Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
クライアントレス SSL VPN の設定
クライアントレス SSL VPN の設定
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

クライアントレス SSL VPN の設定

はじめに

クライアントレス SSL VPN セキュリティ対策の順守

クライアントレス SSL VPN のシステム要件について

クライアントレス SSL VPN でサポートされていない機能の概要

中央サイトにアクセスするための SSL の使用

クライアントレス SSL VPN セッションでの HTTPS の使用

クライアントレス SSL VPN ポートと ASDM ポートの設定

プロキシ サーバのサポートの設定

SSL/TLS 暗号化プロトコルの設定

デジタル証明書による認証

クライアントレス SSL VPN 用のブラウザのクッキーのイネーブル化

パスワードの管理

クライアントレス SSL VPN でのシングル サインオンの使用

HTTP Basic 認証または NTLM 認証による SSO の設定

SiteMinder を使用した SSO 認証の設定

SAML Browser Post Profile を使用した SSO 認証の設定

HTTP Form プロトコルを使用した SSO の設定

マクロ置換による SSO の設定

デジタル証明書による認証

リソース アクセスのためのクライアントレス SSL VPN ポリシーの作成と適用

グループポリシーへのユーザの割り当て

セキュリティ アプライアンス認証サーバの使用

RADIUS サーバの使用

クライアントレス SSL VPN の接続プロファイルのアトリビュートの設定

クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュートの設定

プラグインへのブラウザ アクセスの設定

ブラウザ プラグインの概要

RDP プラグイン ActiveX デバッグのクイック リファレンス

プラグインの要件と制限事項

プラグインのためのセキュリティ アプライアンスの準備

シスコが再配布しているプラグインのインストール

サードパーティのプラグインへのアクセスの提供

例:Citrix Java Presentation Server へのアクセスの提供

セキュリティ アプライアンスにインストールされているプラグインの表示

Application Access の設定

スマート トンネル アクセスの設定

スマート トンネルについて

スマート トンネルを使用する理由

スマート トンネルの要件と制限事項

スマート トンネル アクセスに適格なアプリケーションの追加

スマート トンネル リストの割り当て

スマート トンネル ポリシーの設定

トンネル ポリシーの適用

スマート トンネルのトンネル ポリシーの設定

スマート トンネルのトンネル ポリシーの適用

スマート トンネルの自動サインオンの設定

スマート トンネル アクセスの自動化

スマート トンネル アクセスのイネーブル化とディセーブル化

スマート トンネルからのログオフ

親アフィニティ

通知アイコン

ポート転送の設定

ポート転送について

ポート転送を使用する理由

ポート転送の要件と制限事項

ポート転送用の DNS の設定

ポート転送に適格なアプリケーションの追加

ポート転送リストの割り当て

ポート転送の自動化

ポート転送のイネーブル化とディセーブル化

Application Access ユーザへの注記

Vista での Application Access の使用

hosts ファイル エラーを回避するための Application Access の終了

Application Access 使用時の hosts ファイル エラーからの回復

ファイル アクセスの設定

CIFS ファイル アクセスの要件と制限事項

ファイル アクセスのサポートの追加

SharePoint アクセスのためのクロックの精度の確認

PDA でのクライアントレス SSL VPN の使用

クライアントレス SSL VPN を介した電子メールの使用

電子メール プロキシの設定

電子メール プロキシの証明書認証

Web 電子メール:MS Outlook Web Access の設定

クライアントレス SSL VPN のパフォーマンスの最適化

キャッシングの設定

コンテンツ変換の設定

リライトされた Java コンテンツに署名するための証明書の設定

コンテンツのリライトのディセーブル化

プロキシ バイパスの使用

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

APCF 構文

APCF の例

クライアントレス SSL VPN エンド ユーザの設定

エンド ユーザ インターフェイスの定義

クライアントレス SSL VPN ホームページの表示

クライアントレス SSL VPN の Application Access パネルの表示

フローティング ツールバーの表示

クライアントレス SSL VPN ページのカスタマイズ

カスタマイゼーションの動作

カスタマイゼーション テンプレートのエクスポート

カスタマイゼーション テンプレートの編集

カスタマイゼーション オブジェクトのインポート

接続プロファイル、グループポリシー、およびユーザへのカスタマイゼーションの適用

ログイン画面の高度なカスタマイゼーション

ヘルプのカスタマイズ

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供していない言語用のヘルプ ファイルの作成

フラッシュ メモリへのヘルプ ファイルのインポート

フラッシュ メモリからの事前にインポートしたヘルプ ファイルのエクスポート

ユーザ名とパスワードの要求

セキュリティのヒントの通知

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

ユーザ メッセージの言語の変換

言語変換の概要

変換テーブルの作成

カスタマイゼーション オブジェクトでの言語の参照

カスタマイゼーション オブジェクトを使用するためのグループポリシーまたはユーザ アトリビュートの変更

データのキャプチャ

キャプチャ ファイルの作成

キャプチャ データを表示するためのブラウザの使用

クライアントレス SSL VPN の設定

この章では、次のことを説明します。

「はじめに」

「リソース アクセスのためのクライアントレス SSL VPN ポリシーの作成と適用」

「クライアントレス SSL VPN の接続プロファイルのアトリビュートの設定」

「クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュートの設定」

「プラグインへのブラウザ アクセスの設定」

「Application Access の設定」

「ファイル アクセスの設定」

「SharePoint アクセスのためのクロックの精度の確認」

「PDA でのクライアントレス SSL VPN の使用」

「クライアントレス SSL VPN を介した電子メールの使用」

「クライアントレス SSL VPN のパフォーマンスの最適化」

「クライアントレス SSL VPN エンド ユーザの設定」

「データのキャプチャ」

はじめに


) クライアントレス SSL VPN に適応型セキュリティ アプライアンスを設定している場合、セキュリティ コンテキスト(ファイアウォール マルチモードとも呼ばれる)または Active/Active ステートフル フェールオーバーをイネーブルにすることはできません。そのため、これらの機能は使用できなくなります。


クライアントレス SSL VPN によって、ユーザは Web ブラウザを使用して適応型セキュリティ アプライアンスへのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェアやハードウェア クライアントは必要ありません。

クライアントレス SSL VPN を使用することで、インターネット上のほぼすべてのコンピュータから、幅広い Web リソースおよび Web 対応アプリケーションにセキュアに、かつ容易にアクセスできます。アクセス先には、次のものが含まれます。

内部 Web サイト

Web 対応アプリケーション

NT/Active Directory ファイル共有

POP3S、IMAP4S、および SMTPS などの電子メール プロキシ

MS Outlook Web Access

Application Access(つまり、他の TCP ベースのアプリケーションにアクセスするためのスマート トンネルまたはポート転送)


) セキュリティ アプライアンスは、Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。スマート トンネル機能もポート転送も MAPI をサポートしません。MAPI プロトコルを使用する Microsoft Outlook Exchange 通信には、リモート ユーザは AnyConnect を使用する必要があります。


クライアントレス SSL VPN は Secure Sockets Layer プロトコルおよびその後継である Transport Layer Security を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間でセキュアな接続を提供します。適応型セキュリティ アプライアンスはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。

ネットワーク管理者は、クライアントレス SSL VPN セッションのユーザに対してグループ単位でリソースへのアクセスを提供します。ユーザは、内部ネットワーク上のリソースに直接アクセスすることはできません。

次の項では、クライアントレス SSL VPN アクセスを設定するための準備について説明します。

クライアントレス SSL VPN セキュリティ対策の順守

クライアントレス SSL VPN でサポートされていない機能の概要

中央サイトにアクセスするための SSL の使用

デジタル証明書による認証

クライアントレス SSL VPN 用のブラウザのクッキーのイネーブル化

パスワードの管理

クライアントレス SSL VPN でのシングル サインオンの使用

クライアントレス SSL VPN セキュリティ対策の順守

適応型セキュリティ アプライアンス上のクライアントレス SSL VPN 接続は、リモート アクセス IPSec 接続とは異なっています。特に SSL 対応サーバとの対話方法やセキュリティ上のリスクを減らすための対策に違いがあります。

クライアントレス SSL VPN 接続では、適応型セキュリティ アプライアンスは、エンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。ユーザが SSL 対応 Web サーバに接続すると、適応型セキュリティ アプライアンスはセキュアな接続を確立し、SSL 証明書を検証します。ブラウザは提示された SSL 証明書を受信しないため、この証明書を検証することはできません。

適応型セキュリティ アプライアンス上の現在のクライアントレス SSL VPN 実装では、有効期限が切れた証明書を提示するサイトとの通信は許可されません。また、適応型セキュリティ アプライアンスは、それらの SSL 対応サイトに対して信頼できる CA 証明書の検証も実行しません。このため、Web 対応サービスで使用する前に、SSL 対応 Web サーバが配信するページの証明書を検証することによるメリットは、ユーザにはありません。


注意 デフォルトでは、適応型セキュリティ アプライアンスはすべての Web リソース(HTTPS、CIFS、RDP、およびプラグイン)に対するすべてのポータル トラフィックを許可します。適応型セキュリティ アプライアンス クライアントレス サービスは、各 URL をそれ自体だけに意味のあるものに書き換えます。ユーザは、要求したサイト上にあることを確認するためにアクセスしたページに表示される、その書き換えられた URL を使用できません。ユーザを危険にさらさないようにするために、クライアントレス アクセス用に設定されたポリシー(グループポリシー、ダイナミック アクセス ポリシー、またはその両方)に Web ACL を割り当てて、ポータルからのトラフィック フローを制御してください。たとえば、このような ACL がないと、ユーザは不正な銀行や商用サイトからの認証要求を受け取る可能性があります。また、これらのポリシー上の URL エントリをディセーブルにして、ユーザがアクセスできるページについて混乱しないようにすることをお勧めします。クライアントレス SSL VPN アクセスにより引き起こされるリスクを最小限に抑えるためには、次のことを実行することをお勧めします。


ステップ 1 クライアントレス SSL VPN アクセスを必要とするすべてのユーザにグループポリシーを設定し、そのグループポリシーに対してだけクライアントレス SSL VPN をイネーブルにします。

ステップ 2 プライベート ネットワーク内の特定のターゲットへのアクセスだけを許可する、プライベート ネットワークへのアクセスだけを許可する、または信頼できるサイトへのアクセスだけを許可する Web ACL を作成します。クライアントレス アクセス用に設定しているすべてのポリシー(グループポリシー、ダイナミック アクセス ポリシー、またはその両方)に Web ACL を適用します。これを DAP 上で行うには、適応型セキュリティ アプライアンスで ADSM セッションを開いて、[Network ACL Filters] タブで Web ACL を選択します。

ステップ 3 ユーザがブラウザベースの接続を確立するときに表示される ポータル ページ 上の URL エントリをディセーブルにします。グループポリシー上の URL エントリをディセーブルにするには、グループポリシー webvpn コンフィギュレーション モードで url-entry disable コマンドを入力します。DAP 上の URL エントリをディセーブルにするには、[Functions] タブをクリックして、[URL Entry] の横にある [Disable] をクリックします。

ステップ 4 ユーザに、ポータル ページの上のネイティブ ブラウザの Address フィールドに外部 URL を入力するか、別のブラウザ ウィンドウを開いて、外部サイトにアクセスするかを指示します。


 

クライアントレス SSL VPN のシステム要件について

リリース 8.3(1) では、次のプラットフォームからの、ブラウザベース(クライアントレス)の VPN アクセスがサポートされています。

Windows 7 x86(32 ビット)および x64(64 ビット)、Internet Explorer 8.x および Firefox 3.x 経由。

Windows Vista x64、Internet Explorer 7.x/8.x または Firefox 3.x 経由。

KB952876 以降を含む Windows Vista x86 SP2 または Vista SP1、Internet Explorer 7.x または Firefox 3.x 経由。

Windows XP x64、Internet Explorer 6.x/7.x/8.x および Firefox 3.x 経由。

Windows XP x86 SP2 以降、Internet Explorer 6.x/7.x または Firefox 3.x 経由。

Mac OS 10.6 または 10.5 32 ビットおよび 64 ビット、Sun JRE 1.5 以降をインストールした Safari 3.x /4.x および Firefox 3.x 経由。DoD Common Access Card および SmartCard を含む証明書認証は、Safari キーチェーンだけで動作します。

Linux、Firefox 3.x 経由。

Firefox 2.x は、今後テストは実施されませんが、ほとんどの場合動作すると考えられます。

ActiveX ページでは、関連するグループポリシーに activex-relay コマンドを入力しておくことが必要です。コマンドを入力しているか、ポリシーにスマート トンネル リストを割り当てていて、エンドポイントのブラウザのプロキシ例外リストでプロキシが指定されている場合、このリストに「shutdown.webvpn.relay.」エントリを追加する必要があります。

ブラウザベースの VPN アクセスでは、Windows 7、Vista、Internet Explorer 8、Mac OS、および Linux の Windows 共有(CIFS)Web フォルダはサポートされていません。Windows XP SP2 で Web フォルダをサポートするには、 Microsoft 社が提供するホットフィックス が必要です。

これらのクライアントレス アプリケーションによってサポートされるプラットフォームについては、次の項を参照してください。

「プラグインの要件と制限事項」

「スマート トンネルの要件と制限事項」

「ポート転送の要件と制限事項」

クライアントレス SSL VPN でサポートされていない機能の概要

適応型セキュリティ アプライアンスは、クライアントレス SSL VPN 接続では次の機能をサポートしていません。

リモート HTTPS 証明書。

一部のドメインベースのセキュリティ製品の要件。適応型セキュリティ アプライアンスは URL および ASA から実際に送信される要求を符号化するため、ドメインベースのセキュリティ製品の要件を満たさない場合があります。

モジュラ ポリシー フレームワークの検査機能。コンフィギュレーション制御を検査する機能です。

vpn-filter コマンドなどのフィルタ コンフィギュレーション コマンドが持つ機能。

IPv6 アドレスを使用するホストからの VPN 接続。ホストは IPv4 アドレスを使用して、クライアントレス SSL VPN または AnyConnect セッションを確立する必要があります。ただし、ASA 8.0(2) 以降では、これらのセッションを使用して内部の IPv6 対応リソースにアクセスできます。

NAT。グローバルに固有の IP アドレスの必要性を減らす機能です。

PAT。複数の発信セッションが 1 つの IP アドレスから発信されているように見せることができる機能です。

QoS。 police コマンドと priority-queue コマンドを使用してレートを制限する機能です。

接続制限。スタティックまたはモジュラ ポリシー フレームワークの set connection コマンドを使用して、接続をチェックする機能です。

established コマンド。このコマンドを使用すると、セキュリティ レベルの高いホストからセキュリティ レベルの低いホストに接続がすでに確立されている場合に、セキュリティ レベルの低いホストからセキュリティ レベルの高いホストへのリターン接続が許可されます。

中央サイトにアクセスするための SSL の使用

クライアントレス SSL VPN は SSL およびその後継である TLS1 を使用して、リモート ユーザと、中央サイトにある特定のサポートされている内部リソースとの間でセキュアな接続を提供します。この項は、次の内容で構成されています。

クライアントレス SSL VPN セッションでの HTTPS の使用

クライアントレス SSL VPN ポートと ASDM ポートの設定

プロキシ サーバのサポートの設定

SSL/TLS 暗号化プロトコルの設定

クライアントレス SSL VPN セッションでの HTTPS の使用

クライアントレス SSL VPN セッションの確立には、次のことが必要です。

ユーザの接続先の適応型セキュリティ アプライアンス インターフェイス上でクライアントレス SSL VPN セッションをイネーブルにする。

適応型セキュリティ アプライアンスまたはロードバランシング クラスタへのアクセスに HTTPS を使用する。Web ブラウザには、適応型セキュリティ アプライアンスの IP アドレスを https:// address 形式で入力します。 address は適応型セキュリティ アプライアンス インターフェイスの IP アドレスまたは DNS ホスト名です。

インターフェイス上でクライアントレス SSL VPN セッションを許可するには、次の手順を実行します。


ステップ 1 グローバル コンフィギュレーション モードで webvpn コマンドを入力して、webvpn モードに入ります。

ステップ 2 クライアントレス SSL VPN セッションに使用するインターフェイス名を指定して enable コマンドを入力します。

たとえば、outside と呼ばれるインターフェイス上でクライアントレス SSL VPN セッションをイネーブルにするには、次のように入力します。

hostname(config)# webvpn
hostname(config-webvpn)# enable outside
 


 

クライアントレス SSL VPN ポートと ASDM ポートの設定

バージョン 8.0(2) 以降、適応型セキュリティ アプライアンスは、クライアントレス SSL VPN セッションと ASDM 管理セッションの両方を、外部インターフェイスのポート 443 で同時にサポートするようになりました。ただし、オプションでこれらのアプリケーションを別のインターフェイスに設定することができます。

クライアントレス SSL VPN の SSL 受信ポートを変更するには、webvpn モードで port port_number コマンドを使用します。次の例では、外部インターフェイスのポート 444 でクライアント SSL VPN をイネーブルにします。ASDM 用の HTTPS も外部インターフェイスで設定され、デフォルト ポート(443)を使用します。このコンフィギュレーションでは、リモート ユーザは、ブラウザに https://<outside_ip>:444 を入力してクライアントレス SSL VPN セッションを開始します。

hostname(config)# http server enable
hostname(config)# http 192.168.3.0 255.255.255.0 outside
hostname(config)# webvpn
hostname(config-webvpn)# port 444
hostname(config-webvpn)# enable outside
 

ASDM の受信ポートを変更するには、特権 EXEC モードで port 引数を指定して http server enable コマンドを使用します。次の例では、HTTPS ASDM セッションが外部インターフェイスのポート 444 を使用することを指定します。クライアントレス SSL VPN も外部インターフェイスでイネーブルになり、デフォルト ポート(443)を使用します。このコンフィギュレーションでは、リモート ユーザはブラウザに https://<outside_ip>:444 を入力してASDM セッションを開始します。

hostname(config)# http server enable 444
hostname(config)# http 192.168.3.0 255.255.255.0 outside
hostname(config)# webvpn
hostname(config-webvpn)# enable outside
 

プロキシ サーバのサポートの設定

適応型セキュリティ アプライアンスは HTTPS 接続を終了して、HTTP および HTTPS 要求をプロキシ サーバに転送できます。これらのサーバは、ユーザとインターネットの仲介役として機能します。インターネット アクセスが組織によって制御されているサーバを経由するように指定することで、別のフィルタリングが可能になり、セキュアなインターネット アクセスと管理制御が保証されます。

HTTP および HTTPS プロキシ サービスに対するサポートを設定する場合、プリセット クレデンシャルを割り当てて、基本認証に対する各要求とともに送信できます。HTTP および HTTPS 要求から除外する URL を指定することもできます。

Proxy Autoconfiguration(PAC; プロキシ自動設定)ファイルを HTTP プロキシ サーバからダウンロードするように指定できますが、PAC ファイルを指定するときにプロキシ認証を使用しない場合があります。

HTTP および HTTPS 要求を処理するために外部プロキシ サーバを使用するように適応型セキュリティ アプライアンスを設定するには、webvpn モードで http-proxy and https-proxy コマンドを使用します。

http-proxy host [ port ] [ exclude url ] [ username username { password password }]

https-proxy host [ port ] [ exclude url ] [ username username { password password }]

http-proxy pac url

exclude :(オプション)プロキシ サーバに送信される可能性がある URL から除外するにはこのキーワードを入力します。

host 外部プロキシ サーバのホスト名または IP アドレスを入力します。

pac :ブラウザにダウンロードするプロキシ自動設定ファイル。ダウンロードされると、PAC ファイルは JavaScript 機能を使用して各 URL のプロキシを識別します。

password :(オプション。 username を指定した場合のみ使用可能)各プロキシ要求に、基本プロキシ認証を提供するためのパスワードを含めるにはこのキーワードを入力します。

password 各 HTTP または HTTPS 要求とともにプロキシ サーバに送信するパスワードを入力します。

port (オプション)プロキシ サーバで使用されるポート番号を入力します。デフォルトの HTTP ポートは 80 です。デフォルトの HTTPS ポートは 443 です。代替値を指定しない場合、適応型セキュリティ アプライアンスはこれらの各ポートを使用します。範囲は 1 ~ 65535 です。

url :exclude を入力した場合は、プロキシ サーバに送信される可能性がある URL から除外する URL またはカンマで区切った複数の URL のリストを入力します。この文字列には文字数の制限はありませんが、コマンド全体が 512 文字を超えることはできません。リテラルな URL を指定するか、次のワイルドカードを使用できます。

* は、スラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは英数字の文字列とともに使用する必要があります。

? は、スラッシュやピリオドを含む任意の 1 文字と一致します。

[ x - y ] は、 x から y の範囲の任意の 1 文字と一致します。 x は ANSI 文字の 1 文字を表し、 y ANSI 文字の別の文字を表します。

[ ! x - y ] は、指定範囲に含まれていない任意の 1 文字と一致します。

http-proxy pac を入力した場合、 http:// に続けてプロキシ自動設定ファイルの URL を入力します。 http:// の部分を省略すると、CLI はコマンドを無視します。

username :(オプション)基本プロキシ認証のための各 HTTP プロキシ要求にユーザ名を含めるには、このキーワードを入力します。このキーワードは、 http-proxy host コマンドでのみサポートされています。

username 各 HTTP または HTTPS 要求とともにプロキシ サーバに送信するユーザ名を入力します。

適応型セキュリティ アプライアンス クライアントレス SSL VPN コンフィギュレーションは、それぞれ 1 つの http-proxy コマンドと 1 つの http-proxy コマンドのみサポートしています。たとえば、 http-proxy コマンドの 1 インスタンスが実行コンフィギュレーションにすでに存在する場合に別のコマンドを入力すると、CLI が前のインスタンスを上書きします。

次の例は、次の設定の HTTP プロキシ サーバの使用を設定する方法を示しています。IP アドレスが 209.165.201.1 で、デフォルト ポートを使用し、各 HTTP 要求とともにユーザ名とパスワードを送信します。

hostname(config-webvpn)# http-proxy 209.165.201.1 jsmith password mysecretdonttell
hostname(config-webvpn)
 

次の例は同じコマンドを示していますが、適応型セキュリティ アプライアンスが HTTP 要求内で特定の URL(www.example.com)を受信したときに、その要求をプロキシ サーバに渡す代わりにその要求を解決する点が異なっています。

hostname(config-webvpn)# http-proxy 209.165.201.1 exclude www.example.com username jsmith password mysecretdonttell
hostname(config-webvpn)
 

次の例は、ブラウザにプロキシ自動設定ファイルを提供する URL を指定する方法を示しています。

hostname(config-webvpn)# http-proxy pac http://www.example.com/pac
hostname(config-webvpn)
 

SSL/TLS 暗号化プロトコルの設定

SSL/TLS 暗号化プロトコルを設定するときは、次のことに注意してください。

使用している適応型セキュリティ アプライアンスとブラウザが、同じ SSL/TLS 暗号化プロトコルを利用していることを確認してください。

電子メール プロキシを設定する場合は、適応型セキュリティ アプライアンス SSL バージョンを TLSv1 Only に設定しないでください。Microsoft Outlook と Microsoft Outlook Express は TLS をサポートしていません。

TCP ポート転送には、Sun Microsystems Java Runtime Environment(JRE)バージョン 1.4.x および 1.5.x が必要です。クライアントレス SSL VPN のユーザがいくつかの SSL バージョンに接続する場合、次のようにポート転送は機能しません。

 

Negotiate SSLv3

Java がダウンロードされる

Negotiate SSLv3/TLSv1

Java がダウンロードされる

Negotiate TLSv1

Java がダウンロードされない

TLSv1Only

Java がダウンロードされない

SSLv3Only

Java がダウンロードされない

デジタル証明書による認証

SSL はデジタル証明書を使用して認証を行います。適応型セキュリティ アプライアンスは、ブート時に自己署名の SSL サーバ証明書を作成します。または、PKI コンテキストで発行された SSL 証明書を適応型セキュリティ アプライアンスにインストールできます。HTTPS の場合、この証明書をクライアントにインストールする必要があります。証明書のインストールは、特定の適応型セキュリティ アプライアンスから 1 度だけ行います。

デジタル証明書によるユーザ認証には、次のような制限事項があります。

デジタル証明書を使用して認証を行うクライアントレス SSL VPN のユーザに対して、Application Access は機能しません。JRE には、Web ブラウザ キーストアにアクセスする機能はありません。このため、JAVA はブラウザがユーザ認証に使用する証明書を使用できず、起動できません。

MS Outlook、MS Outlook Express、Eudora などの電子メール クライアントは、証明書ストアにアクセスできません。

デジタル署名書を使用する認証と認可の詳細については、 AAA サーバとローカル データベースの設定 証明書とユーザ ログイン クレデンシャルの使用の章を参照してください。

クライアントレス SSL VPN 用のブラウザのクッキーのイネーブル化

クライアントレス SSL VPN が正しく動作するためには、ブラウザのクッキーが必要です。ブラウザでクッキーがディセーブルになっていると、Web ポータル ホームページからのリンクによって新しいウィンドウが開き、ユーザはもう一度ログインするように要求されます。

パスワードの管理

オプションで、パスワードの期限切れが近づくとエンド ユーザに警告するように適応型セキュリティ アプライアンスを設定できます。この設定を行うには、トンネルグループ一般アトリビュート モードで password-management コマンドを指定するか、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > [Add or Edit] > [Advanced] > [General] > [Password Management] を選択し、ASDM を使用してこの機能をイネーブルにします。

適応型セキュリティ アプライアンスは、RADIUS プロトコルと LDAP プロトコルのパスワード管理をサポートしています。「password-expire-in-days」オプションは LDAP に対してのみサポートされています。

IPSec リモートアクセスと SSL VPN トンネルグループに対するパスワード管理を設定できます。

パスワード管理を設定すると、適応型セキュリティ アプライアンスは、リモート ユーザのログイン時に、現在のパスワードの期限切れが近づいていること、または期限が切れていることを通知します。このようにして、適応型セキュリティ アプライアンスは、ユーザにパスワードを変更する機会を提供します。現在のパスワードがまだ期限切れになっていない場合、ユーザはそのパスワードを使用して引き続きログインすることができます。

このコマンドは、この通知をサポートしている AAA サーバに対して有効です。RADIUS または LDAP 認証が設定されていない場合、適応型セキュリティ アプライアンスはこのコマンドを無視します。


) MSCHAP をサポートしている一部の RADIUS サーバは、現在 MSCHAPv2 をサポートしていません。このコマンドを使用するには MSCHAPv2 が必要なため、ベンダーに確認してください。


適応型セキュリティ アプライアンスのリリース 7.1 以降では、LDAP または MS-CHAPv2 をサポートする RADIUS コンフィギュレーションで認証を行うときに、次の接続タイプに対するパスワード管理が一般的にサポートされています。

AnyConnect VPN Client

IPSec VPN Client

クライアントレス SSL VPN

Kerberos/Active Directory(Windows パスワード)または NT 4.0 ドメインに対するこれらの接続タイプのいずれでも、パスワード管理は サポートされていません

RADIUS サーバ(たとえば、Cisco ACS)は、認証要求を別の認証サーバにプロキシする場合があります。ただし、適応型セキュリティ アプライアンスからは、RADIUS サーバと通信しているように見えます。


) LDAP の場合、パスワードを変更するための方式は、市販の別の LDAP サーバ専用のものです。現在、適応型セキュリティ アプライアンスは、Microsoft Active Directory サーバと Sun LDAP サーバ用に、専用のパスワード管理ロジックを実装しています。


ネイティブ LDAP には SSL 接続が必要です。LDAP のパスワード管理を試行する前に、LDAP over SSL をイネーブルにする必要があります。デフォルトでは、LDAP はポート 636 を使用します。


) 認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun Microsystems JAVA System Directory Server(旧 Sun ONE Directory Server)および Microsoft Active Directory でサポートされます。

