VPN Client アドミニストレータ ガイド Release 4.6
リモート ユーザ用の VPN Client の事 前設定
リモート ユーザ用の VPN Client の事前設定
発行日;2012/01/16 | 英語版ドキュメント(2011/08/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

リモート ユーザ用の VPN Client の事前設定

ユーザ プロファイル

プロファイルのファイル形式

パラメータを読み取り専用に設定

グローバル プロファイルの作成

グローバル プロファイルで制御する機能

グローバル プロファイルの設定パラメータ

デフォルトのユーザ プロファイルの作成と使用

DNS サフィックスと VPN Client:Windows 2000 および Windows XP の場合

RADIUS SDI 拡張認証の設定

接続プロファイルの作成

接続プロファイルにより制御される機能

接続プロファイル固有の .pcf ファイルの作成

接続プロファイルの命名

接続プロファイルの設定パラメータ

リモート ユーザへの設定済み VPN Client ソフトウェアの配布

VPN Client ソフトウェアとは別に配布

VPN Client ソフトウェアと共に配布

リモート ユーザ用の VPN Client の事前設定

この章では、リモート ユーザ用の設定を事前に用意する方法、およびその事前設定を配布する方法を説明します。この章の構成は、次のとおりです。

ユーザ プロファイル

グローバル プロファイルの作成

接続プロファイルの作成

ユーザ プロファイル

リモート ユーザが中央サイトの VPN 装置に接続するときに使用する接続エントリは、一連の設定パラメータによって定義されます。これら一連のパラメータは、プロファイルと呼ばれるファイルを構成しています。プロファイルには、グローバル プロファイルと個別プロファイルがあります。

グローバル プロファイルは、すべてのリモート ユーザに対するルールを設定するもので、VPN Client 全般にかかわるパラメータを含んでいます。グローバル プロファイルのファイル名は、vpnclient.ini です。

個別プロファイルは、各接続エントリに対するパラメータ設定を含んでおり、接続エントリごとに固有のものです。個別プロファイルには、拡張子 . pcf が付きます。

プロファイルの作成方法は、2 通りあります。

1. 管理者またはリモート ユーザが VPN Client のグラフィカル ユーザ インターフェイスを使用して接続エントリを作成する(Windows および Macintosh の場合)。

2. 管理者がテキスト エディタを使用してプロファイルを作成する。

グラフィカル ユーザ インターフェイスを使用する方法では、リモート ユーザは、テキスト エディタを使用して編集できるファイルも作成します。管理者は、GUI を使用して作成したプロファイル ファイルを基に編集を加えることができます。これにより、管理者は、GUI 版 VPN Client では設定できないパラメータを制御できます。たとえば、自動開始またはサードパーティ ダイヤラのダイヤルアップ待機などに関するパラメータです。

個別プロファイルのデフォルトの場所は、次のとおりです。

Windows プラットフォーム:C:¥Program Files¥Cisco Systems¥VPN Client¥Profiles

Linux、Solaris、および Mac OS X プラットフォーム:/etc/CiscoSystemsVPNClient/Profiles/

この章では、vpnclient.ini プロファイルと個別プロファイルの作成および編集方法を説明します。両方のファイルには、同じ規則が適用されます。


) 最も簡単な方法で Windows プラットフォーム用プロファイルを作成するには、VPN Client を実行し、VPN Client GUI を使用してパラメータを設定します。この方法でプロファイルを作成した場合、.pcf ファイルをリモート ユーザ用の配布ディスクにコピーできます。この方法では、パラメータを入力するときに発生する可能性のあるエラーを防ぐことができ、グループ パスワードが自動的に暗号化された形式に変換されます。


プロファイルのファイル形式

vpnclient.ini および .pcf ファイルは、次のように標準の Windows.ini ファイルの形式に従っています。

コメントの行頭にはセミコロン(;)を付ける。

セクション名は、角カッコで囲む([セクション名])。セクション名には、大文字と小文字の区別がありません。

パラメータ値を設定する場合、キー名を使用する( キーワード = 値 )。キーワードの値を指定しないと、VPN Client のデフォルト値が使用されます。キーワードは、任意の順序に指定可能で、大文字と小文字の区別はありません。ただし、小文字と大文字を併用すると読みやすくなります。

パラメータを読み取り専用に設定

パラメータを読み取り専用にして、ユーザが VPN Client のパラメータを変更できないようにするには、パラメータ名の先頭に感嘆符(!)を付けます。ただし、これにより制御できるのは、VPN Client での操作だけです。グローバル ファイルまたは .pcf ファイルの編集、および読み取り専用の識別子の削除を防ぐことはできません。

グローバル プロファイルの作成

グローバル プロファイルの名前は、vpnclient.ini です。このファイルは、次のディレクトリにあります。

Windows プラットフォーム:C:¥Program Files¥Cisco Systems¥VPN Client ディレクトリ

Linux、Solaris、および Mac OS X プラットフォーム:/etc/CiscoSystemsVPNClient/vpnclient.ini

これらは、インストール時に作成されるデフォルト ロケーションです。

グローバル プロファイルで制御する機能

vpnclient.ini ファイルは、VPN Client のすべてのプラットフォームで次の機能を制御します。

start before logon

起動時のデフォルトの接続エントリ(デフォルトのプロファイル)への自動接続

ログオフ時の自動接続解除

ロギング サービスのクラス別制御

証明書登録

HTTP トラフィックをルーティングするプロキシ サーバの ID

接続時に起動するアプリケーションの ID

グループが見つからない場合の警報メッセージ

ログ クラスのログレベル

RADIUS SDI 拡張認証動作

GUI パラメータ:GUI 版の表示と動作

vpnclient.ini ファイルは、Windows プラットフォームで次の機能も制御します。

Entrust.ini ファイルの保存場所

VPN Client と互換性のない GINA のリスト

自動開始

ステートフル ファイアウォール オプションの設定

Windows 2000 および Windows XP プラットフォーム上のドメイン名にサフィックスを追加する方法

サードパーティ ダイヤラを使用している場合に、IP アドレスを受信してから IKE トンネルを開始するまでの待機時間

HTTP トラフィックをルーティングするネットワーク プロキシ サーバ

アプリケーションの起動

DNS サフィックス

強制ネットワーク ログイン。Windows NT、Windows 2000、または Windows XP ユーザを強制的にログアウトさせ、キャッシュされたクレデンシャルを使用せずにネットワークに再びログインさせます。

アクセシビリティ オプションの設定

デフォルトの接続エントリの設定

デフォルトの接続エントリへの接続

サンプル vpnclient.ini ファイル


) VPN Client のプロファイルはプラットフォーム間で互換性があります。Windows プラットフォームに固有のキーワードは、他のプラットフォームでは無視されます。


テキスト エディタでこのサンプル ファイルを開くと、次のように表示されます。

[main]
IncompatibleGinas=PALGina.dll,theirgina.dll
RunAtLogon=0
EnableLog=1
DialerDisconnect=1
AutoInitiationEnable=1
AutoInitiationRetryInterval=1
AutoInitiationRetryLimit=50
AutoInitiationList=techsupport,admin
[techsupport]
Network=175.55.0.0
Mask=255.255.0.0
ConnectionEntry=ITsupport
[admin]
Network=176.55.0.0
Mask=255.255.0.0
ConnectionEntry=Administration
Connectonopen=1
[LOG.IKE]
LogLevel=1
[LOG.CM]
LogLevel=1
[LOG.PPP]
LogLevel=2
[LOG.DIALER]
LogLevel=2
[LOG.CVPND]
LogLevel=1
[LOG.CERT]
LogLevel=0
[LOG.IPSEC]
LogLevel=3
[LOG.FIREWALL]
LogLevel=1
[LOG.CLI]
LogLevel=1
[CertEnrollment]
SubjectName=Alice Wonderland
Company=University of OZ
Department=International Relations
State=Massachusetts
Country=US
Email=AliceW@UOZ.com
CADomainName=CertsAreUs
CAHostAddress=10.10.10.10
CACertificate=CAU
[Application Launcher]
Enable=1
Command=c:¥apps¥apname.exe
[ForceNetLogin]
Force=1
Wait=10
DefaultMsg=For authorized users only
Separator=**************************************
[GUI]
WindowWidth=578
WindowHeight=367
WindowX=324
WindowY=112
VisibleTab=0
ConnectionAttribute=0
AdvancedView=1
DefaultConnectionEntry=ACME
MinimizeOnConnect=1
UseWindowSettings=1
ShowToolTips=1
ShowConnectHistory=1
AccessibilityOption=1

