Cisco IOS セキュリティ コンフィギュレーション ガ イド:Secure Connectivity
SSL VPN リモート ユーザ ガイド
SSL VPN リモート ユーザ ガイド
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

SSL VPN リモート ユーザ ガイド

この章の構成

リモート ユーザの SSL VPN 前提条件

SSL VPN リモート ユーザ ガイドの制約事項

ユーザ名およびパスワード

リモート ユーザ インターフェイス

ページ フロー

初期接続

「503 Service Unavailable」メッセージ

SSL/TLS 証明書

ログイン ページ

証明書認証

ログアウト ページ

ポータル ページ

リモート サーバ

ツールバー

Web 参照

ツールバーの移動

ポータル ページへ戻る

現在のページの [Personal] ブックマーク フォルダへの追加

ヘルプ ページの表示

ログアウト

セッション タイムアウト

TCP ポート フォワーディングおよび Thin Client

トンネル接続

ユーザ レベルのブックマーク

ブックマークの追加

ブックマークの編集

国際化

セキュリティ上のヒント

ブラウザ キャッシングおよびセキュリティ上の影響

Thin Client:ホスト ファイル エラーからの回復

SSL VPN によるホスト ファイルの使用方法

Thin Client を正しく停止しなかった場合

トラブルシューティング ガイドライン

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

リモート ユーザの SSL VPN の機能情報

通告

OpenSSL/Open SSL Project

License Issues

SSL VPN リモート ユーザ ガイド

SSL VPN 機能(WebVPN とも呼ばれる)は、Cisco IOS ソフトウェアで、インターネットのどの場所からでも企業ネットワークへのリモート ユーザ アクセスをサポートしています。リモート アクセスは Secure Socket Layer(SSL)対応 SSL Virtual Private Network(VPN; バーチャル プライベート ネットワーク)ゲートウェイ経由で実現します。SSL VPN ゲートウェイによりリモート ユーザは、Web ブラウザを使用してセキュアな VPN トンネルを確立できます。この機能は、ネイティブ HTTP over SSL(HTTPS)ブラウザ サポートを使用して、幅広い Web リソースおよび Web 対応アプリケーションに簡単にアクセスできる包括的なソリューションを実現します。

このマニュアルでは、企業ネットワークが SSL VPN に対して設定されているリモート ユーザが、ブラウザを起動し、SSL VPN ゲートウェイに接続してどのようにネットワークにアクセスできるかを説明します。

システム管理者の観点からの SSL VPN については、マニュアル『 SSL VPN 』を参照してください。


) Cisco AnyConnect VPN Client は、Cisco IOS リリース 12.4(15)T で導入されています。この機能は、次世代の SSL VPN Client です。Cisco IOS リリース 12.4(15)T 以前のシスコ ソフトウェアを使用している場合、SSL VPN Client を使用する必要があります。参照しているときに SSL VPN Client の GUI が表示されるはずです。ただし、Cisco ソフトウェア リリース 12.4(15)T 以降を使用している場合は、Cisco AnyConnect VPN Client を使用する必要があります。参照しているときに Cisco AnyConnect VPN Client の GUI が表示されるはずです。


この章で紹介する機能情報の入手方法

リリースごとの SSL VPN 機能の「What's New」情報については、「リモート ユーザの SSL VPN の機能情報」を参照してください。

ご使用のソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「リモート ユーザの SSL VPN の機能情報」を参照してください。

リモート ユーザの SSL VPN 前提条件

PC または装置で SSL VPN を開始するには、次の前提条件が必要です。

インターネット接続:次のようなインターネット接続がサポートされている。

ホーム DSL、ケーブル、またはダイヤルアップ

公共のキオスク

ホテルでの接続

空港のワイヤレス ノード

インターネット カフェ

オペレーティング システム サポート


) 次のソフトウェアの以降のバージョンもサポートされています。


Microsoft Windows 2000、Windows XP、または Windows Vista

Macintosh OS X 10.4.6

Linux(Redhat RHEL 3.0 +、FEDORA 5、または FEDORA 6)

SSL VPN 対応ブラウザ:次のブラウザで SSL VPN が動作することが確認されています。他のブラウザでは SSL VPN 機能が完全にはサポートされていない場合があります。


) 次のソフトウェアの以降のバージョンもサポートされています。


Internet Explorer 6.0 または 7.0

Firefox 2.0(Windows および Linux)

