マニュアル 3:Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド バージョン 9.1
クライアントレス SSL VPN の設定
クライアントレス SSL VPN の設定
発行日;2013/05/30 | 英語版ドキュメント(2013/05/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

クライアントレス SSL VPN の設定

クライアントレス SSL VPN に関する情報

ライセンス要件

クライアントレス SSL VPN の前提条件

注意事項と制限事項

クライアントレス SSL VPN セキュリティ対策の順守

ポータル ページでの URL エントリのディセーブル化

クライアントレス SSL VPN サーバ証明書の検証

内部サーバにアクセスするための SSL の使用

クライアントレス SSL VPN セッションでの HTTPS の使用

クライアントレス SSL VPN ポートと ASDM ポートの設定

プロキシ サーバのサポートの設定

SSL/TLS 暗号化プロトコルの設定

デジタル証明書による認証

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

制約事項

APCF 構文

パスワードの管理

クライアントレス SSL VPN でのシングル サインオンの使用

HTTP Basic 認証または NTLM 認証による SSO の設定

SiteMinder を使用した SSO 認証の設定

シスコの認証スキームの SiteMinder への追加

SAML Browser Post Profile を使用した SSO 認証の設定

SAML POST SSO サーバの設定

HTTP Form プロトコルを使用した SSO の設定

HTTP Form データの収集

プラグインの SSO の設定

マクロ置換による SSO の設定

Virtual Desktop Infrastructure(VDI)へのアクセス

エンコーディング

リソース アクセスのためのクライアントレス SSL VPN ポリシーの作成と適用

グループ ポリシーへのユーザの割り当て

クライアントレス SSL VPN の接続プロファイルの属性の設定

クライアントレス SSL VPN のグループ ポリシー属性とユーザ属性の設定

プラグインへのブラウザ アクセスの設定

プラグインのためのセキュリティ アプライアンスの準備

シスコが再配布しているプラグインのインストール

Citrix XenApp Server へのアクセスの提供

クライアントレス SSL VPN アクセスのための Citrix XenApp Server の準備

Citrix プラグインの作成とインストール

セキュリティ アプライアンスにインストールされているプラグインの表示

Microsoft Kerberos Constrained Delegation ソリューション

KCD の機能概要

KCD の認証フロー

KCD を設定する前に

KCD の設定

KCD ステータス情報の表示

キャッシュされた Kerberos チケットの表示

キャッシュされた Kerberos チケットのクリア

Application Access の設定

スマート トンネル アクセスの設定

スマート トンネルについて

スマート トンネルを使用する理由

スマート トンネル アクセスに適格なアプリケーションの追加

スマート トンネル リストについて

スマート トンネル ポリシーの設定および適用

スマート トンネルのトンネル ポリシーの設定および適用

スマート トンネル自動サインオン サーバ リストの作成

スマート トンネル自動サインオン サーバ リストへのサーバの追加

スマート トンネル アクセスの自動化

スマート トンネル アクセスのイネーブル化とディセーブル化

スマート トンネルからのログオフの設定

ペアレント プロセスの終了

通知アイコン

ポート転送の設定

ポート転送に関する情報

ポート転送用の DNS の設定

ポート転送に適格なアプリケーションの追加

ポート転送リストの割り当て

ポート転送の自動化

ポート転送のイネーブル化とディセーブル化

Application Access ユーザへの注記

hosts ファイル エラーを回避するための Application Access の終了

Application Access 使用時の hosts ファイル エラーからの回復

hosts ファイルの概要

不正な Application Access の終了

クライアントレス SSL VPN によるホストのファイルの自動再設定

手動による hosts ファイルの再設定

ファイル アクセスの設定

CIFS ファイル アクセスの要件と制限事項

ファイル アクセスのサポートの追加

SharePoint アクセスのためのクロックの精度の確認

PDA でのクライアントレス SSL VPN の使用

クライアントレス SSL VPN を介した電子メールの使用

電子メール プロキシの設定

Web 電子メール:MS Outlook Web App の設定

ポータル アクセス ルールの設定

クライアントレス SSL VPN のパフォーマンスの最適化

キャッシングの設定

コンテンツ変換の設定

リライトされた Java コンテンツに署名するための証明書の設定

コンテンツのリライトのディセーブル化

プロキシ バイパスの使用

クライアントレス SSL VPN エンド ユーザの設定

エンド ユーザ インターフェイスの定義

クライアントレス SSL VPN ホームページの表示

クライアントレス SSL VPN の Application Access パネルの表示

フローティング ツールバーの表示

クライアントレス SSL VPN ページのカスタマイズ

カスタマイゼーションに関する情報

カスタマイゼーション テンプレートのエクスポート

カスタマイゼーション テンプレートの編集

カスタマイゼーション オブジェクトのインポート

接続プロファイル、グループ ポリシー、およびユーザへのカスタマイゼーションの適用

ログイン画面の高度なカスタマイゼーション

HTML ファイルの変更

クライアント/サーバ プラグインへのブラウザ アクセスの設定

ブラウザ プラグインのインストールについて

RDP プラグイン ActiveX デバッグのクイック リファレンス

プラグインのためのセキュリティ アプライアンスの準備

ASA で新しい HTML ファイルを使用するための設定

ヘルプのカスタマイズ

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供していない言語用のヘルプ ファイルの作成

フラッシュ メモリへのヘルプ ファイルのインポート

フラッシュ メモリからの事前にインポートしたヘルプ ファイルのエクスポート

ユーザ名とパスワードの要求

セキュリティのヒントの通知

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

クライアントレス SSL VPN の起動

クライアントレス SSL VPN フローティング ツールバーの使用

Web のブラウズ

ネットワークのブラウズ(ファイル管理)

Remote File Explorer の使用

ポート転送の使用

ポート転送を介した電子メールの使用

Web アクセスを介した電子メールの使用

電子メール プロキシを介した電子メールの使用

スマート トンネルの使用

ユーザ メッセージの言語の変換

言語変換の概要

変換テーブルの作成

カスタマイゼーション オブジェクトでの言語の参照

カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ属性の変更

データのキャプチャ

キャプチャ ファイルの作成

キャプチャ データを表示するためのブラウザの使用

クライアントレス SSL VPN の設定

この章では、クライアントレス SSL VPN を設定する方法について説明します。次の項目を取り上げます。

「クライアントレス SSL VPN に関する情報」

「ライセンス要件」

「クライアントレス SSL VPN の前提条件」

「注意事項と制限事項」

「アプリケーション プロファイル カスタマイゼーション フレームワークの設定」

「クライアントレス SSL VPN でのシングル サインオンの使用」

「エンコーディング」

「クライアントレス SSL VPN の接続プロファイルの属性の設定」

「KCD の機能概要」

「Application Access の設定」

「ポート転送の設定」

「Application Access ユーザへの注記」

「ファイル アクセスの設定」

「SharePoint アクセスのためのクロックの精度の確認」

「PDA でのクライアントレス SSL VPN の使用」

「クライアントレス SSL VPN を介した電子メールの使用」

「ポータル アクセス ルールの設定」

「クライアントレス SSL VPN エンド ユーザの設定」

「クライアント/サーバ プラグインへのブラウザ アクセスの設定」

「カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ属性の変更」

「データのキャプチャ」

クライアントレス SSL VPN に関する情報


) クライアントレス SSL VPN にASAを設定している場合、セキュリティ コンテキスト(ファイアウォール マルチモードとも呼ばれる)またはアクティブ/アクティブ ステートフル フェールオーバーをイネーブルにすることはできません。そのため、これらの機能は使用できなくなります。


クライアントレス SSL VPN によってユーザは、Web ブラウザを使用して ASA へのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェアやハードウェア クライアントは必要ありません。

クライアントレス SSL VPN を使用することで、HTTP インターネット サイトにアクセスできるほとんどすべてのコンピュータから、幅広い Web リソースと、Web 対応およびレガシー アプリケーションにセキュアかつ簡単にアクセスできます。次の内容で構成されています。

内部 Web サイト

Web 対応アプリケーション

NT/Active Directory ファイル共有

POP3S、IMAP4S、および SMTPS などの電子メール プロキシ

Microsoft Outlook Web Access Exchange Server 2000、2003、および 2007

Microsoft Web App to Exchange Server 2010(8.4(2) 以降において)

Application Access(つまり、他の TCP ベースのアプリケーションにアクセスするためのスマート トンネルまたはポート転送)

クライアントレス SSL VPN は Secure Sockets Layer(SSL)プロトコルおよびその後継の Transport Layer Security(SSL/TLS1)を使用して、リモート ユーザと、内部サイトで設定した特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。ASAはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。

ネットワーク管理者は、クライアントレス SSL VPN セッションのユーザに対してグループ単位でリソースへのアクセスを提供します。ユーザは、内部ネットワーク上のリソースに直接アクセスすることはできません。

ライセンス要件

次の表に、この機能のライセンス要件を示します。


) この機能は、ペイロード暗号化機能のないモデルでは使用できません。


 

モデル
ライセンス要件12

ASA 5505

AnyConnect Premium ライセンス:

基本ライセンスまたは Security Plus ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10 または 25 セッション。

共有ライセンスはサポートされていません。3

ASA 5510

AnyConnect Premium ライセンス:

基本ライセンスと Security Plus ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、または 250 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5520

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、または 750 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5540

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、または 2500 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5550

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、または 5000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5580

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、5000、または 10000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5512-X

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、または 250 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5515-X

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、または 250 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5525-X

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、または 750 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5545-X

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、または 2500 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5555-X

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、または 5000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5585-X(SSP-10)

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、または 5000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5585-X(SSP-20、-40、および -60)

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、5000、または 10000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASASM

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、5000、または 10000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

1.クライアントレス SSL VPN セッションを開始した後、ポータルから AnyConnect クライアント セッションを開始した場合は、合計 1 つのセッションが使用されています。これに対して、最初に AnyConnect クライアントを(スタンドアロン クライアントなどから)開始した後、クライアントレス SSL VPN ポータルにログインした場合は、2 つのセッションが使用されています。

2.すべてのタイプの組み合わせ VPN セッションの最大数は、この表に示す最大セッション数を超えることはできません。

3.共有ライセンスによって、ASAは複数のクライアントのASAの共有ライセンス サーバとして機能します。共有ライセンス プールは大規模ですが、個々のASAによって使用されるセッションの最大数は、永続的なライセンスで指定される最大数を超えることはできません。

クライアントレス SSL VPN の前提条件

ASA Release 9.0 でサポートされているプラットフォームおよびブラウザについては、『 Supported VPN Platforms, Cisco ASA 5500 Series 』を参照してください。

注意事項と制限事項

ActiveX ページでは、ActiveX リレーをイネーブルにするか、関連するグループ ポリシーに activex-relay を入力しておくことが必要です。あるいは、スマート トンネル リストをポリシーに割り当て、エンドポイント上のブラウザ プロキシ例外リストにプロキシが指定されている場合、ユーザはそのリストに「shutdown.webvpn.relay.」エントリを追加する必要があります。

ASA では、Windows 7、Vista、Internet Explorer 8 ~ 9、Mac OS X、および Linux から Windows 共有(CIFS)Web フォルダへのクライアントレス アクセスはサポートされていません。

DoD Common Access Card および SmartCard を含む証明書認証は、Safari キーチェーンだけで動作します。

ASA は、クライアントレス SSL VPN 接続では DSA または RSA 証明書をサポートしていません。

一部のドメインベースのセキュリティ製品には、ASA から送信された要求を超える要件があります。

コンフィギュレーション制御の検査およびモジュラ ポリシー フレームワークのインスペクション機能はサポートされません。

グループ ポリシーの vpn-filter コマンドは、クライアント ベースのアクセス用であるため、サポートされません。 グループ ポリシーの webvpn モードでの フィルタ はクライアントレス ベースのアクセス用です。

NAT および PAT はクライアントに適用可能ではありません。

ASA は、 police priority-queue などの QoS レート制限コマンドの使用をサポートしません。

ASA は、接続制限値の使用、スタティックまたはモジュラ ポリシー フレームワークの set connection コマンドを使用した確認をサポートしません。

クライアントレス SSL VPN のコンポーネントの一部には、Java ランタイム環境(JRE)が必要です。Mac OS X v10.7 以降では Java はデフォルトではインストールされていません。Mac OS X で Java をインストールする方法の詳細については、 http://java.com/en/download/faq/java_mac.xml を参照してください。

クライアントレス ポータル用に設定された複数のグループ ポリシーがある場合は、ログイン ページのドロップダウンに表示されます。グループ ポリシーのリストの一番上にあるのが、証明書が必要なグループ ポリシーである場合は、ユーザがログイン ページに達するとすぐに、一致の証明書がなければなりません。すべてのグループ ポリシーが証明書を使用するわけではない場合は、非証明書ポリシーを最初に表示するようにリストを設定します。アルファベット順で並べ替えられるようにグループ ポリシー名を付けるか、AAA ポリシーが最初に表示されるようにプレフィックスを付けます。たとえば、1-AAA、2-Certificate とします。または、Select-a-Group という名前の「ダミー」のグループ ポリシーを作成し、最初に表示されるようにします。

クライアントレス SSL VPN セキュリティ対策の順守

デフォルトでは、ASAはすべての Web リソース(HTTPS、CIFS、RDP、およびプラグイン)に対するすべてのポータル トラフィックを許可します。ASA クライアントレス サービスは、各 URL をそれ自体だけに意味のあるものに書き換えます。ユーザは、要求したサイト上にあることを確認するためにアクセスしたページに表示される、その書き換えられた URL を使用できません。ユーザを危険にさらさないようにするために、クライアントレス アクセス用に設定されたポリシー(グループ ポリシー、ダイナミック アクセス ポリシー、またはその両方)に Web ACL を割り当てて、ポータルからのトラフィック フローを制御します。たとえば、このような ACL がないと、ユーザは不正な銀行や商用サイトからの認証要求を受け取る可能性があります。また、これらのポリシー上の URL エントリをディセーブルにして、ユーザがアクセスできるページについて混乱しないようにすることをお勧めします。

図 11-1 ユーザが入力する URL の例

 

図 11-2 セキュリティ アプライアンスによって書き換えられ、ブラウザ ウィンドウに表示された同じ URL

 

ポータル ページでの URL エントリのディセーブル化

ポータル ページは、ユーザがブラウザベースの接続を確立するときに表示されるページです。ポータル ページ上の URL エントリをディセーブルにするには、次の手順を実行します。

前提条件

クライアントレス SSL VPN アクセスを必要とするすべてのユーザにグループ ポリシーを設定し、そのグループ ポリシーに対してだけクライアントレス SSL VPN をイネーブルにします。

手順の詳細

コマンド
目的

ステップ 1

webvpn

 

グループ ポリシー webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

url-entry

ユーザが HTTP/HTTP URL を入力する機能を制御します。

ステップ 3

(任意)url-entry disable

URL エントリをディセーブルにします。

クライアントレス SSL VPN サーバ証明書の検証

クライアントレス SSL VPN 経由でリモート SSL 対応サーバに接続する場合は、リモート サーバを信頼できること、また、接続先が実際にサーバであることを認識することが重要です。ASA 9.0 には、クライアントレス SSL VPN の信頼できる認証局(CA)証明書のリストに対する SSL サーバ証明書の検証のためのサポートが追加されています。

HTTPS プロトコルを使用して Web ブラウザ経由でリモート サーバに接続する場合、サーバはサーバ自体を識別するために CA が署名したデジタル証明書を提供します。Web ブラウザには、サーバ証明書の有効性を検証するために使用される一連の CA 証明書が付属しています。これは、公開キー インフラストラクチャ(PKI)の 1 つの形式です。

ブラウザが証明書管理の機能を提供するのと同様に、ASA も信頼できる証明書のプール管理機能の形式を提供します(trustpools)。これは、複数の既知の CA 証明書を表すトラストポイントの特殊なケースと見なすことができます。ASA には、Web ブラウザで提供されるのと同様のデフォルトの証明書のバンドルが含まれますが、管理者が crypto ca import default コマンドを発行してアクティブにするまで非アクティブとなります。


) すでに Cisco IOS の trustpools に精通している場合、ASA バージョンが、似ているが同じではないことがわかります。


内部サーバにアクセスするための SSL の使用

コマンド
目的

ステップ 1

webvpn

 

グループ ポリシー webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

url-entry disable

URL エントリをディセーブルにします。

クライアントレス SSL VPN は SSL およびその後継である TLS1 を使用して、リモート ユーザと、内部サイトにある特定のサポートされている内部リソースとの間でセキュアな接続を提供します。この項では、次のトピックについて取り上げます。

「クライアントレス SSL VPN セッションでの HTTPS の使用」

「クライアントレス SSL VPN ポートと ASDM ポートの設定」

「プロキシ サーバのサポートの設定」

「SSL/TLS 暗号化プロトコルの設定」

クライアントレス SSL VPN セッションでの HTTPS の使用

インターフェイス上でクライアントレス SSL VPN セッションを許可するには、次の手順を実行します。

前提条件

Web ブラウザには、ASA のアドレスを https:// address 形式で入力します。 address は ASA インターフェイスの IP アドレスまたは DNS ホスト名です。

制約事項

ユーザの接続先の ASA インターフェイス上でクライアントレス SSL VPN セッションをイネーブルにする必要があります。

ASA またはロード バランシング クラスタへのアクセスに HTTPS を使用する必要があります。

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

enable (with the name of interface you want to use for clientless SSL VPN sessions)

 

hostname(config)# webvpn

hostname(config-webvpn)# enable outside

outside と呼ばれるインターフェイス上でクライアントレス SSL VPN セッションをイネーブルにします。

クライアントレス SSL VPN ポートと ASDM ポートの設定

バージョン 8.0(2) 以降、ASAは、クライアントレス SSL VPN セッションと ASDM 管理セッションの両方を、外部インターフェイスのポート 443 で同時にサポートするようになりました。ただし、オプションでこれらのアプリケーションを別のインターフェイスに設定することができます。

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

port port_number

 

hostname(config)# http server enable

hostname(config)# http 192.168.3.0 255.255.255.0 outside

hostname(config)# webvpn

hostname(config-webvpn)# port 444

hostname(config-webvpn)# enable outside

クライアントレス SSL VPN の SSL のリスニング ポートを変更します。

outside インターフェイスのポート 444 上でクライアントレス SSL VPN をイネーブルにします。このコンフィギュレーションでは、リモート ユーザは、ブラウザに https://<outside_ip>:444 を入力してクライアントレス SSL VPN セッションを開始します。

ステップ 3

port argument of http server enable

 

hostname(config)# http server enable 444

hostname(config)# http 192.168.3.0 255.255.255.0 outside

hostname(config)# webvpn

hostname(config-webvpn)# enable outside

(特権 EXEC モード)ASDM のリスニング ポートを変更します。

HTTPS ASDM セッションが outside インターフェイスのポート 444 を使用することを指定します。クライアントレス SSL VPN も外部インターフェイスでイネーブルになり、デフォルト ポート(443)を使用します。このコンフィギュレーションでは、リモート ユーザは https://<outside_ip>:444 を入力して ASDM セッションを開始します。

プロキシ サーバのサポートの設定

ASAは HTTPS 接続を終了して、HTTP および HTTPS 要求をプロキシ サーバに転送できます。これらのサーバは、ユーザとパブリック ネットワークまたはプライベート ネットワーク間を中継する機能を果たします。組織が管理するプロキシ サーバを経由したネットワークへのアクセスを必須にすると、セキュアなネットワーク アクセスを確保して管理面の制御を保証するためのフィルタリング導入の別のきっかけにもなります。

HTTP および HTTPS プロキシ サービスに対するサポートを設定する場合、プリセット クレデンシャルを割り当てて、基本認証に対する各要求とともに送信できます。HTTP および HTTPS 要求から除外する URL を指定することもできます。

制約事項

Proxy Autoconfiguration(PAC; プロキシ自動設定)ファイルを HTTP プロキシ サーバからダウンロードするように指定できますが、PAC ファイルを指定するときにプロキシ認証を使用しない場合があります。

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

http-proxy および https-proxy

 

外部プロキシ サーバを使用して HTTP および HTTPS 要求を処理するように ASA を設定します。

ではサポートされていません。認証なしのプロキシと基本認証だけがサポートされています。

ステップ 3

http-proxy host [ port ] [ exclude url ] [ username username { password password }]

ステップ 4

https-proxy host [ port ] [ exclude url ] [ username username { password password }]

ステップ 5

http-proxy pac url

ステップ 6

(任意)

exclude

URL をプロキシ サーバに送信される可能性がある URL から除外します。

ステップ 7

host

外部プロキシ サーバのホスト名または IP アドレスを指定します。

ステップ 8

pac

ASA にダウンロードされた各 URL のプロキシを識別するために JavaScript 機能を使用するプロキシ自動コンフィギュレーション ファイル。

ステップ 9

(任意。ユーザ名を指定した場合にのみ使用可能)

password

基本的なプロキシ認証を提供するためにパスワードとともに各プロキシ要求と一緒に送信します。

ステップ 10

password

各 HTTP または HTTPS 要求とともにプロキシ サーバに送信されます。

ステップ 11

(任意)

port

プロキシ サーバが使用するポート番号を指定します。デフォルトの HTTP ポートは 80 です。デフォルトの HTTPS ポートは 443 です。代替値を指定しない場合、ASAはこれらの各ポートを使用します。範囲は 1 ~ 65535 です。

ステップ 12

url

exclude を入力した場合は、プロキシ サーバに送信される可能性がある URL から除外する URL またはカンマで区切った複数の URL のリストを入力します。このストリングには文字数の制限はありませんが、コマンド全体で 512 文字以下となるようにする必要があります。リテラル URL を指定するか、次のワイルドカードを使用できます。

* は、スラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは、英数字ストリングとともに使用する必要があります。

? は、スラッシュおよびピリオドを含む、任意の 1 文字に一致します。

[ x - y ] は、 x から y の範囲にある任意の 1 文字に一致します。ここで、 x は ANSI 文字セット内の 1 文字を、 y は ANSI 文字セット内の別の 1 文字を示します。

[ ! x - y ] は、この範囲内に存在しない任意の 1 文字に一致します。

ステップ 13

http-proxy pac を入力した場合、 http:// に続けてプロキシ自動設定ファイルの URL を入力します ( http:// の部分を省略すると、CLI はコマンドを無視します)。

ステップ 14

(任意)

username

基本的なプロキシ認証のためにユーザ名とともに各 HTTP プロキシ要求と一緒に送信します。このキーワードは、 http-proxy host コマンドでのみサポートされています。

ステップ 15

username

各 HTTP または HTTPS 要求とともにプロキシ サーバに送信されます。

ステップ 16

 

hostname(config-webvpn)# http-proxy 209.165.201.1 user jsmith password mysecretdonttell


hostname(config-webvpn)

次の設定の HTTP プロキシ サーバの使用を設定する方法を示しています。IP アドレスが 209.165.201.1 で、デフォルト ポートを使用し、各 HTTP 要求とともにユーザ名とパスワードを送信します。

ステップ 17

 

hostname(config-webvpn)# http-proxy 209.165.201.1 exclude www.example.com username jsmith password mysecretdonttell

hostname(config-webvpn)

同じコマンドの例を示しますが、前の例とは異なり、この例では、ASA が HTTP 要求で www.example.com という特定の URL を受信した場合には、プロキシ サーバに渡すのではなく自分自身で要求を解決します。

ステップ 18

 

hostname(config-webvpn)# http-proxy pac http:// www.example.com/pac

hostname(config-webvpn)

ブラウザにプロキシ自動設定ファイルを提供する URL を指定する方法を示します。

ASA クライアントレス SSL VPN コンフィギュレーションは、それぞれ 1 つの http-proxy コマンドと 1 つの https-proxy コマンドのみサポートしています。たとえば、 http-proxy コマンドの 1 インスタンスが実行コンフィギュレーションにすでに存在する場合に別のコマンドを入力すると、CLI が前のインスタンスを上書きします。


) プロキシ NTLM 認証は http-proxy ではサポートされていません。認証なしのプロキシと基本認証だけがサポートされています。


SSL/TLS 暗号化プロトコルの設定

前提条件

ポート転送には、Oracle Java ランタイム環境(JRE)が必要です。クライアントレス SSL VPN のユーザがいくつかの SSL バージョンに接続する場合、ポート転送は機能しません。サポートされている JRE バージョンについては、「 compatibility matrix 」を参照してください。

デジタル証明書による認証

SSL はデジタル証明書を使用して認証を行います。ASAは、ブート時に自己署名の SSL サーバ証明書を作成します。または、PKI コンテキストで発行された SSL 証明書をASAにインストールできます。HTTPS の場合、この証明書をクライアントにインストールする必要があります。

制約事項

MS Outlook、MS Outlook Express、Eudora などの電子メール クライアントは、証明書ストアにアクセスできません。

デジタル証明書を使用する認証と許可の詳細については、一般的な操作のコンフィギュレーション ガイドのを参照してください。


 

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

クライアントレス SSL VPN に組み込まれているアプリケーション プロファイル カスタマイゼーション フレームワーク オプションにより、ASA は標準以外のアプリケーションや Web リソースを処理し、クライアントレス SSL VPN 接続で正しく表示できます。APCF プロファイルには、特定のアプリケーションに関して、いつ(事前、事後)、どこの(ヘッダー、本文、要求、応答)、何(データ)を変換するかを指定するスクリプトがあります。スクリプトは XML 形式で記述され、sed(ストリーム エディタ)の構文を使用して文字列およびテキストを変換します。

APCF プロファイルは、ASA 上で、数種類を同時に実行することができます。1 つの APCF プロファイルのスクリプト内に複数の APCF ルールを適用することができます。この場合、ASAは、最も古いルール(設定履歴に基づいて)を最初に処理し、次に 2 番目に古いルール、その次は 3 番目という順序で処理します。

ASA で複数の APCF プロファイルを設定できます。1 つの APCF プロファイルのスクリプト内に複数の APCF ルールを適用することができます。ASA は、設定履歴に基づいて最も古いルールを最初に処理し、次に 2 番目に古いルール、その次は 3 番目という順序で処理します。

APCF プロファイルは、ASAのフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、または TFTP サーバに保存できます。

制約事項

APCF プロファイルは、シスコの担当者のサポートが受けられる場合のみ設定することをお勧めします。

手順の詳細

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

apcf

 
hostname(config)# webvpn

hostname(config-webvpn)# apcf flash:/apcf/apcf1.xml

 

hostname(config)# webvpn

hostname(config-webvpn)# apcf https://myserver:1440/apcf/apcf2.xml

ASA 上にロードする APCF プロファイルを特定および検索します。

フラッシュ メモリに保存されている apcf1.xml という名前の APCF プロファイルをイネーブルにする方法を示します。

ポート番号 1440、パスが /apcf の myserver という名前の https サーバにある APCF プロファイル apcf2.xml をイネーブルにする方法を示します。


 

APCF 構文

APCF プロファイルは、XML フォーマットおよび sed スクリプトの構文を使用します。 表 11-1 に、この場合に使用する XML タグを示します。

ガイドライン

APCF プロファイルの使い方を誤ると、パフォーマンスが低下したり、好ましくない表現のコンテンツになる場合があります。シスコのエンジニアリング部では、ほとんどの場合、APCF プロファイルを提供することで特定アプリケーションの表現上の問題を解決しています。

 

表 11-1 APCF XML タグ

タグ
使用目的

<APCF>...</APCF>

すべての APCF XML ファイルを開くための必須のルート要素。

<version>1.0</version>

APCF の実装バージョンを指定する必須のタグ。現在のバージョンは 1.0 だけです。

<application>...</application>

XML 記述の本文を囲む必須タグ。

<id> text </id>

この特定の APCF 機能を記述する必須タグ。

<apcf-entities>...</apcf-entities>

単一または複数の APCF エンティティを囲む必須タグ。

<js-object>...</js-object>

<html-object>...</html-object>

<process-request-header>...</process-request-header>

<process-response-header>...</process-response-header>

<preprocess-response-body>...</preprocess-response-body>

<postprocess-response-body>...</postprocess-response-body>

これらのタグのうちの 1 つが、コンテンツの種類または APCF 処理が実施される段階を指定します。

<conditions>...</conditions>

処理前および処理後の子要素タグで、次の処理基準を指定します。

http-version(1.1、1.0、0.9 など)

http-method(get、put、post、webdav)

http-scheme ("http"、"https" など)

("a".."z" | "A".."Z" | "0".."9" | ".-_*[]?"))を含む server-regexp 正規表現

("a".."z" | "A".."Z" | "0".."9" | ".-_*[]?+()\{},"))を含む server-fnmatch 正規表現

user-agent-regexp

user-agent-fnmatch

request-uri-regexp

request-uri-fnmatch

条件タグのうち 2 つ以上が存在する場合は、ASA はすべてのタグに対して論理 AND を実行します。

<action>...</action>

指定の条件下のコンテンツで実行する 1 つまたは複数のアクションを囲みます。これらのアクションは、<do>、<sed-script>、<rewrite-header>、<add-header>、および <delete-header> のタグで定義できます。

<do>...</do>

次のいずれかのアクションの定義に使用されるアクション タグの子要素です。

<no-rewrite/>:リモート サーバから受信したコンテンツを上書きしません。

<no-toolbar/>:ツールバーを挿入しません。

<no-gzip/>:コンテンツを圧縮しません。

<force-cache/>:元のキャッシュ命令を維持します。

<force-no-cache/>:オブジェクトをキャッシュできないようにします。

< downgrade-http-version-on-backend>:リモート サーバに要求を送信するときに HTTP/1.0 を使用します。

<sed-script> TEXT </sed-script>

テキストベースのオブジェクトのコンテンツの変更に使用されるアクション タグの子要素です。TEXT は有効な Sed スクリプトである必要があります。<sed-script> は、これより前に定義された <conditions> タグに適用されます。

