VPN アクセスの設定

VPN への接続と接続解除

AnyConnect VPN 接続オプション

AnyConnect クライアントには、自動的に VPN セッションを接続、再接続、または切断するための多数のオプションが用意されています。これらのオプションは、ユーザが VPN に接続するために便利な方法を提供し、同時にネットワーク セキュリティの要件をサポートします。

AnyConnect 接続の開始とリスタート

VPN 接続サーバの設定を行い、ユーザが手動で接続するセキュア ゲートウェイの名前とアドレスを提供します。

便利な自動 VPN 接続を提供するための AnyConnect 機能を次から選択します。

また、強力なネットワーク セキュリティを適用したり、ネットワーク アクセスを VPN のみに制限したりするために、次の自動 VPN ポリシー オプションの使用を検討してください。

AnyConnect 接続の再ネゴシエートと維持

アクティビティが発生していない場合でも、ASA がユーザに対して AnyConnect VPN 接続を維持する長さを制限できます。VPN セッションがアイドルになった場合、接続を終了するか、または接続を再ネゴシエートできます。

  • キープアライブ:ASA はキープアライブ メッセージを定期的に送信します。これらのメッセージは、ASA によって無視されますが、クライアントと ASA の間の、デバイスを使用した接続の維持に役立ちます。

    ASDM または CLI でキープアライブを設定する手順については、『Cisco ASA Series VPN Configuration Guide』の「Enable Keepalive」の項を参照してください。

  • デッド ピア検出:ASA および AnyConnect クライアントは、「R-U-There」メッセージを送信します。これらのメッセージは、IPsec のキープアライブ メッセージよりも少ない頻度で送信されます。ASA(ゲートウェイ)および AnyConnect クライアントの両方で DPD メッセージの送信を有効にして、タイムアウト間隔を設定できます。

    • クライアントが ASA の DPD メッセージに応答しない場合、ASA はもう 1 回試行してから、セッションを「再開待機」モードに移行します。このモードでは、ユーザはネットワークをローミングしたり、スリープ モードに移行してから後で接続を回復したりできます。アイドル タイムアウトが発生する前にユーザが再接続しなかった場合、ASA はトンネルを終了します。推奨されるゲートウェイ DPD 間隔は 300 秒です。

    • ASA がクライアントの DPD メッセージに応答しない場合、クライアントはもう 1 回試行してから、トンネルを終了します。推奨されるクライアント DPD 間隔は 30 秒です。

      ASDM 内で DPD を設定する手順については、適切なリリースの『Cisco ASA Series VPN Configuration Guide』の「Configure Dead Peer Detection」の項を参照してください。

  • ベスト プラクティス:

    • クライアント DPD を 30 秒に設定します([グループ ポリシー(Group Policy)] > [詳細(Advanced)] > [AnyConnect 接続(AnyConnect Client)] > [デッド ピア検出(Dead Peer Detection)])。

    • サーバ DPD を 300 秒に設定します([グループ ポリシー(Group Policy)] > [詳細(Advanced)] > [AnyConnect 接続(AnyConnect Client)] > [デッド ピア検出(Dead Peer Detection)])。

    • SSL および IPsec の両方のキー再生成を 1 時間に設定します([グループ ポリシー(Group Policy)] > [詳細(Advanced)] > [AnyConnect 接続(AnyConnect Client)] > [キー再作成(Key Regeneration)])。

AnyConnect 接続の終了

AnyConnect 接続を終了するには、ユーザはセキュア ゲートウェイに対してエンドポイントを再認証し、新しい VPN 接続を作成する必要があります。

次の接続パラメータは、タイムアウトに基づいて、VPN セッションを終了します。

  • 最大接続時間:ユーザの最大接続時間を分単位で設定します。ここで指定した時間が経過すると、システムは接続を終了します。また、無制限の接続時間(デフォルト)を許可することもできます。

  • VPN アイドル タイムアウト:セッションが指定した時間非アクティブである場合は、ユーザのセッションを終了します。VPN アイドル タイムアウトを設定しない場合は、デフォルトのアイドル タイムアウトが使用されます。

  • デフォルト アイドル タイムアウト:セッションが指定した時間非アクティブである場合は、ユーザのセッションを終了します。デフォルト値は 30 分(1800 秒)です。

これらのパラメータを設定するには、適切なリリースの『Cisco ASA Series VPN Configuration Guide』の「Specify a VPN Session Idle Timeout for a Group Policy」の項を参照してください。

VPN 接続サーバの設定

AnyConnect VPN サーバ リストは、VPN ユーザが接続するセキュア ゲートウェイを識別するホスト名とホスト アドレスのペアで構成されます。ホスト名は、エイリアス、FQDN、または IP アドレスで指定できます。

サーバ リストに追加されたホストは、AnyConnect GUI の [接続先(Connect to)] ドロップダウン リストに表示されます。その後、ユーザはドロップダウン リストから選択して VPN 接続を開始できます。リストの最上位にあるホストはデフォルト サーバで、GUI のドロップダウン リストの先頭に表示されます。ユーザがリストから代替サーバを選択した場合、その選択されたサーバが新しいデフォルト サーバになります。

サーバ リストにサーバを追加すると、その詳細を表示し、サーバ エントリを編集または削除るようになります。サーバ リストにサーバを追加するには、次の手順を実行します。

手順

ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [サーバ リスト(Server List)] を選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

サーバのホスト名およびアドレスを設定します。

  1. [ホスト表示名(Host Display Name)]、ホストの参照に使用されるエイリアス、FQDN、または IP アドレスを入力します。名前に「&」または「<」文字を使用しないでください。FQDN または IP アドレスを入力した場合、次の手順で [FQDN] または [IP アドレス(IP Address)] を入力する必要はありません。

    IP アドレスを入力する場合、セキュア ゲートウェイのパブリック IPv4 アドレスまたはグローバル IPv6 アドレスを使用します。リンクローカル セキュア ゲートウェイ アドレスの使用はサポートしていません。

  2. (任意)[ホスト表示名(Host Display Name)] に入力していない場合、ホストの [FQDN] または [IP アドレス(IP Address)] を入力します。

  3. (任意)[ユーザ グループ(User Group)] を指定します。

    AnyConnect は、ユーザ グループとともに FQDN または IP アドレスを使用してグループ URL を形成します。

ステップ 4

[バックアップ サーバ リスト(Backup Server List)] に、バックアップ サーバとしてフォールバックするサーバを入力します。名前に「&」または「<」文字を使用しないでください。

(注)   

逆の面から述べれば、[サーバ(Server)] メニューの [バックアップ サーバ(Backup Server)] タブは、すべての接続エントリのグローバル項目です。バックアップ サーバの場所に配置したエントリは、ここで、個々のエントリ サーバ リスト エントリとして入力した内容によって上書きされます。この設定は優先され、推奨される方法です。

ステップ 5

(任意)[ロード バランシング サーバ リスト(Load Balancing Server List)] . に、ロード バランシング サーバ を追加します。名前に「&」または「<」文字を使用しないでください。

このサーバ リスト エントリのホストにセキュリティ アプライアンスのロード バランシング クラスタを指定し、かつ Always-On 機能が有効になっている場合は、このリストにクラスタのロード バランシング デバイスを追加します。指定しなかった場合、ロード バランシング クラスタ内にあるバックアップ デバイスへのアクセスは Always-On 機能によりブロックされます。

ステップ 6

クライアントがこの ASA に使用する [プライマリ プロトコル(Primary Protocol)] を指定します。

  1. SSL(デフォルト)または IPSec を選択します。

    IPsec を指定した場合、ユーザ グループは接続プロファイル(トンネル グループ)の正確な名前である必要があります。SSL の場合、ユーザ グループは接続プロファイルの group-url または group-alias です。

  2. IPSec を指定した場合は、[標準認証のみ(Standard Authentication Only)] を選択してデフォルトの認証方式(独自の AnyConnect EAP)を無効にし、ドロップダウン リストからいずれかの方式を選択します。

    (注)   

    認証方式を独自の AnyConnect EAP から標準ベースの方式に変更すると、ASA でセッション タイムアウト、アイドル タイムアウト、接続解除タイムアウト、スプリット トンネリング、スプリット DNS、MSIE プロキシ設定、およびその他の機能を設定できなくなります。

ステップ 7

(任意)このサーバ用の SCEP を設定します。

  1. SCEP CA サーバの URL を指定します。FQDN または IP アドレスを入力します。たとえば、http://ca01.cisco.com などです。

  2. [チャレンジ PW のプロンプト(Prompt For Challenge PW)] をオンにして、ユーザが証明書を手動で要求できるようにします。ユーザが [証明書を取得(Get Certificate)] をクリックすると、クライアントではユーザに対してユーザ名および 1 回限定利用のパスワードに関するプロンプトが表示されます。

  3. CA の証明書サムプリントを入力します。SHA1 ハッシュまたは MD5 ハッシュを使用します。CA URL およびサムプリントを用意することができるのは CA サーバ管理者です。サムプリントは、発行した証明書の「fingerprint」属性フィールドや「thumbprint」属性フィールドではなく、サーバから直接取得する必要があります。

ステップ 8

[OK] をクリックします。

ログイン前の Windows VPN 接続の自動開始

Start Before Logon について

Start Before Logon(SBL)と呼ばれるこの機能によりユーザは、Windows へのログイン前に、企業インフラへの VPN 接続を確立できます。

SBL がインストールされ、有効になると、[ネットワーク接続(Network Connect)] ボタンは AnyConnect VPN および ネットワーク アクセス マネージャ UI を起動します。

SBL には、ネットワーク アクセス マネージャ タイルも含まれており、ユーザが設定したホーム ネットワーク プロファイルを使用した接続を可能にします。SBL モードで許可されるネットワーク プロファイルには、非 802.1X 認証モードを採用するすべてのメディア タイプ(オープン WEP、WPA/WPA2 パーソナル、および静的キー(WEP)ネットワークなど)が含まれます。

SBL は Windows システムのみで利用でき、Windows のバージョンによって異なるメカニズムを使用して実装されます。

  • Windows では、Pre-Login Access Provider(PLAP)が AnyConnect SBL を実装するために使用されます。

    PLAP では、Ctrl キー、Alt キー、および Del キーを同時に押すとウィンドウが表示され、そこでシステムにログインするか、ウィンドウの右下隅にある [ネットワーク接続(Network Connect)] ボタンでネットワーク接続(PLAP コンポーネント)を起動するかを選択できます。

    PLAP は Windows の 32 ビット版と 64 ビット版をサポートします。

SBL を有効にする理由としては、次のものがあります。

  • ユーザのコンピュータに Active Directory インフラストラクチャを導入済みである。

  • ネットワークでマッピングされるドライブを使用し、Microsoft Active Directory インフラストラクチャの認証を必要とする。

  • コンピュータのキャッシュにクレデンシャルを入れることができない(グループ ポリシーでキャッシュのクレデンシャル使用が許可されない場合)。このシナリオでは、コンピュータへのアクセスが許可される前にユーザのクレデンシャルが確認されるようにするため、ユーザは社内ネットワーク上のドメイン コントローラと通信できることが必要です。

  • ネットワーク リソースから、またはネットワーク リソースへのアクセスを必要とする場所からログイン スクリプトを実行する必要がある。SBL を有効にすると、ユーザは、ローカル インフラストラクチャおよび通常はオフィスにいるときに実行されるログイン スクリプトにアクセスできます。これには、ドメイン ログイン スクリプト、グループ ポリシー オブジェクト、およびユーザがシステムにログインするときに通常実行されるその他の Active Directory 機能が含まれます。

  • インフラストラクチャとの接続が必要な場合があるネットワーキング コンポーネント(MS NAP/CS NAC など)が存在する。

Start Before Logon の制限

  • AnyConnect は、高速ユーザ切り替えとの互換性がありません。

  • AnyConnect は、サードパーティの Start Before Logon アプリケーションでは起動できません。

Start Before Logon の設定

手順
ステップ 1

AnyConnect Start Before Logon モジュールのインストール
ステップ 2

AnyConnect プロファイルでの SBL の有効化
AnyConnect Start Before Logon モジュールのインストール

AnyConnect インストーラは、基盤となるオペレーティング システムを検出し、システム ディレクトリに AnyConnect SBL モジュールから適切な AnyConnect DLL を配置します。Windows 7 または Windows Server 2008 では、インストーラは、32 ビット版と 64 ビット版のどちらのオペレーティング システムが使用されているかを判別して、該当する PLAP コンポーネント(vpnplap.dll または vpnplap64.dll)をインストールします。


(注)  

VPNGINA または PLAP コンポーネントがインストールされたまま AnyConnect をアンインストールすると、VPNGINA または PLAP のコンポーネントは無効となり、リモート ユーザの画面に表示されなくなります。

SBL モジュールを事前展開するか、SBL モジュールをダウンロードするように ASA を設定することができます。AnyConnect を事前展開する場合は、Start Before Logon モジュールよりも先にコア クライアント ソフトウェアをインストールする必要があります。MSI ファイルを使用して AnyConnect コアおよび Start Before Logon コンポーネントを事前展開する場合は、正しい順序で実行する必要があります。

手順
ステップ 1

ASDM で、[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] に移動します。

ステップ 2

グループ ポリシーを選択し、新しいグループ ポリシーの [編集(Edit)] または [追加(Add)] をクリックします。

ステップ 3

左側のナビゲーション ペインで [詳細(Advanced)] > [AnyConnect クライアント(AnyConnect Client)] を選択します。

ステップ 4

[ダウンロードするオプションのクライアント モジュール(Optional Client Module for Download)] 設定の [継承(Inherit)] をオフにします。

ステップ 5

ドロップダウン リストから AnyConnect SBL モジュールを選択します。

AnyConnect プロファイルでの SBL の有効化
始める前に

  • SBL は、呼び出されたときにネットワークに接続されている必要があります。場合によっては、ワイヤレス接続がワイヤレス インフラストラクチャに接続するユーザのクレデンシャルに依存するために、接続できないことがあります。このシナリオでは、ログインのクレデンシャル フェーズよりも SBL モードが優先されるため、接続できません。このような場合に SBL を機能させるには、ログインを通してクレデンシャルをキャッシュするようにワイヤレス接続を設定するか、その他のワイヤレス認証を設定する必要があります。

  • ネットワーク アクセス マネージャがインストールされている場合、デバイス接続を展開して、適切な接続を確実に使用できるようにする必要があります。

手順
ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 1)(Preferences (Part 1))] を選択します。

ステップ 2

[ログイン前の起動の使用(Use Start Before Logon)] を選択します。

ステップ 3

(任意)リモート ユーザが SBL を制御できるようにする場合は、[ユーザ制御可(User Controllable)] をオンにします。

(注)   

SBL を有効にする場合は、その前にユーザがリモート コンピュータをリブートする必要があります。

Start Before Logon のトラブルシューティング

手順
ステップ 1

AnyConnect プロファイルが ASA にロードされており、展開できるようになっていることを確認します。

ステップ 2

以前のプロファイルを削除します(*.xml と指定してハード ドライブ上の格納場所を検索します)。

ステップ 3

Windows の [プログラムの追加と削除(Add/Remove Programs)] を使用して SBL コンポーネントをアンインストールします。コンピュータをリブートして、再テストします。

ステップ 4

イベント ビューアでユーザの AnyConnect ログをクリアし、再テストします。

ステップ 5

セキュリティ アプライアンスを再度参照して、AnyConnect を再インストールします。

ステップ 6

いったんリブートします。次回リブート時には、[ログイン前の起動(Start Before Logon)] プロンプトが表示されます。

ステップ 7

DART バンドルを収集し、AnyConnect 管理者に送付します。

ステップ 8

次のエラーが表示された場合は、ユーザの AnyConnect プロファイルを削除します。 


Description: Unable to parse the profile C:\Documents and Settings\All Users\Application Data
\Cisco\Cisco AnyConnect Secure Mobility Client\Profile\VABaseProfile.xml. Host data not available.
ステップ 9

.tmpl ファイルに戻って、コピーを .xml ファイルとして保存し、その XML ファイルをデフォルト プロファイルとして使用します。

AnyConnect 起動時の VPN 接続の自動開始

[起動時に自動接続(Auto Connect on Start)] とも呼ばれるこの機能は、AnyConnect が開始されると、VPN クライアント プロファイルで指定されたセキュア ゲートウェイへの VPN 接続を自動的に確立します。

[起動時に自動接続(Auto Connect on Start)] はデフォルトでは無効であり、ユーザはセキュア ゲートウェイを指定または選択する必要があります。

手順

ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 1)(Preferences (Part 1))] を選択します。

ステップ 2

[起動時に自動接続(Auto Connect on Start)] を選択します。

ステップ 3

(任意)[起動時に自動接続(Auto Connect on Start)] をユーザが制御できるようにするには、[ユーザ制御可(User Controllable)] を選択します。

Windows システムにおける Start Before Logon(PLAP)の設定

Start Before Logon(SBL)機能によって、ユーザが Windows にログインする前に VPN 接続が開始されます。これにより、ユーザは自分のコンピュータにログインする前に、企業のインフラストラクチャに接続されます。

SBL AnyConnect 機能は「Pre-Login Access Provider(PLAP)」と呼ばれます。これは、接続可能なクレデンシャル プロバイダーです。この機能を使用すると、プログラマチック ネットワークの管理者は、クレデンシャルの収集やネットワーク リソースへの接続など特定のタスクをログオン前に実行することができます。PLAP では、サポートされている Windows オペレーティング システムすべてに対して SBL 機能を提供します。PLAP は、vpnplap.dll を使用する 32 ビット版のオペレーティング システムと、vpnplap64.dll を使用する 64 ビット版のオペレーティング システムをサポートしています。PLAP 機能は、x86 および x64 をサポートしています。

VPN 接続の自動リスタート

[自動再接続(Auto Reconnect)] が有効(デフォルト)になっている場合、AnyConnect は初期接続に使用したメディアに関係なく、VPN セッションの中断から回復し、セッションを再確立します。たとえば、有線、ワイヤレス、または 3G のセッションを再確立できます。[自動再接続(Auto Reconnect)] が有効になっている場合は、システムの一時停止またはシステムの再開が発生した場合の再接続動作も指定します。システムの一時停止とは、Windows の「休止状態」や macOS または Linux の「スリープ」など、低電力スタンバイのことです。システムの再開とは、システムの一時停止からの回復のことです。

[自動再接続(Auto Reconnect)] を無効にすると、クライアントでは接続解除の原因にかかわらず、再接続が試行されません。この機能のデフォルト設定(有効)を使用することを強く推奨します。この設定を無効にすると、不安定な接続では VPN 接続の中断が発生することがあります。

