セキュリティ : Cisco Small Business SA500 シリーズ セキュリティ アプライアンス

SSL VPN クライアントの Active Directory 認証用 Cisco SA 500 の設定

目次
発行日;2012/01/27 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック
  • SSL VPN クライアントの Active Directory 認証用 Cisco SA 500 の設定

Configuring a Cisco SA 500 for Active Directory Authentication of SSL VPN Clients

OL-23714-01-J

 

このアプリケーション ノートでは、Cisco SA 500 シリーズ セキュリティ アプライアンスの Active Directory で、SSL VPN クライアントの認証をイネーブルにする方法について説明します。

目次

概要

範囲と前提条件

要件

VPN クライアントの Active Directory 認証のための SA 500 の設定

異なるポート番号を使用した SSL VPN 接続の確立

付録

追加情報

概要

Cisco SA 500 は、リモート ユーザに SSL VPN アクセスを提供する小型ビジネス セキュリティ ルータです。SSL VPN は、インターネットおよび Web ブラウザにアクセス可能な事実上すべてのリモート ユーザにネットワーク リソースを拡張する、柔軟で安全な手段です。リモート マシンに VPN クライアント ソフトウェアをインストールしたり、メンテナンスする必要がないという利点があります。ユーザは、Web ブラウザを使用してネットワークにリモート アクセスできます。トンネルが確立されると、各ユーザには内部ネットワークの IP アドレスが与えられ、共有リソースおよびアプリケーションを使用できるようになります。または、SSL VPN ポート フォワーディングを使用して、ネットワーク上の特定のサービスおよびアプリケーションへのリモート アクセスを提供することもできます。

Active Directory は、ユーザ データ、セキュリティ、および分散リソースのネットワーク管理を自動化し、他のディレクトリとの相互運用を可能にする、一元化および標準化されたシステムです。Active Directory は、特に分散ネットワーキング環境用に設計されています。

Active Directory 認証サーバを使用すると、SSL VPN クライアントの現在の Active Directory アカウントを使用して、そのクライアントを SA 500 で認証できます。始める前に、ユーザを Active Directory サーバで正常に認証できることを確認してください。次に、セキュリティ アプライアンス コンフィギュレーション ユーティリティを使用して SA 500 を設定します。

範囲と前提条件

このアプリケーション ノートの手順とガイドラインは、SA 500 でインターネット接続がセットアップされ、基本設定済みであることが前提になっています。また、ファームウェア バージョン 1.1.62 以降を実行する SA 500 だけに適用されます。異なるバージョンを使用している場合は、画面表示と設定が本書の説明と少し異なることがあります。

要件

設定を始める前に、次の情報を確認してください。

Windows Active Directory サーバの IP アドレスと Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)。

アプリケーション サーバおよびコンピュータの IP アドレス、ポート番号、およびアカウント情報。

VPN クライアントの Active Directory 認証のための SA 500 の設定

ここで説明する手順に従い、VPN クライアントの Active Directory 認証をイネーブルにしてください。

「リモート管理(RMON)のイネーブル化」

「ポータル サイトのカスタマイズ」

「ドメイン、グループ、およびユーザ リストの設定」

「SSL VPN ポート フォワーディングの設定」

「リソースの設定」

「SSL VPN ポリシーの設定」

「SSL VPN トンネル クライアントの設定」

「SSL VPN サイトへの接続」

リモート管理(RMON)のイネーブル化

リモート Wide-Area Network(WAN)から安全にルータにアクセスするには、最初にリモート管理オプションをイネーブルにする必要があります。

リモート管理をイネーブルにするには、次の手順に従います。


ステップ 1. アドレス192.168.75.1を入力し、SA 500 に管理者としてログインします。

デフォルトのユーザ名は cisco です。

デフォルトのパスワードは cisco です。

:セキュリティ対策として、次に進む前にデフォルトのパスワードを変更しておいてください。リモート管理がイネーブルになると、IP アドレスを知るすべてのユーザがルータにアクセスできるようになり、悪意ある WAN 攻撃の可能性が高まります。パスワードを変更するには、コンフィギュレーション ユーティリティのメイン ページで [Administration] > [Users] をクリックします。

ステップ 2. メニューバーの [Network Management] をクリックしてから、ナビゲーション ツリーの [Remote Management] をクリックします。

[Remote Management (RMON)] ウィンドウが表示されます。

 

