発行日;2012/01/23 | ドキュメントご利用ガイド | ダウンロード ; この章 , ドキュメント全体
目次
同一インターフェイス上での WebVPN と ASDM の設定
HTTP Basic 認証または NTLM 認証による SSO の設定
グローバル コンフィギュレーション モードでのポート転送、URL、およびアクセスリストの作成
グループポリシー モードまたはユーザ モードでのグループポリシーとユーザへのリストの割り当て
WebVPN グループポリシーとユーザ アトリビュートの設定
hosts ファイル エラーを回避するための Application Access の終了
Application Access 使用時の hosts ファイル エラーの回復
Citrix MetaFrame サービスへのアクセスの設定
Web 電子メール MS Outlook Web Access の設定
リライト済み Java コンテンツに署名するための証明書の設定
アプリケーション プロファイル カスタマイゼーション フレームワークの設定
WebVPN Application Access パネルの表示
Cascading Style Sheet パラメータの使用
Application Access ウィンドウのカスタマイズ
トンネルグループ、グループ、およびユーザへのカスタマイゼーションの適用
WebVPN の設定
•
「WebVPN トンネルグループ アトリビュートの定義」
•
WebVPN の準備
WebVPN によってユーザは、ブラウザを使用してセキュリティ アプライアンスへのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェアやハードウェア クライアントは必要ありません。
WebVPN を使用することで、インターネット上のほぼすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションへのセキュアで容易なアクセスが可能になります。次のようなアクセス先があります。
•
•
WebVPN は Secure Sockets Layer プロトコルおよびその後継である Transport Layer Security を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。セキュリティ アプライアンスはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。
ネットワーク管理者は、ユーザに対してグループ単位で WebVPN リソースへのアクセスを提供します。ユーザは、内部ネットワーク上のリソースに直接アクセスすることはできません。
次の項では、WebVPN アクセスを設定するための準備について説明します。
•
•
WebVPN セキュリティ対策の順守
セキュリティ アプライアンス上の WebVPN 接続は、リモートアクセス IPSec 接続とはまったく異なっています。特に SSL 対応サーバとの対話方法やセキュリティ上のリスクを減らすための対策に大きな違いがあります。
WebVPN 接続では、セキュリティ アプライアンスは、エンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。WebVPN ユーザが SSL 対応 Web サーバに接続すると、セキュリティ アプライアンスはセキュアな接続を確立し、SSL 証明書を検証します。エンド ユーザのブラウザは提示された SSL 証明書を受信しないため、この証明書を検証することはできません。
セキュリティ アプライアンス上の現在の WebVPN 実装では、有効期限が切れた証明書を提示するサイトとの通信は許可しません。また、セキュリティ アプライアンスは信頼できる CA 証明書の検証も実行しません。このため、WebVPN ユーザは、SSL 対応の Web サーバと通信する前に相手が提示する証明書を分析することができません。
SSL 証明書に関するリスクを最小限にするには、次のようにします。
1.
2.
3.
WebVPN でサポートされていない機能の概要
セキュリティ アプライアンスは、WebVPN 接続では次の機能をサポートしていません。
•
•
•
•
•
•
•
中央サイトにアクセスするための SSL の使用
WebVPN は SSL およびその後継である TLS1 を使用して、リモート ユーザと、中央サイトにある特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。ここでは、次の項目について説明します。
WebVPN セッション用 HT4TPS の使用
•
•
インターフェイス上で WebVPN セッションを許可するには、次の手順を実行します。
ステップ 1
ステップ 2
たとえば、外部のインターフェイス上で WebVPN セッションをイネーブルにするには、次のように入力します。
同一インターフェイス上での WebVPN と ASDM の設定
セキュリティ アプライアンスは、同一インターフェイスで WebVPN 接続と HTTPS 接続の両方の ASDM 管理セッションを同時にサポートできます。HTTPS と WebVPN の両方がデフォルトでポート 443 を使用します。したがって、HTTPS と WebVPN の両方を同一インターフェイス上でイネーブルにするには、HTTPS か WebVPN のいずれかに異なるポート番号を指定する必要があります。あるいは、異なるインターフェイス上で WebVPN と HTTPS を設定します。
HTTPS のポートを指定するには、 http server enable コマンドの port 引数を使用します。次の例では、HTTPS ASDM セッションが外部インターフェイスでポート 444 を使用するように指定しています。WebVPN も外部インターフェイスでイネーブルになっており、デフォルト ポート(443)を使用します。このコンフィギュレーションでは、リモート ユーザは https://<outside_ip>:444 とブラウザで入力して、ASDM セッションを開始します。
WebVPN のポートを指定するには、webvpn コンフィギュレーション モードから port コマンドを使用します。次の例では、外部インターフェイスのポート 444 で WebVPN をイネーブルにします。ASDM の HTTPS も外部インターフェイスで設定されており、デフォルト ポート(443)を使用します。このコンフィギュレーションでは、リモート ユーザは https://<outside_ip>:444 とブラウザで入力して、WebVPN セッションを開始します。
WebVPN HTTP/HTTPS プロキシの設定
セキュリティ アプライアンスは HTTPS 接続を終了して、HTTP/HTTPS 要求を HTTP プロキシ サーバや HTTPS プロキシ サーバに転送できます。これらのサーバは、ユーザとインターネットの仲介役として機能します。すべてのインターネット アクセスが組織によって制御されているサーバを経由するように指定することで、別のフィルタリングが可能になり、セキュアなインターネット アクセスと管理制御が保証されます。
HTTP プロキシと HTTPS プロキシに対する値を設定するには、webvpn モードで http-proxy コマンドと https-proxy コマンドを使用します。これらのコマンドを使用すると、HTTP や HTTPS のプロキシ サーバとポートを指定できます。
SSL/TLS 暗号化プロトコルの設定
SSL/TLS 暗号化プロトコルを設定するときは、次のことに注意してください。
•
•
MS Outlook と MS Outlook Express は TLS をサポートしていません。•
デジタル証明書による認証
SSL はデジタル証明書を使用して認証を行います。セキュリティ アプライアンスは、ブート時に自己署名の SSL サーバ証明書を作成します。または、PKI コンテキストで発行された SSL 証明書をセキュリティ アプライアンスにインストールすることもできます。HTTPS の場合、この証明書をクライアントにインストールする必要があります。証明書のインストールは、特定のセキュリティ アプライアンスから 1 度だけ行います。
デジタル証明書によるユーザ認証には、次のような制限事項があります。
•
•
デジタル証明書を使用する認証と認可の詳細については、「AAA サーバとローカル データベースの設定」の「証明書とユーザ ログイン クレデンシャルの使用方法」を参照してください。
Web VPN 用にブラウザのクッキーをイネーブルにする
WebVPN が正しく動作するためには、ブラウザのクッキーが必要です。ブラウザでクッキーがディセーブルになっていると、Web ポータル ホームページからのリンクによって新しいウィンドウが開き、ユーザはもう一度ログインするように要求されます。
パスワードの管理
パスワードの期限切れが近づくとにエンド ユーザに警告するようにセキュリティ アプライアンスを設定することができます。これを設定するには、トンネルグループの一般アトリビュート モードで、 password-management コマンドを指定します。
このコマンドを設定すると、セキュリティ アプライアンスは、リモート ユーザのログイン時に、現在のパスワードの期限切れが近づいているか、または期限が切れていることを通知します。次に、セキュリティ アプライアンスからパスワード変更の機会がユーザに提供されます。現在のパスワードの期限がまだ切れていない場合は、ユーザはこのパスワードで引き続きログインできます。このコマンドは、このような通知機能をサポートする RADIUS、RADIUS 対応 NT サーバ、LDAP サーバなどの AAA サーバで有効です。RADIUS 認証または LDAP 認証が設定されていない場合、セキュリティ アプライアンスはこのコマンドを無視します。