以降で、vpnclient.ini ファイルに見られるパラメータについて、意味と使用方法を説明します。

グローバル プロファイルの設定パラメータ

表 2-1 は、すべてのパラメータ、キーワード、および値について説明しています。また、GUI 版 VPN Client でこれらのパラメータを使用する場合のパラメータ名(存在する場合)、およびパラメータを設定する場所も示してあります。

各パラメータは、指定がない限り、すべての VPN Client プラットフォームで設定できます。

 

表 2-1 vpnclient.ini ファイルのパラメータ

.ini パラメータ
(キーワード)
VPN Client パラメータの説明
VPN Client GUI
の設定場所

[main]

メイン セクションを指定するための必須キーワード

[ main ]

ファイル内の最初のエントリとして、このとおり正確に入力します。

GUI では設定できません。

DialupWait

General Packet Radio Services(GPRS)などサードパーティのダイヤラから IP アドレスを受信した後 IKE トンネルを開始するまでの待機時間を秒単位で指定します。

最初の試行で接続が確立するための十分な時間を指定します。

キーワードと等号の後に、待機する秒数を入力します。
例:

DialupWait=1

デフォルト = 0

GUI では設定できません。

IncompatibleGinas

(Windows の場合)

シスコの GINA と互換性がない
Graphical Identification and Authentication ダイナミック リンク ライブラリ
(GINA.DLL)のリストを表示します。このリストに GINA を追加すると、
VPN Client のインストール中に GINA は現状のまま維持され、フォールバック モードが使用されます。VPN Client は、RunAtLogon = 1 の場合だけフォールバック モードになります。それ以外の場合は、VPN Client GINA はインストールされません(「ユーザによる操作なしでの VPN Client のインストール」を参照)。

キーワードと等号の後に、GINA の名前をコンマで区切って入力します。たとえば、次のように入力します。

IncompatibleGinas=PALgina.dll, Yourgina.dll, Theirgina.dll

名前を引用符で囲まないでください。

GUI では設定できません。

MissingGroupDialog

ユーザが事前共有の接続でグループ名を設定せずに接続を試行したときに表示される、ポップアップ ウィンドウの警告を制御します。

0 = (デフォルト)警告メッセージを表示しない。
1 = 警告メッセージを表示する。

GUI では設定できません。

RunAtLogon

(Windows の場合)

ユーザが Microsoft ネットワークにログインする前に、VPN Client 接続を開始するかどうかを指定します。
Windows NT プラットフォーム
(Windows NT 4.0、Windows 2000、および Windows XP)の場合だけに使用可能です。この機能は、NT ログイン機能とも呼ばれます。

0 = 無効(デフォルト)
1 = 有効

[オプション]>[Windows ログオンプロパティ]>[ログイン前の起動を有効にする]

EntrustIni=

(Windows の場合)

entrust.ini ファイルが、default.ini ファイルとは別の場所に保存されている場合に、そのファイルを検索します。デフォルトの場所は、基本の Windows システム ディレクトリです。

ロケーションの完全パス名

GUI では設定できません。

DialerDisconnect=

(Windows の場合)

Windows NT プラットフォーム
(Windows NT 4.0、Windows 2000、および Windows XP)からのログオフ時に、自動的に接続を切断するかどうかを決定します。このパラメータを無効にすると、ユーザがログオフしても VPN 接続は切断されないので、新たに接続を確立しなくても再ログインできます。

0 = 無効
1= 有効(デフォルトでログオフ時に接続解除)

[オプション]>
[Windows ログオンプロパティ]>[ログオフ時に
VPN 接続を解除]

DialerDisconnect には制限があります。たとえば、MS DUN の場合、ユーザがログオフすると RAS(PPP)接続が切断されてしまうことがあります。RAS 接続が切断される場合は、次の URL を参照してください。

http://support.microsoft.com/support/kb/articles/Q158/9/09.asp?LN=EN-US&SD=gn&FR=0&qry=RAS%20AND%20LOGOFF&rnk=2&src=DHCS_MSPSS_gn_SRCH&SPR=NTW40

EnableLog=

ロギング サービスを使用するクラスのログの設定を上書きするかどうかを決定します。デフォルトでは、ロギングはオンになっています。このパラメータを指定すると、ユーザはクラスごとにログレベルをゼロに設定しなくても、ロギングを無効にできます。ロギングを無効にすると、Client システムのパフォーマンスが向上します。

0 = 無効
1 = 有効(デフォルト)

[ログ]>[有効]/[無効]

StatefulFirewall=

(Windows の場合)

ステートフル ファイアウォールが常にオンかどうかを決定します。有効にすると、ステートフル ファイアウォール(常にオン)の機能により、VPN 接続が有効かどうかにかかわらず、すべてのネットワークからの受信セッションが拒否されます。また、トンネルを経由するトラフィックと経由しないトラフィックの両方でファイアウォールがアクティブになります。

0 = 無効(デフォルト)
1 = 有効

[オプション]>
[ステートフル ファイアウォール (常にオン)]

StatefulFirewallAllow
ICMP(Windows の場合)

ステートフル ファイアウォール(常にオン)で ICMP トラフィックを許可するかどうかを制御します。

一部の DHCP サーバでは、ICMP PING を使用して、DHCP クライアント PC が動作中であるかどうかを確認することで、リースを破棄するか保持するかを決定します。

0 = 無効(デフォルト)
1 = 有効

GUI では設定できません。

AutoInitiationEnable

自動開始を有効にします。自動開始は、LAN 環境で自動的に無線 VPN 接続を確立する手段です。この機能に関する情報については、「 VPN Client のアップデート 」を参照してください。

0 = 無効(デフォルト)
1 = 有効

[オプション]>
[VPN の自動開始]

AutoInitiationRetry-
Interval

接続の試みが失敗した後、自動開始を再試行する前に待機する時間(分単位)を指定します。

1 ~ 10 分

デフォルト = 1 分

[オプション]>
[VPN の自動開始]

AutoInitiationRetry-
IntervalType

リトライ間隔を分(デフォルト)から秒へ変更します。秒での範囲は、5 ~ 600 です。

0 = 分(デフォルト)
1 = 秒

[オプション]>
[VPN の自動開始]

AutoInitiationRetry-
Limit

自動開始を断念して接続の試行を中止するまでの、連続した接続の失敗回数を指定します。

1 ~ 1000

デフォルト = 0(無制限)

NA

AutoInitiationList

vpnclient.ini ファイル内の自動開始に関係するセクション名を指定します。
vpnclient.ini ファイルには、最高で 64 の自動開始リストのエントリを含めることができます。

コンマで区切られたセクション名のリスト。たとえば次のようになります。

SJWLAN, RTPWLAN, CHWLAN

GUI では設定できません。

[ section name ]

(AutoInitiationList 内の 1 項目)

各セクションには、ネットワーク アドレス、ネットワーク マスク、接続エントリ名、および接続フラグが含まれています。ネットワークとマスクの値では、サブネットを指定します。接続エントリは、接続プロファイル(.pcf ファイル)を指定します。接続フラグは、接続を自動開始するかどうかを指定します。

括弧で囲んだセクション名
Network = IP アドレス
Mask = サブネット マスク
ConnectionEntry = 接続エントリ名(プロファイル)
Connect = 1 または 0
0 = 接続を自動開始しない。
1 = 接続を自動開始する(デフォルト)。

例:

[SJWLAN]
Network=110.110.110.0
Mask=255.255.0.0
ConnectionEntry=SantaJuan
WirelessLAN

GUI では設定できません。

vpnclient.ini ファイルの自動開始の設定例

[main]
AutoInitiationEnable = 1 :自動開始を実行します。
autoInitiationList = autonet :自動開始のためのリスト内のセクション名を指定します。
AutoInitiationRetryInterval = 60 :60 秒間隔で接続を試行します。
AutoInitiationRetryIntervalType = 1 :再試行の間隔のタイプを秒に設定します。
AutoInitiationRetryLimit = 25 :接続を 25 回試行します。接続の試行は、25 回失敗した場合に停止します。
[autonet] :自動開始リストのエントリを開始します。
network = 192.168.0.0 :接続エントリの IP アドレスを指定します。
mask = 255.255.0.0 :サブマスクを指定します。
connectionentry = flatirons :接続エントリ名(.pcf ファイル)を指定します。

ConnectOnOpen

DefaultConnectionEntry パラメータに設定されているデフォルトのユーザ プロファイルに自動的に接続します

0 = 無効(デフォルト)
1 = 有効

メイン メニュー >[オプション]>[プリファレンス]>[起動時に接続を有効にする]

