Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
クライアントレス SSL VPN の設定
クライアントレス SSL VPN の設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

クライアントレス SSL VPN の設定

はじめに

クライアントレス SSL VPN セキュリティ対策の順守

クライアントレス SSL VPN でサポートされていない機能の概要

中央サイトにアクセスするための SSL の使用

クライアントレス SSL VPN セッションでの HTTPS の使用

クライアントレス SSL VPN と ASDM ポートの設定

プロキシ サーバのサポートの設定

SSL/TLS 暗号化プロトコルの設定

デジタル証明書による認証

クライアントレス SSL VPN 用のブラウザのクッキーのイネーブル化

パスワードの管理

クライアントレス SSL VPN でのシングル サインオンの使用

HTTP Basic 認証または NTLM 認証による SSO の設定

SiteMinder による SSO 認証の設定

SAML Browser Post プロファイルを使用した SSO 認証の設定

HTTP Form プロトコルを使用した SSO の設定

デジタル証明書による認証

クライアントレス SSL VPN リソースの作成と適用

グループポリシーへのユーザの割り当て

セキュリティ アプライアンス認証サーバを使用する

RADIUS サーバを使用する

クライアントレス SSL VPN の接続プロファイルのアトリビュートの設定

クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュートの設定

クライアント/サーバ プラグインへのブラウザ アクセスの設定

ブラウザ プラグインのインストールについて

プラグインのためのセキュリティ アプライアンスの準備

シスコが再配布しているプラグインへのアクセスの提供

シスコが再配布していないプラグイン(Citrix Java Presentation Server Client プラグインなど)へのアクセスの提供

クライアントレス SSL VPN アクセスのための Citrix MetraFrame Server の準備

Citrix プラグインの作成とインストール

セキュリティ アプライアンスにインストールされているプラグインの表示

スマート トンネル アクセスの設定

スマート トンネルについて

スマート トンネルを使用する理由

スマート トンネルの要件と制限事項

一般的な要件と制限事項

Windows の要件と制限事項

Mac OS の要件と制限事項

スマート トンネル アクセスに適格なアプリケーションの追加

スマート トンネル リストの割り当て

スマート トンネル アクセスの自動化

スマート トンネル アクセスのイネーブル化

スマート トンネル アクセスのディセーブル化

ポート転送の設定

ポート転送の概要

ポート転送を使用する理由

ポート転送の要件と制限事項

ポート転送用の DNS の設定

ポート転送の対象となるアプリケーションの追加

ポート転送リストの割り当て

ポート転送の自動化

ポート転送のイネーブル化とディセーブル化

ファイル アクセスの設定

ファイル アクセスのサポートの追加

SharePoint アクセスのためのクロック精度の確認

PDA でのクライアントレス SSL VPN の使用

クライアントレス SSL VPN を介した電子メールの使用

電子メール プロキシの設定

電子メールプロキシの証明書認証

Web 電子メール MS Outlook Web Access の設定

クライアントレス SSL VPN のパフォーマンスの最適化

キャッシングの設定

コンテンツの変換の設定

リライト済み Java コンテンツに署名するための証明書の設定

コンテンツのリライトのディセーブル化

プロキシのバイパスの使用

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

APCF の例

クライアントレス SSL VPN エンド ユーザの設定

エンド ユーザ インターフェイスの定義

クライアントレス SSL VPN ホーム ページの表示

クライアントレス SSL VPN の Application Access パネルの表示

フローティング ツールバーの表示

クライアントレス SSL VPN ページのカスタマイズ

カスタマイゼーションのしくみ

カスタマイゼーション テンプレートのエクスポート

カスタマイゼーション テンプレートの編集

カスタマイゼーション オブジェクトのインポート

接続プロファイル、グループ ポリシー、ユーザへのカスタマイゼーションの適用

ヘルプのカスタマイズ

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供していない言語のヘルプ ファイルの作成

フラッシュ メモリへのヘルプ ファイルのインポート

フラッシュ メモリからの以前にインポートしたヘルプ ファイルのエクスポート

ユーザ名とパスワードの要求

セキュリティのヒントの通知

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

ユーザ メッセージの言語の変換

言語の変換の概要

変換テーブルの作成

カスタマイゼーション オブジェクトでの言語の参照

カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ アトリビュートの変更

データのキャプチャ

キャプチャ ファイルの作成

キャプチャ データを表示するためのブラウザの使用

Application Access ユーザのメモ

hosts ファイル エラーを回避するための Application Access の終了

Application Access 使用時の hosts ファイル エラーの回復

hosts ファイルの概要

不正な Application Access の終了

hosts ファイルの再設定

クライアントレス SSL VPN の設定

この章では、次について説明します。

「はじめに」

「クライアントレス SSL VPN リソースの作成と適用」

「クライアントレス SSL VPN の接続プロファイルのアトリビュートの設定」

「クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュートの設定」

「クライアント/サーバ プラグインへのブラウザ アクセスの設定」

「スマート トンネル アクセスの設定」

「ポート転送の設定」

「ファイル アクセスの設定」

「PDA でのクライアントレス SSL VPN の使用」

「クライアントレス SSL VPN を介した電子メールの使用」

「クライアントレス SSL VPN のパフォーマンスの最適化」

「クライアントレス SSL VPN エンド ユーザの設定」

「データのキャプチャ」

「Application Access ユーザのメモ」

はじめに

クライアントレス SSL VPN によってユーザは、ブラウザを使用してadaptive security applianceへのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェアやハードウェア クライアントは必要ありません。

クライアントレス SSL VPN を使用することで、インターネット上のほぼすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションにセキュアに、かつ容易にアクセスできます。次のようなアクセス先があります。

内部 Web サイト

Web 対応アプリケーション

NT/Active Directory ファイル共有

POP3S、IMAP4S、および SMTPS などの電子メール プロキシ

MS Outlook Web Access

Application Access(他の TCP ベースのアプリケーションにアクセスするためのポート転送またはスマート トンネル)


) セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。クライアントレス SSL VPN セッションによってアプリケーション アクセスを実現するポート転送やスマート トンネル機能のいずれも MAPI をサポートしません。MAPI プロトコルを使用する Microsoft Outlook Exchange での通信の場合、リモート ユーザは AnyConnect を使用する必要があります。


クライアントレス SSL VPN は Secure Sockets Layer プロトコルおよびその後継である Transport Layer Security を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。adaptive security applianceはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。

ネットワーク管理者は、クライアントレス SSL VPN セッションのユーザに対してグループ単位でリソースへのアクセスを提供します。ユーザは、内部ネットワーク上のリソースに直接アクセスすることはできません。

次の項では、クライアントレス SSL VPN アクセスを設定するための準備について説明します。

クライアントレス SSL VPN セキュリティ対策の順守

クライアントレス SSL VPN でサポートされていない機能の概要

中央サイトにアクセスするための SSL の使用

デジタル証明書による認証

クライアントレス SSL VPN 用のブラウザのクッキーのイネーブル化

パスワードの管理

クライアントレス SSL VPN でのシングル サインオンの使用

デジタル証明書による認証

クライアントレス SSL VPN セキュリティ対策の順守

adaptive security appliance 上の クライアントレス SSL VPN 接続は、リモートアクセス IPSec 接続とはまったく異なっています。特に SSL 対応サーバとの対話方法やセキュリティ上のリスクを減らすための対策に大きな違いがあります。

クライアントレス SSL VPN 接続では、adaptive security applianceは、エンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。ユーザが SSL 対応 Web サーバに接続すると、adaptive security applianceはセキュアな接続を確立し、SSL 証明書を検証します。エンド ユーザのブラウザは提示された SSL 証明書を受信しないため、この証明書を検証することはできません。

adaptive security appliance上の現在のクライアントレス SSL VPN 実装では、有効期限が切れた証明書を提示するサイトとの通信を許可しません。また、adaptive security applianceは信頼できる CA 証明書の検証も実行しません。このため、ユーザは、Web 対応サービスで使用する前に SSL 対応の Web サーバが提示する証明書を分析することができません。

クライアントレス SSL VPN アクセスで発生するリスクを最小限にするため、次のことを実行することをお勧めします。


ステップ 1 クライアントレス SSL VPN アクセスを必要とするすべてのユーザのグループ ポリシーを設定し、そのグループ ポリシーに対してだけクライアントレス SSL VPN をイネーブルにします。

ステップ 2 プライベート ネットワーク内の特定のターゲットへのアクセスのみを許可するか、プライベート ネットワークへのアクセスのみを許可するか、インターネット アクセスを拒否するか、信頼できるサイトへのアクセスのみを許可する ACL を適用します。

ステップ 3 ブラウザベースの接続を確立した場合に開くページである ポータル ページ の URL エントリをディセーブルにし、ユーザ アクセスの混乱を防ぐことができます。これを実行するには、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] ウィンドウに移動し、該当する DAP を選択し、[Edit] > [Functions] タブをクリックし、[URL entry] の横の [Disable] をクリックします。

ステップ 4 ユーザに、ポータル ページの上のネィティブ ブラウザ アドレス フィールドに外部 URL を入力するか、個別のブラウザ ウィンドウを開いて外部サイトを参照するように指示します。


注意 ユーザはポータル ページ(手順 3 を実行していない場合のポータル ページ内のアドレス フィールドを含む)を使用して、https プレフィックスを表示する外部サイト(オンライン バンキング サイトなど)を参照することはできません。


 

クライアントレス SSL VPN でサポートされていない機能の概要

adaptive security applianceは、クライアントレス SSL VPN 接続で次の機能をサポートしていません。

モジュラ ポリシー フレームワークの検査機能。コンフィギュレーション制御を検査する機能です。

vpn-filter コマンドなどのフィルタ設定コマンドが持つ機能。

NAT。グローバルに一意の IP アドレスの必要性を減らす機能です。

PAT。複数の発信セッションが 1 つの IP アドレスから発信されているように見せることができる機能です。

QoS。 police コマンドと priority-queue コマンドを使用してレートを制限する機能です。

接続制限。スタティックまたはモジュラ ポリシー フレームワークの set connection コマンドを使用して、接続をチェックする機能です。

established コマンド。このコマンドを使用すると、高セキュリティ ホストから低セキュリティ ホストへの接続が確立済みの場合に、低セキュリティ ホストから高セキュリティ ホストへのリターン接続が可能になります。

中央サイトにアクセスするための SSL の使用

クライアントレス SSL VPN は SSL およびその後継である TLS1 を使用して、リモート ユーザと、中央サイトにある特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。この項は、次の内容で構成されています。

クライアントレス SSL VPN セッションでの HTTPS の使用

クライアントレス SSL VPN と ASDM ポートの設定

プロキシ サーバのサポートの設定

SSL/TLS 暗号化プロトコルの設定

クライアントレス SSL VPN セッションでの HTTPS の使用

クライアントレス SSL VPN セッションの確立には次が必要です。

ユーザの接続先のadaptive security appliance インターフェイス上でクライアントレス SSL VPN セッションをイネーブルにする。

adaptive security applianceまたはロードバランシング クラスタへのアクセスに HTTPS を使用する。Web ブラウザには、adaptive security applianceの IP アドレスを https:// address 形式で入力します。 address はadaptive security appliance インターフェイスの IP アドレスまたは DNS ホスト名です。

インターフェイス上でクライアントレス SSL VPN セッションを許可するには、次の手順を実行します。


ステップ 1 グローバル コンフィギュレーション モードで webvpn コマンドを入力して、webvpn モードに入ります。

ステップ 2 クライアントレス SSL VPN セッションに使用するインターフェイス名を指定して enable コマンドを入力します。

たとえば、外部のインターフェイス上でクライアントレス SSL VPN セッションをイネーブルにするには、次のように入力します。

hostname(config)# webvpn
hostname(config-webvpn)# enable outside
 


 

クライアントレス SSL VPN と ASDM ポートの設定

バージョン 8.0(2)から、adaptive security applianceはクライアントレス SSL VPN セッションと ASDM 管理セッションの両方を外部インターフェイスのポート 443 で同時にサポートしています。ただし、これらのアプリケーションを別々のインターフェイスに設定するオプションもあります。

クライアントレス SSL VPN の SSL リスニング ポートを変更するには、webvpn モードで port port_number コマンドを使用します。次の例では、外部インターフェイスのポート 444 でクライアントレス SSL VPN をイネーブルにします。ASDM の HTTPS も外部インターフェイスで設定されており、デフォルト ポート(443)を使用します。このコンフィギュレーションでは、リモート ユーザはブラウザに https://<outside_ip>:444 と入力して、クライアントレス SSL VPN セッションを開始します。

hostname(config)# http server enable
hostname(config)# http 192.168.3.0 255.255.255.0 outside
hostname(config)# webvpn
hostname(config-webvpn)# port 444
hostname(config-webvpn)# enable outside
 

ASDM のリスニング ポートを変更するには、特権 EXEC モードで、 http server enable コマンドの port 引数を使用します。次の例では、HTTPS ASDM セッションが外部インターフェイスでポート 444 を使用するように指定しています。クライアントレス SSL VPN も外部インターフェイスでイネーブルにされており、デフォルト ポート(443)を使用します。このコンフィギュレーションでは、リモート ユーザは https://<outside_ip>:444 とブラウザで入力して、ASDM セッションを開始します。

hostname(config)# http server enable 444
hostname(config)# http 192.168.3.0 255.255.255.0 outside
hostname(config)# webvpn
hostname(config-webvpn)# enable outside
 

プロキシ サーバのサポートの設定

adaptive security applianceは HTTPS 接続を終了して、HTTP および HTTPS 要求をプロキシ サーバに転送できます。これらのサーバは、ユーザとインターネットの仲介役として機能します。インターネット アクセスが組織によって制御されているサーバを経由するように指定することで、別のフィルタリングが可能になり、セキュアなインターネット アクセスと管理制御が保証されます。

HTTP および HTTPS プロキシ サービスのサポートを設定する場合、プリセットされたクレデンシャルを割り当てて、基本認証に対する各要求と共に送信できます。さらに、HTTP および HTTPS 要求から除外する URL を指定することもできます。

HTTP プロキシ サーバからダウンロードするようにプロキシ自動設定(PAC)ファイルを指定できますが、PAC ファイルを指定した場合、プロキシ認証を使用しないことがあります。

adaptive security applianceで HTTP および HTTPS 要求の処理に外部プロキシ サーバを使うように設定するには、webvpn モードで http-proxy および https-proxy コマンドを使用します。

http-proxy host [ port ] [ exclude url ] [ username username { password password }]

https-proxy host [ port ] [ exclude url ] [ username username { password password }]

http-proxy pac url

exclude :(オプション)プロキシ サーバに送信される可能性がある URL から除外する場合に、このキーワードを入力します。

host 外部プロキシ サーバのホスト名または IP アドレスを入力します。

pac :ブラウザにダウンロードするプロキシ自動設定ファイル。PAC ファイルはダウンロードされると、JavaScript 機能を使用して、各 URL のプロキシを識別します。

password :(オプション、 username を指定した場合にのみ使用可能)各プロキシ要求に、基本プロキシ認証を提供するためのパスワードを含める場合にこのキーワードを入力します。

password 各 HTTP または HTTPS 要求と共に、プロキシ サーバに送信するパスワードを入力します。

port (オプション)プロキシ サーバで使用するポート番号を入力します。デフォルトの HTTP ポートは 80 です。デフォルトの HTTPS ポートは 443 です。adaptive security applianceは、代替の値が指定されていない場合に、これらの各ポートを使用します。この範囲は 1 ~ 65535 です。

url :exclude を入力した場合、プロキシ サーバに送信される可能性がある URL から除外する URL またはカンマで区切った複数の URL のリストを入力します。文字列の文字数の制限はありませんが、コマンド全体が 512 文字を超えることはできません。リテラルな URL を指定するか、次のワイルドカードを使用できます。

* はスラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは英数字の文字列とともに使用する必要があります。

? は、スラッシュやピリオドを含む任意の 1 文字と一致します。

[ x - y ] は、 x から y の範囲の任意の 1 文字と一致します。 x は ANSI 文字セットの 1 文字を表し、 y は別の文字を表します。

[ ! x - y ] は、指定範囲に含まれていない任意の 1 文字と一致します。

http-proxy pac を入力した場合、 http:// に続けて、プロキシ自動設定ファイルの URL を入力します。 http:// 部分を省略した場合、CLI はコマンドを無視します。

username :(オプション)基本プロキシ認証のための各 HTTP プロキシ要求に、ユーザ名を含める場合にこのキーワードを入力します。このキーワードは http-proxy host コマンドでのみサポートされています。

username 各 HTTP または HTTPS 要求と共に、プロキシ サーバに送信するユーザ名を入力します。

adaptive security appliance クライアントレス SSL VPN コンフィギュレーションでは、それぞれ 1 つの http-proxy と 1 つの http-proxy コマンドのみをサポートします。たとえば、 http-proxy コマンドの 1 つのインスタンスがすでに実行中のコンフィギュレーションに存在していて、別のコマンドを入力した場合、CLI は前のインスタンスを上書きします。

次の例に、IP アドレスが 209.165.201.1 で、デフォルトのポートを使用し、各 HTTP 要求でユーザ名とパスワードを送信する HTTP プロキシ サーバの使用を設定する方法を示します。

hostname(config-webvpn)# http-proxy 209.165.201.1 jsmith password mysecretdonttell
hostname(config-webvpn)
 

次の例は同じコマンドを示していますが、adaptive security applianceが HTTP 要求内で特定の URL、www.example.com を受け取った場合に、それをプロキシ サーバに渡す代わりに要求を解決する点が異なります。

hostname(config-webvpn)# http-proxy 209.165.201.1 exclude www.example.com username jsmith password mysecretdonttell
hostname(config-webvpn)
 

次の例は、ブラウザにプロキシ自動設定ファイルとして使われる URL を指定する方法を示します。

hostname(config-webvpn)# http-proxy pac http://www.example.com/pac
hostname(config-webvpn)
 

SSL/TLS 暗号化プロトコルの設定

SSL/TLS 暗号化プロトコルを設定するときは、次のことに注意してください。

使用しているadaptive security applianceとブラウザが、同じ SSL/TLS 暗号化プロトコルを利用していることを確認してください。

電子メール プロキシを設定する場合は、adaptive security appliance SSL バージョンを TLSv1 Only に設定しないでください。
MS Outlook と MS Outlook Express は TLS をサポートしていません。

TCP ポート転送には Sun Microsystems Java Runtime Environment(JRE)バージョン 1.4.x および 1.5.x が必要です。クライアントレス SSL VPN のユーザが次のようないくつかの SSL バージョンと接続している場合に、ポート転送は機能しません。

 

Negotiate SSLv3

Java がダウンロードされる

Negotiate SSLv3/TLSv1

Java がダウンロードされる

Negotiate TLSv1

Java がダウンロードされない

TLSv1Only

Java がダウンロードされない

SSLv3Only

Java がダウンロードされない

デジタル証明書による認証

SSL はデジタル証明書を使用して認証を行います。adaptive security applianceは、ブート時に自己署名の SSL サーバ証明書を作成します。または、PKI コンテキストで発行された SSL 証明書をadaptive security applianceにインストールすることもできます。HTTPS の場合、この証明書をクライアントにインストールする必要があります。証明書のインストールは、特定のadaptive security applianceから 1 度だけ行います。

デジタル証明書によるユーザ認証には、次のような制限事項があります。

デジタル証明書を使用して認証を行うクライアントレス SSL VPN ユーザに対して、Application Access は機能しません。JRE には、Web ブラウザ キーストアにアクセスする機能はありません。このため、JAVA はブラウザがユーザ認証に使用する証明書を使用できず、起動できません。

電子メールプロキシは、Netscape 7.x の電子メール クライアントの証明書認証だけをサポートします。MS Outlook、MS Outlook Express、Eudora など、他の電子メール クライアントは、証明書ストアにアクセスできません。

デジタル証明書を使用する認証と認可の詳細については、「証明書とユーザ ログイン クレデンシャルの使用方法」を参照してください。

クライアントレス SSL VPN 用のブラウザのクッキーのイネーブル化

クライアントレス SSL VPN が正しく動作するためには、ブラウザのクッキーが必要です。ブラウザでクッキーがディセーブルになっていると、Web ポータル ホームページからのリンクによって新しいウィンドウが開き、ユーザはもう一度ログインするように要求されます。

パスワードの管理

オプションで、パスワードの期限切れが近づくとにエンド ユーザに警告するようにadaptive security applianceを設定できます。これを設定するには、トンネルグループの一般アトリビュート モードで、 password-management コマンドを指定するか、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > [Add or Edit] > [Advanced] > [General] > [Password Management] で ASDM を使用して機能をイネーブルにします。

adaptive security applianceは RADIUS プロトコルと LDAP プロトコルのパスワード管理をサポートしています。「password-expire-in-days」オプションは LDAP に対してのみサポートされています。

IPSec リモート アクセスおよび SSL VPN トンネルグループのパスワード管理を設定できます。

パスワード管理を設定すると、adaptive security applianceは、リモート ユーザのログイン時に、現在のパスワードの期限切れが近づいているか、または期限が切れていることを通知します。次に、adaptive security applianceからパスワード変更の機会がユーザに提供されます。現在のパスワードの期限がまだ切れていない場合は、ユーザはこのパスワードで引き続きログインできます。

このコマンドはそのような通知をサポートしている AAA サーバに有効です。RADIUS 認証または LDAP 認証が設定されていない場合、adaptive security applianceはこのコマンドを無視します。


) MSCHAP をサポートしている一部の RADIUS サーバでは現在 MSCHAPv2 をサポートしていません。このコマンドを使用するには MSCHAPv2 が必要であるため、ベンダーに確認してください。


adaptive security applianceのリリース 7.1 以降では、一般に LDAP または MS-CHAPv2 をサポートする RADIUS コンフィギュレーションで認証するときに、次の接続タイプのパスワード管理をサポートしています。

AnyConnect VPN Client

IPSec VPN クライアント

クライアントレス SSL VPN

Kerberos/Active Directory(Windows パスワード)または NT 4.0 ドメインについては、これらの接続タイプのいずれでも、パスワード管理はサポートされていません。

RADIUS サーバ(Cisco ACS など)は認証要求を別の認証サーバにプロキシする場合があります。ただし、adaptive security applianceからは、RADIUS サーバと通信しているように見えます。


) LDAP の場合、パスワード変更の方法は、市場のさまざまな LDAP サーバ専用です。現在、adaptive security applianceが実装している専用のパスワード管理ロジックは、Microsoft Active Directory サーバおよび Sun LDAP サーバのみを対象にしています。


ネイティブ LDAP には SSL 接続が必要です。LDAP のパスワード管理を実行する前に、SSL を介した LDAP をイネーブルにする必要があります。デフォルトで LDAP はポート 636 を使用します。


) LDAP ディレクトリ サーバを認証用に使用している場合、パスワード管理は、Sun Microsystems JAVA System Directory Server(旧称 Sun ONE Directory Server)および Microsoft Active Directory 上でサポートされます。

Sun:Sun ディレクトリ サーバにアクセスするためにadaptive security applianceに設定した DN はサーバのデフォルトのパスワード ポリシーにアクセスできる必要があります。ディレクトリ管理者またはディレクトリ管理者の特権のあるユーザを使用することをお勧めします。または、デフォルトのパスワード ポリシーに ACI を設定します。

