Cisco Security Manager 4.0 ユーザ ガイド
リモート アクセス VPN の管理
リモート アクセス VPN の管理
発行日;2012/02/02 | 英語版ドキュメント(2010/06/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

リモート アクセス VPN の管理

リモート アクセス VPN について

リモート アクセス IPSec VPN について

リモート アクセス SSL VPN について

リモート アクセス SSL VPN の例

SSL VPN アクセスのモード

SSL VPN サポート ファイルの概要および管理

SSL VPN を設定するための前提条件

SSL VPN の制限

リモート アクセス VPN ポリシーの検出

Remote Access VPN Configuration ウィザードの使用

Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(IOS デバイス)

Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(IOS デバイス)

Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(ASA デバイス)

Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(ASA デバイス)

IPSec VPN および SSL VPN に関連するポリシーの使用

クラスタ ロード バランシングについて(ASA)

クラスタ ロード バランス ポリシーの設定(ASA)

接続プロファイルについて(ASA)

接続プロファイルの設定(ASA)

ダイナミック アクセス ポリシーについて

ダイナミック アクセス ポリシーの設定

DAP 属性について

DAP 属性の設定

ASA デバイスでの Cisco Secure Desktop ポリシーの設定

リモート アクセス VPN グローバル設定について

リモート アクセス VPN グローバル設定

グループ ポリシーについて(ASA)

グループ ポリシーの作成(ASA)

公開キー インフラストラクチャ ポリシーの設定

IPSec VPN ポリシーの使用

Certificate to Connection Profile Map ポリシーについて(ASA)

Certificate to Connection Profile Map ポリシーの設定(ASA)

証明書/接続プロファイル マップ規則について(ASA)

証明書/接続プロファイル マップ規則の設定(ASA)

リモート アクセス VPN の IKE プロポーザルについて

リモート アクセス VPN サーバの IKE プロポーザルの設定

リモート アクセス VPN の IPsec プロポーザルについて

リモート アクセス VPN サーバの IPsec プロポーザルの設定

リモート アクセス VPN のハイ アベイラビリティについて(IOS)

ハイ アベイラビリティ ポリシーの設定

ユーザ グループ ポリシーについて(IOS)

ユーザ グループ ポリシーの設定

SSL VPN ポリシーの使用

SSL VPN アクセス ポリシーについて(ASA)

Access ポリシーの設定

その他の SSL VPN 設定の定義

パフォーマンス設定について

パフォーマンス設定の定義

コンテンツ書き換え規則について

コンテンツ書き換え規則の定義

エンコードについて

エンコード規則の定義

プロキシおよびプロキシ バイパス規則について

プロキシおよびプロキシ バイパス規則の定義

プラグインについて

ブラウザ プラグインの定義

SSL VPN クライアントの設定について

SSL VPN クライアント設定の定義

高度な設定の定義

SSL VPN 共有ライセンスについて(ASA)

共有ライセンス クライアントとしての ASA デバイスの設定

共有ライセンス サーバとしての ASA デバイスの設定

SSL VPN ポリシーの設定(IOS)

Cisco Secure Desktop 設定オブジェクトの作成

クライアントレス SSL VPN ポータルのカスタマイズ

SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定

ASA デバイスの SSL VPN Web ページのローカライズ

ASA デバイスの独自 SSL VPN ログイン ページの作成

ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定

SSL VPN ブックマークでの Post URL 方式およびマクロ置換の使用

ASA デバイスの SSL VPN スマート トンネルの設定

WINS/NetBIOS Name Service(NBNS)サーバの設定による SSL VPN でのファイル システム アクセスのイネーブル化

リモート アクセス VPN の管理

Cisco Security Manager を使用すると、リモート アクセス IPSec VPN およびリモート アクセス SSL VPN の両方を設定できます。Security Manager では、リモート アクセス VPN を次のように柔軟に設定および管理できます。

既存のライブ デバイス、または設定ファイルから、既存のリモート アクセス VPN 設定ポリシーを検出できる。その後、必要に応じて、新しいポリシーまたは更新されたポリシーを変更および展開できます。

設定ウィザードを使用して、これらの 2 種類のリモート アクセス VPN に基本機能をすばやく簡単に設定できる。

ネットワークに必要な機能を把握している場合は、リモート アクセス VPN を独立して設定できる。ウィザードを使用して基本となるリモート アクセス VPN を作成してから、ウィザードに含まれていない追加機能を別途設定することもできます。

また、Cisco Security Manager に備えられているデバイス ビューまたはポリシー ビューによって、リモート アクセス VPN 設定ポリシーの割り当てを柔軟に行うことができます。

一部のポリシーでは、出荷時のポリシー(専用ポリシー)または Security Manager を使用して作成した共有ポリシーのいずれかを割り当てることもできます。


) バージョン 3.2.1 以降の Security Manager は、ソフトウェア バージョン 8.0 以降が実行されている ASA デバイス上での SSL VPN ポリシーの設定をサポートします。SSL VPN を設定する前に、ASA デバイスをサポートされているバージョンに必ずアップグレードしてください。


この章は、次の内容で構成されています。

「リモート アクセス VPN について」

「リモート アクセス VPN ポリシーの検出」

「Remote Access VPN Configuration ウィザードの使用」

「IPSec VPN および SSL VPN に関連するポリシーの使用」

「IPSec VPN ポリシーの使用」

「SSL VPN ポリシーの使用」

「クライアントレス SSL VPN ポータルのカスタマイズ」

リモート アクセス VPN について

Security Manager では、IPSec および SSL の 2 種類のリモート アクセス VPN をサポートしています。

ここでは、次の内容について説明します。

「リモート アクセス IPSec VPN について」

「リモート アクセス SSL VPN について」

リモート アクセス IPSec VPN について

リモート アクセス IPSec VPN では、企業のプライベート ネットワークとリモート ユーザの間で、暗号化されたセキュアな接続が可能になります。これは、ブロードバンド ケーブル接続、DSL 接続、またはダイヤルアップ接続を使用して、インターネットに暗号化された IPSec トンネルを確立して実現されます。

リモート アクセス IPSec VPN は、VPN クライアント、および VPN ヘッドエンド デバイスまたは VPN ゲートウェイで構成されます。VPN クライアント ソフトウェアはユーザのワークステーション上にインストールされ、企業ネットワークへの VPN トンネル アクセスを開始します。VPN トンネルの一方の端が、企業サイトのエッジに位置する VPN ゲートウェイとなります。

VPN クライアントが VPN ゲートウェイ デバイスへの接続を開始すると、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)によるデバイスの認証と、続く IKE Extended Authentication(Xauth; 拡張認証)によるユーザの認証からなるネゴシエーションが行われます。次に、モード設定を使用してグループ プロファイルが VPN クライアントにプッシュされ、IPsec Security Association(SA; セキュリティ アソシエーション)が作成されて VPN 接続が完了します。

リモート アクセス IPSec VPN の場合は、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)を使用してセキュアなアクセスを行います。ユーザ認証を行う場合、接続を完了するには有効なユーザ名およびパスワードを入力する必要があります。ユーザ名およびパスワードは、VPN デバイス自身に格納することも、他の多数のデータベースに認証を提供できる外部 AAA サーバに格納することもできます。AAA サーバの使用の詳細については、「AAA サーバおよびサーバ グループ オブジェクトについて」を参照してください。


) サイト間 VPN トポロジでリモート アクセス IPSec VPN ポリシーを設定する場合は、Easy VPN テクノロジーを使用することもできます。セキュリティ ポリシーはルータなどのハードウェア クライアントに設定されますが、リモート アクセス IPSec VPN では、ポリシーは、Cisco VPN クライアント ソフトウェアを実行している PC に設定されます。詳細については、「Easy VPN について」を参照してください。


関連項目

「IPSec VPN ポリシーの使用」

「IPSec VPN および SSL VPN に関連するポリシーの使用」

「リモート アクセス VPN ポリシーの検出」

リモート アクセス SSL VPN について

SSL VPN 機能を使用すると、ユーザは Secure Socket Layer(SSL)暗号化をネイティブにサポートする Web ブラウザを使用するだけで、インターネットに接続可能な場所から企業ネットワークにアクセスできます。その際、ソフトウェア クライアントまたはハードウェア クライアントは必要ありません。


) SSL VPN をサポートするのは、ソフトウェア バージョン 8.0 以降が実行され、シングルコンテキスト モードとルータ モードで動作する ASA 5500 デバイス、ソフトウェア バージョン 12.4(6)T 以降が実行されている Cisco 870、880、890、1800、2800、3700、3800、7200、7301 シリーズのルータ、およびソフトウェア バージョン 15.0(1)M 以降が実行されている Cisco 1900、2900、3900 シリーズのルータです。880 シリーズ ルータの場合、最低限のソフトウェア バージョンは 12.4(15)XZ です。これは、Security Manager では 12.4(20)T にマッピングされます。


IOS デバイスでは、SSL 対応の VPN ゲートウェイを介してリモート アクセスが提供されます。SSL 対応の Web ブラウザを使用して、リモート ユーザが SSL VPN ゲートウェイへの接続を確立します。リモート ユーザが Web ブラウザ経由でセキュア ゲートウェイに対して認証されると SSL VPN セッションが確立され、ユーザは企業ネットワーク内部にアクセスできるようになります。ポータル ページを使用すると、SSL VPN ネットワークで使用可能なすべてのリソースにアクセスできます。

ASA デバイスでは、リモート ユーザは Web ブラウザを使用して、セキュリティ アプライアンスへのセキュアなリモート アクセス VPN トンネルを確立します。リモート ユーザと、中央サイトで設定した特定のサポート対象内部リソースの間のセキュア接続は、SSL プロトコルによって実現されます。セキュリティ アプライアンスはプロキシが必要な接続を認識し、HTTP サーバは認証サブシステムと通信してユーザを認証します。

ユーザ認証は、ユーザ名とパスワード、証明書、あるいはその両方を使用して行われます。


) ネットワーク管理者は、SSL VPN リソースへのユーザ アクセスを、個々のユーザ単位ではなくグループ単位で指定します。


ここでは、次の内容について説明します。

「リモート アクセス SSL VPN の例」

「SSL VPN アクセスのモード」

「SSL VPN サポート ファイルの概要および管理」

「SSL VPN を設定するための前提条件」

「SSL VPN の制限」

リモート アクセス SSL VPN の例

図 22-1に、モバイル ワーカーが、保護されたリソースにメイン オフィスおよびブランチ オフィスからアクセスする様子を示します。メイン サイトとリモート サイト間のサイト間 IPSec 接続に変更はありません。モバイル ワーカーが企業ネットワークに安全にアクセスするときに必要なのは、インターネット アクセスおよびサポートされているソフトウェア(Web ブラウザとオペレーティング システム)だけです。

図 22-1 セキュアな SSL VPN アクセスの例

 

SSL VPN アクセスのモード

SSL VPN には、IOS ルータにリモート アクセスする 3 つのモード(クライアントレス、シン クライアント、およびフル クライアント)が用意されています。ASA デバイスの場合は、クライアントレス(クライアントレスとシン クライアント ポート転送を含む)および AnyConnect クライアント(フル トンネルに代わるモード)の 2 つのモードがあります。

クライアントレス アクセス モード

クライアントレス モードでは、リモート ユーザは、クライアント マシンの Web ブラウザを使用して、内部ネットワークまたは企業ネットワークにアクセスします。アプレットのダウンロードは必要ありません。

クライアントレス モードは、インターネット アクセス、データベース、および Web インターフェイスを使用するオンライン ツールなど、想定されるほとんどのコンテンツに Web ブラウザでアクセスする場合に有効です。(HTTP および HTTPS による)Web ブラウジング、Common Internet File System(CIFS)によるファイル共有、および Outlook Web Access(OWA)の電子メールをサポートします。クライアントレス モードが正しく動作するには、リモート ユーザの PC で Windows 2000、Windows XP、または Linux オペレーティング システムが実行されている必要があります。

Windows オペレーティング システムからブラウザを使用して接続する SSL VPN ユーザは共有ファイル システムを参照でき、フォルダの表示、フォルダとファイルのプロパティの表示、作成、移動、コピー、ローカル ホストからリモート ホストへのコピー、リモート ホストからローカル ホストへのコピー、削除などの操作を実行できます。Web フォルダにアクセスできるようになると、Internet Explorer にそのことが表示されます。このフォルダにアクセスすると、別のウィンドウが開いて共有フォルダが表示されます。フォルダおよびドキュメントのプロパティで許可されている場合、ユーザはここで Web フォルダの機能を実行できます。

シン クライアント アクセス モード

シン クライアント モード(TCP ポート転送とも呼ばれる)では、クライアント アプリケーションが、TCP を使用して既知のサーバおよびポートに接続すると想定します。このモードでは、リモート ユーザはポータル ページに表示されたリンクをクリックして、Java アプレットをダウンロードします。この Java アプレットは、SSL VPN ゲートウェイに設定されたサービスに対する、クライアント マシン上の TCP プロキシとして機能します。Java アプレットは、すべてのクライアント接続に対して新しい SSL 接続を開始します。

Java アプレットは、リモート ユーザ クライアントから SSL VPN ゲートウェイへの HTTP 要求を開始します。HTTP 要求には、内部電子メール サーバの名前およびポート番号が格納されます。SSL VPN ゲートウェイは、その内部電子メール サーバおよびポートに対して TCP 接続を確立します。

シン クライアント モードによって、TCP ベースのアプリケーション(Post Office Protocol Version 3(POP3)、Simple Mail Transfer Protocol(SMTP)、Internet Message Access Protocol(IMAP)、Telnet、Secure Shell(SSH; セキュア シェル)など)へのリモート アクセスがイネーブルになるように Web ブラウザの暗号化機能が拡張されます。


) TCP ポート転送プロキシは、Sun の Java Runtime Environment(JRE; Java ランタイム環境)バージョン 1.4 以降でだけ動作します。Java アプレットはブラウザを介してロードされ、JRE のバージョンがブラウザで検証されます。互換性のある JRE バージョンが検出されなかった場合、Java アプレットは実行されません。


シン クライアント モードを使用する場合は、次の点に注意する必要があります。

リモート ユーザが Java アプレットのダウンロードおよびインストールを許可する必要がある。

TCP ポート転送アプリケーションがシームレスに動作するには、リモート ユーザに対して管理権限がイネーブルにされている必要がある。

ポートを動的にネゴシエートする FTP などのアプリケーションには、シン クライアント モードを使用できない。つまり、TCP ポート転送を使用できるのは、スタティックなポートでだけです。

フル トンネル クライアント アクセス モード

フル トンネル クライアント モードを使用すると、ネットワーク(IP)レイヤでデータを移動するのに使用される SSL VPN トンネルを介して、企業ネットワークにフル アクセスできます。このモードは、Microsoft Outlook、Microsoft Exchange、Lotus Notes E-mail、および Telnet など、ほとんどの IP ベース アプリケーションをサポートします。SSL VPN に接続していることは、クライアントで実行されるアプリケーションに対して完全に透過的です。クライアント ホストと SSL VPN ゲートウェイ間のトンネリングを処理するために、Java アプレットがダウンロードされます。ユーザは、クライアント ホストが内部ネットワークに存在するかのように、任意のアプリケーションを使用できます。

トンネル接続は、グループ ポリシー設定によって指定されます。SSL VPN Client(SVC)がリモート クライアントにダウンロードおよびインストールされ、リモート ユーザが SSL VPN ゲートウェイにログインしたときにトンネル接続が確立されます。デフォルトでは、接続を閉じると SVC はリモート クライアントから削除されますが、必要に応じて SVC をインストールしたままにしておくことができます。


) フル トンネル SSL VPN アクセスには、リモート クライアントでの管理権限が必要です。


関連項目

「リモート アクセス VPN の管理」

SSL VPN サポート ファイルの概要および管理

SSL VPN では、デバイスのフラッシュ ストレージにサポート ファイルがインストールされていることが必要な場合があります。これは特に、ASA デバイスに設定されている SSL VPN の場合に該当します。サポート ファイルには、Cisco Secure Desktop(CSD)パッケージ、AnyConnect クライアント イメージ、およびプラグイン ファイルが含まれています。Security Manager にはこれらのファイルの多くが同梱されているので、ユーザがそのファイルを使用できます。ただし、ポータル ページに使用するグラフィック ファイル、または AnyConnect クライアントに使用するクライアント プロファイルなどの一部のサポート ファイルは、Security Manager では提供されません。

通常は、ファイル オブジェクトを作成してサポート ファイルを指定してから、ファイルを参照するポリシーを作成するときに、このファイル オブジェクトを選択します。ポリシーを作成するときに必要なファイル オブジェクトを作成するか、またはポリシーの定義を開始する前にファイル オブジェクトを作成できます。詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

デバイスにポリシーを展開すると、ポリシーで参照されるすべてのサポート ファイルがデバイスにコピーされ、フラッシュ メモリの \csm フォルダに配置されます。ほとんどの場合、このために特に手動で行う必要のある作業はありません。次に、手動の作業が必要となり得る状況をいくつか示します。

既存の SSL VPN ポリシーを検出または再検出しようとしている場合は、SSL VPN ポリシーからのファイル参照が正しいものである必要があります。ポリシー検出時にサポート ファイルを処理する方法の詳細については、「リモート アクセス VPN ポリシーの検出」を参照してください。

アクティブ/フェールオーバー設定の ASA デバイスの場合は、フェールオーバー デバイスにサポート ファイルを配置する必要があります。サポート ファイルは、フェールオーバー時にフェールオーバー デバイスにコピーされません。フェールオーバー デバイスにファイルを配置する方法には、次の選択肢があります。

アクティブ装置の \csm フォルダからフェールオーバー装置に、ファイルを手動でコピーする。

アクティブ装置にポリシーを展開したあと、フェールオーバーを強制実行して現在のアクティブ装置にポリシーを再展開する。

VPN クラスタを使用してロード バランシングを行っている場合は、クラスタ内のすべてのデバイスに同じサポート ファイルが展開されている必要があります。

Cisco Secure Desktop(CSD)パッケージ

このパッケージは ASA SSL VPN に使用します。Dynamic Access ポリシーでパッケージを選択します。選択するパッケージには、デバイスで実行されている ASA オペレーティング システムのバージョンと互換性が必要です。ASA デバイスの Dynamic Access ポリシーを作成する場合は、そのデバイスのオペレーティング システムと互換性のあるバージョン番号が、[Version] フィールドに表示されます。

CSD パッケージは Program Files¥CSCOpx¥objects¥sslvpn¥csd に格納されています。ファイル名の形式は securedesktop-asa_k9- version .pkg または csd_ version .pkg です。ここで、 version は 3.3.0.118 などの CSD バージョン番号です。

次に、Security Manager に付属の CSD パッケージについて、CSD と ASA バージョンの互換性を示します。

csd_3_5_841-3.5.841.pkg - ASA 8.0(4) 以降

csd_3_4_2048-3.4.2048.pkg - ASA 8.0(4) 以降

csd_3_4_1108-3.4.1108.pkg - ASA 8.0(4) 以降

csd-3.4.0373.pkg - ASA 8.0(4) 以降

securedesktop_asa_k9-3.3.0.151.pkg - ASA 8.0(3.1) 以降

securedesktop_asa-k9-3.3.0.118.pkg - ASA 8.0(3.1) 以降

securedesktop-asa-k9-3.2.1.126.pkg - ASA 8.0(3) 以降

securedesktop-asa_k9-3.2.0.136.pkg - ASA 8.0(2) 以降

CSD バージョンと ASA バージョンの互換性の詳細については、Cisco.com で CSD リリース ノート( http://www.cisco.com/en/US/products/ps6742/prod_release_notes_list.html )および「 Supported VPN Platforms 」を参照してください。

Dynamic Access ポリシーを作成して CSD を指定する方法の詳細については、「ASA デバイスでの Cisco Secure Desktop ポリシーの設定」を参照してください。

AnyConnect クライアント イメージ

このイメージは ASA SSL VPN に使用します。AnyConnect クライアントはユーザの PC にダウンロードされ、これによりクライアントの VPN 接続が管理されます。Security Manager にはこれらの AnyConnect イメージが含まれており、これは Program Files¥CSCOpx¥objects¥sslvpn¥svc に格納されています。

AnyConnect クライアント、クライアントのプロファイル、およびデバイスにクライアントをロードするようにポリシーを設定する方法の詳細については、次の項を参照してください。

「SSL VPN クライアントの設定について」

「SSL VPN クライアント設定の定義」

プラグイン ファイル

これらのファイルは、ブラウザ プラグインとして使用されます。プラグイン ファイルは Program Files¥CSCOpx¥objects¥sslvpn¥plugin に格納されています。使用可能なファイルの詳細については、「プラグインについて」を参照してください。

SSL VPN を設定するための前提条件

リモート ユーザが SSL VPN ゲートウェイの背後にあるプライベート ネットワークのリソースに安全にアクセスするには、次の前提条件を満たす必要があります。

ユーザ アカウント(ログイン名およびパスワード)。

SSL 対応ブラウザ(Internet Explorer、Netscape、Mozilla、または Firefox など)。

電子メール クライアント(Eudora、Microsoft Outlook、または Netscape Mail など)。

次のいずれかのオペレーティング システム。

Microsoft Windows 2000 または Windows XP。Windows 用の JRE バージョン 1.4 以降、または ActiveX コントロールをサポートするブラウザのいずれかを搭載。

Linux。Linux 用の JRE バージョン 1.4 以降を搭載。クライアントレス リモート アクセス モードで Linux から Microsoft の共有ファイルにアクセスするには、Samba のインストールも必要です。

関連項目

「SSL VPN アクセスのモード」

「Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(ASA デバイス)」

「Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(IOS デバイス)」

SSL VPN の制限

Security Manager の SSL VPN 設定には、次の制限が適用されます。

SSL VPN ライセンス情報を Security Manager にインポートできない。このため、 vpn sessiondb および max-webvpn-session-limit などの特定のコマンド パラメータを検証できません。

クライアントレス SSL VPN を使用するためには、トポロジ内のデバイスごとに DNS を設定する必要がある。DNS の設定がない場合、デバイスは指定された URL を取得できませんが、IP アドレスで指定された URL だけは取得できます。

複数の ASA デバイス間で Connection Profiles ポリシーを共有する場合は、すべてのデバイスが同じアドレス プールを共有することに留意する。ただし、デバイスレベルのオブジェクト オーバーライドを使用して、グローバル定義をデバイスごとの一意なアドレス プールに置き換える場合は除きます。NAT を使用していないデバイスでアドレスが重複しないようにするには、一意なアドレス プールが必要です。

Security Manager では、CSM_ で始まる名前(Security Manager で使用される命名規則)の SSL VPN のアドレス プールがデバイス設定に含まれる場合、そのプール内のアドレスが SSL VPN ポリシーに設定されたプールと重複するかどうかを検出できない(たとえば、異なる Security Manager インストールでユーザがプールを設定した場合に発生する可能性があります)。この場合は、展開中にエラーが発生する可能性があります。したがって、Security Manager 内のネットワーク/ホスト オブジェクトと同じ IP アドレス プールを設定し、それを SSL VPN ポリシーの一部として定義することを推奨します。このようにすると、検証が正しく行われるようになります。

同じ IP アドレスおよびポート番号を、同じ IOS デバイス上の複数の SSL VPN ゲートウェイで共有できない。このため、重複したゲートウェイがデバイス設定に存在するものの、Security Manager のインターフェイスを使用して再定義されなかった場合は、展開エラーが発生する可能性があります。このようなエラーが発生した場合は、別の IP アドレスおよびポート番号を選択して再展開する必要があります。

SSL VPN ポリシーの一部として AAA 認証またはアカウンティングを定義した場合は、AAA サービスをイネーブルにするために aaa new-model コマンドが展開される。SSL VPN ポリシーをあとから削除した場合でも、このコマンドは削除されないことに留意してください。これは、デバイス設定の他の部分で、AAA サービスに aaa new-model コマンドが必要な場合があるためです。


) また、デバイスには、権限レベルを 15 に指定したローカル ユーザを少なくとも 1 人は定義することを推奨します。この定義により、関連する AAA サーバを指定しないで aaa new-model コマンドを設定した場合でも、デバイスからロックアウトされることがなくなります。


関連項目

「SSL VPN アクセスのモード」

「Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(ASA デバイス)」

「Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(IOS デバイス)」

リモート アクセス VPN ポリシーの検出

Security Manager を使用すると、ポリシー検出時にリモート アクセス IPSec、IPSec/GRE、DM VPN、および Easy VPN のポリシー設定をインポートできます。また、ASA デバイス上の SSL VPN ポリシーを検出できます。ただし、IOS デバイス上のポリシーは検出できません。リモート アクセス VPN ネットワークに配置済みのデバイスの設定を検出して、Security Manager でその設定を管理できます。これらの設定は、リモート アクセス VPN ポリシーとして Security Manager にインポートされます。リモート アクセス VPN ポリシーの検出は、ライブ デバイスの設定をインポートするか、または設定ファイルをインポートして実行されます。ただし、設定ファイルからは、フラッシュ ストレージ内のファイルを参照する SSL VPN ポリシーを検出できません。したがって、設定ファイルからは SSL VPN を検出しないことを推奨します。

リモート アクセス VPN 内のデバイスのポリシー検出を開始すると、デバイスの設定が分析され、この設定が Security Manager ポリシーに変換されてデバイスを管理できるようになります。インポートした設定によって部分的なポリシー定義だけが行われる場合は、警告が表示されます。追加の設定が必要な場合は、Security Manager インターフェイスの関連するページに移動して、ポリシー定義を完了する必要があります。すでに Security Manager で管理しているデバイスの設定を再検出することもできます。

SSL VPN ポリシーを検出すると、SSL VPN ポリシーで参照される、フラッシュ ストレージに保存されているファイルが Security Manager サーバにコピーされ、Security Manager からポリシーが展開されるとターゲット デバイスの /csm ディレクトリに格納されます。使用するファイルがフラッシュ ストレージに格納されているが、そのファイルが SSL VPN ポリシーから参照されていない場合は、ファイルを参照するコマンドを設定するか、または Security Manager サーバにファイルを手動でコピーします。デバイスの SSL VPN ポリシーが、フラッシュから削除されたファイルを参照している場合、ポリシー検出は失敗します。この場合は、デバイス検出の前に設定を直接修正するか、またはデバイスを追加するときに [RA VPN Policies] オプションの選択を解除して、Security Manager で適切な SSL VPN 設定を作成します。


) デバイスでポリシーを検出したら、ポリシーを変更する前またはデバイスからポリシーの割り当てを解除する前に、ただちに展開を実行する必要があります。すぐに展開を実行しないと、Security Manager で設定した変更が、デバイスに展開されない場合があります。


