Cisco Security Manager 4.2 ユーザ ガイド
ASA および PIX 7.0+ デバイスでのリモート アクセス VPN の管理
ASA および PIX 7.0+ デバイスでのリモート アクセス VPN の管理
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ASA および PIX 7.0+ デバイスでのリモート アクセス VPN の管理

ASA および PIX 7.0+ デバイスのリモート アクセス VPN ポリシーの概要

クラスタ ロード バランシングについて(ASA)

Cluster Load Balance ポリシー(ASA)の設定

接続プロファイルの設定(ASA、PIX 7.0+)

[Connection Profiles] ページ

[General] タブ([Connection Profiles])

[AAA] タブ([Connection Profiles])

[Secondary AAA] タブ([Connection Profiles])

[IPSec] タブ([Connection Profiles])

[SSL] タブ([Connection Profiles])

リモート アクセス VPN のグループ ポリシーの設定

グループ ポリシーについて(ASA)

グループ ポリシーの作成(ASA、PIX 7.0+)

IPSec VPN ポリシーの使用

Certificate to Connection Profile Map ポリシーの設定(ASA)

証明書/接続プロファイル マップ ルールの設定(ASA)

[Map Rule] ダイアログボックス(上半分のテーブル)

[Map Rule] ダイアログボックス(下半分のテーブル)

リモート アクセス VPN サーバの IPsec プロポーザルの設定(ASA、PIX7.0 以降のデバイス)

IPsec Proposal Editor(ASA、PIX 7.0+ デバイス)

SSL および IKEv2 IPSec VPN ポリシーの使用

SSL VPN アクセス ポリシーについて(ASA)

[SSL VPN Access Policy] ページ

Access ポリシーの設定

他の SSL VPN 設定の定義(ASA)

SSL VPN パフォーマンス設定の定義(ASA)

SSL VPN コンテンツ書き換えルールの定義(ASA)

SSL VPN エンコーディング ルールの設定(ASA)

SSL VPN プロキシおよびプロキシ バイパスの設定(ASA)

SSL VPN ブラウザ プラグインの設定(ASA)

SSL VPN AnyConnect クライアント設定について

SSL VPN AnyConnect クライアント設定の定義(ASA)

SSL VPN の Kerberos Constrained Delegation(KCD)について(ASA)

SSL VPN の Kerberos Constrained Delegation(KCD)の設定(ASA)

SSL VPN の高度な設定の定義(ASA)

SSL VPN 共有ライセンスの設定(ASA 8.2+)

共有ライセンス クライアントとしての ASA デバイスの設定

共有ライセンス サーバとしての ASA デバイスの設定

クライアントレス SSL VPN ポータルのカスタマイズ

SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定

ASA デバイスの SSL VPN Web ページのローカライズ

ASA デバイスの独自 SSL VPN ログイン ページの作成

ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定

SSL VPN ブックマークでの Post URL 方式およびマクロ置換の使用

ASA デバイスの SSL VPN スマート トンネルの設定

WINS/NetBIOS Name Service(NBNS)サーバの設定による SSL VPN でのファイル システム アクセスのイネーブル化

ASA および PIX 7.0+ デバイスでのリモート アクセス VPN の管理

Cisco ASA ソフトウェアまたは PIX 7.0+ を実行するデバイスのリモート アクセス IPsec、および ASA 8.0+ デバイス(PIX デバイスではありません)の SSL VPN を設定および管理できます。また、ASA 8.4(x) デバイスでは、リモート アクセス IPsec VPN で IKE Version 2(IKEv2; IKE バージョン 2)ネゴシエーションを使用できます。


ヒント Cisco Catalyst 6500 シリーズ ASA サービス モジュールおよびモジュールで使用される ASA ソフトウェア リリース 8.5(x) では、VPN 設定がサポートされません。

これらのリモート アクセス VPN の設定は、これらのデバイス タイプで同じです。IOS および PIX 6.3+ デバイスは、リモート アクセス VPN に異なる設定を使用します(「IOS および PIX 6.3 デバイスでのリモート アクセス VPN の管理」を参照)。

この章のトピックでは、ASA および PIX 7.0+ デバイスに固有のポリシーを設定する方法を説明します。リモート アクセス VPN の詳細については、次のトピックを参照してください。

「リモート アクセス VPN について」

「各リモート アクセス VPN テクノロジーでサポートされるデバイスについて」

「リモート アクセス VPN ポリシーの検出」

「Remote Access VPN Configuration ウィザードの使用」

「Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(ASA および PIX 7.0 以降のデバイス)」

「Remote Access VPN Configuration ウィザードを使用した SSL VPN の作成(ASA デバイス)」

「リモート アクセス VPN のダイナミック アクセス ポリシーの管理(ASA 8.0+ デバイス)」

この章の構成は、次のとおりです。

「ASA および PIX 7.0+ デバイスのリモート アクセス VPN ポリシーの概要」

「クラスタ ロード バランシングについて(ASA)」

「接続プロファイルの設定(ASA、PIX 7.0+)」

「リモート アクセス VPN のグループ ポリシーの設定」

「IPSec VPN ポリシーの使用」

「SSL および IKEv2 IPSec VPN ポリシーの使用」

「クライアントレス SSL VPN ポータルのカスタマイズ」

ASA および PIX 7.0+ デバイスのリモート アクセス VPN ポリシーの概要

ASA または PIX 7.0 デバイスでリモート アクセス VPN を設定する場合、設定する VPN のタイプに基づいて、次のポリシーを使用します。可能なリモート アクセス VPN タイプは、IKE Version 1(IKEv1; IKE バージョン 1)IPsec、IKE Version 2(IKEv2; IKE バージョン 2)IPsec および SSL です。IKEv2 は、ASA 8.4(x) デバイスだけでサポートされます。 表 29-1 では、これらのポリシーが必須または任意になる条件を示しています。


) PIX デバイスでは SSL VPN を設定できません。PIX デバイスでは、リモート アクセス IKEv1 IPsec VPN だけをサポートしています。


リモート アクセス IKEv1 と IKEv2 IPsec および SSL VPN で使用されているポリシー:

ASA クラスタ ロード バランシング :リモート クライアント コンフィギュレーションで、複数のデバイスを同じネットワークに接続してリモート セッションを処理している場合、これらのデバイスでセッション負荷を分担するように設定できます。この機能は、ロード バランシングと呼ばれます。ロード バランシングでは、最も負荷の低いデバイスにセッション トラフィックが送信されます。このため、すべてのデバイス間で負荷が分散されます。ロード バランシングは、ASA デバイスで開始されたリモート セッションの場合にだけ有効です。詳細については、「クラスタ ロード バランシングについて(ASA)」を参照してください。

接続プロファイル :接続プロファイルは、トンネル自体の作成に関連する属性を含む、VPN トンネルの接続ポリシーが格納されたレコード セットです。接続プロファイルでは、ユーザ指向の属性が含まれる特定の接続のグループ ポリシーを識別します。詳細については、「接続プロファイルの設定(ASA、PIX 7.0+)」を参照してください。

ダイナミック アクセス:個々の VPN 接続には、頻繁に変更されるイントラネット設定、組織内の各ユーザが持つさまざまなロール、および設定とセキュリティ レベルが異なるリモート アクセス サイトからのログインなど、複数の変数が影響する可能性があります。Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)により、これらの多くの変数に対処する認可機能を設定できます。ダイナミック アクセス ポリシーは、特定のユーザ トンネルまたはユーザ セッションに関連付ける一連のアクセス コントロール属性を設定して作成します。詳細については、「リモート アクセス VPN のダイナミック アクセス ポリシーの管理(ASA 8.0+ デバイス)」を参照してください。

グローバル設定 :リモート アクセス VPN のすべてのデバイスに適用されるグローバル設定を定義できます。グローバル設定には、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)、IKEv2、IPsec、NAT、フラグメンテーションの定義などがあります。グローバル設定には、通常、ほとんどの状況に適用できるデフォルトが設定されています。そのため、ほとんどの場合、グローバル設定ポリシーの設定はオプションです。デフォルト以外の動作が必要な場合、または IKEv2 ネゴシエーションをサポートする場合だけ設定してください。詳細については、「VPN グローバル設定」を参照してください。

グループ ポリシー :リモート アクセス VPN 接続プロファイルに定義されているユーザ グループ ポリシーを表示できます。このページから、新しい ASA ユーザ グループを指定したり、既存の ASA ユーザ グループを編集したりできます。接続プロファイルを作成するときに、デバイスで使用されていないグループ ポリシーを指定した場合、このグループ ポリシーは自動的に [Group Policies] ページに追加されます。接続プロファイルを作成する前に、このポリシーに追加する必要はありません。詳細については、「リモート アクセス VPN のグループ ポリシーの設定」を参照してください。

公開キー インフラストラクチャ :Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーを作成して、CA 証明書および RSA キーの登録要求を生成し、キーや証明書を管理できます。Certification Authority(CA; 認証局)サーバは、これらの証明書要求を管理し、IPsec または SSL リモート アクセス VPN に接続するユーザに対して証明書を発行するために使用されます。詳細については、「Public Key Infrastructure ポリシーについて」および「リモート アクセス VPN での公開キー インフラストラクチャ ポリシーの設定」を参照してください。

リモート アクセス IPsec VPN だけで使用されるポリシー:

証明書/接続プロファイル マップ、およびポリシー (IKEv1 IPSec のみ):Certificate to Connection Profile Map ポリシーを使用すると、指定したフィールドに基づいて、ユーザの証明書を権限グループと照合するルールを定義できます。認証を確立するため、証明書の任意のフィールドを使用することも、またはすべての証明書ユーザが権限グループを共有することもできます。グループは、DN ルール、[Organization Unit (OU)] フィールド、IKE ID、またはピア IP アドレスから照合できます。これらの方式のいずれかまたはすべてを使用できます。詳細については、「Certificate to Connection Profile Map ポリシーの設定(ASA)」を参照してください。

IKE プロポーザル :Internet Key Exchange(IKE; インターネット キー エクスチェンジ)は、別名 ISAKMP とも呼ばれるネゴシエーション プロトコルで、2 つのホストが IPsec セキュリティ アソシエーションを構築する方法を合意できます。IKE は、IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec Security Association(SA; セキュリティ アソシエーション)の自動確立に使用されます。IKE プロポーザル ポリシーは、IKE ネゴシエーションのフェーズ 1 の要件を定義するときに使用します。詳細については、「IKE プロポーザルの設定」を参照してください。

IPsec プロポーザル(ASA/PIX 7.x) :IPsec プロポーザルは、1 つ以上のクリプト マップのコレクションです。クリプト マップには、IPsec ルール、トランスフォーム セット、リモート ピア、および IPsec SA の定義に必要となる可能性のあるその他のパラメータを含め、IPsec Security Association(SA; セキュリティ アソシエーション)の設定に必要なすべてのコンポーネントが組み合わされています。このポリシーは、IKE フェーズ 2 ネゴシエーションに使用されます。詳細については、「リモート アクセス VPN サーバの IPsec プロポーザルの設定(ASA、PIX 7.0 以降のデバイス)」を参照してください。

リモート アクセス IKEv2 IPSec および SSL VPN だけで使用されるポリシー:

アクセス :アクセス ポリシーには、リモート アクセス SSL または IKEv2 IPsec VPN 接続プロファイルをイネーブルにできるセキュリティ アプライアンスのインターフェイス、接続プロファイルで使用するポート、Datagram Transport Layer Security(DTLS)設定、SSL VPN セッション タイムアウト、および最大セッション数を指定します。AnyConnect VPN クライアントまたは AnyConnect Essentials クライアントを使用するかどうかも指定できます。詳細については、「SSL VPN アクセス ポリシーについて(ASA)」を参照してください。

その他の設定 :SSL VPN のその他の設定ポリシーは、キャッシング、コンテンツの書き換え、文字エンコード、プロキシとプロキシ バイパス定義、ブラウザ プラグイン、AnyConnect クライアントのイメージとプロファイル、Kerberos の制約付き委任、およびその他いくつかの高度な設定などを定義します。詳細については、「他の SSL VPN 設定の定義(ASA)」を参照してください。

共有ライセンス :[SSL VPN Shared License] ページを使用して、SSL VPN 共有ライセンスを設定します。詳細については、「SSL VPN 共有ライセンスの設定(ASA 8.2+)」を参照してください。

次の表に、各タイプの VPN に対してポリシーが必須か、または任意かを示します。

 

表 29-1 ASA デバイスのリモート アクセス VPN ポリシー要件

ポリシー
必須、任意

ASA Cluster Load Balancing

任意:すべての VPN タイプ

Connection Profiles

必須:すべての VPN タイプ。

Dynamic Access

任意:すべての VPN タイプ

Global Settings

必須:IKEv2 IPsec

任意:IKEv1 IPsec、SSL

Group Policies

必須:すべての VPN タイプ。

Public Key Infrastructure

必須:IKEv2 IPsec

IKEv1 IPsec または SSL VPN 用のトラストポイントを設定する場合にも必須。これ以外の場合はオプションです。

Certificate To Connection Profile Maps, Policy and Rules

オプション:IKEv1 IPsec

未使用:IKEv2 IPsec、SSL

IKE Proposal

必須:IKEv1 IPsec、IKEv2 IPsec。

未使用:SSL

[IPsec Proposal](ASA/PIX 7.x)

必須:IKEv1 IPsec、IKEv2 IPsec。

未使用:SSL

Access

必須:IKEv2 IPsec、SSL

未使用:IKEv1 IPsec。

Other Settings

必須:IKEv2 IPsec、SSL

未使用:IKEv1 IPsec。

Shared License

任意:IKEv2 IPsec、SSL

未使用:IKEv1 IPsec。

クラスタ ロード バランシングについて(ASA)

リモート クライアント設定で、同じネットワークに接続された 2 つ以上のデバイスを使用してリモート セッションを処理するようになっている場合は、そのセッションの負荷が分散されるようにこれらのデバイスを設定できます。この機能は、ロード バランシングと呼ばれます。ロード バランシングでは、最も負荷の低いデバイスにセッション トラフィックが送信されます。このため、すべてのデバイス間で負荷が分散されます。ロード バランシングは、ASA デバイスで開始されたリモート セッションの場合にだけ有効です。

ロード バランシングを実装するには、同じプライベート LAN-to-LAN ネットワークの 2 つ以上のデバイスを、仮想クラスタにグループ化する必要があります。セッションの負荷は、仮想クラスタ内のすべてのデバイスに分散されます。仮想クラスタ内の 1 つのデバイスである仮想クラスタ マスターは、着信トラフィックをセカンダリ デバイスと呼ばれる他のデバイスに転送します。仮想クラスタ マスターは、クラスタ内のすべてのデバイスをモニタし、各デバイスの負荷を追跡して、その負荷に基づいてセッションの負荷を分散します。

仮想クラスタは、外部のクライアントには 1 つの仮想クラスタ IP アドレスとして表示されます。この IP アドレスは特定の物理デバイスに関連付けられたアドレスではなく、現在の仮想クラスタ マスターに属するアドレスです。接続を確立しようとする VPN クライアントは、まず、この仮想クラスタ IP アドレスに接続します。仮想クラスタ マスターは、クラスタ内で使用できるホストのうち、最も負荷の低いホストのパブリック IP アドレスをクライアントに返します。2 回めのトランザクション(ユーザに対しては透過的)になると、クライアントはホストに直接接続します。仮想クラスタ マスターは、このようにしてリソース全体に均等かつ効率的にトラフィックを転送します。

仮想クラスタ マスターの役割は、1 つの物理デバイスに結び付けられるものではなく、デバイス間でシフトできます。クラスタ内のマシンで障害が発生すると、終了されたセッションはただちに仮想クラスタ IP アドレスに再接続できます。次に、仮想クラスタ マスターは、クラスタ内の別のアクティブ デバイスにこれらの接続を転送します。仮想クラスタ マスター自身で障害が発生した場合は、クラスタ内のセカンダリ デバイスが、新しい仮想セッション マスターとしてただちに引き継ぎを行います。クラスタ内の複数のデバイスで障害が発生しても、クラスタ内のデバイスが 1 つでも使用可能である限り、ユーザはクラスタに引き続き接続できます。

Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用したリダイレクションについて

デフォルトで、ASA はロード バランシング リダイレクションの IP アドレスだけをクライアントに送信します。DNS 名に基づく証明書が使用されている場合、セカンダリ デバイスにリダイレクトされるとその証明書は無効になります。セキュリティ アプライアンスは、VPN クラスタ マスターとして、VPN クライアント接続をクラスタ デバイス(クラスタ内の別のセキュリティ アプライアンス)にリダイレクトする場合に、そのクラスタ デバイスの Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)を送信できます。セキュリティ アプライアンスは、逆 DNS ルックアップを使用してデバイスの FQDN を外部 IP アドレスに解決し、接続を転送して VPN ロード バランシングを実行します。クラスタに含まれるロード バランシング デバイスのすべての外部および内部ネットワーク インターフェイスは、同じ IP ネットワーク上にある必要があります。

FQDN によるロード バランシングをイネーブルにしたあと、ASA 外部インターフェイスごとにエントリが存在しない場合は、このエントリを DNS サーバに追加します。それぞれの ASA 外部 IP アドレスに、ルックアップ用にそのアドレスに関連付けられた DNS エントリが設定されている必要があります。これらの DNS エントリに対しては、逆ルックアップもイネーブルにする必要があります。ASA での DNS ルックアップをイネーブルにし、ASA 上で DNS サーバの IP アドレスを定義します。

クラスタ ロード バランシングの設定手順については、「Cluster Load Balance ポリシー(ASA)の設定」を参照してください。

Cluster Load Balance ポリシー(ASA)の設定

[ASA Cluster Load Balance] ページを使用して、リモート アクセス VPN の ASA デバイスのロード バランシングをイネーブルにします。デフォルトではロード バランシングがディセーブルになっているため、明示的にイネーブルにする必要があります。クラスタに参加するすべてのデバイスは、同じクラスタ固有の値(IP アドレス、暗号化設定、暗号キー、およびポート)を共有する必要があります。クラスタ ロード バランシングの詳細については、「クラスタ ロード バランシングについて(ASA)」を参照してください。


) ロード バランシングには、アクティブな 3DES/AES ライセンス、および Plus ライセンス付きの ASA モデル 5510、または ASA モデル 5520 以上が必要です。ASA デバイスでは、ロード バランシングをイネーブルにする前に、このクリプト ライセンスが存在するかをチェックします。アクティブな 3DES または AES ライセンスを検出できない場合、デバイスは、ロード バランシングを回避し、さらにライセンスがこの使用を許可していないかぎり、ロード バランシング システムによる 3DES の内部コンフィギュレーションも回避します。



ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [ASA Cluster Load Balance] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [ASA Cluster Load Balance] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[ASA Cluster Load Balance] ページが開きます。

ステップ 2 [Participate in Load Balancing Cluster] を選択して、デバイスがロード バランシング クラスタに属することを示します。

ステップ 3 VPN クラスタ設定オプションを設定します。

[Cluster IP Address]:仮想クラスタ全体を表す単一の IP アドレスを指定します。外部インターフェイスと同じサブネット内にある IP アドレスを選択します。

[UDP Port]:デバイスが属する仮想クラスタの UDP 宛先ポートを指定します。通常、ポート番号は 9023 です。ただし、このポートが別のアプリケーションで使用されている場合、ロード バランシングに使用する UDP 宛先ポート番号を入力します。

[Enable IPSec Encryption]、[IPSec Shared Secret]:必要に応じて、[Enable IPsec Encryption] を選択し、デバイス間で通信されるすべてのロード バランシング情報が暗号化されるようにします。このオプションを選択する場合には、共有シークレット パスワードも入力(および確認)してください。これは、スペースを含まない 4 ~ 16 文字の値で、大文字と小文字が区別されます。仮想クラスタのセキュリティ アプライアンスは、IPsec を使用して LAN-to-LAN トンネルを介して通信します。このパスワードは、クライアントから渡されるパスワードと一致する必要があります。

ステップ 4 クラスタ内のサーバのプライオリティを設定します。次のオプションのいずれかを選択します。

[Accept default device value]:デバイスに割り当てられたデフォルトのプライオリティ値を受け入れます。

[Configure same priority on all devices in the cluster]:クラスタ内のすべてのデバイスに同じプライオリティ値を設定します。次に、スタートアップ時または既存マスターの障害時に、デバイスが仮想クラスタ マスターとなる可能性を示すプライオリティ値(1 ~ 10)を入力します。

ステップ 5 サーバ上で使用するパブリックおよびプライベート インターフェイスを指定します。

[Public Interfaces]:サーバで使用されるパブリック インターフェイス。インターフェイスまたはインターフェイス ロール オブジェクトの名前を入力するか、[Select] をクリックしてインターフェイスまたはインターフェイス ロールを選択するか、あるいは新しいロールを作成します。

[Private Interfaces]:サーバで使用されるプライベート インターフェイス。インターフェイスまたはインターフェイス ロール オブジェクトの名前を入力するか、[Select] をクリックしてインターフェイスまたはインターフェイス ロールを選択するか、あるいは新しいロールを作成します。

ステップ 6 必要に応じて、[Send FQDN to client instead of an IP address when redirecting] を選択し、完全修飾ドメイン名を使用したリダイレクションをイネーブルにします。このオプションは、8.0(2) 移行が動作する ASA デバイスでのみ使用できます。詳細については、「クラスタ ロード バランシングについて(ASA)」を参照してください。


 

接続プロファイルの設定(ASA、PIX 7.0+)

接続プロファイルは、トンネル自体の作成に関連する属性を含む、VPN トンネルの接続ポリシーが格納されたレコード セットです。接続プロファイルでは、ユーザ指向の属性が含まれる特定の接続のグループ ポリシーを識別します。ユーザにグループ ポリシーを割り当てない場合、接続にはデフォルトの接続プロファイルが適用されます。また、環境に固有の接続プロファイルを 1 つ以上作成できます。ローカル リモート アクセス VPN サーバまたは外部 AAA サーバ上で接続プロファイルを設定できます。

デバイスでリモート アクセス VPN ポリシーを検出すると、Security Manager により、デフォルト接続プロファイルがポリシーに追加されます。これらのプロファイル、および関連する DlftGrpPolicy(Security Manager では <device_display_name> DfltGrpPolicy という名前に変更されています)を編集できますが、削除はできません。次に、Security Manager でサポートされているデフォルト接続プロファイルを示します。

DefaultRAGroup:リモート アクセス IPsec VPN のデフォルトの接続プロファイル。

DefaultWEBVPNGroup:SSL VPN のデフォルトの接続プロファイル。この接続プロファイルは、ASA 8.0+ デバイスだけで検出されます。

ASA デバイス上で接続プロファイルを設定する場合には、二重認証を設定するオプションがあります。二重認証機能では、Payment Card Industry Standards Council Data Security Standard に従って、ネットワークへのリモート アクセスに対して 2 つの要素からなる認証を実行します。この機能では、ユーザはログイン ページで異なる 2 組のログイン クレデンシャルを入力する必要があります。たとえば、プライマリ認証をワンタイム パスワード、セカンダリ認証をドメイン(Active Directory)クレデンシャルとする場合が考えられます。プライマリクレデンシャル認証が失敗すると、セキュリティ アプライアンスはセカンダリ クレデンシャルの確認を試行しません。いずれかの認証に失敗すると、接続が拒否されます。AnyConnect VPN クライアント(SSL VPN または IKEv2 IPSec VPN)と クライアントレス SSL VPN の両方が二重認証をサポートします。AnyConnect クライアントでは、Windows コンピュータ(サポート対象 Windows Mobile 装置および Start Before Login など)、Mac コンピュータ、および Linux コンピュータで二重認証がサポートされています。

ここでは、Connection Profile ポリシーを使用して、リモート アクセス VPN サーバで接続プロファイルを作成または編集する方法について説明します。


) Remote Access VPN Configuration ウィザードから、接続プロファイルを作成することもできます(「Remote Access VPN Configuration ウィザードの使用」を参照)。Easy VPN サイト間トポロジについては、「Easy VPN における Connection Profile ポリシーの設定」を参照してください。


関連項目

「リモート アクセス VPN ポリシーの検出」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA または PIX 7.0+ デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [Connection Profiles] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [Connection Profiles (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Connection Profiles] ページが開きます。このポリシーでは、すべての接続プロファイルのリストが示され、プロファイルで使用されるグループ ポリシーが表示されます。詳細については、「[Connection Profiles] ページ」を参照してください。

ステップ 2 テーブルの下にある [Add Row](+)ボタンをクリックするか、またはプロファイルを選択して [Edit Row](鉛筆)をクリックします。[Connection Profiles] ダイアログボックスが開きます。

ステップ 3 (すべてのリモート アクセス VPN タイプ)[General] タブで、接続プロファイル名およびグループ ポリシーを指定して、使用するアドレス割り当て方式を選択します。設定の詳細については、「[General] タブ([Connection Profiles])」を参照してください。

ステップ 4 (すべてのリモート アクセス VPN タイプ)[AAA] タブをクリックして、接続プロファイルの AAA 認証パラメータを指定します。設定の詳細については、「[AAA] タブ([Connection Profiles])」を参照してください。

ステップ 5 (リモート アクセス IKEv2 IPSec および SSL VPN のみ)ASA デバイス上で接続プロファイルを設定している場合、セカンダリ認証を設定できます。この場合は、[Secondary AAA] タブをクリックします。設定の詳細については、「[Secondary AAA] タブ([Connection Profiles])」を参照してください。

ステップ 6 (リモート アクセス IPSec VPN のみ)[ IPsec ] タブをクリックして、接続プロファイルの IPsec パラメータと IKE パラメータを指定します。これらの一部の設定は、IKEv1 接続には適用されますが、IKEv2 接続には適用されません。設定の詳細については、「[IPSec] タブ([Connection Profiles])」を参照してください。