VAEnableAlt

Virtual Adapter(VA;仮想アダプタ)の初期化方法を、標準の方法から代替の方法に変更します。ユーザが VA を初期化できない場合に、代替の方法を試みます。

0 = VA の初期化に代替の方法を使用する。

1 = VA の初期化に標準の方法を使用する(デフォルト)。

NA

AddDhcpRoute
(Windows の場合)

DHCP サーバへのすべてのトラフィックをバイパスするルートを追加します。これは通常の動作です。ただし、サーバ上に他のサービスが存在するために、VPN Client で DHCP サーバへの全トラフィックをバイパスすることをユーザが希望しない場合には、このパラメータを使用して VPN Client のデフォルトの動作を変更します。

次のクラスごとに、LogLevel= パラメータを使用してロギング レベルを設定してください。

[LOG.IKE]

ロギング レベルを設定するため、
Internet Key Exchange クラスを指定します。

[LOG.IKE]

このとおり正確に入力します。

[ログ]>[ログ設定]

[LOG.CM]

ロギング レベルを設定するため、
Connection Manager クラスを指定します。

[LOG.CM]

このとおり正確に入力します。

[ログ]>[ログ設定]

[LOG.XAUTH]

ロギング レベルを設定するため、拡張認証クラスを指定します。

[LOG.XAUTH]

このとおり正確に入力します。

[ログ]>[ログ設定]

[LOG.PPP]

(Windows の場合)

ロギング レベルを設定するため、PPP クラスを指定します。

[LOG.PPP]

このとおり正確に入力します。

[ログ]>[ログ設定]

[LOG.CVPND]

ロギング レベルを設定するため、Cisco VPN デーモン クラスを指定します。

[LOG.CVPND]

このとおり正確に入力します。

[ログ]>[ログ設定]

[LOG.CERT]

ロギング レベルを設定するため、証明書管理クラスを指定します。

[LOG.CERT]

このとおり正確に入力します。

[ログ]>[ログ設定]

[LOG.IPSEC]

ロギング レベルを設定するため、IPSec モジュール クラスを指定します。

[LOG.IPSEC]

このとおり正確に入力します。

[ログ]>[ログ設定]

[LOG.FIREWALL]

(Windows の場合)

ロギング レベルを設定するため、
FWAPI クラスを指定します。

[LOG.FIREWALL]

このとおり正確に入力します。

[ログ]>[ログ設定]

[LOG.CLI]

ロギング レベルを設定するため、コマンドライン インターフェイス クラスを指定します。

[LOG.CLI]

このとおり正確に入力します。

[ログ]>[ログ設定]

[LOG.GUI]

ロギング レベルを設定するため、グラフィカル ユーザ インターフェイス クラスを指定します。

[LOG.GUI]

このとおり正確に入力します。

[ログ]>[ログ設定]

LogLevel=

ロギング サービスを使用する個々のクラスのログレベルを決定します。デフォルトでは、すべてのクラスのログ レベルは Low(í·) です。このパラメータを使用して、上記の[LOG]パラメータのデフォルト設定を上書きできます。

VPN Client は、1(最低)から 15(最高)までのログ レベルをサポートしています。

デフォルト = 1

ログレベルを設定するには、最初にロギングを有効にする必要があります。EnableLog=1

[ログ]>[ログ設定]

[CertEnrollment]

証明書登録セクションを指定するための必須キーワード

[CertEnrollment]

このとおり正確に入力します。

GUI では設定できません。

SubjectName=

証明書に関連したユーザ名を指定します。

最長 519 文字の英数字です。

[証明書]>[登録]で表示される[証明書の登録]フォーム

Company=

証明書の所有者が属す会社または組織を指定します。

最長 129 文字の英数字です。

[証明書]>[登録]で表示される[証明書の登録]フォーム

Department=

証明書の所有者が属す部門または組織ユニットを指定します。VPN 3000
Concentrator で IPSec グループによって照合が行われる場合は、設定内のグループ名が一致している必要があります。

最長 129 文字の英数字です。

[証明書]>[登録]で表示される[証明書の登録]フォーム

State=

証明書の所有者が存在する都道府県(米国では州)を指定します。

最長 129 文字の英数字です。

[証明書]>[登録]で表示される[証明書の登録]フォーム

Country=

証明書の所有者が存在する国を識別する、2 文字の国別コードを指定します。

最長 2 文字の英数字です。

[証明書]>[登録]で表示される[証明書の登録]フォーム

Email=

証明書の所有者の E メール アドレスを指定します。

最長 129 文字の英数字です。

[証明書]>[登録]で表示される[証明書の登録]フォーム

IPAddress

証明書の所有者が使用するシステムの IP アドレスを指定します。

ドット区切り 10 進表記のインターネット アドレス

[証明書]>[登録]で表示される[証明書の登録]フォーム

Domain

証明書の所有者にサービスを提供しているホストの完全修飾ドメイン名を指定します。

最長 129 文字の英数字です。

[証明書]>[登録]で表示される[証明書の登録]フォーム

CADomainName=

ネットワーク登録のために、認証機関が属しているドメインの名前を指定します。

最長 129 文字の英数字です。

[証明書]>[登録]で表示される[証明書の登録]フォーム

CAHostAddress=

認証機関の IP アドレスまたはホスト名を指定します。

インターネット ホスト名、またはドット区切り 10 進表記の IP アドレス。最長 129 文字の英数字です。

[証明書]>[登録]で表示される[証明書の登録]フォーム

CACertificate=

認証機関が発行した自己署名付き証明書の名前を指定します。

最長 519 文字の英数字です。

注:VPN Client の GUI では、このパラメータの読み取り専用設定が無視されます。

[証明書]>[登録]で表示される[証明書の登録]フォーム

NetworkProxy=

(Windows の場合)

HTTP トラフィックのルート指定に使用できるプロキシ サーバを指定します。ネットワーク プロキシを使用すると、プライベート ネットワークへの不正侵入の防止に役立ちます。

ドット区切り 10 進表記の IP アドレス、またはドメイン名。最長 519 文字の英数字です。プロキシの設定には、ポートが関連付けられている場合があります。

たとえば、 10.10.10.10:8080 です。

GUI では設定できません。

[mApplicationLauncher]

(Windows の場合)

(VPN Client フィールドなし)

Application Launcher セクションを指定するための必須キーワード

[ApplicationLauncher]

セクション内の最初のエントリとして、このとおり正確に入力します。

GUI では設定できません。

Enable=

(Windows の場合)

プライベート ネットワークとの接続時に VPN Client ユーザがアプリケーションを起動できるようにするには、このパラメータを使用します。

0 = 無効(デフォルト)
1 = 有効

「無効」は、起動できないことを意味します。

[オプション]>
[アプリケーションランチャー]

Command=

(Windows の場合)

起動するアプリケーションの名前。この変数には、コマンドへのパス名、および引数を指定したコマンドの名前が含まれます。

command string

最長 512 文字の英数字。

例:

c:¥auth¥swtoken.exe

[オプション]>
[アプリケーションランチャー]> アプリケーション ファイル名

[DNS]

(Windows の場合)

(VPN Client フィールドなし)

DNS セクションを指定するための必須キーワード

[DNS]

セクション内の最初のエントリとして、このとおり正確に入力します。

GUI では設定できません。

AppendOriginalSuffix=

(Windows の場合)

VPN Client で、ドメイン名に付けるサフィックスがどのように取り扱われるかを決定します。この表の後の「DNS サフィックスと VPN Client:Windows 2000 および Windows XP の場合」を参照してください。

0 = 何もしない。
1 = VPN Concentrator が指定するサフィックスに、プライマリ DNS サフィックスを付加する。これがデフォルト値です。
2 = VPN Concentrator が指定するサフィックスに、プライマリおよび Connection-Specific DNS サフィックスを付加する。

GUI では設定できません。

[RadiusSDI]

RADIUS SDI 拡張認証(XAuth)セクションを指定するための必須キーワード。VPN Client が、ネイティブ SDI 認証と同様、Radius SDI 認証を処理できるようにするには、このセクションを設定します。これにより、SDI を使用した VPN Client ユーザの認証が容易になります。

このとおり正確に入力します。

GUI では設定できません。

QuestionSubStr

質問形式の固有の RADIUS SDI Xauth プロンプトを指定します。

最長 32 バイトのテキストを入力します。デフォルト テキストは、クエスチョン マークです。

例:

"Are you prepared to have the
system generate your PIN?
(y/n):"

Response: ____________

拡張認証時にこの質問が GUI で表示されます。質問の後に
Response フィールドが表示されます。

NewPinSubStr

新しい固有の RADIUS SDI Xauth プロンプトを指定します。

最長 32 バイトのテキストを入力します。デフォルト テキストは、「新しい PIN」です。

例:

"Enter a new PIN of 4 to 8 digits."