リモート アクセス VPN 内の選択したデバイスに設定された、すべてのリモート アクセス VPN ポリシーの検出を実行するには、[Device] ダイアログボックスの [Discover Policies] で [RA VPN Policies] チェックボックスをオンにします。詳細については、「[Create Discovery Task] および [Bulk Rediscovery] ダイアログボックス」を参照してください。

関連項目

「ポリシーの検出」

「Security Manager にすでに存在するデバイス上のポリシーの検出」

「VPN ディスカバリ規則」

Remote Access VPN Configuration ウィザードの使用

Remote Access VPN Configuration ウィザードを使用すると、デバイスをリモート アクセス IPSec VPN サーバとしてすばやく簡単に設定できます。ポリシーの設定後、これらのポリシーに定義された特定のセキュリティ パラメータがサーバからクライアントにプッシュされるので、クライアント上の設定は最小限に抑えられます。

このウィザードには、デバイス タイプおよび VPN タイプ(IPSec または SSL)に応じて、基本的なリモート アクセス VPN を設定する手順が示されます。

Remote Access Configuration ウィザードにアクセスするには、次の手順を実行します。

1. デバイス ビューで、リモート アクセス サーバとして設定するデバイスをデバイス セレクタから選択します。

2. ポリシー セレクタから [Remote Access VPN] > [Configuration Wizard] を選択します。

3. 作成するリモート アクセス VPN のタイプに対応するオプション ボタン([Remote Access SSL VPN] または [Remote Access IPSec VPN])を選択します。

4. [Remote Access Configuration Wizard] をクリックします。

該当するウィザードが開きます。

ここでは、次の内容について説明します。

「Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(IOS デバイス)」

「Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(IOS デバイス)」

「Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(ASA デバイス)」

「Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(ASA デバイス)」

Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(IOS デバイス)

ここでは、Remote Access VPN Configuration ウィザードを使用して、IOS デバイスで SSL VPN を作成または編集する方法について説明します。

関連項目

「リモート アクセス SSL VPN について」


ステップ 1 デバイス ビューで、目的の IOS デバイスを選択します。

ステップ 2 ポリシー セレクタから、[Remote Access VPN] > [Configuration Wizard] を選択します。

ステップ 3 [Remote Access SSL VPN] オプション ボタンを選択します。

ステップ 4 [Remote Access Configuration Wizard] をクリックします。[Gateway and Context] ページが開きます。このページの要素の詳細については、「[Gateway and Context] ページ(IOS)」を参照してください。

ステップ 5 SSL VPN 内の保護されたリソースに接続する場合のプロキシとして使用するゲートウェイを選択します。次のオプションがあります。

[Use Existing Gateway]:SSL VPN の既存のゲートウェイを使用できます。このオプションを選択する場合は、ゲートウェイの名前を指定します。

[Create Using IP Address]:ルータ上の到達可能な(パブリックな固定)IP アドレスを使用して、新しいゲートウェイを設定できます。

[Create Using Interface]:ルータ インターフェイスのパブリックな固定 IP アドレスを使用して、新しいゲートウェイを設定できます。

IP アドレスまたはインターフェイスを使用して新しいゲートウェイを作成することを選択した場合は、次の手順を実行します。

HTTPS トラフィックを伝送するポート番号を指定します(範囲は 1024 ~ 65535)。HTTP ポート リダイレクションがイネーブルになっていないかぎり、デフォルトは 443 です。イネーブルになっている場合、デフォルトの HTTP ポート番号は 80 です。

セキュア接続の確立に必要なデジタル証明書を入力します。特定の CA 証明書を設定する必要がある場合、SSL VPN ゲートウェイがアクティブになるときに自己署名証明書が生成されます。ルータ上のすべてのゲートウェイで同じ証明書を使用できます。

ステップ 6 リモート クライアントと企業イントラネット間、またはリモート クライアントとプライベート イントラネット間での SSL VPN トンネルをサポートするために必要なリソースを識別する、コンテキストの名前を入力します。

ステップ 7 ポータル ページに表示される、SSL VPN ゲートウェイにアクセスするための URL を入力します。

ステップ 8 SSL VPN 接続で使用されるグループ ポリシーの名前、およびこれらのポリシーでフル トンネル アクセス モードをイネーブルにするかディセーブルにするかを入力します(「ユーザ グループ ポリシーの設定」を参照)。

ステップ 9 認証サーバ グループの名前を入力します(ユーザがローカル デバイスに定義されている場合は LOCAL です)。

ステップ 10 SSL VPN リモート ユーザ認証のリストまたは方式を入力します。

ステップ 11 アカウンティング サーバ グループの名前を入力します。

ステップ 12 [Next] をクリックします。[Portal Page Customization] ページが開きます。このページの要素の詳細については、「[Portal Page Customization] ページ」を参照してください。

ステップ 13 ポータル ページのタイトル バーに表示されるタイトルを入力します。デフォルトのタイトルは「SSL VPN Service」です。

ステップ 14 SSL VPN のログイン ページおよびポータル ページのタイトル バーに表示されるロゴを入力します。次のオプションがあります。

[None]:ロゴは表示されません。

[Default]:デフォルトのロゴを使用します。

[Custom]:選択した場合、独自のロゴを指定できます。[Logo File] フィールドにロゴのソース イメージ ファイルを指定するか、または [Select] をクリックしてイメージ ファイルを選択します。

ロゴのソース イメージ ファイルに指定できるのは、GIF ファイル、JPG ファイル、または PNG ファイルです。ファイル名は最大 255 文字、サイズは最大 100 KB です。

ステップ 15 ログイン時にユーザに表示されるメッセージを入力します。

ステップ 16 SSL VPN のログイン ページおよびポータル ページのプライマリとセカンダリのタイトル バーの色を入力します。

ステップ 17 ログイン ページおよびポータル ページのプライマリとセカンダリのタイトル バーのテキストの色を入力します。選択できるのは、白または黒(デフォルト)です。


) テキストの色は、タイトル バーのテキストの色に合わせる必要があります。


ステップ 18 ポータル ページの表示をプレビューする場合は、[Preview] をクリックします。

ステップ 19 [Finish] をクリックして Security Manager クライアントにローカルに定義を保存し、ダイアログボックスを閉じます。


 

Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(IOS デバイス)

ここでは、Remote Access VPN Configuration ウィザードを使用して、IOS デバイスで IPSec VPN を作成または編集する方法について説明します。

関連項目

「リモート アクセス IPSec VPN について」


ステップ 1 デバイス ビューで、目的の IOS デバイスを選択します。

ステップ 2 ポリシー セレクタから、[Remote Access VPN] > [Configuration Wizard] を選択します。

ステップ 3 [Remote Access IPSec VPN] オプション ボタンを選択します。

ステップ 4 [Remote Access Configuration Wizard] をクリックします。[User Group Policy] ページが開きます。このページの要素の詳細については、「[User Group Policy] ページ(IOS)」を参照してください。

ステップ 5 [Available User Groups] リストから必要なユーザ グループを選択して、[>>] をクリックします。

必要なユーザ グループがリストにない場合、[Create] をクリックして [User Groups Editor] ダイアログボックスを開くと、そこでユーザ グループ オブジェクトを作成または編集できます。「[Add User Group]/[Edit User Group] ダイアログボックス」を参照してください。

ステップ 6 [Next] をクリックします。[Defaults] ページが開きます。このページの要素の詳細については、「[Defaults] ページ」を参照してください。

ステップ 7 この IPSec VPN で使用するデフォルトを入力します。

ステップ 8 [Finish] をクリックして Security Manager クライアントにローカルに定義を保存し、ダイアログボックスを閉じます。


 

Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(ASA デバイス)

ここでは、Remote Access VPN Configuration ウィザードを使用して、ASA デバイスで SSL VPN を作成または編集する方法について説明します。

関連項目

「リモート アクセス SSL VPN について」


ステップ 1 デバイス ビューで、目的の ASA デバイスを選択します。

ステップ 2 ポリシー セレクタから、[Remote Access VPN] > [Configuration Wizard] を選択します。

ステップ 3 [Remote Access SSL VPN] オプション ボタンを選択します。

ステップ 4 [Remote Access Configuration Wizard] をクリックします。[Access] ページが開きます。このページの要素の詳細については、「[Access] ページ(ASA)」を参照してください。

ステップ 5 SSL VPN 接続プロファイルをイネーブルにするインターフェイスを指定します。

[Select] をクリックするとダイアログボックスが開き、そこで、インターフェイス リストからインターフェイスを選択したり、インターフェイス ロール オブジェクトを選択したりできます。

ステップ 6 SSL VPN セッションに使用するポート番号を指定します。

HTTPS トラフィックの場合、デフォルト ポートは 443 です。ポート番号は 443、または 1 ~ 65535 の範囲内で指定できます。ポート番号を変更すると、現在の SSL VPN 接続がすべて終了するため、現在のユーザは再接続が必要になります。


) HTTP ポート リダイレクションがイネーブルになっている場合、デフォルトの HTTP ポート番号は 80 です。


[Select] をクリックして、選択を行える [Port List Selector] ダイアログボックスを開くか、新しいポート リストを作成できます。

ステップ 7 ユーザがログインするときに、デバイスに設定されたトンネル グループ接続プロファイルのリストからトンネル グループを選択できるようにするには、[Allow Users to Select Connection Profile in Portal Page] チェックボックスをオンにします。

ステップ 8 ASA デバイスで AnyConnect 機能をイネーブルにするには、[Enable AnyConnect Access] チェックボックスをオンにします。

ステップ 9 [Next] をクリックします。[Connection Profile] ページが開きます。このページの要素の詳細については、「[Connection Profile] ページ(ASA)」を参照してください。

ステップ 10 この接続プロファイルの名前を入力します。

ステップ 11 この SSL VPN 接続プロファイルのポリシーを含むトンネル グループの名前を入力または選択します。

ステップ 12 デバイスに関連付けられたデフォルトのグループ ポリシーを指定します。[Edit] をクリックすると、グループ ポリシー セレクタを開くことができます。必要なグループ ポリシーがリストに含まれていない場合、[Create] ボタンをクリックして Create User Group ウィザードを開くと、そこでグループ ポリシーを作成できます。「Create User Group ウィザード」を参照してください。

リストに含まれるグループ ポリシーのプロパティを変更する場合は、そのポリシーを選択して [Edit] をクリックします。[Edit User Groups] ダイアログボックスが開き、グループ ポリシー オブジェクトを編集できます。

ステップ 13 ポータル ページの表示を定義するカスタマイゼーション プロファイルを指定します。このページを使用すると、リモート ユーザは SSL VPN ネットワークで使用可能なすべてのリソースにアクセスできます。

[Select] をクリックすると、使用可能なすべてのカスタマイゼーション オブジェクトを一覧表示した [SSL VPN Customization Selector] ダイアログボックスが開き、そこで、選択を行うことができます。


) カスタマイゼーション プロファイルとトンネル グループの組み合わせを使用することで、個々のグループにそれぞれ異なるログイン ウィンドウを設定できます。たとえば、salesgui という名前のカスタマイゼーション プロファイルを作成してあるとすると、そのカスタマイゼーション プロファイルを使用する sales という名前の SSL VPN トンネル グループを作成できます。


ステップ 14 リストからプロトコル([http] または [https])を選択し、表示されたフィールドで、接続プロファイルの名前を含む URL を指定します。

接続プロファイルに関連付けられた URL を指定します。この URL により、ユーザは接続プロファイルのポータル ページに直接アクセスできます。URL は、ASA デバイスのホスト名または IP アドレス、ポート番号、および SSL VPN 接続プロファイルを識別するためのエイリアスで構成されています。


) URL を指定しなかった場合は、ポータル ページ URL を入力し、デバイスに設定されている設定済みの接続プロファイル エイリアス リストから接続プロファイル エイリアスを選択することによって、ポータル ページにアクセスできます。「[Access] ページ(ASA)」を参照してください。


ステップ 15 IP アドレスの割り当て元になるアドレス プールを指定します。サーバはこれらのプールを一覧表示されている順序で使用します。最初のプールのアドレスがすべて割り当て済みの場合は、次のプールを使用するというように続きます。最大で 6 つのプールを指定できます。

別のアドレス プールを使用する場合、または追加のアドレス プールを選択する場合は、[Select] をクリックするとネットワーク/ホスト セレクタが開き、そこから選択を行うことができます。

ステップ 16 認証サーバ グループの名前を入力します(トンネル グループがローカル デバイスに設定されている場合は LOCAL です)。[Select] をクリックすると、使用可能なすべての AAA サーバ グループを一覧表示したダイアログボックスが開き、そこで、AAA サーバ グループ オブジェクトを作成できます。

ステップ 17 外部 AAA サーバ グループを選択すると、選択した認証サーバ グループで障害が発生した場合に、認証のためにローカル データベースにフォールバックできるようになります。

ステップ 18 認可サーバ グループの名前を入力します(トンネル グループがローカル デバイスに設定されている場合は LOCAL です)。[Select] をクリックすると、使用可能なすべての AAA サーバ グループを一覧表示したダイアログボックスが開き、そこで、AAA サーバ グループ オブジェクトを作成できます。

ステップ 19 アカウンティング サーバ グループの名前を入力します。[Select] をクリックすると、使用可能なすべての AAA サーバ グループを一覧表示したダイアログボックスが開き、そこで、AAA サーバ グループ オブジェクトを作成できます。

ステップ 20 [Finish] をクリックして Security Manager クライアントにローカルに定義を保存し、ダイアログボックスを閉じます。


 

Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(ASA デバイス)

ここでは、Remote Access VPN Configuration ウィザードを使用して、ASA デバイスで IPSec VPN を作成または編集する方法について説明します。

関連項目

「リモート アクセス IPSec VPN について」


ステップ 1 デバイス ビューで、目的の ASA デバイスを選択します。

ステップ 2 ポリシー セレクタから、[Remote Access VPN] > [Configuration Wizard] を選択します。

ステップ 3 [Remote Access IPSec VPN] オプション ボタンを選択します。

ステップ 4 [Remote Access Configuration Wizard] をクリックします。[Connection Profile] ページが開きます。このページの要素の詳細については、「[IPSec VPN Connection Profile] ページ(ASA)」を参照してください。

ステップ 5 この IPSec VPN 接続プロファイルの名前を入力します。

ステップ 6 デバイスに関連付けられたデフォルトのグループ ポリシーを指定します。[Select] をクリックすると ASA ユーザ グループ セレクタが開き、そこで、オブジェクトのリストからユーザ グループを選択できます。

必要なデフォルト ユーザ グループがリストに含まれていない場合、[Create] をクリックして Create User Group ウィザードを開きます。「Create User Group ウィザード」を参照してください。

リストに含まれるユーザ グループのプロパティを変更する場合は、そのグループを選択して [Edit] をクリックします。[Edit User Groups] ダイアログボックスが開きます。

ステップ 7 IP アドレスの割り当て元になるアドレス プールを入力します。サーバはこれらのプールを一覧表示されている順序で使用します。最初のプールのアドレスがすべて割り当て済みの場合は、次のプールを使用するというように続きます。最大で 6 つのプールを指定できます。

別のアドレス プールを使用する場合、または追加のアドレス プールを選択する場合は、[Select] をクリックするとネットワーク/ホスト セレクタが開き、そこから選択を行うことができます。

ステップ 8 認証サーバ グループの名前を入力します(トンネル グループがローカル デバイスに設定されている場合は LOCAL です)。[Select] をクリックすると、使用可能なすべての AAA サーバ グループを一覧表示したダイアログボックスが開き、そこで、AAA サーバ グループ オブジェクトを作成できます。

ステップ 9 認証サーバ グループに LOCAL を選択すると、選択した認証サーバ グループで障害が発生した場合に、認証のためにローカル データベースにフォールバックできるようになります。

ステップ 10 認可サーバ グループの名前を入力します(トンネル グループがローカル デバイスに設定されている場合は LOCAL です)。[Select] をクリックすると、使用可能なすべての AAA サーバ グループを一覧表示したダイアログボックスが開き、そこで、AAA サーバ グループ オブジェクトを作成できます。

ステップ 11 アカウンティング サーバ グループの名前を入力します。[Select] をクリックすると、使用可能なすべての AAA サーバ グループを一覧表示したダイアログボックスが開き、そこで、AAA サーバ グループ オブジェクトを作成できます。

ステップ 12 [Next] をクリックします。[IPSec Settings] ページが開きます。このページの要素の詳細については、「[IPSec Settings] ページ(ASA)」を参照してください。

ステップ 13 トンネル グループの事前共有キーの値を入力します。事前共有キーの最大長は 127 文字です。


) [Confirm] フィールドに、この値を再入力する必要があります。


ステップ 14 トラストポイントが設定されている場合は、トラストポイント名を入力します。トラストポイントは CA とアイデンティティのペアを表し、CA のアイデンティティ、CA 固有の設定パラメータ、および登録されている 1 つのアイデンティティ証明書との関連付けが含まれます。

ステップ 15 IKE ピア ID 検証を無視するか、必須とするか、または証明書によってサポートされている場合にかぎり確認するかを選択します。IKE ネゴシエーション中、ピアは互いに自身を識別する必要があります。

ステップ 16 認可のための証明書チェーンの送信をイネーブルにするには、[Enable Sending Certificate Chain] チェックボックスをオンにします。証明書チェーンには、ルート CA 証明書、アイデンティティ証明書、およびキー ペアが含まれます。

ステップ 17 RADIUS 認証プロトコルでパスワードを更新できるようにするには、[Enable Password Update with RADIUS Authentication] チェックボックスをオンにします。詳細については、「サポートされる AAA サーバ タイプ」を参照してください。

ステップ 18 次の ISAKMP キープアライブ設定を指定します。

IKE キープアライブをデフォルトのフェールオーバーおよびルーティングのメカニズムとして設定するには、[Monitor Keepalive] チェックボックスをオンにします。詳細については、「ISAKMP/IPsec 設定について」を参照してください。

IKE キープアライブ パケットの送信と送信の間のデバイスの待機時間(秒数)を入力します。

リモート ピアと IKE 接続を確立しようとする試行と試行の間のデバイスの待機時間(秒数)を入力します。デフォルトは 2 秒です。

ステップ 19 VPN クライアントの特定のリビジョン レベルおよびイメージ URL を設定します。

ステップ 20 [Next] をクリックします。[Defaults] ページが開きます。このページの要素の詳細については、「[Defaults] ページ」を参照してください。

ステップ 21 この IPSec VPN で使用するデフォルトを入力します。

ステップ 22 [Finish] をクリックして Security Manager クライアントにローカルに定義を保存し、ダイアログボックスを閉じます。


 

IPSec VPN および SSL VPN に関連するポリシーの使用

特定のポリシーは、IPSec VPN および SSL VPN の両方に対して設定および適用できます。

ここでは、次の内容について説明します。

「クラスタ ロード バランシングについて(ASA)」

「クラスタ ロード バランス ポリシーの設定(ASA)」

「接続プロファイルについて(ASA)」

「接続プロファイルの設定(ASA)」

「ダイナミック アクセス ポリシーについて」

「ダイナミック アクセス ポリシーの設定」

「リモート アクセス VPN グローバル設定について」

「リモート アクセス VPN グローバル設定」

「グループ ポリシーについて(ASA)」

「グループ ポリシーの作成(ASA)」

「公開キー インフラストラクチャ ポリシーの設定」

クラスタ ロード バランシングについて(ASA)

リモート クライアント設定で、同じネットワークに接続された 2 つ以上のデバイスを使用してリモート セッションを処理するようになっている場合は、そのセッションの負荷が分散されるようにこれらのデバイスを設定できます。この機能をロード バランシングと呼びます。ロード バランシングでは、最も負荷の低いデバイスにセッション トラフィックが送信されます。このため、すべてのデバイス間で負荷が分散されます。ロード バランシングは、ASA デバイスで開始されたリモート セッションの場合にだけ有効です。

ロード バランシングを実装するには、同じプライベート LAN-to-LAN ネットワークの 2 つ以上のデバイスを、仮想クラスタにグループ化する必要があります。セッションの負荷は、仮想クラスタ内のすべてのデバイスに分散されます。仮想クラスタ内の特定のデバイス(仮想クラスタ マスター)は、着信コールを他のデバイス(セカンダリ デバイス)に転送します。仮想クラスタ マスターは、クラスタ内のすべてのデバイスをモニタし、各デバイスの負荷を追跡して、その負荷に基づいてセッションの負荷を分散します。

仮想クラスタは、外部のクライアントにとっては単一の仮想クラスタ IP アドレスとして認識されます。この IP アドレスは特定の物理デバイスに関連付けられたアドレスではなく、現在の仮想クラスタ マスターに属するアドレスです。接続を確立しようとする VPN クライアントは、まず、この仮想クラスタ IP アドレスに接続します。仮想クラスタ マスターは、クラスタ内で使用できるホストのうち、最も負荷の低いホストのパブリック IP アドレスをクライアントに返します。2 回目のトランザクション(ユーザに対しては透過的)になると、クライアントはホストに直接接続します。仮想クラスタ マスターは、このようにしてリソース全体に均等かつ効率的にトラフィックを転送します。

仮想クラスタ マスターの役割は、物理デバイスに固定されたものではありません。デバイス間でその役割を切り替えることができます。クラスタ内のマシンで障害が発生すると、終了されたセッションはただちに仮想クラスタ IP アドレスに再接続できます。次に、仮想クラスタ マスターは、クラスタ内の別のアクティブ デバイスにこれらの接続を転送します。仮想クラスタ マスター自身で障害が発生した場合は、クラスタ内のセカンダリ デバイスが、新しい仮想セッション マスターとしてただちに引き継ぎを行います。クラスタ内の複数のデバイスで障害が発生した場合でも、クラスタ内のデバイスが 1 台でも使用可能であれば、クラスタへの接続が途切れることはありません。

完全修飾ドメイン名(FQDN)を使用したリダイレクションについて

デフォルトで、ASA はロード バランシング リダイレクションの IP アドレスだけをクライアントに送信します。DNS 名に基づく証明書が使用されている場合、セカンダリ デバイスにリダイレクトされるとその証明書は無効になります。セキュリティ アプライアンスは、VPN クラスタ マスターとして、VPN クライアント接続をクラスタ デバイス(クラスタ内の別のセキュリティ アプライアンス)にリダイレクトする場合に、そのクラスタ デバイスの Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)を送信できます。セキュリティ アプライアンスは、逆 DNS ルックアップを使用してデバイスの FQDN を外部 IP アドレスに解決し、接続を転送して VPN ロード バランシングを実行します。クラスタに含まれるロード バランシング デバイスのすべての外部および内部ネットワーク インターフェイスは、同じ IP ネットワーク上にある必要があります。

FQDN によるロード バランシングをイネーブルにしたあと、ASA 外部インターフェイスごとにエントリが存在しない場合は、このエントリを DNS サーバに追加します。それぞれの ASA 外部 IP アドレスに、ルックアップ用にそのアドレスに関連付けられた DNS エントリが設定されている必要があります。これらの DNS エントリに対しては、逆ルックアップもイネーブルにする必要があります。ASA で DNS ルックアップをイネーブルにし、ASA で DNS サーバ IP アドレスを定義します。

関連項目

「SSL VPN サポート ファイルの概要および管理」

「クラスタ ロード バランス ポリシーの設定(ASA)」

「[ASA Cluster Load Balance] ページ」

クラスタ ロード バランス ポリシーの設定(ASA)

[Cluster Load Balance] ページを使用すると、VPN デバイスでロード バランシングを設定できます。デフォルトではロード バランシングがディセーブルになっているため、明示的にイネーブルにする必要があります。クラスタに参加するすべてのデバイスは、同じクラスタ固有の値(IP アドレス、暗号化設定、暗号キー、およびポート)を共有する必要があります。

関連項目

「クラスタ ロード バランシングについて(ASA)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [ASA Cluster Load Balance] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [ASA Cluster Load Balance] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[ASA Cluster Load Balance] ページが開きます。このページの要素の詳細については、「[ASA Cluster Load Balance] ページ」を参照してください。

ステップ 2 [Participating in Load Balancing Cluster] チェックボックスをオンにして、ロード バランシング クラスタに属するデバイスを指定します。

ステップ 3 仮想クラスタ全体を表す単一の IP アドレスを指定します。外部インターフェイスと同じサブネット内にある IP アドレスを選択します。

ステップ 4 デバイスが属する仮想クラスタの UDP ポートを指定します。別のアプリケーションがこのポートを使用している場合は、ロード バランシングに使用する UDP 宛先ポート番号を入力します。デフォルトは 9023 です。

ステップ 5 必要に応じて、[Enable IPsec Encryption] を選択し、デバイス間で通信されるすべてのロード バランシング情報が暗号化されるようにします。

ステップ 6 [Enable IPsec Encryption] チェックボックスをオンにした場合は、[IPsec Shared Secret] パスワードを指定する必要があります。仮想クラスタのセキュリティ アプライアンスは、IPsec を使用して LAN-to-LAN トンネルを介して通信します。このパスワードは、クライアントから渡されるパスワードと一致する必要があります。

ステップ 7 [Priority] 領域で、次のいずれかのオプションを選択します。

[Accept default device value]:デバイスに割り当てられたデフォルトのプライオリティ値を受け入れます。

[Configure same priority on all devices in the cluster]:クラスタ内のすべてのデバイスに同じプライオリティ値を設定します。この場合、起動時または既存のマスターの障害発生時に、デバイスが仮想クラスタ マスターになる可能性を示すプライオリティ番号(1 ~ 10)を入力します。

ステップ 8 サーバで使用されるパブリック インターフェイスおよびプライベート インターフェイスを指定します。


) インターフェイスはオブジェクトです。[Select] をクリックすると、使用可能なすべてのインターフェイス ロールおよびインターフェイスを一覧表示したダイアログボックスが開き、そこで、インターフェイス ロール オブジェクトを作成できます。詳細については、「インターフェイス ロール オブジェクトについて」を参照してください。


ステップ 9 必要に応じて、[Send FQDN to client instead of an IP address when redirecting] チェックボックスをオンにし、FQDN を使用したリダイレクションをイネーブルにします。このチェックボックスは、8.0.2 以降を実行している ASA デバイスにかぎり、使用可能です。詳細については、「クラスタ ロード バランシングについて(ASA)」を参照してください。


VPN ロード バランシングを使用するには、プラス ライセンスのある ASA モデル 5510、または ASA モデル 5520 以降が必要です。VPN ロード バランシングには、アクティブな 3DES/AES ライセンスも必要です。セキュリティ アプライアンスは、ロード バランシングをイネーブルにする前に、この暗号化ライセンスが存在するかどうかをチェックします。アクティブな 3DES または AES のライセンスが検出されない場合、セキュリティ アプライアンスはロード バランシングをイネーブルにしません。また、ライセンスによって 3DES の使用が許可されないかぎり、ロード バランシング システムによる 3DES の内部設定も行われません。