手順

ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 1)(Preferences (Part 1))] を選択します。

ステップ 2

[自動再接続(Auto Reconnect)] を選択します。

ステップ 3

自動再接続の動作を選択します。

  • [中断時に接続解除(Disconnect On Suspend)]:(デフォルト)AnyConnect では、システムが一時停止すると VPN セッションに割り当てられたリソースが解放され、システムの再開後も再接続は試行されません。

  • [再開後に再接続(Reconnect After Resume)]:クライアントでは、システムが一時停止すると VPN セッションに割り当てられたリソースが保持され、システムの再開後は再接続が試行されます。

Trusted Network Detection を使用した接続または接続解除

Trusted Network Detection について

Trusted Network Detection(TND)を使用すると、ユーザが社内ネットワークの中(信頼ネットワーク)にいる場合は AnyConnect により自動的に VPN 接続が解除され、社内ネットワークの外(非信頼ネットワーク)にいる場合は自動的に VPN 接続が開始されるようにすることができます。

TND を使用している場合でも、ユーザが手動で VPN 接続を確立することは可能です。信頼ネットワークの中でユーザが手動で開始した VPN 接続は解除されません。TND で VPN セッションが接続解除されるのは、最初に非信頼ネットワークにいたユーザが信頼ネットワークに移動した場合だけです。たとえば、ユーザが自宅で VPN 接続を確立した後で会社に移動すると、この VPN セッションは TND によって接続解除されます。

TND は AnyConnect VPN クライアント プロファイルで設定します。ASA の設定の変更は必要ありません。AnyConnect が信頼ネットワークと非信頼ネットワークの間の遷移を認識したときに実施するアクションまたはポリシーを指定する必要があります。また、信頼ネットワークおよび信頼サーバを特定する必要があります。

Trusted Network Detection のガイドライン

  • TND 機能は AnyConnect GUI を制御し、接続を自動的に開始するため、GUI を常に実行している必要があります。ユーザが GUI を終了した場合、TND によって VPN 接続が自動的に開始されることはありません。

  • さらに AnyConnect で Start Before Logon(SBL)が実行されている場合は、ユーザが信頼ネットワークの中に移動した時点で、コンピュータ上に表示されている SBL ウィンドウが自動的に閉じます。

  • Always-Onが設定されているかどうかにかかわらず、Trusted Network Detection は、IPv4 ネットワークおよび IPv6 ネットワーク経由での ASA への IPv6 および IPv4 VPN 接続でサポートされています。

  • ユーザ コンピュータ上に複数のプロファイルがあると、TND 設定が異なっている場合には問題になることがあります。

    ユーザが過去に TND 対応のプロファイルを受け取っていた場合、システムをリスタートすると、AnyConnect は最後に接続されたセキュリティ アプライアンスへの接続を試みますが、これが目的の動作ではないことがあります。別のセキュリティ アプライアンスに接続するには、そのヘッドエンドを手動で接続解除してから、再接続する必要があります。この問題を回避する手段としては、次のような対策が考えられます。

    • 社内ネットワーク上にあるすべての ASA にロードされるクライアント プロファイルで、TND を有効にする。

    • すべての ASA がリストされた 1 つのプロファイルをホスト エントリ セクションに作成し、このプロファイルをすべての ASA にロードする。

    • 複数の異なるプロファイルが必要ない場合は、すべての ASA のプロファイルに同じプロファイル名を使用する。既存のプロファイルは各 ASA により上書きされます。

  • Linux 上で TND を使用するには、ネットワーク マネージャがインストールされてターゲット(RHEL/Ubuntu)デバイス上で正しく実行されていることと、ネットワーク インターフェイスがネットワーク マネージャによって管理されていることが必要です。

Trusted Network Detection の設定

手順

ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 2)(Preferences (Part 2))] を選択します。

ステップ 2

[自動 VPN ポリシー(Automatic VPN Policy)] を選択します。

ステップ 3

[信頼されたネットワークポリシー(Trusted Network Policy)] を選択します。

これは、ユーザが社内ネットワーク(信頼ネットワーク)内に存在する場合にクライアントが実行するアクションです。次のオプションがあります。

  • [接続解除(Disconnect)]:(デフォルト)クライアントは、信頼ネットワークで VPN 接続を終了します。

  • [接続(Connect)]:クライアントは、信頼ネットワークで VPN 接続を開始します。

  • [何もしない(Do Nothing)]:クライアントは、信頼ネットワークでアクションを実行しません。[信頼されたネットワークポリシー(Trusted Network Policy)] と [信頼されていないネットワークポリシー(Untrusted Network Policy)] の両方を [何もしない(Do Nothing)] に設定すると、Trusted Network Detection(TND)は無効となります。

  • [一時停止(Pause)]:ユーザが信頼ネットワークの外で VPN セッションを確立した後に、信頼済みとして設定されたネットワークに入った場合、AnyConnect は(VPN セッションを接続解除するのではなく)一時停止します。ユーザが再び信頼ネットワークの外に出ると、そのセッションは AnyConnect により再開されます。この機能を使用すると、信頼ネットワークの外へ移動した後に新しい VPN セッションを確立する必要がなくなるため、ユーザにとっては有用です。

ステップ 4

[信頼されていないネットワークポリシー(Untrusted Network Policy)] を選択します。

これは、ユーザが社内ネットワーク外に存在する場合にクライアントが実行するアクションです。次のオプションがあります。

  • [接続(Connect)]:非信頼ネットワークが検出されるとクライアントにより VPN 接続が開始されます。

  • [何もしない(Do Nothing)]:クライアントは、非信頼ネットワークの検出時にアクションを実行しません。このオプションを指定すると、Always-On VPN が無効になります。[信頼されたネットワークポリシー(Trusted Network Policy)] と [信頼されていないネットワークポリシー(Untrusted Network Policy)] の両方を [何もしない(Do Nothing)] に設定すると、Trusted Network Detection は無効となります。

ステップ 5

[信頼された DNS ドメイン(Trusted DNS Domains)] を指定します。

クライアントが信頼ネットワーク内に存在する場合にネットワーク インターフェイスに割り当てることができる DNS サフィックス(カンマ区切りの文字列)を指定します。split-dns リストに複数の DNS サフィックスを追加し、ASA でデフォルト ドメインを指定した場合、複数の DNS サフィックスを割り当てることができます。

AnyConnect クライアントは、次の順序で DNS サフィックスのリストを構築します。

  • ヘッド エンドから渡されたドメイン。

  • ヘッド エンドから渡されたスプリット DNS リスト。

  • パブリック インターフェイスの DNS サフィックス(設定されている場合)。設定されていない場合は、プライマリ DNS サフィックスの親サフィックスを伴うプライマリおよび接続固有のサフィックス(対応するボックスが拡張 TCP/IP 設定でオンの場合)。

    照合する DNS サフィックス

    TrustedDNSDomains に使用する値

    example.com(のみ)

    *example.com

    example.com と anyconnect.example.com

    *.example.com または example.com、anyconnect.example.com

    asa.example.com と anyconnect.example.com

    *.example.com または asa.example.com、anyconnect.example.com

ステップ 6

[信頼された DNS サーバ(Trusted DNS Servers)] を指定します。

クライアントが信頼ネットワーク内に存在する場合にネットワーク インターフェイスに割り当てることができるすべての DNS サーバ アドレス(カンマ区切りの文字列)。たとえば、203.0.113.1,2001:DB8::1 です。IPv4 および IPv6 DNS サーバ アドレスでは、ワイルドカード(*)がサポートされています。

DNS で解決できるヘッドエンド サーバの DNS エントリが必要です。IP アドレスによる接続の場合、mus.cisco.com を解決できる DNS サーバが必要です。mus.cisco.com が DNS で解決できない場合、キャプティブ ポータルの検出が期待どおりに動作しません。

(注)   

TrustedDNSDomains、TrustedDNSServers、またはその両方を設定できます。TrustedDNSServers を設定する場合は、DNS サーバをすべて入力してください。その結果、サイトはすべて信頼ネットワークの一部になります。

アクティブ インターフェイスは、VPN プロファイルのすべてのルールが一致した場合に、信頼ネットワークに含まれると見なされます。

ステップ 7

信頼できる URL として追加するホスト URL を指定します。信頼できる証明書を使用してアクセス可能なセキュア Web サーバが、信頼できるサーバとして見なされる必要があります。[追加(Add)] をクリックすると、URL が追加され、証明書ハッシュに事前にデータが取り込まれます。ハッシュが見つからない場合は、ユーザに対して証明書ハッシュを手動で入力して [設定(Set)] をクリックするように求めるエラー メッセージが表示されます。

(注)   

このパラメータを設定できるのは、信頼された DNS ドメインまたは信頼された DNS サーバを 1 つ以上を定義する場合だけです。信頼された DNS ドメインまたは信頼された DNS サーバが定義されていない場合、このフィールドは無効になります。

Always-Onを使用した VPN 接続の必要性

Always-On VPN について

Always-On操作により、VPN セッションがアクティブでない限り、コンピュータが信頼ネットワーク上にない場合にはインターネット リソースにアクセスできなくなります。この状況で VPN を常に適用すると、コンピュータがセキュリティに対する脅威から保護されます。

Always-Onが有効になっている場合、ユーザがログインした後、および非信頼ネットワークが検出されたときに、VPN セッションが自動的に確立されます。VPN セッションは、ユーザがコンピュータからログアウトするか、(ASA グループ ポリシーに指定された)セッション タイマーまたはアイドル セッション タイマーが期限に達するまではオープンした状態が維持されます。AnyConnect では、セッションがオープンしている場合は、それを再アクティブ化するために接続の再確立が継続して試行され、それ以外の場合は、新しい VPN セッションの確立が継続的に試行されます。

VPN プロファイルでAlways-Onが有効になっている場合、AnyConnect は他のダウンロードされたすべての AnyConnect プロファイルを削除してエンドポイントを保護し、ASA に接続するように設定されているパブリック プロキシを無視します。

Always-Onを有効にする場合は、次の AnyConnect オプションも考慮する必要があります。

  • [ユーザにAlways-On VPN セッションの接続解除を許可(Allowing the user to Disconnect the VPN session)]:AnyConnect では、ユーザがAlways-On VPN セッションの接続を解除できます。Allow VPN Disconnect を有効にすると、AnyConnect では VPN セッションが確立された時点で [接続解除(Disconnect)] ボタンが表示されます。Always-On VPN を有効にすると、プロファイル エディタでは、[接続解除(Disconnect)] ボタンがデフォルトで有効になります。

    [接続解除(Disconnect)] ボタンを押すと、すべてのインターフェイスがロックされます。これにより、データの漏えいを防ぐことができる以外に、VPN セッションの確立には必要のないインターネット アクセスからコンピュータを保護することができます。現在の VPN セッションでパフォーマンスが低下したり、VPN セッションの中断後に再接続で問題が発生したりした場合、Always-On VPN セッションのユーザは [接続解除(Disconnect)] をクリックして代替のセキュア ゲートウェイを選択できます。

  • [接続障害ポリシーの設定(Setting a Connect Failure Policy)]:接続障害ポリシーにより、Always-On VPN が有効で、AnyConnect が VPN セッションを確立できない場合に、コンピュータがインターネットにアクセスできるかどうかが決まります。「接続障害ポリシーの設定」を参照してください。

  • [キャプティブ ポータル ホットスポットの処理(Handling Captive Portal Hotspots)]:「キャプティブ ポータル ホットスポットの検出と修復の使用」を参照してください。

Always-On VPN の制限事項

  • Always-Onがオンであっても、ユーザがログインしていない場合は、AnyConnect は VPN 接続を確立しません。AnyConnect が VPN 接続を確立するのは、ログイン後に限られます。

  • Always-On VPN では、プロキシを介した接続はサポートされていません。

Always-On VPN のガイドライン

脅威に対する保護を強化するためにも、Always-On VPN の設定を行う場合は、次のような追加的な保護対策を講じることを推奨します。

  • 認証局(CA)からデジタル証明書を購入し、それをセキュア ゲートウェイ上に登録することを強く推奨します。ASDM では、[アイデンティティ証明書(Identity Certificates)] パネル([設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [証明書の管理(Certificate Management)] > [アイデンティティ証明書(Identity Certificates)])に、公開証明書を容易に登録するための [ASA SSL VPN を Entrust で登録(Enroll ASA SSL VPN with Entrust)] ボタンが用意されています。

  • フェールオーバー モードで常時接続の VPN を使用している場合、外部 SAML IdP はサポートされていません(ただし、内部 SAML IdP を使用すると、ASA はすべてのトラフィックを IdP にプロキシします。また、ASA はサポートされています)。

  • Always-On が設定されたプロファイルをエンドポイントに事前に展開し、事前定義された ASA への接続を制限します。事前展開により、不正なサーバへのアクセスを防止することができます。

  • ユーザが処理を終了できないように管理者権限を制限します。管理者権限を持つ PC ユーザは、エージェントを停止することにより、Always-Onポリシーを無視することができます。Always-Onの安全性を十分に確保する必要がある場合は、ユーザに対してローカル管理者権限を付与しないでください。

  • Windows コンピュータ上の Cisco サブフォルダ(通常は C:\ProgramData)へのアクセスを制限します。

  • 限定的な権限または標準的な権限を持つユーザは、それぞれのプログラム データ フォルダに対して書き込みアクセスを実行できる場合があります。このアクセスを使用すれば、AnyConnect プロファイル ファイルを削除できるため、Always-On機能を無効にすることができます。

  • Windows ユーザのグループ ポリシー オブジェクト(GPO)を事前に展開して、限定的な権限を持つユーザが GUI を終了できないようにします。macOS ユーザに対してもこれに相当するものを事前に展開します。

Always-On VPN の設定

手順

ステップ 1

AnyConnect VPN クライアント プロファイルでのAlways-Onの設定
ステップ 2

(任意)サーバ リストにロード バランシング バックアップ クラスタ メンバーを追加します
ステップ 3

(任意)常時接続 VPN からユーザを除外します

AnyConnect VPN クライアント プロファイルでのAlways-Onの設定

始める前に

Always-On VPN を使用するには、ASA 上に有効な信頼できるサーバ証明書が設定されている必要があります。設定されていない場合、VPN 常時接続は失敗し、その証明書が無効であることを示すイベントがログに記録されます。また、サーバ証明書が厳格な証明書トラスト モードを通過できるようにすると、Always-On VPN プロファイルのダウンロードを防止して不正なサーバへの VPN 接続をロックできます。

手順
ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 2)(Preferences (Part 2))] を選択します。

ステップ 2

[自動 VPN ポリシー(Automatic VPN Policy)] を選択します。

ステップ 3

Trusted Network Detection の設定
ステップ 4

[常時接続(Always On)] を選択します。

ステップ 5

(任意)[VPN の接続解除を許可(Allow VPN Disconnect)] を選択または選択解除します。

ステップ 6

(任意)接続障害ポリシーを設定します
ステップ 7

(任意)キャプティブ ポータル修復を設定します

サーバ リストへのロードバランシング バックアップ クラスタ メンバーの追加

Always-On VPN は、AnyConnect VPN セッションのロード バランシングに影響を与えます。Always-On VPN を無効にした状態では、クライアントからロード バランシング クラスタ内のプライマリ デバイスに接続すると、クライアントはプライマリ デバイスから任意のバックアップ クラスタ メンバーにリダイレクションされます。Always-On を有効にすると、クライアント プロファイルのサーバ リスト内にバックアップ クラスタ メンバーのアドレスが指定されていない限り、クライアントがプライマリ デバイスからリダイレクトされることはありません。このため、サーバ リストにはいずれかのバックアップ クラスタ メンバーを必ず追加するようにしてください。

クライアント プロファイルにバックアップ クラスタ メンバーのアドレスを指定する場合は、ASDM を使用してロード バランシング バックアップ サーバ リストを追加します。手順は次のとおりです。

手順
ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [サーバ リスト(Server List)] を選択します。

ステップ 2

ロードバランシング クラスタのプライマリ デバイスであるサーバを選択し、[編集(Edit)] をクリックします。

ステップ 3

いずれかのロード バランシング クラスタ メンバーの FQDN または IP アドレスを入力します。

常時接続 VPN からのユーザの除外

Always-Onポリシーに優先して適用される除外規定を設定できます。たとえば、特定のユーザに対して他社との VPN セッションを確立できるようにしつつ、企業外資産に対してはAlways-On VPN ポリシーを除外するという場合があります。

ASA のグループ ポリシーおよびダイナミック アクセス ポリシーで設定された除外規定は Always-On ポリシーを上書きします。ポリシーの割り当てに使用される一致基準に従って例外を指定します。AnyConnect ポリシーでは Always-On が有効になっているが、ダイナミック アクセス ポリシーまたはグループ ポリシーでは無効になっている場合、各新規セッションの確立に関するダイナミック アクセス ポリシーまたはグループ ポリシーが基準と一致すれば、クライアントでは現在以降の VPN セッションに対して無効の設定が保持されます。

この手順では、AAA エンドポイント条件を使用して企業外資産にセッションを照合するダイナミック アクセス ポリシーを設定します。

手順
ステップ 1

[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [ダイナミック アクセス ポリシー(Dynamic Access Policies)] > [追加(Add)] または [編集(Edit)] を選択します。

ステップ 2

ユーザをAlways-On VPN から除外する条件を設定します。たとえば、[選択基準(Selection Criteria)] 領域を使用して、ユーザのログイン ID に一致する AAA 属性を指定します。

ステップ 3

[ダイナミック アクセス ポリシーの追加(Add Dynamic Access Policy)] ウィンドウまたは [ダイナミック アクセス ポリシーの編集(Edit Dynamic Access Policy)] ウィンドウの下半分にある [AnyConnect] タブをクリックします。

ステップ 4

[AnyConnect クライアントのAlways-On VPN(Always-On VPN for AnyConnect client)] の横にある [無効(Disable)] をクリックします。

常時接続の接続障害ポリシーの設定

接続障害ポリシーについて

接続障害ポリシーは、Always-On VPN が有効で、AnyConnect が VPN セッションを確立できない場合に、コンピュータがインターネットにアクセスできるかどうかを決定します。これは、セキュア ゲートウェイに到達不能な場合、または AnyConnect がキャプティブ ポータル ホットスポットの存在を検出できない場合に発生する可能性があります。