Microsoft:Microsoft Active Directory でパスワードを管理できるように SSL を介して LDAP を設定する必要があります。


このコマンドはパスワードの期限切れまでの日数を変更するのではなく、adaptive security applianceがパスワードが期限切れになる何日前にユーザへの警告を開始するかが変更されるという点に注意してください。

password-expire-in-days キーワードを指定する場合、日数も指定する必要があります。

日数を 0 にしてこのコマンドを指定すると、このコマンドはディセーブルになります。adaptive security applianceは、期限切れが迫っていることをユーザに通知しませんが、ユーザは期限が切れた後にパスワードを変更できます。

次の例は、接続プロファイル「testgroup」についてパスワードの期限切れが迫っていることをユーザに警告し始めるまでの日数を 90 日間に設定しています。

hostname(config)# tunnel-group testgroup type webvpn
hostname(config)# tunnel-group testgroup general-attributes
hostname(config-general)# password-management password-expire-in-days 90

クライアントレス SSL VPN でのシングル サインオンの使用

シングル サインオン サポートは、クライアントレス SSL VPN ユーザがパスワードを 1 回入力するだけで複数の保護されたサービスや Web サーバにアクセスできるシステムです。一般に、SSO のメカニズムは、AAA プロセスの一部として開始されるか、または AAA サーバのユーザ認証に成功した直後に開始されます。adaptive security appliance上で実行されているクライアントレス SSL VPN サーバは、認証サーバにアクセスするユーザのプロキシとして機能します。ユーザがログインすると、クライアントレス SSL VPN サーバは HTTPS を使用して認証サーバに SSO 認証要求を送信します。要求にはユーザ名とパスワードが含まれます。サーバは認証要求を承認した場合、SSO 認証クッキーをクライアントレス SSL VPN サーバに返します。adaptive security applianceは、ユーザの代理としてこのクッキーを保持し、ユーザ認証でこのクッキーを使用して、SSO サーバで保護されているドメイン内部の Web サイトの安全を確保します。

この項では、クライアントレス SSL VPN でサポートされる 3 種類の SSO 認証方法について説明します。これらの認証方法には、HTTP Basic 認証と NTLMv1(NT LAN Manager)認証、Computer Associates の eTrust SiteMinder SSO サーバ(以前の Netegrity SiteMinder)、および Security Assertion Markup Language(SAML)のバージョン 1.1、POST タイプ SSO サーバ認証があります。

この項の内容は次のとおりです。

HTTP Basic 認証または NTLM 認証による SSO の設定

SiteMinder による SSO 認証の設定

SAML Browser Post プロファイルを使用した SSO 認証の設定

HTTP Form プロトコルを使用した SSO の設定

HTTP Basic 認証または NTLM 認証による SSO の設定

この項では、HTTP Basic 認証または NTLM 認証を使用するシングル サインオンについて説明します。この方法のいずれかまたは両方を使用して SSO を実装するようにadaptive security applianceを設定できます。 auto-signon コマンドを使用すると、adaptive security applianceはクライアントレス SSL VPN ユーザのログインのクレデンシャル(ユーザ名およびパスワード)を内部サーバに自動的に渡すように設定されます。 auto-signon コマンドは 2 回以上入力できます。コマンドを複数回入力すると、adaptive security applianceは入力順(先に入力されたコマンドを優先)にこれらを処理します。IP アドレスと IP マスク、または URI マスクのいずれかを使用してログインのクレデンシャルを受信するようにサーバに指定します。

auto-signon コマンドは、webvpn コンフィギュレーション モード、webvpn グループポリシー モード、webvpn ユーザ名モードのすべてで使用できます。ユーザ名はグループより優先され、グループはグローバルより優先されます。モードは、次のように、必要な認証の範囲に応じて選択します。

 

モード
範囲

webvpn コンフィギュレーション

クライアントレス SSL VPN ユーザ全員に対するグローバルな範囲

webvpn グループポリシー コンフィギュレーション

グループポリシーで定義されるクライアントレス SSL VPN ユーザのサブセット

webvpn ユーザ名コンフィギュレーション

クライアントレス SSL VPN の個々のユーザ

次の例では、モードと引数の組み合せが可能なさまざまなコマンドについて説明します。

すべてのユーザ、IP アドレス範囲、NTLM

NTLM 認証を使用し、10.1.1.0 から 10.1.1.255 の IP アドレス範囲に存在するサーバに対するすべてのクライアントレス SSL VPN のユーザからのアクセスに 自動サインオン を設定するには、次のようなコマンドを入力します。

hostname(config)# webvpn
hostname(config-webvpn)# auto-signon allow ip 10.1.1.1 255.255.255.0 auth-type ntlm

すべてのユーザ、URI 範囲、HTTP Basic

基本 HTTP 認証を使用するすべてのクライアントレス SSL VPN のユーザに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに 自動サインオン を設定するには、次のようなコマンドを入力します。

hostname(config)# webvpn
hostname(config-webvpn)# auto-signon allow uri https://*.example.com/* auth-type basic

グループ、URI 範囲、HTTP Basic および NTLM

基本認証または NTLM 認証を使用して、ExamplePolicy グループ ポリシーに関連付けられているクライアントレス SSL VPN セッションに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに 自動サインオン を設定するには、次のコマンドを入力します。

 
hostname(config)# group-policy ExamplePolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all

特定のユーザ、IP アドレス範囲、HTTP Basic

NTTP Basic 認証を使用し、10.1.1.0 から 10.1.1.255 の IP アドレス範囲に存在するサーバに対する Anyuser と名付けられたユーザからのアクセスに 自動サインオン を設定するには、次のようなコマンドを入力します。

hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# auto-signon allow ip 10.1.1.1 255.255.255.0 auth-type basic

SiteMinder による SSO 認証の設定

ここでは、SiteMinder を使用して SSO をサポートするためのadaptive security applianceの設定について説明します。ユーザの Web サイトのセキュリティ インフラストラクチャにすでに SiteMinder を組み込んでいる場合は、SSO に SiteMinder を使用するのが普通です。この方式により、SSO 認証は AAA から切り離され、AAA プロセスが完了するとこの認証が 1 回実施されます。クライアントレス SSL VPN アクセス用にユーザまたはグループに SSO を設定する場合は、まず RADIUS サーバまたは LDAP サーバなどの AAA サーバを設定する必要があります。その後で、クライアントレス SSL VPN の SSO サポートをセットアップできます。この項の内容は次のとおりです。

タスクの概要:SiteMinder による SSO の設定

タスクの詳細:SiteMinder による SSO の設定

シスコの認証スキームの SiteMinder への追加

タスクの概要:SiteMinder による SSO の設定

この項では、SiteMinder SSO を使用して SSO を設定するために必要なタスクの概要について説明します。必要なタスクは次のとおりです。

SSO サーバの指定

adaptive security applianceが SSO 認証要求を作成するための SSO サーバの URL の指定

adaptive security applianceと SSO サーバとの間でセキュアな通信を確立するための秘密キーの指定。このキーはパスワードのようなもので、ユーザが作成および保管し、Cisco Java プラグイン認証スキームを使用してadaptive security applianceおよび SiteMinder Policy Server の両方で入力します。

オプションで、必須タスクに加えて、次のコンフィギュレーション タスクを実行できます。

認証要求のタイムアウトの設定

認証要求のリトライ回数の設定

これらのタスクの完了後、ユーザまたはグループポリシーに SSO サーバを割り当てます。

タスクの詳細:SiteMinder による SSO の設定

ここでは、CA SiteMinder による SSO 認証をサポートするためのadaptive security applianceの特定の設定手順について説明します。SiteMinder を使用して SSO を設定するには、次の手順を実行します。


ステップ 1 webvpn コンフィギュレーション モードで、次の sso-server コマンドと type オプションを入力して SSO サーバを作成します。たとえば、Example of type siteminder という名前の SSO サーバを作成するには、次のように入力します。

hostname(config)# webvpn
hostname(config-webvpn)# sso-server Example type siteminder
hostname(config-webvpn-sso-siteminder)#
 

ステップ 2 webvpn-sso-siteminder コンフィギュレーション モードで次のように web-agent-url コマンドを入力して SSO サーバの認証 URL を指定します。たとえば、http://www.Example.com/webvpn という URL に認証要求を送信するには、次のように入力します。

hostname(config-webvpn-sso-siteminder)# web-agent-url http://www.Example.com/webvpn
hostname(config-webvpn-sso-siteminder)#
 

ステップ 3 adaptive security applianceと SiteMinder との間の認証通信をセキュアにする秘密キーを webvpn-sso-siteminder コンフィギュレーション モードで policy-server-secret コマンドを使用して指定します。キーの長さは、標準またはシフト式英数字を使用した任意の文字長にできますが、adaptive security applianceと SSO サーバの両方で同じキーを使用する必要があります。

たとえば、AtaL8rD8! という秘密キーを作成するには、次のように入力します。

hostname(config-webvpn-sso-siteminder)# policy-server-secret AtaL8rD8!
hostname(config-webvpn-sso-siteminder)#
 

ステップ 4 また、オプションで、webvpn-sso-siteminder コンフィギュレーション モードから request-timeout コマンドを使用すると、失敗した SSO 認証がタイムアウトを試行するまでの秒数を設定できます。デフォルトの秒数は 5 秒で、1 秒から 30 秒までの範囲で指定できます。要求がタイムアウトするまでの秒数を 8 に変更するには、次のように入力します。

hostname(config-webvpn-sso-siteminder)# request-timeout 8
hostname(config-webvpn-sso-siteminder)#
 

ステップ 5 また、オプションで、webvpn-sso-siteminder コンフィギュレーション モードから max-retry-attempts コマンドを使用すると、adaptive security applianceがタイムアウトするまでに、失敗した SSO 認証をリトライする回数を設定できます。デフォルトのリトライ回数は 3 で、1 回から 5 回までの範囲で指定できます。たとえば、リトライの回数を 4 に設定するには、次のように入力します。

hostname(config-webvpn-sso-siteminder)# max-retry-attempts 4
hostname(config-webvpn-sso-siteminder)#
 

ステップ 6 SSO サーバの設定後、グループまたはユーザのいずれかに対して SSO 認証を指定する必要があります。グループに SSO を指定するには、group-policy-webvpn コンフィギュレーション モードで sso-server value コマンドを使用して SSO サーバをグループポリシーに割り当てます。ユーザに SSO を指定するには、同じ sso-server value コマンドを使用して SSO サーバをユーザに割り当てますが、この場合は username-webvpn コンフィギュレーション モードで実行します。たとえば、Example という名前の SSO サーバをユーザ名 Anyuser に割り当てるには、次のように入力します。

hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# sso-server value Example
hostname(config-username-webvpn)#
 

ステップ 7 最後に、特権 EXEC モードで、 test sso-server コマンドを使用すると SSO サーバの設定をテストできます。たとえば、Example という名前の SSO サーバをユーザ名 Anyuser でテストするには、次のように入力します。

hostname# test sso-server Example username Anyuser
INFO: Attempting authentication request to sso-server Example for user Anyuser
INFO: STATUS: Success
hostname#
 


 

シスコの認証スキームの SiteMinder への追加

SiteMinder による SSO を使用するためのadaptive security applianceの設定に加え、シスコの Web サイトからダウンロードする Java プラグインとして提供されているシスコの認証スキームを使用するようにユーザの CA SiteMinder Policy Server を設定する必要もあります。


) SiteMinder Policy Server を正しく設定するには、SiteMinder の経験が必要です。この項では、手順のすべてではなく、一般的なタスクを取り上げます。


ユーザの SiteMinder Policy Server にシスコの認証スキームを設定するには、次のタスクを実行します。


ステップ 1 SiteMinder Administration ユーティリティを使用して、次の特定の引数を使用できるようにカスタム認証スキームを作成します。

[Library] フィールドに、 smjavaapi と入力します。

[Secret] フィールドに、adaptive security applianceに設定したものと同じ秘密キーを入力します。

コマンド ライン インターフェイスで policy-server-secret コマンドを使用して、adaptive security applianceに秘密キーを設定します。

[Parameter] フィールドに、 CiscoAuthAPI と入力します。

ステップ 2 Cisco.com のログインを使用して cisco_vpn_auth.jar ファイルを http://www.cisco.com/cgi-bin/tablebuild.pl/asa からダウンロードし、SiteMinder サーバのデフォルトのライブラリ ディレクトリにコピーします。この .jar ファイルは Cisco adaptive security appliance CD でも入手できます。

SAML Browser Post プロファイルを使用した SSO 認証の設定

ここでは、認可済みのユーザに対し、Security Assertion Markup Language(SAML)バージョン 1.1 POST プロファイル シングル サインオン(SSO)をサポートするためのadaptive security applianceの設定について説明します。SAML SSO はクライアントレス SSL VPN セッションに対してのみサポートされています。この項の内容は次のとおりです。

タスクの概要:SAML Post プロファイルによる SSO の設定

タスクの詳細:SAML Post プロファイルによる SSO の設定

SSO サーバの設定

セッションの開始後、adaptive security applianceは設定済みの AAA 方式に対して、ユーザを認証します。次に、adaptive security appliance(アサーティング パーティ)は、SAML サーバによって提供されたコンシューマ URL サービスのリライング パーティに対してアサーションを生成します。SAML の交換が成功すると、ユーザは保護されたリソースへのアクセスが許可されます。図 34-1 に通信フローを示します。

図 34-1 SAML の通信フロー

 

 


) SAML Browser Artifact プロファイル方式のアサーション交換はサポートされていません。


タスクの概要:SAML Post プロファイルによる SSO の設定

この項では、SAML Browser Post プロファイルを使用して SSO を設定するために必要なタスクの概要について説明します。必要なタスクは次のとおりです。

sso-server コマンドを使用して、SSO サーバを指定します。

認証要求のための SSO サーバの URL を指定します( assertion-consumer-url コマンド)。

認証要求を発行するコンポーネントとしてadaptive security appliance ホスト名を指定します( issuer コマンド)

SAML Post プロファイル アサーションの署名に使用するトラストポイント 証明書を指定します( trustpoint コマンド)。

オプションで、これらの必須タスクに加えて、次のような設定タスクを行うことができます。

認証要求のタイムアウトを設定します( request-timeout コマンド)。

認証要求のリトライ回数を設定します( max-retry-attempts コマンド)。

コンフィギュレーション タスクが完了したら、SSO サーバをユーザまたはグループ ポリシーに割り当てます。

タスクの詳細:SAML Post プロファイルによる SSO の設定

ここでは、SAML Post プロファイルによる SSO 認証をサポートするためのadaptive security applianceの特定の設定手順について説明します。SAML-V1.1-POST を使用して SSO を設定するには、次の手順を実行します。


ステップ 1 webvpn コンフィギュレーション モードで、次の sso-server コマンドと type オプションを入力して SSO サーバを作成します。たとえば、Sample of type SAML-V1.1-POST という名前の SSO サーバを作成するには、次のように入力します。

hostname(config)# webvpn
hostname(config-webvpn)# sso-server sample type SAML-V1.1-post
hostname(config-webvpn-sso-saml)#
 

) adaptive security applianceでは現在、SAML SSO サーバの Browser Post プロファイル タイプのみをサポートしています。


ステップ 2 webvpn-sso-saml コンフィギュレーション モードで次のように assertion-consumer-url コマンドを入力して SSO サーバの認証 URL を指定します。たとえば、http://www.Example.com/webvpn という URL に認証要求を送信するには、次のように入力します。

hostname(config-webvpn-sso-saml)# assertion-consumer-url http://www.sample.com/webvpn
hostname(config-webvpn-sso-saml)#
 

ステップ 3 セキュリティ アプライアンスでアサーションを生成する場合は、adaptive security appliance自体を識別する一意の文字列を指定します。通常、この issuer 名は、次のようなadaptive security applianceのホスト名になります。

hostname(config-webvpn-sso-saml)# issuer myasa
hostname(config-webvpn-sso-saml)#
 

ステップ 4 trust-point コマンドでアサーションに署名するための ID 証明書を指定します。次に例を示します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes

hostname(config-tunnel-ipsec)# trust-point mytrustpoint

また、オプションで、webvpn-sso-saml コンフィギュレーション モードから request-timeout コマンドを使用すると、失敗した SSO 認証がタイムアウトを試行するまでの秒数を設定できます。デフォルトの秒数は 5 秒で、1 秒から 30 秒までの範囲で指定できます。要求がタイムアウトするまでの秒数を 8 に変更するには、次のように入力します。

hostname(config-webvpn-sso-saml)# request-timeout 8
hostname(config-webvpn-sso-saml)#
 

ステップ 5 また、オプションで、webvpn-sso-saml コンフィギュレーション モードから max-retry-attempts コマンドを使用すると、adaptive security applianceがタイムアウトするまでに、失敗した SSO 認証をリトライする回数を設定できます。デフォルトのリトライ回数は 3 で、1 回から 5 回までの範囲で指定できます。たとえば、リトライの回数を 4 に設定するには、次のように入力します。

hostname(config-webvpn-sso-saml)# max-retry-attempts 4
hostname(config-webvpn-sso-saml)#
 

ステップ 6 SSO サーバの設定後、グループまたはユーザのいずれかに対して SSO 認証を指定する必要があります。グループに SSO を指定するには、group-policy-webvpn コンフィギュレーション モードで sso-server value コマンドを使用して SSO サーバをグループポリシーに割り当てます。ユーザに SSO を指定するには、同じ sso-server value コマンドを使用して SSO サーバをユーザに割り当てますが、この場合は username-webvpn コンフィギュレーション モードで実行します。たとえば、Example という名前の SSO サーバをユーザ名 Anyuser に割り当てるには、次のように入力します。

hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# sso-server value sample
hostname(config-username-webvpn)#
 

ステップ 7 最後に、特権 EXEC モードで、 test sso-server コマンドを使用すると SSO サーバの設定をテストできます。たとえば、Example という SSO サーバをユーザ名 Anyuser でテストするには、次のように入力します。

hostname# test sso-server Example username Anyuser
INFO: Attempting authentication request to sso-server sample for user Anyuser
INFO: STATUS: Success
 


 

SSO サーバの設定

サーバ ソフトウェア ベンダーから提供された SAML サーバのマニュアルを使用して、Relying Party モードで SAML サーバを設定します。次の手順に、Browser Post プロファイルに SAML サーバを設定するために必要な特定のパラメータを示します。


ステップ 1 アサーティング パーティ(adaptive security appliance)を表す SAML サーバ パラメータを設定します。

Recipient consumer url(ASA で設定する assertion consumer url と同じ)

Issuer ID(通常はアプライアンスのホスト名である文字列)

Profile type:Browser Post Profile

ステップ 2 証明書を設定します。

ステップ 3 アサーティング パーティのアサーションに署名が必要なことを指定します。

ステップ 4 SAML サーバがユーザを特定する方法を選択します。

Subject Name Type が DN

Subject Name format が uid=<user>


 

HTTP Form プロトコルを使用した SSO の設定

この項では、SSO における HTTP Form プロトコルの使用方法について説明します。HTTP Form プロトコルは SSO 認証を実行するための一般的な手段で、AAA 方式としても使用できます。このプロトコルは、クライアントレス SSL VPN のユーザおよび認証を行う Web サーバの間で認証情報を交換するセキュアな方法を提供します。HTTP Form は一般的なプロトコルとして、Web サーバや Web ベースの SSO 製品との高度な互換性を持ち、RADIUS サーバや LDAP サーバなど他の AAA サーバと共に使用できます。


) HTTP プロトコルを使用して SSO を正しく設定するには、認証および HTTP プロトコル交換に関する実用的な知識が必要です。


adaptive security applianceは、ここでも認証 Web サーバに対するクライアントレス SSL VPN のユーザのプロキシとして動作しますが、この場合は、要求に対して HTTP Form プロトコルと POST 方式を使用します。フォーム データを送受信するようにadaptive security applianceを設定する必要があります。図 34-2 に、次の SSO 認証手順を示します。

1. 最初に、クライアントレス SSL VPN のユーザは、ユーザ名とパスワードを入力してadaptive security appliance上のクライアントレス SSL VPN サーバにログインします。

2. ユーザのプロキシとして動作するクライアントレス SSL VPN サーバは、このフォーム データ(ユーザ名およびパスワード)を、POST 認証要求によって認証する Web サーバに転送します。

3. 認証する Web サーバがユーザのデータを承認した場合は、ユーザの代行で保管していた認証クッキーをクライアントレス SSL VPN サーバに戻します。

4. クライアントレス SSL VPN サーバはユーザまでのトンネル接続を確立します。

5. これでユーザは、ユーザ名やパスワードを再入力しなくても、保護された SSO 環境内の他の Web サイトにアクセスできるようになります。

 

図 34-2 HTTP Form による SSO 認証

 

 

adaptive security applianceでユーザ名やパスワードなどの POST データを含めるようにするフォーム パラメータを設定するときに、Web サーバが追加的に要求する非表示パラメータの中には、ユーザ側で当初認識できないものがある場合があります。認証アプリケーションによっては、ユーザ側に表示されず、ユーザが入力もしない非表示データを要求する場合があります。しかし、認証 Web サーバが要求する非表示パラメータを見つけることは可能です。これは、adaptive security applianceを仲介役のプロキシとして使用せずに、ユーザのブラウザから Web サーバに直接認証要求を出す方法で行います。HTTP ヘッダー アナライザを使用して Web サーバの応答を分析すると、非表示パラメータが次のような形式で表示されます。

<param name>=<URL encoded value>&<param name>=<URL encoded>
 

非表示パラメータには、必須のパラメータとオプションのパラメータとがあります。Web サーバが非表示パラメータのデータを要求した場合は、そのデータを省略するすべての認証 POST 要求を拒否します。非表示パラメータが必須かオプションかについてはヘッダー アナライザではわからないので、必須であることが判別できるまではすべての非表示パラメータを含めることを推奨します。

この項の内容は次のとおりです。

HTTP Form データの収集

タスクの概要:HTTP Form プロトコルによる SSO の設定

タスクの詳細:HTTP Form プロトコルによる SSO の設定

HTTP Form データの収集

この項では、必要な HTTP Form データを検出および収集する手順を示します。認証 Web サーバが要求するパラメータが何かわからない場合は、次の手順を実行して認証交換を分析するとパラメータ データを収集できます。


) これらの手順では、ブラウザと HTTP ヘッダー アナライザが必要です。



ステップ 1 ユーザのブラウザと HTTP ヘッダー アナライザを起動して、adaptive security applianceを経由せずに Web サーバのログイン ページに直接接続します。

ステップ 2 Web サーバのログイン ページがユーザのブラウザにロードされてから、ログイン シーケンスを検証して交換時にクッキーが設定されているかどうか判別します。Web サーバによってログイン ページにクッキーがロードされている場合は、このログイン ページの URL を start-URL として設定します。

ステップ 3 Web サーバにログインするためのユーザ名とパスワードを入力して、Enter キーを押します。この動作によって、ユーザが検証する認証 POST 要求が HTTP ヘッダー アナライザで生成されます。

