ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
クライアントレス SSL VPN の設定
クライアントレス SSL VPN の設定
発行日;2012/09/25 | 英語版ドキュメント(2012/06/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

クライアントレス SSL VPN の設定

クライアントレス SSL VPN に関する情報

ライセンス要件

クライアントレス SSL VPN の前提条件

ガイドラインと制限事項

クライアントレス SSL VPN セキュリティ対策の順守

クライアントレス SSL VPN アクセスの設定

ACL の設定

ACE の追加または編集

クライアントレス SSL VPN の ACL の設定例

Cisco Secure Desktop の設定

イメージのアップロード

Application Helper の設定

APCF パッケージのアップロード

パスワードの管理

シスコの認証スキームの SiteMinder への追加

SAML POST SSO サーバの設定

HTTP Form プロトコルを使用した SSO の設定

HTTP Form データの収集

自動サインオンの使用

セッションの設定

Java Code Signer

Encoding

コンテンツ キャッシュ

Content Rewrite

コンテンツ リライト ルールの設定例

プラグインへのブラウザ アクセスの設定

新しい環境変数の追加

プラグインのためのセキュリティ アプライアンスの準備

シスコが再配布しているプラグインのインストール

サードパーティのプラグインへのアクセスの提供

POST URL の設定および適用

Citrix Java Presentation Server へのアクセスの提供

クライアントレス SSL VPN アクセスのための Citrix MetaFrame Server の準備

Citrix プラグインの作成とインストール

Microsoft Kerberos Constrained Delegation ソリューションの理由

KCD の機能概要

KCD の認証フロー

Active Directory での Windows サービス アカウントの追加

KCD の DNS の設定

Active Directory ドメインに参加する の設定

Kerberos サーバ グループの設定

Kerberos で認証されるサービスにアクセスするためのブックマークの設定

Application Access の設定

スマート トンネル アクセスの設定

スマート トンネルについて

スマート トンネルを使用する理由

スマート トンネルの設定(Lotus の例)

トンネリングするアプリケーションの設定の簡略化

スマート トンネル リストの割り当て

スマート トンネル ポリシーの設定および適用

スマート トンネルの自動サインオンのサーバの指定

スマート トンネル自動サインオン サーバ エントリの追加または編集

スマート トンネル アクセスのイネーブル化とディセーブル化

スマート トンネルからのログオフ

ペアレント プロセスの終了

通知アイコン

ポート転送の設定

ポート転送に関する情報

ポート転送用の DNS の設定

ポート転送に適格なアプリケーションの追加

ポート転送エントリの追加/編集

ポート転送リストの割り当て

ポート転送のイネーブル化とディセーブル化

外部プロキシ サーバの使用法の設定

SSO サーバ

SiteMinder と SAML Browser Post Profile の設定

シスコの認証スキームの SiteMinder への追加

SSO サーバの追加または編集

Application Access ユーザへの注記

Vista での Application Access の使用

hosts ファイル エラーを回避するための Application Access の終了

Application Access 使用時の hosts ファイル エラーからの回復

hosts ファイルの概要

不正な Application Access の終了

クライアントレス SSL VPN による hosts ファイルの自動再設定

手動による hosts ファイルの再設定

ファイル アクセスの設定

CIFS ファイル アクセスの要件と制限事項

ファイル アクセスのサポートの追加

SharePoint アクセスのためのクロックの精度の確認

クライアントレス SSL VPN ユーザ エクスペリエンスのカスタマイズ

Customization Editor によるログイン ページのカスタマイズ

独自の完全にカスタマイズしたページでのログイン ページの置き換え

カスタム ログイン画面ファイルの設定

ファイルおよびイメージのインポート

カスタム ログイン画面を使用するセキュリティ アプライアンスの設定

PDA でのクライアントレス SSL VPN の使用

クライアントレス SSL VPN を介した電子メールの使用

電子メール プロキシの設定

Web 電子メール:MS Outlook Web App の設定

ポータル アクセス ルールの設定

プロキシ バイパスの使用

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

APCF パッケージのアップロード

APCF 構文

クライアントレス SSL VPN エンド ユーザの設定

エンド ユーザ インターフェイスの定義

クライアントレス SSL VPN ホームページの表示

クライアントレス SSL VPN の Application Access パネルの表示

フローティング ツールバーの表示

クライアントレス SSL VPN ページのカスタマイズ

カスタマイゼーションに関する情報

カスタマイゼーション テンプレートのエクスポート

カスタマイゼーション テンプレートの編集

ログイン画面の高度なカスタマイゼーション

HTML ファイルの変更

ポータル ページのカスタマイズ

カスタム ポータル タイムアウト アラートの設定

カスタマイゼーション オブジェクト ファイルでのカスタム タイムアウト アラートの指定

ログアウト ページのカスタマイズ

カスタマイゼーション オブジェクトの追加

カスタマイゼーション オブジェクトのインポート/エクスポート

XML ベースのポータル カスタマイゼーション オブジェクトおよび URL リストの作成

XML カスタマイゼーション ファイルの構成について

カスタマイゼーションの設定例

カスタマイゼーション テンプレートの使用

カスタマイゼーション テンプレート

ヘルプのカスタマイゼーション

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供していない言語用のヘルプ ファイルの作成

アプリケーションのヘルプ コンテンツのインポートおよびエクスポート

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供していない言語用のヘルプ ファイルの作成

クライアント/サーバ プラグインへのブラウザ アクセスの設定

ブラウザ プラグインのインストールについて

RDP プラグイン ActiveX デバッグのクイック リファレンス

プラグインのためのセキュリティ アプライアンスの準備

ヘルプのカスタマイズ

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供していない言語用のヘルプ ファイルの作成

ユーザ名とパスワードの要求

セキュリティのヒントの通知

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

クライアントレス SSL VPN の起動

クライアントレス SSL VPN フローティング ツールバーの使用

Web のブラウズ

ネットワークのブラウズ(ファイル管理)

ポート転送の使用

ポート転送を介した電子メールの使用

Web アクセスを介した電子メールの使用

電子メール プロキシを介した電子メールの使用

スマート トンネルの使用

AnyConnect クライアントのカスタマイズ

リソース ファイルのインポートによる AnyConnect のカスタマイズ

独自の AnyConnect GUI テキストおよびスクリプトのカスタマイズ

バイナリ実行可能ファイルとしての独自の GUI のインポート

スクリプトのインポート

AnyConnect GUI テキストおよびメッセージのカスタマイズ

インストーラ トランスフォームを使用したインストーラ プログラムのカスタマイズ

トランスフォームの設定例

インストーラ トランスフォームを使用したインストーラ プログラムのローカライズ

言語ローカリゼーションのインポート/エクスポート

ブックマークの設定

ブックマーク エントリの追加

ブックマーク リストのインポートまたはエクスポート

Importing/Exporting GUI Customization Objects(Web コンテンツ)

Adding/Editing Post Parameter

ブックマークまたは URL エントリの設定例

ファイル共有(CIFS)URL 置換の設定の設定例

外部ポートのカスタマイズの設定例

クライアントレス SSL VPN の設定

この章では、クライアントレス SSL VPN を設定する方法について説明します。次の項目を取り上げます。

「クライアントレス SSL VPN に関する情報」

「ライセンス要件」

「クライアントレス SSL VPN の前提条件」

「ガイドラインと制限事項」

「クライアントレス SSL VPN アクセスの設定」

「Cisco Secure Desktop の設定」

「Application Helper の設定」

「自動サインオンの使用」

「セッションの設定」

「Java Code Signer」

「Encoding」

「コンテンツ キャッシュ」

「Content Rewrite」

「プラグインへのブラウザ アクセスの設定」

「KCD の機能概要」

「Application Access の設定」

「ポート転送の設定」

「Application Access ユーザへの注記」

「ファイル アクセスの設定」

「SharePoint アクセスのためのクロックの精度の確認」

「クライアントレス SSL VPN ユーザ エクスペリエンスのカスタマイズ」

「PDA でのクライアントレス SSL VPN の使用」

「クライアントレス SSL VPN を介した電子メールの使用」

「ポータル アクセス ルールの設定」

「クライアントレス SSL VPN エンド ユーザの設定」

「クライアント/サーバ プラグインへのブラウザ アクセスの設定」

「AnyConnect クライアントのカスタマイズ」

「ブックマークの設定」

クライアントレス SSL VPN に関する情報


) クライアントレス SSL VPN にASAを設定している場合、セキュリティ コンテキスト(ファイアウォール マルチモードとも呼ばれる)またはアクティブ/アクティブ ステートフル フェールオーバーをイネーブルにすることはできません。そのため、これらの機能は使用できなくなります。


クライアントレス SSL VPN によってユーザは、Web ブラウザを使用して ASA へのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェアやハードウェア クライアントは必要ありません。

クライアントレス SSL VPN を使用することで、HTTP インターネット サイトにアクセスできるほとんどすべてのコンピュータから、幅広い Web リソースと、Web 対応およびレガシー アプリケーションにセキュアかつ簡単にアクセスできます。次の内容で構成されています。

内部 Web サイト

Web 対応アプリケーション

NT/Active Directory ファイル共有

POP3S、IMAP4S、および SMTPS などの電子メール プロキシ

Microsoft Outlook Web Access Exchange Server 2000、2003、および 2007

Microsoft Web App to Exchange Server 2010(8.4(2) 以降において)

Application Access(つまり、他の TCP ベースのアプリケーションにアクセスするためのスマート トンネルまたはポート転送)

クライアントレス SSL VPN は Secure Sockets Layer(SSL)プロトコルおよびその後継の Transport Layer Security(SSL/TLS1)を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。ASAはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。

ネットワーク管理者は、クライアントレス SSL VPN セッションのユーザに対してグループ単位でリソースへのアクセスを提供します。ユーザは、内部ネットワーク上のリソースに直接アクセスすることはできません。

ライセンス要件

次の表に、この機能のライセンス要件を示します。


) この機能は、ペイロード暗号化機能のないモデルでは使用できません。


 

モデル
ライセンス要件1 2

ASA 5505

AnyConnect Premium ライセンス:

基本ライセンスまたは Security Plus ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10 または 25 セッション。

共有ライセンスはサポートされていません。3

ASA 5510

AnyConnect Premium ライセンス:

基本ライセンスと Security Plus ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、または 250 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5520

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、または 750 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5540

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、または 2500 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5550

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、または 5000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5580

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、5000、または 10000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5512-X

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、または 250 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5515-X

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、または 250 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5525-X

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、または 750 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5545-X

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、または 2500 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5555-X

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、または 5000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5585-X(SSP-10)

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、または 5000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5585-X(SSP-20、-40、および -60)

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、5000、または 10000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

1.クライアントレス SSL VPN セッションを開始した後、ポータルから AnyConnect クライアント セッションを開始した場合は、合計 1 つのセッションが使用されています。これに対して、最初に AnyConnect クライアントを(スタンドアロン クライアントなどから)開始した後、クライアントレス SSL VPN ポータルにログインした場合は、2 つのセッションが使用されています。

2.すべてのタイプの組み合わせ VPN セッションの最大数は、この表に示す最大セッション数を越えることはできません。

3.共有ライセンスによって、ASAは複数のクライアントのASAの共有ライセンス サーバとして機能します。共有ライセンス プールは大規模ですが、個々のASAによって使用されるセッションの最大数は、永続的なライセンスで指定される最大数を超えることはできません。

クライアントレス SSL VPN の前提条件

リリース 8.4(3) では、次のプラットフォームからの、ブラウザベース(クライアントレス)の VPN アクセスがサポートされています。

Windows 7 x86(32 ビット)および x64(64 ビット)、Internet Explorer 9.x および Firefox 4.x 経由。

Windows Vista x64、Internet Explorer 7.x ~ 9.x または Firefox 4.x 経由。

KB952876 以降を含む Windows Vista x86 SP2 または Vista SP1、Internet Explorer 7.x または 9.x または Firefox 4.x 経由。

Windows XP x64、Internet Explorer 7.x ~ 8.x および Firefox 4.x 経由。

Windows XP x86 SP2 以降、Internet Explorer 6.x ~ 8.x または Firefox 4.x 経由。

Mac OS 10.6.x または 10.5 32 ビットおよび 64 ビット、Safari 3.x ~ 4.x および Firefox 4.x 経由。DoD Common Access Card および SmartCard を含む証明書認証は、Safari キーチェーンだけで動作します。

Linux、Firefox 4.x 経由。

ActiveX ページでは、ActiveX リレーをイネーブルにするか、関連するグループ ポリシーに activex-relay を入力しておくことが必要です。あるいは、スマート トンネル リストをポリシーに割り当て、エンドポイント上のブラウザ プロキシ例外リストにプロキシが指定されている場合、ユーザはそのリストに「shutdown.webvpn.relay.」エントリを追加する必要があります。

ASA では、Lotus iNotes 8.5 へのクライアントレス アクセスがサポートされています。

ASA では、Windows 7、Vista、Internet Explorer 8、Mac OS、および Linux から Windows 共有(CIFS)Web フォルダへのクライアントレス アクセスはサポートされていません。Windows XP SP2 で Web フォルダをサポートするには、 Microsoft 社が提供するホットフィックス が必要です。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

ASAは、クライアントレス SSL VPN 接続では次の機能をサポートしていません。

DSA 証明書。RSA 証明書は ASA でサポートされています。

リモート HTTPS 証明書。

一部のドメインベースのセキュリティ製品の要件。ASA によって URL は符号化されるため、要求は実際には ASA から送信され、ドメインベースのセキュリティ製品の要件を満たさない場合があります。

モジュラ ポリシー フレームワークのインスペクション機能。コンフィギュレーション制御を検査する機能です。

IPv6 アドレスを使用するホストからの VPN 接続。ホストは IPv4 アドレスを使用して、クライアントレス SSL VPN または AnyConnect セッションを確立する必要があります。ただし、ASA 8.0(2) 以降では、ユーザはこれらのセッションを使用して内部の IPv6 対応リソースにアクセスできます。

NAT。グローバルに固有の IP アドレスの必要性を減らす機能です。

PAT。複数の発信セッションが 1 つの IP アドレスから発信されているように見せることができる機能です。

QoS。 police コマンドと priority-queue コマンドを使用してレートを制限する機能です。

接続制限。スタティックまたはモジュラ ポリシー フレームワーク set connection コマンドによってチェックする機能です。シングル サインオン アプリケーション統合(SiteMinder など)。スマート トンネルによってクライアントとサーバ間のトンネルが効果的に作成され、これらのアプリケーションは想定どおりに動作する ASA と干渉するためです。

クライアントレス SSL VPN セキュリティ対策の順守

ASA 上のクライアントレス SSL VPN 接続は、リモート アクセス IPsec 接続とは異なっています。特に SSL 対応サーバとの対話方法やセキュリティ上のリスクを減らすための対策に違いがあります。

クライアントレス SSL VPN 接続では、ASAは、エンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。ユーザが SSL 対応 Web サーバに接続すると、ASAはセキュアな接続を確立し、SSL 証明書を検証します。ブラウザは提示された SSL 証明書を受信しないため、この証明書を検証することはできません。

ASA上の現在のクライアントレス SSL VPN 実装では、有効期限が切れた証明書を提示するサイトとの通信は許可されません。また、ASAは、それらの SSL 対応サイトに対して信頼できる CA 証明書の検証も実行しません。このため、Web 対応サービスで使用する前に、SSL 対応 Web サーバが配信するページの証明書を検証することによるメリットは、ユーザにはありません。

制約事項

デフォルトでは、ASAはすべての Web リソース(HTTPS、CIFS、RDP、およびプラグイン)に対するすべてのポータル トラフィックを許可します。ASA クライアントレス サービスは、各 URL をそれ自体だけに意味のあるものに書き換えます。ユーザは、要求したサイト上にあることを確認するためにアクセスしたページに表示される、その書き換えられた URL を使用できません。ユーザを危険にさらさないようにするために、クライアントレス アクセス用に設定されたポリシー(グループ ポリシー、ダイナミック アクセス ポリシー、またはその両方)に Web ACL を割り当てて、ポータルからのトラフィック フローを制御します。たとえば、このような ACL がないと、ユーザは不正な銀行や商用サイトからの認証要求を受け取る可能性があります。また、これらのポリシー上の URL エントリをディセーブルにして、ユーザがアクセスできるページについて混乱しないようにすることをお勧めします。

図 71-1 ユーザが入力する URL の例

 

図 71-2 セキュリティ アプライアンスによって書き換えられ、ブラウザ ウィンドウに表示された同じ URL

 

手順の詳細

クライアントレス SSL VPN アクセスにより引き起こされるリスクを最小限に抑えるためには、次のことを実行することをお勧めします。


ステップ 1 クライアントレス SSL VPN アクセスを必要とするすべてのユーザにグループ ポリシーを設定し、そのグループ ポリシーに対してだけクライアントレス SSL VPN をイネーブルにします。

ステップ 2 グループ ポリシーを開き、[General] > [More Options] > [Web ACL] を選択して [Manage] をクリックします。

ステップ 3 プライベート ネットワーク内の特定のターゲットへのアクセスだけを許可する、プライベート ネットワークへのアクセスだけを許可する、または信頼できるサイトへのアクセスだけを許可する Web ACL を作成します。

ステップ 4 クライアントレス アクセス用に設定しているすべてのポリシー(グループ ポリシー、ダイナミック アクセス ポリシー、またはその両方)に Web ACL を適用します。Web ACL を DAP に割り当てるには、DAP レコードを編集し、[Network ACL Filters] タブで Web ACL を選択します。

ステップ 5 ブラウザベースの接続の確立時に表示される ポータル ページ 上の URL エントリをディセーブルにします。そのためには、グループ ポリシーのポータル フレームと DAP の [Functions] タブの両方で、[URL Entry] の横にある [Disable] をクリックします。DAP 上の URL エントリをディセーブルにするには、ASDM を使用して DAP レコードを編集し、[Functions] タブをクリックして、[URL Entry] の横にある [Disable] をオンにします。

ステップ 6 ユーザに、ポータル ページの上のネイティブ ブラウザの Address フィールドに外部 URL を入力するか、別のブラウザ ウィンドウを開いて、外部サイトにアクセスするかを指示します。


 

クライアントレス SSL VPN アクセスの設定

[Clientless SSL VPN Access] ペインで、次の操作を実行できます。

クライアントレス SSL VPN セッション向けに ASA インターフェイスをイネーブルまたはディセーブルにする。

クライアントレス SSL VPN 接続で使用するポートを選択する。

クライアントレス SSL VPN セッションのグローバル タイムアウト値を設定する。

同時クライアントレス SSL VPN セッションの最大数を設定する。

クライアントレス SSL VPN で使用可能な、ASA のメモリ量を設定する。

手順の詳細


ステップ 1 [Configuration] > [VPN] > [General] > [Group Policy] > [Add/Edit] > [WebVPN] ペインを選択します。続いて、[Configuration] > [Properties] > [Device Administration] > [User Accounts] > [VPN Policy] ペインを選択し、ユーザにグループ ポリシーを割り当てます。

ステップ 2 構成済みの ASA インターフェイスで、クライアントレス SSL VPN 接続をイネーブルまたはディセーブルにします。

[Interface] フィールドに、設定されているすべてのインターフェイスの名前が表示されます。[WebVPN Enabled] フィールドに、インターフェイスのクライアントレス SSL VPN の現在のステータスが表示されます。[Yes] の隣に緑のチェックマークが入っていると、クライアントレス SSL VPN はイネーブルになっています。[No] の隣に赤い丸が入っていると、クライアントレス SSL VPN はディセーブルになっています。

ステップ 3 クライアントレス SSL VPN セッションで使用するポート番号を入力します。デフォルトのポートは HTTPS トラフィックの場合は 443 で、1 ~ 65535 の範囲内で指定します。ポート番号を変更すると、現在のすべてのクライアントレス SSL VPN 接続が切断されるので、現在のユーザは再接続する必要があります。また、ASDM への接続も失われ、再接続を促すプロンプトが表示されます。

ステップ 4 ASA がセッションを終了するまでに、クライアントレス SSL VPN セッションがアイドル状態を維持する時間を秒数で入力します。この値が適用されるのは、ユーザのグループ ポリシー内の [Idle Timeout] 値がゼロ(0)に設定されている場合、つまり、タイムアウト値がない場合だけです。それ以外の場合、グループ ポリシーの [Idle Timeout] 値が、ここで設定したタイムアウトに優先されます。1 分以上の値を入力します。デフォルトは 30 分(1800 秒)です。最大値は 24 時間(86400 秒)です。

この属性は短い時間に設定することを推奨します。クッキーをディセーブルにするブラウザ設定(またはプロンプトでクッキーを要求してから拒否するブラウザ設定)によって、ユーザが接続していないにもかかわらずセッション データベースに表示されることがあります。グループ ポリシーの [Simultaneous Logins] 属性が 1 に設定されている場合は、すでに最大接続数に達していることがデータベースによって示されるため、ユーザは再びログインできません。アイドル タイムアウトを短く設定すると、このようなファントム セッションを迅速に削除し、ユーザが再ログインできるようにすることができます。

ステップ 5 許可するクライアントレス SSL VPN セッションの最大数を入力します。ASA モデルが異なれば、サポートされるクライアントレス SSL VPN セッション数も異なることに注意してください。ASA 5510 は最大 250、ASA 5520 は最大 750、ASA 5540 は最大 2500、ASA 5550 は最大 5000 です。

ステップ 6 クライアントレス SSL VPN プロセスに割り当てる、合計メモリ量のパーセンテージまたはキロバイト単位のメモリ量を入力します。デフォルトは、メモリの 50% です。ASA モデルが異なれば、合計メモリ量も異なることに注意してください。ASA 5510 は 256 MB、ASA5520 は 512 MB、ASA 5540 は 1 GB、ASA 5550 は 4 G です。メモリ サイズを変更した場合、新しい設定は、システムをリブートしないと有効になりません。

ステップ 7 [WebVPN Memory] フィールドで、合計メモリ量のパーセンテージで、またはキロバイト単位のメモリ量で、クライアントレス SSL VPN に割り当てるメモリ量を選択します。

ステップ 8 クリックすると、クライアントレス SSL VPN のエンドユーザ インターフェイスに、設定済みのトンネル グループのドロップダウン リストが含まれます。ユーザは、ログイン時にこのリストからトンネル グループを選択します。このフィールドは、デフォルトでオンになっています。選択を解除すると、ユーザはログイン時にトンネル グループを選択できません。


 

ACL の設定

ユーザ セッションに適用する Access Control List(ACL; アクセス コントロール リスト)を設定できます。ACL によって、特定のネットワーク、サブネット、ホスト、および Web サーバへのユーザ アクセスがフィルタリングされます。[Web ACLs] テーブルには、クライアントレス SSL VPN トラフィックへの ASA 適用で設定されているフィルタが表示されます。このテーブルには、各アクセス コントロール リスト(ACL)の名前、および ACL 名の下で右にインデントされて、その ACL に割り当てられているアクセス コントロール エントリ(ACE)が表示されます。

各 ACL により、特定のネットワーク、サブネット、ホスト、および Web サーバへのアクセスを許可または拒否します。各 ACE は、ACL の機能を提供する 1 つのルールを指定します。

ガイドライン

フィルタを定義しない場合は、すべての接続が許可されます。

制約事項

ASAは、インターフェイスのインバウンド ACL だけをサポートします。

各 ACL の最後には、許可されないすべてのトラフィックを拒否する、表記されない暗黙のルールが含まれます。トラフィックが Access Control Entry(ACE; アクセス コントロール エントリ)によって明示的に許可されていない場合には、ASAがそのトラフィックを拒否します。このトピックでは、ACE をルールと呼びます。

手順の詳細

次の機能を使用して、クライアントレス SSL VPN セッションで使用される ACL を追加および編集できます。

[Add ACL] をクリックして、ACL または ACE を追加します。既存の ACE の前後に新しい ACE を挿入するには、[Insert] または [Insert After] をクリックします。

[Edit] をクリックして、変更する ACE を強調表示します。

削除する ACL または ACE を強調表示し、[Delete] をクリックします。ACL を削除するときは、その ACE もすべて削除する必要があります。警告は表示されず、復元もできません。

[Move Up] ボタンおよび [Move Down] ボタンを使用して、ACL または ACE の順序を変更します。ASA は、一致するエントリを見つけるまで、ACL リスト内での位置の順に、クライアントレス SSL VPN セッションに適用される ACL およびその ACE をチェックします。

[+] をクリックして各 ACL 下の ACE のリストを展開し、[-] をクリックして折りたたみます。各 ACL 下の ACE の優先順位が表示されます。リスト内での順序によって優先順位が決まります。

(任意)[Find] をクリックして、Web ACL を検索します。フィールドへの入力を開始すると、各フィールドの先頭部分の文字に一致するものが自動的に検索されます。ワイルドカードを使用して、検索結果を拡大できます。たとえば、[Find] フィールドに sal と入力すると、sales という名前の Web ACL は一致しますが、wholesalers という名前のカスタマイゼーション オブジェクトは一致しません。[Find] フィールドに *sal と入力した場合は、テーブル内の sales と wholesalers のうち、最初に出現するものが検出されます。

上矢印と下矢印を使用して、上または下にある、一致する次の文字列に移動します。[Match Case] チェックボックスをオンにすると、検索時に大文字と小文字が区別されます。

(任意)Web ACL を強調表示し、[Assign] をクリックして、選択した Web ACL を 1 つ以上の VPN グループ ポリシー、ダイナミック アクセス ポリシー、またはユーザ ポリシーに割り当てます。

ACE は、作成されるとデフォルトでイネーブルになります。ACE をディセーブルにするには、チェックボックスをオフにします。

ACE が適用されるアプリケーションまたはサービスの IP アドレスまたは URL が表示されます。ACE が適用される TCP サービスも表示されます。[Action] フィールドには、ACE でクライアントレス SSL VPN アクセスが許可されているか拒否されているかが表示されます。ACE に関連付けられている時間範囲およびロギング動作(ディセーブルか、指定されたレベルおよび時間間隔があるか)も表示されます。

ACE の追加または編集

アクセス コントロール エントリ(「アクセス ルール」)は、特定の URL およびサービスへのアクセスを許可または拒否します。ACL に対して、複数の ACE を設定できます。ACL は、初回一致ルールに従って、優先順位に応じて ACE を適用します。

手順の詳細


ステップ 1 [Filter] グループ フィールドで指定されている特定のネットワーク、サブネット、ホスト、および Web サーバへのアクセスを許可または拒否します。

ステップ 2 フィルタを適用する(ユーザ アクセスを許可または拒否する)URL または IP アドレスを指定します。

[URL]:指定された URL にフィルタを適用します。

[Protocols (unlabeled)]:URL アドレスのプロトコル部分を指定します。

[://x]:フィルタを適用する Web ページの URL を指定します。

[TCP]:指定された IP アドレス、サブネット、およびポートにフィルタを適用します。

[IP Address]:フィルタを適用する IP アドレスを指定します。

[Netmask]:IP Address フィールド内のアドレスに適用する標準サブネット マスクを一覧表示します。

[Service]:一致するサービス(https や Kerberos など)を特定します。[Service] フィールドに表示するサービスの選択元サービスの一覧を表示します。

[Boolean operator (unlabeled)]:[service] フィールドで指定したサービスを照合するときに使用するブーリアン条件(等号、不等号、大なり、小なり、または範囲)を一覧表示します。

ステップ 3 [Rule Flow Diagram] には、フィルタを使用して、トラフィック フローがグラフィカルに描写されます。この領域は非表示の場合もあります。

ステップ 4 ロギング ルールを指定します。デフォルトは Default Syslog です。

[Logging]:特定のログレベルをイネーブルにする場合は、[enable] を選択します。

[Syslog Level]:Logging 属性に対して [Enable] を選択するまではグレー表示です。ASAが表示する syslog メッセージの種類を選択できます。

[Log Interval]:ログ メッセージ間の秒数を選択できます。

[Time Range]:事前定義済みの時間範囲パラメータ セットの名前を選択できます。

[...]:設定済みの時間範囲を参照する場合や、新たに追加する場合にクリックします。

クライアントレス SSL VPN の ACL の設定例

クライアントレス SSL VPN の ACL の例を次に示します。

アクション
フィルタ
効果

拒否

url http://*.yahoo.com/

Yahoo! すべてへのアクセスを拒否します。

拒否

url cifs://fileserver/share/directory

指定された場所にあるすべてのファイルへのアクセスを拒否します。

拒否

url https://www.company.com/ directory/file.html

指定されたファイルへのアクセスを拒否します。

許可

url https://www.company.com/directory

指定された場所へのアクセスを許可します。

拒否

url http://*:8080/

ポート 8080 を介した任意の場所への HTTPS アクセスを拒否します。

拒否

url http://10.10.10.10

10.10.10.10 への HTTP アクセスを拒否します。

許可

url any

任意の URL へのアクセスを許可します。通常は、url アクセスを拒否する ACL のあとに使用されます。

Cisco Secure Desktop の設定

Cisco Secure Desktop イメージがASAにインストールされている場合は、そのイメージのバージョンと状態が Cisco Secure Desktop Setup ウィンドウに表示され、イネーブルになっているかどうかが示されます。また、ASAには、Cisco Secure Desktop および SSL VPN Client を保持するためのキャッシュのサイズも表示されます。

次のようにして、ウィンドウのボタンを使用できます。

Cisco Secure Desktop イメージのコピーを、ローカル コンピュータから ASA のフラッシュ デバイスに転送するには、[Upload] をクリックします。

Cisco Secure Desktop のインストールまたはアップグレードの準備をするには、インターネット ブラウザを使用して、 http://www.cisco.com/cgi-bin/tablebuild.pl/securedesktop から自分の PC の任意の場所に、securedesktop_asa_< n >_< n >*.pkg ファイルをダウンロードします。次に、このボタンを使用して、そのファイルをローカル コンピュータからフラッシュ デバイスに転送します。[Browse Flash] をクリックして、実行コンフィギュレーションにインストールします。最後に、[Enable Secure Desktop] をクリックします。

ASA のフラッシュ デバイスにある Cisco Secure Desktop イメージをインストールしたり、置き換えたりするには、[Browse Flash] をクリックします。


) [Browse Flash] をクリックして Cisco Secure Desktop イメージをアップグレードまたはダウングレードし、インストールするパッケージを選択して [OK] をクリックすると、[Uninstall Cisco Secure Desktop] ダイアログ ウィンドウが表示され、現在実行コンフィギュレーションにある Cisco Secure Desktop ディストリビューションをフラッシュ デバイスから削除するかどうか尋ねられます。フラッシュ デバイスのスペースを節約する場合は [Yes] をクリックします。このオプションを残してこのバージョンの Cisco Secure Desktop に戻す場合は [No] をクリックします。


実行コンフィギュレーションから Cisco Secure Desktop イメージとコンフィギュレーション ファイル(sdesktop/data.xml)を削除するには、[Uninstall] をクリックします。

このボタンをクリックすると、[Uninstall Cisco Secure Desktop] ダイアログ ウィンドウが表示され、「[Secure Desktop Image] フィールド」で命名された Cisco Secure Desktop イメージと、すべての Cisco Secure Desktop データ ファイル(Cisco Secure Desktop コンフィギュレーション全体を含む)をフラッシュ デバイスから削除するかどうか尋ねられます。これらのファイルを実行コンフィギュレーションとフラッシュ デバイスの両方から削除する場合は、[Yes] をクリックします。これらのファイルを実行コンフィギュレーションから削除するが、フラッシュ デバイスには残しておく場合は、[No] をクリックします。

手順の詳細

実行コンフィギュレーションにロードされた Cisco Secure Desktop イメージが [Location] フィールドに表示されます。デフォルトでのファイル名の形式は、securedesktop_asa_<n>_<n>*.pkg です。


ステップ 1 このフィールドに値を挿入したり、値を編集したりするには、[Browse Flash] をクリックします。

ステップ 2 次の処理を実行するには、[Enable Secure Desktop] をクリックして、[Apply] をクリックします。

a. ファイルが有効な Cisco Secure Desktop イメージであることを確認する。

b. 「sdesktop」フォルダが disk0 に存在しない場合には作成する。

c. data.xml(Cisco Secure Desktop コンフィギュレーション)ファイルがまだ存在しない場合には、そのファイルを sdesktop フォルダに挿入する。

d. data.xml ファイルを実行コンフィギュレーションにロードする。


) data.xml ファイルを転送または置換する場合は、Cisco Secure Desktop を一度ディセーブルにし、その後再びイネーブルにしてファイルをロードします。


e. Cisco Secure Desktop をイネーブルにする。


 

イメージのアップロード

[Upload Image] ダイアログボックスでは、Cisco Secure Desktop イメージのコピーをローカル コンピュータからASAのフラッシュ デバイスに転送できます。このウィンドウを使用して、Cisco Secure Desktop をインストールまたはアップグレードします。

前提条件

このウィンドウを使用する前に、インターネット ブラウザを使用して、http://www.cisco.com/cgi-bin/tablebuild.pl/securedesktop からローカル コンピュータの任意の場所に securedesktop_asa_< n >_< n >*.pkg ファイルをダウンロードしてください。

手順の詳細

次のようにして、ウィンドウのボタンを使用できます。

転送する securedesktop_asa_< n >_< n >*.pkg ファイルのパスを選択するには、[Browse Local Files] をクリックします。[Selected File Path] ダイアログボックスに、自分のローカル コンピュータで最後にアクセスしたフォルダの内容が表示されます。securedesktop_asa_< n >_< n >*.pkg ファイルのある場所に移動し、そのファイルを選択して [Open] をクリックします。

ファイルのターゲット ディレクトリを選択するには、[Browse Flash] をクリックします。[Browse Flash] ダイアログボックスに、フラッシュ カードの内容が表示されます。

ローカル コンピュータからフラッシュ デバイスに securedesktop_asa_< n >_< n >*.pkg ファイルをアップロードするには、[Upload File] をクリックします。[Status] ウィンドウが表示され、ファイル転送中は開いたままの状態を維持します。転送が終わり、[Information] ウィンドウに「File is uploaded to flash successfully.」というメッセージが表示されたら、[OK] をクリックします。[Upload Image] ダイアログボックスから、[Local File Path] フィールドと [Flash File System Path] フィールドの内容が削除されます。

[Upload Image] ダイアログボックスを閉じるには、[Close] をクリックします。このボタンは、Cisco Secure Desktop イメージをフラッシュ デバイスにアップロードした後に、またはイメージをアップロードしない場合にクリックしてください。アップロードした場合には、[Cisco Secure Desktop Setup] ウィンドウの [Secure Desktop Image] フィールドにそのファイル名が表示されます。アップロードしなかった場合には、「Are you sure you want to close the dialog without uploading the file?」と尋ねる [Close Message] ダイアログボックスが表示されます。ファイルをアップロードしない場合は、[OK] をクリックします。[Close Message] ダイアログボックスと [Upload Image] ダイアログボックスが閉じられ、[Cisco Secure Desktop Setup] ペインが表示されます。それ以外の場合は、[Close Message] ダイアログボックスの [Cancel] をクリックします。ダイアログボックスが閉じられ、フィールドの値がそのままの状態で [Upload Image] ダイアログボックスが再度表示されます。[Upload File] をクリックします。


ステップ 1 ローカル コンピュータでの、securedesktop_asa_< n >_< n >*.pkg ファイルへのパスを指定します。[Browse Local] をクリックしてこのフィールドにパスを自動的に挿入するか、パスを入力します。次の例を参考にしてください。

D:\Documents and Settings\ Windows_user_name .AMER\My Documents\My Downloads\securedesktop_asa_3_1_1_16.pkg

ASDM が [Local File Path] フィールドにファイルのパスを挿入します。

ステップ 2 ASA のフラッシュ デバイス上のアップロード先パスと、対象ファイルの名前を指定します。[Browse Flash] をクリックしてこのフィールドにパスを自動的に挿入するか、パスを入力します。次に、例を示します。

disk0:/securedesktop_asa_3_1_1_16.pkg

ローカル コンピュータで選択した Cisco Secure Desktop イメージのファイル名が、[Browse Flash] ダイアログボックスに表示されます。混乱を防ぐために、この名前を使用することをお勧めします。このフィールドに、選択したローカル ファイルと同じ名前が表示されていることを確認し、[OK] をクリックします。[Browse Flash] ダイアログボックスが閉じます。ASDM が [Flash File System Path] フィールドにアップロード先のファイル パスを挿入します。


 

Application Helper の設定

クライアントレス SSL VPN に組み込まれているアプリケーション プロファイル カスタマイゼーション フレームワーク オプションにより、ASA は標準以外のアプリケーションや Web リソースを処理し、クライアントレス SSL VPN 接続で正しく表示できます。APCF プロファイルには、特定のアプリケーションに関して、いつ(事前、事後)、どこの(ヘッダー、本文、要求、応答)、どのデータを変換するかを指定するスクリプトがあります。スクリプトは XML 形式で記述され、sed(ストリーム エディタ)の構文を使用して文字列およびテキストを変換します。

APCF プロファイルは、ASA上で数種類を同時に実行するように設定できます。1 つの APCF プロファイルのスクリプト内に複数の APCF ルールを適用することができます。この場合、ASAは、設定履歴に基づいて最も古いルールを最初に処理し、次に 2 番目に古いルール、その次は 3 番目という順序で処理します。

APCF プロファイルは、ASA のフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、FTP サーバ、または TFTP サーバに保存できます。このペインは、APCF パッケージを追加、編集、および削除する場合と、パッケージを優先順位に応じて並べ替える場合に使用します。

手順の詳細


ステップ 1 APCF パッケージの場所についての情報が表示されます。場所は、ASA のフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、FTP サーバ、または TFTP サーバです。

ステップ 2 (任意)[Add/Edit] をクリックして、新しい APCF プロファイルを作成するか、既存の APCF プロファイルを変更します。

ステップ 3 (任意)[Delete] をクリックして、既存の APCF プロファイルを削除します。確認されず、やり直しもできません。

ステップ 4 [Move Up] オプションを使用して、リスト内の APCF プロファイルを再配置します。リストにより、ASA が APCF プロファイルを使用するときの順序が決まります。

ステップ 5 [Flash file] をクリックして、ASA のフラッシュ メモリに保存されている APCF ファイルを指定します。

ステップ 6 フラッシュ メモリに保存されている APCF ファイルのパスを参照して指定するか、手動でパスを入力できます。

ステップ 7 クリックして、フラッシュ メモリを参照し、APCF ファイルを指定します。[Browse Flash Dialog] ペインが表示されます。[Folders] および [Files] 列を使用して APCF ファイルを指定します。APCF ファイルを強調表示して、[OK] をクリックします。ファイルへのパスが [Path] フィールドに表示されます。

ステップ 8 (任意)最近ダウンロードした APCF ファイルの名前が表示されない場合には、[Refresh] をクリックします。

ステップ 9 [Upload] をクリックして、ローカル コンピュータから ASA のフラッシュ ファイル システムに APCF ファイルを取得します。[Upload APCF package] ペインが表示されます。

ステップ 10 [URL] をクリックして、HTTP サーバ、HTTPS サーバ、または TFTP サーバに保存されている APCF ファイルを使用します。

ステップ 11 FTP、HTTP、HTTPS、または TFTP サーバへのパスを入力します。サーバ タイプは識別されます。


 

APCF パッケージのアップロード

手順の詳細


ステップ 1 コンピュータ上にある APCF ファイルへのパスが表示されます。[Browse Local] をクリックしてこのフィールドにパスを自動的に挿入するか、パスを入力します。

ステップ 2 クリックして、自分のコンピュータ上の転送する APCF ファイルを指定および選択します。[Select File Path] ダイアログボックスに、自分のローカル コンピュータで最後にアクセスしたフォルダの内容が表示されます。APCF ファイルに移動して選択し、[Open] をクリックします。ASDM が [Local File Path] フィールドにファイルのパスを挿入します。

ステップ 3 APCF ファイルをアップロードする ASA 上のパスが [Flash File System Path] に表示されます。[Browse Flash] をクリックし、ASA 上のどの場所に APCF ファイルをアップロードするかを指定します。[Browse Flash] ダイアログボックスに、フラッシュ メモリの内容が表示されます。

ステップ 4 ローカル コンピュータで選択した APCF ファイルのファイル名が表示されます。混乱を防ぐために、この名前を使用することをお勧めします。このファイルの名前が正しく表示されていることを確認し、[OK] をクリックします。[Browse Flash] ダイアログボックスが閉じます。ASDM が [Flash File System Path] フィールドにアップロード先のファイル パスを挿入します。

ステップ 5 自分のコンピュータの APCF ファイルの場所と、APCF ファイルを ASA にダウンロードする場所を特定したら、[Upload File] をクリックします。

ステップ 6 [Status] ウィンドウが表示され、ファイル転送中は開いたままの状態を維持します。転送が終わり、[Information] ウィンドウに「File is uploaded to flash successfully.」というメッセージが表示されたら、[OK] をクリックします。[Upload Image] ダイアログ ウィンドウから、[Local File Path] フィールドと [Flash File System Path] フィールドの内容が削除されます。これは、別のファイルをアップロードできることを表します。別のファイルをアップロードするには、上記の手順を繰り返します。それ以外の場合は、[Close] をクリックします。

ステップ 7 [Upload Image] ダイアログ ウィンドウを閉じます。すでに APCF ファイルをフラッシュ メモリにアップロードした場合や、アップロードしない場合は、[Close] をクリックします。アップロードする場合には、[APCF] ウィンドウの [APCF File Location] フィールドにファイル名が表示されます。アップロードしない場合は、[Close Message] ダイアログボックスに「Are you sure you want to close the dialog without uploading the file?」という質問が表示されます。ファイルをアップロードしない場合は、[OK] をクリックします。[Close Message] ダイアログボックスと [Upload Image] ダイアログボックスが閉じられ、APCF [Add/Edit] ペインが表示されます。それ以外の場合は、[Close Message] ダイアログボックスの [Cancel] をクリックします。ダイアログボックスが閉じられ、フィールドの値がそのままの状態で [Upload Image] ダイアログボックスが再度表示されます。[Upload File] をクリックします。


