Cisco Security Manager 4.2 ユーザ ガイド
リモート アクセス VPN 用のポリシー オブ ジェクトの設定
リモート アクセス VPN 用のポリシー オブジェクトの設定
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

リモート アクセス VPN 用のポリシー オブジェクトの設定

[ASA Group Policies] ダイアログボックス

ASA グループ ポリシーのクライアント設定

ASA グループ ポリシーのクライアント ファイアウォール属性

ASA グループ ポリシーのハードウェア クライアント属性

ASA グループ ポリシーの IPSec 設定

[Add Client Access Rules]/[Edit Client Access Rules] ダイアログボックス

ASA グループ ポリシーの SSL VPN クライアントレス設定

ASA グループ ポリシーの SSL VPN フル クライアント設定

ASA グループ ポリシーの SSL VPN 設定

[Add Auto Signon Rules]/[Edit Auto Signon Rules] ダイアログボックス

ASA グループ ポリシーの DNS/WINS 設定

ASA グループ ポリシーのスプリット トンネリング設定

ASA グループ ポリシーの接続設定

[Add Secure Desktop Configuration]/[Edit Secure Desktop Configuration] ダイアログボックス

[Add File Object]/[Edit File Object] ダイアログボックス

[Add Port Forwarding List]/[Edit Port Forwarding List] ダイアログボックス

[Add A Port Forwarding Entry]/[Edit A Port Forwarding Entry] ダイアログボックス

[Add Single Sign On Server]/[Edit Single Sign On Server] ダイアログボックス

[Add Bookmarks]/[Edit Bookmarks] ダイアログボックス

[Add Bookmark Entry]/[Edit Bookmark Entry] ダイアログボックス

[Add Post Parameter]/[Edit Post Parameter] ダイアログボックス

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス

[SSL VPN Customization] ダイアログボックス - [Title Panel]

[SSL VPN Customization] ダイアログボックス - [Language]

[Add Language]/[Edit Language] ダイアログボックス

[SSL VPN Customization] ダイアログボックス - [Logon Form]

[SSL VPN Customization] ダイアログボックス - [Informational Panel]

[SSL VPN Customization] ダイアログボックス - [Copyright Panel]

[SSL VPN Customization] ダイアログボックス - [Full Customization]

[SSL VPN Customization] ダイアログボックス - [Toolbar]

[SSL VPN Customization] ダイアログボックス - [Applications]

[SSL VPN Customization] ダイアログボックス - [Custom Panes]

[Add Column]/[Edit Column] ダイアログボックス

[Add Custom Pane]/[Edit Custom Pane] ダイアログボックス

[SSL VPN Customization] ダイアログボックス - [Home Page]

[SSL VPN Customization] ダイアログボックス - [Logout Page]

[Add SSL VPN Gateway]/[Edit SSL VPN Gateway] ダイアログボックス

[Add Smart Tunnel List]/[Edit Smart Tunnel List] ダイアログボックス

[Add A Smart Tunnel Entry]/[Edit A Smart Tunnel Entry] ダイアログボックス

[Add Smart Tunnel Auto Signon List]/[Edit Smart Tunnel Auto Signon List] ダイアログボックス

[Add Smart Tunnel Auto Signon Entry]/[Edit Smart Tunnel Auto Signon Entry] ダイアログボックス

[Add User Group]/[Edit User Group] ダイアログボックス

[User Group] ダイアログボックス - 一般設定

[User Group] ダイアログボックス - DNS/WINS 設定

[User Group] ダイアログボックス - スプリット トンネリング

[User Group] ダイアログボックス - IOS クライアント設定

[User Group] ダイアログボックス - IOS Xauth オプション

[User Group] ダイアログボックス - IOS クライアント VPN ソフトウェア更新

[Add Client Update]/[Edit Client Update] ダイアログボックス

[User Group] ダイアログボックス - PIX の詳細オプション

[User Group] ダイアログボックス - クライアントレス設定

[User Group] ダイアログボックス - シン クライアント設定

[User Group] ダイアログボックス - SSL VPN フル トンネル設定

[User Group] ダイアログボックス - SSL VPN スプリット トンネリング

[User Group] ダイアログボックス - ブラウザ プロキシ設定

[User Group] ダイアログボックス - SSL VPN 接続設定

[Add WINS Server List]/[Edit WINS Server List] ダイアログボックス

[Add WINS Server]/[Edit WINS Server] ダイアログボックス

リモート アクセス VPN 用のポリシー オブジェクトの設定

主にリモート アクセス VPN で使用するポリシー オブジェクトや、リモート アクセス VPN のみで使用するポリシー オブジェクトがいくつかあります。これらのオブジェクトの一部である ASA グループ ポリシーおよびユーザ グループ オブジェクトも、Easy VPN サイト間トポロジで使用されます。このリファレンスでは、これらのポリシー オブジェクトの設定について説明します。

この章の構成は、次のとおりです。

「[ASA Group Policies] ダイアログボックス」

「[Add Secure Desktop Configuration]/[Edit Secure Desktop Configuration] ダイアログボックス」

「[Add File Object]/[Edit File Object] ダイアログボックス」

「[Add Port Forwarding List]/[Edit Port Forwarding List] ダイアログボックス」

「[Add Single Sign On Server]/[Edit Single Sign On Server] ダイアログボックス」

「[Add Bookmarks]/[Edit Bookmarks] ダイアログボックス」

「[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス」

「[Add SSL VPN Gateway]/[Edit SSL VPN Gateway] ダイアログボックス」

「[Add Smart Tunnel List]/[Edit Smart Tunnel List] ダイアログボックス」

「[Add Smart Tunnel Auto Signon List]/[Edit Smart Tunnel Auto Signon List] ダイアログボックス」

「[Add User Group]/[Edit User Group] ダイアログボックス」

「[Add WINS Server List]/[Edit WINS Server List] ダイアログボックス」

[ASA Group Policies] ダイアログボックス

[Add ASA Group Policies]/[Edit ASA Group Policies] ダイアログボックスを使用して、ASA ユーザ グループ ポリシー オブジェクトを作成、コピー、および編集します。

ASA グループ ポリシーは、Easy VPN トポロジ、リモート アクセス IPSec VPN、およびリモート アクセス SSL VPN の ASA セキュリティ アプライアンスで設定されます。Easy VPN またはリモート アクセス VPN 接続を設定する場合は、リモート クライアントが属するグループ ポリシーを作成する必要があります。グループポリシーは、VPN 接続用のユーザ関連の属性と値のペアがセットになったもので、デバイスに内部的(ローカル)に保存されるか、外部の AAA サーバに保存されます。トンネル グループは、トンネルの確立後にユーザ接続の期間を設定するグループ ポリシーを使用します。グループ ポリシーを使用すると、各ユーザに対して個別に各属性を指定するのではなく、属性セット全体をユーザまたはユーザ グループに適用できます。


) オブジェクトを作成するテクノロジーを選択する必要があります。選択したテクノロジーに応じて、構成に適切な設定を使用できます。IKEv1 または IKEv2 オプションを選択した場合、選択した IKE バージョンをサポートするには、IKE Proposal ポリシーおよび IPSec Proposal ポリシーも設定する必要があります。


ナビゲーション パス

「[Policy Object Manager] ウィンドウ」で、[ASA Group Policies] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。


ヒント このタイプのオブジェクトを使用するポリシーの設定時には、リモート アクセスおよび Easy VPN 用の Connection Profile ポリシー、またはリモート アクセス VPN 用の Group Policies ポリシーを含むオブジェクトを作成することもできます。

関連項目

「接続プロファイルの設定(ASA、PIX 7.0+)」

「グループ ポリシーの作成(ASA、PIX 7.0+)」

フィールド リファレンス

 

表 32-1 テクノロジー設定が含まれた、[Add ASA Group Policies]/[Edit ASA Group Policies] ダイアログボックス

要素
説明

Name

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

Description

(任意)オブジェクトの説明。

[Settings] ペイン

ダイアログボックスの本体は左右に分割されたペインであり、左側にはコンテンツ テーブル、右側にはコンテンツ テーブルで選択された項目に関連する設定が表示されます。

まずテクノロジー設定を指定する必要があります。次に、左側のコンテンツ テーブルから項目を選択し、必要なオプションを設定できます。[Technology] ページの選択内容によって、これらのページとコンテンツ テーブルで使用できるオプションが制御されます。

コンテンツ テーブルの上部にあるフォルダは、次に説明する設定可能な VPN テクノロジーまたはその他の設定を表します。

Technology settings

これらの設定によって、グループ ポリシーで定義できる内容が制御されます。

[Group Policy Type]:グループ ポリシーを ASA デバイス自体( 内部 )または AAA サーバ( 外部 )のどちらに格納するかを指定します。このオプションは、オブジェクトを編集するときに変更できません。

[External] を選択すると、設定できる属性は、AAA サーバを識別する AAA サーバ グループ オブジェクトの名前およびそのパスワードだけになります。

[Technology]:このオブジェクトでグループ ポリシーを定義する VPN のタイプ。適用するタイプをすべて選択します。

[Easy VPN/IPSec IKEv1]:IKEv1 ネゴシエーションを許可する Easy VPN トポロジまたはリモート アクセス IPsec VPN 用。

[Easy VPN/IPSec IKEv2]:IKEv2 ネゴシエーションを許可するリモート アクセス IPsec VPN 用。IKEv2 は、Easy VPN トポロジではサポートされていません。

[SSL Clientless]:クライアントレス以外のタイプも含む、すべてのタイプのリモート アクセス SSL VPN 用。

[External Server Group]:グループ ポリシー属性を外部 AAA サーバに格納する場合は、認証に使用する AAA サーバ グループを指定します。[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

外部サーバ グループを選択すると、[Password] フィールドと [Confirm] フィールドがアクティブになります。サーバでの認証に使用する英数字のパスワードを両方のフィールドに入力します。パスワードには最大 128 文字を使用できます。スペースは使用できません。

DNS/WINS

グループに関連付けられているクライアントにプッシュされる、DNS サーバと WINS サーバおよびドメイン名。「ASA グループ ポリシーの DNS/WINS 設定」を参照してください。

Split Tunneling

この設定によって、リモート クライアントでは、暗号化されたパケットを条件に応じてセキュアなトンネルを介して中央サイトに送信でき、同時に、ネットワーク インターフェイスを介してインターネットにクリア テキスト トンネルを確立できます。「ASA グループ ポリシーのスプリット トンネリング設定」を参照してください。

Easy VPN/IPSec VPN

Easy VPN およびリモート アクセス IPSec VPN の設定:

[Client Configuration]:グループの Cisco クライアント パラメータ。「ASA グループ ポリシーのクライアント設定」を参照してください。

[Client Firewall Attributes]:グループの VPN クライアントのファイアウォール設定。「ASA グループ ポリシーのクライアント ファイアウォール属性」を参照してください。

[Hardware Client Attributes]:グループの VPN 3002 ハードウェア クライアント設定。「ASA グループ ポリシーのハードウェア クライアント属性」を参照してください。

[IPSec]:グループのトンネリング プロトコル、フィルタ、接続設定、およびサーバ。「ASA グループ ポリシーの IPSec 設定」を参照してください。

SSL VPN

SSL VPN の設定:

[Clientless]:SSL VPN における企業ネットワークへのクライアントレス アクセス モードの設定。「ASA グループ ポリシーの SSL VPN クライアントレス設定」を参照してください。

[Full Client]:SSL VPN における企業ネットワークへのフル クライアント アクセス モードの設定。「ASA グループ ポリシーの SSL VPN フル クライアント設定」を参照してください。

[Settings]:SSL VPN におけるクライアントレス/ポート転送に必要な一般設定。「ASA グループ ポリシーの SSL VPN 設定」を参照してください。

Connection Settings

バナー テキストを含む、グループの接続設定(セッション タイムアウトやアイドル タイムアウトなど)。「ASA グループ ポリシーの接続設定」を参照してください。

ASA グループ ポリシーのクライアント設定

[Client Configuration] 設定ページを使用して、Easy VPN またはリモート アクセス VPN 用の、ASA グループ ポリシーの Cisco クライアント パラメータを設定します。

ナビゲーション パス

「[ASA Group Policies] ダイアログボックス」のコンテンツ テーブルから [Easy VPN/IPSec VPN] > [Client Configuration] を選択します。

フィールド リファレンス

 

表 32-2 ASA グループ ポリシーのクライアント設定

要素
説明

Store Password on Client System

ローカル システムにパスワードを格納することをユーザに許可するかどうかを指定します。この機能は、ローカル システムがセキュアなサイトに存在する場合にだけイネーブルにしてください。

Enable IPsec over UDP

UDP Port

NAT を実行しているセキュリティ アプライアンスへの UDP を使用した接続を Cisco VPN クライアントまたはハードウェア クライアントに許可するかどうかを指定します。

このオプションを選択した場合は、4001 ~ 49151 の範囲の UDP ポート番号を指定します。IPsec ネゴシエーションでは、セキュリティ アプライアンスは、設定されたポートでリッスンし、他のフィルタ ルールによって UDP トラフィックがドロップされた場合でもこのポートの UDP トラフィックを転送します。

(注) Cisco VPN クライアントは、特定のデバイス上でデフォルトで設定されている IPsec over UDP を使用するように設定する必要もあります。

IPsec Backup Servers

Servers List

バックアップ サーバの設定を指定します。

[Keep Client Configuration]:セキュリティ アプライアンスは、クライアントにバックアップ サーバ情報を送信しません。クライアントは、独自のバックアップ サーバ リストを使用します(設定されている場合)。これがデフォルトです。

[Clear Client Configuration]:クライアントは、バックアップ サーバを使用しません。セキュリティ アプライアンスは、ヌルのサーバ リストをプッシュします。

[Use Specified Backup Servers]:サーバ リストで指定したバックアップ サーバが使用されます。サーバの IP アドレス、またはネットワーク/ホスト オブジェクトの名前を入力します。[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

バックアップ サーバは、クライアント上またはプライマリ セキュリティ アプライアンス上で設定できます。セキュリティ アプライアンス上でバックアップ サーバを設定すると、セキュリティ アプライアンスは、バックアップ サーバ ポリシーをグループ内のクライアントにプッシュし、クライアント上でバックアップ サーバ リストが設定されている場合はそのリストを置き換えます。

ASA グループ ポリシーのクライアント ファイアウォール属性

クライアント ファイアウォール属性の設定を使用して、Easy VPN またはリモート アクセス IPSec VPN 用の、ASA グループ ポリシーの VPN クライアントのファイアウォール設定値を設定します。Microsoft Windows を実行している VPN クライアントだけが、これらのファイアウォール設定を使用できます。

ナビゲーション パス

「[ASA Group Policies] ダイアログボックス」のコンテンツ テーブルから [Easy VPN/IPSec VPN] > [Client Firewall Attributes] を選択します。

フィールド リファレンス

 

表 32-3 ASA グループ ポリシーのクライアント ファイアウォール属性

要素
説明

Firewall Mode

グループのクライアント システムのファイアウォール要件:

[No Firewall]:ファイアウォールを使用しません。このページ上の他のオプションは設定できません。

[Firewall Required]:グループ内のすべてのユーザが、指定されたファイアウォールを使用する必要があります。セキュリティ アプライアンスは、指定されたファイアウォールがインストールされ、稼動していないと、接続を試行するセッションをすべてドロップします。この場合、セキュリティ アプライアンスは、ファイアウォール設定が一致していないことを VPN クライアントに通知します。

(注) Windows VPN クライアント以外のクライアントがグループに存在していないことを確認してください。クライアント ファイアウォールを必須としている場合、グループ内の Windows VPN 以外のクライアント(VPN 3002 ハードウェア クライアントなど)は接続できません。

[Firewall Optional]:ユーザはファイアウォールを使用できますが、必須ではありません。このオプションによって、グループ内のすべてのユーザが接続できます。ファイアウォールに対応しているユーザは、ファイアウォールを使用できます。ファイアウォールなしで接続するユーザには、警告メッセージが表示されます。この設定は、一部のユーザだけがファイアウォールに対応しているグループを作成するときに役立ちます。たとえば、Microsoft Windows が実行されないシステムを持つクライアントが存在する場合や、一部のクライアントにファイアウォール ソフトウェアがインストールされていない場合などが当てはまります。

Firewall Type

必須または任意にするファイアウォールのタイプ。このリストには、Cisco、Network ICE、Sygate、および Zone Labs など、サポートされているすべてのファイアウォール ソフトウェアが示されます。

[Custom Firewall] を選択した場合は、[Custom Firewall] グループのフィールドに入力する必要があります。ポリシー ソースを設定する必要もあります。ベンダーによってサポートされているオプションだけを選択します。

一部のファイアウォール タイプでは、ファイアウォールによって実装されているポリシー ソースを指定する必要があります。

Policy Source

一部のタイプのファイアウォールでは、クライアント ファイアウォールがポリシーを取得する場所を設定できます。

[Get Policy From Remote Firewall]:ポリシーは、クライアント ファイアウォール アプリケーションで設定されます。大半のクライアント ファイアウォールがこの方法で動作します。

[Use Specified Policy]:指定したポリシーが、クライアント ファイアウォールにプッシュされます。独自のポリシーを使用する必要があります。

[Inbound Traffic Policy] フィールドと [Outbound Traffic Policy] フィールドの両方で、拡張アクセス コントロール リスト ポリシー オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成する必要があります。

Custom Firewall

カスタム ファイアウォールをファイアウォール タイプとして選択した場合に、必須または任意のファイアウォールを定義する属性:

[Vendor ID]:カスタム ファイアウォールのベンダーを指定する番号。値は 1 ~ 255 です。

[Product ID]:カスタム ファイアウォールの製品またはモデルを指定する番号。値は 1 ~ 32 または 255 です。複数の範囲を指定できます(4-12, 24-32 など)。サポートされているすべての製品を指定する場合は 255 を使用します。

[Description]:ベンダーや製品の名前など、カスタム ファイアウォールに関する任意の説明。

ASA グループ ポリシーのハードウェア クライアント属性

ハードウェア クライアント属性設定を使用して、Easy VPN またはリモート アクセス IPSec VPN 用の、ASA グループ ポリシーの VPN 3002 ハードウェア クライアント設定値を設定します。

ナビゲーション パス

「[ASA Group Policies] ダイアログボックス」のコンテンツ テーブルから [Easy VPN/IPSec VPN] > [Hardware Client Attributes] を選択します。

フィールド リファレンス

 

表 32-4 ASA グループ ポリシーのハードウェア クライアント属性

要素
説明

Require Interactive Client Authentication

セキュア ユニット認証をイネーブルにするかどうかを指定します。セキュア ユニット認証では、クライアントがトンネルを開始するたびに、ユーザ名とパスワードを使用した認証を実行するように VPN ハードウェア クライアントに求めることによって、セキュリティを高めます。ハードウェア クライアントには、ユーザ名およびパスワードは保存されません。

(注) セキュア ユニット認証では、ハードウェア クライアントが使用するトンネル グループ用の認証サーバ グループを設定している必要があります。プライマリ セキュリティ アプライアンスでセキュア ユニット認証が必要な場合は、すべてのバックアップ サーバでもセキュア ユニット認証を必ず設定してください。

Require Individual User Authentication

ハードウェア クライアントの背後の個々のユーザが、このトンネル経由でネットワークにアクセスする場合に認証される必要があるかどうかを指定します。個々のユーザは、設定した認証サーバの順序に従って認証されます。

このオプションを選択しない場合、セキュリティ アプライアンスでは、別のグループ ポリシーからユーザ認証の値を継承できます。

Enable Cisco IP Phone Bypass

ハードウェア クライアントの背後の IP 電話が、ユーザ認証プロセスなしで接続できるかどうかを指定します。セキュア ユニット認証は、他のユーザに関しては引き続き有効です。

Enable LEAP Bypass

VPN ハードウェア クライアントの背後のワイヤレス デバイスからの Lightweight Extensible Authentication Protocol(LEAP)パケットが、ユーザ認証の前に、VPN トンネルを通過できるかどうかを指定します。このアクションによって、Cisco ワイヤレス アクセス ポイント デバイスを使用するワークステーションは、LEAP 認証を確立し、その後ユーザ認証ごとに認証を再度実行できます。