拡張認証時に GUI で設定できます。

NewPasscodeSubStr

新しい固有の RADIUS Xauth のパスコード プロンプトを指定します。

最長 32 バイトのテキストを入力します。デフォルト テキストは、「new passcode」です。

例:

"PIN accepted.

Wait for the token code to change, then enter the new passcode"

拡張認証時に GUI で設定できます。

[Netlogin]
(Windows の場合)

vpnclient.ini ファイルの強制ネット
ワーク ログイン セクションを指定します。この機能は、Windows NT、
Windows 2000、または Windows XP
ユーザを強制的にログアウトさせ、キャッシュされたクレデンシャルを使用せずにネットワークに再びログインさせます。

このとおり正確に入力します。この機能には、このパラメータが必須です。

GUI では設定できません。


) この機能は、start before logon とは併用できません。ユーザがダイヤルアップで接続する場合(RAS)、レジストリ キーを追加する必要があります。Microsoft 社の記事
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q158909 を参照してください。レジストリ キーを追加すると、ユーザがログオフしても RAS 接続が切断されません。


Force
(Windows の場合)

強制ネットワーク ログイン機能のアクションを指定します。この機能には、このパラメータが必須です。

0 = (デフォルト)ユーザを強制的にログアウトおよびログインしない。
1 = オプションが選択されていなければ、待機時間が経過したときにユーザを強制的にログアウトさせる。
2 = オプションが選択されていなければ、待機時間が経過したときに VPN セッションを接続解除する。
3 = ユーザが接続または接続解除を選択するまで待機する。

GUI では設定できません。

Wait
(Windows の場合)

Force パラメータで指定したアクションが実行されるまでの待機時間(秒数)を指定します。このパラメータはオプションです。

x 秒。

デフォルトは 5 秒です。

GUI では設定できません。

DefaultMsg
(Windows の場合)

Force パラメータで指定したアクションが実行される前にメッセージが表示されるように指定します。メッセージは Force の設定によって異なります。このパラメータはオプションです。

最長 1023 バイトの ASCII テキスト。

デフォルト メッセージは、「You will soon be disconnected」です。

GUI では設定できません。

Separator
(Windows の場合)

バナー テキストをメッセージから分離するセパレータ テキストを指定します。バナーがない場合、セパレータは表示されません。このパラメータはオプションです。

最長 511 バイトの ASCII テキスト。

デフォルトのセパレータは、「------------」です。

GUI では設定できません。

[GUI]

グラフィカル ユーザ インターフェイス アプリケーションの機能を制御するファイル内のセクションを識別する必須キーワード

[GUI]

セクション内の最初のエントリとして、このとおり正確に入力します。

GUI では設定できません。

DefaultConnectionEntry

特に指定がない場合に接続の開始に使用する VPN Client の接続エントリの名前を指定します。

ConnectionEntryName

[接続エントリ]>[デフォルトの接続エントリとして設定]

WindowWidth

ウィンドウの幅を制御します。

デフォルト = 578 ピクセル

手動制御

WindowHeight

ウィンドウの高さを制御します。

デフォルト = 367 ピクセル

手動制御

WindowX

ウィンドウの X 軸を制御します。

0 ~ 1024 ピクセル

デフォルト = 324

モニタ画面に対して水平の、ウィンドウが表示される位置

WindowY

ウィンドウの Y 軸を制御します。

0 ~ 768 ピクセル

デフォルト = 112

モニタ画面に対して垂直の、ウィンドウが表示される位置

VisibleTab

拡張モードのメイン ダイアログで現在表示されているタブを追跡するための索引

接続エントリ
証明書
ログ

VPN Client メイン ダイアログ

ConnectionAttribute

ステータス バーの表示に関する現在の設定を示します。ステータス バーは、ダイアログ下部の行領域で、接続状況(接続/未接続)が表示されます。接続されている場合、接続エントリの名前が左側に、状況が右側に表示されます。

ステータス バーの右端の矢印をクリックすると、ステータス バーの右側が変化します。この値により、現在の表示に関する選択内容が記録されます。

VPN Client メイン ダイアログ > ステータス バー

AdvancedView

操作を拡張モードまたはシンプル モードに切り替えます。

シンプル モード = 0
拡張モード = 1(デフォルト)

メイン メニュー >[オプション]メニュー >[拡張モード]/[シンプルモード]

MinimizeOnConnect

中央サイトの VPN 装置への接続時に VPN Client をシステム トレイ アイコンに最小化するかどうかを制御します。

0 = 最小化しない。
1 = 最小化する(デフォルト)。

メイン メニュー >[オプション]>[プリファレンス]>[接続時に非表示]

UseWindowSettings

ウィンドウ設定を保存するかどうかを制御します。

0 = 保存しない。
1 = 保存する(デフォルト)。

メイン メニュー >[オプション]>[プリファレンス]>[ウィンドウ設定の保存]

ShowTooltips

ヒントを表示するかどうかを制御します。

0 = 表示しない。
1 = 表示する(デフォルト)。

メイン メニュー >[オプション]>[プリファレンス]>[ヒントを有効にする]

ShowConnectHistory

接続ネゴシエーション時に接続履歴ダイアログを表示するかどうかを制御します。

0 = 表示しない(デフォルト)。
1 = 表示する。

メイン メニュー >[オプション]>[プリファレンス]>[接続履歴の表示を有効にする]

AccessibilityOption

米国リハビリテーション法第 508 条に対応するアクセシビリティ オプションを有効にするかどうかを制御します(Windows の場合)。

0 = 有効にしない(デフォルト)。
1 = 有効にする。

メイン メニュー >[オプション]>[プリファレンス]>[アクセシビリティオプションを有効にする]

デフォルトのユーザ プロファイルの作成と使用

デフォルトのユーザ プロファイルを設定できます。これは、VPN Client GUI のデフォルトの接続エントリ機能と同じことです(『VPN Client ユーザ ガイド Windows 版』の第 4 章の「デフォルトの接続エントリの設定」、または『VPN Client ユーザ ガイド Mac OS X 版』の第 5 章の「デフォルトの接続エントリへの接続」を参照)。VPN Client .ini ファイルのパラメータ DefaultConnectionEntry に、デフォルトのユーザ プロファイルの名前が含まれます。さらに、起動時の接続機能を使用すると、セキュア ゲートウェイに接続するときに、デフォルトのユーザ プロファイルに接続するように VPN Client を設定できます。vpnclient.ini ファイルのパラメータを使用してこの設定をアクティブにする手順は、次のとおりです。


ステップ 1 DefaultConnectionEntry パラメータのデフォルトの接続エントリ名を指定します。たとえば、
DefaultConnectionEntry=myprofile
と指定します。

ステップ 2 ConnectOnOpen パラメータを有効にします( ConnectOnOpen=1 )。


 

DNS サフィックスと VPN Client:Windows 2000 および Windows XP の場合

ping server123 のようなコマンドまたはプログラムが、Windows 2000 または Windows XP プラットフォームにサフィックスなしのホスト名を渡したときは、Windows 2000 または XP は、この名前を完全修飾ドメイン名(FQDN)に変換する必要があります。Windows オペレーティング システムでは、2 つの方法でドメイン名にサフィックスが追加されます。次に示す方法 1 と方法 2 です。ここでは、これらの 2 つの方法を説明します。

方法 1:プライマリおよび Connection-Specific DNS サフィックス

プライマリ DNS サフィックスは、すべてのアダプタに対してグローバルに追加されます。
Connection-Specific DNS サフィックスは特定の接続(アダプタ)のためだけのもので、接続ごとに固有の DNS サフィックスが追加されます。

プライマリ DNS サフィックスの指定

プライマリ DNS サフィックスは、コンピュータ名に基づいて割り当てられます。プライマリ DNS サフィックスを確認または割り当てるには、使用している OS に応じて、次のいずれかの手順を実行します。