Sun:Sun ディレクトリ サーバにアクセスするように適応型セキュリティ アプライアンスで設定されている DN は、そのサーバのデフォルト パスワード ポリシーにアクセスできる必要があります。ディレクトリ管理者、またはディレクトリ管理特権のあるユーザを DN として使用することをお勧めします。または、デフォルトのパスワード ポリシーに ACI を設定することもできます。

Microsoft:Microsoft Active Directory でのパスワード管理をイネーブルにするために LDAP over SSL を設定する必要があります。


これによってパスワードが期限切れになるまでの日数が変更されるわけではなく、適応型セキュリティ アプライアンスがパスワードが期限切れになる何日前にユーザへの警告を開始するかが変更されるという点に注意してください。

password-expire-in-days キーワードを指定する場合は、日数も指定する必要があります。

日数を 0 に設定してこのコマンドを指定すると、このコマンドはディセーブルになります。適応型セキュリティ アプライアンスは、期限切れが近いことをユーザに通知しませんが、ユーザは期限切れ後にパスワードを変更できます。

次の例では、接続プロファイル「testgroup」のパスワードの期限切れが近づいていることについて、警告を開始するまでの日数を 90 日に設定しています。

hostname(config)# tunnel-group testgroup type webvpn
hostname(config)# tunnel-group testgroup general-attributes
hostname(config-general)# password-management password-expire-in-days 90
 

クライアントレス SSL VPN でのシングル サインオンの使用

シングル サインオンのサポートを使用すると、クライアントレス SSL VPN のユーザは、ユーザ名とパスワードを 1 回入力するだけで、保護された複数のサービスや Web サーバにアクセスできます。一般に、SSO のメカニズムは AAA プロセスの一部として開始されるか、または AAA サーバのユーザ認証に成功した直後に開始されます。適応型セキュリティ アプライアンスで実行するクライアントレス SSL VPN サーバは、認証サーバに対するユーザのプロキシとして動作します。ユーザがログインすると、クライアントレス SSL VPN サーバは、ユーザ名とパスワードを含む SSO 認証要求を HTTPS を使用して認証サーバに送信します。サーバが認証要求を受け入れた場合は、クライアントレス SSL VPN サーバに SSO 認証クッキーを戻します。適応型セキュリティ アプライアンスは、ユーザの代わりにこのクッキーを保持し、ユーザの認証にこのクッキーを使用して、SSO サーバで保護されているドメイン内の Web サイトの安全を守ります。

この項では、クライアントレス SSL VPN でサポートされる 3 つの SSO 認証方法について説明します。これらの認証方法には、HTTP Basic 認証と NTLMv1(NT LAN Manager)認証、Computer Associates の eTrust SiteMinder SSO サーバ(以前の Netegrity SiteMinde)、および Security Assertion Markup Language(SAML)のバージョン 1.1、POST-type SSO サーバ認証があります。

この項の内容は次のとおりです。

HTTP Basic 認証または NTLM 認証による SSO の設定

SiteMinder を使用した SSO 認証の設定

SAML Browser Post Profile を使用した SSO 認証の設定

HTTP Form プロトコルを使用した SSO の設定

HTTP Basic 認証または NTLM 認証による SSO の設定

この項では、HTTP Basic 認証または NTLM 認証を使用するシングル サインオンについて説明します。この方法のいずれかまたは両方を使用して SSO を実装するように適応型セキュリティ アプライアンスを設定することができます。 auto-signon コマンドを使用すると、適応型セキュリティ アプライアンスはクライアントレス SSL VPN ユーザのログインのクレデンシャル(ユーザ名およびパスワード)を内部サーバに自動的に渡すように設定されます。 auto-signon コマンドは 2 回以上入力することができます。コマンドを複数回入力すると、適応型セキュリティ アプライアンスは入力順(先に入力されたコマンドを優先)にこれらを処理します。IP アドレスと IP マスク、または URI マスクのいずれかを使用してログインのクレデンシャルを受信するようにサーバに指定します。

auto-signon コマンドは、webvpn コンフィギュレーション モード、webvpn グループポリシー モード、または webvpn ユーザ名モードのすべてで使用します。ユーザ名はグループより優先され、グループはグローバルより優先されます。モードは、次のように、必要な認証の範囲に応じて選択します。

 

モード
範囲

webvpn コンフィギュレーション

クライアントレス SSL VPN ユーザ全員に対するグローバルな範囲

webvpn グループポリシー コンフィギュレーション

グループポリシーで定義されるクライアントレス SSL VPN ユーザのサブセット

webvpn ユーザ名コンフィギュレーション

個々のクライアントレス SSL VPN ユーザ

次の例では、モードと引数の組み合せが可能なさまざまなコマンドについて説明します。

すべてのユーザ、IP アドレス範囲、NTLM

NTLM 認証を使用し、10.1.1.0 ~ 10.1.1.255 の IP アドレス範囲に存在するサーバに対するすべてのクライアントレス SSL VPN ユーザからのアクセスに auto-signon を設定するには、次のコマンドを入力します。

hostname(config)# webvpn
hostname(config-webvpn)# auto-signon allow ip 10.1.1.1 255.255.255.0 auth-type ntlm
 

すべてのユーザ、URI 範囲、HTTP Basic

基本の HTTP 認証を使用するすべてのクライアントレス SSL VPN ユーザに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに auto-signon を設定するには、次のコマンドを入力します。

hostname(config)# webvpn
hostname(config-webvpn)# auto-signon allow uri https://*.example.com/* auth-type basic
 

グループ、URI 範囲、HTTP Basic および NTLM

基本認証または NTLM 認証を使用して、ExamplePolicy グループポリシーと関連付けられているクライアントレス SSL VPN セッションに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに auto-signon を設定するには、次のコマンドを入力します。

 
hostname(config)# group-policy ExamplePolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all
 

特定のユーザ、IP アドレス範囲、HTTP Basic

HTTP Basic 認証を使用し、10.1.1.0 から 10.1.1.255 の IP アドレス範囲に存在するサーバに対する Anyuser と名付けられたユーザからのアクセスに auto-signon を設定するには、次のコマンドを入力します。

hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# auto-signon allow ip 10.1.1.1 255.255.255.0 auth-type basic
 

SiteMinder を使用した SSO 認証の設定

この項では、SiteMinder を使用して SSO をサポートするための適応型セキュリティ アプライアンスの設定について説明します。ユーザの Web サイトのセキュリティ インフラストラクチャにすでに SiteMinder を組み込んでいる場合は、SiteMinder を使用して SSO を実装するのが一般的です。この方式では、SSO 認証は AAA とは分離され、AAA プロセスが完了するとこの認証が 1 回行われます。クライアントレス SSL VPN アクセスを行うユーザまたはグループに SSO を設定する場合は、まず RADIUS サーバや LDAP サーバなどの AAA サーバを設定する必要があります。次に、クライアントレス SSL VPN に対する SSO のサポートを設定できます。この項の内容は次のとおりです。

タスクの概要:SiteMinder による SSO の設定

タスクの詳細:SiteMinder による SSO の設定

シスコの認証スキームの SiteMinder への追加

タスクの概要:SiteMinder による SSO の設定

この項では、SiteMinder SSO を使用して SSO を設定するために必要なタスクの概要について説明します。タスクは次のとおりです。

SSO サーバの指定。

適応型セキュリティ アプライアンスが SSO 認証要求を作成するための SSO サーバの URL の指定。

適応型セキュリティ アプライアンスと SSO サーバとの間でセキュアな通信を確立するための秘密キーの指定。このキーはパスワードのようなもので、ユーザが作成および保存し、Cisco Java プラグイン認証スキームを使用して適応型セキュリティ アプライアンスおよび SiteMinder Policy Server の両方で入力します。

これらの必須のタスクに加えて、次のようなオプションの設定タスクを行うことができます。

認証要求のタイムアウトの設定。

認証要求のリトライ回数の設定。

設定タスクの完了後、ユーザまたはグループポリシーに SSO サーバを割り当てます。

タスクの詳細:SiteMinder による SSO の設定

この項では、CA SiteMinder による SSO 認証をサポートするための適応型セキュリティ アプライアンスの特定の設定手順について説明します。SiteMinder を使用して SSO を設定するには、次の手順を実行します。


ステップ 1 webvpn コンフィギュレーション モードで、 type オプションを指定して sso-server コマンドを入力して、SSO サーバを作成します。たとえば、Example of type siteminder という名前の SSO サーバを作成するには、次のように入力します。

hostname(config)# webvpn
hostname(config-webvpn)# sso-server Example type siteminder
hostname(config-webvpn-sso-siteminder)#
 

ステップ 2 webvpn-sso-siteminder コンフィギュレーション モードで web-agent-url コマンドを入力して、SSO サーバの認証 URL を指定します。たとえば、http://www.Example.com/webvpn という URL に認証要求を送信するには、次のように入力します。

hostname(config-webvpn-sso-siteminder)# web-agent-url http://www.Example.com/webvpn
hostname(config-webvpn-sso-siteminder)#
 

ステップ 3 適応型セキュリティ アプライアンスと SiteMinder との間の認証通信をセキュアにする秘密キーを webvpn-sso-siteminder コンフィギュレーション モードで policy-server-secret コマンドを使用して指定します。キーの長さは、標準またはシフト式英数字を使用した任意の文字長にできますが、適応型セキュリティ アプライアンスと SSO サーバの両方で同じキーを入力する必要があります。

たとえば、AtaL8rD8! という秘密キーを作成するには、次のように入力します。

hostname(config-webvpn-sso-siteminder)# policy-server-secret AtaL8rD8!
hostname(config-webvpn-sso-siteminder)#
 

ステップ 4 オプションで、webvpn-sso-siteminder コンフィギュレーション モードで request-timeout コマンドを使用すると、失敗した SSO 認証がタイムアウトを試行するまでの秒数を設定することができます。デフォルトの秒数は 5 秒で、1 秒から 30 秒までの範囲で指定できます。要求がタイムアウトするまでの秒数を 8 に変更するには、次のように入力します。

hostname(config-webvpn-sso-siteminder)# request-timeout 8
hostname(config-webvpn-sso-siteminder)#
 

ステップ 5 オプションで、webvpn-sso-siteminder コンフィギュレーション モードから max-retry-attempts コマンドを使用すると、適応型セキュリティ アプライアンスがタイムアウトするまでに、失敗した SSO 認証をリトライできる回数を設定できます。デフォルトのリトライ回数は 3 で、1 回から 5 回までの範囲で指定できます。たとえば、リトライ回数を 4 に設定するには、次のように入力します。

hostname(config-webvpn-sso-siteminder)# max-retry-attempts 4
hostname(config-webvpn-sso-siteminder)#
 

ステップ 6 SSO サーバの設定後、グループまたはユーザのいずれかに対して SSO 認証を指定する必要があります。グループに SSO を指定するには、グループポリシー webvpn コンフィギュレーション モードで sso-server value コマンドを使用して SSO サーバをグループポリシーに割り当てます。ユーザに SSO を指定するには、同じ sso-server value コマンドを使用して SSO サーバをユーザに割り当てますが、この場合は username-webvpn コンフィギュレーション モードで実行します。たとえば、Example という名前の SSO サーバをユーザ名 Anyuser に割り当てるには、次のように入力します。

hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# sso-server value Example
hostname(config-username-webvpn)#
 

ステップ 7 最後に、特権 EXEC モードで、 test sso-server コマンドを使用すると SSO サーバの設定をテストできます。たとえば、Example という名前の SSO サーバをユーザ名 Anyuser を使用してテストするには、次のように入力します。

hostname# test sso-server Example username Anyuser
INFO: Attempting authentication request to sso-server Example for user Anyuser
INFO: STATUS: Success
hostname#
 


 

シスコの認証スキームの SiteMinder への追加

SiteMinder による SSO を使用するための適応型セキュリティ アプライアンスの設定に加え、Java プラグインとして提供されているシスコの認証スキーム(シスコの Web サイトからダウンロード)を使用するようにユーザの CA SiteMinder Policy Server を設定する必要もあります。


) SiteMinder Policy Server を設定するには、SiteMinder の経験が必要です。この項では、手順のすべてではなく、一般的なタスクを取り上げます。


ユーザの SiteMinder Policy Server にシスコの認証スキームを設定するには、次のタスクを実行します。


ステップ 1 SiteMinder Administration ユーティリティを使用して、次の特定の引数を使用できるようにカスタム認証スキームを作成します。

Library フィールドに、 smjavaapi と入力します。

Secret フィールドに、適応型セキュリティ アプライアンスに設定したものと同じ秘密キーを入力します。

コマンドライン インターフェイスで policy-server-secret コマンドを使用して、適応型セキュリティ アプライアンスに秘密キーを設定します。

Parameter フィールドに、 CiscoAuthAPI と入力します。

ステップ 2 Cisco.com にログインして、 http://www.cisco.com/cgi-bin/tablebuild.pl/asa から cisco_vpn_auth.jar ファイルをダウンロードして、SiteMinder サーバのデフォルトのライブラリ ディレクトリにコピーします。この .jar ファイルは、Cisco 適応型セキュリティ アプライアンス CD にも含まれています。


 

SAML Browser Post Profile を使用した SSO 認証の設定

この項では、認可されたユーザに対し、Security Assertion Markup Language(SAML)、バージョン 1.1 POST プロファイル シングル サインオン(SSO)をサポートするための適応型セキュリティ アプライアンスの設定について説明します。SAML SSO は、クライアントレス SSL VPN セッション対してのみサポートされています。この項の内容は次のとおりです。

タスクの概要:SAML Post Profile による SSO の設定

タスクの詳細:SAML Post Profile による SSO の設定

SSO サーバの設定

セッション開始後、適応型セキュリティ アプライアンスは設定済みの AAA 方式に対してユーザを認証します。次に、適応型セキュリティ アプライアンス(アサーティング パーティ)は、SAML サーバが提供するコンシューマ URL サービスであるリライング パーティに対してアサーションを生成します。SAML の交換が成功すると、ユーザは保護されているリソースへのアクセスを許可されます。次の 図 70-1 は、通信フローを示しています。

図 70-1 SAML の通信フロー

 


) SAML Browser Artifact プロファイル方式のアサーション交換はサポートされていません。


タスクの概要: SAML Post Profile による SSO の設定

この項では、SAML Browser Post Profile を使用して SSO を設定するために必要なタスクの概要について説明します。タスクは次のとおりです。

sso-server コマンドを使用した SSO サーバの指定

認証要求を行うための SSO サーバの URL の指定( assertion-consumer-url コマンド)

認証要求を発行するコンポーネントとしての適応型セキュリティ アプライアンス ホスト名の指定( issuer コマンド)

SAML Post Profile アサーションの署名に使用するトラストポイント証明書の指定( trustpoint コマンド)

これらの必須タスクに加えて、次のようなオプションの設定タスクを行うことができます。

認証要求のタイムアウトの設定( request-timeout コマンド)

認証要求のリトライ回数の設定( max-retry-attempts コマンド)

設定タスクの完了後、ユーザまたはグループポリシーに SSO サーバを割り当てます。

タスクの詳細: SAML Post Profile による SSO の設定

この項では、SAML Post Profile による SSO 認証をサポートするための適応型セキュリティ アプライアンスの特定の設定手順について説明します。SAML-V1.1-POST を使用して SSO を設定するには、次の手順を実行します。


ステップ 1 webvpn コンフィギュレーション モードで、 type オプションを指定して sso-server コマンドを入力して、SSO サーバを作成します。たとえば、Sample of type SAML-V1.1-POST という名前の SSO サーバを作成するには、次のように入力します。

hostname(config)# webvpn
hostname(config-webvpn)# sso-server sample type SAML-V1.1-post
hostname(config-webvpn-sso-saml)#
 

) 適応型セキュリティ アプライアンスは、現在、SAML SSO サーバの Browser Post Profile タイプのみをサポートしています。


ステップ 2 webvpn-sso-saml コンフィギュレーション モードで assertion-consumer-url コマンドを入力して、SSO サーバの認証 URL を指定します。たとえば、http://www.Example.com/webvpn という URL に認証要求を送信するには、次のように入力します。

hostname(config-webvpn-sso-saml)# assertion-consumer-url http://www.sample.com/webvpn
hostname(config-webvpn-sso-saml)#
 

ステップ 3 適応型セキュリティ アプライアンスでアサーションを生成する場合は、セキュリティ アプライアンス自体を識別する固有の文字列を指定します。通常、この issuer 名は次のような適応型セキュリティ アプライアンスのホスト名になります。

hostname(config-webvpn-sso-saml)# issuer myasa
hostname(config-webvpn-sso-saml)#
 

ステップ 4 trust-point コマンドを使用して、アサーションに署名するための ID 証明書を指定します。次に例を示します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-tunnel-ipsec)# trust-point mytrustpoint
 

オプションで、webvpn-sso-saml コンフィギュレーション モードから request-timeout コマンドを使用すると、失敗した SSO 認証がタイムアウトを試行するまでの秒数を設定することができます。デフォルトの秒数は 5 秒で、1 秒から 30 秒までの範囲で指定できます。要求がタイムアウトするまでの秒数を 8 に変更するには、次のように入力します。

hostname(config-webvpn-sso-saml)# request-timeout 8
hostname(config-webvpn-sso-saml)#
 

ステップ 5 オプションで、webvpn-sso-saml コンフィギュレーション モードから max-retry-attempts コマンドを使用すると、適応型セキュリティ アプライアンスがタイムアウトするまでに、失敗した SSO 認証をリトライできる回数を設定できます。デフォルトのリトライ回数は 3 で、1 回から 5 回までの範囲で指定できます。たとえば、リトライ回数を 4 に設定するには、次のように入力します。

hostname(config-webvpn-sso-saml)# max-retry-attempts 4
hostname(config-webvpn-sso-saml)#
 

ステップ 6 SSO サーバの設定後、グループまたはユーザのいずれかに対して SSO 認証を指定する必要があります。グループに SSO を指定するには、グループポリシー webvpn コンフィギュレーション モードで sso-server value コマンドを使用して SSO サーバをグループポリシーに割り当てます。ユーザに SSO を指定するには、同じ sso-server value コマンドを使用して SSO サーバをユーザに割り当てますが、この場合は username-webvpn コンフィギュレーション モードで実行します。たとえば、Example という名前の SSO サーバをユーザ名 Anyuser に割り当てるには、次のように入力します。

hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# sso-server value sample
hostname(config-username-webvpn)#
 

ステップ 7 最後に、特権 EXEC モードで、 test sso-server コマンドを使用すると SSO サーバの設定をテストできます。たとえば、Example という名前の SSO サーバをユーザ名 Anyuser を使用してテストするには、次のように入力します。

hostname# test sso-server Example username Anyuser
INFO: Attempting authentication request to sso-server sample for user Anyuser
INFO: STATUS: Success
 


 

SSO サーバの設定

サーバ ソフトウェアのベンダーが提供する SAML サーバのマニュアルを使用して、Relying Party モードで SAML サーバを設定します。次の手順には、Browser Post Profile に SAML サーバを設定するために必要な特定のパラメータが一覧表示されています。


ステップ 1 アサーティング パーティ(適応型セキュリティ アプライアンス)を表す SAML サーバ パラメータを設定します。

Recipient consumer url(ASA で設定する assertion consumer url と同一)

Issuer ID(通常はアプライアンスのホスト名である文字列)

Profile type:Browser Post Profile

ステップ 2 証明書を設定します。

ステップ 3 アサーティング パーティのアサーションには署名が必要なことを指定します。

ステップ 4 SAML サーバがユーザを特定する方法を、次のように選択します。

Subject Name Type が DN

Subject Name format が uid=<user>


 

HTTP Form プロトコルを使用した SSO の設定

この項では、SSO における HTTP Form プロトコルの使用について説明します。HTTP Form プロトコルは、SSO 認証を実行するための一般的な手段で、AAA 方式としても使用できます。このプロトコルは、クライアントレス SSL VPN のユーザおよび認証を行う Web サーバの間で認証情報を交換するセキュアな方法を提供します。HTTP Form は一般的なプロトコルとして、Web サーバや Web ベースの SSO 製品との高度な互換性を持ち、RADIUS サーバや LDAP サーバなど他の AAA サーバとともに使用できます。


) HTTP プロトコルを使用して SSO を正しく設定するには、認証および HTTP プロトコル交換に関する実用的な知識が必要です。


適応型セキュリティ アプライアンスは、ここでも認証 Web サーバに対するクライアントレス SSL VPN のユーザのプロキシとして機能しますが、この場合は、要求に対して HTTP Form プロトコルと POST 方式を使用します。フォーム データを送受信するように適応型セキュリティ アプライアンスを設定する必要があります。図 70-2 は、次の SSO 認証手順を示しています。

1. 最初に、クライアントレス SSL VPN のユーザは、ユーザ名とパスワードを入力して適応型セキュリティ アプライアンス上のクライアントレス SSL VPN サーバにログインします。

2. ユーザのプロキシとして動作するクライアントレス SSL VPN サーバは、このフォーム データ(ユーザ名およびパスワード)を、POST 認証要求を使用して認証する Web サーバに転送します。

3. 認証する Web サーバがユーザのデータを承認した場合は、認証クッキーをユーザの代行で保存していたクライアントレス SSL VPN サーバに戻します。

4. クライアントレス SSL VPN サーバはユーザまでのトンネルを確立します。

5. これでユーザは、ユーザ名やパスワードを再入力しなくても、保護された SSO 環境内の他の Web サイトにアクセスできるようになります。

図 70-2 HTTP Form を使用した SSO 認証

 

適応型セキュリティ アプライアンスでユーザ名やパスワードなどの POST データを含めるようにフォーム パラメータを設定しても、Web サーバが要求する非表示のパラメータが追加されたことに、ユーザが最初に気付かない可能性があります。認証アプリケーションの中には、ユーザ側に表示されず、ユーザが入力することもない非表示データを要求するものもあります。ただし、認証 Web サーバが要求する非表示パラメータを見つけるのは可能です。これは、適応型セキュリティ アプライアンスを仲介役のプロキシとして使用せずに、ユーザのブラウザから Web サーバに直接認証要求を出す方法で行います。HTTP ヘッダー アナライザを使用して Web サーバの応答を分析すると、非表示パラメータが次のような形式で表示されます。

<param name>=<URL encoded value>&<param name>=<URL encoded>
 

非表示パラメータには、必須のパラメータとオプションのパラメータとがあります。Web サーバが非表示パラメータのデータを要求すると、Web サーバはそのデータを省略するすべての認証 POST 要求を拒否します。ヘッダー アナライザは、非表示パラメータが必須かオプションかについては伝えないため、必須のパラメータが判別できるまではすべての非表示パラメータを含めておくことをお勧めします。

この項では次のことを説明します。

HTTP Form データの収集

タスクの概要:HTTP Form プロトコルを使用した SSO の設定

タスクの詳細:HTTP Form プロトコルによる SSO の設定

HTTP Form データの収集

この項では、必要な HTTP Form データを検出および収集する手順を示します。認証 Web サーバが要求するパラメータが何かわからない場合は、次の手順を実行して認証交換を分析するとパラメータ データを収集することができます。


) これらの手順では、ブラウザと HTTP ヘッダー アナライザが必要です。



ステップ 1 ユーザのブラウザと HTTP ヘッダー アナライザを起動して、適応型セキュリティ アプライアンスを経由せずに Web サーバのログイン ページに直接接続します。

ステップ 2 Web サーバのログイン ページがユーザのブラウザにロードされてから、ログイン シーケンスを検証して交換時にクッキーが設定されているかどうか判別します。Web サーバによってログイン ページにクッキーがロードされている場合は、このログイン ページの URL を start-URL として設定します。

ステップ 3 Web サーバにログインするためのユーザ名とパスワードを入力して、Enter キーを押します。この動作によって、ユーザが検証する認証 POST 要求が HTTP ヘッダー アナライザを使用して生成されます。

次に、ホストの HTTP ヘッダーおよび本文が記載された POST 要求の例を示します。

POST /emco/myemco/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000430e1-7443-125c-ac05-83846dc90034&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2FHTTP/1.1

Host: www.example.com

(BODY)

SMENC=ISO-8859-1&SMLOCALE=US-EN&USERID=Anyuser&USER_PASSWORD=XXXXXX&target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0

ステップ 4 POST 要求を検証してプロトコル、ホストをコピーし、URL を入力して action-uri パラメータを設定します。

ステップ 5 POST 要求の本文を検証して、次の情報をコピーします。

a. ユーザ名パラメータ。上記の例では、このパラメータは USERID で、値 anyuser ではありません。

b. パスワード パラメータ。上記の例では、このパラメータは USER_PASSWORD です。

c. 非表示パラメータ。このパラメータは、POST 本文からユーザ名パラメータとパスワード パラメータを除くすべてです。上記の例では、非表示パラメータは、SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0 の部分です。

図 70-3 は、HTTP アナライザの出力例に表示される action URI、非表示、ユーザ名、パスワードの各種パラメータを強調して示したものです。これは一例です。出力は Web サイトによって大幅に異なることがあります。

図 70-3 action-uri、非表示、ユーザ名、パスワードの各種パラメータ

 

 

1

action URI パラメータ

2

非表示パラメータ

3

ユーザ名パラメータとパスワード パラメータ

ステップ 6 Web サーバへのログインが成功したら、HTTP ヘッダー アナライザを使用して、サーバからユーザのブラウザに設定されているクッキー名を見つけ出すことによって、サーバの応答を検証します。これは auth-cookie-name パラメータです。

次のサーバ応答ヘッダーでは、SMSESSION がセッションのクッキーの名前です。必要なのはこの名前だけです。値は不要です。

 

図 70-4 に、HTTP アナライザによる認可クッキーの出力例を示します。これは一例です。出力は Web サイトによって大幅に異なることがあります。

図 70-4 HTTP アナライザの出力例に表示された認可クッキー

 

 

1

認可クッキー

ステップ 7 場合によっては、認証の成否にかかわらず同じクッキーがサーバによって設定される可能性があり、このようなクッキーは、SSO の目的上、認められません。クッキーが異なっていることを確認するには、無効なログイン クレデンシャルを使用して「失敗」クッキーと「成功した」クッキーとをステップ 1 からステップ 6 を繰り返して比較します。

これで、HTTP Form プロトコルによる SSO を適応型セキュリティ アプライアンスに設定するために必要なパラメータ データを入手できました。


 

タスクの概要:HTTP Form プロトコルを使用した SSO の設定

この項では、HTTP Form プロトコルによる SSO の設定の概要について説明します。HTTP Form を使用して SSO をイネーブルにするには、次のタスクを実行します。

フォーム データ( action-uri )を受信および処理するために、認証 Web サーバのユニフォーム リソース識別子を設定する。

ユーザ名パラメータ( user-parameter )を設定する。

ユーザ パスワード パラメータ( password-parameter )を設定する。

認証 Web サーバの要件によっては次のタスクが必要になる場合もあります。

認証 Web サーバがログイン前のクッキー交換を必要とする場合は、開始 URL( start-url )を設定する。

認証 Web サーバが要求する任意の非表示認証パラメータ( hidden-parameter )を設定する。

認証 Web サーバによって設定される認証クッキーの名前( auth-cookie-name )を設定する。

タスクの詳細:HTTP Form プロトコルによる SSO の設定

この項では、HTTP Form プロトコルを使用した SSO を設定するために必要な詳細タスクを取り上げます。適応型セキュリティ アプライアンスが HTTP Form プロトコルを使用した SSO を実行するように設定するには、次の手順を実行します。


ステップ 1 認証 Web サーバが要求する場合は、aaa-server-host コンフィギュレーション モードで start-url コマンドを入力して、認証 Web サーバから事前ログイン クッキーを取得するための URL を指定します。たとえば、http://example.com/east/Area.do?Page-Grp1 の URL 認証 Web サーバを、IP アドレス 10.0.0.2 の testgrp1 サーバ グループに指定するには、次のように入力します。

hostname(config)# aaa-server testgrp1 host 10.0.0.2
hostname(config-aaa-server-host)# start-url http://example.com/east/Area.do?Page-Grp1
hostname(config-aaa-server-host)#
 

