Cisco セキュリティ アプライアンス コマンドライン コンフィギュレーション ガイド v.8.0
クライアントレス SSL VPN の設定
クライアントレス SSL VPN の設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 20MB) | フィードバック

目次

クライアントレス SSL VPN の設定

はじめに

クライアントレス SSL VPN セキュリティ対策の順守

クライアントレス SSL VPN のシステム要件について

クライアントレス SSL VPN でサポートされていない機能の概要

中央サイトにアクセスするための SSL の使用

クライアントレス SSL VPN セッションでの HTTPS の使用

クライアントレス SSL VPN ポートと ASDM ポートの設定

プロキシ サーバのサポートの設定

SSL/TLS 暗号化プロトコルの設定

デジタル証明書による認証

クライアントレス SSL VPN 用のブラウザのクッキーのイネーブル化

パスワードの管理

クライアントレス SSL VPN でのシングル サインオンの使用

HTTP Basic 認証または NTLM 認証による SSO の設定

SiteMinder を使用した SSO 認証の設定

SAML Browser Post Profile を使用した SSO 認証の設定

HTTP Form プロトコルを使用した SSO の設定

デジタル証明書による認証

リソースにアクセスするためのクライアントレス SSL VPN ポリシーの作成と適用

グループ ポリシーへのユーザの割り当て

セキュリティ アプライアンス認証サーバの使用

RADIUS サーバの使用

クライアントレス SSL VPN の接続プロファイルのアトリビュートの設定

クライアントレス SSL VPN のグループ ポリシー アトリビュートとユーザ アトリビュートの設定

クライアント/サーバ プラグインへのブラウザ アクセスの設定

ブラウザ プラグインの概要

プラグインの要件と制限事項

プラグインのためのセキュリティ アプライアンスの準備

シスコが再配布しているプラグインのインストール

サードパーティ プラグインへのアクセスの提供

例:Citrix Java Presentation Server へのアクセスの提供

セキュリティ アプライアンスにインストールされているプラグインの表示

Application Access の設定

スマート トンネル アクセスの設定

スマート トンネルについて

スマート トンネルを使用する理由

スマート トンネルの要件、制約事項、制限事項

スマート トンネル アクセスに適格なアプリケーションの追加

スマート トンネル リストの割り当て

スマート トンネルの自動サインオンの設定

スマート トンネル アクセスの自動化

スマート トンネル アクセスのイネーブル化とディセーブル化

ポート転送の設定

ポート転送について

ポート転送を使用する理由

ポート転送の要件と制限事項

ポート転送のための DNS の設定

ポート転送に適格なアプリケーションの追加

ポート転送リストの割り当て

ポート転送の自動化

ポート転送のイネーブル化とディセーブル化

Application Access ユーザへの注記

Vista での Application Access の使用

hosts ファイル エラーを回避するための Application Access の終了

Application Access 使用時の hosts ファイル エラーからの回復

ファイル アクセスの設定

CIFS ファイルのアクセス要件

ファイル アクセスのサポートの追加

SharePoint アクセスのためのクロックの正確性の確保

PDA でのクライアントレス SSL VPN の使用

クライアントレス SSL VPN を介した電子メールの使用

電子メール プロキシの設定

電子メール プロキシの証明書認証

Web 電子メール:MS Outlook Web Access の設定

クライアントレス SSL VPN のパフォーマンスの最適化

キャッシングの設定

コンテンツ変換の設定

リライトされた Java コンテンツに署名するための証明書の設定

コンテンツのリライトのディセーブル化

プロキシ バイパスの使用

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

APCF シンタックス

APCF の例

クライアントレス SSL VPN エンド ユーザの設定

エンド ユーザ インターフェイスの定義

クライアントレス SSL VPN ホームページの表示

クライアントレス SSL VPN の Application Access パネルの表示

フローティング ツールバーの表示

クライアントレス SSL VPN ページのカスタマイズ

カスタマイゼーションの動作

カスタマイゼーション テンプレートのエクスポート

カスタマイゼーション テンプレートの編集

カスタマイゼーション オブジェクトのインポート

接続プロファイル、グループ ポリシー、およびユーザへのカスタマイゼーションの適用

ログイン画面の高度なカスタマイゼーション

ヘルプのカスタマイズ

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供していない言語用のヘルプ ファイルの作成

フラッシュ メモリへのヘルプ ファイルのインポート

フラッシュ メモリからの事前にインポートしたヘルプ ファイルのエクスポート

ユーザ名とパスワードの要求

セキュリティのヒントの通知

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

ユーザ メッセージの言語の変換

言語変換の概要

変換テーブルの作成

カスタマイゼーション オブジェクトでの言語の参照

カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ アトリビュートの変更

データのキャプチャ

キャプチャ ファイルの作成

キャプチャ データを表示するためのブラウザの使用

クライアントレス SSL VPN の設定

この章は、次の項で構成されています。

「はじめに」

「リソースにアクセスするためのクライアントレス SSL VPN ポリシーの作成と適用」

「クライアントレス SSL VPN の接続プロファイルのアトリビュートの設定」

「クライアントレス SSL VPN のグループ ポリシー アトリビュートとユーザ アトリビュートの設定」

「クライアント/サーバ プラグインへのブラウザ アクセスの設定」

「Application Access の設定」

「ファイル アクセスの設定」

「PDA でのクライアントレス SSL VPN の使用」

「クライアントレス SSL VPN を介した電子メールの使用」

「クライアントレス SSL VPN のパフォーマンスの最適化」

「クライアントレス SSL VPN エンド ユーザの設定」

「データのキャプチャ」

はじめに


) クライアントレス SSL VPN にセキュリティ アプライアンスを設定している場合、セキュリティ コンテキスト(ファイアウォール マルチモードとも呼ばれる)または Active/Active ステートフル フェールオーバーをイネーブルにできません。そのため、これらの機能は使用できなくなります。


クライアントレス SSL VPN によって、ユーザは Web ブラウザを使用してセキュリティ アプライアンスへのセキュアなリモート アクセス VPN トンネルを確立できます。ソフトウェアやハードウェア クライアントは必要ありません。

クライアントレス SSL VPN を使用することで、インターネット上のほぼすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションにセキュアに、かつ容易にアクセスできます。アクセス先には、次のものが含まれます。

内部 Web サイト

Web 対応アプリケーション

NT/Active Directory ファイル共有

POP3S、IMAP4S、および SMTPS などの電子メール プロキシ

MS Outlook Web Access

Application Access(つまり、他の TCP ベースのアプリケーションにアクセスするためのスマート トンネルまたはポート転送)


) セキュリティ アプライアンスは、Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。スマート トンネル機能でもポート転送機能でも、MAPI はサポートされていません。MAPI プロトコルを使用する Microsoft Outlook Exchange 通信には、リモート ユーザは AnyConnect を使用する必要があります。


クライアントレス SSL VPN は Secure Sockets Layer プロトコルおよびその後継である Transport Layer Security を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間でセキュアな接続を提供します。セキュリティ アプライアンスはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。

ネットワーク管理者は、クライアントレス SSL VPN セッションのユーザに対してグループ単位でリソースへのアクセスを提供します。ユーザは、内部ネットワーク上のリソースに直接アクセスできません。

次の項では、クライアントレス SSL VPN アクセスを設定するための準備について説明します。

クライアントレス SSL VPN セキュリティ対策の順守

クライアントレス SSL VPN のシステム要件について

クライアントレス SSL VPN でサポートされていない機能の概要

中央サイトにアクセスするための SSL の使用

デジタル証明書による認証

クライアントレス SSL VPN 用のブラウザのクッキーのイネーブル化

パスワードの管理

クライアントレス SSL VPN でのシングル サインオンの使用

デジタル証明書による認証

クライアントレス SSL VPN セキュリティ対策の順守

セキュリティ アプライアンス上のクライアントレス SSL VPN 接続は、リモート アクセス IPSec 接続とは異なっています。特に SSL 対応サーバとの対話方法やセキュリティ上のリスクを減らすために従うべき注意事項に違いがあります。

クライアントレス SSL VPN 接続では、セキュリティ アプライアンスは、エンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。ユーザが SSL 対応 Web サーバに接続すると、セキュリティ アプライアンスはセキュアな接続を確立し、SSL 証明書を検証します。エンド ユーザのブラウザは提示された SSL 証明書を受信しないため、この証明書を検証できません。

セキュリティ アプライアンス上の現在のクライアントレス SSL VPN 実装では、有効期限が切れた証明書を提示するサイトとの通信は許可されません。また、セキュリティ アプライアンスは信頼できる CA 証明書の検証も実行しません。このため、ユーザは、Web 対応のサービスを使用する前に SSL 対応の Web サーバが提示する証明書を分析できません。

クライアントレス SSL VPN アクセスに伴うリスクを最小化するため、次のことを実行することをお勧めします。


ステップ 1 クライアントレス SSL VPN アクセスを必要とするすべてのユーザに対するグループ ポリシーを設定し、そのグループ ポリシーに対してだけクライアントレス SSL VPN をイネーブルにします。

ステップ 2 プライベート ネットワーク内の特定のターゲットに限定したアクセスの許可や、プライベート アクセスに限定したアクセスの許可、インターネット アクセスの拒否、信頼できるサイトに限定したアクセスの許可を行うため、ACL を適用します。

ステップ 3 ユーザ アクセスの混乱を避けるために、 ポータル ページ (ユーザがブラウザベースの接続を確立したときに開くページ)上の URL エントリを無効にします。そのためには、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] ウィンドウを表示し、該当する DAP を選択し、[Edit] > [Functions] タブをクリックし、[URL entry] の横の [Disable] をクリックします。

ステップ 4 ポータル ページ上のネイティブ ブラウザ アドレス フィールドに外部 URL を入力するか、別のブラウザ ウィンドウを開いて外部サイトを参照するようにユーザに指示します。


注意 ユーザは、ポータル ページ(ステップ 3 に従わない場合はポータル ページのアドレス フィールドを含みます)を使用して、https プレフィクスを表示する外部サイト(たとえば、オンライン バンキングサイト)を参照してはなりません。セキュリティ アプライアンスは、外部 https 証明書を確認しません。


 

クライアントレス SSL VPN のシステム要件について

クライアントレス SSL VPN は、次の OS とブラウザからのアクセスをサポートしています。

 

OS
ブラウザと Java バージョン
機能に関する注意事項1

Windows Vista SP2

Vista SP1 と KB952876 以降

Microsoft Internet Explorer 7

Firefox 2.0 以降

Windows Vista は、Windows Shares(CIFS)Web フォルダをサポートしていません。

追加の要件と制限事項が、 スマート トンネル ポート転送 に適用されます。

Windows XP SP2 以降

Microsoft Internet Explorer 7 および 6

Firefox 2.0 以降

Windows XP SP2 以降では、Web フォルダをサポートするために Microsoft KB892211 ホットフィックス が必要です。

追加の要件と制限事項が、 スマート トンネル ポート転送 に適用されます。

Windows 2000 SP4

Microsoft Internet Explorer 7 および 6

Firefox 2.0 以降

Windows Vista は、Windows Shares(CIFS)Web フォルダをサポートしていません。

Windows 2000 SP4 では、Web フォルダをサポートするために Microsoft KB892211 ホットフィックス が必要です。

追加の要件と制限事項が、 スマート トンネル ポート転送 に適用されます。

Apple:Mac OS X 10.4 および 10.5

Safari 2.0 以降、または Firefox 2.0 以降

DoD Common Access Card と SmartCard などの証明書認証は、Safari キーチェーンだけで動作します。

Web フォルダは Mac OS をサポートしていません。

追加の要件と制限事項が、 スマート トンネル ポート転送 に適用されます。

Linux

Firefox 2.0 以降

Web フォルダとスマート トンネルは Linux をサポートしていません。

追加の要件が ポート転送 に適用されます。

1.MAPI プロトコルを使用する Microsoft Outlook Exchange 通信には、リモート ユーザは AnyConnect を使用する必要があります。

ActiveX ページでは、関連するポリシー グループに対する ActiveX リレーのデフォルト設定(イネーブル)を使用する必要があります。あるいは、スマート トンネル リストをポリシーに割り当て、エンドポイント上のブラウザ プロキシ例外リストにプロキシが指定されている場合、ユーザはそのリストに「shutdown.webvpn.relay.」エントリを追加する必要があります。

Windows 7、Vista、Internet Explorer 8、Mac OS、および Linux では、クライアントレス SSL VPN アクセスで Windows Shares(CIFS)Web フォルダがサポートされていません。Windows XP SP2 では、Web フォルダをサポートするために Microsoft ホットフィックス が必要です。

次の名前のクライアントレス アプリケーションでサポートされているプラットフォームについては、以降のセクションを参照してください。

「ポート転送の要件と制限事項」

「スマート トンネルの要件、制約事項、制限事項」

「プラグインの要件と制限事項」

クライアントレス SSL VPN でサポートされていない機能の概要

セキュリティ アプライアンスは、クライアントレス SSL VPN 接続では次の機能をサポートしていません。

リモート HTTPS 証明書。

一部のドメインベースのセキュリティ製品の要件。適応型セキュリティ アプライアンスは URL を符号化するため、実際には ASA から送信された要求は、ドメインベースのセキュリティ 製品の要件を満たさない場合があります。

モジュラ ポリシー フレームワークの検査機能。コンフィギュレーション制御を検査する機能です。

vpn-filter コマンドなどのフィルタ設定コマンドが持つ機能。

IPv6 アドレスを使用するホストからの VPN 接続。SSL VPN セッションまたは AnyConnect セッションを確立するためには、ホストで IPv4 アドレスを使用する必要があります。ただし、ASA 8.0(2) から、これらのセッションを使用して、内部的な IPv6 対応リソースにアクセスできるようになりました。

NAT。グローバルに一意の IP アドレスの必要性を減らす機能です。

PAT。複数の発信セッションが 1 つの IP アドレスから発信されているように見せることができる機能です。

QoS。 police コマンドと priority-queue コマンドを使用してレートを制限する機能です。

接続制限。スタティックまたはモジュラ ポリシー フレームワークの set connection コマンドを使用して、接続をチェックする機能です。

established コマンド。このコマンドを使用すると、高セキュリティ ホストから低セキュリティ ホストへの接続が確立済みの場合に、低セキュリティ ホストから高セキュリティ ホストへのリターン接続が可能になります。

中央サイトにアクセスするための SSL の使用

クライアントレス SSL VPN は SSL およびその後継である TLS1 を使用して、リモート ユーザと、中央サイトにある特定のサポートされている内部リソースとの間でセキュアな接続を提供します。この項は、次の内容で構成されています。

クライアントレス SSL VPN セッションでの HTTPS の使用

クライアントレス SSL VPN ポートと ASDM ポートの設定

プロキシ サーバのサポートの設定

SSL/TLS 暗号化プロトコルの設定

クライアントレス SSL VPN セッションでの HTTPS の使用

クライアントレス SSL VPN セッションの確立には、次のことが必要です。

ユーザの接続先のセキュリティ アプライアンス インターフェイス上でクライアントレス SSL VPN セッションをイネーブルにする。

セキュリティ アプライアンスまたはロード バランシング クラスタへのアクセスに HTTPS を使用する。Web ブラウザには、セキュリティ アプライアンスの IP アドレスを https:// address 形式で入力します。 address はセキュリティ アプライアンス インターフェイスの IP アドレスまたは DNS ホスト名です。

インターフェイス上でクライアントレス SSL VPN セッションを許可するには、次の手順を実行します。


ステップ 1 グローバル コンフィギュレーション モードで webvpn コマンドを入力して、webvpn モードに入ります。

ステップ 2 クライアントレス SSL VPN セッションに使用するインターフェイス名を指定して enable コマンドを入力します。

たとえば、outside と呼ばれるインターフェイス上でクライアントレス SSL VPN セッションをイネーブルにするには、次のように入力します。

hostname(config)# webvpn
hostname(config-webvpn)# enable outside
 


 

クライアントレス SSL VPN ポートと ASDM ポートの設定

バージョン 8.0(2) 以降、セキュリティ アプライアンスは、クライアントレス SSL VPN セッションと ASDM 管理セッションの両方を、外部インターフェイスのポート 443 で同時にサポートするようになりました。ただし、オプションでこれらのアプリケーションを別のインターフェイスに設定することができます。

クライアントレス SSL VPN の SSL 受信ポートを変更するには、webvpn モードで port port_number コマンドを使用します。次の例では、外部インターフェイスのポート 444 でクライアント SSL VPN をイネーブルにします。ASDM 用の HTTPS も外部インターフェイスで設定され、デフォルト ポート(443)を使用します。このコンフィギュレーションでは、リモート ユーザは、ブラウザに https://<outside_ip>:444 を入力してクライアントレス SSL VPN セッションを開始します。

hostname(config)# http server enable
hostname(config)# http 192.168.3.0 255.255.255.0 outside
hostname(config)# webvpn
hostname(config-webvpn)# port 444
hostname(config-webvpn)# enable outside
 

ASDM の受信ポートを変更するには、特権 EXEC モードで port 引数を指定して http server enable コマンドを使用します。次の例では、HTTPS ASDM セッションが外部インターフェイスのポート 444 を使用することを指定します。クライアントレス SSL VPN も外部インターフェイスでイネーブルになり、デフォルト ポート(443)を使用します。このコンフィギュレーションでは、リモート ユーザはブラウザに https://<outside_ip>:444 を入力して ASDM セッションを開始します。

hostname(config)# http server enable 444
hostname(config)# http 192.168.3.0 255.255.255.0 outside
hostname(config)# webvpn
hostname(config-webvpn)# enable outside
 

プロキシ サーバのサポートの設定

セキュリティ アプライアンスは HTTPS 接続を終了して、HTTP および HTTPS 要求をプロキシ サーバに転送できます。これらのサーバは、ユーザとインターネットの仲介役として機能します。インターネット アクセスが組織によって制御されているサーバを経由するように指定することで、別のフィルタリングが可能になり、セキュアなインターネット アクセスと管理制御が保証されます。

HTTP および HTTPS プロキシ サービスに対するサポートを設定する場合、プリセット クレデンシャルを割り当てて、基本認証に対する各要求とともに送信できます。HTTP および HTTPS 要求から除外する URL を指定することもできます。

PAC ファイルを HTTP プロキシ サーバからダウンロードするように指定できますが、PAC ファイルを指定するときにプロキシ認証を使用しない場合があります。

HTTP および HTTPS 要求を処理するために外部プロキシ サーバを使用するようにセキュリティ アプライアンスを設定するには、webvpn モードで http-proxy and https-proxy コマンドを使用します。

http-proxy host [ port ] [ exclude url ] [ username username { password password }]

https-proxy host [ port ] [ exclude url ] [ username username { password password }]

http-proxy pac url

exclude :(オプション)プロキシ サーバに送信される可能性がある URL を除外するにはこのキーワードを入力します。

host 外部プロキシ サーバのホスト名または IP アドレスを入力します。

pac :ブラウザにダウンロードするプロキシ自動設定ファイル。ダウンロードされると、PAC ファイルは JavaScript 機能を使用して各 URL のプロキシを識別します。

password :(オプション。 username を指定した場合だけ使用可能)各プロキシ要求に、基本プロキシ認証を提供するためのパスワードを含めるにはこのキーワードを入力します。

password 各 HTTP 要求または HTTPS 要求とともにプロキシ サーバに送信するパスワードを入力します。

port (オプション)プロキシ サーバで使用されるポート番号を入力します。デフォルトの HTTP ポートは 80 です。デフォルトの HTTPS ポートは 443 です。代替値を指定しない場合、セキュリティ アプライアンスはこれらの各ポートを使用します。範囲は 1 ~ 65535 です。

url :exclude を入力した場合は、プロキシ サーバに送信される可能性がある URL から除外する URL またはカンマで区切った複数の URL のリストを入力します。この文字列には文字数の制限はありませんが、コマンド全体が 512 文字を超えることはできません。リテラルな URL を指定するか、次のワイルドカードを使用できます。

* は、スラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは英数字の文字列とともに使用する必要があります。

? は、スラッシュやピリオドを含む任意の 1 文字と一致します。

[ x - y ] は、 x から y の範囲の任意の 1 文字と一致します。 x は ANSI 文字の 1 文字を表し、 y は ANSI 文字の別の文字を表します。

[ ! x - y ] は、指定範囲に含まれていない任意の 1 文字と一致します。

http-proxy pac を入力した場合、 http:// に続けてプロキシ自動設定ファイルの URL を入力します。 http:// の部分を省略すると、CLI はコマンドを無視します。

username :(オプション)基本プロキシ認証のための各 HTTP プロキシ要求にユーザ名を含めるには、このキーワードを入力します。このキーワードは、 http-proxy host コマンドだけでサポートされています。

username 各 HTTP 要求または HTTPS 要求とともにプロキシ サーバに送信するユーザ名を入力します。

セキュリティ アプライアンス クライアントレス SSL VPN コンフィギュレーションは、それぞれ 1 つの http-proxy コマンドと 1 つの http-proxy コマンドだけをサポートしています。たとえば、 http-proxy コマンドの 1 インスタンスが実行コンフィギュレーションにすでに存在する場合に別のコマンドを入力すると、CLI が前のインスタンスを上書きします。

次の例は、次の設定の HTTP プロキシ サーバの使用を設定する方法を示しています。IP アドレスは 209.165.201.1 で、デフォルト ポートを使用し、各 HTTP 要求とともにユーザ名とパスワードを送信します。

hostname(config-webvpn)# http-proxy 209.165.201.1 jsmith password mysecretdonttell
hostname(config-webvpn)
 

次の例は同じコマンドを示していますが、セキュリティ アプライアンスが HTTP 要求内で特定の URL(www.example.com)を受信したときに、その要求をプロキシ サーバに渡す代わりにその要求を解決する点が異なっています。

hostname(config-webvpn)# http-proxy 209.165.201.1 exclude www.example.com username jsmith password mysecretdonttell
hostname(config-webvpn)
 

次の例は、ブラウザにプロキシ自動設定ファイルを提供する URL を指定する方法を示しています。

hostname(config-webvpn)# http-proxy pac http://www.example.com/pac
hostname(config-webvpn)
 

SSL/TLS 暗号化プロトコルの設定

SSL/TLS 暗号化プロトコルを設定するときは、次のことに注意してください。

使用しているセキュリティ アプライアンスとブラウザが、同じ SSL/TLS 暗号化プロトコルを利用していることを確認してください。

電子メール プロキシを設定する場合は、セキュリティ アプライアンス SSL バージョンを TLSv1 Only に設定しないでください。Microsoft Outlook と Microsoft Outlook Express は TLS をサポートしていません。

TCP ポート転送には、Sun Microsystems Java Runtime Environment(JRE)バージョン 1.4.x と 1.5.x が必要です。クライアントレス SSL VPN のユーザが次の SSL バージョンで接続している場合、ポート転送は機能しません。

 

Negotiate SSLv3

Java がダウンロードされる

Negotiate SSLv3/TLSv1

Java がダウンロードされる

Negotiate TLSv1

Java がダウンロードされない

TLSv1Only

Java がダウンロードされない

SSLv3Only

Java がダウンロードされない

デジタル証明書による認証

SSL はデジタル証明書を使用して認証を行います。セキュリティ アプライアンスは、ブート時に自己署名の SSL サーバ証明書を作成します。または、PKI コンテキストで発行された SSL 証明書をセキュリティ アプライアンスにインストールできます。HTTPS の場合、この証明書をクライアントにインストールする必要があります。証明書のインストールは、特定のセキュリティ アプライアンスから一度だけ行います。

デジタル証明書によるユーザ認証には、次のような制限事項があります。

デジタル証明書を使用して認証を行うクライアントレス SSL VPN のユーザに対して、Application Access は機能しません。JRE には、Web ブラウザ キーストアにアクセスする機能はありません。このため、JAVA はブラウザがユーザ認証に使用する証明書を使用できず、起動できません。

MS Outlook、MS Outlook Express、Eudora などの電子メール クライアントは、証明書ストアにアクセスできません。

デジタル証明書を使用する認証と認可の詳細については、「 AAA サーバとローカル データベースの設定」の章の「 証明書とユーザ ログイン クレデンシャルの使用」を参照してください。

クライアントレス SSL VPN 用のブラウザのクッキーのイネーブル化

クライアントレス SSL VPN が正しく動作するためには、ブラウザのクッキーが必要です。Web ブラウザでクッキーがディセーブルになっていると、Web ポータル ホームページからのリンクによって新しいウィンドウが開き、ユーザはもう一度ログインするように要求されます。

パスワードの管理

オプションで、パスワードの期限切れが近づくとエンド ユーザに警告するようにセキュリティ アプライアンスを設定できます。この設定を行うには、トンネル グループ一般アトリビュート モードで password-management コマンドを指定するか、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > [Add or Edit] > [Advanced] > [General] > [Password Management] を選択し、ASDM を使用してこの機能をイネーブルにします。

セキュリティ アプライアンスは、RADIUS プロトコルと LDAP プロトコルのパスワード管理をサポートしています。「password-expire-in-days」オプションは LDAP に対してだけサポートされています。

IPSec リモート アクセスと SSL VPN トンネル グループに対するパスワード管理を設定できます。

パスワード管理を設定すると、セキュリティ アプライアンスは、リモート ユーザのログイン時に、現在のパスワードの期限切れが近づいていること、または期限が切れていることを通知します。このようにして、セキュリティ アプライアンスは、ユーザにパスワードを変更する機会を提供します。現在のパスワードがまだ期限切れになっていない場合、ユーザはそのパスワードを使用して引き続きログインすることができます。

このコマンドは、この通知をサポートしている AAA サーバに対して有効です。RADIUS または LDAP 認証が設定されていない場合、セキュリティ アプライアンスはこのコマンドを無視します。


