ASDM ブック 3:Cisco ASA シリーズ VPN ASDM 7.8 コンフィギュレーション ガイド
- Updated:
- 2018年5月2日
章のタイトル: 高度なクライアントレス SSL VPN のコンフィギュレーション
高度なクライアントレス SSL VPN のコンフィギュレーション
Microsoft Kerberos Constrained Delegation ソリューション
多くの組織は、現在 ASA SSO 機能によって提供されるもの以上の認証方式を使用して、クライアントレス VPN ユーザを認証し、ユーザの認証クレデンシャルを Web ベースのリソースにシームレスに拡張することを望んでいます。スマート カードおよびワンタイム パスワード(OTP)を使用したリモート アクセス ユーザの認証に対する要求が大きくなっていますが、SSO 機能ではこの要求を満たすには不十分です。SSO 機能では、認証が必要になると、従来のユーザ クレデンシャル(スタティックなユーザ名とパスワードなど)をクライアントレス Web ベースのリソースに転送するだけであるためです。
たとえば、証明書ベースの認証方式にも OTP ベースの認証方式にも、ASA が Web ベースのリソースへの SSO アクセスをシームレスに実行するために必要な従来型のユーザ名とパスワードが含まれていません。証明書を使用して認証する場合、ASA が Web ベースのリソースに達するためにユーザ名とパスワードは必要ないので、この認証方式は SSO ではサポートされません。これに対し、OTP にはスタティックなユーザ名が含まれていますが、パスワードはダイナミックであり、VPN セッション中に後で変更されます。一般に、Web ベースのリソースはスタティックなユーザ名とパスワードを受け入れるように設定されるため、OTP も SSO でサポートされない認証方式になっています。
Microsoft の Kerberos Constrained Delegation(KCD)は、ASA のソフトウェア リリース 8.4 で導入された新機能であり、プライベート ネットワーク内の Kerberos で保護された Web アプリケーションにアクセスできるようにします。この利点により、証明書ベースおよび OTP ベースの認証方式を Web アプリケーションにシームレスに拡張できます。SSO と KCD が独立しながら連携することにより、多くの組織では、ASA でサポートされるすべての認証方式を使用して、クライアントレス VPN ユーザを認証し、ユーザの認証クレデンシャルを Web アプリケーションにシームレスに拡張できます。
- KCD の機能
- KCD の認証フロー
- KCD のデバッグ
- Active Directory での Windows サービス アカウントの追加
- KCD の DNS の設定
- Active Directory ドメインに参加するための ASA の設定
- Microsoft Kerberos の要件
KCD の機能
Kerberos は、ネットワーク内のエンティティのデジタル識別情報を検証するために、信頼できる第三者に依存しています。これらのエンティティ(ユーザ、ホスト マシン、ホスト上で実行されるサービスなど)は、プリンシパルと呼ばれ、同じドメイン内に存在している必要があります。秘密キーの代わりに、Kerberos では、サーバに対するクライアントの認証にチケットが使用されます。チケットは秘密キーから導出され、クライアントのアイデンティティ、暗号化されたセッション キー、およびフラグで構成されます。各チケットはキー発行局によって発行され、ライフタイムが設定されます。
Kerberos セキュリティ システムは、エンティティ(ユーザ、コンピュータ、またはアプリケーション)を認証するために使用されるネットワーク認証プロトコルであり、情報の受け手として意図されたデバイスのみが復号化できるようにデータを暗号化することによって、ネットワーク伝送を保護します。クライアントレス SSL VPN ユーザに Kerberos で保護された Web サービスへの SSO アクセスを提供するように KCD を設定できます。このような Web サービスやアプリケーションの例として、Outlook Web Access(OWA)、SharePoint、および Internet Information Server(IIS)があります。
Kerberos プロトコルに対する 2 つの拡張機能として、プロトコル移行および制約付き委任が実装されました。これらの拡張機能によって、クライアントレスまたは SSL VPN リモート アクセス ユーザは、プライベート ネットワーク内の Kerberos で認証されるアプリケーションにアクセスできます。
プロトコル移行機能は、ユーザ認証レベルでさまざまな認証メカニズムをサポートし、後続のアプリケーション レイヤでセキュリティ機能(相互認証や制約付き委任など)用に Kerberos プロトコルに切り替えることによって、柔軟性とセキュリティを向上させます。制約付き委任では、ドメイン管理者は、アプリケーションがユーザの代わりを務めることができる範囲を制限することによって、アプリケーション信頼境界を指定して強制適用できます。この柔軟性は、信頼できないサービスによる危険の可能性を減らすことで、アプリケーションのセキュリティ設計を向上させます。
制約付き委任の詳細については、IETF の Web サイト(http://www.ietf.org)にアクセスして、RFC 1510 を参照してください。
KCD の認証フロー
次の図に、委任に対して信頼されたリソースにユーザがクライアントレス ポータルによってアクセスするときに、直接的および間接的に体験するパケットおよびプロセス フローを示します。このプロセスは、次のタスクが完了していることを前提としています。
 (注) | クライアントレス ユーザ セッションは、ユーザに設定されている認証メカニズムを使用して ASA により認証されます(スマートカード クレデンシャルの場合、ASA はデジタル証明書の userPrincipalName を使用して、Windows Active Directory に対して LDAP 許可を実行します)。 |
-