ステップ 2 認証 Web サーバに認証プログラム用の URI を指定するには、aaa-server- host コンフィギュレーション モードで action-uri コマンドを入力します。1 つの URI を連続する複数行にわたって入力することができます。1 行あたりの最大文字数は 255 です。URI 全体の最大文字数は 2048 です。action URI の出力例は次のとおりです。

http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000a1311-a828-1185-ab41-8333b16a0008&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com

この action URI を指定するには、次のコマンドを入力します。

hostname(config-aaa-server-host)# action-uri http://www.example.com/auth/index.htm
hostname(config-aaa-server-host)# action-uri l/appdir/authc/forms/MCOlogin.fcc?TYP
hostname(config-aaa-server-host)# action-uri 554433&REALMOID=06-000a1311-a828-1185
hostname(config-aaa-server-host)# action-uri -ab41-8333b16a0008&GUID=&SMAUTHREASON
hostname(config-aaa-server-host)# action-uri =0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk
hostname(config-aaa-server-host)# action-uri 3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6r
hostname(config-aaa-server-host)# action-uri B1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F
hostname(config-aaa-server-host)# action-uri %2Fauth.example.com
hostname(config-aaa-server-host)#

) action URI には、ホスト名とプロトコルを含める必要があります。上記の例では、これらは http://www.example.com の URI の最初に表示されます。


ステップ 3 HTTP POST 要求のユーザ名パラメータを設定するには、aaa-server-host コンフィギュレーション モードで user-parameter コマンドを入力します。たとえば、次のようにコマンドを入力すると、ユーザ名パラメータ userid が設定されます。

hostname(config-aaa-server-host)# user-parameter userid
hostname(config-aaa-server-host)#
 

ステップ 4 HTTP POST 要求のユーザ パスワード パラメータを設定するには、aaa-server-host コンフィギュレーション モードで password-parameter コマンドを使用します。たとえば、次のようにコマンドを入力すると、ユーザ パスワード パラメータ名として user_password が設定されます。

hostname(config-aaa-server-host)# password-parameter user_password
hostname(config-aaa-server-host)#
 

ステップ 5 認証 Web サーバと交換する非表示パラメータを指定するには、aaa-server-host コンフィギュレーション モードで hidden-parameter コマンドを使用します。次に、POST 要求から抜粋した非表示パラメータの例を示します。

SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do%3FEMCOPageCode%3DENG&smauthreason=0

この非表示パラメータには、間を & で区切った 4 つの Form エントリとその値が含まれています。4 つのエントリとその値は次のとおりです。

SMENC エントリおよび値 ISO-8859-1

SMLOCALE エントリおよび値 US-EN

target エントリおよび値 https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do

%3FEMCOPageCode%3DENG

smauthreason エントリおよび値 0

この非表示パラメータを指定するには、次のコマンドを入力します。

hostname(config)# aaa-server testgrp1 host example.com
hostname(config-aaa-server-host)# hidden-parameter SMENC=ISO-8859-1&SMLOCALE=US-EN&targe
hostname(config-aaa-server-host)# hidden-parameter t=https%3A%2F%2Fwww.example.com%2Femc
hostname(config-aaa-server-host)# hidden-parameter o%2Fappdir%2FAreaRoot.do%3FEMCOPageCo
hostname(config-aaa-server-host)# hidden-parameter de%3DENG&smauthreason=0
hostname(config-aaa-server-host)#
 

ステップ 6 認証クッキーの名前を指定するには、aaa-server-host コンフィギュレーション モードで auth-cookie-name コマンドを入力します。このコマンドはオプションです。次に、SsoAuthCookie という名前の認証クッキーを指定する例を示します。

hostname(config-aaa-server-host)# auth-cookie-name SsoAuthCookie
hostname(config-aaa-server-host)#


 

マクロ置換による SSO の設定

ここでは、SSO のマクロ置換の使用について説明します。マクロ置換を使用して SSO を設定することで、ブックマークに特定の変数を挿入して動的な値に置換できます。


) スマート トンネル ブックマークでは、自動サインオンはサポートされていますが変数置換はサポートされていません。たとえば、スマート トンネル向けに設定された SharePoint ブックマークは、アプリケーションにログインするために、クライアントレス SSL VPN にログインするために使用するクレデンシャルと同じユーザ名とパスワードを使用します。変数置換および自動サインオンは同時に、または別々に使用できます。


次に、ブックマーク内の置換およびフォームベースの HTTP POST 操作が可能な変数(またはマクロ)を示します。

CSCO_WEBVPN_USERNAME:ユーザ ログイン ID。

CSCO_WEBVPN_PASSWORD:ユーザ ログイン パスワード。

CSCO_WEBVPN_INTERNAL_PASSWORD:ユーザ内部(またはドメイン)パスワード。このキャッシュ済みクレデンシャルは、AAA サーバに対して認証されません。この値を入力すると、セキュリティ アプライアンスは、パスワードまたはプライマリ パスワードの値ではなく、この値を自動サインオンのパスワードとして使用します。


) 上記の 3 つの変数は、GET ベースの HTTP(S)ブックマークでは使用できません。これらの値を使用できるのは、POST ベースの HTTP(S)および CIFS ブックマークだけです。


CSCO_WEBVPN_CONNECTION_PROFILE:ユーザ ログイン グループ ドロップダウン(接続プロファイルのエイリアス)。

CSCO_WEBVPN_MACRO1:RADIUS-LDAP の Vendor Specific Attribute(VSA; ベンダー固有アトリビュート)によって設定されます。LDAP から ldap-attribute-map コマンドをマッピングしている場合、このマクロの Cisco アトリビュートである WebVPN-Macro-Substitution-Value1 を使用します。次の URL にある、Active Directory での LDAP アトリビュート マッピングの例を参照してください。
http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/ref_extserver.html#wp1572118

RADIUS による CSCO_WEBVPN_MACRO1 のマクロ置換は、VSA#223 によって行われます( 表 70-1 を参照)。

表 70-1 VSA#223

WebVPN-Macro-Value1

Y

223

文字列

シングル

無制限

WebVPN-Macro-Value2

Y

224

文字列

シングル

無制限

特定の DAP またはグループポリシーについて、https://CSCO_WEBVPN_MACRO1 や https://CSCO_WEBVPN_MACRO2 のようにすると、www.cisco.com/email などの値が、クライアントレス SSL VPN ポータルのブックマークに動的に読み込まれます。

CSCO_WEBVPN_MACRO2:RADIUS-LDAP の ベンダー固有アトリビュート(VSA)によって設定されます。LDAP から ldap-attribute-map コマンドをマッピングしている場合、このマクロの Cisco アトリビュートである WebVPN-Macro-Substitution-Value2 を使用します。次の URL にある、Active Directory での LDAP アトリビュート マッピングの例を参照してください。
http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/ref_extserver.html#wp1572118

RADIUS による CSCO_WEBVPN_MACRO2 のマクロ置換は、VSA#224 によって行われます( 表 70-1 を参照)。

クライアントレス SSL VPN が(ブックマークの形式または POST 形式の)エンドユーザの要求内にあるこれらの 6 つの文字列のいずれかを認識するたびに、文字列がユーザ指定の値に置き換えられ、この要求がリモート サーバに渡されます。

デジタル証明書による認証

デジタル証明書を使用して認証を行うクライアントレス SSL VPN ユーザは、グローバルな認証と認可の設定を使用しません。その代わり、証明書の検証が完了すると、ユーザは認可サーバを使用して認証します。デジタル署名書を使用する認証と認可の詳細については、 AAA サーバとローカル データベースの設定 証明書とユーザ ログイン クレデンシャルの使用の章を参照してください。

リソース アクセスのためのクライアントレス SSL VPN ポリシーの作成と適用

中央サイトにあるリソースへのアクセスを制御するクライアントレス SSL VPN ポリシーを作成および適用するには、次のタスクを実行します。

グループポリシーへのユーザの割り当て

「接続プロファイル、グループポリシー、およびユーザの設定」では、これらのタスクについての詳細な手順を説明しています。

グループポリシーへのユーザの割り当て

ユーザをグループポリシーに割り当てると、複数のユーザにポリシーを適用することで設定が容易になります。ユーザをグループポリシーに割り当てるには、内部認証サーバまたは RADIUS サーバを使用できます。グループポリシーを使用して設定を簡略化する方法の説明については、「接続プロファイル、グループポリシー、およびユーザの設定」を参照してください。

セキュリティ アプライアンス認証サーバの使用

適応型セキュリティ アプライアンスの内部認証サーバでユーザを認証するように設定し、これらのユーザを適応型セキュリティ アプライアンス上でグループポリシーに割り当てることができます。

RADIUS サーバの使用

RADIUS サーバをユーザ認証に使用する場合は、次の手順を実行して、ユーザをグループポリシーに割り当てます。


ステップ 1 RADIUS でユーザ認証を行い、Class アトリビュートを使用してそのユーザを特定のグループポリシーに割り当てます。

ステップ 2 OU=group_name 形式で Class アトリビュートをグループポリシー名に設定します。

たとえば、クライアントレス SSL VPN のユーザを SSL_VPN グループに割り当てるには、RADIUS Class アトリビュートを OU=SSL_VPN;(セミコロンは省略不可)の値に設定します。


 

クライアントレス SSL VPN の接続プロファイルのアトリビュートの設定

表 70-2 は、クライアントレス SSL VPN に固有の接続プロファイル アトリビュートのリストです。これらのアトリビュートに加えて、すべての VPN 接続に共通の一般接続プロファイルのアトリビュートを設定します。接続プロファイルの設定に関する手順ごとの情報については、「クライアントレス SSL VPN セッションの接続プロファイルの設定」「接続プロファイル、グループポリシー、およびユーザの設定」を参照してください。


) 以前のリリースでは、「接続プロファイル」は「トンネル グループ」として知られていました。接続プロファイルは tunnel-group コマンドで設定します。この章では、この 2 つの用語が同義的によく使用されています。


 

表 70-2 クライアントレス SSL VPN 用接続プロファイルのアトリビュート

コマンド
機能

authentication

認証方式を設定します。

customization

適用するすでに定義済みのカスタマイゼーションの名前を指定します。

nbns-server

CIFS 名前解決に使用する NetBIOS ネーム サービス サーバ(nbns-server)の名前を指定します。

group-alias

サーバが接続プロファイルの参照に使用できる代替名を指定します。

group-url

1 つ以上のグループ URL を指定します。このアトリビュートを設定する場合、指定した URL にアクセスするユーザはログイン時にグループを選択する必要がありません。

dns-group

DNS サーバ名、ドメイン名、ネーム サーバ、リトライの回数、およびタイムアウト値を指定する DNS サーバ グループを指定します。

hic-fail-group-policy

Cisco Secure Desktop Manager を使用して、グループベース ポリシー アトリビュートを「Use Failure Group-Policy」または「Use Success Group-Policy, if criteria match」に設定する場合は、VPN 機能ポリシーを指定します。

override-svc-download

AnyConnect VPN クライアントをリモート ユーザにダウンロードするために、設定されているグループポリシー アトリビュートまたはユーザ名アトリビュートのダウンロードが上書きされます。

radius-reject-message

認証が拒否されたときに、ログイン画面に RADIUS 拒否メッセージを表示します。

クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュートの設定

表 70-3 に、クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュートをリストで示します。グループポリシー アトリビュートとユーザ アトリビュートの設定手順については、「接続プロファイル、グループポリシー、およびユーザの設定」「グループポリシーの設定」および「特定ユーザのアトリビュートの設定」を参照してください。

 

表 70-3 クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュート

コマンド
機能

activex-relay

クライアントレス SSL VPN セッションを確立したユーザが、ブラウザを使用して Microsoft Office アプリケーションを起動できるようになります。アプリケーションは、セッションを使用して Microsoft Office ドキュメントのダウンロードとアップロードを行います。ActiveX のリレーは、クライアントレス SSL VPN セッションを終了するまで有効なままです。

auto-signon

自動サインオンの値を設定します。設定では クライアントレス SSL VPN への初回の接続のみユーザ名およびパスワードのクレデンシャルが必要です。

customization

カスタマイゼーション オブジェクトをグループポリシーまたはユーザに割り当てます。

deny-message

クライアントレス SSL VPN に正常にログインできるが、VPN 特権を持たないリモート ユーザに送信するメッセージを指定します。

file-browsing

ファイル サーバとファイル共有の CIFS ファイル ブラウジングをイネーブルにします。ブラウジングには NBNS が必要です(マスター ブラウザまたは WINS)。

file-entry

アクセスするファイル サーバ名の入力をユーザに許可します。

filter

webtype アクセスリストの名前を設定します。

hidden-shares

非表示の CIFS 共有ファイルの可視性を制御します。

homepage

ログイン時に表示される Web ページの URL を設定します。

html-content-filter

このグループポリシー用の HTML からフィルタリングするコンテンツとオブジェクトを設定します。

http-comp

圧縮を設定します。

http-proxy

HTTP 要求の処理に外部プロキシ サーバを使用するように適応型セキュリティ アプライアンスを設定します。

keep-alive-ignore

セッション タイマーのアップデートを無視するオブジェクトの最大サイズを設定します。

port-forward

転送するクライアントレス SSL VPN TCP ポートのリストを適用します。ユーザ インターフェイスにこのリスト上のアプリケーションが表示されます。

post-max-size

ポストするオブジェクトの最大サイズを設定します。

smart-tunnel

スマート トンネルを使用するプログラムのリストを設定します。

sso-server

SSO サーバの名前を設定します。

storage-objects

セッション間に保存されたデータのストレージ オブジェクトを設定します。

svc

SSL VPN クライアントのアトリビュートを設定します。

unix-auth-gid

UNIX グループ ID を設定します。

unix-auth-uid

UNIX ユーザ ID を設定します。

upload-max-size

アップロードするオブジェクトの最大サイズを設定します。

url-entry

ユーザが HTTP/HTTP URL を入力する機能を制御します。

url-list

エンド ユーザのアクセス用にクライアントレス SSL VPN のポータル ページに表示されるサーバと URL のリストを適用します。

user-storage

セッション間のユーザ データを保存する場所を設定します。

プラグインへのブラウザ アクセスの設定

次の項では、クライアントレス SSL VPN のブラウザ アクセス用のブラウザ プラグインの統合について説明します。

「ブラウザ プラグインの概要」

「RDP プラグイン ActiveX デバッグのクイック リファレンス」

「プラグインの要件と制限事項」

「プラグインのためのセキュリティ アプライアンスの準備」

「シスコが再配布しているプラグインのインストール」

「サードパーティのプラグインへのアクセスの提供」

「セキュリティ アプライアンスにインストールされているプラグインの表示」

ブラウザ プラグインの概要

ブラウザ プラグインは、ブラウザ ウィンドウ内でクライアントをサーバに接続するなどの、専用の機能を実行するために Web ブラウザから起動される独立したプログラムです。適応型セキュリティ アプライアンスを使用すると、クライアントレス SSL VPN セッション中に、リモート ブラウザにダウンロードするプラグインをインポートできます。もちろん、シスコでは再配布するプラグインのテストを行っており、場合によっては、再配布できないプラグインの接続性のテストを行っています。ただし、現時点では、ストリーミング メディアをサポートするプラグインはインポートしないことをお勧めします。


) GNU General Public License(GPL)により、シスコでは変更を加えることなくプラグインを再配布しています。GPL により、シスコではこれらのプラグインを直接強化することはできません。


プラグインをフラッシュ デバイスにインストールすると、適応型セキュリティ アプライアンスは次の処理を実行します。

(シスコが配布したプラグインのみ) URL で指定した jar ファイルを解凍する。

適応型セキュリティ アプライアンス ファイル システムの csco-config/97/plugin ディレクトリにファイルを書き込む。

ASDM の URL アトリビュートの隣にドロップダウン メニューを読み込む。

以後のすべてのクライアントレス SSL VPN セッションに対するプラグインのイネーブル化、メイン メニュー オプションの追加、およびポータル ページの Address フィールドの隣へのドロップダウン メニュー オプションの追加を行う。

表 70-4 に、次の項で説明するプラグインを追加したときの、ポータル ページのメイン メニューと Address フィールドの変更点を示します。

 

表 70-4 クライアントレス SSL VPN ポータル ページへのプラグインの影響

プラグイン
ポータル ページに追加されるメイン メニュー オプション
ポータル ページに追加される Address フィールドのオプション

ica

Citrix Client

ica://

rdp

Terminal Servers

rdp://

rdp2

Terminal Servers Vista

rdp2://

ssh、telnet

SSH

ssh://

Telnet

telnet://

vnc

VNC Client

vnc://

クライアントレス SSL VPN セッションのユーザがポータル ページに関連付けられているメニュー オプションをクリックすると、ポータル ページにインターフェイスへのウィンドウが表示され、ヘルプ ペインが表示されます。ユーザはドロップダウン メニューに表示されているプロトコルを選択し、Address フィールドに URL を入力して接続を確立できます。


) 一部の Java プラグインは、宛先サービスへのセッションがセットアップされていない場合でも、接続またはオンラインのステータスを報告することがあります。適応型セキュリティ アプライアンスではなく、オープンソース プラグインがステータスを報告します。


RDP プラグイン ActiveX デバッグのクイック リファレンス

RDP プラグインをセットアップして使用するには、新しい環境変数を追加する必要があります。新しい環境変数を追加するには、次の手順を行います。


ステップ 1 [My Computer] を右クリックし、[System Properties] を開いて [Advanced] タブを選択します。

ステップ 2 [Advanced] タブで、[Environment Variables] ボタンを選択します。

ステップ 3 [New User Variable] ダイアログボックスで、RF_DEBUG 変数を入力します。

ステップ 4 [User variables] セクションの新しい環境変数を確認します。

ステップ 5 バージョン 8.3 の前に WebVPN のバージョンのクライアント コンピュータを使用していた場合、古い Cisco Portforwarder Control を削除してください。C:/WINDOWS/Downloaded Program Files ディレクトリを開いて、Portforwarder Control を右クリックして、[Remove] を選択します。

ステップ 6 Internet Explorer ブラウザのすべてのキャッシュをクリアします。

ステップ 7 WebVPN セッションを起動して、RDP ActiveX プラグインを使用して RDP セッションを確立します。

これで Windows アプリケーションのイベント ビューアでイベントを確認できるようになります。


 

プラグインの要件と制限事項

プラグインへのリモートアクセスを提供するには、適応型セキュリティ アプライアンスでクライアントレス SSL VPN をイネーブルにする必要があります。

セキュリティ アプライアンスでクライアントレス セッションがプロキシ サーバを使用するように設定している場合、プラグインは機能しません。


) Remote Desktop Protocol プラグインでは、セッション ブローカを使用したロードバランシングはサポートされていません。プロトコルによるセッション ブローカからのリダイレクションの処理方法のため、接続に失敗します。セッション ブローカが使用されていない場合、プラグインは動作します。


プラグインは、Single Sign-On(SSO)をサポートします。プラグインは、クライアントレス SSL VPN セッションを開くときに入力したクレデンシャルと 同じ クレデンシャルを使用します。プラグインはマクロ置換をサポートしないため、内部ドメイン パスワードなどのさまざまなフィールドや、RADIUS または LDAP サーバのアトリビュートで SSO を実行するオプションはありません。

プラグインに対して SSO サポートを設定するには、プラグインをインストールし、サーバへのリンクを表示するためのブックマーク エントリを追加します。また、ブックマークを追加するときに、SSO サポートを指定します。

リモートでの使用に必要な最小のアクセス権限は、ゲスト特権モードに属しています。

ステートフル フェールオーバーでは、プラグインを使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

プラグインをブラウザでイネーブルにするには、ActiveX または Sun JRE 5 Update 1.5 以降(JRE 6 以降を推奨)が必要です。64 ビット ブラウザでは、RDP プラグインの ActiveX バージョンは使用できません。

プラグインのためのセキュリティ アプライアンスの準備

プラグインをインストールする前に、適応型セキュリティ アプライアンスで次のような準備を行います。


ステップ 1 クライアントレス SSL VPN(「webvpn」)が適応型セキュリティ アプライアンス インターフェイスでイネーブルになっていることを確認します。確認するには、 show running-config コマンドを入力します。

ステップ 2 リモート ユーザが Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用して接続する適応型セキュリティ アプライアンス インターフェイスに SSL 証明書をインストールします。


) IP アドレスを SSL 証明書の Common Name(CN; 通常名)として指定しないでください。リモート ユーザは、適応型セキュリティ アプライアンスと通信するために FQDN の使用を試行します。リモート PC は、FQDN を解決するために DNS または System32¥drivers¥etc¥hosts ファイル内のエントリを使用できる必要があります。



 

クライアントレス SSL VPN アクセスに提供する必要があるプラグインのタイプを指定している項に進んでください。

「シスコが再配布しているプラグインのインストール」

「サードパーティのプラグインへのアクセスの提供」

シスコが再配布しているプラグインのインストール

シスコでは、クライアントレス SSL VPN セッションで Web ブラウザのプラグインとしてアクセスされる、次のオープンソースの Java ベースのコンポーネントを再配布しています。

 

表 70-5 シスコが再配布しているプラグイン

シスコのダウンロード リンク
プロトコル
説明
再配布しているプラグインのソース

rdp-plugin.090915.jar

RDP

Windows Vista および Windows 2003 R2 でホストされる Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

(注) RDP および RDP2 の両方をサポートするこのプラグインを使用することをお勧めします。RDP および RDP2 のバージョン 5.2 へのバージョンアップだけがサポートされています。バージョン 5.2 以降はサポートされていません。

シスコでは、GNU General Public License により、変更を加えずにこのプラグインを再配布します。再配布プラグインの元のソースは、http://properjavardp.sourceforge.net/ です。

rdp2-plugin.090211.jar

RDP2

Windows Vista および Windows 2003 R2 でホストされる Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

(注) この古いプラグインは、RDP2 だけをサポートします。

シスコでは、GNU General Public License により、変更を加えずにこのプラグインを再配布します。再配布プラグインの元のソースは、 http://properjavardp.sourceforge.net/ です。

rdp-plugin.080506.jar

RDP

Windows 2003 R1 でホストされる Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

(注) この古いプラグインは、RDP だけをサポートします。

シスコでは、GNU General Public License により、変更を加えずにこのプラグインを再配布します。再配布プラグインのソースは、 http://properjavardp.sourceforge.net / です。

ssh-plugin.080430.jar

SSH

Secure Shell-Telnet プラグインにより、リモート ユーザはリモート コンピュータへの Secure Shell または Telnet 接続を確立できます。

(注) キーボード インタラクティブ認証は Java SSH ではサポートされていないため、SSH プラグインでもサポートできません(キーボード インタラクティブは異なる認証メカニズムの実装に使用される汎用の認証方法です)。

シスコでは、GNU General Public License により、変更を加えずにこのプラグインを再配布します。この再配布プラグインのソースがある Web サイトは、 http://javassh.org/ です。

vnc-plugin.080130.jar

VNC

Virtual Network Computing プラグインにより、リモート ユーザは、モニタ、キーボード、およびマウスを使用して、共有がオンになっているリモート デスクトップ コンピュータを表示および制御できます。このバージョンでは、テキストのデフォルトの色が変更されています。また、フランス語と日本語のヘルプ ファイルもアップデートされています。

シスコでは、GNU General Public License により、変更を加えずにこのプラグインを再配布します。この再配布プラグインのソースがある Web サイトは、 http://www.tightvnc.com/ です。

これらのプラグインは、「 Cisco Adaptive Security Appliance Software Download 」サイトで入手できます。

プラグインをインストールする前に、次のことを行ってください。

クライアントレス SSL VPN(「webvpn」)が適応型セキュリティ アプライアンスのインターフェイスでイネーブルになっていることを確認します。確認するには、 show running-config コマンドを入力します。

ローカル TFTP または FTP サーバに「plugins」という名前の一時ディレクトリを作成(たとえば、ホスト名「local_tftp_server」で作成)し、シスコの Web サイトから「plugins」ディレクトリにプラグインをダウンロードします。

シスコが再配布しているプラグインへのクライアントレス SSL VPN ブラウザ アクセスを提供するには、特権 EXEC モードで次のコマンドを入力して、適応型セキュリティ アプライアンスのフラッシュ デバイスにプラグインをインストールします。

import webvpn plug-in protocol [ rdp | rdp2 | ssh,telnet | vnc ] URL

protocol は次の値のいずれかです。

Secure Shell サービスと Telnet サービスの 両方 にプラグイン アクセスを提供するには、 ssh,telnet を入力します。


注意 SSH と Telnet の両方に このコマンドを 1 回ずつ入力しないでくださいssh,telnet 文字列を入力する場合は、スペースを挿入しないでください。これらの要件から外れている import webvpn plug-in protocol コマンドを削除するには、revert webvpn plug-in protocol コマンドを使用します。

URL は、プラグイン .jar ファイルへのリモート パスです。TFTP または FTP サーバのホスト名またはアドレス、およびプラグインへのパスを入力します。

次のコマンド例では、SSH と Telnet にクライアントレス SSL VPN のサポートを追加します。

hostname# import webvpn plug-in protocol ssh,telnet tftp://local_tftp_server/plugins/ssh-plugin.jar
 
Accessing tftp://local_tftp_server/plugins/ssh-plugin.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/ssh...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
238510 bytes copied in 3.650 secs (79503 bytes/sec)
 

) 適応型セキュリティ アプライアンスは、コンフィギュレーション内に import webvpn plug-in protocol コマンドを保持しません。代わりに、csco-config/97/plugin ディレクトリの内容を自動的にロードします。セカンダリ適応型セキュリティ アプライアンスは、プライマリ適応型セキュリティ アプライアンスからプラグインを取得します。


Java ベースのクライアント プラグインをインポートし、適応型セキュリティ アプライアンスへのクライアントレス接続を確立したら、SSL VPN ホームページの左側のメニューのアイコンをクリックし、URL を入力します。

プラグインに対するクライアントレス SSL VPN のサポートをディセーブルにして削除し、適応型セキュリティ アプライアンスのフラッシュ デバイスから削除するには、次のコマンドを使用します。

revert webvpn plug-in protocol protocol

次のコマンド例では、RDP を削除します。

hostname# revert webvpn plug-in protocol rdp
 

サードパーティのプラグインへのアクセスの提供

セキュリティ アプライアンスのオープン フレームワークにより、サードパーティの Java クライアント/サーバ アプリケーションをサポートするためにプラグインを追加することができます。


注意 シスコでは、シスコが再配布していない特定のプラグインに対して、直接的なサポートや推奨はしていません。クライアントレス SSL VPN サービスの提供者として、ユーザはプラグインの使用に際して必要となるライセンス契約を確認および遵守する責任があります。

例:Citrix Java Presentation Server へのアクセスの提供

セキュリティ アプライアンスのオープン フレームワークにより、サードパーティの Java クライアント/サーバ アプリケーションをサポートするためにプラグインを追加することができます。サードパーティのプラグインに、クライアントレス SSL VPN ブラウザ アクセスを提供する方法の例として、この項では、Citrix Presentation Server Client にクライアントレス SSL VPN のサポートを追加する方法について説明します。


注意 シスコでは、シスコが再配布していない特定のプラグインに対して、直接的なサポートや推奨はしていません。クライアントレス SSL VPN サービスの提供者として、ユーザはプラグインの使用に際して必要となるライセンス契約を確認および遵守する責任があります。

適応型セキュリティ アプライアンスに Citrix プラグインがインストールされている場合、クライアントレス SSL VPN ユーザは、適応型セキュリティ アプライアンスへの接続を使用して、Citrix MetaFrame サービスにアクセスできます。

ステートフル フェールオーバーでは、Citrix プラグインを使用して確立したセッションは保持されません。Citrix のユーザは、フェールオーバー後に再認証を行う必要があります。