 

パスワードの管理

オプションで、パスワードの期限切れが近づくとエンド ユーザに警告するようにASAを設定できます。

ASAでは、RADIUS および LDAP プロトコルのパスワード管理をサポートします。「password-expire-in-days」オプションは、LDAP のみでサポートします。

IPsec リモート アクセスと SSL VPN トンネル グループのパスワード管理を設定できます。パスワード管理を設定すると、ASA は、リモート ユーザのログイン時に、現在のパスワードの期限切れが近づいていること、または期限が切れていることを通知します。それからASAは、ユーザがパスワードを変更できるようにします。現行のパスワードが失効していない場合、ユーザはそのパスワードを使用してログインし続けることができます。

このコマンドは、そのような通知をサポートする AAA サーバに対して有効です。

ASAのリリース 7.1 以降では通常、LDAP による認証時、または MS-CHAPv2 をサポートする RADIUS コンフィギュレーションによる認証時に、次の接続タイプに対するパスワード管理がサポートされます。

AnyConnect VPN クライアント

IPsec VPN クライアント

クライアントレス SSL VPN

RADIUS サーバ(Cisco ACS など)は、認証要求を別の認証サーバにプロキシする場合があります。ただし、ASAからは RADIUS サーバのみに対して通信しているように見えます。

前提条件

ネイティブ LDAP には、SSL 接続が必要です。LDAP のパスワード管理を実行する前に、SSL 上での LDAP をイネーブルにする必要があります。デフォルトでは、LDAP はポート 636 を使用します。

認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun Microsystems JAVA System Directory Server(旧名称は Sun ONE Directory Server)および Microsoft Active Directory を使用してサポートされます。

Sun:Sun ディレクトリ サーバにアクセスするためにASAに設定されている DN は、そのサーバ上のデフォルト パスワード ポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザを使用することを推奨します。または、デフォルト パスワード ポリシーに ACI を設定できます。

Microsoft:Microsoft Active Directory を使用したパスワード管理をイネーブルにするには、LDAP over SSL を設定する必要があります。制約事項

MSCHAP をサポートする一部の RADIUS サーバは、現在 MSCHAPv2 をサポートしていません。このコマンドには MSCHAPv2 が必要なため、ベンダーに問い合わせてください。

Kerberos/Active Directory(Windows パスワード)または NT 4.0 ドメインでは、これらの接続タイプのいずれについても、パスワード管理はサポート されません

LDAP でパスワードを変更するには、市販の LDAP サーバごとに独自の方法が使用されています。現在、ASAでは Microsoft Active Directory および Sun LDAP サーバに対してのみ、独自のパスワード管理ロジックを実装しています。

RADIUS または LDAP 認証が設定されていない場合、ASAではこのコマンドが無視されます。

手順の詳細


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > [Add or Edit] > [Advanced] > [General] > [Password Management] に移動します。

ステップ 2 [Enable password management] オプションをクリックします。


 

シスコの認証スキームの SiteMinder への追加

SiteMinder による SSO を使用するためのASAの設定に加え、Java プラグインとして提供されているシスコの認証スキーム(シスコの Web サイトからダウンロード)を使用するようにユーザの CA SiteMinder Policy Server を設定する必要もあります。

前提条件

SiteMinder Policy Server を設定するには、SiteMinder の経験が必要です。

手順の詳細

この項では、手順のすべてではなく、一般的なタスクを取り上げます。ユーザの SiteMinder Policy Server にシスコの認証スキームを設定するには、次のタスクを実行します。


ステップ 1 SiteMinder Administration ユーティリティを使用して、次の特定の引数を使用できるようにカスタム認証スキームを作成します。

Library フィールドに、 smjavaapi と入力します。

Secret フィールドに、ASAに設定したものと同じ秘密キーを入力します。

コマンドライン インターフェイスで policy-server-secret コマンドを使用して、ASAに秘密キーを設定します。

Parameter フィールドに、 CiscoAuthAPI と入力します。

ステップ 2 Cisco.com にログインし、 cisco_vpn_auth.jar ファイルを http://www.cisco.com/cisco/software/navigator.html からダウンロードして、SiteMinder サーバのデフォルトのライブラリ ディレクトリにコピーします。この .jar ファイルは、Cisco ASA CD にも含まれています。

SAML POST SSO サーバの設定

サーバ ソフトウェアのベンダーが提供する SAML サーバのマニュアルを使用して、Relying Party モードで SAML サーバを設定します。次の手順には、Browser Post Profile に SAML サーバを設定するために必要な特定のパラメータが一覧表示されています。

手順の詳細


ステップ 1 アサーティング パーティ(ASA)を表す SAML サーバ パラメータを設定します。

Recipient consumer URL(ASA で設定する assertion consumer URL と同一)

Issuer ID(通常はアプライアンスのホスト名である文字列)

Profile type:Browser Post Profile

ステップ 2 証明書を設定します。

ステップ 3 アサーティング パーティのアサーションには署名が必要なことを指定します。

ステップ 4 SAML サーバがユーザを特定する方法を、次のように選択します。

Subject Name Type が DN

Subject Name format が uid=<user>

HTTP Form プロトコルを使用した SSO の設定

この項では、SSO における HTTP Form プロトコルの使用について説明します。HTTP Form プロトコルは、SSO 認証を実行するための手段で、AAA 方式としても使用できます。このプロトコルは、クライアントレス SSL VPN のユーザおよび認証を行う Web サーバの間で認証情報を交換するセキュアな方法を提供します。RADIUS サーバや LDAP サーバなどの他の AAA サーバと組み合わせて使用することができます。

前提条件

HTTP プロトコルを使用して SSO を正しく設定するには、認証と HTTP プロトコル交換についての詳しい実務知識が必要です。

制約事項

これは、一般的なプロトコルとして、認証に使用する Web サーバ アプリケーションの次の条件に一致する場合にだけ適用できます。

Web フォームで、認証に関連するダイナミック パラメータ(JavaScript で設定されるパラメータや要求ごとに固有のパラメータなど)を使用できません。

認証クッキーは、正常な要求に対して設定され、未許可のログインに対して設定されないようにする必要があります。この場合、ASA は、失敗した認証から正常な要求を識別することはできません。

手順の詳細

ASAは、ここでも認証 Web サーバに対するクライアントレス SSL VPN のユーザのプロキシとして機能しますが、この場合は、要求に対して HTTP Form プロトコルと POST 方式を使用します。フォーム データを送受信するようにASAを設定する必要があります。図 71-3 は、次の SSO 認証手順を示しています。


ステップ 1 最初に、クライアントレス SSL VPN のユーザは、ユーザ名とパスワードを入力してASA上のクライアントレス SSL VPN サーバにログインします。

ステップ 2 ユーザのプロキシとして動作するクライアントレス SSL VPN サーバは、このフォーム データ(ユーザ名およびパスワード)を、POST 認証要求を使用して認証する Web サーバに転送します。

ステップ 3 認証する Web サーバがユーザのデータを承認した場合は、認証クッキーをユーザの代行で保存していたクライアントレス SSL VPN サーバに戻します。

ステップ 4 クライアントレス SSL VPN サーバはユーザまでのトンネルを確立します。

ステップ 5 これでユーザは、ユーザ名やパスワードを再入力しなくても、保護された SSO 環境内の他の Web サイトにアクセスできるようになります。

図 71-3 HTTP Form を使用した SSO 認証

 

ASAでユーザ名やパスワードなどの POST データを含めるようにフォーム パラメータを設定しても、Web サーバが要求する非表示のパラメータが追加されたことに、ユーザが最初に気付かない可能性があります。認証アプリケーションの中には、ユーザ側に表示されず、ユーザが入力することもない非表示データを要求するものもあります。ただし、認証 Web サーバが要求する非表示パラメータを見つけるのは可能です。これは、ASAを仲介役のプロキシとして使用せずに、ユーザのブラウザから Web サーバに直接認証要求を出す方法で行います。HTTP ヘッダー アナライザを使用して Web サーバの応答を分析すると、非表示パラメータが次のような形式で表示されます。

<param name>=<URL encoded value>&<param name>=<URL encoded>
 

非表示パラメータには、必須のパラメータとオプションのパラメータとがあります。Web サーバが非表示パラメータのデータを要求すると、Web サーバはそのデータを省略するすべての認証 POST 要求を拒否します。ヘッダー アナライザは、非表示パラメータが必須かオプションかについては伝えないため、必須のパラメータが判別できるまではすべての非表示パラメータを含めておくことをお勧めします。


 

HTTP Form データの収集

この項では、必要な HTTP Form データを検出および収集する手順を示します。認証 Web サーバが要求するパラメータが何かわからない場合は、次の手順を実行して認証交換を分析するとパラメータ データを収集することができます。

前提条件

これらの手順では、ブラウザと HTTP ヘッダー アナライザが必要です。

手順の詳細


ステップ 1 ユーザのブラウザと HTTP ヘッダー アナライザを起動して、ASAを経由せずに Web サーバのログイン ページに直接接続します。

ステップ 2 Web サーバのログイン ページがユーザのブラウザにロードされてから、ログイン シーケンスを検証して交換時にクッキーが設定されているかどうか判別します。Web サーバによってログイン ページにクッキーがロードされている場合は、このログイン ページの URL を start-URL として設定します。

ステップ 3 Web サーバにログインするためのユーザ名とパスワードを入力して、Enter を押します。この動作によって、ユーザが検証する認証 POST 要求が HTTP ヘッダー アナライザを使用して生成されます。

次に、ホストの HTTP ヘッダーおよび本文が記載された POST 要求の例を示します。

POST /emco/myemco/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000430e1-7443-125c-ac05
-83846dc90034&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIr
NT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fwww.example.com%2Femco%2Fmye
mco%2FHTTP/1.1

Host: www.example.com

(BODY)

SMENC=ISO-8859-1&SMLOCALE=US-EN&USERID=Anyuser&USER_PASSWORD=XXXXXX&target=https%3A%2F%
2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0

ステップ 4 POST 要求を検証してプロトコル、ホストをコピーし、URL を入力して action-uri パラメータを設定します。

ステップ 5 POST 要求の本文を検証して、次の情報をコピーします。

a. ユーザ名パラメータ。上記の例では、このパラメータは USERID で、値 anyuser ではありません。

b. パスワード パラメータ。上記の例では、このパラメータは USER_PASSWORD です。

c. 非表示パラメータ。このパラメータは、POST 本文からユーザ名パラメータとパスワード パラメータを除くすべてです。上記の例では、非表示パラメータは、SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0 の部分です。

図 71-4 は、HTTP アナライザの出力例に表示される action URI、非表示、ユーザ名、パスワードの各種パラメータを強調して示したものです。これは一例です。出力は Web サイトによって大幅に異なることがあります。

図 71-4 action-uri、非表示、ユーザ名、パスワードの各種パラメータ

 

ステップ 6 Web サーバへのログインが成功したら、HTTP ヘッダー アナライザを使用して、サーバからユーザのブラウザに設定されているクッキー名を見つけ出すことによって、サーバの応答を検証します。これは auth-cookie-name パラメータです。

次のサーバ応答ヘッダーでは、SMSESSION がセッションのクッキーの名前です。必要なのはこの名前だけです。値は不要です。図 71-5 に、HTTP アナライザによる認可クッキーの出力例を示します。これは一例です。出力は Web サイトによって大幅に異なることがあります。

図 71-5 HTTP アナライザの出力例に表示された認可クッキー

 

 

1

認可クッキー

ステップ 7 場合によっては、認証の成否にかかわらず同じクッキーがサーバによって設定される可能性があり、このようなクッキーは、SSO の目的上、認められません。クッキーが異なっていることを確認するには、無効なログイン クレデンシャルを使用してステップ 1 からステップ 6 を繰り返し、「失敗」クッキーと「成功した」クッキーとを比較します。

これで、HTTP Form プロトコルによる SSO をASAに設定するために必要なパラメータ データを入手できました。


 

自動サインオンの使用

[Auto Signon] ウィンドウまたはタブでは、クライアントレス SSL VPN ユーザの自動サインオンを設定または編集できます。自動サインオンは、内部ネットワークに SSO 方式をまだ展開していない場合に使用できる簡素化された単一サインオン方式です。特定の内部サーバに対して自動サインオンを設定すると、ASA は、クライアントレス SSL VPN ユーザが ASA へのログインで入力したログイン クレデンシャル(ユーザ名とパスワード)をそれら特定の内部サーバに渡します。特定の範囲のサーバの特定の認証方式に応答するように、ASAを設定します。ASAが応答するように設定可能な認証方式は、Basic(HTTP)、NTLM、FTP と CIFS、またはこれらの方式すべてを使用する認証で構成されます。

ユーザ名とパスワードのルックアップが ASA で失敗した場合は、空の文字列で置き換えられ、動作は自動サインオンが不可の場合の状態に戻されます。

自動サインオンは、特定の内部サーバに SSO を設定する直接的な方法です。この項では、自動サインオンを行うように SSO をセットアップする手順について説明します。Computer Associates の SiteMinder SSO サーバを使用して SSO をすでに展開しているか、または Security Assertion Markup Language(SAML)Browser Post Profile SSO を使用している場合、およびこのソリューションをサポートするように ASA を設定する場合は、「SSO サーバ」を参照してください。

次のフィールドが表示されます。

[IP Address]:次の [Mask] と組み合わせて、認証されるサーバの IP アドレスの範囲を [Add/Edit Auto Signon] ダイアログボックスで設定されたとおりに表示します。サーバは、サーバの URI またはサーバの IP アドレスとマスクで指定できます。

[Mask]:前の [IP Address] と組み合わせて、[Add/Edit Auto Signon] ダイアログボックスで自動サインオンをサポートするように設定されたサーバの IP アドレスの範囲を表示します。

[URI]:[Add/Edit Auto Signon] ダイアログボックスで設定されたサーバを識別する URI マスクを表示します。

[Authentication Type]:[Add/Edit Auto Signon] ダイアログボックスで設定された認証のタイプ(Basic(HTTP)、NTLM、FTP と CIFS、またはこれらの方式すべて)を表示します。

制約事項

認証が不要なサーバ、またはASAとは異なるクレデンシャルを使用するサーバでは、自動サインオンをイネーブルにしないでください。自動サインオンがイネーブルの場合、ASAは、ユーザ ストレージにあるクレデンシャルに関係なく、ユーザがASAへのログインで入力したログイン クレデンシャルを渡します。

一定範囲のサーバに対して 1 つの方式(HTTP Basic など)を設定する場合に、その中の 1 台のサーバが異なる方式(NTLM など)で認証を試みると、ASAはユーザのログイン クレデンシャルをそのサーバに渡しません。

手順の詳細


ステップ 1 クリックして自動サインオン命令を追加または編集します。自動サインオン命令は、自動サインオン機能を使用する内部サーバの範囲と、特定の認証方式を定義します。

ステップ 2 クリックして [Auto Signon] テーブルで選択した自動サインオン命令を削除します。

ステップ 3 [IP Block] をクリックして、IP アドレスとマスクを使用して内部サーバの範囲を指定します。

[IP Address]:自動サインオンを設定する範囲の最初のサーバの IP アドレスを入力します。

[Mask]:[subnet mask] メニューで、自動サインオンをサポートするサーバのサーバ アドレス範囲を定義するサブネット マスクを選択します。

ステップ 4 [URI] をクリックして、URI によって自動サインオンをサポートするサーバを指定し、このボタンの横にあるフィールドに URI を入力します。

ステップ 5 サーバに割り当てられる認証方式を決定します。指定された範囲のサーバの場合には、Basic HTTP 認証要求、NTLM 認証要求、FTP と CIFS の認証要求、またはこれら方式のいずれかを使用する要求に応答するにように、ASAを設定できます。

[Basic]:サーバが Basic(HTTP)認証をサポートする場合は、このボタンをクリックします。

[NTLM]:サーバが NTLMv1 認証をサポートする場合は、このボタンをクリックします。

[FTP/CIFS]:サーバが FTP と CIFS の認証をサポートする場合は、このボタンをクリックします。

[Basic, NTLM, and FTP/CIFS]:サーバが上のすべての方式をサポートする場合は、このボタンをクリックします。


 

セッションの設定

クライアントレス SSL VPN の [Add/Edit Internal Group Policy] > [More Options] > [Session Settings] ウィンドウでは、クライアントレス SSL VPN のセッションからセッションの間にパーソナライズされたユーザ情報を指定できます。デフォルトにより、各グループ ポリシーはデフォルトのグループ ポリシーから設定を継承します。このウィンドウを使用して、デフォルト グループ ポリシーのパーソナライズされたクライアントレス SSL VPN ユーザ情報、およびこれらの設定値を区別するグループ ポリシーすべてを指定します。

手順の詳細


ステップ 1 [none] をクリックするか、または [User Storage Location] ドロップダウン メニューからファイル サーバ プロトコル(smb または ftp)をクリックします。[smb] または [ftp] を選択する場合は、次の構文を使用して、隣のテキスト フィールドにファイル システムの宛先を入力します。

username : password @ host : port-number / path

次に例を示します。

mike:mysecret@ftpserver3:2323/public


) このコンフィギュレーションには、ユーザ名、パスワード、および事前共有キーが示されていますが、ASAは、内部アルゴリズムを使用して暗号化された形式でデータを保存し、そのデータを保護します。


ステップ 2 必要な場合は、保管場所へユーザがアクセスできるようにするためにセキュリティ アプライアンスが渡す文字列を入力します。

ステップ 3 [Storage Objects] ドロップダウン メニューから次のいずれかのオプションを選択して、ユーザとの関連でサーバが使用するオブジェクトを指定します。ASAは、これらのオブジェクトを保存してクライアントレス SSL VPN 接続をサポートします。

cookies,credentials

cookies

クレデンシャル

ステップ 4 セッションをタイムアウトするときのトランザクション サイズの限界値を KB 単位で入力します。この属性は、1 つのトランザクションにだけ適用されます。この値よりも大きなトランザクションだけが、セッションの期限切れクロックをリセットします。


 

Java Code Signer

コード署名により、デジタル署名が、実行可能なコードそのものに追加されます。このデジタル署名には、さまざまな情報が保持されています。署名以降にそのコードが変更されていないことを保証するだけでなく、署名者を認証する場合に使用することもできます。

コード署名者証明書は、関連付けられている秘密キーがデジタル署名の作成に使用される特殊な証明書です。コードの署名に使用される証明書は CA から取得され、署名されたコードそのものが証明書の発生元を示します。

Java オブジェクト署名で使用する、設定された証明書をドロップダウン リストから選択します。

Java Code Signer を設定するには、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Java Code Signer] を選択します。

クライアントレス SSL VPN によって変換された Java オブジェクトは、その後、トラストポイントに関連付けられている PKCS12 デジタル証明書を使用して署名することができます。[Java Trustpoint] ペインでは、指定されたトラストポイントの場所から PKCS12 証明書とキー関連情報を使用するように、クライアントレス SSL VPN Java オブジェクト署名機能を設定できます。

トラストポイントをインポートするには、[Configuration] > [Properties] > [Certificate] > [Trustpoint] > [Import] を選択します。

Encoding

このペインでは、クライアントレス SSL VPN ポータル ページの文字エンコーディングを表示または指定できます。

文字エンコーディング は「文字コード」や「文字セット」とも呼ばれ、未加工のデータ(0 や 1 など)を文字と組み合わせ、データを表します。使用する文字エンコード方式は、言語によって決まります。単一の方式を使う言語もあれば、使わない言語もあります。通常は、地域によってブラウザで使用されるデフォルトのコード方式が決まりますが、リモート ユーザが変更することもできます。ブラウザはページに指定されたエンコードを検出することもでき、そのエンコードに従ってドキュメントを表示します。

エンコード属性によりポータル ページで使用される文字コード方式の値を指定することで、ユーザがブラウザを使用している地域や、ブラウザに対する何らかの変更に関係なく、ページが正しく表示されるようにできます。

デフォルトでは、ASA は「Global Encoding Type」を Common Internet File System(共通インターネット ファイル システム)サーバからのページに適用します。CIFS サーバと適切な文字エンコーディングとのマッピングを、[Global Encoding Type] 属性によってグローバルに、そしてテーブルに示されているファイル エンコーディング例外を使用して個別に行うことにより、ファイル名やディレクトリ パス、およびページの適切なレンダリングが問題となる場合に、CIFS ページが正確に処理および表示できるようにします。

手順の詳細


ステップ 1 [Global Encoding Type] によって、表に記載されている CIFS サーバからの文字エンコーディングを除いて、すべてのクライアントレス SSL VPN ポータル ページが継承する文字エンコーディングが決まります。文字列を入力するか、ドロップダウン リストから選択肢を 1 つ選択します。リストには、最も一般的な次の値だけが表示されます。

big5

gb2312

ibm-850

iso-8859-1

shift_jis


) 日本語の Shift_jis 文字エンコーディングを使用している場合は、関連付けられている [Select Page Font] ペインの [Font Family] 領域にある [Do not specify] をクリックして、このフォント ファミリを削除します。


unicode

windows-1252

none


) [none] をクリックした場合や、クライアントレス SSL VPN セッションのときにブラウザでサポートされない値を指定した場合は、ブラウザのデフォルト エンコーディングが使用されます。


最大 40 文字から成り、 http://www.iana.org/assignments/character-sets で指定されているいずれかの有効文字セットと同じ文字列を入力できます。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。このストリングは、大文字と小文字が区別されません。ASAの設定を保存したときに、コマンド インタープリタが大文字を小文字に変換します。

ステップ 2 エンコーディング要件が「Global Encoding Type」属性設定とは異なる CIFS サーバの名前または IP アドレスを入力します。ASAでは、指定した大文字と小文字の区別が保持されますが、名前をサーバと照合するときには大文字と小文字は区別されません。

ステップ 3 CIFS サーバがクライアントレス SSL VPN ポータル ページに対して指定する必要のある文字エンコーディングを選択します。文字列を入力するか、ドロップダウン リストから選択します。リストには、最も一般的な次の値だけが登録されています。

big5

gb2312

ibm-850

iso-8859-1

shift_jis


) 日本語の Shift_jis 文字エンコーディングを使用している場合は、関連付けられている [Select Page Font] ペインの [Font Family] 領域にある [Do not specify] をクリックして、このフォント ファミリを削除します。


unicode

windows-1252

none

[none] をクリックした場合や、クライアントレス SSL VPN セッションのときにブラウザでサポートされない値を指定した場合は、ブラウザのデフォルト エンコーディングが使用されます。

最大 40 文字から成り、 http://www.iana.org/assignments/character-sets で指定されているいずれかの有効文字セットと同じ文字列を入力できます。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。このストリングは、大文字と小文字が区別されません。ASAの設定を保存したときに、コマンド インタープリタが大文字を小文字に変換します。


 

コンテンツ キャッシュ

キャッシュにより、クライアントレス SSL VPN のパフォーマンスを強化します。頻繁に再利用されるオブジェクトをシステム キャッシュに格納することで、書き換えの繰り返しやコンテンツの圧縮の必要性を低減します。キャッシュを使用することでトラフィック量が減り、結果として多くのアプリケーションがより効率的に実行されます。

手順の詳細


ステップ 1 クリックしてキャッシングをイネーブルにします。デフォルト値は disable です。

ステップ 2 キャッシング条件を定義します。

[Enable caching of compressed content]:圧縮されたコンテンツをキャッシュする場合に選択します。このパラメータをディセーブルにすると、ASAがオブジェクトを保存してから圧縮します。

[Maximum Object Size]:ASAがキャッシュできるドキュメントの最大サイズを KB 単位で入力します。ASAが、オブジェクトの元の(書き換えまたは圧縮されていない)コンテンツの長さを測定します。範囲は 0 ~ 10,000 KB で、デフォルトは 1,000 KB です。

[Minimum Object Size]:ASAがキャッシュできるドキュメントの最小サイズを KB 単位で入力します。ASAが、オブジェクトの元の(書き換えまたは圧縮されていない)コンテンツの長さを測定します。範囲は 0 ~ 10,000 KB で、デフォルトは 0 KB です。


) [Maximum Object Size] は、[Minimum Object Size] よりも大きい値にする必要があります。


[Expiration Time]:0 ~ 900 の整数を入力して、オブジェクトを再検証しないでキャッシュする分数を設定します。デフォルトは 1 分です。

[LM Factor]:1 ~ 100 の整数を入力します。デフォルトは 20 です。

LM 因数は、最終変更タイムスタンプだけを持つオブジェクトをキャッシュするためのポリシーを設定します。これによって、サーバ設定の変更値を持たないオブジェクトが再検証されます。ASAは、オブジェクトが変更された後、およびオブジェクトが期限切れの時刻を呼び出した後の経過時間を推定します。推定された期限切れ時刻は、最終変更後の経過時間と LM 因数の積に一致します。LM 因数を 0 に設定すると、ただちに再検証が実行され、100 に設定すると、再検証までの許容最長時間になります。

期限切れ時刻は、ASAが、最終変更タイムスタンプがなく、サーバ設定の期限切れ時刻も明示されていないオブジェクトをキャッシュする時間の長さを設定します。

[Cache static content]:たとえば PDF ファイルやイメージなど、リライトされることのないすべてのコンテンツをキャッシュします。

[Restore Cache Default]:すべてのキャッシュ パラメータをデフォルト値に戻します。


 

Content Rewrite

[Content Rewrite] ペインには、コンテンツのリライトがイネーブルまたはディセーブルであるすべてのアプリケーションが一覧表示されます。

クライアントレス SSL VPN では、コンテンツ変換およびリライト エンジンによって、JavaScript、VBScript、Java、マルチバイト文字などの高度な要素からプロキシ HTTP へのトラフィックまでを含む、アプリケーション トラフィックを処理します。このようなトラフィックでは、ユーザがアプリケーションにアクセスするのに SSL VPN デバイス内部からアプリケーションを使用しているか、SSL VPN デバイスに依存せずに使用しているかによって、セマンティックやアクセス コントロールのルールが異なる場合があります。

デフォルトでは、セキュリティ アプライアンスはすべてのクライアントレス トラフィックをリライト、または変換します。公開 Web サイトなどの一部のアプリケーションや Web リソースによっては、ASAを通過しない設定が求められる場合があります。このため、ASAでは、特定のサイトやアプリケーションをASAを通過せずにブラウズできるリライト規則を作成できます。これは、IPSec VPN 接続のスプリット トンネリングと同様の機能です。

リライト ルールは複数作成できます。セキュリティ アプライアンスはリライト ルールを順序番号に従って検索するため、ルールの番号は重要です。このとき、最下位の番号から順に検索して行き、最初に一致したルールが適用されます。

「コンテンツ リライト ルールの設定例」に、コンテンツ リライト ルールを例示します。

手順の詳細

[Content Rewrite] セクションに表示される項目は、次のとおりです

[Rule Number]:リスト内でのルールの位置を示す整数を表示します。

[Rule Name]:ルールが適用されるアプリケーションの名前を付けます。

[Rewrite Enabled]:コンテンツのリライトを、イネーブルかディセーブルで表示します。

[Resource Mask]:リソース マスクを入力します。

次の手順を実行して、リライト エントリを追加するか、または選択したリライト エントリを編集します。


ステップ 1 クリックして、このリライト ルールでコンテンツのリライトをイネーブルにします。

ステップ 2 (任意)このルールの番号を入力します。この番号は、リストの他のルールに相対的に、そのルールの優先順位を示します。番号がないルールはリストの最後に配置されます。有効な範囲は 1 ~ 65534 です。

ステップ 3 (任意)ルールについて説明する英数字を指定します。最大 128 文字です。

ステップ 4 ルールを適用するアプリケーションやリソースに対応する文字列を入力します。文字列の長さは最大で 300 文字です。次のいずれかのワイルドカードを使用できますが、少なくとも 1 つの英数字を指定する必要があります。

*:すべてに一致します。ASDM では、* または *.* で構成されるマスクは受け付けません。

?:任意の 1 文字に一致します。

[!seq]:シーケンスにない任意の文字に一致します。

[seq]:シーケンス内の任意の文字に一致します。

コンテンツ リライト ルールの設定例

 

表 71-1 コンテンツ リライト ルール

機能
コンテンツのリライトをイネーブルにする
ルール番号
ルール名
リソース マスク

すべての HTTP URL を ASA 外に強制的に配信する(スプリットトンネル)

チェック

1

split-tunnel-all-http

http://*

すべての HTTP URL を ASA 外に強制的に配信する

チェック

2

split-tunnel-all-https

https://*

プラグインへのブラウザ アクセスの設定

次の項では、クライアントレス SSL VPN のブラウザ アクセス用のブラウザ プラグインの統合について説明します。

「プラグインのためのセキュリティ アプライアンスの準備」

「シスコが再配布しているプラグインのインストール」

「サードパーティのプラグインへのアクセスの提供」

「Citrix Java Presentation Server へのアクセスの提供」

ブラウザ プラグインは、Web ブラウザによって呼び出される独立したプログラムで、ブラウザ ウィンドウ内でクライアントをサーバに接続するなどの専用の機能を実行します。ASAを使用すると、クライアントレス SSL VPN セッション中に、リモート ブラウザにダウンロードするプラグインをインポートできます。通常、シスコでは再配布するプラグインのテストを行っており、再配布できないプラグインの接続性をテストする場合もあります。ただし、現時点では、ストリーミング メディアをサポートするプラグインのインポートは推奨しません。


) シスコでは、GNU General Public License(GPL; 一般公的使用許諾)に従い、変更を加えることなくプラグインを再配布しています。GPL により、これらのプラグインを直接改良できません。


プラグインをフラッシュ デバイスにインストールすると、ASAは次の処理を実行します。

(シスコが配布したプラグインのみ) URL で指定した jar ファイルを解凍する。

そのファイルをASA ファイル システムの csco-config/97/plugin ディレクトリに書き込みます。

ASDM の URL 属性の横にあるドロップダウン メニューに情報を入力します。

将来のすべてのクライアントレス SSL VPN セッションに対するプラグインのイネーブル化、およびメイン メニュー オプションの追加とポータル ページの [Address] フィールドの隣にあるドロップダウン メニューへのオプションの追加

表 71-2 に、次の項で説明するプラグインを追加したときの、ポータル ページのメイン メニューと [Address] フィールドの変更点を示します。

クライアントレス SSL VPN セッションのユーザがポータル ページで関連するメニュー オプションをクリックすると、ポータル ページにインターフェイスへのウィンドウが開き、ヘルプ ペインが表示されます。ドロップダウン メニューに表示されたプロトコルをユーザが選択して [Address] フィールドに URL を入力すると、接続を確立できます。Java プラグインによっては、宛先サービスへのセッションが設定されていない場合でも、接続済みまたはオンラインというステータスがレポートされることがあります。open-source プラグインは、ASAではなくステータスをレポートします。

表 71-2 クライアントレス SSL VPN ポータル ページへのプラグインの影響

プラグイン
ポータル ページに追加されるメイン メニュー オプション
ポータル ページに追加される [Address] フィールド オプション

ica

Citrix Client

ica://

rdp

Terminal Servers

rdp://

rdp2

Terminal Servers Vista

rdp2://

ssh,telnet

SSH

ssh://

Telnet

telnet://

vnc

VNC Client

vnc://

プラグインは、シングル サインオン(SSO)をサポートします。実装の詳細については、「HTTP Form プロトコルを使用した SSO の設定」を参照してください。

リモートで使用するために必要な最低限のアクセス権は、ゲスト特権モードに属しています。

前提条件

プラグインへのリモートアクセスを提供するには、ASAでクライアントレス SSL VPN をイネーブルにする必要があります。

プラグインに対して SSO サポートを設定するには、プラグインをインストールし、サーバへのリンクを表示するためのブックマーク エントリを追加します。また、ブックマークを追加するときに、SSO サポートを指定します。

リモートで使用するために必要な最低限のアクセス権は、ゲスト特権モードに属しています。

プラグインをブラウザでイネーブルにするには、ActiveX または Sun JRE 5 Update 1.4 以降(JRE 6 以降を推奨)が必要です。64 ビット ブラウザでは、RDP プラグインの ActiveX バージョンは使用できません。

制約事項

セキュリティ アプライアンスでクライアントレス セッションがプロキシ サーバを使用するように設定している場合、プラグインは機能しません。


) Remote Desktop Protocol プラグインでは、セッション ブローカを使用したロード バランシングはサポートされていません。プロトコルによるセッション ブローカからのリダイレクションの処理方法のため、接続に失敗します。セッション ブローカが使用されていない場合、プラグインは動作します。


プラグインは、シングル サインオン(SSO)をサポートします。プラグインは、クライアントレス SSL VPN セッションを開くときに入力したクレデンシャルと 同じ クレデンシャルを使用します。プラグインではマクロ置換がサポートされていないため、内部ドメイン パスワードなどのさまざまなフィールドや、RADIUS または LDAP サーバの属性に対して SSO を実行することはできません。

ステートフル フェールオーバーが発生すると、プラグインを使用して確立されたセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

ステートフル フェールオーバーではなくステートレス フェールオーバーを使用する場合は、ブックマーク、カスタマイゼーション、ダイナミック アクセス ポリシーなどのクライアントレス機能はフェールオーバー ASA ペア間で同期されません。フェールオーバーの発生時に、これらの機能は動作しません。

新しい環境変数の追加

RDP プラグインをセットアップして使用するには、新しい環境変数を追加する必要があります。新しい環境変数を追加するには、次の手順を行います。

手順の詳細


ステップ 1 [My Computer] を右クリックし、[System Properties] を開いて [Advanced] タブを選択します。

ステップ 2 [Advanced] タブで、[Environment Variables] ボタンを選択します。

ステップ 3 [New User Variable] ダイアログボックスで、RF_DEBUG 変数を入力します。

ステップ 4 [User variables] セクションの新しい環境変数を確認します。

ステップ 5 バージョン 8.3 の前に WebVPN のバージョンのクライアント コンピュータを使用していた場合、古い Cisco Portforwarder Control を削除してください。C:/WINDOWS/Downloaded Program Files ディレクトリを開いて、Portforwarder Control を右クリックして、[Remove] を選択します。

ステップ 6 Internet Explorer ブラウザのすべてのキャッシュをクリアします。

ステップ 7 WebVPN セッションを起動して、RDP ActiveX プラグインを使用して RDP セッションを確立します。

これで Windows アプリケーションのイベント ビューアでイベントを確認できるようになります。


 

プラグインのためのセキュリティ アプライアンスの準備

プラグインをインストールする前に、ASAで次のような準備を行います。

前提条件

ASA インターフェイスでクライアントレス SSL VPN(「webvpn」)がイネーブルになっていることを確認します。

制約事項

SSL 証明書の 一般名(CN)として IP アドレスを指定しないでください。リモート ユーザは、ASAと通信するために FQDN の使用を試行します。リモート PC は、DNS または System32\drivers\etc\hosts ファイル内のエントリを使用して、FQDN を解決できる必要があります。

クライアントレス SSL VPN アクセスに提供する必要があるプラグインのタイプを指定している項に進んでください。

「シスコが再配布しているプラグインのインストール」

「サードパーティのプラグインへのアクセスの提供」

シスコが再配布しているプラグインのインストール

シスコでは、Java ベースのオープン ソース コンポーネントを再配布しています。これは、クライアントレス SSL VPN セッションで Web ブラウザのプラグインとしてアクセスされるコンポーネントで、次のものがあります。

前提条件

ASA のインターフェイス上でクライアントレス SSL VPN(「webvpn」)がイネーブルになっていることを確認します。そのためには、 show running-config コマンドを入力します。

ローカル TFTP または FTP サーバに「plugins」という名前の一時ディレクトリを作成(たとえば、ホスト名「local_tftp_server」で作成)し、シスコの Web サイトから「plugins」ディレクトリにプラグインをダウンロードします。

制約事項

 

表 71-3 シスコが再配布しているプラグイン

シスコのダウンロード リンク
プロトコル
説明
再配布しているプラグインのソース *

rdp-plugin.090915.jar

RDP

Windows Vista および Windows 2003 R2 でホストされる Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

RDP および RDP2 の両方をサポートするこのプラグインを使用することをお勧めします。RDP および RDP2 のバージョン 5.2 へのバージョンアップだけがサポートされています。バージョン 5.2 以降はサポートされていません。

シスコでは、GNU General Public License により、変更を加えずにこのプラグインを再配布します。再配布プラグインの元のソースは http://properjavardp.sourceforge.net/ です。

rdp2-plugin.090211.jar

RDP2

Windows Vista および Windows 2003 R2 でホストされる Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

(注) この古いプラグインは、RDP2 だけをサポートします。

シスコでは、GNU 一般公的使用許諾に従って、変更を加えることなくこのプラグインを再配布します。再配布プラグインの元のソースは、 http://properjavardp.sourceforge.net/ です。

rdp-plugin.080506.jar

RDP

Windows 2003 R1 でホストされる Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

(注) この古いプラグインは、RDP だけをサポートします。

シスコでは、GNU 一般公的使用許諾に従って、変更を加えることなくこのプラグインを再配布します。再配布プラグインのソースは、 http://properjavardp.sourceforge.net / です。

ssh-plugin.080430.jar

SSH

Secure Shell-Telnet プラグインにより、リモート ユーザはリモート コンピュータへの Secure Shell(v1 または v2)または Telnet 接続を確立できます。

(注) キーボード インタラクティブ認証は Java SSH ではサポートされていないため、SSH プラグインでもサポートできません。(キーボード インタラクティブは異なる認証メカニズムの実装に使用される汎用の認証方式です)。

シスコでは、GNU 一般公的使用許諾に従って、変更を加えることなくこのプラグインを再配布します。この再配布プラグインのソースがある Web サイトは、 http://javassh.org/ です。

vnc-plugin.080130.jar

VNC

Virtual Network Computing プラグインを使用すると、リモート ユーザはリモート デスクトップ共有(VNC サーバまたはサービスとも呼ばれる)をオンにしたコンピュータを、モニタ、キーボード、およびマウスを使用して表示および制御できます。このバージョンでは、テキストのデフォルトの色が変更されています。また、フランス語と日本語のヘルプ ファイルもアップデートされています。

シスコでは、GNU 一般公的使用許諾に従って、変更を加えることなくこのプラグインを再配布します。この再配布プラグインのソースがある Web サイトは、 http://www.tightvnc.com/ です。

* Consult the plug-in documentation for information on deployment configuration and restrictions.

