Cisco Security Manager 4.0 ユーザ ガイド
リモート アクセス VPN ポリシー リファレンス
リモート アクセス VPN ポリシー リファレンス
発行日;2012/02/25 | 英語版ドキュメント(2010/06/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

リモート アクセス VPN ポリシー リファレンス

Remote Access VPN Configuration ウィザード

[Access] ページ(ASA)

[Connection Profile] ページ(ASA)

[User Groups Selector] ページ

Create User Group ウィザード

[Gateway and Context] ページ(IOS)

[Portal Page Customization] ページ

[IPSec VPN Connection Profile] ページ(ASA)

[IPSec Settings] ページ(ASA)

[User Group Policy] ページ(IOS)

[Defaults] ページ

[ASA Cluster Load Balance] ページ

[Connection Profiles] ページ

[General] タブ([Connection Profiles])

[Add Interface Specific Client Address Pools]/[Edit Interface Specific Client Address Pools] ダイアログボックス

[AAA] タブ([Connection Profiles])

[Add Interface Specific Authentication Server Groups]/[Edit Interface Specific Authentication Server Groups] ダイアログボックス

[Secondary AAA] タブ([Connection Profiles])

[IPSec] タブ([Connection Profiles])

[IPSec Client Software Update] ダイアログボックス

[SSL] タブ([Connection Profiles])

[Add Connection Alias]/[Edit Connection Alias] ダイアログボックス

[Add Connection URL]/[Edit Connection URL] ダイアログボックス

[Dynamic Access] ページ(ASA)

[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス

[Main] タブ

[Logical Operators] タブ

[Advanced Expressions] タブ

[Cisco Secure Desktop Manager Policy Editor] ダイアログボックス

[Global Settings] ページ

[ISAKMP/IPsec Settings] タブ

[NAT Settings] タブ

[General Settings] タブ

[Group Policies] ページ

[Public Key Infrastructure] ページ

リモート アクセス VPN ポリシー リファレンス

リモート アクセス VPN ポリシーの各ページを使用して、Cisco IOS セキュリティ ルータ、PIX ファイアウォール、Catalyst 6500 /7600 デバイス、および Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)デバイスでリモート アクセス VPN を設定します。

この章は、次の内容で構成されています。

「Remote Access VPN Configuration ウィザード」

「[ASA Cluster Load Balance] ページ」

「[Connection Profiles] ページ」

「[Dynamic Access] ページ(ASA)」

「[Global Settings] ページ」

「[Group Policies] ページ」

「[Public Key Infrastructure] ページ」

「[Certificate to Connection Profile Maps] > [Policies] ページ」

「[Certificate to Connection Profile Maps] > [Rules] ページ」

「[High Availability] ページ」

「[IKE Proposal] ページ」

「[IPsec Proposal] ページ」

「[User Group Policy] ページ」

「[SSL VPN Access Policy] ページ」

「[SSL VPN Other Settings] ページ」

「[SSL VPN Shared License] ページ(ASA 8.2)」

「[SSL VPN Policy] ページ(IOS)」

Remote Access VPN Configuration ウィザード

Remote Access VPN Configuration ウィザードを使用して、デバイスにポリシーを設定して、デバイスがリモート アクセス SSL または IPSec VPN サーバとして機能できるようにします。

ナビゲーション パス

(デバイス ビューだけ)目的のデバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [Configuration Wizard] を選択します。

関連項目

「Remote Access VPN Configuration ウィザードの使用」

フィールド リファレンス

 

表 23-1 Remote Access VPN Configuration ウィザード

要素
説明

[Remote Access SSL VPN]

作成するリモート アクセス VPN のタイプとして SSL を選択する場合は、このオプション ボタンを選択します。ウィザードでは、選択したデバイス タイプに応じて、適切な手順が示されます。

ASA デバイス

a. 「[Access] ページ(ASA)」

b. 「[Connection Profile] ページ(ASA)」

IOS デバイス

a. 「[Gateway and Context] ページ(IOS)」

b. 「[Portal Page Customization] ページ」

[Remote Access IPSec VPN]

作成するリモート アクセス VPN のタイプとして IPSec を選択する場合は、このオプション ボタンを選択します。ウィザードでは、選択したデバイス タイプに応じて、適切な手順が示されます。

ASA デバイス

a. 「[IPSec VPN Connection Profile] ページ(ASA)」

b. 「[IPSec Settings] ページ(ASA)」

c. 「[Defaults] ページ」

IOS デバイス

a. 「[User Group Policy] ページ」

b. 「[Defaults] ページ」

[Remote Access Configuration Wizard] ボタン

このボタンをクリックすると、設定ウィザードが開始されます。

[Access] ページ(ASA)

SSL VPN Configuration ウィザードの [Access] ページを使用して、SSL VPN セッションのセキュリティ アプライアンス インターフェイスを設定し、SSL VPN 接続プロファイルのポートを選択します。また、接続プロファイルにアクセスするための [Portal] ページに表示される URL を指定します。

ナビゲーション パス

(デバイス ビューだけ)ASA デバイスでリモート アクセス SSL VPN を設定するための「Remote Access VPN Configuration ウィザード」を開きます。最初に表示されるページが [Access] ページです。

関連項目

「Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(ASA デバイス)」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 23-2 SSL VPN ウィザード - [Access] ページ(ASA)

要素
説明

[Interfaces to Enable SSL VPN Service]

SSL VPN 接続プロファイルをイネーブルにするインターフェイス。インターフェイスを入力するか、[Select] をクリックしてリストからインターフェイス ロールを選択します。

[Port Number]

SSL VPN セッションに使用するポート番号。ポート番号を入力するか、[Select] をクリックして、ポートを定義するポート リスト オブジェクトを選択します。

HTTPS トラフィックの場合、デフォルト ポートは 443 です。ポート番号は 443 にすることも、1024 ~ 65535 の範囲で指定することもできます。ポート番号を変更すると、現在の SSL VPN 接続がすべて終了するため、現在のユーザは再接続が必要になります。

(注) HTTP ポート リダイレクションがイネーブルになっている場合、デフォルトの HTTP ポート番号は 80 です。

[Portal Page URLs]

[Portal] ページに表示される、SSL VPN 接続プロファイルにアクセスするための URL。

[Allow Users to Select Connection Profile in Portal Page]

選択すると、ユーザはログイン時に、デバイスで設定されているトンネル グループ接続プロファイルのリストからトンネル グループを選択できます。これがデフォルト設定です。

[Enable AnyConnect Access]

選択すると、ASA デバイスで AnyConnect 機能がイネーブルになります。

(注) AnyConnect Essentials をイネーブルにするには、[Remote Access VPN] > [SSL VPN] > [Access] を選択します。詳細については、「Access ポリシーの設定」を参照してください。

[Connection Profile] ページ(ASA)

SSL VPN Configuration ウィザードの [Connection Profile] ページを使用して、セキュリティ アプライアンスでトンネル グループ ポリシーを設定します。追加するトンネル接続プロファイル ポリシーの名前を選択し、ユーザ グループ ポリシーを選択できます。また、このポリシーのアドレス プールを指定し、認証サーバ グループ設定を指定できます。

ナビゲーション パス

(デバイス ビューだけ)ASA デバイスでリモート アクセス SSL VPN を設定するための「Remote Access VPN Configuration ウィザード」を開き、このページが表示されるまで [Next] をクリックします。

関連項目

「Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(ASA デバイス)」

「[ASA Group Policies] ダイアログボックス」

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

「ネットワーク/ホスト オブジェクトについて」

「AAA サーバおよびサーバ グループ オブジェクトについて」

フィールド リファレンス

 

表 23-3 [Connection Profile] ページ(ASA)

要素
説明

[Connection Profile Name]

この SSL VPN 接続プロファイルのポリシーを含むトンネル グループの名前。このトンネル グループを説明する名前を入力します。

[Group Policy]

デバイスに関連付けられているデフォルトの ASA ユーザ グループ。ASA ユーザ グループ ポリシーを入力します。または、[Select] をクリックしてリストからポリシーを選択するか、新しいポリシーを作成します。

[Full Tunnel]

ユーザ グループにフル トンネル アクセス モードが設定されているかどうかを示す読み取り専用フィールド。

[Group Policies]

SSL VPN 接続プロファイル内で使用される ASA ユーザ グループ ポリシーの名前と、それらのポリシーに対して [Full Tunnel] アクセス モードをイネーブルにするかディセーブルにするか。

[Edit] をクリックして、リストから ASA ユーザ グループ ポリシー オブジェクトを選択するか、新しいオブジェクトを作成します。

(注) ASA デバイス上の SSL VPN 接続プロファイルはすべて、1 つのグループ ポリシーを共有します。ウィザードを使用して接続プロファイルを作成するたびに、[Group Policies] リストに、デバイスで定義された以前の接続プロファイルからデータが読み込まれます。

[Portal Page Customization]

SSL VPN ネットワーク上のリモート アクセス ユーザに使用可能なポータル ページおよびリソースの外観を定義するカスタマイゼーション プロファイル。プロファイルの名前を入力します。または、[Select] をクリックしてリストからプロファイルを選択するか、新しいプロファイルを作成します。

(注) カスタマイゼーション プロファイルとトンネル グループの組み合わせを使用することで、個々のグループにそれぞれ異なるログイン ウィンドウを設定できます。たとえば、salesgui という名前のカスタマイゼーション プロファイルを作成してあるとすると、そのカスタマイゼーション プロファイルを使用する sales という名前の SSL VPN トンネル グループを作成できます。

[Connection URL]

接続プロファイルの URL。ユーザは、この URL を使用して、カスタマイズ済みのポータル ページにダイレクト アクセスできます。

リストからプロトコル([http] または [https])を選択し、URL を指定します。URL には、ASA デバイスのホスト名または IP アドレス、ポート番号、および SSL VPN 接続プロファイルの識別に使用するエイリアスを含めます。

(注) URL を指定しなかった場合は、ポータル ページ URL を入力し、デバイスに設定されている設定済みの接続プロファイル エイリアス リストから接続プロファイル エイリアスを選択することによって、ポータル ページにアクセスできます。「[Access] ページ(ASA)」を参照してください。

[Global IP Address Pool]

IP アドレスの割り当てに使用されるアドレス プール。アドレス プールの名前を入力するか、[Select] をクリックして、プールを定義するネットワーク/ホスト オブジェクトを選択します。

サーバはこれらのプールを一覧表示されている順序で使用します。最初のプールのアドレスがすべて割り当て済みの場合は、次のプールを使用するというように続きます。最大で 6 つのプールを指定できます。

[Authentication Server Group]

認証サーバ グループの名前(トンネル グループがローカル デバイスに設定されている場合は LOCAL です)。名前を入力するか、または [Select] をクリックしてサーバ グループ オブジェクトを選択するか新しいオブジェクトを作成します。

[Use LOCAL if Server Group Fails]

選択した認証サーバ グループで障害が発生した場合に、ローカルの認証データベースに切り替えるかどうか。

[Authorization Server Group]

認可サーバ グループの名前(トンネル グループがローカル デバイスに設定されている場合は LOCAL です)。名前を入力するか、または [Select] をクリックしてサーバ グループ オブジェクトを選択するか新しいオブジェクトを作成します。

[Accounting Server Group]

アカウンティング サーバ グループの名前。名前を入力するか、または [Select] をクリックしてサーバ グループ オブジェクトを選択するか新しいオブジェクトを作成します。

[User Groups Selector] ページ

このページを使用して、SSL VPN 接続で使用されるユーザ グループを選択します。

ナビゲーション パス

選択したデバイス タイプによって異なります。

(IOS デバイス)「[Gateway and Context] ページ(IOS)」から、[Group Policies] フィールド内の [Edit] をクリックします。

(ASA デバイス)「[Connection Profile] ページ(ASA)」から、[Group Policies] フィールド内の [Edit] をクリックします。

関連項目

「Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(IOS デバイス)」

「Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(ASA デバイス)」

フィールド リファレンス

 

表 23-4 [User Groups Selector] ページ

要素
説明

[Available User Groups]

選択可能な事前定義済みのユーザ グループが一覧表示されます。必要なユーザ グループを選択して、[>>] をクリックします。

目的のユーザ グループが表示されていない場合は、[Create] をクリックしてユーザ グループを作成します。「Create User Group ウィザード」を参照してください。

ユーザ グループのプロパティを変更するには、そのユーザ グループを選択して [Edit] をクリックします。

[Selected User Groups]

選択済みのユーザ グループが一覧表示されます。

リストからユーザ グループを削除するには、ユーザ グループを選択し、[<<] をクリックします。

ユーザ グループのプロパティを変更するには、そのユーザ グループを選択して [Edit] をクリックします。

をクリックします。このオプションは、IOS ルータの場合だけ使用可能です。

Create User Group ウィザード

Create User Group ウィザードを使用して、SSL VPN 接続で IOS ルータまたは ASA デバイスに設定するユーザ グループを作成します。

ナビゲーション パス

「[User Groups Selector] ページ」から、[Create] をクリックするか、リストの 1 つから項目を選択して [Edit] をクリックします。

ここでは、次の内容について説明します。

「[Name and Access Method] ページ」

「[Full Tunnel] ダイアログボックス」

「[Clientless and Thin Client Access Modes] ページ」

[Name and Access Method] ページ

Create User Group ウィザードのこの手順を使用して、ユーザ グループの名前を定義し、任意で、SSL 対応ゲートウェイ(IOS ルータ)または ASA セキュリティ アプライアンスへのアクセスに使用するリモート アクセス方式を選択します。

ナビゲーション パス

「[User Groups Selector] ページ」で、[Create] をクリックします。

関連項目

「Create User Group ウィザード」

「SSL VPN アクセスのモード」

「[Full Tunnel] ダイアログボックス」

「[Clientless and Thin Client Access Modes] ページ」

フィールド リファレンス

 

表 23-5 Create User Group ウィザード - [Name and Access Method] ページ

要素
説明

[Name]

ユーザ グループの名前。最大 128 文字を入力します。大文字、小文字、およびほとんどの英数字または記号を使用できます。

[Access Method]

目的のリモート アクセス モード オプションを次のうちから選択します。

[Full Tunnel]:完全に SSL VPN トンネルを介して企業ネットワークにアクセスします。これは推奨オプションです。

[Clientless]:クライアント マシンで Web ブラウザを使用して内部ネットワークまたは企業ネットワークにアクセスします。

[Thin Client]:クライアント マシンで TCP プロキシとして機能する Java アプレットをダウンロードします。

[Full Tunnel] ダイアログボックス


) このダイアログボックスは、Create User Group ウィザードの「[Name and Access Method] ページ」で [Full Client] オプションを選択した場合にだけ使用可能です。


このダイアログボックスでは、企業ネットワークへのアクセスに使用するモードを設定できます。

ナビゲーション パス

「Create User Group ウィザード」を開き、[Full Client] アクセス方式オプションを選択して [Next] をクリックします。

関連項目

「Create User Group ウィザード」

「SSL VPN アクセスのモード」

フィールド リファレンス

 

表 23-6 Create User Group ウィザード - [Full Tunnel] ダイアログボックス

要素
説明

[Use Other Access Modes if SSL VPN Client Download Fails]

選択すると、SVC のダウンロードが失敗した場合、リモート クライアントは [Clientless] または [Thin Client] アクセス モードを使用できます。

[Full Tunnel]

選択すると、[Full Tunnel] アクセス モードを設定できます。

(注) [Full Tunnel] アクセス モードが適切に機能するためには、SSL VPN Client(SVC)ソフトウェアがデバイスにインストールされている必要があります。SVC は、FlexConfig ポリシーを使用して管理します。詳細については、「定義済みの FlexConfig ポリシー オブジェクト」を参照してください。

[Client IP Address Pools]

(注) 選択したデバイスが IOS ルータの場合にかぎり使用できます。

クライアントがログイン時に IP アドレスを導出する IP アドレス プール。IP アドレス プールを入力します。または、[Select] をクリックしてリストからネットワーク/ホスト オブジェクトを選択するか、新しいオブジェクトを作成します。

[Primary DNS Server]

フル クライアント SSL VPN 接続に使用されるプライマリ DNS サーバの IP アドレス。IP アドレスを入力するか、または [Select] をクリックしてリストからネットワーク/ホスト オブジェクトを選択するか新しいオブジェクトを作成します。

[Secondary DNS Server]

フル クライアント SSL VPN 接続に使用されるセカンダリ DNS サーバの IP アドレス。IP アドレスを入力するか、または [Select] をクリックしてリストからネットワーク/ホスト オブジェクトを選択するか新しいオブジェクトを作成します。

[Default DNS Domain]

フル クライアント SSL VPN 接続に使用される DNS サーバのドメイン名。

[Primary WINS Server]

フル クライアント SSL VPN 接続に使用されるプライマリ WINS サーバの IP アドレス。IP アドレスを入力するか、または [Select] をクリックしてリストからネットワーク/ホスト オブジェクトを選択するか新しいオブジェクトを作成します。

[Secondary WINS Server]

フル クライアント SSL VPN 接続に使用されるセカンダリ WINS サーバの IP アドレス。IP アドレスを入力するか、または [Select] をクリックしてリストからネットワーク/ホスト オブジェクトを選択するか新しいオブジェクトを作成します。

[Split Tunnel Option]

パブリック ネットワーク内を、保護されて、または保護されずに送信されるトラフィックを指定します。

[Disabled]:スプリット トンネリングはディセーブルになり、トラフィックは保護されます。

[Exclude Specified Networks]:スプリット トンネリングはイネーブルになり、[Networks] フィールド内に指定されたネットワークを往来するトラフィックは保護されずに送信されます。

[Tunnel Specified Networks]:スプリット トンネリングはイネーブルになり、[Networks] フィールド内に指定されたネットワークを往来するトラフィックは保護されて送信されます。

[Destinations]

選択したデバイスが IOS ルータで、スプリット トンネリングがイネーブルになっている場合にかぎり使用できます。

選択した [Split Tunneling] オプションに応じて、トラフィックが保護されてまたは保護されずに送信される宛先として指定されたネットワーク。

複数のエントリはカンマで区切ります。ホスト IP アドレス、ネットワーク アドレス(10.100.10.0/24 または 10.100.10.0/255.255.255.0 など)、またはネットワーク/ホスト オブジェクトの名前を入力できます。

[Select] をクリックして、ネットワーク/ホスト オブジェクトを選択するか、新しいオブジェクトを作成できます。

[Networks]

(注) 選択したデバイスが ASA セキュリティ アプライアンスで、スプリット トンネリングがイネーブルになっている場合に使用可能です。

ネットワーク アクセスを定義する ACL オブジェクトの名前。

[Exclude Local LANs]

(注) 選択したデバイスが IOS ルータで、スプリット トンネリングがイネーブルになっている場合にかぎり使用できます。

選択すると、非スプリット トンネリング接続は、クライアントと同時にローカル サブネットワークにアクセスできなくなります。

[Split DNS Names]

プライベート ネットワークに対してトンネル処理または解決する必要があるドメイン名のリスト。他のすべての名前は、パブリック DNS サーバを使用して解決されます。

[Clientless and Thin Client Access Modes] ページ

Create User group ウィザードの [Clientless and Thin Client] ページで、SSL VPN で企業ネットワークにアクセスするために使用する [Clientless] モードおよび [Thin Client] クライアント モードを設定できます。


) このページは、Create User Group ウィザードの手順 1(「[Name and Access Method] ページ」)で [Clientless] または [Thin Client] オプションを選択した場合にだけ使用可能です。


ナビゲーション パス

「Create User Group ウィザード」を開き、[Clientless] または [Thin Client] アクセス方式オプションを選択し、[Next] をクリックします。

関連項目

「Create User Group ウィザード」

「SSL VPN アクセスのモード」

「ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定」

「[Add Port Forwarding List]/[Edit Port Forwarding List] ダイアログボックス」

フィールド リファレンス

 

表 23-7 Create User Group ウィザード - [Clientless and Thin Client] ページ

要素
説明

[Clientless]:ウィザードの手順 1 で [Clientless] を選択した場合にだけ表示されます。

[Portal Page Websites]

ユーザが SSL VPN Web サイトで使用可能なリソースにアクセスできるように、ポータル ページにブックマークとして表示される Web サイトのリスト。

[Select] をクリックすると [URL List Selector] が開き、そこで、URL リスト オブジェクトのリストから目的の URL リストを選択できます。

[Allow Users to Enter Websites]

選択すると、リモート ユーザは Web サイト URL を直接入力できます。

[Thin Client]:ウィザードの手順 1 で [Thin Client] を選択した場合にだけ表示されます。

[Port Forwarding List]

クライアント マシン上のポート番号から SSL VPN ゲートウェイの背後にあるアプリケーションの IP アドレスとポートへのマッピングを定義する、ポート転送リスト。

[Select] をクリックすると [Port Forwarding List Selector] が開き、そこで、ポート転送リスト オブジェクトのリストから必要なポート転送リストを選択できます。

[Port Forwarding Applet Name]

選択したデバイスが ASA セキュリティ アプライアンスの場合にだけ使用可能です。

クライアント マシン上で TCP プロキシとして使用される Java アプレット。Java アプレットは、すべてのクライアント接続に対して新しい SSL 接続を開始します。

Java アプレットは、リモート ユーザ クライアントから ASA デバイスへの HTTP 要求を開始します。HTTP 要求には、内部電子メール サーバの名前およびポート番号が格納されます。その内部電子メール サーバおよびポートへの TCP 接続が作成されます。

[Download Port Forwarding Applet on Client Login]

選択すると、リモート クライアントがログインしたときにポート転送 Java アプレットを自動的にダウンロードできます。

[Gateway and Context] ページ(IOS)

リモート ユーザが SSL VPN の背後にあるプライベート ネットワーク上のリソースにアクセスできるように、デバイスでゲートウェイおよびコンテキストをあらかじめ設定しておく必要があります。SSL VPN Configuration ウィザードのこの手順を使用して、ユーザにポータル ページへのアクセスを許可する情報を含むゲートウェイおよびコンテキスト設定を指定します。

ナビゲーション パス

(デバイス ビュー)IOS デバイスでリモート アクセス SSL VPN を設定するための「Remote Access VPN Configuration ウィザード」を開きます。最初に表示されるページが [Gateway and Context] ページです。

関連項目

「Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(IOS デバイス)」

「[Add SSL VPN Gateway]/[Edit SSL VPN Gateway] ダイアログボックス」

「AAA サーバおよびサーバ グループ オブジェクトについて」

フィールド リファレンス

 

表 23-8 [Gateway and Context] ページ

要素
説明

[Gateway]

SSL VPN で保護対象リソースへの接続にプロキシとして使用するゲートウェイ。

次のオプションがあります。

[Use Existing Gateway]:選択すると、SSL VPN に既存のゲートウェイを使用できます。

[Create Using IP Address]:選択すると、ルータ上の到達可能な(パブリック スタティック)IP アドレスを使用して、新しいゲートウェイを設定できます。

[Create Using Interface]:選択すると、ルータ インターフェイスのパブリック スタティック IP アドレスを使用して、新しいゲートウェイを設定できます。

[Gateway Name]

SSL VPN ゲートウェイ ポリシー オブジェクトの名前。ゲートウェイ オブジェクトの名前を入力します。または、[Select] をクリックしてリストから名前を選択するか、新しいオブジェクトを作成します。

(注) ゲートウェイを選択すると、セキュアな接続の確立に必要なポート番号とデジタル証明書が、関連するフィールドに表示されます。

[Port]

(注) ルータの IP アドレスまたはインターフェイスを使用してゲートウェイを作成するように選択した場合にだけ使用可能です。

HTTPS トラフィックを伝送するポートの番号(1024 ~ 65535)。HTTP ポート リダイレクションがイネーブルになっていないかぎり、デフォルトは 443 です。イネーブルになっている場合、デフォルトの HTTP ポート番号は 80 です。

ポート番号を指定します。または、[Select] をクリックしてリストからポート リスト オブジェクトを選択するか、新しいオブジェクトを作成します。

[Trustpoint]

(注) ルータの IP アドレスまたはインターフェイスを使用して新しいゲートウェイを作成するように選択した場合にだけ使用可能です。

セキュアな接続の確立に必要なデジタル証明書。特定の CA 証明書を設定する必要がある場合、SSL VPN ゲートウェイがアクティブになるときに自己署名証明書が生成されます。ルータ上のすべてのゲートウェイで同じ証明書を使用できます。

[Context Name]

リモート クライアントと企業イントラネットやプライベート イントラネットの間の SSL VPN トンネルをサポートするために必要なリソースを識別するコンテキストの名前。

ヒント 複数のコンテキスト設定の管理を簡略化するために、コンテキスト名にはドメインまたは仮想ホスト名を使用することを推奨します。

[Portal Page URL]

[Portal] ページに表示される、SSL VPN ゲートウェイにアクセスするための URL。

[Group Policies]

SSL VPN 接続で使用されるグループ ポリシーの名前と、それらのポリシーに対して [Full Tunnel] アクセス モードをイネーブルにするかディセーブルにするか。

グループ ポリシー名を入力するか、[Edit] をクリックして「[User Groups Selector] ページ」を開きます。

[Authentication Server Group]

認証サーバ グループの名前(ユーザがローカル デバイスに定義されている場合は LOCAL です)。

認証サーバ グループ名を入力します。または、[Select] をクリックしてリストからサーバ グループ オブジェクトを選択するか、新しいオブジェクトを作成します。

[Authentication Domain]

SSL VPN リモート ユーザ認証のリストまたは方式を指定します。

(注) リストも方式も指定しない場合、SSL VPN ゲートウェイでは、リモートユーザ認証にグローバル AAA パラメータが使用されます。

[Accounting Server Group]

アカウンティング サーバ グループの名前。

アカウンティング サーバ グループ名を入力します。または、[Select] をクリックしてリストからサーバ グループ オブジェクトを選択するか、新しいオブジェクトを作成します。

[Portal Page Customization] ページ

SSL VPN Configuration ウィザードのこの手順を使用して、リモート ユーザが SSL VPN に接続すると表示されるポータル ページの外観を定義します。ポータル ページでは、リモート ユーザが、SSL VPN ネットワーク上で使用可能なすべての Web サイトにアクセスできます。

ナビゲーション パス

(デバイス ビュー)IOS デバイスでリモート アクセス SSL VPN を設定するための「Remote Access VPN Configuration ウィザード」を開き、このページが表示されるまで [Next] をクリックします。

関連項目

「Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(IOS デバイス)」

フィールド リファレンス

 

表 23-9 [Portal Page Customization] ページ

要素
説明

[Title]

ポータル ページのタイトル バーに表示されるタイトル。

デフォルトのタイトルは「SSL VPN Service」です。

[Logo]

SSL VPN ログインおよびポータル ページのタイトル バーに表示されるロゴ。

次のオプションがあります。

[None]:ロゴは表示されません。

[Default]:デフォルトのロゴを使用します。

[Custom]:選択すると、独自のロゴを指定できます。[Logo File] フィールドにロゴのソース イメージ ファイルを指定するか、または [Select] をクリックしてイメージ ファイルを選択します。

ソース イメージ ファイルとして、gif、jpg、または png ファイルを使用できます。ファイル名は最大 255 文字で、ファイル サイズは最大 100 KB です。

[Login Message]

ログイン時にユーザに表示されるメッセージ。

[Primary Title Color]

SSL VPN のログイン ページおよびポータル ページのタイトル バーの色。

[Select] をクリックすると、タイトル バーの目的の色を選択できるダイアログボックスが開きます。

[Secondary Title Color]

SSL VPN のログイン ページおよびポータル ページのセカンダリ タイトル バーの色。

[Select] をクリックすると、セカンダリ タイトル バーの目的の色を選択できるダイアログボックスが開きます。

[Primary Text Color]

ログイン ページおよびポータル ページのタイトル バーのテキストの色。

選択できるのは、白または黒(デフォルト)です。

(注) テキストの色は、タイトル バーのテキストの色に合わせる必要があります。

[Secondary Text Color]

ログイン ページおよびポータル ページのセカンダリ タイトル バーのテキストの色。

選択できるのは、白または黒(デフォルト)です。

(注) テキストの色は、セカンダリ タイトル バーのテキストの色に合わせる必要があります。

[Preview]

ポータル ページの外観のプレビュー。

[IPSec VPN Connection Profile] ページ(ASA)

[Connection Profile] ページを使用して、セキュリティ アプライアンスで接続プロファイル ポリシーを設定します。追加する接続プロファイル ポリシーの名前を指定し、ユーザ グループ ポリシーを選択できます。また、このポリシーのアドレス プールを指定し、認証、認可、およびアカウンティングのサーバ グループ設定を指定できます。

ナビゲーション パス

(デバイス ビュー)ASA デバイスでリモート アクセス IPsec VPN を設定するための「Remote Access VPN Configuration ウィザード」を開きます。最初に表示されるページが [IPSec Connection Profile] ページです。

関連項目

「Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(ASA デバイス)」

フィールド リファレンス

 

表 23-10 [IPSec Connection Profile] ページ(ASA)

要素
説明

[Connection Profile Name]

この IPSec VPN 接続プロファイルのポリシーを含む接続プロファイルの名前。

[Group Policy]

デバイスに関連付けられているデフォルトのグループ ポリシー。名前を入力します。または、[Select] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

[Global IP Address Pool]

IP アドレスの割り当てに使用されるアドレス プール。サーバはこれらのアドレス プールをリスト内の順序で使用します。最初のプールのアドレスがすべて割り当て済みの場合は、次のプールを使用するというように続きます。最大で 6 つのプールを指定できます。

ネットワーク/ホスト オブジェクトの名前を入力します。または、[Select] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