次に、ホストの HTTP ヘッダーおよび本文が記載された POST 要求の例を示します。

POST /emco/myemco/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000430e1-7443-125c-ac05-83846dc90034&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F HTTP/1.1
Host: www.example.com
(BODY)
SMENC=ISO-8859-1&SMLOCALE=US-EN&USERID=Anyuser&USER_PASSWORD=XXXXXX&target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0
 

ステップ 4 POST 要求を検証してプロトコル、ホストをコピーし、URL を入力して、action-uri パラメータを設定します。

ステップ 5 POST 要求の本文を検証して、次の情報をコピーします。

a. ユーザ名パラメータ。上記の例では、このパラメータは USERID で、値は anyuser ではありません。

b. パスワード パラメータ。上記の例では、このパラメータは USER_PASSWORD です。

c. 非表示パラメータ。このパラメータは、POST 本文からユーザ名パラメータとパスワード パラメータを除くすべてです。上記の例で言うと、非表示パラメータは、SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0 の部分です。

図 34-3 に、HTTP アナライザの出力例に表示される action URI、非表示データ、ユーザ名、パスワードの各種パラメータを示します。これは一例です。出力は Web サイトによって大きく異なります。

図 34-3 action-uri、非表示、ユーザ名、パスワードの各種パラメータ

 

 

 

1

action URI パラメータ

2

非表示パラメータ

3

ユーザ名パラメータとパスワード パラメータ

ステップ 6 Web サーバへのログインが成功したら、HTTP ヘッダー アナライザを使用して、サーバからユーザのブラウザ内に設定されているセッションのクッキー名を見つけ出すことによって、サーバの応答を検証します。ここで auth-cookie-name パラメータを使用します。

次のサーバ応答ヘッダーでは、SMSESSION がセッションのクッキーの名前です。必要なのはこの名前だけです。値は不要です。

Set-Cookie:
SMSESSION=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;Domain=.example.com;Path=/
 

図 34-4 に、HTTP アナライザによる認可クッキーの出力例を示します。これは一例です。出力は Web サイトによって大きく異なります。

図 34-4 HTTP アナライザの出力例に表示された認可クッキー

 

1

認可クッキー

ステップ 7 この場合は、認証の成否に関わらず同じクッキーがサーバによって設定される可能性があり、このようなクッキーは SSO の目的上、認められません。クッキーが異なっていることを確認するには、無効なログイン クレデンシャルを使用して、「失敗した」クッキーと「成功した」クッキーとをステップ 1 からステップ 6 を繰り返して比較します。

これで、HTTP Form プロトコルによる SSO をadaptive security applianceに設定するために必要なパラメータ データを入手できました。

タスクの概要:HTTP Form プロトコルによる SSO の設定

この項では、HTTP Form プロトコルを使用した SSO の設定の概要について説明します。HTTP によって SSO をイネーブルにするには、次のタスクを実行します。

フォーム データ( action-uri )を受信および処理するために、認証 Web サーバの Uniform Resource Identifier(URI; ユニフォーム リソース識別子)を設定する。

ユーザ名パラメータ( user-parameter )を設定する。

ユーザ パスワード パラメータ( password-parameter )を設定する。

認証 Web サーバの要件によっては次のタスクが必要になる場合もあります。

認証ウェブサーバがログイン前のクッキー交換を必要とする場合は、開始 URL( start-url )を設定する。

認証 Web サーバが要求する任意の非表示認証パラメータ( hidden-parameter )を設定する。

認証 Web サーバによって設定される認証クッキーの名前( auth-cookie-name )を設定する。

タスクの詳細:HTTP Form プロトコルによる SSO の設定

この項では、HTTP Form プロトコルを使用した SSO を設定するために必要な詳細タスクを取り上げます。adaptive security applianceが HTTP Form プロトコルを使用した SSO を実行するように設定するには、次の手順を実行します。


ステップ 1 認証 Web サーバが要求する場合は、aaa-server-host コンフィギュレーション モードで start-url コマンドを入力して、認証 Web サーバから事前ログイン クッキーを取得するための URL を指定します。たとえば、http://example.com/east/Area.do?Page-Grp1 の URL 認証 Web サーバを、IP アドレス 10.0.0.2 の testgrp1 サーバ グループに指定するには、次のように入力します。

hostname(config)# aaa-server testgrp1 host 10.0.0.2
hostname(config-aaa-server-host)# start-url http://example.com/east/Area.do?Page-Grp1
hostname(config-aaa-server-host)#
 

ステップ 2 認証 Web サーバに認証プログラム用の URI を指定するには、aaa-server- host コンフィギュレーション モードで action-uri コマンドを入力します。1 つの URI を連続する複数行にわたって入力できます。1 行あたりの最大文字数は 255 です。URI 全体の最大文字数は 2048 です。action URI の出力例は次のとおりです。

http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000a1311-a828-1185-ab41-8333b16a0008&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com

この action URI を指定するには、次のコマンドを入力します。

hostname(config-aaa-server-host)# action-uri http://www.example.com/auth/index.htm
hostname(config-aaa-server-host)# action-uri l/appdir/authc/forms/MCOlogin.fcc?TYP
hostname(config-aaa-server-host)# action-uri 554433&REALMOID=06-000a1311-a828-1185
hostname(config-aaa-server-host)# action-uri -ab41-8333b16a0008&GUID=&SMAUTHREASON
hostname(config-aaa-server-host)# action-uri =0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk
hostname(config-aaa-server-host)# action-uri 3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6r
hostname(config-aaa-server-host)# action-uri B1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F
hostname(config-aaa-server-host)# action-uri %2Fauth.example.com
hostname(config-aaa-server-host)#

) action URI には、ホスト名およびプロトコルを含めることができます。上記の例では、これらは、http://www.example.com の URI の最初に表示されます。


ステップ 3 HTTP POST 要求のユーザ名パラメータを設定するには、aaa-server-host コンフィギュレーション モードで、 user-parameter コマンドを入力します。たとえば、次のようにコマンドを入力すると、ユーザ名パラメータ userid が設定されます。

hostname(config-aaa-server-host)# user-parameter userid
hostname(config-aaa-server-host)#
 

ステップ 4 HTTP POST 要求のユーザ パスワード パラメータを設定するには、aaa-server-host コンフィギュレーション モードで、 password-parameter コマンドを入力します。たとえば、次のようにコマンドを入力すると、ユーザ パスワード パラメータ名として user_password が設定されます。

hostname(config-aaa-server-host)# password-parameter user_password
hostname(config-aaa-server-host)#
 

ステップ 5 認証 Web サーバと交換する非表示パラメータを指定するには、aaa-server-host コンフィギュレーション モードで、 hidden-parameter コマンドを入力します。次に、POST 要求から抜粋した非表示パラメータの例を示します。

SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do%3FEMCOPageCode%3DENG&smauthreason=0

この非表示パラメータには、間を & で区切った 4 つの Form エントリとその値が含まれています。4 つのエントリとその値は次のとおりです。

SMENC エントリおよび値 ISO-8859-1

SMLOCALE エントリおよび値 US-EN

target エントリおよび値 https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do

%3FEMCOPageCode%3DENG

smauthreason エントリおよび値 0

この非表示パラメータを指定するには、次のコマンドを入力します。

hostname(config)# aaa-server testgrp1 host example.com
hostname(config-aaa-server-host)# hidden-parameter SMENC=ISO-8859-1&SMLOCALE=US-EN&targe
hostname(config-aaa-server-host)# hidden-parameter t=https%3A%2F%2Fwww.example.com%2Femc
hostname(config-aaa-server-host)# hidden-parameter o%2Fappdir%2FAreaRoot.do%3FEMCOPageCo
hostname(config-aaa-server-host)# hidden-parameter de%3DENG&smauthreason=0
hostname(config-aaa-server-host)#
 

ステップ 6 認証クッキーの名前を指定するには、aaa-server-host コンフィギュレーション モードで、 auth-cookie-name コマンドを入力します。このコマンドをはオプションです。次に、SsoAuthCookie という名前の認証クッキーを指定する例を示します。

hostname(config-aaa-server-host)# auth-cookie-name SsoAuthCookie
hostname(config-aaa-server-host)#


 

デジタル証明書による認証

デジタル証明書を使用して認証を行うクライアントレス SSL VPN ユーザは、グローバルな認証と認可の設定を使用しません。その代わり、証明書の検証が完了すると、ユーザは認可サーバを使用して認証します。デジタル証明書を使用する認証と認可の詳細については、「証明書とユーザ ログイン クレデンシャルの使用方法」を参照してください。

クライアントレス SSL VPN リソースの作成と適用

中央にあるリソースへのアクセスを制御するクライアントレス SSL VPN のポリシーを作成および適用するには、次の作業を実行します。

グループポリシーへのユーザの割り当て

第 28 章「接続プロファイル、グループ ポリシー、およびユーザの設定」 では、これらのタスクについて詳細な手順で説明しています。

グループポリシーへのユーザの割り当て

ユーザをグループポリシーに割り当てると、複数のユーザにポリシーを適用することで設定が容易になります。ユーザをグループポリシーに割り当てるには、内部の認証サーバまたは RADIUS サーバを使用できます。グループポリシーを使用して設定を簡略化する説明の詳細については、 第 28 章「接続プロファイル、グループ ポリシー、およびユーザの設定」 を参照してください。

セキュリティ アプライアンス認証サーバを使用する

adaptive security applianceの内部認証サーバでユーザを認証するように設定し、これらのユーザをadaptive security appliance上でグループポリシーに割り当てることもできます。

RADIUS サーバを使用する

RADIUS サーバをユーザ認証に使用する場合は、次の手順を実行して、ユーザをグループポリシーに割り当てます。


ステップ 1 RADIUS でユーザ認証を行い、Class アトリビュートを使用してそのユーザを特定のグループポリシーに割り当てます。

ステップ 2 OU=group_name 形式で Class アトリビュートをグループポリシー名に設定します。

たとえば、クライアントレス SSL VPN ユーザを SSL_VPN グループに割り当てるには、RADIUS Class アトリビュートを OU=SSL_VPN;(セミコロンは省略不可)の値に設定します。


 

クライアントレス SSL VPN の接続プロファイルのアトリビュートの設定

表 34-1 は、クライアントレス SSL VPN に固有の接続プロファイルのアトリビュートのリストです。これらのアトリビュートに加えて、すべての VPN 接続に共通する一般的な接続プロファイルのアトリビュートを設定します。接続プロファイルの設定の手順については、「クライアントレス SSL VPN セッション用接続プロファイルの設定」を参照してください。


) 以前のリリースでは、「接続プロファイル」は「トンネル グループ」と呼ばれていました。接続プロファイルは tunnel-group コマンドを使用して設定します。この章では、この 2 つの用語をしばしば同じ意味で使用しています。


 

表 34-1 クライアントレス SSL VPN の接続プロファイルのアトリビュート

コマンド
機能

authentication

認証方式を設定します。

customization

以前に定義した、適用対象のカスタマイゼーションの名前を指定します。

nbns-server

CIFS 名前解決用の NetBIOS ネーム サービス サーバの名前(nbns-server)を指定します。

group-alias

サーバが接続プロファイルの参照に使用できる代替名を指定します。

group-url

1 つ以上のグループの URL を指定します。このアトリビュートを設定すると、指定した URL に着信するユーザはログイン時にグループを選択する必要がありません

dns-group

DNS サーバ名、ドメイン名、ネーム サーバ、リトライの回数、およびタイムアウト値を指定する DNS サーバ グループを指定します。

hic-fail-group-policy

Cisco Secure Desktop Manager を使用してグループベースのポリシー アトリビュートを「Use Failure Group-Policy」または「Use Success Group-Policy, if criteria match」に設定する場合の VPN フィーチャ ポリシーを指定します。

override-svc-download

リモート ユーザに AnyConnect VPN クライアントをダウンロードするために設定された、グループ ポリシーまたはユーザ名のアトリビュートのダウンロードを上書きします。

radius-reject-message

認証が拒否されたときに、ログイン画面に RADIUS 拒否メッセージを表示します。

クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュートの設定

表 34-2 に、クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュートのリストを示します。グループポリシーとユーザ アトリビュートの詳細な手順については、「グループポリシーの設定」「特定ユーザのアトリビュートの設定」を参照してください。

.

表 34-2 クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュート

コマンド
機能

activex-relay

クライアントレス SSL VPN セッションを確立したユーザが、ブラウザを使用して Microsoft Office アプリケーションを起動できます。このアプリケーションは、セッションを使用して Microsoft Office ドキュメントのダウンロードやアップロードを行います。ActiveX リレーはクライアントレス SSL VPN セッションを閉じるまで有効です。

auto-signon

自動サインオンの値を設定します。設定ではクライアントレス SSL VPN への初回の接続のみユーザ名およびパスワードのクレデンシャルが必要です。

customization

カスタマイゼーション オブジェクトをグループポリシーまたはユーザに割り当てます。

deny-message

クライアントレス SSL VPN へのログインに成功したが VPN 特権を持たないリモート ユーザに送信されるメッセージを指定します。

file-browsing

ファイル サーバとファイル共有の CIFS ファイル ブラウジングをイネーブルにします。ブラウジングには NBNS が必要です(マスター ブラウザまたは WINS)。

file-entry

ユーザに、アクセスするファイル サーバ名を許可します。

filter

webtype アクセス リストの名前を設定します。

hidden-shares

非表示の CIFS 共有ファイルの可視性を制御します。

homepage

ログイン時に表示される Web ページの URL を設定します。

html-content-filter

このグループポリシー用の HTML からフィルタリングするコンテンツとオブジェクトを設定します。

http-comp

圧縮を設定します。

http-proxy

HTTP 要求の処理に外部プロキシ サーバを使用するようにadaptive security applianceを設定します。

keep-alive-ignore

セッション タイマーのアップデートを無視する最大オブジェクト サイズを設定します。

port-forward

転送するクライアントレス SSL VPN TCP ポートのリストを適用します。ユーザ インターフェイスにこのリスト上のアプリケーションが表示されます。

post-max-size

ポストするオブジェクトの最大サイズを設定します。

smart-tunnel

スマート トンネルを使用するプログラムのリストを設定します。

sso-server

SSO サーバの名前を設定します。

storage-objects

セッション間に保存されたデータのストレージ オブジェクトを設定します。

svc

SSL VPN クライアントのアトリビュートを設定します。

unix-auth-gid

UNIX グループ ID を設定します。

unix-auth-uid

UNIX ユーザ ID を設定します。

upload-max-size

アップロードするオブジェクトの最大サイズを設定します。

url-entry

ユーザが HTTP/HTTP URL を入力する機能を制御します。

url-list

エンド ユーザのアクセス用にクライアントレス SSL VPN のポータル ページに表示されるサーバと URL のリストを適用します。

user-storage

セッション間のユーザ データを保存する場所を設定します。

クライアント/サーバ プラグインへのブラウザ アクセスの設定

次の項では、クライアントレス SSL VPN のブラウザ アクセス用のブラウザ プラグインの統合について説明します。

「ブラウザ プラグインのインストールについて」

「プラグインのためのセキュリティ アプライアンスの準備」

「シスコが再配布しているプラグインへのアクセスの提供」

「シスコが再配布していないプラグイン(Citrix Java Presentation Server Client プラグインなど)へのアクセスの提供」

「セキュリティ アプライアンスにインストールされているプラグインの表示」

ブラウザ プラグインのインストールについて

ブラウザ プラグインは、ブラウザ ウィンドウ内でクライアントをサーバに接続するなどの、専用の機能を実行するために Web ブラウザから起動される独立したプログラムです。adaptive security applianceを使用すると、クライアントレス SSL VPN セッション中に、リモート ブラウザにダウンロードするプラグインをインポートできます。シスコでは再配布するプラグインのテストを行っており、場合によっては、再配布できないプラグインの接続性のテストを行っています。ただし、現時点では、ストリーミング メディアをサポートするプラグインはインポートしないことをお勧めします。


) GNU General Public License(GPL)により、シスコでは変更を加えることなくプラグインを再配布しています。GPL により、シスコではこれらのプラグインを直接強化することはできません。


プラグインをフラッシュ デバイスにインストールすると、adaptive security applianceは次の処理を実行します。

(シスコが配布したプラグインのみ) URL で指定した jar ファイルを解凍する。

adaptive security appliance ファイル システムの csco-config/97/plugin ディレクトリにファイルを書き込む。

ASDM の URL アトリビュートの隣にドロップダウン メニューを読み込む。

以後のすべてのクライアントレス SSL VPN セッションに対するプラグインのイネーブル化、メイン メニュー オプションの追加、およびポータル ページの [Address] フィールドの隣のドロップダウン メニューへのオプションの追加を行う。

表 3 に、次の項で説明するプラグインを追加したときの、ポータル ページのメイン メニューと [Address] フィールドの変更点を示します。

 

表 3 クライアントレス SSL VPN ポータル ページへのプラグインの影響

プラグイン
ポータル ページに追加されるメイン メニュー オプション
ポータル ページに追加される [Address] フィールドのオプション

rdp

Terminal Servers

rdp://

rdp2

Terminal Servers Vista

rdp2://

ssh、telnet

SSH

ssh://

Telnet

telnet://

vnc

VNC Client

vnc://

ica

Citrix Client

citrix://

ユーザがクライアントレス SSL VPN セッション中に、ポータル ページの関連メニュー オプションをクリックすると、ポータル ページにインターフェイスへのウィンドウが表示され、ヘルプ ペインが表示されます。ユーザはドロップダウン メニューに表示されるプロトコルを選択し、[Address] フィールドに URL を入力して接続を確立できます。


) 一部の Java プラグインは、宛先サービスへのセッションが設定されていない場合でも、接続済みまたはオンラインのステータスを報告することがあります。adaptive security applianceではなく、オープンソース プラグインがステータスを報告します。


プラグインの要件と制限事項

プラグインへのリモート アクセスを提供するには、adaptive security applianceでクライアントレス SSL VPN をイネーブルにする必要があります。

リモートでの使用に必要な最小のアクセス権限は、ゲスト特権モードに属しています。

ステートフル フェールオーバーでは、プラグインを使用して確立されたセッションが維持されません。ユーザはフェールオーバー後に再接続する必要があります。

プラグインのためのセキュリティ アプライアンスの準備

プラグインをインストールする前に、次のようにしてadaptive security applianceを準備します。


ステップ 1 adaptive security appliance インターフェイスでクライアントレス SSL VPN(「webvpn」)がイネーブルになっていることを確認します。確認するには、 show running-config コマンドを入力します。

ステップ 2 リモート ユーザが接続のために Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用するadaptive security applianceのインターフェイスに SSL 証明書をインストールします。


) SSL 証明書の Common Name(CN; 通常名)に IP アドレスを指定しないでください。リモート ユーザは FQDN を使用してadaptive security applianceとの通信を試みます。リモート PC は、FQDN を解決するために System32\drivers\etc\hosts ファイル内の DNS またはエントリを使用できる必要があります。



 

クライアントレス SSL VPN アクセスに提供する必要があるプラグインのタイプを指定している項に進んでください。

「シスコが再配布しているプラグインへのアクセスの提供」

「シスコが再配布していないプラグイン(Citrix Java Presentation Server Client プラグインなど)へのアクセスの提供」

シスコが再配布しているプラグインへのアクセスの提供

シスコでは、クライアントレス SSL VPN セッションで Web ブラウザのプラグインとしてアクセスされる、次のオープンソースの Java ベースのコンポーネントを再配布しています。

 

表 34-4 シスコが再配布しているプラグイン

シスコのダウンロード リンク
プロトコル
説明
再配布プラグインのソース

rdp2-plugin.090211.jar

RDP2

Windows Vista および Windows 2003 R2 でホストされている Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

注: RDP および RDP2 プラグインをインポートして、それらの両方をクライアントレス ユーザが使用できるようにすることができます。

シスコでは、GNU General Public License にしたがって、変更を加えずにこのプラグインを再配布します。再配布プラグインの元のソースがある Web サイトは、 http://properjavardp.sourceforge.net/ です。

rdp-plugin.080506.jar

RDP

Windows 2003 R1 でホストされている Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

シスコでは、GNU General Public License にしたがって、変更を加えずにこのプラグインを再配布します。再配布プラグインのソースがある Web サイトは、 http://properjavardp.sourceforge.net/ です。

ssh-plugin.080430.jar

SSH

Secure Shell-Telnet プラグインにより、リモート ユーザは、リモート コンピュータへの Secure Shell または Telnet 接続を確立できます。

シスコでは、GNU General Public License にしたがって、変更を加えずにこのプラグインを再配布します。再配布プラグインのソースがある Web サイトは http://javassh.org/ です。

vnc-plugin.080130.jar

VNC

Virtual Network Computing プラグインを使用して、リモート ユーザは、モニタ、キーボード、マウスを使用して、リモート デスクトップ共有がオンにされているコンピュータを表示し、制御できます。このバージョンでは、テキストのデフォルトの色が変更され、更新済みのフランス語および日本語のヘルプ ファイルが含まれます。

シスコでは、GNU General Public License にしたがって、変更を加えずにこのプラグインを再配布します。再配布プラグインのソースがある Web サイトは http://www.tightvnc.com/ です。

プラグインをインストールする前に、次を実行します。

adaptive security applianceのインターフェイスでクライアントレス SSL VPN(webvpn)がイネーブルになっていることを確認します。確認するには、 show running-config コマンドを入力します。

ローカル TFTP または FTP サーバに「plugins」という名前の一時ディレクトリを作成し(たとえば、ホスト名「local_tftp_server」などで)、シスコの Web サイトから「plugins」ディレクトリにプラグインをダウンロードします。

シスコが再配布しているプラグインへのクライアントレス SSL VPN ブラウザ アクセスを提供するには、特権 EXEC モードで次のコマンドを入力して、adaptive security applianceのフラッシュ デバイスにプラグインをインストールします。

import webvpn plug-in protocol protocol URL

protocol には、次の値のいずれかを指定します。

Remote Desktop Protocol サービスへのプラグイン アクセスを提供するには、 rdp を入力します 次に、[URL] フィールドに rdp-plugin.jar ファイルのパスを指定します。

Secure Shell サービスと Telnet サービスの両方にプラグイン アクセスを提供するには、 ssh,telnet を入力します。次に、[URL] フィールドに ssh-plugin.jar ファイルのパスを指定します。


注意 SSH と Telnet の両方に このコマンドを 1 回ずつ入力しないでください。ssh,telnet 文字列を入力する場合は、スペースを挿入しないでください。これらの要件から外れている import webvpn plug-in protocol コマンドを削除するには、revert webvpn plug-in protocol コマンドを使用します。

Virtual Network Computing サービスにプラグイン アクセスを提供するには、 vnc を入力します。次に、[URL] フィールドに vnc-plugin.jar ファイルのパスを指定します。

URL はプラグインのソースのリモート パスです。TFTP または FTP サーバのホスト名またはアドレスおよびプラグインのパスを入力します。

次のコマンド例では、RDP にクライアントレス SSL VPN のサポートを追加します。

hostname# import webvpn plug-in protocol rdp tftp://local_tftp_server/plugins/rdp-plugin.jar
Accessing tftp://local_tftp_server/plugins/rdp-plugin.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/rdp...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
329994 bytes copied in 5.350 secs (65998 bytes/sec)
 

次のコマンド例では、SSH と Telnet にクライアントレス SSL VPN のサポートを追加します。

hostname# import webvpn plug-in protocol ssh,telnet tftp://local_tftp_server/plugins/ssh-plugin.jar
 
