Cisco AnyConnect VPN Client アドミニストレータ ガイド リリース2.4
AnyConnect の概要
AnyConnect の概要
発行日;2012/02/05 | 英語版ドキュメント(2010/05/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

AnyConnect の概要

リモート ユーザ インターフェイス

AnyConnect ライセンスのオプション

AnyConnect Standalone および WebLaunch のオプション

AnyConnect のファイルとコンポーネント

Start Before Logon コンポーネントのインストール(Windows のみ)

VPN クライアント コンピュータにインストールされる AnyConnect ファイル

コンフィギュレーションおよび展開の概要

AnyConnect API

AnyConnect の概要

Cisco AnyConnect VPN Client は次世代型の VPN クライアントで、ASA バージョン 8.0 以降および ASDM 6.0 以降を実行している Cisco 5500 シリーズ適応型セキュリティ アプライアンスへのセキュアな VPN 接続をリモート ユーザに提供します。

この章は、次の項で構成されています。

「リモート ユーザ インターフェイス」

「AnyConnect ライセンスのオプション」

「AnyConnect Standalone および WebLaunch のオプション」

「AnyConnect のファイルとコンポーネント」

「コンフィギュレーションおよび展開の概要」

「AnyConnect API」

リモート ユーザ インターフェイス

リモート ユーザには、Cisco AnyConnect VPN Client のユーザ インターフェイスが表示されます(図 1-1)。[Connection]タブのドロップダウン リストに、リモート システムに接続するためのプロファイルが表示されます。オプションで、表示するバナー メッセージを [Connection] タブで設定できます。インターフェイスの下部の状況表示行に、接続のステータスが表示されます。

図 1-1 Cisco AnyConnect VPN Client のユーザ インターフェイス、[Connection] タブ

 

証明書を設定していない場合は、図 1-2 のようなダイアログボックスが表示されます。

図 1-2 [Security Alert] ダイアログボックス

 


) このダイアログボックスが表示されるのは、正しい証明書が導入されていない場合だけです。[Yes] をクリックすると、証明書の要件を回避できます。


[Security Alert] ダイアログボックスは、指定されたセキュリティ アプライアンスへの最初の接続試行でのみ表示されます。接続の確立に成功すると、サーバ証明書の「サムプリント」がプリファレンス ファイルに保存されるため、同じセキュリティ アプライアンスへの後続の接続では、ユーザに対するプロンプトは表示されません。

ユーザが、別のセキュリティ アプライアンスに接続してから戻ると、再び [Security Alert] ダイアログボックスが表示されます。

表 1-1 に、[Security Alert] ダイアログボックスが表示される条件と結果を示します。

 

表 1-1 証明書、セキュリティの警告、および接続のステータス

証明書のステータス
セキュリティの警告が表示されるか
クライアント接続のステータス

セキュリティ アプライアンスからクライアントに送信されたサーバ証明書が、独立して検証可能で、かつ証明書に重大なエラーがない。

いいえ

成功。

セキュリティ アプライアンスからクライアントに送信されたサーバ証明書が、独立して検証可能でなく、かつ証明書に重大なエラーがある。

いいえ

失敗。

セキュリティ アプライアンスからクライアントに送信されたサーバ証明書が、独立して検証可能でなく、かつ証明書に重大なエラーがない。

はい

クライアントで証明書を確認できないため、セキュリティに問題があると考えられます。クライアントは、接続試行を続けるかどうか、ユーザに確認します。

図 1-3 に、現在の接続情報が表示されている [Statistics] タブを示します。

図 1-3 Cisco AnyConnect VPN Client のユーザ インターフェイス、[Statistics] タブ

 

[Details] ボタンをクリックすると、[Statistics Details] ウィンドウが表示されます(図 1-4)。

図 1-4 Cisco AnyConnect VPN Client のユーザ インターフェイス、[Statistics Details] タブ

 

このウィンドウに表示されるオプションは、クライアント PC にロードされているパッケージによって異なります。オプションを使用できない場合は、ダイアログボックスでそのオプション ボタンがアクティブにならず、オプション名の横に「Not Installed」と表示されます。オプションは次のとおりです。