[Authentication Server Group]

認証サーバ グループの名前(トンネル グループがローカル デバイスに設定されている場合は LOCAL です)。名前を入力するか、または [Select] をクリックしてリストからサーバ グループを選択するか新しいオブジェクトを作成します。

[Use LOCAL if Server Group Fails]

選択した認証サーバ グループで障害が発生した場合に、ローカルの認証データベースに切り替えるかどうか。

[Authorization Server Group]

認可サーバ グループの名前(トンネル グループがローカル デバイスに設定されている場合は LOCAL です)。名前を入力するか、または [Select] をクリックしてリストからサーバ グループを選択するか新しいオブジェクトを作成します。

[Accounting Server Group]

アカウンティング サーバ グループの名前。名前を入力するか、または [Select] をクリックしてリストからサーバ グループを選択するか新しいオブジェクトを作成します。

[IPSec Settings] ページ(ASA)

IPSec VPN Configuration ウィザードの [IPSec Settings] ページを使用して、セキュリティ アプライアンスで IPSec を設定します。

ナビゲーション パス

(デバイス ビュー)ASA デバイスでリモート アクセス IPsec VPN を設定するための「Remote Access VPN Configuration ウィザード」を開き、このページが表示されるまで [Next] をクリックします。

関連項目

「Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(ASA デバイス)」

フィールド リファレンス

 

表 23-11 IPSec VPN ウィザード - [IPSec Settings](ASA)

要素
説明

[Preshared Key]

トンネル グループの事前共有キーの値。事前共有キーの最大長は 127 文字です。

(注) [Confirm] フィールドに、この値を再入力する必要があります。

[Trustpoint Name]

トラストポイントの名前(トラストポイントが設定されている場合)。トラストポイントは CA とアイデンティティのペアを表し、CA のアイデンティティ、CA 固有の設定パラメータ、および登録されている 1 つのアイデンティティ証明書との関連付けが含まれます。

[IKE Peer ID Validation]

IKE ピア ID 検証を無視するか、必須とするか、または証明書によってサポートされている場合にかぎり確認するかを選択します。IKE ネゴシエーション中、ピアは互いに自身を識別する必要があります。

[Enable Sending Certificate Chain]

選択すると、証明書チェーンを認可のために送信できます。証明書チェーンには、ルート CA 証明書、アイデンティティ証明書、およびキー ペアが含まれます。

[Enable Password Update with RADIUS Authentication]

選択すると、RADIUS 認証プロトコルを使用してパスワードを更新できます。

詳細については、「サポートされる AAA サーバ タイプ」を参照してください。

[ISAKMP Keepalive]

[Monitor Keepalive]

選択されている場合、IKE キープアライブをデフォルトのフェールオーバーおよびルーティングのメカニズムとして設定できます。

詳細については、「ISAKMP/IPsec 設定について」を参照してください。

[Confidence Interval]

IKE キープアライブ パケットの送信と送信の間のデバイスの待機時間(秒数)。

[Retry Interval]

リモート ピアとの IKE 接続を確立しようとする試行と試行の間のデバイスの待機時間(秒数)。デフォルトは 2 秒です。

[Client Software Update]

[All Windows Platforms]

選択すると、すべての Windows プラットフォームで VPN クライアントの特定のリビジョン レベルおよびイメージ URL を設定できます。

[Windows 95/98/ME]

選択すると、Windows 95/98/ME プラットフォームで VPN クライアントの特定のリビジョン レベルおよびイメージ URL を設定できます。

[Windows NT4.0/2000/XP]

選択すると、NT4.0/2000/XP プラットフォームで VPN クライアントの特定のリビジョン レベルおよびイメージ URL を設定できます。

[VPN3002 Hardware Client]

選択すると、VPN3002 ハードウェア クライアントの特定のリビジョン レベルおよびイメージ URL を設定できます。

[User Group Policy] ページ(IOS)

[User Group Policy] ページを使用して、リモート アクセス IPSec VPN サーバのユーザ グループを指定します。Cisco IOS ルータ、PIX 6.3 ファイアウォール、または Catalyst 6500 /7600 デバイスにユーザ グループを設定できます。

ナビゲーション パス

(デバイス ビュー)IOS デバイスでリモート アクセス IPSec VPN を設定するための「Remote Access VPN Configuration ウィザード」を開き、このページが表示されるまで [Next] をクリックします。

関連項目

「Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(IOS デバイス)」

フィールド リファレンス

 

表 23-12 [User Group Policy] ページ

要素
説明

[Available User Groups]

選択可能な事前定義済みのユーザ グループを一覧表示します。

必要なユーザ グループを選択して、[>>] をクリックします。

Security Manager では、ユーザ グループはオブジェクトです。必要なユーザ グループがリストにない場合、[Create] をクリックして [User Groups Editor] ダイアログボックスを開くと、そこでユーザ グループ オブジェクトを作成または編集できます。「[Add User Group]/[Edit User Group] ダイアログボックス」を参照してください。

[Selected User Groups]

選択済みのユーザ グループを表示します。

このリストからユーザ グループを削除するには、そのグループを選択して [<<] をクリックします。

ユーザ グループのプロパティを変更するには、そのユーザ グループを選択して [Edit] をクリックします。

[Defaults] ページ

Remote Access IPSec Configuration ウィザードの [VPN Defaults] ページを使用して、作成する VPN トポロジに割り当てられるデフォルトのサイト間 VPN ポリシーを参照および選択します。ポリシー タイプごとに、出荷時のデフォルト ポリシー(プライベート ポリシー)または共有ポリシーを割り当てることができます。[Finish] をクリックすると、選択したポリシーがデバイスに割り当てられます。

各ポリシー タイプのドロップダウン リストに、選択可能な既存の共有ポリシーが一覧表示されます。ポリシーを選択して [View Content] ボタンをクリックすると、そのポリシーの定義を参照できます。場合によっては変更できますが、その変更は保存できません。一覧表示されるポリシー タイプは、デバイス タイプによって異なります。


) 別のユーザによって現在ロックされているデフォルト ポリシーを選択しようとすると、ロックの問題を警告するメッセージが表示されます。ロックを回避するには、別のポリシーを選択するか、またはロックが解除されるまで VPN トポロジの作成をキャンセルします。詳細については、「ポリシーのロックについて」を参照してください。


ナビゲーション パス

(デバイス ビュー)リモート アクセス IPSec VPN を設定するための「Remote Access VPN Configuration ウィザード」を開き、このページが表示されるまで [Next] をクリックします。

関連項目

「Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(ASA デバイス)」

「Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(IOS デバイス)」

フィールド リファレンス

 

表 23-13 [Defaults] ページ

要素
説明

[ASA Cluster Load Balance]

リモート アクセス VPN の ASA デバイスのロード バランシングを定義します。

[High Availability]

リモート アクセス VPN の Cisco IOS ルータの High Availability(HA; ハイ アベイラビリティ)ポリシーを定義します。

[Certificate to Connection Profile Map Policy]

リモート アクセス VPN の接続プロファイルを定義します。

[IKE Proposal]

2 つのピアの間の IKE ネゴシエーションを保護するために使用するアルゴリズム セットを定義します。

[IPSec Proposal]

IPsec Security Associations(SA; セキュリティ アソシエーション)の設定に必要なクリプト マップを定義します。この定義内容には、IPsec 規則、トランスフォーム セット、リモート ピア、および IPsec SA の定義に必要なその他のパラメータが含まれます。

[Public Key Infrastructure]

Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)証明書および RSA キーに対する PKI 登録要求の生成に使用する PKI ポリシーを定義します。

[VPN Global Settings]

リモート アクセス VPN のデバイスに適用される IKE、IPsec、NAT、およびフラグメンテーションのグローバル設定を定義します。

[ASA Cluster Load Balance] ページ

[ASA Cluster Load Balance] ページを使用して、リモート アクセス VPN の ASA デバイスのロード バランシングをイネーブルにします。


) ロード バランシングには、アクティブな 3DES/AES ライセンスが必要となります。ASA デバイスでは、ロード バランシングをイネーブルにする前に、このクリプト ライセンスが存在するかをチェックします。アクティブな 3DES または AES ライセンスを検出できない場合、デバイスではロード バランシングが行われないようにし、また、ロード バランシング システムによる 3DES の内部設定も行われないようにします。


ナビゲーション パス

(デバイス ビュー)ASA デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [ASA Cluster Load Balance] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [ASA Cluster Load Balance] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「クラスタ ロード バランシングについて(ASA)」

「クラスタ ロード バランス ポリシーの設定(ASA)」

「インターフェイス ロール オブジェクトの作成」

フィールド リファレンス

 

表 23-14 [ASA Cluster Load Balance] ページ

要素
説明
[VPN Load Balancing]

[Participate in Load Balancing Cluster]

デバイスがロードバランシング クラスタに属することを指定する場合は、これを選択します。

[VPN Cluster Configuration]

[Cluster IP Address]

仮想クラスタ全体を表す単一の IP アドレス。この IP アドレスは、外部インターフェイスと同じサブネット内に存在する必要があります。

[UDP Port]

デバイスが参加する仮想クラスタの UDP ポート。このポートが別のアプリケーションによって使用される場合は、ロード バランシングに使用する UDP 宛先ポート番号を入力します。

デフォルトは 9023 です。

[Enable IPsec Encryption]

このチェックボックスをオンにすると、デバイス間で伝達されるすべてのロードバランシング情報が暗号化されます。

このチェックボックスをオンにした場合は、共有秘密キーを指定して検証する必要もあります。仮想クラスタのセキュリティ アプライアンスは、IPsec を使用して LAN-to-LAN トンネルを介して通信します。

[IPsec Shared Secret]

IPsec 暗号化をイネーブルにした場合に IPsec ピア間で伝達される共有秘密キー。これは、スペースを含まない 4 ~ 16 文字の値で、大文字と小文字が区別されます。

[Priority]

[Accept default device value]

選択されている場合(デフォルト)、デバイスに割り当てられているデフォルト プライオリティ値を受け入れます。

[Configure same priority on all devices in the cluster]

選択すると、クラスタ内のすべてのデバイスに同じプライオリティ値を設定できます。プライオリティは、起動時または既存のマスターの障害発生時に、このデバイスが仮想クラスタ マスターになる可能性の高さを示します。

1 ~ 10 の値を入力してください。

[VPN Server Configuration]

[Public interfaces]

サーバで使用されるパブリック インターフェイス。

インターフェイスは定義済みのオブジェクトです。[Select] をクリックして、すべての使用可能なインターフェイス、およびインターフェイスのロール別に定義されたインターフェイスのセットを表示するダイアログボックスを開きます。このダイアログボックスで、インターフェイス ロール オブジェクトを選択または作成できます。

[Private Interfaces]

サーバで使用されるプライベート インターフェイス。

インターフェイスは定義済みのオブジェクトです。[Select] をクリックして、すべての使用可能なインターフェイス、およびインターフェイスのロール別に定義されたインターフェイスのセットを表示するダイアログボックスを開きます。このダイアログボックスで、インターフェイス ロール オブジェクトを選択または作成できます。

[Send FQDN to client instead of an IP address when redirecting]

選択すると、ロード バランシングが設定されている ASA デバイスで FQDN を使用するリダイレクションがイネーブルになります。詳細については、「クラスタ ロード バランシングについて(ASA)」を参照してください。

このチェックボックスは、8.0.2 以降を実行している ASA デバイスにかぎり、使用可能です。

[Connection Profiles] ページ

[Connection Profiles] ページを使用して、リモート アクセス VPN トポロジまたは Easy VPN トポロジの接続プロファイル ポリシーを管理します。このポリシーの使用法は、設定する VPN のタイプによって異なります。

[Remote access SSL VPN]:ポリシーは、ASA デバイスに対してだけ使用されます。複数のプロファイルを作成し、[Connection Profiles] ダイアログボックスのすべてのタブの値を設定できます。

[Remote access IPSec VPN]:ポリシーは、PIX 7.0+ ソフトウェアを実行している ASA デバイスおよび PIX ファイアウォールに対して使用されます。複数のプロファイルを作成できますが、[Connection Profiles] ダイアログボックスの [General]、[AAA]、および [IPSec] タブだけがこの設定に適用されます(場合によってはこれらのタブだけが表示されます)。

[Easy VPN topologies]:ポリシーは、PIX 7.0+ ソフトウェアを実行している ASA デバイスまたは PIX ファイアウォールである Easy VPN サーバ(ハブ)に対して使用されます。ポリシー ページが [Connection Profiles] ダイアログボックスが実際に埋め込まれるように、単一のプロファイルを作成できます。これにより、プロファイルを定義するタブに直接アクセスできます。[General]、[AAA]、および [IPSec] タブだけが適用されます。

リモート アクセス IPSec および SSL VPN の場合は、次のようにします。

プロファイルを追加するには、[Add Row] をクリックし、[Connection Profiles] ダイアログボックスに入力します。

既存のプロファイルを編集するには、プロファイルを選択し、[Edit Row] ボタンをクリックします。

プロファイルを削除するには、プロファイルを選択し、[Delete Row] ボタンをクリックします。

接続プロファイルは、次のタブで構成されます。これらのタブには、設定する VPN のタイプに適した値を設定してください。

「[General] タブ([Connection Profiles])」

「[AAA] タブ([Connection Profiles])」

「[Secondary AAA] タブ([Connection Profiles])」(SSL VPN のみ)

「[IPSec] タブ([Connection Profiles])」

「[SSL] タブ([Connection Profiles])」(SSL VPN のみ)

ナビゲーション パス

リモート アクセス VPN:

(デバイス ビュー)ASA または PIX 7+ デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [Connection Profiles] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [Connection Profiles (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

Easy VPN:

「[Site-to-Site VPN Manager] ウィンドウ」から Easy VPN トポロジを選択し、[Connection Profiles (PIX7.0/ASA)] を選択します。

(デバイス ビュー)Easy VPN トポロジに参加するデバイスを選択し、ポリシー セレクタから [Site to Site VPN] を選択します。Easy VPN トポロジを選択して [Edit VPN Policies] をクリックし、ポリシーを選択できる「[Site-to-Site VPN Manager] ウィンドウ」を開きます。

(ポリシー ビュー)[Site-to-Site VPN] > [Connection Profiles (PIX7.0/ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ここでは、次の内容について説明します。

「[General] タブ([Connection Profiles])」

「[AAA] タブ([Connection Profiles])」

「[Secondary AAA] タブ([Connection Profiles])」

「[IPSec] タブ([Connection Profiles])」

「[SSL] タブ([Connection Profiles])」

[General] タブ([Connection Profiles])

[Connection Profiles] ダイアログボックスの [General] タブを使用して、VPN Connection Profile ポリシーの基本プロパティを設定します。

ナビゲーション パス

「[Connection Profiles] ページ」から、[Add] ボタンをクリックするか、エントリを選択して [Edit] ボタンをクリックします。Easy VPN トポロジの場合は、ポリシーを選択するだけです。必要に応じて、[General] タブをクリックします。

関連項目

「接続プロファイルの設定(ASA)」

「[ASA Group Policies] ダイアログボックス」

「ネットワーク/ホスト オブジェクトについて」

「Easy VPN における Connection Profile ポリシーの設定」

「Easy VPN について」

フィールド リファレンス

 

表 23-15 [Connection Profile] の [General] タブ

要素
説明

[Connection Profile Name]

この接続プロファイルのポリシーを含むトンネル グループの名前。

[Group Policy]

必要な場合、接続プロファイルに関連付けられているデフォルト ユーザ グループを定義する ASA グループ ポリシー オブジェクトの名前。グループ ポリシーはユーザ指向の属性と値のペアの集合であり、デバイスで内部的に、または RADIUS/LDAP サーバで外部的に格納されます。

[Select] をクリックして既存のオブジェクトを選択するか、新しいオブジェクトを作成します。

[Client Address Assignment]

[DHCP Servers]

クライアント アドレス割り当てに使用される DHCP サーバ。これらのサーバは、リスト内の順序で使用されます。

DHCP サーバの IP アドレスを入力するか、DHCP サーバ アドレスを定義するネットワーク/ホスト ポリシー オブジェクトの名前を入力します。[Select] をクリックして、既存のネットワーク/ホスト オブジェクトを選択するか、新しいネットワーク/ホスト オブジェクトを作成します。複数のエントリを指定する場合は、カンマで区切ります。

[Global IP Address Pool]

クライアントの接続先のインターフェイスにプールが指定されていない場合に、IP アドレスをクライアントに割り当てるために使用されるアドレス プール。アドレス プールは通常、アドレスの範囲として入力します(10.100.12.2-10.100.12.254 など)。サーバはこれらのプールを一覧表示されている順序で使用します。最初のプールのアドレスがすべて割り当て済みの場合は、次のプールを使用するというように続きます。最大で 6 つのプールを指定できます。

アドレス プール範囲を入力するか、これらのプールを定義するネットワーク/ホスト オブジェクトの名前を入力します。[Select] をクリックして、既存のネットワーク/ホスト オブジェクトを選択するか、新しいネットワーク/ホスト オブジェクトを作成します。複数のエントリを指定する場合は、カンマで区切ります。複数のエントリを指定する場合は、カンマで区切ります。

[Interface-Specific Address Pools] テーブル

特定のインターフェイスを介して接続するクライアントがグローバル プールとは異なるプールを使用するように、そのインターフェイスに対して個別の IP アドレス プールを設定する場合は、そのインターフェイスをこのテーブルに追加し、個別のプールを設定します。このテーブルに表示されていないインターフェイスはすべて、グローバル プールを使用します。

インターフェイス固有のアドレス プールを追加するには、[Add Row] ボタンをクリックし、「[Add Interface Specific Client Address Pools]/[Edit Interface Specific Client Address Pools] ダイアログボックス」に入力します。

インターフェイス プールを編集するには、インターフェイス プールを選択し、[Edit Row] ボタンをクリックします。

インターフェイスを削除するには、インターフェイスを選択し、[Delete Row] ボタンをクリックします。

[Add Interface Specific Client Address Pools]/[Edit Interface Specific Client Address Pools] ダイアログボックス

[Add Interface Specific Client Address Pools]/[Edit Interface Specific Client Address Pools] ダイアログボックスを使用して、接続プロファイル ポリシーに対してインターフェイス固有のクライアント アドレス プールを設定します。

ナビゲーション パス

「[General] タブ([Connection Profiles])」を開き、[Interface-Specific Address Pools] テーブルの下の [Add Row] をクリックするか、テーブル内の行を選択して [Edit Row] をクリックします。

関連項目

「インターフェイス ロール オブジェクトの作成」

「ネットワーク/ホスト オブジェクトの作成」

フィールド リファレンス

 

表 23-16 [Add Interface Specific Client Address Pools]/[Edit Interface Specific Client Address Pools] ダイアログボックス

要素
説明

[Interface]

クライアント アドレスの割り当て先のインターフェイス。

[Select] をクリックすると、すべての使用可能なインターフェイスおよびインターフェイス ロールが一覧表示されたダイアログボックスが開きます。このダイアログボックスで、インターフェイス ロール オブジェクトを選択または作成できます。

[Address Pool]

選択したインターフェイスにクライアント アドレスを割り当てるために使用するアドレス プール。

アドレス プールは、定義済みのネットワーク オブジェクトです。[Select] をクリックすると、ダイアログボックスが開き、使用可能なすべてのネットワーク ホストが一覧表示されます。このダイアログボックスで、ネットワーク ホスト オブジェクトを作成または編集できます。

[AAA] タブ([Connection Profiles])

[Connection Profile] ダイアログボックスの [AAA] タブを使用して、接続プロファイル ポリシーに AAA 認証パラメータを設定します。

ナビゲーション パス

「[Connection Profiles] ページ」から、[Add] ボタンをクリックするか、エントリを選択して [Edit] ボタンをクリックします。次に [AAA] タブを選択します。Easy VPN トポロジの場合は、[AAA] タブをクリックするだけです。

関連項目

「接続プロファイルの設定(ASA)」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「Easy VPN における Connection Profile ポリシーの設定」

「Easy VPN について」

フィールド リファレンス

 

表 23-17 [Connection Profile] の [AAA] タブ

要素
説明

[Authentication Method]

接続の認証に AAA、証明書、その両方のいずれを使用するか。[Certificate] を選択した場合、ダイアログボックスのオプションの多くはグレー表示され、適用されません。

[Authentication Server Group]

認証サーバ グループの名前(トンネル グループがローカル デバイスに設定されている場合は LOCAL)。AAA サーバ グループ オブジェクトの名前を入力します。または、[Select] をクリックしてリストから選択するか、新しいオブジェクトを作成します。

クライアントの接続先のインターフェイスに基づいて別の認証サーバ グループを使用する場合は、このタブの一番下にある [Interface-Specific Authentication Server Groups] テーブルでサーバ グループを設定します(後述の説明を参照)。

[Use LOCAL if Server Group Fails]

選択した認証サーバ グループで障害が発生した場合に、ローカルの認証データベースに切り替えるかどうか。

[Authorization Server Group]

認可サーバ グループの名前(トンネル グループがローカル デバイスに設定されている場合は LOCAL です)。AAA サーバ グループ オブジェクトの名前を入力します。または、[Select] をクリックしてリストから選択するか、新しいオブジェクトを作成します。

[Users must exist in the authorization database to connect]

正常に接続するために、クライアントのユーザ名が認可データベース内に存在すること要求するかどうか。認可データベース内にユーザ名が存在しない場合、接続は拒否されます。

[Accounting Server Group]

アカウンティング サーバ グループの名前。AAA サーバ グループ オブジェクトの名前を入力します。または、[Select] をクリックしてリストから選択するか、新しいオブジェクトを作成します。

[Strip Realm from Username]

[Strip Group from Username]

ユーザ名を AAA サーバに渡す前に、ユーザ名からレルムまたはグループ名を削除するかどうか。レルムとは管理ドメインのことです。これらのオプションをイネーブルにすると、ユーザ名だけに基づいて認証できます。

これらのオプションを任意に組み合わせてイネーブルにできます。ただし、サーバが区切り文字を解析できない場合は、両方のチェックボックスをオンにする必要があります。

[Override Account-Disabled Indication from AAA Server]

AAA サーバから「account-disabled」インジケータを上書きするかどうか。この設定は、「account-disabled」インジケータを返すサーバ(NT LDAP を使用する RADIUS、Kerberos など)で有効です。

認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun Microsystems JAVA System Directory Server(旧名称は Sun ONE Directory Server)および Microsoft Active Directory を使用してサポートされます。

Sun :Sun ディレクトリ サーバにアクセスするためにセキュリティ アプライアンスで設定されている DN は、そのサーバ上のデフォルトのパスワード ポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者またはディレクトリ管理者権限を持つユーザを使用することを推奨します。あるいは、ACI をデフォルトのパスワード ポリシーに配置することもできます。

Microsoft :Microsoft Active Directory を使用したパスワード管理をイネーブルにするには、LDAP over SSL を設定する必要があります。

[Enable Notification Upon Password Expiration to Allow User to Change Password]

[Enable Notification Prior to Expiration]

[Notify Prior to Expiration]

セキュリティ アプライアンスによって、リモート ユーザのログイン時に、現在のパスワードの有効期限が間もなく切れること、またはすでに期限が切れていることを通知し、パスワードを変更する機会をユーザに提供するかどうか。

パスワードの有効期限が間もなく切れることを事前にユーザに警告する場合、[Enable Notification Prior to Expiration] を選択し、通知を開始する有効期限前の日数(1 ~ 180 日)を指定します。このオプションは、このような通知をサポートする AAA サーバ(RADIUS、NT サーバを使用する RADIUS、LDAP サーバなど)で使用できます。その他のタイプのサーバでは、事前通知はありません。

[Distinguished Name (DN) Authorization Setting]

認可用の識別名を使用する方法。Distinguished Name(DN; 識別名)は、個々のフィールドから構成される一意の識別子であり、ユーザをトンネル グループと照合するときに識別子として使用できます。DN 規則は、拡張証明書認証に使用されます。次のオプションから選択して、認可時の DN の使用方法を決定します。

[Use Entire DN as the Username]:DN 特定のフィールドに焦点を当てることなく、全体を使用します。

[Specify Individual DN fields as the Username]:特定のフィールドに焦点を当てます。プライマリ フィールドを選択し、オプションでセカンダリ フィールドを選択します。デフォルトでは、User Identification(UID; ユーザ ID)フィールドだけを使用します。

[Interface-Specific Authentication Server Groups] テーブル

特定のインターフェイスを介して接続するクライアントがグローバル プールとは異なるサーバ グループを使用するように、そのインターフェイスに対して個別の認証サーバ グループを設定する場合は、そのインターフェイスをこのテーブルに追加し、個別のグループを設定します。ここに記載されていないインターフェイスでは、グローバル認証サーバ グループを使用します。この表には、サーバ グループと、サーバ グループが使用可能でない場合にローカル認証を使用するかどうかを示します。

インターフェイス固有の認証グループをリストに追加するには、[Add Row] をクリックし、「[Add Interface Specific Authentication Server Groups]/[Edit Interface Specific Authentication Server Groups] ダイアログボックス」に入力します。

インターフェイス設定を編集するには、そのインターフェイス設定を選択し、[Edit Row] ボタンをクリックします。

インターフェイス設定を削除するには、そのインターフェイス設定を選択し、[Delete Row] ボタンをクリックします。

[Add Interface Specific Authentication Server Groups]/[Edit Interface Specific Authentication Server Groups] ダイアログボックス

[Add Interface Specific Authentication Server Groups]/[Edit Interface Specific Authentication Server Groups] ダイアログボックスを使用して、接続プロファイル ポリシーにインターフェイス固有の認証を設定します。指定されたインターフェイスにクライアントが接続すると、グローバル認証サーバ グループの設定がこの設定によって上書きされます。

ASA デバイスで SSL VPN のセカンダリ AAA サーバを設定する場合、その設定は、ユーザが入力するセカンダリ クレデンシャル セットに対して使用されます。これは、ダイアログボックスの名前に反映されます。

ナビゲーション パス

「[AAA] タブ([Connection Profiles])」または「[Secondary AAA] タブ([Connection Profiles])」を開き、[(Secondary) Interface Specific Authentication Server Groups] テーブルの下の [Add Row] をクリックするか、テーブル内の行を選択して [Edit Row] をクリックします。

関連項目

「接続プロファイルの設定(ASA)」

「インターフェイス ロール オブジェクトについて」

「AAA サーバおよびサーバ グループ オブジェクトについて」

フィールド リファレンス

 

表 23-18 [Add (Secondary) Interface Specific Authentication Server Groups]/[Edit (Secondary) Interface Specific Authentication Server Groups]

要素
説明

[Interface]

認証サーバ グループを設定するインターフェイスまたは(インターフェイスを識別する)インターフェイス ロールの名前。[Select] をクリックして、インターフェイスまたはインターフェイス ロールを選択するか、新しいインターフェイス ロールを作成します。

[Server Group]

認証サーバ グループの名前(トンネル グループがローカル デバイスに設定されている場合は LOCAL)。AAA サーバ グループ オブジェクトの名前を入力します。または、[Select] をクリックしてリストから選択するか、新しいオブジェクトを作成します。

セカンダリ AAA を設定する場合、2 番目のクレデンシャルに対してこのグループが使用されます。プライマリ クレデンシャルとセカンダリ クレデンシャルには別々のサーバ グループを指定できます。

[Use LOCAL if Server Group Fails]

選択した認証サーバ グループで障害が発生した場合に、ローカルの認証データベースに切り替えるかどうか。

[Use Primary Username]

(セカンダリ認証だけ。ASA 8.2+ での SSL VPN にかぎります)

プライマリ クレデンシャルに使用したのと同じユーザ名をセカンダリ クレデンシャルに使用するかどうか。このオプションを選択した場合、ユーザは、プライマリ クレデンシャルで認証されたあと、セカンダリ パスワードだけを要求されます。このオプションを選択しない場合は、セカンダリ プロンプトによってユーザ名とパスワードの両方が要求されます。

[Secondary AAA] タブ([Connection Profiles])

[Secondary AAA] タブを使用して、ASA 8.2+ デバイスで使用する SSL VPN 接続プロファイル ポリシーにセカンダリ AAA 認証パラメータを設定します。これらの設定は、リモート アクセス IPSec VPN や Easy VPN トポロジ、またはその他のデバイス タイプには適用されません。

ナビゲーション パス

「[Connection Profiles] ページ」から、[Add] ボタンをクリックするか、エントリを選択して [Edit] ボタンを選択します。次に [Secondary AAA] タブを選択します。

関連項目

「接続プロファイルの設定(ASA)」

フィールド リファレンス

 

表 23-19 [Connection Profile] の [Secondary AAA] タブ

要素
説明

[Enable Double Authentication]

SSL VPN 接続を完了する前にユーザに 2 つのクレデンシャル セット(ユーザ名とパスワード)を要求する二重認証をイネーブルにするかどうか。

[Secondary Authentication Server Group]

2 番目のクレデンシャル セットで使用する認証サーバ グループの名前(トンネル グループがローカル デバイスに設定されている場合は LOCAL です)。AAA サーバ グループ オブジェクトの名前を入力します。または、[Select] をクリックしてリストから選択するか、新しいオブジェクトを作成します。

クライアントの接続先のインターフェイスに基づいて別の認証サーバ グループを使用する場合は、このタブの一番下にある [Secondary Interface-Specific Authentication Server Groups] テーブルでサーバ グループを設定します(後述の説明を参照)。

[Use LOCAL if Server Group Fails]

選択した認証サーバ グループで障害が発生した場合に、ローカルの認証データベースに切り替えるかどうか。

[Use Primary Username for Secondary Authentication]