Accessing tftp://local_tftp_server/plugins/ssh-plugin.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/ssh...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
238510 bytes copied in 3.650 secs (79503 bytes/sec)
 

次のコマンド例では、VNC にクライアントレス SSL VPN のサポートを追加します。

hostname# import webvpn plug-in protocol vnc tftp://local_tftp_server/plugins/vnc-plugin.jar
 
Accessing tftp://local_tftp_server/plugins/vnc-plugin.jar...!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/vnc...
!!!!!!!!!!!!!!!
58147 bytes copied in 2.40 secs (29073 bytes/sec)
 

) adaptive security applianceはコンフィギュレーション内に import webvpn plug-in protocol コマンドを保持しません。代わりに、csco-config/97/plugin ディレクトリの内容を自動的にロードします。セカンダリ adaptive security applianceはプライマリ adaptive security applianceからプラグインを取得します。


プラグインをインポートしたら、SSL VPN ホーム ページのアドレス バーに、対応するプロトコルとリソースの場所を入力してアクセスします。次の例を参考にしてください。

rdp://10.1.1.1
vnc://10.1.1.1
ssh://10.1.1.1
telnet://10.1.1.1
 

Java ベースのクライアント アプリケーションに対するクライアントレス SSL VPN のサポートをディセーブルにして削除し、adaptive security applianceのフラッシュ ドライブからそれを削除するには、次のコマンドを使用します。

revert webvpn plug-in protocol protocol

次のコマンド例では RDP を削除します。

hostname# revert webvpn plug-in protocol rdp
 

シスコが再配布していないプラグイン(Citrix Java Presentation Server Client プラグインなど)へのアクセスの提供

セキュリティ アプライアンスのオープン フレームワークを使用して、サードパーティの Java クライアント/サーバ アプリケーションをサポートするためのプラグインを追加できます。サードパーティ プラグインにクライアントレス SSL VPN ブラウザ アクセスを提供する方法の例として、ここでは、Citrix Presentation Server Client にクライアントレス SSL VPN のサポートを追加する方法について説明します。


注意 シスコでは、シスコが再配布していない特定のプラグインに対して、直接のサポートや推奨はしていません。クライアントレス SSL VPN サービスの提供者として、プラグインの使用に必要なライセンス契約を確認し、遵守する責任があります。

adaptive security applianceに Citrix プラグインがインストールされている場合、クライアントレス SSL VPN のユーザはadaptive security applianceへの接続を使用して、Citrix MetaFrame サービスにアクセスできます。

ステートフル フェールオーバーでは、Citrix プラグインを使用して確立されたセッションは保持されません。Citrix のユーザはフェールオーバー後に再認証する必要があります。

Citrix プラグインへのアクセスを提供するには、次の項の手順に従います。

クライアントレス SSL VPN アクセスのための Citrix MetraFrame Server の準備

Citrix プラグインの作成とインストール

クライアントレス SSL VPN アクセスのための Citrix MetraFrame Server の準備

Citrix クライアントが Citrix MetaFrame Server に接続するときに、adaptive security applianceは Citrix セキュア ゲートウェイの接続機能を実行します。そのため、(Citrix)「セキュア ゲートウェイ」を使用しないモードで動作するように Citrix Web Interface ソフトウェアを設定する必要があります。設定しないと、Citrix クライアントは Citrix MetaFrame Server に接続できません。


) プラグインに対するサポートをまだ提供していない場合は、この項を使用する前に、「プラグインのためのセキュリティ アプライアンスの準備」の手順に従う必要があります。


Citrix プラグインの作成とインストール

Citrix プラグインを作成し、インストールするには、次の手順を実行します。


ステップ 1 Cisco Software Download Web サイトから、 ica-plugin.zip ファイルをダウンロードします。

このファイルには、Citrix プラグインで使用するためにシスコがカスタマイズしたファイルが含まれています。

ステップ 2 Citrix サイトから Citrix Java クライアント をダウンロードします。

ステップ 3 Citrix Java クライアントから次のファイルを抽出し、それらを ica-plugin.zip ファイルに追加します。

JICA-configN.jar

JICAEngN.jar

WinZip を使用して、この手順を実行できます。

ステップ 4 Citrix Java クライアントに含まれている EULA で、クライアントを Web サーバに展開する権限が与えられていることを確認します。

ステップ 5 adaptive security applianceで CLI セッションを開き、特権 EXEC モードで次のコマンドを入力して、プラグインをインストールします。

import webvpn plug-in protocol ica URL

URL はホスト名または IP アドレスと ica-plugin.zip ファイルのパスです


) プラグインをインポートしたら、リモート ユーザは ica を選択し、ポータル ページの [Address] フィールドに host/?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 と入力して、Citrix サービスにアクセスできます。ユーザが接続しやすいように、ブックマークを追加することをお勧めします。Citrix セッションに SSO サポートを提供する場合は、ブックマークの追加が必須です。


ステップ 6 SSL VPN クライアントレス セッションを確立し、ブックマークをクリックするか、Citrix サーバの URL を入力します。

必要に応じて『 Client for Java Administrator's Guide 』を使用します。


 

セキュリティ アプライアンスにインストールされているプラグインの表示

クライアントレス SSL VPN のユーザが使用できる Java ベースのクライアント アプリケーションを一覧表示するには、特権 EXEC モードで次のコマンドを入力します。

show import webvpn plug-in

次の例を参考にしてください。

hostname# show import webvpn plug-in
ssh
rdp
vnc
 

スマート トンネル アクセスの設定

次の項では、スマート トンネルおよびその設定方法について説明します。

「スマート トンネルについて」

「スマート トンネルを使用する理由」

「スマート トンネルの要件と制限事項」

「スマート トンネル アクセスに適格なアプリケーションの追加」

「スマート トンネル リストの割り当て」

スマート トンネルについて

スマート トンネルは、セキュリティ アプライアンスをパスウェイとして、また、adaptive security applianceをプロキシ サーバとして使用する、クライアントレス(ブラウザベース)SSL VPN セッションを使用した TCP ベースのアプリケーションとプライベート サイト間の接続です。スマート トンネル アクセスを許可するアプリケーションを特定し、各アプリケーションのローカル パスを指定できます。Microsoft Windows で実行しているアプリケーションの場合、スマート トンネル アクセスを許可するための条件として、チェックサムの SHA-1 ハッシュの一致を必要とすることもできます。

Lotus SameTime および Microsoft Outlook Express は、スマート トンネル アクセスを許可したいと考えるアプリケーションの例です。

スマート トンネルの設定には、アプリケーションがクライアント アプリケーションであるか、Web 対応アプリケーションであるかに応じて、次のいずれかの手順が必要です。

クライアント アプリケーションの 1 つ以上のスマート トンネル リストを作成し、スマート トンネル アクセスを提供したいグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

スマート トンネル アクセスに適格な Web 対応アプリケーションの URL を指定する 1 つ以上のブックマーク リスト エントリを作成し、スマート トンネル アクセスを提供したい DAP、グループ ポリシー、またはローカル ユーザ ポリシーにそのリストを割り当てます。

クライアントレス SSL VPN セッションによるスマート トンネル接続で、ログイン クレデンシャルの送信を自動化する Web 対応アプリケーションもリストできます。

スマート トンネルを使用する理由

スマート トンネル アクセスにより、クライアント TCP ベースのアプリケーションはブラウザベースの VPN 接続を使用して、サービスに接続できます。スマート トンネル アクセスは、プラグインやレガシー テクノロジーのポート転送と比較して、次の利点があります。

スマート トンネルはプラグインよりパフォーマンスに優れています。

ポート転送と異なり、スマート トンネルは、ローカル アプリケーションからローカル ポートへのユーザ接続が必要でないため、操作が簡単です。

ポート転送と異なり、スマート トンネルでは、ユーザが管理者権限を持つ必要がありません。

プラグインの利点は、リモート コンピュータにクライアント アプリケーションをインストールする必要がないことです。

スマート トンネルの要件と制限事項

次の項では、スマート トンネルの要件と制限事項を分類します。

一般的な要件と制限事項

スマート トンネルには次の一般的な要件と制限事項があります。

スマート トンネル接続を開始するリモート ホストでは、32 ビット バージョンの Microsoft Windows Vista、Windows XP、Windows 2000、Mac OS 10.4 または 10.5 のいずれかを実行している必要があります。

スマート トンネルの自動サインオンは、Windows 上の Microsoft Internet Explorer のみをサポートしています。

ブラウザでは、Java、Microsoft ActiveX、またはその両方がイネーブルになっている必要があります。

スマート トンネルは、Microsoft Windows とセキュリティ アプライアンスを実行するコンピュータ間に配置されたプロキシのみをサポートします。スマート トンネルは Internet Explorer のコンフィギュレーション(つまり、Windows でのシステム規模の使用が意図されている)を使用します。リモート コンピュータがadaptive security applianceに到達するためにプロキシ サーバを必要とする場合、接続の終端側の URL がプロキシ サービスから除外される URL のリストに含まれている必要があります。プロキシ コンフィギュレーションで、ASA を宛先とするトラフィックがプロキシを通過するように指定している場合、すべてのスマート トンネル トラフィックはプロキシを通過します。

HTTP ベースのリモート アクセス シナリオで、サブネットが、VPN ゲートウェイへのユーザ アクセスを提供しないことがあります。この場合、ASA の前面に配置され、Web とエンド ユーザの場所間のトラフィックをルーティングするプロキシが Web アクセスを提供します。ただし、ASA の前面に配置されたプロキシを設定できるのは、VPN ユーザだけです。設定を行うには、これらのプロキシが CONNECT メソッドをサポートすることを確認する必要があります。認証が必要なプロキシの場合、スマート トンネルは基本ダイジェスト認証タイプのみをサポートしています。

スマート トンネルが起動すると、セキュリティ アプライアンスは、ユーザがクライアントレス セッションの開始に使用したブラウザ プロセスからのすべてのトラフィックをトンネルします。ユーザがブラウザ プロセスの別のインスタンスを起動した場合、セキュリティ アプライアンスは、すべてのトラフィックをトンネルに渡します。ブラウザ プロセスが同じで、セキュリティ アプライアンスが指定された URL へのアクセスを提供しない場合、ユーザはそれを開くことができません。回避方法として、ユーザはクライアントレス セッションの確立に使用したブラウザと別のブラウザを使用できます。

ステートフル フェールオーバーではスマート トンネル接続が維持されません。ユーザはフェールオーバー後に再接続する必要があります。

Windows の要件と制限事項

次の要件と制限事項は Windows にのみ適用します。

スマート トンネル アクセスには、Winsock 2 のTCP ベースのアプリケーションのみが適格とされます。

セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。ポート転送もスマート トンネルも MAPI をサポートしていません。MAPI プロトコルを使用する Microsoft Outlook Exchange での通信の場合、リモート ユーザは AnyConnect を使用する必要があります。

スマート トンネルまたはポート転送を使用する Microsoft Windows Vista のユーザは ASA の URL を信頼済みサイトゾーンに追加する必要があります。信頼済みサイトゾーンにアクセスするには、Internet Explorer を起動し、[ツール] > [インターネット オプション]> [セキュリティ] タブを選択します。Vista ユーザは、保護モードをディセーブルにして、スマート トンネル アクセスを容易にすることもできますが、攻撃の脆弱性が高まるため、この方法はお勧めしません。

Mac OS の要件と制限事項

次の要件と制限事項は次の Mac OS にのみ適用します。

Safari 3.1.1 以降または Firefox 3.0 以降

Sun JRE 1.5 以降

ポータル ページから起動したアプリケーションのみ、スマート トンネル接続を確立できます。この要件には、Firefox のスマート トンネルのサポートが含まれます。スマート トンネルの初回使用時に、Firefox を使用して、別の Firefox のインスタンスを起動するには、csco_st というユーザ プロファイルが必要です。このユーザ プロファイルが存在しない場合、セッションで作成するように求められます。

SSL ライブラリにダイナミックにリンクされている TCP を使用したアプリケーションは、スマート トンネルで動作できます。

スマート トンネルは、Mac OS 上の次の機能をサポートしません。

プロキシ サービス

自動サインオン

2 つのレベルのネーム スペースを使用するアプリケーション

Telnet、SSH、cURL などのコンソールベースのアプリケーション

dlopen または dlsym を使用して libsocket コールを見つけるアプリケーション

libsocket コールを見つけるためにスタティックにリンクされたアプリケーション

スマート トンネル アクセスに適格なアプリケーションの追加

各adaptive security applianceのクライアントレス SSL VPN コンフィギュレーションは、スマート トンネル アクセスに適格な 1 つ以上のアプリケーションから構成される スマート トンネル リスト をサポートしています。各グループポリシーまたはユーザ名がサポートするスマート トンネル リストは 1 つのみであるため、サポートされる各アプリケーションのセットをスマート トンネル リストにグループ化する必要があります。

クライアントレス SSL VPN セッションを使用してプライベート サイトに接続できるアプリケーションのリストにエントリを追加するには、webvpn コンフィギュレーション モードで次のコマンドを入力します。

smart-tunnel list list application path [ hash ]

リストからアプリケーションを削除するには、コマンドの no 形式を使用し、リストとアプリケーションの名前の両方を指定します。

no smart-tunnel list list application

adaptive security appliance コンフィギュレーションからアプリケーションのリスト全体を削除するには、コマンドの no 形式を使用して、リストのみを指定します。

no smart-tunnel list list

list はアプリケーションまたはプログラムのリストの名前です。名前にスペースが含まれる場合、名前を引用符で囲みます。リストがコンフィギュレーションに存在しない場合、CLI はリストを作成します。リストが存在する場合、エントリをリストに追加します。


) SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。


application は、スマート トンネル リストの各エントリに対する一意のインデックスとして機能する文字列です。これは、通常スマート トンネル アクセスが許可されるアプリケーションの名前です。異なるパスやハッシュ値を指定するアプリケーションの複数のバージョンをサポートするには、このアトリビュートを使用して、エントリを区別し、各リスト エントリでサポートされるアプリケーションの名前とバージョンの両方を指定します。文字列は、最大 64 文字です。スマート トンネル リストにすでに存在するエントリを変更するには、変更するエントリの名前を入力します。

path は、アプリケーションのファイル名と拡張子、またはファイル名と拡張子を含むアプリケーションのパスです。文字列は、最大 128 文字です。

Windows では、アプリケーションにスマート トンネル アクセスを許可するために、リモート ホストのアプリケーション パスの右側の値とこの値が完全に一致している必要があります。Windows でファイル名のみを指定した場合、SSL VPN は、アプリケーションにスマート トンネル アクセスを許可するために、リモート ホストに場所の制限を適用しません。

パスを指定し、ユーザが別の場所にアプリケーションをインストールした場合、そのアプリケーションは許可されません。文字列の右側が入力した値と一致している限り、アプリケーションは任意のパスに置くことができます。

アプリケーションがリモート ホストの複数のパスのいずれかに存在する場合、そのアプリケーションにスマート トンネル アクセスを許可するには、 path 値を入力するときに、アプリケーションの名前と拡張子のみを指定するか、または、それぞれのコマンドで同じ list 文字列を入力し、一意の application 文字列と path 値を指定して、パスごとに smart-tunnel list コマンドを 1 回ずつ入力します。


) スマート トンネル アクセスで突然問題が発生する場合、Process Name 値が、アップグレードされたアプリケーションに対して最新ではない可能性があります。たとえば、アプリケーションのデフォルトのパスは、アプリケーションと次のアプリケーションのアップグレード版を製造する企業が買収された後に変更されることがあります。


Windows の場合、コマンド プロンプトから起動するアプリケーションにスマート トンネル アクセスを追加する場合、スマート トンネル リストの 1 つのエントリの Process Name に「cmd.exe」を指定し、別のエントリにアプリケーション自体のパスを指定する必要があります。「cmd.exe」はアプリケーションの親であるためです。

Mac OSではプロセスのフル パスが必要で、大文字と小文字が区別されます。ユーザ名ごとにパスを指定することを避けるには、部分パスの前にチルド(~)を挿入します(~/bin/vnc など)。

hash (オプション)この値を取得するには、SHA-1 アルゴリズムを使用してハッシュを計算するユーティリティに、アプリケーションのチェックサム(つまり実行可能ファイルのチェックサム)を入力します。そのようなユーティリティの例には Microsoft File Checksum Integrity Verifier(FCIV)があり、これは http://support.microsoft.com/kb/841290/ から入手できます。FCIV のインストール後、ハッシュされるアプリケーションの一時コピーをスペースを含まないパス(c:/fciv.exe など)に配置し、コマンド ラインに fciv.exe -sha1 application fciv.exe -sha1 c:\msimn.exe など)と入力して、SHA-1 ハッシュを表示します。

SHA-1 ハッシュは常に 40 桁の 16 進数文字です。

アプリケーションにスマート トンネル アクセスを許可する前に、クライアントレス SSL VPN は path に一致するアプリケーションのハッシュを計算します。結果が hash の値と一致する場合、アプリケーションにスマート トンネル アクセスを許可します。

ハッシュを入力することで、SSL VPN が path で指定した文字列と一致する不正ファイルを許可しないことを合理的に保証できます。チェックサムはアプリケーションの各バージョンまたはパッチによって異なるため、入力する hash はリモート ホスト上の 1 つのバージョンまたはパッチとのみ一致します。アプリケーションの複数バージョンの hash を指定するには、同じ list 文字列を入力し、一意の application 文字列と一意の hash 値を指定して、バージョンごとに smart-tunnel list コマンドを 1 回ずつ入力します。


hash 値を入力し、アプリケーションの将来のバージョンまたはパッチでのスマート トンネル アクセスをサポートする場合は、スマート トンネル リストを今後も維持する必要があります。スマート トンネル アクセスで突然問題が発生する場合、hash 値を含むアプリケーション リストがアップグレードされたアプリケーションに対して最新ではない可能性があります。この問題は hash を入力しないことで回避できます。


 

表 34-5 smart-tunnel コマンドの例

機能
OS
コマンド

lotus というスマート トンネル リストに Lotus SameTime を追加します。

Windows(デフォルトのプラットフォーム)

smart-tunnel list lotus LotusSametime connect.exe

Lotus 6.0 シック クライアントと Domino Server 6.5.5 を追加します。

Windows

smart-tunnel list lotus lotusnotes notes.exefs
smart-tunnel list lotus lotusnlnotes nlnotes.exe
smart-tunnel list lotus lotusntaskldr ntaskldr.exe
smart-tunnel list lotus lotusnfileret nfileret.exe

apps というスマート トンネル リストにコマンド プロンプトを追加します。

注:これは、コマンド プロンプトから起動する Microsoft Windows アプリケーションにスマート トンネル アクセスを提供するために必要です。リストにアプリケーション自体を追加する必要もあります。

Windows

smart-tunnel list apps CommandPrompt cmd.exe

Windows Outlook Express を追加します。

Windows

smart-tunnel list apps OutlookExpress msimn.exe

Windows Outlook Express を追加し、リモート ホスト上のパスが文字列に一致する場合にのみ、そのスマート トンネルのサポートを許可します。

Windows

smart-tunnel list apps OutlookExpress "\Program Files\Outlook Express\msimn.exe"

Windows Outlook Express を追加し、ハッシュが文字列に一致する場合にのみ、そのスマート トンネルのサポートを許可します。

Windows

smart-tunnel list apps OutlookExpress msimn.exe 4739647b255d3ea865554e27c3f96b9476e75061

Safari を追加し、リモート ホスト上のパスが文字列に一致する場合にのみ、そのスマート トンネルのサポートを許可します。

Mac OS

smart-tunnel list apps Safari "/Applications/Safari" platform mac

新しいターミナル ウィンドウにスマート トンネルのサポートを追加します。

Mac OS

smart-tunnel list apps Terminal terminal platform mac

新しいターミナル ウィンドウから起動するアプリケーションにスマート トンネルのサポートを追加します。Terminal の後の引用符で囲んだすべての単語をコマンドラインに入力します。

Mac OS

smart-tunnel list apps Terminal "terminal open -a MacTelnet" platform mac

VNC 実行可能ファイルのユーザ パスに関係なく、VNC のスマート トンネル サポートを追加します。

Mac OS

smart-tunnel list apps vnc "~/bin/vnc" platform mac

スマート トンネル リストのコンフィギュレーションに続き、次の項で説明するように、リストをグループ ポリシーまたはユーザ名に割り当てます。

スマート トンネル リストの割り当て

グループ ポリシーとユーザ名ごとに、次のいずれかを実行するようにクライアントレス SSL VPN を設定できます。

ユーザのログイン時に自動的にスマート トンネル アクセスを開始します。

ユーザのログイン時にスマート トンネル アクセスをイネーブルにしますが、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手動でそれを開始する必要があります。


) これらのオプションは、各グループ ポリシーとユーザ名に対して互いに排他的です。1 つだけ使用してください。


表 34-6 に、各グループ ポリシーとユーザ名で使用可能な smart-tunnel コマンドを示します。各グループ ポリシーとユーザ名のコンフィギュレーションは、一度にこれらのコマンドの 1 つだけサポートするため、1 つのコマンドを入力すると、adaptive security applianceは、該当のグループ ポリシーまたはユーザ名のコンフィギュレーションに存在するコマンドを新しいコマンドで置き換えるか、最後のコマンドの場合は、グループ ポリシーまたはユーザ名にすでに存在する smart-tunnel コマンドを単純に削除します。

 

表 34-6 グループポリシーとユーザ名 webvpn Smart Tunnel コマンド

コマンド
説明

smart-tunnel auto-start list

ユーザのログイン時にスマート トンネル アクセスを自動的に起動します。

smart-tunnel enable list

ユーザのログイン時にスマート トンネル アクセスをイネーブルにしますが、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手動でスマート トンネル アクセスを開始する必要があります。

smart-tunnel disable

スマート トンネル アクセスを禁止します。

no smart-tunnel [ auto-start list | enable list | disable ]

グループ ポリシーまたはユーザ名コンフィギュレーションから smart-tunnel コマンドを削除して、デフォルトのグループ ポリシーから [ no ] smart-tunnel コマンドを継承します。 no smart-tunnel コマンドの後にあるキーワードはオプションですが、それらにより、関連付けられた smart-tunnel コマンドに削除を限定します。

詳細については、使用するオプションについて説明している項を参照してください。

スマート トンネル アクセスの自動化

ユーザのログイン時にスマート トンネル アクセスを自動的に開始するには、グループポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、次のコマンドを入力します。

smart-tunnel auto-start list

グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除し、デフォルトのグループ ポリシーから [ no ] smart-tunnel コマンドを継承するには、コマンドの no 形式を使用します。

no smart-tunnel

list はadaptive security appliance webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。


) SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。


複数のスマート トンネル リストをグループ ポリシーまたはユーザ名に割り当てることはできません。

次のコマンドは、apps1 という名前のスマート トンネル リストをグループ ポリシーに割り当てます。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# smart-tunnel auto-start apps1
 

スマート トンネル アクセスのイネーブル化

ユーザのログイン時にスマート トンネル アクセスをイネーブルにする場合、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手動でそれを開始する必要があります。