<rewrite-header></rewrite-header>

アクション タグの子要素です。<header> の子要素タグで指定された HTTP ヘッダーの値を変更します(以下を参照してください)。

<add-header></add-header>

<header> の子要素タグで指定された新しい HTTP ヘッダーの追加に使用されるアクション タグの子要素です(以下を参照してください)。

<delete-header></delete-header>

<header> の子要素タグで指定された特定の HTTP ヘッダーの削除に使用されるアクション タグの子要素です(以下を参照してください)。

<header></header>

上書き、追加、または削除される HTTP ヘッダー名を指定します。たとえば、次のタグは Connection という名前の HTTP ヘッダーの値を変更します。

<rewrite-header>
<header>Connection</header>
<value>close</value>
</rewrite-header>

APCF の設定例

 
<APCF>
<version>1.0</version>
<application>
<id>Do not compress content from example.com</id>
<apcf-entities>
<process-request-header>
<conditions>
<server-fnmatch>*.example.com</server-fnmatch>
</conditions>
<action>
<do><no-gzip/></do>
</action>
</process-request-header>
</apcf-entities>
</application>
</APCF>
 
<APCF>
<version>1.0</version>
<application>
<id>Change MIME type for all .xyz objects</id>
<apcf-entities>
<process-response-header>
<conditions>
<request-uri-fnmatch>*.xyz</request-uri-fnmatch>
</conditions>
<action>
<rewrite-header>
<header>Content-Type</header>
<value>text/html</value>
</rewrite-header>
</action>
</process-response-header>
</apcf-entities>
</application>
</APCF>
 


 

パスワードの管理

オプションで、パスワードの期限切れが近づくとエンド ユーザに警告するようにASAを設定できます。

ASAでは、RADIUS および LDAP プロトコルのパスワード管理をサポートします。「password-expire-in-days」オプションは、LDAP のみでサポートされます。

IPsec リモート アクセスと SSL VPN トンネルグループのパスワード管理を設定できます。

パスワード管理を設定すると、ASA は、リモート ユーザのログイン時に、現在のパスワードの期限切れが近づいていること、または期限が切れていることを通知します。それからASAは、ユーザがパスワードを変更できるようにします。現行のパスワードが失効していない場合、ユーザはそのパスワードを使用してログインし続けることができます。

このコマンドは、そのような通知をサポートする AAA サーバに対して有効です。

ASAのリリース 7.1 以降では通常、LDAP による認証時、または MS-CHAPv2 をサポートする RADIUS コンフィギュレーションによる認証時に、次の接続タイプに対するパスワード管理がサポートされます。

AnyConnect VPN クライアント

IPsec VPN クライアント

クライアントレス SSL VPN

RADIUS サーバ(Cisco ACS など)は、認証要求を別の認証サーバにプロキシする場合があります。ただし、ASAからは RADIUS サーバのみに対して通信しているように見えます。

前提条件

ネイティブ LDAP には、SSL 接続が必要です。LDAP のパスワード管理を実行する前に、SSL 上での LDAP をイネーブルにする必要があります。デフォルトでは、LDAP はポート 636 を使用します。

認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun JAVA System Directory Server(旧名称は Sun ONE Directory Server)および Microsoft Active Directory を使用してサポートされます。

Sun:Sun ディレクトリ サーバにアクセスするためにASAに設定されている DN は、そのサーバ上のデフォルト パスワード ポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザを使用することを推奨します。または、デフォルト パスワード ポリシーに ACI を設定できます。


Microsoft:Microsoft Active Directory を使用したパスワード管理をイネーブルにするには、LDAP over SSL を設定する必要があります。

制約事項

MSCHAP をサポートする一部の RADIUS サーバは、現在 MSCHAPv2 をサポートしていません。このコマンドには MSCHAPv2 が必要なため、ベンダーに問い合わせてください。

Kerberos/Active Directory(Windows パスワード)または NT 4.0 ドメインでは、これらの接続タイプのいずれについても、パスワード管理はサポート されません

LDAP でパスワードを変更するには、市販の LDAP サーバごとに独自の方法が使用されています。現在、ASAでは Microsoft Active Directory および Sun LDAP サーバに対してのみ、独自のパスワード管理ロジックを実装しています。

RADIUS または LDAP 認証が設定されていない場合、ASAではこのコマンドが無視されます。

手順の詳細


) このコマンドは、パスワードが失効するまでの日数を変更するものではなく、ASA がユーザに対してパスワード失効の警告を開始してから失効するまでの日数を変更するものです。


コマンド
目的

ステップ 1

tunnel-group general-attributes

一般属性モードに切り替えます。

ステップ 2

password-management

パスワードの期限切れが近づいていることをリモート ユーザに通知します。

ステップ 3

password-expire-in-days

パスワードの有効期限を指定します。

ステップ 4

日数を入力します。

 

hostname(config)# tunnel-group testgroup type webvpn

hostname(config)# tunnel-group testgroup general-attributes

hostname(config-general)# password-management password-expire-in-days 90

キーワードを指定する場合は、日数も指定する必要があります。日数に 0 を設定すると、このコマンドはディセーブルになります。

(注) ASAは、ユーザに対して失効が迫っていることを通知しませんが、失効後にユーザはパスワードを変更できます。

接続プロファイル「testgroup」のパスワードの期限切れが近づいていることについて、警告を開始するまでの日数を 90 日に設定します。

クライアントレス SSL VPN でのシングル サインオンの使用

シングル サインオンのサポートを使用すると、クライアントレス SSL VPN のユーザは、ユーザ名とパスワードを 1 回入力するだけで、保護された複数のサービスや Web サーバにアクセスできます。一般に、SSO のメカニズムは AAA プロセスの一部として開始されるか、または AAA サーバのユーザ認証に成功した直後に開始されます。ASAで実行するクライアントレス SSL VPN サーバは、認証サーバに対するユーザのプロキシとして動作します。ユーザがログインすると、クライアントレス SSL VPN サーバは、ユーザ名とパスワードを含む SSO 認証要求を認証サーバに送信します。サーバが認証要求を受け入れた場合は、クライアントレス SSL VPN サーバに SSO 認証クッキーを戻します。ASAは、ユーザの代わりにこのクッキーを保持し、ユーザの認証にこのクッキーを使用して、SSO サーバで保護されているドメイン内の Web サイトの安全を守ります。

この項では、クライアントレス SSL VPN でサポートされる 4 つの SSO 認証方法について説明します。これらの認証方法には、HTTP Basic 認証と NTLMv1(NT LAN Manager)認証、Computer Associates の eTrust SiteMinder SSO サーバ(以前の Netegrity SiteMinder)、および Security Assertion Markup Language(SAML)のバージョン 1.1、POST-type SSO サーバ認証があります。

この項では、次の内容について説明します。

「HTTP Basic 認証または NTLM 認証による SSO の設定」

「SiteMinder を使用した SSO 認証の設定」

「SAML Browser Post Profile を使用した SSO 認証の設定」

「HTTP Form プロトコルを使用した SSO の設定」

HTTP Basic 認証または NTLM 認証による SSO の設定

この項では、HTTP Basic 認証または NTLM 認証を使用するシングル サインオンについて説明します。この方法のいずれかまたは両方を使用して SSO を実装するようにASAを設定することができます。 auto-signon コマンドを使用すると、ASAはクライアントレス SSL VPN ユーザのログインのクレデンシャル(ユーザ名およびパスワード)を内部サーバに自動的に渡すように設定されます。 auto-signon コマンドは 2 回以上入力することができます。コマンドを複数回入力すると、ASAは入力順(先に入力されたコマンドを優先)にこれらを処理します。IP アドレスと IP マスク、または URI マスクのいずれかを使用してログインのクレデンシャルを受信するようにサーバに指定します。

auto-signon コマンドは、webvpn コンフィギュレーション モード、webvpn グループ ポリシー モード、または webvpn ユーザ名モードのすべてで使用します。ユーザ名はグループより優先され、グループはグローバルより優先されます。モードは、次のように、必要な認証の範囲に応じて選択します。

 

モード
スコープ

webvpn コンフィギュレーション

クライアントレス SSL VPN ユーザ全員に対するグローバルな範囲

webvpn グループ ポリシー コンフィギュレーション

グループ ポリシーで定義されるクライアントレス SSL VPN ユーザのサブセット

webvpn ユーザ名コンフィギュレーション

個々のクライアントレス SSL VPN ユーザ

手順の詳細

次の例では、モードと引数の組み合わせが可能なさまざまなコマンドについて説明します。

コマンド
目的

ステップ 1

 

hostname(config)# webvpn

 

hostname(config-webvpn)# auto-signon allow ip 10.1.1.1 255.255.255.0 auth-type ntlm

NTLM 認証を使用し、10.1.1.0 ~ 10.1.1.255 の IP アドレス範囲に存在するサーバに対するすべてのクライアントレス SSL VPN ユーザからのアクセスに auto-signon を設定します。

ステップ 2

 

hostname(config)# webvpn

hostname(config-webvpn)# auto-signon allow uri https://*.example.com/* auth-type basic

基本の HTTP 認証を使用するすべてのクライアントレス SSL VPN ユーザに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに auto-signon を設定します。

ステップ 3

 

hostname(config)# group-policy ExamplePolicy attributes

hostname(config-group-policy)# webvpn

hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all

基本認証または NTLM 認証を使用して、ExamplePolicy グループ ポリシーと関連付けられているクライアントレス SSL VPN セッションに対し、URI マスクで定義されたサーバへのアクセスに auto-signon を設定します。

ステップ 4

 

hostname(config)# username Anyuser attributes

hostname(config-username)# webvpn

hostname(config-username-webvpn)# auto-signon allow ip 10.1.1.1 255.255.255.0 auth-type basic

HTTP 基本認証を使用し、10.1.1.0 ~ 10.1.1.255 の IP アドレス範囲に存在するサーバに対する Anyuser と名付けられたユーザからのアクセスに auto-signon を設定します。

ステップ 5

(config-webvpn)# smart-tunnel auto-signon <host-list> [use-domain] [realm <realm string>] [port <port num>] [host <host mask> | ip <address> <subnet mask>]

特定のポートで自動サインオンを設定し、認証のレルムを設定します。

SiteMinder を使用した SSO 認証の設定

この項では、SiteMinder を使用して SSO をサポートするためのASAの設定について説明します。ユーザの Web サイトのセキュリティ インフラストラクチャにすでに SiteMinder を組み込んでいる場合は、SiteMinder を使用して SSO を実装するのが一般的です。この方式では、SSO 認証は AAA とは分離され、AAA プロセスが完了するとこの認証が 1 回行われます。

前提条件

SSO サーバの指定。

ASAが SSO 認証要求を作成するための SSO サーバの URL の指定。

ASAと SSO サーバとの間でセキュアな通信を確立するための秘密キーの指定。このキーはパスワードのようなもので、ユーザが作成および保存し、Cisco Java プラグイン認証スキームを使用してASAおよび SiteMinder Policy Server の両方で入力します。

これらの必須のタスクに加えて、次のようなオプションの設定タスクを行うことができます。

認証要求のタイムアウトの設定。

認証要求のリトライ回数の設定。

制約事項

クライアントレス SSL VPN アクセスを行うユーザまたはグループに SSO を設定する場合は、まず RADIUS サーバや LDAP サーバなどの AAA サーバを設定する必要があります。次に、クライアントレス SSL VPN に対する SSO のサポートを設定できます。

手順の詳細

この項では、CA SiteMinder による SSO 認証をサポートするためのASAの特定の設定手順について説明します。SiteMinder を使用して SSO を設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

sso-server with the type option

 

hostname(config)# webvpn

hostname(config-webvpn)# sso-server Example type siteminder

hostname(config-webvpn-sso-siteminder)#

SSO サーバを作成します。

Example of type siteminder という名前の SSO サーバを作成します。

ステップ 3

config-webvpn-sso-siteminder

SiteMinder コンフィギュレーション モードに切り替えます。

ステップ 4

web-agent-url

 
hostname(config-webvpn-sso-siteminder)# w eb-agent-url http://www.Example.com/webvpn

hostname(config-webvpn-sso-siteminder)#

SSO サーバの認証 URL を指定します。

http://www.Example.com/webvpn という URL に認証要求を送信します。

ステップ 5

policy-server-secret

 
hostname(config-webvpn-sso-siteminder)# policy-server-secret AtaL8rD8!

hostname(config-webvpn-sso-siteminder)#

ASAと SiteMinder との間でセキュアな認証通信を確立するための秘密キーを指定します。

秘密キー AtaL8rD8! を作成します。キーの長さは、標準またはシフト式英数字を使用した任意の文字長にできますが、ASAと SSO サーバの両方で同じキーを入力する必要があります。

ステップ 6

request-timeout

 
hostname(config-webvpn-sso-siteminder)# request-timeout 8

hostname(config-webvpn-sso-siteminder)#

失敗した SSO 認証試行をタイムアウトさせるまでの秒数を設定します。デフォルトの秒数は 5 で、1 ~ 30 秒までの範囲で指定できます。

要求がタイムアウトするまでの秒数を 8 に変更します。

ステップ 7

max-retry-attempts

 
hostname(config-webvpn-sso-siteminder)# max-retry-attempts 4

hostname(config-webvpn-sso-siteminder)#

失敗した SSO 認証試行を ASA が再試行する回数を設定します。この回数を超えて失敗すると認証タイムアウトになります。デフォルトの再試行回数は 3 で、1 回から 5 回までの範囲で指定できます。

再試行回数を 4 に設定します。

ステップ 8

username-webvpn
group-policy-webvpn

ユーザの認証を指定する場合。
グループの認証を指定する場合。

ステップ 9

sso-server value

 
hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# sso-server value Example
hostname(config-username-webvpn)#

 

グループまたはユーザの SSO 認証を指定します。

Example という名前の SSO サーバを Anyuser という名前のユーザに割り当てます。

ステップ 10

test sso-server

 
hostname# test sso-server Example username Anyuser
INFO: Attempting authentication request to sso-server Example for user Anyuser
INFO: STATUS: Success

hostname#

SSO サーバの設定をテストします。

Example という名前の SSO サーバをユーザ名 Anyuser を使用してテストします。

シスコの認証スキームの SiteMinder への追加

SiteMinder による SSO を使用するためのASAの設定に加え、Java プラグインとして提供されているシスコの認証スキーム(シスコの Web サイトからダウンロード)を使用するようにユーザの CA SiteMinder Policy Server を設定する必要もあります。

前提条件

SiteMinder Policy Server を設定するには、SiteMinder の経験が必要です。

手順の詳細

この項では、手順のすべてではなく、一般的なタスクを取り上げます。ユーザの SiteMinder Policy Server にシスコの認証スキームを設定するには、次の手順を実行します。


ステップ 1 SiteMinder Administration ユーティリティを使用して、次の特定の引数を使用できるようにカスタム認証スキームを作成します。

Library フィールドに、 smjavaapi と入力します。

Secret フィールドに、ASAに設定したものと同じ秘密キーを入力します。

コマンドライン インターフェイスで policy-server-secret コマンドを使用して、ASAに秘密キーを設定します。

Parameter フィールドに、 CiscoAuthAPI と入力します。

ステップ 2 Cisco.com にログインして、 http://www.cisco.com/cisco/software/navigator.html から cisco_vpn_auth.jar ファイルをダウンロードして、SiteMinder サーバのデフォルトのライブラリ ディレクトリにコピーします。この .jar ファイルは、Cisco ASA CD にも含まれています。


 

SAML Browser Post Profile を使用した SSO 認証の設定

この項では、許可されたユーザに対し、Security Assertion Markup Language(SAML)、バージョン 1.1 POST プロファイル シングル サインオン(SSO)をサポートするためのASAの設定について説明します。

セッション開始後、ASAは設定済みの AAA 方式に対してユーザを認証します。次に、ASA(アサーティング パーティ)は、SAML サーバが提供するコンシューマ URL サービスであるリライング パーティに対してアサーションを生成します。SAML の交換が成功すると、ユーザは保護されているリソースへのアクセスを許可されます。次の 図 11-3 は、通信フローを示しています。

図 11-3 SAML の通信フロー

 

前提条件

SAML Browser Post Profile を使用して SSO を設定するには、次のタスクを実行する必要があります。

sso-server コマンドを使用した SSO サーバの指定

認証要求を行うための SSO サーバの URL の指定( assertion-consumer-url コマンド)

認証要求を発行するコンポーネントとしてのASA ホスト名の指定( issuer コマンド)

SAML Post Profile アサーションの署名に使用するトラストポイント証明書の指定( trustpoint コマンド)

これらの必須タスクに加えて、次のようなオプションの設定タスクを行うことができます。

認証要求のタイムアウトの設定( request-timeout コマンド)

認証要求のリトライ回数の設定( max-retry-attempts コマンド)

制約事項

SAML SSO は、クライアントレス SSL VPN セッションに対してのみサポートされています。

ASA は、現在、SAML SSO サーバの Browser Post Profile タイプのみをサポートしています。

SAML Browser Artifact プロファイル方式のアサーション交換はサポートされていません。

手順 の詳細

この項では、SAML Post Profile による SSO 認証をサポートするためのASAの特定の設定手順について説明します。SAML-V1.1-POST を使用して SSO を設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

sso-server with the type option

 
hostname(config)# webvpn
hostname(config-webvpn)# sso-server sample type SAML-V1.1-post

hostname(config-webvpn-sso-saml)#

SSO サーバを作成します。

Sample of type SAML-V1.1-POST という名前の SSO サーバを作成します。

ステップ 3

sso saml

webvpn-sso-saml コンフィギュレーション モードに切り替えます。

ステップ 4

assertion-consumer-url

 
hostname(config-webvpn-sso-saml)# assertion-consumer-url http://www.example.com/webvpn

hostname(config-webvpn-sso-saml)#

SSO サーバの認証 URL を指定します。

http://www.Example.com/webvpn という URL に認証要求を送信します。

ステップ 5

固有の文字列

 
hostname(config-webvpn-sso-saml)# issuer myasa

hostname(config-webvpn-sso-saml)#

ASA でアサーションを生成する場合は、ASA 自体を識別します。通常、この issuer 名は ASA のホスト名になります。

ステップ 6

trust-point

hostname(config-webvpn-sso-saml)# trust-point mytrustpoint

アサーションに署名するための ID 証明書を指定します。

ステップ 7

(任意)

request-timeout

 
hostname(config-webvpn-sso-saml)# request-timeout 8

hostname(config-webvpn-sso-saml)#

失敗した SSO 認証試行をタイムアウトさせるまでの秒数を設定します。

要求がタイムアウトするまでの秒数を 8 に設定します。デフォルトの秒数は 5 で、1 秒から 30 秒までの範囲で指定できます。

ステップ 8

(任意)

max-retry-attempts

 
hostname(config-webvpn-sso-saml)# max-retry-attempts 4

hostname(config-webvpn-sso-saml)#

認証がタイムアウトするまでに ASA が失敗した SSO 認証を再試行する回数を設定します。

再試行回数を 4 に設定します。デフォルトの再試行回数は 3 で、1 回から 5 回までの範囲で指定できます。

ステップ 9

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 10

group-policy-webvpn

username-webvpn

SSO サーバをグループ ポリシーに割り当てる場合。
SSO サーバをユーザ ポリシーに割り当てる場合。

ステップ 11

sso-server value

 
hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# sso-server value sample

hostname(config-username-webvpn)#

グループまたはユーザの SSO 認証を指定します。

Example という名前の SSO サーバを Anyuser という名前のユーザに割り当てます。

ステップ 12

test sso-server

 
hostname# test sso-server Example username Anyuser
INFO: Attempting authentication request to sso-server sample for user Anyuser

INFO: STATUS: Success

(特権 EXEC モード)SSO サーバの設定をテストします。

Example という名前の SSO サーバをユーザ名 Anyuser を使用してテストします。


 

SAML POST SSO サーバの設定

サーバ ソフトウェアのベンダーが提供する SAML サーバのマニュアルを使用して、Relying Party モードで SAML サーバを設定します。次の手順には、Browser Post Profile に SAML サーバを設定するために必要な特定のパラメータが一覧表示されています。

手順の詳細


ステップ 1 アサーティング パーティ(ASA)を表す SAML サーバ パラメータを設定します。

Recipient consumer URL(ASA で設定する assertion consumer URL と同一)

Issuer ID(通常はアプライアンスのホスト名である文字列)

Profile type:Browser Post Profile

ステップ 2 証明書を設定します。

ステップ 3 アサーティング パーティのアサーションには署名が必要なことを指定します。

ステップ 4 SAML サーバがユーザを特定する方法を、次のように選択します。

Subject Name Type が DN

Subject Name format が uid=<user>


 

HTTP Form プロトコルを使用した SSO の設定

この項では、SSO における HTTP Form プロトコルの使用について説明します。HTTP Form プロトコルは、SSO 認証を実行するための手段で、AAA 方式としても使用できます。このプロトコルは、クライアントレス SSL VPN のユーザおよび認証を行う Web サーバの間で認証情報を交換するセキュアな方法を提供します。RADIUS サーバや LDAP サーバなどの他の AAA サーバと組み合わせて使用することができます。

前提条件

HTTP プロトコルを使用して SSO を正しく設定するには、認証と HTTP プロトコル交換についての詳しい実務知識が必要です。

制約事項

これは、一般的なプロトコルとして、認証に使用する Web サーバ アプリケーションの次の条件に一致する場合にだけ適用できます。

認証クッキーは、正常な要求に対して設定され、未許可のログインに対して設定されないようにする必要があります。この場合、ASA は、失敗した認証から正常な要求を識別することはできません。

手順の詳細

ASAは、ここでも認証 Web サーバに対するクライアントレス SSL VPN のユーザのプロキシとして機能しますが、この場合は、要求に対して HTTP Form プロトコルと POST 方式を使用します。フォーム データを送受信するようにASAを設定する必要があります。図 11-4 は、次の SSO 認証手順を示しています。


ステップ 1 最初に、クライアントレス SSL VPN のユーザは、ユーザ名とパスワードを入力してASA上のクライアントレス SSL VPN サーバにログインします。

ステップ 2 ユーザのプロキシとして動作するクライアントレス SSL VPN サーバは、このフォーム データ(ユーザ名およびパスワード)を、POST 認証要求を使用して認証する Web サーバに転送します。

ステップ 3 認証する Web サーバがユーザのデータを承認した場合は、認証クッキーをユーザの代行で保存していたクライアントレス SSL VPN サーバに戻します。

ステップ 4 クライアントレス SSL VPN サーバはユーザまでのトンネルを確立します。

ステップ 5 これでユーザは、ユーザ名やパスワードを再入力しなくても、保護された SSO 環境内の他の Web サイトにアクセスできるようになります。

図 11-4 HTTP Form を使用した SSO 認証

 

ASAでユーザ名やパスワードなどの POST データを含めるようにフォーム パラメータを設定しても、Web サーバが要求する非表示のパラメータが追加されたことに、ユーザが最初に気付かない可能性があります。認証アプリケーションの中には、ユーザ側に表示されず、ユーザが入力することもない非表示データを要求するものもあります。ただし、認証 Web サーバが要求する非表示パラメータを見つけるのは可能です。これは、ASAを仲介役のプロキシとして使用せずに、ユーザのブラウザから Web サーバに直接認証要求を出す方法で行います。HTTP ヘッダー アナライザを使用して Web サーバの応答を分析すると、非表示パラメータが次のような形式で表示されます。

<param name>=<URL encoded value>&<param name>=<URL encoded>
 

非表示パラメータには、必須のパラメータとオプションのパラメータとがあります。Web サーバが非表示パラメータのデータを要求すると、Web サーバはそのデータを省略するすべての認証 POST 要求を拒否します。ヘッダー アナライザは、非表示パラメータが必須かオプションかについては伝えないため、必須のパラメータが判別できるまではすべての非表示パラメータを含めておくことをお勧めします。

HTTP 形式のプロトコルを使用した SSO を設定するには、次を実行する必要があります。

フォーム データ( action-uri )を受信および処理するために、認証 Web サーバのユニフォーム リソース識別子を設定する。

ユーザ名パラメータ( user-parameter )を設定する。

ユーザ パスワード パラメータ( password-parameter )を設定する。

認証 Web サーバの要件によっては次のタスクが必要になる場合もあります。

認証 Web サーバがログイン前のクッキー交換を必要とする場合は、開始 URL( start-url )を設定する。

認証 Web サーバが要求する任意の非表示認証パラメータ( hidden-parameter )を設定する。

認証 Web サーバによって設定される認証クッキーの名前( auth-cookie-name )を設定する。

コマンド
目的

ステップ 1

aaa-server-host

AAA サーバ ホスト コンフィギュレーション モードに切り替えます。

ステップ 2

start-url

 
hostname(config)# aaa-server testgrp1 protocol http-form
hostname(config)# aaa-server testgrp1 host 10.0.0.2
hostname(config-aaa-server-host)# start-url http://example.com / east/Area.do?Page-Grp1

hostname(config-aaa-server-host)#

認証 Web サーバが要求する場合は、認証 Web サーバから事前ログイン クッキーを取得するための URL を指定します。

http://example.com/east/Area.do?Page-Grp1 の URL 認証 Web サーバを、IP アドレス 10.0.0.2 の testgrp1 サーバ グループに指定します。

ステップ 3

action-uri

 

http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000a1311-a828-1185-ab41-8333b16a0008&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com

To specify this action URI, enter the following commands:

hostname(config-aaa-server-host)# action-uri http://www.example.com/auth/index.htm
hostname(config-aaa-server-host)# action-uri l/appdir/authc/forms/MCOlogin.fcc?TYP
hostname(config-aaa-server-host)# action-uri 554433&REALMOID=06-000a1311-a828-1185
hostname(config-aaa-server-host)# action-uri -ab41-8333b16a0008&GUID=&SMAUTHREASON
hostname(config-aaa-server-host)# action-uri =0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk
hostname(config-aaa-server-host)# action-uri 3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6r
hostname(config-aaa-server-host)# action-uri B1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F
hostname(config-aaa-server-host)# action-uri %2Fauth.example.com

hostname(config-aaa-server-host)#

認証 Web サーバ上の認証プログラムの URI を指定します。

1 つの URI を連続する複数行にわたって入力することができます。1 行あたりの最大文字数は 255 です。URI 全体の最大文字数は 2048 です。

アクション URI にホスト名とプロトコルを含める必要があります。この例では、これらは http://www.example.com の URI の最初に表示されます。

ステップ 4

user-parameter

 
hostname(config-aaa-server-host)# user-parameter userid

hostname(config-aaa-server-host)#

HTTP POST 要求のユーザ名パラメータを設定します。

ユーザ名パラメータ userid を設定します。

ステップ 5

password-parameter

 
hostname(config-aaa-server-host)# password-parameter user_password

hostname(config-aaa-server-host)#

HTTP POST 要求のユーザ パスワード パラメータを設定します。

user_password という名前のユーザ パスワード パラメータを設定します。

ステップ 6

hidden-parameter

 

SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do%3FEMCOPageCode%3DENG&smauthreason=0

 

To specify this hidden parameter, enter the following commands:

hostname(config)# aaa-server testgrp1 host example.com
hostname(config-aaa-server-host)# hidden-parameter SMENC=ISO-8859-1&SMLOCALE=US-EN&targe
hostname(config-aaa-server-host)# hidden-parameter t=https%3A%2F%2Fwww.example.com%2Femc
hostname(config-aaa-server-host)# hidden-parameter o%2Fappdir%2FAreaRoot.do%3FEMCOPageCo
hostname(config-aaa-server-host)# hidden-parameter de%3DENG&smauthreason=0

hostname(config-aaa-server-host)#

認証 Web サーバと交換するための非表示パラメータを指定します。

POST 要求から抜粋した非表示パラメータの例を示します。この非表示パラメータには、間を & で区切った 4 つの Form エントリとその値が含まれています。4 つのエントリとその値は次のとおりです。

SMENC、値は ISO-8859-1。

SMLOCALE、値は US-EN。

target エントリおよび値 https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do。

%3FEMCOPageCode%3DENG。

smauthreason、値は 0。

ステップ 7

(任意)

auth-cookie-name

 
hostname(config-aaa-server-host)# auth-cookie-name SsoAuthCookie

hostname(config-aaa-server-host)#

認証クッキーの名前を指定します。

SsoAuthCookie という認証クッキー名を指定します。

ステップ 8

tunnel-group general-attributes

トンネル グループ一般属性コンフィギュレーション モードに切り替えます。

ステップ 9

authentication-server-group

 
hostname(config)# tunnel-group testgroup general-attributes

hostname(config-tunnel-general) #authentication-server-group testgrp1

前の手順で設定された SSO サーバを使用するためのトンネル グループを設定します。

/testgrp1/ という名前の SSO サーバを使用するための、/testgroup/ という名前のトンネル グループを設定します。

ステップ 10

aaa-server-host

AAA サーバ ホスト コンフィギュレーション モードに切り替えます。

ステップ 11

hidden-parameter

 

SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do%3FEMCOPageCode%3DENG&smauthreason=0

 

To specify this hidden parameter, enter the following commands:

hostname(config)# aaa-server testgrp1 host example.com
hostname(config-aaa-server-host)# hidden-parameter SMENC=ISO-8859-1&SMLOCALE=US-EN&targe
hostname(config-aaa-server-host)# hidden-parameter t=https%3A%2F%2Fwww.example.com%2Femc
hostname(config-aaa-server-host)# hidden-parameter o%2Fappdir%2FAreaRoot.do%3FEMCOPageCo
hostname(config-aaa-server-host)# hidden-parameter de%3DENG&smauthreason=0

hostname(config-aaa-server-host)#

認証 Web サーバと交換するための非表示パラメータを指定します。

POST 要求から抜粋した非表示パラメータの例を示します。この非表示パラメータには、間を & で区切った 4 つの Form エントリとその値が含まれています。4 つのエントリとその値は次のとおりです。