Safari 2.0.3

クッキーのイネーブル化:ポート フォワーディングでアプリケーションにアクセスするには、ブラウザでクッキーをイネーブルにする必要があります。

ポップアップのイネーブル化:フローティング SSL VPN ツールバーおよびタイムアウト警告を表示するには、ブラウザでポップアップをイネーブルにする必要があります。ポップアップがブロックされている場合は、ブラウザ設定を変更し、ページのツールバーで SSL VPN フローティング ツールバー アイコンをクリックして、フローティング ツールバーを表示します。

ポップアップがブラウザでディセーブルになっている場合は、アイドル タイムアウトまたは最大接続時間による切断前に SSL VPN による警告は出されません。

SSL VPN の URL: 次の形式の HTTPS アドレス。

https:// address

ここで address は、SSL VPN ゲートウェイのインターフェイスの IP アドレスまたは Domain Name System(DNS; ドメイン ネーム システム)ホスト名です。たとえば、 https://10.89.192.163 または https://vpn.example.com です。

SSL VPN ユーザ名およびパスワード

SSL VPN リモート ユーザ ガイドの制約事項

Cisco AnyConnect VPN Client

CiscoAnyConnect VPN Client では、次はサポートされていません。

Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)および Adaptive Security Device Manager(ASDM)およびそれらに関連付けられた任意の Command-Line Interface(CLI; コマンドライン インターフェイス)

Maximum Transmission Unit(MTU; 最大伝送ユニット)サイズの調整

クライアント側の認証

圧縮サポート

SSL 接続された Datagram Transport Layer Security(DTLS)

IPv6 VPN アクセス

言語翻訳(ローカリゼーション)

SSL VPN の最大ユーザ制限数に達したときに、ユーザがログインしようとすると、そのユーザは「Max-user limit reached(最大ユーザ制限数に達しました)」というエラーを受信します。

(任意)ローカル プリンタ:SSL VPN では、Web ブラウザからネットワーク プリンタへのクライアントレス モードでの印刷はサポートされていません。ただし、ローカル プリンタへの印刷はサポートされています。

シーケンス

スタンドアロン モード

ユーザ名およびパスワード

表 1 に、SSL VPN ユーザが知っておく必要があると思われるユーザ名とパスワードの種類を一覧で示します。

 

表 1 SSL VPN ユーザのユーザ名とパスワード

ログイン ユーザ名/パスワードの種類
目的
入力タイミング

コンピュータ

コンピュータへのアクセス

コンピュータの起動時

インターネット プロバイダー

インターネットへのアクセス

インターネット プロバイダーへの接続時

SSL VPN

リモート ネットワークへのアクセス

SSL VPN の開始時

ファイル サーバ

リモート ファイル サーバへのアクセス

SSL VPN ファイル参照機能を使用して、リモート ファイル サーバにアクセスする時

企業アプリケーションのログイン

ファイアウォールで保護された内部サーバへのアクセス

SSL VPN Web 参照機能を使用して、保護された内部 Web サイトにアクセスする時

メール サーバ

SSL VPN 経由のリモート メール サーバへのアクセス

E メール メッセージの送受信時

リモート ユーザ インターフェイス

企業ネットワークが SSL VPN について設定されている場合、ブラウザを起動し、SSL VPN ゲートウェイに接続することでネットワークにアクセスできます。認定証を提示して認証すると、企業サイトのポータル ページ(ホームページ)が表示されます。ポータル ページには、認定証に基づいてアクセスできる SSL VPN 機能(E メールおよび Web 参照など)が表示されます。SSL VPN ゲートウェイでイネーブルにされているすべての機能へのアクセス権限がある場合は、ホームページにアクセス リンクが表示されます。

ここでは、リモート ユーザ インターフェイスの詳細について詳しく説明します。

「ページ フロー」

「初期接続」

「ログイン ページ」

「証明書認証」

「ログアウト ページ」

「ポータル ページ」

「リモート サーバ」

「ツールバー」

「セッション タイムアウト」

「TCP ポート フォワーディングおよび Thin Client」

「トンネル接続」

「ユーザ レベルのブックマーク」

「国際化」

ページ フロー

ここでは、SSL VPN セッションのページ フロー プロセス(図 1 を参照)について説明します。HTTPS URL(https:// address )をブラウザに入力すると、ログイン ページがある https:// address /index.html にリダイレクトされます。


) ブラウザの設定により、このリダイレクションでブラウザに、セキュア接続にリダイレクトされていることを示す警告メッセージが表示される場合があります。


図 1 ページ フロー

 