オープン ポリシーは、最大限のネットワーク アクセスを許可します。これにより、インターネット リソースやその他のローカル ネットワーク リソースへのアクセスが必要なタスクをユーザが継続して実行できるようにします。

クローズド ポリシーは、VPN セッションが確立されるまで、すべてのネットワーク接続を無効にします。AnyConnect では、エンドポイントから、コンピュータが接続を許可されているセキュア ゲートウェイ宛以外のトラフィックをすべてブロックするパケット フィルタを有効にすることで、この制限が実現されています。

AnyConnect では、接続障害ポリシーの内容にかかわらず、VPN 接続の確立が継続的に試行されます。

接続障害ポリシーを設定するためのガイドライン

最大限のネットワーク アクセス権を許可するオープン ポリシーを使用する場合は、次の点を考慮してください。

  • VPN セッションが確立されるまでセキュリティと保護は提供されません。したがって、エンドポイント デバイスが Web ベースのマルウェアに感染したり、センシティブ データが漏えいしたりする可能性があります。

  • [接続解除(Disconnect)] ボタンが有効で、かつユーザが [接続解除(Disconnect)] をクリックした場合は、オープン接続障害ポリシーは適用されません。

VPN セッションが確立されるまですべてのネットワーク接続を無効にする終了ポリシーを使用する場合は、次の点を考慮してください。

  • ユーザが VPN の外部へのインターネット アクセスを必要とする場合に、クローズド ポリシーを適用すると、生産性が低下する可能性があります。

  • クローズドの目的は、エンドポイントを保護するプライベート ネットワークのリソースが使用できない場合に、ネットワークの脅威から企業資産を保護することです。スプリット トンネリングによって許可されたプリンタやテザー デバイスなどのローカル リソースを除き、すべてのネットワーク アクセスが禁止されるため、エンドポイントは Web ベースのマルウェアとセンシティブ データ漏えいから常に保護されます。

  • このオプションは、主にネットワークに常時アクセス可能なことよりも、セキュリティが持続することを重視する組織向きです。

  • クローズド ポリシーは、特に有効にしない限り、キャプティブ ポータルを修復しません。

  • クライアント プロファイルで [最新の VPN ローカル リソースを適用(Apply Last VPN Local Resources)] が有効になっている場合は、直近の VPN セッションにより適用されたローカル リソース ルールを適用できます。たとえば、これらのルールにより、アクティブ シンクやローカル印刷へのアクセスを規定することができます。

  • AnyConnect ソフトウェアのアップグレード中、Always-Onが有効であると、ネットワークはクローズド ポリシーに関係なくブロックが解除され、開かれます。

  • クローズド接続ポリシーの展開は、段階的に行うことを強く推奨します。たとえば、最初に接続障害オープン ポリシーを使用してAlways-Onを展開し、ユーザを通じて AnyConnect がシームレスに接続できない頻度を調査します。さらに、新機能に関心を持つユーザを対象に、小規模な接続障害クローズド ポリシーを試験的に展開しそのフィードバックを依頼します。引き続きフィードバックを依頼しながら試験的なプログラムを徐々に拡大したうえで、全面的な展開を検討します。接続障害クローズド ポリシーを展開する場合は必ず、VPN ユーザに対して接続障害クローズド ポリシーのメリットだけでなく、ネットワーク アクセスの制限についても周知してください。


    注意    

    AnyConnect が VPN セッションの確立に失敗した場合は、接続障害クローズド ポリシーによりネットワーク アクセスは制限されます。接続障害クローズド ポリシーは、細心の注意を払って実装してください。

接続障害ポリシーの設定

Always-On 機能を有効にする場合にのみ、接続障害ポリシーを設定します。デフォルトでは、接続障害ポリシーはクローズされており、VPN が到達不能な場合にはインターネットにアクセスできません。この状況でインターネットへのアクセスを許可するには、オープンするように接続障害ポリシーを設定する必要があります。

手順
ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 2)(Preferences (Part 2))] を選択します。

ステップ 2

[Connect Failure Policy(接続エラーポリシー)] パラメータを次のいずれかに設定します。

  • [クローズド(Closed)]:(デフォルト)セキュア ゲートウェイに接続できない場合、ネットワーク アクセスが制限されます。

  • [オープン(Open)]:クライアントがセキュア ゲートウェイに接続できない場合、ブラウザなどのアプリケーションによるネットワーク アクセスが許可されます。

ステップ 3

クローズド ポリシーを指定した場合は、次の手順を実行します。

  1. キャプティブ ポータル修復を設定します

  2. ネットワーク アクセスが無効になっている間、最後の VPN セッションのローカル デバイス ルールを保持する場合は、[最新の VPN ローカル リソースを適用(Apply Last VPN Local Resources)] を選択します。

キャプティブ ポータル ホットスポットの検出と修復の使用

キャプティブ ポータルについて

空港、喫茶店、ホテルなど、Wi-Fi や有線アクセスを提供している施設では、アクセスする前に料金を支払ったり、アクセプタブル ユース ポリシーを順守することに同意したりする必要があります。こうした施設では、キャプティブ ポータルと呼ばれる技術を使用することにより、ユーザがブラウザを開いてアクセス条件に同意するまではアプリケーションの接続が行えないようにしています。キャプティブ ポータルの検出はこの制限を認識することであり、キャプティブ ポータル修復はネットワーク アクセスを取得するためにキャプティブ ポータルのホットスポット要件を満たすプロセスです。

キャプティブ ポータルは、VPN 接続が開始されると AnyConnect によって自動的に検出され、追加設定は必要ありません。また、AnyConnect は、キャプティブ ポータルの検出中にブラウザの設定を変更せず、キャプティブ ポータルを自動的に修復しません。修復は、エンド ユーザが実行します。AnyConnect は、現在の設定に応じてキャプティブ ポータルの検出に対応します。

  • Always-On が無効の場合、または Always-On が有効で接続障害ポリシーが開いている場合、各接続試行時に次のメッセージが表示されます。 

    
The service provider in your current location is restricting access to the Internet. You need to log on with the service provider before you can establish a VPN session. You can try this by visiting any website with your browser.

    エンド ユーザは、ホットスポット プロバイダーの要件を満たすことで、キャプティブ ポータル修復を実行する必要があります。これらの要件には、ネットワークにアクセスするための料金の支払い、アクセプタブル ユース ポリシーへの署名、その両方、またはプロバイダーが定義するその他の要件などがあります。

  • Always-On が有効で、接続障害ポリシーが閉じている場合、キャプティブ ポータル修復を明示的に有効にする必要があります。有効の場合、エンド ユーザは修復を前述のように実行できます。無効の場合、各接続試行時に次のメッセージが表示され、VPN に接続できません。 

    
The service provider in your current location is restricting access to the Internet. The AnyConnect protection settings must be lowered for you to log on with the service provider. Your current enterprise security policy does not allow this.

キャプティブ ポータル修復の設定

Always-On 機能を有効にし、接続障害ポリシーをクローズドに設定する場合にのみ、キャプティブ ポータル修復を設定します。この場合、キャプティブ ポータルのために VPN に接続できないときは、キャプティブ ポータル修復を設定すると、AnyConnect は VPN に接続できます。


(注)  

このプラットフォームでは常時接続がサポートされていないため、キャプティブ ポータルの修復の設定は Linux に適用されません。したがって、プロファイル エディタでの [キャプティブ ポータルの修復を常に許可(Allow Captive Portal Remediation Aloways On)] の設定に関係なく、Linux ユーザはキャプティブ ポータルを修復できます。

接続障害ポリシーがオープンに設定されているか、または Always-On が有効でない場合、ユーザはネットワーク アクセスが制限されないため、AnyConnect VPN クライアント プロファイルに特定の設定がなくてもキャプティブ ポータルを修復できます。

デフォルトでは、セキュリティを最大化するために、常時接続をサポートしているプラットフォーム(Windows と macOS)上ではキャプティブ ポータルの修復は無効になっています。

手順

ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 1)(Preferences (Part 1))] を選択します。

ステップ 2

[キャプティブ ポータルの修復を許可(Allow Captive Portal Remediation)] . を選択します。

この設定は、クローズ接続障害ポリシーによるネットワーク アクセス制限を解除します。

ステップ 3

修復タイムアウトを指定します。

AnyConnect がネットワーク アクセス制限を解除する時間(分単位)を入力します。ユーザには、キャプティブ ポータルの要件を満たすことができるだけの十分な時間が必要です。

キャプティブ ポータルの修復の強化(Windows のみ)

キャプティブ ポータルの修復が強化され、AnyConnect によって制限されているネットワーク アクセス(常時接続などのよる)を伴うキャプティブ ポータルが検出されるたびに、AnyConnect の組み込みブラウザが修復に使用されます。その他のアプリケーションは、AnyConnect ブラウザでのキャプティブ ポータルの修復が保留中の間、ネットワーク アクセスがブロックされたままになります。ユーザは AnyConnect ブラウザを閉じて、外部ブラウザにフェールオーバーできます(プロファイルで有効になっている場合)。これにより、AnyConnect は通常のキャプティブ ポータルの修復動作に戻ります。その場合に、次のメッセージが表示されます。 

Please retry logging on with the service provider to retain access to the Internet, by visiting any website with your browser.
キャプティブ ポータルが検出されたものの、ネットワーク アクセスが AnyConnect によって制限されている場合、AnyConnect ブラウザが自動的に起動し、ユーザに修復を求める次のメッセージが表示されます。
The service provider in your current location is restricting access to the internet. You need to log on with the service provider before you establish a VPN session, using the AnyConnect browser.

キャプティブ ポータルの修復の設定ブラウザのフェールオーバー

キャプティブ ポータルの修復のために AnyConnect ブラウザが起動するたびに適用されるようにブラウザのフェールオーバーを設定することができます。ブラウザのフェールオーバーを設定することで、ユーザは AnyConnect ブラウザを閉じた後に外部ブラウザを介してキャプティブ ポータルを修復できます。

キャプティブ ポータルの修復のために起動した AnyConnect ブラウザには、サーバ セキュリティ証明書に関して厳密なセキュリティ設定が備わっています。キャプティブ ポータルの修復中は、信頼されていないサーバ証明書は受け入れられません。信頼できないサーバ証明書が検出されると、対応する HTTPS URL が AnyConnect ブラウザによってロードされず、修復プロセスがブロックされる可能性があります。キャプティブ ポータルの修復中に信頼できないサーバ証明書が受け入れられる場合は、キャプティブ ポータルの修復ブラウザのフェールオーバーを有効にしてユーザがキャプティブ ポータルを修復できるようにする必要があります。有効にすると、ユーザは AnyConnect ブラウザを閉じ、(AnyConnect は通常のキャプティブ ポータルの修復動作に戻るため)外部ブラウザを使用して修復を継続することができます。

始める前に
Windows でのみサポートされています。
手順
ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 1)(Preferences (Part 1))] を選択します。

ステップ 2

エンド ユーザが(AnyConnect ブラウザを閉じた後)キャプティブ ポータルの修復に外部ブラウザを使用させる場合は、[キャプティブ ポータルの修復ブラウザのフェールオーバー(Captive Portal Remediation Browser Failover)] をオンにします。デフォルトでは、エンド ユーザは AnyConnect ブラウザを使用してキャプティブ ポータルの修復のみを行えます。つまり、ユーザは強化されたキャプティブ ポータルの修復を無効にすることはできません。

キャプティブ ポータルの検出と修復のトラブルシューティング

次のような状況では、誤ってキャプティブ ポータルと見なされる場合があります。

  • AnyConnect が、サーバ名が正しくない証明書(CN)を持った ASA に接続しようとしている場合、AnyConnect クライアントは、その環境を「キャプティブ ポータル」環境と見なします。

    これを回避するには、ASA 証明書が正しく設定されていることを確認します。証明書の CN 値は、VPN クライアント プロファイルの ASA サーバの名前と一致する必要があります。

  • ASA の前に別のデバイスがネットワーク上に存在し、そのデバイスが ASA への HTTPS アクセスをブロックして、クライアントによる ASA への接続に応答すると、AnyConnect クライアントは、その環境を「キャプティブ ポータル」環境と見なします。これは、ユーザが内部ネットワークに存在し、ファイアウォールを介して ASA に接続している場合に発生する可能性があります。

    企業内から ASA へのアクセスを制限する必要がある場合、ASA のアドレスへの HTTP および HTTPS トラフィックが HTTP ステータスを返さないようにファイアウォールを設定します。ASA への HTTP/HTTPS アクセスは許可するか、完全にブロック(ブラック ホール化とも呼ばれます)し、ASA に送信された HTTP/HTTPS 要求が予期しない応答を返さないようにします。

ユーザがキャプティブ ポータル修復ページにアクセスできない場合は、次のことを試すようにユーザに指示してください。

  • 修復を実行するためのブラウザを 1 つだけ残し、インスタント メッセージング プログラム、電子メール クライアント、IP フォン クライアントなど、HTTP を使用するその他のアプリケーションをすべて終了します。

    キャプティブ ポータルは、接続の反復試行を無視し、結果的にクライアント側でタイム アウトにすることで、DoS 攻撃を積極的に阻止することができます。HTTP 接続が多数のアプリケーションによって試行された場合、この問題の深刻度は大きくなります。

  • ネットワーク インターフェイスを無効にした後、再度有効にします。このアクションにより、キャプティブ ポータルの検出が再試行されます。

  • コンピュータを再起動します。

AnyConnect over L2TP または PPTP の設定

一部の国の ISP では、Layer 2 Tunneling Protocol(L2TP)や Point-to-Point Tunneling Protocol(PPTP)のサポートが必要です。

セキュア ゲートウェイを宛先としたトラフィックを Point-to-Point Tunneling Protocol(PPP)接続上で送信するため、AnyConnect は外部トンネルが生成したポイントツーポイント アダプタを使用します。PPP 接続上で VPN トンネルを確立する場合、クライアントでは ASA より先を宛先としてトンネリングされたトラフィックから、この ASA を宛先とするトラフィックが除外される必要があります。除外ルートを特定するかどうかや、除外ルートを特定する方法を指定する場合は、AnyConnect プロファイルの [PPP 除外(PPP Exclusion)] 設定を使用します。除外ルートは、セキュアでないルートとして AnyConnect GUI の [ルートの詳細(Route Details)] 画面に表示されます。

手順

ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 2)(Preferences (Part 2))] を選択します。

ステップ 2

[PPP 除外(PPP Exclusion)] でその方式を選択します。また、このフィールドに対する [ユーザ制御可(User Controllable)] をオンにして、ユーザがこの設定を表示および変更できるようにします。

  • [自動(Automatic)]:PPP 除外を有効にします。AnyConnect は、PPP サーバの IP アドレスを自動的に使用します。この値は、自動検出による IP アドレスの取得に失敗した場合にのみ変更するよう、ユーザに指示してください。

  • [上書き(Override)]:同様に PPP 除外を有効にします。自動検出で PPP サーバの IP アドレスを取得できず、[PPP 除外(PPP Exclusion)] の [ユーザ制御可(User Controllable)] の値が true である場合は、次項の説明に従ってこの設定を使用するよう、ユーザに指示してください。

  • [無効(Disabled)]:PPP 除外は適用されません。

ステップ 3

[PPP 除外サーバ IP(PPP Exclusion Server IP)] フィールドに、接続に使用する PPP サーバの IP アドレスを入力します。このフィールドに対する [ユーザ制御可(User Controllable)] をオンにして、ユーザが preferences.xml ファイルを利用して PPP サーバの IP アドレスを変更できるようにします。

次のタスク

preferences.xml ファイルの変更については、「ユーザに対する PPP 除外上書きの指示」の項を参照してください。

管理 VPN トンネルの使用

管理 VPN トンネルについて

管理 VPN トンネルにより、エンド ユーザによって VPN 接続が確立されるときだけでなく、クライアント システムの電源が入るたびに社内ネットワークの接続が確保されます。オフィス ネットワークに VPN を介してユーザが頻繁に接続しないデバイスに対しては特に、外出中のオフィスのエンドポイントで Patch Management を行うことができます。この機能には、社内ネットワークの接続を必要とするエンドポイント OS ログイン スクリプトに対するメリットもあります。

管理 VPN トンネルはエンド ユーザに対し透過的であるため、ユーザ アプリケーションによって開始されたネットワーク トラフィックはデフォルトで影響を受けませんが、代わりに管理 VPN トンネルの外部に転送されます。

ログインが低速であるとユーザから報告された場合、管理トンネルが適切に設定されていない可能性があります。「管理 VPN トンネルの設定」で、この機能を有効にするのに必要な設定手順について説明します。この設定を行ったにもかかわらず、社内ネットワークへの接続ができない症状が出ている場合は、「Troubleshooting Management VPN Tunnel Connectivity Issues」を参照してください。

管理 VPN トンネルの互換性と要件

  • ASDM 9.0.1(またはそれ以降)および ASDM 7.10.1(またはそれ以降)が必要です。

  • ユーザ ログインの前後にユーザによって開始された VPN トンネルが切断されるたびに接続します。


    (注)  

    信頼ネットワーク検出(TND)機能によって信頼ネットワークが検出されるか、AnyConnect ソフトウェア アップデートが進行中の場合、管理 VPN トンネルは確立されません。

  • ユーザ ログインの前後にユーザが VPN トンネルを開始するたびに切断します。

  • マシン ストア証明書認証のみを使用します。

  • ユーザが開始したネットワーク通信に影響しないように(管理 VPN トンネルは、エンド ユーザに対して透過的であるため)Split-include トンネリングの設定がデフォルトで必要です。この動作をオーバーライドする場合は、「Tunnel-All 設定をサポートするカスタム属性の設定」を参照してください。

  • サーバ証明書に対して厳密な証明書のチェックを実行します。サーバー証明書のルート CA 証明書は、マシン証明書ストア(Windows の場合はコンピュータ証明書ストア、macOS の場合はシステム キーチェーンまたはシステム ファイル証明書ストア)に存在する必要があります。

  • バックアップ サーバ リストで作業します。

  • 現在 Windows および macOS でのみ入手可能です。以降のリリースでは、Linux のサポートが追加されます。

管理 VPN トンネルの非互換性と制限

  • 管理 VPN プロファイルはプロキシ設定の値 [ネイティブ(Native)] をサポートしていません。この制限は、管理 VPN トンネルはユーザがログインしていなくても開始できるため、 Windows クライアントにのみ適用されます。 そのため、ユーザ固有のブラウザ プロキシ設定に依存することはできません。

