セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

Cisco ASA 5500 SSL VPN 展開ガイド、バージョン 8.x

Cisco ASA 5500 SSL VPN 展開ガイド、バージョン 8.x
発行日;2012/12/14 | 英語版ドキュメント(2012/11/29 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco ASA 5500 SSL VPN 展開ガイド、バージョン 8.x

概要

ネットワーク トポロジの例

初期設定

ASDM アクセスの準備

ホスト名、DNS、基本ルーティングの設定

ローカル データベース内の VPN ユーザの設定

Active Directory/LDAP 上の VPN ユーザの設定

インターフェイスでの SSL VPN のイネーブル化

クライアントレス SSL VPN セッションの確立

接続プロファイル、グループ ポリシー、カスタマイゼーション オブジェクトを使用した VPN アクセスの適用

権限および属性のポリシー実施の概要

Engineering 接続プロファイルおよび Sales 接続プロファイルの設定

Engineering グループ ポリシーおよび Sales グループ ポリシーの設定

グループ ポリシー Engineering および Sales と接続プロファイルとの関連付け

Engineering グループ ポリシーおよび Sales グループ ポリシーのブックマーク リストの作成

ブックマーク リストのグループ ポリシーへの適用

WebType ACL の作成

ACL のグループ ポリシーへの適用

Engineering および Sales のカスタマイゼーション オブジェクトの作成

ロゴで使用する Web コンテンツのインポート

接続プロファイルでのカスタマイゼーションの設定

グループ ポリシーでのカスタマイゼーションの設定

ドロップダウン メニューを使用したクライアントレス セッションの確立

グループ URL を使用した SSL VPN セッションの確立

シングル サインオンおよび URL の変数置換

URL の変数置換の概要:

Outlook Web Access を使用した SSO の Post パラメータの設定

Citrix を使用したシングル サインオンの Post パラメータの設定

Active Directory 属性マッピングによる SSO 置換

ファイル共有(CIFS)URL 置換

クライアントレス接続によるスマート トンネルおよびプラグインを使用したアプリケーションへのアクセス

プラグイン

プラグインの要件および制限事項

プラグインのインポート

ブックマークとして表示するためのプラグインの設定

SSH プラグインの使用方法

RDP プラグインの使用方法

スマート トンネル

スマート トンネルの要件

Web アプリケーション用スマート トンネルの使用方法

ブラウザベースではないアプリケーション用のスマート トンネルの設定

スマート トンネル リストのグループ ポリシーへの割り当て

スマート トンネルの使用方法

ダイナミック アクセス ポリシー(DAP)

VPN ポリシー用の DAP の使用方法(Cisco Secure Desktop でないもの)

グループ ポリシーの代わりに DAP を使用する利点

Engineering 用の DAP の作成

Engineering 用の DAP の確認

Sales 用の DAP の作成

Sales 用の DAP の確認

Administrators 用の DAP の作成:複数の DAP の集約の例

複数の DAP 集約の確認

Cisco Secure Desktop と DAP の統合

Cisco Secure Desktop のインストールとイネーブル化

Cisco Secure Desktop プリログイン ポリシー チェック

AnyConnect およびクライアントレス SSL VPN アクセス用の DAP の設定

Advanced Endpoint Assessment による修復

ホスト スキャンから返された属性に基づくアクセスの適用に対する DAP の使用方法

DAP 詳細設定

AnyConnect VPN クライアント

AnyConnect クライアントのインストールと設定

AnyConnect クライアントをインストールする前に

Start Before Logon コンポーネントのインストール(Windows のみ)

AnyConnect クライアントのインストールとセキュリティ アプライアンスの設定

AnyConnect クライアントおよび Cisco Secure Desktop と CSA 相互運用性

Cisco AnyConnect VPN クライアントのアンインストール

AnyConnect クライアント用のセキュリティ アプライアンス コンフィギュレーションの例

クライアントレス SSL VPN コンフィギュレーションの例

Cisco ASA 5500 SSL VPN 展開ガイド、バージョン 8.x

ドキュメント バージョン番号 1.0L

概要

このマニュアルでは、SSL VPN の主要な機能および ASA 5500 適応型セキュリティ アプライアンスの機能について説明します。これにより、所有するネットワークのセキュリティ要求に対してセキュリティ アプライアンスを評価することができます。

Cisco ASA 5500 には、企業リソースへのリモート アクセスのための主要テクノロジーである、次の 2 つのタイプの SSL VPN があります。

クライアントレス SSL VPN によって、Web ブラウザおよび Java コンポーネントを介して電子メールなどの Web アプリケーションや企業ポータルにアクセスできます。クライアント ソフトウェアは必要ありません。

AnyConnect SSL VPN クライアントでは、IPsec クライアントと同様に企業リソースへのダイレクト アクセスが提供されます。Datagram Transport Layer Security(DTLS)の使用により、一部の SSL だけの接続で発生する遅延および帯域幅の問題が回避されて、クライアントでパケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。

クライアントレス接続および AnyConnect クライアント接続は、ポスチャ評価ポリシーを使用します。これらのポリシーを定義して、あるエンドポイントが、オペレーティング システム、ファイアウォール、アンチウイルス ソフトウェア、そして必要なアンチスパイウェアが適切に設定されている企業エンティティかそれともパブリック エンティティかを評価することができます。

セキュリティ アプライアンス ソフトウェアには、2 つの SSL VPN ライセンスが含まれ、クライアントレスまたはクライアント接続の任意の組み合わせで同時に 2 つの SSL VPN 接続ができます。

その他の情報

このマニュアルでは、ダイナミック アクセス ポリシー(DAP)の設定タスクについて説明します。これは、エンド ユーザ デバイスのロケーションまたはセキュリティ ポスチャに関係なく、企業リソースへのアクセスを制御する強力なツールです。DAP の詳細については、次の URL にあるホワイト ペーパー『Dynamic Access Policies』を参照してください。

http://www.cisco.com/en/US/products/ps6120/products_white_paper09186a00809fcf38.shtml

DAP コンフィギュレーションの詳細については、次の URL にある『Cisco Security Appliance Command Line Configuration Guide, Version 8.0』の「Understanding Policy Enforcement of Permissions and Attributes」の項を参照してください。

http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/extsvr.html

その他の使用例は、次の URL にある「Selected ASDM Configuration Tasks」に継続して記録、公開されています。

http://www.cisco.com/en/US/products/ps6121/products_installation_and_configuration_guides_list.html

このマニュアルの構成は、次のとおりです。

「ネットワーク トポロジの例」

「初期設定」

「ASDM アクセスの準備」

「ホスト名、DNS、基本ルーティングの設定」

「ローカル データベース内の VPN ユーザの設定」

「Active Directory/LDAP 上の VPN ユーザの設定」

「インターフェイスでの SSL VPN のイネーブル化」

「接続プロファイル、グループ ポリシー、カスタマイゼーション オブジェクトを使用した VPN アクセスの適用」

「権限および属性のポリシー実施の概要」

「Engineering 接続プロファイルおよび Sales 接続プロファイルの設定」

「Engineering グループ ポリシーおよび Sales グループ ポリシーの設定」

「グループ ポリシー Engineering および Sales と接続プロファイルとの関連付け」

「Engineering グループ ポリシーおよび Sales グループ ポリシーのブックマーク リストの作成」

「ブックマーク リストのグループ ポリシーへの適用」

「WebType ACL の作成」

「ACL のグループ ポリシーへの適用」

「Engineering および Sales のカスタマイゼーション オブジェクトの作成」

「ロゴで使用する Web コンテンツのインポート」

「接続プロファイルでのカスタマイゼーションの設定」

「グループ ポリシーでのカスタマイゼーションの設定」

「ドロップダウン メニューを使用したクライアントレス セッションの確立」

「グループ URL を使用した SSL VPN セッションの確立」

「シングル サインオンおよび URL の変数置換」

「URL の変数置換の概要:」

「Outlook Web Access を使用した SSO の Post パラメータの設定」

「Citrix を使用したシングル サインオンの Post パラメータの設定」

「Active Directory 属性マッピングによる SSO 置換」

「クライアントレス接続によるスマート トンネルおよびプラグインを使用したアプリケーションへのアクセス」

「プラグイン」

「プラグインの要件および制限事項」

「スマート トンネル」

「ダイナミック アクセス ポリシー(DAP)」

「VPN ポリシー用の DAP の使用方法(Cisco Secure Desktop でないもの)」

「Cisco Secure Desktop と DAP の統合」

「DAP 詳細設定」

「AnyConnect VPN クライアント」

「AnyConnect クライアントのインストールと設定」

「AnyConnect クライアントのインストールとセキュリティ アプライアンスの設定」

「AnyConnect クライアントおよび Cisco Secure Desktop と CSA 相互運用性」

「Cisco AnyConnect VPN クライアントのアンインストール」

「AnyConnect クライアント用のセキュリティ アプライアンス コンフィギュレーションの例」

ネットワーク トポロジの例

このマニュアルでは、次のネットワーク トポロジを前提としています。

 

初期設定

この項では、セキュリティ アプライアンスを管理するための ASDM の設定、基本設定、およびユーザの追加の手順について説明します。

ASDM アクセスの準備

この項の情報は、次の URL にある『ASA 5500 Getting Started Guide』からも入手できます。

http://www.cisco.com/en/US/docs/security/asa/asa80/getting_started/asa5500/quick/guide/
5500gsg.html

ASDM を使用するには、次の手順を実行します。


ステップ 1 イーサネット ケーブルを使用して、MGMT インターフェイスをスイッチまたはハブに接続します。この同じスイッチに、ASDM を実行する PC を接続してセキュリティ アプライアンスを設定します。


選択すれば、ASDM アクセス用に内部の他のインターフェイスを使用することができます。


ステップ 2 DHCP を使用するように PC を設定します。これにより、PC はセキュリティ アプライアンスから IP アドレスを自動的に取得することができます。その後 PC は、設定および管理タスク用に ASDM を実行しながらセキュリティ アプライアンスおよびインターネットと通信できます。


) または、192.168.1.0 サブネットの中からアドレスを選択して、スタティック IP アドレスを使用中の PC に割り当てることもできます


有効なアドレスは 192.168.1.2 ~ 192.168.1.254 で、255.255.255.0 のマスクと 192.168.1.1 のデフォルト ルートがあります。他のデバイスを任意の内部ポートに接続する場合は、同じ IP アドレスが使用されていないことを確認します。適応型セキュリティ アプライアンスの MGMT インターフェイスには、デフォルトで IP アドレス 192.168.1.1 が割り当てられています。そのため、このアドレスは使用できません。

ステップ 3 MGMT インターフェイス上の LINK LED を確認します。

接続が確立されると、適応型セキュリティ アプライアンスの LINK LED インターフェイス、およびスイッチまたはハブ上の対応する LINK LED が緑色に点灯します。

ステップ 4 特定のコンフィギュレーション コマンドの確認または設定を行うため CLI アクセス用の、また必要に応じてデバッグを実行するコンソールを接続します。

ステップ 5 CLI コマンドを設定するには、グローバル コンフィギュレーション モードである必要があります。コンフィギュレーション モードを開始するには、プロンプトで config t を入力します。

asa# config t
asa(config)#

) 実行コンフィギュレーションを表示するには、コンフィギュレーションの詳細を表示する show runn か、特定の出力を表示する show runn <command> を入力します。


ステップ 6 次のコマンドを発行して、管理インターフェイス上で ASDM がすでにイネーブルになっていることを確認します。

hostname(config)# show run http
hostname(config-username)# show run http
http server enable
http 0.0.0.0 0.0.0.0 management
 

ステップ 7 ブラウザが、セキュリティ アプライアンスと同じ SSL のバージョンと暗号化を使用していることを確認します。デフォルトの ssl-server-version は任意(SSL3.0 および TLSv1)および AES、トリプル DES、RC4 暗号化サイファです。

asa(config)# show runn ssl - displays the SSL encryption and server versions
asa(config)# ssl <options> - sets the SSL configuration

ステップ 8 セキュリティ アプライアンスは、ブート時に各インターフェイスに対して SSL 自己署名証明書を生成します。ほとんどの試験環境で、この証明書を使用できます。サード パーティの証明書(例:Verisign)もサポートされています。サード パーティの証明書に対するセキュリティ アプライアンスの登録手順については、『Cisco Security Appliance Command Line Configuration Guide』の「Configuring Certs」を参照してください。次の URL から入手できます。http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/cert_cfg.html

ステップ 9 ブラウザで https://192.168.1.1/admin を入力して ASDM を起動します。

ステップ 10 ASDM 初期画面では 3 つの動作オプションが提供されます。次のように、[Install ASDM and Run ASDM] を選択します。

 

セキュリティ アプライアンスは、ASDM .msi ファイルを PC にダウンロードします。.msi ファイルをダブルクリックして、ASDM インストーラを起動します。インストール後に、次のランチャ ウィンドウが表示されます。

 

ステップ 11 ユーザ名とパスワードを入力します。メイン ASDM 画面が表示されます。

デフォルトでは、ASDM でユーザ名とパスワードを入力する必要はありません。フィールドを空のままにして、[OK] をクリックして続行します。次のメッセージが表示されます。

ASDM will initialize now...
 

