Cisco AnyConnect VPN Client アドミニスト レータ ガイド
AnyConnect クライアント機能の設定
AnyConnect クライアント機能の設定
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

AnyConnect クライアント機能の設定

AnyConnect クライアント プロファイルの設定と展開

デフォルトのクライアント プロファイル

クライアント プロファイルの編集

プロファイルの XML の確認

AnyConnect クライアントへのクライアント プロファイルの展開

AnyConnect ローカル ポリシーの設定

AnyConnect ローカル ポリシー ファイルの例

MST ファイルを使用した Windows クライアント用パラメータの変更

手動での AnyConnect ローカル ポリシー ファイルのパラメータ変更

Start Before Logon の設定

Start Before Logon コンポーネントのインストール(Windows のみ)

Windows Vista と Vista 以前のシステムとの Start Before Logon の相違点

SBL をイネーブルにするプロファイル パラメータ

SBL をユーザ制御可能にする方法

セキュリティ アプライアンスでの SBL のイネーブル化

マニフェスト ファイルの使用

SBL のトラブルシューティング

Windows 7 および Vista システムでの Start Before Logon(PLAP)の設定

Windows OS ごとの Start Before Logon の違い

PLAP のインストール

PLAP を使用した Windows Vista または Windows 7 PC へのログイン

PLAP を使用した AnyConnect クライアントからの接続解除

FIPS と追加セキュリティのイネーブル化

AnyConnect ローカル ポリシー ファイルのパラメータと値

AnyConnect ローカル ポリシー ファイルの例

当社の MST ファイルによる FIPS のイネーブル化

独自の MST ファイルによる任意のローカル ポリシー パラメータの変更

すべてのオペレーティング システムでの Enable FIPS ツールを使用したパラメータ変更

手動での AnyConnect ローカル ポリシー ファイルのパラメータ変更

Trusted Network Detection のイネーブル化

複数のプロファイルで複数のセキュリティ アプライアンスに接続するユーザ

証明書ストアの設定

Windows での証明書ストアの制御

証明書ストアの例

Mac および Linux での PEM 証明書ストアの作成

PEM ファイルのファイル名に関する制約事項

ユーザ証明書の保存

証明書ストア使用の制限

Simplified Certificate Enrollment Protocol の設定

自動または手動による証明書のプロビジョニングと更新

自動的な証明書要求

手動による証明書取得

Windows 証明書の警告

証明書のプロビジョニングと更新を行う SCEP プロトコルの設定

SCEP 要求後の証明書ストレージ

証明書の期限切れの注意

AnyConnect 用の SCEP プロトコルをサポートする ASA の設定

ASA での証明書のみの認証の設定

証明書照合の設定

Key Usage 証明書照合

Extended Key Usage 証明書照合

証明書認定者名マッピング

証明書照合の例

認証証明書選択のプロンプト

AutomaticCertSelection を使用したクライアント プロファイルの設定

ユーザによる、AnyConnect プリファレンスの自動証明書選択の設定

バックアップ サーバ リスト パラメータの設定

Windows Mobile デバイスへの AnyConnect のインストール

Windows Mobile のポリシー設定

64 ビット Linux への AnyConnect のインストール

Mac OS で Java インストーラが失敗した場合の手動インストール オプションの使用

起動時自動接続の設定

自動再接続の設定

Host Scan のインストール

サーバ リストの設定

DNS フォールバックの分割

スクリプト化

スクリプトの要件と制限

スクリプトの作成、テスト、および展開

スクリプト用の AnyConnect プロファイルの設定

スクリプトのトラブルシューティング

プロキシ サポート

プロキシの無視

Mac/Safari のプライベート プロキシ

Internet Explorer の接続タブのロック

クライアントレス サポートのためのプロキシ自動設定ファイルの生成

Windows ユーザのための、RDP セッションからの AnyConnect セッションの許可

AnyConnect over L2TP または PPTP

AnyConnect over L2TP または PPTP の設定

ユーザによる PPP 除外の上書き

その他の AnyConnect プロファイル設定の構成

AnyConnect クライアント機能の設定

AnyConnect クライアントには、クライアント機能をイネーブルにして設定する 2 つのファイルがあります。1 つは AnyConnect クライアント プロファイルで、もう 1 つは AnyConnect ローカル ポリシーです。この章では、AnyConnect クライアント機能について説明し、プロファイル、ローカル ポリシー、およびセキュリティ アプライアンスでこの機能をイネーブルにする方法について説明します。

AnyConnect クライアント プロファイル

AnyConnect プロファイルは、クライアントのインストールおよびアップデートの際にセキュリティ アプライアンスによって展開される XML ファイルで、接続確立に関する基本情報、および Start Before Logon(SBL)などの拡張機能を提供します。ユーザはプロファイルを管理または修正できません。

すべての AnyConnect クライアント ユーザに対してグローバルにプロファイルを展開するようにセキュリティ アプライアンスを設定することも、ユーザのグループ ポリシーに基づいてプロファイルを展開するように設定することもできます。通常、各ユーザが 1 つのプロファイル ファイルを使用します。このプロファイルには、ユーザが必要とするすべてのホスト、および必要に応じて追加の設定が含まれます。場合によっては、特定のユーザに複数のプロファイルを割り当てたいことがあります。たとえば、複数の場所で作業するユーザは、複数のプロファイルを必要とすることがあります。この場合、ユーザはドロップダウン リストから適切なプロファイルを選択します。Start Before Login など、一部のプロファイル設定は、グローバル レベルで接続を制御します。ホストに固有のその他の設定は、選択したホストに依存します。

AnyConnect ローカル ポリシー

AnyConnect ローカル ポリシーは、AnyConnect VPN クライアントの追加のセキュリティ パラメータを指定します。これには、Federal Information Processing Standard(FIPS; 連邦情報処理標準)レベル 1 準拠モードでの動作が含まれます。AnyConnect ローカル ポリシーのその他のパラメータは、リモート アップデートを禁止して中間者攻撃を防いだり、管理者またはルート以外のユーザがクライアント設定を修正できないようにすることによって、セキュリティを高めます。クライアント プロファイルと異なり、ローカル ポリシーはセキュリティ アプライアンスによって展開されません。そのため、企業のソフトウェア展開システムによって展開する必要があります。

この章の最初の 2 つの項では、AnyConnect クライアント プロファイルまたはローカル ポリシーの変更方法について説明します。

「AnyConnect クライアント プロファイルの設定と展開」

「AnyConnect ローカル ポリシーの設定」

ここでは、各クライアント機能について説明し、AnyConnect クライアント プロファイル、ローカル ポリシー、およびセキュリティ アプライアンスソフトウェアに対する必要な変更について説明します。

「Start Before Logon の設定」

「FIPS と追加セキュリティのイネーブル化」

「Trusted Network Detection のイネーブル化」

「証明書ストアの設定」

「Simplified Certificate Enrollment Protocol の設定」

「証明書照合の設定」

「認証証明書選択のプロンプト」

「バックアップ サーバ リスト パラメータの設定」

「Windows Mobile のポリシー設定」

「サーバ リストの設定」

「DNS フォールバックの分割」

「スクリプト化」

「プロキシ サポート」

「Windows ユーザのための、RDP セッションからの AnyConnect セッションの許可」

「AnyConnect over L2TP または PPTP」

AnyConnect クライアント プロファイルの設定と展開

AnyConnect クライアント プロファイルは、エンドポイントのファイル システムにキャッシュされる XML ファイルです。このファイルで XML タグとして表されるクライアント パラメータは、VPN セッションを確立してクライアント機能をイネーブルにする VPN セキュリティ アプライアンスを指定します。

XML プロファイルは、テキスト エディタで作成し、保存できます。クライアントのインストールには 1 つのプロファイル テンプレート(AnyConnectProfile.tmpl)が含まれていて、これをコピーして名前を変更し、XML ファイルとして保存してから、別のプロファイル ファイルを作成する基本として使用できます。

プロファイル ファイルは、セキュリティ アプライアンスからリモート ユーザの PC のディレクトリ C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥Profile にダウンロードされます。Windows Vista の場合は場所が少し異なり、C:¥ProgramData¥Cisco¥Cisco AnyConnect VPN Client¥Profile になります。リモート PC にダウンロードする準備として、まず、プロファイルをセキュリティ アプライアンスにインポートする必要があります。プロファイルは、ASDM またはコマンドライン インターフェイスでインポートできます。AnyConnect クライアントによって自動的にダウンロードされる AnyConnectProfile.tmpl ファイルは、AnyConnect プロファイルのサンプルです。


) プロファイルのクライアント初期化パラメータをクライアント設定に適用するには、ユーザが接続しているセキュリティ アプライアンスが、そのプロファイルにホスト エントリとして含まれている必要があります。セキュリティ アプライアンスのアドレスまたは FQDN をホスト エントリとしてプロファイルに追加していない場合、フィルタがセッションに適用されません。たとえば、証明書照合を作成し、証明書が基準と適切に一致した場合でも、プロファイルにセキュリティ アプライアンスをホスト エントリとして追加しなかった場合、この証明書の一致は無視されます。プロファイルへのホスト エントリの追加の詳細については、「サーバ リストの設定」を参照してください。


ここでは、次の内容について説明します。

「デフォルトのクライアント プロファイル」

「クライアント プロファイルの編集」

「プロファイルの XML の確認」

「AnyConnect クライアントへのクライアント プロファイルの展開」

デフォルトのクライアント プロファイル

プロファイル アトリビュートを設定するには、XML プロファイル テンプレートを変更し、独自のファイル名で保存します。このプロファイル ファイルを任意の時点でエンド ユーザに配布します。配布メカニズムは、ソフトウェアの配布に組み込まれます。

次の例は、AnyConnect プロファイル ファイルのサンプルを示しています。太字の値は、修正してプロファイルをカスタマイズ可能です。この例では、読みやすくするために、大きなグループを空白行で区切っています。この空白行は、実際のプロファイルには挿入しないでください。


注意 本書の例をカット アンド ペーストしないでください。カット アンド ペーストすると、改行が入り、XML が機能しなくなることがあります。代わりに、プロファイル テンプレート ファイルをテキスト エディタ(メモ帳やワードパッドなど)で開いてください。

<?xml version="1.0" encoding="UTF-8" ?>
 
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
 
<ClientInitialization>
<UseStartBeforeLogon UserControllable="false">false</UseStartBeforeLogon>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<AutoReconnect UserControllable="true">
true
<AutoReconnectBehavior UserControllable="false">ReconnectAfterResume</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
 
<CertificateMatch>
<KeyUsage>
<MatchKey>Non_Repudiation</MatchKey>
<MatchKey>Digital_Signature</MatchKey>
</KeyUsage>
<ExtendedKeyUsage>
<ExtendedMatchKey>ClientAuth</ExtendedMatchKey>
<ExtendedMatchKey>ServerAuth</ExtendedMatchKey>
<CustomExtendedMatchKey>1.3.6.1.5.5.7.3.11</CustomExtendedMatchKey>
</ExtendedKeyUsage>
<DistinguishedName>
<DistinguishedNameDefinition Operator="Equal" Wildcard="Enabled"
MatchCase="Enabled">
<Name>CN</Name>
<Pattern>ASASecurity</Pattern>
</DistinguishedNameDefinition>
</DistinguishedName>
</CertificateMatch>
 
<BackupServerList>
<HostAddress>asa-02.cisco.com</HostAddress> <HostAddress>192.168.1.172</HostAddress>
</BackupServerList>
<MobilePolicy>
<DeviceLockRequired MaximumTimeoutMinutes="60" MinimumPasswordLength="4"
PasswordComplexity="pin" />
</MobilePolicy>
</ClientInitialization>
 
<ServerList>
<HostEntry>
<HostName>CVC-ASA-01</HostName>
<HostAddress>CVC-ASA-01.example.com</HostAddress>
<UserGroup>StandardUser</UserGroup>
<BackupServerList>
<HostAddress>cvc-asa-02.example.com</HostAddress>
<HostAddress>cvc-asa-03.example.com</HostAddress>
</BackupServerList>
</HostEntry>
</ServerList>
 
</AnyConnectProfile>
 

クライアント プロファイルの編集

クライアント インストールから、プロファイル ファイル(AnyConnectProfile.xml)のコピーを取得します。コピーを作成し、そのコピーの名前をわかりやすい名前に変更してください。または、既存のプロファイルを修正することもできます。表 「エンドポイントの AnyConnect ファイルのパス」 に、サポート対象オペレーティング システムごとのプロファイル パスを示します。

プロファイル ファイルを編集します。次の例で、Windows のプロファイル ファイル(AnyConnectProfile.xml)の内容を示します。

<?xml version="1.0" encoding="UTF-8"?>
<!--
This is a template file that can be configured to support the
identification of secure hosts in your network.
 
The file needs to be renamed to CiscoAnyConnectProfile.xml.
 
The svc profiles command imports updated profiles for downloading to
client machines.
-->
<Configuration>
<ClientInitialization>
<UseStartBeforeLogon>false</UseStartBeforeLogon>
</ClientInitialization>
<HostEntry>
<HostName></HostName>
<HostAddress></HostAddress>
</HostEntry>
<HostEntry>
<HostName></HostName>
<HostAddress></HostAddress>
</HostEntry>
</Configuration>
 

HostName には、ユーザ用のセキュア ゲートウェイまたはクラスタを指定します。これは、ユーザ GUI の [接続(Connection)] タブの [接続先(Connect to)] ドロップダウン リストに表示されます。任意の名前を使用できます。 HostAddress には、接続するセキュア ゲートウェイの実際のホスト名とドメイン(hostname.example.com など)を指定します(この値には IP アドレスも指定できますが、推奨されません)。HostName の値は、HostAddress 値のホスト名部分と同じにすることができますが、親タグの HostEntry によってこれらの値が関連付けられるため、必ずしも一致させる必要はありません。ただし、両方の子タグのホスト名を一致させると、管理者による VPN 接続のテストおよびトラブルシューティングが簡単になります。

 
<HostEntry>
<HostName>Sales_gateway</HostName>
<HostAddress>Sales_gateway.example.com</HostAddress>
</HostEntry>
 

) 本書の例をカット アンド ペーストしないでください。カット アンド ペーストすると、改行が入り、XML が機能しなくなることがあります。代わりに、プロファイル テンプレート ファイルをテキスト エディタ(メモ帳やワードパッドなど)で開いてください。

ワークステーションに AnyConnect をインストールした後、次の場所に表示されるテンプレートを使用します。¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥Profile¥AnyConnectProfile.tmpl


プロファイルの XML の確認

作成した AnyConnect クライアント プロファイルの XML を確認することは重要です。オンライン確認ツールまたは ASDM のプロファイル インポート機能を使用します。確認のために、プロファイル テンプレートと同じディレクトリにある AnyConnectProfile.xsd を使用できます。この .xsd ファイルは、クライアント プロファイルの XML スキーマ定義で、セキュア ゲートウェイ管理者が保守し、クライアント ソフトウェアと共に配布する目的で用意されています。


) セキュリティ アプライアンスにインポートする前に、プロファイルを確認してください。これによって、クライアント側での確認が不要になります。


このスキーマに基づいた XML ファイルは、ソフトウェアの配布のバンドル ファイルとして、または自動ダウンロード メカニズムの一部として、いつでもクライアントに配布できます。自動ダウンロード メカニズムは、一部の Cisco Secure Gateway 製品でのみ使用できます。

MSXML 6.0 を使用する Microsoft Windows では、AnyConnect クライアントは XML プロファイルをプロファイルの XSD スキーマと照合して確認し、失敗した確認はすべてログに記録します。MSXML 6.0 は Windows 7 および Vista に同梱されています。Windows XP の場合は、Microsoft の次のリンクからダウンロードできます。

http://www.microsoft.com/downloads/details.aspx?FamilyID=d21c292c-368b-4ce1-9dab-3e9827b70604&displaylang=en

プロファイルを修正するときは、入力を確認し、XML タグ名のキャピタリゼーションと一致していることを確認してください。これは、プロファイルの確認に失敗するよくあるエラーです。たとえば、次のプリファレンス エントリがあるプロファイルを確認するとします。

<UseStartBeforeLogon UserControllable="false">False</UseStartBeforeLogon>

この場合、次のエラー メッセージが表示されます。

図 3-1 XML の確認エラー

 

この例では、値の False (先頭が大文字)は false (すべて小文字)にする必要があり、エラーはそのことを示しています。

AnyConnect クライアントへのクライアント プロファイルの展開

AnyConnect クライアントにプロファイルを展開するには、次の手順に従ってセキュリティ アプライアンスを設定します。

ステップ 1 セキュリティ アプライアンスがクライアント プロファイル ファイルをキャッシュ メモリにロードするように指定します。
[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [詳細(Advanced)] > [クライアント設定(Client Settings)] の順に選択します(図 3-2)。

ステップ 2 [SSL VPN クライアント プロファイル(SSL VPN Client Profiles)] エリアで [追加(Add)] をクリックします。[SSL VPN クライアント プロファイルの追加(Add SSL VPN Client Profiles)] ダイアログボックスが表示されます。

図 3-2 AnyConnect VPN クライアント プロファイルの追加または編集

 

ステップ 3 プロファイル名およびプロファイル パッケージ名を対応するフィールドに入力します。プロファイル パッケージ名を参照するには、[フラッシュの表示(Browse Flash)] をクリックします。[フラッシュの表示(Browse Flash)] ダイアログボックスが表示されます(図 3-3)。

図 3-3 [フラッシュの表示(Browse Flash)] ダイアログボックス

 

ステップ 4 テーブルからファイルを選択します。ファイル名が、テーブルの下の [ファイル名(File Name)] フィールドに表示されます。[OK] をクリックします。選択したファイル名が、[SSL VPN クライアント プロファイルの追加(Add SSL VPN Client Profiles)] または [SSL VPN クライアント プロファイルの編集(Edit SSL VPN Client Profiles)] ダイアログボックスの [プロファイル パッケージ(Profile Package)] フィールドに表示されます。

[SSL VPN クライアント プロファイルの追加(Add SSL VPN Client Profiles)] または [SSL VPN クライアント プロファイルの編集(Edit SSL VPN Client Profiles)] ダイアログボックスで、[OK] をクリックします。これによって、クライアント ユーザのグループ ポリシーおよびユーザ名のアトリビュートにプロファイルを使用できるようになります。

ステップ 5 グループ ポリシーのプロファイルを指定するには、[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] の順に選択します(図 3-4)。

図 3-4 グループ ポリシーで使用するプロファイルの指定

 

ステップ 6 [継承(Inherit)] を選択解除して、ダウンロードするクライアント プロファイルをドロップダウン リストから選択します。

ステップ 7 設定が終了したら、[OK] をクリックします。


 