[Reset] をクリックすると、接続情報がゼロにリセットされます。AnyConnect による新しいデータの収集がすぐに開始されます。

[Export Stats...] をクリックすると、接続の統計情報がテキスト ファイルに保存され、あとから分析とデバッグを行えます。

[Troubleshoot...] をクリックすると、DART(Diagnostic AnyConnect Reporting Tool)ウィザードが起動されます。指定したログ ファイルと診断情報を結び付けることで、AnyConnect のクライアント接続の分析とデバッグに使用できます。DART パッケージの詳細については、「DART を使用したトラブルシューティング情報の収集」を参照してください。

[Route Details] タブ(図 1-5)には、この接続のセキュアなルートとセキュアでないルートが表示されます。

図 1-5 Cisco AnyConnect VPN Client のユーザ インターフェイス、[Route Details] タブ

 


) 宛先が 0.0.0.0 でサブネット マスクが 0.0.0.0 の Secured Routes エントリは、すべてのトラフィックがトンネルで処理されることを意味します。


[Export] および [View Log] ボタンを使用した接続の監視の詳細については、「詳細な統計情報の表示」を参照してください。

[About] タブ(図 1-6)には、Cisco AnyConnect クライアントのバージョン情報、著作権情報、および文書情報が表示されます。

図 1-6 Cisco AnyConnect VPN Client のユーザ インターフェイス、[About] タブ

 

AnyConnect ライセンスのオプション

次のオプションは AnyConnect クライアントの全機能をサポートし、指定された数の SSL VPN セッションをサポートしています。

Cisco AnyConnect Essentials ライセンス

Cisco AnyConnect Premium Clientless SSL VPN Edition ライセンス

Cisco AnyConnect Premium Clientless SSL VPN Edition 共有ライセンス

Cisco FLEX ライセンス

上の 3 つのライセンスはデバイスごと(セキュリティ アプライアンスごと)に相互排他的ですが、混合ネットワークを設定することができます。

AnyConnect Standalone および WebLaunch のオプション

ユーザは、次のモードで AnyConnect クライアントを使用できます。

スタンドアロン モード:ユーザは、Web ブラウザを使用せずに、Cisco AnyConnect VPN Client 接続を確立できます。ユーザの PC に AnyConnect クライアントを永続的にインストールした場合、ユーザはスタンドアロン モードで実行できます。スタンドアロン モードでは、ユーザは AnyConnect クライアントをその他のアプリケーションと同じように開き、ユーザ名とパスワード クレデンシャルを AnyConnect GUI のフィールドに入力します。システムの設定によっては、グループを選択する必要もあります。接続が確立されると、セキュリティ アプライアンスはユーザの PC にあるクライアントのバージョンをチェックし、必要な場合、最新バージョンをダウンロードします。

WebLaunch モード:ユーザは、https プロトコルを使用して、ブラウザの [Address] または [Location] フィールドにセキュリティ アプライアンスの URL を入力します。次に、ユーザ名とパスワードの情報を [Logon] 画面で入力し、グループを選択して、[submit] をクリックします。バナーが指定されている場合はその情報が表示され、[Continue] をクリックしてバナーを確認します。

ポータル ウィンドウが表示されます。AnyConnect クライアントを起動するには、ユーザがメイン ペインで [Start AnyConnect] をクリックします。一連の文書ウィンドウが表示されます。[Connection Established] ダイアログが表示されると、接続が機能し、ユーザがオンライン アクティビティを処理できるようになります。

スタンドアロン モードと WebLaunch モードのどちらで接続する場合でも、クライアントを接続するには、セキュリティ アプライアンスに AnyConnect クライアントがインストールされている必要があります。そうすることで、エンタープライズ ソフトウェア導入システムを使用してクライアントを導入した場合でも、どのバージョンのクライアントがセッションを確立できるかを、セキュリティ アプライアンスで一元的に実施できるようになります。クライアント パッケージをセキュリティ アプライアンスにロードすると、ロードされたものと同じ最新バージョンだけが接続可能というポリシーが実施されます。AnyConnect ユーザは、最新のセキュリティ機能を持つ最新バージョンのクライアントをセキュリティ アプライアンスにロードし、クライアントをアップグレードする必要があります。

AnyConnect のファイルとコンポーネント

インストールおよび設定の手順には、セキュリティ アプライアンスで実行する必要がある手順と、リモート コンピュータで実行する必要がある手順の 2 つがあります。AnyConnect クライアント ソフトウェアは、ASA Release 8.0(1)以降に組み込まれています。AnyConnect クライアント ソフトウェアを永続的にリモート PC 上に常駐させることも、接続の間だけ常駐させることもできます。