 

これらのプラグインは、「 Cisco Adaptive Security Appliance Software Download 」サイトで入手できます。

手順の詳細

次の手順を実行して、シスコによって再配布されるプラグインへのクライアントレス SSL VPN ブラウザ アクセスを指定します。


ステップ 1 ASA との ASDM セッションを確立するために使用するコンピュータに、plugins という名前の一時ディレクトリを作成します。

ステップ 2 次に、シスコの Web サイトから、必要なプラグインを [plugins] ディレクトリにダウンロードします。

ステップ 3 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Client-Server Plug-ins] を選択します。

このペインには、クライアントレス SSL セッションで使用可能なプラグインが表示されます。これらのプラグインのハッシュおよび日付も表示されます。

ステップ 4 [Import] をクリックします。

[Import Client-Server Plug-in] ダイアログボックスが開きます。

ステップ 5 [Import Client-Server Plug-in] ダイアログボックスのフィールド値を入力するには、次の説明を参考にしてください。

[Plug-in Name]:次のいずれかの値を入力します。

ica 。Citrix MetaFrame または Web Interface サービスへのプラグイン アクセスを提供する場合に指定します。その後、次の説明に従って [Remote Server] フィールドに ica-plugin.jar ファイルへのパスを指定します。

Remote Desktop Protocol サービスへのプラグイン アクセスを提供するには、 rdp を入力します。次に、[Remote Server] フィールドで rdp-plugin.jar ファイルへのパスを指定します。

セキュア シェル サービスと Telnet サービスの 両方 にプラグイン アクセスを提供するには、 ssh,telnet を入力します。次に、[Remote Server] フィールドで ssh-plugin.jar ファイルへのパスを指定します。

Virtual Network Computing サービスにプラグイン アクセスを提供するには、 vnc を入力します。次に、[Remote Server] フィールドで vnc-plugin.jar ファイルへのパスを指定します。


) このメニューの、記載のないオプションは実験的なものであるため、サポートされていません。


[Select a file]:次のいずれかのオプションをクリックし、テキスト フィールドにパスを挿入します。

[Local computer]:ASDM セッションを確立した相手のコンピュータからプラグインを取得します。関連する [Path] フィールドにプラグインの場所と名前を入力するか、[Browse Local Files] をクリックしてプラグインにナビゲートし、プラグインを選択して [Select] をクリックします。

[Flash file system]:ASAのファイル システムにプラグインが存在する場合にクリックします。関連する [Path] フィールドにプラグインの場所と名前を入力するか、[Browse Flash] をクリックしてプラグインにナビゲートし、プラグインを選択して [OK] をクリックします。

[Remote Server]:FTP または TFTP サーバを実行しているホストからプラグインを取得します。リモート サーバで実行されているサービスに応じて、関連付けられた [Path] 属性の横にあるドロップダウン メニューで [ftp]、[tftp]、または [HTTP] を選択します。隣にあるテキスト フィールドに、サーバのホスト名またはアドレスおよびプラグインへのパスを入力します。

ステップ 6 [Import Now] をクリックします。

ステップ 7 [Apply] をクリックします。

これで、以降のクライアントレス SSL VPN セッションでプラグインが使用できるようになりました。


 

サードパーティのプラグインへのアクセスの提供

セキュリティ アプライアンスのオープン フレームワークにより、サードパーティの Java クライアント/サーバ アプリケーションをサポートするためにプラグインを追加することができます。POST プラグインは、Citrix Web Interface などの特定のアプリケーションついて、シングル サインオン(SSO)とホームページの重要ないくつかの要件を解決するために開発されました。このクライアントレス SSL VPN プラグインには、次の重要な機能があります。

Web アプリケーション(Citrix など)のホームページを右フレームに表示するオプション。デフォルトのクライアントレス ポータルの一部として、またはページ内の唯一のフレームとして(Cisco ポータルに含まれるものは完全に非表示)。

ホームページ上の SSO または WebVPN 変数を使用するアプリケーション(マクロとも呼ばれる)を使用する SSO 用のオプション(したがって、HTTP-POST パラメータ)。

POST 要求を発行する前にページをロードするオプション。このオプションは、アプリケーションのログイン ページでクッキーを設定する場合に必要になります。

制約事項

シスコでは、シスコが再配布していない特定のプラグインに対して、直接的なサポートや推奨はしていません。クライアントレス SSL VPN サービスの提供者として、ユーザはプラグインの使用に際して必要となるライセンス契約を確認および遵守する責任があります。

厳密に HTML/JavaScript コードであり、JAVA プラグインではありません。クライアント コンポーネントは含まれていません。

Firefox ではサポートされません。Internet Explorer および Mac Safari のみでサポートされます。

クエリーを含む URL はサポートされません(http://example.company.com/names?Login など)。? 文字はサポートされていません。

アプリケーションのすべてのオブジェクトとともに中間ページが完全にロードされるように、POST プラグインによって約 10 秒の遅延が追加されます。この遅延は、中間ページでクライアント検出機能が実行される Citrix などのアプリケーションにとって有用です。

POST URL の設定および適用

POST プラグインは、カスタマイゼーション オブジェクトを使用して設定されます。たとえば、クライアントレス SSL VPN ログインの後に Citrix ポータルをホームページにするには、次の手順を実行します。

手順の詳細


ステップ 1 [Custom Intranet Web Page URL] フィールドで、Citrix サーバの POST URL をカスタマイゼーション オブジェクトに追加します(図 71-6 を参照)。

たとえば、Citrix サーバの URL が http://mycitrix-server.abcd.com/Citrix/AccessPlatform/auth/login.aspx の場合、POST URL を追加すると、 post://mycitrix-server.abcd.com/Citrix/AccessPlatform/auth/login.aspx?LoginType=Explicit&user=CSCO_WEBVPN_USERNAME&password=CSCO_WEBVPN_PASSWORD&csco_preload=http://mycitrix-server.abcd.com&csco_ispopup=yes になります。

図 71-6 [SSL VPN Customization Editor] ウィンドウ

ステップ 2 カスタマイゼーション オブジェクトをグループまたはユーザに適用します。

SSO および必要なパラメータの設定の詳細については、『SSL VPN deployment guide』 (http://www.cisco.com/en/US/docs/security/asa/asa80/asdm60/ssl_vpn_deployment_guide/deploy.html#wp1002989) を参照してください。


 

Citrix Java Presentation Server へのアクセスの提供

サードパーティのプラグインに、クライアントレス SSL VPN ブラウザ アクセスを提供する方法の例として、この項では、Citrix Presentation Server Client にクライアントレス SSL VPN のサポートを追加する方法について説明します。

ASAに Citrix プラグインがインストールされている場合、クライアントレス SSL VPN ユーザは、ASAへの接続を使用して、Citrix MetaFrame サービスにアクセスできます。

ステートフル フェールオーバーでは、Citrix プラグインを使用して確立したセッションは保持されません。Citrix のユーザは、フェールオーバー後に再認証を行う必要があります。

Citrix プラグインへのアクセスを提供するには、次の項で説明する手順に従ってください。

クライアントレス SSL VPN アクセスのための Citrix MetaFrame Server の準備

Citrix プラグインの作成とインストール

クライアントレス SSL VPN アクセスのための Citrix MetaFrame Server の準備

Citrix クライアントが Citrix MetaFrame Server に接続するときに、ASAは Citrix セキュア ゲートウェイの接続機能を実行します。(Citrix)「セキュア ゲートウェイ」を使用しないモードで動作するように、Citrix Web Interface ソフトウェアを設定する必要があります。この設定をしないと、Citrix クライアントは Citrix MetaFrame Server に接続できません。


) プラグインに対するサポートをまだ提供していない場合は、「プラグインのためのセキュリティ アプライアンスの準備」の説明に従い作業を行った後に、この項を参照してください。


Citrix プラグインの作成とインストール

Citrix プラグインを作成およびインストールするには、次の手順に従います。

手順の詳細


ステップ 1 シスコのソフトウェア ダウンロード Web サイトから ica-plugin.zip ファイルをダウンロードします。

このファイルには、Citrix プラグインを使用するためにシスコがカスタマイズしたファイルが含まれています。

ステップ 2 Citrix のサイトから Citrix Java クライアント をダウンロードします。

ステップ 3 Citrix Java クライアントから次のファイルを抽出し、それらを ica-plugin.zip ファイルに追加します。

JICA-configN.jar

JICAEngN.jar

この手順の実行には WinZip を使用できます。

ステップ 4 Citrix Java に含まれている EULA によって、Web サーバ上にクライアントを配置するための権限が与えられていることを確認します。

ステップ 5 ASAで CLI セッションを開き、特権 EXEC モードで次のコマンドを入力して、プラグインをインストールします。

import webvpn plug-in protocol ica URL

URL はホスト名または IP アドレス、および ica-plugin.zip ファイルへのパスです。


) プラグインをインポート後、リモート ユーザは ica を選択し、Citrix サービスにアクセスするために、ポータル ページの Address フィールドに host/?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 を入力できるようになります。ユーザの接続を容易にするためにブックマークを追加することをお勧めします。Citrix セッションに SSO サポートを提供する場合は、ブックマークの追加は必須です。


ステップ 6 SSL VPN クライアントレス セッションを確立し、ブックマークをクリックするか、Citrix サーバの URL を入力します。

必要に応じて、『 Client for Java Administrator's Guide 』を参照してください。


 

Microsoft Kerberos Constrained Delegation ソリューションの理由

多くの組織では、現在 ASA SSO 機能によって提供される以上の認証方式を使用して、クライアントレス VPN ユーザを認証し、ユーザの認証クレデンシャルを Web ベースのリソースにシームレスに拡張する必要があります。スマート カードおよびワンタイム パスワード(OTP)を使用したリモート アクセス ユーザの認証に対する要求が大きくなっていますが、SSO 機能ではこの要求を満たすには不十分です。SSO 機能では、認証が必要になると、従来のユーザ クレデンシャル(スタティックなユーザ名とパスワードなど)をクライアントレス Web ベースのリソースに転送するだけであるためです。

たとえば、証明書ベースまたは OTP ベースの認証方式には、ASA が Web ベースのリソースへの SSO アクセスをシームレスに実行するために必要な従来のユーザ名とパスワードは含まれていません。証明書を使用して認証する場合、ASA が Web ベースのリソースへ拡張するためにユーザ名とパスワードは必要ありません。そのため、SSO でサポートされない認証方式になっています。これに対し、OTP にはスタティックなユーザ名が含まれていますが、パスワードはダイナミックであり、VPN セッション中に後で変更されます。一般に、Web ベースのリソースはスタティックなユーザ名とパスワードを受け入れるように設定されるため、OTP も SSO でサポートされない認証方式になっています。

Microsoft の Kerberos Constrained Delegation(KCD)は、ASA のソフトウェア リリース 8.4 で導入された新機能であり、プライベート ネットワーク内の Kerberos で保護された Web アプリケーションへのアクセスを提供します。この利点により、証明書ベースおよび OTP ベースの認証方式を Web アプリケーションにシームレスに拡張できます。したがって、SSO と KCD は独立しながら連携し、多くの組織では、ASA でサポートされるすべての認証方式を使用して、クライアントレス VPN ユーザを認証し、ユーザの認証クレデンシャルを Web アプリケーションにシームレスに拡張できます。

要件

kcd-server コマンドが機能するには、ASA は ソース ドメイン(ASA が常駐するドメイン)と ターゲット または リソース ドメイン(Web サービスが常駐するドメイン)間の信頼関係を確立する必要があります。ASA は、その独自のフォーマットを使用して、サービスにアクセスするリモート アクセス ユーザの代わりに、ソースから宛先ドメインへの認証パスを越えて、必要なチケットを取得します。

このように認証パスを越えることは、クロスレルム認証と呼ばれます。クロスレルム認証の各フェーズで、ASA は特定のドメインのクレデンシャルおよび後続のドメインとの信頼関係に依存しています。

KCD の機能概要

Kerberos は、ネットワーク内のエンティティのデジタル識別情報を検証するために、信頼できる第三者に依存しています。これらのエンティティ(ユーザ、ホスト マシン、ホスト上で実行されるサービスなど)は、プリンシパルと呼ばれ、同じドメイン内に存在している必要があります。秘密キーの代わりに、Kerberos では、サーバに対するクライアントの認証にチケットが使用されます。チケットは秘密キーから導出され、クライアントのアイデンティティ、暗号化されたセッション キー、およびフラグで構成されます。各チケットはキー発行局によって発行され、ライフタイムが設定されます。

Kerberos セキュリティ システムは、エンティティ(ユーザ、コンピュータ、またはアプリケーション)を認証するために使用されるネットワーク認証プロトコルであり、情報の受け手として意図されたデバイスのみが復号化できるようにデータを暗号化することによって、ネットワーク伝送を保護します。クライアントレス SSL VPN(WebVPN ともいう)のユーザに Kerberos で保護された Web サービスへの SSO アクセスを提供するように KCD を設定できます。このような Web サービスやアプリケーションの例として、Outlook Web Access(OWA)、SharePoint、および Internet Information Server(IIS)があります。

Kerberos プロトコルに対する 2 つの拡張機能として、 プロトコル移行 および 制約付き委任 が実装されました。これらの拡張機能によって、クライアントレスまたは WebVPN リモート アクセス ユーザは、プライベート ネットワーク内の Kerberos で認証されるアプリケーションにアクセスできます。

プロトコル移行 では、ユーザ認証レベルでさまざまな認証メカニズムをサポートし、後続のアプリケーション レイヤでセキュリティ機能(相互認証や制約付き委任など)について Kerberos プロトコルに切り替えることによって、柔軟性とセキュリティが強化されます。 制約付き委任 では、ドメイン管理者は、アプリケーションがユーザの代わりを務めることができる範囲を制限することによって、アプリケーション信頼境界を指定して強制適用できます。この柔軟性は、信頼できないサービスによる危険の可能性を減らすことで、アプリケーションのセキュリティ設計を向上させます。

制約付き委任の詳細については、IETF の Web サイト( http://www.ietf.org )にアクセスして、RFC 1510 を参照してください。

KCD の認証フロー

図 71-7 に、委任に対して信頼されたリソースにユーザがクライアントレス ポータルによってアクセスするときに、直接的および間接的に体験するパケットおよびプロセス フローを示します。このプロセスは、次のタスクが完了していることを前提としています。

ASA 上で設定された KCD

Windows Active Directory への参加、およびサービスが委任に対して信頼されたことの確認

Windows Active Directory ドメインのメンバーとして委任された ASA

図 71-7 KCD プロセス


) クライアントレス ユーザ セッションが、ユーザに設定されている認証メカニズムを使用して ASA により認証されます。(スマートカード クレデンシャルの場合、ASA によって、デジタル証明書の userPrincipalName を使用して Windows Active Directory に対して LDAP 認可が実行されます)。


1. 認証が成功すると、ユーザは、ASA クライアントレス ポータル ページにログインします。ユーザは、URL をポータル ページに入力するか、ブックマークをクリックして、Web サービスにアクセスします。この Web サービスで認証が必要な場合、サーバは、ASA クレデンシャルの認証確認を行い、サーバでサポートされている認証方式のリストを送信します。


) クライアントレス SSL VPN の KCD は、すべての認証方式(RADIUS、RSA/SDI、LDAP、デジタル証明書など)に対してサポートされています。次の AAA のサポートに関する表を参照してください。http://www.cisco.com/en/US/partner/docs/security/asa/asa84/configuration/guide/access_aaa.html#wp1069492


2. 認証確認時の HTTP ヘッダーに基づいて、ASA は、サーバで Kerberos 認証が必要かどうかを決定します。(これは SPNEGO メカニズムの一部です)。バックエンド サーバとの接続で、Kerberos 認証が必要な場合、ASA は、ユーザの代わりにそれ自体のために、サービス チケットをキー発行局から要求します。

3. キー発行局は、要求されたチケットを ASA に返します。これらのチケットは ASA に渡されますが、ユーザの認可データが含まれています。ASA は、ユーザがアクセスする特定のサービス用の KDC からのサービス チケットを要求します。


) ステップ 1 ~ 3 では、プロトコル移行が行われます。これらのステップの後、Kerberos 以外の認証プロトコルを使用して ASA に対して認証を行うユーザは、透過的に、Kerberos を使用してキー発行局に対して認証されます。


4. ASA は、ユーザがアクセスする特定のサービス用のキー発行局からのサービス チケットを要求します。

5. キー発行局は、特定のサービスのサービス チケットを ASA に返します。

6. ASA は、サービス チケットを使用して、Web サービスへのアクセスを要求します。

7. Web サーバは、Kerberos サービス チケットを認証して、サービスへのアクセスを付与します。認証が失敗した場合は、適切なエラー メッセージが表示され、確認を求められます。Kerberos 認証が失敗した場合、予期された動作は基本認証にフォールバックします。

Active Directory での Windows サービス アカウントの追加

ASA での KCD 実装にはサービス アカウントが必要です。これはつまり、コンピュータの追加(ドメインへの ASA の追加など)に必要な権限を持った Active Directory ユーザ アカウントです。ここでの例では、Active Directory ユーザ名 JohnDoe は、必要な権限を持ったサービス アカウントを示します。ユーザ権限を Active Directory に実装する方法の詳細については、Microsoft サポートに問い合わせるか、 http://microsoft.com を参照してください。

KCD の DNS の設定

この項では、ASA で DNS を設定するために必要な設定手順の概要を示します。KCD を ASA での認証委任方式として使用する場合、ホスト名の解決と、ASA、ドメイン コントローラ(DC)、および委任に対して信頼されたサービス間の通信をイネーブルにするために、DNS が必要です。


ステップ 1 ASDM から、[Configuration] > [Remote Access VPN] > [DNS] に移動し、図 71-8 に示すように DNS のセットアップを設定します。

[DNS Server Group]:DNS サーバの IP アドレス(192.168.0.3 など)を入力します。

[Domain Name]:DC がメンバーであるドメイン名(companypdc.com など)を入力します。

ステップ 2 適切なインターフェイスで DNS ルックアップをイネーブルにします。クライアントレス VPN の配置には、社内ネットワーク(通常は 内部 インターフェイス)を介した DNS ルックアップが必要です。

図 71-8 ASA DNS の設定例

Active Directory ドメインに参加する ASA の設定

この項では、ASA が Active Directory ドメインの一部として機能できるようにするために必要な設定手順の概要を示します。KCD では、ASA が Active Directory ドメインのメンバーであることが必要です。この設定により、ASA と KCD サーバ間の制約付き委任トランザクションに必要な機能がイネーブルになります。


ステップ 1 ASDM から、図 71-9 に示すように、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Microsoft KCD Server] に移動します。

ステップ 2 [New] をクリックして制約付き委任用の Kerberos サーバ グループを追加し、次の項目を設定します。
図 71-9 を参照)。

Server Group Configuration

[Server Group Name]:ASA での制約付き委任設定の名前を定義します。MSKCD(デフォルト値)などです。冗長性のために複数のサーバ グループを設定できます。ただし、VPN ユーザの代わりにサービス チケットを要求するために使用する KCD サーバ設定には、割り当てることができるサーバ グループは 1 つのみです。

[Reactivation Mode]:使用するモードのオプション ボタン([Depletion] または [Timed])をクリックします。[Depletion] モードの場合、障害が発生したサーバは、グループ内のサーバがすべて非アクティブになったときに限り、再アクティブ化されます。Timed モードでは、障害が発生したサーバは 30 秒の停止時間の後で再アクティブ化されます。[Depletion] がデフォルト設定です。

[Dead Time]:再アクティブ化モードとして [Depletion] を選択した場合は、デッド時間を追加する必要があります。10 分がデフォルト設定です。この時間は、グループ内の最後のサーバがディセーブルになってから、すべてのサーバを再度イネーブルにするまでの時間を分単位で表します。

[Max Failed Attempts]:応答のないサーバを非アクティブと宣言するまでに許可される接続試行の失敗回数を設定します。デフォルトの試行回数は 3 回です。

Server Configuration

[Interface Name]:サーバが常駐するインターフェイスを選択します。一般に、認証サーバの配置は、社内ネットワークに(通常は 内部 インターフェイスを介して)常駐します。

[Server Name]:ドメイン コントローラのホスト名を定義します。ServerHostName などです。

[Timeout]:サーバからの応答を待機する最大時間(秒単位)を指定します。デフォルトは 10 秒です。

Kerberos Parameter

[Server Port]:88 がデフォルトであり、KCD 用に使用される標準ポートです。

[Retry Interval]:必要な再試行間隔を選択します。10 秒がデフォルト設定です。

[Realm]:DC のドメイン名をすべて大文字で入力します(COMPANYDC.COM など)。ASA での KCD 設定では、レルム値は大文字である必要があります。レルムとは認証ドメインのことです。サービスは、同じレルム内のエンティティからの認証クレデンシャルのみを受け入れることができます。レルムは、ASA が参加するドメイン名と一致している必要があります。

図 71-9 KCD サーバ グループ設定

ステップ 3 [OK] をクリックして設定を適用し、リモート アクセス ユーザの代わりにサービス チケットを要求するように Microsoft KCD サーバを設定します(図 71-9 を参照)。[OK] をクリックすると、Microsoft KCD サーバの設定ウィンドウが表示されます。


 

Kerberos サーバ グループの設定

制約付き委任用の Kerberos サーバ グループ MSKCD が、KCD サーバ設定に自動的に適用されます。Kerberos サーバ グループを設定して、[Configuration] > [Remote Access VPN] > [AAA/Local User] > [AAA Server Groups] で管理することもできます。


ステップ 1 [Server Access Credential] セクションで、次の項目を設定します。

[Username]:サービス アカウント(Active Directory ユーザ名)を定義します。JohnDoe などです。これには、Active Directory ドメインへのコンピュータ アカウントの追加に必要な権限が付与されています。ユーザ名は、特定の管理ユーザには対応せず、単にサービス レベル権限を持つユーザです。(管理者特権を持つアカウントは、この設定には必要ありません)。このサービス アカウントは、ASA によって、リブートのたびにそれ自体のコンピュータ アカウントを Active Directory ドメインに追加するために使用されます。リモート ユーザの代わりに Kerberos チケットを要求するために、コンピュータ アカウントを個別に設定する必要があります。

[Password]:ユーザ名に関連付けるパスワードを定義します(Cisco123 など)。パスワードは、特定のパスワードには対応せず、単に Window ドメイン コントローラでデバイスを追加するためのサービス レベル パスワード権限です。

ステップ 2 [Server Group Configuration] セクションで、次の項目を設定します。

[Reactivation Mode]:使用するモード([Depletion] または [Timed])をクリックします。[Depletion] モードの場合、障害が発生したサーバは、グループ内のサーバがすべて非アクティブになったときに限り、再アクティブ化されます。Timed モードでは、障害が発生したサーバは 30 秒の停止時間の後で再アクティブ化されます。[Depletion] がデフォルト設定です。

[Dead Time]:再アクティブ化モードとして [Depletion] を選択した場合は、デッド時間を追加する必要があります。この時間は、グループ内の最後のサーバがディセーブルになってから、すべてのサーバを再度イネーブルにするまでの時間を分単位で表します。10 分がデフォルトです。

[Max Failed Attempts]:応答のないサーバを非アクティブと宣言するまでに許可される接続試行の失敗回数を設定します。デフォルトの試行回数は 3 回です。


) [Server Table] セクションでは、前に設定した DC ホスト名 ServerHostName が KCD サーバ設定に自動的に適用されました(図 71-10 を参照)。


図 71-10 KCD サーバの設定

ステップ 3 [Apply] をクリックします。


) 設定の適用後、ASA によって Active Directory ドメインの参加プロセスが自動的に開始されます。ASA のホスト名が Active Directory Users and Computers の Computers ディレクトリに表示されます。


ASA がドメインに正常に参加したかどうかを確認するには、図 71-11 に示すように、ASA プロンプトから次のコマンドを実行します。

show webvpn kcd

図 71-11 ASA ドメイン メンバーシップの確認


 

Kerberos で認証されるサービスにアクセスするためのブックマークの設定

Outlook Web Access などの Kerberos で認証されるサービスに ASA クライアントレス ポータルを使用してアクセスするには、ブックマーク リストを設定する必要があります。ブックマーク リストは、リモート アクセス ユーザに関連付けられた VPN セキュリティ ポリシーに基づいて、それらのユーザに割り当てられ、表示されます。


ステップ 1 ASDM GUI で、[Configuration] > [Remote Access VPN] > [Clientless VPN Access] > [Portal] > [Bookmarks] に移動します。

ステップ 2 [Bookmark List] に、サービス ロケーションを参照するための URL を入力します。


 

Application Access の設定

次の項では、クライアントレス SSL VPN セッションでスマート トンネル アクセスおよびポート転送をイネーブルにする方法、それらのアクセスを提供するアプリケーションの指定、および使用上の注意について説明します。

スマート トンネル アクセスの設定

スマート トンネルからのログオフ

スマート トンネル アクセスの設定

スマート トンネル リストには、スマート トンネル アクセスに適した 1 つまたは複数のアプリケーション、およびリストに関連付けられたエンドポイント オペレーティング システムが示されます。各グループ ポリシーまたはローカル ユーザ ポリシーでは 1 つのスマート トンネル リストがサポートされているため、ブラウザベースではないアプリケーションをサポート対象とするために、グループ化してスマート トンネル リストに加える必要があります。スクリプトを記述したり何かをアップロードしなくても、管理者はグループ ポリシー内のどのページがスマート トンネル経由で接続するかを(homepage use-smart-tunnel CLI コマンドを使用するか、GUI 上で)指定できます。リストの設定に従って、ページを 1 つまたは複数のグループ ポリシーまたはローカル ユーザ ポリシーに割り当てることができます。管理者がこのように設定しておくと、ユーザはスマート トンネル経由で社内のリソースにアクセスしながらインターネットを直接ブラウズできます。

次の項では、スマート トンネルおよびその設定方法について説明します。

スマート トンネルについて

スマート トンネルを使用する理由

スマート トンネルの設定(Lotus の例)

トンネリングするアプリケーションの設定の簡略化

スマート トンネル リストの割り当て

スマート トンネルの自動サインオンのサーバの指定

スマート トンネル自動サインオン サーバ エントリの追加または編集

スマート トンネル アクセスのイネーブル化とディセーブル化

スマート トンネルについて

スマート トンネルは、TCP ベースのアプリケーションとプライベート サイト間の接続です。このスマート トンネルは、セキュリティ アプライアンスをパスウェイとして、また、ASAをプロキシ サーバとして使用するクライアントレス(ブラウザベース)SSL VPN セッションを使用します。スマート トンネル アクセスを許可するアプリケーションを特定し、各アプリケーションのローカル パスを指定できます。Microsoft Windows で実行するアプリケーションの場合は、チェックサムの SHA-1 ハッシュの一致を、スマート トンネル アクセスを許可する条件として要求もできます。

Lotus SameTime および Microsoft Outlook は、スマート トンネル アクセスを許可できるアプリケーションの例です。

スマート トンネルを設定するには、アプリケーションがクライアントであるか、Web 対応アプリケーションであるかに応じて、次の手順のいずれかを実行する必要があります。

クライアント アプリケーションの 1 つ以上のスマート トンネル リストを作成し、スマート トンネル アクセスを提供するグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

スマート トンネル アクセスに適格な Web 対応アプリケーションの URL を指定する 1 つ以上のブックマーク リスト エントリを作成し、スマート トンネル アクセスを提供するグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

また、クライアントレス SSL VPN セッションを介したスマート トンネル接続でのログイン クレデンシャルの送信を自動化する Web 対応アプリケーションのリストも作成できます。

スマート トンネルを使用する理由

スマート トンネル アクセスでは、クライアントの TCP ベースのアプリケーションは、ブラウザベースの VPN 接続を使用してサービスにアクセスできます。この方法では、プラグインやレガシー テクノロジーであるポート転送と比較して、ユーザには次のような利点があります。

スマート トンネルは、プラグインよりもパフォーマンスが向上します。

ポート転送とは異なり、スマート トンネルでは、ローカル ポートへのローカル アプリケーションのユーザ接続を要求しないことにより、ユーザ エクスペリエンスが簡略化されます。

ポート転送とは異なり、スマート トンネルでは、ユーザは管理者特権を持つ必要がありません。

プラグインの利点は、クライアント アプリケーションをリモート コンピュータにインストールする必要がないという点です。

前提条件

スマート トンネルでは、次の Windows プラットフォームがサポートされます。

Windows 7 x86(32 ビット)および x64(64 ビット)、Internet Explorer 8.x および Firefox 3.x 経由。

Windows Vista x64、Internet Explorer 7.x/8.x または Firefox 3.x 経由。

Windows Vista x86 SP2、Internet Explorer 7.x または Firefox 3.x 経由。

Windows XP x64、Internet Explorer 6.x/7.x/8.x および Firefox 3.x 経由。

Windows XP x86 SP2 以降、Internet Explorer 6.x/7.x または Firefox 3.x 経由。

これらの要件に加えて、次の要件と制限事項が Windows でのスマート トンネル アクセスには適用されます。

Windows では ActiveX または Sun JRE 5 Update 1.5 以降(JRE 6 以降を推奨)をブラウザでイネーブルにしておく必要がある。

ActiveX ページでは、関連するグループ ポリシーに activex-relay コマンドを入力しておくことが必要です。コマンドを入力しているか、ポリシーにスマート トンネル リストを割り当てていて、エンドポイントのブラウザのプロキシ例外リストでプロキシが指定されている場合、このリストに「shutdown.webvpn.relay.」エントリを追加する必要があります。


) ブラウザベースの VPN アクセスでは、Windows 7、Vista、Internet Explorer 8、Mac OS、および Linux の Windows 共有(CIFS)Web フォルダはサポートされていません。Windows XP SP2 で Web フォルダをサポートするには、Microsoft 社が提供するホットフィックスが必要です。


Winsock 2 の TCP ベースのアプリケーションだけ、スマート トンネル アクセスに適する。

スマート トンネルまたはポート転送を使用する Microsoft Windows Vista ユーザには、ASA の URL を信頼済みサイト ゾーンに追加することを推奨する。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista ユーザは、保護モードをディセーブルにしてスマート トンネル アクセスの使用もできます。ただし、攻撃を受けやすくなるため、この方法の使用はお勧めしません。

スマート トンネルは Intel のプロセッサ上で実行される Mac OS だけをサポートする。

Java Web Start をブラウザでイネーブルにしておく必要がある。

制約事項

スマート トンネルは、Microsoft Windows を実行しているコンピュータとセキュリティ アプライアンス間に配置されたプロキシだけをサポートする。スマート トンネルは、Internet Explorer 設定(つまり、Windows でシステム全体での使用を目的とした設定)を使用します。リモート コンピュータがASAにアクセスするためにプロキシ サーバを必要とする場合、接続の終端側の URL が、プロキシ サービスから除外される URL のリストに存在する必要があります。プロキシ設定で、ASA を宛先とするトラフィックのプロキシ経由を指定すると、すべてのスマート トンネル トラフィックがプロキシ経由になります。

HTTP ベースのリモート アクセスのシナリオでは、サブネットが VPN ゲートウェイへのユーザ アクセスを提供しない場合があります。この場合、Web とエンド ユーザの場所との間のトラフィックをルーティングするために ASA の前に配置されているプロキシが、Web アクセスを提供します。ただし、ASA の前に配置されるプロキシを設定できるのは、VPN ユーザだけです。このように実行する場合、これらのプロキシが CONNECT 方式をサポートすることを確認する必要があります。認証が必要なプロキシの場合、スマート トンネルは、基本ダイジェスト認証タイプだけをサポートします。

スマート トンネルが開始されると、ASAは、ブラウザ プロセスが同じである場合に VPN セッション経由ですべてのブラウザ トラフィックをデフォルトで送信する。tunnel-all ポリシーが適用されている場合にも、ASAは同じ処理を行います。ユーザがブラウザ プロセスの別のインスタンスを開始すると、VPN セッション経由ですべてのトラフィックが送信されます。ブラウザ プロセスが同じで、セキュリティ アプライアンスが URL へのアクセスを提供しない場合、ユーザはその URL を開くことはできません。回避策として、tunnel-all ではないトンネル ポリシーを割り当てます。

ステートフル フェールオーバーが発生したとき、スマート トンネル接続は保持されません。ユーザはフェールオーバー後に再接続する必要があります。

スマート トンネルのロードに時間がかかりすぎる場合は、次の手順を実行します。

SSL ステートをクリアします(Internet Explorer で、[Tools] > [Internet Options] > [Content] の順番に進みます)。

[Check for server certificate revocation] チェックボックスをディセーブルにします(Internet Explorer で、[Tools] > [Internet Options] > [Advanced] > [Security] の順番に進みます)。

Cookie を削除します(Internet Explorer で、[Tools] > [Internet Options] > [General] の順番に進みます)。

スマート トンネルの Mac バージョンは、POST ブックマーク、フォームベースの自動サインオン、または POST マクロ置換をサポートしない。

ポータル ページから起動されたアプリケーションだけ、スマート トンネル接続を確立できる。この要件には、Firefox に対するスマート トンネルのサポートも含まれます。スマート トンネルを最初に使用する際に、Firefox を使用して Firefox の別のインスタンスを起動するには、csco_st という名前のユーザ プロファイルが必要です。このユーザ プロファイルが存在しない場合、セッションでは、作成するようにユーザに要求します。

Mac OS では、SSL ライブラリにダイナミックにリンクされた、TCP を使用するアプリケーションをスマート トンネルで使用できます。

Mac OS では、スマート トンネルは次をサポートしない。

プロキシ サービス

自動サインオン

2 つのレベルの名前スペースを使用するアプリケーション

Telnet、SSH、cURL などのコンソールベースのアプリケーション

dlopen または dlsym を使用して libsocket コールを見つけ出すアプリケーション

libsocket コールを見つけ出すスタティックにリンクされたアプリケーション

Windows の場合、コマンド プロンプトから開始したアプリケーションにスマート トンネル アクセスを追加する場合は、スマート トンネル リストの 1 つのエントリの Process Name に「cmd.exe」を指定し、別のエントリにアプリケーション自体へのパスを指定する必要があります。これは「cmd.exe」がアプリケーションの親であるためです。

Mac OS では、プロセスへのフル パスが必要です。また、このパスは大文字と小文字が区別されます。各ユーザ名のパスを指定しないようにするには、部分パスの前にチルダ(~)を入力します(例:~/bin/vnc)。

スマート トンネルと Secure Desktop(Vault)の相互運用性

シスコは、Vault をサポートするすべてのプラットフォームで、Secure Desktop(Vault)環境内のスマート トンネリングをサポートします。また、デスクトップ アプリケーションおよびブラウザベースのアプリケーションのスマート トンネリングもサポートします。

IE8 または 64 ビット版 Windows オペレーティング システムを使用するエンドポイントからスマート トンネリングを実行するには、ASA 8.3 以降が必要です。

IE8 を使用するスマート トンネリングを Secure Desktop(Vault)から実装するには、ASA 8.3 以降を実行しているセキュア ゲートウェイにエンドポイントを接続する必要があります。さらに、エンドポイントに Cisco Secure Desktop 3.5 以降がインストールされている必要があります。

スマート トンネリングは、ネットワーク アクセスを内部リソースのみに制限するためのものではありません。

スマート トンネルの設定(Lotus の例)

スマート トンネルを設定するには、次の手順を実行します。


) この例では、アプリケーションでのスマート トンネル サポートを追加するために必要な最小限の指示だけを示します。詳細については、以降の各項にあるフィールドの説明を参照してください。


手順の詳細


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を選択します。

ステップ 2 アプリケーションを追加するスマート トンネル リストをダブルクリックするか、または [Add] をクリックしてアプリケーションのリストを作成し、[List Name] フィールドにそのリストの名前を入力して [Add] をクリックします。

たとえば、[Smart Tunnels] ペインで [Add] をクリックし、[List Name] フィールドに Lotus と入力して [Add] をクリックします。

ステップ 3 [Add or Edit Smart Tunnel List] ダイアログボックスで [Add] をクリックします。

ステップ 4 [Application ID] フィールドに、スマート トンネル リスト内のエントリに対する一意のインデックスとして使用する文字列を入力しします。

ステップ 5 [Process Name] ダイアログボックスに、ファイル名とアプリケーションの拡張子を入力します。

表 71-4 に、[Application ID] 文字列の例と、Lotus をサポートするために必要な関連付けられたパスを示します。

 

表 71-4 スマート トンネルの例:Lotus 6.0 Thick Client with Domino Server 6.5.5

アプリケーション ID の例
必要最小限のプロセス名

lotusnotes

notes.exe

lotusnlnotes

nlnotes.exe

lotusntaskldr

ntaskldr.exe

lotusnfileret

nfileret.exe

ステップ 6 [OS] の横の [Windows] を選択します。

ステップ 7 [OK] をクリックします。

ステップ 8 リストに追加するアプリケーションごとに、ステップ 3 7 を繰り返します。

ステップ 9 [Add or Edit Smart Tunnel List] ダイアログボックスで [OK] をクリックします。

ステップ 10 次のようにして、関連付けられたアプリケーションへのスマート トンネル アクセスを許可する、グループ ポリシーとローカル ユーザ ポリシーにリストを割り当てます。

グループ ポリシーにリストを割り当てるには、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add] または [Edit] > [Portal] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

ローカル ユーザ ポリシーにリストを割り当てるには、[Configuration] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] または [Edit] > [VPN Policy] > [Clientless SSL VPN] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。


 

トンネリングするアプリケーションの設定の簡略化

スマート トンネル アプリケーション リストは、基本的に、トンネルへのアクセスを許可するアプリケーションのフィルタです。デフォルトでは、ブラウザによって開始されるすべてのプロセスに対してアクセスが許可されます。スマート トンネル対応ブックマークによって、クライアントレス セッションでは Web ブラウザによって開始されるプロセスのみにアクセスが許可されます。ブラウザ以外のアプリケーションでは、管理者はすべてのアプリケーションをトンネリングすることを選択して、エンド ユーザがどのアプリケーションを起動するかを知る必要性をなくすことができます。 表 71-5 に、プロセスにアクセスが許可される状況を示します。

表 71-5 スマート トンネル アプリケーションのアクセスと対応ブックマーク

スマート トンネル対応ブックマーク
スマート トンネル アプリケーション アクセス

アプリケーション リストが指定される

アプリケーション リストのプロセス名と一致する任意のプロセスにアクセス権が付与されます。

アプリケーション リストのプロセス名と一致するプロセスのみにアクセス権が付与されます。

スマート トンネルがディセーブルにされる

すべてのプロセス(およびその子プロセス)にアクセス権が付与されます。

プロセスにアクセス権は付与されません。

[Smart Tunnel all Applications] チェックボックスをオンにする

すべてのプロセス(およびその子プロセス)にアクセス権が付与されます。

(注) スマート トンネル以外の Web ページによって開始されたプロセスも含まれます(Web ページが同じブラウザ プロセスによって処理される場合)。

ブラウザを開始したユーザが所有するすべてのプロセスにアクセス権が付与されますが、その子プロセスには付与されません。

制約事項

この設定は、Windows プラットフォームのみに適用されます。

手順の詳細

トンネル ポリシーを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を選択します。

ステップ 2 [User Account] ウィンドウで、編集するユーザ名を強調表示します。

ステップ 3 [Edit] をクリックします。[Edit User Account] ウィンドウが表示されます。

ステップ 4 [Edit User Account] ウィンドウの左側のサイドバーで、[VPN Policy] > [Clientless SSL VPN] をクリックします。

ステップ 5 次のいずれかを実行します。

[smart tunnel_all_applications] チェックボックスをオンにします。リストを作成しなくても、または外部アプリケーションについてエンド ユーザが起動する可能性がある実行ファイルを知らなくても、すべてのアプリケーションがトンネリングされます。

または、次のトンネル ポリシー オプションから選択します。

[Smart Tunnel Policy] パラメータの [Inherit] チェックボックスをオフにします。

ネットワーク リストから選択し、トンネル オプションの 1 つを指定します。指定されたネットワークに対してスマート トンネルを使用する、指定されたネットワークに対してスマート トンネルを使用しない、またはすべてのネットワーク トラフィックに対してトンネルを使用する、のいずれかです。


 

[Add or Edit Smart Tunnel entry] ダイアログボックスでは、スマート トンネル リストにあるアプリケーションの属性を指定できます。


ステップ 1 アプリケーションまたはプログラムのリストに付ける一意の名前を入力します。スペースは使用しないでください。

スマート トンネル リストのコンフィギュレーションに続いて、クライアントレス SSL VPN のグループ ポリシーとローカル ユーザ ポリシーの [Smart Tunnel List] 属性の横にリスト名が表示されます。他に設定する可能性があるリストと、内容および目的を区別できるような名前を付けてください。

ステップ 2 スマート トンネル リストのエントリに命名する文字列を入力します。このユーザ指定の名前は保存され、GUI に戻されます。文字列はオペレーティング システムに対して一意です。通常は、スマート トンネル アクセスを許可されるアプリケーションに付けられる名前です。異なるパスまたはハッシュ値を指定するアプリケーションの複数バージョンをサポートするには、この属性を使用してエントリを差別化し、オペレーティング システム、および各リスト エントリによってサポートされているアプリケーションの名前とバージョンの両方を指定します。文字列は最大 64 文字まで使用できます。

ステップ 3 アプリケーションのファイル名またはパスを入力します。ストリングには最大 128 文字を使用できます。

Windows では、アプリケーションにスマート トンネル アクセスを許可する場合に、この値とリモート ホストのアプリケーション パスの右側の値が完全に一致している必要があります。Windows でファイル名のみを指定すると、SSL VPN では、アプリケーションにスマート トンネル アクセスを許可する場合に、リモート ホストに対して場所の制限を強制しません。

アプリケーションのパスを指定し、ユーザが別の場所にインストールした場合は、そのアプリケーションは許可されません。アプリケーションは、入力する値と文字列と右側の値が一致している限り、任意のパスに配置できます。

アプリケーションがリモート ホストの複数のパスのいずれかにある場合に、アプリケーションにスマート トンネル アクセスを認可するには、このフィールドにアプリケーションの名前と拡張子だけを指定するか、またはパスごとに固有のスマート トンネル エントリを作成します。


) スマート トンネル アクセスで突然問題が発生する場合、Process Name 値がアップグレードされたアプリケーションに対して最新ではない可能性があります。たとえば、アプリケーションへのデフォルト パスは、そのアプリケーションおよび次のアップグレード版を製造する企業が買収されると変更されることがあります。


Windows の場合、コマンド プロンプトから開始したアプリケーションにスマート トンネル アクセスを追加する場合は、スマート トンネル リストの 1 つのエントリの Process Name に「cmd.exe」を指定し、別のエントリにアプリケーション自体へのパスを指定する必要があります。これは「cmd.exe」がアプリケーションの親であるためです。

ステップ 4 [Windows] または [Mac] をクリックし、アプリケーションのホスト オペレーティング システムを指定します。

ステップ 5 (任意。Windows にのみ該当)この値を取得するには、アプリケーションのチェックサム(つまり、実行ファイルのチェックサム)を、SHA-1 アルゴリズムを使用してハッシュを計算するユーティリティに入力します。このようなユーティリティの例として、Microsoft File Checksum Integrity Verifier(FCIV; ファイル チェックサム整合性検証)を挙げることができます。このユーティリティは、 http://support.microsoft.com/kb/841290/ で入手できます。FCIV のインストール後、スペースを含まないパス(c:/fciv.exe など)に、ハッシュするアプリケーションの一時コピーを置き、コマンドラインで fciv.exe -sha1 application と入力して( fciv.exe -sha1 c:\msimn.exe など)、SHA-1 ハッシュを表示します。

SHA-1 ハッシュは、常に 16 進数 40 文字です。

クライアントレス SSL VPN は、アプリケーションにスマート トンネル アクセスの認可を与える前に、[Application ID] に一致するアプリケーションのハッシュを計算します。結果が [ Hash ] の値と一致すれば、アプリケーションにスマート トンネル アクセスの資格を与えます。

ハッシュを入力することにより、[ Application ID ] で指定した文字列に一致する不正ファイルに対して SSL VPN が資格を与えないようしています。チェックサムは、アプリケーションのバージョンまたはパッチによって異なるため、入力する [ Hash ] 値は、リモート ホストの 1 つのバージョンやパッチにしか一致しない可能性があります。複数のバージョンのアプリケーションにハッシュを指定するには、[ Hash ] 値ごとに固有のスマート トンネル エントリを作成します。


) [Hash] を入力し、スマート トンネル アクセスで今後のバージョンまたはパッチのアプリケーションをサポートする場合は、将来的にスマート トンネル リストを更新する必要が生じます。スマート トンネル アクセスに突然問題が発生した場合は、[Hash] 値を含むアプリケーション リストが、アプリケーションのアップグレードによって最新の状態になっていない可能性があります。この問題は hash を入力しないことによって回避できます。


スマート トンネル リストのコンフィギュレーションに続いて、そのリストをアクティブにするには、グループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てる必要があります。

グループ ポリシーにリストを割り当てるには、[Config] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add] または [Edit] > [Portal] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