ステップ 12 ASDM がセキュリティ アプライアンスに送信するコマンドを表示するには、メイン ASDM 画面上部のツールバーで、[Tools] > [Preferences] > [General] タブの順に選択し、[Preview commands before sending them to the device] をオンにします。


 

ホスト名、DNS、基本ルーティングの設定

ホスト名により、セキュリティ アプライアンスの名前が付与されます。ドメイン ネーム サーバ(DNS)により、クライアントレス SSL VPN 接続の名前解決が提供されます。セキュリティ アプライアンスでホスト名、DNS、および基本ルーティングを設定するには、次の手順を実行します。


ステップ 1 ASA ホスト名およびドメイン名を設定します。

[Configuration] > [Device Setup] > [Device Name/Password] を選択します。次のようにホスト名およびドメイン名を入力します。

 

ステップ 2 内部リソースにアクセスするようにルーティングを設定します。試験環境では、スタティック ルートを使用することを推奨します。


) 従来型のデフォルト ゲートウェイは、復号化されないトラフィックのラスト リゾート ゲートウェイで、通常はインターネット(外部)を指しています。トンネリングされたデフォルト ゲートウェイは、VPN の復号化されたトラフィックのラスト リゾート ゲートウェイで、通常は内部ネットワーク上のルータを示します。


[Configuration] > [Device Setup] > [Routing] > [Static Routes] を選択します。[Add] をクリックし、次のようにスタティック ルート情報を入力します。

 

ステップ 3 クライアントレス SSL VPN ホスト名解決を使用するように、DNS 設定値を設定します。

[Configuration] > [Remote Access VPN] > [DNS] を選択します。DefaultDNS という一連のサーバを設定するには、DefaultDNS を選択して [Add] をクリックします。これは、セキュリティ アプライアンス上のすべてのクライアントレス セッションに対するグローバル設定です。

 


 

ローカル データベース内の VPN ユーザの設定

ユーザ アカウントは、セキュリティ アプライアンス上、または外部 AAA サーバ上のローカル データベースに保管することができます。この項では、ローカル データベース内の VPN ユーザの設定方法について説明します。


ステップ 1 [Configuration] > [Device Management] > [Users/AAA] > [User Accounts] を選択します。 [Identify] ペインが表示されます。3 人のユーザを追加します(Sales、Engineer、および Admin)。

ステップ 2 [VPN Policy] ペインで、これらのユーザをデフォルトのグループ ポリシーである DfltGrpPolicy に割り当てます。この画面でトンネリング プロトコルを選択するか、または DfltGrpPolicy から設定を継承することができます。

 


 

Active Directory/LDAP 上の VPN ユーザの設定

セキュリティ アプライアンスは、RSA ワンタイム パスワード、Radius、Kerberos、LDAP、NT ドメイン、TACACS、ローカルまたは内部、デジタル証明書、および認証と証明書の組み合わせなど、さまざまな認証方式をサポートしています。

Active Directory LDAP AAA サーバ上で VPN ユーザを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] を選択します。

ステップ 2 サーバ グループを追加し、[Protocol] を LDAP として指定します。

 

ステップ 3 定義された最小限のパラメータでサーバ エントリを追加します。[Servers in the Selected Group] 領域で、[Add] をクリックします。次のように [Add AAA Server] ウィンドウが表示されます。


) [Login DN] は、バインド操作に使用されるユーザ レコードです。LDAP レコードを取得するには、少なくとも読み取り権限を持っている必要があります。


 

ステップ 4 適切な AD グループに割り当てることによって、Active Directory 上のユーザを定義します。次の画面は、Active Directory 画面の例です。

 

ステップ 5 セキュリティ アプライアンスから Active Directory 認証サーバへの接続をテストするには、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] を選択します。

ステップ 6 [Servers in the Selected Group] 領域からサーバ エントリを選択して、[Test] をクリックします。次にユーザ名とパスワードを入力してテストします。

 

テストが完了すると、セキュリティ アプライアンスは成功または失敗を示すウィンドウを表示します。

テストが成功した場合は、認証/許可のためにサーバを使用できます。

テストが失敗した場合は、CLI コマンド debug ldap 255 を使用してデバッグできます。このコマンドにより、LDAP サーバとセキュリティ アプライアンス間で交換された情報が表示されます。


 

インターフェイスでの SSL VPN のイネーブル化

リモート ユーザが接続を確立するために、インターフェイスで SSL VPN をイネーブルにする必要があります。これは、[Connection Profiles] ペインで実行されます。SSL VPN をイネーブルにするには、次の手順に従います。


ステップ 1 [Clientless SSL VPN Access] > [Connection Profiles] を選択します。

ステップ 2 [Access Interfaces] セクションで、該当する [Allow Access] ボックスをオンにします。

 


 

クライアントレス SSL VPN セッションの確立

クライアントレス SSL VPN セッションを確立するには、次の手順を実行します。


ステップ 1 ブラウザのキャッシュとクッキー、および Java ランタイム環境(JRE)のキャッシュもクリアします。


) 最適な結果を得るために、JRE リリース 1.5.x 以降をインストールします。


ステップ 2 ブラウザのアドレス バーに https://<web-interface-IP> または https://<ASA-FQDN> を入力して、セッションを開始します。次のように [Login] ウィンドウが表示されます。

 

ステップ 3 ユーザ クレデンシャルを入力し、次のようなデフォルトのクライアントレス SSL VPN ポータルが表示されることを確認します。

 

 

ステップ 4 Web サイトを参照します(例:https://our-internal-portal)。

この時点で、ブックマークまたは URL リストは定義されていません。Web サイトを入力して、SSL VPN で処理されることを確認します。

 

 

接続プロファイル、グループ ポリシー、カスタマイゼーション オブジェクトを使用した VPN アクセスの適用

接続プロファイルおよびグループ ポリシーを設定するか、またはダイナミック アクセス ポリシーを設定することにより、VPN アクセス ポリシーを設定して適用できます。次に、グループ ポリシーおよび接続プロファイルを設定する手順を示します。

権限および属性のポリシー実施の概要

セキュリティ アプライアンスを設定して、RADIUS/LDAP 認証/許可サーバから取得したユーザ属性、セキュリティ アプライアンス上のグループ ポリシー内のユーザ属性セット、またはその両方を適用できます。セキュリティ アプライアンスが両方のソースから属性を受信すると、それらの属性は集約され、ユーザ ポリシーに適用されます。サーバおよびグループ ポリシーから取得した属性の間で衝突がある場合、DAP から取得した属性が常に優先されます。

要約すると、ユーザ認可の VPN 権限ポリシーは、DAP アクセス属性とグループ ポリシー継承階層を集約したものです。

1. セキュリティ アプライアンスは、次の順序で属性を適用します。

2. ダイナミック アクセス ポリシー属性:他のすべての属性に優先します。

3. ユーザ属性:AAA サーバは、ユーザ認証またはユーザ認可の成功後にこれらの属性を返します。

4. グループ ポリシー属性:これらの属性は、ユーザに関連付けられたグループ ポリシーから取得されます。ローカル データベース内のユーザ グループ ポリシー名は、vpn-group-policy 属性で識別されるか、または RADIUS/LDAP サーバからのユーザ グループ ポリシー名は OU=GroupName の RADIUS CLASS 属性(25)の値で識別されます グループ ポリシーにより、DAP またはユーザ属性から欠落しているすべての属性が提供されます。

5. 接続プロファイル(トンネル グループ)の default-group-policy 属性:これらの属性は、接続プロファイルに関連付けられたデフォルト グループ ポリシーから取得されます。このグループ ポリシーにより、DAP、ユーザ、またはグループ ポリシーから欠落しているすべての属性が提供されます。

6. システム デフォルト属性:システム デフォルト属性により、DAP、ユーザ、グループ ポリシー、または接続プロファイルから欠落しているすべての値が提供されます。

Engineering 接続プロファイルおよび Sales 接続プロファイルの設定

接続プロファイルを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] を選択します。

ステップ 2 [Connection Profiles] セクションで、接続プロファイル Engineering および Sales を追加します。

ステップ 3 [OK] をクリックし、変更を適用します。

ステップ 4 [Engineering] 接続プロファイルを選択して、[Edit] をクリックします。[Edit Clientless SSL VPN Connection Profile] 画面が開きます。

ステップ 5 [Aliases] フィールドにエイリアスとして Engineering と入力します。

ステップ 6 画面の左側で、[Advanced] を選択して、[Clientless SSL VPN] を選択します。

ステップ 7 [Group URLs] セクションで、[Add] をクリックします。[Add Group URL] 画面が開きます。

ステップ 8 グループ URL https://ip_address/Engineering を入力します。

ステップ 9 [Add Group URL] 画面で [OK] をクリックし、[Edit Clientless SSL VPN Connection Profile] 画面で [OK] をクリックし、[Apply] をクリックして変更を適用します。

ステップ 10 エイリアスとして Sales およびグループ URL を使用して、Sales 接続プロファイルについて同じ手順を実行します。

 

Engineering グループ ポリシーおよび Sales グループ ポリシーの設定

Engineering および Sales のグループ ポリシーを設定するには、次の手順を実行します。


ステップ 1 [Clientless SSL VPN Access] > [Group Policies] を選択します。[Add] をクリックします。[Add Internal Group Policy] ウィンドウが表示されます。

ステップ 2 名前として Engineering と入力します。

ステップ 3 [OK] をクリックし、変更を適用します。

ステップ 4 この手順を繰り返して、Sales グループ ポリシーを作成します。

 


 

グループ ポリシー Engineering および Sales と接続プロファイルとの関連付け

新規のグループ ポリシー Engineering および Sales と、Engineering 接続プロファイルおよび Sales 接続プロファイルを関連付けるには、次の手順を実行します。


ステップ 1 [Clientless SSL VPN Access] > [Connection Profiles] を選択します。

ステップ 2 [Connection Profiles] 領域で、[Engineering] 接続プロファイルを選択して、[Edit] をクリックします。[Edit Clientless VPN Connection Profile] が表示されます。

ステップ 3 [Default Group Policy] ドロップダウン メニューで、[Engineering] ポリシーを選択します。

ステップ 4 [OK] をクリックし、変更を適用します。

ステップ 5 デフォルト グループ ポリシーとして Sales を使用して、Sales 接続プロファイルについて同じ手順を実行します。

 


 

Engineering グループ ポリシーおよび Sales グループ ポリシーのブックマーク リストの作成

ブックマーク リストを作成して、グループ ポリシーに適用するには、次の手順を実行します。これらのブックマークを使用して OWA、Sharepoint、および Citrix などの企業リソースへの SSL ポータル経由のアクセスを指定できます。


ステップ 1 [Clientless SSL VPN Access] > [Portal] > [Bookmarks] を選択します。[Add] をクリックします。

ステップ 2 ブックマーク リスト名として、Engineering と入力します。

ステップ 3 [Add] をクリックして、複数の URL エントリを指定します。

ステップ 4 Sales について同じ手順を実行し、URL エントリとアプリケーションの両方、またはいずれかの別のサブセットで Sales ブックマーク リストを作成します。

ステップ 5 [OK] をクリックし、[Apply] をクリックしてブックマーク リストを適用します。

 


 

ブックマーク リストのグループ ポリシーへの適用

ブックマーク リストを特定のグループ ポリシーに関連付ける必要があります。次の操作を行ってください。


ステップ 1 [Clientless SSL VPN Access] > [Group Policies] を選択します。

ステップ 2 [Engineering] ポリシーを選択して、[Edit] をクリックします。[Edit Internal Group Policy] ウィンドウが表示されます。

ステップ 3 左側のナビゲーション ペインで、[Portal] を選択します。

ステップ 4 [Bookmark List] セクションで、[Engineering] を選択します。

ステップ 5 [OK] を選択し、[Apply] をクリックして変更を適用します。

ステップ 6 同じ手順を実行して、Sales URL リストを Sales グループ ポリシーに適用します。

 


 

WebType ACL の作成

Web アクセス コントロール リスト(ACL)は、クライアントレス ユーザのインターネット トラフィックをフィルタリングします。ACL テーブルには、セキュリティ アプライアンスで設定されたフィルタおよび各 ACL に対するアクセス コントロール エントリ(ACE)が表示されます。各 ACL は、特定のネットワーク、サブネット、ホスト、および Web サーバへのアクセスを許可するか、または拒否します。ACE は ACL に対して 1 つのルールを指定します。ACL の作成手順は、次のとおりです。


ステップ 1 [Clientless SSL VPN Access] > [Advanced] > [Web ACLs] を選択します。

ステップ 2 [Add] をクリックして、ACL 名として Engineering と入力します。

 

ステップ 3 [Add] をクリックして、[Add ACE] を選択します。

 

ステップ 4 [Action] では、[Permit] を選択します。

ステップ 5 フィルタリングの動作確認を行うには、 http://www.google.com のように URL を入力します。

ステップ 6 [OK] をクリックして変更を適用します

ステップ 7 同じ手順を実行して、Sales について ACL を作成します。Sales ACL アクションを [Deny] に設定して、アクションが Engineering ACL と反対の例を作成します。

 

ステップ 8 メイン画面で [Apply] をクリックします。


 

ACL のグループ ポリシーへの適用

前の項で作成した ACL をグループ ポリシーと関連付ける必要があります。ACL を特定のグループ ポリシーに関連付けるには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] を選択します。

ステップ 2 [Engineering] ポリシーを選択して、[Edit] をクリックします。次の [Edit Group Policy Engineering] ペインが表示されます。

 

ステップ 3 左側ペインで [General] を選択します。

ステップ 4 [More Options] ドロップダウンを選択します。

ステップ 5 [Inherit] チェックボックスをオフにして、ドロップダウン リストで Engineering を選択します。

ステップ 6 [OK] を選択し、変更を適用します。

ステップ 7 Sales WebType ACL について同じ手順を実行します。


 