SMENC、値は ISO-8859-1。

SMLOCALE、値は US-EN。

target エントリおよび値 https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do。

%3FEMCOPageCode%3DENG。

smauthreason、値は 0。

ステップ 12

(任意)

auth-cookie-name

 
hostname(config-aaa-server-host)# auth-cookie-name SsoAuthCookie

hostname(config-aaa-server-host)#

認証クッキーの名前を指定します。

SsoAuthCookie という認証クッキー名を指定します。

ステップ 13

tunnel-group general-attributes

トンネル グループ一般属性モードに切り替えます。

ステップ 14

authentication-server-group

 
hostname(config)# tunnel-group testgroup general-attributes

hostname(config-tunnel-general) #authentication-server-group testgrp1

前の手順で設定された SSO サーバを使用するためのトンネル グループを設定します。

/testgrp1/ という名前の SSO サーバを使用するための、/testgroup/ という名前のトンネル グループを設定します。


 

HTTP Form データの収集

この項では、必要な HTTP Form データを検出および収集する手順を示します。認証 Web サーバが要求するパラメータが何かわからない場合は、次の手順を実行して認証交換を分析するとパラメータ データを収集することができます。

前提条件

これらの手順では、ブラウザと HTTP ヘッダー アナライザが必要です。

手順の詳細


ステップ 1 ユーザのブラウザと HTTP ヘッダー アナライザを起動して、ASAを経由せずに Web サーバのログイン ページに直接接続します。

ステップ 2 Web サーバのログイン ページがユーザのブラウザにロードされてから、ログイン シーケンスを検証して交換時にクッキーが設定されているかどうか判別します。Web サーバによってログイン ページにクッキーがロードされている場合は、このログイン ページの URL を start-URL として設定します。

ステップ 3 Web サーバにログインするためのユーザ名とパスワードを入力して、Enter を押します。この動作によって、ユーザが検証する認証 POST 要求が HTTP ヘッダー アナライザを使用して生成されます。

次に、ホストの HTTP ヘッダーおよび本文が記載された POST 要求の例を示します。

POST
/emco/myemco/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000430e1-7443-125c-ac05
-83846dc90034&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIr
NT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fwww.example.com%2Femco%2Fmye
mco%2FHTTP/1.1

Host: www.example.com

(BODY)

SMENC=ISO-8859-1&SMLOCALE=US-EN&USERID=Anyuser&USER_PASSWORD=XXXXXX&target=https%3A%2F%
2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0

ステップ 4 POST 要求を検証してプロトコル、ホストをコピーし、URL を入力して action-uri パラメータを設定します。

ステップ 5 POST 要求の本文を検証して、次の情報をコピーします。

a. ユーザ名パラメータ。上記の例では、このパラメータは USERID で、値 anyuser ではありません。

b. パスワード パラメータ。上記の例では、このパラメータは USER_PASSWORD です。

c. 非表示パラメータ。このパラメータは、POST 本文からユーザ名パラメータとパスワード パラメータを除くすべてです。上記の例では、非表示パラメータは、SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0 の部分です。

図 11-5 は、HTTP アナライザの出力例に表示される action URI、非表示、ユーザ名、パスワードの各種パラメータを強調して示したものです。これは一例です。出力は Web サイトによって大幅に異なることがあります。

図 11-5 action-uri、非表示、ユーザ名、パスワードの各種パラメータ

 

 

1

action URI パラメータ

2

非表示パラメータ

3

ユーザ名パラメータとパスワード パラメータ

ステップ 6 Web サーバへのログインが成功したら、HTTP ヘッダー アナライザを使用して、サーバからユーザのブラウザに設定されているクッキー名を見つけ出すことによって、サーバの応答を検証します。これは auth-cookie-name パラメータです。

次のサーバ応答ヘッダーでは、SMSESSION がセッションのクッキーの名前です。必要なのはこの名前だけです。値は不要です。

 

図 11-6 に、HTTP アナライザによる許可クッキーの出力例を示します。これは一例です。出力は Web サイトによって大幅に異なることがあります。

図 11-6 HTTP アナライザの出力例に表示された許可クッキー

 

 

1

許可クッキー

ステップ 7 場合によっては、認証の成否にかかわらず同じクッキーがサーバによって設定される可能性があり、このようなクッキーは、SSO の目的上、認められません。Cookie が異なっていることを確認するには、無効なログイン クレデンシャルを使用してステップ 1 からステップ 6 を繰り返し、「失敗」Cookie と「成功した」Cookie とを比較します。

これで、HTTP Form プロトコルによる SSO をASAに設定するために必要なパラメータ データを入手できました。


 

プラグインの SSO の設定

プラグインは、シングル サインオン(SSO)をサポートします。プラグインは、クライアントレス SSL VPN セッションを認証するときに入力したクレデンシャルと同じクレデンシャル(ユーザ名とパスワード)を使用します。プラグインはマクロ置換をサポートしないため、内部ドメイン パスワードなどのさまざまなフィールドや、RADIUS または LDAP サーバの属性で SSO を実行するオプションはありません。

プラグインに対して SSO サポートを設定するには、プラグインをインストールし、サーバへのリンクを表示するためのブックマーク エントリを追加します。また、csco_sso=1 パラメータを使用して SSO サポートを指定します。次に、SSO 用にイネーブルにするプラグインのブックマークの例を示します。

ssh://ssh-server/?cisco_sso=1
rdp://rdp-server/?Parameter1=value&Parameter2=value&csco_sso=1

マクロ置換による SSO の設定

ここでは、SSO のマクロ置換の使用について説明します。マクロ置換を使用して SSO を設定することで、ブックマークに特定の変数を挿入して動的な値に置換できます。


) スマート トンネル ブックマークでは、自動サインオンはサポートされていますが変数置換はサポートされていません。たとえば、スマート トンネル向けに設定された SharePoint ブックマークは、アプリケーションにログインするために、クライアントレス SSL VPN にログインするために使用するクレデンシャルと同じユーザ名とパスワードを使用します。変数置換および自動サインオンは同時に、または別々に使用できます。

一部の Web ページでの自動サインオンに、マクロ置換を含むブックマークを使用できるようになりました。以前の POST プラグイン アプローチは、管理者がサインオン マクロを含む POST ブックマークを指定し、POST 要求のポストの前にロードするキックオフ ページを受信できるようにするために作成されました。この POST プラグイン アプローチでは、クッキーまたはその他のヘッダー項目の存在を必要とする要求は排除されました。現在は、管理者は事前ロード ページおよび URL を決定し、これによってポスト ログイン要求の送信場所が指定されます。事前ロード ページによって、エンドポイント ブラウザは、クレデンシャルを含む POST 要求を使用するのではなく、Web サーバまたは Web アプリケーションに送信される特定の情報を取得できます。


次に、ブックマーク内の置換およびフォームベースの HTTP POST 操作が可能な変数(またはマクロ)を示します。

CSCO_WEBVPN_USERNAME:ユーザ ログイン ID。

CSCO_WEBVPN_PASSWORD:ユーザ ログイン パスワード。

CSCO_WEBVPN_INTERNAL_PASSWORD:ユーザ内部(またはドメイン)パスワード。このキャッシュ済みクレデンシャルは、AAA サーバに対して認証されません。この値を入力すると、セキュリティ アプライアンスは、パスワードまたはプライマリ パスワードの値ではなく、この値を自動サインオンのパスワードとして使用します。


) 上記の 3 つの変数は、GET ベースの HTTP(S)ブックマークでは使用できません。これらの値を使用できるのは、POST ベースの HTTP(S)および CIFS ブックマークだけです。


CSCO_WEBVPN_CONNECTION_PROFILE:ユーザ ログイン グループ ドロップダウン(接続プロファイルのエイリアス)。

CSCO_WEBVPN_MACRO1:RADIUS-LDAP の Vendor Specific Attribute(VSA; ベンダー固有属性)によって設定されます。LDAP から ldap-attribute-map コマンドをマッピングしている場合、このマクロの Cisco 属性である WebVPN-Macro-Substitution-Value1 を使用します。次の URL にある、Active Directory での LDAP 属性マッピングの例を参照してください。 http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/ref_extserver.html#wp1572118

RADIUS による CSCO_WEBVPN_MACRO1 のマクロ置換は、VSA#223 によって行われます( 表 11-2 を参照)。

表 11-2 VSA#223

WebVPN-Macro-Value1

Y

223

文字列

シングル

無制限

WebVPN-Macro-Value2

Y

224

文字列

シングル

無制限

特定の DAP またはグループ ポリシーについて、https://CSCO_WEBVPN_MACRO1 や https://CSCO_WEBVPN_MACRO2 のようにすると、www.cisco.com/email などの値が、クライアントレス SSL VPN ポータルのブックマークに動的に読み込まれます。

CSCO_WEBVPN_MACRO2:RADIUS-LDAP のベンダー固有属性(VSA)によって設定されます。LDAP から ldap-attribute-map コマンドをマッピングしている場合、このマクロの Cisco 属性である WebVPN-Macro-Substitution-Value2 を使用します。次の URL にある、Active Directory での LDAP 属性マッピングの例を参照してください。 http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/ref_extserver.html#wp1572118

RADIUS による CSCO_WEBVPN_MACRO2 のマクロ置換は、VSA#224 によって行われます( 表 11-2 を参照)。

クライアントレス SSL VPN が(ブックマークの形式または POST 形式の)エンドユーザの要求内にあるこれらの 6 つの文字列のいずれかを認識するたびに、文字列がユーザ指定の値に置き換えられ、この要求がリモート サーバに渡されます。

ユーザ名とパスワードのルックアップが ASA で失敗した場合は、空の文字列で置き換えられ、動作は自動サインインが不可の場合の状態に戻されます。

Virtual Desktop Infrastructure(VDI)へのアクセス

VDI モデルでは、管理者は、企業アプリケーションまたは企業アプリケーションに事前にロードされているデスクトップをパブリッシュし、エンド ユーザは、これらのアプリケーションにリモート アクセスします。これらの仮想リソースは、ユーザが Citrix Access Gateway を移動してアクセスする必要がないように、電子メールなどのその他のリソースと同様に表示されます。ユーザは Citrix Receiver モバイル クライアントを使用して ASA にログオンし、ASA は事前定義された Citrix XenApp または XenDesktop サーバに接続されます。ユーザが Citrix の仮想化されたリソースに接続する場合に、Citrix サーバのアドレスおよびクレデンシャルをポイントするのではなく、ASA の SSL VPN IP アドレスおよびクレデンシャルを入力するように、管理者は [Group Policy] で Citrix サーバのアドレスおよびログオン クレデンシャルを設定する必要があります。ASA がクレデンシャルを確認したら、受信側クライアントは ASA 経由で許可されているアプリケーションの取得を開始します。

サポートされているモバイル デバイス

iPad:Citrix Receiver バージョン 4.x 以降

iPhone/iTouch:Citrix Receiver バージョン 4.x 以降

Android 2.x/3.x/4.0/4.1 電話機:Citrix Receiver バージョン 2.x 以降

Android 4.0 電話機:Citrix Receiver バージョン 2.x 以降

制限事項

Citrix Receiver クライアントがアクセスできる XenApp/XenDesktop サーバは一度に 1 つのみです。

手順の詳細

ユーザ名とグループ ポリシーが両方とも設定されている場合、ユーザ名の設定は、グループ ポリシーに優先します。次を入力します。

configure terminal
group-policy DfltGrpPolicy attributes
webvpn
vdi type <citrix> url <url> domain <domain> username <username> password
<password>
configure terminal
username <username> attributes
webvpn
vdi type <citrix> url <url> domain <domain> username <username> password
<password>]
 

構文オプションは、次のように定義されます。

type:VDI のタイプ。Citrix Receiver タイプの場合、この値は citrix にする必要があります。

url:http または https、ホスト名、ポート番号、および XML サービスへのパスを含む XenApp または XenDesktop サーバの完全な URL。

username:仮想化インフラストラクチャ サーバにログインするためのユーザ名。この値は、クライアントレス マクロにすることができます。

password:仮想化インフラストラクチャ サーバにログインするためのパスワード。この値は、クライアントレス マクロにすることができます。

domain:仮想化インフラストラクチャ サーバにログインするためのドメイン。この値は、クライアントレス マクロにすることができます。


 

エンコーディング

エンコーディングを使用すると、クライアントレス SSL VPN ポータル ページの文字エンコーディングを表示または指定できます。

文字エンコーディング は「文字コード」や「文字セット」とも呼ばれ、raw データ(0 や 1 など)を文字と組み合わせ、データを表します。使用する文字エンコード方式は、言語によって決まります。単一の方式を使う言語もあれば、使わない言語もあります。通常は、地域によってブラウザで使用されるデフォルトのコード方式が決まりますが、リモート ユーザが変更することもできます。ブラウザはページに指定されたエンコードを検出することもでき、そのエンコードに従ってドキュメントを表示します。

エンコード属性によりポータル ページで使用される文字コード方式の値を指定することで、ユーザがブラウザを使用している地域や、ブラウザに対する何らかの変更に関係なく、ページが正しく表示されるようにできます。

デフォルトでは、ASA は「Global Encoding Type」を Common Internet File System(共通インターネット ファイル システム)サーバからのページに適用します。CIFS サーバと適切な文字エンコーディングとのマッピングを、[Global Encoding Type] 属性によってグローバルに、そしてテーブルに示されているファイル エンコーディング例外を使用して個別に行うことにより、ファイル名やディレクトリ パス、およびページの適切なレンダリングが問題となる場合に、CIFS ページが正確に処理および表示できるようにします。

手順の詳細


ステップ 1 [Global Encoding Type] によって、表に記載されている CIFS サーバからの文字エンコーディングを除いて、すべてのクライアントレス SSL VPN ポータル ページが継承する文字エンコーディングが決まります。文字列を入力するか、ドロップダウン リストから選択肢を 1 つ選択します。リストには、最も一般的な次の値だけが表示されます。

big5

gb2312

ibm-850

iso-8859-1

shift_jis


) 日本語の Shift_jis 文字エンコーディングを使用している場合は、関連付けられている [Select Page Font] ペインの [Font Family] 領域にある [Do not specify] をクリックして、このフォント ファミリを削除します。


unicode

windows-1252

none


) [none] をクリックするか、またはクライアントレス SSL VPN セッションのブラウザがサポートしていない値を指定した場合には、ブラウザのデフォルトのコードが使用されます。


最大 40 文字から成り、 http://www.iana.org/assignments/character-sets で指定されているいずれかの有効文字セットと同じ文字列を入力できます。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。このストリングは、大文字と小文字が区別されません。ASAの設定を保存したときに、コマンド インタープリタが大文字を小文字に変換します。

ステップ 2 エンコーディング要件が [Global Encoding Type] 属性設定とは異なる CIFS サーバの名前または IP アドレスを入力します。ASAでは、指定した大文字と小文字の区別が保持されますが、名前をサーバと照合するときには大文字と小文字は区別されません。

ステップ 3 CIFS サーバがクライアントレス SSL VPN ポータル ページに対して指定する必要のある文字エンコーディングを選択します。文字列を入力するか、ドロップダウン リストから選択します。リストには、最も一般的な次の値だけが登録されています。

big5

gb2312

ibm-850

iso-8859-1

shift_jis


) 日本語の Shift_jis 文字エンコーディングを使用している場合は、関連付けられている [Select Page Font] ペインの [Font Family] 領域にある [Do not specify] をクリックして、このフォント ファミリを削除します。


unicode

windows-1252

none

[none] をクリックするか、またはクライアントレス SSL VPN セッションのブラウザがサポートしていない値を指定した場合には、ブラウザのデフォルトのコードが使用されます。

最大 40 文字から成り、 http://www.iana.org/assignments/character-sets で指定されているいずれかの有効文字セットと同じ文字列を入力できます。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。このストリングは、大文字と小文字が区別されません。ASAの設定を保存したときに、コマンド インタープリタが大文字を小文字に変換します。

リソース アクセスのためのクライアントレス SSL VPN ポリシーの作成と適用

内部サーバにあるリソースへのアクセスを制御するクライアントレス SSL VPN ポリシーを作成および適用するには、次のタスクを実行します。

グループ ポリシーへのユーザの割り当て

「接続プロファイル、グループ ポリシー、およびユーザの設定」では、これらのタスクについての詳細な手順を説明しています。

グループ ポリシーへのユーザの割り当て

ユーザをグループ ポリシーに割り当てると、複数のユーザにポリシーを適用することで設定が容易になります。ユーザをグループ ポリシーに割り当てるには、ASA の内部認証サーバ、外部 RADIUS または LDAP サーバを使用できます。グループ ポリシーを使用して設定を簡略化する方法の説明については、「接続プロファイル、グループ ポリシー、およびユーザの設定」を参照してください。

クライアントレス SSL VPN の接続プロファイルの属性の設定

表 11-3 は、クライアントレス SSL VPN に固有の接続プロファイル属性のリストです。これらの属性に加えて、すべての VPN 接続に共通の一般接続プロファイルの属性を設定します。接続プロファイルの設定に関する手順ごとの情報については、「接続プロファイル、グループ ポリシー、およびユーザの設定」を参照してください。


) 以前のリリースでは、「接続プロファイル」は「トンネル グループ」として知られていました。接続プロファイルは tunnel-group コマンドで設定します。この章では、この 2 つの用語が同義的によく使用されています。


 

表 11-3 クライアントレス SSL VPN 用接続プロファイルの属性

コマンド
機能

authentication

認証方式を設定します。

customization

適用するすでに定義済みのカスタマイゼーションの名前を指定します。

exit

トンネル グループ WebVPN 属性コンフィギュレーション モードを終了します。

nbns-server

CIFS 名前解決に使用する NetBIOS ネーム サービス サーバ(nbns-server)の名前を指定します。

group-alias

サーバが接続プロファイルの参照に使用できる代替名を指定します。

group-url

1 つ以上のグループ URL を指定します。この属性で URL を確立すると、ユーザがその URL を使用してアクセスするときにこのグループが自動的に選択されます。

dns-group

DNS サーバ名、ドメイン名、ネーム サーバ、リトライの回数、およびタイムアウト値を指定する DNS サーバ グループを指定します。

help

トンネル グループ コンフィギュレーション コマンドのヘルプを提供します。

hic-fail-group-policy

Cisco Secure Desktop Manager を使用して、グループベース ポリシー属性を「Use Failure Group-Policy」または「Use Success Group-Policy, if criteria match」に設定する場合は、VPN 機能ポリシーを指定します。

no

属性値のペアを削除します。

override-svc-download

AnyConnect VPN クライアントをリモート ユーザにダウンロードするために、設定されているグループ ポリシー属性またはユーザ名属性のダウンロードが上書きされます。

pre-fill-username

このトンネル グループの証明書のバインディングにユーザ名を設定します。

proxy-auth

特定のプロキシ認証トンネル グループとしてこのトンネル グループを識別します。

radius-reject-message

認証が拒否されたときに、ログイン画面に RADIUS 拒否メッセージを表示します。

secondary-pre-fill-username

このトンネル グループの証明書のバインディングにセカンダリ ユーザ名を設定します。

without-csd

トンネル グループの CSD をディセーブルにします。

クライアントレス SSL VPN のグループ ポリシー属性とユーザ属性の設定

表 11-4 に、クライアントレス SSL VPN のグループ ポリシー属性とユーザ属性をリストで示します。グループ ポリシー属性とユーザ属性の設定手順については、「接続プロファイル、グループ ポリシー、およびユーザの設定」「グループ ポリシーの設定」および「個々のユーザの属性の設定」を参照してください。

 

表 11-4 クライアントレス SSL VPN のグループ ポリシー属性とユーザ属性

コマンド
機能

activex-relay

クライアントレス SSL VPN セッションを確立したユーザが、ブラウザを使用して Microsoft Office アプリケーションを起動できるようになります。アプリケーションは、セッションを使用して ActiveX のダウンロードとアップロードを行います。ActiveX のリレーは、クライアントレス SSL VPN セッションを終了するまで有効なままです。

auto-signon

自動サインオンの値を設定します。設定ではクライアントレス SSL VPN への初回の接続のみユーザ名およびパスワードのクレデンシャルが必要です。

customization

カスタマイゼーション オブジェクトをグループ ポリシーまたはユーザに割り当てます。

deny-message

クライアントレス SSL VPN に正常にログインできるが、VPN 特権を持たないリモート ユーザに送信するメッセージを指定します。

file-browsing

ファイル サーバとファイル共有の CIFS ファイル ブラウジングをイネーブルにします。ブラウズには、NBNS(マスター ブラウザまたは WINS)が必要です。

file-entry

アクセスするファイル サーバ名の入力をユーザに許可します。

filter

webtype アクセス リストの名前を設定します。

hidden-shares

非表示の CIFS 共有ファイルの可視性を制御します。

homepage

ログイン時に表示される Web ページの URL を設定します。

html-content-filter

このグループ ポリシー用の HTML からフィルタリングするコンテンツとオブジェクトを設定します。

http-comp

圧縮を設定します。

http-proxy

HTTP 要求の処理に外部プロキシ サーバを使用するようにASAを設定します。

ではサポートされていません。認証なしのプロキシと基本認証だけがサポートされています。

keep-alive-ignore

セッション タイマーのアップデートを無視するオブジェクトの最大サイズを設定します。

port-forward

転送するクライアントレス SSL VPN TCP ポートのリストを適用します。ユーザ インターフェイスにこのリスト上のアプリケーションが表示されます。

post-max-size

ポストするオブジェクトの最大サイズを設定します。

smart-tunnel

スマート トンネルを使用するプログラムと複数のスマート トンネル パラメータのリストを設定します。

sso-server

SSO サーバの名前を設定します。

storage-objects

セッションとセッションの間に保存されたデータのストレージ オブジェクトを設定します。

svc

SSL VPN クライアント属性を設定します。

unix-auth-gid

UNIX グループ ID を設定します。

unix-auth-uid

UNIX ユーザ ID を設定します。

upload-max-size

アップロードするオブジェクトの最大サイズを設定します。

url-entry

ユーザが HTTP/HTTP URL を入力する機能を制御します。

url-list

エンド ユーザのアクセス用にクライアントレス SSL VPN のポータル ページに表示されるサーバと URL のリストを適用します。

user-storage

セッション間のユーザ データを保存する場所を設定します。

プラグインへのブラウザ アクセスの設定

次の項では、クライアントレス SSL VPN のブラウザ アクセス用のブラウザ プラグインの統合について説明します。

「プラグインのためのセキュリティ アプライアンスの準備」

「シスコが再配布しているプラグインのインストール」

「Citrix XenApp Server へのアクセスの提供」

ブラウザ プラグインは、Web ブラウザによって呼び出される独立したプログラムで、ブラウザ ウィンドウ内でクライアントをサーバに接続するなどの専用の機能を実行します。ASAを使用すると、クライアントレス SSL VPN セッション中に、リモート ブラウザにダウンロードするプラグインをインポートできます。通常、シスコでは再配布するプラグインのテストを行っており、再配布できないプラグインの接続性をテストする場合もあります。ただし、現時点では、ストリーミング メディアをサポートするプラグインのインポートは推奨しません。

プラグインをフラッシュ デバイスにインストールすると、ASAは次の処理を実行します。

(シスコが配布したプラグインのみ) URL で指定した jar ファイルを解凍する。

ASA ファイル システムにファイルを書き込みます。

ASDM の URL 属性の横にあるドロップダウン メニューに情報を入力します。

将来のすべてのクライアントレス SSL VPN セッションに対するプラグインのイネーブル化、およびメイン メニュー オプションの追加とポータル ページの [Address] フィールドの隣にあるドロップダウン メニューへのオプションの追加

表 11-5 に、次の項で説明するプラグインを追加したときの、ポータル ページのメイン メニューと [Address] フィールドの変更点を示します。

 

表 11-5 クライアントレス SSL VPN ポータル ページへのプラグインの影響

プラグイン
ポータル ページに追加されるメイン メニュー オプション
ポータル ページに追加される [Address] フィールド オプション

ica

Citrix MetaFrame Services

ica://

rdp

Terminal Servers

rdp://

rdp2*

Terminal Servers Vista

rdp2://

ssh,telnet

Secure Shell

ssh://

Telnet services(v1 および v2 をサポート)

telnet://

vnc

Virtual Network Computing services

vnc://

* 推奨されないプラグイン。

クライアントレス SSL VPN セッションのユーザがポータル ページで関連するメニュー オプションをクリックすると、ポータル ページにインターフェイスへのウィンドウが開き、ヘルプ ペインが表示されます。ドロップダウン メニューに表示されたプロトコルをユーザが選択して [Address] フィールドに URL を入力すると、接続を確立できます。

プラグインは、シングル サインオン(SSO)をサポートします。実装の詳細については、「HTTP Form プロトコルを使用した SSO の設定」を参照してください。

リモートで使用するために必要な最低限のアクセス権は、ゲスト特権モードに属しています。

前提条件

プラグインへのリモートアクセスを提供するには、ASAでクライアントレス SSL VPN をイネーブルにする必要があります。

プラグインに対して SSO サポートを設定するには、プラグインをインストールし、サーバへのリンクを表示するためのブックマーク エントリを追加します。また、ブックマークを追加するときに、SSO サポートを指定します。

リモートで使用するために必要な最低限のアクセス権は、ゲスト特権モードに属しています。

プラグインには、ActiveX または Oracle Java ランタイム環境(JRE)が必要です。バージョン要件については、「 compatibility matrix 」を参照してください。

制約事項


) Remote Desktop Protocol プラグインでは、セッション ブローカを使用したロード バランシングはサポートされていません。プロトコルによるセッション ブローカからのリダイレクションの処理方法のため、接続に失敗します。セッション ブローカが使用されていない場合、プラグインは動作します。


プラグインは、シングル サインオン(SSO)をサポートします。プラグインは、クライアントレス SSL VPN セッションを開くときに入力したクレデンシャルと 同じ クレデンシャルを使用します。プラグインはマクロ置換をサポートしないため、内部ドメイン パスワードなどのさまざまなフィールドや、RADIUS または LDAP サーバの属性で SSO を実行するオプションはありません。

ステートフル フェールオーバーが発生すると、プラグインを使用して確立されたセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

ステートフル フェールオーバーではなくステートレス フェールオーバーを使用する場合は、ブックマーク、カスタマイゼーション、ダイナミック アクセス ポリシーなどのクライアントレス機能はフェールオーバー ASA ペア間で同期されません。フェールオーバーの発生時に、これらの機能は動作しません。

プラグインのためのセキュリティ アプライアンスの準備

プラグインをインストールする前に、ASAで次のような準備を行います。

前提条件

ASA インターフェイスでクライアントレス SSL VPN(「webvpn」)がイネーブルになっていることを確認します。

制約事項

SSL 証明書の 一般名(CN)として IP アドレスを指定しないでください。リモート ユーザは、ASAと通信するために FQDN の使用を試行します。リモート PC は、DNS または System32\drivers\etc\hosts ファイル内のエントリを使用して、FQDN を解決できる必要があります。

手順の詳細

コマンド
目的

ステップ 1

show running-config

webvpn が ASA でイネーブルになっているかどうかを示します。

ステップ 2

ASA インターフェイスに SSL 証明書をインストールします。

リモート ユーザ接続の完全修飾ドメイン名(FQDN)を指定します。


 

クライアントレス SSL VPN アクセスに提供する必要があるプラグインのタイプを指定している項に進んでください。

「シスコが再配布しているプラグインのインストール」

「Citrix XenApp Server へのアクセスの提供」

シスコが再配布しているプラグインのインストール

シスコでは、Java ベースのオープン ソース コンポーネントを再配布しています。これは、クライアントレス SSL VPN セッションで Web ブラウザのプラグインとしてアクセスされるコンポーネントで、次のものがあります。

前提条件

ASA のインターフェイス上でクライアントレス SSL VPN(「webvpn」)がイネーブルになっていることを確認します。そのためには、 show running-config コマンドを入力します。

 

表 11-6 シスコが再配布しているプラグイン

プロトコル
説明
再配布しているプラグインのソース *

RDP

Windows Vista および Windows 2003 R2 でホストされる Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

RDP および RDP2 の両方をサポートするこのプラグインを使用することをお勧めします。RDP および RDP2 のバージョン 5.2 へのバージョンアップだけがサポートされています。バージョン 5.2 以降はサポートされていません。

再配布プラグインの元のソースは http://properjavardp.sourceforge.net/ です。

RDP2

Windows Vista および Windows 2003 R2 でホストされる Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

(注) この古いプラグインは、RDP2 だけをサポートします。このプラグインを使用することは推奨しません。代わりに、上記の RDP プラグインを使用してください。

再配布プラグインの元のソースは、 http://properjavardp.sourceforge.net/ です。

SSH

Secure Shell-Telnet プラグインにより、リモート ユーザはリモート コンピュータへの Secure Shell(v1 または v2)または Telnet 接続を確立できます。

(注) キーボード インタラクティブ認証は Java SSH ではサポートされていないため、SSH プラグインでもサポートできません。(キーボード インタラクティブは異なる認証メカニズムの実装に使用される汎用の認証方式です)。

この再配布プラグインのソースがある Web サイトは、 http://javassh.org/ です。

VNC

Virtual Network Computing プラグインを使用すると、リモート ユーザはリモート デスクトップ共有(VNC サーバまたはサービスとも呼ばれる)をオンにしたコンピュータを、モニタ、キーボード、およびマウスを使用して表示および制御できます。このバージョンでは、テキストのデフォルトの色が変更されています。また、フランス語と日本語のヘルプ ファイルもアップデートされています。

この再配布プラグインのソースがある Web サイトは、 http://www.tightvnc.com/ です。

* 配置の構成および制限に関する情報については、プラグインのマニュアルを参照してください。
 

これらのプラグインは、「 Cisco Adaptive Security Appliance Software Download 」サイトで入手できます。

手順の詳細

次の手順を実行して、シスコによって再配布されるプラグインへのクライアントレス SSL VPN ブラウザ アクセスを指定します。


ステップ 1


) ASAは、import webvpn plug-in protocol コマンドをコンフィギュレーションに保持しません。その代わりに、csco-config/97/plugin ディレクトリの内容を自動的にロードします。セカンダリ ASAは、プライマリ ASAからプラグインを取得します。