) MSCHAP をサポートしている一部の RADIUS サーバは、現在 MSCHAPv2 をサポートしていません。このコマンドを使用するには MSCHAPv2 が必要なため、ベンダーに確認してください。


セキュリティ アプライアンスのリリース 7.1 以降では、LDAP または MS-CHAPv2 をサポートする RADIUS コンフィギュレーションで認証を行うときに、次の接続タイプに対するパスワード管理が一般的にサポートされています。

AnyConnect VPN Client

IPSec VPN Client

クライアントレス SSL VPN

Kerberos/Active Directory(Windows パスワード)または NT 4.0 ドメインに対するこれらの接続タイプのいずれでも、パスワード管理はサポートされて いません

RADIUS サーバ(たとえば、Cisco ACS)は、認証要求を別の認証サーバにプロキシする場合があります。ただし、セキュリティ アプライアンスからは、RADIUS サーバと通信しているように見えます。


) LDAP の場合、パスワードを変更するための方式は、市販の別の LDAP サーバ専用のものです。現在、セキュリティ アプライアンスは、Microsoft Active Directory サーバと Sun LDAP サーバ用に、専用のパスワード管理ロジックを実装しています。


ネイティブ LDAP には SSL 接続が必要です。LDAP のパスワード管理を試行する前に、LDAP over SSL をイネーブルにする必要があります。デフォルトでは、LDAP はポート 636 を使用します。


) 認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun Microsystems JAVA System Directory Server(旧 Sun ONE Directory Server)および Microsoft Active Directory でサポートされます。

Sun:Sun Directory Server にアクセスするようにセキュリティ アプライアンスで設定されている DN は、そのサーバのデフォルト パスワード ポリシーにアクセスできる必要があります。ディレクトリ管理者、またはディレクトリ管理特権のあるユーザを DN として使用することをお勧めします。または、デフォルトのパスワード ポリシーに ACI を設定することもできます。

Microsoft:Microsoft Active Directory でのパスワード管理をイネーブルにするために LDAP over SSL を設定する必要があります。


このコマンドでは、パスワードが期限切れになるまでの日数が変更されるわけではなく、セキュリティ アプライアンスがパスワードが期限切れになる何日前にユーザへの警告を開始するかが変更されるという点に注意してください。

password-expire-in-days キーワードを指定する場合は、日数も指定する必要があります。

日数を 0 に設定してこのコマンドを指定すると、このコマンドはディセーブルになります。セキュリティ アプライアンスは、期限切れが近いことをユーザに通知しませんが、ユーザは期限切れ後にパスワードを変更できます。

次の例では、接続プロファイル「testgroup」のパスワードの期限切れが近づいていることについて、警告を開始するまでの日数を 90 日に設定しています。

hostname(config)# tunnel-group testgroup type webvpn
hostname(config)# tunnel-group testgroup general-attributes
hostname(config-general)# password-management password-expire-in-days 90
 

クライアントレス SSL VPN でのシングル サインオンの使用

シングル サインオンのサポートを使用すると、クライアントレス SSL VPN のユーザは、ユーザ名とパスワードを 1 回入力するだけで、保護された複数のサービスや Web サーバにアクセスできます。一般に、SSO のメカニズムは AAA プロセスの一部として開始されるか、または AAA サーバのユーザ認証に成功した直後に開始されます。セキュリティ アプライアンスで実行するクライアントレス SSL VPN サーバは、認証サーバに対するユーザのプロキシとして動作します。ユーザがログインすると、クライアントレス SSL VPN サーバは、ユーザ名とパスワードを含む SSO 認証要求を HTTPS を使用して認証サーバに送信します。サーバが認証要求を受け入れた場合は、クライアントレス SSL VPN サーバに SSO 認証クッキーを戻します。セキュリティ アプライアンスは、ユーザの代わりにこのクッキーを保持し、ユーザの認証にこのクッキーを使用して、SSO サーバで保護されているドメイン内の Web サイトの安全を守ります。

この項では、クライアントレス SSL VPN でサポートされる 3 つの SSO 認証方法について説明します。これらの認証方法には、HTTP Basic 認証と NTLMv1(NT LAN Manager)認証、Computer Associates の eTrust SiteMinder SSO サーバ(以前の Netegrity SiteMinde)、および Security Assertion Markup Language(SAML)のバージョン 1.1、POST-type SSO サーバ認証があります。

この項は、次の内容で構成されています。

HTTP Basic 認証または NTLM 認証による SSO の設定

SiteMinder を使用した SSO 認証の設定

SAML Browser Post Profile を使用した SSO 認証の設定

HTTP Form プロトコルを使用した SSO の設定

HTTP Basic 認証または NTLM 認証による SSO の設定

この項では、HTTP Basic 認証または NTLM 認証を使用するシングル サインオンについて説明します。この方法のいずれかまたは両方を使用して SSO を実装するようにセキュリティ アプライアンスを設定することができます。 auto-signon コマンドを使用すると、セキュリティ アプライアンスはクライアントレス SSL VPN ユーザのログインのクレデンシャル(ユーザ名およびパスワード)を内部サーバに自動的に渡すように設定されます。 auto-signon コマンドは 2 回以上入力することができます。コマンドを複数回入力すると、セキュリティ アプライアンスは入力順(先に入力されたコマンドを優先)にこれらを処理します。IP アドレスと IP マスク、または URI マスクのいずれかを使用してログインのクレデンシャルを受信するようにサーバに指定します。

auto-signon コマンドは、webvpn コンフィギュレーション モード、webvpn グループ ポリシー モード、または webvpn ユーザ名モードのすべてで使用します。ユーザ名はグループより優先され、グループはグローバルより優先されます。モードは、次のように、必要な認証の範囲に応じて選択します。

 

モード
範囲

webvpn コンフィギュレーション

クライアントレス SSL VPN ユーザ全員に対するグローバルな範囲

webvpn グループ ポリシー コンフィギュレーション

グループ ポリシーで定義されるクライアントレス SSL VPN ユーザのサブセット

webvpn ユーザ名コンフィギュレーション

個々のクライアントレス SSL VPN ユーザ

次の例では、モードと引数の組み合せが可能なさまざまなコマンドについて説明します。

すべてのユーザ、IP アドレス範囲、NTLM

NTLM 認証を使用し、10.1.1.0 ~ 10.1.1.255 の IP アドレス範囲のサーバに対する、すべてのクライアントレス SSL VPN ユーザからのアクセスに auto-signon を設定するには、次のコマンドを入力します。

hostname(config)# webvpn
hostname(config-webvpn)# auto-signon allow ip 10.1.1.1 255.255.255.0 auth-type ntlm
 

すべてのユーザ、URI 範囲、HTTP Basic

基本の HTTP 認証を使用するすべてのクライアントレス SSL VPN ユーザに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに auto-signon を設定するには、次のコマンドを入力します。

hostname(config)# webvpn
hostname(config-webvpn)# auto-signon allow uri https://*.example.com/* auth-type basic
 

グループ、URI 範囲、HTTP Basic および NTLM

基本認証または NTLM 認証を使用して、ExamplePolicy グループ ポリシーと関連付けられているクライアントレス SSL VPN セッションに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに auto-signon を設定するには、次のコマンドを入力します。

hostname(config)# group-policy ExamplePolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all
 

特定のユーザ、IP アドレス範囲、HTTP Basic

HTTP Basic 認証を使用し、10.1.1.0 ~ 10.1.1.255 の IP アドレス範囲のサーバに対する、Anyuser と名付けられたユーザからのアクセスに auto-signon を設定するには、次のコマンドを入力します。

hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# auto-signon allow ip 10.1.1.1 255.255.255.0 auth-type basic
 

SiteMinder を使用した SSO 認証の設定

この項では、SiteMinder を使用して SSO をサポートするためのセキュリティ アプライアンスの設定について説明します。ユーザの Web サイトのセキュリティ インフラストラクチャにすでに SiteMinder を組み込んでいる場合は、SiteMinder を使用して SSO を実装するのが一般的です。この方式では、SSO 認証は AAA とは分離され、AAA プロセスが完了するとこの認証が 1 回行われます。クライアントレス SSL VPN アクセスを行うユーザまたはグループに SSO を設定する場合は、まず RADIUS サーバや LDAP サーバなどの AAA サーバを設定する必要があります。次に、クライアントレス SSL VPN に対する SSO のサポートを設定できます。この項は、次の内容で構成されています。

タスクの概要:SiteMinder による SSO の設定

タスクの詳細:SiteMinder による SSO の設定

シスコの認証スキームの SiteMinder への追加

タスクの概要:SiteMinder による SSO の設定

この項では、SiteMinder SSO を使用して SSO を設定するために必要なタスクの概要について説明します。タスクは次のとおりです。

SSO サーバの指定。

セキュリティ アプライアンスが SSO 認証要求を作成するための SSO サーバの URL の指定。

セキュリティ アプライアンスと SSO サーバとの間でセキュアな通信を確立するための秘密キーの指定。このキーはパスワードのようなもので、ユーザが作成および保存し、Cisco Java プラグイン認証スキームを使用してセキュリティ アプライアンスおよび SiteMinder Policy Server の両方で入力します。

これらの必須のタスクに加えて、次のようなオプションの設定タスクを行うことができます。

認証要求のタイムアウトの設定。

認証要求のリトライ回数の設定。

設定タスクの完了後、ユーザまたはグループ ポリシーに SSO サーバを割り当てます。

タスクの詳細:SiteMinder による SSO の設定

この項では、CA SiteMinder による SSO 認証をサポートするためのセキュリティ アプライアンスの特定の設定手順について説明します。SiteMinder を使用して SSO を設定するには、次の手順を実行します。


ステップ 1 webvpn コンフィギュレーション モードで、 type オプションを指定して sso-server コマンドを入力して、SSO サーバを作成します。たとえば、Example of type siteminder という名前の SSO サーバを作成するには、次のように入力します。

hostname(config)# webvpn
hostname(config-webvpn)# sso-server Example type siteminder
hostname(config-webvpn-sso-siteminder)#
 

ステップ 2 webvpn-sso-siteminder コンフィギュレーション モードで web-agent-url コマンドを入力して、SSO サーバの認証 URL を指定します。たとえば、http://www.Example.com/webvpn という URL に認証要求を送信するには、次のように入力します。

hostname(config-webvpn-sso-siteminder)# web-agent-url http://www.Example.com/webvpn
hostname(config-webvpn-sso-siteminder)#
 

ステップ 3 セキュリティ アプライアンスと SiteMinder との間の認証通信をセキュアにする秘密キーを webvpn-sso-siteminder コンフィギュレーション モードで policy-server-secret コマンドを使用して指定します。キーの長さは、標準またはシフト式英数字を使用した任意の文字長にできますが、セキュリティ アプライアンスと SSO サーバの両方で同じキーを入力する必要があります。

たとえば、AtaL8rD8! という秘密キーを作成するには、次のように入力します。

hostname(config-webvpn-sso-siteminder)# policy-server-secret AtaL8rD8!
hostname(config-webvpn-sso-siteminder)#
 

ステップ 4 オプションで、webvpn-sso-siteminder コンフィギュレーション モードで request-timeout コマンドを使用すると、失敗した SSO 認証がタイムアウトを試行するまでの秒数を設定することができます。デフォルトの秒数は 5 秒で、1 ~ 30 秒までの範囲で指定できます。要求がタイムアウトするまでの秒数を 8 に変更するには、次のように入力します。

hostname(config-webvpn-sso-siteminder)# request-timeout 8
hostname(config-webvpn-sso-siteminder)#
 

ステップ 5 オプションで、webvpn-sso-siteminder コンフィギュレーション モードから max-retry-attempts コマンドを使用すると、セキュリティ アプライアンスがタイムアウトするまでに、失敗した SSO 認証をリトライできる回数を設定できます。デフォルトのリトライ回数は 3 で、1 ~ 5 回までの範囲で指定できます。たとえば、リトライ回数を 4 に設定するには、次のように入力します。

hostname(config-webvpn-sso-siteminder)# max-retry-attempts 4
hostname(config-webvpn-sso-siteminder)#
 

ステップ 6 SSO サーバの設定後、グループまたはユーザのいずれかに対して SSO 認証を指定する必要があります。グループに SSO を指定するには、グループ ポリシー webvpn コンフィギュレーション モードで sso-server value コマンドを使用して SSO サーバをグループ ポリシーに割り当てます。ユーザに SSO を指定するには、同じ sso-server value コマンドを使用して SSO サーバをユーザ ポリシーに割り当てますが、この場合は username-webvpn コンフィギュレーション モードで実行します。たとえば、Example という名前の SSO サーバをユーザ名 Anyuser に割り当てるには、次のように入力します。

hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# sso-server value Example
hostname(config-username-webvpn)#
 

ステップ 7 最後に、特権 EXEC モードで、 test sso-server コマンドを使用すると SSO サーバの設定をテストできます。たとえば、Example という名前の SSO サーバをユーザ名 Anyuser を使用してテストするには、次のように入力します。

hostname# test sso-server Example username Anyuser
INFO: Attempting authentication request to sso-server Example for user Anyuser
INFO: STATUS: Success
hostname#
 


 

シスコの認証スキームの SiteMinder への追加

SiteMinder による SSO を使用するためのセキュリティ アプライアンスの設定に加え、Java プラグインとして提供されているシスコの認証スキーム(シスコの Web サイトからダウンロード)を使用するようにユーザの CA SiteMinder Policy Server を設定する必要もあります。


) SiteMinder Policy Server を設定するには、SiteMinder の経験が必要です。この項では、手順のすべてではなく、一般的なタスクを取り上げます。


ユーザの SiteMinder Policy Server にシスコの認証スキームを設定するには、次の手順を実行します。


ステップ 1 SiteMinder Administration ユーティリティを使用して、次の特定の引数を使用できるようにカスタム認証スキームを作成します。

[Library] フィールドに、 smjavaapi と入力します。

[Secret] フィールドに、セキュリティ アプライアンスに設定したものと同じ秘密キーを入力します。

コマンドライン インターフェイスで policy-server-secret コマンドを使用して、セキュリティ アプライアンスに秘密キーを設定します。

[Parameter] フィールドに、 CiscoAuthApi と入力します。

ステップ 2 Cisco.com にログインして、 http://www.cisco.com/cgi-bin/tablebuild.pl/asa から cisco_vpn_auth.jar ファイルをダウンロードして、SiteMinder サーバのデフォルトのライブラリ ディレクトリにコピーします。この .jar ファイルは、Cisco セキュリティ アプライアンス CD にも含まれています。

SAML Browser Post Profile を使用した SSO 認証の設定

この項では、認可されたユーザに対し、Security Assertion Markup Language(SAML)、バージョン 1.1 POST プロファイル シングル サインオン(SSO)をサポートするためのセキュリティ アプライアンスの設定について説明します。SAML SSO は、クライアントレス SSL VPN セッションに対してだけサポートされています。この項は、次の内容で構成されています。

タスクの概要:SAML Post Profile による SSO の設定

タスクの詳細:SAML Post Profile による SSO の設定

SSO サーバの設定

セッション開始後、セキュリティ アプライアンスは設定済みの AAA 方式に対してユーザを認証します。次に、セキュリティ アプライアンス(アサーティング パーティ)は、SAML サーバが提供するコンシューマ URL サービスであるリライング パーティに対してアサーションを生成します。SAML の交換が成功すると、ユーザは保護されているリソースへのアクセスを許可されます。次の図 39-1 は、通信フローを示しています。

図 39-1 SAML の通信フロー

 


) SAML Browser Artifact 方式のアサーション交換はサポートされていません。


タスクの概要: SAML Post Profile による SSO の設定

この項では、SAML Browser Post Profile を使用して SSO を設定するために必要なタスクの概要について説明します。タスクは次のとおりです。

sso-server コマンドを使用した SSO サーバの指定

認証要求を行うための SSO サーバの URL の指定( assertion-consumer-url コマンド)

認証要求を発行するコンポーネントとしてのセキュリティ アプライアンス ホスト名の指定( issuer コマンド)

SAML Post Profile アサーションの署名に使用するトラストポイント証明書の指定( trustpoint コマンド)

これらの必須タスクに加えて、次のようなオプションの設定タスクを行うことができます。

認証要求のタイムアウトの設定( request-timeout コマンド)

認証要求のリトライ回数の設定( max-retry-attempts コマンド)

設定タスクの完了後、ユーザまたはグループ ポリシーに SSO サーバを割り当てます。

タスクの詳細: SAML Post Profile による SSO の設定

この項では、SAML Post Profike による SSO 認証をサポートするためのセキュリティ アプライアンスの特定の設定手順について説明します。SAML-V1.1-POST を使用して SSO を設定するには、次の手順を実行します。


ステップ 1 webvpn コンフィギュレーション モードで、 type オプションを指定して sso-server コマンドを入力して、SSO サーバを作成します。たとえば、Sample of type SAML-V1.1-POST という名前の SSO サーバを作成するには、次のように入力します。

hostname(config)# webvpn
hostname(config-webvpn)# sso-server sample type SAML-V1.1-post
hostname(config-webvpn-sso-saml)#
 

) セキュリティ アプライアンスは、現在、SAML SSO サーバの Browser Post Profile タイプだけをサポートしています。


ステップ 2 webvpn-sso-saml コンフィギュレーション モードで assertion-consumer-url コマンドを入力して、SSO サーバの認証 URL を指定します。たとえば、http://www.Example.com/webvpn という URL に認証要求を送信するには、次のように入力します。

hostname(config-webvpn-sso-saml)# assertion-consumer-url http://www.sample.com/webvpn
hostname(config-webvpn-sso-saml)#
 

ステップ 3 セキュリティ アプライアンスでアサーションを生成する場合は、セキュリティ アプライアンス自体を識別する一意の文字列を指定します。通常、この issuer 名は次のようなセキュリティ アプライアンスのホスト名になります。

hostname(config-webvpn-sso-saml)# issuer myasa
hostname(config-webvpn-sso-saml)#
 

ステップ 4 trust-point コマンドを使用して、アサーションに署名するための ID 証明書を指定します。次に例を示します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-tunnel-ipsec)# trust-point mytrustpoint
 

オプションで、webvpn-sso-saml コンフィギュレーション モードから request-timeout コマンドを使用すると、失敗した SSO 認証がタイムアウトを試行するまでの秒数を設定することができます。デフォルトの秒数は 5 秒で、1 ~ 30 秒までの範囲で指定できます。要求がタイムアウトするまでの秒数を 8 に変更するには、次のように入力します。

hostname(config-webvpn-sso-saml)# request-timeout 8
hostname(config-webvpn-sso-saml)#
 

ステップ 5 オプションで、webvpn-sso-saml コンフィギュレーション モードから max-retry-attempts コマンドを使用すると、セキュリティ アプライアンスがタイムアウトするまでに、失敗した SSO 認証をリトライできる回数を設定できます。デフォルトのリトライ回数は 3 で、1 ~ 5 回までの範囲で指定できます。たとえば、リトライ回数を 4 に設定するには、次のように入力します。

hostname(config-webvpn-sso-saml)# max-retry-attempts 4
hostname(config-webvpn-sso-saml)#
 

ステップ 6 SSO サーバの設定後、グループまたはユーザのいずれかに対して SSO 認証を指定する必要があります。グループに SSO を指定するには、グループ ポリシー webvpn コンフィギュレーション モードで sso-server value コマンドを使用して SSO サーバをグループ ポリシーに割り当てます。ユーザに SSO を指定するには、同じ sso-server value コマンドを使用して SSO サーバをユーザ ポリシーに割り当てますが、この場合は username-webvpn コンフィギュレーション モードで実行します。たとえば、Example という名前の SSO サーバをユーザ名 Anyuser に割り当てるには、次のように入力します。

hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# sso-server value sample
hostname(config-username-webvpn)#
 

ステップ 7 最後に、特権 EXEC モードで、 test sso-server コマンドを使用すると SSO サーバの設定をテストできます。たとえば、Example という名前の SSO サーバをユーザ名 Anyuser を使用してテストするには、次のように入力します。

hostname# test sso-server Example username Anyuser
INFO: Attempting authentication request to sso-server sample for user Anyuser
INFO: STATUS: Success
 


 

SSO サーバの設定

サーバ ソフトウェアのベンダーが提供する SAML サーバのマニュアルを使用して、Relying Party モードで SAML サーバを設定します。次の手順には、Browser Post Profile に SAML サーバを設定するために必要な特定のパラメータが一覧表示されています。


ステップ 1 アサーティング パーティ(セキュリティ アプライアンス)を表す SAML サーバ パラメータを設定します。

Recipient consumer url(ASA で設定する assertion consumer url と同一)

Issuer ID(通常はアプライアンスのホスト名である文字列)

Profile type:Browser Post Profile

ステップ 2 証明書を設定します。

ステップ 3 アサーティング パーティのアサーションには署名が必要なことを指定します。

ステップ 4 SAML サーバがユーザを特定する方法を、次のように選択します。

Subject Name Type が DN

Subject Name format が uid=<user>


 

HTTP Form プロトコルを使用した SSO の設定

この項では、SSO における HTTP Form プロトコルの使用について説明します。HTTP Form プロトコルは、SSO 認証を実行するための一般的な手段で、AAA 方式としても使用できます。このプロトコルは、クライアントレス SSL VPN のユーザおよび認証を行う Web サーバの間で認証情報を交換するセキュアな方法を提供します。HTTP Form は一般的なプロトコルとして、Web サーバや Web ベースの SSO 製品との高度な互換性を持ち、RADIUS サーバや LDAP サーバなど他の AAA サーバとともに使用できます。


) HTTP プロトコルを使用して SSO を正しく設定するには、認証および HTTP プロトコル交換に関する実用的な知識が必要です。


セキュリティ アプライアンスは、ここでも認証 Web サーバに対するクライアントレス SSL VPN のユーザのプロキシとして機能しますが、この場合は、要求に対して HTTP Form プロトコルと POST 方式を使用します。フォーム データを送受信するようにセキュリティ アプライアンスを設定する必要があります。図 39-2 は、次の SSO 認証手順を示しています。

1. 最初に、クライアントレス SSL VPN のユーザは、ユーザ名とパスワードを入力してセキュリティ アプライアンス上のクライアントレス SSL VPN サーバにログインします。

2. ユーザのプロキシとして動作するクライアントレス SSL VPN サーバは、このフォーム データ(ユーザ名およびパスワード)を、POST 認証要求を使用して認証する Web サーバに転送します。

3. 認証する Web サーバがユーザのデータを承認した場合は、認証クッキーをユーザの代行で保存していたクライアントレス SSL VPN サーバに戻します。

4. クライアントレス SSL VPN サーバはユーザまでのトンネルを確立します。

5. これでユーザは、ユーザ名やパスワードを再入力しなくても、保護された SSO 環境内の他の Web サイトにアクセスできるようになります。

 

図 39-2 HTTP Form を使用した SSO 認証

 

 

セキュリティ アプライアンスでユーザ名やパスワードなどの POST データを含めるようにフォーム パラメータを設定しても、Web サーバが要求する非表示のパラメータが追加されたことに、ユーザが最初に気付かない可能性があります。認証アプリケーションの中には、ユーザ側に表示されず、ユーザが入力することもない非表示データを要求するものもあります。ただし、認証 Web サーバが要求する非表示パラメータを見つけるのは可能です。これは、セキュリティ アプライアンスを仲介役のプロキシとして使用せずに、ユーザのブラウザから Web サーバに直接認証要求を出す方法で行います。HTTP ヘッダー アナライザを使用して Web サーバの応答を分析すると、非表示パラメータが次のような形式で表示されます。

<param name>=<URL encoded value>&<param name>=<URL encoded>
 

非表示パラメータには、必須のパラメータとオプションのパラメータとがあります。Web サーバが非表示パラメータのデータを要求すると、Web サーバはそのデータを省略するすべての認証 POST 要求を拒否します。ヘッダー アナライザは、非表示パラメータが必須かオプションかについては伝えないため、必須のパラメータが判別できるまではすべての非表示パラメータを含めておくことをお勧めします。

この項は、次の内容で構成されています。

HTTP Form データの収集

タスクの概要:HTTP Form プロトコルを使用した SSO の設定

タスクの詳細:HTTP Form プロトコルによる SSO の設定

HTTP Form データの収集

この項では、必要な HTTP Form データを検出および収集する手順を示します。認証 Web サーバが要求するパラメータが何かわからない場合は、次の手順を実行して認証交換を分析するとパラメータ情報を収集できます。


) これらの手順では、ブラウザと HTTP ヘッダー アナライザが必要です。



ステップ 1 ユーザのブラウザと HTTP ヘッダー アナライザを起動して、セキュリティ アプライアンスを経由せずに Web サーバのログイン ページに直接接続します。

ステップ 2 Web サーバのログイン ページがユーザのブラウザにロードされてから、ログイン シーケンスを検証して交換時にクッキーが設定されているかどうか判別します。Web サーバによってログイン ページにクッキーがロードされている場合は、このログイン ページの URL を start-URL として設定します。

ステップ 3 Web サーバにログインするためのユーザ名とパスワードを入力して、Enter キーを押します。この動作によって、ユーザが検証する認証 POST 要求が HTTP ヘッダー アナライザを使用して生成されます。

次に、ホストの HTTP ヘッダーおよび本文が記載された POST 要求の例を示します。

POST /emco/myemco/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000430e1-7443-125c-ac05-83846dc90034&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2FHTTP/1.1

Host: www.example.com

(BODY)

SMENC=ISO-8859-1&SMLOCALE=US-EN&USERID=Anyuser&USER_PASSWORD=XXXXXX&target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0