初期接続

最初に接続すると、次のいずれかのシナリオが提示される場合があります。

「「503 Service Unavailable」メッセージ」

「SSL/TLS 証明書」

「Web 参照」

「503 Service Unavailable」メッセージ

ゲートウェイのトラフィック負荷が高くなっている場合、「503 Service Unavailable」というメッセージが表示される場合があります。このメッセージを受信したら、後で接続し直してください。

SSL/TLS 証明書

HTTPS 接続が確立されると、SSL/Transport Layer Security(TLS)証明書に関する警告が表示される場合があります。この警告が表示されたら、この証明書をインストールする必要があります。警告が表示されない場合、ブラウザが信頼する証明書がすでに存在します。

ログイン ページに接続されます。

ログイン ページ

デフォルト ログイン ページ(図 2)で、HTML 形式に入力するユーザ名とパスワードの入力が求められます。認証が失敗すると、ログイン ページにエラー メッセージが表示されます。

図 2 デフォルト ログイン ページ

 

証明書認証

クライアント証明書認証はサポートされていません。ユーザ名とパスワードの認証だけがサポートされています。

ログアウト ページ

ログアウト リンクをクリックするか、アイドル タイムアウトまたは最大接続時間経過のためセッションが終了すると、ログアウト ページ(図 3)が表示されます。

図 3 ログアウト ページ

 

ポータル ページ

ポータル ページ(図 4)は SSL VPN 機能のメインページです。管理者およびユーザ向けに存在する機能の吹き出しをご覧ください。

図 4 ポータル ページ

 

表 2 は、ポータル ページの各種フィールドについて説明しています。

 

表 2 ポータル ページのフィールドについて

フィールド
説明

管理者が定義したブックマーク

ユーザは編集できない、管理者が定義した URL リスト。

ネットワークの参照

ファイル ネットワークを参照できます。

ヘッダー

「タイトル」と同じカラー値を共有します。管理者により設定されます。

[Network File] ロケーション バー

\\server\share\folder と入力して、ネットワーク共有またはフォルダに直接アクセスできます。

ポート フォワーディング

アプレットをダウンロードし、ポート フォワーディングを開始します。

トンネル接続

トンネル クライアントをダウンロードし、トンネル接続をインストールできます。

URL アドレス バー

[Go] をクリックすると、新しいウィンドウが開きます。

ユーザ レベルのブックマーク追加アイコン

アイコンをクリックするとダイアログボックスが表示され、新しいブックマークを [Personal] フォルダに追加できます。

ユーザ レベルのブックマーク編集アイコン

既存のブックマークを編集または削除できます。

ユーザ レベルのブックマーク

リモート サーバ

ポータル ページのテキスト ボックスに表示する Web サイトのアドレスまたは URL パスを入力できます。リモート サーバからのページがブラウザ ウィンドウに表示されます。このページで他のリンクを参照できます。

 

ツールバー

ポータル ページ以外にある SSL VPN 機能にアクセスできるよう、ツールバーが導入されています。ツールバーは図 5 の右上隅にあり、赤色で示しています。

図 5 ツールバーが表示された Web サイト

 

ツールバーが次の図 6 で展開されています。次に、ツールバー アイコンの使用方法について説明します。

図 6 ツールバー

 

Web 参照

Web ブラウザはプラス(+)アイコンです(図 7 を参照)。

図 7 Web 参照アイコン

 

Web 参照アイコン(図 7 を参照)をクリックすると、ツールバーが展開され、URL を入力できます(図 8 を参照)。

図 8 URL バー

 

リモート ユーザが URL アドレス バーから URL に移動すると、すでに開いているウィンドウを使用して表示されます。

ツールバーの移動

プッシュピン アイコン(図 9 を参照)により、ツールバーをポータル ページの右端または左端に移動できます。

図 9 ツールバーの位置変更

 

ポータル ページへ戻る

家型のアイコンにより、ポータル ページに戻ることができます(図 10 を参照)。

図 10 ポータル ページへ戻る

 

ポータル ページが親ウィンドウにあり、クリックしてポータル ページに戻ると、画面がそのウィンドウに戻り(フォーカスされ)ます。それ以外の場合は、現在のページがポータル ページに読み込まれます。

現在のページの [Personal] ブックマーク フォルダへの追加

プラス記号付きページのアイコン(図 11 を参照)をクリックして、現在のページを [Personal] ブックマーク フォルダに追加できます。

図 11 現在のページの [Personal] ブックマーク フォルダへの追加

 

