Cisco ASDM ユーザ ガイド バージョン 6.0(3)
クライアントレス SSL VPN
クライアントレス SSL VPN
発行日;2013/07/08 | 英語版ドキュメント(2012/10/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

クライアントレス SSL VPN

セキュリティ対策

クライアントレス SSL VPN のシステム要件について

ACL

Add ACL

Add/Edit ACE

Cisco Secure Desktop の設定

Application Helper の設定

SharePoint アクセスのクロック精度

Auto Signon

セッションの設定

Java Code Signer

コンテンツ キャッシュ

Content Rewrite

Java Code Signer

Encoding

Port Forwarding

ポート転送を使用する理由

ポート転送の要件と制限事項

ポート転送用の DNS の設定

Add/Edit Port Forwarding List

Add/Edit Port Forwarding Entry

外部プロキシ サーバの使用法の設定

プロキシ バイパスの設定

DTLS 設定

SSL VPN Client の設定

Add/Replace SSL VPN Client Image

Upload Image

Add/Edit SSL VPN Client Profiles

Upload Package

Bypass Interface Access List

SSO Servers

SiteMinder と SAML Browser Post Profile

SAML POST SSO サーバのコンフィギュレーション

シスコの認証スキームの SiteMinder への追加

Add/Edit SSO Servers

サーバと URL

スマート トンネル アクセスの設定

スマート トンネルについて

スマート トンネルを使用する理由

スマート トンネルの要件および制限

一般的な要件と制限事項

Windows の要件と制限事項

Mac OS の要件と制限事項

スマート トンネルの設定(Lotus の例)

Add or Edit Smart Tunnel List

Add or Edit Smart Tunnel Entry

次の作業

カスタマイゼーション オブジェクトの設定

カスタマイゼーション オブジェクトの追加

カスタマイゼーション オブジェクトのインポートおよびエクスポート

XML ベースのポータル カスタマイゼーション オブジェクトおよび URL リストの作成

XML カスタマイゼーション ファイルの構成について

カスタマイゼーションの例

カスタマイゼーション テンプレートの使用

カスタマイゼーション テンプレート

ヘルプのカスタマイゼーション

アプリケーションのヘルプ コンテンツのインポートおよびエクスポート

クライアント/サーバ プラグインへのブラウザ アクセスの設定

ブラウザ プラグインのインストールについて

プラグインの要件および制限事項

プラグインのためのセキュリティ アプライアンスの準備

シスコによって再配布されたプラグインのインストール

サードパーティ プラグインのアセンブリとインストール:Citrix Java Presentation Server Client の場合

ブックマークの設定

Add/Edit Bookmark List

Add Bookmark Entry

ブックマーク リストのインポートおよびエクスポート

Configure Web Contents

Web コンテンツのインポートおよびエクスポート

Add/Edit Post Parameter

クライアントレス SSL VPN マクロ置換

言語のローカリゼーション

AnyConnect のカスタマイゼーション

Resources

Binary

Installs

Import AnyConnect Customization Objects

クライアントレス SSL VPN

クライアントレス SSL VPN によってユーザは、Web ブラウザを使用してセキュリティ アプライアンスへのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェアまたはハードウェア クライアントは必要ありません。クライアントレス SSL VPN を使用することで、HTTPS インターネット サイトにアクセスできるほとんどすべてのコンピュータから、幅広い Web リソースと、Web 対応およびレガシー アプリケーションに簡単にアクセスできます。クライアントレス SSL VPN は Secure Sockets Layer(SSL)プロトコルおよびその後継の Transport Layer Security(SSL/TLS1)を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。セキュリティ アプライアンスはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。

ネットワーク管理者は、ユーザまたはグループ単位でネットワーク リソースへのアクセスを提供します。ユーザは、これらのリソースに直接アクセスすることはできません。

クライアントレス SSL VPN は、プラットフォームにて、シングル ルーテッド モードで動作します。

エンド ユーザ向けのクライアントレス SSL VPN の設定方法については、「 クライアントレス SSL VPN のエンド ユーザ設定」を参照してください。

セキュリティ対策

セキュリティ アプライアンス上のクライアントレス SSL VPN 接続は、リモート アクセス IPSec 接続とは異なっています。特に SSL 対応サーバとの対話方法やセキュリティ上のリスクを減らすための対策に違いがあります。

クライアントレス SSL VPN 接続では、セキュリティ アプライアンスは、エンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。ユーザが SSL 対応 Web サーバに接続すると、セキュリティ アプライアンスはセキュアな接続を確立し、SSL 証明書を検証します。ブラウザは提示された SSL 証明書を受信しないため、この証明書を検証することはできません。

セキュリティ アプライアンス上の現在のクライアントレス SSL VPN 実装では、有効期限が切れた証明書を提示するサイトとの通信は許可されません。また、セキュリティ アプライアンスは、それらの SSL 対応サイトに対して信頼できる CA 証明書の検証も実行しません。このため、Web 対応サービスで使用する前に、SSL 対応 Web サーバが配信するページの証明書を検証することによるメリットは、ユーザにはありません。


注意 デフォルトでは、セキュリティ アプライアンスはすべての Web リソース(HTTPS、CIFS、RDP、およびプラグイン)に対するすべてのポータル トラフィックを許可します。セキュリティ アプライアンス クライアントレス サービスは、各 URL をそれ自体だけに意味のあるものに書き換えます。ユーザは、要求したサイト上にあることを確認するためにアクセスしたページに表示される、その書き換えられた URL を使用できません。ユーザを危険にさらさないようにするために、クライアントレス アクセス用に設定されたポリシー(グループ ポリシー、ダイナミック アクセス ポリシー、またはその両方)に Web ACL を割り当てて、ポータルからのトラフィック フローを制御してください。たとえば、このような ACL がないと、ユーザは不正な銀行や商用サイトからの認証要求を受け取る可能性があります。また、これらのポリシー上の URL エントリをディセーブルにして、ユーザがアクセスできるページについて混乱しないようにすることをお勧めします。クライアントレス SSL VPN アクセスにより引き起こされるリスクを最小限に抑えるためには、次のことを実行することをお勧めします。


ステップ 1 クライアントレス SSL VPN アクセスを必要とするすべてのユーザにグループ ポリシーを設定し、そのグループ ポリシーに対してだけクライアントレス SSL VPN をイネーブルにします。

ステップ 2 グループ ポリシーを開き、[General] > [More Options] > [Web ACL] を選択して [Manage] をクリックします。プライベート ネットワーク内の特定のターゲットへのアクセスだけを許可する、プライベート ネットワークへのアクセスだけを許可する、インターネット アクセスを拒否する、または信頼できるサイトへのアクセスだけを許可する Web ACL を作成します。クライアントレス アクセス用に設定しているすべてのポリシー(グループ ポリシー、ダイナミック アクセス ポリシー、またはその両方)に Web ACL を適用します。DAP 上では、[Network ACL Filters] タブでネットワーク ACL を選択します。

ステップ 3 ユーザがブラウザベースの接続を確立するときに表示される ポータル ページ 上の URL エントリをディセーブルにします。そのためには、グループ ポリシーのポータル フレームと DAP の [Functions] タブの両方で、[URL Entry] の横にある [Disable] をクリックします。

ステップ 4 ユーザに、ポータル ページの上のネイティブ ブラウザの Address フィールドに外部 URL を入力するか、別のブラウザ ウィンドウを開いて、外部サイトにアクセスするかを指示します。


 

クライアントレス SSL VPN のシステム要件について

クライアントレス SSL VPN は、次の OS とブラウザからのアクセスをサポートしています。

 

OS
ブラウザと Java バージョン
機能に関する注意事項1

Windows Vista SP2

KB952876 を適用した Vista SP1 以降

Microsoft Internet Explorer 7

Firefox 2.0 以降

Windows Vista は、Windows Shares(CIFS)Web フォルダをサポートしていません。

追加の要件と制限事項が、スマート トンネルとポート転送に適用されます。

Windows XP SP2 以降

Microsoft Internet Explorer 7 および 6

Firefox 2.0 以降

Windows XP SP2 以降で Web フォルダをサポートするには、 Microsoft KB892211 修正プログラム が必要です。

追加の要件と制限事項が、スマート トンネルとポート転送に適用されます。

Windows 2000 SP4

Microsoft Internet Explorer 7 および 6

Firefox 2.0 以降

Windows Vista は、Windows Shares(CIFS)Web フォルダをサポートしていません。

Windows 2000 SP4 では、Web フォルダをサポートするために Microsoft KB892211 ホットフィックス が必要です。

追加の要件と制限事項が、スマート トンネルとポート転送に適用されます。

Apple:Mac OS X 10.4 および 10.5

Safari 2.0 以降、または Firefox 2.0 以降

DoD Common Access Card および SmartCard を含む証明書認証は、Safari キーチェーンだけで動作します。

Web フォルダは Mac OS をサポートしていません。

追加の要件と制限事項が、スマート トンネルとポート転送に適用されます。

Linux

Firefox 2.0 以降

Web フォルダとスマート トンネルは Linux をサポートしていません。

追加の要件がポート転送に適用されます。

1.MAPI プロトコルを使用した Microsoft Outlook Exchange 通信では、リモート ユーザが AnyConnect を使用する必要があります。

ActiveX ページでは、関連するポリシー グループに対する ActiveX リレーのデフォルト設定(イネーブル)を使用する必要があります。あるいは、スマート トンネル リストをポリシーに割り当て、エンドポイント上のブラウザ プロキシ例外リストにプロキシが指定されている場合、ユーザはそのリストに「shutdown.webvpn.relay.」エントリを追加する必要があります。

Windows 7、Vista、Internet Explorer 8、Mac OS、および Linux では、クライアントレス SSL VPN アクセスで Windows Shares(CIFS)Web フォルダがサポートされていません。Windows XP SP2 で Web フォルダをサポートするには、 Microsoft 社が提供するホットフィックス が必要です。

ASA は DSA 証明書をサポートしていません。サポートしているのは RSA 証明書です。

次の名前のクライアントレス アプリケーションでサポートされているプラットフォームについては、以降のセクションを参照してください。

「ポート転送の要件と制限事項」

「スマート トンネルの要件および制限」

「プラグインの要件および制限事項」

ACL

ユーザ セッションに適用する ACL(アクセス コントロール リスト)を設定できます。ACL は、特定のネットワーク、サブネット、ホスト、および Web サーバへのユーザ アクセスを許可または拒否するフィルタです。

フィルタを定義しない場合は、すべての接続が許可されます。

セキュリティ アプライアンスは、インターフェイスのインバウンド ACL だけをサポートします。

各 ACL の最後には、許可されないすべてのトラフィックを拒否する、表記されない暗黙のルールが含まれます。トラフィックがアクセス コントロール エントリ(ACE)によって明示的に許可されていない場合には、セキュリティ アプライアンスがそのトラフィックを拒否します。このトピックでは、ACE をルールと呼びます。

このペインでは、クライアントレス SSL VPN セッションで使用される ACL、および各 ACL に含まれる ACL エントリを追加および編集できます。また、このペインには ACL と ACE に関する要約情報が表示され、それらをイネーブルまたはディセーブルにしたり、プライオリティ順を変更したりすることもできます。

フィールド

[Add ACL]:ACL または ACE を追加する場合にクリックします。既存の ACE の前後に新しい ACE を挿入するには、[Insert] または [Insert After] をクリックします。

[Edit]:選択されている ACE を編集する場合にクリックします。ACL を削除すると、その ACE もすべて削除されます。警告は表示されず、復元もできません。

[Delete]:選択されている ACL または ACE を削除する場合にクリックします。ACL を削除すると、その ACE もすべて削除されます。警告は表示されず、復元もできません。

[Move UP/Move Down]:ACL または ACE を選択してこれらのボタンをクリックすると、ACL および ACE の順序が変更されます。セキュリティ アプライアンスは、一致するエントリを見つけるまで、ACL リスト内での位置の順に、クライアントレス SSL VPN セッションに適用される ACL およびその ACE をチェックします。

[+/-]:各 ACL 下の ACE のリストを展開したり(+)折りたたんだり(-)して、表示または非表示にする場合にクリックします。

[No]:各 ACL 下の ACE の優先順位を表示します。リスト内での順序によって優先順位が決まります。

[Enabled]:ACE がイネーブルになっているかどうかを表示します。ACE は、作成されるとデフォルトでイネーブルになります。ACE をディセーブルにするには、チェックボックスをオフにします。

[Address]:ACE が適用されるアプリケーションまたはサービスの IP アドレスまたは URL を表示します。

[Service]:ACE が適用される TCP サービスを表示します。

[Action]:ACE でクライアントレス SSL VPN アクセスが許可または拒否されているかどうかを表示します。

[Time]:ACE に関連付けられている時間範囲を表示します。

[Logging (Interval)]:設定されているロギング動作を表示します。ディセーブルにするか、指定されたレベルと間隔で表示します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add ACL

このペインでは、新規 ACL を作成できます。

フィールド

[ACL Name]:ACL の名前を入力します。最大 55 文字です。

Add/Edit ACE

アクセス コントロール エントリは、特定の URL およびサービスへのアクセスを許可または拒否します。ACL に対して、複数の ACE を設定できます。ACL は、初回一致ルールに従って、優先順位に応じて ACE を適用します。

フィールド

[Action]:[Filter] グループ ボックスで指定されている特定のネットワーク、サブネット、ホスト、および Web サーバへのユーザ アクセスを許可または拒否します。

[Filter]:フィルタを適用する(ユーザ アクセスを許可または拒否する)URL または IP アドレスを指定します。

[URL]:指定された URL にフィルタを適用します。

[Protocols (unlabeled)]:URL アドレスのプロトコル部分を指定します。

[://x]:フィルタを適用する Web ページの URL を指定します。

[TCP]:指定された IP アドレス、サブネット、およびポートにフィルタを適用します。

[IP Address]:フィルタを適用する IP アドレスを指定します。

[Netmask]:[IP Address] ボックス内のアドレスに適用する標準サブネット マスクを一覧表示します。

[Service]:一致するサービス(https や Kerberos など)を特定します。[Service] ボックスに表示するサービスの選択元サービスの一覧を表示します。

[Boolean operator](ラベルなし):[Service] ボックスで指定したサービスを照合するときに使用するブーリアン条件(等号、不等号、大なり、小なり、または範囲)を一覧表示します。

[Rule Flow Diagram]:このフィルタを使用して、トラフィックをグラフィカルに描写します。この領域は非表示の場合もあります。

[Options]:ロギング ルールを指定します。デフォルトは Default Syslog です。

[Logging]:特定のログレベルをイネーブルにする場合は、[enable] を選択します。

[Syslog Level]:Logging 属性に対して [Enable] を選択するまではグレー表示です。セキュリティ アプライアンスが表示する syslog メッセージの種類を選択できます。

[Log Interval]:ログ メッセージ間の秒数を選択できます。

[Time Range]:事前定義済みの時間範囲パラメータ セットの名前を選択できます。

[...]:設定済みの時間範囲を参照する場合や、新たに追加する場合にクリックします。

クライアントレス SSL VPN の ACL の例を次に示します。

アクション
フィルタ
影響

拒否

url http://*.yahoo.com/

Yahoo! すべてへのアクセスを拒否します。

拒否

url cifs://fileserver/share/directory

指定された場所にあるすべてのファイルへのアクセスを拒否します。

拒否

url https://www.company.com/ directory/file.html

指定されたファイルへのアクセスを拒否します。

許可

url https://www.company.com/directory

指定された場所へのアクセスを許可します。

拒否

url http://*:8080/

ポート 8080 を介した任意の場所への HTTPS アクセスを拒否します。

拒否

url http://10.10.10.10

10.10.10.10 への HTTP アクセスを拒否します。

許可

url any

任意の URL へのアクセスを許可します。通常は、url アクセスを拒否する ACL のあとに使用されます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Cisco Secure Desktop の設定

Cisco Secure Desktop イメージがセキュリティ アプライアンスにインストールされている場合は、そのイメージのバージョンと状態が Cisco Secure Desktop Setup ウィンドウに表示され、イネーブルになっているかどうかが示されます。また、セキュリティ アプライアンスには、Cisco Secure Desktop および SSL VPN Client を保持するためのキャッシュのサイズも表示されます。

次のようにして、ウィンドウのボタンを使用できます。

Cisco Secure Desktop イメージのコピーを、ローカル コンピュータからセキュリティ アプライアンスのフラッシュ デバイスに転送するには、[Upload] をクリックします。

Cisco Secure Desktop のインストールまたはアップグレードの準備をするには、インターネット ブラウザを使用して、 http://www.cisco.com/cisco/software/navigator.html から自分の PC の任意の場所に、securedesktop_asa_< n >_< n >*.pkg ファイルをダウンロードします。次に、このボタンを使用して、そのファイルをローカル コンピュータからフラッシュ デバイスに転送します。[Browse Flash] をクリックして、実行コンフィギュレーションにインストールします。最後に、[Enable Secure Desktop] をオンにします。

セキュリティ アプライアンス のフラッシュ デバイスにある Cisco Secure Desktop イメージをインストールしたり、置き換えたりするには、[Browse Flash] をクリックします。


) [Browse Flash] ボタンをクリックして Cisco Secure Desktop イメージをアップグレードまたはダウングレードし、インストールするパッケージを選択して [OK] をクリックすると、[Uninstall Cisco Secure Desktop] ダイアログ ウィンドウが表示され、現在実行コンフィギュレーションにある Cisco Secure Desktop ディストリビューションをフラッシュ デバイスから削除するかどうか尋ねられます。フラッシュ デバイスのスペースを節約する場合は [Yes] をクリックします。このオプションを残してこのバージョンの Cisco Secure Desktop に戻す場合は [No] をクリックします。


実行コンフィギュレーションから Cisco Secure Desktop イメージとコンフィギュレーション ファイル(sdesktop/data.xml)を削除するには、[Uninstall] をクリックします。

このボタンをクリックすると、[Uninstall Cisco Secure Desktop] ダイアログ ウィンドウが表示され、「[Secure Desktop Image] フィールド」で命名された Cisco Secure Desktop イメージと、すべての Cisco Secure Desktop データ ファイル(Cisco Secure Desktop コンフィギュレーション全体を含む)をフラッシュ デバイスから削除するかどうか尋ねられます。これらのファイルを実行コンフィギュレーションとフラッシュ デバイスの両方から削除する場合は、[Yes] をクリックします。これらのファイルを実行コンフィギュレーションから削除するが、フラッシュ デバイスには残しておく場合は、[No] をクリックします。

フィールド

[Cisco Secure Desktop Setup] ペインに次のフィールドが表示されます。

[Secure Desktop Image]:実行コンフィギュレーションにロードされた Cisco Secure Desktop イメージを表示します。デフォルトでのファイル名の形式は、securedesktop_asa_<n>_<n>*.pkg です。このフィールドに値を挿入したり、値を編集したりするには、[Browse Flash] をクリックします。

[Enable Secure Desktop]:次の処理を実行するには、オンにして、[Apply] をクリックします。

a. ファイルが有効な Cisco Secure Desktop イメージであることを確認する。

b. 「sdesktop」フォルダが disk0 に存在しない場合には作成する。

c. data.xml(Cisco Secure Desktop コンフィギュレーション)ファイルがまだ存在しない場合には、そのファイルを sdesktop フォルダに挿入する。

d. data.xml ファイルを実行コンフィギュレーションにロードする。


) data.xml ファイルを転送または置換する場合は、Cisco Secure Desktop を一度ディセーブルにし、その後再びイネーブルにしてファイルをロードします。


e. Cisco Secure Desktop をイネーブルにする。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Upload Image

[Upload Image] ダイアログボックスでは、Cisco Secure Desktop イメージのコピーをローカル コンピュータからセキュリティ アプライアンスのフラッシュ デバイスに転送できます。このウィンドウを使用して、Cisco Secure Desktop をインストールまたはアップグレードします。


) このウィンドウを使用する前に、インターネット ブラウザを使用して、http://www.cisco.com/cisco/software/navigator.html からローカル コンピュータの任意の場所に securedesktop_asa_<n>_<n>*.pkg ファイルをダウンロードしてください。


次のようにして、ウィンドウのボタンを使用できます。

転送する securedesktop_asa_< n >_< n >*.pkg ファイルのパスを選択するには、[Browse Local Files] をクリックします。[Selected File Path] ダイアログボックスに、自分のローカル コンピュータで最後にアクセスしたフォルダの内容が表示されます。securedesktop_asa_< n >_< n >*.pkg ファイルのある場所に移動し、そのファイルを選択して [Open] をクリックします。

ファイルのターゲット ディレクトリを選択するには、[Browse Flash] をクリックします。[Browse Flash] ダイアログボックスに、フラッシュ カードの内容が表示されます。

ローカル コンピュータからフラッシュ デバイスに securedesktop_asa_< n >_< n >*.pkg ファイルをアップロードするには、[Upload File] をクリックします。[Status] ウィンドウが表示され、ファイル転送中は開いたままの状態を維持します。転送が終わり、[Information] ウィンドウに「File is uploaded to flash successfully.」というメッセージが表示されたら、[OK] をクリックします。[Upload Image] ダイアログ ウィンドウから、[Local File Path] フィールドと [Flash File System Path] フィールドの内容が削除されます。

[Upload Image] ダイアログ ウィンドウを閉じるには、[Close] をクリックします。このボタンは、Cisco Secure Desktop イメージをフラッシュ デバイスにアップロードした後に、またはイメージをアップロードしない場合にクリックしてください。アップロードした場合には、[Cisco Secure Desktop Setup] ウィンドウの [Secure Desktop Image] フィールドにそのファイル名が表示されます。アップロードしなかった場合には、「Are you sure you want to close the dialog without uploading the file?」と尋ねる [Close Message] ダイアログボックスが表示されます。ファイルをアップロードしない場合は、[OK] をクリックします。[Close Message] ダイアログボックスと [Upload Image] ダイアログボックスが閉じられ、[Cisco Secure Desktop Setup] ペインが表示されます。この処理が実行されない場合は、[Close Message] ダイアログボックスの [Cancel] をクリックします。ダイアログボックスが閉じられ、フィールドの値がそのままの状態で [Upload Image] ダイアログボックスが再度表示されます。[Upload File] をクリックします。

フィールド

[Upload Image] ダイアログボックスには、次のフィールドが表示されます。

[Local File Path]:ローカル コンピュータでの、securedesktop_asa_< n >_< n >*.pkg ファイルへのパスを指定します。[Browse Local] をクリックしてこのフィールドにパスを自動的に挿入するか、パスを入力します。次の例を参考にしてください。

D:\Documents and Settings\ Windows_user_name .AMER\My Documents\My Downloads\securedesktop_asa_3_1_1_16.pkg

ASDM が [Local File Path] フィールドにファイルのパスを挿入します。

[Flash File System Path]:セキュリティ アプライアンスのフラッシュ デバイス上のアップロード先パスと、対象ファイルの名前を指定します。[Browse Flash] をクリックしてこのフィールドにパスを自動的に挿入するか、パスを入力します。次に例を示します。

disk0:/securedesktop_asa_3_1_1_16.pkg

[File Name]:このフィールドは、[Browse Flash] をクリックした場合に表示される [Browse Flash] ダイアログボックスに配置されており、ローカル コンピュータで選択した Cisco Secure Desktop イメージの名前が表示されます。混乱を防ぐために、この名前を使用することをお勧めします。このフィールドに、選択したローカル ファイルと同じ名前が表示されていることを確認し、[OK] をクリックします。[Browse Flash] ダイアログボックスが閉じます。ASDM が [Flash File System Path] フィールドにアップロード先のファイル パスを挿入します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Application Helper の設定

クライアントレス SSL VPN に組み込まれているアプリケーション プロファイル カスタマイゼーション フレームワーク オプションにより、セキュリティ アプライアンス は標準以外のアプリケーションや Web リソースを処理し、クライアントレス SSL VPN 接続で正しく表示できます。APCF プロファイルには、特定のアプリケーションに関して、いつ(事前、事後)、どこの(ヘッダー、本文、要求、応答)、どのデータを変換するかを指定するスクリプトがあります。スクリプトは XML 形式で記述され、sed(ストリーム エディタ)の構文を使用して文字列およびテキストを変換します。