AnyConnect ローカル ポリシーの設定

AnyConnect ローカル ポリシーは、AnyConnect VPN クライアントの追加のセキュリティ パラメータを指定します。これには、暗号化モジュールに固有のセキュリティ要件に関する米国政府標準規格である Federal Information Processing Standard(FIPS; 連邦情報処理標準)140-2 レベル 1 モードでの動作が含まれます。FIPS 140-2 標準は、暗号ベースのセキュリティ システムを使用してコンピュータおよび遠隔通信の機密情報を保護するすべての政府機関に適用されます。

AnyConnect ローカル ポリシーのその他のパラメータは、リモート アップデートを禁止して中間者攻撃を防いだり、管理者またはルート以外のユーザがクライアント設定を修正できないようにすることによって、セキュリティを高めます。

AnyConnect ローカル ポリシーのパラメータは、AnyConnectLocalPolicy.xml という名前の XML ファイルにあります。このファイルは、ASA 5500 シリーズのセキュリティ アプライアンスでは展開されません。企業のソフトウェア展開システムを使用してこのファイルを展開するか、ユーザ コンピュータ上で手動でファイルを変更する必要があります。

ここでは、次の内容について説明します。

「AnyConnect ローカル ポリシー ファイルの例」

「MST ファイルを使用した Windows クライアント用パラメータの変更」

「手動での AnyConnect ローカル ポリシー ファイルのパラメータ変更」

AnyConnect ローカル ポリシー ファイルの例

次に、AnyConnect ローカル ポリシー ファイルの例を示します。

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectLocalPolicy acversion="2.4.140"
xmlns=http://schemas.xmlsoap.org/encoding/
xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectLocalPolicy.xsd">
<FipsMode>false</FipsMode>
<BypassDownloader>false</BypassDownloader>
<RestrictWebLaunch>false</RestrictWebLaunch>
<StrictCertificateTrust>false</StrictCertificateTrust>
<RestrictPreferenceCaching>false</RestrictPreferenceCaching>
<RestrictTunnelProtocols>false</RestrictTunnelProtocols>
</AnyConnectLocalPolicy>

MST ファイルを使用した Windows クライアント用パラメータの変更

Windows インストールの場合、提供される MST ファイルを標準 MSI インストール ファイルに適用して、FIPS モードをイネーブル化するなど、AnyConnect ローカル ポリシーのパラメータを変更できます。インストール時に、FIPS がイネーブル化された AnyConnect ローカル ポリシー ファイルが生成されます。

MST ファイルは、次の URL の SW ダウンロード エリアからダウンロードできます。

http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278875403

MST ファイルには、次のカスタム行があります。名前は、AnyConnect ローカル ポリシー ファイル(AnyConnectLocalPolicy.xml)のパラメータに対応しています。これらのパラメータの説明と設定可能な値については、 表 3-3 を参照してください。

LOCAL_POLICY_BYPASS_DOWNLOADER

LOCAL_POLICY_FIPS_MODE

LOCAL_POLICY_RESTRICT_PREFERENCE_CACHING

LOCAL_POLICY_RESTRICT_TUNNEL_PROTOCOLS

LOCAL_POLICY_RESTRICT_WEB_LAUNCH

LOCAL_POLICY_STRICT_CERTIFICATE_TRUST

手動での AnyConnect ローカル ポリシー ファイルのパラメータ変更

AnyConnect ローカル ポリシーのパラメータを手動で変更するには、次の手順に従ってください。


ステップ 1 クライアント インストールから、AnyConnect ローカル ポリシー ファイル(AnyConnectLocalPolicy.xml)のコピーを取得します。

表 3-1 に、各オペレーティング システムでのインストール パスを示します。

 

表 3-1 オペレーティング システムと AnyConnect ローカル ポリシー ファイルのインストール パス

オペレーティング システム
インストール パス

Windows

%ALLUSERSAPPDATA%\Cisco\Cisco AnyConnect VPN Client1

Windows Mobile

%PROGRAMFILES%\Cisco AnyConnect VPN Client

Linux

/opt/cisco/vpn

Mac OS X

/opt/cisco/vpn

1.%ALLUSERSAPPDATA% は、同じ名前の環境変数を指します。ほとんどの Windows インストレーションでは、C:¥Program Files です。

ステップ 2 パラメータ設定を編集します。次の例は、Windows の AnyConnect ローカル ポリシー ファイルの内容を示しています。

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectLocalPolicy acversion="2.4.140"
xmlns=http://schemas.xmlsoap.org/encoding/
xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectLocalPolicy.xsd">
<FipsMode>false</FipsMode>
<BypassDownloader>false</BypassDownloader>
<RestrictWebLaunch>false</RestrictWebLaunch>
<StrictCertificateTrust>false</StrictCertificateTrust>
<RestrictPreferenceCaching>false</RestrictPreferenceCaching>
<RestrictTunnelProtocols>false</RestrictTunnelProtocols>
</AnyConnectLocalPolicy>
 

ステップ 3 ファイルを AnyConnectLocalPolicy.xml として保存し、企業の IT ソフトウェア展開システムを使用してこのファイルをリモート コンピュータに展開します。

Start Before Logon の設定

Start Before Logon(SBL)では、Windows ログイン ダイアログボックスが表示される前に AnyConnect クライアントを起動することで、ユーザが Windows にログインする前に強制的に VPN 接続で企業インフラストラクチャに接続されます。セキュリティ アプライアンスで認証後、Windows ログイン ダイアログが表示され、ユーザは通常どおりにログインします。SBL は Windows でのみ使用可能で、ログイン スクリプト、パスワードのキャッシュ、ネットワーク ドライブからローカル ドライブへのマッピングなどの使用を制御できます。

SBL 機能をイネーブルにするには、AnyConnect クライアント プロファイルを変更して、セキュリティ アプライアンスが SBL 用のクライアント モジュールをダウンロードできるようにする必要があります。

SBL をイネーブルにする理由としては、次のものがあります。

ユーザのコンピュータに Active Directory インフラストラクチャを導入済みである。

コンピュータのキャッシュにクレデンシャルを入れることができない(グループ ポリシーでキャッシュのクレデンシャル使用が許可されない場合)。

ネットワーク リソースから、またはネットワーク リソースへのアクセスを必要とする場所からログイン スクリプトを実行する必要がある。

ネットワークでマッピングされるドライブを使用し、Microsoft Active Directory インフラストラクチャの認証を必要とする。

インフラストラクチャとの接続を必要とする場合があるネットワーキング コンポーネント(MS NAP/CS NAC など)が存在する。

AnyConnect クライアントで行う SBL の設定は、この機能のイネーブル化だけです。ログイン前に実施されるこのプロセスは、ネットワーク管理者が自身の状況の要件に基づいて処理します。ログイン スクリプトは、ドメインまたは個々のユーザに割り当てることができます。一般に、ドメインの管理者は、バッチ ファイルか類似のものを Microsoft Active Directory のユーザまたはグループに定義しています。ユーザがログインするとすぐに、ログイン スクリプトが実行されます。

SBL は、ローカルの社内 LAN 上で等価となるネットワークを作成します。たとえば、SBL をイネーブルにすると、ユーザはローカルのインフラストラクチャにアクセスできるため、通常はオフィス内のユーザが実行するログイン スクリプトをリモート ユーザからも使用できるようになります。

ログイン スクリプトの作成については、次の Microsoft TechNet の記事を参照してください。

http://technet2.microsoft.com/windowsserver/en/library/8a268d3a-2aa0-4469-8cd2-8f28d6a630801033.mspx?mfr=true

Windows XP でローカルのログイン スクリプトを使用する詳細については、次の Microsoft の記事を参照してください。

http://www.windowsnetworking.com/articles_tutorials/wxpplogs.html

これ以外では、コンピュータへのログインに使用するキャッシュ クレデンシャルを許可しないようにシステムを設定する必要がある場合があります。このシナリオでは、ユーザは社内ネットワーク上のドメイン コントローラと通信可能にして、コンピュータへのアクセスが許可される前にユーザのクレデンシャルが確認されるようにする必要があります。

SBL は、呼び出されたときにネットワークに接続されている必要があります。場合によっては、ワイヤレス接続がワイヤレス インフラストラクチャに接続するユーザ クレデンシャルに依存しているため、接続できないことがあります。SBL モードがログインのクレデンシャル フェーズに先行するため、このシナリオでは接続できません。このケースで SBL を機能させるには、ログインを通してクレデンシャルをキャッシュするようにワイヤレス接続を設定するか、もしくはその他のワイヤレス認証を設定する必要があります。

ここでは、次の内容について説明します。

「Start Before Logon コンポーネントのインストール(Windows のみ)」

「Windows 7 および Vista システムでの Start Before Logon(PLAP)の設定」

Start Before Logon コンポーネントのインストール(Windows のみ)

Start Before Logon コンポーネントは、コア クライアントのインストール にインストールする必要があります。さらに、AnyConnect 2.2 の Start Before Logon コンポーネントの場合は、バージョン 2.2 以降のコア AnyConnect クライアント ソフトウェアのインストールが必要です。AnyConnect クライアントの展開前および MSI ファイルを使用した Start Before Logon コンポーネントの展開前の場合(Altiris、Active Directory または SMS など独自のソフトウェア展開手段を持つ大企業の場合など)、正しい順序でインストールする必要があります。インストールの順序は、AnyConnect が Web 展開または Web 更新されている場合(または両方の場合)に管理者がロードした時点で自動的に処理されます。インストールの詳細については、『 Release Notes for Cisco AnyConnect VPN Client, Release 2.2 』を参照してください。

Windows Vista と Vista 以前のシステムとの Start Before Logon の相違点

Windows Vista システムでは、SBL のイネーブル化の手順が一部異なります。以前のシステムでは、VPNGINA(virtual private network graphical identification and authentication の略称)という名称のコンポーネントで SBL をインストールしていました。Vista システムでは、PLAP というコンポーネントで SBL を実装します。

AnyConnect クライアントでは、Windows Vista の Start Before Logon 機能は Pre-Login Access Provider(PLAP)という接続可能なクレデンシャル プロバイダーです。この機能を使用すると、ネットワーク管理者は、クレデンシャルの収集やネットワーク リソースへの接続などの特定のタスクをログイン前に実行することができます。PLAP は Windows Vista および Windows Server 2008 に Start Before Logon 機能を提供します。PLAP は、vpnplap.dll を使用する 32 ビットのオペレーティング システムと、vpnplap64.dll を使用する 64 ビットのオペレーティング システムをサポートします。PLAP 機能は、Windows の x86 バージョンおよび x64 バージョンをサポートします。


) この項で説明する VPNGINA とは Vista 以前のプラットフォームの Start Before Logon 機能を指し、PLAP は Windows Vista システムの Start Before Logon 機能を指します。


Vista 以前のシステムでは、Start Before Logon は VPN Graphical Identification and Authentication Dynamic Link Library(vpngina.dll)と呼ばれるコンポーネントを使用して Start Before Logon の機能を提供しています。Windows Vista では、システムに同梱されている Windows PLAP コンポーネントによって、この Windows GINA コンポーネントが置き換えられています。

GINA は、ユーザが Ctrl+Alt+Del というキーの組み合せを押すと起動します。PLAP では、Ctrl+Alt+Del のキーの組み合せを押すとウィンドウが表示され、システムにログインするか、ウィンドウの右下隅にあるネットワーク接続ボタンで任意の Network Connections(PLAP コンポーネント)を起動するかを選択できます。

次の項では、VPNGINA と PLAP SBL の設定および手順について説明します。Windows Vista プラットフォームでの SBL 機能(PLAP)のイネーブル化の方法と使用方法の詳細については、「Windows 7 および Vista システムでの Start Before Logon(PLAP)の設定」を参照してください。

SBL をイネーブルにするプロファイル パラメータ

UseStartBeforeLogon の要素値によって、この機能をオン(true)またはオフ(false)にできます。プロファイルでこの値を true に設定すると、ログオン シーケンスの一部として、追加の処理が発生します。詳細については、Start Before Logon の説明を参照してください。

SBL をイネーブルにするには、AnyConnect プロファイルで、<UseStartBefore Logon> の値を true に設定します。

<ClientInitialization>
<UseStartBeforeLogon>true</UseStartBeforeLogon>
</ClientInitialization>
 

SBL をディセーブルにするには、同じ値を false に設定します。

次の表に、設定を示します。

 

表 3-2 UseStartBeforeLogon クライアント初期化タグ

デフォルト値2
可能な値3
ユーザ制御可能
デフォルトでユーザ制御可能4
サポートされる OS

true

true、false

はい

true

Mobile 以外の Windows

2.プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。

3.<UseStartBeforeLogon>true</UseStartBeforeLogon> のように、開始タグと終了タグの間にパラメータ値を挿入します。

4.ユーザ制御可能アトリビュートは、<UseStartBeforeLogon UserControllable="true">true</UseStartBeforeLogon> のように、プリファレンス タグの中で定義します。可能な値は「true」または「false」です。これによって、preferences*.xml ファイルでプリファレンスが上書きされるかどうかが決まります。これはオプションのアトリビュートで、定義されていない場合、デフォルト値が使用されます。プロファイルで UserControllable="true" になっているプリファレンスは、[プリファレンス(Preferences)] ダイアログに表示されます。

SBL をユーザ制御可能にする方法

SBL をユーザ制御可能にするには、SBL をイネーブルにするときに、次の文を使用します。

<UseStartBeforeLogon UserControllable=”true”>true</UseStartBeforeLogon>
 

デフォルトに戻して、SBL をユーザ制御不可にするには、UseStartBeforeLogon プリファレンスの中の UserControllable プリファレンスを false に設定します。

セキュリティ アプライアンスでの SBL のイネーブル化

ダウンロード時間を最小にするため、AnyConnect クライアントは、サポートする各機能に必要なコア モジュールの(セキュリティ アプライアンスからの)ダウンロードだけを要求します。SBL をイネーブルにするには、セキュリティ アプライアンスのグループ ポリシーで、SBL モジュール名を指定する必要があります。

さらに、グループ ポリシーに指定したプロファイル ファイルで、UseStartBeforeLogon パラメータを true に設定する必要があります。次の例を参考にしてください。

<UseStartBeforeLogon UserControllable=“false”>true</UseStartBeforeLogon>

) SBL を有効にするには、ユーザがリモート コンピュータをリブートする必要があります。


セキュリティ アプライアンスで SBL モジュールを指定するには、次の手順に従ってください。


ステップ 1 [設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] の順に選択します(図 3-5)。

ステップ 2 グループ ポリシーを選択して、[編集(Edit)] をクリックします。[内部グループ ポリシーの編集(Edit Internal Group Policy)] ウィンドウが表示されます。

ステップ 3 左側のナビゲーション ペインで [Advanced(詳細)] > [SSL VPN Client(SSL VPN クライアント)] の順に選択します。SSL VPN 設定が表示されます。

ステップ 4 [ダウンロードするオプションのクライアント モジュール(Optional Client Module for Download)] 設定の [継承(Inherit)] ボックスをオフにします。

ステップ 5 ドロップダウン リストで、Start Before Logon モジュールを選択します。

図 3-5 ダウンロードする SBL モジュールの指定

 

マニフェスト ファイルの使用

セキュリティ アプライアンスにアップロードされる AnyConnect パッケージには、VPNManifest.xml というファイルが含まれています。次に、このファイルのサンプル コンテンツを示します。

<?xml version="1.0" encoding="UTF-7"?> <vpn rev="1.0">
 
<file version="2.1.0150" id="VPNCore" is_core="yes" type="exe" action="install">
<uri>binaries/anyconnect-win-2.1.0150-web-deploy-k9.exe</uri>
</file>
 
<file version="2.1.0150" id="gina" is_core="yes" type="exe" action="install" module="vpngina">
<uri>binaries/anyconnect-gina-win-2.1.0150-web-deploy-k9.exe</uri>
</file>
</vpn>
 

セキュリティ アプライアンスは、前述のステップ 1 で説明した設定済みプロファイルを格納しています。また、AnyConnect クライアント、ダウンローダ ユーティリティ、マニフェスト ファイル、さらに他のオプションのモジュールまたはサポートする各種ファイルが含まれる、1 つ以上の AnyConnect パッケージも格納します。

リモート ユーザが WebLaunch またはすでにインストールされているクライアントを使用してセキュリティ アプライアンスに接続すると、ダウンローダが最初にダウンロードされて起動し、マニフェスト ファイルを使用してリモート ユーザのコンピュータにアップグレードが必要な既存のクライアントがあるかどうか、または新規インストールが必要かどうかを確認します。マニフェスト ファイルには、ダウンロードしてインストールが必要なオプションのモジュール(この例では VPNGINA)があるかどうかを示す情報も含まれます。VPNGINA のインストールは、ユーザのグループ ポリシーでダウンロードするオプション モジュールとして SBL が指定されている場合にアクティブ化されます。この場合、AnyConnect クライアントと VPNGINA がインストールされ、次回のリブートからは Windows のドメイン ログオンよりも先に AnyConnect クライアントが画面に表示されます。

クライアントをインストールすると、クライアント コンピュータの次の場所に、サンプル プロファイルが提供されます。

C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco¥AnyConnect VPN Client¥Profile¥AnyConnectProfile.tmpl

SBL のトラブルシューティング

SBL で問題が発生した場合は、次の手順を実行します。


ステップ 1 プロファイルがプッシュされていることを確認します。

ステップ 2 以前のプロファイルを削除します(*.xml と指定してハード ドライブ上の格納場所を検索します)。

ステップ 3 Windows の [プログラムの追加と削除(Add/Remove Programs)] を使用して、Cisco AnyConnect クライアントの Start Before Login コンポーネントをアンインストールします。コンピュータをリブートして、再テストします。

ステップ 4 イベント ビューア(Event Viewer)でユーザの AnyConnect ログをクリアし、再テストします。

ステップ 5 クライアントを再インストールするために Web をブラウズしてセキュリティ アプライアンスに戻ります。

ステップ 6 いったんリブートします。次回のリブートでは、[Start Before Logon] プロンプトが表示されます。

ステップ 7 AnyConnect イベント ログを .evt フォーマットでシスコに送信します。

ステップ 8 次のエラーが表示された場合は、ユーザ プロファイルを削除します。

Description: Unable to parse the profile C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥Profile¥VABaseProfile.xml. Host data not available.
 