ヘルプ ページの表示

疑問符(?)アイコン(図 12 を参照)をクリックして、ヘルプ ページを表示できます。

図 12 ヘルプ ページ

 

ログアウト

ドア型のアイコン(図 13 を参照)によりログアウトできます。

図 13 ログアウト

 

セッション タイムアウト

セッションの期限が切れる約 1 分前に警告メッセージを受信し、セッションの期限が切れると別のメッセージを受信します。ワークステーションでは、現地時間はメッセージが表示された時間を示します。

最初に次のようなメッセージが表示されます。

「Your session will expire in x seconds due to inactivity.Click Close to reset the inactivity timer.(ブラウザの日時)」(下の図 14 を参照してください)

図 14 セッション期限満了メッセージ

 

(セッション終了の理由がわかっているかどうかにより)時間がなくなると、下の図 15 に示すような最後のメッセージが表示されます。

図 15 セッション非アクティビティまたはタイムアウト ウィンドウ

 

TCP ポート フォワーディングおよび Thin Client


) SSL 接続を正しくサポートするには、この機能には Java Runtime Environment(JRE; Java ランタイム環境)バージョン 1.4 以降のリリースが必要です。



) この機能には JRE をインストールし、ローカル クライアントを設定する必要があること、またそのためにはローカル システムで管理者権限が必要であることから、公共のリモート システムから接続した場合にアプリケーションをできる見込みはありません。


([Application Access] 下の)Thin Client アプリケーションの [Start] ボタンをクリックすると、新しいウィンドウが表示されます。このウィンドウから、port-forwarding アプレットのダウンロードが開始されます。別のウィンドウが表示されます。このウィンドウでは、このアプレットが署名されている証明書を確認するよう求められます。証明書を承認すると、アプレットの実行が開始され、port-forwarding エントリが表示されます(図 16 を参照)。アクティブ接続および送受信されているバイトの数の一覧も、このウィンドウに表示されます。


) [Thin Client] リンクをクリックすると、デジタル証明書に関するダイアログボックスが表示されます。このダイアログボックスは他のブラウザ ウィンドウの後ろに表示される場合があります。接続がハングする場合は、ブラウザ ウィンドウのサイズを最小にして、このダイアログボックスを見つけてください。


管理者は、E メール サーバの IP アドレス、DNS 名、およびポート番号を設定しておく必要があります。それらが設定されている場合、これらの E メール サーバに接続し、E メールを送受信するよう設定された E メール クライアントを起動できます。Point of Presence3(POP3)、Internet Message Access Protocol(IMAP)、および Simple Mail Transfer Protocol(SMTP)の各プロトコルがサポートされています。

JavaScript を使用してログアウトすると、ウィンドウが自動的に閉じようとします。セッションが終了し、新しいポート フォワーディング接続が確立されると、アプレットによりエラー メッセージが表示されます。

図 16 TCP ポート フォワーディング ページ

 


注意 アプリケーションを使用し終わったら、閉じるアイコンをクリックして必ず [Thin Client] ウィンドウを閉じる必要があります。ウィンドウを正しく終了できないと、Thin Client またはアプリケーションがディセーブルになるおそれがあります。詳細は「Thin Client:ホスト ファイル エラーからの回復」を参照してください。

表 3 にご使用の PC または装置での Thin Client(ポート フォワーディング)の要件の一覧が示されています。

 

表 3 SSL VPN リモート システム Thin Client 要件

リモート ユーザ システム要件
仕様または使用上の提案

クライアント アプリケーションのインストール

--

ブラウザでのクッキーのイネーブル化

--

管理者特権

自分の PC で、ローカル管理者でなければなりません。

Sun Microsystems JRE バージョン 1.4 以降のインストール

Thin Client を開始すると必ず SSL VPN により自動的に JRE がチェックされます。JRE をインストールする必要がある場合は、ポップアップ ウィンドウが表示され、JRE を入手できるサイトに誘導されます。

必要に応じて、クライアント アプリケーションの設定

(注) Microsoft Outlook クライアントでは、この設定手順は必要ありません。

クライアント アプリケーションを設定するには、サーバのローカルにマップされた IP アドレスとポート番号を使用します。この情報を見つけるには、次を実行します。

リモート システムで SSL VPN を開始し、SSL VPN ホームページで [Thin Client] リンクをクリックします。[Thin Client] ウィンドウが表示されます。