一般的には、Cisco TAC によって APCF を書き込んで適用できます。

APCF プロファイルは、セキュリティ アプライアンス上で数種類を同時に実行するように設定できます。1 つの APCF プロファイルのスクリプト内に複数の APCF ルールを適用することができます。この場合、セキュリティ アプライアンスは、設定履歴に基づいて最も古いルールを最初に処理し、次に 2 番目に古いルール、その次は 3 番目という順序で処理します。

APCF プロファイルは、セキュリティ アプライアンスのフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、FTP サーバ、または TFTP サーバに保存できます。このパネルは、APCF パッケージを追加、編集、および削除する場合と、パッケージを優先順位に応じて並べ替える場合に使用します。

フィールド

[APCF File Location]:APCF パッケージの場所についての情報を表示します。セキュリティ アプライアンスのフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、FTP サーバ、または TFTP サーバのいずれかです。

[Add/Edit]:新規または既存の APCF プロファイルを追加または編集します。

[Delete]:既存の APCF プロファイルを削除します。確認されず、やり直しもできません。

[Move Up]:リスト内の APCF プロファイルを再配置します。リストにより、セキュリティ アプライアンスが APCF プロファイルを使用するときの順序が決まります。

Add/Edit APCF Profile

このパネルでは、APCF パッケージを追加または編集できます。この作業を行うに当たっては、パッケージの場所を特定します。場所は、セキュリティ アプライアンスのフラッシュ メモリの場合もあれば、HTTP サーバ、HTTPS サーバ、または TFTP サーバの場合もあります。

フィールド

[Flash file]:セキュリティ アプライアンスのフラッシュ メモリに保存されている APCF ファイルを指定する場合にオンにします。

[Path]:ユーザがフラッシュ メモリに格納されている APCF ファイルを指定するために参照した後、そのファイルへのパスを表示します。このフィールドにパスを手動で入力することもできます。

[Browse Flash]:フラッシュ メモリを参照して APCF ファイルを指定します。[Browse Flash Dialog] パネルが表示されます。[Folders] および [Files] 列を使用して APCF ファイルを指定します。APCF ファイルを選択して、[OK] をクリックします。ファイルへのパスが [Path] フィールドに表示されます。


) 最近ダウンロードした APCF ファイルの名前が表示されない場合には、[Refresh] ボタンをクリックします。


[Upload]:APCF ファイルをローカル コンピュータからセキュリティ アプライアンスのフラッシュ ファイル システムにアップロードします。[Upload APCF package] ペインが表示されます。

[URL]:HTTP サーバ、HTTPS サーバ、または TFTP サーバに保存されている APCF ファイルを使用する場合にオンにします。

[ftp, http, https, and tftp (unlabeled)]:サーバ タイプを特定します。

[URL (unlabeled)]:FTP、HTTP、HTTPS、または TFTP サーバへのパスを入力します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Upload APCF package

フィールド

[Local File Path]:コンピュータ上にある APCF ファイルへのパスを表示します。[Browse Local] をクリックしてこのフィールドにパスを自動的に挿入するか、パスを入力します。

[Browse Local Files]:自分のコンピュータ上の転送する APCF ファイルを指定および選択します。[Select File Path] ダイアログボックスに、自分のローカル コンピュータで最後にアクセスしたフォルダの内容が表示されます。APCF ファイルに移動して選択し、[Open] をクリックします。ASDM が [Local File Path] フィールドにファイルのパスを挿入します。

[Flash File System Path]:APCF ファイルをアップロードするセキュリティ アプライアンス上のパスを表示します。

[Browse Flash]:APCF ファイルをアップロードするセキュリティ アプライアンス上の場所を特定します。[Browse Flash] ダイアログボックスに、フラッシュ メモリの内容が表示されます。

[File Name]:このフィールドは、[Browse Flash] をクリックしたときに表示される [Browse Flash] ダイアログボックスにあり、ローカル コンピュータで選択した APCF ファイルの名前を表示します。混乱を防ぐために、この名前を使用することをお勧めします。このファイルの名前が正しく表示されていることを確認し、[OK] をクリックします。[Browse Flash] ダイアログボックスが閉じます。ASDM が [Flash File System Path] フィールドにアップロード先のファイル パスを挿入します。

[Upload File]:自分のコンピュータの APCF ファイルの場所と、APCF ファイルをセキュリティ アプライアンスにダウンロードする場所を特定します。

[Status] ウィンドウが表示され、ファイル転送中は開いたままの状態を維持します。転送が終わり、[Information] ウィンドウに「File is uploaded to flash successfully.」というメッセージが表示されたら、[OK] をクリックします。[Upload Image] ダイアログ ウィンドウから、[Local File Path] フィールドと [Flash File System Path] フィールドの内容が削除されます。これは、別のファイルをアップロードできることを表します。別のファイルをアップロードするには、上記の手順を繰り返します。そうでない場合は、[Close] ボタンをクリックします。

[Close]:[Upload Image] ダイアログウィンドウを閉じます。APCF ファイルをフラッシュ メモリにアップロードした後、またはアップロードしない場合に、このボタンをクリックします。アップロードする場合には、[APCF] ウィンドウの [APCF File Location] フィールドにファイル名が表示されます。アップロードしない場合には、「Are you sure you want to close the dialog without uploading the file?」と尋ねる [Close Message] ダイアログボックスが表示されます。ファイルをアップロードしない場合は、[OK] をクリックします。[Close Message] ダイアログボックスと [Upload Image] ダイアログボックスが閉じられ、APCF [Add/Edit] ペインが表示されます。この処理が実行されない場合は、[Close Message] ダイアログボックスの [Cancel] をクリックします。ダイアログボックスが閉じられ、フィールドの値がそのままの状態で [Upload Image] ダイアログボックスが再度表示されます。[Upload File] をクリックします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

SharePoint アクセスのクロック精度

セキュリティ アプライアンスのクライアントレス SSL VPN サーバは、クッキーを使用して、エンドポイントの Microsoft Word などのアプリケーションと対話します。セキュリティ アプライアンスで設定されたクッキーの有効期間により、セキュリティ アプライアンスの時間が正しくない場合、SharePoint サーバ上の文書にアクセスするときに Word が正しく機能しなくなる可能性があります。このような誤作動を回避するには、ASA クロックを正しく設定します。NTP サービスと動的に同期できるよう、セキュリティ アプライアンスを設定することをお勧めします。手順については、「Clock」を参照してください。

Auto Signon

[Auto Signon] ウィンドウまたはタブでは、クライアントレス SSL VPN ユーザの自動サインオンを設定または編集できます。自動サインオンは、内部ネットワークに SSO 方式をまだ展開していない場合に使用できる簡素化された単一サインオン方式です。特定の内部サーバに対して自動サインオンを設定すると、セキュリティ アプライアンス は、クライアントレス SSL VPN ユーザが セキュリティ アプライアンス へのログインで入力したログイン クレデンシャル(ユーザ名とパスワード)をそれら特定の内部サーバに渡します。特定の範囲のサーバの特定の認証方式に応答するように、セキュリティ アプライアンスを設定します。セキュリティ アプライアンスが応答するように設定可能な認証方式は、Basic(HTTP)、NTLM、FTP と CIFS、またはこれらの方式すべてを使用する認証で構成されます。

自動サインオンは、特定の内部サーバに SSO を設定する直接的な方法です。この項では、自動サインオンを行うように SSO をセットアップする手順について説明します。Computer Associates の SiteMinder SSO サーバを使用して SSO をすでに展開しているか、または Security Assertion Markup Language(SAML)Browser Post Profile SSO を使用している場合、およびこのソリューションをサポートするようにセキュリティ アプライアンスを設定する場合は、 SSO Serversを参照してください。HTTP Form プロトコルで SSO を使用し、この方法をサポートするようにセキュリティ アプライアンスを設定する場合は、 HTTP Form でのクライアントレス SSL VPN に対する SSO のサポートを参照してください。


) 認証が不要なサーバ、またはセキュリティ アプライアンスとは異なるクレデンシャルを使用するサーバでは、自動サインオンをイネーブルにしないでください。自動サインオンがイネーブルの場合、セキュリティ アプライアンスは、ユーザ ストレージにあるクレデンシャルに関係なく、ユーザがセキュリティ アプライアンスへのログインで入力したログイン クレデンシャルを渡します。


フィールド

[IP Address]: 表示専用 。次の [Mask] と組み合わせて、認証されるサーバの IP アドレスの範囲を [Add/Edit Auto Signon] ダイアログボックスで設定されたとおりに表示します。サーバは、サーバの URI またはサーバの IP アドレスとマスクで指定できます。

[Mask]: 表示専用 。前の [IP Address] と組み合わせて、[Add/Edit Auto Signon] ダイアログボックスで自動サインオンをサポートするように設定されたサーバの IP アドレスの範囲を表示します。

[URI]: 表示専用 。[Add/Edit Auto Signon] ダイアログボックスで設定されたサーバを識別する URI マスクを表示します。

[Authentication Type]: 表示専用 。認証タイプを表示します。[Add/Edit Auto Signon] ダイアログボックスで設定された、Basic(HTTP)、NTLM、FTP と CIFS、またはこれらの方式すべて。NTLM には NTLMv1 と NTLMv2 の両方が含まれます。

[Add/Edit]:自動サインオン命令を追加または編集します。自動サインオン命令は、自動サインオン機能を使用する内部サーバの範囲と、特定の認証方式を定義します。

[Delete]:[Auto Signon] テーブルで選択した自動サインオン命令を削除します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit Auto Signon Entry

[Add/Edit Auto Signon Entry] ダイアログボックスでは、新しい自動サインオン命令を追加または編集できます。自動サインオン命令は、自動サインオン機能を使用する内部サーバの範囲と、特定の認証方式を定義します。

フィールド

[IP Block]:IP アドレスとマスクを使用して内部サーバの範囲を指定します。

[IP Address]:自動サインオンを設定する範囲の最初のサーバの IP アドレスを入力します。

[Mask]:[subnet mask] メニューで、自動サインオンをサポートするサーバのサーバ アドレス範囲を定義するサブネット マスクをクリックします。

[URI]:URI によって自動サインオンをサポートするサーバを指定し、このボタンの横にあるフィールドに URI を入力します。

[Authentication Type]:サーバに割り当てられている認証方式。指定された範囲のサーバの場合には、Basic HTTP 認証要求、NTLM 認証要求、FTP と CIFS の認証要求、またはこれらの方式のいずれかを使用する要求に応答するように、セキュリティ アプライアンスを設定できます。

[Basic]:サーバが Basic(HTTP)認証をサポートする場合は、このボタンをクリックします。

[NTLM]:サーバが NTLMv1 認証をサポートする場合は、このボタンをクリックします。

[FTP/CIFS]:サーバが FTP と CIFS の認証をサポートする場合は、このボタンをクリックします。

[Basic, NTLM, and FTP/CIFS]:サーバが上のすべての方式をサポートする場合は、このボタンをクリックします。


) 一定範囲のサーバに対して 1 つの方式(HTTP Basic など)を設定する場合に、その中の 1 台のサーバが異なる方式(NTLM など)で認証を試みると、セキュリティ アプライアンスはユーザのログイン クレデンシャルをそのサーバに渡しません。


モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

セッションの設定

[Clientless SSL VPN Add/Edit Internal Group Policy] > [More Options] > [Session Settings] ウィンドウでは、クライアントレス SSL VPN のセッションからセッションの間にパーソナライズされたユーザ情報を指定できます。デフォルトにより、各グループ ポリシーはデフォルトのグループ ポリシーから設定を継承します。このウィンドウを使用して、デフォルト グループ ポリシーのパーソナライズされたクライアントレス SSL VPN ユーザ情報、およびこれらの設定値を区別するグループ ポリシーすべてを指定します。

フィールド

[User Storage Location]:[none] を選択するか、またはドロップダウン メニューからファイル サーバ プロトコル(smb または ftp)を選択します。[smb] または [ftp] を選択する場合は、次の構文を使用して、隣のテキスト フィールドにファイル システムの宛先を入力します。

username : password @ host : port-number / path

次に例を示します。

mike:mysecret@ftpserver3:2323/public


) このコンフィギュレーションには、ユーザ名、パスワード、および事前共有キーが示されていますが、セキュリティ アプライアンスは、内部アルゴリズムを使用して暗号化された形式でデータを保存し、そのデータを保護します。


[Storage Key]:必要な場合は、保管場所へユーザがアクセスできるようにするためにセキュリティ アプライアンスが渡す文字列を入力します。

[Storage Objects]:ドロップダウン メニューから次のいずれかのオプションを選択して、ユーザとの関連でサーバが使用するオブジェクトを指定します。セキュリティ アプライアンスは、これらのオブジェクトを保存してクライアントレス SSL VPN 接続をサポートします。

cookies,credentials

cookies

credentials

[Transaction Size]:セッションをタイムアウトするときの限界値を KB 単位で入力します。この属性は、1 つのトランザクションにだけ適用されます。この値よりも大きなトランザクションだけが、セッションの期限切れクロックをリセットします。

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Java Code Signer

コード署名により、デジタル署名が、実行可能なコードそのものに追加されます。このデジタル署名には、さまざまな情報が保持されています。署名以降にそのコードが変更されていないことを保証するだけでなく、署名者を認証する場合に使用することもできます。

コード署名者証明書は、関連付けられている秘密キーがデジタル署名の作成に使用される特殊な証明書です。コードの署名に使用される証明書は CA から取得され、署名されたコードそのものが証明書の発生元を示します。

[Java Code Signer] を選択するには、ドロップダウン リストを使用します。

Java Code Signer を設定するには、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Java Code Signer] に移動します。

コンテンツ キャッシュ

キャッシュにより、クライアントレス SSL VPN のパフォーマンスを強化します。頻繁に再利用されるオブジェクトをシステム キャッシュに格納することで、書き換えの繰り返しやコンテンツの圧縮の必要性を低減します。キャッシュを使用することでトラフィック量が減り、結果として多くのアプリケーションがより効率的に実行されます。

フィールド

[Enable cache]:キャッシングをイネーブルにする場合にオンにします。デフォルト値は disable です。

[Parameters]:キャッシング条件を定義できます。

[Enable caching of compressed content]:圧縮されたコンテンツをキャッシュする場合にオンにします。このパラメータをディセーブルにすると、セキュリティ アプライアンスがオブジェクトを保存してから圧縮します。

[Maximum Object Size]:セキュリティ アプライアンスがキャッシュできるドキュメントの最大サイズを KB 単位で入力します。セキュリティ アプライアンスが、オブジェクトの元の(書き換えまたは圧縮されていない)コンテンツの長さを測定します。範囲は 0 ~ 10,000 KB で、デフォルトは 1,000 KB です。

[Minimum Object Size]:セキュリティ アプライアンスがキャッシュできるドキュメントの最小サイズを KB 単位で入力します。セキュリティ アプライアンスが、オブジェクトの元の(書き換えまたは圧縮されていない)コンテンツの長さを測定します。範囲は 0 ~ 10,000 KB で、デフォルトは 0 KB です。


) [Maximum Object Size] は、[Minimum Object Size] よりも大きい値にする必要があります。


[Expiration Time]:0 ~ 900 の整数を入力して、オブジェクトを再検証しないでキャッシュする分数を設定します。デフォルトは 1 分です。

[LM Factor]:1 ~ 100 の整数を入力します。デフォルトは 20 です。

LM 因数は、最終変更タイムスタンプだけを持つオブジェクトをキャッシュするためのポリシーを設定します。これによって、サーバ設定の変更値を持たないオブジェクトが再検証されます。セキュリティ アプライアンスは、オブジェクトが変更された後、およびオブジェクトが期限切れの時刻を呼び出した後の経過時間を推定します。推定された期限切れ時刻は、最終変更後の経過時間と LM 因数の積に一致します。LM 因数を 0 に設定すると、ただちに再検証が実行され、100 に設定すると、再検証までの許容最長時間になります。

期限切れ時刻は、セキュリティ アプライアンスが、最終変更タイムスタンプがなく、サーバ設定の期限切れ時刻も明示されていないオブジェクトをキャッシュする時間の長さを設定します。

[Cache static content]:たとえば PDF ファイルやイメージなど、リライトされることのないすべてのコンテンツをキャッシュします。

[Restore Cache Default]:すべてのキャッシュ パラメータをデフォルト値に戻します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Content Rewrite

[Content Rewrite] ペインには、コンテンツのリライトがイネーブルまたはディセーブルであるすべてのアプリケーションが一覧表示されます。

クライアントレス SSL VPN では、コンテンツ変換およびリライト エンジンによって、JavaScript、VBScript、Java、マルチバイト文字などの高度な要素からプロキシ HTTP へのトラフィックまでを含む、アプリケーション トラフィックを処理します。このようなトラフィックでは、ユーザがアプリケーションにアクセスするのに SSL VPN デバイス内部からアプリケーションを使用しているか、SSL VPN デバイスに依存せずに使用しているかによって、セマンティックやアクセス コントロールのルールが異なる場合があります。

デフォルトでは、セキュリティ アプライアンスはすべてのクライアントレス トラフィックをリライト、または変換します。公開 Web サイトなどの一部のアプリケーションや Web リソースによっては、セキュリティ アプライアンスを通過しない設定が求められる場合があります。このため、セキュリティ アプライアンスでは、特定のサイトやアプリケーションをセキュリティ アプライアンスを通過せずにブラウズできるリライト規則を作成できます。これは、IPSec VPN 接続のスプリット トンネリングと同様の機能です。

リライト ルールは複数作成できます。セキュリティ アプライアンスはリライト ルールを順序番号に従って検索するため、ルールの番号は重要です。このとき、最下位の番号から順に検索して行き、最初に一致したルールが適用されます。

コンテンツ リライト ルールの例に、コンテンツ リライト ルールを例示します。

フィールド

Content Rewrite

[Rule Number]:リスト内でのルールの位置を示す整数を表示します。

[Rule Name]:ルールが適用されるアプリケーションの名前を付けます。

[Rewrite Enabled]:コンテンツのリライトを、イネーブルかディセーブルで表示します。

[Resource Mask]:リソース マスクを入力します。

[Add/Edit]:リライト エントリを追加、または選択したリライト エントリを編集します。

[Delete]:選択したリライト エントリを削除します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

コンテンツ リライト ルールの追加と編集

[Enable content rewrite]:このリライト ルールでコンテンツのリライトをイネーブルにする場合に選択します。

[Rule Number]:(任意)このルールの番号を入力します。この番号は、リストの他のルールに相対的に、そのルールの優先順位を示します。番号がないルールはリストの最後に配置されます。有効な範囲は 1 ~ 65534 です。

[Rule Name]:(任意)ルールについて説明する英数字を指定します。最大 128 文字です。

[Resource Mask]:ルールを適用するアプリケーションやリソースに対応する文字列を入力します。文字列の長さは最大で 300 文字です。次のいずれかのワイルドカードを使用できますが、少なくとも 1 つの英数字を指定する必要があります。

*:すべてに一致します。ASDM では、* または *.* で構成されるマスクは受け付けません。

?:任意の 1 文字に一致します。

[!seq]:シーケンスにない任意の文字に一致します。

[seq]:シーケンス内の任意の文字に一致します。

コンテンツ リライト ルールの例

 

機能
コンテンツのリライトをイネーブルにする
ルール番号
ルール名
リソース マスク

すべての HTTP URL を ASA 外に強制的に配信する(スプリット トンネル)

Check

1

split-tunnel-all-http

http://*

すべての HTTP URL を ASA 外に強制的に配信する

Check

2

split-tunnel-all-https

https://*

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Java Code Signer

クライアントレス SSL VPN によって変換された Java オブジェクトは、その後、トラストポイントに関連付けられている PKCS12 デジタル証明書を使用して署名することができます。[Java Trustpoint] ペインでは、指定されたトラストポイントの場所から PKCS12 証明書とキー関連情報を使用するように、クライアントレス SSL VPN Java オブジェクト署名機能を設定できます。トラストポイントをインポートするには、[Configuration] > [Properties] > [Certificate] > [Trustpoint] > [Import] を参照してください。

フィールド

[Code Signer Certificate]:Java オブジェクト署名で使用する、設定された証明書を選択します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Encoding

このウィンドウでは、クライアントレス SSL VPN ポータル ページの文字エンコーディングを表示または指定できます。

文字エンコーディング (「文字コーディング」または「文字セット」とも呼ばれます)は、raw データ(0 と 1 からなるデータなど)と文字をペアにすることで、データを表します。使用する文字エンコード方式は、言語によって決まります。単一の方式を使う言語もあれば、使わない言語もあります。通常は、地域によってブラウザで使用されるデフォルトのコード方式が決まりますが、リモート ユーザが変更することもできます。ブラウザはページに指定されたエンコードを検出することもでき、そのエンコードに従ってドキュメントを表示します。

エンコード属性によりポータル ページで使用される文字コード方式の値を指定することで、ユーザがブラウザを使用している地域や、ブラウザに対する何らかの変更に関係なく、ページが正しく表示されるようにできます。

デフォルトでは、セキュリティ アプライアンスは「Global Encoding Type」を共通インターネット ファイル システム サーバからのページに適用します。CIFS サーバと適切な文字エンコーディングとのマッピングを、[Global Encoding Type] 属性によってグローバルに、そしてテーブルに示されているファイル エンコーディング例外を使用して個別に行うことにより、ファイル名やディレクトリ パス、およびページの適切なレンダリングが問題となる場合に、CIFS ページが正確に処理および表示できるようにします。

フィールド

[Global Encoding Type]:この属性によって、表に記載されている CIFS サーバからの文字エンコーディングを除いて、すべてのクライアントレス SSL VPN ポータル ページが継承する文字エンコーディングが決まります。文字列を入力するか、ドロップダウン リストから選択肢を 1 つ選択します。リストには、最も一般的な次の値だけが表示されます。

big5

gb2312

ibm-850

iso-8859-1

shift_jis


) 日本語の Shift_jis 文字エンコーディングを使用している場合は、関連付けられている [Select Page Font] ペインの [Font Family] 領域にある [Do not specify] をクリックして、このフォント ファミリを削除します。


unicode

windows-1252

none

[none] を選択するか、またはクライアントレス SSL VPN セッションのブラウザがサポートしていない値を指定した場合には、ブラウザのデフォルトのエンコーディングが使用されます。

最大 40 文字から成り、 http://www.iana.org/assignments/character-sets で指定されているいずれかの有効文字セットと同じ文字列を入力できます。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。このストリングは、大文字と小文字が区別されません。セキュリティ アプライアンスの設定を保存したときに、コマンド インタープリタが大文字を小文字に変換します。

[CIFS Server]:コード要件が「Global Encoding Type」属性設定とは異なる各 CIFS サーバの名前または IP アドレス。

CIFS サーバのファイル名とディレクトリのコードが異なる場合は、コードが正しいことをサーバに認識させるために、場合によってはエントリを追加する必要があることを表します。

[Encoding Type]:関連付けられている CIFS サーバで優先される文字コードを表示します。

[Add]:「Global Encoding Type」設定を上書きする CIFS サーバごとに 1 回クリックします。

[Edit]:テーブルから CIFS サーバを選択し、このボタンをクリックして文字コードを変更します。

[Delete]:テーブルから CIFS サーバを選択し、このボタンをクリックして、関連付けられているエントリをテーブルから削除します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

エンコードの追加と編集

[Add CIFS Server Encoding] ダイアログ ウィンドウでは、[Add CIFS Encoding] ウィンドウの「Global Encoding Type」属性設定に対する例外を保持できます。このウィンドウには、このダイアログボックスを開く [Add] および [Edit] ボタンがあります。

フィールド

[CIFS Server]:エンコーディング要件が「Global Encoding Type」属性設定とは異なる CIFS サーバの名前または IP アドレスを入力します。セキュリティ アプライアンスでは、指定した大文字と小文字の区別が保持されますが、名前をサーバと照合するときには大文字と小文字は区別されません。