このコマンドは、パスワードが期限切れになるまでの日数は変更しませんが、パスワードの期限切れが近づいていることをセキュリティ アプライアンスがユーザに警告する期限切れまでの日数を指定します。デフォルト値は 14 日間です。
LDAP サーバ認証だけの場合は、キーワード password-expire-in-days を使用すると特定の日数を指定できます。 password-expire-in-days を使用する場合は、日数も指定する必要があります。
日数を 0 にしてこのコマンドを指定すると、このコマンドはディセーブルになります。セキュリティ アプライアンスは期限切れが迫っていることをユーザに通知しませんが、ユーザは期限切れ後にパスワードを変更することができます。
次の例は、トンネルグループ「testgroup」についてパスワードの期限切れが迫っていることをユーザに警告し始めるまでの日数を 90 日間に設定しています。
WebVPN でのシングル サインオンの使用
シングル サインオン サポートは、WebVPN ユーザがパスワードを 1 回入力するだけで複数の保護されたサービスや Web サーバにアクセスできるシステムです。一般に、SSO のメカニズムは、AAA プロセスの一部として開始されるか、または AAA サーバのユーザ認証に成功した直後に開始されます。セキュリティ アプライアンス上で実行されている WebVPN サーバは、認証サーバにアクセスするユーザのプロキシとして機能します。ユーザがログインすると、WebVPN サーバは HTTPS を使用して認証サーバに SSO 認証要求を送信します。要求にはユーザ名とパスワードが含まれます。サーバは認証要求を承認した場合、SSO 認証クッキーを WebVPN サーバに返します。セキュリティ アプライアンスは、ユーザの代理としてこのクッキーを保持し、ユーザ認証でこのクッキーを使用して、SSO サーバで保護されているドメイン内部の Web サイトの安全を確保します。
この項では、WebVPN でサポートされる 3 種類の SSO 認証方法について説明します。これらの認証方法には、HTTP Basic 認証と NTLMv1(NT LAN Manager)認証、Computer Associates の eTrust SiteMinder SSO サーバ(前 Netegrity SiteMinder)による認証、および HTTP Form プロトコルによる認証があります。
HTTP Basic 認証または NTLM 認証による SSO の設定
この項では、HTTP Basic 認証または NTLM 認証を使用するシングル サインオンについて説明します。この方法のいずれかまたは両方を使用して SSO を実装するようにセキュリティ アプライアンスを設定することができます。 auto-signon コマンドを使用すると、セキュリティ アプライアンスは WebVPN ユーザのログインのクレデンシャル(ユーザ名およびパスワード)を内部サーバに自動的に渡すように設定されます。 auto-signon コマンドは 2 回以上入力することができます。コマンドを複数回入力すると、セキュリティ アプライアンスは入力順(先に入力されたコマンドを優先)にこれらを処理します。IP アドレスと IP マスク、または URI マスクのいずれかを使用してログインのクレデンシャルを受信するようにサーバに指定します。
auto-signon コマンドは、webvpn コンフィギュレーション モード、webvpn グループポリシー モード、webvpn ユーザ名モードのすべてで使用できます。ユーザ名はグループより優先され、グループはグローバルより優先されます。モードは、次のように、必要な認証の範囲に応じて選択します。
すべてのユーザ、IP アドレス範囲、NTLM
NTLM 認証を使用し、10.1.1.0 から 10.1.1.255 の IP アドレス範囲に存在するサーバに対するすべての WebVPN ユーザからのアクセスに 自動サインオン を設定するには、次のようなコマンドを入力します。
すべてのユーザ、URI 範囲、HTTP Basic
基本の HTTP 認証を使用するすべての Web VPN ユーザに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに 自動サインオン を設定するには、次のようなコマンドを入力します。
グループ、URI 範囲、HTTP Basic および NTLM
基本認証または NTLM 認証を使用して、Web VPN ユーザの ExamplePolicy グループに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに 自動サインオン を設定するには、次のコマンドを入力します。
特定のユーザ、IP アドレス範囲、HTTP Basic
NTTP Basic 認証を使用し、10.1.1.0 から 10.1.1.255 の IP アドレス範囲に存在するサーバに対する Anyuser と名付けられたユーザからのアクセスに 自動サインオン を設定するには、次のようなコマンドを入力します。
SiteMinder による SSO 認証の設定
ここでは、SiteMinder を使用して SSO をサポートするためのセキュリティ アプライアンスの設定について説明します。ユーザの Web サイトのセキュリティ インフラストラクチャにすでに SiteMinder を組み込んでいる場合は、SSO に SiteMinder を使用するのが普通です。この方式により、SSO 認証は AAA から切り離され、AAA プロセスが完了するとこの認証が 1 回実施されます。WebVPN ユーザまたはグループに SSO を設定する場合は、まず RADIUS サーバまたは LDAP サーバなどの AAA サーバを設定する必要があります。その後で、WebVPN の SSO サポートをセットアップできます。この項の内容は次のとおりです。
•
タスクの概要: Siteminder による SSO の設定
この項では、SiteMinder SSO を使用して SSO を設定するために必要なタスクの概要について説明します。必要なタスクは次のとおりです。
•
•
タスクの詳細: Siteminder による SSO の設定
ここでは、CA SiteMinder による SSO 認証をサポートするためのセキュリティ アプライアンスの特定の設定手順について説明します。SiteMinder を使用して SSO を設定するには、次の手順を実行します。
ステップ 1
(注) 現時点では、セキュリティ アプライアンスは、SSO サーバ タイプ siteminder のみサポートします。
ステップ 2
ステップ 3
webvpn-sso-siteminder コンフィギュレーション モードで policy-server-secret コマンドを使用して指定します。キーの長さは、標準またはシフト式英数字を使用した任意の文字長にできますが、セキュリティ アプライアンスと SSO サーバの両方で同じキーを使用する必要があります。たとえば、AtaL8rD8! という秘密キーを作成するには、次のように入力します。
ステップ 4
ステップ 5
ステップ 6
ステップ 7
シスコの認証スキームの SiteMinder への追加
SiteMinder による SSO を使用するためのセキュリティ アプライアンスの設定に加え、Java プラグインとして提供されている、シスコの認証スキームを使用するようにユーザの CA SiteMinder Policy Server を設定する必要もあります。
(注) • SiteMinder Policy Server を正しく設定するには、SiteMinder の経験が必要です。
•
•
ユーザの SiteMinder Policy Server にシスコの認証スキームを設定するには、次のタスクを実行します。
ステップ 1
•
•
コマンドライン インターフェイスから policy-server-secret コマンドを入力するか、ASDM の Add SSO Server ダイアログの Secret Key フィールドに入力するかのいずれかの方法でセキュリティ アプライアンスにこれを設定します。
•
ステップ 2
http://www.cisco.com/cgi-bin/tablebuild.pl/asa からダウンロードし、SiteMinder サーバのデフォルトのライブラリ ディレクトリにコピーします。
HTTP Form プロトコルを使用した SSO の設定
この項では、SSO における HTTP Form プロトコルの使用方法について説明します。HTTP Form プロトコルは SSO 認証を実行するための一般的な手段で、AAA 方式としても使用できます。このプロトコルは、WebVPN ユーザおよび認証を行う Web サーバの間で認証情報を交換するセキュアな方法を提供します。HTTP Form は一般的なプロトコルとして、Web サーバや Web ベースの SSO 製品との高度な互換性を持ち、RADIUS サーバや LDAP サーバなど他の AAA サーバと共に使用することができます。
(注) HTTP プロトコルを使用して SSO を正しく設定するには、認証および HTTP プロトコル交換に関する実用的な知識が必要です。
セキュリティ アプライアンスは、ここでも認証 Web サーバに対する WebVPN ユーザのプロキシとして動作しますが、この場合は、要求に対して HTTP Form プロトコルと POST 方式を使用します。フォーム データを送受信するためにセキュリティ アプライアンスを設定する必要があります。図37-1 は、次の SSO 認証の手順を示したものです。
1.