[Name] カラムで、使用するサーバの名前を見つけ、([Local] カラムで)その対応するクライアントの IP アドレスとポート番号を特定します。

この IP アドレスとポート番号を使用して、クライアント アプリケーションを設定します。設定手順は、クライアント アプリケーションごとに異なります。

Windows XP SP2 パッチ

Windows XP SP2 を実行している場合は、次のアドレスで入手できる Microsoft のパッチをインストールする必要があります。

http://support.microsoft.com/?kbid=884020

これは、既知の Microsoft 問題です。

トンネル接続

通常のクライアントレス リモート アクセス シナリオでは、SSL トンネルを確立してアプリケーション レイヤ(Web および E メールなど)の内部ネットワーク間のデータを移動します。トンネル モードでは、SSL トンネルを使用してネットワーク(IP)レイヤでデータを移動します。したがって、トンネル モードではほとんどの IP ベース アプリケーションがサポートされます。トンネル モードでは多くの一般的な企業アプリケーション(例:Microsoft Outlook、Microsoft Exchange、Lotus Notes E-mail、および Telnet)がサポートされています。

トンネル接続は、グループ ポリシー設定で判断されます。PC に Cisco AnyConnect VPN Client(次世代の SSL VPN Client)がダウンロードおよびインストールされ、インストール後にトンネル接続が確立されます。

デフォルトでは、接続が閉じると Cisco AnyConnect VPN Client は PC から削除されます。ただし、Cisco AnyConnect VPN Client を PC にインストールしておくこともできます。

ユーザ レベルのブックマーク

URL をブックマークしながら、SSL VPN トンネルを介して接続されています。これは、Cisco IOS リリース 12.4(15)T から有効になっています。URL をクリックして、ブックマークされた URL にアクセスできます。

ブックマークの追加

図 17 に、ブックマークを追加できる一般的な Web ページを示します。

図 17 [Add Bookmark]

ブックマークの編集

図 18 に、ブックマークを編集できる一般的な Web ページを示します。

図 18 [Edit Bookmark]

国際化

国際化機能により、ある特定の SSL VPN Web ページ(現在は、ログイン メッセージ、タイトル ページ、および URL リスト)を表示するため管理者がインポートした任意の言語を選択できます。

図 19 は、言語選択ボックスで示しているように、英語のポータル ページを示しています。

図 19 英語のポータル ページ

 

図 20 は、言語選択ボックスで示しているように、日本語のポータル ページを示しています。

図 20 日本語のポータル ページ

 

セキュリティ上のヒント

セッションを終了したら、必ず SSL VPN セッションからログアウトする必要があります (SSL VPN からログアウトするには、SSL VPN ツールバーのログアウト アイコンをクリックするか、ブラウザを終了します)。

SSL VPN を使用しても、あらゆるサイトとの通信が安全なわけではありません。SSL VPN により、PC またはワークステーションと SSL VPN ゲートウェイ間の企業ネットワークでのデータ転送のセキュリティが保証されます。(インターネットまたは内部ネットワークにある)非 HTTPS Web リソースにアクセスする場合、企業の SSL VPN ゲートウェイから宛先 Web サーバへの通信の安全は保証されません。

ブラウザ キャッシングおよびセキュリティ上の影響

インターネット カフェやキオスクなど公共または共有のインターネット システムを介して SSL VPN にアクセスする場合、SSL VPN セッションの終了またはログアウト後の情報のセキュリティを確保するには、SSL VPN セッション中に PC に保存したすべてのファイルを削除する必要があります。これらのファイルは、切断時に自動的には削除されません。


) SSL VPN では、セッション中に表示された Web ページのコンテンツは保存されません。ただし、セキュリティを強化するため、ブラウザ キャッシュをクリアすることを推奨します。PC からコンテンツを削除しても、コンテンツを回復できないわけではありません。機密データをダウンロードするときはこの点を念頭に入れておく必要があります。


Thin Client:ホスト ファイル エラーからの回復

閉じるアイコンをクリックして、[Thin Client] ウィンドウを正しく閉じることが大切です。ウィンドウを正しく閉じないと、次のようになる可能性があります。

次回 Thin Client を開始しようとすると、ディセーブルになる場合がある。「Backup HOSTS File Found」というエラー メッセージを受信します。