認証が成功すると、ユーザは ASA クライアントレス ポータル ページにログインします。ユーザは、URL をポータル ページに入力するか、ブックマークをクリックして、Web サービスにアクセスします。この Web サービスで認証が必要な場合、サーバは ASA クレデンシャルの認証確認を行い、サーバがサポートしている認証方式のリストを送信します。
(注)
クライアントレス SSL VPN の KCD は、すべての認証方式(RADIUS、RSA/SDI、LDAP、デジタル証明書など)に対してサポートされています。次の AAA のサポートに関する表を参照してください。http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/access_aaa.html#wp1069492
-
認証確認時の HTTP ヘッダーに基づいて、ASA はサーバで Kerberos 認証が必要かどうかを判断します(これは SPNEGO メカニズムの一部です)。バックエンド サーバとの接続で Kerberos 認証が必要な場合、ASA は、ユーザに代わって、自身のサービス チケットをキー発行局に要求します。
-
キー発行局は、要求されたチケットを ASA に返します。ASA に渡される場合でも、これらのチケットにはユーザの認可データが含まれています。ASA は、ユーザがアクセスする特定のサービスのサービス チケットを KCD に要求します。
(注)
ステップ 1 ~ 3 では、プロトコル移行が行われます。これらのステップの後、Kerberos 以外の認証プロトコルを使用して ASA に対して認証を行うユーザは、透過的に、Kerberos を使用してキー発行局に対して認証されます。
-
Web サーバは、Kerberos サービス チケットを認証して、サービスへのアクセスを付与します。認証が失敗した場合は、適切なエラー メッセージが表示され、確認を求められます。Kerberos 認証が失敗した場合、予期された動作は基本認証にフォールバックします。
KCD のデバッグ
次のコマンドは、KCD 固有のデバッグ メッセージの出力を制御するために使用します。バージョン 9.5.2 よりも前で行われていたように、ADI の syslog 発行レベルを制御するためではありません。
debug webvpn kcd
Active Directory での Windows サービス アカウントの追加
ASA での KCD 実装にはサービス アカウントが必要です。これは、コンピュータの追加(ドメインへの ASA の追加など)に必要な権限を持った Active Directory ユーザ アカウントです。ここでの例では、Active Directory ユーザ名 JohnDoe は、必要な権限を持ったサービス アカウントを示します。Active Directory でのユーザ権限の実装方法については、Microsoft サポートに問い合わせるか、http://microsoft.com を参照してください。
KCD の DNS の設定
この項では、ASA で DNS を設定するために必要な設定手順の概要を示します。ASA での認証委任方式として KCD を使用する場合は、ASA、ドメイン コントローラ(DC)、委任しているサービスの間でホスト名解決と通信をイネーブルにするために、DNS が必要です。
Active Directory ドメインに参加するための ASA の設定
この項では、ASA を Active Directory ドメインの一部として動作させるために必要な設定手順の概要を示します。KCD では、ASA が Active Directory ドメインのメンバーであることが必要です。この設定により、ASA と KCD サーバ間の制約付き委任トランザクションに必要な機能がイネーブルになります。
Microsoft Kerberos の要件
kcd-server コマンドを機能させるために、ASA はソース ドメイン(ASA が常駐するドメイン)とターゲットまたはリソース ドメイン(Web サービスが常駐するドメイン)間の信頼関係を確立する必要があります。サービスにアクセスするリモート アクセス ユーザの代わりに、ASA は独自のフォーマットを使用して、ソース ドメインから宛先ドメインへの認証パスを横断し、必要なチケットを取得します。
このように認証パスを越えることは、クロスレルム認証と呼ばれます。クロスレルム認証の各フェーズにおいて、ASA は特定のドメインのクレデンシャルおよび後続ドメインとの信頼関係に依存しています。
外部プロキシ サーバの使用法の設定
[Proxies] ペインを使用して、外部プロキシ サーバによって HTTP 要求と HTTPS 要求を処理するように ASA を設定します。これらのサーバは、ユーザとインターネットの仲介役として機能します。すべてのインターネット アクセスがユーザ制御のサーバを経由するように指定することで、別のフィルタリングが可能になり、セキュアなインターネット アクセスと管理制御が保証されます。
(注) | HTTP および HTTPS プロキシ サービスでは、PDA への接続をサポートしていません。 |
クライアントレス SSL VPN セッションでの HTTPS の使用
HTTPS の設定に加えて、Web サイトをプロトコル ダウングレード攻撃や cookie ハイジャックから保護するのに役立つ Web セキュリティ ポリシー メカニズムである HTTP Strict-Transport-Security(HSTS)を有効にします。HSTS は、UA およびブラウザを HTTPS Web サイトにリダイレクトし、次のディレクティブを送信することにより指定したタイムアウト期限が切れるまで Web サーバに安全に接続します。
Strict-Transport-Security: max-age=”31536000”; preload;
それぞれの説明は次のとおりです。
-
max-age:(設定可能)Web サーバが HSTS ホストとしてみなされ、HTTPS のみを使用してセキュアにアクセスされる必要のある時間を秒単位で指定します。デフォルトは 18 週です(10,886,400 秒)。範囲は 8 時間 ~ 365 日です(0 ~ 31,536,000> 秒)。
-