2.
3.
4.
5.
セキュリティ アプライアンスでユーザ名やパスワードなどの POST データを含めるようにするフォーム パラメータを設定するときに、Web サーバが追加的に要求する非表示パラメータの中には、ユーザ側で当初認識できないものがある場合があります。認証アプリケーションによっては、ユーザ側に表示されず、ユーザが入力もしない非表示データを要求する場合があります。しかし、認証 Web サーバが要求する非表示パラメータを見つけることは可能です。これは、セキュリティ アプライアンスを仲介役のプロキシとして使用せずに、ユーザのブラウザから Web サーバに直接認証要求を出す方法で行います。HTTP ヘッダー アナライザを使用して Web サーバの応答を分析すると、非表示パラメータが次のような形式で表示されます。
非表示パラメータには、必須のパラメータとオプションのパラメータとがあります。Web サーバが非表示パラメータのデータを要求した場合は、そのデータを省略するすべての認証 POST 要求を拒否します。非表示パラメータが必須かオプションかについてはヘッダー アナライザではわからないので、必須であることが判別できるまではすべての非表示パラメータを含めることを推奨します。
HTTP Form データの収集
この項では、必要な HTTP Form データを検出および収集する手順を示します。認証 Web サーバが要求するパラメータが何かわからない場合は、次の手順を実行して認証交換を分析するとパラメータ データを収集することができます。
(注) これらの手順では、ブラウザと HTTP ヘッダー アナライザが必要です。
ステップ 1
ステップ 2
ステップ 3
次に、ホストの HTTP ヘッダーおよび本文が記載された POST 要求の例を示します。
POST /emco/myemco/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000430e1-7443-125c-ac05-83846dc90034&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F HTTP/1.1SMENC=ISO-8859-1&SMLOCALE=US-EN&USERID=Anyuser&USER_PASSWORD=XXXXXX&target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0ステップ 4
ステップ 5
a.
b.
c.
SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0 の部分です。図37-2 に、HTTP アナライザの出力例に表示される action URI、非表示データ、ユーザ名、パスワードの各種パラメータを示します。これは一例です。出力は Web サイトによって大きく異なります。
図37-2 action-uri、非表示、ユーザ名、パスワードの各種パラメータ
ステップ 6
次のサーバ応答ヘッダーでは、SMSESSION がセッションのクッキーの名前です。必要なのはこの名前だけです。値は不要です。
SMSESSION=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;Domain=.example.com;Path=/図37-3 に、HTTP アナライザによる認可クッキーの出力例を示します。これは一例です。出力は Web サイトによって大きく異なります。
図37-3 HTTP アナライザの出力例に表示された認可クッキー
ステップ 7
これで、HTTP Form プロトコルによる SSO をセキュリティ アプライアンスに設定するために必要なパラメータ データを入手できました。
タスクの概要: HTTP Form プロトコルによる SSO の設定
この項では、HTTP Form プロトコルを使用した SSO の設定の概要について説明します。HTTP によって SSO をイネーブルにするには、次のタスクを実行します。
•
•
•
認証 Web サーバの要件によっては次のタスクが必要になる場合もあります。
•
タスクの詳細: HTTP Form プロトコルによる SSO の設定
この項では、HTTP Form プロトコルを使用した SSO を設定するために必要な詳細タスクを取り上げます。セキュリティ アプライアンスが HTTP Form プロトコルを使用した SSO を実行するように設定するには、次の手順を実行します。
ステップ 1
ステップ 2
http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000a1311-a828-1185-ab41-8333b16a0008&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com
この action URI を指定するには、次のコマンドを入力します。
(注) action URI には、ホスト名およびプロトコルを含めることができます。上記の例では、これらは、http://www.example.com の URI の最初に表示されます。
ステップ 3
ステップ 4
ステップ 5
SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do%3FEMCOPageCode%3DENG&smauthreason=0
この非表示パラメータには、間を & で区切った 4 つの Form エントリとその値が含まれています。4 つのエントリとその値は次のとおりです。
•
この非表示パラメータを指定するには、次のコマンドを入力します。
ステップ 6
デジタル証明書による認証
デジタル証明書を使用して認証を行う WebVPN ユーザは、グローバルな認証と認可の設定を使用しません。その代わり、証明書の検証が完了すると、ユーザは認可サーバを使用して認証します。デジタル証明書を使用する認証と認可の詳細については、「AAA サーバとローカル データベースの設定」の「証明書とユーザ ログイン クレデンシャルの使用方法」を参照してください。
WebVPN ポリシーの作成と適用
中央にあるリソースへのアクセスを制御する WebVPN ポリシーを作成および適用するには、次の作業を実行します。
•
•
第 30 章「トンネルグループ、グループポリシー、およびユーザの設定」 では、これらのタスクについて詳細な手順で説明しています。
グローバル コンフィギュレーション モードでのポート転送、URL、およびアクセスリストの作成
転送するポートと WebVPN ユーザに提示する URL のリストを設定し、これらのアクセス レベルを設定するには、グローバル コンフィギュレーション モードで port forward コマンド、 url-list コマンド、および access-list コマンドを使用します。
グループポリシー モードまたはユーザ モードでのグループポリシーとユーザへのリストの割り当て
ポート転送と URL リストを設定したら、webvpn グループポリシー モードまたはユーザ モードで port forward コマンド、 url-list コマンド、および filter コマンドを使用して、グループポリシーやユーザにリストを割り当てます。
グループポリシーとユーザ用の機能のイネーブル化
グループポリシーとユーザ用の機能をイネーブルにするには、グループポリシー モードまたはユーザ コンフィギュレーション モードで functions コマンドを発行します。
グループポリシーへのユーザの割り当て
ユーザをグループポリシーに割り当てると、複数のユーザにポリシーを適用することで設定が容易になります。ユーザをグループポリシーに割り当てるには、内部の認証サーバまたは RADIUS サーバを使用することができます。グループポリシーを使用して設定を簡略化する説明の詳細については、 第 30 章「トンネルグループ、グループポリシー、およびユーザの設定」 を参照してください。
WebVPN トンネルグループ アトリビュートの定義
表37-1 は、WebVPN に特有のトンネルグループ アトリビュートをリストで示したものです。これらのアトリビュートに加えて、すべての VPN 接続に共通する一般的なトンネルグループ アトリビュートを設定します。トンネルグループを設定するための詳細な手順については、 第 30 章「トンネルグループ、グループポリシー、およびユーザの設定」 の「WebVPN トンネルグループの設定」を参照してください。
WebVPN グループポリシーとユーザ アトリビュートの設定
表37-2 は、WebVPN グループポリシーとユーザ アトリビュートをリストで示したものです。グループポリシーとユーザ アトリビュートの詳細な手順については、 第 30 章「トンネルグループ、グループポリシー、およびユーザの設定」 の「グループポリシーの設定」と「特定ユーザのアトリビュートの設定」を参照してください。
Application Access の設定
次の各項では、Application Access の設定について説明します。
hosts ファイル エラーを回避するための Application Access の終了
Application Access 使用時の hosts ファイル エラーの回復
ポート転送アプレットの自動ダウンロード
WebVPN を介してリモート アプリケーションを実行するには、WebVPN ホームページの Start Application Access をクリックしてポート転送 Java アプレットをダウンロードし、起動します。アプリケーションのアクセスを簡略化して起動時間を短縮するには、WebVPN にユーザが最初にログインした時点で、このポート転送アプレットを自動的にダウンロードするように WebVPN を設定できます。