ステップ 9 .tmpl ファイルに戻り、コピーを .xml ファイルとして保存して、この XML ファイルをデフォルト プロファイルとして使用します。


 

Windows 7 および Vista システムでの Start Before Logon(PLAP)の設定

その他の Windows プラットフォームと同じように、Start Before Logon(SBL)機能によって、ユーザが Windows にログインする前に VPN 接続が開始されます。これによって、ユーザは自分のコンピュータにログインする前に、企業のインフラストラクチャに接続されます。Microsoft Windows 7 および Vista は Windows XP と異なるメカニズムを使用しているため、Windows 7 および Vista の AnyConnect クライアントの SBL 機能も異なるメカニズムを使用します。

AnyConnect クライアントでは、新しい SBL 機能は Pre-Login Access Provider(PLAP)という接続可能なクレデンシャル プロバイダーです。この機能を使用すると、プログラマチック ネットワーク管理者は、クレデンシャルの収集やネットワーク リソースへの接続などの特定のタスクをログイン前に実行することができます。PLAP は、Windows 7 および Vista で SBL 機能を提供します。PLAP は、vpnplap.dll を使用する 32 ビットのオペレーティング システムと、vpnplap64.dll を使用する 64 ビットのオペレーティング システムをサポートします。PLAP 機能は、x86 および x64 をサポートします。


) この項で説明する VPNGINA とは Windows XP の Start Before Logon 機能を指し、PLAP は Windows 7 および Vista の Start Before Logon 機能を指します。


Windows OS ごとの Start Before Logon の違い

Windows XP では、Start Before Logon は VPN Graphical Identification and Authentication Dynamic Link Library(vpngina.dll)と呼ばれるコンポーネントを使用して Start Before Logon の機能を実現しています。Windows Vista では、システムに同梱されている Windows PLAP コンポーネントによって、この Windows GINA コンポーネントが置き換えられています。

Windows XP では、GINA コンポーネントは、Ctrl+Alt+Del のキーの組み合せで起動します。PLAP では、Ctrl+Alt+Del のキーの組み合せを押すとウィンドウが表示され、システムにログインするか、ウィンドウの右下隅にあるネットワーク接続ボタンで任意の Network Connections(PLAP コンポーネント)を起動するかを選択できます。

PLAP のインストール

vpnplap.dll および vpnplap64.dll の両コンポーネントは、既存の GINA インストール パッケージの一部になっているため、単一のアドオン Start Before Logon パッケージをセキュリティ アプライアンスにロードできます。ロードされると、該当するコンポーネントがターゲット プラットフォームにインストールされます。PLAP はオプションの機能です。インストーラ ソフトウェアは、基盤のオペレーティング システムを検出して該当する DLL をシステム ディレクトリに配置します。Windows Vista 以前のオペレーティング システムでは、インストーラは 32 ビット版のオペレーティング システムに vpngina.dll コンポーネントをインストールします。Windows Vista または Windows Server 2008 では、インストーラは、32 ビット版と 64 ビット版のどちらのオペレーティング システムが使用されているかを判別して、該当する PLAP コンポーネントをインストールします。


) VPNGINA または PLAP コンポーネントがインストールされたまま AnyConnect クライアントをアンインストールすると、VPNGINA または PLAP のコンポーネントはディセーブルとなり、リモート ユーザの画面に表示されなくなります。


一度インストールされると、start before logon がアクティブ化されるようにユーザ プロファイル <profile.xml> ファイルを変更するまで、PLAP はアクティブになりません。「SBL をイネーブルにするプロファイル パラメータ」を参照してください。アクティブ化後に、ユーザは [ユーザーの切り替え(Switch User)] をクリックし、さらに画面下右側のネットワーク接続アイコンをクリックして Network Connect コンポーネントを呼び出します。


) 誤ってユーザ インターフェイスの画面表示を最小化した場合は、Alt+Tab キーの組み合せで元に戻ります。


PLAP を使用した Windows Vista または Windows 7 PC へのログイン

PLAP をイネーブルにして Windows Vista または Windows 7 にログインするには、次の手順に従ってください。画面の例は、Windows Vista のものです(Microsoft で必要な手順です)。


ステップ 1 Windows Vista のスタート画面で、Ctrl+Alt+Delete キーの組み合せを押します(図 3-6)。

図 3-6 ネットワーク接続ボタンを表示する Vista ログイン画面

 

この手順で Vista のログイン ウィンドウに [ユーザーの切り替え(Switch User)] ボタンが表示されます(図 3-7)。

図 3-7 [ユーザーの切り替え(Switch User)] ボタンが表示された Vista ログイン ウィンドウ

 

ステップ 2 [ユーザーの切り替え(Switch User)](図の赤丸部分)をクリックします。画面の右下隅にネットワーク ログイン アイコンが表示された ネットワーク接続ウィンドウ(図 3-8)が表示されます。ネットワーク ログイン アイコンは図 3-8 の赤丸部分です。


) AnyConnect 接続によってすでに接続済みのユーザが [ユーザーの切り替え(Switch User)] をクリックしても、VPN 接続は接続解除されません。ネットワーク接続ボタンをクリックすると、元の VPN 接続が終了します。[キャンセル(Cancel)] をクリックすると、VPN 接続が終了します。


図 3-8 Vista のネットワーク接続ウィンドウ

 

ステップ 3 ウィンドウの右下隅に表示されるネットワーク接続ボタンをクリックすると、AnyConnect クライアントが起動します。次の AnyConnect クライアントのログイン ウィンドウが表示されます(図 3-9)。

図 3-9 AnyConnect クライアント ログイン ウィンドウ

 

ステップ 4 AnyConnect クライアントへの通常のログインではこの AnyConnect GUI を使用します。


) この例では、AnyConnect クライアントがインストールされている唯一の接続プロバイダーであることを前提としています。複数のプロバイダーをインストールしている場合は、このウィンドウに表示される項目から、ユーザがいずれかを選択する必要があります。


ステップ 5 正常に接続されると、Vista のネットワーク接続ウィンドウと同様の画面が表示されますが、今回は右下隅に Microsoft の [接続解除(Disconnect)] ボタン(図 3-10)が表示される点が異なります。この表示は、接続が正常に実行されたことを通知するためのものです。

図 3-10 接続解除ウィンドウ

 

ログインに関連するアイコンをクリックします。例では、[VistaAdmin] をクリックしてマシンへのログインを完了させます。


注意 接続が確立されると、ログイン時間が無制限になります。ユーザが接続後にログインしなかった場合、トンネルは接続されたままになります。


 

PLAP を使用した AnyConnect クライアントからの接続解除

正常にトンネル接続されると、PLAP コンポーネントは元のウィンドウに戻ります。今回は、ウィンドウの右下隅に [接続解除(Disconnect)] ボタンが表示されます(図 3-10 の赤丸部分)。

[接続解除(Disconnect)] をクリックすると、VPN トンネルが接続解除されます。

[接続解除(Disconnect)] ボタンに応答する明示的な接続解除以外に、トンネルは次の状況でも接続解除されます。

ユーザが PLAP を使用して PC にログインした後で [キャンセル(Cancel)] を押した。

ユーザがシステムにログインする前に PC がシャットダウンした。

この動作は、Windows Vista PLAP アーキテクチャの機能であり、AnyConnect クライアントの機能ではありません。

FIPS と追加セキュリティのイネーブル化

AnyConnect ローカル ポリシーは、AnyConnect VPN クライアントの追加のセキュリティ パラメータを指定します。これには、暗号化モジュールに固有のセキュリティ要件に関する米国政府標準規格である Federal Information Processing Standard(FIPS; 連邦情報処理標準)140-2 レベル 1 モードでの動作が含まれます。FIPS 140-2 標準は、暗号ベースのセキュリティ システムを使用してコンピュータおよび遠隔通信の機密情報を保護するすべての政府機関に適用されます。

AnyConnect ローカル ポリシーのその他のパラメータは、リモート アップデートを禁止して中間者攻撃を防いだり、管理者またはルート以外のユーザがクライアント設定を修正できないようにすることによって、セキュリティを高めます。

AnyConnect ローカル ポリシーのパラメータは、AnyConnectLocalPolicy.xml という名前の XML ファイルにあります。このファイルは、ASA 5500 シリーズのセキュリティ アプライアンスでは展開されません。企業のソフトウェア展開システムを使用してこのファイルを展開するか、ユーザ コンピュータ上で手動でファイルを変更する必要があります。

Windows に対しては、標準 MST インストール ファイルに適用して FIPS をイネーブル可能な Microsoft Transform(MST)ファイルを用意してあります。この MST では、その他の AnyConnect ローカル ポリシー パラメータは変更されません。コマンドライン ツールの Enable FIPS ツールを使用することもできます。このツールを実行するには、Windows 上では管理者権限が必要です。Linux または Mac 上では、root ユーザとして実行する必要があります。MST または Enable FIPS ツールは、AnyConnect クライアントのソフトウェア ダウンロード ページからダウンロードできます。

または、AnyConnect ローカル ポリシー ファイルのコピーをクライアント インストールから取得し、手動でパラメータを編集して、ユーザのコンピュータに展開してください。

ここでは、これらの手順をすべて説明します。

「AnyConnect ローカル ポリシー ファイルのパラメータと値」

「AnyConnect ローカル ポリシー ファイルの例」

「MST ファイルを使用した Windows クライアント用パラメータの変更」

「手動での AnyConnect ローカル ポリシー ファイルのパラメータ変更」

「すべてのオペレーティング システムでの Enable FIPS ツールを使用したパラメータ変更」

AnyConnect ローカル ポリシー ファイルのパラメータと値


) プロファイル ファイルのポリシー パラメータを省略した場合、機能はデフォルト動作になります。


表 3-3 に、AnyConnect ローカル ポリシー ファイルとその値を示します。

表 3-3 AnyConnect ローカル ポリシー ファイルとその値

パラメータおよび説明
値および値の形式

acversion

このファイルのすべてのパラメータを解釈できる AnyConnect クライアントの最小バージョンを指定。指定されているバージョンよりも古いクライアントがファイルを読み取った場合、イベント ログ警告が発行されます。

形式は acversion="<version number>"。

xmlns

XML 名前空間指定子。ほとんどの場合、管理者はこのパラメータを変更しません。

形式は URL。例:

xmlns=http://schemas.xmlsoap.org/encoding/

xsi:schemaLocation

スキーマ ロケーションの XML 指定子。ほとんどの場合、管理者はこのパラメータを変更しません。

形式は URL。例:

xsi:schemaLocation="http://schemas.xmlsoap.org/
encoding/AnyConnectLocalPolicy.xsd">

xmlns:xsi

XML スキーマ インスタンス指定子。ほとんどの場合、管理者はこのパラメータを変更しません。

形式は URL。例:

xmlns:xsi=http://www.w3.org/2001/
XMLSchema-instance

FipsMode

クライアントの FIPS モードをイネーブル化。クライアントは、FIPS 標準で承認されているアルゴリズムおよびプロトコルだけを使用します。

true:FIPS モードをイネーブル。

false:FIPS モードをディセーブル(デフォルト)。

BypassDownloader

ダイナミック コンテンツのローカル バージョンの存在を検出し、アップデートする VPNDownloader.exe モジュールの呼び出しをディセーブルにします。

true:クライアントは、セキュリティ アプライアンス上にプロファイルのアップデート、翻訳、カスタマイゼーション、オプションのモジュール、コア ソフトウェアのアップデートなど、ダイナミック コンテンツがあるかどうかをチェックしません。

false:クライアントは、セキュリティ アプライアンス上にダイナミック コンテンツがあるかどうかをチェックします(デフォルト)。


) セキュリティ アプライアンスでクライアントプロファイルを設定する場合は、BypassDownloader を true に設定したセキュリティ アプライアンスに接続する前に、クライアント プロファイルをクライアントにインストールしておく必要があります。プロファイルには管理者が定義したポリシーが含まれていることがあるため、セキュリティ アプライアンスを使用してクライアント プロファイルを集中管理しない場合を除いて、BypassDownloader を true に設定しないでください。


RestrictWebLaunch

WebLaunch の使用を禁止し、強制的に AnyConnect FIPS 準拠のスタンドアロン接続モードでユーザを接続することによって、ユーザが FIPS 準拠でないブラウザを使用して AnyConnect トンネルを開始するセキュリティ クッキーを取得しないようにします。

true:WebLaunch の試行は失敗し、クライアントからユーザに情報メッセージが表示されます。

false:WebLaunch を許可します(デフォルト。AnyConnect 2.3 以前と同じ動作)。

StrictCertificateTrust

リモート セキュリティ ゲートウェイを認証するときに、AnyConnect クライアントは、確認できない証明書を許可しません。これらの証明書を受け入れるようにプロンプトを表示することはありません。クライアントから自己署名証明書を使用するセキュリティ ゲートウェイへの接続が失敗します。

true:クライアントから自己署名証明書を使用するセキュリティ ゲートウェイへの接続が失敗します。

false:クライアントは、証明書を受け入れるようにプロンプトを表示します(デフォルト。AnyConnect 2.3 以前と同じ動作)。

RestrictPreferenceCaching

設計上、AnyConnect クライアントは、機密情報をディスクにキャッシュしません。このパラメータをイネーブルにすると、AnyConnect プリファレンスに格納されているすべての種類のユーザ情報に、このポリシーが拡張されます。

Credentials:ユーザ名および第 2 ユーザ名はキャッシュされません。

Thumbprints:クライアントおよびサーバの証明書のサムプリントはキャッシュされません。

CredentialsAndThumbprints:証明書のサムプリントおよびユーザ名はキャッシュされません。

All:自動プリファレンスはどれもキャッシュされません。

false:すべてのプリファレンスがディスクに書き込まれます(デフォルト。AnyConnect 2.3 以前と同じ動作)。

RestrictTunnelProtocols(現在はサポート対象外)

特定のトンネル プロトコル ファミリを使用してセキュリティ アプライアンスへの接続を確立することを禁止します。

TLS:クライアントは IKEv2 および ESP のみを使用してトンネルを確立します。セキュリティ ゲートウェイへの情報の伝達に、TLS/DTLS は使用しません。

IPSec:クライアントは、認証およびトンネリングに TLS/DTLS だけを使用します。

false:接続確立で、任意の暗号化プロトコルを使用できます(デフォルト)。


) TLS またはその他のプロトコルの使用を禁止した場合、Secure Desktop の自動アップグレードなど、一部の拡張機能が使用できなくなる場合があります。


ExcludeFirefoxNSSCertStore(Linux および Mac)

クライアントが Firefox NSS 証明書ストアを使用してサーバ証明書を確認することを、許可または除外します。ストアには、クライアント証明書認証用の証明書を取得する場所に関する情報があります。

true:Firefox NSS 証明書ストアを除外します。

false:Firefox NSS 証明書ストアを許可します(デフォルト)。

ExcludePemFileCertStore(Linux および Mac)

クライアントが PEM ファイル証明書ストアを使用してサーバ証明書を確認することを、許可または除外します。ストアは FIPS 対応の OpenSSL を使用し、クライアント証明書認証用の証明書を取得する場所に関する情報があります。PEM ファイル証明書ストアを許可することによって、リモート ユーザが FIPS 準拠の証明書ストアを使用するようにできます。

true:PEM ファイル証明書ストアを除外します。

false:PEM ファイル証明書ストアを許可します(デフォルト)。

ExcludeMacNativeCertStore(Mac 専用)

クライアントが Mac ネイティブ(キーチェーン)証明書ストアを使用してサーバ証明書を確認することを、許可または除外します。

true:Mac ネイティブ証明書ストアを除外します。

false:Mac ネイティブ証明書ストアを許可します(デフォルト)。

ExcludeWinNativeCertStore(Windows 専用。現在はサポート対象外)

クライアントが Windows Internet Explorer ネイティブ証明書ストアを使用してサーバ証明書を確認することを、許可または除外します。

true:Windows Internet Explorer 証明書ストアを除外します。

false:Windows Internet Explorer 証明書ストアを許可します(デフォルト)。

AnyConnect ローカル ポリシー ファイルの例

次に、AnyConnect ローカル ポリシー ファイルの例を示します。

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectLocalPolicy acversion="2.4.140"
xmlns=http://schemas.xmlsoap.org/encoding/
xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectLocalPolicy.xsd">
<FipsMode>false</FipsMode>
<BypassDownloader>false</BypassDownloader>
<RestrictWebLaunch>false</RestrictWebLaunch>
<StrictCertificateTrust>false</StrictCertificateTrust>
<RestrictPreferenceCaching>false</RestrictPreferenceCaching>
<RestrictTunnelProtocols>false</RestrictTunnelProtocols>
</AnyConnectLocalPolicy>

当社の MST ファイルによる FIPS のイネーブル化

Windows インストールでは、当社が提供する MST ファイルを標準 MSI インストール ファイルに適用して、AnyConnect ローカル ポリシーで FIPS をイネーブル化できます。この MST は FIPS をイネーブルにするだけで、その他のパラメータは変更しません。インストール時に、FIPS がイネーブル化された AnyConnect ローカル ポリシー ファイルが生成されます。

MST ファイルは、次の URL の SW ダウンロード エリアからダウンロードできます。

http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278875403

独自の MST ファイルによる任意のローカル ポリシー パラメータの変更

独自の MST ファイルを作成して、任意のローカル ポリシー パラメータを変更できます。次のカスタム行を使用して、独自の MST ファイルを作成してください。名前は、AnyConnect ローカル ポリシー ファイル(AnyConnectLocalPolicy.xml)のパラメータに対応しています。これらのパラメータの説明と設定可能な値については、 表 3-3 を参照してください。

LOCAL_POLICY_BYPASS_DOWNLOADER

LOCAL_POLICY_FIPS_MODE

LOCAL_POLICY_RESTRICT_PREFERENCE_CACHING

LOCAL_POLICY_RESTRICT_TUNNEL_PROTOCOLS

LOCAL_POLICY_RESTRICT_WEB_LAUNCH

LOCAL_POLICY_STRICT_CERTIFICATE_TRUST


) AnyConnect クライアント インストールは、ユーザ コンピュータ上にある既存のローカル ポリシー ファイルを自動的には上書きしません。クライアント インストーラで新しいポリシー ファイルを作成するには、その前にユーザ コンピュータ上の既存のポリシー ファイルを削除しておく必要があります。


すべてのオペレーティング システムでの Enable FIPS ツールを使用したパラメータ変更

すべてのオペレーティング システムで、Enable FIPS ツールを使用して、FIPS をイネーブル化した AnyConnect ローカル ポリシー ファイルを作成できます。Enable FIPS ツールはコマンドライン ツールで、実行するには、Windows では管理者権限が必要です。Linux および Mac では、root ユーザとして実行する必要があります。

Enable FIPS ツールは、AnyConnect クライアントのソフトウェア ダウンロード ページからダウンロードできます。

表 3-4 に、指定できるポリシー設定と、使用する引数および構文を示します。引数値の動作は、 表 3-3 で AnyConnect ローカル ポリシー ファイルのパラメータに指定されている動作と同じです。