スマート トンネル アクセスをイネーブルにするには、グループポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、次のコマンドを入力します。

smart-tunnel enable list

list はadaptive security appliance webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。


) SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。


グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除し、デフォルトのグループ ポリシーから [ no ] smart-tunnel コマンドを継承するには、コマンドの no 形式を使用します。

no smart-tunnel

複数のスマート トンネル リストをグループ ポリシーまたはユーザ名に割り当てることはできません。

次のコマンドは、apps1 という名前のスマート トンネル リストをグループ ポリシーに割り当てます。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# smart-tunnel enable apps1
 

スマート トンネル アクセスのディセーブル化

スマート トンネル アクセスを禁止するには、グループポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、次のコマンドを入力します。

smart-tunnel disable

デフォルトで、スマート トンネルはイネーブルにされないため、(デフォルトの)グループ ポリシーまたはユーザ名コンフィギュレーションに、該当のグループ ポリシーやユーザ名に適用したくない smart-tunnel auto-start または smart-tunnel enable コマンドが含まれる場合にのみ、 smart-tunnel disable コマンドが必要です。

グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除し、デフォルトのグループ ポリシーから [ no ] smart-tunnel コマンドを継承するには、コマンドの no 形式を使用します。

no smart-tunnel

次のコマンドはスマート トンネル アクセスをディセーブルにします。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# smart-tunnel disable

ポート転送の設定

次の項では、ポート転送およびその設定方法について説明します。

ポート転送の概要

ポート転送を使用する理由

ポート転送の要件と制限事項

ポート転送用の DNS の設定

ポート転送の対象となるアプリケーションの追加

ポート転送リストの割り当て

ポート転送の自動化

ポート転送のイネーブル化とディセーブル化

ポート転送の概要

ポート転送により、ユーザはクライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションにアクセスできます。次のようなアプリケーションが含まれます。

Lotus Notes

Microsoft Outlook

Microsoft Outlook Express

Perforce

Sametime

Secure FTP(FTP over SSH)

SSH

TELNET

Windows Terminal Service

XDDTS

その他の TCP ベースのアプリケーションも動作する可能性はありますが、シスコではテストを行っていません。UDP を使用するプロトコルは動作しません。

ポート転送を使用する理由

ポート転送は、クライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションをサポートするためのレガシー テクノロジーです。このテクノロジーをサポートする初期のコンフィギュレーションを構築しているため、ポート転送を使用することも選択できます。

ポート転送の代わりに次の方法を考慮してください。

スマート トンネル アクセスは、ユーザに次の利点があります。

スマート トンネルはプラグインよりパフォーマンスに優れています。

ポート転送と異なり、スマート トンネルは、ローカル アプリケーションからローカル ポートへのユーザ接続が必要でないため、操作が簡単です。

ポート転送と異なり、スマート トンネルでは、ユーザが管理者権限を持つ必要がありません。

ポート転送とスマート トンネル アクセスと異なり、プラグインでは、リモート コンピュータにクライアント アプリケーションをインストールする必要がありません。

adaptive security applianceにポート転送を設定する場合、アプリケーションで使用するポートを指定します。スマート トンネル アクセスを設定する場合、実行可能ファイルまたはそのパスの名前を指定します。

ポート転送の要件と制限事項

ポート転送には次の制限が適用されます。

リモート ホストは次のいずれかの 32 ビット バージョンを実行している必要があります。

Microsoft Windows Vista、Windows XP SP2 または SP3、Windows 2000 SP4

Apple Mac OS X 10.4 または 10.5 および Safari 2.0.4(419.3)

Fedora Core 4

リモート ホストでは Sun JRE 1.5 以降も実行している必要があります。

Mac OS X 10.5.3 の Safari のブラウザベースのユーザは、Safari の URL の解釈方法のため、adaptive security applianceの URL で使用するクライアント証明書を末尾のスラッシュがある場合とない場合で 1 回ずつ識別する必要があります。次に例を示します。

https://example.com/

https://example.com

詳細については、「 Safari, Mac OS X 10.5.3: Changes in client certificate authentication 」を参照してください。

ポート転送またはスマート トンネルを使用する Microsoft Windows Vista のユーザは ASA の URL を信頼済みサイトゾーンに追加する必要があります。信頼済みサイトゾーンにアクセスするには、Internet Explorer を起動し、[ツール] > [インターネット オプション]> [セキュリティ] タブを選択します。Vista ユーザは、保護モードをディセーブルにして、スマート トンネル アクセスを容易にすることもできますが、コンピュータの攻撃の脆弱性が高まるため、この方法はお勧めしません。

ポート転送はスタティック TCP ポートを使用する TCP アプリケーションのみをサポートします。ダイナミック ポートまたは複数の TCP ポートを使用するアプリケーションはサポートされていません。たとえば、ポート 22 を使用する SecureFTP はクライアントレス SSL VPN ポート転送を介して動作しますが、ポート 20 と 21 を使用する標準 FTP は動作しません。

ポート転送は、UDP を使用するプロトコルをサポートしません。

セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。MAPI プロトコルを使用する Microsoft Outlook Exchange での通信の場合、リモート ユーザは AnyConnect を使用する必要があります。

ステートフル フェールオーバーでは Application Access(ポート転送またはスマート トンネル アクセス)を使用して確立されたセッションが保持されません。ユーザはフェールオーバー後に再接続する必要があります。

ポート転送は、携帯情報端末への接続をサポートしていません。

ポート転送を使用するには、Java アプレットをダウンロードしてローカル クライアントを設定する必要があります。これを行うには、ローカル システムでの管理者権限が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。


注意 ポート転送(Application Access)とデジタル証明書をサポートするために、リモート コンピュータに Sun Microsystems Java Runtime Environment(JRE)1.5.x 以降がインストールされていることを確認してください。JRE 1.4.x が実行しており、ユーザがデジタル証明書で認証する場合、JRE は Web ブラウザ証明書ストアにアクセスできないため、アプリケーションが起動できません。

Java アプレットは、エンドユーザ HTML インターフェイス上の独自のウィンドウに表示されます。このウィンドウには、ユーザが使用できる転送ポートのリストの内容、アクティブなポート、および送受信されたトラフィック量(バイト単位)が表示されます。

ポート転送も ASDM Java アプレットもデジタル証明書を使用したユーザ認証で機能しません。Java には、Web ブラウザ キーストアにアクセスする機能はありません。そのため、Java はブラウザがユーザ認証に使用する証明書を使用できず、アプリケーションが起動できません。

ポート転送用の DNS の設定

ポート転送では、リモート サーバのドメイン名またはその IP アドレスを解決および接続のために ASA に転送します。つまり、ポート転送アプレットはアプリケーションからの要求を受け入れ、それを ASA に転送します。ASA は適切な DNS 照会を行い、ポート転送アプレットに代わって、接続を確立します。ポート転送アプレットは、ASA に対してのみ DNS 照会を行います。ポート転送アプレットは、ポート転送アプリケーションが DNS 照会を試みた場合に、照会がループバック アドレスにリダイレクトされるように、ホスト ファイルを更新します。ポート転送アプレットからの DNS 要求を受け入れるように、次のようにadaptive security applianceを設定します。


ステップ 1 dns server-group コマンドをグローバル コンフィギュレーション モードで使用し、dns server-group モードに入り、次に domain-name コマンドを使用して、ドメイン名を指定し、 name-server コマンドを使用して、ドメイン名を IP アドレスに解決します。ドメイン名のデフォルトの設定は DefaultDNS です。

次の例では、example.com という DNS サーバ グループを設定します。

hostname(config)# dns server-group example.com
hostname(config-dns-server-group)# domain-name example.com
hostname(config-dns-server-group)# name-server 192.168.10.10
 

ステップ 2 (デフォルトのドメイン名 [DefaultDNS] 以外のドメイン名を使用する場合にのみ必要): dns-group コマンドをトンネルグループ webvpn コンフィギュレーション モードを使用して、トンネル グループで使用するドメイン名を指定します。デフォルトで、セキュリティ アプライアンスは、クライアントレス接続のデフォルトのトンネル グループとして DefaultWEBVPNGroup を割り当てます。adaptive security applianceがそのトンネル グループを使用して、設定をクライアントレス接続に割り当てる場合は、この手順に従います。それ以外の場合は、クライアントレス接続に設定するトンネルごとに、この手順を実行します。

次に例を示します。

asa2(config-dns-server-group)# exit
asa2(config)# tunnel-group DefaultWEBVPNGroup webvpn-attributes
asa2(config-tunnel-webvpn)# dns-group example.com


 

ポート転送の対象となるアプリケーションの追加

各adaptive security applianceのクライアントレス SSL VPN コンフィギュレーションは、それぞれアクセスを提供するアプリケーションで使用するローカル ポートとリモート ポートを指定したポート転送リストをサポートします。各グループポリシーまたはユーザ名がサポートするポート転送リストは 1 つのみであるため、サポートされる各アプリケーションのセットをリストにグループ化する必要があります。adaptive security appliance コンフィギュレーションにすでに存在するポート転送リスト エントリを表示するには、特権 EXEC モードで次のコマンドを入力します。

show run webvpn port-forward

ポート転送エントリをリストに追加するには、webvpn コンフィギュレーション モードで次のコマンドを入力します。

port-forward { list_name local_port remote_server remote_port description }

list_name :クライアントレス SSL VPN セッションのユーザがアクセスする一連のアプリケーション(技術的には一連の転送先 TCP ポート)の名前。adaptive security applianceは、名前を認識しない場合に、ユーザが入力した名前を使用してリストを作成します。認識した場合は、ポート転送エントリをリストに追加します。最大文字数は 64 文字です。

local_port :ユーザのコンピュータで実行しているアプリケーションの TCP トラフィックをリッスンするポート。ローカル ポート番号は、各ポート転送リストに 1 回だけ使用できます。1 ~ 65535 の範囲のポート番号またはポート名を入力します。既存のサービスとの競合を避けるため、1024 より大きいポート番号を使用してください。

remote_server :アプリケーションのリモート サーバの DNS 名または IP アドレス。IP アドレスは IPv4 または IPv6 形式で指定できます。特定の IP アドレスでクライアント アプリケーションを設定する必要がないように、DNS 名を使用することをお勧めします。


注意 前の項の手順にしたがって、トンネルを確立し、IP アドレスに解決するために、DNS 名は、トンネル グループに割り当てられた DNS 名と一致している必要があります。その項で説明した domain-name group コマンドと dns-group コマンドの両方のデフォルトの設定は、DefaultDNS です。

remote_port :このアプリケーションが接続するリモート サーバのポート。これは、アプリケーションが使用する実際のポートです。1 ~ 65535 の範囲のポート番号またはポート名を入力します。

description :エンド ユーザの Port Forwarding Java アプレット画面に表示されるアプリケーション名または簡単な説明。最大文字数は 64 文字です。

リストからエントリを削除するには、コマンドの no 形式を使用し、リストとローカル ポートの名前の両方を指定します。この場合、リモート サーバ、リモート ポート、説明はオプションです。

no port-forward list_name local_port

次の表に、アプリケーション例に使用されている値を示します。

 

アプリケーション
ローカル ポート
サーバ DNS 名
リモート ポート
説明

IMAP4S e-mail

20143

IMAP4Sserver

143

Get Mail

SMTPS e-mail

20025

SMTPSserver

25

Send Mail

DDTS over SSH

20022

DDTSserver

22

DDTS over SSH

Telnet

20023

Telnetserver

23

Telnet

次の例に、これらのアプリケーションにアクセスを提供する SalesGroupPorts というポート転送リストの作成方法を示します。

hostname(config)# webvpn
hostname(config-webvpn)# port-forward SalesGroupPorts 20143 IMAP4Sserver 143 Get Mail
hostname(config-webvpn)# port-forward SalesGroupPorts 20025 SMTPSserver 25 Send Mail
hostname(config-webvpn)# port-forward SalesGroupPorts 20022 DDTSserver 22 DDTS over SSH
hostname(config-webvpn)# port-forward SalesGroupPorts 20023 Telnetserver 23 Telnet
 

ポート転送リストのコンフィギュレーションに続いて、次の項で説明するように、リストをグループ ポリシーまたはユーザ名に割り当てます。

ポート転送リストの割り当て

グループ ポリシーとユーザ名ごとに、次のいずれかを実行するようにクライアントレス SSL VPN を設定できます。

ユーザのログイン時に自動的にポート転送アクセスを開始します。

ユーザのログイン時にポート転送アクセスをイネーブルにしますが、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、手動でそれを開始する必要があります。


) これらのオプションは、各グループ ポリシーとユーザ名に対して互いに排他的です。1 つだけ使用してください。


表 34-7 に、各グループ ポリシーとユーザ名で使用可能な port-forward コマンドを示します。各グループ ポリシーとユーザ名のコンフィギュレーションは、一度にこれらのコマンドの 1 つだけサポートするため、1 つのコマンドを入力すると、adaptive security applianceは、該当のグループ ポリシーまたはユーザ名のコンフィギュレーションに存在するコマンドを新しいコマンドで置き換えるか、最後のコマンドの場合は、グループ ポリシーまたはユーザ名コンフィギュレーションにすでに存在する port-forward コマンドを単純に削除します。

 

表 34-7 グループポリシーとユーザ名の webvpn port-forward コマンド

コマンド
説明

port-forward auto-start list_name

ユーザのログイン時に自動的にポート転送を開始します。

port-forward enable list_name

ユーザのログイン時にポート転送をイネーブルにしますが、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、手動でポート転送を開始する必要があります。

port-forward disable

ポート転送を禁止します。

no port-forward [ auto-start list_name | enable list_name | disable ]

グループ ポリシーまたはユーザ名コンフィギュレーションから port-forward コマンドを削除し、デフォルトのグループ ポリシーから [ no ] port-forward コマンドを継承します。 no port-forward コマンドの後にあるキーワードはオプションですが、それらは削除を名前付きの port-forward コマンドに限定します。

詳細については、使用するオプションについて説明している項を参照してください。

ポート転送の自動化

ユーザのログイン時にポート転送を自動的に開始するには、グループポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、次のコマンドを入力します。

port-forward auto-start list_name

list_name は、adaptive security appliance webvpn コンフィギュレーションにすでに存在するポート転送リストに名前を付けます。複数のポート転送リストをグループ ポリシーまたはユーザ名に割り当てることはできません。adaptive security appliance コンフィギュレーションに存在するポート転送を表示するには、特権 EXEC モードで show run webvpn port-forward コマンドを入力します。

グループ ポリシーまたはユーザ名から port-forward コマンドを削除し、デフォルトのグループ ポリシーから [ no ] port-forward コマンドを継承するには、コマンドの no 形式を使用します。

no port-forward

次のコマンドは、apps1 という名前のポート転送リストをグループ ポリシーに割り当てます。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# port-forward auto-start apps1
 

ポート転送のイネーブル化とディセーブル化

デフォルトで、ポート転送はディセーブルになっています。ポート転送をイネーブルにした場合、ユーザはクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、手動でそれを開始する必要があります。前の項で説明した port-forward auto-start list_name コマンドを port-forward enable list_name コマンドの代わりに入力した場合、ユーザはポート転送を使用するためにそれを手動で開始する必要がなくなります。

ポート転送をイネーブルまたはディセーブルにするには、グループポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、次のコマンドを入力します。

port-forward [ enable list_name | disable ]

list_name はadaptive security appliance webvpn コンフィギュレーションにすでに存在するポート転送リストの名前です。複数のポート転送リストをグループ ポリシーまたはユーザ名に割り当てることはできません。ポート転送リストのエントリを表示するには、特権 EXEC モードで show running-config port-forward コマンドを入力します。

グループ ポリシーまたはユーザ名から port-forward コマンドを削除し、デフォルトのグループ ポリシーから [ no ] port-forward コマンドを継承するには、コマンドの no 形式を使用します。

no port-forward

次のコマンドは、apps1 という名前のポート転送リストをグループ ポリシーに割り当てます。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# port-forward enable apps1
 

次のコマンドはポート転送をディセーブルにします。

hostname(config-group-webvpn)# port-forward disable

ファイル アクセスの設定

クライアントレス SSL VPN は、リモート ユーザにadaptive security applianceで実行するプロキシ CIFS クライアントと FTP クライアントとのインターフェイスをとる HTTPS ポータル ページを提供します。クライアントレス SSL VPN は、CIFS または FTP を使用して、ユーザが認証の要件を満たしていてファイルのプロパティがアクセスを制限しない限り、ネットワーク上のファイルへのネットワーク アクセスをユーザに提供します。CIFS クライアントおよび FTP クライアントは透過的です。クライアントレス SSL VPN から送信されるポータル ページでは、ファイル システムに直接アクセスしているかのように見えます。

ユーザがファイルのリストを要求すると、クライアントレス SSL VPN は、そのリストが含まれるサーバの IP アドレスをマスター ブラウザに指定されているサーバに照会します。adaptive security applianceはリストを入手してポータル ページ上のリモート ユーザに送信します。

クライアントレス SSL VPN は、ユーザの認証要求とファイルのプロパティに応じて、ユーザが次の CIFS および FTP の機能を呼び出すことができるようにします。

ドメインおよびワークグループへの移動とリスト、ドメインまたはワークグループ内のサーバへの移動とリスト、サーバ内部の共有、共有部分またはディレクトリ内でのファイルの共有

ディレクトリの作成

ファイルのダウンロード、アップロード、移動、削除

adaptive security applianceは、通常、adaptive security applianceと同じネットワーク上か、またはこのネットワークからアクセス可能な場所のマスター ブラウザ、WINS サーバ、または DNS サーバを使用して、リモート ユーザがクライアントレス SSL VPN セッション中に表示されるポータル ページのメニュー上またはツールバー上の [Browse Networks] をクリックしたときに、ネットワークでサーバのリストを照会します。

マスター ブラウザまたは DNS サーバには、adaptive security appliance上の CIFS/FTP クライアントと、クライアントレス SSL VPN がリモート ユーザに提供するネットワーク リソースのリストが表示されます。


) ファイル アクセスを設定する前に、ユーザ アクセス用のサーバに共有を設定する必要があります。


ファイル アクセスのサポートの追加

次のように、ファイル アクセスを設定します。


) この手順 1 は、マスター ブラウザと WINS サーバの指定方法について説明します。代わりに、ASDM を使用して、ファイル共有にアクセスを提供する URL リストとエントリを設定できます。

ASDM の共有の追加では、マスター ブラウザまたは WINS サーバは不要です。ただし、Browse Networks リンクはサポートされません。このコマンドの入力時に ServerA を参照するためのホスト名または IP アドレスが使用できます。ホスト名を使用する場合、adaptive security applianceには IP アドレスを解決するための DNS サーバが必要です。



ステップ 1 NetBIOS Name Server(NBNS)ごとに 1 回ずつ、トンネルグループの webvpn コンフィギュレーション モードで、 nbns-server コマンドを使用します。この手順により、ユーザはネットワークまたはドメインを参照できます。

nbns-server { IPaddress | hostname } [ master ] [ timeout timeout ] [ retry retries ]

master は、マスター ブラウザに指定されるコンピュータです。マスター ブラウザは、コンピュータと共有リソースのリストを保持します。コマンドのマスター部分を入力せずにこのコマンドで指定する任意の NBNS サーバは、Windows Internet Naming Server(WINS)である必要があります。まずマスター ブラウザを指定してから、WINS サーバを指定してください。接続プロファイル用のマスター ブラウザを含め、サーバは最大 3 つまで指定できます。

retries は、NBNS サーバに対するクエリーのリトライ回数です。adaptive security applianceは、この回数だけサーバのリストを再利用してからエラー メッセージを送信します。デフォルト値は 2 で、範囲は 1 ~ 10 です。

timeout は、adaptive security applianceが、クエリーを再度サーバに送信する前に待機する秒数です。このとき、サーバが 1 つしかない場合は同じサーバに送信し、サーバが複数存在する場合は別のサーバに送信します。デフォルトのタイムアウトは 2 秒で、範囲は 1 ~ 30 秒です。

次に例を示します。

hostname(config-tunnel-webvpn)# nbns-server 192.168.1.20 master
hostname(config-tunnel-webvpn)# nbns-server 192.168.1.41
hostname(config-tunnel-webvpn)# nbns-server 192.168.1.47
 

) 接続プロファイル コンフィギュレーションにすでに存在する NBNS サーバを表示する場合は、show tunnel-group webvpn-attributes コマンドを使用します。


ステップ 2 (オプション)クライアントレス SSL VPN ポータル ページをリモート ユーザに送信するために符号化する文字セットを指定する character-encoding コマンドを使用します。デフォルトでは、リモート ブラウザ上の符号化タイプ セットによって、クライアントレス SSL VPN ポータル ページの文字セットが決定されるため、ユーザは、ブラウザで符号化を適切に実行するために必要となる場合に限り、文字の符号化を設定する必要があります。

character-encoding charset

Charset は、最大 40 文字からなる文字列で、 http://www.iana.org/assignments/character-sets で指定されたいずれかの有効文字セットと同じです。このページのリストにある名前またはエイリアスのいずれかを使用できます。例には、iso-8859-1、shift_jis、および ibm850 が含まれています。


) character-encoding 値および file-encoding 値では、ブラウザが使用するフォント ファミリを除外しません。これらの値のいずれかに対し、次の例で示すように日本語の Shift JIS 文字符号化を使用する場合は、webvpn カスタマイゼーション コマンド モードの page style コマンドを使用してフォント ファミリを置き換えるか、webvpn カスタマイゼーション コマンド モードで no page style コマンドを入力してフォント ファミリを削除することにより、設定を補う必要があります。


次に、日本語の Shift JIS 文字をサポートしてフォント ファミリを削除し、さらにデフォルトの背景色を保持するための character-encoding アトリビュートを設定する例を示します。

hostname(config-webvpn)# character-encoding shift_jis
hostname(config-webvpn)# customization DfltCustomization
hostname(config-webvpn-custom)# page style background-color:white
 

ステップ 3 (オプション)特定の CIFS サーバのクライアントレス SSL VPN ポータル ページの符号化を指定する file-encoding コマンドを使用します。このため、これ以外の文字の符合化が必要な各 CIFS サーバに対し、異なるファイル符号化値を使用できます。

file-encoding {server-name | server-ip-address } charset

次の例では、IBM860(エイリアス「CP860」)文字をサポートするために、CIFS サーバ 10.86.5.174 にファイル符号化アトリビュートを設定しています。

hostname(config-webvpn)# file-encoding 10.86.5.174 cp860
 

これらのコマンドの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。


 

SharePoint アクセスのためのクロック精度の確認

adaptive security applianceのクライアントレス SSL VPN サーバはクッキーを使用して、エンドポイント上の Microsoft Word などのアプリケーションと対話します。adaptive security applianceの時刻が正しくない場合に、Word が SharePoint サーバ上のドキュメントにアクセスすると、adaptive security applianceによって設定されたクッキーの有効期限により、正しく動作しないことがあります。この誤動作を防ぐには、ASA クロックを正しく設定します。NTP サーバとダイナミックに時刻を同期するように、adaptive security applianceを設定することをお勧めします。手順については、「 日付と時刻の設定 」を参照してください。