 

コマンド
目的

ステップ 1

import webvpn plug-in protocol [ rdp | rdp2 | ssh,telnet | vnc ] URL

 

hostname# import webvpn plug-in protocol ssh,telnet tftp://local_tftp_server/plugins/ssh-plugin.jar

 
Accessing tftp://local_tftp_server/plugins/ssh-plugin.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/ssh...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
238510 bytes copied in 3.650 secs (79503 bytes/sec)

 

ASA のフラッシュ デバイスにプラグインをインストールします。 protocol は次のいずれかの値になります。 ssh,telnet は、セキュア シェル サービスと Telnet サービスの 両方 へのプラグイン アクセスを提供します。

(注) SSH 用と Telnet 用にこのコマンドをそれぞれ入力しないでください。ssh,telnet ストリングを入力する場合は、両者の間にスペースは挿入しません。

URL は、プラグイン .jar ファイルへのリモート パスです。TFTP または FTP サーバのホスト名またはアドレス、およびプラグインへのパスを入力します。

ステップ 2

(任意)

revert webvpn plug-in protocol protocol

 

hostname# revert webvpn plug-in protocol rdp

プラグインに対するクライアントレス SSL VPN のサポートをディセーブルにして削除し、ASA のフラッシュ デバイスからも削除します。

Citrix XenApp Server へのアクセスの提供

サードパーティのプラグインに、クライアントレス SSL VPN ブラウザ アクセスを提供する方法の例として、この項では、Citrix XenApp Server Client にクライアントレス SSL VPN のサポートを追加する方法について説明します。

ASA に Citrix プラグインがインストールされている場合、クライアントレス SSL VPN ユーザは、ASA への接続を使用して、Citrix XenApp サービスにアクセスできます。

ステートフル フェールオーバーでは、Citrix プラグインを使用して確立したセッションは保持されません。Citrix のユーザは、フェールオーバー後に再認証を行う必要があります。

Citrix プラグインへのアクセスを提供するには、次の項で説明する手順に従ってください。

クライアントレス SSL VPN アクセスのための Citrix XenApp Server の準備

Citrix プラグインの作成とインストール

クライアントレス SSL VPN アクセスのための Citrix XenApp Server の準備

(Citrix)「セキュア ゲートウェイ」を使用しないモードで動作するように、Citrix Web Interface ソフトウェアを設定する必要があります。この設定をしないと、Citrix クライアントは Citrix XenApp Server に接続できません。


) プラグインに対するサポートをまだ提供していない場合は、「プラグインのためのセキュリティ アプライアンスの準備」の説明に従い作業を行った後に、この項を参照してください。


Citrix プラグインの作成とインストール

Citrix プラグインを作成およびインストールするには、次の手順に従います。

手順の詳細


ステップ 1 シスコのソフトウェア ダウンロード Web サイトから ica-plugin.zip ファイルをダウンロードします。

このファイルには、Citrix プラグインを使用するためにシスコがカスタマイズしたファイルが含まれています。

ステップ 2 Citrix のサイトから Citrix Java クライアント をダウンロードします。

Citrix のダウンロード サイトでは、Citrix Receiver([Receivers by Platform])を選択し、[Find] をクリックします。[Receiver for Other Platforms] を展開し、Receiver for Java をダウンロードします。JICAComponents.tar.gz は、7-Zip またはその他の UNIX 互換のツールで開くことができる gzip された tar ファイルです。

ステップ 3 Citrix Java クライアントから次のファイルを抽出し、それらを ica-plugin.zip ファイルに追加します。

JICA-configN.jar

JICAEngN.jar

この手順の実行には WinZip を使用できます。

ステップ 4 Citrix Java に含まれている EULA によって、Web サーバ上にクライアントを配置するための権限が与えられていることを確認します。

ステップ 5 ASDM を使用するか、または特権 EXEC モードで次の CLI コマンドを入力して、プラグインをインストールします。

import webvpn plug-in protocol ica URL

URL はホスト名または IP アドレス、および ica-plugin.zip ファイルへのパスです。


) ユーザの接続を容易にするためにブックマークを追加することをお勧めします。Citrix セッションに SSO サポートを提供する場合は、ブックマークの追加は必須です。
次のように、ブックマークで便利な表示を提供する URL パラメータを使用することも推奨します。
ica://10.56.1.114/?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768


ステップ 6 SSL VPN クライアントレス セッションを確立し、ブックマークをクリックするか、Citrix サーバの URL を入力します。

必要に応じて、『 Client for Java Administrator's Guide 』を参照してください。


 

セキュリティ アプライアンスにインストールされているプラグインの表示

手順の詳細

コマンド
目的

ステップ 1

show import webvpn plug

 
hostname# show import webvpn plug
ssh
rdp
vnc

ica

クライアントレス SSL VPN のユーザが使用できる Java ベースのクライアント アプリケーションを一覧表示します。

ステップ 2

show import webvpn plug detail

 
hostname show import webvpn plug
post GXN2BIGGOAOkBMibDQsMu2GWZ3Q= Tues, 29 Apr 2008 19:57:03 GMT
rdp fHeyReIOUwDCgAL9HdTs PnjdBoo= Tues, 15 Sep 2009 23:23:56 GMT

rdp2 shw8c22T2SsILLk6zyCd6H6VOz8= Wed, 11 Feb 2009 21:17:54 GMT

プラグインのハッシュおよび日付を含めます。

Microsoft Kerberos Constrained Delegation ソリューション

多くの組織では、現在 ASA SSO 機能によって提供される以上の認証方式を使用して、クライアントレス VPN ユーザを認証し、ユーザの認証クレデンシャルを Web ベースのリソースにシームレスに拡張する必要があります。スマート カードおよびワンタイム パスワード(OTP)を使用したリモート アクセス ユーザの認証に対する要求が大きくなっていますが、SSO 機能ではこの要求を満たすには不十分です。SSO 機能では、認証が必要になると、従来のユーザ クレデンシャル(スタティックなユーザ名とパスワードなど)をクライアントレス Web ベースのリソースに転送するだけであるためです。

たとえば、証明書ベースまたは OTP ベースの認証方式には、ASA が Web ベースのリソースへの SSO アクセスをシームレスに実行するために必要な従来のユーザ名とパスワードは含まれていません。証明書を使用して認証する場合、ASA が Web ベースのリソースへ拡張するためにユーザ名とパスワードは必要ありません。そのため、SSO でサポートされない認証方式になっています。これに対し、OTP にはスタティックなユーザ名が含まれていますが、パスワードはダイナミックであり、VPN セッション中に後で変更されます。一般に、Web ベースのリソースはスタティックなユーザ名とパスワードを受け入れるように設定されるため、OTP も SSO でサポートされない認証方式になっています。

Microsoft の Kerberos Constrained Delegation(KCD)は、ASA のソフトウェア リリース 8.4 で導入された新機能であり、プライベート ネットワーク内の Kerberos で保護された Web アプリケーションへのアクセスを提供します。この利点により、証明書ベースおよび OTP ベースの認証方式を Web アプリケーションにシームレスに拡張できます。したがって、SSO と KCD は独立しながら連携し、多くの組織では、ASA でサポートされるすべての認証方式を使用して、クライアントレス VPN ユーザを認証し、ユーザの認証クレデンシャルを Web アプリケーションにシームレスに拡張できます。

要件

kcd-server コマンドが機能するには、ASA は ソース ドメイン(ASA が常駐するドメイン)と ターゲット または リソース ドメイン(Web サービスが常駐するドメイン)間の信頼関係を確立する必要があります。ASA は、その独自のフォーマットを使用して、サービスにアクセスするリモート アクセス ユーザの代わりに、ソースから宛先ドメインへの認証パスを越えて、必要なチケットを取得します。

このように認証パスを越えることは、クロスレルム認証と呼ばれます。クロスレルム認証の各フェーズで、ASA は特定のドメインのクレデンシャルおよび後続のドメインとの信頼関係に依存しています。

KCD の機能概要

Kerberos は、ネットワーク内のエンティティのデジタル識別情報を検証するために、信頼できる第三者に依存しています。これらのエンティティ(ユーザ、ホスト マシン、ホスト上で実行されるサービスなど)は、プリンシパルと呼ばれ、同じドメイン内に存在している必要があります。秘密キーの代わりに、Kerberos では、サーバに対するクライアントの認証にチケットが使用されます。チケットは秘密キーから導出され、クライアントのアイデンティティ、暗号化されたセッション キー、およびフラグで構成されます。各チケットはキー発行局によって発行され、ライフタイムが設定されます。

Kerberos セキュリティ システムは、エンティティ(ユーザ、コンピュータ、またはアプリケーション)を認証するために使用されるネットワーク認証プロトコルであり、情報の受け手として意図されたデバイスのみが復号化できるようにデータを暗号化することによって、ネットワーク伝送を保護します。クライアントレス SSL VPN(WebVPN ともいう)のユーザに Kerberos で保護された Web サービスへの SSO アクセスを提供するように KCD を設定できます。このような Web サービスやアプリケーションの例として、Outlook Web Access(OWA)、SharePoint、および Internet Information Server(IIS)があります。

Kerberos プロトコルに対する 2 つの拡張機能として、 プロトコル移行 および 制約付き委任 が実装されました。これらの拡張機能によって、クライアントレスまたは WebVPN リモート アクセス ユーザは、プライベート ネットワーク内の Kerberos で認証されるアプリケーションにアクセスできます。

プロトコル移行 では、ユーザ認証レベルでさまざまな認証メカニズムをサポートし、後続のアプリケーション レイヤでセキュリティ機能(相互認証や制約付き委任など)について Kerberos プロトコルに切り替えることによって、柔軟性とセキュリティが強化されます。 制約付き委任 では、ドメイン管理者は、アプリケーションがユーザの代わりを務めることができる範囲を制限することによって、アプリケーション信頼境界を指定して強制適用できます。この柔軟性は、信頼できないサービスによる危険の可能性を減らすことで、アプリケーションのセキュリティ設計を向上させます。

制約付き委任の詳細については、IETF の Web サイト( http://www.ietf.org )にアクセスして、RFC 1510 を参照してください。

KCD の認証フロー

図 11-7 に、委任に対して信頼されたリソースにユーザがクライアントレス ポータルによってアクセスするときに、直接的および間接的に体験するパケットおよびプロセス フローを示します。このプロセスは、次のタスクが完了していることを前提としています。

ASA 上で設定された KCD

Windows Active Directory への参加、およびサービスが委任に対して信頼されたことの確認

Windows Active Directory ドメインのメンバーとして委任された ASA

図 11-7 KCD プロセス


) クライアントレス ユーザ セッションが、ユーザに設定されている認証メカニズムを使用して ASA により認証されます。(スマートカード クレデンシャルの場合、ASA によって、デジタル証明書の userPrincipalName を使用して Windows Active Directory に対して LDAP 許可が実行されます)。


1. 認証が成功すると、ユーザは、ASA クライアントレス ポータル ページにログインします。ユーザは、URL をポータル ページに入力するか、ブックマークをクリックして、Web サービスにアクセスします。この Web サービスで認証が必要な場合、サーバは、ASA クレデンシャルの認証確認を行い、サーバでサポートされている認証方式のリストを送信します。


) クライアントレス SSL VPN の KCD は、すべての認証方式(RADIUS、RSA/SDI、LDAP、デジタル証明書など)に対してサポートされています。次の AAA のサポートに関する表を参照してください。http://www.cisco.com/en/US/partner/docs/security/asa/asa84/configuration/guide/access_aaa.html#wp1069492


2. 認証確認時の HTTP ヘッダーに基づいて、ASA は、サーバで Kerberos 認証が必要かどうかを決定します。(これは SPNEGO メカニズムの一部です)。バックエンド サーバとの接続で、Kerberos 認証が必要な場合、ASA は、ユーザの代わりにそれ自体のために、サービス チケットをキー発行局から要求します。

3. キー発行局は、要求されたチケットを ASA に返します。これらのチケットは ASA に渡されますが、ユーザの許可データが含まれています。ASA は、ユーザがアクセスする特定のサービス用の KDC からのサービス チケットを要求します。


) ステップ 1 ~ 3 では、プロトコル移行が行われます。これらのステップの後、Kerberos 以外の認証プロトコルを使用して ASA に対して認証を行うユーザは、透過的に、Kerberos を使用してキー発行局に対して認証されます。


4. ASA は、ユーザがアクセスする特定のサービス用のキー発行局からのサービス チケットを要求します。

5. キー発行局は、特定のサービスのサービス チケットを ASA に返します。

6. ASA は、サービス チケットを使用して、Web サービスへのアクセスを要求します。

7. Web サーバは、Kerberos サービス チケットを認証して、サービスへのアクセスを付与します。認証が失敗した場合は、適切なエラー メッセージが表示され、確認を求められます。Kerberos 認証が失敗した場合、予期された動作は基本認証にフォールバックします。

KCD を設定する前に

クロスレルム認証用に ASA を設定するには、次のコマンドを使用する必要があります。

コマンド
目的

ステップ 1

ntp

hostname

 
hostname(config)# config t
#Create an alias for the Domain Controller
 
hostname(config)# name 10.1.1.10 DC
#Configure the Name server

Active Directory ドメインに参加します。

ドメイン名が private.net の 10.1.1.10 ドメイン コントローラ(インターフェイス内で到達可能)およびユーザ名 dcuser とパスワード dcuser123! を使用するドメイン コントローラのサービス アカウントを示します。

ステップ 2

dns domain-lookup
dns server-group
 

hostname(config)# ntp server DC

#Enable a DNS lookup by configuring the DNS server and Domain name

hostname(config)# dns domain-lookup inside
hostname(config)# dns server-group DefaultDNS
hostname(config-dns-server-group)# name-server DC
hostname(config-dns-server-group)# domain-name private.net
 
#Configure the AAA server group with Server and Realm
 
hostname(config)# aaa-server KerberosGroup protocol Kerberos
hostname(config-asa-server-group)# aaa-server KerberosGroup (inside) host DC
hostname(config-asa-server-group)# Kerberos-realm PRIVATE.NET
 
#Configure the Domain Join
 
hostname(config)# webvpn
hostname(config-webvpn)# kcd-server KerberosGroup username dcuser password dcuser123!
hostname(config)#

検索を実行します。

ドメイン名 private.net およびユーザ名 dcuser とパスワード dcuser123! を使用するドメイン コントローラのサービス アカウントを示します。

KCD の設定

ASA を Windows Active Directory ドメインに参加させ、成功または失敗のステータスを返すには、次のコマンドを使用します。

手順の詳細

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

kcd-server

ステップ 3

kcd-server aaa-server-group

 
ASA(config)# aaa-server KG protocol kerberos
ASA(config)# aaa-server KG (inside) host DC
ASA(config-aaa-server-host_# kerberos-realm test.edu
ASA(webvpn-config)# kcd-server KG username user1 password abc123

ASA(webvpn-config)# no kcd-server

ドメイン コントローラ名およびレルムを指定します。AAA サーバ グループは、Kerberos タイプである必要があります。

出力例を示します。

ステップ 4

(任意)

no kcd-server

ASA の指定した動作を削除します。

ステップ 5

(任意)

kcd-server reset

内部状態にリセットします。

ステップ 6

kcd domain-join username <user> password <pass>

user:特定の管理ユーザには対応せず、単に Windows ドメイン コントローラでデバイスを追加するためのサービス レベル権限を持つユーザに対応します。

pass:パスワードは、特定のパスワードには対応せず、単に Windows のドメイン コントローラでデバイスを追加するためのサービス レベル パスワード権限を持つユーザに対応します。

 

kcd-server が表示されていることを確認し、ドメイン参加プロセスを開始します。

Active Directory のユーザ名とパスワードは EXEC モードでだけ使用され、設定には保存されません。

(注) 最初の参加には、管理者権限が必要です。ドメイン コントローラのサービス レベル権限を持つユーザはアクセスできません。

ステップ 7

kcd domain-leave

kcd-server コマンドが有効なドメイン参加ステータスを持っているかどうかを確認し、ドメイン脱退を開始します。

KCD ステータス情報の表示

ドメイン コントローラの情報およびドメイン参加ステータスを表示するには、次のコマンドを実行します。

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

show webvpn kcd

 
ASA# show webvpn kcd
KCD-Server Name : DC
User : user1
Password : ****
KCD State : Joined

 

ドメイン コントローラの情報およびドメイン参加ステータスを表示します。

このコマンドの出力例を示します。

キャッシュされた Kerberos チケットの表示

ASA でキャッシュされているすべての Kerberos チケットを表示するには、次のコマンドを入力します。

 

コマンド
機能

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

show aaa kerberos

ASA でキャッシュされているすべての Kerberos チケットを表示します。

ステップ 3

show aaa kerberos [username user | host ip | hostname]

user:特定のユーザの Kerberos チケットの表示に使用します。

hostname:特定のホストに発行された Kerberos チケットの表示に使用します。

 
ASA# show aaa kerberos
 
Default Principal Valid Starting Expires Service Principal
asa@example.COM 06/29/10 18:33:00 06/30/10 18:33:00 krbtgt/example.COM@example.COM
kcduser@example.COM 06/29/10 17:33:00 06/30/10 17:33:00 asa$/example.COM@example.COM
kcduser@example.COM 06/29/10 17:33:00 06/30/10 17:33:00 http/owa.example.com@example.COM
 
ASA# show aaa kerberos username kcduser
 
Default Principal Valid Starting Expires Service Principal
kcduser@example.COM 06/29/10 17:33:00 06/30/10 17:33:00 asa$/example.COM@example.COM
kcduser@example.COM 06/29/10 17:33:00 06/30/10 17:33:00 http/owa.example.com@example.COM
 
ASA# show aaa kerberos host owa.example.com
 
Default Principal Valid Starting Expires Service Principal

kcduser@example.COM 06/29/10 06/30/10 17:33:00 http/owa.example.com@example.COM

ASA# show aaa kerberos username kcduser
 
Default Principal Valid Starting Expires Service Principal
kcduser@example.COM 06/29/10 17:33:00 06/30/10 17:33:00 asa$/example.COM@example.COM
kcduser@example.COM 06/29/10 17:33:00 06/30/10 17:33:00 http/owa.example.com@example.COM
 
ASA# show aaa kerberos host owa.example.com
 
Default Principal Valid Starting Expires Service Principal
kcduser@example.COM 06/29/10 06/30/10 17:33:00 http/owa.example.com@example.COM

 

このコマンドの出力例を示します。

キャッシュされた Kerberos チケットのクリア

ASA のすべての Kerberos チケット情報をクリアするには、次のコマンドを実行します。

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

clear aaa kerberos

ASA のすべての Kerberos チケット情報をクリアします。

ステップ 3

clear aaa kerberos [username user | host ip | hostname]

user:特定のユーザの Kerberos チケットのクリアに使用します。

host:特定のホストの Kerberos チケットのクリアに使用します。



制約事項

Kerberos Constrained Delegation(KCD)を使用するアプリケーションへのブックマークを作成する場合は、[Enable Smart Tunnel] をオンにしないでください。

手順の詳細

Application Access の設定

次の項では、クライアントレス SSL VPN セッションでスマート トンネル アクセスおよびポート転送をイネーブルにする方法、それらのアクセスを提供するアプリケーションの指定、および使用上の注意について説明します。

スマート トンネル アクセスの設定

スマート トンネルからのログオフの設定

スマート トンネル アクセスの設定

スマート トンネル アクセスを設定するには、スマート トンネル リストを作成します。このリストには、スマート トンネル アクセスに適した 1 つ以上のアプリケーション、およびこのリストに関連付けられたエンドポイント オペレーティング システムを含めます。各グループ ポリシーまたはローカル ユーザ ポリシーでは 1 つのスマート トンネル リストがサポートされているため、ブラウザベースではないアプリケーションをサポート対象とするために、グループ化してスマート トンネル リストに加える必要があります。リストを作成したら、1 つ以上のグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

次の項では、スマート トンネルおよびその設定方法について説明します。

スマート トンネルについて

スマート トンネルを使用する理由

スマート トンネル アクセスに適格なアプリケーションの追加

スマート トンネル アクセスに適格なアプリケーションの追加

スマート トンネル リストについて

スマート トンネルのトンネル ポリシーの設定および適用

スマート トンネル自動サインオン サーバ リストの作成

スマート トンネル自動サインオン サーバ リストへのサーバの追加

スマート トンネル アクセスのイネーブル化とディセーブル化

スマート トンネルについて

スマート トンネルは、TCP ベースのアプリケーションとプライベート サイト間の接続です。このスマート トンネルは、セキュリティ アプライアンスをパスウェイとして、また、ASAをプロキシ サーバとして使用するクライアントレス(ブラウザベース)SSL VPN セッションを使用します。スマート トンネル アクセスを許可するアプリケーションを特定し、各アプリケーションのローカル パスを指定できます。Microsoft Windows で実行するアプリケーションの場合は、チェックサムの SHA-1 ハッシュの一致を、スマート トンネル アクセスを許可する条件として要求もできます。

Lotus SameTime および Microsoft Outlook は、スマート トンネル アクセスを許可できるアプリケーションの例です。

スマート トンネルを設定するには、アプリケーションがクライアントであるか、Web 対応アプリケーションであるかに応じて、次の手順のいずれかを実行する必要があります。

クライアント アプリケーションの 1 つ以上のスマート トンネル リストを作成し、スマート トンネル アクセスを提供するグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

スマート トンネル アクセスに適格な Web 対応アプリケーションの URL を指定する 1 つ以上のブックマーク リスト エントリを作成し、スマート トンネル アクセスを提供するグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

また、クライアントレス SSL VPN セッションを介したスマート トンネル接続でのログイン クレデンシャルの送信を自動化する Web 対応アプリケーションのリストも作成できます。

スマート トンネルを使用する理由

スマート トンネル アクセスでは、クライアントの TCP ベースのアプリケーションは、ブラウザベースの VPN 接続を使用してサービスにアクセスできます。この方法では、プラグインやレガシー テクノロジーであるポート転送と比較して、ユーザには次のような利点があります。

スマート トンネルは、プラグインよりもパフォーマンスが向上します。

ポート転送とは異なり、スマート トンネルでは、ローカル ポートへのローカル アプリケーションのユーザ接続を要求しないことにより、ユーザ エクスペリエンスが簡略化されます。

ポート転送とは異なり、スマート トンネルでは、ユーザは管理者特権を持つ必要がありません。

プラグインの利点は、クライアント アプリケーションをリモート コンピュータにインストールする必要がないという点です。

前提条件

ASA Release 9.0 のスマート トンネルでサポートされているプラットフォームおよびブラウザについては、『 Supported VPN Platforms, Cisco ASA 5500 Series 』を参照してください。

次の要件と制限事項が Windows でのスマート トンネル アクセスには適用されます。

Windows では ActiveX または Oracle Java ランタイム環境(JRE)4 Update 15 以降(JRE 6 以降を推奨)をブラウザでイネーブルにしておく必要がある。

ActiveX ページでは、関連するグループ ポリシーに activex-relay コマンドを入力しておくことが必要です。コマンドを入力しているか、ポリシーにスマート トンネル リストを割り当てていて、エンドポイントのブラウザのプロキシ例外リストでプロキシが指定されている場合、このリストに「shutdown.webvpn.relay.」エントリを追加する必要があります。

Winsock 2 の TCP ベースのアプリケーションだけ、スマート トンネル アクセスに適する。

Mac OS X の場合に限り、Java Web Start をブラウザでイネーブルにしておく必要がある。

制約事項

スマート トンネルは、Microsoft Windows を実行しているコンピュータとセキュリティ アプライアンス間に配置されたプロキシだけをサポートする。スマート トンネルは、Windows でシステム全体のパラメータを設定する Internet Explorer 設定を使用します。この設定がプロキシ情報を含む場合があります。

Windows コンピュータで、プロキシが ASA にアクセスする必要がある場合は、クライアントのブラウザにスタティック プロキシ エントリが必要であり、接続先のホストがクライアントのプロキシ例外のリストに含まれている必要があります。

Windows コンピュータで、プロキシが ASA にアクセスする必要がなく、プロキシがホスト アプリケーションにアクセスする必要がある場合は、ASA がクライアントのプロキシ例外のリストに含まれている必要があります。

プロキシ システムはスタティック プロキシ エントリまたは自動設定のクライアントの設定、または PAC ファイルによって定義できます。現在、スマート トンネルでは、スタティック プロキシ設定だけがサポートされています。

スマート トンネルでは、Kerberos Constrained Delegation(KCD)はサポートされない。

Windows の場合、コマンド プロンプトから開始したアプリケーションにスマート トンネル アクセスを追加する場合は、スマート トンネル リストの 1 つのエントリの Process Name に「cmd.exe」を指定し、別のエントリにアプリケーション自体へのパスを指定する必要がある。これは「cmd.exe」がアプリケーションの親であるためです。

HTTP ベースのリモート アクセスによって、いくつかのサブネットが VPN ゲートウェイへのユーザ アクセスをブロックすることがある。これを修正するには、Web とエンド ユーザの場所との間のトラフィックをルーティングするために ASA の前にプロキシを配置します。このプロキシが CONNECT 方式をサポートしている必要があります。認証が必要なプロキシの場合、スマート トンネルは、基本ダイジェスト認証タイプだけをサポートします。

スマート トンネルが開始されると、ASAは、ブラウザ プロセスが同じである場合に VPN セッション経由ですべてのブラウザ トラフィックをデフォルトで送信する。また、tunnel-all ポリシーが適用されている場合にのみ、ASA は同じ処理を行います。ユーザがブラウザ プロセスの別のインスタンスを開始すると、VPN セッション経由ですべてのトラフィックが送信されます。ブラウザ プロセスが同じで、セキュリティ アプライアンスが URL へのアクセスを提供しない場合、ユーザはその URL を開くことはできません。回避策として、tunnel-all ではないトンネル ポリシーを割り当てます。

ステートフル フェールオーバーが発生したとき、スマート トンネル接続は保持されません。ユーザはフェールオーバー後に再接続する必要があります。

スマート トンネルの Mac バージョンは、POST ブックマーク、フォームベースの自動サインオン、または POST マクロ置換をサポートしない。

Mac OS ユーザの場合、ポータル ページから起動されたアプリケーションだけがスマート トンネル セッションを確立できる。この要件には、Firefox に対するスマート トンネルのサポートも含まれます。スマート トンネルを最初に使用する際に、Firefox を使用して Firefox の別のインスタンスを起動するには、csco_st という名前のユーザ プロファイルが必要です。このユーザ プロファイルが存在しない場合、セッションでは、作成するようにユーザに要求します。

Mac OS X では、SSL ライブラリにダイナミックにリンクされた、TCP を使用するアプリケーションをスマート トンネルで使用できる。

Mac OS X では、スマート トンネルは次をサポートしない。

プロキシ サービス

自動サインオン

2 つのレベルの名前スペースを使用するアプリケーション

Telnet、SSH、cURL などのコンソールベースのアプリケーション

dlopen または dlsym を使用して libsocket コールを見つけ出すアプリケーション

libsocket コールを見つけ出すスタティックにリンクされたアプリケーション

Mac OS X では、プロセスへのフル パスが必要である。また、このパスは大文字と小文字が区別されます。各ユーザ名のパスを指定しないようにするには、部分パスの前にチルダ(~)を入力します(例:~/bin/vnc)。

 

表 11-7


 

スマート トンネル アクセスに適格なアプリケーションの追加

各ASAのクライアントレス SSL VPN コンフィギュレーションは、 スマート トンネル リスト をサポートしています。各リストは、スマート トンネル アクセスに適格な 1 つ以上のアプリケーションを示します。各グループ ポリシーまたはユーザ名は 1 つのスマート トンネル リストのみをサポートするため、サポートされる各アプリケーションのセットをスマート トンネル リストにグループ化する必要があります。

スマート トンネル リストについて

グループ ポリシーとユーザ名ごとに、次のいずれかを行うようにクライアントレス SSL VPN を設定できます。

ユーザのログイン時に自動的にスマート トンネル アクセスを開始する。

ユーザのログイン時にスマート トンネル アクセスをイネーブルにするが、ユーザはクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを手動で開始するようにユーザに要求する。

制約事項

スマート トンネル ログオン オプションは、各グループ ポリシーとユーザ名に対して互いに排他的です。1 つだけ使用してください。

手順の詳細

次の smart tunnel コマンドは、各グループ ポリシーとユーザ名で使用可能です。各グループ ポリシーとユーザ名のコンフィギュレーションは、一度にこれらのコマンドの 1 つだけサポートします。そのため、1 つのコマンドを入力すると、ASAが、該当のグループ ポリシーまたはユーザ名のコンフィギュレーションに存在するコマンドを新しいコマンドで置き換えます。または、最後のコマンドの場合、グループ ポリシーまたはユーザ名にすでに存在する smart-tunnel コマンドが単純に削除されます。

コマンド
目的

ステップ 1

smart-tunnel auto-start list

 

OR

 

smart-tunnel enable list

 

 

OR

 

 

 

 

smart-tunnel disable

 

OR

 

no smart-tunnel [auto-start list | enable list | disable]

ユーザのログイン時にスマート トンネル アクセスを自動的に開始します。

ユーザのログイン時にスマート トンネル アクセスをイネーブルにしますが、ユーザはクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを手動で開始する必要があります。

スマート トンネル アクセスを使用禁止にします。

smart-tunnel コマンドがグループ ポリシーまたはユーザ名コンフィギュレーションから削除され、[ no ] smart-tunnel コマンドがデフォルト グループ ポリシーから継承されます。 no smart-tunnel コマンドの後にあるキーワードはオプションですが、これらのキーワードにより削除対象をその名前の smart-tunnel コマンドに限定します。

