Cisco AnyConnect Secure Mobility Client 管理者ガイド リリース 2.5
VPN 機能の設定
VPN 機能の設定
発行日;2012/06/14 | 英語版ドキュメント(2012/03/02 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

VPN 機能の設定

AnyConnect プロファイルの設定の概要

プロファイルの作成および編集

AnyConnect プロファイルの展開

Start Before Logon の設定

Start Before Logon コンポーネントのインストール(Windows のみ)

Windows バージョン間での Start Before Logon の相違点

プロファイルによる SBL の有効化

セキュリティ アプライアンスでの SBL の有効化

SBL のトラブルシューティング

Windows 7 システムおよび Windows Vista システムでの Start Before Logon(PLAP)の設定

PLAP のインストール

PLAP による Windows 7 PC または Windows Vista PC へのログイン

PLAP による AnyConnect への接続の解除

Trusted Network Detection

Trusted Network Detection に関する要件

Trusted Network Detection の設定

TND と複数のプロファイルで複数のセキュリティ アプライアンスに接続するユーザ

ログイン後の VPN 常時接続

VPN 常時接続に関する要件

VPN 常時接続におけるロードバランシング用のバックアップ クラスタ メンバーの設定

VPN 常時接続の設定

VPN 常時接続からユーザを除外するためのポリシーの設定

VPN 常時接続用の [Disconnect] ボタン

[Disconnect] ボタンに関する要件

[Disconnect] ボタンの有効化/無効化

VPN 常時接続に関する接続障害ポリシー

接続障害ポリシーに関する要件

接続障害ポリシーの設定

キャプティブ ポータル ホットスポットの検出と修復

キャプティブ ポータル ホットスポットの検出

キャプティブ ポータルの修復

キャプティブ ポータルの修復に関する要件

キャプティブ ポータルの修復をサポートするための設定

ユーザがキャプティブ ポータル ページにアクセスできない場合

ローカル プリンタおよびテザー デバイスをサポートしたクライアント ファイアウォール

ファイアウォールの動作に関する注意事項

ローカル プリンタをサポートするためのクライアント ファイアウォールの導入

テザー デバイスのサポート

SCEP による認証登録の設定

自動または手動による証明書のプロビジョニングと更新

自動による証明書要求

手動による証明書取得

Windows 証明書の警告

証明書のプロビジョニングと更新を行うための SCEP の設定

SCEP 要求後の証明書ストレージ

AnyConnect 用の SCEP をサポートするための ASA の設定

ASA における証明書のみの認証の設定

証明書の失効通知の設定

証明書ストアの設定

Windows での証明書ストアの制御

Mac および Linux での PEM 証明書ストアの作成

PEM ファイルのファイル名に関する制約事項

ユーザ証明書の保存

証明書照合の設定

証明書キーの用途による照合

証明書キーの拡張用途による照合

証明書の識別名による照合

証明書照合の例

認証証明書選択のプロンプト

ユーザによる AnyConnect プリファレンスでの自動証明書選択の設定

サーバ リストの設定

バックアップ サーバ リストの設定

Windows Mobile ポリシーの設定

制限事項

クライアント プロファイルでの Mobile ポリシーの設定

起動時自動接続の設定

自動再接続の設定

ローカル プロキシ接続

ローカル プロキシ接続に関する要件

ローカル プロキシ接続の設定

最適ゲートウェイ選択

最適ゲートウェイ選択に関する要件

最適ゲートウェイ選択の設定

スクリプトの作成および展開

スクリプトの要件と制限

スクリプトの作成、テスト、および展開

スクリプトに関する AnyConnect プロファイルの設定

スクリプトのトラブルシューティング

認証タイムアウト コントロール

認証タイムアウト コントロールに関する要件

認証タイムアウトの設定

プロキシ サポート

ブラウザのプロキシ設定を無視するためのクライアントの設定

プライベート プロキシ

プライベート プロキシの要件

グループ ポリシーを設定してプライベート プロキシをダウンロード

Internet Explorer の [Connections] タブのロック

クライアントレス サポートのためのプロキシ自動設定ファイルの生成

Windows RDP セッションによる VPN セッションの起動

L2TP または PPTP を介した AnyConnect

L2TP または PPTP を介した AnyConnect の設定

ユーザによる PPP 除外の上書き

AnyConnect プロファイル エディタのパラメータに関する詳細

Anyconnect プロファイル エディタの [Preferences]

Anyconnect プロファイル エディタの [Preferences Cont]

AnyConnect プロファイル エディタの [Backup Servers]

AnyConnect プロファイル エディタの [Certificate Matching]

AnyConnect プロファイル エディタの [Certificate Enrollment]

AnyConnect プロファイル エディタの [Mobile Policy]

AnyConnect プロファイル エディタの [Server List]

AnyConnect プロファイル エディタの [Add/Edit Server List]

VPN 機能の設定

ここでは、Cisco AnyConnect Secure Mobility Client プロファイル、VPN 機能、およびそれらの設定方法について説明します。

「AnyConnect プロファイルの設定の概要」

「AnyConnect プロファイルの作成および編集」

「AnyConnect プロファイルの展開」

「Start Before Logon の設定」

「Trusted Network Detection」

「ログイン後の VPN 常時接続」

「VPN 常時接続に関する接続障害ポリシー」

「キャプティブ ポータル ホットスポットの検出と修復」

「ローカル プリンタおよびテザー デバイスをサポートしたクライアント ファイアウォール」

「SCEP による認証登録の設定」

「証明書の失効通知の設定」

「証明書ストアの設定」

「証明書照合の設定」

「認証証明書選択のプロンプト」

「サーバ リストの設定」

「バックアップ サーバ リストの設定」

「Windows Mobile ポリシーの設定」

「起動時自動接続の設定」

「自動再接続の設定」

「ローカル プロキシ接続」

「最適ゲートウェイ選択」

「スクリプトの作成および展開」

「認証タイムアウト コントロール」

「プロキシ サポート」

「Windows RDP セッションによる VPN セッションの起動」

「L2TP または PPTP を介した AnyConnect」

「AnyConnect プロファイル エディタのパラメータに関する詳細」

AnyConnect プロファイルの設定の概要

Cisco AnyConnect Secure Mobility Clientの各機能は AnyConnect プロファイルを使用して有効にします。このプロファイルは、接続設定に関する基本情報のほか、Start Before Logon(SBL)など高度な機能に関する基本情報が記載された XML ファイルです。一部の機能については、ASA の設定を行うことも必要です。プロファイルは、AnyConnect のインストール中およびアップデート中にASA によって展開されます。ユーザがプロファイルの管理や修正を行うことはできません。

AnyConnect プロファイル エディタを使用すると、プロファイルの設定を行うことができます。このプロファイル エディタは GUI ベースの便利なコンフィギュレーション ツールで、ASDM から起動します。AnyConnect ソフトウェア パッケージ バージョン 2.5 以降(すべての OS 用)には、このエディタが含まれています。このエディタは、ASA 上で AnyConnect パッケージを SSL VPN クライアント イメージとしてロードした時点でアクティブ化されます。ただし XML ファイルを手動で編集し、プロファイルとして ASA にインポートすることもできます。

ASA は、すべての AnyConnect ユーザに対してプロファイルがグローバルに展開されるように設定できるほか、ユーザに対してグループ ポリシーを基にプロファイルが展開されるよう設定することもできます。通常、ユーザごとに 1 つのプロファイル ファイルを使用します。状況によっては、特定のユーザに対して複数のプロファイルを使用することが必要となる場合があります。たとえば、複数の場所で作業するユーザには、複数のプロファイルが必要になることがあります。ただし、SBL など一部のプロファイル設定では、接続環境がグローバル レベルで制御されます。一方、特定のホストに特化しているため、選択したホストに依存する設定もあります。

また一部のプロファイル設定は、ユーザ コンピュータ上のユーザ プリファレンス ファイルまたはグローバル プリファレンス ファイルにローカルに保存されます。ユーザ ファイルには、クライアント GUI の [Preferences] タブにユーザ制御可能設定をクライアントで表示するうえで必要となる情報、およびユーザ、グループ、ホストなど、直近の接続に関する情報が保存されます。グローバル ファイルには、ユーザ制御可能設定に関する情報が保存されます。これにより、ログイン前でも(ユーザがいなくても)それらの設定を適用することができます。たとえば、クライアントでは Start Before Logon や起動時自動接続が有効になっているかどうかをログイン前に認識する必要があります。各オペレーティング システムで使用されるファイル名およびパスに関する詳細については、「AnyConnect Secure Mobility Client の概要」 表 1-5 を参照してください。

AnyConnect プロファイルの作成および編集

ここでは、ASDM からプロファイル エディタを起動する方法、およびプロファイルを新規作成する方法について説明します。

Cisco AnyConnect Secure Mobility Client ソフトウェア パッケージ バージョン 2.5 以降(すべてのオペレーティング システム用)にはプロファイル エディタが含まれています。プロファイル エディタは、ASA 上で AnyConnect ソフトウェア パッケージを SSL VPN クライアント イメージとしてロードした時点で ASDM によりアクティブ化されます。

複数の AnyConnect パッケージをロードした場合は、最新の AnyConnect パッケージからプロファイル エディタがロードされます。これによりエディタには、旧バージョンのクライアントで使用される機能に加え、ロードされた最新の AnyConnect で使用される機能が表示されます。

ASDM でプロファイル エディタをアクティブ化する手順は次のとおりです。


ステップ 1 AnyConnect ソフトウェア パッケージを SSL VPN イメージとしてロードします。まだ行っていない場合は、「AnyConnect をダウンロードするためのセキュリティ アプライアンスの設定」を参照してください。

ステップ 2 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Client Profile] を選択します。[AnyConnect Client Profile] ペインが開きます。

ステップ 3 [Add] をクリックします。[Add AnyConnect Client Profile] ウィンドウが開きます( 図 3-1 )。

図 3-1 AnyConnect プロファイルの追加

 

ステップ 4 プロファイル名を指定します [Profile Location] で別の値を指定しない限り、ASDM では XML ファイルが ASA のフラッシュ メモリ上に同じ名前で作成されます。

ステップ 5 グループ ポリシーを選択します(任意)。ASA では、グループ ポリシー内のすべての AnyConnect ユーザに対してこのプロファイルが適用されます。

ステップ 6 [OK] をクリックします。ASDM によりプロファイルが作成され、そのプロファイルがプロファイル テーブルに表示されます。

ステップ 7 作成されたばかりのプロファイルをプロファイル テーブルから選択します。[Edit] をクリックします。プロファイル エディタが表示されます(図 3-2)。プロファイル エディタの各ペインで、AnyConnect 機能を有効にします。終了したら、[OK] をクリックします。

図 3-2 プロファイルの編集

 


 

AnyConnect プロファイルの展開

プロファイルは、ASDM または ASA のコマンドライン インターフェイスでインポートできます。


) プロファイルのクライアント初期化パラメータを AnyConnect 設定に適用するには、ユーザが接続している ASA が、そのプロファイルにホスト エントリとして含まれている必要があります。ASA のアドレスまたは FQDN をホスト エントリとしてプロファイルに追加していない場合、フィルタがセッションに適用されません。たとえば、証明書照合を作成し、証明書が基準と適切に一致した場合でも、プロファイルに ASA をホスト エントリとして追加しなかった場合、この証明書照合は無視されます。プロファイルへのホスト エントリの追加に関する詳細については、「サーバ リストの設定」を参照してください。


ASA で AnyConnectにプロファイルを展開するための設定を行う手順は次のとおりです。


ステップ 1 キャッシュ メモリにロードする AnyConnect プロファイル ファイルを指定します。
[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [Client Settings] を選択します。

ステップ 2 [SSL VPN Client Profiles] エリアで [Add] をクリックします。[Add SSL VPN Client Profiles] ダイアログボックスが表示されます(図 3-3)。

図 3-3 AnyConnect プロファイルの追加

 

ステップ 3 プロファイル名およびプロファイル パッケージ名を対応するフィールドに入力します。プロファイル パッケージ名を参照するには、[Browse Flash] をクリックします。[Browse Flash] ダイアログボックスが表示されます(図 3-4)。

図 3-4 [Browse Flash] ダイアログボックス

 

ステップ 4 テーブルからファイルを選択します。ファイル名が、テーブルの下の [File Name] フィールドに表示されます。[OK] をクリックします。選択したファイル名が、[Add SSL VPN Client Profiles] ダイアログボックスまたは [Edit SSL VPN Client Profiles] ダイアログボックスの [Profile Package] フィールドに表示されます。

[Add SSL VPN Client Profiles] または [Edit SSL VPN Client Profiles] ダイアログボックスで、[OK] をクリックします。これにより、AnyConnect ユーザのグループ ポリシーおよびユーザ名の属性にプロファイルを使用できるようになります。

ステップ 5 グループ ポリシーに使用するプロファイルを指定する場合は、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add or Edit] > [Advanced] > [SSL VPN Client] を選択します(図 3-5)。

図 3-5 グループ ポリシーに使用するプロファイルの指定

 

ステップ 6 [Inherit] を選択解除して、ダウンロードする AnyConnect プロファイルをドロップダウン リストから選択します。

ステップ 7 設定が終了したら、[OK] をクリックします。


 

Start Before Logon の設定

Start Before Logon(SBL)では、Windows ログイン ダイアログボックスが表示される前に AnyConnect を起動することにより、ユーザは Windows にログインする前に VPN 接続を介して企業インフラストラクチャへ強制的に接続されます。ASA で認証が行われると、Windows ログイン ダイアログが表示され、ユーザは通常どおりにログインします。SBL は Windows でのみ使用可能で、ログイン スクリプト、パスワードのキャッシュ、ネットワーク ドライブからローカル ドライブへのマッピングなどの使用を制御できます。


) AnyConnect は、Windows XP x64(64 ビット)Edition 用の SBL をサポートしていません。


SBL を有効にする理由としては、次のものがあります。

ユーザのコンピュータに Active Directory インフラストラクチャを導入済みである。

コンピュータのキャッシュにクレデンシャルを入れることができない(グループ ポリシーでキャッシュのクレデンシャル使用が許可されない場合)。

ネットワーク リソースから、またはネットワーク リソースへのアクセスを必要とする場所からログイン スクリプトを実行する必要がある。

ネットワークでマッピングされるドライブを使用し、Microsoft Active Directory インフラストラクチャの認証を必要とする。

インフラストラクチャとの接続を必要とする場合があるネットワーキング コンポーネント(MS NAP/CS NAC など)が存在する。

SBL 機能を有効にするには、AnyConnect プロファイルの内容を変更し、ASA で SBL 用の AnyConnect モジュールをダウンロードできるようにする必要があります。

SBL に必要な設定は、この機能を有効にすることのみです。ログイン前に実施されるこのプロセスは、ネットワーク管理者がそれぞれの状況の要件に基づいて処理します。ログイン スクリプトは、ドメインまたは個々のユーザに割り当てることができます。通常ドメインの管理者は、バッチ ファイルまたはそれに類するものを Microsoft Active Directory のユーザまたはグループに定義しています。ユーザがログインするとすぐに、ログイン スクリプトが実行されます。

SBL を使用すると、ローカルの社内 LAN 上にあるものと同等のネットワークを構成できます。たとえば、SBL を有効にすると、ユーザはローカルのインフラストラクチャにアクセスできるため、通常はオフィス内のユーザが実行するログイン スクリプトをリモート ユーザからも使用できるようになります。

ログイン スクリプトの作成に関する詳細については、次の Microsoft TechNet の記事を参照してください。

http://technet2.microsoft.com/windowsserver/en/library/8a268d3a-2aa0-4469-8cd2-8f28d6a630801033.mspx?mfr=true

Windows XP でローカルのログイン スクリプトを使用する詳しい方法については、次の Microsoft の記事を参照してください。

http://www.windowsnetworking.com/articles_tutorials/wxpplogs.html

これ以外の例として、コンピュータへのログインに使用するキャッシュ クレデンシャルを許可しないようにシステムを設定する場合があります。このシナリオでは、コンピュータへのアクセスが許可される前にユーザのクレデンシャルが確認されるようにするため、ユーザは社内ネットワーク上のドメイン コントローラと通信できることが必要です。

SBL は、呼び出されたときにネットワークに接続されている必要があります。場合によっては、ワイヤレス接続がワイヤレス インフラストラクチャに接続するユーザのクレデンシャルに依存するために、接続できないことがあります。このシナリオでは、ログインのクレデンシャル フェーズよりも SBL モードが優先されるため、接続できません。このような場合に SBL を機能させるには、ログインを通してクレデンシャルをキャッシュするようにワイヤレス接続を設定するか、またはその他のワイヤレス認証を設定する必要があります。

AnyConnect は、高速ユーザ切り替えと互換性がありません。

ここでは、次の内容について説明します。

「Start Before Logon コンポーネントのインストール(Windows のみ)」

「Windows 7 システムおよび Windows Vista システムでの Start Before Logon(PLAP)の設定」

Start Before Logon コンポーネントのインストール(Windows のみ)

Start Before Logon コンポーネントは、コア クライアントのインストール にインストールする必要があります。さらに、2.5 Start Before Logon コンポーネントの場合は、バージョン 2.5 以降のコア クライアント ソフトウェアがインストールされている必要があります。MSI ファイルを使用して AnyConnect および Start Before Logon コンポーネントを事前に展開する場合(Altiris、Active Directory、SMS など独自のソフトウェア展開手段を持つ大企業の場合など)は、正しい順序でインストールする必要があります。インストールの順序は、Web 展開または Web 更新されている AnyConnect を管理者がロードした時点で自動的に処理されます。

Windows バージョン間での Start Before Logon の相違点

Windows 7 システムと Windows Vista システムとでは、SBL を有効にするための手順が一部異なります。Vista よりも前のシステムでは、VPNGINA(virtual private network graphical identification and authentication の略称)というコンポーネントにより SBL が実装されていました。Windows 7 システムおよび Windows Vista システムでは、PLAP というコンポーネントにより SBL が実装されます。

AnyConnect では、Pre-Login Access Provider(PLAP)と呼ばれる接続可能なクレデンシャル プロバイダーが、Windows 7 または Windows Vista の SBL 機能となります。この機能を使用すると、ネットワーク管理者は、クレデンシャルの収集やネットワーク リソースへの接続など特定のタスクをログイン前に実行することができます。Windows 7 および Windows Vista の SBL 機能は、PLAP により実現されます。PLAP は、vpnplap.dll を使用する 32 ビット版のオペレーティング システムと、vpnplap64.dll を使用する 64 ビット版のオペレーティング システムをサポートしています。PLAP 機能は、Windows 7 および Windows Vista の x86 バージョンおよび x64 バージョンをサポートしています。


) この項では、VPNGINA は Windows Vista よりも前のプラットフォームの Start Before Logon 機能を指し、PLAP は Windows 7 システムおよび Windows Vista システムの Start Before Logon 機能を指します。


GINA は、ユーザが Ctrl キー、Alt キー、および Del キーを同時に押すと起動します。PLAP では、Ctrl キー、Alt キー、および Del キーを同時に押すとウィンドウが表示され、そこでシステムにログインするか、ウィンドウの右下隅にある [Network Connect] ボタンで任意のネットワーク接続(PLAP コンポーネント)を起動するかを選択できます。

以下の項では、VPNGINA と PLAP SBL の設定および手順について説明します。Windows 7 プラットフォームまたは Windows Vista プラットフォームにおける SBL 機能(PLAP)の有効化および使用に関する詳細については、「Windows 7 システムおよび Windows Vista システムでの Start Before Logon(PLAP)の設定」を参照してください。

AnyConnect プロファイルによる SBL の有効化

AnyConnect プロファイルを使用して SBL を有効にする手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Preferences] ペインに移動し、[Use Start Before Logon] をオンにします。

ステップ 3 (任意)リモート ユーザが SBL の使用を制御できるようにする場合は、[User Controllable] をオンにします。


) SBL を有効にする場合は、その前にユーザがリモート コンピュータをリブートする必要があります。



 

セキュリティ アプライアンスでの SBL の有効化

ダウンロード時間を最小にするため、AnyConnect では、サポートする各機能に必要なコア モジュールの(ASA からの)ダウンロードのみが要求されます。SBL を有効にするには、ASA のグループ ポリシーで、SBL モジュール名を指定する必要があります。手順は次のとおりです。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択します。

ステップ 2 グループ ポリシーを選択して、[Edit] をクリックします。[Edit Internal Group Policy] ウィンドウが表示されます。

ステップ 3 左側のナビゲーション ペインで [Advanced] > [SSL VPN Client] を選択します。SSL VPN 設定が表示されます。

ステップ 4 [Optional Client Module for Download] 設定の [Inherit] ボックスをオフにします。

ステップ 5 ドロップダウン リストで、 Start Before Logon モジュールを選択します(図 3-6)。

図 3-6 ダウンロードする SBL モジュールの指定

 


 

SBL のトラブルシューティング

SBL で問題が発生した場合は、次の手順に従ってください。


ステップ 1 AnyConnect プロファイルが ASA 上にロードされ、いつでも展開できる状態にあることを確認します。

ステップ 2 以前のプロファイルを削除します(*.xml と指定してハード ドライブ上の格納場所を検索します)。

ステップ 3 Windows の [Add/Remove Programs] を使用して、SBL コンポーネントをアンインストールします。コンピュータをリブートして、再テストします。

ステップ 4 イベント ビューアでユーザの AnyConnect ログをクリアし、再テストします。

ステップ 5 Web をブラウズしてセキュリティ アプライアンスに戻り、AnyConnect を再インストールします。

ステップ 6 いったんリブートします。次回リブート時には、[Start Before Logon] プロンプトが表示されます。

ステップ 7 イベント ログを .evt 形式でシスコに送信します。

ステップ 8 次のエラーが表示された場合は、ユーザの AnyConnect プロファイルを削除します。

Description: Unable to parse the profile C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥Profile¥VABaseProfile.xml. Host data not available.
 