PDA でのクライアントレス SSL VPN の使用

Pocket PC または他の認定された携帯情報端末からクライアントレス SSL VPN にアクセスできます。adaptive security applianceの管理者やクライアントレス SSL VPN ユーザは、特に何もしなくても、認定された PDA でクライアントレス SSL VPN を使用できます。

シスコでは次の PDA プラットフォームを認定しています。

HP iPaq H4150
Pocket PC 2003
Windows CE 4.20.0、ビルド 14053
Pocket Internet Explorer(PIE)
ROM バージョン 1.10.03ENG
ROM 日付:7/16/2004

PDA のバージョンによって、クライアントレス SSL VPN に次のような相違点があります。

ポップアップのクライアントレス SSL VPN ウィンドウはバナー Web ページに置き換わっています。

標準のクライアントレス SSL VPN フローティング ツールバーがアイコン バーに置き換わっています。このバーには、Go、Home、および Logout の各種ボタンが表示されます。

メインのクライアントレス SSL VPN ポータル ページに [Show Toolbar] アイコンがありません。

クライアントレス SSL VPN のログアウト時に、警告メッセージで PIE ブラウザを正しく閉じる手順が表示されます。この手順に従わないで通常の方法でブラウザのウィンドウを閉じると、クライアントレス SSL VPN または HTTPS を使用するすべてのセキュアな Web サイトから PIE が切断されません。

クライアントレス SSL VPN は OWA 2000 版および OWA 2003 版の基本認証をサポートします。OWA サーバに基本認証を設定せずにクライアントレス SSL VPN ユーザがこのサーバにアクセスしようとするとアクセスは拒否されます。

サポートされていないクライアントレス SSL VPN の機能

Application Access および他の Java 依存の各種機能

HTTP プロキシ

Cisco Secure Desktop の Microsoft Windows CE の限定的なサポート

Microsoft Outlook Web Access(OWA)5.5

Citrix Metaframe 機能(PDA に対応する Citrix ICA クライアント ソフトウェアが装備されていない場合)。

クライアントレス SSL VPN を介した電子メールの使用

クライアントレス SSL VPN は、電子メールにアクセスする方法をいくつかサポートしています。ここでは、次の方式について説明します。

電子メール プロキシの設定

Web 電子メール MS Outlook Web Access の設定

電子メール プロキシの設定

クライアントレス SSL VPN は IMAP4S、POP3S、および SMTPS 電子メール プロキシをサポートしています。 表 34-8 に、電子メール プロキシ ユーザにグローバルに適用されるアトリビュートを示します。

 

表 34-8 クライアントレス SSL VPN を介した電子メール プロキシ ユーザのアトリビュート

機能
コマンド
デフォルト値

電子メール プロキシで使用するように事前に設定されているアカウンティング サーバを指定します。

accounting-server-group

なし

電子メール プロキシ ユーザ用の認証方式(複数可)を指定します。

authentication

IMAP4S:メールホスト(必須)

POP3S メールホスト(必須)

SMTPS:AAA

電子メール プロキシで使用するように事前に設定されている認証サーバを指定します。

authentication-server-group

LOCAL

クライアントレス SSL VPN で使用するように事前に設定されている認可サーバを指定します。

authorization-server-group

なし

ユーザが接続するには、正常に認可される必要があります。

authorization-required

Disabled

認可のユーザ名として使用するピア証明書の DN を指定します。

authorization-dn-attributes

プライマリ アトリビュート:CN

セカンダリ アトリビュート:OU

使用するグループポリシーの名前を指定します。

default-group-policy

DfltGrpPolicy

指定したインターフェイスで電子メール プロキシをイネーブルにします。

enable

Disabled

電子メールと VPN のユーザ名とパスワードとの間の区切り記号を定義します。

name-separator

「:」(コロン)

未処理の未承認セッションの最大数を設定します。

outstanding

20

電子メール プロキシがリスンするポートを設定します。

port

IMAP4S:993

POP3S:995

SMTPS:9881

デフォルトの電子メール サーバを指定します。

server

なし。

電子メールとサーバ名との間の区切り記号を定義します。

server-separator

「@」

1.Eudora 電子メール クライアントでは、SMTPS 接続のデフォルトのポートが 988 の場合でも、SMTPS はポート 465 でだけ動作します。

電子メールプロキシの証明書認証

電子メール プロキシ接続の証明書認証は、Netscape 7x 電子メール クライアントで機能します。MS Outlook、MS Outlook Express、Eudora など、他の電子メール クライアントは、証明書ストアにアクセスできません。

Web 電子メール MS Outlook Web Access の設定

Web 電子メールとは、MS Outlook Web Access for Exchange 2000、Exchange 5.5、および Exchange 2003 のことです。中央サイトに MS Outlook Exchange Server が必要です。また、ユーザが次の作業を行う必要があります。

クライアントレス SSL VPN セッションで、ブラウザに電子メール サーバの URL を入力する。

プロンプトが表示されたら、電子メール サーバのユーザ名を domain\username 形式で入力する。

電子メールのパスワードを入力する。

クライアントレス SSL VPN のパフォーマンスの最適化

adaptive security applianceには、クライアントレス SSL VPN のパフォーマンスと機能性を最適化するいくつかの方法があります。パフォーマンスの改善には、キャッシングと Web オブジェクトの圧縮が含まれます。機能性の調整には、コンテンツの変換およびプロキシのバイパスが含まれます。APCF は、コンテンツの変換を調整するための追加的な方法を提供します。この項では、次のトピックを取り上げます。

キャッシングの設定

コンテンツの変換の設定

キャッシングの設定

キャッシングを行うとクライアントレス SSL VPN のパフォーマンスが向上します。キャッシングによって頻繁に再利用されるオブジェクトはシステム キャッシュに保存され、コンテンツを繰り返しリライトしたり圧縮する必要性を減らしたりすることができます。また、クライアントレス SSL VPN とリモート サーバ間のトラフィックが軽減されるため、多くのアプリケーションが今までよりはるかに効率的に実行できるようになります。

デフォルトでは、キャッシングはイネーブルになっています。次のように、webvpn モードからキャッシング コマンドを入力すると、ユーザの環境に応じてキャッシング動作をカスタマイズできます。

hostname(config)#
hostname(config)# webvpn
hostname(config-webvpn)# cache
 

次に、キャッシング コマンドとその機能のリストを示します。

 

キャッシング コマンド
機能

disable

キャッシングをディセーブルにします。

expiry-time

キャッシング オブジェクトの期限切れの時刻を設定します。

lmfactor

キャッシングされたオブジェクトを再検証するための用語を設定します。

max-object-size

キャッシュに入れるオブジェクトの最大サイズを設定します。

min-object-size

キャッシュに入れるオブジェクトの最小サイズを設定します。

cache-static-content

キャッシング可能なすべての Web オブジェクトをキャッシュに入れ、コンテンツはリライトの対象にしません。例には、イメージや PDF ファイルがあります。

コンテンツの変換の設定

デフォルトでは、adaptive security applianceは、コンテンツ変換およびリライト エンジンを通じ、JavaScript および Java などの高度な要素からプロキシ HTTP へのトラフィックを含む、すべてのクライアントレス SSL VPN トラフィックを処理します。このようなトラフィックでは、ユーザがアプリケーションにアクセスするのに SSL VPN デバイス内部からアクセスしているか、これらに依存せずにアクセスしているかによって、セマンティックやアクセス コントロールのルールが異なる場合があります。

Web リソースによっては高度に個別の処理が要求される場合があります。次の各項では、このような処理を提供する機能について説明します。

リライト済み Java コンテンツに署名するための証明書の設定

コンテンツのリライトのディセーブル化

プロキシのバイパスの使用

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

組織や関係する Web コンテンツの要件に応じてこれらの機能のいずれかを使用する場合があります。

リライト済み Java コンテンツに署名するための証明書の設定

クライアントレス SSL VPN が変換した Java オブジェクトは、その後、トラストポイントに関連付けられた PKCS12 デジタル証明書により署名されます。 crypto ca import コマンドと java-trustpoint コマンドを組み合せて、証明書をインポートし使用します。

次のコマンド例は mytrustpoint と呼ばれるトラストポイントの作成と Java オブジェクト署名への割り当てを示しています。

hostname(config)# crypto ca import mytrustpoint pkcs12 mypassphrase
Enter the base 64 encoded PKCS12.
End with the word “quit” on a line by itself.
[ PKCS12 data omitted ]
quit
INFO: Import PKCS12 operation completed successfully.
hostname(config)# webvpn
hostname(config)# java-trustpoint mytrustpoint
 

コンテンツのリライトのディセーブル化

公開 Web サイトなどの一部のアプリケーションや Web リソースによっては、adaptive security applianceを通過しない設定が求められる場合があります。このため、adaptive security applianceでは、特定のサイトやアプリケーションをを通過せずにブラウズできるadaptive security applianceリライト ルールを作成できます。これは、IPSec VPN 接続のスプリット トンネリングと同様の機能です。

webvpn モードで rewrite コマンドと disable オプションを使用して、クライアントレス SSL VPN トンネル外部にアクセスするためのアプリケーションとリソースを指定します。

この rewrite コマンドは複数回使用できます。セキュリティ アプライアンスはリライト ルールを順序番号にしたがって検索するため、ルールの順序番号は重要です。このとき、最下位の番号から順に検索して行き、最初に一致したルールが適用されます。

プロキシのバイパスの使用

ユーザはadaptive security applianceプロキシ バイパスを使用するようにを設定できます。これは、プロキシ バイパスが提供する特殊なコンテンツ リライト機能を使用した方が、アプリケーションや Web リソースをより有効活用できる場合に設定します。プロキシ バイパスはコンテンツ リライトに代わる手法で、元のコンテンツへの変更を最小限にします。多くの場合、カスタム Web アプリケーションでこれを使用すると有効です。

このコマンドは複数回使用できます。エントリを設定する順序は重要ではありません。インターフェイスとパス マスク、またはインターフェイスとポートを組み合せることで、プロキシ バイパスのルールを一意に指定できます。

ネットワーク設定に応じてパス マスクではなくポートを使用してプロキシ バイパスを設定する場合、これらのポートからadaptive security applianceにアクセスできるようにファイアウォール設定を変更する必要がある場合があります。この制約を回避するにはパス マスクを使用します。ただし、このパス マスクは変更される場合があるため、複数の pathmask 文を使用して可能性を排除する必要があることに注意してください。

パスとは URL の中で .com、.org、または他のドメイン名以降に記述されているすべてを指します。たとえば、www.mycompany.com/hrbenefits という URL では、 hrbenefits がパスになります。同様に、www.mycompany.com/hrinsurance という URL では、 hrinsurance がパスです。すべての hr サイトでプロキシ バイパスを使用する場合は、/hr* のように * をワイルドカードとして使用すると、コマンドを何度も入力しなくてもすみます。

プロキシ バイパスを設定するには、webvpn モードで proxy-bypass コマンドを使用します。

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

クライアントレス SSL VPN 用の Apllication Profile Customization Framework(APCF; アプリケーション プロファイル カスタマイゼーション フレームワーク)プロファイルを使用すると、adaptive security applianceは、標準以外のアプリケーションや Web リソースを処理できるようになり、クライアントレス SSL VPN 接続を介してこれらが正しく表示されます。APCF プロファイルには、特定のアプリケーションに送信するデータの送信時刻(処理前、処理後)、送信部分(ヘッダー、本文、要求、応答)、および送信内容を指定したスクリプトが含まれています。スクリプトは XML 形式で記述され、ストリングおよびテキストの変換では sed(ストリーム エディタ)のシンタックスが使用されます。APCF プロファイルは、adaptive security appliance上で数種類を同時に実行できます。1 つの APCF プロファイルのスクリプト内に複数の APCF ルールを適用できます。この場合、adaptive security applianceは、最も古いルール(設定履歴に基づいて)を最初に処理し、次に 2 番目に古いルール、その次は 3 番目という順序で処理します。

APCF プロファイルは、adaptive security applianceのフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、または TFTP サーバに保存できます。webvpn モードで apcf コマンドを使用すると、adaptive security appliance上にロードする APCF プロファイルを指定し、検索できます。


) APCF プロファイルは、シスコの担当者のサポートが受けられる場合のみ設定することをお勧めします。


次の例は、フラッシュ メモリに保存されている apcf1.xml という名前の APCF プロファイルのイネーブル化を示します。

hostname(config)# webvpn
hostname(config-webvpn)# apcf flash:/apcf/apcf1.xml
 

この例では、ポート番号 1440、パスが /apcf の myserver という名前の https サーバにある APCF プロファイル apcf2.xml をイネーブルにする手順を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# apcf https://myserver:1440/apcf/apcf2.xml
 

APCF の例

APCF プロファイルは、XML フォーマットおよび sed スクリプト シンタックスを使用します。次の例に、APCF プロファイルの例を示します。


注意 APCF プロファイルの使用方法を誤ると、パフォーマンスが低下したり、好ましくない表現のコンテンツになる場合があります。シスコのエンジニアリング部では、APCF プロファイルを提供することで特定アプリケーションの表現上の問題を解決しています。

<APCF>
<version>1.0</version>
<application>
<id>Do not compress content from notsogood.com</id>
<apcf-entities>
<process-request-header>
<conditions>
<server-fnmatch>*.notsogood.com</server-fnmatch>
</conditions>
<action>
<do><no-gzip/></do>
</action>
</process-request-header>
</apcf-entities>
</application>
</APCF>
 

クライアントレス SSL VPN エンド ユーザの設定

この項は、エンド ユーザのためにクライアントレス SSL VPN を設定するシステム管理者を対象にしています。ここでは、エンド ユーザ インターフェイスをカスタマイズする方法について説明します。

この項では、リモート システムの設定要件と作業の概要を説明します。ユーザがクライアントレス SSL VPN の使用を開始するために、ユーザに伝える必要のある情報を明確にします。次の項目について説明します。

エンド ユーザ インターフェイスの定義

「クライアントレス SSL VPN ページのカスタマイズ」

「ヘルプのカスタマイズ」

ユーザ名とパスワードの要求

セキュリティのヒントの通知

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

ユーザ メッセージの言語の変換

エンド ユーザ インターフェイスの定義

クライアントレス SSL VPN エンド ユーザ インターフェイスは一連の HTML パネルで構成されます。ユーザは、adaptive security appliance インターフェイスの IP アドレスを https:// address 形式で入力することにより、クライアントレス SSL VPN にログインします。最初に表示されるパネルは、ログイン画面です(図 34-5)。

図 34-5 クライアントレス SSL VPN の Login 画面

 

 

クライアントレス SSL VPN ホーム ページの表示

ユーザがログインすると、ポータルページが開きます(図 34-6)。

図 34-6 クライアントレス SSL VPN ホーム ページ

 

ホームページには設定済みのクライアントレス SSL VPN 機能がすべて表示され、選択済みのロゴ、テキスト、および色が外観に反映されています。このサンプル ホームページには、特定のファイル共有の指定機能以外のすべてのクライアントレス SSL VPN 機能が表示されています。ユーザはこのホームページを使用して、ネットワークのブラウズ、URL の入力、特定の Web サイトへのアクセス、および Application Access(ポート転送とスマート トンネル)による TCP アプリケーションへのアクセスを実行できます。

クライアントレス SSL VPN の Application Access パネルの表示

ポート転送またはスマート トンネルを開始するには、ユーザは [Application Access] ボックスの [Go] ボタンをクリックします。[Application Access] ウィンドウが開きます(図 34-7)。

図 34-7 クライアントレス SSL VPN の [Application Access] ウィンドウ

 

このウィンドウには、このクライアントレス SSL VPN 接続用に設定された TCP アプリケーションが表示されます。アプリケーションを使用する場合は、このパネルを開いたまま、通常の方法でアプリケーションを起動します。


) ステートフル フェールオーバーでは、Application Access を使用して確立されたセッションが維持されません。ユーザはフェールオーバー後に再接続する必要があります。


フローティング ツールバーの表示

図 34-8 に示すフローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。

図 34-8 クライアントレス SSL VPN フローティング ツールバー

 

フローティング ツールバーの次の特性に注意してください。

ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

ツールバーを閉じると、adaptive security applianceはクライアントレス SSL VPN セッションの終了を確認するプロンプトを表示します。

クライアントレス SSL VPN の使用方法については、表 34-11 を参照してください。

クライアントレス SSL VPN ページのカスタマイズ

クライアントレス SSL VPN ユーザに表示されるポータル ページの外観を変えることができます。変更できる外観には、ユーザによるセキュリティ アプライアンスへの接続時に表示される Login ページ、セキュリティ アプライアンスのユーザ承認後に表示されるホームページ、ユーザによるアプリケーション起動時に表示される Application Access ウィンドウ、さらにはユーザによるクライアントレス SSL VPN セッションのログオフ時に表示される Logout ページがあります。

ポータル ページのカスタマイズ後は、このカスタマイズを保存して特定の接続プロファイル、グループ ポリシー、ユーザに適用できます。いくつものカスタマイゼーション オブジェクトを作成、保存して、ユーザ個人やユーザ グループに応じてポータル ページの外観を変更するようにセキュリティ アプライアンスをイネーブル化できます。

ここでは、次の項目とタスクについて説明します。

「カスタマイゼーションのしくみ」

「カスタマイゼーション テンプレートのエクスポート」

「カスタマイゼーション テンプレートの編集」

「カスタマイゼーション オブジェクトのインポート」

「接続プロファイル、グループ ポリシー、ユーザへのカスタマイゼーションの適用」

カスタマイゼーションのしくみ

adaptive security applianceはカスタマイゼーション オブジェクトを使用して、ユーザ画面の外観を定義します。カスタマイゼーション オブジェクトは、リモート ユーザに表示されるすべてのカスタマイズ可能な画面項目の XML タグを含む XML ファイルからコンパイルされたものです。adaptive security appliance ソフトウェアには、リモート PC にエクスポート可能なカスタマイゼーション テンプレートがあります。このテンプレートを編集し、新しいカスタマイゼーション オブジェクトとして、そのテンプレートをadaptive security applianceにインポートすることもできます。

カスタマイゼーション オブジェクトをエクスポートすると、XML タグを含む XML ファイルが、指定した URL に作成されます。 Template というカスタマイゼーション オブジェクトによって作成された XML ファイルには、空の XML タグが含まれ、新しいカスタマイゼーション オブジェクトを作成するための基礎となります。このオブジェクトは、変更やキャッシュ メモリから削除することはできませんが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとしてadaptive security applianceにインポートできます。

カスタマイゼーション オブジェクト、接続プロファイル、グループ ポリシー

ユーザが初めて接続したときに、接続プロファイル(トンネル グループ)に指定されたデフォルトのカスタマイゼーション オブジェクト( DfltCustomization という)によって、ログオン画面の表示方法が決定されます。接続プロファイル リストがイネーブルにされていて、ユーザが別のグループを選択し、そのグループに独自のカスタマイゼーションがある場合、画面はその新しいグループのカスタマイゼーション オブジェクトを反映して変更されます。

リモート ユーザの認証後、画面の外観は、グループ ポリシーに割り当てられているカスタマイゼーション オブジェクトによって決定されます。

次の項で、カスタマイゼーションの作成とそれらの適用方法を示します。

「カスタマイゼーション テンプレートのエクスポート」

「カスタマイゼーション テンプレートの編集」

「カスタマイゼーション オブジェクトのインポート」

「接続プロファイル、グループ ポリシー、ユーザへのカスタマイゼーションの適用」

カスタマイゼーション テンプレートのエクスポート

カスタマイゼーション オブジェクトをエクスポートすると、指定した URL に XML ファイルが作成されます。カスタマイゼーション テンプレート( Template )には、空の XML タグが含まれ、新しいカスタマイゼーション オブジェクトを作成するための基礎となります。このオブジェクトは、変更やキャッシュ メモリから削除することはできませんが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとしてadaptive security applianceにインポートできます。

export webvpn customization コマンドを使用して、カスタマイゼーション オブジェクトをエクスポートし、XML タグを変更して、 import webvpn customization コマンドを使用し、そのファイルを新しいオブジェクトとしてインポートします。

次の例では、デフォルトのカスタマイゼーション オブジェクト(DfltCustomization)をエクスポートし、 dflt_custom という名前の XML ファイルを作成します。

hostname# export webvpn customization DfltCustomization tftp://209.165.200.225/dflt_custom
!!!!!!!!!!!!!!!!INFO: Customization object 'DfltCustomization' was exported to tftp://10.86.240.197/dflt_custom
hostname#

カスタマイゼーション テンプレートの編集

ここでは、カスタマイゼーション オブジェクト テンプレートの内容を示し、便利な図を掲載しています。これらは、正しい XML タグを速やかに選択して、画面に影響する変更を行うのに役立ちます。

XML ファイルを編集するには、テキスト エディタまたは XML エディタを使用できます。次の例に、カスタマイゼーション テンプレートの XML タグを示します。見やすくするため、一部の冗長なタグは削除しています。

<custom>
<localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>
</localization>
<auth-page>
<window>
<title-text l10n="yes"><![CDATA[SSL VPN Service]]></title-text>
</window>
<full-customization>
<mode>disable</mode>
<url></url>
</full-customization>
<language-selector>
<mode>disable</mode>
<title l10n="yes">Language:</title>
<language>
<code>en</code>
<text>English</text>
</language>
<language>
<code>zh</code>
<text>中国 (Chinese)</text>
</language>
<language>
<code>ja</code>
<text>æ--¥æœ¬ (Japanese)</text>
</language>
<language>
<code>ru</code>
<text>РуÑÑкий (Russian)</text>
</language>
<language>
<code>ua</code>
<text>УкраÑ--нÑька (Ukrainian)</text>
</language>
</language-selector>
<logon-form>
<title-text l10n="yes"><![CDATA[Login]]></title-text>
<title-background-color><![CDATA[#666666]]></title-background-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<message-text l10n="yes"><![CDATA[Please enter your username and password.]]></message-text>
<username-prompt-text l10n="yes"><![CDATA[USERNAME:]]></username-prompt-text>
<password-prompt-text l10n="yes"><![CDATA[PASSWORD:]]></password-prompt-text>
<internal-password-prompt-text l10n="yes">Internal Password:</internal-password-prompt-text>
<internal-password-first>no</internal-password-first>
<group-prompt-text l10n="yes"><![CDATA[GROUP:]]></group-prompt-text>
<submit-button-text l10n="yes"><![CDATA[Login]]></submit-button-text>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-background-color><![CDATA[#666666]]></title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logon-form>
<logout-form>
<title-text l10n="yes"><![CDATA[Logout]]></title-text>
<message-text l10n="yes"><![CDATA[Goodbye.<br>
 