ローカル ユーザ ポリシーにリストを割り当てるには、[Config] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] または [Edit] > [VPN Policy] > [Clientless SSL VPN] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

 

表 71-6 スマート トンネル エントリの例

スマート トンネルのサポート
アプリケーション ID(一意の文字列であればどれでも OK)
プロセス名
OS

Mozilla Firefox

firefox

firefox.exe

Windows

Microsoft Outlook Express

outlook-express

msimn.exe

Windows

より制限的なオプション:実行ファイルが事前定義済みのパスにある場合は、Microsoft Outlook Express 専用。

outlook-express

\Program Files\Outlook Express\msimn.exe

Windows

Mac で新しいターミナル ウィンドウを開く (ワンタイムパスワードが実装されているので、それ以降、同じターミナル ウィンドウでのアプリケーションの起動は失敗します)。

terminal

Terminal

Mac

新しいウィンドウでスマート トンネルを開始

new-terminal

Terminal open -a MacTelnet

Mac

Mac ターミナル ウィンドウでアプリケーションを起動

curl

Terminal curl www.example.com

Mac

スマート トンネル リストの割り当て

グループ ポリシーとユーザ名ごとに、次のいずれかを行うようにクライアントレス SSL VPN を設定できます。

ユーザのログイン時に自動的にスマート トンネル アクセスを開始する。

ユーザのログイン時にスマート トンネル アクセスをイネーブルにするが、ユーザはクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを手動で開始するようにユーザに要求する。

制約事項

これらのオプションは、各グループ ポリシーとユーザ名に対して互いに排他的です。1 つだけ使用してください。

次の smart tunnel コマンドは、各グループ ポリシーとユーザ名で使用可能です。各グループ ポリシーとユーザ名のコンフィギュレーションは、一度にこれらのコマンドの 1 つだけサポートします。そのため、1 つのコマンドを入力すると、ASAが、該当のグループ ポリシーまたはユーザ名のコンフィギュレーションに存在するコマンドを新しいコマンドで置き換えます。または、最後のコマンドの場合、グループ ポリシーまたはユーザ名にすでに存在する smart-tunnel コマンドが単純に削除されます。

スマート トンネル ポリシーの設定および適用

スマート トンネル ポリシーは、グループ ポリシーまたはユーザ名単位の設定が必要です。各グループ ポリシーまたはユーザ名は、グローバルに設定されたネットワークのリストを参照します。スマート トンネルをオンにすると、トンネル外部のトラフィックに、ネットワーク(ホストのセット)を設定する CLI および指定されたスマート トンネル ネットワークを使用してユーザに対してポリシーを適用する CLI の 2 つの CLI を使用できます。次のコマンドによって、スマート トンネル ポリシーを設定するために使用するホストのリストが作成されます。

スマート トンネルの自動サインオンのサーバの指定

[Add Smart Tunnel Auto Sign-on Server List] ダイアログボックスで、スマート トンネルのセットアップ中にログイン クレデンシャルの送信を自動化するサーバの 1 つ以上のリストを追加できます。[Edit Smart Tunnel Auto-signon Server List] ダイアログボックスでは、これらのリストの内容を変更できます。この機能は Internet Explorer および Firefox で使用できます。

スマート トンネル接続でクレデンシャルの送信を自動化するサーバのリストを作成するには、次のコマンドを入力します。

手順の詳細


ステップ 1 リモート サーバのリストに付ける一意の名前を入力します。文字列は最大 64 文字まで使用できます。スペースは使用しないでください。

スマート トンネルの自動サインオン リストのコンフィギュレーションを行った後は、クライアントレス SSL VPN グループ ポリシーおよびローカル ユーザ ポリシー コンフィギュレーションの [Smart Tunnel] の下の [Auto Sign-on Server List] 属性の横に、リスト名が表示されます。他に設定する可能性があるリストと、内容および目的を区別できるような名前を付けてください。


 

スマート トンネル自動サインオン サーバ エントリの追加または編集

[Add or Edit Smart Tunnel Entry] ダイアログボックスでは、スマート トンネルの自動サインオン リストに追加するサーバを識別します。ホスト名、または IP アドレスとサブネット マスクによって識別します。フォームベースの認証に対して、または Internet Explorer または Firefox に対して、自動サインオンのサポートを選択することもできます。

この項では、スマート トンネル接続での自動サインオンを提供するサーバのリストを作成し、そのリストをグループ ポリシーまたはユーザ名に割り当てる方法について説明します。

イントラネットの Web ページのソース コードで使用されるアドレス形式を使用します。ブラウザ アクセス用にスマート トンネル自動サインオンを設定しており、一部の Web ページでホスト名が使用され、他の Web ページで IP アドレスが使用されている場合、あるいはどちらが使用されているかわからない場合は、両方を異なるスマート トンネル自動サインオン エントリで指定します。それ以外の場合、Web ページのリンクで、指定されたフォーマットとは異なるフォーマットが使用されると、ユーザがリンクをクリックしても開きません。


ステップ 1 自動認証を行うホスト名またはワイルドカード マスクを入力します。次のワイルドカード文字を使用できます。

*:任意の数の文字を一致させる、またはどの文字も一致させない。

?:単一の文字を一致させる。

[ ]:かっこ内に指定された範囲内の、任意の 1 文字を一致させる。

たとえば、*.example.com と入力します。このオプションを使用すると、IP アドレスのダイナミックな変更からコンフィギュレーションを保護します。


) Firefox では、管理者が正確なホスト名または IP アドレスを使用してホストを指定する必要があります(ワイルドカードを使用したホスト マスク、IP アドレスを使用したサブネット、およびネットマスクは使用できません)。たとえば、Firefox では、*.cisco.com を入力したり、email.cisco.com をホストする自動サインオンを期待したりすることはできません。


ステップ 2 自動認証する IP アドレスを入力します。

ステップ 3 (任意)レルムを指定します。レルムは Web サイトの保護領域に関連付けられ、認証時に認証プロンプトまたは HTTP ヘッダーのいずれかでブラウザに再度渡されます。ここで自動サインオンが設定され、レルムの文字列が指定されたら、ユーザはレルムの文字列を Web アプリケーション(Outlook Web Access など)で設定し、Web アプリケーションにサインオンすることなくアクセスできます。


) 対応するレルムがわからない場合、管理者はログインを一度実行し、プロンプト ダイアログから文字列を取得する必要があります。


ステップ 4 IP アドレスに関連付けられたホストのサブネットワークを入力します。

ステップ 5 (任意)認証で必要な場合、クリックして Windows ドメインをユーザ名に追加します。このオプションを使用する場合は、1 つ以上のグループ ポリシーまたはローカル ユーザ ポリシーにスマート トンネル リストを割り当てる際に、ドメイン名を指定する必要があります。

ステップ 6 (任意)対応するホストのポート番号を指定します。Firefox では、ポート番号が指定されていない場合、自動サインオンは、デフォルトのポート番号 80 および 443 でそれぞれアクセスされた HTTP および HTTPS に対して実行されます。

スマート トンネル自動サインオン サーバ リストのコンフィギュレーションに続いて、そのリストをアクティブにするには、グループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てる必要があります。

グループ ポリシーにリストを割り当てるには、[Config] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add] または [Edit] > [Portal] を選択し、[Smart Tunnel] 領域の [Auto Sign-on Server List] 属性の横にあるドロップダウン リストから、リスト名を選択します。

ローカル ユーザ ポリシーにリストを割り当てるには、[Config] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] または [Edit] > [VPN Policy] > [Clientless SSL VPN] を選択し、[Smart Tunnel] 領域の [Auto Sign-on Server List] 属性の横にあるドロップダウン リストからリスト名を選択します。


 

スマート トンネル アクセスのイネーブル化とディセーブル化

デフォルトでは、スマート トンネルはディセーブルになっています。

スマート トンネル アクセスをイネーブルにした場合、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを手動で開始する必要があります。

スマート トンネルからのログオフ

ここでは、スマート トンネルからの適切なログオフ方法について説明します。すべてのブラウザ ウィンドウを閉じるか、通知アイコンを右クリックしてログアウトを確認すると、スマート トンネルからログオフできます。


) ポータルにあるログアウト ボタンを使用することを強くお勧めします。この方法は、クライアントレス SSL VPN 用であり、スマート トンネルが使用されているかどうかに関係なくログオフが行われます。通知アイコンは、ブラウザを使用しないスタンドアロン アプリケーションを使用する場合に限り使用する必要があります。


ペアレント プロセスの終了

この方法では、ログオフを示すためにすべてのブラウザを閉じることが必要です。スマート トンネルのライフタイムは現在、プロセスのライフタイムの開始に結び付けられています。たとえば、Internet Explorer からスマート トンネルと開始した場合、iexplore.exe が実行されていないとスマート トンネルがオフになります。スマート トンネルは、ユーザがログアウトせずにすべてのブラウザを閉じた場合でも、VPN セッションが終了したと判断します。


) 場合によっては、ブラウザ プロセスがエラーの結果として、意図的にではなく残っていることがあります。また、Secure Desktop を使用しているときに、ユーザが Secure Desktop 内ですべてのブラウザを閉じてもブラウザ プロセスが別のデスクトップで実行されている場合があります。したがって、スマート トンネルは、現在のデスクトップで表示されているウィンドウがない場合にすべてのブラウザ インスタンスが終了したと見なします。


通知アイコン

ブラウザを閉じてもセッションが失われないようにするために、ペアレント プロセスの終了時にログオフをディセーブルにすることもできます。この方法では、システム トレイの通知アイコンを使用してログアウトします。アイコンは、次回に接続を試行するまで残ります。セッション ステータスがシステム トレイで更新されるまで時間がかかることがあります。


) このアイコンが、SSL VPN からログアウトする別の方法です。これは、VPN セッション ステータスのインジケータではありません。


手順の詳細

通知領域のアイコンをイネーブルにするには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を選択します。

ステップ 2 [Click on smart-tunnel logoff icon in the system tray] オプション ボタンをイネーブルにします。

ステップ 3 ウィンドウの [Smart Tunnel Networks] 部分で、[Add] をオンにして、アイコンを含めるネットワークの IP アドレスとホスト名の両方を入力します。


) アイコンを右クリックすると、SSL VPN からのログアウトをユーザに求める単一のメニュー項目が表示されます。



 

ポート転送の設定

次の項では、ポート転送とその設定方法について説明します。

「ポート転送に関する情報」

ポート転送用の DNS の設定

ポート転送に適格なアプリケーションの追加

ポート転送エントリの追加/編集

ポート転送リストの割り当て

ポート転送のイネーブル化とディセーブル化

ポート転送に関する情報

ポート転送により、ユーザはクライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションにアクセスできます。TCP ベースのアプリケーションには次のようなものがあります。

Lotus Notes

Microsoft Outlook

Microsoft Outlook Express

Perforce

Sametime

Secure FTP(FTP over SSH)

SSH

TELNET

Windows Terminal Service

XDDTS

その他の TCP ベースのアプリケーションも動作する可能性はありますが、シスコではテストを行っていません。UDP を使用するプロトコルは動作しません。

ポート転送は、クライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションをサポートするためのレガシー テクノロジーです。ポート転送テクノロジーをサポートする設定を事前に構築している場合は、ポート転送の使用を選択することもできます。

ポート転送の代替方法として次のことを検討してください。

スマート トンネル アクセスを使用すると、ユーザには次のような利点があります。

スマート トンネルは、プラグインよりもパフォーマンスが向上します。

ポート転送とは異なり、スマート トンネルでは、ローカル ポートへのローカル アプリケーションのユーザ接続を要求しないことにより、ユーザ エクスペリエンスが簡略化されます。

ポート転送とは異なり、スマート トンネルでは、ユーザは管理者特権を持つ必要がありません。

ポート転送およびスマート トンネル アクセスとは異なり、プラグインでは、クライアント アプリケーションをリモート コンピュータにインストールする必要がありません。

ASAでポート転送を設定する場合は、アプリケーションが使用するポートを指定します。スマート トンネル アクセスを設定する場合は、実行ファイルまたはそのパスの名前を指定します。

前提条件

リモート ホストで、次のいずれかの 32 ビット バージョンが実行されている必要がある。

Microsoft Windows Vista、Windows XP SP2 または SP3、または Windows 2000 SP4

Apple Mac OS X 10.4 または 10.5 と Safari 2.0.4(419.3)

Fedora Core 4

また、リモート ホストで Sun JRE 1.5 以降が動作していることも必要です。

Mac OS X 10.5.3 上の Safari のブラウザベースのユーザは、Safari での URL の解釈方法に従って、使用するクライアント証明書を、1 回目は末尾にスラッシュを含め、もう 1 回はスラッシュを含めずに、ASAの URL を使用して指定する必要があります。次に例を示します。

https://example.com/

https://example.com

詳細については、『 Safari, Mac OS X 10.5.3: Changes in client certificate authentication 』を参照してください。

ポート転送またはスマート トンネルを使用する Microsoft Windows Vista ユーザは、ASA の URL を信頼済みサイト ゾーンに追加する。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista ユーザは、[Protected Mode] をディセーブルにしてスマート トンネル アクセスを容易にすることもできます。ただし、攻撃に対するコンピュータの脆弱性が増すため、この方法は推奨しません。

ポート転送(アプリケーション アクセス)およびデジタル証明書をサポートするために、リモート コンピュータに Sun Microsystems Java Runtime Environment(JRE)1.5.x 以降がインストールされていることを確認してください。JRE 1.4.x が実行中で、ユーザがデジタル証明書で認証される場合、JRE は Web ブラウザの証明書ストアにアクセスできないため、アプリケーションは起動しません。

制約事項

ポート転送は、スタティック TCP ポートを使用する TCP アプリケーションのみをサポートしています。ダイナミック ポートまたは複数の TCP ポートを使用するアプリケーションはサポートしていません。たとえば、ポート 22 を使用する SecureFTP は、クライアントレス SSL VPN のポート転送を介して動作しますが、ポート 20 と 21 を使用する標準 FTP は動作しません。

ポート転送は、UDP を使用するプロトコルをサポートしていません。

ポート転送は Microsoft Outlook Exchange(MAPI)プロキシをサポートしていません。しかし、Microsoft Outlook Exchange Server と連携することにより、Microsoft Office Outlook のスマート トンネル サポートを設定することができます。

ステートフル フェールオーバーでは、Application Access(ポート転送またはスマート トンネル アクセス)を使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

ポート転送は、Personal Digital Assistants(PDA; 携帯情報端末)への接続はサポートしていません。

ポート転送を使用するには、Java アプレットをダウンロードしてローカル クライアントを設定する必要があります。これには、ローカル システムに対する管理者の許可が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。

Java アプレットは、エンド ユーザの HTML インターフェイスにあるアプレット独自のウィンドウに表示されます。このウィンドウには、ユーザが使用できる転送ポートのリストの内容、アクティブなポート、および送受信されたトラフィック量(バイト単位)が表示されます。

ローカル IP アドレス 127.0.0.1 が使用されており、ASA からのクライアントレス SSL VPN 接続によって更新できない場合、ポート転送アプレットはローカル ポートとリモート ポートを同一として表示します。その結果、ASA は、127.0.0.2、127.0.0.3 など、ローカル プロキシ ID の新しい IP アドレスを作成します。hosts ファイルを変更して異なるループバックを使用できるため、リモート ポートはアプレットでローカル ポートとして使用されます。接続するには、ポートを指定せずにホスト名を指定して Telnet を使用します。正しいローカル IP アドレスをローカル ホスト ファイルで使用できます。

ポート転送用の DNS の設定

ポート転送では、リモート サーバのドメイン名またはその IP アドレスを ASA に転送して、解決および接続を行います。つまり、ポート転送アプレットは、アプリケーションからの要求を受け入れて、その要求を ASA に転送します。ASA は適切な DNS クエリーを作成し、ポート転送アプレットの代わりに接続を確立します。ポート転送アプレットは、ASA に対する DNS クエリーだけを作成します。ポート転送アプレットはホスト ファイルをアップデートして、ポート転送アプリケーションが DNS クエリーを実行したときに、クエリーがループバック アドレスにリダイレクトされるようにします。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] の順にクリックします。

DefaultWEBVPNGroup エントリは、クライアントレス接続に使用されるデフォルトの接続プロファイルです。

ステップ 2 クライアント接続において DefaultWEBVPNGroup エントリが使用されるようにコンフィギュレーションを設定する場合は、このエントリを強調表示し、[Edit] をクリックします。このエントリが使用されない場合は、クライアント接続のコンフィギュレーションで使用される接続プロファイルを強調表示し、[Edit] をクリックします。

[Basic] ウィンドウが開きます。

ステップ 3 [DNS] 領域にスキャンし、ドロップダウン リストから DNS サーバを選択します。ドメイン名をメモしておきます。使用したい DNS サーバが ASDM に表示されている場合は、残りのステップを飛ばし、次のセクションに移動します。ポート転送リストのエントリを設定する際、リモート サーバの指定時には、同じドメイン名を入力する必要があります。コンフィギュレーションに DNS サーバがない場合は、残りのステップを続けます。

ステップ 4 [DNS] 領域で [Manage] をクリックします。

[Configure DNS Server Groups] ウィンドウが開きます。

ステップ 5 [Configure Multiple DNS Server Groups] をクリックします。

ウィンドウに、DNS サーバのエントリの一覧表が表示されます。

ステップ 6 [Add] をクリックします。

[Add DNS Server Group] ウィンドウが開きます。

ステップ 7 [Name] フィールドに新しいサーバ グループ名を入力し、IP アドレスとドメイン名を入力します(図 71-12 を参照)。

図 71-12 ポート転送の DNS サーバ値の例

 

入力したドメイン名をメモしておきます。後ほど、ポート転送エントリを設定する際、リモート サーバを指定するために必要になります。

ステップ 8 [Connection Profiles] ウィンドウが再度アクティブになるまで、[OK] をクリックします。

ステップ 9 クライアントレス接続の設定で使用される、残りすべての 続プロファイルについて、手順 2 8 を繰り返します。

ステップ 10 [Apply] をクリックします。


 

ポート転送に適格なアプリケーションの追加

各ASAのクライアントレス SSL VPN コンフィギュレーションは、 ポート転送リスト をサポートしています。それぞれのリストでは、アクセスを提供するアプリケーションが使用するローカル ポートとリモート ポートを指定します。各グループ ポリシーまたはユーザ名は 1 つのポート転送リストのみをサポートするため、サポートされる各アプリケーションのセットをグループ化してリストを作成する必要があります。ASA コンフィギュレーションにすでに存在するポート転送リストのエントリを表示するには、次のコマンドを入力します。

ポート転送リストの設定に続けて、次の項で説明するように、そのリストをグループ ポリシーまたはユーザ名に割り当てます。

ポート転送エントリの追加/編集

[Add/Edit Port Forwarding Entry] ダイアログボックスでは、クライアントレス SSL VPN 接続によるアクセスに適用されるユーザまたはグループ ポリシーに関連付ける TCP アプリケーションを指定できます。これらのウィンドウで属性に値を割り当てるには、次の手順を実行します。

前提条件

トンネルを確立し、IP アドレスに解決するには、「ポート転送リストの割り当て」に記載のとおり、[Remote Server] パラメータに割り当てた DNS 名が、[Domain Name] および [Server Group] パラメータと一致する必要があります。[Domain] および [Server G roup] パラメータ のデフォルト設定は、いずれも DefaultDNS です。

手順の詳細


ステップ 1 [Add] をクリックします。

ステップ 2 アプリケーションが使用する TCP ポート番号を入力します。ローカル ポート番号は、1 つの listname に対して一度だけ使用できます。ローカル TCP サービスとの競合を避けるには、1024 ~ 65535 の範囲にあるポート番号を使用します。

ステップ 3 リモート サーバのドメイン名または IP アドレスを入力します。特定の IP アドレスに対してクライアント アプリケーションを設定しなくて済むよう、ドメイン名を使用することをお勧めします。

ステップ 4 そのアプリケーション用の well-known ポート番号を入力します。

ステップ 5 アプリケーションの説明を入力します。最大長は 64 文字です。

ステップ 6 (任意)ポート転送リストを強調表示し、[Assign] をクリックして、選択したリストを 1 つ以上のグループ ポリシー、ダイナミック アクセス ポリシー、またはユーザ ポリシーに割り当てます。


 

ポート転送リストの割り当て

クライアントレス SSL VPN 接続によるアクセスに適用されるユーザまたはグループ ポリシーに関連付ける TCP アプリケーションの名前付きリストを追加または編集できます。グループ ポリシーとユーザ名ごとに、次のいずれかを行うようにクライアントレス SSL VPN を設定できます。

ユーザのログイン時に自動的にポート転送アクセスを開始する。

ユーザのログイン時にポート転送アクセスをイネーブル化するが、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、ポート転送を手動で開始するようにユーザに要求する。


) これらのオプションは、各グループ ポリシーとユーザ名に対して互いに排他的です。1 つだけ使用してください。


手順の詳細

[Add Port Forwarding List]/[Edit Port Forwarding List] ダイアログボックスでは、次のものを追加または編集できます。


ステップ 1 リストの英数字の名前を指定します。最大長は 64 文字です。

ステップ 2 アプリケーションのトラフィックを受信するローカル ポートを入力します。ローカル ポート番号は、1 つの listname に対して一度だけ使用できます。ローカル TCP サービスとの競合を避けるには、1024 ~ 65535 の範囲にあるポート番号を使用します。


) リモート サーバの IP アドレスまたは DNS 名を入力します。特定の IP アドレスに対してクライアント アプリケーションを設定しなくて済むよう、ドメイン名を使用することをお勧めします。


ステップ 3 アプリケーションのトラフィックを受信するリモート ポートを入力します。

ステップ 4 TCP アプリケーションの説明を入力します。最大長は 64 文字です。

詳細については、使用するオプションについて記載している項を参照してください。


 

ポート転送のイネーブル化とディセーブル化

デフォルトでは、ポート転送はディセーブルになっています。

ポート転送をイネーブルにした場合、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、ポート転送を手動で開始する必要があります。

外部プロキシ サーバの使用法の設定

[Proxies] ペインを使用して、外部プロキシ サーバによって HTTP 要求と HTTPS 要求を処理するようにASAを設定します。これらのサーバは、ユーザとインターネットの仲介役として機能します。すべてのインターネット アクセスがユーザ制御のサーバを経由するように指定することで、別のフィルタリングが可能になり、セキュアなインターネット アクセスと管理制御が保証されます。

制約事項

HTTP および HTTPS プロキシ サービスでは、PDA への接続をサポートしていません。

手順の詳細


ステップ 1 [Use an HTTP proxy server] をクリックします。

ステップ 2 IP アドレスまたはホスト名で HTTP プロキシ サーバを識別します。

ステップ 3 外部 HTTP プロキシ サーバのホスト名または IP アドレスを入力します。

ステップ 4 HTTP 要求を受信するポートを入力します。デフォルトのポートは 80 です。

ステップ 5 (任意)HTTP プロキシ サーバに送信できないようにする 1 つの URL、または複数の URL のカンマ区切りリストを入力します。このストリングには文字数の制限はありませんが、コマンド全体で 512 文字以下となるようにする必要があります。リテラル URL を指定するか、次のワイルドカードを使用できます。

* は、スラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは、英数字ストリングとともに使用する必要があります。

? は、スラッシュおよびピリオドを含む、任意の 1 文字に一致します。

[ x - y ] は、 x から y の範囲にある任意の 1 文字に一致します。ここで、 x は ANSI 文字セット内の 1 文字を、 y は ANSI 文字セット内の別の 1 文字を示します。

[ ! x - y ] は、この範囲内に存在しない任意の 1 文字に一致します。

ステップ 6 (任意)各 HTTP プロキシ要求にユーザ名を付加して基本的なプロキシ認証を提供するには、このキーワードを入力します。

ステップ 7 各 HTTP 要求とともにプロキシ サーバに送信されるパスワードを入力します。

ステップ 8 HTTP プロキシ サーバの IP アドレスを指定する方法の代替として、[Specify PAC file URL] を選択して、ブラウザにダウンロードするプロキシ自動コンフィギュレーション ファイルを指定できます。ダウンロードが完了すると、PAC ファイルは JavaScript 機能を使用して各 URL のプロキシを識別します。隣接するフィールドに、 http:// を入力し、プロキシ自動設定ファイルの URL を入力します。 http:// の部分を省略すると、ASAはその URL を無視します。

ステップ 9 HTTPS プロキシ サーバを使用するかどうかを選択します。

ステップ 10 クリックして、IP アドレスまたはホスト名で HTTPS プロキシ サーバを識別します。

ステップ 11 外部 HTTPS プロキシ サーバのホスト名または IP アドレスを入力します。

ステップ 12 HTTPS 要求を受信するポートを入力します。デフォルトのポートは 443 です。

ステップ 13 (任意)HTTPS プロキシ サーバに送信できないようにする 1 つの URL、または複数の URL のカンマ区切りリストを入力します。このストリングには文字数の制限はありませんが、コマンド全体で 512 文字以下となるようにする必要があります。リテラル URL を指定するか、次のワイルドカードを使用できます。

* は、スラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは、英数字ストリングとともに使用する必要があります。

? は、スラッシュおよびピリオドを含む、任意の 1 文字に一致します。

[ x - y ] は、 x から y の範囲にある任意の 1 文字に一致します。ここで、 x は ANSI 文字セット内の 1 文字を、 y は ANSI 文字セット内の別の 1 文字を示します。

[ ! x - y ] は、この範囲内に存在しない任意の 1 文字に一致します。

ステップ 14 (任意)各 HTTPS プロキシ要求にユーザ名を付加して基本的なプロキシ認証を提供するには、このキーワードを入力します。

ステップ 15 各 HTTPS 要求とともにプロキシ サーバに送信されるパスワードを入力します。


 

SSO サーバ

[SSO Server] ペインでは、Computer Associates SiteMinder SSO サーバまたは Security Assertion Markup Language(SAML)バージョン 1.1 Browser Post Profile SSO サーバに接続するクライアントレス SSL VPN のユーザの、シングル サインオン(SSO)を設定または削除できます。クライアントレス SSL VPN でだけ使用できる SSO のサポートにより、ユーザは、ユーザ名とパスワードを複数回入力しなくても、さまざまなサーバのセキュアな各種のサービスにアクセスできます。

SSO の方式は、基本 HTTP または NTLMv1 認証を使用した自動サインオン、HTTP Form プロトコル、Computer Associates eTrust SiteMinder(以前の名称は Netegrity SiteMinder)、または SAML バージョン 1.1 Browser Post Profile の 4 方式の中から選択できます。

制約事項

SAML Browser Artifact プロファイル方式のアサーション交換は、サポートされていません。

次の章では、SiteMinder と SAML Browser Post Profile を使用して SSO を設定する手順について説明します。

「SiteMinder と SAML Browser Post Profile の設定」:基本 HTTP または NTLM 認証で SSO を設定します。

セッションの設定:HTTP Form プロトコルで SSO を設定します。

SSO のメカニズムは、AAA プロセス(HTTP Form)の一部として開始されるか、AAA サーバ(SiteMinder)または SAML Browser Post Profile サーバへのユーザ認証に成功した直後に開始されます。これらの場合、ASA 上で実行されているクライアントレス SSL VPN サーバは、認証サーバに対するユーザのプロキシとして機能します。ユーザがログインすると、クライアントレス SSL VPN サーバは、ユーザ名とパスワードを含む SSO 認証要求を HTTPS を使用して認証サーバに送信します。

認証サーバが認証要求を承認すると、SSO 認証クッキーがクライアントレス SSL VPN サーバに返されます。このクッキーは、ユーザの代理としてASAで保持され、ユーザ認証でこのクッキーを使用して、SSO サーバで保護されているドメイン内部の Web サイトの安全を確保します。

SiteMinder と SAML Browser Post Profile の設定

SiteMinder または SAML Browser Post Profile による SSO 認証は AAA から切り離されており、AAA プロセスの完了後に実施されます。ユーザまたはグループが対象の SiteMinder SSO を設定するには、まず AAA サーバ(RADIUS や LDAP など)を設定する必要があります。AAA サーバがユーザを認証した後、クライアントレス SSL VPN サーバは、HTTPS を使用して認証要求を SiteMinder SSO サーバに送信します。

SiteMinder SSO の場合は、ASAの設定を行う以外に、シスコの認証スキームによって CA SiteMinder Policy Server を設定する必要があります。 シスコの認証スキームの SiteMinder への追加を参照してください。

SAML Browser Post Profile の場合は、認証で使用する Web Agent(Protected Resource URL)を設定する必要があります。

手順の詳細

サーバ ソフトウェア ベンダーが提供する SAML サーバのマニュアルに従って、SAML サーバを Relying Party モードで設定します。次のフィールドが表示されます。

[Server Name]: 表示専用 。設定された SSO サーバの名前を表示します。入力できる文字の範囲は、4 ~ 31 文字です。

[Authentication Type]: 表示専用 。SSO サーバのタイプを表示します。ASAは現在、SiteMinder タイプと SAML Browser Post Profile タイプをサポートしています。

[URL]: 表示専用 。 ASAが SSO 認証要求を行う SSO サーバの URL を表示します。

[Secret Key]: 表示専用 。SSO サーバとの認証通信の暗号化に使用される秘密キーを表示します。キーは、任意の標準またはシフト式英数字で構成されます。文字の最小数や最大数の制限はありません。

[Maximum Retries]: 表示専用 。SSO 認証が失敗した場合にASAがリトライする回数を表示します。リトライの範囲は 1 ~ 5 回で、デフォルトのリトライ数は 3 回です。

[Request Timeout (seconds)]: 表示専用 。失敗した SSO 認証試行をタイムアウトさせるまでの秒数を表示します。範囲は 1 ~ 30 秒で、デフォルトの秒数は 5 秒です。

[Add/Edit]:[Add/Edit SSO Server] ダイアログボックスを開きます。

[Delete]:選択した SSO サーバを削除します。

[Assign]:SSO サーバを強調表示し、このボタンをクリックして選択したサーバを 1 つ以上の VPN グループ ポリシーまたはユーザ ポリシーに割り当てます。


ステップ 1 アサーティング パーティ(ASA)を表す SAML サーバ パラメータを設定します。

宛先コンシューマ(Web Agent)URL(ASA で設定されるアサーション コンシューマ URL と同じ)

Issuer ID(通常はアプライアンスのホスト名である文字列)

Profile type:Browser Post Profile

ステップ 2 証明書を設定します。

ステップ 3 アサーティング パーティのアサーションには署名が必要なことを指定します。

ステップ 4 SAML サーバがユーザを特定する方法を、次のように選択します。

Subject Name Type が DN

Subject Name format が uid=<user>


 

シスコの認証スキームの SiteMinder への追加

SiteMinder による SSO を使用するためのASAの設定に加え、Java プラグインとして提供されている、シスコの認証スキームを使用するようにユーザの CA SiteMinder Policy Server を設定する必要もあります。この項では、手順のすべてではなく、一般的なタスクを取り上げます。カスタム認証スキームを追加するための完全な手順については、CA SiteMinder のマニュアルを参照してください。ユーザの SiteMinder Policy Server にシスコの認証スキームを設定するには、次の手順を実行します。

前提条件

SiteMinder Policy Server を設定するには、SiteMinder の経験が必要です。

手順の詳細


ステップ 1 Siteminder Administration ユーティリティを使用して、次の特定の引数を使用できるようにカスタム認証スキームを作成します。

Library フィールドに、 smjavaapi と入力します。

[Secret] フィールドで、[Add SSO Server] ダイアログの [Secret Key] フィールドで設定したものと同じ秘密キーを入力します。

Parameter フィールドに、 CiscoAuthAPI と入力します。

ステップ 2 Cisco.com にログインし、 cisco_vpn_auth.jar ファイルを http://www.cisco.com/cisco/software/navigator.html からダウンロードして、SiteMinder サーバのデフォルトのライブラリ ディレクトリにコピーします。この .jar ファイルは、Cisco ASA CD にも含まれています。


 

SSO サーバの追加または編集

この SSO 方式では、CA SiteMinder と SAML Browser Post Profile を使用します。また、HTTP Form プロトコルまたは基本 HTML および NTLM 認証を使用して SSO を設定することもできます。HTTP Form プロトコルを使用する場合は、「 セッションの設定」を参照してください。基本 HTML または NTLM 認証を使用するように設定する場合は、コマンドライン インターフェイスで auto-signon コマンドを使用します。

手順の詳細


ステップ 1 サーバを追加する場合は、新しい SSO の名前を入力します。サーバを編集する場合、このフィールドは表示専用です。選択した SSO サーバの名前が表示されます。

ステップ 2 表示のみ。 SSO サーバのタイプを表示します。ASAが現在サポートしているタイプは、SiteMinder と SAML Browser Post Profile です。

ステップ 3 SSO サーバへの認証要求を暗号化するために使用する秘密キーを入力します。キーに使用する文字には、通常の英数字と、シフト キーを押して入力した英数字を使用できます。文字の最小数や最大数の制限はありません。秘密キーはパスワードに似ており、作成、保存、設定ができます。Cisco Java プラグイン認証スキームを使用して、ASA、SSO サーバ、および SiteMinder Policy Server で設定されます。

ステップ 4 失敗した SSO 認証試行を ASA が再試行する回数を入力します。この回数を超えて失敗すると認証タイムアウトになります。範囲は 1 ~ 5 回で、1 回と 5 回も含まれます。デフォルトは 3 回です。

ステップ 5 失敗した SSO 認証試行をタイムアウトさせるまでの秒数を入力します。範囲は 1 ~ 30 秒で、1 秒と 30 秒も含まれます。デフォルトは 5 秒です。


 

Application Access ユーザへの注記

次の項では、Application Access の使用についての情報を提供します。

Vista での Application Access の使用

hosts ファイル エラーを回避するための Application Access の終了

Application Access 使用時の hosts ファイル エラーからの回復

Vista での Application Access の使用

スマート トンネルまたはポート転送を使用する Microsoft Windows Vista のユーザは、ASA の URL を [Trusted Site] ゾーンに追加する必要があります。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista ユーザは、[Protected Mode] をディセーブルにしてスマート トンネル アクセスを容易にすることもできます。ただし、攻撃に対するコンピュータの脆弱性が増すため、この方法は推奨しません。

hosts ファイル エラーを回避するための Application Access の終了

Application Access の実行の妨げになる hosts ファイル エラーを回避するために、Application Access を使用し終えたら、Application Access ウィンドウを必ず閉じるようにします。ウィンドウを閉じるには、[Close] アイコンをクリックします。

Application Access 使用時の hosts ファイル エラーからの回復

Application Access ウィンドウを正しく閉じないと、次のエラーが発生する可能性があります。

次に Application Access を起動しようとしたときに、Application Access がディセーブルになっていて、「 Backup HOSTS File Found 」エラー メッセージが表示される。

アプリケーションをローカルで実行している場合でも、アプリケーション自体がディセーブルになっているか、または動作しない。

このようなエラーは、Application Access ウィンドウを不適切な方法で終了したことが原因です。次に、例を示します。

Application Access の使用中に、ブラウザがクラッシュした。

Application Access の使用中に、停電またはシステム シャットダウンが発生した。

作業中に Application Access ウィンドウを最小化し、このウィンドウがアクティブな状態(ただし最小化されている)でコンピュータをシャットダウンした。

この項は、次の内容で構成されています。

hosts ファイルの概要

不正な Application Access の終了

クライアントレス SSL VPN による hosts ファイルの自動再設定

手動による hosts ファイルの再設定

hosts ファイルの概要

ローカル システム上の hosts ファイルは、IP アドレスをホスト名にマッピングしています。Application Access を起動すると、クライアントレス SSL VPN は hosts ファイルを修正し、クライアントレス SSL VPN 固有のエントリを追加します。Application Access ウィンドウを正しく閉じて Application Access を終了すると、hosts ファイルは元の状態に戻ります。

 

Application Access の起動前

hosts ファイルは元の状態です。

Application Access の起動時

クライアントレス SSL VPN は hosts ファイルを hosts.webvpn にコピーして、バックアップを作成します。

次に、クライアントレス SSL VPN は hosts ファイルを編集し、クライアントレス SSL VPN 固有の情報を挿入します。

Application Access の終了時

クライアントレス SSL VPN はバックアップ ファイルを hosts ファイルにコピーして、hosts ファイルを元の状態に戻します。

クライアントレス SSL VPN は、hosts.webvpn を削除します。

Application Access の終了後

hosts ファイルは元の状態です。


) Microsoft 社のアンチスパイウェア ソフトウェアは、ポート転送 Java アプレットによる hosts ファイルの変更をブロックします。アンチスパイウェア ソフトウェアの使用時に hosts ファイルの変更を許可する方法の詳細については、www.microsoft.com を参照してください。


不正な Application Access の終了

Application Access が正しく終了しなかった場合、 hosts ファイルは、クライアントレス SSL VPN 用にカスタマイズされた状態のままになっています。ユーザが次に Application Access を起動するときに、クライアントレス SSL VPN は hosts.webvpn ファイルを検索することで、Application Access の状態をチェックします。hosts.webvpn ファイルが検出されると、 「Backup HOSTS File Found」 というエラー メッセージが表示され(図 71-13 を参照)、Application Access が一時的にディセーブルになります。

Application Access を正しくシャットダウンしないと、リモートアクセス クライアント/サーバ アプリケーションが不安定な状態のままになります。クライアントレス SSL VPN を使用せずにこれらのアプリケーションを起動しようとすると、正しく動作しない場合があります。通常の接続先のホストが使用できなくなる場合があります。一般にこのような状況は、自宅からリモートでアプリケーションを実行し、Application Access ウィンドウを終了せずにコンピュータをシャットダウンし、その後職場でそのアプリケーションを実行しようとした場合に発生します。

クライアントレス SSL VPN による hosts ファイルの自動再設定

リモート アクセス サーバに接続できる場合は、hosts ファイルを再設定し、Application Access やアプリケーションを再度イネーブルにするために、次の手順を実行します。

手順の詳細


ステップ 1 クライアントレス SSL VPN を起動してログインします。ホームページが開きます。

ステップ 2 [Applications Access] リンクをクリックします。 Backup HOSTS File Found メッセージが表示されます (図 71-13 を参照)。

図 71-13 Backup HOSTS File Found メッセージ

 

ステップ 3 次のいずれかのオプションを選択します。

[Restore from backup] :クライアントレス SSL VPN は強制的に正しくシャットダウンされます。クライアントレス SSL VPN は hosts.webvpn backup ファイルを hosts ファイルにコピーし、hosts ファイルを元の状態に戻してから、hosts.webvpn を削除します。その後、Application Access を再起動する必要があります。

[Do nothing] :Application Access は起動しません。リモートアクセスのホームページが再び表示されます。

[Delete backup] :クライアントレス SSL VPN は hosts.webvpn ファイルを削除し、hosts ファイルをクライアントレス SSL VPN 用にカスタマイズされた状態にしておきます。元の hosts ファイル設定は失われます。Application Access は、クライアントレス SSL VPN 用にカスタマイズされた hosts ファイルを新しいオリジナルとして使用して起動します。このオプションは、hosts ファイル設定が失われても問題がない場合にだけ選択してください。Application Access が不適切にシャットダウンされた後に、ユーザまたはユーザが使用するプログラムによって hosts ファイルが編集された可能性がある場合は、他の 2 つのオプションのどちらかを選択するか、または hosts ファイルを手動で編集します ( 手動による hosts ファイルの再設定を参照)。


 

手動による hosts ファイルの再設定

現在の場所からリモートアクセス サーバに接続できない場合や、カスタマイズした hosts ファイルの編集内容を失いたくない場合は、次の手順に従って、hosts ファイルを再設定し、Application Access とアプリケーションを再度イネーブルにします。

手順の詳細


ステップ 1 hosts ファイルを見つけて編集します。最も一般的な場所は、c:\windows\sysem32\drivers\etc\hosts です。

ステップ 2 # added by WebVpnPortForward という文字列が含まれている行があるかどうかをチェックします。この文字列を含む行がある場合、hosts ファイルはクライアントレス SSL VPN 用にカスタマイズされています。hosts ファイルがクライアントレス SSL VPN 用にカスタマイズされている場合、次の例のようになっています。

123.0.0.3 server1 # added by WebVpnPortForward
123.0.0.3 server1.example.com cisco.invalid.com # added by WebVpnPortForward
123.0.0.4 server2 # added by WebVpnPortForward
123.0.0.4 server2.example.com.cisco.invalid.com # added by WebVpnPortForward
123.0.0.5 server3 # added by WebVpnPortForward
123.0.0.5 server3.example.com cisco.invalid.com # added by WebVpnPortForward
 
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 cisco.example.com # source server
# 38.25.63.10 x.example.com # x client host
 
123.0.0.1 localhost
 
 

ステップ 3 # added by WebVpnPortForward という文字列が含まれている行を削除します。

ステップ 4 ファイルを保存して、閉じます。

ステップ 5 クライアントレス SSL VPN を起動してログインします。

ホームページが表示されます。

ステップ 6 [Application Access] リンクをクリックします。

[Application Access] ウィンドウが表示されます。これで Application Access がイネーブルになります。


 

ファイル アクセスの設定

クライアントレス SSL VPN は、リモート ユーザに HTTPS ポータル ページを提供しています。このページは、ASAで実行するプロキシ CIFS クライアントまたは FTP クライアント(あるいはその両方)と連動しています。クライアントレス SSL VPN は、CIFS または FTP を使用して、ユーザが認証の要件を満たしているファイルのプロパティがアクセスを制限しない限り、ネットワーク上のファイルへのネットワーク アクセスをユーザに提供します。CIFS クライアントおよび FTP クライアントは透過的です。クライアントレス SSL VPN から送信されるポータル ページでは、ファイル システムに直接アクセスしているかのように見えます。