(注) LEAP は、接続の一方の側のワイヤレス クライアントと、もう一方の側の RADIUS サーバとの間の相互認証を実行する 802.1X ワイヤレス認証方式です。パスワードなど、認証に使用されるクレデンシャルは、ワイヤレス媒体を経由して送信される前に必ず暗号化されます。

Allow Network Extension Mode

ハードウェア クライアントのネットワーク拡張モードをイネーブルにするかどうかを指定します。

ネットワーク拡張モードを使用すると、ハードウェア クライアントは、単一のルーティング可能なネットワークを VPN トンネルを介してリモート プライベート ネットワークに提供できます。IPsec によって、ハードウェア クライアントの背後のプライベート ネットワークからセキュリティ アプライアンスの背後のネットワークまでのすべてのトラフィックがカプセル化されます。PAT は適用されません。セキュリティ アプライアンスの背後のデバイスは、ハードウェア クライアントの背後のプライベート ネットワーク上のデバイスには、トンネルを介してだけ直接アクセスできます。またその逆も可能です。トンネルはハードウェア クライアントによって開始される必要がありますが、トンネルがアップ状態になったあとは、いずれの側もデータ交換を開始できます。

Idle Timeout Mode

個々のクライアントの非アクティブ期間を処理する方法:

[Specified Timeout]:指定した期間、ハードウェア クライアントの背後のユーザによる通信アクティビティがない場合、セキュリティ アプライアンスはそのクライアントのアクセスを終了します。値は 1 ~ 35791394 分です。

[Unlimited Timeout]:ユーザ セッションは、非アクティブが原因で終了されることはありません。

ASA グループ ポリシーの IPSec 設定

IPsec 設定を使用して、Easy VPN またはリモート アクセス IPSec VPN 用の、ASA グループ ポリシーのトンネリング プロトコル、フィルタ、接続設定、およびサーバを指定します。これにより、認証、暗号化、カプセル化、およびキー管理を制御するセキュリティ アソシエーションが作成されます。

ナビゲーション パス

「[ASA Group Policies] ダイアログボックス」のコンテンツ テーブルから [Easy VPN/IPSec VPN] > [IPsec] を選択します。

フィールド リファレンス

 

表 32-5 ASA グループ ポリシーの IPSec 設定

要素
説明

Enable Re-Authentication on IKE Re-Key

セキュリティ アプライアンスが、最初のフェーズ 1 IKE ネゴシエーション中にユーザに対してユーザ名とパスワードの入力を求めるかどうか、およびセキュリティを高めるために、IKE キーの再生成が発生するたびにユーザ認証を求めるかどうかを指定します。接続の反対側にユーザがいない場合、再認証は失敗します。

Enable IPsec Compression

モデムで接続しているリモート ダイヤルイン ユーザの伝送レートを上げるデータ圧縮をイネーブルにするかどうかを指定します。


注意 データ圧縮を使用すると、各ユーザ セッションのメモリ要件と CPU 使用率が高くなり、その結果セキュリティ アプライアンスの全体のスループットが低下します。そのため、データ圧縮はモデムで接続しているリモート ユーザに対してだけイネーブルにすることを推奨します。モデム ユーザに固有のグループ ポリシーを設計し、それらのユーザに対してだけ圧縮をイネーブルにします。

Enable Perfect Forward Secrecy (PFS)

暗号化された各交換で一意のセッション キーを生成および使用するために、Perfect Forward Secrecy(PFS; 完全転送秘密)の使用をイネーブルにするかどうかを指定します。IPsec ネゴシエーションでは、PFS によって、新しい各暗号キーが以前のいずれのキーとも関連しないことが保証されます。

Tunnel Group Lock

トンネル グループのロックでは、VPN クライアントで設定されているグループが、ユーザが割り当てられているトンネル グループと同じであるかどうかを確認することによって、ユーザを制限します。同じでない場合、セキュリティ アプライアンスによって、そのユーザの接続が防止されます。

トンネル名を指定しない場合、セキュリティ アプライアンスは、割り当てられているグループに関係なくユーザを認証します。グループのロックは、デフォルトではディセーブルになっています。

[Client Access Rules] テーブル

クライアントのアクセス ルール。これらのルールによって、アクセスを拒否されるクライアントのタイプが制御されます(ある場合)。最大で 25 のルールを定義し、結合できます。ルールは 255 文字に制限されます。

ヒント ルールを定義すると、暗黙的な deny all ルールが追加されます。このため、クライアントがいずれの許可ルールにも一致しなかった場合、そのクライアントはアクセスを拒否されます。ルールを作成する場合は、許可されているすべてのクライアント用の許可ルールを必ず定義してください。* をワイルドカードとして使用して、文字部分を照合できます。

最小の整数値を持つルールは、プライオリティが最も高くなります。したがって、クライアント タイプまたはバージョンと一致する最小の整数値を持つルールが適用されます。プライオリティの低いルールが矛盾する場合、セキュリティ アプライアンスはそのルールを無視します。

ルールを追加するには、[Add Row] ボタンをクリックして、「[Add Client Access Rules]/[Edit Client Access Rules] ダイアログボックス」を開きます。

ルールを編集するには、ルールを選択し、[Edit Row] ボタンをクリックします。

ルールを削除するには、ルールを選択し、[Delete] ボタンをクリックします。

[Add Client Access Rules]/[Edit Client Access Rules] ダイアログボックス

[Client Access Rules] ダイアログボックスを使用して、クライアント アクセス ルールのプライオリティ、アクション、VPN クライアント タイプおよび VPN クライアント バージョンを作成または編集します。

ナビゲーション パス

「ASA グループ ポリシーの IPSec 設定」で、[Client Access Rules] テーブルの下にある [Add Row] ボタンをクリックするか、またはルールを選択して [Edit Row] ボタンをクリックします。

フィールド リファレンス

 

表 32-6 [Add Client Access Rules]/[Edit Client Access Rules] ダイアログボックス

要素
説明

Priority

ルールの相対的プライオリティ。

最小の整数値を持つルールは、プライオリティが最も高くなります。したがって、クライアント タイプまたはバージョンと一致する最小の整数値を持つルールが適用されます。プライオリティの低いルールが矛盾する場合、セキュリティ アプライアンスはそのルールを無視します。値は 1 ~ 65535 です。

Action

このルールで、クライアントへのトラフィック アクセスを許可するか拒否するかを指定します。

VPN Client Type

VPN Client Version

ルールが適用される VPN クライアントのタイプまたはバージョン。スペースを使用できます。

* をワイルドカードとして使用して、ゼロ以上の文字を照合できます。クライアントのタイプまたはバージョンを送信しないクライアントには n/a を使用できます。これらのフィールドに入力した文字列は、ASA デバイスで show vpn-sessiondb remote コマンドを使用して表示された文字列と一致する必要があります。

次に、プライオリティ、許可/拒否、タイプ、およびバージョンの例を順に示します。

3 Deny * version 3.* は、プライオリティ 3 のルールです。ソフトウェア バージョンが 3.x であるすべてのクライアント タイプを拒否します。

5 Permit VPN3002 * は、プライオリティ 5 のルールです。すべてのソフトウェア バージョンの VPN3002 クライアントを許可します。

255 Permit * * は、プライオリティ 255 のルールです。すべてのタイプおよびバージョンのクライアントを許可します。このルールは、特定のタイプのクライアントだけを拒否し、その他のすべてのタイプに関しては許可ルールを作成しない場合に役立ちます。

ASA グループ ポリシーの SSL VPN クライアントレス設定

クライアントレス設定を使用して、リモート アクセス SSL VPN における企業ネットワークへのクライアントレス アクセス モードを ASA グループ ポリシー オブジェクトに設定します。

ユーザがクライアントレス モードで SSL VPN に接続する場合、そのユーザは SSL VPN ポータル ページにログインします。このポータル ページでは、ポータルの設定方法に応じて、ユーザは使用可能なすべての HTTP サイトにアクセスしたり、Web 電子メールにアクセスしたり、Common Internet File System(CIFS)ファイル サーバを参照したりできます。

ナビゲーション パス

「[ASA Group Policies] ダイアログボックス」のコンテンツ テーブルから [SSL VPN] > [Clientless] を選択します。

フィールド リファレンス

 

表 32-7 ASA グループ ポリシーの SSL VPN クライアントレス設定

要素
説明

Portal Page Websites

ポータル ページ上に表示する Web サイト URL が含まれる SSL VPN ブックマーク ポリシー オブジェクトの名前。これらの Web サイトを使用すると、ユーザは目的のリソースにアクセスできます。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Allow Users to Enter Websites

ブラウザへの Web サイト URL の直接入力をリモート ユーザに許可するかどうかを指定します。このオプションを選択しない場合、ユーザはポータルに表示されている URL だけにアクセスできます。

Enable File Server Browsing

CIFS ファイル サーバ上のファイル共有の参照をリモート ユーザに許可するかどうかを指定します。

Enable File Server Entry

ファイル共有名の入力による CIFS ファイル サーバ上のファイル共有の検索をリモート ユーザに許可するかどうかを指定します。

Enable Hidden Shares

非表示の CIFS 共有を表示することでユーザがアクセスできるようにするかどうかを指定します。

HTTP Proxy

セキュリティ アプライアンスが HTTP 接続を転送する外部 HTTP プロキシ サーバに許可するアクセスのタイプ。アクセスをイネーブルにするか、アクセスをディセーブルにするか、またはユーザのログイン時にプロキシを自動的に起動する [Auto Start] を選択できます。

Filter ACL

ユーザによる SSL VPN へのアクセスを制限するために使用する、Web タイプのアクセス コントロール リスト ポリシー オブジェクトの名前。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Enable ActiveX Relay

ActiveX リレーをイネーブルにするかどうかを指定します。ActiveX リレーによって、ユーザはポータル ページから ActiveX プログラムを起動できます。これにより、ユーザは Web ブラウザから Microsoft Office アプリケーションを起動し、Office 文書をアップロードおよびダウンロードできます。

UNIX Authentication Group ID

UNIX 認証グループ ID。

UNIX Authentication User ID

UNIX 認証ユーザ ID。

Smart Tunnel

このグループに割り当てるスマート トンネル リスト ポリシー オブジェクトの名前。[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

スマート トンネルとは、Winsock 2 の TCP ベース アプリケーションとプライベート サイトとの間の接続です。この接続では、セキュリティ アプライアンスをパスウェイおよびプロキシ サーバとして使用して、クライアントレス(ブラウザベース)SSL VPN セッションを使用します。このため、スマート トンネルでは、ユーザは管理者権限を持つ必要はありません。詳細については、「ASA デバイスの SSL VPN スマート トンネルの設定」を参照してください。

Auto Start Smart Tunnel

ユーザのログイン時に、スマート トンネル アクセスを自動的に開始するかどうかを指定します。このオプションを選択しない場合、ユーザは、ポータル ページ上のアプリケーション アクセス ツールを使用して手動でトンネルを開始する必要があります。

自動サインオンでは、Microsoft Windows オペレーティング システム上の Microsoft WININET ライブラリを使用する HTTP および HTTPS を使用するアプリケーションだけがサポートされています。たとえば、Microsoft Internet Explorer では、WININET ダイナミック リンク ライブラリを使用して、Web サーバと通信します。

Smart Tunnel Auto Signon Server List

このグループに割り当てるスマート トンネル自動サインオン リスト ポリシー オブジェクトの名前。[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

Domain Name(任意)

一般的な命名ルール(ドメイン¥ユーザ名)が認証に必要な場合に、自動サインオン時にユーザ名に追加する Windows ドメイン。たとえば、ユーザ名 qa_team の認証を行う場合、CISCO と入力して CISCO¥qa_team を指定します。自動サインオン サーバ リストで関連エントリを設定する場合は、[Use Domain] オプションも選択する必要があります。

Port Forwarding List

このグループに割り当てるポート転送リスト ポリシー オブジェクトの名前。ポート転送リストには、クライアントレス SSL VPN セッションのユーザが転送先 TCP ポートを介してアクセスできるアプリケーションのセットが含まれます。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Auto Start Port Forwarding

ユーザのログイン時に、ポート転送を自動的に開始するかどうかを指定します。

Port Forwarding Applet Name

ポータル上の [Port Forwarding Java] アプレット画面に表示されるアプリケーション名または短い説明。最大 64 文字です。これは、ユーザがダウンロードするアプレットの名前です。このアプレットは、SSL VPN ゲートウェイで設定したサービス用の TCP プロキシとしてクライアント マシン上で動作します。

ASA グループ ポリシーの SSL VPN フル クライアント設定

フル クライアント設定を使用して、リモート アクセス SSL VPN における企業ネットワークへのフル クライアント アクセス モードを ASA グループ ポリシー オブジェクトに設定します。

フル クライアント モードによって、SSL VPN トンネルを介して企業ネットワークに完全にアクセスできるようになります。フル クライアント アクセス モードでは、トンネル接続はグループ ポリシー設定によって決まります。フル クライアント ソフトウェアである SSL VPN Client(SVC)または AnyConnect がリモート クライアントにダウンロードされるため、トンネル接続はリモート ユーザが SSL VPN ゲートウェイにログインしたときに確立されます。


ヒント フル クライアント アクセスをイネーブルにするには、デバイスにインストールする AnyConnect イメージ パッケージを識別するように、デバイス上で [Remote Access VPN] > [SSL VPN] > [Other Settings] ポリシーを設定する必要があります。これらのイメージは、ユーザがダウンロードできるようにデバイス上に存在している必要があります。詳細については、「SSL VPN AnyConnect クライアント設定について」および「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

ナビゲーション パス

「[ASA Group Policies] ダイアログボックス」のコンテンツ テーブルから [SSL VPN] > [Full Client] を選択します。

フィールド リファレンス

 

表 32-8 ASA グループ ポリシーの SSL VPN フル クライアント設定

要素
説明

Enable Full Client

フル クライアント モードをイネーブルにするかどうかを指定します。

Mode

SSL VPN が動作するモード:

[Use Other Access Modes if AnyConnect Client Download Fails]:フル クライアントをリモート ユーザにダウンロードできなかった場合に、ユーザによる VPN へのクライアントレスまたはシン クライアント アクセスを許可します。

[Full Client Only]:クライアントレスまたはシン クライアント アクセスを禁止します。ユーザは、フル クライアントをインストールし、VPN への接続に使用できるようにしておく必要があります。

Keep AnyConnect Client on Client System

クライアントの切断後も、AnyConnect クライアントをクライアント システムにインストールしておくかどうかを指定します。クライアントをインストールしたままにしておかない場合、ユーザは、ゲートウェイに接続するたびにクライアントをダウンロードする必要があります。

Enable Compression

モデムで接続しているリモート ダイヤルイン ユーザの伝送レートを上げるデータ圧縮をイネーブルにするかどうかを指定します。


注意 データ圧縮を使用すると、各ユーザ セッションのメモリ要件と CPU 使用率が高くなり、その結果セキュリティ アプライアンスの全体のスループットが低下します。そのため、データ圧縮はモデムで接続しているリモート ユーザに対してだけイネーブルにすることを推奨します。モデム ユーザに固有のグループ ポリシーを設計し、それらのユーザに対してだけ圧縮をイネーブルにします。

Enable Keepalive Messages

トンネルでのデータ送受信にピアを使用できることを示すために、ピア間でキープアライブ メッセージを交換するかどうかを指定します。キープアライブ メッセージは、設定された間隔で送信され、その間隔で切断が発生すると、バックアップ デバイスを使用して新しいトンネルが作成されます。

このオプションを選択した場合は、リモート クライアントが IKE キープアライブ パケットの送信を待機する時間間隔(秒数)を [Interval] フィールドに入力します。

Client Dead Peer Detection Timeout (sec)

パケットが SSL VPN トンネルを介してリモート ユーザから受信されるたびに、Dead-Peer Detection(DPD)タイマーがリセットされる時間間隔(秒数)。

DPD は、着信トラフィックが受信されなくても発信トラフィックを送信する必要がある場合にだけピア デバイス間でキープアライブ メッセージを送信するために使用されます。

Gateway Dead Peer Detection Timeout (sec)

パケットが SSL VPN トンネルを介してゲートウェイから受信されるたびに、Dead-Peer Detection(DPD)タイマーがリセットされる時間間隔(秒数)。

Key Renegotiation Method

リモート ユーザ グループ クライアントのトンネル キーをリフレッシュする方法は、次のとおりです。

[Disabled]:トンネル キーのリフレッシュをディセーブルにします。

[Use Existing Tunnel]:SSL トンネル接続を再ネゴシエートします。

[Create New Tunnel]:新しいトンネル接続を開始します。

トンネルのリフレッシュ サイクルの時間間隔(分数)を [Interval] フィールドに入力します。

Enable Datagram Transport Layer Security

グループの Datagram Transport Layer Security(DTLS)接続をイネーブルにするかどうかを指定します。

DTLS をイネーブルにすると、AnyConnect クライアントは、SSL VPN 接続を確立して 2 つのトンネル(SSL トンネルと DTLS トンネル)を同時に使用できます。DTLS によって、一部の SSL 接続に関連する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。

AnyConnect Module

AnyConnect クライアントがオプションの機能をイネーブルにするために必要なモジュール。

[vpngina]:このモジュールを選択して、Start Before Logon(SBL)機能をイネーブルにします。この機能は、AnyConnect クライアント VPN 接続の Graphical Identification and Authentication(GINA)モジュールです。

他のオプションが表示されている場合は、この機能の説明について、Cisco AnyConnect VPN クライアントのリリース ノートを参照してください。

AnyConnect MTU

Cisco AnyConnect VPN クライアントによって確立された SSL VPN 接続の Maximum Transmission Unit(MTU; 最大伝送ユニット)サイズ。

AnyConnect Profile Name

グループに使用する AnyConnect プロファイルの名前。この名前を設定して、[Remote Access VPN] > [SSL VPN] > [Other Settings] ポリシー内のプロファイルに関連付ける必要があります。

Prompt User to Choose Client

Time User Has to Choose

Default Location

クライアントのダウンロードをユーザに確認するかどうかを指定します。ユーザが選択を完了する必要がある秒数を [Time User Has to Choose] フィールドに入力します。デフォルトは 120 秒です。

このオプションを選択しない場合、ユーザには即座にデフォルトの場所が示されます。また、選択する時間が期限切れになった場合も、デフォルトの場所がユーザに示されます。

[Web Portal]:ポータル ページが Web ブラウザにロードされます。

[AnyConnect Client]:AnyConnect クライアントがダウンロードされます。

ASA グループ ポリシーの SSL VPN 設定

SSL VPN 設定を使用して、ユーザがサーバにアクセスするための自動サインオン ルールなど、クライアントレスおよびポート転送(シン クライアント)アクセス モードが機能するために必要な属性を設定します。自動サインオンでは、SSL VPN ユーザ ログイン クレデンシャル(ユーザ名とパスワード)を中間サーバに自動的に渡すように、セキュリティ アプライアンスが設定されます。複数の自動サインオン ルールを設定できます。

ナビゲーション パス

「[ASA Group Policies] ダイアログボックス」のコンテンツ テーブルから [SSL VPN] > [Settings] を選択します。

フィールド リファレンス

 

表 32-9 ASA グループ ポリシーの SSL VPN 設定

要素
説明

Home Page

SSL VPN ホーム ページの URL。このページは、ユーザが VPN にログインするときに表示されます。URL を入力しないと、ホーム ページは表示されません。

Authentication Failure Message

VPN へのログインには成功したが、VPN 権限を持っていないために何も実行できないリモート ユーザに表示するメッセージ。デフォルトのメッセージを次に示します。

「Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features.Contact your IT administrator for more information.」

Minimum Keepalive Object Size (kilobytes)

セキュリティ アプライアンスのキャッシュに格納できる IKE キープアライブ パケットの最小サイズ(KB 単位)。

Single Sign On Server

このグループに使用するサーバを指定する、Single Sign-On(SSO; シングル サインオン)サーバ ポリシー オブジェクトの名前(ある場合)。SSO サーバによって、ユーザは、ユーザ名とパスワードを 1 回入力するだけで、ネットワーク内の他のサーバにアクセスできます。アクセスするたびにログインする必要はありません。SSO サーバを設定する場合は、自動サインオン ルール テーブルも設定します。

オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。詳細については、「[Add Single Sign On Server]/[Edit Single Sign On Server] ダイアログボックス」を参照してください。

Enable HTTP Compression

HTTP 圧縮オブジェクトをセキュリティ アプライアンスにキャッシュできるかどうかを指定します。

[Auto Signon Rules] テーブル

シングル サインオン サーバを設定する場合、自動サインオン ルール テーブルには、ユーザのクレデンシャルが提供される中間サーバを決定するルールが含まれています。したがって、ネットワーク内の一部のサーバにはシングル サインオンを提供し、他のサーバには提供しないようにできます。

各ルールは許可ルールであり、サーバを識別する IP アドレス、サブネット、または Uniform Resource Identifier(URI; ユニフォーム リソース識別子)、およびユーザがサーバへのアクセスを試行したときにサーバに送信される認証のタイプ(基本 HTML、NTLM、FTP、またはこれらすべて)を示します。これらのルールは上から下の順に処理され、最初に一致したルールが適用されます。したがって、上下の矢印ボタンを使用してルールを必ず適切な順番に並べてください。

ユーザは、これらのいずれのルールでも識別されなかったサーバにアクセスする場合、そのサーバにログインしてアクセスする必要があります。

ルールを追加するには、[Add Row] ボタンをクリックして、「[Add Auto Signon Rules]/[Edit Auto Signon Rules] ダイアログボックス」を開きます。

ルールを編集するには、ルールを選択し、[Edit Row] ボタンをクリックします。

ルールを削除するには、ルールを選択し、[Delete Row] ボタンをクリックします。

Portal Page Customization

ポータル Web ページの外観を定義する SSL VPN カスタマイゼーション ポリシー オブジェクトの名前。このポータル ページによって、リモート ユーザは、SSL VPN ネットワークで使用可能すべてのリソースにアクセスできます。オブジェクトを選択しない場合は、デフォルトのページ外観が使用されます。

オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。詳細については、「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」を参照してください。

User Storage Location

クライアントレス SSL VPN のセッション間に、ユーザの個人情報が格納される場所。場所を指定しなかった場合、情報はセッション間で格納されません。格納される情報は暗号化されます。

ファイル システムの指定を次の形式で入力します。

protocol://username:password@host:port/path

ここで、 protocol はサーバのプロトコル、 username password はサーバ上の有効なユーザ アカウント、および host はサーバの名前を示します。また、 port はプロトコルのデフォルトを使用しない場合のポート番号、および path は使用するサーバ上の場所のディレクトリ パスを示します。次の例を参考にしてください。

cifs://newuser:12345678@anyfiler02a/new_share

Storage Key

Confirm

セッション間で格納されるデータを保護するために使用されるストレージ キー。スペースはサポートされていません。

Post Max Size

ポストするオブジェクトに許可される最大サイズ。指定できる値の範囲は 0 ~ 2147483647(デフォルト)です。[0] を設定すると、ポスティングが防止されます。

Upload Max Size

アップロードするオブジェクトに許可される最大サイズ。指定できる値の範囲は 0 ~ 2147483647(デフォルト)です。[0] を設定すると、アップロードが防止されます。

Download Max Size

ダウンロードするオブジェクトに許可される最大サイズ。指定できる値の範囲は 0 ~ 2147483647(デフォルト)です。[0] を設定すると、ダウンロードが防止されます。

[Add Auto Signon Rules]/[Edit Auto Signon Rules] ダイアログボックス

[Add Auto Signon Rules]/[Edit Auto Signon Rules] ダイアログボックスを使用して、セキュリティ アプライアンスが内部サーバに SSL VPN ユーザ ログイン クレデンシャルを渡すために使用する自動サインオン ルールを設定します。

ナビゲーション パス

「ASA グループ ポリシーの SSL VPN 設定」を開き、[Create] をクリックするか、またはテーブル内の項目を選択して [Edit] をクリックします。

フィールド リファレンス

 

表 32-10 [Add Auto Signon Rules]/[Edit Auto Signon Rules] ダイアログボックス

要素
説明

Allow IP

このオプションを選択して、ルールの IP アドレスまたはサブネットを設定します。このサブネット内のすべてのサーバに、指定したログイン クレデンシャルが提供されます。

単一サーバの IP アドレスを入力するには、完全な IP アドレスを入力し、サブネット マスクとして 255.255.255.255 を使用します。

サブネットを指定するには、ネットワーク アドレスおよびサブネット マスクを入力します。たとえば、IP アドレス 10.100.10.0、マスク 255.255.255.0 を入力します。

ユーザがアクセスしようとする内部サーバに対してアプライアンスがクレデンシャルを送信する必要がある場合は、すべての内部ネットワーク用のルールを作成します。このことは、単一のルールを使用して実現できる場合があります。

Allow URI

このオプションを選択して、ルールの Universal Resource Identifier(URI; ユニバーサル リソース識別子)を設定します。これにより、IP アドレスではなく URI に基づいて内部サーバが識別されます。たとえば、 https://*.example.com/* では、example.com ドメイン内のあらゆるサーバ上のすべての Web ページ用のルールが作成されます。0 以上の文字に適用するワイルドカードとしてアスタリスクを使用します。

Authentication Type

このルールが該当するサーバにセキュリティ アプライアンスが渡すクレデンシャルのタイプ(基本 HTML、NT LAN Manager(NTLM)認証、FTP、またはこれらの方式すべて)。

デフォルトのオプションは [All] です。特定のタイプにログインを制限する必要がある場合を除き、デフォルトを使用してください。

ASA グループ ポリシーの DNS/WINS 設定

DNS/WINS 設定を使用して、この ASA グループ ポリシーに関連付けられているクライアントにプッシュする DNS サーバと WINS サーバおよびドメイン名を定義します。これらの設定は、Easy VPN、リモート アクセス IPSec および SSL VPN の設定に適用されます。

ナビゲーション パス

「[ASA Group Policies] ダイアログボックス」のコンテンツ テーブルから [DNS/WINS] を選択します。

フィールド リファレンス

 

表 32-11 ASA グループ ポリシーの DNS/WINS 設定

要素
説明

Primary DNS Server

グループのプライマリ DNS サーバの IP アドレス。ネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力するか [Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

Secondary DNS Server

グループのセカンダリ DNS サーバの IP アドレス。ネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力するか [Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

Primary WINS Server

グループのプライマリ WINS サーバの IP アドレス。ネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力するか [Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

Secondary WINS Server

グループのプライマリ WINS サーバの IP アドレス。ネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力するか [Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

DHCP Network Scope

グループの DHCP ネットワークのスコープ。ネットワーク/ホスト オブジェクトの IP ネットワーク アドレスまたは名前を入力するか [Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

Default Domain

グループのデフォルト ドメイン名。デフォルトは空白、つまりなしです。

ASA グループ ポリシーのスプリット トンネリング設定

スプリット トンネリング設定を使用して、中央サイトへのセキュアなトンネルを設定すると同時にインターネットへのクリア テキスト トンネルを設定します。これらの設定は、Easy VPN、リモート アクセス IPSec および SSL VPN の設定に適用されます。

スプリット トンネリングを使用すると、リモート クライアントは、条件に応じて、パケットを IPsec または SSL VPN トンネルを介して暗号化された形式で送信したり、クリア テキスト形式でネットワーク インターフェイスに送信したりできます。スプリット トンネリングがイネーブルになっている場合、宛先がトンネルの反対側でないパケットは、暗号化、トンネルを介した送信、復号化、および最終的な宛先へのルーティングが必要ありません。スプリット トンネリング ポリシーは、特定のネットワークに適用されます。


ヒント 最適なセキュリティを確保するには、スプリット トンネリングをイネーブルにしないことを推奨します。

ナビゲーション パス

「[ASA Group Policies] ダイアログボックス」のコンテンツ テーブルから [Split Tunneling] を選択します。

フィールド リファレンス

 

表 32-12 ASA グループ ポリシーのスプリット トンネリング設定

要素
説明

DNS Names

スプリット トンネルを介して解決されるドメイン名のリスト。他のすべての名前は、パブリック DNS サーバを使用して解決されます。リストを入力しない場合は、デフォルトのポリシー グループからリストが継承されます。

複数のエントリは、スペースまたはカンマで区切ります。文字列全体で最大 255 文字を使用できます。

Send all DNS traffic through the tunnel

AnyConnect クライアントが VPN トンネル(SSL または IPsec/IKEv2)を介してすべての DNS アドレスを解決するかどうかを指定します。トンネルを介した DNS 解決に失敗すると、アドレスは未解決のまま残り、AnyConnect クライアントは、パブリック DNS サーバを介したアドレスの解決を試行しません。

このオプションを選択しなかった場合、クライアントは、[Tunnel Option] 設定で指定したスプリット トンネル ポリシーに従ってトンネルを経由した DNS クエリーを送信します。

Tunnel Option

イネーブルにする、スプリット トンネリングのポリシー:

[Disabled](デフォルト):トラフィックは、暗号化されずに送信されることがないか、またはセキュリティ アプライアンス以外の宛先には送信されません。リモート ユーザは企業ネットワーク経由でネットワークに接続し、ローカル ネットワークにはアクセスできません。

[Tunnel Specified Traffic]:ネットワーク ACL で許可されているネットワークとの間のすべてのトラフィックをトンネルします。その他すべてのアドレスへのトラフィックは、暗号化されずに送信され、リモート ユーザのインターネット サービス プロバイダーによってルーティングされます。

[Exclude Specified Traffic]:ネットワーク ACL で許可されたネットワークとの間でトラフィックが暗号化されずに送信されます。これは、トンネル経由で企業ネットワークに接続しているリモート ユーザがプリンタなどのローカル ネットワーク上のデバイスにアクセスする場合に役立ちます。このオプションは、Cisco VPN クライアントだけに適用されます。

Networks

トラフィックがトンネルを通過する必要があるネットワーク、およびトンネリングを必要としないネットワークを指定する、標準アクセス コントロール リスト ポリシー オブジェクトの名前。許可および拒否する方法は、[Tunnel Option] での選択に応じて解釈されます。

オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。ACL を指定しない場合、ネットワーク リストは、デフォルト グループ ポリシーから継承されます。

ASA グループ ポリシーの接続設定

接続設定を使用して、アクセス コントロールおよびセッション タイムアウトを含む、ASA グループ ポリシーの接続特性を設定します。これらの設定は、Easy VPN およびリモート アクセス IPsec または SSL VPN の各セッションに適用されます。

ナビゲーション パス

「[ASA Group Policies] ダイアログボックス」のコンテンツ テーブルから [Connection Settings] を選択します。

フィールド リファレンス

 

表 32-13 ASA グループ ポリシーの接続設定

要素
説明

Filter ACL

VPN 接続上のトラフィックをフィルタリングするために使用する拡張 Access Control List(ACL; アクセス コントロール リスト)ポリシー オブジェクトの名前。どのトラフィックが許可または拒否されるかは、ACL によって決まります。オブジェクトの名前を入力するか、[Select] をクリックしてリストからオブジェクトを選択するか、新規オブジェクトを作成します。

この ACL は、クライアントレス SSL VPN 接続には適用されません。

Banner Text

リモート クライアントが VPN に接続したときに、リモート クライアント上に表示されるバナー、つまり初期テキスト。最大 500 文字を入力できます。

Access hours

VPN へのアクセスをユーザに許可する時間を指定する、時間範囲ポリシー オブジェクトの名前。時間範囲を指定しない場合、ユーザはいつでも VPN にアクセスできます。ネットワークへのアクセスを特定の時間(通常の就業時間や自分の組織での就業時間など)に制限する場合は、時間範囲を指定します。

オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。詳細については、「時間範囲オブジェクトの設定」を参照してください。

Max Simultaneous Logins

1 人のユーザに許可する同時ログイン数。値は、0 ~ 2147483647 です。デフォルトは 3 です。[0] を指定すると、ログインがディセーブルになり、ユーザはアクセスできなくなります。

Max Connection Time

ユーザが VPN への接続を継続できる最大時間。次のいずれかを選択します。

[Specified Connection time]:入力した最大時間値が使用されます。値は 1 ~ 35791394 分です。この時間を超えると、セキュリティ アプライアンスによって接続が閉じられます。

[Unlimited Connection time]:セキュリティ アプライアンスは、接続時間に基づいて接続を閉じることはありません。

Idle Timeout

接続がアイドル状態である、つまり通信アクティビティがない場合に、ユーザが VPN への接続を継続できる合計時間。次のいずれかを選択します。

[Specified Timeout]:入力したタイムアウト値が使用されます。値は 1 ~ 4473924 分です。このアイドル時間を超えると、セキュリティ アプライアンスによって接続が閉じられます。デフォルトは 30 分です。

[Unlimited Timeout]:セキュリティ アプライアンスによってアイドル接続が閉じられることはありません。

[Add Secure Desktop Configuration]/[Edit Secure Desktop Configuration] ダイアログボックス

[Add Cisco Secure Desktop Configuration]/[Edit Cisco Secure Desktop Configuration] ダイアログボックスを使用して、IOS ルータの Cisco Secure Desktop 設定オブジェクトを編集します。異なるロケーション タイプから接続している Windows クライアントに必要な設定値を設定したり、Windows CE クライアントの Web ブラウズやファイル アクセスをイネーブルまたは制限したり、Macintosh クライアントと Linux クライアントのキャッシュ クリーナを設定したりできます。

Cisco Secure Desktop(CSD)は、クライアント システム上のセッションのアクティビティおよび削除用に単一のセキュアなロケーションを提供することで、機密データのすべてのトレースを確実に除去する方法を提供して、ネットワーク エンドポイントを保護します。

このポリシー オブジェクトでは、Secure Desktop Manager アプリケーションを使用して、設定値を設定します。設定値の設定の例については、『 Cisco Secure Desktop on IOS Configuration Example Using SDM 』( http://www.cisco.com/en/US/products/ps6496/products_configuration_example09186a008072aa7b.shtml )を参照してください。この設定例の最初の部分では、SDM のセットアップについて説明しますが、これは無視してください。代わりに、例全体の中央付近にある、Windows ロケーションのセットアップの説明を検索してください。ここに示されている画面ショットは、CSD 設定を調べる場合の識別に役立ちます。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [Cisco Secure Desktop (Router)] を選択します。作業領域内を右クリックして [New Object] を選択するか、行を右クリックして [Edit Object] を選択します。

関連項目

「Cisco Secure Desktop 設定オブジェクトの作成」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 32-14 [Add Secure Desktop Configuration]/[Edit Secure Desktop Configuration] ダイアログボックス

要素
説明

Name

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

Description

(任意)最大 1024 文字のオブジェクトの説明。

Windows Location Settings

Windows Locations

Windows クライアントが特定のロケーションから接続するために設定するロケーションの名前(Work、Home、Insecure など)。

ロケーションを作成すると、そのロケーション項目がコンテンツ テーブルに追加されます。そのコンテンツ テーブルで、ロケーションに関連する設定フォルダを選択し、プロパティを設定できます。これらの設定には、クライアントが特定のロケーションから接続しているかどうかを識別する方法の定義が含まれています。

設定する各ロケーションについて、その名前を [Location to Add] フィールドに入力し、[Add] をクリックしてロケーションを [Locations] リストに移動します。

[Move up] ボタンと [Move down] ボタンを使用して、ロケーションを並べ替えることができます。CSD では、このダイアログボックスにリストされている順番でロケーションをチェックし、一致した最初のロケーション定義に基づいて、クライアント PC に権限を付与します。最後のロケーションとして Insecure などのデフォルト ロケーションを作成し、そのロケーションに対して最も厳しいセキュリティを設定できます。詳細については、「Cisco Secure Desktop 設定オブジェクトの作成」を参照してください。

Close all open browser windows after installation

Secure Desktop アプリケーションのインストール後に、開いているすべてのブラウザ ウィンドウを閉じるかどうかを指定します。

VPN Feature Policy

インストールまたはロケーション照合が失敗した場合に該当する機能をイネーブルにするには、次のチェックボックスをオンにします。

Web Browsing

File Access

Port Forwarding

Full Tunneling

Windows CE

VPN Feature Policy

Windows CE オプションを使用すると、Microsoft Windows CE を実行しているリモート クライアントによる Web ブラウズおよびリモート サーバ ファイル アクセスをイネーブルまたは制限するように、VPN 機能を設定できます。これらのクライアントのロケーションは設定できません。

Mac and Linux Cache Cleaner

Launch Cleanup Upon Global Timeout

CSD がキャッシュ クリーナを起動したあとにグローバル タイムアウトを設定するかどうかを指定します。タイムアウト(デフォルトは 30 分)を選択し、ユーザがこのタイムアウト値をリセットできるかどうかを選択します。

Launch Cleanup Upon Exiting of Browser

ユーザがすべての Web ブラウザ ウィンドウを閉じたときに、キャッシュ クリーナを起動するかどうかを指定します。

Enable Canceling of Cleaning

キャッシュの消去のキャンセルをユーザに許可するかどうかを指定します。

Secure Delete

CSD がセキュアなクリーンアップを実行するためのパスの数。デフォルトは 1 パスです。

CSD は、キャッシュを暗号化し、リモート クライアントのディスクに書き込みます。Secure Desktop の終了時に、CSD はキャッシュを占有しているすべてのビットをすべて 0 に変換してから 1 に変換し、次に 0 と 1 にランダムに変換します。

Enable Web Browsing if Mac or Linux Installation Fails

キャッシュ クリーナのインストールに失敗した場合に、Web ブラウズを許可する(ただし、その他のリモート アクセス機能は許可しない)かどうかを指定します。

VPN Feature Policy

Web ブラウズ、リモート サーバ ファイル アクセス、およびポート転送を Macintosh クライアントと Linux クライアントに許可するかどうかを指定します。ポート転送では、ローカル PC にインストールされているクライアント アプリケーションをリモート サーバ上のピア アプリケーションの TCP/IP ポートに接続するために、Secure Desktop の使用を許可します。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Add File Object]/[Edit File Object] ダイアログボックス

[Add File Object]/[Edit File Object] ダイアログボックスを使用して、ファイル オブジェクトを作成、コピー、および編集します。ファイル オブジェクトは、デバイス設定で使用されるファイル(通常は、リモート アクセス VPN ポリシーおよびポリシー オブジェクト用)を表します。これらのファイルには、Anyconnect クライアント プロファイルおよびイメージ(グラフィック)ファイル、プラグイン jar ファイル、および Cisco Secure Desktop パッケージ ファイルがあります。

ファイル オブジェクトを作成すると、Security Manager によってそのファイルのコピーが Security Manager のストレージ システムに作成されます。これらのファイルは、Security Manager データベースのバックアップを作成するたびにバックアップされ、Security Manager データベースを復元すると復元されます。ファイル オブジェクトを指定する設定を展開すると、関連付けられているファイルが、該当するディレクトリのデバイスにダウンロードされます。

ファイル オブジェクトの作成後、通常はそのオブジェクトを編集することはありません。ファイルを置き換える必要がある場合は、そのファイル オブジェクトを編集して新しいファイルを選択するか、または新しいファイル オブジェクトを作成します。ファイルを編集できる場合は、ファイル オブジェクトを編集してファイル リポジトリにおけるそのファイルのロケーションを指定し、任意のエディタを使用して Security Manager の外部にあるファイルを開いて編集できます。ファイル リポジトリは、インストール ディレクトリ(通常は C:¥Program Files)内の CSCOpx¥MDC¥FileRepository フォルダです。これらのファイルは、ファイル タイプに応じた名前が付けられたサブフォルダに整理されています。

イメージ ファイルを除くすべてのファイル タイプの場合、[Choose a file] ダイアログ ボックスの適切なタブを選択することにより、Security Manager サーバか、ローカル Security Manager クライアントからファイルを追加できます。ネットワーク サーバからファイルを選択することはできません。Security Manager クライアントからファイルを追加する機能は、[Tools] > [Security Manager Administration] > [Customize Desktop] から制御できます。詳細については、「[Customize Desktop] ページ」を参照してください。