ステップ 4 POST 要求を検証してプロトコル、ホストをコピーし、URL を入力して action-uri パラメータを設定します。

ステップ 5 POST 要求の本文を検証して、次の情報をコピーします。

a. ユーザ名パラメータ。上記の例では、このパラメータは USERID で、値 anyuser ではありません。

b. パスワード パラメータ。上記の例では、このパラメータは USER_PASSWORD です。

c. 非表示パラメータ。このパラメータは、POST 本文からユーザ名パラメータとパスワード パラメータを除くすべてです。上記の例では、非表示パラメータは、SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0 の部分です。

図 39-3 は、HTTP アナライザの出力例に表示される action URI、非表示、ユーザ名、パスワードの各種パラメータを強調して示したものです。これは一例です。出力は Web サイトによって大幅に異なることがあります。

図 39-3 action-uri、非表示、ユーザ名、パスワードの各種パラメータ

 

 

 

1

action URI パラメータ

2

非表示パラメータ

3

ユーザ名パラメータとパスワード パラメータ

ステップ 6 Web サーバへのログインが成功したら、HTTP ヘッダー アナライザを使用して、サーバからユーザのブラウザに設定されているクッキー名を見つけ出すことによって、サーバの応答を検証します。これは auth-cookie-name パラメータです。

次のサーバ応答ヘッダーでは、SMSESSION がセッションのクッキーの名前です。必要なのはこの名前だけです。値は不要です。

 

図 39-4 に、HTTP アナライザによる認可クッキーの出力例を示します。これは一例です。出力は Web サイトによって大幅に異なることがあります。

図 39-4 HTTP アナライザの出力例に表示された認可クッキー

 

 

1

認可クッキー

ステップ 7 場合によっては、認証の成否にかかわらず同じクッキーがサーバによって設定される可能性があり、このようなクッキーは、SSO の目的上、認められません。クッキーが異なっていることを確認するには、無効なログイン クレデンシャルを使用して「失敗」クッキーと「成功した」クッキーとをステップ 1 からステップ 6 を繰り返し、比較します。

これで、HTTP Form プロトコルによる SSO をセキュリティ アプライアンスに設定するために必要なパラメータ データを入手できました。


 

タスクの概要:HTTP Form プロトコルを使用した SSO の設定

この項では、HTTP Form プロトコルによる SSO の設定の概要について説明します。HTTP Form を使用して SSO をイネーブルにするには、次のタスクを実行します。

フォーム データ( action-uri )を受信および処理するために、認証 Web サーバのユニフォーム リソース識別子を設定する。

ユーザ名パラメータ( user-parameter )を設定する。

ユーザ パスワード パラメータ( password-parameter )を設定する。

認証 Web サーバの要件によっては次のタスクが必要になる場合もあります。

認証 Web サーバがログイン前のクッキー交換を必要とする場合は、開始 URL( start-url )を設定する。

認証 Web サーバが要求する任意の非表示認証パラメータ( hidden-parameter )を設定する。

認証 Web サーバによって設定される認証クッキーの名前( auth-cookie-name )を設定する。

タスクの詳細:HTTP Form プロトコルによる SSO の設定

この項では、HTTP Form プロトコルを使用した SSO を設定するために必要な詳細タスクを取り上げます。セキュリティ アプライアンスが HTTP Form プロトコルを使用した SSO を実行するように設定するには、次の手順を実行します。


ステップ 1 認証 Web サーバが要求する場合は、aaa-server-host コンフィギュレーション モードで start-url コマンドを入力して、認証 Web サーバから事前ログイン クッキーを取得するための URL を指定します。たとえば、http://example.com/east/Area.do?Page-Grp1 の URL 認証 Web サーバを、IP アドレス 10.0.0.2 の testgrp1 サーバ グループに指定するには、次のように入力します。

hostname(config)# aaa-server testgrp1 host 10.0.0.2
hostname(config-aaa-server-host)# start-url http://example.com/east/Area.do?Page-Grp1
hostname(config-aaa-server-host)#
 

ステップ 2 認証 Web サーバに認証プログラム用の URI を指定するには、aaa-server- host コンフィギュレーション モードで action-uri コマンドを入力します。1 つの URI を連続する複数行にわたって入力することができます。1 行の最大文字数は 255 です。URI 全体の最大文字数は 2048 です。action URI の例を次に示します。

http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000a1311-a828-1185-ab41-8333b16a0008&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com

この action URI を指定するには、次のコマンドを入力します。

hostname(config-aaa-server-host)# action-uri http://www.example.com/auth/index.htm
hostname(config-aaa-server-host)# action-uri l/appdir/authc/forms/MCOlogin.fcc?TYP
hostname(config-aaa-server-host)# action-uri 554433&REALMOID=06-000a1311-a828-1185
hostname(config-aaa-server-host)# action-uri -ab41-8333b16a0008&GUID=&SMAUTHREASON
hostname(config-aaa-server-host)# action-uri =0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk
hostname(config-aaa-server-host)# action-uri 3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6r
hostname(config-aaa-server-host)# action-uri B1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F
hostname(config-aaa-server-host)# action-uri %2Fauth.example.com
hostname(config-aaa-server-host)#

) action URI には、ホスト名とプロトコルを含める必要があります。上記の例では、これらは http://www.example.com の URI の最初に表示されます。


ステップ 3 HTTP POST 要求のユーザ名パラメータを設定するには、aaa-server-host コンフィギュレーション モードで user-parameter コマンドを入力します。たとえば、次のようにコマンドを入力すると、ユーザ名パラメータ userid が設定されます。

hostname(config-aaa-server-host)# user-parameter userid
hostname(config-aaa-server-host)#
 

ステップ 4 HTTP POST 要求のユーザ パスワード パラメータを設定するには、aaa-server-host コンフィギュレーション モードで password-parameter コマンドを使用します。たとえば、次のようにコマンドを入力すると、ユーザ パスワード パラメータ名として user_password が設定されます。

hostname(config-aaa-server-host)# password-parameter user_password
hostname(config-aaa-server-host)#
 

ステップ 5 認証 Web サーバと交換する非表示パラメータを指定するには、aaa-server-host コンフィギュレーション モードで hidden-parameter コマンドを使用します。次に、POST 要求から抜粋した非表示パラメータの例を示します。

SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do%3FEMCOPageCode%3DENG&smauthreason=0

この非表示パラメータには、間を & で区切った 4 つの Form エントリとその値が含まれています。4 つのエントリとその値は次のとおりです。

SMENC エントリおよび値 ISO-8859-1

SMLOCALE エントリおよび値 US-EN

target エントリおよび値 https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do

%3FEMCOPageCode%3DENG

smauthreason エントリおよび値 0

この非表示パラメータを指定するには、次のコマンドを入力します。

hostname(config)# aaa-server testgrp1 host example.com
hostname(config-aaa-server-host)# hidden-parameter SMENC=ISO-8859-1&SMLOCALE=US-EN&targe
hostname(config-aaa-server-host)# hidden-parameter t=https%3A%2F%2Fwww.example.com%2Femc
hostname(config-aaa-server-host)# hidden-parameter o%2Fappdir%2FAreaRoot.do%3FEMCOPageCo
hostname(config-aaa-server-host)# hidden-parameter de%3DENG&smauthreason=0
hostname(config-aaa-server-host)#
 

ステップ 6 認証クッキーの名前を指定するには、aaa-server-host コンフィギュレーション モードで auth-cookie-name コマンドを入力します。このコマンドはオプションです。次に、SsoAuthCookie という名前の認証クッキーを指定する例を示します。

hostname(config-aaa-server-host)# auth-cookie-name SsoAuthCookie
hostname(config-aaa-server-host)#


 

デジタル証明書による認証

デジタル証明書を使用して認証を行うクライアントレス SSL VPN ユーザは、グローバルな認証と認可の設定を使用しません。その代わり、証明書の検証が完了すると、ユーザは認可サーバを使用して認証します。デジタル証明書を使用する認証と認可の詳細については、「 AAA サーバとローカル データベースの設定」の章の「 証明書とユーザ ログイン クレデンシャルの使用」を参照してください。

リソースにアクセスするためのクライアントレス SSL VPN ポリシーの作成と適用

中央サイトにあるリソースへのアクセスを制御するクライアントレス SSL VPN ポリシーを作成および適用するには、次のタスクを実行します。

グループ ポリシーへのユーザの割り当て

「接続プロファイル、グループ ポリシー、およびユーザの設定」では、これらのタスクについての詳細な手順を説明しています。

グループ ポリシーへのユーザの割り当て

ユーザをグループ ポリシーに割り当てると、複数のユーザにポリシーを適用することで設定が容易になります。ユーザをグループ ポリシーに割り当てるには、内部認証サーバまたは RADIUS サーバを使用できます。グループ ポリシーを使用して設定を簡略化する方法の説明については、「接続プロファイル、グループ ポリシー、およびユーザの設定」を参照してください。

セキュリティ アプライアンス認証サーバの使用

セキュリティ アプライアンスの内部認証サーバでユーザを認証するように設定し、これらのユーザをセキュリティ アプライアンス上でグループ ポリシーに割り当てることができます。

RADIUS サーバの使用

RADIUS サーバをユーザ認証に使用する場合は、次の手順を実行して、ユーザをグループ ポリシーに割り当てます。


ステップ 1 RADIUS でユーザ認証を行い、Class アトリビュートを使用してそのユーザを特定のグループ ポリシーに割り当てます。

ステップ 2 OU=group_name 形式で Class アトリビュートをグループ ポリシー名に設定します。

たとえば、クライアントレス SSL VPN のユーザを SSL_VPN グループに割り当てるには、RADIUS Class アトリビュートを OU=SSL_VPN;(セミコロンは省略不可)の値に設定します。


 

クライアントレス SSL VPN の接続プロファイルのアトリビュートの設定

表 39-1 は、クライアントレス SSL VPN に固有の接続プロファイル アトリビュートのリストです。これらのアトリビュートに加えて、すべての VPN 接続に共通の一般接続プロファイルのアトリビュートを設定します。接続プロファイルの設定に関する手順ごとの情報については、「接続プロファイル、グループ ポリシー、およびユーザの設定」「クライアントレス SSL VPN セッションの接続プロファイルの設定」を参照してください。


) 以前のリリースでは、「接続プロファイル」は「トンネル グループ」として知られていました。接続プロファイルは tunnel-group コマンドで設定します。この章では、この 2 つの用語が同義的によく使用されています。


 

表 39-1 クライアントレス SSL VPN 用接続プロファイルのアトリビュート

コマンド
機能

authentication

認証方式を設定します。

customization

適用するすでに定義済みのカスタマイゼーションの名前を指定します。

nbns-server

CIFS 名前解決に使用する NetBIOS ネーム サービス サーバ(nbns-server)の名前を指定します。

group-alias

サーバが接続プロファイルの参照に使用できる代替名を指定します。

group-url

1 つ以上のグループ URL を指定します。このアトリビュートを設定する場合、指定した URL にアクセスするユーザはログイン時にグループを選択する必要がありません。

dns-group

DNS サーバ名、ドメイン名、ネーム サーバ、リトライ回数、およびタイムアウト値を指定する DNS サーバ グループを指定します。

hic-fail-group-policy

Cisco Secure Desktop Manager を使用して、グループベース ポリシー アトリビュートを「Use Failure Group-Policy」または「Use Success Group-Policy, if criteria match」に設定する場合は、VPN 機能ポリシーを指定します。

override-svc-download

AnyConnect VPN クライアントをリモート ユーザにダウンロードするために、設定されているグループ ポリシー アトリビュートまたはユーザ名アトリビュートのダウンロードが上書きされます。

radius-reject-message

認証が拒否されたときに、ログイン画面に RADIUS 拒否メッセージを表示します。

クライアントレス SSL VPN のグループ ポリシー アトリビュートとユーザ アトリビュートの設定

表 39-2 に、クライアントレス SSL VPN のグループ ポリシー アトリビュートとユーザ アトリビュートをリストで示します。グループ ポリシー アトリビュートとユーザ アトリビュートの設定手順については、「接続プロファイル、グループ ポリシー、およびユーザの設定」「グループ ポリシーの設定」および「特定ユーザのアトリビュートの設定」を参照してください。

 

表 39-2 クライアントレス SSL VPN のグループ ポリシー アトリビュートとユーザ アトリビュート

コマンド
機能

activex-relay

クライアントレス SSL VPN セッションを確立したユーザが、ブラウザを使用して Microsoft Office アプリケーションを起動できるようになります。アプリケーションは、セッションを使用して Microsoft Office ドキュメントのダウンロードとアップロードを行います。ActiveX のリレーは、クライアントレス SSL VPN セッションを終了するまで有効なままです。

auto-signon

自動サインオンの値を設定します。設定では、クライアントレス SSL VPN への初回の接続に限り、ユーザ名およびパスワードのクレデンシャルが必要です。

customization

カスタマイゼーション オブジェクトをグループ ポリシーまたはユーザに割り当てます。

deny-message

クライアントレス SSL VPN に正常にログインできるが、VPN 特権を持たないリモート ユーザに送信するメッセージを指定します。

file-browsing

ファイル サーバとファイル共有の CIFS ファイル ブラウジングをイネーブルにします。ブラウジングには NBNS が必要です(マスター ブラウザまたは WINS)。

file-entry

アクセスするファイル サーバ名の入力をユーザに許可します。

filter

webtype アクセス リストの名前を設定します。

hidden-shares

非表示の CIFS 共有ファイルの可視性を制御します。

homepage

ログイン時に表示される Web ページの URL を設定します。

html-content-filter

このグループ ポリシー用の HTML からフィルタリングするコンテンツとオブジェクトを設定します。

http-comp

圧縮を設定します。

http-proxy

HTTP 要求の処理に外部プロキシ サーバを使用するようにセキュリティ アプライアンスを設定します。

keep-alive-ignore

セッション タイマーのアップデートを無視するオブジェクトの最大サイズを設定します。

port-forward

転送するクライアントレス SSL VPN TCP ポートのリストを適用します。ユーザ インターフェイスにこのリスト上のアプリケーションが表示されます。

post-max-size

ポストするオブジェクトの最大サイズを設定します。

smart-tunnel

スマート トンネルを使用するプログラムのリストを設定します。

sso-server

SSO サーバの名前を設定します。

storage-objects

セッション間に保存されたデータのストレージ オブジェクトを設定します。

svc

SSL VPN クライアントのアトリビュートを設定します。

unix-auth-gid

UNIX グループ ID を設定します。

unix-auth-uid

UNIX ユーザ ID を設定します。

upload-max-size

アップロードするオブジェクトの最大サイズを設定します。

url-entry

ユーザが HTTP/HTTP URL を入力する機能を制御します。

url-list

エンド ユーザのアクセス用にクライアントレス SSL VPN のポータル ページに表示されるサーバと URL のリストを適用します。

user-storage

セッション間のユーザ データを保存する場所を設定します。

クライアント/サーバ プラグインへのブラウザ アクセスの設定

次の項では、クライアントレス SSL VPN のブラウザ アクセス用のブラウザ プラグインの統合について説明します。

「ブラウザ プラグインの概要」

「プラグインの要件と制限事項」

「プラグインのためのセキュリティ アプライアンスの準備」

「シスコが再配布しているプラグインのインストール」

「サードパーティ プラグインへのアクセスの提供」

「セキュリティ アプライアンスにインストールされているプラグインの表示」

ブラウザ プラグインの概要

ブラウザ プラグインは、ブラウザ ウィンドウ内でクライアントをサーバに接続するなどの、専用の機能を実行するために Web ブラウザから起動される独立したプログラムです。セキュリティ アプライアンスを使用すると、クライアントレス SSL VPN セッション中に、リモート ブラウザにダウンロードするプラグインをインポートできます。もちろん、シスコでは再配布するプラグインのテストを行っており、場合によっては、再配布できないプラグインの接続性のテストを行っています。ただし、現時点では、ストリーミング メディアをサポートするプラグインはインポートしないことをお勧めします。


) GNU General Public License(GPL)により、シスコでは変更を加えることなくプラグインを再配布しています。GPL により、シスコではこれらのプラグインを直接機能強化できません。


プラグインをフラッシュ デバイスにインストールすると、セキュリティ アプライアンスは次の処理を実行します。

(シスコが配布したプラグインだけ) URL で指定した jar ファイルを解凍する。

セキュリティ アプライアンス ファイル システムの csco-config/97/plugin ディレクトリにファイルを書き込む。

ASDM の URL アトリビュートの隣にドロップダウン メニューを読み込む。

以降のすべてのクライアントレス SSL VPN セッションに対するプラグインのイネーブル化、メイン メニュー オプションの追加、およびポータル ページの [Address] フィールドの隣へのドロップダウン メニュー オプションの追加を行う。

表 39-3 に、次の項で説明するプラグインを追加したときの、ポータル ページのメイン メニューと [Address] フィールドの変更点を示します。

 

表 39-3 クライアントレス SSL VPN ポータル ページへのプラグインの影響

プラグイン
ポータル ページに追加されるメイン メニュー オプション
ポータル ページに追加される [Address] フィールドのオプション

ica

Citrix Client

citrix://

rdp

Terminal Servers

rdp://

rdp2

Terminal Servers Vista

rdp2://

ssh、telnet

SSH

ssh://

Telnet

telnet://

vnc

VNC Client

vnc://

クライアントレス SSL VPN セッションのユーザがポータル ページに関連付けられているメニュー オプションをクリックすると、ポータル ページにインターフェイスへのウィンドウが表示され、ヘルプ ペインが表示されます。ユーザはドロップダウン メニューに表示されているプロトコルを選択し、[Address] フィールドに URL を入力して接続を確立できます。


) 一部の Java プラグインは、宛先サービスへのセッションがセットアップされていない場合でも、接続またはオンラインのステータスを報告することがあります。セキュリティ アプライアンスではなく、オープンソース プラグインがステータスを報告します。


プラグインの要件と制限事項

プラグインへのリモート アクセスを提供するには、セキュリティ アプライアンスでクライアントレス SSL VPN をイネーブルにする必要があります。

セキュリティ アプライアンスでクライアントレス セッションがプロキシ サーバを使用するように設定している場合、プラグインは機能しません。


) リモート デスクトップ プロトコル プラグインは、セッション ブローカを使用したロード バランシングをサポートしていません。プロトコルがセッション ブローカからのリダイレクトを処理する方法が原因で、接続に失敗します。セッション ブローカを使用しなくてもプラグインは動作します。


プラグインはシングル サインオン(SSO)をサポートしています。プラグインは、入力された 同じ クレデンシャルを使用して、クライアントレス SSL VPN セッションをオープンします。プラグインはマクロ置換をサポートしていないため、内部ドメイン パスワードなどの異なるフィールドや、Radius サーバまたは LDAP サーバのアトリビュート対して SSO を実行できません。

プラグインの SSO サポートを設定するには、プラグインをインストールし、サーバへのリンクを表示するブックマーク エントリを追加し、ブックマークを追加するときに SSO のサポートを指定します。

リモートでの使用に必要な最小のアクセス権限は、ゲスト特権モードに属しています。

ステートフル フェールオーバーでは、プラグインを使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

プラグインのためのセキュリティ アプライアンスの準備

プラグインをインストールする前に、セキュリティ アプライアンスで次のような準備を行います。


ステップ 1 クライアントレス SSL VPN(「webvpn」)がセキュリティ アプライアンス インターフェイスでイネーブルになっていることを確認します。確認するには、 show running-config コマンドを入力します。

ステップ 2 リモート ユーザが完全修飾ドメイン名(FQDN)を使用して接続するセキュリティ アプライアンス インターフェイスに SSL 証明書をインストールします。


) IP アドレスを SSL 証明書の Common Name(CN; 通常名)として指定しないでください。リモート ユーザは、セキュリティ アプライアンスと通信するために FQDN の使用を試行します。リモート PC は、FQDN を解決するために DNS または System32\drivers\etc\hosts ファイル内のエントリを使用できる必要があります。



 

クライアントレス SSL VPN アクセスに提供する必要があるプラグインのタイプを指定している項に進んでください。

「シスコが再配布しているプラグインのインストール」

「サードパーティ プラグインへのアクセスの提供」

シスコが再配布しているプラグインのインストール

シスコでは、クライアントレス SSL VPN セッションで Web ブラウザのプラグインとしてアクセスされる、次のオープンソースの Java ベースのコンポーネントを再配布しています。

 

表 39-4 シスコが再配布しているプラグイン

シスコのダウンロード リンク
プロトコル
説明
再配布しているプラグインのソース

rdp2-plugin.090211.jar

RDP2

Windows Vista および Windows 2003 R2 でホストされている Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

注: RDP プラグインと RDP2 プラグインをインポートして、クライアントレス ユーザが両方を利用できるようにできます。

シスコでは、GNU General Public License により、変更を加えずにこのプラグインを再配布します。この再配布プラグインの元のソースは http://properjavardp.sourceforge.net/ で確認できます。

rdp-plugin.080506.jar

RDP

Windows 2003 R1 でホストされている Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

シスコでは、GNU General Public License により、変更を加えずにこのプラグインを再配布します。この再配布プラグインのソースは http://properjavardp.sourceforge.net/ で確認できます。

ssh-plugin.080430.jar

SSH

Secure Shell-Telnet プラグインにより、リモート ユーザはリモート コンピュータへのセキュア シェル接続または Telnet 接続を確立できます。

シスコでは、GNU General Public License により、変更を加えずにこのプラグインを再配布します。この再配布プラグインのソースがある Web サイトは、 http://javassh.org/ です。

vnc-plugin.080130.jar

VNC

Virtual Network Computing プラグインにより、リモート ユーザは、モニタ、キーボード、およびマウスを使用して、リモート デスクトップ共有がオンになっているコンピュータを表示および制御できます。このバージョンでは、テキストのデフォルトの色が変更され、更新されたフランス語と日本語のヘルプ ファイルが含まれています。

シスコでは、GNU General Public License により、変更を加えずにこのプラグインを再配布します。この再配布プラグインのソースがある Web サイトは、 http://www.tightvnc.com/ です。

これらのプラグインは、「 Cisco Adaptive Security Appliance Software Download 」のサイトから入手できます。

プラグインをインストールする前に、次のことを行ってください。

クライアントレス SSL VPN(「webvpn」)がセキュリティ アプライアンスのインターフェイスでイネーブルになっていることを確認します。確認するには、 show running-config コマンドを入力します。

ローカル TFTP サーバまたは FTP サーバに「plugins」という名前の一時ディレクトリを作成(たとえば、ホスト名「local_tftp_server」で作成)し、シスコの Web サイトから「plugins」ディレクトリにプラグインをダウンロードします。

シスコが再配布しているプラグインへのクライアントレス SSL VPN ブラウザ アクセスを提供するには、特権 EXEC モードで次のコマンドを入力して、セキュリティ アプライアンスのフラッシュ デバイスにプラグインをインストールします。

import webvpn plug-in protocol protocol URL

protocol は次の値のいずれかです。

Remote Desktop Protocol サービスへのプラグイン アクセスを提供するには、 rdp を入力します。次に、 URL フィールドに rdp-plugin.080130.jar ファイルのパスを指定します。

セキュア シェル サービスと Telnet サービスの 両方 にプラグイン アクセスを提供するには、 ssh,telnet を入力します。次に、 URL フィールドに ssh-plugin.jar ファイルのパスを指定します。


注意 SSH と Telnet の両方にこのコマンドを 1 回ずつ入力しないでください。ssh,telnet 文字列を入力する場合は、スペースを挿入しないでください。これらの要件から外れている import webvpn plug-in protocol コマンドを削除するには、revert webvpn plug-in protocol コマンドを使用します。

Virtual Network Computing サービスにプラグイン アクセスを提供するには、 vnc を入力します。次に、 URL フィールドに vnc-plugin.080130.jar ファイルのパスを指定します。

URL は、プラグインのソースへのリモート パスです。TFTP サーバまたは FTP サーバのホスト名またはアドレス、およびプラグインへのパスを入力します。

次のコマンド例では、RDP にクライアントレス SSL VPN のサポートを追加します。

hostname# import webvpn plug-in protocol rdp tftp://local_tftp_server/plugins/rdp-plugin.080130.jar
Accessing
tftp://local_tftp_server/plugins/rdp-plugin.080130.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/rdp...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
329994 bytes copied in 5.350 secs (65998 bytes/sec)
 

次のコマンド例では、SSH と Telnet にクライアントレス SSL VPN のサポートを追加します。

hostname# import webvpn plug-in protocol ssh,telnet tftp://local_tftp_server/plugins/ssh-plugin.jar
 
Accessing tftp://local_tftp_server/plugins/ssh-plugin.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/ssh...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
238510 bytes copied in 3.650 secs (79503 bytes/sec)
 

次のコマンド例では、VNC にクライアントレス SSL VPN のサポートを追加します。

hostname# import webvpn plug-in protocol vnc tftp://local_tftp_server/plugins/vnc-plugin.080130.jar
 
Accessing tftp://local_tftp_server/plugins/vnc-plugin.080130.jar...!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/vnc...
!!!!!!!!!!!!!!!
58147 bytes copied in 2.40 secs (29073 bytes/sec)
 

) セキュリティ アプライアンスは、コンフィギュレーション内に import webvpn plug-in protocol コマンドを保持しません。代わりに、csco-config/97/plugin ディレクトリの内容を自動的にロードします。セカンダリ セキュリティ アプライアンスは、プライマリ セキュリティ アプライアンスからプラグインを取得します。