プライマリ クレデンシャルに使用したのと同じユーザ名をセカンダリ クレデンシャルに使用するかどうか。このオプションを選択した場合、ユーザは、プライマリ クレデンシャルで認証されたあと、セカンダリ パスワードだけを要求されます。このオプションを選択しない場合は、セカンダリ プロンプトによってユーザ名とパスワードの両方が要求されます。

[Username for Session]

ソフトウェアがユーザ セッションに使用するユーザ名。プライマリ名かセカンダリ名のいずれかとなります。プライマリ名だけを要求する場合は、プライマリを選択します。

(注) デフォルトでは、複数のユーザ名が存在する場合、AnyConnect では、複数のセッションの間、両方のユーザ名を記憶します。また、ヘッドエンド デバイスに、クライアントがユーザ名の両方を記憶するか、またはいずれも記憶しないかについての管理制御機能が備えられていることもあります。

[Authorization Authentication Server]

認可に使用するサーバ。([AAA] タブで定義されている)プライマリ認証サーバか、このタブで設定されているセカンダリ認証サーバのいずれかです。

[Distinguished Name (DN) Secondary Authorization Setting]

認可用の識別名を使用する方法。Distinguished Name(DN; 識別名)は、個々のフィールドから構成される一意の識別子であり、ユーザをトンネル グループと照合するときに識別子として使用できます。DN 規則は、拡張証明書認証に使用されます。次のオプションから選択して、認可時の DN の使用方法を決定します。

[Use Entire DN as the Username]:DN 特定のフィールドに焦点を当てることなく、全体を使用します。

[Specify Individual DN fields as the Username]:特定のフィールドに焦点を当てます。プライマリ フィールドを選択し、オプションでセカンダリ フィールドを選択します。デフォルトでは、User Identification(UID; ユーザ ID)フィールドだけを使用します。

[Secondary Interface-Specific Authentication Server Groups] テーブル

特定のインターフェイスを介して接続するクライアントがグローバル プールとは異なるサーバ グループを使用するように、そのインターフェイスに対して個別のセカンダリ認証サーバ グループを設定する場合は、そのインターフェイスをこのテーブルに追加し、個別のグループを設定します。ここに記載されていないインターフェイスでは、グローバル認証サーバ グループを使用します。この表には、サーバ グループと、サーバ グループが使用可能でない場合にローカル認証を使用するかどうかを示します。

セカンダリ インターフェイス固有の認証グループをリストに追加するには、[Add Row] ボタンをクリックし、「[Add Interface Specific Authentication Server Groups]/[Edit Interface Specific Authentication Server Groups] ダイアログボックス」に入力します。

インターフェイス設定を編集するには、そのインターフェイス設定を選択し、[Edit Row] ボタンをクリックします。

インターフェイス設定を削除するには、そのインターフェイス設定を選択し、[Delete Row] ボタンをクリックします。

[IPSec] タブ([Connection Profiles])

[Connection Profiles] ページの [IPsec] タブを使用して、接続ポリシーに IPsec および IKE パラメータを指定します。

ナビゲーション パス

「[Connection Profiles] ページ」から、[Add Row] ボタンをクリックするか、エントリを選択して [Edit Row] ボタンをクリックします。次に [IPSec] タブを選択します。Easy VPN トポロジの場合は、[IPSec] タブをクリックするだけです。

関連項目

「接続プロファイルの設定(ASA)」

「Easy VPN における Connection Profile ポリシーの設定」

「Easy VPN について」

フィールド リファレンス

 

表 23-20 [Connection Profiles] の [IPsec] タブ

要素
説明

[Preshared Key]

接続プロファイルの事前共有キーの値。事前共有キーの最大長は 127 文字です。[Confirm] フィールドにキーを再入力します。

[Trustpoint Name]

トラストポイント名を定義する PKI 登録ポリシー オブジェクトの名前(トラストポイントが設定されている場合)。トラストポイントは Certificate Authority(CA; 認証局)とアイデンティティのペアを表し、CA のアイデンティティ、CA 固有の設定パラメータ、および登録されている 1 つのアイデンティティ証明書との関連付けが含まれます。

[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

[IKE Peer ID Validation]

IKE ピア ID 検証を無視する(確認しない)か、必須とするか、または証明書によってサポートされている場合にかぎり確認するかを選択します。IKE ネゴシエーション中、ピアは互いに自身を識別する必要があります。

[Enable Sending Certificate Chain]

認可で証明書チェーンの送信をイネーブルにするかどうか。証明書チェーンには、ルート CA 証明書、アイデンティティ証明書、およびキー ペアが含まれます。

[Enable Password Update with RADIUS Authentication]

RADIUS 認証プロトコルを使用してパスワードを更新できるかどうか。詳細については、「サポートされる AAA サーバ タイプ」を参照してください。

[ISAKMP Keepalive]

ISAKMP キープアライブをモニタするかどうか。[Monitor Keepalive] オプションを選択した場合、デフォルトのフェールオーバーおよびルーティングのメカニズムとして IKE キープアライブを設定できます。次のパラメータを入力します。

[Confidence Interval]:IKE キープアライブ パケットの送信と送信の間のデバイスの待機時間(秒単位)。

[Retry Interval]:リモート ピアとの IKE 接続を確立しようとする試行と試行の間のデバイスの待機時間(秒単位)。デフォルトは 2 秒です。

詳細については、「ISAKMP/IPsec 設定について」を参照してください。

[Client Software Update] テーブル

クライアント プラットフォームの VPN クライアントのリビジョン レベルおよび URL。すべての [All Windows Platforms]、[Windows 95/98/ME]、[Windows NT4.0/2000/XP]、または [VPN3002 Hardware Client] に対して別々のリビジョン レベルを設定できます。

プラットフォームにクライアントを設定するには、クライアントを選択して [Edit Row] ボタンをクリックし、「[IPSec Client Software Update] ダイアログボックス」に入力します。

[IPSec Client Software Update] ダイアログボックス

[IPSec Client Software Update] ダイアログボックスを使用して、VPN クライアントの特定のリビジョン レベルおよびイメージ URL を設定します。

ナビゲーション パス

「[IPSec] タブ([Connection Profiles])」から、[Client Software Update] テーブル内のクライアント タイプを選択し、[Edit] をクリックします。

関連項目

「[Connection Profiles] ページ」

「接続プロファイルの設定(ASA)」

フィールド リファレンス

 

表 23-21 [IPSec Client Software Update] ダイアログボックス

要素
説明

[Client Type]

変更するクライアントのタイプ。

[Client Revisions]

クライアントのリビジョン レベル。

[Image URL]

クライアント ソフトウェア イメージの URL。

[SSL] タブ([Connection Profiles])

[Connection Profile] ダイアログボックスの [SSL] タブを使用して、接続プロファイル ポリシーの WINS サーバの設定、SSL VPN エンドユーザ ログイン Web ページのカスタマイズ済みルック アンド フィールの選択、クライアント アドレス割り当てに使用する DHCP サーバの選択、およびインターフェイスとクライアント IP アドレス プールの関連付けの確立を行います。これらの設定は、リモート アクセス IPSec VPN や Easy VPN トポロジには適用されません。

ナビゲーション パス

「[Connection Profiles] ページ」から、[Add] ボタンをクリックするか、エントリを選択して [Edit] ボタンをクリックします。次に [SSL] タブを選択します。

関連項目

「接続プロファイルの設定(ASA)」

「WINS/NetBIOS Name Service(NBNS)サーバの設定による SSL VPN でのファイル システム アクセスのイネーブル化」

「ネットワーク/ホスト オブジェクトについて」

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

フィールド リファレンス

 

表 23-22 [Connection Profile] の [SSL] タブ

要素
説明

[WINS Servers List]

CIFS 名前解決に使用する Windows Internet Naming Server(WINS)サーバ リストの名前。

SSL VPN は、CIFS プロトコルを使用して、リモート システムのファイルをアクセスまたは共有します。Windows コンピュータの名前を使用してそのコンピュータへのファイル共有接続を試行する場合、指定するファイル サーバは、ネットワーク上のリソースを識別する特定の WINS サーバ名と対応しています。

WINS サーバ リストは、Windows ファイル サーバ名を IP アドレスに変換するために使用される WINS サーバのリストを定義するものです。セキュリティ アプライアンスは、WINS サーバを照会して、WINS 名を IP アドレスにマップします。少なくとも 1 台の WINS サーバを設定する必要があります。冗長性のために最大 3 台設定できます。セキュリティ アプライアンスは、リストの最初のサーバを WINS/CIFS 名前解決に使用します。クエリーが失敗すると、次のサーバが使用されます。

WINS サーバ リストは、定義済みのオブジェクトです。別の WINS サーバ リストを使用する場合は、[Select] をクリックして、すべての WINS サーバ リスト オブジェクトが一覧表示された [WINS Server List Selector] ダイアログボックスを開きます。このダイアログボックスで、WINS サーバ リスト オブジェクトを作成できます。

[DNS Group]

SSL VPN トンネル グループに使用する DNS グループ。DNS グループは、ホスト名をトンネル グループに適した DNS サーバに解決します。

[Portal Page Customization]

提供されたフィールドで、デフォルトの SSL VPN カスタマイゼーション プロファイルを指定します。このプロファイルでは、リモート ユーザが SSL VPN ネットワーク上で使用可能なすべてのリソースにアクセスできるようにするためのポータル ページの外観を定義します。

(注) カスタマイゼーション プロファイルとグループの組み合わせを使用することで、個々のグループにそれぞれ異なるログイン ウィンドウを設定できます。たとえば、salesgui という名前のカスタマイゼーション プロファイルを作成してあるとすると、そのカスタマイゼーション プロファイルを使用する sales という名前の SSL VPN グループを作成できます。[Customization Profiles] ダイアログボックスの [General] タブで、グループを指定します。

カスタマイゼーション プロファイルは、定義済みのオブジェクトです。[Select] をクリックすると、[SSL VPN Customization Selector] ダイアログボックスが開きます。このダイアログボックスで、カスタマイゼーション オブジェクトを選択または作成できます。

[Override SVC Download]

特定のトンネル グループを使用してログインするクライアントレス ユーザに、ダウンロード プロンプトの時間切れを待たなくてもクライアントレス SSL VPN ホームページが表示されるようにする場合は、このチェックボックスをオンにします。この場合、これらのユーザには即時にクライアントレス SSL VPN ホームページが表示されます。

[Reject Radius Message]

認証の失敗に関する RADIUS メッセージをリモート ユーザに表示する場合は、このチェックボックスをオンにします。

[Connection Aliases]

[Alias]

トンネル グループの参照に使用する代替名。

グループ エイリアスにより、ユーザがトンネル グループの参照に使用できる 1 つ以上の代替名が作成されます。同じグループが複数の通常名(「Devtest」と「QA」など)で認識されている場合は、この機能が役立ちます。トンネル グループの実際の名前をこのリストに表示する場合は、その名前をエイリアスとして指定する必要があります。ここで指定したグループ エイリアスは、ログイン ページに表示されます。各トンネル グループには、複数のエイリアスを指定することも、エイリアスを指定しないこともできます。

詳細については、「接続プロファイルについて(ASA)」を参照してください。

[Status]

グループ エイリアスをイネーブルにするかどうかを指定します。

イネーブルにした場合は、ログイン時にグループ エイリアスがリストに表示されます。

[Create] ボタン

グループ エイリアスを作成するための「[Add Connection Alias]/[Edit Connection Alias] ダイアログボックス」を開きます。

[Edit] ボタン

テーブル内で選択したグループ エイリアスの設定を編集するための「[Add Connection Alias]/[Edit Connection Alias] ダイアログボックス」を開きます。

[Delete] ボタン

テーブル内で選択した 1 つ以上のグループ エイリアスを削除します。

[Group URLs]

[URL]

トンネル グループ接続プロファイルと関連付けられた URL。

1 つのトンネル グループに対して複数の URL を設定できます。または、URL を設定しないこともできます。各 URL は、個別にイネーブルまたはディセーブルにできます。URL ごとに、HTTP または HTTPS プロトコルを使用して URL 全部を指定することにより、個別の指定を使用する必要があります。

詳細については、「接続プロファイルについて(ASA)」を参照してください。

[Status]

グループ URL をイネーブルにするかどうかを指定します。イネーブルにした場合、ログイン時にグループを選択する必要はありません。

[Create] ボタン

このボタンをクリックすると、グループ URL を作成するための [Add Group URL] ダイアログボックスが開きます。「[Add Connection URL]/[Edit Connection URL] ダイアログボックス」を参照してください。

[Edit] ボタン

テーブル内のグループ URL を選択してこのボタンをクリックすると、設定を編集するための [Edit Group URL] ダイアログボックスが開きます。「[Add Connection URL]/[Edit Connection URL] ダイアログボックス」を参照してください。

[Delete] ボタン

1 つ以上のグループ URL の行を選択し、このボタンをクリックしてリストから削除します。

[Add Connection Alias]/[Edit Connection Alias] ダイアログボックス

[Add Connection Alias]/[Edit Connection Alias] ダイアログボックスを使用して、SSL VPN 接続プロファイルの接続エイリアスを作成または編集します。接続エイリアスを指定すると、ユーザがトンネル グループの参照に使用できる 1 つ以上の代替名が作成されます。

ナビゲーション パス

「[SSL] タブ([Connection Profiles])」を開き、[Connection Aliases] テーブルの下の [Create] をクリックするか、テーブル内の行を選択して [Edit] をクリックします。

関連項目

「[Connection Profiles] ページ」

「接続プロファイルの設定(ASA)」

フィールド リファレンス

 

表 23-23 [Add Connection Profile]/[Edit Connection Profile] > [Add Connection Alias]/[Edit Connection Alias] ダイアログボックス

要素
説明

[Enabled]

接続エイリアスがイネーブルになっているかどうかを示します。

[Connection Alias]

接続プロファイルの代替名。

ここで指定した接続エイリアスは、ユーザのログイン ページのリストに表示されます。各グループに対して複数のエイリアスを指定することも、エイリアスを指定しないこともできます。それぞれを別のコマンドで指定します。

[Add Connection URL]/[Edit Connection URL] ダイアログボックス

このダイアログボックスを使用して、トンネル グループに着信 URL または IP アドレスを指定します。トンネル グループ内の接続 URL がイネーブルになっている場合、セキュリティ アプライアンスにより、関連付けられたトンネル グループが選択され、ログイン ウィンドウ内にユーザ名フィールドとパスワード フィールドだけが表示されます。


) 1 つのグループに対して複数の URL またはアドレスを設定できます(何も設定しないこともできます)。各 URL またはアドレスは、個別にイネーブルまたはディセーブルにできます。

同じ URL またはアドレスを複数のグループに関連付けることはできません。セキュリティ アプライアンスは、トンネル グループの URL またはアドレスを受け入れる前に、URL またはアドレスの一意性を検証します。


ナビゲーション パス

「[SSL] タブ([Connection Profiles])」を開き、[Group URLs] テーブルの下の [Create] をクリックするか、テーブル内の行を選択して [Edit] をクリックします。

関連項目

「[Connection Profiles] ページ」

「接続プロファイルの設定(ASA)」

フィールド リファレンス

 

表 23-24 [Add Connection URL]/[Edit Connection URL] ダイアログボックス

要素
説明

[Enabled]

接続 URL がイネーブルになっているかどうかを示します。

[Connection URL]

リストからプロトコル([http] または [https])を選択し、提供されたフィールドで接続の着信 URL を指定します。

[Dynamic Access] ページ(ASA)

[Dynamic Access] ページを使用して、セキュリティ アプライアンスで定義されている Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)を参照します。このページから、DAP を作成、編集、または削除できます。

[Cisco Secure Desktop] セクションを使用して、選択した ASA デバイスで Cisco Secure Desktop(CSD)ソフトウェアをイネーブルにし、ダウンロードします。Cisco Secure Desktop は、クライアント システム上にセッション アクティビティおよび削除のためのセキュアなロケーションを 1 つだけ提供することで、機密性が高いデータを SSL VPN セッションの間だけ共有できるようにしています。


) SSL VPN ポリシーが適切に機能するためには、CSD クライアント ソフトウェアがデバイスにインストールされてアクティブになっている必要があります。



ヒント ダイナミック アクセス ポリシーは、グループ ポリシーに優先します。ダイナミック アクセス ポリシーで設定を指定していない場合、ASA デバイスは設定を指定しているグループ ポリシーがないかどうかを確認します。

ナビゲーション パス

(デバイス ビュー)ASA デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [Dynamic Access (ASA)] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [Dynamic Access (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「ダイナミック アクセス ポリシーについて」

「ダイナミック アクセス ポリシーの設定」

「DAP 属性について」

「DAP 属性の設定」

「ASA デバイスでの Cisco Secure Desktop ポリシーの設定」

フィールド リファレンス

 

表 23-25 [Dynamic Access Policy] ページ(ASA)

要素
説明

[Priority]

設定済みのダイナミック アクセス ポリシー レコードのプライオリティ。

[Name]

設定済みのダイナミック アクセス ポリシー レコードの名前。

[Network ACL]

セッションに適用されるファイアウォール ACL の名前。

[WebType ACL]

セッションに適用される Web タイプ VPN ACL。

[Port Forwarding]

セッションに適用されるポート転送リストの名前。

[Bookmark]

セッションに適用される SSL VPN ブックマーク オブジェクトの名前。

[Terminate]

セッションが終了しているかどうかを示します。

[Description]

設定済みのダイナミック アクセス ポリシーに関する追加情報。

[Create] ボタン

このボタンをクリックして、ダイナミック アクセス ポリシーを作成します。「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を参照してください。

[Edit] ボタン

このボタンをクリックして、選択したダイナミック アクセス ポリシーを編集します。「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を参照してください。

[Delete] ボタン

このボタンをクリックして、選択したダイナミック アクセス ポリシーを削除します。

Cisco Secure Desktop

ASA デバイスで CSD を設定する手順については、「ASA デバイスでの Cisco Secure Desktop ポリシーの設定」を参照してください。

[Enable]

選択すると、デバイスで CSD がイネーブルになります。CSD をイネーブルにすると、指定した Cisco Secure Desktop パッケージがロードされます。CSD パッケージ ファイルを転送または置換する場合は、CSD をいったんディセーブルにしてから、CSD をイネーブルにしてファイルをロードします。

[Package]

[Version]

デバイスにアップロードする Cisco Secure Desktop パッケージを識別するファイル オブジェクトの名前を指定します。

[Select] をクリックして既存のファイル オブジェクトを選択するか、または新しいファイル オブジェクトを作成します。詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

(注) パッケージ バージョンは、ASA オペレーティング システムのバージョンと互換性がある必要があります。デバイス ビューでローカル ポリシーを作成する場合、[Version] フィールドは選択する必要がある CSD パッケージ バージョンを示します(バージョンはパッケージ ファイル名に含まれています。たとえば、securedesktop-asa_k9-3.3.0.118.pkg は CSD バージョン 3.3.0.118 です)。ポリシー ビューで共有ポリシーを作成する場合、[Version] フィールドは選択した CSD ファイルのバージョンを示します。バージョン互換性の詳細については、「SSL VPN サポート ファイルの概要および管理」を参照してください。

[Configure]

[Configure] をクリックして、セキュリティ アプライアンスに CSD を設定できる Cisco Secure Desktop Manager(CSDM)ポリシー エディタを開きます。このダイアログボックスの要素の詳細については、「[Cisco Secure Desktop Manager Policy Editor] ダイアログボックス」を参照してください。

[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス

[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスを使用して、セキュリティ アプライアンスで Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)を設定します。追加するダイナミック アクセス ポリシーに名前を指定し、プライオリティを選択し、LUA 表現で属性を指定できます。また、ネットワークおよび Web タイプ ACL フィルタ、ファイル アクセス、HTTP プロキシ、URL エントリおよびリスト、ポート転送、およびクライアントレス SSL VPN アクセス方式に対して属性を設定できます。


) ダイナミック アクセス ポリシー属性の詳細については、「DAP 属性について」を参照してください。


これらのタブは、[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスで使用可能です。

「[Main] タブ」

「[Logical Operators] タブ」

「[Advanced Expressions] タブ」

ナビゲーション パス

「[Dynamic Access] ページ(ASA)」を開き、[Create] をクリックするか、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスが表示されます。

関連項目

「ダイナミック アクセス ポリシーについて」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-26 [Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス

要素
説明

[Name]

ダイナミック アクセス ポリシー レコードの名前(最大 128 文字)。

[Priority]

ダイナミック アクセス ポリシー レコードのプライオリティ。セキュリティ アプライアンスは、ここで設定した順序でアクセス ポリシーを適用します。数が大きいほどプライオリティは高くなります。プライオリティ設定が同じで、ACL 規則が競合するダイナミック アクセス ポリシー レコードがある場合は、最も厳しい規則が適用されます。

[Description]

ダイナミック アクセス ポリシー レコードに関する追加情報(最大 1024 文字)。

[Main] タブ

ダイナミック アクセス ポリシー エントリを追加し、設定するリモート アクセスのタイプに応じてアクセス ポリシーの属性を設定できます。

このタブの要素の詳細については、「[Main] タブ」を参照してください。

[Logical Operators] タブ

各タイプのエンドポイント属性の複数のインスタンスを作成できます。

このタブの要素の詳細については、「[Logical Operators] タブ」を参照してください。

[Advanced Expressions] タブ

1 つ以上の論理式を設定して、[AAA] および [Endpoint] 領域で設定できない AAA 属性またはエンドポイント属性を設定できます。

このタブの要素の詳細については、「[Advanced Expressions] タブ」を参照してください。

[Main] タブ

[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスの [Main] タブを使用して、セキュリティ アプライアンスでサポートされるダイナミック アクセス ポリシー属性およびリモート アクセス方式のタイプを設定します。ネットワークおよび Web タイプ ACL フィルタ、ファイル アクセス、HTTP プロキシ、URL エントリおよびリスト、ポート転送、およびクライアントレス SSL VPN アクセス方式に対して属性を設定できます。

ナビゲーション パス

[Main] タブは、「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開くと表示されます。

関連項目

「ダイナミック アクセス ポリシーの設定」

「DAP 属性の設定」

フィールド リファレンス

 

表 23-27 [Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス > [Main] タブ

要素
説明

[Criteria ID]

ダイナミック アクセス ポリシーに使用可能な AAA およびエンドポイントの選択属性名。

[Content]

セキュリティ アプライアンスがセッションの確立中にダイナミック アクセス ポリシー レコードを選択および適用するために使用する、AAA 属性およびエンドポイント属性の値。ここで設定した属性値は、AAA システム内の認可の値(既存のグループ ポリシー、トンネル グループ、およびデフォルト グループ レコード内の値を含む)を上書きします。

[Create] ボタン

このボタンをクリックして、AAA 属性およびエンドポイント属性を DAP レコードの選択基準として設定します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス」を参照してください。

[Edit] ボタン

このボタンをクリックして、選択したダイナミック アクセス ポリシーを編集します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス」を参照してください。

[Delete] ボタン

このボタンをクリックして、選択したダイナミック アクセス ポリシーを削除します。

[Access Method]

許可されるリモート アクセスのタイプを指定します。

[Unchanged]:現在のリモート アクセス方式を引き続き使用します。

[AnyConnect Client]:Cisco AnyConnect VPN クライアントを使用して接続します。

[Web Portal]:クライアントレス VPN を使用して接続します。

[Both default Web Portal]:クライアントレスまたは AnyConnect クライアントを介して接続します。デフォルトはクライアントレスです。

[Both default AnyConnect Client]:クライアントレスまたは AnyConnect クライアントを介して接続します。デフォルトは AnyConnect です。

[Network ACL] タブ:このダイナミック アクセス ポリシーに適用するネットワーク ACL を選択および設定できます。ダイナミック アクセス ポリシーの ACL には、許可規則と拒否規則のいずれかを含めることができますが、両方を含めることはできません。ACL に許可規則と拒否規則の両方が含まれる場合は、セキュリティ アプライアンスで拒否されます。

[Network ACL]

SSL†VPN へのユーザ アクセスを制限するために使用される Access Control List(ACL; アクセス コントロール リスト)が一覧表示されます。

[Select] ボタンをクリックして、選択を行える [Access Control Lists Selector] を開きます。ACL には、パケットのトラフィック ストリームが記述された条件と、それらの条件に基づいて実行する処理が記述されたアクションが含まれます。許可規則だけ、または拒否規則だけが含まれている ACL だけが適格となります。

[WebType ACL] タブ:このダイナミック アクセス ポリシーに適用する Web タイプ ACL を選択および設定できます。ダイナミック アクセス ポリシーの ACL には、許可規則または拒否規則を含めることができます。ACL に許可規則と拒否規則の両方が含まれる場合は、セキュリティ アプライアンスで拒否されます。

[Web Type ACL]

SSL†VPN へのユーザ アクセスを制限するために使用される Web タイプ アクセス コントロール リストを指定します。

[Select] ボタンをクリックして、選択を行える [Access Control Lists Selector] を開きます。許可規則だけ、または拒否規則だけが含まれている ACL だけが適格となります。

[Functions] タブ:ファイル サーバのエントリとブラウズ、HTTP プロキシ、およびダイナミック アクセス ポリシーの URL エントリを設定できます。

[File Server Browser]

ポータル ページで設定するファイル サーバ ブラウズ設定を指定します。

[Unchanged]:このセッションに適用するグループ ポリシーの値を使用します。

[Enable]:ファイル サーバまたは共有機能に対する CIFS ブラウズをイネーブルにします。

[Disable]:ファイル サーバまたは共有機能に対する CIFS ブラウズをディセーブルにします。

CIFS ブラウズ機能では、国際化がサポートされていません。

[File Server Entry]

ポータル ページで設定するファイル サーバ エントリ設定を指定します。

[Unchanged]:このセッションに適用するグループ ポリシーの値を使用します。

[Enable]:ユーザはポータル ページでファイル サーバのパスおよび名前を入力できます。

イネーブルになっている場合、ポータル ページにファイル サーバ エントリのドローアが配置されます。ユーザは、Windows ファイルへのパス名を直接入力できます。ユーザは、ファイルをダウンロード、編集、削除、名前変更、および移動できます。また、ファイルおよびフォルダを追加することもできます。適用可能な Windows サーバでユーザ アクセスに対して共有を設定する必要もあります。ネットワークの要件によっては、ユーザがファイルへのアクセス前に認証を受ける必要があることもあります。

[Disable]:ユーザはポータル ページでファイル サーバのパスおよび名前を入力できません。

[HTTP Proxy]

HTTPS 接続を終了して HTTP/HTTPS 要求を HTTP および HTTPS プロキシ サーバに転送するための、セキュリティ アプライアンスの設定を指定します。

[Unchanged]:このセッションに適用するグループ ポリシーの値を使用します。

[Enable]:HTTP アプレット プロキシのクライアントへの転送を許可します。

このプロキシは、適切なコンテンツ変換に干渉するテクノロジー(Java、ActiveX、Flash など)に対して有用です。このプロキシによって、セキュリティ アプライアンスの使用を継続しながら、マングリングを回避できます。転送されたプロキシは、ブラウザの古いプロキシ設定を変更し、すべての HTTP および HTTPS 要求を新しいプロキシ設定にリダイレクトします。HTTP アプレット プロキシでは、HTML、CSS、JavaScript、VBScript、ActiveX、Java など、ほとんどすべてのクライアント側テクノロジーがサポートされています。サポートされているブラウザは、Microsoft Internet Explorer だけです。

[Disable]:HTTP アプレット プロキシのクライアントへの転送をディセーブルにします。

[Auto-start]:HTTP プロキシをイネーブルにし、DAP レコードによりこれらの機能に関連付けられたアプレットが自動的に起動されるように設定します。

[URL Entry]

SSL VPN を使用しても、すべてのサイトとの通信が必ずしもセキュアになるとはかぎりません。SSL VPN は、リモート ユーザの PC またはワークステーションと、企業ネットワークのセキュリティ アプライアンスの間におけるデータ送信のセキュリティを確保します。ユーザが(インターネットまたは内部ネットワークに存在する)HTTPS 以外の Web リソースにアクセスする場合、企業セキュリティ アプライアンスから宛先 Web サーバへの通信は保護されません。

クライアントレス VPN 接続では、セキュリティ アプライアンスがエンド ユーザ Web ブラウザとターゲット Web サーバの間のプロキシとして機能します。ユーザが SSL 対応の Web サーバに接続すると、セキュリティ アプライアンスによりセキュアな接続が確立され、サーバ SSL 証明書が検証されます。エンド ユーザ ブラウザでは提示された証明書を受信しないため、証明書を調査して検証することはできません。SSL VPN の現在の実装では、期限切れになった証明書を提示するサイトとの通信は許可されません。また、セキュリティ アプライアンスが信頼できる CA 証明書検証を実行することも許可されません。このため、ユーザは、SSL 対応の Web サーバと通信する前に、そのサーバにより提示された証明書を分析することはできません。

ポータル ページでの URL エントリの設定を指定します。

[Unchanged]:このセッションに適用するグループ ポリシーの値を使用します。

[Enable]:ユーザはポータル ページで HTTP または HTTPS の URL を入力できます。この機能がイネーブルになっている場合、ユーザは URL エントリ ボックスに Web アドレスを入力できます。また、クライアントレス SSL VPN を使用して、これらの Web サイトにアクセスできます。

