されたスクリプトを実行しない可能性があります。スクリプト パスに複数の OnConnect スクリプトまたは OnDisconnect スクリプトが含まれており、かつスクリプトの展開に ASA を使用している場合は、スクリプト ディレクトリ内のファイルを削除し、VPN セッションを再確立します。スクリプト パスに複数の OnConnect スクリプトまたは OnDisconnect スクリプトが含まれており、かつ手動展開を使用している場合は、不要なスクリプトを削除し、VPN セッションを再確立します。 |
ステップ 4 | オペレーティング システムが Linux の場合は、スクリプト ファイルに実行権限が設定されていることを確認します。 |
ステップ 5 | クライアント プロファイルでスクリプトが有効になっていることを確認します。 |
Windows、Linux、Mac のコンピュータでは、AnyConnect API を使用して独自の実行可能なユーザ インターフェイス(UI)を開発できます。AnyConnect バイナリ ファイルを置き換えることで UI を展開します。
次の表に、オペレーティング システムごとのクライアント実行可能ファイルのファイル名を示します。
ASA 展開ではサポートされません。ただし、Altiris Agent などの他の手段によって、クライアント GUI を置き換える Mac 用の実行ファイルを展開できます。 |
実行可能ファイルは、ASA にインポートされたリソース ファイル(ロゴ イメージなど)を呼び出すことができます。独自の実行可能ファイルを展開する場合、リソース ファイルに任意のファイル名を使用できます。
適応型セキュリティ アプライアンスから最新の AnyConnect ソフトウェアを展開することはできません。適応型セキュリティ アプライアンスに AnyConnect パッケージの最新バージョンを配置すると、AnyConnect クライアントはその更新をダウンロードして、カスタム UI を置き換えます。カスタム クライアントおよび関連する AnyConnect ソフトウェアの配布を管理する必要があります。ASDM でバイナリをアップロードして AnyConnect クライアントを置き換えることができる場合でも、この展開機能は、カスタム アプリケーションを使用しているときにはサポートされません。
Web セキュリティまたはネットワーク アクセス マネージャを展開する場合は、Cisco AnyConnect Secure Mobility ClientGUI を使用します。
Cisco AnyConnect VPN Client には、グラフィカル ユーザ インターフェイスを使用せずにクライアント コマンドを入力することを希望するユーザ向けに、コマンドライン インターフェイス(CLI)があります。ここでは、CLI コマンド プロンプトの起動方法、および CLI を介して使用できるコマンドについて説明します。
CLI コマンド プロンプトを起動するには、以下の手順を実行します。
インタラクティブ モードで CLI を実行する場合、独自のプロンプトが表示されます。コマンド ラインを使用することもできます。
connect IP address または alias:クライアントは特定の ASA との接続を確立します。
disconnect:クライアントは以前に確立した接続を閉じます。
stats:確立された接続に関する統計情報を表示します。
quit:CLI インタラクティブ モードを終了します。
exit:CLI インタラクティブ モードを終了します。
次の例は、ユーザがコマンド ラインから接続を確立し、終了する例です。
Windows
connect 209.165.200.224
アドレスが 209.165.200.224 のセキュリティ アプライアンスへの接続を確立します。要求されたホストにアクセスすると、AnyConnect クライアントに、ユーザが属するグループが表示され、ユーザ名とパスワードが要求されます。オプションのバナーを表示するよう指定されている場合、ユーザはバナーに応答する必要があります。デフォルトの応答は、接続の試行を終了する「n」です。次に例を示します。
VPN > connect 209.165.200.224 >>contacting host (209.165.200.224) for login information... >>Please enter your username and password. Group: testgroup Username: testuser Password: ******** >>notice: Please respond to banner. VPN> STOP! Please read. Scheduled system maintenance will occur tonight from 1:00-2:00 AM for one hour. The system will not be available during that time. accept? [y/n] y >> notice: Authentication succeeded. Checking for updates... >> state: Connecting >> notice: Establishing connection to 209.165.200.224. >> State: Connected >> notice: VPN session established. VPN>
stats
現在の接続の統計情報を表示します。以下に例を示します。
VPN > stats [Tunnel information] Time Connected: 01:17:33 Client Address: 192.168.23.45 Server Address: 209.165.200.224 [Tunnel Details] Tunneling Mode: All traffic Protocol: DTLS Protocol Cipher: RSA_AES_256_SHA1 Protocol Compression: None [Data Transfer] Bytes (sent/received): 1950410/23861719 Packets (sent/received): 18346/28851 Bypassed (outbound/inbound): 0/0 Discarded (outbound/inbound): 0/0 [Secure Routes] Network Subnet 0.0.0.0 0.0.0.0 VPN>
disconnect
以前に確立した接続を閉じます。以下に例を示します。
VPN > disconnect >> state: Disconnecting >> state: Disconnected >> notice: VPN session ended. VPN>
quit または exit
いずれのコマンドも CLI のインタラクティブ モードを終了します。以下に例を示します。
quit goodbye >>state: Disconnected