Citrix プラグインへのアクセスを提供するには、次の項で説明する手順に従ってください。

クライアントレス SSL VPN アクセスのための Citrix MetaFrame Server の準備

Citrix プラグインの作成とインストール

クライアントレス SSL VPN アクセスのための Citrix MetaFrame Server の準備

Citrix クライアントが Citrix MetaFrame Server に接続するときに、適応型セキュリティ アプライアンスは Citrix セキュア ゲートウェイの接続機能を実行します。(Citrix)「セキュア ゲートウェイ」を使用しないモードで動作するように、Citrix Web Interface ソフトウェアを設定する必要があります。この設定をしないと、Citrix クライアントは Citrix MetaFrame Server に接続できません。


) プラグインに対するサポートをまだ提供していない場合は、「プラグインのためのセキュリティ アプライアンスの準備」の説明に従い作業を行った後に、この項を参照してください。


Citrix プラグインの作成とインストール

Citrix プラグインを作成およびインストールするには、次の手順に従います。


ステップ 1 シスコのソフトウェア ダウンロード Web サイトから ica-plugin.zip ファイルをダウンロードします。

このファイルには、Citrix プラグインを使用するためにシスコがカスタマイズしたファイルが含まれています。

ステップ 2 Citrix のサイトから Citrix Java クライアント をダウンロードします。

ステップ 3 Citrix Java クライアントから次のファイルを抽出し、それらを ica-plugin.zip ファイルに追加します。

JICA-configN.jar

JICAEngN.jar

この手順の実行には WinZip を使用できます。

ステップ 4 Citrix Java に含まれている EULA によって、Web サーバ上にクライアントを配置するための権限が与えられていることを確認します。

ステップ 5 適応型セキュリティ アプライアンスで CLI セッションを開き、特権 EXEC モードで次のコマンドを入力して、プラグインをインストールします。

import webvpn plug-in protocol ica URL

URL はホスト名または IP アドレス、およびica-plugin.zip ファイルへのパスです。


) プラグインをインポート後、リモート ユーザは ica を選択し、Citrix サービスにアクセスするために、ポータル ページの Address フィールドに host/?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 を入力できるようになります。ユーザの接続を容易にするためにブックマークを追加することをお勧めします。Citrix セッションに SSO サポートを提供する場合は、ブックマークの追加は必須です。


ステップ 6 SSL VPN クライアントレス セッションを確立し、ブックマークをクリックするか、Citrix サーバの URL を入力します。

必要に応じて、『 Client for Java Administrator's Guide 』を参照してください。


 

セキュリティ アプライアンスにインストールされているプラグインの表示

クライアントレス SSL VPN のユーザが使用できる Java ベースのクライアント アプリケーションを一覧表示するには、特権 EXEC モードで次のコマンドを入力します。

show import webvpn plug-in

次に例を示します。

hostname# show import webvpn plug
ssh
rdp
vnc
ica
 

次のコマンドを入力して、プラグインのハッシュおよび日付などの詳細を含めます。

#show import webvpn plug detail

次に例を示します。

hostname show import webvpn plug
post GXN2BIGGOAOkBMibDQsMu2GWZ3Q= Tues, 29 Apr 2008 19:57:03 GMT
rdp fHeyReIOUwDCgAL9HdTs PnjdBoo= Tues, 15 Sep 2009 23:23:56 GMT
rdp2 shw8c22T2SsILLk6zyCd6H6VOz8= Wed, 11 Feb 2009 21:17:54 GMT
 

Application Access の設定

次の項では、クライアントレス SSL VPN セッションでスマート トンネル アクセスおよびポート転送をイネーブルにする方法、それらのアクセスを提供するアプリケーションの指定、および使用上の注意について説明します。

スマート トンネル アクセスの設定

スマート トンネルからのログオフ

Application Access ユーザへの注記

スマート トンネル アクセスの設定

スマート トンネルの表には、スマート トンネルのリストが表示されます。各リストについて、スマート トンネル アクセスに適した 1 つまたは複数のアプリケーションおよびそれに関連するオペレーティング システムが示されます。各グループポリシーまたはローカル ユーザ ポリシーでは 1 つのスマート トンネル リストがサポートされているため、ブラウザベースではないアプリケーションをサポート対象とするために、グループ化してスマート トンネル リストに加える必要があります。スクリプトを記述したり何かをアップロードしなくても、管理者はグループポリシー内のどのページがスマート トンネル経由で接続するかを(homepage use-smart-tunnel CLI コマンドを使用するか、GUI 上で)指定できます。リストの設定に従って、ページを 1 つまたは複数のグループポリシーまたはローカル ユーザ ポリシーに割り当てることができます。管理者がこのように設定しておくと、ユーザはスマート トンネル経由で社内のリソースにアクセスしながらインターネットを直接ブラウズできます。

次の項では、スマート トンネルおよびその設定方法について説明します。

スマート トンネルについて

スマート トンネルを使用する理由

スマート トンネルの要件と制限事項

スマート トンネル アクセスに適格なアプリケーションの追加

スマート トンネル リストの割り当て

スマート トンネルのトンネル ポリシーの設定

スマート トンネル アクセスの自動化

スマート トンネル アクセスのイネーブル化とディセーブル化

スマート トンネルについて

スマート トンネルは、TCP ベースのアプリケーションとプライベート サイト間の接続です。このスマート トンネルは、セキュリティ アプライアンスをパスウェイとして、また、適応型セキュリティ アプライアンスをプロキシ サーバとして使用するクライアントレス(ブラウザベース)SSL VPN セッションを使用します。スマート トンネル アクセスを許可するアプリケーションを特定し、各アプリケーションのローカル パスを指定できます。Microsoft Windows で実行するアプリケーションの場合は、チェックサムの SHA-1 ハッシュの一致を、スマート トンネル アクセスを許可する条件として要求もできます。

Lotus SameTime および Microsoft Outlook Express は、スマート トンネル アクセスを許可できるアプリケーションの例です。

スマート トンネルを設定するには、アプリケーションがクライアントであるか、Web 対応アプリケーションであるかに応じて、次の手順のいずれかを実行する必要があります。

クライアント アプリケーションの 1 つ以上のスマート トンネル リストを作成し、スマート トンネル アクセスを提供するグループポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

スマート トンネル アクセスに適格な Web 対応アプリケーションの URL を指定する 1 つ以上のブックマーク リスト エントリを作成し、スマート トンネル アクセスを提供するグループポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

また、クライアントレス SSL VPN セッションを介したスマート トンネル接続でのログイン クレデンシャルの送信を自動化する Web 対応アプリケーションのリストも作成できます。

スマート トンネルを使用する理由

スマート トンネル アクセスでは、クライアントの TCP ベースのアプリケーションは、ブラウザベースの VPN 接続を使用してサービスにアクセスできます。この方法では、プラグインやレガシー テクノロジーであるポート転送と比較して、ユーザには次のような利点があります。

スマート トンネルは、プラグインよりもパフォーマンスが向上します。

ポート転送とは異なり、スマート トンネルでは、ローカル ポートへのローカル アプリケーションのユーザ接続を要求しないことにより、ユーザ エクスペリエンスが簡略化されます。

ポート転送とは異なり、スマート トンネルでは、ユーザは管理者特権を持つ必要がありません。

プラグインの利点は、クライアント アプリケーションをリモート コンピュータにインストールする必要がないという点です。

スマート トンネルの要件と制限事項

次の項では、スマート トンネルの要件と制限事項を分類して説明します。

一般的な要件と制限事項

スマート トンネルには、次の一般的な要件と制限事項があります。

スマート トンネルの自動サインオンは、Windows の Microsoft Internet Explorer だけサポートする。

スマート トンネルは、Microsoft Windows を実行しているコンピュータとセキュリティ アプライアンス間に配置されたプロキシだけをサポートする。スマート トンネルは、Internet Explorer 設定(つまり、Windows でシステム全体での使用を目的とした設定)を使用します。リモート コンピュータが適応型セキュリティ アプライアンスに接続するためにプロキシ サーバを必要とする場合は、接続の終端側の URL がプロキシ サービスから除外される URL のリストに含まれている必要があります。プロキシ設定で、ASA を宛先とするトラフィックのプロキシ経由を指定すると、すべてのスマート トンネル トラフィックがプロキシ経由になります。

HTTP ベースのリモート アクセスのシナリオでは、サブネットが VPN ゲートウェイへのユーザ アクセスを提供しない場合があります。この場合、Web とエンド ユーザの場所との間のトラフィックをルーティングするために ASA の前に配置されているプロキシが、Web アクセスを提供します。ただし、ASA の前に配置されるプロキシを設定できるのは、VPN ユーザだけです。このように実行する場合、これらのプロキシが CONNECT 方式をサポートすることを確認する必要があります。認証が必要なプロキシの場合、スマート トンネルは、基本ダイジェスト認証タイプだけをサポートします。

スマート トンネルが開始されると、適応型セキュリティ アプライアンスは、ブラウザ プロセスが同じである場合に VPN セッション経由ですべてのブラウザ トラフィックをデフォルトで送信する。tunnel-all ポリシーが適用されている場合にも、適応型セキュリティ アプライアンスは同じ処理を行います。ユーザがブラウザ プロセスの別のインスタンスを開始すると、VPN セッション経由ですべてのトラフィックが送信されます。ブラウザ プロセスが同じで、セキュリティ アプライアンスが URL へのアクセスを提供しない場合、ユーザはその URL を開くことはできません。回避策として、tunnel-all ではないトンネル ポリシーを割り当てます。

ステートフル フェールオーバーでは、スマート トンネル接続は保持されない。ユーザはフェールオーバー後に再接続する必要があります。

スマート トンネルのロードに時間がかかりすぎる場合は、次の手順を実行します。

SSL ステートをクリアします(Internet Explorer で、[Tools] > [Internet Options] > [Content] の順番に進みます)。

[Check for server certificate revocation] チェックボックスをディセーブルにします(Internet Explorer で、[Tools] > [Internet Options] > [Advanced] > [Security] の順番に進みます)。

Cookie を削除します(Internet Explorer で、[Tools] > [Internet Options] > [General] の順番に進みます)。

Windows の要件と制限事項

リリース 8.3(1) では、次のプラットフォームからのスマート トンネル アクセスがサポートされます。

Windows 7 x86(32 ビット)および x64(64 ビット)、Internet Explorer 8.x および Firefox 3.x 経由。

Windows Vista x64、Internet Explorer 7.x/8.x または Firefox 3.x 経由。

KB952876 以降を含む Windows Vista x86 SP2 または Vista SP1、Internet Explorer 7.x または Firefox 3.x 経由。

Windows XP x64、Internet Explorer 6.x/7.x/8.x および Firefox 3.x 経由。

Windows XP x86 SP2 以降、Internet Explorer 6.x/7.x または Firefox 3.x 経由。

Mac OS 10.6 または 10.5 32 ビットおよび 64 ビット、Sun JRE 1.5 以降をインストールした Safari 3.x /4.x および Firefox 3.x 経由。DoD Common Access Card および SmartCard を含む証明書認証は、Safari キーチェーンだけで動作します。

これらの要件に加えて、次の要件と制限事項が Windows でのスマート トンネル アクセスには適用されます。

Windows では ActiveX または Sun JRE 5 Update 1.5 以降(JRE 6 以降を推奨)をブラウザでイネーブルにしておく必要がある。

ActiveX ページでは、関連するグループポリシーに activex-relay コマンドを入力しておくことが必要です。コマンドを入力しているか、ポリシーにスマート トンネル リストを割り当てていて、エンドポイントのブラウザのプロキシ例外リストでプロキシが指定されている場合、このリストに「shutdown.webvpn.relay.」エントリを追加する必要があります。


) ブラウザベースの VPN アクセスでは、Windows 7、Vista、Internet Explorer 8、Mac OS、および Linux の Windows 共有(CIFS)Web フォルダはサポートされていません。Windows XP SP2 で Web フォルダをサポートするには、Microsoft 社が提供するホットフィックスが必要です。


Winsock 2 の TCP ベースのアプリケーションだけ、スマート トンネル アクセスに適する。

セキュリティ アプライアンスは、Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。ポート転送もスマート トンネルも MAPI をサポートしません。MAPI プロトコルを使用する Microsoft Outlook Exchange 通信には、リモート ユーザは AnyConnect を使用する必要があります。

スマート トンネルまたはポート転送を使用する Microsoft Windows Vista ユーザには、ASA の URL を 信頼済みサイト ゾーンに追加することを推奨する。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista ユーザは、保護モードをディセーブルにしてスマート トンネル アクセスの使用もできます。ただし、攻撃を受けやすくなるため、この方法の使用はお勧めしません。

Mac OS の要件と制限事項

「クライアントレス SSL VPN のシステム要件について」の要件に加えて、次の要件と制限事項が Mac OS でのスマート トンネル アクセスに適用されます。

Java Web Start をブラウザでイネーブルにしておく必要がある。

ポータル ページから起動されたアプリケーションだけ、スマート トンネル接続を確立できる。この要件には、Firefox に対するスマート トンネルのサポートも含まれます。スマート トンネルを最初に使用する際に、Firefox を使用して Firefox の別のインスタンスを起動するには、csco_st という名前のユーザ プロファイルが必要です。このユーザ プロファイルが存在しない場合、セッションでは、このプロファイルの作成を求めるプロンプトが表示されます。

SSL ライブラリにダイナミックにリンクされている TCP を使用するアプリケーションは、スマート トンネルを介して動作できる。

Mac OS では、スマート トンネルは次をサポートしない。

プロキシ サービス

自動サインオン

2 つのレベルの名前スペースを使用するアプリケーション

Telnet、SSH、cURL などのコンソールベースのアプリケーション

dlopen または dlsym を使用して libsocket コールを見つけ出すアプリケーション

libsocket コールを見つけ出すスタティックにリンクされたアプリケーション

スマート トンネル アクセスに適格なアプリケーションの追加

各適応型セキュリティ アプライアンスのクライアントレス SSL VPN コンフィギュレーションは、 スマート トンネル リスト をサポートしています。各リストは、スマート トンネル アクセスに適格な 1 つ以上のアプリケーションを示します。各グループポリシーまたはユーザ名は 1 つのスマート トンネル リストのみをサポートするため、サポートされる各アプリケーションのセットをスマート トンネル リストにグループ化する必要があります。

プライベート サイトに接続するためにクライアントレス SSL VPN セッションを使用できるアプリケーションのリストにエントリを追加するには、webvpn コンフィギュレーション モードで次のコマンドを入力します。

smart-tunnel list list application path [ platform OS ] [ hash ]

リストからアプリケーションを削除するには、リストとアプリケーションの名前の両方を指定して、このコマンドの no 形式を使用します。

no smart-tunnel list list application

アプリケーションのリスト全体を適応型セキュリティ アプライアンス コンフィギュレーションから削除するには、リストのみを指定してこのコマンドの no 形式を使用します。

no smart-tunnel list list

list は、アプリケーションまたはプログラムのリストの名前です。名前にスペースが含まれている場合は、名前を引用符で囲みます。コンフィギュレーション内にリストが存在しない場合、CLI はリストを作成します。存在する場合は、エントリをそのリストに追加します。


) SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。


application は、スマート トンネル リスト内の各エントリに対する固有のインデックスとして機能する文字列です。通常は、スマート トンネル アクセスを許可されるアプリケーションに付けられる名前です。異なるパスまたはハッシュ値を指定するアプリケーションの複数バージョンをサポートするには、このアトリビュートを使用してエントリを差別化し、OS、および各リスト エントリによってサポートされているアプリケーションの名前とバージョンの両方を指定します。文字列は最大 64 文字です。スマート トンネル リストにすでに存在するエントリを変更するには、変更するエントリの名前を入力します。

path は、アプリケーションのファイル名と拡張子、またはアプリケーションのファイル名と拡張子を含むアプリケーションへのパスです。文字列は最大 128 文字です。

Windows では、アプリケーションにスマート トンネル アクセスを許可する場合に、この値とリモート ホストのアプリケーション パスの右側の値が完全に一致している必要があります。Windows でファイル名のみを指定すると、SSL VPN では、アプリケーションにスマート トンネル アクセスを許可する場合に、リモート ホストに対して場所の制限を強制しません。

アプリケーションのパスを指定し、ユーザが別の場所にインストールした場合は、そのアプリケーションは許可されません。アプリケーションは、入力する値と文字列と右側の値が一致している限り、任意のパスに配置できます。

アプリケーションがリモート ホストの複数のパスのいずれかに存在していて、そのアプリケーションにスマート トンネル アクセスを許可するには、 path 値を入力するときにアプリケーションの名前と拡張子だけを指定するか、または、それぞれのコマンドで同じ list 文字列を入力し、固有の application 文字列と path 値を指定して、各パスに対して smart-tunnel list コマンドを 1 回入力します。


) スマート トンネル アクセスで突然問題が発生する場合、Process Name 値がアップグレードされたアプリケーションに対して最新ではない可能性があります。たとえば、アプリケーションへのデフォルト パスは、そのアプリケーションおよび次のアップグレード版を製造する企業が買収されると変更されることがあります。


Windows の場合、コマンド プロンプトから開始したアプリケーションにスマート トンネル アクセスを追加する場合は、スマート トンネル リストの 1 つのエントリの Process Name に「cmd.exe」を追加し、別のエントリにアプリケーション自体へのパスを指定する必要があります。これは「cmd.exe」がアプリケーションの親であるためです。

Mac OS では、プロセスへのフル パスが必要です。また、このパスは大文字と小文字が区別されます。各ユーザ名のパスを指定しないようにするには、部分パスの前にチルダ(~)を入力します(例:~/bin/vnc)。

platform は、アプリケーションのホスト OS を示す windows または mac になります。デフォルト値は platform windows です。

hash (オプション)この値を得るには、アプリケーションのチェックサム(つまり、実行ファイルのチェックサム)を、SHA-1 アルゴリズムを使用してハッシュを計算するユーティリティに入力します。このようなユーティリティの例には、Microsoft File Checksum Integrity Verifier(FCIV)があります。これは、 http://support.microsoft.com/kb/841290/ から入手できます。FCIV をインストール後、ハッシュされるアプリケーションの一時コピーを、スペースを含まないパス(例:c:/fciv.exe)に配置し、コマンドラインで fciv.exe -sha1 application (例: fciv.exe -sha1 c:¥msimn.exe )を入力して、SHA-1 ハッシュを表示します。

SHA-1 ハッシュは、常に 40 桁の 16 進数文字です。

アプリケーションにスマート トンネル アクセスを許可する前に、クライアントレス SSL VPN は、 path と一致するアプリケーションのハッシュを計算します。結果が hash の値と一致する場合、アプリケーションにスマート トンネル アクセスを許可します。

ハッシュを入力することにより、SSL VPN が path で指定した文字列と一致する不正ファイルに許可を与えていないことを合理的に保証できます。チェックサムは、アプリケーションの各バージョンまたはパッチによって異なるため、入力する hash は、リモート ホスト上の 1 つのバージョンまたはパッチとのみ一致します。アプリケーションの複数バージョンの hash を指定するには、同じ list 文字列を入力し、固有の application 文字列と固有の hash 値を指定して、各バージョンに対して smart-tunnel list コマンドを 1 回入力します。


hash 値を入力し、アプリケーションの今後のバージョンまたはパッチでのスマート トンネル アクセスをサポートする場合は、今後もスマート トンネル リストを維持する必要があります。スマート トンネル アクセスで突然問題が発生する場合、hash 値を含んでいるアプリケーション リストが、アップグレードされたアプリケーションに対して最新ではない可能性があります。この問題は、hash を入力しないことで回避できます。


 

表 70-6 smart-tunnel コマンドの例

機能
OS
コマンド

Lotus SameTime を lotus という名前のスマート トンネル リストに追加します。

Windows(デフォルト プラットフォーム)

smart-tunnel list lotus LotusSametime connect.exe

Domino Server 6.5.5 を備えた Lotus 6.0 シック クライアントを追加します。

Windows

smart-tunnel list lotus lotusnotes notes.exefs
smart-tunnel list lotus lotusnlnotes nlnotes.exe
smart-tunnel list lotus lotusntaskldr ntaskldr.exe
smart-tunnel list lotus lotusnfileret nfileret.exe

コマンド プロンプトを、apps という名前のスマート トンネル リストに追加します。

注: これは、コマンド プロンプトから起動した Microsoft Windows アプリケーションへのスマート トンネル アクセスを提供するために必要です。アプリケーション自体をリストに追加する必要もあります。

Windows

smart-tunnel list apps CommandPrompt cmd.exe

Windows Outlook Express を追加します。

Windows

smart-tunnel list apps OutlookExpress msimn.exe

Windows Outlook Express を追加し、リモート ホストのパスが文字列と一致した場合にだけ、スマート トンネルのサポートを許可します。

Windows

smart-tunnel list apps OutlookExpress "¥Program Files¥Outlook Express¥msimn.exe"

Windows Outlook Express を追加し、そのハッシュが文字列と一致した場合にだけスマート トンネルのサポートを許可します。

Windows

smart-tunnel list apps OutlookExpress msimn.exe 4739647b255d3ea865554e27c3f96b9476e75061

Safari を追加し、リモート ホストのパスが文字列と一致した場合にだけ、スマート トンネルのサポートを許可します。

Mac OS

smart-tunnel list apps Safari "/Applications/Safari" platform mac

新しいターミナル ウィンドウにスマート トンネルのサポートを追加します。

Mac OS

smart-tunnel list apps Terminal terminal platform mac

Mac ターミナル ウィンドウから起動したアプリケーションにスマート トンネルのサポートを追加します。引用符内の Terminal の後の語がすべてコマンドラインに入ります。

Mac OS

smart-tunnel list apps Terminal "terminal open -a MacTelnet" platform mac

VNC 実行ファイルへのユーザ パスにかかわらず、VNC にスマート トンネルのサポートを追加します。

Mac OS

smart-tunnel list apps vnc "~/bin/vnc" platform mac

スマート トンネル リストのコンフィギュレーションに続き、次の項で説明するように、リストをグループポリシーまたはユーザ名に割り当てます。

スマート トンネル リストの割り当て

グループポリシーとユーザ名ごとに、次のいずれかを行うようにクライアントレス SSL VPN を設定できます。

ユーザのログイン時に自動的にスマート トンネル アクセスを開始する。

ユーザのログイン時にスマート トンネル アクセスをイネーブルにするが、ユーザはクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを手動で開始するようにユーザに要求する。


) これらのオプションは、各グループポリシーとユーザ名に対して互いに排他的です。1 つだけ使用してください。


表 70-7 は、各グループポリシーとユーザ名で使用可能な smart tunnel コマンドをリストしています。各グループポリシーとユーザ名のコンフィギュレーションは、一度にこれらのコマンドの 1 つだけサポートします。そのため、1 つのコマンドを入力すると、適応型セキュリティ アプライアンスが、該当のグループポリシーまたはユーザ名のコンフィギュレーションに存在するコマンドを新しいコマンドで置き換えます。または、最後のコマンドの場合、グループポリシーまたはユーザ名にすでに存在する smart-tunnel コマンドが単純に削除されます。

 

表 70-7 グループポリシーとユーザ名 webvpn の Smart Tunnel コマンド

コマンド
説明

smart-tunnel auto-start list

ユーザのログイン時に自動的にスマート トンネル アクセスを開始します。

smart-tunnel enable list

ユーザのログイン時にスマート トンネル アクセスをイネーブルにしますが、ユーザはクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを手動で開始する必要があります。

smart-tunnel disable

スマート トンネル アクセスを禁止します。

no smart-tunnel [ auto-start list | enable list | disable ]

smart-tunnel コマンドがグループポリシーまたはユーザ名コンフィギュレーションから削除され、[ no ] smart-tunnel コマンドがデフォルト グループポリシーから継承されます。 no smart-tunnel コマンドの後にあるキーワードはオプションですが、これらのキーワードにより削除対象をその名前の smart-tunnel コマンドに限定します。

詳細については、使用するオプションについて記載している項を参照してください。

スマート トンネル ポリシーの設定

スマート トンネル ポリシーは、グループポリシーまたはユーザ名単位の設定が必要です。各グループポリシーまたはユーザ名は、グローバルに設定されたネットワークのリストを参照します。スマート トンネルをオンにすると、トンネル外部のトラフィックに、ネットワーク(ホストのセット)を設定する CLI および指定されたスマート トンネル ネットワークを使用してユーザに対してポリシーを適用する CLI の 2 つの CLI を使用できます(下の「トンネル ポリシーの適用」の項を参照してください)。次のコマンドによって、スマート トンネル ポリシーを設定するために使用するホストのリストが作成されます。

ciscoasa(config-webvpn)# [no] smart-tunnel network <network name> ip <ip> <netmask>
ciscoasa(config-webvpn)# [no] smart-tunnel network <network name> host <host mask>
 

<network name> は、トンネル ポリシーに適用する名前

<ip address> は、ネットワークの IP アドレス

<netmask> は、ネットワークのネットマスク

<host mask> は、ホスト名マスク(*.cisco.com など)

トンネル ポリシーの適用

次のコマンドによって、特定のグループまたはユーザ ポリシーにスマート トンネル ポリシーが適用されます。

ciscoasa(config-group-webvpn)# [no] smart-tunnel tunnel-policy ((excludespecified | tunnelspecified) <network name> | tunnelall)
 
ciscoasa(config-username-webvpn)# [no smart-tunnel tunnel-policy ((excludespecified | tunnelspecified) <network name> | tunnelall)
 

<network name> は、トンネリングされるネットワークのリスト。

<tunnelall> は、すべてをトンネリング(暗号化)する。

tunnelspecified は、ネットワーク名で指定されたネットワークだけをトンネリングする。

excludespecified は、ネットワーク名で指定されたネットワークの外部のネットワークだけをトンネリングする。

スマート トンネルのトンネル ポリシーの設定

SSL VPN クライアントでのスプリット トンネル設定と同様に、スマート トンネルのトンネル ポリシーはグループポリシーおよびユーザ名単位の設定です。各グループポリシーおよびユーザ名は、グローバルに設定されたネットワークのリストを参照します。

ciscoasa(config-group-webvpn)# [no] smart-tunnel tunnel-policy ((excludespecified | tunnelspecified) <network name> | tunnelall)
ciscoasa(config-username-webvpn)# [no] smart-tunnel tunnel-policy ((excludespecified | tunnelspecified) <network name> | tunnelall)
 

<network name> は、トンネリングされるネットワークのリスト。

<tunnelall> は、すべてをトンネリング(暗号化)する。

tunnelspecified は、ネットワーク名で指定されたネットワークだけをトンネリングする。

excludespecified は、ネットワーク名で指定されたネットワークの外部のネットワークだけをトンネリングする。

スマート トンネルのトンネル ポリシーの適用

次のいずれかのコマンドを使用して、グループポリシーおよびユーザ ポリシーにトンネル ポリシーを適用します。一方のコマンドによってホストが指定され、他方のコマンドによってネットワーク IP が指定されます。

ciscoasa(config-webvpn)# [no] smart-tunnel network <network name> ip <ip> <netmask>
ciscoasa(config-webvpn)# [no] smart-tunnel network <network name> host <host mask>
<network name> Name of network to apply to tunnel policy
<ip address> IP address of a network
<netmask> Netmask of a network
<host mask> Hostname mask, such as *.cisco.com

 

たとえば、パートナーがログイン時に最初にクライアントレス ポータルを介さずに内部インベントリ サーバ ページにクライアントレス アクセスできるようにしたいとベンダーが考えている場合、スマート トンネルのトンネル ポリシー設定は適切なオプションです。ベンダーは次の手順を行って、スマート トンネルのトンネル ポリシーをセットアップします。


ステップ 1 1 つのホストだけを含むトンネル ポリシーを作成します(次の例では、インベントリ ページは inv.vendor.com [10.5.2.2] でホストされているものと仮定します)。


) ホストの IP アドレスおよび名前の両方を設定します。


ciscoasa(config-webvpn)# smart-tunnel network inventory ip 10.5.2.2
ciscoasa(config-webvpn)# smart-tunnel network inventory host inv.vendor.com
 

ステップ 2 次のコマンドを使用して、パートナーのグループポリシーに指定したトンネルのトンネル ポリシー適用します。

ciscoasa(config-group-webvpn)# smart-tunnel tunnel-policy tunnelspecified inventory
 