) IKEv2 設定を行うには、[Global Settings] ポリシーの [IKEv2 Settings] タブを使用します。「VPN グローバル IKEv2 設定」を参照してください。


ステップ 7 (リモート アクセス SSL VPN のみ)[SSL] タブをクリックして接続プロファイル ポリシーの WINS サーバを指定し、SSL VPN エンドユーザ ログオン Web ページのカスタマイズ済みルックアンドフィールを選択し、クライアント アドレスの割り当てに使用する DHCP サーバを指定し、インターフェイスとクライアント IP アドレス プール間のアソシエーションを設定します。設定の詳細については、「[SSL] タブ([Connection Profiles])」を参照してください。

ステップ 8 [OK] をクリックします。


 

[Connection Profiles] ページ

リモート アクセス VPN または Easy VPN トポロジの接続プロファイル ポリシーを管理するには、[Connection Profiles] ページを使用します。このポリシーの使用法は、設定する VPN のタイプによって異なります。

[Remote access SSL VPN]:ポリシーは、ASA デバイスに対してだけ使用されます。複数のプロファイルを作成し、[Connection Profiles] ダイアログボックスのすべてのタブの値を設定できます。

[Remote access IPSec VPN]:ポリシーは、PIX 7.0+ ソフトウェアを実行している ASA デバイスおよび PIX ファイアウォールに対して使用されます。複数のプロファイルを作成できますが、[Connection Profiles] ダイアログボックスの [General]、[AAA]、および [IPSec] タブだけがこの設定に適用されます(場合によってはこれらのタブだけが表示されます)。

[Easy VPN topologies]:ポリシーは、PIX 7.0+ ソフトウェアを実行している ASA デバイスまたは PIX ファイアウォールである Easy VPN サーバ(ハブ)に対して使用されます。ポリシー ページが [Connection Profiles] ダイアログボックスが実際に埋め込まれるように、単一のプロファイルを作成できます。これにより、プロファイルを定義するタブに直接アクセスできます。[General]、[AAA]、および [IPSec] タブだけが適用されます。

リモート アクセス IPSec および SSL VPN では、次のように行います。

プロファイルを追加するには、[Add Row] ボタンをクリックし、[Connection Profiles] ダイアログボックスに入力します。

既存のプロファイルを編集するには、そのインターフェイス設定を選択し、[Edit Row] ボタンをクリックします。

プロファイルを削除するには、プロファイルを選択し、[Delete Row] ボタンをクリックします。

接続プロファイルは、次のタブで構成されます。これらのタブには、設定する VPN のタイプに適した値を設定してください。

「[General] タブ([Connection Profiles])」

「[AAA] タブ([Connection Profiles])」

「[Secondary AAA] タブ([Connection Profiles])」(SSL VPN および IKEv2 IPsec VPN のみ)

「[IPSec] タブ([Connection Profiles])」(IKEv1 IPsec VPN のみで、SSL または IKEv2 IPsec VPN には適用されません)

「[SSL] タブ([Connection Profiles])」(SSL VPN のみ)

ナビゲーション パス

リモート アクセス VPN では、次のように行います。

(デバイス ビュー)ASA または PIX 7+ デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [Connection Profiles] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [Connection Profiles (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

Easy VPN では、次のように行います。

「[Site-to-Site VPN Manager] ウィンドウ」から Easy VPN トポロジを選択し、[Connection Profiles (PIX7.0/ASA)] を選択します。

(デバイス ビュー)Easy VPN トポロジに参加するデバイスを選択し、ポリシー セレクタから [Site to Site VPN] を選択します。Easy VPN トポロジを選択して [Edit VPN Policies] をクリックし、「[Site-to-Site VPN Manager] ウィンドウ」を開いてポリシーを選択します。

(ポリシー ビュー)[Site-to-Site VPN] > [Connection Profiles (PIX7.0/ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ここでは、次の項目について説明します。

「[General] タブ([Connection Profiles])」

「[AAA] タブ([Connection Profiles])」

「[Secondary AAA] タブ([Connection Profiles])」

「[IPSec] タブ([Connection Profiles])」

「[SSL] タブ([Connection Profiles])」

[General] タブ([Connection Profiles])

[Connection Profiles] ダイアログボックスの [General] タブを使用して、VPN Connection Profile ポリシーの基本プロパティを設定します。これらのプロパティは、リモート アクセス IPsec および SSL VPN、あるいはサイト間 Easy VPN トポロジで使用されます。

ナビゲーション パス

リモート アクセス VPN:[Connection Profiles] ページ(「[Connection Profiles] ページ」を参照)から、[Add Row](+)ボタンをクリックするか、またはプロファイルを選択して [Edit Row](鉛筆)ボタンをクリックし、[Connection Profiles] ダイアログボックスを開きます。必要に応じて、[General] タブをクリックします。

Easy VPN トポロジ:Easy VPN トポロジを選択して、ポリシー ビューまたはサイト間 VPN Manager のいずれかでサイト間 VPN Connection Profile ポリシーを選択します(「[Connection Profiles] ページ」を参照)。必要に応じて、[General] タブをクリックします。

関連項目

「接続プロファイルの設定(ASA、PIX 7.0+)」

「[ASA Group Policies] ダイアログボックス」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「Easy VPN における Connection Profile ポリシーの設定」

「Easy VPN について」

フィールド リファレンス

 

表 29-2 [Connection Profile] の [General] タブ

要素
説明

Connection Profile Name

接続プロファイルの名前(トンネル グループ)。

Group Policy

必要な場合、接続プロファイルに関連付けられているデフォルト ユーザ グループを定義する ASA グループ ポリシー オブジェクトの名前。グループ ポリシーはユーザ指向の属性と値のペアの集合であり、デバイスで内部的に、または RADIUS/LDAP サーバで外部的に格納されます。

[Select] をクリックして既存のオブジェクトを選択するか、新しいオブジェクトを作成します。

Client Address Assignment

DHCP Servers

クライアント アドレス割り当てに使用される DHCP サーバ。これらのサーバは、リスト内の順序で使用されます。

DHCP サーバの IP アドレス、または DHCP サーバのアドレスを定義するネットワーク/ホスト ポリシー オブジェクトの名前を入力します。[Select] をクリックして、既存のネットワークまたはホスト オブジェクトを選択するか、新しいオブジェクトを作成します。複数のエントリを指定する場合は、カンマで区切ります。

Global IP Address Pool

クライアントの接続先のインターフェイスにプールが指定されていない場合に、IP アドレスをクライアントに割り当てるために使用されるアドレス プール。アドレス プールは、アドレスの範囲として入力します(10.100.12.2-10.100.12.254 など)。サーバはこれらのプールを一覧表示されている順序で使用します。最初のプールのアドレスがすべて割り当て済みの場合は、次のプールを使用するというように続きます。最大で 6 つのプールを指定できます。

アドレス プール範囲を入力するか、これらのプールを定義するネットワークまたはホスト オブジェクトの名前を入力します。[Select] をクリックして、既存のネットワークまたはホスト オブジェクトを選択するか、新しいオブジェクトを作成します。複数のエントリを指定する場合は、カンマで区切ります。

[Interface-Specific Address Pools] テーブル

特定のインターフェイスを介して接続するクライアントがグローバル グループとは異なるプールを使用するように、そのインターフェイスに対して個別の IP アドレス プールを設定する場合は、そのインターフェイスをこのテーブルに追加し、個別のプールを設定します。このテーブルに表示されていないインターフェイスはすべて、グローバル プールを使用します。

インターフェイス固有のアドレス プールを追加するには、[Add Row] ボタンをクリックし、「[Add Interface Specific Client Address Pools]/[Edit Interface Specific Client Address Pools] ダイアログボックス」に入力します。

インターフェイス プールを編集するには、インターフェイス プールを選択し、[Edit Row] ボタンをクリックします。

インターフェイスを削除するには、インターフェイスを選択し、[Delete Row] ボタンをクリックします。

[Add Interface Specific Client Address Pools]/[Edit Interface Specific Client Address Pools] ダイアログボックス

[Add Interface Specific Client Address Pools]/[Edit Interface Specific Client Address Pools] ダイアログボックスを使用して、Connection Profile ポリシーに対してインターフェイス固有のクライアント アドレス プールを設定します。

ナビゲーション パス

[Connection Profiles] ダイアログボックスの [General] タブ(「[General] タブ([Connection Profiles])」を参照)を開き、[Interface-Specific Address Pools] テーブルの下の [Add Row] をクリックするか、テーブル内の行を選択して [Edit Row] をクリックします。

関連項目

「インターフェイス ロール オブジェクトの作成」

「IPv4 または IPv6 ネットワーク/ホスト オブジェクトの作成」

フィールド リファレンス

 

表 29-3 [Add Interface Specific Client Address Pools]/[Edit Interface Specific Client Address Pools] ダイアログボックス

要素
説明

Interface

アドレス プールを割り当てるインターフェイス。インターフェイスまたはインターフェイス ロール オブジェクトの名前を入力するか、[Select] をクリックしてインターフェイスまたはオブジェクトを選択するか、あるいは新しいオブジェクトを作成します。

Address Pool

インターフェイスに割り当てるアドレス プール。アドレス プールは、プールの開始および終了 IP アドレスを使用して指定されます。たとえば、10.100.10.2-10.100.10.254 です。IP アドレス範囲を入力するか、アドレス範囲を指定するネットワーク/ホスト オブジェクトを使用できます。[Select] をクリックしてネットワーク/ホスト オブジェクトを選択するか、または新しいオブジェクトを作成します。

[AAA] タブ([Connection Profiles])

[Connection Profile] ダイアログボックスの [AAA] タブを使用して、Connection Profile ポリシーに AAA 認証パラメータを設定します。

ナビゲーション パス

リモート アクセス VPN:[Connection Profiles] ページ(「[Connection Profiles] ページ」を参照)から、[Add Row](+)ボタンをクリックするか、またはプロファイルを選択して [Edit Row](鉛筆)ボタンをクリックし、[Connection Profiles] ダイアログボックスを開きます。[AAA] タブをクリックします。

Easy VPN トポロジ:Easy VPN トポロジを選択して、ポリシー ビューまたはサイト間 VPN Manager のいずれかでサイト間 VPN Connection Profile ポリシーを選択します(「[Connection Profiles] ページ」を参照)。[AAA] タブをクリックします。

関連項目

「接続プロファイルの設定(ASA、PIX 7.0+)」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「Easy VPN における Connection Profile ポリシーの設定」

「Easy VPN について」

フィールド リファレンス

 

表 29-4 [Connection Profile] の [AAA] タブ

要素
説明

Authentication Method

AAA、証明書、または両方を使用して接続を認証するかどうか。[Certificate] を選択すると、ダイアログボックスのオプションの多くがグレー表示となり、適用されません。

Authentication Server Group

認証サーバ グループの名前(トンネル グループがローカル デバイスに設定されている場合は LOCAL)。AAA サーバ グループ オブジェクトの名前を入力します。または、[Select] をクリックしてリストから選択するか、新しいオブジェクトを作成します。

クライアントの接続先のインターフェイスに基づいて別の認証サーバ グループを使用する場合は、このタブの一番下にある [Interface-Specific Authentication Server Groups] テーブルでサーバ グループを設定します(後述の説明を参照)。

Use LOCAL if Server Group Fails

選択した認証サーバ グループで障害が発生した場合に、ローカルの認証データベースに切り替えるかどうか。

Authorization Server Group

認可サーバ グループの名前(トンネル グループがローカル デバイスに設定されている場合は LOCAL)。AAA サーバ グループ オブジェクトの名前を入力します。または、[Select] をクリックしてリストから選択するか、新しいオブジェクトを作成します。

Users must exist in the authorization database to connect

正常に接続するために、クライアントのユーザ名が認可データベース内に存在することを要求するかどうか。ユーザ名が認可データベース内に存在しない場合、接続が拒否されます。

Accounting Server Group

アカウンティング サーバ グループの名前。AAA サーバ グループ オブジェクトの名前を入力します。または、[Select] をクリックしてリストから選択するか、新しいオブジェクトを作成します。

Strip Realm from Username

Strip Group from Username

ユーザ名を AAA サーバに渡す前に、ユーザ名からレルムまたはグループ名を削除するかどうか。レルムとは管理ドメインのことです。これらのオプションをイネーブルにすると、ユーザ名だけに基づいて認証できます。

これらのオプションを任意に組み合わせてイネーブルにできます。ただし、サーバが区切り文字を解析できない場合は、両方のチェックボックスをオンにする必要があります。

Override Account-Disabled Indication from AAA Server

AAA サーバから「account-disabled」インジケータを上書きするかどうか。この設定は、「account-disabled」インジケータを返すサーバ(NT LDAP を使用する RADIUS、Kerberos など)で有効です。

認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun Microsystems JAVA System Directory Server(旧名称は Sun ONE Directory Server)および Microsoft Active Directory を使用してサポートされます。

Sun :Sun ディレクトリ サーバにアクセスするためにセキュリティ アプライアンスで設定されている DN は、そのサーバ上のデフォルトのパスワード ポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザを使用することを推奨します。または、デフォルト パスワード ポリシーに ACI を設定できます。

Microsoft :Microsoft Active Directory を使用したパスワード管理をイネーブルにするには、LDAP over SSL を設定する必要があります。

Enable Notification Upon Password Expiration to Allow User to Change Password

Enable Notification Prior to Expiration

Notify Prior to Expiration

セキュリティ アプライアンスが、リモート ユーザのログイン時に、現在のパスワードの期限切れが近づいていること、または期限が切れていることを通知し、パスワードを変更する機会を提供するかどうか。

パスワードの期限切れが近づいていることを、前もってユーザに警告する場合には、[Enable Notification Prior to Expiration] を選択して、期限切れ前に通知を開始する日数(1 ~ 180)を指定します。このオプションは、RADIUS、RADIUS 対応 NT サーバ、および LDAP サーバなど、このような通知をサポートする AAA サーバで使用できます。他のタイプのサーバでは、事前の通知は行われません。

Distinguished Name (DN) Authorization Settings

認可用の識別名を使用する方法。Distinguished Name(DN; 識別名)は、個々のフィールドから構成される一意の識別子であり、ユーザをトンネル グループと照合するときに識別子として使用できます。DN ルールは、拡張証明書認証に使用されます。認可中の DN の使用方法を決定するには、以下のオプションを選択します。

[Use Entire DN as the Username]:DN 特定のフィールドに焦点を当てることなく、全体を使用します。

[Specify Individual DN fields as the Username]:特定のフィールドに焦点を当てます。プライマリ フィールドを選択し、オプションでセカンダリ フィールドを選択します。デフォルトでは、Common Name(CN; 共通名)をプライマリとして使用し、Organizational Unit(OU; 組織ユニット)をセカンダリとして使用します。

[Interface-Specific Authentication Server Groups] テーブル

特定のインターフェイスを介して接続するクライアントがグローバル プールとは異なるサーバ グループを使用するように、そのインターフェイスに対して個別の認証サーバ グループを設定する場合は、そのインターフェイスをこのテーブルに追加し、個別のグループを設定します。ここに記載されていないインターフェイスでは、グローバル認証サーバ グループを使用します。この表には、サーバ グループと、サーバ グループが使用可能でない場合にローカル認証を使用するかどうかを示します。

インターフェイス固有の認証グループをリストに追加するには、[Add Row] ボタンをクリックし、「[Add Interface Specific Authentication Server Groups]/[Edit Interface Specific Authentication Server Groups] ダイアログボックス」に入力します。

インターフェイス設定を編集するには、そのインターフェイス設定を選択し、[Edit Row] ボタンをクリックします。

インターフェイス設定を削除するには、そのインターフェイス設定を選択し、[Delete Row] ボタンをクリックします。

[Add Interface Specific Authentication Server Groups]/[Edit Interface Specific Authentication Server Groups] ダイアログボックス

[Add Interface Specific Authentication Server Groups]/[Edit Interface Specific Authentication Server Groups] ダイアログボックスを使用して、Connection Profile ポリシーにインターフェイス固有の認証を設定します。指定されたインターフェイスにクライアントが接続すると、グローバル認証サーバ グループの設定がこの設定によって上書きされます。

ASA デバイスで SSL VPN のセカンダリ AAA サーバを設定する場合、その設定は、ユーザが入力するセカンダリ クレデンシャル セットに対して使用されます。これは、ダイアログボックスの名前に反映されます。

ナビゲーション パス

[Connection Profiles] ダイアログボックスの [AAA] または [Secondary AAA] タブ(「[AAA] タブ([Connection Profiles])」または「[Secondary AAA] タブ([Connection Profiles])」を参照)を開き、[Interface-Specific Address Pools] テーブルの下の [Add Row] をクリックするか、テーブル内の行を選択して [Edit Row] をクリックします。

関連項目

「インターフェイス ロール オブジェクトについて」

「AAA サーバおよびサーバ グループ オブジェクトについて」

フィールド リファレンス

 

表 29-5 [Add (Secondary) Interface Specific Authentication Server Groups]/[Edit (Secondary) Interface Specific Authentication Server Groups]

要素
説明

Interface

認証サーバ グループを設定するインターフェイスまたは(インターフェイスを識別する)インターフェイス ロールの名前。[Select] をクリックして、インターフェイスまたはインターフェイス ロールを選択するか、新しいインターフェイス ロールを作成します。

Server Group

認証サーバ グループの名前(トンネル グループがローカル デバイスに設定されている場合は LOCAL)。AAA サーバ グループ オブジェクトの名前を入力します。または、[Select] をクリックしてリストから選択するか、新しいオブジェクトを作成します。

セカンダリ AAA を設定する場合、2 番めのクレデンシャルに対してこのグループが使用されます。プライマリ クレデンシャルとセカンダリ クレデンシャルには別々のサーバ グループを指定できます。

Use LOCAL if Server Group Fails

選択した認証サーバ グループで障害が発生した場合に、ローカルの認証データベースに切り替えるかどうか。

Use Primary Username

(セカンダリ認証のみ。ASA 8.2+ でのリモート アクセス SSL または IKEv2 IPSec VPN にかぎります)

プライマリ クレデンシャルに使用したのと同じユーザ名をセカンダリ クレデンシャルに使用するかどうか。このオプションを選択した場合、ユーザは、プライマリ クレデンシャルで認証された後、セカンダリ パスワードだけを要求されます。このオプションを選択しない場合は、セカンダリ プロンプトによってユーザ名とパスワードの両方が要求されます。

[Secondary AAA] タブ([Connection Profiles])

[Secondary AAA] タブを使用して、ASA 8.2+ デバイスで使用するリモート アクセス SSL VPN Connection Profile ポリシーまたは ASA 8.4(1)+ デバイスで使用するリモート アクセス IKEv2 IPSec VPN Connection Profile ポリシーにセカンダリ AAA 認証パラメータを設定します。これらの設定は、リモート アクセス IKEv1 IPSec VPN や Easy VPN トポロジ、またはその他のデバイス タイプには適用されません。

ナビゲーション パス

リモート アクセス VPN のみ:[Connection Profiles] ページ(「[Connection Profiles] ページ」を参照)から、[Add Row](+)ボタンをクリックするか、プロファイルを選択して、[Edit Row](鉛筆)ボタンをクリックして、[Connection Profiles] ダイアログボックスを開きます。[Secondary AAA] タブをクリックします。

関連項目

「接続プロファイルの設定(ASA、PIX 7.0+)」

フィールド リファレンス

 

表 29-6 [Connection Profile] の [Secondary AAA] タブ

要素
説明

Enable Double Authentication

リモート アクセス VPN 接続を完了する前に、ユーザに 2 つのクレデンシャル セット(ユーザ名とパスワード)を要求する二重認証をイネーブルにするかどうか。

Secondary Authentication Server Group

2 番めのクレデンシャル セットで使用する認証サーバ グループの名前(トンネル グループがローカル デバイスに設定されている場合は LOCAL です)。AAA サーバ グループ オブジェクトの名前を入力します。または、[Select] をクリックしてリストから選択するか、新しいオブジェクトを作成します。

クライアントの接続先のインターフェイスに基づいて別の認証サーバ グループを使用する場合は、このタブの一番下にある [Secondary Interface-Specific Authentication Server Groups] テーブルでサーバ グループを設定します(後述の説明を参照)。

Use LOCAL if Server Group Fails

選択した認証サーバ グループで障害が発生した場合に、ローカルの認証データベースに切り替えるかどうか。

Use Primary Username for Secondary Authentication

プライマリ クレデンシャルに使用したのと同じユーザ名をセカンダリ クレデンシャルに使用するかどうか。このオプションを選択した場合、ユーザは、プライマリ クレデンシャルで認証された後、セカンダリ パスワードだけを要求されます。このオプションを選択しない場合は、セカンダリ プロンプトによってユーザ名とパスワードの両方が要求されます。

Username for Session

ソフトウェアがユーザ セッションに使用するユーザ名。プライマリ名かセカンダリ名のいずれかとなります。プライマリ名だけを要求する場合は、プライマリを選択します。

(注) デフォルトでは、複数のユーザ名が存在する場合、AnyConnect では、複数のセッションの間、両方のユーザ名を記憶します。さらに、ヘッドエンド デバイスでは、クライアントが両方のユーザ名を記憶するか、または両方とも記憶しないかの管理制御を行う機能が提供される場合があります。

Authorization Authentication Server

認可に使用するサーバ。([AAA] タブで定義されている)プライマリ認証サーバか、このタブで設定されているセカンダリ認証サーバのいずれかです。

Distinguished Name (DN) Secondary Authorization Setting

認可用の識別名を使用する方法。Distinguished Name(DN; 識別名)は、個々のフィールドから構成される一意の識別子であり、ユーザをトンネル グループと照合するときに識別子として使用できます。DN ルールは、拡張証明書認証に使用されます。認可中の DN の使用方法を決定するには、以下のオプションを選択します。

[Use Entire DN as the Username]:DN 特定のフィールドに焦点を当てることなく、全体を使用します。

[Specify Individual DN fields as the Username]:特定のフィールドに焦点を当てます。プライマリ フィールドを選択し、オプションでセカンダリ フィールドを選択します。デフォルトでは、User Identification(UID; ユーザ ID)フィールドだけを使用します。

[Secondary Interface-Specific Authentication Server Groups] テーブル

特定のインターフェイスを介して接続するクライアントがグローバル プールとは異なるサーバ グループを使用するように、そのインターフェイスに対して個別のセカンダリ認証サーバ グループを設定する場合は、そのインターフェイスをこのテーブルに追加し、個別のグループを設定します。ここに記載されていないインターフェイスでは、グローバル認証サーバ グループを使用します。この表には、サーバ グループと、サーバ グループが使用可能でない場合にローカル認証を使用するかどうかを示します。

セカンダリ インターフェイス固有の認証グループをリストに追加するには、[Add Row] ボタンをクリックし、「[Add Interface Specific Authentication Server Groups]/[Edit Interface Specific Authentication Server Groups] ダイアログボックス」に入力します。

インターフェイス設定を編集するには、そのインターフェイス設定を選択し、[Edit Row] ボタンをクリックします。

インターフェイス設定を削除するには、そのインターフェイス設定を選択し、[Delete Row] ボタンをクリックします。

[IPSec] タブ([Connection Profiles])

[Connection Profiles] ページの [IPsec] タブを使用して、接続ポリシーに IPsec および IKE パラメータを指定します。事前共有キー、トラストポイントおよびクライアント ソフトウェア テーブルは、IKE バージョン 1 だけに適用され、IKE Version 2(IKEv2; IKE バージョン 2)には適用されません。


) IKEv2 設定を行うには、[Global Settings] ポリシーの [IKEv2 Settings] タブを使用します。「VPN グローバル IKEv2 設定」を参照してください。


ナビゲーション パス

リモート アクセス VPN:[Connection Profiles] ページ(「[Connection Profiles] ページ」を参照)から、[Add Row](+)ボタンをクリックするか、またはプロファイルを選択して [Edit Row](鉛筆)ボタンをクリックし、[Connection Profiles] ダイアログボックスを開きます。[IPSec] タブをクリックします。

Easy VPN トポロジ:Easy VPN トポロジを選択して、ポリシー ビューまたはサイト間 VPN Manager のいずれかでサイト間 VPN Connection Profile ポリシーを選択します(「[Connection Profiles] ページ」を参照)。[IPSec] タブをクリックします。

関連項目

「接続プロファイルの設定(ASA、PIX 7.0+)」

「Easy VPN における Connection Profile ポリシーの設定」

「Easy VPN について」

フィールド リファレンス

 

表 29-7 [Connection Profiles] の [IPsec] タブ

要素
説明

Preshared Key

(IKEv1 のみ)

接続プロファイルの事前共有キー。事前共有キーの最大長は 127 文字です。[Confirm] フィールドにキーを再入力します。

ヒント IKEv2 リモート アクセス VPN には事前共有キーを設定できません。

Trustpoint Name

(IKEv1 のみ)

トラストポイント名を定義する PKI 登録ポリシー オブジェクトの名前(トラストポイントが IKEv1 接続で設定されている場合)。トラストポイントは Certificate Authority(CA; 認証局)と ID のペアを表し、CA の ID、CA 固有の設定パラメータ、および登録されている 1 つの ID 証明書との関連付けが含まれます。

[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

ヒント

トラストポイントを指定した場合、公開キー インフラストラクチャ ポリシーで同じ PKI 登録オブジェクトを選択する必要があります。詳細については、「リモート アクセス VPN での公開キー インフラストラクチャ ポリシーの設定」を参照してください。

IKEv2 の場合、グローバル設定ポリシーの [IKEv2 Settings] タブでトラストポイントを設定します(「VPN グローバル IKEv2 設定」を参照)。