Engineering および Sales のカスタマイゼーション オブジェクトの作成

セキュリティ アプライアンスは、カスタマイゼーション オブジェクトを使用して、クライアントレス SSL VPN 接続中に表示される画面のカスタマイズ、および AnyConnect クライアント ユーザ インターフェイスのカスタマイズを行います。

カスタマイゼーション オブジェクトを作成するには、次の手順を実行します。


ステップ 1 新規のカスタマイゼーション オブジェクトを作成します。[Clientless SSL VPN Access] > [Portal] > [Customization] を選択します。

ステップ 2 [Add] をクリックして、カスタマイゼーション オブジェクト名として Engineering と入力します。[OK] をクリックします。

ステップ 3 [Add] を再度クリックして、Sales と入力して Sales カスタマイゼーション オブジェクトを作成します。[OK] をクリックします。

ステップ 4 [Apply] をクリックして、次のように新規のオブジェクトをセキュリティ アプライアンス コンフィギュレーションに追加します。

 

ステップ 5 カスタマイゼーション オブジェクトを編集します。テーブル内の新規のカスタマイゼーション オブジェクトをそれぞれ選択して、[Edit] をクリックします。ブラウザ ウィンドウで Customization Editor が起動します。

ステップ 6 カスタマイズする項目を選択して変更します。完了したら、[Save] をクリックします。

 


 

ロゴで使用する Web コンテンツのインポート

独自のカスタム ロゴを使用して、ポータル画面で表示されるロゴを変更できます。独自のロゴをインポートして、セキュリティ アプライアンスがそれを表示できるようにするには、次の手順を実行します。


ステップ 1 ロゴを Web コンテンツとしてインポートします。[Clientless SSL VPN Access] > [Portal] > [Web Contents] を選択します。

ステップ 2 [Import] をクリックします。ソース ファイルを指定します。[Destination] は、リモート ユーザに対して認証前や認証後にロゴが表示されるかどうかを決定します。

ステップ 3 [Import Now] をクリックします。[Web Contents] ペインで [Apply] をクリックします。

 

ステップ 4 カスタマイゼーション オブジェクト内でロゴを指定します。[Clientless SSL VPN Access] > [Portal] > [Customization] を選択します。

ステップ 5 カスタマイゼーション オブジェクトを編集して、ロゴを指定します。[Save] をクリックします。

 


 

接続プロファイルでのカスタマイゼーションの設定

Engineering および Sales に対して接続プロファイルのカスタマイゼーション オブジェクトを指定する必要があります。これにより、ポータルは別の接続プロファイルで接続している別のユーザ用にカスタマイズされるようになります。手順は次のとおりです。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] を選択します。

ステップ 2 [Engineering] 接続プロファイルを選択し、[Edit] をクリックします。

ステップ 3 左側のペインで、[Advanced] > [Clientless SSL VPN] を選択します。

ステップ 4 [Portal Page Customization] ドロップダウンでカスタマイゼーションが選択されることを確認します。

 


 

グループ ポリシーでのカスタマイゼーションの設定


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] を選択します。

ステップ 2 [Engineering] グループ ポリシーを選択して、[Edit] をクリックします。

ステップ 3 左側のペインで [More Options] > [Customization] を選択します。

ステップ 4 以前に作成した [Engineering] カスタマイゼーション オブジェクトを選択します。

 

ステップ 5 [OK] をクリックし、変更を適用します

ステップ 6 Sales グループ ポリシーについて同じ手順を実行します。


 

ドロップダウン メニューを使用したクライアントレス セッションの確立

この項では、以前に定義した Engineering および Sales グループ エイリアスを使用して、適切な接続プロファイルを選択させるドロップダウン メニューをユーザに表示する方法について説明します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > [Edit Clientless SSL VPN Connection Profile] を選択します。

ステップ 2 [Allow user to select connection, identified by alias in the table above, at login page] をオンにします。

ステップ 3 [Apply] をクリックします。

 

ステップ 4 VPN セッションを確立します(例: https://ip_address

ログイン ページで、Engineering グループおよび Sales グループを含むドロップダウン メニューが表示されます。

   

ステップ 5 [Engineering] グループを選択してポータルを確認します。作成したコンフィギュレーションにより、以下が表示されます。

Engineering グループのカスタマイゼーション。

特定の URL のリスト。

ACL 作成の結果の www.google.com のみへのアクセス。

ステップ 6 新規の接続を確立して、グループ Sales を選択します。さらにそのポータルを確認します。


 

グループ URL を使用した SSL VPN セッションの確立

「Engineering 接続プロファイルおよび Sales 接続プロファイルの設定」で、Engineering 接続プロファイルおよび Sales 接続プロファイルにグループ URL が設定されています。グループ URL には、次の利点があります。

URL のパス部分を論理的な任意のテキストにできます。

単一の接続プロファイルで、一意のグループ URL 文字列を複数設定できます。

グループ URL は、グループ エイリアスのようにはグループ名を公開しません。

グループ URL を使用しない場合は、https://<IP | FWDN.com> [path] を使用することにより、セキュリティ アプライアンスでは DefaultWEBVPNGroup 接続プロファイルでシステム デフォルト設定、および割り当てられたグループ ポリシー DfltGrpPolicy が使用されます。

グループ URL の動作確認を行うには、次の手順を実行します。


ステップ 1 https://<ip_address>/Engineering への VPN セッションを確立します

ステップ 2 作成したコンフィギュレーションにより、以下が表示されます。

Engineering グループのカスタマイゼーション。

特定の URL のリスト。

Webtype ACL 作成の結果の www.google.com のみへのアクセス。

ステップ 3 次の URL から Sales グループに接続して、そのポータルおよび属性を確認します。https://ip_address/Sales

シングル サインオンおよび URL の変数置換

この項では、URL の変数置換によるシングル サインオン(SSO)を設定する方法について説明します(マクロ置換とも呼ばれます)。これらの機能は、クライアントレス SSL VPN 接続でのみサポートされます。

URL の変数置換の概要:

コンフィギュレーションには多くの場合、たとえば URL リストまたはグループ URL で、ユーザ名およびパスワードを含む個人用リソースが必要です。URL の変数置換により、リモート ユーザはセッションの開始時にユーザ名およびパスワードのクレデンシャルを 1 回入力します。その後は、Citrix、OWA、Sharepoint、および内部ポータルなどの内部リソースに自動的にログインします。

Clientless SSL VPN は、次のマクロ置換をサポートしています。

CSCO_WEBVPN_USERNAME :ユーザ ログイン名

CSCO_WEBVPN_PASSWORD :ユーザ ログイン パスワードから取得

CSCO_WEBVPN_INTERNAL_PASSWORD :内部パスワード フィールドから取得。このフィールドはシングル サインオン操作のドメインとして使用できます。

CSCO_WEBVPN_CONNECTION_PROFILE:ユーザ ログイン グループ ドロップダウン(トンネル グループ エイリアス)

CSCO_WEBVPN_MACRO1:Radius または LDAP ベンダー固有属性によって設定

CSCO_WEBVPN_MACRO2:Radius または LDAP ベンダー固有属性によって設定

セキュリティ アプライアンスがこれらの文字列のいずれかをエンドユーザ要求で認識すると、リモート サーバに要求を渡す前に、その文字列はユーザ固有の値で置き換えられます。

たとえば、リンク(http://someserver/homepage/CSCO_WEBVPN_USERNAME.html)を含む URL リストは、セキュリティ アプライアンスによって、次の SSL VPN USER1 および USER2 のリンクに変換されます。

http://someserver/homepage/USER1.html

http://someserver/homepage/USER2.html


) プレーン テキストで(セキュリティ アプライアンスを使用せずに)HTTP Sniffer トレースを実行すると、任意のアプリケーションの http-post パラメータを取得できます。次のリンクから、無料のブラウザ キャプチャ ツールである HTTP アナライザを入手できます。http://www.ieinspector.com/httpanalyzer/downloadV2/IEHttpAnalyzerV2.exe


内部パスワード機能をイネーブルにするには、[Clientless SSL VPN Access] > [Connection Profiles] を選択して、次のように [Allow user to enter internal password at login page] をオンにします。

 

Outlook Web Access を使用した SSO の Post パラメータの設定

Exchange サーバがフォームベースの認証を使用している場合、SSO を設定する手順は、具体的な Outlook Web Access(OWA)の実装により異なります。ダイレクト ブラウザ キャプチャを分析することにより、必要な情報を取得できます。

Exchange 2003 以降のバージョンは、フォームベースの認証をサポートしていますが、Exchange 2000 はサポートしていません。SSL VPN OWA ブックマークの設定の例を次に示します。


ステップ 1 [Configuration] -> [Remote Access VPN] -> [Clientless] -> [Portal] -> [Bookmarks] を選択します。

ステップ 2 企業 OWA Server を含むブックマーク リストを選択して編集します。以前の課題で Engineering および Sales に対する、そのようなリストが作成されています。

ステップ 3 [Advanced Options] を選択して、次に [Post Parameters] セクションで [Add] を選択します。

ステップ 4 ダイレクト ブラウザ キャプチャを確認して、次の Post パラメータおよびユーザ名とパスワードを定義できるようにします。

 

次に、自動的にユーザ名とパスワードを入力するマクロの使用を含む例を示します。セキュリティ アプライアンスは、以下のように初回 SSL VPN ログイン時に指定されるログイン クレデンシャルを置き換えます。


) ユーザ名内のマクロは、ドメインの定義を使用してもしなくても機能します。


 

ステップ 5 クレデンシャルを求める OWA のプロンプトを表示せずに、ポータル ページへの接続およびブックマークの起動ができることを確認します。

Citrix を使用したシングル サインオンの Post パラメータの設定

次の手順では、Post パラメータを使用して、SSO とともに Citrix に対する新規のブックマーク エントリを作成します。


) 手順を実行する前に、http-watch のようなブラウザ キャプチャ ツールを使用して、指定するパラメータと値を理解します。



ステップ 1 [Clientless SSL VPN Access] > [Portal] > [Bookmarks] を選択します。

ステップ 2 ブックマーク リストを選択して、[Edit] をクリックします。[Edit Bookmark List] ウィンドウが開きます。

 

ステップ 3 [Add] をクリックして、Citrix に新規のブックマークを作成します。[Add Bookmark List] ウィンドウが開きます。

ステップ 4 [Bookmark List Name] の横のテキスト ボックスに、 MetaFrame などの名前を入力します。

ステップ 5 [Add] をクリックして、リストに挿入するエントリを作成します。[Add Bookmark Entry] ウィンドウが開きます。

ステップ 6 [Bookmark Title] テキスト ボックスに MetaFrame と入力します。

このリストにはエントリが 1 つしかないため、ブックマークのタイトルおよびリストは同じ名前になります。リスト名は、管理者が ASDM で使用するためのものです。ブックマーク タイトルはユーザのブラウザ ウィンドウに表示されます。

ステップ 7 [URL Value] の横にあるドロップダウン リストで [http] を選択して、テキスト ボックス内に Citrix ログイン URL を入力します。

ステップ 8 [URL Method] の横にある [Post] をクリックして、[Add] をクリックします。[Add Post Parameter] ウィンドウが開きます。

ステップ 9 各 Post パラメータで、[Name] および [Value] のテキストを次のように入力して、[OK] をクリックします。[Add Post Parameter] ウィンドウを再度開きます。


) ユーザ パスワードをセキュリティ アプライアンスの内部パスワードに置き換えるには、パスワード属性で CSCO_WEBVPN_PASSWORD ではなく CSCO_WEBVPN_INTERNAL_PASSWORD を使用します。


 

ステップ 10 各ウィンドウで [OK] をクリックします。ASDM により、新しく作成したブックマーク リストが [Bookmarks] ウィンドウに追加されます。

ステップ 11 次のように、Citrix アクセスを提供したい DAP およびグループ ポリシーそれぞれにブックマーク リストを割り当てます。

DAP:[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] を選択します。[DAP] をダブルクリックし、[Access Policy Attributes] 領域の [URL Lists] タブをクリックし、[Enable URL Lists] をオンにして、下のブックマーク リストの名前を選択し、[OK] をクリックします。

グループ ポリシー:[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] を選択します。グループ ポリシーをダブルクリックし、[Edit] > [Portal] をクリックし、[Bookmark List] の横にある [Inherit] をオフにして、隣接するドロップダウン リストからブックマーク リストを選択し、[OK] をクリックします。

ステップ 12 [Apply] をクリックして変更内容を実行コンフィギュレーションに保存します。

ステップ 13 クレデンシャルを求める Citrix のプロンプトを表示せずに、[Cisco Clientless SSL VPN] ページへの正常な接続およびブックマークの使用ができることを確認します。


 

Active Directory 属性マッピングによる SSO 置換

マクロ置換では Radius または LDAP サーバの値を使用することができ、その際、CSCO_WEBVPN_MACRO1 および CSCO_WEBVPN_MACRO2 マクロを使用します。

次に、SSL VPN クライアントレス セッションの認証中や許可中に、Active Directory/LDAP サーバの値によるマクロ置換を使用する例を示します。LDAP/AD サーバのフィールドを使用することで、この置換が実行されて、URL が示されます。その後 URL をポータル上のブックマークにマップします。

この例では、\\209.165.200.241 の値を持つ AD ユーザの [Title] パラメータは、cifs://209.165.200.241/tftpd ブックマークにマップされます。


) 任意の LDAP サーバを使用して LDAP 属性マッピングを実行できます。



ステップ 1 LDAP サーバで、ユーザ属性 [Title] に URL \\209.165.200.241\tftpd を入力します。

 

