Cisco AnyConnect VPN Client アドミニストレータ ガイド リリース2.4
AnyConnect クライアントを展開するための セキュリティ アプライアンスの設定
AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定
発行日;2012/02/05 | 英語版ドキュメント(2011/11/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定

セキュリティ アプライアンスによる AnyConnect クライアントの展開方法

AnyConnect クライアントをインストールする前に

AnyConnect クライアントの自動インストール方法

信頼済みサイトのリストへのセキュリティ アプライアンスの追加(IE)

ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加

複数の AnyConnect クライアント イメージをロードする場合の接続時間の短縮方法

AnyConnect クライアントのダウンロードのためのセキュリティ アプライアンスの設定

リモート ユーザに対する AnyConnect クライアント ダウンロードのプロンプト

追加の AnyConnect 機能で使用するモジュールのイネーブル化

証明書のみの認証の設定

AnyConnect クライアントを展開するためのセキュリティ アプライアンスの設定

この章では、AnyConnect クライアントを展開するためのセキュリティ アプライアンスを、ASDM を使用して設定する方法について説明します。CLI を使用してセキュリティ アプライアンスを設定する方法については、『 Cisco 5500 Series Adaptive Security Appliance CLI Configuration Guide 』を参照してください。

この章は、次の項で構成されています。

「セキュリティ アプライアンスによる AnyConnect クライアントの展開方法」

「AnyConnect クライアントをインストールする前に」

「AnyConnect クライアントのダウンロードのためのセキュリティ アプライアンスの設定」

「リモート ユーザに対する AnyConnect クライアント ダウンロードのプロンプト」

「追加の AnyConnect 機能で使用するモジュールのイネーブル化」

「証明書のみの認証の設定」

セキュリティ アプライアンスによる AnyConnect クライアントの展開方法

Cisco AnyConnect VPN クライアントには、リモート ユーザ用として、セキュリティ アプライアンスへのセキュアな SSL 接続が用意されています。以前にインストールされたクライアントを持たないリモート ユーザは、クライアントレス SSL VPN 接続を許可するよう設定されたインターフェイスのブラウザに、IP アドレスまたは DNS 名を入力します。http:// リクエストを https:// リクエストにリダイレクトするようセキュリティ アプライアンスが設定されていない場合、ユーザは https://< address > 形式で URL を入力する必要があります。

URL を入力すると、ブラウザがそのインターフェイスに接続して、ログイン画面が表示されます。ユーザがログインと認証に成功し、クライアントを必要とするユーザであることがセキュリティ アプライアンスによって確認されると、リモート コンピュータのオペレーティング システムに応じたクライアントがダウンロードされます。ダウンロード後、クライアントがインストールおよび設定され、セキュア SSL 接続が確立されます。接続終了時にクライアントが維持されるか、アンインストールされるかは、セキュリティ アプライアンスの設定で決まります。

以前にインストールされたクライアントの場合は、ユーザの認証時にセキュリティ アプライアンスがクライアントのバージョンを調べて、必要に応じてクライアントをアップグレードします。

クライアントがセキュリティ アプライアンスとの SSL VPN をネゴシエートするときに、クライアントは Datagram Transport Layer Security(DTLS)を使用した接続の使用を試みます。DTLS では、一部の SSL 接続で発生する遅延と帯域幅の問題が防止され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。DTLS 接続を確立できない場合は、Transport Layer Security(TLS)にフォールバックします。

セキュリティ アプライアンスは、グループ ポリシー、または接続を確立したユーザのユーザ名アトリビュートに基づいて、クライアントをダウンロードします。セキュリティ アプライアンスは、自動的にクライアントをダウンロードするよう設定することも、クライアントをダウンロードするかどうかをリモート ユーザに尋ねるよう設定することもできます。後者の場合は、ユーザからの返答がない場合に、タイムアウト期間後にクライアントをダウンロードするようセキュリティ アプライアンスを設定することも、ログイン ページを表示するよう設定することもできます。

AnyConnect クライアントをインストールする前に

次の項では、AnyConnect クライアントを正しくインストールするための推奨事項、および証明書、Cisco Security Agent(CSA)、信頼済みサイトの追加、ブラウザのアラートへの対処方法について説明しています。