ステップ 9 .tmpl ファイルに戻って、コピーを .xml ファイルとして保存し、その XML ファイルをデフォルト プロファイルとして使用します。


 

Windows 7 システムおよび Windows Vista システムでの Start Before Logon(PLAP)の設定

その他の Windows プラットフォームと同じように、Start Before Logon(SBL)機能によって、ユーザが Windows にログインする前に VPN 接続が開始されます。これにより、ユーザは自分のコンピュータにログインする前に、企業のインフラストラクチャに接続されます。Microsoft の Windows 7 および Windows Vista には Windows XP とは異なるメカニズムが使用されているため、Windows 7 および Windows Vista の SBL 機能に使用されているメカニズムも異なります。

AnyConnect の SBL 機能は、Pre-Login Access Provider(PLAP)と呼ばれる接続可能なクレデンシャル プロバイダーです。この機能を使用すると、プログラマチック ネットワーク管理者は、クレデンシャルの収集やネットワーク リソースへの接続など特定のタスクをログイン前に実行することができます。Windows 7 および Windows Vista の SBL 機能は、PLAP により実現されます。PLAP は、vpnplap.dll を使用する 32 ビット版のオペレーティング システムと、vpnplap64.dll を使用する 64 ビット版のオペレーティング システムをサポートしています。PLAP 機能は、x86 および x64 をサポートしています。


) この項では、VPNGINA は Windows XP の Start Before Logon 機能を指し、PLAP は Windows 7 および Windows Vista の Start Before Logon 機能を指します。


PLAP のインストール

vpnplap.dll および vpnplap64.dll の両コンポーネントは、既存の GINA インストール パッケージの一部になっているため、単一のアドオン SBL パッケージをセキュリティ アプライアンスにロードできます。ロードされると、該当するコンポーネントがターゲット プラットフォームにインストールされます。PLAP はオプションの機能です。インストーラ ソフトウェアは、基盤のオペレーティング システムを検出して該当する DLL をシステム ディレクトリに配置します。Windows 7 および Windows Vista よりも前のシステムでは、インストーラにより 32 ビット版のオペレーティング システムに vpngina.dll コンポーネントがインストールされます。Windows 7、Windows Vista、または Windows Server 2008 では、インストーラにより 32 ビット版と 64 ビット版のどちらのオペレーティング システムが使用されているかの判別が行われ、該当する PLAP コンポーネントがインストールされます。


) VPNGINA コンポーネントまたは PLAP コンポーネントがインストールされたまま AnyConnect をアンインストールすると、VPNGINA コンポーネントまたは PLAP のコンポーネントは無効となり、リモート ユーザの画面に表示されなくなります。


PLAP は、インストールされた後でも、SBL がアクティブ化されるようにユーザ プロファイル <profile.xml> ファイルが変更されるまでアクティブ化されません。「AnyConnect プロファイルによる SBL の有効化」を参照してください。アクティブ化後に、[Switch User] をクリックし、さらに画面下右側の [Network Connect] アイコンをクリックして Network Connect コンポーネントを呼び出します。


) 誤ってユーザ インターフェイスの画面表示を最小化した場合は、Alt キーを押した状態で Tab キーを押すと元に戻ります。


PLAP による Windows 7 PC または Windows Vista PC へのログイン

PLAP が有効になった Windows 7 または Windows Vista には、Microsoft が定めた次の手順に従ってログインできます。画面の例は、Windows Vista のものです


ステップ 1 Windows のスタート画面で、Ctrl キー、Alt キー、および Delete キーを同時に押します(図 3-7)。

図 3-7 [Network Connect] ボタンが表示されたログイン ウィンドウの例

 

これにより、Vista のログイン ウィンドウに [Switch User] ボタンが表示されます(図 3-8)。

図 3-8 [Switch User] ボタンが表示されたログイン ウィンドウの例

 

ステップ 2 (図中赤丸で囲まれた)[Switch User] をクリックします。Vista のネットワーク接続ウィンドウが表示されます(図 3-9)。図 3-9 の中で赤丸で囲まれているのは [Network Login] アイコンです。


) AnyConnect 接続によってすでに接続済みのユーザが [Switch User] をクリックしても、VPN 接続は解除されません。[Network Connect] をクリックすると、元の VPN 接続が終了します。ユーザが [Cancel] をクリックすると、VPN 接続が終了します。


図 3-9 ネットワーク接続ウィンドウの例

 

ステップ 3 ウィンドウの右下隅にある [Network Connect] ボタンをクリックして、AnyConnect を起動します。AnyConnect のログイン ウィンドウが開きます(図 3-10)。

図 3-10 AnyConnect のログイン ウィンドウの例

 

 

ステップ 4 この GUI を使用して通常どおりログインします。


) この例は、AnyConnect がただ 1 つのインストール済み接続プロバイダーであることを前提としたものです。複数のプロバイダーをインストールしている場合は、このウィンドウに表示される項目の中から、ユーザが使用するものをいずれか 1 つ選択する必要があります。


ステップ 5 接続されると、Vista のネットワーク接続ウィンドウとほぼ同じ画面が表示されます。異なるのは、右下隅に表示されるのが Microsoft の [Disconnect] ボタン(図 3-11)である点です。これは、接続が正常に行われたことを示す唯一の画面です。

図 3-11 接続解除ウィンドウの例

 

各ユーザのログイン用アイコンをクリックします。この例では、[VistaAdmin] をクリックするとコンピュータへのログインが完了します。


注意 接続が確立されると、ログイン時間が無制限になります。接続後にユーザがログインしない場合でも、VPN セッションは無期限に継続されます。


 

PLAP による AnyConnect への接続の解除

VPN セッションが正常に確立されると、PLAP コンポーネントは元のウィンドウに戻ります。このときウィンドウの右下隅には [Disconnect] ボタン(図 3-11 の丸印で囲まれたボタン)が表示されます。

[Disconnect] をクリックすると、VPN トンネルが接続解除されます。

トンネルは、[Disconnect] ボタンの操作によって明示的に接続解除される以外に、次のような状況でも接続解除されます。

ユーザが PLAP を使用して PC にログインした後で [Cancel] を押した。

ユーザがシステムへログインする前に PC がシャットダウンした。

この動作は、Windows Vista の PLAP アーキテクチャの機能であり、AnyConnect の機能ではありません。

Trusted Network Detection

Trusted Network Detection(TND)を使用すると、ユーザが企業ネットワークの中(信頼ネットワーク)にいる場合は AnyConnect により自動的に VPN 接続が解除され、企業ネットワークの外(非信頼ネットワーク)にいる場合は自動的に VPN 接続が開始されるようにすることができます。この機能を使用すると、ユーザが信頼ネットワークの外にいるときに VPN 接続を開始することによって、セキュリティ意識を高めることができます。

さらに AnyConnect で Start Before Logon(SBL)が実行されている場合は、ユーザが信頼ネットワークの中に移動した時点で、コンピュータ上に表示されている SBL ウィンドウが自動的に閉じます。

TND を使用している場合でも、ユーザが手動で VPN 接続を確立することは可能です。信頼ネットワークの中でユーザが手動で開始した VPN 接続は解除されません。TND で VPN セッションが接続解除されるのは、最初に非信頼ネットワークにいたユーザが信頼ネットワークに移動した場合だけです。たとえば、ユーザが自宅で VPN 接続を確立した後で会社に移動すると、この VPN セッションは TND によって接続解除されます。

TND 機能では AnyConnect の GUI を制御することで接続が自動的に開始されるため、GUI を常に実行している必要があります。ユーザが GUI を終了した場合、TND によって VPN 接続が自動的に開始されることはありません。

TND の設定は AnyConnect プロファイルで行います。ASA の設定を変更する必要はありません。

Trusted Network Detection に関する要件

TND は、Microsoft Windows 7、Windows Vista、Windows XP、Mac OS X 10.5、および Mac OS X 10.6 が実行されているコンピュータのみサポートしています。

Trusted Network Detection の設定

クライアント プロファイルで TND の設定を行う手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Preferences (Cont)] ペインに移動します。

ステップ 3 [Automatic VPN Policy] をオンにします。


) AutomaticVPNPolicy の設定にかかわらず、ユーザは VPN 接続を手動で制御できます。


ステップ 4 ユーザが企業ネットワークの中(信頼ネットワーク)にいる場合のクライアントの動作を規定する信頼ネットワーク ポリシーを選択します。次のオプションがあります。

[Disconnect]:信頼ネットワークではクライアントにより VPN 接続が終了します。

[Connect]:信頼ネットワークではクライアントにより VPN 接続が開始されます。

[Do Nothing]:信頼ネットワークではクライアントの動作はありません。[Trusted Network Policy] および [Untrusted Network Policy] を共に [Do Nothing] に設定すると、Trusted Network Detection(TND)は無効となります。

[Pause](AnyConnect Release 2.5.1025 以降で使用可能):ユーザが信頼ネットワークの外で VPN セッションを確立した後で信頼ネットワーク内に移動した場合、AnyConnect ではその VPN セッションを接続解除せず一時的に中断します。ユーザが再び信頼ネットワークの外に出ると、そのセッションは AnyConnect により再開されます。この機能を使用すると、信頼ネットワークの外へ移動した後に新しい VPN セッションを確立する必要がなくなるため、ユーザにとっては有用です。

ステップ 5 ユーザが企業ネットワークの外にいる場合のクライアントの動作を規定する非信頼ネットワーク ポリシーを選択します。次のオプションがあります。

[Connect]:非信頼ネットワークが検出されるとクライアントにより VPN 接続が開始されます。

[Do Nothing]:非信頼ネットワークが検出されるとクライアントにより VPN 接続が開始されます。このオプションを選択すると、VPN 常時接続は無効となります。[Trusted Network Policy] および [Untrusted Network Policy] を共に [Do Nothing] に設定すると、Trusted Network Detection は無効となります。

ステップ 6 信頼 DNS ドメインを指定します。信頼 DNS ドメインは、クライアントが信頼ネットワーク内に存在する場合にネットワーク インターフェイスに割り当てることができる DNS サフィックス(カンマ区切りの文字列)です。*.cisco.com などがこれに該当します。DNS サフィックスでは、ワイルドカード(*)がサポートされます。DNS サフィックスの照合に関する詳細な具体例については、 表 3-1 を参照してください。

ステップ 7 信頼 DNS サーバを指定します。ここでは、クライアントが信頼ネットワーク内に存在する場合にネットワーク インターフェイスに割り当てることができるすべての DNS サーバ アドレス(カンマ区切りの文字列)を指定します。たとえば 161.44.124.* や 64.102.6.247 などです。DNS サーバ アドレスでは、ワイルドカード(*)がサポートされます。


) TND が機能するためには、すべての DNS サーバを指定する必要があります。TrustedDNSDomains と TrustedDNSServers を共に設定した場合、セッションが信頼ネットワークの中に存在すると見なされるためには、これらの設定が一致している必要があります。



 

表 3-1 は、DNS サフィックスの照合に関する具体例を示したものです。

 

表 3-1 DNS サフィックスの照合の例

照合する DNS サフィックス
TrustedDNSDomains に使用する値

cisco.com(単独)

cisco.com

cisco.com
および
anyconnect.cisco.com

*.cisco.com
または
cisco.com、anyconnect.cisco.com

asa.cisco.com
および
anyconnect.cisco.com

*.cisco.com
または
asa.cisco.com、anyconnect.cisco.com


 

TND と複数のプロファイルで複数のセキュリティ アプライアンスに接続するユーザ

ユーザのコンピュータ上に複数のプロファイルがあると、ユーザが TND の有効なセキュリティ アプライアンスから TND が有効でないセキュリティ アプライアンスへ接続を変更する際に問題が発生することがあります。ユーザが TND の有効なセキュリティ アプライアンスに接続していた場合、そのユーザは TND が有効なプロファイルを受け取っています。そのユーザが、信頼ネットワークの外でコンピュータをリブートすると、TND が有効であるクライアントの GUI が表示され、最後に接続していたセキュリティ アプライアンスへの接続が試行されますが、このセキュリティ アプライアンスでは、TND が有効でない可能性があります。

クライアントが TND の有効なセキュリティ アプライアンスに接続している場合、ユーザが TND の有効でない ASA に接続するためには、手動で接続解除してから、TND の有効でないセキュリティ アプライアンスに接続する必要があります。ユーザが TND の有効なセキュリティ アプライアンスと TND が有効でないセキュリティ アプライアンスのどちらにも接続する可能性がある場合は、TND を有効にする前にこの問題を考慮してください。

この問題を回避する手段としては、次のような対策が考えられます。

企業ネットワーク上にあるすべての ASA にロードされるクライアント プロファイルで、TND を有効にする。

すべての ASA がリストされた 1 つのプロファイルをホスト エントリ セクションに作成し、このプロファイルをすべての ASA にロードする。

複数の異なるプロファイルが必要ない場合は、すべての ASA のプロファイルに同じプロファイル名を使用する。既存のプロファイルは各 ASA により上書きされます。

ログイン後の VPN 常時接続

ユーザがコンピュータにログインすると VPN セッションが自動的に確立されるように AnyConnect の設定を行うことができます。VPN セッションは、ユーザがコンピュータからログアウトするか、セッション タイマーまたはアイドル セッション タイマーが期限に達するまでは開いた状態が維持されます。これらのタイマーの値は、セッションに割り当てられたグループ ポリシーに指定されます。AnyConnect と ASA の接続が解除されても、このいずれかのタイマーが期限に達しない限り、ASA およびクライアントではセッションに割り当てられたリソースが保持されます。AnyConnect では、セッションが開いている場合は、それを再アクティブ化するために接続の再確立が継続して試行され、セッションが開いていない場合は、新しい VPN セッションの確立が継続的に試行されます。

(ログイン後の)VPN 常時接続 では、コンピュータが信頼ネットワーク内に存在しない場合にはインターネット リソースへのアクセスを制限することによってセキュリティ上の脅威からコンピュータを保護するという企業ポリシーが適用されます。


注意 現在 VPN 常時接続では、プロキシを介した接続はサポートされていません。

AnyConnect では、プロファイルで VPN 常時接続が検出されると、エンドポイントを保護するためにその他の AnyConnect プロファイルがすべて削除され、ASA に接続するよう設定されたパブリック プロキシはいずれも無視されます。

脅威に対する保護を強化するためにも、VPN 常時接続の設定を行う場合は、次のような追加的な保護対策を講じることを推奨します。

VPN 常時接続が設定されたプロファイルをエンドポイントに事前に展開し、事前定義された ASA への接続を制限します。事前展開により、不正なサーバへのアクセスを防止することができます。

ユーザが処理を終了できないように管理者権限を制限します。管理者権限を持つ PC ユーザは、エージェントを停止することにより VPN 常時接続ポリシーを無視することができます。VPN 常時接続の安全性を十分に確保する必要がある場合は、ユーザに対してローカル管理者権限を付与しないでください。

Windows コンピュータ上で次のフォルダまたはシスコ サブフォルダへのアクセスを制限します。

Windows XP ユーザの場合:C:¥Document and Settings¥All Users

Windows Vista ユーザおよび Windows 7 ユーザの場合:C:¥ProgramData

限定的な権限または標準的な権限を持つユーザは、それぞれのプログラム データ フォルダに対して書き込みアクセスを実行できる場合があります。このアクセスを使用すれば、AnyConnect プロファイル ファイルを削除できるため、常時接続機能を無効にすることができます。

Windows ユーザのグループ ポリシー オブジェクト(GPO)を事前に展開して、限定的な権限を持つユーザが GUI を終了できないようにします。Mac OS ユーザに対してもこれに相当するものを事前に展開します。

VPN 常時接続に関する要件

VPN 常時接続をサポートするためには、次のライセンスのうちいずれか 1 つが必要です。

AnyConnect Premium(SSL VPN Edition)

Cisco AnyConnect セキュア モビリティ

Cisco AnyConnect セキュア モビリティ ライセンスを、AnyConnect Essentials ライセンスまたは AnyConnect Premium ライセンスのどちらかと組み合わせて使用することにより VPN 常時接続をサポートできます。

VPN 常時接続を使用するには、ASA 上に有効なサーバ証明書が設定されている必要があります。設定されていない場合、VPN 常時接続は失敗し、その証明書が無効であることを示すイベントがログに記録されます。

VPN 常時接続を設定する場合は、サーバ証明書がストリクト モードでも許可されることを確認してください。

VPN 常時接続は、Microsoft Windows 7、Windows Vista、Windows XP、Mac OS X 10.5、および Mac OS X 10.6 が実行されているコンピュータのみサポートしています。

不正なサーバへの VPN 接続をロックする VPN 常時接続プロファイルをダウンロードできないようにするため、AnyConnect クライアントでは、セキュア ゲートウェイに接続する際、有効で信頼できるサーバ証明書が必要となります。認証局(CA)からデジタル証明書を購入し、それをセキュア ゲートウェイ上に登録することを強く推奨します。

自己署名証明書を生成すると、接続するユーザには証明書の警告が表示されます。この場合は、その証明書を信頼するようにブラウザを設定すると、それ以降は警告が表示されないようにすることができます。


) 自己署名証明書を使用すると、ユーザが不正なサーバの証明書を信頼するようにブラウザを設定してしまう可能性があるうえ、セキュア ゲートウェイへの接続の際セキュリティ警告に対処する必要があるユーザにとっても不便です。このため自己署名証明書の使用は推奨されません。


ASDM では、ASA 上でのこの問題を解決できるよう、[Identity Certificates] パネル([Configuration] > [Remote Access VPN] > [Certificate Management] > [Identity Certificates])に、公開証明書を容易に登録するための [Enroll ASA SSL VPN with Entrust] ボタンが用意されています。このパネルにある [Add] ボタンを使用すると、ファイルから公開証明書をインポートするか、または自己署名証明書を生成することができます(図 3-12)。

図 3-12 公開証明書の登録(画面は ASDM 6.3)

 


) これらの手順は、証明書の設定に関するガイドラインとして記載されたものです。詳細については、ASDM の [Help] ボタンをクリックしてヘルプを参照するか、設定を行うセキュア ゲートウェイについての ASDM ガイドまたは CLI ガイドを参照してください。たとえば、『Cisco ASA 5500 Series Configuration Guide using ASDM, 6.3 for ASA 8.3』の「Configuring Digital Certificates」には、すべての手順が記載されています。


自己署名インターフェイスを生成する場合は、[Advanced] ボタンを使用して、outside インターフェイスのドメイン名および IP アドレスを指定します(図 3-13)。

図 3-13 自己署名証明書の生成(画面は ASDM 6.3)

 

証明書を登録したら、それを outside インターフェイスに割り当てます。その手順として、[Configuration] > [Remote Access VPN] > [Advanced] > [SSL Settings] を選択し、[Certificates] エリアで「outside」エントリを編集して、[Primary Enrolled Certificate] ドロップダウン リストから証明書を選択します(図 3-14)。

図 3-14 outside インターフェイスへの証明書の割り当て(画面は ASDM 6.3)

 

すべてのセキュア ゲートウェイに証明書を追加し、それを outside インターフェイスの IP アドレスに関連付けます。

VPN 常時接続におけるロードバランシング用のバックアップ クラスタ メンバーの設定

VPN 常時接続は、AnyConnect VPN セッションのロード バランシングに影響を与えます。VPN 常時接続を無効にした場合、クライアントはロード バランシング クラスタ内部のマスター デバイスに接続した時点で、マスター デバイスからいずれかのバックアップ クラスタ メンバーにリダイレクトされます。VPN 常時接続を有効にすると、クライアント プロファイルのサーバ リスト内にバックアップ クラスタ メンバーのアドレスが指定されていない限り、クライアントがマスター デバイスからリダイレクトされることはありません。このため、サーバ リストにはいずれかのバックアップ クラスタ メンバーを必ず追加するようにしてください。