 

接続プロファイルについて(ASA)

接続プロファイルは、トンネル自体の作成に関連する属性を含む、VPN トンネルの接続ポリシーが格納されたレコード セットです。接続プロファイルでは、ユーザ指向の属性が含まれる特定の接続のグループ ポリシーを識別します。ユーザにグループ ポリシーを割り当てない場合、接続にはデフォルトの接続プロファイルが適用されます。環境に固有の 1 つまたは複数の接続プロファイルを作成できます。接続プロファイルは、ローカル リモート アクセス VPN サーバまたは外部 AAA サーバで設定できます。

ASA デバイスで接続プロファイルを設定している場合は、二重認証を設定できます。二重認証機能では、Payment Card Industry Standards Council Data Security Standard に従って、ネットワークへのリモート アクセスに対して 2 つの要素からなる認証を実行します。この機能では、ユーザはログイン ページで異なる 2 組のログイン クレデンシャルを入力する必要があります。たとえば、プライマリ認証をワンタイム パスワード、セカンダリ認証をドメイン(Active Directory)クレデンシャルとする場合が考えられます。プライマリ クレデンシャル認証に失敗すると、セキュリティ アプライアンスはセカンダリ クレデンシャルの検証を試行しません。いずれかの認証に失敗すると、接続が拒否されます。AnyConnect VPN クライアントおよびクライアントレス WebVPN は、どちらも二重認証をサポートしています。AnyConnect クライアントは、Windows コンピュータ(サポートされている Windows Mobile デバイスおよび Start Before Login を含む)、Mac コンピュータ、および Linux コンピュータで二重認証をサポートします。

関連項目

「接続プロファイルの設定(ASA)」

「[Connection Profiles] ページ」

接続プロファイルの設定(ASA)

ここでは、ポリシー セレクタの接続プロファイル オプションを使用して、リモート アクセス VPN サーバで接続プロファイルを作成または編集する方法について説明します。


) Remote Access VPN Configuration ウィザードから、接続プロファイルを作成または編集することもできます。詳細については、「Remote Access VPN Configuration ウィザードの使用」を参照してください。


関連項目

「接続プロファイルについて(ASA)」

「Remote Access VPN Configuration ウィザード」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [Connection Profiles] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [Connection Profiles (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Connection Profiles] ページが開きます。このページの要素の詳細については、「[Connection Profiles] ページ」を参照してください。

ステップ 2 [Connection Profiles] ページで [Create] をクリックするか、または [Connection Profiles] ページのテーブルからデバイスを選択して [Edit] をクリックします。[Connection Profiles] ダイアログボックスが開き、デフォルトで [General] タブが表示されます。

ステップ 3 [General] タブで、接続プロファイル名およびグループ ポリシーを指定して、使用するアドレス割り当て方式を選択します。タブの要素の詳細については、表 23-15を参照してください。

ステップ 4 [AAA] タブをクリックして、SSL VPN 接続プロファイル ポリシーの AAA 認証パラメータを指定します。タブの要素の詳細については、表 23-17を参照してください。

ステップ 5 ASA デバイスで接続プロファイルを設定している場合は、セカンダリ認証を設定できます。この場合は、[Secondary AAA] タブをクリックします。タブの要素の詳細については、「[Secondary AAA] タブ([Connection Profiles])」を参照してください。

ステップ 6 [IPsec] タブをクリックして、接続プロファイルの IPsec パラメータおよび IKE パラメータを指定します。タブの要素の詳細については、表 23-20を参照してください。

ステップ 7 [SSL] タブをクリックして、接続プロファイル ポリシーの WINS サーバの指定、SSL VPN エンドユーザ ログイン Web ページのカスタマイズ済みルック アンド フィールの選択、クライアント アドレス割り当てに使用する DHCP サーバの指定、およびインターフェイスとクライアント IP アドレス プールの関連付けの確立を行います。タブの要素の詳細については、表 23-22を参照してください。

ステップ 8 [OK] をクリックします。


 

ダイナミック アクセス ポリシーについて

個々の VPN 接続には、頻繁に変更されるイントラネット設定、組織内の各ユーザが持つさまざまなロール、および設定とセキュリティ レベルが異なるリモート アクセス サイトからのログインなど、複数の変数が影響する可能性があります。VPN 環境でのユーザ認可のタスクは、スタティックな設定のネットワークでの認可タスクよりもかなり複雑です。

セキュリティ アプライアンスで Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)を使用すると、これらの多くの変数に対処する認可を設定できます。ダイナミック アクセス ポリシーは、特定のユーザ トンネルまたはユーザ セッションに関連付ける一連のアクセス コントロール属性を設定して作成します。これらの属性により、複数のグループ メンバシップやエンドポイント セキュリティの問題に対処します。つまり、セキュリティ アプライアンスは、定義されるポリシーに基づいて、特定のセッションの特定のユーザにアクセス権を付与します。セキュリティ アプライアンスは、ユーザが接続するときに、1 つまたは複数の DAP レコードから属性を選択または集約して、DAP を生成します。DAP レコードは、リモート デバイスのエンドポイント セキュリティ情報および認証されたユーザの AAA 認可情報に基づいて選択されます。選択された DAP レコードは、ユーザ トンネルまたはセッションに適用されます。DAP システムには、注意を必要とする次のコンポーネントがあります。

DAP 選択設定ファイル:セッション確立時に DAP レコードを選択および適用するためにセキュリティ アプライアンスが使用する、基準が記述されたテキスト ファイル。セキュリティ アプライアンス上に格納されています。Security Manager を使用すると、このファイルを変更したり、XML データ形式でセキュリティ アプライアンスにアップロードしたりできます。DAP 選択設定ファイルには、ユーザが設定するすべての属性が記載されています。これには、AAA 属性、エンドポイント属性、およびネットワーク ACL と Web タイプ ACL のフィルタ、ポート転送、URL のリストとして設定されたアクセス ポリシーなどがあります。

DfltAccess ポリシー:常に DAP サマリー テーブルの最後のエントリで、プライオリティは必ず 0。デフォルト アクセス ポリシーのアクセス ポリシー属性を設定できますが、AAA 属性またはエンドポイント属性は含まれておらず、これらの属性は設定できません。DfltAccessPolicy は削除できません。また、サマリー テーブルの最後のエントリになっている必要があります。


ヒント ダイナミック アクセス ポリシーは、グループ ポリシーに優先します。ダイナミック アクセス ポリシーで設定を指定していない場合、ASA デバイスは設定を指定しているグループ ポリシーがないかどうかを確認します。


Cisco Secure Desktop と DAP の統合

Cisco Secure Desktop(CSD)機能は、セキュリティ アプライアンスによってダイナミック アクセス ポリシー(DAP)に統合されます。設定に応じて、セキュリティ アプライアンスでは、DAP を割り当てる条件として、1 つまたは複数のエンドポイント属性値を、オプションの AAA 属性値と組み合わせて使用します。DAP のエンドポイント属性でサポートされる Cisco Secure Desktop 機能には、OS 検出、プリログイン ポリシー、基本ホスト スキャン結果、およびエンドポイント評価があります。

管理者は、セッションに DAP を割り当てるために必要な条件を構成する属性を、単独で、または組み合わせて指定できます。DAP により、エンドポイント AAA 属性値に適したレベルでネットワーク アクセスが提供されます。設定したエンドポイント基準がすべて満たされたときに、セキュリティ アプライアンスによって DAP が適用されます。

関連項目

「ダイナミック アクセス ポリシーの設定」

「DAP 属性の設定」

ダイナミック アクセス ポリシーの設定

ここでは、ダイナミック アクセス ポリシーを作成または編集する方法について説明します。

関連項目

「ダイナミック アクセス ポリシーについて」

「DAP 属性について」

「ASA デバイスでの Cisco Secure Desktop ポリシーの設定」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [Dynamic Access] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [Dynamic Access (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Dynamic Access] ページが開きます。このページの要素の詳細については、「[Dynamic Access] ページ(ASA)」を参照してください。

ステップ 2 [Create] をクリックするか、またはテーブル内のポリシーを選択して [Edit] をクリックします。

[Add/Edit Dynamic Access Policy] ダイアログボックスが開き、デフォルトで [Main] タブが表示されます。このダイアログボックスの要素の詳細については、表 23-26を参照してください。

ステップ 3 DAP レコードの名前を入力します(最大 128 文字)。

ステップ 4 DAP レコードのプライオリティを指定します。セキュリティ アプライアンスは、ここで設定した順序でアクセス ポリシーを適用します。数が大きいほどプライオリティは高くなります。

ステップ 5 DAP レコードの説明を入力します。

ステップ 6 [Main] タブで、DAP 属性、およびセキュリティ アプライアンスの DAP システムでサポートされるリモート アクセス方式のタイプを設定します。このタブの要素の詳細については、表 23-27を参照してください。

a. テーブルの下の [Create] をクリックするか、またはテーブル内の DAP エントリを選択して [Edit] をクリックします。[Add/Edit DAP Entry] ダイアログボックスが開きます。このダイアログボックスの要素の詳細については、表 23-28を参照してください。

DAP 属性を定義する手順の詳細については、「DAP 属性の設定」を参照してください。

b. DAP システムで許可されるリモート アクセスのタイプを選択します。

c. [Network ACL] タブを選択し、この DAP レコードに適用するネットワーク ACL を選択および設定します。

このタブは、[Web Portal] 以外のアクセス方式を選択した場合にかぎり、使用可能です。

d. [WebType ACL] タブを選択し、この DAP レコードに適用する Web タイプ ACL を選択および設定します。

このタブは、AnyConnect Client 以外のアクセス方式を選択した場合にかぎり、使用可能です。

e. [Functions] タブを選択し、ファイル サーバ エントリとブラウジング、HTTP プロキシ、および DAP レコードの URL エントリを設定します。

このタブは、AnyConnect Client 以外のアクセス方式を選択した場合にかぎり、使用可能です。

f. [Port Forwarding] タブを選択し、ユーザ セッションのポート転送リストを選択および設定します。

このタブは、AnyConnect Client 以外のアクセス方式を選択した場合にかぎり、使用可能です。

g. [URL List] タブを選択し、ユーザ セッションの URL リストを選択および設定します。

このタブは、AnyConnect Client 以外のアクセス方式を選択した場合にかぎり、使用可能です。

h. [Action] タブを選択し、許可されるリモート アクセスのタイプを設定します。

このタブは、どのタイプのアクセス方式でも使用できます。

ステップ 7 [Logical Operators] タブを選択し、エンドポイント属性のタイプごとに複数のインスタンスを作成します。このタブの要素の詳細については、表 23-43を参照してください。

ステップ 8 [Advanced Expressions] タブを選択し、自由形式の LUA を使用して DAP の追加属性を設定します。このタブの要素の詳細については、表 23-44を参照してください。

ステップ 9 [OK] をクリックします。


 

DAP 属性について

DAP レコードには、ユーザが設定するすべての属性が含まれています。これには、AAA 属性、エンドポイント属性、およびネットワーク ACL と Web タイプ ACL のフィルタ、ポート転送、URL のリストとして設定されたアクセス ポリシーなどがあります。

DAP と AAA 属性

DAP は AAA サービスを補完します。用意されている認可属性のセットはかぎられていますが、それらの属性によって AAA で提供される認可属性を無効にできます。セキュリティ アプライアンスは、ユーザの AAA 認可情報およびセッションのポスチャ評価情報に基づいて、DAP レコードを選択します。セキュリティ アプライアンスは、この情報に基づいて複数の DAP レコードを選択でき、それらのレコードを集約して DAP 認可属性を作成します。

AAA 属性は、Cisco AAA 属性階層から、またはセキュリティ アプライアンスが RADIUS サーバまたは LDAP サーバから受信するフル セットの応答属性から指定できます。

AAA 属性の定義

表 22-1に、DAP で使用できる AAA 選択属性名の定義を示します。属性名欄は、LUA 論理式での各属性名の入力方法を示しており、[Add/Edit Dynamic Access Policy] ダイアログボックスの [Advanced] タブでこのように入力する場合があります。

 

表 22-1 AAA 属性の定義

属性タイプ
属性名
ソース
ストリングの最大長
説明

Cisco

aaa.cisco.memberof

AAA

ストリング

128

memberof の値

aaa.cisco.username

AAA

ストリング

64

ユーザ名の値

aaa.cisco.class

AAA

ストリング

64

クラス属性値

aaa.cisco.ipaddress

AAA

数値

framed-ip アドレスの値

aaa.cisco.tunnelgroup

AAA

ストリング

64

トンネル グループ名

LDAP

aaa.ldap.<label>

LDAP

ストリング

128

LDAP 属性値ペア

RADIUS

aaa.radius.<number>

RADIUS

ストリング

128

RADIUS 属性値ペア

DAP とエンドポイント セキュリティ

セキュリティ アプライアンスは、設定されたポスチャ評価方式を使用して、エンドポイント セキュリティ属性を取得します。これには、Cisco Secure Desktop および NAC が含まれます。プリログイン ポリシーの一致、基本ホスト スキャン エントリ、ホスト スキャン拡張機能、またはこれらの属性と他のポリシー属性の任意の組み合わせを使用して、アクセス権および制約を適用できます。最低でも、プリログイン ポリシーごと、および基本ホスト スキャン エントリごとに割り当てられるように DAP を設定します。

ホスト スキャン拡張機能であるエンドポイント評価では、アンチウイルスとアンチスパイウェアのアプリケーション、関連する定義の更新、およびファイアウォールの大規模なコレクションについて、リモート コンピュータを検査します。この機能を使用すると、セキュリティ アプライアンスによって特定の DAP がセッションに割り当てられる前に、要件を満たすようにエンドポイント基準を組み合わせることができます。

DAP とアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラム

セキュリティ アプライアンスは、ユーザ属性が、設定済みの AAA 属性およびエンドポイント属性に一致する場合に DAP ポリシーを使用します。Cisco Secure Desktop のプリログイン評価モジュールおよびホスト スキャン モジュールは、設定済みエンドポイント属性の情報をセキュリティ アプライアンスに返し、DAP サブシステムでは、その情報に基づいてそれらの属性値に一致する DAP レコードを選択します。すべてではありませんが、ほとんどのアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォールのプログラムは、アクティブ スキャンをサポートしています。つまり、それらのプログラムはメモリ常駐型であり、常に動作しています。ホスト スキャンは、エンドポイントにプログラムがインストールされているかどうか、およびそのプログラムがメモリ常駐型かどうかを、次のようにしてチェックします。

インストールされているプログラムがアクティブ スキャンをサポートしない場合、ホスト スキャンはそのソフトウェアの存在をレポートします。DAP システムは、そのプログラムを指定する DAP レコードを選択します。

インストールされているプログラムがアクティブ スキャンをサポートしており、そのプログラムでアクティブ スキャンがイネーブルになっている場合、ホスト スキャンはそのソフトウェアの存在をレポートします。この場合も、セキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択します。

インストールされているプログラムがアクティブ スキャンをサポートしており、そのプログラムでアクティブ スキャンがディセーブルになっている場合、ホスト スキャンはそのソフトウェアの存在を無視します。セキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択しません。さらに、そのプログラムがインストールされているとしても、DAP についての情報が多く含まれる debug trace コマンドの出力にはプログラムの存在が示されません。

エンドポイント属性の定義

表 22-2に、DAP で使用できるエンドポイント選択属性名の定義を示します。属性名欄は、LUA 論理式での各属性名の入力方法を示しており、[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスの [Advanced] タブでこのように入力する場合があります。 label 変数は、アプリケーション、ファイル名、プロセス、またはレジストリ エントリを示します。

 

表 22-2 エンドポイント属性の定義

属性タイプ
属性名
ソース
ストリングの最大長
説明

Antispyware(Cisco Secure Desktop が必要)

endpoint.as.label.exists

ホスト スキャン

true

アンチスパイウェア プログラムが存在する

endpoint.as.label.version

ストリング

32

アンチスパイウェアの説明

endpoint.as.label.description

ストリング

128

クラス属性値

endpoint.as.label.lastupdate

整数

アンチスパイウェア定義を更新してからの経過時間(秒)

Antivirus(Cisco Secure Desktop が必要)

endpoint.av.label.exists

ホスト スキャン

true

アンチウイルス プログラムが存在する

endpoint.av.label.version

ストリング

32

アンチウイルスの説明

endpoint.av.label.description

ストリング

128

クラス属性値

endpoint.av.label.lastupdate

整数

アンチウイルス定義を更新してからの経過時間(秒)

Application

endpoint.application.clienttype

アプリケーション

ストリング

クライアント タイプ:

CLIENTLESS

ANYCONNECT

IPSEC

L2TP

File

endpoint.file.label.exists

Secure Desktop

true

ファイルが存在する

endpoint.file.label.lastmodified

整数

ファイルが最後に変更されてからの経過時間(秒)

endpoint.file.label.crc.32

整数

ファイルの CRC32 ハッシュ

NAC

endpoint.nac.status

NAC

ストリング

-

ユーザ定義ステータス ストリング

Operating System

endpoint.os.version

Secure Desktop

ストリング

32

Windows のサービス パック

endpoint.os.servicepack

整数

オペレーティング システム

Personal firewall(Secure Desktop が必要)

endpoint.fw.label.exists

ホスト スキャン

true

パーソナル ファイアウォールが存在する

endpoint.fw.label.version

ストリング

32

バージョン

endpoint.fw.label.description

ストリング

128

パーソナル ファイアウォールの説明

Policy

endpoint.policy.location

Secure Desktop

ストリング

64

Cisco Secure Desktop からのロケーション値

Process

endpoint.process.label.exists

Secure Desktop

true

プロセスが存在する

endpoint.process.label.path

ストリング

255

プロセスのフル パス

Registry

endpoint.registry.label.type

Secure Desktop

dword ストリング

dword

endpoint.registry.label.value

ストリング

255

レジストリ エントリの値

VLAN

endpoint.vlan.type

CNA

sting

VLAN タイプ:

ACCESS
AUTH
ERROR
GUEST
QUARANTINE
ERROR
STATIC
TIMEOUT

AAA 属性またはエンドポイント属性の高度な式について

テキスト ボックスに、AAA またはエンドポイント、あるいはその両方の選択論理演算を表す自由形式の LUA テキストを入力します。ASDM は、ここで入力されたテキストを検証せず、このテキストを単に DAP ポリシー ファイルにコピーします。セキュリティ アプライアンスがそれを処理し、解析できない式があるとその式は廃棄されます。

このオプションは、上の説明にある AAA およびエンドポイントの属性領域で指定可能な基準以外の選択基準を追加する場合に有効です。たとえば、指定された基準のいずれかまたはすべてを満たす、あるいはいずれも満たさない AAA 属性を使用するようにセキュリティ アプライアンスを設定できます。エンドポイント属性は累積的で、すべてを満たす必要があります。セキュリティ アプライアンスが任意のエンドポイント属性を使用できるようにするには、LUA で適切な論理式を作成し、ここでその式を入力する必要があります。

DAP 論理式の例

LUA で論理式を作成する場合は、次の例を参考にしてください。

この AAA LUA 式は、「b」で始まるユーザ名に一致するかどうかをテストします。この式では、ストリング ライブラリおよび正規表現を使用しています。

not(string.find(aaa.cisco.username, "^b") == nil)

このエンドポイント式は、CLIENTLESS または CVC クライアント タイプに一致するかどうかをテストします。

endpoint.application.clienttype=="CLIENTLESS" or endpoint.application.clienttype=="CVC"

このエンドポイント式は、Norton Antivirus バージョン 10.x かどうかをテストしますが、10.5.x は除外します。

(endpoint.av.NortonAV.version > "10" and endpoint.av.NortonAV.version < "10.5") or endpoint.av.NortonAV.version > "10.6"

DAP 接続シーケンス

次のシーケンスに、標準的なリモート アクセス接続を確立する場合の概要を示します。

1. リモート クライアントが VPN 接続を試みます。

2. セキュリティ アプライアンスが、設定された NAC 値と Cisco Secure Desktop のホスト スキャン値を使用してポスチャ評価を実行します。

3. セキュリティ アプライアンスが、AAA を介してユーザを認証します。AAA サーバは、ユーザの認可属性も返します。

4. セキュリティ アプライアンスが、セッションに AAA 認可属性を適用し、VPN トンネルを確立します。

5. セキュリティ アプライアンスが、ユーザの AAA 認可情報とセッションのポスチャ評価情報に基づいて DAP レコードを選択します。

6. セキュリティ アプライアンスが、選択した DAP レコードから DAP 属性を集約します。集約された属性が DAP ポリシーを構成します。

7. セキュリティ アプライアンスが、その DAP ポリシーをセッションに適用します。

関連項目

「ダイナミック アクセス ポリシーの設定」

「ダイナミック アクセス ポリシーについて」

「DAP 属性の設定」

DAP 属性の設定

DAP ポリシーに定義する属性には、認可属性とエンドポイント属性を指定する必要があります。ネットワーク ACL と Web タイプ ACL、ファイル ブラウジング、ファイル サーバ エントリ、HTTP プロキシ、URL エントリ、ポート転送リスト、および URL リストを設定することもできます。

ここでは、DAP ポリシーに必要な AAA 属性およびエンドポイント属性を作成または編集する方法について説明します。

関連項目

「DAP 属性について」

「ダイナミック アクセス ポリシーについて」

「ダイナミック アクセス ポリシーの設定」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [Dynamic Access] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [Dynamic Access (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Dynamic Access] ページが開きます。このページの要素の詳細については、「[Dynamic Access] ページ(ASA)」を参照してください。

ステップ 2 [Dynamic Access] ポリシー ページで [Create] をクリックするか、またはこのページのテーブル内のポリシー行を選択して [Edit] をクリックします。

[Add/Edit Dynamic Access Policy] ダイアログボックスが開き、[Main] タブが表示されます。[Main] タブの要素の詳細については、表 23-27を参照してください。

ステップ 3 テーブルの下の [Create] をクリックするか、またはテーブル内の DAP エントリを選択して [Edit] をクリックします。[Add/Edit DAP Entry] ダイアログボックスが開きます。このダイアログボックスの要素の詳細については、表 23-28を参照してください。

ステップ 4 [Criterion] リストから属性タイプを選択し、適切な値を入力します。ダイアログボックスの値は、選択に応じて変わります。次のオプションがあります。

AAA 属性 Cisco(表 23-29を参照)

AAA 属性 LDAP(表 23-30を参照)

AAA 属性 RADIUS(表 23-31を参照)

Anti-Spyware(表 23-32を参照)

Anti-Virus(表 23-33を参照)

Application(表 23-34を参照)

File(表 23-36を参照)

NAC(表 23-37を参照)

Operating System(表 23-38を参照)

Personal Firewall(表 23-39を参照)

Policy(表 23-40を参照)

Process(表 23-41を参照)

Registry(表 23-42を参照)

ステップ 5 [OK] をクリックします。


 

ASA デバイスでの Cisco Secure Desktop ポリシーの設定

Cisco Secure Desktop(CSD)は、クライアント システム上のセッション アクティビティおよび削除に、単一のセキュアなロケーションを提供することによって、機密データのすべてのトレースを確実に除去する方法を提供します。CSD では、機密データが SSL VPN セッションの間だけ共有されるセッションベースのインターフェイスを使用できます。すべてのセッション情報が暗号化され、セッションが終了したときに(たとえ接続が突然終了した場合でも)、セッション データのすべてのトレースがリモート クライアントから削除されます。このため、クッキー、ブラウザ履歴、一時ファイル、およびダウンロードしたコンテンツがシステムに残ることはありません。

セッションを閉じた場合、CSD は Department of Defense(DoD; 米国国防総省)消去アルゴリズムを使用して、すべてのデータを上書きして削除し、エンドポイントの機密保持を行います。


) Cisco Secure Desktop プログラムの詳細な機能および設定については、このマニュアルでは説明しません。CSD の設定および CSD の機能については、http://www.cisco.com/en/US/products/ps6742/tsd_products_support_configure.html からオンラインで入手できる資料を参照してください。設定する CSD バージョンのコンフィギュレーション ガイドを選択してください。


ここでは、ASA デバイスで Cisco Secure Desktop 機能を設定する方法について説明します。

始める前に

接続プロファイル ポリシーがデバイスに設定済みであることを確認します。「接続プロファイルの設定(ASA)」を参照してください。

関連項目

「SSL VPN サポート ファイルの概要および管理」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [Dynamic Access] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [Dynamic Access (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Dynamic Access] ページが開きます。このページの要素の詳細については、「[Dynamic Access] ページ(ASA)」を参照してください。

ステップ 2 [Cisco Secure Desktop] セクションで [Enable] を選択し、ASA デバイスで CSD をイネーブルにします。

ステップ 3 [Package] フィールドで、デバイスにアップロードする Cisco Secure Desktop パッケージを示すファイル オブジェクトの名前を指定します。[Select] をクリックして既存のファイル オブジェクトを選択するか、または新しいファイル オブジェクトを作成します。詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。


) パッケージ バージョンは、ASA オペレーティング システムのバージョンと互換性がある必要があります。デバイス ビューでローカル ポリシーを作成する場合、[Version] フィールドは選択する必要がある CSD パッケージ バージョンを示します(バージョンはパッケージ ファイル名に含まれています。たとえば、securedesktop-asa_k9-3.3.0.118.pkg は CSD バージョン 3.3.0.118 です)。ポリシー ビューで共有ポリシーを作成する場合、[Version] フィールドは選択した CSD ファイルのバージョンを示します。バージョン互換性の詳細については、「SSL VPN サポート ファイルの概要および管理」を参照してください。


ステップ 4 [Configure] をクリックして、セキュリティ アプライアンスに CSD を設定できる Cisco Secure Desktop Manager(CSDM)ポリシー エディタを開きます。これは、Security Manager とは別のアプリケーションです。ポリシー エディタの使用方法については、上記の CSD のマニュアルを参照してください。

エディタに含まれる主な項目は、次のとおりです(コンテンツ テーブルで選択します)。

[Prelogin Policies]:これは決定ツリーです。ユーザが接続を試みると、そのユーザのシステムが規則に照らして評価され、最初に一致した規則が適用されます。通常は、セキュアなロケーション、ホーム ロケーション、およびセキュアでないパブリック ロケーションのポリシーを作成します。レジストリ情報、特定のファイルまたは証明書があるかどうか、ワークステーションのオペレーティング システム、または IP アドレスに基づいてチェックを行うことができます。

編集を行う場合は、必ず右クリック メニューを使用します。ボックスまたは [+] 記号を右クリックして、関連する設定をアクティブにします(ある場合)。

エンド ノードの場合は、次のオプションを選択できます。

[Access Denied]:基準に一致するワークステーションがネットワークにアクセスできなくなります。

[Policy]:この時点での固有の許可ポリシーを定義します。ポリシーは、名前を付けたあとにコンテンツ テーブルに追加されます。ポリシーの各項目を選択して、その設定を行います。