IKE Peer ID Validation

IKE ピア ID 検証を無視する(確認しない)か、必須とするか、または証明書によってサポートされている場合にかぎり確認するかを選択します。IKE ネゴシエーション中、ピアは互いに自身を識別する必要があります。

Enable Sending Certificate Chain

認可の証明書チェーンの送信をイネーブルにするかどうか。証明書チェーンには、ルート CA 証明書、ID 証明書、およびキー ペアが含まれます。

Enable Password Update with RADIUS Authentication

RADIUS 認証プロトコルを使用してパスワードを更新できるかどうか。詳細については、「サポートされる AAA サーバ タイプ」を参照してください。

ISAKMP Keepalive

ISAKMP キープアライブをモニタするかどうか。[Monitor Keepalive] オプションを選択した場合、デフォルトのフェールオーバーおよびルーティングのメカニズムとして IKE キープアライブを設定できます。次のパラメータを入力します。

[Confidence Interval]:IKE キープアライブ パケットの送信と送信の間のデバイスの待機時間(秒単位)。

[Retry Interval]:デバイスがリモート ピアとの IKE 接続の確立を試行する間隔(秒単位)。デフォルトは 2 秒です。

詳細については、「VPN グローバル ISAKMP/IPsec 設定」を参照してください。

[Client Software Update] テーブル

(IKEv1 のみ)

クライアント プラットフォームの VPN クライアントのリビジョン レベルおよび URL。すべての [All Windows Platforms]、[Windows 95/98/ME]、[Windows NT4.0/2000/XP]、または [VPN3002 Hardware Client] に対して別々のリビジョン レベルを設定できます。

プラットフォームにクライアントを設定するには、クライアントを選択して [Edit Row] ボタンをクリックし、「[IPSec Client Software Update] ダイアログボックス」に入力します。

[IPSec Client Software Update] ダイアログボックス

[IPsec Client Software Update] ダイアログボックスを使用して、VPN クライアントの特定のリビジョン レベルおよびイメージ URL を設定します。

ナビゲーション パス

[Connection Profiles] ダイアログボックスの [IPSec] タブを開き(「[IPSec] タブ([Connection Profiles])」を参照)、[Client Software Update] テーブルからクライアント タイプを選択して、[Edit Row] をクリックします。

フィールド リファレンス

 

表 29-8 [IPSec Client Software Update] ダイアログボックス

要素
説明

Client Type

変更するクライアントのタイプ。

Client Revisions

クライアントのリビジョン レベル。

Image URL

クライアント ソフトウェア イメージの URL。

[SSL] タブ([Connection Profiles])

[Connection Profile] ダイアログボックスの [SSL] タブを使用して、Connection Profile ポリシーの WINS サーバの設定、SSL VPN エンドユーザ ログイン Web ページのカスタマイズ済みルック アンド フィールの選択、クライアント アドレス割り当てに使用する DHCP サーバの選択、およびインターフェイスとクライアント IP アドレス プールの関連付けの確立を行います。接続プロファイル エイリアスなどの一部の設定は、リモート アクセス IKEv2 IPsec VPN には適用されますが、これらの設定は、リモート アクセス IKEv1 IPSec VPN または Easy VPN トポロジには適用されません。

ナビゲーション パス

リモート アクセス VPN のみ:[Connection Profiles] ページ(「[Connection Profiles] ページ」を参照)から、[Add Row](+)ボタンをクリックするか、プロファイルを選択して、[Edit Row](鉛筆)ボタンをクリックして、[Connection Profiles] ダイアログボックスを開きます。[SSL] タブをクリックします。

関連項目

「接続プロファイルの設定(ASA、PIX 7.0+)」

「WINS/NetBIOS Name Service(NBNS)サーバの設定による SSL VPN でのファイル システム アクセスのイネーブル化」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

フィールド リファレンス

 

表 29-9 [Connection Profile] の [SSL] タブ

要素
説明

WINS Servers List

CIFS 名前解決に使用する Windows Internet Naming Server(WINS)サーバ リストの名前。[Select] をクリックして WINS サーバ リストからポリシー オブジェクトを選択するか、または新しいオブジェクトを作成します。

SSL VPN は、CIFS プロトコルを使用して、リモート システムのファイルにアクセスまたは共有します。Windows コンピュータの名前を使用してそのコンピュータへのファイル共有接続を試行する場合、指定するファイル サーバは、ネットワーク上のリソースを識別する特定の WINS サーバ名と対応しています。

WINS サーバ リストは、Windows ファイル サーバ名を IP アドレスに変換するために使用される WINS サーバのリストを定義するものです。セキュリティ アプライアンスは、WINS サーバを照会して、WINS 名を IP アドレスにマップします。少なくとも 1 台の WINS サーバを設定する必要があります。冗長性のために最大 3 台設定できます。セキュリティ アプライアンスは、リストの最初のサーバを WINS/CIFS 名前解決に使用します。クエリーが失敗すると、次のサーバが使用されます。

DNS Group

SSL VPN トンネル グループに使用する DNS グループ。DNS グループは、ホスト名をトンネル グループに適した DNS サーバに解決します。リストから目的のグループを選択します。DefaultDNS グループは、デバイスで常に使用できるデフォルト グループです。

> [Device Admin] > [Server Access] > [DNS] ポリシーで定義されます。DNS ポリシーを使用して、グループで定義されているサーバを変更するか、グループを追加または削除します。「[DNS] ページ」を参照してください。

Portal Page Customization

VPN のデフォルト ポータル ページを定義する [SSL VPN Customization] ポリシー オブジェクトの名前。このプロファイルでは、リモート ユーザが SSL VPN 上で使用可能なすべてのリソースにアクセスできるようにするためのポータル ページの外観を定義します。[Select] をクリックしてオブジェクトを選択するか、または新しいオブジェクトを作成します。

(注) カスタマイゼーション プロファイルとグループの組み合わせを使用することで、個々のグループにそれぞれ異なるログイン ウィンドウを設定できます。たとえば、salesgui という名前のカスタマイゼーション プロファイルを作成してあるとすると、そのカスタマイゼーション プロファイルを使用する sales という名前の SSL VPN グループを作成できます。次に、[SSL VPN] > [Settings] タブのグループ ポリシー オブジェクトで、SSL VPN カスタマイゼーション オブジェクトを指定します(「ASA グループ ポリシーの SSL VPN 設定」を参照)。

Override SVC Download

特定のトンネルグループでログインしているクライアントレス ユーザには、ダウンロード プロンプトが終了するまで待たせることなく、クライアントレス SSL VPN ホームページを表示するかどうかを指定します。表示する場合、これらのユーザには即時にクライアントレス SSL VPN ホームページが表示されます。

Reject Radius Message

認証の失敗に関する RADIUS メッセージをリモート ユーザに表示するかどうかを指定します。

[Connection Aliases] テーブル

トンネル グループを参照できる代替名のリスト。このステータスは、名前がイネーブル(使用できる)またはディセーブル(使用できない)かを示します。

グループ エイリアスにより、ユーザがトンネル グループの参照に使用できる 1 つ以上の代替名が作成されます。同じグループが複数の通常名(「Devtest」と「QA」など)で認識されている場合は、この機能が役立ちます。トンネル グループの実際の名前をこのリストに表示する場合は、その名前をエイリアスとして指定する必要があります。ここで指定したグループ エイリアスは、ログイン ページに表示されます。各トンネル グループには複数のエイリアスがあることも、エイリアスがまったくないこともあります。

エイリアスを追加するには、テーブルの下の [Add Row](+)ボタンをクリックして、「[Add Connection Alias]/[Edit Connection Alias] ダイアログボックス」に入力します。

エイリアスを編集するには、プロポーザルを選択し、[Edit Row](鉛筆)ボタンをクリックします。

エイリアスを削除するには、そのエイリアスを選択し、[Delete Row](ゴミ箱)ボタンをクリックします。

[Group URLs] テーブル

トンネル グループ接続プロファイルに関連付けられる URL のリスト。このステータスは、URL が使用できるかどうかを示します。使用できる場合、ユーザは、URL を使用できるため、ログイン中にグループを選択する必要がなくなります。

1 つのトンネル グループに対して複数の URL を設定できます。または、URL を設定しないこともできます。各 URL は、個別にイネーブルまたはディセーブルにできます。URL ごとに、HTTP または HTTPS プロトコルを使用して URL 全部を指定することにより、個別の指定を使用する必要があります。

URL を追加するには、テーブルの下の [Add Row](+)ボタンをクリックして、「[Add Connection URL]/[Edit Connection URL] ダイアログボックス」に入力します。

URL を編集するには、ペアを選択し、[Edit Row](鉛筆)ボタンをクリックします。

URL を削除するには、その URL を選択し、[Delete Row](ゴミ箱)ボタンをクリックします。

Disable CSD

この接続プロファイルで Cisco Secure Desktop(CSD)をディセーブルにするかどうかを指定します。通常、このオプションはディセーブルにされています。ダイナミック アクセス ポリシーで CSD を設定します。

[Add Connection Alias]/[Edit Connection Alias] ダイアログボックス

[Add Connection Alias]/[Edit Connection Alias] ダイアログボックスを使用して、SSL または IKEv2 IPsec VPN 接続プロファイルの接続エイリアスを作成または編集します。接続エイリアスを指定すると、ユーザがトンネル グループの参照に使用できる 1 つ以上の代替名が作成されます。

ナビゲーション パス

[Connection Profiles] ダイアログボックスの [SSL] タブ(「[SSL] タブ([Connection Profiles])」を参照)を開き、[Connection Alias] テーブルの下の [Add Row] をクリックするか、テーブルからエイリアスを選択して [Edit Row] をクリックします。

フィールド リファレンス

 

表 29-10 [Add Connection Alias]/[Edit Connection Alias] ダイアログボックス

要素
説明

Enabled

接続エイリアスをイネーブルにするかどうか指定します。エイリアスを使用するユーザには、エイリアスをイネーブルにする必要があります。

Connection Alias

接続プロファイルの代替名。

ここで指定した接続エイリアスは、ユーザのログイン ページのリストに表示されます。

[Add Connection URL]/[Edit Connection URL] ダイアログボックス

このダイアログボックスを使用して、トンネル グループに着信 URL を指定します。トンネル グループ内の接続 URL がイネーブルになっている場合、ユーザがその URL を使用して接続すると、セキュリティ アプライアンスにより、関連付けられたトンネル グループが選択され、ログイン ウィンドウ内にユーザ名フィールドとパスワード フィールドだけが表示されます。

ヒント

1 つのグループに対して複数の URL またはアドレスを設定できます(何も設定しないこともできます)。各 URL またはアドレスは、個別にイネーブルまたはディセーブルにできます。

同じ URL またはアドレスを複数のグループに関連付けることはできません。セキュリティ アプライアンスは、トンネル グループの URL またはアドレスを受け入れる前に、URL またはアドレスの一意性を検証します。

ナビゲーション パス

[Connection Profiles] ダイアログボックスの [SSL] タブ(「[SSL] タブ([Connection Profiles])」を参照)を開き、[Group URLs] テーブルの下の [Add Row] をクリックするか、テーブルから URL を選択して [Edit Row] をクリックします。

フィールド リファレンス

 

表 29-11 [Add Connection URL]/[Edit Connection URL] ダイアログボックス

要素
説明

Enabled

接続エイリアスをイネーブルにするかどうか指定します。エイリアスを使用するユーザには、エイリアスをイネーブルにする必要があります。

Connection URL

リストからプロトコル([http] または [https])を選択し、接続の着信 URL を指定します。

リモート アクセス VPN のグループ ポリシーの設定

[Group Policies] ページでは、ASA リモート アクセス VPN 接続プロファイルに定義されているユーザ グループ ポリシーを参照できます。このページから、新しい ASA ユーザ グループを指定したり、既存の ASA ユーザ グループを編集したりできます。接続プロファイルを作成するときに、デバイスで使用されていないグループ ポリシーを指定した場合、このグループ ポリシーは自動的に [Group Policies] ページに追加されます。接続プロファイルを作成する前に、このポリシーに追加する必要はありません。接続プロファイルの作成については、「接続プロファイルの設定(ASA、PIX 7.0+)」を参照してください。

グループ ポリシーの詳細については、「グループ ポリシーについて(ASA)」を参照してください。


ヒント ダイナミック アクセス ポリシーは、グループ ポリシーに優先します。ダイナミック アクセス ポリシーで設定を指定していない場合、ASA デバイスは設定を指定しているグループ ポリシーがないかどうかを確認します。

テーブル内の各行は、ASA グループ ポリシー オブジェクトを表します。これには、リモート アクセス VPN 接続プロファイルに割り当てられているポリシー オブジェクトの名前、そのポリシー オブジェクトが ASA デバイス自体([Internal])または AAA サーバ([External])のいずれに格納されるか、および、そのグループが IKEv1(IPsec)、IKEv2(IPsec)または SSL、あるいはすべてのタイプの VPN に対応しているかが表示されます。外部グループの場合、プロトコルは認識されず、N/A として表示されます。

ASA グループ ポリシー オブジェクトを追加するには、[Add Row] ボタンをクリックします。これにより、オブジェクト セレクタが開きます。ここから、既存のポリシー オブジェクトを選択するか、[Create] ボタンをクリックして新しいオブジェクトを作成します。グループ ポリシーの作成の詳細については、「グループ ポリシーの作成(ASA、PIX 7.0+)」を参照してください。


) 名前に DfltGrpPolicy を含むグループ ポリシーを複数作成することはできません。DfltGrpPolicy は、デバイスで定義されているデフォルトのポリシーです。Security Manager が、リモート アクセス ポリシー検出中にこのグループを検出すると、このグループは、リストで名前 <device_display_name>DfltGrpPolicy の下に表示されます。設定をデバイスに展開すると、DfltGrpPolicy が正しく更新されるため、表示名プレフィクスが削除されます。詳細については、「リモート アクセス VPN ポリシーの検出」を参照してください。


オブジェクトを編集するには、オブジェクトを選択して [Edit Row] ボタンをクリックし、「[ASA Group Policies] ダイアログボックス」を開きます。

オブジェクトをポリシーから削除するには、オブジェクトを選択して [Delete Row] ボタンをクリックします。関連付けられたポリシー オブジェクトは、このポリシーから取り除かれるだけで、削除されません。


) デフォルトのグループ ポリシーを削除することはできません。


ナビゲーション パス

(デバイス ビュー)ASA デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [Group Policies] を選択します。

(ポリシー ビュー)ポリシー セレクタから、[Remote Access VPN] > [Group Policies (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

グループ ポリシーについて(ASA)

リモート アクセス IPSec VPN 接続またはリモート アクセス SSL VPN 接続を設定する場合は、リモート クライアントが属するユーザ グループを作成する必要があります。ユーザ グループ ポリシーは、リモート アクセス VPN 接続のためのユーザ指向の属性と値のペアのセットで構成され、デバイス内部(ローカル)または外部の AAA サーバに保存されます。接続プロファイルは、接続確立後のユーザ接続条件を設定するユーザ グループ ポリシーを使用します。グループ ポリシーを使用すると、ユーザまたはユーザのグループに属性セット全体を適用できるので、ユーザごとに各属性を個別に指定する必要がありません。


ヒント ダイナミック アクセス ポリシーは、グループ ポリシーに優先します。ダイナミック アクセス ポリシーで設定を指定していない場合、ASA デバイスは設定を指定しているグループ ポリシーがないかどうかを確認します。

ASA ユーザ グループは、次の属性で構成されます。

グループ ポリシー ソース。ユーザ グループの属性および値を、セキュリティ アプライアンスの内部(ローカル)に格納するか、外部の AAA サーバに格納するかどうかを指定します。ユーザ グループを外部タイプとした場合は、そのユーザ グループにその他の設定をする必要はありません。詳細については、「[ASA Group Policies] ダイアログボックス」を参照してください。

クライアント設定。Easy VPN またはリモート アクセス VPN でユーザ グループの Cisco クライアント パラメータを指定します。詳細については、「ASA グループ ポリシーのクライアント設定」を参照してください。

クライアント ファイアウォール属性。Easy VPN またはリモート アクセス VPN で VPN クライアントのファイアウォール設定を行います。詳細については、「ASA グループ ポリシーのクライアント ファイアウォール属性」を参照してください。

ハードウェア クライアント属性。Easy VPN またはリモート アクセス VPN で VPN 3002 ハードウェア クライアント設定を行います。詳細については、「ASA グループ ポリシーのハードウェア クライアント属性」を参照してください。

IPsec 設定。Easy VPN またはリモート アクセス VPN のユーザ グループにトンネリング プロトコル、フィルタ、接続設定、およびサーバを指定します。詳細については、「ASA グループ ポリシーの IPSec 設定」を参照してください。

ASA ユーザ グループのクライアントレス設定。SSL VPN で企業ネットワークへのクライアントレス アクセス モードを設定します。詳細については、「ASA グループ ポリシーの SSL VPN クライアントレス設定」を参照してください。

ASA ユーザ グループのフル クライアント設定。SSL VPN で企業ネットワークへのフル クライアント アクセス モードを設定します。詳細については、「ASA グループ ポリシーの SSL VPN フル クライアント設定」を参照してください。

一般設定。SSL VPN でのクライアントレス/ポート転送に必要です。詳細については、「ASA グループ ポリシーの SSL VPN 設定」を参照してください。

DNS/WINS 設定。DNS サーバと WINS サーバ、および ASA ユーザ グループに関連付けられたリモート クライアントにプッシュされるドメイン名を定義します。詳細については、「ASA グループ ポリシーの DNS/WINS 設定」を参照してください。

スプリット トンネリング。条件に応じて、リモート クライアントがパケットを暗号化された形式で IPsec VPN または SSL VPN トンネル上を送信したり、クリア テキスト形式でネットワーク インターフェイスに送信したりできます。詳細については、「ASA グループ ポリシーのスプリット トンネリング設定」を参照してください。

ASA ユーザ グループのリモート アクセスまたは SSL の VPN セッション接続設定。詳細については、「ASA グループ ポリシーの接続設定」を参照してください。

関連項目

「グループ ポリシーの作成(ASA、PIX 7.0+)」

「リモート アクセス VPN のグループ ポリシーの設定」

グループ ポリシーの作成(ASA、PIX 7.0+)

[Group Policies] ページを使用して、リモート アクセス IPSec VPN で使用される ASA または PIX 7.0+ デバイス、あるいはリモート アクセス SSL VPN で使用される ASA デバイスのグループ ポリシーを作成します。グループ ポリシーについては、次を参照してください。

「グループ ポリシーについて(ASA)」

「リモート アクセス VPN のグループ ポリシーの設定」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA または PIX 7.0+ デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [Group Policies] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [Group Policies (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Group Policies] ページが開きます。このテーブルには、既存のグループ ポリシーと、それらがデバイスで内部的に定義されるか AAA サーバで外部的に定義されるか、およびグループのプロトコル(IKEv1(IPsec)、IKEv2(IPsec)、または SSL)のリストが示されます。

ステップ 2 [Add Row](+)をクリックするとダイアログボックスが開き、そこで、定義済みの ASA ユーザ グループ オブジェクトのリストからユーザ グループを選択したり、必要に応じて新しいユーザ グループを作成したりできます。新しいグループを作成するには、ダイアログボックスの [Create](+)ボタンをクリックします。

ステップ 3 必要な ASA ユーザ グループをリストから選択して [OK] をクリックします。必要なグループがすでに存在する場合は終了です。

必要な ASA ユーザ グループが存在しない場合、[Create](+)をクリックして作成します。[Add ASA User Group] ダイアログボックスが開き、ASA ユーザ グループ オブジェクトに設定可能な設定のリストが表示されます。このダイアログボックスの要素の詳細については、「[ASA Group Policies] ダイアログボックス」を参照してください。

ステップ 4 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 5 ASA ユーザ グループの属性と値をデバイスのローカルに保存するか、外部サーバに保存するかを選択します。


) ASA ユーザ グループの属性を外部サーバに保存するよう選択した場合は、テクノロジー設定を行う必要はありません。認証に使用する AAA サーバ グループと AAA サーバのパスワードを指定して [OK] をクリックし、オブジェクト セレクタでグループを選択して [OK] をクリックして、ポリシーにグループを追加します。


ステップ 6 ASA ユーザ グループの属性をデバイスのローカルに保存するよう選択した場合は、[Technology] リストから、ASA ユーザ グループを作成する VPN のタイプを選択します。

[Easy VPN/IPSec IKEv1]:IKE バージョン 1 ネゴシエーションを使用するリモート アクセス IPsec VPN 用。

[Easy VPN/IPSec IKEv2]:(ASA のみ)IKE バージョン 2 ネゴシエーションを使用するリモート アクセス IPsec VPN 用。

[SSL Clientless]:(ASA のみ)SSL VPN、すべてのアクセス モード用(クライアントレスだけではありません)

ステップ 7 Easy VPN/IPSec IKEv1 および Easy VPN/IPSec IKEv2 のユーザ グループを設定するには、[Settings] ペインの [Easy VPN/IPSec VPN] フォルダから次のことを実行します。

a. [Client Configuration] を選択して、Cisco クライアント パラメータを設定します。これらの設定の詳細については、「ASA グループ ポリシーのクライアント設定」を参照してください。

b. [Client Firewall Attributes] を選択して、VPN クライアントのファイアウォール設定を行います。これらの設定の詳細については、「ASA グループ ポリシーのクライアント ファイアウォール属性」を参照してください。

c. [Hardware Client Attributes] を選択して、VPN 3002 ハードウェア クライアント設定を行います。これらの設定の詳細については、「ASA グループ ポリシーのハードウェア クライアント属性」を参照してください。

d. [IPsec] を選択して、トンネリング プロトコル、フィルタ、接続設定、およびサーバを指定します。これらの設定の詳細については、「ASA グループ ポリシーの IPSec 設定」を参照してください。

ステップ 8 SSL VPN のユーザ グループを設定するには、[Settings] ペインの SSL VPN フォルダから次の手順を実行します。

a. [Clientless] を選択して、SSL VPN で企業ネットワークへのクライアントレス アクセス モードを設定します。これらの設定の詳細については、「ASA グループ ポリシーの SSL VPN クライアントレス設定」を参照してください。

b. [Full Client] を選択して、SSL VPN で企業ネットワークへのフル クライアント アクセス モードを設定します。これらの設定の詳細については、「ASA グループ ポリシーの SSL VPN フル クライアント設定」を参照してください。

c. [Settings] を選択して、SSL VPN のクライアントレス アクセス モードおよびシン クライアント(ポート転送)アクセス モードに必要な一般設定を行います。これらの設定の詳細については、「ASA グループ ポリシーの SSL VPN 設定」を参照してください。

ステップ 9 [Settings] ペインの Easy VPN/IPSec IKEv1 または IKEv2 VPN および SSL VPN 設定で、ASA ユーザ グループに次の設定を指定します。

a. [DNS/WINS] を選択して、DNS サーバと WINS サーバ、および ASA ユーザ グループに関連付けられたクライアントにプッシュされるドメイン名を定義します。これらの設定の詳細については、「ASA グループ ポリシーの DNS/WINS 設定」を参照してください。

b. [Split Tunneling] を選択して、条件に応じてリモート クライアントが暗号化されたパケットをセキュア トンネル経由で中央サイトに送信できるようにし、同時にネットワーク インターフェイスを介したインターネットへのクリア テキスト トンネルを許可します。これらの設定の詳細については、「ASA グループ ポリシーのスプリット トンネリング設定」を参照してください。

c. [Connection Settings] を選択して、セッション、アイドル タイムアウト、およびバナー テキストなど、ASA ユーザ グループの SSL VPN 接続設定を行います。これらの設定の詳細については、「ASA グループ ポリシーの接続設定」を参照してください。

ステップ 10 [OK] をクリックします。

ステップ 11 ASA ユーザ グループをリストから選択して [OK] をクリックします。


 

IPSec VPN ポリシーの使用

IPSec VPN に対しては、特定のポリシーを設定する必要があります。次のトピックでは、これらのリモート アクセス IPsec VPN ポリシーについて説明します。ただし、IKE プロポーザル ポリシーは、「IKE プロポーザルの設定」で説明します。

ここでは、次の項目について説明します。

「Certificate to Connection Profile Map ポリシーの設定(ASA)」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定(ASA、PIX 7.0 以降のデバイス)」

Certificate to Connection Profile Map ポリシーの設定(ASA)

Certificate to Connection Profile Map ポリシーは、リモート アクセス IKEv1 IPSec VPN の ASA デバイスでの拡張証明書認証に使用されます。これらは、リモート アクセス IKEv2 IPSec または SSL VPN では使用されません。

Certificate to Connection Profile Map ポリシーにより、指定したフィールドに基づいて、ユーザの証明書を権限グループと照合するルールを定義できます。認証を確立するため、証明書の任意のフィールドを使用することも、またはすべての証明書ユーザが権限グループを共有することもできます。グループは、DN ルール、[Organization Unit (OU)] フィールド、IKE ID、またはピア IP アドレスから照合できます。これらの方式のいずれかまたはすべてを使用できます。

証明書の DN フィールドに基づいてユーザ権限グループを照合するには、照合するフィールドを指定したルールをグループに定義し、その選択グループに対して各ルールをイネーブルにします。接続プロファイルにルールを作成するには、設定に接続プロファイルが存在している必要があります。

ここでは、ASA サーバ デバイスに接続を試みるリモート クライアントの Certificate to Connection Profile Map ポリシーを設定する方法について説明します。


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [IPSec VPN] > [Certificate to Connection Profile Maps] > [Policies] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [IPSec VPN] > [Certificate to Connection Profile Maps] > [Policies] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Certificate to Connection Profile Map Policies] ページが開きます。