ヒント ファイル オブジェクトでファイルを使用できるように Security Manager サーバにコピーしている場合は、そのファイルをファイル リポジトリに直接コピーしないでください。

ファイル オブジェクトを削除しても、関連付けられているファイルはファイル リポジトリから削除されません。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [File Objects] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「SSL VPN サポート ファイルの概要と管理」

「SSL VPN AnyConnect クライアント設定の定義(ASA)」

「SSL VPN ブラウザ プラグインの設定(ASA)」

「ASA デバイスでの Cisco Secure Desktop ポリシーの設定」

「[SSL VPN Customization] ダイアログボックス - [Informational Panel]」

「[SSL VPN Customization] ダイアログボックス - [Title Panel]」

フィールド リファレンス

 

表 32-15 [Add File Object]/[Edit File Object] ダイアログボックス

要素
説明

Name

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

名前を入力しない場合は、ファイルの名前がオブジェクト名に使用されます。

Description

(任意)オブジェクトの説明。

File Type

ファイルのタイプ。ポリシーの設定時にオブジェクトを作成する場合は、適切なファイル タイプが事前に選択されています。次のオプションがあります。

Image:グラフィック ファイル用。

Cisco Secure Desktop Package

Plug-In:ブラウザ プラグイン ファイル用。

AnyConnect Profile

AnyConnect Image

Hostscan Image

File

ファイルの名前およびフル パス。[Browse] をクリックしてファイルを選択します。

イメージ ファイルを除くすべてのファイル タイプの場合、[Choose a file] ダイアログ ボックスの適切なタブを選択することにより、Security Manager サーバか、ローカル Security Manager クライアントからファイルを追加できます。イメージ ファイル タイプを追加する場合は、ファイルが Security Manager サーバ上に存在している必要があります。ネットワーク サーバからファイルを選択することはできません。

から制御できます。詳細については、「[Customize Desktop] ページ」を参照してください。

編集しているファイル オブジェクトの場合、パスは Security Manager ファイル リポジトリにおけるロケーションを示します。

フォルダにファイルがいくつか含まれています。

File Name on Device

ポリシーの展開時にファイルがデバイスにダウンロードされるときに使用するファイルの名前。デフォルトは、元のファイルと同じファイル名の使用です。

デバイスからのポリシーの検出によってオブジェクトが作成された場合、このフィールドでは、そのデバイス上に存在していたファイルの元の名前が使用されます。この名前は、元の名前が Security Manager サーバ上の既存のファイル名と重複していた場合、Security Manager サーバに存在する名前とは同じでない可能性があります。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Add Port Forwarding List]/[Edit Port Forwarding List] ダイアログボックス

[Port Forwarding List] ダイアログボックスを使用して、ポート転送リスト ポリシー オブジェクトを作成、コピー、および編集します。ポート転送リスト オブジェクトを作成して、SSL VPN 用のシン クライアント アクセス モードの設定時に使用できます。

ポート転送により、ユーザは SSL VPN セッション経由で企業内のアプリケーション(Telnet、電子メール、VNC、SSH、Terminal Services など)にアクセスできます。ポート転送がイネーブルな場合、SSL VPN クライアント上の hosts ファイルは、転送リストで設定されているポート番号にアプリケーションをマッピングするために変更されます。ポート転送リスト オブジェクトは、リモート クライアント上のポート番号を SSL VPN ゲートウェイの背後にあるアプリケーションの IP アドレスとポートにマッピングします。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [Port Forwarding List] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

関連項目

「SSL VPN アクセスのモード」

「ASA グループ ポリシーの SSL VPN クライアントレス設定」

「[User Group] ダイアログボックス - シン クライアント設定」

「Create Group Policy ウィザード:[Clientless and Thin Client Access Modes] ページ」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 32-16 [Port Forwarding List] ダイアログボックス

要素
説明

Name

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

Description

(任意)オブジェクトの説明。

[Port Forwarding List] テーブル

このオブジェクトで定義されているポート転送エントリ。このエントリは、ローカル ポートからリモート サーバおよびポートへのマッピングを示します。

マッピングを追加するには、[Add Row] ボタンをクリックして、「[Add A Port Forwarding Entry]/[Edit A Port Forwarding Entry] ダイアログボックス」を開きます。

マッピングを編集するには、マッピングを選択し、[Edit Row] ボタンをクリックします。

マッピングを削除するには、マッピングを選択し、[Delete Row] ボタンをクリックします。

Include Port Forwarding Lists

オブジェクトに含める、他のポート転送リスト オブジェクトの名前。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。複数のエントリを指定する場合は、カンマで区切ります。

その他のポート転送リストを追加する場合、それらのリストのエントリは、このオブジェクトに直接入力されたように扱われ、含めたオブジェクトの名前は、展開中はデバイス コンフィギュレーション コマンドに反映されません。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Allow Value Override per Device

Overrides

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[Add A Port Forwarding Entry]/[Edit A Port Forwarding Entry] ダイアログボックス

[Add A Port Forwarding Entry]/[Edit A Port Forwarding Entry] ダイアログボックスを使用して、新しいポート転送リスト エントリを作成するか、または既存のエントリを編集します。

ナビゲーション パス

「[Add Port Forwarding List]/[Edit Port Forwarding List] ダイアログボックス」に移動し、[Add Row] ボタンをクリックするか、またはエントリを選択して [Port Forwarding List] テーブルの下にある [Edit Row] ボタンをクリックします。

フィールド リファレンス

 

表 32-17 [Add A Port Forwarding Entry]/[Edit A Port Forwarding Entry] ダイアログボックス

要素
説明

Local TCP Port

ローカル アプリケーションがマッピングされるポート番号(1 ~ 65535)。

Remote Server

IP Address

Name

リモート サーバの IP アドレスまたは完全修飾ドメイン名。エントリのタイプを選択し、IP アドレスまたは名前を入力します。

IP アドレスの場合は、リモート サーバの IP アドレスを指定するネットワーク/ホスト オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成できます。

Remote TCP Port

ポート転送が設定されるアプリケーションのポート番号(1 ~ 65535)。

Description

ポート転送エントリの説明。この情報は、Cisco IOS デバイスの場合は必須です。

[Add Single Sign On Server]/[Edit Single Sign On Server] ダイアログボックス

[Add Single Sign On Server]/[Edit Single Sign On Server] ダイアログボックスを使用して、(ASA グループ ポリシー オブジェクトで設定されている)SSL VPN で使用する Single Sign-On(SSO; シングル サインオン)サーバ オブジェクトを作成、コピー、および編集します。ASA グループ ポリシーで SSO サーバを設定する方法については、「ASA グループ ポリシーの SSL VPN 設定」を参照してください。

シングル サインオンを使用すると、ユーザは、ユーザ名とパスワードを複数回入力することなく、異なるサーバ上のさまざまなセキュア サービスにアクセスできます。認証では、セキュリティ アプライアンスは、SSO サーバに対する SSL VPN ユーザのプロキシとして機能します。Computer Associates SiteMinder SSO サーバまたは Security Assertion Markup Language(SAML)Browser Post Profile バージョン 1.1 サーバを識別するように、このオブジェクトを設定できます。

SSO メカニズムは、AAA プロセスの一環として、つまり AAA サーバに対するユーザ認証が成功したあとに開始されます。セキュリティ アプライアンスで稼動している SSL VPN サーバは、認証サーバに対するユーザのプロキシとして機能します。ユーザがログインすると、SSL VPN サーバは、ユーザ名とパスワードを含む SSO 認証要求を認証サーバに送信します。サーバは、この認証要求を承認すると、SSO 認証クッキーを SSL VPN サーバに返します。セキュリティ アプライアンスは、このクッキーをユーザのために保持し、ユーザの認証に使用して、SSO サーバによって保護されているドメイン内の Web サイトを保護します。

SSL VPN グループの SSO を設定する場合、RADIUS や LDAP サーバなどの AAA サーバを設定する必要もあります。


) SAML Browser Artifact プロファイル方式のアサーション交換は、サポートされていません。


ナビゲーション パス

「[Policy Object Manager] ウィンドウ」で [Single Sign On Servers] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

SSL VPN 用の ASA ユーザ グループ オブジェクトを設定するときに、オブジェクトを作成することもできます(「ASA グループ ポリシーの SSL VPN 設定」を参照)。

フィールド リファレンス

 

表 32-18 [Add Single Sign-On Server]/[Edit Single Sign-On Server] ダイアログボックス

要素
説明

Name

オブジェクト名。4 ~ 31 文字である必要があります。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

Description

(任意)オブジェクトの説明。

Authentication Type

クライアントレス SSL VPN 接続で使用する SSO サーバのタイプ。このページのその他の属性は、選択内容によって変わります。

[SiteMinder]:Computer Associates SiteMinder SSO サーバ。

[SAML POST]:Security Assertion Markup Language(SAML)Browser Post Profile サーバ。

URL

(SiteMinder のみ)

セキュリティ アプライアンスが認証要求を行う SiteMinder SSO サーバの URL。HTTP と HTTPS のいずれを使用するかを選択し、URL を入力します。

コマンドを使用してこれを確認できます。

Secret Key

Confirm

(SiteMinder のみ)

SiteMinder サーバとの認証通信を暗号化するために使用するキー(ある場合)。キーには、任意の英数字を使用できます。文字の最小数や最大数の制限はありません。両方のフィールドに同じキーを入力します。

ヒント 秘密キーを入力した場合は、Cisco Java プラグイン認証スキームを使用して、同じキーを SiteMinder で設定する必要があります。

Assertion URL

(SAML POST のみ)

SAML タイプの SSO アサーション コンシューマ サービスの URL。HTTP と HTTPS のいずれを使用するかを選択し、URL を入力します。URL は 255 文字未満である必要があります。

Assertion Issuer

(SAML POST のみ)

SAML タイプの SSO サーバにアサーションを送信するセキュリティ デバイスの名前。これは、通常、セキュリティ アプライアンスの名前(asa.example.com など)です。この名前は、65 文字未満である必要があります。

Trustpoint

(SAML POST のみ)

SAML タイプのブラウザ アサーションの署名に使用する証明書が含まれたトラストポイントとして機能する Certificate Authority(CA; 認証局)サーバを識別する、PKI 登録ポリシー オブジェクトの名前。名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Max Retries

認証がタイムアウトするまでに、セキュリティ アプライアンスが、失敗した SSO 認証を再試行する回数。範囲は 1 ~ 5 再試行です。デフォルトは 3 再試行です。

Request Timeout

失敗した SSO 認証の試行がタイムアウトするまでの秒数。範囲は 1 ~ 30 秒です。デフォルトは 5 秒です。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Allow Value Override per Device

Overrides

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[Add Bookmarks]/[Edit Bookmarks] ダイアログボックス

[Add Bookmarks]/[Edit Bookmarks] ダイアログボックスを使用して、SSL VPN ブックマーク オブジェクト用のブラウザベースのクライアントレス SSL VPN ブックマーク(URL リスト)を設定します。このダイアログボックスで、テーブル内のブックマーク エントリの順序を変更し、SSL VPN ブックマーク オブジェクトを作成、コピー、編集、および削除できます。

SSL VPN ブックマーク オブジェクトによって、ログインの成功後にポータル ページに表示される URL が定義されます。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [SSL VPN Bookmarks] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定」

「SSL VPN ブックマークでの Post URL 方式およびマクロ置換の使用」

「ASA デバイスの SSL VPN Web ページのローカライズ」

フィールド リファレンス

 

表 32-19 [Add Bookmarks]/[Edit Bookmarks] ダイアログボックス

要素
説明

Name

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

Description

(任意)オブジェクトの説明。

Bookmarks Heading (IOS)

(IOS デバイスのみ)

IOS デバイスでホスティングされている SSL VPN のポータル ページにリストされている URL の上に表示される見出し。

Bookmarks

オブジェクトのブックマーク エントリのリスト。

エントリの並び順を変更するには、エントリを選択し、[Move Up]/[Move Down] 矢印ボタンをクリックします。テーブル内のエントリ順によって、ユーザに表示されるブックマークの順序が定義されます。

エントリを追加するには、[Add] ボタンをクリックし、[Add Bookmark Entry] ダイアログボックスに入力します(「[Add Bookmark Entry]/[Edit Bookmark Entry] ダイアログボックス」を参照)。

エントリを編集するには、エントリを選択し、[Edit] ボタンをクリックします。

エントリを削除するには、エントリを選択し、[Delete] ボタンをクリックします。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Allow Value Override per Device

Overrides

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[Add Bookmark Entry]/[Edit Bookmark Entry] ダイアログボックス

[Add Bookmark Entry]/[Edit Bookmark Entry] ダイアログボックスを使用して、SSL VPN ブックマーク オブジェクトに含めるブックマークを作成または編集します。

ASA デバイスで使用するようにオブジェクトを設定している場合は、英語以外の非 ASCII 言語をブックマークに表示するテキストとして使用できます。SSL VPN ポータルをローカル言語で設定する方法の詳細については、「ASA デバイスの SSL VPN Web ページのローカライズ」を参照してください。

ナビゲーション パス

[Policy Object Manager] の [Add Bookmarks]/[Edit Bookmarks] ダイアログボックスで、[Bookmarks] テーブル内を右クリックし、[Add Row] を選択するか、または行を右クリックしてから [Edit Row] を選択します。

関連項目

「ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定」

「SSL VPN ブックマークでの Post URL 方式およびマクロ置換の使用」

フィールド リファレンス

 

表 32-20 [Add Bookmark Entry]/[Edit Bookmark Entry] ダイアログボックス

要素
説明

Bookmark Option

新しい SSL VPN ブックマーク エントリを定義するか、または既存のオブジェクトのエントリを使用するかを選択します。

[Enter Bookmark]:ブックマーク エントリを定義します。

[Include Existing Bookmarks]:既存の SSL VPN ブックマーク オブジェクトで定義されているブックマーク エントリを含めます。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Title

ユーザに表示される、ブックマークのテキスト ラベル。

URL

ブックマークの Universal Resource Locator アドレス。ブックマークのプロトコルを選択し、編集ボックスに URL の残りの部分を入力します。

ヒント ASA デバイスで使用するブックマークを作成し、デバイスに Kerberos の制約付き委任も設定する場合は、Service Principle Name(SPN)を URL に追加することが必要になる場合があります。詳細については、「SSL VPN の Kerberos Constrained Delegation(KCD)の設定(ASA)」を参照してください。

Advanced Group

Advanced グループの設定は、ソフトウェア バージョン 8.x を実行している ASA デバイスでホスティングされている SSL VPN ポータルに対してだけ適用可能です。これらの設定値は、他のデバイスで使用する SSL VPN ブックマーク オブジェクトには設定しないでください。

Subtitle

ブックマーク エントリを説明する、ユーザに表示される追加のタイトル。

Thumbnail

ポータル上のブックマークに関連付けるアイコンを表すファイル オブジェクト。ファイル オブジェクトの名前を入力するか、[Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

Authentication Access

[Portal] ページ上だけにサムネールを表示するかどうかを指定します。このオプションの選択を解除すると、このサムネールはログイン ページ上にも表示されます。

Enable Favorite URL Option

ポータル ホーム ページ上にブックマーク エントリを表示するかどうかを指定します。アプリケーション ページ上だけにブックマーク エントリを表示する場合は、このチェックボックスをオフにします。

Enable Smart Tunnel Option

セキュリティ アプライアンスとの間でデータを受け渡すスマート トンネル機能を使用する新しいウィンドウでブックマークを開くかどうかを指定します。

URL Method

リストから必要な URL メソッドを選択します。

[Get]:このオプションは、単純なデータ取得を行う場合に選択します。

[Post]:このオプションは、データを処理するときにデータ変更を伴う可能性がある場合(データの格納や更新、製品の購入、電子メールの送信など)に選択します。このオプションを選択した場合は、[Post Parameters] テーブルで Post パラメータを設定する必要があります。

Post Parameters

ブックマーク エントリの Post パラメータの名前と値のリスト。

パラメータを追加するには、[Add] ボタンをクリックし、[Add Post Parameter] ダイアログボックスに入力します(「[Add Post Parameter]/[Edit Post Parameter] ダイアログボックス」を参照)。

パラメータを編集するには、パラメータを選択し、[Edit] ボタンをクリックします。

パラメータを削除するには、パラメータを選択し、[Delete] ボタンをクリックします。

[Add Post Parameter]/[Edit Post Parameter] ダイアログボックス

[Add Post Parameter]/[Edit Post Parameter] ダイアログボックスを使用して、新しい Post パラメータ エントリを作成するか、またはテーブル内の既存のエントリを編集します。Post パラメータの詳細については、「SSL VPN ブックマークでの Post URL 方式およびマクロ置換の使用」を参照してください。

ナビゲーション パス

[Policy Object Manager] の [Add Bookmark Entry]/[Edit Bookmark Entry] ダイアログボックスで、[Post Parameters] テーブル内を右クリックし、[Add Row] を選択するか、または行を右クリックしてから [Edit Row] を選択します。

関連項目

「ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定」

「SSL VPN ブックマークでの Post URL 方式およびマクロ置換の使用」

フィールド リファレンス

 

表 32-21 [Add Post Parameter]/[Edit Post Parameter] ダイアログボックス

要素
説明

Name

対応する HTML 形式で定義されているのと厳密に同じ post パラメータの名前。たとえば、<input name=" param_name " value=" param_value "> 内の param_name

Value

対応する HTML 形式で定義されているのと厳密に同じ post パラメータの値。たとえば、<input name=" param_name " value=" param_value "> 内の param_value

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックスを使用して、SSL VPN カスタマイゼーション オブジェクトを作成、コピー、および編集します。SSL VPN カスタマイゼーション ポリシー オブジェクトでは、ASA 8.x デバイス上でホスティングされているブラウザベースのクライアントレス SSL VPN の Web ページをカスタマイズする方法について説明します。詳細については、「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」を参照してください。

英語以外の非 ASCII 言語を、これらのページ上に表示するテキストに使用できます。SSL VPN ポータルをローカル言語で設定する方法の詳細については、「ASA デバイスの SSL VPN Web ページのローカライズ」を参照してください。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [SSL VPN Customization] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。

関連項目

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

「ASA デバイスの SSL VPN Web ページのローカライズ」

「ASA デバイスの独自 SSL VPN ログイン ページの作成」

フィールド リファレンス

 

表 32-22 [Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス

要素
説明

Name

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

Description

(任意)オブジェクトの説明。

[Settings] ペイン

ダイアログボックスの本体は左右に分割されたペインであり、左側にはコンテンツ テーブル、右側にはコンテンツ テーブルで選択された項目に関連する設定が表示されます。設定値を設定する前に、[Preview] ボタンをクリックしてデフォルト設定を表示すると、何を変更する必要があるかを(変更する必要がある場合)判断するのに役立ちます。

コンテンツ テーブルの上部にあるフォルダは、次に説明するカスタマイズ可能な SSL VPN Web ページを表します。

[Logon] ページ

[Logon] Web ページは、ユーザが SSL VPN ポータルに接続するときに最初に表示されるページです。VPN へのログインに使用されます。コンテンツ テーブル内の [Logon Page] フォルダの次の項目を選択して、設定を表示および変更します。

[Logon Page]:[Browser Window Title] フィールドで、ブラウザのタイトル バーに表示される、Web ページのタイトルを定義します。

[Title Panel]:Web ページ自体に表示されるタイトル。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Title Panel]」を参照してください。

[Language]:[Logon]、[Portal]、および [Logout] の各ページでサポートされる言語。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Language]」を参照してください。

[Logon Form]:ユーザのログイン情報を受け取る形式で使用されるラベルと色。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Logon Form]」を参照してください。

[Informational Panel]:ユーザに情報を伝えるための追加情報パネル。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Informational Panel]」を参照してください。

[Copyright Panel]:ログイン ページ上の著作権情報。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Copyright Panel]」を参照してください。

[Full Customization]:セキュリティ アプライアンスの組み込みログイン ページを使用しない(カスタマイズもしない)場合は、代わりにフル カスタマイズをイネーブルにして独自の Web ページを指定できます。カスタムの [Logon] ページの作成および設定の詳細については、「ASA デバイスの独自 SSL VPN ログイン ページの作成」および「[SSL VPN Customization] ダイアログボックス - [Full Customization]」を参照してください。