preload:ブラウザに対し、すでに UA およびブラウザに登録され、HSTS ホストとして取り扱う必要のあるドメインのリストの読み込みを指示します。プリロードされたリストの実装は UA およびブラウザに依存し、各 UA およびブラウザは他のディレクティブの振る舞いに対して追加の制限を指定することができます。たとえば、Chrome のプリロード リストは、HSTS の最大寿命が少なくとも 18 週(10,886,400 秒)であることを指定します。
| ステップ 1 | [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxies] の順に選択します。 |
| ステップ 2 | [Enable HSTS] をオンにします。 |
| ステップ 3 | HSTS の有効時間(秒数)である [HSTS Max Age] を指定します。
値の範囲は <0 ~ 31536000> 秒です。デフォルトは 10,886,400(18 週)です。この制限に達すると、HSTS は有効ではなくなります。 HSTS の有効時間(秒数)。値の範囲は <0 ~ 31536000> 秒です。デフォルトは 10,886,400(18 週)です。この制限に達すると、HSTS は有効ではなくなります。 |
アプリケーション プロファイル カスタマイゼーション フレームワークの設定
クライアントレス SSL に組み込まれているアプリケーション プロファイル カスタマイゼーション フレームワーク(APCF)オプションを使用すると、標準以外のアプリケーションや Web リソースを ASA で処理して、クライアントレス SSL VPN 接続で正常に表示できるようになります。APCF プロファイルには、特定のアプリケーションに関して、いつ(事前、事後)、どこの(ヘッダー、本文、要求、応答)、何(データ)を変換するかを指定するスクリプトがあります。スクリプトは XML 形式で記述され、sed(ストリーム エディタ)の構文を使用して文字列およびテキストを変換します。
ASA では複数の APCF プロファイルを並行して設定および実行できます。1 つの APCF プロファイルのスクリプト内に複数の APCF ルールを適用することができます。ASA は、設定履歴に基づいて、最も古いルールを最初に処理し、次に 2 番目に古いルールを処理します。
APCF プロファイルは、ASA のフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、または TFTP サーバに保存できます。
APCF プロファイルの管理
APCF プロファイルは、ASA のフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、FTP サーバ、または TFTP サーバに保存できます。このペインは、APCF パッケージを追加、編集、および削除する場合と、パッケージを優先順位に応じて並べ替える場合に使用します。
| ステップ 1 | [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Application Helper] の順に進みます。ここでは、次の機能を実行できます。 |
| ステップ 2 | リストに変更が加えられていない場合は、[Refresh] をクリックします。 |
APCF パッケージのアップロード
APCF パケットの管理
APCF 構文
APCF プロファイルは、XML フォーマットおよび sed スクリプトの構文を使用します。 次の表に、この場合に使用する XML タグを示します。
APCF のガイドライン
APCF プロファイルの使い方を誤ると、パフォーマンスが低下したり、好ましくない表現のコンテンツになる場合があります。シスコのエンジニアリング部では、ほとんどの場合、APCF プロファイルを提供することで特定アプリケーションの表現上の問題を解決しています。
|
<process-request-header>...</process-request-header> <process-response-header>...</process-response-header> |
|
|
指定した条件で 1 つ以上のアクションをコンテンツでラップします。これらのアクションを定義するには、次のタグを使用できます(下記参照)。 |
|
|
テキストベースのオブジェクトのコンテンツの変更に使用されるアクション タグの子要素です。TEXT は有効な Sed スクリプトである必要があります。<sed-script> は、これより前に定義された <conditions> タグに適用されます。 |
|
|
アクション タグの子要素です。<header> の子要素タグで指定された HTTP ヘッダーの値を変更します(以下を参照してください)。 |
|
|
<header> の子要素タグで指定された新しい HTTP ヘッダーの追加に使用されるアクション タグの子要素です(以下を参照してください)。 |
|
|
<header> の子要素タグで指定された特定の HTTP ヘッダーの削除に使用されるアクション タグの子要素です(以下を参照してください)。 |
|
|
上書き、追加、または削除される HTTP ヘッダー名を指定します。たとえば、次のタグは Connection という名前の HTTP ヘッダーの値を変更します。 <rewrite-header> <header>Connection</header> <value>close</value> </rewrite-header> |
APCF の設定例
<APCF> <version>1.0</version> <application> <id>Do not compress content from example.com</id> <apcf-entities> <process-request-header> <conditions> <server-fnmatch>*.example.com</server-fnmatch> </conditions> <action> <do><no-gzip/></do> </action> </process-request-header> </apcf-entities> </application> </APCF> <APCF> <version>1.0</version> <application> <id>Change MIME type for all .xyz objects</id> <apcf-entities> <process-response-header> <conditions> <request-uri-fnmatch>*.xyz</request-uri-fnmatch> </conditions> <action> <rewrite-header> <header>Content-Type</header> <value>text/html</value> </rewrite-header> </action> </process-response-header> </apcf-entities> </application> </APCF>