 

ステップ 2 ASDM で、[AAA Setup] > [LDAP Attributes Map] を選択します。[Add] をクリックします。次のように [Add LDAP Attribute Map] ウィンドウが表示されます。

 

ステップ 3 マクロの名前を入力して、[Map Name] タブをクリックします。

ステップ 4 カスタマー名を入力し、Cisco の名前の属性を選択して、[Add] をクリックします。

ステップ 5 [Configuration] > [Remote Access VPN] > [AAA Setup] > [AAA Server Groups] > [Edit AAA Server] を選択します。

ステップ 6 次のように、LDAP 属性マップを LDAP AD サーバに適用します。

 

 

ステップ 7 [Clientless SSL VPN Access] > [Portal] > [Bookmarks] を選択します。ブックマーク リストおよび [Edit] を選択します。[Edit Bookmark List] が表示されます。

ステップ 8 [Add] をクリックします。[Add Bookmark] リストが表示されます。次のようにブックマークの情報を入力します。

 

 

ステップ 9 クライアントレス SSL VPN セッションを確立して、ポータルにブックマークがあることを確認します。ブックマークをクリックして、指定したアドレス cifs://<IP address>/tftpd に移動することを確認します。下の例の画面では新規のリンクを示しています。

 

ファイル共有(CIFS)URL 置換

CIFS URL の変数置換を使用すると、より柔軟なブックマーク設定を行えます。

URL cifs://server/CSCO_WEBVPN_USERNAME を設定すると、セキュリティ アプライアンス はそれをユーザのファイル共有ホーム ディレクトリに自動的にマッピングします。この方法では、パスワードおよび内部パスワード置換も行えます。次に、URL 置換の例を示します。

cifs://CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server

cifs://CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server

cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server

cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server

cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server/CSCO_WEBVPN_USERNAME

cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server/CSCO_WEBVPN_USERNAME

クライアントレス接続によるスマート トンネルおよびプラグインを使用したアプリケーションへのアクセス

この項では、アプリケーションがクライアントレス SSL VPN 接続によるプラグインまたはスマート トンネルを使用してアクセスできるように、セキュリティ アプライアンスを設定する方法について説明します。 表 1 を使用すると、使用するアクセス方式の選択に役立ちます。

 

表 1 クライアントレス、プラグイン、およびスマート トンネルの使用上のガイドライン

トピック
クライアントレス SSL VPN
(コンテンツのリライトの使用)
Smart Tunnel
(コンテンツのリライトのバイパス)
プラグイン

推奨事項

ユーザ エクスペリエンスが不十分でないかぎり、すべての Web アプリケーションに使用します。ほとんどの管理者は、Citrix Presentation Server、OWA、または SharePoint を含むほとんどの Web アプリケーションにこの方式を選択します。

特定のアプリケーションと URL の両方、またはいずれかにクライアントレス接続上の問題が発生している場合、あるいは Microsoft RDP のような PC 上のネイティブ クライアント アプリケーションを使用する場合、スマート トンネルをイネーブルにします。

(注)スマート トンネルの URL をイネーブルにする場合、クライアント アプリケーションは必要ありません

ブラウザが、ブラウザ ウィンドウ内でクライアントをサーバに接続するような専用の機能を実行できるように、プラグインをインポートします。利用可能なプラグインには、SSH、RDP、VNC、および Citrix があります。

クライアントレス接続またはスマート トンネルがオプションでないときは、プラグインを使用します。

クライアント アプリケーションの必要の有無

 

 

 

ゲスト ユーザ アクセス権が OK

 

 

 

ステートフル フェールオーバー

 

IPv6 または Citrix 認証用ではない

 

 

相対的パフォーマンス

Lower

クライアントレスとプラグインの間

高い

プロキシ サーバに対するセッション サポート

 

 

 

Macro_Substitutions 変数

 

 

 

32 ビット Microsoft Windows オペレーティング システム(Vista、XP、および 2000)

 

 

 

Mac OS 10.4 および 10.5

 

 

 

テスト済み 32 ビット Linux

 

 

 

プラグイン

セキュリティ アプライアンスは、クライアントレス SSL VPN 接続の Java プラグインをサポートしています。プラグインは、ブラウザで動作する Java プログラムです。これらのプラグインには、SSH/Telnet、RDP、VNC、および Citrix があります。

シスコでは、GNU 一般公的使用許諾(GPL)に従い、変更を加えることなくプラグインを再配布しています。GPL により、これらのプラグインを直接改良できません。

プラグインを使用するには、Java ランタイム環境(JRE)1.4.2.x 以上をインストールする必要があります。また、次の URL で指定された互換性のあるブラウザも使用する必要があります。http://www.cisco.com/en/US/docs/security/asa/compatibility/asa-vpn-compatibility.html

プラグインの要件および制限事項


) SSH/Telnet、RDP、および VNC プラグインはそれぞれ、GNU 一般公的使用許諾に従い、変更を加えずに再配布されたオープン ソース クライアントです。このクライアントの入手元は、http://javassh.org/ です。


プラグインへのリモートアクセスを提供するには、セキュリティ アプライアンスでクライアントレス SSL VPN をイネーブルにする必要があります。

セキュリティ アプライアンスでクライアントレス セッションがプロキシ サーバを使用するように設定している場合、プラグインは機能しません。

リモートで使用するために必要な最低限のアクセス権は、ゲスト特権モードに属しています。リモート コンピュータ上に必要な Java のバージョンは、プラグインによって自動的にインストールまたは更新されます。

ステートフル フェールオーバーが発生すると、プラグインを使用して確立されたセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

リモート ユーザが Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用して接続するセキュリティ アプライアンス インターフェイスに SSL 証明書をインストールします。


) SSL 証明書の 一般名(CN)として IP アドレスを指定しないでください。リモート ユーザは、セキュリティ アプライアンスと通信するために FQDN の使用を試行します。リモート PC は、DNS または System32\drivers\etc\hosts ファイル内のエントリを使用して、FQDN を解決できる必要があります。


プラグインのインポート

プラグインは、ASA に事前にインストールされていません。プラグインを使用する前に、プラグインをセキュリティ アプライアンスにインポートする必要があります。

プラグインをインポートするには、次の手順を実行します。


ステップ 1 シスコが公開した最新のプラグインをダウンロードします。次の URL から入手できます。http://www.cisco.com/cgi-bin/tablebuild.pl/asa

ステップ 2 プラグインをインポートするには、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Client-Server Plug-ins] を選択します。

 

ステップ 3 [Import] をクリックします。

ステップ 4 [Plug-in Name] ドロップダウン リストからプラグイン プロトコルを選択します。

ステップ 5 [Browser Local Files] をクリックして、ダウンロードしたプラグインを選択し、[Select] をクリックします。

ステップ 6 [Import] をクリックします。

ステップ 7 [Information] ウィンドウが開いたら、[OK] をクリックします。


 

ブックマークとして表示するためのプラグインの設定

プラグインにブックマークを事前定義して、さらにグループ ポリシーまたは DAP にブックマークを割り当てるには、次の手順を実行します。


) この手順の代わりに、後述の「プラグインの使用方法」の項の 1 つの手順を実行して、[Cisco Clientless SSL VPN] ページの [Address] フィールドに URL を入力することができます。ただし、シングル サインオン(SSO)を使用する場合は、ユーザは [Cisco Clientless SSL VPN] ページで SSO 対応 URL を入力できないため、この手順を使用する必要があります。



ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] を選択します。

ステップ 2 テストするためにグループ ポリシーまたは DAP に割り当て済みのブックマーク リストを選択して、[Edit] をクリックするか、割り当て済みでない場合は [Add] をクリックして新規のブックマーク リストを作成します。

 

ステップ 3 ブックマーク リストが新規の場合は名前を付けます。

ステップ 4 [Add] をクリックして、プラグインによりアクセスされるサーバを識別するエントリを追加します。

ステップ 5 次のパラメータに値を割り当てます。

[Bookmark Title]:Cisco Clientless SSL VPN ブラウザ ウィンドウに表示されるブックマークの名前を入力します。

[URL Value](ドロップダウン リスト):http、https、cifs、ftp、ssh、telnet、または vnc を選択してサーバへのアクセスに使用されるプロトコルを指定します。

[URL Value](テキスト ボックス):指定したい任意のパラメータとともにサーバの URL を入力します。


) プラグインのパラメータを表示するには、セキュリティ アプライアンスとのクライアントレス SSL VPN セッションを確立し、プラグイン プロトコルに関連付けられたメニュー オプションをクリックします。ページの右側にヘルプが表示されます。(ヘルプを表示するためにブックマークを設定する必要はありませんが、ヘルプを表示するにはプラグインを実行コンフィギュレーションに追加する必要があります)。後述の「プラグインの使用方法」の項の手順でも基本的な構文のガイドラインを説明しています。


ヘルプを参照せずにプラグインを追加する場合は、次の URL のリストを参照してください。イタリック体で示されるテキストをネットワーク上のサーバの名前と置き換えます。

SSO を使用しない RDP: terminal-server /?geometry=1024X800&FullScreen=true

SSH: ssh-server

VNC: vnc-server :5500/?Compression level=1&JPEG image quality=9

すべてのプラグインは、シングル サインオン(SSO)をサポートします。ブックマークでサポートするようにしたい場合は、パラメータ csco_sso=1 を入力します。たとえば、次の RDP URL は SSO をサポートします。

terminal-server /?geometry=1024X800&FullScreen=true&csco_sso=1

(注) プラグインは、Macro_Substitutions 変数をサポートしていません。

ステップ 6 [OK] をクリックして、ブックマーク リストにエントリを追加し、再度 [OK] をクリックします。

ステップ 7 次のように、ブックマーク アクセスを提供したい DAP およびグループ ポリシーそれぞれにブックマーク リストを割り当てます。

DAP:[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] を選択します。[DAP] をダブルクリックし、[Access Policy Attributes] 領域の [URL Lists] タブをクリックし、[Enable URL Lists] をオンにして、下のブックマーク リストの名前を選択し、[OK] をクリックします。

グループ ポリシー:[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] を選択します。グループ ポリシーをダブルクリックし、[Edit] > [Portal] をクリックし、[Bookmark List] の横にある [Inherit] をオフにして、ドロップダウン リストからブックマーク リストの名前を選択し、[OK] をクリックします。

ステップ 8 [Apply] をクリックして変更内容を実行コンフィギュレーションに保存します。


 

SSH プラグインの使用方法

SSH プラグインを使用するには、次の手順を実行します。


ステップ 1 Java ランタイム(JRE)キャッシュをクリアします。

ステップ 2 クライアントレス SSL VPN セッションを開始します。

ステップ 3 SSH リンクをクリックしてプラグインが開始していることを確認するか、[Address] フィールドに URL を手動で入力します。URL の手動入力では、基本の SSH URL は、ssh:// server です。また基本の SSH URL は telnet:// server です。コンピュータに物理アクセスできる人にフル コンピュータ名を問い合わせることができます。Windows では、次の場所でこの名前を確認できます。

[Start] >([Settings] >)[Control Panel] > [Performance and Maintenance] > [System] > [Computer Name] タブ。

基本の URL に加え、次の追加のパラメータを server:port/?parameters 形式で追加することもできます。

port (オプション):接続するホスト コンピュータの仮想アドレス。

parameters(オプション):この形式でのパラメータ/値ペアのクエリー文字列。

server:port/?Parameter1=value&Parameter2=value&Parameter3=value

) URL 構文については、左側のメニューで [Telnet/SSH Servers] をクリックします。


確立したいそれぞれの追加 SSH セッションに対して、[Click here if you want to open another window with the Cisco Clientless SSL VPN page] をクリックしてから、SSH リンクを再度クリックします。


 

RDP プラグインの使用方法

RDP プラグインを使用するには、次の手順を実行します。


ステップ 1 Java ランタイム(JRE)キャッシュをクリアします。

ステップ 2 クライアントレス SSL VPN セッションを開きます。

ステップ 3 RDP リンクをクリックしてプラグインが開始することを確認するか、[Address] フィールドに URL を手動で入力します。

基本の URL は、次の URL になります。rdp://terminal-server/?geometry=1024X800&FullScreen=true


) クライアントレス SSL VPN セッションを開いて、左側のメニューで [Terminal Servers] アイコンをクリックすると、このプラグインのヘルプおよびすべての関連するパラメータが右ペインに表示されます。


Microsoft Internet Explorer が使用する ActiveX クライアントで使用可能なパラメータには次のものがあります。

RedirectDrives:リモート ドライブをローカルにマップするには、true に設定します。

RedirectPrinters:リモート プリンタをローカルにマップするには、true に設定します。

FullScreen:FullScreen モードで開始するには、true に設定します。

force_java:Java クライアントを強制実行するには、yes に設定します。

中間ウィンドウが開き、次にクライアントのポップアップ ウィンドウが表示されます。中間ウィンドウを閉じないでください。または作業が終了するまでメインページに戻ってください。そうしない場合ポップアップ ウィンドウが閉じられます。

ステップ 4 必要な場合はユーザ クレデンシャルを入力して、プラグインがターミナル サーバに接続していることを確認します。

プラグインは、Microsoft ActiveX コントロールおよび Java モードの両方をサポートしています。セキュリティ アプライアンスはまず、Microsoft Internet Explorer が使用する ActiveX を使用したプラグインを開始しようとします。ActiveX が失敗した場合、Mozilla Firefox が使用する Java がプラグインを開始します。


 