ポート転送アプレットの自動ダウンロードをイネーブルにするには、webvpn モードから auto-download オプションを使用して functions コマンドを入力します。
(注) 自動ダウンロード機能を設定する前に、ポート転送、Outlook/Exchange プロキシまたは HTTP プロキシなどのアプレットを使用するアプリケーションを最初にイネーブルにする必要があります。
hosts ファイル エラーを回避するための Application Access の終了
Application Access の実行の妨げになる hosts ファイル エラーを回避するために、Application Access を使用し終わったら Application Access ウィンドウを正しく閉じるようにします。終了するには、close アイコンをクリックします。
Application Access 使用時の hosts ファイル エラーの回復
Application Access ウィンドウを正しく閉じないと次のエラーが発生することがあります。
•
Backup HOSTS File Foundエラー メッセージが表示される。•
このようなエラーは、Application Access ウィンドウを不適切な方法で終了したことが原因です。次の例を参考にしてください。
•
•
•
hosts ファイルの概要
ローカル システム上の hosts ファイルは、IP アドレスをホスト名にマッピングしています。
Application Access を起動すると、WebVPN は hosts ファイルを修正し、WebVPN 固有のエントリを追加します。Application Access ウィンドウを正しく閉じて Application Access を終了すると、hosts ファイルは元の状態に戻ります。
•
hostsファイルにコピーして、hosts ファイルを元の状態に戻します。
(注) Microsoft アンチスパイウェア ソフトウェアは、ポート転送 JAVA アプレットによる hosts ファイルの変更をブロックします。アンチスパイウェア ソフトウェアの使用時に hosts ファイルの変更を許可する方法の詳細については、www.microsoft.com を参照してください。
不正な Application Access の終了
Application Access が正しく終了しなかった場合、hosts ファイルは WebVPN 用にカスタマイズされた状態のままになっています。ユーザが次に Application Access を起動するときに、WebVPN は hosts.webvpn ファイルを検索することで、Application Access の状態をチェックします。hosts.webvpn ファイルが検出されると、Backup HOSTS File Found エラー メッセージ(図37-4)が表示され、Application Access が一時的にディセーブルになります。
Application Access を正しくシャットダウンしないと、リモートアクセス クライアント/サーバ アプリケーションが不安定な状態のままになります。WebVPN を使用せずにこれらのアプリケーションを起動しようとすると、正しく動作しない場合があります。通常の接続先のホストが使用できなくなる場合があります。一般にこのような状況は、自宅からリモートでアプリケーションを実行し、Application Access ウィンドウを終了せずにコンピュータをシャットダウンし、その後職場でそのアプリケーションを実行しようとした場合に発生します。
hosts ファイルの再設定
Application Access または正しく動作しないアプリケーションを再度イネーブルにするには、次の手順を実行します。
•
•
WebVPN による hosts ファイルの自動再設定
リモートアクセス サーバに接続できる場合は、hosts ファイルを再設定し、Application Access やアプリケーションを再度イネーブルにするために、次の手順を実行します。
ステップ 1
ステップ 2
図37-4 Backup HOSTS File Found メッセージ
•
hosts.webvpn backup ファイルを hosts ファイルにコピーし、hosts ファイルを元の状態に戻してから、hosts.webvpn を削除します。その後、Application Access を再起動する必要があります。•
•
手動による hosts ファイルの再設定
現在の場所からリモートアクセス サーバに接続できない場合や、カスタマイズした hosts ファイルの編集内容を失いたくない場合は、次の手順に従って、hosts ファイルを再設定し、Application Access とアプリケーションを再度イネーブルにします。
ステップ 1
ステップ 2
この文字列を含む行がある場合、hosts ファイルは WebVPN 用にカスタマイズされています。hosts ファイルが WebVPN 用にカスタマイズされている場合、次の例のようになっています。ステップ 3
ステップ 6
Application Access ウィンドウが表示されます。これで Application Access がイネーブルになります。
ファイル アクセスの設定
Common Internet File System(CIFS; 共通インターネット ファイル システム)プロトコルは、ファイル、プリンタ、および他のマシン リソースへのネットワーク アクセスをユーザに提供します。Microsoft では、Windows コンピュータのネットワークで CIFS を実装しています。一方、CIFS のオープン ソース実装では、Linux、UNIX、および Mac OS X など他のオペレーティング システムを実行するサーバへのファイル アクセスも提供しています。
WebVPN は、リモート ユーザに HTTPS ポータル ページを提供しています。このページは、セキュリティ アプライアンス上で稼動するプロキシ CIFS クライアントとのインターフェイスになっています。WebVPN は、このクライアントを使用して、ユーザが認証の要件を満たしていてファイルのプロパティがアクセスを制限しない限り、ネットワーク上のファイルへのネットワーク アクセスをユーザに提供します。クライアントは透過的です。WebVPN から送信されるポータル ページでは、ファイル システムに直接アクセスしているかのように見えます。
ユーザがファイルのリストを要求すると、WebVPN は、そのリストが含まれるサーバの IP アドレスをマスター ブラウザに指定されているサーバに照会します。セキュリティ アプライアンスはリストを入手してポータル ページ上のリモート ユーザに送信します。
WebVPN は、ユーザの認証要求とファイルのプロパティに応じて、ユーザが次の CIFS の機能を呼び出すことができるようにします。
•
セキュリティ アプライアンスは、通常、同じネットワーク上か、またはこのネットワークからアクセス可能な場所にマスター ブラウザまたは WINS サーバが必要です。これは、リモート ユーザが WebVPN ホームページまたはツールバー上の Browse Networks をクリックしたときにサーバ リストのクエリーがネットワークに送信されるようにするためです(図37-5)。
図37-5 WebVPN ホームページとフローティング ツールバーのネットワークのブラウズ
マスター ブラウザには、セキュリティ アプライアンス上の CIFS クライアントと、Web VPN がリモート ユーザに提供するネットワーク リソースのリストが表示されます。マスター ブラウザに DNS サーバを使用することはできません。WebVPN は、WINS サーバを使用した Active Native Directory 環境でのファイル アクセスをサポートしますが、ダイナミック DNS サーバでのアクセスはサポートしません。
次に示す手順 1 は、マスター ブラウザと WINS サーバの指定方法について説明します。手順 1 の代わりに、グローバル コンフィギュレーション モードか、グループポリシーまたはユーザ名モードから入る webvpn モードで url-list コマンドを使用して、File Folder Bookmark にサーバ共有を設定することができます。次の例を参考にしてください。
url-list listname displayname cifs:// ServerA / ShareX /
この方法(共有を追加)では、マスター ブラウザまたは WINS サーバは不要ですが、Browse Networks リンクはサポートされません。このコマンドの入力時に ServerA を参照するためのホスト名または IP アドレスが使用できます。ホスト名を使用する場合、セキュリティ アプライアンスには IP アドレスを解決するための DNS サーバが必要です。
(注) ファイル アクセスを設定する前に、ユーザ アクセス用のサーバに共有を設定する必要があります。
次の手順を実行して CIFS のファイル アクセスをサポートするようにします。
ステップ 1
nbns-server { IPaddress | hostname } [ master ] [ timeout timeout ] [ retry retries ]