ステップ 3. 次の情報を入力します。

[Enable Remote Management]:オンにすると、リモートアクセスと SSL VPN アクセスがイネーブルになります。

[Access Type]:リモート管理/SSL VPN ユーザ IP アドレスのアクセス権レベルを、次の中から選択します。

[All IP Addresses]:ユーザはどのアドレスからもログインできます。このオプションを選択した場合は、必ずデフォルトのアドレスを変更し、強力なログイン/パスワード設定を設定してください。

[IP Address Range]:許可する IP アドレス範囲を入力します。このオプションを選択した場合は、[From:] に許可する範囲の開始 IP アドレス、[To:] に許可する範囲の終了 IP アドレスを入力します。

[Only this PC]:イネーブルにすると、現在のコンピュータだけがリモート ログインを許可されます。リモート管理アクセス権を持つコンピュータの IP アドレスを入力してください。

[Port Number]:リモート管理に使用するポート番号を設定します。この例では、ポート番号がポート 443 に設定されています。注:443 または 60443 以外のポートを使用すると QuickVPN アクセスがディセーブルになります。

[Remote SNMP Enable]:オンにすると、リモート接続に対して SNMP がイネーブルになります。

ステップ 4. [Apply] をクリックして設定値を保存します。


 

ポータル サイトのカスタマイズ

ルータにはユーザ用にデフォルト SSL VPN ポータルが用意されていますが、グループごとに異なるポータル サイトをカスタマイズすることもできます。変更できるのは、タイトル、バナー見出し、バナー メッセージ、セキュリティ設定、およびアクセス タイプ(VPN トンネル、ポート フォワーディング、またはその両方)です。

注:ルータで Remote Management(RMON; リモート管理)がイネーブルになっていることを確認してください。イネーブルになっていないと、SSL VPN アクセスがブロックされます。

次のウィンドウは、デフォルトの SSL VPN ポータル ページを示しています。

 

グループ用にポータル ページをカスタマイズするには、次の手順に従います。


ステップ 1. メニューバーの [VPN] をクリックしてから、ナビゲーション ツリーの [SSL VPN Server] > [Portal Layouts] をクリックします。

[Portal Layouts] ウィンドウが表示されます。

 

ステップ 2. [Add] をクリックします。

[Portal Layout Configuration] ウィンドウが表示されます。

 


ステップ 1. ポータルのレイアウトを設定します。この例では、ポート名とタイトル名が Channel になっています。

[Portal Layout and Theme Name]

[Portal Layout Name]:ポータルの固有の名前を入力します。

[Portal Site Title]:ポータルのブラウザ ウィンドウ タイトルを入力します。

[Banner Title (Optional)]:このグループ用のバナー タイトルを入力します。

[Banner Message]:グループの SSL VPN ユーザ用のメッセージを入力します。例:「チャネル セールス グループの SSL VPN ポータル ページへようこそ。ドメイン アカウントでログインしてください。会社のセキュリティ ポリシーに従ってください。」

[Display banner message on login page]:オンにすると、バナー タイトルとバナー メッセージの両方がポータルのログインページに表示されます。

[HTTP meta tags for cache control (recommended)]:オンにすると、SSL VPN ポータル ページおよび他の Web コンテンツがクライアントのブラウザにキャッシュされなくなります。HTTP メタ タグ キャッシュ コントロール ディレクティブを使用すると、古くなった Web ページとデータがクライアントの Web ブラウザのキャッシュに保存されなくなります。

[ActiveX web cache cleaner]:オンにすると、ユーザがこの SSL VPN ポータルにログインするたびに、ActiveX キャッシュ コントロールがロードされます。

ステップ 2. [VPN Tunnel] または [Port Forwarding] ページをイネーブルにし、ユーザがこのポータルでアクセス可能な SSL VPN ポータル ページを選択します。

。選択しなかったページは、SSL VPN ポータルのナビゲーション メニューに表示されません。ただし、そのページへのアクセスを禁止する SSL VPN アクセス ポリシーを作成していない限り、ユーザはその非公開のページにアクセスできます。「SSL VPN ポリシーの設定」を参照してください。

ステップ 3. [Apply] をクリックし、ポータル ページを保存します。


 

ドメイン、グループ、およびユーザ リストの設定

SSL VPN に特有のユーザ アカウントの詳細を設定できます。VPN ユーザを VPN ポリシーを共有するドメインおよびグループにまとめることで、ユーザの特権の指定、ネットワーク リソースへのユーザ アクセスの制御、およびセットアップ プロセスの効率化が可能です。