  • 管理 VPN プロファイルは、VPN サーバからプッシュされるプライベート プロキシ設定をサポートしません。管理 VPN トンネルはエンド ユーザに対して透過的であることを目的としているため、ユーザ固有の設定またはシステム プロキシ設定は変更されません。

  • ユーザの VPN トンネルが非アクティブになるたびに管理 VPN トンネルが確立されるため、Always On 機能と互換性はありません。ただし、すべてのトラフィックをトンネリングするように管理トンネル接続のグループ ポリシーを設定して、ユーザの VPN トンネルが非アクティブの間にトラフィックが物理インターフェイスによってリークされないようにすることができます。「Tunnel-All 設定をサポートするカスタム属性の設定」を参照してください。

  • キャプティブ ポータルの修復は、AnyConnect UI が実行中でユーザがログインしている間、管理 VPN トンネル機能が有効になっていなかったかのようであるときにのみ実行されます。

  • 管理 VPN プロファイルの設定は、管理 VPN トンネルがアクティブのときにのみ AnyConnect で適用されます。管理 VPN トンネルが切断されると、ユーザの VPN トンネル プロファイル設定のみが適用されます。このため、管理 VPN トンネルはユーザの VPN トンネル プロファイルの信頼ネットワーク検出(TND)設定(つまり、設定済みの信頼できないネットワーク ポリシーに関係なく TND が無効化されるか、「信頼できないネットワーク」が検出された場合)に従って開始されます。また、管理 VPN プロファイルにおける TND 接続アクションは(管理 VPN トンネルがアクティブである場合にのみに適用)、管理 VPN トンネルがエンド ユーザに対して透過的であるように常にユーザの VPN トンネルに適用されます。ユーザエクスペリエンスに一貫性をもたせるために、ユーザと管理の両方の VPN トンネルプロファイルで同じ TND 設定を使用する必要があります。

管理 VPN プロファイルによって適用される必須設定

特定のプロファイル設定は管理 VPN トンネルがアクティブである間は必須です。有効なプロファイルの設定をサポートするために、対応する UI 制御を無効にすることで、AnyConnect 管理 VPN プロファイル エディタにより必須設定が適用されます。主に、ユーザのインタラクションを排除してトンネルの中断を最小限に抑えるために、管理トンネルの接続中に次の設定値が上書きされます。

  • AllowManualHostInput: false:管理トンネル (ヘッドレス クライアント) に関連しません。

  • AlwaysOn: false:管理トンネルが切断されるたびにユーザのトンネル プロファイル設定が適用されるため、関連しません。

  • AutoConnectOnStart: false:以前に接続されたホストに対する起動時の自動接続用 UI クライアントにのみ関連します。

  • AutomaticCertSelection: true:証明書の選択ポップアップを回避します。

  • AutoReconnect: true:ネットワークの変更時に管理トンネルが終了するのを回避します。

  • AutoReconnectBehavior: ReconnectAfterResume:ネットワークの変更時に管理トンネルの終了を回避します。

  • AutoUpdate: false:管理トンネル接続中にソフトウェア アップデートは実行されません。

  • BlockUntrustedServers: true: 信頼できないサーバ証明書のプロンプトを回避します。

  • CertificateStore: MachineStore:管理トンネル認証はログイン ユーザなしでも成功する必要があります。

  • CertificateStoreOverride: true:Windows でのマシン証明書認証に必要です。

  • EnableAutomaticServerSelection: false:管理 VPN プロファイルではホスト エントリは 1 つのみです。

  • EnableScripting: false:AnyConnect カスタマイゼーション スクリプト(接続時または切断時に呼び出される)は管理トンネル接続中は実行されません。

  • MinimizeOnConnect:false:管理トンネル(ヘッドレス クライアント)に関連しません。

  • RetainVPNOnLogoff:true: 管理トンネルはユーザがログオフしてもアクティブなままである必要があります。

  • ShowPreConnect Message:管理トンネル(ヘッドレス クライアント)に関連しません。

  • UserEnforcement: AnyUser:特定のユーザがログインしたときに管理トンネルが切断されないようにします。

  • UseStartBeforeLogon:False:ユーザ トンネルにのみ適用されます。

  • WindowsVPNEstablishment: AllowRemote ユーザ:どのユーザ タイプ(ローカルまたはリモート)がログインしても管理トンネルが影響されないようにします。

  • [LinuxVPNEstablishment:リモート ユーザを許可(LinuxVPNEstablishment: Allow Remote Users)]:管理トンネルがどのタイプ(ローカル/リモート)のユーザによっても影響されないようにします。

また、AnyConnect では、管理トンネルの接続中は、WindowsLogonEnforcement および SCEP 関連の設定はプロファイル設定として適用されません。

また、AnyConnect では、管理トンネルの接続中は、WindowsLogonEnforcement、LinuxLogonEnforcement、および SCEP 関連の設定はプロファイル設定として適用されません。

管理 VPN トンネルの設定

ユーザがログインしていなくても管理トンネル接続が発生する場合があるため、マシン ストア証明書認証のみがサポートされます。したがって、少なくとも 1 つの関連するクライアント証明書がクライアント ホストのマシン証明書ストアで使用できる必要があります。

管理 VPN トンネルのトンネル グループの設定

トンネル グループの認証方法は、ASDM で [設定(Configuration)] > [リモート アクセス(Remote Access)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [AnyConnect 接続プロファイル(AnyConnect Connection Profiles)] > [追加/編集(Add/Edit)] に移動し、[証明書のみ(certificate only)] として設定する必要があります。次に、[詳細設定(Advanced)] > [グループ エイリアス/グループ URL(Group Alias/Group URL)] でグループ URL を設定してから、次に 「管理 VPN トンネルのプロファイルの作成」の説明に従って管理 VPN プロファイルで指定します。

このトンネル グループのグループ ポリシーには、トンネル グループで設定されたクライアント アドレスの割り当てを使用するすべての IP プロトコルに対して split include トンネリングが設定されている必要があります(ASDM の [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] > [編集(Edit)] > [詳細設定(Advanced) > [スプリット トンネリング(Split Tunneling)] から [下のネットワーク リストをトンネル(Tunnel Network List Below)]を選択)。「 Tunnel-All 設定をサポートするカスタム属性の設定」では、その他のスプリット トンネリング設定のサポートを有効にする方法について説明します。両方の IP プロトコルに対するトンネル グループでクライアント アドレスの割り当てが設定されていない場合、[クライアント バイパス プロトコル(Client Bypass Protocol)] を有効にし、クライアント アドレスの割り当てのない IP プロトコルと一致するトラフィックが管理 VPN トンネルで中断されないようにする必要があります。

管理 VPN トンネルのプロファイルの作成

特定のクライアント デバイスには、1 つの管理 VPN プロファイルのみを展開できます。管理 VPN プロファイルは固定名(VpnMgmtTunProfile.xml)で専用ディレクトリ(Windows では %ProgramData%\Cisco\Cisco AnyConnect Secure MobilityClient\Profile\MgmtTun、macOS では /opt/cisco/anyconnect/profile/mgmttun)に格納されます。管理 VPN プロファイルには、「管理 VPN トンネルのトンネル グループの設定」セクションに従って設定されたトンネル グループを指しているゼロまたは 1 つのホスト エントリを使用できます。(トンネル確立中のプロファイルの更新時に)この機能を自動的に無効にするには、管理 VPN プロファイルでゼロのホスト エントリを設定する必要があります。

始める前に
管理 VPN トンネルのトンネル グループの設定を完了します。
手順
ステップ 1

[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [AnyConnect クライアント プロファイル(AnyConnect Client Profile)] の順に移動します。

ステップ 2

[追加(Add)] をクリックすると、[AnyConnect クライアント プロファイルの追加(Add AnyConnect Client Profiles)] ウィンドウが表示されます。

ステップ 3

プロファイルの使用方法として、 [AnyConnect 管理 VPN プロファイル(AnyConnect Management VPN Profile)] を選択します。[AnyConnect クライアント プロファイルの追加(Add AnyConnect Client Profiles)] 画面でフィールドを読み込む方法の詳細については、『Cisco ASA Series VPN ASDM Configuration Guide』の「Configure AnyConnect Client Profiles」セクションを参照してください。

ステップ 4

管理 VPN トンネルのトンネル グループの設定」で作成したグループ ポリシーを選択します。[OK] をクリックして管理 VPN プロファイルを作成してから、[編集(Edit)] をクリックして設定します。以降の更新に対しても同様に行います。

(オプション)すでに設定済みの管理 VPN プロファイルをアップロードする

すでに設定済みの管理 VPN プロファイル(スタンドアロン AnyConnect 管理 VPN プロファイル エディタを使用して編集または作成された、AnyConnect システムからコピーされた、または別の ASA からエクスポートされた)を ASA にアップロードする必要がある場合があります。
手順
ステップ 1

ASDM で、[AnyConnect クライアント プロファイル(AnyConnect Client Profile)] ウィンドウから [追加(Add)]、[アップロード(Upload)] をクリックします。.

ファイルのアップロードの接続先の場所を選択するには、 vpnm 拡張子付きのプロファイルを選択することを確認します。
ステップ 2

プロファイル名を提供し、プロファイルの使用率のドロップダウン メニューから AnyConnect 管理 VPN プロファイルを選択します。

ステップ 3

管理 VPN トンネルのトンネル グループの設定」で作成したグループ ポリシーを選択します。[OK] をクリックし、管理 VPN プロファイルを作成します。

グループ ポリシーへの管理 VPN プロファイルの関連付け

管理トンネル接続に使用するトンネル グループに関連付けられているグループ ポリシーに管理 VPN プロファイルを追加する必要があります。

(注)  

同様に、ユーザ トンネル接続に使用する正規のトンネル グループにマッピングされたグループ ポリシーに管理 VPN プロファイルを追加することもできます。ユーザが接続すると、グループ ポリシーにすでにマッピングされているユーザ VPN トンネルとともに管理 VPN プロファイルがダウンロードされ、管理 VPN トンネル機能が有効になります。

また、アウト オブ バンドで管理 VPN プロファイルを展開することができます。その場合、VpnMgmtTunProfile.xml という名前が付いていることを確認し、上記の管理 VPN プロファイル ディレクトリにコピーして、Cisco AnyConnect セキュア モビリティ エージェント サービスを再起動(またはリブート)します。

始める前に
管理 VPN トンネルのトンネル グループの設定」と「管理 VPN トンネルのプロファイルの作成」を完了します。
手順
ステップ 1

ASDM で [グループ ポリシー(Group Policy)] > [詳細(Advanced)] > [AnyConnect クライアント(AnyConnect Client)] に移動します。

ステップ 2

ダウンロードするクライアント プロファイルで、[追加(Add)] をクリックし、「管理 VPN トンネルのプロファイルの作成」セクションで作成または更新された管理 VPN プロファイルを選択します。

Tunnel-All 設定をサポートするカスタム属性の設定

管理 VPN トンネルでは、ユーザが開始したネットワーク通信に影響しないように(管理 VPN トンネルは、エンド ユーザに対して透過的であるため)Split-include トンネリングの設定がデフォルトで必要です。この動作は管理トンネル接続で使用されているグループ ポリシーで次のカスタム属性を設定することによりオーバーライドできます([CreateCustom 属性 ASDM(CreateCustom Attribute ASDM)] ウィンドウ:[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] > [編集(Edit)] > [詳細設定(Advanced)] > [AnyConnect クライアント(AnyConnect Client)] > [カスタム属性(Custom Attributes)] > [追加(Add)])。

新しいカスタム属性タイプを ManagementTunnelAllAllowed に設定し、対応するカスタム属性を true に設定すると、その設定が両方の IP プロトコルに対して tunnel-all、split-exclude、split-include、または bypass のいずれかの場合、AnyConnect は管理トンネル接続を続行します。

管理 VPN プロファイルの更新の制限

管理 VPN プロファイルの更新を新しい AnyConnect ローカル ポリシー ファイル (AnyConnectLocalPolicy.xml)設定を使用した特定の信頼できるサーバ リストに制限しても、ユーザが任意のサーバから VPN プロファイルを更新するのを許可することができます。この設定は、[AnyConnect VPN ローカル ポリシー エディタ(AnyConnect VPN Local Policy Editor)] を使用して [任意のサーバからの管理 VPN プロファイル更新を許可(Allow Management VPN Profile Updates From AnyServer)] チェック ボックスをオンにすることで編集できます。

たとえば、管理 VPN プロファイルの更新が VPN サーバ TrustedServer からのみ許可される場合、このチェック ボックスはオフになっており、TrustedServer は信頼できるサーバ リストに追加されます。(TrustedServer を該当する VPN プロファイルのサーバ エントリに存在する FQDN または IP アドレスと置き換えてください)。

管理 VPN トンネル接続問題のトラブルシューティング

クライアント ホストがリモートから到達できない場合、さまざまなシナリオが発生して管理 VPN トンネルの切断や確立できない状況の原因となっている可能性があります。次のシナリオでは、AnyConnect VPN GUI と CLI に管理接続状態が統計情報のエントリとして反映されます。

  • [切断(無効)(Disconnected (disabled))]:機能は無効です。

  • [切断(信頼ネットワーク)(Disconnected (trusted network))]:TND が信頼ネットワークを検出したため、管理トンネルは確立されません。

  • [切断 (アクティブ ユーザ トンネル)(Disconnected (user tunnel active))]:ユーザ トンネルは現在保留中 です(つまり、管理トンネルを切断しています)。

  • [切断(プロセスの起動に失敗)(Disconnected (process launch failed))]:管理トンネル接続の試行時にプロセスの起動エラーが発生しました。

  • [切断(接続に失敗)(Disconnected (connect failed))]:管理トンネルの確立時に接続障害が発生しました。

  • [切断された(無効な VPN 設定)(Disconnected (invalid VPN configuration))]:管理トンネルの確立時に無効なスプリット トンネリング設定が発生しました。追加情報については、「Tunnel-All 設定をサポートするカスタム属性の設定」を参照してください。

  • [切断(ソフトウェア アップデートが保留中)(Diconnected (software update pending))]:AnyConnect ソフトウェア アップデートは現在保留中です(つまり、管理トンネルを切断しています)。

  • [切断(Disconnected)]:管理トンネルを確立しようとしているか、その他の理由により確立できませんでした。

管理 VPN トンネル経由の接続の欠落をトラブルシューティングする場合は(クライアント ホストで確立されることを想定)、次を確認します。

  • 管理 VPN 接続の状態を AnyConnect UI の [統計出力のエクスポート(Export Stats output)] の [統計(Statistics)] タブをで確認するか、CLI で [接続情報/管理接続状態(Connection Information/Management Connection State)] を確認します。管理接続状態が予期せずに [切断(disconnected)] と表示され、提供された説明が不十分な場合、詳細なトラブルシューティングについて DART ツールを使用した AnyConnect ログをキャプチャします。

  • UI の統計行に [管理接続状態:切断(無効)(Management Connection State: Disconnected (disabled))] と表示される場合、証明書認証で設定されたトンネル グループを指す、1 つのホスト エントリで管理 VPN プロファイルが設定されていることを確認します。関連付けられているグループ ポリシーに 1 つのプロファイル(管理 VPN プロファイル)が設定されている必要があります。


    (注)  

    関連付けられているグループ ポリシーでバナーを有効にすることはできません。管理のトンネル接続中にユーザのインタラクションはサポートされていません。

  • UI の統計行に [管理接続状態:切断(無効)(Management Connection State: Disconnected (disabled))] と表示される場合、正規のユーザ トンネル接続で使用されるトンネル グループに関連付けられているグループ ポリシー内で管理 VPN プロファイルが設定されていることを確認します。ユーザがそのトンネル グループに接続すると、管理 VPN プロファイルがダウンロードされ、この機能が有効になります。


    (注)  

    また、管理 VPN プロファイルをアウト オブ バンドで展開できます。

  • UI の統計行に [管理接続状態:切断(接続に失敗)(Management Connection State: Disconnected (connect failed))] と表示される場合、次に示すように、管理トンネル接続はユーザのインタラクションが必要な場合に常に失敗することに注意してください。

    • サーバ証明書が信頼されない場合。サーバ証明書のルート CA 証明書は、マシン証明書ストア内に存在する必要があります。

    • (マシン ストア証明書に関連する)秘密キーがパスワードで保護されている場合、対応するクライアント証明書は管理トンネル接続で使用できません。秘密キーのパスワードを入力するようユーザにプロンプトを表示できないため、クライアント証明書は使用できません。

    • macOS システム キーチェーン プライベート キーが、AnyConnect VPN エージェント実行可能ファイル(vpnagentd)にプロンプトを表示せずにアクセスを許可するように設定されていない場合、 秘密鍵にアクセスするための資格情報をユーザに要求することができないため、対応するクライアント証明書は管理トンネル接続では使用できません。

    • グループ ポリシーがバナーを使用して設定されている場合。

AnyConnect プロキシ接続の設定

AnyConnect プロキシ接続について

AnyConnect は、ローカル プロキシ、パブリック プロキシ、プライベート プロキシで VPN セッションをサポートしています。

  • ローカル プロキシ接続:

    ローカル プロキシは、AnyConnect と同じ PC 上で動作し、トランスペアレント プロキシとして使用されることもあります。トランスペアレント プロキシ サービスの例として、一部のワイヤレス データ カードによって提供されるアクセラレーション ソフトウェアや、一部のアンチウイルス ソフトウェア(Kaspersky など)に搭載のネットワーク コンポーネントなどがあります。

    ローカル プロキシの使用は、AnyConnect VPN クライアント プロファイルで有効または無効にします。「ローカル プロキシ接続の許可」を参照してください。

  • パブリック プロキシ接続:

    通常、パブリック プロキシは Web トラフィックの匿名化に使用されます。Windows がパブリック プロキシを使用するように設定されている場合、AnyConnect はその接続を使用します。パブリック プロキシは macOS と Linux でネイティブと上書きの両方をサポートしています。

    パブリックプロキシの設定についてパブリック プロキシ接続の設定(Windows)は、を参照してください。

  • プライベート プロキシ接続:

    プライベート プロキシ サーバは、企業の使用ポリシーに基づいて企業ユーザが特定の Web サイト(たとえば、アダルト、ギャンブル、ゲームなどのサイト)にアクセスできないようにするために社内ネットワークで使用されます。

    トンネルの確立後にブラウザにプライベート プロキシ設定をダウンロードするようにグループ ポリシーを設定します。VPN セッションが終了すると、設定は元の状態に復元されます。プライベート プロキシ接続の設定を参照してください。


    (注)  