[Portal] ページ

[Portal] Web ページは、ユーザが SSL VPN にログインしたあとに表示されるページ、つまり、ホーム ページです。コンテンツ テーブル内の [Portal Page] フォルダの次の項目を選択して、設定を表示および変更します。

[Portal Page]:[Browser Window Title] フィールドで、ブラウザのタイトル バーに表示される、Web ページのタイトルを定義します。

[Title Panel]:Web ページ自体に表示されるタイトル。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Title Panel]」を参照してください。

[Toolbar]:[Portal] ページの主要部分の上に表示されるツールバー。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Toolbar]」を参照してください。

[Applications]:ページ上に表示されるアプリケーション ボタン。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Applications]」を参照してください。

[Custom Panes]:[Portal] ページの主要部分のレイアウト。デフォルトは、内部ペインのない 1 カラム型のページです。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Custom Panes]」を参照してください。

[Home Page]:URL リストをホーム ページ上に表示する方法および表示するかどうかを指定します。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Home Page]」を参照してください。

[Logout] ページ

[Logout] Web ページは、SSL VPN をログアウトしたあとに表示されるページです。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Logout Page]」を参照してください。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Allow Value Override per Device

Overrides

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[SSL VPN Customization] ダイアログボックス - [Title Panel]

[SSL VPN Customization] ダイアログボックスの [Title Panel] ページを使用して、[Logon] ページまたは [Portal] ページで、Web ページ自体にタイトルを表示するかどうかを決定します。タイトル パネルをイネーブルにすると、使用するタイトル、フォント、フォント サイズとフォントの太さ、スタイル、および色を指定できます。ロゴのグラフィックを識別するファイル オブジェクトを選択することもできます。

ナビゲーション パス

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックスのコンテンツ テーブルで、[Logon Page] > [Title Panel] を選択して [Logon] ページのタイトルを設定するか、または [Portal Page] > [Title Panel] を選択して [Portal] ページのタイトルを設定します。

関連項目

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

「ASA デバイスの SSL VPN Web ページのローカライズ」

フィールド リファレンス

 

表 32-23 [SSL VPN Customization] ダイアログボックス - [Title Panel]

要素
説明

Display Title Panel

タイトル パネルを Web ページ内に表示するかどうかを指定します。デフォルトでは、タイトルは表示されません。このオプションを選択した場合、このページの他のフィールドを使用してタイトルを設定できます。

Gradient

背景色が徐々に変化するかどうかを指定します。

Title Text

タイトル パネルに表示するテキスト。

Font Weight

Font Size

Font Color

タイトル テキストに使用するフォントの特性。太さ、フォント サイズ、および色を選択できます。[Select] をクリックしてフォントの色を選択します。

Background Color

タイトル パネルの背景色。[Select] をクリックして色を選択します。

Style (CSS)

タイトル パネルのスタイル特性を定義する Cascading Style Sheet(CSS)パラメータ。最大 256 文字を使用できます。

)を参照してください。

Logo Image

タイトル パネルに含めるロゴ イメージ(ある場合)を識別するファイル ポリシー オブジェクト。ファイル オブジェクトの名前を入力するか、[Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

ヒント イメージ ファイルとして、GIF、JPG、または PNG ファイルを使用できます。ファイルのサイズは最大 100 KB です。

ファイル オブジェクトの詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

[SSL VPN Customization] ダイアログボックス - [Language]

[SSL VPN Customization] ダイアログボックスの [Language] ページを使用して、ブラウザベースのクライアントレス SSL VPN ポータルでサポートする言語を指定します。ASA デバイスで他の言語の変換テーブルを設定して使用するには、サポートされる言語を設定し、ユーザが自分の言語を選択できるようにします。これらの設定値を設定する前に、「ASA デバイスの SSL VPN Web ページのローカライズ」を読んでください。

ナビゲーション パス

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックスのコンテンツ テーブルで [Logon Page] > [Language] を選択します。

関連項目

「ASA デバイスの SSL VPN Web ページのローカライズ」

「[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス」

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

フィールド リファレンス

 

表 32-24 [SSL VPN Customization] ダイアログボックス - [Language]

要素
説明

Automatic Browser Language Selection

このテーブルには、ブラウザ言語自動選択用に Web ページでサポートする言語が示されます。ブラウザ言語自動選択を使用すると、ASA デバイスは、ユーザの Web ブラウザとネゴシエートして、Web ページで表示する言語を決定できます。ここで指定するすべての言語について、ASA デバイス上で変換テーブルを設定する必要があります。ブラウザ言語自動選択の詳細については、「ASA デバイスの SSL VPN Web ページのローカライズ」を参照してください。

言語は、短縮形でテーブル内に示されます。言語は、一致が検出されるまで、上から下に評価されます。デフォルト言語として示されている言語(テーブルで True として示されている)は、デバイスがブラウザとは異なる言語でネゴシエートできなかった場合に使用されます。デフォルトを指定しない場合、英語がデフォルトになります。

言語を追加するには、テーブルの下にある [Add Row] ボタンをクリックします。

言語を編集するには、言語を選択し、[Edit Row] ボタンをクリックします。

言語を削除するには、言語を選択し、[Delete Row] ボタンをクリックします。

Enable Language Selector

[Logon] ページで [Language Selector] を表示するかどうかを指定します。[Language Selector] によって、ユーザは優先する言語を選択できます。[Language Selector] は、ブラウザ言語自動選択機能を補完します。

Language Selector Prompt

[Language Selector] プロンプトのテキスト ラベル。

Language Table

[Language Selector] ドロップダウン リストに含める言語のリスト。ここで指定するすべての言語について、ASA デバイス上で変換テーブルを設定する必要があります。詳細については、「ASA デバイスの SSL VPN Web ページのローカライズ」を参照してください。

このテーブルには、短縮形による言語および言語タイトル、または言語の共通名が示されます。タイトルは、ドロップダウン リストに表示されるテキストです。言語タイトルは変更できますが、短縮形は変更できません。

言語を追加するには、テーブルの下にある [Add Row] ボタンをクリックします。

言語を編集するには、言語を選択し、[Edit Row] ボタンをクリックします。

言語を削除するには、言語を選択し、[Delete Row] ボタンをクリックします。

[Add Language]/[Edit Language] ダイアログボックス

[Add Language]/[Edit Language] ダイアログボックスを使用して、ブラウザ言語自動選択または [Language Selector] ドロップダウン リストでサポートする言語のエントリを追加または編集します。

ナビゲーション パス

[SSL VPN Customization] ダイアログボックス - [Language]ページで、[Automatic Browser Language Selection] テーブルと [Language Selector] テーブルのいずれかの [Add Row] ボタンをクリックするか、または行を選択して [Edit Row] ボタンをクリックします。

関連項目

「ASA デバイスの SSL VPN Web ページのローカライズ」

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

フィールド リファレンス

 

表 32-25 [Add Language]/[Edit Language] ダイアログボックス

要素
説明

Language

ブラウザベースのクライアントレス SSL VPN Web ページでサポートされる言語のリスト。短縮形で示されます。

Default

([Automatic Browser Language Selection] のみ)

ポータルのデフォルト言語として言語を定義するかどうかを指定します。デフォルト言語は、ASA デバイスが、クライアントのブラウザの言語とネゴシエートできない場合に使用されます。

タイトル

([Language Selector] のみ)

[Logon] ページ上の [Language Selector] に表示される言語の名前。

[SSL VPN Customization] ダイアログボックス - [Logon Form]

[SSL VPN Customization] ダイアログボックスの [Logon Form] 設定を使用して、ログイン ボックスのタイトル、[SSL VPN] ページのログイン プロンプト(ユーザ名、パスワード、グループの各プロンプトなど)、ログイン ボタン、およびブラウザベースのクライアントレス SSL VPN ユーザが最初にセキュリティ アプライアンスに接続したときに表示されるログイン ボックスのスタイル要素をカスタマイズします。

ナビゲーション パス

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックスのコンテンツ テーブルで [Logon Page] > [Logon Form] を選択します。

関連項目

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

フィールド リファレンス

 

表 32-26 [SSL VPN Customization] ダイアログボックス - [Logon] ページ

要素
説明

Title

ログイン ボックスのタイトルとして表示されるテキスト。

Message

ユーザ名フィールドとパスワード フィールドの上のログイン ボックスに表示されるメッセージ。最大 256 文字を入力できます。

Username Prompt

ユーザ名エントリ フィールドのプロンプトのテキスト。

Password Prompt

パスワード エントリ フィールドのプロンプトのテキスト。

Secondary Username Prompt

Secondary Password Prompt

2 つのログイン クレデンシャルが必要な場合の、2 番めのユーザ名とパスワードのプロンプト。接続プロファイル ポリシーがセカンダリ認証を必要とするように設定されている場合にだけ、セカンダリ認証をイネーブルにできます。

ユーザ名とパスワードのセカンダリ プロンプトは、これらを設定している場合にだけ表示されます。ユーザ名プロンプトを空白のままにすると、プライマリ ユーザ名が使用され、セカンダリ パスワードはプライマリ ユーザ名と関連付けられている必要があります。

Internal Password Prompt

内部パスワード エントリ フィールドのプロンプトのテキスト。

Show Internal Password First

内部パスワードのプロンプトをパスワード プロンプトの上に配置するかどうかを指定します。内部パスワードは、保護されている内部 Web サイトへのアクセスにクライアントレス SSL VPN を使用する場合に必要です。

Group Selector Prompt

[Group Selector] ドロップダウン リストのプロンプトのテキスト。

Button Text

ユーザが SSL VPN にログインするためにクリックするボタンの名前。

Border Color

ログイン ボックスの枠の色。[Select] をクリックして色を選択します。

Title Font Color

ログイン ボックス タイトルのフォントの色。[Select] をクリックして色を選択します。

Title Background Color

ログイン ボックスのタイトル部分の背景色。[Select] をクリックして色を選択します。

Font Color

ログイン フォームのフォントの色。[Select] をクリックして色を選択します。

Background Color

ログイン フォームの背景色。[Select] をクリックして色を選択します。

[SSL VPN Customization] ダイアログボックス - [Informational Panel]

[SSL VPN Customization] ダイアログボックスの [Informational Panel] ページを使用して、[Logon] ページの情報パネルの外観をカスタマイズします。情報パネルは、ユーザに追加情報を提供できる領域であり、オプションです。

ナビゲーション パス

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックスのコンテンツ テーブルで [Logon Page] > [Informational Panel] を選択します。

関連項目

「[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス」

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

フィールド リファレンス

 

表 32-27 [SSL VPN Customization] ダイアログボックス - [Informational Panel]

要素
説明

Display Informational Panel

情報パネルを表示するかどうかを指定します。デフォルトでは、情報パネルは表示されません。このオプションを選択した場合、このページの他のフィールドを使用してパネルを設定できます。

Panel Position

情報パネルの位置。[Logon] ボックスの左または右のいずれかです。

Text

情報パネルに表示されるテキスト。最大 256 文字を入力できます。

Logo Image

情報パネルに含めるロゴ イメージ(ある場合)を識別するファイル ポリシー オブジェクト。ファイル オブジェクトの名前を入力するか、[Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

ヒント イメージ ファイルとして、GIF、JPG、または PNG ファイルを使用できます。ファイルのサイズは最大 100 KB です。

ファイル オブジェクトの詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

Image Position

パネルでのロゴ イメージの位置。テキストの上または下のいずれかです。

[SSL VPN Customization] ダイアログボックス - [Copyright Panel]

[SSL VPN Customization] ダイアログボックスの [Copyright Panel] ページを使用して、[Logon] ページの [Copyright] パネルの外観をカスタマイズします。[Copyright] パネルは、著作権情報を提供し、ページの下に表示されるオプションのパネルです。

ナビゲーション パス

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックスのコンテンツ テーブルで [Logon Page] > [Copyright Panel] を選択します。

関連項目

「[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス」

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

フィールド リファレンス

 

表 32-28 [SSL VPN Customization] ダイアログボックス - [Copyright Panel]

要素
説明

Display Copyright Panel

[Copyright] パネルを表示するかどうかを指定します。デフォルトでは、情報パネルは表示されません。このオプションを選択した場合、このページの他のフィールドを使用してパネルを設定できます。

Text

著作権パネルに表示されるテキスト。最大 256 文字を入力できます。

[SSL VPN Customization] ダイアログボックス - [Full Customization]

[SSL VPN Customization] ダイアログボックスの [Full Customization] ページを使用して、独自のカスタム [Logon] ページを指定します。このダイアログボックスで使用可能な [Logon] ページ設定が、カスタム ページに置き換えられます。カスタム [Logon] ページの作成の詳細については、「ASA デバイスの独自 SSL VPN ログイン ページの作成」を参照してください。

ナビゲーション パス

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックスのコンテンツ テーブルで [Logon Page] > [Full Customization] を選択します。

関連項目

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

フィールド リファレンス

 

表 32-29 [SSL VPN Customization] ダイアログボックス - [Full Customization]

要素
説明

Enable Full Customization

独自のカスタム [Logon] ページを使用するかどうかを指定します。フル カスタマイズをイネーブルにすると、[Logon] ページのその他のすべての設定が無視されます。

Custom Page

カスタム [Logon] ページ。ファイルをここで指定する前に、Security Manager サーバにファイルをコピーする必要があります。[Browse] をクリックしてファイルを選択します。ファイルの選択の詳細については、「Security Manager でのファイルまたはディレクトリの選択または指定」を参照してください。

[SSL VPN Customization] ダイアログボックス - [Toolbar]

[SSL VPN Customization] ダイアログボックスの [Toolbar] ページを使用して、[Portal] ページのツールバーの外観をカスタマイズします。ツールバーは、[Portal] ページの本体の上に表示され、ユーザがブラウズする URL を入力できるフィールドがあります。このツールバーはオプションです。

ナビゲーション パス

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックスのコンテンツ テーブルで [Portal Page] > [Toolbar] を選択します。

関連項目

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

フィールド リファレンス

 

表 32-30 [SSL VPN Customization] ダイアログボックス - [Toolbar]

要素
説明

Display Toolbar

ツールバーを表示するかどうかを指定します。デフォルトでは、ツールバーは表示されません。このオプションを選択した場合、このページの他のフィールドを使用してツールバーを設定できます。

Prompt Box Title

ユーザがターゲット Web ページのプロトコルを選択し、URL を入力するフィールド用のプロンプトのテキスト。

Browse Button Text

ターゲット URL に移動するためにユーザがクリックするボタンの名前。

Logout Prompt

SSL VPN からのログアウト用のプロンプトのテキスト。

[SSL VPN Customization] ダイアログボックス - [Applications]

[SSL VPN Customization] ダイアログボックスの [Applications] ページを使用して、[Portal] ページに表示されるアプリケーション リンクをカスタマイズします。このページには、SSL VPN ポータル ページの左側のナビゲーション パネルに表示できるすべてのアプリケーション リンクが示されます。

ナビゲーション パス

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックスのコンテンツ テーブルで [Portal Page] > [Applications] を選択します。

関連項目

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

フィールド リファレンス

 

表 32-31 [SSL VPN Customization] ダイアログボックス - [Applications]

要素
説明

No.

[Move Up]/[Move Down] ボタン(テーブルの下)

テーブル内のアプリケーションの連続番号。アプリケーションの並び順を変更するには、アプリケーションを選択し、[Move Up]/[Move down] ボタンをクリックして、目的の位置に移動します。アプリケーションは、ここで示されている順序で [Portal] ページに表示されます。

Application

アプリケーションに関連付けられているグラフィック。

Title

アプリケーションの名前。標準のアプリケーションには、[Home]、[Web Applications]、[Browse Networks]、[Application Access]、および [AnyConnect Client] が含まれています。また、SSL VPN グローバル設定値の設定時に作成するブラウザ プラグインもリストされており、このページでの選択に使用することもできます。

タイトルをダブルクリックして編集可能な状態にして、この名前を変更できます。

Enable

アプリケーションを [Portal] ページに含めるかどうかを指定します。

Show Navigation Panel

[Portal] ページにナビゲーション パネルを表示するかどうかを指定します。このオプションを選択解除すると、[Portal] ページにアプリケーション リストが表示されなくなります。

[SSL VPN Customization] ダイアログボックス - [Custom Panes]

[SSL VPN Customization] ダイアログボックスの [Custom Panes] ページを使用して、[Portal] ページ本体の外観をカスタマイズします。カスタム ペインを作成し、カラム レイアウトを指定して、エンド ユーザへのポータル情報の効率的な表示に役立つ情報グリッドを作成できます。

ナビゲーション パス

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックスのコンテンツ テーブルで [Portal Page] > [Custom Panes] を選択します。

関連項目

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

フィールド リファレンス

 

表 32-32 [SSL VPN Customization] ダイアログボックス - [Custom Panes]

要素
説明

[Columns] テーブル

[Portal] ページの本体が分割されるカラムのリスト。ページ幅のパーセンテージに基づいてカラムを定義します。パーセンテージは、100 まで追加できます。100 まで追加しない場合、デバイスによってカラム幅が調整されます。

[Portal] ページに表示する、左から右のカラムを作成します。

カラムを追加するには、テーブルの下にある [Add Row] ボタンをクリックします。

カラムを編集するには、カラムを選択して [Edit Row] ボタンをクリックします。

カラムを削除するには、カラムを選択して [Delete Row] ボタンをクリックします。

[Custom Panes] テーブル

[Portal] ページの本体に表示されるカスタム ペイン。このテーブルには、ペインの表示がイネーブルであるかどうか、ペインのタイプ、その特性、およびページ上でペインが表示されるカラムおよび行が示されます。これらのペインには、プレーン テキストを表示するか、または HTML の URL、イメージ、または RSS リンクを含めることができます。

設定の詳細については、「[Add Custom Pane]/[Edit Custom Pane] ダイアログボックス」を参照してください。

カスタム ペインを追加するには、テーブルの下にある [Add Row] ボタンをクリックします。

カスタム ペインを編集するには、カスタム ペインを選択して [Edit Row] ボタンをクリックします。

カスタム ペインを削除するには、カスタム ペインを選択して [Delete Row] ボタンをクリックします。

[Add Column]/[Edit Column] ダイアログボックス

[Add Column]/[Edit Column] ダイアログボックスを使用して、ブラウザベースのクライアントレス SSL VPN の [Portal] ページ本体のカラムを作成または編集します。合計領域のパーセンテージとして、目的のカラム幅を [Percentage] フィールドに入力します。

ナビゲーション パス

[SSL VPN Customization] ダイアログボックス - [Custom Panes]ページで、[Column] テーブルの [Add Row] ボタンをクリックするか、またはカラムを選択してから [Edit Row] ボタンをクリックします。

[Add Custom Pane]/[Edit Custom Pane] ダイアログボックス

[Add Custom Pane]/[Edit Custom Pane] ダイアログボックスを使用して、ブラウザベースのクライアントレス SSL VPN の本体または [Portal] ページに表示されるペインを作成または編集します。

ナビゲーション パス

[SSL VPN Customization] ダイアログボックス - [Custom Panes]ページで、[Custom Pane] テーブルの [Add Row] ボタンをクリックするか、またはペインを選択してから [Edit Row] ボタンをクリックします。

フィールド リファレンス

 

表 32-33 [Add Custom Pane]/[Edit Custom Pane] ダイアログボックス

要素
説明

Enable

[Portal] ページ上にカスタム ペインを表示するかどうかを指定します。

Type

ペインに表示するコンテンツのタイプ。次のいずれかになります。

[Text]:プレーン テキスト。HTML マーク アップを含めることができます。

[HTML]:URL で提供される HTML コンテンツ。

[Image]:URL で提供されるイメージ。

[RSS]:URL で提供される RSS フィード。

Show Title

Title

タイトルをペインに表示するかどうかを指定します。このオプションを選択した場合は、タイトルを [Title] フィールドに入力します。

Show Border

ペインを囲む枠を表示するかどうかを指定します。

Column

Row

ペインで表示するカラムおよび行の番号。それぞれの番号を選択または入力して、目的のグリッド位置を指定します。

Height

ペインの高さ(ピクセル単位)。

URL

(HTML、イメージ、および RSS コンテンツのみ)