ステップ 2

使用するオプションについては、「 スマート トンネル アクセスの自動化」を参照してください。

スマート トンネル ポリシーの設定および適用

スマート トンネル ポリシーは、グループ ポリシーまたはユーザ名単位の設定が必要です。各グループ ポリシーまたはユーザ名は、グローバルに設定されたネットワークのリストを参照します。スマート トンネルをオンにすると、トンネル外部のトラフィックに、ネットワーク(ホストのセット)を設定する CLI および指定されたスマート トンネル ネットワークを使用してユーザに対してポリシーを適用する CLI の 2 つの CLI を使用できます。次のコマンドによって、スマート トンネル ポリシーを設定するために使用するホストのリストが作成されます。

手順の詳細

 
コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

[no] smart-tunnel network <network name> ip <ip> <netmask>

スマート トンネル ポリシー設定のために使用するホストのリストを作成します。< network name > は、トンネル ポリシーに適用する名前です。< ip > は、ネットワークの IP アドレスです。< netmask > は、ネットワークのネットマスクです。

ステップ 3

[no] smart-tunnel network <network name> host <host mask>

*.cisco.com などのホスト名マスクを確立します。

ステップ 4

[no] smart-tunnel tunnel-policy ((excludespecified | tunnelspecified) <network name> | tunnelall)

または

[no] smart-tunnel tunnel-policy ((excludespecified | tunnelspecified) <network name> | tunnelall)

特定のグループ ポリシーまたはユーザ ポリシーにスマート トンネル ポリシーを適用します。< network name > は、トンネリングされるネットワークのリストです。< tunnelall > は、すべてをトンネリング(暗号化)します。 tunnelspecified は、ネットワーク名で指定されたネットワークだけをトンネリングします。 excludespecified は、ネットワーク名で指定されたネットワークの外部のネットワークだけをトンネリングします。

スマート トンネルのトンネル ポリシーの設定および適用

SSL VPN クライアントでのスプリット トンネル設定と同様に、スマート トンネルのトンネル ポリシーはグループ ポリシーおよびユーザ名単位の設定です。各グループ ポリシーおよびユーザ名は、グローバルに設定されたネットワークのリストを参照します。

コマンド
目的

[no] smart-tunnel tunnel-policy ((excludespecified | tunnelspecified) <network name> | tunnelall)

 

OR

[no] smart-tunnel tunnel-policy ((excludespecified | tunnelspecified) <network name> | tunnelall)

グローバルに設定されたネットワークのリストを参照します。<network name> は、トンネリングされるネットワークのリスト。<tunnelall> は、すべてをトンネリング(暗号化)します。tunnelspecified は、ネットワーク名で指定されたネットワークだけをトンネリングします。excludespecified は、ネットワーク名で指定されたネットワークの外部のネットワークだけをトンネリングします。

ciscoasa(config-webvpn)# [no] smart-tunnel network <network name> ip <ip> <netmask>

ciscoasa(config-webvpn)# [no] smart-tunnel network <network name> host <host mask>

<network name> Name of network to apply to tunnel policy

<ip address> IP address of a network

<netmask> Netmask of a network

<host mask> Hostname mask, such as *.cisco.com

 
ciscoasa(config-webvpn)# smart-tunnel network inventory ip 10.5.2.2

ciscoasa(config-webvpn)# smart-tunnel network inventory host www.example.com

 

 

 

 

 

 

ciscoasa(config-group-webvpn)# smart-tunnel tunnel-policy tunnelspecified inventory

 

(任意)

ciscoasa(config-group-webvpn)# homepage value http://www.example.com

ciscoasa(config-group-webvpn)# h omepage use-smart-tunnel

 

(任意)

ciscoasa(config-webvpn)# smart-tunnel notification-icon

グループ ポリシーおよびユーザ ポリシーにトンネル ポリシーを適用します。一方のコマンドによってホストが指定され、他方のコマンドによってネットワーク IP が指定されます。1 つのコマンドのみを使用します。

パートナーがログイン時に最初にクライアントレス ポータルを介さずに内部インベントリ サーバ ページにクライアントレス アクセスできるようにしたいとベンダーが考えている場合、スマート トンネルのトンネル ポリシー設定は適切なオプションです。1 つのホストだけを含むトンネル ポリシーを作成します(次の例では、インベントリ ページは www.example.com(10.5.2.2)でホストされており、ホストの IP アドレスと名前の両方を設定するものと仮定します)。

パートナーのグループ ポリシーに、指定したトンネルのトンネル ポリシーを適用します。

グループ ポリシーのホームページを指定して、そのページでスマート トンネルをイネーブルにします。スクリプトを記述したり何かをアップロードしなくても、管理者はどのページがスマート トンネル経由で接続するかを指定できます。

スマート トンネルをイネーブルにした状態でブラウザによって開始されたすべてのプロセスはトンネルにアクセスできるため、デフォルトでは、スマート トンネル アプリケーションの設定は必須ではありません。ただし、ポータルが表示されないため、ログアウト通知アイコンをイネーブルにできます。


 

スマート トンネル自動サインオン サーバ リストの作成

コマンド
目的

webvpn

webvpn コンフィギュレーション モードに切り替えます。

smart-tunnel auto-signon list [use-domain] [realm realm-string] [port port-num]{ip ip-address [netmask] | host hostname-mask}

サーバ リストに追加する各サーバに対して使用します。

list :リモート サーバのリストの名前を指定します。スペースを含む場合、名前の前後に引用符を使用します。文字列は最大 64 文字まで使用できます。コンフィギュレーション内にリストが存在しない場合、ASA はリストを作成します。存在する場合、リストにエントリを追加します。区別しやすい名前を割り当てます。

use-domain(任意):認証で必要な場合は、Windows ドメインをユーザ名に追加します。このキーワードを入力する場合は、スマート トンネル リストを 1 つ以上のグループ ポリシーまたはユーザ名に割り当てるときにドメイン名を指定してください。

realm :認証のレルムを設定します。レルムは Web サイトの保護領域に関連付けられ、認証時に認証プロンプトまたは HTTP ヘッダーのいずれかでブラウザに再度渡されます。自動サインオンが設定され、レルムの文字列が指定されたら、ユーザはレルムの文字列を Web アプリケーション(Outlook Web Access など)で設定し、Web アプリケーションにサインオンすることなくアクセスできます。

port :自動サインオンを実行するポートを指定します。Firefox では、ポート番号が指定されていない場合、自動サインオンは、デフォルトのポート番号 80 および 443 でそれぞれアクセスされた HTTP および HTTPS に対して実行されます。

ip:IP アドレスとネットマスクによってサーバを指定します。

ip-address [ netmask ]:自動認証先のホストのサブネットワークを指定します。

host:ホスト名またはワイルドカード マスクによってサーバを指定します。このオプションを使用すると、IP アドレスのダイナミックな変更からコンフィギュレーションを保護します。

hostname-mask :自動認証する対象のホスト名またはワイルドカード マスクを指定します。

(任意)

[ no ] smart-tunnel auto-signon list [ use-domain ] [realm realm-string] [port port-num] { ip ip-address [netmask] | host hostname-mask}

ASA 設定に表示されるとおりにリストと IP アドレスまたはホスト名を指定して、サーバのリストからエントリを削除します。

show running-config webvpn smart-tunnel

スマート トンネル自動サインオン サーバ リストを表示します。

config-webvpn

config-webvpn コンフィギュレーション モードに切り替えます。

smart-tunnel auto-signon HR use-domain ip 192.32.22.56 255.255.255.0

サブネット内のすべてのホストを追加し、認証で必要な場合に Windows ドメインをユーザ名に追加します。

(任意)

no smart-tunnel auto-signon HR use-domain ip 192.32.22.56 255.255.255.0

削除されるエントリがリストの唯一のエントリである場合は、リストからそのエントリを削除し、HR という名前のリストも削除します。

no smart-tunnel auto-signon HR

ASA 設定からリスト全体を削除します。

smart-tunnel auto-signon intranet host *.example.com

ドメイン内のすべてのホストを intranet という名前のスマート トンネル自動サインオン リストに追加します。

no smart-tunnel auto-signon intranet host *.example.com

リストからエントリを削除します。

 

スマート トンネル自動サインオン サーバ リストのコンフィギュレーションに続き、次の項で説明するように、そのリストをグループ ポリシーまたはローカル ユーザ ポリシーに割り当ててアクティブにする必要があります。

次の手順は、サーバ リストにサーバを追加することです。

スマート トンネル自動サインオン サーバ リストへのサーバの追加

次の手順では、スマート トンネル接続での自動サインオンを提供するサーバのリストにサーバを追加し、そのリストをグループ ポリシーまたはローカル ユーザに割り当てる方法について説明します。

前提条件

smart-tunnel auto-signon list コマンドを使用して、最初にサーバのリストを作成する必要があります。グループ ポリシーまたはユーザ名に割り当てることができるリストは 1 つだけです。

制約事項

スマート トンネル自動サインオン機能は、Internet Explorer および Firefox を使用した HTTP および HTTPS 通信を行うアプリケーションだけをサポートしています。

Firefox では、管理者が正確なホスト名または IP アドレスを使用してホストを指定する必要があります(ワイルドカードを使用したホスト マスク、IP アドレスを使用したサブネット、およびネットマスクは使用できません)。たとえば、Firefox では、*.cisco.com を入力したり、email.cisco.com をホストする自動サインオンを期待したりすることはできません。

手順の詳細

クライアントレス(ブラウザベース)SSL VPN セッションでスマート トンネル自動サインオンをイネーブルにするには、次のコマンドを使用します。

 

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

group-policy webvpn


または

username webvpn

グループ ポリシー webvpn コンフィギュレーション モードに切り替えます。


ユーザ名 webvpn コンフィギュレーション モードに切り替えます。

ステップ 3

smart-tunnel auto-signon enable

スマート トンネル自動サインオン クライアントレス SSL VPN セッションをイネーブルにします。

ステップ 4

(任意)

[ no ] smart-tunnel auto-signon enable list [ domain domain ]

スマート トンネル自動サインオン クライアントレス SSL VPN セッションをディセーブルにし、グループ ポリシーまたはユーザ名からこのセッションを削除して、デフォルトを使用します。

list:ASA の webvpn コンフィギュレーションにすでに存在するスマート トンネル自動サインオン リストの名前です。

(任意)domain domain :認証中にユーザ名に追加されるドメインの名前です。ドメインを入力する場合、 use-domain キーワードをリスト エントリに入力します。

ステップ 5

show running-config webvpn smart-tunnel

SSL VPN コンフィギュレーション内のスマート トンネル自動サインオン リストのエントリを表示します。

ステップ 6

smart-tunnel auto-signon enable HR

HR という名前のスマート トンネル自動サインオン リストをイネーブルにします。

ステップ 7

smart-tunnel auto-signon enable HR domain CISCO

HR という名前のスマート トンネル自動サインオン リストをイネーブルにし、認証中に CISCO という名前のドメインをユーザ名に追加します。

ステップ 8

(任意)

no smart-tunnel auto-signon enable HR

HR という名前のスマート トンネル自動サインオン リストをグループ ポリシーから削除し、デフォルトのグループ ポリシーからスマート トンネル自動サインオン リスト コマンドを継承します。


 

スマート トンネル アクセスの自動化

ユーザのログイン時にスマート トンネル アクセスを自動的に開始するには、次のコマンドを入力します。

要件

Mac OS X の場合は、自動開始設定が行われていてもいなくても、ポータルの [Application Access] パネルにあるアプリケーションのリンクをクリックする必要があります。

手順の詳細

 

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

group-policy webvpn

または

username webvpn

グループ ポリシー webvpn コンフィギュレーション モードに切り替えます。

ユーザ名 webvpn コンフィギュレーション モードに切り替えます。

ステップ 3

smart-tunnel auto-start list

 
hostname(config-group-policy)# webvpn

hostname(config-group-webvpn)# smart-tunnel auto-start apps1

ユーザのログイン時にスマート トンネル アクセスを自動的に開始します。 list は、すでに存在するスマート トンネル リストの名前です。

apps1 という名前のスマート トンネル リストをグループ ポリシーに割り当てます。

ステップ 4

show running-config webvpn smart-tunnel

SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示します。

ステップ 5

(任意)

no smart-tunnel

smart-tunnel コマンドをグループ ポリシーまたはユーザ名から削除し、デフォルトに戻します。

スマート トンネル アクセスのイネーブル化とディセーブル化

デフォルトでは、スマート トンネルはディセーブルになっています。

手順の詳細

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

group-policy webvpn

 

または

 

username webvpn

グループ ポリシー webvpn コンフィギュレーション モードに切り替えます。

ユーザ名 webvpn コンフィギュレーション モードに切り替えます。

ステップ 3

smart-tunnel [enable list | disable]

 
hostname(config-group-policy)# webvpn

hostname(config-group-webvpn)# smart-tunnel enable apps1

スマート トンネル アクセスをイネーブルにします。 list は、すでに存在するスマート トンネル リストの名前です。前の表の smart-tunnel auto-start list を入力した場合は、スマート トンネル アクセスを手動で開始する必要はありません。

apps1 という名前のスマート トンネル リストをグループ ポリシーに割り当てます。

ステップ 4

show running-config webvpn smart-tunnel

SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示します。

ステップ 5

(任意)

no smart-tunnel

smart-tunnel コマンドをグループ ポリシーまたはローカル ユーザ ポリシーから削除し、デフォルトのグループ ポリシーに戻します。

ステップ 6

(任意)

smart-tunnel disable

スマート トンネル アクセスをディセーブルにします。

スマート トンネルからのログオフの設定

ここでは、スマート トンネルからの適切なログオフ方法について説明します。すべてのブラウザ ウィンドウを閉じるか、通知アイコンを右クリックしてログアウトを確認すると、スマート トンネルからログオフできます。


) ポータルにあるログアウト ボタンを使用することを強くお勧めします。この方法は、クライアントレス SSL VPN 用であり、スマート トンネルが使用されているかどうかに関係なくログオフが行われます。通知アイコンは、ブラウザを使用しないスタンドアロン アプリケーションを使用する場合に限り使用する必要があります。


ペアレント プロセスの終了

この方法では、ログオフを示すためにすべてのブラウザを閉じることが必要です。スマート トンネルのライフタイムは現在、プロセスのライフタイムの開始に結び付けられています。たとえば、Internet Explorer からスマート トンネルと開始した場合、iexplore.exe が実行されていないとスマート トンネルがオフになります。スマート トンネルは、ユーザがログアウトせずにすべてのブラウザを閉じた場合でも、VPN セッションが終了したと判断します。


) 場合によっては、ブラウザ プロセスがエラーの結果として、意図的にではなく残っていることがあります。また、Secure Desktop を使用しているときに、ユーザが Secure Desktop 内ですべてのブラウザを閉じてもブラウザ プロセスが別のデスクトップで実行されている場合があります。したがって、スマート トンネルは、現在のデスクトップで表示されているウィンドウがない場合にすべてのブラウザ インスタンスが終了したと見なします。


手順の詳細

コマンド
目的

ステップ 1

[no] smart-tunnel notification-icon

管理者が通知アイコンをグローバルでオンにすることを許可します。このコマンドは、ブラウザ ウィンドウを閉じることでログアウトを行うのではなく、ログアウト プロパティを設定し、ユーザにログアウトのためのログアウト アイコンが提示されるかどうかを制御します。また、このコマンドは通知アイコンをオンまたはオフにすると自動的にオンまたはオフになる親プロセスが終了する場合のログオフも制御します。

notification-icon は、ログアウトのためにアイコンを使用するタイミングを指定するキーワードです。

形式がデフォルトです。この場合、すべてのブラウザ ウィンドウを閉じることで SSL VPN セッションからログオフします。

(注) ポータルのログアウトは引き続き有効であり、影響を受けません。

ステップ 2

*.webvpn.

プロキシを使用し、プロキシ リストの例外リストに追加すると、アイコンの使用に関係なく、ログオフ時にスマート トンネルが適切に閉じられます。

通知アイコン

ブラウザを閉じてもセッションが失われないようにするために、ペアレント プロセスの終了時にログオフをディセーブルにすることもできます。この方法では、システム トレイの通知アイコンを使用してログアウトします。アイコンは、ユーザがアイコンをクリックしてログアウトするまで維持されます。ユーザがログアウトする前にセッションの期限が切れた場合、アイコンは、次回に接続を試行するまで維持されます。セッション ステータスがシステム トレイで更新されるまで時間がかかることがあります。


) このアイコンが、SSL VPN からログアウトする別の方法です。これは、VPN セッション ステータスのインジケータではありません。


ポート転送の設定

次の項では、ポート転送とその設定方法について説明します。

「ポート転送に関する情報」

ポート転送用の DNS の設定

ポート転送に適格なアプリケーションの追加 ポート転送リストの割り当て

ポート転送の自動化

ポート転送に関する情報

ポート転送により、ユーザはクライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションにアクセスできます。TCP ベースのアプリケーションには次のようなものがあります。

Lotus Notes

Microsoft Outlook

Microsoft Outlook Express

Perforce

Sametime

Secure FTP(FTP over SSH)

SSH

TELNET

Windows Terminal Service

XDDTS

その他の TCP ベースのアプリケーションも動作する可能性はありますが、シスコではテストを行っていません。UDP を使用するプロトコルは動作しません。

ポート転送は、クライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションをサポートするためのレガシー テクノロジーです。ポート転送テクノロジーをサポートする設定を事前に構築している場合は、ポート転送の使用を選択することもできます。

ポート転送の代替方法として次のことを検討してください。

スマート トンネル アクセスを使用すると、ユーザには次のような利点があります。

スマート トンネルは、プラグインよりもパフォーマンスが向上します。

ポート転送とは異なり、スマート トンネルでは、ローカル ポートへのローカル アプリケーションのユーザ接続を要求しないことにより、ユーザ エクスペリエンスが簡略化されます。

ポート転送とは異なり、スマート トンネルでは、ユーザは管理者特権を持つ必要がありません。

ポート転送およびスマート トンネル アクセスとは異なり、プラグインでは、クライアント アプリケーションをリモート コンピュータにインストールする必要がありません。

ASAでポート転送を設定する場合は、アプリケーションが使用するポートを指定します。スマート トンネル アクセスを設定する場合は、実行ファイルまたはそのパスの名前を指定します。

前提条件

リモート ホストで、次のいずれかの 32 ビット バージョンが実行されている必要がある。

Microsoft Windows Vista、Windows XP SP2 または SP3、または Windows 2000 SP4

Apple Mac OS X 10.4 または 10.5 と Safari 2.0.4(419.3)

Fedora Core 4

また、リモート ホストで Oracle Java ランタイム環境(JRE)5 以降が動作している必要もある。

Mac OS X 10.5.3 上の Safari のブラウザベースのユーザは、Safari での URL の解釈方法に従って、使用するクライアント証明書を、1 回目は末尾にスラッシュを含め、もう 1 回はスラッシュを含めずに、ASAの URL を使用して指定する必要があります。次に例を示します。

https://example.com/

https://example.com

詳細については、『 Safari, Mac OS X 10.5.3: Changes in client certificate authentication 』を参照してください。

ポート転送またはスマート トンネルを使用する Microsoft Windows Vista 以降のユーザは、ASA の URL を信頼済みサイト ゾーンに追加する。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista(以降の)ユーザは、保護モードをディセーブルにしてスマート トンネル アクセスの使用もできます。ただし、攻撃に対するコンピュータの脆弱性が増すため、この方法の使用はお勧めしません。

ポート転送(アプリケーション アクセス)およびデジタル証明書をサポートするために、リモート コンピュータに Oracle Java ランタイム環境(JRE)1.5.x 以降がインストールされていることを確認する。JRE 1.4.x が実行中で、ユーザがデジタル証明書で認証される場合、JRE は Web ブラウザの証明書ストアにアクセスできないため、アプリケーションは起動しません。

制約事項

ポート転送は、スタティック TCP ポートを使用する TCP アプリケーションのみをサポートしています。ダイナミック ポートまたは複数の TCP ポートを使用するアプリケーションはサポートしていません。たとえば、ポート 22 を使用する SecureFTP は、クライアントレス SSL VPN のポート転送を介して動作しますが、ポート 20 と 21 を使用する標準 FTP は動作しません。

ポート転送は、UDP を使用するプロトコルをサポートしていません。

ポート転送は Microsoft Outlook Exchange(MAPI)プロキシをサポートしていません。しかし、Microsoft Outlook Exchange Server と連携することにより、Microsoft Office Outlook のスマート トンネル サポートを設定することができます。

ステートフル フェールオーバーでは、Application Access(ポート転送またはスマート トンネル アクセス)を使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

ポート転送は、Personal Digital Assistants(PDA; 携帯情報端末)への接続はサポートしていません。

ポート転送を使用するには、Java アプレットをダウンロードしてローカル クライアントを設定する必要があります。これには、ローカル システムに対する管理者の許可が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。

Java アプレットは、エンド ユーザの HTML インターフェイスにあるアプレット独自のウィンドウに表示されます。このウィンドウには、ユーザが使用できる転送ポートのリストの内容、アクティブなポート、および送受信されたトラフィック量(バイト単位)が表示されます。

ローカル IP アドレス 127.0.0.1 が使用されており、ASA からのクライアントレス SSL VPN 接続によって更新できない場合、ポート転送アプレットはローカル ポートとリモート ポートを同一として表示します。その結果、ASA は、127.0.0.2、127.0.0.3 など、ローカル プロキシ ID の新しい IP アドレスを作成します。hosts ファイルを変更して異なるループバックを使用できるため、リモート ポートはアプレットでローカル ポートとして使用されます。接続するには、ポートを指定せずにホスト名を指定して Telnet を使用します。正しいローカル IP アドレスをローカル ホスト ファイルで使用できます。

ポート転送用の DNS の設定

ポート転送では、リモート サーバのドメイン名またはその IP アドレスを ASA に転送して、解決および接続を行います。つまり、ポート転送アプレットは、アプリケーションからの要求を受け入れて、その要求を ASA に転送します。ASA は適切な DNS クエリーを作成し、ポート転送アプレットの代わりに接続を確立します。ポート転送アプレットは、ASA に対する DNS クエリーだけを作成します。ポート転送アプレットはホスト ファイルをアップデートして、ポート転送アプリケーションが DNS クエリーを実行したときに、クエリーがループバック アドレスにリダイレクトされるようにします。次のように、DNS 要求をポート転送アプレットから受け入れるように、ASAを設定します。

コマンド
目的

ステップ 1

dns server-group

 
hostname(config)# dns server-group example.com
hostname(config-dns-server-group)# domain-name example.com

hostname(config-dns-server-group)# name-server 192.168.10.10

DNS サーバ グループ モードを開始します。

example.com という名前の DNS サーバ グループを設定します。

ステップ 2

domain-name

ドメイン名を指定します。domain-name のデフォルト設定は DefaultDNS です。

ステップ 3

name-server

ドメイン名を IP アドレスに解決します。

ステップ 4

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 5

tunnel-group webvpn

トンネルグループ webvpn コンフィギュレーション モードに切り替えます。

ステップ 6

(デフォルトのドメイン名 [DefaultDNS] 以外のドメイン名を使用している場合にだけ必要)

dns-group

 
asa2(config-dns-server-group)# exit
asa2(config)# tunnel-group DefaultWEBVPNGroup webvpn-attributes

asa2(config-tunnel-webvpn)# dns-group example.com

トンネル グループで使用されるドメイン名を指定します。デフォルトでは、セキュリティ アプライアンスがクライアントレス接続のデフォルトのトンネル グループとして Default WEBVPNGroup を割り当てます。ASA がこのトンネル グループを使用して設定をクライアントレス接続に割り当てる場合は、この手順を実行します。それ以外の場合は、クライアントレス接続に対して設定されたトンネルごとにこの手順を実行します。

ポート転送に適格なアプリケーションの追加

各ASAのクライアントレス SSL VPN コンフィギュレーションは、 ポート転送リスト をサポートしています。それぞれのリストでは、アクセスを提供するアプリケーションが使用するローカル ポートとリモート ポートを指定します。各グループ ポリシーまたはユーザ名は 1 つのポート転送リストのみをサポートするため、サポートされる各アプリケーションのセットをグループ化してリストを作成する必要があります。ASA コンフィギュレーションにすでに存在するポート転送リストのエントリを表示するには、次のコマンドを入力します。

手順の詳細

コマンド
目的

ステップ 1

show run webvpn port-forward

ASA 設定にすでに存在するポート転送リスト エントリを表示します。

ステップ 2

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 3

port-forward {list_name local_port remote_server remote_port description}

 
hostname(config)# webvpn
hostname(config-webvpn)# port-forward SalesGroupPorts 20143 IMAP4Sserver 143 Get Mail
hostname(config-webvpn)# port-forward SalesGroupPorts 20025 SMTPSserver 25 Send Mail
hostname(config-webvpn)# port-forward SalesGroupPorts 20022 DDTSserver 22 DDTS over SSH

hostname(config-webvpn)# port-forward SalesGroupPorts 20023 Telnetserver 23 Telnet

ポート転送のエントリをリストに追加します。

list_name :クライアントレス SSL VPN セッションのユーザがアクセスするアプリケーションのセット(理論的には、転送 TCP ポートのセット)の名前です。名前を認識しない場合、ASAは、ユーザが入力した名前を使用してリストを作成します。認識した場合は、そのポート転送のエントリをリストに追加します。最大 64 文字です。

local_port :ユーザのコンピュータで実行しているアプリケーションの TCP トラフィックをリッスンするポートです。ローカル ポートの番号は、各ポート転送リストに対して一度だけ使用できます。1 ~ 65535 の範囲のポート番号、またはポート名を入力します。既存サービスとの競合を避けるために、1024 よりも大きいポート番号を使用します。

remote_server :アプリケーションに対するリモート サーバの DNS 名または IP アドレスです。IP アドレスは IPv4 または IPv6 形式で指定できます。特定の IP アドレス用にクライアント アプリケーションを設定しなくて済むように、DNS 名を指定することをお勧めします。

の両方のコマンドに対するデフォルト設定は DefaultDNS です。

remote_port :このアプリケーションが接続するリモート サーバのポートです。これは、アプリケーションで使用する実際のポートです。1 ~ 65535 の範囲のポート番号、またはポート名を入力します。

description :エンド ユーザの Port Forwarding Java アプレット画面に表示されるアプリケーション名または簡単な説明です。最大 64 文字です。

これらのアプリケーションへのアクセスを提供する SalesGroupPorts という名前のポート フォワーディング リストを作成する方法を示します。

ステップ 4

(任意)

no port-forward list_name local_port

リストとローカル ポートの両方を指定して、リストからエントリを削除します。

ポート転送リストの設定に続けて、次の項で説明するように、そのリストをグループ ポリシーまたはユーザ名に割り当てます。

ステップ 7 (任意)ポート転送リストを強調表示し、[Assign] をクリックして、選択したリストを 1 つ以上のグループ ポリシー、ダイナミック アクセス ポリシー、またはユーザ ポリシーに割り当てます。

ポート転送リストの割り当て

クライアントレス SSL VPN 接続によるアクセスに適用されるユーザまたはグループ ポリシーに関連付ける TCP アプリケーションの名前付きリストを追加または編集できます。グループ ポリシーとユーザ名ごとに、次のいずれかを行うようにクライアントレス SSL VPN を設定できます。

ユーザのログイン時に自動的にポート転送アクセスを開始する。


) これらのオプションは、各グループ ポリシーとユーザ名に対して互いに排他的です。1 つだけ使用してください。


前提条件

port-forward enable list_name コマンドを開始する前に、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、ポート転送を手動で開始する必要があります。

手順の詳細

これらのコマンドは、各グループ ポリシーとユーザ名で使用可能です。各グループ ポリシーとユーザ名のコンフィギュレーションは、これらのコマンドを一度に 1 つだけサポートします。そのため、1 つのコマンドを入力すると、ASAが、該当のグループ ポリシーまたはユーザ名のコンフィギュレーションに存在するコマンドを新しいコマンドで置き換えます。または、後者のコマンドの場合は、グループ ポリシーまたはユーザ名コンフィギュレーションから port-forward コマンドが単純に削除されます。

コマンド
目的

ステップ 1

port-forward auto-start list_name

または

port-forward enable list_name

または


port-forward disable

 

または

no port-forward [ auto-start list_name | enable list_name | disable ]

ユーザのログイン時に自動的にポート転送を開始します。

ユーザのログイン時にポート転送をイネーブルにします。

ポート転送を禁止します。

port-forward コマンドをグループ ポリシーまたはユーザ名コンフィギュレーションから削除し、[ no ] port-forward コマンドをデフォルト グループ ポリシーから継承します。 no port-forward コマンドの後にあるキーワードはオプションですが、これらのキーワードは削除対象をその名前の port-forward コマンドに限定します。

 

詳細については、使用するオプションについて記載している項を参照してください。


 

ポート転送の自動化

ユーザのログイン時にポート転送を自動的に開始するには、次のコマンドを入力します。

手順の詳細

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

group-policy webvpn

username webvpn

グループ ポリシー webvpn コンフィギュレーション モードに切り替えます。

ユーザ名 webvpn コンフィギュレーション モードに切り替えます。

ステップ 3

port-forward auto-start list_name

 
hostname(config-group-policy)# webvpn

hostname(config-group-webvpn)# port-forward auto-start apps1

ユーザのログイン時に自動的にポート転送を開始します。

list_name は、ASA webvpn コンフィギュレーションにすでに存在するポート転送リストの名前です。複数のポート転送リストをグループ ポリシーまたはユーザ名に割り当てることはできません。

apps1 という名前のポート転送リストをグループ ポリシーに割り当てます。

ステップ 4

show run webvpn port-forward

ASA 設定に存在するポート転送リスト エントリを表示します。

ステップ 5

(任意)

no port-forward

port-forward コマンドをグループ ポリシーまたはユーザ名から削除し、デフォルトに戻します。

ポート転送のイネーブル化とディセーブル化

デフォルトでは、ポート転送はディセーブルになっています。

手順の詳細

コマンド
目的

ステップ 1

port-forward [enable list_name | disable]

 
hostname(config-group-policy)# webvpn

hostname(config-group-webvpn)# port-forward enable apps1

ポート フォワーディングをイネーブルにします。前の表の port-forward auto-start list_name を入力した場合は、ポート転送を手動で開始する必要はありません。

list_name は、ASA webvpn コンフィギュレーションにすでに存在するポート転送リストの名前です。複数のポート転送リストをグループ ポリシーまたはユーザ名に割り当てることはできません。

apps1 という名前のポート転送リストをグループ ポリシーに割り当てます。

ステップ 2

show running-config port-forward

ポート転送リスト エントリを表示します。

ステップ 3

(任意)

no port-forward

port-forward コマンドをグループ ポリシーまたはユーザ名から削除し、デフォルトに戻します。

ステップ 4

(任意)

port-forward disable

ポート転送をディセーブルにします。

[Assign]:SSO サーバを強調表示し、このボタンをクリックして選択したサーバを 1 つ以上の VPN グループ ポリシーまたはユーザ ポリシーに割り当てます。