[Subsequence]:追加チェックを実行します。このワークステーションを評価する次の決定ツリーの名前を入力します。

[Host Scan]:基本ホスト スキャンの一部を構成する一連のレジストリ エントリ、ファイル名、およびプロセス名を指定できます。ホスト スキャンは、プリログイン評価が行われたあと、ダイナミック アクセス ポリシーが割り当てられる前に実行されます。セキュリティ アプライアンスは、基本ホスト スキャンのあと、ログイン クレデンシャル、ホスト スキャン結果、プリログイン ポリシー、および設定された他の基準に基づいて、ダイナミック アクセス ポリシーを割り当てます。次のアセスメントをイネーブルにできます。

[Endpoint Assessment]:リモート ワークステーションは、アンチウイルス、アンチスパイウェア、パーソナル ファイアウォールの各アプリケーション、および関連する更新の大規模なコレクションをスキャンします。

[Advanced Endpoint Assessment]:すべてのエンドポイント評価機能を含みます。また、指定されたバージョン要件を満たすように、準拠していないワークステーションの更新を試みるよう設定できます。この機能を設定するには、ライセンスを購入してインストールする必要があります。


 

リモート アクセス VPN グローバル設定について

[VPN Global Settings] ページでは、リモート アクセス VPN 内のデバイスに適用する IKE、IPsec、NAT、およびフラグメンテーションのグローバル設定を定義できます。

VPN グローバル設定の詳細については、「VPN グローバル設定について」を参照してください。

グローバル VPN 設定は、次の設定で構成されます。

ISAKMP/IPsec 設定。ISAKMP(IKE)と IPsec のパラメータを設定できます。これらのパラメータを使用すると、リモート アクセス VPN に VPN トンネルを確立する場合に、ピアがネゴシエートできるようになります。詳細については、「ISAKMP/IPsec 設定について」を参照してください。

Network Address Translation(NAT; ネットワーク アドレス変換)設定。内部 IP アドレスを使用するデバイスが、インターネットを介してデータを送受信できるようになります。詳細については、「NAT について」を参照してください。

一般設定。リモート アクセス VPN のデバイスに設定できるフラグメンテーション設定および Maximum Transmission Unit(MTU; 最大伝送ユニット)処理パラメータなどです。詳細については、「フラグメンテーションについて」を参照してください。

関連項目

「リモート アクセス VPN グローバル設定」

「[Global Settings] ページ」

リモート アクセス VPN グローバル設定

リモート アクセス VPN のグローバル設定を定義するには、次の手順を実行します。

関連項目

「リモート アクセス VPN グローバル設定について」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Remote Access VPN] > [Global Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [Global Settings] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[VPN Global Settings] ページが開きます。このページの要素の詳細については、「[Global Settings] ページ」を参照してください。

ステップ 2 [ISAKMP/IPsec Settings] タブ(「[ISAKMP/IPsec Settings] タブ」を参照)で、IKE および IPSec のグローバル設定を次のように設定します。

a. [Enable Keepalive] を選択して、デバイスのデフォルトのフェールオーバーおよびルーティングのメカニズムとして IKE キープアライブを設定します(Cisco IOS ルータ、Catalyst 6500/7600 デバイス、および PIX ファイアウォール バージョン 6.3 に適用されます)。

b. IKE キープアライブ パケットの送信と送信の間のデバイスの待機時間(秒数)を入力します。

c. リモート ピアと IKE 接続を確立しようとする試行と試行の間のデバイスの待機時間(秒数)を入力します。

d. 送信する発信トラフィックがない場合でも、Dead-Peer Detection(DPD)キープアライブ メッセージを送信する場合は、[Periodic] を選択します(7600 以外のルータの場合)。

e. デバイスが IP アドレスまたはホスト名を使用して IKE ネゴシエーション時にデバイス自身を識別するかどうかを指定します。Distinguished Name(DN; 識別名)を使用してユーザ グループ名を識別するように指定することもできます。

f. IKE が SA 要求の拒否を開始する前に許可される SA 要求の最大数を指定します(7600 以外のルータの場合)。

g. IKE が新規 SA 要求の拒否を開始する前に使用できるシステム リソースのパーセンテージを指定します(Cisco IOS ルータおよび Catalyst 6500/7600 デバイスの場合)。

h. [Enable Lifetime] を選択して、リモート アクセス VPN 内のデバイスにクリプト IPSec SA のグローバル ライフタイム設定を行います。

i. SA が期限切れになる前に存続できる秒数を指定します。

j. 特定の SA が期限切れになる前にその SA を使用して IPsec ピア間を通過できるトラフィック量(KB 単位)を指定します。

k. Xauth タイムアウトを指定します。つまり、デバイスが Xauth チャレンジに対するシステム応答を待機する時間(秒数)です(Cisco IOS ルータおよび Catalyst 6500/7600 デバイス)。

l. デバイスで同時にイネーブルにできる SA の最大数を指定します(ASA デバイスまたは PIX 7.0 デバイス限定)。

m. [Enable IPsec via Sysopt] を選択して、IPsec トンネルからのパケットが暗黙的に信頼されることを指定します(PIX 6.3、PIX 7.0、ASA の各デバイス限定)

ステップ 3 [NAT Settings] タブをクリックして、パブリックなインターネットを介して、内部 IP アドレスを使用するデバイスがデータを送受信するときに適用されるグローバル NAT 設定を定義します。[NAT Settings] タブの要素の詳細については、「[NAT Settings] タブ」を参照してください。

a. VPN 接続されたハブアンドスポーク間にあるデバイス(中間デバイス)が、IPsec フローで NAT を実行するときにキープアライブ メッセージを転送する場合は、[Enable Traversal Keepalive] を選択します。

b. セッションがアクティブであることを示すためにスポークと中間デバイス間でキープアライブ信号が送信される間隔を指定します(5 ~ 3600 秒)。

c. [Enable Traversal over TCP] を選択して(ASA デバイスまたは PIX 7.0 デバイス限定)、TCP パケット内の IKE プロトコルと IPsec プロトコルをカプセル化し、NAT デバイスおよび PAT デバイスとファイアウォールを介したセキュアなトンネリングをイネーブルにします。

d. NAT 通過をイネーブルにする TCP ポートを入力します(ASA デバイスまたは PIX 7.0 デバイス限定)。

ステップ 4 [General Settings] タブをクリックして、リモート アクセス VPN 内のデバイスにフラグメンテーションおよび他のグローバル設定を定義します。[General Settings] タブの要素の詳細については、「[General Settings] タブ」を参照してください。

a. フラグメンテーション モードを次のオプションから選択します。

[No Fragmentation]:IPsec カプセル化の前にフラグメント化しない場合に選択します。

[End to End MTU Discovery]:MTU の検出に ICMP メッセージを使用する場合に選択します。

[Local MTU Handling]:MTU をデバイスにローカルに設定する場合に選択します。このオプションは、一般的に、ICMP がブロックされている場合に使用します。

「フラグメンテーションについて」を参照してください。

b. MTU サイズを指定します(VPN インターフェイスに応じて 68 ~ 65535 バイト)。

c. DF ビットに対して必要な設定を [Copy]、[Set]、または [Clear] から選択します(Cisco IOS ルータ、ASA デバイス、または PIX 7.0 デバイスの場合)。

d. 暗号化の前にフラグメント化を行う場合は、[Enable Fragmentation Before Encryption] を選択します(Cisco IOS ルータ、ASA デバイス、または PIX 7.0 デバイスの場合)。想定されるパケット サイズが MTU を超える場合は選択してください(Cisco IOS ルータ限定)。

e. 切断されようとしているセッションを認定されたピアに通知する場合は、[Enable Notification on Disconnection] を選択します(ASA デバイスまたは PIX 7.0 デバイス限定)。

f. ハブアンドスポーク VPN トポロジ内でスポーク間の直接通信をイネーブルにする場合は、[Enable Spoke-to-Spoke Connectivity through the Hub] を選択します(ASA デバイスまたは PIX 7.0 デバイス限定)。この場合のハブは、ASA デバイスまたは PIX ファイアウォール バージョン 7.0 です。

g. デバイスの設定済み外部インターフェイスをすべての着信トラフィックのデフォルトの発信ルートとして使用する場合は、[Enable Default Route] を選択します(Cisco IOS ルータ限定)。


 

グループ ポリシーについて(ASA)

リモート アクセス IPSec VPN 接続またはリモート アクセス SSL VPN 接続を設定する場合は、リモート クライアントが属するユーザ グループを作成する必要があります。ユーザ グループ ポリシーは、リモート アクセス VPN 接続のためのユーザ指向の属性と値のペアのセットで構成され、デバイス内部(ローカル)または外部の AAA サーバに保存されます。接続プロファイルは、接続確立後のユーザ接続条件を設定するユーザ グループ ポリシーを使用します。グループ ポリシーを使用すると、ユーザまたはユーザのグループに属性セット全体を適用できるので、ユーザごとに各属性を個別に指定する必要がありません。


ヒント ダイナミック アクセス ポリシーは、グループ ポリシーに優先します。ダイナミック アクセス ポリシーで設定を指定していない場合、ASA デバイスは設定を指定しているグループ ポリシーがないかどうかを確認します。


ASA ユーザ グループは、次の属性で構成されます。

グループ ポリシー ソース。ユーザ グループの属性および値を、セキュリティ アプライアンスの内部(ローカル)に格納するか、外部の AAA サーバに格納するかどうかを指定します。ユーザ グループを外部タイプとした場合は、そのユーザ グループにその他の設定をする必要はありません。詳細については、「[ASA Group Policies] ダイアログボックス」を参照してください。

クライアント設定。Easy VPN またはリモート アクセス VPN でユーザ グループの Cisco クライアント パラメータを指定します。詳細については、「ASA グループ ポリシーのクライアント設定」を参照してください。

クライアント ファイアウォール属性。Easy VPN またはリモート アクセス VPN で VPN クライアントのファイアウォール設定を行います。詳細については、「ASA グループ ポリシーのクライアント ファイアウォール属性」を参照してください。

ハードウェア クライアント属性。Easy VPN またはリモート アクセス VPN で VPN 3002 ハードウェア クライアント設定を行います。詳細については、「ASA グループ ポリシーのハードウェア クライアント属性」を参照してください。

IPsec 設定。Easy VPN またはリモート アクセス VPN のユーザ グループにトンネリング プロトコル、フィルタ、接続設定、およびサーバを指定します。詳細については、「ASA グループ ポリシーの IPSec 設定」を参照してください。

ASA ユーザ グループのクライアントレス設定。SSL VPN で企業ネットワークへのクライアントレス アクセス モードを設定します。詳細については、「ASA グループ ポリシーの SSL VPN クライアントレス設定」を参照してください。

ASA ユーザ グループのフル クライアント設定。SSL VPN で企業ネットワークへのフル クライアント アクセス モードを設定します。詳細については、「ASA グループ ポリシーの SSL VPN フル クライアント設定」を参照してください。

一般設定。SSL VPN でのクライアントレス/ポート転送に必要です。詳細については、「ASA グループ ポリシーの SSL VPN 設定」を参照してください。

DNS/WINS 設定。DNS サーバと WINS サーバ、および ASA ユーザ グループに関連付けられたリモート クライアントにプッシュされるドメイン名を定義します。詳細については、「ASA グループ ポリシーの DNS/WINS 設定」を参照してください。

スプリット トンネリング。条件に応じて、リモート クライアントがパケットを暗号化された形式で IPsec VPN または SSL VPN トンネル上を送信したり、クリア テキスト形式でネットワーク インターフェイスに送信したりできます。詳細については、「ASA グループ ポリシーのスプリット トンネリング設定」を参照してください。

ASA ユーザ グループのリモート アクセスまたは SSL の VPN セッション接続設定。詳細については、「ASA グループ ポリシーの接続設定」を参照してください。

関連項目

「グループ ポリシーの作成(ASA)」

「[Group Policies] ページ」

グループ ポリシーの作成(ASA)

リモート アクセス IPSec VPN またはリモート アクセス SSL VPN で使用される ASA デバイスのグループ ポリシーを作成するには、[Group Policies] ページを使用します。


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [Group Policies] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [Group Policies (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Group Policies] ページが開きます。このページの要素の詳細については、「[Group Policies] ページ」を参照してください。

ステップ 2 [Create] をクリックするとダイアログボックスが開き、そこで、定義済みの ASA ユーザ グループ オブジェクトのリストからユーザ グループを選択したり、必要に応じて新しいユーザ グループを作成したりできます。

ステップ 3 必要な ASA ユーザ グループをリストから選択して [OK] をクリックするか、必要な ASA ユーザ グループが存在しない場合は、[Create] をクリックしてユーザ グループを作成します。

[Add ASA User Group] ダイアログボックスが開き、ASA ユーザ グループ オブジェクトに設定可能な設定のリストが表示されます。このダイアログボックスの要素の詳細については、「[ASA Group Policies] ダイアログボックス」を参照してください。

ステップ 4 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 5 ASA ユーザ グループの属性と値をデバイスのローカルに保存するか、外部サーバに保存するかを選択します。


) ASA ユーザ グループの属性を外部サーバに保存するよう選択した場合は、テクノロジー設定を行う必要はありません。認証に使用する AAA サーバ グループと AAA サーバのパスワードを指定して [OK] をクリックし、オブジェクト セレクタでグループを選択して [OK] をクリックして、ポリシーにグループを追加します。


ステップ 6 ASA ユーザ グループの属性をデバイスのローカルに保存するよう選択した場合は、[Technology] リストから、ASA ユーザ グループを作成する VPN のタイプを選択します。

ステップ 7 Easy VPN または IPSec VPN のユーザ グループを設定するには、[Settings] ペインの Easy VPN フォルダまたは IPSec VPN フォルダで次の手順を実行します。

a. [Client Configuration] を選択して、Cisco クライアント パラメータを設定します。これらの設定の詳細については、「ASA グループ ポリシーのクライアント設定」を参照してください。

b. [Client Firewall Attributes] を選択して、VPN クライアントのファイアウォール設定を行います。これらの設定の詳細については、「ASA グループ ポリシーのクライアント ファイアウォール属性」を参照してください。

c. [Hardware Client Attributes] を選択して、VPN 3002 ハードウェア クライアント設定を行います。これらの設定の詳細については、「ASA グループ ポリシーのハードウェア クライアント属性」を参照してください。

d. [IPsec] を選択して、トンネリング プロトコル、フィルタ、接続設定、およびサーバを指定します。これらの設定の詳細については、「ASA グループ ポリシーの IPSec 設定」を参照してください。

ステップ 8 SSL VPN のユーザ グループを設定するには、[Settings] ペインの SSL VPN フォルダから次の手順を実行します。

a. [Clientless] を選択して、SSL VPN で企業ネットワークへのクライアントレス アクセス モードを設定します。これらの設定の詳細については、「ASA グループ ポリシーの SSL VPN クライアントレス設定」を参照してください。

b. [Full Client] を選択して、SSL VPN で企業ネットワークへのフル クライアント アクセス モードを設定します。これらの設定の詳細については、「ASA グループ ポリシーの SSL VPN フル クライアント設定」を参照してください。

c. [Settings] を選択して、SSL VPN のクライアントレス アクセス モードおよびシン クライアント(ポート転送)アクセス モードに必要な一般設定を行います。これらの設定の詳細については、「ASA グループ ポリシーの SSL VPN 設定」を参照してください。

ステップ 9 [Settings] ペインの Easy VPN/IPSec VPN および SSL VPN 設定で、ASA ユーザ グループに次の設定を指定します。

a. [DNS/WINS] を選択して、DNS サーバと WINS サーバ、および ASA ユーザ グループに関連付けられたクライアントにプッシュされるドメイン名を定義します。これらの設定の詳細については、「ASA グループ ポリシーの DNS/WINS 設定」を参照してください。

b. [Split Tunneling] を選択して、条件に応じてリモート クライアントが暗号化されたパケットをセキュア トンネル経由で中央サイトに送信できるようにし、同時にネットワーク インターフェイスを介したインターネットへのクリア テキスト トンネルを許可します。これらの設定の詳細については、「ASA グループ ポリシーのスプリット トンネリング設定」を参照してください。

c. [Connection Settings] を選択して、セッション、アイドル タイムアウト、およびバナー テキストなど、ASA ユーザ グループの SSL VPN 接続設定を行います。これらの設定の詳細については、「ASA グループ ポリシーの接続設定」を参照してください。

ステップ 10 [OK] をクリックします。

ステップ 11 ASA ユーザ グループをリストから選択して [OK] をクリックします。


 

公開キー インフラストラクチャ ポリシーの設定

ここでは、リモート アクセス VPN で Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーの作成に使用する CA サーバを指定する方法について説明します。


) リモート アクセス VPN では、ユーザ認証にデジタル証明書が使用されます。PKI 登録オブジェクトの作成または編集時に、接続先のユーザ グループ名を使用して、各リモート コンポーネント(スポーク)を設定する必要があります。


始める前に

IOS デバイスの場合は、選択したデバイスがリリース 12.3(7)T 以降であることを確認します。

「PKI 登録を正常に行うための前提条件」を参照してください。

関連項目

「Public Key Infrastructure ポリシーについて」

「PKI 登録を正常に行うための前提条件」

「[Public Key Infrastructure] ページ」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Remote Access VPN] > [Public Key Infrastructure] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [Public Key Infrastructure] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Public Key Infrastructure] ページが開きます。このページの要素の詳細については、「[Public Key Infrastructure] ページ」を参照してください。

ステップ 2 [Available CA Servers] リストから必要な CA サーバを選択して、[>>] をクリックします。

必要な CA サーバがリストに含まれていない場合、[Create] をクリックして [PKI Enrollment] ダイアログボックスを開くと、PKI 登録オブジェクトを作成または編集できます。

次の点を考慮してください。

PKI 登録オブジェクトの作成または編集時には、接続先のユーザ グループ名を使用して、各リモート コンポーネント(スポーク)を必ず設定します。この情報は、[PKI Enrollment Editor] ダイアログボックスの [Certificate Subject Name] タブにある [Organization Unit (OU)] フィールドで指定します。また、クライアントに発行される証明書には、ユーザ グループ名として OU が指定されている必要があります。詳細については、「[PKI Enrollment] ダイアログボックス」を参照してください。

ISAKMP 設定を行うときにユーザ グループ名を指定して、IKE ネゴシエーション時のユーザ認証にデジタル証明書を使用するよう、リモート クライアントを設定する必要があります(「リモート アクセス VPN グローバル設定」を参照)。

リロード間に RSA キー ペアと CA 証明書を PIX バージョン 6.3 のフラッシュ メモリに永続的に保存するには、 ca save all コマンドを設定する必要があります。この操作は、デバイスで手動で行うか、FlexConfig を使用して行うことができます(「FlexConfig の管理」を参照)。


 

IPSec VPN ポリシーの使用

IPSec VPN に対しては、特定のポリシーを設定する必要があります。

ここでは、次の内容について説明します。

「Certificate to Connection Profile Map ポリシーについて(ASA)」

「Certificate to Connection Profile Map ポリシーの設定(ASA)」

「証明書/接続プロファイル マップ規則について(ASA)」

「証明書/接続プロファイル マップ規則の設定(ASA)」

「リモート アクセス VPN の IKE プロポーザルについて」

「リモート アクセス VPN サーバの IKE プロポーザルの設定」

「リモート アクセス VPN の IPsec プロポーザルについて」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定」

「リモート アクセス VPN のハイ アベイラビリティについて(IOS)」

「ハイ アベイラビリティ ポリシーの設定」

「ユーザ グループ ポリシーについて(IOS)」

「ユーザ グループ ポリシーの設定」

Certificate to Connection Profile Map ポリシーについて(ASA)

Certificate to Connection Profile Map ポリシーは、ASA デバイスでの拡張証明書認証に使用されます。

Certificate to Connection Profile Map ポリシーは、個々のフィールドから構成される一意の識別子であり、ユーザを接続プロファイルと照合するときに識別子として使用できます。

Certificate to Connection Profile Map ポリシーにより、指定したフィールドに基づいて、ユーザの証明書を権限グループと照合する規則を定義できます。認証を確立するため、証明書の任意のフィールドを使用することも、またはすべての証明書ユーザが権限グループを共有することもできます。

証明書のフィールドに基づいてユーザ権限グループを照合するには、照合するフィールドを指定した規則をグループに定義し、その選択グループに対して各規則をイネーブルにします。接続プロファイルに規則を作成するには、設定に接続プロファイルが存在している必要があります。

規則を定義したあとは、証明書グループ照合ポリシーを設定して、証明書ユーザの権限グループを識別する方式を定義する必要があります。グループは、DN 規則、[Organization Unit] フィールド、IKE ID、またはピア IP アドレスから照合できます。これらの方式のいずれかまたはすべてを使用できます。

関連項目

「Certificate to Connection Profile Map ポリシーの設定(ASA)」

「[Certificate to Connection Profile Maps] > [Policies] ページ」

Certificate to Connection Profile Map ポリシーの設定(ASA)

ここでは、ASA サーバ デバイスに接続を試みるリモート クライアントの Certificate to Connection Profile ポリシーを設定する方法について説明します。

始める前に

接続プロファイルがデバイスに設定済みであることを確認します。「接続プロファイルの設定(ASA)」を参照してください。

関連項目

「Certificate to Connection Profile Map ポリシーについて(ASA)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Remote Access VPN] > [IPSec VPN] > [Certificate to Connection Profile Maps] > [Policies] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [IPSec VPN] > [Certificate to Connection Profile Maps] > [Policies] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Certificate to Connection Profile Map Policies] ページが開きます。このページの要素の詳細については、「[Certificate to Connection Profile Maps] > [Policies] ページ」を参照してください。

ステップ 2 次のチェックボックスのいずれかまたはすべてを選択します。

設定済みの証明書を使用して認証を確立するようにサーバを設定するには、[Configured Rules to Match a Certificate to a Group] を使用します。

OU フィールドを使用して認証を確立するようにサーバを設定するには、[Certificate Organization Unit (OU) Field to Determine the Group] を使用します。

IKE ID を使用して認証を確立するようにサーバを設定するには、[IKE Identify to Determine the Group] を使用します。

ピア IP アドレスを使用して認証を確立するようにサーバを設定するには、[Peer IP address to Determine the Group] を使用します。


 

証明書/接続プロファイル マップ規則について(ASA)

証明書グループ照合を設定する場合は、接続プロファイルのフィールドに基づいて、リモート クライアントの証明書を権限グループと照合する規則を定義する必要があります。

証明書のフィールドに基づいてユーザ権限グループを照合するには、照合するフィールドを指定した規則をグループに定義し、その選択グループに対して各規則をイネーブルにします。トンネル グループに規則を作成してマップするには、設定にトンネル グループが存在している必要があります。

証明書/接続プロファイル マップ規則を定義したあとは、証明書グループ照合ポリシーを設定して、証明書ユーザの権限グループを識別する方式を定義する必要があります。詳細については、「Certificate to Connection Profile Map ポリシーの設定(ASA)」を参照してください。


) 証明書/接続プロファイル マップ規則を作成して接続プロファイルにマップするには、設定に接続プロファイルが存在している必要があります。証明書/接続プロファイル マップ規則を作成したあとに接続プロファイルの割り当てを解除すると、接続プロファイルにマップされた規則の割り当てが解除されます。「接続プロファイルの設定(ASA)」を参照してください。


関連項目

「証明書/接続プロファイル マップ規則の設定(ASA)」

「[Certificate to Connection Profile Maps] > [Rules] ページ」

証明書/接続プロファイル マップ規則の設定(ASA)

ここでは、証明書/接続プロファイル マップ規則、および ASA サーバ デバイスに接続を試みるリモート クライアントのパラメータを設定する方法について説明します。

始める前に

接続プロファイルがデバイスに設定済みであることを確認します。「接続プロファイルの設定(ASA)」を参照してください。

[Certificate to Connection Profile Maps Policies] ポリシーで [Use Configured Rules to Match a Certificate to a Group] を選択したことを確認します。「Certificate to Connection Profile Map ポリシーの設定(ASA)」を参照してください。

関連項目

「証明書/接続プロファイル マップ規則について(ASA)」

「[Connection Profiles] ページ」


ステップ 1 (デバイス ビュー限定)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [IPSec VPN] > [Certificate to Connection Profile Maps] > [Rules] を選択します。[Certificate to Connection Profile Map Rules] ページが表示されます。このページの要素の詳細については、「[Certificate to Connection Profile Maps] > [Rules] ページ」を参照してください。

ステップ 2 上部のペインのマップ テーブルの下にある [Add Row] をクリックして、照合規則のプライオリティおよび接続プロファイル マッピングを設定します。[Map Rule] ダイアログボックスが開きます。このページの要素の詳細については、「[Map Rule] ダイアログボックス(上半分のテーブル)」を参照してください。

ステップ 3 リストから接続プロファイルを選択します。

ステップ 4 照合規則のプライオリティ番号を入力します。低い番号の方がプライオリティは高くなります。

ステップ 5 マップの名前を入力します。

ステップ 6 [OK] をクリックします。ページの上部のテーブルにマップが表示されます。

ステップ 7 上部のテーブルに作成されたマップを選択して、下部のペインのテーブルに詳細を表示します。

ステップ 8 下部のペインのテーブルの下にある [Add Row] をクリックして、リモート クライアントがこのマップのプロファイルを使用するデバイスに接続するために満たす必要のある、証明書/接続プロファイル照合規則を設定します。[Map Rule] ダイアログボックスが開きます。このページの要素の詳細については、「[Map Rule] ダイアログボックス(下半分のテーブル)」を参照してください。

ステップ 9 リストから証明書フィールドを選択します。

ステップ 10 設定する証明書のコンポーネントを選択します。

ステップ 11 規則の演算子を選択します。

ステップ 12 規則によってテストする値を入力します。

ステップ 13 [OK] をクリックします。ページの下部のペインに規則パラメータが表示されます。

ステップ 14 [Default Connection Profile] フィールドで、いずれのマップ規則にも一致しないユーザに使用する接続プロファイルを選択します。


 

リモート アクセス VPN の IKE プロポーザルについて

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)は、別名 ISAKMP とも呼ばれるネゴシエーション プロトコルで、2 つのホストが IPsec セキュリティ アソシエーションを構築する方法を合意できます。リモート アクセス VPN 用のデバイスを設定するには、リモート クライアントと VPN 接続をネゴシエートするときにデバイスが使用する暗号化アルゴリズム、認証アルゴリズム、およびキー交換方式を指定する必要があります。