「AnyConnect クライアントの自動インストール方法」

「信頼済みサイトのリストへのセキュリティ アプライアンスの追加(IE)」

「ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加」

AnyConnect クライアントの自動インストール方法

クライアント PC に AnyConnect クライアント ソフトウェアを自動インストールする際には、次の推奨事項と警告が適用されます。

AnyConnect クライアントのセットアップ中のユーザへのプロンプトを最小限にするには、クライアント PC 上とセキュリティ アプライアンス上の証明書データを一致させます。

セキュリティ アプライアンス上の証明書に対して Certificate Authority(CA; 認証局)を使用する場合は、クライアント マシン上で信頼済み CA として設定されたものを選択します。

セキュリティ アプライアンス上で自己署名証明書を使用する場合は、それを信頼済みルート証明書としてクライアントにインストールしておきます。

手順はブラウザによって異なります。この項の次の手順を参照してください。

セキュリティ アプライアンスの証明書の Common Name(CN; 通常名)と、クライアントが接続に使用する名前が一致していることを確認します。デフォルトでは、セキュリティ アプライアンスの証明書の CN フィールドは IP アドレスになっています。クライアントが DNS 名を使用する場合は、セキュリティ アプライアンスの証明書の CN フィールドをその名前に変更します。

証明書に Subject Alternate Name(SAN)が含まれている場合、ブラウザは [Subject] フィールドの CN 値を無視し、SAN フィールドの DNS 名を調べます。

ユーザがホスト名を使用して ASA に接続する場合は、SAN に ASA のホスト名とドメイン名が含まれている必要があります。たとえば、SAN フィールドが
DNS Name=hostname.domain.com となっている必要があります。

ユーザが IP アドレスを使用して ASA に接続する場合は、SAN に ASA の IP アドレスが含まれている必要があります。たとえば、SAN フィールドが DNS Name=209.165.200.254 となっている必要があります。

AnyConnect クライアントのインストール中に、Cisco Security Agent(CSA)から警告が表示されることがあります。

現在出荷中のバージョンの CSA は、AnyConnect クライアントと互換性のある組み込みルールを持っていません。CSA バージョン 5.0 以降を使用すると、次の手順により次のルールを作成できます。


ステップ 1 ルール モジュール「Cisco Secure Tunneling Client Module」に次の FACL を追加します。

Priority Allow, no Log, Description: “Cisco Secure Tunneling Browsers, read/write vpnweb.ocx”
Applications in the following class: “Cisco Secure Tunneling Client - Controlled Web Browsers”
Attempt: Read file, Write File
 

すべての @SYSTEM¥vpnweb.ocx ファイルで、次のことを行います。

ステップ 2 アプリケーション クラス「Cisco Secure Tunneling Client - Installation Applications」に次のプロセス名を追加します。

**¥vpndownloader.exe
@program_files¥**¥Cisco¥Cisco AnyConnect VPN Client¥vpndownloader.exe
 


 

Microsoft Internet Explorer(MSIE)ユーザは、信頼済みサイト リストにセキュリティ アプライアンスを追加するか、Java をインストールすることを推奨します。Java をインストールすると、インストールに対して ActiveX コントロールが有効になり、ユーザの操作が最小限で済みます。セキュリティが強化された Windows XP SP2 のユーザにとって、このことは非常に重要です。Windows Vista ユーザは、信頼済みサイトのリストにセキュリティ アプライアンスを追加し、ダイナミック展開機能を使用する 必要 があります。詳細は「信頼済みサイトのリストへのセキュリティ アプライアンスの追加(IE)」を参照してください。

信頼済みサイトのリストへのセキュリティ アプライアンスの追加(IE)