[Disable]:ユーザはポータル ページで HTTP または HTTPS の URL を入力できません。

[Disable] を選択します。これにより、SSL VPN ユーザはクライアントレス VPN 接続中に Web をサーフィンできなくなります。

[Port Forwarding] タブ:ユーザ セッションのポート転送リストを選択および設定できます。

(注) ポート転送は、一部の SSL/TLS バージョンでは使用できません。


注意 ポート転送(アプリケーション アクセス)およびデジタル証明書をサポートする Sun Microsystems Java Runtime Environment(JRE)1.4+ がリモート コンピュータにインストールされていることを確認します。

[Port Forwarding]

この DAP レコードに適用されるポート転送リストのオプションを選択します。

[Unchanged]:ランニング コンフィギュレーションから属性を削除します。

[Enable]:デバイスでポート転送をイネーブルにします。

[Disable]:デバイスでポート転送をディセーブルにします。

[Auto-start]:ポート転送をイネーブルにし、DAP レコードによりそのポート転送リストに関連付けられたポート転送アプレットが自動的に起動されるように設定します。

[Port Forwarding List]

クライアント マシン上のポート番号から SSL VPN ゲートウェイの背後にあるアプリケーションの IP アドレスとポートへのマッピングを定義する、ポート転送リスト。

[Select] をクリックすると [Port Forwarding List Selector] が開き、そこで、ポート転送リスト オブジェクトのリストから必要なポート転送リストを選択できます。ポート転送リスト オブジェクトは、リモート クライアント上のポート番号を SSL VPN ゲートウェイの背後にあるアプリケーションの IP アドレスとポートにマッピングします。

[Bookmark] タブ:SSL VPN ブックマークをイネーブルにし、設定できます。イネーブルになっている場合、SSL VPN に正常にログインしたユーザに、定義済みのブックマークのリストを含むポータル ページが表示されます。これらのブックマークにより、ユーザは [Clientless] アクセス モードで SSL VPN Web サイト上で使用可能なリソースにアクセスできます。

[Enable Bookmarks]

選択すると、SSL VPN ポータル ページのブックマークがイネーブルになります。

[Bookmarks]

ユーザが SSL VPN Web サイトで使用可能なリソースにアクセスできるように、ポータル ページにブックマークとして表示される Web サイトのリスト。

[Select] をクリックすると、[Bookmarks Selector] が開きます。このセレクタで適宜、リストから目的のブックマークを選択するか、新しいブックマークを作成できます。

[Action] タブ:特定の接続またはセッションに適用される特別な処理を指定します。

[Terminate]

選択した場合、セッションが終了します。デフォルトでは、アクセス ポリシー属性がセッションに適用され、セッションは実行されます。

[User Message]

この DAP レコードが選択されたときにポータル ページに表示されるテキスト メッセージを入力します。最大 128 文字を入力できます。ユーザ メッセージは、黄色のオーブとして表示されます。ユーザがログオンすると、メッセージは 3 回点滅してから静止します。複数の DAP レコードが選択されており、かつ、それぞれにユーザ メッセージが設定されている場合は、すべてのユーザ メッセージが表示されます。

たとえば、All contractors please read <a href=‘http://wwwin.abc.com/procedure.html’> Instructions</a> for the procedure to upgrade your antivirus software. のように入力します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスを使用して、ダイナミック アクセス ポリシーの認可属性とエンドポイント属性を指定します。セキュリティ アプライアンスは、リモート デバイスのエンドポイント セキュリティ情報と認証済みユーザの AAA 認可情報に基づいて、ダイナミック アクセス ポリシーを選択します。次に、そのダイナミック アクセス ポリシーをユーザ トンネルまたはセッションに適用します。


) ダイナミック アクセス ポリシー属性の詳細については、「DAP 属性について」を参照してください。



) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-28 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス

要素
説明

[Criterion]

リストから認可属性またはエンドポイント属性を選択します。この属性は、セキュリティ アプライアンスがセッションの確立中にダイナミック アクセス ポリシーを選択および適用するときに使用する選択基準となります。

[AAA Attributes Cisco]:AAA 階層モデルに格納されているユーザ認可属性を参照します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes Cisco]」を参照してください。

[AAA Attributes LDAP]:LDAP クライアントにおいて、ユーザの AAA セッションに関連付けられたデータベースに、すべてのネイティブ LDAP 応答属性のペアが格納されるように設定します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes LDAP]」を参照してください。

[AAA Attributes RADIUS]:RADIUS クライアントがユーザの AAA セッションに関連付けられたデータベースにすべてのネイティブ RADIUS 応答属性のペアを格納するように設定します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes RADIUS]」を参照してください。

[Anti-Spyware]:[Anti-Spyware] タイプのエンドポイント属性を作成します。Cisco Secure Desktop のホスト スキャン モジュールを使用して、リモート コンピュータで実行されているアンチスパイウェア アプリケーションおよび更新をスキャンできます。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Anti-Spyware]」を参照してください。

[Anti-Virus]:[Anti-Virus] タイプのエンドポイント属性を作成します。Cisco Secure Desktop のホスト スキャン モジュールを使用して、リモート コンピュータで実行されているアンチウイルス アプリケーションおよび更新をスキャンできます。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Anti-Virus]」を参照してください。

[Application]:リモート アクセス接続のタイプを示します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Application]」を参照してください。

[File]:[File] タイプのエンドポイント属性を作成します。Cisco Secure Desktop Manager を使用して、基本ホスト スキャンによって実行されるファイル名チェックを明示的に設定する必要があります。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [File]」を参照してください。

NAC:[NAC] タイプのエンドポイント属性を作成します。NAC は、エンドポイント準拠を実行することにより、ワーム、ウイルス、および不正なアプリケーションの侵入や感染からエンタープライズ ネットワークを保護します。これらのチェックをポスチャ検証と呼びます。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [NAC]」を参照してください。

[Operating System]:[Operating System] タイプのエンドポイント属性を作成します。CSD のプリログイン評価モジュールは、リモート デバイスの OS バージョン、IP アドレス、および Microsoft Windows レジストリ キーをチェックできます。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Operating System]」を参照してください。

[Criterion](続き)

[Personal Firewall]:[Personal Firewall] タイプのエンドポイント属性を作成します。Cisco Secure Desktop のホスト スキャン モジュールを使用して、リモート コンピュータで実行されているパーソナル ファイアウォール アプリケーションおよび更新をスキャンできます。このダイアログボックスの要素の詳細については、「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Personal Firewall]」を参照してください。

[Policy]:[Policy] タイプのエンドポイント属性を作成します。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Policy]」を参照してください。

[Process]:Cisco Secure Desktop Manager を使用して、基本ホスト スキャンによって実行されるプロセス名チェックを明示的に設定する必要があります。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Process]」を参照してください。

[Registry]:[Registry] タイプのエンドポイント属性を作成します。レジストリ キー スキャンは、Microsoft Windows オペレーティング システムを実行しているコンピュータにだけ適用されます。「[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Registry]」を参照してください。

[Description]

ダイナミック アクセス ポリシーに関する追加情報(最大 1024 文字)。

[Main] タブ

ダイナミック アクセス ポリシー エントリを追加し、設定するリモート アクセスのタイプに応じてアクセス ポリシーの属性を設定できます。

このタブの要素の詳細については、「[Main] タブ」を参照してください。

[Logical Operators] タブ

各タイプのエンドポイント属性の複数のインスタンスを作成できます。

このタブの要素の詳細については、「[Logical Operators] タブ」を参照してください。

[Advanced Expressions] タブ

各タイプのエンドポイント属性の複数のインスタンスを設定できます。

このタブの要素の詳細については、「[Advanced Expressions] タブ」を参照してください。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes Cisco]

ダイナミック アクセス ポリシーの選択基準として AAA 属性を設定するには、[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスで、セッションの確立中にダイナミック アクセス ポリシーを選択および適用するときに使用する選択基準として [AAA Attributes Cisco] を設定します。これらの属性を、入力した値と一致するように、または一致しないように設定できます。各ダイナミック アクセス ポリシーの AAA 属性の数に制限はありません。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [AAA Attributes Cisco] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-29 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes Cisco]

要素
説明

[Criterion]

選択基準として [AAA Attributes Cisco] が表示されます。

[Class]

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、ユーザに関連付けられた AAA サーバ グループの名前を入力します。最大長は 64 文字です。

AAA サーバ グループは、ネットワーク セキュリティ ポリシー全体の特定の側面を実施することに焦点を当てた、認証サーバの集合を表します。

[IP Address]

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、割り当てられた IP アドレスを入力します。

アドレスは、定義済みのネットワーク オブジェクトです。また、[Select] をクリックすると、使用可能なすべてのネットワーク ホストが一覧表示されたダイアログボックスが開きます。このダイアログボックスで、ネットワーク ホスト オブジェクトを作成または編集できます。

[Member-of]

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、ユーザに適用されるグループ ポリシー名をカンマ区切りの文字列として入力します。この属性により、複数のグループ メンバーシップを指定できます。最大長は 128 文字です。

[Username]

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、認証済みユーザのユーザ名を入力します。最大 64 文字を使用できます。

[Connection Profiles]

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、セキュリティ アプライアンスで定義されているすべての SSL VPN Connection Profile ポリシーのリストから接続プロファイルを選択します。

SSL VPN 接続プロファイルは、VPN トンネル接続プロファイル ポリシーを含む一連のレコードで構成されます。このレコードには、トンネルそのものの作成に関連する属性も含まれます。

(注) SSL VPN Connection Profiles ポリシーの設定手順については、「接続プロファイルの設定(ASA)」を参照してください。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes LDAP]

LDAP クライアントでは、ユーザの AAA セッションに関連付けられたデータベースに、すべての LDAP 応答属性値のペアが格納されます。LDAP クライアントでは、受信した順に応答属性をデータベースに書き込みます。その名前の後続の属性はすべて廃棄されます。ユーザ レコードとグループ レコードの両方が LDAP サーバから読み込まれると、このシナリオが発生する場合があります。ユーザ レコード属性が最初に読み込まれ、グループ レコード属性よりも常に優先されます。

Active Directory グループ メンバーシップをサポートするために、AAA LDAP クライアントでは、LDAP memberOf 応答属性に対する特別な処理が行われます。AD memberOf 属性は、AD 内のグループ レコードの DN 文字列を指定します。グループの名前は、DN 文字列内の最初の CN 値です。LDAP クライアントでは、DN 文字列からグループ名を抽出して、AAA memberOf 属性として格納し、応答属性データベースに LDAP memberOf 属性として格納します。LDAP 応答メッセージ内に追加の memberOf 属性が存在する場合、それらの属性からグループ名が抽出され、前の AAA memberOf 属性と結合されて、グループ名がカンマで区切られた文字列が生成されます。この文字列は応答属性データベース内で更新されます。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [AAA Attributes LDAP] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-30 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes LDAP]

要素
説明

[Criterion]

選択基準として [AAA Attributes LDAP] が表示されます。

[Attribute ID]

ダイナミック アクセス ポリシー内の LDAP 属性マップの名前を指定します。LDAP 属性マップは、ユーザが定義した属性名をシスコ定義の属性にマッピングします。最大 64 文字を使用できます。

[Value]

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、Cisco マップ値にマップされるカスタム マップ値を入力するか、カスタム マップ値にマップされる Cisco マップ値を入力します。

属性マップには、カスタマーのユーザ定義属性値をカスタマー属性名および一致する Cisco 属性の名前と値に適用する値マッピングが読み込まれます。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes RADIUS]

RADIUS クライアントは、ユーザの AAA セッションに関連付けられたデータベースにすべての RADIUS 応答属性値のペアを格納します。RADIUS クライアントは、受け取った順序で応答属性をデータベースに書き込みます。その名前の後続の属性はすべて廃棄されます。ユーザ レコードおよびグループ レコードの両方が RADIUS サーバから読み込まれた場合、このシナリオが発生する可能性があります。ユーザ レコード属性が最初に読み込まれ、グループ レコード属性よりも常に優先されます。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [AAA Attributes RADIUS] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-31 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [AAA Attributes RADIUS]

要素
説明

[Criterion]

選択基準として [AAA Attributes RADIUS] が表示されます。

[Attribute ID]

ダイナミック アクセス ポリシー内の RADIUS 属性の名前または番号を指定します。最大 64 文字を使用できます。

3 つのセキュリティ アプライアンスすべて(VPN 3000、PIX、および ASA)に対するサポートをより反映するために、RADIUS 属性名に cVPN3000 プレフィクスは含まれていません。アプライアンスは、属性名ではなく属性数値 ID に基づいて RADIUS 属性を適用します。LDAP 属性は、ID ではなく名前で適用されます。

[Value]

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、属性値を入力します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Anti-Spyware]

Cisco Secure Desktop 機能のホスト スキャン機能を使用して、リモート コンピュータで実行されているアンチウイルス、パーソナル ファイアウォール、およびアンチスパイウェアのアプリケーションと更新をスキャンできます。プリログイン ポリシーおよびホスト スキャンのオプションの設定に続いて、ホスト スキャン結果の 1 つまたは任意の組み合わせの一致を設定して、ユーザ ログイン後のダイナミック アクセス ポリシーに割り当てることができます。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Anti-Spyware] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-32 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Anti-Spyware]

要素
説明

[Criterion]

選択基準として [Anti-Spyware] が表示されます。

[Type]

一致基準を選択して、選択したエンドポイント属性とそれに付随する修飾子([Product ID] フィールドの下のフィールド)が存在する必要があるかどうかを指定します。

[Vendor Name]

アプリケーション ベンダーを説明するテキストをリストから選択します。

[Product ID]

リストから選択したベンダーによってサポートされる製品の固有識別情報を選択します。

[Product Description]

[Type] として [Matches] を選択した場合にだけ使用可能です。

チェックボックスをオンにし、リストから製品の説明を選択します。

[Version]

[Type] として [Matches] を選択した場合にだけ使用可能です。

アプリケーションのバージョンを識別し、エンドポイント属性をそのバージョンと等しくするかどうかを指定します。

[Last Update]

[Type] として [Matches] を選択した場合にだけ使用可能です。

最後の更新からの日数を指定します。更新を、ここで入力した日数よりも早く実行するか、遅く実行するかを指定できます。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Anti-Virus]

アンチウイルス アプリケーションおよび更新のスキャンを、Cisco AnyConnect またはクライアントレス SSL VPN 接続の完了の条件として設定できます。プリログイン評価に続いて、Cisco Secure Desktop ではエンドポイント評価チェックをロードし、ダイナミック アクセス ポリシーの割り当てに使用できるように、セキュリティ アプライアンスに結果を返します。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Anti-Virus] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-33 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Anti-Virus]

要素
説明

[Criterion]

選択基準として [Anti-Virus] が表示されます。

[Type]

一致基準を選択して、選択したエンドポイント属性とそれに付随する修飾子([Product ID] フィールドの下のフィールド)が存在する必要があるかどうかを指定します。

[Vendor Name]

アプリケーション ベンダーを説明するテキストをリストから選択します。

[Product ID]

リストから選択したベンダーによってサポートされる製品の固有識別情報を選択します。

[Product Description]

ダイナミック アクセス ポリシーのエンドポイント属性と一致する基準を選択した場合にだけ使用可能です。

チェックボックスをオンにし、リストから製品の説明を選択します。

[Version]

ダイナミック アクセス ポリシーのエンドポイント属性と一致する基準を選択した場合にだけ使用可能です。

アプリケーションのバージョンを識別し、エンドポイント属性をそのバージョンと等しくするかどうかを指定します。

[Last Update]

ダイナミック アクセス ポリシーのエンドポイント属性と一致する基準を選択した場合にだけ使用可能です。

最後の更新からの日数を指定します。更新を、ここで入力した日数よりも早く実行するか、遅く実行するかを指定できます。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Application]

このダイアログボックスを使用して、ダイナミック アクセス ポリシーのエンドポイント属性としてリモート アクセス接続のタイプを指定します。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Application] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-34 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Application]

要素
説明

[Criterion]

選択基準として [Application] が表示されます。

[Client Type]

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] や [ isn't ] など)を選択して、リストからリモート アクセス接続のタイプ([AnyConnect]、[Clientless]、[Cut-through Proxy]、[IPsec]、または [L2TP])を指定します。

(注) クライアント タイプとして [AnyConnect] を選択した場合は、必ず Cisco Secure Desktop をイネーブルにしてください。Cisco Secure Desktop がイネーブルになっていないと、Security Manager でエラーが生成されます。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Device]

[DAP Device Criterion] では、関連付けられたプリログイン ポリシー チェック中に使用できる特定のデバイス情報を提供できます。[host name]、[MAC address]、[port number]、[Privacy Protection selection] のうち、1 つ以上のデバイス属性を指定し、それぞれで [ is ] または [ isn't ] のどちらと照合するかを指定できます。

[ isn't ] は排他的であることに注意してください。たとえば、 Host Name isn't zulu_2 という基準を指定した場合、 zulu_2 という名前でないすべてのデバイスが一致します。

ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Device] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-35 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Device]

要素
説明

[Criterion]

選択された [Criterion] として [Device] が表示されます。

[Host Name]

このオプションを選択し、関連するドロップダウン リストから一致基準([ is ] または [ isn't ])を選択して、照合するデバイス ホスト名を入力します。

[MAC Address]

このオプションを選択し、関連するドロップダウン リストから一致基準([ is ] または [ isn't ])を選択して、照合するデバイスの MAC アドレスを入力します。

[Port Number]

このオプションを選択し、一致基準([ is ] または [ isn't ])を選択して、照合するデバイス ポートを入力または選択します。

[Privacy Protection]

このオプションを選択し、一致基準([ is ] または [ isn't ])を選択し、デバイスで定義されている [Privacy Protection] オプション([none]、[cache cleaner]、または [secure desktop])を選択します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [File]

ファイル基準プリログイン チェックにより、関連付けられたプリログイン ポリシーに対して適格となる条件として、特定のファイルが存在すること、または存在しないことを指定できます。たとえば、ファイル プリログイン チェックを使用して、プリログイン ポリシーの割り当て前に、企業ファイルが必ず存在すること、あるいは悪意のあるソフトウェアを含む 1 つ以上のピアツーピア ファイル共有プログラムが存在してはならないことを指定できます。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [File] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-36 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [File]

要素
説明

[Criterion]

選択基準として [File] が表示されます。

[Type]

このエンドポイント属性が、セッションの確立中にダイナミック アクセス ポリシーを選択および適用するために設定した基準と一致する必要があるか、または一致しない必要があるかを指定します。

[Endpoint ID]

ファイルのエンドポイントを識別する文字列を選択します。ダイナミック アクセス ポリシーでは、この ID を使用して、ダイナミック アクセス ポリシー選択の Cisco Secure Desktop ホスト スキャン属性を照合します。この属性を設定する前に、[Host Scan] を設定する必要があります。[Host Scan] を設定した場合は設定がこのペインに表示されるため、設定を選択して、入力エラーまたは構文エラーの可能性を低減できます。

[Filename]

ファイル名を指定します。

[Last Update]

ダイナミック アクセス ポリシーのエンドポイント属性と一致する基準を選択した場合にだけ使用可能です。

最後の更新からの日数を指定します。更新を、ここで入力した日数よりも早く([<])実行するか、遅く([>])実行するかを指定できます。

[Checksum]

DAP レコードのエンドポイント属性と一致する基準を選択した場合にだけ使用可能です。

このチェックボックスをオンにして、ファイルを認証するようにチェックサムを指定し、次に、0x で始まる 16 進形式でチェックサムを入力します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [NAC]

NAC は、エンドポイント準拠および脆弱性チェックをネットワークへの実稼動アクセスの条件として実行することにより、ワーム、ウイルス、および不正なアプリケーションの侵入や感染からエンタープライズ ネットワークを保護します。これらのチェックを ポスチャ検証 と呼びます。イントラネット上の脆弱なホストにアクセスする前に、ポスチャ検証を設定して、AnyConnect またはクライアントレス SSL VPN セッションを使用するホスト上のアンチウイルス ファイル、パーソナル ファイアウォール規則、または侵入保護ソフトウェアが最新の状態であることを確認できます。ポスチャ検証の一部として、リモート ホストで実行されているアプリケーションが最新のパッチで更新されているか検証することもできます。NAC は、ユーザ認証およびトンネルの設定の完了後に行われます。自動ネットワーク ポリシー実施が適用されないホスト(ホーム PC など)からエンタープライズ ネットワークを保護する場合は、NAC が特に有用です。セキュリティ アプライアンスは、Extensible Authentication Protocol(EAP)over UDP(EAPoUDP)メッセージングを使用して、リモート ホストのポスチャを検証します。

エンドポイントとセキュリティ アプライアンスの間にトンネルが確立されると、ポスチャ検証がトリガーされます。クライアントがポスチャ検証要求に応答しない場合に、クライアントの IP アドレスを任意指定の監査サーバに渡すように、セキュリティ アプライアンスを設定できます。監査サーバ(Trend サーバなど)では、ホスト IP アドレスを使用して、ホストに対して直接チャレンジを行い、ホストのヘルスを評価します。たとえば、ホストに対してチャレンジを行い、そのウイルス チェック ソフトウェアがアクティブで最新の状態かどうかを判断します。監査サーバは、リモート ホストとの対話を完了すると、リモート ホストのヘルスを示すトークンをポスチャ検証サーバに渡します。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [NAC] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-37 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [NAC]

要素
説明

[Criterion]

選択基準として [NAC] が表示されます。

[Posture Status]

ドロップダウン リストから一致基準([ is ] など)を選択して、ACS から受け取ったポスチャ トークン文字列を入力します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Operating System]

プリログイン評価には、VPN 接続の確立を試行する OS のチェックが含まれます。ただし、ユーザが接続を試行すると、OS プリログイン チェックを挿入したかどうかに関係なく、Cisco Secure Desktop によって OS がチェックされます。

接続に割り当てられているプリログイン ポリシーの Secure Desktop(Secure Session)がイネーブルになっており、かつ、リモート PC で Microsoft Windows XP または Windows 2000 が実行されている場合は、OS プリログイン チェックを挿入したかどうかに関係なく、Secure Session がインストールされます。プリログイン ポリシーの Secure Desktop がイネーブルになっており、かつ、オペレーティング システムが Microsoft Windows Vista、Mac OS X 10.4、または Linux の場合は、代わりにキャッシュ クリーナが実行されます。このため、キャッシュ クリーナの設定が、Secure Desktop またはキャッシュ クリーナをインストールするように設定したプリログイン ポリシーに対して適切であることを確認する必要があります。Cisco Secure Desktop により OS がチェックされますが、プリログイン ポリシーを適用して OS ごとに後続のチェックを分離するための条件として OS プリログイン チェックを挿入することもできます。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Operating System] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-38 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Operating System]

要素
説明

[Criterion]

選択基準として [Operating System] が表示されます。

[OS Version]

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、リストから OS バージョン([Windows (various)]、[MAC]、[Linux]、[Pocket PC])を選択します。

[Service Pack]

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、オペレーティング システムのサービス パックを選択します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Personal Firewall]

Cisco Secure Desktop インターフェイスで [Host Scan] をクリックして、エンドポイント評価をイネーブルにします。エンドポイント評価は、リモート コンピュータで実行されているパーソナル ファイアウォールのスキャンです。一部を除くほとんどのパーソナル ファイアウォール プログラムでは、アクティブなスキャンがサポートされています。つまり、このようなスキャンでは、プログラムがメモリに常駐するため、常に動作中になります。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [AAA Attributes Cisco] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-39 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Personal Firewall]

要素
説明

[Criterion]

選択基準として [Personal Firewall] が表示されます。

[Type]

次のいずれかのオプションを選択し、関連する値を割り当てます。

[Matches]: 指定されたパーソナル ファイアウォールがリモート PC 上に存在することだけを、設定するプリログイン ポリシーと一致するための十分条件とする場合は、これを選択します。

[Doesn't Match]:指定されたパーソナル ファイアウォールがリモート PC 上にないことを、設定するプリログイン ポリシーと一致するための十分条件とする場合は、これを選択します。

[Vendor Name]

アプリケーション ベンダーを説明するテキストをリストから選択します。

[Product ID]

リストから選択したベンダーによってサポートされる製品の固有識別情報を選択します。

[Product Description]

このエンドポイント属性とそのすべての設定がリモート PC で使用可能である必要があることを選択した場合にだけ使用可能です。

チェックボックスをオンにし、リストから製品の説明を選択します。

[Version]

このエンドポイント属性とそのすべての設定がリモート PC で使用可能である必要があることを選択した場合にだけ使用可能です。

アプリケーションのバージョンを識別し、エンドポイント属性をそのバージョンと等しくするかどうかを指定します。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Policy]

Windows ロケーションを使用すると、クライアントとバーチャル プライベート ネットワークとの接続方法を判断して適宜に保護できます。たとえば、NAT デバイスの背後にある 10.x.x.x ネットワークの職場 LAN 内から接続しているクライアントが、機密情報を公開するリスクはほとんどないと考えられます。これらのクライアントに対しては、10.x.x.x ネットワーク上の IP アドレスで指定された Work という名前の Cisco Secure Desktop Windows ロケーションを設定し、このロケーションに対してキャッシュ クリーナと Secure Desktop 機能の両方をディセーブルにします。Cisco Secure Desktop は、[Windows Location Settings] ウィンドウのリスト内の順序でロケーションをチェックし、最初に一致したロケーション定義に基づいてクライアント PC に権限を付与します。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Policy] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-40 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Policy]

要素
説明

[Criterion]

選択基準として [Policy] が表示されます。

[Location]

ドロップダウン リストから一致基準([ is ] など)を選択して、リストから Cisco Secure Desktop Microsoft Windows ロケーション プロファイルを選択します。Cisco Secure Desktop Manager で設定されたすべてのロケーションは、このリストに表示されます。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Process]

基本ホスト スキャンの一部となる一連のプロセス名を指定できます。ホスト スキャンは、基本ホスト スキャンとエンドポイント評価または拡張エンドポイント評価で構成され、プリログイン評価の終了後、ダイナミック アクセス ポリシーの割り当ての前に行われます。基本ホスト スキャンに続いて、セキュリティ アプライアンスはログイン クレデンシャル、ホスト スキャン結果、プリログイン ポリシー、および DAP の割り当て用に設定したその他の基準を使用します。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Process] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-41 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Process]

要素
説明

[Criterion]

選択基準として [Process] が表示されます。

[Type]

次のいずれかのオプションを選択し、関連する値を割り当てます。

[Matches]:指定されたプロセスがリモート PC 上に存在することだけを、設定するプリログイン ポリシーと一致するための十分条件とする場合は、これを選択します。

[Doesn't Match]:指定されたプロセスがリモート PC 上にないことを、設定するプリログイン ポリシーに一致するための十分条件とする場合は、これを選択します。

[Endpoint ID]

ファイル、プロセス、またはレジストリ エントリのエンドポイントを示す文字列。ダイナミック アクセス ポリシーでは、この ID を使用して、ダイナミック アクセス ポリシー選択の Cisco Secure Desktop ホスト スキャン属性を照合します。この属性を設定する前に、[Host Scan] を設定する必要があります。[Host Scan] を設定した場合は設定がこのペインに表示されるため、設定を選択して、入力エラーまたは構文エラーの可能性を低減できます。

[Path]

チェックボックスをオンにし、ドロップダウン リストから一致基準([ is ] など)を選択して、プロセスの名前を入力します。これを Microsoft Windows で表示するには、[Windows Task Manager] ウィンドウを開いて [Processes] タブをクリックします。

この属性を設定する前に、[Host Scan] を設定します。[Host Scan] を設定すると、設定がこのペインに表示されるため、DAP を設定する場合にこのエントリをエンドポイント属性として割り当てるとき、この設定を選択して同じインデックスを指定できます。これにより、入力や構文のエラーを減少させることができます。

[Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Registry]

レジストリ キー スキャンは、Microsoft Windows オペレーティング システムを実行しているコンピュータにだけ適用されます。基本ホスト スキャンでは、コンピュータで Mac OS または Linux が実行されている場合にレジストリ キー スキャンを無視します。


) 重複するエントリは許可されません。AAA またはエンドポイント属性のないダイナミック アクセス ポリシーを設定する場合は、すべての選択基準が満たされるため、セキュリティ アプライアンスでは常にそのポリシーが選択されます。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開いて [Main] タブを選択し、[Create] をクリックするか、または、テーブルでダイナミック アクセス ポリシーを選択して [Edit] をクリックします。[Add DAP Entry]/[Edit DAP Entry] ダイアログボックスが表示されます。[Criterion] として [Registry] を選択します。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-42 [Add DAP Entry]/[Edit DAP Entry] ダイアログボックス > [Registry]

要素
説明

[Criterion]

選択基準として [Registry] が表示されます。

[Type]

次のいずれかのオプションを選択し、関連する値を割り当てます。

[Matches]: 指定されたレジストリ キーがリモート PC 上に存在することだけを、設定するプリログイン ポリシーと一致するための十分条件とする場合は、これを選択します。たとえば、プリログイン ポリシーを割り当てるための基準と一致する条件として、HKEY_LOCAL_MACHINE¥SOFTWARE¥<Protective_Software> というレジストリ キーが存在することを要求する場合は、このオプションを選択します。

[Doesn't Match]:指定されたレジストリ キーがリモート PC 上にないことを、設定するプリログイン ポリシーに一致するための十分条件とする場合は、これを選択します。たとえば、プリログイン ポリシーを割り当てるための基準と一致する条件として、HKEY_LOCAL_MACHINE¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥<Evil_SpyWare> というレジストリ キーが存在しないことを要求する場合は、このオプションを選択します。

[Registry Name]

レジストリ名を説明するテキストをリストから選択します。

[Endpoint ID]