IKE プロポーザルは、2 つのピア間の IKE ネゴシエーションを保護するためにこれらのピアで使用されるアルゴリズムのセットです。IKE ネゴシエーションは、共通(共有)IKE ポリシーに合意している各ピアによって開始されます。このポリシーは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータを示します。各ピアでプライオリティが付けられた複数のポリシーを作成して、リモート ピアのポリシーに少なくとも 1 つのポリシーが一致するようにできます。

IKE の概念の詳細については、「IKE について」を参照してください。

[IKE Proposal] ページでは、IKE プロポーザルを選択してリモート アクセス VPN サーバに割り当てることができます。IKE プロポーザルの作成および編集も可能です。

関連項目

「リモート アクセス VPN サーバの IKE プロポーザルの設定」

「[IKE Proposal] ページ」

リモート アクセス VPN サーバの IKE プロポーザルの設定

ここでは、リモート アクセス VPN サーバに割り当てる IKE プロポーザルを指定する方法について説明します。

関連項目

「リモート アクセス VPN の IKE プロポーザルについて」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Remote Access VPN] > [IPSec VPN] > [IKE Proposal] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [IPSec VPN] > [IKE Proposal] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[IKE Proposal] ページが開きます。このページの要素の詳細については、「[IKE Proposal] ページ」を参照してください。

ステップ 2 [IKE Proposal] ページで、[Available IKE Proposals] リストから必要な IKE プロポーザルを選択して、[>>] をクリックします。

IKE プロポーザルはオブジェクトです。必要な IKE プロポーザルがリストに含まれていない場合、[Create] をクリックして [IKE Editor] ダイアログボックスを開くと、IKE プロポーザル オブジェクトを作成または編集できます。詳細については、表 24-17を参照してください。


 

リモート アクセス VPN の IPsec プロポーザルについて

IPsec プロポーザルは、1 つまたは複数のクリプト マップのコレクションです。クリプト マップは、IPsec 規則、トランスフォーム セット、リモート ピア、および IPsec SA の定義に必要となる可能性のあるその他のパラメータを含め、IPsec Security Association(SA; セキュリティ アソシエーション)の設定に必要なすべてのコンポーネントを組み合わせたものです。

IPsec プロポーザルを設定する場合は、リモート アクセス クライアントがサーバに接続する外部インターフェイス、および VPN トンネル内のデータを保護する暗号化と認証のアルゴリズムを定義する必要があります。また、(ローカル サーバまたは外部 AAA サーバで)グループ ポリシーの検索順序を定義するグループ認可(グループ ポリシー ルックアップ)方式、およびユーザ アカウントの検索順序を定義するユーザ認証(Xauth)方式も選択できます。

IPsec トンネルの概念の詳細については、「IPsec トンネル ポリシーについて」を参照してください。ユーザ アカウントの詳細については、「アカウントおよびクレデンシャル ポリシーの定義」を参照してください。

[IPsec Proposal] ページでは、リモート アクセス VPN への割り当てに使用可能なデフォルト IPsec プロポーザルを表示できます。このページから、新しい IPsec プロポーザルの作成またはデフォルトの編集を行うことができます。

IPsec プロポーザルを作成または編集する場合は、次を設定することもできます。

Catalyst 6500/7600 デバイス上の VPN Services Module(VPNSM; VPN サービス モジュール)インターフェイス IPsec VPN Shared Port Adapter(VPN SPA; VPN 共有ポート アダプタ)(「[VPNSM/VPN SPA Settings] ダイアログボックス」を参照)

ルータまたは Catalyst 6500/7600 デバイス上の VRF 対応 IPsec(「[Dynamic VTI/VRF Aware IPsec] タブ([IPsec Proposal Editor])」を参照)

IOS ルータ上のダイナミック仮想インターフェイス(「[PVC] ダイアログボックス - [QoS] タブ」を参照)

リモート アクセス VPN でのダイナミック仮想テンプレート インターフェイスの使用(IOS)

IOS デバイスでは、ダイナミック Virtual Template Interface(VTI; 仮想テンプレート インターフェイス)を使用できます。このインターフェイスは、リモート アクセス VPN に非常に安全でスケーラブルな接続を提供し、ダイナミック クリプト マップおよびダイナミック ハブアンドスポーク方式に代わってトンネルを確立します。ダイナミック VTI は、サーバ設定とリモート設定の両方に使用できます。トンネルにより、各 VPN セッションに対して、仮想アクセス インターフェイスがオンデマンドで個別に提供されます。仮想アクセス インターフェイスの設定は、仮想テンプレート設定から複製されます。仮想テンプレート設定には、IPsec 設定および仮想テンプレート インターフェイスに設定されたすべての機能が含まれています。ダイナミック VTI によって IP アドレスの使用が効率的になり、セキュアな接続が提供されます。ダイナミック VTI を使用すると、動的にダウンロード可能なポリシーをグループ単位およびユーザ単位で RADIUS サーバに設定できます。VRF がインターフェイスに設定されるため、VRF 対応 IPsec の展開はダイナミック VTI によって簡素化されます。

この機能をイネーブルにすると、リモート アクセス VPN 内の選択デバイスの仮想テンプレート インターフェイスが Security Manager によって暗黙的に作成されます。必要となる作業は、仮想テンプレート インターフェイスとして使用されるサーバの IP アドレスの指定、または既存のループバック インターフェイスの使用だけです。仮想テンプレート インターフェイスは、IP アドレスのないリモート クライアントで作成されます。

ダイナミック VTI は、リモート アクセス VPN サーバで IPsec プロポーザルを設定するときに設定できます。


) ダイナミック VTI を設定できるのは、Cisco IOS Release 12.4(2)T 以降が稼動しているルータだけです(7600 デバイスを除く)。

ダイナミック VTI は VRF 対応 IPsec の有無に関係なく設定できます。

ダイナミック VTI は、サイト間 Easy VPN トポロジ内でも設定できます。詳細については、「Easy VPN について」を参照してください。


関連項目

「リモート アクセス VPN サーバの IPsec プロポーザルの設定」

「[IPsec Proposal] ページ」

リモート アクセス VPN サーバの IPsec プロポーザルの設定

ここでは、リモート アクセス VPN サーバの IPsec プロポーザルを作成または編集する方法について説明します。次の点を考慮してください。

Catalyst 6500/7600 では、VPN Services Module(VPNSM; VPN サービス モジュール)インターフェイスか VPN SPA、VPN サービス モジュールを搭載したファイアウォール サービス モジュール、または VRF 対応 IPsec、あるいはその組み合わせの設定が可能です。

デバイスが 7600 デバイス以外のルータで、IOS バージョンが 12.4(2)T 以降の場合は、そのデバイスにダイナミック仮想インターフェイスを設定できます。

デバイスが PIX 7.0+、ASA、または 7600 以外の IOS ルータの場合は、クリプト マップに逆ルート注入も設定できます。

関連項目

「[PVC] ダイアログボックス - [QoS] タブ」

「VRF 対応 IPsec について」

「リモート アクセス VPN の IPsec プロポーザルについて」

「[IPsec Proposal Editor] ダイアログボックス(PIX および ASA デバイス)」

「[IPsec Proposal Editor] ダイアログボックス(IOS ルータおよび Catalyst 6500/7600 デバイス)」

「[VPNSM/VPN SPA Settings] ダイアログボックス」

「IPsec トンネル ポリシーについて」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから、[Remote Access VPN] > [IPSec VPN] > [IPsec Proposal] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [IPSec VPN] > [IPsec Proposal] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[IPsec Proposal] ページが開きます。このページの要素の詳細については、「[IPsec Proposal] ページ」を参照してください。

ステップ 2 [IPsec Proposal] ページで [Create] をクリックするか、または [IPsec Proposal] ページのテーブル内の行を選択して [Edit] をクリックします。[IPsec Proposal Editor] ダイアログボックスが開きます。


) [IPsec Proposal Editor] ダイアログボックスの要素は、選択したデバイスによって異なります。


ステップ 3 選択したデバイスが PIX 7.0+ または ASA デバイスの場合は、次の手順を実行します。

a. リモート アクセス クライアントがサーバに接続する外部インターフェイスを選択します。

b. トンネル ポリシーに使用されるトランスフォーム セットを選択します。

c. デバイスのクリプト マップに Reverse Route Injection(RRI; 逆ルート注入)を設定しない場合は、リストから [None] オプションを選択します。

デフォルトのオプション [Standard] では、クリプト マップの Access Control List(ACL; アクセス コントロール リスト)に定義された宛先情報に基づいてルートが作成されます。詳細については、「逆ルート注入について」を参照してください。

d. 必要に応じて、ASA デバイスで Network Address Translation Traversal(NAT-T)の設定をイネーブルにします。「NAT について」を参照してください。

e. PIX デバイスの場合は、AAA または Xauth ユーザ認証方式を指定して、ユーザ アカウントの検索順序を定義します。

f. [OK] をクリックして定義を保存し、ダイアログボックスを閉じます。

[IPsec Proposal Editor] ダイアログボックスの要素の詳細については、表 23-57を参照してください。

ステップ 4 選択したデバイスが Cisco IOS ルータ、Catalyst 6500/7600、または PIX 6.3 デバイスの場合は、[IPsec Proposal Editor] ダイアログボックスが開いて [General] タブが表示されます。


) [IPsec Proposal Editor] ダイアログボックスには、[General] および [Dynamic VTI/VRF Aware IPsec] の 2 つのタブが表示されます。選択したデバイスが Catalyst 6500/7600 の場合は、[FWSM Settings] タブも表示されます。


a. [General] タブで、次の作業を実行します([General] タブの要素の詳細については、表 23-58を参照してください)。

リモート アクセス クライアントがサーバに接続する外部インターフェイスを指定します。


重要:選択したデバイスが Catalyst 6500/7600 の場合は、VPN Services Module(VPNSM; VPN サービス モジュール)または VPN SPA に対する内部インターフェイスとして機能する内部 VLAN を指定します。[Select] をクリックしてダイアログボックスを開き、そこで、VPNSM または VPN SPA を設定できるようにする設定を定義します。[VPNSM/VPN SPA Settings] ダイアログボックスの要素の詳細については、表 23-59を参照してください。


VPNSM の設定の詳細については、「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照してください。

VPN SPA の設定の詳細については、「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照してください。

トンネル ポリシーに使用されるトランスフォーム セットを選択します。

必要に応じて Reverse Route Injection(RRI; 逆ルート注入)をイネーブルにし、クライアントに割り当てられたアドレスごとに、スタティック ルートがデバイスに作成されるようにします。

デバイスのクリプト マップに Reverse Route Injection(RRI; 逆ルート注入)を設定するには、[Reverse Route Injection] リストから必要なオプションを選択します。詳細については、「逆ルート注入について」を参照してください。

グループ ポリシーの検索順序の定義に使用する AAA 認可方式リストを選択します。グループ ポリシーは、ローカル サーバまたは外部 AAA サーバ上に設定できます。

ユーザ アカウントの検索順序の定義に使用する AAA または Xauth ユーザ認証方式を選択します。

b. [Dynamic VTI/VRF Aware IPsec] タブをクリックして、デバイスにダイナミック仮想インターフェイス、VRF 対応 IPsec 設定、またはその両方を設定します。このタブの要素の詳細については、表 23-60を参照してください。

ステップ 5 IPsec プロポーザルの作成または編集が完了したら、[OK] をクリックして変更を保存し、[IPsec Proposal Editor] ダイアログボックスを閉じます。


 

リモート アクセス VPN のハイ アベイラビリティについて(IOS)

リモート アクセス VPN では、LAN 上で IP が稼動する Cisco IOS ルータの High Availability(HA; ハイ アベイラビリティ)がサポートされています。

Security Manager では、HA グループを作成すると High Availability(HA; ハイ アベイラビリティ)がサポートされます。HA グループは、Hot Standby Routing Protocol(HSRP)を使用して透過的な自動デバイス フェールオーバーを実現する、複数のハブ デバイスで構成されます。仮想 IP アドレスを共有することによって、HA グループのハブは、外観上は、LAN 上のホストに対して単一の仮想デバイスまたはデフォルト ゲートウェイになります。HA グループの 1 つのハブが常にアクティブになって仮想 IP アドレスを独占的に使用し、同時に他のハブはスタンバイ ハブになります。グループ内のハブは、アクティブ デバイスおよびスタンバイ デバイスから hello パケットが着信するのを待ちます。アクティブ デバイスが何らかの理由で使用できなくなると、スタンバイ ハブが仮想 IP アドレスの所有権を取得して、ハブの機能を引き継ぎます。この引き継ぎは、LAN 上のホスト、およびピア デバイスに対してシームレスかつ透過的に行われます。

HA グループ内の HSRP デバイス間で状態情報を確実に共有する場合は、Stateful SwitchOver(SSO; ステートフル スイッチオーバー)を使用します。デバイスで障害が発生した場合、共有されている状態情報により、スタンバイ デバイスは、トンネルの再確立またはセキュリティ アソシエーションの再ネゴシエートを行わずに、IPsec セッションを維持できます。


) HA グループを設定する場合は、デバイスのインターフェイスのいずれか 1 つのサブネットと一致し、IPsec プロポーザルで設定される VPN 仮想 IP アドレスに加えて、デバイス上のインターフェイスのいずれか 1 つのサブネットと一致する内部仮想 IP アドレスを指定する必要があります。「リモート アクセス VPN サーバの IPsec プロポーザルの設定」を参照してください。

HA が設定されたリモート アクセス VPN サーバ デバイスは、リモート アクセス VPN サーバに使用されたインターフェイスと同じ外部インターフェイスを使用して HA が設定されたサイト間 VPN トポロジのハブとしては設定できません。


HA グループを設定するための情報を指定する [High Availability] ページの詳細については、表 23-54を参照してください。

関連項目

「ハイ アベイラビリティ ポリシーの設定」

「[High Availability] ページ」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定」

ハイ アベイラビリティ ポリシーの設定

ここでは、リモート アクセス VPN 内の IOS ルータでハイ アベイラビリティ ポリシーを設定するために必要な手順について説明します。

始める前に

デバイスに IPsec プロポーザルが設定されていることを確認します。

関連項目

「リモート アクセス VPN のハイ アベイラビリティについて(IOS)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)IOS デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [IPSec VPN] > [High Availability] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [IPSec VPN] > [High Availability] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[High Availability] ページが表示されます。このページの要素の詳細については、「[High Availability] ページ」を参照してください。

ステップ 2 関連するフィールドで、内部インターフェイスおよび HA グループの VPN インターフェイスを表す仮想 IP アドレス(およびサブネット マスク)を指定します。


) デバイスのインターフェイスのいずれか 1 つのサブネットと一致し、IPsec プロポーザルで設定される VPN 仮想 IP アドレスに加えて、デバイス上のインターフェイスのいずれか 1 つのサブネットと一致する内部仮想 IP アドレスを指定する必要があります。指定しなかった場合、エラーが表示されます。


ステップ 3 hello 間隔およびホールド時間を指定します(秒単位)。

ステップ 4 HA グループ内のハブについて、内部仮想 IP サブネットと一致する内部ハブ インターフェイス、および外部仮想 IP サブネットと一致する外部ハブ インターフェイスのスタンバイ数を指定します。数値は 0 ~ 255 の範囲である必要があります。


) 内部および外部のスタンバイ グループ数は、異なる値である必要があります。


ステップ 5 フェールオーバー サーバとして機能するリモート ピア デバイスの内部インターフェイスの IP アドレスを指定します。


 

ユーザ グループ ポリシーについて(IOS)

リモート アクセス VPN サーバを設定する場合は、リモート クライアントが属するユーザ グループを作成する必要があります。ユーザ グループ ポリシーには、VPN へのユーザ アクセスおよび VPN の使用を決定する属性を指定します。ユーザ グループによってシステム管理が簡素化され、多数のユーザの VPN アクセスを迅速に設定できます。

たとえば、一般的なリモート アクセス VPN では、財務グループにアクセスを許可するプライベート ネットワーク、カスタマー サポート グループに許可するネットワーク、および MIS グループに許可するネットワークがそれぞれ異なる場合があります。また、MIS に所属する特定のユーザには、他の MIS ユーザにはアクセスできないシステムにアクセスを許可する場合があります。ユーザ グループ ポリシーにより、このようなアクセスを安全に行うための柔軟性が提供されます。

リモート クライアントのグループ名は、VPN サーバに設定されたユーザ グループの名前と同じである必要があります。この場合、リモート クライアントがデバイスに接続できます。名前が異なる場合は接続を確立できません。リモート クライアントが VPN サーバへの接続を確立すると、そのユーザ グループのグループ ポリシーが、同じユーザ グループに属するすべてのクライアントにプッシュされます。ユーザ グループは、ローカル リモート アクセス VPN サーバおよび外部 AAA サーバで設定できます。


) ユーザ グループ ポリシーを定義できるリモート アクセス VPN サーバは、Cisco IOS ルータ、PIX 6.3 ファイアウォール、または 6500/7600 デバイスです。


[User Group Policy] ページでは、リモート アクセス VPN サーバに割り当てるユーザ グループを指定できます。ユーザ グループ ポリシーの作成および編集も可能です。[User Group Policy] ページは、Remote Access Configuration ウィザードまたは Remote Access VPN Policies フォルダから開くことができます。

関連項目

「ユーザ グループ ポリシーの設定」

「[Add User Group]/[Edit User Group] ダイアログボックス」

ユーザ グループ ポリシーの設定

ここでは、ポリシー セレクタの [User Groups] オプションを使用し、ユーザ グループを指定してリモート アクセス VPN サーバに割り当てる方法について説明します。


) Remote Access VPN Configuration ウィザードを使用してユーザ グループを指定することもできます。詳細については、「Remote Access VPN Configuration ウィザードの使用」を参照してください。


関連項目

「ユーザ グループ ポリシーについて(IOS)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)IOS ルータ、Catalyst 6500/7600、または PIX 6.3 デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [IPSec VPN] > [User Groups] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [IPSec VPN] > [User Groups (IOS/PIX6.x)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[User Groups] ページが開きます。このページの要素の詳細については、「[User Group Policy] ページ」を参照してください。

ステップ 2 [User Group Policy] ページの [Available User Groups] リストから必要なユーザ グループを選択して、[>>] をクリックします。

ユーザ グループはオブジェクトです。必要なユーザ グループがリストにない場合、[Create] をクリックして「[Add User Group]/[Edit User Group] ダイアログボックス」を開くと、ユーザ グループ オブジェクトを作成または編集できます。


 

SSL VPN ポリシーの使用

SSL VPN に対しては、特定のポリシーを設定する必要があります。

ここでは、次の内容について説明します。

「SSL VPN アクセス ポリシーについて(ASA)」

「その他の SSL VPN 設定の定義」

「SSL VPN 共有ライセンスについて(ASA)」

「SSL VPN ポリシーの設定(IOS)」

SSL VPN アクセス ポリシーについて(ASA)

Access ポリシーには、SSL VPN 接続プロファイルをイネーブルにできるセキュリティ アプライアンスのインターフェイス、接続プロファイルで使用するポート、Datagram Transport Layer Security(DTLS)設定、SSL VPN セッション タイムアウト、および最大セッション数を指定します。AnyConnect VPN クライアントまたは AnyConnect Essentials クライアントを使用するかどうかも指定できます。

Datagram Transport Layer Security(DTLS)

Datagram Transport Layer Security(DTLS)をイネーブルにすると、AnyConnect クライアントは SSL トンネルおよび DTLS トンネルの 2 つのトンネルを同時に使用して、SSL VPN 接続を確立できます。DTLS を使用すると、SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。デフォルトでは、DTLS がイネーブルになるのは、インターフェイスで SSL VPN アクセスをイネーブルにした場合です。DTLS をディセーブルにすると、SSL VPN 接続は SSL VPN トンネルだけに接続します。


) DTLS が TLS 接続にフォールバックするためには、フォールバック トラストポイントを指定する必要があります。フォールバック トラストポイントが指定されていない場合に DTLS 接続に問題が発生すると、その接続は指定されたトラストポイントにフォールバックすることなく終了します。


AnyConnect SSL VPN クライアント

Cisco AnyConnect SSL VPN クライアントは、セキュリティ アプライアンスへのセキュアな SSL 接続をリモート ユーザに提供します。事前にクライアントがインストールされていない場合、リモート ユーザは、SSL VPN 接続を受け入れるように設定されているインターフェイスの IP アドレスをブラウザに入力します。セキュリティ アプライアンスが http:// 要求を https:// にリダイレクトするように設定されている場合を除いて、ユーザは https://<address> の形式で URL を入力する必要があります。

URL を入力すると、ブラウザがそのインターフェイスに接続してログイン画面が表示されます。ユーザがログインおよび認証に成功し、セキュリティ アプライアンスによってそのユーザがクライアントを要求していると識別されると、リモート コンピュータのオペレーティング システムに適合するクライアントがダウンロードされます。ダウンロード後、クライアントは自分自身でインストールと設定を行い、セキュアな SSL 接続を確立します。接続の終了時には、(セキュリティ アプライアンスの設定に応じて)そのまま残るか、または自分自身をアンインストールします。

事前にクライアントがインストールされている場合、ユーザの認証時に、セキュリティ アプライアンスはクライアントのリビジョンを検査し、必要な場合はクライアントをアップグレードします。

クライアントがセキュリティ アプライアンスとの SSL VPN 接続をネゴシエートする場合は、Transport Layer Security(TLS)、および任意で Datagram Transport Layer Security(DTLS)を使用して接続します。(上記の Datagram Transport Layer Security(DTLS)を参照してください)

AnyConnect クライアントは、セキュリティ アプライアンスからダウンロードできます。または、システム管理者が手動でリモート PC にインストールできます。クライアントを手動でインストールする方法の詳細については、『 Cisco AnyConnect VPN Client Administrator Guide 』を参照してください。

セキュリティ アプライアンスは、接続を確立しているユーザのグループ ポリシーまたはユーザ名属性に基づいてクライアントをダウンロードします。自動的にクライアントをダウンロードするようにセキュリティ アプライアンスを設定できます。または、クライアントをダウンロードするかどうかをリモート ユーザに確認するように設定することもできます 後者でユーザが応答しなかった場合に、タイムアウト時間の経過後にクライアントをダウンロードするか、またはログイン ページを表示するように、セキュリティ アプライアンスを設定できます。

AnyConnect Essentials SSL VPN クライアント

AnyConnect Essentials は独立ライセンスの SSL VPN クライアントで、適応型セキュリティ アプライアンス全体に設定します。このクライアントは、次の例外を除き、AnyConnect のすべての機能を備えています。

CSD を使用できない(HostScan/Vault/Cache Cleaner を含む)

クライアントレス SSL VPN 非対応

Windows Mobile サポートがオプション

AnyConnect Essentials クライアントにより、Microsoft Windows Vista、Windows Mobile、Windows XP、Windows 2000、Linux、または Macintosh OS X を使用しているリモート エンド ユーザは、Cisco SSL VPN クライアントの利点を得ることができます。この機能がディセーブルの場合は、AnyConnect VPN クライアント一式が使用されます。この機能は、デフォルトではディセーブルになっています。


) このライセンスは、SSL VPN の共有ライセンスと同時には使用できません。


ここでは、次の内容について説明します。

「Access ポリシーの設定」

Access ポリシーの設定

ここでは、ASA デバイスに Access ポリシーを設定する方法について説明します。

関連項目

「SSL VPN クライアントの設定について」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Access] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Access (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Access] ページが開きます。このページの要素の詳細については、「[SSL VPN Access Policy] ページ」を参照してください。

ステップ 2 テーブルから、次のようにインターフェイスを作成するか、または SSL VPN 接続を確立できる既存のインターフェイスを編集します。

a. テーブルの下の [Add Row] をクリックするか、またはテーブル内の行を選択して [Edit Row] をクリックします。[Access Interface Configuration] ダイアログボックスが開きます。このダイアログボックスの要素の詳細については、表 23-63を参照してください。

b. VPN アクセスを設定するインターフェイスを指定します。[Select] をクリックするとダイアログボックスが開き、そこで、インターフェイス リストからインターフェイスを選択したり、インターフェイス ロール オブジェクトを選択したりできます。

c. このインターフェイスに割り当てる定義済みのトラストポイントを入力または選択します。

d. ロード バランシングが設定されている場合は、このインターフェイスに割り当てるセカンダリのロード バランシング トラストポイントを入力または選択できます。

e. [Allow Access] を選択して、このインターフェイスを介した VPN アクセスをイネーブルにします。このオプションが選択されていない場合、インターフェイスにアクセスは設定されますが、ディセーブルです。

f. [Enable DTLS] を選択して、インターフェイスで AnyConnect クライアントとの DTLS 接続をイネーブルにし、SSL トンネルおよび DTLS トンネルの 2 つのトンネルを同時に使用して、AnyConnect VPN クライアントが SSL VPN 接続を確立できるようにします。

g. [Check Client Certification] を選択して、接続にクライアントからの有効なデジタル証明書を要求します。

h. [OK] をクリックします。

ステップ 3 SSL VPN セッションに使用するポート番号を指定します。[Select] をクリックすると [Port List Selector] ダイアログボックスが開き、そこから選択を行うことができます。

ステップ 4 AnyConnect クライアントとの DTLS 接続用に別の UDP ポートを指定します。[Select] をクリックすると [Port List Selector] ダイアログボックスが開き、そこから選択を行うことができます。

ステップ 5 トラストポイントが割り当てられていないインターフェイスに使用するフォールバック トラストポイントを指定します。

ステップ 6 SSL VPN セッションがアイドル状態になってから、セキュリティ アプライアンスがセッションを終了するまでの時間を指定します(秒単位)。

ステップ 7 許可される SSL VPN セッションの最大数を指定します。

ステップ 8 [Allow Users to Select Connection Profile in Portal Page] を選択して、SSL VPN エンド ユーザ インターフェイスに設定されたトンネル グループのリストを追加します。ユーザは、ログイン時にこのリストから接続プロファイルを選択できます。

ステップ 9 [Enable AnyConnect Access] を選択して、セキュリティ アプライアンスに定義されたインターフェイスで Cisco AnyConnect VPN クライアントまたはレガシー Cisco SSL VPN クライアント(SVC)による SSL VPN 接続をイネーブルにします。詳細については、「SSL VPN クライアントの設定について」を参照してください。

ステップ 10 [Enable AnyConnect Essentials] を選択して、AnyConnect Essentials SSL VPN クライアントをイネーブルにします。詳細については、「SSL VPN クライアントの設定について」を参照してください。


 

その他の SSL VPN 設定の定義

Security Manager では、SSL VPN トポロジ内のすべてのデバイスに適用される SSL VPN グローバル設定を定義できます。これらの設定には、キャッシング、コンテンツの書き換え、文字エンコード、プロキシとプロキシ バイパス定義、ブラウザ プラグイン、および AnyConnect クライアントのイメージとプロファイルがあります。