スマート トンネル

スマート トンネル機能では、winsock2 TCP アプリケーションだけがネットワークのプライベート側へのプロキシ ゲートウェイとして、セキュリティ アプライアンスを使用できます。スマート トンネルを介して動作するアプリケーションの例には、Telnet、パッシブ FTP、Outlook Express、Sametime、SSH、RDP、および VNC があります。


) スマート トンネルを使用するたびに CSD キャッシュクリーナをイネーブルにすることを推奨します。キャッシュクリーナは、ブラウザのキャッシュ内のすべての機密情報を削除し、ユーザがすべてのブラウザ ウィンドウを閉じた後でユーザをログアウトします。


スマート トンネルの要件

スマート トンネルを使用するには、次のものが必要です。

ActiveX または Java のいずれか および JavaScript を使用するブラウザ。

32 ビットのオペレーティング システムのみ(64 ビット OS 上で 32 ビットアプリケーションを使用することはできません)。

Microsoft Windows XP、2000、または Vista。Vista では、Internet Explorer 保護モードからスマート トンネルを開始している場合、セキュリティ アプライアンスは信頼ゾーンにある必要があります。

セキュリティ アプライアンスへの接続にプロキシが必要な場合は、基本認証のみがサポートされます。また、リモート エンド(プライベート側、セキュリティ アプライアンスではない)は、除外されるリストにある必要があります(または、プロキシ アドレスではなく通常のアドレスによってリモート エンドに接続するように、アプリケーションを設定する必要があります)。


) スマート トンネルは、Microsoft Exchange による MAPI をサポートしていません。


スマート トンネル機能は、すべての接続を代行受信し、以下への接続を除いてそれらをセキュリティ アプライアンスにリダイレクトします。

セキュリティ アプライアンス(リダイレクトが無意味)。

プロキシ(エンドポイントはプロキシを経由せずにセキュリティ アプライアンスに接続できない場合があるため、代替手段はスマート トンネル内でプロキシを実装することで、そのサイズは非常に大きくなります)。

ローカル ホスト。

プロキシへの接続はリダイレクトされません。スマート トンネルがアプリケーションへの接続を代行受信およびリダイレクトするには、アプリケーションはプロキシ アドレスではなく、ターゲット アドレスにコール接続する必要があります。アプリケーションがプロキシに接続している場合、アプリケーションはプロキシの設定を認識していると考えられるため、Internet Explorer プロキシ例外リストを認識していることも考えられます。したがって、Internet Explorer プロキシ例外リストにターゲット アドレスを挿入することを推奨します。

Web アプリケーション用スマート トンネルの使用方法

アプリケーションがクライアントレス リライタ経由でうまく表示されない場合、アプリケーションのブックマークを変更して、そのブックマーク用のスマート トンネルをイネーブルにできます。これには、追加の CLI コマンドは必要ありません。新しいウィンドウ内でブックマークを開くことが最も簡単な方法です。スマート トンネル機能を使用して、そのアプリケーションのトラフィックを通過させ、リライトの問題を回避します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] を選択します。

 

ステップ 2 [Add] をクリックしてブックマーク リストを作成し、 Engineering または Sales と名前を付けます。

ステップ 3 [Add] をクリックして、[Add Bookmark Entry] ペインを開きます。

ステップ 4 ブックマーク エントリを設定し、[Advanced Options] をクリックします。

ステップ 5 [Enable Smart Tunnel Option] をクリックします。

ステップ 6 [OK] を 2 回クリックし、次に [Apply] をクリックして変更内容を実行コンフィギュレーションに保存します。

ステップ 7 クライアントレス SSL セッションを確立して、スマート トンネル対応のブックマークをクリックします。

アプリケーションは新しいブラウザ ウィンドウで開きます。


 

ブラウザベースではないアプリケーション用のスマート トンネルの設定

あるアプリケーションをサポートするようにスマート トンネル機能を設定するには、どのプロセスがアプリケーションを実行しているかを理解する必要があります。たとえば、RDP はプロセス mstsc.exe を使用するため、RDP 用のスマート トンネル エントリを作成する際にそのプロセスの名前を指定する必要があります。


) 複雑なアプリケーションでは複数のプロセスが必要な場合があります。一部のプロセスには親プロセスがあり、アプリケーションには親プロセスも必要です。Telnet などの Windows のコマンド ウィンドウから開始されるアプリケーションでは、cmd.exe プロセスへの Telnet アクセスが必要です。例で使用されるアプリケーション以外のアプリケーションを選択する場合は、処理を開始する前に、スマート トンネル機能が開始するアプリケーションのプロセスを識別するためのユーティリティを使用することを推奨します。


次の例では、RDP をサポートするようにスマート トンネル機能を設定します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を選択します。

 

ステップ 2 [Add] をクリックします。[Add Smart Tunnel List] ウィンドウが開きます。

ステップ 3 [List Name] テキスト ボックスに、 Engineering などのリスト名を入力して、[Add] をクリックします。[Add Smart Tunnel Entry] ウィンドウが開きます。

ステップ 4 [Application ID] テキスト ボックスに、[RDP] を入力します。

ステップ 5 [Process Name or Full Path] テキスト ボックスに、 mstsc.exe を入力します。

ステップ 6 [OK] をクリックして、リストにエントリを挿入します。

ステップ 7 アプリケーションに必要なそれぞれの追加プロセスに、エントリをさらに追加して、アプリケーション ID に同じ値を使用します。

ステップ 8 [OK] をクリックしてリストを挿入し、次に [Apply] をクリックしてそのリストを実行コンフィギュレーションに保存します。


 

スマート トンネル リストのグループ ポリシーへの割り当て

グループ ポリシーがスマート トンネル リストを指定して、セキュリティ アプライアンスがポリシーをクライアントレス セッションに割り当てている場合、リストで指定されたアプリケーションはセッションで利用可能になります。したがって、スマート トンネル機能の設定を完了するには、スマート トンネル アクセスを提供したいユーザに適用される任意のグループ ポリシーにスマート トンネル リストを割り当てる必要があります。次のように実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] を選択します。

 

ステップ 2 スマート トンネル アクセスを提供したいポリシーを選択して、[Edit] をクリックします。[Edit Internal Group Policy] ウィンドウが開きます。

ステップ 3 左側メニューの [Portal] オプションをクリックします。

ステップ 4 [Smart Tunnel List] の横の [Inherit] をオフにします。

ステップ 5 隣接するドロップダウン メニューから以前に作成したスマート トンネル リストを選択します。

ステップ 6 ユーザのログイン時にスマート トンネル アクセスを自動的に開始する場合は、[Auto Start] をオンにします。または、オフのままにして、スマート トンネル機能が動作するように [Cisco Clientless SSL VPN] ページでユーザに [Application Access] > [Start Smart Tunnels] をクリックするように要求します。

ステップ 7 [OK] をクリックし、次に [Apply] をクリックして変更内容を実行コンフィギュレーションに保存します。


 

スマート トンネルの使用方法

[Auto Start] オプションがオンになっている場合にスマート トンネル機能を使用するには、クライアントレス SSL セッションを確立してから、アプリケーションをブラウザの外側から開始します。たとえば、クライアントレス SSL 接続を介して RDP セッションを開始するには、クライアント PC で Remote Desktop Connection をネイティブに開始します。

[Auto Start] オプションがオフになっている場合にスマート トンネル機能を使用するには、次の手順を実行します。


ステップ 1 次のようにクライアントレス SSL セッションを確立します。

ブラウザのアドレス フィールドに完全修飾ドメイン名(FQDN)を入力し(http:// fqdn など)、次にスマート トンネル リストを割り当てたグループ ポリシーに関連付けられているログイン クレデンシャルを入力します。

FQDN を入力し、続けて「Admins」を入力して(「Admins」は大文字と小文字が区別されます。http:// fqdn /Admins など)、次に管理者のログイン クレデンシャルを入力して、セキュリティ アプライアンスで設定されたポリシーの集約を受信します。

ステップ 2 [Application Access] をクリックします。

ステップ 3 [Start Smart Tunnel] をクリックします。

 

 

ステップ 4 確認プロンプトへの応答で [Yes] をクリックします。

[Start Smart Tunnel] ボタンは、テキスト「Smart Tunnel has been started」に変わります。またリストはネットワークのプライベート側に接続できる適格なアプリケーションを示します。

ステップ 5 ブラウザの外側からアプリケーションを開始します。たとえば、サーバへのトンネルを介して RDP セッションを開始するには、クライアント PC で Remote Desktop Connection をネイティブに開始します。


 

ダイナミック アクセス ポリシー(DAP)

VPN ポリシー用の DAP の使用方法(Cisco Secure Desktop でないもの)

この項では、基本的なダイナミック アクセス ポリシー(DAP)を設定し、テストします。セキュリティ アプライアンスは、複数の DAP レコードから ACL および URL リストなどの DAP アクセス属性を組み合わせるか集約し、次にそれらをユーザ セッションに適用します。

8.0.x では、一部の VPN の許可/実施属性は DAP で設定できません。このため、セキュリティ アプライアンスは DAP レコードおよびグループ ポリシー属性の集約として VPN ポリシー全体を適用します。

現在の VPN ポリシーの実施/許可基準は、http://www.cisco.com/en/US/partner/docs/security/asa/asa80/configuration/guide/extsvr.html の「Understanding Policy Enforcement of Permission and Attributes」の項で定義されています。次に要約を示します。

セキュリティ アプライアンスは、次の順序で属性を適用します。

1. ダイナミック アクセス ポリシー属性:他のすべての属性に優先します。

2. ユーザ属性:AAA サーバは、ユーザ認証またはユーザ認可の成功後にこれらの属性を返します。

3. グループ ポリシー属性:これらの属性は、ユーザに関連付けられたグループ ポリシーから取得されます。ローカル データベース内のユーザ グループ ポリシー名は、vpn-group-policy 属性で識別されるか、または RADIUS/LDAP サーバからのユーザ グループ ポリシー名は OU=GroupName の RADIUS CLASS 属性(25)の値で識別されます グループ ポリシーにより、DAP またはユーザ属性から欠落しているすべての属性が提供されます。

4. 接続プロファイル(トンネル グループ)の default-group-policy 属性:これらの属性は、接続プロファイルに関連付けられたデフォルト グループ ポリシーから取得されます。このグループ ポリシーにより、DAP、ユーザ、またはグループ ポリシーから欠落しているすべての属性が提供されます。

5. システム デフォルト属性:システム デフォルト属性により、DAP、ユーザ、グループ ポリシー、または接続プロファイルから欠落しているすべての値が提供されます。

6. セキュリティ アプライアンスが複数のソースから属性を受信すると、それらの属性は集約され、ユーザ ポリシーに適用されます。外部の AAA サーバ、およびグループ ポリシーから取得した属性の間で衝突がある場合、DAP から取得した属性が常に優先されます。

グループ ポリシーの代わりに DAP を使用する利点

DAP を使用すると、次のものが実現します。

AAA またはエンドポイント アクセス属性に基づく柔軟な VPN ポリシーの選択基準。

Active Directory 属性とのより強固な統合(例:memberOf)。

複数の DAP ポリシーの集約。

Engineering 用の DAP の作成

Engineering ユーザ用の DAP を作成するには、次の手順を実行します。


ステップ 1 以前に設定した、各グループ ポリシーからブックマーク リストの割り当てを削除し、また各 DAP から URL リストの割り当てを削除します。


) ローカル AAA サービスを設定して、このセキュリティ アプライアンスでテストするために実行できます。


ステップ 2 以前に設定した Active Directory サーバを使用して、LDAP 認証および許可のための Engineering 接続プロファイルを設定します。

ステップ 3 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] を選択します。

ステップ 4 [Add] をクリックします。

 

ステップ 5 次に、[Policy Name] テキスト ボックスに Engineering と入力します。

次の手順で、この DAP が 2 つの Active Directory グループ(Employees および Engineering)に適用する対象のユーザを割り当てる方法を示します。

ステップ 6 ウィンドウの左側の [AAA] セクションで、[Add] をクリックして次のパラメータを設定します。

[AAA Attribute Type]:[LDAP]

[Attribute ID]:memberOf

[Value](ドロップダウン リスト):[=]

[Value](テキスト ボックス):Employees


) これらの手順では、リモート認証を使用しているものとします。ローカル認証(つまり、このセキュリティ アプライアンスで設定された認証)を使用している場合は、[AAA Attribute Type] の横にある [Cisco] を選択して、セキュリティ アプライアンス コンフィギュレーションの値と一致するように値を入力します。ステップ 9 に進みます。


ステップ 7 [OK] をクリックします。

ステップ 8 別の AAA 属性レコードを同じ値を使用して DAP に追加します。ただし、[Value] テキスト ボックスには Engineering と入力します。

 

ステップ 9 次のテーブルを使用して、ウィンドウの [Access Policy Attributes] 領域に値を入力します。

 

表 2 Engineering の DAP ポリシー用の [Access Policy Attributes] の設定項目

タブ
属性

Action

Action

Continue

Action

User Message

Welcome to the Engineering DAP policy!