    プロキシ サーバを経由する AnyConnect SBL 接続は、Windows オペレーティング システムのバージョン、システム(マシン)の設定、またはその他のサードパーティ プロキシ ソフトウェア機能に依存します。このため、Microsoft または使用するすべてのサードパーティ プロキシ アプリケーションによって提供される、システム全体のプロキシ設定を参照してください。

VPN クライアント プロファイルによるクライアント プロキシの制御

VPN クライアント プロファイルでは、クライアント システムのプロキシ接続をブロックしたり、リダイレクトしたりできます。Windows および Linux の場合、パブリック プロキシ サーバのアドレスを自分で設定したり、ユーザに設定を許可したりできます。

VPN クライアント プロファイルにプロキシ設定を設定する方法の詳細については、「AnyConnect プロファイル エディタ、プリファレンス(Part 2)」を参照してください。

クライアントレス サポートのためのプロキシ自動設定ファイルの生成

ASA の一部のバージョンでは、AnyConnect セッションが確立された後も、プロキシ サーバを経由するクライアントレス ポータル アクセスをサポートするために、AnyConnect 設定が必要です。AnyConnect では、この設定が行われるように、プロキシ自動設定(PAC)ファイルを使用してクライアント側プロキシ設定が修正されます。AnyConnect でこのファイルが生成されるのは、ASA でプライベート側プロキシ設定が指定されていない場合だけです。

AnyConnect プロキシ接続の要件

プロキシ接続の OS サポートは次のようになります。

プロキシ接続タイプ

Windows

macOS

Linux

ローカル プロキシ

○(上書きおよびネイティブ

プライベート プロキシ

○(Internet Explorer)

○(システム プロキシ設定として設定)

×

パブリック プロキシ

○(IE および上書き)

○(上書きおよびネイティブ

○(上書きおよびネイティブ

プロキシ接続の制限

  • IPv6 プロキシは、プロキシ接続のどのタイプでもサポートされません。

  • プロキシ経由の接続は、Always-On機能が有効になっている場合にはサポートされません。

  • ローカル プロキシへのアクセスを許可するには、VPN クライアント プロファイルが必要です。

ローカル プロキシ接続の許可

手順

ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 2)(Preferences (Part 2))] を選択します。

ステップ 2

[ローカル プロキシ接続を許可(Allow Local Proxy Connections)] を選択(デフォルト)または選択解除します。ローカル プロキシはデフォルトで無効になっています。

パブリック プロキシ

パブリック プロキシは Windows および Linux の各プラットフォームでサポートされています。プロキシ サーバは、クライアント プロファイルで設定されるプリファレンスに基づいて選択されます。プロキシ オーバーライドの場合、AnyConnect はプロファイルからプロキシ サーバを取得します。リリース 4.1 では、Linux および macOS でのネイティブ プロキシ設定とともに Mac でのプロキシ サポートが追加されました。

Linux では、AnyConnect の実行前にネイティブ プロキシ設定がエクスポートされます。設定を変更した場合は、再起動が必要です。

プロキシ サーバの認証には、ユーザ名とパスワードが必要です。AnyConnect は、プロキシ サーバが認証を必要とするように設定されている場合、基本認証および NTLM 認証をサポートします。AnyConnect ダイアログが認証プロセスを管理します。プロキシ サーバに対する認証に成功すると、AnyConnect は ASA ユーザ名およびパスワードの入力を求めます。

パブリック プロキシ接続の設定(Windows)

Windows でパブリック プロキシ接続を設定するには、次の手順を実行します。

手順
ステップ 1

Internet Explorer またはコントロール パネルから [インターネット オプション(Internet Options)] を開きます。

ステップ 2

[接続(Connections)] タブを選択し、[LAN 設定(LAN Settings)] ボタンをクリックします。

ステップ 3

プロキシ サーバを使用するように LAN を設定し、プロキシ サーバの IP アドレスを入力します。

パブリック プロキシ接続の設定(macOS)

手順
ステップ 1

システム設定に移動し、接続している適切なインターフェイスを選択します。

ステップ 2

[詳細設定(Advanced)] をクリックします。

ステップ 3

新しいウィンドウで [プロキシ(Proxies)] タブを選択します。

ステップ 4

HTTPS プロキシを有効にします。

ステップ 5

右側のパネルの [セキュアプロキシサーバ(Secure Proxy Server)] フィールドに、プロキシ サーバのアドレスを入力します。

パブリック プロキシ接続の設定(Linux)

Linux でパブリック プロキシ接続を設定するには、環境変数を設定します。

プライベート プロキシ接続の設定

手順

ステップ 1

ASA グループ ポリシーにプライベート プロキシ情報を設定します。『Cisco ASA Series VPN Configuration Guide』の「Configuring a Browser Proxy for an Internal Group Policy」の項を参照してください。

(注)   

macOS 環境では、(VPN 接続時に)ASA からプッシュダウンされたプロキシ情報は、端末を開いて scutil --proxy を発行するまで、ブラウザに表示されません。

ステップ 2

(任意)ブラウザのプロキシ設定を無視するためのクライアントの設定
ステップ 3

(任意)Internet Explorer の [接続(Connections)] タブのロックダウン

ブラウザのプロキシ設定を無視するためのクライアントの設定

AnyConnect プロファイルでは、ユーザの PC 上で Microsoft Internet Explorer または Safari のプロキシ設定が無視されるようにポリシーを指定できます。これにより、ユーザは社内ネットワークの外部からトンネルを確立できなくなり、AnyConnect は望ましくないまたは違法なプロキシ サーバ経由で接続できなくなります。

手順
ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 2)(Preferences (Part 2))] を選択します。

ステップ 2

[プロキシ設定(Proxy Settings)] ドロップダウン リストで、[プロキシを無視(Ignore Proxy)] を選択します。[プロキシを無視(Ignore Proxy)] を選択すると、クライアントはすべてのプロキシ設定を無視します。ASA からダウンロードされるプロキシに対してアクションが実行されません。

Internet Explorer の [接続(Connections)] タブのロックダウン

ある条件下では、AnyConnect により、Internet Explorer の [ツール(Tools )] > [インターネット オプション] > [接続(Connections )] タブが非表示にされます。このタブが表示されている場合、ユーザはプロキシ情報を設定できます。このタブを非表示にすると、ユーザが意図的または偶発的にトンネルを迂回することを防止できます。タブのロックダウンは接続解除すると反転され、このタブに適用される管理者定義のポリシーの方が優先されます。このロックダウンは、次のいずれかの条件で行われます。

  • ASA の設定で、[接続(Connections )] タブのロックダウンが指定されている。

  • ASA の設定で、プライベート側プロキシが指定されている。

  • Windows のグループ ポリシーにより、以前に [接続(Connections )] タブがロックダウンされている(ロックダウンしない ASA グループ ポリシー設定の上書き)。

グループ ポリシーで、プロキシのロックダウンを許可する、または許可しないように ASA を設定できます。ASDM を使用してこれを設定する手順は次のとおりです。

手順
ステップ 1

ASDM で、[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] に移動します。

ステップ 2

グループ ポリシーを選択し、新しいグループ ポリシーの [編集(Edit)] または [追加(Add)] をクリックします。

ステップ 3

ナビゲーション ペインで、[詳細(Advanced)] > [ブラウザ プロキシ(Browser Proxy)] に移動します。[プロキシ サーバ ポリシー(Proxy Server Policy)] ペインが表示されます。

ステップ 4

[プロキシ ロックダウン(Proxy Lockdown)] をクリックして、その他のプロキシ設定を表示します。

ステップ 5

プロキシのロックダウンを有効にして、AnyConnect のセッション中は Internet Explorer の [接続(Connections )] タブを非表示にするには、[継承(Inherit)] をオフにして [はい(Yes)] を選択します。または、プロキシのロックダウンを無効にして、AnyConnect のセッション中は Internet Explorer の [接続(Connections )] タブを表示するには、[いいえ(No)] を選択します。

ステップ 6

[OK] をクリックして、プロキシ サーバ ポリシーの変更を保存します。

ステップ 7

[適用(Apply)] をクリックして、グループ ポリシーの変更を保存します。

プロキシ設定の確認

  • Windows の場合:次の場所でレジストリのプロキシ設定を検索します。 

    
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings


  • macOS の場合:ターミナル ウィンドウを開き、次を入力します。 

    
scutil --proxy

VPN トラフィックの選択および除外

VPN をバイパスするための IPv4 または IPv6 トラフィックの設定

ASA が IPv6 トラフィックのみを待機している場合は AnyConnect クライアントが IPv4 トラフィックをどのように管理するかを設定し、ASA がクライアント バイパス プロトコル設定を使用して IPv4 トラフィックのみを待機している場合は AnyConnect クライアントが IPv6 トラフィックをどのように管理するかを設定できます。

AnyConnect クライアントで ASA に VPN 接続をする場合、ASA はクライアントに IPv4、IPv6、または IPv4 および IPv6 両方のアドレスを割り当てる場合があります。

クライアント バイパス プロトコルが IP プロトコルに対して有効であり、かつ、あるアドレス プールがそのプロトコルに対して設定されていない(つまり、そのプロトコルの IP アドレスが ASA によってクライアントに割り当てられていない)場合、そのプロトコルを使用する IP トラフィックは VPN トンネルを介して送信されません。これは、トンネル外で送信されます。

クライアント バイパス プロトコルが無効であり、かつ、あるアドレス プールがそのプロトコル用に設定されていない場合、VPN トンネルが確立された後、クライアントではその IP プロトコルのすべてのトラフィックをドロップします。

たとえば、IPv4 アドレスのみ AnyConnect 接続に割り当てられ、エンドポイントがデュアル スタックされていると想定します。エンドポイントが IPv6 アドレスへの到達を試みた場合、クライアント バイパス プロトコルが無効になっていると、IPv6 トラフィックはドロップされます。クライアント バイパス プロトコルが有効になっていると、IPv6 トラフィックはクライアントからクリア テキストで送信されます。

SSL 接続ではなく IPsec トンネルを確立している場合は、クライアントで IPv6 が有効になっているかどうかが ASA に通知されないため、ASA は常にクライアント バイパス プロトコル設定をプッシュダウンします。

クライアント バイパス プロトコルを ASA でグループ ポリシーに設定します。

手順

ステップ 1

ASDM で、[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] に移動します。

ステップ 2

グループ ポリシーを選択し、新しいグループ ポリシーの [編集(Edit)] または [追加(Add)] をクリックします。

ステップ 3

[詳細(Advanced)] > [AnyConnect] を選択します。

ステップ 4

デフォルト グループ ポリシー以外のグループ ポリシーの場合、[クライアント バイパス プロトコル(Client Bypass Protocol)] の隣にある [継承(Inherit)] チェックボックスをオフにします。

ステップ 5

次のオプションのいずれかを選択します。

  • ASA がアドレスを割り当てなかった IP トラフィックをドロップする場合は、[無効(Disable)] をクリックします。

  • その IP トラフィックをクリア テキストで送信する場合は、[有効(Enable)] をクリックします。

ステップ 6

[OK] をクリックします。

ステップ 7

[適用(Apply)]をクリックします。

スプリット トンネリングの設定

スプリット トンネリングは、[ネットワーク(クライアント)アクセス(Network (Client) Access)] グループ ポリシーに設定します。『Cisco ASA Series VPN Configuration Guide』の「Configure Split Tunneling for AnyConnect Traffic」の項を参照してください。

ASDM でグループ ポリシーに変更を加えたら、[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [AnyConnect 接続プロファイル(AnyConnect Connection Profiles)] > [追加/編集(Add/Edit)] > [グループ ポリシー(Group Policy)] で、グループ ポリシーを接続プロファイルに関連付けてください。

ダイナミック スプリット トンネリングについて

ダイナミック スプリット トンネリングは、ASDM グループ ポリシー設定で [次のネットワークリストを除外(Exclude Network List Below)] または [次のネットワークリストをトンネリング(Tunnel Network List Below)] オプションを使用して設定される現在のスプリット トンネリング オプションを強化するために設計されました。スプリット トンネリングを定義するために通常使用される静的な包含または除外と違い、ダイナミック スプリット トンネリングでの包含または除外は、特定のサービスに関するトラフィックを VPN トンネリングから除外するまたは VPN トンネリングに包含する必要があるシナリオに対応しています。IP プロトコルごとに個別のスプリット トンネリング設定を構成できます。たとえば、IPv4 にダイナミック スプリット包含トンネリング(IPv4 スプリット包含ドメインやダイナミック スプリット包含ドメインなど)を有効にし、IPv6 にダイナミック スプリット除外トンネリング(IPv6 トンネルオール ドメインやダイナミック スプリット除外ドメインなど)を有効にできます。さらに、AnyConnect リリース 4.6 では、拡張ダイナミック スプリット トンネリングが追加されました。ダイナミック スプリット除外ドメインとダイナミック スプリット包含ドメインの両方が拡張ドメイン名の一致に指定されています。

ダイナミック スプリット除外トンネリング:複数のクラウド ベースのサービスが同じ IP プールにホストされており、ユーザの場所またはクラウド上のコンピュータ資源の負荷に応じて異なる IP アドレスへと解決される場合があります。そのようなサービスのうち 1 つだけを VPN トンネルから除外したい場合、管理者が静的な除外を使用してそのためのポリシーを定義するのは、特に ISP NAT、6to4、4to6 などのネットワーク変換スキームも考慮される場合は困難です。ダイナミック スプリット除外トンネリングでは、トンネルの確立後に、ホストの DNS ドメイン名に基づいて動的にスプリット除外トンネリングをプロビジョニングできます。たとえば、VPN 管理者は、実行時に example.com を VPN トンネルから除外するように設定できます。VPN トンネルがアップしているときにアプリケーションが mail.example.com に接続しようとすると、VPN クライアントは、自動的にシステム ルーティング テーブルとフィルタを変更し、トンネル外部への接続を許可します。

拡張ダイナミック スプリット除外トンネリング:ダイナミック スプリット除外トンネリングがダイナミック スプリット除外ドメインとダイナミック スプリット包含ドメインの両方で設定されている場合、VPN トンネルから動的に除外されたトラフィックは少なくとも 1 つのダイナミック スプリット除外ドメインに一致する必要がありますが、ダイナミック スプリット包含ドメインに一致する必要はありません。たとえば、VPN 管理者がダイナミック スプリット除外ドメイン example.com とダイナミック スプリット包含ドメイン mail.example.com を設定した場合、mail.example.com 以外のすべての example.com トラフィックはトンネリングから除外されます。

ダイナミック スプリット包含トンネリング:ダイナミック スプリット包含トンネリングでは、トンネルの確立後に、ホストの DNS ドメイン名に基づいて動的にスプリット包含トンネリングをプロビジョニングできます。たとえば、VPN 管理者は、実行時に domain.com を VPN トンネルに含めるように設定できます。VPN トンネルがアップしているときにアプリケーションが www.domain.com に接続しようとすると、VPN クライアントは、自動的にシステム ルーティング テーブルとフィルタを変更し、VPN トンネル内部での接続を許可します。

拡張ダイナミック スプリット包含トンネリング:ダイナミック スプリット包含トンネリングがダイナミック スプリット包含ドメインとダイナミック スプリット除外ドメインの両方で設定されている場合、VPN トンネルに動的に包含されたトラフィックは少なくとも 1 つのダイナミック スプリット包含ドメインに一致する必要がありますが、ダイナミック スプリット除外ドメインに一致する必要はありません。たとえば、VPN 管理者が domain.com をスプリット包含ドメインとして、www.domain.com をスプリット除外ドメインとして設定した場合、www.domain.com 以外のすべての domain.com トラフィックがトンネリングされます。


(注)  

ダイナミック スプリット トンネリングは、Linux ではサポートされていません。

スタティック スプリット トンネリングとダイナミック スプリット トンネリングの相互運用性

静的な除外と動的な除外は共存可能です。スタティック スプリット トンネリングはトンネルの確立時に適用され、ダイナミック スプリット トンネリングは、トンネルが接続済みとなっているときにドメインへのトラフィックが発生すると適用されます。

ダイナミック スプリット除外トンネリング

ダイナミック スプリット除外トンネリングは、「tunnel all」、「split include」、および「split exclude」トンネリングに適用されます。

  • すべてのネットワークをトンネリングする:VPN トンネルからの除外は、すべて動的です。

  • 特定のネットワークを除外する:事前設定された静的な除外に動的な除外が追加されます。

  • 特定のネットワークを包含する:除外されるホスト名の IP アドレスのうち、スプリットを含むネットワークと重複する場合のみ、動的な除外が適用されます。それ以外の場合、トラフィックは VPN トンネルからすでに除外されているため、動的な除外は行われません。

拡張ダイナミック スプリット除外トンネリングは、「tunnel all」および「split exclude」トンネリングに適用されます。ダイナミック スプリット除外ドメインとダイナミック スプリット包含ドメインの両方、およびスプリット包含トンネリングが設定されている場合、その結果の設定は拡張ダイナミック スプリット包含トンネリングになります。

ダイナミック スプリット包含トンネリング

ダイナミック スプリット包含トンネリングは、スプリット包含設定にのみ適用されます。

拡張ダイナミック スプリット包含トンネリングは、スプリット包含設定にのみ適用されます。


(注)  

Umbrella ローミング セキュリティによる保護は、スタティックまたはダイナミック スプリット トンネリングのいずれかが有効になっていると、アクティブになります。Umbrella クラウド リゾルバは、到達可能であり、かつ、VPN トンネルによるプローブが可能である場合を除き、VPN トンネルから静的に包含または除外することが必要となる場合があります。

スプリット トンネリング設定をともなう重複シナリオの結果

動的な包含または除外の対象は、まだ包含または除外されていない IP アドレスのみです。静的トンネリングおよび何らかの形式の動的トンネリングの両方が適用されており、新たな包含または除外を強制する必要がある場合、すでに適用された包含または除外との衝突が発生する可能性があります。動的な除外(除外されるドメイン名と一致する DNS 応答の一部となっているすべての IP アドレスが対象)が実行される場合、除外において考慮されるのは、まだ除外されていないアドレスのみです。同様に、動的な包含(包含されるドメイン名と一致する DNS 応答の一部となっているすべての IP アドレスが対象)が実行される場合、包含において考慮されるのは、まだ包含されていないアドレスのみです。

静的なパブリック ルート(セキュア ゲートウェイ ルートなどのスプリット除外ルートやクリティカル ルートなど)は、ダイナミック スプリット包含ルートよりも優先されます。そのため、動的な包含の少なくとも 1 つの IP アドレスが静的なパブリック ルートと一致する場合、動的な包含は強制されません。