[Encoding Type]:CIFS サーバがクライアントレス SSL VPN ポータル ページで使用する文字エンコーディングを選択します。文字列を入力するか、ドロップダウン リストから選択します。リストには、最も一般的な次の値だけが登録されています。

big5

gb2312

ibm-850

iso-8859-1

shift_jis


) 日本語の Shift_jis 文字エンコーディングを使用している場合は、関連付けられている [Select Page Font] ペインの [Font Family] 領域にある [Do not specify] をクリックして、このフォント ファミリを削除します。


unicode

windows-1252

none

[none] を選択するか、またはクライアントレス SSL VPN セッションのブラウザがサポートしていない値を指定した場合には、ブラウザのデフォルトのエンコーディングが使用されます。

最大 40 文字から成り、 http://www.iana.org/assignments/character-sets で指定されているいずれかの有効文字セットと同じ文字列を入力できます。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。このストリングは、大文字と小文字が区別されません。セキュリティ アプライアンスの設定を保存したときに、コマンド インタープリタが大文字を小文字に変換します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Web ACLs

[Web ACLs] テーブルには、セキュリティ アプライアンスで設定されている、クライアントレス SSL VPN トラフィックに適用できるフィルタが表示されます。このテーブルには、各アクセス コントロール リスト(ACL)の名前、および ACL 名の下で右にインデントされて、その ACL に割り当てられているアクセス コントロール エントリ(ACE)が表示されます。

各 ACL により、特定のネットワーク、サブネット、ホスト、および Web サーバへのアクセスを許可または拒否します。各 ACE は、ACL の機能を提供する 1 つのルールを指定します。

ACL は、クライアントレス SSL VPN トラフィックに適用されるように設定できます。次の規則が適用されます。

フィルタを設定しない場合は、すべての接続が許可されます。

セキュリティ アプライアンスは、インターフェイスのインバウンド ACL だけをサポートします。

各 ACL の最後では、表記されない暗黙のルールにより、明示的に許可されていないすべてのトラフィックが拒否されます。

ACL および ACE を追加するには、次の手順を実行します。

ACL を追加するには、テーブルの上にあるプラス記号の横の下矢印をクリックし、[Add ACL] をクリックします。


) ACE を追加するには、テーブルに ACL が表示されている必要があります。


テーブル内にすでに表示されている ACL に ACE を追加するには、追加する ACE を選択し、テーブルの上にあるプラス記号の横の下矢印をクリックして、[Add ACE] をクリックします。

テーブル内にすでに存在する ACE の前に ACE を追加するには、追加する ACE を選択し、テーブルの上にあるプラス記号の横の下矢印をクリックして、[Insert] をクリックします。

テーブル内にすでに存在する ACE の後に ACE を追加するには、追加する ACE を選択し、テーブルの上にあるプラス記号の横の下矢印をクリックして、[Insert After] をクリックします。

ACE に割り当てられている値を変更するには、その値をダブルクリックするか、選択して [Edit] をクリックします。

ACL または ACE を削除するには、テーブルでそのエントリを選択し、[Delete] をクリックします。

ACL 内での ACE の相対的な位置により、セキュリティ アプライアンスがインターフェイスのトラフィックに ACE を適用するときの順番が決まります。テーブル内の ACE を並べ替えて再使用するには、次の手順を実行します。

ACE を他の ACE の上または下に移動させるには、移動させる ACE を選択して、テーブルの上にある上へまたは下へアイコンをクリックします。

ACE を移動させるには、その ACE を選択し、テーブルの上にあるはさみアイコンをクリックします。ターゲットの ACL または ACE を選択し、クリップボード アイコンの横の矢印をクリックして、選択したエントリの上に貼り付けるには [Paste] を、選択したエントリの後に貼り付けるには [Paste After] をクリックします。[Edit ACE] ダイアログ ウィンドウが開きます。このダイアログボックスでは、値を変更できます。[OK] をクリックします。

ACE をコピーするには、コピーする ACE を選択し、テーブルの上にある見開きページ アイコンをクリックします。ターゲットの ACL または ACE を選択し、クリップボード アイコンの横の矢印をクリックして、選択したエントリの上に貼り付けるには [Paste] を、選択したエントリの後に貼り付けるには [Paste After] をクリックします。[Edit ACE] ダイアログ ウィンドウが開きます。このダイアログボックスでは、値を変更できます。[OK] をクリックします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Port Forwarding

[Port Forwarding] ペインと [Configure Port Forwarding Lists] ダイアログボックスでは、ポート転送リストを表示できます。[Port Forwarding] ペインと [Add or Edit Port Forwarding Entry] ダイアログボックスの両方で、ポート転送リストの名前を指定し、リストのポート転送エントリを追加、表示、編集、および削除できます。

ポート転送リストを追加、変更、または削除するには、次のいずれかの操作を実行します。

ポート転送リストを追加し、そのリストにエントリを追加するには、[Add] をクリックします。[Add Port Forwarding List] ダイアログボックスが開きます。リストに名前を付けたら、もう一度 [Add] をクリックします。ASDM が [Add Port Forwarding Entry] ダイアログボックスを開きます。このダイアログボックスでは、エントリの属性をリストに割り当てることができます。属性を割り当てて [OK] をクリックすると、ASDM のリストにそれらの属性が表示されます。必要に応じて手順を繰り返してリストを完成させ、[Add Port Forwarding List] ダイアログボックスで [OK] をクリックします。

ポート転送リストを変更するには、そのリストをダブルクリックするか、またはテーブル内のリストを選択して [Edit] をクリックします。次に、[Add] をクリックして新しいエントリをリストに挿入するか、またはリストのエントリをクリックし、[Edit] または [Delete] をクリックします。

リストを削除するには、テーブル内のリストを選択して [Delete] をクリックします。

ポート転送を使用する理由

ポート転送は、クライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションをサポートするためのレガシー テクノロジーです。ポート転送テクノロジーをサポートする設定を事前に構築している場合は、ポート転送の使用を選択することもできます。

ポート転送の代替方法として次を検討してください。

スマート トンネル アクセスを使用すると、ユーザには次のような利点があります。

スマート トンネルは、プラグインよりもパフォーマンスが向上します。

ポート転送とは異なり、スマート トンネルでは、ローカル ポートへのローカル アプリケーションのユーザ接続を要求しないことにより、ユーザ エクスペリエンスが簡略化されます。

ポート転送とは異なり、スマート トンネルでは、ユーザは管理者特権を持つ必要がありません。

ポート転送およびスマート トンネル アクセスとは異なり、プラグインでは、クライアント アプリケーションをリモート コンピュータにインストールする必要がありません。

セキュリティ アプライアンスでポート転送を設定する場合は、アプリケーションが使用するポートを指定します。スマート トンネル アクセスを設定する場合は、実行ファイルまたはそのパスの名前を指定します。

ポート転送の要件と制限事項

ポート転送には次の制限が適用されます。

リモート ホストで、次のいずれかの 32 ビット バージョンが実行されている必要がある。

Microsoft Windows Vista、Windows XP SP2 または SP3、または Windows 2000 SP4

Apple Mac OS X 10.4 または 10.5 と Safari 2.0.4(419.3)

Fedora Core 4

また、リモート ホストで Sun JRE 1.5 以降が動作していることも必要です。

Mac OS X 10.5.3 上の Safari のブラウザベースのユーザは、Safari での URL の解釈方法に従って、使用するクライアント証明書を、1 回目は末尾にスラッシュを含め、もう 1 回はスラッシュを含めずに、セキュリティ アプライアンスの URL を使用して指定する必要があります。次に例を示します。

https://example.com/

https://example.com

詳細については、『 Safari, Mac OS X 10.5.3: Changes in client certificate authentication 』を参照してください。

ポート転送またはスマート トンネルを使用する Microsoft Windows Vista ユーザは、ASA の URL を信頼済みサイト ゾーンに追加する。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista ユーザは、[Protected Mode] をディセーブルにしてスマート トンネル アクセスを容易にすることもできます。ただし、攻撃に対するコンピュータの脆弱性が増すため、この方法は推奨しません。

ポート転送は、スタティック TCP ポートを使用する TCP アプリケーションのみをサポートしています。ダイナミック ポートまたは複数の TCP ポートを使用するアプリケーションはサポートしていません。たとえば、ポート 22 を使用する SecureFTP は、クライアントレス SSL VPN のポート転送を介して動作しますが、ポート 20 と 21 を使用する標準 FTP は動作しません。

ポート転送は、UDP を使用するプロトコルをサポートしていません。

セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしていません。MAPI プロトコルを使用した Microsoft Outlook Exchange 通信では、リモート ユーザが AnyConnect を使用する必要があります。

ステートフル フェールオーバーでは、Application Access(ポート転送またはスマート トンネル アクセス)を使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

ポート転送は、Personal Digital Assistants(PDA; 携帯情報端末)への接続はサポートしていません。

ポート転送を使用するには、Java アプレットをダウンロードしてローカル クライアントを設定する必要があります。これには、ローカル システムに対する管理者の許可が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。


注意 ポート転送(アプリケーション アクセス)およびデジタル証明書をサポートするために、リモート コンピュータに Sun Microsystems Java Runtime Environment(JRE)1.5.x 以降がインストールされていることを確認してください。JRE 1.4.x が実行中で、ユーザがデジタル証明書で認証される場合、JRE は Web ブラウザの証明書ストアにアクセスできないため、アプリケーションは起動しません。

Java アプレットは、エンド ユーザの HTML インターフェイスにあるアプレット独自のウィンドウに表示されます。このウィンドウには、ユーザが使用できる転送ポートのリストの内容、アクティブなポート、および送受信されたトラフィック量(バイト単位)が表示されます。

ポート転送も ASDM Java アプレットも、デジタル証明書を使用するユーザ認証では動作しません。Java には、Web ブラウザ キーストアにアクセスする機能はありません。このため、Java はブラウザがユーザの認証に使用する証明書を使用できず、アプリケーションは起動できません。

次の項で説明するように、ポート転送には DNS を設定する必要があります。

ポート転送用の DNS の設定

ポート転送では、リモート サーバのドメイン名またはその IP アドレスを ASA に転送して、解決および接続を行います。つまり、ポート転送アプレットは、アプリケーションからの要求を受け入れて、その要求を ASA に転送します。ASA は適切な DNS クエリーを作成し、ポート転送アプレットの代わりに接続を確立します。ポート転送アプレットは、ASA に対する DNS クエリーだけを作成します。ポート転送アプレットはホスト ファイルをアップデートして、ポート転送アプリケーションが DNS クエリーを実行したときに、クエリーがループバック アドレスにリダイレクトされるようにします。

次のように、DNS 要求をポート転送アプレットから受け入れるように、セキュリティ アプライアンスを設定します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] の順にクリックします。

DefaultWEBVPNGroup エントリは、クライアントレス接続に使用されるデフォルトの接続プロファイルです。

ステップ 2 クライアント接続において DefaultWEBVPNGroup エントリが使用されるようにコンフィギュレーションを設定する場合は、このエントリを強調表示し、[Edit] をクリックします。このエントリが使用されない場合は、クライアント接続のコンフィギュレーションで使用される接続プロファイルを強調表示し、[Edit] をクリックします。

[Basic] ウィンドウが開きます。

ステップ 3 [DNS] 領域にスキャンし、ドロップダウン リストから DNS サーバを選択します。ドメイン名をメモしておきます。使用したい DNS サーバが ASDM に表示されている場合は、残りのステップを飛ばし、次のセクションに移動します。ポート転送リストのエントリを設定する際、リモート サーバの指定時には、同じドメイン名を入力する必要があります。コンフィギュレーションに DNS サーバがない場合は、残りのステップを続けます。

ステップ 4 [DNS] 領域で [Manage] をクリックします。

[Configure DNS Server Groups] ウィンドウが開きます。

ステップ 5 [Configure Multiple DNS Server Groups] をクリックします。

ウィンドウに、DNS サーバのエントリの一覧表が表示されます。

ステップ 6 [Add] をクリックします

[Add DNS Server Group] ウィンドウが開きます。

ステップ 7 [Name] フィールドに新しいサーバ グループ名を入力し、IP アドレスとドメイン名を入力します(図 34-1 を参照)。

図 34-1 ポート転送の DNS サーバ値の例

 

 

入力したドメイン名をメモしておきます。後ほど、ポート転送エントリを設定する際、リモート サーバを指定するために必要になります。

ステップ 8 [Connection Profiles] ウィンドウが再度アクティブになるまで、[OK] をクリックします。

ステップ 9 クライアントレス接続の設定で使用される、残りすべての 続プロファイルについて、手順 2 8 を繰り返します。

ステップ 10 [Apply] をクリックします。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Add/Edit Port Forwarding List

[Add/Edit Port Forwarding List] ダイアログボックスでは、クライアントレス SSL VPN 接続によるアクセスに適用されるユーザまたはグループ ポリシーに関連付ける TCP アプリケーションの名前付きリストを追加または編集できます。

フィールド

[List Name]:英数字で表したリストの名前。最大 64 文字です。

[Local TCP Port]:アプリケーションのトラフィックを受信するローカル ポート。

[Remote Server]:リモート サーバの IP アドレスまたは DNS 名。

[Remote TCP Port]:アプリケーションのトラフィックを受信するリモート ポート。

[Description]:TCP アプリケーションを説明するテキスト。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit Port Forwarding Entry

[Add/Edit Port Forwarding Entry] ダイアログボックスでは、クライアントレス SSL VPN 接続によるアクセスに適用されるユーザまたはグループ ポリシーに関連付ける TCP アプリケーションを指定できます。これらのウィンドウで属性に値を割り当てるには、次の手順を実行します。

[Local TCP Port]:アプリケーションが使用する TCP ポート番号を入力します。ローカル ポート番号は、1 つの listname に対して一度だけ使用できます。ローカル TCP サービスとの競合を避けるには、1024 ~ 65535 の範囲にあるポート番号を使用します。

[Remote Server]:リモート アクセス サーバのドメイン名または IP アドレスを入力します。特定の IP アドレスに対してクライアント アプリケーションを設定しなくて済むよう、ドメイン名を使用することをお勧めします。


注意 トンネルを確立し、IP アドレスを解決するためには、「ポート転送用の DNS の設定」に記載のとおり、[Remote Server] パラメータで割り当てた DNS 名は、[Domain Name] および [Server Group] パラメータと一致する必要があります。[Domain] および [Server Group] パラメータのデフォルト設定は、いずれも DefaultDNS です。

[Remote TCP Port]:そのアプリケーション用の既知のポート番号を入力します。

[Description]:アプリケーションの説明を入力します。最大 64 文字です。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

外部プロキシ サーバの使用法の設定

[Proxies] ペインを使用して、外部プロキシ サーバによって HTTP 要求と HTTPS 要求を処理するようにセキュリティ アプライアンスを設定します。これらのサーバは、ユーザとインターネットの仲介役として機能します。すべてのインターネット アクセスがユーザ制御のサーバを経由するように指定することで、別のフィルタリングが可能になり、セキュアなインターネット アクセスと管理制御が保証されます。


) HTTP および HTTPS プロキシ サービスでは、PDA への接続をサポートしていません。


フィールド

[Use an HTTP proxy server]:外部 HTTP プロキシ サーバを使用します。

[Specify IP address of proxy server]:IP アドレスまたはホスト名によって HTTP プロキシ サーバを特定します。

[IP Address]:外部 HTTP プロキシ サーバのホスト名または IP アドレスを入力します。

[Port]:HTTP 要求をリッスンするポートを入力します。デフォルトのポートは 80 です。

[Exception Address List]:(任意)HTTP プロキシ サーバに送信可能な URL から除外する URL、または数個の URL のカンマ区切りリストを入力します。このストリングには文字数の制限はありませんが、コマンド全体で 512 文字以下となるようにする必要があります。リテラル URL を指定するか、次のワイルドカードを使用できます。

* は、スラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは、英数字ストリングとともに使用する必要があります。

? は、スラッシュおよびピリオドを含む、任意の 1 文字に一致します。

[ x - y ] は、 x から y の範囲にある任意の 1 文字に一致します。ここで、 x は ANSI 文字セット内の 1 文字を、 y は ANSI 文字セット内の別の 1 文字を示します。

[ ! x - y ] は、この範囲内に存在しない任意の 1 文字に一致します。

[UserName]:(任意)このキーワードを入力して、各 HTTP プロキシ要求にユーザ名を添付し、基本的なプロキシ認証を行います。

[Password]:各 HTTP 要求と一緒にプロキシ サーバに送信するパスワードを入力します。

[Specify PAC file URL]:HTTP プロキシ サーバの IP アドレスを指定する方法の代替として、このオプションをクリックして、ブラウザにダウンロードするプロキシ自動コンフィギュレーション ファイルを指定できます。ダウンロードが完了すると、PAC ファイルは JavaScript 機能を使用して各 URL のプロキシを識別します。隣接するフィールドに、 http:// を入力し、プロキシ自動設定ファイルの URL を入力します。 http:// の部分を省略すると、セキュリティ アプライアンスはその URL を無視します。

[Use an HTTPS proxy server]:外部 HTTPS プロキシ サーバを使用します。

[Specify IP address of proxy server]:IP アドレスまたはホスト名によって HTTPS プロキシ サーバを特定します。

[IP Address]:HTTPS プロキシ サーバのホスト名または IP アドレスを入力します。

[Port]:HTTPS 要求をリッスンするポートを入力します。デフォルトのポートは 443 です。

[Exception Address List]:(任意)HTTPS プロキシ サーバに送信可能な URL から除外する URL、または数個の URL のカンマ区切りリストを入力します。このストリングには文字数の制限はありませんが、コマンド全体で 512 文字以下となるようにする必要があります。リテラル URL を指定するか、次のワイルドカードを使用できます。

* は、スラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは、英数字ストリングとともに使用する必要があります。

? は、スラッシュおよびピリオドを含む、任意の 1 文字に一致します。

[ x - y ] は、 x から y の範囲にある任意の 1 文字に一致します。ここで、 x は ANSI 文字セット内の 1 文字を、 y は ANSI 文字セット内の別の 1 文字を示します。

[ ! x - y ] は、この範囲内に存在しない任意の 1 文字に一致します。

[UserName]:(任意)このキーワードを入力して、各 HTTPS プロキシ要求にユーザ名を添付し、基本的なプロキシ認証を行います。

[Password]:各 HTTPS 要求と一緒にプロキシ サーバに送信するパスワードを入力します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

プロキシ バイパスの設定

ユーザはプロキシ バイパスを使用するようにセキュリティ アプライアンスを設定できます。これは、プロキシ バイパスが提供する特別なコンテンツ リライト機能を使用した方が、アプリケーションや Web リソースをより有効活用できる場合に設定します。プロキシ バイパスはコンテンツの書き換えに代わる手法であり、元のコンテンツの変更を最小限に抑えます。多くの場合、カスタム Web アプリケーションでこれを使用すると有効です。

プロキシ バイパスには複数のエントリを設定できます。エントリを設定する順序は重要ではありません。インターフェイスとパス マスク、またはインターフェイスとポートにより、プロキシ バイパス ルールが一意に指定されます。

パス マスクではなくポートを使用してプロキシ バイパスを設定する場合、ネットワーク コンフィギュレーションによっては、これらのポートがセキュリティ アプライアンスにアクセスできるようにするために、ファイアウォール コンフィギュレーションの変更が必要になることがあります。この制限を回避するには、パス マスクを使用します。ただし、パス マスクは変化することがあるため、複数のパス マスク ステートメントを使用して変化する可能性をなくすことが必要になる場合があります。

パスは、URL 内のドメイン名に続くテキストです。たとえば、www.example.com/hrbenefits という URL では、 hrbenefits がパスになります。同様に、www.example.com/hrinsurance という URL では、 hrinsurance がパスです。すべての hr サイトでプロキシ バイパスを使用する場合は、*(ワイルドカード)を /hr* のように使用して、コマンドを複数回使用しないようにできます。

フィールド

[Interface]:プロキシ バイパス用に設定された VLAN を表示します。

[Port]:プロキシ バイパス用に設定されたポートを表示します。

[Path Mask]:プロキシ バイパスに一致する URI パスを表示します。

[URL]:ターゲット URL を表示します。

[Rewrite]:リライト オプションを表示します。これらのオプションは、XML やリンクの組み合わせ、またはなしです。

[Add/Edit]:プロキシ バイパス エントリを追加、または選択したエントリを編集します。

[Delete]:プロキシ バイパス エントリを削除します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit Proxy Bypass Rule

このパネルでは、セキュリティ アプライアンスがコンテンツ リライトをほとんどまたはまったく実行しない場合のルールを設定できます。

フィールド

[Interface Name]:プロキシ バイパス用の VLAN を選択します。

[Bypass Condition]:プロキシ バイパス用のポートまたは URI を指定します。

[Port]:(オプション ボタン)プロキシ バイパスにポートを使用します。有効なポート番号は 20000 ~ 21000 です。

[Port]:(フィールド)セキュリティ アプライアンスがプロキシ バイパス用に予約する大きな番号のポートを入力します。

[Path Mask]:(オプション ボタン)プロキシ バイパスに URL を使用します。

[Path Mask]:(フィールド)プロキシ バイパス用の URL を入力します。この URL には、正規表現を使用できます。

[URL]:プロキシ バイパスのターゲット URL を定義します。

[URL]:(ドロップダウン リスト)プロトコルとして、http または https を選択します。

[URL]:(テキスト フィールド)プロキシ バイパスを適用する URL を入力します。

[Content to Rewrite]:リライトするコンテンツを指定します。選択肢は、なし、または XML、リンク、およびクッキーの組み合わせです。

[XML]:XML コンテンツをリライトする場合に選択します。

[Hostname]:リンクをリライトする場合に選択します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

DTLS 設定

Datagram Transport Layer Security(DTLS)をイネーブルにすることにより、SSL VPN 接続を確立する AnyConnect VPN クライアントは、SSL トンネルおよび DTLS トンネルという 2 つの同時トンネルを使用できます。DTLS によって、一部の SSL 接続に関連する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。

DTLS をイネーブルにしない場合、SSL VPN 接続を確立する AnyConnect クライアント ユーザは、SSL VPN トンネルでだけ接続します。

フィールド

[Interface]:セキュリティ アプライアンスのインターフェイスのリストを表示します。

[DTLS Enabled]:インターフェイスで AnyConnect クライアントによる DTLS 接続をイネーブルにする場合にオンにします。

[UDP Port (default 443)]:(任意)DTLS 接続用に別の UDP ポートを指定します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

SSL VPN Client の設定

Cisco AnyConnect VPN クライアントによりリモート ユーザは、セキュリティ アプライアンスへのセキュアな SSL 接続を確立できます。このクライアントにより、ネットワーク管理者がリモート コンピュータにクライアントをインストールして設定しなくても、リモート ユーザは SSL VPN クライアントを活用できます。

事前にインストールされたクライアントがない場合、リモート ユーザは、SSL VPN 接続を受け入れるように設定されたそれぞれのブラウザ インターフェイスに IP アドレスを入力します。http:// リクエストを https:// リクエストにリダイレクトするよう セキュリティ アプライアンス が設定されていない場合、ユーザは https://< address > 形式で URL を入力する必要があります。

URL が入力されると、ブラウザはそのインターフェイスに接続し、ログイン画面を表示します。ユーザがログインと認証に成功し、そのユーザがクライアントを要求しているとセキュリティ アプライアンスで識別されると、セキュリティ アプライアンスは、リモート コンピュータのオペレーティング システムに合うクライアントをダウンロードします。ダウンロード後、クライアントがインストールおよび設定され、セキュア SSL 接続が確立されます。接続終了時にクライアントが維持されるか、アンインストールされるかは、セキュリティ アプライアンスの設定で決まります。

以前にインストールされているクライアントの場合は、ユーザの認証時に、セキュリティ アプライアンスがクライアントのリビジョンを検査して、必要に応じてクライアントをアップグレードします。

クライアントがセキュリティ アプライアンスと SSL VPN 接続をネゴシエートした場合は、Transport Layer Security(TLS)を使用して接続します。状況に応じて、Datagram Transport Layer Security(DTLS)が使用されます。DTLS により、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。