Windows 2000 の場合


ステップ 1 Windows 2000 のデスクトップ上で、[マイ コンピュータ]アイコンを右クリックします。次にメニューから[プロパティ]を選択します。

[システムのプロパティ]ダイアログが表示されます。

ステップ 2 [ネットワーク ID]タブを開きます。

この画面で[フル コンピュータ名]の横に表示されているのが、コンピュータ名と DNS サフィックスです。たとえば SILVER-W2KP.tango.dance.com のように表示されています。最初のドットの後ろの部分が、プライマリ DNS サフィックスです。たとえばこの例では、 tango.dance.com です。

ステップ 3 プライマリ DNS サフィックスを変更するには、[ネットワーク ID]タブで[プロパティ]をクリックします。

[識別の変更]ダイアログが表示されます。

ステップ 4 [詳細]をクリックします。

この操作により、[DNS サフィックスと Net BIOS コンピュータ名]ダイアログが表示されます。[このコンピュータのプライマリ DNS サフィックス]に表示されているのが、プライマリ サフィックスです。このサフィックスは編集可能です。


 

Windows XP の場合


ステップ 1 [マイ コンピュータ]を右クリックし、メニューから[プロパティ]を選択します。

[システムのプロパティ]ダイアログが表示されます。

ステップ 2 [コンピュータ名]タブを開きます。

この画面で[フル コンピュータ名]の横に表示されているのが、コンピュータ名と DNS サフィックスです。たとえば SILVER-W2KP.tango.dance.com のように表示されています。最初のドットの後ろの部分が、プライマリ DNS サフィックスです。たとえばこの例では、 tango.dance.com です。

ステップ 3 プライマリ DNS サフィックスを変更するには、[コンピュータ名]タブで[変更]をクリックします。

[コンピュータ名の変更]ダイアログが表示されます。

ステップ 4 [詳細]をクリックします。

この操作により、[DNS サフィックスと Net BIOS コンピュータ名]ダイアログが表示されます。[このコンピュータのプライマリ DNS サフィックス]に表示されているのが、プライマリ サフィックスです。このサフィックスは編集可能です。


 

Connection-Specific DNS サフィックスの指定

Connection-Specific DNS サフィックスを指定するには、次の 2 つの方法のいずれかを実行します。

1. 最初の方法では、Connection-Specific DNS 値は、[TCP/IP 詳細設定]ダイアログで、選択された接続に対する DNS サフィックスとしてリストされます。


) 次の手順は、Windows 2000 プラットフォームに対するものです。Windows XP プラットフォームでは、多少異なることがあります。


[TCP/IP 詳細設定]ダイアログを表示する手順は、次のとおりです。


ステップ 1 [マイ ネットワーク]アイコンを右クリックし、[プロパティ]をクリックすると、現在設定されている接続が表示されます。

ステップ 2 接続をダブルクリックして(たとえば local )、その接続の[プロパティ]ダイアログを表示します。接続では、図 2-1 に示すような、チェックマークが付いたコンポーネントが使用されています。この図は、[ローカル エリア接続]という名前の接続のコンポーネントを示しています。

図 2-1 接続のプロパティの表示

 

ステップ 3 [インターネット プロトコル(TCP/IP)]をダブルクリックし、そのプロパティを表示します。

ステップ 4 [詳細設定]を選択します。

ステップ 5 [DNS]タブを表示し、[この接続の DNS サフィックス]ボックスがどのように設定されているかを確認します。このボックスが空白のときは、DHCP サーバが DNS サフィックスを割り当てるように指定できます。

2. DHCP サーバによって割り当てられる Connection-Specific サフィックスを確認するには、
ipconfig /all コマンドを使用し(下の代替方法 2 を参照)、DNS サーバのアドレスを表示します。

3. Connection-Specific DNS 値は、コマンドライン プロンプトで実行される ipconfig /all コマンドの出力にリストされます。Windows 2000 IP Configuration の下で DNS Suffix Search List を探してください。Ethernet Adapter Connection Name の下で、 Connection-specific DNS Suffix を探してください。


 

方法 2:ユーザが指定する DNS サフィックス

この方法では、ユーザが特定のサフィックスを指定します。接続のプロパティ ページの DNS タブ上でサフィックスを表示または変更できます。ユーザが変更できる名前が、[以下の DNS サフィックスを順に追加する]編集ボックスに表示されます。ここで指定する値は、すべてのアダプタに共通です。

VPN Client の動作

VPN Client では、VPN 中央装置(たとえば VPN 3000 Concentrator)との間に VPN トンネルを確立するときに、Windows プラットフォームで使用される方法とは無関係に、方法 2 が使用されます。Windows プラットフォームで方法 2 が使用されている場合、VPN Client は、VPN 中央装置により割り当てられたサフィックスを付加します。これはデフォルトの操作であり、問題なく正常に実行されます。

しかし Windows プラットフォームで方法 1 が使用されている場合、VPN Client は、プライマリ サフィックスまたは Connection-Specific サフィックスを付加しません。この問題を解決するには、vpnclient.ini ファイルに AppendOriginalSuffix オプションを設定します。 表 2-1 の[DNS]の項に、このオプションの説明があります。

[DNS]

AppendOriginalSuffix=1:

この場合、VPN Client は、VPN Concentrator により割り当てられたサフィックスにプライマリ DNS サフィックスを付加します。トンネルが確立されている間、Windows は 2 つのサフィックスを持っています。1 つは VPN Concentrator により割り当てられたサフィックスであり、もう 1 つはプライマリ DNS サフィックスです。

AppendOriginalSuffix=2:

この場合、VPN Client は、VPN Concentrator により割り当てられたサフィックスにプライマリ DNS サフィックス、および Connection-Specific DNS サフィックスを付加します。トンネルが確立されている間、Windows は 3 つのサフィックスを持っています。VPN Concentrator により割り当てられたサフィックス、プライマリ DNS サフィックス、および Connection-Specific DNS サフィックスです。


) Windows で方法 2 が使用されている場合は、これらの値を vpnclient.ini ファイルに付加しても、効果がありません。


VPN Client は、トンネルが確立されるたびにこれらの値を設定し、トンネルを切断するときに元の設定を復元します。

RADIUS SDI 拡張認証の設定

VPN Client は、よりシームレスで使いやすい RADIUS SDI 認証が「ネイティブ」の SDI 認証と同様に処理されるように設定できます。この設定により、ユーザは RSA SecurID ソフトウェア インターフェイスを使用する必要がなくなります。ユーザに代わって VPN Client ソフトウェアが直接 RSA SecurID ソフトウェアに関する処理を実行します。

RADIUS SDI 認証の高度な処理を可能にするには、1 つのプロファイル(.pcf)パラメータと、場合によっては 3 つのグローバル(vpnclient.ini)パラメータを設定する必要があります。

vpnclient.ini ファイルに次の情報を入力します(これらのパラメータの詳細は、 表 2-1 を参照してください)。

RadiusSDI:RADIUS SDI の設定セクションを指定します。

質問のプロンプトを指定するための、質問の文字列の一部(例:「?」)。

新しい PIN のプロンプトを指定するための、新しい PIN の文字列の一部。

新しいパスコードのプロンプトを指定するための、新しいパスコードの文字列の一部。

Main セクションのプロファイル(接続エントリ)ファイルに、パラメータ「RadiusSDI = 1」を入力します( 表 2-2 を参照)。

これで、要求が VPN Client に送られてくると、VPN Client ではその要求が RADIUS SDI 拡張認証要求として識別され、指定された方法で処理されます。

接続プロファイルの作成

VPN Client では、プライベート ネットワークの各リモート ユーザに対する固有の設定が必要なパラメータが使用されています。これらのパラメータにより、ユーザ プロファイルが構成されます。ユーザ プロファイルは、VPN Client ユーザのローカル ファイル システムの次のディレクトリにあるプロファイル構成ファイル(.pcf ファイル)に含まれています。

Windows プラットフォームの場合:Program Files¥Cisco Systems¥VPN Client¥Profiles(デフォルトの場所にソフトウェアがインストールされている場合)

Linux、Solaris、および Mac OS X プラットフォームの場合:/etc/CiscoSystemsVPNClient/Profiles/

これらのパラメータでは、多くの機能や要件の中から、使用される認証タイプ、リモート サーバのアドレス、IPSec グループ名とパスワード、ログ ファイルの使用、バックアップ サーバの使用、ダイヤルアップ ネットワークを使用した自動インターネット接続について設定します。接続エントリごとに固有の .pcf ファイルがあります。たとえば、Doc Server、Documentation、および Engineering という名前の 3 つの接続エントリがある場合、Profiles ディレクトリには .pcf ファイルのリストが表示されます。