アプリケーションがディセーブルになるか、アプリケーションをローカルで実行している場合に誤動作するおそれがある。

[Thin Client] ウィンドウを正しく終了しないと、次のエラーが発生するおそれがあります。

Thin Client の使用中にブラウザがクラッシュする。

Thin Client の使用中に電源が停止するか、システムがシャットダウンする。

[Thin Client] ウィンドウのサイズを最小にし、ウィンドウが(最小化され)アクティブな状態でコンピュータをシャットダウンする。

SSL VPN によるホスト ファイルの使用方法

システムのホスト ファイルにより IP アドレスがホスト名にマップされます。Thin Client を開始すると、SSL VPN 固有のエントリを追加することで、SSL VPN によりホスト ファイルが変更されます。[Thin Client] ウィンドウを正しく閉じて Thin Client を停止すると、SSL VPN によりホスト ファイルは元の状態に戻ります。ホスト ファイルは次の状態を経過します。

Thin Client を呼び出す前に、ホスト ファイルは元の状態にあります。

Thin Client が開始すると、SSL VPN で次のように実行されます。

1. ホスト ファイルを hosts.webvpn にコピーし、バックアップを作成します。

2. ホスト ファイルを編集し、SSL VPN 固有の情報を挿入します。

Thin Client が停止すると、SSL VPN で次のように実行されます。

1. バックアップ ファイルをホスト ファイルにコピーし、ホスト ファイルは元の状態に復元されます。

2. hosts.webvpn を削除します。

Thin Client を終了した後に、ホスト ファイルは元の状態になります。

Thin Client を正しく停止しなかった場合

Thin Client を正しく停止しないと、ホスト ファイルが SSL VPN カスタマイズ状態のままになります。hosts.webvpn ファイルを検索することで、次回 Thin Client を開始するときにこの可能性があるかどうか SSL VPN によりチェックされます。ファイルが見つかると、「Backup HOSTS File Found」エラー メッセージを受信し、Thin Client が一時的にディセーブルになります。

Thin Client を正しくシャットダウンしないと、リモート アクセス クライアントまたはサーバ アプリケーションが保留状態になります。SSL VPN を使用せずにこれらのアプリケーションを開始すると、アプリケーションが誤動作するおそれがあります。通常接続するホストが使用できないおそれがあります。この状況は通常、自宅からリモートでアプリケーションを実行し、コンピュータをシャットダウンする前に [Thin Client] ウィンドウを終了できず、後からオフィスでアプリケーションを実行しようとすると発生する場合があります。

対応策

Thin Client または誤動作しているアプリケーションを再度イネーブルにするには、次を行います。

リモート アクセス サーバに接続できる場合は、「SSL VPN を使用したホスト ファイルの自動再設定」の手順を行う必要があります。

現在位置からリモート アクセス サーバに接続できない、またはホスト ファイルにカスタム編集を行った場合は、「手動によるホスト ファイルの再設定」の手順を行う必要があります。

SSL VPN を使用したホスト ファイルの自動再設定

リモート アクセス サーバに接続できる場合、次の手順を行ってホスト ファイルを再設定し、Thin Client とアプリケーション両方を再度イネーブルにする必要があります。


ステップ 1 SSL VPN を開始して、ログインします。ポータル ページが開きます。

ステップ 2 [Applications Access] リンクをクリックします。「Backup HOSTS File Found」メッセージが表示されます。

ステップ 3 次のいずれかのオプションを選択します。

[Restore from backup]:SSL VPN により強制的に正しいシャットダウンが行われます。SSL VPN により hosts.webvpn バックアップ ファイルがホスト ファイルにコピーされ、元の状態に復元され、hosts.webvpn バックアップ ファイルが削除されます。Thin Client を再起動する必要があります。

[Do nothing]:Thin Client は開始されません。リモート アクセス ホームページに戻ります。

[Delete backup]:SSL VPN により hosts.webvpn ファイルが削除され、ホスト ファイルがその SSL VPN カスタマイズ状態のままになります。元のホスト ファイル設定は失われます。新しいオリジナルとして SSL VPN カスタマイズ ホスト ファイルを使用して、Thin Client が開始されます。ホスト ファイル設定を失ってもかまわない場合だけこのオプションを選択します。Thin Client を正しくシャットダウンしなかった後にホスト ファイルを編集した場合、その他のいずれかのオプションを選択するか、手動でホスト ファイルを編集します (「手動によるホスト ファイルの再設定」 を参照)。


 

手動によるホスト ファイルの再設定

現在位置からリモート アクセス サーバに接続できない、またはホスト ファイルをカスタマイズしているため編集内容を失いたくない場合、次の手順を行ってホスト ファイルを再設定し、Thin Client とアプリケーションの両方を再度イネーブルにする必要があります。