プラグインをインポート後、SSL VPN のホームページのアドレス バーに対応するプロトコルとリソースの場所を入力してアクセスします。次の例を参考にしてください。

rdp://10.1.1.1
vnc://10.1.1.1
ssh://10.1.1.1
telnet://10.1.1.1
 

Java ベースのクライアント アプリケーションに対するクライアントレス SSL VPN のサポートをディセーブルにして削除し、セキュリティ アプライアンスのフラッシュ デバイスから削除するには、次のコマンドを入力します。

revert webvpn plug-in protocol protocol

次のコマンド例では、RDP を削除します。

hostname# revert webvpn plug-in protocol rdp
 

サードパーティ プラグインへのアクセスの提供

セキュリティ アプライアンスのオープン フレームワークにより、サードパーティの Java クライアント/サーバ アプリケーションをサポートするためにプラグインを追加することができます。


注意 シスコでは、シスコが再配布していない特定のプラグインに対して、直接的なサポートや推奨はしていません。クライアントレス SSL VPN サービスの提供者として、ユーザはプラグインの使用に際して必要となるライセンス契約を確認および遵守する責任があります。

例:Citrix Java Presentation Server へのアクセスの提供

セキュリティ アプライアンスのオープン フレームワークにより、サードパーティの Java クライアント/サーバ アプリケーションをサポートするためにプラグインを追加することができます。サードパーティのプラグインに、クライアントレス SSL VPN ブラウザ アクセスを提供する方法の例として、この項では、Citrix Presentation Server Client にクライアントレス SSL VPN のサポートを追加する方法について説明します。


注意 シスコでは、シスコが再配布していない特定のプラグインに対して、直接的なサポートや推奨はしていません。クライアントレス SSL VPN サービスの提供者として、ユーザはプラグインの使用に際して必要となるライセンス契約を確認および遵守する責任があります。

セキュリティ アプライアンスに Citrix プラグインがインストールされている場合、クライアントレス SSL VPN のユーザは、セキュリティ アプライアンスへの接続を使用して、Citrix MetaFrame サービスにアクセスできます。

ステートフル フェールオーバーでは、Citrix プラグインを使用して確立したセッションは保持されません。Citrix のユーザは、フェールオーバー後に再認証を行う必要があります。

Citrix プラグインへのアクセスを提供するには、次の項の手順に従います。

クライアントレス SSL VPN アクセスのための Citrix MetraFrame Server の準備

Citrix プラグインの作成とインストール

クライアントレス SSL VPN アクセスのための Citrix MetraFrame Server の準備

Citrix クライアントが Citrix MetaFrame Server に接続するときに、セキュリティ アプライアンスは Citrix セキュア ゲートウェイの接続機能を実行します。そのため、(Citrix)「セキュア ゲートウェイ」を使用しないモードで動作するように、Citrix Web Interface ソフトウェアを設定する必要があります。この設定をしないと、Citrix クライアントは Citrix MetaFrame Server に接続できません。


) プラグインに対するサポートをまだ提供していない場合は、「プラグインのためのセキュリティ アプライアンスの準備」の説明に従い作業を行った後に、この項を参照してください。


Citrix プラグインの作成とインストール

Citrix プラグインの作成およびインストールを行うには、次の手順に従います。


ステップ 1 Cisco Software Download の Web サイトから ica-plugin.zip ファイルをダウンロードします。

このファイルには、Citrix プラグインで使用するためにシスコがカスタマイズしたファイルが含まれています。

ステップ 2 Citrix のサイトから Citrix Java Client をダウンロードします。

ステップ 3 Citrix Java Client から次のファイルを抽出し、ica-plugin.zip ファイルに追加します。

JICA-configN.jar

JICAEngN.jar

この手順は WinZip を使用して実行できます。

ステップ 4 Citrix Java Client に含まれている EULA で、使用している Web サーバへのクライアントの配置が許可されていることを確認します。

ステップ 5 セキュリティ アプライアンスで CLI セッションを開き、特権 EXEC モードで次のコマンドを入力して、プラグインをインストールします。

import webvpn plug-in protocol ica URL

URL は、ホスト名または IP アドレスおよび ica-plugin.zip ファイルへのパスです。


) プラグインをインポート後、リモート ユーザは ica を選択し、ポータル ページの [Address] フィールドに host/?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 を入力することで Citrix サービスにアクセスできるようになります。ユーザの接続を容易にするためにブックマークを追加することをお勧めします。Citrix セッションに SSO サポートを提供する場合は、ブックマークの追加は必須です。


ステップ 6 SSL VPN クライアント セッションを確立し、ブックマークをクリックするか、Citrix サーバの URL を入力します。

必要に応じて『 Client for Java Administrator's Guide 』を使用してください。


 

セキュリティ アプライアンスにインストールされているプラグインの表示

クライアントレス SSL VPN のユーザが使用できる Java ベースのクライアント アプリケーションを一覧表示するには、特権 EXEC モードで次のコマンドを入力します。

show import webvpn plug-in

次の例を参考にしてください。

hostname# show import webvpn plug-in
ssh
rdp
vnc
ica
 

Application Access の設定

次の項では、クライアントレス SSL VPN セッションでスマート トンネル アクセスおよびポート転送をイネーブルにする方法、それらのアクセスを提供するアプリケーションの指定、および使用上の注意について説明します。

スマート トンネル アクセスの設定

ポート転送の設定

Application Access ユーザへの注記

スマート トンネルについて

スマート トンネルは、セキュリティ アプライアンスをパスウェイとし、クライアントレス(ブラウザベース)SSL VPN セッションを使用した、TCP ベースのアプリケーションとプライベート サイト間の接続です。セキュリティ アプライアンスがプロキシ サーバとして使用されます。スマート トンネル アクセスを許可するアプリケーションを特定し、各アプリケーションのローカル パスを指定できます。Microsoft Windows で動作するアプリケーションの場合、チェックサムの SHA-1 ハッシュの一致を、スマート トンネル アクセスを許可する条件とすることもできます。

スマート トンネル アクセスを許可できるアプリケーションとしては、Lotus SameTime や Microsoft Outlook Express などがあります。

スマート トンネルの設定には、アプリケーションがクライアントなのか Web 対応アプリケーションなのかに応じて、次のいずれかの手順が必要になります。

クライアント アプリケーションの 1 つ以上のスマート トンネル リストを作成し、スマート トンネル アクセスを提供するグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

スマート トンネル アクセスに適格な Web 対応アプリケーションの URL を指定するブックマーク リスト エントリを 1 つ以上作成し、スマート トンネル アクセスを提供する DAP、グループ ポリシー、ローカル ユーザ ポリシーにそのリストを割り当てます。

クライアントレス SSL VPN セッション上のスマート トンネル接続でログインクレデンシャルの送信を自動化する、Web 対応アプリケーションのリストを作成することもできます。

スマート トンネルを使用する理由

スマート トンネル アクセスを使用すると、クライアントの TCP ベースのアプリケーションがブラウザベースの VPN 接続を使用してサービスに接続します。これにより、プラグインおよびレガシー テクノロジーであるポート転送に比べて、ユーザにとって次の利点があります。

スマート トンネルはプラグインよりも高いパフォーマンスを提供します。

スマート トンネルでは、ポート転送と異なり、ローカル アプリケーションのローカル ポートへのユーザ接続が必要でないため、ユーザの操作が簡略化されます。

スマート トンネルでは、ポート転送と異なり、ユーザが管理者特権を持っている必要がありません。

プラグインの利点は、クライアント アプリケーションをリモート コンピュータにインストールする必要がないことです。

スマート トンネルの要件、制約事項、制限事項

以降のセクションでは、スマート トンネルの要件と制限事項について分類ごとに説明します。

一般的な要件と制限

スマート トンネルには、次の一般的な要件と制限があります。

スマート トンネル接続を開始するリモート ホストでは、32 ビット バージョンの Microsoft Windows Vista、Windows XP、Windows 2000、Mac OS 10.4 または 10.5 が実行されている必要があります。

スマート トンネルの自動サインオンでは、Windows 上の Microsoft Internet Explorer だけがサポートされます。

ブラウザでは、Java、Microsoft ActiveX、または両方がイネーブルになっている必要があります。

スマート トンネルでは、Microsoft Windows コンピュータとセキュリティ アプライアンスの間にあるプロキシだけがサポートされます。スマート トンネルでは、Internet Explorer の設定が使用されます(つまり、Windows システム全体で使用することを意図した設定)。リモート コンピュータがセキュリティ アプライアンスに接続するためにプロキシ サーバが必要な場合は、接続の終端側の URL がプロキシ サービスから除外される URL のリストに含まれている必要があります。プロキシ設定で、ASA 宛てのトラフィックがプロキシを経由するように指定されている場合、すべてのスマート トンネル トラフィックはプロキシを経由します。

HTTP ベースのリモート アクセス シナリオでは、サブネットにより VPN ゲートウェイに対するユーザ アクセスが提供されない場合があります。この場合、Web とエンド ユーザがいる場所の間とトラフィックをルーティングするために ASA の前に配置されたプロキシにより Web アクセスが提供されます。ただし、ASA の前に配置されたプロキシを設定できるのは VPN ユーザだけです。その場合、これらのプロキシが CONNECT メソッドをサポートしていることを確認する必要があります。認証が必要なプロキシの場合、スマート トンネルは基本的なダイジェスト認証タイプだけをサポートします。

スマート トンネルが開始されたとき、ブラウザ プロセスが同じ場合、セキュリティ アプライアンスは、デフォルトですべてのブラウザ トラフィックを VPN セッション経由で送信します。セキュリティ アプライアンスは、tunnel-all ポリシーが適用される場合もこの動作を実行します。ユーザが別のブラウザ プロセス インスタンスを起動すると、VPN セッション経由すべてのトラフィックを送信します。ブラウザ プロセスが同じで、セキュリティ アプライアンスによって URL へのアクセスが許可されていない場合、ユーザはその URL を開くことができません。回避策として、tunnel-all 以外のトンネル ポリシーを割り当てます。

ステートフル フェールオーバーでは、スマート トンネル接続は保持されません。ユーザはフェールオーバー後に再接続する必要があります。

Windows の要件と制限

次の要件と制限は Windows だけに適用されます。

Winsock 2 の TCP ベースのアプリケーションだけがスマート トンネル アクセスで適格となります。

セキュリティ アプライアンスは、Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。ポート転送もスマート トンネルも MAPI をサポートしていません。MAPI プロトコルを使用する Microsoft Outlook Exchange 通信には、リモート ユーザは AnyConnect を使用する必要があります。

スマート トンネルまたはポート転送を使用する Microsoft Windows Vista ユーザは、ASA の URL を信頼済みサイト ゾーンに追加する必要があります。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択します。Vista ユーザは、保護モードをディセーブルにしてスマート トンネル アクセスを利用することもできます。ただし、攻撃に対してより脆弱になるため、この方法は使用しないことをお勧めします。

Mac OS の要件と制限

次の要件と制限は Mac OS だけに適用されます。

Safari 3.1.1 以降または Firefox 3.0 以降。

Sun JRE 1.5 以降。

ポータル ページから起動したアプリケーションだけがスマート トンネル接続を確立できます。この要件には、Firefox のスマート トンネル サポートが含まれます。Firefox を使用して、最初にスマート トンネルを使用している最中に別の Firefox インスタンスを作成する場合、csco_st という名前のユーザ プロファイルが必要です。このユーザ プロファイルがない場合、作成するよう求めるメッセージが表示されます。

SSL ライブラリにダイナミック リンクされた TCP を使用するアプリケーションは、スマート トンネル上で動作できます。

PowerPC MAC オペレーティング システムはスマート トンネルではサポートされません。

Mac OS 上のスマート トンネルでは、次の機能はサポートされません。

プロキシ サービス

自動サインオン

2 レベルのネーム スペースを使用するアプリケーション

Telnet、SSH、cURL などのコンソールベースのアプリケーション

dlopen または dlsym を使用して libsocket 呼び出しを探すアプリケーション

libsocket 呼び出しを探すためにスタティックにリンクされたアプリケーション

スマート トンネル アクセスに適格なアプリケーションの追加

各セキュリティ アプライアンスのクライアントレス SSL VPN コンフィギュレーションは、 スマート トンネル リスト をサポートしています。各リストは、スマート トンネル アクセスに適格な 1 つ以上のアプリケーションを識別します。各グループ ポリシーまたはユーザ名がサポートするスマート トンネル リストは 1 つだけであるため、サポートされる各アプリケーションのセットをスマート トンネル リストにグループ化する必要があります。

プライベート サイトに接続するためにクライアントレス SSL VPN セッションを使用できるアプリケーションのリストにエントリを追加するには、webvpn コンフィギュレーション モードで次のコマンドを入力します。

smart-tunnel list list application path [ platform OS ] [ hash ]

リストからアプリケーションを削除するには、リストとアプリケーションの名前の両方を指定して、このコマンドの no 形式を使用します。

no smart-tunnel list list application

アプリケーションのリスト全体をセキュリティ アプライアンス コンフィギュレーションから削除するには、リストだけを指定してこのコマンドの no 形式を使用します。

no smart-tunnel list list

list は、アプリケーションまたはプログラムのリストの名前です。名前にスペースが含まれている場合は、名前を引用符で囲みます。文字列は最大 64 文字です。コンフィギュレーション内にリストが存在しない場合、CLI はリストを作成します。存在する場合は、エントリをそのリストに追加します。


) SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。


application は、スマート トンネル リスト内の各エントリに対する一意のインデックスとして機能する文字列です。通常は、スマート トンネル アクセスを許可されるアプリケーションに付けられる名前です。異なるパスまたはハッシュ値を指定するアプリケーションの複数バージョンをサポートするには、このアトリビュートを使用してエントリを差別化して、各リスト エントリによってサポートされているアプリケーションの OS、名前、およびバージョンを指定します。文字列は最大 64 文字です。スマート トンネル リストにすでに存在するエントリを変更するには、変更するエントリの名前を入力します。

path は、アプリケーションのファイル名と拡張子、またはアプリケーションのファイル名と拡張子を含むアプリケーションへのパスです。文字列は最大 128 文字です。

Windows では、アプリケーションにスマート トンネル アクセスを許可する場合に、この値とリモート ホストのアプリケーション パスの右側の値が完全に一致している必要があります。Windows でファイル名だけを指定すると、SSL VPN では、アプリケーションにスマート トンネル アクセスを許可する場合に、リモート ホストに対して場所の制限を強制しません。

アプリケーションのパスを指定し、ユーザが別の場所にインストールした場合は、そのアプリケーションは許可されません。アプリケーションは、入力する値と文字列と右側の値が一致している限り、任意のパスに配置できます。

アプリケーションがリモート ホストの複数のパスのいずれかに存在していて、そのアプリケーションにスマート トンネル アクセスを許可するには、 path 値を入力するときにアプリケーションの名前と拡張子だけを指定するか、または、それぞれのコマンドで同じ list 文字列を入力し、一意の application 文字列と path 値を指定して、各パスに対して smart-tunnel list コマンドを 1 回入力します。


) スマート トンネル アクセスで突然問題が発生する場合、Process Name 値が、アップグレードされたアプリケーションに対して最新ではない可能性があります。たとえば、アプリケーションを製造する企業が買収されると、アプリケーションの次のアップグレード時に、アプリケーションへのデフォルト パスが変更されることがあります。


Windows では、コマンド プロンプトから開始したアプリケーションにスマート トンネル アクセスを追加する場合、「cmd.exe」をスマート トンネル リストの 1 つのエントリの Process Name で指定し、アプリケーション自体のパスを別のエントリに指定する必要があります。これは、アプリケーションの親が「cmd.exe」であるためです。

Mac OS では、プロセスへのフル パスが必要で、大文字と小文字は区別されます。各ユーザ名のパスを指定しなくて済むように、波形ダッシュ(~)を部分パスの前に挿入します(例:~/bin/vnc)。

platform は、 windows または mac で、アプリケーションのホスト OS を示します。デフォルト値は platform windows です。

hash (オプション)この値を得るには、アプリケーションのチェックサム(つまり、実行ファイルのチェックサム)を、SHA-1 アルゴリズムを使用してハッシュを計算するユーティリティに入力します。このようなユーティリティの例には、Microsoft File Checksum Integrity Verifier(FCIV)があります。これは、 http://support.microsoft.com/kb/841290/ から入手できます。FCIV をインストール後、ハッシュされるアプリケーションの一時コピーを、スペースを含まないパス(例:c:/fciv.exe)に配置し、コマンドラインで fciv.exe -sha1 application (例: fciv.exe -sha1 c:\msimn.exe )を入力して、SHA-1 ハッシュを表示します。

SHA-1 ハッシュは、常に 40 桁の 16 進数文字です。

アプリケーションにスマート トンネル アクセスを許可する前に、クライアントレス SSL VPN は、 path と一致するアプリケーションのハッシュを計算します。結果が hash の値と一致する場合、アプリケーションにスマート トンネル アクセスを許可します。

ハッシュを入力することにより、SSL VPN が path で指定した文字列と一致する不正ファイルに許可を与えていないことを合理的に保証できます。チェックサムは、アプリケーションの各バージョンまたはパッチによって異なるため、入力する hash は、リモート ホスト上の 1 つのバージョンまたはパッチだけと一致します。アプリケーションの複数バージョンの hash を指定するには、同じ list 文字列を入力し、一意の application 文字列と一意の hash 値を指定して、各バージョンに対して smart-tunnel list コマンドを 1 回入力します。


hash 値を入力し、アプリケーションの今後のバージョンまたはパッチでのスマート トンネル アクセスをサポートする場合は、今後もスマート トンネル リストを維持する必要があります。スマート トンネル アクセスで突然問題が発生する場合、hash 値を含んでいるアプリケーション リストが、アップグレードされたアプリケーションに対して最新ではない可能性があります。この問題は、hash を入力しないことで回避できます。


 

表 39-5 smart-tunnel コマンドの例

機能
OS
コマンド

Lotus SameTime を lotus という名前のスマート トンネル リストに追加する。

Windows(デフォルト プラットフォーム)

smart-tunnel list lotus LotusSametime connect.exe

Lotus 6.0 シック クライアントと Domino Server 6.5.5 を追加する。

Windows

smart-tunnel list lotus lotusnotes notes.exefs
smart-tunnel list lotus lotusnlnotes nlnotes.exe
smart-tunnel list lotus lotusntaskldr ntaskldr.exe
smart-tunnel list lotus lotusnfileret nfileret.exe

コマンド プロンプトを apps という名前のスマート トンネル リストに追加する。

注:これは、コマンド プロンプトから起動される Microsoft Windows アプリケーションにスマート トンネル アクセスを提供するために必要です。また、アプリケーション自体もリストに追加する必要があります。

Windows

smart-tunnel list apps CommandPrompt cmd.exe

Windows Outlook Express を追加する。

Windows

smart-tunnel list apps OutlookExpress msimn.exe

Windows Outlook Express を追加し、そのリモート ホスト上のパスが文字列に一致する場合にだけスマート トンネル サポートを許可する。

Windows

smart-tunnel list apps OutlookExpress "\Program Files\Outlook Express\msimn.exe"

Windows Outlook Express を追加し、そのハッシュが文字列に一致する場合にだけスマート トンネル サポートを許可する。

Windows

smart-tunnel list apps OutlookExpress msimn.exe 4739647b255d3ea865554e27c3f96b9476e75061

Safari を追加し、そのリモート ホスト上のパスが文字列に一致する場合にだけスマート トンネル サポートを許可する。

Mac OS

smart-tunnel list apps Safari "/Applications/Safari" platform mac

新しいターミナル ウィンドウに対するスマート トンネル サポートを追加する。

Mac OS

smart-tunnel list apps Terminal terminal platform mac

Mac ターミナル ウィンドウから起動されたアプリケーションに対するスマート トンネル サポートを追加する。「Terminal」の後の引用符の中のすべての単語をコマンド ラインに入力します。

Mac OS

smart-tunnel list apps Terminal "terminal open -a MacTelnet" platform mac

VNC の実行ファイルのユーザ パスにかかわらず、VNC に対するスマート トンネル サポートを追加する。

Mac OS

smart-tunnel list apps vnc "~/bin/vnc" platform mac

スマート トンネル リストのコンフィギュレーションに続き、次の項で説明するように、リストをグループ ポリシーまたはユーザ名に割り当てます。

スマート トンネル リストの割り当て

グループ ポリシーとユーザ名ごとに、次のいずれかを行うようにクライアントレス SSL VPN を設定できます。

ユーザのログイン時に自動的にスマート トンネル アクセスを開始する。

ユーザのログイン時にスマート トンネル アクセスをイネーブルにするが、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを手動で開始するようにユーザに要求する。


) これらのオプションは、各グループ ポリシーとユーザ名に対して互いに排他的です。1 つだけ使用してください。


表 39-6 は、各グループ ポリシーとユーザ名で使用可能な smart tunnel コマンドをリストしています。各グループ ポリシーとユーザ名のコンフィギュレーションは、一度にこれらのコマンドのうち 1 つだけをサポートします。そのため、1 つのコマンドを入力すると、セキュリティ アプライアンスが、該当するグループ ポリシーまたはユーザ名のコンフィギュレーションに存在するコマンドを新しいコマンドで置き換えます。または、最後のコマンドの場合、グループ ポリシーまたはユーザ名にすでに存在する smart-tunnel コマンドが単純に削除されます。

 

表 39-6 グループ ポリシーとユーザ名 webvpn の Smart Tunnel コマンド

コマンド
説明

smart-tunnel auto-start list

ユーザのログイン時に自動的にスマート トンネル アクセスを開始します。

smart-tunnel enable list

ユーザのログイン時にスマート トンネル アクセスをイネーブルにしますが、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを手動で開始するようにユーザに要求する必要があります。

smart-tunnel disable

スマート トンネル アクセスを禁止します。

no smart-tunnel [ auto-start list | enable list | disable ]

smart-tunnel コマンドがグループ ポリシーまたはユーザ名コンフィギュレーションから削除され、[ no ] smart-tunnel コマンドがデフォルト グループ ポリシーから継承されます。 no smart-tunnel コマンドの後にあるキーワードはオプションですが、これらのキーワードにより削除対象をその名前の smart-tunnel コマンドに限定します。

詳細については、使用するオプションについて記載している項を参照してください。

スマート トンネルの自動サインオンの設定

以降のセクションでは、スマート トンネル接続で自動サインオンを提供するサーバのリストを作成し、リストをグループ ポリシーまたはユーザ名に割り当てる方法について説明します。

スマート トンネルの自動サインオンのためのサーバの指定

[Add Smart Tunnel Auto Sign-on Server List] ダイアログボックスでは、スマート トンネルを確立するときにログインクレデンシャルの送信を自動化する、1 つ以上のサーバ リストを追加できます。[Edit Smart Tunnel Auto-signon Server List] ダイアログボックスでは、これらのリストの内容を変更できます。

スマート トンネル接続でクレデンシャルの送信を自動化するサーバのリストを作成するには、webvpn コンフィギュレーション モードでコマンドを入力します。

[ no ] smart-tunnel auto-signon list [ use-domain ] { ip ip-address [ netmask ] | host hostname-mask }

リストに追加する各サーバに対してこのコマンドを使用します。リストからエントリを削除するには、このコマンドの no 形式を使用し、リストと、セキュリティ アプライアンスのコンフィギュレーションに現れる IP アドレスまたはホスト名を指定します。スマート トンネル自動サインオン リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn smart-tunnel コマンドを入力します。

サーバのリスト全体をセキュリティ アプライアンス コンフィギュレーションから削除するには、次のように、リストだけを指定してこのコマンドの no 形式を使用します。

no smart-tunnel auto-signon list

list はリモート サーバのリストの名前です。名前にスペースが含まれている場合は、名前を引用符で囲みます。文字列は最大 64 文字です。コンフィギュレーション内にリストが存在しない場合、セキュリティ アプライアンスはリストを作成します。存在する場合は、エントリをそのリストに追加します。その内容や目的を他のリストから区別するために役立つ名前を割り当てます。

use-domain (オプション)は、認証で必要な場合にユーザ名に Windows ドメインを追加します。このキーワードを入力する場合、スマート トンネル リストを 1 つ以上のグループ ポリシーまたはユーザ名に割り当てるときに、必ずドメイン名を指定します。

ip は、サーバを IP アドレスとネットマスクで指定します。

ip-address [ netmask ] は、自動認証するホストのサブネットワークを示します。

host は、ホスト名またはワイルドカード マスクでサーバを指定します。このオプションを使用すると、IP アドレスが動的に変更されたときにコンフィギュレーションを変更する必要がなくなります。

hostname-mask は、自動認証するホスト名またはワイルドカード マスクです。

次のコマンドは、サブネット内のすべてのホストを追加し、認証で必要な場合に Windows ドメインをユーザ名に追加します。

asa2(config-webvpn)# smart-tunnel auto-signon HR use-domain ip 192.32.22.56 255.255.255.0
 

次のコマンドは、そのエントリをリストから削除します。

asa2(config-webvpn)# no smart-tunnel auto-signon HR use-domain ip 192.32.22.56 255.255.255.0
 

上のコマンドでは、削除したエントリがリスト内の唯一のエントリである場合、HR という名前のリストも削除されます。そうでない場合、次のコマンドはセキュリティ アプライアンス コンフィギュレーションからリスト全体を削除します。

asa2(config-webvpn)# no smart-tunnel auto-signon HR
 

次のコマンドは、ドメイン内のすべてのホストを、intranet という名前のスマート トンネル自動サインオン リストに追加します。

asa2(config-webvpn)# smart-tunnel auto-signon intranet host *.exampledomain.com
 

次のコマンドは、そのエントリをリストから削除します。

asa2(config-webvpn)# no smart-tunnel auto-signon intranet host *.exampledomain.com
 

スマート トンネルの自動サインオン サーバ リストの設定後、リストをアクティブにするには、次のセクションで説明するように、グループ ポリシーまたはローカル ユーザ ポリシーにリストを割り当てる必要があります。