セキュリティ アプライアンスを信頼済みサイトのリストに追加するには、Microsoft Internet Explorer を使用して、次の手順を実行します。


) これは、Windows Vista で WebLaunch を使用して実行する必要があります。



ステップ 1 [Tools]、[Internet Options] の順に選択します。

[Internet Options] ウィンドウが開きます。

ステップ 2 [Security] タブをクリックします。

ステップ 3 [Trusted Sites] アイコンをクリックします。

ステップ 4 [Sites] をクリックします。

[Trusted Sites] ウィンドウが開きます。

ステップ 5 セキュリティ アプライアンスのホスト名または IP アドレスを入力します。複数のサイトをサポートするには、https://*.yourcompany.com のようなワイルドカードを使用します。この例では、yourcompany.com ドメイン内のすべての ASA 5500 が許可されます。

ステップ 6 [Add] をクリックします。

ステップ 7 [OK] をクリックします。

[Trusted Sites] ウィンドウが閉じます。

ステップ 8 [Internet Options] ウィンドウで [OK] をクリックします。


 

ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加

ここでは、ブラウザの警告ウィンドウへの対応として、自己署名証明書を信頼済みルート証明書としてクライアントにインストールする方法について説明します。

Microsoft Internet Explorer の [Security Alert] ウィンドウへの対応

ここでは、Microsoft Internet Explorer の [Security Alert] ウィンドウへの対応として、自己署名証明書を信頼済みルート証明書としてクライアントにインストールする方法について説明します。このウィンドウは、Microsoft Internet Explorer で、信頼済みサイトとして認識されないセキュリティ アプライアンスへの接続が確立したときに開きます。[Security Alert] ウィンドウの上半分には、次のテキストが表示されます。

Information you exchange with this site cannot be viewed or changed by others. However, there is a problem with the site's security certificate. The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.
 

次の手順に従って、信頼済みルート証明書として証明書をインストールします。


ステップ 1 [Security Alert] ウィンドウの [View Certificate] をクリックします。

[Certificate] ウィンドウが開きます。

ステップ 2 [Install Certificate] をクリックします。

[Certificate Import Wizard Welcome] が開きます。

ステップ 3 [Next] をクリックします。

[Certificate Import Wizard] - [Certificate Store] ウィンドウが開きます。

ステップ 4 [Automatically select the certificate store based on the type of certificate] をクリックします。

ステップ 5 [Next] をクリックします。

[Certificate Import Wizard - Completing] ウィンドウが開きます。

ステップ 6 [Finish] をクリックします。

ステップ 7 別の [Security Warning] ウィンドウで「Do you want to install this certificate?」というメッセージが表示されるので、[Yes] をクリックします。

[Certificate Import Wizard] ウィンドウに、インポートが成功したというメッセージが表示されます。

ステップ 8 [OK] をクリックして、このウィンドウを閉じます。

ステップ 9 [OK] をクリックして、[Certificate] ウィンドウを閉じます。

ステップ 10 [Yes] をクリックして、[Security Alert] ウィンドウを閉じます。

セキュリティ アプライアンスのウィンドウが開き、証明書が信頼されたというメッセージが表示されます。


 

Netscape、Mozilla、または Firefox の [Certified by an Unknown Authority] ウィンドウへの対応

ここでは、[Web Site Certified by an Unknown Authority] ウィンドウへの対応として、自己署名証明書を信頼済みルート証明書としてクライアントにインストールする方法について説明します。このウィンドウは、Netscape、Mozilla、または Firefox で、信頼済みサイトとして認識されないセキュリティ アプライアンスへの接続が確立したときに開きます。このウィンドウには、次のテキストが表示されます。

Unable to verify the identity of <Hostname_or_IP_address> as a trusted site.
 

次の手順に従って、信頼済みルート証明書として証明書をインストールします。


ステップ 1 [Web Site Certified by an Unknown Authority] ウィンドウの [Examine Certificate] ボタンをクリックします。

[Certificate Viewer] ウィンドウが開きます。

ステップ 2 [Accept this certificate permanently] オプションをクリックします。

ステップ 3 [OK] をクリックします。

セキュリティ アプライアンスのウィンドウが開き、証明書が信頼されたというメッセージが表示されます。


 

複数の AnyConnect クライアント イメージをロードする場合の接続時間の短縮方法

複数の AnyConnect クライアント イメージをセキュリティ アプライアンスにロードする場合は、リモート ユーザ数が最大のときに接続時間が最短になる順序で、イメージをロードする必要があります。