AnyConnect クライアントは、セキュリティ アプライアンスからダウンロードできます。または、システム管理者が手動でリモート PC にインストールできます。クライアントを手動でインストールする方法の詳細については、『 Cisco AnyConnect VPN Client Administrator Guide 』を参照してください。

セキュリティ アプライアンスは、ユーザが確立している接続のグループ ポリシーまたはユーザ名属性に基づきクライアントをダウンロードします。自動的にクライアントをダウンロードするようにセキュリティ アプライアンスを設定するか、またはクライアントをダウンロードするかをリモート ユーザに確認するように設定できます。後者の場合、ユーザが応答しなかった場合は、タイムアウト時間が経過した後にクライアントをダウンロードするか、ログイン ページを表示するようにセキュリティ アプライアンスを設定できます。

フィールド

[SSL VPN Client Images table]:SSL VPN クライアント イメージとして指定されたパッケージ ファイルを表示します。セキュリティ アプライアンスがイメージをリモート PC にダウンロードする順序は指定できます。

[Add]:[Add SSL VPN Client Image] ウィンドウが表示されます。このウィンドウでは、フラッシュ メモリ内のファイルをクライアント イメージ ファイルとして指定したり、フラッシュ メモリから、クライアント イメージとして指定するファイルを参照したりできます。また、ファイルをローカル コンピュータからフラッシュ メモリにアップロードすることもできます。

[Replace]:[Replace SSL VPN Client Image] ウィンドウが表示されます。このウィンドウでは、フラッシュ メモリ内のファイルをクライアント イメージとして指定して、[SSL VPN Client Image] テーブルで選択したイメージと置換できます。また、ファイルをローカル コンピュータからフラッシュ メモリにアップロードすることもできます。

[Delete]:テーブルからイメージを削除します。イメージを削除しても、パッケージ ファイルはフラッシュから削除されません。

[Move Up and Move Down]:セキュリティ アプライアンスがクライアント イメージをリモート PC にダウンロードするときの順序を変更します。テーブルの一番上にあるイメージを最初にダウンロードします。このため、最もよく使用するオペレーティング システムで使用されるイメージを一番上に移動する必要があります。

[SSL VPN Client Profiles] テーブル:SSL VPN クライアント プロファイルとして指定された XML ファイルを表示します。これらのプロファイルは、AnyConnect VPN クライアント ユーザ インターフェイスにホスト情報を表示します。

[Add]:[Add SSL VPN Client Profiles] ウィンドウが表示されます。このウィンドウでは、フラッシュ メモリ内のファイルをプロファイルとして指定したり、フラッシュ メモリから、プロファイルとして指定するファイルを参照したりできます。また、ファイルをローカル コンピュータからフラッシュ メモリにアップロードすることもできます。

[Edit]:[Edit SSL VPN Client Profiles] ウィンドウが表示されます。このウィンドウでは、フラッシュ メモリ内のファイルをプロファイルとして指定し、[SSL VPN Client Profiles] テーブルで選択したプロファイルと置換できます。また、ファイルをローカル コンピュータからフラッシュ メモリにアップロードすることもできます。

[Delete]:テーブルからプロファイルを削除します。プロファイルを削除しても、XML ファイルはフラッシュから削除されません。

[Cache File System]:セキュリティ アプライアンスは、キャッシュ メモリ内で SSL VPN クライアントと CSD イメージを展開します。イメージを展開するのに十分なスペースが確保されるように、キャッシュ メモリのサイズを調整してください。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

詳細情報

Add/Replace SSL VPN Client Image

このウィンドウでは、SSL VPN クライアント イメージとして追加するか、またはテーブルのリストにすでに含まれているイメージと置換する、セキュリティ アプライアンス フラッシュ メモリのファイルの名前を指定できます。また、識別するファイルをフラッシュ メモリから参照したり、ローカル コンピュータからファイルをアップロードしたりすることもできます。

フィールド

[Flash SVC Image]:SSL VPN クライアント イメージとして識別する、フラッシュ メモリ内のファイルを指定します。

[Browse Flash]:フラッシュ メモリに格納されているすべてのファイルを参照できる [Browse Flash Dialog] ウィンドウを表示します。

[Upload]:[Upload Image] ウィンドウが表示されます。このウィンドウでは、クライアント イメージとして指定するファイルをローカル PC からアップロードできます。

[Regular expression to match user-agent]:セキュリティ アプライアンスが、ブラウザによって渡された User-Agent 文字列に一致させる文字列を指定します。モバイル ユーザの場合、この機能を使用してモバイル デバイスの接続時間を短縮できます ブラウザがセキュリティ アプライアンスに接続するとき、User-Agent ストリングが HTTP ヘッダーに含められます。セキュリティ アプライアンスによってストリングが受信され、そのストリングがあるイメージ用に設定された式と一致すると、そのイメージがただちにダウンロードされます。この場合、他のクライアント イメージはテストされません。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Upload Image

このウィンドウでは、ローカル コンピュータまたはセキュリティ アプライアンスのフラッシュ メモリに格納されている、SSL VPN クライアント イメージとして識別するファイルのパスを指定できます。ローカル コンピュータまたはセキュリティ アプライアンスのフラッシュ メモリから、識別するファイルを参照できます。

フィールド

[Local File Path]:ローカル コンピュータに格納されている、SSL VPN クライアント イメージとして識別するファイルの名前を指定します。

[Browse Local Files]:[Select File Path] ウィンドウが表示されます。このウィンドウでは、ローカル コンピュータに格納されているすべてのファイルを表示し、クライアント イメージとして識別するファイルを選択できます。

[Flash File System Path]:セキュリティ アプライアンスのフラッシュ メモリに格納されている、SSL VPN クライアント イメージとして識別するファイルの名前を指定します。

[Browse Flash]:[Browse Flash Dialog] ウィンドウが表示されます。このウィンドウでは、セキュリティ アプライアンスのフラッシュ メモリに格納されているすべてのファイルを表示し、クライアント イメージとして識別するファイルを選択できます。

[Upload File]:ファイルのアップロードを開始します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit SSL VPN Client Profiles

このウィンドウでは、ローカル コンピュータまたはセキュリティ アプライアンスのフラッシュ メモリに格納されている、SSL VPN クライアント プロファイルとして識別するファイルのパスを指定できます。これらのプロファイルは、AnyConnect VPN クライアント ユーザ インターフェイスにホスト情報を表示します。ローカル コンピュータまたはセキュリティ アプライアンスのフラッシュ メモリから、識別するファイルを参照できます。

フィールド

[Profile Name]:テーブルに表示される XML ファイルに名前を関連付けます。XML プロファイル ファイルで特定されているホストを思い出しやすい名前を付けてください。

[Profile Package]:ローカル コンピュータのフラッシュ メモリに格納されている、SSL VPN クライアント プロファイルとして識別するファイルの名前を指定します。

[Browse Flash]:[Browse Flash Dialog] ウィンドウが表示されます。このウィンドウでは、セキュリティ アプライアンスのフラッシュ メモリに格納されているすべてのファイルを表示し、プロファイルとして識別するファイルを選択できます。

[Upload File]:ファイルのアップロードを開始します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Upload Package

このウィンドウでは、ローカル コンピュータまたはセキュリティ アプライアンスのフラッシュ メモリに格納されている、SSL VPN クライアント プロファイルとして識別するファイルのパスを指定できます。ローカル コンピュータまたはセキュリティ アプライアンスのフラッシュ メモリから、識別するファイルを参照できます。

フィールド

[Local File Path]:ローカル コンピュータに格納されている、SSL VPN クライアント プロファイルとして識別するファイルの名前を指定します。

[Browse Local Files]:[Select File Path] ウィンドウが表示されます。このウィンドウでは、ローカル コンピュータに格納されているすべてのファイルを表示し、クライアント プロファイルとして識別するファイルを選択できます。

[Flash File System Path]:セキュリティ アプライアンスのフラッシュ メモリに格納されている、クライアント プロファイルとして識別するファイルの名前を指定します。

[Browse Flash]:[Browse Flash Dialog] ウィンドウが表示されます。このウィンドウでは、セキュリティ アプライアンスのフラッシュ メモリに格納されているすべてのファイルを表示し、クライアント プロファイルとして識別するファイルを選択できます。

[Upload File]:ファイルのアップロードを開始します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Bypass Interface Access List

このオプションをオフにすることにより、アクセス ルールをローカル IP アドレスに適用することを強制的に適用できます。アクセス ルールはローカル IP アドレスに適用され、VPN パケットが復号化される前に使用されていた元のクライアント IP アドレスには適用されません。

インターフェイスの access-lists を迂回するには、インバウンド IPSec セッションをイネーブルにします。グループ ポリシーおよびユーザ単位の許可アクセス リストは、引き続きトラフィックに適用されます。セキュリティ アプライアンスは、VPN トラフィックがセキュリティ アプライアンス インターフェイスで終了することをデフォルトで許可しているため、IKE または ESP(またはその他のタイプの VPN パケット)をアクセス ルールで許可する必要はありません。このオプションをオンにしている場合は、復号化された VPN パケットのローカル IP アドレスに対するアクセス ルールは不要です。VPN トンネルは VPN セキュリティ メカニズムを使用して正常に終端されたため、この機能によって、コンフィギュレーションが簡略化され、セキュリティ アプライアンスのパフォーマンスはセキュリティ リスクを負うことなく最大化されます (グループ ポリシーおよびユーザ単位の許可アクセス リストは、引き続きトラフィックに適用されます)。

SSO Servers

[SSO Server] ウィンドウでは、Computer Associates SiteMinder SSO サーバまたは Security Assertion Markup Language(SAML)バージョン 1.1 Browser Post Profile SSO サーバに接続するクライアントレス SSL VPN のユーザの、シングル サインオン(SSO)を設定または削除できます。クライアントレス SSL VPN でだけ使用できる SSO のサポートにより、ユーザは、ユーザ名とパスワードを複数回入力しなくても、さまざまなサーバのセキュアな各種のサービスにアクセスできます。

SSO の方式は、基本 HTTP または NTLMv1 認証を使用した自動サインオン、HTTP Form プロトコル、Computer Associates eTrust SiteMinder(以前の名称は Netegrity SiteMinder)、または SAML バージョン 1.1 Browser Post Profile の 4 方式の中から選択できます。


) SAML Browser Artifact プロファイル方式のアサーション交換は、サポートされていません。


この項では、SiteMinder と SAML Browser Post Profile を使用して SSO を設定する手順について説明します。

基本 HTTP または NTLM 認証で SSO を設定するには、 Auto Signonを参照してください。

HTTP Form プロトコルで SSO を設定するには、 HTTP Form でのクライアントレス SSL VPN に対する SSO のサポートを参照してください。

SSO のメカニズムは、AAA プロセス(HTTP Form)の一部として開始されるか、AAA サーバ(SiteMinder)または SAML Browser Post Profile サーバへのユーザ認証に成功した直後に開始されます。これらの場合、セキュリティ アプライアンス 上で実行されているクライアントレス SSL VPN サーバは、認証サーバに対するユーザのプロキシとして機能します。ユーザがログインすると、クライアントレス SSL VPN サーバは、ユーザ名とパスワードを含む SSO 認証要求を HTTPS を使用して認証サーバに送信します。

認証サーバが認証要求を承認すると、SSO 認証クッキーがクライアントレス SSL VPN サーバに返されます。このクッキーは、ユーザの代理としてセキュリティ アプライアンスで保持され、ユーザ認証でこのクッキーを使用して、SSO サーバで保護されているドメイン内部の Web サイトの安全を確保します。

SiteMinder と SAML Browser Post Profile

SiteMinder または SAML Browser Post Profile による SSO 認証は AAA から切り離されており、AAA プロセスの完了後に実施されます。ユーザまたはグループが対象の SiteMinder SSO を設定するには、まず AAA サーバ(RADIUS や LDAP など)を設定する必要があります。AAA サーバがユーザを認証した後、クライアントレス SSL VPN サーバは、HTTPS を使用して認証要求を SiteMinder SSO サーバに送信します。

SiteMinder SSO の場合は、セキュリティ アプライアンスの設定を行う以外に、シスコの認証スキームによって CA SiteMinder Policy Server を設定する必要があります。 シスコの認証スキームの SiteMinder への追加を参照してください。

SAML Browser Post Profile の場合は、認証で使用する Web Agent(Protected Resource URL)を設定する必要があります。SAML Browser Post Profile SSO サーバの設定の詳細については、「 SAML POST SSO サーバのコンフィギュレーション」を参照してください。

フィールド

[Server Name]: 表示専用。 設定された SSO サーバの名前を表示します。入力できる文字の範囲は、4 ~ 31 文字です。

[Authentication Type]: 表示専用 。SSO サーバのタイプを表示します。セキュリティ アプライアンスは現在、SiteMinder タイプと SAML Browser Post Profile タイプをサポートしています。

[URL]: 表示専用 。 セキュリティ アプライアンスが SSO 認証要求を行う SSO サーバの URL を表示します。

[Secret Key]: 表示専用 。 SSO サーバとの認証通信の暗号化に使用される秘密キーを表示します。キーは、任意の標準またはシフト式英数字で構成されます。文字の最小数や最大数の制限はありません。

[Maximum Retries]: 表示専用 。 SSO 認証が失敗した場合にセキュリティ アプライアンスがリトライする回数を表示します。リトライの範囲は 1 ~ 5 回で、デフォルトのリトライ数は 3 回です。

[Request Timeout (seconds)]: 表示専用 。 失敗した SSO 認証試行をタイムアウトさせるまでの秒数を表示します。範囲は 1 ~ 30 秒で、デフォルトの秒数は 5 秒です。

[Add/Edit]:[Add/Edit SSO Server] ダイアログボックスを開きます。

[Delete]:選択した SSO サーバを削除します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

SAML POST SSO サーバのコンフィギュレーション

サーバ ソフトウェア ベンダーが提供する SAML サーバのマニュアルに従って、SAML サーバを Relying Party モードで設定します。次の手順には、Browser Post Profile に SAML サーバを設定するために必要な値が一覧表示されています。


ステップ 1 アサーティング パーティ(セキュリティ アプライアンス)を表す SAML サーバ パラメータを設定します。

宛先コンシューマ(Web Agent)URL(ASA で設定されるアサーション コンシューマ URL と同じ)

Issuer ID(通常はアプライアンスのホスト名である文字列)

Profile type:Browser Post Profile

ステップ 2 証明書を設定します。

ステップ 3 アサーティング パーティのアサーションには署名が必要なことを指定します。

ステップ 4 SAML サーバがユーザを特定する方法を、次のように選択します。

Subject Name Type が DN

Subject Name format が uid=<user>


 

シスコの認証スキームの SiteMinder への追加

SiteMinder による SSO を使用するためのセキュリティ アプライアンスの設定に加え、Java プラグインとして提供されている、シスコの認証スキームを使用するようにユーザの CA SiteMinder Policy Server を設定する必要もあります。


) • SiteMinder Policy Server を設定するには、SiteMinder の経験が必要です。

この項では、手順のすべてではなく、一般的なタスクを取り上げます。

カスタム認証スキームを追加するための完全な手順については、CA SiteMinder のマニュアルを参照してください。


 

ユーザの SiteMinder Policy Server にシスコの認証スキームを設定するには、次のタスクを実行します。


ステップ 1 Siteminder Administration ユーティリティを使用して、次の特定の引数を使用できるようにカスタム認証スキームを作成します。

[Library] フィールドに、 smjavaapi と入力します。

[Secret] フィールドで、[Add SSO Server] ダイアログの [Secret Key] フィールドで設定したものと同じ秘密キーを入力します。

[Parameter] フィールドに、 CiscoAuthAPI と入力します。

ステップ 2 Cisco.com にログインして、 http://www.cisco.com/cisco/software/navigator.html から cisco_vpn_auth.jar ファイルをダウンロードして、SiteMinder サーバのデフォルトのライブラリ ディレクトリにコピーします。この .jar ファイルは、Cisco セキュリティ アプライアンス CD にも含まれています。


 

Add/Edit SSO Servers


) この SSO 方式では、CA SiteMinder と SAML Browser Post Profile を使用します。また、HTTP Form プロトコルまたは基本 HTML および NTLM 認証を使用して SSO を設定することもできます。HTTP Form プロトコルを使用する場合は、「 HTTP Form でのクライアントレス SSL VPN に対する SSO のサポート」を参照してください。基本 HTML または NTLM 認証を使用するように設定する場合は、コマンドライン インターフェイスで auto-signon コマンドを使用します。


フィールド

[Server Name]:サーバを追加する場合は、新しい SSO の名前を入力します。サーバを編集する場合、このフィールドは表示専用です。選択した SSO サーバの名前が表示されます。

[Authentication Type]: 表示専用 。SSO サーバのタイプを表示します。セキュリティ アプライアンスが現在サポートしているタイプは、SiteMinder と SAML Browser Post Profile です。

[URL]:セキュリティ アプライアンスが SSO 認証要求を行う SSO サーバの URL を入力します。

[Secret Key]:SSO サーバへの認証要求を暗号化するために使用する秘密キーを入力します。キーに使用する文字には、通常の英数字と、シフト キーを押して入力した英数字を使用できます。文字の最小数や最大数の制限はありません。秘密キーはパスワードに似ており、作成、保存、設定ができます。Cisco Java プラグイン認証スキームを使用して、セキュリティ アプライアンス、SSO サーバ、および SiteMinder Policy Server で設定されます。

[Maximum Retries]:失敗した SSO 認証試行をセキュリティ アプライアンスが再試行する回数を入力します。この回数を超えて失敗すると認証タイムアウトになります。範囲は 1 ~ 5 回で、1 回と 5 回も含まれます。デフォルトは 3 回です。

[Request Timeout]:失敗した SSO 認証試行をタイムアウトさせるまでの秒数を入力します。範囲は 1 ~ 30 秒で、1 秒と 30 秒も含まれます。デフォルトは 5 秒です。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

サーバと URL

ASDM の [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] ウィンドウでは、クライアントレス SSL VPN 接続によるアクセス用のサーバと URL リストを確認し、追加し、読み込むことができます。


) ファイル ブラウジングでは、NetBIOS サーバを設定する必要があります([Configuration] > [VPN] > [General] > [Tunnel Group] > [Add/Edit Tunnel Group] > [WebVPN] > [NetBIOS Servers])。


フィールド

[Add/Edit Bookmark List] ウィンドウでは、WebVPN を介したアクセスに使用するサーバと URL のリストを設定します。ファイルおよび URL アクセスを設定するには、ファイル サーバおよび URL の 1 つ以上の名前付きリストを作成してから、そのリスト名を個々のユーザに割り当てる([Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Add/Edit User Account] / [VPN Policy] > [Clientless SSL VPN] ウィンドウ)か、グループ ポリシーに割り当てます([Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add/Edit Group Policy] > [Portal] ウィンドウ)。ユーザまたはグループ ポリシーに関連付けることができるリストは 1 つだけです。

[Add/Edit Bookmark List] ダイアログボックスでは、URL リストを追加、編集、または削除でき、指定された URL リストの項目を並べ替えることもできます。

フィールド

[Bookmark List Name]:追加するリストの名前を指定するか、修正または削除するリストの名前を選択します。

[Name]:ユーザに表示する URL 名を指定します。

[URL]:表示名に関連付けられている URL を指定します。

[Add]:[Add Bookmark Entry] ダイアログボックスを開きます。このダイアログボックスでは、新しいサーバまたは URL と表示名を設定できます。

[Edit]:[Edit Bookmark Entry] ダイアログボックスを開きます。このダイアログボックスでは、新しいサーバまたは URL と表示名を設定できます。

[Delete]:選択した項目を URL リストから削除します。確認されず、やり直しもできません。

[Move Up/Move Down]:URL リストでの選択した項目の位置を変更します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

スマート トンネル アクセスの設定

[Smart Tunnels] テーブルには、スマート トンネルのリストが表示されます。各リストは、スマート トンネル アクセスに適格な 1 つ以上のアプリケーションと、対応する OS で構成されています。各グループ ポリシーまたはローカル ユーザ ポリシーでは 1 つのスマート トンネル リストがサポートされているため、ブラウザベースではないアプリケーションをサポート対象とするために、グループ化してスマート トンネル リストに加える必要があります。リストのコンフィギュレーションに続いて、1 つ以上のグループ ポリシーまたはローカル ユーザ ポリシーに割り当てることができます。

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] ウィンドウでは、次のことを行えます。

スマート トンネル リストを追加し、リストにアプリケーションを追加するには、[Add] をクリックします。[Add Smart Tunnel List] ダイアログボックスが開きます。リストに名前を付けたら、もう一度 [Add] をクリックします。ASDM が [Add Smart Tunnel Entry] ダイアログボックスを開きます。このダイアログボックスでは、スマート トンネルの属性をリストに割り当てることができます。属性を割り当てて [OK] をクリックすると、ASDM のリストにそれらの属性が表示されます。必要に応じて手順を繰り返してリストを完成させ、[Add Smart Tunnel List] ダイアログボックスで [OK] をクリックします。

スマート トンネル リストを変更するには、そのリストをダブルクリックするか、またはテーブル内のリストを選択して [Edit] をクリックします。次に、[Add] をクリックしてスマート トンネル属性の新しいセットをリストに挿入するか、またはリストのエントリを選択して [Edit] または [Delete] をクリックします。

リストを削除するには、テーブル内のリストを選択して [Delete] をクリックします。

スマート トンネル リストの設定と割り当てを行った後は、サービスのブックマークを追加し、[Edit Bookmark] ダイアログボックスの [Enable Smart Tunnel Option] をクリックすることで、スマート トンネルを簡単に使えるようにできます。

スマート トンネルについて

スマート トンネルは、TCP ベースのアプリケーションとプライベート サイト間の接続です。このスマート トンネルは、セキュリティ アプライアンスをパスウェイとして、また、セキュリティ アプライアンスをプロキシ サーバとして使用するクライアントレス(ブラウザベース)SSL VPN セッションを使用します。スマート トンネル アクセスを許可するアプリケーションを特定し、各アプリケーションのローカル パスを指定できます。Microsoft Windows で実行するアプリケーションの場合は、チェックサムの SHA-1 ハッシュの一致を、スマート トンネル アクセスを許可する条件として要求もできます。

Lotus SameTime および Microsoft Outlook Express は、スマート トンネル アクセスを許可できるアプリケーションの例です。

スマート トンネルを設定するには、アプリケーションがクライアントであるか、Web 対応アプリケーションであるかに応じて、次の手順のいずれかを実行する必要があります。

クライアント アプリケーションの 1 つ以上のスマート トンネル リストを作成し、スマート トンネル アクセスを提供するグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

スマート トンネル アクセスに適格な Web 対応アプリケーションの URL を指定するブックマーク リスト エントリを 1 つ以上作成し、スマート トンネル アクセスを提供する DAP、グループ ポリシー、ローカル ユーザ ポリシーにそのリストを割り当てます。

また、クライアントレス SSL VPN セッションを介したスマート トンネル接続でのログイン クレデンシャルの送信を自動化する Web 対応アプリケーションのリストも作成できます。

スマート トンネルを使用する理由

スマート トンネル アクセスを使用すると、クライアントの TCP ベースのアプリケーションがブラウザベースの VPN 接続を使用してサービスに接続します。この方法では、プラグインやレガシー テクノロジーであるポート転送と比較して、ユーザには次のような利点があります。

スマート トンネルは、プラグインよりもパフォーマンスが向上します。

ポート転送とは異なり、スマート トンネルでは、ローカル ポートへのローカル アプリケーションのユーザ接続を要求しないことにより、ユーザ エクスペリエンスが簡略化されます。

ポート転送とは異なり、スマート トンネルでは、ユーザは管理者特権を持つ必要がありません。

プラグインの利点は、クライアント アプリケーションをリモート コンピュータにインストールする必要がないという点です。

スマート トンネルの要件および制限

以降のセクションでは、スマート トンネルの要件と制限事項について分類ごとに説明します。

一般的な要件と制限事項

スマート トンネルには、次の一般的な要件と制限事項があります。

スマート トンネル接続を開始するリモート ホストでは、32 ビット バージョンの Microsoft Windows Vista、Windows XP、Windows 2000、Mac OS 10.4 または 10.5 が実行されている必要があります。