ステップ 3 (オプション)グループポリシーのホーム ページを指定して、そのページでスマート トンネルをイネーブルにすることもできます。

ciscoasa(config-group-webvpn)# homepage value http://inv.vendor.com
ciscoasa(config-group-webvpn)# homepage use-smart-tunnel
 

ステップ 4 (オプション)スマート トンネルをイネーブルにした状態でブラウザによって開始されたすべてのプロセスはトンネルにアクセスできるため、デフォルトでは、スマート トンネル アプリケーションの設定は必須ではありません。ただし、ポータルが表示されないため、ログアウト通知アイコンをイネーブルにできます。

ciscoasa(config-webvpn)# smart-tunnel notification-icon


 

スマート トンネルの自動サインオンの設定

次の項では、スマート トンネル接続での自動サインオンを提供するサーバのリストを作成し、そのリストをグループポリシーまたはユーザ名に割り当てる方法について説明します。

スマート トンネルの自動サインオンのサーバの指定

[Add Smart Tunnel Auto Sign-on Server List] ダイアログ ボックスで、スマート トンネルのセットアップ中にログイン クレデンシャルの送信を自動化するサーバの 1 つ以上のリストを追加できます。[Edit Smart Tunnel Auto-signon Server List] ダイアログ ボックスでは、これらのリストの内容を変更できます。

スマート トンネル接続でクレデンシャルの送信を自動化するサーバのリストを作成するには、webvpn コンフィギュレーション モードで次のコマンドを入力します。

[ no ] smart-tunnel auto-signon list [ use-domain ] { ip ip-address [ netmask ] | host hostname-mask }

リストに追加するサーバごとにこのコマンドを使用します。リストからエントリを削除するには、適応型セキュリティ アプライアンス コンフィギュレーションに表示されているとおりに、リストと IP アドレスまたはホスト名を指定して、このコマンドの no 形式を使用します。スマート トンネルの自動サインオン リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn smart-tunnel コマンドを入力します。

サーバのリスト全体を適応型セキュリティ アプライアンス コンフィギュレーションから削除するには、次のようにリストのみを指定してこのコマンドの no 形式を使用します。

no smart-tunnel auto-signon list

list には、リモート サーバのリストの名前を指定します。名前にスペースが含まれている場合は、名前を引用符で囲みます。文字列は最大 64 文字です。コンフィギュレーション内にリストが存在しない場合、適応型セキュリティ アプライアンスはリストを作成します。存在する場合は、エントリをそのリストに追加します。他のリストとその内容や目的を区別しやすい名前を割り当てます。

use-domain (オプション)認証で必要な場合は、Windows ドメインをユーザ名に追加します。このキーワードを入力する場合は、スマート トンネル リストを 1 つ以上のグループポリシーまたはユーザ名に割り当てるときにドメイン名を指定してください。

ip には、サーバの IP アドレスとネットマスクを指定します。

ip-address [ netmask ] には、自動認証先のホストのサブネットワークを指定します。

host には、サーバのホスト名またはワイルドカード マスクを指定します。このオプションを使用すると、コンフィギュレーションを IP アドレスのダイナミックな変更から保護されます。

hostname-mask は、自動認証先のホスト名またはワイルドカード マスクです。

次のコマンドでは、サブネット内のすべてのホストを追加し、認証で必要な場合は、Windows ドメインをユーザ名に追加します。

asa2(config-webvpn)# smart-tunnel auto-signon HR use-domain ip 192.32.22.56 255.255.255.0
 

次のコマンドでは、リストからエントリを削除します。

asa2(config-webvpn)# no smart-tunnel auto-signon HR use-domain ip 192.32.22.56 255.255.255.0
 

上記のコマンドでは、削除されたエントリがリスト内の唯一のエントリであった場合に、HR という名前のリストも削除します。それ以外の場合は、次のコマンドで、適応型セキュリティ アプライアンス コンフィギュレーションからエントリ リストを削除します。

asa2(config-webvpn)# no smart-tunnel auto-signon HR
 

次のコマンドでは、ドメイン内のすべてのホストを、intranet という名前のスマート トンネル自動サインオン リストに追加します。

asa2(config-webvpn)# smart-tunnel auto-signon intranet host *.exampledomain.com
 

次のコマンドでは、リストからエントリを削除します。

asa2(config-webvpn)# no smart-tunnel auto-signon intranet host *.exampledomain.com
 

スマート トンネル自動サインオン サーバ リストのコンフィギュレーションに続き、次の項で説明するように、そのリストをグループポリシーまたはローカル ユーザ ポリシーに割り当ててアクティブにする必要があります。

スマート トンネル自動サインオン サーバ エントリの追加または編集

クライアントレス(ブラウザベース)SSL VPN セッションでスマート トンネル自動サインオンをイネーブルにするには、グループポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで smart-tunnel auto-signon enable コマンドを使用します。

[ no ] smart-tunnel auto-signon enable list [ domain domain ]

smart-tunnel auto-signon enable コマンドをグループポリシーまたはユーザ名から削除し、コマンドをデフォルト グループポリシーから継承するには、このコマンドの no 形式を使用します。

list は、適応型セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するスマート トンネル自動サインオン リストの名前です。SSL VPN コンフィギュレーション内のスマート トンネル自動サインオン リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn smart-tunnel コマンドを入力します。

domain domain (オプション)は、認証中にユーザ名に追加されるドメインの名前です。ドメインを入力する場合は、リスト エントリ内に use-domain キーワードを入力します。

スマート トンネル自動サインオン機能は、Microsoft WININET ライブラリを使用して HTTP および HTTPS と通信するアプリケーションだけをサポートします。たとえば、Microsoft Internet Explorer では、Web サーバとの通信に WININET ダイナミック リンク ライブラリを使用します。

最初に smart-tunnel auto-signon list コマンドを使用して、サーバのリストを作成する必要があります。グループポリシーまたはユーザ名には 1 つのリストだけ追加できます。

次のコマンドでは、HR という名前のスマート トンネル自動サインオン リストをイネーブルにします。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# smart-tunnel auto-signon enable HR
hostname(config-group-webvpn)
 

次のコマンドでは、HR という名前のスマート トンネル自動サインオン リストをイネーブルにし、認証中 CISCO という名前のドメインをユーザ名に追加します。

hostname(config-group-webvpn)# smart-tunnel auto-signon enable HR domain CISCO
 

次のコマンドでは、HR という名前のスマート トンネル自動サインオン リストをグループポリシーから削除し、スマート トンネル自動サインオン リスト コマンドがデフォルト グループポリシーから継承されます。

hostname(config-group-webvpn)# no smart-tunnel auto-signon enable HR
 

スマート トンネル アクセスの自動化

ユーザのログイン時にスマート トンネル アクセスを自動的に開始するには、グループポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで次のコマンドを入力します。

smart-tunnel auto-start list

list は、適応型セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。複数のスマート トンネル リストをグループポリシーまたはユーザ名に割り当てることはできません。SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。


) MAC OS X の場合は、自動開始設定が行われていてもいなくても、ポータルの [Application Access] パネルにあるアプリケーションのリンクをクリックする必要があります。


smart-tunnel コマンドをグループポリシーまたはユーザ名から削除し、[ no ] smart-tunnel コマンドをデフォルト グループポリシーから継承するには、このコマンドの no 形式を使用します。

no smart-tunnel

次のコマンドは、apps1 という名前のスマート トンネル リストをグループポリシーに割り当てます。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# smart-tunnel auto-start apps1
 

スマート トンネル アクセスのイネーブル化とディセーブル化

デフォルトでは、スマート トンネルはディセーブルになっています。スマート トンネル アクセスをイネーブルにした場合、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを手動で開始する必要があります。 smart-tunnel enable list コマンドの代わりに、前の項で説明した smart-tunnel auto-start list コマンドを入力した場合は、ユーザはスマート トンネル アクセスを手動で開始する必要はありません。

スマート トンネル アクセスをイネーブルにするには、グループポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで次のコマンドを入力します。

smart-tunnel [ enable list | disable ]

list は、適応型セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。複数のスマート トンネル リストをグループポリシーまたはユーザ名に割り当てることはできません。SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。

smart-tunnel コマンドをグループポリシーまたはローカル ユーザ ポリシーから削除し、[ no ] smart-tunnel コマンドをデフォルト グループポリシーから継承するには、このコマンドの no 形式を使用します。

no smart-tunnel

次のコマンドは、apps1 という名前のスマート トンネル リストをグループポリシーに割り当てます。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# smart-tunnel enable apps1
 

次のコマンドは、スマート トンネル アクセスをディセーブルにします。

hostname(config-group-webvpn)# smart-tunnel disable
 

スマート トンネルからのログオフ

ここでは、スマート トンネルからの適切なログオフ方法について説明します。すべてのブラウザ ウィンドウを閉じる(親アフィニティ)か、通知アイコンを右クリックしてログアウトを確認すると、スマート トンネルからログオフできます。


) ポータルにあるログアウト ボタンを使用することを強くお勧めします。この方法は、クライアントレス SSL VPN 用であり、スマート トンネルが使用されているかどうかに関係なくログオフが行われます。通知アイコンは、ブラウザを使用しないスタンドアロン アプリケーションを使用する場合に限り使用する必要があります。


親アフィニティ

この方法では、ログオフを示すためにすべてのブラウザを閉じることが必要です。スマート トンネルのライフタイムは現在、プロセスのライフタイムの開始に結び付けられています。たとえば、Internet Explorer からスマート トンネルと開始した場合、iexplore.exe が実行されていないとスマート トンネルがオフになります。スマート トンネルは、ユーザがログアウトせずにすべてのブラウザを閉じた場合でも、VPN セッションが終了したと判断します。


) 場合によっては、ブラウザ プロセスがエラーの結果として、意図的にではなく残っていることがあります。また、Secure Desktop を使用しているときに、ユーザが Secure Desktop 内ですべてのブラウザを閉じてもブラウザ プロセスが別のデスクトップで実行されている場合があります。したがって、スマート トンネルは、現在のデスクトップで表示されているウィンドウがない場合にすべてのブラウザ インスタンスが終了したと見なします。


次のコマンドは、ブラウザ ウィンドウを閉じることでログアウトを行うのではなく、ログアウト プロパティを設定し、ユーザにログアウトのためのログアウト アイコンが提示されるかどうかを制御します。またこのコマンドは、通知アイコンをオンまたはオフにすると自動的にオンまたはオフになる親アフィニティを制御します。


) ポータルのログアウトは引き続き有効であり、影響を受けません。


管理者が通知アイコンをグローバルでオンにするには、次の CLI コマンドを使用します。


) この CLI の no 形式がデフォルトです。この場合、すべてのブラウザ ウィンドウを閉じることで SSL VPN セッションからログオフします。


管理者が通知アイコンをグローバルでオンにするには、次のコマンドを使用します。

(注) このコマンドの no 形式がデフォルトです。この場合、すべてのブラウザ ウィンドウを閉じることで SSL VPN セッションからログオフします。

ciscoasa(config-webvpn)# [no] smart-tunnel notification-icon
 

通知アイコン は、ログアウトのためにアイコンを使用するタイミングを指定するキーワードである。

 

(アイコンの使用に関係なく)プロキシを使用して適応型セキュリティ アプライアンスにアクセスしている場合、最後のピリオドを含めた次の文字列をプロキシ リストの例外に追加して、ログオフ時にスマート トンネルを適切に閉じられるようにします。

*.webvpn.

通知アイコン

ブラウザを閉じてもセッションが失われないようにするために、親アフィニティをディセーブルにすることもできます。この方法では、システム トレイの通知アイコンを使用してログアウトします。アイコンは、次回に接続を試行するまで残ります。セッション ステータスがシステム トレイで更新されるまで時間がかかることがあります。


) このアイコンが、SSL VPN からログアウトする別の方法です。これは、VPN セッション ステータスのインジケータではありません。


ポート転送について

ポート転送により、ユーザはクライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションにアクセスできます。TCP ベースのアプリケーションには次のようなものがあります。

Lotus Notes

Microsoft Outlook

Microsoft Outlook Express

Perforce

Sametime

Secure FTP(FTP over SSH)

SSH

TELNET

Windows Terminal Service

XDDTS

その他の TCP ベースのアプリケーションも動作する可能性はありますが、シスコではテストを行っていません。UDP を使用するプロトコルは動作しません。

ポート転送を使用する理由

ポート転送は、クライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションをサポートするためのレガシー テクノロジーです。ポート転送テクノロジーをサポートする設定を事前に構築している場合は、ポート転送の使用を選択することもできます。

ポート転送の代替方法として次を検討してください。

スマート トンネル アクセスを使用すると、ユーザには次のような利点があります。

スマート トンネルは、プラグインよりもパフォーマンスが向上します。

ポート転送とは異なり、スマート トンネルでは、ローカル ポートへのローカル アプリケーションのユーザ接続を要求しないことにより、ユーザ エクスペリエンスが簡略化されます。

ポート転送とは異なり、スマート トンネルでは、ユーザは管理者特権を持つ必要がありません。

ポート転送およびスマート トンネル アクセスとは異なり、プラグインでは、クライアント アプリケーションをリモート コンピュータにインストールする必要がありません。

適応型セキュリティ アプライアンスでポート転送を設定する場合は、アプリケーションが使用するポートを指定します。スマート トンネル アクセスを設定する場合は、実行ファイルまたはそのパスの名前を指定します。

ポート転送の要件と制限事項

「クライアントレス SSL VPN のシステム要件について」の要件に加えて、次の要件と制限事項が Windows でのスマート トンネル アクセスに適用されます。

リモート ホストで、次のいずれかの 32 ビット バージョンが実行されている必要がある。

Microsoft Windows Vista および Windows XP SP2 または SP3

Safari 2.0.4(419.3)を備えた Apple Mac OS X 10.5

Fedora Core 4

Mac OS X 10.5.3 上の Safari のブラウザベースのユーザは、Safari での URL の解釈方法に従って、使用するクライアント証明書を、1 回目は末尾にスラッシュを含め、もう 1 回はスラッシュを含めずに、適応型セキュリティ アプライアンスの URL を使用して指定する必要があります。次に例を示します。

https://example.com/

https://example.com

詳細については、『 Safari, Mac OS X 10.5.3: Changes in client certificate authentication 』を参照してください。

ポート転送またはスマート トンネルを使用する Microsoft Windows Vista ユーザは、ASA の URL を 信頼済みサイト ゾーンに追加する。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista ユーザは、保護モードをディセーブルにしてスマート トンネル アクセスの使用もできます。ただし、コンピュータが攻撃を受けやすくなるため、この方法の使用はお勧めしません。

ポート転送は、スタティック TCP ポートを使用する TCP アプリケーションのみをサポートしています。ダイナミック ポートまたは複数の TCP ポートを使用するアプリケーションはサポートしていません。たとえば、ポート 22 を使用する SecureFTP は、クライアントレス SSL VPN のポート転送を介して動作しますが、ポート 20 と 21 を使用する標準 FTP は動作しません。

ポート転送は、UDP を使用するプロトコルをサポートしていません。

セキュリティ アプライアンスは、Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。MAPI プロトコルを使用する Microsoft Outlook Exchange 通信には、リモート ユーザは AnyConnect を使用する必要があります。

ステートフル フェールオーバーでは、Application Access(ポート転送またはスマート トンネル アクセス)を使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

ポート転送は、Personal Digital Assistants(PDA; 携帯情報端末)への接続はサポートしていません。

ポート転送をブラウザでイネーブルにするには、ActiveX または Sun JRE 5 Update 1.5 以降(JRE 6 以降を推奨)が必要です。


注意 JRE 1.4.x が実行中で、ユーザがデジタル証明書で認証される場合、JRE は Web ブラウザの証明書ストアにアクセスできないため、アプリケーションは起動しません。

ポート転送を使用するには、Java アプレットをダウンロードしてローカル クライアントを設定する必要があります。これには、ローカル システムに対する管理者の許可が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。

Java アプレットは、エンド ユーザの HTML インターフェイスにあるアプレット独自のウィンドウに表示されます。このウィンドウには、ユーザが使用できる転送ポートのリストの内容、アクティブなポート、および送受信されたトラフィック量(バイト単位)が表示されます。

ポート転送も ASDM Java アプレットも、デジタル証明書を使用するユーザ認証では動作しません。Java には、Web ブラウザ キーストアにアクセスする機能はありません。このため、Java はブラウザがユーザの認証に使用する証明書を使用できず、アプリケーションは起動できません。

ポート転送用の DNS の設定

ポート転送では、リモート サーバのドメイン名またはその IP アドレスを ASA に転送して、解決および接続を行います。つまり、ポート転送アプレットは、アプリケーションからの要求を受け入れて、その要求を ASA に転送します。ASA は適切な DNS クエリーを作成し、ポート転送アプレットの代わりに接続を確立します。ポート転送アプレットは、ASA に対する DNS クエリーだけを作成します。ポート転送アプレットはホスト ファイルをアップデートして、ポート転送アプリケーションが DNS クエリーを実行したときに、クエリーがループバック アドレスにリダイレクトされるようにします。次のように、DNS 要求をポート転送アプレットから受け入れるように、適応型セキュリティ アプライアンスを設定します。


ステップ 1 dns server-group モードに入るには、グローバル コンフィギュレーション モードの dns server-group コマンドを使用します。次に、 domain-name コマンドを使用してドメイン名を指定し、 name-server コマンドを使用して、ドメイン名を IP アドレスに解決します。domain-name のデフォルト設定は DefaultDNS です。

次の例では、example.com という名前の DNS サーバ グループを設定します。

hostname(config)# dns server-group example.com
hostname(config-dns-server-group)# domain-name example.com
hostname(config-dns-server-group)# name-server 192.168.10.10
 

ステップ 2 (デフォルトの [DefaultDNS] 以外のドメイン名を使用している場合だけ必須):tunnel-group webvpn コンフィギュレーション モードで dns-group コマンドを使用して、トンネル グループが使用するドメイン名を指定します。デフォルトでは、セキュリティ アプライアンスがクライアントレス接続のデフォルトのトンネル グループとして DefaultWEBVPNGroup を割り当てます。適応型セキュリティ アプライアンスでクライアントレス接続への設定の割り当てにこのトンネル グループを使用している場合は、この手順に従います。それ以外の場合は、クライアントレス接続に対して設定されたトンネルごとにこの手順を実行します。

次に例を示します。

asa2(config-dns-server-group)# exit
asa2(config)# tunnel-group DefaultWEBVPNGroup webvpn-attributes
asa2(config-tunnel-webvpn)# dns-group example.com


 

ポート転送に適格なアプリケーションの追加

各適応型セキュリティ アプライアンスのクライアントレス SSL VPN コンフィギュレーションは、 ポート転送リスト をサポートしています。それぞれのリストでは、アクセスを提供するアプリケーションが使用するローカル ポートとリモート ポートを指定します。各グループポリシーまたはユーザ名は 1 つのポート転送リストのみをサポートするため、サポートされる各アプリケーションのセットをグループ化してリストを作成する必要があります。適応型セキュリティ アプライアンス コンフィギュレーションにすでに存在するポート転送リストのエントリを表示するには、特権 EXEC モードで次のコマンドを入力します。

show run webvpn port-forward

ポート転送のエントリをリストに追加するには、webvpn コンフィギュレーション モードで次のコマンドを入力します。

port-forward { list_name local_port remote_server remote_port description }

list_name :クライアントレス SSL VPN セッションのユーザがアクセスするアプリケーションのセット(理論的には、転送 TCP ポートのセット)の名前です。名前を認識しない場合、適応型セキュリティ アプライアンスは、ユーザが入力した名前を使用してリストを作成します。認識した場合は、そのポート転送のエントリをリストに追加します。最大文字数は 64 文字です。

local_port :ユーザのコンピュータで実行しているアプリケーションの TCP トラフィックをリスンするポートです。ローカル ポートの番号は、各ポート転送リストに対して一度だけ使用できます。1 ~ 65535 の範囲のポート番号またはポート名を入力します。既存サービスとの衝突を避けるためには、1024 より大きいポート番号を使用します。

remote_server :アプリケーションに対するリモート サーバの DNS 名または IP アドレスです。IP アドレスは IPv4 または IPv6 形式で指定できます。特定の IP アドレス用にクライアント アプリケーションを設定しなくて済むように、DNS 名を指定することをお勧めします。


注意 DNS 名は、前の項で説明した手順に従って、トンネルを確立し、IP アドレスに解決するためにトンネル グループに割り当てられた DNS 名と一致する必要があります。その項で説明した domain-name group および dns-group の両方のコマンドに対するデフォルト設定は DefaultDNS です。

remote_port :このアプリケーションが接続するリモート サーバのポートです。これは、アプリケーションが使用する実際のポートです。1 ~ 65535 の範囲のポート番号またはポート名を入力します。

description :エンド ユーザの Port Forwarding Java アプレット画面に表示されるアプリケーション名または簡単な説明です。最大文字数は 64 文字です。

リストからエントリを削除するには、リストとローカル ポートの両方を指定して、このコマンドの no 形式を使用します。この場合、remoteserver、remoteport、および description はオプションです。

no port-forward list_name local_port

次の表に、アプリケーションの例に使用される値を示します。

 

アプリケーション
ローカル ポート
サーバ DNS 名
リモート ポート
説明

IMAP4S e-mail

20143

IMAP4Sserver

143

Get Mail

SMTPS e-mail

20025

SMTPSserver

25

Send Mail

DDTS over SSH

20022

DDTSserver

22

DDTS over SSH

Telnet

20023

Telnetserver

23

Telnet

次の例は、これらのアプリケーションにアクセスを提供する SalesGroupPorts と呼ばれるポート転送リストを作成する方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# port-forward SalesGroupPorts 20143 IMAP4Sserver 143 Get Mail
hostname(config-webvpn)# port-forward SalesGroupPorts 20025 SMTPSserver 25 Send Mail
hostname(config-webvpn)# port-forward SalesGroupPorts 20022 DDTSserver 22 DDTS over SSH
hostname(config-webvpn)# port-forward SalesGroupPorts 20023 Telnetserver 23 Telnet
 

ポート転送リストの設定に続けて、次の項で説明するように、そのリストをグループポリシーまたはユーザ名に割り当てます。

ポート転送リストの割り当て

グループポリシーとユーザ名ごとに、次のいずれかを行うようにクライアントレス SSL VPN を設定できます。

ユーザのログイン時に自動的にポート転送アクセスを開始する。

ユーザのログイン時にポート転送アクセスをイネーブル化するが、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、ポート転送を手動で開始するようにユーザに要求する。


) これらのオプションは、各グループポリシーとユーザ名に対して互いに排他的です。1 つだけ使用してください。


表 70-8 は、各グループポリシーとユーザ名で使用可能な port-forward コマンドをリストしています。各グループポリシーとユーザ名のコンフィギュレーションは、これらのコマンドを一度に 1 つだけサポートします。そのため、1 つのコマンドを入力すると、適応型セキュリティ アプライアンスが、該当のグループポリシーまたはユーザ名のコンフィギュレーションに存在するコマンドを新しいコマンドで置き換えます。または、後者のコマンドの場合は、グループポリシーまたはユーザ名コンフィギュレーションから port-forward コマンドが単純に削除されます。

 

表 70-8 グループポリシーとユーザ名の webvpn port-forward コマンド

コマンド
説明

port-forward auto-start list_name

ユーザのログイン時に自動的にポート転送を開始します。

port-forward enable list_name

ユーザのログイン時にポート転送をイネーブルにしますが、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、ポート転送を手動で開始する必要があります。

port-forward disable

ポート転送を禁止します。

no port-forward [ auto-start list_name | enable list_name | disable ]

port-forward コマンドをグループポリシーまたはユーザ名コンフィギュレーションから削除し、[ no ] port-forward コマンドをデフォルト グループポリシーから継承します。 no port-forward コマンドの後にあるキーワードはオプションですが、これらのキーワードは削除対象をその名前の port-forward コマンドに限定します。

詳細については、使用するオプションについて記載している項を参照してください。

ポート転送の自動化

ユーザのログイン時にポート転送を自動的に開始するには、グループポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで次のコマンドを入力します。

port-forward auto-start list_name

list_name は、適応型セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するポート転送リストの名前です。複数のポート転送リストをグループポリシーまたはユーザ名に割り当てることはできません。適応型セキュリティ アプライアンス コンフィギュレーションに存在するポート転送リストを表示するには、特権 EXEC モードで show run webvpn port-forward コマンドを入力します。

port-forward コマンドをグループポリシーまたはユーザ名から削除し、[ no ] port-forward コマンドをデフォルト グループポリシーから継承するには、このコマンドの no 形式を使用します。

no port-forward

次のコマンドは、apps1 という名前のポート転送リストをグループポリシーに割り当てます。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# port-forward auto-start apps1
 

ポート転送のイネーブル化とディセーブル化

デフォルトでは、ポート転送はディセーブルになっています。ポート転送をイネーブルにした場合、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、ポート転送を手動で開始する必要があります。port-forward enable l ist_name コマンドの代わりに、前の項で説明した port-forward auto-start list_name コマンドを入力した場合は、ユーザはポート転送を使用するために手動で開始する必要がありません。

ポート転送をイネーブルまたはディセーブルにするには、グループポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで次のコマンドを入力します。

port-forward [ enable list_name | disable ]

list_name は、適応型セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するポート転送リストの名前です。複数のポート転送リストをグループポリシーまたはユーザ名に割り当てることはできません。ポート転送リスト エントリを表示するには、特権 EXEC モードで show running-config port-forward コマンドを入力します。

port-forward コマンドをグループポリシーまたはユーザ名から削除し、[ no ] port-forward コマンドをデフォルト グループポリシーから継承するには、このコマンドの no 形式を使用します。

no port-forward

次のコマンドは、apps1 という名前のポート転送リストをグループポリシーに割り当てます。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# port-forward enable apps1
 

次のコマンドはポート転送をディセーブルにします。

hostname(config-group-webvpn)# port-forward disable
 

Application Access ユーザへの注記

次の項では、Application Access の使用についての情報を提供します。

Vista での Application Access の使用

hosts ファイル エラーを回避するための Application Access の終了

Application Access 使用時の hosts ファイル エラーからの回復


) セキュリティ アプライアンスは、Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。スマート トンネル機能もポート転送も MAPI をサポートしません。MAPI プロトコルを使用する Microsoft Outlook Exchange 通信には、リモート ユーザは AnyConnect を使用する必要があります。


Vista での Application Access の使用

スマート トンネルまたはポート転送を使用する Microsoft Windows Vista ユーザは、ASA の URL を 信頼済みサイト ゾーンに追加する必要があります。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista ユーザは、保護モードをディセーブルにしてスマート トンネル アクセスの使用もできます。ただし、コンピュータが攻撃を受けやすくなるため、この方法の使用はお勧めしません。

hosts ファイル エラーを回避するための Application Access の終了

Application Access の実行の妨げになる hosts ファイル エラーを回避するために、Application Access を使用し終えたら、Application Access ウィンドウを必ず閉じるようにします。ウィンドウを閉じるには、[Close] アイコンをクリックします。

Application Access 使用時の hosts ファイル エラーからの回復

Application Access ウィンドウを正しく閉じないと、次のエラーが発生する可能性があります。

次に Application Access を起動しようとしたときに、Application Access がディセーブルになっていて、 Backup HOSTS File Found エラー メッセージが表示される。

アプリケーションをローカルで実行している場合でも、アプリケーション自体がディセーブルになっているか、または動作しない。

このようなエラーは、Application Access ウィンドウを不適切な方法で終了したことが原因です。次に例を示します。

Application Access の使用中に、ブラウザがクラッシュした。

Application Access の使用中に、停電またはシステム シャットダウンが発生した。

作業中に Application Access ウィンドウを最小化し、このウィンドウがアクティブな状態(ただし最小化されている)でコンピュータをシャットダウンした。