セキュリティ アプライアンスは、オペレーティング システムと一致するまで、クライアント イメージの一部をリモート コンピュータにダウンロードしていきます。イメージのダウンロードは、リストの上から順に行われます。そのため、リモート コンピュータで最も多く使用されているオペレーティング システムと一致するイメージを、リストの先頭に指定する必要があります。

モバイル ユーザは接続速度が遅いため、Windows Mobile 用の AnyConnect クライアント イメージをリストの最初でロードする必要があります。

モバイル ユーザに対しては、正規表現キーワードを使用して、モバイル デバイスの接続時間を短縮することができます。ブラウザは適応型セキュリティ アプライアンスに接続するときに、HTTP ヘッダーにユーザエージェント文字列を含めます。適応型セキュリティ アプライアンスはその文字列を受け取ると、その文字列がイメージに対して設定された表現と一致した場合に、他のクライアント イメージをテストすることなく、すぐにそのイメージをダウンロードします。

AnyConnect クライアントのダウンロードのためのセキュリティ アプライアンスの設定

AnyConnect クライアントを展開するようセキュリティ アプライアンスを準備するには、次の手順に従います。


ステップ 1 Cisco AnyConnect Software Download の Web ページから最新の Cisco AnyConnect Secure Mobility client パッケージをダウンロードします。

ステップ 2 AnyConnect クライアント パッケージを SSL VPN クライアントとして指定します。

[Configuration] > [Remote Access VPN] > [Network Access] > [Advanced] > [SSL VPN] > [Client Settings] を選択します。[SSL VPN Client Settings] パネルが表示されます(図 2-1)。

このパネルには、クライアント イメージとして認識された AnyConnect クライアント ファイルが一覧表示されます。この表に表示される順序は、セキュリティ アプライアンスがリモート コンピュータにファイルをダウンロードする順序を反映しています。

クライアント イメージを追加するには、[SSL VPN Client Images] 領域で [Add] をクリックします。Cisco.com からダウンロードしたファイルの名前を入力し、[Upload] をクリックします。コンピュータ内でファイルを参照することもできます。

図 2-1 AnyConnect クライアント イメージの指定

 

ステップ 3 アドレスの割り当て方式を設定します

DHCP や、ユーザが割り当てたアドレス指定を使用できます。ローカル IP アドレス プールを作成し、そのプールをトンネル グループに割り当てる方法もあります。このガイドでは、一般的なアドレス プール方式を例として使用します。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Address Pools] を選択します(図 2-2)。[Add IP Pool] ウィンドウにアドレス プール情報を入力します。

図 2-2 [Add IP Pool] ダイアログ

 

ステップ 4 クライアント ダウンロードを有効にし、接続プロファイルでアドレス プールを割り当てます。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] を選択します。(図 2-3)の矢印に従って AnyConnect クライアントを有効にしてから、アドレス プールを割り当てます。

図 2-3 SSL VPN クライアント ダウンロードの有効化

 

ステップ 5 グループ ポリシーで許可された VPN トンネリング プロトコルとして SSL VPN を指定します。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択します。[Group Policies] パネルが表示されます。図 2-4 の矢印に従って、グループの SSL VPN を有効にします。

図 2-4 トンネリング プロトコルとしての SSL VPN の指定

 

リモート ユーザに対する AnyConnect クライアント ダウンロードのプロンプト

デフォルトでは、リモート ユーザがブラウザを使用して最初に接続したときに、セキュリティ アプライアンスは AnyConnect クライアントをダウンロードしません。ユーザの認証後、デフォルトのクライアントレス ポータル ページに [Start AnyConnect Client] ドロワーが表示され、ユーザがクライアントのダウンロードを選択できるようになっています。または、クライアントレス ポータル ページを表示することなく、すぐにクライアントをダウンロードするようセキュリティ アプライアンスを設定できます。

リモート ユーザにプロンプトを表示し、設定された時間内にクライアントをダウンロードするか、クライアントレス ポータル ページを表示するかを選択できるよう、セキュリティ アプライアンスを設定することもできます。