ステップ 2 次のいずれか、またはすべてのオプションを選択して、認証を確立し、クライアントをマッピングする接続プロファイル(トンネル グループ)を決定します。

[Use Configured Rules to Match a Certificate to a Group]:[Certificate to Connection Profile Maps] > [Rules] ポリシーで定義されているルールを使用します。ルールの設定については、「証明書/接続プロファイル マップ ルールの設定(ASA)」を参照してください。

[Use Certificate Organization Unit (OU) Field to Determine the Group]:クライアント証明書の Organizational Unit(OU; 組織ユニット)フィールドを使用します。

[Use IKE Identify to Determine the Group]:IKE ID を使用します。

[Use Peer IP address to Determine the Group]:ピアの IP アドレスを使用します。


 

証明書/接続プロファイル マップ ルールの設定(ASA)

証明書/接続プロファイル マップを設定して、[Use Configured Rules to Match a Certificate to a Group](「Certificate to Connection Profile Map ポリシーの設定(ASA)」を参照)オプションを選択した場合、ユーザ証明書に基づいたユーザと接続プロファイルとの照合に必要なルールを設定する必要があります。

証明書のフィールドに基づいてユーザ権限グループを照合するには、照合するフィールドを指定したルールをグループに定義し、その選択グループに対して各ルールをイネーブルにします。ルールを作成してマッピングする前に、接続プロファイル(トンネル グループ)を定義する必要があります。

ここでは、証明書/接続プロファイル マップ ルール、および ASA サーバ デバイスに接続を試みるリモート クライアントのパラメータを設定する方法について説明します。


ヒント Certificate to Connection Profile Map ポリシーは、リモート アクセス IKEv1 IPSec VPN だけに適用されます。IKEv2 または SSL VPN には適用されません。

始める前に

マッピング ルールを作成する接続プロファイルがデバイスで設定されていることを確認してください。「接続プロファイルの設定(ASA、PIX 7.0+)」を参照してください。

[Certificate to Connection Profile Maps Policies] ポリシーで [Use Configured Rules to Match a Certificate to a Group] を選択したことを確認します。「Certificate to Connection Profile Map ポリシーの設定(ASA)」を参照してください。


ステップ 1 (デバイス ビュー限定)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [IPSec VPN] > [Certificate to Connection Profile Maps] > [Rules] を選択します。

[Certificate to Connection Profile Map Rules] ページが表示されます。ポリシーには次の 2 つのテーブルがあります。

マップ テーブル(上半分のテーブル):上半分のテーブルには、証明書/接続マップ ルールを定義するすべての接続プロファイルのリストが示されます。各行はプロファイル マップであり、マップされる接続プロファイルの名前、マップのプライオリティ(数字が小さいほどプライオリティが高い)およびマップ名が含まれます。同じ接続プロファイルに複数のマップを設定できます。

このマップにルールを設定するには、ルールを選択し、ルール テーブルを使用してルールを作成、編集、および削除します。

マップを追加するには、[Add Row] ボタンをクリックし、「[Map Rule] ダイアログボックス(上半分のテーブル)」に入力します。

(ルールではなく)マップ プロパティを編集するには、マップ プロパティを選択し、[Edit Row] ボタンをクリックします。

マップ全体を削除するには、マップを選択し、[Delete Row] ボタンをクリックします。

ルール テーブル(下半分のテーブル):上半分のテーブルで選択されているマップのルール。マップが上半分のテーブルで実際に選択されていることを確認する必要があります。ルール テーブルの上にあるグループ タイトルに、[Details for (Connection Profile Name)] と表示されている必要があります。

マップを選択すると、そのマップに設定されているすべてのルールがテーブルに表示されます。このテーブルには、フィールド([subject] または [issuer])、証明書コンポーネント、一致演算子、およびルールによって検索される値などが表示されます。デバイスがマップされた接続プロファイルを使用するには、リモート ユーザはすべての設定済みルールをマップと照合する必要があります。

ルールを追加するには、[Add Row] ボタンをクリックし、「[Map Rule] ダイアログボックス(下半分のテーブル)」に入力します。

ルールを編集するには、ルールを選択し、[Edit Row] ボタンをクリックします。

ルールを削除するには、ルールを選択し、[Delete Row] ボタンをクリックします。

ステップ 2 ルールをマップに追加するには、次の手順を実行します。

a. 上半分のテーブルでマップを選択します。

マップが存在しない場合、上側のテーブルの下にある [Add Row](+)ボタンをクリックして作成し、マップ作成に関する情報を [Map Rule] ダイアログボックスに入力します。このダイアログボックスでは、マップの接続プロファイルを選択して、1 ~ 65535(数値が低いほどプライオリティが高くなります)の相対的プライオリティを割り当て、一意のマップ名を割り当てる必要があります。

b. マップが実際に選択されていることを確認してください。テーブルのマップが強調表示されているだけでは選択されていることにはなりません。下側のテーブルの上にあるヘッダーは、[Details for (Connection Profile Name)] でなければなりません。新規に作成されたマップでないかぎり、テーブルには、いくつかのルールが表示されます。

c. リモート クライアントがこのマップのプロファイルを使用するデバイスに接続するために満たす必要がある新しい証明書を、接続プロファイル照合ルールに追加するには、下側のテーブルの下にある [Add Row](+)ボタンをクリックします。これにより、さまざまなフィールドを示す [Map Rule] ダイアログボックスが開きます。


) 「Missing Settings, A value ID required for Mapping field, Please select a Mapping」というエラー メッセージが表示された場合、上側のテーブルでマップが正常に選択されていません。必要なマップをもう一度クリックしてください。


d. [Field] リストから、ルールにより、クライアント証明書の [Subject or Issuer] フィールドが検証されるかどうかを選択します。

e. [Component] リストから、一致ルールに対して使用するクライアント証明書のコンポーネントを選択します。

f. [Operator] フィールドから、コンポーネントと [Value] フィールドの比較方法を [Equals](完全一致)、[Contains](値全体が表示)、[Does Not Equal]、[Does Not Contain] から選択します。

g. [Value] フィールドで、照合する値を指定し、[OK] をクリックしてルールを保存します。

h. 必要に応じて、別の記録をマップに追加します。

ステップ 3 [Default Connection Profile] フィールドで、いずれのマップ ルールにも一致しないユーザに使用する接続プロファイルを選択します。


 

[Map Rule] ダイアログボックス(上半分のテーブル)

[Certificate to Connection Profile Maps] > [Rules policy] の上側にマップ テーブルに対して開かれた [Map Rule] ダイアログボックスを使用して、マップを設定します。次に、このマップに対して、[Rules policy] の下半分のテーブルでルールを設定できます。これらのマップおよび関連付けられるルールの詳細については、「証明書/接続プロファイル マップ ルールの設定(ASA)」を参照してください。

ナビゲーション パス

(デバイス ビューだけ)ASA デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [IPSec VPN] > [Certificate to Connection Profile Maps] > [Rules] を選択します。上側のテーブルの下にある [Add Row] ボタンをクリックするか、上側のテーブルでマップを選択して [Edit Row] をクリックします。

フィールド リファレンス

 

表 29-12 [Map Rule] ダイアログボックス(上半分のテーブル)

要素
説明

Connection Profile

一致ルールを作成する接続プロファイルを選択します。この接続プロファイルに接続しようとするクライアントは、デバイスに接続するための関連付けられた一致ルールの条件を満たす必要があります。

Priority

一致ルールのプライオリティ番号(1 ~ 65535)。番号が小さいほどプライオリティが高くなります。たとえば、プライオリティ番号が 2 の一致ルールは、プライオリティ番号が 5 の一致ルールよりもプライオリティが高くなります。

複数のマップを作成した場合、それらのマップはプライオリティの順に処理されます。ユーザがマップされるプロファイルは最初の一致ルールによって決まります。

Map Name

接続プロファイル マップの名前。

[Map Rule] ダイアログボックス(下半分のテーブル)

[Certificate to Connection Profile Maps] > [Rules policy] の下側のルール テーブルに対して開かれた [Map Rule] ダイアログボックスを使用して、マップ テーブル([Rules policy] の上側のテーブル)で選択されているマップのルールを設定します。これらのルールの設定の詳細については、「証明書/接続プロファイル マップ ルールの設定(ASA)」を参照してください。

ナビゲーション パス

(デバイス ビューだけ)ASA デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [IPSec VPN] > [Certificate to Connection Profile Maps] > [Rules] を選択します。下側のテーブルの下にある [Add Row] ボタンをクリックするか、下側のテーブルでルールを選択して [Edit Row] をクリックします。

フィールド リファレンス

 

表 29-13 [Map Rule] ダイアログボックス(下半分のテーブル)

要素
説明

Field

クライアント証明書の [Subject] または [Issuer] に従って、一致ルールのフィールドを選択します。

Component

一致ルールに対して使用するクライアント証明書のコンポーネントを選択します。

Operator

一致ルールの演算子を次のうちから選択します。

[Equals]:証明書コンポーネントは、入力された値と一致する必要があります。完全に一致しない場合、接続は拒否されます。

[Contains]:証明書コンポーネントには、入力された値が含まれている必要があります。コンポーネントにその値が含まれていない場合、接続は拒否されます。

[Does Not Equal]:証明書コンポーネントは、入力された値と 等しくない 必要があります。たとえば、選択された証明書コンポーネントが Country であり、入力された値が US である場合、クライアントの国の値が US と等しければ、接続が拒否されます。

[Does Not Contain]:証明書コンポーネントには、入力された値が 含まれていない 必要があります。たとえば、選択された証明書コンポーネントが Country であり、入力された値が US である場合、クライアントの国の値に US が含まれていると、接続が拒否されます。

Value

一致ルールの値。入力された値は、選択されたコンポーネントおよび演算子と関連付けられています。

リモート アクセス VPN サーバの IPsec プロポーザルの設定(ASA、PIX 7.0 以降のデバイス)

ここでは、サーバが ASA または PIX 7.0+ デバイスである場合のリモート アクセス VPN サーバの IPsec プロポーザルを作成または編集する方法について説明します。Catalyst 6500/7600 デバイスなど、IOS または PIX 6.3 デバイスの IPsec プロポーザルを設定する場合は、「リモート アクセス VPN サーバの IPsec プロポーザルの設定(IOS、PIX 6.3 デバイス)」を参照してください。

IPsec プロポーザルは、1 つ以上のクリプト マップのコレクションです。クリプト マップには、IPsec ルール、トランスフォーム セット、リモート ピア、および IPsec SA の定義に必要となる可能性のあるその他のパラメータを含め、IPsec Security Association(SA; セキュリティ アソシエーション)の設定に必要なすべてのコンポーネントが組み合わされています。

IPsec プロポーザルを設定する場合は、リモート アクセス クライアントがサーバに接続する外部インターフェイス、IKE ネゴシエーション中に使用する IKE バージョン、および VPN トンネル内のデータを保護する暗号化と認証のアルゴリズムを定義する必要があります。逆ルート注入および NAT 通過をイネーブルにすることもできます。

IPsec トンネルの概念の詳細については、「IPsec プロポーザルについて」を参照してください。

関連項目

「テーブル カラムおよびカラム見出しの機能」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから、[Remote Access VPN] > [IPSec VPN](ASA/PIX 7.x)> [IPsec Proposal] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [IPSec VPN] > [IPsec Proposal](ASA/PIX 7.x)を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[IPsec Proposal] ページが開き、VPN エンドポイント、IPsec トランスフォーム セット、および逆ルート注入がプロポーザルで設定されているかどうかなど、設定されているプロポーザルが一覧表示されます。

ステップ 2 次のいずれかを実行します。

新しい IPsec プロポーザルを追加するには、[Add Row](+)ボタンをクリックして、[IPsec Proposal Editor] ダイアログボックスに入力します。使用可能なオプションの詳細については、「IPsec Proposal Editor(ASA、PIX 7.0+ デバイス)」を参照してください。

既存のプロポーザルを編集するには、プロポーザルを選択し、[Edit Row](鉛筆)ボタンをクリックします。

プロポーザルを削除するには、そのプロポーザルを選択し、[Delete Row](ゴミ箱)ボタンをクリックします。


 

IPsec Proposal Editor(ASA、PIX 7.0+ デバイス)

[IPsec Proposal Editor] を使用して、ASA または PIX 7.0+ デバイスの IPsec プロポーザルを作成または編集します。

このダイアログボックスの要素は、選択したデバイスによって異なります。次の表に、ASA または PIX 7.0+ デバイスを選択したときの [IPsec Proposal Editor] ダイアログボックス内の [General] タブの要素を示します。


) PIX 7.0+ または ASA デバイスを選択したときのダイアログボックス内の要素の詳細については、「IPsec Proposal Editor(IOS、PIX 6.3+ デバイス)」を参照してください。


ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから、[Remote Access VPN] > [IPSec VPN](ASA/PIX 7.x)> [IPsec Proposal] を選択します。[Add Row](+)または [Edit Row](鉛筆)ボタンをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [IPSec VPN] > [IPsec Proposal](ASA/PIX 7.x)を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。[Add Row](+)または [Edit Row](鉛筆)ボタンをクリックします。

関連項目

「リモート アクセス VPN サーバの IPsec プロポーザルの設定(ASA、PIX 7.0 以降のデバイス)」

「IPsec プロポーザルについて」

「インターフェイス ロール オブジェクトの作成」

「AAA サーバ グループ オブジェクトの作成」

フィールド リファレンス

 

表 29-14 IPsec Proposal Editor(ASA および PIX 7.0+ デバイス)

要素
説明

External Interface

リモート アクセス クライアントがサーバへの接続に使用する外部インターフェイス。インターフェイスまたはインターフェイス ロール オブジェクトの名前を入力します。あるいは、[Select] をクリックして選択するか、または新しいインターフェイス ロール オブジェクトを作成します。

Enable IKEv1

Enable IKEv2

IKE ネゴシエーション中に使用する IKE バージョン。IKEv2 は、Anyconnect 3.0+ クライアントの ASA ソフトウェア リリース 8.4(1)+ だけでサポートされます。必要に応じて、いずれかまたは両方のオプションを選択します。

Enable Client Services

Client Services Port Number

IKEv2 をイネーブルにした場合だけ使用できます。

この接続の ASA のクライアント サービス サーバをイネーブルにするかどうかを選択します。クライアント サービス サーバは、HTTPS(SSL)アクセスを提供します。これにより、AnyConnect ダウンロードは、ソフトウェア アップグレード、プロファイル、ローカリゼーションおよびカスタマイゼーション ファイル、CSD、SCEP、および AnyConnect クライアントが必要とするその他のファイル ダウンロードを受信できます。このオプションを選択する場合、クライアント サービス ポート番号(デフォルトは 443)を指定します。

クライアント サービス サーバをイネーブルにしない場合、ユーザは、AnyConnect クライアントが必要する可能性があるこれらのファイルをダウンロードできません。

ヒント 同じデバイスで実行する SSL VPN に対して同じポートを使用できます。SSL VPN を設定した場合でも、IKEv2 IPsec クライアントで SSL を介してファイルをダウンロードするには、このオプションを選択する必要があります。

IKEv1 Transform Sets

IKEv2 Transform Sets

トンネル ポリシーで使用するトランスフォーム セット。トランスフォーム セットは、トンネル内のトラフィックを保護するために使用される認証および暗号化アルゴリズムを指定します。トランスフォーム セットは、各 IKE バージョンで異なるため、サポートされているバージョンごとにオブジェクトを選択します。それぞれ最大 11 個のトランスフォーム セットを選択できます。詳細については、「トランスフォーム セットの概要」を参照してください。

選択したトランスフォーム セットの 2 つ以上が両方のピアでサポートされている場合は、最も高いセキュリティを提供するトランスフォーム セットが使用されます。

[Select] をクリックして、トポロジで使用する IPsec トランスフォーム セット ポリシー オブジェクトを選択します。必要なオブジェクトがまだ定義されていない場合、選択ダイアログボックスの使用可能なオブジェクト リストの下にある [Create](+)ボタンをクリックして、新しいオブジェクトを作成できます。詳細については、「IPSec IKEv1 または IKEv2 トランスフォーム セット ポリシー オブジェクトの設定」を参照してください。

Reverse Route Injection

Reverse Route Injection(RRI; 逆ルート注入)により、スタティック ルートは、リモート トンネル エンドポイントで保護されているネットワークとホストのルーティング プロセスに自動的に挿入されます。詳細については、「逆ルート注入について」を参照してください。

次のいずれかのオプションを選択して、クリプト マップで RRI を設定します。

[None]:クリプト マップで RRI の設定をディセーブルにします。

[Standard]:クリプト マップの Access Control List(ACL; アクセス コントロール リスト)内に定義されている宛先情報に基づいて、ルートが作成されます。これはデフォルトのオプションです。

Enable Network Address Translation Traversal

Network Address Translation Traversal(NAT-T; ネットワーク アドレス変換通過)を許可するかどうか。

NAT 通過は、VPN 接続されたハブとスポークの間に、IPsec トラフィックに対して Network Address Translation(NAT; ネットワーク アドレス変換)を実行するデバイスがある場合に使用します。NAT 通過については、「VPN での NAT について」を参照してください。

SSL および IKEv2 IPSec VPN ポリシーの使用

SSL VPN に対しては、特定のポリシーを設定する必要があります。これらのポリシーは、リモート アクセス IKEv2 IPSec VPN でも使用されます。次に示すトピックでは、これらのリモート アクセス VPN ポリシーについて説明します。

ここでは、次の項目について説明します。

「SSL VPN アクセス ポリシーについて(ASA)」

「他の SSL VPN 設定の定義(ASA)」

「SSL VPN 共有ライセンスの設定(ASA 8.2+)」

SSL VPN アクセス ポリシーについて(ASA)

アクセス ポリシーには、リモート アクセス SSL または IKEv2 IPsec VPN 接続プロファイルをイネーブルにできるセキュリティ アプライアンスのインターフェイス、接続プロファイルで使用するポート、Datagram Transport Layer Security(DTLS)設定、SSL VPN セッション タイムアウト、および最大セッション数を指定します。AnyConnect VPN クライアントまたは AnyConnect Essentials クライアントを使用するかどうかも指定できます。

Anyconnect VPN クライアントの詳細については、「SSL VPN AnyConnect クライアント設定について」を参照してください。この他のトピックでは、DTLS および AnyConnect Essentials について詳しく説明します。

Datagram Transport Layer Security(DTLS)

Datagram Transport Layer Security(DTLS)をイネーブルにすると、AnyConnect クライアントは SSL トンネルおよび DTLS トンネルの 2 つのトンネルを同時に使用して、SSL VPN 接続を確立できます。DTLS を使用すると、SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。デフォルトでは、DTLS がイネーブルになるのは、インターフェイスで SSL VPN アクセスをイネーブルにした場合です。DTLS をディセーブルにすると、SSL VPN 接続は SSL VPN トンネルだけに接続します。


) DTLS が TLS 接続にフォールバックするためには、フォールバック トラストポイントを指定する必要があります。フォールバック トラストポイントが指定されていない場合に DTLS 接続に問題が発生すると、その接続は指定されたトラストポイントにフォールバックすることなく終了します。


AnyConnect Essentials VPN クライアント

AnyConnect Essentials は SSL または IKEv2 IPsec の独立ライセンスの VPN クライアントで、適応型セキュリティ アプライアンス全体に設定します。このクライアントは、次の例外を除き、AnyConnect のすべての機能を備えています。

CSD を使用できない(HostScan/Vault/Cache Cleaner を含む)

クライアントレス SSL VPN 非対応

Windows Mobile サポートがオプション

AnyConnect Essentials クライアントにより、Microsoft Windows Vista、Windows Mobile、Windows XP、Windows 2000、Linux、または Macintosh OS X を実行しているリモート エンド ユーザは、Cisco VPN クライアントの利点を得ることができます。この機能がディセーブルの場合は、AnyConnect VPN クライアント一式が使用されます。この機能は、デフォルトではディセーブルになっています。


) このライセンスは、SSL VPN の共有ライセンスと同時には使用できません。


ここでは、次の項目について説明します。

「[SSL VPN Access Policy] ページ」

「Access ポリシーの設定」

[SSL VPN Access Policy] ページ

[SSL VPN Access Policy] ページを使用して、リモート アクセス SSL または IKEv2 IPsec VPN のアクセス パラメータを設定します。Access ポリシーの設定の詳細については、「Access ポリシーの設定」を参照してください。


ヒント このポリシーで指定するトラストポイントは、公開キー インフラストラクチャ ポリシーでも選択されている必要があります。詳細については、「リモート アクセス VPN での公開キー インフラストラクチャ ポリシーの設定」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから、[Remote Access VPN] > [SSL VPN] > [Access] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Access (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「SSL VPN アクセス ポリシーについて(ASA)」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 29-15 [SSL VPN Access Policy] ページ

要素
説明

[Access Interface] テーブル

[Access Interface] テーブルには、リモート アクセス SSL または IKEv2 IPSec VPN 接続に設定されたインターフェイスのリストが表示されます。このテーブルには、インターフェイスがイネーブルで VPN アクセスが可能かどうか、DTLS がイネーブルにされているかどうか、クライアント証明書が必要かどうか、およびインターフェイスに使用されるトラストポイントなど、各インターフェイスのアクセス設定が表示されます。

インターフェイスでアクセスを設定するには、[Add Row](+)ボタンをクリックします(「[Access Interface Configuration] ダイアログボックス」を参照)。

インターフェイスのアクセス設定を編集するには、インターフェイスを選択し、[Edit Row](鉛筆)ボタンをクリックします(「[Access Interface Configuration] ダイアログボックス」を参照)。

インターフェイスのアクセス設定を削除するには、インターフェイスを選択し、[Delete Row](ゴミ箱)ボタンをクリックします。

Port Number

VPN セッションに使用するポート。HTTPS トラフィックの場合、デフォルト ポートは 443 です。HTTP ポート リダイレクションがイネーブルになっている場合、デフォルトの HTTP ポート番号は 80 です。デフォルト以外のポートを指定するには、1024 ~ 65535 の数値を指定します。

ポート リスト オブジェクトのポート番号または名前を入力します。または、[Select] をクリックしてポート リスト オブジェクトを選択するか、新しいオブジェクトを作成します。

(注) ポート番号を変更すると、現在の SSL VPN 接続がすべて(設定展開時に)終了するため、現在のユーザは再接続が必要になります。

DTLS Port Number

DTLS 接続に使用する UDP ポート。デフォルトのポートは 443 です。DTLS の詳細については、「SSL VPN アクセス ポリシーについて(ASA)」を参照してください。

ポート リスト オブジェクトのポート番号または名前を入力します。または、[Select] をクリックしてポート リスト オブジェクトを選択するか、新しいオブジェクトを作成します。

Fallback Trustpoint

トラストポイントが割り当てられていないインターフェイスで使用するトラストポイント(認証局または CA サーバ)。PKI 登録オブジェクトの名前を入力します。または、[Select] をクリックしてリストからオブジェクト選択するか、新しいオブジェクトを作成します。

Default Idle Timeout

SSL または IKEv2 IPSec VPN セッションがアイドル状態になってから、セキュリティ アプライアンスがセッションを終了するまでの時間を指定します(秒単位)。

この値が適用されるのは、ユーザのグループ ポリシー内の [Idle Timeout] 値がゼロ(0)に設定されている場合、つまり、タイムアウト値がない場合だけです。それ以外の場合、グループ ポリシーの [Idle Timeout] 値が、ここで設定したタイムアウトに優先されます。入力可能な最小値は、60 秒(1 分)です。デフォルトは 30 分(1800 秒)です。最大値は 24 時間(86400 秒)です。

この属性は短い時間に設定することを推奨します。これは、クッキーをディセーブルにするブラウザ設定(またはプロンプトでクッキーを要求してから拒否するブラウザ設定)によって、ユーザが接続していないにもかかわらずセッション データベースに表示されることがあるためです。グループ ポリシーの [Simultaneous Logins] 属性が 1 に設定されている場合は、すでに最大接続数に達していることがデータベースによって示されるため、ユーザは再びログインできません。アイドル タイムアウトを短く設定すると、このようなファントム セッションを迅速に削除し、ユーザが再ログインできるようにすることができます。

Max Session Limit

許可される SSL または IKEv2 IPSec VPN セッションの最大数。次に示すように、ASA モデルによって、最大セッション数が異なるので注意してください。

ASA 5505:25

ASA 5510:250

ASA 5520:750

ASA 5540:2500

ASA 5550、5585-X(SSP-10):5000

ASA 5580、5585-X(その他のモデル):10,000

Allow Users to Select Connection Profile in Portal Page

ログイン時(たとえば、SSL VPN ポータル ページ)にユーザが適切なプロファイルを選択するときに使用できる設定済み接続プロファイル(トンネル グループ)のリストを提供するかどうかを指定します。このオプションを選択しない場合、ユーザはプロファイルを選択できず、接続にはデフォルト プロファイルを使用する必要があります。

ヒント リモート アクセス IKEv2 IPSec VPN ではこのオプションを選択する必要があります。SSL VPN の場合、選択は任意です。

Enable AnyConnect Access

ユーザが AnyConnect VPN クライアントを使用して SSL または IKEv2 IPSec VPN 接続を確立できるようにするかどうかを指定します。このオプションは、デフォルトでオンになっています。AnyConnect VPN クライアントの詳細については、「SSL VPN AnyConnect クライアント設定について」を参照してください。

ヒント リモート アクセス IKEv2 IPSec VPN ではこのオプションを選択する必要があります。SSL VPN の場合、フル クライアント アクセスをイネーブルにする場合、このオプションを選択します。

Enable AnyConnect Essentials

SSL および IKEv2 IPSec VPN の両方で使用できる、AnyConnect Essentials 機能をイネーブルにするかどうかを指定します。AnyConnect Essentials VPN クライアントの詳細については、「SSL VPN アクセス ポリシーについて(ASA)」を参照してください。