Enable FIPS ツールを実行するには、コンピュータのコマンドラインから EnableFIPS <引数> コマンドを入力します。Enable FIPS ツールを使用するときは、次のことに注意してください。

引数を何も指定しなかった場合、ツールによって FIPS がイネーブル化され、vpnagent サービス(Windows)または vpnagent デーモン(Mac および Linux)が再起動されます。

複数の引数はスペースで区切ります。

次に、Windows コンピュータ上で実行する Enable FIPS ツールのコマンド例を示します。

EnableFIPS rwl=false sct=true bd=true fm=false
 

次ぶ、Linux または Mac コンピュータ上で実行するコマンド例を示します。

./EnableFIPS rwl=false sct=true bd=true fm=false
 

表 3-4 に、ポリシー設定と Enable FIPS ツールの引数を示します。

 

表 3-4 ポリシー設定と Enable FIPS ツールの引数

ポリシー設定
引数および構文

FIPS モード

fm=[true | false]

ダウンローダのバイパス

bd=[true | false]

WebLaunch の制限

rwl=[true | false]

厳格な証明書トラスト

sct=[true | false]

プリファレンス キャッシングの制限

rpc=[Credentials | Thumbprints | CredentialsAndThumbprints | All | false]

FireFox NSS 証明書ストアの除外
(Linux および Mac)

efn=[true | false]

PEM ファイル証明書ストアの除外
(Linux および Mac)

epf=[true | false]

Mac ネイティブ証明書ストアの除外
(Mac のみ)

emn=[true | false]

手動での AnyConnect ローカル ポリシー ファイルのパラメータ変更

AnyConnect ローカル ポリシーのパラメータを手動で変更するには、次の手順に従ってください。


ステップ 1 クライアント インストールから、AnyConnect ローカル ポリシー ファイル(AnyConnectLocalPolicy.xml)のコピーを取得します。

表 3-5 に、各オペレーティング システムでのインストール パスを示します。

 

表 3-5 オペレーティング システムと AnyConnect ローカル ポリシー ファイルのインストール パス

オペレーティング システム
インストール パス

Windows

%ALLUSERSAPPDATA%\Cisco\Cisco AnyConnect VPN Client5

Windows Mobile

%PROGRAMFILES%\Cisco AnyConnect VPN Client

Linux

/opt/cisco/vpn

Mac OS X

/opt/cisco/vpn

5.%ALLUSERSAPPDATA% は、同じ名前の環境変数を指します。
ほとんどの Win XP システムでは C:¥Documents and Settings¥All Users、Windows Vista では C:¥ProgramData です。

ステップ 2 パラメータ設定を編集します。次の例は、Windows の AnyConnect ローカル ポリシー ファイルの内容を示しています。

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectLocalPolicy acversion="2.4.140"
xmlns=http://schemas.xmlsoap.org/encoding/
xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectLocalPolicy.xsd">
<FipsMode>false</FipsMode>
<BypassDownloader>false</BypassDownloader>
<RestrictWebLaunch>false</RestrictWebLaunch>
<StrictCertificateTrust>false</StrictCertificateTrust>
<RestrictPreferenceCaching>false</RestrictPreferenceCaching>
<RestrictTunnelProtocols>false</RestrictTunnelProtocols>
</AnyConnectLocalPolicy>
 

ステップ 3 ファイルを AnyConnectLocalPolicy.xml として保存し、企業の IT ソフトウェア展開システムを使用してこのファイルをリモート コンピュータに展開します。

Trusted Network Detection のイネーブル化

Trusted Network Detection(TND)を使用すると、ユーザが企業ネットワークの中(信頼ネットワーク)にいる場合は自動的に AnyConnect クライアントが VPN 接続を接続解除し、企業ネットワークの外(非信頼ネットワーク)にいる場合は VPN 接続を開始するようにできます。この機能を使用すると、ユーザが信頼ネットワークの外にいるときに VPN 接続を開始することによって、セキュリティ意識を高めることができます。

クライアントで Start Before Logon(SBL)も実行している場合は、ユーザが信頼ネットワークの中に移動すると、コンピュータ上に表示されている SBL ウィンドウが自動的に閉じます。

TND を使用していても、ユーザは手動で VPN 接続を確立できます。信頼ネットワークの中でユーザが手動で開始した VPN 接続は、接続解除されません。TND で VPN セッションが接続解除されるのは、ユーザが最初は非信頼ネットワークにいて、その後信頼ネットワークに移動した場合だけです。たとえば、ユーザが自宅で VPN 接続を確立してから会社に移動した場合、TND はこの VPN セッションを接続解除します。

TND 機能は AnyConnect クライアントの GUI を制御し、接続を自動的に開始するため、GUI を常に実行している必要があります。ユーザが GUI を終了した場合、TND は VPN 接続を自動的に開始できません。

AnyConnect クライアントは、Windows XP 以降、および Mac OS X で TND をサポートします。

TND は、AnyConnect プロファイル(AnyConnectProfile.xml)で設定します。セキュリティ アプライアンスの設定を変更する必要はありません。 表 3-6 に、TND を設定するプロファイル パラメータとその値を示します。

 

表 3-6 Trusted Network Detection のパラメータ

名前
可能な値と説明

AutomaticVPNPolicy

true:TND をイネーブル。TrustedNetworkPolicy パラメータおよび UntrustedNetworkPolicy パラメータに従って、VPN 接続を開始または停止する必要があるときに自動的に管理します。

false:TND をディセーブル。VPN 接続は、手動でないと開始および停止できません。


) AutomaticVPNPolicy の設定にかかわらず、ユーザは VPN 接続を手動で制御できます。


TrustedNetworkPolicy

Disconnect:信頼ネットワークで VPN 接続を接続解除。

DoNothing:信頼ネットワークでは何もしない。

UntrustedNetworkPolicy

Connect:非信頼ネットワークで VPN 接続を開始(VPN 接続がない場合)。

DoNothing:非信頼ネットワークでは何もしない。


) TrustedNetworkPolicy と UntrustedNetworkPolicy の両方を DoNothing に設定すると、TND がディセーブルになります。


TrustedDNSDomains

クライアントが信頼ネットワーク内にいるときに、ネットワーク インターフェイスが持つ可能性のある DNS サフィックスのリスト(カンマ区切りの文字列)。次に、TrustedDNSDomain 文字列の例を示します。

*.cisco.com

DNS サフィックスでは、ワイルドカード(*)がサポートされます。

TrustedDNSServers

クライアントが信頼ネットワーク内にいるときに、ネットワーク インターフェイスが持つ可能性のある DNS サーバ アドレスのリスト(カンマ区切りの文字列)。次に、TrustedDNSServers 文字列の例を示します。

161.44.124.*,64.102.6.247

DNS サーバ アドレスでは、ワイルドカード(*)がサポートされます。


) TrustedDNSDomains と TrustedDNSServers の両方を設定した場合は、両方の設定が一致していないと、ユーザは信頼ネットワークの中にいると見なされません。


次のテキストは、TND パラメータを設定したプロファイル ファイルの ClientInitialization セクションを示しています。この例では、信頼ネットワークの中にいるときは自動的に VPN 接続を接続解除し、非信頼ネットワークにいるときは VPN 接続を開始するようにクライアントが設定されます。

<AutomaticVPNPolicy>true
<TrustedDNSDomains>*.cisco.com</TrustedDNSDomains>
<TrustedDNSServers>161.44.124.*,64.102.6.247</TrustedDNSServers>
<TrustedNetworkPolicy>Disconnect</TrustedNetworkPolicy>
<UntrustedNetworkPolicy>Connect</UntrustedNetworkPolicy>
</AutomaticVPNPolicy>
 

表 3-7 に、DNS サフィックスの一致の例を示します。

 

表 3-7 DNS サフィックスの一致の例

一致する DNS サフィックス
TrustedDNSDomains に使用する値

cisco.com(これだけ)

cisco.com

cisco.com
および
anyconnect.cisco.com

*cisco.com
または
cisco.com, anyconnect.cisco.com

asa.cisco.com
および
anyconnect.cisco.com

*.cisco.com
または
asa.cisco.com, anyconnect.cisco.com

複数のプロファイルで複数のセキュリティ アプライアンスに接続するユーザ

ユーザ コンピュータ上に複数のプロファイルがある場合、ユーザが TND イネーブルのセキュリティ アプライアンスから TND イネーブルでないセキュリティ アプライアンスに接続を変更したときに、問題が発生することがあります。ユーザが TND イネーブルのセキュリティ アプライアンスに接続していた場合、そのユーザは TND イネーブルのプロファイルを受け取っています。そのユーザが、信頼ネットワークの外でコンピュータをリブートすると、TND イネーブルのクライアントの GUI が表示され、最後に接続していたセキュリティ アプライアンスへの接続が試行されますが、このセキュリティ アプライアンスは、TND イネーブルでない可能性があります。

クライアントが TND イネーブルのセキュリティ アプライアンスに接続し、ユーザは TND イネーブルでないセキュリティ アプライアンスに接続したい場合は、ユーザが手動で接続解除してから、TND イネーブルでないセキュリティ アプライアンスに接続する必要があります。ユーザが TND 対応と TND 非対応の両方のセキュリティ アプライアンスに接続する可能性がある場合は、TND をイネーブルにする前に、この問題について検討してください。

この問題の解決法としては、次の回避策があります。

企業ネットワーク上にあるすべてのセキュリティ アプライアンスにロードされるクライアント プロファイルで、TND をイネーブルにする。

すべてのセキュリティ アプライアンスがリストされた 1 つのプロファイルをホスト エントリ セクションに作成し、このプロファイルをすべてのセキュリティ アプライアンスにロードする。

複数の異なるプロファイルが必要ない場合は、すべてのセキュリティ アプライアンスのプロファイルに同じプロファイル名を使用する。セキュリティ アプライアンスによって、既存のプロファイルが上書きされます。

証明書ストアの設定

ファイル ストアを使用して証明書認証を実行するように、AnyConnect クライアントを設定できます。ブラウザに依存して証明書の確認および署名を行う代わりに、クライアントがリモート コンピュータのファイル システムから証明書ファイルを読み取り、確認と署名を行います。

Windows では、クライアントが証明書を検索する証明書ストアを制御できます。証明書のルックアップをユーザ ストアのみ、またはマシン ストアのみに制限するようにクライアントを設定できます。

Mac および Linux では、PEM 形式の証明書ファイル用の証明書ストアを作成できます。ここでは、証明書ストアを設定し、その使用を制御する手順について説明します。

「Windows での証明書ストアの制御」

「Mac および Linux での PEM 証明書ストアの作成」

「証明書ストア使用の制限」

Windows での証明書ストアの制御

AnyConnect クライアントが証明書を検索する証明書ストアを制御します。これは、Windows の AnyConnect クライアントだけに適用されます。

Windows では、ローカル マシン用と現在のユーザ用に、個別の証明書ストアが提供されます。コンピュータ上で管理者権限を持つユーザは、両方のストアにアクセスできます。証明書のルックアップをユーザ ストアのみ、またはマシン ストアのみに制限するようにクライアントを設定できます。

AnyConnect クライアント プロファイルの ClientInitialization 要素に CertificateStore パラメータを追加することによって、証明書のルックアップを制限します。可能な値は、All(デフォルト)、Machine、または User の 3 つです(大文字と小文字が区別されます)。


) ほとんどの場合、デフォルト設定(All)が適しています。変更が必要となる特別な理由またはシナリオ要件がある場合を除いて、この設定は変更しないでください。


CertificateStore 設定がプロファイルにない場合、AnyConnect はすべての使用可能な証明書ストアを使用します。この設定は、Windows 以外のプラットフォームでは無効です。

AnyConnect クライアント プロファイルの ClientInitialization セクションで、使用する証明書ストアを指定できます。可能な値は次のとおりです。

All:(デフォルト)すべての証明書を受け入れ可能です。

Machine:マシン証明書(コンピュータで識別された証明書)を使用します。

User:ユーザ生成の証明書を使用します。


) これらのアトリビュートでは、大文字と小文字が区別されます。


次の表に、CertificateStore タグに関する情報を示します。

 

表 3-8 CertificateStore クライアント初期化タグ

デフォルト値6
可能な値7
ユーザ制御可能8
サポートされる OS

All

All、Machine、User

いいえ

すべて

6.プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。

7.<CertificateStore>Machine</CertificateStore> のように、開始タグと終了タグの間にパラメータ値を挿入します。

8.パラメータがユーザ制御をサポートしていない場合、Anyconnect は usercontrollable="true" 文字列を無視します。

証明書ストアの例

次の例で、マシン証明書を使用するようにクライアント証明書選択を変更する ClientInitialization 要素の CertificateStore パラメータの設定方法を示します。

<CertificateStore>Machine</CertificateStore>
 

値 machine によって、AnyConnect クライアントは Windows マシン証明書ストアで証明書を検索するように指示されます。これは、証明書がこのストアにあり、ユーザにマシンの管理者権限がない場合に役立ちます。

Mac および Linux での PEM 証明書ストアの作成

AnyConnect クライアントは、Privacy Enhanced Mail(PEM)形式のファイル ストアを使用した証明書認証をサポートしています。ブラウザに依存して証明書の確認および署名を行う代わりに、クライアントがリモート コンピュータのファイル システムから PEM 形式の証明書ファイルを読み取り、確認と署名を行います。

PEM ファイルのファイル名に関する制約事項

あらゆる条件下で AnyConnect クライアントが適切な証明書を取得するためには、ファイルが次の要件を満たしている必要があります。

すべての証明書ファイルは、拡張子 .pem で終わっていること。

すべての秘密鍵ファイルは、拡張子 .key で終わっていること。

クライアント証明書と、それに対応する秘密鍵のファイル名が同じであること。
たとえば、client.pem と client.key など。


) PEM ファイルのコピーを保持する代わりに、PEM ファイルへのソフト リンクを使用できます。


ユーザ証明書の保存

PEM ファイル証明書ストアを作成するには、 表 9 に示すパスとフォルダを作成します。これらのフォルダに、適切な証明書を配置してください。

 

表 9 PEM ファイル証明書ストアのフォルダと、保存される証明書の種類

PEM ファイル証明書ストアのフォルダ
保存される証明書の種類

~/.cisco/certificates/ca9

信頼できる CA とルート証明書

~/.cisco/certificates/client

クライアント証明書

~/.cisco/certificates/client/

秘密鍵

null

9.~ は、ホーム ディレクトリを表します。


) マシン証明書の要件は、PEM ファイル証明書の要件と同じですが、ルート ディレクトリが異なります。マシン証明書の場合は、~/.cisco を /opt/.cisco に置き換えてください。それ以外は、表 9 に示すパス、フォルダ、証明書の種類が適用されます。


証明書ストア使用の制限

AnyConnect ローカル ポリシーで、Firefox NSS(Linux および Mac)、PEM ファイル、Mac ネイティブ(キーチェーン)、および Windows Internet Explorer ネイティブの各証明書ストアの使用を制限するパラメータを設定することで、クライアントが使用する証明書ストアに関して追加の制限を設定できます。 表 3-10 に、これらの制限を制御するパラメータを示します。

 

表 3-10 AnyConnect ローカル ポリシーの証明書ストアのパラメータ

パラメータおよび説明
値および値の形式

ExcludeFirefoxNSSCertStore(Linux および Mac)

クライアントが Firefox NSS 証明書ストアを使用してサーバ証明書を確認することを、許可または除外します。ストアには、クライアント証明書認証用の証明書を取得する場所に関する情報があります。

true:Firefox NSS 証明書ストアを除外します。

false:Firefox NSS 証明書ストアを許可します(デフォルト)。

ExcludePemFileCertStore(Linux および Mac)

クライアントが PEM ファイル証明書ストアを使用してサーバ証明書を確認することを、許可または除外します。ストアは FIPS 対応の OpenSSL を使用し、クライアント証明書認証用の証明書を取得する場所に関する情報があります。PEM ファイル証明書ストアを許可することによって、リモート ユーザが FIPS 準拠の証明書ストアを使用するようにできます。

true:PEM ファイル証明書ストアを除外します。

false:PEM ファイル証明書ストアを許可します(デフォルト)。

ExcludeMacNativeCertStore(Mac 専用)

クライアントが Mac ネイティブ(キーチェーン)証明書ストアを使用してサーバ証明書を確認することを、許可または除外します。

true:Mac ネイティブ証明書ストアを除外します。

false:Mac ネイティブ証明書ストアを許可します(デフォルト)。

ExcludeWinNativeCertStore(Windows 専用。現在はサポート対象外)

クライアントが Windows Internet Explorer ネイティブ証明書ストアを使用してサーバ証明書を確認することを、許可または除外します。

true:Windows Internet Explorer 証明書ストアを除外します。

false:Windows Internet Explorer 証明書ストアを許可します(デフォルト)。

Simplified Certificate Enrollment Protocol の設定

AnyConnect スタンドアロン クライアントは、Simple Certificate Enrollment Protocol(SCEP)を利用して、クライアント認証に使用する証明書をプロビジョニングおよび更新できます。SCEP の目的は、使用可能な既存のテクノロジーを使用して、スケーラブルな方法で、ネットワーク デバイスに証明書を安全に発行できるようにすることです。

当社の SCEP プロトコルの実装では、AnyConnect クライアントが証明書要求を送信し、認証局(CA)が自動的に要求を受け入れまたは拒否します(SCEP プロトコルでは、クライアントが証明書を要求してから、受け入れまたは拒否の応答を受信するまで CA にポーリングするという方式も許可されています。ポーリング方式は、このリリースでは実装されていません)。

AnyConnect 管理者は、SCEP 要求の使用方法をクライアント プロファイル ファイルで設定します。このファイルは、クライアントにダウンロードされる XML ファイルで、クライアントの動作に影響を与える設定が含まれています。表 3-11 に、SCEP 機能の設定に使用されるプロファイル要素を示します。

SCEP プロトコルの使用は、AnyConnect クライアントをサポートするすべてのオペレーティング システムでサポートされています。

ここでは、次の内容について説明します。

「自動または手動による証明書のプロビジョニングと更新」

「証明書のプロビジョニングと更新を行う SCEP プロトコルの設定」

「SCEP 要求後の証明書ストレージ」

「証明書の期限切れの注意」

「AnyConnect 用の SCEP プロトコルをサポートする ASA の設定」

自動または手動による証明書のプロビジョニングと更新

SCEP 要求は、AnyConnect が証明書要求を自動的に開始するようにも、ユーザが証明書要求を手動で要求するようにも設定できます。

自動的な証明書要求

AnyConnect は 2 とおりのケースで、新しい証明書を自動的に取得しようとします。どちらの場合も、クライアント証明書の認証に失敗してからでないと、AnyConnect は自動的に新しい証明書を取得しようとしません。