スマート トンネルの自動サインオンは、Windows の Microsoft Internet Explorer だけサポートします。

ブラウザで Java、Microsoft ActiveX、またはその両方をイネーブルにする必要があります。

スマート トンネルは、Microsoft Windows を実行しているコンピュータとセキュリティ アプライアンス間に配置されたプロキシだけをサポートします。スマート トンネルは、Internet Explorer 設定(つまり、Windows でシステム全体での使用を目的とした設定)を使用します。リモート コンピュータがセキュリティ アプライアンスにアクセスするためにプロキシ サーバを必要とする場合、接続の終端側の URL が、プロキシ サービスから除外される URL のリストに存在する必要があります。プロキシ設定で、ASA を宛先とするトラフィックのプロキシ経由を指定すると、すべてのスマート トンネル トラフィックがプロキシ経由になります。

HTTP ベースのリモート アクセスのシナリオでは、サブネットが VPN ゲートウェイへのユーザ アクセスを提供しない場合があります。この場合、Web とエンド ユーザの場所との間のトラフィックをルーティングするために ASA の前に配置されているプロキシが、Web アクセスを提供します。ただし、ASA の前に配置されるプロキシを設定できるのは、VPN ユーザだけです。このように実行する場合、これらのプロキシが CONNECT 方式をサポートすることを確認する必要があります。認証が必要なプロキシの場合、スマート トンネルは、基本ダイジェスト認証タイプだけをサポートします。

スマート トンネルが開始されると、セキュリティ アプライアンスは、ブラウザ プロセスが同じである場合に VPN セッション経由ですべてのブラウザ トラフィックをデフォルトで送信します。tunnel-all ポリシーが適用されている場合にも、セキュリティ アプライアンスは同じ処理を行います。ユーザがブラウザ プロセスの別のインスタンスを開始すると、VPN セッション経由ですべてのトラフィックが送信されます。ブラウザ プロセスが同じで、セキュリティ アプライアンスが URL へのアクセスを提供しない場合、ユーザはその URL を開くことはできません。回避策として、tunnel-all ではないトンネル ポリシーを割り当てます。

ステートフル フェールオーバーが発生したとき、スマート トンネル接続は保持されません。ユーザはフェールオーバー後に再接続する必要があります。

Windows の要件と制限事項

次の要件と制限は Windows だけに適用されます。

Winsock 2 の TCP ベースのアプリケーションだけ、スマート トンネル アクセスに適します。

セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしていません。ポート転送もスマート トンネルも MAPI をサポートしません。MAPI プロトコルを使用した Microsoft Outlook Exchange 通信では、リモート ユーザが AnyConnect を使用する必要があります。

スマート トンネルまたはポート転送を使用する Microsoft Windows Vista ユーザは、ASA の URL を信頼済みサイト ゾーンに追加する必要があります。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista ユーザは、保護モードをディセーブルにしてスマート トンネル アクセスの使用もできます。ただし、攻撃を受けやすくなるため、この方法の使用はお勧めしません。

Mac OS の要件と制限事項

次の要件と制限は Mac OS だけに適用されます。

Safari 3.1.1 以降または Firefox 3.0 以降。

Sun JRE 1.5 以降。

ポータル ページから起動されたアプリケーションだけ、スマート トンネル接続を確立できる。この要件には、Firefox に対するスマート トンネルのサポートも含まれます。スマート トンネルを最初に使用する際に、Firefox を使用して Firefox の別のインスタンスを起動するには、csco_st という名前のユーザ プロファイルが必要です。このユーザ プロファイルが存在しない場合、セッションでは、作成するようにユーザに要求します。

SSL ライブラリにダイナミックにリンクされている TCP を使用するアプリケーションは、スマート トンネルを介して動作できる。

Mac OS では、スマート トンネルは次をサポートしない。

プロキシ サービス

自動サインオン

2 つのレベルの名前スペースを使用するアプリケーション

Telnet、SSH、cURL などのコンソールベースのアプリケーション

dlopen または dlsym を使用して libsocket コールを見つけ出すアプリケーション

libsocket コールを見つけ出すスタティックにリンクされたアプリケーション

スマート トンネルの設定(Lotus の例)

スマート トンネルを設定するには、次の手順を実行します。


) この例では、アプリケーションでのスマート トンネル サポートを追加するために必要な最小限の指示だけを示します。詳細については、以降の各項にあるフィールドの説明を参照してください。



ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を選択します。

ステップ 2 アプリケーションを追加するスマート トンネル リストをダブルクリックするか、または [Add] をクリックしてアプリケーションのリストを作成し、[List Name] フィールドにそのリストの名前を入力して [Add] をクリックします。

たとえば、[Smart Tunnels] ペインで [Add] をクリックし、[List Name] フィールドに Lotus と入力して [Add] をクリックします。

ステップ 3 [Add or Edit Smart Tunnel List] ダイアログボックスで [Add] をクリックします。

ステップ 4 [Application ID] フィールドに、スマート トンネル リスト内のエントリに対する一意のインデックスとして使用する文字列を入力します。

ステップ 5 [Process Name] ダイアログボックスに、ファイル名とアプリケーションの拡張子を入力します。

表 34-1 に、[Application ID] 文字列の例と、Lotus をサポートするために必要な関連付けられたパスを示します。

 

表 34-1 スマート トンネルの例:Lotus 6.0 Thick Client with Domino Server 6.5.5

アプリケーション ID の例
必要最小限のプロセス名

lotusnotes

notes.exe

lotusnlnotes

nlnotes.exe

lotusntaskldr

ntaskldr.exe

lotusnfileret

nfileret.exe

ステップ 6 [OS] の横の [Windows] を選択します。

ステップ 7 [OK] をクリックします。

ステップ 8 リストに追加するアプリケーションごとに、ステップ 3 7 を繰り返します。

ステップ 9 [Add or Edit Smart Tunnel List] ダイアログボックスで [OK] をクリックします。

ステップ 10 次のようにして、関連付けられたアプリケーションへのスマート トンネル アクセスを許可する、グループ ポリシーとローカル ユーザ ポリシーにリストを割り当てます。

グループ ポリシーにリストを割り当てるには、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add] または [Edit] > [Portal] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

ローカル ユーザ ポリシーにリストを割り当てるには、[Configuration] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] または [Edit] > [VPN Policy] > [Clientless SSL VPN] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。


 

Add or Edit Smart Tunnel List

[Add Smart Tunnel List] ダイアログボックスでは、スマート トンネル エントリのリストをセキュリティ アプライアンスのコンフィギュレーションに追加できます。[Edit Smart Tunnel List] ダイアログボックスでは、リストの内容を修正できます。

フィールド

[List Name]:アプリケーションまたはプログラムのリストに付ける一意の名前を入力します。名前に使用される文字数には制限はありません。スペースは使用しないでください。

スマート トンネル リストのコンフィギュレーションに続いて、クライアントレス SSL VPN のグループ ポリシーとローカル ユーザ ポリシーの [Smart Tunnel List] 属性の横にリスト名が表示されます。他に設定する可能性があるリストと、内容および目的を区別できるような名前を付けてください。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add or Edit Smart Tunnel Entry

[Add or Edit Smart Tunnel Entry] ダイアログボックスでは、スマート トンネル リストにあるアプリケーションの属性を指定できます。

[Application ID]:スマート トンネル リストのエントリに命名する文字列を入力します。この文字列は、OS ごとに一意です。通常は、スマート トンネル アクセスを許可されるアプリケーションに付けられる名前です。異なるパスまたはハッシュ値を指定するアプリケーションの複数バージョンをサポートするには、この属性を使用してエントリを差別化し、OS、および各リスト エントリによってサポートされているアプリケーションの名前とバージョンの両方を指定します。文字列は最大 64 文字まで使用できます。

[Process Name] アプリケーションのファイル名またはパスを入力します。ストリングには最大 128 文字を使用できます。

Windows では、アプリケーションにスマート トンネル アクセスを許可する場合に、この値とリモート ホストのアプリケーション パスの右側の値が完全に一致している必要があります。Windows でファイル名のみを指定すると、SSL VPN では、アプリケーションにスマート トンネル アクセスを許可する場合に、リモート ホストに対して場所の制限を強制しません。

アプリケーションのパスを指定し、ユーザが別の場所にインストールした場合は、そのアプリケーションは許可されません。アプリケーションは、入力する値と文字列の右側の値が一致している限り、任意のパスに配置できます。

アプリケーションがリモート ホストの複数のパスのいずれかにある場合に、アプリケーションにスマート トンネル アクセスを許可するには、このフィールドにアプリケーションの名前と拡張子だけを指定するか、またはパスごとに固有のスマート トンネル エントリを作成します。


) スマート トンネル アクセスで突然問題が発生する場合、Process Name 値がアップグレードされたアプリケーションに対して最新ではない可能性があります。たとえば、アプリケーションへのデフォルト パスは、そのアプリケーションおよび次のアップグレード版を製造する企業が買収されると変更されることがあります。


Windows の場合、コマンド プロンプトから開始したアプリケーションにスマート トンネル アクセスを追加する場合は、スマート トンネル リストの 1 つのエントリの Process Name に「cmd.exe」を指定し、別のエントリにアプリケーション自体へのパスを指定する必要があります。これは「cmd.exe」がアプリケーションの親であるためです。

Mac OS では、プロセスへのフル パスが必要です。また、このパスは大文字と小文字が区別されます。各ユーザ名のパスを指定しないようにするには、部分パスの前にチルダ(~)を入力します(例:~/bin/vnc)。

[OS]:[Windows] または [Mac] をクリックし、アプリケーションのホスト OS を指定します。

[Hash]:(オプション。Windows にだけ適用)この値を取得するには、アプリケーションのチェックサム(つまり、実行ファイルのチェックサム)を、SHA-1 アルゴリズムを使用してハッシュ計算するユーティリティに入力します。このようなユーティリティの例として、Microsoft File Checksum Integrity Verifier(FCIV; ファイル チェックサム整合性検証)を挙げることができます。このユーティリティは、 http://support.microsoft.com/kb/841290/ で入手できます。FCIV のインストール後、スペースを含まないパス(c:/fciv.exe など)に、ハッシュするアプリケーションの一時コピーを置き、コマンドラインで fciv.exe -sha1 application と入力して( fciv.exe -sha1 c:\msimn.exe など)、SHA-1 ハッシュを表示します。

SHA-1 ハッシュは、常に 16 進数 40 文字です。

クライアントレス SSL VPN は、アプリケーションにスマート トンネル アクセスの許可を与える前に、[Application ID] に一致するアプリケーションのハッシュを計算します。結果が [ Hash ] の値と一致すれば、アプリケーションにスマート トンネル アクセスの資格を与えます。

ハッシュを入力することにより、[ Application ID ] で指定した文字列に一致する不正ファイルに対して SSL VPN が資格を与えないようにしています。チェックサムは、アプリケーションのバージョンまたはパッチによって異なるため、入力する [ Hash ] 値は、リモート ホストの 1 つのバージョンやパッチにしか一致しない可能性があります。複数のバージョンのアプリケーションにハッシュを指定するには、[ Hash ] 値ごとに固有のスマート トンネル エントリを作成します。


) [Hash] を入力し、スマート トンネル アクセスで今後のバージョンまたはパッチのアプリケーションをサポートする場合は、将来的にスマート トンネル リストを更新する必要が生じます。スマート トンネル アクセスに突然問題が発生した場合は、[Hash] 値を含むアプリケーション リストが、アプリケーションのアップグレードによって最新の状態になっていない可能性があります。この問題は hash を入力しないことによって回避できます。


スマート トンネル リストのコンフィギュレーションに続いて、そのリストをアクティブにするには、グループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てる必要があります。

グループ ポリシーにリストを割り当てるには、[Config] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add] または [Edit] > [Portal] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

ローカル ユーザ ポリシーにリストを割り当てるには、[Config] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] または [Edit] > [VPN Policy] > [Clientless SSL VPN] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

 

表 34-2 スマート トンネル エントリの例

スマート トンネルのサポート
アプリケーション ID(一意の文字列であればどれでも OK)
プロセス名
OS

Mozilla Firefox

firefox

firefox.exe

Windows

Microsoft Outlook Express

outlook-express

msimn.exe

Windows

より制限的なオプション:実行ファイルが事前定義済みのパスにある場合は、Microsoft Outlook Express 専用。

outlook-express

\Program Files\Outlook Express\msimn.exe

Windows

Mac で新しいターミナル ウィンドウを開く (ワンタイムパスワードが実装されているので、それ以降、同じターミナル ウィンドウでのアプリケーションの起動は失敗します)。

terminal

Terminal

Mac

新しいウィンドウでスマート トンネルを開始

new-terminal

Terminal open -a MacTelnet

Mac

Mac ターミナル ウィンドウでアプリケーションを起動

curl

Terminal curl www.example.com

Mac

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

次の作業

スマート トンネル リストのコンフィギュレーションに続いて、そのリストをアクティブにするには、次のようにグループ ポリシーまたはユーザ名にそのリストを割り当てる必要があります。

グループ ポリシーにリストを割り当てるには、[Config] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add] または [Edit] > [Portal] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

ユーザ名にリストを割り当てるには、[Config] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] または [Edit] > [VPN Policy] > [Clientless SSL VPN] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

カスタマイゼーション オブジェクトの設定

クライアントレス SSL VPN ポータル上で見ることができるすべてのエンドユーザ コンテンツは、カスタマイズできます。カスタマイズするには、ASDM で Customization Editor という XML テンプレートを使用するか、すでに存在するカスタマイゼーション オブジェクトをエクスポートして編集してから、セキュリティ アプライアンスに再インポートします。

バージョン 8.0 ソフトウェアでは、カスタマイゼーションの設定機能が拡張されており、新しいプロセスは以前のバージョンと互換性がありません。8.0 ソフトウェアへのアップグレードの間、セキュリティ アプライアンスは、古い設定を使用して新しいカスタマイゼーション オブジェクトを作成することにより、現在のコンフィギュレーションを維持します。このプロセスは 1 回のみ実行されます。また、古い値は新しい値の一部を構成するサブセットに過ぎないため、このプロセスは古い形式から新しい形式への単なる変換ではありません。


) バージョン 7.2 ポータルのカスタマイズと URL リストは、バージョン 8.0 にアップグレードするにバージョン 7.2(x)のコンフィギュレーション ファイルの適切なインターフェイスでクライアントレス SSL VPN(WebVPN)がイネーブルになっていた場合にだけ、Beta 8.0 コンフィギュレーションで使用できます。


現在のペインで、テンプレートに基づいて新しいカスタマイゼーション オブジェクトを追加するか、すでにインポート済みのカスタマイゼーション オブジェクトを修正できます。

フィールド

[Add]:[Add Customization] ペインを表示します。このペインでは、デフォルトのカスタマイゼーション オブジェクトのコピーを作成し、一意の名前を付けて保存できます。その後、ASDM SSL VPN Customization Editor を使用して、要件に応じてオブジェクトを修正できます。

[Edit]:既存の選択されたカスタマイゼーション オブジェクトを編集します。クリックすると、SSL VPN Customization Editor が起動します。

[Delete]:カスタマイゼーション オブジェクトを削除します。

[Import]:XML ファイル形式のカスタマイゼーション オブジェクトをインポートします。XML ファイルの作成の詳細については、「 XML ベースのポータル カスタマイゼーション オブジェクトおよび URL リストの作成」を参照してください。

[Export]:選択した既存のカスタマイゼーション オブジェクトをエクスポートします。エクスポートにより、そのオブジェクトを編集し、このセキュリティ アプライアンスか別のセキュリティ アプライアンスに再インポートできます。

[Customization Objects]:セキュリティ アプライアンスの既存のカスタマイゼーション オブジェクトを一覧表示します。

[OnScreen Keyboard]:エンド ユーザに対して OnScreen Keyboard を表示するタイミングを指定します。このキーボードを使用することにより、ログインや認証を行う場合にキーボードのキーを押してパスワードを入力する必要がなくなるため、セキュリティを高めることができます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

カスタマイゼーション オブジェクトの追加

カスタマイゼーション オブジェクトを追加するには、DfltCustomization オブジェクトのコピーを作成して一意の名前を付けます。次に、要件に合うようにそのオブジェクトを修正または編集できます。

フィールド

[Customization Object Name]:新しいカスタマイゼーション オブジェクトの名前を入力します。最大 64 文字で、スペースは使用できません。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

カスタマイゼーション オブジェクトのインポートおよびエクスポート

既存のカスタマイゼーション オブジェクトをインポートまたはエクスポートできます。インポートするのは、エンド ユーザに適用するオブジェクトです。セキュリティ アプライアンスにすでに存在するカスタマイゼーション オブジェクトは、編集のためにエクスポートし、その後再インポートできます。

フィールド

[Customization Object Name]:カスタマイゼーション オブジェクトを名前で特定します。最大 64 文字で、スペースは使用できません。

[Select a file]:カスタマイゼーション ファイルをインポートまたはエクスポートするときに使用する方式を選択します。

[Local computer]:ローカル PC にあるファイルをインポートする場合は、この方式を選択します。

[Path]:ファイルへのパスを入力します。

[Browse Local Files]:ファイルへのパスを参照します。

[Flash file system]:セキュリティ アプライアンスに常駐するファイルをエクスポートするには、この方式を選択します。

[Path]:ファイルへのパスを入力します。

[Browse Flash]:ファイルへのパスを参照します。

[Remote server]:セキュリティ アプライアンスからアクセスできるリモート サーバに常駐するカスタマイゼーション ファイルをインポートするには、このオプションを選択します。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

[Import Now]/[Export Now]:クリックすると、ファイルをインポートまたはエクスポートします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

XML ベースのポータル カスタマイゼーション オブジェクトおよび URL リストの作成

この項では、次のトピックについて取り上げます。

XML カスタマイゼーション ファイルの構成について

カスタマイゼーションの例

カスタマイゼーション テンプレートの使用

XML カスタマイゼーション ファイルの構成について

表 34-3 に、XML カスタマイゼーション オブジェクトのファイル構造を示します。


) XML カスタマイゼーション ファイルの空白のタグ <param></param> は、微小値((hostname)# param value "" )を含む CLI コマンドに相当します。
パラメータ/タグが指定されなければデフォルト/継承値が使用されます。存在する場合は、空の文字列であってもパラメータ/タグ値が設定されます。


 

表 34-3 XML ベース カスタマイゼーション ファイルの構造

タグ
タイプ
プリセット値
説明
custom
ノード
 
 
ルート タグ
auth-page
ノード
 
 
認証ページ コンフィギュレーションのタグ コンテナ
window
ノード
 
 
ブラウザ ウィンドウ

title-text

文字列

任意の文字列

空の文字列

title-panel
ノード
 
 
ロゴおよびテキストを表示したページの先頭パネル

mode

テキスト

イネーブル|ディセーブル

ディセーブル

text

テキスト

任意の文字列

空の文字列

logo-url

テキスト

任意の URL

空のイメージ URL

copyright-panel
ノード
 
 
著作権情報を示したページの下部パネル

mode

テキスト

イネーブル|ディセーブル

ディセーブル

text

テキスト

任意の URL

空の文字列

info-panel
ノード
 
 
カスタム テキストとイメージを表示したパネル

mode

文字列

イネーブル|ディセーブル

ディセーブル

image-position

文字列

above|below

above

テキストに対する相対的なイメージの位置

image-url

文字列

任意の URL

空のイメージ

text

文字列

任意の文字列

空の文字列

logon-form
ノード
 
 
ユーザ名、パスワード、グループ プロンプトのフォーム

title-text

文字列

任意の文字列

Logon

message-text

文字列

任意の文字列

空の文字列

username-prompt-text

文字列

任意の文字列

Username

password-prompt-text

文字列

任意の文字列

Password

internal-password-prompt-text

文字列

任意の文字列

Internal Password

group-prompt-text

文字列

任意の文字列

Group

submit-button-text

文字列

任意の文字列

Logon

logout-form
ノード
 
 
ログアウト メッセージと、ログインまたはウィンドウを閉じるためのボタンを表示したフォーム

title-text

文字列

任意の文字列

Logout

message-text

文字列

任意の文字列

空の文字列

login-button-text

文字列

任意の文字列

Login

close-button-text

文字列

任意の文字列

Close window

language-selector
ノード
 
 
言語を選択するドロップダウン ボックス

mode

文字列

イネーブル|ディセーブル

disable

title

テキスト

Language

言語を選択するよう求めるプロンプト テキスト

language
ノード(複数)
 
 
 

code

文字列

text

文字列

portal
ノード
 
ポータル ページ コンフィギュレーションのタグコンテナ
window
ノード
 
 
認証ページの説明を参照

title-text

文字列

任意の文字列

空の文字列

title-panel
ノード
 
 
認証ページの説明を参照

mode

文字列

イネーブル|ディセーブル

Disable

text

文字列

任意の文字列

空の文字列

logo-url

文字列

任意の URL

空のイメージ URL

navigation-panel
ノード
 
 
アプリケーション タブの左側のパネル

mode

文字列

イネーブル|ディセーブル

enable

application
ノード(複数)
 
該当なし
ノードは(ID によって)設定されているアプリケーションのデフォルトを変更する

id

文字列

ストック アプリケーションの場合:

web-access

file-access

app-access

net-access

help

ins の場合:

固有のプラグイン

該当なし

tab-title

文字列

該当なし

order

番号

該当なし

エレメントの並べ替えで使用する値。デフォルトのエレメント順の値には、1000、2000、3000 などの段階があります。たとえば、最初と 2 番目のエレメントの間にエレメントを挿入するには、1001 ~ 1999 の値を使用します。

url-list-title

文字列

該当なし

アプリケーションにブックマークがある場合は、グループ化されたブックマークを表示したペインのタイトル

mode

文字列

イネーブル|ディセーブル

該当なし

toolbar
ノード
 
 
 

mode

文字列

イネーブル|ディセーブル

イネーブル

prompt-box-title

文字列

任意の文字列

Address

URL プロンプト ボックスのタイトル

browse-button-text

文字列

任意の文字列

ブラウズ

[Browse] ボタンのテキスト

logout-prompt-text

文字列

任意の文字列

Logout

column
ノード(複数)
 
 
デフォルトで 1 列を表示

width

文字列

該当なし

order

番号

該当なし

エレメントの並べ替えで使用する値。

url-lists
ノード
 
 
URL リストは、明示的にディセーブルになっていない場合、ポータル ホーム ページのデフォルト エレメントと見なされる

mode

文字列

group | nogroup

group

モード:

group:Web Bookmarks や File Bookmarks などのアプリケーション タイプによってグループ化されたエレメント

no-group:URL リストを別々のペインに表示する

disable:デフォルトで URL リストを表示しない

pane
ノード
(複数)
 
 
追加ペインの設定を許可

mode

文字列

イネーブル|ディセーブル

コンフィギュレーションを削除せずにペインを一時的にディセーブルにする場合に使用する

title

文字列

type

文字列

サポートされるタイプ

RSS

IMAGE

TEXT

HTML

url

文字列

RSS、IMAGE、または HTML タイプのペインの URL

url-mode

文字列

モード:mangle、no-mangle

text

文字列

TEXT タイプ ペインのテキスト

column

番号

カスタマイゼーションの例

次の例は、次のカスタマイゼーション オプションを示しています。

File アクセス アプリケーションのタブを非表示にする。

Web Access アプリケーションのタイトルと順序を変更する。

ホーム ページで 2 つのカラムを定義する。

RSS ペインを追加する。

2 番目のペインの上部に 3 つのペイン(テキスト、イメージ、および html)を追加する。

 
<custom name="Default">
<auth-page>
 
<window>
<title-text l10n="yes">title WebVPN Logon</title>
</window>
 
<title-panel>
<mode>enable</mode>
<text l10n="yes">XYZ WebVPN</text>
<logo-url>http://www.xyz.com/images/XYZ.gif</logo-url>
</title-panel>
 
<copyright>
<mode>enable</mode>
<text l10n="yes">(c)Copyright, XYZ Inc., 2006</text>
</copyright>
 