セッションの設定
[Clientless SSL VPN Add/Edit Internal Group Policy] > [More Options] > [Session Settings] ウィンドウでは、クライアントレス SSL VPN のセッションからセッションの間にパーソナライズされたユーザ情報を指定できます。デフォルトにより、各グループ ポリシーはデフォルトのグループ ポリシーから設定を継承します。このウィンドウを使用して、デフォルト グループ ポリシーのパーソナライズされたクライアントレス SSL VPN ユーザ情報、およびこれらの設定値を区別するグループ ポリシーすべてを指定します。
| ステップ 1 | [none] をクリックするか、または [User Storage Location] ドロップダウン メニューからファイル サーバ プロトコル(smb または ftp)をクリックします。シスコでは、ユーザ ストレージに CIFS を使用することを推奨します。ユーザ名/パスワードまたはポート番号を使用せずに CIFS を設定できます。[CIFS] を選択する場合は、次の構文を入力します。 [smb] または [ftp] を選択する場合は、次の構文を使用して、隣のテキスト フィールドにファイル システムの宛先を入力します。 username:password@host:port-number/path 次に例を示します。 mike:mysecret@ftpserver3:2323/public
| ||
| ステップ 2 | 必要な場合は、保管場所へユーザがアクセスできるようにするためにセキュリティ アプライアンスが渡す文字列を入力します。 | ||
| ステップ 3 | [Storage Objects] ドロップダウン メニューから次のいずれかのオプションを選択して、ユーザとの関連でサーバが使用するオブジェクトを指定します。ASA は、これらのオブジェクトを保存してクライアントレス SSL VPN 接続をサポートします。 | ||
| ステップ 4 | セッションをタイムアウトするときのトランザクション サイズの限界値を KB 単位で入力します。この属性は、1 つのトランザクションにだけ適用されます。この値よりも大きなトランザクションだけが、セッションの期限切れクロックをリセットします。 |
エンコーディング
文字エンコーディングは「文字コード」や「文字セット」とも呼ばれ、raw データ(0 や 1 など)を文字と組み合わせ、データを表します。使用する文字エンコード方式は、言語によって決まります。単一の方式を使う言語もあれば、使わない言語もあります。通常は、地域によってブラウザで使用されるデフォルトのコード方式が決まりますが、リモート ユーザが変更することもできます。ブラウザはページに指定されたエンコードを検出することもでき、そのエンコードに従ってドキュメントを表示します。
エンコード属性によりポータル ページで使用される文字コード方式の値を指定することで、ユーザがブラウザを使用している地域や、ブラウザに対する何らかの変更に関係なく、ページが正しく表示されるようにできます。
デフォルトでは、ASA は「Global Encoding Type」を Common Internet File System(共通インターネット ファイル システム)サーバからのページに適用します。CIFS サーバと適切な文字エンコーディングとのマッピングを、[Global Encoding Type] 属性によってグローバルに、そしてテーブルに示されているファイル エンコーディング例外を使用して個別に行うことにより、ファイル名やディレクトリ パス、およびページの適切なレンダリングが問題となる場合に、CIFS ページが正確に処理および表示できるようにします。
文字エンコーディングの表示または指定
エンコーディングを使用すると、クライアントレス SSL VPN ポータル ページの文字エンコーディングを表示または指定できます。
| ステップ 1 | [Global Encoding Type] によって、表に記載されている CIFS サーバからの文字エンコーディングを除いて、すべてのクライアントレス SSL VPN ポータル ページが継承する文字エンコーディングが決まります。文字列を入力するか、ドロップダウン リストから選択肢を 1 つ選択します。リストには、最も一般的な次の値だけが表示されます。
http://www.iana.org/assignments/character-sets で指定されている有効文字セットのいずれかと等しい文字列を、最大 40 文字まで入力できます。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。このストリングは、大文字と小文字が区別されません。ASA の設定を保存するときに、コマンド インタープリタによって大文字が小文字に変換されます。 | ||
| ステップ 2 | エンコーディング要件が「Global Encoding Type」属性設定とは異なる CIFS サーバの名前または IP アドレスを入力します。ASA では、ユーザが指定した大文字と小文字の区別は保持されますが、名前をサーバと照合するときには大文字と小文字は区別されません。 | ||
| ステップ 3 | CIFS サーバがクライアントレス SSL VPN ポータル ページに対して指定する必要のある文字エンコーディングを選択します。文字列を入力するか、ドロップダウン リストから選択します。リストには、最も一般的な次の値だけが登録されています。