ドメインの設定

ステップ 1. メニューバーの [Administration] をクリックしてから、ナビゲーション ツリーの [User] > [Domains] をクリックします。

[Domains] ウィンドウが表示されます。

 

ステップ 2. [Add] をクリックします。

[Domains Configuration] ウィンドウが表示されます。

 

ステップ 3. [Domains Configuration] 領域に、次の情報を入力します。

[Domain Name]:ドメインの固有の名前を入力します。例:sbsbulab.com

[Authentication Type]:このドメインの認証タイプを入力します。例:Active Directory

[Select Portal]:ドロップダウン リストからポータル レイアウトを選択します。例:Sales
選択したポータルからログインできるのは、関連するドメインのユーザだけです。

[Authentication Server]:認証サーバの IP アドレスを入力します。例:192.168.75.82

[Active Directory Domain]:Active Directory 認証の場合は、Active Directory のドメインを入力します。例:sbsbulab.com このドメイン名は、Active Directory 管理者に問い合わせてください。

Active Directory データベースに登録されたユーザは、自分の Active Directory ユーザ名とパスワードを使用して SSL VPN ポータルにアクセスできます。

ステップ 4. [Apply] をクリックし、ドメイン設定を保存します。

新しいドメインが [List of Domains] に追加されます。

 


 

グループの追加

ユーザ数が非常に多い場合は、グループの作成を推奨します。グループを使用すると、認証ドメイン、LAN およびサービス アクセス ルール、アイドル タイムアウト時間を共有する SSL VPN ユーザの論理セットを分離できます。

グループを追加するには、次の手順に従います。


ステップ 1. ナビゲーション ツリーで [Users] > [Groups] をクリックします。

[Groups] ウィンドウが表示されます。

 

ステップ 2. [Add] をクリックします。

[Group Configuration] ウィンドウが表示されます。

 

ステップ 3. 次の情報を入力します。

[Group Name]:グループの固有の識別子を入力します。例:Sales

[Domain]:認証ドメインのドロップダウン リストから、ドメインを割り当てます。この例では、ドメインは sbsbulab.com です。

[Idle Timeout]:ユーザ セッションが終了するまでのアクティブ時間を、分単位で入力します。デフォルトのタイムアウトは 10 分です。

ステップ 4. [Apply] をクリックし、グループ設定を保存します。

新しいグループが [List of Groups] に表示されます。

 


 

ユーザの作成とグループへの割り当て

ユーザを作成してグループに割り当てるには、次の手順に従います。


ステップ 1. ナビゲーション ツリーで [Users] > [Users] をクリックします。

[Users] ウィンドウが表示されます。

 

ステップ 2. [Add] をクリックします。

[Users Configuration] ウィンドウが表示されます。

 

ステップ 3. Active Directory ドメインおよびグループのユーザごとに、次の情報を入力します。

[User Name]:各ユーザの固有の名前を入力します。値は、Active Directory サーバ上のユーザのアカウントと一致している必要があります。例:JoeD

[First Name]:ユーザの名を入力します。

[Last Name]:ユーザの姓を入力します。

[User Type]:ユーザのアカウント タイプ(SSL VPN User、Administrator、Guest)を識別します。この例では、ユーザ アカウントに SSL VPN User が指定されています。

[Select Group]:ドロップダウン リストから、ユーザのグループ メンバシップを選択します。

[Password]:使用不可。Active Directory グループのメンバーではこのフィールドがグレイアウトされます。

[Idle Timeout]:ユーザ セッションが終了するまでの非アクティブ時間を、分単位で入力します。デフォルトのタイムアウトは 10 分です。各ユーザのタイムアウト値は、グループのタイムアウトよりも優先されます。

ステップ 4. [Apply] をクリックし、ユーザ設定を保存します。

新しいユーザが [List of Users] に追加されます。

 


 

SSL VPN ポート フォワーディングの設定

ポート フォワーディングを使用すると、リモート ユーザから SSL VPN ゲートウェイに送信されるデータを検出し、それを事前定義済みのプライベート ネットワークで実行されるアプリケーションに再ルーティングできます。ここでは、ポート フォワーディング用にアプリケーションとホストを設定する方法について説明します。

ポート フォワーディング用のアプリケーションの設定

次の表に、ポート フォワーディング用の一般的アプリケーションと、対応する TCP ポート番号を示します。

TCP アプリケーション

ポート番号

FTP データ(通常は不要)