[Access Interface Configuration] ダイアログボックス

[Access Interface Configuration] ダイアログボックスを使用して、リモート アクセス SSL または IKEv2 IPSec VPN 接続の ASA デバイスでインターフェイスを設定します。

ナビゲーション パス

SSL VPN アクセス ポリシー(「[SSL VPN Access Policy] ページ」を参照)を開き、インターフェイス テーブルの下にある [Add Row] をクリックするか、テーブルの行を選択して [Edit Row] をクリックします。

関連項目

「Access ポリシーの設定」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 29-16 [Access Interface Configuration] ダイアログボックス

要素
説明

Access Interface

SSL または IKEv2 IPSec VPN アクセスを設定するインターフェイスまたはインターフェイス ロール オブジェクト。インターフェイスまたはインターフェイス ロールの名前を入力します。または、[Select] をクリックしてリストから名前を選択するか、新しいインターフェイス ロール オブジェクトを作成します。

Trustpoint

Load Balancing Trustpoint

インターフェイスでのユーザの認証に使用するトラストポイント(認証局または CA サーバ)。PKI 登録オブジェクトの名前を入力します。または、[Select] をクリックして選択するか、新しいオブジェクトを作成します。

ロード バランシングが設定されている場合、ロード バランシング トラストポイントに個別の PKI 登録オブジェクトを選択することもできます。

Allow Access

このインターフェイス経由の VPN アクセスをイネーブルにする場合は、このオプションを選択します。このオプションを選択しない場合、インターフェイスでアクセスは設定されますが、ディセーブルになります。

Enable DTLS

選択すると、インターフェイスで Datagram Transport Layer Security(DTLS)がイネーブルになり、AnyConnect VPN Client は 2 つの同時トンネル(SSL トンネルと DTLS トンネル)を使用して SSL VPN 接続を確立できます。

Check Client Certificate

選択すると、接続にはクライアントからの有効なデジタル証明書が必要となります。

Access ポリシーの設定

ここでは、ASA デバイスに Access ポリシーを設定する方法について説明します。アクセス ポリシーは、リモート アクセス SSL および IKEv2 IPSec VPN 接続に必要です。アクセス ポリシーの詳細については、「SSL VPN アクセス ポリシーについて(ASA)」を参照してください。


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Access] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Access (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Access] ページが開きます。このページの要素の詳細については、「[SSL VPN Access Policy] ページ」を参照してください。

ステップ 2 ポリシー上部のインターフェイス テーブルで、リモート アクセス SSL または IKEv2 IPSec VPN 接続を許可するすべてのインターフェイスを設定します。

インターフェイスを追加するには、テーブルの下の [Add Row](+)ボタンをクリックして、[Add Access Interface Configuration] ダイアログボックスに入力します。インターフェイス名(または目的のインターフェイスを識別するインターフェイス ロール オブジェクト)、およびインターフェイスでアクセスを許可するかどうかを指定する必要があります。

インターフェイスの Certificate Authority(CA; 認証局)サーバ トラストポイント(およびロード バランシングを使用する場合はロード バランシング トラストポイント)を識別する PKI 登録オブジェクト、DTLS 接続をイネーブルにするかどうか、およびクライアントが接続を確立するために有効な証明書が必要かどうかを指定できます。オプションの詳細については、「[Access Interface Configuration] ダイアログボックス」を参照してください。

インターフェイスの設定を編集するには、そのインターフェイスを選択し、[Edit Row](鉛筆)ボタンをクリックします。

インターフェイスを削除するには、インターフェイスを選択し、[Delete Row] ボタンをクリックします。インターフェイス設定を編集してアクセスをディセーブルにできます。そのため、インターフェイスを削除する場合、VPN から完全に削除する場合だけにしてください。

ステップ 3 残りの設定を行います。設定については、「[SSL VPN Access Policy] ページ」で詳しく説明されています。特に重要な設定を次に示します。

[Fallback Trustpoint]:インターフェイスにテーブルで設定されているトラストポイントがない場合に使用する Certificate Authority(CA; 認証局)サーバ トラストポイント。PKI 登録オブジェクトの名前を入力します。または、[Select] をクリックして選択するか、新しいオブジェクトを作成します。

[Allow Users to Select Connection Profile in Portal Page]:複数のトンネル グループがある場合、このオプションを選択すると、ユーザは、ログイン時に正しいトンネル グループを選択できます。このオプションは、IKEv2 IPSec VPN で選択する必要があります。

[Enable AnyConnect Access]:AnyConnect VPN クライアントは、フル クライアントです。VPN へのフル クライアント アクセスを許可する場合は、AnyConnect アクセスをイネーブルにする必要があります。このオプションは、IKEv2 IPSec VPN で選択する必要があります。

AnyConnect Essentials など、AnyConnect の詳細については、「SSL VPN AnyConnect クライアント設定について」を参照してください。

[Enable AnyConnect Essentials]:AnyConnect Essentials クライアントを使用する場合、このオプションを選択します。これは、リモート アクセス SSL または IKEv2 IPSec VPN で使用できます。

ステップ 4 このポリシーで指定するトラストポイントは、公開キー インフラストラクチャ ポリシーでも選択されている必要があります。詳細については、「リモート アクセス VPN での公開キー インフラストラクチャ ポリシーの設定」を参照してください。


 

他の SSL VPN 設定の定義(ASA)

ASA デバイスの SSL VPN のその他の設定ポリシーは、キャッシング、コンテンツの書き換え、文字エンコード、プロキシおよびプロキシ バイパス定義、ブラウザ プラグイン、AnyConnect クライアント イメージおよびプロファイル、Kerberos Constrained Delegation、その他の一部の高度な設定を含む設定を定義します。

その他の設定ポリシーを設定するには、次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

次のタブで設定を定義できます。

[Performance] タブ:SSL VPN パフォーマンスを向上するようにキャッシングを設定します。「SSL VPN パフォーマンス設定の定義(ASA)」を参照してください。

[Content Rewrite] タブ:ユーザがセキュリティ アプライアンス自体を介することなく特定のサイトおよびアプリケーションを参照できるように許可するルールを作成します。「SSL VPN コンテンツ書き換えルールの定義(ASA)」を参照してください。

[Encoding] タブ:CIFS サーバから配信される Web ページのデフォルト以外のエンコーディングを設定します。エンコーディングは、通常、リモート ユーザのブラウザにより判別されます。「SSL VPN エンコーディング ルールの設定(ASA)」を参照してください。

[Proxy] タブ:HTTP または HTTPS プロキシ サーバ(ネットワークで必要な場合)、およびプロキシ バイパス ルールを定義します。「SSL VPN プロキシおよびプロキシ バイパスの設定(ASA)」を参照してください。

[Plug In] タブ:Web ブラウザが専用の機能を実行するために起動する、個々のプログラムである、ブラウザ プラグインを定義します。「SSL VPN プロキシおよびプロキシ バイパスの設定(ASA)」を参照してください。

[Client Settings] タブ:クライアントへのダウンロードのために AnyConnect クライアント イメージおよびプロファイルを設定します。次の項を参照してください。

「SSL VPN AnyConnect クライアント設定について」

「SSL VPN AnyConnect クライアント設定の定義(ASA)」

[Microsoft KCD Server]:クライアントレス SSL VPN 接続で使用する Kerberos Constrained Delegation(KCD)を設定します。次の項を参照してください。

「SSL VPN の Kerberos Constrained Delegation(KCD)について(ASA)」

「SSL VPN の Kerberos Constrained Delegation(KCD)の設定(ASA)」

[Advanced] タブ:メモリ、オンスクリーン キーボードおよび内部パスワード機能を設定します。「SSL VPN の高度な設定の定義(ASA)」を参照してください。


ヒント デバイスで Connection Profile ポリシーを設定する必要があります。「接続プロファイルの設定(ASA、PIX 7.0+)」を参照してください。

SSL VPN パフォーマンス設定の定義(ASA)

キャッシングによって SSL VPN パフォーマンスが向上します。頻繁に再利用されるオブジェクトをシステム キャッシュに格納することで、書き換えの繰り返しやコンテンツの圧縮の必要性を低減します。SSL VPN と、リモート サーバとエンドユーザ ブラウザの両方との間のトラフィックが削減され、その結果、多数のアプリケーションがより効率的に実行されます。

ここでは、ASA セキュリティ アプライアンスでキャッシングをイネーブルにする方法について説明します。

関連項目

「他の SSL VPN 設定の定義(ASA)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。まだ選択されていない場合、[Performance] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。まだ選択されていない場合、[Performance] タブをクリックします。

ステップ 2 [Enable] を選択して、セキュリティ アプライアンスでのキャッシングをイネーブルにします。

このオプションを選択しない場合、セキュリティ アプライアンスで定義されているキャッシュ設定は有効になりません。

ステップ 3 次のオプションを設定します。

[Minimum Object Size]:セキュリティ アプライアンスでキャッシュに格納可能な HTTP オブジェクトの最小サイズ(KB 単位)。有効な範囲は 0 ~ 10,000 KB です。デフォルトは 0 KB です。

[Maximum Object Size]:セキュリティ アプライアンスでキャッシュに格納可能な HTTP オブジェクトの最大サイズ(KB 単位)。有効な範囲は 0 ~ 10,000 KB です。デフォルトは 1000 KB です。最大サイズは、最小サイズよりも大きくする必要があります。

[Last Modified Factor]:最後に更新されたタイムスタンプだけを持つオブジェクトをキャッシングするための再検証ポリシーを設定する整数を指定します。その他のサーバ設定有効期限の値は指定しません。有効な範囲は 1 ~ 100 です。デフォルトは 20 です。

また、発信 Web サーバからセキュリティ アプライアンス要求に対して、応答が期限切れになる時間を示す Expires 応答が送信されますが、この応答もキャッシングに影響を及ぼします。この応答ヘッダーは、応答が古くなり(条件付き GET 操作を使用して)最新のチェックなしでクライアントに送信できなくなる時刻を示します。

また、セキュリティ アプライアンスでは、Web オブジェクトごとに、オブジェクトがディスクに書き込まれる前にオブジェクトの有効期限を計算できます。オブジェクトのキャッシュ有効期限データを計算するためのアルゴリズムは、次のとおりです。

有効期限 = (今日の日付 - オブジェクトの最終変更日付) X 有効期間係数

有効期限が経過するとオブジェクトが古いと見なされ、それ以降の要求に対しては、セキュリティ アプライアンスによってコンテンツが新しく取得されます。最終変更係数を 0 に設定することは、即時の再検証を強制することに相当します。100 に設定すると、再検証までの時間が許容される範囲で最も長くなります。

[Expiration Time]:セキュリティ アプライアンスがオブジェクトを再検証せずにキャッシュに格納する時間(分単位)。範囲は 0 ~ 900 分です。デフォルトは 1 分です。

再検証では、キャッシュされたオブジェクトの経過時間が有効期間を超過している場合、要求されたコンテンツをクライアント ブラウザに提供する前に、発信サーバからそのオブジェクトを拒否します。キャッシュされたオブジェクトの経過時間とは、セキュリティ アプライアンスが発信サーバに明示的に接続してオブジェクトがまだ有効期間内であるかどうかをチェックすることなく、オブジェクトがセキュリティ アプライアンスのキャッシュに格納されている時間のことです。

[Cache Static Content]:セキュリティ アプライアンスでスタティック コンテンツをキャッシュできるかどうかを指定します。各 Web ページは、スタティック オブジェクトとダイナミック オブジェクトで構成されます。セキュリティ アプライアンスでは、イメージ ファイル(*.gif、*.jpeg)、Java アプレット(.js)、カスケーディング スタイル シート(*.css)の個々のスタティック オブジェクトをキャッシュします。


 

SSL VPN コンテンツ書き換えルールの定義(ASA)

SSL VPN は、高度な要素(JavaScript、VBScript、Java、およびマルチバイト文字など)に対応したコンテンツ変換/書き込みエンジンを介してアプリケーション トラフィックを処理し、ユーザが SSL VPN デバイス内でアプリケーションを使用しているか、デバイスとは無関係に使用しているかに応じて、HTTP トラフィックをプロキシします。

一部のアプリケーションおよび Web リソース(パブリック Web サイトなど)がセキュリティ アプライアンスを通過しないようにする場合は、セキュリティ アプライアンス自体を経由せずに、ユーザが特定のサイトおよびアプリケーションをブラウズできるようにする書き換えルールを作成できます。これは、IPSec VPN 接続におけるスプリット トンネリングによく似ています。

[SSL VPN Other Settings] ページの [Content Rewrite] タブでは、複数のコンテンツ書き換えルールを作成できます。[Content Rewrite] タブには、コンテンツ書き換えがイネーブルまたはディセーブルな、すべてのアプリケーションが一覧表示されます。


ヒント セキュリティ アプライアンスは、最も小さい番号から順番に書き換えルールを検索して、一致した最初のルールを適用します。

ここでは、コンテンツ書き換えルールを作成または編集する方法を示します。

関連項目

「他の SSL VPN 設定の定義(ASA)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Other Settings] ページで [Content Rewrite] タブをクリックします。[Content Rewrite] タブには、コンテンツ書き換えがイネーブルまたはディセーブルな、すべてのアプリケーションが表示されます。

セキュリティ アプライアンスは、最も小さい番号から順番に書き換えルールを検索して、一致した最初のルールを適用します。リソース マスクは、ルールと照合するアプリケーション ストリングを定義します。

番号がないルールは、番号付きのすべてのルールのあとに評価されます。

ステップ 3 次のいずれかを実行します。

ルールを追加するには、テーブルの下の [Add Row] ボタンをクリックして、[Add Content Rewrite] ダイアログボックスに入力します。これらのオプションについては、「[Add Content Rewrite]/[Edit Content Rewrite] ダイアログボックス」で詳しく説明されています。

ルールを編集するには、そのルールを選択し、[Edit Row] ボタンをクリックして、[Edit Content Rewrite] ダイアログボックスで変更を行います。

ルールを削除するには、ルールを選択し、[Delete Row] ボタンをクリックします。削除の確認が求められます。


 

[Add Content Rewrite]/[Edit Content Rewrite] ダイアログボックス

[Add or Edit Content Rewrite] ダイアログボックスを使用して、SSL VPN 接続を介するプロキシ HTTP トラフィックに対して拡張要素(JavaScript、VBScript、Java、マルチバイト文字など)を含む書き換えエンジンを設定します。コンテンツ書き換えルールの詳細については、「SSL VPN コンテンツ書き換えルールの定義(ASA)」を参照してください。

ナビゲーション パス

ASA デバイスの SSL VPN のその他の設定ポリシーの [Content Rewrite] タブから、[Add Row] ボタンをクリックするか、ルールを選択して [Edit Row] ボタンをクリックします。タブを開く方法の詳細については、「SSL VPN コンテンツ書き換えルールの定義(ASA)」を参照してください。

関連項目

「他の SSL VPN 設定の定義(ASA)」

フィールド リファレンス

 

表 29-17 [Add or Edit Content Rewrite] ダイアログボックス

要素
説明

Enable

選択すると、セキュリティ アプライアンスで、書き換えルールに対するコンテンツ書き換えがイネーブルになります。

外部のパブリック Web サイトなどの一部のアプリケーションでは、この処理が必要ないものもあります。これらのアプリケーションでは、コンテンツ リライトをオフにできます。

Rule Number

このルールの番号。この番号は、リスト内のルールの位置を指定します。番号がないルールはリストの最後に配置されます。範囲は 1 ~ 65534 です。

ルールは、低い番号から高い番号の順に処理され、最初に一致したルールがトラフィックに適用されます。

Rule Name

コンテンツ書き換えルールを説明する英数字文字列。最大長は 128 文字です。

Resource Mask

ルールが適用されるアプリケーションまたはリソースの名前。最大長は 300 文字です。

次のワイルドカードを使用できます。

*:すべてに一致します。このワイルドカードはこれだけでは使用できません。英数字の文字列とともに使用する必要があります。

?:単一文字と一致します。

[!x-y]:シーケンスにない任意の文字と一致します。

[x-y]:シーケンス内の任意の文字と一致します。

SSL VPN エンコーディング ルールの設定(ASA)

[SSL VPN Other Settings] ページの [Encoding] タブを使用して、リモート ユーザに配信される SSL VPN ポータル ページでエンコードする文字セットを指定します。デフォルトでは、SSL VPN ポータル ページの文字セットはリモート ブラウザで設定されているエンコーディング タイプ セットによって決定されるため、ブラウザで適切なエンコーディングが行われることを確認する必要がある場合を除き、文字エンコーディングを設定する必要はありません。

文字エンコードは、データを表す(0 と 1 などの)未処理データと文字の組み合わせです。使用する文字エンコード方式は、言語によって決まります。ある言語では同じ方式を使用していても、別の言語でも同じとはかぎりません。通常、ブラウザで使用されるデフォルトのエンコード方式は地理上の地域によって決まりますが、リモート ユーザはこれを変更できます。ブラウザはページに指定されたエンコードを検出することもでき、そのエンコードに従ってドキュメントを表示します。

エンコード属性を使用すると、SSL VPN ポータル ページに文字エンコード方式の値を指定し、ユーザがブラウザを使用している地域、またはブラウザに対して行われた変更に関係なく、ブラウザにページが正しく表示されることを保証できます。

文字エンコード属性は、デフォルトですべての SSL VPN ポータル ページが継承するグローバル設定です。ただし、文字エンコード属性の値と異なる文字エンコードを使用する Common Internet File System(CIFS)サーバのファイル エンコード属性を上書きできます。異なる文字エンコードが必要な CIFS サーバには、異なるファイル エンコード値を使用できます。

CIFS サーバから SSL VPN ユーザにダウンロードされた SSL VPN ポータル ページのエンコードは、サーバ指定の SSL VPN ファイル エンコード属性の値となります。サーバで指定されていない場合、ポータル ページは文字エンコード属性の値を継承します。リモート ユーザのブラウザでは、ブラウザの文字エンコード セットのエントリにこの値がマップされ、使用する適切な文字セットが決定されます。SSL VPN 設定に CIFS サーバのファイル エンコード エントリを指定せず、文字エンコード属性も設定されていない場合は、SSL VPN ポータル ページに値が指定されません。SSL VPN ポータル ページで文字エンコードを指定しなかった場合、またはブラウザがサポートしていない文字エンコード値を指定した場合、リモート ブラウザでは独自のデフォルト エンコードが使用されます。

[SSL VPN Global Settings] ページの [Encoding] タブでは、ポータル ページでエンコードされる、CIFS サーバに関連付けられた現在設定済みの文字セットを表示できます。このタブから、文字セットを作成または編集できます(次の手順を参照)。

関連項目

「他の SSL VPN 設定の定義(ASA)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Other Settings] ページで [Encoding] タブをクリックします。[Encoding] タブには、デフォルトのエンコーディング、およびエンコーディング ルールが設定される CIFS サーバのリストが表示されます。

ステップ 3 [Global SSL VPN Encoding Type] リストから、テーブルに表示された CIFS サーバからの属性を除き、すべての SSL VPN ポータル ページが継承する文字エンコードを決定する属性を選択します。


) [None] を選択するか、SSL VPN クライアントのブラウザでサポートされていない値を指定した場合は、デフォルトのエンコーディングが使用されます。デフォルトのグローバル エンコーディングは [None] です。


次のエンコーディング タイプから選択できます。

big5

gb2312

ibm-850

iso-8859-1

shift_jis


) 日本語の Shift_jis 文字エンコーディングを使用している場合は、関連付けられている [Select Page Font] ペインの [Font Family] 領域にある [Do not specify] をクリックして、このフォント ファミリを削除します。


unicode

windows-1252

なし

ステップ 4 次のいずれかを実行します。

ルールを追加するには、テーブルの下の [Add Row] ボタンをクリックして、[Add File Encoding] ダイアログボックスで次の設定を行います。

[CIFS Server IP, CIFS Server Host]:これらのオプションのいずれかを選択して、IP アドレスまたはホスト名のいずれかにより CIFS サーバを指定します。IP アドレスを選択する場合、IP アドレスまたは 1 つ以上の個々の IP アドレスを指定するネットワーク/ホスト オブジェクトの名前のいずれかを入力できます。

ホスト名を指定する場合、セキュリティ アプライアンスでは指定した大文字と小文字が保持されますが、名前をサーバと照合するときは大文字と小文字の違いが無視されます。

[Encoding Type]:エンコーディング タイプを選択します。オプションは、前述のグローバル設定と同じです。

ルールを編集するには、そのルールを選択し、[Edit Row] ボタンをクリックして、[Edit File Encoding] ダイアログボックスで変更を行います。

ルールを削除するには、ルールを選択し、[Delete Row] ボタンをクリックします。削除の確認が求められます。


 

SSL VPN プロキシおよびプロキシ バイパスの設定(ASA)

[SSL VPN Other Settings] ページの [Proxy] タブを使用して、HTTPS 接続を終了して HTTP/HTTPS 要求を HTTP および HTTPS プロキシ サーバに転送するようにセキュリティ アプライアンスを設定します。このタブでは、最小コンテンツ書き換えを実行するようにセキュリティ アプライアンスを設定したり、書き換えるコンテンツのタイプ(外部リンクまたは XML、あるいはどちらでもない)を指定したりすることもできます。

セキュリティ アプライアンスは、HTTPS 接続を終了し、HTTP および HTTPS プロキシ サーバに HTTP/HTTPS 要求を転送できます。これらのサーバは、ユーザとインターネット間を中継する機能を果たします。すべてのインターネット アクセスがユーザ制御のサーバを経由するように指定することで、別のフィルタリングが可能になり、セキュアなインターネット アクセスと管理制御が保証されます。


) HTTP/HTTPS プロキシは、Personal Digital Assistant への接続をサポートしていません。


HTTP プロキシ サーバからダウンロードする Proxy Auto-Configuration(PAC)ファイルを指定できます。ただし、PAC ファイルを指定する場合は、プロキシ認証を使用できません。

ユーザは、プロキシ バイパスを使用するようにセキュリティ アプライアンスを設定できます。これは、この機能が提供するコンテンツ リライトを使用した方が、アプリケーションや Web リソースをより有効活用できる場合に設定します。プロキシ バイパスはコンテンツの書き換えに代わる手法であり、元のコンテンツの変更を最小限に抑えます。カスタム Web アプリケーションで役立ちます。

プロキシ バイパスには複数のエントリを設定できます。エントリを設定する順序は重要ではありません。インターフェイスとパス マスク、またはインターフェイスとポートにより、プロキシ バイパス ルールが一意に指定されます。

パス マスクではなくポートを使用してプロキシ バイパスを設定した場合、ネットワーク設定によっては、これらのポートからセキュリティ アプライアンスにアクセスできるようにファイアウォール設定を変更することが必要になる場合があります。この制限を回避するには、パス マスクを使用します。ただし、このパス マスクは変更される場合があるため、複数のパス マスク ステートメントを使用して、この可能性を排除する必要がある可能性があることに注意してください。

ここでは、SSL VPN のプロキシおよびプロキシ バイパス ルールを定義する方法を示します。

関連項目

「他の SSL VPN 設定の定義(ASA)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Other Settings] ページで [Proxy] タブをクリックします。[Proxy] タブには、現在定義されているプロキシおよびプロキシ ルールが表示されます。

ステップ 3 [Proxy Type] フィールドから、SSL VPN 接続に使用する外部プロキシ サーバのタイプを選択します。

[HTTP/HTTPS Proxy Server]:プロキシ サーバを指定して HTTP または HTTPS 要求を処理します。

[Proxy Using PAC]:Proxy Auto-Configuration(PAC)ファイルを指定して、HTTP プロキシ サーバからユーザのブラウザにダウンロードします。ダウンロードが完了すると、PAC ファイルは JavaScript 機能を使用して各 URL のプロキシを識別します。

このオプションを選択する場合、PAC ファイルの URL を [Specify Proxy Auto Config file URL] フィールドに入力します。URL は、 http: // から開始する必要があります。開始しない場合、セキュリティ アプライアンスは PAC ファイルを使用しません。

ステップ 4 プロキシ タイプで [HTTP/HTTPS Proxy Server] を選択した場合、HTTP および HTTPS プロキシ サーバの設定を行います。HTTP および HTTPS サーバは個別に設定できるため、異なるサーバを使用したり、いずれか 1 つのタイプだけを指定したりできます。次のオプションを設定します。

[Enable HTTP Proxy Server, Enable HTTPS Proxy Server]:これらのオプションのいずれかまたは両方を選択して、プロキシ サーバを設定します。

[HTTP Proxy Server, HTTPS Proxy Server]:IP アドレス、または単一 プロキシ サーバの IP アドレスを含むネットワーク/ホスト オブジェクトの名前を、設定するプロキシ サーバの各タイプに対して入力します。[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成できます。

HTTP のデフォルト ポートは 80、HTTPS のデフォルト ポートは 443 です。

[HTTP Proxy Port, HTTPS Proxy Port]:HTTP または HTTPS 要求が転送されるプロキシ サーバのポートを入力します。また、ポートを定義するポート リスト オブジェクトの名前を入力できます。または、[Select] をクリックしてオブジェクトを選択するか、新しいオブジェクトを作成することもできます。

[Exception Address List]:HTTP または HTTPS プロキシ サーバに送信できないようにする 1 つの URL、または複数の URL のカンマ区切りリスト。このストリングには文字数の制限はありませんが、コマンド全体で 512 文字以下となるようにする必要があります。リテラル URL を指定するか、次のワイルドカードを使用できます。

* は、スラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは、英数字ストリングとともに使用する必要があります。