/opt/cisco/anyconnect/bin/vpn connect 1.2.3.4
アドレスが 1.2.3.4 の ASA への接続を確立します。
/opt/cisco/anyconnect/bin/vpn connect some_asa_alias
プロファイルを読み込み、エイリアス some_asa_alias を検索してアドレスを探し、ASA への接続を確立します。
/opt/cisco/anyconnect/bin/vpn stats
vpn 接続に関する統計情報を表示します。
/opt/cisco/anyconnect/bin/vpn disconnect
存在する場合、VPN セッションを切断します。
ASA からセッション リセットを発行することによって AnyConnect セッションを終了すると、エンド ユーザに次の Windows ポップアップ メッセージが表示されます。
The secure gateway has terminated the vpn connection. The following message was received for the gateway: Administrator Reset
このメッセージを表示させたくないと思う場合があるかもしれません(たとえば、CLI コマンドを使用して VPN トンネルを開始するときなど)。クライアントが接続した後に、クライアント CLI を再起動することによって、このメッセージを表示さないようにすることができます。次に、この処理を行った場合の CLI 出力例を示します。
C:/Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client>vpncli Cisco AnyConnect Secure Mobility Client (version 4.x). Copyright (c) 2016 Cisco Systems, Inc. All Rights Reserved. >> state: Connected >> state: Connected >> notice: Connected to asa.cisco.com. >> notice: Connected to asa.cisco.com. >> registered with local VPN subsystem. >> state: Connected >> notice: Connected to asa.cisco.com. >> state: Disconnecting >> notice: Disconnect in progress, please wait... >> state: Disconnected >> notice: On a trusted network. >> error: The secure gateway has terminated the VPN connection. The following message was received from the secure gateway: Administrator Reset VPN>
または、次の場所にあるエンドポイント デバイスでは、Windows レジストリに SuppressModalDialogs という名前の 32 ビットの倍精度値を作成できます。クライアントは名前の有無を検査しますが、値は無視します。
AnyConnect ローカリゼーション バンドルは、AnyConnect をローカライズするために使用される変換テーブル ファイルとインストーラ トランスフォーム ファイルを含む zip ファイルです。この zip ファイルは、ISE からユーザに AnyConnect を展開するために使用される ISE AnyConnect リソースの一部です。この zip ファイルの内容は、次の手順に従って AnyConnect 展開でサポートする言語によって定義されます。
ISE は、AnyConnect ローカリゼーション バンドル内のコンパイル済みのバイナリ変換テーブルを必要とします。gettext には、編集で使用されるテキスト .po とランタイムに使用されるコンパイル済みのバイナリ .mo の 2 つのファイル形式があります。コンパイルは、gettext ツールの msgfmt を使用して行われます。gettext ユーティリティを http://www.gnu.org/software/gettext/ からダウンロードし、管理に使用するローカル コンピュータ(リモートのユーザ コンピュータ以外)にインストールします。
AnyConnect ローカリゼーション バンドルを、AnyConnect をユーザに展開するために使用する ISE AnyConnect リソースの一部として ISE にアップロードします。
AnyConnect カスタマイゼーション バンドルは、カスタム AnyConnect GUI リソース、カスタム ヘルプ ファイル、VPN スクリプト、およびインストーラ トランスフォームを含む zip ファイルです。この zip ファイルは、ISE からユーザに AnyConnect を展開するために使用される ISE AnyConnect リソースの一部です。このファイルのディレクトリ構造は次のとおりです。
win\resource\ \binary \transform mac-intel\resource \binary \transform
カスタマイズされた AnyConnect コンポーネントは、次のように Windows および Mac OSX プラットフォームの resource、binary、および transform サブディレクトリに含まれています。
各 resource サブディレクトリには、そのプラットフォーム用のすべてのカスタム AnyConnect GUI コンポーネントが含まれます。
これらのリソースを作成する方法については、「AnyConnect GUI のカスタム アイコンおよびロゴの作成」を参照してください。
AnyConnect ヘルプ ファイルを作成する方法については、「AnyConnect クライアントのヘルプ ファイルの作成とアップロード」を参照してください。
VPN スクリプトを作成する方法については、「スクリプトの作成および展開」を参照してください。
各 transform サブディレクトリには、そのプラットフォーム用のインストーラ トランスフォームが含まれます。
Windows のカスタム インストーラ トランスフォームの作成方法については、次の項を参照してください。 インストール動作の変更、Windows
Max OSX のインストーラ トランスフォームの作成方法については、次の項を参照してください。 ACTransforms.xml による Mac OS X でのインストーラ動作のカスタマイズ
AnyConnect カスタマイゼーション バンドルを準備する前に、必要なすべてのカスタム コンポーネントを作成します。
AnyConnect カスタマイゼーション バンドルを、AnyConnect をユーザに展開するために使用する ISE AnyConnect リソースの一部として ISE にアップロードします。