最初のケースは、クライアント プロファイルの <AutomaticSCEPHost> 要素で識別されるグループ URL にユーザが接続しようとしたときです。AnyConnect は、SCEP に対応したグループ URL に基づいた VPN が確立された後で、SCEP 証明書要求を開始します。

証明書 ID を要求するプロンプトが、ユーザに表示される場合があります。証明書 ID は、認証局に提供されるチャレンジ パスワードまたはトークンであり、これによってユーザが認証局に対して識別されます。この ID と、プロファイルの SCEP セクションのその他のデータを使用して、AnyConnect は認証局に接続し、SCEP 取得プロセスを続行します。クライアント プロファイルで <CAURL> 要素の PromptForChallengePW アトリビュートがイネーブルの場合、AnyConnect は証明書 ID を要求するプロンプトを表示します。

自動証明書取得がトリガされる 2 番目の方式は、クライアント プロファイルで <CertificateSCEP> 要素が定義されていない場合です。この場合、認証局へのアクセスをサポートするように設定された接続プロファイルを使用して、ユーザは接続を試行します。VPN がアクティブになると、AnyConnect はクライアント プロファイルを検索し、VPN アクティベーションの一部としてダウンロードして、接続用に選択されたグループ URL がクライアント プロファイルにあるかどうかを確認します。

AnyConnect がクライアント プロファイルの <AutomaticSCEPHost> 要素でグループ URL を検出した場合、これによって、前の方式で説明した方法と同じ方法で自動 SCEP 取得プロセスが起動されます。

手動による証明書取得

AnyConnect インターフェイスの [証明書の取得(Get Certificate)] ボタンまたは [登録(Enroll)] ボタンをクリックして、新しい証明書の要求をユーザが開始します。AnyConnect にこれらのボタンが表示されるのは、AnyConnect プロファイルの SCEP セクションが設定されていて、次の条件のいずれかに当てはまる場合です。

ASA が証明書を要求したが、ホストの証明書が使用可能でないか、受け入れ可能でない。

AnyConnect が使用中の現在の証明書に設定された有効期限が、AnyConnect プロファイルの <CertificateExpirationThreshold> 要素で定義された日数以内に切れる。

AnyConnect が使用中の現在の証明書の有効期限が切れている。

ユーザが証明書要求を開始できるのは、次のいずれかの場合だけです。

ホストから認証局に直接アクセスできる。

公開された認証局である。

認証局にアクセスするための VPN トンネルが、ホストで確立済みである。

認証局の URL が、クライアント プロファイルの <CAURL> 要素で定義されている。

図 3-11 [証明書の取得(Get Certificate)] および [登録(Enroll)] ボタン

 

 

Windows 証明書の警告

自動または手動で Windows クライアントが初めて認証局から証明書を取得しようとしたときに、図 3-12 のような警告が表示されることがあります。プロンプトが表示されたら、[はい(Yes)] をクリックしてください。ユーザ証明書とルート証明書を受信できます。[いいえ(No)] をクリックすると、ユーザ証明書の受信だけが行われ、認証はできません。

図 3-12 Windows 証明書のセキュリティ警告

 

証明書のプロビジョニングと更新を行う SCEP プロトコルの設定

クライアント プロファイルで <CertificateSCEP> 要素が定義され、そのクライアント プロファイルがグループ ポリシーで指定され、そのグループ ポリシーがユーザの接続プロファイルで指定されている場合、AnyConnect クライアントは SCEP プロトコルを使用して証明書を取得します。

表 3-11 に、SCEP の設定に使用するクライアント プロファイルの要素を示します。例 3-1 に、クライアント プロファイルの SCEP 要素の例を示します。

クライアント プロファイルの設定方法の詳細については、「AnyConnect クライアント プロファイルの設定と展開」を参照してください。

 

表 3-11 SCEP の設定に使用するユーザ プロファイル ファイルの要素

要素名
説明

CertificateEnrollment

ClientInitialization

証明書登録の開始タグ。

CertificateExpirationThreshold

CertificateEnrollment

証明書が失効することを AnyConnect が警告する、証明書の有効期限前の日数。

デフォルト:0

値の範囲:0 ~ 180

この要素のデフォルト値は 0 で、警告を表示しません。最大値は、証明書の有効期限の 180 日前です。

次の例では、 CertificateExpirationThreshold 14 日に設定されます。

(注) CertificateExpirationThreshold がサポートされるのは、SCEP がディセーブルのときだけです。クライアント プロファイルで <CertificateSCEP> 要素が定義されていない場合、SCEP がディセーブルになります。

AutomaticSCEPHost

CertificateEnrollment

このアトリビュートで ASA ホスト名が指定され、SCEP 証明書取得用の接続プロファイル(トンネル グループ)が設定されている場合、ホストは自動証明書取得を試行します。

許可される値:

ASA\ 接続プロファイル名の完全修飾ドメイン名

ASA\ 接続プロファイル名の IP アドレス

次の例では、 AutomaticSCEPHost フィールドで、ASA のホスト名として asa.cisco.com が指定され、SCEP 証明書取得用に設定された接続プロファイル(トンネル グループ)の名前として scep_eng が指定されます。

CAURL

CertificateEnrollment

SCEP CA サーバを指定します。

許可される値:CA サーバの完全修飾ドメイン名または IP アドレス。

次の例では、 CAURL フィールドで SCEP CA サーバの名前として ca01.cisco.com が指定されます。

CAURL のアトリビュート:

PromptForChallengePW:手動で証明書要求を行う場合に使用します。ユーザが [証明書の取得(Get Certificate)] をクリックすると、ユーザ名とワンタイム パスワードを要求するプロンプトが表示されます。

許可される値:true、false

次の例の PromptForChallengePW アトリビュートは、「 true 」に設定されています。

Thumbprint:CA の証明書サムプリント。SHA1 または MD5 ハッシュを使用します。次の例の Thumbprint アトリビュートは、8475B661202E3414D4BB223A464E6AAB8CA123AB です。

CertificateSCEP

CertificateEnrollment

証明書の内容の要求方法を定義するセクション。次の例の CertificateSCEP 要素を参照してください。

CADomain

CertificateSCEP

認証局のドメイン。

次の例で、 CADomain cisco.com です。

Name_CN

CertificateSCEP

証明書の通常名。

次の例では、 Name_CN %USER% で、これはユーザの ASA ユーザ名ログイン クレデンシャルに対応します。

Department_OU

CertificateSCEP

証明書で指定されている部門名。

Company_O

CertificateSCEP

証明書で指定されている企業名。

State_ST

CertificateSCEP

証明書で指定されている州 ID。

Country_C

CertificateSCEP

証明書で指定されている国 ID。

Email_EA

CertificateSCEP

電子メール アドレス。

次の例では、 Email_EA %USER%.cisco.com です。 %USER% は、ユーザの ASA ユーザ名ログイン クレデンシャルに対応します。

Domain_DC

CertificateSCEP

ドメイン コンポーネント。次の例では、 Domain_DC cisco.com に設定されています。

DisplayGetCertButton

CertificateSCEP

AnyConnect GUI に [証明書の取得(Get Certificate)] ボタンを表示するかどうかを決定します。管理者は、ユーザが AnyConnect インターフェイスを操作するときに、何をしているのかがわかりやすいようにボタンを設定できます。このボタンがない場合は、AnyConnect が認証局に接続して証明書登録を試行していることを示すメッセージ ボックスと共に、[登録(Enroll)] というラベルの付いたボタンが表示されます。

デフォルト値:false

値の範囲:true、false

DisplayGetCertButton アトリビュートが false に設定されていると、[証明書の取得(Get Certificate)] ボタンが AnyConnect GUI に表示されません。証明書の認証のプロビジョニングと更新をユーザが手動で要求できないようにする場合は、false を選択します。

DisplayGetCertButton アトリビュートが true に設定されていると、CertificateExpirationThreshold 要素で定義された期間内に証明書の有効期限が切れるよう設定されている場合の期限切れ後、または証明書がない場合に、[証明書の取得(Get Certificate)] ボタンが表示されます。証明書の認証のプロビジョニングと更新をユーザが手動で要求できるようにする場合は、true を選択します。通常、ユーザはあらかじめ VPN トンネルを作成する必要なく、認証局にアクセスできます。

次の例では、 DisplayGetCertButton は false に設定されています。

ServerList

AnyConnectProfile

サーバ リストの開始タグ。サーバ リストは、AnyConnect が最初に起動されたときに表示されます。ユーザは、ログインする ASA を選択できます。次の例の ServerList を参照してください。

HostEntry

ServerList

ASA の設定の開始タグ。次の例の、2 番目の HostEntry 要素を参照してください。

HostName

HostEntry

ASA のホスト名。次の例の、2 番目の HostEntry 要素では、 HostName 要素は Certificate Enroll です。

HostAddress

HostEntry

ASA の完全修飾ドメイン名。次の例の、2 番目の HostEntry 要素では、 HostAddress 要素は ourasa.cisco.com に設定されています。

AutomaticSCEPHost

HostEntry

この要素の定義および許可される値は、この表ですでに説明した要素の定義および許可される値と同じです。ただし、この要素が設定されているときに、ユーザがサーバ リストからこの HostEntry を選択すると、この値によって、ユーザ プロファイル ファイルで先に設定されている AutomaticSCEPHost の値が上書きされます。

次の例では、この HostEntry の AutomaticSCEPHost に、 ourasa.cisco.com/scep_eng が設定されています。

CAURL

HostEntry

この要素の定義、許可される値、およびアトリビュートは、この表ですでに説明した要素の定義、許可される値、およびアトリビュートと同じです。ただし、この要素が設定されているときに、ユーザがサーバ リストからこの HostEntry を選択すると、この値によって、ユーザ プロファイル ファイルで先に設定されている CAURL の値が上書きされます。

次の例では、この HostEntry の CAURL に、 ourasa.cisco.com/scep_eng が設定されています。

例 3-1 ユーザ プロファイルの SCEP 要素の例

<AnyConnectProfile>

<ClientInitialization>

<CertificateEnrollment>

<CertificateExpirationThreshold>14</CertificateExpirationThreshold>

<AutomaticSCEPHost>asa.cisco.com/scep_eng</AutomaticSCEPHost>

<CAURL PromptForChallengePW="true" Thumbprint="8475B661202E3414D4BB223A464E6AAB8CA123AB">ca01.cisco.com</CAURL>

<CertificateSCEP>

<CADomain>cisco.com</CADomain>

<Name_CN>%USER%</Name_CN>

<Department_OU>Engineering</Department_OU>

<Company_O>Cisco Systems</Company_O>

<State_ST>Colorado</State_ST>

<Country_C>US</Country_C>

<Email_EA>%USER%@cisco.com</Email_EA>

<Domain_DC>cisco.com</Domain_DC>

<DisplayGetCertButton>false</DisplayGetCertButton>

</CertificateSCEP>

</CertificateEnrollment>

</ClientInitialization>

<ServerList>

<HostEntry>

<HostName>ABC-ASA</HostName>

<HostAddress>ABC-asa-cluster.cisco.com</HostAddress>

</HostEntry>

<HostEntry>

<HostName>Certificate Enroll</HostName>

<HostAddress>ourasa.cisco.com</HostAddress>

<AutomaticSCEPHost>ourasa.cisco.com/scep_eng</AutomaticSCEPHost>

<CAURL PromptForChallengePW="false" Thumbprint="8475B655202E3414D4BB223A464E6AAB8CA123AB">ca02.cisco.com</CAURL>

</HostEntry>

</ServerList>

</AnyConnectProfile>


) 本書の例をカット アンド ペーストしないでください。カット アンド ペーストすると、改行が入り、XML が機能しなくなることがあります。代わりに、プロファイル テンプレート ファイルをテキスト エディタ(メモ帳やワードパッドなど)で開いてください。


SCEP 要求後の証明書ストレージ

SCEP 要求を通じて取得された証明書は、ユーザの個人用証明書ストアに保管されます。さらに、Windows デスクトップ プラットフォーム上で十分な権限がユーザにある場合、証明書はマシン ストアにも保存されます。MAC プラットフォームでは、SCEP 要求を通じて取得された証明書が、「ログイン」キーチェーンだけに追加されます。Linux では、Firefox ブラウザ証明書ストアがサポートされています。

証明書の期限切れの注意

AnyConnect 管理者は、証明書が失効することをユーザに警告するように、クライアント プロファイルを設定できます。<CertificateExpirationThreshold> 要素によって、証明書が失効することを AnyConnect が警告する、証明書の有効期限前の日数を指定します。

この要素を使用すると、ユーザが SCEP 方式を使用して更新しないと証明書が失効するという警告を発することもできます。この場合は、クライアント プロファイルで <CertificateExpirationThreshold> 要素を定義しますが、<CertificateSCEP> 要素は定義しません。

手動で証明書を更新するように SCEP 取得プロセスが設定されている場合、ユーザは「手動による証明書取得」の手順に従います。自動的に証明書を更新するように SCEP 取得プロセスが設定されている場合は、AnyConnect が「自動的な証明書要求」の手順に従います。

AnyConnect 用の SCEP プロトコルをサポートする ASA の設定

プライベート Registration Authority(RA; 登録局)へのアクセスを提供するため、ASA 管理者は、目的の RA へのプライベート側ネットワーク接続を制限する ACL が含まれるグループ URL を作成する必要があります。自動的に証明書を取得するには、ユーザがこのグループ URL に接続し、認証を行う必要があります。

ユーザがこのグループ URL で認証を行うと、AnyConnect は接続プロファイルに割り当てられているクライアント プロファイルをダウンロードします。クライアント プロファイルには、<CertificateEnrollment> セクションがあります。このセクションの情報を使用して、クライアントは自動的に、クライアント プロファイルの <CAURL> 要素で指定されている認証局に接続し、証明書登録を開始します。ASA 管理者は、次の設定作業を実行する必要があります。

特に設定したグループを指すグループ URL を ASA で作成する。

ユーザのクライアント プロファイルの <AutomaticSCEPHost> 要素で、このグループ URL を指定する。

<CertificateEnrollment> セクションを含むクライアント プロファイルを、特に設定したグループに結び付ける。

特に設定したグループに ACL を設定して、プライベート側 RA へのトラフィックを制限する。

SCEP がイネーブルされたグループがユーザに公開されることを防ぐため、ASA では「イネーブル」にしないでください。ここで説明した実装を使用すれば、ユーザがグループにアクセスするために、グループを公開する必要がありません。

ASA での証明書のみの認証の設定

複数のグループを使用する環境で証明書のみの認証をサポートするには、管理者が複数のグループ URL をプロビジョニングします。各グループ URL には、さまざまなプロファイルと、グループ固有の証明書マップを作成するためのカスタマイズされたデータが含まれます。たとえば、ASA に開発部の Department_OU 値をプロビジョニングし、このプロセスによる証明書が ASA に提供されたときに、このグループにユーザを配置するようにできます。

証明書照合の設定

AnyConnect クライアントは、次の証明書照合タイプをサポートします。これらのいくつか、またはすべてを使用して、クライアント証明書を照合できます。証明書照合は、AnyConnect プロファイルで設定できるグローバル基準です。次の基準があります。

Key Usage

Extended Key Usage

認定者名

Key Usage 証明書照合

証明書の key usage は、指定された証明書で実行できる幅広い操作の制約のセットを提供します。サポートされるセットは、次のとおりです。

DIGITAL_SIGNATURE

NON_REPUDIATION

KEY_ENCIPHERMENT

DATA_ENCIPHERMENT

KEY_AGREEMENT

KEY_CERT_SIGN

CRL_SIGN

ENCIPHER_ONLY

DECIPHER_ONLY

プロファイルには、0 個以上の照合基準を含めることができます。1 つ以上の基準が指定されている場合、証明書が一致すると見なされるには、少なくとも 1 つの基準が一致している必要があります。

「証明書照合の例」の例で、これらのアトリビュートを設定する方法を示します。

Extended Key Usage 証明書照合

この照合では、Extended Key Usage フィールドに基づいて、クライアントが使用できる証明書を管理者が制限できます。 表 3-12 に、既知の制約のセットと、それに対応するオブジェクト ID(OID)を示します。

 

表 3-12 Extended Key Usage 証明書

制約
OID

ServerAuth

1.3.6.1.5.5.7.3.1

ClientAuth

1.3.6.1.5.5.7.3.2

CodeSign

1.3.6.1.5.5.7.3.3

EmailProtect

1.3.6.1.5.5.7.3.4

IPSecEndSystem

1.3.6.1.5.5.7.3.5

IPSecTunnel

1.3.6.1.5.5.7.3.6

IPSecUser

1.3.6.1.5.5.7.3.7

TimeStamp

1.3.6.1.5.5.7.3.8

OCSPSign

1.3.6.1.5.5.7.3.9

DVCS

1.3.6.1.5.5.7.3.10

その他すべての OID(本書の例で使用している 1.3.6.1.5.5.7.3.11 など)は、「カスタム」と見なされます。管理者は、既知のセットに必要な OID がない場合、独自の OID を追加できます。プロファイルには、0 個以上の照合基準を含めることができます。証明書が一致すると見なされるには、指定されているすべての基準に一致している必要があります。AnyConnect クライアントがエンドポイントに自動的にダウンロードする、AnyConnectProfile.tmpl という名前の AnyConnect プロファイルの例を参照してください。

証明書認定者名マッピング

証明書認定者名マッピング機能によって、管理者は、クライアントが使用できる証明書を特定の基準および基準照合条件に一致する証明書に制限できます。 表 3-13 に、サポートされる基準を示します。

 

表 3-13 証明書認定者名マッピングの基準

ID
説明

CN

SubjectCommonName

SN

SubjectSurName

GN

SubjectGivenName

N

SubjectUnstructName

I

SubjectInitials

GENQ

SubjectGenQualifier

DNQ

SubjectDnQualifier

C

SubjectCountry

L

SubjectCity

SP

SubjectState

ST

SubjectState

O

SubjectCompany

OU

SubjectDept

T

SubjectTitle

EA

SubjectEmailAddr

DC

DomainComponent

ISSUER-CN

IssuerCommonName

ISSUER-SN

IssuerSurName

ISSUER-GN

IssuerGivenName

ISSUER-N

IssuerUnstructName

ISSUER-I

IssuerInitials

ISSUER-GENQ

IssuerGenQualifier

ISSUER-DNQ

IssuerDnQualifier

ISSUER-C

IssuerCountry

ISSUER-L

IssuerCity

ISSUER-SP

IssuerState

ISSUER-ST

IssuerState

ISSUER-O

IssuerCompany

ISSUER-OU

IssuerDept

ISSUER-T

IssuerTitle

ISSUER-EA

IssuerEmailAddr

ISSUER-DC

IssuerDomainComponent

プロファイルには、0 個以上の照合基準を含めることができます。証明書が一致すると見なされるには、指定されているすべての基準に一致している必要があります。認定者名照合によって、追加の照合基準が提供されます。たとえば、管理者が、指定した文字列が証明書に含まれている必要があるか、含まれていてはいけないかを指定できます。また、文字列のワイルドカードも使用できます。AnyConnect クライアントがエンドポイントに自動的にダウンロードする、AnyConnectProfile.tmpl という名前の AnyConnect プロファイルの例を参照してください。