クライアント プロファイルにバックアップ クラスタ メンバーのアドレスを指定する場合は、ASDM を使用してロードバランシング バックアップ サーバ リストを追加します。手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Server List] ペインに移動します。

ステップ 3 ロードバランシング クラスタのマスター デバイスとなるサーバを選択し、[Edit] をクリックします。

ステップ 4 いずれかのロードバランシング クラスタ メンバーの FQDN または IP アドレスを入力します。


 

VPN 常時接続の設定

コンピュータが非信頼ネットワーク内に存在することが検知された場合に限って VPN セッションが自動的に確立されるよう AnyConnect を設定する手順は次のとおりです。


ステップ 1 TND を設定します( Trusted Network Detection の設定を参照)。

ステップ 2 [Always On] をオンにします。


 

VPN 常時接続からユーザを除外するためのポリシーの設定

VPN 常時接続は、デフォルトでは無効になっています。常時接続ポリシーに優先して適用される除外規定を設定することができます。たとえば、特定のユーザに対して他社との VPN セッションを確立できるようにしつつ、企業外資産に対しては VPN 常時接続ポリシーを除外するという場合があります。

AAA またはエンドポイントに関する基準に基づいて企業外資産へのセッションを照合するダイナミック アクセス ポリシーを設定します。手順は次のとおりです。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Dynamic Access Policies] > [Add] または [Edit] を選択します。

[Add Dynamic Policy] または [Edit Dynamic Policy] ウィンドウが開きます(図 3-15)。

図 3-15 VPN 常時接続からのユーザの除外

 

ステップ 2 VPN 常時接続からユーザを除外するための基準を設定します。たとえば、[Selection Criteria] エリアで、ユーザ ログイン ID を照合するための AAA 属性を指定します。

ステップ 3 [Add Dynamic Access Policy] ウィンドウまたは [Edit Dynamic Access Policy] ウィンドウの下半分にある [AnyConnect] タブをクリックします。

ステップ 4 ["Always-On for AnyConnect VPN" client] の横にある [Disable] をクリックします。


 

Cisco AnyConnect Secure Mobility Client ポリシーでは VPN 常時接続が有効になっているが、ダイナミック アクセス ポリシーまたはグループ ポリシーでは無効になっている場合、各新規セッションの確立に関するダイナミック アクセス ポリシーまたはグループ ポリシーが基準と一致すれば、クライアントでは現在以降の VPN セッションに対して無効の設定が保持されます。

VPN 常時接続用の [Disconnect] ボタン

AnyConnect は、VPN 常時接続セッション用の [Disconnect] ボタンをサポートしています。これを有効にすると、AnyConnect では VPN セッションが確立された時点で [Disconnect] ボタンが表示されます。VPN 常時接続セッションのユーザは、[Disconnect] をクリックすることが必要になる場合があるため、次のような問題に対処できるよう代替セキュア ゲートウェイを選択することができます。

現在の VPN セッションに関するパフォーマンスの問題。

VPN セッションが中断した後に生じる再接続の問題。

[Disconnect] ボタンをクリックすると、すべてのインターフェイスがロックされます。これにより、データの漏洩を防ぐことができるほか、VPN セッションの確立には必要のないインターネット アクセスからコンピュータを保護することができます。


注意 [Disconnect] ボタンを無効にすると、VPN アクセスが妨害または阻止されることがあります。

VPN 常時接続セッション中にユーザが [Disconnect] ボタンをクリックすると、AnyConnect ではすべてのインターフェイスがロックされます。これにより、データの漏洩を防ぐことができるほか、VPN セッションの確立には必要のないインターネット アクセスからコンピュータを保護することができます。AnyConnect では、接続障害ポリシーの内容にかかわらず、すべてのインターフェイスがロックされます。


注意 [Disconnect] ボタンをクリックすると、すべてのインターフェイスがロックされます。これにより、データの漏洩を防ぐことができるほか、VPN セッションの確立には必要のないインターネット アクセスからコンピュータを保護することができます。上述した理由により、[Disconnect] ボタンを無効にすると、VPN アクセスが妨害または阻止されることがあります。

[Disconnect] ボタンに関する要件

VPN 常時接続用の接続解除オプションに関する要件は、 VPN 常時接続に関する要件と同じです。

[Disconnect] ボタンの有効化/無効化

VPN 常時接続を有効すると、プロファイル エディタでは、[Disconnect] ボタンがデフォルトで有効になります。[Disconnect] ボタンの設定を表示および変更する手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Preferences (Cont)] ペインに移動します。

ステップ 3 [Allow VPN Disconnect] をオンまたはオフにします。


 

VPN 常時接続に関する接続障害ポリシー

接続障害ポリシーでは、VPN 常時接続が有効であり、かつ AnyConnect で VPN セッションが確立できない場合(セキュア ゲートウェイが到達不能の場合など)に、コンピュータからインターネットにアクセスできるようにするかどうかを指定します。フェール クローズド ポリシーでは、VPN アクセスを除くネットワーク接続が無効になります。フェール オープン ポリシーでは、ネットワーク接続が許可されます。AnyConnect では、接続障害ポリシーの内容にかかわらず、VPN 接続の確立が継続的に試行されます。次の表は、フェール オープン ポリシーおよびフェール クローズド ポリシーに関する説明をまとめたものです。

 

VPN 常時接続ポリシー
シナリオ
メリット
トレードオフ

フェール オープン

AnyConnect が VPN セッションの確立または再確立に失敗しました。この障害は、セキュア ゲートウェイが使用できない場合、または AnyConnect で(空港、喫茶店、ホテルなどで使用されることの多い)キャプティブ ポータルの存在を検出できない場合に発生することがあります。

最大限のネットワーク アクセス権を付与することで、インターネット リソースを始めとするローカル ネットワーク リソースへのアクセスが必要なタスクをユーザが継続的に実行できるようにします。

VPN セッションが確立されるまで、セキュリティや保護の対策は実行できません。そのため、エンドポイント デバイスが Web ベースのマルウェアに感染する可能性があるほか、機密データが漏洩する可能性もあります。

フェール クローズ

このオプションは主に、ネットワーク アクセスが常時利用できることよりもセキュリティの永続性の方が重視される、安全意識のきわめて高い組織に適しています。この点を除けば上記と同じです。

スプリット トンネリングにより許可されるプリンタやテザー デバイスといったローカル リソースへのアクセスを除くすべてのネットワーク アクセスが制限されます。テザー デバイスへのアクセスを除くすべてのネットワーク アクセスが制限されるため、エンドポイントは Web ベースのマルウェアから保護され、機密データの漏洩も常時防ぐことができます。

このオプションを選択した場合、VPN セッションが確立されるまでは、プリンタやテザー デバイスといったローカル リソースへのアクセスを除くすべてのネットワーク アクセスが制限されます。そのため、ユーザが VPN 外部のインターネット アクセスを要求したにもかかわらずセキュア ゲートウェイにアクセスできない場合には、生産性が著しく低下します。


注意 AnyConnect が VPN セッションの確立に失敗した場合は、接続障害クローズド ポリシーによりネットワーク アクセスは制限されます。AnyConnect では、「キャプティブ ポータル ホットスポットの検出と修復」で説明されているキャプティブ ポータルの大半が検出されます。ただし、キャプティブ ポータルを検出できない場合は、接続障害クローズド ポリシーによりネットワーク接続は制限されます。

クローズド接続ポリシーの展開は、段階的に行うことを強く推奨します。たとえば、最初に接続障害オープン ポリシーを使用して VPN 常時接続を展開し、ユーザを通じて AnyConnect がシームレスに接続できない頻度を調査します。さらに、新機能に関心を持つユーザを対象に、小規模な接続障害クローズド ポリシーを試験的に展開しそのフィードバックを依頼します。引き続きフィードバックを依頼しながら試験的なプログラムを徐々に拡大したうえで、全面的な展開を検討します。接続障害クローズド ポリシーを展開する場合は必ず、VPN ユーザに対して接続障害クローズド ポリシーのメリットだけでなく、ネットワーク アクセスの制限についても周知してください。

接続障害ポリシーに関する要件

接続障害ポリシー機能をサポートするためには、次のライセンスのうちいずれか 1 つが必要です。

AnyConnect Premium(SSL VPN Edition)

Cisco AnyConnect セキュア モビリティ

Cisco AnyConnect セキュア モビリティ ライセンスを、AnyConnect Essentials ライセンスまたは AnyConnect Premium ライセンスのどちらかと組み合わせて使用することにより、接続障害ポリシーをサポートできます。

接続障害ポリシーは、Microsoft Windows 7、Windows Vista、Windows XP、Mac OS X 10.5、および Mac OS X 10.6 が実行されているコンピュータのみサポートしています。

接続障害ポリシーの設定

接続障害ポリシーのデフォルト設定では、VPN 常時接続が設定され、かつ VPN が到達不能の場合、インターネット アクセスが制限されます。接続障害ポリシーの設定を行う手順は次のとおりです。


ステップ 1 TND を設定します( Trusted Network Detection の設定を参照)。

ステップ 2 [Always On] をオンにします。

ステップ 3 [Connect Failure Policy] パラメータを次のいずれかに設定します。

[Closed]:(デフォルト)VPN が到達不能の場合は、インターネット アクセスが制限されます。この制限された状態では、コンピュータが接続を許可されているセキュア ゲートウェイに対してのみアクセスが許可されます。キャプティブ ポータルの修復(次項で説明)は、フェール クローズド ポリシーの中で明確に有効になっていない限り実行されません。クライアント プロファイルで [Apply Last VPN Local Resources] が有効になっている場合、制限された状態では、直近の VPN セッションにより適用されたローカル リソース ルールを適用することができます。たとえば、これらのルールにより、アクティブ シンクやローカル印刷へのアクセスを規定することができます。常時接続が有効な場合は、AnyConnect ソフトウェアのアップグレード中、ネットワークはブロックされずオープンの状態になります。[Closed] 設定の目的は、エンドポイントを保護するプライベート ネットワーク内のリソースが使用できない場合に、企業の資産をネットワークに対する脅威から保護することにあります。

[Open]:クライアントが VPN セッションを確立できない場合(ASA が到達不能の場合など)でも、ネットワーク アクセスは制限されません。この設定では、クライアントが ASA に接続できない場合、ブラウザなどのアプリケーションによるネットワーク アクセスが許可されます。[Disconnect] ボタンが有効で、かつユーザが [Disconnect] をクリックした場合は、オープン接続障害ポリシーは適用されません。


) ASA は、スプリット トンリングに対して IPv6 アドレスをサポートしていないため、ローカル印刷機能は IPv6 プリンタをサポートしていません。



 

キャプティブ ポータル ホットスポットの検出と修復

空港、喫茶店、ホテルなど、Wi-Fi や有線アクセスを提供している施設では、アクセスする前に料金を支払ったり、アクセプタブル ユース ポリシーを順守することに同意したりする必要があります。こうした施設では、 キャプティブ ポータル と呼ばれる技術を使用することにより、ユーザがブラウザを開いてアクセス条件に同意するまではアプリケーションの接続が行えないようにしています。

ここでは、キャプティブ ポータル ホットスポットの検出機能および修復機能について説明します。

キャプティブ ポータル ホットスポットの検出

AnyConnect では、接続ができない場合、その原因を問わず GUI に「Unable to contact VPN server 」というメッセージが表示されます。 VPN server は、セキュア ゲートウェイを表します。常時接続が有効であり、かつキャプティブ ポータルが存在しない場合、クライアントでは VPN への接続が継続的に試行され、それによってステータス メッセージが更新されます。

VPN 常時接続が有効であり、接続障害ポリシーがクローズで、かつキャプティブ ポータルの修復が無効の場合に、AnyConnect でキャプティブ ポータルの存在が検出されると、AnyConnect の GUI には接続および再接続のたびに次のようなメッセージが表示されます。

The service provider in your current location is restricting access to the Internet. The AnyConnect protection settings must be lowered for you to log on with the service provider. Your current enterprise security policy does not allow this.
 

AnyConnect によりキャプティブ ポータルの存在が検出され、かつ AnyConnect の設定が上述した内容と異なる場合、AnyConnect の GUI には接続および再接続のたびに次のようなメッセージが表示されます。

The service provider in your current location is restricting access to the Internet. You need to log on with the service provider before you can establish a VPN session. You can try this by visiting any website with your browser.
 

キャプティブ ポータルの検出はデフォルトで有効になっており、設定を行うことはできません。

キャプティブ ポータルの検出と修復をどちらもサポートするためには、次のライセンスのうちいずれか 1 つが必要です。

AnyConnect Premium(SSL VPN Edition)

Cisco AnyConnect セキュア モビリティ

Cisco AnyConnect セキュア モビリティ ライセンスを、AnyConnect Essentials ライセンスまたは AnyConnect Premium ライセンスのどちらかと組み合わせて使用することにより、キャプティブ ポータルの検出および修復をサポートできます。

キャプティブ ポータルの検出および修復は、Microsoft Windows 7、Windows Vista、Windows XP、Mac OS X 10.5、および Mac OS X 10.6 が実行されているコンピュータのみサポートしています。

キャプティブ ポータルの修復

キャプティブ ポータルの修復 は、ネットワーク アクセス権を取得できるように、キャプティブ ポータルのホット スポット要件を満たすためのプロセスです。デフォルトの場合、接続障害ポリシーではネットワーク アクセスが制限されるため、キャプティブ ポータルの修復は実行できません。アクセスの制限を解除するように AnyConnect を設定すれば、ユーザがキャプティブ ポータルの要件を満たすようにすることができます。また、クライアントがアクセスの制限を解除する期間を指定することもできます。

キャプティブ ポータルの修復に関する要件

キャプティブ ポータルの検出と修復をどちらもサポートするためには、次のライセンスのうちいずれか 1 つが必要です。

AnyConnect Premium(SSL VPN Edition)

Cisco AnyConnect セキュア モビリティ

Cisco AnyConnect セキュア モビリティ ライセンスを、AnyConnect Essentials ライセンスまたは AnyConnect Premium ライセンスのどちらかと組み合わせて使用することにより、キャプティブ ポータルの検出および修復をサポートできます。

キャプティブ ポータルの検出および修復は、Microsoft Windows 7、Windows Vista、Windows XP、Mac OS X 10.5、および Mac OS X 10.6 が実行されているコンピュータのみサポートしています。

キャプティブ ポータルの修復をサポートするための設定

接続障害ポリシーがオープンの場合、ユーザはキャプティブ ポータルの要件を修正することかできます。キャプティブ ポータルの修復機能は、接続障害ポリシーがクローズで、かつキャプティブ ポータルが存在する場合にのみ適用されます。

デフォルトの場合、キャプティブ ポータルの修復は無効です。キャプティブ ポータルの修復を有効にする手順は次のとおりです。


ステップ 1 接続障害ポリシーの設定を行います( 接続障害ポリシーの設定を参照)。

ステップ 2 次のパラメータを設定します。

Allow Captive Portal Remediation:オンにすると、クローズ接続障害ポリシーにより適用されたネットワーク アクセスの制限が Cisco AnyConnect Secure Mobility Clientにより解除されます。これによりユーザは、キャプティブ ポータルの要件を満たすことになります。デフォルトの場合、このパラメータはオフになっており、セキュリティは最高度に設定されます。ただし、クライアントから VPN へ接続する必要があるにもかかわらず、キャプティブ ポータルによりそれが制限されている場合は、このパラメータをオンにする必要があります。

Remediation Timeout:AnyConnect によりネットワーク アクセス制限が解除される時間を分単位で入力します。ユーザには、キャプティブ ポータルの要件を満たすことができるだけの十分な時間が必要です。

VPN 常時接続が有効な場合に、ユーザが [Connect] をクリックするか、または再接続が実行されると、キャプティブ ポータルが存在することを示すメッセージ ウィンドウが表示されます。この時点でユーザは、Web ブラウザ ウィンドウを開いてキャプティブ ポータルを修復することができます。


 

ユーザがキャプティブ ポータル ページにアクセスできない場合

ユーザがキャプティブ ポータル修復ページにアクセスできない場合は、修復できるようになるまで次の手順を連続して試行するようユーザに指示してください。


ステップ 1 ネットワーク インターフェイスを無効にした後、再度有効にします。この操作により、キャプティブ ポータルの検出が再試行されます。

ステップ 2 修復を実行するためのブラウザを 1 つだけ残し、インスタント メッセージング プログラム、電子メール クライアント、IP Phone クライアントなど、HTTP を使用するその他のアプリケーションをすべて終了します。キャプティブ ポータルは、接続の反復試行を無視し、結果的にクライアント側でタイム アウトにすることで、DoS 攻撃を積極的に阻止することができます。HTTP 接続が多数のアプリケーションによって試行された場合、この問題の深刻度は大きくなります。

ステップ 3 ステップ 1 を再試行します。

ステップ 4 コンピュータをリスタートします。


 

ローカル プリンタおよびテザー デバイスをサポートしたクライアント ファイアウォール

ユーザが ASA に接続すると、すべてのトラフィックがその接続を介してトンネリングされるため、ユーザはローカル ネットワーク上のリソースにアクセスできなくなります。こうしたリソースには、ローカル コンピュータと同期するプリンタ、カメラ、Windows Mobile デバイス(テザー デバイス)などが含まれます。この問題は、クライアント プロファイルで [Local LAN Access] を有効にすることで解消されます。ただし、ローカル ネットワークへのアクセスが無制限になるため、一部の企業ではセキュリティやポリシーについて懸念が生じる可能性があります。ASA を使用してエンドポイントの OS のファイアウォール機能を導入することにより、プリンタやテザー デバイスなど特定タイプのローカル リソースに対するアクセスを制限することができます。

そのための操作として、印刷用の特定ポートに対するクライアント ファイアウォール ルールを有効にします。クライアントでは、着信ルールと発信ルールが区別れさます。印刷機能の場合、クライアントでは発信接続に必要なポートは開放されますが、着信トラフィックはすべてブロックされます。クライアント ファイアウォールは、常時接続機能とは独立したものです。


) 管理者としてログインしたユーザは、ASA によりクライアントへ展開されたファイアウォール ルールを修正できることに注意が必要です。限定的な権限を持つユーザは、ルールを修正できません。どちらのユーザの場合も、接続が終了した時点でクライアントによりルールが再適用されます。


クライアント ファイアウォールを設定している場合、ユーザが Active Directory(AD)サーバで認証されると、クライアントでは引き続き ASA のファイアウォール ポリシーが適用されます。ただし、AD グループ ポリシーで定義されたルールは、クライアント ファイアウォールのルールよりも優先されます。

ファイアウォールの動作に関する注意事項

ここに記載したのは、AnyConnect クライアントではファイアウォールがどのように使用されるかについての注意事項です。

ファイアウォール ルールには送信元 IP は使用されません。クライアントでは、ASA から送信されたファイアウォール ルール内の送信元 IP 情報は無視されます。送信元 IP は、ルールがパブリックかプライベートかに応じてクライアントが特定します。パブリック ルールは、クライアント上のすべてのインターフェイスに適用されます。プライベート ルールは、仮想アダプタに適用されます。

ASA は、ACL ルールに対して数多くのプロトコルをサポートしています。ただし、AnyConnect のファイアウォール機能でサポートされているのは、TCP、UDP、ICMP、および IP のみです。クライアントでは、異なるプロトコルでルールが受信された場合、そのルールは無効なファイアウォール ルールとして処理され、さらにセキュリティ上の理由からスプリット トンネリングが無効となり、フル トンネリングが使用されます。

ただし次のように、オペレーティング システムによって動作が異なるため注意が必要です。

Windows コンピュータの場合、Windows Firewall では拒否ルールが許可ルールに優先します。ASA により許可ルールが AnyConnect クライアントへプッシュされても、ユーザがカスタムの拒否ルールを作成していれば、AnyConnect ルールは適用されません。

Windows Vista の場合、ファイアウォール ルールが作成されると、Windows Vista ではポート番号の範囲がカンマ区切りの文字列として認識されます。ポート範囲は、最大で 300 ポートです(1 ~ 300、5000 ~ 5300 など)。指定した範囲が 300 ポートを超える場合は、最初の 300 ポートに対してのみファイアウォール ルールが適用されます。

ファイアウォール サービスが AnyConnect クライアントにより開始される必要がある(システムにより自動的に開始されない)Windows ユーザは、VPN 接続の確立にかなりの時間を要する場合があります。

Mac コンピュータの場合、AnyConnect クライアントでは、ASA で適用されたのと同じ順序でルールが適用されます。グローバル ルールは必ず最後になるようにしてください。

サードパーティ ファイアウォールの場合、AnyConnect クライアント ファイアウォールとサードパーティ ファイアウォールの双方で許可されたタイプのトラフィックのみ通過できます。AnyConnect クライアントで許可されているタイプのトラフィックであっても、サードパーティ ファイアウォールによってブロックされれば、そのトラフィックはクライアントでもブロックされます。

以下の項では、次の処理を行うための手順について説明します。

「ローカル プリンタをサポートするためのクライアント ファイアウォールの導入」

「テザー デバイスのサポート」

ローカル プリンタをサポートするためのクライアント ファイアウォールの導入

ASA は、ASA バージョン 8.3(1) 以降、および ASDM バージョン 6.3(1) 以降で、SSL VPN クライアント ファイアウォール機能をサポートしています。この項では、ローカル プリンタへのアクセスが許可されるようにクライアント ファイアウォールを設定する方法、および VPN 接続の失敗時にファイアウォールを使用するようクライアント プロファイルを設定する方法について説明します。

クライアント ファイアウォールの制限事項

クライアント ファイアウォールを使用してローカル LAN アクセスを制限する場合には次の制限事項が適用されます。

OS の制限事項により、Windows XP が実行されているコンピュータのクライアント ファイアウォール ポリシーは、着信トラフィックに対してのみ適用されます。発信ルールおよび双方向ルールは無視されます。これには、「permit ip any any」などのファイアウォール ルールが含まれます。

ホスト スキャンや一部のサードパーティ ファイアウォールは、ファイアウォールを妨害する可能性があります。

ASA はスプリット トンネリングに対して IPv6 アドレスをサポートしていないため、クライアント ファイアウォールもローカル ネットワーク上の IPv6 デバイスをサポートしていません。

表 3-2 は、送信元ポートおよび宛先ポートの設定により影響を受けるトラフィックの方向をまとめたものです。

表 3-2 送信元ポート/宛先ポートと影響を受けるトラフィックの方向

送信元ポート
宛先ポート
影響を受けるトラフィックの方向

特定のポート番号

特定のポート番号

着信および発信

範囲または「すべて」(値は 0)

範囲または「すべて」(値は 0)

着信および発信

特定のポート番号

範囲または「すべて」(値は 0)

着信のみ

範囲または「すべて」(値は 0)

特定のポート番号

発信のみ

ローカル印刷に関する ACL ルールの例

表 3-3 は、ローカル印刷に関する ACL ルールの例です。

.