master は、マスター ブラウザに指定されるコンピュータです。マスター ブラウザは、コンピュータと共有リソースのリストを保持します。コマンドのマスター部分を入力せずにこのコマンドで指定する任意の NBNS サーバは、Windows Internet Naming Server(WINS)である必要があります。まずマスター ブラウザを指定してから、WINS サーバを指定してください。トンネルグループ用のマスター ブラウザを含め、サーバは最大 3 つまで指定できます。
retries は、NBNS サーバに対するクエリーのリトライ回数です。セキュリティ アプライアンスは、この回数だけサーバのリストを再利用してからエラー メッセージを送信します。デフォルト値は 2 で、範囲は 1 ~ 10 です。
timeout は、セキュリティ アプライアンスが、クエリーを再度サーバに送信する前に待機する秒数です。このとき、サーバが 1 つしかない場合は同じサーバに送信し、サーバが複数存在する場合は別のサーバに送信します。デフォルトのタイムアウトは 2 秒で、範囲は 1 ~ 30 秒です。
(注) トンネルグループのコンフィギュレーションにすでに存在する NBNS サーバを表示する場合は、tunnel-group webvpn-attributes コマンドを使用します。
ステップ 2
Charset は、最大 40 文字からなる文字列で、 http://www.iana.org/assignments/character-sets で指定されたいずれかの有効文字セットと同じです。このページのリストにある名前またはエイリアスのいずれかを使用できます。例には、iso-8859-1、shift_jis、および ibm850 が含まれています。
(注) character-encoding 値および file-encoding 値では、ブラウザが使用するフォント ファミリを除外しません。これらの値のいずれかに対し、次の例で示すように日本語の Shift JIS 文字符号化を使用する場合は、webvpn カスタマイゼーション コマンド モードの page style コマンドを使用してフォント ファミリを置き換えるか、webvpn カスタマイゼーション コマンド モードで no page style コマンドを入力してフォント ファミリを削除することにより、設定を補う必要があります。
次に、日本語の Shift JIS 文字をサポートしてフォント ファミリを削除し、さらにデフォルトの背景色を保持するための character-encoding アトリビュートを設定する例を示します。
ステップ 3
file-encoding {server-name | server-ip-address } charset
次の例では、IBM860 (エイリアス「CP860」)文字をサポートするために、CIFS サーバ 10.86.5.174 にファイル符号化アトリビュートを設定しています。
ステップ 4
functions file-access file-browsing file-entry
これらのコマンドの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。
Citrix MetaFrame サービスへのアクセスの設定
WebVPN ユーザは、セキュリティ アプライアンスとの接続を通じて Citrix MetaFrame サービスにアクセスすることができます。この設定では、セキュリティ アプライアンスは Citrix のセキュアなゲートウェイとして機能します。次の手順を実行して、Citrix MetaFrame サービスのサポートを設定します。
ステップ 1
ステップ 2
(注) SSL 証明書の Common Name(CN; 通常名)に IP アドレスを指定しないでください。リモート ユーザは FQDN を使用してセキュリティ アプライアンスとの通信を試みます。リモート PC は、FQDN を解決するために System32\drivers\etc\hosts ファイル内の DNS またはエントリを使用できる必要があります。
ステップ 3
次の例は、FirstGroup という名前のグループポリシーに Citrix を設定する方法を示しています。
PDA での WebVPN の使用
Pocket PC または他の認定された携帯情報端末から WebVPN にアクセスすることができます。セキュリティ アプライアンスの管理者や WebVPN ユーザは、特に何もしなくても、認定された PDA で WebVPN を使用することができます。
HP iPaq H4150
Pocket PC 2003
Windows CE 4.20.0、ビルド 14053
Pocket Internet Explorer (PIE)
ROM バージョン 1.10.03ENG
ROM 日付: 7/16/2004PDA のバージョンによって、WebVPN に次のような相違点があります。
•
•
•
•
•
–
–
–
–
WebVPN を介した電子メールの使用
WebVPN は、電子メールにアクセスする方法をいくつかサポートしています。ここでは、次の方式について説明します。
•
•
電子メール プロキシの設定
WebVPN は IMAP4S、POP3S、および SMTPS 電子メール プロキシをサポートしています。 表37-3 に、電子メール プロキシ ユーザにグローバルに適用されるアトリビュートを示します。
SMTPS:9881
1.Eudora 電子メール クライアントでは、SMTPS 接続のデフォルトのポートが 988 の場合でも、SMTPS はポート 465 でだけ動作します。
電子メールプロキシの証明書認証
電子メール プロキシ接続の証明書認証は、Netscape 7x 電子メール クライアントで機能します。MS Outlook、MS Outlook Express、Eudora など、他の電子メール クライアントは、証明書ストアにアクセスできません。
MAPI の設定
MS Outlook Exchange プロキシとも呼ばれるMAPI には、次の要件があります。
•
•
•
(注) MS Outlook Exchange Mail Proxy を経由して接続されているオープンな MS Outlook クライアントは、Exchange Server 上で定期的にメール チェックを行っているため、接続がオープン状態に保たれます。Outlook がオープンである限り、接続がタイムアウトすることはありません。これは、設定には関係ありません。
WebVPN のパフォーマンスの最適化
セキュリティ アプライアンスには、WebVPN のパフォーマンスと機能性を最適化するいくつかの方法があります。パフォーマンスの改善には、キャッシングと Web オブジェクトの圧縮が含まれます。機能性の調整には、コンテンツの変換およびプロキシのバイパスが含まれます。APCF は、コンテンツの変換を調整するための追加的な方法を提供します。この項では、次のトピックを取り上げます。
キャッシングの設定
キャッシングを行うと WebVPN のパフォーマンスが向上します。キャッシングによって頻繁に再利用されるオブジェクトはシステム キャッシュに保存され、コンテンツを繰り返しリライトしたり圧縮する必要性を減らすことができます。また、WebVPN とリモート サーバとのトラフィックが軽減されるため、多くのアプリケーションが今までよりはるかに効率的に実行できるようになります。
デフォルトでは、キャッシングはイネーブルになっています。次のように、webvpn モードからキャッシング コマンドを入力すると、ユーザの環境に応じてキャッシング動作をカスタマイズできます。
コンテンツの変換の設定
デフォルトでは、セキュリティ アプライアンスは、コンテンツ変換およびリライト エンジンを通じ、JavaScript および Java などの高度な要素からプロキシ HTTP へのトラフィックを含む、すべての WebVPN トラフィックを処理します。このようなトラフィックでは、ユーザがアプリケーションにアクセスするのに SSL VPN デバイス内部からアクセスしているか、これらに依存せずにアクセスしているかによって、セマンティックやアクセス コントロールのルールが異なる場合があります。
Web リソースによっては高度に個別の処理が要求される場合があります。次の各項では、このような処理を提供する機能について説明します。
•
リライト済み Java コンテンツに署名するための証明書の設定
WebVPN が変換した Java オブジェクトは、その後、トラストポイントに関連付けられた PKCS12 デジタル証明書により署名されます。 crypto ca import コマンドと java-trustpoint コマンドを組み合せて、証明書をインポートし使用します。
次のコマンド例は mytrustpoint と呼ばれるトラストポイントの作成と Java オブジェクト署名への割り当てを示しています。
コンテンツのリライトのディセーブル化
公開 Web サイトなどの一部のアプリケーションや Web リソースによっては、セキュリティ アプライアンスを通過しない設定が求められる場合があります。このため、セキュリティ アプライアンスでは、特定のサイトやアプリケーションをセキュリティ アプライアンスを通過せずにブラウズできるリライト ルールを作成できます。これは、IPSec VPN 接続のスプリット トンネリングと同様の機能です。
webvpn モードで rewrite コマンドと disable オプションを使用して、WebVPN トンネル外部にアクセスするためのアプリケーションとリソースを指定します。
この rewrite コマンドは複数回使用できます。セキュリティ アプライアンスはリライト ルールを順序番号に従って検索するため、ルールの順序番号は重要です。このとき、最下位の番号から順に検索して行き、最初に一致したルールが適用されます。