For your own security, please:<br>
 
<li>Clear the browser's cache
 
<li>Delete any downloaded files
 
<li>Close the browser's window]]></message-text>
<login-button-text l10n="yes">Logon</login-button-text>
<hide-login-button>no</hide-login-button>
<title-background-color><![CDATA[#666666]]></title-background-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-background-color><![CDATA[#666666]]></title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logout-form>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service]]></text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff]]></background-color>
<font-size><![CDATA[larger]]></font-size>
<font-color><![CDATA[#800000]]></font-color>
<font-weight><![CDATA[bold]]></font-weight>
</title-panel>
<info-panel>
<mode>disable</mode>
<image-url l10n="yes">/+CSCOU+/clear.gif</image-url>
<image-position>above</image-position>
<text l10n="yes"></text>
</info-panel>
<copyright-panel>
<mode>disable</mode>
<text l10n="yes"></text>
</copyright-panel>
</auth-page>
<portal>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service]]></text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff]]></background-color>
<font-size><![CDATA[larger]]></font-size>
<font-color><![CDATA[#800000]]></font-color>
<font-weight><![CDATA[bold]]></font-weight>
</title-panel>
<browse-network-title l10n="yes">Browse Entire Network</browse-network-title>
<access-network-title l10n="yes">Start AnyConnect</access-network-title>
<application>
<mode>enable</mode>
<id>home</id>
<tab-title l10n="yes">Home</tab-title>
<order>1</order>
</application>
<application>
<mode>enable</mode>
<id>web-access</id>
<tab-title l10n="yes"><![CDATA[Web Applications]]></tab-title>
<url-list-title l10n="yes"><![CDATA[Web Bookmarks]]></url-list-title>
<order>2</order>
</application>
<application>
<mode>enable</mode>
<id>file-access</id>
<tab-title l10n="yes"><![CDATA[Browse Networks]]></tab-title>
<url-list-title l10n="yes"><![CDATA[File Folder Bookmarks]]></url-list-title>
<order>3</order>
</application>
<application>
<mode>enable</mode>
<id>app-access</id>
<tab-title l10n="yes"><![CDATA[Application Access]]></tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>net-access</id>
<tab-title l10n="yes">AnyConnect</tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>help</id>
<tab-title l10n="yes">Help</tab-title>
<order>1000000</order>
</application>
<toolbar>
<mode>enable</mode>
<logout-prompt-text l10n="yes">Logout</logout-prompt-text>
<prompt-box-title l10n="yes">Address</prompt-box-title>
<browse-button-text l10n="yes">Browse</browse-button-text>
</toolbar>
<column>
<width>100%</width>
<order>1</order>
</column>
<pane>
<type>TEXT</type>
<mode>disable</mode>
<title></title>
<text></text>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>IMAGE</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>HTML</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>RSS</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<url-lists>
<mode>group</mode>
</url-lists>
<home-page>
<mode>standard</mode>
<url></url>
</home-page>
</portal>
</custom>
 

図 34-9 に [Logon] ページと、そのカスタマイズする XML タグを示しています。これらのすべてのタグは上位レベルのタグ <auth-page> にネストされています。

図 34-9 [Logon] ページと関連する XML タグ

 

 

図 34-10に、[Logon] ページで使用可能な言語セレクタ ドロップダウン リストとこの機能をカスタマイズするための XML タグを示します。これらのすべてのタグは上位レベルのタグ <auth-page> にネストされています。

図 34-10 [Logon] 画面の言語セレクタと関連する XML タグ

 

図 34-11に、[Logon] ページで使用可能な情報パネルとこの機能をカスタマイズするための XML タグを示します。この情報は、[Logon] ボックスの左側または右側に表示されます。これらのタグは上位レベルのタグ <auth-page> にネストされています。

図 34-11 [Logon] 画面上の情報パネルと関連する XML タグ

 

図 34-12 に、ポータル ページとこの機能をカスタマイズするための XML タグを示します。これらのタグは上位レベルのタグ <auth-page> にネストされています。

図 34-12 ポータル ページと関連する XML タグ

 

カスタマイゼーション オブジェクトのインポート

XML ファイルを編集して保存したら、EXEC モードで import webvpn customization コマンドを使用して、adaptive security applianceのキャッシュ メモリにインポートします。カスタマイゼーション オブジェクトがインポートされると、adaptive security applianceは XML コードの有効性をチェックします。コードが有効な場合、adaptive security applianceはそのオブジェクトをキャッシュ メモリの非表示の場所に保存します。

次の例では、カスタマイゼーション オブジェクト General.xml を 209.165.201.22/customization の URL からインポートし、 custom1 という名前を付けます。

hostname# import webvpn customization custom1 tftp://209.165.201.22/customization /General.xml
Accessing tftp://209.165.201.22/customization/General.xml...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/custom1...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
329994 bytes copied in 5.350 secs (65998 bytes/sec)

接続プロファイル、グループ ポリシー、ユーザへのカスタマイゼーションの適用

カスタマイゼーションを作成したら、 customization コマンドを使用して、このカスタマイゼーションを接続プロファイル、グループ、またはユーザに適用できます。このコマンドで表示されるオプションは、現在のモードの種類によって異なります。


) 接続プロファイルは、以前はトンネル グループと呼ばれていました。


接続プロファイル、グループポリシー、およびユーザの設定の詳細については、 第 28 章「接続プロファイル、グループ ポリシー、およびユーザの設定」 を参照してください。

接続プロファイルへのカスタマイゼーションの適用

接続プロファイルにカスタマイゼーションを適用するには、トンネルグループ webvpn モードで customization コマンドを使用します。

[ no ] customization name

name は、接続プロファイルに適用するカスタマイゼーションの名前です。

コンフィギュレーションからコマンドを削除して、接続プロファイルからカスタマイゼーションを削除するには、このコマンドの no 形式を使用します。

既存のカスタマイゼーションのリストを表示するには、 customization コマンドの後に疑問符(?)を入力します。

次の例では、トンネルグループ webvpn モードに入り、接続プロファイル cisco_telecommuters のカスタマイゼーション cisco をイネーブルにしています。

hostname(config)# tunnel-group cisco_telecommuters webvpn-attributes
hostname(tunnel-group-webvpn)# customization cisco

グループおよびユーザへのカスタマイゼーションの適用

グループまたはユーザにカスタマイゼーションを適用するにはグループポリシー webvpn モードまたはユーザ名 webvpn モードで、 customization コマンドを使用します。これらのモードには、 none および value のオプションが含まれています。

[ no ] customization {none | value name }

none は、グループまたはユーザのカスタマイゼーションをディセーブルにして値が継承されないようにするオプションで、デフォルトのクライアントレス SSL VPN ページを表示します。

value name は、グループまたはユーザに適用するカスタマイゼーションの名前です。

コンフィギュレーションからコマンドを削除して値が継承されるようにするには、コマンドの no 形式を使用します。

customization value コマンドの後に疑問符(?)を入力して、既存のカスタマイゼーションのリストを表示します。

次の例では、グループポリシーの webvpn モードに入ってから、セキュリティ アプライアンスにカスタマイゼーションのリストを照会し、グループポリシー cisco_sales のカスタマイゼーション cisco をイネーブルにしています。

hostname(config)# group-policy cisco_sales attributes
hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# customization value ?
 
config-username-webvpn mode commands/options:
Available configured customization profiles:
DfltCustomization
cisco
hostname(config-group-webvpn)# customization value cisco
 

次の例では、ユーザ名の webvpn モードに入ってから、ユーザ cisco_employee のカスタマイゼーション cisco をイネーブルにしています。

hostname(config)# username cisco_employee attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# customization value cisco

ヘルプのカスタマイズ

adaptive security applianceは、クライアントレス SSL VPN セッション中にアプリケーション パネルにヘルプ コンテンツを表示します。シスコが提供するヘルプ ファイルをカスタマイズしたり、他の言語でヘルプ ファイルを作成したりすることができます。次に、その後のクライアントレス セッション中に表示するために、それらをフラッシュ メモリにインポートします。または、以前にインポートしたヘルプ コンテンツ ファイルを取得して、それらを変更して、フラッシュ メモリに再インポートすることもできます。

各クライアントレス アプリケーションのパネルには、事前に設定されたファイル名を使用して、独自のヘルプ ファイル コンテンツが表示されます。その後の各ファイルは、adaptive security applianceのフラッシュ メモリ内の /+CSCOE+/help/ language / URL に置かれます。 表 34-9 に、クライアントレス SSL VPN セッション用に保持できる各ヘルプ ファイルの詳細を示します。

 

表 34-9 クライアントレス SSL VPN アプリケーションのヘルプ ファイル

アプリケーションのタイプ
パネル
セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL
シスコから英語版のヘルプ ファイルが提供されているか

標準

Application Access

/+CSCOE+/help/ language /app-access-hlp.inc

はい

標準

Browse Networks

/+CSCOE+/help/ language /file-access-hlp.inc

はい

標準

AnyConnect クライアント

/+CSCOE+/help/ language /net-access-hlp.inc

はい

標準

Web Access

/+CSCOE+/help/ language /web-access-hlp.inc

はい

プラグイン

MetaFrame Access

/+CSCOE+/help/ language /ica-hlp.inc

なし

プラグイン

Terminal Servers

/+CSCOE+/help/ language /rdp-hlp.inc

はい

プラグイン

Telnet/SSH Servers

/+CSCOE+/help/ language /ssh,telnet-hlp.inc

はい

プラグイン

VNC Connections

/+CSCOE+/help/ language /vnc-hlp.inc

はい

language はブラウザに表示される言語の短縮形です。このフィールドはファイル変換には 使用されず 、ファイル内で使用される言語を示します。特定の言語コードを指定するには、ブラウザで表示される言語のリストから言語の短縮形をコピーします。たとえば、次のいずれかの手順を実行すると、ダイアログ ウィンドウに言語と関連の言語コードが表示されます。

Internet Explorer を開き、[ツール] > [インターネット オプション] > [言語] > [追加] を選択します。

Mozilla Firefox を開き、[ツール] > [オプション] > [詳細] > [一般] を選択し、[言語] の横の [言語設定] をクリックして、[追加する言語を選択] をクリックします。

次の項では、クライアントレス セッションで表示されるヘルプ コンテンツのカスタマイズ方法について説明します。

「シスコが提供するヘルプ ファイルのカスタマイズ」

「シスコが提供していない言語のヘルプ ファイルの作成」

「フラッシュ メモリへのヘルプ ファイルのインポート」

「フラッシュ メモリからの以前にインポートしたヘルプ ファイルのエクスポート」

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供するヘルプ ファイルをカスタマイズするには、まずフラッシュ メモリ カードからファイルのコピーを取得する必要があります。次のようにして、コピーを取得してカスタマイズします。


ステップ 1 ブラウザを使用して、adaptive security applianceとのクライアントレス SSL VPN セッションを確立します。

ステップ 2 表 34-9 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の文字列をadaptive security applianceのアドレスに追加して、Enter キーを押し、ヘルプ ファイルを表示します。


) 英語版のヘルプ ファイルを取得するには、language の場所に en を入力します。


次のアドレス例では、Terminal Servers の英語版のヘルプを表示します。

https:// address_of_security_appliance /+CSCOE+/help/en/rdp-hlp.inc

ステップ 3 [File] > [Save (Page) As] を選択します。


注意 [File] 名ボックスの内容は変更しないでください。

ステップ 4 [Save as type] オプションを「Web Page, HTML only」に変更し、[Save] をクリックします。

ステップ 5 任意の HTML エディタを使用して、ファイルを変更します。


) ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグ(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> など)は使用しないでください。<b> タグやコンテンツを構築する <p>、<ol>、<ul>、<li> タグなどは使用できます。


ステップ 6 ファイルを元のファイル名と拡張子を使用して、HTML のみとして保存します。

ステップ 7 ファイル名が 表 34-9 の名前と一致しており、余分なファイル名拡張子が付いていないことを確認します。


 

変更したファイルをクライアントレス SSL VPN セッションで表示するためにインポートするには、「 フラッシュ メモリへのヘルプ ファイルのインポート 」を参照してください。

シスコが提供していない言語のヘルプ ファイルの作成

HTML を使用して、他の言語でヘルプ ファイルを作成します。


) ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグ(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> など)は使用しないでください。<b> タグやコンテンツを構築する <p>、<ol>、<ul>、<li> タグなどは使用できます。


サポートする言語ごとに個別のフォルダを作成することをお勧めします。

ファイルは HTML のみとして保存します。 表 34-9 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の最後のスラッシュの後にあるファイル名を使用します。

クライアントレス SSL VPN セッションで表示するためにファイルをインポートするには、次の項を参照してください。

フラッシュ メモリへのヘルプ ファイルのインポート

クライアントレス SSL VPN セッションで表示するために、フラッシュ メモリにヘルプ コンテンツ ファイルをインポートするには、特権 EXEC モードで次のコマンドを入力します。

import webvpn webcontent destination_url source_url

destination_url は、 表 34-9 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の文字列です。

source_url はインポートするファイルの URL です。有効なプレフィックスは ftp://、http://、tftp:// です。

次のコマンド例では、209.165.200.225 の TFTP サーバからヘルプ ファイル app-access-hlp.inc をフラッシュ メモリにコピーしています。URL には、英語の短縮形 en が含まれています。

hostname# import webvpn webcontent /+CSCOE+/help/en/app-access-hlp.inc tftp://209.165.200.225/app-access-hlp.inc
 

フラッシュ メモリからの以前にインポートしたヘルプ ファイルのエクスポート

後の編集のために以前にインポートしたヘルプ コンテンツ ファイルを取得するには、特権 EXEC モードで次のコマンドを入力します。

export webvpn webcontent source_url destination_url

source_url は、 表 34-9 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の文字列です。

destination_url はターゲット URL です。有効なプレフィックスは ftp:// と tftp:// です。最大文字数は 255 です。

次のコマンド例では、[Browse Networks] パネルに表示される英語のヘルプ ファイル file-access-hlp.inc を TFTP サーバ 209.165.200.225 にコピーします。

hostname# export webvpn webcontent /+CSCOE+/help/en/file-access-hlp.inc tftp://209.165.200.225/file-access-hlp.inc
 

ユーザ名とパスワードの要求

ネットワークによっては、リモート セッション中にユーザが、コンピュータ、インターネット サービス プロバイダー、クライアントレス SSL VPN、メール サーバ、ファイル サーバ、企業アプリケーションのうち、それらの一部またはすべてにログインする必要がある場合があります。ユーザはさまざまなコンテキストで認証を行うために、一意のユーザ名、パスワード、PIN などさまざまな情報が要求される場合があります。

表 34-10 に、クライアントレス SSL VPN ユーザが知っておく必要のあるユーザ名とパスワードのタイプを示します。

 

表 34-10 クライアントレス SSL VPN セッションのユーザに提供するユーザ名とパスワード

ログイン ユーザ名/
パスワード タイプ
目的
入力するタイミング

コンピュータ

コンピュータへのアクセス

コンピュータの起動

Internet Service Provider:インターネット サービス プロバイダー

インターネットへのアクセス

インターネット サービス プロバイダーへの接続

クライアントレス SSL VPN

リモート ネットワークへのアクセス

クライアントレス SSL VPN の起動

ファイル サーバ

リモート ファイル サーバへのアクセス

クライアントレス SSL VPN ファイル ブラウジング機能を使用して、リモート ファイル サーバにアクセスするとき

企業アプリケーションへのログイン

ファイアウォールで保護された内部サーバへのアクセス

クライアントレス SSL VPN Web ブラウジング機能を使用して、保護されている内部 Web サイトにアクセスするとき

メール サーバ

クライアントレス SSL VPN 経由によるリモート メール サーバへのアクセス

電子メール メッセージの送受信

セキュリティのヒントの通知

ユーザに、クライアントレス SSL VPN セッションを閉じる場合は、常にツールバーのログアウト アイコンをクリックするように通知してください (ブラウザ ウィンドウを閉じてもセッションは閉じられません)。

クライアントレス SSL VPN を使用してもすべてのサイトとの通信がセキュアであるとは限らないことを、ユーザに通知してください。クライアントレス SSL VPN は、企業ネットワーク上のリモート PC やワークステーションとadaptive security applianceとの間のデータ転送のセキュリティを保証するものです。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるもの)にアクセスする場合、企業のadaptive security applianceから目的の Web サーバまでの通信は暗号化されないためプライベートではありません。

クライアントレス SSL VPN セキュリティ対策の順守では、その項で実行する手順に応じて、ユーザと通信するための追加のヒントを説明しています。

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

表 34-11 に、クライアントレス SSL VPN を使用するためのリモート システムの設定に関する、次の各種情報を示します。

クライアントレス SSL VPN の起動

クライアントレス SSL VPN フローティング ツールバーの使用

Web ブラウジング

ネットワーク ブラウジングとファイル管理

アプリケーションの使用(ポート転送)

ポート転送を介した電子メールの使用

Web アクセスを介した電子メールの使用

電子メール プロキシを介した電子メールの使用

また、 表 34-11 には、次の項目に関する情報も記載されています。

機能別のクライアントレス SSL VPN の要件

クライアントレス SSL VPN でサポートされるアプリケーション

クライアント アプリケーションのインストールとコンフィギュレーションの要件

エンド ユーザに提供する必要のある情報

エンド ユーザのためのヒントや使用上の推奨事項

ユーザ アカウントを別々に設定し、各ユーザがそれぞれ異なるクライアントレス SSL VPN 機能を使用できるようにすることが可能です。 表 34-11 には機能別の情報をまとめてあります。利用できない機能の情報についてはスキップしてください。

 

表 34-11 クライアントレス SSL VPN のリモート システムコンフィギュレーションとエンド ユーザの要件

タスク
リモート システムまたはエンド ユーザの要件
仕様または使用上の推奨事項

クライアントレス SSL VPN の起動

インターネットへの接続

サポートされているインターネット接続は、次のとおりです。

家庭の DSL、ケーブル、ダイヤルアップ

公共のキオスク

ホテルの回線

空港の無線ノード

インターネット カフェ

クライアントレス SSL VPN でサポートされる Web ブラウザ

Cisco ASA 5500 Series VPN Compatibility Reference 』を参照してください。

ブラウザでイネーブルにされているクッキー

ポート転送を介してアプリケーションにアクセスするために、ブラウザでクッキーをイネーブルにする必要があります。

クライアントレス SSL VPN の URL

https アドレスの形式は次のとおりです。
https:// address
address は、クライアントレス SSL VPN がイネーブルになっているadaptive security applianceのインターフェイスの IP アドレスまたは DNS ホスト名(またはロードバランシング クラスタ)です。 たとえば、https://10.89.192.163 または https://cisco.example.com のようになります。

クライアントレス SSL VPN ユーザ名とパスワード

(オプション)ローカル プリンタ

クライアントレス SSL VPN は、Web ブラウザからネットワーク プリンタへの印刷をサポートしていません。ローカル プリンタへの印刷はサポートされています。

クライアントレス SSL VPN セッション中に表示されるフローティング ツールバーの使用

フローティング ツールバーを使用すると、クライアントレス SSL VPN を簡単に使用できます。ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

フローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。[Close] ボタンをクリックすると、adaptive security applianceはクライアントレス SSL VPN セッションの終了を確認するプロンプトを表示します。


ヒント ヒント:テキストをテキスト フィールドに貼り付けるには、Ctrl+V キーを使用します(クライアントレス SSL VPN セッション中に表示されるツールバーでは右クリックはディセーブルになっています)。


Web ブラウジング

保護されている Web サイトのユーザ名とパスワード

クライアントレス SSL VPN を使用してもすべてのサイトとの通信がセキュアになるとは限りません。「 セキュリティのヒントの通知 」を参照してください。

クライアントレス SSL VPN での Web ブラウジングのルックアンドフィールは、ユーザが見慣れたものではない場合があります。次の例を参考にしてください。

クライアントレス SSL VPN のタイトル バーが各 Web ページの上部に表示される

Web サイトへのアクセス方法:

クライアントレス SSL VPN ホームページ上の [Enter Web Address] フィールドに URL を入力する

クライアントレス SSL VPN ホームページ上にある設定済みの Web サイト リンクをクリックする

上記 2 つのどちらかの方法でアクセスした Web ページ上のリンクをクリックする

また、特定のアカウントの設定によっては、次のようになる場合もあります。

一部の Web サイトがブロックされている

使用可能な Web サイトが、クライアントレス SSL VPN ホームページ上にリンクとして表示されるものに限られる

ネットワーク ブラウジングとファイル管理

共有リモートアクセス用に設定されたファイル アクセス権

クライアントレス SSL VPN を介してアクセスできるのは、共有フォルダと共有ファイルに限られます。

保護されているファイル サーバのサーバ名とパスワード

--

フォルダとファイルが存在するドメイン、ワークグループ、およびサーバ名

ユーザは、組織ネットワークを介してファイルを見つける方法に慣れていない場合があります。

--

コピー処理の進行中は、 Copy File to Server コマンドを中断したり、別の画面に移動したりしないでください。コピー処理を中断すると、不完全なファイルがサーバに保存される可能性があります。

Application Access の使用

(注) Macintosh OS X の場合、この機能をサポートしているのは Safari ブラウザだけです。

(注) この機能を使用するには、Sun Microsystems Java? Runtime Environment をインストールしてローカル クライアントを設定する必要があります。これには、ローカル システムで管理者の許可が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。


注意 ユーザは、[Close] アイコンをクリックしてアプリケーションを終了したら、必ず [Application Access] ウィンドウを閉じる必要があります。このウィンドウを正しく閉じないと、Application Access またはアプリケーション自体がディセーブルになる可能性があります。詳細については、「Application Access 使用時の hosts ファイル エラーの回復」を参照してください。

インストール済みのクライアント アプリケーション

--

ブラウザでイネーブルにされているクッキー

--

管理者特権

ユーザが DNS 名を使用してサーバを指定する場合、そのユーザは PC の管理者用アクセス特権を持つ必要があります。これは、hosts ファイルを修正するのにこの特権が必要なためです。

インストール済みの Sun Microsystems Java Runtime Environment(JRE)バージョン 1.4.x と 1.5.x

ブラウザで Javascript をイネーブルにする必要があります。デフォルトでは、イネーブルになっています。

JRE がインストールされていない場合は、ポップアップ ウィンドウが表示され、ユーザに対して使用可能なサイトが示されます。
まれに、JAVA 例外エラーでポート転送アプレットが失敗することがあります。このような状況が発生した場合は、次の手順を実行します。

1. ブラウザのキャッシュをクリアして、ブラウザを閉じます。

2. JAVA アイコンがコンピュータのタスク バーに表示されていないことを確認します。JAVA のインスタンスをすべて閉じます。

3. クライアントレス SSL VPN セッションを確立し、ポート転送 JAVA アプレットを起動します。

設定済みのクライアント アプリケーション(必要な場合)
(注) Microsoft Outlook クライアントの場合、この設定手順は不要です。

Windows 以外のすべてのクライアント アプリケーションでは、設定が必要です。
Windows アプリケーションの設定が必要かどうかを確認するには、Remote Server の値をチェックします。

Remote Server にサーバ ホスト名が含まれている場合、クライアント アプリケーションの設定は不要です。

[Remote Server] フィールドに IP アドレスが含まれている場合、クライアント アプリケーションを設定する必要があります。

クライアント アプリケーションを設定するには、ローカルにマッピングされたサーバの IP アドレスとポート番号を使用します。この情報を見つけるには、次の手順を実行します。

1. クライアントレス SSL VPN セッションを開始し、ホーム ページの [Application Access] リンクをクリックします。[Application Access] ウィンドウが表示されます。

2. [Name] カラムで、使用するサーバ名を確認し、このサーバに対応するクライアント IP アドレスとポート番号を [Local] カラムで確認します。

3. この IP アドレスとポート番号を使用して、クライアント アプリケーションを設定します。設定手順は、クライアント アプリケーションによって異なります。

(注) クライアントレス SSL VPN セッションでアプリケーションを実行している場合、アプリケーションで表示される URL(電子メール内の URL など)をクリックしても、そのセッションではそのサイトは開きません。セッションでこのようなサイトを開くには、[Enter Clientless SSL VPN (URL) Address] フィールドに URL を貼り付けます。