この項は、次の内容で構成されています。

hosts ファイルの概要

不正な Application Access の終了

クライアントレス SSL VPN による hosts ファイルの自動再設定

手動による hosts ファイルの再設定

hosts ファイルの概要

ローカル システム上の hosts ファイルは、IP アドレスをホスト名にマッピングしています。Application Access を起動すると、クライアントレス SSL VPN は hosts ファイルを修正し、クライアントレス SSL VPN 固有のエントリを追加します。Application Access ウィンドウを正しく閉じて Application Access を終了すると、hosts ファイルは元の状態に戻ります。

 

Application Access の起動前

hosts ファイルは元の状態です。

Application Access の起動時

クライアントレス SSL VPN は hosts ファイルを hosts.webvpn にコピーして、バックアップを作成します。

次に、クライアントレス SSL VPN は hosts ファイルを編集し、クライアントレス SSL VPN 固有の情報を挿入します。

Application Access の終了時

クライアントレス SSL VPN はバックアップ ファイルを hosts ファイルにコピーして、hosts ファイルを元の状態に戻します。

クライアントレス SSL VPN は、hosts.webvpn を削除します。

Application Access の終了後

hosts ファイルは元の状態です。


) Microsoft 社のアンチスパイウェア ソフトウェアは、ポート転送 Java アプレットによる hosts ファイルの変更をブロックします。アンチスパイウェア ソフトウェアの使用時に hosts ファイルの変更を許可する方法の詳細については、www.microsoft.com を参照してください。


不正な Application Access の終了

Application Access が正しく終了しなかった場合、 hosts ファイルは、クライアントレス SSL VPN 用にカスタマイズされた状態のままになっています。ユーザが次に Application Access を起動するときに、クライアントレス SSL VPN は hosts.webvpn ファイルを検索することで、Application Access の状態をチェックします。hosts.webvpn ファイルが検出されると、エラー メッセージ「 Backup HOSTS File Found 」が表示され、Application Access が一時的にディセーブルになります。

Application Access を正しくシャットダウンしないと、リモートアクセス クライアント/サーバ アプリケーションが不安定な状態のままになります。クライアントレス SSL VPN を使用せずにこれらのアプリケーションを起動しようとすると、正しく動作しない場合があります。通常の接続先のホストが使用できなくなる場合があります。一般にこのような状況は、自宅からリモートでアプリケーションを実行し、Application Access ウィンドウを終了せずにコンピュータをシャットダウンし、その後職場でそのアプリケーションを実行しようとした場合に発生します。

クライアントレス SSL VPN による hosts ファイルの自動再設定

リモートアクセス サーバに接続できる場合は、hosts ファイルを再設定し、Application Access やアプリケーションを再度イネーブルにするために、次の手順を実行します。


ステップ 1 クライアントレス SSL VPN を起動してログインします。ホームページが開きます。

ステップ 2 Applications Access リンクをクリックします。 Backup HOSTS File Found メッセージが表示されます

ステップ 3 次のいずれかのオプションを選択します。

Restore from backup :クライアントレス SSL VPN は強制的に正しくシャットダウンされます。クライアントレス SSL VPN は hosts.webvpn backup ファイルを hosts ファイルにコピーし、hosts ファイルを元の状態に戻してから、hosts.webvpn を削除します。その後、Application Access を再起動する必要があります。

Do nothing :Application Access は起動しません。リモートアクセスのホームページが再び表示されます。

Delete backup :クライアントレス SSL VPN は hosts.webvpn ファイルを削除し、hosts ファイルをクライアントレス SSL VPN 用にカスタマイズされた状態にしておきます。元の hosts ファイル設定は失われます。Application Access は、クライアントレス SSL VPN 用にカスタマイズされた hosts ファイルを新しいオリジナルとして使用して起動します。このオプションは、hosts ファイル設定が失われても問題がない場合にだけ選択してください。Application Access が不適切にシャットダウンされた後に、ユーザまたはユーザが使用するプログラムによって hosts ファイルが編集された可能性がある場合は、他の 2 つのオプションのどちらかを選択するか、または hosts ファイルを手動で編集します(手動による hosts ファイルの再設定を参照)。


 

手動による hosts ファイルの再設定

現在の場所からリモートアクセス サーバに接続できない場合や、カスタマイズした hosts ファイルの編集内容を失いたくない場合は、次の手順に従って、hosts ファイルを再設定し、Application Access とアプリケーションを再度イネーブルにします。


ステップ 1 hosts ファイルを見つけて編集します。最も一般的な場所は、c:¥windows¥sysem32¥drivers¥etc¥hosts です。

ステップ 2 # added by WebVpnPortForward という文字列が含まれている行があるかどうかをチェックします。
この文字列を含む行がある場合、hosts ファイルはクライアントレス SSL VPN 用にカスタマイズされています。hosts ファイルがクライアントレス SSL VPN 用にカスタマイズされている場合、次の例のようになっています。

123.0.0.3 server1 # added by WebVpnPortForward
123.0.0.3 server1.example.com vpn3000.com # added by WebVpnPortForward
123.0.0.4 server2 # added by WebVpnPortForward
123.0.0.4 server2.example.com.vpn3000.com # added by WebVpnPortForward
123.0.0.5 server3 # added by WebVpnPortForward
123.0.0.5 server3.example.com vpn3000.com # added by WebVpnPortForward
 
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 cisco.example.com # source server
# 38.25.63.10 x.example.com # x client host
 
123.0.0.1 localhost
 
 

ステップ 3 # added by WebVpnPortForward という文字列が含まれている行を削除します。

ステップ 4 hosts ファイルを保存してから閉じます。

ステップ 5 クライアントレス SSL VPN を起動してログインします。

ホームページが表示されます。

ステップ 6 Application Access リンクをクリックします。

Application Access ウィンドウが表示されます。これで Application Access がイネーブルになります。


 

ファイル アクセスの設定

クライアントレス SSL VPN は、リモート ユーザに HTTPS ポータル ページを提供しています。このページは、適応型セキュリティ アプライアンスで実行するプロキシ CIFS クライアントまたは FTP クライアント(あるいはその両方)と連動しています。クライアントレス SSL VPN は、CIFS または FTP を使用して、ユーザが認証の要件を満たしているファイルのプロパティがアクセスを制限しない限り、ネットワーク上のファイルへのネットワーク アクセスをユーザに提供します。CIFS クライアントおよび FTP クライアントは透過的です。クライアントレス SSL VPN から送信されるポータル ページでは、ファイル システムに直接アクセスしているかのように見えます。

ユーザがファイルのリストを要求すると、クライアントレス SSL VPN は、そのリストが含まれるサーバの IP アドレスをマスター ブラウザに指定されているサーバに照会します。適応型セキュリティ アプライアンスはリストを入手してポータル ページ上のリモート ユーザに送信します。

クライアントレス SSL VPN は、ユーザの認証要件とファイルのプロパティに応じて、ユーザが次の CIFS および FTP の機能を呼び出すことができるようにします。

ドメインとワークグループ、ドメインまたはワークグループ内のサーバ、サーバ内部の共有、および共有部分またはディレクトリ内のファイルのナビゲートとリスト

ディレクトリの作成

ファイルのダウンロード、アップロード、リネーム、移動、および削除

適応型セキュリティ アプライアンスは、通常適応型セキュリティ アプライアンスと同じネットワーク上か、またはこのネットワークからアクセス可能な場所にあるマスター ブラウザ、WINS サーバ、または DNS サーバを使用します。これは、リモート ユーザがポータル ページのメニューにある、またはクライアントレス SSL VPN セッション中に表示されるツールバー上の [Browse Networks] をクリックしたときにサーバ リストに対するクエリーがネットワークに送信されるようにするためです。

マスター ブラウザまたは DNS サーバは、適応型セキュリティ アプライアンス上の CIFS/FTP クライアントに、クライアントレス SSL VPN がリモート ユーザに提供する、ネットワーク上のリソースのリストを表示します。


) ファイル アクセスを設定する前に、ユーザ アクセス用のサーバに共有を設定する必要があります。


CIFS ファイル アクセスの要件と制限事項

¥¥server¥share¥subfolder¥ personal フォルダ にアクセスするには、 personal フォルダ 上のすべてのポイントに対するリスト権限がユーザに必要です。

クライアントレス SSL VPN では、CIFS ブラウザに表示される [Copy] ボタンおよび [Paste] ボタンはサポートされません。CIFS ディレクトリからローカル デスクトップにファイルをコピーするには、[Download] ボタンをクリックする必要があります。

ファイル アクセスのサポートの追加

次の手順を実行して、ファイル アクセスを設定します。


) この手順のステップ 1 では、マスター ブラウザと WINS サーバの指定方法について説明します。代わりに、ASDM を使用して、ファイル共有へのアクセスを提供する URL リストとエントリを設定することもできます。

ASDM での共有の追加には、マスター ブラウザまたは WINS サーバは必要ありません。ただし、Browse Networks リンクへのサポートは提供されません。このコマンドを入力するときは、ホスト名または IP アドレスを使用して ServerA を参照できます。ホスト名を使用する場合、適応型セキュリティ アプライアンスはホスト名を IP アドレスに解決するように DNS サーバに要求します。



ステップ 1 トンネルグループ webvpn コンフィギュレーション モードで、各 NetBIOS ネーム サーバ(NBNS)に対して nbns-server コマンドを 1 回使用します。この手順でネットワークまたはドメインをブラウズできます。

nbns-server { IPaddress | hostname } [ master ] [ timeout timeout ] [ retry retries ]

master は、マスター ブラウザに指定されるコンピュータです。マスター ブラウザは、コンピュータと共有リソースのリストを保持します。コマンドのマスター部分を入力せずにこのコマンドで指定する任意の NBNS サーバは、Windows Internet Naming Server(WINS)である必要があります。まずマスター ブラウザを指定してから、WINS サーバを指定してください。マスター ブラウザを含め、接続プロファイル用のサーバは最大 3 つまで指定できます。

retries は、NBNS サーバに対するクエリーのリトライ回数です。適応型セキュリティ アプライアンスは、この回数だけサーバのリストを再利用してからエラー メッセージを送信します。デフォルト値は 2 で、範囲は 1 ~ 10 です。

timeout は、適応型セキュリティ アプライアンスが、クエリーを再度サーバに送信する前に待機する秒数です。このとき、サーバが 1 つしかない場合は同じサーバに送信し、サーバが複数存在する場合は別のサーバに送信します。デフォルトのタイムアウトは 2 秒で、範囲は 1 ~ 30 秒です。

次に例を示します。

hostname(config-tunnel-webvpn)# nbns-server 192.168.1.20 master
hostname(config-tunnel-webvpn)# nbns-server 192.168.1.41
hostname(config-tunnel-webvpn)# nbns-server 192.168.1.47
 

) 接続プロファイル コンフィギュレーションにすでに存在する NBNS サーバを表示する場合は、show tunnel-group webvpn-attributes コマンドを使用します。


ステップ 2 (オプション)クライアントレス SSL VPN ポータル ページをリモート ユーザに送信するために符号化する文字セットを指定する character-encoding コマンドを使用します。デフォルトでは、リモート ブラウザ上の符号化タイプ セットでクライアントレス SSL VPN ポータル ページの文字セットが決定されるため、ユーザは、ブラウザで符号化を適切に実行するために必要となる場合に限り、文字の符号化を設定する必要があります。

character-encoding charset

Charset は、最大 40 文字からなる文字列で、 http://www.iana.org/assignments/character-sets で指定されたいずれかの有効文字セットと同じです。このページのリストにある文字セットの名前またはエイリアスのいずれかを使用できます。例には、iso-8859-1、shift_jis、および ibm850 が含まれています。


) character-encoding 値および file-encoding の値では、ブラウザが使用するフォント ファミリを除外しません。これらの値のいずれかに対し、次の例で示すように日本語の Shift_JIS 文字符号化を使用する場合は、webvpn カスタマイゼーション コマンド モードで page style コマンドを使用してフォント ファミリを置き換えるか、webvpn カスタマイゼーション コマンド モードで no page style コマンドを入力してフォント ファミリを削除することにより、設定を補う必要があります。


次に、日本語の Shift_JIS 文字をサポートしてフォント ファミリを削除し、さらにデフォルトの背景色を保持するための character-encoding アトリビュートを設定する例を示します。

hostname(config-webvpn)# character-encoding shift_jis
hostname(config-webvpn)# customization DfltCustomization
hostname(config-webvpn-custom)# page style background-color:white
 

ステップ 3 (オプション)特定の CIFS サーバのクライアントレス SSL VPN ポータル ページの符号化を指定する file-encoding コマンドを使用します。このため、これ以外の文字の符合化が必要な各 CIFS サーバに対し、異なるファイル符号化値を使用できます。

file-encoding {server-name | server-ip-address } charset

次の例では、IBM860(エイリアス「CP860」)文字をサポートするために、CIFS サーバ 10.86.5.174 にファイル符号化アトリビュートを設定しています。

hostname(config-webvpn)# file-encoding 10.86.5.174 cp860
 

これらのコマンドの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。


 

SharePoint アクセスのためのクロックの精度の確認

適応型セキュリティ アプライアンスのクライアントレス SSL VPN サーバは、クッキーを使用して、エンドポイントの Microsoft Word などのアプリケーションと対話します。適応型セキュリティ アプライアンスで設定されたクッキーの有効期間により、適応型セキュリティ アプライアンスの時間が正しくない場合、SharePoint サーバ上の文書にアクセスするときに Word が正しく機能しなくなる可能性があります。このような誤作動を回避するには、ASA クロックを正しく設定します。NTP サーバとダイナミックに同期化されるように適応型セキュリティ アプライアンスを設定することをお勧めします。手順については、 日付と時刻の設定を参照してください。

PDA でのクライアントレス SSL VPN の使用

Pocket PC または他の認定された携帯情報端末からクライアントレス SSL VPN にアクセスできます。適応型セキュリティ アプライアンスの管理者やクライアントレス SSL VPN ユーザは、特に何もしなくても、認定された携帯情報端末(PDA)でクライアントレス SSL VPN を使用できます。

シスコでは次の PDA プラットフォームを認定しています。

HP iPaq H4150
Pocket PC 2003
Windows CE 4.20.0、ビルド 14053
Pocket Internet Explorer(PIE)
ROM バージョン 1.10.03ENG
ROM 日付:2004/7/16

PDA のバージョンによって、クライアントレス SSL VPN に次のような相違点があります。

ポップアップのクライアントレス SSL VPN ウィンドウはバナー Web ページが置き換わっている。

標準のクライアントレス SSL VPN フローティング ツールバーがアイコン バーに置き換わっている。このバーには、[Go]、[Home]、および [Logout] の各種ボタンが表示されます。

メインのクライアントレス SSL VPN ポータル ページに [Show Toolbar] アイコンがない。

クライアントレス SSL VPN のログアウト時に、警告メッセージで PIE ブラウザを正しく閉じる手順が表示される。この手順に従わないで通常の方法でブラウザのウィンドウを閉じると、クライアントレス SSL VPN または HTTPS を使用するすべてのセキュアな Web サイトから PIE が切断されません。

クライアントレス SSL VPN は、OWA 2000 版および OWA 2003 版の基本認証をサポートする。OWA サーバに基本認証を設定せずに、クライアントレス SSL VPN ユーザがこのサーバにアクセスをしようとするとアクセスは拒否されます。

サポートされていないクライアントレス SSL VPN の機能

Application Access および他の Java 依存の各種機能

HTTP プロキシ

Cisco Secure Desktop の Microsoft Windows CE の限定的なサポート

Microsoft Outlook Web Access(OWA)5.5

Citrix Metaframe 機能(PDA に対応する Citrix ICA クライアント ソフトウェアが装備されていない場合)

クライアントレス SSL VPN を介した電子メールの使用

クライアントレス SSL VPN は、電子メールにアクセスする方法をいくつかサポートしています。ここでは、次の方式について説明します。

電子メール プロキシの設定

Web 電子メール:MS Outlook Web Access の設定

電子メール プロキシの設定

クライアントレス SSL VPN は、IMAP4S、POP3S、および SMTPS 電子メール プロキシをサポートしています。 表 70-9 に電子メール プロキシ ユーザにグローバルに適用されるアトリビュートを示します。

 

表 70-9 クライアントレス SSL VPN を介した電子メール プロキシ ユーザ用のアトリビュート

機能
コマンド
デフォルト値

電子メール プロキシで使用するように事前に設定されているアカウンティング サーバを指定します。

accounting-server-group

なし

電子メール プロキシ ユーザ用の認証方式(複数可)を指定します。

authentication

IMAP4S:メールホスト(必須)

POP3S メールホスト(必須)

SMTPS:AAA

電子メール プロキシで使用するように事前に設定されている認証サーバを指定します。

authentication-server-group

LOCAL

クライアントレス SSL VPN で使用するように事前に設定されている認可サーバを指定します。

authorization-server-group

なし

ユーザが接続するには、正常に認可される必要があります。

authorization-required

ディセーブル

認可のユーザ名として使用するピア証明書の DN を指定します。

authorization-dn-attributes

プライマリ アトリビュート:CN

セカンダリ アトリビュート:OU

使用するグループポリシーの名前を指定します。

default-group-policy

DfltGrpPolicy

指定したインターフェイスで電子メール プロキシをイネーブルにします。

enable

ディセーブル

電子メールと VPN のユーザ名とパスワードとの間の区切り記号を定義します。

name-separator

「:」(コロン)

未処理の未承認セッションの最大数を設定します。

outstanding

20

電子メール プロキシがリスンするポートを設定します。

port

IMAP4S:993

POP3S:995

SMTPS:9881

デフォルトの電子メール サーバを指定します。

server

なし

電子メールとサーバ名との間の区切り記号を定義します。

server-separator

「@」

1.Eudora 電子メール クライアントでは、SMTPS 接続のデフォルトのポートが 988 の場合でも、SMTPS はポート 465 でのみ動作します。

電子メール プロキシの証明書認証

MS Outlook、MS Outlook Express、Eudora などの電子メール クライアントは、証明書ストアにアクセスできません。

Web 電子メール:MS Outlook Web Access の設定

Web 電子メールとは、MS Outlook Web Access for Exchange 2000、Exchange 5.5、および Exchange 2003 のことです。中央サイトに MS Outlook Exchange Server が必要です。また、ユーザが次の作業を行う必要があります。

クライアントレス SSL VPN セッションで、ブラウザに電子メール サーバの URL を入力する。

プロンプトが表示されたら、電子メール サーバのユーザ名を domain¥username 形式で入力する。

電子メールのパスワードを入力する。

クライアントレス SSL VPN のパフォーマンスの最適化

適応型セキュリティ アプライアンスには、クライアントレス SSL VPN のパフォーマンスと機能性を最適化するいくつかの方法があります。パフォーマンスの改善には、Web オブジェクトのキャッシングと圧縮が含まれます。機能性の調整には、コンテンツ変換およびプロキシ バイパスの制限の設定が含まれます。その他に、APCF でコンテンツ変換を調整することもできます。ここに挙げた機能について、次の項で説明します。

キャッシングの設定

コンテンツ変換の設定

キャッシングの設定

キャッシングを行うと、クライアントレス SSL VPN のパフォーマンスが向上します。キャッシングによって頻繁に再利用されるオブジェクトはシステム キャッシュに保存され、コンテンツを繰り返しリライトしたり圧縮したりする必要性を減らすことができます。また、クライアントレス SSL VPN とリモート サーバ間のトラフィックが軽減されるため、多くアプリケーションが今までよりはるかに効率的に実行できるようになります。

デフォルトでは、キャッシングはイネーブルになっています。次のように、webvpn モードからキャッシュ モードに入り、キャッシング コマンドを使用すると、ユーザの環境に応じてキャッシング動作をカスタマイズできます。

hostname(config)#
hostname(config)# webvpn
hostname(config-webvpn)# cache
 

次に、キャッシング コマンドとその機能のリストを示します。

 

キャッシング コマンド
機能

disable

キャッシングをディセーブルにします。

expiry-time

キャッシング オブジェクトの期限切れの時刻を設定します。

lmfactor

キャッシングされたオブジェクトを再検証するための用語を設定します。

max-object-size

キャッシュに入れるオブジェクトの最大サイズを設定します。

min-object-size

キャッシュに入れるオブジェクトの最小サイズを設定します。

cache-static-content

キャッシング可能なすべての Web オブジェクトをキャッシュに入れ、コンテンツはリライトの対象にしません。例には、イメージや PDF ファイルが含まれます。

コンテンツ変換の設定

デフォルトでは、適応型セキュリティ アプライアンスはコンテンツ変換およびリライト エンジンを通じ、JavaScript および Java などの高度な要素からプロキシ HTTP へのトラフィックを含む、すべてのクライアントレス SSL VPN トラフィックを処理します。このようなトラフィックでは、ユーザがアプリケーションに SSL VPN デバイス内部からアクセスしているか、これらに依存せずにアクセスしているかによって、セマンティックやアクセス コントロールの規則が異なる場合があります。

Web リソースによっては、高度に個別の処理が要求される場合があります。次の項では、このような処理を提供する機能について説明します。

リライトされた Java コンテンツに署名するための証明書の設定

コンテンツのリライトのディセーブル化

プロキシ バイパスの使用

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

組織や関係する Web コンテンツの要件に応じてこれらの機能のいずれかを使用する場合があります。

リライトされた Java コンテンツに署名するための証明書の設定

クライアントレス SSL VPN によって変換された Java オブジェクトは、その後、トラストポイントに関連付けられている PKCS12 デジタル証明書を使用して署名することができます。この証明書は、 crypto ca import コマンドと java-trustpoint コマンドの組み合せを使用して、インポートして使用します。

次のコマンド例は、mytrustpoint という名前のトラストポイントの作成、および Java オブジェクトに署名するための割り当てを示しています。

hostname(config)# crypto ca import mytrustpoint pkcs12 mypassphrase
Enter the base 64 encoded PKCS12.
End with the word “quit” on a line by itself.
[ PKCS12 data omitted ]
quit
INFO: Import PKCS12 operation completed successfully.
hostname(config)# webvpn
hostname(config)# java-trustpoint mytrustpoint
 

コンテンツのリライトのディセーブル化

公開 Web サイトなどの一部のアプリケーションや Web リソースによっては、適応型セキュリティ アプライアンスを通過しない設定が求められる場合があります。このため、適応型セキュリティ アプライアンスでは、特定のサイトやアプリケーションを適応型セキュリティ アプライアンスを通過せずにブラウズできるリライト規則を作成できます。これは、IPSec VPN 接続のスプリット トンネリングと同様の機能です。

webvpn モードで、 disable オプションを指定して rewrite コマンドを使用し、クライアントレス SSL VPN トンネルの外部にアクセスするためのアプリケーションとリソースを指定します。

この rewrite コマンドは複数回使用できます。セキュリティ アプライアンスは、リライト規則を順序番号に従って検索するため、規則の順序番号は重要です。最下位の番号から順に検索していき、最初に一致した規則が適用されます。

プロキシ バイパスの使用

ユーザはプロキシ バイパスを使用するように適応型セキュリティ アプライアンスを設定できます。これは、プロキシ バイパスが提供する特別なコンテンツ リライト機能を使用した方が、アプリケーションや Web リソースをより有効活用できる場合に設定します。プロキシ バイパスは、コンテンツ リライトに代わる手法で、元のコンテンツへの変更を最小限にします。多くの場合、カスタム Web アプリケーションでこれを使用すると有効です。

このコマンドは複数回使用できます。エントリを設定する順序は重要ではありません。インターフェイスとパス マスク、またはインターフェイスとポートを組み合せることで、プロキシ バイパスの規則を一意に指定できます。

ネットワーク設定に応じてパス マスクではなくポートを使用してプロキシ バイパスを設定する場合、これらのポートから適応型セキュリティ アプライアンスにアクセスできるようにファイアウォール設定を変更する必要がある場合があります。この制限を回避するにはパス マスクを使用します。ただし、このパス マスクは変更される場合があるため、複数の pathmask 文を使用して可能性を排除する必要があることに注意してください。

パスとは、URL の中で .com、.org、または他のドメイン名以降に記述されているすべてを指します。たとえば、www.mycompany.com/hrbenefits という URL では、 hrbenefits がパスになります。同様に、www.mycompany.com/hrinsurance という URL では、 hrinsurance がパスです。すべての hr サイトでプロキシ バイパスを使用する場合、/hr* のように * ワイルドカードとして使用すると、コマンドを何度も入力しなくてもすみます。

プロキシ バイパスを設定するには、webvpn モードで proxy-bypass コマンドを使用します。

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

クライアントレス SSL VPN 用の APCF プロファイルを使用すると、適応型セキュリティ アプライアンスは標準以外のアプリケーションや Web リソースを処理できるようになり、クライアントレス SSL VPN 接続を介してこれらが正しく表示されます。APCF プロファイルには、特定のアプリケーションに送信するデータの送信時刻(処理前、処理後)、送信部分(ヘッダー、本文、要求、応答)、および送信内容を指定したスクリプトが含まれています。スクリプトは XML 形式で記述され、文字列とテキストの変換では sed(ストリーム エディタ)の構文が使用されます。APCF プロファイルは、適応型セキュリティ アプライアンス上で、数種類を同時に実行することができます。1 つの APCF プロファイルのスクリプト内に複数の APCF 規則を適用することができます。この場合、適応型セキュリティ アプライアンスは、最も古い規則(設定履歴に基づいて)を最初に処理し、次に 2 番目に古い規則、その次は 3 番目という順序で処理します。

APCF プロファイルは、適応型セキュリティ アプライアンスのフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、または TFTP サーバに保存できます。webvpn モードで apcf コマンドを使用すると、適応型セキュリティ アプライアンス上にロードする APCF プロファイルを指定し、検索することができます。


) APCF プロファイルは、シスコの担当者のサポートが受けられる場合のみ設定することをお勧めします。


次の例は、フラッシュ メモリに保存されている apcf1.xml という名前の APCF プロファイルをイネーブルにする方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# apcf flash:/apcf/apcf1.xml
 

この例は、ポート番号 1440、パスが /apcf の myserver という名前の https サーバにある APCF プロファイル apcf2.xml をイネーブルにする方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# apcf https://myserver:1440/apcf/apcf2.xml
 

APCF 構文


注意 APCF プロファイルの使い方を誤ると、パフォーマンスが低下したり、好ましくない表現のコンテンツになる場合があります。シスコのエンジニアリング部では、ほとんどの場合、APCF プロファイルを提供することで特定アプリケーションの表現上の問題を解決しています。

APCF プロファイルは、XML フォーマットおよび sed スクリプトの構文を使用します。 表 70-10 に、この場合に使用する XML タグを示します。

 

表 70-10 APCF XML タグ

タグ
用途

<APCF>...</APCF>

すべての APCF XML ファイルを開くための必須のルート要素。

<version>1.0</version>

APCF の実装バージョンを指定する必須のタグ。現在のバージョンは 1.0 だけです。

<application>...</application>

XML 記述の本文を囲む必須タグ。

<id> text </id>

この特定の APCF 機能を記述する必須タグ。

<apcf-entities>...</apcf-entities>

単一または複数の APCF エンティティを囲む必須タグ。

<js-object>...</js-object>

<html-object>...</html-object>

<process-request-header>...</preprocess-request-header>

<process-response-header>...</preprocess-response-header>

<preprocess-request-body>...</preprocess-request-body>

<postprocess-request-body>...</postprocess-request-body>

<preprocess-response-body>...</preprocess-response-body>

<postprocess-response-body>...</postprocess-response-body>

コンテンツの種類または実施される APCF 処理の段階を指定するこれらのタグのうち 1 つは必須です。

<conditions>... </conditions>

処理前および処理後の子要素タグで、次の処理基準を指定します。

http-version(1.1、1.0、0.9 など)

http-method(get、put、post、webdav)

http-scheme(http、https、その他)