図 2-2 は、Windows プラットフォームにおけるユーザ プロファイルのディレクトリ構造を示しています。

図 2-2 .pcf ファイルのリスト

 

接続プロファイルにより制御される機能

接続プロファイル(.pcf ファイル)は、すべてのプラットフォームで次の機能を制御します。

接続プロファイルの説明

リモート サーバのアドレス

認証タイプ

リモート ユーザが属す IPSec グループの名前

グループ パスワード

ダイヤルアップ ネットワークを経由したインターネットへの接続

リモート ユーザの名前

リモート ユーザのパスワード

バックアップ サーバ

スプリット DNS

ダイヤルアップ ネットワーク接続のタイプ

透過的なトンネリング

TCP トンネリング ポート

ローカル LAN アクセスの許可

IKE および ESP キープアライブの有効化

ピア応答タイムアウトの設定

証明書接続のための証明書パラメータ

証明書チェーンの設定

Diffie-Hellman グループ

ピア証明書の DN の確認

RADIUS SDI 拡張認証設定

SDI ハードウェア トークン設定の使用

スプリット DNS 設定

既存の IKE ポート設定の使用

接続プロファイル(.pcf ファイル)は、Windows プラットフォームで次の機能も制御します。

Microsoft 用のダイヤルアップ ネットワークの電話帳エントリ

ISP を経由した接続のコマンド ストリング

NT ドメイン

Microsoft Network へのログインおよびクレデンシャル

デフォルト IKE ポートを 500/4500 以外に変更(明示的な追加が必要)

強制ネットワーク ログインの有効化。Windows NT、Windows 2000、および Windows XP ユーザを強制的にログアウトさせ、キャッシュされたクレデンシャルを使用せずにネットワークに再びログインさせます。

すべての接続タイプに対する、VPN Client でのブラウザのプロキシ設定の有効化/無効化

サンプル .pcf ファイル


) VPN Client の接続プロファイルはプラットフォーム間で互換性があります。Windows プラット
フォームに固有のキーワードは、他のプラットフォームでは無視されます。


Doc Server.pcf ファイルを開くと、その内容は次の例のように表示されます。この例は、事前共有キーを使用する接続エントリを示しています。 enc_ プレフィックス(たとえば、 enc_GroupPwd )は、そのパラメータの値が暗号化されていることを示しています。

[main]
Description=connection to TechPubs server
Host=10.10.99.30
AuthType=1
GroupName=docusers
GroupPwd=
enc_GroupPwd=158E47893BDCD398BF863675204775622C494B39523E5CB65434D3C851ECF2DCC8BD488857EFAFDE1397A95E01910CABECCE4E040B7A77BF
EnableISPConnect=0
ISPConnectType=0
ISPConnect=
ISPCommand=
Username=alice
SaveUserPassword=0
UserPassword=
enc_UserPassword=
NTDomain=
EnableBackup=1
BackupServer=Engineering1, Engineering2, Engineering 3, Engineering4
EnableMSLogon=0
MSLogonType=0
EnableNat=1
EnableLocalLAN=0
TunnelingMode=0
TCPTunnelingPort=10000
CertStore=0
CertName=
CertPath=
CertSubjectName
SendCertChain=0
VerifyCertDN=CN=”ID Cert”,OU*”Cisco”,ISSUER-CN!=”Entrust”,ISSURE-OU!*”wonderland”
DHGroup=2
PeerTimeOut=90
ForceNetLogin=1
 

ネットワーク管理者は、接続エントリごとにプロファイル構成ファイルを作成し、作成した .pcf ファイルを VPN Client ソフトウェアと一緒にリモート ユーザに配布して、VPN Client をリモート ユーザ用に設定できます。これらの構成ファイルには、すべてのパラメータ設定を含めることも、一部の設定だけを含めることもできます。設定されていないパラメータは、リモート ユーザが設定する必要があります。

また、構成ファイルなしで VPN Client をリモート ユーザに配布し、構成ファイルをユーザ自身に設定してもらうこともできます。この場合、ユーザが VPN Client プログラムを使用して設定を完了すると、実質的に、接続エントリごとに .pcf ファイルを作成することになります。リモート ユーザは、この .pcf ファイルを編集および共有できます。

システムのセキュリティを保護するため、リモート ユーザ用の .pcf ファイルに IPSec グループ パスワード、認証ユーザ名、または認証パスワードなどの重要なセキュリティ パラメータを含めないでください。


) ネットワーク管理者が .pcf ファイルを設定しユーザに配布する場合も、ユーザ自身に .pcf ファイルを設定してもらう場合も、VPN Client の設定に必要な情報をユーザに提供する必要があります。使用しているプラットフォーム用の『VPN Client ユーザ ガイド』の第 2 章「必要な情報の収集」を参照してください。


接続プロファイル固有の .pcf ファイルの作成

各ユーザには、固有の構成ファイルが必要です。固有のファイルを作成および編集するには、メモ帳またはその他の ASCII テキスト エディタを使用します。ファイルは、書式の指定がないテキスト形式で保存します。

接続プロファイルの命名

Windows プラットフォームでは、スペースを含むプロファイル名を付けることができます。しかし、プロファイルを Linux、Mac OS X、または Solaris など他のプラットフォームに配布する場合には、スペースを含めないでください。

接続プロファイルの設定パラメータ

表 2-2 は、すべてのパラメータ、キーワード、および値について説明しています。また、キーワードに対応する VPN Client パラメータ名(存在する場合)、およびそのパラメータを VPN Client GUI のどこで設定するかも示してあります。

各パラメータは、指定がない限り、すべての VPN Client プラットフォームで設定できます。

 

表 2-2 .pcf ファイルのパラメータ

.pcf パラメータ
(キーワード)
VPN Client パラメータの説明
VPN Client の
設定場所

[main]

(VPN Client フィールドなし)

メイン セクションを指定するための必須キーワード

[main]

ファイル内の最初のエントリとして、このとおり正確に入力します。

GUI では設定できません。

Description=

説明。

この接続エントリについて説明するテキスト行。省略可能です。

任意のテキスト。

最長 246 文字の英数字。

[接続エントリ] >
[新規]/[修正]

Host=

リモート サーバのアドレス。

リモート ユーザの接続先の Cisco リモート アクセス サーバ(中央サイトの VPN 装置)のホスト名、または IP アドレス。

インターネット ホスト名、またはドット区切り 10 進表記の IP アドレス。

最長 255 文字の英数字。

[接続エントリ] >
[新規]/[修正]

AuthType=

認証タイプ。

認証および認証タイプについては、使用しているプラットフォームの VPN Client ユーザ ガイドを参照してください。

ユーザの認証タイプ

1 = 事前共有キー(デフォルト)
3 = RSA 署名を使用するデジタル証明書
5 = 相互認証(下記の注を参照)

[接続エントリ] >
[新規]/[修正]>[認証]


) ユーザに対する相互認証またはハイブリッド認証のセットアップ:この認証方法を使用するには、VPN Client システムにインストールされているルート証明書と一致するルート証明書から得られた ID 証明書が、中央サイトの VPN 装置にインストールされていなければなりません(相互信頼を確立するには、両方の側で使用されるクレデンシャルが一致している必要があります)。インストール中にルート証明書をリモート ユーザに提供する方法については、使用しているプラットフォームのユーザ ガイドのインストールの項を参照してください。VPN Concentrator の設定については、「相互認証の設定」を参照してください。


 

GroupName=

グループ名。

ユーザが属す IPSec グループの名前。事前共有キーと一緒に使用されます。

中央サイトの VPN 装置上で設定されている IPSec グループの正確な名前。

最長 32 文字の英数字。大文字と小文字は区別されます。

[接続エントリ] >
[新規]/[修正]>[認証]

GroupPwd=

グループのパスワード。

ユーザが属す IPSec グループのパスワード。事前共有キーと一緒に使用されます。

VPN Client では、初めてこのパスワードが読み取られるときに、暗号化されたパスワード(enc_GroupPwd)に置き換らえます。

中央サイトの VPN 装置上で設定されている IPSec グループの正確なパスワード。

4 ~ 32 文字の英数字。大文字と小文字が区別されるクリア テキスト。

[接続エントリ] >
[新規]/[修正]>[認証]

encGroupPwd=

ユーザが属す IPSec グループのパスワード。事前共有キーと一緒に使用されます。このパスワードは、GroupPwd の暗号化されたパスワードです。

英数字テキストで表されるバイナリ データ

GUI では設定できません。

EnableISPConnect=

(Windows の場合)