[none] をクリックするか、またはクライアントレス SSL VPN セッションのブラウザがサポートしていない値を指定した場合には、ブラウザのデフォルトのコードが使用されます。 http://www.iana.org/assignments/character-sets で指定されている有効文字セットのいずれかと等しい文字列を、最大 40 文字まで入力できます。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。このストリングは、大文字と小文字が区別されません。ASA の設定を保存するときに、コマンド インタープリタによって大文字が小文字に変換されます。 |
コンテンツ キャッシングの設定
キャッシュにより、クライアントレス SSL VPN のパフォーマンスを強化します。頻繁に再利用されるオブジェクトをシステム キャッシュに格納することで、書き換えの繰り返しやコンテンツの圧縮の必要性を低減します。キャッシュを使用することでトラフィック量が減り、結果として多くのアプリケーションがより効率的に実行されます。
(注) | コンテンツ キャッシングをイネーブルにすると、一部のシステムの信頼性が低下します。コンテンツ キャッシングをイネーブルにした後、ランダムにクラッシュが発生する場合は、この機能をディセーブルにしてください。 |
| ステップ 1 | [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Content Cache] の順に選択します。 | ||
| ステップ 2 | [Enable Cache] がオフの場合は、オンにします。 | ||
| ステップ 3 | キャッシング条件を定義します。
|
Content Rewrite
[Content Rewrite] ペインには、コンテンツのリライトがイネーブルになっているか、またはオフに切り替わっているすべてのアプリケーションが一覧表示されます。
クライアントレス SSL VPN では、コンテンツ変換およびリライト エンジンによって、JavaScript、VBScript、Java、マルチバイト文字などの高度な要素からプロキシ HTTP へのトラフィックまでを含む、アプリケーション トラフィックを処理します。このようなトラフィックでは、ユーザがアプリケーションにアクセスするのに SSL VPN デバイス内部からアプリケーションを使用しているか、SSL VPN デバイスに依存せずに使用しているかによって、セマンティックやアクセス コントロールのルールが異なる場合があります。
デフォルトでは、セキュリティ アプライアンスはすべてのクライアントレス トラフィックをリライト、または変換します。一部のアプリケーションや Web リソース(公開 Web サイトなど)が ASA を通過しないようにしたい場合があります。そのような場合、ASA では、ASA を通過せずに特定のサイトやアプリケーションをブラウズできるようにするリライト ルールを作成できます。これは、VPN 接続におけるスプリット トンネリングに似ています。
(注) | これらの機能強化は、ASA 9.0 の Content Rewriter に行われました。 |
リライト ルールの作成
リライト ルールは複数作成できます。セキュリティ アプライアンスはリライト ルールを順序番号に従って検索するため、ルールの番号は重要です。このとき、最下位の番号から順に検索して行き、最初に一致したルールが適用されます。
| ステップ 1 | [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Content Rewrite] の順に移動します。 |
| ステップ 2 | [Add] または [Edit] をクリックして、コンテンツ リライト ルールを作成または更新します。 |
| ステップ 3 | このルールをイネーブルにするには、[Enable content rewrite] をオンにします。 |
| ステップ 4 | このルールの番号を入力します。この番号は、リストの他のルールに相対的に、そのルールの優先順位を示します。番号がないルールはリストの最後に配置されます。有効な範囲は 1 ~ 65534 です。 |
| ステップ 5 | (任意) ルールについて説明する英数字を指定します。最大 128 文字です。 |
| ステップ 6 | ルールを適用するアプリケーションやリソースに対応する文字列を入力します。文字列の長さは最大で 300 文字です。次のいずれかのワイルドカードを使用できますが、少なくとも 1 つの英数字を指定する必要があります。 |
コンテンツ リライト ルールの設定例
クライアントレス SSL VPN を介した電子メールの使用
Web 電子メールの設定:MS Outlook Web App
ASA は、Microsoft Outlook Web App to Exchange Server 2010 および Microsoft Outlook Web Access to Exchange Server 2007、2003、2000 をサポートしています。
ブックマークの設定
[Bookmarks] パネルでは、ブックマーク リストを追加、編集、削除、インポート、およびエクスポートできます。
[Bookmarks] パネルを使用して、クライアントレス SSL VPN でアクセスするための、サーバおよび URL のリストを設定します。ブックマーク リストのコンフィギュレーションに続いて、そのリストを 1 つ以上のポリシー(グループ ポリシー、ダイナミック アクセス ポリシー、またはその両方)に割り当てることができます。各ポリシーのブックマーク リストは 1 つのみです。リスト名は、各 DAP の [URL Lists] タブのドロップダウン リストに表示されます。
一部の Web ページでの自動サインオンに、マクロ置換を含むブックマークを使用できるようになりました。以前の POST プラグイン アプローチは、管理者がサインオン マクロを含む POST ブックマークを指定し、POST 要求のポストの前にロードするキックオフ ページを受信できるようにするために作成されました。この POST プラグイン アプローチでは、クッキーまたはその他のヘッダー項目の存在を必要とする要求は排除されました。現在は、管理者は事前ロード ページおよび URL を決定し、これによってポスト ログイン要求の送信場所が指定されます。事前ロード ページによって、エンドポイント ブラウザは、クレデンシャルを含む POST 要求を使用するのではなく、Web サーバまたは Web アプリケーションに送信される特定の情報を取得できます。