表 3-3 ローカル印刷に関する ACL ルールの例

説明
許可
インターフェイス
プロトコル
送信元ポート
宛先アドレス
宛先ポート

すべて拒否

Deny

パブリック

Any

デフォルト1

Any

デフォルト

LPD

Allow

パブリック

TCP

デフォルト

Any

515

IPP

Allow

パブリック

TCP

デフォルト

Any

631

プリンタ

Allow

パブリック

TCP

デフォルト

Any

9100

mDNS

Allow

パブリック

UDP

デフォルト

224.0.0.251

5353

LLMNR

Allow

パブリック

UDP

デフォルト

224.0.0.252

5355

NetBios

Allow

パブリック

TCP

デフォルト

Any

137

NetBios

Allow

パブリック

UDP

デフォルト

Any

137

1.ポート範囲は 1 ~ 65535 です。


) ローカル印刷を有効にするには、定義済み ACL ルール「allow Any Any」に対し、クライアント プロファイルの [Local LAN Access] 機能を有効にする必要があります。


ローカル印刷サポートの設定

ローカル印刷サポートを有効にする手順は次のとおりです。


ステップ 1 グループ ポリシーで、SSL VPN クライアント ファイアウォールを有効にします。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択します。

ステップ 2 グループ ポリシーを選択して、[Edit] をクリックします。[Edit Internal Group Policy] ウィンドウが表示されます。

ステップ 3 [Advanced] > [SSL VPN Client] > [Client Firewall] を選択します。プライベート ネットワーク ルールに対応する [Manage] をクリックします。

ステップ 4 表 3-3 にあるルールを使用して、ACL を作成し ACE を指定します。この ACL をパブリック ネットワーク ルールとして追加します。

ステップ 5 常時接続の自動 VPN ポリシーを有効にし、かつクローズド ポリシーを指定している場合、VPN 障害が発生するとユーザはローカル リソースにアクセスできません。このシナリオでは、 プロファイル エディタで [Preferences (Cont)] に移動し、[Apply last local VPN resource rules] をオンにするとファイアウォール ルールを適用することができます。


 

テザー デバイスのサポート

テザー デバイスをサポートして企業ネットワークを保護する場合は、グループ ポリシーで標準的な ACL を作成し、テザー デバイスで使用する宛先アドレスの範囲を指定します。さらに、トンネリング VPN トラフィックから除外するネットワーク リストとしてスプリット トンネリング用の ACL を指定します。また、VPN 障害時には最後の VPN ローカル リソース ルールが使用されるようにクライアント プロファイルを設定することも必要です。


) AnyConnect を実行しているコンピュータと同期させる必要がある Windows Mobile デバイスに対しては、ACL に宛先アドレス 169.254.0.0 を指定します。


手順は次のとおりです。


ステップ 1 ASDM で、[Group Policy] > [Advanced] > [Split Tunneling] を選択します。

ステップ 2 [Network List] フィールドの横にある [Manage] をクリックします。[ACL Manager] が表示されます。

ステップ 3 [Standard ACL] タブをクリックします。

ステップ 4 [Add] をクリックし、さらに [Add ACL] をクリックします。新しい ACL の名前を指定します。

ステップ 5 テーブルで新しい ACL を選択して、[Add] をクリックし、さらに [Add ACE] をクリックします。[Edit ACE] ウィンドウが表示されます。

ステップ 6 [Action] で [Permit] オプション ボタンを選択します。[Destination] に 169.254.0.0 と指定します。[Service] に対して IP を選択します。[OK] をクリックします。

ステップ 7 [Split Tunneling] ペインで、[Policy] に対し [Exclude Network List Below] を選択します。[Network List] で、作成した ACL を選択します。[OK] をクリックし、さらに [Apply] をクリックします。


 

SCEP による認証登録の設定

セキュア モビリティ スタンドアロン クライアントでは、Simple Certificate Enrollment Protocol(SCEP)を利用して、クライアント認証に使用する証明書のプロビジョニングおよび更新を行うことができます。SCEP の目的は、使用可能な既存のテクノロジーを使用して、スケーラブルな方法で、ネットワーク デバイスに証明書を安全に発行できるようにすることです。

当社の SCEP の実装では、クライアントが証明書要求を送信し、認証局(CA)が自動的に要求を承諾または拒否します(SCEP では、クライアントが証明書を要求してから、承諾または拒否の応答を受信するまで CA にポーリングするという方式も許可されています。ポーリング方式は、このリリースでは実装されていません)。

SCEP 要求の使用方法は、クライアント プロファイル ファイルで設定します。このファイルは、クライアントにダウンロードされる XML ファイルで、クライアントの動作に影響を与える設定が含まれています。SCEP は、AnyConnect をサポートしているすべてのオペレーティング システム上で使用できます。

ここでは、次の内容について説明します。

「自動または手動による証明書のプロビジョニングと更新」

「証明書のプロビジョニングと更新を行うための SCEP の設定」

「SCEP 要求後の証明書ストレージ」

「証明書の失効通知の設定」

「AnyConnect 用の SCEP をサポートするための ASA の設定」

自動または手動による証明書のプロビジョニングと更新

SCEP 要求は、AnyConnect によって証明書要求が自動的に開始されるように設定できるほか、ユーザが証明書要求を手動で開始するように設定することもできます。

自動による証明書要求

AnyConnect により新しい証明書の自動取得が試行されるケースは 2 つあります。どちらのケースでも、クライアントによって新しい証明書の自動取得が試行されるのは、クライアントの証明書認証が失敗した場合に限ります。

1 つめのケースは、クライアント プロファイルの [Automatic SCEP Host] の設定で指定されたグループ URL にユーザが接続しようとした場合です。クライアントで SCEP 証明書要求が開始されるのは、SCEP が有効であるグループ URL に基づいて VPN が確立された後です。

証明書の自動取得が開始される 2 つめのケースは、照合に使用する証明書の内容がクライアント プロファイルに指定されていない場合です。この場合ユーザは、認証局へのアクセスをサポートするために設定された接続プロファイルを使用して接続を試行します。VPN がアクティブ化されると、クライアントは VPN アクティベーションの一部としてダウンロードされたクライアント プロファイルを検索し、接続用に選択されたグループ URL がクライアント プロファイルにあるかどうかを確認します。

クライアントがクライアント プロファイルの [Automatic SCEP Host] の設定でグループ URL を検出すると、前の方式で説明した方法と同じ方法で自動 SCEP 取得プロセスが起動します。

ユーザに対しては、「CA パスワード」に関するプロンプトが表示される場合があります。CA パスワードは、認証局に提供されるチャレンジ パスワードまたはトークンであり、認証局はこれによりユーザを識別します。クライアントは、このパスワードと、プロファイルの SCEP セクションにあるその他のデータを使用して認証局に接続し、SCEP 取得プロセスを続行します。クライアント プロファイルで [Prompt For Challenge PW] 属性が有効な場合、クライアントではユーザに対して CA 証明書に関するプロンプトが表示されます。

手動による証明書取得

ユーザは、クライアント インターフェイスの [Get Certificate] ボタンまたは [Enroll] ボタンをクリックすることで、新しい証明書の要求を開始します。クライアント プロファイルで SCEP 機能が有効になっている場合、クライアントでは次のいずれかの状況になると、これらのボタンがユーザに対して表示されます。

ASA が証明書を要求したが、使用可能なホストに受け入れ可能な証明書が存在しない。

AnyConnect で使用されている現在の証明書が、クライアント プロファイルの [Certificate Expiration Threshold] の設定で定義された日数以内に失効する。

AnyConnect で使用されている現在の証明書がすでに失効している。

ユーザが証明書要求を開始できるのは、次のいずれかの場合だけです。

ホストから認証局に直接アクセスできる。

公開された認証局である。

認証局にアクセスするための VPN トンネルが、ホストで確立済みである。

認証局の URL が、クライアント プロファイルの [CA URL] フィールドで定義されている。

図 3-16 [Get Certificate] ボタンと [Enroll] ボタン

 

 

 

ユーザに対しては、「CA パスワード」に関するプロンプトが表示される場合があります。CA パスワードは、認証局に提供されるチャレンジ パスワードまたはトークンであり、認証局はこれによりユーザを識別します。クライアントは、このパスワードと、プロファイルの SCEP セクションにあるその他のデータを使用して認証局に接続し、SCEP 取得プロセスを続行します。クライアント プロファイルで [Prompt For Challenge PW] 属性が有効な場合、クライアントではユーザに対して CA 証明書に関するプロンプトが表示されます。

Windows 証明書の警告

Windows クライアントが初めて認証局から証明書を取得しようとした場合、それが自動か手動かによらず図 3-17 のような警告が表示されることがあります。プロンプトが表示されたら、[Yes] をクリックしてください。これにより、ユーザ証明書とルート証明書を受信できます。[No] をクリックすると、ユーザ証明書の受信だけが許可され、認証は実行できません。

図 3-17 Windows 証明書のセキュリティ警告

 

証明書のプロビジョニングと更新を行うための SCEP の設定

クライアント プロファイルで SCEP 設定が定義され、グループ ポリシーでそのクライアント プロファイルが指定されていて、かつユーザの接続プロファイルでそのグループ ポリシーが指定されている場合、AnyConnect では SCEP を使用して証明書が受信されます。

クライアント プロファイルの設定方法の詳細については、「AnyConnect プロファイルの作成および編集」を参照してください。

SCEP を有効にする手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Add](または [Edit])をクリックして AnyConnect プロファイルを作成(または編集)し、左側の [AnyConnect Client Profile] ツリーで [Certificate Enrollment] をクリックします。

ステップ 3 [Certificate Enrollment] ペインで、[Certificate Enrollment] をオンにします。

ステップ 4 証明書を取得する自動 SCEP ホストを指定します。FQDN または IP アドレスを入力します(ASA のホスト名として asa.cisco.com 、SCEP 証明書取得用に設定された接続プロファイル(トンネル グループ)の名前として scep_eng など)。

ステップ 5 SCEP CA サーバを識別するための CA URL を指定します。FQDN または IP アドレスを入力します( http://www.cisco.com など)。

ステップ 6 (任意)ユーザに対して、そのユーザ名および 1 回限定利用のパスワードに関するプロンプトを表示する場合は、[Prompt For Challenge PW] をオンにします。

ステップ 7 (任意)CA 証明書のサムプリントを入力します。SHA1 ハッシュまたは MD5 ハッシュを使用します(8475B661202E3414D4BB223A464E6AAB8CA123AB など)。


) CA URL およびサムプリントを用意することができるのは CA サーバ管理者です。サムプリントは、発行した証明書の「fingerprint」属性フィールドや「thumbprint」属性フィールドではなく、サーバから直接取得する必要があります。


ステップ 8 要求する証明書の内容を確認します。定義については、「AnyConnect プロファイル エディタの [Certificate Enrollment]」を参照してください。

ステップ 9 CA ドメインを指定します( cisco.com など)。

ステップ 10 [Display Get Certificate Button] をオンして、認証証明書のプロビジョニングや更新をユーザが手動で行えるようにします。通常、ユーザはあらかじめ VPN トンネルを作成する必要なく、認証局にアクセスできます。このボタンが表示されない場合は [Enroll] ボタンのほか、AnyConnect が認証局へ証明書登録を要求していることを知らせるメッセージ ボックスが表示されます。

ステップ 11 (任意)サーバ リストで特定のホストに対して SCEP を有効にします。これにより、ステップ 4 の SCEP ホスト設定は上書きされます。[Server List] ペインに移動し、既存のホスト エントリを編集するか、または SCEP ホストを使用して新規のホスト エントリを作成します。


 

SCEP 要求後の証明書ストレージ

SCEP 要求を通じて取得された証明書は、ユーザの個人用証明書ストアに保管されます。さらに、Windows デスクトップ プラットフォーム上で十分な権限がユーザにある場合、証明書はマシン ストアにも保存されます。MAC オペレーティング システムの場合、SCEP 要求を通じて取得された証明書は、「ログイン」キーチェーンにのみ追加されます。Linux では、Firefox ブラウザ証明書ストアがサポートされています。

AnyConnect 用の SCEP をサポートするための ASA の設定

プライベート登録局(RA)へアクセスできるようにするには、目的の RA へのプライベート側ネットワーク接続を制限している ACL が含まれたグループ URL を作成する必要があります。証明書を自動的に取得するには、ユーザがこのグループ URL に接続し、認証を行う必要があります。

ユーザがこのグループ URL で認証を行うと、AnyConnect では接続プロファイルに割り当てられているクライアント プロファイルがダウンロードされます。クライアント プロファイルには、<CertificateEnrollment> セクションがあります。クライアントは、このセクションの情報を使用することで、クライアント プロファイルの <CAURL> 要素で指定されている認証局へ自動的に接続し、証明書登録を開始します。次の設定タスクを実行する必要があります。

目的に合わせて設定したグループを指定するグループ URL を ASA で作成する。

ユーザのクライアント プロファイルの [Automatic SCEP Host] フィールドにこのグループ URL を指定する。

[Certificate Enrollment] を有効にしたクライアント プロファイルを、目的に合わせて設定したグループに割り当てます。

目的に合わせて設定したグループに対して ACL を設定し、プライベート側 RA へのトラフィックを制限する。

SCEP が有効なグループがユーザに公開されることを防ぐため、ASA では「有効」にしないでください。ここで説明した実装を使用すれば、ユーザにグループを公開しなくても、ユーザはグループにアクセスすることできます。

ASA における証明書のみの認証の設定

複数のグループを使用する環境で証明書のみの認証をサポートする場合は、複数のグループ URL をプロビジョニングします。各グループ URL には、さまざまなクライアント プロファイルと共に、グループ固有の証明書マップを作成するためのカスタマイズ済みデータの一部が含まれます。たとえば、ASA に開発部の Department_OU 値をプロビジョニングし、このプロセスによる証明書が ASA に提供された時点でこのグループにユーザが配置されるようにすることができます。

証明書の失効通知の設定

ユーザに対して証明書の失効が近いことを警告できるように、クライアント プロファイルを設定することができます。[Certificate Expiration Threshold] の設定では、AnyConnect がユーザに対して証明書の失効が近づいていることを証明書の有効期限の何日前に警告するかを指定します。


) SCEP 登録を行った場合、[Certificate Expiration Threshold] 機能は使用できません。


証明書失効しきい値を設定する手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Add](または [Edit])をクリックして AnyConnect プロファイルを作成(または編集)し、左側の [AnyConnect Client Profile] ツリーで [Certificate Enrollment]をクリックします。

ステップ 3 [Certificate Enrollment] ペインで、[Certificate Enrollment]をオンにします。

ステップ 4 AnyConnect がユーザに対して証明書の失効が近づいていることを証明書の有効期限の何日前に警告するかを表す証明書失効しきい値を指定します。

デフォルトは 0(警告は表示しない)です。範囲は 0 ~ 180 日です。

ステップ 5 [Certificate Content] チェックボックスはいずれもオンにしないでください。

ステップ 6 [OK] をクリックします。

証明書ストアの設定

AnyConnect がローカル ホスト上で証明書を格納し、処理する方法を設定できます。プラットフォームによっては、特定ストアへのアクセスが制限される場合や、ブラウザ ベースのストアの代わりにファイルを使用できる場合があります。この目的は、クライアント証明書の使用だけでなく、サーバ証明書の確認のための適切な場所に AnyConnect を振り向けることです。

Windows では、クライアントがどの証明書ストアで証明書を検索するかを制御できます。証明書の検索をユーザ ストアのみ、またはマシン ストアのみに制限するようにクライアントを設定できます。

Mac および Linux では、PEM 形式の証明書ファイル用の証明書ストアを作成できます。

これらの証明書ストアの検索設定は、AnyConnect クライアント プロファイルに格納されます。


) また、AnyConnect ローカル ポリシーに、さらに証明書ストアの制約を設定できます。AnyConnect ローカル ポリシーは、企業のソフトウェア展開システムを使用して展開する XML ファイルであり、AnyConnect クライアント ファイルからは独立しています。このファイル内の設定により、Firefox NSS(Linux と Mac)、PEM ファイル、Mac ネイティブ(ログインキーチェーンのみ)、および Windows Internet Explorer ネイティブ証明書ストアの使用が制限されます。詳細については、「FIPS およびその他のセキュリティのローカル ポリシーでのイネーブル化」を参照してください。


ここでは、証明書ストアを設定し、その使用を制御する手順について説明します。

「Windows での証明書ストアの制御」

「Mac および Linux での PEM 証明書ストアの作成」

Windows での証明書ストアの制御

Windows では、ローカル マシン用の証明書ストアと現在のユーザ用の証明書ストアが別々に用意されます。プロファイル エディタを使用すると、AnyConnect クライアントがどの証明書ストアで証明書を検索するかを指定できます。

コンピュータ上で管理者権限を持つユーザは、両方の証明書ストアにアクセスできます。管理者権限を持たないユーザがアクセスできるのは、ユーザ証明書ストアのみです。

AnyConnect がどの証明書ストアで証明書を検索するかは、プロファイル エディタの [Preferences] ペインにある [Certificate Store] リスト ボックスを使用して設定します。[Certificate Store Override] チェックボックスを使用すると、AnyConnect では非管理者権限を持つユーザでもマシン証明書ストアを検索できるようになります。

図 3-18 [Certificate Store] リスト ボックスと [Certificate Store Override] チェックボックス

 

 

[Certificate Store] は次の 3 つの設定が可能です。

[All]:(デフォルト)すべての証明書ストアを検索します。

[Machine]:マシン証明書ストア(コンピュータで識別された証明書)を検索します。

[User]:ユーザ証明書ストアを検索します。

[Certificate Store Override] は次の 2 つの設定が可能です。

オン:ユーザが管理者権限を持っていない場合でも、AnyConnect は、コンピュータのマシン証明書ストアを検索できます。

オフ:(デフォルト)AnyConnect は、管理者権限のないユーザのマシン証明書ストアを検索できません。

表 3-4 は、[Certificate Store] および [Certificate Store Override] の設定例を示したものです。

 

表 3-4 証明書ストアと証明書ストア上書き設定の例

[Certificate Store] の設定
[Certificate Store Override] の設定
AnyConnect の処理

All

オフ

AnyConnect は、すべての証明書ストアを検索します。ユーザが非管理者権限を持っている場合、AnyConnect は、マシン ストアにアクセスできません。

これがデフォルトの設定です。ほとんどの場合、この設定が適しています。変更が必要となる特別な理由またはシナリオ要件がある場合を除いて、この設定は変更しないでください。