ダイヤルアップ ネットワークを経由したインターネットへの接続。

VPN Client で、IPSec 接続が開始される前に ISP に自動的に接続されるようにするかどうかを指定します。つまり、PppType パラメータを使用するかどうかを決定します。

0 = 無効(デフォルト)
1 = 有効

VPN Client の GUI では、このパラメータの読み取り専用設定が無視されます。

[接続エントリ] >
[新規]/[修正]>[ダイヤルアップ]>[ダイヤルアップによるインターネットへの接続]

ISPConnectType=

(Windows の場合)

ダイヤルアップ ネットワークの接続エントリ タイプ。

使用するタイプ(ISPConnect または
ISPCommand)を指定します。

0 = ISPConnect(デフォルト)
1 = ISPCommand

VPN Client の GUI では、このパラメータの読み取り専用設定が無視されます。

[接続エントリ] >
[新規]/[修正]>[ダイヤルアップ]>([Microsoft ダイヤルアップネットワーク]または[サードパーティのダイヤルアップアプリケーション]のどちらかを選択)

ISPConnect=

(Windows の場合)

ダイヤルアップ ネットワークの電話帳エントリ(Microsoft)。

Microsoft ネットワークにダイヤルインするには、このパラメータを使用します。指定されたダイヤルアップ ネットワークの電話帳エントリにダイヤルし、ユーザを接続します。

EnableISPconnect=1 および
ISPConnectType=0 の場合だけ適用されます。

phonebook_name

この変数は、DUN 用の電話帳エントリの名前(最長 256 文字の英数字)です。

VPN Client の GUI では、このパラメータの読み取り専用設定が無視されます。

[接続エントリ] >
[新規]/[修正]>[ダイヤルアップ]>[Microsoft ダイヤルアップネットワーク]>[電話番号エントリ]

ISPCommand=

(Windows の場合)

ダイヤルアップ ネットワーク電話帳エントリ(コマンド)。

ユーザの ISP ダイヤラにダイヤルするコマンドを指定するには、このパラメータを使用します。

EnableISPconnect=1 および
ISPConnectType=1 の場合だけ適用されます。

command string

この変数には、コマンドへのパス名、および引数を指定したコマンドの名前が含まれます。たとえば、次のとおりです。

c:¥isp¥ispdialer.exe dialEngineering

最長 512 文字の英数字。

[接続エントリ] >
[新規]/[修正]>[ダイヤルアップ]>[サードパーティのダイヤルアップアプリケーション]

Username=

ユーザ認証:ユーザ名

GroupName で指定された IPSec グループの有効なメンバーとしてユーザを認証するための名前

正確なユーザ名。大文字と小文字が区別される、最長 32 文字のクリア テキスト。

VPN Client でのユーザ認証時に、ユーザはこの値を入力するように求められます。

[接続エントリ] >
[新規]/[修正]>[認証]

UserPassword=

ユーザ認証:パスワード

このパスワードは、拡張認証時に使用します。

VPN Client では、初めてこのパスワードが読み取られるときに、パスワードが enc_UserPassword としてファイルに保存され、クリア テキストのパスワードが削除されます。SaveUserPassword が無効である場合は、UserPassword が削除され、暗号化されたパスワードは作成されません。

プロファイルを管理する GUI インターフェイスがない場合だけ、このパラメータを手動で変更してください。

大文字と小文字が区別される、最長 32 文字の英数字

[接続エントリ] >
[新規]/[修正]>[認証]

encUserPassword

暗号化されたユーザ パスワード

英数字テキストで表されるバイナリ データ

GUI では設定できません。

SaveUserPassword

ユーザ パスワードまたは暗号化されたユーザ パスワードが、プロファイル内で有効であるかどうかを決定します。

この値は、中央サイトの VPN 装置から指定されます。

0 = (デフォルト)ユーザがパスワード情報をローカルに保存することを許可しない。
1 = ユーザがパスワードをローカルに保存することを許可する。

GUI では設定できません。

NTDomain=

(Windows の場合)

ユーザ認証:ドメイン

ユーザの IPSec グループに対して設定された NT ドメイン名。Windows NT ドメイン サーバを介したユーザ認証だけに適用されます。

NT ドメイン名。最長 14 文字の英数字。下線は使用できません。

[接続エントリ] >
[新規]/[修正]

EnableBackup=

バックアップ サーバを有効にします。

プライマリ サーバが使用不能である場合に、バックアップ サーバを使用するかどうかを指定します。

0 = 無効(デフォルト)
1 = 有効

[接続エントリ] >
[新規]/[修正]>
[バックアップサーバ]

BackupServer=

(バックアップ サーバ リスト)

バックアップ サーバのホスト名または IP アドレスのリスト。

EnableBackup=1 の場合だけ適用されます。

有効なインターネット ホスト名、またはドット区切り 10 進表記の IP アドレス。エントリが複数ある場合は、コンマで区切ります。最長 255 文字。

[接続エントリ] >
[新規]/[修正]>
[バックアップサーバ]

EnableMSLogon=

(Windows の場合)

Microsoft ネットワークへのログイン。

ユーザが Microsoft ネットワークにログインすることを指定します。

Windows 9x オペレーティング システムを実行するシステムだけに適用されます。

0 = 無効
1 = 有効(デフォルト)

[接続エントリ] >
[新規]/[修正]>
[Microsoft ログオン]

これは、Windows 98 と Windows ME だけで使用できます。

MSLogonType=

(Windows の場合)

デフォルトのシステム ログイン クレデンシャルを使用します。

ネットワーク ログイン クレデンシャルを求めます。

Microsoft Network が、ログイン時にユーザの Windows ユーザ名とパスワードを受け入れるかどうか、つまり Microsoft Network がユーザ名とパスワードを求めるかどうかを指定します。

EnableMSLogon=1 の場合だけ適用されます。

0 = (デフォルト)デフォルトのシステム ログイン クレデンシャルを使用する(Windows ログイン ユーザ名とパスワードを使用する)。
1 = ネットワーク ログイン ユーザ名とパスワードを求める。

[接続エントリ] >
[新規]/[修正]>
[Microsoft ログオン]

これは、Windows 98 と Windows ME だけで使用できます。

EnableNat=

透過的トンネリングを有効にします。

NAT や PAT も実行している可能性がある、ファイアウォールとして動作するルータを通じて、VPN Client とセキュア ゲートウェイ間でのセキュアな伝送を可能にします。

0 = 無効
1 = 有効(デフォルト)

[接続エントリ] >
[新規]/[修正]>[トランスポート]

TunnelingMode=

UDP や TCP 上での透過的トンネリング モードを指定します。ユーザが接続しているセキュア ゲートウェイによって使用されるモードと一致している必要があります。

0 = UDP(デフォルト)
1 = TCP

[接続エントリ] >
[新規]/[修正]>[トランスポート]

TCPTunnelingPort=

TCP ポート番号を指定します。セキュア ゲートウェイ上に設定されたポート番号と一致している必要があります。

1 ~ 65545 のポート番号

デフォルト = 10000

[接続エントリ] >
[新規]/[修正]>[トランスポート]

EnableLocalLAN=

ローカル LAN アクセスを許可します。

セキュア ゲートウェイを通じて中央サイトの VPN 装置に接続されている間に、Client サイトのローカル LAN 上のリソースにアクセスできるようにするかどうかを指定します。

0 = 無効(デフォルト)
1 = 有効

[接続エントリ] >
[新規]/[修正]>[トランスポート]

PeerTimeout=

ピア応答のタイムアウト。

トンネルの反対側にある中央サイトの VPN 装置が応答していない場合、接続が終了するまで待機する秒数。

秒数

最小 = 30 秒
最大 = 480 秒
デフォルト = 90 秒

[接続エントリ]>[新規]/[修正]>[トランスポート]

CertStore=

証明書のストア。

設定済みの証明書が保存されるストアのタイプを指定します。

0 = 証明書なし(デフォルト)
1 = Cisco
2 = Microsoft
VPN Client の GUI では、このパラメータの読み取り専用設定が無視されます(注を参照)。

Windows GUI

GUI では設定できません。[証明書]タブに表示されます。

Mac OS X GUI

[接続エントリ] >
[新規]/[修正]>[トランスポート]


) 通常、パラメータが読み取り専用に設定されている場合は、ユーザがパラメータ値を変更できないように GUI のチェックボックスが無効にされるか、編集されます。しかし、このことは Certificate パラメータについては当てはまりません。Certificate パラメータの値は、ファイル内で上書きできません。ユーザは GUI 表示で Certificate パラメータの値を変更できますが、変更内容は保存されません。