ファイル、プロセス、またはレジストリ エントリのエンドポイントを示す文字列。ダイナミック アクセス ポリシーでは、この ID を使用して、ダイナミック アクセス ポリシー選択の Cisco Secure Desktop ホスト スキャン属性を照合します。この属性を設定する前に、[Host Scan] を設定する必要があります。[Host Scan] を設定した場合は設定がこのペインに表示されるため、設定を選択して、入力エラーまたは構文エラーの可能性を低減できます。

[Value]

リストから [dword] または [string] の値を選択し、一致基準(等しいか等しくないか)を選択します。次に、リモート PC 上のレジストリ キーの dword または文字列の値と比較する 10 進数または文字列を入力します。

(注) 「DWORD」は、[Add Registry Criterion]/[Edit Registry Criterion] ダイアログボックス内の属性を参照します。「Dword」は、レジストリ キー内の属性を参照します。Windows コマンドラインからアクセスできる regedit アプリケーションを使用して、レジストリ キーの Dword 値を確認します。または、このアプリケーションを使用して、Dword 値をレジストリ キーに追加して、設定する要件を満たします。

[Ignore Case]

選択すると、レジストリ エントリ内に文字列が含まれている場合に、大文字と小文字の違いが無視されます。

[Logical Operators] タブ

[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスの [Logical Operators] タブを使用して、AAA の複数のインスタンスと、[DAP Entry] ダイアログボックスで定義したエンドポイント属性の各タイプを設定します。このタブで、エンドポイント属性または AAA 属性の各タイプについて、タイプのインスタンスの 1 つのみを必要とするか([Match Any] = OR)か、またはタイプのすべてのインスタンス([Match All] = AND)を必要とするかを設定します。

エンドポイント カテゴリの 1 つのインスタンスだけを設定する場合、値を設定する必要はありません。

エンドポイント属性によっては、複数のインスタンスを設定しても有用でない場合があります。たとえば、複数の OS を実行するユーザがいない場合、

各エンドポイント タイプ内に [Match Any]/[Match All] 操作を設定するとします。この場合、セキュリティ アプライアンスは、エンドポイント属性の各タイプを評価したあと、設定されたすべてのエンドポイントで論理 AND 演算を実行します。つまり、各ユーザは、AAA 属性だけでなく、設定したエンドポイントのすべての条件を満たす必要があります。

ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開き、[Logical Operators] タブをクリックします。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-43 [Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス > [Logical Operators] タブ

要素
説明

[AAA]

ダイナミック アクセス ポリシー内に AAA 属性を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:属性間に OR 関係を作成します。基準のいずれかに一致する属性が、フィルタに追加されます。セキュリティ アプライアンスは、属性のいずれか 1 つがすべての基準に一致していても、特定のユーザに対して、特定のセッションへのアクセスを許可します。

[Match All]:属性間に AND 関係を作成します。セキュリティ アプライアンスは、属性がすべての基準に一致している場合にだけ、特定のユーザに対して、特定のセッションへのアクセスを許可します。

[Match None]:属性間に NOT 関係を作成します。ダイナミック アクセス ポリシーは、セッションへのアクセスを許可するために、ユーザの属性のいずれも一致する必要がないことを指定します。

[Anti-Spyware]

エンドポイント属性として [Anti-Spyware] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:属性間に OR 関係を作成します。基準のいずれかのインスタンスに一致するポリシーが、ユーザの認可に使用されます。

[Match All]:属性間に AND 関係を作成します。すべての基準に一致する属性だけが、ユーザの認可に使用されます。

[Anti-Virus]

エンドポイント属性として [Anti-Virus] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:ユーザ認可属性が、設定しているアンチウイルス エンドポイント属性のいずれかの値と一致する必要があることを設定します。

[Match All]:ユーザ認可属性が、設定しているエンドポイント 属性 のすべての値と一致し、AAA 属性も満たす必要があることを設定します。

[Application]

エンドポイント属性として [Application] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:ユーザ認可属性が、設定しているアンチウイルス エンドポイント属性のいずれかの値と一致する必要があることを設定します。

[Match All]:ユーザ認可属性が、設定しているエンドポイント 属性 のすべての値と一致し、AAA 属性も満たす必要があることを設定します。

[File]

エンドポイント属性として [File] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:ユーザ認可属性が、設定しているアンチウイルス エンドポイント属性のいずれかの値と一致する必要があることを設定します。

[Match All]:ユーザ認可属性が、設定しているエンドポイント 属性 のすべての値と一致し、AAA 属性も満たす必要があることを設定します。

[Policy]

エンドポイント属性として [Policy] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:ユーザ認可属性が、設定しているアンチウイルス エンドポイント属性のいずれかの値と一致する必要があることを設定します。

[Match All]:ユーザ認可属性が、設定しているエンドポイント 属性 のすべての値と一致し、AAA 属性も満たす必要があることを設定します。

[Personal Firewall]

パーソナル ファイアウォール規則を使用すると、ファイアウォールが許可またはブロックするアプリケーションおよびポートを指定できます。エンドポイント属性として [Personal Firewall] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:ユーザ認可属性が、設定しているアンチウイルス エンドポイント属性のいずれかの値と一致する必要があることを設定します。

[Match All]:ユーザ認可属性が、設定しているエンドポイント 属性 のすべての値と一致し、AAA 属性も満たす必要があることを設定します。

[Process]

エンドポイント属性として [Process] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:ユーザ認可属性が、設定しているアンチウイルス エンドポイント属性のいずれかの値と一致する必要があることを設定します。

[Match All]:ユーザ認可属性が、設定しているエンドポイント 属性 のすべての値と一致し、AAA 属性も満たす必要があることを設定します。

[Registry]

レジストリ キー スキャンは、Microsoft Windows オペレーティング システムを実行しているコンピュータにだけ適用されます。基本ホスト スキャンでは、コンピュータで Mac OS または Linux が実行されている場合にレジストリ キー スキャンを無視します。

エンドポイント属性として [Registry] を定義した場合は、次のいずれかのオプションを選択します。

[Match Any]:ユーザ認可属性が、設定しているアンチウイルス エンドポイント属性のいずれかの値と一致する必要があることを設定します。

[Match All]:ユーザ認可属性が、設定しているエンドポイント 属性 のすべての値と一致し、AAA 属性も満たす必要があることを設定します。

[Advanced Expressions] タブ

[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックスの [Advanced Expressions] タブを使用して、ダイナミック アクセス ポリシーの追加属性を設定します。各タイプのエンドポイント属性の複数のインスタンスを設定できます。これは、LUA(www.lua.org)の知識を必要とする高度な機能であることに注意してください。


) 高度な表現の詳細については、「AAA 属性またはエンドポイント属性の高度な表現について」および「DAP 論理式の例」を参照してください。


ナビゲーション パス

「[Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス」を開き、[Advanced Expressions] タブをクリックします。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

フィールド リファレンス

 

表 23-44 [Add Dynamic Access Policy]/[Edit Dynamic Access Policy] ダイアログボックス > [Advanced Expressions] タブ

要素
説明

[Basic Expressions]

このテキスト ボックスには、ダイナミック アクセス ポリシー内に設定したエンドポイント属性および AAA 属性に基づいて基本表現が入力されます。

[Relationship] ドロップダウン リスト

基本選択規則と、このタブに入力した論理式の間の関係を指定します。つまり、新しい属性を、すでに設定されている AAA 属性およびエンドポイント属性に追加するか、それとも置き換えるかを指定します。次のオプションのいずれかを選択します。

[Basic AND Advanced]:基本表現と拡張表現の間に AND 関係を作成します。ダイナミック アクセス ポリシー内で定義されている基本表現と拡張表現の両方が、ユーザの認証中に考慮されます。

デフォルトでは、このオプションが選択されています。

[Basic OR Advanced]:基本表現と拡張表現の間に OR 関係を作成します。ダイナミック アクセス ポリシー内の基本表現または拡張表現のいずれかがユーザ ポリシーに一致すると、ユーザはセッションへのアクセスを許可されます。

[Basic Only]:DAP エントリ内に定義されている基本表現だけを使用して、セキュリティ アプライアンスが特定のセッションに対するアクセスをユーザに許可するかどうかが決定されます。

[Advanced Only]:DAP エントリ内に定義されている拡張表現だけを使用して、SSL VPN セッションに対してユーザが認可されます。

[Advanced Expressions]

1 つ以上の論理式を入力して、上記の [AAA] および [Endpoint] 領域で設定できない AAA 属性またはエンドポイント属性を設定します。

新しい AAA 選択属性またはエンドポイント選択属性(あるいはその両方)を定義するフリー形式の LUA テキストを入力します。ここで入力したテキストは、Security Manager によって検証されず、ダイナミック アクセス ポリシーの XML ファイルにコピーされるだけです。このテキストはセキュリティ アプライアンスによって処理され、解析できない表現はすべて廃棄されます。

[Cisco Secure Desktop Manager Policy Editor] ダイアログボックス

[Cisco Secure Desktop Manager (CSDM) Policy Editor] ダイアログボックスを使用して、プリログイン ポリシーの設定、ユーザがセキュリティ アプライアンスとの接続を確立してからログイン クレデンシャルを入力するまでの間に実行されるチェックの指定、およびホスト スキャンの設定を実行できます。ASA デバイスでの CSD の設定の詳細については、「ASA デバイスでの Cisco Secure Desktop ポリシーの設定」を参照してください。


) Cisco Secure Desktop Manager Policy Editor は、独立したプログラムです。CSD の設定および CSD の機能については、http://www.cisco.com/en/US/products/ps6742/tsd_products_support_configure.html からオンラインで入手できる資料を参照してください。具体的には、プリログイン ポリシーおよびホスト スキャンの設定に関する情報を参照してください。設定する CSD バージョンのコンフィギュレーション ガイドを選択してください。


ナビゲーション パス

「[Dynamic Access] ページ(ASA)」を開き、[Cisco Secure Desktop] セクションから [Configure] をクリックします(最初に CSD パッケージを指定する必要があります)。[CSDM Policy Editor] ダイアログボックスが表示されます。

関連項目

「DAP 属性について」

「DAP 属性の設定」

「ダイナミック アクセス ポリシーの設定」

[Global Settings] ページ

[Global Settings] ページを使用して、リモート アクセス VPN のデバイスに適用される IKE、IPsec、NAT、およびフラグメンテーションのグローバル設定を定義します。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [Remote Access VPN] > [Global Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [Global Settings] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

 

表 23-45 [Global Settings] ページ

要素
説明

[ISAKMP/IPsec Settings] タブ

IKE および IPsec のグローバル設定を指定できます。

このタブの要素の詳細については、「[ISAKMP/IPsec Settings] タブ」を参照してください。

[NAT Settings] タブ

グローバル Network Address Translation(NAT; ネットワーク アドレス変換)設定を指定して、内部 IP アドレスを使用するデバイスがインターネット経由でデータを送受信できるようにします。

このタブの要素の詳細については、「[NAT Settings] タブ」を参照してください。

[General Settings] タブ

リモート アクセス VPN のデバイスでフラグメンテーション設定およびその他のグローバル設定を定義できます。

このタブの要素の詳細については、「[General Settings] タブ」を参照してください。

[ISAKMP/IPsec Settings] タブ

[VPN Global Settings] ページの [ISAKMP/IPsec Settings] タブを使用して、IKE および IPsec のグローバル設定を指定します。

ナビゲーション パス

「[Global Settings] ページ」を開くか、または [VPN Global Settings] ページの他の任意のタブから [ISAKMP/IPsec Settings] タブをクリックします。

関連項目

「[Global Settings] ページ」

「リモート アクセス VPN グローバル設定について」

「リモート アクセス VPN グローバル設定」

「IKE について」

「IPsec トンネル ポリシーについて」

「ISAKMP/IPsec 設定について」

フィールド リファレンス

 

表 23-46 [Global Settings] > [ISAKMP/IPsec Settings] タブ

要素
説明

[ISAKMP Settings]

[Enable Keepalive]

選択すると、IKE キープアライブをデバイスのデフォルトのフェールオーバーおよびルーティングのメカニズムとして設定できます。

[Interval (seconds)]

IKE キープアライブ パケットの送信と送信の間のデバイスの待機時間(秒数)。デフォルトは 10 秒です。

[Retry (seconds)]

リモート ピアとの IKE 接続を確立しようとする試行と試行の間のデバイスの待機時間(秒数)。デフォルトは 2 秒です。

[Periodic]

[Enable Keepalive] が選択されており、かつ、IOS バージョン 12.3(7)T 以降(7600 デバイスを除く)を実行しているルータでサポートされている場合にだけ使用可能です。

選択されている場合、送信する発信トラフィックがない場合でも、Dead-Peer Detection(DPD)キープアライブ メッセージを送信できます。通常、DPD キープアライブ メッセージは、着信トラフィックが受信されなくても発信トラフィックを送信する必要がある場合にだけピア デバイス間で送信されます。

詳細については、「ISAKMP/IPsec 設定について」を参照してください。

[Identity]

フェーズ I の IKE ネゴシエーション中に、ピアは相互に識別する必要があります。次のいずれかを選択します。

[Address]:ISAKMP アイデンティティ情報を交換するホストの IP アドレスを使用します。

[Hostname]:ISAKMP アイデンティティ情報を交換するホストの完全修飾ドメイン名を使用します。

[Distinguished Name](IOS デバイスだけ):Distinguished Name(DN; 識別名)を使用して、ユーザ グループ名を識別します。

[Auto](ASA デバイスだけ):接続タイプによって ISAKMP ネゴシエーションを決定します。事前共有キーに対しては IP アドレスを、証明書認証に対しては識別名を使用します。

[SA Requests System Limit]

Cisco IOS Release 12.3(8)T 以降(7600 ルータを除く)を実行しているルータでサポートされます。

IKE が SA 要求の拒否を開始する前に許可される SA 要求の最大数。

0 ~ 99999 の値を入力できます。

(注) 必ず、デバイスに接続されているピアの数よりも大きい値を入力してください。

[SA Requests System Threshold]

Cisco IOS ルータおよび Catalyst 6500/7600 デバイスでサポートされます。

IKE が新規 SA 要求の拒否を開始する前に使用できるシステム リソースのパーセンテージ。

[IPsec Settings]

[Enable Lifetime]

リモート アクセス VPN のデバイスでクリプト IPsec SA のグローバル ライフタイム設定を行えるようにする場合は、これを選択します。

[Lifetime (secs)]

セキュリティ アソシエーションが期限切れになる前に存続できる秒数。デフォルトは 3,600 秒(1 時間)です。

[Lifetime (kbytes)]

特定のセキュリティ アソシエーションが期限切れになる前にそのセキュリティ アソシエーションを使用して IPsec ピア間を通過できるトラフィック量(KB 単位)。デフォルトは 4,608,000 KB です。

[Xauth Timeout (seconds)]

Cisco IOS ルータおよび Catalyst 6500/7600 デバイスでサポートされます。

システムが Xauth チャレンジに応答するまでにデバイスが待機する秒数。

リモート アクセス設定内に IPsec トンネルを確立するためにトンネル パラメータをネゴシエートする場合、Xauth によって、IPsec 接続を要求するユーザを識別する新たな認証レベルが追加されます。Xauth 機能を使用すると、IKE SA が確立されたあと、クライアントは「ユーザ名/パスワード」チャレンジを待機します。エンド ユーザがチャレンジに応答すると、その応答は IPsec ピアに転送され、さらに上のレベルの認証が行われます。

[Max Sessions]

PIX 7.0 および ASA デバイスでサポートされます。

デバイスで同時にイネーブルにできる SA の最大数。

[Enable IPsec via Sysopt](PIX および ASA だけ)

ASA デバイスおよび PIX ファイアウォール バージョン 6.3 または 7.0 でサポートされます。

選択されている場合(デフォルト)、IPsec トンネルからのパケットが暗黙的に信頼(許可)されることを指定します。

[NAT Settings] タブ

[Global Settings] ページの [NAT Settings] タブを使用して、グローバル Network Address Translation(NAT; ネットワーク アドレス変換)設定を定義します。これにより、内部 IP アドレスを使用するデバイスがインターネット経由でデータを送受信できるようになります。

ナビゲーション パス

「[Global Settings] ページ」を開き、[NAT Settings] タブをクリックします。

関連項目

「NAT について」

「[Global Settings] ページ」

「リモート アクセス VPN グローバル設定について」

「リモート アクセス VPN グローバル設定」

フィールド リファレンス

 

表 23-47 [Global Settings] > [NAT Settings] タブ

要素
説明

[Enable Traversal Keepalive]

選択されている場合は、デバイスで NAT 通過キープアライブを設定できます。

NAT 通過キープアライブは、VPN 接続ハブアンドスポークの間にデバイス(中間デバイス)があり、そのデバイスが IPsec フローで NAT を実行する場合に、キープアライブ メッセージの送信に使用されます。

(注) Cisco IOS ルータでは、NAT 通過がデフォルトでイネーブルになります。NAT 通過機能をディセーブルにする場合は、デバイスで手動でディセーブルにするか、FlexConfig を使用してディセーブルにする必要があります(「FlexConfig の管理」を参照)。

詳細については、「NAT について」を参照してください。

[Interval]

NAT 通過キープアライブがイネーブルになっている場合に使用可能です。

セッションがアクティブであることを示すためにスポークと中間デバイス間でキープアライブ信号が送信される間隔(秒単位)。NAT キープアライブ値には 5 ~ 3600 秒を指定できます。デフォルトは 10 秒です。

[Enable Traversal over TCP]

PIX 7.0 および ASA デバイスでサポートされます。

選択すると、IKE プロトコルと IPsec プロトコルの両方が TCP パケット内にカプセル化され、NAT デバイスと PAT デバイスおよびファイアウォールの両方を経由するセキュアなトンネリングがイネーブルになります。

[TCP Ports]

[Enable Traversal over TCP] が選択されている場合にだけ使用可能です。

NAT 通過をイネーブルにする TCP ポート。リモート クライアントおよび VPN デバイスで TCP ポートを設定する必要があります。クライアント設定には、セキュリティ アプライアンスに対して設定したポートを少なくとも 1 つ含める必要があります。最大 10 個のポートを入力できます。

[General Settings] タブ

[Global Settings] ページの [General Settings] タブを使用して、リモート アクセス VPN のデバイスでフラグメンテーション設定およびその他のグローバル設定を定義します。

ナビゲーション パス

「[Global Settings] ページ」を開き、[General Settings] タブをクリックします。

関連項目

「フラグメンテーションについて」

「リモート アクセス VPN グローバル設定について」

「リモート アクセス VPN グローバル設定」

「[Global Settings] ページ」

フィールド リファレンス

 

表 23-48 [Global Settings] > [General Settings] タブ

要素
説明

[Fragmentation Settings]

[Fragmentation mode]

Cisco IOS ルータおよび Catalyst 6500/7600 デバイスでサポートされます。

フラグメンテーションを行うと、パケットの元のサイズをサポートできない物理インターフェイスを介してパケットが送信されるときの、VPN トンネル内のパケット損失が最小限に抑えられます。

必要なフラグメンテーション モード オプションをリストから選択します。

[No Fragmentation]:IPsec カプセル化の前にフラグメント化しない場合に選択します。

[End to End MTU Discovery]:MTU の検出に ICMP メッセージを使用する場合に選択します。

エンドツーエンド MTU ディスカバリでは、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)メッセージを使用して、フラグメンテーションを発生させずにホストが VPN トンネルを介してパケットを送信するために使用できる最大 MTU を決定します。

[Local MTU Handling]:MTU をデバイスにローカルに設定する場合に選択します。このオプションは、一般的に、ICMP がブロックされている場合に使用します。

[Local MTU Size]

[Local MTU Handling] がフラグメンテーション モード オプションとして選択されている場合に Cisco IOS ルータと Catalyst 6500/7600 デバイスでサポートされます。

(注) 許可される MTU サイズは、VPN インターフェイスに応じて 68 ~ 65535 バイトになります。

[DF Bit]

Cisco IOS ルータ、Catalyst 6500/7600 デバイス、PIX 7.0 および ASA デバイスでサポートされます。

Don't Fragment(DF)ビットとは、デバイスがパケットをフラグメント化できるかどうかを決定する IP ヘッダー内のビットです。

DF ビットに対して必要な設定を選択します。

[Copy]:現在のパケット内にカプセル化されたヘッダーからすべてのデバイスのパケットに DF ビットをコピーします。パケットの DF ビットがフラグメント化されるように設定されている場合は、すべてのパケットがフラグメント化されます。

[Set]:送信するパケット内に DF ビットを設定します。MTU を超えるパケットはドロップされ、ICMP メッセージがパケットの発信側に送信されます。

[Clear]:元の DF ビット設定に関係なく、デバイスでパケットがフラグメント化されるように設定します。ICMP がブロックされていると、MTU ディスカバリは失敗し、パケットは暗号化されたあとでだけフラグメント化されます。

[Enable Fragmentation Before Encryption]

Cisco IOS ルータ、Catalyst 6500/7600 デバイス、PIX 7.0 および ASA デバイスでサポートされます。

選択すると、予期されるパケット サイズが MTU を超えた場合に、暗号化の前のフラグメンテーションがイネーブルになります。

Lookahead Fragmentation(LAF)は、IPsec SA に設定されているトランスフォーム セットに応じて、暗号化後のパケット サイズを計算するために暗号化の実行前に使用されます。パケット サイズが指定した MTU を超える場合は、暗号化の前にパケットがフラグメント化されます。

[Enable Notification on Disconnection]

PIX 7.0 および ASA デバイスでサポートされます。

選択されている場合、デバイスは、認定されたピアに、切断されようとしているセッションを通知できます。アラートを受け取ったピアは、理由をデコードし、イベント ログまたはポップアップ ウィンドウにそれを表示します。この機能は、デフォルトではディセーブルになっています。

IPsec セッションがドロップされる理由としては、セキュリティ アプライアンスのシャットダウンまたはリブート、セッション アイドル タイムアウト、最大接続時間の超過、管理者による切断などが考えられます。

[Enable Spoke-to-Spoke Connectivity through the Hub]

PIX 7.0 および ASA デバイスでサポートされます。

選択すると、ハブアンドスポーク VPN トポロジ内のスポーク間のダイレクト通信がイネーブルになります。ここでのハブは ASA または PIX 7.0 デバイスです。

[Enable Default Route]

Cisco IOS ルータおよび Catalyst 6500/7600 デバイスでサポートされます。

選択されている場合、デバイスは、設定された外部インターフェイスをすべての着信トラフィックのデフォルトの発信ルートとして使用します。

[Group Policies] ページ

[Group Policies] ページでは、ASA SSL VPN 接続プロファイルに定義されているユーザ グループ ポリシーを参照できます。このページから、新しい ASA ユーザ グループを指定したり、既存の ASA ユーザ グループを編集したりできます。


ヒント ダイナミック アクセス ポリシーは、グループ ポリシーに優先します。ダイナミック アクセス ポリシーで設定を指定していない場合、ASA デバイスは設定を指定しているグループ ポリシーがないかどうかを確認します。

テーブル内の各行は、ASA グループ ポリシー オブジェクトを表します。これには、SSL VPN 接続プロファイルに割り当てられているポリシー オブジェクトの名前、そのポリシー オブジェクトが ASA デバイス自体([Internal])または AAA サーバ([External])のいずれに格納されるか、および、そのグループが IPSec VPN または SSL VPN、あるいはその両方のタイプに対応しているかが表示されます。外部グループの場合、プロトコルは認識されず、N/A として表示されます。

ASA グループ ポリシー オブジェクトを追加するには、[Add Row] ボタンをクリックします。これにより、オブジェクト セレクタが開きます。ここから、既存のポリシー オブジェクトを選択するか、[Create] ボタンをクリックして新しいオブジェクトを作成します。

オブジェクトを編集するには、オブジェクトを選択して [Edit Row] ボタンをクリックし、「[ASA Group Policies] ダイアログボックス」を開きます。

オブジェクトをポリシーから削除するには、オブジェクトを選択して [Delete Row] ボタンをクリックします。関連付けられたポリシー オブジェクトは、このポリシーから取り除かれるだけで、削除されません。

ナビゲーション パス

(デバイス ビュー)ASA デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [Group Policies] を選択します。

(ポリシー ビュー)ポリシー セレクタから、[Remote Access VPN] > [Group Policies (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「グループ ポリシーの作成(ASA)」

[Public Key Infrastructure] ページ

[Public Key Infrastructure] ページを使用すると、CA 証明書の登録要求を生成するために Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーを作成するときに使用する CA サーバを選択できます。


) リロード間に RSA キー ペアと CA 証明書を PIX ファイアウォール バージョン 6.3 のフラッシュ メモリに永続的に保存するには、ca save all コマンドを設定する必要があります。この操作は、デバイスで手動で行うか、FlexConfig を使用して行うことができます(「FlexConfig の管理」を参照)。


ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [Remote Access VPN] > [Public Key Infrastructure] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [Public Key Infrastructure] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「Public Key Infrastructure ポリシーについて」

「公開キー インフラストラクチャ ポリシーの設定」

「公開キー インフラストラクチャ ポリシーの設定」

フィールド リファレンス

 

表 23-49 [Public Key Infrastructure] ページ

要素
説明

[Available CA Servers]

選択可能な CA サーバが一覧表示されます。

目的の CA サーバを選択し、[>>] をクリックします。

CA サーバは、CA 証明書の登録要求の作成に必要なサーバ情報と登録パラメータを含む PKI 登録オブジェクトとして定義されます。

目的の CA サーバがリストに表示されていない場合は、[Create] をクリックして、PKI 登録オブジェクトを作成できる「[PKI Enrollment] ダイアログボックス」を開きます。また、CA サーバのプロパティを選択して [Edit] をクリックすると、そのプロパティを編集できます。

(注) PKI 登録オブジェクトの作成または編集時に、接続先のユーザ グループ名を使用して、各リモート コンポーネント(スポーク)を設定する必要があります。この情報は、[PKI Enrollment Editor] ダイアログボックスの [Certificate Subject Name] タブにある [Organization Unit (OU)] フィールドで指定します。また、クライアントに発行される証明書には、ユーザ グループ名として OU が指定されている必要があります。詳細については、「[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ」を参照してください。

[Selected CA Servers]

選択されている CA サーバ。

このリストから CA サーバを削除するには、CA サーバを選択し、[<<] をクリックします。一度に複数の CA サーバを選択できます。

[Certificate to Connection Profile Maps] > [Policies] ページ

[Policies] ページを使用して、デバイスに接続するリモート クライアントに対して一致ポリシーを設定します。

ナビゲーション パス

(デバイス ビュー)ASA デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [IPSec VPN] > [Certificate to Connection Profile Maps] > [Policies] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [IPSec VPN] > [Certificate to Connection Profile Maps] > [Policies] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「Certificate to Connection Profile Map ポリシーについて(ASA)」

「Certificate to Connection Profile Map ポリシーの設定(ASA)」

フィールド リファレンス

 

表 23-50 [Certificate to Connection Profile Maps] > [Policies] ページ

要素
説明

[Use Configured Rules to Match a Certificate to a Group]

選択すると、認証を確立し、クライアントのマップ先のトンネル グループを決定するために、サーバは設定済みの規則を使用します。

[Use Certificate Organization Unit field to Determine the Group]

選択されている場合(デフォルト)、認証を確立し、クライアントのマップ先のトンネル グループを決定するために、サーバは Organizational Unit(OU; 組織ユニット)フィールドを使用します。

[Use IKE Identity to Determine the Group]

選択されている場合(デフォルト)、認証を確立し、クライアントのマップ先のトンネル グループを決定するために、サーバは IKE アイデンティティを使用します。

[User Peer IP Address to Determine the Group]

選択されている場合(デフォルト)、認証を確立し、クライアントのマップ先のトンネル グループを決定するために、サーバはピア IP アドレスを使用します。

[Certificate to Connection Profile Maps] > [Rules] ページ

[Rules] ページを使用して、デバイスに接続するリモート クライアントに対して一致規則およびパラメータを設定します。これらの規則が使用されるのは、[Certificate to Connection Profile Maps] > [Policies policy](「[Certificate to Connection Profile Maps] > [Policies] ページ」を参照)で [Use Configured Rules to Match a Certificate to a Group] を選択した場合だけです。


) 一致規則を作成して接続プロファイルにマップするには、設定内に接続プロファイルが存在している必要があります。一致規則の作成後に接続プロファイルの割り当てを解除すると、接続プロファイルにマップされている規則の割り当てが解除されます。「接続プロファイルの設定(ASA)」を参照してください。


ナビゲーション パス

(デバイス ビューだけ)ASA デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [IPSec VPN] > [Certificate to Connection Profile Maps] > [Policies] を選択します。

関連項目

「証明書/接続プロファイル マップ規則について(ASA)」

「証明書/接続プロファイル マップ規則の設定(ASA)」

フィールド リファレンス

 

表 23-51 [Certificate to Connection Profile Maps] > [Rules] ページ

要素
説明

[Maps] テーブル

接続規則が定義されている接続プロファイル マップ。各行はプロファイル マップであり、マップ名、マップされる接続プロファイルの名前、およびマップのプライオリティ(数字が小さいほどプライオリティが高い)が含まれます。

このマップに規則を設定するには、規則を選択し、規則テーブルを使用して規則を作成、編集、および削除します。

マップを追加するには、[Add Row] ボタンをクリックし、「[Map Rule] ダイアログボックス(上半分のテーブル)」に入力します。

(規則ではなく)マップ プロパティを編集するには、マップ プロパティを選択し、[Edit Row] ボタンをクリックします。

マップ全体を削除するには、マップを選択し、[Delete Row] ボタンをクリックします。

[Rules] テーブル

上半分のテーブルで選択されているマップの規則。マップが上半分のテーブルで実際に選択されていることを確認する必要があります。規則テーブルの上にあるグループ タイトルに、[Details for (Connection Profile Name)] と表示されている必要があります。