同様に、静的スプリット包含ルートはダイナミック スプリット除外ルートよりも優先されます。そのため、動的な除外の少なくとも 1 つの IP アドレスが静的スプリット包含ルートと一致する場合、動的な除外は強制されません。

ダイナミック スプリット トンネリングの使用状況の通知

VPN トンネルの接続中は、ダイナミック スプリット トンネリングに何が設定されているかをいくつかの方法で確認できます。

  • [統計(Statistics)] タブ:ASN グループ ポリシーで設定されている VPN トンネルから除外された、または VPN トンネルに包含されたドメイン名を含むダイナミック トンネル除外およびダイナミック トンネル包含が表示されます。

  • [エクスポート統計(Export Stats)]:VPN トンネリングから除外された、または VPN トンネリングに包含されたドメイン名と、IPv4 と IPv6 の両方のトンネル モードを含むファイルが生成されます。ダイナミック ルートもエクスポートされた統計に含まれます。

  • [ルートの詳細(Route Details)] タブ:除外または包含された各 IP アドレスに対応するホスト名を持つ IPv4 および IPv6 ダイナミック スプリット除外および包含ルートが表示されます。


    (注)  

    AnyConnect UI には、AnyConnect VPN が実現する保護されたルートまたは保護されていないルートが、IP プロトコルにつき最大 200 個表示されます。ルートの数が 200 を超えると、切り捨てが発生します。すべてのルートを表示するには、Windows では route print を実行し、Linux または macOS では netstat -rn を実行します。

  • VPN の設定ログ メッセージ:VPN トンネルから除外された、または VPN トンネルに包含されたドメインの数が示されます。

スプリット DNS

スプリット DNS が [ネットワーク(クライアント)アクセス(Network (Client) Access)] グループ ポリシーに設定されている場合、AnyConnect は、特定の DNS クエリーをプライベート DNS サーバ(同様にグループ ポリシーに設定)にトンネルします。他の DNS クエリーはすべて DNS 解決のためのクライアント オペレーティング システムの DNS リゾルバにクリア テキストで送信されます。スプリット DNS が設定されていない場合、AnyConnect はすべての DNS クエリーをトンネルします。

スプリット DNS の要件

スプリット DNS は、標準クエリーおよび更新クエリー(A、AAAA、NS、TXT、MX、SOA、ANY、SRV、PTR、CNAME など)をサポートしています。トンネリングされたネットワークのいずれかに一致する PTR クエリーは、トンネル経由で許可されます。

AnyConnect スプリット DNS は、Windows と macOS プラットフォームでサポートされています。

macOS の場合、AnyConnect は、次のいずれかの条件を満たす場合のみ、ある IP プロトコルのトゥルー スプリット DNS を使用できます。

  • グループ ポリシーで、スプリット DNS が 1 つの IP プロトコル(IPv4 など)に設定されており、クライアント バイパス プロトコルがもう片方の IP プロトコル(IPv6 など)に設定されている(後者の IP プロトコルにはアドレス プールは設定されていない)。

  • スプリット DNS が両方の IP プロトコルに設定されている。

スプリット DNS の設定

グループ ポリシーにスプリット DNS を設定するには、次の手順を実行します。

手順
ステップ 1

少なくとも 1 つの DNS サーバを設定します。

Cisco ASA Series VPN Configuration Guide』の「Configure Server Attributes for an Internal Group Policy」の項を参照してください。

指定したプライベート DNS サーバが、クライアント プラットフォームに設定されている DNS サーバとオーバーラップしていないことを確認します。オーバーラップしていると、名前解決が正しく動作せず、クエリーがドロップされる可能性があります。

ステップ 2

Split-Include トンネリングを設定します。

[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] > [詳細(Advanced)] > [スプリット トンネリング(Split Tunneling)] ペインで、[次のトンネル ネットワーク リスト(Tunnel Network List Below)] を選択し、[ネットワーク リスト(Network List)] にトンネルするアドレスを指定します。

スプリット DNS は、[次のネットワーク リストを除外(Exclude Network List Below)] スプリット トンネリング ポリシーをサポートしません。[次のトンネル ネットワーク リスト(Tunnel Network List Below)] スプリット トンネリング ポリシーを使用して、スプリット DNS を設定します。

ステップ 3

スプリット DNS を設定します。

[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループ ポリシー(Group Policies)] > [詳細(Advanced)] > [スプリット トンネリング(Split Tunneling)] ペインで、[トンネルですべての DNS ルックアップを送信する(Send All DNS lookups through tunnel)] をオフにし、クエリーがトンネルされるドメインの名前を [DNS 名(DNS Names)] に指定します。

次のタスク

ASDM でグループ ポリシーに変更を加えたら、[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [AnyConnect 接続プロファイル(AnyConnect Connection Profiles)] > [追加/編集(Add/Edit)] > [グループ ポリシー(Group Policy)] で、グループ ポリシーを接続プロファイルに関連付けてください。

AnyConnect ログを使用したスプリット DNS の確認

スプリット DNS が有効であることを確認するには、AnyConnect のログで、「Received VPN Session Configuration Settings」が含まれたエントリを検索します。このエントリは、スプリット DNS が有効であることを示します。IPv4 と IPv6 のスプリット DNS 用に別々のログ エントリがあります。

スプリット DNS を使用しているドメインの確認

ドメイン名解決には、オペレーティング システムの DNS リゾルバに依存するあらゆるツールまたはアプリケーションを使用できます。たとえば、ping または Web ブラウザを使用してスプリット DNS ソリューションをテストできます。nslookup または dig などのその他のツールは、OS DNS リゾルバを回避します。

クライアントを使用して、どのドメインがスプリット DNS に使用されているかを確認する手順は次のとおりです。

手順
ステップ 1

ipconfig/all を実行して、DNS サフィックス検索リストの横にリストされたドメインを記録します。

ステップ 2

VPN 接続を確立し、DNS サフィックス検索リストの横にリストされたドメインを再度確認します。

トンネルを確立した後に追加されたドメインは、スプリット DNS で使用されるドメインです。

(注)   

このプロセスは、ASA からプッシュされたドメインと、クライアント ホストで設定済みのドメインがオーバーラップしていないことを前提としています。

VPN 認証の管理

重要なセキュリティ上の考慮事項

  • セキュア ゲートウェイ上での自己署名証明書の使用はお勧めしません。理由は、ユーザが誤って不正なサーバ上の証明書を信頼するようにブラウザを設定する可能性があるため、また、ユーザがセキュア ゲートウェイに接続する際に、セキュリティ警告に応答する手間がかかるためです。

  • 以下の理由があるため、AnyConnect クライアントに対する厳格な証明書トラストを有効にすることを、強くお勧めします。

    を設定するには、ローカル ポリシー パラメータと値の「ローカル ポリシー パラメータと値」の項を参照してください。

サーバ証明書処理の設定

サーバ証明書の確認

  • (Windows のみ)SSL 接続と IPsec VPN 接続の両方で、証明書失効リスト(CRL)チェックを実行するオプションがあります。プロファイル エディタで有効にすると、AnyConnect はチェーン内のすべての証明書を対象とした最新の CRL を取得します。AnyConnect は次に、当該証明書がこれらの信頼できなくなった失効証明書に含まれているかどうかを確認します。認証局によって失効された証明書であることが判明すると、AnyConnect は接続しません。詳細は、ローカル ポリシー パラメータと値を参照してください。

  • サーバ証明書が設定された ASA にユーザが接続する場合、信頼チェーン(ルートや中間など)に問題があっても、その証明書を信頼し、インポートするためのチェックボックスは表示されます。証明書にそれ以外の問題がある場合、そのチェックボックスは表示されません。

  • FQDN によって実行される SSL 接続では、FQDN を使用した初期検証に失敗した場合、名前検証のために FQDN が IP アドレスに解決されず、セカンダリ サーバの証明書検証が行われません。

  • IPSec および SSL 接続では、サーバ証明書にキーの使用状況が含まれる場合、属性に DigitalSignature および(KeyAgreement または KeyEncipherment)が含まれている必要があります。サーバ証明書に EKU が含まれている場合は、属性に serverAuth(SSL および IPSec の場合)または ikeIntermediate(IPsec の場合のみ)が含まれている必要があります。サーバ証明書がなくても、KU または EKU を受け入れることができることに注意してください。

  • IPsec および SSL 接続は、サーバ証明書で名前の検証を実行します。IPsec および SSL 名前検証のために次のルールが適用されます。

    • Subject Alternative Name 拡張子が関連する属性に含まれる場合、名前検証は Subject Alternative Name に対してのみ実行されます。関連する属性には、すべての証明書の DNS Name 属性や、接続が IP アドレスに対して実行される場合は、IP アドレスの属性などが含まれます。

    • Subject Alternative Name 拡張子がない場合、または、あっても関連する属性が含まれていない場合、名前検証は、証明書の Subject で見つかった Common Name 属性に対して実行されます。

    • 証明書が名前検証の目的でワイルドカードを使用する場合、そのワイルドカードは最初(左端)のサブドメインのみに含まれなければならず、他に追加する場合はサブドメインの最後(右端)の文字でなければなりません。このルールに準拠していないワイルドカードのエントリは、名前検証の目的では無視されます。

  • OS X の場合、期限切れの証明書は、キーチェーン アクセスで [有効期限の切れた証明書を表示(Show Expired Certificates)] が設定されている場合にのみ表示されます。期限切れの証明書は、ユーザの混乱を招く可能性があるため、デフォルトでは表示されません。

無効なサーバ証明書の処理

非信頼ネットワーク上のモバイル ユーザを狙った攻撃の増加に対応して、シスコは重大なセキュリティ違反を防ぐため、クライアントのセキュリティ保護を強化しました。デフォルトのクライアントの動作は、中間者攻撃に対する追加の防御レイヤを提供するように変更されました。

ユーザ対話

ユーザがセキュア ゲートウェイに接続しようとしたときに証明書エラーがある場合(期限切れ、無効な日付、キーの誤用、または CN の不一致による)、[設定の変更(Change Settings)] および [安全を確保(Keep Me Safe)] ボタンを含む赤色のダイアログがユーザに表示されます。


(注)  

Linux のダイアログは、このマニュアルに示すものと異なる場合があります。

  • [安全を確保(Keep Me Safe)] をクリックすると、接続が解除されます。

  • [設定の変更(Change Settings)] をクリックすると、AnyConnect の [詳細(Advanced)] > [VPN] > [プリファレンス(Preferences)] ダイアログが開きます。ここで、ユーザは非信頼サーバへの接続を有効にできます。現在の接続の試行がキャンセルされます。

ユーザが、[信頼されていないサーバへの接続をブロック(Block connections to untrusted servers)] をオフにして、証明書に関する問題が CA が信頼できないことのみである場合、次回ユーザがこのセキュア ゲートウェイに接続しようとするときは、ユーザに証明書ブロック エラーのダイアログは表示されず、次のダイアログのみが表示されます。

ユーザが [常にこの VPN サーバを信頼し、証明書をインポートする(Always trust this VPN server and import the certificate)] をオンにしている場合、このセキュア ゲートウェイへの今後の接続時に、ユーザの続行を確認するプロンプトは表示されません。


(注)  

ユーザが、AnyConnect の [詳細(Advanced)] > [VPN] > [設定(Preferences)] で [信頼されていないサーバへの接続をブロック(Block connections to untrusted servers)] をオンにしている場合、または、ユーザの設定が注意事項と制約事項の項で説明されているモードのリストのいずれかの条件と一致する場合、AnyConnect は、プロファイルエディタの [厳格な証明書トラスト(Strict Certificate Trust)] オプションが有効になっているかどうかに関係なく、無効なサーバ証明書と信頼できないサーバへの接続を拒否します。

改善されたセキュリティ動作

クライアントが無効なサーバ証明書を受け入れると、その証明書はクライアントの証明書ストアに保存されます。以前は、証明書のサムプリントだけが保存されました。ユーザが無効なサーバ証明書を常に信頼してインポートすることを選択した場合のみ、無効な証明書が保存されることに注意してください。

エンド ユーザの安全性が自動的に損なわれる管理上の優先操作はありません。先行するセキュリティ上の判断をエンド ユーザから完全に排除するには、ユーザのローカル ポリシー ファイルで [厳格な証明書トラスト(Strict Certificate Trust)] を有効にします。[厳格な証明書トラスト(Strict Certificate Trust)] が有効である場合、ユーザにはエラー メッセージが表示され、接続が失敗します。ユーザ プロンプトは表示されません。

ローカル ポリシー ファイルでの厳格な証明書トラストの有効化については、ローカル ポリシー パラメータと値の「AnyConnect ローカル ポリシー パラメータと値」の項を参照してください。

注意事項と制約事項

無効なサーバ証明書は、次の場合に拒否されます。

  • AnyConnect VPN クライアント プロファイルで [常時接続(Always On)] が有効になっており、適用されたグループ ポリシーまたは DAP によりオフにされていない。

  • クライアントに、厳格な証明書トラストが有効なローカル ポリシーがある。

  • AnyConnect でログイン前の起動が設定されている。

  • マシン証明書ストアからのクライアント証明書が認証に使用されている。

Certificate-Only 認証の設定

ユーザ名とパスワードを使用して AAA でユーザを認証するか、デジタル証明書で認証するか(または、その両方を使用するか)を指定する必要があります。証明書のみの認証を設定すると、ユーザはデジタル証明書で接続でき、ユーザ ID とパスワードを入力する必要がなくなります。

複数のグループを使用する環境で証明書のみの認証をサポートする場合は、複数のグループ URL をプロビジョニングします。各グループ URL には、さまざまなクライアント プロファイルとともに、グループ固有の証明書マップを作成するためのカスタマイズ済みデータの一部が含まれます。たとえば、ASA に開発部の Department_OU 値をプロビジョニングし、このプロセスによる証明書が ASA に提供されたときに、このグループにユーザを配置するようにできます。


(注)  

セキュア ゲートウェイに対してクライアントを認証するために使用される証明書は有効であり、(CA によって署名された)信頼できるものである必要があります。自己署名されたクライアント証明書は受け入れられません。

手順

ステップ 1

[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [AnyConnect 接続プロファイル(AnyConnect Connection Profiles)] を選択します。接続プロファイルを選択し、[編集(Edit)] をクリックします。[AnyConnect 接続プロファイルの編集(Edit AnyConnect Connection Profile)] ウィンドウが開きます。

ステップ 2

選択されていない場合は、ウィンドウの左ペインにあるナビゲーション ツリーの [基本(Basic)] ノードをクリックします。ウィンドウの右ペインにある [認証(Authentication)] 領域で、[証明書(Certificate)] 方式を有効にします。

ステップ 3

[OK] をクリックし、変更を適用します。

証明書登録の設定

Cisco AnyConnect Secure Mobility Clientは、Simple Certificate Enrollment Protocol(SCEP)を使用して、クライアント認証の一部として証明書をプロビジョニングおよび更新します。SCEP を使用した証明書の登録は、ASA への AnyConnect IPsec および SSL VPN 接続で次のようにサポートされます。

  • SCEP プロキシ:ASA はクライアントと認証局(CA)間の SCEP 要求と応答のプロキシとして機能します。

    • クライアントが CA に直接アクセスしないため、CA は、AnyConnect クライアントではなく ASA にアクセスできる必要があります。

    • 登録は、クライアントにより常に自動的に開始されます。ユーザの介入は必要ありません。

SCEP プロキシの登録と動作

次の手順では、AnyConnect および ASA が SCEP プロキシ用に設定されている場合に、証明書が取得され、証明書ベースの接続が確立された方法について説明します。

  1. ユーザは、証明書と AAA 認証の両方用に設定された接続プロファイルを使用して、ASA ヘッドエンドに接続します。ASA は、クライアントからの認証用に証明書と AAA クレデンシャルを要求します。

  2. ユーザが AAA クレデンシャルを入力しますが、有効な証明書は使用可能ではありません。この状況は、入力された AAA クレデンシャルを使用してトンネルが確立された後で、クライアントが自動 SCEP 登録要求を送信するトリガーになります。

  3. ASA が CA に対して登録要求を転送し、CA の応答をクライアントに返します。

  4. SCEP 登録が成功すると、クライアントにユーザに対する(設定可能な)メッセージが表示され、現行のセッションが接続解除されます。ユーザは、証明書認証を使用して、ASA トンネル グループに接続できます。

    SCEP 登録に失敗した場合、クライアントにユーザに対する(設定可能な)メッセージが表示され、現行のセッションが接続解除されます。ユーザは自分の管理者に連絡する必要があります。

他の SCEP プロキシの動作上の考慮事項:

  • そうするように設定されている場合、ユーザが介入することなく、期限切れになる前に証明書がクライアントにより自動的に更新されます。

  • SCEP プロキシ登録は、SSL と IPSec トンネルの両方の証明書認証に SSL を使用します。

認証局の要件

  • IOS CS、Windows Server 2003 CA、および Windows Server 2008 CA を含め、すべての SCEP 準拠 CA がサポートされています。

  • CA は自動付与モードである必要があります。証明書のポーリングはサポートされません。

  • 一部の CA について、セキュリティを強化するために、電子メールで登録パスワードをユーザに送信するように設定できます。CA パスワードは、ユーザを識別するための認証局に送信されるチャレンジ パスワードまたはトークンです。このパスワードはその後、AnyConnect クライアント プロファイルで設定できます。これは、CA が証明書を付与する前に確認する、SCEP 要求の一部になります。

証明書登録のガイドライン

  • ASA へのクライアントレス(ブラウザ ベース)VPN アクセスは、SCEP プロキシをサポートしていませんが、WebLaunch(クライアントレス起動 AnyConnect)がサポートされます。

  • ASA ロード バランシングは、SCEP 登録でサポートされます。

  • ASA は、クライアントから受信した要求を記録しますが、登録が失敗した理由は表示しません。接続の問題は、CA またはクライアントでデバッグされる必要があります。

  • 証明書のみの認証および ASA での証明書マッピング:

    複数のグループを使用する環境で証明書のみの認証をサポートする場合は、複数のグループ URL をプロビジョニングします。各グループ URL には、さまざまなクライアント プロファイルとともに、グループ固有の証明書マップを作成するためのカスタマイズ済みデータの一部が含まれます。たとえば、ASA に開発部の Department_OU 値をプロビジョニングし、このプロセスによる証明書が ASA に提供されたときに、このトンネル グループにユーザを配置するようにできます。

  • ポリシーを適用するための登録接続の特定:

    ASA で、登録接続を捕捉し、選択された DAP レコードの適切なポリシーを適用するために、aaa.cisco.sceprequired 属性が使用されます。

  • Windows 証明書の警告:

    Windows クライアントが最初に認証局から証明書を取得しようとした際に、警告される可能性があります。プロンプトが表示されたら、[はい(Yes)] をクリックしてください。これにより、ルート証明書をインポートできます。クライアント証明書との接続に影響しません。

SCEP プロキシ証明書登録の設定

SCEP プロキシ登録用 VPN クライアント プロファイルの設定

手順
ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [証明書の登録(Certificate Enrollment)] を選択します。

ステップ 2

[証明書の登録(Certificate Enrollment)] を選択します。

ステップ 3

登録証明書で、要求する [証明書の内容(Certificate Contents)] を設定します。証明書フィールドの定義については、「AnyConnect プロファイル エディタの [証明書の登録(Certificate Enrollment)]」を参照してください。

(注)   

  • %machineid% を使用した場合は、デスクトップ クライアントに Hostscan/Posture がロードされます。

  • モバイル クライアントの場合、証明書フィールドのうち少なくとも 1 つを指定する必要があります。

SCEP プロキシ登録をサポートするための ASA の設定

SCEP プロキシのため、1 つの ASA 接続プロファイルは、証明書登録および認証された VPN 接続をサポートします。

手順
ステップ 1

グループ ポリシー(例:cert_group)を作成します。次のフィールドを設定します。

  • [一般(General)] で、[SCEP フォワーディング URL(SCEP Forwarding URL)] に CA への URL を入力します。

  • [詳細(Advanced)] > [AnyConnect クライアント(AnyConnect Client)] ペインで、[ダウンロードするクライアント プロファイルの継承(Inherit for Client Profiles to Download)] をオフにし、SCEP プロキシ用に設定されたクライアント プロファイルを指定します。たとえば、ac_vpn_scep_proxy クライアント プロファイルを指定します。

ステップ 2

証明書の登録および接続を認証した証明書(例:cert_tunnel)用の接続プロファイルを作成します。

  • [認証(Authentication)]:Both(AAA および Certificate)。

  • デフォルトのグループ ポリシー:cert_group。

  • [詳細(Advanced)] > [一般(General)] で、[この接続プロファイルへの SCEP 登録を有効にする(Enable SCEP Enrollment for this Connction Profile)] をオンにします。

  • [詳細(Advanced)] > [グループエイリアス/グループ URL(GroupAlias/Group URL)] で、この接続プロファイルのグループ(cert_group)が含まれるグループ URL を作成します。

SCEP 用の Windows 2008 Server の認証局の設定

認証局ソフトウェアが Windows 2008 サーバで実行されている場合、AnyConnect で SCEP がサポートされるように次のいずれかの設定変更を行う必要があります。

認証局での SCEP パスワードの無効化

次の手順は、クライアントが SCEP 登録の前にアウトオブバンド パスワードを提供せずに済むように、SCEP チャレンジ パスワードを無効にする方法について説明します。

手順
ステップ 1

認証局サーバで、レジストリ エディタを起動します。これを行うには、[スタート(Start)] > [ファイル名を指定して実行(Run)] を選択し、regedit と入力して [OK] をクリックします。

ステップ 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\EnforcePassword に移動します。

EnforcePassword キーが存在しない場合は、新しいキーとして作成します。

ステップ 3

EnforcePassword を編集し、「0」に設定します。存在しない場合は、REG-DWORD として作成します。

ステップ 4

regedit を終了し、認証局サーバをリブートします。

認証局での SCEP テンプレートの設定

以下の手順では、証明書のテンプレートを作成する方法、およびこれをデフォルト SCEP テンプレートとして割り当てる方法について説明します。

手順
ステップ 1

サーバ マネージャを起動します。これは、[スタート(Start)] > [管理ツール(Admin Tools)] > [サーバ マネージャー(Server Manager)] を選択することで実行できます。

ステップ 2

[役割(Expand Roles)] > [証明書サービス(Certificate Services)](または [Active Directory 証明書サービス(AD Certificate Services)])を展開します。

ステップ 3

CA の名前 > [証明書テンプレート(Certificate Templates)] に移動します。

ステップ 4

[証明書テンプレート(Certificate Templates)] > [管理(Manage)] を右クリックします。

ステップ 5

[証明書テンプレート コンソール(Cert Templates Console)] から、ユーザ テンプレートを右クリックして [複製(Duplicate)] を選択します。

ステップ 6

新しいテンプレートの [Windows Server 2008] バージョンを選択して、[OK] をクリックします。

ステップ 7

テンプレートの表示名を、NDES IPsec SSL など、具体的な説明に変更します。

ステップ 8

サイトの有効期間を調整します。ほとんどのサイトでは、証明書の期限切れを避けるために 3 年以上を選択します。

ステップ 9

[暗号化(Cryptography)] タブで、展開の最小キー サイズを設定します。

ステップ 10

[サブジェクト名(Subject Name)] タブで、[要求に含まれる(Supply in Request)] を選択します。

ステップ 11

[拡張機能(Extensions)] タブで、[アプリケーションのポリシー(Application Policies )] に少なくとも次が含まれるように設定します。

  • クライアント認証

  • IP セキュリティ末端システム

  • IP セキュリティ IKE 中間

  • IP セキュリティ トンネル終端

  • IP セキュリティ ユーザ

これらの値は、SSL または IPSec に有効です。

ステップ 12

[適用(Apply)] をクリックして、次に [OK] をクリックして新しいテンプレートを保存します。

ステップ 13

サーバ マネージャから [証明書サービス(Certificate Services)] に移動して CA の名前を選択し、[証明書テンプレート(Certificate Templates)] を右クリックします。[新規(New )] > [発行する証明書テンプレート(Certificate Template to Issue)] を選択し、作成した新しいテンプレートを選択します(この例では NDES-IPSec-SSL)。次に、[OK] をクリックします。

ステップ 14

レジストリを編集します。これは、[スタート(Start)] > [ファイル名を指定して実行(Run)] で regedit と入力し、[OK] をクリックすることで実行できます。

ステップ 15

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP に移動します。

ステップ 16

次の 3 つのキーの値を、NDES-IPSec-SSL に設定します。

  • EncryptionTemplate

  • GeneralPurposeTemplate

  • SignatureTemplate

ステップ 17

[保存(Save)] をクリックして、認証局サーバをリブートします。

証明書失効通知の設定

認証証明書が間もなく期限切れになることをユーザに警告するよう AnyConnect を設定します。[証明書失効しきい値(Certificate Expiration Threshold)] の設定では、AnyConnect がユーザに対して証明書の失効が近づいていることを証明書の有効期限の何日前に警告するかを指定します。AnyConnect は、証明書が実際に期限切れか、新しい証明書が取得されるまで、ユーザが接続するたびに警告します。


(注)  

RADIUS 登録では、[証明書失効しきい値(Certificate Expiration Threshold)] 機能は使用できません。

手順

ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [証明書の登録(Certificate Enrollment)] を選択します。

ステップ 2

[証明書の登録(Certificate Enrollment)] を選択します。

ステップ 3

[証明書失効しきい値(Certificate Expiration Threshold)] を指定します。

AnyConnect がユーザに対して証明書の失効が近づいていることを証明書の有効期限の何日前に警告するかを示す数字です。

デフォルトは 0(警告は表示しない)です。範囲は 0 ~ 180 日です。

ステップ 4

[OK] をクリックします。

証明書選択の設定

次の手順では、クライアント システムで証明書を検索する方法および証明書を選択する方法を設定する、AnyConnect プロファイル内のすべての場所を示します。いずれの手順も必須ではなく、条件を指定しなかった場合、AnyConnect はデフォルトのキー照合を使用します。

Windows では、AnyConnect はブラウザの証明書ストアを読み取ります。Linux の場合、プライバシー強化メール(PEM)形式のファイル ストアを作成する必要があります。macOS の場合、プライバシー強化メール(PEM)形式のファイル ストアまたはキーチェーンを使用できます。

手順

ステップ 1

Windows および macOS の場合:使用する証明書ストアの設定

VPN クライアント プロファイルに AnyConnect で使用される証明書ストアを指定します。

ステップ 2

Windows のみ:Windows ユーザに認証証明書の選択を求めるプロンプトの表示

ユーザに有効な証明書のリストを示すように AnyConnect を設定し、ユーザがセッションの認証にその証明書を選択できるようにします。

ステップ 3

macOS および Linux 環境の場合: macOS および Linux での PEM 証明書ストアの作成

ステップ 4

macOS および Linux 環境の場合:VPN ローカル ポリシー プロファイルで除外する証明書ストアを選択します。

ステップ 5

証明書照合の設定

ストアの証明書を検索する場合に、AnyConnect が照合を試みるキーを設定します。キー(拡張キー)を指定し、カスタム拡張キーを追加できます。また、AnyConnect が照合する識別名に演算子の値のパターンを指定できます。

使用する証明書ストアの設定

Windows および macOS では、AnyConnect が VPN クライアント プロファイルで使用するための別の証明書ストアが提供されます。1 つまたは複数の証明書認証の組み合わせが可能で、複数の証明書認証の選択肢のうち特定の VPN 接続において許容されるものをクライアントに指定するようにセキュア ゲートウェイを設定できます。たとえば、ローカル ポリシー ファイルで ExcludeMacNativeCertStore を true に設定(AnyConnect がユーザ ファイル証明書ストアやシステム ファイル証明書ストアなどのファイル証明書ストアのみを使用するよう強制)し、プロファイル ベースの証明書ストアを [ログイン(Login)] に設定(AnyConnect が、ユーザ ファイル ストアに加え、ログイン キーチェーンおよびダイナミック スマートカード キーチェーンなどの証明書ストアのみを使用するよう強制)すると、その組み合わせによるフィルタリングにより、AnyConnect は、厳格にユーザ ファイル証明書ストアを使用するようになります。

コンピュータ上で管理者権限を持つユーザは、両方の証明書ストアにアクセスできます。管理者権限を持たないユーザがアクセスできるのは、ユーザ証明書ストアのみです。通常、Windows ユーザには管理者権限がありません。[証明書ストアの上書き(Certificate Store Override)] を選択すると、ユーザに管理者権限がない場合でも、AnyConnect はマシン ストアにアクセスできます。


(注)  
マシン ストアのアクセス制御は、Windows のバージョンとセキュリティ設定によって異なる場合があります。このため、ユーザは管理者権限を持つ場合にも、マシン ストアの証明書を使用できない可能性があります。この場合、[証明書ストアの上書き(Certificate Store Override)] を選択してマシン ストアへのアクセスを許可します。

次の表に、検索対象の [証明書ストア(Certificate Store)] および [証明書ストアの上書き(Certificate Store Override)] のオン/オフに基づいて AnyConnect がクライアントで証明書を検索する方法について説明します。

証明書ストアの設定

証明書ストアの上書きの設定

AnyConnect の検索方法

[すべて(All)](Windows 用)

オフ

AnyConnect は、すべての証明書ストアを検索します。ユーザに管理者権限がない場合、AnyConnect は、マシン ストアにアクセスできません。

この設定は、デフォルトです。この設定は、ほとんどの状況に適しています。変更が必要となる特別な理由またはシナリオ要件がある場合を除いて、この設定は変更しないでください。

[すべて(All)](Windows 用)

オン

AnyConnect は、すべての証明書ストアを検索します。ユーザに管理者権限がない場合、AnyConnect は、マシン ストアにアクセスできます。

[すべて(All)](macOS 用)

オン

AnyConnect は、利用可能なすべての macOS キーチェーンおよびファイル ストアからの証明書を使用します。

[ユーザ(User)](Windows 用)

適用せず

AnyConnect は、ユーザ証明書ストア内のみ検索します。管理者権限のないユーザがこの証明書ストアにアクセスできるため、証明書ストアの上書きは適用されません。

[システム(System)](macOS 用)

オン

AnyConnect は macOS システム キーチェーンとシステム ファイル/PEM ストアからの証明書のみを使用します。macOS システム キーチェーンとシステム ファイル/PEM ストアからの証明書のみを使用します。

[ログイン(Log in)](macOS 用)

オン

AnyConnect は、ユーザ ファイル/PEM ストアに加え、macOS ログイン キーチェーンおよびダイナミック スマートカード キーチェーンからの証明書のみを使用します。
複数証明書認証の使用
始める前に

  • デスクトップ プラットフォーム(Windows、OS X、Linux)でのみサポートされます。

  • VPN プロファイルで AutomaticCertSelection を有効にしている必要があります。

  • VPN プロファイルで設定した証明書照合設定によって、複数証明書認証で使用できる証明書が制限されます。


(注)  

SCEP はサポートされていません。

手順
ステップ 1

[証明書ストア(Certificate Store)] を設定します。

  • 1 マシンおよび 1 ユーザ証明書の場合は、VPN プロファイルで CertificateStore を [すべて(All)] に設定し、ステップ 2 の説明に従って CertficateStoreOverride を有効にします。
  • 2 ユーザ証明書の場合は、VPN プロファイルで CertificateStore を [すべて(All)] または [ユーザ(User)] に設定しますが、ステップ 2 の説明に従って CertificateStoreOverrideはそのままにします。
ステップ 2

ユーザに管理者権限がない場合に AnyConnect にマシン証明書ストアの検索を許可するには、 を選択します。

基本的な証明書認証の使用
手順
ステップ 1

[証明書ストア(Certificate Store)] を設定します。

  • [すべて(All)]:(デフォルト)すべての証明書ストアを使用して証明書を検索するよう AnyConnect クライアントに指示します。

  • [マシン(Machine)]:証明書ルックアップを Windows ローカル マシン証明書ストアに制限するように AnyConnect クライアントに指示します。

  • [ユーザ(User)]:証明書ルックアップをローカル ユーザ証明書ストアに制限するように AnyConnect クライアントに指示します。

ステップ 2

ユーザに管理者権限がない場合に AnyConnect にマシン証明書ストアの検索を許可するには、 を選択します。

Windows ユーザに認証証明書の選択を求めるプロンプトの表示

ユーザに対して有効な証明書のリストを表示し、セッションの認証に使用する証明書をユーザが選択できるように AnyConnect を設定できます。期限切れの証明書は必ずしも無効として見なされるわけではありません。たとえば SCEP を使用している場合、サーバが新しい証明書をクライアントに発行することがあります。期限切れの証明書を削除すると、クライアントがまったく接続できなくなることがあります。この場合、手動による介入とアウトオブバンド証明書配布が必要になります。AnyConnect では、設定されている証明書一致ルールに基づき、セキュリティ関連プロパティ(キーの使用状況、キーのタイプと強度など)に基づいて、クライアント証明書が制限されるだけです。この設定は Windows でのみ使用できます。デフォルトでは、ユーザによる証明書の選択は無効です。

手順
ステップ 1

VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 2)(Preferences (Part 2))] を選択します。

ステップ 2

証明書の選択を有効にするには、[証明書選択を無効にする(Disable Certificate Selection)] チェックボックスをオフにします。

ステップ 3

[詳細(Advanced)] > [VPN] > [プリファレンス(Preferences)] ペインでユーザが自動証明書の選択のオン/オフを切り替えられるようにする場合を除き、[ユーザ制御可(User Controllable)] チェックボックスをオフにします。

macOS および Linux での PEM 証明書ストアの作成

AnyConnect では、プライバシー強化メール(PEM)形式のファイル ストアからの証明書取得がサポートされています。AnyConnect はリモート コンピュータのファイル システムから PEM 形式の証明書ファイルを読み取り、確認と署名を行います。

始める前に

あらゆる条件下でクライアントが適切な証明書を取得するためには、ファイルが次の要件を満たしている必要があります。

  • すべての証明書ファイルは、拡張子 .pem で終わっていること。

  • すべての秘密キー ファイルは、拡張子 .key で終わっていること。

  • クライアント証明書と、それに対応する秘密キーのファイル名が同じであること(client.pem と client.key など)。


    ヒント
    PEM ファイルのコピーを保持する代わりに、PEM ファイルへのソフト リンクを使用できます。

PEM ファイル証明書ストアを作成する場合は、次に示すパスとフォルダを作成します。これらのフォルダに、適切な証明書を配置してください。

PEM ファイル証明書ストアのフォルダ

保存される証明書のタイプ

~/.cisco/certificates/ca

(注)   
.cisco/ はホーム ディレクトリにあります。

信頼できる CA とルート証明書

~/.cisco/certificates/client

クライアント証明書

~/.cisco/certificates/client/private

秘密キー

マシン証明書は、ルート ディレクトリ以外は PEM ファイル証明書と同じです。マシン証明書の場合は、~/.cisco を /opt/.cisco に置き換えてください。それ以外は、パス、フォルダ、および証明書のタイプが適用されます。

証明書照合の設定

AnyConnect では、特定のキーのセットに一致するこれらの証明書に証明書の検索を限定できます。証明書照合は、[証明書照合(Certificate Matching)] ペインの AnyConnect VPN クライアント プロファイルで設定できるグローバル基準です。基準は次のとおりです。

  • [キーの使用状況(Key Usage)]

  • [拡張キーの使用状況(Extended Key Usage)]

  • [識別名(Distinguished Name)]

キーの使用状況の設定

[キーの使用状況(Key Usage)] キーを選択すると、AnyConnect で使用できる証明書が、選択したキーの少なくとも 1 つを持つ証明書に制限されます。サポート対象のセットは、VPN クライアント プロファイルの [キーの使用状況(Key Usage)] リストに一覧表示されており、次が含まれています。

  • DECIPHER_ONLY

  • ENCIPHER_ONLY

  • CRL_SIGN

  • KEY_CERT_SIGN

  • KEY_AGREEMENT

  • DATA_ENCIPHERMENT

  • KEY_ENCIPHERMENT

  • NON_REPUDIATION

  • DIGITAL_SIGNATURE

1 つ以上の基準が指定されている場合、証明書が一致すると見なされるには、少なくとも 1 つの基準が一致している必要があります。

拡張キーの使用状況の設定

[拡張キーの使用状況(Extended Key Usage)] キーを選択すると、AnyConnect で使用できる証明書がこれらのキーを持つ証明書に限定されます。次の表は、既知の制約のセットと、それに対応するオブジェクト ID(OID)をリストにまとめたものです。