Web-Type ACL Filters

Web-Type ACL

Engineering(選択してから、[Add] をクリックします)

Functions

Entry

Disable

Lists

Enable lists(チェックボックス)

Check

Lists

Enable lists ドロップダウン リスト

Engineering(選択してから、[Add] をクリックします)

Access Method

Access Method

AnyConnect Client

ステップ 10 [OK] をクリックし、次に [Apply] をクリックして変更内容を実行コンフィギュレーションに保存します。


 

Engineering 用の DAP の確認

Engineering 用の DAP を確認するには、次の手順を実行します。


ステップ 1 https://IP_FQDN/Engineering へのクライアントレス SSL VPN セッションを確立します。

ステップ 2 次の点を確認します。

ブックマークとして設定されたリンクだけが、Engineering 用の [Cisco Clientless SSL VPN] ページに表示される。

アドレス バーに、URL を入力できない。リンクだけが表示されます。

 


 

Sales 用の DAP の作成

Sales ユーザ用の DAP を作成するには、次の手順を実行します。


ステップ 1 以前に設定した、各グループ ポリシーからブックマーク リストの割り当てを削除し、また各 DAP から URL リストの割り当てを削除します。

ステップ 2 以前に設定した Active Directory サーバを使用して、LDAP 認証および許可のための Sales 接続プロファイルを設定します。


) ローカル AAA サービスを設定して、このセキュリティ アプライアンスでテストするために実行できます。


ステップ 3 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] を選択します。

ステップ 4 [Add] をクリックします。

ステップ 5 [Policy Name] テキスト ボックスに Sales と入力します。

次の手順で、この DAP が 2 つの Active Directory グループ(Sales および Employees)に適用する対象のユーザを割り当てる方法を示します。

ステップ 6 ウィンドウの左側の [AAA] セクションで、[Add] をクリックして次のパラメータを設定します。

[AAA Attribute Type]:[LDAP]

[Attribute ID]:memberOf

[Value](ドロップダウン リスト):[=]

[Value](テキスト ボックス):Sales


) これらの手順では、リモート認証を使用しているものとします。ローカル認証(つまり、このセキュリティ アプライアンスで設定された認証)を使用している場合は、[AAA Attribute Type] の横にある [Cisco] を選択して、セキュリティ アプライアンス コンフィギュレーションの値と一致するように値を入力します。ステップ 9 に進みます。


ステップ 7 [OK] をクリックします。

ステップ 8 別の AAA 属性レコードを同じ値を使用して DAP に追加します。ただし、[Value] テキスト ボックスには Employees と入力します。

ステップ 9 次のテーブルを使用して、ウィンドウの [Access Policy Attributes] 領域に値を入力します。

 

表 3 Sales の DAP ポリシー用の [Access Policy Attributes] の設定項目

タブ
属性

Action

Action

Continue

Action

User Message

Welcome to the Sales DAP policy!

Web-Type ACL Filters

Web-Type ACL

Sales(選択してから、[Add] をクリックします)

Functions

File Browsing

Disable

Lists

Enable lists(チェックボックス)

Check

Lists

Enable lists ドロップダウン リスト

Sales(選択してから、[Add] をクリックします)

Access Method

Access Method

Web-Portal

ステップ 10 [OK] をクリックし、次に [Apply] をクリックして変更内容を実行コンフィギュレーションに保存します。


 

Sales 用の DAP の確認

Sales ユーザ用の DAP を確認するには、次の手順を実行します。


ステップ 1 https://IP_FQDN/Sales へのクライアントレス SSL VPN セッションを確立します。

ステップ 2 開いている Sales ポータルで次のことを確認します。

アドレス バーを使用して、URL を入力できる。

ブラウズしようとすると、ファイル共有(たとえば、CIFS://<file-share>)が失敗する(file-browsing がこのポリシーでディセーブルになっているため)。

ブラウズしようとすると、Engineering が失敗する(Web-type ACL がアクセスを拒否するため)。

 


 

Administrators 用の DAP の作成:複数の DAP の集約の例

この項では、Administrators、Engineering、Sales、および Employees の Active Directory グループに属するユーザ用に DAP を設定する方法を説明します。結果として作成された DAP は、Administrators、Engineering、および Sales の DAP ポリシーの集約で、リスト、ACL、およびその他の属性が含まれます。

管理者用の DAP を作成するには、次のステップを実行します。


ステップ 1 以前に設定した、各グループ ポリシーからブックマーク リストの割り当てを削除し、また各 DAP から URL リストの割り当てを削除します。

ステップ 2 以前に設定した Active Directory サーバを使用して、LDAP 認証および許可のための Administrators 接続プロファイルを設定します。


) ローカル AAA サービスを設定して、このセキュリティ アプライアンスでテストするために実行できます。


ステップ 3 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] を選択します。

ステップ 4 [Add] をクリックします。

ステップ 5 [Policy Name] テキスト ボックスに Administrators と入力します。

次の手順で、この DAP が 3 つの Active Directory グループ(Administrators、Sales および Employees)に適用する対象のユーザを割り当てる方法を示します。

ステップ 6 [AAA Attribute Type] が [LDAP] で [Attribute ID] が [memberOf] で構成される、[Value] が [Administrators] の AAA 属性レコードを追加します。他に [Engineering] 用、[Sales] 用、最後に [Employees] 用の AAA 属性レコードを追加します。


) この手順では、リモート認証を使用しているものとします。ローカル認証(つまり、このセキュリティ アプライアンスで設定された認証)を使用している場合は、代わりに [AAA Attribute Type] の横にある [Cisco] を選択して、セキュリティ アプライアンス コンフィギュレーションの値と一致するように値を入力します。


ステップ 7 [OK] をクリックし、次に [Apply] をクリックして変更内容を実行コンフィギュレーションに保存します。


 

複数の DAP 集約の確認

管理者用の DAP を確認するには、次の手順を実行します。


ステップ 1 https://IP_FQDN/Admins へのクライアントレス SSL VPN セッションを確立します。

Administrators ポータルが開きます。

ステップ 2 リストが Engineering、Sales、および Administrators の DAP の集約であることを確認します。

 


 

Cisco Secure Desktop と DAP の統合

この項では、Cisco Secure Desktop と DAP の使用方法について説明します。

Cisco Secure Desktop のインストールとイネーブル化

Cisco Secure Desktop Release 3.2.1 には ASA Release 8.0(3) が必要です。Cisco Secure Desktop をインストールまたはアップグレードした後に、セキュリティ アプライアンスを再起動する必要はありません。ただし、Secure Desktop Manager にアクセスするには、ASDM 接続を終了して再開する必要があります。

Cisco Secure Desktop をインストールしてイネーブルにするには、次の手順を実行します。


) 必ず Advanced Endpoint Assessment ライセンスをインストールしてください。



ステップ 1 ブラウザを使用して、次の URL から使用中の PC の「My Documents」に securedesktop.pkg をダウンロードします。

http://www.cisco.com/cgi-bin/tablebuild.pl/securedesktop

ステップ 2 セキュリティ アプライアンスとの ASDM セッションを確立します。

ステップ 3 [Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Setup] を選択します。

 

ステップ 4 [Upload] をクリックして、ローカル PC からセキュリティ アプライアンスに Cisco Secure Desktop ソフトウェアのコピーを転送する準備を行います。

ステップ 5 [Browse Local Files] をクリックして、ローカル PC 上のファイルを選択します。

ステップ 6 でダウンロードした securedesktop.pkg を選択して、[Select] をクリックします。

ステップ 7 [Browse Flash] をクリックして、[File Name] フィールドにアップロード中の securedesktop.pkg ファイルの名前を入力して、[OK] をクリックします。

ステップ 8 [Upload File] をクリックします。

ステップ 9 [OK] をクリックします。

[Use Uploaded Image] ダイアログボックスに次のメッセージが表示されます。

「Use disk0:/securedesktop.pkg as your new current image?」

ステップ 10 [OK] をクリックします。

ステップ 11 [Enable Secure Desktop] をオンにします。

ステップ 12 [Apply] をクリックします。

[ASDM Restart Confirmation] ウィンドウに次のメッセージが表示されます。

「The Secure Desktop image is successfully updated.The new features can be accessed after ASDM is restarted.」

ステップ 13 [File] > [Save Running Configuration to Flash] を選択します。

ステップ 14 続行する前に ASDM セッションを閉じて再開します。


 

Cisco Secure Desktop プリログイン ポリシー チェック

プリログイン ポリシー機能を使用して、ユーザがセキュリティ アプライアンスと接続を確立してからログイン クレデンシャルを入力するまでの間に実行されるチェックを指定できます。これらのチェックでは、プリログイン ポリシーを割り当てるかどうか、またはリモート ユーザに対してログイン拒否メッセージを表示するかどうかが決定されます。一致したプリログイン ポリシーの設定によって、Secure Desktop、Cache Cleaner、またはホスト スキャンのみのどれをロードするかが決定されます。ダイナミック アクセス ポリシー(DAP)にプリログイン ポリシーが適用され、接続に適用されるアクセス権と制約が決定されます。

リモート PC がリモート VPN 接続の確立を試行すると、Cisco Secure Desktop は、設定した条件を自動的にチェックして、チェックの結果に関連するプリログイン ポリシーの属性設定を接続に割り当てるか、ログイン拒否メッセージを発行します。

次のチェックを使用できます。

レジストリ キーのチェック

ファイルのチェック

証明書のチェック

OS バージョンのチェック

IP アドレスのチェック

次に、ファイルの存在に基づくチェックを開始する例を示します。プリログイン チェックの結果によって、接続が Secure Vault(企業以外の資産)をロードするか、ホスト スキャン(企業資産)だけを実行するか決定されます。


) PC の C:\ directory で、ファイル test.txt を作成します。



ステップ 1 コンフィギュレーションに存在するプリログイン評価を表示するには、[Secure Desktop Manager] > [Prelogin Policy] を選択します。

 

ステップ 2 [+] アイコンをクリックします。

ステップ 3 [Check] ドロップダウン メニューで、[File Check] を選択して [Add] をクリックします。

 

ステップ 4 [File Path] フィールドに、 C:\test.txt と入力して [Update] をクリックします。

 

ステップ 5 [Default] アイコンをクリックして [Default] ロケーションの名前を「corporate」に変更し、[Label] テキスト ボックスに corporate と入力します。このプリログイン ポリシーは、企業資産を識別するものです。

 

ステップ 6 [Update] をクリックします。

ステップ 7 [Login denied] をクリックして、このエンド ノード用のダイアログボックスを開きます。

 

ステップ 8 [Policy] をクリックして、[Label] テキスト ボックスに non-corporate と入力します。

ステップ 9 [Update] をクリックします。

 

左側メニューの [Prelogin Policy] の下で、[corporate] アイコンをクリックします。

ステップ 10 [Cache Cleaner] をオフにし、[Secure Desktop] もオフになっていることを確認します。そうすると、企業資産でホスト スキャンだけが実行されます。

ステップ 11 [non-corporate] アイコンをクリックし、[Secure Desktop] をチェックして企業以外の資産で Secure Desktop を実行します。

ステップ 12 [Apply All] をクリックします。

ステップ 13 PC の C:\ ドライブに test.txt ファイルを作成し、企業コンピュータのプリログイン ポリシーをテストします。

接続時に、PC ではホスト スキャンだけが実行されています。

ステップ 14 test.txt ファイルを削除して、今度は企業以外のコンピュータのプリログイン ポリシーをテストするために再度試行します。

接続時に、PC では Secure Desktop が実行されています。

AnyConnect およびクライアントレス SSL VPN アクセス用の DAP の設定

1 つの DAP を設定して、企業コンピュータの AnyConnect アクセスをサポートすることができます。また、別の DAP を設定して企業以外のコンピュータのクライアントレス SSL VPN アクセスのみをサポートすることができます。

この項では、すでに Cisco Secure Desktop を使用して、以前の項の説明に従って企業、および企業以外のコンピュータ用の別のプリログイン ポリシーを作成しているものとします。企業、および企業以外のコンピュータの DAP を設定するには、次の手順を実行します。


) 次の手順を開始する前に、AnyConnect をインストールします。



ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] を選択します。

 

ステップ 2 [Add] をクリックします。

ステップ 3 [Policy Name] テキスト ボックスに corporate と入力します。

ステップ 4 ウィンドウの右側にあるエンドポイントの属性のセクションで、[Add] をクリックします。

ステップ 5 [Endpoint Attribute Type] のドロップダウン メニューで、[Policy] を選択します。

ステップ 6 [Location] を Cisco Secure Desktop で以前に作成した corporate ロケーションと同じにしてください。

ステップ 7 [OK] をクリックします。

ステップ 8 [Edit Dynamic Access Policy] ペインの [Access Policy Attributes] セクションの [Access Methods] タブで、[AnyConnect Client] をクリックします。

 

ステップ 9 [OK] をクリックします。

ステップ 10 これらの手順を繰り返して、企業以外のコンピュータに別の DAP を作成します。


) [Add Endpoint Attribute] ウィンドウで [Location] 属性を [non-corporate] に設定します。


 

ステップ 11 [Access Method] を [Web-Portal] に設定します。

ステップ 12 [OK] をクリックし、次に [Apply] をクリックして変更内容を実行コンフィギュレーションに保存します。

ステップ 13 PC の C:\ ドライブに test.txt ファイルを作成し、企業コンピュータの DAP をテストします。AnyConnect を開始するか、クライアントレス SSL VPN セッションを確立し、[AnyConnect] メニュー オプションをクリックしてから、[Start AnyConnect] をクリックします。

ステップ 14 test.txt ファイルを削除して、今度は企業以外のコンピュータの DAP をテストするために再度試行します。

接続プロファイルは、すべての VPN トンネリング プロトコル(AnyConnect およびクライアントレス SSL)を許可するように設定されていますが、DAP の値が優先されます。企業資産は AnyConnect(フル トンネリング)アクセスが可能ですが、企業以外の資産はクライアントレス アクセスしかできません。


 