Application Access アクセスを介した
電子メールの使用

Application Access の要件を満たす(「アプリケーションの使用」を参照)

電子メールを使用するには、クライアントレス SSL VPN ホームページから Application Access を起動します。これにより、メール クライアントが使用できるようになります。
(注) IMAP クライアントの使用中にメール サーバとの接続が中断し、新しく接続を確立できない場合は、IMAP アプリケーションを終了してクライアントレス SSL VPN を再起動します。

その他のメール クライアント

Microsoft Outlook Express バージョン 5.5 および 6.0 はテスト済みです。

クライアントレス SSL VPN は、Lotus Notes や Eudora などの、ポート転送を介したその他の SMTPS、POP3S、または IMAP4S 電子メール プログラムをサポートしますが、動作確認は行っていません。

Web アクセスを介した
電子メールの使用

インストールされている Web ベースの電子メール製品

次の製品がサポートされています。

Outlook Web Access

最適な結果を得るために、Internet Explorer 6.x 以上、または Firefox 2.0 以上で OWA を使用してください。

Louts iNotes

その他の Web ベースの電子メール製品も動作しますが、動作確認は行っていません。

電子メール プロキシを介した電子メールの使用

インストール済みの SSL 対応メール アプリケーション

adaptive security appliance SSL バージョンを TLSv1 Only に設定しないでください。Outlook および Outlook Express は TLS をサポートしていません。

サポートされているメール アプリケーションは次のとおりです。

Microsoft Outlook

Microsoft Outlook Express バージョン 5.5 および 6.0

Netscape Mail バージョン 7

Eudora 4.2 for Windows 2000

その他の SSL 対応クライアントも動作しますが、動作確認は行っていません。

設定済みのメール アプリケーション

メール アプリケーションの使用方法と例については、「 クライアントレス SSL VPN を介した電子メールの使用 」を参照してください。

ユーザ メッセージの言語の変換

adaptive security applianceには、ブラウザ ベースのクライアントレス SSL VPN 接続を開始するユーザに表示されるポータルと画面、および Cisco AnyConnect VPN Client のユーザに表示されるインターフェイスの言語を変換する機能があります。

この項では、このようなユーザ メッセージを変換するようにadaptive security applianceを設定する方法について説明します。次の項で構成されています。

「言語の変換の概要」

「変換テーブルの作成」

「カスタマイゼーション オブジェクトでの言語の参照」

「カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ アトリビュートの変更」

言語の変換の概要

リモート ユーザの目に触れる機能領域およびそのメッセージは、変換ドメインとしてまとめられています。 表 34-12 に変換ドメインと変換される機能エリアを示します。

 

表 34-12 変換ドメインと影響を受ける機能エリア

変換ドメイン
変換される機能エリア

AnyConnect

Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッセージ

CSD

Cisco Secure Desktop のメッセージ

customization

ログオン ページおよびログアウト ページのメッセージ、ポータル ページ、およびユーザがカスタマイズ可能なすべてのメッセージ

banners

リモート ユーザに表示されるバナーおよび VPN アクセスが拒否されたときのメッセージ

PortForwarder

ポート転送ユーザに表示されるメッセージ

url-list

ポータル ページの URL ブックマークにユーザが指定するテキスト

webvpn

カスタマイズ不可能なすべてのレイヤ 7、AAA、およびポータル メッセージ

plugin-ica

Citrix プラグインのメッセージ

plugin-rdp

Remote Desktop Protocol プラグインのメッセージ

plugin-telnet,ssh

Telnet および SSH プラグインのメッセージ

plugin-vnc

VNC プラグインのメッセージ

adaptive security applianceのソフトウェア イメージ パッケージには、標準機能の一部として、各ドメインの変換テーブル テンプレートが含まれます。プラグインのテンプレートは、プラグインとともに含まれ、独自の変換ドメインを定義します。

変換ドメインのテンプレートをエクスポートできます。指定した URL にテンプレートの XML ファイルが作成されます。このファイルのメッセージ フィールドは空です。メッセージを編集してテンプレートをインポートすると、新しい変換テーブル オブジェクトがフラッシュ メモリ内に作成されます。

また、既存の変換テーブルをエクスポートすることもできます。作成された XML ファイルには、それまでに編集されたメッセージが含まれています。この XML ファイルを、同じ言語名を指定して再インポートすると、変換テーブル オブジェクトの新しいバージョンが作成され、それまでのメッセージは上書きされます。

テンプレートにはスタティックのものも、adaptive security applianceのコンフィギュレーションに基づいて変更されるものもあります。 クライアントレス ユーザ用にログオン ページおよびログアウト ページ、ポータル ページ、URL ブックマーク をカスタマイズできるため 、adaptive security applianceにより、customization および url-list 変換ドメイン テンプレートがダイナミックに生成され、これらの機能エリアへの変更が自動的にテンプレートに反映されます。

変換テーブルの作成後、それらをカスタマイゼーション オブジェクトの作成に使用して、グループ ポリシーまたはユーザ アトリビュートに適用できます。AnyConnect 変換ドメインを除き、カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを特定して、そのカスタマイゼーションをグループ ポリシーまたはユーザに指定するまで、変換テーブルは影響を受けず、メッセージはユーザの画面で変換されません。AnyConnect ドメインの変換テーブルに対する変更は、ただちに AnyConnect クライアント ユーザの画面に反映されます。

変換テーブルの作成

次の手順に、変換テーブルの作成方法を説明します。


ステップ 1 特権 EXEC モードで export webvpn translation-table コマンドを使用して、変換テーブル テンプレートをコンピュータにエクスポートします。

次の例では、 show webvpn translation-table コマンドを実行して、使用可能な変換テーブル テンプレートとテーブルを一覧表示しています。

hostname# show import webvpn translation-table
Translation Tables' Templates:
customization
AnyConnect
CSD
PortForwarder
url-list
webvpn
Citrix-plugin
RPC-plugin
Telnet-SSH-plugin
VNC-plugin
 
Translation Tables:
 

次の例では、カスタマイゼーション ドメインの変換テーブル テンプレートをエクスポートします。これはクライアントレス SSL VPN セッションでユーザに表示されるメッセージに影響します。作成される XML ファイルのファイル名は portal (ユーザ指定)で、空のメッセージ フィールドが含まれます。

hostname# export webvpn translation-table customization template tftp://209.165.200.225/portal
 

ステップ 2 変換テーブルの XML ファイルを編集します。

次の例に、 portal としてエクスポートされたテンプレートの一部を示します。この出力の最後にはメッセージ SSL VPN の ID フィールド(msgid)とメッセージ文字列フィールド(msgstr)が含まれ、ユーザがクライアントレス SSL VPN セッションを確立すると、ポータル ページに表示されます。テンプレート全体では、メッセージ フィールドのペアが多数存在します。

# Copyright (C) 2006 by Cisco Systems, Inc.
#
#, fuzzy
msgid ""
msgstr ""
"Project-Id-Version: ASA\n"
"Report-Msgid-Bugs-To: vkamyshe@cisco.com\n"
"POT-Creation-Date: 2007-03-12 18:57 GMT\n"
"PO-Revision-Date: YEAR-MO-DA HO:MI+ZONE\n"
"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
"Language-Team: LANGUAGE <LL@li.org>\n"
"MIME-Version: 1.0\n"
"Content-Type: text/plain; charset=UTF-8\n"
"Content-Transfer-Encoding: 8bit\n"
 
#: DfltCustomization:24 DfltCustomization:64
msgid "Clientless SSL VPN Service"
msgstr ""
 

メッセージ ID フィールド(msgid)にはデフォルトの変換が含まれます。msgid に続くメッセージ文字列フィールド(msgstr)で変換を指定します。変換を作成するには、変換後のテキストを msgstr 文字列の引用符の間に入力します。

 

ステップ 3 特権 EXEC モードで import webvpn translation-table コマンドを使用して、変換テーブルをインポートします。

次の例では、XML ファイルが es-us (米国で話されるスペイン語の短縮形)でインポートされます。

hostname# import webvpn translation-table customization language es-us tftp://209.165.200.225/portal
hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
hostname# show import webvpn translation-table
Translation Tables' Templates:
AnyConnect
PortForwarder
csd
customization
keepout
url-list
webvpn
Citrix-plugin
RPC-plugin
Telnet-SSH-plugin
VNC-plugin
 
Translation Tables:
es-us customization
 

AnyConnect ドメインの変換テーブルをインポートした場合、変更はただちに有効になります。他のドメインの変換テーブルをインポートする場合は、ステップ 4 に進み、カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを特定して、グループ ポリシーまたはユーザにカスタマイゼーション オブジェクトを指定する必要があります。

カスタマイゼーション オブジェクトでの言語の参照

変換テーブルを作成したら、このテーブルをカスタマイゼーション オブジェクトで参照する必要があります。

手順 4 ~ 6 に、カスタマイゼーション テンプレートをエクスポートし、編集して、カスタマイゼーション オブジェクトとしてそれをインポートする方法を説明します。

ステップ 4 特権 EXEC モードで export webvpn customization template コマンドを使用して、カスタマイゼーション テンプレートを URL にエクスポートし、編集できます。下の例では、テンプレートをエクスポートし、指定した URL に sales のコピーを作成します。

hostname# export webvpn customization template tftp://209.165.200.225/sales
 

ステップ 5 カスタマイゼーション テンプレートを編集し、以前インポートした変換テーブルを参照します。

カスタマイゼーション テーブルには、変換テーブルに関連する XML コードの 2 つのエリアがあります。下に示す最初のエリアは、使用する変換テーブルを指定します。

<localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>
</localization>
 

XML コードの <languages> タグの後に変換テーブルの名前を指定します。この例では、それらは en、ja、zh、ru、ua です。カスタマイゼーション オブジェクトでこれらの変換テーブルを正しく呼び出すには、テーブルが同じ名前で以前にインポートされている必要があります。これらの名前は、ブラウザの言語オプションと互換性がある必要があります。

<default-language> タグは、リモート ユーザがadaptive security applianceに接続したときに、最初に表示される言語を指定します。上のコードの例では、言語は英語です。

図 34-13 にログオン ページに表示される言語セレクタを示します。言語セレクタにより、SSL VPN 接続を確立するリモート ユーザが言語を選択できます。

図 34-13 言語セレクタ

 

次の XML コードは言語セレクタの表示に影響し、言語セレクタをイネーブルにし、カスタマイズする <language selector> タグと関連する <language> タグを含んでいます。

 
<auth-page>
....
<language-selector>
<mode>enable</mode>
<title l10n="yes">Language:</title>
<language>
<code>en</code>
<text>English</text>
</language>
<language>
<code>es-us</code>
<text>Spanish</text>
</language>
</language-selector>
 

<language-selector> タグ グループ には、言語セレクタの表示をイネーブルおよびディセーブルにする <mode> と、言語をリストするドロップダウン ボックスのタイトルを指定する <title> タグが含まれます。

<language> タグ グループには、言語セレクタ ドロップダウン ボックスに表示される言語名を特定の変転テーブルにマッピングする <code> タグと <text> タグが含まれます。

このファイルを変更して、保存します。

ステップ 6 特権 EXEC モードで import webvpn customization コマンドを使用して、新しいオブジェクトとしてカスタマイゼーション テンプレートをインポートします。次の例を参考にしてください。

hostname# import webvpn customization sales tftp://209.165.200.225/sales
hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 

show import webvpn customization コマンドの出力には、新しいカスタマイゼーション オブジェクト sales が表示されます。

hostname(config)# show import webvpn customization
Template
sales
hostname(config)#

カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ アトリビュートの変更

カスタマイゼーション オブジェクトを作成したら、特定のグループまたはユーザの変更をアクティブにする必要があります。手順 7 に、グループ ポリシーでカスタマイゼーション オブジェクトをイネーブルにする方法を示します。

ステップ 7 グループ ポリシーのグループ ポリシー webvpn コンフィギュレーション モードに入り、 customization コマンドを使用して、カスタマイゼーション オブジェクトをイネーブルにします。次の例に、グループ ポリシー sales でイネーブルにされたカスタマイゼーション オブジェクト sales を示します。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# customization value sales
 

データのキャプチャ

CLI capture コマンドにより、クライアントレス SSL VPN セッションでは正しく表示されない Web サイトに関する情報を記録できます。このデータは、Cisco カスタマー サポート エンジニアによる問題のトラブルシューティングに役立ちます。次の項では、クライアントレス SSL VPN セッション データをキャプチャして表示する方法を説明します。

キャプチャ ファイルの作成

キャプチャ データを表示するためのブラウザの使用


) クライアントレス SSL VPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成したら、WebVPN キャプチャを必ずディセーブルにしてください。


キャプチャ ファイルの作成

次の手順を実行してクライアントレス SSL VPN セッションに関するデータをファイルにキャプチャします。


ステップ 1 クライアントレス SSL VPN のキャプチャ ユーティリティを開始するには、特権 EXEC モードで capture コマンドを使用します。

capture capture_name type webvpn user webvpn_username

値は次のとおりです。

capture_name は、キャプチャに割り当てる名前です。これは、キャプチャ ファイルの名前の先頭にも付加されます。

webvpn_user は、キャプチャの対象となるユーザ名です。

キャプチャ ユーティリティが開始されます。

ステップ 2 ユーザはクライアントレス SSL VPN セッションを開始するためにログインします。キャプチャ ユーティリティは、パケットをキャプチャしています。

コマンドの no バージョンを使用してキャプチャを停止します。

no capture capture_name

キャプチャ ユーティリティは capture_name .zip ファイルを作成し、このファイルはパスワード koleso で暗号化されます。

ステップ 3 .zip ファイルをシスコシステムズに送信するか、Cisco TAC サービス リクエストに添付します。

ステップ 4 .zip ファイルの内容を確認するには、パスワード koleso を使用してファイルを解凍します。


 

次の例では、 hr という名前のキャプチャを作成します。これは、user2 へのトラフィックを次のようにファイルにキャプチャします。

hostname# capture hr type webvpn user user2
WebVPN capture started.
capture name hr
user name user2
hostname# no capture hr
 

キャプチャ データを表示するためのブラウザの使用

次の手順を実行してクライアントレス SSL VPN セッションに関するデータをキャプチャし、これをブラウザに表示します。


ステップ 1 クライアントレス SSL VPN のキャプチャ ユーティリティを開始するには、特権 EXEC モードで capture コマンドを使用します。

capture capture_name type webvpn user webvpn_username

値は次のとおりです。

capture_name は、キャプチャに割り当てる名前です。これは、キャプチャ ファイルの名前の先頭にも付加されます。

webvpn_user は、キャプチャの対象となるユーザ名です。

キャプチャ ユーティリティが開始されます。

ステップ 2 ユーザはクライアントレス SSL VPN セッションを開始するためにログインします。キャプチャ ユーティリティは、パケットをキャプチャしています。

コマンドの no バージョンを使用してキャプチャを停止します。

ステップ 3 ブラウザを開き、アドレスを指定するボックスに次のように入力します。

https:// asdm_enabled_interface_of_the_security_appliance : port /admin/capture/ capture_name /pcap

次のコマンド例では、hr という名前のキャプチャを表示します。

https://192.0.2.1:60000/admin/capture/hr/pcap

キャプチャされたコンテンツが sniffer 形式で表示されます。

ステップ 4 コンテンツをキャプチャし終えたら、コマンドの no バージョンを使用してキャプチャを停止します。


 

Application Access ユーザのメモ

次の各項では、Application Access の使用について説明します。

hosts ファイル エラーを回避するための Application Access の終了

Application Access 使用時の hosts ファイル エラーの回復


) セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。クライアントレス SSL VPN セッションによってアプリケーション アクセスを実現するポート転送やスマート トンネル機能のいずれも MAPI をサポートしません。MAPI プロトコルを使用する Microsoft Outlook Exchange での通信の場合、リモート ユーザは AnyConnect を使用する必要があります。


hosts ファイル エラーを回避するための Application Access の終了

Application Access の実行の妨げになる hosts ファイル エラーを回避するために、Application Access を使用し終わったら Application Access ウィンドウを正しく閉じるようにします。終了するには、close アイコンをクリックします。

Application Access 使用時の hosts ファイル エラーの回復

Application Access ウィンドウを正しく閉じないと次のエラーが発生することがあります。

次に Application Access を起動しようとしたときに、Application Access がディセーブルになっていて、 Backup HOSTS File Found エラー メッセージが表示される。

アプリケーションをローカルで実行している場合でも、アプリケーション自体がディセーブルになっているか、または動作しない。

このようなエラーは、Application Access ウィンドウを不適切な方法で終了したことが原因です。次の例を参考にしてください。

Application Access の使用中に、ブラウザがクラッシュした。

Application Access の使用中に、停電またはシステム シャットダウンが発生した。

作業中に Application Access ウィンドウを最小化し、このウィンドウがアクティブな状態(ただし最小化されている)でコンピュータをシャットダウンした。

この項は、次の内容で構成されています。

hosts ファイルの概要

不正な Application Access の終了

hosts ファイルの再設定

hosts ファイルの概要

ローカル システム上の hosts ファイルは、IP アドレスをホスト名にマッピングしています。Application Access を起動すると、クライアントレス SSL VPN は hosts ファイルを修正し、クライアントレス SSL VPN 固有のエントリを追加します。Application Access ウィンドウを正しく閉じて Application Access を終了すると、hosts ファイルは元の状態に戻ります。

 

Application Access の起動前

hosts ファイルは元の状態です。

Application Access の起動時

クライアントレス SSL VPN は hosts ファイルを hosts.webvpn にコピーして、バックアップを作成します。

次にクライアントレス SSL VPN は hosts ファイルを編集し、クライアントレス SSL VPN 固有の情報を挿入します。

Application Access の終了時

クライアントレス SSL VPN はバックアップ ファイルを hosts ファイルにコピーして、hosts ファイルを元の状態に戻します。

クライアントレス SSL VPN は hosts.webvpn を削除します。

Application Access の終了後

hosts ファイルは元の状態です。


) Microsoft アンチスパイウェア ソフトウェアは、ポート転送 Java アプレットによる hosts ファイルの変更をブロックします。アンチスパイウェア ソフトウェアの使用時に hosts ファイルの変更を許可する方法の詳細については、www.microsoft.com を参照してください。


不正な Application Access の終了

Application Access が正しく終了しなかった場合、 hosts ファイルはクライアントレス SSL VPN 用にカスタマイズされた状態のままになっています。ユーザが次に Application Access を起動するときに、クライアントレス SSL VPN は hosts.webvpn ファイルを検索することで、Application Access の状態をチェックします。hosts.webvpn ファイルが検出されると、 Backup HOSTS File Found エラー メッセージ(図 34-14)が表示され、Application Access が一時的にディセーブルになります。

Application Access を正しくシャットダウンしないと、リモートアクセス クライアント/サーバ アプリケーションが不安定な状態のままになります。クライアントレス SSL VPN を使用せずにこれらのアプリケーションを起動しようとすると、正しく動作しない場合があります。通常の接続先のホストが使用できなくなる場合があります。一般にこのような状況は、自宅からリモートでアプリケーションを実行し、Application Access ウィンドウを終了せずにコンピュータをシャットダウンし、その後職場でそのアプリケーションを実行しようとした場合に発生します。

hosts ファイルの再設定

Application Access または正しく動作しないアプリケーションを再度イネーブルにするには、次の手順を実行します。

リモートアクセス サーバに接続できる場合は、「 クライアントレス SSL VPN による hosts ファイルの自動再設定 」の項で説明されている手順を実行してください。

現在の場所からリモートアクセス サーバに接続できない場合や、hosts ファイルをカスタム編集した場合は、「 手動による hosts ファイルの再設定 」で説明されている手順にしたがってください。

クライアントレス SSL VPN による hosts ファイルの自動再設定

リモートアクセス サーバに接続できる場合は、hosts ファイルを再設定し、Application Access やアプリケーションを再度イネーブルにするために、次の手順を実行します。


ステップ 1 クライアントレス SSL VPN を起動してログインします。ホームページが開きます。

ステップ 2 Applications Access リンクをクリックします。 Backup HOSTS File Found メッセージが表示されます(図 34-14 を参照)。

図 34-14 Backup HOSTS File Found メッセージ

 

ステップ 3 次のいずれかのオプションを選択します。

Restore from backup :クライアントレス SSL VPN は強制的に正しくシャットダウンされます。クライアントレス SSL VPN は hosts.webvpn backup ファイルを hosts ファイルにコピーし、hosts ファイルを元の状態に戻してから、hosts.webvpn を削除します。その後、Application Access を再起動する必要があります。

Do nothing :Application Access は起動しません。リモートアクセスのホームページが再び表示されます。

Delete backup :クライアントレス SSL VPN は hosts.webvpn ファイルを削除し、hosts ファイルをクライアントレス SSL VPN 用にカスタマイズされた状態にしておきます。元の hosts ファイル設定は失われます。Application Access は、クライアントレス SSL VPN 用にカスタマイズされた hosts ファイルを新しいオリジナルとして使用して起動します。このオプションは、hosts ファイル設定が失われても問題がない場合にだけ選択してください。Application Access が不適切にシャットダウンされた後に、ユーザまたはユーザが使用するプログラムによって hosts ファイルが編集された可能性がある場合は、他の 2 つのオプションのどちらかを選択するか、または hosts ファイルを手動で編集します (「 手動による hosts ファイルの再設定 」を参照)。


 

手動による hosts ファイルの再設定

現在の場所からリモートアクセス サーバに接続できない場合や、カスタマイズした hosts ファイルの編集内容を失いたくない場合は、次の手順にしたがって、hosts ファイルを再設定し、Application Access とアプリケーションを再度イネーブルにします。


ステップ 1 hosts ファイルを見つけて編集します。最も一般的な場所は、c:\windows\sysem32\drivers\etc\hosts です。

ステップ 2 # added by WebVpnPortForward
という文字列が含まれている行があるかどうかをチェックします。この文字列を含む行がある場合、hosts ファイルはクライアントレス SSL VPN 用にカスタマイズされています。hosts ファイルがクライアントレス SSL VPN 用にカスタマイズされている場合、次の例のようになっています。

123.0.0.3 server1 # added by WebVpnPortForward
123.0.0.3 server1.example.com vpn3000.com # added by WebVpnPortForward
123.0.0.4 server2 # added by WebVpnPortForward
123.0.0.4 server2.example.com.vpn3000.com # added by WebVpnPortForward
123.0.0.5 server3 # added by WebVpnPortForward
123.0.0.5 server3.example.com vpn3000.com # added by WebVpnPortForward
 
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 cisco.example.com # source server
# 38.25.63.10 x.example.com # x client host
 
123.0.0.1 localhost
 
 

ステップ 3 # added by WebVpnPortForward

ステップ 4 という文字列が含まれている行を削除します。ファイルを保存してから閉じます。

ステップ 5 クライアントレス SSL VPN を起動してログインします。

ホームページが開きます。

ステップ 6 Application Access リンクをクリックします。

[Application Access] ウィンドウが表示されます。これで Application Access がイネーブルになります。