20

FTP 制御プロトコル

21

SSH

22

Telnet

23

SMTP(メール送信)

25

HTTP(Web)

80

POP3(メール受信)

110

NTP(ネットワーク タイム プロトコル)

123

Citrix

1494

ターミナル サービス

3389

VNC(仮想ネットワーク コンピューティング)

5900 または 5800

ポート フォワーディング用にアプリケーションを設定するには、次の手順に従います。


ステップ 1. メニューバーの [VPN] をクリックしてから、ナビゲーション ツリーの [SSL VPN Server] > [Port Forwarding] をクリックします。

[Port Forwarding] ウィンドウが表示されます。

 

ステップ 2. [List of Configured Applications for Port Forwarding] で [Add] をクリックします。

[Port Forwarding Application Configuration] ウィンドウが表示されます。

 

ステップ 3. 次の情報を入力します。

[Local Server IP Address]:アプリケーションをホストするサーバの IP アドレスを入力します。例:192.168.75.82

[TCP Port Number]:アプリケーションの TCP ポート番号を入力します。この例では、443 を入力して HTTPS を指定しています。

ステップ 4. [Apply] をクリックして設定値を保存します。


 

ポート フォワーディング用のホストの設定

ローカル ネットワーク上の共有ホストに簡単にアクセスできるようにするには、ホストをポートフォワーディング用に設定します。この方法では、リモート ユーザが覚えにくい IP アドレスではなく、FQDN ホスト名(ftp.sbsbulab.com など)を使用できます。

ポート フォワーディング用にホストを設定するには、次の手順に従います。

ステップ 5. [Port Forwarding] ウィンドウで、[List of Configured Names for Port Forwarding] 表で [Add] をクリックします。

[Port Forwarding Host Configuration] ウィンドウが表示されます。

 

ステップ 6. 次の情報を入力します。

[Local Server IP Address]:アプリケーションをホストするサーバの IP アドレス。例:192.168.75.82

[Fully Qualified Domain Name]:ポート フォワーディングされるアプリケーションが実行されているホスト サーバの名前。例:ftp.sbsbulab.com

ステップ 7. [Apply] をクリックして変更を保存します。


 

リソースの設定

ネットワーク リソースとは、グループまたはユーザの VPN ポリシーを簡単に作成および設定するために使用される、サービスまたはホストの集合です。ホストごとに多数のリソースがある場合、または多数のホストがリモート ユーザにリソースを提供している場合、リソースを使用すると便利です。

リソースを追加するには、次の手順に従います。


ステップ 1. メニューバーの [VPN] をクリックしてから、ナビゲーション ツリーの [SSL VPN Server] > [Resources] をクリックします。

[Resources] ウィンドウが表示されます。

 

ステップ 2. [Add Resource] をクリックします。

[Resource Configuration] ウィンドウが表示されます。

 

ステップ 3. 次の情報を入力します。

[Resource Name]:このリソースを識別する固有の名前を入力します。例:Email

[Service]:このリソースと関連付ける、サポートされた SSL VPN サービスを 1 つ選択します。選択できるのは [VPN Tunnel]、[Port Forwarding]、または [All](両方)です。

ステップ 4. [Apply] をクリックして設定値を保存します。

[Resources] ウィンドウの [List of Resources] に新しいリソースが表示されます。

ステップ 5. [List of Resources] で [Add Object to Resource] をクリックし、そのリソースに対応するすべてのオブジェクトを追加します。

[Resource Object Configuration] ウィンドウが表示されます。

 

ステップ 6. 次のリソース情報を指定します。

[Object Type]:オブジェクト タイプ([IP Address] または [IP Network])を選択します。

[Object Address]:オブジェクトの IP アドレスを入力します。例:192.168.75.82

[Mask Length]:オブジェクト タイプとして [IP Network] を選択した場合は、マスク長を入力します。

[Port Range/Port Number]:オブジェクトの開始および終了ポート番号を入力します。例:POP3 では 110 と 110

ステップ 7. [Apply] をクリックし、オブジェクトを編集中のリソースに保存します。

注: 定義されたリソースに必要なリソースをいくつでも入力できます。たとえば、電子メール用のリソースを設定する場合は、リモート ユーザに電子メール サービスを提供するポートと電子メール サーバ ホストを指定します。


 