スマート トンネル自動サインオン サーバ エントリの追加または編集

クライアントレス(ブラウザベースの)SSL VPN セッションで、スマート トンネル自動サインオンをイネーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで smart-tunnel auto-signon enable コマンドを使用します。

[ no ] smart-tunnel auto-signon enable list [ domain domain ]

smart-tunnel auto-signon enable コマンドをグループ ポリシーまたはユーザ名から削除し、デフォルト グループ ポリシーから継承するには、このコマンドの no 形式を使用します。

list は、セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するスマート トンネル自動サインオン リストの名前です。SSL VPN コンフィギュレーション内のスマート トンネル自動サインオン リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn smart-tunnel コマンドを入力します。

domain domain (オプション)は、認証の際にユーザ名に追加するドメインの名前です。ドメインを入力する場合、リスト エントリに use-domain キーワードを入力します。

スマート トンネル自動サインオン機能は、Microsoft WININET ライブラリを使用して HTTP と HTTPS で通信するアプリケーションだけをサポートします。たとえば、Microsoft Internet Explorer は WININET ダイナミック リンク ライブラリを使用して Web サーバと通信します。

まず smart-tunnel auto-signon list コマンドを使用して、サーバのリストを作成する必要があります。グループ ポリシーまたはユーザ名には、リストを 1 つだけ割り当てることができます。

次のコマンドは、HR という名前のスマート トンネル自動サインオン リストをイネーブルにします。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# smart-tunnel auto-signon enable HR
hostname(config-group-webvpn)
 

次のコマンドは、HR という名前のスマート トンネル自動サインオン リストをイネーブルにし、CISCO という名前のドメインを認証の際にユーザ名に追加します。

hostname(config-group-webvpn)# smart-tunnel auto-signon enable HR domain CISCO
 

次のコマンドは、HR という名前のスマート トンネル自動サインオン リストをグループ ポリシーから削除し、デフォルト グループ ポリシーからスマート トンネル自動サインオン リスト コマンドを継承します。

hostname(config-group-webvpn)# no smart-tunnel auto-signon enable HR
 

スマート トンネル アクセスの自動化

ユーザのログイン時にスマート トンネル アクセスを自動的に開始するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで次のコマンドを入力します。

smart-tunnel auto-start list

list は、セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。複数のスマート トンネル リストをグループ ポリシーまたはユーザ名に割り当てることはできません。SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。

smart-tunnel コマンドをグループ ポリシーまたはユーザ名から削除し、[ no ] smart-tunnel コマンドをデフォルト グループ ポリシーから継承するには、このコマンドの no 形式を使用します。

no smart-tunnel

次のコマンドは、apps1 という名前のスマート トンネル リストをグループ ポリシーに割り当てます。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# smart-tunnel auto-start apps1
 

スマート トンネル アクセスのイネーブル化とディセーブル化

デフォルトでは、スマート トンネルはディセーブルになっています。スマート トンネル アクセスをイネーブルにした場合、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを手動で開始する必要があります。 smart-tunnel enable list コマンドの代わりに、前の項で説明した smart-tunnel auto-start list コマンドを入力した場合は、ユーザはスマート トンネル アクセスを手動で開始する必要はありません。

スマート トンネル アクセスをイネーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで次のコマンドを入力します。

smart-tunnel [ enable list | disable ]

list は、セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。複数のスマート トンネル リストをグループ ポリシーまたはユーザ名に割り当てることはできません。SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。

smart-tunnel コマンドをグループ ポリシーまたはローカル ユーザ ポリシーから削除し、[ no ] smart-tunnel コマンドをデフォルト グループ ポリシーから継承するには、このコマンドの no 形式を使用します。

no smart-tunnel

次のコマンドは、apps1 という名前のスマート トンネル リストをグループ ポリシーに割り当てます。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# smart-tunnel enable apps1
 

次のコマンドは、スマート トンネル アクセスをディセーブルにします。

hostname(config-group-webvpn)# smart-tunnel disable
 

ポート転送について

ポート転送により、ユーザはクライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションにアクセスできます。TCP ベースのアプリケーションには次のようなものがあります。

Lotus Notes

Microsoft Outlook

Microsoft Outlook Express

Perforce

Sametime

Secure FTP(FTP over SSH)

SSH

TELNET

Windows Terminal Service

XDDTS

その他の TCP ベースのアプリケーションも動作する可能性はありますが、シスコではテストを行っていません。UDP を使用するプロトコルは動作しません。

ポート転送を使用する理由

ポート転送は、クライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションをサポートするためのレガシー テクノロジーです。ポート転送テクノロジーをサポートする設定を事前に構築している場合は、ポート転送の使用を選択することもできます。

ポート転送に対する次の代替手段を検討してください。

スマート トンネル アクセスには、ユーザにとって次の利点があります。

スマート トンネルはプラグインよりも高いパフォーマンスを提供します。

スマート トンネルでは、ポート転送と異なり、ローカル アプリケーションのローカル ポートへのユーザ接続が必要でないため、ユーザの操作が簡略化されます。

スマート トンネルでは、ポート転送と異なり、ユーザが管理者特権を持っている必要がありません。

プラグインを使用した場合、ポート転送やスマート トンネル アクセスと異なり、クライアント アプリケーションをリモート コンピュータにインストールする必要がありません。

セキュリティ アプライアンスでポート転送を設定する場合、アプリケーションが使用するポートを指定します。スマート トンネル アクセスを設定する場合、実行ファイルの名前またはそのパスを指定します。

ポート転送の要件と制限事項

ポート転送には次の制限が適用されます。

リモート ホストは、次のいずれかの OS の 32 ビット バージョンを実行している必要があります。

Microsoft Windows Vista、Windows XP SP2 または SP3、または Windows 2000 SP4

Apple Mac OS X 10.4 または 10.5 と Safari 2.0.4(419.3)

Fedora Core 4

また、リモート ホストで Sun JRE 1.5 以降が動作していることも必要です。

Mac OS X 10.5.3 上の Safari のブラウザベースのユーザは、セキュリティ アプライアンスの URL で使用するクライアント証明書を、一度は後続のスラッシュあり、一度はスラッシュなしで指定する必要があります。これは、Safari が URL を解釈する方法によるものです。次に例を示します。

https://example.com/

https://example.com

詳細については、「 Safari, Mac OS X 10.5.3: Changes in client certificate authentication 」を参照してください。

ポート転送またはスマート トンネルを使用する Microsoft Windows Vista のユーザは、ASA の URL を信頼済みサイト ゾーンに追加する必要があります。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択します。Vista ユーザは、保護モードをディセーブルにしてスマート トンネル アクセスを利用することもできます。ただし、攻撃に対してコンピュータがより脆弱になるため、この方法はお勧めしません。

ポート転送は、スタティック TCP ポートを使用する TCP アプリケーションだけをサポートしています。ダイナミック ポートまたは複数の TCP ポートを使用するアプリケーションはサポートしていません。たとえば、ポート 22 を使用する SecureFTP は、クライアントレス SSL VPN のポート転送を介して動作しますが、ポート 20 と 21 を使用する標準 FTP は動作しません。

ポート転送では、UDP を使用するプロトコルはサポートされません。

セキュリティ アプライアンスは、Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。MAPI プロトコルを使用する Microsoft Outlook Exchange 通信には、リモート ユーザは AnyConnect を使用する必要があります。

ステートフル フェールオーバーでは、Application Access(ポート転送またはスマート トンネル アクセス)を使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

ポート転送は、Personal Digital Assistants(PDA; 携帯情報端末)への接続はサポートしていません。

ポート転送を使用するには、Java アプレットをダウンロードしてローカル クライアントを設定する必要があります。そのためにはローカル システムに対する管理者権限が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性が高くなります。


注意 ポート転送(アプリケーション アクセス)およびデジタル証明書をサポートするために、リモート コンピュータに Sun Microsystems Java Runtime Environment(JRE)1.5.x 以降がインストールされていることを確認してください。JRE 1.4.x が動作していて、ユーザがデジタル証明書を使用して認証される場合、アプリケーションは起動に失敗します。これは、JRE が Web ブラウザの証明書ストアにアクセスできないためです。

Java アプレットは、エンド ユーザの HTML インターフェイスにあるアプレット独自のウィンドウに表示されます。このウィンドウには、ユーザが使用できる転送ポートのリストの内容、アクティブなポート、および送受信されたトラフィック量(バイト単位)が表示されます。

ポート転送も ASDM Java アプレットも、デジタル証明書を使用したユーザ認証で動作しません。Java には、Web ブラウザ キーストアにアクセスする機能はありません。このため、Java はブラウザがユーザ認証に使用する証明書を使用できず、アプリケーションは起動できません。

ポート転送のための DNS の設定

ポート転送は、リモート サーバのドメイン名またはその IP アドレスを、解決および接続のために ASA に転送します。つまり、ポート転送アプレットはアプリケーションからの要求を受け取り、ASA に転送します。ASA は、ポート転送アプレットの代わりに適切な DNS クエリーを実行し、接続を確立します。ポート転送アプレットは、ASA に対してだけ DNS クエリーを実行します。ポート転送アプレットは、ポート転送アプリケーションが DNS クエリーを試みたときに、クエリーがループバック アドレスにリダイレクトされるように、ホスト ファイルを更新します。ポート転送アプレットからの DNS 要求を受け付けるように、セキュリティ アプライアンスを次のように設定します。


ステップ 1 グローバル コンフィギュレーション モードで dns server-group コマンドを使用し、DNS サーバ グループ モードを開始します。次に domain-name コマンドを使用してドメイン名を指定し、 name-server コマンドを使用してドメイン名を IP アドレスに名前解決します。ドメイン名のデフォルト設定は DefaultDNS です。

次に、example.com という名前の DNS サーバ グループを設定する例を示します。

hostname(config)# dns server-group example.com
hostname(config-dns-server-group)# domain-name example.com
hostname(config-dns-server-group)# name-server 192.168.10.10
 

ステップ 2 (デフォルトの [DefaultDNS] 以外のドメイン名を使用している場合にだけ必要です)。トンネル グループ webvpn コンフィギュレーション モードで dns-group コマンドを使用し、トンネル グループが使用するドメイン名を指定します。セキュリティ アプライアンスは、デフォルトではクライアントレス接続に対し DefaultWEBVPNGroup をデフォルト トンネル グループとして割り当てます。セキュリティ アプライアンスがそのトンネル グループを使用してクライアントレス接続に設定を割り当てる場合には、この手順を実行します。そうでない場合は、クライアントレス接続用に設定された各トンネルに対してこの手順を実行します。

次に例を示します。

asa2(config-dns-server-group)# exit
asa2(config)# tunnel-group DefaultWEBVPNGroup webvpn-attributes
asa2(config-tunnel-webvpn)# dns-group example.com


 

ポート転送に適格なアプリケーションの追加

各セキュリティ アプライアンスのクライアントレス SSL VPN コンフィギュレーションは、 ポート転送リスト をサポートしています。それぞれのリストでは、アクセスを提供するアプリケーションが使用するローカル ポートとリモート ポートを指定します。各グループ ポリシーまたはユーザ名は 1 つのポート転送リストだけをサポートするため、サポートされる各アプリケーションのセットをグループ化してリストを作成する必要があります。セキュリティ アプライアンス コンフィギュレーションにすでに存在するポート転送リストのエントリを表示するには、特権 EXEC モードで次のコマンドを入力します。

show run webvpn port-forward

ポート転送のエントリをリストに追加するには、webvpn コンフィギュレーション モードで次のコマンドを入力します。

port-forward { list_name local_port remote_server remote_port description }

list_name :クライアントレス SSL VPN セッションのユーザがアクセスするアプリケーションのセット(理論的には、転送 TCP ポートのセット)の名前です。名前を認識しない場合、セキュリティ アプライアンスは、ユーザが入力した名前を使用してリストを作成します。認識した場合は、そのポート転送のエントリをリストに追加します。最大文字数は 64 文字です。

local_port :ユーザのコンピュータで実行しているアプリケーションの TCP トラフィックをリスンするポートです。ローカル ポートの番号は、各ポート転送リストに対して一度だけ使用できます。1 ~ 65535 の範囲のポート番号またはポート名を入力します。既存サービスとの衝突を避けるためには、1024 より大きいポート番号を使用します。

remote_server :アプリケーションに対するリモート サーバの DNS 名または IP アドレスです。IP アドレスは、IPv4 形式または IPv6 形式で入力できます。特定の IP アドレス用にクライアント アプリケーションを設定しなくて済むように、DNS 名を使用することをお勧めします。


注意 トンネルを確立し、IP アドレスを解決するには、前のセクションの手順に従い、DNS 名が、トンネル グループに割り当てられた名前と一致する必要があります。前のセクションに記載されている、domain-name group コマンドと dns-group コマンドのデフォルト設定は、どちらも DefaultDNS です。

remote_port :このアプリケーションが接続するリモート サーバのポートです。これは、アプリケーションが使用する実際のポートです。1 ~ 65535 の範囲のポート番号またはポート名を入力します。

description :エンド ユーザの Port Forwarding Java アプレット画面に表示されるアプリケーション名または簡単な説明です。最大文字数は 64 文字です。

リストからエントリを削除するには、リストとローカル ポートの両方を指定して、このコマンドの no 形式を使用します。この場合、remoteserver、remoteport、および description はオプションです。

no port-forward list_name local_port

次のテーブルに、アプリケーションの例に使用される値を示します。

 

アプリケーション
ローカル ポート
サーバ DNS 名
リモート ポート
説明

IMAP4S e-mail

20143

IMAP4Sserver

143

Get Mail

SMTPS e-mail

20025

SMTPSserver

25

Send Mail

DDTS over SSH

20022

DDTSserver

22

DDTS over SSH

Telnet

20023

Telnetserver

23

Telnet

次の例は、これらのアプリケーションにアクセスを提供する SalesGroupPorts と呼ばれるポート転送リストを作成する方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# port-forward SalesGroupPorts 20143 IMAP4Sserver 143 Get Mail
hostname(config-webvpn)# port-forward SalesGroupPorts 20025 SMTPSserver 25 Send Mail
hostname(config-webvpn)# port-forward SalesGroupPorts 20022 DDTSserver 22 DDTS over SSH
hostname(config-webvpn)# port-forward SalesGroupPorts 20023 Telnetserver 23 Telnet
 

ポート転送リストの設定に続けて、次の項で説明するように、そのリストをグループ ポリシーまたはユーザ名に割り当てます。

ポート転送リストの割り当て

グループ ポリシーとユーザ名ごとに、次のいずれかを行うようにクライアントレス SSL VPN を設定できます。

ユーザのログイン時に自動的にポート転送アクセスを開始する。

ユーザのログイン時にポート転送アクセスをイネーブル化するが、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、ポート転送を手動で開始するようにユーザに要求する。


) これらのオプションは、各グループ ポリシーとユーザ名に対して互いに排他的です。1 つだけ使用してください。


表 39-7 は、各グループ ポリシーとユーザ名で使用可能な port-forward コマンドのリストです。各グループ ポリシーとユーザ名のコンフィギュレーションは、これらのコマンドを一度に 1 つだけサポートします。そのため、1 つのコマンドを入力すると、セキュリティ アプライアンスが、該当のグループ ポリシーまたはユーザ名のコンフィギュレーションに存在するコマンドを新しいコマンドで置き換えます。または、後者のコマンドの場合は、グループ ポリシーまたはユーザ名コンフィギュレーションから port-forward コマンドが単純に削除されます。

 

表 39-7 グループ ポリシーとユーザ名の webvpn port-forward コマンド

コマンド
説明

port-forward auto-start list_name

ユーザのログイン時に自動的にポート転送を開始します。

port-forward enable list_name

ユーザのログイン時にポート転送をイネーブルにしますが、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、ポート転送を手動で開始する必要があります。

port-forward disable

ポート転送を禁止します。

no port-forward [ auto-start list_name | enable list_name | disable ]

port-forward コマンドをグループ ポリシーまたはユーザ名コンフィギュレーションから削除し、[ no ] port-forward コマンドをデフォルト グループ ポリシーから継承します。 no port-forward コマンドの後にあるキーワードはオプションですが、これらのキーワードは削除対象をその名前の port-forward コマンドに限定します。

詳細については、使用するオプションについて記載している項を参照してください。

ポート転送の自動化

ユーザのログイン時にポート転送を自動的に開始するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで次のコマンドを入力します。

port-forward auto-start list_name

list_name は、セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するポート転送リストの名前です。複数のポート転送リストをグループ ポリシーまたはユーザ名に割り当てることはできません。セキュリティ アプライアンス コンフィギュレーションに存在するポート転送リストを表示するには、特権 EXEC モードで show run webvpn port-forward コマンドを入力します。

port-forward コマンドをグループ ポリシーまたはユーザ名から削除し、[ no ] port-forward コマンドをデフォルト グループ ポリシーから継承するには、このコマンドの no 形式を使用します。

no port-forward

次のコマンドは、apps1 という名前のポート転送リストをグループ ポリシーに割り当てます。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# port-forward auto-start apps1
 

ポート転送のイネーブル化とディセーブル化

デフォルトでは、ポート転送はディセーブルになっています。ポート転送をイネーブルにした場合、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、ポート転送を手動で開始する必要があります。 port-forward enable list_name コマンドの代わりに、前の項で説明した port-forward auto-start list_name コマンドを入力した場合は、ユーザはポート転送を使用するために手動で開始する必要がありません。

ポート転送をイネーブルまたはディセーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで次のコマンドを入力します。

port-forward [ enable list_name | disable ]

list_name は、セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するポート転送リストの名前です。複数のポート転送リストをグループ ポリシーまたはユーザ名に割り当てることはできません。ポート転送リスト エントリを表示するには、特権 EXEC モードで show running-config port-forward コマンドを入力します。

port-forward コマンドをグループ ポリシーまたはユーザ名から削除し、[ no ] port-forward コマンドをデフォルト グループ ポリシーから継承するには、このコマンドの no 形式を使用します。

no port-forward

次のコマンドは、apps1 という名前のポート転送リストをグループ ポリシーに割り当てます。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# port-forward enable apps1
 

次のコマンドはポート転送をディセーブルにします。

hostname(config-group-webvpn)# port-forward disable
 

Application Access ユーザへの注記

次の項では、Application Access の使用についての情報を提供します。

Vista での Application Access の使用

hosts ファイル エラーを回避するための Application Access の終了

Application Access 使用時の hosts ファイル エラーからの回復


) セキュリティ アプライアンスは、Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。スマート トンネル機能でもポート転送機能でも、MAPI はサポートされていません。MAPI プロトコルを使用する Microsoft Outlook Exchange 通信には、リモート ユーザは AnyConnect を使用する必要があります。


Vista での Application Access の使用

スマート トンネルまたはポート転送を使用する Microsoft Windows Vista ユーザは、ASA の URL を信頼済みサイト ゾーンに追加する必要があります。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択します。Vista ユーザは、保護モードをディセーブルにしてスマート トンネル アクセスを利用することもできます。ただし、攻撃に対してコンピュータがより脆弱になるため、この方法はお勧めしません。

hosts ファイル エラーを回避するための Application Access の終了

Application Access の実行の妨げになる hosts ファイル エラーを回避するために、Application Access を使用し終えたら、[Application Access ]ウィンドウを必ず閉じるようにします。ウィンドウを閉じるには、[Close] アイコンをクリックします。

Application Access 使用時の hosts ファイル エラーからの回復

[Application Access] ウィンドウを正しく閉じないと、次のエラーが発生する可能性があります。

次に Application Access を起動しようとしたときに、Application Access がディセーブルになっていて、 「Backup HOSTS File Found」 というエラー メッセージが表示される。

アプリケーションをローカルで実行している場合でも、アプリケーション自体がディセーブルになっているか、または動作しない。

このようなエラーは、[Application Access] ウィンドウを不適切な方法で終了したことが原因です。次の例を参考にしてください。

Application Access の使用中に、ブラウザがクラッシュした。

Application Access の使用中に、停電またはシステム シャットダウンが発生した。

作業中に [Application Access] ウィンドウを最小化し、このウィンドウがアクティブな状態(ただし最小化されている)でコンピュータをシャットダウンした。

この項は、次の内容で構成されています。

hosts ファイルの概要

不正な Application Access の終了

クライアントレス SSL VPN による hosts ファイルの自動再設定

手動による hosts ファイルの再設定

hosts ファイルの概要

ローカル システム上の hosts ファイルは、IP アドレスをホスト名にマッピングしています。Application Access を起動すると、クライアントレス SSL VPN は hosts ファイルを修正し、クライアントレス SSL VPN 固有のエントリを追加します。[Application Access] ウィンドウを正しく閉じて Application Access を終了すると、hosts ファイルは元の状態に戻ります。

 

Application Access の起動前

hosts ファイルは元の状態です。

Application Access の起動時

クライアントレス SSL VPN は hosts ファイルを hosts.webvpn にコピーして、バックアップを作成します。

次に、クライアントレス SSL VPN は hosts ファイルを編集し、クライアントレス SSL VPN 固有の情報を挿入します。

Application Access の終了時

クライアントレス SSL VPN はバックアップ ファイルを hosts ファイルにコピーして、hosts ファイルを元の状態に戻します。

クライアントレス SSL VPN は、hosts.webvpn を削除します。

Application Access の終了後

hosts ファイルは元の状態です。


) Microsoft アンチスパイウェア ソフトウェアは、ポート転送 Java アプレットによる hosts ファイルの変更をブロックします。アンチスパイウェア ソフトウェアの使用時に hosts ファイルの変更を許可する方法の詳細については、www.microsoft.com を参照してください。


不正な Application Access の終了

Application Access が正しく終了しなかった場合、 hosts ファイルは、クライアントレス SSL VPN 用にカスタマイズされた状態のままになっています。ユーザが次に Application Access を起動するときに、クライアントレス SSL VPN は hosts.webvpn ファイルを検索して Application Access の状態をチェックします。hosts.webvpn ファイルが検出されると、 「Backup HOSTS File Found」 というエラー メッセージが表示され(図 39-5 を参照)、Application Access が一時的にディセーブルになります。

Application Access を正しくシャットダウンしないと、リモート アクセス クライアント/サーバ アプリケーションが不安定な状態のままになります。クライアントレス SSL VPN を使用せずにこれらのアプリケーションを起動しようとすると、正しく動作しない場合があります。通常の接続先のホストが使用できなくなる場合があります。一般にこのような状況は、自宅からリモートでアプリケーションを実行し、[Application Access] ウィンドウを終了せずにコンピュータをシャットダウンし、その後職場でそのアプリケーションを実行しようとした場合に発生します。

クライアントレス SSL VPN による hosts ファイルの自動再設定

リモート アクセス サーバに接続できる場合は、hosts ファイルを再設定し、Application Access やアプリケーションを再度イネーブルにするために、次の手順を実行します。


ステップ 1 クライアントレス SSL VPN を起動してログインします。ホームページが開きます。

ステップ 2 [Applications Access] リンクをクリックします。 「Backup HOSTS File Found」 というメッセージが表示されます (図 39-5 を参照)。

図 39-5 Backup HOSTS File Found メッセージ

 

ステップ 3 次のいずれかのオプションを選択します。

[Restore from backup]:クライアントレス SSL VPN は強制的に正しくシャットダウンされます。クライアントレス SSL VPN は バックアップ ファイル hosts.webvpn を hosts ファイルにコピーし、hosts ファイルを元の状態に戻してから、hosts.webvpn を削除します。その後、Application Access を再起動する必要があります。

[Do nothing]:Application Access は起動しません。リモート アクセスのホームページが再び表示されます。

[Delete backup]:クライアントレス SSL VPN は hosts.webvpn ファイルを削除し、hosts ファイルを、クライアントレス SSL VPN 用にカスタマイズされた状態にしておきます。元の hosts ファイル設定は失われます。Application Access は、クライアントレス SSL VPN 用にカスタマイズされた hosts ファイルを新しいオリジナルとして使用して起動します。このオプションは、hosts ファイル設定が失われても問題がない場合にだけ選択してください。Application Access が不適切にシャットダウンされた後に、ユーザまたはユーザが使用するプログラムによって hosts ファイルが編集された可能性がある場合は、他の 2 つのオプションのいずれかを選択するか、または hosts ファイルを手動で編集します (「手動による hosts ファイルの再設定」を参照)。


 

手動による hosts ファイルの再設定

現在の場所からリモート アクセス サーバに接続できない場合や、カスタマイズした hosts ファイルの編集内容を失いたくない場合は、次の手順に従って、hosts ファイルを再設定し、Application Access とアプリケーションを再度イネーブルにします。


ステップ 1 hosts ファイルを見つけて編集します。最も一般的な場所は、c:\windows\sysem32\drivers\etc\hosts です。

ステップ 2 # added by WebVpnPortForward という文字列が含まれている行があるかどうかをチェックします。
この文字列を含む行がある場合、hosts ファイルはクライアントレス SSL VPN 用にカスタマイズされています。hosts ファイルがクライアントレス SSL VPN 用にカスタマイズされている場合、次の例のようになっています。

123.0.0.3 server1 # added by WebVpnPortForward
123.0.0.3 server1.example.com vpn3000.com # added by WebVpnPortForward
123.0.0.4 server2 # added by WebVpnPortForward
123.0.0.4 server2.example.com.vpn3000.com # added by WebVpnPortForward
123.0.0.5 server3 # added by WebVpnPortForward
123.0.0.5 server3.example.com vpn3000.com # added by WebVpnPortForward
 
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 cisco.example.com # source server
# 38.25.63.10 x.example.com # x client host
 
123.0.0.1 localhost
 
 