ここでは、次の内容について説明します。

「パフォーマンス設定について」

「パフォーマンス設定の定義」

「コンテンツ書き換え規則について」

「コンテンツ書き換え規則の定義」

「エンコードについて」

「エンコード規則の定義」

「プロキシおよびプロキシ バイパス規則について」

「プロキシおよびプロキシ バイパス規則の定義」

「プラグインについて」

「ブラウザ プラグインの定義」

「SSL VPN クライアントの設定について」

「SSL VPN クライアント設定の定義」

「高度な設定の定義」

パフォーマンス設定について

キャッシングによって SSL VPN パフォーマンスが向上します。頻繁に再利用されるオブジェクトをシステム キャッシュに格納することで、書き換えの繰り返しやコンテンツの圧縮の必要性を低減します。SSL VPN と、リモート サーバとエンドユーザ ブラウザの両方との間のトラフィックが削減され、その結果、多数のアプリケーションがより効率的に実行されます。

関連項目

「パフォーマンス設定の定義」

「[Performance] タブ」

パフォーマンス設定の定義

キャッシングによって SSL VPN パフォーマンスが向上します。頻繁に再利用されるオブジェクトをシステム キャッシュに格納することで、書き換えの繰り返しやコンテンツの圧縮の必要性を低減します。SSL VPN と、リモート サーバとエンドユーザ ブラウザの両方との間のトラフィックが削減され、その結果、多数のアプリケーションがより効率的に実行されます。

ここでは、ASA セキュリティ アプライアンスでキャッシングをイネーブルにする方法について説明します。

始める前に

接続プロファイル ポリシーがデバイスに設定済みであることを確認します。「接続プロファイルの設定(ASA)」を参照してください。

関連項目

「その他の SSL VPN 設定の定義」

「[Performance] タブ」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Other Settings] ページが開き、デフォルトで [Performance] タブが表示されます。このタブの要素の詳細については、「[Performance] タブ」を参照してください。

ステップ 2 [Enable] チェックボックスをオンにして、セキュリティ アプライアンスでのキャッシングをイネーブルにします。

ステップ 3 セキュリティ アプライアンスでキャッシュ可能なドキュメントの最小サイズを指定します。有効な範囲は 0 ~ 10000 KB です。デフォルトは 0 KB です。


) 最大オブジェクト サイズは、最小オブジェクト サイズより大きくする必要があります。


ステップ 4 セキュリティ アプライアンスでキャッシュ可能なドキュメントの最大サイズを指定します。有効な範囲は 0 ~ 10000 KB です。デフォルトは 1000 KB です。

ステップ 5 最終更新日のタイムスタンプだけが設定されており、その他にサーバで設定された有効期限の値がないキャッシング オブジェクトに、整数を指定して再評価ポリシーを設定します。有効な範囲は 1 ~ 100 です。デフォルトは 20 です。

ステップ 6 キャッシュしたオブジェクトを再評価しないでいる時間を設定する整数を入力します(分単位)。有効値の範囲は 0 ~ 900 です。デフォルトは 1 分です。

ステップ 7 [Cache Compressed Content] チェックボックスをオンにして、圧縮されたコンテンツをキャッシュします。

ステップ 8 [Cache Static Content] チェックボックスをオンにして、静的コンテンツをキャッシュします。


 

コンテンツ書き換え規則について

SSL VPN は、高度な要素(JavaScript、VBScript、Java、およびマルチバイト文字など)に対応したコンテンツ変換/書き込みエンジンを介してアプリケーション トラフィックを処理し、ユーザが SSL VPN デバイス内でアプリケーションを使用しているか、デバイスとは無関係に使用しているかに応じて、HTTP トラフィックをプロキシします。

一部のアプリケーションおよび Web リソース(パブリック Web サイトなど)がセキュリティ アプライアンスを通過しないようにする場合は、セキュリティ アプライアンス自体を経由せずに、ユーザが特定のサイトおよびアプリケーションをブラウズできるようにする書き換え規則を作成できます。これは、IPSec VPN 接続におけるスプリット トンネリングによく似ています。

[SSL VPN Other Settings] ページの [Content Rewrite] タブでは、複数のコンテンツ書き換え規則を作成できます。[Content Rewrite] タブには、コンテンツ書き換えがイネーブルまたはディセーブルな、すべてのアプリケーションが一覧表示されます。


) セキュリティ アプライアンスは、最も小さい番号から順番に書き換え規則を検索して、一致した最初の規則を適用します。


関連項目

「コンテンツ書き換え規則の定義」

「[Content Rewrite] タブ」

「[Add Content Rewrite]/[Edit Content Rewrite] ダイアログボックス」

コンテンツ書き換え規則の定義

ここでは、コンテンツ書き換え規則を作成または編集する方法を示します。

始める前に

接続プロファイル ポリシーがデバイスに設定済みであることを確認します。「接続プロファイルの設定(ASA)」を参照してください。

関連項目

「その他の SSL VPN 設定の定義」

「[Content Rewrite] タブ」

「[Add Content Rewrite]/[Edit Content Rewrite] ダイアログボックス」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Other Settings] ページで [Content Rewrite] タブをクリックします。[Content Rewrite] タブが開き、コンテンツ書き換えがイネーブルまたはディセーブルな、すべてのアプリケーションが表示されます。このタブの要素の詳細については、表 23-65を参照してください。

ステップ 3 [Content Rewrite] タブで、[Create] をクリックするか、またはテーブル内の書き換え規則を選択して [Edit] をクリックします。

[Add/Edit Content Rewrite] ダイアログボックスが開きます。このダイアログボックスの要素の詳細については、表 23-66を参照してください。

ステップ 4 [Enable] チェックボックスをオンにして、この書き換え規則のコンテンツ書き換えをイネーブルにします。

ステップ 5 この規則の番号を入力します。この番号は、リスト内の規則の位置を指定します。番号がない規則はリストの最後に配置されます。有効な範囲は 1 ~ 65534 です。

ステップ 6 規則が適用されるアプリケーションまたはリソースの名前を入力します(最大 300 文字)。

ステップ 7 規則にアプリケーションまたはリソースを入力します。

ステップ 8 [OK] をクリックします。[Add Content Rewrite Rule] ダイアログボックスが閉じ、コンテンツ書き換え規則がテーブルに追加されます。


 

エンコードについて

文字エンコードは、データを表す(0 と 1 などの)未処理データと文字の組み合わせです。使用する文字エンコード方式は、言語によって決まります。ある言語では同じ方式を使用していても、別の言語でも同じとはかぎりません。通常、ブラウザで使用されるデフォルトのエンコード方式は地理上の地域によって決まりますが、リモート ユーザはこれを変更できます。ブラウザはページに指定されたエンコードを検出することもでき、そのエンコードに従ってドキュメントを表示します。

エンコード属性を使用すると、SSL VPN ポータル ページに文字エンコード方式の値を指定し、ユーザがブラウザを使用している地域、またはブラウザに対して行われた変更に関係なく、ブラウザにページが正しく表示されることを保証できます。

文字エンコード属性は、デフォルトですべての SSL VPN ポータル ページが継承するグローバル設定です。ただし、文字エンコード属性の値と異なる文字エンコードを使用する Common Internet File System(CIFS)サーバのファイル エンコード属性を上書きできます。異なる文字エンコードが必要な CIFS サーバには、異なるファイル エンコード値を使用できます。

CIFS サーバから SSL VPN ユーザにダウンロードされた SSL VPN ポータル ページのエンコードは、サーバ指定の SSL VPN ファイル エンコード属性の値となります。サーバで指定されていない場合、ポータル ページは文字エンコード属性の値を継承します。リモート ユーザのブラウザでは、ブラウザの文字エンコード セットのエントリにこの値がマップされ、使用する適切な文字セットが決定されます。SSL VPN 設定に CIFS サーバのファイル エンコード エントリを指定せず、文字エンコード属性も設定されていない場合は、SSL VPN ポータル ページに値が指定されません。SSL VPN ポータル ページで文字エンコードを指定しなかった場合、またはブラウザがサポートしていない文字エンコード値を指定した場合、リモート ブラウザでは独自のデフォルト エンコードが使用されます。

[SSL VPN Global Settings] ページの [Encoding] タブでは、ポータル ページでエンコードされる、CIFS サーバに関連付けられた現在設定済みの文字セットを表示できます。このタブから、文字セットを作成または編集できます(次の手順を参照)。

関連項目

「その他の SSL VPN 設定の定義」

「[Encoding] タブ」

「[Add File Encoding]/[Edit File Encoding] ダイアログボックス」

エンコード規則の定義

ここでは、SSL VPN のエンコード規則を定義する方法を示します。

始める前に

接続プロファイル ポリシーがデバイスに設定済みであることを確認します。「接続プロファイルの設定(ASA)」を参照してください。

関連項目

「その他の SSL VPN 設定の定義」

「[Encoding] タブ」

「[Add File Encoding]/[Edit File Encoding] ダイアログボックス」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Other Settings] ページで [Encoding] タブをクリックします。このタブの要素の詳細については、表 23-67を参照してください。

ステップ 3 [Global SSL VPN Encoding Type] リストから、テーブルに表示された CIFS サーバからの属性を除き、すべての SSL VPN ポータル ページが継承する文字エンコードを決定する属性を選択します。


) [None] を選択するか、SSL VPN クライアントのブラウザでサポートされていない値を指定した場合は、デフォルトのエンコーディングが使用されます。


ステップ 4 [Create] をクリックするか、またはテーブル内の文字セットを選択して [Edit] をクリックします。

[Add File Encoding]/[Edit File Encoding] ダイアログボックスが開きます。このダイアログボックスの要素の詳細については、表 23-68を参照してください。

ステップ 5 エンコード要件が [Global SSL VPN Encoding Type] 属性設定と異なる各 CIFS サーバの IP アドレスまたはホスト名を入力します。

CIFS サーバは、定義済みネットワーク オブジェクトです。[Select] をクリックすると、使用可能なすべてのネットワーク ホストを一覧表示した [Network/Hosts Selector] ダイアログボックスが開き、そこで、ネットワーク ホスト オブジェクトを作成できます。

ステップ 6 [Encoding Type] リストから、CIFS サーバが SSL VPN ポータル ページに指定する文字エンコードを選択します。

ステップ 7 [OK] をクリックします。


 

プロキシおよびプロキシ バイパス規則について

セキュリティ アプライアンスは、HTTPS 接続を終了し、HTTP および HTTPS プロキシ サーバに HTTP/HTTPS 要求を転送できます。これらのサーバは、ユーザとインターネット間を中継する機能を果たします。必ず制御下のサーバを経由してインターネットにアクセスする必要があるので、フィルタリングを行うこともでき、セキュアなインターネット アクセスおよび管理制御が保証されます。


) HTTP/HTTPS プロキシは、Personal Digital Assistant への接続をサポートしていません。


HTTP プロキシ サーバからダウンロードする Proxy Autoconfiguration(PAC)ファイルを指定できます。ただし、PAC ファイルを指定する場合は、プロキシ認証を使用できません。

この機能で提供されるコンテンツ書き換えとアプリケーションおよび Web リソースの相性がよい場合は、プロキシ バイパスを使用するようにセキュリティ アプライアンスを設定できます。プロキシ バイパスはコンテンツの書き換えに代わる手法であり、元のコンテンツの変更を最小限に抑えます。カスタム Web アプリケーションで役立ちます。

プロキシ バイパスには複数のエントリを設定できます。エントリを設定する順序は重要ではありません。インターフェイスとパス マスク、またはインターフェイスとポートにより、プロキシ バイパス規則が一意に指定されます。

パス マスクではなくポートを使用してプロキシ バイパスを設定した場合、ネットワーク設定によっては、これらのポートからセキュリティ アプライアンスにアクセスできるようにファイアウォール設定を変更することが必要になる場合があります。この制限を回避するには、パス マスクを使用します。ただし、このパス マスクは変更される場合があるため、複数のパス マスク ステートメントを使用して、この可能性を排除する必要がある可能性があることに注意してください。

関連項目

「その他の SSL VPN 設定の定義」

「プロキシおよびプロキシ バイパス規則の定義」

「[Proxy] タブ」

「[Add Proxy Bypass]/[Edit Proxy Bypass] ダイアログボックス」

プロキシおよびプロキシ バイパス規則の定義

ここでは、SSL VPN のプロキシおよびプロキシ バイパス規則を定義する方法を示します。

始める前に

接続プロファイル ポリシーがデバイスに設定済みであることを確認します。「接続プロファイルの設定(ASA)」を参照してください。

関連項目

「その他の SSL VPN 設定の定義」

「プロキシおよびプロキシ バイパス規則について」

「[Proxy] タブ」

「[Add Proxy Bypass]/[Edit Proxy Bypass] ダイアログボックス」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Other Settings] ページで [Proxy] タブをクリックします。このタブの要素の詳細については、表 23-69を参照してください。

ステップ 3 SSL VPN 接続に使用する外部プロキシ サーバのタイプを選択します。

[HTTP Proxy]:外部プロキシ サーバを使用した HTTP 要求の処理をイネーブルにし、この下にある、HTTP サーバのプロパティを指定するすべてのフィールドをアクティブにします。

[HTTPS Proxy]:外部プロキシ サーバを使用した HTTPS 要求の処理をイネーブルにし、この下にある、HTTPS サーバのプロパティを指定するすべてのフィールドをアクティブにします。

[Proxy Auto-Configuration File]:HTTP プロキシ サーバからブラウザにダウンロードする Proxy Autoconfiguration(PAC)ファイルを指定できます。

ステップ 4 プロキシ サーバのタイプとして [HTTP Proxy] を選択した場合は、次の手順を実行して HTTP サーバの設定タイプを設定します。

a. セキュリティ アプライアンスが HTTP 接続を転送する外部 HTTP プロキシ サーバの IP アドレスを指定します。[Select] をクリックすると、ネットワーク ホスト オブジェクトのリストから選択できます。

b. HTTP 要求を受信するポートを指定します。デフォルトのポートは 80 です。[Select] をクリックすると、[Port List Selector] ダイアログボックスから選択できます。

c. [Exception Address List] フィールドで、HTTP プロキシ サーバに送信できないようにする 1 つの URL を入力するか、または複数の URL のカンマ区切りリストを入力します。[Select] をクリックすると [URL List Selector] が開き、そこで、URL リスト オブジェクトのリストから選択できます。詳細については、「ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定」を参照してください。

d. 基本的なプロキシ認証を提供するために各 HTTP プロキシ要求と一緒に送信するユーザ名、およびパスワードを指定します。

e. 各 HTTP 要求とともにプロキシ サーバに送信されるパスワードを入力します。確認のためにパスワードを再入力します。

ステップ 5 プロキシ サーバのタイプとして [HTTPS Proxy] を選択した場合は、次の手順を実行して HTTPS サーバの設定タイプを設定します。

a. セキュリティ アプライアンスが HTTP 接続を転送する先となる外部 HTTPS プロキシ サーバの IP アドレスを指定します。[Select] をクリックすると、ネットワーク ホスト オブジェクトのリストから選択できます。

b. HTTPS 要求を受信するポートを指定します。デフォルトのポートは 443 です。[Select] をクリックすると、[Port List Selector] ダイアログボックスから選択できます。

c. [Exception Address List] フィールドで、HTTPS プロキシ サーバに送信できないようにする 1 つの URL を入力するか、または複数の URL のカンマ区切りリストを入力します。[Select] をクリックすると [URL List Selector] が開き、そこで、URL リスト オブジェクトのリストから選択できます。詳細については、「ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定」を参照してください。

d. 基本的なプロキシ認証を提供するために各 HTTPS プロキシ要求と一緒に送信するユーザ名、およびパスワードを指定します。

e. 各 HTTPS 要求とともにプロキシ サーバに送信されるパスワードを入力します。確認のためにパスワードを再入力します。

ステップ 6 プロキシ サーバのタイプとして [Proxy Auto-Configuration File] を選択した場合は、[Specify PAC file URL] オプションを選択して、ブラウザにダウンロードする PAC ファイルを指定します。ダウンロードが完了すると、PAC ファイルは JavaScript 機能を使用して各 URL のプロキシを識別します。

ステップ 7 [Proxy Bypass] テーブルで、[Create] をクリックするか、またはテーブル内の規則を選択して [Edit] をクリックします。

[Add/Edit Proxy Bypass] ダイアログボックスが開きます。このダイアログボックスの要素の詳細については、表 23-70を参照してください。

ステップ 8 プロキシ バイパス用のセキュリティ アプライアンスのインターフェイスの名前を指定します。[Select] をクリックすると、インターフェイス オブジェクトおよびインターフェイス ロール オブジェクトのリストから選択できます。

ステップ 9 必要な [Bypass Traffic] オプションを次から選択します。

[On Port]:プロキシ バイパスに使用するポート番号を指定します。有効なポート番号は、20000 ~ 21000 です。[Select] をクリックすると [Port List Selector] ダイアログボックスが開き、そこから選択を行うことができます。

[Match Specifying Pattern]:プロキシ バイパスに一致する URL パスを指定します。

ステップ 10 [URL] フィールドで、[http] または [https] プロトコルを選択し、プロキシ バイパスを適用する URL を入力します。

ステップ 11 [Rewrite XML] チェックボックスをオンにして、セキュリティ アプライアンスでバイパスされる XML サイトおよびアプリケーションを書き換えます。

ステップ 12 [Rewrite Hostname] チェックボックスをオンにして、絶対外部リンクを書き換えます。


) セキュリティ アプライアンスには、コンテンツ書き換えを実行しない、XML リンクを書き換える、または XML とリンクの組み合わせを書き換えるという設定があります。


ステップ 13 [OK] をクリックします。


 

プラグインについて

ブラウザ プラグインは、Web ブラウザによって呼び出される独立したプログラムで、ブラウザ ウィンドウ内でクライアントをサーバに接続するなどの専用の機能を実行します。セキュリティ アプライアンスを使用すると、クライアントレス SSL VPN セッション中に、リモート ブラウザにダウンロードするプラグインをインポートできます。通常、シスコでは再配布するプラグインのテストを行っており、再配布できないプラグインの接続性をテストする場合もあります。ただし、現時点では、ストリーミング メディアをサポートするプラグインのインポートは推奨しません。


) シスコでは、GNU General Public License(GPL; 一般公的使用許諾)に従い、変更を加えることなくプラグインを再配布しています。GPL により、これらのプラグインを直接改良できません。


フラッシュ デバイスにプラグインをインストールすると、セキュリティ アプライアンスにより次のことが実行されます。

(Cisco 配布のプラグイン限定)URL で指定された jar ファイルのアンパック

セキュリティ アプライアンス ファイル システム上の csco-config/97/plugin ディレクトリへのファイルの書き込み

将来のすべてのクライアントレス SSL VPN セッションに対するプラグインのイネーブル化、およびメイン メニュー オプションの追加とポータル ページの [Address] フィールドの隣にあるドロップダウン メニューへのオプションの追加

クライアントレス SSL VPN セッションのユーザがポータル ページで関連するメニュー オプションをクリックすると、ポータル ページにインターフェイスへのウィンドウが開き、ヘルプ ペインが表示されます。ドロップダウン メニューに表示されたプロトコルをユーザが選択して [Address] フィールドに URL を入力すると、接続を確立できます。


) Java プラグインの中には、宛先サービスへのセッションが設定されていない場合でも、接続済みまたはオンラインのステータスをレポートするプラグインもあります。オープン ソースのプラグインはステータスをレポートしますが、セキュリティ アプライアンスはステータスをレポートしません。


プラグインの要件および制約事項

プラグインへのリモート アクセスを提供するには、セキュリティ アプライアンスでクライアントレス SSL VPN がイネーブルになっている必要があります。リモートで使用するために必要な最低限のアクセス権は、ゲスト特権モードに属しています。リモート コンピュータ上に必要な Java のバージョンは、プラグインによって自動的にインストールまたは更新されます。ステートフル フェールオーバーが発生すると、プラグインを使用して確立されたセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

プラグインをインストールする前に、セキュリティ アプライアンスで次の準備を行います。

セキュリティ アプライアンスのインターフェイスでクライアントレス SSL VPN(「webvpn」)がイネーブルであることを確認します。確認するには、 show running-config コマンドを入力します。

リモート ユーザが Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用して接続するセキュリティ アプライアンス インターフェイスに、SSL 証明書をインストールします。


) SSL 証明書の Common Name(CN; 共通名)として IP アドレスを指定しないでください。リモート ユーザは、FQDN を使用してセキュリティ アプライアンスとの通信を試みます。リモート PC は、DNS または System32¥drivers¥etc¥hosts ファイル内のエントリを使用して、FQDN を解決できる必要があります。


[SSL VPN Global Settings] ページの [Plug-in] タブで、クライアントレス SSL VPN ブラウザ アクセスに現在設定されているブラウザ プラグインを表示できます。このタブから、プラグイン ファイルを作成または編集できます(次の手順を参照)。

シスコから再配布されたプラグインへのアクセスの提供

使用するコンピュータに「plugins」という名前の一時ディレクトリを作成して、セキュリティ アプライアンスと Security Manager セッションを確立します。次に、Cisco Web サイトから「plugins」ディレクトリに必要なプラグインをダウンロードします。シスコでは、Java ベースのオープン ソース コンポーネントを再配布しています。これは、クライアントレス SSL VPN セッションで Web ブラウザのプラグインとしてアクセスされるコンポーネントで、次のものがあります。

rdp-plugin.jar:Remote Desktop Protocol プラグインにより、リモート ユーザは Microsoft Terminal Services が実行されているコンピュータに接続できます。シスコでは、GNU 一般公的使用許諾に従って、変更を加えることなくこのプラグインを再配布します。再配布されるプラグインのソースがある Web サイトは http://properjavardp.sourceforge.net/ です。

ssh-plugin.jar:Secure Shell-Telnet プラグインにより、リモート ユーザはリモート コンピュータとセキュア シェル接続または Telnet 接続を確立できます。シスコでは、GNU 一般公的使用許諾に従って、変更を加えることなくこのプラグインを再配布します。再配布されるプラグインのソースがある Web サイトは http://javassh.org/ です。


) ssh-plugin.jar は、SSH プロトコルおよび Telnet プロトコルの両方をサポートします。SSH クライアントは SSH バージョン 1.0 をサポートします。


vnc-plugin.jar:Virtual Network Computing プラグインにより、リモート ユーザはモニタ、キーボード、およびマウスを使用して、リモート デスクトップ共有がオンになっているコンピュータを表示および制御できます。シスコでは、GNU 一般公的使用許諾に従って、変更を加えることなくこのプラグインを再配布します。再配布されるプラグインのソースがある Web サイトは http://www.tightvnc.com です。

関連項目

「SSL VPN サポート ファイルの概要および管理」

「その他の SSL VPN 設定の定義」

「ブラウザ プラグインの定義」

「[Plug-in] タブ」

「[Add Plug-in Entry]/[Edit Plug-in Entry] ダイアログボックス」

ブラウザ プラグインの定義

ここでは、SSL VPN のブラウザ プラグインを定義する方法を示します。

始める前に

接続プロファイル ポリシーがデバイスに設定済みであることを確認します。「接続プロファイルの設定(ASA)」を参照してください。

関連項目

「その他の SSL VPN 設定の定義」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Other Settings] ページで [Plug-in] タブをクリックします。このタブの要素の詳細については、「[Plug-in] タブ」を参照してください。

ステップ 3 [Create] をクリックするか、またはテーブル内のプラグインを選択して [Edit] をクリックします。

[Add/Edit Plug-in] ダイアログボックスが開きます。このダイアログボックスの要素の詳細については、「[Add Plug-in Entry]/[Edit Plug-in Entry] ダイアログボックス」を参照してください。

ステップ 4 [Plug-in] リストから、Security Manager サーバからデバイスにダウンロードするプラグインのタイプを選択します。使用できるプラグインのタイプの詳細については、「プラグインについて」を参照してください。

ステップ 5 [Plug-in File] フィールドで、プラグイン ファイルを識別するファイル オブジェクトの名前を入力するか、または [Select] をクリックしてオブジェクトを選択します。また、オブジェクト セレクタからファイル オブジェクトを作成することもできます。詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

ステップ 6 [OK] をクリックします。


 

SSL VPN クライアントの設定について

Cisco AnyConnect VPN クライアントは、セキュリティ アプライアンスへのセキュアな SSL 接続をリモート ユーザに提供します。このクライアントにより、ネットワーク管理者がリモート コンピュータにクライアントをインストールして設定しなくても、リモート ユーザは SSL VPN クライアントを活用できます。

事前にクライアントがインストールされていない場合、リモート ユーザは、SSL VPN 接続を受け入れるように設定されているインターフェイスの IP アドレスをブラウザに入力します。セキュリティ アプライアンスが http:// 要求を https:// にリダイレクトするように設定されている場合を除いて、ユーザは https:// <address> の形式で URL を入力する必要があります。

URL が入力されると、ブラウザはそのインターフェイスに接続し、ログイン画面を表示します。ユーザがログインおよび認証に成功し、セキュリティ アプライアンスによってそのユーザがクライアントを要求していると識別されると、リモート コンピュータのオペレーティング システムに適合するクライアントがダウンロードされます。ダウンロード後、クライアントは自分自身でインストールと設定を行い、セキュアな SSL 接続を確立します。接続の終了時には、(セキュリティ アプライアンスの設定に応じて)そのまま残るか、または自分自身をアンインストールします。

事前にクライアントがインストールされている場合、ユーザの認証時に、セキュリティ アプライアンスはクライアントのリビジョンを検査し、必要な場合はクライアントをアップグレードします。

クライアントがセキュリティ アプライアンスとの SSL VPN 接続をネゴシエートする場合は、Transport Layer Security(TLS)、および任意で Datagram Transport Layer Security(DTLS)を使用して接続します。DTLS により、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。

AnyConnect クライアントは、セキュリティ アプライアンスからダウンロードできます。または、システム管理者が手動でリモート PC にインストールできます。クライアントを手動でインストールする方法の詳細については、『 Cisco AnyConnect VPN Client Administrator Guide 』を参照してください。

セキュリティ アプライアンスは、接続を確立しているユーザのグループ ポリシーまたはユーザ名属性に基づいてクライアントをダウンロードします。自動的にクライアントをダウンロードするようにセキュリティ アプライアンスを設定できます。または、クライアントをダウンロードするかどうかをリモート ユーザに確認するように設定することもできます 後者でユーザが応答しなかった場合に、タイムアウト時間の経過後にクライアントをダウンロードするか、またはログイン ページを表示するように、セキュリティ アプライアンスを設定できます。