SSL VPN ポリシーの設定

SSL VPN ポリシーを利用すると、管理者は特定の SSL VPN グループとユーザがどのリソースにアクセスするかを制御できます。特定のネットワーク リソース、IP アドレス、IP アドレス範囲、または他のサービスに適用する、グローバル、グループ、およびユーザ ポリシーを作成できます。ポリシーは優先度に基づいて適用されます。ユーザ レベルのポリシーが最も優先度が高く、次がグループ ポリシーで、最後がグローバル ポリシーです。ポリシーは VPN トンネル、ポート フォワーディング、または両方のアクセス グループに提供できます。

注:デフォルトでは、セキュリティ アプライアンスの VPN トンネルで、すべてのアドレス、サービス、およびポートに対してグローバルな PERMIT が設定されています。グローバル グループには制限する DENY ポリシーを適用し、グループとユーザに対して許可ポリシーを適用するようにしてください。または、最初にグローバルな PERMIT ポリシーを作成し、グループおよびユーザに対して DENY ポリシーを作成し、リモート アクセスを許可しないリソースをブロックしてください。

SSL VPN ポリシーを設定するには、次の手順に従います。


ステップ 1. メニューバーの [VPN] をクリックしてから、ナビゲーション ツリーの [SSL VPN Server] > [SSL VPN Policies] を選択します。

[SSL VPN Policies] ウィンドウが表示されます。

 

ステップ 2. [Add] をクリックして新しい VPN ポリシーを作成します。

[SSL VPN Policy Configuration] ウィンドウが表示されます。

 

ステップ 3. 次の情報を入力します。

[Policy For]:ポリシーのタイプを選択します。

[Global]:デバイスのすべてのユーザ。

[Group]:デバイスのユーザのグループ。このオプションを選択した場合は、[Available Groups] リストでグループも選択します。

[User]:デバイスの特定のユーザ。このオプションを選択した場合は、[Available Users] リストでユーザも選択します。

[Available Groups]:選択したグループにグループ レベルのポリシーを追加できます。

[Available Users]:特定のユーザにユーザ レベルのポリシーを追加できます。

ステップ 4. [SSL VPN Policy] 領域に、次の情報を入力します。

[Apply Policy to]:ネットワーク リソース、IP アドレス、IP ネットワーク、またはデバイスで管理されるすべてのアドレスの、どれにポリシーを適用するかを選択します。

[Policy Name]:このポリシーを識別する固有の名前を入力します。既存のポリシーと同じ名前のポリシーを作成すると、既存のポリシーが新しいもので上書きされます。

[IP Address]:[Apply Policy to] フィールドで [IP Address] または [Network Resource] を選択した場合は、デバイスの IP アドレスを入力します。

[Mask Length]:[Apply Policy to] フィールドで [IP Network] を選択した場合は、サブネット マスクの長さを入力します。

[Port Range / Port Number]([Begin] および [End]):ポートのすべての TCP または UDP トラフィックにポリシーを提供する、ポートまたはポート範囲を指定します。フィールドを空のままにすると、すべてのトラフィックにポリシーが適用されます。

[Service]:[VPN Tunnel]、[Port Forwarding]、または [All Services Defined] を選択します。

[Defined Resources]:特定のポリシーのサービスを選択します。このオプションを使用できるのは、ポリシーがネットワーク リソースに適用される場合だけです。

[Permission]:このポリシーに対して [Permit] または [Deny] を選択します。

ステップ 5. [Apply] をクリックして設定値を保存します。


 

SSL VPN トンネル クライアントの設定

SSL VPN トンネル クライアントは、ブラウザ側マシンとセキュリティ アプライアンスとの間のポイントツーポイント接続を提供します。ユーザ ポータルから SSL VPN クライアントが起動されると、社内サブネットの IP アドレス、DNS、および WINS 設定を持つネットワーク アダプタが自動的に作成されます。その結果、リモート SSL VPN クライアント マシンで特殊なネットワーク設定を行うことなく、プライベート ネットワーク上のサービスにアクセスできます。

VPN トンネル クライアントの仮想(PPP)インターフェイス アドレスが、LAN 上のすべての物理デバイスのアドレスと競合しないことを確認してください。SSL VPN 仮想ネットワーク アダプタの IP アドレス範囲は、異なるサブネットにするか、社内 LAN とオーバーラップしない範囲にする必要があります。SSL VPN クライアントに、社内ネットワークとは異なるサブネットの IP アドレスが割り当てられた場合は、クライアントのルートを追加し、VPN トンネル経由でプライベート LAN にアクセスできるようにする必要があります。