<info-panel>
<mode>enable</mode>
<image-url>/+CSCOE+/custom/XYZ.jpg</image-url>
<text l10n="yes">
<![CDATA[
<div>
<b>Welcome to WebVPN !.</b>
</div>
]]>
</text>
</info-panel>
 
<logon-form>
<form>
<title-text l10n="yes">title WebVPN Logon</title>
<message-text l10n="yes">message WebVPN Logon</title>
<username-prompt-text l10n="yes">Username</username-prompt-text>
<password-prompt-text l10n="yes">Password</password-prompt-text>
<internal-password-prompt-text l10n="yes">Domain password</internal-password-prompt-text>
<group-prompt-text l10n="yes">Group</group-prompt-text>
<submit-button-text l10n="yes">Logon</submit-button-text>
</form>
</logon-form>
 
<logout-form>
<form>
<title-text l10n="yes">title WebVPN Logon</title>
<message-text l10n="yes">message WebVPN Logon</title>
<login-button-text l10n="yes">Login</login-button-text>
<close-button-text l10n="yes">Logon</close-button-text>
</form>
</logout-form>
 
<language-slector>
<language>
<code l10n="yes">code1</code>
<text l10n="yes">text1</text>
</language>
<language>
<code l10n="yes">code2</code>
<text l10n="yes">text2</text>
</language>
</language-slector>
 
</auth-page>
 
<portal>
 
<window>
<title-text l10n="yes">title WebVPN Logon</title>
</window>
 
<title-panel>
<mode>enable</mode>
<text l10n="yes">XYZ WebVPN</text>
<logo-url>http://www.xyz.com/logo.gif</logo-url>
</title-panel>
 
<navigation-panel>
<mode>enable</mode>
</navigation-panel>
 
<application>
<id>file-access</id>
<mode>disable</mode>
</application>
<application>
<id>web-access</id>
<tab-title>XYZ Intranet</tab-title>
<order>3001</order>
</application>
 
<column>
<order>2</order>
<width>40%</width>
<column>
<column>
<order>1</order>
<width>60%</width>
<column>
 
<url-lists>
<mode>no-group</mode>
</url-lists>
 
<pane>
<id>rss_pane</id>
<type>RSS</type>
<url>rss.xyz.com?id=78</url>
</pane>
 
<pane>
<id>text_pane</id>
<type>TEXT</type>
<url>rss.xyz.com?id=78</url>
<column>1</column>
<row>0</row>
<text>Welcome to XYZ WebVPN Service</text>
</pane>
 
<pane>
<type>IMAGE</type>
<url>http://www.xyz.com/logo.gif</url>
<column>1</column>
<row>2</row>
</pane>
 
<pane>
<type>HTML</type>
<title>XYZ news</title>
<url>http://www.xyz.com/news.html</url>
<column>1</column>
<row>3</row>
</pane>
 
</portal>
 
</custom>
 

カスタマイゼーション テンプレートの使用

Template という名前のカスタマイゼーション テンプレートには、現在使用されているタグすべてと、その使用法を説明した対応するコメントが含まれています。export コマンドを使用し、次のようにしてセキュリティ アプライアンスからカスタマイゼーション テンプレートをダウンロードします。

hostname# export webvpn customization Template tftp://webserver/default.xml
 

Template ファイルは、変更または削除できません。この例のようにしてエクスポートする場合は、 default.xml という新しい名前で保存します。このファイルで変更を行った後、そのファイルを使用して組織の必要を満たすカスタマイゼーション オブジェクトを作成し、 default.xml または選択する別の名前のファイルとしてセキュリティ アプライアンスにインポートします。次に例を示します。

hostname# import webvpn customization General tftp://webserver/custom.xml
 

ここで custom.xml という名前の XML オブジェクトをインポートし、セキュリティ アプライアンス で General と命名します。

カスタマイゼーション テンプレート

Template という名前のカスタマイゼーション テンプレートを次に示します。

<?xml version="1.0" encoding="UTF-8" ?>
- <!--
 
Copyright (c) 2006,2007 by Cisco Systems, Inc.
All rights reserved.
 
Note: all white spaces in tag values are significant and preserved.
 
 
Tag: custom
Description: Root customization tag
 
Tag: custom/languages
Description: Contains list of languages, recognized by ASA
Value: string containing comma-separated language codes. Each language code is
a set dash-separated alphanumeric characters, started with
alpha-character (for example: en, en-us, irokese8-language-us)
Default value: en-us
 
Tag: custom/default-language
Description: Language code that is selected when the client and the server
were not able to negotiate the language automatically.
For example the set of languages configured in the browser
is "en,ja", and the list of languages, specified by
'custom/languages' tag is "cn,fr", the default-language will be
used.
Value: string, containing one of the language coded, specified in
'custom/languages' tag above.
Default value: en-us
 
*********************************************************
 
Tag: custom/auth-page
Description: Contains authentication page settings
 
*********************************************************
Tag: custom/auth-page/window
Description: Contains settings of the authentication page browser window
 
Tag: custom/auth-page/window/title-text
Description: The title of the browser window of the authentication page
Value: arbitrary string
Default value: Browser's default value
 
*********************************************************
 
Tag: custom/auth-page/title-panel
Description: Contains settings for the title panel
 
Tag: custom/auth-page/title-panel/mode
Description: The title panel mode
Value: enable|disable
Default value: disable
 
Tag: custom/auth-page/title-panel/text
Description: The title panel text.
Value: arbitrary string
Default value: empty string
 
Tag: custom/auth-page/title-panel/logo-url
Description: The URL of the logo image (imported via "import webvpn webcontent")
Value: URL string
Default value: empty image URL
 
Tag: custom/auth-page/title-panel/background-color
Description: The background color of the title panel
Value: HTML color format, for example #FFFFFF
Default value: #FFFFFF
 
Tag: custom/auth-page/title-panel/font-color
Description: The background color of the title panel
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
Tag: custom/auth-page/title-panel/font-weight
Description: The font weight
Value: CSS font size value, for example bold, bolder,lighter etc.
Default value: empty string
 
Tag: custom/auth-page/title-panel/font-size
Description: The font size
Value: CSS font size value, for example 10pt, 8px, x-large, smaller etc.
Default value: empty string
 
Tag: custom/auth-page/title-panel/gradient
Description: Specifies using the background color gradient
Value: yes|no
Default value:no
 
Tag: custom/auth-page/title-panel/style
Description: CSS style of the title panel
Value: CSS style string
Default value: empty string
 
*********************************************************
 
Tag: custom/auth-page/copyright-panel
Description: Contains the copyright panel settings
 
Tag: custom/auth-page/copyright-panel/mode
Description: The copyright panel mode
Value: enable|disable
Default value: disable
 
Tag: custom/auth-page/copyright-panel/text
Description: The copyright panel text
Value: arbitrary string
Default value: empty string
 
*********************************************************
 
Tag: custom/auth-page/info-panel
Description: Contains information panel settings
 
Tag: custom/auth-page/info-panel/mode
Description: The information panel mode
Value: enable|disable
Default value: disable
 
Tag: custom/auth-page/info-panel/image-position
Description: Position of the image, above or below the informational panel text
Values: above|below
Default value: above
 
Tag: custom/auth-page/info-panel/image-url
Description: URL of the information panel image (imported via "import webvpn webcontent")
Value: URL string
Default value: empty image URL
 
Tag: custom/auth-page/info-panel/text
Description: Text of the information panel
Text: arbitrary string
Default value: empty string
 
*********************************************************
 
Tag: custom/auth-page/logon-form
Description: Contains logon form settings
 
Tag: custom/auth-page/logon-form/title-text
Description: The logon form title text
Value: arbitrary string
Default value: "Logon"
 
Tag: custom/auth-page/logon-form/message-text
Description: The message inside of the logon form
Value: arbitrary string
Default value: empty string
 
Tag: custom/auth-page/logon-form/username-prompt-text
Description: The username prompt text
Value: arbitrary string
Default value: "Username"
 
Tag: custom/auth-page/logon-form/password-prompt-text
Description: The password prompt text
Value: arbitrary string
Default value: "Password"
 
Tag: custom/auth-page/logon-form/internal-password-prompt-text
Description: The internal password prompt text
Value: arbitrary string
Default value: "Internal Password"
 
Tag: custom/auth-page/logon-form/group-prompt-text
Description: The group selector prompt text
Value: arbitrary string
Default value: "Group"
 
 
Tag: custom/auth-page/logon-form/submit-button-text
Description: The submit button text
Value: arbitrary string
Default value: "Logon"
 
Tag: custom/auth-page/logon-form/internal-password-first
Description: Sets internal password first in the order
Value: yes|no
Default value: no
 
 
Tag: custom/auth-page/logon-form/title-font-color
Description: The font color of the logon form title
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
Tag: custom/auth-page/logon-form/title-background-color
Description: The background color of the logon form title
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
 
Tag: custom/auth-page/logon-form/font-color
Description: The font color of the logon form
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
Tag: custom/auth-page/logon-form/background-color
Description: The background color of the logon form
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
 
*********************************************************
 
Tag: custom/auth-page/logout-form
Description: Contains the logout form settings
 
Tag: custom/auth-page/logout-form/title-text
Description: The logout form title text
Value: arbitrary string
Default value: "Logout"
 
Tag: custom/auth-page/logout-form/message-text
Description: The logout form message text
Value: arbitrary string
Default value: Goodbye.
For your own security, please:
Clear the browser's cache
Delete any downloaded files
Close the browser's window
 
Tag: custom/auth-page/logout-form/login-button-text
Description: The text of the button sending the user to the logon page
Value: arbitrary string
Default value: "Logon"
 
*********************************************************
 
Tag: custom/auth-page/language-selector
Description: Contains the language selector settings
 
Tag: custom/auth-page/language-selector/mode
Description: The language selector mode
Value: enable|disable
Default value: disable
 
Tag: custom/auth-page/language-selector/title
Description: The language selector title
Value: arbitrary string
Default value: empty string
 
Tag: custom/auth-page/language-selector/language (multiple)
Description: Contains the language settings
 
Tag: custom/auth-page/language-selector/language/code
Description: The code of the language
Value (required): The language code string
 
Tag: custom/auth-page/language-selector/language/text
Description: The text of the language in the language selector drop-down box
Value (required): arbitrary string
 
*********************************************************
 
Tag: custom/portal
Description: Contains portal page settings
 
*********************************************************
 
Tag: custom/portal/window
Description: Contains the portal page browser window settings
 
Tag: custom/portal/window/title-text
Description: The title of the browser window of the portal page
Value: arbitrary string
Default value: Browser's default value
 
*********************************************************
 
Tag: custom/portal/title-panel
Description: Contains settings for the title panel
 
Tag: custom/portal/title-panel/mode
Description: The title panel mode
Value: enable|disable
Default value: disable
 
Tag: custom/portal/title-panel/text
Description: The title panel text.
Value: arbitrary string
Default value: empty string
 
Tag: custom/portal/title-panel/logo-url
Description: The URL of the logo image (imported via "import webvpn webcontent")
Value: URL string
Default value: empty image URL
 
Tag: custom/portal/title-panel/background-color
Description: The background color of the title panel
Value: HTML color format, for example #FFFFFF
Default value: #FFFFFF
 
Tag: custom/auth-pa/title-panel/font-color
Description: The background color of the title panel
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
Tag: custom/portal/title-panel/font-weight
Description: The font weight
Value: CSS font size value, for example bold, bolder,lighter etc.
Default value: empty string
 
Tag: custom/portal/title-panel/font-size
Description: The font size
Value: CSS font size value, for example 10pt, 8px, x-large, smaller etc.
Default value: empty string
 
Tag: custom/portal/title-panel/gradient
Description: Specifies using the background color gradient
Value: yes|no
Default value:no
 
Tag: custom/portal/title-panel/style
Description: CSS style for title text
Value: CSS style string
Default value: empty string
 
*********************************************************
 
Tag: custom/portal/application (multiple)
Description: Contains the application setting
 
Tag: custom/portal/application/mode
Description: The application mode
Value: enable|disable
Default value: enable
 
Tag: custom/portal/application/id
Description: The application ID. Standard application ID's are: home, web-access, file-access, app-access, network-access, help
Value: The application ID string
Default value: empty string
 
Tag: custom/portal/application/tab-title
Description: The application tab text in the navigation panel
Value: arbitrary string
Default value: empty string
 
Tag: custom/portal/application/order
Description: The order of the application's tab in the navigation panel. Applications with lesser order go first.
Value: arbitrary number
Default value: 1000
 
Tag: custom/portal/application/url-list-title
Description: The title of the application's URL list pane (in group mode)
Value: arbitrary string
Default value: Tab tite value concatenated with "Bookmarks"
 
*********************************************************
 
Tag: custom/portal/navigation-panel
Description: Contains the navigation panel settings
 
Tag: custom/portal/navigation-panel/mode
Description: The navigation panel mode
Value: enable|disable
Default value: enable
 
*********************************************************
 
Tag: custom/portal/toolbar
Description: Contains the toolbar settings
 
Tag: custom/portal/toolbar/mode
Description: The toolbar mode
Value: enable|disable
Default value: enable
 
Tag: custom/portal/toolbar/prompt-box-title
Description: The universal prompt box title
Value: arbitrary string
Default value: "Address"
 
Tag: custom/portal/toolbar/browse-button-text
Description: The browse button text
Value: arbitrary string
Default value: "Browse"
 
Tag: custom/portal/toolbar/logout-prompt-text
Description: The logout prompt text
Value: arbitrary string
Default value: "Logout"
 
*********************************************************
 
Tag: custom/portal/column (multiple)
Description: Contains settings of the home page column(s)
 
Tag: custom/portal/column/order
Description: The order the column from left to right. Columns with lesser order values go first
Value: arbitrary number
Default value: 0
 
Tag: custom/portal/column/width
Description: The home page column width
Value: percent
Default value: default value set by browser
Note: The actual width may be increased by browser to accommodate content
 
 
*********************************************************
 
Tag: custom/portal/url-lists
Description: Contains settings for URL lists on the home page
 
Tag: custom/portal/url-lists/mode
Description: Specifies how to display URL lists on the home page:
group URL lists by application (group) or
show individual URL lists (nogroup).
URL lists fill out cells of the configured columns, which are not taken
by custom panes.
Use the attribute value "nodisplay" to not show URL lists on the home page.
 
Value: group|nogroup|nodisplay
Default value: group
 
*********************************************************
 
Tag: custom/portal/pane (multiple)
Description: Contains settings of the custom pane on the home page
 
Tag: custom/portal/pane/mode
Description: The mode of the pane
Value: enable|disable
Default value: disable
 
Tag: custom/portal/pane/title
Description: The title of the pane
Value: arbitrary string
Default value: empty string
 
Tag: custom/portal/pane/notitle
Description: Hides pane's title bar
Value: yes|no
Default value: no
 
Tag: custom/portal/pane/type
Description: The type of the pane. Supported types:
TEXT - inline arbitrary text, may contain HTML tags;
HTML - HTML content specified by URL shown in the individual iframe;
IMAGE - image specified by URL
RSS - RSS feed specified by URL
Value: TEXT|HTML|IMAGE|RSS
Default value: TEXT
 
Tag: custom/portal/pane/url
Description: The URL for panes with type HTML,IMAGE or RSS
Value: URL string
Default value: empty string
 
Tag: custom/portal/pane/text
Description: The text value for panes with type TEXT
Value: arbitrary string
Default value:empty string
 
Tag: custom/portal/pane/column
Description: The column where the pane located.
Value: arbitrary number
Default value: 1
 
Tag: custom/portal/pane/row
Description: The row where the pane is located
Value: arbitrary number
Default value: 1
 
Tag: custom/portal/pane/height
Description: The height of the pane
Value: number of pixels
Default value: default value set by browser
 
 
*********************************************************
 
Tag: custom/portal/browse-network-title
Description: The title of the browse network link
Value: arbitrary string
Default value: Browse Entire Network
 
 
Tag: custom/portal/access-network-title
Description: The title of the link to start a network access session
Value: arbitrary string
Default value: Start AnyConnect
 
-->
- <custom>
- <localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>
</localization>
- <auth-page>
- <window>
- <title-text l10n="yes">
- <![CDATA[
WebVPN Service
]]>
</title-text>
</window>
- <language-selector>
<mode>disable</mode>
<title l10n="yes">Language:</title>
- <language>
<code>en</code>
<text>English</text>
</language>
- <language>
<code>zh</code>
<text>?? (Chinese)</text>
</language>
- <language>
<code>ja</code>
<text>?? (Japanese)</text>
</language>
- <language>
<code>ru</code>
<text>??????? (Russian)</text>
</language>
- <language>
<code>ua</code>
<text>?????????? (Ukrainian)</text>
</language>
</language-selector>
- <logon-form>
- <title-text l10n="yes">
- <![CDATA[
Login
]]>
</title-text>
- <title-background-color>
- <![CDATA[
#666666
]]>
</title-background-color>
- <title-font-color>
- <![CDATA[
#ffffff
]]>
</title-font-color>
- <message-text l10n="yes">
- <![CDATA[
Please enter your username and password.
]]>
</message-text>
- <username-prompt-text l10n="yes">
- <![CDATA[
USERNAME:
]]>
</username-prompt-text>
- <password-prompt-text l10n="yes">
- <![CDATA[
PASSWORD:
]]>
</password-prompt-text>
<internal-password-prompt-text l10n="yes" />
<internal-password-first>no</internal-password-first>
- <group-prompt-text l10n="yes">
- <![CDATA[
GROUP:
]]>
</group-prompt-text>
- <submit-button-text l10n="yes">
- <![CDATA[
Login
]]>
</submit-button-text>
- <title-font-color>
- <![CDATA[
#ffffff
]]>
</title-font-color>
- <title-background-color>
- <![CDATA[
#666666
]]>
</title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
</logon-form>
- <logout-form>
- <title-text l10n="yes">
- <![CDATA[
Logout
]]>
</title-text>
- <message-text l10n="yes">
- <![CDATA[
Goodbye.
]]>
</message-text>
</logout-form>
- <title-panel>
<mode>enable</mode>
- <text l10n="yes">
- <![CDATA[
WebVPN Service
]]>
</text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style />
- <background-color>
- <![CDATA[
#ffffff
]]>
</background-color>
- <font-size>
- <![CDATA[
larger
]]>
</font-size>
- <font-color>
- <![CDATA[
#800000
]]>
</font-color>
- <font-weight>
- <![CDATA[
bold
]]>
</font-weight>
</title-panel>
- <info-panel>
<mode>disable</mode>
<image-url l10n="yes">/+CSCOU+/clear.gif</image-url>
<image-position>above</image-position>
<text l10n="yes" />
</info-panel>
- <copyright-panel>
<mode>disable</mode>
<text l10n="yes" />
</copyright-panel>
</auth-page>
- <portal>
- <title-panel>
<mode>enable</mode>
- <text l10n="yes">
- <![CDATA[
WebVPN Service
]]>
</text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style />
- <background-color>
- <![CDATA[
#ffffff
]]>
</background-color>
- <font-size>
- <![CDATA[
larger
]]>
</font-size>
- <font-color>
- <![CDATA[
#800000
]]>
</font-color>
- <font-weight>
- <![CDATA[
bold
]]>
</font-weight>
</title-panel>
<browse-network-title l10n="yes">Browse Entire Network</browse-network-title>
<access-network-title l10n="yes">Start AnyConnect</access-network-title>
- <application>
<mode>enable</mode>
<id>home</id>
<tab-title l10n="yes">Home</tab-title>
<order>1</order>
</application>
- <application>
<mode>enable</mode>
<id>web-access</id>
- <tab-title l10n="yes">
- <![CDATA[
Web Applications
]]>
</tab-title>
- <url-list-title l10n="yes">
- <![CDATA[
Web Bookmarks
]]>
</url-list-title>
<order>2</order>
</application>
- <application>
<mode>enable</mode>
<id>file-access</id>
- <tab-title l10n="yes">
- <![CDATA[
Browse Networks
]]>
</tab-title>
- <url-list-title l10n="yes">
- <![CDATA[
File Folder Bookmarks
]]>
</url-list-title>
<order>3</order>
</application>
- <application>
<mode>enable</mode>
<id>app-access</id>
- <tab-title l10n="yes">
- <![CDATA[
Application Access
]]>
</tab-title>
<order>4</order>
</application>
- <application>
<mode>enable</mode>
<id>net-access</id>
<tab-title l10n="yes">AnyConnect</tab-title>
<order>4</order>
</application>
- <application>
<mode>enable</mode>
<id>help</id>
<tab-title l10n="yes">Help</tab-title>
<order>1000000</order>
</application>
- <toolbar>
<mode>enable</mode>
<logout-prompt-text l10n="yes">Logout</logout-prompt-text>
<prompt-box-title l10n="yes">Address</prompt-box-title>
<browse-button-text l10n="yes">Browse</browse-button-text>
</toolbar>
- <column>
<width>100%</width>
<order>1</order>
</column>
- <pane>
<type>TEXT</type>
<mode>disable</mode>
<title />
<text />
<notitle />
<column />
<row />
<height />
</pane>
- <pane>
<type>IMAGE</type>
<mode>disable</mode>
<title />
<url l10n="yes" />
<notitle />
<column />
<row />
<height />
</pane>
- <pane>
<type>HTML</type>
<mode>disable</mode>
<title />
<url l10n="yes" />
<notitle />
<column />
<row />
<height />
</pane>
- <pane>
<type>RSS</type>
<mode>disable</mode>
<title />
<url l10n="yes" />
<notitle />
<column />
<row />
<height />
</pane>
- <url-lists>
<mode>group</mode>
</url-lists>
</portal>
</custom>
 

ヘルプのカスタマイゼーション

セキュリティ アプライアンスは、クライアントレス セッションの間、アプリケーション パネルにヘルプ コンテンツを表示します。各クライアントレス アプリケーションのパネルには、事前に設定されたファイル名を使用して独自のヘルプ ファイル コンテンツが表示されます。たとえば、[Application Access] パネルに表示されるヘルプ コンテンツは、app-access-hlp.inc というファイルの内容です。 表 34-4 に、クライアントレス アプリケーション パネルと、ヘルプのコンテンツの事前設定されたファイル名を示します。

 

表 34-4 クライアントレス アプリケーション

アプリケーション タイプ
パネル
ファイル名

標準

Application Access

app-access-hlp.inc

標準

Browse Networks

file-access-hlp.inc

標準

AnyConnect Client

net-access-hlp.inc

標準

Web Access

web-access-hlp.inc

プラグイン

MetaFrame Access

ica-hlp.inc

プラグイン

Terminal Servers

rdp-hlp.inc

プラグイン

Telnet/SSH Servers

ssh,telnet-hlp.inc

プラグイン

VNC Connections

vnc-hlp.inc

シスコが提供するヘルプ ファイルをカスタマイズするか、または別の言語でヘルプ ファイルを作成できます。次に [Import] ボタンを使用して、セキュリティ アプライアンスのフラッシュ メモリにそれらのファイルをコピーし、その後のクライアントレス セッション中に表示します。また、以前にインポートしたヘルプ コンテンツ ファイルをエクスポートし、カスタマイズして、フラッシュ メモリに再インポートすることもできます。

次の各項では、クライアントレス セッションに表示されるヘルプ コンテンツのカスタマイズ方法または作成方法を説明します。

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供していない言語用のヘルプ ファイルの作成

フィールド

[Import]:[Import Application Help Content] ダイアログを起動します。このダイアログでは、クライアントレス セッション中に表示する新しいヘルプ コンテンツをフラッシュ メモリにインポートできます。

[Export]:テーブルから選択し、以前にインポートしたヘルプ コンテンツを取得します。

[Delete]:テーブルから選択し、以前にインポートしたヘルプ コンテンツを削除します。

[Language]:ブラウザで表示される言語の略語を表示します。このフィールドは、ファイル変換には 使用されません 。ファイル内で使用される言語を示します。テーブル内の略語に関連付ける言語名を特定するには、ブラウザで表示される言語のリストを表示します。たとえば、次の手順のいずれかを使用すると、ダイアログ ウィンドウに言語と関連の言語コードが表示されます。