Advanced Endpoint Assessment による修復

Advanced Endpoint Assessment は、選択基準に基づいて特定のアンチウイルス、アンチスパイウェア、およびファイアウォールなどのアプリケーションの自動修復を試みます。Advanced Endpoint Assessment によりサポートされる修復プロセスは独立したもので、基本ホスト スキャンおよびエンドポイント アセスメントに加え Cisco Secure Desktop により実行されます。したがって、修復が失敗した場合、またはユーザが修復をキャンセルした場合は、DAP を使用してポスチャ適用を確認します。

Advanced Endpoint Assessment は、アンチウイルス、アンチスパイウェア、およびファイアウォールに対して次の機能を提供します。

アクティブ スキャン機能がイネーブルでない場合はオンにします。

アクティブ スキャン機能が実行中であることを確認し、実行中でない場合はオンにします。

アンチウイルス、アンチスパイウェア、およびファイアウォールのアプリケーションで、.dat ファイルが指定した期間内にアップデートされていなかった場合は、自動アップデートを強制します。

ファイアウォール ルールをプッシュします。

アンチウイルス、アンチスパイウェア、およびファイアウォールのソフトウェア プログラムの自動修復を設定するには、次の手順を実行します。


ステップ 1 [Cisco Desktop Manager] > [Host Scan] を選択して、[Advanced Endpoint Assessment] をオンにします。

 

 

ステップ 2 [Advanced Endpoint Assessment] をオンにします。


) コンフィギュレーションに Advanced Endpoint Assessment ライセンスのキーが含まれている場合のみ、[Configure] ボタンがアクティブになります。シスコからキーを取得後、そのキーを入力するには、[Device Management] > [System Image/Configuration] > [Activation Key] を選択して、[New Activation Key] フィールドにキーを入力し、[Update Activation Key] をクリックします。


[Advanced Endpoint Assessment] をオンにすると、Secure Desktop Manager は、両方のオプションの隣にチェックマークを挿入します。

ステップ 3 [Configure] をクリックします。

 

ステップ 4 [Personal Firewall] セクションで、[Add] をクリックして [Microsoft Windows Firewall XP SP2] を選択します。

ステップ 5 [Firewall Action] ドロップダウン リストで、[Force Enable] を選択します。

ステップ 6 [OK] をクリックし、次に [Apply] をクリックして変更内容を実行コンフィギュレーションに保存します。

ステップ 7 テスト用に使用している PC では、Microsoft ファイアウォールをディセーブルにします。

Windows XP ファイアウォールは、デフォルトでディセーブルになっています。このファイアウォールのステータスをチェックまたは変更するには、[Start] > [Control Panel] > [Network Connections] > [Local Area Connection] を選択して、[Properties] をクリックし、[Advanced] タブをクリックし、さらに [Windows Firewall] 領域で [Settings] をクリックします。

ステップ 8 セキュリティ アプライアンスとの VPN 接続を確立します。

Cisco Secure Desktop は、Microsoft Firewall がディセーブルであっても、自動的にイネーブルにします。


 

ホスト スキャンから返された属性に基づくアクセスの適用に対する DAP の使用方法

この項では、Windows および Mac コンピュータの両方で asset.txt という名前のファイルをスキャンするためにホスト スキャンを使用する方法、およびこの基準を満たすコンピュータに対して企業ネットワークへのアクセスを許可するために DAP を設定する方法を説明します。

ホスト スキャン チェックを設定して関連 DAP を作成するには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択します。

 

次の手順では、Windows および Mac 用に別のチェックを設定する方法を説明します。パス構造が異なるので、2 つの固有のエントリを作成する必要があります。

ステップ 2 [Add] をクリックして、ドロップダウン リストから [File Scan] を選択し、さらに次の値を入力して Microsoft Windows を実行しているコンピュータ上の asset.txt ファイルのパスを指定します。

[Endpoint ID]: asset.txt - Windows と入力します。

[File Path]:c:\asset.txt と入力します

[Endpoint ID] 属性の値は、基本ホスト スキャン エントリに対する固有のインデックスとしてのみ機能します。

ステップ 3 [OK] をクリックします。

ステップ 4 [Add] をクリックして、[File Scan] を再度選択し、さらに次の値を入力して Mac 上の asset.txt ファイルのパスを指定します。

[Endpoint ID]: asset.txt - Macs と入力します。

[File Path]: /Users/asset.txt と入力します

ステップ 5 [OK] をクリックします。

 

ステップ 6 [Apply All] をクリックして変更内容を実行コンフィギュレーションに保存します。

ステップ 7 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] を選択して、[Add] をクリックします。

 

ステップ 8 [Policy Name] テキスト ボックスに文字列を入力して、この DAP に対するインデックスとして機能させます。


) ポリシー名にスペースが含まれている場合、ASDM は DAP を受け付けません。


ステップ 9 ウィンドウの右側で [Add] をクリックします。

ステップ 10 [Endpoint attribute] ペインで、[Endpoint Attribute Type] の横にある [File] を選択します。

ステップ 11 [Endpoint ID] の横にある [asset.txt Windows] を選択します。

ステップ 12 [OK] をクリックします。

ステップ 13 タイプ [File] の別のエンドポイント属性を追加しますが、今回は [Endpoint ID] の横にある [asset.txt - Macs] を選択します。

ASDM は Windows および Mac エントリをエンドポイント属性テーブルに表示します。

 

ステップ 14 [Logical Op] をクリックします。

ステップ 15 [File] の横にある [Match Any] をオンにして、どちらかのエンドポイント属性が DAP の割り当ての基準を満たすことを示します。

ステップ 16 [OK] をクリックします。

ステップ 17 [Access Policy Attributes] 領域で、新規の DAP の [Action] を [Continue] に設定します。

 

 

ステップ 18 (オプション):この DAP が適用される対象のユーザに表示するメッセージを、[User Message] テキスト ボックスに入力します。

ステップ 19 [OK] をクリックします。

ステップ 20 Default DAP ポリシーの [Action] が [Terminate] に設定されていることを確認してください。

ステップ 21 [Apply] をクリックして変更内容を実行コンフィギュレーションに保存します。


 

ファイル スキャンおよび DAP コンフィギュレーションをテストするには、次の手順を実行します。


ステップ 1 c:\asset.txt ファイルを Microsoft Windows を実行している PC に追加して、VPN 接続を確立します。

セキュリティ アプライアンスはアクセスを許可します。

ステップ 2 接続を切断します。c:\asset.txt ファイルを削除して再試行します。

セキュリティ アプライアンスはアクセスを拒否します。

ステップ 3 Mac に /Users/asset.txt ファイルを追加して、VPN 接続を確立します。

セキュリティ アプライアンスはアクセスを許可します。

ステップ 4 接続を切断します。/Users/asset.txt ファイルを削除して再試行します。

セキュリティ アプライアンスはアクセスを拒否します。


 

DAP 詳細設定

[Add Dynamic Access Policy] または [Edit Dynamic Access Policy] ウィンドウの [Advanced] セクションは、AAA またはエンドポイント属性に対する論理式をサポートしています。これらの式は Lua プログラム言語に基づいています。式の構文の詳細については、シスコのエンジニアリング部門または TAC にお問い合わせください。www.lua.org で Lua の詳細について確認することもできます。

 

[Advanced] テキスト ボックスに、AAA またはエンドポイント、あるいはその両方の選択論理演算を表す自由形式の Lua テキストを入力します。ASDM は、ここで入力されたテキストを検証せず、このテキストを単に DAP ファイルにコピーします。セキュリティ アプライアンスがそれを処理し、解析できない式があるとその式は廃棄されます。

このオプションは、AAA およびエンドポイントの属性領域で指定可能な基準以外の選択基準を追加する場合に有効です。たとえば、指定された基準のいずれかまたはすべてを満たす、あるいはいずれも満たさない AAA 属性を使用するように ASA を設定できます。エンドポイント属性は累積され、すべて満たす必要があります。セキュリティ アプライアンスで 1 つのエンドポイント属性または別の属性を使用できるようにするには、Lua で適切な論理式を作成してここで入力する必要があります。

上の画面で、[Logical Expressions] フィールドにはアンチウイルス ソフトウェア(Norton および McAfee)の存在をチェックする式が含まれます。定義が 1.5 日(10,000 秒)を越えている場合、セッションは終了し、修復のためのメッセージとリンクを表示します。


 

AnyConnect VPN クライアント

Cisco AnyConnect VPN クライアントは、リモート ユーザの PC に接続して、バージョン 8.0 以上で ASDM 6.0 以上を実行しているセキュリティ アプライアンスへのセキュアな接続を提供する SSL VPN クライアントです。PIX デバイスや VPN 3000 シリーズ コンセントレータには接続されません。AnyConnect クライアントは、Windows Vista、Windows XP、Windows 2000、Intel または PowerPC プラットフォーム上の Mac OS X(バージョン 10.4 以降)、および Red Hat Linux(バージョン 9 以降)をサポートします。プラットフォームの要件およびサポート対象バージョンの完全なセットについては、AnyConnect クライアントのリリース ノートを参照してください。

AnyConnect クライアントのインストールと設定

AnyConnect クライアント ソフトウェアは、ASA リリース 8.0(1) 以降および ASDM リリース 6.0 以降でサポートされています。

セキュリティ アプライアンスを設定して、Web 展開経由でクライアントをダウンロードし、リモート PC にインストールできます。あるいは、Altiris などの企業の IT ソフトウェア導入システムを使用してクライアントをインストールするか、クライアントを個々の PC に手動でインストールできます。この項では、Web 展開の方法について説明します。IT 導入または手動インストールの詳細については、『AnyConnect SSL VPN Client Administrators Guide』を参照してください。

Web 展開の仕組み

以前にインストールされたクライアントを持たないリモート ユーザは、クライアントレス SSL VPN 接続を許可するよう設定されたインターフェイスのブラウザに、IP アドレスまたは DNS 名を入力します。セキュリティ アプライアンスが http:// 要求を https:// にリダイレクトするように設定されている場合を除いて、ユーザは https://< address > の形式で URL を入力する必要があります。

URL を入力すると、ブラウザがそのインターフェイスに接続して、ログイン画面が表示されます。ユーザがログインおよび認証に成功し、セキュリティ アプライアンスによってそのユーザがクライアントを要求していると識別されると、リモート コンピュータのオペレーティング システムに適合するクライアントがロードされます。ロード後、クライアントは自分自身でインストールと設定を行い、セキュアな SSL 接続を確立します。接続の終了時には、(セキュリティ アプライアンス コンフィギュレーションに応じて)そのまま残るか、または自分自身をアンインストールします。

以前にインストールされているクライアントの場合、ユーザの認証時に、セキュリティ アプライアンスはクライアントのリビジョンを検査し、必要な場合はクライアントをアップグレードします。

クライアントは、セキュリティ アプライアンスと SSL VPN 接続をネゴシエートするときに、Transport Layer Security(TLS)を使用して接続します。また、クライアントは、同時 Datagram Transport Layer Security(DTLS)接続をネゴシエートします。DTLS により、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。

AnyConnect クライアントをインストールする前に

次の項では、AnyConnect クライアントを正しくインストールするための推奨事項について説明します。

「AnyConnect クライアントの自動インストール方法」

「信頼済みサイトのリスト(IE)へのセキュリティ アプライアンスの追加」

AnyConnect クライアントの自動インストール方法

クライアント PC に AnyConnect クライアントソフトウェアを自動インストールする際には、次の推奨事項と警告が適用されます。

AnyConnect クライアントのセットアップ中のユーザへのプロンプトを最小限にするには、クライアント PC 上とセキュリティ アプライアンス上の証明書データを一致させます。

セキュリティ アプライアンス 上の証明書に対して Certificate Authority(CA; 認証局)を使用する場合は、クライアント マシンで信頼済み CA として設定された証明書を選択します。

セキュリティ アプライアンス 上で自己署名証明書を使用する場合は、それを信頼済みルート証明書としてクライアントにインストールしておきます。

手順はブラウザによって異なります。この項の次の手順を参照してください。

セキュリティ アプライアンスの証明書の一般名(CN)と、クライアントが接続に使用する名前が一致していることを確認します。デフォルトでは、セキュリティ アプライアンス 証明書の CN フィールドは IP アドレスになっています。クライアントが DNS 名を使用する場合は、セキュリティ アプライアンスの証明書の CN フィールドをその名前に変更します。

AnyConnect クライアントのインストール中に、Cisco Security Agent(CSA)から警告が表示されることがあります。

現在出荷中のバージョンの CSA は、AnyConnect クライアントと互換性のある組み込みルールを持っていません。CSA バージョン 5.0 以降を使用すると、次の手順により次のルールを作成できます。


ステップ 1 ルール モジュール:「Cisco Secure Tunneling Client Module」で次の FACL を追加します。

Priority Allow, no Log, Description: “Cisco Secure Tunneling Browsers, read/write vpnweb.ocx”
Applications in the following class: “Cisco Secure Tunneling Client - Controlled Web Browsers”
Attempt: Read file, Write File
 

すべての @SYSTEM\vpnweb.ocx ファイルで、行います。

ステップ 2 アプリケーション クラス:「Cisco Secure Tunneling Client - Installation Applications」に次のプロセス名を追加します。

**\vpndownloader.exe
@program_files\**\Cisco\Cisco AnyConnect VPN Client\vpndownloader.exe
 

将来のバージョンの CSA には、このルールが組み込まれる予定です。


 