プロキシのバイパスの使用
ユーザはプロキシ バイパスを使用するようにセキュリティ アプライアンスを設定できます。これは、プロキシ バイパスが提供する特殊なコンテンツ リライト機能を使用した方が、アプリケーションや Web リソースをより有効活用できる場合に設定します。プロキシ バイパスはコンテンツ リライトに代わる手法で、元のコンテンツへの変更を最小限にします。多くの場合、カスタム Web アプリケーションでこれを使用すると有効です。
このコマンドは複数回使用できます。エントリを設定する順序は重要ではありません。インターフェイスとパス マスク、またはインターフェイスとポートを組み合せることで、プロキシ バイパスのルールを一意に指定できます。
ネットワーク設定に応じてパス マスクではなくポートを使用してプロキシ バイパスを設定する場合、これらのポートからセキュリティ アプライアンスにアクセスできるようにファイアウォール設定を変更する必要がある場合があります。この制約を回避するにはパス マスクを使用します。ただし、このパス マスクは変更される場合があるため、複数の pathmask 文を使用して可能性を排除する必要があることに注意してください。
パスとは URL の中で .com、.org、または他のドメイン名以降に記述されているすべてを指します。たとえば、www.mycompany.com/hrbenefits という URL では、 hrbenefits がパスになります。同様に、www.mycompany.com/hrinsurance という URL では、 hrinsurance がパスです。すべての hr サイトでプロキシ バイパスを使用する場合は、/hr* のように * をワイルドカードとして使用すると、コマンドを何度も入力しなくてもすみます。
アプリケーション プロファイル カスタマイゼーション フレームワークの設定
WebVPN 用の Apllication Profile Customization Framework(APCF; アプリケーション プロファイル カスタマイゼーション フレームワーク)プロファイルを使用すると、セキュリティ アプライアンスは、標準以外のアプリケーションや Web リソースを処理できるようになり、WebVPN 接続を介してこれらが正しく表示されます。APCF プロファイルには、特定のアプリケーションに送信するデータの送信時刻(処理前、処理後)、送信部分(ヘッダー、本文、要求、応答)、および送信内容を指定したスクリプトが含まれています。スクリプトは XML 形式で記述され、ストリングおよびテキストの変換では sed(ストリーム エディタ)のシンタックスが使用されます。APCF プロファイルは、セキュリティ アプライアンス上で数種類を同時に実行することができます。1 つの APCF プロファイルのスクリプト内に複数の APCF ルールを適用することができます。この場合、セキュリティ アプライアンスは、最も古いルール(設定履歴に基づいて)を最初に処理し、次に 2 番目に古いルール、その次は 3 番目という順序で処理します。
APCF プロファイルは、セキュリティ アプライアンスのフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、または TFTP サーバに保存できます。webvpn モードで apcf コマンドを使用すると、セキュリティ アプライアンス上にロードする APCF プロファイルを指定し、検索することができます。
次の例は、フラッシュ メモリに保存されている apcf1.xml という名前の APCF プロファイルのイネーブル化を示します。
この例では、ポート番号 1440、パスが /apcf の myserver という名前の https サーバにある APCF プロファイル apcf2.xml をイネーブルにする手順を示しています。
APCF シンタックス
注意 APCF プロファイルの使い方を誤ると、パフォーマンスが低下したり、好ましくない表現のコンテンツになる場合があります。シスコのエンジニアリング部では、ほとんどの場合、APCF プロファイルを提供することで特定アプリケーションの表現上の問題を解決しています。
APCF プロファイルは、XML フォーマットおよび sed スクリプト シンタックスを使用します。 表37-4 に、この場合に使用する XML タグを示します。
WebVPN エンド ユーザ設定
この項は、エンド ユーザのために WebVPN を設定するシステム管理者を対象にしています。ここでは、エンド ユーザ インターフェイスをカスタマイズする方法について説明します。
この項では、リモート システムの設定要件と作業の概要を説明します。ユーザが WebVPN の使用を開始するために、ユーザに伝える必要のある情報を明確にします。次の項目について説明します。
•
エンド ユーザ インターフェイスの定義
WebVPN エンド ユーザ インターフェイスは一連の HTML パネルで構成されます。ユーザは、セキュリティ アプライアンス インターフェイスの IP アドレスを https:// address 形式で入力することにより、WebVPN にログインします。最初に表示されるパネルは、ログイン画面です(図37-6)。
WebVPN ホームページの表示
ユーザがログインすると、WebVPN ホームページが開きます(図37-7)。
ホームページには設定済みの WebVPN 機能がすべて表示され、選択済みのロゴ、テキスト、および色が外観に反映されています。このサンプル ホームページには、特定のファイル共有の指定機能以外のすべての WebVPN 機能が表示されています。ユーザはこのホームページを使用して、ネットワークのブラウズ、URL の入力、特定の Web サイトへのアクセス、およびポート転送による TCP アプリケーションへのアクセスを実行できます。
WebVPN Application Access パネルの表示
ポート転送(アプリケーション アクセスとも呼ばれる)を開始するには、ユーザは Application Access ボックスの Go ボタンをクリックします。Application Access ウィンドウが開きます(図37-8)。
図37-8 WebVPN Application Access ウィンドウ
このウィンドウには、この WebVPN 接続用に設定された TCP アプリケーションが表示されます。アプリケーションを使用する場合は、このパネルを開いたまま、通常の方法でアプリケーションを起動します。
フローティング ツールバーの表示
図37-9 に示すフローティング ツールバーは、現在の WebVPN セッションを表します。
•
•
•
WebVPN の使用方法については、 表37-6 を参照してください。
WebVPN ページのカスタマイズ
WebVPN ユーザに表示される WebVPN ページの外観を変えることができます。変更できる外観には、ユーザによるセキュリティ アプライアンスへの接続時に表示される Login ページ、セキュリティ アプライアンスのユーザ承認後に表示されるホームページ、ユーザによるアプリケーション起動時に表示される Application Access ウィンドウ、さらにはユーザによる Web VPN サービスのログオフ時に表示される Logout ページがあります。
WebVPN ページのカスタマイズ後は、このカスタマイズを保存して特定のトンネルグループ、グループ、ユーザに適用できます。いくつものカスタマイゼーションを作成、保存して、ユーザ個人やユーザ グループに応じて Web VPN ページの外観を変更するようにセキュリティ アプライアンスをイネーブル化できます。
•
Cascading Style Sheet パラメータの使用
多くの WebVPN カスタマイゼーション コマンドには、 style オプションが含まれています。この値は、任意の有効な Cascading Style Sheet (CSS) パラメータで表されます。これらのパラメータの説明は、このマニュアルの範囲外です。CSS パラメータの詳細については、World Wide Web Consortium (W3C) の Web サイト、www.w3.org で CSS 仕様を参照してください。CSS 2.1 Specification の Appendix F には、CSS パラメータのリストがわかりやすく一覧されています。
www.w3.org/TR/CSS21/propidx.html で参照できます。次に、WebVPN ページの最も一般的な変更である、ページ色の変更についてヒントを示します。
•
•
•
(注) WebVPN ページのカスタマイズを簡略化するには ASDM を使用することをお勧めします。ASDM には、色見本などのスタイル要素の設定やプレビューなどの便利な機能があります。
WebVPN Login ページのカスタマイズ
図37-10 に、WebVPN Login ページと、このページをカスタマイズするのに使用可能な関連する CLI コマンドを示します。
図37-10 WebVPN Login ページと関連する CLI コマンド
次の手順に従うと、CLI コマンドを使用して WebVPN Login ページのすべての要素をカスタマイズできます。各種コマンドの使用例も示します。
ステップ 1
ステップ 2
ステップ 3
[no] title { text | style } value
ステップ 4
[no] logo {none | file { path value }}
ロゴを拒否して、ロゴが継承されないようにするには、 none オプションを使用してヌル値を設定します。
ステップ 5