ユーザがファイルのリストを要求すると、クライアントレス SSL VPN は、そのリストが含まれるサーバの IP アドレスをマスター ブラウザに指定されているサーバに照会します。ASAはリストを入手してポータル ページ上のリモート ユーザに送信します。

クライアントレス SSL VPN は、ユーザの認証要件とファイルのプロパティに応じて、ユーザが次の CIFS および FTP の機能を呼び出すことができるようにします。

ドメインとワークグループ、ドメインまたはワークグループ内のサーバ、サーバ内部の共有、および共有部分またはディレクトリ内のファイルのナビゲートとリスト

ディレクトリの作成

ファイルのダウンロード、アップロード、リネーム、移動、および削除

ASA は、通常、ASA と同じネットワーク上か、またはこのネットワークからアクセス可能な場所のマスター ブラウザ、WINS サーバ、または DNS サーバを使用して、リモート ユーザがクライアントレス SSL VPN セッション中に表示されるポータル ページのメニュー上またはツールバー上の [Browse Networks] をクリックしたときに、ネットワークでサーバのリストを照会します。

マスター ブラウザまたは DNS サーバは、ASA上の CIFS/FTP クライアントに、クライアントレス SSL VPN がリモート ユーザに提供する、ネットワーク上のリソースのリストを表示します。


) ファイル アクセスを設定する前に、ユーザ アクセス用のサーバに共有を設定する必要があります。


CIFS ファイル アクセスの要件と制限事項

\\server\share\subfolder\personal フォルダ にアクセスするには、 personal フォルダ 上のすべてのポイントに対するリスト権限がユーザに必要です。

クライアントレス SSL VPN では、CIFS ブラウザに表示される [Copy] ボタンおよび [Paste] ボタンはサポートされません。CIFS ディレクトリからローカル デスクトップにファイルをコピーするには、[Download] をクリックする必要があります。

CIFS ブラウズ サーバ機能は、2 バイト文字の共有名(13 文字を超える共有名)をサポートしていません。これは、表示されるフォルダのリストに影響を与えるだけで、フォルダへのユーザ アクセスには影響しません。回避策として、2 バイトの共有名を使用する CIFS フォルダのブックマークを事前に設定するか、ユーザが cifs://server/<long-folder-name> 形式でフォルダの URL またはブックマークを入力します。次に、例を示します。

cifs://server/Do you remember?
cifs://server/Do%20you%20remember%3F

ファイル アクセスのサポートの追加

次の手順を実行して、ファイル アクセスを設定します。


) 最初の手順では、マスター ブラウザおよび WINS サーバを指定する方法について説明します。代わりに、ASDM を使用して、ファイル共有へのアクセスを提供する URL リストとエントリを設定することもできます。

ASDM での共有の追加には、マスター ブラウザまたは WINS サーバは必要ありません。ただし、Browse Networks リンクへのサポートは提供されません。このコマンドを入力するときは、ホスト名または IP アドレスを使用して ServerA を参照できます。ホスト名を使用する場合、ASAはホスト名を IP アドレスに解決するように DNS サーバに要求します。


これらのコマンドの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。

SharePoint アクセスのためのクロックの精度の確認

ASAのクライアントレス SSL VPN サーバは、クッキーを使用して、エンドポイントの Microsoft Word などのアプリケーションと対話します。ASAで設定されたクッキーの有効期間により、ASAの時間が正しくない場合、SharePoint サーバ上の文書にアクセスするときに Word が正しく機能しなくなる可能性があります。このような誤作動を回避するには、ASA クロックを正しく設定します。NTP サーバとダイナミックに同期化されるようにASAを設定することをお勧めします。手順については、 日付と時刻の設定を参照してください。

クライアントレス SSL VPN ユーザ エクスペリエンスのカスタマイズ

ログイン ページ、ポータル ページ、ログアウト ページなどの、クライアントレス SSL VPN ユーザ エクスペリエンスをカスタマイズできます。2 つの方式を使用できます。[Add/Edit Customization Object] ウィンドウで、事前定義されたページ コンポーネントをカスタマイズできます。このウィンドウでは、ページをカスタマイズするために使用される、ASA 上に保存される XML ファイル(カスタマイゼーション オブジェクト)を追加または変更します。または、XML ファイルをローカル コンピュータまたはサーバにエクスポートし、XML タグを変更し、ファイルを ASA に再インポートできます。どちらの方式でも、接続プロファイルまたはグループ ポリシーに適用するカスタマイゼーション オブジェクトが作成されます。

ログイン ページの事前定義されたコンポーネントをカスタマイズするのではなく、独自のページを作成して ASA にインポートできます(フル カスタマイゼーション)。これを実行するには、「独自の完全にカスタマイズしたページでのログイン ページの置き換え」を参照してください。

ログイン ページの事前定義されたコンポーネントをカスタマイズできます。タイトル、言語オプション、ユーザへのメッセージなどがあります。または、独自のカスタム ページでページを完全に置き換えることができます(フル カスタマイゼーション)。次の項では、両方の手順について詳細に説明します。

「Customization Editor によるログイン ページのカスタマイズ」

「独自の完全にカスタマイズしたページでのログイン ページの置き換え」

Customization Editor によるログイン ページのカスタマイズ

図 71-14 に、ログイン ページとカスタマイズ可能な事前定義されたコンポーネントを示します。

図 71-14 クライアントレス ログイン ページのコンポーネント

ログイン ページのすべてのコンポーネントをカスタマイズするには、次の手順を実行します。各コンポーネントに対する変更をプレビューするには、[Preview] ボタンをクリックします。


ステップ 1 事前定義されたカスタマイゼーションを指定します。[Logon Page] に移動し、[Customize pre-defined logon page components] を選択します。ブラウザ ウィンドウのタイトルを指定します。

ステップ 2 タイトル パネルを表示してカスタマイズします。[Logon Page] > [Title Panel] の順に選択し、[Display title panel] をオンにします。タイトルとして表示するテキストを入力し、ロゴを指定します。フォント スタイルを必要に応じて指定します。

ステップ 3 表示する言語オプションを指定します。[Logon Page] > [Language] の順に選択し、[Enable Language Selector] をオンにします。リモート ユーザに表示する言語を追加または削除します。リスト内の言語には、[Configuration] > [Remote Access VPN] > [Language Localization] で設定する変換テーブルが必要です。

ステップ 4 ログイン フォームをカスタマイズします。[Logon Page] > [Logon Form] の順に選択します。フォームのテキストおよびパネル内のフォント スタイルをカスタマイズします。接続プロファイルでセカンダリ認証サーバが設定されている場合にのみ、セカンダリ パスワード フィールドがユーザに表示されます。

ステップ 5 ログイン フォームのフィールドを配置します。[Logon Page] > [Form Fields Order] の順に選択します。上矢印ボタンと下矢印ボタンを使用して、フィールドが表示される順序を変更します。

ステップ 6 ユーザへのメッセージを追加します。[Logon Page] > [Informational Panel] の順に選択し、[Display informational panel] をオンにします。パネルに表示するテキストを追加し、ログイン フォームに対してパネルの位置を変更し、このパネルに表示するロゴを指定します。

ステップ 7 著作権宣言文を表示します。[Logon Page] > [Copyright Panel] の順に選択し、[Display copyright panel] をオンにします。著作権のために表示するテキストを追加します。

ステップ 8 [OK] をクリックしてから、編集済みのカスタマイゼーション オブジェクトに変更を適用します。


 

独自の完全にカスタマイズしたページでのログイン ページの置き換え

提供されるログイン ページの特定のコンポーネントを変更するのではなく、独自のカスタム ログイン画面を使用する場合は、フル カスタマイゼーション機能を使用してこの高度なカスタマイゼーションを実行できます。

フル カスタマイゼーションを使用して、独自のログイン画面の HTML を入力し、ASAで関数を呼び出す Cisco HTML コードを挿入します。これで、Login フォームと言語セレクタ ドロップダウン リストが作成されます。

このマニュアルでは、独自の HTML コードを作成するために必要な修正内容、および ASA が独自のコードを使用する場合に設定する必要があるタスクについて説明します。

図 71-15 は、フル カスタマイゼーション機能によってイネーブル化される簡単なカスタム ログイン画面の例を示しています。

図 71-15 ログイン ページのフル カスタマイゼーション例

次の項では、ログイン画面をカスタマイズするタスクについて説明します。

カスタム ログイン画面ファイルの設定

ファイルおよびイメージのインポート

カスタム ログイン画面を使用するセキュリティ アプライアンスの設定

カスタム ログイン画面ファイルの設定

次の HTML コードは例として使用されるものであり、このコードにより表示されます。

<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>New Page 3</title>
<base target="_self">
</head>
 
<p align="center">
<img border="0" src="/+CSCOU+/cisco_logo.jpg" width="188" height="48"><font face="Snap ITC" size="6" color="#FF00FF">
</font><font face="Snap ITC" color="#FF00FF" size="7">&nbsp;</font><i><b><font color="#FF0000" size="7" face="Sylfaen"> SSL VPN Service by the Cisco ASA5500</font></b></i></p>
 
<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>
 

字下げされたコードは、画面に Login フォームと言語セレクタを挿入します。関数 csco_ShowLoginForm('lform') は Login フォームを挿入します。 csco_ShowLanguageSelector('selector') は、言語セレクタを挿入します。

HTML ファイルに変更を加えるには、次の手順を実行します。


ステップ 1 ファイルに login.inc という名前を付けます。このファイルをインポートすると、ASAはこのファイル名をログイン画面として認識します。

ステップ 2 このファイルで使用されるイメージのパスに /+CSCOU+/ を含めるように変更します。

認証前にリモート ユーザに表示されるファイルは、パス /+CSCOU+/ で表されるASAのキャッシュ メモリの特定のエリアに置く必要があります。そのため、このファイルにある各イメージのソースはこのパスに含める必要があります。次に、例を示します。

src="/+CSCOU+/asa5520.gif"
 

ステップ 3 下記の特別な HTML コードを挿入します。このコードには、Login フォームと言語セレクタを画面に挿入する前述のシスコの関数が含まれています。

<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>


 

ファイルおよびイメージのインポート

HTML ファイルおよびイメージを ASA にインポートするには、次の手順を実行します。


ステップ 1 ファイルおよびイメージを Web コンテンツとしてインポートします。

ステップ 2 [Clientless SSL VPN Access] > [Portal] > [Web Contents] の順に選択します。

ステップ 3 [Import] (1) をクリックします。[Import Web Content] ウィンドウが表示されます。[Source information] (2) に入力します。[Destination] 領域で、[Require Authentication to access its content] (3) に対して [No] を選択します。これにより、ファイルは、認証の前にユーザがアクセスできるフラッシュ メモリの領域に保存されます。

ステップ 4 同じウィンドウを使用して、ファイルで使用されるイメージを Web コンテンツとしてインポートします。


 

カスタム ログイン画面を使用するセキュリティ アプライアンスの設定

ASA がカスタマイゼーション オブジェクトで新しいログイン画面を使用できるようにするには、次の手順を実行します。


ステップ 1 カスタマイゼーション オブジェクトを選択します。[Clientless SSL VPN Access] > [Portal] > [Customization] の順に選択します。テーブルでカスタマイゼーション オブジェクトを選択し、[Edit] をクリックします。[Edit Customization Object] ウィンドウが表示されます。

ステップ 2 ナビゲーション ペインで、[Logon Page] を選択します。

ステップ 3 [Replace pre-defined logon page with a custom page] を選択します。

ステップ 4 [Manage] をクリックして、ログイン ページ ファイルをインポートします。[Import Web Content] ウィンドウが表示されます。

ステップ 5 [Destination] 領域で、[No] を選択して、認証の前にログイン ページがユーザに表示されるようにします。

ステップ 6 [Edit Customization Object] ウィンドウに戻り、[General] をクリックして、必要な接続プロファイルおよびグループ ポリシーのカスタマイゼーション オブジェクトをイネーブルにします。


 

PDA でのクライアントレス SSL VPN の使用

Pocket PC または他の認定された携帯情報端末からクライアントレス SSL VPN にアクセスできます。ASAの管理者やクライアントレス SSL VPN ユーザは、特に何もしなくても、認定された携帯情報端末(PDA)でクライアントレス SSL VPN を使用できます。

シスコでは次の PDA プラットフォームを認定しています。

HP iPaq H4150
Pocket PC 2003
Windows CE 4.20.0, build 14053
Pocket Internet Explorer (PIE)
ROM version 1.10.03ENG
ROM Date: 7/16/2004

PDA のバージョンによって、クライアントレス SSL VPN に次のような相違点があります。

ポップアップのクライアントレス SSL VPN ウィンドウはバナー Web ページが置き換わっている。

標準のクライアントレス SSL VPN フローティング ツールバーがアイコン バーに置き換わっている。このバーには、[Go]、[Home]、および [Logout] の各種ボタンが表示されます。

メインのクライアントレス SSL VPN ポータル ページに [Show Toolbar] アイコンがない。

クライアントレス SSL VPN のログアウト時に、警告メッセージで PIE ブラウザを正しく閉じる手順が表示される。この手順に従わないで通常の方法でブラウザのウィンドウを閉じると、クライアントレス SSL VPN または HTTPS を使用するすべてのセキュアな Web サイトから PIE が切断されません。

制約事項

クライアントレス SSL VPN は、OWA 2000 版および OWA 2003 版の基本認証をサポートする。OWA サーバに基本認証を設定せずに、クライアントレス SSL VPN ユーザがこのサーバにアクセスをしようとするとアクセスは拒否されます。

サポートされていないクライアントレス SSL VPN の機能

Application Access および他の Java 依存の各種機能

HTTP プロキシ

Citrix Metaframe 機能(PDA に対応する Citrix ICA クライアント ソフトウェアが装備されていない場合)

クライアントレス SSL VPN を介した電子メールの使用

クライアントレス SSL VPN は、電子メールにアクセスする方法をいくつかサポートしています。ここでは、次の方式について説明します。

電子メール プロキシの設定

Web 電子メール:MS Outlook Web App の設定

電子メール プロキシの設定

クライアントレス SSL VPN は、IMAP4S、POP3S、および SMTPS 電子メール プロキシをサポートしています。次の属性が電子メール プロキシ ユーザにグローバルに適用されます。

制約事項

MS Outlook、MS Outlook Express、Eudora などの電子メール クライアントは、証明書ストアにアクセスできません。

1 Eudora 電子メール クライアントでは、SMTPS 接続のデフォルトのポートが 988 の場合でも、SMTPS はポート 465 でのみ動作します。

Web 電子メール:MS Outlook Web App の設定

ASA は、Microsoft Outlook Web App to Exchange Server 2010 および Microsoft Outlook Web Access to Exchange Server 2007、2003、および 2000 をサポートしています。OWA は、ユーザが次の作業を行う必要があります。

手順の詳細


ステップ 1 アドレス フィールドに電子メール サービスの URL を入力するか、クライアントレス SSL VPN セッションでの関連するブックマークをクリックする。

ステップ 2 プロンプトが表示されたら、電子メール サーバのユーザ名を domain\username 形式で入力する。

ステップ 3 電子メールのパスワードを入力する。


 

ポータル アクセス ルールの設定

この拡張機能により、カスタマーは、HTTP ヘッダー内に存在するデータに基づいて、クライアントレス SSL VPN セッションを許可または拒否するグローバルなクライアントレス SSL VPN アクセス ポリシーを設定することができます。ASA がクライアントレス SSL VPN セッションを拒否する場合、ただちにエンドポイントにエラー コードを返します。

ASA は、このアクセス ポリシーを、エンドポイントが ASA に対して認証する前に評価します。その結果、拒否の場合は、エンドポイントからの追加の接続試行による ASA の処理リソースの消費はより少なくなります。

前提条件

ASA にログインし、グローバル コンフィギュレーション モードを開始します。グローバル コンフィギュレーション モードでは、ASA は次のプロンプトを表示します。

hostname(config)#

手順の詳細


ステップ 1 ASDM を起動し、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Portal Access Rule] を選択します。

[Portal Access Rule] ウィンドウが開きます。

ステップ 2 [Add] をクリックしてポータル アクセス ルールを作成するか、既存のルールを選択して [Edit] をクリックします。

[Add Portal Access Rule] または [Edit Portal Access Rule] ダイアログボックスが開きます。

ステップ 3 1 ~ 65535 のルール番号を [Rule Priority] フィールドに入力します。

ルールは 1 ~ 65535 のプライオリティの順序で処理されます。

ステップ 4 [User Agent] フィールドに、HTTP ヘッダーで検索するユーザ エージェントの名前を入力します。

文字列を広範囲に指定するには、文字列をワイルドカード(*)で囲みます。たとえば、*Thunderbird* です。検索文字列でワイルドカードを使用することを推奨します。ワイルドカードを使用しないと、ルールがどの文字列とも一致しないか、予期したよりも大幅に少ない文字列としか一致しない場合があります。

文字列にスペースが含まれている場合、ASDM によって、ルールの保存時に文字列の最初と最後に自動的に引用符が追加されます。たとえば、 my agent と入力した場合、ASDM によってこの文字列は "my agent" として保存されます。ASA では my agent の一致が検索されます。

スペースを含む文字列に自分で引用符を追加しないでください。ただし、文字列に追加した引用符を ASA で照合させる場合を除きます。たとえば、 "my agent" と入力すると、ASDM によってこの文字列は "\"my agent\"" として保存され、 "my agent" の一致が検索されて、 my agent は検索されません。

スペースを含む文字列でワイルドカードを使用する場合は、文字列全体をワイルドカードで開始して終了します。たとえば、 *my agent* です。ASDM によって、ルールの保存時に、その文字列は自動的に引用符で囲まれます。

ステップ 5 [Action] フィールドで、[Deny] または [Permit] を選択します。

ASA は、この設定に基づいて、クライアントレス SSL VPN 接続を拒否または許可します。

ステップ 6 HTTP メッセージ コードを [Returned HTTP Code] フィールドに入力します。

HTTP メッセージ番号 403 がフィールドにあらかじめ入力されており、これがポータル アクセス ルールのデフォルト値です。メッセージ コードの有効な範囲は 200 ~ 599 です。

ステップ 7 [OK] をクリックします。

ステップ 8 [Apply] をクリックします。


 

プロキシ バイパスの使用

ユーザはプロキシ バイパスを使用するようにASAを設定できます。これは、プロキシ バイパスが提供する特別なコンテンツ リライト機能を使用した方が、アプリケーションや Web リソースをより有効活用できる場合に設定します。プロキシ バイパスはコンテンツの書き換えに代わる手法であり、元のコンテンツの変更を最小限に抑えます。多くの場合、カスタム Web アプリケーションでこれを使用すると有効です。

プロキシ バイパスには複数のエントリを設定できます。エントリを設定する順序は重要ではありません。インターフェイスとパス マスク、またはインターフェイスとポートにより、プロキシ バイパス ルールが一意に指定されます。

パス マスクではなくポートを使用してプロキシ バイパスを設定する場合、ネットワーク コンフィギュレーションによっては、これらのポートがASAにアクセスできるようにするために、ファイアウォール コンフィギュレーションの変更が必要になることがあります。この制限を回避するには、パス マスクを使用します。ただし、パス マスクは変化することがあるため、複数のパス マスク ステートメントを使用して変化する可能性をなくすことが必要になる場合があります。

パスは、URL で .com や .org、またはその他のタイプのドメイン名の後に続く全体です。たとえば、URL が www.mycompany.com/hrbenefits の場合、 hrbenefits がパスです。同様に、URL が www.mycompany.com/hrinsurance の場合、 hrinsurance がパスです。すべての hr サイトでプロキシ バイパスを使用する場合は、*(ワイルドカード)を /hr* のように使用して、コマンドを複数回使用しないようにできます。

手順の詳細

ASA がコンテンツ リライトをほとんどまたはまったく実行しない場合のルールを設定できます。


ステップ 1 プロキシ バイパス用の VLAN を選択します。

ステップ 2 プロキシ バイパス用のポートまたは URI を指定します。

[Port]:(オプション ボタン)プロキシ バイパスにポートを使用します。有効なポート番号は 20000 ~ 21000 です。

[Port]:(フィールド)ASAがプロキシ バイパス用に予約する大きな番号のポートを入力します。

[Path Mask]:(オプション ボタン)プロキシ バイパスに URL を使用します。

[Path Mask]:(フィールド)プロキシ バイパス用の URL を入力します。この URL には、正規表現を使用できます。

ステップ 3 プロキシ バイパスのターゲット URL を定義します。

[URL]:(ドロップダウン リスト)プロトコルとして、http または https をクリックします。

[URL]:(テキスト フィールド)プロキシ バイパスを適用する URL を入力します。

ステップ 4 リライトするコンテンツを指定します。選択肢は、なし、または XML、リンク、およびクッキーの組み合わせです。

[XML]:XML コンテンツをリライトする場合に選択します。

[Hostname]:リンクをリライトする場合に選択します。


 

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

クライアントレス SSL VPN 用の APCF プロファイルを使用すると、ASAは標準以外のアプリケーションや Web リソースを処理できるようになり、クライアントレス SSL VPN 接続を介してこれらが正しく表示されます。APCF プロファイルには、特定のアプリケーションに送信するデータの送信時刻(処理前、処理後)、送信部分(ヘッダー、本文、要求、応答)、および送信内容を指定したスクリプトが含まれています。スクリプトは XML 形式で記述され、文字列とテキストの変換では sed(ストリーム エディタ)の構文が使用されます。APCF プロファイルは、ASA上で、数種類を同時に実行することができます。1 つの APCF プロファイルのスクリプト内に複数の APCF ルールを適用することができます。この場合、ASAは、最も古いルール(設定履歴に基づいて)を最初に処理し、次に 2 番目に古いルール、その次は 3 番目という順序で処理します。

APCF プロファイルは、ASAのフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、または TFTP サーバに保存できます。

制約事項

APCF プロファイルは、シスコの担当者のサポートが受けられる場合のみ設定することをお勧めします。


ステップ 1 次のコマンドを使用して、APCF パケットを追加、編集、および削除し、パケットを優先順位に応じて並べ替えます。

[APCF File Location]:APCF パッケージの場所についての情報を表示します。ASAのフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、FTP サーバ、または TFTP サーバのいずれかです。

[Add/Edit]:新規または既存の APCF プロファイルを追加または編集します。

[Delete]:既存の APCF プロファイルを削除します。確認されず、やり直しもできません。

[Move Up]:リスト内の APCF プロファイルを再配置します。リストにより、ASAが APCF プロファイルを使用するときの順序が決まります。

ステップ 2 [Flash file] をクリックして、ASA のフラッシュ メモリに保存されている APCF ファイルを指定します。

ステップ 3 フラッシュ メモリに保存されている APCF ファイルのパスを入力します。パスをすでに追加した場合は、それが、フラッシュ メモリに格納されている APCF ファイルを指定するために参照した後、そのファイルに対して表示されます。

ステップ 4 [Browse Flash] をクリックして、フラッシュ メモリを参照し、APCF ファイルを指定します。[Browse Flash Dialog] ペインが表示されます。[Folders] および [Files] 列を使用して APCF ファイルを指定します。APCF ファイルを強調表示して、[OK] をクリックします。ファイルへのパスが [Path] フィールドに表示されます。


) 最近ダウンロードした APCF ファイルの名前が表示されない場合には、[Refresh] をクリックします。


[Upload]:APCF ファイルをローカル コンピュータからASAのフラッシュ ファイル システムにアップロードします。[Upload APCF package] ペインが表示されます。

[URL]:HTTP サーバ、HTTPS、サーバ、または TFTP サーバに保存されている APCF ファイルを使用する場合に選択します。

[ftp, http, https, and tftp (unlabeled)]:サーバ タイプを特定します。

[URL (unlabeled)]:FTP、HTTP、HTTPS、または TFTP サーバへのパスを入力します。


 

APCF パッケージのアップロード

APCF パッケージをアップロードするには、次の手順を実行します。


ステップ 1 [Local File Path] フィールドに、コンピュータ上にある APCF ファイルへのパスが表示されます。[Browse Local] をクリックしてこのフィールドにパスを自動的に挿入するか、パスを入力します。

ステップ 2 [Browse Local Files] をクリックして、自分のコンピュータ上の転送する APCF ファイルを見つけて選択します。[Select File Path] ダイアログボックスに、自分のローカル コンピュータで最後にアクセスしたフォルダの内容が表示されます。APCF ファイルに移動して選択し、[Open] をクリックします。ASDM が [Local File Path] フィールドにファイルのパスを挿入します。

[Flash File System Path] に、APCF ファイルをアップロードする ASA 上のパスが表示されます。

ステップ 3 [Browse Flash] をクリックし、ASA 上のどの場所に APCF ファイルをアップロードするかを指定します。[Browse Flash] ダイアログボックスに、フラッシュ メモリの内容が表示されます。

ステップ 4 [Browse Flash] ダイアログボックスの [File Name] フィールドに、ローカル コンピュータで選択した APCF ファイルの名前が表示されます。混乱を防ぐために、この名前を使用することをお勧めします。このファイルの名前が正しく表示されていることを確認し、[OK] をクリックします。

[Browse Flash] ダイアログボックスが閉じます。ASDM が [Flash File System Path] フィールドにアップロード先のファイル パスを挿入します。

ステップ 5 自分のコンピュータの APCF ファイルの場所と、APCF ファイルを ASA にダウンロードする場所を特定したら、[Upload File] をクリックします。

[Status] ウィンドウが表示され、ファイル転送中は開いたままの状態を維持します。

ステップ 6 転送が終わり、[Information] ウィンドウに「File is uploaded to flash successfully.」というメッセージが表示されたら、[OK] をクリックします。[Upload Image] ダイアログ ウィンドウから、[Local File Path] フィールドと [Flash File System Path] フィールドの内容が削除されます。これは、別のファイルをアップロードできることを表します。別のファイルをアップロードするには、上記の手順を繰り返します。それ以外の場合は、[Close] をクリックします。

[Upload image] ダイアログボックスが閉じます。

ステップ 7 すでに APCF ファイルをフラッシュ メモリにアップロードした場合や、アップロードしない場合は、[Close] をクリックします。アップロードする場合には、[APCF] ウィンドウの [APCF File Location] フィールドにファイル名が表示されます。アップロードしない場合は、[Close Message] ダイアログボックスに「Are you sure you want to close the dialog without uploading the file?」という質問が表示されます。ファイルをアップロードしない場合は、[OK] をクリックします。[Close Message] ダイアログボックスと [Upload Image] ダイアログボックスが閉じられ、APCF [Add/Edit] ペインが表示されます。それ以外の場合は、[Close Message] ダイアログボックスの [Cancel] をクリックします。ダイアログボックスが閉じられ、フィールドの値がそのままの状態で [Upload Image] ダイアログボックスが再度表示されます。[Upload File] をクリックします。


 

APCF 構文

APCF プロファイルは、XML フォーマットおよび sed スクリプトの構文を使用します。 表 71-7 に、この場合に使用する XML タグを示します。

ガイドライン

APCF プロファイルの使い方を誤ると、パフォーマンスが低下したり、好ましくない表現のコンテンツになる場合があります。シスコのエンジニアリング部では、ほとんどの場合、APCF プロファイルを提供することで特定アプリケーションの表現上の問題を解決しています。

 

表 71-7 APCF XML タグ

タグ
使用目的

<APCF>...</APCF>

すべての APCF XML ファイルを開くための必須のルート要素。

<version>1.0</version>

APCF の実装バージョンを指定する必須のタグ。現在のバージョンは 1.0 だけです。

<application>...</application>

XML 記述の本文を囲む必須タグ。

<id> text </id>

この特定の APCF 機能を記述する必須タグ。

<apcf-entities>...</apcf-entities>

単一または複数の APCF エンティティを囲む必須タグ。

<js-object>...</js-object>

<html-object>...</html-object>

<process-request-header>...</process-request-header>

<process-response-header>...</process-response-header>

<preprocess-response-body>...</preprocess-response-body>

<postprocess-response-body>...</postprocess-response-body>

これらのタグのうちの 1 つが、コンテンツの種類または APCF 処理が実施される段階を指定します。

<conditions>...</conditions>

処理前および処理後の子要素タグで、次の処理基準を指定します。

http-version(1.1、1.0、0.9 など)

http-method(get、put、post、webdav)

http-scheme(http、https、その他)

("a".."z" | "A".."Z" | "0".."9" | ".-_*[]?"))を含む server-regexp 正規表現

("a".."z" | "A".."Z" | "0".."9" | ".-_*[]?+()\{},"))を含む server-fnmatch 正規表現

user-agent-regexp

user-agent-fnmatch

request-uri-regexp

request-uri-fnmatch

条件タグのうち 2 つ以上が存在する場合は、ASA はすべてのタグに対して論理 AND を実行します。

<action>...</action>

指定の条件下のコンテンツで実行する 1 つまたは複数のアクションを囲みます。これらのアクションは、<do>、<sed-script>、<rewrite-header>、<add-header>、および <delete-header> のタグで定義できます。

<do>...</do>

次のいずれかのアクションの定義に使用されるアクション タグの子要素です。

<no-rewrite/>:リモート サーバから受信したコンテンツを上書きしません。

<no-toolbar/>:ツールバーを挿入しません。

<no-gzip/>:コンテンツを圧縮しません。

<force-cache/>:元のキャッシュ命令を維持します。

<force-no-cache/>:オブジェクトをキャッシュできないようにします。

< downgrade-http-version-on-backend>:リモート サーバに要求を送信するときに HTTP/1.0 を使用します。

<sed-script> TEXT </sed-script>

テキストベースのオブジェクトのコンテンツの変更に使用されるアクション タグの子要素です。TEXT は有効な Sed スクリプトである必要があります。<sed-script> は、これより前に定義された <conditions> タグに適用されます。

<rewrite-header></rewrite-header>

アクション タグの子要素です。<header> の子要素タグで指定された HTTP ヘッダーの値を変更します(以下を参照してください)。

<add-header></add-header>

<header> の子要素タグで指定された新しい HTTP ヘッダーの追加に使用されるアクション タグの子要素です(以下を参照してください)。

<delete-header></delete-header>

<header> の子要素タグで指定された特定の HTTP ヘッダーの削除に使用されるアクション タグの子要素です(以下を参照してください)。

<header></header>

上書き、追加、または削除される HTTP ヘッダー名を指定します。たとえば、次のタグは Connection という名前の HTTP ヘッダーの値を変更します。

<rewrite-header>
<header>Connection</header>
<value>close</value>
</rewrite-header>

APCF の設定例

 
<APCF>
<version>1.0</version>
<application>
<id>Do not compress content from notsogood.com</id>
<apcf-entities>
<process-request-header>
<conditions>
<server-fnmatch>*.notsogood.com</server-fnmatch>
</conditions>
<action>
<do><no-gzip/></do>
</action>
</process-request-header>
</apcf-entities>
</application>
</APCF>
 
<APCF>
<version>1.0</version>
<application>
<id>Change MIME type for all .xyz objects</id>
<apcf-entities>
<process-response-header>
<conditions>
<request-uri-fnmatch>*.xyz</request-uri-fnmatch>
</conditions>
<action>
<rewrite-header>
<header>Content-Type</header>
<value>text/html</value>
</rewrite-header>
</action>
</process-response-header>
</apcf-entities>
</application>
</APCF>
 

クライアントレス SSL VPN エンド ユーザの設定

この項は、エンド ユーザのためにクライアントレス SSL VPN を設定するシステム管理者を対象にしています。ここでは、エンド ユーザ インターフェイスをカスタマイズする方法について説明します。

この項では、リモート システムの設定要件と作業の概要を説明します。ユーザがクライアントレス SSL VPN の使用を開始するために、ユーザに伝える必要がある情報を明確にします。説明する項目は次のとおりです。

エンド ユーザ インターフェイスの定義

「クライアントレス SSL VPN ページのカスタマイズ」

「ヘルプのカスタマイズ」

ユーザ名とパスワードの要求

セキュリティのヒントの通知

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

エンド ユーザ インターフェイスの定義

クライアントレス SSL VPN エンド ユーザ インターフェイスは、一連の HTML パネルで構成されます。ユーザは、ASA インターフェイスの IP アドレスを https:// address 形式で入力することにより、クライアントレス SSL VPN にログインします。最初に表示されるパネルは、ログイン画面(図 71-16)です。

図 71-16 クライアントレス SSL VPN の [Login] 画面

 

クライアントレス SSL VPN ホームページの表示

ユーザがログインすると、ポータル ページが開きます。

ホームページには設定済みのクライアントレス SSL VPN 機能がすべて表示され、選択済みのロゴ、テキスト、および色が外観に反映されています。このサンプル ホームページには、特定のファイル共有の指定機能以外のすべてのクライアントレス SSL VPN 機能が表示されています。ユーザはこのホームページを使用して、ネットワークのブラウズ、URL の入力、特定の Web サイトへのアクセス、および Application Access(ポート転送とスマート トンネル)による TCP アプリケーションへのアクセスを実行できます。

クライアントレス SSL VPN の Application Access パネルの表示

ポート転送またはスマート トンネルを開始するには、[Application Access] ボックスの [Go] ボタンをクリックします。[Application Access] ウィンドウが開きます(図 71-17)。

図 71-17 クライアントレス SSL VPN の [Application Access] ウィンドウ

 

このウィンドウには、このクライアントレス SSL VPN 接続用に設定された TCP アプリケーションが表示されます。このパネルを開いたままでアプリケーションを使用する場合は、通常の方法でアプリケーションを起動します。


) ステートフル フェールオーバーでは、Application Access を使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。


フローティング ツールバーの表示

図 71-18 に示すフローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。

図 71-18 クライアントレス SSL VPN フローティング ツールバー

 

フローティング ツールバーの次の特性に注意してください。

ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

ツールバーを閉じると、ASAはクライアントレス SSL VPN セッションの終了を確認するプロンプトを表示します。

クライアントレス SSL VPN の使用方法の詳細については、表 71-14を参照してください。

クライアントレス SSL VPN ページのカスタマイズ

クライアントレス SSL VPN ユーザに表示されるポータル ページの外観を変えることができます。変更できる外観には、ユーザがセキュリティ アプライアンスに接続するときに表示される [Login] ページ、セキュリティ アプライアンスのユーザ承認後に表示される [Home] ページ、ユーザがアプリケーションを起動するときに表示される [Application Access] ウィンドウ、およびユーザがクライアントレス SSL VPN セッションからログアウトするときに表示される [Logout] ページが含まれます。

ポータル ページのカスタマイズ後は、このカスタマイゼーションを保存して、特定の接続プロファイル、グループ ポリシー、またはユーザに適用できます。ASA をリロードするか、またはクライアントレス SSL をディセーブルにしてから再度イネーブルにするまで、変更は適用されません。

いくつものカスタマイゼーション オブジェクトを作成、保存して、個々のユーザまたはユーザ グループに応じてポータル ページの外観を変更するようにセキュリティ アプライアンスをイネーブル化できます。

ここでは、次の項目とタスクについて説明します。

「カスタマイゼーションに関する情報」

「カスタマイゼーション テンプレートのエクスポート」

「カスタマイゼーション テンプレートの編集」

「ログイン画面の高度なカスタマイゼーション」

「ログイン画面の高度なカスタマイゼーション」

カスタマイゼーションに関する情報

ASAは、カスタマイゼーション オブジェクトを使用して、ユーザ画面の外観を定義します。カスタマイゼーション オブジェクトは、リモート ユーザに表示されるカスタマイズ可能なすべての画面項目に対する XML タグを含む XML ファイルからコンパイルされます。ASA ソフトウェアには、リモート PC にエクスポートできるカスタマイゼーション テンプレートが含まれています。このテンプレートを編集して、新しいカスタマイゼーション オブジェクトとしてASAにインポートし戻すことができます。

カスタマイゼーション オブジェクトをエクスポートすると、XML タグを含む XML ファイルが、指定した URL に作成されます。カスタマイゼーション オブジェクトによって作成される Template という名前の XML ファイルには、空の XML タグが含まれており、新しいカスタマイゼーション オブジェクトを作成するための基礎として利用できます。このオブジェクトは変更したり、キャッシュ メモリから削除したりすることはできませんが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとして再度 ASA にインポートできます。

カスタマイゼーション オブジェクト、接続プロファイル、およびグループ ポリシー

ユーザが初めて接続するときには、接続プロファイル(トンネル グループ)で指定されたデフォルトのカスタマイゼーション オブジェクト( DfltCustomization )がログイン画面の表示方法を決定します。接続プロファイル リストがイネーブルになっている場合に、独自のカスタマイゼーションがある別のグループをユーザが選択すると、その新しいグループのカスタマイゼーション オブジェクトを反映して画面が変わります。

リモート ユーザが認証された後は、画面の外観は、そのグループ ポリシーにカスタマイゼーション オブジェクトが割り当てられているかどうかによって決まります。

カスタマイゼーション テンプレートのエクスポート

カスタマイゼーション オブジェクトをエクスポートすると、指定した URL に XML ファイルが作成されます。カスタマイゼーション テンプレート( Template )は、空の XML タグを含んでおり、新しいカスタマイゼーション オブジェクトを作成するためのベースになります。このオブジェクトは変更したり、キャッシュ メモリから削除したりすることはできませんが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとして再度 ASA にインポートできます。

カスタマイゼーション テンプレートの編集

この項では、カスタマイゼーション テンプレートの内容を示して、便利な図を提供しています。これらを参照して、正しい XML タグをすばやく選択して、画面表示を変更できます。

テキスト エディタまたは XML エディタを使用して、XML ファイルを編集できます。次の例は、カスタマイゼーション テンプレートの XML タグを示しています。一部の冗長タグは、見やすくするために削除してあります。

 
<custom>
<localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>
</localization>
<auth-page>
<window>
<title-text l10n="yes"><![CDATA[SSL VPN Service]]></title-text>
</window>
<full-customization>
<mode>disable</mode>
<url></url>
</full-customization>
<language-selector>
<mode>disable</mode>
<title l10n="yes">Language:</title>
<language>
<code>en</code>
<text>English</text>
</language>
<language>
<code>zh</code>
<text>中国 (Chinese)</text>
</language>
<language>
<code>ja</code>
<text>æ--¥æœ¬ (Japanese)</text>
</language>
<language>
<code>ru</code>
<text>РуÑÑкий (Russian)</text>
</language>
<language>
<code>ua</code>
<text>УкраÑ--нÑька (Ukrainian)</text>
</language>
</language-selector>
<logon-form>
<title-text l10n="yes"><![CDATA[Login]]></title-text>
<title-background-color><![CDATA[#666666]]></title-background-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<message-text l10n="yes"><![CDATA[Please enter your username and password.]]></message-text>
<username-prompt-text l10n="yes"><![CDATA[USERNAME:]]></username-prompt-text>
<password-prompt-text l10n="yes"><![CDATA[PASSWORD:]]></password-prompt-text>
<internal-password-prompt-text l10n="yes">Internal Password:</internal-password-prompt-text>
<internal-password-first>no</internal-password-first>
<group-prompt-text l10n="yes"><![CDATA[GROUP:]]></group-prompt-text>
<submit-button-text l10n="yes"><![CDATA[Login]]></submit-button-text>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-background-color><![CDATA[#666666]]></title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logon-form>
<logout-form>
<title-text l10n="yes"><![CDATA[Logout]]></title-text>
<message-text l10n="yes"><![CDATA[Goodbye.<br>
 
For your own security, please:<br>
 
<li>Clear the browser's cache
 
<li>Delete any downloaded files
 
<li>Close the browser's window]]></message-text>
<login-button-text l10n="yes">Logon</login-button-text>
<hide-login-button>no</hide-login-button>
<title-background-color><![CDATA[#666666]]></title-background-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-background-color><![CDATA[#666666]]></title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logout-form>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service]]></text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff]]></background-color>
<font-size><![CDATA[larger]]></font-size>
<font-color><![CDATA[#800000]]></font-color>
<font-weight><![CDATA[bold]]></font-weight>
</title-panel>
<info-panel>
<mode>disable</mode>
<image-url l10n="yes">/+CSCOU+/clear.gif</image-url>
<image-position>above</image-position>
<text l10n="yes"></text>
</info-panel>
<copyright-panel>
<mode>disable</mode>
<text l10n="yes"></text>
</copyright-panel>
</auth-page>
<portal>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service]]></text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff]]></background-color>
<font-size><![CDATA[larger]]></font-size>
<font-color><![CDATA[#800000]]></font-color>
<font-weight><![CDATA[bold]]></font-weight>
</title-panel>
<browse-network-title l10n="yes">Browse Entire Network</browse-network-title>
<access-network-title l10n="yes">Start AnyConnect</access-network-title>
<application>
<mode>enable</mode>
<id>home</id>
<tab-title l10n="yes">Home</tab-title>
<order>1</order>
</application>
<application>
<mode>enable</mode>
<id>web-access</id>
<tab-title l10n="yes"><![CDATA[Web Applications]]></tab-title>
<url-list-title l10n="yes"><![CDATA[Web Bookmarks]]></url-list-title>
<order>2</order>
</application>
<application>
<mode>enable</mode>
<id>file-access</id>
<tab-title l10n="yes"><![CDATA[Browse Networks]]></tab-title>
<url-list-title l10n="yes"><![CDATA[File Folder Bookmarks]]></url-list-title>
<order>3</order>
</application>
<application>
<mode>enable</mode>
<id>app-access</id>
<tab-title l10n="yes"><![CDATA[Application Access]]></tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>net-access</id>
<tab-title l10n="yes">AnyConnect</tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>help</id>
<tab-title l10n="yes">Help</tab-title>
<order>1000000</order>
</application>
<toolbar>
<mode>enable</mode>
<logout-prompt-text l10n="yes">Logout</logout-prompt-text>
<prompt-box-title l10n="yes">Address</prompt-box-title>
<browse-button-text l10n="yes">Browse</browse-button-text>
</toolbar>
<column>
<width>100%</width>
<order>1</order>
</column>
<pane>
<type>TEXT</type>
<mode>disable</mode>
<title></title>
<text></text>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>IMAGE</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>HTML</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>RSS</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<url-lists>
<mode>group</mode>
</url-lists>
<home-page>
<mode>standard</mode>
<url></url>
</home-page>
</portal>
</custom>
 