Internet Explorer を起動して、[Tools] > [Internet Options] > [Languages] > [Add] を選択します。

Mozilla Firefox を起動して、[Tools] > [Options] > [Advanced] > [General] を選択し、[Languages] の隣にある [Choose] をクリックして、[Select a language to add] をクリックします。

[Filename]:ヘルプ コンテンツ ファイルがインポートされたときのファイル名を表示します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供するヘルプ ファイルをカスタマイズするには、まずフラッシュ メモリ カードからファイルのコピーを取得する必要があります。次の手順で、コピーを取得してカスタマイズします。


ステップ 1 ブラウザを使用して、セキュリティ アプライアンスとのクライアントレス セッションを確立します。

ステップ 2 表 34-5 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」欄にある文字列をセキュリティ アプライアンスのアドレスに追加し、次の説明に従って language の部分を置き換え、次に Enter を押します。

 

表 34-5 クライアントレス アプリケーション用にシスコが提供するヘルプ ファイル

アプリケーション タイプ
パネル
セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL

標準

Application Access

/+CSCOE+/help/ language /app-access-hlp.inc

標準

Browse Networks

/+CSCOE+/help/ language /file-access-hlp.inc

標準

AnyConnect Client

/+CSCOE+/help/ language /net-access-hlp.inc

標準

Web Access

/+CSCOE+/help/ language /web-access-hlp.inc

プラグイン

Terminal Servers

/+CSCOE+/help/ language /rdp-hlp.inc

プラグイン

Telnet/SSH Servers

/+CSCOE+/help/ language /ssh,telnet-hlp.inc

プラグイン

VNC Connections

/+CSCOE+/help/ language /vnc-hlp.inc

language は、ブラウザで表示される言語の略語です。略語はファイル変換では 使用されません 。これは、ファイルで使用される言語を示します。シスコが提供する英語版のヘルプ ファイルを表示する場合は、略語として en と入力します。

次のアドレス例は、Terminal Servers のヘルプの英語版を表示します。

https:// address_of_security_appliance /+CSCOE+/help/en/rdp-hlp.inc

ステップ 3 [File] > [Save (Page) As] を選択します。


注意 [File name] ボックスの内容は変更しないでください。

ステップ 4 [Save as type] オプションを [Web Page, HTML only] に変更して、[Save] をクリックします。

ステップ 5 任意の HTML エディタを使用してファイルをカスタマイズします。


) ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグ、およびコンテンツを構築するための <p>、<ol>、<ul>、および <li> などのタグは使用できます。


ステップ 6 オリジナルのファイル名と拡張子を指定して、HTML only としてファイルを保存します。

ステップ 7 ファイル名が 表 34-5 にあるファイル名のいずれかと一致すること、および余分なファイル拡張子がないことを確認します。


 

ASDM に戻り、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択して、修正されたヘルプ ファイルをフラッシュ メモリにインポートします。

シスコが提供していない言語用のヘルプ ファイルの作成

標準 HTML を使用して他の言語のヘルプ ファイルを作成します。サポートするそれぞれの言語に別のフォルダを作成することをお勧めします。


) ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグ、およびコンテンツを構築するための <p>、<ol>、<ul>、および <li> などのタグは使用できます。


HTML only としてファイルを保存します。 表 34-4 のファイル名列にあるファイル名を使用してください。

ASDM に戻り、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択して、新しいヘルプ ファイルをフラッシュ メモリにインポートします。

アプリケーションのヘルプ コンテンツのインポートおよびエクスポート

[Import Application Help Content] ダイアログボックスを使用して、クライアントレス セッション中にポータル ページに表示するために、ヘルプ ファイルをフラッシュ メモリにインポートします。[Export Application Help Content] ダイアログボックスを使用して、以前にインポートしたヘルプ ファイルをその後の編集のために取得します。

フィールド

[Language]:[Import Application Help Content] ダイアログボックス向けにのみ、このフィールドでブラウザに表示される言語を指定します (この [Language] フィールドは、[Export Application Help Content] ダイアログボックスでは非アクティブになっています)。このフィールドはファイル変換には使用されません。ファイルで使用される言語を示すだけです。[Language] フィールドの横にあるドット(複数)をクリックし、[Browse Language Code] ダイアログボックスで、ヘルプ ファイルで使用される言語を含む行をダブルクリックし、[Language Code] フィールドの略語がその行の略語と一致することを確認して、[OK] をクリックします。ヘルプ コンテンツを表示するための言語が [Browse Language Code] ダイアログボックスに表示されない場合は、[Language Code] フィールドに必要な言語の略語を入力して [OK] をクリックするか、ドットの左側にある [Language] テキストボックスに言語を入力します。[Browse Language Code] ダイアログボックスに表示されない場合に、インポートするヘルプ ファイルの言語の略語を指定するには、ブラウザによって表示される言語と略号の一覧を表示します。たとえば、次の手順のいずれかを使用すると、ダイアログ ウィンドウに言語と関連の言語コードが表示されます。

Internet Explorer を起動して、[Tools] > [Internet Options] > [Languages] > [Add] を選択します。

Mozilla Firefox を起動して、[Tools] > [Options] > [Advanced] > [General] を選択し、[Languages] の隣にある [Choose] をクリックして、[Select a language to add] をクリックします。

[File Name]:インポートする場合は、ドロップダウン リストから新しいヘルプ コンテンツ ファイルのファイル名を指定します。エクスポートする場合は、このフィールドは使用できません。

[Select a File]:ソース ファイル(インポートの場合)または転送先ファイル(エクスポートの場合)のパラメータを設定します。

[Local computer]:ソースまたは転送先ファイルがローカル コンピュータにある場合に選択します。

[Path]:ソースまたは転送先ファイルのパスを指定します。

[Browse Local Files]:ソースまたは転送先ファイルのローカル コンピュータを参照します。

[Flash file system]:ソースまたは転送先ファイルがセキュリティ アプライアンスのフラッシュ メモリにある場合に選択します。

[Path]:フラッシュ メモリ内のソースまたは転送先ファイルのパスを指定します。

[Browse Flash]:ソースまたは転送先ファイルのあるフラッシュ メモリを参照します。

[Remote server]:ソースまたは転送先ファイルがリモート サーバにある場合に選択します。

[Path]:ftp、tftp、または http(インポートの場合のみ)の中からファイル転送(コピー)方式を選択し、パスを指定します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

クライアント/サーバ プラグインへのブラウザ アクセスの設定

[Client-Server Plug-in] テーブルには、セキュリティ アプライアンス によってクライアントレス SSL VPN セッションのブラウザで使用できるようになるプラグインが表示されます。

プラグインを追加、変更、または削除するには、次のいずれかを実行します。

プラグインを追加するには、[Import] をクリックします。[Import Plug-ins] ダイアログボックスが開きます。

プラグインを削除するには、そのプラグインを選択して [Delete] をクリックします。

ブラウザ プラグインのインストールについて

ブラウザ プラグインは、Web ブラウザによって呼び出される独立したプログラムで、ブラウザ ウィンドウ内でクライアントをサーバに接続するなどの専用の機能を実行します。セキュリティ アプライアンスを使用すると、クライアントレス SSL VPN セッション中に、リモート ブラウザにダウンロードするプラグインをインポートできます。通常、シスコでは再配布するプラグインのテストを行っており、再配布できないプラグインの接続性をテストする場合もあります。ただし、現時点では、ストリーミング メディアをサポートするプラグインのインポートは推奨しません。


) シスコでは、GNU General Public License(GPL; 一般公的使用許諾)に従い、変更を加えることなくプラグインを再配布しています。GPL により、これらのプラグインを直接改良できません。


プラグインをフラッシュ デバイスにインストールすると、セキュリティ アプライアンスは次の処理を実行します。

(シスコが配布したプラグインのみ) URL で指定した jar ファイルを解凍する。

セキュリティ アプライアンス ファイル システムの csco-config/97/plugin ディレクトリにファイルを書き込む。

ASDM の URL 属性の横にあるドロップダウン メニューに情報を入力します。

将来のすべてのクライアントレス SSL VPN セッションに対するプラグインのイネーブル化、およびメイン メニュー オプションの追加とポータル ページの [Address] フィールドの隣にあるドロップダウン メニューへのオプションの追加

表 34-6 に、次の項で説明するプラグインを追加したときの、ポータル ページのメイン メニューと [Address] フィールドの変更点を示します。

 

表 34-6 クライアントレス SSL VPN ポータル ページへのプラグインの影響

プラグイン
ポータル ページに追加されるメイン メニュー オプション
ポータル ページに追加される [Address] フィールド オプション

ica

Citrix Client

citrix://

rdp

Terminal Servers

rdp://

rdp2

Terminal Servers Vista

rdp2://

ssh,telnet

SSH

ssh://

Telnet

telnet://

vnc

VNC Client

vnc://


) セカンダリ セキュリティ アプライアンスは、プライマリ セキュリティ アプライアンスからプラグインを取得します。


クライアントレス SSL VPN セッションのユーザがポータル ページで関連するメニュー オプションをクリックすると、ポータル ページにインターフェイスへのウィンドウが開き、ヘルプ ペインが表示されます。ドロップダウン メニューに表示されたプロトコルをユーザが選択して [Address] フィールドに URL を入力すると、接続を確立できます。


) Java プラグインによっては、宛先サービスへのセッションが設定されていない場合でも、接続済みまたはオンラインというステータスがレポートされることがあります。open-source プラグインは、セキュリティ アプライアンスではなくステータスをレポートします。


1 つ目のプラグインをインストールする前に、次の項の指示に従う必要があります。

プラグインの要件および制限事項

プラグインへのリモートアクセスを提供するには、セキュリティ アプライアンスでクライアントレス SSL VPN をイネーブルにする必要があります。

リモートで使用するために必要な最低限のアクセス権は、ゲスト特権モードに属しています。

ステートフル フェールオーバーが発生すると、プラグインを使用して確立されたセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

プラグインのためのセキュリティ アプライアンスの準備

プラグインをインストールする前に、次の手順を実行してセキュリティ アプライアンスを準備します。


ステップ 1 セキュリティ アプライアンス インターフェイスでクライアントレス SSL VPN(「webvpn」)がイネーブルになっていることを確認します。

ステップ 2 リモート ユーザが Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用して接続するセキュリティ アプライアンス インターフェイスに SSL 証明書をインストールします。


) SSL 証明書の 一般名(CN)として IP アドレスを指定しないでください。リモート ユーザは、セキュリティ アプライアンスと通信するために FQDN の使用を試行します。リモート PC は、DNS または System32\drivers\etc\hosts ファイル内のエントリを使用して、FQDN を解決できる必要があります。



 

クライアントレス SSL VPN アクセスで使用可能にするプラグインのタイプに該当する項を参照してください。

シスコによって再配布されたプラグインのインストール

サードパーティ プラグインのアセンブリとインストール:Citrix Java Presentation Server Client の場合

シスコによって再配布されたプラグインのインストール

シスコでは、クライアントレス SSL VPN セッションで Web ブラウザのプラグインとしてアクセスされる、次のオープンソースの Java ベースのコンポーネントを再配布しています。

 

表 34-7 シスコが再配布しているプラグイン

シスコのダウンロード リンク
プロトコル
説明
再配布しているプラグインのソース

rdp2-plugin.090211.jar

RDP2

Windows Vista および Windows 2003 R2 でホストされる Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

(注) RDP プラグインと RDP2 プラグインをインポートして、クライアントレス ユーザが両方を利用できるようにできます。

シスコでは、GNU 一般公的使用許諾に従って、変更を加えることなくこのプラグインを再配布します。再配布プラグインの元のソースは、 http://properjavardp.sourceforge.net/ です。

rdp-plugin.080506.jar

RDP

Windows 2003 R1 でホストされる Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

シスコでは、GNU 一般公的使用許諾に従って、変更を加えることなくこのプラグインを再配布します。再配布プラグインのソースは、 http://properjavardp.sourceforge.net / です。

ssh-plugin.080430.jar

SSH

Secure Shell-Telnet プラグインにより、リモート ユーザはリモート コンピュータへの Secure Shell または Telnet 接続を確立できます。

シスコでは、GNU 一般公的使用許諾に従って、変更を加えることなくこのプラグインを再配布します。この再配布プラグインのソースがある Web サイトは、 http://javassh.org/ です。

vnc-plugin.080130.jar

VNC

Virtual Network Computing プラグインを使用すると、リモート ユーザはリモート デスクトップ共有をオンにしたコンピュータを、モニタ、キーボード、およびマウスを使用して表示および制御できます。このバージョンでは、テキストのデフォルトの色が変更されています。また、フランス語と日本語のヘルプ ファイルもアップデートされています。

シスコでは、GNU 一般公的使用許諾に従って、変更を加えることなくこのプラグインを再配布します。この再配布プラグインのソースがある Web サイトは、 http://www.tightvnc.com/ です。

シスコによって再配布されるプラグインを取得し、それをセキュリティ アプライアンスにインポートするには、次の手順を実行します。


ステップ 1 セキュリティ アプライアンスとの ASDM セッションを確立するために使用するコンピュータに、[plugins] という名前の一時ディレクトリを作成します。

ステップ 2 次に、シスコの Web サイトから、必要なプラグインを [plugins] ディレクトリにダウンロードします。

ステップ 3 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Client-Server Plug-ins] を選択します。

このペインには、クライアントレス SSL セッションで使用可能なプラグインが表示されます。

ステップ 4 [Import] をクリックします。

[Import Client-Server Plug-in] ダイアログボックスが開きます。

ステップ 5 フィールドに値を入力するには、次の説明を参考にしてください。

フィールド

[Import Client-Server Plug-in] ダイアログボックスには、次のフィールドがあります。

[Plug-in Name]:次のいずれかの値を入力します。

Citrix MetaFrame サービスへのプラグイン アクセスを提供する場合は ica 。その後、次の説明に従って [Remote Server] フィールドに ica-plugin.jar ファイルへのパスを指定します。

Remote Desktop Protocol サービスへのプラグイン アクセスを提供するには、 rdp を入力します。次に、[Remote Server] フィールドで rdp-plugin.jar ファイルへのパスを指定します。

セキュア シェル サービスと Telnet サービスの 両方 にプラグイン アクセスを提供するには、 ssh,telnet を入力します。次に、[Remote Server] フィールドで ssh-plugin.jar ファイルへのパスを指定します。

Virtual Network Computing サービスにプラグイン アクセスを提供するには、 vnc を入力します。次に、[Remote Server] フィールドで vnc-plugin.jar ファイルへのパスを指定します。


) このメニューの、記載のないオプションは実験的なものであるため、サポートされていません。


[Select a file]:次のいずれかのオプションをクリックし、テキスト フィールドにパスを挿入します。

[Local computer]:ASDM セッションを確立した相手のコンピュータからプラグインを取得します。関連する [Path] フィールドにプラグインの場所と名前を入力するか、[Browse Local Files] をクリックしてプラグインにナビゲートし、プラグインを選択して [Select] をクリックします。

[Flash file system]:セキュリティ アプライアンスのファイル システムにプラグインが存在する場合にクリックします。関連する [Path] フィールドにプラグインの場所と名前を入力するか、[Browse Flash] をクリックしてプラグインにナビゲートし、プラグインを選択して [OK] をクリックします。

[Remote Server]:FTP または TFTP サーバを実行しているホストからプラグインを取得します。リモート サーバで実行されているサービスに応じて、関連付けられた [Path] 属性の横にあるドロップダウン メニューで [ftp]、[tftp]、または [HTTP] を選択します。隣にあるテキスト フィールドに、サーバのホスト名またはアドレスおよびプラグインへのパスを入力します。

ステップ 6 [Import Now] をクリックします。

[Apply] をクリックします。

これで、以降のクライアントレス SSL VPN セッションでプラグインが使用できるようになりました。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

サードパーティ プラグインのアセンブリとインストール:Citrix Java Presentation Server Client の場合

セキュリティ アプライアンスのオープン フレームワークにより、サードパーティの Java クライアント/サーバ アプリケーションをサポートするためにプラグインを追加することができます。サードパーティのプラグインに、クライアントレス SSL VPN ブラウザ アクセスを提供する方法の例として、この項では、Citrix Presentation Server Client にクライアントレス SSL VPN のサポートを追加する方法について説明します。


注意 シスコでは、シスコが再配布していない特定のプラグインに対して、直接的なサポートや推奨はしていません。クライアントレス SSL VPN サービスの提供者として、ユーザはプラグインの使用に際して必要となるライセンス契約を確認および遵守する責任があります。

セキュリティ アプライアンスに Citrix プラグインがインストールされている場合、クライアントレス SSL VPN ユーザは、セキュリティ アプライアンスへの接続を使用して、Citrix MetaFrame サービスにアクセスできます。

ステートフル フェールオーバーでは、Citrix プラグインを使用して確立したセッションは保持されません。Citrix のユーザは、フェールオーバー後に再認証を行う必要があります。

Citrix プラグインへのアクセスを提供するには、次の項で説明する手順に従ってください。

クライアントレス SSL VPN アクセスのための Citrix MetaFrame Server の準備

Citrix クライアントが Citrix MetaFrame Server に接続するときに、セキュリティ アプライアンスは Citrix セキュア ゲートウェイの接続機能を実行します。(Citrix)「セキュア ゲートウェイ」を使用しないモードで動作するように、Citrix Web Interface ソフトウェアを設定する必要があります。この設定をしないと、Citrix クライアントは Citrix MetaFrame Server に接続できません。

まだプラグインのサポートを提供していない場合は、次の項に進む前に、「プラグインのためのセキュリティ アプライアンスの準備」の指示に従う必要があります。

Citrix プラグインの作成、インストール、およびテスト

Citrix プラグインを作成およびインストールするには、次の手順に従います。


ステップ 1 Cisco Software Download Web サイトから ica-plugin.zip ファイルをダウンロードします。

このファイルには、Citrix プラグインを使用するためにシスコがカスタマイズしたファイルが含まれています。

ステップ 2 Citrix のサイトから Citrix Java クライアントをダウンロードします。

ステップ 3 Citrix Java クライアントから次のファイルを抽出します。

JICA-configN.jar

JICAEngN.jar

この手順と次の手順は、WinZip を使用して行えます。

ステップ 4 抽出したファイルを ica-plugin.zip ファイルに追加します。

ステップ 5 Citrix Java に含まれている EULA によって、Web サーバ上にクライアントを配置するための権限が与えられていることを確認します。

ステップ 6 セキュリティ アプライアンスとの ASDM セッションを確立します。[Config] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Client-Server Plug-ins] > [Import] を選択し、ica-plugin.zip ファイルをインポートします。


) クライアントレス SSL VPN セッションのユーザは、[Address] ボックスに URL を入力して Citrix セッションでの SSO サポートを得ることはできません。Citrix プラグインに SSO サポートを提供するには、次の手順のとおりにブックマークを挿入する必要があります。


ステップ 7 ユーザが接続しやすいよう、適切なブックマーク リストにブックマークを追加します。[ica] を選択し、[Address] フィールドに次の情報を入力します。

citrix-server /?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768

ステップ 8 プラグインをテストするには、セキュリティ アプライアンスとのクライアントレス セッションを確立し、ブックマークをクリックします。

必要に応じて、『 Client for Java Administrator's Guide 』を参照してください。


 

ブックマークの設定

[Bookmarks] パネルでは、ブックマーク リストを追加、編集、削除、インポート、およびエクスポートできます。

[Bookmarks] パネルを使用して、クライアントレス SSL VPN でアクセスするための、サーバおよび URL のリストを設定します。ブックマーク リストのコンフィギュレーションに続いて、そのリストを 1 つ以上のポリシー(グループ ポリシー、ダイナミック アクセス ポリシー、またはその両方)に割り当てることができます。各ポリシーのブックマーク リストは 1 つのみです。リスト名は、各 DAP の [URL Lists] タブのドロップダウン リストに表示されます。


注意 ブックマークを設定することでは、ユーザが不正なサイトや会社のアクセプタブル ユース ポリシーに違反するサイトにアクセスすることを防ぐことはできません。ブックマーク リストをグループ ポリシー、ダイナミック アクセス ポリシー、またはその両方に割り当てる以外に、Web ACL をこれらのポリシーに割り当てて、トラフィック フローへのアクセスを制御します。これらのポリシー上の URL エントリをディセーブルにして、ユーザがアクセスできるページについて混乱しないようにします。手順については、「セキュリティ対策」を参照してください。

バージョン 8.0 ソフトウェアでは、ブックマーク リストを設定するための機能が拡張されており、新しいプロセスは以前のバージョンと互換性がありません。8.0 ソフトウェアへのアップグレード中に、セキュリティ アプライアンスは、古い設定を使用して新しいリストを作成することによって現在のコンフィギュレーションを維持します。このプロセスは 1 回のみ実行されます。また、古い値は新しい値の一部を構成するサブセットに過ぎないため、このプロセスは古い形式から新しい形式への単なる変換ではありません。


) バージョン 7.2 ポータルのカスタマイズと URL リストは、バージョン 8.0 にアップグレードするにバージョン 7.2(x)のコンフィギュレーション ファイルの適切なインターフェイスでクライアントレス SSL VPN(WebVPN)がイネーブルになっていた場合にだけ、Beta 8.0 コンフィギュレーションで使用できます。


フィールド

[Bookmarks List]:既存のブックマーク リストを表示します。

[Add]:新しいブックマーク リストを追加します。

[Edit]:選択したブックマーク リストを編集します。

[Delete]:選択したブックマーク リストを削除します。

[Import]:ブックマーク リストをインポートします。

[Export]:ブックマーク リストをエクスポートします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

Add/Edit Bookmark List

[Add/Edit Bookmark List] ダイアログボックスでは、URL リストを追加、編集、または削除でき、指定された URL リストの項目を並べ替えることもできます。

フィールド

[Bookmark List Name]:追加するリストの名前を指定するか、修正または削除するリストの名前を選択します。

[Name]:ユーザに表示する URL 名を指定します。

[URL]:表示名に関連付けられている URL を指定します。

[Add]:[Add Bookmark Entry] ダイアログボックスを開きます。このダイアログボックスでは、新しいサーバまたは URL と表示名を設定できます。

[Edit]:[Edit Bookmark Entry] ダイアログボックスを開きます。このダイアログボックスでは、新しいサーバまたは URL と表示名を設定できます。

[Delete]:選択した項目を URL リストから削除します。確認されず、やり直しもできません。

[Move Up/Move Down]:URL リストでの選択した項目の位置を変更します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

Add Bookmark Entry

[Add Bookmark Entry] ダイアログボックスでは、URL リストのリンクまたはブックマークを作成できます。

フィールド

[Bookmark Title]:ブックマークの名前を指定します。

[URL Value]:プルダウン メニューを使用して、URL タイプ(http、https、cifs、または ftp)を選択します。

[URL](テキスト ボックス):ブックマークの DNS 名または IP アドレスを入力します。プラグインの場合は、サーバの名前を入力します。サーバ名の後にスラッシュと疑問符(/?)を入力すると、オプションのパラメータを指定できます。それに続いてアンパサンドを使用すると、次の構文に示すように、パラメータ/値ペアを分けられます。

server /? Parameter = Value & Parameter = Value

次に例を示します。

host /?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768

プラグインによって、入力できるオプションのパラメータ/値ペアが決まります。

プラグインに対して、シングル サインオン サポートを提供するには、パラメータ/値ペア csco_sso=1 を使用します。次に例を示します。

host /?csco_sso=1&DesiredColor=4&DesiredHRes=1024&DesiredVRes=768


\\server\share\subfolder\personal フォルダにアクセスするには、personal フォルダ上のすべてのポイントに対するリスト権限がユーザに必要です。


[Advanced Options]:(任意)ブックマークの特徴の詳細を設定します。

[Subtitle]:ユーザに表示するブックマーク エントリについての説明テキストを入力します。

[Thumbnail]:プルダウン メニューを使用して、エンドユーザ ポータル上のブックマークに関連付けるアイコンを選択します。

[Manage]:サムネールとして使用するイメージをインポートまたはエクスポートします。

[URL Method]:単純なデータ取得の場合には [Get] を選択します。データの保存または更新、製品の注文、電子メールの送信など、データを処理することによってデータに変更が加えられる可能性がある場合には、[Post] を選択します。