クライアントは、セキュリティ アプライアンスにロードして、リモート ユーザがセキュリティ アプライアンスにログインしたときに自動的に展開することも、PC 上のアプリケーションとして、ネットワーク管理者が標準のソフトウェア展開メカニズムを使用してインストールすることもできます。

AnyConnect のクライアント ファイルと API パッケージは次の場所で入手できます。
http://www.cisco.com/cgi-bin/tablebuild.pl/anyconnect

Start Before Logon コンポーネントのインストール(Windows のみ)

表 1-2 Cisco AnyConnect VPN Client Download Software サイトでダウンロード可能なファイル

AnyConnectProfileEditor.zip
AnyConnect Profile Editor が格納された Zip ファイル。

anyconnect-all-packages-AnyConnectRelease_Number-k9.zip

このリリース バージョンのすべてのクライアント インストール パッケージが格納された Zip ファイル。API は含まれていません。

anyconnect-dart-win-AnyConnectRelease_Number-k9.msi

Windows プラットフォーム用の DART を含むスタンドアロン MSI パッケージ。

anyconnect-gina-win-AnyConnectRelease_Number-pre-deploy-k9-lang.zip

Windows Start Before Login 用の言語ローカリゼーション変換ファイル。

anyconnect-gina-win-AnyConnectRelease_Number-pre-deploy-k9.msi

Windows 2k/XP/Vista 用の Start Before Login GINA モジュール。

anyconnect-gina-win-AnyConnectRelease_Number-web-deploy-k9-lang.zip

Windows Start Before の Web 展開用言語ローカリゼーション変換ファイル。

anyconnect-linux-AnyConnectRelease_Number-k9.pkg

Linux プラットフォーム用の Web 展開パッケージ。

anyconnect-linux-AnyConnectRelease_Number-k9.tar.gz

Linux プラットフォーム用のスタンドアロン tarball パッケージ。

anyconnect-macosx-i386-AnyConnectRelease_Number-k9.dmg

Mac OS X Intel プラットフォーム用のスタンドアロン DMG パッケージ。

anyconnect-macosx-i386-AnyConnectRelease_Number-k9.pkg

Mac OS X Intel プラットフォーム用の Web 展開パッケージ。

anyconnect-macosx-powerpc-AnyConnectRelease_Number-k9.dmg

Mac OS X PowerPC プラットフォーム用のスタンドアロン DMG パッケージ。

anyconnect-macosx-powerpc-AnyConnectRelease_Number-k9.pkg

Mac OS X PowerPC プラットフォーム用の Web 展開パッケージ。

anyconnect-no-dart-win-AnyConnectRelease_Number-k9.pkg

Windows プラットフォーム用の DART を含まない Web 展開 MSI パッケージ。

anyconnect-win-AnyConnectRelease_Number-k9.pkg

Windows プラットフォーム用の Web 展開パッケージ。

anyconnect-win-AnyConnectRelease_Number-pre-deploy-k9-lang.zip

Windows プラットフォームの展開前パッケージ用言語ローカリゼーション変換ファイル。

anyconnect-win-AnyConnectRelease_Number-pre-deploy-k9.msi

Windows プラットフォーム用のスタンドアロン MSI パッケージ。

anyconnect-win-AnyConnectRelease_Number-web-deploy-k9-lang.zip

Windows プラットフォームの Web 展開パッケージ用言語ローカリゼーション変換ファイル。

anyconnect-wince-ARMv4I-AnyConnectRelease_Number-k9.cab

Windows Mobile プラットフォーム用のスタンドアロン CAB パッケージ(署名付き)。

anyconnect-wince-ARMv4I-AnyConnectRelease_Number-k9.pkg

Windows Mobile プラットフォーム用の Web 展開パッケージ。

anyconnect-wince-ARMv4I-activesync-AnyConnectRelease_Number-k9.msi

Windows Mobile プラットフォーム用の ActiveSync MSI パッケージ。

AnyConnect の WebLaunch 用にセキュリティ アプライアンスを設定した場合、AnyConnect によってコンポーネントが自動的に正しい順序で指定されます。それ以外の場合は、Start Before Logon コンポーネントを、コア クライアントのインストール 後に インストールする必要があります。さらに、AnyConnect 2.2 の Start Before Logon コンポーネントの場合は、バージョン 2.2 以降のコア AnyConnect クライアント ソフトウェアのインストールが必要です。AnyConnect クライアントの展開前および MSI ファイルを使用した Start Before Logon コンポーネントの展開前の場合(Altiris、Active Directory または SMS など独自のソフトウェア展開手段を持つ大企業の場合など)、コンポーネントを正しい順序で指定する必要があります。