証明書照合の例


) この例、およびそれ以降の例で使用する KeyUsage、ExtendedKeyUsage、および DistinguishedName のプロファイル値は単なる例です。使用する証明書に適用する CertificateMatch 基準だけを設定してください。


次の例で、クライアント証明書選択を調整するために使用できるアトリビュートのイネーブル方法を示します。

<CertificateMatch>
<!--
Specifies Certificate Key attributes that can be used for choosing
acceptable client certificates.
-->
<KeyUsage>
<MatchKey>Non_Repudiation</MatchKey>
<MatchKey>Digital_Signature</MatchKey>
</KeyUsage>
<!--
Specifies Certificate Extended Key attributes that can be used for
choosing acceptable client certificates.
-->
<ExtendedKeyUsage>
<ExtendedMatchKey>ClientAuth</ExtendedMatchKey>
<ExtendedMatchKey>ServerAuth</ExtendedMatchKey>
<CustomExtendedMatchKey>1.3.6.1.5.5.7.3.11</CustomExtendedMatchKey>
</ExtendedKeyUsage>
<!--
Certificate Distinguished Name matching allows for exact
match criteria in the choosing of acceptable client
certificates.
-->
<DistinguishedName>
<DistinguishedNameDefinition Operator="Equal" Wildcard="Enabled">
<Name>CN</Name>
<Pattern>ASASecurity</Pattern>
</DistinguishedNameDefinition>
<DistinguishedNameDefinition Operator="Equal" Wildcard="Disabled">
<Name>L</Name>
<Pattern>Boulder</Pattern>
</DistinguishedNameDefinition>
</DistinguishedName>
</CertificateMatch>
 

ClientInitialization セクションの CertificateMatch セクションで、クライアント証明書選択を調整するプリファレンスを定義します。特に記述がない限り、これらのパラメータにはデフォルト値がありません。そのため、パラメータを指定しなかった場合は無効になります。 表 3-14 に、これらのパラメータのまとめと、可能な値を示します。

CertificateMatch セクションをプロファイルに含めるのは、認証の一部に証明書を使用する場合だけです。ユーザ証明書を一意に識別するために必要な CertificateMatch サブセクション(KeyUsage、ExtendedKeyUsage、および DistinguishedName)だけをプロファイルに含めてください。これらのセクションのデータは、照合するユーザ証明書に固有なものにする必要があります。

 

表 3-14 証明書照合パラメータ

XML タグ名
可能な値
説明

CertificateMatch

該当なし

グループ ID。

<CertificateMatch>...
</CertificateMatch>

KeyUsage

該当なし

グループ ID。CertificateMatch の子パラメータ。これらのアトリビュートを使用して、受け入れ可能なクライアント証明書を指定します。

<KeyUsage>
<Ma tchKey>Non_Repudiation</MatchKey>
</KeyUsage>

MatchKey

Decipher_Only
Encipher_Only
CRL_Sign
Key_Cert_Sign
Key_Agreement
Data_Encipherment
Key_Encipherment
Non_Repudiation
Digital_Signature

KeyUsage グループの MatchKey アトリビュートで、受け入れ可能なクライアント証明書の選択に使用できるアトリビュートを指定します。1 つ以上の照合キーを指定します。指定されたキーの少なくとも 1 つが一致する証明書が選択されます。

<KeyUsage>
<Ma tchKey>Non_Repudiation</MatchKey>
<Ma tchKey>Digital_Signature</MatchKey>
</KeyUsage>

ExtendedKeyUsage

該当なし

グループ ID。CertificateMatch の子パラメータ。これらのアトリビュートを使用して、受け入れ可能なクライアント証明書を選択します。

<ExtendedKeyUsage>
<ExtendedMa tchKey>ClientAuth</ExtendedMatchKey>
</ExtendedKeyUsage>

ExtendedMatchKey

ClientAuth
ServerAuth
CodeSign
EmailProtect
IPSecEndSystem
IPSecTunnel
IPSecUser
TimeStamp
OCSPSign
DVCS

ExtendedKeyUsage グループの ExtendedMatchKey で、受け入れ可能なクライアント証明書の選択に使用できるアトリビュートを指定します。0 個以上の拡張照合キーを指定します。指定されたすべてのキーが一致する証明書が選択されます。

<ExtendedMa tchKey>ClientAuth</ExtendedMatchKey>
<ExtendedMa tchKey>ServerAuth</ExtendedMatchKey>
 

CustomExtendedMatchKey

既知の MIB OID 値。
1.3.6.1.5.5.7.3.11 など。

ExtendedKeyUsage グループで、0 個以上のカスタム拡張照合キーを指定できます。指定されたすべてのキーが一致する証明書が選択されます。キーは、OID 形式で指定する必要があります(1.3.6.1.5.5.7.3.11 など)。

<CustomExtendedMatchKey>1.3.6.1.5.5.7.3.11<<CustomExtendedMatchKey>

DistinguishedName

n/a

グループ ID。DistinguishedName グループでは、証明書認定者名照合によって受け入れ可能なクライアント証明書を選択するための、一致基準を指定できます。

<DistinguishedName>...</DistinguishedName>

DistinguishedNameDefinition

DistinguishedNameDefinition で、照合で使用する単一の認定者名アトリビュートを定義する演算子のセットを指定します。Operator は、照合を実行するときに使用する動作を指定します。MatchCase は、パターン マッチングで大文字と小文字を区別するかどうかを指定します。

<DistinguishedNameDefinition Operator=”Equal” Wildcard=”Enabled” Matchcase=”Enabled”>
<Name>CN</Name>
<Pattern>ASASecurity</Pattern>
</DistinguishedNameDefinition>

Name

CN
DC
SN
GN
N
I
GENQ
DNQ
C
L
SP
ST
O
OU
T
EA
ISSUER-CN
ISSUER-DC
ISSUER-SN
ISSUER-GN
ISSUER-N
ISSUER-I
ISSUER-GENQ
ISSUER-DNQ
ISSUER-C
ISSUER-L
ISSUER-SP
ISSUER-ST
ISSUER-O
ISSUER-OU
ISSUER-T
ISSUER-EA

照合で使用する DistinguishedName アトリビュート名。最大で 10 個のアトリビュートを指定できます。

Pattern

A string (1-30 characters) enclosed in double quotes. With wildcards enabled, the pattern can be anywhere in the string.

照合で使用する文字列(パターン)を指定します。この定義では、ワイルドカード パターンマッチはデフォルトでディセーブルになっています。

認証証明書選択のプロンプト

以前のリリースでは、ユーザが証明書を使用して AnyConnect セッションを認証するときに、AnyConnect は何も表示することなく、一致する証明書を提供していました。本リリースからは、有効な証明書のリストをユーザに表示し、セッションの認証に使用する証明書を選択するよう、AnyConnect を設定できるようになりました。

この設定は、AnyConnect がサポートする Mobile 以外の Windows オペレーティング システムだけで可能です。

AutomaticCertSelection を使用したクライアント プロファイルの設定

ユーザが認証証明書を選択できるようにするには、AnyConnect 管理者が、<AutomaticCertSelection> 要素を false に設定したクライアント プロファイルをユーザに提供する必要があります。クライアント プロファイルの編集および配布の方法については、「AnyConnect クライアント プロファイルの設定と展開」を参照してください。

ここでは、<AutomaticCertSelection> 要素の説明と、クライアント プロファイルでの実例を示します。

表 3-15 AutomaticCertSelection 要素の説明

要素名
説明

AutomaticCertSelection

ClientInitialization

ユーザが AnyConnect セッションの認証に使用する証明書を選択することを、許可または禁止します。このフィールドがあると、[AnyConnect プリファレンス(AnyConnect Preferences)] ダイアログボックスに [自動証明書選択(Automatic certificate selection)] チェックボックスが表示されます。

許可される値:

true:値を true に設定すると、AnyConnect が自動的に認証証明書を選択できるようになります。

false:値を false に設定すると、ユーザが認証証明書を選択するためのプロンプトが表示されます。

デフォルト値:true

図 3-13 クライアント プロファイルの AutomaticCertSelection 要素

<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
 
<AnyConnectProfile>
<ClientInitialization>
<AutomaticCertSelection>false</AutomaticCertSelection>
</ClientInitialization>
<AnyConnectProfile>

注意 本書の例をカット アンド ペーストしないでください。カット アンド ペーストすると、改行が入り、XML が機能しなくなることがあります。代わりに、プロファイル テンプレート ファイルをテキスト エディタで開いてください。

ユーザによる、AnyConnect プリファレンスの自動証明書選択の設定

クライアント プロファイルに <AutomaticCertSelection> 要素がある場合、[AnyConnect プリファレンス(AnyConnect Preferences)] ダイアログボックスに [自動証明書選択(Automatic certificate selection)] チェックボックスが表示されます。ユーザは、[自動証明書選択(Automatic certificate selection)] チェックボックスをオンまたはオフにすることで、自動証明書選択をオンまたはオフにできます。

図 3-14 [自動証明書選択(Automatic certificate selection)] チェックボックス

 

バックアップ サーバ リスト パラメータの設定

ユーザが選択したサーバに障害が発生した場合にクライアントが使用する、バックアップ サーバのリストを設定できます。これらのサーバは、AnyConnect クライアント プロファイルの ClientInitialization セクションで指定します。場合によっては、BackupServerList でホスト固有の設定を指定することがあります。

これらのパラメータにはデフォルト値がありません。そのため、パラメータを指定しなかった場合は無効になります。 表 3-16 に、これらのパラメータと可能な値を示します。


) BackupServerList セクションをプロファイルに含めるのは、バックアップ サーバを指定する場合だけです。


 

表 3-16 バックアップ サーバ パラメータ

名前
可能な値
説明

BackupServerList

n/a

グループ ID。

<BackupServerList>...</BackupServerList>

HostAddress

An IP address or a Full-Qualified Domain Name (FQDN)

バックアップ サーバ リストに含めるホスト アドレスを指定します。

<BackupServerList>
<HostAddress>bos</HostAddress>
<HostAddress>bos.example.com</HostAddress>
</BackupServerList>

Windows Mobile デバイスへの AnyConnect のインストール

セキュリティ アプライアンスでは、モバイル デバイス上で AnyConnect の WebLaunch がサポートされません。そのため、モバイル ユーザは、AnyConnect Client for Windows Mobile をダウンロードしてインストールする必要があります。企業のコンピュータの場合と同じように、従業員に支給する Windows Mobile デバイスに、AnyConnect を事前展開できます。

AnyConnect Client for Windows Mobile をダウンロードおよびインストールするには、次の手順に従ってください。


ステップ 1 次のいずれかのファイルを Cisco AnyConnect VPN Client Download Software サイトからダウンロードして、Windows Mobile クライアントを取得します。

すべてのクライアント インストール パッケージが含まれるファイル:anyconnect-all-packages-- AnyConnectRelease_Number -k9.zip

シスコによって署名された Windows Mobile デバイス用の CAB パッケージ:anyconnect-wince-ARMv4I- AnyConnectRelease_Number -k9.cab

Windows Mobile プラットフォーム用の ActiveSync MSI パッケージ:anyconnect-wince-ARMv4I-activesync- AnyConnectRelease_Number -k9.msi

ステップ 2 anyconnect-all-packages-- AnyConnectRelease_Number -k9.zip ファイルをダウンロードした場合は、このファイルを解凍します。

ステップ 3 クライアントへのリンクをユーザに提供する場合は、企業のサーバにファイルを転送します。

ステップ 4 Windows Mobile デバイスが、最新の『 AnyConnect Release Notes 』に記載されたシステム要件を満たしていることを確認します。

ステップ 5 何らかの方法で、イントラネット サーバまたはローカル コンピュータからモバイル デバイスに .cab または .msi ファイルを転送します。たとえば、次の方法があります。

無線による Microsoft ActiveSync

LAN または無線による HTTP、FTP、SSH、または共有ファイル

Bluetooth

(USB)ケーブル

メディア カードによる転送

ステップ 6 モバイル デバイスを使用して転送したファイルを開き、インストール ウィザードに従います。


 

Windows Mobile のポリシー設定

エンド ユーザが Windows Mobile デバイスを使用して接続できるように、Mobile のポリシー パラメータを設定します。これらのパラメータは、Windows Mobile デバイスだけに適用されます。パラメータを含めるのは、エンド ユーザが Windows Mobile を使用する場合だけにしてください。Windows Mobile デバイスのサポートに関する詳しい最新情報については、最新バージョンの『 Release Notes for Cisco AnyConnect VPN Client 』を参照してください。


) Windows Mobile ポリシーの強制がサポートされるのは、Windows Mobile 5、Windows Mobile 5+AKU2、および Windows Mobile 6 だけです。Windows Mobile 6.1 ではサポートされていません。強制できないセキュリティ ポリシーを要求するよう設定たセキュア ゲートウェイに接続しようとすると、失敗します。Windows Mobile 6.1 デバイスが含まれる環境では、管理者が Windows Mobile 6.1 ユーザ用に Mobile ポリシー強制を含まない別のグループを作成するか、セキュア ゲートウェイで Mobile ポリシー強制をディセーブルにする必要があります。


次のアトリビュートを指定すると、追加の設定をチェックできます。追加チェックが実行されるプラットフォームが、Adaption Kit Upgrade 2(AKU2)の一部として配布された Messaging and Security Feature Pack を適用した Windows Mobile 5 の場合は、「WM5AKU2+」で示してあります。


) この設定では、すでに存在するポリシーが確認されるだけで、変更されません。


表 3-17 Mobile のポリシー パラメータ

パラメータ
可能な値
説明

MobilePolicy

n/a

グループ ID。

<MobilePolicy>...</MobilePolicy>

DeviceLockRequired

該当なし

グループ ID。MobilePolicy グループの DeviceLockRequired は、VPN 接続を確立する前に、パスワードまたは PIN を使用して Windows Mobile デバイスを設定する必要があることを示します。この設定が有効なのは、Microsoft のデフォルト Local Authentication Provider(LAP; ローカル認証プロバイダー)を使用する Windows Mobile デバイスだけです。

(注) AnyConnect クライアントは、Windows Mobile 5.0、WM5AKU2+、および Windows Mobile 6.0 でモバイル デバイス ロックをサポートしますが、Windows Mobile 6.1 ではサポートしません。

<DeviceLockRequired>
MaximumTimeoutMinutes=”60”
MinimumPasswordLength=”4”
PasswordComplexity=”pin”
</DeviceLockRequired>

MaximumTimeoutMinutes

任意の負ではない整数

DeviceLockRequired グループのこのパラメータに負ではない数値が設定された場合、設定が必要な、デバイス ロックが有効になるまでの最大時間を分単位で指定します。

<DeviceLockRequired>
MaximumTimeoutMinutes=”60”
MinimumPasswordLength=”4”
PasswordComplexity=”pin”
</DeviceLockRequired>

MinimumPasswordLength

任意の負ではない整数

DeviceLockRequired グループのこのパラメータに負ではない数値が設定された場合、デバイス ロックに使用する PIN またはパスワードの文字数が、指定された数値以上必要であることを示します。

この設定は、強制する前に、Exchange サーバと同期してモバイル デバイスにプッシュする必要があります。(WM5AKU2+)

<DeviceLockRequired>
MaximumTimeoutMinutes=”60”
MinimumPasswordLength=”4”
PasswordComplexity=”pin”
</DeviceLockRequired>

PasswordComplexity

指定された場合、左のカラムで示すパスワード サブタイプのチェックが行われます。

この設定は、強制する前に、Exchange サーバと同期してモバイル デバイスにプッシュする必要があります。(WM5AKU2+)

<DeviceLockRequired>
MaximumTimeoutMinutes=”60”
MinimumPasswordLength=”4”
PasswordComplexity=”pin”
</DeviceLockRequired>

) AnyConnect for Windows Mobile を使用する前に、データ プランについてサービス プロバイダーに確認してください。現在のプランのデータ使用制限を超えると、追加料金がかかることがあります。


64 ビット Linux への AnyConnect のインストール

Ubuntu 9 の x86_64 バージョンに AnyConnect をインストールするには、次の手順に従ってください。


ステップ 1 次のコマンドを入力して、32 ビット互換ライブラリをインストールします。

administrator@ubuntu-904-64:/usr/local$ sudo apt-get install ia32-libs lib32nss-mdns
 

ステップ 2 32 ビット版の FireFox を http://www.mozilla.com からダウンロードして、/usr/local/firefox にインストールします。

クライアントは、必要な NSS 暗号化ライブラリを先にこのディレクトリで検索します。

ステップ 3 次のコマンドを入力して、ここで示すディレクトリに Firefox インストールを展開します。

administrator@ubuntu-904-64:/usr/local$ sudo tar -C /usr/local -xvjf ~/Desktop/firefox-version.tar.bz2
 

ステップ 4 AnyConnect を使用するユーザごとに、少なくとも 1 回、Firefox を実行します。

これによって、AnyConnect が Firefox 証明書ストアと対話するために必要な .mozilla/firefox プロファイルがユーザのホーム ディレクトリに作成されます。

ステップ 5 スタンドアロン モードで AnyConnect クライアントをインストールします。


 

Mac OS で Java インストーラが失敗した場合の手動インストール オプションの使用

Mac 上で WebLaunch を使用して AnyConnect を起動し、Java インストールが失敗した場合は、ダイアログボックスに [手動インストール(Manual Install)] リンクが表示されます。次のように進めます。


ステップ 1 [手動インストール(Manual Install)] をクリックします。

ダイアログボックスに、vpnsetup.sh ファイルを保存するオプションが表示されます。

ステップ 2 vpnsetup.sh ファイルを Mac 上に保存します。

ステップ 3 ターミナル ウィンドウを開き、CD コマンドを使用して、保存したファイルがあるディレクトリに移動します。

ステップ 4 次のコマンドを入力します。

sudo /bin/sh vpnsetup.sh
 

vpnsetup スクリプトによって、AnyConnect インストールが開始されます。

ステップ 5 インストール後、[アプリケーション(Applications)] > [Cisco] > [Cisco AnyConnect VPN Client] の順に選択して、AnyConnect VPN セッションを開始します。


 