SSL VPN クライアントの設定

クライアント用 SSL VPN トンネルを設定するには、次の手順に従います。


ステップ 1. メニューバーの [VPN] をクリックしてから、ナビゲーション ツリーの [SSL VPN Client] > [SSL VPN Client] をクリックします。

[SSL VPN Client] ウィンドウが表示されます。

 

ステップ 2. 次の情報を入力します。

[Enable Split Tunnel Support]:オンにすると Split Tunnel Mode Support がイネーブルになり、オフにすると Full Tunnel Mode Support がイネーブルになります。

注。 Full Tunnel Mode では、ホストからのすべてのトラフィックがトンネルを経由します。Split-Tunnel Mode では、クライアント ルートで指定されたトラフィックだけにトンネルが使用されます。Split Tunnel Support を有効にする場合は、SSL VPN クライアント ルートも設定する必要があります。

[DNS Suffix (Optional)]:このクライアントの DNS サフィクス。

[Primary DNS Server (Optional)]:このクライアントのプライマリ DNS サーバの IP アドレス。

[Secondary DNS Server (Optional)]:このクライアントのセカンダリ DNS サーバの IP アドレス。

[Client Address Range Begin]:SSL VPN クライアントに割り当てられる最初の IP アドレス。

[Client Address Range End]:SSL VPN クライアントに割り当てられる最後の IP アドレス。

ローカル ネットワークのどのアドレスとも直接オーバーラップしない IP アドレスを、必ず設定してください。たとえば、上記のウィンドウに示すデフォルト範囲は 192.168.251.1 から 192.168.251.254 です。

ステップ 3. [Apply] をクリックして設定値を保存します。


 

Split Tunnel Mode 用クライアント ルートの設定

ステップ 1. メニューバーの [VPN] をクリックしてから、ナビゲーション ツリーの [SSL VPN Client] > [Configured Client Routes] をクリックします。

[Configured Client Routes] ウィンドウが表示されます。

 

ステップ 2. [Add] をクリックします。

[SSL VPN Client Route Configuration] ウィンドウが表示されます。

 

ステップ 3. 次の情報を入力します。

[Destination Network]:SSL VPN クライアントに追加するルートの宛先サブネットを入力します。

[Subnet Mask]:宛先ネットワークのサブネット マスクを入力します。

ステップ 4. [Apply] をクリックして設定値を保存します。


 

SSL VPN サイトへの接続

ここでは、リモート ユーザを SSL VPN サイトに接続する方法について説明します。次の内容があります。

「ポータルへの接続」

「SSL VPN トンネルによる接続」

「SSL VPN ポート フォワーディングによる接続」

注:VPN トンネルまたは VPN ポート フォワーディングで SA 500 に接続した場合は、ブラウザをリロードしないでください。リロードすると、 SSL VPN トンネル クライアントが切断されてから、リモート ネットワークに再接続されます。こうなることを防止するため、すべてのアクティブなクライアントをアンインストールし、ログアウトしてから、ブラウザを終了するようにしてください。

ポータルへの接続

ポータルに接続するには、次の手順に従います。


ステップ 1. ユーザ が Web ブラウザを起動し、ポータルの URL を入力します。

デフォルトの SSL VPN ポータルの URL は https://<wan ip address of security appliance>/portal/SSLVPN です。

ユーザがカスタマイズされたポータルを使用するグループに属している場合、URL は https://<wan ip address of security appliance>/portal/<Portal Unique Name> という形式になります。例:https://12.108.13.55/portal/Sales

注。Web ブラウザの設定で、Java、Java Script、および Active-X コントロールもイネーブルまたは許可する必要があります。

 

ステップ 2. ユーザが自分の Active Directory ユーザ名とパスワードを入力し、ポータルにログインします。

[Portal Info] ウィンドウが表示されます。

注。このウィンドウには、特定のアカウント(VPN トンネル、ポート フォワーディング、または両方)に対して設定されたサービスだけが表示されます。

 


 

SSL VPN トンネルによる接続

ステップ 1. [Portal Info] ページのナビゲーション メニューで [VPN Tunnel] オプションを選択します。

[VPN Tunnel] ウィンドウが表示されます。

 

ステップ 2. アイコンをクリックし、リモート ネットワークに接続します。ブラウザを開いたままにして、接続を維持します。

これで、リモート ユーザは許可されたリソースを利用できるようになります。

 