[ no ] login-title { text | style } value
hostname(config-webvpn-custom)# login-title style background-color: rgb(51,51,255);color: rgb(51,51,255); font-family: Algerian; font-size: 12pt; font-style: italic; font-weight: boldステップ 6
[ no ] login-message { text | style } value
ステップ 7
[ no ] username-prompt { text | style } value
ステップ 8
[ no ] password-prompt { text | style } value
ステップ 9
[ no ] group-prompt { text | style } value
ステップ 10
[ no ] login-button { text | style } value
ステップ 11
[ no ] clear-button { text | style } value
WebVPN Logout ページのカスタマイズ
セキュリティ アプライアンスは、WebVPN ユーザが WebVPN のサービスをログアウトするときに WebVPN Logout ページを表示します。図37-11 に、WebVPN Logout ページとこのページをカスタマイズするのに使用可能な関連する CLI コマンドを示します。
次の手順に従うと、CLI コマンドを使用して WebVPN Logout ページをカスタマイズできます。各種コマンドの使用例も示します。
ステップ 1
ステップ 2
[ no ] logout-title { text | style } value
hostname(config-webvpn-custom)# logout-title style background-color: rgb(51,51,255);color: rgb(51,51,255); font-family: Algerian; font-size: 12pt; font-style: italic; font-weight: boldステップ 3
[ no ] logout-message { text | style } value
hostname(config-webvpn-custom)# login-title style background-color: rgb(51,51,255);color: rgb(51,51,255); font-family: Algerian; font-size: 12pt; font-style: italic; font-weight: bold
WebVPN ホームページのカスタマイズ
セキュリティ アプライアンスが認証済み WebVPN ユーザに表示する WebVPN ホームページの外観をカスタマイズできます。図37-12 に、WebVPN ホームページと、このページをカスタマイズするのに使用可能な関連する CLI コマンドを示します。
図37-12 WebVPN ホームページと関連する CLI コマンド
次の手順に従うと、CLI コマンドを使用して WebVPN ホームページのすべての要素をカスタマイズできます。各種コマンドの使用例も示します。
ステップ 1
ステップ 2
ステップ 3
[ no ] web-applications { title | message | dropdown } { text | style } value
ステップ 4
[ no ] application-access { title | message } { text | style } value
ステップ 5
[ no ] browse-networks { title | message | dropdown } { text | style } value
ステップ 6
[ no ] web-bookmarks { link {style value } | title {style value | text value }}
ステップ 7
[ no ] file-bookmarks { link {style value } | title {style value | text value }}
Application Access ウィンドウのカスタマイズ
リモート ユーザがアプリケーションを選択すると起動される Application Access ウィンドウをカスタマイズすることができます。図37-13 に、Application Access ウィンドウとカスタマイズで使用可能な関連する CLI コマンドを示します。
図37-13 Application Access ウィンドウ
次の手順に従うと、CLI コマンドを使用して Application Access ウィンドウをカスタマイズできます。各種コマンドの使用例も示します。
ステップ 1
ステップ 2
[ no ] application-access window { text | style } value
ステップ 3
[ no ] application-access hide-details {enable | disable}
デフォルトではディセーブルになっています。アプリケーションの詳細は非表示にならず、Application Access ウィンドウに表示されます。
プロンプト ダイアログのカスタマイズ
セキュリティ アプライアンスは、通知や警告などのさまざまなプロンプト ダイアログ メッセージを WebVPN ユーザに送信します。図37-14 に、ダイアログ メッセージと、これらのメッセージの外観をカスタマイズするのに使用可能な関連する CLI コマンドを示します。
図37-14 ダイアログ メッセージと関連する CLI コマンド
次の手順で、ダイアログ メッセージのすべての要素のカスタマイズと、各種コマンドの使用例を示します。
ステップ 1
ステップ 2
[ no ] dialog border style value
ステップ 3
[ no ] dialog title style value
ステップ 4
[ no ] dialog message style value
トンネルグループ、グループ、およびユーザへのカスタマイゼーションの適用
カスタマイゼーションを作成したら、このカスタマイゼーションを customization コマンドを使用して、トンネルグループ、グループ、またはユーザに適用することができます。このコマンドで表示されるオプションは、現在のモードの種類によって異なります。
トンネルグループ、グループポリシー、およびユーザの設定の詳細については、 第 30 章「トンネルグループ、グループポリシー、およびユーザの設定」 を参照してください。
トンネルグループへのカスタマイゼーションの適用
トンネルグループにカスタマイゼーションを適用するには、トンネルグループの webvpn モードで、次のように customization コマンドを使用します。
name は、トンネルグループに適用するカスタマイゼーションの名前です。
コンフィギュレーションからコマンドを削除して、トンネルグループからカスタマイゼーションを削除するには、コマンドの no 形式を使用します。
customization コマンドの後に疑問符(?)を入力して、既存のカスタマイゼーションのリストを表示します。
次の例では、トンネルグループの webvpn モードに入ってから、トンネルグループ cisco_telecommuters のカスタマイゼーション cisco をイネーブルにしています。
グループおよびユーザへのカスタマイゼーションの適用
グループまたはユーザにカスタマイゼーションを適用するにはグループポリシー webvpn モードまたはユーザ名 webvpn モードで、 customization コマンドを使用します。これらのモードには、 none および value のオプションが含まれています。
[ no ] customization {none | value name }
none は、グループまたはユーザのカスタマイゼーションをディセーブルにして値が継承されないようにするオプションで、デフォルトの WebVPN ページを表示します。
value name は、グループまたはユーザに適用するカスタマイゼーションの名前です。
コンフィギュレーションからコマンドを削除して値が継承されるようにするには、コマンドの no 形式を使用します。
customization value コマンドの後に疑問符(?)を入力して、既存のカスタマイゼーションのリストを表示します。
次の例では、グループポリシーの webvpn モードに入ってから、セキュリティ アプライアンスにカスタマイゼーションのリストを照会し、グループポリシー cisco_sales のカスタマイゼーション cisco をイネーブルにしています。
次の例では、ユーザ名の webvpn モードに入ってから、ユーザ cisco_employee のカスタマイゼーション cisco をイネーブルにしています。
ユーザ名とパスワードの要求
ネットワークによっては、リモート セッション中にユーザが、コンピュータ、インターネット サービス プロバイダー、WebVPN、メール サーバ、ファイル サーバ、企業アプリケーションのうち、それらの一部またはすべてにログインする必要が生じることがあります。ユーザはさまざまなコンテキストで認証を行うために、一意のユーザ名、パスワード、PIN などさまざまな情報が要求される場合があります。