("a".."z" | "A".."Z" | "0".."9" | ".-_*[]?"))を含む server-regexp 正規表現

("a".."z" | "A".."Z" | "0".."9" | ".-_*[]?+()\{},"))を含む server-fnmatch 正規表現

user-agent-regexp

user-agent-fnmatch

request-uri-regexp

request-uri-fnmatch

条件タグのうち 2 つ以上が存在する場合は、適応型セキュリティ アプライアンスはすべてのタグに対して論理 AND を実行します。

<action> ... </action>

指定の条件以下のコンテンツで実行する 1 つまたは複数のアクションを囲みます。つまり、これらのアクションのそれぞれを次の <do> タグまたは <sed-script> タグで定義します。

<do>...</do>

次のいずれかのアクションを定義します。

<no-rewrite/>

<no-toolbar/>

<no-gzip/>

<force-cache/>

<force-no-cache/>

<sed-script> TEXT </sed-script>

アクション タグの子要素です。TEXT は有効な Sed スクリプトである必要があります。<sed-script> は、これより前に定義された <conditions> タグに適用されます。

APCF の例

APCF プロファイルの例を次に示します。

<APCF>
<version>1.0</version>
<application>
<id>Do not compress content from notsogood.com</id>
<apcf-entities>
<process-request-header>
<conditions>
<server-fnmatch>*.notsogood.com</server-fnmatch>
</conditions>
<action>
<do><no-gzip/></do>
</action>
</process-request-header>
</apcf-entities>
</application>
</APCF>
 

クライアントレス SSL VPN エンド ユーザの設定

この項は、エンド ユーザのためにクライアントレス SSL VPN を設定するシステム管理者を対象にしています。ここでは、エンド ユーザ インターフェイスをカスタマイズする方法について説明します。

この項では、リモート システムの設定要件と作業の概要を説明します。ユーザがクライアントレス SSL VPN の使用を開始するために、ユーザに伝える必要がある情報を明確にします。説明する項目は次のとおりです。

エンド ユーザ インターフェイスの定義

「クライアントレス SSL VPN ページのカスタマイズ」

「ヘルプのカスタマイズ」

ユーザ名とパスワードの要求

セキュリティのヒントの通知

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

ユーザ メッセージの言語の変換

エンド ユーザ インターフェイスの定義

クライアントレス SSL VPN エンド ユーザ インターフェイスは、一連の HTML パネルで構成されます。ユーザは、適応型セキュリティ アプライアンス インターフェイスの IP アドレスを https:// address 形式で入力することにより、クライアントレス SSL VPN にログインします。最初に表示されるパネルは、ログイン画面(図 70-5)です。

図 70-5 クライアントレス SSL VPN の [Login] 画面

 

クライアントレス SSL VPN ホームページの表示

ユーザがログインすると、ポータル ページが開きます。

ホームページには設定済みのクライアントレス SSL VPN 機能がすべて表示され、選択済みのロゴ、テキスト、および色が外観に反映されています。このサンプル ホームページには、特定のファイル共有の指定機能以外のすべてのクライアントレス SSL VPN 機能が表示されています。ユーザはこのホームページを使用して、ネットワークのブラウズ、URL の入力、特定の Web サイトへのアクセス、および Application Access(ポート転送とスマート トンネル)による TCP アプリケーションへのアクセスを実行できます。

クライアントレス SSL VPN の Application Access パネルの表示

ポート転送またはスマート トンネルを開始するには、[Application Access] ボックスの [Go] ボタンをクリックします。Application Access ウィンドウが開きます(図 70-6)。

図 70-6 クライアントレス SSL VPN の Application Access ウィンドウ

 

このウィンドウには、このクライアントレス SSL VPN 接続用に設定された TCP アプリケーションが表示されます。このパネルを開いたままでアプリケーションを使用する場合は、通常の方法でアプリケーションを起動します。


) ステートフル フェールオーバーでは、Application Access を使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。


フローティング ツールバーの表示

図 70-7 に示すフローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。

図 70-7 クライアントレス SSL VPN フローティング ツールバー

 

フローティング ツールバーの次の特性に注意してください。

ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

ツールバーを閉じると、適応型セキュリティ アプライアンスはクライアントレス SSL VPN セッションの終了を確認するプロンプトを表示します。

クライアントレス SSL VPN の使用方法の詳細については、表 70-13を参照してください。

クライアントレス SSL VPN ページのカスタマイズ

クライアントレス SSL VPN ユーザに表示されるポータル ページの外観を変えることができます。変更できる外観には、ユーザがセキュリティ アプライアンスに接続するときに表示される [Login] ページ、セキュリティ アプライアンスのユーザ承認後に表示される [Home] ページ、ユーザがアプリケーションを起動するときに表示される [Application Access] ウィンドウ、およびユーザがクライアントレス SSL VPN セッションからログアウトするときに表示される [Logout] ページが含まれます。

ポータル ページのカスタマイズ後は、このカスタマイゼーションを保存して、特定の接続プロファイル、グループポリシー、またはユーザに適用できます。いくつものカスタマイゼーション オブジェクトを作成、保存して、個々のユーザまたはユーザ グループに応じてポータル ページの外観を変更するようにセキュリティ アプライアンスをイネーブル化できます。

ここでは、次の項目とタスクについて説明します。

「カスタマイゼーションの動作」

「カスタマイゼーション テンプレートのエクスポート」

「カスタマイゼーション テンプレートの編集」

「カスタマイゼーション オブジェクトのインポート」

「接続プロファイル、グループポリシー、およびユーザへのカスタマイゼーションの適用」

「ログイン画面の高度なカスタマイゼーション」

カスタマイゼーションの動作

適応型セキュリティ アプライアンスは、カスタマイゼーション オブジェクトを使用して、ユーザ画面の外観を定義します。カスタマイゼーション オブジェクトは、リモート ユーザに表示されるカスタマイズ可能なすべての画面項目に対する XML タグを含む XML ファイルからコンパイルされます。適応型セキュリティ アプライアンス ソフトウェアには、リモート PC にエクスポートできるカスタマイゼーション テンプレートが含まれています。このテンプレートを編集して、新しいカスタマイゼーション オブジェクトとして適応型セキュリティ アプライアンスにインポートし戻すことができます。

カスタマイゼーション オブジェクトをエクスポートすると、XML タグを含む XML ファイルが指定した URL に作成されます。 Template という名前のカスタマイゼーション オブジェクトによって作成される XML ファイルは、空の XML タグを含んでおり、新しいカスタマイゼーション オブジェクトを作成するためのベースになります。このオブジェクトは、変更したり、キャッシュ メモリから削除したりはできませんが、エクスポートして編集し、新しいカスタマイゼーション オブジェクトとして適応型セキュリティ アプライアンスにインポートし戻すことができます。

カスタマイゼーション オブジェクト、接続プロファイル、およびグループポリシー

ユーザが初めて接続するときには、接続プロファイル(トンネル グループ)で指定されたデフォルトのカスタマイゼーション オブジェクト( DfltCustomization )がログイン画面の表示方法を決定します。接続プロファイル リストがイネーブルになっている場合に、ユーザが別のグループを選択し、そのグループに独自のカスタマイゼーションがある場合、その新しいグループのカスタマイゼーション オブジェクトを反映して画面が変わります。

リモート ユーザが認証された後は、画面の外観は、そのグループポリシーにカスタマイゼーション オブジェクトが割り当てられているかどうかによって決まります。

カスタマイゼーション テンプレートのエクスポート

カスタマイゼーション オブジェクトをエクスポートすると、指定した URL に XML ファイルが作成されます。カスタマイゼーション テンプレート( Template )は、空の XML タグを含んでおり、新しいカスタマイゼーション オブジェクトを作成するためのベースになります。このオブジェクトは、変更したり、キャッシュ メモリから削除したりはできませんが、エクスポートして編集し、新しいカスタマイゼーション オブジェクトとして適応型セキュリティ アプライアンスにインポートし戻すことができます。

export webvpn customization コマンドを使用してカスタマイゼーション オブジェクトをエクスポートし、XML タグに変更を加え、 import webvpn customization コマンドを使用して新しいオブジェクトとしてファイルをインポートできます。

次の例は、デフォルトのカスタマイゼーション オブジェクト(DfltCustomization)をエクスポートして、 dflt_custom という名前の XML ファイルを作成します。

hostname# export webvpn customization DfltCustomization tftp://209.165.200.225/dflt_custom
!!!!!!!!!!!!!!!!INFO: Customization object 'DfltCustomization' was exported to tftp://10.86.240.197/dflt_custom
hostname#

カスタマイゼーション テンプレートの編集

この項では、カスタマイゼーション テンプレートの内容を示して、便利な図を提供しています。これらを参照して、正しい XML タグをすばやく選択して、画面表示を変更できます。

テキスト エディタまたは XML エディタを使用して、XML ファイルを編集できます。次の例は、カスタマイゼーション テンプレートの XML タグを示しています。一部の冗長タグは、見やすくするために削除してあります。

<custom>
<localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>
</localization>
<auth-page>
<window>
<title-text l10n="yes"><![CDATA[SSL VPN Service]]></title-text>
</window>
<full-customization>
<mode>disable</mode>
<url></url>
</full-customization>
<language-selector>
<mode>disable</mode>
<title l10n="yes">Language:</title>
<language>
<code>en</code>
<text>English</text>
</language>
<language>
<code>zh</code>
<text>ä\xfc ­å\xdd ½ (Chinese)</text>
</language>
<language>
<code>ja</code>
<text>æ--¥æœ¬ (Japanese)</text>
</language>
<language>
<code>ru</code>
<text>Ð Ñ\xc4 Ñ\x84 ки\xc3 ¹ (Russian)</text>
</language>
<language>
<code>ua</code>
<text>УкÑ\xf5 а\x84 --нÑ\x84 ŒÐºÐ° (Ukrainian)</text>
</language>
</language-selector>
<logon-form>
<title-text l10n="yes"><![CDATA[Login]]></title-text>
<title-background-color><![CDATA[#666666]]></title-background-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<message-text l10n="yes"><![CDATA[Please enter your username and password.]]></message-text>
<username-prompt-text l10n="yes"><![CDATA[USERNAME:]]></username-prompt-text>
<password-prompt-text l10n="yes"><![CDATA[PASSWORD:]]></password-prompt-text>
<internal-password-prompt-text l10n="yes">Internal Password:</internal-password-prompt-text>
<internal-password-first>no</internal-password-first>
<group-prompt-text l10n="yes"><![CDATA[GROUP:]]></group-prompt-text>
<submit-button-text l10n="yes"><![CDATA[Login]]></submit-button-text>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-background-color><![CDATA[#666666]]></title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logon-form>
<logout-form>
<title-text l10n="yes"><![CDATA[Logout]]></title-text>
<message-text l10n="yes"><![CDATA[Goodbye.<br>
 
For your own security, please:<br>
 
<li>Clear the browser's cache
 
<li>Delete any downloaded files
 
<li>Close the browser's window]]></message-text>
<login-button-text l10n="yes">Logon</login-button-text>
<hide-login-button>no</hide-login-button>
<title-background-color><![CDATA[#666666]]></title-background-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-background-color><![CDATA[#666666]]></title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logout-form>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service]]></text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff]]></background-color>
<font-size><![CDATA[larger]]></font-size>
<font-color><![CDATA[#800000]]></font-color>
<font-weight><![CDATA[bold]]></font-weight>
</title-panel>
<info-panel>
<mode>disable</mode>
<image-url l10n="yes">/+CSCOU+/clear.gif</image-url>
<image-position>above</image-position>
<text l10n="yes"></text>
</info-panel>
<copyright-panel>
<mode>disable</mode>
<text l10n="yes"></text>
</copyright-panel>
</auth-page>
<portal>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service]]></text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff]]></background-color>
<font-size><![CDATA[larger]]></font-size>
<font-color><![CDATA[#800000]]></font-color>
<font-weight><![CDATA[bold]]></font-weight>
</title-panel>
<browse-network-title l10n="yes">Browse Entire Network</browse-network-title>
<access-network-title l10n="yes">Start AnyConnect</access-network-title>
<application>
<mode>enable</mode>
<id>home</id>
<tab-title l10n="yes">Home</tab-title>
<order>1</order>
</application>
<application>
<mode>enable</mode>
<id>web-access</id>
<tab-title l10n="yes"><![CDATA[Web Applications]]></tab-title>
<url-list-title l10n="yes"><![CDATA[Web Bookmarks]]></url-list-title>
<order>2</order>
</application>
<application>
<mode>enable</mode>
<id>file-access</id>
<tab-title l10n="yes"><![CDATA[Browse Networks]]></tab-title>
<url-list-title l10n="yes"><![CDATA[File Folder Bookmarks]]></url-list-title>
<order>3</order>
</application>
<application>
<mode>enable</mode>
<id>app-access</id>
<tab-title l10n="yes"><![CDATA[Application Access]]></tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>net-access</id>
<tab-title l10n="yes">AnyConnect</tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>help</id>
<tab-title l10n="yes">Help</tab-title>
<order>1000000</order>
</application>
<toolbar>
<mode>enable</mode>
<logout-prompt-text l10n="yes">Logout</logout-prompt-text>
<prompt-box-title l10n="yes">Address</prompt-box-title>
<browse-button-text l10n="yes">Browse</browse-button-text>
</toolbar>
<column>
<width>100%</width>
<order>1</order>
</column>
<pane>
<type>TEXT</type>
<mode>disable</mode>
<title></title>
<text></text>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>IMAGE</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>HTML</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>RSS</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<url-lists>
<mode>group</mode>
</url-lists>
<home-page>
<mode>standard</mode>
<url></url>
</home-page>
</portal>
</custom>
 

図 70-8 に、[Login] ページとページをカスタマイズする XML タグを示します。これらのタグはすべて、上位レベルのタグ <auth-page> にネストされています。

図 70-8 [Login] ページと関連の XML タグ

 

図 70-9 は、[Login] ページで使用可能な言語セレクタ ドロップダウン リストとこの機能をカスタマイズするための XML タグを示しています。これらのタグはすべて、上位レベルの <auth-page> タグにネストされています。

図 70-9 [Login] 画面上の言語セレクタ と関連の XML タグ

 

図 70-10 は、[Login] ページで使用できる Information Panel とこの機能をカスタマイズするための XML タグを示しています。この情報は [Login] ボックスの左側または右側に表示されます。これらのタグは、上位レベルの <auth-page> タグにネストされています。

図 70-10 [Login] 画面上の Information Panel と関連の XML タグ

 

図 70-11 は、ポータル ページとこの機能をカスタマイズするための XML タグを示しています。これらのタグは、上位レベルの <auth-page> タグにネストされています。

図 70-11 ポータル ページと関連の XML タグ

 

カスタマイゼーション オブジェクトのインポート

XML ファイルを編集して保存した後、EXEC モードで import webvpn customization コマンドを使用して、適応型セキュリティ アプライアンスのキャッシュ メモリにインポートします。カスタマイゼーション オブジェクトをインポートする場合、適応型セキュリティ アプライアンスは XML コードの有効性をチェックします。コードが有効な場合、適応型セキュリティ アプライアンスはそのオブジェクトをキャッシュ メモリ内の非表示の場所に保存します。

次の例では、カスタマイゼーション オブジェクト General.xml を 209.165.201.22/customization の URL からインポートして、 custom1 という名前を付けます。

hostname# import webvpn customization custom1 tftp://209.165.201.22/customization /General.xml
Accessing tftp://209.165.201.22/customization/General.xml...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/custom1...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
329994 bytes copied in 5.350 secs (65998 bytes/sec)

接続プロファイル、グループポリシー、およびユーザへのカスタマイゼーションの適用

カスタマイゼーションの作成後、 customization コマンドを使用して、接続プロファイル、グループ、またはユーザにそのカスタマイゼーションを適用できます。このコマンドで表示されるオプションは、使用中のモードによって異なります。


) 接続プロファイルは、以前はトンネル グループと呼ばれていました。


接続プロファイル、グループポリシー、およびユーザの設定の詳細については、「接続プロファイル、グループポリシー、およびユーザの設定」を参照してください。

接続プロファイルへのカスタマイゼーションの適用

接続プロファイルにカスタマイゼーションを適用するには、トンネルグループ webvpn モードで customization コマンドを使用します。

[ no ] customization name

name は、接続プロファイルに適用するカスタマイゼーションの名前です。

コンフィギュレーションからコマンドを削除して、接続プロファイルからカスタマイゼーションを削除するには、このコマンドの no 形式を使用します。

既存のカスタマイゼーションのリストを表示するには、 customization コマンドに続けて、疑問符(?) を入力します。

次の例では、ユーザはトンネルグループ webvpn モードに入り、接続プロファイル cisco_telecommuters に対してカスタマイゼーション cisco をイネーブルにします。

hostname(config)# tunnel-group cisco_telecommuters webvpn-attributes
hostname(tunnel-group-webvpn)# customization cisco

グループおよびユーザへのカスタマイゼーションの適用

グループまたはユーザにカスタマイゼーションを適用するには、グループポリシー webvpn モードまたはユーザ名 webvpn モードから customization コマンドを使用します。これらのモードに、 none オプションと value オプションを次のように含めます。

[ no ] customization {none | value name }

none は、グループまたはユーザに対するカスタマイゼーションをディセーブルにし、値を継承しないようにして、デフォルトのクライアントレス SSL VPN ページを表示します。

value name は、グループまたはユーザに適用するカスタマイゼーションの名前です。

コンフィギュレーションからこのコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

既存のカスタマイゼーションのリストを表示するには、 customization value コマンドに続けて、疑問符(?) を入力します。

次の例では、ユーザはグループポリシー webvpn モードに入り、セキュリティ アプライアンスにカスタマイゼーションのリストのクエリーを実行し、グループポリシー cisco_sales に対してカスタマイゼーション cisco をイネーブルにします。

hostname(config)# group-policy cisco_sales attributes
hostname(config-group-policy)# webvpn
hostname(config-username-webvpn)# customization value ?
 
config-username-webvpn mode commands/options:
Available configured customization profiles:
DfltCustomization
cisco
hostname(config-group-webvpn)# customization value cisco
 

次の例では、ユーザはユーザ名 webvpn モードに入り、ユーザ cisco_employee に対してカスタマイゼーション cisco をイネーブルにします。

hostname(config)# username cisco_employee attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# customization value cisco

ログイン画面の高度なカスタマイゼーション

提供されるログイン画面の特定の画面要素を変更するのではなく、独自のカスタム ログイン画面を使用する場合は、フル カスタマイゼーション機能を使用してこの高度なカスタマイゼーションを実行できます。

フル カスタマイゼーションを使用して、独自のログイン画面の HTML を入力し、適応型セキュリティ アプライアンスで関数を呼び出す Cisco HTML コードを挿入します。これで、Login フォームと言語セレクタ ドロップダウン リストが作成されます。

この項では、独自の HTML コードを作成するために必要な修正内容、および適応型セキュリティ アプライアンスが独自のコードを使用する場合に設定する必要があるタスクについて説明します。

図 70-12 に、クライアントレス SSL VPN ユーザに表示される標準の Cisco ログイン画面を示します。Login フォームは、HTML コードで呼び出す関数によって表示されます。

図 70-12 標準の Cisco [Login] ページ

 

図 70-13 に、言語セレクタ ドロップダウン リストを示します。この機能は、クライアントレス SSL VPN ユーザにはオプションとなっており、ログイン画面の HTML コード内の関数によっても呼び出されます。

図 70-13 言語セレクタ ドロップダウン リスト

 

図 70-14 は、フル カスタマイゼーション機能によってイネーブル化される簡単なカスタム ログイン画面の例を示しています。

図 70-14 [Login] 画面のフル カスタマイゼーション例

 

カスタム ログイン画面ファイルの HTML コードの例

次の HTML コードは例として使用される、図 70-14 に示す画面を表示するコードです。

<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>New Page 3</title>
<base target="_self">
</head>
 
<p align="center">
<img border="0" src="/+CSCOU+/cisco_logo.jpg" width="188" height="48"><font face="Snap ITC" size="6" color="#FF00FF">
</font><font face="Snap ITC" color="#FF00FF" size="7">&nbsp;</font><i><b><font color="#FF0000" size="7" face="Sylfaen"> SSL VPN Service by the Cisco ASA5500</font></b></i></p>
 
<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>
 

字下げされたコードは、画面に Login フォームと言語セレクタを挿入します。関数 csco_ShowLoginForm('lform') は Login フォームを挿入します。 csco_ShowLanguageSelector('selector') は、言語セレクタを挿入します。

フル カスタマイゼーションの手順

次の手順に従い、HTML ファイルを変更して、適応型セキュリティ アプライアンスが新しいファイルを使用するように設定します。


ステップ 1 ファイルに login.inc という名前を付けます。このファイルをインポートすると、適応型セキュリティ アプライアンスはこのファイル名をログイン画面として認識します。

ステップ 2 このファイルで使用されるイメージのパスに /+CSCOU+/ を含めるように変更します。

認証前にリモート ユーザに表示されるファイルは、パス /+CSCOU+/ で表される適応型セキュリティ アプライアンスのキャッシュ メモリの特定のエリアに置く必要があります。そのため、このファイルにある各イメージのソースはこのパスに含める必要があります。次に例を示します。

src=”/+CSCOU+/asa5520.gif”
 

ステップ 3 下記の特別な HTML コードを挿入します。このコードには、Login フォームと言語セレクタを画面に挿入する前述のシスコの関数が含まれています。

<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>
 

ステップ 4 特権 EXEC モードで import webvpn webcontent コマンドを使用して、ファイルとイメージを Web コンテンツとしてインポートします。次に例を示します。

hostname# import webvpn webcontent /+CSCOU+/login.inc tftp://209.165.200.225/login.inc
!!!!* Web resource `+CSCOU+/login.inc' was successfully initialized
hostname#
 

ステップ 5 カスタマイゼーション オブジェクトでフル カスタマイゼーションをイネーブルにします。まず、 export webvpn customization コマンドを使用してカスタマイゼーション テンプレートをエクスポートします。次に例を示します。

hostname2# export webvpn customization template tftp://209.165.200.225/sales_vpn_login
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
%INFO: Customization object 'Template' was exported to tftp://10.21.50.120/sales
_vpn_login
 

次に、ファイル内の full customization mode タグを enable に変更し、適応型セキュリティ アプライアンスのメモリに保存されているログイン ファイルの URL を入力します。次に例を示します。

<full-customization>
<mode>enable</mode>
<url>+CSCOU+/login.inc</url>
</full-customization>
 

ここで、ファイルを新しいカスタマイゼーション オブジェクトとしてインポートします。次に例を示します。

hostname# import webvpn customization sales_vpn_login tftp://10.21.50.120/sales_vpn_login$
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
%INFO: customization object 'sales_vpn_login' was successfully imported
 

 

ステップ 6 接続プロファイル(トンネル グループ)にカスタマイゼーション オブジェクトを適用します。次に例を示します。

hostname(config)# tunnel-group Sales webvpn-attributes
hostname(config-tunnel-webvpn)#customization sales_vpn_login
 


 

ヘルプのカスタマイズ

適応型セキュリティ アプライアンスは、クライアントレス SSL VPN セッション中に、アプリケーション パネルにヘルプ コンテンツを表示します。シスコが提供するヘルプ ファイルをカスタマイズするか、または別の言語でヘルプ ファイルを作成できます。次に、後続のクライアントレス セッション中に表示するために、ファイルをフラッシュ メモリにインポートします。事前にインポートしたヘルプ コンテンツ ファイルを取得して、変更し、フラッシュ メモリに再インポートすることもできます。

各クライアントレス アプリケーションのパネルには、事前に設定されたファイル名を使用して独自のヘルプ ファイル コンテンツが表示されます。今後、各ファイルは、適応型セキュリティ アプライアンスのフラッシュ メモリ内の /+CSCOE+/help/ language / という URL に置かれます。 表 70-11 に、クライアントレス SSL VPN セッション用に保守できる各ヘルプ ファイルの詳細を示します。

 

表 70-11 クライアントレス SSL VPN アプリケーションのヘルプ ファイル

アプリケーション タイプ
パネル
セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL
シスコが提供するヘルプ ファイルに英語版があるか

標準

Application Access

/+CSCOE+/help/ language /app-access-hlp.inc

あり

標準

Browse Networks

/+CSCOE+/help/ language /file-access-hlp.inc

あり

標準

AnyConnect Client

/+CSCOE+/help/ language /net-access-hlp.inc

あり

標準

Web Access

/+CSCOE+/help/ language /web-access-hlp.inc

あり

プラグイン

MetaFrame Access

/+CSCOE+/help/ language /ica-hlp.inc

なし

プラグイン

Terminal Servers

/+CSCOE+/help/ language /rdp-hlp.inc

あり

プラグイン

Telnet/SSH Servers

/+CSCOE+/help/ language /ssh,telnet-hlp.inc

あり

プラグイン

VNC Connections

/+CSCOE+/help/ language /vnc-hlp.inc

あり

language は、ブラウザに表示される言語の省略形です。このフィールドは、ファイル変換には 使用されません 。ファイル内で使用される言語を示します。特定の言語コードを指定するには、ブラウザに表示される言語のリストからその言語の省略形をコピーします。たとえば、次の手順のいずれかを使用すると、ダイアログ ウィンドウに言語と関連の言語コードが表示されます。

Internet Explorer を起動して、[Tools] > [Internet Options] > [Languages] > [Add] を選択します。

Mozilla Firefox を起動して、[Tools] > [Options] > [Advanced] > [General] を選択し、[Languages] の隣にある [Choose] をクリックして、[Select a language to add] をクリックします。

次の項では、クライアントレス セッションで表示されるヘルプ コンテンツのカスタマイズ方法について説明します。

「シスコが提供するヘルプ ファイルのカスタマイズ」

「シスコが提供していない言語用のヘルプ ファイルの作成」

「フラッシュ メモリへのヘルプ ファイルのインポート」

「フラッシュ メモリからの事前にインポートしたヘルプ ファイルのエクスポート」

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供するヘルプ ファイルをカスタマイズするには、まずフラッシュ メモリ カードからファイルのコピーを取得する必要があります。次の手順で、コピーを取得してカスタマイズします。


ステップ 1 ブラウザを使用して、適応型セキュリティ アプライアンスとのクライアントレス SSL VPN セッションを確立します。

ステップ 2 表 70-11 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の中の文字列を、適応型セキュリティ アプライアンスのアドレスに追加し、Enter キーを押してヘルプ ファイルを表示します。


) 英語版のヘルプ ファイルを取得するには、language のところに en を入力します。


次のアドレス例は、Terminal Servers のヘルプの英語版を表示します。

https:// address_of_security_appliance /+CSCOE+/help/en/rdp-hlp.inc

ステップ 3 [File] > [Save(Page)As] を選択します。


注意 [File name] ボックスの内容は変更しないでください。

ステップ 4 [Save as type] オプションを「Web Page, HTML only」に変更して、[Save] をクリックします。

ステップ 5 任意の HTML エディタを使用してファイルを変更します。


) ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグ、およびコンテンツを構築するための <p>、<ol>、<ul>、および <li> などのタグは使用できます。


ステップ 6 オリジナルのファイル名と拡張子を指定して、HTML only としてファイルを保存します。

ステップ 7 ファイル名が 表 70-11 にあるファイル名のいずれかと一致すること、および余分なファイル拡張子がないことを確認します。


 

クライアントレス SSL VPN セッションで表示するために、変更したファイルをインポートする場合は、フラッシュ メモリへのヘルプ ファイルのインポートを参照してください。

シスコが提供していない言語用のヘルプ ファイルの作成

HTML を使用して、他の言語でヘルプ ファイルを作成します。


) ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグ、およびコンテンツを構築するための <p>、<ol>、<ul>、および <li> などのタグは使用できます。


サポートするそれぞれの言語に別のフォルダを作成することをお勧めします。

HTML only としてファイルを保存します。 表 70-11 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の最後のスラッシュの後にあるファイル名を使用します。