注:常に Cisco-SSLVPN トンネルを切断およびアンインストールし、ログアウトして、ブラウザ ウィンドウを閉じるという手順に従うことで、安全に接続し、容易に維持できるようにして、エラーを防止することを強く推奨します。

 


 

SSL VPN ポート フォワーディングによる接続

ステップ 1. [Portal Information] ページのナビゲーション メニューで [Port Forwarding] を選択します。

[Port Forwarding/Client Installer/Launcher] ウィンドウが表示されます。

 

ステップ 2. アイコンをクリックし、転送先のネットワーク ポートに接続します。ブラウザを開いたままにして、接続を維持します。

これで、ポート フォワーディングを使用するアプリケーションを起動できます。

注:常に Cisco-SSLVPN トンネルを切断およびアンインストールし、ログアウトして、ブラウザ ウィンドウを閉じるという手順に従うことで、安全に接続し、容易に維持できるようにして、エラーを防止することを強く推奨します。

 

ステップ 3. ポート フォワーディングの状態を見るには、タスクバーの SSL VPN ポート フォワーディング(飛行機)アイコンをダブルクリックします。

 

[SSL VPN Port Forwarding] 状態ウィンドウが表示されます。

 


 

異なるポート番号を使用した SSL VPN 接続の確立

デフォルト WAN ポート(443)が別のサービスまたはアプリケーションで使用されている場合は、SSL VPN クライアントがアクセスするデフォルト ポートを変更できます。ここでは、新しいサービス ポートを作成し、それを LAN ポート 443 に転送する方法について説明します。この場合は、SA 500 に WAN からログインするのではなく、LAN からログインすることになります。

新しいサービス ポートの作成

新しいサービス ポートを作成するには、次の手順に従います。


ステップ 1. 管理者アカウントを使用してルータにログインします。

ステップ 2. メニューバーの [Firewall] をクリックしてから、ナビゲーション ツリーの [Firewall] > [Services] をクリックします。

[Custom Services] ウィンドウが表示されます。

 

ステップ 3. [Add] をクリックします。

[Custom Services Configuration] ウィンドウが表示されます。

 

ステップ 4. 次の情報を入力します。

[Name]:カスタム サービスの固有の名前を入力します。例:NEWSSL_PORTAL

[Type]:サービスが使用するプロトコルを、ドロップダウン メニューから選択します(TCP、UDP、または ICMP)。

[ICMP] または [ICMPv6] を選択した場合は、[ICMP Type] も入力します。

[TCP] または [UDP] を選択した場合は、[Start Port] と [Finish Port] に入力してポート範囲を指定します。

[Start Port]:サービスが使用する範囲の最初の TCP または UDP ポート。サービスがポートを 1 つだけ使用する場合は、開始ポートと終了ポートが同じになります。この例では、ポート番号が 60444 です。

[End Port]:サービスが使用する範囲の最後の TCP または UDP ポート。この例では、終了ポートが開始ポートと同じ 60444 になっています。

注。選択したポートが、他のアプリケーションまたはサービスで使用されていないことを確認してください。ポートが使用されていた場合、その環境内で使用中のアプリケーション リソースとポートが競合してしまいます。

ステップ 5. [Apply] をクリックして設定値を保存します。


 

サービス ポート用のファイアウォール ルールの作成

新しいサービス ポートの作成後、そのポートを LAN ポート 443 に転送するファイアウォール ルールを作成する必要があります。この例では、使用される WAN ポート番号が 60444 です。

新しいサービス ポート用のファイアウォール ルールを作成するには、次の手順に従います。


ステップ 1. メニューバーの [Firewall] をクリックしてから、ナビゲーション ツリーの [Firewall] > [IPv4 Rules] をクリックします。

[IPv4 Firewall Rules] ページが表示されます。

ステップ 2. [Add] をクリックし、WAN トラフィックをポート 60444 から LAN ポート 443 に転送する IPv4 ルールを作成します。

[IPv4 Firewall Select Rules] ウィンドウが表示されます。

 

ステップ 3. 次の情報を入力します。

[From Zone] :このルールで制御されるトラフィックの発信元。例:UNSECURE (Dedicated WAN/Optional WAN)

[To Zone]: このルールで制御されるトラフィックの宛先。例:SECURE (LAN)