図 71-19 に、[Login] ページとページをカスタマイズする XML タグを示します。これらのタグはすべて、上位レベルのタグ <auth-page> にネストされています。

図 71-19 [Login] ページと関連の XML タグ

 

図 71-20 は、[Login] ページで使用可能な言語セレクタ ドロップダウン リストと、この機能をカスタマイズするための XML タグを示しています。これらのタグはすべて、上位レベルの <auth-page> タグにネストされています。

図 71-20 [Login] 画面上の言語セレクタと関連の XML タグ

 

図 71-21 は、[Login] ページで使用できる Information Panel とこの機能をカスタマイズするための XML タグを示しています。この情報は [Login] ボックスの左側または右側に表示されます。これらのタグは、上位レベルの <auth-page> タグにネストされています。

図 71-21 [Login] 画面上の Information Panel と関連の XML タグ

 

図 71-22 は、ポータル ページとこの機能をカスタマイズするための XML タグを示しています。これらのタグは、上位レベルの <auth-page> タグにネストされています。

図 71-22 ポータル ページと関連の XML タグ

 

ログイン画面の高度なカスタマイゼーション

提供されるログイン画面の特定の画面要素を変更するのではなく、独自のカスタム ログイン画面を使用する場合は、フル カスタマイゼーション機能を使用してこの高度なカスタマイゼーションを実行できます。

フル カスタマイゼーションを使用して、独自のログイン画面の HTML を入力し、ASAで関数を呼び出す Cisco HTML コードを挿入します。これで、Login フォームと言語セレクタ ドロップダウン リストが作成されます。

この項では、独自の HTML コードを作成するために必要な修正内容、およびASAが独自のコードを使用する場合に設定する必要があるタスクについて説明します。

図 71-23 に、クライアントレス SSL VPN ユーザに表示される標準の Cisco ログイン画面を示します。Login フォームは、HTML コードで呼び出す関数によって表示されます。

図 71-23 標準の Cisco [Login] ページ

 

図 71-24 に、言語セレクタ ドロップダウン リストを示します。この機能は、クライアントレス SSL VPN ユーザにはオプションとなっており、ログイン画面の HTML コード内の関数によっても呼び出されます。

図 71-24 言語セレクタ ドロップダウン リスト

 

図 71-25 は、フル カスタマイゼーション機能によってイネーブル化される簡単なカスタム ログイン画面の例を示しています。

図 71-25 ログイン画面のフル カスタマイゼーション例

次の HTML コードは例として使用されるものであり、このコードにより表示されます。

 
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>New Page 3</title>
<base target="_self">
</head>
 
<p align="center">
<img border="0" src="/+CSCOU+/cisco_logo.jpg" width="188" height="48"><font face="Snap ITC" size="6" color="#FF00FF">
</font><font face="Snap ITC" color="#FF00FF" size="7">&nbsp;</font><i><b><font color="#FF0000" size="7" face="Sylfaen"> SSL VPN Service by the Cisco ASA5500</font></b></i></p>
 
<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>
 

字下げされたコードは、画面に Login フォームと言語セレクタを挿入します。関数 csco_ShowLoginForm('lform') は Login フォームを挿入します。 csco_ShowLanguageSelector('selector') は、言語セレクタを挿入します。

HTML ファイルの変更

HTML ファイルに変更を加えるには、次の手順を実行します。

手順の詳細


ステップ 1 ファイルに login.inc という名前を付けます。このファイルをインポートすると、ASAはこのファイル名をログイン画面として認識します。

ステップ 2 このファイルで使用されるイメージのパスに /+CSCOU+/ を含めるように変更します。

認証前にリモート ユーザに表示されるファイルは、パス /+CSCOU+/ で表されるASAのキャッシュ メモリの特定のエリアに置く必要があります。そのため、このファイルにある各イメージのソースはこのパスに含める必要があります。次に、例を示します。

src=”/+CSCOU+/asa5520.gif”
 

ステップ 3 下記の特別な HTML コードを挿入します。このコードには、Login フォームと言語セレクタを画面に挿入する前述のシスコの関数が含まれています。

<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>

ポータル ページのカスタマイズ

図 71-26 に、ポータル ページとカスタマイズ可能な事前定義されたコンポーネントを示します。

図 71-26 ポータル ページのカスタマイズ可能なコンポーネント

 

ページのコンポーネントをカスタマイズする以外に、ポータル ページを、テキスト、イメージ、RSS フィード、または HTML を表示するカスタム ペインに分割できます。図 71-26 では、ポータル ページは 1 列と 2 行に分割されています。

ポータル ページをカスタマイズするには、次の手順を実行します。各コンポーネントに対する変更をプレビューするには、[Preview] ボタンをクリックします。


ステップ 1 [Portal Page] に移動し、ブラウザ ウィンドウのタイトルを指定します。

ステップ 2 タイトル パネルを表示してカスタマイズします。[Portal Page] > [Title Panel] の順に選択し、[Display title panel] をオンにします。タイトルとして表示するテキストを入力し、ロゴを指定します。フォント スタイルを必要に応じて指定します。

ステップ 3 ツールバーをイネーブルにしてカスタマイズします。[Portal Page] > [Toolbar] の順に選択し、[Display toolbar] をオンにします。プロンプト ボックス、参照ボタン、およびログアウト プロンプトを必要に応じてカスタマイズします。

ステップ 4 アプリケーション リストをカスタマイズします。[Portal Page] > [Applications] の順に選択し、[Show navigation panel] をオンにします。テーブルに入力されているアプリケーションは ASA の設定でイネーブルにしたアプリケーションであり、クライアント/サーバ プラグインやポート転送アプリケーションが含まれています。

ステップ 5 ポータル ページ スペースでカスタム ペインを作成します。[Portal Page] > [Custom Panes] の順に選択し、必要に応じて、ウィンドウをテキスト、イメージ、RSS フィード、または HTML ページの行およびカラムに分割します。

ステップ 6 ホームページの URL を指定します。[Portal Page] > [Home Page] の順に選択し、[Enable custom intranet web page] をオンにします。ブックマークの構成を定義するブックマーク モードを選択します。

タイムアウト アラート メッセージおよびツールチップを設定します。[Portal Page] > [Timeout Alerts] の順に選択します。詳細な手順については、 カスタム ポータル タイムアウト アラートの設定を参照してください。


 

カスタム ポータル タイムアウト アラートの設定

クライアントレス SSL VPN 機能のユーザが VPN セッションで時間を管理できるように、クライアントレス SSL VPN ポータル ページには、クライアントレス VPN セッションが終了するまでの合計残り時間を示すカウントダウン タイマーが表示されます。セッションは、非アクティブ状態によって、または設定された最大許容接続時間が終了したために、タイムアウトします。

ユーザのセッションが、アイドル タイムアウトまたはセッション タイムアウトにより終了することをユーザに警告するカスタム メッセージを作成できます。デフォルトのアイドル タイムアウト メッセージはカスタム メッセージによって置き換えられます。デフォルトのメッセージは、「 Your session will expire in %s . 」です。メッセージ内の %s プレース ホルダは、進行するカウントダウン タイマーで置き換えられます。


ステップ 1 ASDM を起動し、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Customization] を選択します。

ステップ 2 [Add] をクリックして新しいカスタマイゼーション オブジェクトを追加するか、既存のカスタマイゼーション オブジェクトを選択して [Edit] をクリックし、カスタム アイドル タイムアウト メッセージを既存のカスタマイゼーション オブジェクトに追加します。

ステップ 3 [Add / Edit Customization Object] ペインで、ナビゲーション ツリーの [Portal Page] ノードを展開して、[Timeout Alerts] をクリックします。

ステップ 4 [Enable alert visual tooltip (red background for timer countdown)] をオンにします。これにより、カウントダウン タイマーがツール ヒントとして赤の背景に表示されます。ユーザが [Time left] 領域をクリックすると、時間領域が拡大されて、カスタム タイムアウト アラート メッセージが表示されます。このボックスをオフのままにしておくと、カスタム タイムアウト アラートはポップアップ ウィンドウに表示されます。

ステップ 5 [Idle Timeout Message] ボックスおよび [Session Timeout Message] ボックスにメッセージを入力します。メッセージの例は、次のとおりです。「 Warning: Your session will end in %s.Please complete your work and prepare to close your applications.

ステップ 6 [OK] をクリックします。

ステップ 7 [Apply] をクリックします。


 

カスタマイゼーション オブジェクト ファイルでのカスタム タイムアウト アラートの指定

必要に応じて、ASA の外部の既存のカスタマイゼーション オブジェクト ファイルを編集し、ASA にインポートできます。カスタマイゼーション オブジェクトのインポートおよびエクスポートの詳細については、「カスタマイゼーション オブジェクトのインポート/エクスポート」を参照してください。「XML ベースのポータル カスタマイゼーション オブジェクトおよび URL リストの作成」も参照してください。

タイムアウト メッセージは、XML カスタマイゼーション オブジェクト ファイルの <timeout-alerts> XML 要素で設定されます。<timeout-alerts> 要素は <portal> 要素の子です。<portal> 要素は <custom> 要素の子です。

<timeout-alerts> 要素は、<portal> の子要素の順序では、<home-page> 要素の後、<application> 要素の前に配置します。

<timeout-alerts> の次の子要素を指定する必要があります。

<alert-tooltip>:「yes」に設定されると、カウントダウン タイマーはユーザにツール ヒントとして赤の背景に表示されます。カウントダウン タイマーをクリックすると、ツールチップが展開されて、カスタム メッセージが表示されます。「no」に設定されるか未定義の場合、カスタム メッセージはポップアップ ウィンドウでユーザに表示されます。

<session-timeout-message>:この要素にカスタム セッション タイムアウト メッセージを入力します。設定されていて空でない場合は、カスタム メッセージがデフォルト メッセージの代わりにユーザに表示されます。メッセージ内の %s プレース ホルダは、進行するカウントダウン タイマーで置き換えられます。

<idle-timeout-message>:この要素にカスタム アイドル タイムアウト メッセージを入力します。設定されていて空でない場合は、カスタム メッセージがデフォルト メッセージの代わりにユーザに表示されます。%s プレース ホルダは、進行するカウントダウン タイマーで置き換えられます。

タイムアウト アラート要素および子要素の設定例

この例では、<portal> 要素の <timeout-alerts> 要素のみを示します。


) この例を既存のカスタマイゼーション オブジェクトにカット アンド ペーストしないでください。


<portal>
<window></window>
<title-panel></title-panel>
<toolbar></toolbar>
<url-lists></url-lists>
<navigation-panel></navigation-panel>
<home-page>
<timeout-alerts>
<alert-tooltip>yes</alert-tooltip>
<idle-timeout-message>You session expires in %s due to idleness.</idle-timeout-message>
<session-timeout-message>Your session expires in %s.</session-timeout-message>
</timeout-alerts>
<application></application>
<column></column>
<pane></pane>
<external-portal></external-portal>
</portal>

ログアウト ページのカスタマイズ

図 71-27 に、カスタマイズ可能なログアウト ページを示します。

図 71-27 ログアウト ページのコンポーネント

ログアウト ページをカスタマイズするには、次の手順を実行します。各コンポーネントに対する変更をプレビューするには、[Preview] ボタンをクリックします。


ステップ 1 [Logout Page] に移動します。必要に応じて、タイトルまたはテキストをカスタマイズします。

ステップ 2 ユーザに便利なように、ログアウト ページに [Login] ボタンを表示できます。そのためには、[Show logon button] をオンにします。必要に応じて、ボタンのテキストをカスタマイズします。

ステップ 3 必要に応じて、タイトルのフォントまたは背景をカスタマイズします。

ステップ 4 [OK] をクリックしてから、編集済みのカスタマイゼーション オブジェクトに変更を適用します。


 

カスタマイゼーション オブジェクトの追加

カスタマイゼーション オブジェクトを追加するには、DfltCustomization オブジェクトのコピーを作成して一意の名前を付けます。次に、要件に合うようにそのオブジェクトを修正または編集できます。

手順の詳細


ステップ 1 [Add] をクリックし、新しいカスタマイゼーション オブジェクトの名前を入力します。最大 64 文字で、スペースは使用できません。

ステップ 2 (任意)[Find] をクリックして、カスタマイゼーション オブジェクトを検索します。フィールドへの入力を開始すると、各フィールドの先頭部分の文字に一致するものが自動的に検索されます。ワイルドカードを使用して、検索結果を拡大できます。たとえば、[Find] フィールドに sal と入力すると、sales という名前のカスタマイゼーション オブジェクトは一致しますが、wholesalers という名前のカスタマイゼーション オブジェクトは一致しません。[Find] フィールドに *sal と入力した場合は、テーブル内の sales と wholesalers のうち、最初に出現するものが検出されます。

上矢印と下矢印を使用して、上または下にある、一致する次の文字列に移動します。[Match Case] チェックボックスをオンにすると、検索時に大文字と小文字が区別されます。

ステップ 3 オンスクリーン キーボードをポータル ページ上にいつ表示するかを指定します。次の選択肢があります。

Do not show OnScreen Keyboard

Show only for the login page

Show for all portal pages requiring authentication

ステップ 4 (任意)カスタマイゼーション オブジェクトを強調表示し、[Assign] をクリックして、選択したオブジェクトを 1 つ以上のグループ ポリシー、接続プロファイル、または LOCAL ユーザに割り当てます。


 

カスタマイゼーション オブジェクトのインポート/エクスポート

既存のカスタマイゼーション オブジェクトをインポートまたはエクスポートできます。インポートするのは、エンド ユーザに適用するオブジェクトです。ASAにすでに存在するカスタマイゼーション オブジェクトは、編集のためにエクスポートし、その後再インポートできます。

手順の詳細


ステップ 1 カスタマイゼーション オブジェクトを名前で指定します。最大 64 文字で、スペースは使用できません。

ステップ 2 カスタマイゼーション ファイルをインポートまたはエクスポートするときに使用する方式を選択します。

[Local computer]:ローカル PC にあるファイルをインポートする場合は、この方式を選択します。

[Path]:ファイルへのパスを入力します。

[Browse Local Files]:ファイルへのパスを参照します。

[Flash file system]:ASAに常駐するファイルをエクスポートするには、この方式を選択します。

[Path]:ファイルへのパスを入力します。

[Browse Flash]:ファイルへのパスを参照します。

[Remote server]:ASAからアクセスできるリモート サーバに常駐するカスタマイゼーション ファイルをインポートするには、このオプションを選択します。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

ステップ 3 クリックしてファイルをインポートまたはエクスポートします。


 

XML ベースのポータル カスタマイゼーション オブジェクトおよび URL リストの作成

この項は、次の内容で構成されています。

「XML カスタマイゼーション ファイルの構成について」

「カスタマイゼーションの設定例」

「カスタマイゼーション テンプレートの使用」

「ヘルプのカスタマイゼーション」

「アプリケーションのヘルプ コンテンツのインポートおよびエクスポート」

XML カスタマイゼーション ファイルの構成について

表 71-8 に、XML カスタマイゼーション オブジェクトのファイル構造を示します。


) パラメータ/タグが指定されなければデフォルト/継承値が使用されます。存在する場合は、空の文字列であってもパラメータ/タグ値が設定されます。


 

表 71-8 XML ベース カスタマイゼーション ファイルの構造

タグ
タイプ
プリセット値
説明
custom
ノード
--
--
ルート タグ
auth-page
ノード
--
--
認証ページ コンフィギュレーションのタグ コンテナ
window
ノード
--
--
ブラウザ ウィンドウ

title-text

ストリング

任意の文字列

空の文字列

--

title-panel
ノード
--
--
ロゴおよびテキストを表示したページの先頭パネル

mode

テキスト

enable|disable

disable

--

text

テキスト

任意の文字列

空の文字列

--

logo-url

テキスト

任意の URL

空のイメージ URL

--

copyright-panel
ノード
--
--
著作権情報を示したページの下部ペイン

mode

テキスト

enable|disable

disable

--

text

テキスト

任意の URL

空の文字列

--

info-panel
ノード
--
--
カスタム テキストとイメージを表示したペイン

mode

ストリング

enable|disable

disable

--

image-position

ストリング

above|below

above

テキストに対する相対的なイメージの位置

image-url

ストリング

任意の URL

空のイメージ

--

text

ストリング

任意の文字列

空の文字列

--

logon-form
ノード
--
--
ユーザ名、パスワード、グループ プロンプトのフォーム

title-text

ストリング

任意の文字列

Logon

--

message-text

ストリング

任意の文字列

空の文字列

--

username-prompt-text

ストリング

任意の文字列

ユーザ名

--

password-prompt-text

ストリング

任意の文字列

パスワード

--

internal-password-prompt-text

ストリング

任意の文字列

Internal Password

--

group-prompt-text

ストリング

任意の文字列

グループ

--

submit-button-text

ストリング

任意の文字列

Logon

logout-form
ノード
--
--
ログアウト メッセージと、ログインまたはウィンドウを閉じるためのボタンを表示したフォーム

title-text

ストリング

任意の文字列

Logout

--

message-text

ストリング

任意の文字列

空の文字列

--

login-button-text

ストリング

任意の文字列

Login

close-button-text

ストリング

任意の文字列

Close window

--

language-selector
ノード
--
--
言語を選択するドロップダウン リスト

mode

ストリング

enable|disable

disable

--

title

テキスト

--

Language

言語を選択するよう求めるプロンプト テキスト

language
ノード(複数)
--
--
--

code

ストリング

--

--

--

text

ストリング

--

--

--

portal
ノード
--
--
ポータル ページ コンフィギュレーションのタグコンテナ
window
ノード
--
--
認証ページの説明を参照

title-text

ストリング

任意の文字列

空の文字列

--

title-panel
ノード
--
--
認証ページの説明を参照

mode

ストリング

enable|disable

Disable

--

text

ストリング

任意の文字列

空の文字列

--

logo-url

ストリング

任意の URL

空のイメージ URL

--

navigation-panel
ノード
--
--
アプリケーション タブの左側のペイン

mode

ストリング

enable|disable

enable

--

アプリケーション
ノード(複数)
--
該当なし
ノードは(ID によって)設定されているアプリケーションのデフォルトを変更する

id

ストリング

ストック アプリケーションの場合:

web-access

file-access

app-access

net-access

help

ins の場合:

固有のプラグイン

該当なし

--

tab-title

ストリング

--

該当なし

--

order

数値

--

該当なし

エレメントの並べ替えで使用する値。デフォルトのエレメント順の値には、1000、2000、3000 などの段階があります。たとえば、最初と 2 番目のエレメントの間にエレメントを挿入するには、1001 ~ 1999 の値を使用します。

url-list-title

ストリング

--

該当なし

アプリケーションにブックマークがある場合は、グループ化されたブックマークを表示したパネルのタイトル

mode

ストリング

enable|disable

該当なし

v

toolbar
ノード
--
--
--

mode

ストリング

enable|disable

イネーブル

--

prompt-box-title

ストリング

任意の文字列

アドレス

URL プロンプト リストのタイトル

browse-button-text

ストリング

任意の文字列

ブラウズ

[Browse] ボタンのテキスト

logout-prompt-text

ストリング

任意の文字列

ログアウト

--

column
ノード(複数)
--
--
デフォルトで 1 列を表示

width

ストリング

--

該当なし

--

order

数値

--

該当なし

エレメントの並べ替えで使用する値。

url-lists
ノード
--
--
URL リストは、明示的にディセーブルになっていない場合、ポータル ホーム ページのデフォルト エレメントと見なされる

mode

ストリング

group | nogroup

group

モード:

group:Web Bookmarks や File Bookmarks などのアプリケーション タイプによってグループ化されたエレメント

no-group:URL リストを別々のペインに表示する

disable:デフォルトで URL リストを表示しない

パネル

ノード

(複数)

--

--

追加ペインの設定を許可

mode

ストリング

enable|disable

--

コンフィギュレーションを削除せずにパネルを一時的にディセーブルにする場合に使用する

title

ストリング

--

--

--

type

ストリング

--

--

サポートされるタイプ:

RSS

IMAGE

TEXT

HTML

url

ストリング

--

--

RSS、IMAGE、または HTML タイプのペインの URL

url-mode

ストリング

--

--

モード:mangle、no-mangle

text

ストリング

--

--

TEXT タイプ ペインのテキスト

column

数値

--

--

--

カスタマイゼーションの設定例

次の例は、次のカスタマイゼーション オプションを示しています。

File アクセス アプリケーションのタブを非表示にする。

Web Access アプリケーションのタイトルと順序を変更する。

ホーム ページで 2 つのカラムを定義する。

RSS ペインを追加する。

2 番目のペインの上部に 3 つのペイン(テキスト、イメージ、および html)を追加する。

 
<custom name="Default">
<auth-page>
 
<window>
<title-text l10n="yes">title WebVPN Logon</title>
</window>
 
<title-panel>
<mode>enable</mode>
<text l10n="yes">EXAMPLE WebVPN</text>
<logo-url>http://www.example.com/images/EXAMPLE.gif</logo-url>
</title-panel>
 
<copyright>
<mode>enable</mode>
<text l10n="yes">(c)Copyright, EXAMPLE Inc., 2006</text>
</copyright>
 
<info-panel>
<mode>enable</mode>
<image-url>/+CSCOE+/custom/EXAMPLE.jpg</image-url>
<text l10n="yes">
<![CDATA[
<div>
<b>Welcome to WebVPN !.</b>
</div>
]]>
</text>
</info-panel>
<logon-form>
<form>
<title-text l10n="yes">title WebVPN Logon</title>
<message-text l10n="yes">message WebVPN Logon</title>
<username-prompt-text l10n="yes">Username</username-prompt-text>
<password-prompt-text l10n="yes">Password</password-prompt-text>
<internal-password-prompt-text l10n="yes">Domain password</internal-password-prompt-text>
<group-prompt-text l10n="yes">Group</group-prompt-text>
<submit-button-text l10n="yes">Logon</submit-button-text>
</form>
</logon-form>
<logout-form>
<form>
<title-text l10n="yes">title WebVPN Logon</title>
<message-text l10n="yes">message WebVPN Logon</title>
<login-button-text l10n="yes">Login</login-button-text>
<close-button-text l10n="yes">Logon</close-button-text>
</form>
</logout-form>
 
<language-slector>
<language>
<code l10n="yes">code1</code>
<text l10n="yes">text1</text>
</language>
<language>
<code l10n="yes">code2</code>
<text l10n="yes">text2</text>
</language>
</language-slector>
 
</auth-page>
<portal>
 
<window>
<title-text l10n="yes">title WebVPN Logon</title>
</window>
 
<title-panel>
<mode>enable</mode>
<text l10n="yes">EXAMPLE WebVPN</text>
<logo-url>http://www.example.com/logo.gif</logo-url>
</title-panel>
 
<navigation-panel>
<mode>enable</mode>
</navigation-panel>
 
<application>
<id>file-access</id>
<mode>disable</mode>
</application>
<application>
<id>web-access</id>
<tab-title>EXAMPLE Intranet</tab-title>
<order>3001</order>
</application>
 
<column>
<order>2</order>
<width>40%</width>
<column>
<column>
<order>1</order>
<width>60%</width>
<column>
 
<url-lists>
<mode>no-group</mode>
</url-lists>
 
<pane>
<id>rss_pane</id>
<type>RSS</type>
<url>rss.example.com?id=78</url>
</pane>
<pane>
<type>IMAGE</type>
<url>http://www.example.com/logo.gif</url>
<column>1</column>
<row>2</row>
</pane>
 
<pane>
<type>HTML</type>
<title>EXAMPLE news</title>
<url>http://www.example.com/news.html</url>
<column>1</column>
<row>3</row>
</pane>
 
</portal>
 
</custom>
 

カスタマイゼーション テンプレートの使用

Template という名前のカスタマイゼーション テンプレートには、現在使用されているタグすべてと、その使用法を説明した対応するコメントが含まれています。 export コマンドを使用し、次のようにしてASAからカスタマイゼーション テンプレートをダウンロードします。

 
hostname# export webvpn customization Template tftp://webserver/default.xml
hostname#
 

Template ファイルは、変更または削除できません。この例のようにしてエクスポートする場合は、 default.xml という新しい名前で保存します。このファイルで変更を行った後、そのファイルを使用して組織の必要を満たすカスタマイゼーション オブジェクトを作成し、 default.xml または選択する別の名前のファイルとしてASAにインポートします。次に、例を示します。

hostname# import webvpn customization General tftp://webserver/custom.xml
hostname#
 
ここで custom.xml という名前の XML オブジェクトをインポートし、 ASA で General と命名します。

カスタマイゼーション テンプレート

Template という名前のカスタマイゼーション テンプレートを次に示します。

<?xml version="1.0" encoding="UTF-8" ?>
- <!--
 
Copyright (c) 2008,2009 by Cisco Systems, Inc.
All rights reserved.
 
Note: all white spaces in tag values are significant and preserved.
 
 
Tag: custom
Description: Root customization tag
 
Tag: custom/languages
Description: Contains list of languages, recognized by ASA
Value: string containing comma-separated language codes.Each language code is
a set dash-separated alphanumeric characters, started with
alpha-character (for example: en, en-us, irokese8-language-us)
Default value: en-us
Tag: custom/default-language
Description: Language code that is selected when the client and the server
were not able to negotiate the language automatically.
For example the set of languages configured in the browser
is "en,ja", and the list of languages, specified by
'custom/languages' tag is "cn,fr", the default-language will be
used.
Value: string, containing one of the language coded, specified in
'custom/languages' tag above.
Default value: en-us
 
*********************************************************
 
Tag: custom/auth-page
Description: Contains authentication page settings
 
*********************************************************
Tag: custom/auth-page/window
Description: Contains settings of the authentication page browser window
 
Tag: custom/auth-page/window/title-text
Description: The title of the browser window of the authentication page
Value: arbitrary string
Default value: Browser's default value
 
*********************************************************
 
Tag: custom/auth-page/title-panel
Description: Contains settings for the title panel
 
Tag: custom/auth-page/title-panel/mode
Description: The title panel mode
Value: enable|disable
Default value: disable
Tag: custom/auth-page/title-panel/text
Description: The title panel text.
Value: arbitrary string
Default value: empty string
 
Tag: custom/auth-page/title-panel/logo-url
Description: The URL of the logo image (imported via "import webvpn webcontent")
Value: URL string
Default value: empty image URL
 
Tag: custom/auth-page/title-panel/background-color
Description: The background color of the title panel
Value: HTML color format, for example #FFFFFF
Default value: #FFFFFF
 
Tag: custom/auth-page/title-panel/font-color
Description: The background color of the title panel
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
Tag: custom/auth-page/title-panel/font-weight
Description: The font weight
Value: CSS font size value, for example bold, bolder,lighter etc.
Default value: empty string
 
Tag: custom/auth-page/title-panel/font-size
Description: The font size
Value: CSS font size value, for example 10pt, 8px, x-large, smaller etc.
Default value: empty string
 
 
 
 
Tag: custom/auth-page/title-panel/gradient
Description: Specifies using the background color gradient
Value: yes|no
Default value:no
 
Tag: custom/auth-page/title-panel/style
Description: CSS style of the title panel
Value: CSS style string
Default value: empty string
 
*********************************************************
 
Tag: custom/auth-page/copyright-panel
Description: Contains the copyright panel settings
 
Tag: custom/auth-page/copyright-panel/mode
Description: The copyright panel mode
Value: enable|disable
Default value: disable
 
Tag: custom/auth-page/copyright-panel/text
Description: The copyright panel text
Value: arbitrary string
Default value: empty string
 
*********************************************************
Tag: custom/auth-page/info-panel
Description: Contains information panel settings
 
Tag: custom/auth-page/info-panel/mode
Description: The information panel mode
Value: enable|disable
Default value: disable
 
Tag: custom/auth-page/info-panel/image-position
Description: Position of the image, above or below the informational panel text
Values: above|below
Default value: above
 
Tag: custom/auth-page/info-panel/image-url
Description: URL of the information panel image (imported via "import webvpn webcontent")
Value: URL string
Default value: empty image URL
 
Tag: custom/auth-page/info-panel/text
Description: Text of the information panel
Text: arbitrary string
Default value: empty string
 
*********************************************************
 
Tag: custom/auth-page/logon-form
Description: Contains logon form settings
 
Tag: custom/auth-page/logon-form/title-text
Description: The logon form title text
Value: arbitrary string
Default value: "Logon"
 
Tag: custom/auth-page/logon-form/message-text
Description: The message inside of the logon form
Value: arbitrary string
Default value: empty string
 
Tag: custom/auth-page/logon-form/username-prompt-text
Description: The username prompt text
Value: arbitrary string
Default value: "Username"
 
Tag: custom/auth-page/logon-form/password-prompt-text
Description: The password prompt text
Value: arbitrary string
Default value: "Password"
 
Tag: custom/auth-page/logon-form/internal-password-prompt-text
Description: The internal password prompt text
Value: arbitrary string
Default value: "Internal Password"
 
Tag: custom/auth-page/logon-form/group-prompt-text
Description: The group selector prompt text
Value: arbitrary string
Default value: "Group"
 
 
Tag: custom/auth-page/logon-form/submit-button-text
Description: The submit button text
Value: arbitrary string
Default value: "Logon"
 
Tag: custom/auth-page/logon-form/internal-password-first
Description: Sets internal password first in the order
Value: yes|no
Default value: no
 
 
Tag: custom/auth-page/logon-form/title-font-color
Description: The font color of the logon form title
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
Tag: custom/auth-page/logon-form/title-background-color
Description: The background color of the logon form title
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
 
Tag: custom/auth-page/logon-form/font-color
Description: The font color of the logon form
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
Tag: custom/auth-page/logon-form/background-color
Description: The background color of the logon form
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
 
*********************************************************
 
Tag: custom/auth-page/logout-form
Description: Contains the logout form settings
 
Tag: custom/auth-page/logout-form/title-text
Description: The logout form title text
Value: arbitrary string
Default value: "Logout"
 
Tag: custom/auth-page/logout-form/message-text
Description: The logout form message text
Value: arbitrary string
Default value: Goodbye.
For your own security, please:
Clear the browser's cache
Delete any downloaded files
Close the browser's window
 
Tag: custom/auth-page/logout-form/login-button-text
Description: The text of the button sending the user to the logon page
Value: arbitrary string
Default value: "Logon"
 
*********************************************************
 
Tag: custom/auth-page/language-selector
Description: Contains the language selector settings
 
Tag: custom/auth-page/language-selector/mode
Description: The language selector mode
Value: enable|disable
Default value: disable
 
Tag: custom/auth-page/language-selector/title
Description: The language selector title
Value: arbitrary string
Default value: empty string
 
Tag: custom/auth-page/language-selector/language (multiple)
Description: Contains the language settings
 
Tag: custom/auth-page/language-selector/language/code
Description: The code of the language
Value (required): The language code string
 
Tag: custom/auth-page/language-selector/language/text
Description: The text of the language in the language selector drop-down box
Value (required): arbitrary string
 
*********************************************************
 
Tag: custom/portal
Description: Contains portal page settings
 
*********************************************************
 
Tag: custom/portal/window
Description: Contains the portal page browser window settings
 
Tag: custom/portal/window/title-text
Description: The title of the browser window of the portal page
Value: arbitrary string
Default value: Browser's default value
 
*********************************************************
 
Tag: custom/portal/title-panel
Description: Contains settings for the title panel
 
Tag: custom/portal/title-panel/mode
Description: The title panel mode
Value: enable|disable
Default value: disable
 
Tag: custom/portal/title-panel/text
Description: The title panel text.
Value: arbitrary string
Default value: empty string
 
Tag: custom/portal/title-panel/logo-url
Description: The URL of the logo image (imported via "import webvpn webcontent")
Value: URL string
Default value: empty image URL
 
Tag: custom/portal/title-panel/background-color
Description: The background color of the title panel
Value: HTML color format, for example #FFFFFF
Default value: #FFFFFF
 
Tag: custom/auth-pa/title-panel/font-color
Description: The background color of the title panel
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
Tag: custom/portal/title-panel/font-weight
Description: The font weight
Value: CSS font size value, for example bold, bolder,lighter etc.
Default value: empty string
 
Tag: custom/portal/title-panel/font-size
Description: The font size
Value: CSS font size value, for example 10pt, 8px, x-large, smaller etc.
Default value: empty string
Tag: custom/portal/title-panel/gradient
Description: Specifies using the background color gradient
Value: yes|no
Default value:no
 
Tag: custom/portal/title-panel/style
Description: CSS style for title text
Value: CSS style string
Default value: empty string
 
*********************************************************
 
Tag: custom/portal/application (multiple)
Description: Contains the application setting
 
Tag: custom/portal/application/mode
Description: The application mode
Value: enable|disable
Default value: enable
 
Tag: custom/portal/application/id
Description: The application ID.Standard application ID's are: home, web-access, file-access, app-access, network-access, help
Value: The application ID string
Default value: empty string
 
Tag: custom/portal/application/tab-title
Description: The application tab text in the navigation panel
Value: arbitrary string
Default value: empty string
 
Tag: custom/portal/application/order
Description: The order of the application's tab in the navigation panel.Applications with lesser order go first.
Value: arbitrary number
Default value: 1000
 
Tag: custom/portal/application/url-list-title
Description: The title of the application's URL list pane (in group mode)
Value: arbitrary string
Default value: Tab tite value concatenated with "Bookmarks"
 
*********************************************************
 
Tag: custom/portal/navigation-panel
Description: Contains the navigation panel settings
 
Tag: custom/portal/navigation-panel/mode
Description: The navigation panel mode
Value: enable|disable
Default value: enable
 
*********************************************************
 
Tag: custom/portal/toolbar
Description: Contains the toolbar settings
 
Tag: custom/portal/toolbar/mode
Description: The toolbar mode
Value: enable|disable
Default value: enable
 
Tag: custom/portal/toolbar/prompt-box-title
Description: The universal prompt box title
Value: arbitrary string
Default value: "Address"
Tag: custom/portal/toolbar/browse-button-text
Description: The browse button text
Value: arbitrary string
Default value: "Browse"
 
Tag: custom/portal/toolbar/logout-prompt-text
Description: The logout prompt text
Value: arbitrary string
Default value: "Logout"
 
*********************************************************
 
Tag: custom/portal/column (multiple)
Description: Contains settings of the home page column(s)
 
Tag: custom/portal/column/order
Description: The order the column from left to right.Columns with lesser order values go
first
Value: arbitrary number
Default value: 0
 
Tag: custom/portal/column/width
Description: The home page column width
Value: percent
Default value: default value set by browser
Note: The actual width may be increased by browser to accommodate content
 
 
*********************************************************
 
 
Tag: custom/portal/url-lists
Description: Contains settings for URL lists on the home page
 
Tag: custom/portal/url-lists/mode
Description: Specifies how to display URL lists on the home page:
group URL lists by application (group) or
show individual URL lists (nogroup).
URL lists fill out cells of the configured columns, which are not taken
by custom panes.
Use the attribute value "nodisplay" to not show URL lists on the home page.
 
Value: group|nogroup|nodisplay
Default value: group
*********************************************************
 
Tag: custom/portal/pane (multiple)
Description: Contains settings of the custom pane on the home page
 
Tag: custom/portal/pane/mode
Description: The mode of the pane
Value: enable|disable
Default value: disable
 
Tag: custom/portal/pane/title
Description: The title of the pane
Value: arbitrary string
Default value: empty string
 
Tag: custom/portal/pane/notitle
Description: Hides pane's title bar
Value: yes|no
Default value: no
 
Tag: custom/portal/pane/type
Description: The type of the pane.Supported types:
TEXT - inline arbitrary text, may contain HTML tags;
HTML - HTML content specified by URL shown in the individual iframe;
IMAGE - image specified by URL
RSS - RSS feed specified by URL
Value: TEXT|HTML|IMAGE|RSS
Default value: TEXT
 
Tag: custom/portal/pane/url
Description: The URL for panes with type HTML,IMAGE or RSS
Value: URL string
Default value: empty string
 
Tag: custom/portal/pane/text
Description: The text value for panes with type TEXT
Value: arbitrary string
Default value:empty string
 
Tag: custom/portal/pane/column
Description: The column where the pane located.
Value: arbitrary number
Default value: 1
 
Tag: custom/portal/pane/row
Description: The row where the pane is located
Value: arbitrary number
Default value: 1
 
Tag: custom/portal/pane/height
Description: The height of the pane
Value: number of pixels
Default value: default value set by browser
 
 
*********************************************************
 
Tag: custom/portal/browse-network-title
Description: The title of the browse network link
Value: arbitrary string
Default value: Browse Entire Network
 
 
Tag: custom/portal/access-network-title
Description: The title of the link to start a network access session
Value: arbitrary string
Default value: Start AnyConnect
 
-->
- <custom>
- <localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>
</localization>
- <auth-page>
- <window>
- <title-text l10n="yes">
- <![CDATA[
WebVPN Service
]]>
</title-text>
</window>
- <language-selector>
<mode>disable</mode>
<title l10n="yes">Language:</title>
- <language>
<code>en</code>
<text>English</text>
</language>
- <language>
<code>zh</code>
<text>??(Chinese)</text>
</language>
- <language>
<code>ja</code>
<text>??(Japanese)</text>
</language>
- <language>
<code>ru</code>
<text>???????(Russian)</text>
</language>
- <language>
<code>ua</code>
<text>??????????(Ukrainian)</text>
</language>
</language-selector>
- <logon-form>
- <title-text l10n="yes">
- <![CDATA[
Login
]]>
</title-text>
- <title-background-color>
- <![CDATA[
#666666
]]>
</title-background-color>
- <title-font-color>
- <![CDATA[
#ffffff
]]>
</title-font-color>
- <message-text l10n="yes">
- <![CDATA[
Please enter your username and password.
]]>
</message-text>
- <username-prompt-text l10n="yes">
- <![CDATA[
USERNAME:
]]>
</username-prompt-text>
- <password-prompt-text l10n="yes">
- <![CDATA[
PASSWORD:
]]>
password-prompt-text
<internal-password-prompt-text l10n="yes" />
<internal-password-first>no</internal-password-first>
- <group-prompt-text l10n="yes">
- <![CDATA[
GROUP:
]]>
</group-prompt-text>
- <submit-button-text l10n="yes">
- <![CDATA[
Login
]]>
</submit-button-text>
- <title-font-color>
- <![CDATA[
#ffffff
]]>
</title-font-color>
- <title-background-color>
- <![CDATA[
#666666
]]>
</title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
</logon-form>
- <logout-form>
- <title-text l10n="yes">
- <![CDATA[
Logout
]]>
</title-text>
- <message-text l10n="yes">
- <![CDATA[
Goodbye.
]]>
</message-text>
</logout-form>
- <title-panel>
<mode>enable</mode>
- <text l10n="yes">
- <![CDATA[
WebVPN Service
]]>
</text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style />
- <background-color>
- <![CDATA[
#ffffff
]]>
</background-color>
- <font-size>
- <![CDATA[
larger
]]>
</font-size>
- <font-color>
- <![CDATA[
#800000
]]>
</font-color>
- <font-weight>
- <![CDATA[
bold
]]>
</font-weight>
</title-panel>
- <info-panel>
<mode>disable</mode>
<image-url l10n="yes">/+CSCOU+/clear.gif</image-url>
<image-position>above</image-position>
<text l10n="yes" />
</info-panel>
- <copyright-panel>
<mode>disable</mode>
<text l10n="yes" />
</copyright-panel>
</auth-page>
- <portal>
- <title-panel>
<mode>enable</mode>
- <text l10n="yes">
- <![CDATA[
WebVPN Service
]]>
</text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style />
- <background-color>
- <![CDATA[
#ffffff
]]>
</background-color>
- <font-size>
- <![CDATA[
larger
]]>
</font-size>
- <font-color>
- <![CDATA[
#800000
]]>
</font-color>
- <font-weight>
- <![CDATA[
bold
]]>
</font-weight>
</title-panel>
<browse-network-title l10n="yes">Browse Entire Network</browse-network-title>
<access-network-title l10n="yes">Start AnyConnect</access-network-title>
- <application>
<mode>enable</mode>
<id>home</id>
<tab-title l10n="yes">Home</tab-title>
<order>1</order>
</application>
- <application>
<mode>enable</mode>
<id>web-access</id>
- <tab-title l10n="yes">
- <![CDATA[
Web Applications
]]>
</tab-title>
- <url-list-title l10n="yes">
- <![CDATA[
Web Bookmarks
]]>
</url-list-title>
<order>2</order>
</application>
- <application>
<mode>enable</mode>
<id>file-access</id>
- <tab-title l10n="yes">
- <![CDATA[
Browse Networks
]]>
</tab-title>
- <url-list-title l10n="yes">
- <![CDATA[
File Folder Bookmarks
]]>
</url-list-title>
<order>3</order>
</application>
- <application>
<mode>enable</mode>
<id>app-access</id>
- <tab-title l10n="yes">
- <![CDATA[
Application Access
]]>
</tab-title>
<order>4</order>
</application>
- <application>
<mode>enable</mode>
<id>net-access</id>
<tab-title l10n="yes">AnyConnect</tab-title>
<order>4</order>
</application>
- <application>
<mode>enable</mode>
<id>help</id>
<tab-title l10n="yes">Help</tab-title>
<order>1000000</order>
</application>
- <toolbar>
<mode>enable</mode>
<logout-prompt-text l10n="yes">Logout</logout-prompt-text>
<prompt-box-title l10n="yes">Address</prompt-box-title>
<browse-button-text l10n="yes">Browse</browse-button-text>
</toolbar>
- <column>
<width>100%</width>
<order>1</order>
</column>
- <pane>
<type>TEXT</type>
<mode>disable</mode>
<title />
<text />
<notitle />
<column />
<row />
<height />
</pane>
- <pane>
<type>IMAGE</type>
<mode>disable</mode>
<title />
<url l10n="yes" />
<notitle />
<column />
<row />
<height />
</pane>
- <pane>
<type>HTML</type>
<mode>disable</mode>
<title />
<url l10n="yes" />
<notitle />
<column />
<row />
<height />
</pane>
- <pane>
<type>RSS</type>
<mode>disable</mode>
<title />
<url l10n="yes" />
<notitle />
<column />
<row />
<height />
</pane>
- <url-lists>
<mode>group</mode>
</url-lists>
</portal>
</custom>