ステップ 1 ホスト ファイルを見つけ、編集します。

ステップ 2 いずれかの行に「added by WebVpnPortForward」というストリングがあるかどうかチェックします。

このストリングを含む行があった場合、ホスト ファイルは SSL VPN 向けにカスタマイズされていません。ホスト ファイルがカスタマイズされている場合は、次の例のようになります。

10.23.0.3 server1 # added by WebVpnPortForward
10.23.0.3 server1.example.com emailxyz.com # added by WebVpnPortForward
10.23.0.4 server2 # added by WebVpnPortForward
10.23.0.4 server2.example.com.emailxyz.com # added by WebVpnPortForward
10.23.0.5 server3 # added by WebVpnPortForward
10.23.0.5 server3.example.com emailxyz.com # added by WebVpnPortForward
 
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to hostnames. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding hostname.
# The IP address and the hostname should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 172.16.102.97 rhino.acme.com # source server
# 192.168.63.10 x.acme.com # x client host
 
10.23.0.1 localhost
 
 

ステップ 3 「# added by WebVpnPortForward」ストリングを含む行を削除します。

ステップ 4 ファイルを保存し、閉じます。

ステップ 5 SSL VPN を開始して、ログインします。ホームページが表示されます。

ステップ 6 [Thin Client] リンクをクリックします。[Thin Client] ウィンドウが表示されます。これで Thin Client がイネーブルになりました。


 

トラブルシューティング ガイドライン

表 4 には、さまざまな問題、原因、修正を通知するメッセージのリストが記載されています。

 

表 4 トラブルシューティング ガイドライン

メッセージ
原因
修正

The request to { url } is not allowed.WebVPN has dropped the request.If you have any questions, please ask {...}.

管理者により、特定の URL にアクセスできません。

管理者に連絡してください。

Unable to connect to server { サーバ名 }.The server may not exist, or access to it may not be allowed.

サーバに問題があります。

サーバ名を確認し、問題が解決しない場合は管理者に連絡してください。

Unable to find the server { サーバまたは url } The server may not exist, or access to it may not be allowed.

DNS がサーバ名または URL 位置を解決できません。

URL アドレスを確認し、問題が解決しない場合は管理者に連絡してください。

This (client) machine does not match any identification of a WebVPN user.Please contact your WebVPN provider for assistance.

クライアント コンピュータが Cisco Secure Desktop(CSD)のプロファイルと一致しません。

管理者に連絡してください。

This (client) machine does not have the web access privilege.Please contact your WebVPN provider for assistance.

クライアント コンピュータが、SSL VPN ゲートウェイを介した Web アクセス機能のセキュリティ基準を満たしていません。

ゲートウェイへの URL を確認するか、問題が解決しない場合は管理者に連絡してください。

CSD is enabled, but not installed.Please contact your WebVPN provider for assistance.

CSD がゲートウェイでイネーブルにされていますが、使用できません。

管理者に連絡してください。

The requested information is not available.

さまざまな原因が考えられます。

管理者に連絡してください。

その他の参考資料

ここでは、SSL VPN に関する関連資料について説明します。

関連資料

内容
参照先

セキュリティ設定例

Cisco IOS Security Configuration Guide: Secure Connectivity 』( Cisco.com

セキュリティ コマンド

『Cisco IOS Security Command Reference』

Cisco Secure Desktop

Cisco Secure Desktop ホームページ

http://www.cisco.com/en/US/partner/products/ps6742/tsd_products_support_series_home.html

Cisco AnyConnect VPN Client

Cisco AnyConnect VPN Client Administrator Guide, Release 2.4

『Release Notes for Cisco AnyConnect VPN Client, Release 2.4

SSL VPN(管理者ガイド)

SSL VPN

規格

規格
タイトル

この機能によってサポートされる新しい規格または変更された規格はありません。またこの機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によってサポートされる新しい RFC または変更された RFC はありません。またこの機能による既存規格のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

リモート ユーザの SSL VPN の機能情報

表 5 に、この機能のリリース履歴を示します。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 5 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 5 SSL VPN リモート ユーザ ガイドの機能情報

機能名
リリース
機能情報

SSL VPN リモート ユーザ ガイド

12.4(6)T

この項は本来、 SSL VPN の機能マニュアルに記載されていたものです。

Cisco AnyConnect VPN Client

12.4(15)T

この機能は、次世代の SSL VPN Client です。この機能により、リモート ユーザは SSL VPN でサポートされたルータ プラットフォームおよび Cisco 5500 シリーズ適応型セキュリティ アプライアンスへのセキュアな VPN 接続ができます。