VPN クライアント コンピュータにインストールされる AnyConnect ファイル

AnyConnect Client によって、次のファイルがローカル コンピュータにダウンロードされます。

 

表 1-3 エンドポイントの AnyConnect ファイル

ファイル
説明

anyfilename .xml

AnyConnect Client のプロファイル。このファイルは、特定のユーザ タイプに対して設定される機能およびアトリビュート値を指定します。

AnyConnectProfile.tmpl

AnyConnect Client ソフトウェアに付属する AnyConnect Client プロファイルの例。

AnyConnectProfile.xsd

XML スキーマ フォーマットを指定。AnyConnect はこのファイルを使用して、プロファイルを確認します。

AnyConnect によってこの 3 つのファイルが、次に示す同じディレクトリにダウンロードされます。

 

表 1-4 エンドポイントのプロファイル ファイルへのパス

OS
ディレクトリ パス

Windows 7 および Vista

C:¥ProgramData¥Cisco¥Cisco AnyConnect VPN Client¥Profile¥

Windows XP

C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco AnyConnect VPN Client¥Profile¥

Mac OS X および Linux

/opt/cisco/vpn/profile/

コンフィギュレーションおよび展開の概要

AnyConnect プロファイル エディタを使用して、プリファレンス ファイルでクライアント機能を設定してから、ユーザが Web ブラウザを使用して VPN に接続するときに、クライアントに連動して自動的にこのファイルをアップロードするよう、セキュリティ アプライアンスを設定します。プリファレンス ファイルによって、ユーザ インターフェイスの表示が決まり、ホスト コンピュータの名前とアドレスが定義されます。さまざまなプリファレンス ファイルを作成し、セキュリティ アプライアンスに設定されたグループ プロファイルに割り当てておくと、こうした機能に対してさまざまなアクセスを行えるようになります。対応するグループ プロファイルへの割り当てに従い、セキュリティ アプライアンスは接続設定時に、ユーザのグループ プロファイルに割り当てられた内容を自動的に実行します。

プロファイルによって、接続設定に関する基本情報が提供され、ユーザはそれを管理または変更することができません。AnyConnect クライアントのユーザ プロファイルは、アクセス可能にするセキュア ゲートウェイ(セキュリティ アプライアンス)ホストを指定する XML ファイルです。さらに、プロファイルで、追加の接続アトリビュートおよび制約が伝搬されます。

通常、各ユーザが 1 つのプロファイル ファイルを使用します。このプロファイルには、ユーザが必要とするすべてのホスト、および必要に応じて追加の設定が含まれます。場合によっては、特定のユーザに複数のプロファイルを割り当てたいことがあります。たとえば、複数の場所で作業するユーザは、複数のプロファイルを必要とすることがあります。この場合、ユーザはドロップダウン リストから適切なプロファイルを選択します。ただし、Start Before Login など、一部のプロファイル設定は、グローバル レベルで接続を制御します。ホストに固有のその他の設定は、選択したホストに依存します。

または、プリファレンス ファイルとクライアントをアプリケーションと同様にコンピュータにインストールしておくか、ユーザが自分でインストールし、あとからアクセスできるようにする方法もあります。Windows Mobile では、この方法だけがサポートされています。

AnyConnect API

AnyConnect との VPN 接続を別のアプリケーションから自動的に行う場合は、次のように Application Programming Interface(API)を使用します。

プリファレンス

トンネルグループ方式の設定

API パッケージには、マニュアル、ソース ファイル、および Cisco AnyConnect VPN クライアント用の C++ インターフェイスをサポートするライブラリが含まれています。Windows、Linux、および Mac OS X のクライアント作成に使用できるライブラリとサンプル プログラムもあります。API パッケージには Windows プラットフォーム用のプロジェクト ファイル(Makefile)が付属しています。その他のプラットフォームに対しては、プラットフォーム固有のスクリプトにサンプル コードのコンパイル方法が示されています。独自のアプリケーション(GUI、CLI、または組み込みアプリケーション)と、これらのファイルやバイナリをリンクすることができます。