この機能は、グループ ポリシーまたはユーザに対して設定できます。このようなログイン設定を変更するには、次の手順に従ってください。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択します。グループ ポリシーを選択して、[Edit] をクリックします。[Edit Internal Group Policy] ウィンドウが表示されます(図 2-5)。

ステップ 2 ナビゲーション ペインで、[Advanced] > [SSL VPN Client] > [Login Settings] を選択します。[Post Login settings] が表示されます。必要に応じて [Inherit] チェックボックスを選択解除し、[Post Login setting] を選択します。

ユーザにプロンプトを表示する場合は、タイムアウト時間を指定し、その時間経過後のデフォルト動作を [Default Post Login Selection] で選択します。

図 2-5 ログイン設定の変更

 

ステップ 3 [OK] をクリックし、変更をグループ ポリシーに適用します。

図 2-6 は、[Prompt user to choose] と [Download SSL VPN Client] を選択した場合に、リモート ユーザに表示されるプロンプトを示しています。

図 2-6 リモート ユーザに表示されるログイン後プロンプト

 

追加の AnyConnect 機能で使用するモジュールのイネーブル化

AnyConnect クライアント用に新しい機能がリリースされた場合、リモート ユーザが新しい機能を使用できるように、リモート ユーザの AnyConnect クライアントをアップデートする必要があります。ダウンロード時間を最小にするため、AnyConnect クライアントは、サポートする各機能に必要なモジュールの(セキュリティ アプライアンスからの)ダウンロードだけを要求します。

新しい機能をイネーブルにするには、グループ ポリシーまたはユーザ名の設定の一部として、新しいモジュール名を指定する必要があります。グループ ポリシーのモジュール ダウンロードを有効にするには、次の手順に従います。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択します。グループ ポリシーを選択して、[Edit] をクリックします。[Edit Internal Group Policy] ウィンドウが表示されます(図 2-7)。

ステップ 2 ナビゲーション ペインで、[Advanced] > [SSL VPN Client] を選択します。[Optional Client Module to Download] のドロップリストをクリックし、モジュールを選択します。

図 2-7 ダウンロードするオプションのクライアント モジュールの指定

 

ステップ 3 [OK] をクリックし、変更をグループ ポリシーに適用します。

[Start Before Logon] を選択した場合は、AnyConnect クライアント プロファイルでもこのクライアント機能を有効にする必要があります。詳細については、 AnyConnect クライアント機能の設定を参照してください。

証明書のみの認証の設定

ユーザ名とパスワードを使用して AAA でユーザを認証するか、デジタル証明書で認証するか(または、その両方を使用するか)を指定する必要があります。証明書のみの認証を設定すると、ユーザはデジタル証明書で接続でき、ユーザ ID とパスワードを入力する必要がなくなります。

証明書のみの認証は、接続プロファイルの中で設定できます。この設定を有効にするには、次の手順に従います。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] を選択します。接続プロファイルを選択し、[Edit] をクリックします。[Edit SSL VPN Connection Profile] ウィンドウが表示されます(図 2-8)。

図 2-8 証明書のみの認証の設定

 

ステップ 2 [Authentication] エリアで方式として [Certificate] を指定します。

ステップ 3 (省略可能)インターフェイスに特定の証明書を割り当てることができます。[Require Client Certificate] をクリックします(図 2-9)。

図 2-9 インターフェイスで証明書が必要

 

ステップ 4 (省略可能)各インターフェイスで SSL 認証に使用する証明書があれば、その証明書を指定できます。特定のインターフェイスに対して証明書を指定しない場合、フォールバック証明書が使用されます。

そのためには、[Configuration] > [Remote Access VPN] > [Advanced] > [SSL Settings] を選択します。[Certificates] エリアで、インターフェイスを選択して [Edit] をクリックします。[Select SSL Certificate] ウィンドウが表示されます(図 2-10)。ドロップリストから証明書を選択します。[OK] をクリックし、変更を適用します。

図 2-10 インターフェイスの証明書の指定

 

 


) AnyConnect クライアントが認証証明書を検索する証明書ストアを設定するには、「証明書ストアの設定」を参照してください。Linux および Mac OS X オペレーティング システムに対する証明書制限の設定についても参照できます。