マップを選択すると、そのマップに設定されているすべての規則がテーブルに表示されます。このテーブルには、フィールド([subject] または [issuer])、証明書コンポーネント、一致演算子、および規則によって検索される値などが表示されます。デバイスがマップされた接続プロファイルを使用するには、リモート ユーザはすべての設定済み規則をマップと照合する必要があります。

規則を追加するには、[Add Row] ボタンをクリックし、「[Map Rule] ダイアログボックス(下半分のテーブル)」に入力します。

規則を編集するには、規則を選択し、[Edit Row] ボタンをクリックします。

規則を削除するには、規則を選択し、[Delete Row] ボタンをクリックします。

[Default Connection Profile]

一致規則が見つからない場合に使用されるデフォルトの接続プロファイルを選択します。

[Map Rule] ダイアログボックス(上半分のテーブル)

[Certificate to Connection Profile Maps] > [Rules policy] の上半分のペインにマップ テーブルに対して開かれた [Map Rule] ダイアログボックスを使用して、マップを設定します。次に、このマップに対して、[Rules policy] の下半分のペインで規則を設定できます。

ナビゲーション パス

「[Certificate to Connection Profile Maps] > [Rules] ページ」で、上半分のペインで [Add Row] をクリックするか、上半分のテーブルで行を選択して [Edit Row] をクリックします。

関連項目

「[Certificate to Connection Profile Maps] > [Rules] ページ」

「[Map Rule] ダイアログボックス(下半分のテーブル)」

フィールド リファレンス

 

表 23-52 [Map Rule] ダイアログボックス(上半分のペイン)

要素
説明

[Connection Profile]

一致規則を作成する接続プロファイルを選択します。この接続プロファイルに接続しようとするクライアントは、デバイスに接続するための関連付けられた一致規則の条件を満たす必要があります。

[Priority]

一致規則のプライオリティ番号。番号が小さいほどプライオリティが高くなります。たとえば、プライオリティ番号が 2 の一致規則は、プライオリティ番号が 5 の一致規則よりもプライオリティが高くなります。

複数のマップを作成した場合、それらのマップはプライオリティの順に処理されます。ユーザがマップされるプロファイルは最初の一致規則によって決まります。

[Map Name]

接続プロファイル マップの名前。

[Map Rule] ダイアログボックス(下半分のテーブル)

[Certificate to Connection Profile Maps] > [Rules policy] の下半分のペインに規則テーブルに対して開かれた [Map Rule] ダイアログボックスを使用して、マップ テーブル([Rules policy] の上半分のペイン)で選択されているマップの規則を設定します。

ナビゲーション パス

「[Certificate to Connection Profile Maps] > [Rules] ページ」で、下半分のペインで [Add Row] をクリックするか、下半分のテーブルで行を選択して [Edit Row] をクリックします。

関連項目

「[Certificate to Connection Profile Maps] > [Rules] ページ」

「[Map Rule] ダイアログボックス(上半分のテーブル)」

フィールド リファレンス

 

表 23-53 [Map Rule] ダイアログボックス(下半分のペイン)

要素
説明

[Field]

クライアント証明書の [Subject] または [Issuer] に従って、一致規則のフィールドを選択します。

[Component]

一致規則に対して使用するクライアント証明書のコンポーネントを選択します。

[Operator]

一致規則の演算子を次のうちから選択します。

[Equals]:証明書コンポーネントは、入力された値と一致する必要があります。完全に一致しない場合、接続は拒否されます。

[Contains]:証明書コンポーネントには、入力された値が含まれている必要があります。コンポーネントにその値が含まれていない場合、接続は拒否されます。

[Does Not Equal]:証明書コンポーネントは、入力された値と 等しくない 必要があります。たとえば、選択された証明書コンポーネントが Country であり、入力された値が USA である場合、クライアントの国の値が USA と等しければ、接続が拒否されます。

[Does Not Contain]:証明書コンポーネントには、入力された値が 含まれていない 必要があります。たとえば、選択された証明書コンポーネントが Country であり、入力された値が USA である場合、クライアントの国の値に USA が含まれていると、接続が拒否されます。

[Value]

一致規則の値。入力された値は、選択されたコンポーネントおよび演算子と関連付けられています。

[High Availability] ページ

[High Availability] ページを使用して、リモート アクセス VPN の Cisco IOS ルータまたは Cisco Catalyst スイッチに対して High Availability(HA)ポリシーを設定します。

ナビゲーション パス

(デバイス ビュー)IOS または Catalyst デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [IPSec VPN] > [High Availability] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [IPSec VPN] > [High Availability] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「リモート アクセス VPN のハイ アベイラビリティについて(IOS)」

「ハイ アベイラビリティ ポリシーの設定」

フィールド リファレンス

 

表 23-54 [High Availability] ページ

要素
説明

[Inside Virtual IP]

HA グループ内の各ハブによって共有され、HA グループの内部インターフェイスを表す IP アドレス。仮想 IP アドレスは、HA グループ内のハブの内部インターフェイスと同じサブネット上に存在する必要があります。

(注) デバイスのインターフェイスのいずれか 1 つのサブネットと一致し、IPsec プロポーザルで設定される VPN 仮想 IP アドレスに加えて、デバイス上のインターフェイスのいずれか 1 つのサブネットと一致する内部仮想 IP アドレスを指定する必要があります。指定しなかった場合、エラーが表示されます。

(注) デバイスに既存のスタンバイ グループがある場合は、提供する IP アドレスがデバイスにすでに設定されている仮想 IP アドレスと異なることを確認します。

[Select] をクリックして、必要な IP アドレスを選択できます。ネットワーク/ホスト セレクタが開き、そこで IP アドレスの割り当て元のネットワークを選択できます。

[Inside Mask]

内部仮想 IP アドレスのサブネット マスク。

[VPN Virtual IP]

HA グループ内の各ハブによって共有され、HA グループの VPN インターフェイスを表す IP アドレス。この IP アドレスは、VPN トンネルのハブ エンドポイントとして機能します。

[Select] をクリックして、必要な IP アドレスを選択できます。ネットワーク/ホスト セレクタが開き、そこで IP アドレスの割り当て元のネットワークを選択できます。

(注) デバイスに既存のスタンバイ グループがある場合は、提供する IP アドレスがデバイスにすでに設定されている仮想 IP アドレスと異なることを確認します。

[VPN Mask]

VPN 仮想 IP アドレスのサブネット マスク。

[Hello Interval]

ステータスと優先度を示すためにハブがグループ内の別のハブにエコー hello メッセージを送信する秒単位の間隔(1 ~ 254)。デフォルトは 5 秒です。

[Hold Time]

ハブがダウンしていると結論付ける前に、スタンバイ ハブがアクティブなハブから hello メッセージの受信を待機する秒単位の期間(2 ~ 255)。デフォルトは 15 秒です。

[Standby Group Number (Inside)]

HA グループ内のハブの内部仮想 IP サブネットと一致する内部ハブ インターフェイスのスタンバイ番号。番号は 0 ~ 255 の範囲である必要があります。デフォルトは 1 です。

[Standby Group Number (Outside)]

HA グループ内のハブの外部仮想 IP サブネットと一致する外部ハブ インターフェイスのスタンバイ番号。番号は 0 ~ 255 の範囲である必要があります。デフォルトは 2 です。

(注) 外部スタンバイ グループ番号は、内部スタンバイ グループ番号と異なっている必要があります。

[Failover Server]

リモート ピア デバイスの内部インターフェイスの IP アドレス。

[Select] をクリックすると、ネットワーク/ホスト セレクタが開きます。このダイアログボックスで、リモート ピアの IP アドレスの割り当て元のホストを選択できます。

[Enable Stateful Failover]

選択すると、ステートフル フェールオーバーに対して SSO がイネーブルになります。

(注) Easy VPN トポロジでは、ステートフル フェールオーバーを常に設定する必要があるため、このチェックボックスは選択されてディセーブルになります。

ステートフル フェールオーバーを設定できるのは、Cisco IOS ルータである 2 つのハブを含む HA グループに対してだけです。このチェックボックスは、HA グループに 3 つ以上のハブが含まれる場合にディセーブルになります。

(注) 通常の IPsec トポロジの場合に選択解除すると、HA グループにステートレス フェールオーバーが設定されます。ステートレス フェールオーバーは、HA グループに 3 つ以上のハブが含まれる場合にも設定されます。ステートレス フェールオーバーは、Cisco IOS ルータまたは Catalyst 6500/7600 デバイスで設定できます。

[IKE Proposal] ページ

[IKE Proposal] ページを使用して、リモート アクセス VPN サーバに対して使用する IKE プロポーザルを選択します。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから、[Remote Access VPN] > [IKE Proposal] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [IKE Proposal] を選択し、既存のポリシーを選択するか、新しいポリシーを作成します。

関連項目

「Remote Access VPN Configuration ウィザード」

「IKE について」

「リモート アクセス VPN の IKE プロポーザルについて」

「リモート アクセス VPN サーバの IKE プロポーザルの設定」

「使用する暗号化アルゴリズムの決定」

「使用するハッシュ アルゴリズムの決定」

「使用するデフィーヘルマン グループの決定」

「使用する認証方式の決定」

フィールド リファレンス

 

表 23-55 [IKE Proposal] ページ

要素
説明

[Available IKE Proposals]

選択できる定義済みの IKE プロポーザルが一覧表示されます。

目的の IKE プロポーザルを選択し、[>>] をクリックします。

IKE プロポーザルは、定義済みオブジェクトです。目的の IKE プロポーザルがリストに表示されていない場合は、[Create] をクリックして、IKE プロポーザル オブジェクトを作成または編集できる「[Add IKE Proposal]/[Edit IKE Proposal] ダイアログボックス」を開きます。

[Selected IKE Proposals]

選択済みの IKE プロポーザルが一覧表示されます。

このリストから IKE プロポーザルを削除するには、IKE プロポーザルを選択し、[<<] をクリックします。

IKE プロポーザルのプロパティを変更するには、IKE プロポーザルを選択し、[Edit] をクリックします。

[IPsec Proposal] ページ

IPsec プロポーザルは、リモート アクセス クライアントがサーバへの接続に使用する外部インターフェイス、および VPN トンネル内のデータの保護に使用される暗号化と認証のアルゴリズムを定義します。

[IPsec Proposal] ページを使用して、リモート アクセス VPN の IPsec ポリシー定義を作成または編集します。IPsec プロポーザルの詳細については、「IPsec トンネル ポリシーについて」および「クリプト マップについて」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから、[Remote Access VPN] > [IPSec VPN] > [IPsec Proposal] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [IPSec VPN] > [IPsec Proposal] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「リモート アクセス VPN の IPsec プロポーザルについて」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定」

「アカウントおよびクレデンシャル ポリシーの定義」

「Remote Access VPN Configuration ウィザード」

「[IPsec Proposal Editor] ダイアログボックス(PIX および ASA デバイス)」

「[IPsec Proposal Editor] ダイアログボックス(IOS ルータおよび Catalyst 6500/7600 デバイス)」

フィールド リファレンス

 

表 23-56 [IPsec Proposal] ページ

要素
説明

[Endpoint]

リモート アクセス クライアントがサーバへの接続に使用する外部インターフェイス(または Catalyst 6500/7600 デバイスの内部 VLAN)。

[Transform Sets]

ポリシーに選択されているトランスフォーム セット(デフォルトは [tunnel_3des_sha])。

トランスフォーム セットは、トンネル内のトラフィックを保護するために使用される認証および暗号化アルゴリズムを指定します。

[RRI]

VPN クライアントのサポートのために、クリプト マップで Reverse Route Injection(RRI; 逆ルート注入)がイネーブルになっているかディセーブルになっているかが表示されます。

詳細については、「逆ルート注入について」を参照してください。

[AAA Authorization]

Cisco IOS ルータまたは Catalyst 6500/7600 デバイスが選択されている場合、AAA 認可を実行するために選択されているサーバ グループの名前が表示されます。

[AAA Authentication]

Cisco IOS ルータまたは Catalyst 6500/7600 デバイスが選択されている場合、AAA 認証を実行するために選択されているサーバ グループの名前が表示されます。

[VRF]

Cisco IOS ルータまたは Catalyst 6500/7600 デバイスが選択されている場合、VRF がイネーブルになっているかディセーブルになっているかが表示されます。

[DVTI]

Cisco IOS ルータまたは Catalyst 6500/7600 デバイスが選択されている場合、DVTI がイネーブルになっているかディセーブルになっているかが表示されます。

[Create] ボタン

このボタンをクリックすると、IPsec プロポーザルを作成するための [IPsec Proposal Editor] ダイアログボックスが開きます。

デバイスが PIX ファイアウォールまたは ASA デバイスの場合は、「[IPsec Proposal Editor] ダイアログボックス(PIX および ASA デバイス)」を参照してください。

デバイスが Cisco IOS ルータまたは Catalyst 6500/7600 の場合は、「[IPsec Proposal Editor] ダイアログボックス(IOS ルータおよび Catalyst 6500/7600 デバイス)」を参照してください。

[Edit] ボタン

テーブルからプロポーザルの行を選択してこのボタンをクリックすると、選択したプロポーザルを編集するための [IPsec Proposal Editor] ダイアログボックスを開きます。

デバイスが PIX ファイアウォールまたは ASA デバイスの場合は、「[IPsec Proposal Editor] ダイアログボックス(PIX および ASA デバイス)」を参照してください。

デバイスが Cisco IOS ルータまたは Catalyst 6500/7600 の場合は、「[IPsec Proposal Editor] ダイアログボックス(IOS ルータおよび Catalyst 6500/7600 デバイス)」を参照してください。

[Delete] ボタン

1 つ以上のプロポーザルの行を選択してこのボタンをクリックすると、その行が削除されます。

[IPsec Proposal Editor] ダイアログボックス(PIX および ASA デバイス)

[IPsec Proposal Editor] を使用して、リモート アクセス VPN のデバイスの IPsec プロポーザルを作成または編集します。

このダイアログボックスの要素は、選択したデバイスによって異なります。表 23-57で、PIX 7.0 または ASA デバイスを選択したときの [IPsec Proposal Editor] ダイアログボックスの要素について説明します。


) Cisco IOS ルータまたは Catalyst 6500/7600 を選択したときのダイアログボックスの要素の詳細については、表 23-58を参照してください。


ナビゲーション パス

「[IPsec Proposal] ページ」を開き、[Create] をクリックするか、リストからプロポーザルを選択して [Edit] をクリックします。

関連項目

「リモート アクセス VPN サーバの IPsec プロポーザルの設定」

「IPsec トンネル ポリシーについて」

「インターフェイス ロール オブジェクトの作成」

「AAA サーバ グループ オブジェクトの作成」

フィールド リファレンス

 

表 23-57 [IPsec Proposal Editor](PIX および ASA デバイス)

要素
説明

[External Interface]

リモート アクセス クライアントがサーバへの接続に使用する外部インターフェイス(エンドポイント)。

エンドポイントは、特定のインターフェイス ロールで定義されたインターフェイスまたはインターフェイス セットにできます。[Select] をクリックして、すべての使用可能なインターフェイス、およびインターフェイスのロール別に定義されたインターフェイスのセットを表示するダイアログボックスを開き、インターフェイス ロール オブジェクトを作成できます。

[Transform Sets]

トンネル ポリシーに使用するトランスフォーム セット(デフォルトは [tunnel_3des_sha] です)。

トランスフォーム セットは、トンネル内のトラフィックを保護するために使用される認証および暗号化アルゴリズムを指定します。

デフォルトのトランスフォーム セットが表示されます。別のトランスフォーム セットを使用するか追加のトランスフォーム セットを選択する場合は、[Select] をクリックして、すべての使用可能なトランスフォーム セットを表示するダイアログボックスを開き、トランスフォーム セット オブジェクトを作成できます。詳細については、「[Add IPSec Transform Set]/[Edit IPSec Transform Set] ダイアログボックス」を参照してください。

選択したトランスフォーム セットの 2 つ以上が両方のピアでサポートされている場合は、最も高いセキュリティを提供するトランスフォーム セットが使用されます。

(注) 最大 6 つのトランスフォーム セットを選択できます。

詳細については、「トランスフォーム セットについて」を参照してください。

[Reverse Route Injection]

(注) ASA デバイスに対してだけ使用可能です。

トンネル ポリシー内のクリプト マップで Reverse Route Injection(RRI; 逆ルート注入)を設定するために必要なオプションを選択します。

[None]:クリプト マップで RRI 設定をディセーブルにします。

[Standard]:これがデフォルトです。クリプト マップの Access Control List(ACL; アクセス コントロール リスト)内に定義されている宛先情報に基づいて、ルートが作成されます。

詳細については、「逆ルート注入について」を参照してください。

[Enable Network Address Translation Traversal]

(注) ASA デバイスに対してだけ使用可能です。

選択されている場合(デフォルト)、デバイスで NAT 通過を設定できます。

(中間デバイスと呼ばれる)デバイスが VPN 接続ハブアンドスポークの間にあり、それによって IPsec フローに NAT が実行される場合は、NAT 通過を使用します。

詳細については、「NAT について」を参照してください。

[IPsec Proposal Editor] ダイアログボックス(IOS ルータおよび Catalyst 6500/7600 デバイス)

[IPsec Proposal Editor] を使用して、リモート アクセス VPN のデバイスの IPsec プロポーザルを作成または編集します。

IOS ルータを選択した場合は、[IPsec Proposal Editor] ダイアログボックスに 2 つのタブ([General] および [Dynamic VTI/VRF Aware IPsec])が表示されます。Catalyst 6500/7600 を選択した場合は、[FWSM Settings] タブも表示されます。

一般の IPsec 設定を指定するための適切なタブをクリックし、選択したデバイスで [Dynamic VTI] または [VRF Aware IPsec](あるいはその両方)を設定します。あるいは、Catalyst 6500/7600 デバイスで FWSM を設定します。

このダイアログボックスの要素は、選択したデバイスによって異なります。表 23-58に、Cisco IOS ルータまたは Catalyst 6500/7600 を選択したときの [IPsec Proposal Editor] ダイアログボックス内の [General] タブの要素を示します。


) PIX 7.0+ または ASA デバイスを選択したときのダイアログボックス内の要素の詳細については、「[IPsec Proposal Editor] ダイアログボックス(PIX および ASA デバイス)」を参照してください。


ナビゲーション パス

「[IPsec Proposal] ページ」を開き、[Create] をクリックするか、リストからプロポーザルを選択して [Edit] をクリックします。[IPsec Proposal Editor] ダイアログボックスが開き、[General] タブが表示されます。

関連項目

「[VPNSM/VPN SPA Settings] ダイアログボックス」

「[Dynamic VTI/VRF Aware IPsec] タブ([IPsec Proposal Editor])」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定」

「インターフェイス ロール オブジェクトの作成」

「AAA サーバ グループ オブジェクトの作成」

フィールド リファレンス

 

表 23-58 [IPsec Proposal Editor] > [General] タブ

要素
説明

[External Interface]

(注) 選択したデバイスが IOS ルータの場合にかぎり使用できます。

リモート アクセス クライアントがサーバへの接続に使用する外部インターフェイス。

外部インターフェイスは、特定のインターフェイス ロールで定義できます。インターフェイス ロールは、定義済みのオブジェクトです。[Select] をクリックして、すべての使用可能なインターフェイス、およびインターフェイスのロール別に定義されたインターフェイスのセットを表示するダイアログボックスを開き、インターフェイス ロール オブジェクトを作成できます。

[Inside VLAN]

(注) 選択したデバイスが Catalyst 6500/7600 ルータの場合にだけ使用可能です。

VPN Services Module(VPNSM; VPN サービス モジュール)または VPN SPA への内部インターフェイスとして機能する内部 VLAN。[Select] をクリックするとダイアログボックスが開き、ここで、Catalyst 6500/7600 デバイスでの VPN Services Module(VPNSM; VPN サービス モジュール)外部インターフェイス、または VPN SPA ブレードを設定できるようにする設定を定義できます。「[VPNSM/VPN SPA Settings] ダイアログボックス」を参照してください。

VPNSM の設定の詳細については、「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照してください。

VPN SPA の設定の詳細については、「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照してください。

[Transform Sets]

トンネル ポリシーに使用するトランスフォーム セット。トランスフォーム セットは、トンネル内のトラフィックを保護するために使用される認証および暗号化アルゴリズムを指定します。

デフォルトのトランスフォーム セットが表示されます。別のトランスフォーム セットを使用するか追加のトランスフォーム セットを選択する場合は、[Select] をクリックして、すべての使用可能なトランスフォーム セットを表示するダイアログボックスを開き、トランスフォーム セット オブジェクトを作成できます。詳細については、「[Add IPSec Transform Set]/[Edit IPSec Transform Set] ダイアログボックス」を参照してください。

選択したトランスフォーム セットの 2 つ以上が両方のピアでサポートされている場合は、最も高いセキュリティを提供するトランスフォーム セットが使用されます。

(注) 最大 6 つのトランスフォーム セットを選択できます。

詳細については、「トランスフォーム セットについて」を参照してください。

[Reverse Route Injection]

次のいずれかのオプションを選択して、クリプト マップで Reverse Route Injection(RRI; 逆ルート注入)を設定します。

[None]:クリプト マップで RRI の設定をディセーブルにします。

[Standard]:デフォルト。クリプト マップの Access Control List(ACL; アクセス コントロール リスト)内に定義されている宛先情報に従って、ルートが作成されます。

[Remote Peer]:クリプト マップが適用されるインターフェイスを経由するリモート エンドポイントへのルートを 2 つ(リモート エンドポイント用とルート再帰用に 1 つずつ)作成します。

[Remote Peer IP]:インターフェイスまたはアドレスをリモート VPN デバイスへの明示的なネクストホップとして指定します。[Select] をクリックすると、ネットワーク/ホスト セレクタが開き、そこで、ネクストホップとして使用するリモート ピアの IP アドレスを選択できます。

チェックボックスをオンにして、デフォルト ルートを上書きできます。

詳細については、「逆ルート注入について」を参照してください。

[Group Policy Lookup/AAA Authorization Method]

グループ ポリシーの検索順序を定義する AAA 認可方式リスト。グループ ポリシーは、ローカル サーバまたは外部 AAA サーバ上に設定できます。

(注) デフォルトは LOCAL です。

[Select] をクリックして、すべての使用可能な AAA サーバ グループを表示するダイアログボックスを開き、AAA サーバ グループ オブジェクトを作成できます。

[User Authentication (Xauth)/AAA Authentication Method]

ユーザ アカウントの検索順序を定義する AAA または Xauth ユーザ認証方式。

(注) デフォルトの認証方式は LOCAL です。

Xauth では、すべての Cisco IOS ソフトウェア AAA 認証方式で、IKE 認証フェーズ 1 の交換後に別のフェーズでユーザ認証を実行できます。

ユーザ アカウントの定義の詳細については、「アカウントおよびクレデンシャル ポリシーの定義」を参照してください。

[Select] をクリックして、すべての使用可能な AAA サーバ グループを表示するダイアログボックスを開き、AAA サーバ グループ オブジェクトを作成できます。

[VPNSM/VPN SPA Settings] ダイアログボックス


) このダイアログボックスは、選択したデバイスが Catalyst 6500/7600 の場合にだけ使用可能です。


[VPNSM/VPN SPA Settings] ダイアログボックスを使用して、Catalyst 6500/7600 デバイスで VPN Services Module(VPNSM; VPN サービス モジュール)または VPN Shared Port Adapter(VPN; 共有ポート アダプタ)を設定するための値を指定します。


) VPNSM または VPN SPA の設定を定義する前に、Catalyst 6500/7600 デバイスを Security Manager インベントリにインポートし、そのインターフェイスを検出する必要があります。詳細については、「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照してください。

デバイスで VRF 対応 IPsec を使用して VPNSM または VPN SPA を設定する前に、VRF 対応 IPsec を使用する IPsec プロポーザルと、VRF 対応 IPsec を使用しない IPsec プロポーザルがデバイスで設定されていないことを確認してください。


VPNSM または VPNSPA/VSPA の詳細については、「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照してください。

ナビゲーション パス

「[IPsec Proposal Editor] ダイアログボックス(IOS ルータおよび Catalyst 6500/7600 デバイス)」の [General] タブで、[Inside VLAN] フィールドの隣の [Select] をクリックします。

関連項目

「[IPsec Proposal] ページ」

「[IPsec Proposal Editor] ダイアログボックス(IOS ルータおよび Catalyst 6500/7600 デバイス)」

「インターフェイス ロール オブジェクトの作成」

フィールド リファレンス

 

表 23-59 [VPNSM/VPN SPA Settings] ダイアログボックス

要素
説明

[Inside VLAN]

必要なクリプト マップが適用される、VPNSM または VPN SPA への内部インターフェイスとして機能する内部 VLAN。

必要な場合、[Select] をクリックして、すべての使用可能なインターフェイス、およびインターフェイス ロールによって定義されたインターフェイスのセットが一覧表示されたダイアログボックスを開きます。このダイアログボックスで、インターフェイス ロール オブジェクトを選択または作成できます。

[Slot]

使用可能なスロットのリストから、内部 VLAN インターフェイスの接続先の VPNSM ブレード スロット番号、または VPN SPA ブレードが挿入されるスロットの番号を選択します。

[Subslot]

VPN SPA ブレードがインストールされるサブスロットの番号(0 または 1)。

(注) VPNSM を設定している場合は、ブランク オプションを選択します。

[External Port]

内部 VLAN に接続する外部ポートまたは VLAN。

(注) VRF 対応 IPsec がデバイスに設定されている場合は、外部ポートまたは VLAN に IP アドレスが必要です。VRF 対応 IPsec が設定されていない場合は、外部ポートまたは VLAN に IP アドレスを含めないでください。

[Select] をクリックすると、すべての使用可能なインターフェイス、およびインターフェイス ロールによって定義されたインターフェイスのセットが一覧表示されたダイアログボックスが開きます。このダイアログボックスで、インターフェイス ロール オブジェクトを選択または作成できます。

(注) 内部 VLAN に指定されているものとは異なるインターフェイスまたはインターフェイス ロールを指定する必要があります。

[Enable Failover Blade]

選択すると、シャーシ内の高可用性のためにフェールオーバー VPNSM または VPN SPA ブレードを設定できます。

(注) VPNSM ブレードおよび VPN SPA ブレードは、プライマリ ブレードおよびフェールオーバー ブレードと同じデバイスでは使用できません。

[Failover Slot]

使用可能なスロットのリストから、フェールオーバー ブレードとして動作する VPNSM ブレード スロット番号か、またはフェールオーバー VPN SPA ブレードが挿入されるスロットの番号を選択します。

[Failover Subslot]

フェールオーバー VPN SPA が実際にインストールされているサブスロットの番号(0 または 1)を選択します。

(注) VPNSM を設定している場合は、ブランク オプションを選択します。

[Dynamic VTI/VRF Aware IPsec] タブ([IPsec Proposal Editor])


) [Dynamic VTI/VRF Aware IPsec] タブは、選択したデバイスが Cisco IOS ルータまたは Catalyst 6500/7600 の場合にかぎり使用可能です。


[IPsec Proposal Editor] の [Dynamic VTI/VRF Aware IPsec] タブを使用して、(Cisco IOS ルータまたは Catalyst 6500/7600 デバイスで)リモート アクセス VPN の [VRF Aware IPsec]、または(Cisco IOS ルータで)ダイナミック仮想インターフェイス、あるいはその両方を設定します。

詳細については、次の資料を参照してください。

「VRF 対応 IPsec について」

「リモート アクセス VPN の IPsec プロポーザルについて」

ナビゲーション パス

「[IPsec Proposal Editor] ダイアログボックス(IOS ルータおよび Catalyst 6500/7600 デバイス)」で、[Dynamic VTI/VRF Aware IPsec] タブをクリックします。

関連項目

「[IPsec Proposal] ページ」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定」

「IPsec トンネル ポリシーについて」

「インターフェイス ロール オブジェクトの作成」

フィールド リファレンス

 

表 23-60 [IPsec Proposal Editor] > [Dynamic VTI/VRF Aware IPsec] タブ

要素
説明

[Enable Dynamic VTI]

選択すると、Security Manager は IOS ルータ上にダイナミック仮想テンプレート インターフェイスを暗黙的に作成できます。

(注) ダイナミック VTI は、Cisco IOS Release 12.4(2)T 以降を実行している IOS ルータ(7600 デバイスを除く)でだけ設定できます。デバイスがダイナミック VTI をサポートしていない場合は、エラー メッセージが表示されます。

詳細については、「[PVC] ダイアログボックス - [QoS] タブ」を参照してください。

[Enable VRF Settings]

選択すると、選択済みのハブアンドスポーク トポロジに対してデバイスで VRF を設定できます。

(注) VPN トポロジにすでに定義されている VRF 設定を削除するには、このチェックボックスをオフにします。

[User Group]

リモート アクセス VPN サーバを設定する場合、リモート クライアントがデバイスに接続できるように、リモート クライアントのグループ名を、VPN サーバで設定されているユーザ グループ オブジェクトと同じにする必要があります。

デバイスに関連付けられているユーザ グループ ポリシー オブジェクトの名前を入力するか、[Select] をクリックしてリストからユーザ グループ ポリシー オブジェクトを選択します。また、新しいオブジェクトを作成したり、選択リストから既存のオブジェクトを編集したりすることもできます。