All

オン

AnyConnect は、すべての証明書ストアを検索します。ユーザが管理者以外の権限を持っている場合、AnyConnect は、マシン ストアにアクセスできます。

Machine

オン

AnyConnect は、マシン証明書ストアを検索します。AnyConnect は、非管理者アカウントのマシン ストアを検索することができます。

Machine

オフ

AnyConnect は、マシン証明書ストアを検索します。ユーザが管理者以外の権限を持っている場合、AnyConnect は、マシン ストアを検索できません。

(注) 証明書を使用する認証が限定されたユーザのグループにのみ許可されている場合、この設定が使用される場合があります。

User

適用されない

AnyConnect は、ユーザ証明書ストア内のみ検索します。非管理者アカウントがこの証明書ストアにアクセス権を持つため、証明書ストアの上書きは適用されません。

AnyConnect クライアントがどの証明書ストアで証明書を検索するかを指定する手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Preferences] ペインをクリックし、ドロップダウン リストから証明書ストアのタイプを選択します。

[All]:(デフォルト)すべての証明書ストアを検索します。

[Machine]:マシン証明書ストア(コンピュータで識別された証明書)を検索します。

[User]:ユーザ証明書ストアを検索します。

ステップ 3 ユーザが非管理者アカウントを持つ場合は、AnyConnect クライアントがマシン証明書ストアにアクセスできるようにするため、[Certificate Store Override] チェックボックスをオンまたはオフにします。

ステップ 4 [OK] をクリックします。


 

Mac および Linux での PEM 証明書ストアの作成

AnyConnect は、Privacy Enhanced Mail(PEM)形式のファイル ストアを使用した証明書認証をサポートしています。ブラウザに依存して証明書の確認および署名を行う代わりに、クライアントがリモート コンピュータのファイル システムから PEM 形式の証明書ファイルを読み取り、確認と署名を行います。


) Mac 用の Anyconnect では、システム キーチェーンではなく、ログインキーチェーンから適切な証明書が検索されます。システム全体に適用される証明書を使用する必要がある場合は、PEM ファイル証明書ストアを使用します。


PEM ファイルのファイル名に関する制約事項

あらゆる条件下でクライアントが適切な証明書を取得するためには、ファイルが次の要件を満たしている必要があります。

すべての証明書ファイルは、拡張子 .pem で終わっていること。

すべての秘密キー ファイルは、拡張子 .key で終わっていること。

クライアント証明書と、それに対応する秘密キーのファイル名が同じであること
(client.pem と client.key など)。


) PEM ファイルのコピーを保持する代わりに、PEM ファイルへのソフト リンクを使用できます。


ユーザ証明書の保存

PEM ファイル証明書ストアを作成する場合は、 表 3-5 に示すパスとフォルダを作成します。これらのフォルダに、適切な証明書を配置してください。

 

表 3-5 PEM ファイル証明書ストアのフォルダと保存される証明書のタイプ

PEM ファイル証明書ストアのフォルダ
保存される証明書のタイプ

~/.cisco/certificates/ca2

信頼できる CA とルート証明書

~/.cisco/certificates/client

クライアント証明書

~/.cisco/certificates/client/private

秘密キー

null

2.~ は、ホーム ディレクトリを表します。


) マシン証明書の要件は、PEM ファイル証明書の要件と同じですが、ルート ディレクトリが異なります。マシン証明書の場合は、~/.cisco を /opt/.cisco に置き換えてください。それ以外は、表 3-5 に示すパス、フォルダ、および証明書のタイプが適用されます。


証明書照合の設定

AnyConnect は、次の証明書照合タイプをサポートしています。これらの一部またはすべてを使用して、クライアント証明書を照合できます。証明書照合は、AnyConnect プロファイルで設定できるグローバル基準です。基準は次のとおりです。

キーの用途

キーの拡張用途

識別名

証明書キーの用途による照合

証明書キーの用途は、ある特定の証明書で実行可能な幅広い操作に対する制約のセットとして与えられます。サポートされるセットは次のとおりです。

DIGITAL_SIGNATURE

NON_REPUDIATION

KEY_ENCIPHERMENT

DATA_ENCIPHERMENT

KEY_AGREEMENT

KEY_CERT_SIGN

CRL_SIGN

ENCIPHER_ONLY

DECIPHER_ONLY

プロファイルには、0 個以上の一致基準を含めることができます。1 つ以上の基準が指定されている場合、証明書が一致すると見なされるには、少なくとも 1 つの基準が一致している必要があります。

「証明書照合の例」の例には、これらの属性を設定する方法が記載されています。

証明書キーの拡張用途による照合

この照合では、Extended Key Usage フィールドに基づいて、クライアントが使用できる証明書を管理者が制限できます。 表 3-6 は、既知の制約のセットと、それに対応するオブジェクト ID(OID)をリストにまとめたものです。

 

表 3-6 証明書キーの拡張用途

制約
OID

ServerAuth

1.3.6.1.5.5.7.3.1

ClientAuth

1.3.6.1.5.5.7.3.2

CodeSign

1.3.6.1.5.5.7.3.3

EmailProtect

1.3.6.1.5.5.7.3.4

IPSecEndSystem

1.3.6.1.5.5.7.3.5

IPSecTunnel

1.3.6.1.5.5.7.3.6

IPSecUser

1.3.6.1.5.5.7.3.7

TimeStamp

1.3.6.1.5.5.7.3.8

OCSPSign

1.3.6.1.5.5.7.3.9

DVCS

1.3.6.1.5.5.7.3.10

その他の OID(本書の例で使用している 1.3.6.1.5.5.7.3.11 など)はすべて、「カスタム」と見なされます。管理者は、既知のセットの中に必要な OID がない場合、独自の OID を追加できます。プロファイルには、0 個以上の一致基準を含めることができます。証明書が一致すると見なされるには、指定されているすべての基準に一致している必要があります。

証明書の識別名による照合

証明書識別名マッピング機能によって、管理者は、クライアントが使用できる証明書を特定の基準および基準照合条件に一致する証明書に制限できます。 表 3-7 は、サポートされる基準をリストにまとめたものです。

 

表 3-7 証明書の識別名による照合の基準

ID
説明

CN

SubjectCommonName

SN

SubjectSurName

GN

SubjectGivenName

N

SubjectUnstructName

I

SubjectInitials

GENQ

SubjectGenQualifier

DNQ

SubjectDnQualifier

C

SubjectCountry

L

SubjectCity

SP

SubjectState

ST

SubjectState

O

SubjectCompany

OU

SubjectDept

T

SubjectTitle

EA

SubjectEmailAddr

DC

DomainComponent

ISSUER-CN

IssuerCommonName

ISSUER-SN

IssuerSurName

ISSUER-GN

IssuerGivenName

ISSUER-N

IssuerUnstructName

ISSUER-I

IssuerInitials

ISSUER-GENQ

IssuerGenQualifier

ISSUER-DNQ

IssuerDnQualifier

ISSUER-C

IssuerCountry

ISSUER-L

IssuerCity

ISSUER-SP

IssuerState

ISSUER-ST

IssuerState

ISSUER-O

IssuerCompany

ISSUER-OU

IssuerDept

ISSUER-T

IssuerTitle

ISSUER-EA

IssuerEmailAddr

ISSUER-DC

IssuerDomainComponent

プロファイルには、0 個以上の一致基準を含めることができます。証明書が一致すると見なされるには、指定されているすべての基準に一致している必要があります。識別名による照合によって、追加の照合基準が提供されます。たとえば、管理者が、指定した文字列が証明書に含まれている必要があるか、含まれていてはいけないかを指定できます。また、文字列のワイルドカードも使用できます。

証明書照合の例


) これ以降の例で使用する KeyUsage、ExtendedKeyUsage、および DistinguishedName のプロファイル値はあくまでも例です。証明書一致基準は、使用する証明書に適用するもののみ設定してください。


クライアント プロファイルで証明書照合を設定する手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Certificate Matching] ペインに移動します。

ステップ 3 [Key Usage] および [Extended Key Usage] の設定をオンにし、受け入れ可能なクライアント証明書を選択します。指定されたキーの少なくとも 1 つが一致する証明書が選択されます。これらの用途設定に関する詳細については、「AnyConnect プロファイル エディタの [Certificate Matching]」を参照してください。

ステップ 4 カスタム拡張照合キーを指定します。これらは、1.3.6.1.5.5.7.3.11 など既知の MIB OID 値であることが必要です。0 個以上のカスタム拡張照合キーを指定することができます。指定されたすべてのキーが一致する証明書が選択されます。キーは、OID 形式であることが必要です(1.3.6.1.5.5.7.3.11 など)。

ステップ 5 [Distinguished Names] テーブルの横にある [Add] をクリックして、[Distinguished Name Entry] ウィンドウを起動します。

[Name]:識別名。

[Pattern]:照合に使用する文字列。照合するパターンには、目的の文字列部分のみ含まれている必要があります。パターン照合構文や正規表現構文を入力する必要はありません。入力した場合、その構文は検索対象の文字列の一部と見なされます。

abc.cisco.com という文字列を例とした場合、cisco.com で照合するためには、入力するパターンを cisco.com とする必要があります。

[Operator]:照合を実行する際に使用する演算子。

[Equal]:== と同等

[Not Equal]:!= と同等

[Wildcard]:ワイルドカード パターン照合を使用します。このパターンは文字列内のどの場所でも使用できます。

[Match Case]:有効にすると、大文字と小文字を区別したパターン照合を実行できます。

認証証明書選択のプロンプト

ユーザに対して有効な証明書のリストを表示し、セッションに認証に使用する証明書をユーザが選択できるように AnyConnect の設定を行うことができます。この設定は、Windows 7、Windows Vista、および Windows XP でのみ行うことができます。デフォルトの場合、ユーザの証明書選択は無効です。証明書選択を有効にする場合は、次の手順に従い AnyConnect プロファイルで証明書選択を有効にします。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Preferences (Cont)] ペインに移動し、[Disable Cert Selection] をオフにします。これによりクライアントでは、ユーザに対して認証証明書を選択するためのプロンプトが表示されます。


 

ユーザによる AnyConnect プリファレンスでの自動証明書選択の設定

ユーザの証明書選択を有効にすると、AnyConnect の [Preferences] ダイアログボックスに、[Automatic Certificate Selection] チェックボックスが表示されます。ユーザは、[Automatic certificate selection] チェックボックスをオンまたはオフにすることで、自動証明書選択をオンまたはオフにできます。図 3-19 は、[Automatic Certificate Selection] チェックボックスが表示された [Preferences] ウィンドウです。

図 3-19 [Automatic Certificate Selection] チェックボックス

 

サーバ リストの設定

プロファイルの主要な使用目的の 1 つは、ユーザが接続サーバをリストできるようにすることです。このサーバ リストは、ホスト名とホスト アドレスのペアで構成されています。ホスト名は、ホストを参照するために使用するエイリアスのほか、FQDN、または IP アドレスにできます。サーバ リストには、AnyConnect GUI の [Connect to] ドロップダウン リスト(図 3-20)にあるサーバのホスト名が表示されます。ユーザはこのリストからサーバを選択できます。

図 3-20 [Connect to] ドロップダウン リストにホストが表示されたユーザ GUI

 

最初は、リストの先頭にある設定したホストがデフォルト サーバとなり、GUI ドロップダウン リストに表示されます。ユーザがリストから別のサーバを選択すると、クライアントではその選択内容がリモート コンピュータ上のユーザ プリファレンス ファイルに記録され、選択されたサーバが新たなデフォルト サーバとなります。

サーバ リストを設定する手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Server List] をクリックします。[Server List] ペインが開きます。

ステップ 3 [Add] をクリックします。[Server List Entry] ウィンドウが開きます(図 3-21)。

図 3-21 サーバ リストの追加

 

ステップ 4 ホスト名を入力します。ホスト名は、ホストを参照するために使用するエイリアスのほか、FQDN、または IP アドレスにできます。FQDN または IP アドレスを入力した場合、ホスト アドレスを入力する必要はありません。

ステップ 5 必要に応じてホスト アドレスを入力します。

ステップ 6 ユーザ グループを指定します(任意)。クライアントでは、このユーザ グループとホスト アドレスを組み合わせてグループ ベースの URL が構成されます。

ステップ 7 バックアップ サーバを追加します(任意)。サーバ リスト内のサーバが使用できない場合、クライアントではグローバル バックアップ サーバ リストを使用する前に、そのサーバのバックアップ リストにあるサーバへの接続が試行されます。

ステップ 8 ロード バランシング バックアップ サーバを追加します(任意)。このサーバ リスト エントリのホストがセキュリティ アプライアンスのロード バランシング クラスタであり、かつ常時接続機能が有効になっている場合は、このリストでクラスタのバックアップ デバイスを指定します。指定しなかった場合、ロード バランシング クラスタ内にあるバックアップ デバイスへのアクセスは常時接続機能によりブロックされます。

ステップ 9 SCEP CA サーバの URL を指定します(任意)。FQDN または IP アドレスを入力します(http://ca01.cisco.com など)。

ステップ 10 [Prompt For Challenge PW] をオンにして(任意)、ユーザが証明書を手動で要求できるようにします。ユーザが [Get Certificate] をクリックすると、クライアントではユーザに対してユーザ名および 1 回限定利用のパスワードに関するプロンプトが表示されます。

ステップ 11 CA の証明書サムプリントを入力します。SHA1 ハッシュまたは MD5 ハッシュを使用します CA URL およびサムプリントを用意することができるのは CA サーバ管理者です。サムプリントは、発行した証明書の「fingerprint」属性フィールドや「thumbprint」属性フィールドではなく、サーバから直接取得する必要があります。

ステップ 12 [OK] をクリックします。設定した新規のサーバ リスト エントリが、サーバ リスト テーブルに表示されます(図 3-22)。

図 3-22 新規のサーバ リスト エントリ

 


 

バックアップ サーバ リストの設定

ユーザが選択したサーバで障害が発生した場合にクライアントが使用するバックアップ サーバのリストを設定できます。これらのサーバは、AnyConnect プロファイルの [Backup Servers] ペインで指定します。場合によっては、このリストでホスト固有の設定を指定することがあります。手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Backup Servers] ペインに移動し、バックアップ サーバのホスト アドレスを入力します。


 

Windows Mobile ポリシーの設定

ユーザが Windows Mobile デバイスを使用して接続できるようにするにはAnyConnect プロファイルで [Mobile Policy] の設定を行う必要があります。これらのパラメータは、Windows Mobile デバイスにのみ適用されます。パラメータを含めるのは、エンド ユーザが Windows Mobile を使用する場合のみにしてください。Windows Mobile デバイスのサポートに関する詳しい最新情報については、最新バージョンの『 Release Notes for Cisco AnyConnect Secure Mobility Client 』を参照してください。

制限事項

Mobile Policy の設定を行う場合は、次の制限事項に注意してください。

Windows Mobile ポリシーの適用がサポートされるのは、Windows Mobile 5、Windows Mobile 5+AKU2、および Windows Mobile 6 のみです。Windows Mobile 6.1 ではサポートされていません。

適用できないセキュリティ ポリシーを要求するよう設定されているセキュア ゲートウェイに接続しようとすると失敗します。Windows Mobile 6.1 デバイスが含まれる環境では、Mobile ポリシーの適用対象でないグループを Windows Mobile 6.1 ユーザ用に別途作成するか、セキュア ゲートウェイで Mobile ポリシーの適用を無効にする必要があります。

Microsoft Local Authentication Plug-ins(LAPs)を使用する Windows Mobile デバイスには、VPN 接続の確立前にパスワードまたは PIN を設定する必要があります。

Adaptation Kit Upgrade 2(AKU2)に同梱されている Messaging and Security Feature Pack 適用済みの Windows Mobile 5 デバイスは、Mobile Policy を適用する前に Exchange サーバと同期化する必要があります。

ユーザに対しては、Windows Mobile 用の Cisco AnyConnect Secure Mobility Clientを使用する前に必ず、データ プランについてデータサービス プロバイダーへ問い合わせるよう周知してください。ユーザは、データ使用量が各自のプランの上限を超えると、追加料金を負担することになる場合があります。

Mobile ポリシーは、既存のポリシーを単に検証するためのものであり、それを変更することはありません。

クライアント プロファイルでの Mobile ポリシーの設定

クライアント プロファイルでモバイル デバイス ロックを有効にする手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Mobile Policy] ペインに移動し、[Device Lock Required] をオンにします。

ステップ 3 [Maximum Timeout Minutes] フィールドに、デバイス ロックが有効になるまでの最長時間を分単位で入力します。

ステップ 4 [Minimum Password Length] フィールドで、デバイス ロックのパスワードまたは PIN の最低文字数を入力します。

ステップ 5 必要なデバイス ロックのパスワードに対して、パスワードの複雑度を指定します。

[alpha]:英数字のパスワードであることが必要。

[pin]:数字の PIN であることが必要。

[strong]:7 文字以上で構成され、うち最低 3 文字は大文字、小文字、数字、句読記号のいずれかである強度の高い英数字のパスワードであることが必要。


 

起動時自動接続の設定

デフォルトの場合、AnyConnect では起動時に、クライアント プロファイルで指定されているセキュア ゲートウェイへの VPN 接続が自動的に確立します。接続時、クライアントでは、セキュア ゲートウェイから提供されたプロファイルとローカル プロファイルが同じでない場合、セキュア ゲートウェイから提供されたプロファイルでローカル プロファイルが置き換えられ、このプロファイルの設定が適用されます。

起動時自動接続を無効にした状態でユーザがクライアントを起動した場合、GUI には、デフォルトでユーザ制御可能として構成された設定が表示されます。ユーザは、GUI の [Connect to] ドロップダウン リストでセキュア ゲートウェイの名前を選択し、[Connect] をクリックする必要があります。接続時、クライアントでは、セキュリティ アプライアンスから提供されたクライアント プロファイルの設定が適用されます。

デフォルトでは、起動時自動接続は有効です。無効にする手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 ナビゲーション ペインで [Preferences] を選択します。

ステップ 3 [Auto Connect On Start] をオフにします。


 

自動再接続の設定

IPsec VPN クライアントとは異なり、AnyConnect は、初期接続に使用したメディアによらず、VPN セッションの中断から復旧することおよびセッションを再確立することができます。たとえば、有線、ワイヤレス、または 3G のセッションを再確立できます。

自動再接続機能を設定すると、接続が解除された場合に VPN 接続の再確立が試行されます(デフォルトの動作)。また、 システムの一時停止またはシステムのレジューム が発生して以降に接続の動作を定義することもできます。 システムの一時停止 とは、低電力スタンバイ、Windows の「休止状態」、Mac OS または Linux の「スリープ」のことです。 システムのレジューム とは、システムの一時停止からの回復です。


) AnyConnect 2.3 よりも前までは、システムの一時停止に対するデフォルトの動作として、VPN セッションに割り当てられたリソースを保持し、システムのレジューム後に VPN 接続を再確立していました。この動作を維持する場合は、自動再接続の動作として [Reconnect After Resume] を有効にします。


クライアント プロファイルで [Auto Reconnect] の設定を行う手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 ナビゲーション ペインで [Preferences] を選択します。

ステップ 3 [Auto Reconnect] をオンにします。


) [Auto Reconnect] をオフにすると、クライアントでは接続解除の原因にかかわらず、再接続が試行されません。


ステップ 4 自動再接続の動作を選択します(Linux ではサポートされていません)。

[Disconnect On Suspend]:AnyConnect では、システムが一時停止すると VPN セッションに割り当てられたリソースが解放され、システムのレジューム後も再接続は試行されません。

[Reconnect After Resume]:クライアントでは、システムが一時停止すると VPN セッションに割り当てられたリソースが保持され、システムのレジューム後は再接続が試行されます。


 

ローカル プロキシ接続

AnyConnect Release 2.5.1025 以降では、ユーザはデフォルトでローカル PC 上の透過的または非透過的なプロキシを介して VPN セッションを確立できます。

次に示すのは、透過的なプロキシ サービスを実現する要素の一例です。

一部のワイヤレス データ カードから入手できるアクセラレーション ソフトウェア

Kaspersky など一部のアンチウイルス ソフトウェア上のネットワーク コンポーネント

ローカル プロキシ接続に関する要件

AnyConnect は、次の Microsoft OS 上でこの機能をサポートしています。

Windows 7(32 ビットおよび 64 ビット)

Windows Vista(32 ビットおよび 64 ビット)SP2 または KB952876 を適用した Vista Service Pack 1

Windows XP SP2 および SP3

この機能をサポートするためには、AnyConnect Essentials ライセンスまたは AnyConnect Premium SSL VPN Edition ライセンスのどちらかが必要です。