? は、スラッシュおよびピリオドを含む、任意の 1 文字に一致します。

[x-y] は、x から y までの範囲の任意の 1 文字と一致します。x は ANSI 文字セット内のある 1 文字を表し、y は別の文字を表します。

[!x-y] は、範囲内にない任意の 1 文字と一致します。

[Authentication User Name, Authentication Password, Confirm]:プロキシ サーバでユーザ認証が必要な場合、有効なユーザ名およびパスワードを入力します。

ステップ 5 必要に応じて、タブの一番下にある [Proxy Bypass] テーブルでプロキシ バイパス ルールを設定します。プロキシ バイパスは、プロキシ バイパスに設定されている ASA インターフェイス、ポートおよびターゲット URL を指定します。次のいずれかを実行します。

プロキシ バイパス ルールを追加するには、[Add Row] ボタンをクリックして、[Add Proxy Bypass] ダイアログボックスに入力します。プロキシ バイパス ルールの属性の詳細については、「[Add or Edit Proxy Bypass Dialog Box] ダイアログボックス」を参照してください。

プロキシ バイパス ルールを編集するには、ルールを選択し、[Edit Row] ボタンをクリックします。

ルールを削除するには、ルールを選択し、[Delete Row] ボタンをクリックします。削除の確認が求められます。


ヒント プロキシ バイパス ルールを設定する場合、SSL VPN Access ポリシーも設定する必要があります。詳細については、「Access ポリシーの設定」を参照してください。



 

[Add or Edit Proxy Bypass Dialog Box] ダイアログボックス

[Add or Edit Proxy Bypass] ダイアログボックスを使用して、セキュリティ アプライアンスがコンテンツ書き換えをほとんど、またはまったく実行しない場合のプロキシ バイパス ルールを設定します。

ナビゲーション パス

ASA デバイスの SSL VPN のその他の設定ポリシーの [Proxy] タブから、[Add Row] ボタンをクリックするか、ルールを選択して [Edit Row] ボタンをクリックします。タブを開く方法の詳細については、「SSL VPN エンコーディング ルールの設定(ASA)」を参照してください。

フィールド リファレンス

 

表 29-18 [Add or Edit Proxy Bypass Dialog Box] ダイアログボックス

要素
説明

Interface

セキュリティ アプライアンスでプロキシ バイパスに使用されるインターフェイス。インターフェイスまたはインターフェイス ロール オブジェクトの名前を入力します。あるいは、[Select] をクリックして、リストから選択するか、または新しいインターフェイス ロール オブジェクトを作成します。

Bypass On Port

プロキシ バイパスのポート番号を使用する場合、このオプションを選択します。有効なポート番号は、20000 ~ 21000 です。ポート リスト オブジェクトのポートまたは名前を入力します。または、[Select] をクリックしてオブジェクトを選択するか、新しいオブジェクトを作成します。

(注) パス マスクではなくポートを使用してプロキシ バイパスを設定した場合、ネットワーク設定によっては、これらのポートからセキュリティ アプライアンスにアクセスできるようにファイアウォール設定を変更することが必要になる場合があります。この制限を回避するには、パス マスクを使用します。

Bypass Matching Specific Pattern

プロキシ バイパスの照合に URL パス マスクを使用する場合、このオプションを選択します。パスは、URL 内のドメイン名に続くテキストです。たとえば、URL が www.mycompany.com/hrbenefits の場合、 hrbenefits がパスです。

次のワイルドカードを使用できます。

* :すべてに一致します。このワイルドカードはこれだけでは使用できません。英数字の文字列とともに使用する必要があります。

? :単一文字と一致します。

[x-y] :シーケンス内の任意の文字と一致します。

[!x-y] :シーケンスにない任意の文字と一致します。

最大値は 128 バイトです。

(注) パス マスクが変更される可能性をなくすために、複数のパス マスク ステートメントを使用することが必要になる場合があります。

URL

[http] または [https] プロトコルを選択し、プロキシ バイパスを適用する URL を入力します。

プロキシ バイパスに使用する URL では、最大 128 バイトが許可されます。別のポートを指定しない限り、HTTP のポートは 80、HTTPS のポートは 443 です。

Rewrite XML

セキュリティ アプライアンスによってバイパスされるように、XML サイトおよびアプリケーションが書き換えられるかどうかを指定します。

Rewrite Hostname

セキュリティ アプライアンスによってバイパスされるように、外部リンクが書き換えられるかどうかを指定します。

SSL VPN ブラウザ プラグインの設定(ASA)

ブラウザ プラグインは、Web ブラウザによって呼び出される独立したプログラムで、ブラウザ ウィンドウ内でクライアントをサーバに接続するなどの専用の機能を実行します。セキュリティ アプライアンスを使用すると、クライアントレス SSL VPN セッション中に、リモート ブラウザにダウンロードするプラグインをインポートできます。

シスコでは、Java ベースのオープン ソース コンポーネントを再配布しています。これは、クライアントレス SSL VPN セッションで Web ブラウザのプラグインとしてアクセスされるコンポーネントで、次のものがあります。シスコでは再配布するプラグインのテストを行っており、再配布できないプラグインの接続性をテストする場合もあります。これらのファイルは、Security Manager サーバ上の製品インストール フォルダ(通常は C:¥Program Files¥CSCOpx)内の ¥objects¥sslvpn¥plugin フォルダで使用できます。実際のファイル名には、リリース番号が含まれています。

rdp-plugin.jar:Remote Desktop Protocol プラグインにより、リモート ユーザは Microsoft Terminal Services が実行されているコンピュータに接続できます。再配布されるプラグインのソースがある Web サイトは http://properjavardp.sourceforge.net/ です。

ssh-plugin.jar:Secure Shell-Telnet プラグインにより、リモート ユーザはリモート コンピュータとセキュア シェル接続または Telnet 接続を確立できます。再配布されるプラグインのソースがある Web サイトは http://javassh.org/ です。


) ssh-plugin.jar は、SSH プロトコルおよび Telnet プロトコルの両方をサポートします。SSH クライアントは SSH バージョン 1.0 をサポートします。


vnc-plugin.jar:Virtual Network Computing プラグインにより、リモート ユーザはモニタ、キーボード、およびマウスを使用して、リモート デスクトップ共有がオンになっているコンピュータを表示および制御できます。再配布されるプラグインのソースがある Web サイトは http://www.tightvnc.com です。


) シスコでは、GNU General Public License(GPL; 一般公的使用許諾)に従い、変更を加えることなくプラグインを再配布しています。GPL により、これらのプラグインを直接改良できません。


フラッシュ デバイスにプラグインをインストールすると、セキュリティ アプライアンスにより次のことが実行されます。

(Cisco 配布のプラグイン限定)URL で指定された jar ファイルのアンパック

セキュリティ アプライアンス ファイル システム上の csco-config/97/plugin ディレクトリへのファイルの書き込み

将来のすべてのクライアントレス SSL VPN セッションに対するプラグインのイネーブル化、およびメイン メニュー オプションの追加とポータル ページの [Address] フィールドの隣にあるドロップダウン メニューへのオプションの追加

クライアントレス SSL VPN セッションのユーザがポータル ページで関連するメニュー オプションをクリックすると、ポータル ページにインターフェイスへのウィンドウが開き、ヘルプ ペインが表示されます。ドロップダウン メニューに表示されたプロトコルをユーザが選択して [Address] フィールドに URL を入力すると、接続を確立できます。


) Java プラグインの中には、宛先サービスへのセッションが設定されていない場合でも、接続済みまたはオンラインのステータスをレポートするプラグインもあります。オープン ソースのプラグインはステータスをレポートしますが、セキュリティ アプライアンスはステータスをレポートしません。


[SSL VPN Global Settings] ページの [Plug-in] タブで、クライアントレス SSL VPN ブラウザ アクセスに現在設定されているブラウザ プラグインを表示できます。このタブから、プラグイン ファイルを作成または編集できます(次の手順を参照)。

プラグインの要件および制約事項

プラグインへのリモート アクセスを提供するには、セキュリティ アプライアンスでクライアントレス SSL VPN がイネーブルになっている必要があります。リモートで使用するために必要な最低限のアクセス権は、ゲスト特権モードに属しています。リモート コンピュータ上に必要な Java のバージョンは、プラグインによって自動的にインストールまたは更新されます。ステートフル フェールオーバーが発生すると、プラグインを使用して確立されたセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

プラグインをインストールする前に、セキュリティ アプライアンスで次の準備を行います。

セキュリティ アプライアンスのインターフェイスでクライアントレス SSL VPN がイネーブルであることを確認します。

リモート ユーザが Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用して接続するセキュリティ アプライアンス インターフェイスに、SSL 証明書をインストールします。


) SSL 証明書の Common Name(CN; 共通名)として IP アドレスを指定しないでください。リモート ユーザは、FQDN を使用してセキュリティ アプライアンスとの通信を試みます。リモート PC は、DNS または System32¥drivers¥etc¥hosts ファイル内のエントリを使用して、FQDN を解決できる必要があります。


関連項目

「SSL VPN サポート ファイルの概要と管理」

「他の SSL VPN 設定の定義(ASA)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Other Settings] ページで [Plug-in] タブをクリックします。[Plug-in] タブには、プラグインのタイプおよび実際のプラグイン ファイルを定義するファイル ポリシー オブジェクトの名前など、設定されているすべてのプラグインのリストが表示されます。

ステップ 3 次のいずれかを実行します。

プラグインを追加するには、テーブルの下の [Add Row] ボタンをクリックして、次のように、[Add Plug-In Entry] ダイアログボックスに入力します。

[Plug-in]:追加するプラグインのタイプを選択します。

[Remote Desktop (RDP) or RDP2]:Remote Desktop Protocol サービス。

[Secure Shell (SSH), Telnet]:Secure Shell および Telnet サービス。

[VNC]:Virtual Network Computing サービス。

[Citrix (ICA)]:Citrix MetaFrame サービス。

[Post]:ポスト サービス。

[Plug-in File]:プラグイン ファイルを定義するファイル ポリシー オブジェクトの名前。ファイル オブジェクトの名前を入力します。または、[Select] をクリックしてオブジェクトを選択するか、新しいオブジェクトを作成します。ファイル オブジェクトの作成の詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

プラグインを編集するには、そのプラグインを選択し、[Edit Row] ボタンをクリックして、[Edit Plug-In Entry] ダイアログボックスで変更を行います。

プラグインを削除するには、そのプラグインを選択し、[Delete Row] ボタンをクリックします。削除の確認が求められます。


 

SSL VPN AnyConnect クライアント設定について

Cisco AnyConnect VPN クライアントは、セキュリティ アプライアンスへのセキュアな SSL および IKEv2 IPsec 接続をリモート ユーザに提供します。このクライアントにより、ネットワーク管理者がリモート コンピュータにクライアントをインストールして設定しなくても、リモート ユーザは SSL または IKEv2 IPsec VPN クライアントを活用できます。


ヒント IKEv2 IPsec 接続では、AnyConnect 3.0 以降のクライアントが必要です。

事前にクライアントがインストールされていない場合、リモート ユーザは、SSL または IKEv2 IPsec VPN 接続を受け入れるように設定されているインターフェイスの IP アドレスをブラウザに入力します。セキュリティ アプライアンスが http: // 要求を https: // にリダイレクトするように設定されている場合を除いて、ユーザは https:// <address> の形式で URL を入力する必要があります。

URL を入力すると、ブラウザがそのインターフェイスに接続して、ログイン画面が表示されます。ユーザがログイン認証に成功し、セキュリティ アプライアンスによってそのユーザがクライアントを要求していると識別されると、リモート コンピュータのオペレーティング システムに適合するクライアントがダウンロードされます。ダウンロード後、クライアントは自分自身でインストールと設定を行い、セキュアな接続を確立します。接続の終了時には、(セキュリティ アプライアンスの設定に応じて)そのまま残るか、または自分自身をアンインストールします。

事前にクライアントがインストールされている場合、ユーザの認証時に、セキュリティ アプライアンスはクライアントのリビジョンを検査し、必要な場合はクライアントをアップグレードします。

クライアントがセキュリティ アプライアンスとの接続をネゴシエートする場合は、Transport Layer Security(TLS)、および任意で Datagram Transport Layer Security(DTLS)を使用して接続します。DTLS により、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。

AnyConnect クライアントは、セキュリティ アプライアンスからダウンロードできます。または、システム管理者が手動でリモート ワークステーションにインストールできます。クライアントの手動インストールの詳細については、『 Cisco AnyConnect Secure Mobility Client Administrator Guide 』を参照してください。AnyConnect のマニュアルは、 http://www.cisco.com/en/US/products/ps10884/tsd_products_support_series_home.html から入手できます。AnyConnect の一般情報については、 http://www.cisco.com/go/anyconnect を参照してください。

セキュリティ アプライアンスは、接続を確立しているユーザのグループ ポリシーまたはユーザ名属性に基づいてクライアントをダウンロードします。自動的にクライアントをダウンロードするようにセキュリティ アプライアンスを設定できます。または、クライアントをダウンロードするかどうかをリモート ユーザに確認するように設定することもできます 後者でユーザが応答しなかった場合に、タイムアウト時間の経過後にクライアントをダウンロードするか、またはログイン ページを表示するように、セキュリティ アプライアンスを設定できます。

AnyConnect クライアント プロファイル

AnyConnect クライアント プロファイルは、XML ファイルに保存された一連の設定パラメータです。クライアントでは、クライアント ユーザ インターフェイスに表示される接続エントリを設定するときにこれらのパラメータを使用します。これらのパラメータ(XML タグ)には、ホスト コンピュータの名前とアドレス、および追加のクライアント機能をイネーブルにする設定が含まれています。

AnyConnect クライアント インストールには、 AnyConnectProfile.tmpl という名前のプロファイル テンプレートが含まれています。このファイルはテキスト エディタを使用して編集したり、このファイルを基にして他のプロファイル ファイルを作成したりできます。ユーザ インターフェイスからは使用できない高度なパラメータを設定することもできます。また、インストールには、 AnyConnectProfile.xsd という名前の XML スキーム ファイル一式も含まれています。

その他の設定ポリシーの [Client Settings] タブにプロファイルを追加して、これをセキュリティ アプライアンスにロードし、そのあとで、グループ ポリシーおよびユーザ名属性に基づいてクライアント ワークステーションにダウンロードできます。

関連項目

「SSL VPN サポート ファイルの概要と管理」

「SSL VPN AnyConnect クライアント設定の定義(ASA)」

SSL VPN AnyConnect クライアント設定の定義(ASA)

ここでは、SSL および IKEv2 IPsec VPN クライアント イメージおよびプロファイルを定義する方法を示します。AnyConnect イメージおよびプロファイルの詳細については、「SSL VPN AnyConnect クライアント設定について」を参照してください。


ヒント 必要なリリースの AnyConnect イメージを追加していることを確認してください。たとえば、IKEv2 IPsec VPN を設定する場合は、AnyConnect 3.0 以降のイメージを含める必要があります。通常、イメージ バージョンは、リモート アクセス VPN で展開する機能をサポートする必要があります。

関連項目

「SSL VPN サポート ファイルの概要と管理」

「他の SSL VPN 設定の定義(ASA)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Other Settings] ページで [Client Settings] タブをクリックします。このタブには、設定されている AnyConnect クライアントおよびプロファイルのリストを個別に表示する 2 つのテーブルがあります。

AnyConnect イメージには、順番を示す番号が含まれます。セキュリティ アプライアンスは、最も大きい順番から始めて、オペレーティング システムと一致するまで、AnyConnect イメージの一部をリモート コンピュータにダウンロードします。そのため、最も一般的なオペレーティング システムで使用されるイメージに、最も大きい値を入力する必要があります。

モバイル ユーザは接続速度が遅いため、Windows Mobile 用の AnyConnect イメージをリストの最初でロードする必要があります。また、正規表現 Windows CE を指定して、Windows Mobile デバイスのユーザ エージェントを照合して、接続時間を短縮することもできます。モバイル デバイスのブラウザは ASA に接続するときに、HTTP ヘッダーにユーザエージェント文字列を含めます。ASA は、文字列を受信して、他の AnyConnect イメージが適切かどうかを確認せずに、すぐに Windows Mobile 用の AnyConnect をダウンロードします。

ステップ 3 AnyConnect クライアント イメージを追加する、または既存のリストを変更するには、次のいずれかを実行します。

AnyConnect イメージを追加するには、テーブルの下の [Add Row] ボタンをクリックして、[Add AnyConnect Client Image] ダイアログボックスに入力します。イメージを定義するファイル オブジェクトの名前、およびイメージのプライオリティ順を指定する必要があります。また、接続クライアントのダウンロード速度を改善するために正規表現を指定することもできます。オプションの詳細については、「[Add AnyConnect Client Image][Edit AnyConnect Client Image] ダイアログボックス」を参照してください。

イメージを編集するには、そのイメージを選択し、[Edit Row] ボタンをクリックして、[Edit AnyConnect Client Image] ダイアログボックスで変更を行います。

イメージを削除するには、そのイメージを選択し、[Delete Row] ボタンをクリックします。削除の確認が求められます。

ステップ 4 AnyConnect プロファイルを追加する、または既存のリストを変更するには、次のいずれかを実行します。

AnyConnect プロファイルを追加するには、テーブルの下の [Add Row] ボタンをクリックして、[Add AnyConnect Client Profile] で次のオプションを設定します。

[AnyConnect Profile Name]:プロファイルの名前。

このプロファイルを使用するには、(「ASA グループ ポリシーの SSL VPN フル クライアント設定」で説明されているように [Full Client] の設定ページで)セキュリティ アプライアンスに割り当てられる ASA Group Policy オブジェクトのプロファイル名を指定していることを確認します。デバイスのリモート アクセス Connection Profile ポリシーを介して ASA Group Policy オブジェクトを設定します(「接続プロファイルの設定(ASA、PIX 7.0+)」を参照)。

[AnyConnect Client Profile]:Anyconnect クライアント プロファイル XML ファイルを識別するファイル オブジェクトの名前。[Select] をクリックしてオブジェクトを選択するか、新しいオブジェクトを作成します。ファイル オブジェクトの詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

プロファイルを編集するには、そのプロファイルを選択し、[Edit Row] ボタンをクリックして、[Edit AnyConnect Client Profile] ダイアログボックスで変更を行います。

プロファイルを削除するには、プロファイルを選択し、[Delete Row] ボタンをクリックします。削除の確認が求められます。


 

[Add AnyConnect Client Image][Edit AnyConnect Client Image] ダイアログボックス

[Add or Edit AnyConnect Client Image] ダイアログボックスを使用して、クライアント イメージとしてパッケージ ファイルを作成または編集し、セキュリティ アプライアンスがイメージをリモート ワークステーションにダウンロードする順序を確立します。

ナビゲーション パス

ASA デバイスの SSL VPN のその他の設定ポリシーの [Client Settings] タブから、[AnyConnect Client Image] テーブルの [Add Row] ボタンをクリックするか、イメージを選択して [Edit Row] ボタンをクリックします。タブを開く方法の詳細については、「SSL VPN AnyConnect クライアント設定の定義(ASA)」を参照してください。

関連項目

「SSL VPN AnyConnect クライアント設定について」

「SSL VPN AnyConnect クライアント設定の定義(ASA)」

「SSL VPN サポート ファイルの概要と管理」

フィールド リファレンス

 

表 29-19 [Add or Edit AnyConnect Client Image] ダイアログボックス

要素
説明

AnyConnect Client Image

Anyconnect クライアントを識別するファイル オブジェクトの名前。[Select] をクリックしてオブジェクトを選択するか、新しいオブジェクトを作成します。ファイル オブジェクトの詳細については、「[Add File Object]/[Edit File Object] ダイアログボックス」を参照してください。

Image Order

セキュリティ アプライアンスがクライアント イメージをリモート ワークステーションにダウンロードする順序。イメージは、プライオリティ順でダウンロードされます。そのため、最も一般的なオペレーティング システムで使用されるイメージに、より小さい値を入力する必要があります。

Regular Expression

ユーザ エージェントを照合する正規表現。既存の正規表現ポリシー オブジェクトの名前を入力します。または、[Select] をクリックして正規表現を選択するか、新しい正規表現を作成します。

Windows Mobile の AnyConnect パッケージを追加する場合、正規表現 Windows CE を指定して、Windows Mobile デバイスのユーザ エージェントを照合します。これにより、モバイル デバイスの接続時間を短縮できます。モバイル デバイスのブラウザは適応型セキュリティ アプライアンスに接続するときに、HTTP ヘッダーにユーザエージェント文字列を含めます。適応型セキュリティ アプライアンスは、文字列を受信して、他の AnyConnect イメージが適切かどうかを確認せずに、すぐに Windows Mobile 用の AnyConnect をダウンロードします。

SSL VPN の Kerberos Constrained Delegation(KCD)について(ASA)

認証によりネットワーク リソースを保護するには、多くの方法があります。多くの組織は、Kerberos を使用して特定の Web アプリケーションを保護し、ユーザ名とパスワード、デジタル証明書、RSA SecureID または SmartCards などのその他の認証技術を使用して、SSL VPN へのアクセスを制御します。ただし、Kerberos プロトコルの制限により、ユーザがすでに別の技術を使用して VPN に対する認証を行っている場合、Kerberos 認証は行われません。

Microsoft では、Windows Server 2003 より、この Kerberos における制限を解決しています。プロトコル移行および制約委任を使用することで、ASA は、Windows ドメイン コントローラでの Kerberos Key Distribution Center(KCD)に対する認証を行い、Kerberos 以外のプロトコルを使用して ASA に対する認証を行っているユーザの代替チケットを取得できます。ASA は、代替チケットを使用して、リモート ユーザの他の Kerberos サービス チケットを取得できます。

Kerberos Constrained Delegation が機能するようにドメイン コントローラを設定するには、次のようにする必要があります。

Kerberos 認証を使用するサービスの各インスタンスでは、クライアントがネットワーク上で識別できるように、Service Principle Name(SPN)が定義されている必要があります。SPN は、サービスのインスタンスが実行している Windows アカウントの Active Directory Service-Principal-Name 属性に登録します。サービスが、特定のコンピュータで実行している別のサービスに対して認証する必要がある場合、そのサービスの SPN により、そのコンピュータで実行している他のサービスと区別します。

SPN の構文は、 service_class/host_name:port です。

service_class は、サービスを識別します。これは、http などの組み込みサービス、またはユーザ定義サービスです。

host_name は、サービスをホストするサーバの完全修飾ドメイン名または NetBIOS 名を識別します。IP アドレスにすることはできません。

port は、サービスが実行するポートを識別します。デフォルト サービス ポートを使用する場合は、port を省略できます。

ASA が使用できるサービス アカウント ユーザ名およびパスワードを作成します。任意の認証プロトコルに対して Kerberos Constrained Delegation を許可するアカウントを設定します。また、ユーザ アカウントには、委任できない機密アカウントを使用しないでください。

KCD を許可するように ASA を設定するには、ASA がドメインに参加したら、ASA のドメイン コントローラの [Users and Computers] リスト下にエントリが表示される必要があります。[Delegation] タブの [Properties] ダイアログボックスで、[Trust this computer for delegation to specified services only] を選択して、次に、[Use any authentication protocol] を選択します。認可サービスのテーブルで、ユーザに代わり ASA が認証を委任されるすべてのサービスを追加します。


ヒント Windows ドメイン コントローラでこの機能を設定する方法の詳細については、Microsoft のマニュアルを参照してください。

ASA が Kerberos Constrained Delegation を使用できるようにするには、「SSL VPN の Kerberos Constrained Delegation(KCD)の設定(ASA)」で説明されているように ASA を設定する必要があります。この機能を使用できるのは、ASA Software リリース 8.4 以降だけです。

次の例では、Kerberos Constrained Delegation が ASA でホストされるクライアントレス SSL VPN でどのように機能するかについて説明しています。

図 29-1 Kerberos Constrained Delegation の例

 

設定されている認証メカニズムで SSL VPN ユーザのアイデンティティを確認したら、ASA は、プロトコル移行を使用して、ユーザの代わりに認証を行うために Kerberos プロトコルに切り替えます。次に、ユーザのクレデンシャルの代わりに、Kerberos サービス チケットを、認証のために Kerberos を受け取る公開済み Web サーバに送信します。これらのステップを次に示します。

1. SSL VPN ユーザ セッションが、ユーザに設定されている認証メカニズムを使用して ASA により認証されます。たとえば、Smartcard クレデンシャルの場合、ASA は、デジタル証明書から必要な情報(ユーザのプリンシプル名)を抽出して、Windows Active Directory に対して LDAP 認可を実行します。

2. 認証が成功すると、ユーザは、ASA SSL VPN ポータル ページにログインします。VPN ユーザは、URL をポータル ページに入力するか、ブックマークをクリックして、Web サービスにアクセスします。このアクセスで認証が必要な場合、サーバは、ASA クレデンシャルの認証確認を行い、同時に、サーバでサポートされている認証メカニズムのリストを送信します。認証確認時の HTTP ヘッダーに基づいて、ASA は、サーバで Kerberos 認証が必要かどうかを決定します。バックエンド サーバとの接続で、Kerberos 認証が必要な場合、ASA は、ユーザの代わりにそれ自体のために、代替チケットを KDC から要求します。

3. KDC は、要求されたチケットを ASA に返します。これらのチケットは ASA に渡されますが、ユーザの認可データが含まれています。


) これらの最初のステップでは、プロトコル移行が行われます。これらのステップの後、Kerberos 以外の認証プロトコルを使用して ASA に対して認証を行ったユーザは、透過的に、Kerberos を使用して KDC に対して認証されます。


4. ここで、ASA は、ユーザがアクセスする特定のサービス用の KDC からのサービス チケットを要求します。サービス チケット要求には、サービスの SPN(一意な ID)が含まれます。