AnyConnect クライアント プロファイルについて

AnyConnect クライアント プロファイルは、XML ファイルに保存された一連の設定パラメータです。クライアントでは、クライアント ユーザ インターフェイスに表示される接続エントリを設定するときにこれらのパラメータを使用します。これらのパラメータ(XML タグ)には、ホスト コンピュータの名前とアドレス、および追加のクライアント機能をイネーブルにする設定が含まれています。

AnyConnect クライアント インストールには、 AnyConnectProfile.tmpl という名前のプロファイル テンプレートが含まれています。このファイルはテキスト エディタを使用して編集したり、このファイルを基にして他のプロファイル ファイルを作成したりできます。ユーザ インターフェイスからは使用できない高度なパラメータを設定することもできます。また、インストールには、 AnyConnectProfile.xsd という名前の XML スキーム ファイル一式も含まれています。

プロファイルを作成したあとは、セキュリティ アプライアンスでファイルをロードし、リモート クライアント PC にそのファイルをダウンロードするようにセキュリティ アプライアンスを設定する必要があります。キャッシュ メモリにファイルがロードされると、グループ ポリシーおよびクライアント ユーザのユーザ名属性でプロファイルを使用できます。

関連項目

「SSL VPN サポート ファイルの概要および管理」

「SSL VPN クライアント設定の定義」

「[SSL VPN Client Settings] タブ」

SSL VPN クライアント設定の定義

ここでは、セキュリティ アプライアンスで SSL VPN クライアントのイメージおよびプロファイルを定義する方法と、SSL VPN クライアントおよび Cisco Secure Desktop イメージのキャッシュ メモリを設定する方法を示します。

関連項目

「その他の SSL VPN 設定の定義」

「SSL VPN クライアントの設定について」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Other Settings] ページで [Client Settings] タブをクリックします。このタブの要素の詳細については、「[SSL VPN Client Settings] タブ」を参照してください。

ステップ 3 [AnyConnect Client Image] テーブルで、次のように新しいイメージを追加するか、または既存のイメージを編集します。

テーブルの下の [Create] をクリックするか、またはテーブル内のイメージを選択して [Edit] をクリックします。[Add AnyConnect Client Image]/[Edit AnyConnect Client Image] ダイアログボックスが表示されます。このダイアログボックスの要素の詳細については、「[Add AnyConnect Client Image][Edit AnyConnect Client Image] ダイアログボックス」を参照してください。

[AnyConnect Client Image] フィールドで、AnyConnect クライアントを識別するファイル オブジェクトの名前を入力するか、または [Select] をクリックしてオブジェクトを選択します。また、オブジェクト セレクタからファイル オブジェクトを作成することもできます。詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

セキュリティ アプライアンスがクライアント イメージをリモート PC にダウンロードする順序を入力します。テーブルの一番上にあるイメージを最初にダウンロードします。そのため、最も一般的なオペレーティング システムで使用されるイメージに、より小さい値を入力する必要があります。

[OK] をクリックして変更を保存します。

ステップ 4 [AnyConnect Client Profile] テーブルで、次のように新しいプロファイルを作成するか、または既存のプロファイルのパスを編集できます。

テーブルの下の [Create] をクリックするか、またはテーブル内のプロファイルを選択して [Edit] をクリックします。[Add/Edit AnyConnect Client Profile] ダイアログボックスが表示されます。このダイアログボックスの要素の詳細については、「[Add AnyConnect Client Profile][Edit AnyConnect Client Profile] ダイアログボックス」を参照してください。

クライアント プロファイルの名前を入力します。

[AnyConnect Client Profile] フィールドで、AnyConnect クライアント プロファイルを識別するファイル オブジェクトの名前を入力するか、または [Select] をクリックしてオブジェクトを選択します。また、オブジェクト セレクタからファイル オブジェクトを作成することもできます。

[OK] をクリックして変更を保存します。

ステップ 5 [Maximum Size] フィールドで、SSL VPN クライアントおよびデバイス上の CSD イメージに割り当てられるキャッシュ メモリのサイズを指定します(MB 単位)。


 

高度な設定の定義

[Advanced] タブを使用すると、ASA デバイスにメモリ、オンスクリーン キーボード、および内部パスワード機能を設定できます。

始める前に

接続プロファイル ポリシーがデバイスに設定済みであることを確認します。「接続プロファイルの設定(ASA)」を参照してください。

関連項目

「その他の SSL VPN 設定の定義」

「[Advanced] タブ」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Other Settings] ページで [Advanced] タブをクリックします。このタブの要素の詳細については、表 23-76を参照してください。

ステップ 3 SSL VPN プロセスに割り当てるメモリ容量を指定します。デフォルトのパーセンテージは 50% です。搭載されているメモリ容量の合計は ASA モデルによって異なるため、この設定を変更する場合は、メモリ容量をパーセンテージで指定することを推奨します。


) メモリ サイズを変更した場合、新しい設定は、システムをリブートしないと有効になりません。


ステップ 4 [Enable On-Screen Keyboard] フィールドで [On All Pages] または [On Logon Page Only] を選択し、必要に応じてオンスクリーン キーボード機能をイネーブルにします。イネーブルにしない場合は、[Disabled] に設定します。

ステップ 5 内部サイトにアクセスするときに追加パスワードを要求する場合は、[Allow Users to Enter Internal Password] チェックボックスをオンにします。この機能は、内部パスワードを SSL VPN パスワードとは別のパスワードにする必要がある場合に役立ちます。たとえば、ASA への認証にはあるワンタイム パスワードを使用して、内部サイトには別のパスワードを使用できます。


 

SSL VPN 共有ライセンスについて(ASA)

多数の SSL VPN セッションに対応した共有ライセンスを購入し、ASA デバイスの 1 つを共有ライセンス サーバ、残りのデバイスをクライアントとして設定すると、必要に応じて ASA デバイスのグループ全体でセッションを共有できます。サーバ ライセンスの場合、500 単位で 500 ~ 50,000 ライセンス、1000 単位で 50,000 ~ 1,040,000 ライセンスを共有できます。


) 共有ライセンスは、AnyConnect Essentials ライセンスと同時には使用できません。


ここでは、次の内容について説明します。

「共有ライセンス クライアントとしての ASA デバイスの設定」

「共有ライセンス サーバとしての ASA デバイスの設定」

共有ライセンス クライアントとしての ASA デバイスの設定

ここでは、ASA デバイスを共有ライセンス クライアントとして設定する方法について説明します。


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Shared License] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Shared License (ASA 8.2+)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[SSL VPN Shared License] ページが表示されます(「[SSL VPN Shared License] ページ(ASA 8.2)」を参照)。

ステップ 2 デバイスのロールとして [Shared License Client] を選択します。

ステップ 3 [Shared Secret] フィールドに、共有ライセンス サーバとの通信に使用されるストリング(4 ~ 128 文字で、大文字と小文字が区別される)を入力して、確認します。

ステップ 4 [License Server] フィールドに、ライセンス サーバとして設定する ASA デバイスのホスト名を入力します。

ステップ 5 [License Server Port] フィールドに、ライセンス サーバが通信する TCP ポートの番号を入力します。

ステップ 6 クライアントのロールを選択します。

[Client Only]:選択すると、クライアントはクライアントとしてだけ機能します。この場合は、別のデバイスをバックアップ サーバとして指定する必要があります。

[Backup Server]:選択すると、クライアントはバックアップ サーバとしても機能します。この場合は、この目的に使用されるインターフェイスも指定する必要があります。


 

共有ライセンス サーバとしての ASA デバイスの設定

ここでは、ASA デバイスを共有ライセンス サーバとして設定する方法について説明します。


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Shared License] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Shared License (ASA 8.2+)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[SSL VPN Shared License] ページが表示されます(「[SSL VPN Shared License] ページ(ASA 8.2)」を参照)。

ステップ 2 デバイスのロールとして [Shared License Server] を選択します。

ステップ 3 [Shared Secret] フィールドに、共有ライセンス サーバとの通信に使用されるストリング(4 ~ 128 文字で、大文字と小文字が区別される)を入力して、確認します。

ステップ 4 [License Server] フィールドに、ライセンス サーバとして設定する ASA デバイスのホスト名を入力します。

ステップ 5 [License Server Port] フィールドに、ライセンス サーバが通信する TCP ポートの番号を入力します。

ステップ 6 [Refresh Interval] フィールドに、リフレッシュ間隔として使用される 10 ~ 300 秒の間の値を入力します。デフォルトは 30 秒です。

ステップ 7 [Interfaces] フィールドに、クライアントとの通信に使用されるインターフェイスを入力または選択します。

ステップ 8 [Configure Backup shared SSL VPN License Server] チェックボックスをオンにして、共有ライセンス サーバのバックアップ サーバを設定します。設定項目は次のとおりです。

[Backup License Server]:現在のサーバが使用できなくなった場合にバックアップ ライセンス サーバとして動作するサーバ。

[Backup Server Serial Number]:バックアップ ライセンス サーバのシリアル番号。

[HA Peer Serial Number]:(任意)フェールオーバー ペアのバックアップ サーバのシリアル番号。


 

SSL VPN ポリシーの設定(IOS)

Remote Access VPN Configuration ウィザードを使用して、基本となる SSL VPN 接続をサーバに作成したあと、必要に応じて接続を変更し、ポリシー セレクタの SSL VPN ポリシーを使用して追加のポリシーおよび機能を設定できます。


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)IOS デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [SSL VPN Policy (IOS)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[SSL VPN] ページが表示されます(「[SSL VPN Policy] ページ(IOS)」を参照)。

ステップ 2 [SSL VPN Policy] ページで [Add Row] をクリックするか、またはテーブル内の行を選択して [Edit Row] をクリックし、「[SSL VPN Context Editor] ダイアログボックス(IOS)」を開きます。

ステップ 3 ポリシーについて、少なくとも次の一般的な設定を行います。その他のフィールドの詳細については、「[General] タブ」を参照してください。

[Name, Domain]:新しいポリシーの場合は、SSL VPN の仮想設定を定義するコンテキストの名前。多数のコンテキスト設定の管理を簡素化するには、コンテキスト名をドメインまたは仮想ホスト名と同じ名前にします。

[Gateway]:インターフェイスおよびポート設定を含む、ユーザが接続するゲートウェイ デバイスを識別する SSL VPN ゲートウェイ ポリシー オブジェクト。[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

オブジェクトを選択すると、[Portal Page URL] フィールドに、ユーザが接続する URL が表示されます。

[Authentication Server Group]:ユーザの認証に使用する AAA サーバを識別する AAA サーバ グループ オブジェクトのプライオリティ付きリスト。

[User Groups]:SSL VPN ポリシーで使用されるユーザ グループ。ユーザ グループでは、SSL VPN ゲートウェイへの接続時にユーザが使用できるリソースを定義します。

ユーザ グループを追加するには、[Add Row] をクリックすると、既存のユーザ グループ ポリシー オブジェクトのリストが開き、そこからグループを選択できます。目的のグループがまだ存在していない場合は、使用可能なグループ リストの下の [Create] ボタンをクリックして作成します。ユーザ グループ オブジェクトの詳細については、「[Add User Group]/[Edit User Group] ダイアログボックス」を参照してください。

ステップ 4 [Portal Page] タブをクリックして、ログイン ページのデザインをカスタマイズします。タイトル、ロゴのグラフィック、ログイン プロンプトの上に表示されるメッセージ、およびバックグラウンドとテキストの色をカスタマイズできます。

別のグラフィックを選択する場合は、最初に Security Manager サーバにそのグラフィックをコピーする必要があります。ワークステーションのハード ドライブからはグラフィックを選択できません。

ステップ 5 [Secure Desktop] タブをクリックして、Cisco Secure Desktop(CSD)ソフトウェアを設定します。CSD ポリシーは、クライアント システムのエントリ要件を定義し、クライアント システム上のセッション アクティビティおよび削除に、単一のセキュアなロケーションを提供します。これにより、機密データは SSL VPN セッションの間だけ共有されるようになります。

CSD を使用する場合は、[Enable Cisco Secure Desktop] を選択し、[Select] をクリックして、VPN アクセスおよびホスト スキャンの制御に使用する規則が定義される Secure Desktop 設定ポリシー オブジェクトを選択します。選択リストから新しいオブジェクトを作成できます。これらのオブジェクトの設定の詳細については、「Cisco Secure Desktop 設定オブジェクトの作成」を参照してください。


) 設定を機能させるには、デバイスに Secure Desktop Client ソフトウェアをインストールしてアクティブ化する必要があります。


ステップ 6 [Advanced] タブをクリックし、コンテキストの最大同時ユーザ数を設定するか、VRF を使用している場合は、SSL VPN コンテキストに関連付けられた VRF インスタンスの名前を設定します。

ステップ 7 [OK] をクリックして変更を保存します。


 

Cisco Secure Desktop 設定オブジェクトの作成

Cisco Secure Desktop (CSD) 設定オブジェクトでは、IOS デバイスの SSL VPN ポリシーで Secure Desktop をイネーブルにする場合に使用する設定を定義します(「SSL VPN ポリシーの設定(IOS)」を参照)。ASA デバイスの場合、この機能は Dynamic Access ポリシーの一部として設定されます(「ダイナミック アクセス ポリシーについて」および「ASA デバイスでの Cisco Secure Desktop ポリシーの設定」を参照)。

Cisco Secure Desktop(CSD)は、クライアント システム上のセッション アクティビティおよび削除に、単一のセキュアなロケーションを提供することによって、機密データのすべてのトレースを確実に除去する方法を提供します。CSD では、機密データが SSL VPN セッションの間だけ共有されるセッションベースのインターフェイスを使用できます。すべてのセッション情報が暗号化され、セッションが終了したときに(たとえ接続が突然終了した場合でも)、セッション データのすべてのトレースがリモート クライアントから削除されます。

Windows ロケーションについて

Windows ロケーションを使用すると、クライアントとバーチャル プライベート ネットワークとの接続方法を判断して適宜に保護できます。たとえば、NAT デバイスの背後にある 10.x.x.x ネットワークの職場 LAN 内から接続しているクライアントが、機密情報を公開するリスクはほとんどないと考えられます。これらのクライアントについては、10.x.x.x ネットワークの IP アドレスで指定される Work という名前の CSD Windows ロケーションを設定して、このロケーションの Cache Cleaner および Secure Desktop 機能を両方ともディセーブルにします。

一方、ユーザのホーム PC は多目的で使用されるため、ウイルスに対するリスクが高いと見なされます。これらのクライアントについては、会社から提供される証明書で指定された Home という名前のロケーションを設定し、従業員はホーム PC にこの証明書をインストールします。このロケーションでネットワークにフル アクセスするには、アンチウイルス ソフトウェア、およびサポートされている特定のオペレーティング システムがインストールされている必要がある場合があります。

または、インターネット カフェなどの信頼できないロケーションの場合は、一致基準を持たない「Insecure」という名前のロケーションを設定します(したがって、他のロケーションに一致しないクライアントのデフォルトとなる)。このロケーションではすべての Secure Desktop 機能が必要で、不正なユーザによるアクセスを防止するためにタイムアウト期間が短く設定される場合があります。ロケーションを作成して基準を指定しない場合は、そのロケーションが [Locations] リストの最後のエントリであることを確認してください。

関連項目

SDM を使用した IOS 上の Cisco Secure Desktop 設定例 http://www.cisco.com/en/US/products/ps6496/products_configuration_example09186a008072aa7b.shtml

Microsoft Windows クライアント用の CSD の設定 http://www.cisco.com/en/US/docs/security/csd/csd311/csd_for_vpn3k_cat6k/configuration/guide/CSDwin.html

「ポリシー オブジェクトの作成」


ステップ 1 [Tools] > [Policy Object Manager] を選択して、[Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。

ステップ 2 オブジェクト タイプ セレクタから [Cisco Secure Desktop Configuration] を選択します。

ステップ 3 作業領域を右クリックして [New Object] を選択し、「[Add Secure Desktop Configuration]/[Edit Secure Desktop Configuration] ダイアログボックス」を開きます。

ステップ 4 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 5 [Windows Location Settings] を選択して、(Work、Home、または Insecure などの)ロケーションを作成し、CSD のロケーションベース設定(アダプティブ ポリシーとも呼ばれる)を定義します。

a. 設定するロケーションごとに [Location to Add] フィールドに名前を入力し、[Add] をクリックして [Locations] フィールドにその名前を移動します。[Move Up] ボタンおよび [Move Down] ボタンを使用すると、ロケーションの順序を並べ替えることができます。ユーザが接続すると、これらのロケーションが順番に評価され、最初に一致したロケーションがそのユーザのポリシー定義に使用されます。

ロケーションを追加すると、そのロケーション用のフォルダがコンテンツ テーブルに追加されます。フォルダおよびそのサブフォルダでは、ロケーションのポリシーを定義します。

b. Secure Desktop のインストール後に、開いているブラウザ ウィンドウをすべて閉じる場合は、該当するチェックボックスがオンになっていることを確認します。

c. インストールまたはロケーション照合が失敗した場合に Web ブラウジング、ファイル アクセス、ポート転送、およびフル トンネリングをイネーブルにする VPN Feature ポリシーを設定するには、必要なチェックボックスをオンにします。

ステップ 6 追加した Windows ロケーションのフォルダおよびサブフォルダを選択し、その設定を行います。これらの設定の詳細については、『 Setting Up CSD for Microsoft Windows Clients 』( http://www.cisco.com/en/US/docs/security/csd/csd311/csd_for_vpn3k_cat6k/configuration/guide/CSDwin.html )を参照してください。

ステップ 7 [Windows CE] を選択して、Microsoft Windows CE が動作しているリモート クライアントの Web ブラウジングおよびリモート サーバ ファイル アクセスをイネーブル化または制限するように、VPN 機能ポリシーを設定します。

ステップ 8 [Mac and Linux Cache Cleaner] を選択して、Web ブラウジング、リモート サーバ ファイル アクセス、およびポート転送のイネーブル化または制限など、これらのクライアントの Cache Cleaner および VPN Feature ポリシーを設定します。

ステップ 9 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 10 [OK] をクリックしてオブジェクトを保存します。


 

クライアントレス SSL VPN ポータルのカスタマイズ

ブラウザベースのクライアントレス SSL VPN のポータル ページに使用する Web サイトとそのコンテンツは、カスタマイズできます。ASA デバイスでは、IOS デバイスよりもさまざまなカスタマイゼーションが可能です。ユーザが VPN にログインしたとき、または VPN からログアウトしたときに表示される Web ページの外観、ポータルのホームページ、およびユーザが使用可能なブックマークとスマート トンネルを定義する、さまざまなポリシー オブジェクトを作成できます。

ここでは、次の内容について説明します。

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

「ASA デバイスの SSL VPN Web ページのローカライズ」

「ASA デバイスの独自 SSL VPN ログイン ページの作成」

「ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定」

「SSL VPN ブックマークでの Post URL 方式およびマクロ置換の使用」

「ASA デバイスの SSL VPN スマート トンネルの設定」

「WINS/NetBIOS Name Service(NBNS)サーバの設定による SSL VPN でのファイル システム アクセスのイネーブル化」

SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定

SSL VPN カスタマイゼーション オブジェクトは、ユーザに表示される、ブラウザベースのクライアントレス SSL VPN Web ページの外観を記述します。これには、ユーザが ASA セキュリティ アプライアンスに接続したときに表示されるログイン ページ、認証後に表示されるホームページ、およびユーザが SSL VPN サービスからログアウトしたときに表示されるログアウト ページが含まれます。

SSL VPN カスタマイゼーション オブジェクトは、ASA デバイスに ASA グループ オブジェクトまたは Remote Access VPN Connection ポリシーを定義する場合に使用します。それぞれのユーザ グループに対して、そのグループ専用に設計された Web ページが表示されるように、いくつかのカスタマイゼーション オブジェクトを作成し、複数の ASA グループまたは接続プロファイルを定義できます。カスタマイゼーションには、各グループに適した言語で Web ページをローカライズすることも含まれています。ローカリゼーションの詳細については、「ASA デバイスの SSL VPN Web ページのローカライズ」を参照してください。

まず、ユーザが初めて接続するとき、接続プロファイルで識別されたデフォルトのカスタマイゼーション オブジェクトによって、ログイン画面の表示方法が決定されます。ユーザがログイン ページの接続プロファイル リストとは異なるグループを選択した場合、そのグループに独自のカスタマイゼーションが設定されていれば、選択したグループのカスタマイゼーション オブジェクトを反映するように画面が変更されます。リモート ユーザが認証されると、グループ ポリシーに割り当てられているカスタマイゼーション オブジェクトによって、画面の外観が決定されます。

この手順で説明した SSL VPN カスタマイゼーション オブジェクトを作成したあとは、このオブジェクトを使用して、次のポリシーのポータル特性を指定できます。

ASA グループ ポリシー オブジェクトの [SSL VPN] > [Settings] ページで(「ASA グループ ポリシーの SSL VPN 設定」を参照)、次のポリシーのいずれかを選択します。

[Remote Access VPN] > [Group Policies]

[Remote Access VPN] > [Connection Profiles] の [General] タブ

[Remote Access VPN] > [Connection Profiles] ポリシーで、[SSL] タブの SSL VPN カスタマイゼーション オブジェクトを指定することもできます(「[SSL] タブ([Connection Profiles])」を参照)。

関連項目

「ASA デバイスの SSL VPN Web ページのローカライズ」

「ポリシー オブジェクトの作成」

「[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス」


ステップ 1 [Tools] > [Policy Object Manager] を選択して、[Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。


ヒント SSL VPN カスタマイゼーション オブジェクトは、このオブジェクト タイプを使用するポリシーまたはオブジェクトを定義するときに作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。


ステップ 2 オブジェクト タイプ セレクタから [SSL VPN Customization] を選択します。[SSL VPN Customization] ページが開き、既存の SSL VPN カスタマイゼーション オブジェクトのリストが表示されます。

ステップ 3 作業領域を右クリックし、[New Object] を選択します。

[Add SSL VPN Customization] ダイアログボックスが表示されます(「[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス」を参照)。

ステップ 4 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 5 さまざまなページの設定を行う前に、[Preview] ボタンを使用してデフォルト設定を表示します。[Preview] をクリックするとブラウザ ウィンドウが開き、ログイン ページ、ポータル ページ、またはログアウト ページのうち、コンテンツ テーブルで選択されたいずれかのページの現在の設定が表示されます(これらのフォルダのいずれかでページを選択することは、親フォルダを選択することと同じです)。


ヒント 希望したとおりに変更されているかを確認するには、設定を変更したあとに [Preview] をクリックします。


ステップ 6 ログイン ページの設定を行います。この Web ページは、ユーザが SSL VPN ポータルに接続したときに最初に表示されるページです。VPN へのログインに使用されます。ダイアログボックスの左側のコンテンツ テーブルで、[Logon Page] フォルダから次の項目を選択し、設定を表示および変更します。

[Logon Page]:Web ページのタイトルを指定します。タイトルは、ブラウザのタイトル バーに表示されます。

[Title Panel]:ログイン ページで、Web ページ内にタイトルを表示するかどうかを指定します。タイトル パネルをイネーブルにすると、使用するタイトル、フォント、フォント サイズとフォントの太さ、スタイル、および色を指定できます。ロゴのグラフィックを識別するファイル オブジェクトを選択することもできます。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Title Panel]」を参照してください。

[Language]:ASA デバイスで他言語への変換テーブルを設定し、そのテーブルを使用する場合は、サポートされる言語を設定して、ユーザが自分の言語を選択するようにできます。変換テーブルおよびローカリゼーション サポートの詳細については、「ASA デバイスの SSL VPN Web ページのローカライズ」を参照してください。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Language]」を参照してください。

[Logon Form]:ユーザ ログイン情報を入力するフォームで使用されるラベルおよび色を設定します。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Logon Form]」を参照してください。

[Informational Panel]:ユーザに追加情報を表示する場合は、情報パネルをイネーブルにして、テキストおよびロゴのグラフィックを追加できます。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Informational Panel]」を参照してください。

[Copyright Panel]:ログイン ページに著作権情報を表示する場合は、著作権パネルをイネーブルにして、著作権ステートメントを入力できます。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Copyright Panel]」を参照してください。

[Full Customization]:セキュリティ アプライアンスの組み込みログイン ページを使用しない(カスタマイズもしない)場合は、代わりにフル カスタマイズをイネーブルにして独自の Web ページを指定できます。必要なファイルの作成の詳細については、「ASA デバイスの独自 SSL VPN ログイン ページの作成」を参照してください。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Full Customization]」を参照してください。

ステップ 7 ポータル ページの設定を行います。ポータル ページは SSL VPN ポータルのホームページで、ユーザがログインしたあとに表示されます。ダイアログボックスの左側のコンテンツ テーブルで、[Portal Page] フォルダから次の項目を選択し、設定を表示および変更します。

[Portal Page]:Web ページのタイトルを指定します。タイトルは、ブラウザのタイトル バーに表示されます。

[Title Panel]:ポータル ページで、Web ページ内にタイトルを表示するかどうかを指定します。タイトル パネルをイネーブルにすると、使用するタイトル、フォント、フォント サイズとフォントの太さ、スタイル、および色を指定できます。ロゴのグラフィックを識別するファイル オブジェクトを選択することもできます。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Title Panel]」を参照してください。

[Toolbar]:ポータル ページに、ブラウズ対象の URL を入力するフィールドのあるツールバーを表示するかどうかを指定します。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Toolbar]」を参照してください。

[Applications]:ページに表示されるアプリケーションのボタンを指定します。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Applications]」を参照してください。

[Custom Panes]:ポータル ページの本文を整理する方法を指定します。デフォルトは、内部ペインのない 1 カラム型のページです。複数カラム レイアウトの作成、テキストまたは URL への参照を表示する内部ペインの作成、およびペインを配置するカラムと行の指定ができます。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Custom Panes]」を参照してください。

[Home Page]:ホームページに URL リストを表示するかどうかとその表示方法、およびポータル ページの本文に独自の Web ページを使用するかどうかを指定します。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Home Page]」を参照してください。

ステップ 8 [Logout Page] を選択して、ユーザが SSL VPN からログアウトするときに表示されるページの設定を行います。タイトル、メッセージ テキスト、フォント、および色を設定できます。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Logout Page]」を参照してください。

ステップ 9 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 10 (任意)[Allow Value Override per Device] を選択して、このオブジェクトのプロパティを個々のデバイスで再定義できるようにします。「ポリシー オブジェクトの上書きの許可」を参照してください。

ステップ 11 [OK] をクリックしてオブジェクトを保存します。


 

ASA デバイスの SSL VPN Web ページのローカライズ

ローカリゼーションとは、ターゲット ユーザに適した言語のテキストを指定するプロセスです。ASA デバイスでホストされる、ブラウザベースのクライアントレス SSL VPN Web ページの外観を定義するための SSL VPN カスタマイゼーション オブジェクトを作成するときに、目的の言語を使用するページを設定できます。