Application Access ユーザへの注記

次の項では、Application Access の使用についての情報を提供します。

hosts ファイル エラーを回避するための Application Access の終了

Application Access 使用時の hosts ファイル エラーからの回復

hosts ファイル エラーを回避するための Application Access の終了

Application Access の実行の妨げになる hosts ファイル エラーを回避するために、Application Access を使用し終えたら、Application Access ウィンドウを必ず閉じるようにします。ウィンドウを閉じるには、[Close] アイコンをクリックします。

Application Access 使用時の hosts ファイル エラーからの回復

Application Access ウィンドウを正しく閉じないと、次のエラーが発生する可能性があります。

次に Application Access を起動しようとしたときに、Application Access がディセーブルになっていて、「 Backup HOSTS File Found 」エラー メッセージが表示される。

アプリケーションをローカルで実行している場合でも、アプリケーション自体がディセーブルになっているか、または動作しない。

このようなエラーは、Application Access ウィンドウを不適切な方法で終了したことが原因です。たとえば、次のように入力します。

Application Access の使用中に、ブラウザがクラッシュした。

Application Access の使用中に、停電またはシステム シャットダウンが発生した。

作業中に Application Access ウィンドウを最小化し、このウィンドウがアクティブな状態(ただし最小化されている)でコンピュータをシャットダウンした。

この項では、次のトピックについて取り上げます。

hosts ファイルの概要

不正な Application Access の終了

クライアントレス SSL VPN によるホストのファイルの自動再設定

手動による hosts ファイルの再設定

hosts ファイルの概要

ローカル システム上の hosts ファイルは、IP アドレスをホスト名にマッピングしています。Application Access を起動すると、クライアントレス SSL VPN は hosts ファイルを修正し、クライアントレス SSL VPN 固有のエントリを追加します。Application Access ウィンドウを正しく閉じて Application Access を終了すると、hosts ファイルは元の状態に戻ります。

 

Application Access の起動前

hosts ファイルは元の状態です。

Application Access の起動時

クライアントレス SSL VPN は hosts ファイルを hosts.webvpn にコピーして、バックアップを作成します。

次に、クライアントレス SSL VPN は hosts ファイルを編集し、クライアントレス SSL VPN 固有の情報を挿入します。

Application Access の終了時

クライアントレス SSL VPN はバックアップ ファイルを hosts ファイルにコピーして、hosts ファイルを元の状態に戻します。

クライアントレス SSL VPN は、hosts.webvpn を削除します。

Application Access の終了後

hosts ファイルは元の状態です。


) Microsoft 社のアンチスパイウェア ソフトウェアは、ポート転送 Java アプレットによる hosts ファイルの変更をブロックします。アンチスパイウェア ソフトウェアの使用時に hosts ファイルの変更を許可する方法の詳細については、www.microsoft.com を参照してください。


不正な Application Access の終了

Application Access が正しく終了しなかった場合、 hosts ファイルは、クライアントレス SSL VPN 用にカスタマイズされた状態のままになっています。ユーザが次に Application Access を起動するときに、クライアントレス SSL VPN は hosts.webvpn ファイルを検索することで、Application Access の状態をチェックします。hosts.webvpn ファイルが検出されると、エラー メッセージ「 Backup HOSTS File Found 」が表示され、Application Access が一時的にディセーブルになります。

Application Access を正しくシャットダウンしないと、リモートアクセス クライアント/サーバ アプリケーションが不安定な状態のままになります。クライアントレス SSL VPN を使用せずにこれらのアプリケーションを起動しようとすると、正しく動作しない場合があります。通常の接続先のホストが使用できなくなる場合があります。一般にこのような状況は、自宅からリモートでアプリケーションを実行し、Application Access ウィンドウを終了せずにコンピュータをシャットダウンし、その後職場でそのアプリケーションを実行しようとした場合に発生します。

クライアントレス SSL VPN によるホストのファイルの自動再設定

リモート アクセス サーバに接続できる場合は、ホストのファイルを再設定し、Application Access やアプリケーションを再度イネーブルにするために、次の手順を実行します。

手順の詳細


ステップ 1 クライアントレス SSL VPN を起動してログインします。ホームページが開きます。

ステップ 2 [Applications Access] リンクをクリックします。「 Backup HOSTS File Found 」メッセージが表示されます

ステップ 3 次のいずれかのオプションを選択します。

[Restore from backup]:クライアントレス SSL VPN は強制的に正しくシャットダウンされます。クライアントレス SSL VPN は hosts.webvpn backup ファイルを hosts ファイルにコピーし、hosts ファイルを元の状態に戻してから、hosts.webvpn を削除します。その後、Application Access を再起動する必要があります。

[Do nothing]:Application Access は起動しません。リモートアクセスのホームページが再び表示されます。

[Delete backup]:クライアントレス SSL VPN は hosts.webvpn ファイルを削除し、hosts ファイルをクライアントレス SSL VPN 用にカスタマイズされた状態にしておきます。元の hosts ファイル設定は失われます。Application Access は、クライアントレス SSL VPN 用にカスタマイズされた hosts ファイルを新しいオリジナルとして使用して起動します。このオプションは、hosts ファイル設定が失われても問題がない場合にだけ選択してください。Application Access が不適切にシャットダウンされた後に、ユーザまたはユーザが使用するプログラムによって hosts ファイルが編集された可能性がある場合は、他の 2 つのオプションのどちらかを選択するか、または hosts ファイルを手動で編集します (「 手動による hosts ファイルの再設定」を参照)。


 

手動による hosts ファイルの再設定

現在の場所からリモートアクセス サーバに接続できない場合や、カスタマイズした hosts ファイルの編集内容を失いたくない場合は、次の手順に従って、hosts ファイルを再設定し、Application Access とアプリケーションを再度イネーブルにします。

手順の詳細


ステップ 1 hosts ファイルを見つけて編集します。最も一般的な場所は、c:\windows\sysem32\drivers\etc\hosts です。

ステップ 2 # added by WebVpnPortForward という文字列が含まれている行があるかどうかをチェックします。この文字列を含む行がある場合、hosts ファイルはクライアントレス SSL VPN 用にカスタマイズされています。hosts ファイルがクライアントレス SSL VPN 用にカスタマイズされている場合、次の例のようになっています。

server1 # added by WebVpnPortForward
server1.example.com invalid.cisco.com # added by WebVpnPortForward
server2 # added by WebVpnPortForward
server2.example.com invalid.cisco.com # added by WebVpnPortForward
server3 # added by WebVpnPortForward
server3.example.com invalid.cisco.com # added by WebVpnPortForward
 
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 cisco.example.com # source server
# 38.25.63.10 x.example.com # x client host
 
123.0.0.1 localhost
 
 

ステップ 3 # added by WebVpnPortForward という文字列が含まれている行を削除します。

ステップ 4 ファイルを保存して、閉じます。

ステップ 5 クライアントレス SSL VPN を起動してログインします。

ホームページが表示されます。

ステップ 6 [Application Access] リンクをクリックします。

[Application Access] ウィンドウが表示されます。これで Application Access がイネーブルになります。


 

ファイル アクセスの設定

クライアントレス SSL VPN は、リモート ユーザに HTTPS ポータル ページを提供しています。このページは、ASAで実行するプロキシ CIFS クライアントまたは FTP クライアント(あるいはその両方)と連動しています。クライアントレス SSL VPN は、CIFS または FTP を使用して、ユーザが認証の要件を満たしているファイルのプロパティがアクセスを制限しない限り、ネットワーク上のファイルへのネットワーク アクセスをユーザに提供します。CIFS クライアントおよび FTP クライアントは透過的です。クライアントレス SSL VPN から送信されるポータル ページでは、ファイル システムに直接アクセスしているかのように見えます。

ユーザがファイルのリストを要求すると、クライアントレス SSL VPN は、そのリストが含まれるサーバの IP アドレスをマスター ブラウザに指定されているサーバに照会します。ASAはリストを入手してポータル ページ上のリモート ユーザに送信します。

クライアントレス SSL VPN は、ユーザの認証要件とファイルのプロパティに応じて、ユーザが次の CIFS および FTP の機能を呼び出すことができるようにします。

ドメインとワークグループ、ドメインまたはワークグループ内のサーバ、サーバ内部の共有、および共有部分またはディレクトリ内のファイルのナビゲートとリスト

ディレクトリの作成

ファイルのダウンロード、アップロード、リネーム、移動、および削除

ASA は、通常、ASA と同じネットワーク上か、またはこのネットワークからアクセス可能な場所のマスター ブラウザ、WINS サーバ、または DNS サーバを使用して、リモート ユーザがクライアントレス SSL VPN セッション中に表示されるポータル ページのメニュー上またはツールバー上の [Browse Networks] をクリックしたときに、ネットワークでサーバのリストを照会します。

マスター ブラウザまたは DNS サーバは、ASA上の CIFS/FTP クライアントに、クライアントレス SSL VPN がリモート ユーザに提供する、ネットワーク上のリソースのリストを表示します。


) ファイル アクセスを設定する前に、ユーザ アクセス用のサーバに共有を設定する必要があります。


CIFS ファイル アクセスの要件と制限事項

\\server\share\subfolder\personal フォルダ にアクセスするには、最低限、共有自体を含むすべての親フォルダに対する読み取り権限がユーザに必要です。

CIFS ディレクトリとローカル デスクトップとの間でファイルをコピー アンド ペーストするには、[Download] または [Upload] を使用します。[Copy] ボタンおよび [Paste] ボタンはリモート間のアクションのみで使用でき、ローカルからリモートまたはリモートからローカルへのアクションには使用できません。

CIFS ブラウズ サーバ機能は、2 バイト文字の共有名(13 文字を超える共有名)をサポートしていません。これは、表示されるフォルダのリストに影響を与えるだけで、フォルダへのユーザ アクセスには影響しません。回避策として、2 バイトの共有名を使用する CIFS フォルダのブックマークを事前に設定するか、ユーザが cifs://server/<long-folder-name> 形式でフォルダの URL またはブックマークを入力します。たとえば、次のように入力します。

cifs://server/Do you remember?
cifs://server/Do%20you%20remember%3F

ファイル アクセスのサポートの追加

次の手順を実行して、ファイル アクセスを設定します。


) 最初の手順では、マスター ブラウザおよび WINS サーバを指定する方法について説明します。代わりに、ASDM を使用して、ファイル共有へのアクセスを提供する URL リストとエントリを設定することもできます。

ASDM での共有の追加には、マスター ブラウザまたは WINS サーバは必要ありません。ただし、Browse Networks リンクへのサポートは提供されません。このコマンドを入力するときは、ホスト名または IP アドレスを使用して ServerA を参照できます。ホスト名を使用する場合、ASAはホスト名を IP アドレスに解決するように DNS サーバに要求します。


手順の詳細

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

tunnel-group webvpn

トンネルグループ webvpn コンフィギュレーション モードに切り替えます。

ステップ 3

nbns-server {IPaddress | hostname} [master] [timeout timeout] [retry retries]

 
hostname(config-tunnel-webvpn)# nbns-server 192.168.1.20 master
hostname(config-tunnel-webvpn)# nbns-server 192.168.1.41

hostname(config-tunnel-webvpn)# nbns-server 192.168.1.47

各 NetBIOS ネーム サーバ(NBNS)のネットワークまたはドメインをブラウズします。

master は、マスター ブラウザに指定されるコンピュータです。マスター ブラウザは、コンピュータおよび共有リソースのリストを維持します。コマンドのマスター部分を入力せずにこのコマンドで指定する任意の NBNS サーバは、Windows Internet Naming Server(WINS)である必要があります。まずマスター ブラウザを指定してから、WINS サーバを指定してください。マスター ブラウザを含め、接続プロファイル用のサーバは最大 3 つまで指定できます。

retries は、NBNS サーバに対するクエリーのリトライ回数です。ASAは、この回数だけサーバのリストを再利用してからエラー メッセージを送信します。デフォルト値は 2 で、指定できる範囲は 1 ~ 10 です。

timeout は、ASAが、クエリーを再度サーバに送信する前に待機する秒数です。このとき、サーバが 1 つしかない場合は同じサーバに送信し、サーバが複数存在する場合は別のサーバに送信します。デフォルトのタイムアウトは 2 秒で、指定できる範囲は 1 ~ 30 秒です。

ステップ 4

show tunnel-group webvpn-attributes

接続プロファイル コンフィギュレーションにすでに存在する NBNS サーバを表示します。

ステップ 5

(任意)

character-encoding charset

 
hostname(config-webvpn)# character-encoding shift_jis
hostname(config-webvpn)# customization DfltCustomization

hostname(config-webvpn-custom)# page style background-color:white

クライアントレス SSL VPN ポータル ページをリモート ユーザに送信するために符号化する文字セットを指定します。デフォルトでは、リモート ブラウザ上の符号化タイプ セットでクライアントレス SSL VPN ポータル ページの文字セットが決定されるため、ユーザは、ブラウザで符号化を適切に実行するために必要となる場合に限り、文字の符号化を設定する必要があります。

Charset は、最大 40 文字からなる文字列で、 http://www.iana.org/assignments/character-sets で指定されたいずれかの有効文字セットと同じです。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。たとえば、iso-8859-1、shift_jis、ibm850 などです。

コマンドを入力してフォント ファミリを削除する必要があります。

日本語 Shift_JIS 文字をサポートする character-encoding 属性を設定し、フォント ファミリを削除し、デフォルトの背景色を保持します。

ステップ 6

(任意)

file-encoding {server-name | server-ip-address} charset

 

hostname(config-webvpn)# file-encoding 10.86.5.174 cp860

特定の CIFS サーバのクライアントレス SSL VPN ポータル ページの符号化を指定します。このため、これ以外の文字の符合化が必要な各 CIFS サーバに対し、異なるファイル符号化値を使用できます。

CIFS サーバ 10.86.5.174 の file-encoding 属性を設定して、IBM860(エイリアス「CP860」)文字をサポートします。

これらのコマンドの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。

SharePoint アクセスのためのクロックの精度の確認

ASAのクライアントレス SSL VPN サーバは、クッキーを使用して、エンドポイントの Microsoft Word などのアプリケーションと対話します。ASAで設定されたクッキーの有効期間により、ASAの時間が正しくない場合、SharePoint サーバ上の文書にアクセスするときに Word が正しく機能しなくなる可能性があります。このような誤作動を回避するには、ASA クロックを正しく設定します。NTP サーバとダイナミックに同期化されるようにASAを設定することをお勧めします。手順については、一般的な操作のコンフィギュレーション ガイドのを参照してください。

PDA でのクライアントレス SSL VPN の使用

Pocket PC または他の認定された携帯情報端末からクライアントレス SSL VPN にアクセスできます。ASAの管理者やクライアントレス SSL VPN ユーザは、特に何もしなくても、認定された携帯情報端末(PDA)でクライアントレス SSL VPN を使用できます。

シスコでは次の PDA プラットフォームを認定しています。

HP iPaq H4150
Pocket PC 2003
Windows CE 4.20.0, build 14053
Pocket Internet Explorer (PIE)
ROM version 1.10.03ENG
ROM Date: 7/16/2004

PDA のバージョンによって、クライアントレス SSL VPN に次のような相違点があります。

ポップアップのクライアントレス SSL VPN ウィンドウはバナー Web ページが置き換わっている。

標準のクライアントレス SSL VPN フローティング ツールバーがアイコン バーに置き換わっている。このバーには、[Go]、[Home]、および [Logout] の各種ボタンが表示されます。

メインのクライアントレス SSL VPN ポータル ページに [Show Toolbar] アイコンがない。

クライアントレス SSL VPN のログアウト時に、警告メッセージで PIE ブラウザを正しく閉じる手順が表示される。この手順に従わないで通常の方法でブラウザのウィンドウを閉じると、クライアントレス SSL VPN または HTTPS を使用するすべてのセキュアな Web サイトから PIE が切断されません。

制約事項

クライアントレス SSL VPN は、OWA 2000 版および OWA 2003 版の基本認証をサポートする。OWA サーバに基本認証を設定せずに、クライアントレス SSL VPN ユーザがこのサーバにアクセスをしようとするとアクセスは拒否されます。

サポートされていないクライアントレス SSL VPN の機能

Application Access および他の Java 依存の各種機能

HTTP プロキシ

Citrix Metaframe 機能(PDA に対応する Citrix ICA クライアント ソフトウェアが装備されていない場合)

クライアントレス SSL VPN を介した電子メールの使用

クライアントレス SSL VPN は、電子メールにアクセスする方法をいくつかサポートしています。ここでは、次の方式について説明します。

電子メール プロキシの設定

Web 電子メール:MS Outlook Web App の設定

電子メール プロキシの設定

クライアントレス SSL VPN は、IMAP4S、POP3S、および SMTPS 電子メール プロキシをサポートしています。次の属性が電子メール プロキシ ユーザにグローバルに適用されます。

制約事項

MS Outlook、MS Outlook Express、Eudora などの電子メール クライアントは、証明書ストアにアクセスできません。

手順の詳細

コマンド
目的

ステップ 1

accounting-server-group

電子メール プロキシで使用するように事前に設定されているアカウンティング サーバを指定します。

ステップ 2

authentication

電子メール プロキシ ユーザ用の認証方式(複数可)を指定します。デフォルト値は次のとおりです。

IMAP4S:メールホスト(必須)

POP3S メールホスト(必須)

SMTPS:AAA

ステップ 3

authentication-server-group

電子メール プロキシで使用するように事前に設定されている認証サーバを指定します。デフォルトは LOCAL です。

ステップ 4

authorization-server-group

クライアントレス SSL VPN で使用するように事前に設定されている許可サーバを指定します。

ステップ 5

authorization-required

ユーザが接続するには、正常に許可される必要があります。デフォルトでは無効になっています。

ステップ 6

authorization-dn-attributes

許可のユーザ名として使用するピア証明書の DN を指定します。デフォルトの設定は次のとおりです。

プライマリ属性:CN

セカンダリ属性:OU

ステップ 7

default-group-policy

使用するグループ ポリシーの名前を指定します。デフォルトは DfltGrpPolicy です。

ステップ 8

enable

指定したインターフェイスで電子メール プロキシをイネーブルにします。デフォルトではディセーブルになっています。

ステップ 9

name-separator

電子メールと VPN のユーザ名とパスワードとの間の区切り記号を定義します。デフォルトはコロン(:)です。

ステップ 10

outstanding

未処理の未承認セッションの最大数を設定します。デフォルト値は 20 です。

ステップ 11

port

電子メール プロキシがリッスンするポートを設定します。デフォルトは次のとおりです。

IMAP4S:993

POP3S:995

SMTPS:988 1

ステップ 12

server

デフォルトの電子メール サーバを指定します。

ステップ 13

server-separator

電子メールとサーバ名との間の区切り記号を定義します。デフォルトは @ です。

1 Eudora 電子メール クライアントでは、SMTPS 接続のデフォルトのポートが 988 の場合でも、SMTPS はポート 465 でのみ動作します。

Web 電子メール:MS Outlook Web App の設定

ASA は、Microsoft Outlook Web App to Exchange Server 2010 および Microsoft Outlook Web Access to Exchange Server 2007、2003、および 2000 をサポートしています。OWA は、ユーザが次の手順を実行する必要があります。

手順の詳細


ステップ 1 アドレス フィールドに電子メール サービスの URL を入力するか、クライアントレス SSL VPN セッションでの関連するブックマークをクリックする。

ステップ 2 プロンプトが表示されたら、電子メール サーバのユーザ名を domain\username 形式で入力する。

ステップ 3 電子メールのパスワードを入力する。


 

ポータル アクセス ルールの設定

この拡張機能により、カスタマーは、HTTP ヘッダー内に存在するデータに基づいて、クライアントレス SSL VPN セッションを許可または拒否するグローバルなクライアントレス SSL VPN アクセス ポリシーを設定することができます。ASA がクライアントレス SSL VPN セッションを拒否する場合、ただちにエンドポイントにエラー コードを返します。

ASA は、このアクセス ポリシーを、エンドポイントが ASA に対して認証する前に評価します。その結果、拒否の場合は、エンドポイントからの追加の接続試行による ASA の処理リソースの消費はより少なくなります。

前提条件

ASA にログインし、グローバル コンフィギュレーション モードを開始します。グローバル コンフィギュレーション モードでは、ASA は次のプロンプトを表示します。

hostname(config)#

手順の詳細

コマンド
目的

ステップ 1

webvpn

 

hostname(config)# webvpn

webvpn コンフィギュレーション モードを開始します。

ステップ 2

portal-access-rule priority [{ permit | deny [ code code ]} { any | user-agent match string }

 
hostname(config-webvpn)# portal-access-rule 1 deny code 403 user-agent match *Thunderbird*
 
hostname(config-webvpn)# portal-access-rule 1 deny code 403 user-agent match “*my agent*”

HTTP ヘッダー内の HTTP ヘッダー コードまたは文字列に基づいて、クライアントレス SSL VPN セッションの作成を許可または拒否します。

2 番目の例では、スペースを含む文字列を指定するための適切な構文を示しています。文字列はワイルドカード(*)で囲み、さらに引用符(" ")で囲みます。

クライアントレス SSL VPN のパフォーマンスの最適化

ASAには、クライアントレス SSL VPN のパフォーマンスと機能性を最適化するいくつかの方法があります。パフォーマンスの改善には、Web オブジェクトのキャッシングと圧縮が含まれます。機能性の調整には、コンテンツ変換およびプロキシ バイパスの制限の設定が含まれます。その他に、APCF でコンテンツ変換を調整することもできます。ここに挙げた機能について、次の項で説明します。

キャッシングの設定

コンテンツ変換の設定

キャッシングの設定

キャッシングを行うと、クライアントレス SSL VPN のパフォーマンスが向上します。頻繁に再利用されるオブジェクトをシステム キャッシュに格納することで、書き換えの繰り返しやコンテンツの圧縮の必要性を低減します。また、クライアントレス SSL VPN とリモート サーバ間のトラフィックが軽減されるため、多くアプリケーションが今までよりはるかに効率的に実行できるようになります。

デフォルトでは、キャッシングはイネーブルになっています。キャッシュ モードでキャッシング コマンドを使用すると、ユーザの環境に応じてキャッシング動作をカスタマイズできます。

手順の詳細

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

disable

キャッシュをディセーブルにします。

ステップ 3

expiry-time

キャッシング オブジェクトの期限切れの時刻を設定します。

ステップ 4

lmfactor

キャッシングされたオブジェクトを再検証するための用語を設定します。

ステップ 5

max-object-size

キャッシュに入れるオブジェクトの最大サイズを設定します。

ステップ 6

min-object-size

キャッシュに入れるオブジェクトの最小サイズを設定します。

ステップ 7

cache-static-content

キャッシング可能なすべての Web オブジェクトをキャッシュに入れ、コンテンツはリライトの対象にしません。例には、イメージや PDF ファイルが含まれます。

コンテンツ変換の設定

デフォルトでは、ASAはコンテンツ変換およびリライト エンジンを通じ、JavaScript および Java などの高度な要素からプロキシ HTTP へのトラフィックを含む、すべてのクライアントレス SSL VPN トラフィックを処理します。このようなトラフィックでは、ユーザがアプリケーションに SSL VPN デバイス内部からアクセスしているか、これらに依存せずにアクセスしているかによって、セマンティックやアクセス コントロールのルールが異なる場合があります。

Web リソースによっては、高度に個別の処理が要求される場合があります。次の項では、このような処理を提供する機能について説明します。

リライトされた Java コンテンツに署名するための証明書の設定

コンテンツのリライトのディセーブル化

プロキシ バイパスの使用

組織や関係する Web コンテンツの要件に応じてこれらの機能のいずれかを使用する場合があります。

リライトされた Java コンテンツに署名するための証明書の設定

クライアントレス SSL VPN によって変換された Java オブジェクトは、その後、トラストポイントに関連付けられている PKCS12 デジタル証明書を使用して署名することができます。

手順の詳細

コマンド
目的

ステップ 1

crypto ca import

証明書をインポートします。

ステップ 2

ava-trustpoint

 
hostname(config)# crypto ca import mytrustpoint pkcs12 mypassphrase
Enter the base 64 encoded PKCS12.
End with the word “quit” on a line by itself.
[ PKCS12 data omitted ]
quit
INFO: Import PKCS12 operation completed successfully.
hostname(config)# webvpn

hostname(config)# java-trustpoint mytrustpoint

証明書を採用します。

mytrustpoint という名前のトラストポイントの作成、および Java オブジェクトに署名するための割り当てを示します。

コンテンツのリライトのディセーブル化

公開 Web サイトなどの一部のアプリケーションや Web リソースによっては、ASAを通過しない設定が求められる場合があります。このため、ASAでは、特定のサイトやアプリケーションをASAを通過せずにブラウズできるリライト規則を作成できます。これは、IPsec VPN 接続におけるスプリット トンネリングによく似ています。

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

rewrite

クライアントレス SSL VPN トンネルの外部にアクセスするためのアプリケーションとリソースを指定します。このコマンドは複数回使用できます。

ステップ 3

disable

rewrite コマンドとともに使用します。セキュリティ アプライアンスは、リライト ルールを順序番号に従って検索するため、ルールの順序番号は重要です。最下位の番号から順に検索していき、最初に一致したルールが適用されます。

プロキシ バイパスの使用

ユーザはプロキシ バイパスを使用するようにASAを設定できます。これは、プロキシ バイパスが提供する特別なコンテンツ リライト機能を使用した方が、アプリケーションや Web リソースをより有効活用できる場合に設定します。プロキシ バイパスはコンテンツの書き換えに代わる手法であり、元のコンテンツの変更を最小限に抑えます。多くの場合、カスタム Web アプリケーションでこれを使用すると有効です。

このコマンドは複数回使用できます。エントリを設定する順序は重要ではありません。インターフェイスとパス マスク、またはインターフェイスとポートにより、プロキシ バイパス ルールが一意に指定されます。

パス マスクではなくポートを使用してプロキシ バイパスを設定する場合、ネットワーク コンフィギュレーションによっては、これらのポートがASAにアクセスできるようにするために、ファイアウォール コンフィギュレーションの変更が必要になることがあります。この制限を回避するには、パス マスクを使用します。ただし、パス マスクは変化することがあるため、複数のパス マスク ステートメントを使用して変化する可能性をなくすことが必要になる場合があります。

パスは、URL で .com や .org、またはその他のタイプのドメイン名の後に続く全体です。たとえば、www.example.com/hrbenefits という URL では、 hrbenefits がパスになります。同様に、www.example.com/hrinsurance という URL では、 hrinsurance がパスです。すべての hr サイトでプロキシ バイパスを使用する場合は、*(ワイルドカード)を /hr* のように使用して、コマンドを複数回使用しないようにできます。

手順の詳細

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

proxy-bypass

プロキシ バイパスを設定します。

クライアントレス SSL VPN エンド ユーザの設定

この項は、エンド ユーザのためにクライアントレス SSL VPN を設定するシステム管理者を対象にしています。ここでは、エンド ユーザ インターフェイスをカスタマイズする方法について説明します。

この項では、リモート システムの設定要件と作業の概要を説明します。ユーザがクライアントレス SSL VPN の使用を開始するために、ユーザに伝える必要がある情報を明確にします。説明する項目は次のとおりです。

エンド ユーザ インターフェイスの定義

「クライアントレス SSL VPN ページのカスタマイズ」

「ヘルプのカスタマイズ」

ユーザ名とパスワードの要求

セキュリティのヒントの通知

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

ユーザ メッセージの言語の変換

エンド ユーザ インターフェイスの定義

クライアントレス SSL VPN エンド ユーザ インターフェイスは、一連の HTML パネルで構成されます。ユーザは、ASA インターフェイスの IP アドレスを https:// address 形式で入力することにより、クライアントレス SSL VPN にログインします。最初に表示されるパネルは、ログイン画面(図 11-8)です。

図 11-8 クライアントレス SSL VPN の [Login] 画面

 

クライアントレス SSL VPN ホームページの表示

ユーザがログインすると、ポータル ページが開きます。

ホームページには設定済みのクライアントレス SSL VPN 機能がすべて表示され、選択済みのロゴ、テキスト、および色が外観に反映されています。このサンプル ホームページには、特定のファイル共有の指定機能以外のすべてのクライアントレス SSL VPN 機能が表示されています。ユーザはこのホームページを使用して、ネットワークのブラウズ、URL の入力、特定の Web サイトへのアクセス、および Application Access(ポート転送とスマート トンネル)による TCP アプリケーションへのアクセスを実行できます。

クライアントレス SSL VPN の Application Access パネルの表示

ポート転送またはスマート トンネルを開始するには、[Application Access] ボックスの [Go] ボタンをクリックします。[Application Access] ウィンドウが開きます(図 11-9)。

図 11-9 クライアントレス SSL VPN の [Application Access] ウィンドウ

 

このウィンドウには、このクライアントレス SSL VPN 接続用に設定された TCP アプリケーションが表示されます。このパネルを開いたままでアプリケーションを使用する場合は、通常の方法でアプリケーションを起動します。


) ステートフル フェールオーバーでは、Application Access を使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。