ペインに表示するコンテンツをホスティングする URL。

Text

(テキスト コンテンツのみ)

ペインに表示するテキスト。HTML マーク アップをテキストに含めることができます。

[SSL VPN Customization] ダイアログボックス - [Home Page]

[SSL VPN Customization] ダイアログボックスの [Home Page] ページを使用して、[Portal] ページ上の URL とファイル リストの外観、および [Portal] ページ本体のコンテンツをカスタマイズします。URL リストは、明示的にディセーブルにしている場合を除き、ポータル ホーム ページのデフォルト要素と見なされます。

ナビゲーション パス

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックスのコンテンツ テーブルで [Portal Page] > [Home Page] を選択します。

関連項目

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

フィールド リファレンス

 

表 32-34 [SSL VPN Customization] ダイアログボックス - [Home Page]

要素
説明

Enable Custom Intranet Web Page

カスタム イントラネット Web ページを表示するかどうか(表示すると、URL ブックマークも [Portal] ページに表示されます)を指定します。このオプションを選択した場合、このページの他のフィールドを使用してパネルを設定できます。

URL List Mode

URL リストをホーム ページに表示する方法。URL リストを表示する場合、カスタム ペイン([Portal Page] > [Custom Panes] で設定)が使用していないカラム セルに表示されます。次のオプションがあります。

[Group By Application]:ブックマークはアプリケーション タイプ別にグループ化されます。たとえば、Web ブックマーク、ファイル ブックマークです。

[No Group]:URL リストは、別のペインとして表示されます。

[Do Not Display]:URL リストは表示されません。

Custom Intranet Web Page URL

ホーム ページとしてロードするカスタム Web ページの URL。このページは、[Portal] ページ本体に表示されます。

カスタム ページを指定すると、[Custom Panes] ページの設定は無視され、ブックマーク リストが、[Portal] ページの左側のナビゲーション パネルからアクセスするアプリケーション ページ上に表示されます。

[SSL VPN Customization] ダイアログボックス - [Logout Page]

[SSL VPN Customization] ダイアログボックスの [Logout Page] ページを使用して、ブラウザベースのクライアントレス SSL VPN の [Logout] ページの外観をカスタマイズします。この [Logout] ページは、ユーザが VPN からログアウトしたあとに表示されます。

ナビゲーション パス

[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックスのコンテンツ テーブルで [Logout Page] を選択します。

関連項目

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

フィールド リファレンス

 

表 32-35 [SSL VPN Customization] ダイアログボックス - [Logout Page]

要素
説明

Title

タイトル パネルに表示するテキスト。

Text

[Logout] ページに表示するメッセージ。[Preview] をクリックして、デフォルトのログアウト メッセージを確認します。最大 256 文字を入力できます。

Show Login Button

Login Button Text

[Login] ボタンをページに表示するかどうかを指定します。このボタンを表示すると、ユーザは簡単にポータルにログインし直すことができます。

このボタンをイネーブルにすると、[Login Button Text] フィールドでボタンの名前を指定できます。

Border Color

ログアウト ボックスを囲む枠の色。[Select] をクリックして色を選択します。

Title Font Color

Title Background Color

ページのタイトル領域のフォントおよび背景の色。[Select] をクリックして色を選択します。

Font Color

Background Color

ログアウト ボックスに表示されるメッセージのフォントおよび背景の色。[Select] をクリックして色を選択します。

[Add SSL VPN Gateway]/[Edit SSL VPN Gateway] ダイアログボックス

[Add SSL VPN Gateway]/[Edit SSL VPN Gateway] ダイアログボックスを使用して、SSL VPN ゲートウェイ オブジェクトを作成、コピー、および編集します。これらのオブジェクトは、IOS デバイスで SSL VPN 接続を設定するときに使用します。詳細については、「SSL VPN Configuration ウィザード:[Gateway and Context] ページ(IOS)」を参照してください。

SSL VPN ゲートウェイは、リモート デバイス上の Web 対応ブラウザとの間の SSL 暗号化接続を介してアクセスされる、保護されたリソースへの接続のプロキシとして機能します。SSL VPN ごとに 1 つのゲートウェイだけを設定できます。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [SSL VPN Gateway] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

関連項目

「SSL VPN Configuration ウィザード:[Gateway and Context] ページ(IOS)」

「[General] タブ」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 32-36 [Add SSL VPN Gateway]/[Edit SSL VPN Gateway] ダイアログボックス

要素
説明

Name

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

Description

(任意)最大 1024 文字のオブジェクトの説明。

IP Address

ゲートウェイの IP アドレス。リモート ユーザが接続するアドレスです。

[Use Static IP Address]:使用するアドレスを指定します。このアドレスは、ルータのインターフェイスでも設定する必要があります。

[Obtained from Interface]:デバイス上の単一インターフェイスに解決されるインターフェイス ロールを指定します。インターフェイスに設定されている IP アドレスが使用されます。このオプションを使用すると、明示的に IP アドレスを入力しなくても、接続に使用する外部インターフェイスを指定できます。インターフェイス上のアドレスを変更する必要がある場合でも、このオブジェクトを再設定する必要はありません。

Port

HTTPS トラフィックを伝送するポートの番号。単一のポート番号を指定するポート リスト オブジェクトの名前を入力するか、または [Select] をクリックしてリストからオブジェクトを選択することもできます。デフォルトは HTTPS オブジェクトであり、ポート 443 が指定されます。ポート 443 を使用しない場合、1025 ~ 65535 の範囲の別のポート番号を入力できます。

Trustpoint

セキュアな接続を確立するために必要なデジタル証明書。SSL VPN ゲートウェイがアクティブな場合は、自己署名証明書が生成されます。

Enable Gateway

SSL VPN ゲートウェイをアクティブにするかどうかを指定します。

Specify SSL Encryption Algorithms

接続に使用する暗号化アルゴリズムを制限するかどうか、または別の使用順を指定するかどうかを指定します。デフォルトでは、すべてのアルゴリズムを、3DES と SHA1、AES と SHA1、RC4 と MD5 の順で使用可能にします。

アルゴリズム優先順位を選択します。1 つまたは 2 つのアルゴリズムを削除するには、[None] を選択します。

Redirect HTTP Traffic

HTTP Port

ゲートウェイが、セキュア HTTP(HTTPS)経由で HTTP トラフィックをリダイレクトするかどうかを指定します。このポートに着信するトラフィックは、[Port] フィールドで指定したポートにリダイレクトされます。

HTTP トラフィックのポート番号を [HTTP Port] フィールドに入力します。ポート リスト オブジェクトの番号または名前を入力するか、[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成できます。

通常、HTTP ポートは 80 です。ただし、ネットワークで使用されているその他の任意の番号(1025 ~ 65535)を入力できます。

Hostname

ゲートウェイのホスト名。

[Do Not Specify]:ホスト名は割り当てられません。ゲートウェイの IP アドレスが使用されます。

[Use the host and domain names of the device]:これらの名前は、[Platform] > [Device Admin] > [Hostname] ポリシーで定義されています。

[Use the Object]:ホスト名は、テキスト ポリシー オブジェクトで定義されている値です。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Allow Value Override per Device

Overrides

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[Add Smart Tunnel List]/[Edit Smart Tunnel List] ダイアログボックス

[Add Smart Tunnel Lists]/[Edit Smart Tunnel Lists] ダイアログボックスを使用して、SSL VPN スマート トンネル オブジェクトを作成、コピー、および編集します。

SSL VPN スマート トンネル リストには、プライベート サイトへのスマート トンネル アクセスに適格なアプリケーションが示されます。スマート トンネル リストを使用して、ユーザが SSL VPN ポータル経由で指定のアプリケーションにアクセスできるように、ASA グループ ポリシーのクライアントレス設定値を設定できます。スマート トンネル アクセスをサポートするアプリケーションのタイプについては、「ASA デバイスの SSL VPN スマート トンネルの設定」を参照してください。

その他の SSL VPN スマート トンネル リスト オブジェクトをオブジェクトに含めることができます。このため、アプリケーションの基本的なリストを指定する小さなオブジェクト セットを作成してから、必要なアプリケーションの組み合わせを作成するその他のオブジェクトを作成できます。たとえば、アプリケーション A と B へのスマート トンネル アクセスを 3 つの ASA グループ ポリシーすべてに対して許可し、その他のアプリケーションはグループごとに一意にする場合があります。A と B を指定する単一オブジェクトを作成して、そのオブジェクトをグループ ポリシーの各 SSL VPN スマート トンネル リスト オブジェクトに含めることができます。これらのオブジェクトで必要となるのは、それぞれの一意のアプリケーションをアプリケーション テーブルで指定することだけです。

ナビゲーション パス

[Manage]> [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [SSL VPN Smart Tunnel Lists] を選択します。作業領域内を右クリックして [New Object] を選択するか、行を右クリックして [Edit Object] を選択します。

関連項目

「ASA グループ ポリシーの SSL VPN クライアントレス設定」

「ASA デバイスの SSL VPN スマート トンネルの設定」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 32-37 [Add Smart Tunnel Lists]/[Edit Smart Tunnel Lists] ダイアログボックス

要素
説明

Name

最大 64 文字のオブジェクト名。スペースは使用できません。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

Description

(任意)オブジェクトの説明。

[Smart Tunnel Entries] テーブル

アプリケーションの名前、クライアント ワークステーションでのアプリケーションの位置など、ユーザが SSL VPN 経由でスマート トンネル アクセスを実行できるアプリケーション。

アプリケーションを追加するには、[Add Row] ボタンをクリックして、「[Add A Smart Tunnel Entry]/[Edit A Smart Tunnel Entry] ダイアログボックス」を開きます。

アプリケーションを編集するには、アプリケーションを選択し、[Edit Row] ボタンをクリックします。

アプリケーションを削除するには、アプリケーションを選択し、[Delete Row] ボタンをクリックします。

Include Smart Tunnel Lists

このオブジェクトに含めるその他の SSL VPN スマート トンネル リスト オブジェクト(ある場合)。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。複数のエントリを指定する場合は、カンマで区切ります。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Allow Value Override per Device

Overrides

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[Add A Smart Tunnel Entry]/[Edit A Smart Tunnel Entry] ダイアログボックス

[Add A Smart Tunnel Entry]/[Edit A Smart Tunnel Entry] ダイアログボックスを使用して、新しいスマート トンネル エントリを作成するか、または [SSL VPN Smart Tunnel Lists] ダイアログボックスにあるテーブルの既存のエントリを編集します。

ナビゲーション パス

「[Add Smart Tunnel List]/[Edit Smart Tunnel List] ダイアログボックス」で、[Smart Tunnel Entries] テーブルの下にある [Add Row] ボタンをクリックするか、またはエントリを選択して [Edit Row] ボタンをクリックします。

関連項目

「ASA デバイスの SSL VPN スマート トンネルの設定」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 32-38 [Add Smart Tunnel Entry]/[Edit Smart Tunnel Entry] ダイアログボックス

要素
説明

App Name

スマート トンネル アクセスを許可するアプリケーションの名前。名前には最大 64 文字を使用できます。スマート トンネル アクセスを複数のバージョンに許可する場合は、アプリケーションのバージョン番号を含めることを検討します。

App Path

アプリケーションのファイル名、およびオプションのパス。このエントリには最大 128 文字を使用できます。次のいずれかを使用します。

[Filename]:たとえば、 outlook.exe 。指定するのはファイル名だけです。ユーザがアプリケーションをインストールしたワークステーション上の場所を指定する必要はありません。ただし、このファイル名は完全に一致する必要があります。

[Full path and filename]:たとえば、 C:¥Program Files¥Microsoft Office¥OFFICE11¥OUTLOOK.EXE 。これにより、アプリケーションが指定のディレクトリにインストールされている場合にかぎり、アプリケーションのスマート トンネル アクセスが許可されます。これを、組織標準を適用するために使用できます。

ヒント

フル パスを指定しており、一定期間動作していたスマート トンネル アプリケーションが動作しなくなった場合は、製品アップグレードによってインストール パスが変更された可能性があります。新しいパスで構成された新しいエントリを追加します。

コマンドラインから起動されるアプリケーションへのスマート トンネル アクセスを許可する場合は、 cmd.exe (Windows コマンドライン)用に 1 つのエントリを作成し、アプリケーション用に別のエントリを作成します。

Hash Value

(任意)アプリケーションのハッシュ値。ハッシュ値を指定することによって、ユーザが、サポートされているファイル名を使用するために別のアプリケーション名を変更し、サポートされていない、望ましくないアプリケーションをスマート トンネル経由で起動することを確実に阻止できます。

ハッシュ値を取得するには、アプリケーションのチェックサム(実行可能ファイルのチェックサム)を、SHA-1 アルゴリズムを使用してハッシュを計算するユーティリティに入力します。このようなユーティリティの 1 つに、Microsoft File Checksum Integrity Verifier(FCIV; ファイル チェックサム整合性検証)があります。 http://support.microsoft.com/kb/841290/ で入手できます。ハッシュ対象のアプリケーションの一時コピーを、スペースを含まないパス(c:¥temp など)に配置し、 fciv.exe -sha1 アプリケーションをコマンドラインに入力して( fciv.exe -sha1 c:¥msimn.exe など)、SHA-1 ハッシュを表示します。値をコピーしてこのフィールドに貼り付けます。

SHA-1 ハッシュは、常に 16 進数 40 文字です。アプリケーションのスマート トンネル アクセスを認可する前に、クライアントレス SSL VPN は、[App Name] に一致するアプリケーションのハッシュを計算します。結果がハッシュ値と一致すると、アプリケーションのスマート トンネル アクセスが認定されます。

チェックサムはアプリケーションのバージョンやパッチごとに異なるため、入力したハッシュは、リモート ホスト上の 1 つのバージョンまたはパッチとだけ一致します。アプリケーションの複数のバージョンのハッシュを指定する場合は、各ハッシュ値に一意のスマート トンネル エントリを作成します。

ヒント ハッシュ値はメンテナンスする必要があります。ハッシュ値を指定しているアプリケーションの今後のバージョンまたはパッチをサポートする場合は、スマート トンネル リストを更新する必要があります。スマート トンネル アクセスで突然問題が発生した場合は、ハッシュ値が含まれたアプリケーション リストが、アプリケーションのアップグレードに関して最新でない可能性があります。この問題は hash を入力しないことによって回避できます。

[Add Smart Tunnel Auto Signon List]/[Edit Smart Tunnel Auto Signon List] ダイアログボックス

[Add Smart Tunnel Auto Signon Lists]/[Edit Smart Tunnel Auto Signon Lists] ダイアログボックスを使用して、SSL VPN スマート トンネル自動サインオン オブジェクトを作成、コピー、および編集します。

スマート トンネル自動サインオンは、クライアントレス SSL VPN ユーザに対するシングル サインオン方式です。この方式では、ログイン クレデンシャル(ユーザ名とパスワード)を NTLM 認証と HTTP Basic 認証のいずれか一方または両方を使用する認証用の内部サーバに渡します。スマート トンネル自動サインオンは、ソフトウェア バージョン 7.1(1) 以降を実行している ASA 5500 デバイスでサポートされています。

SSL VPN スマート トンネル自動サインオン リスト オブジェクトでは、スマート トンネルの設定時にログイン クレデンシャルの送信を自動化するサーバを指定します。ユーザがサーバにスマート トンネル接続を確立する際にユーザ クレデンシャルを再発行する場合は、ASA グループ ポリシーのクライアントレス設定値にスマート トンネル自動サインオン リストを設定できます。スマート トンネル アクセスをサポートするアプリケーションのタイプについては、「ASA デバイスの SSL VPN スマート トンネルの設定」を参照してください。

その他の SSL VPN スマート トンネル自動サインオン リスト オブジェクトをオブジェクトに含めることができます。このため、サーバの基本的なリストを指定するオブジェクト セットを作成し、これらのオブジェクトをサーバのリスト上に展開する別のオブジェクトに含めることができます。

ナビゲーション パス

[Manage]> [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [SSL VPN Smart Tunnel Auto Signon Lists] を選択します。作業領域内を右クリックして [New Object] を選択するか、行を右クリックして [Edit Object] を選択します。

関連項目

「ASA グループ ポリシーの SSL VPN クライアントレス設定」

「ASA デバイスの SSL VPN スマート トンネルの設定」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 32-39 [Add Smart Tunnel Lists]/[Edit Smart Tunnel Lists] ダイアログボックス

要素
説明

Name

最大 64 文字のオブジェクト名。スペースは使用できません。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

Description

(任意)オブジェクトの説明。

[Smart Tunnel Auto Signon Entries] テーブル

スマート トンネルの設定時にログイン クレデンシャルの送信を自動化するサーバ。

サーバを追加するには、[Add Row] ボタンをクリックして、「[Add Smart Tunnel Auto Signon Entry]/[Edit Smart Tunnel Auto Signon Entry] ダイアログボックス」を開きます。

エントリを編集するには、エントリを選択し、[Edit Row] ボタンをクリックします。

エントリを削除するには、エントリを選択し、[Delete Row] ボタンをクリックします。

Include Other Lists

このオブジェクトに含めるその他のスマート トンネル自動サインオン リスト オブジェクト(ある場合)。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。複数のエントリを指定する場合は、カンマで区切ります。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Allow Value Override per Device

Overrides

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[Add Smart Tunnel Auto Signon Entry]/[Edit Smart Tunnel Auto Signon Entry] ダイアログボックス

[Add Smart Tunnel Auto Signon Entry]/[Edit Smart Tunnel Auto Signon Entry] ダイアログボックスを使用して、新しいスマート トンネル エントリを作成するか、または [SSL VPN Smart Tunnel Auto Signon List] ダイアログボックスにあるテーブルの既存のエントリを編集します。

ナビゲーション パス

「[Add Smart Tunnel Auto Signon List]/[Edit Smart Tunnel Auto Signon List] ダイアログボックス」で、[Smart Tunnel Auto Signon Entries] テーブルの下にある [Add Row] ボタンをクリックするか、またはエントリを選択して [Edit Row] ボタンをクリックします。

関連項目

「ASA デバイスの SSL VPN スマート トンネルの設定」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 32-40 [Add Smart Tunnel Auto Signon Entry]/[Edit Smart Tunnel Auto Signon Entry] ダイアログボックス

要素
説明

Matching Mode:

Host

IP Address

スマート トンネルの設定時にログイン クレデンシャルの送信を自動化するサーバを指定します。[Host] を使用して、サーバをホスト名またはワイルドカード マスクで指定します。また、[IP Address] を使用して、サーバを IP アドレスおよびネットマスクで指定します。

[Host]:[Host] を選択して、スマート トンネルの設定時にログイン クレデンシャルの送信を自動化するホストを識別するホスト名またはワイルドカード マスクを [Hostname Mask] フィールドに入力します。

(注) このオプションを使用すると、IP アドレスのダイナミックな変更からコンフィギュレーションを保護します。

[IP Address]:[IP Address] を選択して、スマート トンネルの設定時にログイン クレデンシャルの送信を自動化するホストの IP アドレスおよびネットマスク、またはサブネットワークを入力します。

(注) Firefox では、管理者が正確なホスト名または IP アドレスを使用してホストを指定する必要があります(ワイルドカードを使用したホスト マスク、IP アドレスを使用したサブネット、およびネットマスクは使用できません)。たとえば、Firefox では、*.cisco.com を入力したり、email.cisco.com をホストする自動サインオンを期待したりすることはできません。

Port Number

自動サインオンを実行するポート。Firefox では、ポート番号が指定されていない場合、自動サインオンはデフォルトのポート番号 80 および 443 でそれぞれアクセスされた HTTP および HTTPS に対して実行されます。

Authentication Realm

認証のレルム。[Authentication Realm] は Web サイトの保護領域に関連付けられ、認証時に認証プロンプトまたは HTTP ヘッダーのいずれかでブラウザに再度渡されます。自動サインオンが設定され、レルムの文字列が指定されたら、ユーザはレルムの文字列を Web アプリケーション(Outlook Web Access など)で設定し、Web アプリケーションにサインオンすることなくアクセスできます。