クライアントレス SSL VPN セッションで表示するためにファイルをインポートする場合は、次の項を参照してください。

フラッシュ メモリへのヘルプ ファイルのインポート

クライアントレス SSL VPN セッションで表示するために、フラッシュ メモリにヘルプ コンテンツ ファイルをインポートするには、特権 EXEC モードで次のコマンドを入力します。

import webvpn webcontent destination_url source_url

destination_url は、 表 70-11 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の文字列です。

source_url は、インポートするファイルの URL です。有効なプレフィックスは、ftp://、http://、および tftp:// です。

次のコマンド例は、TFTP サーバ(209.165.200.225)からヘルプ ファイル app-access-hlp.inc をフラッシュ メモリにコピーします。この URL には英語の省略形である en が含まれています。

hostname# import webvpn webcontent /+CSCOE+/help/en/app-access-hlp.inc tftp://209.165.200.225/app-access-hlp.inc
 

フラッシュ メモリからの事前にインポートしたヘルプ ファイルのエクスポート

後で編集するために事前にインポートしたヘルプ コンテンツ ファイルを取得するには、特権 EXEC モードで次のコマンドを入力します。

export webvpn webcontent source_url destination_url

source_url は、 表 70-11 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の文字列です。

destination_url は、 ターゲット URL です。有効なプレフィックスは、ftp:// と tftp:// です。最大文字数は 255 です。

次のコマンド例は、[Browse Networks] パネルに表示される英語のヘルプ ファイル file-access-hlp.inc を TFTP サーバ(209.165.200.225)にコピーします。

hostname# export webvpn webcontent /+CSCOE+/help/en/file-access-hlp.inc tftp://209.165.200.225/file-access-hlp.inc
 

ユーザ名とパスワードの要求

ネットワークによっては、リモート セッション中にユーザが、コンピュータ、インターネット サービス プロバイダー、クライアントレス SSL VPN、メール サーバ、ファイル サーバ、企業アプリケーションのうち、それらの一部またはすべてにログインする必要が生じることがあります。ユーザはさまざまなコンテキストで認証を行うために、固有のユーザ名、パスワード、PIN などさまざまな情報が要求される場合があります。

表 70-12 に、クライアントレス SSL VPN ユーザが知っておく必要があるユーザ名とパスワードのタイプを示します。

 

表 70-12 クライアントレス SSL VPN セッションのユーザに提供するユーザ名とパスワード

ログイン ユーザ名/
パスワード タイプ
目的
入力するタイミング

コンピュータ

コンピュータへのアクセス

コンピュータの起動

インターネット サービス プロバイダー

インターネットへのアクセス

インターネット サービス プロバイダーへの接続

クライアントレス SSL VPN

リモート ネットワークへのアクセス

クライアントレス SSL VPN の起動

ファイル サーバ

リモート ファイル サーバへのアクセス

クライアントレス SSL VPN ファイル ブラウジング機能を使用して、リモート ファイル サーバにアクセスするとき

企業アプリケーションへのログイン

ファイアウォールで保護された内部サーバへのアクセス

クライアントレス SSL VPN Web ブラウジング機能を使用して、保護されている内部 Web サイトにアクセスするとき

メール サーバ

クライアントレス SSL VPN 経由のリモート メール サーバへのアクセス

電子メール メッセージの送受信

セキュリティのヒントの通知

ユーザはいつでもツールバーの [Logout] アイコンをクリックして、クライアントレス SSL VPN セッションを閉じることができます(ブラウザ ウィンドウを閉じてもセッションは閉じません)。

クライアントレス SSL VPN は、企業ネットワーク上のリモート PC やワークステーションと適応型セキュリティ アプライアンスとの間のデータ転送のセキュリティを保証するものです。クライアントレス SSL VPN を使用してもすべてのサイトとの通信がセキュアであるとは限らないことを、ユーザに通知してください。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるもの)にアクセスする場合、企業の適応型セキュリティ アプライアンスから目的の Web サーバまでの通信は暗号化されていないため、プライベートではありません。

クライアントレス SSL VPN セキュリティ対策の順守 に、セッション内で実行する手順に応じて、ユーザと通信するための追加のヒントを示します。

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

表 70-13 に、クライアントレス SSL VPN を使用するためのリモート システムの設定に関する次の情報を示します。

クライアントレス SSL VPN の起動

クライアントレス SSL VPN フローティング ツールバーの使用

Web ブラウジング

ネットワーク ブラウジングとファイル管理

アプリケーションの使用(ポート転送)

ポート転送を介した電子メールの使用

Web アクセスを介した電子メールの使用

電子メール プロキシを介した電子メールの使用

表 70-13 には、次の項目に関する情報も記載されています。

クライアントレス SSL VPN の要件(機能別)

クライアントレス SSL VPN でサポートされるアプリケーション

クライアント アプリケーションのインストールとコンフィギュレーションの要件

エンド ユーザに提供する必要のある情報

エンド ユーザのためのヒントや使用上の推奨事項

ユーザ アカウントを別々に設定し、各ユーザが異なるクライアントレス SSL VPN の機能を使用できるようにすることが可能です。 表 70-13 に、機能別の情報をまとめています。使用できない機能の情報についてはスキップしてください。

 

表 70-13 クライアントレス SSL VPN のリモート システム コンフィギュレーションとエンド ユーザの要件

作業
リモート システムまたはエンド ユーザの要件
仕様または使用上の推奨事項

クライアントレス SSL VPN の起動

インターネットへの接続

サポートされているインターネット接続は、次のとおりです。

家庭の DSL、ケーブル、ダイヤルアップ

公共のキオスク

ホテルの回線

空港の無線ノード

インターネット カフェ

クライアントレス SSL VPN でサポートされている Web ブラウザ

Cisco ASA 5500 Series VPN Compatibility Reference 』を参照してください。

ブラウザでイネーブルにされているクッキー

ポート転送を介してアプリケーションにアクセスするために、ブラウザでクッキーをイネーブルにする必要があります。

クライアントレス SSL VPN の URL

https アドレスの形式は次のとおりです。
https:// address
address は、クライアントレス SSL VPN がイネーブルになっている適応型セキュリティ アプライアンスのインターフェイスの IP アドレスまたは DNS ホスト名(またはロードバランシング クラスタ)です。 たとえば、https://10.89.192.163 または https://cisco.example.com のようになります。

クライアントレス SSL VPN のユーザ名とパスワード

--

(オプション)ローカル プリンタ

クライアントレス SSL VPN ではローカル印刷がサポートされていますが、VPN 経由による企業ネットワーク上のプリンタへの印刷はサポートされていません。

クライアントレス SSL VPN セッション中に表示されるフローティング ツールバーの使用

フローティング ツールバーを使用すると、クライアントレス SSL VPN を簡単に使用できます。ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

フローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。[Close] ボタンをクリックすると、適応型セキュリティ アプライアンスはクライアントレス SSL VPN セッションの終了を確認するプロンプトを表示します。


ヒント ヒント:テキストをテキスト フィールドに貼り付けるには、Ctrl+V キーを使用します(クライアントレス SSL VPN セッション中は、表示されるツールバー上での右クリックはディセーブルになっています)。


Web ブラウジング

保護されている Web サイトのユーザ名とパスワード

クライアントレス SSL VPN を使用しても、すべてのサイトとの通信がセキュアになるわけではありません。(セキュリティのヒントの通知を参照)。

クライアントレス SSL VPN での Web ブラウジングのルックアンドフィールは、ユーザが見慣れたものではない場合があります。次に例を示します。

クライアントレス SSL VPN のタイトル バーが各 Web ページの上部に表示される。

Web サイトへのアクセス方法:

クライアントレス SSL VPN [Home] ページ上の [Enter Web Address] フィールドに URL を入力する

クライアントレス SSL VPN [Home] ページ上にある設定済みの Web サイト リンクをクリックする

上記 2 つのどちらかの方法でアクセスした Web ページ上のリンクをクリックする

また、特定のアカウントの設定によっては、次のようになる場合もあります。

一部の Web サイトがブロックされている

使用可能な Web サイトが、クライアントレス SSL VPN [Home] ページ上にリンクとして表示されるものに限られる

ネットワーク ブラウジングとファイル管理

共有リモートアクセス用に設定されたファイル アクセス権

クライアントレス SSL VPN を介してアクセスできるのは、共有フォルダと共有ファイルに限られます。

保護されているファイル サーバのサーバ名とパスワード

--

フォルダとファイルが存在するドメイン、ワークグループ、およびサーバ名

ユーザは、組織ネットワークを介してファイルを見つける方法に慣れていない場合があります。

--

コピー処理の進行中は、 Copy File to Server コマンドを中断したり、別の画面に移動したりしないでください。コピー処理を中断すると、不完全なファイルがサーバに保存される可能性があります。

ポート転送の使用

(注) Macintosh OS X の場合、この機能をサポートしているのは Safari ブラウザだけです。

(注) この機能を使用するには、Sun Microsystems Java™ Runtime Environment をインストールしてローカル クライアントを設定する必要があります。これには、ローカル システムで管理者の許可が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。

ポート転送の使用(続き)


注意 ユーザは、[Close] アイコンをクリックしてアプリケーションを終了したら、必ず Application Access ウィンドウを閉じる必要があります。このウィンドウを正しく閉じないと、Application Access またはアプリケーション自体がディセーブルになる可能性があります。詳細については、Application Access 使用時の hosts ファイル エラーからの回復を参照してください。

インストール済みのクライアント アプリケーション

--

ブラウザでイネーブルにされているクッキー

--

管理者特権

ユーザは、DNS 名を使用してサーバを指定する場合、ホスト ファイルを変更するのに必要になるため、PC に対する管理者アクセス権が必要になります。

インストール済みの Sun Microsystems Java Runtime Environment(JRE)バージョン 1.4.x と 1.5.x

ブラウザで Javascript をイネーブルにする必要があります。デフォルトでは、イネーブルになっています。

JRE がインストールされていない場合は、ポップアップ ウィンドウが表示され、ユーザに対して使用可能なサイトが示されます。
まれに、JAVA 例外エラーで、ポート転送アプレットが失敗することがあります。このような状況が発生した場合は、次の手順を実行します。

1. ブラウザのキャッシュをクリアして、ブラウザを閉じます。

2. JAVA アイコンがコンピュータのタスク バーに表示されていないことを確認します。JAVA のインスタンスをすべて閉じます。

3. クライアントレス SSL VPN セッションを確立し、ポート転送 JAVA アプレットを起動します。

設定済みのクライアント アプリケーション(必要な場合)。
(注) Microsoft Outlook クライアントの場合、この設定手順は不要です。

Windows 以外のすべてのクライアント アプリケーションでは、設定が必要です。
Windows アプリケーションの設定が必要かどうかを確認するには、[Remote Server] の値をチェックします。

[Remote Server] にサーバ ホスト名が含まれている場合、クライアント アプリケーションの設定は不要です。

[Remote Server] フィールドに IP アドレスが含まれている場合、クライアント アプリケーションを設定する必要があります。

クライアント アプリケーションを設定するには、ローカルにマッピングされたサーバの IP アドレスとポート番号を使用します。この情報を見つけるには、次の手順を実行します。

1. クライアントレス SSL VPN セッションを開始して、[Home] ページの Application Access リンクをクリックします。Application Access ウィンドウが表示されます。

2. [Name] カラムで、使用するサーバ名を確認し、このサーバに対応するクライアント IP アドレスとポート番号を [Local] カラムで確認します。

3. この IP アドレスとポート番号を使用して、クライアント アプリケーションを設定します。設定手順は、クライアント アプリケーションによって異なります。

ポート転送の使用(続き)

(注) クライアントレス SSL VPN セッション上で実行しているアプリケーションで URL(電子メール メッセージ内のものなど)をクリックしても、サイトがそのセッションで開くわけではありません。サイトをセッション上で開くには、その URL を [Enter Clientless SSL VPN(URL)Address] フィールドに貼り付けます。

Application Access を介した電子メールの使用

Application Access の要件を満たす(「アプリケーションの使用」を参照)

電子メールを使用するには、クライアントレス SSL VPN の Home ページから Application Access を起動します。これにより、メール クライアントが使用できるようになります。
(注) IMAP クライアントの使用中にメール サーバとの接続が中断した、または新しく接続を確立できない場合は、IMAP アプリケーションを終了してクライアントレス SSL VPN を再起動します。

その他のメール クライアント

Microsoft Outlook Express バージョン 5.5 および 6.0 はテスト済みです。

クライアントレス SSL VPN は、Lotus Notes および Eudora などの、ポート転送を介したその他の SMTPS、POP3S、または IMAP4S 電子メール プログラムをサポートしますが、動作確認は行っていません。

Web アクセスを介した電子メールの使用

インストールされている Web ベースの電子メール製品

次の製品がサポートされています。

Outlook Web Access

最適な結果を得るために、Internet Explorer 6.x 以上、または Firefox 3 で OWA を使用してください。

Louts iNotes

その他の Web ベースの電子メール製品も動作しますが、動作確認は行っていません。

電子メール プロキシを介した電子メールの使用(レガシー機能)

インストール済みの SSL 対応メール アプリケーション

適応型セキュリティ アプライアンス SSL バージョンを TLSv1 Only に設定しないでください。Outlook および Outlook Express は TLS をサポートしていません。

サポートされているメール アプリケーションは次のとおりです。

Microsoft Outlook 2000 および 2002

Microsoft Outlook Express 5.5 および 6.0

その他の SSL 対応クライアントも動作しますが、動作確認は行っていません。

設定済みのメール アプリケーション

メール アプリケーションの使用方法と例については、クライアントレス SSL VPN を介した電子メールの使用を参照してください。

スマート トンネルの使用

スマート トンネルには、Windows では ActiveX または JRE、Mac OS では Java Web Start が必要です。MAC OS では、フロントサイド プロキシはサポートされていません。

ブラウザで Cookie をイネーブルにしておく必要があります(デフォルトでオン)。

--

インストール済みの Sun Microsystems Java Runtime Environment(JRE)バージョン 1.4.x と 1.5.x

ブラウザで Javascript をイネーブルにする必要があります。デフォルトでは、イネーブルになっています。

ポート フォワーダの場合と異なり、JAVA は自動的にダウンロードされません。

Microsoft Outlook はサポートされていません。

--

--

管理権限は必要ありません。

「Windows の要件と制限事項」の項に指定されているオペレーティング システムおよびブラウザだけがサポートされています。

TCP ソケットベースのアプリケーションだけがサポートされています。

ユーザ メッセージの言語の変換

適応型セキュリティ アプライアンスには、ブラウザベースのクライアントレス SSL VPN 接続を開始するユーザに表示されるポータルと画面、および Cisco AnyConnect VPN Client ユーザに表示されるインターフェイスの言語変換機能があります。

この項では、これらのユーザ メッセージを変換するために適応型セキュリティ アプライアンスを設定する方法について説明します。次の項目を取り上げます。

「言語変換の概要」

「変換テーブルの作成」

「カスタマイゼーション オブジェクトでの言語の参照」

「カスタマイゼーション オブジェクトを使用するためのグループポリシーまたはユーザ アトリビュートの変更」

言語変換の概要

リモート ユーザに可視である機能エリアとそれらのメッセージは、変換ドメイン内にまとめられています。 表 70-14 に、変換ドメインと変換される機能エリアを示します。

 

表 70-14 変換ドメインと、その影響を受ける機能エリア

変換ドメイン
変換される機能エリア

AnyConnect

Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッセージ。

CSD

Cisco Secure Desktop のメッセージ。

customization

ログイン ページおよびログアウト ページのメッセージ、ポータル ページ、およびユーザがカスタマイズできるすべてのメッセージ。

banners

リモート ユーザに対して表示されるバナー、および VPN アクセスが拒否されたときのメッセージ。

PortForwarder

ポート転送ユーザに対して表示されるメッセージ。

url-list

ユーザがポータル ページの URL ブックマークに指定したテキスト。

webvpn

カスタマイズできないレイヤ 7、AAA、およびポータルのすべてのメッセージ。

plugin-ica

Citrix プラグインのメッセージ。

plugin-rdp

Remote Desktop Protocol プラグインのメッセージ。

plugin-telnet,ssh

Telnet および SSH プラグインのメッセージ。

plugin-vnc

VNC プラグインのメッセージ。

適応型セキュリティ アプライアンスのソフトウェア イメージ パッケージには、標準機能の一部である各ドメイン用の変換テーブル テンプレートが含まれています。プラグインのテンプレートはプラグインともに含まれており、独自の変換ドメインを定義します。

変換ドメインのテンプレートをエクスポートできます。これで、入力する URL にテンプレートの XML ファイルが作成されます。このファイルのメッセージ フィールドは空です。メッセージを編集して、テンプレートをインポートし、フラッシュ メモリに置かれる新しい変換テーブル オブジェクトを作成できます。

既存の変換テーブルをエクスポートすることもできます。作成した XML ファイルに事前に編集したメッセージが表示されます。この XML ファイルを同じ言語名で再インポートすると、変換テーブル オブジェクトの新しいバージョンが作成され、以前のメッセージが上書きされます。

テンプレートにはスタティックのものも、適応型セキュリティ アプライアンスの設定に基づいて変化するものもあります。 ログイン ページ、ログアウト ページ、ポータル ページ、およびクライアントレス ユーザ用の URL ブックマーク をカスタマイズできるため、適応型セキュリティ アプライアンスは、 customization および url-list 変換ドメイン テンプレートをダイナミックに生成し、これらの機能エリアに対する変更は自動的にテンプレートに反映されます。

変換テーブルを作成した後、このテーブルを使用して、カスタマイゼーション オブジェクトを作成し、グループポリシーまたはユーザ アトリビュートに適用できます。AnyConnect 変換ドメイン以外では、カスタマイゼーション オブジェクトを作成し、変換テーブルを使用するようにオブジェクトで指定し、グループポリシーまたはユーザに対してそのカスタマイゼーションを指定するまで、変換テーブルは影響を及ぼすことはなく、ユーザ画面のメッセージは変換されません。AnyConnect ドメインの変換テーブルに対する変更は、すぐに AnyConnect クライアント ユーザに可視となります。

変換テーブルの作成

次の手順は、変換テーブルの作成方法を説明しています。


ステップ 1 特権 EXEC モードで export webvpn translation-table コマンドを使用して、コンピュータに変換テーブル テンプレートをエクスポートします。

次の例では、 show webvpn translation-table コマンドによって、使用可能な変換テーブル テンプレートとテーブルを表示しています。

hostname# show import webvpn translation-table
Translation Tables' Templates:
customization
AnyConnect
CSD
PortForwarder
url-list
webvpn
Citrix-plugin
RPC-plugin
Telnet-SSH-plugin
VNC-plugin
 
Translation Tables:
 

次の例では、カスタマイゼーション ドメイン用に変換テーブル テンプレートをエクスポートします。これは、クライアントレス SSL VPN セッションのユーザに表示されるメッセージに影響を及ぼします。作成される XML ファイルのファイル名は portal (ユーザ指定)で、次の空のメッセージ フィールドが含まれています。

hostname# export webvpn translation-table customization template tftp://209.165.200.225/portal
 

ステップ 2 変換テーブルの XML ファイルを編集します。

次の例は、 portal としてエクスポートされたテンプレートの一部を示しています。この出力の最後には、 SSL VPN メッセージのメッセージ ID フィールド(msgid)とメッセージ文字列フィールド(msgstr)が含まれています。このメッセージは、ユーザがクライアントレス SSL VPN セッションを確立するときにポータル ページに表示されます。完全なテンプレートには、多くのメッセージ フィールドのペアが含まれています。

# Copyright (C) 2006 by Cisco Systems, Inc.
#
#, fuzzy
msgid ""
msgstr ""
"Project-Id-Version: ASA\n"
"Report-Msgid-Bugs-To: vkamyshe@cisco.com\n"
"POT-Creation-Date: 2007-03-12 18:57 GMT\n"
"PO-Revision-Date: YEAR-MO-DA HO:MI+ZONE\n"
"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
"Language-Team: LANGUAGE <LL@li.org>\n"
"MIME-Version: 1.0\n"
"Content-Type: text/plain; charset=UTF-8\n"
"Content-Transfer-Encoding: 8bit\n"
 
#: DfltCustomization:24 DfltCustomization:64
msgid "Clientless SSL VPN Service"
msgstr ""
 

メッセージ ID フィールド(msgid)には、デフォルトの変換が含まれています。msgid に続くメッセージ文字列フィールド(msgstr)で変換を指定します。変換を作成するには、msgstr 文字列の引用符の間に変換対象のテキストを入力します。

 

ステップ 3 特権 EXEC モードで import webvpn translation-table コマンドを使用して、変換テーブルをインポートします。

次の例では、米国スペイン語の省略形 es-us で XML ファイルがインポートされます。

hostname# import webvpn translation-table customization language es-us tftp://209.165.200.225/portal
hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
hostname# show import webvpn translation-table
Translation Tables' Templates:
AnyConnect
PortForwarder
csd
customization
keepout
url-list
webvpn
Citrix-plugin
RPC-plugin
Telnet-SSH-plugin
VNC-plugin
 
Translation Tables:
es-us customization
 

AnyConnect ドメインの変換テーブルをインポートする場合、変更内容はすぐに有効になります。その他のドメインの変換テーブルをインポートする場合は、ステップ 4 に進み、カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを指定して、グループポリシーまたはユーザに対してカスタマイゼーション オブジェクトを指定する必要があります。

カスタマイゼーション オブジェクトでの言語の参照

変換テーブルを作成したら、このテーブルをカスタマイゼーション オブジェクトで参照する必要があります。

ステップ 4 ~ 6 で、カスタマイゼーション テンプレートをエクスポートし、編集して、カスタマイゼーション オブジェクトとしてインポートする方法について説明します。

ステップ 4 特権 EXEC モードで export webvpn customization template コマンドを使用して、編集作業ができる URL にカスタマイゼーション テンプレートをエクスポートします。次の例では、テンプレートをエクスポートし、指定した URL に sales のコピーを作成しています。

hostname# export webvpn customization template tftp://209.165.200.225/sales
 

ステップ 5 カスタマイゼーション テンプレートを編集し、以前インポートした変換テーブルを参照します。

カスタマイゼーション テンプレートの XML コードの 2 つのエリアが変換テーブルに関係します。次に示す最初のエリアは、使用する変換テーブルを指定します。

<localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>
</localization>
 

XML コードの <languages> タグの後に、変換テーブルの名前を続けます。この例では、en、ja、zh、ru、および ua です。カスタマイゼーション オブジェクトでこれらの変換テーブルを正しく呼び出すには、テーブルが同じ名前ですでにインポートされている必要があります。これらの名前は、ブラウザの言語オプションと互換性がある必要があります。

<default-language> タグは、リモート ユーザが適応型セキュリティ アプライアンスに接続したときに最初に表示する言語を指定します。上のコード例では、言語は英語です。

図 70-15 に、ログイン ページに表示される言語セレクタを示します。SSL VPN 接続を確立しているリモート ユーザは、言語セレクタを使用して言語を選択できます。

図 70-15 言語セレクタ

 

次の XML コードは、言語セレクタの表示に影響を与えるもので、<language selector> タグとそれに関連付けられた <language> タグによって、言語セレクタをイネーブルにし、カスタマイズします。

 
<auth-page>
....
<language-selector>
<mode>enable</mode>
<title l10n="yes">Language:</title>
<language>
<code>en</code>
<text>English</text>
</language>
<language>
<code>es-us</code>
<text>Spanish</text>
</language>
</language-selector>
 

タグ グループ <language-selector> には、言語セレクタの表示をイネーブルおよびディセーブルにする <mode> タグと、言語を一覧表示するドロップダウン ボックスのタイトルを指定する <title> タグが含まれています。

タグ グループ <language> には、<code> タグと <text> タグが含まれており、言語セレクタ ドロップダウン ボックスに表示される言語名と特定の変換テーブルをマッピングします。

このファイルに変更を加えて保存します。

ステップ 6 特権 EXEC モードで import webvpn customization コマンドを使用して、新しいオブジェクトとしてカスタマイゼーション テンプレートをインポートします。次に例を示します。

hostname# import webvpn customization sales tftp://209.165.200.225/sales
hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 

show import webvpn customization コマンドの出力に、新しいカスタマイゼーション オブジェクト sales が表示されます。

hostname(config)# show import webvpn customization
Template
sales
hostname(config)#

カスタマイゼーション オブジェクトを使用するためのグループポリシーまたはユーザ アトリビュートの変更

カスタマイゼーション オブジェクトを作成したら、特定のグループまたはユーザに対して変更をアクティブにする必要があります。ステップ 7 は、カスタマイゼーション オブジェクトをグループポリシーでイネーブルにする方法を示しています。

ステップ 7 グループポリシーのグループポリシー webvpn コンフィギュレーション モードに入り、 customization コマンドを使用して、カスタマイゼーション オブジェクトをイネーブルにします。次の例は、グループポリシー sales でカスタマイゼーション オブジェクト sales がイネーブルになっていることを示しています。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# customization value sales
 

データのキャプチャ

CLI capture コマンドを使用すると、クライアントレス SSL VPN セッションでは正しく表示されない Web サイトに関する情報を記録できます。このデータは、シスコ カスタマー サポート エンジニアによる問題のトラブルシューティングに役立ちます。次の項では、クライアントレス SSL VPN セッション データのキャプチャおよび表示方法について説明します。

キャプチャ ファイルの作成

キャプチャ データを表示するためのブラウザの使用


) クライアントレス SSL VPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成したら、キャプチャを必ずディセーブルにしてください。


キャプチャ ファイルの作成

次の手順を実行して、クライアントレス SSL VPN セッションに関するデータをファイルにキャプチャします。


ステップ 1 クライアントレス SSL VPN のキャプチャ ユーティリティを開始するには、特権 EXEC モードで capture コマンドを使用します。

capture capture_name type webvpn user webvpn_username

パラメータは次のとおりです。

capture_name は、キャプチャに割り当てる名前です。これは、キャプチャ ファイルの名前の先頭にも付加されます。

webvpn_user は、キャプチャの対象となるユーザ名です。

キャプチャ ユーティリティが開始されます。

ステップ 2 ユーザがクライアントレス SSL VPN セッションを開始するためにログインします。キャプチャ ユーティリティは、パケットをキャプチャしています。

コマンドの no バージョンを使用してキャプチャを停止します。

no capture capture_name

キャプチャ ユーティリティは capture_name .zip ファイルを作成し、このファイルはパスワード koleso で暗号化されます。

ステップ 3 .zip ファイルをシスコシステムズに送信するか、Cisco TAC サービス リクエストに添付します。

ステップ 4 .zip ファイルの内容を確認するには、パスワード koleso を使用してファイルを解凍します。


 

次の例では、 hr という名前のキャプチャを作成します。これは、user2 へのトラフィックを次のようにファイルにキャプチャします。

hostname# capture hr type webvpn user user2
WebVPN capture started.
capture name hr
user name user2
hostname# no capture hr
 


 

キャプチャ データを表示するためのブラウザの使用

次の手順を実行して、クライアントレス SSL VPN セッションに関するデータをキャプチャして、ブラウザに表示します。


ステップ 1 クライアントレス SSL VPN のキャプチャ ユーティリティを開始するには、特権 EXEC モードで capture コマンドを使用します。

capture capture_name type webvpn user webvpn_username

パラメータは次のとおりです。

capture_name は、キャプチャに割り当てる名前です。これは、キャプチャ ファイルの名前の先頭にも付加されます。

webvpn_user は、キャプチャの対象となるユーザ名です。

キャプチャ ユーティリティが開始されます。

ステップ 2 ユーザがクライアントレス SSL VPN セッションを開始するためにログインします。キャプチャ ユーティリティは、パケットをキャプチャしています。

コマンドの no バージョンを使用してキャプチャを停止します。

ステップ 3 ブラウザを開き、[Address] ボックスに次のように入力します。

https:// asdm_enabled_interface_of_the_security_appliance : port /admin/capture/ capture_name /pcap

次のコマンド例は、hr という名前のキャプチャを表示します。

https://192.0.2.1:60000/admin/capture/hr/pcap

キャプチャされたコンテンツが sniffer 形式で表示されます。

ステップ 4 キャプチャ コンテンツを調べ終えたら、コマンドの no バージョンを使用してキャプチャを停止します。