 

CertName=

証明書名。

中央サイトの VPN 装置への接続に使用される証明書を指定します。

最長 129 文字の英数字。

VPN Client の GUI では、このパラメータの読み取り専用設定が無視されます。

[証明書]>[表示]

CertPath=

証明書ファイルが保存されているディレクトリの完全パス名

最長 259 文字の英数字。

VPN Client の GUI では、このパラメータの読み取り専用設定が無視されます。

[証明書]>[インポート]

CertSubjectName

証明書の所有者の完全修飾識別名(DN)。VPN Dialer(インストールされている場合)により、このパラメータの値が入力されます。

このパラメータを指定せず、ブランクのままにします。

VPN Client の GUI では、このパラメータの読み取り専用設定が無視されます。

[証明書]>[表示]

CertSerialHash

証明書の全内容のハッシュ。証明書の信頼性を検証する手段を提供します。VPN Dialer(インストールされている場合)により、このパラメータの値が入力されます。

このパラメータを指定せず、ブランクのままにします。

VPN Client の GUI では、このパラメータの読み取り専用設定が無視されます。

[証明書]>[表示]


) 証明書認証を処理する場合、次のフィールドが優先順位に従って使用されます。
CertSerialHash
CertSubjName
CertName
同じ DN または CN を持つ証明書が 2 つある場合は、最初の証明書が選択されます。


 

SendCertChain

識別証明書の検証のため、ルート証明書と識別証明書間の CA 証明書チェーン、および識別証明書をピアに送信します。

0 = 無効(デフォルト)
1 = 有効

[接続エントリ]>[新規]/[修正]

[証明書]>[エクスポート]

VerifyCertDN

ユーザが、盗まれた有効な証明書やハイジャックされた IP アドレスを使用して有効なゲートウェイに接続できないようにします。ピア証明書のドメイン名の確認が失敗すると、クライアント接続も失敗します。

所有者と発行者のあらゆる証明書 DN 値を含めることができます。

-_@<>()., 、およびワイルドカードを含むすべての有効な
ASCII 文字を使用できます。次の例を参照してください。

GUI では設定できません。

例:VerifyCertDN=CN=”ID Cert”,OU*”Cisco”,ISSUER-CN!=”Entrust”,ISSUER-OU!*”wonderland”

CN=”ID Cert” :CN で正確に一致するよう指定します。

OU*”Cisco” :文字列「 Cisco 」を含むすべての OU を指定します。

ISSUER-CN!”Entrust” :発行者 CN が、「 Entrust 」と一致してはならないことを指定します。

ISSUER-OU!*”wonderland” :発行者 OU が、「 wonderland 」を含んではならないことを指定します。

DHGroup

Diffie-Hellman キー ペアの生成に使用される VPN 装置上のデフォルト グループ値を、ネットワーク管理者が上書きできるようにします。

1 = modp group 1
2 = modp group 2(デフォルト)
5 = modp group 5

注:この値は事前共有キーに対してだけ、あらかじめ設定されます。認証済み証明書の接続では、DHGroup 番号がネゴシエートされます。

GUI では設定できません。

RadiusSDI

Radius SDI を使用した拡張認証(XAuth)を前提とするよう VPN Client に通知します。

0 = 通知しない(デフォルト)。
1 = 通知する。

このパラメータを有効にすると、SDI 認証のための GUI のプロンプトが Radius
SDI から表示され、
vpnclient.ini ファイルのパラメータを使用して設定されます。

SDIUseHardwareToken

接続エントリで RSA SoftID ソフトウェアが使用されないようにします。

0 = RSA SoftID を使用する(デフォルト)。
1 = PC にインストールされた RSA SoftID ソフトウェアを無視する。

GUI では設定できません。

EnableSplitDNS

0 = 使用しない。
1 = 使用する(デフォルト)。

GUI では設定できません。

UseLegacyIKEPort

デフォルト IKE ポートを 500/4500 からすべての接続で使用される動的ポートに変更します。このパラメータは、明示的に .pcf ファイルに入力する必要があります。

0 = 既存の設定をオフにして、cTCP に動的ポートを使用する。

1 =(デフォルト)既存の設定 500/4500 を保持する。これにより、cTCP 対応の中央サイトの VPN 装置で簡単に TCP/UDP を使用できます。この設定により、VPN Client での静的ポート割り当ての使用を前提とする中央サイトの VPN 装置との相互運用が可能になります。このパラメータを有効にすると、一部のバージョンの Windows との相互運用性が損なわれます。

GUI では設定できません。

ForceNetlogin
(Windows の場合)

この接続プロファイルに対して強制ネット ログイン機能を有効にします。

0 = ユーザの強制ログアウトおよびログインを行わない(デフォルト)。
1 = オプションが選択されていなければ、待機時間が経過したときにユーザを強制的にログアウトさせる。
2 = オプションが選択されていなければ、待機時間が経過したときに VPN セッションを接続解除する。
3 = ユーザが接続または接続解除を選択するまで待機する。

GUI では設定できません。

リモート ユーザへの設定済み VPN Client ソフトウェアの配布

VPN Client のプロファイル構成ファイルを作成後、そのファイルを VPN Client ソフトウェアとは別に、または VPN Client ソフトウェアと共にユーザに配布できます。

VPN Client ソフトウェアとは別に配布

構成ファイルを VPN Client とは別にユーザに配布し、PC にインストールしてから VPN Client にインポートしてもらう手順は、次のとおりです。


) Mac OS X プラットフォームの場合には、VPN Client がインストールされる前に、構成ファイルが Profiles フォルダに配置されます。詳細は、『VPN Client ユーザ ガイド Mac OS X 版』の第 2 章を参照してください。



ステップ 1 ネットワーク管理者は、使用するプロファイル構成ファイルをメディアに収めてユーザに配布します。

ステップ 2 必要な設定情報をユーザに提供します。

ステップ 3 次の作業を行うようユーザに指示します。

a. 使用しているプラットフォーム用の 『VPN Client ユーザ ガイド』の説明に従って VPN Client をインストールする。

b. VPN Client を起動し、 使用しているプラットフォーム用の 『VPN Client ユーザ ガイド』の第 5 章の説明に従う。「VPN Client 構成ファイルのインポート」の項を参照してください(Windows の場合)。

c. 使用しているプラットフォーム用の 『VPN Client ユーザ ガイド』の第 4 章の説明に従って VPN Client を設定する。

d. プライベート ネットワークに接続し、 使用しているプラットフォーム用の 『VPN Client ユーザ ガイド』の第 5 章の説明に従ってパラメータを入力する。


 

VPN Client ソフトウェアと共に配布

vpnclient.ini ファイルが VPN Client ソフトウェアにバンドルされている場合は、vpnclient.ini ファイルの最初のインストール時に、そのファイルを使用して VPN Client が自動設定されます。また、プロファイル ファイル(接続エントリごとに 1 つずつある .pcf ファイル)を、自動設定用の事前設定済み接続プロファイルとしてユーザに配布することもできます。

事前設定された VPN Client ソフトウェアをインストール用にユーザに配布する手順は、次のとおりです。


ステップ 1 VPN Client ソフトウェアのファイルを、配布 CD-ROM から、vpnclient.ini(グローバル)ファイルおよびユーザ群別接続プロファイルを作成した各ディレクトリにコピーします。


) Mac OS X プラットフォームの場合には、VPN Client がインストールされる前に、事前設定ファイルが Profiles フォルダおよび Resources フォルダに配置されます。vpnclient.ini ファイルは、インストーラ ディレクトリに配置されます。詳細は、『VPN Client ユーザ ガイド Mac OS X 版』の第 2 章を参照してください。


ステップ 2 バンドルされたソフトウェアを用意して配布します。

CD-ROM またはネットワークによる配布 :vpnclient.ini ファイルとプロファイル ファイルが、CD-ROM のすべてのイメージ ファイルと同じディレクトリにあることを確認してください。ネットワーク接続を使用してこのディレクトリからインストールするようユーザに指示したり、すべてのファイルを配布用の新しい CD-ROM にコピーしたりできます。あるいは、このディレクトリのすべてのファイルが含まれる自己解凍型 ZIP ファイルを作成し、ユーザにそのファイルをダウンロードしてソフトウェアをインストールしてもらうこともできます。

ステップ 3 その他の必要な設定情報と指示をユーザに与えます。 使用しているプラットフォーム用の 『VPN Client ユーザ ガイド』の第 2 章を参照してください。