Microsoft Internet Explorer(MSIE)ユーザは、信頼済みサイト リストに セキュリティ アプライアンス を追加するか、Java をインストールすることをお勧めします。Java をインストールすると、インストールに対して ActiveX コントロールが有効になり、ユーザの操作が最小限で済みます。セキュリティが強化された Windows XP SP2 のユーザにとって、このことは特に重要です。ダイナミック導入機能を使用するため、Windows Vista ユーザは信頼済みサイトのリストにセキュリティ アプライアンスを追加する 必要 があります。信頼済みサイトのリストにセキュリティ アプライアンスを追加する方法については、『 Cisco AnyConnect VPN Client Administrator Guide 』を参照してください。Microsoft Active Directory を使用して、Internet Explorer の信頼済みサイト リストにセキュリティ アプライアンスを追加する方法については、『 Cisco AnyConnect VPN Client Administrator Guide 』の「Appendix B」を参照してください。

信頼済みサイトのリスト(IE)へのセキュリティ アプライアンスの追加

セキュリティ アプライアンスを信頼済みサイトのリストに追加するには、Microsoft Internet Explorer を使用して、次の手順を実行します。


) WebLaunch を使用するため、これは Windows Vista で実行する必要があります。



ステップ 1 [Tools] | [Internet Options] | [Trusted Sites] の順に選択します。

[Internet Options] ウィンドウが開きます。

ステップ 2 [Security] タブをクリックします。

ステップ 3 [Trusted Sites] アイコンをクリックします。

ステップ 4 [Sites] をクリックします。

[Trusted Sites] ウィンドウが開きます。

ステップ 5 セキュリティ アプライアンス のホスト名または IP アドレスを入力します。複数のサイトをサポートするため、https://*.yourcompany.com のようなワイルドカードを使用して、yourcompany.com ドメイン内のすべての ASA 5500 が使用できるようにします。

ステップ 6 [Add] をクリックします。

ステップ 7 [OK] をクリックします。

[Trusted Sites] ウィンドウが閉じます。

ステップ 8 [Internet Options] ウィンドウで [OK] をクリックします。


 

Start Before Logon コンポーネントのインストール(Windows のみ)

Start Before Logon コンポーネントは、コア クライアントのインストール にインストールする必要があります。さらに、AnyConnect 2.2 の Start Before Logon コンポーネントの場合は、バージョン 2.2 以降のコア AnyConnect クライアント ソフトウェアのインストールが必要です。AnyConnect クライアントの展開前および MSI ファイルを使用した Start Before Logon コンポーネントの展開前の場合(Altiris、Active Directory または SMS など独自のソフトウェア展開手段を持つ大企業の場合など)、正しい順序でインストールする必要があります。インストールの順序は、AnyConnect が Web 展開または Web 更新されている場合(または両方の場合)に管理者がロードした時点で自動的に処理されます。

AnyConnect クライアントと Start Before Login コンポーネントは、同じ方法、つまり両方とも手動または両方とも WebLaunch 経由でインストールする必要があります。したがって、次の手順が必要です。

AnyConnect を事前に展開する場合、Start Before Logon コンポーネントも事前に展開する必要があります。

AnyConnect を Web 更新する場合、Start Before Logon コンポーネントを Web 更新する必要があります。

AnyConnect を Web 展開する場合、Start Before Logon コンポーネントを Web 展開する必要があります。

AnyConnect を事前に展開しておいて Start Before Logon コンポーネントを Web 展開することはできません。

GINA または PLAP を手動でアンインストールする場合は、これを手動で再インストールする必要があります。

たとえば、事前に両方を展開する、つまり両方の新しいバージョンをヘッド エンドに置き、それらを Web 更新することができます。どのアクションを実行しても、この 2 つは一緒に追加されます。

たとえば、お客様がソフトウェアを事前にインストールした状態でラップトップを送ったとします。6 ヵ月後、シスコは新しいバージョンのソフトウェアを出荷し、ネットワーク管理者はすべてのユーザに最新バージョンを取得させたいと考えます。これを行うために、ネットワーク管理者はセキュリティ アプライアンスに新しいソフトウェアを置き、すべてのユーザが Web 更新を取得することができます。

彼らはコア AnyConnect ソフトウェアだけを使用して事前イメージを用意 できない ため、クライアントおよび Start Before Logon のソフトウェア コンポーネントの両方をセキュリティ アプライアンスを介してアップデートすることになります(Start Before Logon ソフトウェアを事前にインストールしていないため)。


 

AnyConnect クライアントのインストールとセキュリティ アプライアンスの設定

セキュリティ アプライアンスへのクライアントのインストールは、セキュリティ アプライアンスへのクライアント イメージのコピーと、セキュリティ アプライアンスに対するクライアント イメージとしてのファイルの識別があります。複数クライアントの場合には、セキュリティ アプライアンスがクライアントをリモート PC にロードする順番も割り当てる必要があります。


) すべての AnyConnect クライアントは、同じ場所に配置されています。
http://www.cisco.com/cisco/web/download/index.html


セキュリティ アプライアンスにクライアントをインストールするには、次の手順を実行します。


ステップ 1 AnyConnect クライアント イメージを、セキュリティ アプライアンスにロードします。ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [SSL VPN] > [Client Settings] を選択します。次の図に示すように [SSL VPN Client Settings] パネルが表示されます。

 

このパネルには、AnyConnect クライアント イメージとして認識されたすべての AnyConnect クライアント ファイルが一覧表示されます。この表に表示される順序は、リモート コンピュータにダウンロードされる順番を反映しています。AnyConnect クライアント イメージを追加するには、[SSL VPN Client Images] 領域で [Add] をクリックします。[Add SSL VPN Client Image] ダイアログが表示されます。

セキュリティ アプライアンスのフラッシュ メモリにすでにイメージが格納されている場合は、そのイメージの名前を [Flash SVC Image] フィールドに入力して、[OK] をクリックします。これで、識別された AnyConnect クライアント イメージが [SSL VPN Client Settings] パネルに表示されます。


) セキュリティ アプライアンスは、リモート PC のオペレーティング システムと一致するまで、指定されている順序で各クライアントの一部をダウンロードします。したがって、最も多く使用されているオペレーティング システムで使用されるイメージを先頭位置に割り当てる必要があります。


ステップ 2 イメージ名をクリックし、[Move Up] ボタンまたは [Move Down] ボタンを使用して、リスト内のイメージの位置を変更してください。これにより、セキュリティ アプライアンスがイメージをリモート コンピュータにロードする順序を設定できます。セキュリティ アプライアンスは、イメージのリストの先頭にある AnyConnect クライアント イメージを最初にロードします。したがって、最も多く使用されているオペレーティング システムによって使用されるイメージを、リストの先頭に移動する必要があります。

ステップ 3 アドレスの割り当て方式を設定します。DHCP や、ユーザが割り当てたアドレス指定を使用できます。ローカル IP アドレス プールを作成し、そのプールをトンネル グループに割り当てる方法もあります。

IP アドレスのプールを作成するには、[Network (Client) Access] > [Address Management] > [Address Pools] の順に選択します。[Add] をクリックします。[Add IP Pool] ダイアログが表示されます。

 

新しい IP アドレス プールの名前を入力します。開始および終了 IP アドレスを入力し、サブネット マスクを入力して [OK] をクリックします。

ステップ 4 セキュリティ アプライアンスをイネーブルにして、AnyConnect クライアントをリモート ユーザにダウンロードし、IP アドレス プールを割り当てます。[Network (Client) Access] > [Connection Profiles] に移動します。

ステップ 5 [Engineering] グループ ポリシーを選択して、[Edit] をクリックします。[Edit Internal Group Policy] ウィンドウが表示されます。

 

 

ステップ 6 [Enable Cisco AnyConnect VPN Client] をオンにします。

ステップ 7 アドレス プールを接続プロファイルに割り当てます。[Connection Profiles] 領域で、[Engineering] 接続プロファイルを選択して、[Edit] をクリックします。[Edit SSL VPN Connection Profile: Engineering] ウィンドウが表示されます。

ステップ 8 ナビゲーション ペインで、[Client Addressing] をクリックします。[Interface-specific Address Pools] 領域で、[Add] をクリックします。[Assign Address Pools to Interface] ウィンドウが表示されます。

ステップ 9 [Select] をクリックします。[Select Address Pools] ウィンドウが表示されます。

ステップ 10 [Engineer] アドレス プールを選択して、[Assign] をクリックします。[OK] および [Apply] をクリックします。

[SSL VPN Client] チェックボックスをオンにして、SSL VPN をトンネリング プロトコルとして含めます。


 

AnyConnect クライアントおよび Cisco Secure Desktop と CSA 相互運用性

リモート ユーザに Cisco Security Agent(CSA)がインストールされている場合は、AnyConnect VPN Client および Cisco Secure Desktop をセキュリティ アプライアンスと相互運用できるように、新しい CSA ポリシーをリモート ユーザにインポートする必要があります。

これを実行するには、次のステップを実行します。


ステップ 1 AnyConnect クライアントおよび Cisco Secure Desktop の CSA ポリシーを取得します。次の場所からファイルを取得できます。

セキュリティ アプライアンスに同梱の CD

ASA 5500 シリーズ適応型セキュリティ アプライアンスのソフトウェア ダウンロード ページ(http://www.cisco.com/cgi-bin/tablebuild.pl/asa)

ファイル名は、AnyConnect-CSA.zip および CSD-for-CSA-updates.zip です。

ステップ 2 .zip パッケージ ファイルから、.export ファイルを展開します。

ステップ 3 インポートする正しいバージョンの .export ファイルを選択します。CSA バージョン 5.2 以降の場合は、バージョン 5.2 のエクスポート ファイルです。CSA バージョン 5.0 および 5.1 の場合は、5.x のエクスポート ファイルです。

ステップ 4 CSA Management Center の [Maintenance] > [Export/Import] タブを使用して、ファイルをインポートします。

ステップ 5 VPN ポリシーに新しいルール モジュールを追加して、ルールを生成します。

詳細については、CSA のマニュアル『 Using Management Center for Cisco Security Agents 5.2 』を参照してください。ポリシーのエクスポートに関する情報は、「 Exporting and Importing Configurations 」の項にあります。


 

Cisco AnyConnect VPN クライアントのアンインストール

AnyConnect クライアントを Windows システムから手動でアンインストールするには、[Start] メニューから使用可能な標準の [Add or Remove Programs] コントロール パネルを使用します。

AnyConnect クライアントを Linux または Mac OS X システムから手動でアンインストールする手順は、両方のシステムで同じです。root として、次のシェル スクリプトを実行します。

/opt/cisco/vpn/bin/vpn_uninstall.sh
 

通常、この作業は次のように sudo 経由で行います。

$ sudo /opt/cisco/vpn/bin/vpn_uninstall.sh
 

sudo を使用しない場合は、root シェルを使用します。

# /opt/cisco/vpn/bin/vpn_uninstall.sh
 

AnyConnect クライアント用のセキュリティ アプライアンス コンフィギュレーションの例

この項では、AnyConnect 用のセキュリティ アプライアンス コンフィギュレーションの例を示します。

f1> enable
Password:
f1# config terminal
f1(config)# interface gigabitEthernet 0/0
f1(config-if)# ip address 192.168.0.6
f1(config-if)# nameif public
f1(config-if)# security-level 0
f1(config-if)# no shutdown
f1(config-if)# exit
f1(config)# interface gigabitEthernet 0/1
f1(config-if)# ip address 10.86.194.193 255.255.254.0
f1(config-if)# nameif inside
f1(config-if)# security-level 10
f1(config-if)# no shutdown
f1(config-if)# exit
f1(config)# domain-name frqa.cisco.com
f1(config)# dns domain-lookup inside
f1(config)# dns name-server 10.86.195.22
f1(config)# route inside 10.86.195.0 255.255.254.0 10.86.194.1 1
f1(config)# username user2 password internal
f1(config)# username user2 attributes
f1(config-username)# vpn-tunnel-protocol WebVPN
f1(config-username)# WebVPN
f1(config-username-WebVPN)# functions url-entry file-access file-entry file-browsing
f1(config-username-WebVPN)# exit
f1(config-username)# exit
f1(config)# WebVPN
f1(config-WebVPN)# enable public
f1(config-WebVPN)# enable inside
f1(config-WebVPN)# exit
f1(config)# route inside 0 0 10.86.194.1
f1(config)# http server enable

 

クライアントレス SSL VPN コンフィギュレーションの例

f1> enable

Password:

f1# config terminal

f1(config)# interface gigabitEthernet 0/0

f1(config-if)# ip address 192.168.0.6

f1(config-if)# nameif public

f1(config-if)# security-level 0

f1(config-if)# no shutdown

f1(config-if)# exit

f1(config)# interface gigabitEthernet 0/1

f1(config-if)# ip address 10.86.194.193 255.255.254.0

f1(config-if)# nameif inside

f1(config-if)# security-level 10

f1(config-if)# no shutdown

f1(config-if)# exit

f1(config)# domain-name frqa.cisco.com

f1(config)# dns domain-lookup inside

f1(config)# dns name-server 10.86.195.22

f1(config)# route inside 10.86.195.0 255.255.254.0 10.86.194.1 1

f1(config)# username user2 password internal

f1(config)# username user2 attributes

f1(config-username)# vpn-tunnel-protocol WebVPN

f1(config-username)# WebVPN

f1(config-username-WebVPN)# functions url-entry file-access file-entry file-browsing

f1(config-username-WebVPN)# exit

f1(config-username)# exit

f1(config)# WebVPN

f1(config-WebVPN)# enable public

f1(config-WebVPN)# enable inside

f1(config-WebVPN)# exit

f1(config)# route inside 0 0 10.86.194.1

f1(config)# http server enable