起動時自動接続の設定

デフォルトでは、AnyConnect は起動時に、AnyConnect クライアント プロファイルで指定されているセキュア ゲートウェイへの VPN 接続を自動的に確立します。接続時に AnyConnect は、セキュア ゲートウェイから提供されたプロファイルとローカル プロファイルが同じでない場合、セキュア ゲートウェイから提供されたプロファイルでローカル プロファイルを置き換え、このプロファイルの設定を適用します。

デフォルトの自動接続設定を修正するには、クライアント プロファイルの <ClientInitialization> セクションに <AutoConnectOnStart> タグを挿入します。

自動接続をディセーブルにした状態でユーザが AnyConnect を起動した場合、AnyConnect GUI には、デフォルトでユーザ制御可能として構成された設定が表示されます。ユーザは、AnyConnect GUI の [接続(Connect)] ドロップダウン リストからセキュア ゲートウェイの名前を選択し、[接続(Connect)] をクリックする必要があります。接続時に AnyConnect は、セキュリティ アプライアンスから提供された AnyConnect クライアント プロファイルの設定を適用します。

表 3-18 に、<AutoConnectOnStart> タグに関する情報を示します。

 

表 3-18 AutoConnectOnStart タグ

XML タグ名
デフォルト値10
可能な値11
ユーザ制御可能
デフォルトでユーザ制御可能12
サポートされる OS

AutoConnectOnStart

true

true

false

はい

はい

すべて

10.プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。

11.<AutoConnectOnStart>true</AutoConnectOnStart> のように、開始タグと終了タグの間にパラメータ値を挿入します。

12.ユーザ制御アトリビュートに関連付けられた値に応じて [AnyConnect プリファレンス(AnyConnect Preferences)] ダイアログボックスにパラメータ値が表示され、これらの値を変更できます。ユーザ制御アトリビュートはオプションです。挿入しなかった場合、AnyConnect はデフォルト値を使用します。ユーザ制御を許可または拒否するには、<AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart> のように、ユーザ制御アトリビュートを開始タグの中に挿入します。

自動再接続の設定

AnyConnect は、自動再接続の動作を設定する、次の 2 つの XML タグをサポートしています。

AutoReconnect:デフォルトで、AnyConnect は接続が失われたときに VPN 接続の再確立を試行します。このタグのデフォルト設定は、 true です。

AutoReconnectBehavior:デフォルトで、AnyConnect はシステムが一時停止したときに VPN セッションに割り当てられたリソースを解放し、システムがレジュームした後で再接続を試行しません。このタグのデフォルト設定は、 DisconnectOnSuspend です。

システムの一時停止 とは、低電力スタンバイ、Windows の「休止状態」、Mac OS または Linux の「スリープ」のことです。 システムのレジューム とは、システムの一時停止からの回復です。


) AnyConnect 2.3 以前では、システムの一時停止に対するデフォルトの動作として、VPN セッションに割り当てられたリソースを保持し、システムのレジューム後に VPN 接続を再確立していました。この動作を維持するには、AutoReconnectBehavior タグに値 ReconnectAfterResume を割り当てます。


IPsec クライアントとは異なり、AnyConnect は VPN セッションの切断から回復できます。初期接続に使用したメディアにかかわらず、AnyConnect はセッションを再確立できます。たとえば、有線、無線、または 3G のセッションを再確立できます。

自動再接続設定を修正するには、クライアント プロファイルの <ClientInitialization> セクションに <AutoReconnect> タグを挿入します。次の例で、接続が失われたときの AnyConnect VPN 再接続をディセーブルにして、動作をユーザ制御可能にする方法を示します。

<AutoReconnect UserControllable=”true”>false
</AutoReconnect>
 

) 自動再接続をディセーブルにすると、AnyConnect は接続解除の原因にかかわらず、再接続を試行しません。


システムのレジュームに対応する動作を設定するには、デフォルトで自動再接続がイネーブルになっていても、自動再接続をイネーブルにする必要があります。<AutoReconnect> タグの中に、<AutoReconnectBehavior> タグを挿入してください。次の例で、システムがレジュームした後の AnyConnect VPN 再接続動作をイネーブルにして、両方の動作をユーザ制御可能にする方法を示します。

<AutoReconnect UserControllable=”true”>true
<AutoReconnectBehavior UserControllable=”true”>ReconnectAfterResume</AutoReconnectBehavior>
</AutoReconnect>
 

表 3-19 に、これらのタグとデフォルト値を示します。

 

表 3-19 AutoReconnect および AutoReconnectBehavior クライアント初期化タグ

タグ
デフォルト値13
可能な値14
ユーザ制御可能
デフォルトでユーザ制御可能15
サポートされる OS

AutoReconnect

true

true:VPN セッションが中断された場合、クライアントはセッションに割り当てられたリソースを保持し、再接続を試行します。

false:VPN セッションが中断された場合、クライアントはセッションに割り当てられたリソースを解放し、再接続を試行しません。

はい

いいえ

すべて

AutoReconnectBehavior 注:AutoReconnect が true の場合だけ適用されます。

DisconnectOnSuspend

ReconnectAfterResume:クライアントは、システムの一時停止中に、VPN セッションに割り当てられたリソースを保持します。システムのレジューム後に、再接続を試行します。

DisconnectOnSuspend:クライアントは、システムの一時停止時に、VPN セッションに割り当てられたリソースを 解放 します。システムのレジューム後に、再接続を試行しません。

はい

いいえ

Windows

Mac OS

13.プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。

14.<AutoReconnect>true</AutoReconnect> のように、開始タグと終了タグの間にパラメータ値を挿入します。

15.ユーザ制御アトリビュートに関連付けられた値に応じて [AnyConnect プリファレンス(AnyConnect Preferences)] ダイアログボックスにパラメータ値が表示され、これらの値を変更できます。ユーザ制御アトリビュートはオプションです。挿入しなかった場合、AnyConnect はデフォルト値を使用します。ユーザ制御を許可または拒否するには、<AutoReconnect UserControllable="true">true</AutoReconnect> のように、ユーザ制御アトリビュートを開始タグの中に挿入します。

Host Scan のインストール

ホストが VPN 接続を確立することによって発生するイントラネット感染の可能性を減らすには、Host Scan を設定して、AnyConnect セッションを確立する条件としてアンチウイルス、アンチスパイウェア、ファイアウォール ソフトウェア、および関連する定義ファイルの更新をダウンロードおよびチェックします。Host Scan は、Cisco Secure Desktop(CSD)に含まれています。CSD は AnyConnect と協調して動作しますが、別の製品であり、本書では扱いません。CSD の詳細と CSD のインストールについては、『 Release Notes for Cisco Secure Desktop 』および『 Cisco Secure Desktop Configuration Guide for Cisco ASA 5500 Series Administrators 』を参照してください。

サーバ リストの設定

プロファイルの主要な使用目的の 1 つは、ユーザが接続サーバをリストできるようにすることです。ユーザは、適切なサーバを選択します。このサーバ リストは、ホスト名とホスト アドレスのペアで構成されています。ホスト名は、ホストを参照するために使用するエイリアス、FQDN、または IP アドレスにできます。FQDN または IP アドレスを使用する場合、HostAddress 要素は必要ありません。接続を確立するときに、ホスト アドレスが指定されていれば、そのアドレスを接続アドレスとして使用します。これによって、エイリアスまたはその他の名前をホスト名として使用できます。名前は、ネットワーク アドレス指定可能なホストに直接結び付ける必要はありません。ホスト アドレスが指定されていない場合は、ホスト名に接続しようと試みます。

サーバ リストの定義の一部として、デフォルト サーバを指定できます。このデフォルト サーバは、クライアントを使用してユーザが初めて接続を試行するときなどに指定されます。ユーザがデフォルト以外のサーバに接続すると、このユーザに関して、選択されたサーバが新しいデフォルトになります。ユーザの選択によって、プロファイルの内容が変わることはありません。ユーザの選択は、ユーザ プリファレンスに入力されます。

AnyConnect クライアントがエンドポイントに自動的にダウンロードする、AnyConnectProfile.tmpl という名前の AnyConnect プロファイルの例を参照してください。

表 3-20 に、ServerList パラメータとその値を示します。この表では、参照するタグの名前を 太字 で示してあります。これらの例中の値は、説明のためだけに使用されます。実際の設定には使用しないでください。

 

表 3-20 サーバ リスト パラメータ

XML タグ名
可能な値
説明

ServerList

該当なし

グループ ID。

<ServerList>
<HostEntry >
<HostName>ASA-01</HostName>
<HostAddress>cvc-asa01.cisco.com
</HostAddress>
</HostEntry>
<HostEntry >
<HostName>ASA-02</HostName>
<HostAddress>cvc-asa02.cisco.com
</HostAddress>
<UserGroup>StandardUser</UserGroup>
<BackupServerList>
<HostAddress>cvc-asa03.cisco.com
</BackupServerList>
</HostEntry>
</ServerList>

HostEntry

該当なし

グループ ID。ServerList の子パラメータ。特定のホストへの接続を試行するために必要なデータです。

<ServerList>
<HostEntry>
<HostName>ASA-01</HostName>
<HostAddress>cvc-asa01.cisco.com
</HostAddress>
</HostEntry>
<HostEntry >
<HostName>ASA-02</HostName>
<HostAddress>cvc-asa02.cisco.com
</HostAddress>
<UserGroup>StandardUser</UserGroup>
<BackupServerList>
<HostAddress>cvc-asa03.cisco.com
</BackupServerList>
</HostEntry>
</ServerList>

HostName

An alias used to refer to the host or an FQDN or IP address. If this is an FQDN or IP address, a HostAddress is not required.

HostEntry グループの HostName パラメータは、サーバ リスト内でホスト名を指定します。FQDN または IP アドレスを使用する場合、HostAddress は必要ありません。

<ServerList>
<HostEntry >
<HostName>ASA-01</HostName>
<HostAddress>cvc-asa01.cisco.com
</HostAddress>
</HostEntry>
<HostEntry >
<HostName>ASA-02</HostName>
<HostAddress>cvc-asa02.cisco.com
</HostAddress>
<UserGroup>StandardUser</UserGroup>
<BackupServerList>
<HostAddress>cvc-asa03.cisco.com
</BackupServerList>
</HostEntry>
</ServerList>
 

HostAddress

An IP address or Full-Qualified Domain Name (FQDN) used to refer to the host. If HostName is an FQDN or IP address, a HostAddress is not required.

グループ ID。CertificateMatch の子パラメータ。これらのアトリビュートを使用して、受け入れ可能なクライアント証明書を選択します。

<ServerList>
<HostEntry >
<HostName>ASA-01</HostName>
<HostAddress>cvc-asa01.cisco.com
</HostAddress>
</HostEntry>
<HostEntry >
<HostName>ASA-02</HostName>
<HostAddress>cvc-asa02.cisco.com
</HostAddress>
<UserGroup>StandardUser</UserGroup>
<BackupServerList>
<HostAddress>cvc-asa03.cisco.com
</HostAddress>
</BackupServerList>
</HostEntry>
</ServerList>
 

UserGroup

The tunnel group to use when connecting to the specified host. This parameter is optional.

ServerList グループの UserGroup パラメータがある場合、このパラメータは、HostAddress と組み合せてグループ ベースの URL を形成するために使用されます。

(注) グループ ベースの URL をサポートするには、ASA バージョン 8.0.3 以降が必要です。

<ServerList>
<HostEntry >
<HostName>ASA-01</HostName>
<HostAddress>cvc-asa01.cisco.com
</HostAddress>
</HostEntry>
<HostEntry >
<HostName>ASA-02</HostName>
<HostAddress>cvc-asa02.cisco.com
</HostAddress>
<UserGroup>StandardUser</UserGroup>
<BackupServerList>
<HostAddress>cvc-asa03.cisco.com
</HostAddress>
</BackupServerList>
</HostEntry>
</ServerList>

DNS フォールバックの分割

セキュリティ アプライアンスのグループ ポリシーで、トンネル処理するドメインの名前が指定されている場合、AnyConnect クライアントは、そのドメインと一致する DNS クエリーだけをトンネル処理します。その他の DNS クエリーはすべて拒否されます。DNS リゾルバはクライアントから拒否を受信すると、今度は AnyConnect クライアントではなくパブリック インターフェイスを使用して再試行します。

この機能には、次のことが必要です。

少なくとも 1 台の DNS サーバが設定されている。

スプリット トンネリングがイネーブルになっている。

この機能を使用するには、セキュリティ アプライアンスへの ASDM 接続を確立し、[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] > [追加(Add)] または [編集(Edit)] > [詳細(Advanced)] > [スプリット トンネリング(Split Tunneling)] の順に選択して、[DNS 名(DNS Names)] テキスト ボックスにトンネル処理するドメインの名前を入力します。

スクリプト化

AnyConnect では、次のイベントが発生したときに、スクリプトをダウンロードして実行できます。

セキュリティ アプライアンスで新しい AnyConnect クライアント VPN セッションが確立された。このイベントで起動されるスクリプトを OnConnect スクリプトと呼びます。スクリプトには、このファイル名プレフィクスが必要です。

セキュリティ アプライアンスで AnyConnect クライアント VPN セッションがティアダウンされた。このイベントで起動されるスクリプトを OnDisconnect スクリプトと呼びます。スクリプトには、このファイル名プレフィクスが必要です。

これによって、Trusted Network Detection によって開始された新しい AnyConnect VPN セッションが確立すると、OnConnect スクリプトが起動されます(このスクリプトを実行する要件が満たされている場合)。ネットワーク切断後に永続的な AnyConnect VPN セッションが再接続されても、OnConnect スクリプトは起動されません。

この機能の使用例としては、次のものがあります。

VPN 接続時にグループ ポリシーを更新する。

VPN 接続時にネットワーク ドライブをマッピングし、接続解除後にマッピングを解除する。

VPN 接続時にサービスにログインし、接続解除後にログオフする。

ここでの説明は、スクリプトの作成方法と、ターゲット エンドポイントのコマンドラインからスクリプトを実行し、テストする方法についての知識があることを前提としています。


) AnyConnect ソフトウェア ダウンロード サイトにいくつかのサンプル スクリプトがあります。これらを検討する場合は、単なる例であることに注意してください。実行に必要なローカル コンピュータの要件を満たしていないことがあり、ネットワークおよびユーザのニーズに合わせてカスタマイズしなければ使用できないことがあります。シスコでは、サンプル スクリプトまたはユーザ作成スクリプトはサポートしていません。


スクリプトの要件と制限

AnyConnect では、最大 1 つの OnConnect スクリプトと最大 1 つの OnDisconnect スクリプトが実行されますが、これらのスクリプトから別のスクリプトを起動できます。

AnyConnect では、スクリプトを特定の言語で作成する必要はありません。ただし、スクリプトを実行可能なアプリケーションが、クライアント コンピュータにインストールされている必要があります。AnyConnect でスクリプトを起動するには、このスクリプトがコマンドラインから実行可能になっている必要があります。


) ソフトウェア ダウンロード サイトにいくつかのサンプル スクリプトがあります。これらを検討する場合は、単なる例であることに注意してください。実行に必要なローカル コンピュータの要件を満たしていないことがあり、ネットワークおよびユーザのニーズに合わせてカスタマイズしなければ使用できないことがあります。


AnyConnect がサポートするすべての Microsoft Windows、Mac OS X、および Linux OS で、スクリプトの起動がサポートされます。Microsoft Windows Mobile では、スクリプト言語のネイティブ サポートはありませんが、AnyConnect スクリプト ファイル名プレフィクスとディレクトリ要件を使用してコンパイルすれば、OnConnect アプリケーションと OnDisconnect アプリケーションを作成して自動的に実行できます。

Microsoft Windows では、AnyConnect はユーザが Windows にログインして VPN セッションを確立した後でないと、スクリプトを起動できません。そのため、ユーザのセキュリティ環境に関連する制限が、これらのスクリプトに適用されます。スクリプトが実行できる機能は、ユーザが起動権限を持つ機能に限られます。

AnyConnect は、WebLaunch の起動中およびスタンドアロン起動中でのスクリプトの起動をサポートします。

デフォルトでは、AnyConnect はスクリプトを起動しません。AnyConnect プロファイルの EnableScripting パラメータを使用して、スクリプトをイネーブルにしてください。AnyConnect では、スクリプトは必須ではありません。

クライアント GUI を終了しても、必ずしも VPN セッションは終了されません。OnDisconnect スクリプトは、セッションが終了した後で実行されます。

その他の要件は、次の項で示すように適用されます。

スクリプトの作成、テスト、および展開

AnyConnect スクリプトの展開方法を、次に示します。


ステップ 1 AnyConnect がスクリプトを起動するときにスクリプトが実行される OS タイプを使用して、スクリプトを作成およびテストします。


) Microsoft Windows コンピュータで作成されたスクリプトの行末コードは、Mac OS および Linux で作成されたスクリプトの行末コードと異なっています。そのため、ターゲット OS でスクリプトを作成し、テストする必要があります。ネイティブ OS のコマンドラインからスクリプトを正しく実行できない場合は、AnyConnect でも正しく実行できません。


ステップ 2 次のいずれかを実行して、スクリプトを展開します。

バイナリ AnyConnect カスタマイゼーションを使用して、セキュリティ アプライアンスからスクリプトを展開します。


) Microsoft Windows Mobile では、このオプションはサポートされません。手動でスクリプトを展開する必要があります。


バイナリ AnyConnect カスタマイゼーションを使用してスクリプトを展開する場合は、スクリプトまたはアプリケーションのファイル名に、次のプレフィクスが必要です。

scripts_OnConnect

scripts_OnDisconnect

AnyConnect は scripts_ プレフィクスを使用して、ファイルをスクリプトとして識別し、VPN エンドポイントの適切なターゲット ディレクトリに書き込みます。このとき、 scripts_ プレフィクスが削除され、 OnConnect または OnDisconnect プレフィクスが残ります。

スクリプトの実行の信頼性を確保するために、すべてのセキュリティ アプライアンスで同じスクリプトを展開するように設定します。スクリプトを修正または置換する場合は、前のバージョンと同じ名前を使用し、ユーザが接続する可能性のあるすべてのセキュリティ アプライアンスに置換スクリプトを割り当てる必要があります。ユーザが接続すると、新しいスクリプトで同じ名前のスクリプトが上書きされます。

または、スクリプトを実行する VPN エンドポイントに、スクリプトを手動で転送します。

この方式を使用する場合は、次のファイル名プレフィクスを使用します。

OnConnect

OnDisconnect

表 3-21 に示すディレクトリに、スクリプトをインストールします。

 