フローティング ツールバーの表示

図 11-10 に示すフローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。

図 11-10 クライアントレス SSL VPN フローティング ツールバー

 

フローティング ツールバーの次の特性に注意してください。

ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

ツールバーを閉じると、ASAはクライアントレス SSL VPN セッションの終了を確認するプロンプトを表示します。

クライアントレス SSL VPN の使用方法の詳細については、表 11-10を参照してください。

クライアントレス SSL VPN ページのカスタマイズ

クライアントレス SSL VPN ユーザに表示されるポータル ページの外観を変えることができます。変更できる外観には、ユーザがセキュリティ アプライアンスに接続するときに表示される [Login] ページ、セキュリティ アプライアンスのユーザ承認後に表示される [Home] ページ、ユーザがアプリケーションを起動するときに表示される [Application Access] ウィンドウ、およびユーザがクライアントレス SSL VPN セッションからログアウトするときに表示される [Logout] ページが含まれます。

ポータル ページのカスタマイズ後は、このカスタマイゼーションを保存して、特定の接続プロファイル、グループ ポリシー、またはユーザに適用できます。ASA をリロードするか、またはクライアントレス SSL をディセーブルにしてから再度イネーブルにするまで、変更は適用されません。

いくつものカスタマイゼーション オブジェクトを作成、保存して、個々のユーザまたはユーザ グループに応じてポータル ページの外観を変更するようにセキュリティ アプライアンスをイネーブル化できます。

この項では、次のトピックについて取り上げます。

「カスタマイゼーションに関する情報」

「カスタマイゼーション テンプレートのエクスポート」

「カスタマイゼーション テンプレートの編集」

「カスタマイゼーション オブジェクトのインポート」

「接続プロファイル、グループ ポリシー、およびユーザへのカスタマイゼーションの適用」

「ログイン画面の高度なカスタマイゼーション」

カスタマイゼーションに関する情報

ASAは、カスタマイゼーション オブジェクトを使用して、ユーザ画面の外観を定義します。カスタマイゼーション オブジェクトは、リモート ユーザに表示されるカスタマイズ可能なすべての画面項目に対する XML タグを含む XML ファイルからコンパイルされます。ASA ソフトウェアには、リモート PC にエクスポートできるカスタマイゼーション テンプレートが含まれています。このテンプレートを編集して、新しいカスタマイゼーション オブジェクトとしてASAにインポートし戻すことができます。

カスタマイゼーション オブジェクトをエクスポートすると、XML タグを含む XML ファイルが、指定した URL に作成されます。カスタマイゼーション オブジェクトによって作成される Template という名前の XML ファイルには、空の XML タグが含まれており、新しいカスタマイゼーション オブジェクトを作成するための基礎として利用できます。このオブジェクトは変更したり、キャッシュ メモリから削除したりすることはできませんが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとして再度 ASA にインポートできます。

カスタマイゼーション オブジェクト、接続プロファイル、およびグループ ポリシー

ユーザが初めて接続するときには、接続プロファイル(トンネル グループ)で指定されたデフォルトのカスタマイゼーション オブジェクト( DfltCustomization )がログイン画面の表示方法を決定します。接続プロファイル リストがイネーブルになっている場合に、独自のカスタマイゼーションがある別のグループをユーザが選択すると、その新しいグループのカスタマイゼーション オブジェクトを反映して画面が変わります。

リモート ユーザが認証された後は、画面の外観は、そのグループ ポリシーにカスタマイゼーション オブジェクトが割り当てられているかどうかによって決まります。

カスタマイゼーション テンプレートのエクスポート

カスタマイゼーション オブジェクトをエクスポートすると、指定した URL に XML ファイルが作成されます。カスタマイゼーション テンプレート( Template )は、空の XML タグを含んでおり、新しいカスタマイゼーション オブジェクトを作成するためのベースになります。このオブジェクトは変更したり、キャッシュ メモリから削除したりすることはできませんが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとして再度 ASA にインポートできます。

手順の詳細

コマンド
目的

ステップ 1

export webvpn customization

カスタマイゼーション オブジェクトをエクスポートし、XML タグの変更を許可します。

ステップ 2

import webvpn customization

 
hostname# export webvpn customization DfltCustomization tftp://209.165.200.225/dflt_custom
!!!!!!!!!!!!!!!!INFO: Customization object 'DfltCustomization' was exported to tftp://10.86.240.197/dflt_custom

hostname#

新しいオブジェクトとしてファイルをインポートします。

デフォルトのカスタマイゼーション オブジェクト(DfltCustomization)をエクスポートして、 dflt_custom という名前の XML ファイルを作成します。

カスタマイゼーション テンプレートの編集

この項では、カスタマイゼーション テンプレートの内容を示して、便利な図を提供しています。これらを参照して、正しい XML タグをすばやく選択して、画面表示を変更できます。

テキスト エディタまたは XML エディタを使用して、XML ファイルを編集できます。次の例は、カスタマイゼーション テンプレートの XML タグを示しています。一部の冗長タグは、見やすくするために削除してあります。

 
<custom>
<localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>
</localization>
<auth-page>
<window>
<title-text l10n="yes"><![CDATA[SSL VPN Service]]></title-text>
</window>
<full-customization>
<mode>disable</mode>
<url></url>
</full-customization>
<language-selector>
<mode>disable</mode>
<title l10n="yes">Language:</title>
<language>
<code>en</code>
<text>English</text>
</language>
<language>
<code>zh</code>
<text>中国 (Chinese)</text>
</language>
<language>
<code>ja</code>
<text>æ--¥æœ¬ (Japanese)</text>
</language>
<language>
<code>ru</code>
<text>РуÑÑкий (Russian)</text>
</language>
<language>
<code>ua</code>
<text>УкраÑ--нÑька (Ukrainian)</text>
</language>
</language-selector>
<logon-form>
<title-text l10n="yes"><![CDATA[Login]]></title-text>
<title-background-color><![CDATA[#666666]]></title-background-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<message-text l10n="yes"><![CDATA[Please enter your username and password.]]></message-text>
<username-prompt-text l10n="yes"><![CDATA[USERNAME:]]></username-prompt-text>
<password-prompt-text l10n="yes"><![CDATA[PASSWORD:]]></password-prompt-text>
<internal-password-prompt-text l10n="yes">Internal Password:</internal-password-prompt-text>
<internal-password-first>no</internal-password-first>
<group-prompt-text l10n="yes"><![CDATA[GROUP:]]></group-prompt-text>
<submit-button-text l10n="yes"><![CDATA[Login]]></submit-button-text>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-background-color><![CDATA[#666666]]></title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logon-form>
<logout-form>
<title-text l10n="yes"><![CDATA[Logout]]></title-text>
<message-text l10n="yes"><![CDATA[Goodbye.<br>
 
For your own security, please:<br>
 
<li>Clear the browser's cache
 
<li>Delete any downloaded files
 
<li>Close the browser's window]]></message-text>
<login-button-text l10n="yes">Logon</login-button-text>
<hide-login-button>no</hide-login-button>
<title-background-color><![CDATA[#666666]]></title-background-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-background-color><![CDATA[#666666]]></title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logout-form>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service]]></text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff]]></background-color>
<font-size><![CDATA[larger]]></font-size>
<font-color><![CDATA[#800000]]></font-color>
<font-weight><![CDATA[bold]]></font-weight>
</title-panel>
<info-panel>
<mode>disable</mode>
<image-url l10n="yes">/+CSCOU+/clear.gif</image-url>
<image-position>above</image-position>
<text l10n="yes"></text>
</info-panel>
<copyright-panel>
<mode>disable</mode>
<text l10n="yes"></text>
</copyright-panel>
</auth-page>
<portal>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service]]></text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff]]></background-color>
<font-size><![CDATA[larger]]></font-size>
<font-color><![CDATA[#800000]]></font-color>
<font-weight><![CDATA[bold]]></font-weight>
</title-panel>
<browse-network-title l10n="yes">Browse Entire Network</browse-network-title>
<access-network-title l10n="yes">Start AnyConnect</access-network-title>
<application>
<mode>enable</mode>
<id>home</id>
<tab-title l10n="yes">Home</tab-title>
<order>1</order>
</application>
<application>
<mode>enable</mode>
<id>web-access</id>
<tab-title l10n="yes"><![CDATA[Web Applications]]></tab-title>
<url-list-title l10n="yes"><![CDATA[Web Bookmarks]]></url-list-title>
<order>2</order>
</application>
<application>
<mode>enable</mode>
<id>file-access</id>
<tab-title l10n="yes"><![CDATA[Browse Networks]]></tab-title>
<url-list-title l10n="yes"><![CDATA[File Folder Bookmarks]]></url-list-title>
<order>3</order>
</application>
<application>
<mode>enable</mode>
<id>app-access</id>
<tab-title l10n="yes"><![CDATA[Application Access]]></tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>net-access</id>
<tab-title l10n="yes">AnyConnect</tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>help</id>
<tab-title l10n="yes">Help</tab-title>
<order>1000000</order>
</application>
<toolbar>
<mode>enable</mode>
<logout-prompt-text l10n="yes">Logout</logout-prompt-text>
<prompt-box-title l10n="yes">Address</prompt-box-title>
<browse-button-text l10n="yes">Browse</browse-button-text>
</toolbar>
<column>
<width>100%</width>
<order>1</order>
</column>
<pane>
<type>TEXT</type>
<mode>disable</mode>
<title></title>
<text></text>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>IMAGE</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>HTML</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>RSS</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<url-lists>
<mode>group</mode>
</url-lists>
<home-page>
<mode>standard</mode>
<url></url>
</home-page>
</portal>
</custom>
 

図 11-11 に、[Login] ページとページをカスタマイズする XML タグを示します。これらのタグはすべて、上位レベルのタグ <auth-page> にネストされています。

図 11-11 [Login] ページと関連の XML タグ

 

図 11-12 は、[Login] ページで使用可能な言語セレクタ ドロップダウン リストと、この機能をカスタマイズするための XML タグを示しています。これらのタグはすべて、上位レベルの <auth-page> タグにネストされています。

図 11-12 [Login] 画面上の言語セレクタと関連の XML タグ

 

図 11-13 は、[Login] ページで使用できる Information Panel とこの機能をカスタマイズするための XML タグを示しています。この情報は [Login] ボックスの左側または右側に表示されます。これらのタグは、上位レベルの <auth-page> タグにネストされています。

図 11-13 [Login] 画面上の Information Panel と関連の XML タグ

 

図 11-14 は、ポータル ページとこの機能をカスタマイズするための XML タグを示しています。これらのタグは、上位レベルの <auth-page> タグにネストされています。

図 11-14 ポータル ページと関連の XML タグ

 

カスタマイゼーション オブジェクトのインポート

XML ファイルを編集して保存した後、次のコマンドを使用して、ASA のキャッシュ メモリにインポートします。

手順の詳細

コマンド
目的

ステップ 1

import webvpn customization

 
hostname# import webvpn customization custom1 tftp://209.165.201.22/customization /General.xml
Accessing tftp://209.165.201.22/customization/General.xml...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/custom1...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

329994 bytes copied in 5.350 secs (65998 bytes/sec)

ASA のキャッシュ メモリに XML ファイルをインポートします。カスタマイゼーション オブジェクトをインポートする場合、ASA は XML コードの有効性をチェックします。コードが有効な場合、ASA はそのオブジェクトをキャッシュ メモリ内の非表示の場所に保存します。

カスタマイゼーション オブジェクト General.xml を 209.165.201.22/customization の URL からインポートして、 custom1 という名前を付けます。

接続プロファイル、グループ ポリシー、およびユーザへのカスタマイゼーションの適用

カスタマイゼーションの作成後、 customization コマンドを使用して、接続プロファイル(トンネル グループ)、グループ、またはユーザにそのカスタマイゼーションを適用できます。このコマンドで表示されるオプションは、使用中のモードによって異なります。


) ポータル ページのカスタマイズ後は、ASA をリロードするか、またはクライアントレス SSL をディセーブルにしてから再度イネーブルにするまで、変更は適用されません。


接続プロファイル、グループ ポリシー、およびユーザの設定の詳細については、「接続プロファイル、グループ ポリシー、およびユーザの設定」を参照してください。

手順の詳細

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

tunnel-group webvpn

 

または

group-policy webvpn

 

または

username webvpn

トンネルグループ webvpn コンフィギュレーション モードに切り替えます。

グループ ポリシー webvpn コンフィギュレーションに切り替えます。

ユーザ名 webvpn コンフィギュレーションに切り替えます。

ステップ 3

customization name

 
hostname(config)# tunnel-group cisco_telecommuters webvpn-attributes

hostname(tunnel-group-webvpn)# customization cisco

 

または

 

customization {none | value name}

 

 

 

 

 

 

 
hostname(config)# group-policy cisco_sales attributes
hostname(config-group-policy)# webvpn

hostname(config-username-webvpn)# customization value ?

config-username-webvpn mode commands/options:
Available configured customization profiles:
DfltCustomization
cisco
hostname(config-group-webvpn)# customization value cisco
 
hostname(config)# username cisco_employee attributes
hostname(config-username)# webvpn

hostname(config-username-webvpn)# customization value cisco

接続プロファイルにカスタマイゼーションを適用します。name は、接続プロファイルに適用するカスタマイゼーションの名前です。

トンネルグループ webvpn コンフィギュレーション モードを開始し、接続プロファイル cisco_telecommutes に対してカスタマイゼーション cisco をイネーブルにします。

グループまたはユーザにカスタマイゼーションを適用します。次のオプションが含まれます。

none は、グループまたはユーザに対するカスタマイゼーションをディセーブルにし、値を継承しないようにして、デフォルトのクライアントレス SSL VPN ページを表示します。

value name は cu の名前です

グループ ポリシー webvpn コンフィギュレーション モードを開始し、セキュリティ アプライアンスにカスタマイゼーションのリストのクエリーを実行し、グループ ポリシー cisco_sales に対してカスタマイゼーション cisco をイネーブルにします。


ユーザ名 webvpn コンフィギュレーション モードを開始し、ユーザ cisco_employee に対してカスタマイゼーション cisco をイネーブルにします。

ステップ 4

(任意)

[no] customization name

 

または

[no] customization {none | value name }

コンフィギュレーションからコマンドを削除して、接続プロファイルからカスタマイゼーションを削除します。


コンフィギュレーションからコマンドを削除し、デフォルトに戻します。

ステップ 5

customization command followed by a question mark (?)

既存のカスタマイゼーションのリストを表示します。

ログイン画面の高度なカスタマイゼーション

提供されるログイン画面の特定の画面要素を変更するのではなく、独自のカスタム ログイン画面を使用する場合は、フル カスタマイゼーション機能を使用してこの高度なカスタマイゼーションを実行できます。

フル カスタマイゼーションを使用して、独自のログイン画面の HTML を入力し、ASAで関数を呼び出す Cisco HTML コードを挿入します。これで、Login フォームと言語セレクタ ドロップダウン リストが作成されます。

この項では、独自の HTML コードを作成するために必要な修正内容、およびASAが独自のコードを使用する場合に設定する必要があるタスクについて説明します。

図 11-15 に、クライアントレス SSL VPN ユーザに表示される標準の Cisco ログイン画面を示します。Login フォームは、HTML コードで呼び出す関数によって表示されます。

図 11-15 標準の Cisco [Login] ページ

 

図 11-16 に、言語セレクタ ドロップダウン リストを示します。この機能は、クライアントレス SSL VPN ユーザにはオプションとなっており、ログイン画面の HTML コード内の関数によっても呼び出されます。

図 11-16 言語セレクタ ドロップダウン リスト

 

図 11-17 は、フル カスタマイゼーション機能によってイネーブル化される簡単なカスタム ログイン画面の例を示しています。

図 11-17 ログイン画面のフル カスタマイゼーション例

次の HTML コードは例として使用され、表示するコードです。

 
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>New Page 3</title>
<base target="_self">
</head>
 
<p align="center">
<img border="0" src="/+CSCOU+/cisco_logo.jpg" width="188" height="48"><font face="Snap ITC" size="6" color="#FF00FF">
</font><font face="Snap ITC" color="#FF00FF" size="7">&nbsp;</font><i><b><font color="#FF0000" size="7" face="Sylfaen"> SSL VPN Service by the Cisco ASA5500</font></b></i></p>
 
<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>
 

字下げされたコードは、画面に Login フォームと言語セレクタを挿入します。関数 csco_ShowLoginForm('lform') は Login フォームを挿入します。 csco_ShowLanguageSelector('selector') は、言語セレクタを挿入します。

HTML ファイルの変更

HTML ファイルを変更するには、次の手順を実行します。

手順の詳細


ステップ 1 ファイルに login.inc という名前を付けます。このファイルをインポートすると、ASAはこのファイル名をログイン画面として認識します。

ステップ 2 このファイルで使用されるイメージのパスに /+CSCOU+/ を含めるように変更します。

認証前にリモート ユーザに表示されるファイルは、パス /+CSCOU+/ で表されるASAのキャッシュ メモリの特定のエリアに置く必要があります。そのため、このファイルにある各イメージのソースはこのパスに含める必要があります。たとえば、次のように入力します。

src=”/+CSCOU+/asa5520.gif”
 

ステップ 3 下記の特別な HTML コードを挿入します。このコードには、Login フォームと言語セレクタを画面に挿入する前述のシスコの関数が含まれています。

<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>

 

 

クライアント/サーバ プラグインへのブラウザ アクセスの設定

[Client-Server Plug-in] テーブルには、ASA によってクライアントレス SSL VPN セッションのブラウザで使用できるようになるプラグインが表示されます。

プラグインを追加、変更、または削除するには、次のいずれかを実行します。

プラグインを追加するには、[Import] をクリックします。[Import Plug-ins] ダイアログボックスが開きます。

プラグインを削除するには、そのプラグインを選択して [Delete] をクリックします。

次の項では、クライアントレス SSL VPN のブラウザ アクセス用のブラウザ プラグインの統合について説明します。

ブラウザ プラグインのインストールについて

プラグインのためのセキュリティ アプライアンスの準備

シスコが再配布しているプラグインのインストール

ブラウザ プラグインのインストールについて

ブラウザ プラグインは、Web ブラウザによって呼び出される独立したプログラムで、ブラウザ ウィンドウ内でクライアントをサーバに接続するなどの専用の機能を実行します。ASAを使用すると、クライアントレス SSL VPN セッション中に、リモート ブラウザにダウンロードするプラグインをインポートできます。通常、シスコでは再配布するプラグインのテストを行っており、再配布できないプラグインの接続性をテストする場合もあります。ただし、現時点では、ストリーミング メディアをサポートするプラグインのインポートは推奨しません。

プラグインをフラッシュ デバイスにインストールすると、ASAは次の処理を実行します。

(シスコが配布したプラグインのみ) URL で指定した jar ファイルを解凍する。

ASA ファイル システムの csco-config/97/plugin ディレクトリにファイルを書き込む。

ASDM の URL 属性の横にあるドロップダウン メニューに情報を入力します。

将来のすべてのクライアントレス SSL VPN セッションに対するプラグインのイネーブル化、およびメイン メニュー オプションの追加とポータル ページの [Address] フィールドの隣にあるドロップダウン メニューへのオプションの追加

表 11-8 に、次の項で説明するプラグインを追加したときの、ポータル ページのメイン メニューと [Address] フィールドの変更点を示します。

 

表 11-8 クライアントレス SSL VPN ポータル ページへのプラグインの影響

プラグイン
ポータル ページに追加されるメイン メニュー オプション
ポータル ページに追加される [Address] フィールド オプション

ica

Citrix Client

citrix://

rdp

Terminal Servers

rdp://

rdp2

Terminal Servers Vista

rdp2://

ssh,telnet

SSH

ssh://

Telnet

telnet://

vnc

VNC Client

vnc://


) セカンダリ ASA は、プライマリ ASA からプラグインを取得します。


クライアントレス SSL VPN セッションのユーザがポータル ページで関連するメニュー オプションをクリックすると、ポータル ページにインターフェイスへのウィンドウが開き、ヘルプ ペインが表示されます。ドロップダウン メニューに表示されたプロトコルをユーザが選択して [Address] フィールドに URL を入力すると、接続を確立できます。


) Java プラグインによっては、宛先サービスへのセッションが設定されていない場合でも、接続済みまたはオンラインというステータスがレポートされることがあります。open-source プラグインは、ASAではなくステータスをレポートします。


1 つ目のプラグインをインストールする前に、次の項の指示に従う必要があります。

前提条件

セキュリティ アプライアンスでクライアントレス セッションがプロキシ サーバを使用するように設定している場合、プラグインは機能しません。


) Remote Desktop Protocol プラグインでは、セッション ブローカを使用したロード バランシングはサポートされていません。プロトコルによるセッション ブローカからのリダイレクションの処理方法のため、接続に失敗します。セッション ブローカが使用されていない場合、プラグインは動作します。


プラグインは、シングル サインオン(SSO)をサポートします。プラグインは、クライアントレス SSL VPN セッションを開くときに入力したクレデンシャルと 同じ クレデンシャルを使用します。プラグインはマクロ置換をサポートしないため、内部ドメイン パスワードなどのさまざまなフィールドや、RADIUS または LDAP サーバの属性で SSO を実行するオプションはありません。

プラグインに対して SSO サポートを設定するには、プラグインをインストールし、サーバへのリンクを表示するためのブックマーク エントリを追加します。また、ブックマークを追加するときに、SSO サポートを指定します。

リモートで使用するために必要な最低限のアクセス権は、ゲスト特権モードに属しています。

要件

シスコでは、GNU General Public License(GPL; 一般公的使用許諾)に従い、変更を加えることなくプラグインを再配布しています。GPL により、これらのプラグインを直接改良できません。

プラグインへのリモートアクセスを提供するには、ASAでクライアントレス SSL VPN をイネーブルにする必要があります。

ステートフル フェールオーバーが発生すると、プラグインを使用して確立されたセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

プラグインには、ActiveX または Oracle Java ランタイム環境(JRE)1.4.2(以降)がブラウザでイネーブルになっている必要があります。64 ビット ブラウザには、RDP プラグインの ActiveX バージョンはありません。

RDP プラグイン ActiveX デバッグのクイック リファレンス

RDP プラグインをセットアップして使用するには、新しい環境変数を追加する必要があります。新しい環境変数を追加するには、次の手順を行います。


ステップ 1 [My Computer] を右クリックし、[System Properties] を開いて [Advanced] タブを選択します。

ステップ 2 [Advanced] タブで、[Environment Variables] ボタンを選択します。

ステップ 3 [New User Variable] ダイアログボックスで、RF_DEBUG 変数を入力します。

ステップ 4 [User variables] セクションの新しい環境変数を確認します。

ステップ 5 バージョン 8.3 の前に WebVPN のバージョンのクライアント コンピュータを使用していた場合、古い Cisco Portforwarder Control を削除してください。C:/WINDOWS/Downloaded Program Files ディレクトリを開いて、Portforwarder Control を右クリックして、[Remove] を選択します。

ステップ 6 Internet Explorer ブラウザのすべてのキャッシュをクリアします。

ステップ 7 WebVPN セッションを起動して、RDP ActiveX プラグインを使用して RDP セッションを確立します。

これで Windows アプリケーションのイベント ビューアでイベントを確認できるようになります。


 

プラグインのためのセキュリティ アプライアンスの準備

プラグインをインストールする前に、次の手順を実行してASAを準備します。


ステップ 1 ASA インターフェイスでクライアントレス SSL VPN(「webvpn」)がイネーブルになっていることを確認します。

ステップ 2 リモート ユーザが Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用して接続するASA インターフェイスに SSL 証明書をインストールします。


) SSL 証明書の 一般名(CN)として IP アドレスを指定しないでください。リモート ユーザは、ASAと通信するために FQDN の使用を試行します。リモート PC は、DNS または System32\drivers\etc\hosts ファイル内のエントリを使用して、FQDN を解決できる必要があります。



 

ASA で新しい HTML ファイルを使用するための設定

前の手順でカスタマイズした新しい HTML ファイルを使用するように ASA を設定するには、次の手順を実行します。

手順の詳細

コマンド
目的

ステップ 1

import webvpn webcontent

 
hostname# import webvpn webcontent /+CSCOU+/login.inc tftp://209.165.200.225/login.inc
!!!!* Web resource `+CSCOU+/login.inc' was successfully initialized

hostname#

ファイルおよびイメージを Web コンテンツとしてインポートします。

ステップ 2

export webvpn customization

 
hostname2# export webvpn customization template tftp://209.165.200.225/sales_vpn_login
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
%INFO: Customization object 'Template' was exported to tftp://10.21.50.120/sales

_vpn_login

カスタマイゼーション テンプレートをエクスポートします。

ステップ 3

ファイル内の full customization mode タグを enable に変更します。

 
<full-customization>
<mode>enable</mode>
<url>/ +CSCOU+/login.inc </url>

</full-customization>

ASA メモリに格納されているログイン ファイルの URL を指定します。

ステップ 4

ファイルを新しいカスタマイゼーション オブジェクトとしてインポートします。

 

hostname# import webvpn customization sales_vpn_login tftp://10.21.50.120/sales_vpn_login $

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
%INFO: customization object 'sales_vpn_login' was successfully imported

ステップ 5

接続プロファイル(トンネル グループ)にカスタマイゼーション オブジェクトを適用します。

 
hostname(config)# tunnel-group Sales webvpn-attributes

hostname(config-tunnel-webvpn)# customization sales_vpn_login

ヘルプのカスタマイズ

ASAは、VPN セッション中に、アプリケーション パネルにヘルプ コンテンツを表示します。シスコが提供するヘルプ ファイルをカスタマイズするか、または別の言語でヘルプ ファイルを作成できます。次に、後続のセッション中に表示するために、ファイルをフラッシュ メモリにインポートします。事前にインポートしたヘルプ コンテンツ ファイルを取得して、変更し、フラッシュ メモリに再インポートすることもできます。

各アプリケーションのパネルには、事前に設定されたファイル名を使用して独自のヘルプ ファイル コンテンツが表示されます。今後、各ファイルは、ASAのフラッシュ メモリ内の /+CSCOE+/help/ language / という URL に置かれます。 表 11-9 に、VPN セッション用に保守できる各ヘルプ ファイルの詳細を示します。

 

表 11-9 VPN アプリケーションのヘルプ ファイル

アプリケーション タイプ
パネル
セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL
シスコが提供するヘルプ ファイルに英語版があるか

標準

Application Access

/+CSCOE+/help/ language /app-access-hlp.inc

Yes

標準

Browse Networks

/+CSCOE+/help/ language /file-access-hlp.inc

Yes

標準

AnyConnect Client

/+CSCOE+/help/ language /net-access-hlp.inc

Yes

標準

Web Access

/+CSCOE+/help/ language /web-access-hlp.inc

Yes

プラグイン

MetaFrame Access

/+CSCOE+/help/ language /ica-hlp.inc

No

プラグイン

Terminal Servers

/+CSCOE+/help/ language /rdp-hlp.inc

Yes

プラグイン

Telnet/SSH Servers

/+CSCOE+/help/ language /ssh,telnet-hlp.inc

Yes

プラグイン

VNC Connections

/+CSCOE+/help/ language /vnc-hlp.inc

Yes

language は、ブラウザに表示される言語の省略形です。このフィールドは、ファイル変換には 使用されません 。ファイル内で使用される言語を示します。特定の言語コードを指定するには、ブラウザに表示される言語のリストからその言語の省略形をコピーします。たとえば、次の手順のいずれかを使用すると、ダイアログ ウィンドウに言語と関連の言語コードが表示されます。

Internet Explorer を起動して、[Tools] > [Internet Options] > [Languages] > [Add] を選択します。

Mozilla Firefox を起動して、[Tools] > [Options] > [Advanced] > [General] を選択し、[Languages] の隣にある [Choose] をクリックして、[Select a language to add] をクリックします。

ここでは、ヘルプ コンテンツのカスタマイズ方法について説明します。

「シスコが提供するヘルプ ファイルのカスタマイズ」

「シスコが提供していない言語用のヘルプ ファイルの作成」

「フラッシュ メモリへのヘルプ ファイルのインポート」

「フラッシュ メモリからの事前にインポートしたヘルプ ファイルのエクスポート」

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供するヘルプ ファイルをカスタマイズするには、まずフラッシュ メモリ カードからファイルのコピーを取得する必要があります。次の手順で、コピーを取得してカスタマイズします。

手順の詳細


ステップ 1 ブラウザを使用して、ASAとのクライアントレス SSL VPN セッションを確立します。

ステップ 2 表 11-9 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の中の文字列を、ASA のアドレスに追加し、Enter を押してヘルプ ファイルを表示します。


) 英語版のヘルプ ファイルを取得するには、language のところに en を入力します。


次のアドレス例は、Terminal Servers のヘルプの英語版を表示します。

https:// address_of_security_appliance /+CSCOE+/help/en/rdp-hlp.inc

ステップ 3 [File] > [Save (Page) As] を選択します。


) [File name] ボックスの内容は変更しないでください。


ステップ 4 [Save as type] オプションを [Web Page, HTML only] に変更して、[Save] をクリックします。

ステップ 5 任意の HTML エディタを使用してファイルを変更します。


) ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグ、およびコンテンツを構築するための <p>、<ol>、<ul>、および <li> などのタグは使用できます。


ステップ 6 オリジナルのファイル名と拡張子を指定して、HTML only としてファイルを保存します。

ステップ 7 ファイル名が 表 11-9 にあるファイル名のいずれかと一致すること、および余分なファイル拡張子がないことを確認します。


 

変更したファイルをインポートするには、「 フラッシュ メモリへのヘルプ ファイルのインポート」を参照してください。

シスコが提供していない言語用のヘルプ ファイルの作成

HTML を使用して、他の言語でヘルプ ファイルを作成します。

サポートするそれぞれの言語に別のフォルダを作成することをお勧めします。

HTML only としてファイルを保存します。 表 11-9 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の最後のスラッシュの後にあるファイル名を使用します。