[CA Server]

デバイスの証明書要求の管理に使用する Certification Authority(CA; 証明局)サーバを選択します。

目的の CA サーバがリストに表示されていない場合は、[Select] をクリックして、すべての使用可能な CA サーバが一覧表示されたダイアログボックスを開きます。このダイアログボックスで、PKI 登録オブジェクトを作成できます。詳細については、「[PKI Enrollment] ダイアログボックス」を参照してください。

CA サーバを使用する IPsec 設定の詳細については、「Public Key Infrastructure ポリシーについて」を参照してください。

[Virtual Template IP Type]

[Enable Dynamic VTI] チェックボックスをオンにした場合に使用可能になります。

次のいずれかのオプション ボタンをクリックして、使用する仮想テンプレート インターフェイスを指定します。

[IP]:仮想テンプレート インターフェイスとして IP アドレスを使用します。次に、[IP] フィールドでプライベート IP アドレスを指定します。

必要に応じて、[Select] をクリックして、ネットワーク/ホスト セレクタを開きます。ここで、IP アドレスとして使用するホストを選択できます。

[Use Loopback Interface]:仮想テンプレート インターフェイスとして既存のループバック インターフェイスから取得した IP アドレスを使用します。次に、[Role] フィールドで、インターフェイスを入力するか、[Select] をクリックしてインターフェイス ロールのリストからインターフェイスを選択します。

(注) 仮想テンプレート IP アドレスを設定できるのは、リモート アクセス VPN のサーバに対してだけです。

[VRF Solution]

[Enable VRF Settings] チェックボックスをオンにした場合にだけ使用可能です。

次のいずれかのオプション ボタンをクリックして、目的の VRF ソリューションを設定します。

[1-Box](IPsec Aggregator + MPLS PE):1 つのデバイスが、Customer Edge(CE; カスタマー エッジ)デバイスから IPsec 暗号化および復号化を実行する以外に、パケットの MPLS タギングも実行する Provider Edge(PE; プロバイダー エッジ)ルータとして機能します。詳細については、「VRF 対応 IPsec 1 ボックス ソリューション」を参照してください。

[2-Box](IPsec Aggregator だけ):PE デバイスは MPLS タギングだけを実行し、IPsec Aggregator デバイスが CE から IPsec 暗号化および復号化を実行します。詳細については、「VRF 対応 IPsec 2 ボックス ソリューション」を参照してください。

[VRF Name]

IPsec Aggregator の VRF ルーティング テーブルの名前。VRF 名では、大文字と小文字が区別されます。

[Route Distinguisher]

IPsec Aggregator の VRF ルーティング テーブルの固有識別情報。

この一意のルート識別子によって、他の PE ルータへの MPLS コアにわたって各 VPN のルーティング分離を保持します。

識別情報は次のいずれかの形式です。

IP address:X X は 0 ~ 999999999 です)。

N:X N は 0 ~ 65535 で、X は 0 ~ 999999999 です)。

(注) VRF 設定をデバイスに展開したあとは RD 識別子を上書きできません。展開後に RD 識別子を変更するには、デバイス CLI を介してその RD 識別子を手動で削除してから、再び展開する必要があります。

[Interface Towards Provider Edge]

[2-Box] オプション ボタンが選択されている場合にだけ使用可能です。

IPsec Aggregator 上の、PE デバイスに向けた VRF 転送インターフェイス。

(注) IPsec Aggregator(ハブ)が Catalyst VPN サービス モジュールの場合は、VLAN を指定する必要があります。

インターフェイスおよび VLAN は、定義済みのインターフェイス ロール オブジェクトです。必要な場合、[Select] をクリックして、すべての使用可能なインターフェイス、およびインターフェイス ロールによって定義されたインターフェイスのセットが一覧表示されたダイアログボックスを開きます。このダイアログボックスで、インターフェイス ロール オブジェクトを選択または作成できます。

[Routing Protocol]

[2-Box] オプション ボタンが選択されている場合にだけ使用可能です。

IPsec Aggregator と PE の間に使用するルーティング プロトコルを選択します。

保護された IGP 用のルーティング プロトコルが、IPsec Aggregator と PE の間のルーティング プロトコルとは異なる場合、ルーティングを保護された IGP に再配布するためのルーティング プロトコルを選択します。

オプションは、[BGP]、[EIGRP]、[OSPF]、[RIPv2]、または [Static route] です。

これらのプロトコルの詳細については、「ルータの管理」を参照してください。

[AS Number]

[2-Box] オプション ボタンが選択されている場合にだけ使用可能です。

IPsec Aggregator と PE の間の Autonomous System(AS; 自律システム)を識別するために使用する番号。

保護された IGP 用のルーティング プロトコルが、IPsec Aggregator と PE の間のルーティング プロトコルと異なる場合、IPsec Aggregator と PE からルーティングを再配布する宛先の保護された IGP を識別する AS 番号を入力します。これは、GRE または DMVPN が適用される場合だけに関連します。

AS 番号は 1 ~ 65535 の範囲にしてください。

[Process Number]

[2-Box] オプション ボタンが選択されており、かつ選択されたルーティング プロトコルが OSPF である場合にだけ使用可能です。

IPsec Aggregator と PE の間のルーティングを設定するために使用するルーティング プロセス ID 番号。

プロセス番号は、1 ~ 65535 の範囲にしてください。

[OSPF Area ID]

[2-Box] オプション ボタンが選択されており、かつ選択されたルーティング プロトコルが OSPF である場合にだけ使用可能です。

パケットが属する領域の ID 番号。0 ~ 4294967295 の範囲で任意の番号を入力できます。

(注) すべての OSPF パケットは単一の領域に関連付けられるため、すべてのデバイスに同じ領域 ID 番号が必要です。

[Redistribute Static Route]

[2-Box] オプション ボタンが選択されている場合にだけ、スタティック ルート以外のルーティング プロトコルに対して使用可能です。

選択すると、スタティック ルートを、PE デバイス方向の IPsec Aggregator で設定されているルーティング プロトコルでアドバタイズできます。

(注) このチェックボックスがオフになっており、かつ、IPsec プロポーザルに対して [Enable Reverse Route Injection] がイネーブルになっている場合(デフォルト)も、スタティック ルートは IPsec Aggregator のルーティング プロトコルでアドバタイズされます。

[Next Hop IP Address]

[2-Box] オプション ボタンが選択されており、かつ選択済みのルーティング プロトコルが [Static] である場合にだけ使用可能です。

プロバイダー エッジ デバイス(または IPsec Aggregator に接続されているインターフェイス)の IP アドレス。

[User Group Policy] ページ

[User Group Policy] ページを使用して、リモート アクセス IPSec VPN サーバのユーザ グループを指定します。Cisco IOS ルータ、PIX 6.3 ファイアウォール、または Catalyst 6500 /7600 デバイスにユーザ グループを設定できます。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから、[Remote Access VPN] > [IPSec VPN] > [User Groups] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [IPSec VPN] > [User Groups (IOS/PIX 6.x)] を選択し、既存のポリシーを選択するか、新しいポリシーを作成します。

関連項目

「Remote Access VPN Configuration ウィザード」

「ユーザ グループ ポリシーについて(IOS)」

「ユーザ グループ ポリシーの設定」

フィールド リファレンス

 

表 23-61 [User Group Policy] ページ

要素
説明

[Available User Groups]

選択可能な事前定義済みのユーザ グループを一覧表示します。

必要なユーザ グループを選択して、[>>] をクリックします。

Security Manager では、ユーザ グループはオブジェクトです。必要なユーザ グループがリストにない場合、[Create] をクリックして [User Groups Editor] ダイアログボックスを開くと、そこでユーザ グループ オブジェクトを作成または編集できます。「[Add User Group]/[Edit User Group] ダイアログボックス」を参照してください。

[Selected User Groups]

選択済みのユーザ グループを表示します。

このリストからユーザ グループを削除するには、そのグループを選択して [<<] をクリックします。

ユーザ グループのプロパティを変更するには、そのユーザ グループを選択して [Edit] をクリックします。

[SSL VPN Access Policy] ページ

[SSL VPN Access Policy] ページを使用して、SSL VPN のアクセス パラメータを設定します。Access ポリシーの設定の詳細については、「Access ポリシーの設定」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから、[Remote Access VPN] > [SSL VPN] > [Access] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Access (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「[Access Interface Configuration] ダイアログボックス」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 23-62 [SSL VPN Access Policy] ページ

要素
説明

[Access Interface] テーブル

[Access Interface] テーブルには、各インターフェイスのアクセス設定が表示されます。

インターフェイスでアクセスを設定するには、[Add] ボタンをクリックします(「[Access Interface Configuration] ダイアログボックス」を参照)。

インターフェイスのアクセス設定を編集するには、インターフェイスを選択し、[Edit] ボタンをクリックします(「[Access Interface Configuration] ダイアログボックス」を参照)。

インターフェイスのアクセス設定を削除するには、インターフェイスを選択し、[Delete] ボタンをクリックします。

[Port Number]

SSL VPN セッションに使用するポート。HTTPS トラフィックの場合、デフォルトのポートは 443 です。範囲は 1024 ~ 65535 です。ポート番号を変更すると、現在の SSL VPN 接続がすべて終了するため、現在のユーザは再接続が必要になります。

(注) HTTP ポート リダイレクションがイネーブルになっている場合、デフォルトの HTTP ポート番号は 80 です。

ポート リストの名前を入力します。または、[Select] をクリックして選択を行える [Port List Selector] を開くか、ポート リスト オブジェクトを作成します。ポート リスト オブジェクトは、サービス オブジェクトを定義する場合に使用する 1 つ以上のポート範囲の名前付き定義です。

[DTLS Port Number]

DTLS 接続に個別の UDP ポートを指定します。デフォルトのポートは 443 です。

ポート リストの名前を入力します。または、[Select] をクリックして選択を行える [Port List Selector] を開くか、ポート リスト オブジェクトを作成します。ポート リスト オブジェクトは、サービス オブジェクトを定義する場合に使用する 1 つ以上のポート範囲の名前付き定義です。

DTLS の詳細については、「SSL VPN クライアントの設定について」を参照してください。

[Fallback Trustpoint]

トラストポイントが割り当てられていないインターフェイスに使用するトラストポイントを入力または選択します。

[Default Idle Timeout]

SSL VPN セッションがセキュリティ アプライアンスにより終了されるまでアイドル状態でいられる時間(秒単位)。

この値が適用されるのは、ユーザのグループ ポリシー内の [Idle Timeout] 値がゼロ(0)に設定されている場合、つまり、タイムアウト値がない場合だけです。それ以外の場合、グループ ポリシーの [Idle Timeout] 値が、ここで設定したタイムアウトに優先されます。入力可能な最小値は、60 秒(1 分)です。デフォルトは 30 分(1800 秒)です。最大値は 24 時間(86400 秒)です。

この属性は短い時間に設定することを推奨します。これは、ブラウザがクッキーをディセーブルにするように設定されている場合(またはクッキーを要求してから拒否する場合)、ユーザが接続されていないにもかかわらず、セッション データベースにユーザが表示されることがあるためです。グループ ポリシーの [Simultaneous Logins] 属性が 1 に設定されている場合は、すでに最大接続数に達していることがデータベースによって示されるため、ユーザは再びログインできません。アイドル タイムアウトを低い値に設定すると、このようなファントム セッションが短時間で削除され、ユーザは再びログインできるようになります。

[Max Session Limit]

許可される SSL VPN セッションの最大数。

ASA モデルの違いによって、SSL VPN セッションのサポートが異なることに注意してください。ASA 5510 では最大 150 個、ASA 5520 では最大 750 個、ASA 5540 では最大 2500 個のセッションがサポートされます。

[Allow Users to Select Connection Profile in Portal Page]

選択すると、SSL VPN エンドユーザ インターフェイスで設定済みの [Connection Profiles](トンネル グループ)のリストが含められます。ユーザはログイン時にこのリストからプロファイルを選択できます。

選択しない場合、ユーザはログイン時にプロファイルを選択できません。

[Enable AnyConnect Access]

選択すると、SSL VPN クライアント接続が許可されます。AnyConnect SSL VPN クライアントの詳細については、「SSL VPN クライアントの設定について」を参照してください。

[Enable AnyConnect Essentials]

選択すると、AnyConnect Essentials 機能がイネーブルになります。AnyConnect Essentials SSL VPN クライアントの詳細については、「SSL VPN クライアントの設定について」を参照してください。

[Access Interface Configuration] ダイアログボックス

[Access Interface Configuration] ダイアログボックスを使用して、セキュリティ アプライアンス インターフェイスで SSL VPN アクセスを作成または編集します。

ナビゲーション パス

「[SSL VPN Access Policy] ページ」を開き、テーブルの下の [Add Row] をクリックするか、テーブル内の行を選択して [Edit Row] をクリックします。

関連項目

「Access ポリシーの設定」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 23-63 [SSL VPN Access Policy] ページ > [Access Interface Configuration] ダイアログボックス

要素
説明

[Access Interface]

SSL VPN アクセスを設定するインターフェイスを入力します。

[Select] をクリックするとダイアログボックスが開き、そこで、インターフェイス リストからインターフェイスを選択したり、インターフェイス ロール オブジェクトを選択したりできます。

[Trustpoint]

このインターフェイスに割り当てる定義済みのトラストポイントを入力または選択します。

[Load Balancing Trustpoint]

ロード バランシングが設定されている場合、このインターフェイスに割り当てるセカンダリ トラストポイントを入力または選択できます。

[Allow Access]

このインターフェイス経由の VPN アクセスをイネーブルにする場合は、このオプションを選択します。このオプションを選択しない場合、インターフェイスでアクセスは設定されますが、ディセーブルになります。

[Enable DTLS]

選択すると、インターフェイスで Datagram Transport Layer Security(DTLS)がイネーブルになり、AnyConnect VPN Client は 2 つの同時トンネル(SSL トンネルと DTLS トンネル)を使用して SSL VPN 接続を確立できます。

[Check Client Certificate]

選択すると、接続にはクライアントからの有効なデジタル証明書が必要となります。

[SSL VPN Other Settings] ページ

[SSL VPN Other Settings] ページを使用して、VPN トポロジ内のデバイスに適用されるキャッシング、コンテンツの書き換え、文字エンコード、プロキシ、およびメモリ サイズ定義に対してグローバル設定を定義します。

詳細については、「その他の SSL VPN 設定の定義」を参照してください。

これらのタブは、[SSL VPN Other Settings] ページで使用可能です。

「[Performance] タブ」

「[Content Rewrite] タブ」

「[Encoding] タブ」

「[Proxy] タブ」

「[Plug-in] タブ」

「[SSL VPN Client Settings] タブ」

「[Advanced] タブ」

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Performance] タブ

[SSL VPN Other Settings] ページの [Performance] タブを使用して、SSL VPN パフォーマンスを強化するキャッシング プロパティを指定します。

ナビゲーション パス

[Performance] タブは、「[SSL VPN Other Settings] ページ」を開くと表示されます。また、[SSL VPN Global Settings] ページの他の任意のタブから [Performance] タブをクリックしても開きます。

関連項目

「パフォーマンス設定の定義」

「[SSL VPN Other Settings] ページ」

フィールド リファレンス

 

表 23-64 [SSL VPN Other Settings] > [Performance] タブ

要素
説明

[Enable]

選択すると、セキュリティ アプライアンスのキャッシュ設定を使用できます。このチェックボックスは、デフォルトでオンになっています。

選択しない場合、セキュリティ アプライアンスで設定されているキャッシュ設定は無効になり、[Performance] タブの下のすべてのフィールドがグレー表示されます。

[Minimum Object Size]

セキュリティ アプライアンスでキャッシュに格納可能な HTTP オブジェクトの最小サイズ(KB 単位)。

最小サイズの範囲は、0 ~ 10,000 KB です。デフォルトは 0 KB です。

[Maximum Object Size]

セキュリティ アプライアンスでキャッシュに格納可能な HTTP オブジェクトの最大サイズ(KB 単位)。

HTTP オブジェクトの最大サイズ制限は、10,000 KB です。デフォルトは 1000 KB です。

[Last Modified Factor]

最後に更新されたタイムスタンプだけを持つオブジェクトをキャッシングするための再検証ポリシーを設定する整数を指定します。その他のサーバ設定有効期限の値は指定しません。有効な範囲は 1 ~ 100 です。デフォルトは 20 です。

また、発信 Web サーバからセキュリティ アプライアンス要求に対して、応答が期限切れになる時間を示す Expires 応答が送信されますが、この応答もキャッシングに影響を及ぼします。この応答ヘッダーは、応答が古くなり(条件付き GET 操作を使用して)最新のチェックなしでクライアントに送信できなくなる時刻を示します。

また、セキュリティ アプライアンスでは、Web オブジェクトごとに、オブジェクトがディスクに書き込まれる前にオブジェクトの有効期限を計算できます。オブジェクトのキャッシュ有効期限を計算するためのアルゴリズムは、次のとおりです。

有効期限 = (今日の日付 - オブジェクトの最終変更日付)×有効期間係数

有効期限が経過するとオブジェクトが古いと見なされ、それ以降の要求に対しては、セキュリティ アプライアンスによってコンテンツが新しく取得されます。最終変更係数を 0 に設定することは、即時の再検証を強制することに相当します。100 に設定すると、再検証までの時間が許容される範囲で最も長くなります。

[Expiration Time]

セキュリティ アプライアンスがオブジェクトを再検証せずにキャッシュに格納する時間(分単位)。範囲は 0 ~ 900 分です。デフォルトは 1 分です。

再検証では、キャッシュされたオブジェクトの経過時間が有効期間を超過している場合、要求されたコンテンツをクライアント ブラウザに提供する前に、発信サーバからそのオブジェクトを拒否します。キャッシュされたオブジェクトの経過時間とは、セキュリティ アプライアンスが発信サーバに明示的に接続してオブジェクトがまだ有効期間内であるかどうかをチェックすることなく、オブジェクトがセキュリティ アプライアンスのキャッシュに格納されている時間のことです。

[Cache Compressed Content]

選択すると、セキュリティ アプライアンスで SSL VPN セッションの圧縮済みオブジェクト(zip、gz、および tar ファイル)をキャッシュできます。

このチェックボックスをオフにした場合、セキュリティ アプライアンスは、オブジェクトを圧縮する前に格納します。

[Cache Static Content]

選択すると、セキュリティ アプライアンスでスタティック コンテンツをキャッシュできます。

各 Web ページは、スタティック オブジェクトとダイナミック オブジェクトで構成されます。セキュリティ アプライアンスでは、イメージ ファイル(*.gif、*.jpeg)、Java アプレット(.js)、カスケーディング スタイル シート(*.css)などの個々のスタティック オブジェクトをキャッシュします。

[Content Rewrite] タブ

[SSL VPN Other Settings] ページの [Content Rewrite] タブを使用して、ユーザがセキュリティ アプライアンス自体を通過せずに特定のサイトやアプリケーションをブラウズすることを許可するような書き換え規則をセキュリティ アプライアンスで作成できるようにします。

ナビゲーション パス

「[SSL VPN Other Settings] ページ」を開き、[Content Rewrite] タブをクリックします。

関連項目

「コンテンツ書き換え規則の定義」

「[SSL VPN Other Settings] ページ」

フィールド リファレンス

 

表 23-65 [SSL VPN Global Settings] > [Content Rewrite] タブ

要素
説明

[Rule Number]

リスト内での規則の位置を示す整数。

セキュリティ アプライアンスは、最も小さい番号から順番に書き換え規則を検索して、一致した最初の規則を適用します。

[Rule Name]

規則を適用するアプリケーションの名前。

[Resource Mask]

規則のアプリケーションまたはリソース。

[Enable]

セキュリティ アプライアンスでコンテンツ書き換え規則がイネーブルになっているかどうかを示します。

[Create] ボタン

コンテンツ書き換え規則をリストに追加できるダイアログボックスを開きます。「[Add Content Rewrite]/[Edit Content Rewrite] ダイアログボックス」を参照してください。

[Edit] ボタン

テーブル内の選択済みコンテンツ書き換え規則を編集できるダイアログボックスを開きます。「[Add Content Rewrite]/[Edit Content Rewrite] ダイアログボックス」を参照してください。

[Delete] ボタン

選択した 1 つ以上のコンテンツ書き換え規則をテーブルから削除します。

[Add Content Rewrite]/[Edit Content Rewrite] ダイアログボックス

[Add Content Rewrite]/[Edit Content Rewrite] ダイアログボックスを使用して、SSL VPN 接続を介するプロキシ HTTP トラフィックに対して拡張要素(JavaScript、VBScript、Java、マルチバイト文字など)を含む書き換えエンジンを設定します。

ナビゲーション パス

「[Content Rewrite] タブ」を開き、表の下の [Create] をクリックするか、表の行を選択して [Edit] をクリックします。

関連項目

「コンテンツ書き換え規則の定義」

「[SSL VPN Other Settings] ページ」

「[Content Rewrite] タブ」

フィールド リファレンス

 

表 23-66 [SSL VPN Other Settings] > [Content Rewrite] タブ > [Add Content Rewrite]/[Edit Content Rewrite] ダイアログボックス

要素
説明

[Enable]

選択すると、セキュリティ アプライアンスで、書き換え規則に対するコンテンツ書き換えがイネーブルになります。

外部のパブリック Web サイトなどの一部のアプリケーションでは、この処理が必要ないものもあります。これらのアプリケーションでは、コンテンツ書き換えを無効にするように選択できます。

[Rule Number]

この規則の番号を指定します。この番号は、リスト内の規則の位置を指定します。番号がない規則はリストの最後に配置されます。範囲は 1 ~ 65534 です。

[Rule Name]

コンテンツ書き換え規則を説明する英数字文字列を指定します。最大値は 128 バイトです。

[Resource Mask]

規則が適用されるアプリケーションまたはリソースの名前を指定します。

次のワイルドカードを使用できます。

*:すべてに一致します。このワイルドカードは単独で使用できません。英数字文字列と一緒に使用する必要があります。

?:単一文字と一致します。

[!seq]:シーケンスにない任意の文字と一致します。

[seq]:シーケンスにある任意の文字と一致します。

最大値は 300 バイトです。

[Encoding] タブ

[SSL VPN Other Settings] ページの [Encoding] タブを使用して、リモート ユーザに配信される SSL VPN ポータル ページでエンコードする文字セットを指定します。デフォルトでは、SSL VPN ポータル ページの文字セットはリモート ブラウザで設定されているエンコーディング タイプ セットによって決定されるため、ブラウザで適切なエンコーディングが行われることを確認する必要がある場合を除き、文字エンコーディングを設定する必要はありません。

ナビゲーション パス

「[SSL VPN Other Settings] ページ」を開き、[Encoding] タブをクリックします。

関連項目

「エンコード規則の定義」

「[SSL VPN Other Settings] ページ」

フィールド リファレンス

 

表 23-67 [SSL VPN Other Settings] > [Encoding] タブ

要素
説明

[Global SSL VPN Encoding Type]

テーブル内に表示された CIFS サーバから配信されるポータル ページを除くすべての SSL VPN ポータル ページが継承する文字エンコーディングを決定する属性を選択します。

デフォルトでは、セキュリティ アプライアンスは Common Internet File System サーバからのページに「Global SSL VPN Encoding Type」を適用します。

次のいずれかの値を選択できます。

[big5]

[gb2312]

[ibm-850]

[iso-8859-1]

[shift_jis]

をクリックして、このフォント ファミリを削除します。

[unicode]

[windows-1252]

[none]

[None] を選択するか、SSL VPN クライアントのブラウザでサポートされていない値を指定した場合は、デフォルトのエンコーディングが使用されます。

http://www.iana.org/assignments/character-sets で指定されている有効な文字セットの 1 つに等しい文字列を、最大 40 文字で入力できます。そのページに表示されている文字セットの名前またはエイリアスを使用できます。文字列では大文字と小文字が区別されます。セキュリティ アプライアンスを保存すると、コマンド インタープリタによって大文字が小文字に変換されます。

[Common Internet File System Server]

エンコーディング要件が「Global SSL VPN Encoding Type」属性設定とは異なる各 CIFS サーバの名前または IP アドレス。

[Encoding Type]

関連付けられた CIFS サーバの文字エンコーディングを上書きします。

[Create] ボタン

エンコーディング要件が「Global SSL VPN Encoding Type」属性設定と異なる CIFS サーバを追加できるダイアログボックスを開きます。「[Add File Encoding]/[Edit File Encoding] ダイアログボックス」を参照してください。

[Edit] ボタン

テーブル内で選択されている CIFS サーバの設定を編集できるダイアログボックスを開きます。「[Add File Encoding]/[Edit File Encoding] ダイアログボックス」を参照してください。

[Delete] ボタン

グローバル エンコーディング タイプ属性設定から除外する行を 1 行以上選択し、このボタンをクリックしてリストから削除します。

[Add File Encoding]/[Edit File Encoding] ダイアログボックス

[Add File Encoding]/[Edit File Encoding] ダイアログボックスを使用して、CIFS サーバおよび関連付けられた文字エンコーディングを設定し、「Global SSL VPN Encoding Type」属性の値を上書きします。

ナビゲーション パス

「[Encoding] タブ」を開き、表の下の [Create] をクリックするか、表の行を選択して [Edit] をクリックします。

関連項目

「エンコード規則の定義」

フィールド リファレンス

 

表 23-68 [SSL VPN Other Settings] > [Encoding] タブ > [Add File Encoding]/[Edit File Encoding] ダイアログボックス

要素
説明

[CIFS Server IP]

選択すると、エンコーディング要件が「Global SSL VPN Encoding Type」属性設定とは異なる CIFS サーバの IP アドレスを示します。

CIFS サーバは、定義済みオブジェクトです。[Select] をクリックすると、使用可能なすべてのネットワーク ホストを一覧表示した [Network/Hosts Selector] ダイアログボックスが開き、そこで、ネットワーク ホスト オブジェクトを作成できます。

[CIFS Server Host]

選択すると、エンコーディング要件が「Global SSL VPN Encoding Type」属性設定とは異なる CIFS サーバのホスト名を示します。セキュリティ アプライアンスでは指定した大文字と小文字が保持されますが、名前をサーバと照合するときは大文字と小文字の違いが無視されます。

[Encoding Type]

CIFS サーバが SSL VPN ポータル ページに対して指定する必要のある文字エンコーディングを選択します。ここで選択した内容は、「Global SSL VPN Encoding Type」属性設定を上書きします。

[None] を選択するか、SSL VPN クライアントのブラウザでサポートされていない値を指定した場合は、デフォルトのエンコーディングが使用されます。

[Proxy] タブ

[SSL VPN Other Settings] ページの [Proxy] タブを使用して、HTTPS 接続を終了して HTTP/HTTPS 要求を HTTP および HTTPS プロキシ サーバに転送するようにセキュリティ アプライアンスを設定します。このタブでは、最小コンテンツ書き換えを実行するようにセキュリティ アプライアンスを設定したり、書き換えるコンテンツのタイプ(外部リンクまたは XML)を指定したりすることもできます。

ナビゲーション パス

「[SSL VPN Other Settings] ページ」を開き、[Proxy] タブをクリックします。

関連項目

「プロキシおよびプロキシ バイパス規則の定義」

「ネットワーク/ホスト オブジェクトについて」

フィールド リファレンス

 

表 23-69 [SSL VPN Other Settings] > [Proxy] タブ

要素
説明

[Proxy Type]

SSL VPN 接続に使用する外部プロキシ サーバのタイプを選択します。

[HTTP/HTTPS Proxy]:HTTP または HTTPS 要求を処理するために外部プロキシ サーバを使用できるようにし、HTTP または HTTPS サーバ プロパティを指定するその下のフィールドすべてをアクティブにします。

[Proxy using PAC]:HTTP プロキシ サーバからブラウザにダウンロードする Proxy Auto Configuration(PAC)を指定できます。

[HTTP/HTTPS Proxy Servers]

[Enable HTTP Proxy Server]

このチェックボックスをオンにすると、HTTP プロキシ サーバがイネーブルになります。

[HTTP Proxy Server]

[Proxy Server] リストで [HTTP/HTTPS Proxy] を選択した場合にだけ使用可能です。

セキュリティ アプライアンスが HTTP 接続を転送する先の外部 HTTP プロキシ サーバの IP アドレス。

HTTP プロキシ サーバは、定義済みのネットワーク オブジェクトです。[Select] をクリックして、選択を行える [Networks/Hosts Selector] ダイアログボックスを開き、ネットワーク ホスト オブジェクトを作成できます。

[HTTP Proxy Port]

[Proxy Server] リストで [HTTP/HTTPS Proxy] を選択した場合にだけ使用可能です。

セキュリティ アプライアンスが HTTP 接続を転送する先の外部 HTTP プロキシ サーバのポート。

[Select] をクリックして、選択を行える [Port List Selector] ダイアログボックスを開くか、ポート リスト オブジェクトを作成できます。ポート リスト オブジェクトは、サービス オブジェクトを定義する場合に使用する 1 つ以上のポート範囲の名前付き定義です。

[Exception Address List]

[Proxy Server] リストで [HTTP/HTTPS Proxy] を選択した場合にだけ使用可能です。

HTTP プロキシ サーバに送信できないようにする 1 つの URL、または複数の URL のカンマ区切りリスト。文字列に文字の制限はありませんが、コマンド全体が 512 文字を超えてはなりません。リテラル URL を指定するか、次のワイルドカードを使用できます。

* は、スラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは英数字文字列と一緒に使用する必要があります。