表 3-21 スクリプトの場所の要件

OS
ディレクトリ

Microsoft Windows 7 および Vista

%ALLUSERPROFILE%\Cisco\Cisco AnyConnect VPN Client\Scripts

Microsoft Windows XP

%ALLUSERPROFILE%\Application Data\Cisco\Cisco AnyConnect VPN Client\
Scripts

Linux

(Linux では、User、Group、Other にファイルの実行権限を割り当てます)

/opt/cisco/vpn/scripts

Mac OS X

/opt/cisco/vpn/scripts

Windows Mobile

%PROGRAMFILES%\Cisco AnyConnect VPN Client\Scripts

スクリプト用の AnyConnect プロファイルの設定

スクリプトをイネーブルにするには、AnyConnect プロファイルに EnableScripting パラメータを挿入する必要があります。 表 3-22 に、AnyConnect プロファイルに挿入できるスクリプト パラメータを示します。例は、表の後にあります。

 

表 3-22 スクリプト パラメータ

名前
可能な値と説明

EnableScripting

true:OnConnect スクリプトおよび OnDisconnect スクリプトがあれば、起動します。

false:(デフォルト)スクリプトを起動しません。

UserControllable

注:このパラメータを使用する場合は、この表の下の例 3 で示すように、EnableScripting タグの中に組み込む必要があります。

次の値が可能です。

true:ユーザが OnConnect スクリプトおよび OnDisconnect スクリプトの実行を、イネーブルまたはディセーブルにできます。

false:(デフォルト)ユーザがスクリプト機能を制御できません。

TerminateScriptOnNextEvent

このパラメータが意味を持つのは、EnableScripting が true に設定されている場合だけです。

注:このパラメータを使用する場合は、この表の下の例 3 で示すように、EnableScripting タグの中に組み込む必要があります。

次の値が可能です。

true:別のスクリプト処理可能なイベントへの移行が発生した場合に、実行中のスクリプト プロセスを終了します。たとえば、VPN セッションが終了すると、AnyConnect は実行中の OnConnect スクリプトを終了します。AnyConnect が新しい VPN セッションを開始すると、実行中の OnDisconnect スクリプトを終了します。Microsoft Windows では、AnyConnect は OnConnect スクリプトまたは OnDisconnect スクリプトが起動した任意のスクリプトと、そのすべての従属スクリプトも終了します。Mac OS および Linux では、AnyConnect は OnConnect スクリプトまたは OnDisconnect スクリプトだけを終了し、子スクリプトは終了しません。

false:(デフォルト)別のスクリプト処理可能なイベントへの移行が発生しても、スクリプト プロセスを終了しません。

EnablePostSBLOnConnectScript

このパラメータが意味を持つのは、EnableScripting が true に設定されていて、VPN エンドポイントで Microsoft Windows 7、XP、または Vista が実行されている場合だけです。

注:このパラメータを使用する場合は、この表の下の例 3 で示すように、EnableScripting タグの中に組み込む必要があります。

次の値が可能です。

false:SBL が VPN セッションを確立したときに、OnConnect スクリプトを起動しません。

true:(デフォルト)SBL が VPN セッションを確立したときに、OnConnect スクリプトを起動します。

これらのパラメータは、AnyConnect プロファイルの ClientInitialization セクションの任意の場所に挿入します。

例 2

この例では、スクリプトをイネーブルにし、その他のスクリプト パラメータにはデフォルト値を使用します。

<ClientInitialization>
 
<EnableScripting>true</EnableScripting>
 
</ClientInitialization>
 

例 3

この例では、スクリプトをイネーブルにし、その他のスクリプト パラメータのデフォルト値を上書きします。

<ClientInitialization>
 
<EnableScripting UserControllable="true">true
<TerminateScriptOnNextEvent>true</TerminateScriptOnNextEvent>
<EnablePostSBLOnConnectScript>false</EnablePostSBLOnConnectScript>
</EnableScripting>
 
</ClientInitialization>
 

) AnyConnect プロファイルをセキュリティ アプライアンスのグループ ポリシーに追加して、VPN エンドポイントに必ずダウンロードしてください。


スクリプトのトラブルシューティング

スクリプトの実行に失敗した場合は、次のようにして問題を解決してください。


ステップ 1 スクリプトに、 OnConnect または OnDisconnect のプレフィクス名が付いていることを確認します。 表 3-22 に、各 OS のスクリプト ディレクトリの要件を示してあります。

ステップ 2 スクリプトをコマンドラインから実行してみます。コマンドラインから実行できないスクリプトは、AnyConnect でも実行できません。コマンドラインでスクリプトの実行に失敗する場合は、スクリプトを実行するアプリケーションがインストールされていることを確認して、その OS でスクリプトを作成し直してください。

ステップ 3 VPN エンドポイントのスクリプト ディレクトリに、1 つの OnConnect スクリプトと 1 つの OnDisconnect スクリプトだけがあることを確認します。最初のセキュリティ アプライアンスが 1 つの OnConnect スクリプトをダウンロードし、その後の接続で次のセキュリティ アプライアンスが別のファイル名拡張子を持つ OnConnect スクリプトをダウンロードすると、AnyConnect で予期しないスクリプトが実行される可能性があります。スクリプト パスに複数の OnConnect スクリプトまたは OnDisconnect スクリプトがあり、バイナリ AnyConnect カスタマイゼーションを使用してスクリプトを展開している場合は、スクリプト ディレクトリの内容を削除し、AnyConnect VPN セッションを再確立してください。スクリプト パスに複数の OnConnect スクリプトまたは OnDisconnect スクリプトがあり、手動展開を使用している場合は、不要なスクリプトを削除し、AnyConnect VPN セッションを再確立してください。

ステップ 4 OS が Linux の場合は、スクリプト ファイルに実行権限が設定されていることを確認します。

ステップ 5 AnyConnect プロファイルに EnableScripting パラメータが含まれていて、true に設定されていることを確認します。


 

プロキシ サポート

ここでは、プロキシ サポート拡張機能の使用方法について説明します。

プロキシの無視

この機能では、ユーザの PC で設定されている Internet Explorer のプロキシ設定をバイパスするように、AnyConnect プロファイルのポリシーを指定できます。これは、プロキシ設定によってユーザが企業ネットワークの外部からトンネルを確立できない場合に役立ちます。

プロキシの無視をイネーブルにするには、次の行を AnyConnect プロファイルの <ClientInitialization> セクションに挿入してください。

<ProxySettings>IgnoreProxy</ProxySettings>
 

) 現在、AnyConnect では、IgnoreProxy 設定だけがサポートされます。XML スキーマ(AnyConnectProfile.xsd)の <ClientInitialization> セクションの新しい ProxySettings セクションにある Native および Override 設定はサポートされません。


Mac/Safari のプライベート プロキシ

AnyConnect は、トンネルが確立された後、グループ ポリシーで設定されているプロキシ設定を Safari ブラウザにダウンロードします。VPN セッションが終了すると、設定は元の状態に復元されます。

プロキシ設定にアクセスするには、セキュリティ アプライアンスで ASDM セッションを確立し、[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] > [追加(Add)] または [編集(Edit)] > [詳細(Advanced)] > [IE ブラウザのプロキシ(IE Browser Proxy)] の順に選択します。このウィンドウで設定したプロキシ サービスが、Internet Explorer と Safari の両方に適用されます。プロキシを使用しないパラメータがイネーブルの場合、セッションの間、Safari からプロキシ設定が削除されます。

Internet Explorer の接続タブのロック

ある条件下では、AnyConnect によって Internet Explorer の [ツール(Tools)] > [インターネット オプション(Internet Options)] > [接続(Connections)] タブが非表示にされます。このタブが表示されていると、ユーザがプロキシ情報を設定できます。このタブを非表示にすると、ユーザが意図的または偶発的にトンネルを迂回することを防止できます。タブのロックは接続解除すると反転され、このタブに関する管理者定義のポリシーの方が優先されます。このロックは、次のいずれかの条件で行われます。

セキュリティ アプライアンスの設定で、プライベート側プロキシが指定されている。

AnyConnect が、Internet Explorer で定義されたパブリック側プロキシを使用してトンネルを確立する。この場合は、セキュリティ アプライアンスのスプリット トンネリング ポリシーが Tunnel All Networks に設定されている必要があります。

クライアントレス サポートのためのプロキシ自動設定ファイルの生成

いくつかのバージョンのセキュリティ アプライアンスでは、AnyConnect セッションが確立された後も、プロキシ サーバを経由するクライアントレス ポータル アクセスを許可するために、追加の AnyConnect 設定が必要です。AnyConnect はこの設定が行われるよう、プロキシ自動設定(PAC)ファイルを使用してクライアント側プロキシ設定を修正します。AnyConnect でこのファイルが生成されるのは、ASA でプライベート側プロキシ設定が指定されていない場合だけです。

Windows ユーザのための、RDP セッションからの AnyConnect セッションの許可

環境によっては、Windows リモート デスクトップを使用してクライアント PC にログインし、Remote Desktop(RDP; リモート デスクトップ)セッションの中からセキュア ゲートウェイへの VPN 接続を開始する必要があります。この機能を利用すると、RDP セッションから VPN セッションを確立できます。この機能が正しく動作するには、スプリット トンネリング VPN 設定が必要です。スプリット トンネリングの詳細については、『 Cisco ASDM User Guide 』または『 Cisco ASA 5500 Series Command Line Configuration Guide Using the CLI 』を参照してください。

デフォルトでは、他のローカル ユーザがログインしていないときだけ、ローカルにログインしたユーザが VPN 接続を確立できます。ユーザがログアウトすると、VPN 接続は終了します。VPN 接続中に別のローカル ログインが行われると、接続は切断されます。VPN 接続中のリモート ログインおよびログアウトは制限されません。


) この機能を使用すると、AnyConnect クライアントは、VPN 接続を確立したユーザがログオフしたときに、その VPN 接続を接続解除します。接続がリモート ユーザによって確立されていた場合、そのリモート ユーザがログオフすると、VPN 接続は終了します。


AnyConnect プロファイル設定によって、接続の確立時および接続中の Windows ログオンの処理方法が決まります。これらのプリファレンスを設定できるのは、ネットワーク管理者だけです。この設定によって、RDP セッションから VPN 接続を確立できるように、ユーザがクライアントを設定できます。この機能を使用しても、エンド ユーザに対する AnyConnect クライアント GUI の表示は変更されません。 表 3-23 に、プリファレンスを示します。

 

表 3-23 Windows ログイン プリファレンス

XML タグ名
可能な値(太字はデフォルト)

WindowsLogonEnforcement

SingleLocalLogon :VPN 接続の全体で、ログインできるローカル ユーザは 1 人だけです。この設定では、ローカル ユーザは 1 人以上のリモート ユーザがクライアント PC にログインしている間に VPN 接続を確立できますが、VPN 接続が排他的トンネリング用に設定されている場合は、VPN 接続のクライアント PC ルーティング テーブルが変更されるため、リモート ログインは接続解除されます。VPN 接続がスプリット トンネリング用に設定されている場合、リモート ログインが接続解除されるかどうかは、VPN 接続のルーティング設定によって決まります。VPN 接続による企業ネットワークからのリモート ユーザ ログインに対して、SingleLocalLogin 設定は影響を与えません。

SingleLogon:VPN 接続の全体で、ログインできるユーザは 1 人だけです。VPN 接続の確立時に、ローカルまたはリモートで複数のユーザがログインしている場合、接続は許可されません。VPN 接続中にローカルまたはリモートで第 2 のユーザがログインすると、VPN 接続が終了します。

SingleLogon に設定した場合、VPN 接続中に追加のログインが許可されません。そのため、VPN 接続によるリモート ログインは不可能です。

WindowsVPNEstablishment

クライアント PC にリモート ログインしたユーザが VPN 接続を確立したときの、AnyConnect クライアントの動作を決定します。次の値が可能です。

LocalUsersOnly :リモート ログインしたユーザは、VPN 接続を確立できません。これは、以前のバージョンの AnyConnect クライアントと同じ機能です。

AllowRemoteUsers:リモート ユーザが VPN 接続を確立できます。ただし、設定された VPN 接続ルーティングによってリモート ユーザが接続解除された場合、リモート ユーザがクライアント PC に再アクセスできるように、VPN 接続が終了します。

リモート ユーザが VPN 接続を終了せずにリモート ログイン セッションを接続解除するには、VPN を確立した後、90 秒間待つ必要があります。

現在、Vista では Start Before Logon(SBL)中に WindowsVPNEstablishment プロファイル設定が適用されません。AnyConnect クライアントは、VPN 接続を確立したのがログイン前のリモート ユーザかどうかを判別しません。そのため、WindowsVPNEstablishment 設定が LocalUsersOnly でも、リモート ユーザが SBL で VPN 接続を確立できます。

AnyConnect over L2TP または PPTP

イスラエルなど一部の国の ISP では、L2TP および PPTP トンネリング プロトコルのサポートが必要です。

セキュア ゲートウェイを宛先としたトラフィックを PPP 接続上で送信するため、AnyConnect は外部トンネルが生成したポイントツーポイント アダプタを使用します。PPP 接続上で VPN トンネルを確立するときに、AnyConnect は ASA よりも先を宛先としてトンネリングされたトラフィックから、この ASA に宛てられたトラフィックを除外する必要があります。除外ルートを決定するかどうか、および決定する方法を指定するには、PPPExclusion 設定オプションを使用します。

除外ルートは、セキュアでないルートとして AnyConnect GUI の [ルート詳細(Route Details)] 画面に表示されます。

次の項で、PPP 除外の設定方法について説明します。

「AnyConnect over L2TP または PPTP の設定」

「ユーザによる PPP 除外の上書き」

AnyConnect over L2TP または PPTP の設定

デフォルトで、PPP 除外はディセーブルです。PPP 除外をイネーブルにするには、太字で示した PPPExclusion 行を AnyConnect プロファイル( anyfilename .xml)の <ClientInitialization> セクションに挿入してください。

<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<PPPExclusion UserControllable="true">Automatic</PPPExclusion>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>DomainNameofASA</HostName>
<HostAddress>IPaddressOfASA</HostAddress>
</HostEntry>
</ServerList>
</AnyConnectProfile>
 

PPPExclusion UserControllable 値が true の場合、ユーザが PPP 除外設定を表示および変更できます。ユーザが PPP 除外設定を表示および変更できないようにするには、 false に変更します。

AnyConnect は、次の PPPExclusion 値をサポートします。

Automatic:PPP 除外をイネーブルにします。AnyConnect は、PPP サーバの IP アドレスを自動的に使用します。自動検出による IP アドレスの取得に失敗するときにだけこの値を変更するよう、ユーザに指示してください。

Override:これも、PPP 除外をイネーブルにします。自動検出で PPP サーバの IP アドレスを取得できず、PPPExclusion UserControllable 値が true である場合は、次の項の説明に従ってこの設定を使用するよう、ユーザに指示してください。

Disabled:PPP 除外を適用しません。

PPP 除外に使用するセキュリティ アプライアンスの IP アドレスをユーザが表示および変更できるようにするには、次の太字で示すように、UserControllable 値を true に設定して PPPExclusionServerIP タグを追加します。

<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/AnyConnectProfile.xsd">
<ClientInitialization>
<PPPExclusion UserControllable="true">Automatic</PPPExclusion>
<PPPExclusionServerIP UserControllable="true"></PPPExclusionServerIP>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>SecureGatewayName</HostName>
<HostAddress>SecureGatewayName.domain</HostAddress>
</HostEntry>
</ServerList>
</AnyConnectProfile>
 

ユーザによる PPP 除外の上書き

自動検出が機能せず、PPPExclusion UserControllable 値が true になっている場合は、次の手順に従って手動で PPP 除外を上書きするよう、ユーザに指示してください。


ステップ 1 メモ帳などのエディタを使用して、プリファレンス XML ファイルを開きます。

このファイルは、ユーザのコンピュータ上で次のいずれかのパスにあります。

Windows:%LOCAL_APPDATA%\Cisco\Cisco AnyConnect VPN Client\preferences.xml。例を示します。

Windows Vista:C:¥Users¥username¥AppData¥Local¥Cisco¥Cisco AnyConnect VPN Client¥preferences.xml

Windows XP:C:¥Documents and Settings¥username¥Local Settings¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥preferences.xml

Mac OS X:/Users/username/.anyconnect

Linux:/home/username/.anyconnect

ステップ 2 PPPExclusion の詳細を <ControllablePreferences> の下に挿入して、Override 値と PPP サーバの IP アドレスを指定します。アドレスは、完全な形式の IPv4 アドレスにする必要があります。次の例を参考にしてください。

<AnyConnectPreferences>
<ControllablePreferences>
<PPPExclusion>Override
<PPPExclusionServerIP>192.168.22.44</PPPExclusionServerIP></PPPExclusion>
</ControllablePreferences>
</AnyConnectPreferences>
 

ステップ 3 ファイルを保存します。

ステップ 4 AnyConnect を終了して、再起動します。


 

その他の AnyConnect プロファイル設定の構成

表 3-24 に、AnyConnect クライアント プロファイル(.xml ファイル)の ClientInitialization セクションに挿入できる、その他のパラメータのデフォルト値および可能な値を示します。

 

表 3-24 その他の AnyConnect クライアント初期設定タグ

XML タグ名
デフォルト値16
可能な値17
ユーザ制御可能18
デフォルトでユーザ制御可能19
サポートされる OS

CertificateStoreOverride

false

true、false

いいえ

該当なし

すべて

ShowPreConnectMessage

false

true、false

いいえ

該当なし

すべて

MinimizeOnConnect

true

true、false

はい

はい

すべて

LocalLanAccess

false

true、false

はい

はい

すべて

AutoUpdate

true

true、false

はい

いいえ

すべて

RSASecurIDIntegration20

Automatic

Automatic

SoftwareToken

HardwareToken

はい

いいえ

Windows

16.プロファイルで指定されていない場合、AnyConnect はデフォルト値を使用します。

17.<CertificateStoreOverride>true</CertificateStoreOverride> のように、開始タグと終了タグの間にパラメータ値を挿入します。

18.パラメータがユーザ制御をサポートしていない場合、Anyconnect は usercontrollable="true" 文字列を無視します。

19.ユーザ制御アトリビュートに関連付けられた値に応じて [AnyConnect プリファレンス(AnyConnect Preferences)] ダイアログボックスにパラメータ値が表示され、これらの値を変更できます。ユーザ制御アトリビュートはオプションです。挿入しなかった場合、AnyConnect はデフォルト値を使用します。ユーザ制御を許可または拒否するには、<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> のように、ユーザ制御アトリビュートを開始タグの中に挿入します。

20.AnyConnect クライアントは、RSA SecurID ソフトウェアのバージョン 1.1 以降と互換性があります。今回のリリースでは、RSA SecurID Software Token クライアント ソフトウェアは、Windows Vista および 64 ビット システムをサポートしません。