ローカライズされた Web ページを正しく表示するには、ユーザは UTF-8 エンコードを使用するようにブラウザを設定する必要があります(たとえば、Internet Explorer では [View] > [Encoding] > [Unicode (UTF-8)] を選択します)。また、[Regional and Language Options] コントロール パネルを使用して、言語に必要なフォントまたは言語サポート ファイルをインストールする必要もあります。[Languages] タブで、[Details] をクリックして必要な言語をインストールし、東アジア言語、文字体系の複雑な言語、および右から左に記述する言語の適切な補助言語設定を選択します。[Advanced] タブで、適切なコード ページ変換テーブルを選択します。ユーザがブラウザを正しく設定しなかった場合は、文字ではなく四角形が表示されることがあります。

ASA デバイスでホストされる SSL VPN Web ページは、2 つの方法でのローカライズできます。これらの方法は互いに排他的ではなく、両方を使用できます。その方法は次のとおりです。

必要な言語を使用して SSL VPN カスタマイゼーション オブジェクトを設定 :SSL VPN カスタマイゼーション オブジェクトを作成すると、UTF-8 エンコードで英語以外、ASCII 文字以外の言語のラベルおよびメッセージのテキストを入力できます。ASCII 文字以外の言語を UTF-8 エンコードで入力するには、適切なロケール設定で Windows を設定し、必要なフォントをインストールしておく必要があります。システムを設定して、文字体系の複雑な言語または東アジア言語に必要なファイルをインストールするには、[Regional and Language Options] コントロール パネルを使用します。テキストを直接入力する場合は、適切なキーボードもインストールする必要があります。キーボードをインストールしない場合は、その言語の文字をサポートするテキスト エディタを使用すれば、使用するテキストが含まれるドキュメントからそのテキストをコピー アンド ペーストできます。

SSL VPN ブックマーク オブジェクトに、ASCII 文字以外の言語を入力することもできます。

使用可能にする言語をサポートする ASA デバイスに変換テーブルを設定 :ユーザに表示されるポータルおよび画面の言語変換をセキュリティ アプライアンスが提供できるようにするには、必要な言語を変換テーブルに定義して、セキュリティ アプライアンスにそのテーブルをインポートする必要があります。セキュリティ アプライアンスのソフトウェア イメージ パッケージには、変換テーブルのテンプレートが含まれています。SSL VPN カスタマイゼーション オブジェクトに表示されるすべての言語では、対応する変換テーブルがデバイスに設定されている必要があります。逆に、SSL VPN カスタマイゼーション オブジェクトに表示されていない言語の変換テーブルは無視されます。

この方法を使用する場合は、ASA CLI または ASDM を使用して、変換テーブルを設定およびアップロードする必要があります。Security Manager では変換テーブルを管理できません。ただし、SSL VPN カスタマイゼーション オブジェクトの設定を使用すると、ブラウザ言語を自動的に設定し、ユーザによる適切な言語の選択をイネーブルにできます。したがって、10 言語の変換テーブルをインストールした場合は、そのすべての言語のユーザが、SSL VPN カスタマイゼーション オブジェクトに定義されたページを使用できます。これらの設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Language]」を参照してください。

次のどちらの機能にも変換テーブルが必要ですが、これらは独立した相補的な機能です。

ブラウザ言語の自動選択 :ブラウザ言語の自動選択では、ユーザのブラウザ設定に基づく適切な言語の選択が試行されます。この方法ではユーザ入力が要求されません。SSL VPN カスタマイゼーション オブジェクトでは、ブラウザとのネゴシエーションに使用される言語のリストを作成します。接続時には、セキュリティ アプライアンスがブラウザから言語のリスト(およびそのプライオリティ)を受信し、一致する言語が検出されるまで言語のリストを上から下までもれなく調べます。一致する言語がなかった場合は、リストに定義された言語がデフォルト言語として使用されます。デフォルト言語が指定されていない場合は英語が使用されます。

セキュリティ アプライアンス上の言語は、変換テーブルのラベルとなります。この言語はブラウザの言語を反映する必要があり、(アルファベット文字で始まる)最大 8 文字の英数字をハイフンで区切ったグループで構成されます。たとえば、fr-FR-paris-univ8 などとなります。ただし、Security Manager のリストに言語を追加するときに使用できるのは、先頭の 2 文字だけです。

一致を検索するとき、セキュリティ アプライアンスは最も長い言語名から開始し、一致しない場合は名前の右端のグループを廃棄します。たとえば、ブラウザの優先言語が fr-FR-paris-univ8 で、セキュリティ アプライアンスが fr-FR-paris-univ8、fr-FR-paris、fr-FR、および fr をサポートする場合は、fr-FR-paris-univ8 が一致するので、この変換テーブルの変換ストリングが使用されます。セキュリティ アプライアンス上の言語が fr だけの場合、セキュリティ アプライアンスはこの言語も一致する言語と見なし、その変換テーブルを使用します。

変換テーブルの設定の詳細については、ASA デバイスおよびオペレーティング システムのユーザ マニュアル、または ASDM オンライン ヘルプを参照してください。

言語セレクタ :言語セレクタをイネーブルにすると、サポートする言語のリストから必要な言語をアクティブに選択する機能をユーザに提供します。この方法は、正しく設定されているブラウザ言語設定に依存しません。言語セレクタはログイン ページに表示されます。

関連項目

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

「ポリシー オブジェクトの作成」

「[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス」

ASA デバイスの独自 SSL VPN ログイン ページの作成

ブラウザベースのクライアントレス SSL VPN には、セキュリティ アプライアンスから提供されるページを使用するのではなく、独自のカスタム SSL VPN ログイン ページを作成できます。これはフル カスタマイゼーションと呼ばれ、SSL VPN カスタマイゼーション ポリシー オブジェクトでの設定を置き換えます。

独自のログイン ページを表示するには、ページを作成し、作成したページを Security Manager サーバにコピーして、[SSL VPN Customization object] ダイアログボックスの [Full Customization] ページでこのページを指定する必要があります。SSL VPN カスタマイゼーション オブジェクトの作成の詳細については、「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」を参照してください。

フル カスタマイゼーションをイネーブルにすると、ポリシー オブジェクトに設定された、ログイン ページの他のすべての設定が無視されます。ASA デバイスに設定を展開すると、Security Manager によってカスタム ページがデバイスにコピーされます。

作成するログイン ページには、ページを正しく表示するために必要なすべての HTML コード、およびログイン フォームと [Language Selector] ドロップダウン リストの機能を提供するシスコ独自の HTML コードが含まれている必要があります。HTML ファイルを作成する場合は、次の点を考慮してください。

ファイル拡張子は .inc とする。

カスタム ログイン ページのすべてのイメージを、セキュリティ アプライアンスに配置する必要がある。ファイル パスをキーワード /+CSCOU+/ で置き換える。これは、ASA デバイスの内部ディレクトリです。イメージをデバイスにアップロードすると、そのイメージはこのディレクトリに保存されます。

csco_ShowLoginForm('lform') JavaScript 関数を使用して、ログイン フォームをページに追加する。このフォームによって、ユーザ名、パスワード、およびグループ情報の入力が要求されます。この関数をページのいずれかの場所に記述しておく必要があります。

JavaScript 関数 csco_ShowLanguageSelector('selector') を使用して、[Language Selector] ドロップダウン リストをページに追加する。複数言語の使用をサポートしない場合、この関数を使用する必要はありません。

関連項目

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

「[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス」

「[SSL VPN Customization] ダイアログボックス - [Full Customization]」

ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定

ブラウザベースのクライアントレス SSL VPN を設定する場合は、SSL VPN ポータル ページに追加するブックマークまたは URL のリストを定義できます。ブックマーク リストを定義するには、SSL VPN ブックマーク ポリシー オブジェクトを使用します。

IOS デバイスまたは ASA デバイスでホストされる SSL VPN に対する SSL VPN ブックマーク オブジェクトを作成できます。ただし、作成できるブックマーク設定はデバイス タイプによって異なり、ASA デバイスの方が IOS デバイスより多くの設定オプションを設定できます。設定できるオプションが多いほか、ASA デバイスには英語以外、ASCII 文字以外の言語のブックマークも作成できます。ASA デバイスのブックマークおよびポータルのローカライズの詳細については、「ASA デバイスの SSL VPN Web ページのローカライズ」を参照してください。

この手順に従って SSL VPN ブックマーク オブジェクトを作成したあと、このオブジェクトを使用して、次のポリシーの [Portal Web Pages] フィールドまたは [Bookmarks] フィールドでブックマーク オブジェクトを指定できます。

ASA デバイス:ASA グループ ポリシー オブジェクトの [SSL VPN] > [Clientless] ページで(「ASA グループ ポリシーの SSL VPN クライアントレス設定」を参照)、次のポリシーのいずれかを選択します。

[Remote Access VPN] > [Group Policies]

[Remote Access VPN] > [Connection Profiles] の [General] タブ

ASA デバイス:[Remote Access VPN] > [Dynamic Access] ポリシーの [Main] > [Bookmarks] タブで、SSL VPN ブックマーク オブジェクトを指定できます(「[Main] タブ」を参照)。

IOS デバイス:SSL VPN 用に設定されるユーザ グループ ポリシー オブジェクトの [Clientless] ページ(「[User Group] ダイアログボックス - クライアントレス設定」を参照)。次に、このオブジェクトを [Remote Access VPN] > [SSL VPN] ポリシーの [General] タブで選択します。

関連項目

「グループ ポリシーの作成(ASA)」

「ダイナミック アクセス ポリシーの設定」

「接続プロファイルについて(ASA)」

「SSL VPN ポリシーの設定(IOS)」

「ポリシー オブジェクトの作成」

「[Policy Object Manager] ウィンドウ」


ステップ 1 [Tools] > [Policy Object Manager] を選択して、[Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。


ヒント SSL VPN ブックマーク オブジェクトは、このオブジェクト タイプを使用するポリシーまたはオブジェクトを定義するときに作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。


ステップ 2 オブジェクト タイプ セレクタから [SSL VPN Bookmarks] を選択します。[SSL VPN Bookmarks] ページが開き、既存の SSL VPN ブックマーク オブジェクトのリストが表示されます。

ステップ 3 作業領域内で右クリックし、[New Object] を選択します。

[Add SSL VPN Bookmark] ダイアログボックスが表示されます(「[Add Bookmarks]/[Edit Bookmarks] ダイアログボックス」を参照)。

ステップ 4 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 5 IOS デバイスでホストされる SSL VPN に対するオブジェクトを作成する場合は、ブックマーク リストの上に表示される見出しの名前を [Bookmarks Heading (IOS)] フィールドで入力できます。

ステップ 6 Bookmarks テーブルに、オブジェクトに定義されたすべての URL が表示されます。ブックマークを追加するには、テーブルの下にある [Add Row] ボタンをクリックします。既存のブックマークを編集するには、ブックマークを選択して [Edit Row] ボタンをクリックします。

[Add/Edit SSL VPN Bookmark Entry] ダイアログボックスが開きます。このダイアログボックスのフィールドの詳細については、「[Add Bookmark Entry]/[Edit Bookmark Entry] ダイアログボックス」を参照してください。

[Bookmark Option] フィールドで、ブックマークを定義するか([Enter Bookmark])、別の SSL VPN ブックマーク オブジェクトからブックマークを追加するか([Include Existing Bookmarks])を選択します。既存のオブジェクトを追加する場合は、オブジェクトの名前を入力するか、または [Select] をクリックして既存オブジェクトのリストからオブジェクトを選択します。

IOS デバイスで使用するオブジェクトを作成する場合は、ユーザに表示されるブックマークのタイトルと、URL を入力します。URL には正しいプロトコルを選択するように注意してください。[OK] をクリックして、ブックマークをブックマーク テーブルに追加します。

ASA デバイスで使用するオブジェクトを作成する場合は、さらに多くのオプションがあります。タイトルと URL のほか、ブックマークのサブタイトルとイメージ アイコンおよびその他のオプションを定義できます。


ヒント プロトコル RDP、SSH、Telnet、VNC、または ICA を選択する場合は、[Remote Access VPN] > [SSL VPN] > [Other Settings] ポリシーで、そのプロトコルのプラグインを設定する必要があります(「[SSL VPN Other Settings] ページ」を参照)。


Get 方式ではなく Post 方式を使用するブックマークを設定することもできます。Post を使用する場合は、[Post Parameters] テーブルの下の [Add Row] をクリックして Post パラメータを設定する必要があります。Post パラメータの詳細については、次の項を参照してください。

「SSL VPN ブックマークでの Post URL 方式およびマクロ置換の使用」

「[Add Post Parameter]/[Edit Post Parameter] ダイアログボックス」

[OK] をクリックして、ブックマークをブックマーク テーブルに追加します。

ステップ 7 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 8 (任意)[Allow Value Override per Device] を選択して、このオブジェクトのプロパティを個々のデバイスで再定義できるようにします。「ポリシー オブジェクトの上書きの許可」を参照してください。

ステップ 9 [OK] をクリックしてオブジェクトを保存します。


 

SSL VPN ブックマークでの Post URL 方式およびマクロ置換の使用

ASA デバイスでホストされる SSL VPN のブックマークを設定する場合には、URL で使用される方式として Get または Post を選択するというオプションがあります。標準の方式は Get 方式であり、この場合、ユーザが URL をクリックすると Web ページに移動します。Post 方式は、データの格納や更新、製品の注文、または電子メールの送信など、データの処理にそのデータの変更が含まれる場合に有効です。

Post URL 方式を選択する場合は、ブックマーク エントリに Post パラメータを設定する必要があります。これらは、ユーザ ID とパスワード、または他の入力パラメータを含む個人別のリソースであることが多く、クライアントレス SSL VPN マクロ置換を定義する必要がある場合があります。

クライアントレス SSL VPN マクロ置換を使用すると、ユーザ ID とパスワード、または他の入力パラメータを含む個人別のリソースにユーザがアクセスできるように設定できます。このようなリソースの例には、ブックマーク エントリ、URL リスト、およびファイル共有などがあります。


) セキュリティ上の理由から、パスワード置換はファイル アクセス URL(cifs://)に対してはディセーブルにされています。同様に、セキュリティ上の理由から、Web リンク(特に非 SSL インスタンス)にパスワード置換を導入する場合は注意が必要です。


次のマクロ置換を使用できます。

ログイン情報置換 :セキュリティ アプライアンスは、SSL VPN ログイン ページからこれらの置換のための値を取得します。ユーザ要求内のこれらのストリングを認識し、このストリングをユーザ固有の値で置き換えてから、リモート サーバに要求を渡します。

使用可能なマクロ置換は、次のとおりです。

CSCO_WEBVPN_USERNAME

SSL VPN へのログインに使用するユーザ名

CSCO_WEBVPN_PASSWORD

SSL VPN へのログインに使用するパスワード

CSCO_WEBVPN_INTERNAL_PASSWORD

SSL VPN へのログイン時に入力する内部リソース パスワード

CSCO_WEBVPN_CONNECTION_PROFILE

SSL VPN へのログイン時に選択されるユーザ グループに関連付けられた接続プロファイル

たとえば、URL リストにリンク http://someserver/homepage/CSCO_WEBVPN_USERNAME.html が含まれている場合、このリンクはセキュリティ アプライアンスによって次の一意なリンクに変換されます。

USER1 の場合、リンクは http://someserver/homepage/USER1.html になります。

USER2 の場合、リンクは http://someserver/homepage/USER2.html になります。

次の例では、cifs://server/users/CSCO_WEBVPN_USERNAME により、セキュリティ アプライアンスでファイル ドライブが特定のユーザにマップされます。

USER1 の場合、リンクは cifs://server/users/USER1 になります。

USER2 の場合、リンクは cifs://server/users/USER2 になります。

RADIUS/LDAP Vendor-Specific Attribute(VSA; ベンダー固有属性) :これらの置換を使用すると、RADIUS サーバまたは LDAP サーバのいずれかに設定された置換を設定できます。使用可能なマクロ置換は、次のとおりです。

CSCO_WEBVPN_MACRO1

CSCO_WEBVPN_MACRO2

ブックマークの設定については、「ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定」を参照してください。

ASA デバイスの SSL VPN スマート トンネルの設定

スマート トンネルは、ユーザのワークステーションで動作するアプリケーションとプライベート サイト間の接続です。この接続は、セキュリティ アプライアンスをパスおよびプロキシ サーバとして使用するクライアントレス(ブラウザベース)SSL VPN セッションを使用します。スマート トンネルではユーザのアプリケーションがローカル ポートに接続する必要がないため、ユーザに管理権限を指定することなく、フル トンネル サポートが必要な場合と同様にアプリケーションがネットワークにアクセスできます。ただし、アプリケーションへのアクセスを許可するようにネットワークを設定していない場合は、サポートするアプリケーションのスマート トンネルを作成できます。

アプリケーションへのスマート トンネル アクセスは、次の条件下で設定できます。

アプリケーションが Winsock 2 の TCP ベースのアプリケーションであり、アプリケーションにブラウザ プラグインが存在する。シスコでは、SSH(SSH セッションおよび Telnet セッション)、RDP、および VNC を含め、クライアントレス SSL VPN で使用するため、一部のアプリケーション向けにプラグインを配布しています。他のアプリケーションについては、プラグインを提供または入手する必要があります。プラグインは、[Remote Access VPN] > [SSL VPN] > [Other Settings] ポリシーの [Plug-Ins] タブで設定します。

ユーザのワークステーションで、32 ビット バージョンの Microsoft Windows Vista、Windows XP、または Windows 2000 が動作している。

スマート トンネル(またはポート転送)を使用する Microsoft Windows Vista のユーザは、ASA デバイスの URL を信頼済みサイト ゾーンに追加する必要があります。信頼済みサイト ゾーンは Internet Explorer([Tools] > [Internet Options] の [Security] タブ)で設定します。

ユーザのブラウザで Java、Microsoft ActiveX、またはその両方がイネーブルになっている。

ユーザのワークステーションがセキュリティ アプライアンスに接続するためにプロキシ サーバを必要とする場合は、接続の終端側の URL がプロキシ サービスから除外される URL のリストに含まれている。この設定では、スマート トンネルは基本認証だけをサポートします。


ヒント ステートフル フェールオーバーが発生したとき、スマート トンネル接続は保持されません。ユーザはフェールオーバー後に再接続する必要があります。


アプリケーションにスマート トンネル アクセスを設定する場合は、SSL VPN スマート トンネル リスト ポリシー オブジェクトを作成し、このオブジェクトを ASA グループ ポリシー オブジェクトに追加します。次に、[Remote Access VPN] > [Group Policies] ポリシーで、ASA グループ ポリシー オブジェクトをデバイスに割り当てます。

関連項目

「グループ ポリシーについて(ASA)」

「ポリシー オブジェクトの作成」

「[Policy Object Manager] ウィンドウ」


ステップ 1 SSL VPN スマート トンネル リスト ポリシー オブジェクトを作成します。

a. [Tools] > [Policy Object Manager] を選択して [Policy Object Manager] を開き(「[Policy Object Manager] ウィンドウ」を参照)、コンテンツ テーブルから [SSL VPN Smart Tunnel Lists] を選択します。


ヒント ASA グループ ポリシー オブジェクトを作成または編集するときに、SSL VPN スマート トンネル リスト オブジェクトを作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。


b. [Add Object] ボタンをクリックして、「[Add Smart Tunnel List]/[Edit Smart Tunnel List] ダイアログボックス」を開きます。

c. オブジェクトの名前を、最大 64 文字で入力します。

d. スマート トンネル アクセス権を付与するアプリケーションをアプリケーションのテーブルに追加します([Add Row] ボタンをクリックして「[Add A Smart Tunnel Entry]/[Edit A Smart Tunnel Entry] ダイアログボックス」を開きます)。次の点に注意してください。

わかりやすいアプリケーション名を入力し、複数のバージョンをサポートする場合はバージョン番号を含めます。たとえば、Microsoft Outlook などと入力します。

アプリケーション パスについては、outlook.exe などとファイル名だけを入力すると、オプションの保守が最も簡単で管理しやすくなります。このようにすると、ユーザは任意のフォルダにアプリケーションをインストールできます。特定のインストール構造を強制する場合は、フル パスを入力します。

ハッシュ値はオプションですが、スプーフィングの防止に使用できます。ハッシュ値が設定されていない場合、ユーザはアプリケーションの名前をサポートされているファイル名に変更できます。この場合、セキュリティ アプライアンスはファイル名とパスだけをチェックします(指定された場合)。ただし、ハッシュ値を入力すると、ユーザがパッチを適用するとき、またはアプリケーションをアップグレードするときにそのハッシュ値を保守する必要があります。ハッシュ値の決定の詳細については、「[Add A Smart Tunnel Entry]/[Edit A Smart Tunnel Entry] ダイアログボックス」を参照してください。

[OK] をクリックしてエントリを保存します。

e. 他の SSL VPN スマート リスト オブジェクトをこのオブジェクトに組み込むこともできます。このようにすると、核となるスマート リスト オブジェクト セットを作成し、他のオブジェクトで繰り返し使用できます。

f. [OK] をクリックしてオブジェクトを保存します。

ステップ 2 SSL VPN スマート トンネル リスト オブジェクトを使用するための ASA グループ ポリシー オブジェクトを設定します。

a. 「[Policy Object Manager] ウィンドウ」から、または [Remote Access VPN] > [Group Policies] ポリシーから、ASA グループ ポリシー オブジェクトを編集(または作成)します。このオブジェクトは、SSL VPN をサポートするように設定する必要があります(これらのオブジェクトは、[Remote Access VPN] > [Connection Profiles] ポリシーの個々のプロファイルから、または EasyVPN トポロジの [Connection Profiles] ポリシーから編集することもできます)。

b. コンテンツ テーブルから [SSL VPN] > [Clientless] フォルダを選択して「ASA グループ ポリシーの SSL VPN クライアントレス設定」を開きます。

c. [Smart Tunnel] フィールドに SSL VPN スマート トンネル リスト オブジェクトの名前を入力します。

d. [Auto Start Smart Tunnel] を選択して、ユーザが SSL VPN ポータルに接続したときに、アプリケーションのスマート トンネルが自動的に開始されるようにします。

このオプションを選択しない場合、ユーザはクライアントレス SSL VPN ポータル ページで [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを開始する必要があります。


 

WINS/NetBIOS Name Service(NBNS)サーバの設定による SSL VPN でのファイル システム アクセスのイネーブル化

クライアントレス SSL VPN では、WINS および Common Internet File System(CIFS)プロトコルを使用して、リモート システム上のファイル、プリンタ、および他のマシン リソースにアクセス、またはこれらを共有します。ASA デバイスまたは IOS デバイスは、プロキシ CIFS クライアントを使用して、このアクセスを透過的に提供します。このため、ユーザには(個々のファイルおよびユーザの権限に従って)ファイル システムに直接アクセスしているように見えます。

ユーザがコンピュータ名を使用して Windows コンピュータへのファイル共有接続を試みる場合、ユーザが指定するファイル サーバは、ネットワーク上のリソースを識別する特定の WINS 名に対応します。セキュリティ アプライアンスは WINS サーバまたは NetBIOS ネーム サーバにクエリーを行い、WINS 名を IP アドレスにマップします。SSL VPN は NetBIOS に再クエリーを行い、リモート システム上のファイルにアクセス、またはファイルを共有します。

これらの Microsoft のファイルおよびディレクトリ共有名の解決に使用される WINS サーバのリストを設定するには、WINS サーバ リスト ポリシー オブジェクトを使用します。WINS サーバ リスト オブジェクトでは、Common Internet File System(CIFS)の名前解決に、( nbns-list コマンドおよび nbns-server コマンドを使用して)デバイスの NetBIOS Name Service(NBNS)サーバを定義します。

WINS サーバ リスト ポリシー オブジェクトを作成したあと、次のポリシーおよびポリシー オブジェクト内で、このポリシー オブジェクトを設定できます。また、許可するファイル アクセス サービスを選択することもできます。

ASA デバイス:[Remote Access VPN] > [Connection Profiles] ポリシーで、[SSL] タブで WINS サーバ リスト オブジェクトを指定します(「[SSL] タブ([Connection Profiles])」を参照)。

ASA グループ ポリシー オブジェクトの [SSL VPN] > [Clientless] ページでファイル アクセス オプションを選択し(「ASA グループ ポリシーの SSL VPN クライアントレス設定」を参照)、次のポリシーのいずれかを選択します。

[ Remote Access VPN] > [Group Policies]

[Remote Access VPN] > [Connection Profiles] の [General] タブ

IOS デバイス:SSL VPN 用に設定されるユーザ グループ ポリシー オブジェクトの [Clientless] ページ(「[User Group] ダイアログボックス - クライアントレス設定」を参照)。次に、このオブジェクトを [Remote Access VPN] > [SSL VPN] ポリシーの [General] タブで選択します。

関連項目

「ポリシー オブジェクトの作成」


ステップ 1 [Tools] > [Policy Object Manager] を選択して、「[Policy Object Manager] ウィンドウ」を開きます。


ヒント WINS サーバ リスト オブジェクトは、このオブジェクト タイプを使用するポリシーまたはオブジェクトを定義するときに作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。


ステップ 2 オブジェクト タイプ セレクタから [WINS Server Lists] を選択します。

[WINS Server List] ページが開き、現在定義されている WINS サーバ リスト オブジェクトが表示されます。

ステップ 3 作業領域を右クリックして [New Object] を選択し、「[Add WINS Server List]/[Edit WINS Server List] ダイアログボックス」を開きます。

ステップ 4 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 5 テーブルの下にある [Add Row] ボタンをクリックするか、またはテーブル内のサーバを選択して [Edit Row] をクリックし、オブジェクトに定義された WINS サーバを設定します。設定する項目は次のとおりです。

[Server]:WINS サーバの IP アドレス。ネットワーク/ホスト オブジェクトを選択するか、またはアドレスを直接入力できます。

[Set as Master Browser]:サーバがマスター ブラウザの場合にこのオプションを選択します。マスター ブラウザは、コンピュータおよび共有リソースのリストを保持します。

他のフィールドはオプションです。デフォルト値以外の値が必要な場合は、これらのフィールドを変更してください。詳細については、「[Add WINS Server]/[Edit WINS Server] ダイアログボックス」を参照してください。

[OK] をクリックして変更を保存します。

ステップ 6 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 7 (任意)[Allow Value Override per Device] を選択して、このオブジェクトのプロパティを個々のデバイスで再定義できるようにします。「ポリシー オブジェクトの上書きの許可」を参照してください。

ステップ 8 [OK] をクリックしてオブジェクトを保存します。