[Action]:このルールが適合する場合にファイアウォールが実行するアクション。例:ALLOW Always

[Source Hosts]:このファイアウォール ルールを使用するホスト。例:Never

[Log]:このルールのパケットをログに記録するかどうかを指定します。例:Any

[Internal IP Address]:ファイアウォール ルールに従ってトラフィックを受信するホスト。この例では、セキュリティ アプライアンスの LAN IP アドレス(192.168.75.1)を使用しています。

[Enable Port Forwarding]:オンにすると、[Translate Port Number] フィールドで指定したポートへのポート フォワーディングがイネーブルになります。

[Translate Port Number]:ポート フォワーディングに使用するポート番号。例:443

[External IP Address]:リモート クライアントが接続する WAN インターフェイス。例:Dedicated WAN

ステップ 4. [Apply] をクリックして設定値を保存します。

新しいファイアウォール ルールが [IPv4 Firewall Rules] ウィンドウに表示されます。

 

ステップ 5. 新しいポートで接続します。

 


 

付録

エンド ユーザ ポリシーの修正

定義した各ユーザにログイン ポリシーを追加すると、ルータのセキュリティを強化できます。ポリシーを編集してユーザのログイン権を拒否したり、ユーザ ログイン権を拒否したり、ログイン、ブラウザ、または IP アドレス別にユーザのログイン ポリシーを編集することができます。

ユーザ ログイン ポリシーを追加または編集するには、次の手順に従います。


ステップ 1. ナビゲーション ツリーで [Users] > [Users] をクリックします。

[Users] ウィンドウが表示されます。

 

ユーザ ログイン ポリシー


ステップ 1. [Users] ウィンドウで、[Edit User Policies] 列の [Login] アイコンをクリックします。

[Users/User Login Policies] ウィンドウが表示されます。

 

ステップ 2. ユーザのログインを拒否するには、つぎのいずれかのオプションを選択します。

[Disable Login]:オンにするとアカウントがディセーブルになり、オフにするとアカウントがイネーブルになります。デフォルトの管理者アカウントに対しては、この設定を変更できません。

[Deny Login from WAN Interface]:オンにすると WAN からのユーザのログインが阻止され、オフにすると WAN からのユーザのログインが許可されます。デフォルトの管理者アカウントに対しては、この設定を変更できません。

ステップ 3. [Apply] をクリックして設定値を保存します。


 

ブラウザ別のユーザ ログイン ポリシー


ステップ 1. [Users] ウィンドウで、[Edit User Policies] 列の [By Browser] アイコンをクリックします。

[Users/User Policy By Client Browser] ウィンドウが表示されます。

 

ステップ 2. ユーザ ログイン ブラウザ ポリシーを追加または変更するには、次のいずれかのオプションを選択します。

[User Policy By Client Browser] 領域で、[Deny Login from Defined Browsers] または [Allow Login only from Defined Browsers] を選択します。

ブラウザを追加するには、[Add Defined Browser] 表でクライアント ブラウザを選択し、[Add] をクリックします。

ブラウザを削除するには、そのブラウザの横のボックスをオンにし、[Delete] をクリックします。

ステップ 3. [Apply] をクリックして設定値を保存します。


 

IP アドレス別のユーザ ログイン ポリシー


ステップ 1. [Users] ウィンドウで、[Edit User Policies] 列の [By IP] アイコンをクリックします。

[Users/User Policy By Source IP Address] ウィンドウが表示されます。

 

ステップ 2. ポリシーの定義済みアドレスを追加するには、[Defined Addresses] 表で [Add] をクリックします。

[Defined Addresses] ウィンドウが表示されます。

 

ステップ 3. ドロップダウン リストでソース タイプを選択します(個別 IP アドレスまたは IP ネットワーク)。

ステップ 4. IP アドレスまたは IP ネットワーク アドレス範囲を入力します。IP アドレスが範囲の場合は、マスク長の値を入力します(0 ~ 32)。

ステップ 5. [Apply] をクリックして設定値を保存します。


 

追加情報

製品およびサポート リソース
参照先

SA 500 テクニカル ドキュメンテーション

www.cisco.com/go/sa500resources

Cisco パートナー ツール

www.cisco.com/go/partners

Cisco 小規模ビジネス サポート コミュニティ

www.cisco.com/go/smallbizsupport

Cisco.com テクニカル サポート ページ

http://www.cisco.com/en/US/support/index.html

© 2010 Cisco Systems, Inc. All rights reserved. OL-23714-01-J