Use Domain

このオプションを選択して、認証で Windows ドメインが必要な場合に、ユーザ名に Windows ドメインを追加します。このオプションを使用する場合は、スマート トンネル リストを 1 つ以上のグループ ポリシーに割り当てるときにドメイン名を指定してください。

[Add User Group]/[Edit User Group] ダイアログボックス

[Add User Group]/[Edit User Group] ダイアログボックスを使用して、ユーザ グループ オブジェクトを作成または編集します。ユーザ グループ オブジェクトは、IOS デバイスの Easy VPN トポロジ、リモート アクセス VPN、および SSL VPN で使用されます。

リモート アクセス VPN、SSL VPN、または Easy VPN サーバを設定する場合、リモート クライアントが属するユーザ グループを作成できます。リモート クライアントは、サーバに接続するために、VPN サーバ上のユーザ グループと同じグループ名を使用して設定されている必要があります。そうでない場合、接続は確立されません。リモート クライアントが VPN サーバに正常に接続されると、特定のユーザ グループのグループ ポリシーが、そのユーザ グループに属しているすべてのリモート クライアントにプッシュされます。

ユーザ グループの詳細については、次を参照してください。

「ユーザ グループ ポリシーの設定」

「Easy VPN における User Group ポリシーの設定」

「SSL VPN ポリシーの設定(IOS)」


) ユーザ グループ オブジェクトを作成するテクノロジー(Easy VPN/リモート アクセス VPN、または SSL VPN)を選択する必要があります。既存のユーザ グループ オブジェクトを編集する場合、テクノロジーはすでに選択されており、変更できません。選択したテクノロジーに応じて、構成に適切な設定を使用できます。


ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [User Groups] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。


ヒント このダイアログボックスには、[Remote Access VPN] > [IPSec VPN] > [User Groups]/[Remote Access VPN] > [SSL VPN] ポリシーからアクセスすることもできます。

関連項目

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 32-41 [User Group] ダイアログボックス

要素
説明

Name

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

Description

(任意)オブジェクトの説明。

[Settings] ペイン

ダイアログボックスの本体は左右に分割されたペインであり、左側にはコンテンツ テーブル、右側にはコンテンツ テーブルで選択された項目に関連する設定が表示されます。

まずテクノロジー設定を指定する必要があります。次に、左側のコンテンツ テーブルから項目を選択し、必要なオプションを設定できます。[Technology] ページの選択内容によって、これらのページとコンテンツ テーブルで使用できるオプションが制御されます。

コンテンツ テーブルの上部にあるフォルダは、次に説明する設定可能な VPN テクノロジーまたはその他の設定を表します。

Technology settings

これらの設定によって、グループ ポリシーで定義できる内容が制御されます。

[Group Name]:最大 128 文字のユーザ グループの名前。 適切なグループ属性が確実にダウンロードされるように、リモート クライアントまたはデバイス内で同じユーザ グループ名を設定します。

[Technology]:このオブジェクトでグループ ポリシーを定義する VPN のタイプ。このオプションは、オブジェクトを編集しているとき、または VPN ポリシーの編集中にユーザ グループ オブジェクトを作成するとき、変更できません。Easy VPN/リモート アクセス IPSec VPN と SSL VPN のいずれかの設定値を設定できますが、両方は設定できません。

[Easy VPN/Remote Access IPSec VPN] ページ

[Easy VPN/Remote Access IPSec VPN] をテクノロジーとして選択した場合、次のページで設定値を設定できます。

「[User Group] ダイアログボックス - 一般設定」

「[User Group] ダイアログボックス - DNS/WINS 設定」

「[User Group] ダイアログボックス - スプリット トンネリング」

「[User Group] ダイアログボックス - IOS クライアント設定」

「[User Group] ダイアログボックス - IOS Xauth オプション」

「[User Group] ダイアログボックス - IOS クライアント VPN ソフトウェア更新」

「[User Group] ダイアログボックス - PIX の詳細オプション」

[SSL VPN] ページ

[SSL VPN] をテクノロジーとして選択した場合、次のページで設定値を設定できます。

「[User Group] ダイアログボックス - クライアントレス設定」

「[User Group] ダイアログボックス - シン クライアント設定」

「[User Group] ダイアログボックス - SSL VPN フル トンネル設定」

「[User Group] ダイアログボックス - DNS/WINS 設定」

「[User Group] ダイアログボックス - SSL VPN スプリット トンネリング」

「[User Group] ダイアログボックス - ブラウザ プロキシ設定」

「[User Group] ダイアログボックス - SSL VPN 接続設定」

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[User Group] ダイアログボックス - 一般設定

ユーザ グループに設定する一般設定には、認証方式、IP アドレス プール情報、および PIX 6.3 ファイアウォールの接続属性があります。


) これらの設定は、Easy VPN およびリモート アクセス IPSec VPN の設定に適用されます。


ナビゲーション パス

「[Add User Group]/[Edit User Group] ダイアログボックス」のコンテンツ テーブルから [General] を選択します。

フィールド リファレンス

 

表 32-42 [User Group] ダイアログボックス - 一般設定

要素
説明

Preshared Key

このユーザ グループに関連付けられているクライアントの認証に使用される事前共有キー。

(注) グループ認証にデジタル証明書を使用している場合は、事前共有キーを入力する必要はありません。

通常の IPsec VPN では、事前共有キーによって、1 つ以上のピアが個別の共有秘密キーを使用して、暗号化されたトンネルを認証できます。事前共有キーは、各参加ピア上で設定する必要があります。参加ピアの 1 つに同じ事前共有キーが設定されていない場合は、IKE SA を確立できません。

Easy VPN 認証では、サーバ/クライアント キーを確実に一致させるために、同じ Easy VPN サーバ キーがスポーク設定に使用されます。

リモート アクセス IPSec VPN 認証では、リモート アクセス VPN サーバとリモート クライアントとの間で VPN 接続をネゴシエートするために、同じキーが使用されます。

IP Address Pool Subnet/Ranges

内部 IP アドレスをクライアントに割り当てるために使用される、ローカル プールの IP アドレス範囲。リモート クライアントは、このプールから割り当てられた IP アドレスです。複数のエントリを指定する場合は、カンマで区切ります。デフォルトは、172.16.0.1 ~ 172.16.4.254 です。

Backup Servers IP Address

Easy VPN またはリモート アクセス IPSec VPN サーバのバックアップとして使用されるサーバの IP アドレス。ルータは、Easy VPN またはリモート アクセス VPN サーバへのプライマリ接続が失敗した場合に、これらのサーバへの接続を試行します。複数のエントリを指定する場合は、カンマで区切ります。

PIX Only Attributes

次の属性は、PIX 6.3 デバイスだけに適用されます。

[Idle Time]:VPN 接続のタイムアウト時間(秒数)。 通信がこの接続でこの時間中に発生しなかった場合、デバイスはこの接続を終了します。最小は 60 秒で、最大時間は 35791394 分です。デフォルトは 30 分です。

[Max Time]:VPN 接続の最大時間(秒数)。この時間が終了すると、デバイスによって接続が終了されます。最小は 60 秒で、最大は 35791394 分です。デフォルト設定はありません。

[User Group] ダイアログボックス - DNS/WINS 設定

このユーザ グループに関連付けられているクライアントにプッシュする DNS サーバと WINS サーバおよびドメイン名を定義するように、ユーザ グループの DNS/WINS 設定値を設定します。


) ユーザ グループに設定した DNS/WINS 設定値は、Easy VPN、リモート アクセス VPN、および SSL VPN の設定に適用されます。


ナビゲーション パス

「[Add User Group]/[Edit User Group] ダイアログボックス」のコンテンツ テーブルから [DNS/WINS] を選択します。

フィールド リファレンス

 

表 32-43 [User Group] ダイアログボックス - DNS/WINS 設定

要素
説明

Primary DNS Server

グループのプライマリ DNS サーバの IP アドレス。ネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力するか [Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

Secondary DNS Server

グループのセカンダリ DNS サーバの IP アドレス。ネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力するか [Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

Domain Name

ユーザ グループで設定する DNS サーバのドメイン名。

Primary WINS Server

グループのプライマリ WINS サーバの IP アドレス。ネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力するか [Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

Secondary WINS Server

グループのプライマリ WINS サーバの IP アドレス。ネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力するか [Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

[User Group] ダイアログボックス - スプリット トンネリング

スプリット トンネリングを使用すると、リモート クライアントは、条件に応じて、パケットを IPsec または SSL VPN トンネルを介して暗号化された形式で送信したり、クリア テキスト形式でネットワーク インターフェイスに送信したりできます。スプリット トンネリングがイネーブルになっている場合、宛先がトンネルの反対側でないパケットは、暗号化、トンネルを介した送信、復号化、および最終的な宛先へのルーティングが必要ありません。

スプリット トンネリング ポリシーは、特定のネットワークに適用されます。スプリット トンネリングを設定する場合、保護されたトラフィックと保護されていないトラフィックの両方を同じインターフェイスで送信できます。中央サイトへの安全なトンネルが確立されるように、保護されたトラフィックおよびそのトラフィックの宛先を指定する必要がある一方で、クリア(保護されていない)トラフィックはパブリック ネットワーク経由で送信されます。


ヒント 最大限のセキュリティを確保するには、スプリット トンネリングをイネーブルにしないことをお勧めします。


) スプリット トンネリングは、Easy VPN、リモートアクセス VPN、および SSL VPN の設定で適用できます。SSL VPN のスプリット トンネリングの設定については、「[User Group] ダイアログボックス - SSL VPN スプリット トンネリング」を参照してください。


ナビゲーション パス

Easy VPN/リモート アクセス IPSec VPN を設定する場合は、「[Add User Group]/[Edit User Group] ダイアログボックス」のコンテンツ テーブルから [Split Tunneling] を選択します。

フィールド リファレンス

 

表 32-44 [User Group] ダイアログボックス - [Split Tunneling]

要素
説明

Split Tunneling

トラフィックをトンネル化するネットワーク。その他すべてのアドレスへのトラフィックは、暗号化されずに送信され、リモート ユーザのインターネット サービス プロバイダーによってルーティングされます。次のいずれかのオプションを使用して、ネットワークを指定できます。

[Protected Networks]:ネットワーク アドレス別にネットワークを指定します。アドレスまたはネットワーク/ホスト オブジェクトを入力するか、[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。アドレスの指定については、「ポリシー定義中の IP アドレスの指定」を参照してください。

[ACL]:拡張アクセス コントロール リスト ポリシー オブジェクトを使用して、ネットワークを指定します。オブジェクトの名前を入力するか、[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

Split DNS

トンネル化される、つまりプライベート ネットワークに解決される必要があるドメイン名のリスト。他のすべての名前は、パブリック DNS サーバを介して解決されます。

複数のドメイン名をカンマで区切って入力できます。

[User Group] ダイアログボックス - IOS クライアント設定

VPN クライアントのファイアウォール設定など、Cisco IOS 固有のユーザ グループ オプションを定義するように、IOS クライアント設定値を設定します。


) これらの設定は、Easy VPN およびリモート アクセス IPSec VPN の設定に適用されます。


ナビゲーション パス

「[Add User Group]/[Edit User Group] ダイアログボックス」のコンテンツ テーブルから [Client Settings (IOS)] を選択します。

フィールド リファレンス

 

表 32-45 [User Group] ダイアログボックス - [Client Settings (IOS)]

要素
説明

Enable Firewall Are-You-There

(7600 シリーズまたは ASR ルータでは使用できません)

この機能は、VPN クライアントが Black Ice または Zone Alarm パーソナル ファイアウォールを実行している場合に使用できます。

選択した場合、パーソナル ファイアウォールが、接続時および接続中、確実に実行されるようになります。サーバによって要求された場合、Firewall-Are-U-There 属性が Black Ice および Zone Alarm パーソナル ファイアウォールによって送信されます。パーソナル ファイアウォールが動作を停止した場合、接続は終了されます。この機能がイネーブルになっており、かつサーバ上でパーソナル ファイアウォールが稼動していない場合、接続は確立されません。

Mode

サーバ上の Central Policy Push(CPP)ファイアウォール ポリシーに従い、ローカル AAA サーバで必須のファイアウォールがリモート デバイスに備えられているかどうかに基づき、トンネルを許可または拒否します。

[Mode] オプションを使用して、Central Policy Push(CPP)ポリシーが任意であるか必須であるかを次のように指定します。

[Optional]:CPP ポリシーが任意であるとして定義され、Easy VPN サーバ設定に含まれている場合、トンネルのセットアップは、定義されたポリシーをクライアントが確認しなくても続行されます。

[Required]:CPP ポリシーが必須であるとして定義され、Easy VPN サーバ設定に含まれている場合、トンネルのセットアップは、クライアントがこのポリシーを確認した場合にだけ許可されます。それ以外の場合、トンネルは終了されます。

Firewall Type

必須または任意にするファイアウォールのタイプ。このリストには、Cisco および Zone Labs のソフトウェアなど、サポートされているすべてのファイアウォール ソフトウェアが示されます。

Policy Type

CPP ファイアウォール ポリシー タイプを指定します。

[Check Presence]:指定したファイアウォール タイプの存在をチェックするようサーバに指示します。

[Central Policy Push]:指定したクライアント ファイアウォール タイプによって適用される必要がある、入力アクセス リストおよび出力アクセス リストなどの実際のポリシー。次のことを指定します。

使用するアクセス コントロール リスト。拡張 ACL オブジェクトの名前を入力するか、[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

アクセス コントロール リストの方向:着信および発信

Include Local LAN

非スプリット トンネリング接続が、クライアントと同時にローカル LAN にアクセスすることを許可するかどうかを指定します。

Perfect Forward Secrecy

Perfect Forward Secrecy(PFS; 完全転送秘密)をイネーブルにするかどうかを指定します。PFS がイネーブルな場合、サーバは、PFS が IPsec SA に必要であるかどうかを中央サイト ポリシーのクライアントに通知するように設定されています。PFS に提示された Diffie-Hellman(D-H; デフィーヘルマン)グループは、IKE ネゴシエーションのフェーズ 1 でネゴシエートされたグループと同じです。

[User Group] ダイアログボックス - IOS Xauth オプション

IOS Xauth オプションでは、バナー テキストなど、ユーザ グループの IKE Extended Authentication(Xauth; 拡張認証)ユーザ認証および接続パラメータを設定します。


) これらの設定は、Easy VPN およびリモート アクセス VPN の設定に適用されます。


ナビゲーション パス

「[Add User Group]/[Edit User Group] ダイアログボックス」のコンテンツ テーブルから [Xauth Options (IOS)] を選択します。

フィールド リファレンス

 

表 32-46 [User Group] ダイアログボックス - IOS Xauth オプション

要素
説明

Banner

Easy VPN トンネルが最初に起動したときの Xauth および Web ベースのアクティベーション中に、Easy VPN リモート クライアントに表示されるバナー テキスト。最大 1024 文字を使用できます。

Maximum Logins Per User

ユーザが同時に確立できる最大接続数。最大値は 10 です。

Maximum Connections

このグループから Easy VPN サーバへの最大クライアント接続数。グループごとの最大値は 5000 です。

Enable Group-Lock

グループ ロックをイネーブルにするかどうかを指定します。グループ ロックは、ユーザが拡張 Xauth ユーザ名を次のいずれかの形式で入力する場合に必要となります。

username/groupname

username¥groupname

username@groupname

username%groupname

区切り文字のあとに指定されたグループは、次に、IKE アグレッシブ モードで送信されたグループ ID と比較されます。これらのグループは一致する必要があります。一致しない場合、接続が拒否されます。

(注) 証明書など、RSA シグニチャ認証メカニズムを使用している場合は、このオプションを選択しないでください。

Enable Save Password

ユーザがユーザの Xauth パスワードをクライアント上でローカルに保存することを許可するかどうかを指定します。以降の認証で、ユーザは、ソフトウェア クライアント上のチェックボックスを使用するか、またはユーザ名とパスワードを Cisco IOS ハードウェア クライアント プロファイルに追加して、パスワードをアクティブ化できます。ユーザがパスワードをアクティブ化すると、ユーザ名とパスワードは Xauth 時にサーバに自動的に送信されます。

このオプションは、ユーザがスタティック パスワード、つまりトークンによって生成されるようなワンタイム パスワードではないパスワードを持っている場合にだけ役立ちます。

[User Group] ダイアログボックス - IOS クライアント VPN ソフトウェア更新

クライアント VPN ソフトウェア更新(IOS)設定を使用して、ユーザ グループの IOS VPN クライアントに関して、インストールされている各クライアント VPN ソフトウェア パッケージのプラットフォーム タイプ、VPN クライアント リビジョン、およびイメージ URL を設定します。

クライアント更新機能は、IOS ルータ バージョン 12.4(2)T 以降、および Catalyst 6500/7600 デバイス バージョン 12.2(33)SRA 以降でサポートされています。

クライアントを追加するには、[Add Row] ボタンをクリックして、「[Add Client Update]/[Edit Client Update] ダイアログボックス」を開きます。

クライアントを編集するには、クライアントを選択して [Edit Row] ボタンをクリックします。

クライアントを削除するには、クライアントを選択して [Delete Row] ボタンをクリックします。


) これらの設定は、Easy VPN およびリモート アクセス VPN の設定に適用されます。


ナビゲーション パス

「[Add User Group]/[Edit User Group] ダイアログボックス」のコンテンツ テーブルから [Client VPN Software Update (IOS)] を選択します。

[Add Client Update]/[Edit Client Update] ダイアログボックス

[Add Client Update]/[Edit Client Update] ダイアログボックスを使用して、クライアント VPN ソフトウェア パッケージのプラットフォームタイプ、イメージ URL、および VPN クライアント リビジョンを設定します。

ナビゲーション パス

「[User Group] ダイアログボックス - IOS クライアント VPN ソフトウェア更新」を開き、[Add Row] をクリックするか、またはテーブル内の項目を選択して [Edit Row] をクリックします。

関連項目

「[Add User Group]/[Edit User Group] ダイアログボックス」

フィールド リファレンス

 

表 32-47 [Add Client Update]/[Edit Client Update] ダイアログボックス

要素
説明

System Type

IOS VPN クライアントが動作するプラットフォーム。

[All Windows](デフォルト):このオプションには、VPN クライアントを使用できる Windows プラットフォームがすべて含まれています。

Macintosh OS X

IOS Image URL

クライアントをダウンロードできる URL を入力します。URL は、http:// または https:// で始まる必要があります。

IOS VPN Client Revisions

VPN クライアントのリビジョン レベルを入力します。複数のクライアント リビジョンをカンマで区切って指定できます。

[User Group] ダイアログボックス - PIX の詳細オプション

PIX の詳細オプションは、ユーザ グループの PIX 6.3 ファイアウォール専用のオプションです。


) これらの設定は、Easy VPN およびリモート アクセス VPN の設定に適用されます。


ナビゲーション パス

「[Add User Group]/[Edit User Group] ダイアログボックス」のコンテンツ テーブルから [Advanced Options (PIX)] を選択します。

フィールド リファレンス

 

表 32-48 [User Group] ダイアログボックス - PIX の詳細オプション

要素
説明

User Idle Timeout (sec)

ユーザのアクティビティがなくても VPN トンネルを開いたままにしておける時間(秒数)。値の範囲は 60 ~ 86400 秒です。

User Authentication Server

リモート デバイスがユーザ認証要求を送信する AAA サーバ。サーバ グループの名前を入力するか、[Select] をクリックしてリストから名前を選択するか、または新しいグループを作成します。「AAA サーバおよびサーバ グループ オブジェクトについて」を参照してください。

Enable Device Pass-Through

Media Access Control(MAC; メディア アクセス コントロール)アドレスを使用して、AAA 認証をサポートしていない Cisco IP Phone などのデバイスの認証をバイパスするかどうかを指定します。

MAC ベースの AAA 免除がイネーブルである場合、デバイスは、デバイスの MAC アドレスと(DHCP サーバによって動的に割り当てられた)IP アドレスの両方に一致するトラフィックの AAA サーバをバイパスします。認証をバイパスすると、認可サービスは自動的にディセーブルになります。アカウンティング レコードは引き続き生成されますが(イネーブルになっている場合)、ユーザ名は表示されません。