ヘルプのカスタマイゼーション

ASAは、クライアントレス セッションの間、アプリケーション ペインにヘルプ コンテンツを表示します。それぞれのクライアントレス アプリケーション ペインには、事前設定されたファイル名を使用する独自のヘルプ ファイルのコンテンツが表示されます。たとえば、[Application Access] パネルに表示されるヘルプ コンテンツは、app-access-hlp.inc というファイルの内容です。 表 71-9 に、クライアントレス アプリケーション パネルと、ヘルプのコンテンツの事前設定されたファイル名を示します。

 

表 71-9 クライアントレス アプリケーション

アプリケーション タイプ
パネル
ファイル名

標準

Application Access

app-access-hlp.inc

標準

Browse Networks

file-access-hlp.inc

標準

AnyConnect Client

net-access-hlp.inc

標準

Web Access

web-access-hlp.inc

プラグイン

MetaFrame Access

ica-hlp.inc

プラグイン

Terminal Servers

rdp-hlp.inc

プラグイン

Telnet/SSH Servers4

ssh,telnet-hlp.inc

プラグイン

VNC Connections

vnc-hlp.inc

4.このプラグインは sshv1 と sshv2 の両方を実行できます。

シスコが提供するヘルプ ファイルをカスタマイズするか、または別の言語でヘルプ ファイルを作成できます。次に [Import] ボタンを使用して、ASAのフラッシュ メモリにそれらのファイルをコピーし、その後のクライアントレス セッション中に表示します。また、以前にインポートしたヘルプ コンテンツ ファイルをエクスポートし、カスタマイズして、フラッシュ メモリに再インポートすることもできます。

次の各項では、クライアントレス セッションに表示されるヘルプ コンテンツのカスタマイズ方法または作成方法を説明します。

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供していない言語用のヘルプ ファイルの作成

手順の詳細


ステップ 1 [Import] をクリックして、[Import Application Help Content] ダイアログを起動します。このダイアログでは、クライアントレス セッション中に表示する新しいヘルプ コンテンツをフラッシュ メモリにインポートできます。

ステップ 2 (任意)[Export] をクリックして、テーブルから選択し、以前にインポートしたヘルプ コンテンツを取得します。

ステップ 3 (任意)[Delete] をクリックして、テーブルから選択し、以前にインポートしたヘルプ コンテンツを削除します。

ステップ 4 ブラウザに表示される言語の省略形が表示されます。このフィールドは、ファイル変換には 使用されません 。ファイル内で使用される言語を示します。テーブル内の略語に関連付ける言語名を特定するには、ブラウザで表示される言語のリストを表示します。たとえば、次の手順のいずれかを使用すると、ダイアログ ウィンドウに言語と関連の言語コードが表示されます。

Internet Explorer を起動して、[Tools] > [Internet Options] > [Languages] > [Add] を選択します。

Mozilla Firefox を起動して、[Tools] > [Options] > [Advanced] > [General] を選択し、[Languages] の隣にある [Choose] をクリックして、[Select a language to add] をクリックします。

ヘルプ コンテンツ ファイルがインポートされたときのファイル名が表示されます。


 

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供するヘルプ ファイルをカスタマイズするには、まずフラッシュ メモリ カードからファイルのコピーを取得する必要があります。コピーを取得し、次の手順を実行してカスタマイズします。


ステップ 1 ブラウザを使用して、ASAとのクライアントレス セッションを確立します。

ステップ 2 表 71-10 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」欄にある文字列を ASA のアドレスに追加し、次の説明に従って language の部分を置き換え、次に Enter を押してヘルプ ファイルを表示します。

 

表 71-10 クライアントレス アプリケーション用にシスコが提供するヘルプ ファイル

アプリケーション タイプ
パネル
セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL

標準

Application Access

/+CSCOE+/help/ language /app-access-hlp.inc

標準

Browse Networks

/+CSCOE+/help/ language /file-access-hlp.inc

標準

AnyConnect Client

/+CSCOE+/help/ language /net-access-hlp.inc

標準

Web Access

/+CSCOE+/help/ language /web-access-hlp.inc

プラグイン

Terminal Servers

/+CSCOE+/help/ language /rdp-hlp.inc

プラグイン

Telnet/SSH Servers

/+CSCOE+/help/ language /ssh,telnet-hlp.inc

プラグイン

VNC Connections

/+CSCOE+/help/ language /vnc-hlp.inc

language は、ブラウザで表示される言語の略語です。略語はファイル変換では 使用されません 。これは、ファイルで使用される言語を示します。シスコが提供する英語版のヘルプ ファイルを表示する場合は、略語として en と入力します。

次のアドレス例は、Terminal Servers のヘルプの英語版を表示します。

https:// address_of_security_appliance /+CSCOE+/help/en/rdp-hlp.inc

ステップ 3 [File] > [Save (Page) As] を選択します。


) [File name] ボックスの内容は変更しないでください。


ステップ 4 [Save as type] オプションを [Web Page, HTML only] に変更して、[Save] をクリックします。

ステップ 5 任意の HTML エディタを使用してファイルをカスタマイズします。


) ほとんどの HTML タグを使用できますが、文書およびその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグや、コンテンツの構造を決める <p>、<ol>、<ul>、および <li> タグは使用できます。


ステップ 6 オリジナルのファイル名と拡張子を指定して、HTML only としてファイルを保存します。

ステップ 7 ファイル名が 表 71-11 にあるファイル名のいずれかと一致すること、および余分なファイル拡張子がないことを確認します。


 

ASDM に戻り、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択して、修正済みのヘルプ ファイルをフラッシュ メモリにインポートします。

シスコが提供していない言語用のヘルプ ファイルの作成

標準 HTML を使用して他の言語のヘルプ ファイルを作成します。サポートするそれぞれの言語に別のフォルダを作成することをお勧めします。


) ほとんどの HTML タグを使用できますが、文書およびその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグや、コンテンツの構造を決める <p>、<ol>、<ul>、および <li> タグは使用できます。


HTML only としてファイルを保存します。[Filename] カラムにあるファイル名を使用してください。

ASDM に戻り、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択して、新しいヘルプ ファイルをフラッシュ メモリにインポートします。

アプリケーションのヘルプ コンテンツのインポートおよびエクスポート

[Import Application Help Content] ダイアログボックスを使用して、クライアントレス セッション中にポータル ページに表示するために、ヘルプ ファイルをフラッシュ メモリにインポートします。[Export Application Help Content] ダイアログボックスを使用して、以前にインポートしたヘルプ ファイルをその後の編集のために取得します。

手順の詳細


ステップ 1 [Language] フィールドによってブラウザに表示される言語が指定されますが、このフィールドはファイル変換には使用されません。(このフィールドは、[Export Application Help Content] ダイアログボックスでは非アクティブです)。[Language] フィールドの横にあるドット(複数)をクリックし、[Browse Language Code] ダイアログボックスで、表示される言語を含む行をダブルクリックします。[Language Code] フィールドの略語がその行の略語と一致することを確認して、[OK] をクリックします。

ステップ 2 ヘルプ コンテンツを提供する言語が [Browse Language Code] ダイアログボックスにない場合は、次の手順を実行します。

1. ブラウザに表示される言語および略語のリストを表示します。

2. 言語の略語を [Language Code] フィールドに入力し、[OK] をクリックします。または

ドット(複数)の左にある [Language] テキスト ボックスに入力することもできます。

次のいずれかの操作を実行すると、ダイアログボックスに言語および関連付けられた言語コードが表示されます。

Internet Explorer を起動して、[Tools] > [Internet Options] > [Languages] > [Add] を選択します。

Mozilla Firefox を起動して、[Tools] > [Options] > [Advanced] > [General] を選択し、[Languages] の隣にある [Choose] をクリックして、[Select a language to add] をクリックします。

ステップ 3 インポートしている場合は、新しいヘルプ コンテンツ ファイルを [File Name] ドロップダウン リストから選択します。エクスポートする場合は、このフィールドは使用できません。

ステップ 4 ソース ファイル(インポートの場合)または転送先ファイル(エクスポートの場合)のパラメータを設定します。

[Local computer]:ソースまたは転送先ファイルがローカル コンピュータにある場合に指定します。

[Path]:ソースまたは転送先ファイルのパスを指定します。

[Browse Local Files]:ソースまたは転送先ファイルのローカル コンピュータを参照します。

[Flash file system]:ソースまたは転送先ファイルがASAのフラッシュ メモリにある場合に指定します。

[Path]:フラッシュ メモリ内のソースまたは転送先ファイルのパスを指定します。

[Browse Flash]:ソースまたは転送先ファイルのあるフラッシュ メモリを参照します。

[Remote server]:ソースまたは転送先ファイルがリモート サーバにある場合に指定します。

[Path]:ftp、tftp、または http(インポートの場合のみ)の中からファイル転送(コピー)方式を選択し、パスを指定します。


 

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供するヘルプ ファイルをカスタマイズするには、まずフラッシュ メモリ カードからファイルのコピーを取得する必要があります。コピーを取得し、次の手順を実行してカスタマイズします。


ステップ 1 ブラウザを使用して、ASAとのクライアントレス セッションを確立します。

ステップ 2 表 71-11 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」欄にある文字列を ASA のアドレスに追加し、次の説明に従って language の部分を置き換え、次に Enter を押してヘルプ ファイルを表示します。

 

表 71-11 クライアントレス アプリケーション用にシスコが提供するヘルプ ファイル

アプリケーション タイプ
パネル
セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL

標準

Application Access

/+CSCOE+/help/ language /app-access-hlp.inc

標準

Browse Networks

/+CSCOE+/help/ language /file-access-hlp.inc

標準

AnyConnect Client

/+CSCOE+/help/ language /net-access-hlp.inc

標準

Web Access

/+CSCOE+/help/ language /web-access-hlp.inc

プラグイン

Terminal Servers

/+CSCOE+/help/ language /rdp-hlp.inc

プラグイン

Telnet/SSH Servers

/+CSCOE+/help/ language /ssh,telnet-hlp.inc

プラグイン

VNC Connections

/+CSCOE+/help/ language /vnc-hlp.inc

language は、ブラウザで表示される言語の略語です。略語はファイル変換では 使用されません 。これは、ファイルで使用される言語を示します。シスコが提供する英語版のヘルプ ファイルを表示する場合は、略語として en と入力します。

次のアドレス例は、Terminal Servers のヘルプの英語版を表示します。

https:// address_of_security_appliance /+CSCOE+/help/en/rdp-hlp.inc

ステップ 3 [File] > [Save (Page) As] を選択します。


) [File name] ボックスの内容は変更しないでください。


ステップ 4 [Save as type] オプションを [Web Page, HTML only] に変更して、[Save] をクリックします。

ステップ 5 任意の HTML エディタを使用してファイルをカスタマイズします。


) ほとんどの HTML タグを使用できますが、文書およびその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグや、コンテンツの構造を決める <p>、<ol>、<ul>、および <li> タグは使用できます。


ステップ 6 オリジナルのファイル名と拡張子を指定して、HTML only としてファイルを保存します。

ステップ 7 ファイル名が 表 71-11 にあるファイル名のいずれかと一致すること、および余分なファイル拡張子がないことを確認します。


 

ASDM に戻り、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択して、修正済みのヘルプ ファイルをフラッシュ メモリにインポートします。

シスコが提供していない言語用のヘルプ ファイルの作成

標準 HTML を使用して他の言語のヘルプ ファイルを作成します。サポートするそれぞれの言語に別のフォルダを作成することをお勧めします。


) ほとんどの HTML タグを使用できますが、文書およびその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグや、コンテンツの構造を決める <p>、<ol>、<ul>、および <li> タグは使用できます。


HTML only としてファイルを保存します。 表 71-13 のファイル名列にあるファイル名を使用してください。

ASDM に戻り、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択して、新しいヘルプ ファイルをフラッシュ メモリにインポートします。

クライアント/サーバ プラグインへのブラウザ アクセスの設定

[Client-Server Plug-in] テーブルには、ASA によってクライアントレス SSL VPN セッションのブラウザで使用できるようになるプラグインが表示されます。

プラグインを追加、変更、または削除するには、次のいずれかを実行します。

プラグインを追加するには、[Import] をクリックします。[Import Plug-ins] ダイアログボックスが開きます。

プラグインを削除するには、そのプラグインを選択して [Delete] をクリックします。次の項では、クライアントレス SSL VPN のブラウザ アクセス用のブラウザ プラグインの統合について説明します。

ブラウザ プラグインのインストールについて

プラグインのためのセキュリティ アプライアンスの準備

シスコが再配布しているプラグインのインストール

ブラウザ プラグインのインストールについて

ブラウザ プラグインは、Web ブラウザによって呼び出される独立したプログラムで、ブラウザ ウィンドウ内でクライアントをサーバに接続するなどの専用の機能を実行します。ASAを使用すると、クライアントレス SSL VPN セッション中に、リモート ブラウザにダウンロードするプラグインをインポートできます。通常、シスコでは再配布するプラグインのテストを行っており、再配布できないプラグインの接続性をテストする場合もあります。ただし、現時点では、ストリーミング メディアをサポートするプラグインのインポートは推奨しません。

プラグインをフラッシュ デバイスにインストールすると、ASAは次の処理を実行します。

(シスコが配布したプラグインのみ) URL で指定した jar ファイルを解凍する。

ASA ファイル システムの csco-config/97/plugin ディレクトリにファイルを書き込む。

ASDM の URL 属性の横にあるドロップダウン メニューに情報を入力します。

将来のすべてのクライアントレス SSL VPN セッションに対するプラグインのイネーブル化、およびメイン メニュー オプションの追加とポータル ページの [Address] フィールドの隣にあるドロップダウン メニューへのオプションの追加

表 71-12 に、次の項で説明するプラグインを追加したときの、ポータル ページのメイン メニューと [Address] フィールドの変更点を示します。

 

表 71-12 クライアントレス SSL VPN ポータル ページへのプラグインの影響

プラグイン
ポータル ページに追加されるメイン メニュー オプション
ポータル ページに追加される [Address] フィールド オプション

ica

Citrix Client

citrix://

rdp

Terminal Servers

rdp://

rdp2

Terminal Servers Vista

rdp2://

ssh,telnet

SSH

ssh://

Telnet

telnet://

vnc

VNC Client

vnc://


) セカンダリ ASA は、プライマリ ASA からプラグインを取得します。


クライアントレス SSL VPN セッションのユーザがポータル ページで関連するメニュー オプションをクリックすると、ポータル ページにインターフェイスへのウィンドウが開き、ヘルプ ペインが表示されます。ドロップダウン メニューに表示されたプロトコルをユーザが選択して [Address] フィールドに URL を入力すると、接続を確立できます。


) Java プラグインによっては、宛先サービスへのセッションが設定されていない場合でも、接続済みまたはオンラインというステータスがレポートされることがあります。open-source プラグインは、ASAではなくステータスをレポートします。


1 つ目のプラグインをインストールする前に、次の項の指示に従う必要があります。

前提条件

セキュリティ アプライアンスでクライアントレス セッションがプロキシ サーバを使用するように設定している場合、プラグインは機能しません。


) Remote Desktop Protocol プラグインでは、セッション ブローカを使用したロード バランシングはサポートされていません。プロトコルによるセッション ブローカからのリダイレクションの処理方法のため、接続に失敗します。セッション ブローカが使用されていない場合、プラグインは動作します。


プラグインは、シングル サインオン(SSO)をサポートします。プラグインは、クライアントレス SSL VPN セッションを開くときに入力したクレデンシャルと 同じ クレデンシャルを使用します。プラグインではマクロ置換がサポートされていないため、内部ドメイン パスワードなどのさまざまなフィールドや、RADIUS または LDAP サーバの属性に対して SSO を実行することはできません。

プラグインに対して SSO サポートを設定するには、プラグインをインストールし、サーバへのリンクを表示するためのブックマーク エントリを追加します。また、ブックマークを追加するときに、SSO サポートを指定します。

リモートで使用するために必要な最低限のアクセス権は、ゲスト特権モードに属しています。

要件

シスコでは、GNU General Public License(GPL; 一般公的使用許諾)に従い、変更を加えることなくプラグインを再配布しています。GPL により、これらのプラグインを直接改良できません。

プラグインへのリモートアクセスを提供するには、ASAでクライアントレス SSL VPN をイネーブルにする必要があります。

ステートフル フェールオーバーが発生すると、プラグインを使用して確立されたセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

プラグインをブラウザでイネーブルにするには、ActiveX または Sun JRE 5 Update 1.4 以降(JRE 6 以降を推奨)が必要です。64 ビット ブラウザでは、RDP プラグインの ActiveX バージョンは使用できません。

RDP プラグイン ActiveX デバッグのクイック リファレンス

RDP プラグインをセットアップして使用するには、新しい環境変数を追加する必要があります。新しい環境変数を追加するには、次の手順を行います。


ステップ 1 [My Computer] を右クリックし、[System Properties] を開いて [Advanced] タブを選択します。

ステップ 2 [Advanced] タブで、[Environment Variables] ボタンを選択します。

ステップ 3 [New User Variable] ダイアログボックスで、RF_DEBUG 変数を入力します。

ステップ 4 [User variables] セクションの新しい環境変数を確認します。

ステップ 5 バージョン 8.3 の前に WebVPN のバージョンのクライアント コンピュータを使用していた場合、古い Cisco Portforwarder Control を削除してください。C:/WINDOWS/Downloaded Program Files ディレクトリを開いて、Portforwarder Control を右クリックして、[Remove] を選択します。

ステップ 6 Internet Explorer ブラウザのすべてのキャッシュをクリアします。

ステップ 7 WebVPN セッションを起動して、RDP ActiveX プラグインを使用して RDP セッションを確立します。

これで Windows アプリケーションのイベント ビューアでイベントを確認できるようになります。


 

プラグインのためのセキュリティ アプライアンスの準備

プラグインをインストールする前に、次の手順を実行してASAを準備します。


ステップ 1 ASA インターフェイスでクライアントレス SSL VPN(「webvpn」)がイネーブルになっていることを確認します。

ステップ 2 リモート ユーザが Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用して接続するASA インターフェイスに SSL 証明書をインストールします。


) SSL 証明書の 一般名(CN)として IP アドレスを指定しないでください。リモート ユーザは、ASAと通信するために FQDN の使用を試行します。リモート PC は、DNS または System32\drivers\etc\hosts ファイル内のエントリを使用して、FQDN を解決できる必要があります。



 

ヘルプのカスタマイズ

ASAは、クライアントレス SSL VPN セッション中に、アプリケーション パネルにヘルプ コンテンツを表示します。シスコが提供するヘルプ ファイルをカスタマイズするか、または別の言語でヘルプ ファイルを作成できます。次に、後続のクライアントレス セッション中に表示するために、ファイルをフラッシュ メモリにインポートします。事前にインポートしたヘルプ コンテンツ ファイルを取得して、変更し、フラッシュ メモリに再インポートすることもできます。

各クライアントレス アプリケーションのパネルには、事前に設定されたファイル名を使用して独自のヘルプ ファイル コンテンツが表示されます。今後、各ファイルは、ASAのフラッシュ メモリ内の /+CSCOE+/help/ language / という URL に置かれます。 表 71-13 に、クライアントレス SSL VPN セッション用に保守できる各ヘルプ ファイルの詳細を示します。

 

表 71-13 クライアントレス SSL VPN アプリケーションのヘルプ ファイル

アプリケーション タイプ
パネル
セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL
シスコが提供するヘルプ ファイルに英語版があるか

標準

Application Access

/+CSCOE+/help/ language /app-access-hlp.inc

Yes

標準

Browse Networks

/+CSCOE+/help/ language /file-access-hlp.inc

Yes

標準

AnyConnect Client

/+CSCOE+/help/ language /net-access-hlp.inc

Yes

標準

Web Access

/+CSCOE+/help/ language /web-access-hlp.inc

Yes

プラグイン

MetaFrame Access

/+CSCOE+/help/ language /ica-hlp.inc

No

プラグイン

Terminal Servers

/+CSCOE+/help/ language /rdp-hlp.inc

Yes

プラグイン

Telnet/SSH Servers

/+CSCOE+/help/ language /ssh,telnet-hlp.inc

Yes

プラグイン

VNC Connections

/+CSCOE+/help/ language /vnc-hlp.inc

Yes

language は、ブラウザに表示される言語の省略形です。このフィールドは、ファイル変換には 使用されません 。ファイル内で使用される言語を示します。特定の言語コードを指定するには、ブラウザに表示される言語のリストからその言語の省略形をコピーします。たとえば、次の手順のいずれかを使用すると、ダイアログ ウィンドウに言語と関連の言語コードが表示されます。

Internet Explorer を起動して、[Tools] > [Internet Options] > [Languages] > [Add] を選択します。

Mozilla Firefox を起動して、[Tools] > [Options] > [Advanced] > [General] を選択し、[Languages] の隣にある [Choose] をクリックして、[Select a language to add] をクリックします。

次の項では、クライアントレス セッションで表示されるヘルプ コンテンツのカスタマイズ方法について説明します。

「シスコが提供するヘルプ ファイルのカスタマイズ」

「シスコが提供していない言語用のヘルプ ファイルの作成」

「ユーザ名とパスワードの要求」

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供するヘルプ ファイルをカスタマイズするには、まずフラッシュ メモリ カードからファイルのコピーを取得する必要があります。次の手順で、コピーを取得してカスタマイズします。

手順の詳細


ステップ 1 ブラウザを使用して、ASAとのクライアントレス SSL VPN セッションを確立します。

ステップ 2 表 71-13 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の中の文字列を、ASA のアドレスに追加し、Enter を押してヘルプ ファイルを表示します。


) 英語版のヘルプ ファイルを取得するには、language のところに en を入力します。


次のアドレス例は、Terminal Servers のヘルプの英語版を表示します。

https:// address_of_security_appliance /+CSCOE+/help/en/rdp-hlp.inc

ステップ 3 [File] > [Save (Page) As] を選択します。


) [File name] ボックスの内容は変更しないでください。


ステップ 4 [Save as type] オプションを [Web Page, HTML only] に変更して、[Save] をクリックします。

ステップ 5 任意の HTML エディタを使用してファイルを変更します。


) ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグ、およびコンテンツを構築するための <p>、<ol>、<ul>、および <li> などのタグは使用できます。


ステップ 6 オリジナルのファイル名と拡張子を指定して、HTML only としてファイルを保存します。

ステップ 7 ファイル名が 表 71-13 にあるファイル名のいずれかと一致すること、および余分なファイル拡張子がないことを確認します。


 

クライアントレス SSL VPN セッションで表示するために、変更したファイルをインポートする場合は、 ユーザ名とパスワードの要求を参照してください。

シスコが提供していない言語用のヘルプ ファイルの作成

HTML を使用して、他の言語でヘルプ ファイルを作成します。

サポートするそれぞれの言語に別のフォルダを作成することをお勧めします。

HTML only としてファイルを保存します。 表 71-13 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の最後のスラッシュの後にあるファイル名を使用します。

クライアントレス SSL VPN セッションで表示するためにファイルをインポートする場合は、次の項を参照してください。

制約事項

ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグは 使用しないでください (たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグ、およびコンテンツを構築するための <p>、<ol>、<ul>、および <li> などのタグは使用できます。

ユーザ名とパスワードの要求

ネットワークによっては、リモート セッション中にユーザが、コンピュータ、インターネット サービス プロバイダー、クライアントレス SSL VPN、メール サーバ、ファイル サーバ、企業アプリケーションのうち、それらの一部またはすべてにログインする必要が生じることがあります。ユーザはさまざまなコンテキストで認証を行うために、固有のユーザ名、パスワード、PIN などさまざまな情報が要求される場合があります。

表 71-14 に、クライアントレス SSL VPN ユーザが知っておく必要があるユーザ名とパスワードのタイプを示します。

 

表 71-14 クライアントレス SSL VPN セッションのユーザに提供するユーザ名とパスワード

ログイン ユーザ名/
パスワード タイプ
目的
入力するタイミング

コンピュータ

コンピュータへのアクセス

コンピュータの起動

インターネット サービス プロバイダー

インターネットへのアクセス

インターネット サービス プロバイダーへの接続

クライアントレス SSL VPN

リモート ネットワークへのアクセス

クライアントレス SSL VPN の起動

ファイル サーバ

リモート ファイル サーバへのアクセス

クライアントレス SSL VPN ファイル ブラウジング機能を使用して、リモート ファイル サーバにアクセスするとき

企業アプリケーションへのログイン

ファイアウォールで保護された内部サーバへのアクセス

クライアントレス SSL VPN Web ブラウジング機能を使用して、保護されている内部 Web サイトにアクセスするとき

メール サーバ

クライアントレス SSL VPN 経由のリモート メール サーバへのアクセス

電子メール メッセージの送受信

セキュリティのヒントの通知

ユーザはいつでもツールバーの [Logout] アイコンをクリックして、クライアントレス SSL VPN セッションを閉じることができます (ブラウザ ウィンドウを閉じてもセッションは閉じません)。

クライアントレス SSL VPN は、企業ネットワーク上のリモート PC やワークステーションとASAとの間のデータ転送のセキュリティを保証するものです。クライアントレス SSL VPN を使用してもすべてのサイトとの通信がセキュアであるとは限らないことを、ユーザに通知してください。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるもの)にアクセスする場合、企業のASAから目的の Web サーバまでの通信は暗号化されていないため、プライベートではありません。

クライアントレス SSL VPN セキュリティ対策の順守 に、セッション内で実行する手順に応じて、ユーザと通信するための追加のヒントを示します。

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

この項では、クライアントレス SSL VPN を使用するようにリモート システムを設定する方法について説明します。次の項目を取り上げます。

「クライアントレス SSL VPN の起動」

「クライアントレス SSL VPN フローティング ツールバーの使用」

「Web のブラウズ」

「ネットワークのブラウズ(ファイル管理)」

「ポート転送の使用」

「ポート転送を介した電子メールの使用」

「Web アクセスを介した電子メールの使用」

「電子メール プロキシを介した電子メールの使用」

「スマート トンネルの使用」

ユーザ アカウントを別々に設定でき、各ユーザは異なるクライアントレス SSL VPN の機能を使用できます。

クライアントレス SSL VPN の起動

次のようなサポートされている接続を使用して、インターネットに接続できます。

家庭の DSL、ケーブル、ダイヤルアップ

公共のキオスク

ホテルの回線

空港の無線ノード

インターネット カフェ


) クライアントレス SSL VPN でサポートされている Web ブラウザのリストについては、『Cisco ASA 5500 Series VPN Compatibility Reference』を参照してください。


前提条件

ポート転送を介してアプリケーションにアクセスするために、ブラウザでクッキーをイネーブルにする必要があります。

クライアントレス SSL VPN の URL が必要です。URL は、https: //address の形式の https アドレスである必要があります。 address は、SSL VPN がイネーブルである ASA(またはロードバランシング クラスタ)のインターフェイスの IP アドレスまたは DNS ホスト名です。たとえば、https://cisco.example.com などです。

クライアントレス SSL VPN のユーザ名とパスワードが必要です。

制約事項

クライアントレス SSL VPN ではローカル印刷がサポートされていますが、VPN 経由による企業ネットワーク上のプリンタへの印刷はサポートされていません。

クライアントレス SSL VPN フローティング ツールバーの使用

フローティング ツールバーを使用すると、クライアントレス SSL VPN を簡単に使用できます。ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

フローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。[Close] ボタンをクリックすると、ASAはクライアントレス SSL VPN セッションの終了を確認するプロンプトを表示します。


ヒント テキストをテキスト フィールドに貼り付けるには、Ctrl を押した状態で V を押します。(クライアントレス SSL VPN セッション中は、表示されるツールバー上での右クリックはディセーブルになっています)。


制約事項

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

Web のブラウズ

クライアントレス SSL VPN を使用しても、すべてのサイトとの通信がセキュアになるわけではありません。 セキュリティのヒントの通知を参照してください。

クライアントレス SSL VPN での Web ブラウジングのルックアンドフィールは、ユーザが見慣れたものではない場合があります。次に、例を示します。

クライアントレス SSL VPN のタイトル バーが各 Web ページの上部に表示される。

Web サイトへのアクセス方法:

クライアントレス SSL VPN [Home] ページ上の [Enter Web Address] フィールドに URL を入力する

クライアントレス SSL VPN [Home] ページ上にある設定済みの Web サイト リンクをクリックする

上記 2 つのどちらかの方法でアクセスした Web ページ上のリンクをクリックする

また、特定のアカウントの設定によっては、次のようになる場合もあります。

一部の Web サイトがブロックされている

使用可能な Web サイトが、クライアントレス SSL VPN [Home] ページ上にリンクとして表示されるものに限られる

前提条件

保護されている Web サイトのユーザ名とパスワードが必要です。

制約事項

また、特定のアカウントの設定によっては、次のようになる場合もあります。

一部の Web サイトがブロックされている

使用可能な Web サイトが、クライアントレス SSL VPN [Home] ページ上にリンクとして表示されるものに限られる

ネットワークのブラウズ(ファイル管理)

ユーザは、組織ネットワークを介してファイルを見つける方法に慣れていない場合があります。


) コピー処理の進行中は、Copy File to Server コマンドを中断したり、別の画面に移動したりしないでください。コピー処理を中断すると、不完全なファイルがサーバに保存される可能性があります。


前提条件

共有リモート アクセス用にファイル アクセス権を設定する必要があります。

保護されているファイル サーバのサーバ名とパスワードが必要です。

フォルダとファイルが存在するドメイン、ワークグループ、およびサーバの名前が必要です。

制約事項

クライアントレス SSL VPN を介してアクセスできるのは、共有フォルダと共有ファイルに限られます。

ポート転送の使用


) ユーザは、[Close] アイコンをクリックしてアプリケーションを終了したら、必ず [Application Access] ウィンドウを閉じる必要があります。このウィンドウを正しく閉じないと、Application Access またはアプリケーション自体がディセーブルになる可能性があります。詳細については、 Application Access 使用時の hosts ファイル エラーからの回復を参照してください。


前提条件

Macintosh OS X の場合、この機能をサポートしているのは Safari ブラウザだけです。

クライアント アプリケーションがインストールされている必要があります。

ブラウザでクッキーをイネーブルにする必要があります。

DNS 名を使用してサーバを指定する場合、ホスト ファイルの変更に必要になるため、PC に対する管理者アクセス権が必要です。

Sun Microsystems Java Runtime Environment(JRE)バージョン 1.4.x と 1.5.x がインストールされている必要があります。

JRE がインストールされていない場合は、ポップアップ ウィンドウが表示され、ユーザに対して使用可能なサイトが示されます。 まれに、JAVA 例外エラーで、ポート転送アプレットが失敗することがあります。このような状況が発生した場合は、次の手順を実行します。

a. ブラウザのキャッシュをクリアして、ブラウザを閉じます。

b. JAVA アイコンがコンピュータのタスク バーに表示されていないことを確認します。

c. JAVA のインスタンスをすべて閉じます。

d. クライアントレス SSL VPN セッションを確立し、ポート転送 JAVA アプレットを起動します。

ブラウザで Javascript をイネーブルにする必要があります。デフォルトではイネーブルに設定されています。

必要に応じて、クライアント アプリケーションを設定する必要があります。


) Microsoft Outlook クライアントの場合、この設定手順は不要です。Windows 以外のすべてのクライアント アプリケーションでは、設定が必要です。Windows アプリケーションの設定が必要かどうかを確認するには、[Remote Server] フィールドの値をチェックします。[Remote Server] フィールドにサーバ ホスト名が含まれている場合、クライアント アプリケーションの設定は不要です。[Remote Server] フィールドに IP アドレスが含まれている場合、クライアント アプリケーションを設定する必要があります。


制約事項

この機能を使用するには、Sun Microsystems Java™ Runtime Environment をインストールしてローカル クライアントを設定する必要があります。これには、ローカル システムでの管理者の許可、または C:\windows\System32\drivers\etc の完全な制御が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。

手順の詳細

クライアント アプリケーションを設定するには、ローカルにマッピングされたサーバの IP アドレスとポート番号を使用します。この情報を見つけるには、次の手順を実行します。

1. クライアントレス SSL VPN セッションを開始して、[Home] ページの [Application Access] リンクをクリックします。[Application Access] ウィンドウが表示されます。

2. [Name] カラムで、使用するサーバ名を確認し、このサーバに対応するクライアント IP アドレスとポート番号を [Local] カラムで確認します。

3. この IP アドレスとポート番号を使用して、クライアント アプリケーションを設定します。設定手順は、クライアント アプリケーションによって異なります。


) クライアントレス SSL VPN セッション上で実行しているアプリケーションで URL(電子メール メッセージ内のものなど)をクリックしても、サイトがそのセッションで開くわけではありません。サイトをセッション上で開くには、その URL を [Enter Clientless SSL VPN (URL) Address] フィールドに貼り付けます。


ポート転送を介した電子メールの使用

電子メールを使用するには、クライアントレス SSL VPN のホーム ページから Application Access を起動します。これにより、メール クライアントが使用できるようになります。


) IMAP クライアントの使用中にメール サーバとの接続が中断した、または新しく接続を確立できない場合は、IMAP アプリケーションを終了してクライアントレス SSL VPN を再起動します。


前提条件

アプリケーション アクセスおよびその他のメール クライアントの要件を満たしている必要があります。

制約事項

Microsoft Outlook Express バージョン 5.5 および 6.0 はテスト済みです。

クライアントレス SSL VPN は、Lotus Notes および Eudora などの、ポート転送を介したその他の SMTPS、POP3S、または IMAP4S 電子メール プログラムをサポートしますが、動作確認は行っていません。

Web アクセスを介した電子メールの使用

次の電子メール アプリケーションがサポートされています。

Microsoft Outlook Web App to Exchange Server 2010

OWA には、Internet Explorer 7 以降、または Firefox 3.01 以降が必要です。

Microsoft Outlook Web Access to Exchange Server 2007、2003、および 2000

最適な結果を得るために、Internet Explorer 6.x 以降、または Firefox 3.x で OWA を使用してください。

Louts iNotes

前提条件

Web ベースの電子メール製品がインストールされている必要があります。

制約事項

その他の Web ベースの電子メール アプリケーションも動作しますが、動作確認は行っていません。

電子メール プロキシを介した電子メールの使用

次のレガシー電子メール アプリケーションがサポートされています。

Microsoft Outlook 2000 および 2002

Microsoft Outlook Express 5.5 および 6.0

メール アプリケーションの使用方法と例については、 クライアントレス SSL VPN を介した電子メールの使用を参照してください。

前提条件

SSL 対応メール アプリケーションがインストールされている必要があります。

ASA SSL バージョンを TLSv1 Only に設定しないでください。Outlook および Outlook Express では TLS はサポートされません。

メール アプリケーションが正しく設定されている必要があります。

制約事項

その他の SSL 対応クライアントも動作しますが、動作確認は行っていません。

スマート トンネルの使用

ポート フォワーダの場合と異なり、JAVA は自動的にダウンロードされません。

管理権限は必要ありません。

前提条件

スマート トンネルには、Windows では ActiveX または JRE、Mac OS では Java Web Start が必要です。

ブラウザでクッキーをイネーブルにする必要があります。(デフォルトではイネーブルに設定されています)。

Sun Microsystems Java Runtime Environment(JRE)バージョン 1.4.x と 1.5.x をインストールする必要があります。

ブラウザで Javascript をイネーブルにする必要があります。(デフォルトではイネーブルに設定されています)。

制約事項

Mac OS では、フロントサイド プロキシはサポートされていません。

「スマート トンネル アクセスの設定」で指定されているオペレーティング システムおよびブラウザだけがサポートされています。

TCP ソケットベースのアプリケーションだけがサポートされています。

のソフトウェア イメージ パッケージには、標準機能の一部である各ドメイン用の変換テーブル テンプレートが含まれています。ASAプラグインのテンプレートはプラグインともに含まれており、独自の変換ドメインを定義します。

変換ドメインのテンプレートをエクスポートできます。これで、入力する URL にテンプレートの XML ファイルが作成されます。このファイルのメッセージ フィールドは空です。メッセージを編集して、テンプレートをインポートし、フラッシュ メモリに置かれる新しい変換テーブル オブジェクトを作成できます。

既存の変換テーブルをエクスポートすることもできます。作成した XML ファイルに事前に編集したメッセージが表示されます。この XML ファイルを同じ言語名で再インポートすると、新しいバージョンの変換テーブルが作成され、以前のメッセージが上書きされます。

テンプレートにはスタティックのものも、ASAの設定に基づいて変化するものもあります。 クライアントレス ユーザのログインおよびログアウト ページ、ポータル ページ、および URL ブックマーク はカスタマイズが可能なため、ASAは customization および url-list 変換ドメイン テンプレートをダイナミックに生成し、テンプレートは変更内容をこれらの機能エリアに自動的に反映させます。

変換テーブルを作成した後、このテーブルを使用して、カスタマイゼーション オブジェクトを作成し、グループ ポリシーまたはユーザ属性に適用できます。AnyConnect 変換ドメイン以外では、カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを識別し、グループ ポリシーまたはユーザに対してそのカスタマイゼーションを指定するまで、変換テーブルは影響を及ぼすことはなく、ユーザ画面のメッセージは変換されません。AnyConnect ドメインの変換テーブルに対する変更は、ただちに AnyConnect クライアント ユーザに表示されます。


ステップ 1 [Remove Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Advanced] > [Language Localization] を選択します。[Language Localization] ペインが表示されます。[Add] をクリックします。[Add Language Localization] ウィンドウが表示されます。

ステップ 2 ドロップダウン ボックスから言語ローカリゼーション テンプレートを選択します。このボックスのエントリは、変換する機能エリアに対応します。

ステップ 3 テンプレートの言語を指定します。テンプレートはキャッシュメモリ内の変換テーブルになり、指定した名前が付きます。ブラウザの言語オプションと互換性のある短縮形を使用してください。たとえば、中国語のテーブルを作成するときに IE を使用している場合は、IE によって認識される zh という略語を使用します。

ステップ 4 変換テーブルを編集します。msgid フィールドで表される変換対象のメッセージごとに、対応する msgstr フィールドの引用符の間に変換済みテキストを入力します。次の例では、メッセージ Connected の msgstr フィールドにスペイン語テキストを入力しています。

msgid "Connected"
msgstr "Conectado"
 

ステップ 5 [OK] をクリックします。新しいテーブルが変換テーブルのリストに表示されます。


 

図 71-28 言語セレクタ

 

ローカリゼーション エントリの追加/編集

テンプレートに基づいて新しい変換テーブルを追加するか、またはこのペインですでにインポートされた変換テーブルを修正できます。


ステップ 1 修正するテンプレートを選択し、新しい変換テーブルの基礎として使用します。テンプレートは変換ドメインに構成され、特定の機能領域に影響します。次の表に、変換ドメインと影響を受ける機能領域を示します。

 

変換ドメイン
変換される機能エリア

AnyConnect

Cisco AnyConnect VPN クライアントのユーザ インターフェイスに表示されるメッセージ。

CSD

Cisco Secure Desktop(CSD)のメッセージ。

customization

ログイン ページ、ログアウト ページ、ポータル ページのメッセージ、およびユーザによるカスタマイズが可能なすべてのメッセージ。

keepout

VPN アクセスを拒否された場合にリモート ユーザに表示されるメッセージ。

PortForwarder

ポート フォワーディング ユーザに表示されるメッセージ。

url-list

ユーザがポータル ページの URL ブックマークに指定するテキスト。

webvpn

カスタマイズできないすべてのレイヤ 7 メッセージ、AAA メッセージ、およびポータル メッセージ。

plugin-ica

Citrix プラグインのメッセージ。

plugin-rdp

Remote Desktop Protocol プラグインのメッセージ。

plugin-telnet,ssh

Telnet および SSH プラグインのメッセージ。

plugin-vnc

VNC プラグインのメッセージ。

ステップ 2 言語を指定します。ブラウザの言語オプションと互換性のある略語を使用してください。ASAは、この名前で新しい変換テーブルを作成します。

ステップ 3 エディタを使用してメッセージ変換を変更します。メッセージ ID フィールド(msgid)には、デフォルトの変換が含まれています。msgid に続くメッセージ文字列フィールド(msgstr)で変換を指定します。変換を作成するには、msgstr 文字列の引用符の間に変換対象のテキストを入力します。たとえば、「Connected」というメッセージをスペイン語に変換するには、msgstr の引用符の間にスペイン語のテキストを挿入します。

msgid "Connected"
msgstr "Conectado"
 

変更を行った後、[Apply] をクリックして変換テーブルをインポートします。


 

AnyConnect クライアントのカスタマイズ

AnyConnect VPN クライアントをカスタマイズして、リモート ユーザに自社企業のイメージを表示することができます。Windows、Linux、および Mac OS X コンピュータ上で稼働するクライアントがあります。

クライアントをカスタマイズするには、次の 3 つ方法のいずれかを使用します。

企業ロゴおよびアイコンなど個別のクライアント GUI コンポーネントを ASA にインポートし、インストーラでリモート コンピュータに展開することによって、クライアントのブランドを変更する。