ローカル プロキシ接続の設定

AnyConnect は、VPN セッションを確立するためのローカル プロキシ サービスをデフォルトでサポートしています。AnyConnect によるローカル プロキシ サービスのサポートを無効にする手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 ナビゲーション ペインで [Preferences (cont)] を選択します。

ステップ 3 パネル上部付近にある [Allow Local Proxy Connections] をオフにします。


 

最適ゲートウェイ選択

最適ゲートウェイ選択(OGS)機能を使用すると、ユーザが介入することなくインターネット トラフィックの遅延を最小限に抑えることができます。OGS を使用すると、AnyConnect では接続または再接続に最適なセキュア ゲートウェイが特定され、それが選択されます。OGS は、初回接続時または、直前の接続解除から 4 時間以上経過した後の再接続時に開始されます。遠隔地に移動したユーザは、より高いパフォーマンスを実現するため移動先により近いセキュア ゲートウェイに接続します。自宅と会社では同じゲートウェイからほぼ同じ結果が得られるため、このような事例では通常セキュア ゲートウェイの切り替えは行われません。別のセキュア ゲートウェイへの接続が行われることはほとんどなく、行われるとしてもパフォーマンスの向上率が 20 % 以上の場合に限られます。


) これらのしきい値は、プロファイル エディタを使用して設定できます。特定のネットワークに対してこれらの値を最適化すれば、最適なゲートウェイを選択することと、クレデンシャルを強制的に入力させる回数を減らすこととの間で適切なバランスを取ることができます。


OGS はセキュリティ機能ではなく、セキュア ゲートウェイ クラスタ間またはクラスタ内部でのロード バランシングは実行されません。オプションで、エンド ユーザがこの機能の有効化/無効化を切り替えられるようにすることができます。

最小ラウンド トリップ時間(RTT)ソリューションでは、クライアントと他のすべてのゲートウェイとの間で RTT が最短となるセキュア ゲートウェイが選択されます。クライアントでは、経過時間が 4 時間以内の場合は常に、最後のセキュア ゲートウェイに対して再接続が行われます。ネットワーク接続の負荷やその状態の一時的変動といった要素は、インターネット トラフィックの遅延だけでなく、選択プロセスにも影響を与える場合があります。

選択プロセスでは、最適なサーバを特定する際プライマリ サーバにのみ問い合わせが行われます。特定後の接続アルゴリズムは次のとおりです。

1. 最適なサーバへの接続を試行する。

2. 失敗した場合は、最適なサーバのバックアップ サーバ リストに対して試行する。

3. 失敗した場合は、選択結果に応じて OGS 選択リストに残っている各サーバに対して試行する。

バックアップ サーバの詳細については、「AnyConnect プロファイル エディタの [Backup Servers]」を参照してください。

最適ゲートウェイ選択に関する要件

OGS は、次の OS が実行されている VPN エンドポイントをサポートしています。

Windows 7、Vista、および XP

Mac OS X 10.5 および Mac OS X 10.6

最適ゲートウェイ選択の設定

OGS のアクティブ化/非アクティブ化の制御や、エンド ユーザがこの機能そのものを制御できるようにするかどうかの指定は、AnyConnect プロファイルで行います。プロファイル エディタを使用して OGS を設定する手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Enable Optimal Gateway Selection] チェックボックスをオンにして、OGS をアクティブ化します。

ステップ 3 [User Controllable] チェックボックスをオンにして、クライアント GUI にアクセスするリモート ユーザが OGS の設定を行えるようにします。


) OGS が有効な場合は、この機能の設定をユーザが行えるようにすることも推奨します。OGS により選択されたゲートウェイへの接続が AnyConnect クライアントによって確立できないときには、ユーザがプロファイルから別のゲートウェイを選択できることが必要となる場合があります。


ステップ 4 VPN が一時停止してから、ゲートウェイを選択するための新たな計算が開始されるまでに要する最小の時間(単位は時間)を、[Suspension Time Threshold] パラメータに入力します。デフォルトは 4 時間です。

ステップ 5 システムのレジューム後にクライアントから別のセキュア ゲートウェイへの再接続が行われるために必要なパフォーマンスの向上率を、[Performance Improvement Threshold] パラメータに入力します。デフォルトは 20 % です。


) 移行の発生回数が多く、ユーザがクレデンシャルを頻繁に再入力しなければならないような場合は、これらのしきい値の一方または両方を大きくしてください。特定のネットワークに対してこれらの値を調整すれば、最適なゲートウェイを選択することと、クレデンシャルを強制的に入力させる回数を減らすこととの間で適切なバランスを取ることができます。



 

クライアント GUI の起動時に OGS が有効な場合は、[Cisco AnyConnect Connection] タブの [Connect To] ドロップダウン メニューに [Automatic Selection] が表示されます。この選択は変更できません。OGS を使用すると、最適なセキュア ゲートウェイが自動的に選択され、ステータス バーにその選択されたゲートウェイが表示されます。接続プロセスを開始するためには、[Select] をクリックすることが必要となる場合もあります。

この機能の設定をユーザが行えるようにした場合、選択されたセキュア ゲートウェイをユーザが手動で上書きすることができます。手順は次のとおりです。


ステップ 1 現在接続中の場合は、[Disconnect] をクリックします。

ステップ 2 [Preferences] タブを開き、[Enable Optimal Gateway Selection] をオフにします。

ステップ 3 目的のセキュア ゲートウェイを選択します。


) AAA が使用されている場合は、別のセキュア ゲートウェイへの移行時にエンド ユーザがそれぞれのクレデンシャルを再入力しなければならないことがあります。証明書を使用していれば、その必要はありません。



 

スクリプトの作成および展開

AnyConnect では、次のイベントが発生したときに、スクリプトをダウンロードして実行できます。

セキュリティ アプライアンスで新しいクライアント VPN セッションが確立された。このイベントによって起動するスクリプトを OnConnect スクリプトと呼びます。スクリプトには、このファイル名プレフィクスが必要です。

セキュリティ アプライアンスでクライアント VPN セッションが切断された。このイベントによって起動するスクリプトを OnDisconnect スクリプトと呼びます。スクリプトには、このファイル名プレフィクスが必要です。

これにより、Trusted Network Detection によって開始された新しいクライアント VPN セッションが確立すると、OnConnect スクリプトが起動します(このスクリプトを実行する要件が満たされている場合)。ネットワーク切断後に永続的な VPN セッションが再接続されても、OnConnect スクリプトは起動しません。

この機能には次のような使用例があります。

VPN 接続時にグループ ポリシーを更新する。

VPN 接続時にネットワーク ドライブをマッピングし、接続解除後にマッピングを解除する。

VPN 接続時にサービスにログインし、接続解除後にログオフする。

ここでの説明は、スクリプトの作成方法と、ターゲット エンドポイントのコマンドラインからスクリプトを実行し、テストする方法についての知識があることを前提としています。


) AnyConnect ソフトウェア ダウンロード サイトにいくつかのサンプル スクリプトがあります。試用する際は、これらがあくまでサンプルであることに注意してください。実行に必要なローカル コンピュータの要件を満たしていないことがあり、ネットワークおよびユーザのニーズに合わせてカスタマイズしなければ使用できないことがあります。シスコでは、サンプル スクリプトまたはユーザ作成スクリプトはサポートしていません。


ここでは、次の内容について説明します。

「スクリプトの要件と制限」

「スクリプトの作成、テスト、および展開」

「スクリプトに関する AnyConnect プロファイルの設定」

「スクリプトのトラブルシューティング」

スクリプトの要件と制限

AnyConnect では、最大 1 つの OnConnect スクリプトと最大 1 つの OnDisconnect スクリプトが実行されます。ただし、これらのスクリプトからは別のスクリプトを起動することはできます。

クライアントでは、スクリプトを特定の言語で作成する必要はありません。ただし、スクリプトを実行可能なアプリケーションが、クライアント コンピュータにインストールされている必要があります。クライアントでスクリプトを起動するためには、このスクリプトがコマンドラインから実行可能であることが必要です。

AnyConnect がサポートするすべての Microsoft Windows プラットフォーム、Mac OS X プラットフォーム、および Linux プラットフォームで、スクリプトの起動がサポートされます。

Microsoft Windows 上の AnyConnect では、ユーザが Windows にログインして VPN セッションを確立した後でないと、スクリプトを起動できません。そのため、ユーザのセキュリティ環境に伴う制限が、これらのスクリプトに適用されます。スクリプトが実行できる機能は、ユーザが起動権限を持つ機能に限られます。AnyConnect は、Windows でスクリプトを実行中は CMD ウィンドウを非表示にします。したがって、テストの目的で、.bat ファイル内のメッセージを表示するスクリプトを実行しても機能しません。

AnyConnect は、WebLaunch の起動中およびスタンドアロン起動中でのスクリプトの起動をサポートしています。

デフォルトでは、クライアントによってスクリプトが起動することはありません。AnyConnect プロファイルの EnableScripting パラメータを使用して、スクリプトを有効にしてください。これにより、クライアントではスクリプトが存在する必要がなくなります。

クライアント GUI を終了しても、必ずしも VPN セッションは終了しません。OnDisconnect スクリプトは、セッションが終了した後で実行されます。

その他の要件は、次項で説明した内容に従って適用されます。

スクリプトの作成、テスト、および展開

AnyConnect スクリプトを展開する手順は次のとおりです。


ステップ 1 AnyConnect が起動したスクリプトが実行されるオペレーティング システムのタイプに基づいて、スクリプトの作成とテストを行います。


) Microsoft Windows コンピュータで作成されたスクリプトの行末コードは、Mac OS および Linux で作成されたスクリプトの行末コードとは異なります。そのため、ターゲットのオペレーティング システムでスクリプトを作成し、テストする必要があります。ネイティブ オペレーティング システムのコマンドラインからスクリプトを正しく実行できない場合は、AnyConnect でも正しく実行できません。


ステップ 2 次のいずれかを実行して、スクリプトを展開します。

ASDM を使用して、スクリプトをバイナリ ファイルとしてASAにインポートします。[Network (Client) Access] > [AnyConnect Customization/Localization] > [Script] を選択します。

ASDM バージョン 6.3 以降を使用している場合、ASA では、ファイルをスクリプトとして識別できるように、プレフィクス scripts_ とプレフィクス OnConnect または OnDisconnect がユーザのファイル名に追加されます。クライアントが接続すると、セキュリティ アプライアンスは、リモート コンピュータ上の適切なターゲット ディレクトリにスクリプトをダウンロードし、scripts_ プレフィクスを削除し、OnConnect プレフィクスまたは OnDisconnect プレフィクスをそのまま残します。たとえば、myscript.bat スクリプトをインポートする場合、スクリプトは、セキュリティ アプライアンス上では scripts_OnConnect_myscript.batとなります。リモート コンピュータ上では、スクリプトは OnConnect_myscript.bat となります。

6.3 よりも前の ASDM バージョンを使用している場合には、次のプレフィクスでスクリプトをインポートする必要があります。

scripts_OnConnect

scripts_OnDisconnect

スクリプトの実行の信頼性を確保するために、すべての ASA で同じスクリプトを展開するように設定します。スクリプトを修正または置換する場合は、旧バージョンと同じ名前を使用し、ユーザが接続する可能性のあるすべての ASA に置換スクリプトを割り当てます。ユーザが接続すると、新しいスクリプトにより同じ名前のスクリプトが上書きされます。

ただし、企業のソフトウェア展開システムを使用して、スクリプトを実行する VPN エンドポイントにスクリプトを手動で展開することもできます。

この方式を使用する場合は、次のファイル名プレフィクスを使用します。

OnConnect

OnDisconnect

表 3-8 に示すディレクトリに、スクリプトをインストールします。

 

表 3-8 スクリプトの所定の場所

OS
ディレクトリ

Microsoft Windows 7 および Microsoft Vista

%ALLUSERSPROFILE%¥Cisco¥Cisco AnyConnect VPN Client¥Script

Microsoft Windows XP

%ALLUSERSPROFILE%¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥
Script

Linux

(Linux では、User、Group、Other にファイルの実行権限を割り当てます)

/opt/cisco/vpn/script

Mac OS X

/opt/cisco/vpn/script


 

スクリプトに関する AnyConnect プロファイルの設定

クライアント プロファイルでスクリプトを有効にする手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 ナビゲーション ペインで [Preferences (Cont)] を選択します。

ステップ 3 [Enable Scripting] をオンにします。クライアントでは、VPN 接続の接続時または接続解除時にスクリプトが起動します。

ステップ 4 [User Controllable] をオンにして、On Connect スクリプトおよび OnDisconnect スクリプトの実行をユーザが有効または無効にすることができるようにします。

ステップ 5 [Terminate Script On Next Event] をオンにして、スクリプト処理可能な別のイベントへの移行が発生した場合に、実行中のスクリプト プロセスをクライアントが終了できるようにします。たとえば、VPN セッションが終了すると、クライアントでは実行中の OnConnect スクリプトが終了し、AnyConnect で新しい VPN セッションが開始すると、実行中の OnDisconnect スクリプトが終了します。Microsoft Windows 上のクライアントでは OnConnect スクリプトまたは OnDisconnect スクリプトによって起動した任意のスクリプト、およびその従属スクリプトもすべて終了します。Mac OS および Linux 上のクライアントでは、OnConnect スクリプトまたは OnDisconnect スクリプトのみ終了し、子スクリプトは終了しません。

ステップ 6 [Enable Post SBL On Connect Script] をオンにして(デフォルトでオン)、SBL で VPN セッションが確立された場合にクライアントにより OnConnect スクリプトが(存在すれば)起動するようにします。

 


) 必ずクライアント プロファイルを ASA のグループ ポリシーに追加し、それを VPN エンドポイントにダウンロードしてください。


スクリプトのトラブルシューティング

スクリプトの実行に失敗した場合は、次のようにして問題を解決してください。


ステップ 1 スクリプトに、 OnConnect または OnDisconnect のプレフィクス名が付いていることを確認します。 表 3-8 には、各オペレーティング システムの所定のスクリプト ディレクトリが記載されています。

ステップ 2 スクリプトをコマンドラインから実行してみます。コマンドラインから実行できないスクリプトは、クライアントでも実行できません。コマンドラインでスクリプトの実行に失敗する場合は、スクリプトを実行するアプリケーションがインストールされていることを確認し、そのオペレーティング システムでスクリプトを作成し直してください。

ステップ 3 VPN エンドポイントのスクリプト ディレクトリ内に OnConnect スクリプトと OnDisconnect スクリプトがそれぞれ 1 つだけ存在することを確認します。最初の ASA で OnConnect スクリプトがダウンロードされ、その後の接続で次の ASA により別のファイル名拡張子を持つ OnConnect スクリプトがダウンロードされる、クライアントでは不要なスクリプトが実行される可能性があります。スクリプト パスに複数の OnConnect スクリプトまたは OnDisconnect スクリプトが含まれており、かつスクリプトの展開に ASA を使用している場合は、スクリプト ディレクトリ内のファイルを削除し、VPN セッションを再確立します。スクリプト パスに複数の OnConnect スクリプトまたは OnDisconnect スクリプトが含まれており、かつ手動展開を使用している場合は、不要なスクリプトを削除し、AnyConnect VPN セッションを再確立します。

ステップ 4 オペレーティング システムが Linux の場合は、スクリプト ファイルに実行権限が設定されていることを確認します。

ステップ 5 クライアント プロファイルでスクリプトが有効になっていることを確認します。


 

認証タイムアウト コントロール

デフォルトでは、AnyConnect は接続試行を終了するまでに、セキュア ゲートウェイからの認証を最大 12 秒間待ちます。その時間が経過すると、認証がタイムアウトになったことを示すメッセージが表示されます。AnyConnect Release 2.5.1025 以降では、このタイマーの値を変更することができます。

認証タイムアウト コントロールに関する要件

AnyConnect は、 AnyConnect がサポートしているすべての OS 上でこの機能をサポートしています。

この機能をサポートするためには、AnyConnect Essentials ライセンスまたは AnyConnect Premium SSL VPN Edition ライセンスのどちらかが必要です。

認証タイムアウトの設定

AnyConnect が接続の試行を終了しないでセキュア ゲートウェイでの認証を待機している秒数を変更する手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 ナビゲーション ペインで [Preferences (cont)] を選択します。

ステップ 3 [Authentication Timeout Values] テキスト ボックスに 10 ~ 120 の範囲で秒数を入力します。


 

プロキシ サポート

ここでは、プロキシ サポート拡張機能の使用方法について説明します。

ブラウザのプロキシ設定を無視するためのクライアントの設定

AnyConnect プロファイルでは、ユーザの PC 上で Microsoft Internet Explorer のプロキシ設定が無視されるようにポリシーを指定できます。これは、プロキシ設定によってユーザが企業ネットワークの外部からトンネルを確立できない場合に役立ちます。


) 常時接続機能が有効な場合、プロキシ経由の接続はサポートされません。そのため、常時接続を有効にした場合は、プロキシ設定を無視するようにクライアントを設定する必要はありません。


AnyConnect で Internet Explorer のプロキシ設定が無視されるようにする手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Preferences (Cont)] ペインに移動します。

ステップ 3 [Proxy Settings] ドロップダウン リストで、[Ignore Proxy] を選択します。


 


) AnyConnect は現在、[Ignore Proxy] 設定のみサポートしています。[Native] および [Override] はサポートしていません。


プライベート プロキシ

トンネルを確立した後、グループ ポリシー内に設定されたプライベート プロキシ設定をブラウザにダウンロードするように、グループ ポリシーを設定できます。VPN セッションが終了すると、設定は元の状態に復元されます。

プライベート プロキシの要件

AnyConnect Essentials ライセンスは、この機能の最小 ASA ライセンス アクティブ化要件です。

AnyConnect は、以下が動作するコンピュータ上でこの機能をサポートします。

Windows 上の Internet Explorer

Mac OS 上の Safari

グループ ポリシーを設定してプライベート プロキシをダウンロード

プロキシ設定を設定するには、セキュリティ アプライアンスで ASDM セッションを確立し、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add] または [Edit] > [Advanced] > [Browser Proxy] の順に選択します。6.3(1) より前の ASDM バージョンでは、このオプションは [IE Browser Proxy] として表示されます。しかし、現在 AnyConnect は、使用する ASDM バージョンに関係なく、プライベート プロキシの設定を Internet Explorer に限定していません。

プロキシを使用しないパラメータがイネーブルの場合、セッションの間、ブラウザからプロキシ設定が削除されます。

Internet Explorer の [Connections] タブのロック

ある条件下では、AnyConnect によって Internet Explorer の [Tools] > [Internet Options] > [Connections] タブが非表示にされます。このタブが表示されている場合、ユーザはプロキシ情報を設定できます。このタブを非表示にすると、ユーザが意図的または偶発的にトンネルを迂回することを防止できます。タブのロックは接続解除すると反転され、このタブに関する管理者定義のポリシーの方が優先されます。このロックは、次のいずれかの条件で行われます。

ASA の設定で、プライベート側プロキシが指定されている。

AnyConnect が、Internet Explorer で定義されたパブリック側プロキシを使用してトンネルを確立する。この場合は、ASA のスプリット トンネリング ポリシーが [Tunnel All Networks] に設定されている必要があります。

クライアントレス サポートのためのプロキシ自動設定ファイルの生成

一部のバージョンの ASA では、AnyConnect セッションが確立された後も、プロキシ サーバを経由するクライアントレス ポータル アクセスを許可するために追加の AnyConnect 設定が必要です。AnyConnect では、この設定が行われるように、プロキシ自動設定(PAC)ファイルを使用してクライアント側プロキシ設定が修正されます。AnyConnect でこのファイルが生成されるのは、ASA でプライベート側プロキシ設定が指定されていない場合のみです。

Windows RDP セッションによる VPN セッションの起動

ユーザが、Cisco AnyConnect Secure Mobility Clientを実行しているコンピュータに Windows リモート デスクトップ(RDP)を使用してログインし、セキュア ゲートウェイへの VPN 接続を RDP セッションから作成できるようにすることが可能です。この機能が正しく動作するには、スプリット トンネリング VPN 設定が必要です。

デフォルトでは、他のローカル ユーザがログインしていない場合に限り、ローカルにログインしたユーザが VPN 接続を確立できます。ユーザがログアウトすると VPN 接続は終了し、VPN 接続中に別のローカル ログインが行われると接続は切断されます。VPN 接続中のリモート ログインおよびログアウトは制限されません。


) この機能を使用すると、AnyConnect では、VPN 接続を確立したユーザがログオフした時点でその VPN 接続が解除されます。接続がリモート ユーザによって確立された場合は、そのリモート ユーザがログオフした時点で VPN 接続は終了します。