5. KDC は、特定のサービスのサービス チケットを ASA に返します。

6. ASA は、このサービス チケットを使用して、Web サービスへのアクセスを要求します。前述の例の場合、これは、HTTP GET 要求で Web サーバに送信されます。

7. Web サーバは、Kerberos サービス チケットを認証して、サービスへのアクセスを付与します。認証に失敗すると、表示されるポータルを確認したあとで、該当するエラー メッセージが表示されます。

SSL VPN の Kerberos Constrained Delegation(KCD)の設定(ASA)

[SSL VPN Other Settings] ページの [Microsoft KCD Server] タブを使用して、ASA でホストされるクライアントレス SSL VPN の Kerberos Constrained Delegation(KCD)を設定します。

KCD は、Kerberos における制限に対処します。Kerberos 以外の方法を使用して SSL VPN に対する認証を行うユーザは、Kerberos で保護されたリソースにアクセスできません。この場合、ASA などのリモート アクセス デバイスは、Kerberos 以外の方法を使用するユーザを認証できません。ただし、企業内で Kerberos を使用して認証された Web アプリケーションへのシングル サインオン アクセスは提供されます。

この制限がネットワークに適用される場合、KCD を設定してこの制限を回避できます。KCD は、ASA に対する Kerberos 認証をオフロードします。ユーザは、SSL VPN ポータルを使用して企業ネットワークにログインすると、これ以降、Kerberos 保護サービスに透過的にアクセスします。

ヒント

KCD では、ASA リリース 8.4+ が必要です。これ以外のリリースで KCD を設定しても、設定は無視されます。

この機能は、クライアントレス SSL VPN アクセスだけで使用されます。

KCD では、ドメイン コントローラとして設定された、Microsoft Windows Server(2003 または 2008)が必要です。

SSL VPN Bookmark ポリシー オブジェクトを使用して、SSL VPN ポータル ページに含めるブックマークを定義した場合、サービスがデフォルト以外のポートを使用していると、場合によっては、明示的な Service Principle Name(SPN)パラメータをブックマークに追加する必要があります。Kerberos 認証を使用するサービスでは、SPN は、サービスが実行するアカウントの Service-Principle-Name 属性で定義される必要があります。

ブックマークは、この設定を反映する必要があります。SPN は、URL: http://<url>?SPN=<spn> or http://<url>?SPN=<spn> でのパラメータです。たとえば、 http://owa.example.com?SPN=http/owa:444 です。SPN 構文の詳細については、「SSL VPN の Kerberos Constrained Delegation(KCD)について(ASA)」を参照してください。

この機能を設定するには、ホスト名、DNS および NTP ポリシーも設定する必要があります。ホスト名ポリシーでは、ホスト名およびドメイン名の両方を設定します。

Kerberos 認証では、ホスト間のクロックは、5 分(デフォルト設定)以下で同期化される必要があります。この制限は、ASA、ドメイン コントローラおよびアプリケーション サーバのクロックに適用されます。すべてのサーバで同じ NTP サーバを設定すると、この要件に対処できます。

関連項目

「他の SSL VPN 設定の定義(ASA)」

「AAA サーバおよびサーバ グループ オブジェクトについて」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Other Settings] ページで、[Microsoft KCD Server] タブをクリックします。

ステップ 3 [Configure KCD] を選択して、次のオプションを設定します。

[KCD Server]:Kerberos Constrained Delegation で使用する Microsoft KCD サーバ(ドメイン コントローラ)を識別する AAA サーバ グループ オブジェクト。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。オブジェクトは、Kerberos AAA サーバ ポリシー オブジェクトを使用して、ドメイン コントローラを識別する必要があります。

[Username, Password, Confirm]:ASA が Active Directory ドメインに参加するときに使用できるユーザ アカウント。

ASA が Kerberos プロトコル移行および Kerberos Constrained Delegation を使用し、リモート アクセス ユーザの代わりにサービス チケットを取得するには、ドメイン コントローラ認証のために ASA により使用されるアカウントは、Active Directory に含まれている必要があり、任意のプロトコルで Kerberos Constrained Delegation を許可できるように設定される必要があります。また、ユーザ アカウントには、委任できない機密アカウントを使用しないでください。Active Directory の設定要件の詳細については、「SSL VPN の Kerberos Constrained Delegation(KCD)について(ASA)」を参照してください。


 

SSL VPN の高度な設定の定義(ASA)

[SSL VPN Other Settings] ページの [Advanced] タブを使用して、メモリ、オンスクリーン キーボードおよび内部パスワード機能を ASA デバイスで設定します。これらの設定はすべて任意です。

関連項目

「他の SSL VPN 設定の定義(ASA)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Other Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Other Settings (ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Other Settings] ページで [Advanced] タブをクリックします。

ステップ 3 [Memory Size] フィールドで、SSL VPN セッションに割り当てるメモリ容量を指定します。デフォルト値は 50 % です。

設定を変更するには、次のいずれかのオプションを選択して、目的の数値を入力します。

[% of Total Physical Memory]:全体のメモリに対するパーセンテージで指定します。デフォルトは 50% です。

[Kilobytes]:KB 単位で指定します。許可される最小設定値は、20 KB です。次の例に示すように、ASA モデルのタイプによって合計のメモリ量が異なるため、KB 単位では指定することは推奨されません。


) メモリ サイズを変更した場合、新しい設定は、システムをリブートしないと有効になりません。


ステップ 4 [Enable On-Screen Keyboard] フィールドで、次のいずれかのオプションを選択します。

[Disabled]:オンスクリーン キーボードは表示されません。ユーザは、標準のキーボードを使用してクレデンシャルを入力する必要があります。これがデフォルトです。

[On All Pages]:ユーザは、ログイン クレデンシャルが必要になると表示されるオンスクリーン キーボードを使用してクレデンシャルを入力できます。

[On Logon Page Only]:ユーザは、ログイン ページに表示される(クレデンシャルを必要としないページでは表示されません)オンスクリーン キーボードを使用してクレデンシャルを入力できます。

ステップ 5 内部サイトにアクセスするときに追加パスワードを要求する場合は、[Allow Users to Enter Internal Password] を選択します。この機能は、内部パスワードを SSL VPN パスワードとは別のパスワードにする必要がある場合に役立ちます。たとえば、ASA への認証にはあるワンタイム パスワードを使用して、内部サイトには別のパスワードを使用できます。


 

SSL VPN 共有ライセンスの設定(ASA 8.2+)

[SSL VPN Shared License] ページを使用して、SSL VPN 共有ライセンスを設定します。

多数の SSL またはリモート アクセス IKEv2 IPsec VPN セッションに対応した共有ライセンスを購入し、ASA デバイスの 1 つを共有ライセンス サーバ、残りのデバイスをクライアントとして設定すると、必要に応じて ASA デバイスのグループ全体でセッションを共有できます。サーバ ライセンスの場合、500 単位で 500 ~ 50,000 ライセンス、1000 単位で 50,000 ~ 1,040,000 ライセンスを共有できます。

ライセンスは、SSL または IKEv2 IPsec 接続を確立する各リモート アクセス ユーザにより使用されます。


) 共有ライセンスは、AnyConnect Essentials ライセンスと同時には使用できません。


ここでは、共有ライセンスの設定手順について説明します。

「共有ライセンス クライアントとしての ASA デバイスの設定」

「共有ライセンス サーバとしての ASA デバイスの設定」

ナビゲーション パス

(デバイス ビュー)バージョン 8.2 以降を使用する ASA デバイスを選択し、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Shared License] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Shared License (ASA 8.2+)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 29-20 [SSL VPN Shared License] ページ

要素
説明

Select Role

設定するロール([Shared License Client] または [Shared License Server])。選択した項目によって、表示されるフィールドが異なります。

Shared License Client

Shared Secret

共有ライセンス サーバとの通信に使用される、大文字と小文字が区別される文字列(4 ~ 128 文字)。

License Server

ライセンス サーバとして設定されている ASA デバイスを識別するネットワーク/ホスト オブジェクトの IP アドレスまたは名前。[Select] をクリックして既存のオブジェクトを選択するか、新しいオブジェクトを作成します。

License Server Port

ライセンス サーバが通信する TCP ポートの番号。ポート リスト オブジェクトのポート番号または名前を入力します。または、[Select] をクリックしてオブジェクトを選択するか、新しいオブジェクトを作成します。

Select Backup Role of Client

クライアントのバックアップ ロール。

[Client Only]:選択すると、クライアントはクライアントとしてだけ機能します。この場合は、別のデバイスをバックアップ サーバとして指定できます。ネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力するか [Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

[Backup Server]:選択すると、クライアントはバックアップ サーバとしても機能します。この場合は、この目的に使用されるインターフェイスも指定する必要があります。インターフェイス名またはインターフェイス ロール オブジェクトのカンマ区切りリストを入力します。あるいは、[Select] をクリックして、インターフェイスまたはオブジェクトを選択するか、新しいオブジェクトを作成します。

Shared License Server

Shared Secret

共有ライセンス サーバとの通信に使用される、大文字と小文字が区別される文字列(4 ~ 128 文字)。

License Server Port

ライセンス サーバが通信する TCP ポートの番号。ポート リスト オブジェクトのポート番号または名前を入力します。または、[Select] をクリックしてオブジェクトを選択するか、新しいオブジェクトを作成します。

Refresh Interval

10 ~ 300 秒のリフレッシュ間隔。デフォルトは 30 秒です。

Interfaces

クライアントとの共有ライセンスの通信に使用されるインターフェイスのカンマ区切りリスト。インターフェイスまたはインターフェイス ロール オブジェクトの名前を入力します。あるいは、[Select] をクリックしてインターフェイスまたはオブジェクトを選択するか、新しいオブジェクトを作成します。

Configure Backup shared SSL VPN License Server

共有ライセンス サーバのバックアップ サーバを設定するかどうかを指定します。このオプションを選択した場合は、次の項目を設定します。

[Backup License Server]:現在のサーバが使用できなくなった場合のバックアップ ライセンス サーバとして機能するサーバの IP アドレス、またはアドレスを含むネットワーク/ホスト オブジェクト。[Select] をクリックしてオブジェクトを選択するか、新しいオブジェクトを作成します。

[Backup Server Serial Number]:バックアップ ライセンス サーバのシリアル番号。

[HA Peer Serial Number]:(任意)フェールオーバー ペアのバックアップ サーバのシリアル番号。

ここでは、次の項目について説明します。

「共有ライセンス クライアントとしての ASA デバイスの設定」

「共有ライセンス サーバとしての ASA デバイスの設定」

共有ライセンス クライアントとしての ASA デバイスの設定

ここでは、ASA デバイスを共有ライセンス クライアントとして設定する方法について説明します。


ヒント SSL VPN Shared License Client アクティベーション キーがデバイスに存在することを確認する必要があります。


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Shared License] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Shared License (ASA 8.2+)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[SSL VPN Shared License] ページが表示されます(「SSL VPN 共有ライセンスの設定(ASA 8.2+)」を参照)。

ステップ 2 デバイスのロールとして [Shared License Client] を選択します。

ステップ 3 [Shared Secret] フィールドに、共有ライセンス サーバとの通信に使用されるストリング(4 ~ 128 文字で、大文字と小文字が区別される)を入力して、確認します。

ステップ 4 [License Server] フィールドで、ライセンス サーバとして設定されている ASA デバイスを識別するネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力します。

ステップ 5 [License Server Port] フィールドに、ライセンス サーバが通信する TCP ポートの番号を入力します。

ステップ 6 クライアントのロールを選択します。

[Client Only]:選択すると、クライアントはクライアントとしてだけ機能します。この場合は、別のデバイスをバックアップ サーバとして指定できます。

[Backup Server]:選択すると、クライアントはバックアップ サーバとしても機能します。この場合は、この目的に使用されるインターフェイスも指定する必要があります。


 

共有ライセンス サーバとしての ASA デバイスの設定

ここでは、ASA デバイスを共有ライセンス サーバとして設定する方法について説明します。


ヒント SSL VPN Shared License Server アクティベーション キーがデバイスに存在することを確認する必要があります。


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ASA デバイスを選択して、ポリシー セレクタから [Remote Access VPN] > [SSL VPN] > [Shared License] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [SSL VPN] > [Shared License (ASA 8.2+)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[SSL VPN Shared License] ページが表示されます(「SSL VPN 共有ライセンスの設定(ASA 8.2+)」を参照)。

ステップ 2 デバイスのロールとして [Shared License Server] を選択します。

ステップ 3 [Shared Secret] フィールドに、共有ライセンス サーバとの通信に使用されるストリング(4 ~ 128 文字で、大文字と小文字が区別される)を入力して、確認します。

ステップ 4 [License Server Port] フィールドに、ライセンス サーバが通信する TCP ポートの番号を入力します。

ステップ 5 [Refresh Interval] フィールドに、リフレッシュ間隔として使用される 10 ~ 300 秒の間の値を入力します。デフォルトは 30 秒です。

ステップ 6 [Interfaces] フィールドに、クライアントとの通信に使用されるインターフェイスを入力または選択します。

ステップ 7 (任意)[Configure Backup shared SSL VPN License Server] を選択して、共有ライセンス サーバのバックアップ サーバを設定します。設定項目は次のとおりです。

[Backup License Server]:現在のサーバが使用できなくなった場合のバックアップ ライセンス サーバとして機能するサーバの IP アドレス、またはアドレスを含むネットワーク/ホスト オブジェクト。

[Backup Server Serial Number]:バックアップ ライセンス サーバのシリアル番号。

[HA Peer Serial Number]:(任意)フェールオーバー ペアのバックアップ サーバのシリアル番号。


 

クライアントレス SSL VPN ポータルのカスタマイズ

ブラウザベースのクライアントレス SSL VPN のポータル ページに使用する Web サイトとそのコンテンツは、カスタマイズできます。ASA デバイスでは、IOS デバイスよりもさまざまなカスタマイゼーションが可能です。ユーザが VPN にログインしたとき、または VPN からログアウトしたときに表示される Web ページの外観、ポータルのホームページ、およびユーザが使用可能なブックマークとスマート トンネルを定義する、さまざまなポリシー オブジェクトを作成できます。

ここでは、次の項目について説明します。

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

「ASA デバイスの SSL VPN Web ページのローカライズ」

「ASA デバイスの独自 SSL VPN ログイン ページの作成」

「ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定」

「SSL VPN ブックマークでの Post URL 方式およびマクロ置換の使用」

「ASA デバイスの SSL VPN スマート トンネルの設定」

「WINS/NetBIOS Name Service(NBNS)サーバの設定による SSL VPN でのファイル システム アクセスのイネーブル化」

SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定

SSL VPN カスタマイゼーション オブジェクトは、ユーザに表示される、ブラウザベースのクライアントレス SSL VPN Web ページの外観を記述します。これには、ユーザが ASA セキュリティ アプライアンスに接続したときに表示されるログイン ページ、認証後に表示されるホームページ、およびユーザが SSL VPN サービスからログアウトしたときに表示されるログアウト ページが含まれます。

SSL VPN カスタマイゼーション オブジェクトは、ASA デバイスに ASA グループ オブジェクトまたは Remote Access VPN Connection ポリシーを定義する場合に使用します。それぞれのユーザ グループに対して、そのグループ専用に設計された Web ページが表示されるように、いくつかのカスタマイゼーション オブジェクトを作成し、複数の ASA グループまたは接続プロファイルを定義できます。カスタマイゼーションには、各グループに適した言語で Web ページをローカライズすることも含まれています。ローカリゼーションの詳細については、「ASA デバイスの SSL VPN Web ページのローカライズ」を参照してください。

まず、ユーザが初めて接続するとき、接続プロファイルで識別されたデフォルトのカスタマイゼーション オブジェクトによって、ログイン画面の表示方法が決定されます。ユーザがログイン ページの接続プロファイル リストとは異なるグループを選択した場合、そのグループに独自のカスタマイゼーションが設定されていれば、選択したグループのカスタマイゼーション オブジェクトを反映するように画面が変更されます。リモート ユーザが認証されると、グループ ポリシーに割り当てられているカスタマイゼーション オブジェクトによって、画面の外観が決定されます。

この手順で説明した SSL VPN カスタマイゼーション オブジェクトを作成したあとは、このオブジェクトを使用して、次のポリシーのポータル特性を指定できます。

ASA グループ ポリシー オブジェクトの [SSL VPN] > [Settings] ページで(「ASA グループ ポリシーの SSL VPN 設定」を参照)、次のポリシーのいずれかを選択します。

[Remote Access VPN] > [Group Policies]

[Remote Access VPN] > [Connection Profiles] の [General] タブ

[Remote Access VPN] > [Connection Profiles] ポリシーで、[SSL] タブの SSL VPN カスタマイゼーション オブジェクトを指定することもできます(「[SSL] タブ([Connection Profiles])」を参照)。

関連項目

「ASA デバイスの SSL VPN Web ページのローカライズ」

「ポリシー オブジェクトの作成」

「[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス」


ステップ 1 [Manage] > [Policy Objects] を選択して [Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。


ヒント SSL VPN カスタマイゼーション オブジェクトは、このオブジェクト タイプを使用するポリシーまたはオブジェクトを定義するときに作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。


ステップ 2 オブジェクト タイプ セレクタから [SSL VPN Customization] を選択します。[SSL VPN Customization] ページが開き、既存の SSL VPN カスタマイゼーション オブジェクトのリストが表示されます。

ステップ 3 作業領域を右クリックし、[New Object] を選択します。

[Add SSL VPN Customization] ダイアログボックスが表示されます(「[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス」を参照)。

ステップ 4 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 5 さまざまなページの設定を行う前に、[Preview] ボタンを使用してデフォルト設定を表示します。[Preview] をクリックするとブラウザ ウィンドウが開き、ログイン ページ、ポータル ページ、またはログアウト ページのうち、コンテンツ テーブルで選択されたいずれかのページの現在の設定が表示されます(これらのフォルダのいずれかでページを選択することは、親フォルダを選択することと同じです)。


ヒント 希望したとおりに変更されているかを確認するには、設定を変更したあとに [Preview] をクリックします。


ステップ 6 ログイン ページの設定を行います。この Web ページは、ユーザが SSL VPN ポータルに接続したときに最初に表示されるページです。VPN へのログインに使用されます。ダイアログボックスの左側のコンテンツ テーブルで、[Logon Page] フォルダから次の項目を選択し、設定を表示および変更します。

[Logon Page]:Web ページのタイトルを指定します。タイトルは、ブラウザのタイトル バーに表示されます。

[Title Panel]:ログイン ページで、Web ページ内にタイトルを表示するかどうかを指定します。タイトル パネルをイネーブルにすると、使用するタイトル、フォント、フォント サイズとフォントの太さ、スタイル、および色を指定できます。ロゴのグラフィックを識別するファイル オブジェクトを選択することもできます。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Title Panel]」を参照してください。

[Language]:ASA デバイスで他言語への変換テーブルを設定し、そのテーブルを使用する場合は、サポートされる言語を設定して、ユーザが自分の言語を選択するようにできます。変換テーブルおよびローカリゼーション サポートの詳細については、「ASA デバイスの SSL VPN Web ページのローカライズ」を参照してください。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Language]」を参照してください。

[Logon Form]:ユーザ ログイン情報を入力するフォームで使用されるラベルおよび色を設定します。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Logon Form]」を参照してください。

[Informational Panel]:ユーザに追加情報を表示する場合は、情報パネルをイネーブルにして、テキストおよびロゴのグラフィックを追加できます。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Informational Panel]」を参照してください。

[Copyright Panel]:ログイン ページに著作権情報を表示する場合は、著作権パネルをイネーブルにして、著作権ステートメントを入力できます。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Copyright Panel]」を参照してください。

[Full Customization]:セキュリティ アプライアンスの組み込みログイン ページを使用しない(カスタマイズもしない)場合は、代わりにフル カスタマイズをイネーブルにして独自の Web ページを指定できます。必要なファイルの作成の詳細については、「ASA デバイスの独自 SSL VPN ログイン ページの作成」を参照してください。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Full Customization]」を参照してください。

ステップ 7 ポータル ページの設定を行います。ポータル ページは SSL VPN ポータルのホームページで、ユーザがログインしたあとに表示されます。ダイアログボックスの左側のコンテンツ テーブルで、[Portal Page] フォルダから次の項目を選択し、設定を表示および変更します。

[Portal Page]:Web ページのタイトルを指定します。タイトルは、ブラウザのタイトル バーに表示されます。

[Title Panel]:ポータル ページで、Web ページ内にタイトルを表示するかどうかを指定します。タイトル パネルをイネーブルにすると、使用するタイトル、フォント、フォント サイズとフォントの太さ、スタイル、および色を指定できます。ロゴのグラフィックを識別するファイル オブジェクトを選択することもできます。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Title Panel]」を参照してください。

[Toolbar]:ポータル ページに、ブラウズ対象の URL を入力するフィールドのあるツールバーを表示するかどうかを指定します。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Toolbar]」を参照してください。

[Applications]:ページに表示されるアプリケーションのボタンを指定します。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Applications]」を参照してください。

[Custom Panes]:ポータル ページの本文を整理する方法を指定します。デフォルトは、内部ペインのない 1 カラム型のページです。複数カラム レイアウトの作成、テキストまたは URL への参照を表示する内部ペインの作成、およびペインを配置するカラムと行の指定ができます。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Custom Panes]」を参照してください。

[Home Page]:ホームページに URL リストを表示するかどうかとその表示方法、およびポータル ページの本文に独自の Web ページを使用するかどうかを指定します。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Home Page]」を参照してください。

ステップ 8 [Logout Page] を選択して、ユーザが SSL VPN からログアウトするときに表示されるページの設定を行います。タイトル、メッセージ テキスト、フォント、および色を設定できます。設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Logout Page]」を参照してください。

ステップ 9 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 10 (任意)[Allow Value Override per Device] を選択して、このオブジェクトのプロパティを個々のデバイスで再定義できるようにします。「ポリシー オブジェクトの上書きの許可」を参照してください。

ステップ 11 [OK] をクリックしてオブジェクトを保存します。


 

ASA デバイスの SSL VPN Web ページのローカライズ

ローカリゼーションとは、ターゲット ユーザに適した言語のテキストを指定するプロセスです。ASA デバイスでホストされる、ブラウザベースのクライアントレス SSL VPN Web ページの外観を定義するための SSL VPN カスタマイゼーション オブジェクトを作成するときに、目的の言語を使用するページを設定できます。

ローカライズされた Web ページを正しく表示するには、ユーザは UTF-8 エンコードを使用するようにブラウザを設定する必要があります(たとえば、Internet Explorer では [View] > [Encoding] > [Unicode (UTF-8)] を選択します)。また、[Regional and Language Options] コントロール パネルを使用して、言語に必要なフォントまたは言語サポート ファイルをインストールする必要もあります。[Languages] タブで、[Details] をクリックして必要な言語をインストールし、東アジア言語、文字体系の複雑な言語、および右から左に記述する言語の適切な補助言語設定を選択します。[Advanced] タブで、適切なコード ページ変換テーブルを選択します。ユーザがブラウザを正しく設定しなかった場合は、文字ではなく四角形が表示されることがあります。

ASA デバイスでホストされる SSL VPN Web ページは、2 つの方法でのローカライズできます。これらの方法は互いに排他的ではなく、両方を使用できます。その方法は次のとおりです。

必要な言語を使用して SSL VPN カスタマイゼーション オブジェクトを設定 :SSL VPN カスタマイゼーション オブジェクトを作成すると、UTF-8 エンコードで英語以外、ASCII 文字以外の言語のラベルおよびメッセージのテキストを入力できます。ASCII 文字以外の言語を UTF-8 エンコードで入力するには、適切なロケール設定で Windows を設定し、必要なフォントをインストールしておく必要があります。システムを設定して、文字体系の複雑な言語または東アジア言語に必要なファイルをインストールするには、[Regional and Language Options] コントロール パネルを使用します。テキストを直接入力する場合は、適切なキーボードもインストールする必要があります。キーボードをインストールしない場合は、その言語の文字をサポートするテキスト エディタを使用すれば、使用するテキストが含まれるドキュメントからそのテキストをコピー アンド ペーストできます。

SSL VPN ブックマーク オブジェクトに、ASCII 文字以外の言語を入力することもできます。

使用可能にする言語をサポートする ASA デバイスに変換テーブルを設定 :ユーザに表示されるポータルおよび画面の言語変換をセキュリティ アプライアンスが提供できるようにするには、必要な言語を変換テーブルに定義して、セキュリティ アプライアンスにそのテーブルをインポートする必要があります。セキュリティ アプライアンスのソフトウェア イメージ パッケージには、変換テーブルのテンプレートが含まれています。SSL VPN カスタマイゼーション オブジェクトに表示されるすべての言語では、対応する変換テーブルがデバイスに設定されている必要があります。逆に、SSL VPN カスタマイゼーション オブジェクトに表示されていない言語の変換テーブルは無視されます。

この方法を使用する場合は、ASA CLI または ASDM を使用して、変換テーブルを設定およびアップロードする必要があります。Security Manager では変換テーブルを管理できません。ただし、SSL VPN カスタマイゼーション オブジェクトの設定を使用すると、ブラウザ言語を自動的に設定し、ユーザによる適切な言語の選択をイネーブルにできます。したがって、10 言語の変換テーブルをインストールした場合は、そのすべての言語のユーザが、SSL VPN カスタマイゼーション オブジェクトに定義されたページを使用できます。これらの設定の詳細については、「[SSL VPN Customization] ダイアログボックス - [Language]」を参照してください。