表37-5 に、WebVPN ユーザが知っておく必要のあるユーザ名とパスワードのタイプを示します。
セキュリティのヒントの通知
必ず WebVPN セッションからログアウトするようにユーザに通知してください(WebVPN からログアウトするには、WebVPN ツールバーの logout アイコンをクリックするか、またはブラウザを閉じます)。
WebVPN を使用してもすべてのサイトとの通信がセキュアであるとは限らないことを、ユーザに通知してください。WebVPN は、企業ネットワーク上のリモート PC やワークステーションとセキュリティ アプライアンスとの間のデータ転送のセキュリティを保証するものです。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるもの)にアクセスする場合、企業のセキュリティ アプライアンスから目的の Web サーバまでの通信はセキュアではありません。
WebVPN 機能を使用するためのリモート システムの設定
表37-6 に、WebVPN を使用するためのリモート システムの設定に関する、次の各種情報を示します。
また、 表37-6 には、次の項目に関する情報も記載されています。
•
ユーザ アカウントを別々に設定し、各ユーザがそれぞれ異なる WebVPN 機能を使用できるようにすることが可能です。 表37-6 には機能別の情報をまとめてあります。利用できない機能の情報についてはスキップしてください。
WebVPN には次のブラウザを推奨します。他のブラウザでは、WebVPN 機能を完全にはサポートできない場合があります。
address は、WebVPN がイネーブルになっているセキュリティ アプライアンスのインターフェイスの IP アドレスまたは DNS ホスト名(またはロードバランシング クラスタ)です。たとえば、
https://10.89.192.163 または https://cisco.example.com のようになります。WebVPN は、Web ブラウザからネットワーク プリンタへの印刷をサポートしていません。ローカル プリンタへの印刷はサポートされています。
フローティング ツールバーを使用すると、WebVPN を簡単に使用できます。ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。
ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。
フローティング ツールバーは、現在の WebVPN セッションを表します。 Close ボタンをクリックすると、セキュリティ アプライアンスは WebVPN セッションの終了を確認するプロンプトを表示します。
ヒント ヒント:テキストをテキスト フィールドに貼り付けるには、Ctrl+V キーを使用します(WebVPN ツールバーでは右クリックはディセーブルになっています)。
WebVPN を使用しても、すべてのサイトとの通信がセキュアになるわけではありません。「セキュリティのヒントの通知」を参照してください。
WebVPN での Web ブラウジングのルックアンドフィールは、ユーザが見慣れたものではない場合があります。次の例を参考にしてください。
•
–
–
–
コピー処理の進行中は、 Copy File to Server コマンドを中断したり、別の画面に移動したりしないでください。コピー処理を中断すると、不完全なファイルがサーバに保存される可能性があります。
(注) Macintosh OS X の場合、この機能をサポートしているのは Safari ブラウザだけです。
(注) この機能を使用するには、Sun Microsystems Java™ Runtime Environment をインストールしてローカル クライアントを設定する必要があります。これには、ローカル システムで管理者の許可が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。
注意 ユーザは、Close アイコンをクリックしてアプリケーションを終了したら、必ず
Application Access ウィンドウを閉じる必要があります。このウィンドウを正しく閉じないと、Application Access またはアプリケーション自体がディセーブルになる可能性があります。詳細については、「Application Access 使用時の hosts ファイル エラーの回復」を参照してください。ユーザが DNS 名を使用してサーバを指定する場合、そのユーザは PC の管理者用アクセス特権を持つ必要があります。これは、hosts ファイルを修正するのにこの特権が必要なためです。
インストール済みの Sun Microsystems
Java Runtime Environment(JRE)バージョン 1.4.x と 1.5.xJRE がインストールされていない場合は、ポップアップ ウィンドウが表示され、ユーザに対して使用可能なサイトが示されます。
まれに、JAVA 例外エラーで WebVPN ポート転送アプレットが失敗することがあります。このような状況が発生した場合は、次の手順を実行します。
1.
2.
(注) Microsoft Outlook クライアントの場合、この設定手順は不要です。
Windows 以外のすべてのクライアント アプリケーションでは、設定が必要です。
Windows アプリケーションの設定が必要かどうかを確認するには、Remote Server の値をチェックします。
•
•
クライアント アプリケーションを設定するには、ローカルにマッピングされたサーバの IP アドレスとポート番号を使用します。この情報を見つけるには、次の手順を実行します。
1.
WebVPN ホームページの Application Access リンクをクリックします。Application Access ウィンドウが表示されます。2.
3.
(注) WebVPN でアプリケーションを実行している場合、アプリケーションで表示される
URL (電子メール内の URL など)をクリックしても、WebVPN ではそのサイトは開きません。WebVPN でこのようなサイトを開くには、Enter WebVPN (URL) Address フィールドに URL をカット アンド ペーストします。
電子メールを使用するには、WebVPN ホームページから Application Access を起動します。これにより、メール クライアントが使用できるようになります。
(注) IMAP クライアントの使用中にメール サーバとの接続が中断し、新しく接続を確立できない場合は、IMAP アプリケーションを終了して WebVPN を再起動します。
Microsoft Outlook Express バージョン 5.5 および 6.0 はテスト済みです。
WebVPN は、Netscape Mail、Lotus Notes、および Eudora などの、ポート転送を介したその他の SMTPS、POP3S、または IMAP4S 電子メール プログラムをサポートしますが、動作確認は行っていません。
最適な結果を得るために、Internet Explorer 6.x 以上、Mozilla 1.7、または Firefox 1.x. で OWA を使用してください。
セキュリティ アプライアンス SSL バージョンを TLSv1 Only に設定しないでください。Outlook および Outlook Express は TLS をサポートしていません。
サポートされているメール アプリケーションは次のとおりです。
メール アプリケーションの使用方法と例については、「WebVPN を介した電子メールの使用」を参照してください。
WebVPN データのキャプチャ
CLI キャプチャ コマンドにより、WebVPN 接続では正しく表示されない Web サイトに関する情報を記録できます。このデータは、Cisco カスタマー サポート エンジニアによる問題のトラブルシューティングに役立ちます。次の各項では、キャプチャ コマンドの使用方法について説明します。
(注) WebVPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成したら、WebVPN キャプチャを必ずディセーブルにしてください。
キャプチャ ファイルの作成
次の手順を実行して WebVPN セッションに関するデータをファイルにキャプチャします。
ステップ 1
capture capture_name type webvpn user webvpn_username
•
•
ステップ 2
コマンドの no バージョンを使用してキャプチャを停止します。
キャプチャ ユーティリティは capture_name .zip ファイルを作成し、このファイルはパスワード koleso で暗号化されます。
ステップ 3
ステップ 4
次の例では、 hr という名前のキャプチャを作成します。これは、user2 への WebVPN トラフィックを次のようにファイルにキャプチャします。
キャプチャ データを表示するためのブラウザの使用
次の手順を実行して WebVPN セッションに関するデータをキャプチャし、これをブラウザに表示します。
ステップ 1
capture capture_name type webvpn user webvpn_username
•
•
ステップ 2
コマンドの no バージョンを使用してキャプチャを停止します。
ステップ 3
https:// IP_address またはセキュリティ アプライアンスのホスト名/ webvpn_capture.html
キャプチャされたコンテンツが sniffer 形式で表示されます。
ステップ 4