[Windows Logon Enforcement] に対しては次の設定を使用できます。

[Single Local Logon]:VPN 接続全体で、ログインできるローカル ユーザは 1 人だけです。この設定では、ローカル ユーザは 1 人以上のリモート ユーザがクライアント PC にログインしている場合でも VPN 接続を確立できますが、VPN 接続が排他的トンネリング用に設定されている場合は、VPN 接続のクライアント PC ルーティング テーブルが変更されるため、リモート ログインは接続解除されます。VPN 接続がスプリット トンネリング用に設定されている場合、リモート ログインが接続解除されるかどうかは、VPN 接続のルーティング設定によって決まります。SingleLocalLogin 設定は、VPN 接続を介した企業ネットワークからのリモート ユーザ ログインに対しては影響を与えません。

[SingleLogon]:VPN 接続の全体で、ログインできるユーザは 1 人だけです。VPN 接続の確立時に、ローカルまたはリモートで複数のユーザがログインしている場合、接続は許可されません。VPN 接続中にローカルまたはリモートで第 2 のユーザがログインすると、その VPN 接続は終了します。


) SingleLogon 設定を選択した場合、VPN 接続中の追加のログインは許可されません。そのため、VPN 接続によるリモート ログインは行えません。


クライアント プロファイルの [Windows VPN Establishment] の設定では、AnyConnect が実行されているコンピュータにリモート ログインしたユーザが VPN 接続を確立する場合のクライアントの動作が指定されます。次の値が可能です。

[Local Users Only]:リモート ログインしたユーザは、VPN 接続を確立できません。AnyConnect クライアント バージョン 2.3 以前の動作はこの方式でした。

[Allow Remote Users]:リモート ユーザは VPN 接続を確立できます。ただし、設定された VPN 接続ルーティングによってリモート ユーザが接続解除された場合は、リモート ユーザがクライアント コンピュータに再アクセスできるように VPN 接続が終了します。リモート ユーザが VPN セッションを終了せずに RDP セッションを接続解除するには、VPN を確立した後、90 秒間待つ必要があります。


) 現在 Vista では、Start Before Logon(SBL)中にプロファイルの [Windows VPN Establishment] 設定が適用されることはありません。AnyConnect では、VPN 接続を確立したのがログイン前のリモート ユーザかどうかの判定は行われません。そのため、[Windows VPN Establishment] の設定が [Local Users Only] でも、リモート ユーザが SBL を介して VPN 接続を確立することは可能です。


Windows RDP セッションから AnyConnect セッションを有効にする手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Preferences] ペインに移動します。

ステップ 3 Windows ログイン実行方式を選択します。

[Single Local Logon]:VPN 接続全体で、ログインできるローカル ユーザは 1 人だけです。

[Single Logon]:VPN 接続全体で、ログインできるユーザは 1 人だけです。

ステップ 4 リモート ログインしたユーザが VPN 接続を確立する場合のクライアントの動作を指定する Windows ログイン実行方式を選択します。

[Local Users Only]:リモート ログインしたユーザは、VPN 接続を確立できません。

[Allow Remote Users]:リモート ユーザは VPN 接続を確立できます。


) 現在 Vista では、Start Before Logon(SBL)中にプロファイルの [Windows VPN Establishment] 設定が適用されることはありません。



 

L2TP または PPTP を介した AnyConnect

一部の国の ISP では、L2TP トンネリング プロトコルおよび PPTP トンネリング プロトコルのサポートが必要です。

セキュア ゲートウェイを宛先としたトラフィックを PPP 接続上で送信する場合、AnyConnect では外部トンネルが生成したポイントツーポイント アダプタが使用されます。PPP 接続上で VPN トンネルを確立する場合、クライアントでは ASA より先を宛先としてトンネリングされたトラフィックから、この ASA を宛先とするトラフィックが除外される必要があります。除外ルートを特定するかどうかや、除外ルートを特定する方法を指定する場合は、AnyConnect プロファイルの [PPP Exclusion] 設定を使用します。除外ルートは、セキュアでないルートとして AnyConnect GUI の [Route Details] 画面に表示されます。

ここでは、PPP 除外の設定方法について説明します。

L2TP または PPTP を介した AnyConnect の設定

ユーザによる PPP 除外の上書き

L2TP または PPTP を介した AnyConnect の設定

デフォルトでは、[PPP Exclusion] は無効です。プロファイルで PPP 除外を有効にする手順は次のとおりです。


ステップ 1 ASDM からプロファイル エディタを起動します(「AnyConnect プロファイルの作成および編集」を参照)。

ステップ 2 [Preferences (Cont)] ペインに移動します。

ステップ 3 [PPP Exclusion] でその方式を選択します。このフィールドで [User Controllable] をオンにすると、ユーザには次の設定が表示され、ユーザはそれらを変更することができます。

[Automatic]:PPP 除外を有効にします。AnyConnect では自動的に、PPP サーバの IP アドレスが使用されます。この値は、自動検出による IP アドレスの取得に失敗すした場合にのみ変更するよう、ユーザに指示してください。

[Override]:同様に PPP 除外を有効にします。自動検出で PPP サーバの IP アドレスを取得できず、PPPExclusion の UserControllable 値が true である場合は、次項の説明に従ってこの設定を使用するよう、ユーザに指示してください。

[Disabled]:PPP 除外は適用されません。

ステップ 4 [PPP Exclusion Server IP] フィールドに、PPP 除外に使用されるセキュリティ ゲートウェイの IP アドレスを入力します。このフィールドで [User Controllable] をオンにすると、ユーザにこの IP アドレスが表示され、ユーザをそれを変更することができます。


 

ユーザによる PPP 除外の上書き

自動検出が機能しない場合に、PPP 除外をユーザ設定可能に設定すると、ユーザはローカル コンピュータ上で AnyConnect プリファレンス ファイルを編集することにより、これらの設定を上書きすることができます。次の手順では、その方法について説明します。


ステップ 1 メモ帳などのエディタを使用して、プリファレンス XML ファイルを開きます。

このファイルは、ユーザのコンピュータ上で次のいずれかのパスにあります。

Windows:%LOCAL_APPDATA%¥Cisco¥Cisco AnyConnect VPN Client¥preferences.xml 次に例を示します。

Windows Vista:C:¥Users¥username¥AppData¥Local¥Cisco¥Cisco AnyConnect VPN Client¥preferences.xml

Windows XP:C:¥Documents and Settings¥username¥Local Settings¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥preferences.xml

Mac OS X:/Users/username/.anyconnect

Linux:/home/username/.anyconnect

ステップ 2 PPPExclusion の詳細を <ControllablePreferences> の下に挿入して、Override 値と PPP サーバの IP アドレスを指定します。アドレスは、完全な形式の IPv4 アドレスにする必要があります。次に例を示します。

<AnyConnectPreferences>
<ControllablePreferences>
<PPPExclusion>Override
<PPPExclusionServerIP>192.168.22.44</PPPExclusionServerIP></PPPExclusion>
</ControllablePreferences>
</AnyConnectPreferences>
 

ステップ 3 ファイルを保存します。

ステップ 4 AnyConnect を終了し、リスタートします。


 

AnyConnect プロファイル エディタのパラメータに関する詳細

ここでは、プロファイル エディタのさまざまなペインに表示されるすべての設定について説明します。

Anyconnect プロファイル エディタの [Preferences]

[Use Start Before Logon](Windows のみ):Windows のログイン ダイアログボックスが表示される前に AnyConnect を開始することにより、ユーザを Windows へのログイン前に VPN 接続を介して企業インフラへ強制的に接続させます。認証後、ログイン ダイアログボックスが表示され、ユーザは通常どおりログインします。SBL では、ログイン スクリプト、パスワードのキャッシュ、ネットワーク ドライブからローカル ドライブへのマッピングなどの使用を制御できます。

[Show Pre-connect Message]:初めて接続を試行するユーザに対してメッセージを表示します。たとえば、スマートカードをリーダーに必ず挿入するようユーザに知らせることもできます。

[Certificate Store]:AnyConnect がどの証明書ストアで証明書を検索するかを制御します。Windows では、ローカル マシン用の証明書ストアと現在のユーザ用の証明書ストアが別々に用意されます。コンピュータ上で管理者権限を持つユーザは、両方の証明書ストアにアクセスできます。ほとんどの場合、デフォルト設定(All)が適しています。変更が必要となる特別な理由またはシナリオ要件がある場合を除いて、この設定は変更しないでください。

[All]:(デフォルト)すべての証明書を受け入れ可能です。

[Machine]:マシン証明書(コンピュータで識別された証明書)を使用します。

[User]:ユーザ生成の証明書を使用します。

[Certificate Store Override]:Windows のマシン証明書ストアで証明書を検索するよう AnyConnect を設定することができます。これは、証明書がこのストアにあり、ユーザにマシンの管理者権限がない場合に役立ちます。

[Auto Connect On Start]:AnyConnect の起動時に、AnyConnect プロファイルで指定されたセキュア ゲートウェイまたはクライアントが最後に接続していたゲートウェイとの VPN 接続が自動的に確立されます。

[Minimize On Connect]:VPN 接続の確立後、AnyConnect GUI が最小化されます。

[Local LAN Access]:ASA への VPN セッション中にリモート コンピュータへ接続したローカル LAN に対してユーザが無制限にアクセスできるようになります。


) [Local LAN Access] を有効にすると、パブリック ネットワークからユーザ コンピュータを経由して、企業ネットワークにセキュリティの脆弱性が生じる可能性があります。代替手段として、セキュリティ アプライアンス(バージョン 8.3(1) 以降)で、新しい AnyConnect クライアント ローカル印刷ファイアウォール ルールを使用した SSL クライアント ファイアウォールを展開するように設定することもできます(クライアント プロファイルの [Always-on VPN] セクションで [Apply last local VPN resource rules] を有効にします)。


[Auto Reconnect]:接続が解除された場合、AnyConnect により VPN 接続の再確立が試行されます(デフォルトで有効)。[Auto Reconnect] を有効にすると、接続解除の原因にかかわらず、再接続は試行されません。

自動再接続の動作は次のとおりです。

[DisconnectOnSuspend](デフォルト):AnyConnect では、システムの一時停止時に VPN セッションに割り当てられたリソースが解放され、システムのレジューム後も再接続は試行されません。

[ReconnectAfterResume]:接続が解除された場合、AnyConnect により VPN 接続の再確立が試行されます。


) AnyConnect 2.3 よりも前までは、システムの一時停止に対するデフォルトの動作として、VPN セッションに割り当てられたリソースを保持し、システムのレジューム後に VPN 接続を再確立していました。この動作を維持する場合は、自動再接続の動作として ReconnectAfterResume を選択します。


[Auto Update]:クライアントの自動更新を無効にします。

[RSA Secure ID Integration](Windows only):ユーザが RSA とどのようにインタラクトするかを制御します。デフォルトでは、AnyConnect により RSA インタラクションの適切な方式が指定されます(自動設定)。

[Automatic]:ソフトウェア トークンおよびハードウェア トークンが許可されます。

[Software Token]:ソフトウェア トークンのみ許可されます。

[Hardware Token]:ハードウェア トークンのみ許可されます。

[Windows Logon Enforcement]:Remote Desktop Protocol(RDP)セッションから VPN セッションを確立できるようになります(スプリット トンネリング VPN 設定が必要です)。VPN 接続を確立したユーザがログオフすると、その VPN 接続は AnyConnect により解除されます。接続がリモート ユーザによって確立されていた場合、そのリモート ユーザがログオフすると、VPN 接続は終了します。

[Single Local Logon]:VPN 接続全体で、ログインできるローカル ユーザは 1 人だけです。クライアント PC に複数のリモート ユーザがログインしている場合でも、ローカル ユーザが VPN 接続を確立することはできます。

[Single Logon]:VPN 接続全体で、ログインできるユーザは 1 人だけです。VPN 接続の確立時に、ローカルまたはリモートで複数のユーザがログインしている場合、接続は許可されません。VPN 接続中にローカルまたはリモートで第 2 のユーザがログインすると、VPN 接続が終了します。VPN 接続中の追加のログインは許可されません。そのため、VPN 接続によるリモート ログインは行えません。

[Windows VPN Establishment]:クライアント PC にリモート ログインしたユーザが VPN 接続を確立した場合の AnyConnect の動作を決定します。次の値が可能です。

[Local Users Only]:リモート ログインしたユーザは、VPN 接続を確立できません。これは、以前のバージョンの AnyConnect と同じ機能です。

[Allow Remote Users]:リモート ユーザは VPN 接続を確立できます。ただし、設定された VPN 接続ルーティングによってリモート ユーザが接続解除された場合は、リモート ユーザがクライアント PC に再アクセスできるように、VPN 接続が終了します。リモート ユーザが VPN 接続を終了せずにリモート ログイン セッションを接続解除するには、VPN を確立した後、90 秒間待つ必要があります。


) 現在 Vista では、Start Before Logon(SBL)中にプロファイルの [Windows VPN Establishment] 設定が適用されることはありません。AnyConnect では、VPN 接続を確立したのがログイン前のリモート ユーザかどうかの判定は行われません。そのため、[Windows VPN Establishment] の設定が [Local Users Only] でも、リモート ユーザが SBL を介して VPN 接続を確立することは可能です。


このペインに表示されるクライアント機能に関するより詳細な設定情報については、次の各項を参照してください。

Start Before Logon: Start Before Logon の設定

Certificate Store および Certificate Override: 証明書ストアの設定

Auto Reconnect:「自動再接続の設定」

Windows Logon Enforcement:「Windows RDP セッションによる VPN セッションの起動」

Anyconnect プロファイル エディタの [Preferences Cont]

[Disable Cert Selection]:クライアントによる自動証明書選択を無効にし、ユーザに対して認証証明書を選択するためのプロンプトを表示します。

[Allow Local Proxy Connections](AnyConnect Release 2.5.1025 以降で使用可能):AnyConnect ではデフォルトで、Windows ユーザがローカル PC 上の透過的または非透過的なプロキシ サービスを介して VPN セッションを確立できます。次に示すのは、透過的なプロキシ サービスを実現する要素の一例です。

一部のワイヤレス データ カードから入手できるアクセラレーション ソフトウェア

一部のアンチウイルス ソフトウェア上のネットワーク コンポーネント

ローカル プロキシ接続のサポートを無効にする場合は、このパラメータをオフにします。

[Proxy Settings]:リモート コンピュータ上の Microsoft Internet Explorer または Mac Safari のプロキシ設定を無視するように、AnyConnect プロファイルでポリシーを指定できます。これは、プロキシ設定によってユーザが企業ネットワークの外部からトンネルを確立できない場合に役立ちます。ASA 上のプロキシ設定と併用します。

[Native](サポートされていません)

[Ignore Proxy]:AnyConnect では、ユーザ コンピュータ上の Microsoft Internet Explorer または Mac Safari のプロキシ設定が無視されます。

[Override](サポートされていません)

[Enable Optimal Gateway Selection]:AnyConnect では、ラウンド トリップ時間(RTT)に基づいて接続または再接続に最適なセキュア ゲートウェイが特定され、それが選択されます。これにより、ユーザが介入することなくインターネット トラフィックの遅延を最小限に抑えることができます。クライアント GUI の [Connection] タブにある [Connect To] ドロップダウン リストには [Automatic Selection] が表示されます。

[Suspension Time Threshold](単位は時間):現在のセキュア ゲートウェイへの接続が解除されてから、別のセキュア ゲートウェイに再接続するまでの経過時間。ユーザが対応するゲートウェイ間の移行が極端に多い場合は、この時間を長くします。

[Performance Improvement Threshold](単位は %):クライアントが別のセキュア ゲートウェイに接続する際の基準となるパフォーマンス向上率。デフォルトは 20 % です。


) AAA が使用されている場合は、別のセキュア ゲートウェイへの移行時にユーザがそれぞれのクレデンシャルを再入力しなければならないことがあります。この問題は、証明書を使用すると解消されます。


[Automatic VPN Policy](Windows および Mac のみ):信頼ネットワーク ポリシーおよび非信頼ネットワーク ポリシーに従って VPN 接続を開始または停止することが必要な状況を自動で管理します。無効の場合、VPN 接続の開始および停止は手動でのみ行うことができます。


) [Automatic VPN Policy] の設定にかかわらず、ユーザは VPN 接続を手動で制御できます。


[Trusted Network Policy]:ユーザが企業ネットワークの中(信頼ネットワーク)に存在する場合、AnyConnect により VPN 接続が自動的に解除されます。

[Disconnect]:信頼ネットワークが検出されると VPN 接続が解除されます。

[Connect]:信頼ネットワークが検出されると VPN 接続が開始されます。

[Pause](AnyConnect Release 2.5.1025 以降で使用可能):ユーザが信頼ネットワークの外で VPN セッションを確立した後で信頼ネットワーク内に移動した場合、AnyConnect ではその VPN セッションを接続解除せず一時的に中断します。ユーザが再び信頼ネットワークの外に出ると、そのセッションは AnyConnect により再開されます。この機能を使用すると、信頼ネットワークの外へ移動した後に新しい VPN セッションを確立する必要がなくなるため、ユーザにとっては有用です。

[Do Nothing]:信頼ネットワークでは動作はありません。[Trusted Network Policy] および [Untrusted Network Policy] を共に [Do Nothing] に設定すると、Trusted Network Detection は無効となります。

[Untrusted Network Policy]:ユーザが企業ネットワークの外(非信頼ネットワーク)に存在する場合、AnyConnect により VPN 接続が自動的に開始されます。この機能を使用すると、ユーザが信頼ネットワークの外にいるときに VPN 接続を開始することによって、セキュリティ意識を高めることができます。

[Connect]:非信頼ネットワークが検出されると VPN 接続が開始されます。

[Do Nothing]:非信頼ネットワークが検出されると VPN 接続が開始されます。このオプションを選択すると、VPN 常時接続は無効となります。[Trusted Network Policy] および [Untrusted Network Policy] を共に [Do Nothing] に設定すると、Trusted Network Detection は無効となります。

[Trusted DNS Domains]:クライアントが信頼ネットワーク内に存在する場合にネットワーク インターフェイスに割り当てることができる DNS サフィックス(カンマ区切りの文字列)。*.cisco.com などがこれに該当します。DNS サフィックスでは、ワイルドカード(*)がサポートされます。

[Trusted DNS Servers]:クライアントが信頼ネットワーク内に存在する場合にネットワーク インターフェイスに割り当てることができる DNS サーバ アドレス(カンマ区切りの文字列)。たとえば 161.44.124.* や 64.102.6.247 などです。DNS サーバ アドレスでは、ワイルドカード(*)がサポートされます。

[Always On]:Windows 7、Windows Vista、Windows XP、Mac OS X 10.5、または Mac OS X 10.6 が実行されているコンピュータにユーザがログインした場合、VPN への接続を AnyConnect で自動的に行うかどうかを指定します。この機能を使用すると、コンピュータが信頼ネットワーク内に存在しない場合にはインターネット リソースへのアクセスを制限することによってセキュリティ上の脅威からコンピュータを保護するという企業ポリシーが適用されます。グループ ポリシーおよびダイナミック アクセス ポリシーで VPN 常時接続パラメータを設定すると、この設定を上書きすることができます。これにより、ポリシーの割り当てに使用される一致基準に従って例外を指定できます。AnyConnect ポリシーでは VPN 常時接続が有効になっているが、ダイナミック アクセス ポリシーまたはグループ ポリシーでは無効になっている場合、各新規セッションの確立に関するダイナミック アクセス ポリシーまたはグループ ポリシーが基準と一致すれば、クライアントでは現在以降の VPN セッションに対して無効の設定が保持されます。

[Allow VPN Disconnect]:AnyConnect で VPN 常時接続セッション用の [Disconnect] ボタンが表示されるようにするかどうかを指定します。VPN 常時接続セッションのユーザは、[Disconnect] をクリックすることが必要になる場合があるため、次のような問題に対処できるよう代替セキュア ゲートウェイを選択することができます。

現在の VPN セッションに関するパフォーマンスの問題。

VPN セッションが中断した後に生じる再接続の問題。


注意 [Disconnect] ボタンをクリックすると、すべてのインターフェイスがロックされます。これにより、データの漏洩を防ぐことができるほか、VPN セッションの確立には必要のないインターネット アクセスからコンピュータを保護することができます。上述した理由により、[Disconnect] ボタンを無効にすると、VPN アクセスが妨害または阻止されることがあります。

この機能の詳細については、「VPN 常時接続用の [Disconnect] ボタン」を参照してください。

[Connect Failure Policy]:AnyConnect が VPN セッションを確立できない場合(ASA が到達不能の場合など)に、コンピュータがインターネットにアクセスできるようにするかどうかを指定します。このパラメータは、VPN 常時接続が有効な場合にのみ適用されます。