ステップ 3 # added by WebVpnPortForward という文字列が含まれている行を削除します。

ステップ 4 hosts ファイルを保存してから閉じます。

ステップ 5 クライアントレス SSL VPN を起動してログインします。

ホームページが表示されます。

ステップ 6 [Application Access] リンクをクリックします。

[Application Access] ウィンドウが表示されます。これで Application Access がイネーブルになります。


 

ファイル アクセスの設定

クライアントレス SSL VPN は、リモート ユーザに HTTPS ポータル ページを提供しています。このページは、セキュリティ アプライアンスで実行するプロキシ CIFS クライアントまたは FTP クライアント(あるいはその両方)と連動しています。クライアントレス SSL VPN は、CIFS または FTP を使用して、ユーザが認証の要件を満たしているファイルのプロパティがアクセスを制限しない限り、ネットワーク上のファイルへのネットワーク アクセスをユーザに提供します。CIFS クライアントおよび FTP クライアントは透過的です。クライアントレス SSL VPN から送信されるポータル ページでは、ファイル システムに直接アクセスしているかのように見えます。

ユーザがファイルのリストを要求すると、クライアントレス SSL VPN は、そのリストが含まれるサーバの IP アドレスをマスター ブラウザに指定されているサーバに照会します。セキュリティ アプライアンスはリストを入手してポータル ページ上のリモート ユーザに送信します。

クライアントレス SSL VPN は、ユーザの認証要件とファイルのプロパティに応じて、ユーザが次の CIFS および FTP の機能を呼び出すことができるようにします。

ドメインとワークグループ、ドメインまたはワークグループ内のサーバ、サーバ内部の共有、および共有部分またはディレクトリ内のファイルのナビゲートとリスト

ディレクトリの作成

ファイルのダウンロード、アップロード、リネーム、移動、および削除

セキュリティ アプライアンスは、通常セキュリティ アプライアンスと同じネットワーク上か、またはこのネットワークからアクセス可能な場所にあるマスター ブラウザ、WINS サーバ、または DNS サーバを使用します。これは、リモート ユーザがポータル ページのメニューにある Browse Networks、またはクライアントレス SSL VPN セッション中に表示されるツールバー上の Browse Networks をクリックしたときにサーバ リストに対するクエリーがネットワークに送信されるようにするためです。

マスター ブラウザまたは DNS サーバは、セキュリティ アプライアンス上の CIFS/FTP クライアントに、クライアントレス SSL VPN がリモート ユーザに提供する、ネットワーク上のリソースのリストを表示します。


) ファイル アクセスを設定する前に、ユーザ アクセス用のサーバに共有を設定する必要があります。


CIFS ファイルのアクセス要件

\\server\share\subfolder\personal フォルダ にアクセスするには、ユーザが personal フォルダ よりも上のすべての場所に対するリスト アクセス権を持っている必要があります。

ファイル アクセスのサポートの追加

次の手順を実行して、ファイル アクセスを設定します。


) この手順のステップ 1 では、マスター ブラウザと WINS サーバの指定方法について説明します。代わりに、ASDM を使用して、ファイル共有へのアクセスを提供する URL リストとエントリを設定することもできます。

ASDM での共有の追加には、マスター ブラウザまたは WINS サーバは必要ありません。ただし、[Browse Networks] リンクへのサポートは提供されません。このコマンドを入力するときは、ホスト名または IP アドレスを使用して ServerA を参照できます。ホスト名を使用する場合、セキュリティ アプライアンスはホスト名を IP アドレスに解決するように DNS サーバに要求します。



ステップ 1 トンネル グループ webvpn コンフィギュレーション モードで、各 NetBIOS Name Server(NBNS)に対して nbns-server コマンドを 1 回使用します。この手順でネットワークまたはドメインをブラウズできます。

nbns-server { IPaddress | hostname } [ master ] [ timeout timeout ] [ retry retries ]

master は、マスター ブラウザに指定されるコンピュータです。マスター ブラウザは、コンピュータと共有リソースのリストを保持します。コマンドのマスター部分を入力せずにこのコマンドで指定する任意の NBNS サーバは、Windows Internet Naming Server(WINS)である必要があります。まずマスター ブラウザを指定してから、WINS サーバを指定してください。マスター ブラウザを含め、接続プロファイル用のサーバは最大 3 つまで指定できます。

retries は、NBNS サーバに対するクエリーのリトライ回数です。セキュリティ アプライアンスは、この回数だけサーバのリストを再利用してからエラー メッセージを送信します。デフォルト値は 2 で、範囲は 1 ~ 10 です。

timeout は、セキュリティ アプライアンスが、クエリーを再度サーバに送信する前に待機する秒数です。このとき、サーバが 1 つしかない場合は同じサーバに送信し、サーバが複数存在する場合は別のサーバに送信します。デフォルトのタイムアウトは 2 秒で、範囲は 1 ~ 30 秒です。

次に例を示します。

hostname(config-tunnel-webvpn)# nbns-server 192.168.1.20 master
hostname(config-tunnel-webvpn)# nbns-server 192.168.1.41
hostname(config-tunnel-webvpn)# nbns-server 192.168.1.47
 

) 接続プロファイル コンフィギュレーションにすでに存在する NBNS サーバを表示するには、show tunnel-group webvpn-attributes コマンドを使用します。


ステップ 2 (オプション)クライアントレス SSL VPN ポータル ページをリモート ユーザに送信するために符号化する文字セットを指定する character-encoding コマンドを使用します。デフォルトでは、リモート ブラウザ上の符号化タイプ セットでクライアントレス SSL VPN ポータル ページの文字セットが決定されるため、ユーザは、ブラウザで符号化を適切に実行するために必要となる場合に限り、文字の符号化を設定する必要があります。

character-encoding charset

charset は、最大 40 文字からなる文字列で、 http://www.iana.org/assignments/character-sets で指定されているいずれかの有効な文字セットと同じです。このページのリストにある文字セットの名前またはエイリアスのいずれかを使用できます。例には、iso-8859-1、shift_jis、および ibm850 が含まれています。


) character-encoding 値および file-encoding 値では、ブラウザが使用するフォント ファミリを除外しません。これらの値のいずれかに対し、次の例で示すように日本語の Shift_JIS 文字符号化を使用する場合は、webvpn カスタマイゼーション コマンド モードで page style コマンドを使用してフォント ファミリを置き換えるか、webvpn カスタマイゼーション コマンド モードで no page style コマンドを入力してフォント ファミリを削除することにより、設定を補う必要があります。


次に、日本語の Shift_JIS 文字をサポートしてフォント ファミリを削除し、さらにデフォルトの背景色を保持するための character-encoding アトリビュートを設定する例を示します。

hostname(config-webvpn)# character-encoding shift_jis
hostname(config-webvpn)# customization DfltCustomization
hostname(config-webvpn-custom)# page style background-color:white
 

ステップ 3 (オプション)特定の CIFS サーバのクライアントレス SSL VPN ポータル ページの符号化を指定する file-encoding コマンドを使用します。このため、これ以外の文字の符合化が必要な各 CIFS サーバに対し、異なるファイル符号化値を使用できます。

file-encoding {server-name | server-ip-address } charset

次の例では、IBM860(エイリアス「CP860」)文字をサポートするために、CIFS サーバ 10.86.5.174 にファイル符号化アトリビュートを設定しています。

hostname(config-webvpn)# file-encoding 10.86.5.174 cp860
 

これらのコマンドの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。


 

SharePoint アクセスのためのクロックの正確性の確保

セキュリティ アプライアンス上のクライアントレス SSL VPN サーバは、クッキーを使用してエンドポイント上の Microsoft Word などのアプリケーションと対話します。セキュリティ アプライアンスの時刻が正しくないと、セキュリティ アプライアンスによって設定されたクッキーの有効期限が原因で、SharePoint サーバ上でドキュメントにアクセスするときに、Word が正しく動作しないことがあります。この動作不良を防ぐには、ASA のクロックを正しく設定してください。NTP サーバと動的に時刻を同期するようにセキュリティ アプライアンスを設定することをお勧めします。手順については、「 日付と時刻の設定」を参照してください。

PDA でのクライアントレス SSL VPN の使用

Pocket PC または他の認定された携帯情報端末からクライアントレス SSL VPN にアクセスすることができます。セキュリティ アプライアンスの管理者やクライアントレス SSL VPN ユーザは、特に何もしなくても、認定された PDA でクライアントレス SSL VPN を使用することができます。

シスコでは次の PDA プラットフォームを認定しています。

HP iPaq H4150
Pocket PC 2003
Windows CE 4.20.0、ビルド 14053
Pocket Internet Explore(PIE)
ROM バージョン 1.10.03ENG
ROM 日付 2004 年 7 月 16 日

PDA のバージョンによって、クライアントレス SSL VPN に次のような相違点があります。

ポップアップのクライアントレス SSL VPN ウィンドウはバナー Web ページが置き換わっている。

標準のクライアントレス SSL VPN フローティング ツールバーがアイコン バーに置き換わっている。このバーには、[Go]、[Home]、および [Logout] の各種ボタンが表示されます。

メインのクライアントレス SSL VPN ポータル ページに [Show Toolbar] アイコンがない。

クライアントレス SSL VPN のログアウト時に、警告メッセージで PIE ブラウザを正しく閉じる手順が表示される。この手順に従わないで通常の方法でブラウザのウィンドウを閉じると、クライアントレス SSL VPN または HTTPS を使用するすべてのセキュアな Web サイトから PIE が切断されません。

クライアントレス SSL VPN は、OWA 2000 版および OWA 2003 版の基本認証をサポートする。OWA サーバに基本認証を設定せずに、クライアントレス SSL VPN ユーザがこのサーバにアクセスをしようとするとアクセスは拒否されます。

サポートされていないクライアントレス SSL VPN の機能

Application Access および他の Java 依存の各種機能

HTTP プロキシ

Cisco Secure Desktop の Microsoft Windows CE の限定的なサポート

Microsoft Outlook Web Access(OWA)5.5

Citrix Metaframe 機能(PDA に対応する Citrix ICA クライアント ソフトウェアが装備されていない場合)

クライアントレス SSL VPN を介した電子メールの使用

クライアントレス SSL VPN は、電子メールにアクセスする方法をいくつかサポートしています。ここでは、次の方式について説明します。

電子メール プロキシの設定

Web 電子メール:MS Outlook Web Access の設定

電子メール プロキシの設定

クライアントレス SSL VPN は、IMAP4S、POP3S、SMTPS の各電子メール プロキシをサポートしています。 表 39-8 に、電子メール プロキシ ユーザにグローバルに適用されるアトリビュートの一覧を示します。

 

表 39-8 クライアントレス SSL VPN を介した電子メール プロキシ ユーザ用のアトリビュート

機能
コマンド
デフォルト値

電子メール プロキシで使用するように事前に設定されているアカウンティング サーバを指定します。

accounting-server-group

なし

電子メール プロキシ ユーザ用の認証方式(複数可)を指定します。

authentication

IMAP4S:メールホスト(必須)

POP3S メールホスト(必須)

SMTPS:AAA

電子メール プロキシで使用するように事前に設定されている認証サーバを指定します。

authentication-server-group

LOCAL

クライアントレス SSL VPN で使用するように事前に設定されている認可サーバを指定します。

authorization-server-group

なし

ユーザが接続するには、正常に認可される必要があります。

authorization-required

無効

認可のユーザ名として使用するピア証明書の DN を指定します。

authorization-dn-attributes

プライマリ アトリビュート:CN

セカンダリ アトリビュート:OU

使用するグループ ポリシーの名前を指定します。

default-group-policy

DfltGrpPolicy

指定したインターフェイスで電子メール プロキシをイネーブルにします。

enable

無効

電子メールと VPN のユーザ名とパスワードとの間の区切り記号を定義します。

name-separator

「:」(コロン)

未処理の未承認セッションの最大数を設定します。

outstanding

20

電子メール プロキシがリスンするポートを設定します。

port

IMAP4S:993

POP3S:995

SMTPS:9882

デフォルトの電子メール サーバを指定します。

server

なし

電子メールとサーバ名との間の区切り記号を定義します。

server-separator

「@」

2.電子メール クライアント Eudora では、SMTPS 接続のデフォルトのポートが 988 の場合でも、SMTPS はポート 465 だけで動作します。

電子メール プロキシの証明書認証

MS Outlook、MS Outlook Express、Eudora などの電子メール クライアントは、証明書ストアにアクセスできません。

Web 電子メール:MS Outlook Web Access の設定

Web 電子メールとは、MS Outlook Web Access for Exchange 2000、Exchange 5.5、および Exchange 2003 のことです。中央サイトに MS Outlook Exchange Server が必要です。また、ユーザが次の作業を行う必要があります。

クライアントレス SSL VPN セッションで、ブラウザに電子メール サーバの URL を入力する。

プロンプトが表示されたら、電子メール サーバのユーザ名を domain\username 形式で入力する。

電子メールのパスワードを入力する。

クライアントレス SSL VPN のパフォーマンスの最適化

セキュリティ アプライアンスには、クライアントレス SSL VPN のパフォーマンスと機能性を最適化するいくつかの方法があります。パフォーマンスの改善には、キャッシングと Web オブジェクトの圧縮が含まれます。機能性の調整には、コンテンツ変換およびプロキシ バイパスの制限の設定が含まれます。APCF は、コンテンツ変換を調整するための追加的な方法を提供します。次の項では、次の機能について説明します。

キャッシングの設定

コンテンツ変換の設定

キャッシングの設定

キャッシングを行うと、クライアントレス SSL VPN のパフォーマンスが向上します。キャッシングによって頻繁に再利用されるオブジェクトはシステム キャッシュに保存され、コンテンツを繰り返しリライトしたり圧縮したりする必要性を減らすことができます。また、クライアントレス SSL VPN とリモート サーバ間のトラフィックが削減されるため、多くアプリケーションが今までよりはるかに効率的に実行できるようになります。

デフォルトでは、キャッシングはイネーブルになっています。次のように、webvpn モードからキャッシュ モードに入り、キャッシング コマンドを使用すると、ユーザの環境に応じてキャッシング動作をカスタマイズできます。

hostname(config)#
hostname(config)# webvpn
hostname(config-webvpn)# cache
 

次に、キャッシング コマンドとその機能のリストを示します。

 

キャッシング コマンド
機能

disable

キャッシングをディセーブルにします。

expiry-time

キャッシング オブジェクトの期限切れの時刻を設定します。

lmfactor

キャッシングされたオブジェクトを再検証するための用語を設定します。

max-object-size

キャッシュに入れるオブジェクトの最大サイズを設定します。

min-object-size

キャッシュに入れるオブジェクトの最小サイズを設定します。

cache-static-content

キャッシング可能なすべての Web オブジェクトをキャッシュに入れ、コンテンツはリライトの対象にしません。例には、イメージや PDF ファイルが含まれます。

コンテンツ変換の設定

デフォルトでは、セキュリティ アプライアンスはコンテンツ変換およびリライト エンジンを通じ、JavaScript および Java などの高度な要素からプロキシ HTTP へのトラフィックを含む、すべてのクライアントレス SSL VPN トラフィックを処理します。このようなトラフィックでは、ユーザがアプリケーションに SSL VPN デバイス内部からアクセスしているか、これらに依存せずにアクセスしているかによって、セマンティックやアクセス コントロールの規則が異なる場合があります。

Web リソースによっては、高度に個別の処理が要求される場合があります。次の項では、このような処理を提供する機能について説明します。

リライトされた Java コンテンツに署名するための証明書の設定

コンテンツのリライトのディセーブル化

プロキシ バイパスの使用

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

組織や関係する Web コンテンツの要件に応じてこれらの機能のいずれかを使用する場合があります。

リライトされた Java コンテンツに署名するための証明書の設定

クライアントレス SSL VPN によって変換された Java オブジェクトは、その後、トラストポイントに関連付けられている PKCS12 デジタル証明書を使用して署名することができます。この証明書は、 crypto ca import コマンドと java-trustpoint コマンドの組み合せを使用して、インポートして使用します。

次のコマンド例は、mytrustpoint という名前のトラストポイントの作成、および Java オブジェクトに署名するための割り当てを示しています。

hostname(config)# crypto ca import mytrustpoint pkcs12 mypassphrase
Enter the base 64 encoded PKCS12.
End with the word “quit” on a line by itself.
[ PKCS12 data omitted ]
quit
INFO: Import PKCS12 operation completed successfully.
hostname(config)# webvpn
hostname(config)# java-trustpoint mytrustpoint
 

コンテンツのリライトのディセーブル化

公開 Web サイトなどの一部のアプリケーションや Web リソースによっては、セキュリティ アプライアンスを通過しない設定が求められる場合があります。このため、セキュリティ アプライアンスでは、特定のサイトやアプリケーションをセキュリティ アプライアンスを通過せずにブラウズできるリライト規則を作成できます。これは、IPSec VPN 接続のスプリット トンネリングと同様の機能です。

webvpn モードで、 disable オプションを指定して rewrite コマンドを使用し、クライアントレス SSL VPN トンネルの外部にアクセスするためのアプリケーションとリソースを指定します。

この rewrite コマンドは複数回使用できます。セキュリティ アプライアンスは、リライト規則を順序番号に従って検索するため、規則の順序番号は重要です。最下位の番号から順に検索していき、最初に一致した規則が適用されます。

プロキシ バイパスの使用

ユーザはプロキシ バイパスを使用するようにセキュリティ アプライアンスを設定できます。これは、プロキシ バイパスが提供する特別なコンテンツ リライト機能を使用した方が、アプリケーションや Web リソースをより有効活用できる場合に設定します。プロキシ バイパスは、コンテンツ リライトに代わる手法で、元のコンテンツへの変更を最小限にします。多くの場合、カスタム Web アプリケーションでこれを使用すると有効です。

このコマンドは複数回使用できます。エントリを設定する順序は重要ではありません。インターフェイスとパス マスク、またはインターフェイスとポートを組み合せることで、プロキシ バイパスの規則を一意に指定できます。

ネットワーク設定に応じてパス マスクではなくポートを使用してプロキシ バイパスを設定する場合、これらのポートからセキュリティ アプライアンスにアクセスできるようにファイアウォール設定を変更する必要がある場合があります。この制限を回避するにはパス マスクを使用します。ただし、このパス マスクは変更される場合があるため、複数の pathmask 文を使用して可能性を排除する必要があることに注意してください。

パスとは、URL の中で .com、.org、または他のドメイン名以降に記述されているすべてを指します。たとえば、www.mycompany.com/hrbenefits という URL では、 hrbenefits がパスになります。同様に、www.mycompany.com/hrinsurance という URL では、 hrinsurance がパスです。すべての hr サイトでプロキシ バイパスを使用する場合、/hr* のように * ワイルドカードとして使用すると、コマンドを何度も入力しなくてもすみます。

プロキシ バイパスを設定するには、webvpn モードで proxy-bypass コマンドを使用します。

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

クライアントレス SSL VPN 用の APCF プロファイルを使用すると、セキュリティ アプライアンスは標準以外のアプリケーションや Web リソースを処理できるようになり、クライアントレス SSL VPN 接続を介してこれらが正しく表示されます。APCF プロファイルには、特定のアプリケーションに送信するデータの送信時刻(処理前、処理後)、送信部分(ヘッダー、本文、要求、応答)、および送信内容を指定したスクリプトが含まれています。スクリプトは XML 形式で記述され、文字列とテキストの変換では sed(ストリーム エディタ)のシンタックスが使用されます。APCF プロファイルは、セキュリティ アプライアンス上で、数種類を同時に実行することができます。1 つの APCF プロファイルのスクリプト内に複数の APCF 規則を適用することができます。この場合、セキュリティ アプライアンスは、最も古い規則(設定履歴に基づいて)を最初に処理し、次に 2 番目に古い規則、その次は 3 番目という順序で処理します。

APCF プロファイルは、セキュリティ アプライアンスのフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、または TFTP サーバに保存できます。webvpn モードで apcf コマンドを使用すると、セキュリティ アプライアンス上にロードする APCF プロファイルを指定し、検索することができます。


) APCF プロファイルは、シスコの担当者のサポートが受けられる場合だけに設定することをお勧めします。


次の例は、フラッシュ メモリに保存されている apcf1.xml という名前の APCF プロファイルをイネーブルにする方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# apcf flash:/apcf/apcf1.xml
 

この例は、ポート番号 1440、パスが /apcf の myserver という名前の https サーバにある APCF プロファイル apcf2.xml をイネーブルにする方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# apcf https://myserver:1440/apcf/apcf2.xml
 

APCF シンタックス


注意 APCF プロファイルの使用方法を誤ると、パフォーマンスが低下したり、好ましくない表現のコンテンツになったりする場合があります。シスコのエンジニアリング部では、ほとんどの場合、APCF プロファイルを提供することで特定アプリケーションの表現上の問題を解決しています。

APCF プロファイルは、XML フォーマットおよび sed スクリプト シンタックスを使用します。 表 39-9 に、この場合に使用する XML タグを示します。

 

表 39-9 APCF XML タグ

タグ
用途

<APCF>...</APCF>

すべての APCF XML ファイルを開くための必須のルート要素。

<version>1.0</version>

APCF の実装バージョンを指定する必須のタグ。現在のバージョンは 1.0 だけです。

<application>...</application>

XML 記述の本文を囲む必須タグ。

<id> text </id>

この特定の APCF 機能を記述する必須タグ。

<apcf-entities>...</apcf-entities>

単一または複数の APCF エンティティを囲む必須タグ。

<js-object>...</js-object>

<html-object>...</html-object>

<process-request-header>...</preprocess-request-header>

<process-response-header>...</preprocess-response-header>

<preprocess-request-body>...</preprocess-request-body>

<postprocess-request-body>...</postprocess-request-body>

<preprocess-response-body>...</preprocess-response-body>

<postprocess-response-body>...</postprocess-response-body>

コンテンツの種類または実施される APCF 処理の段階を指定するタグ。これらのタグのうち 1 つは必須です。

<conditions>...</conditions>

処理前および処理後の子要素タグで、次の処理基準を指定します。

http-version(1.1、1.0、0.9 など)

http-method(get、put、post、webdav)

http-scheme(http、https、その他)

("a".."z" | "A".."Z" | "0".."9" | ".-_*[]?")を含む server-regexp 正規表現

("a".."z" | "A".."Z" | "0".."9" | ".-_*[]?+()\{},")を含む server-fnmatch 正規表現

user-agent-regexp

user-agent-fnmatch

request-uri-regexp

request-uri-fnmatch

条件タグのうち 2 つ以上が存在する場合は、セキュリティ アプライアンスはすべてのタグに対して論理 AND を実行します。

<action>...</action>

指定の条件のコンテンツで実行する 1 つ以上のアクションを囲みます。つまり、これらのアクションのそれぞれを次の <do> タグまたは <sed-script> タグで定義します。

<do>...</do>

次のいずれかのアクションを定義します。

<no-rewrite/>

<no-toolbar/>

<no-gzip/>

<force-cache/>

<force-no-cache/>

<sed-script> TEXT </sed-script>

アクション タグの子要素です。TEXT は有効な Sed スクリプトである必要があります。<sed-script> は、これよりも前に定義された <conditions> タグに適用されます。

APCF の例

APCF プロファイルの例を次に示します。

<APCF>
<version>1.0</version>
<application>
<id>Do not compress content from notsogood.com</id>
<apcf-entities>
<process-request-header>
<conditions>
<server-fnmatch>*.notsogood.com</server-fnmatch>
</conditions>
<action>
<do><no-gzip/></do>
</action>
</process-request-header>
</apcf-entities>
</application>
</APCF>
 

クライアントレス SSL VPN エンド ユーザの設定

この項は、エンド ユーザのためにクライアントレス SSL VPN を設定するシステム管理者を対象にしています。ここでは、エンド ユーザ インターフェイスをカスタマイズする方法について説明します。

この項では、リモート システムの設定要件と作業の概要を説明します。ユーザがクライアントレス SSL VPN の使用を開始するために、ユーザに伝える必要がある情報を明確にします。次の項目を取り上げます。

「エンド ユーザ インターフェイスの定義」

「クライアントレス SSL VPN ページのカスタマイズ」

「ヘルプのカスタマイズ」

「ユーザ名とパスワードの要求」

「セキュリティのヒントの通知」

「クライアントレス SSL VPN の機能を使用するためのリモート システムの設定」

「ユーザ メッセージの言語の変換」

エンド ユーザ インターフェイスの定義

クライアントレス SSL VPN エンド ユーザ インターフェイスは、一連の HTML パネルで構成されます。ユーザは、セキュリティ アプライアンス インターフェイスの IP アドレスを https:// address 形式で入力することにより、クライアントレス SSL VPN にログインします。最初に表示されるパネルは、ログイン画面(図 39-6)です。

図 39-6 クライアントレス SSL VPN の Login 画面

 

クライアントレス SSL VPN ホームページの表示

ユーザがログインすると、ポータル ページが開きます。

ホームページには設定済みのクライアントレス SSL VPN 機能がすべて表示され、選択済みのロゴ、テキスト、および色が外観に反映されています。このサンプル ホームページには、特定のファイル共有の指定機能以外のすべてのクライアントレス SSL VPN 機能が表示されています。ユーザはこのホームページを使用して、ネットワークのブラウズ、URL の入力、特定の Web サイトへのアクセス、および Application Access(ポート転送とスマート トンネル)による TCP アプリケーションへのアクセスを実行できます。

クライアントレス SSL VPN の Application Access パネルの表示

ポート転送またはスマート トンネルを開始するには、[Application Access] ボックスの [Go] ボタンをクリックします。[Application Access] ウィンドウが開きます(図 39-7)。

図 39-7 クライアントレス SSL VPN の [Application Access] ウィンドウ

 

このウィンドウには、このクライアントレス SSL VPN 接続用に設定された TCP アプリケーションが表示されます。このパネルを開いたままでアプリケーションを使用する場合は、通常の方法でアプリケーションを起動します。