VPN セッション中に表示するためにファイルをインポートする場合は、次の項を参照してください。

制約事項

ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグは 使用しないでください (たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグ、およびコンテンツを構築するための <p>、<ol>、<ul>、および <li> などのタグは使用できます。

フラッシュ メモリへのヘルプ ファイルのインポート

クライアントレス SSL VPN セッションで表示するために、フラッシュ メモリにヘルプ コンテンツ ファイルをインポートするには、次の手順を実行します。

手順の詳細

コマンド
目的

ステップ 1

import webvpn webcontent destination_url source_url

 

hostname# import webvpn webcontent /+CSCOE+/help/en/app-access-hlp.inc tftp://209.165.200.225/app-access-hlp.inc

クライアントレス SSL VPN セッションで表示するために、フラッシュ メモリにヘルプ コンテンツ ファイルをインポートします。

destination_url は、 VPN アプリケーションのヘルプ ファイルの「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」列の文字列です。

source_url は、インポートするファイルの URL です。有効なプレフィックスは、ftp://、http://、および tftp:// です。

TFTP サーバ(209.165.200.225)からヘルプ ファイル app-access-hlp.inc をフラッシュ メモリにコピーします。この URL には英語の省略形である en が含まれています。

フラッシュ メモリからの事前にインポートしたヘルプ ファイルのエクスポート

後で編集するために事前にインポートしたヘルプ コンテンツ ファイルを取得するには、次の手順を実行します。

手順の詳細

コマンド
目的

ステップ 1

export webvpn webcontent source_url destination_url

 

hostname# export webvpn webcontent /+CSCOE+/help/en/file-access-hlp.inc tftp://209.165.200.225/file-access-hlp.inc

後で編集するために事前にインポートしたヘルプ コンテンツ ファイルを取得します。

source_url は、 表 11-9 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の文字列です。

destination_url は、 ターゲット URL です。有効なプレフィックスは、ftp:// と tftp:// です。最大文字数は 255 です。

[Browser Networks] パネルに表示される英語のヘルプ ファイル file-access-hlp.inc を TFTP サーバ(209.165.200.225)にコピーします。

ユーザ名とパスワードの要求

ネットワークによっては、リモート セッション中にユーザが、コンピュータ、インターネット サービス プロバイダー、クライアントレス SSL VPN、メール サーバ、ファイル サーバ、企業アプリケーションのうち、それらの一部またはすべてにログインする必要が生じることがあります。ユーザはさまざまなコンテキストで認証を行うために、固有のユーザ名、パスワード、PIN などさまざまな情報が要求される場合があります。

表 11-10 に、クライアントレス SSL VPN ユーザが知っておく必要があるユーザ名とパスワードのタイプを示します。

 

表 11-10 クライアントレス SSL VPN セッションのユーザに提供するユーザ名とパスワード

ログイン ユーザ名/
パスワード タイプ
目的
入力するタイミング

コンピュータ

コンピュータへのアクセス

コンピュータの起動

Internet Service Provider:インターネット サービス プロバイダー

インターネットへのアクセス

インターネット サービス プロバイダーへの接続

クライアントレス SSL VPN

リモート ネットワークへのアクセス

クライアントレス SSL VPN の起動

ファイル サーバ

リモート ファイル サーバへのアクセス

クライアントレス SSL VPN ファイル ブラウジング機能を使用して、リモート ファイル サーバにアクセスするとき

企業アプリケーションへのログイン

ファイアウォールで保護された内部サーバへのアクセス

クライアントレス SSL VPN Web ブラウジング機能を使用して、保護されている内部 Web サイトにアクセスするとき

メール サーバ

クライアントレス SSL VPN 経由のリモート メール サーバへのアクセス

電子メール メッセージの送受信

セキュリティのヒントの通知

ユーザはいつでもツールバーの [Logout] アイコンをクリックして、クライアントレス SSL VPN セッションを閉じることができます (ブラウザ ウィンドウを閉じてもセッションは閉じません)。

クライアントレス SSL VPN は、企業ネットワーク上のリモート PC やワークステーションとASAとの間のデータ転送のセキュリティを保証するものです。クライアントレス SSL VPN を使用してもすべてのサイトとの通信がセキュアであるとは限らないことを、ユーザに通知してください。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるもの)にアクセスする場合、企業のASAから目的の Web サーバまでの通信は暗号化されていないため、プライベートではありません。

クライアントレス SSL VPN セキュリティ対策の順守 に、セッション内で実行する手順に応じて、ユーザと通信するための追加のヒントを示します。

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

この項では、クライアントレス SSL VPN を使用するようにリモート システムを設定する方法について説明します。次の項目を取り上げます。

「クライアントレス SSL VPN の起動」

「クライアントレス SSL VPN フローティング ツールバーの使用」

「Web のブラウズ」

「ネットワークのブラウズ(ファイル管理)」

「ポート転送の使用」

「ポート転送を介した電子メールの使用」

「Web アクセスを介した電子メールの使用」

「電子メール プロキシを介した電子メールの使用」

「スマート トンネルの使用」

ユーザ アカウントを別々に設定でき、各ユーザは異なるクライアントレス SSL VPN の機能を使用できます。

クライアントレス SSL VPN の起動

次のようなサポートされている接続を使用して、インターネットに接続できます。

家庭の DSL、ケーブル、ダイヤルアップ

公共のキオスク

ホテルの回線

空港の無線ノード

インターネット カフェ


) クライアントレス SSL VPN でサポートされている Web ブラウザのリストについては、『Cisco ASA 5500 Series VPN Compatibility Reference』を参照してください。


前提条件

ポート転送を介してアプリケーションにアクセスするために、ブラウザでクッキーをイネーブルにする必要があります。

クライアントレス SSL VPN の URL が必要です。URL は、https: //address の形式の https アドレスである必要があります。 address は、SSL VPN がイネーブルである ASA(またはロードバランシング クラスタ)のインターフェイスの IP アドレスまたは DNS ホスト名です。たとえば、https://cisco.example.com などです。

クライアントレス SSL VPN のユーザ名とパスワードが必要です。

制約事項

クライアントレス SSL VPN ではローカル印刷がサポートされていますが、VPN 経由による企業ネットワーク上のプリンタへの印刷はサポートされていません。

クライアントレス SSL VPN フローティング ツールバーの使用

フローティング ツールバーを使用すると、クライアントレス SSL VPN を簡単に使用できます。ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

フローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。[Close] ボタンをクリックすると、ASAはクライアントレス SSL VPN セッションの終了を確認するプロンプトを表示します。


ヒント テキストをテキスト フィールドに貼り付けるには、Ctrl を押した状態で V を押します。(クライアントレス SSL VPN セッション中は、表示されるツールバー上での右クリックはディセーブルになっています)。


制約事項

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

Web のブラウズ

クライアントレス SSL VPN を使用しても、すべてのサイトとの通信がセキュアになるわけではありません。 セキュリティのヒントの通知を参照してください。

クライアントレス SSL VPN での Web ブラウジングのルックアンドフィールは、ユーザが見慣れたものではない場合があります。たとえば、次のように入力します。

クライアントレス SSL VPN のタイトル バーが各 Web ページの上部に表示される。

Web サイトへのアクセス方法:

クライアントレス SSL VPN [Home] ページ上の [Enter Web Address] フィールドに URL を入力する

クライアントレス SSL VPN [Home] ページ上にある設定済みの Web サイト リンクをクリックする

上記 2 つのどちらかの方法でアクセスした Web ページ上のリンクをクリックする

また、特定のアカウントの設定によっては、次のようになる場合もあります。

一部の Web サイトがブロックされている

使用可能な Web サイトが、クライアントレス SSL VPN [Home] ページ上にリンクとして表示されるものに限られる

前提条件

保護されている Web サイトのユーザ名とパスワードが必要です。

制約事項

また、特定のアカウントの設定によっては、次のようになる場合もあります。

一部の Web サイトがブロックされている

使用可能な Web サイトが、クライアントレス SSL VPN [Home] ページ上にリンクとして表示されるものに限られる

ネットワークのブラウズ(ファイル管理)

ユーザは、組織ネットワークを介してファイルを見つける方法に慣れていない場合があります。


) コピー処理の進行中は、Copy File to Server コマンドを中断したり、別の画面に移動したりしないでください。コピー処理を中断すると、不完全なファイルがサーバに保存される可能性があります。


前提条件

共有リモート アクセス用にファイル アクセス権を設定する必要があります。

保護されているファイル サーバのサーバ名とパスワードが必要です。

フォルダとファイルが存在するドメイン、ワークグループ、およびサーバの名前が必要です。

制約事項

クライアントレス SSL VPN を介してアクセスできるのは、共有フォルダと共有ファイルに限られます。

Remote File Explorer の使用

ユーザは、Remote File Explorer を使用して、Web ブラウザから企業ネットワークをブラウズできます。ユーザが Cisco SSL VPN ポータル ページの [Remote File System] アイコンをクリックすると、ユーザのシステムでアプレットが起動し、ツリーおよびフォルダ ビューにリモート ファイル システムが表示されます。

図 11-18 Clientless SSL VPN Remote File Explorer

ユーザはブラウザで次を実行できます。

リモート ファイル システムのブラウズ

ファイルの名前の変更

リモート ファイル システム内、およびリモートとローカルのファイル システム間でのファイルの移動またはコピー

ファイルのバルク アップロードおよびダウンロードの実行


) この機能では、ユーザのマシンに Oracle Java ランタイム環境(JRE)1.4 以降がインストールされ、Web ブラウザで Java がイネーブルになっている必要があります。リモート ファイルの起動には、JRE 1.6 以降が必要です。


ファイルまたはフォルダの名前変更

ファイルまたはフォルダの名前を変更するには、次の手順を実行します。


ステップ 1 名前を変更するファイルまたはフォルダをクリックします。

ステップ 2 [Edit] > [Rename] を選択します。

ステップ 3 プロンプトが表示されたら、ダイアログに新しい名前を入力します。

ステップ 4 [OK] をクリックして、ファイルまたはフォルダの名前を変更します。または、名前を変更しない場合は [Cancel] をクリックします。


 

リモート サーバでのファイルやフォルダの移動またはコピー

リモート サーバでファイルやフォルダを移動またはコピーするには、次の手順を実行します。


ステップ 1 移動またはコピーするファイルやフォルダが含まれている送信元フォルダに移動します。

ステップ 2 ファイルまたはフォルダをクリックします。

ステップ 3 ファイルをコピーするには、[Edit] > [Copy] を選択します。また、ファイルを移動するには、[Edit] > [Cut] を選択します。

ステップ 4 宛先フォルダに移動します。

ステップ 5 [Edit] > [Paste] を選択します。


 

ローカル システム ドライブからリモート フォルダへのファイルのコピー

ローカル ファイル システムとリモート ファイル システム間でファイルをコピーするには、リモート ファイル ブラウザの右ペインとローカル ファイル マネージャ アプリケーション間でファイルをドラッグ アンド ドロップします。

ファイルのアップロードおよびダウンロード

ファイルをダウンロードするには、ブラウザでファイルをクリックし、[Operations] > [Download] を選択し、[Save] ダイアログで場所と名前を指定してファイルを保存します。

ファイルをアップロードするには、宛先フォルダをクリックし、[Operations] > [Upload] を選択し、[Open] ダイアログでファイルの場所と名前を指定します。

この機能には次の制限があります。

ユーザは、アクセスを許可されていないサブフォルダを表示できません。

ユーザがアクセスを許可されていないファイルは、ブラウザに表示されても移動またはコピーできません。

ネストされたフォルダの最大の深さは 32 です。

ツリー ビューでは、ドラッグ アンド ドロップのコピーがサポートされていません。

Remote File Explorer の複数のインスタンスの間でファイルを移動するときは、すべてのインスタンスが同じサーバを探索する必要があります(ルート共有)。

Remote File Explorer は、1 つのフォルダに最大 1500 のファイルおよびフォルダを表示できます。フォルダがこの制限を超えた場合、フォルダは表示されません。

ポート転送の使用


) ユーザは、[Close] アイコンをクリックしてアプリケーションを終了したら、必ず [Application Access] ウィンドウを閉じる必要があります。このウィンドウを正しく閉じないと、Application Access またはアプリケーション自体がディセーブルになる可能性があります。詳細については、 Application Access 使用時の hosts ファイル エラーからの回復を参照してください。


前提条件

Mac OS X の場合、この機能をサポートしているのは Safari ブラウザだけです。

クライアント アプリケーションがインストールされている必要があります。

ブラウザでクッキーをイネーブルにする必要があります。

DNS 名を使用してサーバを指定する場合、ホスト ファイルの変更に必要になるため、PC に対する管理者アクセス権が必要です。

Oracle Java ランタイム環境(JRE)バージョン 1.4.x と 1.5.x がインストールされている必要があります。

JRE がインストールされていない場合は、ポップアップ ウィンドウが表示され、ユーザに対して使用可能なサイトが示されます。 まれに、Java 例外エラーで、ポート転送アプレットが失敗することがあります。このような状況が発生した場合は、次の手順を実行します。

a. ブラウザのキャッシュをクリアして、ブラウザを閉じます。

b. Java アイコンがコンピュータのタスク バーに表示されていないことを確認します。

c. Java のインスタンスをすべて閉じます。

d. クライアントレス SSL VPN セッションを確立し、ポート転送 Java アプレットを起動します。

ブラウザで javascript をイネーブルにする必要があります。デフォルトでは有効に設定されています。

必要に応じて、クライアント アプリケーションを設定する必要があります。


) Microsoft Outlook クライアントの場合、この設定手順は不要です。Windows 以外のすべてのクライアント アプリケーションでは、設定が必要です。Windows アプリケーションの設定が必要かどうかを確認するには、[Remote Server] フィールドの値をチェックします。[Remote Server] フィールドにサーバ ホスト名が含まれている場合、クライアント アプリケーションの設定は不要です。[Remote Server] フィールドに IP アドレスが含まれている場合、クライアント アプリケーションを設定する必要があります。


制約事項

この機能を使用するには、Oracle Java ランタイム環境(JRE)をインストールしてローカル クライアントを設定する必要があります。これには、ローカル システムでの管理者の許可、または C:\windows\System32\drivers\etc の完全な制御が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。

手順の詳細

クライアント アプリケーションを設定するには、ローカルにマッピングされたサーバの IP アドレスとポート番号を使用します。この情報を見つけるには、次の手順を実行します。

1. クライアントレス SSL VPN セッションを開始して、[Home] ページの [Application Access] リンクをクリックします。[Application Access] ウィンドウが表示されます。

2. [Name] カラムで、使用するサーバ名を確認し、このサーバに対応するクライアント IP アドレスとポート番号を [Local] カラムで確認します。

3. この IP アドレスとポート番号を使用して、クライアント アプリケーションを設定します。設定手順は、クライアント アプリケーションによって異なります。


) クライアントレス SSL VPN セッション上で実行しているアプリケーションで URL(電子メール メッセージ内のものなど)をクリックしても、サイトがそのセッションで開くわけではありません。サイトをセッション上で開くには、その URL を [Enter Clientless SSL VPN (URL) Address] フィールドに貼り付けます。


ポート転送を介した電子メールの使用

電子メールを使用するには、クライアントレス SSL VPN のホームページから Application Access を起動します。これにより、メール クライアントが使用できるようになります。


) IMAP クライアントの使用中にメール サーバとの接続が中断した、または新しく接続を確立できない場合は、IMAP アプリケーションを終了してクライアントレス SSL VPN を再起動します。


前提条件

アプリケーション アクセスおよびその他のメール クライアントの要件を満たしている必要があります。

制約事項

Microsoft Outlook Express バージョン 5.5 および 6.0 はテスト済みです。

クライアントレス SSL VPN は、Lotus Notes および Eudora などの、ポート転送を介したその他の SMTPS、POP3S、または IMAP4S 電子メール プログラムをサポートしますが、動作確認は行っていません。

Web アクセスを介した電子メールの使用

次の電子メール アプリケーションがサポートされています。

Microsoft Outlook Web App to Exchange Server 2010

OWA には、Internet Explorer 7 以降、または Firefox 3.01 以降が必要です。

Microsoft Outlook Web Access to Exchange Server 2007、2003、および 2000

最適な結果を得るために、Internet Explorer 8.x 以降または Firefox 8.x で OWA を使用してください。

Louts iNotes

前提条件

Web ベースの電子メール製品がインストールされている必要があります。

制約事項

その他の Web ベースの電子メール アプリケーションも動作しますが、動作確認は行っていません。

電子メール プロキシを介した電子メールの使用

次のレガシー電子メール アプリケーションがサポートされています。

Microsoft Outlook 2000 および 2002

Microsoft Outlook Express 5.5 および 6.0

メール アプリケーションの使用方法と例については、「 クライアントレス SSL VPN を介した電子メールの使用」を参照してください。

前提条件

SSL 対応メール アプリケーションがインストールされている必要があります。

ASA SSL バージョンを TLSv1 Only に設定しないでください。Outlook および Outlook Express では TLS はサポートされません。

メール アプリケーションが正しく設定されている必要があります。

制約事項

その他の SSL 対応クライアントも動作しますが、動作確認は行っていません。

スマート トンネルの使用

スマート トンネルの使用に管理権限は必要ありません。


) ポート フォワーダの場合と異なり、Java は自動的にダウンロードされません。


前提条件

スマート トンネルには、Windows では ActiveX または JRE(1.4x および 1.5x)、Mac OS X では Java Web Start が必要です。

ブラウザで Cookie をイネーブルにする必要があります。

ブラウザで javascript をイネーブルにする必要があります。

制約事項

Mac OS X では、フロントサイド プロキシはサポートされていません。

「スマート トンネルからのログオフの設定」で指定されているオペレーティング システムおよびブラウザだけがサポートされています。

TCP ソケットベースのアプリケーションだけがサポートされています。

ユーザ メッセージの言語の変換

ASA は、クライアントレス SSL VPN セッション全体の言語変換を提供します。これには、ログイン、ログアウト バナー、およびプラグインおよび AnyConnect などの認証後に表示されるポータル ページが含まれます。

この項では、これらのユーザ メッセージを変換するためにASAを設定する方法について説明します。次の項目を取り上げます。

「言語変換の概要」

「変換テーブルの作成」

「カスタマイゼーション オブジェクトでの言語の参照」

「カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ属性の変更」

言語変換の概要

リモート ユーザに可視である機能エリアとそれらのメッセージは、変換ドメイン内にまとめられています。 表 11-11 に、変換ドメインと変換される機能エリアを示します。

 

表 11-11 変換ドメインと、その影響を受ける機能エリア

変換ドメイン
変換される機能エリア

AnyConnect

Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッセージ。

CSD

Cisco Secure Desktop のメッセージ。

customization

ログイン ページ、ログアウト ページ、ポータル ページのメッセージ、およびユーザによるカスタマイズが可能なすべてのメッセージ。

banners

リモート ユーザに表示されるバナーと、VPN アクセスが拒否されたときのメッセージ。

PortForwarder

ポート フォワーディング ユーザに表示されるメッセージ。

url-list

ユーザがポータル ページの URL ブックマークに指定するテキスト。

webvpn

カスタマイズできないすべてのレイヤ 7 メッセージ、AAA メッセージ、およびポータル メッセージ。

plugin-ica

Citrix プラグインのメッセージ。

plugin-rdp

Remote Desktop Protocol プラグインのメッセージ。

plugin-telnet,ssh

Telnet および SSH プラグインのメッセージ。

plugin-vnc

VNC プラグインのメッセージ。

ASA には、標準機能の一部である各ドメイン用の変換テーブル テンプレートが含まれています。プラグインのテンプレートはプラグインともに含まれており、独自の変換ドメインを定義します。

変換ドメインのテンプレートをエクスポートできます。これで、入力する URL にテンプレートの XML ファイルが作成されます。このファイルのメッセージ フィールドは空です。メッセージを編集して、テンプレートをインポートし、フラッシュ メモリに置かれる新しい変換テーブル オブジェクトを作成できます。

既存の変換テーブルをエクスポートすることもできます。作成した XML ファイルに事前に編集したメッセージが表示されます。この XML ファイルを同じ言語名で再インポートすると、新しいバージョンの変換テーブルが作成され、以前のメッセージが上書きされます。

テンプレートにはスタティックのものも、ASAの設定に基づいて変化するものもあります。 クライアントレス ユーザのログインおよびログアウト ページ、ポータル ページ、および URL ブックマーク はカスタマイズが可能なため、ASAは customization および url-list 変換ドメイン テンプレートをダイナミックに生成し、テンプレートは変更内容をこれらの機能エリアに自動的に反映させます。

変換テーブルを作成した後、このテーブルを使用して、カスタマイゼーション オブジェクトを作成し、グループ ポリシーまたはユーザ属性に適用できます。AnyConnect 変換ドメイン以外では、カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを識別し、グループ ポリシーまたはユーザに対してそのカスタマイゼーションを指定するまで、変換テーブルは影響を及ぼすことはなく、ユーザ画面のメッセージは変換されません。AnyConnect ドメインの変換テーブルに対する変更は、ただちに AnyConnect クライアント ユーザに表示されます。

変換テーブルの作成

シングル コンテキスト モードおよびマルチ コンテキスト モードの両方で変換テーブルを作成できます。



手順の詳細

コマンド
目的

ステップ 1

export webvpn translation-table

 
hostname# show import webvpn translation-table
Translation Tables' Templates:
customization
AnyConnect
CSD
PortForwarder
url-list
webvpn
Citrix-plugin
RPC-plugin
Telnet-SSH-plugin
VNC-plugin
 
Translation Tables:
 

hostname# export webvpn translation-table customization template tftp://209.165.200.225/portal

コンピュータに変換テーブル テンプレートをエクスポートします。

使用可能な変換テーブル テンプレートとテーブルを示します。

カスタマイゼーション ドメイン用に変換テーブル テンプレートをエクスポートします。これは、クライアントレス SSL VPN セッションのユーザに表示されるメッセージに影響を及ぼします。作成される XML ファイルのファイル名は portal (ユーザ指定)で、次の空のメッセージ フィールドが含まれています。

ステップ 2

変換テーブルの XML ファイルを編集します。

 
# Copyright (C) 2006 by Cisco Systems, Inc.
#
#, fuzzy
msgid ""
msgstr ""
"Project-Id-Version: ASA\n"
"Report-Msgid-Bugs-To: vkamyshe@cisco.com\n"
"POT-Creation-Date: 2007-03-12 18:57 GMT\n"
"PO-Revision-Date: YEAR-MO-DA HO:MI+ZONE\n"
"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
"Language-Team: LANGUAGE <LL@li.org>\n"
"MIME-Version: 1.0\n"
"Content-Type: text/plain; charset=UTF-8\n"
"Content-Transfer-Encoding: 8bit\n"
 
#: DfltCustomization:24 DfltCustomization:64
msgid "Clientless SSL VPN Service"
msgstr ""

 

portal としてエクスポートされたテンプレートの一部を示します。この出力の最後には、SSL VPN メッセージのメッセージ ID フィールド(msgid)とメッセージ文字列フィールド(msgstr)が含まれています。このメッセージは、ユーザがクライアントレス SSL VPN セッションを確立するときにポータル ページに表示されます。完全なテンプレートには、多くのメッセージ フィールドのペアが含まれています。

ステップ 3

import webvpn translation-table

 
hostname# import webvpn translation-table customization language es-us tftp://209.165.200.225/portal
hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
hostname# show import webvpn translation-table
Translation Tables' Templates:
AnyConnect
PortForwarder
csd
customization
keepout
url-list
webvpn
Citrix-plugin
RPC-plugin
Telnet-SSH-plugin
VNC-plugin
 
Translation Tables:
es-us customization

 

変換テーブルをインポートします。

XML ファイルをインポートします。 es-us は米国スペイン語の省略形です。

AnyConnect ドメインの変換テーブルをインポートする場合、変更内容はすぐに有効になります。その他のドメインの変換テーブルをインポートする場合は、カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを指定して、グループ ポリシーまたはユーザに対してカスタマイゼーション オブジェクトを指定する必要があります。

カスタマイゼーション オブジェクトでの言語の参照

ここでは、カスタマイゼーション テンプレートを参照できるように、エクスポートし、編集して、カスタマイゼーション オブジェクトとしてインポートする方法について説明します。

前提条件

カスタマイゼーション オブジェクトでこれらの変換テーブルを正しく呼び出すには、テーブルが同じ名前ですでにインポートされている必要があります。これらの名前は、ブラウザの言語オプションと互換性がある必要があります。

手順の詳細

コマンド
機能

ステップ 1

export webvpn customization template

 

hostname# export webvpn customization template tftp://209.165.200.225/sales

編集作業ができる URL にカスタマイゼーション テンプレートをエクスポートします。

テンプレートをエクスポートし、指定した URL に sales のコピーを作成します。

ステップ 2

カスタマイゼーション テンプレートを編集し、以前インポートした変換テーブルを参照します。

 
<localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>

</localization>

 

 

 

 

 
<auth-page>
....
<language-selector>
<mode>enable</mode>
<title l10n="yes">Language:</title>
<language>
<code>en</code>
<text>English</text>
</language>
<language>
<code>es-us</code>
<text>Spanish</text>
</language>
</language-selector>

 

カスタマイゼーション テンプレートの XML コードの 2 つのエリアが変換テーブルに関係します。

使用する変換テーブルを指定します。

XML コードの <languages> タグの後に、変換テーブルの名前を続けます。この例では、en、ja、zh、ru、および ua です。

<default-language> タグは、リモート ユーザがASAに接続したときに最初に表示する言語を指定します。上のコード例では、言語は英語です。

言語セレクタの表示に影響を与え、<language selector> タグとそれに関連付けられた <language> タグによって、言語セレクタをイネーブルにし、カスタマイズします。

タグ グループ <language-selector> には、言語セレクタの表示をイネーブルおよびディセーブルにする <mode> タグと、言語を一覧表示するドロップダウン ボックスのタイトルを指定する <title> タグが含まれています。

タグ グループ <language> には、<code> タグと <text> タグが含まれており、言語セレクタ ドロップダウン ボックスに表示される言語名と特定の変換テーブルをマッピングします。

ステップ 3

変更を行った後ファイルを保存します。

ステップ 4

import webvpn customization

 
hostname# import webvpn customization sales tftp://209.165.200.225/sales

hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

新しいオブジェクトとしてカスタマイゼーション テンプレートをインポートします。

ステップ 5

show import webvpn customization

 
hostname# import webvpn customization sales tftp://209.165.200.225/sales

hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

新しいカスタマイゼーション オブジェクト sales を表示します。

 


 

カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ属性の変更

ここでは、特定のグループまたはユーザに対して変更をアクティブにする方法について説明します。

手順の詳細

コマンド
目的

ステップ 1

webvpn

webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

group-policy webvpn

グループ ポリシー webvpn コンフィギュレーション モードに切り替えます。

ステップ 3

customization

 
hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn

hostname(config-group-webvpn)# customization value sales

カスタマイゼーション オブジェクトをイネーブルにします。

グループ ポリシー sales でカスタマイゼーション オブジェクト sales がイネーブルになっていることを示します。


 

ステップ 6 ポータルに表示されるブックマークの名前を入力します。

データのキャプチャ

CLI capture コマンドを使用すると、クライアントレス SSL VPN セッションでは正しく表示されない Web サイトに関する情報を記録できます。このデータは、シスコ カスタマー サポート エンジニアによる問題のトラブルシューティングに役立ちます。次の項では、クライアントレス SSL VPN セッション データのキャプチャおよび表示方法について説明します。

「キャプチャ ファイルの作成」

「キャプチャ データを表示するためのブラウザの使用」

前提条件

クライアントレス SSL VPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成したら、キャプチャを必ずディセーブルにしてください。

キャプチャ ファイルの作成

次の手順を実行して、クライアントレス SSL VPN セッションに関するデータをファイルにキャプチャします。

手順の詳細

コマンド
目的

ステップ 1

capture capture_name type webvpn user webvpn_username

 
hostname# capture hr type webvpn user user2
WebVPN capture started.
capture name hr
user name user2

hostname# no capture hr

クライアントレス SSL VPN のキャプチャ ユーティリティを開始します。

capture_name は、キャプチャに割り当てる名前です。これは、キャプチャ ファイルの名前の先頭にも付加されます。

webvpn_user は、キャプチャの対象となるユーザ名です。

hr という名前のキャプチャを作成します。これは、user2 へのトラフィックをファイルにキャプチャします。

ステップ 2

(任意)

no capture capture_name

ユーザがログインし、クライアントレス SSL VPN セッションを開始した後に、キャプチャ ユーティリティでのパケットの取得を停止します。キャプチャ ユーティリティは capture_name .zip ファイルを作成し、このファイルはパスワード koleso で暗号化されます。

ステップ 3

.zip ファイルをシスコに送信するか、Cisco TAC サービス リクエストに添付します。

ステップ 4

パスワード koleso を使用してファイルの内容を解凍します。

キャプチャ データを表示するためのブラウザの使用

次の手順を実行して、クライアントレス SSL VPN セッションに関するデータをキャプチャして、ブラウザに表示します。

手順の詳細

 

コマンド
目的

ステップ 1

capture capture_name type webvpn user webvpn_username

クライアントレス SSL VPN のキャプチャ ユーティリティを開始します。

capture_name は、キャプチャに割り当てる名前です。これは、キャプチャ ファイルの名前の先頭にも付加されます。

webvpn_user は、キャプチャの対象となるユーザ名です。

ステップ 2

(任意)

no capture capture_name

ユーザがログインし、クライアントレス SSL VPN セッションを開始した後に、キャプチャ ユーティリティでのパケットの取得を停止します。

ステップ 3

ブラウザを開き、次のように入力します。

https:// asdm_enabled_interface_of_the_security_appliance : port /admin/capture/ capture_name /pcap

 

https://192.0.2.1:60000/admin/capture/hr/pcap

hr という名前のキャプチャを sniffer 形式で表示します。

ステップ 4

ステップ 2 を繰り返します。