注意 AnyConnect が VPN セッションの確立に失敗した場合は、接続障害クローズド ポリシーによりネットワーク アクセスは制限されます。AnyConnect では、キャプティブ ポータルの大半が検出されます。ただし、キャプティブ ポータルを検出できない場合は、接続障害クローズド ポリシーによりネットワーク接続は制限されます。接続障害ポリシーの設定を行う場合は必ず、事前に「VPN 常時接続に関する接続障害ポリシー」を一読してください。

[Closed]:VPN が到達不能の場合にネットワーク アクセスを制限します。この設定の目的は、エンドポイントを保護するプライベート ネットワーク内のリソースが使用できない場合に、企業の資産をネットワークに対する脅威から保護することにあります。

[Open]:VPN が到達不能の場合でもネットワーク アクセスを許可します。

[Allow Captive Portal Remediation]:クライアントによりキャプティブ ポータル(ホットスポット)が検出された場合、クローズ接続障害ポリシーにより適用されるネットワーク アクセスの制限が AnyConnect により解除されます。ホテルや空港では、ユーザが必ずブラウザを開いてインターネット アクセスの許可に必要な条件を満たすことができるようにするため、キャプティブ ポータルを使用するのが一般的です。デフォルトの場合、このパラメータはオフになっており、セキュリティは最高度に設定されます。ただし、クライアントから VPN へ接続する必要があるにもかかわらず、キャプティブ ポータルによりそれが制限されている場合は、このパラメータをオンにする必要があります。

[Remediation Timeout]:Number of minutes AnyConnect によりネットワーク アクセスの制限が解除されるまでの時間(分)。このパラメータは、[Allow Captive Portal Remediation] パラメータがオンになっており、かつクライアントによりキャプティブ ポータルが検出された場合に適用されます。キャプティブ ポータルの要件を満たすことができるだけの十分な時間を指定します(5 分など)。

[Apply Last VPN Local Resource Rules]:VPN が到達不能の場合、クライアントでは ASA から受信した最後のクライアント ファイアウォールが適用されます。この中には、ローカル LAN 上のリソースへのアクセスを許可する ACL が含まれている場合もあります。

[PPP Exclusion]:PPP 接続上で VPN トンネルについて、除外ルートを特定するかどうかや、除外ルートを特定する方法を指定します。これにより、クライアントでは、セキュリティ ゲートウェイよりも先を宛先としてトンネリングされたトラフィックから、このセキュリティ ゲートウェイを宛先とするトラフィックを除外することができます。除外ルートは、セキュアでないルートとして AnyConnect GUI の [Route Details] 画面に表示されます。この機能をユーザ設定可能にした場合、ユーザは PPP 除外設定の読み取りや変更を行うことができます。

[Automatic]:PPP 除外を有効にします。AnyConnect では自動的に、PPP サーバの IP アドレスが使用されます。この値は、自動検出による IP アドレスの取得に失敗すした場合にのみ変更するよう、ユーザに指示してください。

[Disabled]:PPP 除外は適用されません。

[Override]:同様に PPP 除外を有効にします。自動検出で PPP サーバの IP アドレスを取得できず、かつ PPP 除外をユーザ設定可能に設定している場合は、ユーザに対して「ユーザによる PPP 除外の上書き」の説明に従うよう指示してください。

[PPP Exclusion Server IP]:PPP 除外に使用されるセキュリティ ゲートウェイの IP アドレス。

[Enable Scripting]:OnConnect スクリプトおよび OnDisconnect スクリプトがセキュリティ アプライアンスのフラッシュ メモリに存在する場合はそれらを起動します。

[Terminate Script On Next Event]:スクリプト処理可能な別のイベントへの移行が発生した場合に、実行中のスクリプト プロセスを終了します。たとえば、VPN セッションが終了すると、AnyConnect では実行中の OnConnect スクリプトが終了し、クライアントで新しい VPN セッションが開始すると、実行中の OnDisconnect スクリプトが終了します。Microsoft Windows 上のクライアントでは OnConnect スクリプトまたは OnDisconnect スクリプトによって起動した任意のスクリプト、およびその従属スクリプトもすべて終了します。Mac OS および Linux 上のクライアントでは、OnConnect スクリプトまたは OnDisconnect スクリプトのみ終了し、子スクリプトは終了しません。

[Enable Post SBL On Connect Script]:SBL で VPN セッションが確立された場合に OnConnect スクリプトが(存在すれば)起動されるようにします。(VPN エンドポイントで Microsoft Windows 7、Windows XP、または Windows Vista が実行されている場合にのみサポート)。

[Retain VPN On Logoff]:ユーザが Windows OS からログオフした場合に、VPN セッションを維持するかどうかを指定します。

[User Enforcement]:別のユーザがログインした場合に VPN セッションを終了するかどうかを指定します。このパラメータが適用されるのは、[Retain VPN On Logoff] がオンになっており、かつ VPN セッションが確立されている間に元のユーザが Windows からログオフした場合のみです。

[Authentication Timeout Values](AnyConnect Release 2.5.1025 以降で使用可能):デフォルトでは、AnyConnect はセキュア ゲートウェイでの認証を 12 秒間待機し、その後で接続の試行を終了します。その時間が経過すると、認証がタイムアウトになったことを示すメッセージが表示されます。10 ~ 120 の範囲で秒数を入力します。


 

このペインに表示されるクライアント機能に関するより詳細な設定情報については、次の各項を参照してください。

Allow Local Proxy Connections「ローカル プロキシ接続」

Proxy Settings:「ブラウザのプロキシ設定を無視するためのクライアントの設定」

Optimal Gateway Selection:「最適ゲートウェイ選択」

Automatic VPN Policy and Trusted Network Detection:「Trusted Network Detection の設定」

Always-on VPN:「ログイン後の VPN 常時接続」

Connect Failure Policy:「VPN 常時接続に関する接続障害ポリシー」

Allow Captive Portal Remediation「キャプティブ ポータル ホットスポットの検出と修復」

PPP Exclusion:「L2TP または PPTP を介した AnyConnect」

Authentication Timeout Values「認証タイムアウト コントロール」

AnyConnect プロファイル エディタの [Backup Servers]

ユーザが選択したサーバで障害が発生した場合にクライアントが使用するバックアップ サーバのリストを設定できます。ユーザが選択したサーバで障害が発生した場合、クライアントではまずリストの先頭にあるサーバに対して接続が試行され、必要に応じてリストを下方向へ移動します。

[Host Address]:バックアップ サーバ リストに表示する IP アドレスまたは完全修飾ドメイン名(FQDN)を指定します。

[Add]:バックアップ サーバ リストにホスト アドレスを追加します。

[Move Up]:選択したバックアップ サーバをリストの上方向に移動します。ユーザが選択したサーバで障害が発生した場合、クライアントではまずリストの先頭にあるバックアップ サーバに対して接続が試行され、必要に応じてリストを下方向へ移動します。

[Move Down]:選択したバックアップ サーバをリストの下方向に移動します。

[Delete]:サーバ リストからバックアップ サーバを削除します。

バックアップ サーバの設定に関する詳細については、「バックアップ サーバ リストの設定」を参照してください。

AnyConnect プロファイル エディタの [Certificate Matching]

このペインでは、クライアントによる自動証明書選択の詳細設定に使用できるさまざまな属性の定義を有効にします。

[Key Usage]:受け入れ可能なクライアント証明書を選択する場合は、次のような証明書キー属性を使用できます。

Decipher_Only:データを復号化します。他のビットは設定されません(Key_Agreement は除く)。

Encipher_Only:データを暗号化します。他のビットは設定されません(Key_Agreement は除く)。

CRL_Sign:CRL の CA 署名を確認します。

Key_Cert_Sign:証明書の CA 署名を確認します。

Key_Agreement:キー共有。

Data_Encipherment:Key_Encipherment 以外のデータを暗号化します。

Key_Encipherment:キーを暗号化します。

Non_Repudiation:一部の処理を誤って拒否しないように、Key_Cert_sign および CRL_Sign 以外のデジタル署名を確認します。

Digital_Signature:Non_Repudiation、Key_Cert_Sign、および CRL_Sign 以外のデジタル署名を確認します。

[Extended Key Usage]:[Extended Key Usage] では次の設定を使用できます。OID は丸カッコ内に記載してあります。

ServerAuth(1.3.6.1.5.5.7.3.1)

ClientAuth(1.3.6.1.5.5.7.3.2)

CodeSign(1.3.6.1.5.5.7.3.3)

EmailProtect(1.3.6.1.5.5.7.3.4)

IPSecEndSystem(1.3.6.1.5.5.7.3.5)

IPSecTunnel(1.3.6.1.5.5.7.3.6)

IPSecUser(1.3.6.1.5.5.7.3.7)

TimeStamp(1.3.6.1.5.5.7.3.8)

OCSPSign(1.3.6.1.5.5.7.3.9)

DVCS(1.3.6.1.5.5.7.3.10)

[Custom Extended Match Key (Max 10)]:カスタム拡張照合キー(もしあれば)を指定します(最大 10 個)証明書は入力したすべての指定キーに一致する必要があります。キーは OID 形式で入力してください(1.3.6.1.5.5.7.3.11 など)。

[Distinguished Name (Max 10)]:受け入れ可能なクライアント証明書を選択する際に完全一致基準として使用する識別名(DN)を指定します。

[Name]:照合に使用する識別名(DN)。

CN:サブジェクトの一般名

C:サブジェクトの国

DC:ドメイン コンポーネント

DNQ:サブジェクトの DN 修飾子

EA:サブジェクトの電子メール アドレス

GENQ:サブジェクトの GEN 修飾子

GN:サブジェクトの名

I:サブジェクトのイニシャル

L:サブジェクトの都市

N:サブジェクトの非構造体名

O:サブジェクトの会社

OU:サブジェクトの部署

SN:サブジェクトの姓

SP:サブジェクトの州

ST:サブジェクトの州

T:サブジェクトの敬称

ISSUER-CN:発行元の一般名

ISSUER-DC:発行元のコンポーネント

ISSUER-SN:発行元の姓

ISSUER-GN:発行元の名

ISSUER-N:発行元の非構造体名

ISSUER-I:発行元のイニシャル

ISSUER-GENQ:発行元の GEN 修飾子

ISSUER-DNQ:発行元の DN 修飾子

ISSUER-C:発行元の国

ISSUER-L:発行元の都市

ISSUER-SP:発行元の州

ISSUER-ST:発行元の州

ISSUER-O:発行元の会社

ISSUER-OU:発行元の部署

ISSUER-T:発行元の敬称

ISSUER-EA:発行元の電子メール アドレス

[Pattern]:照合に使用する文字列。照合するパターンには、目的の文字列部分のみ含まれている必要があります。パターン照合構文や正規表現構文を入力する必要はありません。入力した場合、その構文は検索対象の文字列の一部と見なされます。

abc.cisco.com という文字列を例とした場合、cisco.com で照合するためには、入力するパターンを cisco.com とする必要があります。

[Wildcard]:有効にすると、ワイルドカード パターン照合を使用することができます。ワイルドカードが有効であれば、パターンは文字列内のどの場所でも使用できます。

[Operator]:照合を実行する際に使用する演算子。

[Equal]:== と同等

[Not Equal]:!= と同等

[Match Case]:有効にすると、パターンに適用するパターン照合で大文字と小文字が区別されます。

オン:大文字と小文字を区別したパターン照合を実行します。

オフ:大文字と小文字を区別しないパターン照合を実行します。

証明書の照合に関するより詳細な設定情報については、「証明書照合の設定」を参照してください。

AnyConnect プロファイル エディタの [Certificate Enrollment]

このペインでは、証明書登録の設定を行います。

[Certificate Enrollment]:AnyConnect で、クライアント認証に使用する証明書のプロビジョニングおよび更新を行う場合に、Simple Certificate Enrollment Protocol(SCEP)を使用できるようにします。クライアントから証明書要求が送信されると、その要求は認証局(CA)により自動的に承諾または拒否されます。


) SCEP プロトコルを使用すると、クライアントが証明書を要求した後、その応答を受信するまで CA にポーリングすることもできます。ただしこのポーリング方式は、このリリースではサポートされていません。


 

[Certificate Expiration Threshold]:AnyConnect がユーザに対して証明書の失効が近づいていることを証明書の有効期限の何日前に警告するか(SCEP が有効な場合はサポートされません)。デフォルトは 0(警告は表示しない)です。値の範囲は 0 ~ 180 日です。

[Automatic SCEP Host]:SCEP 証明書取得が設定されている ASA のホスト名および接続プロファイル(トンネル グループ)を指定します。ASA の完全修飾ドメイン名(FQDN)または接続プロファイル名を入力してください(ホスト名 asa.cisco.com、接続プロファイル名 scep_eng など)。

[CA URL]:SCEP CA サーバを指定します。CA サーバの FQDN または IP アドレスを入力してください(http://ca01.cisco.com など)。

[Prompt For Challenge PW]:有効にすると、証明書をユーザが手動で要求できるようになります。ユーザが [Get Certificate] をクリックすると、クライアントではユーザに対してユーザ名および 1 回限定利用のパスワードに関するプロンプトが表示されます。

[Thumbprint]:CA の証明書サムプリント。SHA1 ハッシュまたは MD5 ハッシュを使用します


) CA URL およびサムプリントを用意することができるのは CA サーバ管理者です。サムプリントは、発行した証明書の「fingerprint」属性フィールドや「thumbprint」属性フィールドではなく、サーバから直接取得する必要があります。


[Certificate Contents]:証明書の内容をクライアントが要求する方法を定義します。

Name (CN):証明書での一般名。

Department (OU):証明書に指定されている部署名。

Company (O):証明書に指定されている会社名。

State (ST):証明書に指定されている州 ID。

State (SP):別の州 ID。

Country (C):証明書に指定されている国 ID。

Email (EA):電子メール アドレス。次の例では、[Email (EA)] は %USER%@cisco.com です。%USER% は、ユーザの ASA ユーザ名ログイン クレデンシャルに対応します。

Domain (DC):ドメイン コンポーネント。次の例では、[Domain (DC)] は cisco.com に設定されています。

SurName (SN):姓または名。

GivenName (GN):通常は名。

UnstructName (N):定義されていない名前

Initials (I):ユーザのイニシャル。

Qualifier (GEN):ユーザの世代修飾子(「Jr.」、「III.」など)。

Qualifier (DN):完全 DN の修飾子。

City (L):都市 ID。

Title (T):個人の敬称(Ms.、Mrs.、Mr. など)。

CA Domain:SCEP 登録に使用されます。通常は CA ドメイン。

Key size:登録する証明書用に生成された RSA キーのサイズ。

[Display Get Cert Button]:有効にすると、AnyConnect GUI に [Get Certificate] ボタンが表示されます。デフォルトでは、ユーザに対して [Enroll] ボタンが表示されるほか、AnyConnect が認証局へ証明書登録を要求していることを知らせるメッセージが表示されます。[Get Certificate] を表示することで、ユーザは AnyConnect インターフェイスを操作する際に、その操作内容をより明確に理解することができます。

証明書失効しきい値により定義された期間内に証明書が失効するよう設定されている場合に、証明書が失効するか、または証明書が存在しないと、ユーザに対してこのボタンが表示されます。


) 認証証明書のプロビジョニングまたは更新をユーザが手動で要求できるようにする場合は、[Display Get Cert Button] を有効にします。通常これらのユーザは、あらかじめ VPN トンネルを作成することなく認証局にアクセスできます。そうでない場合は、この機能を有効にしないでください。


[Certificate Enrollment] に関するより詳細な設定情報については、「SCEP による認証登録の設定」を参照してください。

AnyConnect プロファイル エディタの [Mobile Policy]

このペインでは、Windows Mobile 上で実行中の AnyConnect で使用するパラメータを設定します。

[Device Lock Required]:VPN 接続を確立する前に Windows Mobile デバイスに対してパスワードまたは PIN を設定する必要があります。これが適用されるのは、Microsoft Local Authentication Plug-ins(LAPs)を使用する Windows Mobile デバイスのみです。

[Maximum Timeout Minutes]:デバイス ロックが有効になるまでの最長時間(単位は分)。設定は必須です。

[Minimum Password Length]:デバイス ロック用のパスワードまたは PIN に必要な最低文字数を指定します。

[Password Complexity]:必要なデバイス ロックのパスワードに対して複雑度を指定します。

[alpha]:英数字のパスワードであることが必要。

[pin]:数字の PIN であることが必要。

[strong]:7 文字以上で構成され、うち最低 3 文字は大文字、小文字、数字、句読記号のいずれかである強度の高い英数字のパスワードであることが必要。

[Mobile Policy] に関するより詳細な設定情報については、「Windows Mobile ポリシーの設定」を参照してください。

AnyConnect プロファイル エディタの [Server List]

クライアント GUI に表示されるサーバ リストの設定を行うことができます。ユーザは、VPN 接続を確立する際、このリストでサーバを選択することができます。

[Server List] テーブルの列は次のとおりです。

[Hostname]:ホスト、IP アドレス、または完全修飾ドメイン名(FQDN)を参照する際に使用するエイリアス。

[Host Address]:サーバの IP アドレスまたは FQDN。

[User Group]:[Host Address] と組み合わせて使用することによりグループ ベースの URL が構成されます。

[Automatic SCEP Host]:クライアント認証に使用する証明書のプロビジョニング用および更新用として指定された Simple Certificate Enrollment Protocol。

[CA URL]:このサーバが認証局(CA)へ接続する際に使用する URL。

[Add/Edit]:サーバのパラメータを指定できる [Server List Entry] ダイアログを起動します。

[Delete]:サーバ リストからサーバを削除します。

[Details]:サーバのバックアップ サーバまたは CA URL に関する詳細情報を表示します。

AnyConnect プロファイル エディタの [Add/Edit Server List]

このペインでは、サーバとそのバックアップ サーバ、およびロード バランシング バックアップ デバイスを追加します。

[Hostname]:ホスト、IP アドレス、または完全修飾ドメイン名(FQDN)を参照する際に使用するエイリアスを入力します。

[Host Address]:サーバの IP アドレスまたは FQDN を指定します。

[User Group]:ユーザ グループを指定します。このユーザ グループとホスト アドレスを組み合わせてグループ ベースの URL が構成されます。

[Backup Server List]:ユーザが選択したサーバで障害が発生した場合にクライアントが使用するバックアップ サーバのリストを設定できます。サーバで障害が発生した場合、クライアントではまずリストの先頭にあるサーバに対して接続が試行され、必要に応じてリストを下方向へ移動します。

[Host Address]:バックアップ サーバ リストに表示する IP アドレスまたは FQDN を指定します。クライアントでは、ホストに接続できない場合には、バックアップ サーバへの接続が試行されます。

[Add]:バックアップ サーバ リストにホスト アドレスを追加します。

[Move Up]:選択したバックアップ サーバをリストの上方向に移動します。ユーザが選択したサーバで障害が発生した場合、クライアントではまずリストの先頭にあるバックアップ サーバに対して接続が試行され、必要に応じてリストを下方向へ移動します。

[Move Down]:選択したバックアップ サーバをリストの下方向に移動します。

[Delete]:サーバ リストからバックアップ サーバを削除します。

[Load Balancing Server List]:このサーバ リスト エントリのホストがセキュリティ アプライアンスのロード バランシング クラスタであり、かつ常時接続機能が有効になっている場合は、このリストでクラスタのバックアップ デバイスを指定します。指定しなかった場合、ロード バランシング クラスタ内にあるバックアップ デバイスへのアクセスは常時接続機能によりブロックされます。

[Host Address]:ロードバランシング クラスタにあるバックアップサーバの IP アドレスまたは FQDN を指定します。

[Add]:ロード バランシング バックアップ サーバ リストにアドレスを追加します。

[Delete]:ロード バランシング バックアップ サーバをリストから削除します。

[CA URL]:SCEP CA サーバの URL を指定します。FQDN または IP アドレスを入力します(http://ca01.cisco.com など)。

[Prompt For Challenge PW]:有効にすると、証明書をユーザが手動で要求できるようになります。ユーザが [Get Certificate] をクリックすると、クライアントではユーザに対してユーザ名および 1 回限定利用のパスワードに関するプロンプトが表示されます。

[Thumbprint]:CA の証明書サムプリント。SHA1 ハッシュまたは MD5 ハッシュを使用します


) CA URL およびサムプリントを用意することができるのは CA サーバ管理者です。サムプリントは、発行した証明書の「fingerprint」属性フィールドや「thumbprint」属性フィールドではなく、サーバから直接取得する必要があります。


サーバ リストの作成に関するより詳細な設定情報については、「サーバ リストの設定」を参照してください。