既存のブックマーク リストが表示されます。ブックマーク リストを追加、編集、削除、インポート、またはエクスポートできます。アクセス用のサーバおよび URL のリストを設定し、指定した URL リスト内の項目を配列することができます。
ブックマークを設定することでは、ユーザが不正なサイトや会社のアクセプタブル ユース ポリシーに違反するサイトにアクセスすることを防ぐことはできません。ブックマーク リストをグループ ポリシー、ダイナミック アクセス ポリシー、またはその両方に割り当てる以外に、Web ACL をこれらのポリシーに割り当てて、トラフィック フローへのアクセスを制御します。これらのポリシー上の URL エントリをオフに切り替えて、ユーザがアクセスできるページについて混乱しないようにします。
| ステップ 1 | 追加するリストの名前を指定するか、修正または削除するリストの名前を選択します。 |
| ステップ 2 | (任意)
[Add] をクリックして、新しいサーバまたは URL を設定します。次のいずれかを追加できます。 |
| ステップ 3 | (任意) [Edit] をクリックして、サーバ、URL、または表示名を変更します。 |
| ステップ 4 | (任意) [Delete] をクリックして、選択した項目を URL リストから削除します。確認の画面は表示されず、やり直しもできません。 |
| ステップ 5 | (任意) ファイルのインポート元またはエクスポート元の場所を選択します。 |
| ステップ 6 | (任意) ブックマークを強調表示して [Assign] をクリックし、選択したブックマークを 1 つ以上のグループ ポリシー、ダイナミック アクセス ポリシー、または LOCAL ユーザに割り当てます。 |
| ステップ 7 | (任意) [Move Up] または [Move Down] オプションを使用して、選択した項目の位置を URL リスト内で変更します。 |
| ステップ 8 | [OK] をクリックします。 |
次の作業
GET または Post メソッドによる URL のブックマークの追加
[Add Bookmark Entry] ダイアログボックスでは、URL リストのリンクまたはブックマークを作成できます。
ネットワークの共有フォルダにアクセスするには、\\server\share\subfolder\<personal folder> 形式を使用します。ユーザには、<personal folder> より上のすべてのポイントに対するリスト権限が必要です。
| ステップ 1 | に移動し、[Add] ボタンをクリックします。 |
| ステップ 2 | [URL with GET or POST Method] を選択して、ブックマークの作成に使用します。 |
| ステップ 3 | ポータルに表示されるこのブックマークの名前を入力します。 |
| ステップ 4 | [URL] ドロップダウン メニューを使用して、URL タイプ(http、https、cifs、または ftp)を選択します。[URL] ドロップダウンは、標準の URL タイプ、インストールしたすべてのプラグインのタイプを示します。 |
| ステップ 5 | このブックマーク(URL)の DNS 名または IP アドレスを入力します。プラグインの場合は、サーバの名前を入力します。サーバ名の後にスラッシュと疑問符(/?)を入力すると、オプションのパラメータを指定できます。それに続いてアンパサンドを使用すると、次の構文に示すように、パラメータ/値ペアを分けられます。
server/?Parameter=Value&Parameter=Value 例: 特定のプラグインによって、入力できるオプションのパラメータ/値ペアが決まります。 host/?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 プラグインに対してシングル サインオンのサポートを指定するには、パラメータ/値ペア csco_sso=1 を使用します。 ホスト/?csco_sso=1&DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 |
| ステップ 6 | (任意) 事前ロード URL を入力します。事前ロード URL を入力するときに、待機時間も入力できます。待機時間は、実際の POST URL に転送されるまでに、ページのロードに使用できる時間です。 |
| ステップ 7 | サブタイトルとして、ユーザに表示するブックマーク エントリについての説明テキストを入力します。 |
| ステップ 8 | [Thumbnail] ドロップダウン メニューを使用して、エンドユーザ ポータル上のブックマークに関連付けるアイコンを選択します。 |
| ステップ 9 | [Manage] をクリックして、サムネールとして使用するイメージをインポートまたはエクスポートします。 |
| ステップ 10 | ブックマークをクリックして新しいウィンドウで開きます。このウィンドウで、スマート トンネル機能を使用し、ASA を介して宛先サーバとのデータの受け渡しを行います。すべてのブラウザ トラフィックは、SSL VPN トンネルで安全に送受信されます。このオプションでは、ブラウザベースのアプリケーションにスマート トンネルのサポートを提供します。一方で、[Smart Tunnels]([Clientless SSL VPN] > [Portal] メニューにもあり)では、非ブラウザベースのアプリケーションもスマート トンネル リストに追加し、それをグループ ポリシーとユーザ名に割り当てられます。 |
| ステップ 11 | [Allow the Users to Bookmark the Link] をオンにして、クライアントレス SSL VPN ユーザが、ブラウザの [Bookmarks] または [Favorites] オプションを使用できるようにします。選択を解除すると、これらのオプションを使用できません。このオプションをオフにすると、クライアントレス SSL VPN ポータルの [Home] セクションにブックマークは表示されません。 |