) ステートフル フェールオーバーでは、Application Access を使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。


フローティング ツールバーの表示

図 39-8 に示すフローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。

図 39-8 クライアントレス SSL VPN フローティング ツールバー

 

フローティング ツールバーの次の特性に注意してください。

ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

ツールバーを閉じると、セキュリティ アプライアンスはクライアントレス SSL VPN セッションの終了を確認するプロンプトを表示します。

クライアントレス SSL VPN の使用方法の詳細については、表 39-12を参照してください。

クライアントレス SSL VPN ページのカスタマイズ

クライアントレス SSL VPN ユーザに表示されるポータル ページの外観は変えることができます。変更できる外観には、ユーザがセキュリティ アプライアンスに接続するときに表示される [Login] ページ、セキュリティ アプライアンスのユーザ承認後に表示される [Home] ページ、ユーザがアプリケーションを起動するときに表示される [Application Access] ウィンドウ、およびユーザがクライアントレス SSL VPN セッションからログアウトするときに表示される Logout ページがあります。

ポータル ページのカスタマイズ後は、このカスタマイゼーションを保存して、特定の接続プロファイル、グループ ポリシー、またはユーザに適用できます。いくつものカスタマイゼーション オブジェクトを作成、保存して、個々のユーザまたはユーザ グループに応じてポータル ページの外観を変更するようにセキュリティ アプライアンスをイネーブル化できます。

ここでは、次の項目とタスクについて説明します。

「カスタマイゼーションの動作」

「カスタマイゼーション テンプレートのエクスポート」

「カスタマイゼーション テンプレートの編集」

「カスタマイゼーション オブジェクトのインポート」

「接続プロファイル、グループ ポリシー、およびユーザへのカスタマイゼーションの適用」

「ログイン画面の高度なカスタマイゼーション」

カスタマイゼーションの動作

セキュリティ アプライアンスは、カスタマイゼーション オブジェクトを使用して、ユーザ画面の外観を定義します。カスタマイゼーション オブジェクトは、リモート ユーザに表示されるカスタマイズ可能なすべての画面項目に対する XML タグを含む XML ファイルからコンパイルされます。セキュリティ アプライアンス ソフトウェアには、リモート PC にエクスポートできるカスタマイゼーション テンプレートが含まれています。このテンプレートを編集して、新しいカスタマイゼーション オブジェクトとしてセキュリティ アプライアンスにインポートし戻すことができます。

カスタマイゼーション オブジェクトをエクスポートすると、XML タグを含む XML ファイルが指定した URL に作成されます。 Template という名前のカスタマイゼーション オブジェクトによって作成される XML ファイルは、空の XML タグを含んでおり、新しいカスタマイゼーション オブジェクトを作成するためのベースになります。このオブジェクトは、変更したり、キャッシュ メモリから削除したりはできませんが、エクスポートして編集し、新しいカスタマイゼーション オブジェクトとしてセキュリティ アプライアンスにインポートし戻すことができます。

カスタマイゼーション オブジェクト、接続プロファイル、およびグループ ポリシー

ユーザが初めて接続するときには、接続プロファイル(トンネル グループ)で指定されたデフォルトのカスタマイゼーション オブジェクト( DfltCustomization )がログイン画面の表示方法を決定します。接続プロファイル リストがイネーブルになっている場合に、ユーザが別のグループを選択し、そのグループに独自のカスタマイゼーションがある場合、その新しいグループのカスタマイゼーション オブジェクトを反映して画面が変わります。

リモート ユーザが認証された後は、画面の外観は、そのグループ ポリシーにカスタマイゼーション オブジェクトが割り当てられているかどうかによって決まります。

カスタマイゼーション テンプレートのエクスポート

カスタマイゼーション オブジェクトをエクスポートすると、指定した URL に XML ファイルが作成されます。カスタマイゼーション テンプレート( Template )は、空の XML タグを含んでおり、新しいカスタマイゼーション オブジェクトを作成するためのベースになります。このオブジェクトは、変更したり、キャッシュ メモリから削除したりはできませんが、エクスポートして編集し、新しいカスタマイゼーション オブジェクトとしてセキュリティ アプライアンスにインポートし戻すことができます。

export webvpn customization コマンドを使用してカスタマイゼーション オブジェクトをエクスポートし、XML タグに変更を加え、 import webvpn customization コマンドを使用して新しいオブジェクトとしてファイルをインポートできます。

次の例は、デフォルトのカスタマイゼーション オブジェクト(DfltCustomization)をエクスポートして、 dflt_custom という名前の XML ファイルを作成します。

hostname# export webvpn customization DfltCustomization tftp://209.165.200.225/dflt_custom
!!!!!!!!!!!!!!!!INFO: Customization object 'DfltCustomization' was exported to tftp://10.86.240.197/dflt_custom
hostname#

カスタマイゼーション テンプレートの編集

この項では、カスタマイゼーション テンプレートの内容を示して、便利な図を提供しています。これらを参照して、正しい XML タグをすばやく選択して、画面表示を変更できます。

テキスト エディタまたは XML エディタを使用して、XML ファイルを編集できます。次の例は、カスタマイゼーション テンプレートの XML タグを示しています。一部の冗長タグは、見やすくするために削除してあります。

<custom>
<localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>
</localization>
<auth-page>
<window>
<title-text l10n="yes"><![CDATA[SSL VPN Service]]></title-text>
</window>
<full-customization>
<mode>disable</mode>
<url></url>
</full-customization>
<language-selector>
<mode>disable</mode>
<title l10n="yes">Language:</title>
<language>
<code>en</code>
<text>English</text>
</language>
<language>
<code>zh</code>
<text>中国 (Chinese)</text>
</language>
<language>
<code>ja</code>
<text>æ--¥æœ¬ (Japanese)</text>
</language>
<language>
<code>ru</code>
<text>РуÑÑкий (Russian)</text>
</language>
<language>
<code>ua</code>
<text>УкраÑ--нÑька (Ukrainian)</text>
</language>
</language-selector>
<logon-form>
<title-text l10n="yes"><![CDATA[Login]]></title-text>
<title-background-color><![CDATA[#666666]]></title-background-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<message-text l10n="yes"><![CDATA[Please enter your username and password.]]></message-text>
<username-prompt-text l10n="yes"><![CDATA[USERNAME:]]></username-prompt-text>
<password-prompt-text l10n="yes"><![CDATA[PASSWORD:]]></password-prompt-text>
<internal-password-prompt-text l10n="yes">Internal Password:</internal-password-prompt-text>
<internal-password-first>no</internal-password-first>
<group-prompt-text l10n="yes"><![CDATA[GROUP:]]></group-prompt-text>
<submit-button-text l10n="yes"><![CDATA[Login]]></submit-button-text>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-background-color><![CDATA[#666666]]></title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logon-form>
<logout-form>
<title-text l10n="yes"><![CDATA[Logout]]></title-text>
<message-text l10n="yes"><![CDATA[Goodbye.<br>
 
For your own security, please:<br>
 
<li>Clear the browser's cache
 
<li>Delete any downloaded files
 
<li>Close the browser's window]]></message-text>
<login-button-text l10n="yes">Logon</login-button-text>
<hide-login-button>no</hide-login-button>
<title-background-color><![CDATA[#666666]]></title-background-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-background-color><![CDATA[#666666]]></title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logout-form>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service]]></text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff]]></background-color>
<font-size><![CDATA[larger]]></font-size>
<font-color><![CDATA[#800000]]></font-color>
<font-weight><![CDATA[bold]]></font-weight>
</title-panel>
<info-panel>
<mode>disable</mode>
<image-url l10n="yes">/+CSCOU+/clear.gif</image-url>
<image-position>above</image-position>
<text l10n="yes"></text>
</info-panel>
<copyright-panel>
<mode>disable</mode>
<text l10n="yes"></text>
</copyright-panel>
</auth-page>
<portal>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service]]></text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff]]></background-color>
<font-size><![CDATA[larger]]></font-size>
<font-color><![CDATA[#800000]]></font-color>
<font-weight><![CDATA[bold]]></font-weight>
</title-panel>
<browse-network-title l10n="yes">Browse Entire Network</browse-network-title>
<access-network-title l10n="yes">Start AnyConnect</access-network-title>
<application>
<mode>enable</mode>
<id>home</id>
<tab-title l10n="yes">Home</tab-title>
<order>1</order>
</application>
<application>
<mode>enable</mode>
<id>web-access</id>
<tab-title l10n="yes"><![CDATA[Web Applications]]></tab-title>
<url-list-title l10n="yes"><![CDATA[Web Bookmarks]]></url-list-title>
<order>2</order>
</application>
<application>
<mode>enable</mode>
<id>file-access</id>
<tab-title l10n="yes"><![CDATA[Browse Networks]]></tab-title>
<url-list-title l10n="yes"><![CDATA[File Folder Bookmarks]]></url-list-title>
<order>3</order>
</application>
<application>
<mode>enable</mode>
<id>app-access</id>
<tab-title l10n="yes"><![CDATA[Application Access]]></tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>net-access</id>
<tab-title l10n="yes">AnyConnect</tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>help</id>
<tab-title l10n="yes">Help</tab-title>
<order>1000000</order>
</application>
<toolbar>
<mode>enable</mode>
<logout-prompt-text l10n="yes">Logout</logout-prompt-text>
<prompt-box-title l10n="yes">Address</prompt-box-title>
<browse-button-text l10n="yes">Browse</browse-button-text>
</toolbar>
<column>
<width>100%</width>
<order>1</order>
</column>
<pane>
<type>TEXT</type>
<mode>disable</mode>
<title></title>
<text></text>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>IMAGE</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>HTML</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>RSS</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<url-lists>
<mode>group</mode>
</url-lists>
<home-page>
<mode>standard</mode>
<url></url>
</home-page>
</portal>
</custom>
 

図 39-9 に、Login ページとページをカスタマイズする XML タグを示します。これらのタグはすべて、上位レベルのタグ <auth-page> にネストされています。

図 39-9 Login ページと関連の XML タグ

 

図 39-10 は、Login ページで使用可能な言語セレクタ ドロップダウン リストとこの機能をカスタマイズするための XML タグを示しています。これらのタグはすべて、上位レベルの <auth-page> タグにネストされています。

図 39-10 Login 画面上の言語セレクタと関連の XML タグ

 

図 39-11 は、Login ページで使用できる Information Panel とこの機能をカスタマイズするための XML タグを示しています。この情報は [Login] ボックスの左側または右側に表示されます。これらのタグは、上位レベルの <auth-page> タグにネストされています。

図 39-11 Login 画面上の Information Panel と関連の XML タグ

 

図 39-12 は、Portal ページとこの機能をカスタマイズするための XML タグを示しています。これらのタグは、上位レベルの <auth-page> タグにネストされています。

図 39-12 Portal ページと関連の XML タグ

 

カスタマイゼーション オブジェクトのインポート

XML ファイルを編集して保存した後、EXEC モードで import webvpn customization コマンドを使用して、セキュリティ アプライアンスのキャッシュ メモリにインポートします。カスタマイゼーション オブジェクトをインポートする場合、セキュリティ アプライアンスは XML コードの有効性をチェックします。コードが有効な場合、セキュリティ アプライアンスはそのオブジェクトをキャッシュ メモリ内の非表示の場所に保存します。

次の例では、カスタマイゼーション オブジェクト General.xml を 209.165.201.22/customization の URL からインポートして、 custom1 という名前を付けます。

hostname# import webvpn customization custom1 tftp://209.165.201.22/customization /General.xml
Accessing tftp://209.165.201.22/customization/General.xml...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/custom1...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
329994 bytes copied in 5.350 secs (65998 bytes/sec)

接続プロファイル、グループ ポリシー、およびユーザへのカスタマイゼーションの適用

カスタマイゼーションの作成後、 customization コマンドを使用して、接続プロファイル、グループ、またはユーザにそのカスタマイゼーションを適用できます。このコマンドで表示されるオプションは、使用中のモードによって異なります。


) 接続プロファイルは、以前はトンネル グループと呼ばれていました。


接続プロファイル、グループ ポリシー、およびユーザの設定の詳細については、「接続プロファイル、グループ ポリシー、およびユーザの設定」を参照してください。

接続プロファイルへのカスタマイゼーションの適用

接続プロファイルにカスタマイゼーションを適用するには、トンネル グループ webvpn モードで customization コマンドを使用します。

[ no ] customization name

name は、接続プロファイルに適用するカスタマイゼーションの名前です。

コンフィギュレーションからコマンドを削除して、接続プロファイルからカスタマイゼーションを削除するには、このコマンドの no 形式を使用します。

既存のカスタマイゼーションのリストを表示するには、 customization コマンドに続けて、疑問符(?) を入力します。

次の例では、ユーザはトンネル グループ webvpn モードに入り、接続プロファイル cisco_telecommuters に対してカスタマイゼーション cisco をイネーブルにします。

hostname(config)# tunnel-group cisco_telecommuters webvpn-attributes
hostname(tunnel-group-webvpn)# customization cisco

グループおよびユーザへのカスタマイゼーションの適用

グループまたはユーザにカスタマイゼーションを適用するには、グループ ポリシー webvpn モードまたはユーザ名 webvpn モードから customization コマンドを使用します。これらのモードに、 none オプションと value オプションを次のように含めます。

[ no ] customization {none | value name }

none は、グループまたはユーザに対するカスタマイゼーションをディセーブルにし、値を継承しないようにして、デフォルトのクライアントレス SSL VPN ページを表示します。

value name は、グループまたはユーザに適用するカスタマイゼーションの名前です。

コンフィギュレーションからこのコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

既存のカスタマイゼーションのリストを表示するには、 customization value コマンドに続けて、疑問符(?) を入力します。

次の例では、ユーザはグループ ポリシー webvpn モードに入り、セキュリティ アプライアンスにカスタマイゼーションのリストのクエリーを実行し、グループ ポリシー cisco_sales に対してカスタマイゼーション cisco をイネーブルにします。

hostname(config)# group-policy cisco_sales attributes
hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# customization value ?
 
config-username-webvpn mode commands/options:
Available configured customization profiles:
DfltCustomization
cisco
hostname(config-group-webvpn)# customization value cisco
 

次の例では、ユーザはユーザ名 webvpn モードに入り、ユーザ cisco_employee に対してカスタマイゼーション cisco をイネーブルにします。

hostname(config)# username cisco_employee attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# customization value cisco

ログイン画面の高度なカスタマイゼーション

提供されるログイン画面の特定の画面要素を変更するのではなく、独自のカスタム ログイン画面を使用する場合は、フル カスタマイゼーション機能を使用してこの高度なカスタマイゼーションを実行できます。

フル カスタマイゼーションを使用して、独自のログイン画面の HTML を入力し、セキュリティ アプライアンスで関数を呼び出す Cisco HTML コードを挿入します。これで、Login フォームと言語セレクタ ドロップダウン リストが作成されます。

この項では、独自の HTML コードを作成するために必要な修正内容、およびセキュリティ アプライアンスが独自のコードを使用する場合に設定する必要があるタスクについて説明します。

図 39-13 に、クライアントレス SSL VPN ユーザに表示される標準の Cisco ログイン画面を示します。Login フォームは、HTML コードで呼び出す関数によって表示されます。

図 39-13 標準の Cisco Login ページ

 

図 39-14 に、言語セレクタ ドロップダウン リストを示します。この機能は、クライアントレス SSL VPN ユーザにはオプションとなっており、ログイン画面の HTML コード内の関数によっても呼び出されます。

図 39-14 言語セレクタ ドロップダウン リスト

 

図 39-15 は、フル カスタマイゼーション機能によってイネーブル化される簡単なカスタム ログイン画面の例を示しています。

図 39-15 Login 画面のフル カスタマイゼーション例

 

カスタム ログイン画面ファイルの HTML コードの例

次の HTML コードは例として使用される、図 39-15 に示す画面を表示するコードです。

<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>New Page 3</title>
<base target="_self">
</head>
 
<p align="center">
<img border="0" src="/+CSCOU+/cisco_logo.jpg" width="188" height="48"><font face="Snap ITC" size="6" color="#FF00FF">
</font><font face="Snap ITC" color="#FF00FF" size="7">&nbsp;</font><i><b><font color="#FF0000" size="7" face="Sylfaen"> SSL VPN Service by the Cisco ASA5500</font></b></i></p>
 
<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>
 

インデントされたコードは、画面に Login フォームと言語セレクタを挿入します。関数 csco_ShowLoginForm('lform') はログイン フォームを挿入します。 csco_ShowLanguageSelector('selector') は言語セレクタを挿入します。

フル カスタマイゼーションの手順

次の手順に従い、HTML ファイルを変更して、セキュリティ アプライアンスが新しいファイルを使用するように設定します。


ステップ 1 ファイルに login.inc という名前を付けます。このファイルをインポートすると、セキュリティ アプライアンスはこのファイル名をログイン画面として認識します。

ステップ 2 このファイルで使用されるイメージのパスに /+CSCOU+/ を含めるように変更します。

認証前にリモート ユーザに表示されるファイルは、パス /+CSCOU+/ で表されるセキュリティ アプライアンスのキャッシュ メモリの特定のエリアに置く必要があります。そのため、このファイルにある各イメージのソースはこのパスに含める必要があります。次の例を参考にしてください。

src=”/+CSCOU+/asa5520.gif”
 

ステップ 3 下記の特別な HTML コードを挿入します。このコードには、Login フォームと言語セレクタを画面に挿入する前述のシスコの関数が含まれています。

<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>
 

ステップ 4 特権 EXEC モードで import webvpn webcontent コマンドを使用して、ファイルとイメージを Web コンテンツとしてインポートします。次の例を参考にしてください。

hostname# import webvpn webcontent /+CSCOU+/login.inc tftp://209.165.200.225/login.inc
!!!!* Web resource `+CSCOU+/login.inc' was successfully initialized
hostname#
 

ステップ 5 カスタマイゼーション オブジェクトでフル カスタマイゼーションをイネーブルにします。まず、 export webvpn customization コマンドを使用してカスタマイゼーション テンプレートをエクスポートします。次の例を参考にしてください。

hostname2# export webvpn customization template tftp://209.165.200.225/sales_vpn_login
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
%INFO: Customization object 'Template' was exported to tftp://10.21.50.120/sales
_vpn_login
 

次に、ファイル内の full customization mode タグを enable に変更し、セキュリティ アプライアンスのメモリに保存されているログイン ファイルの URL を入力します。次の例を参考にしてください。

<full-customization>
<mode>enable</mode>
<url>+CSCOU+/login.inc</url>
</full-customization>
 

ここで、ファイルを新しいカスタマイゼーション オブジェクトとしてインポートします。次の例を参考にしてください。

hostname# import webvpn customization sales_vpn_login tftp://10.21.50.120/sales_vpn_login$
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
%INFO: customization object 'sales_vpn_login' was successfully imported
 

 

ステップ 6 接続プロファイル(トンネル グループ)にカスタマイゼーション オブジェクトを適用します。次の例を参考にしてください。

hostname(config)# tunnel-group Sales webvpn-attributes
hostname(config-tunnel-webvpn)#customization sales_vpn_login


 

ヘルプのカスタマイズ

セキュリティ アプライアンスは、クライアントレス SSL VPN セッション中に、アプリケーション パネルにヘルプ コンテンツを表示します。シスコが提供するヘルプ ファイルをカスタマイズするか、または別の言語でヘルプ ファイルを作成できます。次に、後続のクライアントレス セッション中に表示するために、ファイルをフラッシュ メモリにインポートします。事前にインポートしたヘルプ コンテンツ ファイルを取得して、変更し、フラッシュ メモリに再インポートすることもできます。

各クライアントレス アプリケーションのパネルには、事前に設定されたファイル名を使用して独自のヘルプ ファイル コンテンツが表示されます。今後、各ファイルは、セキュリティ アプライアンスのフラッシュ メモリ内の /+CSCOE+/help/ language / という URL に置かれています。 表 39-10 に、クライアントレス SSL VPN セッション用に保守できる各ヘルプ ファイルの詳細を示します。

 

表 39-10 クライアントレス SSL VPN アプリケーションのヘルプ ファイル

アプリケーション タイプ
パネル
セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL
シスコが提供するヘルプ ファイルに英語版があるか

標準

Application Access

/+CSCOE+/help/ language /app-access-hlp.inc

はい

標準

Browse Networks

/+CSCOE+/help/ language /file-access-hlp.inc

はい

標準

AnyConnect Client

/+CSCOE+/help/ language /net-access-hlp.inc

はい

標準

Web Access

/+CSCOE+/help/ language /web-access-hlp.inc

はい

プラグイン

MetaFrame Access

/+CSCOE+/help/ language /ica-hlp.inc

なし

プラグイン

Terminal Servers

/+CSCOE+/help/ language /rdp-hlp.inc

はい

プラグイン

Telnet/SSH Servers

/+CSCOE+/help/ language /ssh,telnet-hlp.inc

はい

プラグイン

VNC Connections

/+CSCOE+/help/ language /vnc-hlp.inc

はい

language は、ブラウザに表示される言語の省略形です。このフィールドは、ファイル変換には使用 されません 。ファイル内で使用される言語を示します。特定の言語コードを指定するには、ブラウザに表示される言語のリストからその言語の省略形をコピーします。たとえば、次の手順のいずれかを使用すると、ダイアログ ウィンドウに言語と関連の言語コードが表示されます。

Internet Explorer を起動して、[Tools] > [Internet Options] > [Languages] > [Add] を選択します。

Mozilla Firefox を起動して、[Tools] > [Options] > [Advanced] > [General] を選択し、[Languages] の隣にある [Choose] をクリックして、[Select a language to add] をクリックします。

次の項では、クライアントレス セッションで表示されるヘルプ コンテンツのカスタマイズ方法について説明します。

「シスコが提供するヘルプ ファイルのカスタマイズ」

「シスコが提供していない言語用のヘルプ ファイルの作成」

「フラッシュ メモリへのヘルプ ファイルのインポート」

「フラッシュ メモリからの事前にインポートしたヘルプ ファイルのエクスポート」

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供するヘルプ ファイルをカスタマイズするには、まずフラッシュ メモリ カードからファイルのコピーを取得する必要があります。次の手順で、コピーを取得してカスタマイズします。


ステップ 1 ブラウザを使用して、セキュリティ アプライアンスとのクライアントレス SSL VPN セッションを確立します。

ステップ 2 表 39-10 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の中の文字列を、セキュリティ アプライアンスのアドレスに追加し、Enter キーを押してヘルプ ファイルを表示します。


) 英語版のヘルプ ファイルを表示するには、language のところに en を入力します。


次のアドレス例は、Terminal Servers のヘルプの英語版を表示します。

https:// address_of_security_appliance /+CSCOE+/help/en/rdp-hlp.inc

ステップ 3 [File] > [Save (Page) As] を選択します。


注意 [File name] ボックスの内容は変更しないでください。

ステップ 4 [Save as type] オプションを「Web Page, HTML only」に変更して、[Save] をクリックします。

ステップ 5 任意の HTML エディタを使用してファイルを変更します。


) ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグ、およびコンテンツを構築するための <p>、<ol>、<ul>、および <li> などのタグは使用できます。


ステップ 6 オリジナルのファイル名と拡張子を指定して、HTML only としてファイルを保存します。

ステップ 7 ファイル名が 表 39-10 にあるファイル名のいずれかと一致すること、および余分なファイル拡張子がないことを確認します。


 

クライアントレス SSL VPN セッションで表示するために、変更したファイルをインポートする場合は、「フラッシュ メモリへのヘルプ ファイルのインポート」を参照してください。

シスコが提供していない言語用のヘルプ ファイルの作成

HTML を使用して、他の言語でヘルプ ファイルを作成します。


) ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグ、およびコンテンツを構築するための <p>、<ol>、<ul>、および <li> などのタグは使用できます。


サポートするそれぞれの言語に別のフォルダを作成することをお勧めします。

HTML only としてファイルを保存します。 表 39-10 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の最後のスラッシュの後にあるファイル名を使用します。

クライアントレス SSL VPN セッションで表示するためにファイルをインポートする場合は、次の項を参照してください。

フラッシュ メモリへのヘルプ ファイルのインポート

クライアントレス SSL VPN セッションで表示するために、フラッシュ メモリにヘルプ コンテンツ ファイルをインポートするには、特権 EXEC モードで次のコマンドを入力します。

import webvpn webcontent destination_url source_url

destination_url は、 表 39-10 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の文字列です。

source_url は、インポートするファイルの URL です。有効なプレフィクスは、ftp://、http://、および tftp:// です。

次のコマンド例は、TFTP サーバ(209.165.200.225)からヘルプ ファイル app-access-hlp.inc をフラッシュ メモリにコピーします。この URL には英語の省略形である en が含まれています。

hostname# import webvpn webcontent /+CSCOE+/help/en/app-access-hlp.inc tftp://209.165.200.225/app-access-hlp.inc
 

フラッシュ メモリからの事前にインポートしたヘルプ ファイルのエクスポート

後で編集するために事前にインポートしたヘルプ コンテンツ ファイルを取得するには、特権 EXEC モードで次のコマンドを入力します。

export webvpn webcontent source_url destination_url

source_url は、 表 39-10 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の文字列です。

destination_url は、 ターゲット URL です。有効なプレフィクスは、ftp:// と tftp:// です。最大文字数は 255 です。

次のコマンド例は、Browse Networks パネルに表示される英語のヘルプ ファイル file-access-hlp.inc を TFTP サーバ(209.165.200.225)にコピーします。

hostname# export webvpn webcontent /+CSCOE+/help/en/file-access-hlp.inc tftp://209.165.200.225/file-access-hlp.inc
 