(注) リリース 12.4(15)T 以前の Cisco IOS ソフトウェア リリースを使用しているユーザには、Web 参照時に SSL VPN Client GUI で表示されます。Cisco IOS ソフトウェア リリース 12.4(15)T 以降を使用しているユーザには、Web 参照時に Cisco AnyConnect VPN Client GUI で表示されます。

(注) Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス以外のプラットフォームで Cisco AnyConnect VPN Client で現在サポートされていない機能については、「Cisco AnyConnect VPN Client」の制約事項を参照してください。

GUI の機能拡張

12.4(15)T

これらの機能拡張により、Web VPN GUI の例と説明が更新されます。

これらの更新に関する詳細については、次の各項を参照してください。

「ページ フロー」

「初期接続」

「ログイン ページ」

「証明書認証」

「ログアウト ページ」

「ポータル ページ」

「リモート サーバ」

「ツールバー」

「セッション タイムアウト」

「TCP ポート フォワーディングおよび Thin Client」

「トンネル接続」

「ユーザ レベルのブックマーク」

国際化

12.4(22)T

この機能により管理者は、英語以外の言語で表示できるよう、ある SSL VPN Web ページをカスタマイズできます。

この機能に関する詳細については、次の項を参照してください。

「国際化」

最大ユーザ制限エラー メッセージ

12.4(22)T

SSL VPN の最大ユーザ制限数に達したときに、ユーザがログインしようとすると、そのユーザはエラー メッセージを受信します。

このメッセージに関する詳細については、次の項を参照してください。

「SSL VPN リモート ユーザ ガイドの制約事項」

通告

本ソフトウェア ライセンスに関連する通知内容を以下に示します。

OpenSSL/Open SSL Project

This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit ( http://www.openssl.org/ ).

This product includes cryptographic software written by Eric Young (eay@cryptsoft.com).

This product includes software written by Tim Hudson (tjh@cryptsoft.com).

License Issues

The OpenSSL toolkit stays under a dual license, i.e. both the conditions of the OpenSSL License and the original SSLeay license apply to the toolkit.See below for the actual license texts.Actually both licenses are BSD-style Open Source licenses.In case of any license issues related to OpenSSL please contact openssl-core@openssl.org.

OpenSSL License:

Copyright © 1998-2007 The OpenSSL Project.All rights reserved.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions, and the following disclaimer in the documentation and/or other materials provided with the distribution.

3. All advertising materials mentioning features or use of this software must display the following acknowledgment: "This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit ( http://www.openssl.org/ )".

4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to endorse or promote products derived from this software without prior written permission.For written permission, please contact openssl-core@openssl.org.

5. Products derived from this software may not be called "OpenSSL" nor may "OpenSSL" appear in their names without prior written permission of the OpenSSL Project.

6. Redistributions of any form whatsoever must retain the following acknowledgment:

"This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit ( http://www.openssl.org/ )".

THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT "AS IS"' AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

This product includes cryptographic software written by Eric Young (eay@cryptsoft.com).This product includes software written by Tim Hudson (tjh@cryptsoft.com).

Original SSLeay License:

Copyright © 1995-1998 Eric Young (eay@cryptsoft.com).All rights reserved.

This package is an SSL implementation written by Eric Young (eay@cryptsoft.com).

The implementation was written so as to conform with Netscapes SSL.

This library is free for commercial and non-commercial use as long as the following conditions are adhered to.The following conditions apply to all code found in this distribution, be it the RC4, RSA, lhash, DES, etc., code; not just the SSL code.The SSL documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson (tjh@cryptsoft.com).

Copyright remains Eric Young's, and as such any Copyright notices in the code are not to be removed.If this package is used in a product, Eric Young should be given attribution as the author of the parts of the library used.This can be in the form of a textual message at program startup or in documentation (online or textual) provided with the package.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

3. All advertising materials mentioning features or use of this software must display the following acknowledgement:

"This product includes cryptographic software written by Eric Young (eay@cryptsoft.com)".

The word 'cryptographic' can be left out if the routines from the library being used are not cryptography-related.

4. If you include any Windows specific code (or a derivative thereof) from the apps directory (application code) you must include an acknowledgement: "This product includes software written by Tim Hudson (tjh@cryptsoft.com)".

THIS SOFTWARE IS PROVIDED BY ERIC YOUNG "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

The license and distribution terms for any publicly available version or derivative of this code cannot be changed.i.e. this code cannot simply be copied and put under another distribution license [including the GNU Public License].