次のどちらの機能にも変換テーブルが必要ですが、これらは独立した相補的な機能です。

ブラウザ言語の自動選択 :ブラウザ言語の自動選択では、ユーザのブラウザ設定に基づく適切な言語の選択が試行されます。この方法ではユーザ入力が要求されません。SSL VPN カスタマイゼーション オブジェクトでは、ブラウザとのネゴシエーションに使用される言語のリストを作成します。接続時には、セキュリティ アプライアンスがブラウザから言語のリスト(およびそのプライオリティ)を受信し、一致する言語が検出されるまで言語のリストを上から下までもれなく調べます。一致する言語がなかった場合は、リストに定義された言語がデフォルト言語として使用されます。デフォルト言語が指定されていない場合は英語が使用されます。

セキュリティ アプライアンス上の言語は、変換テーブルのラベルとなります。この言語はブラウザの言語を反映する必要があり、(アルファベット文字で始まる)最大 8 文字の英数字をハイフンで区切ったグループで構成されます。たとえば、fr-FR-paris-univ8 などとなります。ただし、Security Manager のリストに言語を追加するときに使用できるのは、先頭の 2 文字だけです。

一致を検索するとき、セキュリティ アプライアンスは最も長い言語名から開始し、一致しない場合は名前の右端のグループを廃棄します。たとえば、ブラウザの優先言語が fr-FR-paris-univ8 で、セキュリティ アプライアンスが fr-FR-paris-univ8、fr-FR-paris、fr-FR、および fr をサポートする場合は、fr-FR-paris-univ8 が一致するので、この変換テーブルの変換ストリングが使用されます。セキュリティ アプライアンス上の言語が fr だけの場合、セキュリティ アプライアンスはこの言語も一致する言語と見なし、その変換テーブルを使用します。

変換テーブルの設定の詳細については、ASA デバイスおよびオペレーティング システムのユーザ マニュアル、または ASDM オンライン ヘルプを参照してください。

言語セレクタ :言語セレクタをイネーブルにすると、サポートする言語のリストから必要な言語をアクティブに選択する機能をユーザに提供します。この方法は、正しく設定されているブラウザ言語設定に依存しません。言語セレクタはログイン ページに表示されます。

関連項目

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

「ポリシー オブジェクトの作成」

「[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス」

ASA デバイスの独自 SSL VPN ログイン ページの作成

ブラウザベースのクライアントレス SSL VPN には、セキュリティ アプライアンスから提供されるページを使用するのではなく、独自のカスタム SSL VPN ログイン ページを作成できます。これはフル カスタマイゼーションと呼ばれ、SSL VPN カスタマイゼーション ポリシー オブジェクトでの設定を置き換えます。

独自のログイン ページを表示するには、ページを作成し、作成したページを Security Manager サーバにコピーして、[SSL VPN Customization object] ダイアログボックスの [Full Customization] ページでこのページを指定する必要があります。SSL VPN カスタマイゼーション オブジェクトの作成の詳細については、「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」を参照してください。

フル カスタマイゼーションをイネーブルにすると、ポリシー オブジェクトに設定された、ログイン ページの他のすべての設定が無視されます。ASA デバイスに設定を展開すると、Security Manager によってカスタム ページがデバイスにコピーされます。

作成するログイン ページには、ページを正しく表示するために必要なすべての HTML コード、およびログイン フォームと [Language Selector] ドロップダウン リストの機能を提供するシスコ独自の HTML コードが含まれている必要があります。HTML ファイルを作成する場合は、次の点を考慮してください。

ファイル拡張子は .inc とする。

カスタム ログイン ページのすべてのイメージを、セキュリティ アプライアンスに配置する必要がある。ファイル パスをキーワード /+CSCOU+/ で置き換える。これは、ASA デバイスの内部ディレクトリです。イメージをデバイスにアップロードすると、そのイメージはこのディレクトリに保存されます。

csco_ShowLoginForm('lform') JavaScript 関数を使用して、ログイン フォームをページに追加する。このフォームによって、ユーザ名、パスワード、およびグループ情報の入力が要求されます。この関数をページのいずれかの場所に記述しておく必要があります。

JavaScript 関数 csco_ShowLanguageSelector('selector') を使用して、[Language Selector] ドロップダウン リストをページに追加する。複数言語の使用をサポートしない場合、この関数を使用する必要はありません。

関連項目

「SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定」

「[Add SSL VPN Customization]/[Edit SSL VPN Customization] ダイアログボックス」

「[SSL VPN Customization] ダイアログボックス - [Full Customization]」

ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定

ブラウザベースのクライアントレス SSL VPN を設定する場合は、SSL VPN ポータル ページに追加するブックマークまたは URL のリストを定義できます。ブックマーク リストを定義するには、SSL VPN ブックマーク ポリシー オブジェクトを使用します。

IOS デバイスまたは ASA デバイスでホストされる SSL VPN に対する SSL VPN ブックマーク オブジェクトを作成できます。ただし、作成できるブックマーク設定はデバイス タイプによって異なり、ASA デバイスの方が IOS デバイスより多くの設定オプションを設定できます。設定できるオプションが多いほか、ASA デバイスには英語以外、ASCII 文字以外の言語のブックマークも作成できます。ASA デバイスのブックマークおよびポータルのローカライズの詳細については、「ASA デバイスの SSL VPN Web ページのローカライズ」を参照してください。

この手順に従って SSL VPN ブックマーク オブジェクトを作成したあと、このオブジェクトを使用して、次のポリシーの [Portal Web Pages] フィールドまたは [Bookmarks] フィールドでブックマーク オブジェクトを指定できます。

ASA デバイス:ASA グループ ポリシー オブジェクトの [SSL VPN] > [Clientless] ページで(「ASA グループ ポリシーの SSL VPN クライアントレス設定」を参照)、次のポリシーのいずれかを選択します。

[Remote Access VPN] > [Group Policies]

[Remote Access VPN] > [Connection Profiles] の [General] タブ

ASA デバイス:[Remote Access VPN] > [Dynamic Access] ポリシーの [Main] > [Bookmarks] タブで、SSL VPN ブックマーク オブジェクトを指定できます(「[Main] タブ」を参照)。

IOS デバイス:SSL VPN 用に設定されるユーザ グループ ポリシー オブジェクトの [Clientless] ページ(「[User Group] ダイアログボックス - クライアントレス設定」を参照)。次に、このオブジェクトを [Remote Access VPN] > [SSL VPN] ポリシーの [General] タブで選択します。

関連項目

「グループ ポリシーの作成(ASA、PIX 7.0+)」

「ダイナミック アクセス ポリシーの設定」

「接続プロファイルの設定(ASA、PIX 7.0+)」

「SSL VPN ポリシーの設定(IOS)」

「ポリシー オブジェクトの作成」

「[Policy Object Manager] ウィンドウ」


ステップ 1 [Manage] > [Policy Objects] を選択して [Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。


ヒント SSL VPN ブックマーク オブジェクトは、このオブジェクト タイプを使用するポリシーまたはオブジェクトを定義するときに作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。


ステップ 2 オブジェクト タイプ セレクタから [SSL VPN Bookmarks] を選択します。[SSL VPN Bookmarks] ページが開き、既存の SSL VPN ブックマーク オブジェクトのリストが表示されます。

ステップ 3 作業領域内で右クリックし、[New Object] を選択します。

[Add SSL VPN Bookmark] ダイアログボックスが表示されます(「[Add Bookmarks]/[Edit Bookmarks] ダイアログボックス」を参照)。

ステップ 4 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 5 IOS デバイスでホストされる SSL VPN に対するオブジェクトを作成する場合は、ブックマーク リストの上に表示される見出しの名前を [Bookmarks Heading (IOS)] フィールドで入力できます。

ステップ 6 Bookmarks テーブルに、オブジェクトに定義されたすべての URL が表示されます。ブックマークを追加するには、テーブルの下にある [Add Row] ボタンをクリックします。既存のブックマークを編集するには、ブックマークを選択して [Edit Row] ボタンをクリックします。

[Add/Edit SSL VPN Bookmark Entry] ダイアログボックスが開きます。このダイアログボックスのフィールドの詳細については、「[Add Bookmark Entry]/[Edit Bookmark Entry] ダイアログボックス」を参照してください。

[Bookmark Option] フィールドで、ブックマークを定義するか([Enter Bookmark])、別の SSL VPN ブックマーク オブジェクトからブックマークを追加するか([Include Existing Bookmarks])を選択します。既存のオブジェクトを追加する場合は、オブジェクトの名前を入力するか、または [Select] をクリックして既存オブジェクトのリストからオブジェクトを選択します。

IOS デバイスで使用するオブジェクトを作成する場合は、ユーザに表示されるブックマークのタイトルと、URL を入力します。URL には正しいプロトコルを選択するように注意してください。[OK] をクリックして、ブックマークをブックマーク テーブルに追加します。

ASA デバイスで使用するオブジェクトを作成する場合は、さらに多くのオプションがあります。タイトルと URL のほか、ブックマークのサブタイトルとイメージ アイコンおよびその他のオプションを定義できます。


ヒント プロトコル RDP、SSH、Telnet、VNC、または ICA を選択する場合は、[Remote Access VPN] > [SSL VPN] > [Other Settings] ポリシーで、そのプロトコルのプラグインを設定する必要があります(「SSL VPN ブラウザ プラグインの設定(ASA)」を参照)。


Get 方式ではなく Post 方式を使用するブックマークを設定することもできます。Post を使用する場合は、[Post Parameters] テーブルの下の [Add Row] をクリックして Post パラメータを設定する必要があります。Post パラメータの詳細については、次の項を参照してください。

「SSL VPN ブックマークでの Post URL 方式およびマクロ置換の使用」

「[Add Post Parameter]/[Edit Post Parameter] ダイアログボックス」

[OK] をクリックして、ブックマークをブックマーク テーブルに追加します。

ステップ 7 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 8 (任意)[Allow Value Override per Device] を選択して、このオブジェクトのプロパティを個々のデバイスで再定義できるようにします。「ポリシー オブジェクトの上書きの許可」を参照してください。

ステップ 9 [OK] をクリックしてオブジェクトを保存します。


 

SSL VPN ブックマークでの Post URL 方式およびマクロ置換の使用

ASA デバイスでホストされる SSL VPN のブックマークを設定する場合には、URL で使用される方式として Get または Post を選択するというオプションがあります。標準の方式は Get 方式であり、この場合、ユーザが URL をクリックすると Web ページに移動します。Post 方式は、データの格納や更新、製品の注文、または電子メールの送信など、データの処理にそのデータの変更が含まれる場合に有効です。

Post URL 方式を選択する場合は、ブックマーク エントリに Post パラメータを設定する必要があります。これらは、ユーザ ID とパスワード、または他の入力パラメータを含む個人別のリソースであることが多く、クライアントレス SSL VPN マクロ置換を定義する必要がある場合があります。

クライアントレス SSL VPN マクロ置換を使用すると、ユーザ ID とパスワード、または他の入力パラメータを含む個人別のリソースにユーザがアクセスできるように設定できます。このようなリソースの例には、ブックマーク エントリ、URL リスト、およびファイル共有などがあります。


) セキュリティ上の理由から、パスワード置換はファイル アクセス URL(cifs://)に対してはディセーブルにされています。同様に、セキュリティ上の理由から、Web リンク(特に非 SSL インスタンス)にパスワード置換を導入する場合は注意が必要です。


次のマクロ置換を使用できます。

ログイン情報置換 :セキュリティ アプライアンスは、SSL VPN ログイン ページからこれらの置換のための値を取得します。ユーザ要求内のこれらのストリングを認識し、このストリングをユーザ固有の値で置き換えてから、リモート サーバに要求を渡します。

使用可能なマクロ置換は、次のとおりです。

CSCO_WEBVPN_USERNAME

SSL VPN へのログインに使用するユーザ名

CSCO_WEBVPN_PASSWORD

SSL VPN へのログインに使用するパスワード

CSCO_WEBVPN_INTERNAL_PASSWORD

SSL VPN へのログイン時に入力する内部リソース パスワード

CSCO_WEBVPN_CONNECTION_PROFILE

SSL VPN へのログイン時に選択されるユーザ グループに関連付けられた接続プロファイル

たとえば、URL リストにリンク http://someserver/homepage/CSCO_WEBVPN_USERNAME.html が含まれている場合、このリンクはセキュリティ アプライアンスによって次の一意なリンクに変換されます。

USER1 の場合、リンクは http://someserver/homepage/USER1.html になります。

USER2 の場合、リンクは http://someserver/homepage/USER2.html になります。

次の例では、cifs://server/users/CSCO_WEBVPN_USERNAME により、セキュリティ アプライアンスでファイル ドライブが特定のユーザにマップされます。

USER1 の場合、リンクは cifs://server/users/USER1 になります。

USER2 の場合、リンクは cifs://server/users/USER2 になります。

RADIUS/LDAP Vendor-Specific Attribute(VSA; ベンダー固有属性) :これらの置換を使用すると、RADIUS サーバまたは LDAP サーバのいずれかに設定された置換を設定できます。使用可能なマクロ置換は、次のとおりです。

CSCO_WEBVPN_MACRO1

CSCO_WEBVPN_MACRO2

ブックマークの設定については、「ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの設定」を参照してください。

ASA デバイスの SSL VPN スマート トンネルの設定

スマート トンネルは、ユーザのワークステーションで動作するアプリケーションとプライベート サイト間の接続です。この接続は、セキュリティ アプライアンスをパスおよびプロキシ サーバとして使用するクライアントレス(ブラウザベース)SSL VPN セッションを使用します。スマート トンネルではユーザのアプリケーションがローカル ポートに接続する必要がないため、ユーザに管理権限を指定することなく、フル トンネル サポートが必要な場合と同様にアプリケーションがネットワークにアクセスできます。ただし、アプリケーションへのアクセスを許可するようにネットワークを設定していない場合は、サポートするアプリケーションのスマート トンネルを作成できます。

アプリケーションへのスマート トンネル アクセスは、次の条件下で設定できます。

アプリケーションが Winsock 2 の TCP ベースのアプリケーションであり、アプリケーションにブラウザ プラグインが存在する。シスコでは、SSH(SSH セッションおよび Telnet セッション)、RDP、および VNC を含め、クライアントレス SSL VPN で使用するため、一部のアプリケーション向けにプラグインを配布しています。他のアプリケーションについては、プラグインを提供または入手する必要があります。プラグインは、[Remote Access VPN] > [SSL VPN] > [Other Settings] ポリシーの [Plug-Ins] タブで設定します。

ユーザのワークステーションは、サポートされているプラットフォームです。サポートされているプラットフォームについて、使用している ASA バージョンに対応する Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスのマニュアル、 http://www.cisco.com/en/US/products/ps6120/products_installation_and_configuration_guides_list.html を参照してください。

スマート トンネル(またはポート転送)を使用する Microsoft Windows Vista のユーザは、ASA デバイスの URL を信頼済みサイト ゾーンに追加する必要があります。信頼済みサイト ゾーンは Internet Explorer([Tools] > [Internet Options] の [Security] タブ)で設定します。

ユーザのブラウザで Java、Microsoft ActiveX、またはその両方がイネーブルになっている。

ユーザのワークステーションがセキュリティ アプライアンスに接続するためにプロキシ サーバを必要とする場合は、接続の終端側の URL がプロキシ サービスから除外される URL のリストに含まれている。この設定では、スマート トンネルは基本認証だけをサポートします。


ヒント ステートフル フェールオーバーが発生したとき、スマート トンネル接続は保持されません。ユーザはフェールオーバー後に再接続する必要があります。

アプリケーションにスマート トンネル アクセスを設定する場合は、SSL VPN スマート トンネル リスト ポリシー オブジェクトを作成し、このオブジェクトを ASA グループ ポリシー オブジェクトに追加します。次に、[Remote Access VPN] > [Group Policies] ポリシーで、ASA グループ ポリシー オブジェクトをデバイスに割り当てます。

関連項目

「グループ ポリシーについて(ASA)」

「ポリシー オブジェクトの作成」

「[Policy Object Manager] ウィンドウ」


ステップ 1 SSL VPN スマート トンネル リスト ポリシー オブジェクトを作成します。

a. [Manage] > [Policy Objects] を選択して [Policy Object Manager] を開き(「[Policy Object Manager] ウィンドウ」を参照)、コンテンツ テーブルから [SSL VPN Smart Tunnel Lists] を選択します。


ヒント ASA グループ ポリシー オブジェクトを作成または編集するときに、SSL VPN スマート トンネル リスト オブジェクトを作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。


b. [Add Object] ボタンをクリックして、「[Add Smart Tunnel List]/[Edit Smart Tunnel List] ダイアログボックス」を開きます。

c. オブジェクトの名前を、最大 64 文字で入力します。

d. アプリケーションのテーブルに対して、スマート トンネル アクセスを付与するアプリケーションを追加します([Add Row] ボタンをクリックして「[Add A Smart Tunnel Entry]/[Edit A Smart Tunnel Entry] ダイアログボックス」を開きます)。次の点に注意してください。

わかりやすいアプリケーション名を入力し、複数のバージョンをサポートする場合はバージョン番号を含めます。たとえば、Microsoft Outlook などと入力します。

アプリケーション パスの場合、たとえば、outlook.exe などのファイル名だけを入力すると、わかりやすく、メンテナンスも簡単です。このようにすると、ユーザは任意のフォルダにアプリケーションをインストールできます。特定のインストール構造を強制する場合は、フル パスを入力します。

ハッシュ値はオプションですが、スプーフィングの防止に使用できます。ハッシュ値が設定されていない場合、ユーザはアプリケーションの名前をサポートされているファイル名に変更できます。この場合、セキュリティ アプライアンスはファイル名とパスだけをチェックします(指定された場合)。ただし、ハッシュ値を入力すると、ユーザがパッチを適用するとき、またはアプリケーションをアップグレードするときにそのハッシュ値を保守する必要があります。ハッシュ値の決定の詳細については、「[Add A Smart Tunnel Entry]/[Edit A Smart Tunnel Entry] ダイアログボックス」を参照してください。

[OK] をクリックしてエントリを保存します。

e. 他の SSL VPN スマート リスト オブジェクトをこのオブジェクトに組み込むこともできます。このようにすると、核となるスマート リスト オブジェクト セットを作成し、他のオブジェクトで繰り返し使用できます。

f. [OK] をクリックしてオブジェクトを保存します。

ステップ 2 (任意)SSL VPN スマート トンネル自動サインオン リスト ポリシー オブジェクトを作成します。

a. [Manage] > [Policy Objects] を選択して [Policy Object Manager] を開き(「[Policy Object Manager] ウィンドウ」を参照)、コンテンツ テーブルから [SSL VPN Smart Tunnel Auto Signon Lists] を選択します。


ヒント ASA グループ ポリシー オブジェクトを作成または編集するときに、SSL VPN スマート トンネル自動サインオン リスト オブジェクトを作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。


b. [Add Object] ボタンをクリックして、「[Add Smart Tunnel Auto Signon List]/[Edit Smart Tunnel Auto Signon List] ダイアログボックス」を開きます。

c. オブジェクトの名前を、最大 64 文字で入力します。

d. スマート トンネル自動サインオン エントリのテーブルに対して、スマート トンネル設定中にログイン クレデンシャルの発行を自動化するサーバを追加します([Add Row] ボタンをクリックして「[Add Smart Tunnel Auto Signon Entry]/[Edit Smart Tunnel Auto Signon Entry] ダイアログボックス」を開きます)。

e. 他の SSL VPN スマート トンネル自動サインオン リスト オブジェクトをこのオブジェクトに組み込むこともできます。このようにすると、核となるスマート トンネル自動サインオン リスト オブジェクト セットを作成し、他のオブジェクトで繰り返し使用できます。

f. [OK] をクリックしてオブジェクトを保存します。

ステップ 3 SSL VPN スマート トンネル リスト オブジェクトを使用するための ASA グループ ポリシー オブジェクトを設定します。

a. 「[Policy Object Manager] ウィンドウ」から、または [Remote Access VPN] > [Group Policies] ポリシーから、ASA グループ ポリシー オブジェクトを編集(または作成)します。このオブジェクトは、SSL VPN をサポートするように設定する必要があります(これらのオブジェクトは、[Remote Access VPN] > [Connection Profiles] ポリシーの個々のプロファイルから編集することもできます)。

b. コンテンツ テーブルから [SSL VPN] > [Clientless] フォルダを選択して「ASA グループ ポリシーの SSL VPN クライアントレス設定」を開きます。

c. [Smart Tunnel] フィールドに SSL VPN スマート トンネル リスト オブジェクトの名前を入力します。

d. [Auto Start Smart Tunnel] を選択して、ユーザが SSL VPN ポータルに接続したときに、アプリケーションのスマート トンネルが自動的に開始されるようにします。

このオプションを選択しない場合、ユーザはクライアントレス SSL VPN ポータル ページで [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを開始する必要があります。

e. [Smart Tunnel Auto Signon Server List] フィールドに SSL VPN スマート トンネル自動サインオン リスト オブジェクトの名前を入力します。

f. 汎用命名ルール(ドメイン¥ユーザ名)が認証に必要な場合、Windows ドメインを指定して、[ Domain Name ] フィールドの自動サインオン中のユーザ名に追加します。たとえば、ユーザ名 qa_team の認証を行う場合、CISCO と入力して CISCO¥qa_team を指定します。自動サインオン サーバ リストで関連エントリを設定する場合は、[Use Domain] オプションも選択する必要があります。


 

WINS/NetBIOS Name Service(NBNS)サーバの設定による SSL VPN でのファイル システム アクセスのイネーブル化

クライアントレス SSL VPN では、WINS および Common Internet File System(CIFS)プロトコルを使用して、リモート システム上のファイル、プリンタ、および他のマシン リソースにアクセス、またはこれらを共有します。ASA デバイスまたは IOS デバイスは、プロキシ CIFS クライアントを使用して、このアクセスを透過的に提供します。このため、ユーザには(個々のファイルおよびユーザの権限に従って)ファイル システムに直接アクセスしているように見えます。

ユーザがコンピュータ名を使用して Windows コンピュータへのファイル共有接続を試みる場合、ユーザが指定するファイル サーバは、ネットワーク上のリソースを識別する特定の WINS 名に対応します。セキュリティ アプライアンスは WINS サーバまたは NetBIOS ネーム サーバにクエリーを行い、WINS 名を IP アドレスにマップします。SSL VPN は NetBIOS に再クエリーを行い、リモート システム上のファイルにアクセス、またはファイルを共有します。

これらの Microsoft のファイルおよびディレクトリ共有名の解決に使用される WINS サーバのリストを設定するには、WINS サーバ リスト ポリシー オブジェクトを使用します。WINS サーバ リスト オブジェクトでは、Common Internet File System(CIFS)の名前解決に、( nbns-list コマンドおよび nbns-server コマンドを使用して)デバイスの NetBIOS Name Service(NBNS)サーバを定義します。

WINS サーバ リスト ポリシー オブジェクトを作成したあと、次のポリシーおよびポリシー オブジェクト内で、このポリシー オブジェクトを設定できます。また、許可するファイル アクセス サービスを選択することもできます。

ASA デバイス:[Remote Access VPN] > [Connection Profiles] ポリシーで、[SSL] タブで WINS サーバ リスト オブジェクトを指定します(「[SSL] タブ([Connection Profiles])」を参照)。

ASA グループ ポリシー オブジェクトの [SSL VPN] > [Clientless] ページでファイル アクセス オプションを選択し(「ASA グループ ポリシーの SSL VPN クライアントレス設定」を参照)、次のポリシーのいずれかを選択します。

[Remote Access VPN] > [Group Policies]

[Remote Access VPN] > [Connection Profiles] の [General] タブ

IOS デバイス:SSL VPN 用に設定されるユーザ グループ ポリシー オブジェクトの [Clientless] ページ(「[User Group] ダイアログボックス - クライアントレス設定」を参照)。次に、このオブジェクトを [Remote Access VPN] > [SSL VPN] ポリシーの [General] タブで選択します。

関連項目

「ポリシー オブジェクトの作成」


ステップ 1 [Manage] > [Policy Objects] を選択して、「[Policy Object Manager] ウィンドウ」を開きます。


ヒント WINS サーバ リスト オブジェクトは、このオブジェクト タイプを使用するポリシーまたはオブジェクトを定義するときに作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。


ステップ 2 オブジェクト タイプ セレクタから [WINS Server Lists] を選択します。

[WINS Server List] ページが開き、現在定義されている WINS サーバ リスト オブジェクトが表示されます。

ステップ 3 作業領域を右クリックして [New Object] を選択し、「[Add WINS Server List]/[Edit WINS Server List] ダイアログボックス」を開きます。

ステップ 4 オブジェクトの名前を入力し、任意でオブジェクトの説明を入力します。

ステップ 5 テーブルの下にある [Add Row] ボタンをクリックするか、またはテーブル内のサーバを選択して [Edit Row] をクリックし、オブジェクトに定義された WINS サーバを設定します。設定する項目は次のとおりです。

[Server]:WINS サーバの IP アドレス。ネットワーク/ホスト オブジェクトを選択するか、またはアドレスを直接入力できます。

[Set as Master Browser]:サーバがマスター ブラウザの場合にこのオプションを選択します。マスター ブラウザは、コンピュータおよび共有リソースのリストを保持します。

他のフィールドはオプションです。デフォルト値以外の値が必要な場合は、これらのフィールドを変更してください。詳細については、「[Add WINS Server]/[Edit WINS Server] ダイアログボックス」を参照してください。

[OK] をクリックして変更を保存します。

ステップ 6 (任意)[Category] の下で、[Objects] テーブルでこのオブジェクトを識別するために使用するカテゴリを選択します。「カテゴリ オブジェクトの使用」を参照してください。

ステップ 7 (任意)[Allow Value Override per Device] を選択して、このオブジェクトのプロパティを個々のデバイスで再定義できるようにします。「ポリシー オブジェクトの上書きの許可」を参照してください。

ステップ 8 [OK] をクリックしてオブジェクトを保存します。