ユーザ名とパスワードの要求

ネットワークによっては、リモート セッション中にユーザが、コンピュータ、インターネット サービス プロバイダー、クライアントレス SSL VPN、メール サーバ、ファイル サーバ、企業アプリケーションのうち、一部またはすべてにログインする必要があります。ユーザはさまざまなコンテキストで認証を行うために、一意のユーザ名、パスワード、PIN などさまざまな情報が要求される場合があります。

表 39-11 に、クライアントレス SSL VPN ユーザが知っておく必要があるユーザ名とパスワードのタイプを示します。

 

表 39-11 クライアントレス SSL VPN セッションのユーザに提供するユーザ名とパスワード

ログイン ユーザ名または
パスワードのタイプ
目的
入力するタイミング

コンピュータ

コンピュータへのアクセス

コンピュータの起動

インターネット サービス プロバイダー

インターネットへのアクセス

インターネット サービス プロバイダーへの接続

クライアントレス SSL VPN

リモート ネットワークへのアクセス

クライアントレス SSL VPN の起動

ファイル サーバ

リモート ファイル サーバへのアクセス

クライアントレス SSL VPN ファイル ブラウジング機能を使用して、リモート ファイル サーバにアクセスするとき

企業アプリケーションへのログイン

ファイアウォールで保護された内部サーバへのアクセス

クライアントレス SSL VPN Web ブラウジング機能を使用して、保護されている内部 Web サイトにアクセスするとき

メール サーバ

クライアントレス SSL VPN 経由のリモート メール サーバへのアクセス

電子メール メッセージの送受信

セキュリティのヒントの通知

クライアントレス SSL VPN セッションを終了するためには、必ずツールバーのログアウト アイコンをクリックするようにユーザに伝えてください (ブラウザ ウィンドウを終了してもセッションは終了しません)。

クライアントレス SSL VPN を使用してもすべてのサイトとの通信がセキュアであるとは限らないことを、ユーザに伝えてください。クライアントレス SSL VPN は、企業ネットワーク上のリモート PC やワークステーションとセキュリティ アプライアンスとの間のデータ転送のセキュリティを保証するものです。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるもの)にアクセスする場合、企業のセキュリティ アプライアンスから目的の Web サーバまでの通信は暗号化されていないため、安全ではありません。

クライアントレス SSL VPN セキュリティ対策の順守には、そのセクション内で実行する手順に応じて、ユーザに伝えるべき追加のヒントが記載されています。

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

表 39-12 に、クライアントレス SSL VPN を使用するためのリモート システムの設定に関する次の情報を示します。

クライアントレス SSL VPN の起動

クライアントレス SSL VPN フローティング ツールバーの使用

Web ブラウジング

ネットワーク ブラウジングとファイル管理

アプリケーションの使用(ポート転送)

ポート転送を介した電子メールの使用

Web アクセスを介した電子メールの使用

電子メール プロキシを介した電子メールの使用

表 39-12 には、次の項目に関する情報も記載されています。

クライアントレス SSL VPN の要件(機能別)

クライアントレス SSL VPN でサポートされるアプリケーション

クライアント アプリケーションのインストールとコンフィギュレーションの要件

エンド ユーザに提供する必要のある情報

エンド ユーザのためのヒントや使用上の推奨事項

ユーザ アカウントを別々に設定し、各ユーザが異なるクライアントレス SSL VPN の機能を使用できるようにすることが可能です。 表 39-12 に、機能別の情報をまとめています。使用できない機能の情報は無視してください。

 

表 39-12 クライアントレス SSL VPN のリモート システム コンフィギュレーションとエンド ユーザの要件

タスク
リモート システムまたはエンド ユーザの要件
仕様または使用上の推奨事項

クライアントレス SSL VPN の起動

インターネットへの接続

サポートされているインターネット接続は、次のとおりです。

家庭の DSL、ケーブル、ダイヤルアップ

公共のキオスク

ホテルの回線

空港の無線ノード

インターネット カフェ

クライアントレス SSL VPN でサポートされている Web ブラウザ

Cisco ASA 5500 Series VPN Compatibility Reference 』を参照してください。

ブラウザでイネーブルにされているクッキー

ポート転送を介してアプリケーションにアクセスするために、ブラウザでクッキーをイネーブルにする必要があります。

クライアントレス SSL VPN の URL

https アドレスの形式は次のとおりです。
https:// address
address は、クライアントレス SSL VPN がイネーブルになっているセキュリティ アプライアンスのインターフェイスの IP アドレスまたは DNS ホスト名(またはロードバランシング クラスタ)です。 たとえば、https://10.89.192.163 または https://cisco.example.com のようになります。

クライアントレス SSL VPN のユーザ名とパスワード

--

(オプション)ローカル プリンタ

クライアントレス SSL VPN は、Web ブラウザからネットワーク プリンタへの印刷をサポートしていません。ローカル プリンタへの印刷はサポートされています。

クライアントレス SSL VPN セッション中に表示されるフローティング ツールバーの使用

フローティング ツールバーを使用すると、クライアントレス SSL VPN を簡単に使用できます。ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

フローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。[Close] ボタンをクリックすると、セキュリティ アプライアンスはクライアントレス SSL VPN セッションの終了を確認するプロンプトを表示します。


ヒント ヒント:テキストをテキスト フィールドに貼り付けるには、Ctrl+V キーを使用します (クライアントレス SSL VPN セッション中は、表示されるツールバー上での右クリックはディセーブルになっています)。


Web ブラウジング

保護されている Web サイトのユーザ名とパスワード

クライアントレス SSL VPN を使用しても、すべてのサイトとの通信がセキュアになるわけではありません。「セキュリティのヒントの通知」を参照してください。

クライアントレス SSL VPN での Web ブラウジングのルックアンドフィールは、ユーザが見慣れたものではない場合があります。次の例を参考にしてください。

クライアントレス SSL VPN のタイトル バーが各 Web ページの上部に表示される。

Web サイトへのアクセス方法:

クライアントレス SSL VPN Home ページ上の [Enter Web Address] フィールドに URL を入力する

クライアントレス SSL VPN Home ページ上にある設定済みの Web サイト リンクをクリックする

上記 2 つのいずれかの方法でアクセスした Web ページ上のリンクをクリックする

また、特定のアカウントの設定によっては、次のようになる場合もあります。

一部の Web サイトがブロックされている

使用可能な Web サイトが、クライアントレス SSL VPN の [Home]ページ上にリンクとして表示されるものに限られる

ネットワーク ブラウジングとファイル管理

共有リモート アクセス用に設定されたファイル アクセス権

クライアントレス SSL VPN を介してアクセスできるのは、共有フォルダと共有ファイルに限られます。

保護されているファイル サーバのサーバ名とパスワード

--

フォルダとファイルが存在するドメイン、ワークグループ、およびサーバ名

ユーザは、組織ネットワークを介してファイルを見つける方法に慣れていない場合があります。

--

コピー処理の進行中は、 Copy File to Server コマンドを中断したり、別の画面に移動したりしないでください。コピー処理を中断すると、不完全なファイルがサーバに保存される可能性があります。

Application Access の使用

(注) Macintosh OS X の場合、この機能をサポートしているのは Safari ブラウザだけです。

(注) この機能を使用するには、Sun Microsystems Java™ Runtime Environment をインストールしてローカル クライアントを設定する必要があります。そのためにはローカル システムで管理者の許可が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性が高くなります。


注意 ユーザは、Close アイコンをクリックしてアプリケーションを終了したら、必ず [Application Access] ウィンドウを閉じる必要があります。このウィンドウを正しく閉じないと、Application Access またはアプリケーション自体がディセーブルになる可能性があります。詳細については、「Application Access 使用時の hosts ファイル エラーからの回復」を参照してください。

インストール済みのクライアント アプリケーション

--

ブラウザでイネーブルにされているクッキー

--

管理者特権

ユーザは、DNS 名を使用してサーバを指定する場合、PC に対する管理者アクセス権が必要になります(hosts ファイルを変更する際に必要になるため)。

インストール済みの Sun Microsystems Java Runtime Environment(JRE)バージョン 1.4.x と 1.5.x

ブラウザで Javascript をイネーブルにする必要があります。デフォルトでは、イネーブルになっています。

JRE がインストールされていない場合は、ポップアップ ウィンドウが表示され、ユーザに対して使用可能なサイトが示されます。
まれに、JAVA 例外エラーで、ポート転送アプレットが失敗することがあります。このような状況が発生した場合は、次の手順を実行します。

1. ブラウザのキャッシュを消去して、ブラウザを閉じます。

2. コンピュータのタスクバーに JAVA アイコンが表示されていないことを確認します。JAVA のインスタンスをすべて閉じます。

3. クライアントレス SSL VPN セッションを確立し、ポート転送 JAVA アプレットを起動します。

設定済みのクライアント アプリケーション(必要な場合)。
(注) Microsoft Outlook クライアントの場合、この設定手順は不要です。

Windows 以外のすべてのクライアント アプリケーションでは、設定が必要です。
Windows アプリケーションの設定が必要かどうかを確認するには、[Remote Server] の値をチェックします。

[Remote Server] にサーバのホスト名が含まれている場合、クライアント アプリケーションの設定は不要です。

[Remote Server] フィールドに IP アドレスが含まれている場合、クライアント アプリケーションを設定する必要があります。

クライアント アプリケーションを設定するには、ローカルにマッピングされたサーバの IP アドレスとポート番号を使用します。この情報を見つけるには、次の手順を実行します。

1. クライアントレス SSL VPN セッションを開始して[Home] ページの [Application Access] リンクをクリックします。[Application Access] ウィンドウが表示されます。

2. [Name] カラムで、使用するサーバ名を確認し、このサーバに対応するクライアント IP アドレスとポート番号を [Local] カラムで確認します。

3. この IP アドレスとポート番号を使用して、クライアント アプリケーションを設定します。設定手順は、クライアント アプリケーションによって異なります。

(注) クライアントレス SSL VPN セッション上で実行しているアプリケーションで URL(電子メール メッセージ内のものなど)をクリックしても、サイトがそのセッションで開くわけではありません。サイトをセッション上で開くには、その URL を [Enter Clientless SSL VPN (URL) Address] フィールドに貼り付けます。

Application Access
を介した電子メールの使用

Application Access の要件を満たす(「アプリケーションの使用」を参照)

電子メールを使用するには、クライアントレス SSL VPN の [Home] ページから Application Access を起動します。これにより、メール クライアントが使用できるようになります。
(注) IMAP クライアントの使用中にメール サーバとの接続が中断した、または新しく接続を確立できない場合は、IMAP アプリケーションを終了してクライアントレス SSL VPN を再起動します。

その他のメール クライアント

Microsoft Outlook Express バージョン 5.5 および 6.0 はテスト済みです。

クライアントレス SSL VPN は、ポート転送を介したその他の SMTPS、POP3S、または IMAP4S 電子メール プログラム(Lotus Notes、Eudora など)をサポートしますが、動作確認は行っていません。

Web アクセスを介した
電子メールの使用

インストールされている Web ベースの電子メール製品

次の製品がサポートされています。

Outlook Web Access

最適な結果を得るために、Internet Explorer 6.x 以上または Firefox 2.0 以上で OWA を使用してください。

Lotus iNotes

その他の Web ベースの電子メール製品も動作しますが、動作確認は行っていません。

電子メール プロキシを介した
電子メールの使用(レガシー機能)

インストール済みの SSL 対応メール アプリケーション

セキュリティ アプライアンス SSL バージョンを TLSv1 Only に設定しないでください。Outlook および Outlook Express は TLS をサポートしていません。

サポートされているメール アプリケーションは次のとおりです。

Microsoft Outlook 2000 および 2002

Microsoft Outlook Express 5.5 および 6.0

Eudora 4.2 for Windows 2000

その他の SSL 対応クライアントも動作しますが、動作確認は行っていません。

設定済みのメール アプリケーション

メール アプリケーションの使用方法と例については、「クライアントレス SSL VPN を介した電子メールの使用」を参照してください。

ユーザ メッセージの言語の変換

セキュリティ アプライアンスには、ブラウザベースのクライアントレス SSL VPN 接続を開始するユーザに表示されるポータルと画面、および Cisco AnyConnect VPN Client ユーザに表示されるインターフェイスの言語変換機能があります。

この項では、これらのユーザ メッセージを変換するためにセキュリティ アプライアンスを設定する方法について説明します。次の項目を取り上げます。

「言語変換の概要」

「変換テーブルの作成」

「カスタマイゼーション オブジェクトでの言語の参照」

「カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ アトリビュートの変更」

言語変換の概要

リモート ユーザに表示する機能エリアと機能エリアのメッセージは、変換ドメイン内にまとめられています。 表 39-13 に、変換ドメインと変換される機能エリアを示します。

 

表 39-13 変換ドメインと、その影響を受ける機能エリア

変換ドメイン
変換される機能エリア

AnyConnect

Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッセージ。

CSD

Cisco Secure Desktop のメッセージ。

customization

ログイン ページおよびログアウト ページのメッセージ、ポータル ページ、およびユーザがカスタマイズできるすべてのメッセージ。

banners

リモート ユーザに対して表示されるバナー、および VPN アクセスが拒否されたときのメッセージ。

PortForwarder

ポート転送ユーザに対して表示されるメッセージ。

url-list

ユーザがポータル ページの URL ブックマークに指定したテキスト。

webvpn

カスタマイズできないレイヤ 7、AAA、およびポータルのすべてのメッセージ。

plugin-ica

Citrix プラグインのメッセージ。

plugin-rdp

Remote Desktop Protocol プラグインのメッセージ。

plugin-telnet,ssh

Telnet および SSH プラグインのメッセージ。

plugin-vnc

VNC プラグインのメッセージ。

セキュリティ アプライアンスのソフトウェア イメージ パッケージには、標準機能の一部である各ドメイン用の変換テーブル テンプレートが含まれています。プラグインのテンプレートはプラグインともに含まれており、独自の変換ドメインを定義します。

変換ドメインのテンプレートをエクスポートできます。これで、入力する URL にテンプレートの XML ファイルが作成されます。このファイルのメッセージ フィールドは空です。メッセージを編集して、テンプレートをインポートし、フラッシュ メモリに置かれる新しい変換テーブル オブジェクトを作成できます。

既存の変換テーブルをエクスポートすることもできます。作成した XML ファイルに事前に編集したメッセージが表示されます。この XML ファイルを同じ言語名で再インポートすると、変換テーブル オブジェクトの新しいバージョンが作成され、以前のメッセージが上書きされます。

テンプレートにはスタティックのものも、セキュリティ アプライアンスの設定に基づいて変化するものもあります。 ログイン ページ、ログアウト ページ、ポータル ページ、およびクライアントレス ユーザ用の URL ブックマーク はカスタマイズできるため、セキュリティ アプライアンスは、 customization および url-list 変換ドメイン テンプレートをダイナミックに生成し、これらの機能エリアに対する変更は自動的にテンプレートに反映されます。

変換テーブルを作成した後、このテーブルを使用して、カスタマイゼーション オブジェクトを作成し、グループ ポリシーまたはユーザ アトリビュートに適用できます。AnyConnect 変換ドメイン以外では、カスタマイゼーション オブジェクトを作成し、変換テーブルを使用するようにオブジェクトで指定し、グループ ポリシーまたはユーザに対してそのカスタマイゼーションを指定するまで、変換テーブルは影響を及ぼすことはなく、ユーザ画面のメッセージは変換されません。AnyConnect ドメインの変換テーブルに対する変更は、すぐに AnyConnect クライアント ユーザに可視となります。

変換テーブルの作成

次の手順は、変換テーブルの作成方法を説明しています。


ステップ 1 特権 EXEC モードで export webvpn translation-table コマンドを使用して、コンピュータに変換テーブル テンプレートをエクスポートします。

次の例では、 show webvpn translation-table コマンドによって、使用可能な変換テーブル テンプレートとテーブルを表示しています。

hostname# show import webvpn translation-table
Translation Tables' Templates:
customization
AnyConnect
CSD
PortForwarder
url-list
webvpn
Citrix-plugin
RPC-plugin
Telnet-SSH-plugin
VNC-plugin
 
Translation Tables:
 

次の例では、カスタマイゼーション ドメイン用に変換テーブル テンプレートをエクスポートします。これは、クライアントレス SSL VPN セッションのユーザに表示されるメッセージに影響を及ぼします。作成される XML ファイルのファイル名は portal (ユーザ指定)で、次の空のメッセージ フィールドが含まれています。

hostname# export webvpn translation-table customization template tftp://209.165.200.225/portal
 

ステップ 2 変換テーブルの XML ファイルを編集します。

次の例は、 portal としてエクスポートされたテンプレートの一部を示しています。この出力の最後には、 SSL VPN メッセージのメッセージ ID フィールド(msgid)とメッセージ文字列フィールド(msgstr)が含まれています。このメッセージは、ユーザがクライアントレス SSL VPN セッションを確立するときにポータル ページに表示されます。完全なテンプレートには、多くのメッセージ フィールドのペアが含まれています。

# Copyright (C) 2006 by Cisco Systems, Inc.
#
#, fuzzy
msgid ""
msgstr ""
"Project-Id-Version: ASA\n"
"Report-Msgid-Bugs-To: vkamyshe@cisco.com\n"
"POT-Creation-Date: 2007-03-12 18:57 GMT\n"
"PO-Revision-Date: YEAR-MO-DA HO:MI+ZONE\n"
"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
"Language-Team: LANGUAGE <LL@li.org>\n"
"MIME-Version: 1.0\n"
"Content-Type: text/plain; charset=UTF-8\n"
"Content-Transfer-Encoding: 8bit\n"
 
#: DfltCustomization:24 DfltCustomization:64
msgid "Clientless SSL VPN Service"
msgstr ""
 

メッセージ ID フィールド(msgid)には、デフォルトの変換が含まれています。msgid に続くメッセージ文字列フィールド(msgstr)で変換を指定します。変換を作成するには、msgstr 文字列の引用符の間に変換対象のテキストを入力します。

 

ステップ 3 特権 EXEC モードで import webvpn translation-table コマンドを使用して、変換テーブルをインポートします。

次の例では、米国スペイン語の省略形 es-us で XML ファイルがインポートされます。

hostname# import webvpn translation-table customization language es-us tftp://209.165.200.225/portal
hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
hostname# show import webvpn translation-table
Translation Tables' Templates:
AnyConnect
PortForwarder
csd
customization
keepout
url-list
webvpn
Citrix-plugin
RPC-plugin
Telnet-SSH-plugin
VNC-plugin
 
Translation Tables:
es-us customization
 

AnyConnect ドメインの変換テーブルをインポートする場合、変更内容はすぐに有効になります。その他のドメインの変換テーブルをインポートする場合は、ステップ 4 に進み、カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを指定して、グループ ポリシーまたはユーザに対してカスタマイゼーション オブジェクトを指定する必要があります。

カスタマイゼーション オブジェクトでの言語の参照

変換テーブルを作成したら、このテーブルをカスタマイゼーション オブジェクトで参照する必要があります。

ステップ 4 ~ 6 で、カスタマイゼーション テンプレートをエクスポートし、編集して、カスタマイゼーション オブジェクトとしてインポートする方法について説明します。

ステップ 4 特権 EXEC モードで export webvpn customization template コマンドを使用して、編集作業ができる URL にカスタマイゼーション テンプレートをエクスポートします。下の例では、テンプレートをエクスポートし、指定した URL に sales のコピーを作成しています。

hostname# export webvpn customization template tftp://209.165.200.225/sales
 

ステップ 5 カスタマイゼーション テンプレートを編集し、以前インポートした変換テーブルを参照します。

カスタマイゼーション テンプレートの XML コードの 2 つのエリアが変換テーブルに関係します。下に示す最初のエリアは、使用する変換テーブルを指定します。

<localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>
</localization>
 

XML コードの <languages> タグの後に、変換テーブルの名前を続けます。この例では、en、ja、zh、ru、および ua です。カスタマイゼーション オブジェクトでこれらの変換テーブルを正しく呼び出すには、テーブルが同じ名前ですでにインポートされている必要があります。これらの名前は、ブラウザの言語オプションと互換性がある必要があります。

<default-language> タグは、リモート ユーザがセキュリティ アプライアンスに接続したときに最初に表示する言語を指定します。上のコード例では、言語は英語です。

図 39-16 に、ログイン ページに表示される言語セレクタを示します。SSL VPN 接続を確立しているリモート ユーザは、言語セレクタを使用して言語を選択できます。

図 39-16 言語セレクタ

 

次の XML コードは、言語セレクタの表示に影響を与えるもので、<language selector> タグとそれに関連付けられた <language> タグによって、言語セレクタをイネーブルにし、カスタマイズします。

 
<auth-page>
....
<language-selector>
<mode>enable</mode>
<title l10n="yes">Language:</title>
<language>
<code>en</code>
<text>English</text>
</language>
<language>
<code>es-us</code>
<text>Spanish</text>
</language>
</language-selector>
 

タグ グループ <language-selector> には、言語セレクタの表示をイネーブルおよびディセーブルにする <mode> タグと、言語を一覧表示するドロップダウン ボックスのタイトルを指定する <title> タグが含まれています。

タグ グループ <language> には、<code> タグと <text> タグが含まれており、言語セレクタ ドロップダウン ボックスに表示される言語名と特定の変換テーブルをマッピングします。

このファイルに変更を加えて保存します。

ステップ 6 特権 EXEC モードで import webvpn customization コマンドを使用して、新しいオブジェクトとしてカスタマイゼーション テンプレートをインポートします。次の例を参考にしてください。

hostname# import webvpn customization sales tftp://209.165.200.225/sales
hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 

show import webvpn customization コマンドの出力に、新しいカスタマイゼーション オブジェクト sales が表示されます。

hostname(config)# show import webvpn customization
Template
sales
hostname(config)#

カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ アトリビュートの変更

カスタマイゼーション オブジェクトを作成したら、特定のグループまたはユーザに対して変更をアクティブにする必要があります。ステップ 7 は、カスタマイゼーション オブジェクトをグループ ポリシーでイネーブルにする方法を示しています。

ステップ 7 グループ ポリシーのグループ ポリシー webvpn コンフィギュレーション モードに入り、 customization コマンドを使用して、カスタマイゼーション オブジェクトをイネーブルにします。次の例は、グループ ポリシー sales でカスタマイゼーション オブジェクト sales がイネーブルになっていることを示しています。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# customization value sales
 

データのキャプチャ

CLI capture コマンドを使用すると、クライアントレス SSL VPN セッションでは正しく表示されない Web サイトに関する情報を記録できます。このデータは、シスコ カスタマー サポート エンジニアによる問題のトラブルシューティングに役立ちます。次の項では、クライアントレス SSL VPN セッション データのキャプチャおよび表示方法について説明します。

キャプチャ ファイルの作成

キャプチャ データを表示するためのブラウザの使用


) クライアントレス SSL VPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成したら、キャプチャを必ずディセーブルにしてください。


キャプチャ ファイルの作成

次の手順を実行して、クライアントレス SSL VPN セッションに関するデータをファイルにキャプチャします。


ステップ 1 クライアントレス SSL VPN のキャプチャ ユーティリティを開始するには、特権 EXEC モードで capture コマンドを使用します。

capture capture_name type webvpn user webvpn_username

値は次のとおりです。

capture_name は、キャプチャに割り当てる名前です。これは、キャプチャ ファイルの名前の先頭にも付加されます。

webvpn_user は、キャプチャの対象となるユーザ名です。

キャプチャ ユーティリティが開始されます。

ステップ 2 ユーザがクライアントレス SSL VPN セッションを開始するためにログインします。キャプチャ ユーティリティは、パケットをキャプチャしています。

コマンドの no バージョンを使用してキャプチャを停止します。

no capture capture_name


) webvpn ログオフの前に no capture コマンドを使用する必要があります。


キャプチャ ユーティリティは capture_name .zip ファイルを作成し、このファイルはパスワード koleso で暗号化されます。

ステップ 3 .zip ファイルをシスコシステムズに送信するか、Cisco TAC サービス リクエストに添付します。

ステップ 4 .zip ファイルの内容を確認するには、パスワード koleso を使用してファイルを解凍します。


 

次の例では、 hr という名前のキャプチャを作成します。これは、user2 へのトラフィックを次のようにファイルにキャプチャします。

hostname# capture hr type webvpn user user2
WebVPN capture started.
capture name hr
user name user2
hostname# no capture hr
 

キャプチャ データを表示するためのブラウザの使用

次の手順を実行して、クライアントレス SSL VPN セッションに関するデータをキャプチャして、ブラウザに表示します。


ステップ 1 クライアントレス SSL VPN のキャプチャ ユーティリティを開始するには、特権 EXEC モードで capture コマンドを使用します。

capture capture_name type webvpn user webvpn_username

値は次のとおりです。

capture_name は、キャプチャに割り当てる名前です。これは、キャプチャ ファイルの名前の先頭にも付加されます。

webvpn_user は、キャプチャの対象となるユーザ名です。

キャプチャ ユーティリティが開始されます。

ステップ 2 ユーザがクライアントレス SSL VPN セッションを開始するためにログインします。キャプチャ ユーティリティは、パケットをキャプチャしています。

コマンドの no バージョンを使用してキャプチャを停止します。

ステップ 3 ブラウザを開き、[Address] ボックスに次のように入力します。

https:// asdm_enabled_interface_of_the_security_appliance : port /admin/capture/ capture_name /pcap

次のコマンド例は、hr という名前のキャプチャを表示します。

https://192.0.2.1:60000/admin/capture/hr/pcap

キャプチャされたコンテンツが sniffer 形式で表示されます。

ステップ 4 キャプチャ コンテンツを調べ終えたら、コマンドの no バージョンを使用してキャプチャを停止します。