Enable Secure Unit Authentication

リモート クライアントからデバイスへのアクセスを許可する場合に、セキュリティを強化するかどうかを指定します。

Secure Unit Authentication(SUA)では、ワンタイム パスワード、2 要素認証、および類似の認証スキームを使用して、Extended Authentication(Xauth; 拡張認証)中にリモート デバイスを認証できます。

SUA は、デバイス上の VPN ポリシーで指定され、リモート クライアントにダウンロードされます。これにより、SUA がイネーブルになり、リモート クライアントの接続動作が決まります。

Enable User Authentication

Individual User Authentication(IUA; 個別ユーザ認証)をイネーブルにするかどうかを指定します。IUA を使用すると、各内部クライアントの IP アドレスに基づいて、リモート アクセス VPN の内部ネットワークでクライアントを個別に認証できます。IUA では、スタティックと OTP の両方の認証メカニズムをサポートしています。

[User Group] ダイアログボックス - クライアントレス設定

クライアントレス設定を使用して、SSL VPN における企業ネットワークへのクライアントレス アクセス モードを設定します。

クライアントレス アクセス モードでは、ユーザが認証され、セッションが確立されると、SSL VPN ポータル ページおよびツールバーがユーザの Web ブラウザに表示されます。このポータル ページから、ユーザは使用可能なすべての HTTP サイトにアクセスしたり、Web 電子メールにアクセスしたり、Common Internet File System(CIFS)ファイル サーバを参照したりできます。

ナビゲーション パス

「[Add User Group]/[Edit User Group] ダイアログボックス」のコンテンツ テーブルから [Clientless] を選択します。

関連項目

「Create Group Policy ウィザード:[Clientless and Thin Client Access Modes] ページ」

フィールド リファレンス

 

表 32-49 [User Group] ダイアログボックス - クライアントレス設定

要素
説明

Portal Page Websites

ポータル ページ上に表示する Web サイト URL が含まれる SSL VPN ブックマーク ポリシー オブジェクトの名前。これらの Web サイトを使用すると、ユーザは目的のリソースにアクセスできます。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Allow Users to Enter Websites

ブラウザへの Web サイト URL の直接入力をリモート ユーザに許可するかどうかを指定します。このオプションを選択しない場合、ユーザはポータルに表示されている URL だけにアクセスできます。

Enable Common Internet File System (CIFS)

クライアントレス モードでは、リモート クライアントが、Microsoft Windows サーバで作成されたファイルとディレクトリに Web ブラウザ経由でアクセスできます。Common Internet File System(CIFS)をイネーブルにすると、ファイル サーバのリストおよびディレクトリ リンクが、ログイン後にポータル ページに表示されます。

CIFS プロトコルを使用すると、SSL VPN ゲートウェイでの権限をカスタマイズして、次のように、リモート クライアントに対して、共有ファイルへのアクセスまたは変更を許可できます。

[Enable File Browsing]:CIFS ファイル サーバ上のファイル共有を参照することをリモート ユーザに許可するかどうかを指定します。

[Enable File Entry]:ファイル共有の名前を入力して、CIFS ファイル サーバ上のファイル共有を検索することをリモート ユーザに許可するかどうかを指定します。

WINS Server List

WINS サーバ リスト ポリシー オブジェクトの名前。この名前によって、ファイル サーバ名の解決に使用する WINS/NetBIOS サーバが指定されます。CIFS をイネーブルにした場合は、オブジェクトを指定する必要があります。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Enable Citrix

リモート クライアントが、クライアント ソフトウェアがなくても、アプリケーションがローカルにインストールされているかのように、SSL VPN を介して Citrix 対応アプリケーション(Microsoft Word や Excel など)を実行できるようにするかどうかを指定します。Citrix ソフトウェアは、ルータが到達可能な 1 台以上のサーバにインストールされている必要があります。

[User Group] ダイアログボックス - シン クライアント設定

シン クライアント設定を使用して、SSL VPN における企業ネットワークへのシン クライアント(またはポート転送)アクセス モードをイネーブルにします。ポート転送により、ユーザは SSL VPN セッション経由で企業内のアプリケーション(Telnet、電子メール、VNC、SSH、Terminal Services など)にアクセスできます。ポート転送リスト オブジェクトは、リモート クライアント上のポート番号を SSL VPN ゲートウェイの背後にあるアプリケーションの IP アドレスとポートにマッピングします。

シン クライアント アクセス モードでは、リモート ユーザは、SSL VPN ゲートウェイで設定されているサービス用の TCP プロキシとしてクライアント マシン上で機能する Java アプレットをダウンロードします。このプロキシによって、ポート転送サービスが提供されます。

ナビゲーション パス

「[Add User Group]/[Edit User Group] ダイアログボックス」のコンテンツ テーブルから [Thin Client] を選択します。

関連項目

「Create Group Policy ウィザード:[Clientless and Thin Client Access Modes] ページ」

フィールド リファレンス

 

表 32-50 [User Group] ダイアログボックス - シン クライアント設定

要素
説明

Enable Thin Client

SSL VPN へのシン クライアント アクセスを許可するかどうかを指定します。

Port Forward List

このグループに割り当てるポート転送リスト ポリシー オブジェクトの名前。ポート転送リストには、クライアントレス SSL VPN セッションのユーザが転送先 TCP ポートを介してアクセスできるアプリケーションのセットが含まれます。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Download Port Forwarding Applet on Client Login

ユーザが SSL VPN にログインしたときに、ポート転送 Java アプレットがクライアントに自動的にダウンロードされるかどうかを指定します。アプレットを自動的にダウンロードしない場合、ユーザがログイン後に手動でダウンロードする必要があります。

[User Group] ダイアログボックス - SSL VPN フル トンネル設定

SSL VPN フル トンネル設定を使用して、SSL VPN におけるフル トンネル クライアント アクセス モードをイネーブルにします。フル トンネル アクセスをイネーブルにした場合は、ユーザ グループの DNS/WINS サーバ設定、ブラウザ プロキシ設定、およびスプリット トンネリングも定義する必要があります。

フル トンネル クライアント アクセス モードでは、トンネル接続はグループ ポリシー設定によって決まります。フル トンネル クライアント ソフトウェアである SSL VPN Client(SVC)がリモート クライアントにダウンロードされるため、トンネル接続はリモート ユーザが SSL VPN ゲートウェイにログインしたときに確立されます。


ヒント フル トンネル クライアント アクセスが機能するには、クライアント ソフトウェアをゲートウェイにインストールする必要があります。ユーザは、ゲートウェイに接続したときにクライアントをダウンロードします。

ナビゲーション パス

「[Add User Group]/[Edit User Group] ダイアログボックス」のコンテンツ テーブルから [Full Tunnel] > [Settings] を選択します。

関連項目

「Create Group Policy ウィザード:[Full Tunnel] ページ」

フィールド リファレンス

 

表 32-51 [User Group] ダイアログボックス - フル トンネル設定

要素
説明

Enable Full Tunnel

SSL VPN へのフル トンネル クライアント アクセスをイネーブルにするかどうかを指定します。

Use Other Access Modes if SSL VPN Client Download Fails

Full Tunnel Only

問題が発生してユーザのシステム上でクライアントを正常にダウンロード、インストール、および起動できない場合でも、SSL VPN への接続をユーザに許可するかどうかを指定します。

[Full Tunnel Only] を選択すると、ダウンロードが失敗し、そのことによってユーザがネットワークからロック アウトされた場合、ユーザは SSL VPN に接続できません。ダウンロードの問題が発生した場合にクライアントレスまたはシン クライアント アクセスを許可するには、[Use Other Access Modes] を選択します。

Client IP Address Pool

フル トンネル クライアントがログインしたときに取得するアドレス プールの IP アドレス範囲。このアドレス プールは、デバイスのインターフェイス IP アドレスのいずれかと同じサブネットに存在する必要があります。

アドレス範囲を指定する場合は、最初と最後の IP アドレスをハイフンで区切って入力します。たとえば、 10.100.10.2-10.100.10.255 です。1 つのアドレスを入力した場合、プールには 1 つのアドレスだけが含まれます。サブネット指定は入力しないでください。

範囲を定義するネットワーク/ホスト ポリシー オブジェクトの名前を入力するか、[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成することもできます。複数の範囲を指定する場合は、カンマで区切ります。

Filter ACL

SSL VPN へのアクセスを制限する、拡張 Access Control List(ACL; アクセス コントロール リスト)オブジェクトの名前。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Keep SSL VPN Client on Client Computer

ユーザが接続を切断したあとも、フル クライアントをユーザのワークステーションにインストールしたままにするかどうかを指定します。クライアントをユーザのシステムに残さないようにすると、ユーザは、SSL VPN ゲートウェイへの接続を確立するたびにクライアントをダウンロードする必要があります。

Home Page URL

フル クライアントのログイン ホーム ページの Web アドレス。

Client Dead Peer Detection Timeout

パケットが SSL VPN トンネルを介してリモート ユーザから受信されるたびに、Dead-Peer Detection(DPD)タイマーがリセットされる時間間隔。1 ~ 3600 秒の範囲の値を入力します。

Gateway Dead Peer Detection Timeout

パケットが SSL VPN トンネルを介してゲートウェイから受信されるたびに、Dead-Peer Detection(DPD)タイマーがリセットされる時間間隔。1 ~ 3600 秒の範囲の値を入力します。

Key Renegotiation Method

リモート ユーザ グループ クライアントのトンネル キーをリフレッシュする方法は、次のとおりです。

[Disabled]:トンネル キーのリフレッシュをディセーブルにします。

[Create New Tunnel]:新しいトンネル接続を開始します。トンネルのリフレッシュ サイクルの時間間隔(秒数)を [Interval] フィールドに入力します。

[User Group] ダイアログボックス - SSL VPN スプリット トンネリング

スプリット トンネリング設定を使用して、中央サイトへのセキュアなトンネル、およびそれと同時にインターネットへの SSL VPN 用クリア テキスト トンネルを設定します。

スプリット トンネリングを使用すると、リモート クライアントは、条件に応じて、パケットを IPsec または SSL VPN トンネルを介して暗号化された形式で送信したり、クリア テキスト形式でネットワーク インターフェイスに送信したりできます。スプリット トンネリングがイネーブルになっている場合、宛先がトンネルの反対側でないパケットは、暗号化、トンネルを介した送信、復号化、および最終的な宛先へのルーティングが必要ありません。スプリット トンネリング ポリシーは、特定のネットワークに適用されます。


ヒント 最適なセキュリティを確保するには、スプリット トンネリングをイネーブルにしないことを推奨します。

ナビゲーション パス

「[Add User Group]/[Edit User Group] ダイアログボックス」のコンテンツ テーブルから [Full Tunnel] > [Split Tunneling] を選択します。

フィールド リファレンス

 

表 32-52 [User Group] ダイアログボックス - スプリット トンネリング設定

要素
説明

Tunnel Option

スプリット トンネリングを許可するかどうかを指定し、許可する場合は、保護するトラフィック、または暗号化されずにパブリック ネットワークを介して送信するトラフィックを指定します。

[Disabled](デフォルト):トラフィックは、暗号化されずに送信されることがないか、またはゲートウェイ以外の宛先には送信されません。リモート ユーザは企業ネットワーク経由でネットワークに接続し、ローカル ネットワークにはアクセスできません。

[Tunnel Specified Traffic]:[Destinations] フィールドに示されているアドレスとの間のすべてのトラフィックをトンネル化します。その他すべてのアドレスへのトラフィックは、暗号化されずに送信され、リモート ユーザのインターネット サービス プロバイダーによってルーティングされます。

[Exclude Specified Traffic]:[Destinations] フィールドに示されているアドレスとの間をトラフィックが暗号化されずに送信されます。これは、トンネル経由で企業ネットワークに接続しているリモート ユーザがプリンタなどのローカル ネットワーク上のデバイスにアクセスする場合に役立ちます。

Destinations

トラフィックがトンネルを介して通過する必要があるネットワーク、およびトンネリングが不要なネットワークを示す、ホストまたはネットワークの IP アドレス。これらのアドレスへのトラフィックが、暗号化およびゲートウェイにトンネル送信されるか、または暗号化されずに送信されるかは、[Tunnel Option] での選択によって決まります。

10.100.10.0/24 などのネットワーク アドレスまたは 10.100.10.12 などのホスト アドレスを入力します。ネットワーク/ホスト ポリシー オブジェクトの名前を入力するか、[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成することもできます。複数のアドレスを指定する場合は、カンマで区切ります。

Exclude Local LANs

ローカル LAN を暗号化されたトンネルから除外するかどうかを指定します。このオプションは、[Exclude Specified Traffic] トンネル オプションを選択している場合にだけ使用できます。このオプションを選択すると、LAN に接続しているシステム(プリンタなど)との通信をユーザに許可するために、ローカル LAN アドレスを宛先フィールドに入力する必要がなくなります。

選択した場合、この属性によって、クライアントと同時にローカル サブネットワークにアクセスする非スプリット トンネリング接続が許可されなくなります。

Split DNS Names

スプリット トンネルを介してプライベート ネットワークに解決されるドメイン名のリスト。他のすべての名前は、パブリック DNS サーバを使用して解決されます。

ドメインのリストに最大 10 のエントリをカンマで区切って入力します。文字列全体は、255 文字以下である必要があります。

[User Group] ダイアログボックス - ブラウザ プロキシ設定

ブラウザ プロキシ設定を使用して、SSL VPN におけるフル トンネル アクセスのプロキシ バイパスを設定します。

セキュリティ アプライアンスは、HTTPS 接続を終了し、ユーザとインターネット間の中間サーバとして機能する HTTP プロキシ サーバと HTTPS プロキシ サーバに HTTP/HTTPS 要求を転送できます。プロキシ バイパスはコンテンツの書き換えに代わる手法であり、元のコンテンツの変更を最小限に抑えます。カスタム Web アプリケーションで役立ちます。


ヒント このブラウザ プロキシ設定は、Microsoft Internet Explorer の場合にだけ機能します。つまり、他のタイプのブラウザでは機能しません。

ナビゲーション パス

「[Add User Group]/[Edit User Group] ダイアログボックス」のコンテンツ テーブルから [Full Tunnel] > [Browser Proxy Settings] を選択します。

関連項目

「SSL VPN プロキシおよびプロキシ バイパスの設定(ASA)」

フィールド リファレンス

 

表 32-53 [User Group] ダイアログボックス - ブラウザ プロキシ設定

要素
説明

Browser Proxy Option

リモート クライアントのブラウザ上でプロキシ設定値を設定するかどうか、および設定する方法を指定します。

[Blank]:プロキシ設定値は設定されません。

[Do Not Use Proxy Server]:プロキシを使用しないようにブラウザを設定します。

[Automatically Detect Settings]:プロキシ設定を自動的に検出するようにブラウザを設定します。

[Bypass Proxy Server for Local Addresses]:ユーザによって設定されたプロキシ設定をバイパスするようにブラウザを設定します。

Proxy Server

プロキシ サーバのアドレス。

[IP address]:アドレスを指定するネットワーク/ホスト オブジェクトの IP アドレスまたは名前。[Select] をクリックして、リストからオブジェクトを選択します。

[Name]:完全修飾ドメイン名。proxy.example.com などです。

Proxy Server Port

プロキシ トラフィックに使用される、サーバ上のポート番号。80 などです。1 ~ 65535 の範囲の値を入力します。

Do Not Use Proxy Server for Addresses Beginning With

プロキシを設定した場合、プロキシがバイパスされる特定のホストを指定できます。ユーザがこれらのホストをブラウザで開くと、プロキシは接続で使用されません。

完全な IP アドレスまたは完全修飾ドメイン名を入力します。10.100.10.14、www.cisco.com などです。

[User Group] ダイアログボックス - SSL VPN 接続設定

SSL VPN 接続設定ページを使用して、バナー テキストなど、ユーザ グループの SSL VPN セッション接続の設定値を設定します。SSL VPN セッションは、クライアントがセッション タイムアウトよりも長い時間接続されている場合、またはアイドル タイムアウトよりも長い時間アイドル状態である場合、切断されます。

ナビゲーション パス

「[Add User Group]/[Edit User Group] ダイアログボックス」のコンテンツ テーブルから [Connection Settings] を選択します。

フィールド リファレンス

 

表 32-54 [User Group] ダイアログボックス - [Connection Settings]

要素
説明

Idle Timeout

SSL VPN セッションのアイドル タイムアウト時間。セッションは、指定されたアイドル タイムアウトよりも長い時間クライアントがアイドル状態である場合に切断されます。値の範囲は 0 ~ 3600 秒です。

Session Timeout

SSL VPN セッションのタイムアウト時間。セッションは、ユーザがまだアクティブである場合でもこのタイムアウトに到達すると切断されます。値の範囲は 1 ~ 1209600 秒です。

Banner Text

リモート ユーザが SSL VPN に接続したときに表示される、初期メッセージなどのバナー。

二重引用符または新しい行(Carriage Return(CR; 復帰))をバナー テキストに使用することはできません。ただし、HTML タグを挿入することで、目的のレイアウトを作成できます。

[Add WINS Server List]/[Edit WINS Server List] ダイアログボックス

[WINS Server Lists] ダイアログボックスを使用して、WINS サーバ リスト オブジェクトを作成、コピー、および編集します。WINS サーバ リスト オブジェクトによって、Windows ファイル サーバ名を IP アドレスに変換するために使用する、Windows Internet Naming Server(WINS; インターネット ネーム サービス)サーバのリストを定義します。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [WINS Server Lists] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

関連項目

「WINS/NetBIOS Name Service(NBNS)サーバの設定による SSL VPN でのファイル システム アクセスのイネーブル化」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 32-55 [WINS Server Lists] ダイアログボックス

要素
説明

Name

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

Description

(任意)オブジェクトの説明。

WINS Server List

オブジェクトに定義されている WINS サーバ。

サーバを追加するには、[Add] ボタンをクリックし、[Add WINS Server] ダイアログボックスに入力します(「[Add WINS Server]/[Edit WINS Server] ダイアログボックス」を参照)。

サーバを編集するには、サーバを選択し、[Edit] ボタンをクリックします。

サーバを削除するには、サーバを選択し、[Delete] ボタンをクリックします。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Allow Value Override per Device

Overrides

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[Add WINS Server]/[Edit WINS Server] ダイアログボックス

[Add WINS Server]/[Edit WINS Server] ダイアログボックスを使用して、新しい WINS サーバ エントリを作成するか、または [WINS Server Lists] ダイアログボックスのテーブル内の既存のエントリを編集します。

ナビゲーション パス

[Add WINS Server List]/[Edit WINS Server List] ダイアログボックスで、[WINS Server List] テーブルの下にある [Add] ボタンをクリックするか、またはテーブル内のサーバを選択して [Edit] ボタンをクリックします。

関連項目

「WINS/NetBIOS Name Service(NBNS)サーバの設定による SSL VPN でのファイル システム アクセスのイネーブル化」

フィールド リファレンス

 

表 32-56 [Add WINS Server]/[Edit WINS Server] ダイアログボックス

要素
説明

Server

Windows ファイル サーバ名を IP アドレスに変換するために使用される WINS サーバの IP アドレス。サーバを指定するネットワーク/ホスト ポリシー オブジェクトの名前を入力することもできます。[Select] をクリックしてネットワーク/ホスト オブジェクトを選択するか、または新しいオブジェクトを作成します。

Set as Master Browser

サーバがマスター ブラウザであるかどうかを指定します。マスター ブラウザは、コンピュータおよび共有リソースのリストを維持します。

Timeout

セキュリティ アプライアンスが、WINS クエリーへの応答を待機する時間。この時間を超えると、セキュリティ アプライアンスは、サーバが 1 台だけの場合は同じサーバに再度 WINS クエリーを送信し、サーバが複数存在する場合は次のサーバに送信します。

デフォルトのタイムアウトは 2 秒です。値の範囲は 1 ~ 30 秒です。

Retries

設定されているサーバへの WINS クエリーの送信を再試行する回数。セキュリティ アプライアンスは、エラー メッセージを送信する前に、この回数に達するまでサーバのリストを順に試行します。

デフォルトは 2 です。範囲は 0 ~ 10 です。