独自の GUI または CLI を提供し、AnyConnect API を使用する、独自のプログラムをインポートする(Windows および Linux のみ)。

より広範なブランド変更のために作成したトランスフォームをインポートする(Windows のみ)。インストーラを使用してASAから展開されます。

クライアントに展開され、クライアントが VPN 接続を確立および終了するときに実行されるスクリプトを作成する。

次の項では、AnyConnect クライアントをカスタマイズする方法について説明します。

「リソース ファイルのインポートによる AnyConnect のカスタマイズ」

「独自の AnyConnect GUI テキストおよびスクリプトのカスタマイズ」

「AnyConnect GUI テキストおよびメッセージのカスタマイズ」

「インストーラ トランスフォームを使用したインストーラ プログラムのカスタマイズ」

「インストーラ トランスフォームを使用したインストーラ プログラムのローカライズ」

制約事項

Windows Mobile デバイスで稼働する AnyConnect クライアントのカスタマイズはサポートされていません。

リソース ファイルのインポートによる AnyConnect のカスタマイズ

独自のカスタム ファイルをセキュリティ アプライアンスにインポートし、その新しいファイルをクライアントに展開することによって、AnyConnect クライアントをカスタマイズすることができます。元の GUI アイコンとそれらのサイズの詳細については、『AnyConnect VPN Client Administrators Guide』を参照してください。この情報は、カスタム ファイルの作成に使用できます。

手順の詳細

カスタム ファイルをインポートし、クライアントに展開するには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Customization/Localization] > [Resources] の順に選択します。

[Import] をクリックします。[Import AnyConnect Customization Object] ウィンドウが表示されます。

ステップ 2 インポートするファイルの名前を入力します。置き換えることができるすべての GUI コンポーネントのファイル名については、『AnyConnect VPN Client Administrators Guide』を参照してください。


) カスタム コンポーネントのファイル名は、AnyConnect クライアント GUI に使用されるファイル名と一致している必要があります。この GUI コンポーネントのファイル名は OS によって異なり、Mac と Linux では大文字と小文字が区別されます。たとえば、Windows クライアント用の企業ロゴを置き換えるには、独自の企業ロゴを company_logo.bmp としてインポートする必要があります。別のファイル名でインポートすると、AnyConnect インストーラはそのコンポーネントを変更しません。ただし、独自の実行ファイルを展開して GUI をカスタマイズする場合は、その実行ファイルから任意のファイル名のリソース ファイルを呼び出すことができます。


ステップ 3 プラットフォームを選択し、インポートするファイルを指定します。[Import Now] をクリックします。ファイルがテーブルに表示されます。


) イメージをソース ファイルとして(たとえば、company_logo.bmp)インポートする場合、インポートしたイメージは、同じファイル名を使用して別のイメージを再インポートするまで、AnyConnect クライアントをカスタマイズします。たとえば、company_logo.bmp をカスタム イメージに置き換えて、このイメージを削除する場合、同じファイル名を使用して新しいイメージ(または元のシスコ ロゴ イメージ)をインポートするまで、クライアントはこのイメージの表示を継続します。


ステップ 4 [Import] をクリックすると、[Import AnyConnect Customization Objects] ダイアログが起動します。このダイアログでは、オブジェクトとしてインポートするファイルを指定できます。

ステップ 5 [Export] をクリックすると、[Export AnyConnect Customization Objects] ダイアログが起動します。このダイアログでは、オブジェクトとしてエクスポートするファイルを指定できます。

ステップ 6 [Delete] をクリックすると、選択したオブジェクトが削除されます。

このオブジェクトでサポートされるリモート PC プラットフォームのタイプと、オブジェクト名が表示されます。


 

独自の AnyConnect GUI テキストおよびスクリプトのカスタマイズ

Windows、Linux、または Mac(PPP または Intel ベース)コンピュータの場合、AnyConnect クライアント API を使用する独自のクライアントを展開できます。AnyConnect GUI または AnyConnect CLI を置き換えるには、クライアントのバイナリ ファイルを置き換えます。

クライアントが接続を確立したとき( OnConnect スクリプト)またはクライアントがセッションを終了したとき( OnDisconnect スクリプト)に実行されるスクリプトをダウンロードして実行することもできます。この機能には次のような使用例があります。

VPN 接続時にグループ ポリシーを更新する。

VPN 接続時にネットワーク ドライブをマッピングし、接続解除後にマッピングを解除する。

VPN 接続時にサービスにログインし、接続解除後にログオフする。

AnyConnect GUI のカスタマイズとスクリプトの作成および展開の詳細については、『AnyConnect VPN Client Administrators Guide』を参照してください。

次の項では、バイナリ実行可能ファイルおよびスクリプトを ASA にインポートする方法について説明します。

「バイナリ実行可能ファイルとしての独自の GUI のインポート」

「スクリプトのインポート」

バイナリ実行可能ファイルとしての独自の GUI のインポート

Windows、Linux、または Mac(PPP または Intel ベース)コンピュータの場合、AnyConnect クライアント API を使用する独自のクライアントを展開できます。AnyConnect GUI または AnyConnect CLI を置き換えるには、クライアントのバイナリ ファイルを置き換えます。 表 71-15 に、クライアント実行ファイルのファイル名を、オペレーティング システム別に示します。

 

表 71-15 クライアント実行ファイルのファイル名

クライアント OS
クライアント GUI ファイル
クライアント CLI ファイル

Windows

vpnui.exe

vpncli.exe

Linux

vpnui

vpn

Mac

非サポート5

vpn

5.ASA からの展開はサポートされません。ただし、Altiris Agent などの他の手段によって、クライアント GUI を置き換える Mac 用の実行ファイルを展開できます。

ASA にインポートした、ロゴ イメージなどの任意のリソース ファイルを実行ファイルから呼び出すことができます( 表 71-15 を参照)。事前定義された GUI コンポーネントを置き換える場合とは異なり、独自の実行ファイルを展開する場合は、リソース ファイルに任意のファイル名を使用できます。

ASA にインポートするカスタム Windows クライアント バイナリ(GUI または CLI バージョン)には、署名することを推奨します。署名付きバイナリには、使用可能な多くの機能があります。バイナリが署名されていないと、次の機能に影響が生じます。

Web-Launch:クライアントレス ポータルは使用可能でユーザ認証も可能です。ただし、トンネル確立周辺の動作が予期したとおりに行われません。クライアントに署名のない GUI が存在すると、クライアントはクライアントレス接続試行の一部として開始されません。また、この状態が検出された場合、クライアントでの接続試行が中断されます。

SBL:Start Before Logon 機能では、ユーザのクレデンシャルを要求するために使用するクライアント GUI には署名が必要です。署名がないと、GUI は開始されません。SBL は CLI プログラムでサポートされないため、影響を受けるのは GUI バイナリ ファイルだけです。

自動アップグレード:クライアントの新バージョンへのアップグレード中は古い GUI が存在しますが、新しい GUI がインストールされると新規 GUI が開始されます。新しい GUI は署名がないと開始されません。Web-Launch と同様、この GUI に署名がないと VPN 接続は終了します。ただし、アップグレード後のクライアントはインストールされたままになります。

制約事項

ASAは、AnyConnect VPN クライアントのバージョン 2.0 および 2.1 の場合に、この機能をサポートしません。クライアントの手動でのカスタマイズの詳細については、『 AnyConnect VPN Client Administrator's Guide 』および Cisco AnyConnect VPN Client のリリース ノート を参照してください。

スクリプトのインポート

AnyConnect では、次のイベントが発生したときに、スクリプトをダウンロードして実行できます。

セキュリティ アプライアンスで新しい AnyConnect クライアント VPN セッションが確立された。このイベントによって起動するスクリプトを OnConnect スクリプトと呼びます。スクリプトには、このファイル名プレフィックスが必要です。

セキュリティ アプライアンスで AnyConnect クライアント VPN セッションがティアダウンされた。このイベントによって起動するスクリプトを OnDisconnect スクリプトと呼びます。スクリプトには、このファイル名プレフィックスが必要です。

これによって、Trusted Network Detection によって開始された新しい AnyConnect VPN セッションが確立すると、OnConnect スクリプトが起動されます(このスクリプトを実行する要件が満たされている場合)。ネットワーク切断後に永続的な AnyConnect VPN セッションが再接続されても、OnConnect スクリプトは起動されません。

前提条件

ここでの説明は、スクリプトの作成方法と、ターゲット エンドポイントのコマンドラインからスクリプトを実行し、テストする方法についての知識があることを前提としています。

制約事項

AnyConnect ソフトウェア ダウンロード サイトにいくつかのサンプル スクリプトがあります。試用する際は、これらがあくまでサンプルであることに注意してください。実行に必要なローカル コンピュータの要件を満たしていないことがあり、ネットワークおよびユーザのニーズに合わせてカスタマイズしなければ使用できないことがあります。シスコでは、サンプル スクリプトまたはユーザ作成スクリプトはサポートしていません。

スクリプトの展開とスクリプトの制限事項の詳細については、『AnyConnect VPN Client Administrators Guide』を参照してください。

スクリプトの作成、テスト、および展開

AnyConnect スクリプトの展開方法を、次に示します。

制約事項

Microsoft Windows コンピュータで作成されたスクリプトの行末コードは、Mac OS および Linux で作成されたスクリプトの行末コードとは異なります。そのため、ターゲット OS でスクリプトを作成し、テストする必要があります。ネイティブ OS のコマンドラインからスクリプトを正しく実行できない場合は、AnyConnect でも正しく実行できません。

Microsoft Windows Mobile では、このオプションはサポートされません。手動でスクリプトを展開する必要があります。


ステップ 1 AnyConnect がスクリプトを起動するときにスクリプトが実行される OS タイプを使用して、スクリプトを作成およびテストします。

ステップ 2 スクリプトをインポートするには、[Network (Client) Access] > [AnyConnect Customization/Localization] > [Script] の順に選択します。[Customization Scripts] ペインが表示されます。

ステップ 3 スクリプトの名前を入力します。名前には正しい拡張子を指定してください。たとえば、myscript.bat などです。

ステップ 4 スクリプト アクション [Script runs when client connects] または [Script runs when client disconnects] を選択します。

AnyConnect によって、ASA でファイルをスクリプトとして識別できるように、プレフィックス scripts_ とプレフィックス OnConnect または OnDisconnect がユーザのファイル名に追加されます。クライアントが接続すると、ASA は、リモート コンピュータ上の適切なターゲット ディレクトリにスクリプトをダウンロードし、scripts_ プレフィックスを削除し、OnConnect プレフィックスまたは OnDisconnect プレフィックスをそのまま残します。たとえば、myscript.bat スクリプトをインポートする場合、スクリプトは、ASA 上では scripts_OnConnect_myscript.bat となります。リモート コンピュータ上では、スクリプトは OnConnect_myscript.bat となります。

スクリプトの実行の信頼性を確保するために、すべての ASA で同じスクリプトを展開するように設定します。スクリプトを修正または置換する場合は、旧バージョンと同じ名前を使用し、ユーザが接続する可能性のあるすべての ASA に置換スクリプトを割り当てます。ユーザが接続すると、新しいスクリプトにより同じ名前のスクリプトが上書きされます。

ステップ 5 スクリプトのソースとしてファイルを選択します。名前は、スクリプトに対して指定した名前と同じである必要はありません。ASDM によってファイルがソース ファイルからインポートされ、ステップ 3 で [Name] に対して指定した新しい名前が作成されます。

表 71-16 に、リモート コンピュータ上のスクリプトの場所を示します。

 

表 71-16 スクリプトの所定の場所

OS
ディレクトリ

Microsoft Windows 7 および Microsoft Vista

%ALLUSERPROFILE%\Cisco\Cisco AnyConnect VPN Client\Scripts

Microsoft Windows XP

%ALLUSERPROFILE%\Application Data\Cisco\Cisco AnyConnect VPN Client\
Scripts

Linux

/opt/cisco/vpn/scripts

(注) User、Group、Other にファイルの実行権限を割り当てます。

Mac OS X

/opt/cisco/vpn/scripts

Windows Mobile

%PROGRAMFILES%\Cisco AnyConnect VPN Client\Scripts

ステップ 6 [Import] をクリックして、[Import AnyConnect Customization Objects] ダイアログを起動します。このダイアログでは、オブジェクトとしてインポートするファイルを指定できます。

ステップ 7 [Export] をクリックして、[Export AnyConnect Customization Objects] ダイアログを起動します。このダイアログでは、オブジェクトとしてエクスポートするファイルを指定できます。

ステップ 8 [Delete] をクリックして、選択したオブジェクトを削除します。

このオブジェクトでサポートされるリモート PC プラットフォームのタイプと、オブジェクト名が表示されます。


 

AnyConnect GUI テキストおよびメッセージのカスタマイズ

このペインのリモート ユーザに表示される AnyConnect クライアント GUI のテキストとメッセージを変更します。このペインは、[Language Localization] ペインと同じ機能を持ちます。より高度な言語変換については、[Configuration] > [Remote Access VPN] > [Language Localization] を選択します。

AnyConnect GUI に表示されるメッセージを変更するには、次の手順を実行します。


ステップ 1 [Template] をクリックし、テンプレート領域を展開します。[Export] をクリックし、英語の言語テンプレートをローカル PC またはリモート デバイスにエクスポートします。

ステップ 2 テンプレートを編集し、メッセージに変更を加えます。msgid フィールドの引用符の間のテキストは、デフォルトのテキストを表します。このテキストは変更しないでください。別のメッセージを表示するには、mgstr の引用符の間にカスタム テキストを挿入します。次の例では、接続終了情報を含むメッセージを示します。

msgid ""
"The VPN connection has been disconnected due to the system suspending.The
"reconnect capability is disabled.A new connection requires re-"
"authentication and must be started manually.Close all sensitive networked
"applications."
msgstr ""
 

ステップ 3 [Import] をクリックし、新規変換テンプレートとして編集されたファイルをインポートします。

ステップ 4 テンプレートの言語を指定します。テンプレートはキャッシュメモリ内の変換テーブルになり、指定した名前が付きます。ブラウザの言語オプションと互換性のある短縮形を使用してください。たとえば、中国語のテーブルを作成するときに IE を使用している場合は、IE によって認識される zh という略語を使用します。

ステップ 5 [Apply] をクリックし、ASA を変更します。

ステップ 6 (任意)[Add] をクリックして、[Add Localization Entry] ダイアログを呼び出します。このダイアログで、追加するローカリゼーション テンプレートの選択、およびテンプレートの内容の編集ができます。

ステップ 7 (任意)[Edit] をクリックして、選択したテーブル内の言語の [Edit Localization Entry] ダイアログを呼び出します。このダイアログで、以前インポートした言語ローカリゼーション テーブルを編集できます。

ステップ 8 (任意)[Delete] をクリックして、選択した言語ローカリゼーション テーブルを削除します。

ステップ 9 (任意)[Import] をクリックして、[Import Language Localization] ダイアログを呼び出します。このダイアログで、言語ローカリゼーション テンプレートまたはテーブルをインポートできます。

ステップ 10 (任意)[Export] をクリックして、[Export Language Localization] ダイアログを呼び出します。このダイアログで、言語ローカリゼーション テンプレートまたはテーブルを URL にエクスポートして変更できます。

ステップ 11 (任意)ローカリゼーション テーブルの言語を指定します。


 

インストーラ トランスフォームを使用したインストーラ プログラムのカスタマイズ

作成した独自のトランスフォームを、クライアント インストーラ プログラムを使用して展開することによって、AnyConnect クライアント GUI を大幅にカスタマイズすることができます(Windows のみ)。トランスフォームを ASA にインポートすると、インストーラ プログラムを使用して展開されます。

MSI トランスフォームを作成するには、Microsoft から Orca という名前の無料データベース エディタをダウンロードし、インストールします。このツールを使用して、既存のインストレーションを修正し、場合によっては新しいファイルを追加します。Orca ツールは、Microsoft Windows Installer ソフトウェア開発キット(SDK)の一部であり、これは Microsoft Windows SDK に同梱されています。次のリンクから Orca プログラムを含むバンドルを入手できます。

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/orca_exe.asp

SDK をインストールすると、Orca MSI は、次の場所に格納されます。

C:\Program Files\Microsoft SDK SP1\Microsoft Platform SDK\Bin\Orca.msi

Orca ソフトウェアをインストールしてから、[Start] > [All Programs] メニューを選択して Orca プログラムにアクセスします。

トランスフォームをインポートする手順は、次のとおりです。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Customization/Localization] > [Customized Installer Transforms] の順に選択します。[Import] をクリックします。 [Import AnyConnect Customization Objects] ウィンドウが表示されます。

 

ステップ 2 インポートするファイルの名前を入力します。他のカスタマイズ用オブジェクトの名前とは異なり、この名前は ASA にとって重要ではないため、自由に指定できます。

ステップ 3 プラットフォームを選択し、インポートするファイルを指定します。[Import Now] をクリックします。ファイルがテーブルに表示されます。


) トランスフォームの適用先として選択できるのは Windows だけです。


ステップ 4 (任意)[Import] をクリックして、[Import AnyConnect Customization Objects] ダイアログを起動します。このダイアログでは、インポートするトランスフォーム ファイルを指定できます。

ステップ 5 (任意)[Export] をクリックして、[Export AnyConnect Customization Objects] ダイアログを起動します。このダイアログでは、エクスポートするトランスフォーム ファイルを指定できます。

ステップ 6 (任意)[Delete] をクリックして、選択したファイルを削除します。

このトランスフォームでサポートされるリモート PC プラットフォームのタイプと、トランスフォーム名が表示されます。


 

トランスフォームの設定例

このマニュアルでは、トランスフォームの作成についてのチュートリアルを提供できませんが、トランスフォームの代表的なエントリをいくつか次に示します。これらのエントリでは、company_logo.bmp がローカル コピーと置き換えられ、カスタム プロファイル MyProfile.xml がインストールされます。

DATA CHANGE - Component Component ComponentId
+ MyProfile.xml {39057042-16A2-4034-87C0-8330104D8180}
 
Directory_ Attributes Condition KeyPath
Profile_DIR 0 MyProfile.xml
 
DATA CHANGE - FeatureComponents Feature_ Component_
+ MainFeature MyProfile.xml
 
DATA CHANGE - File File Component_ FileName FileSize Version Language Attributes Sequence
+ MyProfile.xml MyProfile.xml MyProf~1.xml|MyProfile.xml 601 8192 35
<> company_logo.bmp 37302{39430} 8192{0}
 
DATA CHANGE - Media DiskId LastSequence DiskPrompt Cabinet VolumeLabel Source
+ 2 35
 

このペインでは、AnyConnect クライアント インストールのカスタマイズに使用するトランスフォーム ファイルを指定します。

インストーラ トランスフォームを使用したインストーラ プログラムのローカライズ

AnyConnect クライアント GUI と同様に、クライアント インストーラ プログラムに表示されるメッセージを翻訳できます。ASA はトランスフォームを使用して、インストーラに表示されるメッセージを翻訳します。トランスフォームによってインストレーションが変更されますが、元のセキュリティ署名 MSI は変化しません。これらのトランスフォームではインストーラ画面だけが翻訳され、クライアント GUI 画面は翻訳されません。

言語にはそれぞれ独自のトランスフォームがあります。トランスフォームは Orca などのトランスフォーム エディタで編集して、メッセージの文字列を変更できます。その後、トランスフォームを ASA にインポートします。ユーザがクライアントをダウンロードすると、クライアントはコンピュータの目的の言語(オペレーティング システムのインストール時に指定されたロケール)を検出し、該当するトランスフォームを適用します。

現時点では、30 の言語に対応するトランスフォームが用意されています。これらのトランスフォームは、cisco.com の AnyConnect クライアント ソフトウェア ダウンロード ページから、次の .zip ファイルで入手できます。

anyconnect-win-<VERSION>-web-deploy-k9-lang.zip

このファイルの <VERSION> は、AnyConnect のリリース バージョン(2.2.103 など)を表します。

パッケージには使用可能な翻訳用のトランスフォーム(.mst ファイル)が含まれています。用意されている 30 以外の言語をリモート ユーザに表示する必要がある場合は、独自のトランスフォームを作成し、それを新しい言語として ASA にインポートすることができます。Microsoft のデータベース エディタ Orca を使用して、既存のインストレーションおよび新規ファイルを修正できます。Orca は、Microsoft Windows Installer ソフトウェア開発キット(SDK)の一部であり、これは Microsoft Windows SDK に同梱されています。次のリンクから Orca プログラムを含むバンドルを入手できます。

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/orca_exe.asp

SDK をインストールすると、Orca MSI は、次の場所に格納されます。

C:\Program Files\Microsoft SDK SP1\Microsoft Platform SDK\Bin\Orca.msi

ここでは、ASDM を使用してトランスフォームを ASA にインポートする方法について説明します。


ステップ 1 トランスフォームをインポートします。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Customization/Localization] > [Localized Installer Transforms] の順に選択します。[Import] をクリックします。[Import MST Language Localization] ウィンドウが表示されます。

ステップ 2 このトランスフォームの言語を選択します。[Language] ドロップ リストをクリックして、言語とその一般的な略称を表示します。手動で略称を入力する場合は、ブラウザおよびオペレーティング システムが認識できる略称を使用してください。

ステップ 3 [Import Now] をクリックします。テーブルが正常にインポートされたことを示すメッセージが表示されます。

[Apply] をクリックし、変更を必ず保存してください。

ステップ 4 (任意)[Import] をクリックして、[Import AnyConnect Customization Objects] ダイアログを起動します。このダイアログでは、トランスフォームとしてインポートするファイルを指定できます。

ステップ 5 (任意)[Export] をクリックして、[Export AnyConnect Customization Objects] ダイアログを起動します。このダイアログでは、トランスフォームとしてエクスポートするファイルを指定できます。

ステップ 6 (任意)[Delete] をクリックして、選択したトランスフォームを削除します。

このトランスフォームでサポートされるリモート PC プラットフォームのタイプと、名前が表示されます。


 

言語ローカリゼーションのインポート/エクスポート

[Import Translation Table] および [Export Translation Table] ダイアログボックスでは、変換テーブルを ASA にインポートまたはエクスポートして、ユーザ メッセージの変換機能を提供できます。

変換テンプレートは、変換済みメッセージで編集できるメッセージ フィールドが含まれている XML ファイルです。テンプレートをエクスポートし、メッセージフィールドを編集し、新しい変換テーブルとしてテンプレートをインポートするか、既存の変換テーブルをエクスポートし、メッセージフィールドを編集し、テーブルを再インポートして以前のバージョンを上書きすることができます。

手順の詳細


ステップ 1 言語の名前を入力します。

エクスポート の場合は、テーブルで選択したエントリの名前が自動的に取り込まれます。

インポート の場合は、識別する方法で言語名を入力します。インポートされた変換テーブルは、指定した短縮形でリストに表示されます。ブラウザが言語を認識できるように、ブラウザの言語オプションと互換性のある言語短縮形を使用してください。たとえば、IE を使用する場合は、中国語の略語として zh を使用します。

ステップ 2 メッセージ フィールドが含まれている XML ファイルの名前には、次のものがあります。

AnyConnect:Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッセージ。

CSD:Cisco Secure Desktop(CSD)のメッセージ。

customization:ログイン ページおよびログアウト ページのメッセージ、ポータル ページ、およびユーザがカスタマイズできるすべてのメッセージ。

keepout:VPN アクセスが拒否されたときに、リモート ユーザに対して表示されるメッセージ。

PortForwarder:Port Forwarding ユーザに表示されるメッセージ。

url-list:ユーザが、ポータル ページの URL ブックマークに指定したテキスト。

webvpn:カスタマイズできないレイヤ 7、AAA、およびポータルのすべてのメッセージ。

plugin-ica:Citrix プラグインのメッセージ。

plugin-rdp:Remote Desktop Protocol プラグインのメッセージ。

plugin-telnet,ssh:Telnet プラグインおよび SSH プラグインのメッセージ。このプラグインは sshv1 と sshv2 の両方を実行できます。

plugin-vnc:VNC プラグインのメッセージ。

ステップ 3 ファイルをインポートまたはエクスポートする方式を選択します。

[Remote server]:ASAからアクセスできるリモート サーバに常駐するカスタマイゼーション ファイルをインポートするには、このオプションを選択します。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

[Flash file system]:ASAに常駐するファイルをエクスポートするには、この方式を選択します。

[Path]:ファイルへのパスを入力します。

[Browse Flash]:ファイルへのパスを参照します。

[Local computer]:ローカル PC にあるファイルをインポートする場合は、この方式を選択します。

[Path]:ファイルへのパスを入力します。

[Browse Local Files]:ファイルへのパスを参照します。

ステップ 4 [Import Now]/[Export Now] をクリックして、ファイルをインポートまたはエクスポートします。


 

ブックマークの設定

[Bookmarks] パネルでは、ブックマーク リストを追加、編集、削除、インポート、およびエクスポートできます。

[Bookmarks] パネルを使用して、クライアントレス SSL VPN でアクセスするための、サーバおよび URL のリストを設定します。ブックマーク リストのコンフィギュレーションに続いて、そのリストを 1 つ以上のポリシー(グループ ポリシー、ダイナミック アクセス ポリシー、またはその両方)に割り当てることができます。各ポリシーのブックマーク リストは 1 つのみです。リスト名は、各 DAP の [URL Lists] タブのドロップダウン リストに表示されます。

一部の Web ページでの自動サインオンに、マクロ置換を含むブックマークを使用できるようになりました。以前の POST プラグイン アプローチは、管理者がサインオン マクロを含む POST ブックマークを指定し、POST 要求のポストの前にロードするキックオフ ページを受信できるようにするために作成されました。この POST プラグイン アプローチでは、クッキーまたはその他のヘッダー項目の存在を必要とする要求は排除されました。現在は、管理者は事前ロード ページおよび URL を決定し、これによってポスト ログイン要求の送信場所が指定されます。事前ロード ページによって、エンドポイント ブラウザは、クレデンシャルを含む POST 要求を使用するのではなく、Web サーバまたは Web アプリケーションに送信される特定の情報を取得できます。

既存のブックマーク リストが表示されます。ブックマーク リストを追加、編集、削除、インポート、またはエクスポートできます。アクセス用のサーバおよび URL のリストを設定し、指定した URL リスト内の項目を配列することができます。

ガイドライン

ブックマークを設定することでは、ユーザが不正なサイトや会社のアクセプタブル ユース ポリシーに違反するサイトにアクセスすることを防ぐことはできません。ブックマーク リストをグループ ポリシー、ダイナミック アクセス ポリシー、またはその両方に割り当てる以外に、Web ACL をこれらのポリシーに割り当てて、トラフィック フローへのアクセスを制御します。これらのポリシー上の URL エントリをディセーブルにして、ユーザがアクセスできるページについて混乱しないようにします。手順については、「クライアントレス SSL VPN セキュリティ対策の順守」を参照してください。

手順の詳細


ステップ 1 追加するリストの名前を指定するか、修正または削除するリストの名前を選択します。

ブックマークのタイトルおよび実際の関連付けられた URL が表示されます。

ステップ 2 (任意)[Add] をクリックして、新しいサーバまたは URL を設定します。

ステップ 3 (任意)[Edit] をクリックして、サーバ、URL、または表示名を変更します。

ステップ 4 (任意)[Delete] をクリックして、選択した項目を URL リストから削除します。確認されず、やり直しもできません。

ステップ 5 (任意)ファイルのインポートまたはエクスポート元の場所を選択します。

[Local computer]:ローカル PC に常駐するファイルをインポートまたはエクスポートする場合にクリックします。

[Flash file system]:ASAに常駐するファイルをインポートまたはエクスポートする場合にクリックします。

[Remote server]:ASAからアクセス可能なリモート サーバに常駐するファイルをインポートする場合にクリックします。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

[Browse Local Files.../Browse Flash...]:ファイルのパスを参照します。

ステップ 6 (任意)ブックマークを強調表示し、[Assign] をクリックして、選択したブックマークを 1 つ以上のグループ ポリシー、ダイナミック アクセス ポリシー、または LOCAL ユーザに割り当てます。

ステップ 7 (任意)[Move Up] または [Move Down] オプションを使用して、選択した項目の位置を URL リスト内で変更します。


 

ブックマーク エントリの追加

[Add Bookmark Entry] ダイアログボックスでは、URL リストのリンクまたはブックマークを作成できます。

前提条件

\\server\share\subfolder\<personal folder> にアクセスするには、<personal folder> の上のすべてのポイントに対するリスト権限がユーザに必要です。

手順の詳細


ステップ 1 ユーザに対して表示するブックマークの名前を入力します。

ステップ 2 [URL] ドロップダウン メニューを使用して、URL タイプ(http、https、cifs、または ftp)を選択します。インポートされたすべてのプラグインの URL タイプが、このメニューに表示されます。ポータル ページにリンクとしてプラグインを表示するには、プラグインの URL タイプを選択します。

ステップ 3 ブックマークの DNS 名または IP アドレスを入力します。プラグインの場合は、サーバの名前を入力します。サーバ名の後にスラッシュと疑問符(/?)を入力すると、オプションのパラメータを指定できます。それに続いてアンパサンドを使用すると、次の構文に示すように、パラメータ/値ペアを分けられます。

server /? Parameter = Value & Parameter = Value

次に、例を示します。

host /?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768

プラグインによって、入力できるオプションのパラメータ/値ペアが決まります。

プラグインに対して、シングル サインオン サポートを提供するには、パラメータ/値ペア csco_sso=1 を使用します。次に、例を示します。

host /?csco_sso=1&DesiredColor=4&DesiredHRes=1024&DesiredVRes=768

ステップ 4 (任意)事前ロード URL を入力します。事前ロード URL を入力するときに、待機時間も入力できます。待機時間は、実際の POST URL に転送されるまでに、ページのロードに使用できる時間です。

ステップ 5 サブタイトルとして、ユーザに表示するブックマーク エントリについての説明テキストを入力します。

ステップ 6 [Thumbnail] ドロップダウン メニューを使用して、エンドユーザ ポータル上のブックマークに関連付けるアイコンを選択します。

ステップ 7 [Manage] をクリックして、サムネールとして使用するイメージをインポートまたはエクスポートします。

ステップ 8 クリックしてブックマークを新しいウィンドウで開きます。このウィンドウでは、スマート トンネル機能を使用し、ASA を経由して宛先サーバとのデータの送受信を行います。すべてのブラウザ トラフィックは、SSL VPN トンネルで安全に送受信されます。このオプションでは、ブラウザベースのアプリケーションにスマート トンネルのサポートを提供します。一方で、[Smart Tunnels]([Clientless SSL VPN] > [Portal] メニューにもあり)では、非ブラウザベースのアプリケーションもスマート トンネル リストに追加し、それをグループ ポリシーとユーザ名に割り当てられます。

ステップ 9 [Allow the users to bookmark the link] をオンにして、クライアントレス SSL VPN ユーザが、ブラウザの [Bookmarks] または [Favorites] オプションを使用できるようにします。選択を解除すると、これらのオプションを使用できません。このオプションをオフにすると、WebVPN ポータルの [Home] セクションにブックマークは表示されません。

ステップ 10 (任意)[Advanced Options] を選択して、ブックマークの特徴の詳細を設定します。

[URL Method]:単純なデータ取得の場合には [Get] を選択します。データの保存または更新、製品の注文、電子メールの送信など、データを処理することによってデータに変更が加えられる可能性がある場合には、[Post] を選択します。

[Post Parameters]:Post URL 方式の詳細を設定します。

[Add]:post パラメータを追加します。

[Edit]:選択した post パラメータを編集します。

[Delete]:選択した post パラメータを削除します。

ブックマーク リストのインポートまたはエクスポート

すでに設定済みのブックマーク リストは、インポートまたはエクスポートできます。使用準備ができているリストをインポートします。リストをエクスポートして修正または編集してから、再インポートすることもできます。

手順の詳細


ステップ 1 ブックマーク リストを名前で指定します。最大 64 文字で、スペースは使用できません。

ステップ 2 リスト ファイルをインポートまたはエクスポートするときに使用する方法を選択します。

[Local computer]:ローカル PC に常駐するファイルをインポートする場合に選択します。

[Flash file system]:ASAに常駐するファイルをエクスポートする場合に選択します。

[Remote server]:ASAからアクセス可能なリモート サーバに常駐する URL リスト ファイルをインポートする場合にクリックします。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

[Browse Local Files/Browse Flash]:ファイルのパスを参照します。

[Import/Export Now]:リスト ファイルをインポートまたはエクスポートします。

Importing/Exporting GUI Customization Objects(Web コンテンツ)

このダイアログボックスでは、Web コンテンツ オブジェクトをインポートおよびエクスポートできます。Web コンテンツ オブジェクトの名前とファイル タイプが表示されます。

Web コンテンツには、全体的に設定されたホーム ページから、エンド ユーザ ポータルをカスタマイズするときに使用するアイコンやイメージまで、さまざまな種類があります。設定済みの Web コンテンツは、インポートまたはエクスポートできます。使用準備ができている Web コンテンツをインポートします。Web コンテンツをエクスポートして修正または編集してから、再インポートすることもできます。


ステップ 1 ファイルのインポートまたはエクスポート元の場所を選択します。

[Local computer]:ローカル PC に常駐するファイルをインポートまたはエクスポートする場合にクリックします。

[Flash file system]:ASAに常駐するファイルをインポートまたはエクスポートする場合にクリックします。

[Remote server]:ASAからアクセス可能なリモート サーバに常駐するファイルをインポートする場合にクリックします。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

[Browse Local Files.../Browse Flash...]:ファイルのパスを参照します。

ステップ 2 コンテンツへのアクセスに認証が必要かどうかを決定します。

パスのプレフィックスは、認証を要求するかどうかに応じて異なります。ASAは、認証が必要なオブジェクトの場合には /+CSCOE+/ を使用し、認証が不要なオブジェクトの場合には /+CSCOU+/ を使用します。ASAはポータル ページにだけ /+CSCOE+/ オブジェクトを表示するのに対し、/+CSCOU+/ オブジェクトは、ログイン ページまたはポータル ページのどちらかで表示または使用可能です。

ステップ 3 クリックしてファイルをインポートまたはエクスポートします。


 

Adding/Editing Post Parameter

このペインでは、ブックマーク エントリと URL リストのポスト パラメータを設定します。

クライアントレス SSL VPN 変数により、URL およびフォームベースの HTTP post 操作で置換が実行できます。これらの変数はマクロとも呼ばれ、ユーザ ID とパスワード、またはその他の入力パラメータを含む、パーソナル リソースへのユーザ アクセスを設定できます。このようなリソースの例には、ブックマーク エントリ、URL リスト、およびファイル共有などがあります。

手順の詳細


ステップ 1 パラメータの名前と値を、対応する HTML フォームのとおりに指定します。たとえば、<input name=" param_name " value=" param_value "> です。

提供されている変数のいずれかをドロップダウン リストから選択できます。また、変数を作成できます。ドロップダウン リストからは、次の変数を選択します。

 

表 71-17 クライアントレス SSL VPN の変数

No.
変数置換
定義

1

CSCO_WEBVPN_USERNAME

SSL VPN ユーザ ログイン ID

2

CSCO_WEBVPN_PASSWORD

SSL VPN ユーザ ログイン パスワード

3

CSCO_WEBVPN_INTERNAL_PASSWORD

SSL VPN ユーザ内部リソース パスワード。キャッシュされた認定証であり、AAA サーバによって認証されていません。ユーザがこの値を入力すると、パスワード値の代わりに、これが自動サインオンのパスワードとして使用されます。

4

CSCO_WEBVPN_CONNECTION_PROFILE

SSL VPN ユーザ ログイン グループ ドロップダウン、接続プロファイル内のグループ エイリアス

5

CSCO_WEBVPN_MACRO1

RADIUS/LDAP ベンダー固有属性によって設定。ldap-attribute-map を経由して LDAP からこれをマッピングする場合は、この変数を使用するシスコの属性は WEBVPN-Macro-Substitution-Value1 になります。

RADIUS 経由での変数置換は、VSA#223 によって行われます。

6

CSCO_WEBVPN_MACRO2

RADIUS/LDAP ベンダー固有属性によって設定。ldap-attribute-map を経由して LDAP からこれをマッピングする場合は、この変数を使用するシスコの属性は WEBVPN-Macro-Substitution-Value2 になります。

RADIUS 経由での変数置換は、VSA#224 によって行われます。

7

CSCO_WEBVPN_PRIMARY_USERNAME

二重認証用のプライマリ ユーザのログイン ID

8

CSCO_WEBVPN_PRIMARY_PASSWORD

二重認証用のプライマリ ユーザのログイン パスワード

9

CSCO_WEBVPN_SECONDARY_USERNAME

二重認証用のセカンダリ ユーザのログイン ID

10

CSCO_WEBVPN_SECONDARY_PASSWORD

二重認証用のセカンダリ ユーザのログイン ID

ASAが、これら 6 つの変数文字列のいずれかをエンドユーザ要求(ブックマークまたはポスト フォーム)で認識すると、リモート サーバに要求を渡す前に、ユーザ固有の値で変数を置換します。


) プレーン テキストで(セキュリティ アプライアンスを使用せずに)HTTP Sniffer トレースを実行すると、任意のアプリケーションの http-post パラメータを取得できます。次のリンクから、無料のブラウザ キャプチャ ツールである HTTP アナライザを入手できます。http://www.ieinspector.com/httpanalyzer/downloadV2/IEHttpAnalyzerV2.exe


変数 1 ~ 4 の使用

ASAは、[SSL VPN Login] ページから最初の 4 つの置き換えの値を取得します。それには、ユーザ名、パスワード、内部パスワード(任意)、およびグループのフィールドが含まれます。ユーザ要求内のこれらのストリングを認識し、このストリングをユーザ固有の値で置き換えてから、リモート サーバに要求を渡します。

たとえば、URL リストに http://someserver/homepage/CSCO_WEBVPN_USERNAME.html というリンクが含まれていると、ASAはこのリンクを次の一意のリンクに変換します。

USER1 の場合、リンクは http://someserver/homepage/USER1.html となります。

USER2 の場合、リンクは http://someserver/homepage/USER2.html となります。

cifs://server/users/CSCO_WEBVPN_USERNAME の場合、ASAは、次のようにファイル ドライブを特定のユーザにマップできます。

USER1 の場合、リンクは cifs://server/users/USER1 となります。

USER1 の場合、リンクは cifs://server/users/USER2 となります。

変数 5 および 6 の使用

マクロ 5 および 6 の値は、RADIUS または LDAP のベンダー固有属性(VSA)です。これらの置き換えにより、RADIUS または LDAP サーバのどちらかで設定される置き換えを設定できます。

変数 7 ~ 10 の使用

ASAが、これら 4 つの変数文字列のいずれかをエンドユーザ要求(ブックマークまたはポスト フォーム)で認識すると、リモート サーバに要求を渡す前に、ユーザ固有の値で変数を置換します。

例 1:ホームページの設定

次の例では、ホームページの URL を設定します。

WebVPN-Macro-Value1 (ID=223), type string, は、 wwwin-portal.example.com として返されます。

WebVPN-Macro-Value2 (ID=224), type string, は 401k.com として返されます。

ホームページの値を設定するには、次のように変数置換を設定します。

https://CSCO_WEBVPN_MACRO1。これは、https://wwwin-portal.example.com に変換されます。

この場合の最善の方法は、ASDM で Homepage URL パラメータを設定することです。

ASDM の Network Client SSL VPN または Clientless SSL VPN Access セクションから、[Add/Edit Group Policy] ペインに移動します。パスは次のとおりです。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit Group Policy] > [Advanced] > [SSL VPN Client] > [Customization] > [Homepage URL] 属性

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add/Edit Group Policy] > [More Options] > [Customization] > [Homepage URL] 属性

ブックマークまたは URL エントリの設定例

SSL VPN 認証で RSA ワンタイム パスワード(OTP)を使用し、続いて OWA 電子メール アクセスでスタティックな内部パスワードを使用することによって、HTTP Post を使用して OWA リソースにログインできます。この場合の最善の方法は、ASDM でブックマーク エントリを追加または編集することです。

次のパスを含め、[Add Bookmark Entry] ペインへのパスは数通り存在します。

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] > [Add/Edit Bookmark Lists] > [Add/Edit Bookmark Entry] > [Advanced Options] 領域 > [Add/Edit Post Parameters](URL Method 属性の [Post] をクリックすると表示されます)

または

([URL Method] 属性の [Post] をクリックすると表示されます)

[Network (Client) Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [URL Lists] タブ > [Manage] ボタン > [Configured GUI Customization Objects] > [Add/Edit] ボタン > [Add/Edit Bookmark List] > [Add/Edit Bookmark Entry] > [Advanced Options] 領域 > [Add/Edit Post Parameters]

ファイル共有(CIFS)URL 置換の設定の設定例

CIFS URL の変数置換を使用すると、より柔軟なブックマーク設定を行えます。

URL cifs://server/CSCO_WEBVPN_USERNAME を設定すると、ASA はそれをユーザのファイル共有ホーム ディレクトリに自動的にマッピングします。この方法では、パスワードおよび内部パスワード置換も行えます。次に、URL 置換の例を示します。

cifs://CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server

cifs://CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server

cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server

cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server

cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server/CSCO_WEBVPN_USERNAME

cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server/CSCO_WEBVPN_USERNAME

外部ポートのカスタマイズの設定例

事前設定されたポータルを使用する代わりに、外部ポータル機能を使用して独自のポータルを作成できます。独自のポータルを設定する場合、クライアントレス ポータルをバイパスし、POST 要求を送信してポータルを取得できます。

手順の詳細


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Customization] を選択します。必要なカスタマイゼーションを強調表示し、[Edit] を選択します。

ステップ 2 [Enable External Portal] チェックボックスをオンにします。

ステップ 3 [URL] フィールドに、POST 要求が許可されるように、必要な外部ポータルを入力します。