| ステップ 12 | (任意) [Advanced Options] を選択して、ブックマークの特徴の詳細を設定します。 |
定義済みアプリケーション テンプレートに対する URL の追加
このオプションは、事前に定義された ASDM テンプレートを選択しているユーザのブックマークの作成を簡略化します。ASDM テンプレートには、特定の明確に定義されたアプリケーションに対する事前に入力された必要な値が含まれます。
| ステップ 1 | ユーザに対して表示するブックマークの名前を入力します。 |
| ステップ 2 | サブタイトルとして、ユーザに表示するブックマーク エントリについての説明テキストを入力します。 |
| ステップ 3 | [Thumbnail] ドロップダウン メニューを使用して、エンドユーザ ポータル上のブックマークに関連付けるアイコンを選択します。 |
| ステップ 4 | [Manage] をクリックして、サムネールとして使用するイメージをインポートまたはエクスポートします。 |
| ステップ 5 | (任意) [Place This Bookmark on the VPN Home Page] チェックボックスをオンにします。 |
| ステップ 6 | [Select Auto Sign-on Application] リストで、必要なアプリケーションをクリックします。使用可能なアプリケーションは次のとおりです。 |
| ステップ 7 | ログイン ページの前にロードされたページの URL を入力します。このページには、ログイン画面に進むためのユーザ インタラクションが必要になります。URL には、任意の記号の番号を置き換える * を入力できます(たとえば、http*://www.example.com/test)。 |
| ステップ 8 | [Pre-login Page Control ID] を入力します。これは、ログイン ページに進む前に事前ログイン ページの URL でクリック イベントを取得する制御/タグの ID です。 |
| ステップ 9 | [Application Parameters] を入力します。アプリケーションに応じて、次の内容が含まれる可能性があります。 |
| ステップ 10 | (任意) [Preview] をクリックして、テンプレートの出力を表示します。[Edit] をクリックすると、テンプレートを変更できます。 |
| ステップ 11 | [OK] をクリックして、変更を行います。または、[Cancel] をクリックして変更を破棄します。 |
自動サインオン アプリケーションのブックマークの追加
| ステップ 1 | ユーザに対して表示するブックマークの名前を入力します。 |
| ステップ 2 | [URL] ドロップダウン メニューを使用して、URL タイプ(http、https、cifs、または ftp)を選択します。インポートされたすべてのプラグインの URL タイプが、このメニューに表示されます。ポータル ページにリンクとしてプラグインを表示するには、プラグインの URL タイプを選択します。 |
| ステップ 3 | ブックマークの DNS 名または IP アドレスを入力します。プラグインの場合は、サーバの名前を入力します。サーバ名の後にスラッシュと疑問符(/?)を入力すると、オプションのパラメータを指定できます。それに続いてアンパサンドを使用すると、次の構文に示すように、パラメータ/値ペアを分けられます。
server/?Parameter=Value&Parameter=Value 例: たとえば、入力できるオプションのパラメータ/値ペアは、特定のプラグインによって決まります。 host/?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 プラグインに対して、シングル サインオン サポートを提供するには、パラメータ/値ペア csco_sso=1 を使用します。 host/?csco_sso=1&DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 |
| ステップ 4 | サブタイトルとして、ユーザに表示するブックマーク エントリについての説明テキストを入力します。 |
| ステップ 5 | [Thumbnail] ドロップダウン メニューを使用して、エンドユーザ ポータル上のブックマークに関連付けるアイコンを選択します。 |
| ステップ 6 | [Manage] をクリックして、サムネールとして使用するイメージをインポートまたはエクスポートします。 |
| ステップ 7 | (任意) [Place This Bookmark on the VPN Home Page] チェックボックスをオンにします。 |
| ステップ 8 | [Login Page URL] を入力します。入力する URL には、ワイルドカードを使用できます。たとえば、http*://www.example.com/myurl* と入力します。 |
| ステップ 9 | [Landing Page URL] を入力します。ASA では、アプリケーションへの正常なログインを検出するために、ランディング ページを設定する必要があります。 |
| ステップ 10 | (任意) [Post Script] を入力します。Microsoft Outlook Web Access などの一部の Web アプリケーションは、JavaScript を実行して、ログイン フォームを送信する前に、要求パラメータを変更する場合があります。[Post Script] フィールドでは、このようなアプリケーションの JavaScript を入力できます。 |
| ステップ 11 | 必要な [Form Parameters] を追加します。必要な SSL VPN 変数ごとに、[Add] をクリックして [Name] を入力し、リストから変数を選択します。パラメータを変更するには [Edit] をクリックし、削除するには [Delete] をクリックします。 |
| ステップ 12 | ログイン ページの前にロードされたページの URL を入力します。このページには、ログイン画面に進むためのユーザ インタラクションが必要になります。URL には、任意の記号の番号を置き換える * を入力できます(たとえば、http*://www.example.com/test)。 |