? は、スラッシュとピリオドを含む任意の 1 文字と一致します。

[x-y] は、x から y までの範囲の任意の 1 文字と一致します。x は ANSI 文字セット内のある 1 文字を表し、y は別の文字を表します。

[!x-y] は、範囲内にない任意の 1 文字と一致します。

[Authentication User Name]

[Proxy Server] リストで [HTTP/HTTPS Proxy] を選択した場合にだけ使用可能です。

基本のプロキシ認証を提供するために各 HTTP プロキシ要求に付随するキーワードとして使用されるユーザ名。

[Authentication Password]

各 HTTP 要求とともにプロキシ サーバに送信するパスワード。

[Confirm]

[Authentication Password] フィールドに入力されたパスワードを確認します。これらの設定を保存する前に、[Authentication Password] フィールドと [Confirm] フィールドの値が一致する必要があります。

[Enable HTTPS Proxy Server]

このチェックボックスをオンにすると、HTTPS プロキシ サーバがイネーブルになります。

[HTTPS Proxy Server]

[Proxy Server] リストで [HTTP/HTTPS Proxy] を選択した場合にだけ使用可能です。

セキュリティ アプライアンスが HTTP 接続を転送する先の外部 HTTPS プロキシ サーバの IP アドレス。

HTTPS プロキシ サーバは、定義済みのネットワーク オブジェクトです。[Select] をクリックして、選択を行える [Networks/Hosts Selector] ダイアログボックスを開き、ネットワーク ホスト オブジェクトを作成できます。

[HTTPS Proxy Port]

[Proxy Server] リストで [HTTP/HTTPS Proxy] を選択した場合にだけ使用可能です。

セキュリティ アプライアンスが HTTPS 接続を転送する先の外部 HTTPS プロキシ サーバのポート。

[Select] をクリックして、選択を行える [Port List Selector] ダイアログボックスを開くか、ポート リスト オブジェクトを作成できます。

[Exception Address List]

[Proxy Server] リストで [HTTP/HTTPS Proxy] を選択した場合にだけ使用可能です。

HTTPS プロキシ サーバに送信できないようにする 1 つの URL、または複数の URL のカンマ区切りリスト。文字列に文字の制限はありませんが、コマンド全体が 512 文字を超えてはなりません。リテラル URL を指定するか、次のワイルドカードを使用できます。

* は、スラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは英数字文字列と一緒に使用する必要があります。

? は、スラッシュとピリオドを含む任意の 1 文字と一致します。

[x-y] は、x から y までの範囲の任意の 1 文字と一致します。x は ANSI 文字セット内のある 1 文字を表し、y は別の文字を表します。

[!x-y] は、範囲内にない任意の 1 文字と一致します。

[Authentication User Name]

[Proxy Server] リストで [HTTP/HTTPS Proxy] を選択した場合にだけ使用可能です。

基本のプロキシ認証を提供するために各 HTTPS プロキシ要求に付随するキーワードとして使用されるユーザ名。

[Authentication Password]

各 HTTPS 要求とともにプロキシ サーバに送信するパスワード。

[Confirm]

[Authentication Password] フィールドに入力されたパスワードを確認します。これらの設定を保存する前に、[Authentication Password] フィールドと [Confirm] フィールドの値が一致する必要があります。

[Proxy using PAC]

[Proxy Server] リストで [Proxy using PAC] を選択した場合にだけ使用可能です。

[Specify Proxy Auto Config file URL]

選択すると、ブラウザにダウンロードする Proxy Autoconfiguration(PAC)ファイルを指定できます。ダウンロードが完了すると、PAC ファイルは JavaScript 機能を使用して各 URL のプロキシを識別します。隣接するフィールドに、 http:// を入力し、プロキシ自動設定ファイルの URL を入力します。 http:// の部分を省略すると、セキュリティ アプライアンスによってそれが無視されます。

このオプションは、HTTP プロキシ サーバの IP アドレスを指定するもう 1 つの方法です。

[Proxy Bypass]

プロキシ バイパスに設定されている ASA インターフェイス、ポート、およびターゲット URL を指定します。次のボタンを使用して、プロキシ バイパス設定を作成、編集、または削除します。

[Create] ボタン:プロキシ バイパス規則をテーブルに追加できるダイアログボックスを開きます。「[Add Proxy Bypass]/[Edit Proxy Bypass] ダイアログボックス」を参照してください。

[Edit] ボタン:テーブル内で選択されているプロキシ バイパス規則の設定を編集できるダイアログボックスを開きます 「[Add Proxy Bypass]/[Edit Proxy Bypass] ダイアログボックス」を参照してください。

[Delete] ボタン: テーブル内で選択されている 1 つ以上のプロキシ バイパス規則を削除します。

[Add Proxy Bypass]/[Edit Proxy Bypass] ダイアログボックス

[Add Proxy Bypass]/[Edit Proxy Bypass] ダイアログボックスを使用して、セキュリティ アプライアンスがコンテンツ書き換えをほとんどまたはまったく実行しない場合のプロキシ バイパス規則を設定します。

ナビゲーション パス

「[Proxy] タブ」を開き、表の下の [Create] をクリックするか、表の行を選択して [Edit] をクリックします。

関連項目

「プロキシおよびプロキシ バイパス規則の定義」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 23-70 [SSL VPN Global Settings] > [Proxy] タブ > [Add Proxy Bypass]/[Edit Proxy Bypass] ダイアログボックス

要素
説明

[Interface]

セキュリティ アプライアンスでプロキシ バイパスに使用されるインターフェイス。

[Select] をクリックするとダイアログボックスが開き、そこで、インターフェイス リストからインターフェイスを選択したり、インターフェイス ロール オブジェクトを選択したりできます。

[Bypass On Port]

選択すると、プロキシ バイパスに使用するポート番号を指定できます。有効なポート番号は、20000 ~ 21000 です。

[Select] をクリックして、選択を行える [Port List Selector] ダイアログボックスを開くか、ポート リスト オブジェクトを作成できます。ポート リスト オブジェクトは、サービス オブジェクトを定義する場合に使用する 1 つ以上のポート範囲の名前付き定義です。

(注) パス マスクではなくポートを使用してプロキシ バイパスを設定した場合、ネットワーク設定によっては、これらのポートからセキュリティ アプライアンスにアクセスできるようにファイアウォール設定を変更することが必要になる場合があります。この制限を回避するには、パス マスクを使用します。

[Bypass Matching Specify Pattern]

選択すると、プロキシ バイパスのために照合する URL パスを指定できます。

パスは、URL 内のドメイン名に続くテキストです。たとえば、www.mycompany.com/hrbenefits という URL では、 hrbenefits がパスです。

次のワイルドカードを使用できます。

*:すべてに一致します。このワイルドカードは単独で使用できません。英数字文字列と一緒に使用する必要があります。

?:単一文字と一致します。

[!seq]:シーケンスにない任意の文字と一致します。

[seq]:シーケンスにある任意の文字と一致します。

最大値は 128 バイトです。

(注) パス マスクが変更される可能性をなくすために、複数のパス マスク ステートメントを使用することが必要になる場合があります。

[URL]

[http] または [https] プロトコルを選択し、提供されたフィールドに、プロキシ バイパスを適用する URL を入力します。

プロキシ バイパスに使用する URL では、最大 128 バイトが許可されます。HTTP のポートは 80 で、HTTPS のポートは 443 です(別のポートを指定した場合を除く)。

[Rewrite XML]

選択すると、セキュリティ アプライアンスによってバイパスされるように、XML サイトおよびアプリケーションが書き換えられます。

[Rewrite Hostname]

選択すると、セキュリティ アプライアンスによってバイパスされるように、外部リンクが書き換えられます。

[Plug-in] タブ

プラグインへのリモート アクセスを提供するには、セキュリティ アプライアンスでクライアントレス SSL VPN がイネーブルになっている必要があります。[SSL VPN Other Settings] ページの [Plug-in] タブを使用して、現在設定されているブラウザ プラグインを参照し、新しいプラグインを作成するか、既存のプラグインを編集します。

ナビゲーション パス

「[SSL VPN Other Settings] ページ」を開き、[Plug-in] タブをクリックします。また、[SSL VPN Other Settings] ページの他の任意のタブから [Plug-in] タブをクリックしても開きます。

関連項目

「プラグインについて」

「ブラウザ プラグインの定義」

「SSL VPN サポート ファイルの概要および管理」

フィールド リファレンス

 

表 23-71 [SSL VPN Other Settings] > [Plug-in] タブ

要素
説明

[Plug-in]

プラグインがユーザに提供するプロトコル サービスに基づくプラグインのタイプ。このプラグインは、リモート ブラウザでのクライアントレス SSL VPN セッションで使用されます。

[Plug-in File]

プラグイン ファイルを識別するファイル オブジェクトの名前。

[Create] ボタン

ブラウザ プラグインを追加できるダイアログボックスを開きます。「[Add Plug-in Entry]/[Edit Plug-in Entry] ダイアログボックス」を参照してください。

[Edit] ボタン

選択したプラグインの設定を編集できるダイアログボックスを開きます。「[Add Plug-in Entry]/[Edit Plug-in Entry] ダイアログボックス」を参照してください。

[Delete] ボタン

1 つ以上のブラウザ プラグインの行を選択し、このボタンをクリックしてリストから削除します。

[Add Plug-in Entry]/[Edit Plug-in Entry] ダイアログボックス

[Add Plug-in Entry]/[Edit Plug-in Entry] ダイアログボックスを使用して、クライアントレス SSL VPN セッションでリモート ブラウザにダウンロードするブラウザ プラグインを追加または編集します。

ナビゲーション パス

「[Plug-in] タブ」を開き、表の下の [Create] をクリックするか、表の行を選択して [Edit] をクリックします。

関連項目

「プラグインについて」

「ブラウザ プラグインの定義」

「SSL VPN サポート ファイルの概要および管理」

フィールド リファレンス

 

表 23-72 [SSL VPN Other Settings] > [Plug-in] タブ > [Add Plug-in Entry]/[Edit Plug-in Entry] ダイアログボックス

要素
説明

[Plug-in]

SSL VPN ポータルから開始された URL 内のインポート済みプラグインに使用されるプロトコルに基づく、プラグイン ファイルのタイプ。リストから次のいずれかのオプションを選択します。

[Remote Desktop (RDP)]:rdp-plugin.jar プラグイン ファイルを使用して、Remote Desktop Protocol サービスへのアクセスを提供します。

[Secure Shell (SSH), Telnet]:ssh-plugin.jar プラグイン ファイルを使用して、セキュア シェルおよび Telnet サービスへのアクセスを提供します。

[VNC]:vnc-plugin.jar プラグイン ファイルを使用して、Virtual Network Computing サービスへのアクセスを提供します。

[Citrix (ICA)]:ica-plugin.jar プラグイン ファイルを使用して、Citrix MetaFrame サービスへのアクセスを提供します。

[Plug-in File]

プラグイン ファイルを識別するファイル オブジェクト。ファイル オブジェクトの名前を入力するか、[Select] をクリックしてオブジェクトを選択します。また、オブジェクト セレクタからファイル オブジェクトを作成することもできます。ファイル オブジェクトの作成の詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

[SSL VPN Client Settings] タブ

[SSL VPN Client Settings] タブを使用して、リモート PC にダウンロードする SSL VPN クライアント イメージおよびプロファイル ファイルのパスを指定し、デバイス上の SSL VPN クライアントと Cisco Secure Desktop(CSD)イメージに割り当てるキャッシュ メモリのサイズを指定します。

ナビゲーション パス

「[SSL VPN Other Settings] ページ」を開き、[Client Settings] タブをクリックします。また、[SSL VPN Other Settings] ページの他の任意のタブから [Client Settings] タブをクリックしても開きます。

関連項目

「SSL VPN クライアントの設定について」

「SSL VPN クライアント設定の定義」

「SSL VPN サポート ファイルの概要および管理」

フィールド リファレンス

 

表 23-73 [SSL VPN Other Settings] > [Client Settings] タブ

要素
説明
[AnyConnect Client Image]

[AnyConnect Client Image]

Anyconnect クライアント イメージのパッケージ ファイルを識別するファイル オブジェクトの名前が表示されます。これらは、セキュリティ アプライアンスがリモート PC にダウンロードするイメージです。

[Order]

テーブル内の順序を示します。セキュリティ アプライアンスは、テーブルの一番上にあるイメージを最初にダウンロードします。このため、最もよく使用するオペレーティング システムで使用されるイメージを一番上に移動する必要があります。

[Create] ボタン

このボタンをクリックすると、リストに追加するパッケージを選択できるオブジェクト セレクタが開きます。既存のファイル オブジェクトを選択するか、新しいファイル オブジェクトを作成できます。

[Edit] ボタン

テーブル内の SSL VPN クライアント イメージの行を選択してこのボタンをクリックし、ファイル オブジェクトの選択内容またはクライアント イメージの順序を変更します。

[Delete] ボタン

1 つ以上の Anyconnect クライアント イメージの行を選択し、このボタンをクリックしてリストから削除します。

[AnyConnect Client Profile]

[Profile Name]

セキュリティ アプライアンスにダウンロードされるクライアント プロファイルの名前が表示されます。

[AnyConnect Client Profile]

セキュリティ アプライアンスにダウンロードされる Anyconnect クライアントのクライアント プロファイルを識別するファイル オブジェクトの名前が表示されます。

このクライアント プロファイルは、セキュリティ アプライアンスによってリモート PC にダウンロードされる XML ファイルです。これらのプロファイルは、AnyConnect VPN クライアント ユーザ インターフェイスにホスト情報を表示します。

[Create] ボタン

このボタンをクリックすると、リストに追加するプロファイルを選択できるオブジェクト セレクタが開きます。既存のファイル オブジェクトを選択するか、新しいファイル オブジェクトを作成できます。

[Edit] ボタン

テーブル内の SSL VPN クライアント イメージの行を選択してこのボタンをクリックし、ファイル オブジェクトの選択内容またはクライアント プロファイルの名前を変更します。

[Delete] ボタン

1 つ以上の Anyconnect クライアント プロファイルの行を選択し、このボタンをクリックしてリストから削除します。

[Cache File System (to hold CSD and SVC images)]

[Maximum Cache File System Object Size]

SSL VPN クライアントおよび CSD イメージを格納するセキュリティ アプライアンス上のキャッシュの最大サイズ(MB 単位)。

(注) セキュリティ アプライアンスは、SSL VPN クライアントおよび CSD イメージをキャッシュ メモリ内に展開します。「ERROR: Unable to load SVC image - increase disk space via the 'cache-fs' command」というエラー メッセージが表示された場合は、キャッシュ メモリのサイズを大きくします。

[Add AnyConnect Client Image][Edit AnyConnect Client Image] ダイアログボックス

[Add AnyConnect Client Image][Edit AnyConnect Client Image] ダイアログボックスを使用して、クライアント イメージとしてのパッケージ ファイルを作成または編集し、セキュリティ アプライアンスがイメージをリモート PC にダウンロードする順序を確立します。

ナビゲーション パス

「[SSL VPN Client Settings] タブ」を開き、[AnyConnect Client Image] テーブルの下の [Create] をクリックするか、テーブル内の行を選択して [Edit] をクリックします。

関連項目

「SSL VPN クライアントの設定について」

「SSL VPN クライアント設定の定義」

「SSL VPN サポート ファイルの概要および管理」

フィールド リファレンス

 

表 23-74 [SSL VPN Other Settings] > [Client Settings] タブ > [Add AnyConnect Client Image][Edit AnyConnect Client Image] ダイアログボックス

要素
説明

[AnyConnect Client Image]

Anyconnect クライアントを識別するファイル オブジェクトの名前。[Select] をクリックしてオブジェクトを選択します。

また、オブジェクト セレクタからファイル オブジェクトを作成することもできます。詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

[Image Order]

セキュリティ アプライアンスがクライアント イメージをリモート PC にダウンロードする順序。テーブルの一番上にあるイメージを最初にダウンロードします。そのため、最も一般的なオペレーティング システムで使用されるイメージに、より小さい値を入力する必要があります。

[Regular Expression]

AnyConnect イメージの正規表現。既存の正規表現の名前を入力します。または、[Select] をクリックして正規表現を選択するか、新しい正規表現を作成します。

[Add AnyConnect Client Profile][Edit AnyConnect Client Profile] ダイアログボックス

[Add AnyConnect Client Profile][Edit AnyConnect Client Profile] ダイアログボックスを使用して、新しいプロファイルを作成したり、既存のプロファイルのパスを編集したりします。これらのプロファイルは、AnyConnect VPN クライアント ユーザ インターフェイスにホスト情報を表示します。プロファイルが作成されると、Security Manager からセキュリティ アプライアンスにそのプロファイルがロードされます。リモート クライアント PC にプロファイルをダウンロードするようにセキュリティ アプライアンスを設定する必要があります。

ナビゲーション パス

「[SSL VPN Client Settings] タブ」を開き、[AnyConnect Client Profile] テーブルの下の [Create] をクリックするか、テーブル内の行を選択して [Edit] をクリックします。

関連項目

「SSL VPN クライアントの設定について」

「SSL VPN クライアント設定の定義」

「SSL VPN サポート ファイルの概要および管理」

フィールド リファレンス

 

表 23-75 [SSL VPN Other Settings] > [Client Settings] タブ > [Add AnyConnect Client Profile][Edit AnyConnect Client Profile] ダイアログボックス

要素
説明

[AnyConnect Profile Name]

セキュリティ アプライアンスにダウンロードされる Anyconnect クライアント プロファイルの名前。

[AnyConnect Client Profile]

Anyconnect クライアント プロファイル XML ファイルを識別するファイル オブジェクトの名前。[Select] をクリックしてオブジェクトを選択します。

また、オブジェクト セレクタからファイル オブジェクトを作成することもできます。詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

[Advanced] タブ

[Advanced] タブを使用すると、ASA デバイスにメモリ、オンスクリーン キーボード、および内部パスワード機能を設定できます。

ナビゲーション パス

「[SSL VPN Other Settings] ページ」を開き、[Advanced] タブをクリックします。

関連項目

「高度な設定の定義」

フィールド リファレンス

 

表 23-76 [SSL VPN Other Settings] > [Advanced] タブ

要素
説明

[Memory Size]

SSL VPN セッションを割り当てるメモリの量を次のように指定します。

[% of Total Physical Memory]:全体のメモリに対するパーセンテージで指定します。デフォルトは 50% です。

[Kilobytes]:KB 単位で指定します。許可される最小設定値は、20 KB です。次の例に示すように、ASA モデルのタイプによって合計のメモリ量が異なるため、KB 単位では指定することは推奨されません。

ASA 5510 の場合、256 MB

ASA5520 の場合、512 MB

ASA 5540 の場合、1 GB

(注) メモリ サイズを変更した場合、新しい設定は、システムをリブートしないと有効になりません。

[Enable On-screen Keyboard]

次のオプションのいずれかを選択します。

[Disabled]:オンスクリーン キーボードは表示されません。ユーザは、標準のキーボードを使用してクレデンシャルを入力する必要があります。

[On All Pages]:ユーザは、ログオン クレデンシャルが必要になると表示されるオンスクリーン キーボードを使用してクレデンシャルを入力できます。

[On Logon Page Only]:ユーザは、ログオン ページに表示されるオンスクリーン キーボードを使用してクレデンシャルを入力できます。

[Allow Users to Enter Internal Password]

このチェックボックスをオンにすると、この機能がイネーブルになります。イネーブルになっている場合、内部サイトにアクセスするときに追加のパスワードが必要になります。この機能は、内部パスワードを SSL VPN パスワードとは別のパスワードにする必要がある場合に役立ちます。たとえば、ASA への認証にはあるワンタイム パスワードを使用して、内部サイトには別のパスワードを使用できます。

[SSL VPN Shared License] ページ(ASA 8.2)

[SSL VPN Shared License] ページを使用して、SSL VPN 共有ライセンスを設定します。

ナビゲーション パス

(デバイス ビュー)バージョン 8.2 以降を使用する ASA デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Shared License] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Shared License (ASA 8.2+)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「SSL VPN 共有ライセンスについて(ASA)」

「共有ライセンス クライアントとしての ASA デバイスの設定」

「共有ライセンス サーバとしての ASA デバイスの設定」

フィールド リファレンス

 

表 23-77 [SSL VPN Shared License] ページ

要素
説明

[Select Role]

設定するロール([Shared License Client] または [Shared License Server])。選択した項目によって、表示されるフィールドが異なります。

[Shared License Client]

[Shared Secret]

共有ライセンス サーバとの通信に使用される、大文字と小文字が区別される文字列(4 ~ 128 文字)。

[License Server]

ライセンス サーバとして設定された ASA デバイスのホスト名。

[License Server Port]

ライセンス サーバが通信する TCP ポートの番号。

[Select Backup Role of Client]

クライアントのロール:

[Client Only]:選択すると、クライアントはクライアントとしてだけ機能します。この場合は、別のデバイスをバックアップ サーバとして指定する必要があります。

[Backup Server]:選択すると、クライアントはバックアップ サーバとしても機能します。この場合は、この目的に使用されるインターフェイスも指定する必要があります。

[Shared License Server]

[Shared Secret]

共有ライセンス サーバとの通信に使用される、大文字と小文字が区別される文字列(4 ~ 128 文字)。

[License Server]

ライセンス サーバとして設定された ASA デバイスのホスト名。

[License Server Port]

ライセンス サーバが通信する TCP ポートの番号。

[Refresh Interval]

10 ~ 300 秒の値。デフォルトは 30 秒です。

[Interfaces]

共有ライセンスをクライアントに伝達するために使用するインターフェイス。

[Configure Backup shared SSL VPN License Server]

このチェックボックスをオンにして、共有ライセンス サーバのバックアップ サーバを設定し、次のオプションを設定します。

[Backup License Server]:現在のサーバが使用できなくなった場合にバックアップ ライセンス サーバとして動作するサーバ。

[Backup Server Serial Number]:バックアップ ライセンス サーバのシリアル番号。

[HA Peer Serial Number]:(任意)フェールオーバー ペアのバックアップ サーバのシリアル番号。

[SSL VPN Policy] ページ(IOS)

このページを使用して、IOS ルータの SSL VPN 接続ポリシーを設定します。このページから、SSL VPN ポリシーを作成、編集、または削除できます。

テーブルに、SSL VPN の仮想設定を定義するすべてのコンテキストが一覧表示されます。各コンテキストには、ゲートウェイ、ドメインまたは仮想ホスト名、およびユーザ グループ ポリシーが含まれます。また、コンテキストのステータス([In Service] または [Out of Service])も表示されます。

コンテキストを追加するには、[Add Row] ボタンをクリックして、「[SSL VPN Context Editor] ダイアログボックス(IOS)」を開きます。

コンテキストを編集するには、コンテキストを選択し、[Edit Row] ボタンをクリックします。

コンテキストを削除するには、コンテキストを選択し、[Delete Row] ボタンをクリックします。

ナビゲーション パス

(デバイス ビュー)IOS デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [SSL VPN Policy (IOS)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「SSL VPN ポリシーの設定(IOS)」

「テーブルのフィルタリング」

[SSL VPN Context Editor] ダイアログボックス(IOS)

このダイアログボックスを使用して、SSL VPN の仮想設定を定義するコンテキストを作成または変更します。詳細については、「SSL VPN ポリシーの設定(IOS)」を参照してください。

ナビゲーション パス

「[SSL VPN Policy] ページ(IOS)」を開き、[Create] をクリックするか、テーブル内のポリシーを選択して [Edit] をクリックします。

フィールド リファレンス

 

表 23-78 [SSL VPN Context Editor] ダイアログボックス

要素
説明

[General] タブ

SSL VPN ポリシーに必要な一般設定を定義します。一般設定には、ゲートウェイ、ドメイン、アカウンティングと認証用の AAA サーバ、およびユーザ グループの指定が含まれます。このタブの各フィールドの説明については、「[General] タブ」を参照してください。

[Portal Page] タブ

SSL VPN ポリシーのログイン ページの設計を定義します。タブの一番下にある表示ボックスが変わり、選択内容がどのように表示されるかが示されます。次の要素を設定できます。

[Title]:ページの一番上に表示されるテキスト。[Title Color] フィールドと [Text Color] フィールド内の [Primary] 設定を使用して色を制御します。

[Logo]:タイトルの隣に表示されるグラフィック。[None]、[Default]、または [Custom] を選択します。カスタム グラフィックを設定するには、目的のグラフィックを Security Manager サーバにコピーし、[Browse] をクリックしてファイルを選択する必要があります。サポートされるグラフィック タイプは、GIF、JPG、および PNG で、最大サイズは 100 KB です。

[Login Message]:ログイン プロンプトのすぐ上に表示されるテキスト。[Title Color] フィールドと [Text Color] フィールド内の [Secondary] 設定を使用して色を制御します。

[Secure Desktop] タブ

ルータで Cisco Secure Desktop(CSD)ソフトウェアを設定します。CSD ポリシーは、クライアント システムのエントリ要件を定義し、クライアント システム上のセッション アクティビティおよび削除に、単一のセキュアなロケーションを提供します。これにより、機密データは SSL VPN セッションの間だけ共有されるようになります。

(注) 設定を機能させるには、デバイスに Secure Desktop Client ソフトウェアをインストールしてアクティブ化する必要があります。

CSD を使用する場合は、[Enable Cisco Secure Desktop] を選択し、[Select] をクリックして、VPN アクセスおよびホスト スキャンの制御に使用する規則が定義される Secure Desktop 設定ポリシー オブジェクトを選択します。選択リストから新しいオブジェクトを作成できます。これらのオブジェクトの設定の詳細については、「Cisco Secure Desktop 設定オブジェクトの作成」を参照してください。

[Advanced] タブ

次の追加設定を行います。

[Maximum Number of Users]:一度に許可される SSL VPN ユーザ セッションの最大数(1 ~ 1000)。

[VRF Name]:デバイスで Virtual Routing Forwarding(VRF)が設定されている場合、SSL VPN コンテキストに関連付けられている VRF インスタンスの名前。VRF の詳細については、「VRF 対応 IPsec について」を参照してください。

[General] タブ

[SSL VPN Context Editor] ダイアログボックスの [General] タブを使用して、SSL VPN ポリシーに必要な一般設定を定義または編集します。一般設定には、ゲートウェイ、ドメイン、アカウンティングと認証用の AAA サーバ、およびユーザ グループの指定が含まれます。

ナビゲーション パス

「[SSL VPN Context Editor] ダイアログボックス(IOS)」を開き、[General] タブをクリックします。

関連項目

「SSL VPN ポリシーの設定(IOS)」

「[Add SSL VPN Gateway]/[Edit SSL VPN Gateway] ダイアログボックス」

「AAA サーバおよびサーバ グループ オブジェクトについて」

フィールド リファレンス

 

表 23-79 [SSL VPN Context Editor] の [General] タブ(IOS)

要素
説明

[Enable SSL VPN]

SSL VPN 接続をアクティブにして、「In Service」にするかどうか。

[Name]

SSL VPN の仮想設定を定義するコンテキストの名前。

(注) 多数のコンテキスト設定の管理を簡素化するには、コンテキスト名をドメインまたは仮想ホスト名と同じ名前にします。

[Gateway]

ユーザが VPN に入るときに接続するゲートウェイの特性を定義する SSL VPN ゲートウェイ ポリシー オブジェクトの名前。SSL VPN 接続のインターフェイスおよびポート設定を提供するゲートウェイ オブジェクト。

オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

[Domain]

SSL VPN 接続のドメインまたは仮想ホスト名。

[Portal Page URL]

SSL VPN の URL。ゲートウェイ オブジェクトを選択すると、自動的に入力されます。ユーザは、この URL に接続して VPN に入ります。

[Authentication Server Group]

認証サーバ グループ。リストは、プライオリティ順に表示されます。認証は最初のグループを使用して試行され、ユーザが認証または拒否されるまで、リスト内のグループが順に使用されます。ゲートウェイ自体でユーザが定義されている場合は、LOCAL グループを使用します。

AAA サーバ グループの名前を入力します。複数のエントリはカンマで区切ります。[Select] をクリックして、グループを選択するか、新しいグループを作成します。

[Authentication Domain]

SSL VPN リモート ユーザ認証のリストまたは方式。リストも方式も指定しない場合、ゲートウェイではリモートユーザ認証にグローバル AAA パラメータが使用されます。

[Accounting Server Group]

アカウンティング サーバ グループ。AAA サーバ グループ ポリシー オブジェクトの名前を入力します。または、[Select] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

[User Groups]

SSL VPN ポリシー内で使用されるユーザ グループ。ユーザ グループでは、SSL VPN ゲートウェイへの接続時にユーザが使用できるリソースを定義します。テーブルに、グループに対してフル クライアント、CIFS ファイル アクセス、シン クライアントのいずれがイネーブルになっているかが示されます。

ユーザ グループを追加するには、[Add Row] をクリックすると、既存のユーザ グループ ポリシー オブジェクトのリストが開き、そこからグループを選択できます。目的のグループがまだ存在していない場合は、使用可能なグループ リストの下の [Create] ボタンをクリックして作成します。ユーザ グループ オブジェクトの詳細については、「[Add User Group]/[Edit User Group] ダイアログボックス」を参照してください。

ユーザ グループを編集するには、ユーザ グループを選択し、[Edit Row] ボタンをクリックします。

ユーザ グループを削除するには、ユーザ グループを選択し、[Delete Row] ボタンをクリックします。この操作ではポリシーからグループが削除されるだけで、ユーザ グループ ポリシー オブジェクトが削除されることはありません。