[Enable Favorite Option]:ポータル ホームページ上にブックマーク エントリを表示する場合は [Yes] を選択します。アプリケーション ページのみに表示する場合は [No] を選択します。

[Enable Smart-Tunnel Option]:セキュリティ アプライアンスとの間でデータを受け渡すスマート トンネル機能を使用する新しいウィンドウでブックマークを開く場合に選択します。

[Post Parameters]:Post URL 方式の詳細を設定します。

[Add]:post パラメータを追加します。

[Edit]:選択した post パラメータを編集します。

[Delete]:選択した post パラメータを削除します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

ブックマーク リストのインポートおよびエクスポート

すでに設定済みのブックマーク リストは、インポートまたはエクスポートできます。使用準備ができているリストをインポートします。リストをエクスポートして修正または編集してから、再インポートすることもできます。

フィールド

[Bookmark List Name]:名前によってリストを特定します。最大 64 文字で、スペースは使用できません。

[Select a file]:リスト ファイルをインポートまたはエクスポートするときに使用する方法を選択します。

[Local computer]:ローカル PC に常駐するファイルをインポートする場合に選択します。

[Flash file system]:セキュリティ アプライアンスに常駐するファイルをエクスポートする場合に選択します。

[Remote server]:セキュリティ アプライアンスからアクセス可能なリモート サーバに常駐する URL リスト ファイルをインポートする場合に選択します。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

[Browse Local Files/Browse Flash]:ファイルのパスを参照します。

[Import/Export Now]:リスト ファイルをインポートまたはエクスポートします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

Configure Web Contents

このダイアログボックスでは、Web コンテンツ オブジェクトをインポートおよびエクスポートできます。

フィールド

[File Name]:Web コンテンツ オブジェクトの名前を表示します。

[File Type]:ファイル タイプを特定します。

[Import/Export]:Web コンテンツ オブジェクトをインポートまたはエクスポートします。

[Delete]:オブジェクトを削除します。

Web コンテンツのインポートおよびエクスポート

Web コンテンツには、全体的に設定されたホーム ページから、エンド ユーザ ポータルをカスタマイズするときに使用するアイコンやイメージまで、さまざまな種類があります。設定済みの Web コンテンツは、インポートまたはエクスポートできます。使用準備ができている Web コンテンツをインポートします。Web コンテンツをエクスポートして修正または編集してから、再インポートすることもできます。

フィールド

[Source]:ファイルのインポートまたはエクスポート元の場所を選択します。

[Local computer]:ローカル PC に常駐するファイルをインポートまたはエクスポートする場合に選択します。

[Flash file system]:セキュリティ アプライアンスに常駐するファイルをインポートまたはエクスポートする場合に選択します。

[Remote server]:セキュリティ アプライアンスからアクセス可能なリモート サーバに常駐するファイルをインポートする場合に選択します。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

[Browse Local Files.../Browse Flash...]:ファイルのパスを参照します。

Destination

[Require authentication to access its content?]: [Yes] または [No] をクリックします。

[WebContent Path]:パスのプレフィックスは、認証を要求するかどうかに応じて異なります。セキュリティ アプライアンスは、認証が必要なオブジェクトの場合には /+CSCOE+/ を使用し、認証が不要なオブジェクトの場合には /+CSCOU+/ を使用します。セキュリティ アプライアンスはポータル ページにだけ /+CSCOE+/ オブジェクトを表示するのに対し、/+CSCOU+/ オブジェクトは、ログイン ページまたはポータル ページのどちらかで表示または使用可能です。

[Import Now]/[Export Now]:クリックすると、ファイルをインポートまたはエクスポートします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

Add/Edit Post Parameter

このペインでは、ブックマーク エントリと URL リストのポスト パラメータを設定します。

これらは、ユーザ ID とパスワード、または他の入力パラメータを含む個人別のリソースであることが多く、 クライアントレス SSL VPN マクロ置換を定義する必要がある場合があります。詳細な手順については、リンクをクリックしてください。

フィールド

[Name, Value]:パラメータの名前と値を、対応する HTML フォームのとおりに指定します。たとえば、<input name=" param_name " value=" param_value "> です。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

クライアントレス SSL VPN マクロ置換

クライアントレス SSL VPN マクロ置換を使用すると、ユーザ ID とパスワード、または他の入力パラメータを含む個人別のリソースにユーザがアクセスできるように設定できます。このようなリソースの例には、ブックマーク エントリ、URL リスト、およびファイル共有などがあります。


) セキュリティ上の理由から、パスワード置換はファイル アクセス URL(cifs://)に対してはディセーブルにされています。

同様に、セキュリティ上の理由から、Web リンク(特に非 SSL インスタンス)にパスワード置換を導入する場合は注意が必要です。


次のマクロ置換がサポートされています。

 

番号
マクロ置換
定義

1

CSCO_WEBVPN_USERNAME

SSL VPN ユーザ ログイン ID

2

CSCO_WEBVPN_PASSWORD

SSL VPN ユーザ ログイン パスワード

3

CSCO_WEBVPN_INTERNAL_PASSWORD

SSL VPN ユーザ内部リソース パスワード

4

CSCO_WEBVPN_CONNECTION_PROFILE

SSL VPN ユーザ ログイン グループ ドロップダウン、接続プロファイル内のグループ エイリアス

5

CSCO_WEBVPN_MACRO1

RADIUS/LDAP ベンダー固有属性によって設定

6

CSCO_WEBVPN_MACRO2

RADIUS/LDAP ベンダー固有属性によって設定

マクロ 1 ~ 4 の使用

セキュリティ アプライアンスは、[SSL VPN Login] ページから最初の 4 つの置き換えの値を取得します。それには、ユーザ名、パスワード、内部パスワード(任意)、およびグループのフィールドが含まれます。ユーザ要求内のこれらのストリングを認識し、このストリングをユーザ固有の値で置き換えてから、リモート サーバに要求を渡します。

たとえば、URL リストに http://someserver/homepage/CSCO_WEBVPN_USERNAME.html というリンクが含まれていると、セキュリティ アプライアンスはこのリンクを次の一意のリンクに変換します。

USER1 の場合、リンクは http://someserver/homepage/USER1.html となります。

USER2 の場合、リンクは http://someserver/homepage/USER2.html となります。

cifs://server/users/CSCO_WEBVPN_USERNAME の場合、セキュリティ アプライアンスは、次のようにファイル ドライブを特定のユーザにマップできます。

USER1 の場合、リンクは cifs://server/users/USER1 となります。

USER1 の場合、リンクは cifs://server/users/USER2 となります。

マクロ 5 および 6 の使用

マクロ 5 および 6 の値は、RADIUS または LDAP のベンダー固有属性(VSA)です。これらの置き換えにより、RADIUS または LDAP サーバのどちらかで設定される置き換えを設定できます。

例 1:ホームページの設定

次の例では、ホームページの URL を設定します。

WebVPN-Macro-Value1 (ID=223), type string, は、 wwwin-portal.abc.com として返されます。

WebVPN-Macro-Value2 (ID=224), type string, は 401k.com として返されます。

ホームページの値を設定するには、次のようにマクロを設定します。

https://CSCO_WEBVPN_MACRO1。これは、https://wwwin-portal.abc.com に変換されます。

この場合の最善の方法は、ASDM で Homepage URL パラメータを設定することです。

ASDM を使用した、ホームページを設定するマクロのコンフィギュレーションに示すように、ASDM の Network Client SSL VPN または Clientless SSL VPN Access セクションから、[Add/Edit Group Policy] ペインに移動します。パスは次のとおりです。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit Group Policy] > [Advanced] > [SSL VPN Client] > [Customization] > [Homepage URL] 属性

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add/Edit Group Policy] > [More Options] > [Customization] > [Homepage URL] 属性

図 34-2 ASDM を使用した、ホームページを設定するマクロのコンフィギュレーション

 

例 2:ブックマークまたは URL エントリの設定

SSL VPN 認証で RSA ワンタイム パスワード(OTP)を使用し、続いて OWA 電子メール アクセスでスタティックな内部パスワードを使用することによって、HTTP Post を使用して OWA リソースにログインできます。この場合の最善の方法は、図( ブックマーク エントリのコンフィギュレーション)のように ASDM でブックマーク エントリを追加または編集することです。

次のパスを含め、[Add Bookmark Entry] ペインへのパスは数通り存在します。

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] > [Add/Edit Bookmark Lists] > [Add/Edit Bookmark Entry] > [Advanced Options] 領域 > [Add/Edit Post Parameters](URL Method 属性の [Post] をクリックすると表示されます)

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access]

または

([URL Method] 属性の [Post] をクリックすると表示されます)

[Network (Client) Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [URL Lists] タブ > [Manage] ボタン > [Configured GUI Customization Objects] > [Add/Edit] ボタン > [Add/Edit Bookmark List] > [Add/Edit Bookmark Entry] > [Advanced Options] 領域 > [Add/Edit Post Parameters]

図 34-3 ブックマーク エントリのコンフィギュレーション

言語のローカリゼーション

セキュリティ アプライアンスでは、ブラウザベースのクライアントレス SSL VPN 接続を開始したユーザに表示されるポータルおよび画面、オプションのプラグインに関連付けられた画面、および Cisco AnyConnect VPN Client ユーザに表示されるインターフェイスで、言語変換を行います。

この項では、これらのユーザ メッセージを変換するためにセキュリティ アプライアンスを設定する方法について説明します。次の項目を取り上げます。

「言語変換の概要」

「変換テーブルの作成」

「Add/Edit Localization Entry」

「言語ローカリゼーションのインポートとエクスポート」

言語変換の概要

各機能領域と、リモート ユーザに表示されるメッセージは、変換ドメインに分けられています。 表 34-8 に、変換ドメインと変換される機能エリアを示します。

 

表 34-8 変換ドメインと影響を受ける機能エリア

変換ドメイン
変換される機能エリア

AnyConnect

Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッセージ。

CSD

Cisco Secure Desktop(CSD)のメッセージ。

customization

ログイン ページ、ログアウト ページ、ポータル ページのメッセージ、およびユーザによるカスタマイズが可能なすべてのメッセージ。

keepout

VPN アクセスを拒否された場合にリモート ユーザに表示されるメッセージ。

PortForwarder

ポート フォワーディング ユーザに表示されるメッセージ。

url-list

ユーザがポータル ページの URL ブックマークに指定するテキスト。

webvpn

カスタマイズできないすべてのレイヤ 7 メッセージ、AAA メッセージ、およびポータル メッセージ。

plugin-ica

Citrix プラグインのメッセージ。

plugin-rdp

Remote Desktop Protocol プラグインのメッセージ。

plugin-telnet,ssh

Telnet および SSH プラグインのメッセージ。

plugin-vnc

VNC プラグインのメッセージ。

セキュリティ アプライアンスのソフトウェア イメージ パッケージには、標準機能の一部になっているドメインごとの言語ローカリゼーション テンプレートが組み込まれています。プラグインのテンプレートはプラグインともに含まれており、独自の変換ドメインを定義します。

変換ドメインのテンプレートをエクスポートできます。これで、入力する URL にテンプレートの XML ファイルが作成されます。このファイルのメッセージ フィールドは空です。メッセージをカスタマイズしてテンプレートをインポートし、フラッシュ メモリに常駐させる新しい言語ローカリゼーション テーブルを作成できます。

また、既存の言語ローカリゼーション テーブルをエクスポートすることもできます。作成した XML ファイルに事前に編集したメッセージが表示されます。同じ言語名でこの XML ファイルを再インポートすると、以前のメッセージは上書きされ、新しいバージョンの言語ローカリゼーション テーブルが作成されます。

テンプレートにはスタティックのものも、セキュリティ アプライアンスの設定に基づいて変化するものもあります。 ログインとログアウト ページ、ポータル ページ、およびクライアントレス セッションの URL ブックマーク はカスタマイズできるため、セキュリティ アプライアンスは customization および url-list 変換ドメイン テンプレートをダイナミックに生成し、テンプレートにはこれらの機能領域に対する変更が自動的に反映されます。

言語ローカリゼーション テーブルを作成した後は、作成してグループ ポリシーまたはユーザ属性に適用するカスタマイゼーション オブジェクトとして使用できます。カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する言語ローカリゼーション テーブルを特定し、グループ ポリシーまたはユーザのカスタマイゼーションを指定するまでは、言語ローカリゼーション テーブルによる影響はなく、ユーザ画面でメッセージは変換されません。

フィールド

[Add]:[Add Localization Entry] ダイアログを呼び出します。このダイアログで、追加するローカリゼーション テンプレートの選択、およびテンプレートの内容の編集ができます。

[Edit]:選択したテーブル内の言語の [Edit Localization Entry] ダイアログを呼び出します。このダイアログで、以前インポートした言語ローカリゼーション テーブルを編集できます。

[Delete]:選択した言語ローカリゼーション テーブルを削除します。

[Import]:[Import Language Localization] ダイアログを呼び出します。このダイアログで、言語ローカリゼーション テンプレートまたはテーブルをインポートできます。

[Export]:[Export Language Localization] ダイアログが起動します。このダイアログでは、言語ローカリゼーションのテンプレートまたはテーブルを、テーブルまたはテンプレートに変更を加えることが可能な URL にエクスポートできます。

[Language]:既存の言語ローカリゼーション テーブルの言語です。

[Language Localization Template]:テーブルの元になっているテンプレート。

変換テーブルの作成

ここでは、変換テーブルの作成方法について説明します。


ステップ 1 [Remove Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Advanced] > [Language Localization] に移動します。[Language Localization] ペインが表示されます。[Add] をクリックします。[Add Language Localization] ウィンドウが表示されます。

ステップ 2 ドロップダウン ボックスから、[Language Localization Template] を選択します。このボックスのエントリは、変換する機能エリアに対応します。テンプレートごとの機能の詳細については、 表 34-8 を参照してください。

ステップ 3 テンプレートの言語を指定します。テンプレートはキャッシュメモリ内の変換テーブルになり、指定した名前が付きます。ブラウザの言語オプションと互換性のある短縮形を使用してください。たとえば、中国語のテーブルを作成するときに IE を使用している場合は、IE によって認識される zh という略語を使用します。

ステップ 4 変換テーブルを編集します。msgid フィールドで表される変換対象のメッセージごとに、対応する msgstr フィールドの引用符の間に変換済みテキストを入力します。次の例では、メッセージ Connected の msgstr フィールドにスペイン語テキストを入力しています。

msgid "Connected"
msgstr "Conectado"
 

ステップ 5 [OK] をクリックします。新しいテーブルが変換テーブルのリストに表示されます。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit Localization Entry

このペインから、新しい変換テーブルや基準とするテンプレートの追加、またはすでにインポートされている変換テーブルの変更ができます。

フィールド

[Language Localization Template]:修正するテンプレートを選択し、新しい変換テーブルの基礎として使用します。テンプレートは変換ドメインに構成され、特定の機能領域に影響します。次の表に、変換ドメインと影響を受ける機能領域を示します。

 

変換ドメイン
変換される機能エリア

AnyConnect

Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッセージ。

CSD

Cisco Secure Desktop(CSD)のメッセージ。

customization

ログイン ページ、ログアウト ページ、ポータル ページのメッセージ、およびユーザによるカスタマイズが可能なすべてのメッセージ。

keepout

VPN アクセスを拒否された場合にリモート ユーザに表示されるメッセージ。

PortForwarder

ポート フォワーディング ユーザに表示されるメッセージ。

url-list

ユーザがポータル ページの URL ブックマークに指定するテキスト。

webvpn

カスタマイズできないすべてのレイヤ 7 メッセージ、AAA メッセージ、およびポータル メッセージ。

plugin-ica

Citrix プラグインのメッセージ。

plugin-rdp

Remote Desktop Protocol プラグインのメッセージ。

plugin-telnet,ssh

Telnet および SSH プラグインのメッセージ。

plugin-vnc

VNC プラグインのメッセージ。

[Language]:言語を指定します。 ブラウザの言語オプションと互換性のある略語を使用してください。セキュリティ アプライアンスは、この名前で新しい変換テーブルを作成します。

[Text Editor]:エディタを使用してメッセージ変換を変更します。メッセージ ID フィールド(msgid)には、デフォルトの変換が含まれています。msgid に続くメッセージ文字列フィールド(msgstr)で変換を指定します。変換を作成するには、msgstr 文字列の引用符の間に変換対象のテキストを入力します。たとえば、「Connected」というメッセージをスペイン語に変換するには、msgstr の引用符の間にスペイン語のテキストを挿入します。

msgid "Connected"
msgstr "Conectado"
 

変更を行った後、[Apply] をクリックして変換テーブルをインポートします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

言語ローカリゼーションのインポートとエクスポート

[Import Translation Table] および [Export Translation Table] ウィンドウでは、変換テーブルをセキュリティ アプライアンスにインポートまたはエクスポートして、ユーザ メッセージの変換機能を提供できます。

変換テンプレートは、変換済みメッセージで編集できるメッセージ フィールドが含まれている XML ファイルです。テンプレートをエクスポートし、メッセージフィールドを編集し、新しい変換テーブルとしてテンプレートをインポートするか、既存の変換テーブルをエクスポートし、メッセージフィールドを編集し、テーブルを再インポートして以前のバージョンを上書きすることができます。

フィールド

[Language]:言語の名前を入力します。

エクスポート の場合は、テーブルで選択したエントリの名前が自動的に取り込まれます。

インポート の場合は、識別する方法で言語名を入力します。インポートされた変換テーブルは、指定した短縮形でリストに表示されます。ブラウザが言語を認識できるように、ブラウザの言語オプションと互換性のある言語短縮形を使用してください。たとえば、IE を使用する場合は、中国語の略語として zh を使用します。

[Localization Template Name]:メッセージ フィールドが含まれている XML ファイルの名前。次のテンプレートを使用できます。

AnyConnect:Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッセージ。

CSD:Cisco Secure Desktop(CSD)のメッセージ。

customization:ログイン ページおよびログアウト ページのメッセージ、ポータル ページ、およびユーザがカスタマイズできるすべてのメッセージ。

keepout:VPN アクセスが拒否されたときに、リモート ユーザに対して表示されるメッセージ。

PortForwarder:Port Forwarding ユーザに表示されるメッセージ。

url-list:ユーザが、ポータル ページの URL ブックマークに指定したテキスト。

webvpn:カスタマイズできないレイヤ 7、AAA、およびポータルのすべてのメッセージ。

plugin-ica:Citrix プラグインのメッセージ。

plugin-rdp:Remote Desktop Protocol プラグインのメッセージ。

plugin-telnet,ssh:Telnet プラグインおよび SSH プラグインのメッセージ。

plugin-vnc:VNC プラグインのメッセージ。

[Select a file]:ファイルをインポートまたはエクスポートする方式を選択します。

[Remote server]:セキュリティ アプライアンスからアクセスできるリモート サーバに常駐するカスタマイゼーション ファイルをインポートするには、このオプションを選択します。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

[Flash file system]:セキュリティ アプライアンスに常駐するファイルをエクスポートするには、この方式を選択します。

[Path]:ファイルへのパスを入力します。

[Browse Flash]:ファイルへのパスを参照します。

[Local computer]:ローカル PC にあるファイルをインポートする場合は、この方式を選択します。

[Path]:ファイルへのパスを入力します。

[Browse Local Files]:ファイルへのパスを参照します。

[Import Now]/[Export Now]:クリックすると、ファイルをインポートまたはエクスポートします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

AnyConnect のカスタマイゼーション

Resources

このパネルでは、AnyConnect VPN クライアントをカスタマイズするか、または再区分化するリソース ファイルを指定します。


) セキュリティ アプライアンスは、AnyConnect VPN クライアントのバージョン 2.0 および 2.1 の場合に、この機能をサポートしません。クライアントの手動でのカスタマイズの詳細については、『AnyConnect VPN Client Administrator's Guide』および AnyConnect VPN Client のリリース ノートを参照してください。


フィールド

[Import]:[Import AnyConnect Customization Objects] ダイアログが起動します。このダイアログでは、オブジェクトとしてインポートするファイルを指定できます。

[Export]:[Export AnyConnect Customization Objects] ダイアログが起動します。このダイアログでは、オブジェクトとしてエクスポートするファイルを指定できます。

[Delete]:選択されたオブジェクトを削除します。

[Platform]:オブジェクトによってサポートされるリモート PC プラットフォームのタイプ。

[Object Name]:オブジェクトの名前。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Binary

このパネルでは、AnyConnect VPN クライアント API を使用するサードパーティ プログラムを指定します。セキュリティ アプライアンスは、ユーザ インターフェイスまたはコマンドライン インターフェイスをカスタマイズするクライアントに、これらのプログラムをダウンロードします。


) セキュリティ アプライアンスは、AnyConnect VPN クライアントのバージョン 2.0 および 2.1 の場合に、この機能をサポートしません。クライアントの手動でのカスタマイズの詳細については、『AnyConnect VPN Client Administrator's Guide』および AnyConnect VPN Client のリリース ノートを参照してください。


フィールド

[Import]:[Import AnyConnect Customization Objects] ダイアログが起動します。このダイアログでは、オブジェクトとしてインポートするファイルを指定できます。

[Export]:[Export AnyConnect Customization Objects] ダイアログが起動します。このダイアログでは、オブジェクトとしてエクスポートするファイルを指定できます。

[Delete]:選択されたオブジェクトを削除します。

[Platform]:オブジェクトによってサポートされるリモート PC プラットフォームのタイプ。

[Object Name]:オブジェクトの名前。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Installs

このパネルでは、AnyConnect クライアント インストールのカスタマイズに使用するファイルを指定します。


) セキュリティ アプライアンスは、AnyConnect VPN クライアントのバージョン 2.0 および 2.1 の場合に、この機能をサポートしません。クライアントの手動でのカスタマイズの詳細については、『AnyConnect VPN Client Administrator's Guide』および AnyConnect VPN Client のリリース ノートを参照してください。


フィールド

[Import]:[Import AnyConnect Customization Objects] ダイアログが起動します。このダイアログでは、オブジェクトとしてインポートするファイルを指定できます。

[Export]:[Export AnyConnect Customization Objects] ダイアログが起動します。このダイアログでは、オブジェクトとしてエクスポートするファイルを指定できます。

[Delete]:選択されたオブジェクトを削除します。

[Platform]:オブジェクトによってサポートされるリモート PC プラットフォームのタイプ。

[Object Name]:オブジェクトの名前。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Import AnyConnect Customization Objects

このダイアログでは、カスタマイゼーション オブジェクトをインポートまたはエクスポートできます。インポートするのは、AnyConnect クライアント ユーザに適用するオブジェクトです。セキュリティ アプライアンスにすでに存在するカスタマイゼーション オブジェクトは、編集のためにエクスポートし、その後再インポートできます。


) セキュリティ アプライアンスは、AnyConnect VPN クライアントのバージョン 2.0 および 2.1 の場合に、この機能をサポートしません。クライアントの手動でのカスタマイズの詳細については、『AnyConnect VPN Client Administrator's Guide』および AnyConnect VPN Client のリリース ノートを参照してください。


フィールド

[Customization Object Name]:カスタマイゼーション オブジェクトを名前で特定します。最大 64 文字で、スペースは使用できません。

[Select a file]:カスタマイゼーション ファイルをインポートまたはエクスポートするときに使用する方式を選択します。

[Local computer]:ローカル PC にあるファイルをインポートする場合は、この方式を選択します。

[Path]:ファイルへのパスを入力します。

[Browse Local Files]:ファイルへのパスを参照します。

[Flash file system]:セキュリティ アプライアンスにあるファイルをエクスポートする場合は、この方式を選択します。

[Path]:ファイルへのパスを入力します。

[Browse Flash]:ファイルへのパスを参照します。

[Remote server]:セキュリティ アプライアンスがアクセスできるリモート サーバにあるカスタマイゼーション ファイルをインポートする場合は、このオプションを選択します。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

[Import Now]/[Export Now]:クリックすると、ファイルをインポートまたはエクスポートします。