| ステップ 13 | [Pre-login Page Control ID] を入力します。これは、ログイン ページに進む前に事前ログイン ページの URL でクリック イベントを取得する制御/タグの ID です。 |
| ステップ 14 | [OK] をクリックして、変更を行います。または、[Cancel] をクリックして変更を破棄します。 次の作業 |
次の作業
ブックマークを編集する場合、HTML Parameter Capture 機能を使用して、VPN 自動サインオン パラメータをキャプチャできます。ブックマークは保存され、グループ ポリシーまたはユーザにまず割り当てられる必要があります。
[SSL VPN Username] を入力してから、[Start Capture] をクリックします。次に、Web ブラウザを使用して、VPN セッションを開始して、イントラネットのページに進みます。プロセスを完了するには、[Stop Capture] をクリックします。パラメータが編集できるようになり、ブックマークに挿入されます。
ブックマーク リストのインポートおよびエクスポート
すでに設定済みのブックマーク リストは、インポートまたはエクスポートできます。使用準備ができているリストをインポートします。リストをエクスポートして修正または編集してから、再インポートすることもできます。
[Import and Export GUI Customization Objects (Web Contents)]
このダイアログボックスでは、Web コンテンツ オブジェクトをインポートおよびエクスポートできます。Web コンテンツ オブジェクトの名前とファイル タイプが表示されます。
Web コンテンツには、全体的に設定されたホーム ページから、エンド ユーザ ポータルをカスタマイズするときに使用するアイコンやイメージまで、さまざまな種類があります。設定済みの Web コンテンツは、インポートまたはエクスポートできます。使用準備ができている Web コンテンツをインポートします。Web コンテンツをエクスポートして修正または編集してから、再インポートすることもできます。
| ステップ 1 | ファイルのインポート元またはエクスポート元の場所を選択します。 |
| ステップ 2 | コンテンツへのアクセスに認証が必要かどうかを決定します。
パスのプレフィックスは、認証を要求するかどうかに応じて異なります。ASA は、認証が必要なオブジェクトの場合には /+CSCOE+/ を使用し、認証が不要なオブジェクトの場合には /+CSCOU+/ を使用します。ASA では、/+CSCOE+/ オブジェクトはポータル ページにのみ表示されますが、/+CSCOU+/ オブジェクトはログイン ページまたはポータル ページで表示したり使用することができます。 |
| ステップ 3 | クリックして、ファイルをインポートまたはエクスポートします。 |
POST パラメータの追加および編集
このペインでは、ブックマーク エントリと URL リストのポスト パラメータを設定します。
クライアントレス SSL VPN 変数により、URL およびフォームベースの HTTP post 操作で置換が実行できます。これらの変数はマクロとも呼ばれ、ユーザ ID とパスワード、またはその他の入力パラメータを含む、パーソナル リソースへのユーザ アクセスを設定できます。このようなリソースの例には、ブックマーク エントリ、URL リスト、およびファイル共有などがあります。
| ステップ 1 | パラメータの名前と値を、対応する HTML フォームのとおりに指定します。たとえば、
<input name=“param_name” value=“param_value”> です。 提供されている変数のいずれかをドロップダウン リストから選択できます。また、変数を作成できます。ドロップダウン リストからは、次の変数を選択します。
ASA はこれら 6 つの変数文字列のいずれかをエンドユーザ要求(ブックマークまたはポスト フォーム)で認識すると、リモート サーバに要求を渡す前に、変数をユーザ固有の値に置換します。
| |||||||||||||||||||||||||||||||||||||||||
| ステップ 2 | 該当する変数を選択するには、次の注意事項に従ってください。
| |||||||||||||||||||||||||||||||||||||||||
| ステップ 3 | ブックマークまたは URL エントリを設定します。SSL VPN 認証で RSA ワンタイム パスワード(OTP)を使用し、続いて OWA 電子メール アクセスでスタティックな内部パスワードを使用することによって、HTTP Post を使用して OWA リソースにログインできます。この場合の最善の方法は、次のパスのいずれかを使用して ASDM でブックマーク エントリを追加または編集することです。
| |||||||||||||||||||||||||||||||||||||||||
| ステップ 4 | ファイル共有(CIFS)URL 置換を設定することによって、より柔軟なブックマーク設定を構成します。URL「cifs://server/CSCO_WEBVPN_USERNAME」を設定すると、ASA はそれをユーザのファイル共有ホーム ディレクトリに自動的にマッピングします。この方法では、パスワードおよび内部パスワード置換も行えます。次に、URL 置換の例を示します。
cifs://CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server cifs://CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server/CSCO_WEBVPN_USERNAME cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server/CSCO_WEBVPN_USERNAME |
外部ポートのカスタマイズ
事前設定されたポータルを使用する代わりに、外部ポータル機能を使用して独自のポータルを作成できます。独自のポータルを設定する場合、クライアントレス ポータルをバイパスし、POST 要求を送信してポータルを取得できます。
フィードバック