制約

OID

ServerAuth

1.3.6.1.5.5.7.3.1

ClientAuth

1.3.6.1.5.5.7.3.2

CodeSign

1.3.6.1.5.5.7.3.3

EmailProtect

1.3.6.1.5.5.7.3.4

IPSecEndSystem

1.3.6.1.5.5.7.3.5

IPSecTunnel

1.3.6.1.5.5.7.3.6

IPSecUser

1.3.6.1.5.5.7.3.7

TimeStamp

1.3.6.1.5.5.7.3.8

OCSPSign

1.3.6.1.5.5.7.3.9

DVCS

1.3.6.1.5.5.7.3.10

IKE Intermediate

1.3.6.1.5.5.8.2.2

カスタム拡張照合キーの設定

その他の OID(本書の例で使用している 1.3.6.1.5.5.7.3.11 など)はすべて、「カスタム」と見なされます。管理者は、既知のセットの中に必要な OID がない場合、独自の OID を追加できます。

証明書識別名の設定

[識別名(Distinguished Name)] の表には、クライアントが使用できる証明書を指定の条件に一致する証明書に限定する証明書 ID、および一致条件が含まれています。条件をリストに追加したり、追加した条件の内容と照合するための値またはワイルドカードを設定したりするには、[追加(Add)] ボタンをクリックします。

ID

説明

CN

SubjectCommonName

SN

SubjectSurName

GN

SubjectGivenName

N

SubjectUnstructName

I

SubjectInitials

GENQ

SubjectGenQualifier

DNQ

SubjectDnQualifier

C

SubjectCountry

L

SubjectCity

SP

SubjectState

ST

SubjectState

O

SubjectCompany

OU

SubjectDept

T

SubjectTitle

EA

SubjectEmailAddr

DC

DomainComponent

ISSUER-CN

IssuerCommonName

ISSUER-SN

IssuerSurName

ISSUER-GN

IssuerGivenName

ISSUER-N

IssuerUnstructName

ISSUER-I

IssuerInitials

ISSUER-GENQ

IssuerGenQualifier

ISSUER-DNQ

IssuerDnQualifier

ISSUER-C

IssuerCountry

ISSUER-L

IssuerCity

ISSUER-SP

IssuerState

ISSUER-ST

IssuerState

ISSUER-O

IssuerCompany

ISSUER-OU

IssuerDept

ISSUER-T

IssuerTitle

ISSUER-EA

IssuerEmailAddr

ISSUER-DC

IssuerDomainComponent

[識別名(Distinguished Name)] には、0 個以上の一致基準を含めることができます。証明書が一致すると見なされるには、指定されているすべての基準に一致している必要があります。[識別名(Distinguished Name)] の一致では、証明書に指定の文字列が含まれている必要があるかどうか、および文字列にワイルドカードを許可するかどうかを指定します。

SAML を使用した VPN 認証

最初のセッション認証に ASA リリース 9.7.1 と統合された SAML 2.0 を使用できます。AnyConnect 4.6 では、組み込みブラウザとの SAML 統合が拡張され、これが以前のリリースからのネイティブ(外部)ブラウザ統合に置き換わります。SAML 認証用に設定されたトンネル グループに接続するときに、AnyConnect は組み込みブラウザ ウィンドウを開いて認証プロセスを完了します。SAML 試行のたびに新しいブラウザ セッションが使用され、ブラウザ セッションは AnyConnect に固有のものとなります(セッション状態は、他のどのブラウザとも共有されません)。各 SAML 認証試行はセッション状態なしで始まりますが、試行間で永続クッキーが保持されます。

プラットフォーム固有の要件

組み込みブラウザで SAML を使用するためには、次のシステム要件を満たす必要があります。

  • Windows:Windows 7(またはそれ以降)、Internet Explorer 11(またはそれ以降)

  • macOS:macOS 10.10(またはそれ以降)(AnyConnect は、macOS 10.11 以降を公式にサポートしています)

  • Linux:WebKitGTK+ 2.1x(それ以降)、Red Hat 7.4(それ以降)および Ubuntu 16.04(それ以降)の公式パッケージ

アップグレード プロセス

ネイティブ(外部)ブラウザ搭載の SAML 2.0 は、AnyConnect 4.4 と AnyConnect 4.5、および ASA リリース 9.7.x、9.8.x、および 9.9.1 で使用できます。組み込みブラウザを搭載した新しい拡張バージョンを使用するには、AnyConnect 4.6 および ASA 9.7.1.24(またはそれ以降)、9.8.2.28(またはそれ以降)、または 9.9.2.1(またはそれ以降)へのアップグレードが必要です。

組み込みブラウザ SAML 統合を備えたヘッドエンドまたはクライアント デバイスをアップグレードまたは展開するときには、次のシナリオに注意してください。

  • AnyConnect 4.6 を最初に展開した場合は、他に何も操作しなくても、ネイティブ(外部)ブラウザと組み込みブラウザの両方の SAML 統合が想定どおりに機能します。AnyConnect を最初に展開するときでも、AnyConnect 4.6 は既存の ASA バージョンも更新された ASA バージョンもサポートします。

  • 更新された ASA バージョン(組み込みブラウザ SAML 統合を搭載)を最初に展開する場合は、続いて AnyConnect をアップグレードする必要があります。デフォルトでは、更新された ASA リリースは、AnyConnect 4.6 よりも前のリリースのネイティブ(外部)ブラウザ SAML 統合と後方互換性がないためです。認証後に既存の AnyConnect 4.4 または 4.5 クライアントのアップグレードが発生し、このアップグレードを行うためには、トンネル グループ設定で saml external-browser コマンドを有効にする必要があります。

SAML を使用する場合は、次の注意事項に従ってください。

  • フェールオーバー モードで常時接続の VPN を使用している場合、外部 SAML IdP はサポートされていません(ただし、内部 SAML IdP を使用すると、ASA はすべてのトラフィックを IdP にプロキシします。また、ASA はサポートされています)。

  • 信頼できないサーバ証明書は、組み込みブラウザでは許可されません。

  • 組み込みブラウザ SAML 統合は、CLI モードまたは SBL モードではサポートされません。

  • (モバイルのみ)単一ログアウトはサポートされていません。

  • Web ブラウザに確立された SAML 認証は AnyConnect と共有されず、その逆も同じです。

  • 設定に応じて、組み込みブラウザ搭載のヘッドエンドに接続するときに、さまざまな方法が使用されます。たとえば、AnyConnect では IPv6 接続よりも IPv4 接続の方が好ましく、組み込みブラウザでは IPv6 の方が好ましい場合もあります。あるいは、その逆もあります。同じく、プロキシを試して障害が発生したのに AnyConnect がどのプロキシにもフォールバックしない場合もあれば、プロキシを試して障害が発生した後で組み込みブラウザがナビゲーションを停止する場合もあります。

  • SAML 機能を使用するためには、ASA の Network Time Protocol(NTP)サーバを IdP NTP サーバと同期する必要があります。

  • ASDM の VPN ウィザードは現在、SAML 設定をサポートしていません。

  • SAML IdP NameID 属性は、ユーザのユーザ名を特定し、認証、アカウンティング、および VPN セッション データベースに使用されます。

  • ユーザが SAML 経由で VPN セッションを確立するたびにアイデンティティ プロバイダー(IdP)による再認証を行う場合は、AnyConnect プロファイル エディタ、プリファレンス(Part 1)で [自動再接続(Auto Reconnect)] を ReconnectAfterResume に設定する必要があります。

  • 組み込みブラウザ搭載の AnyConnect は VPN 試行のたびに新しいブラウザ セッションを使用するため、IDP が HTTP セッション クッキーを使用してログオン状態を追跡している場合には、毎回ユーザの再認証が必要になります。この場合、[設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [クライアントレスSSL VPNアクセス(Clientless SSL VPN Access)] > [詳細(Advanced)] > [シングルサインオンサーバ(Single Sign On Servers)] > の [強制再認証(Force Re-Authentication)] は、AnyConnect が開始した SAML 認証には影響しません。

設定の詳細については、適切なリリース(9.7 以降)の『Cisco ASA Series VPN Configuration Guide』の「SSO Using SAML 2.0」の項を参照してください。

SDI トークン(SoftID)統合を使用した VPN 認証

AnyConnect は、Windows 7 x86(32 ビット)および x64(64 ビット)で動作する RSA SecurID クライアント ソフトウェア バージョン 1.1 以降のサポートを統合します。

RSA SecurID ソフトウェア オーセンティケータは、企業の資産へのセキュアなアクセスのために必要となる管理項目数を減らします。リモート デバイスに常駐する RSA SecurID Software Token は、1 回限定で使用可能なパスコードを 60 秒ごとにランダムに生成します。SDI は Security Dynamics 社製テクノロジーの略称で、ハードウェアとソフトウェアの両方のトークンを使用する、この 1 回限定利用のパスワード生成テクノロジーを意味します。

通常、ユーザはツール トレイの [AnyConnect] アイコンをクリックし、接続する接続プロファイルを選択してから、認証ダイアログボックスに適切なクレデンシャルを入力することで AnyConnect に接続します。ログイン(チャレンジ)ダイアログボックスは、ユーザが属するトンネル グループに設定されている認証タイプと一致しています。ログイン ダイアログボックスの入力フィールドには、どのような種類の入力が認証に必要か明確に示されます。

SDI 認証では、リモート ユーザは AnyConnect ソフトウェア インターフェイスに PIN(個人識別番号)を入力して RSA SecurID パスコードを受け取ります。セキュアなアプリケーションにパスコードを入力すると、RSA Authentication Manager がこのパスコードを確認してユーザにアクセスを許可します。

RSA SecurID ハードウェアまたはソフトウェアのトークンを使用するユーザには、パスコードまたは PIN、PIN、パスコードのいずれかを入力する入力フィールドが表示されます。ダイアログボックス下部のステータス行には、さらにこの点に関連する情報が表示されます。ユーザは、ソフトウェア トークンの PIN またはパスコードを AnyConnect ユーザ インターフェイスに直接入力します。

最初に表示されるログイン ダイアログボックスの外観は、セキュア ゲートウェイの設定によって異なります。セキュア ゲートウェイには、メインのログイン ページ、メインのインデックス URL、トンネル グループのログイン ページ、またはトンネル グループの URL(URL/トンネル グループ)からアクセスできます。メインのログイン ページからセキュア ゲートウェイにアクセスするには、[ネットワーク(クライアント)アクセス(Network (Client) Access)] の [AnyConnect 接続プロファイル(AnyConnect Connection Profiles)] ページで [ユーザに接続の選択を許可する(Allow user to select connection)] チェックボックスをオンにする必要があります。いずれの方法でも、セキュア ゲートウェイはクライアントにログイン ページを送信します。メインのログイン ページにはドロップダウン リストがあり、ここからトンネル グループを選択します。トンネルグループ ログイン ページにはこの表示はありません。トンネルグループは URL で指定されるためです。

(接続プロファイルまたはトンネル グループのドロップダウン リストが表示される)メインのログイン ページの場合、デフォルト トンネル グループの認証タイプによって、パスワードの入力フィールド ラベルの初期設定が決まります。たとえば、デフォルト トンネル グループが SDI 認証を使用する場合、フィールド ラベルは [パスコード(Passcode)] になります。一方で、デフォルト トンネル グループが NTLM 認証を使用する場合、フィールド ラベルは [パスワード(Password)] になります。リリース 2.1 以降では、異なるトンネル グループをユーザが選択しても、フィールド ラベルが動的に更新されることはありません。トンネルグループのログイン ページでは、フィールド ラベルはトンネルグループの要件に一致します。

クライアントは、パスワード入力フィールドへの RSA SecurID Software Token の PIN の入力をサポートします。RSA SecurID Software Token ソフトウェアがインストールされており、トンネルグループ認証タイプが SDI の場合、フィールド ラベルは [パスコード(Passcode)] となり、ステータス バーには、「ユーザ名およびパスコードまたはソフトウェア トークンPINを入力してください(Enter a username and passcode or software token PIN)」と表示されます。PIN を使用すると、同じトンネル グループおよびユーザ名で行う次回のログインからは、フィールド ラベルが [PIN] になります。クライアントは、入力された PIN を使用して RSA SecurID Software Token DLL からパスコードを取得します。認証が成功するたびにクライアントはトンネル グループ、ユーザ名、認証タイプを保存し、保存されたトンネル グループが新たにデフォルトのトンネル グループとなります。

AnyConnect では、すべての SDI 認証でパスコードを使用できます。パスワード入力ラベルが [PIN] の場合でも、ユーザはステータス バーの指示どおりにパスコードを入力することができます。クライアントは、セキュア ゲートウェイにパスコードをそのまま送信します。パスコードを使用すると、同じトンネル グループおよびユーザ名で行う次回のログインからは、ラベルが [Passcode] のフィールドが表示されます。

RSASecureIDIntegration プロファイル設定は、次の 3 つの値のいずれかになります。

  • Automatic:クライアントはまず 1 つの方式を試行し、それが失敗したら別の方式を試行します。デフォルトでは、ユーザ入力がトークン パスコード(HardwareToken)として処理され、これが失敗したら、ユーザ入力がソフトウェア トークン PIN(SoftwareToken)として処理されます。認証が成功すると、成功した方式が新しい SDI トークン タイプとして設定され、ユーザ プリファレンス ファイルにキャッシュされます。SDI トークン タイプは、次回の認証試行でいずれの方式が最初に試行されるかを定義します。通常、現行の認証試行には、最後に成功した認証試行で使用されたトークンと同じものが使用されます。ただし、ユーザ名またはグループの選択を変更した場合は、入力フィールド ラベルに示されている、デフォルトの方式が最初に試行される状態に戻ります。


    (注)  

    SDI トークン タイプは、設定が自動の場合のみ、意味を持ちます。認証モードが自動以外の場合は、SKI トークン タイプのログを無視できます。HardwareToken がデフォルトの場合、次のトークン モードはトリガーされません。

  • SoftwareToken:クライアントは、ユーザ入力を常にソフトウェア トークン PIN として解釈し、入力フィールド ラベルは [PIN:] になります。

  • HardwareToken:クライアントは、ユーザ入力を常にトークン パスコードとして解釈し、入力フィールド ラベルは [Passcode:] になります。


(注)  

AnyConnect では、RSA Software Token クライアント ソフトウェアにインポートした複数のトークンからの、トークンの選択はサポートされていません。その代わりに、クライアントは RSA SecurID Software Token GUI を介してデフォルト選択のトークンを使用します。

SDI 認証交換のカテゴリ

すべての SDI 認証交換は次のいずれかのカテゴリに分類されます。

  • 通常の SDI 認証ログイン

  • 新規ユーザ モード

  • 新規 PIN モード

  • PIN クリア モード

  • 次のトークン コード モード

通常の SDI 認証ログイン

通常ログイン チャレンジは、常に最初のチャレンジです。SDI 認証ユーザは、ユーザ名およびトークン パスコード(ソフトウェア トークンの場合は PIN)を、ユーザ名とパスコードまたは PIN フィールドにそれぞれ指定する必要があります。クライアントはユーザの入力に応じてセキュア ゲートウェイ(中央サイトのデバイス)に情報を返し、セキュア ゲートウェイはこの認証を認証サーバ(SDI または RADIUS プロキシ経由の SDI)で確認します。

認証サーバが認証要求を受け入れた場合、セキュア ゲートウェイは認証が成功したページをクライアントに送信します。これで認証交換が完了します。

パスコードが拒否された場合は認証は失敗し、セキュア ゲートウェイは、エラー メッセージとともに新しいログイン チャレンジ ページを送信します。SDI サーバでパスコード失敗しきい値に達した場合、SDI サーバはトークンを次のトークン コード モードに配置します。

新規ユーザ モード、PIN クリア モード、および新規 PIN モード

PIN のクリアは、ネットワーク管理者だけの権限で、SDI サーバでのみ実行できます。

新規ユーザ モード、PIN クリア モード、新規 PIN モードでは、AnyConnect は、後の「next passcode」ログイン チャレンジで使用するために、ユーザ作成 PIN またはシステムが割り当てた PIN をキャッシュに入れます。

PIN クリア モードと新規ユーザ モードは、リモート ユーザから見ると違いがなく、また、セキュア ゲートウェイでの処理も同じです。いずれの場合も、リモート ユーザは新しい PIN を入力するか、SDI サーバから割り当てられる新しい PIN を受け入れる必要があります。唯一の相違点は、最初のチャレンジでのユーザの応答です。

新規 PIN モードでは、通常のチャレンジと同様に、既存の PIN を使用してパスコードが生成されます。PIN クリア モードでは、ユーザがトークン コードだけを入力するハードウェア トークンとして PIN が使用されることはありません。RSA ソフトウェア トークンのパスコードを生成するために 0 が 8 つ並ぶ PIN(00000000)が使用されます。いずれの場合も、SDI サーバ管理者は、使用すべき PIN 値(ある場合)をユーザに通知する必要があります。

新規ユーザを SDI サーバに追加すると、既存ユーザの PIN をクリアする場合と同じ結果になります。いずれの場合も、ユーザは新しい PIN を指定するか、SDI サーバから割り当てられる新しい PIN を受け入れる必要があります。これらのモードでは、ユーザはハードウェア トークンとして、RSA デバイスのトークン コードのみ入力します。いずれの場合も、SDI サーバ管理者は、使用すべき PIN 値(ある場合)をユーザに通知する必要があります。

新規 PIN の作成

現行の PIN がない場合、システム設定に応じて、次の条件のいずれかを満たすことが、SDI サーバによって要求されます。

  • システムがユーザに新規 PIN を割り当てる必要がある(デフォルト)。

  • ユーザは新規 PIN を作成する必要がある。

  • ユーザは、PIN を作成するか、システムの割り当てを受け入れるかを選択できる。

PIN をリモート ユーザ自身で作成する方法とシステムで割り当てる方法を選択できるように SDI サーバを設定している場合、ログイン画面にはオプションを示すドロップダウン リストが表示されます。ステータス行にプロンプト メッセージが表示されます。

システムが割り当てる PIN の場合、ユーザがログイン ページで入力したパスコードを SDI サーバが受け入れると、セキュア ゲートウェイはシステムが割り当てた PIN をクライアントに送信します。クライアントは、ユーザが新規 PIN を確認したことを示す応答をセキュア ゲートウェイに返し、システムは「next passcode」チャレンジに進みます。

ユーザが新しく PIN を作成するように選択した場合、AnyConnect にこの PIN を入力するためのダイアログボックスが表示されます。PIN は 4 ~ 8 桁の長さの数値にする必要があります。PIN は一種のパスワードであるため、ユーザがこの入力フィールドに入力する内容はアスタリスクで表示されます。

RADIUS プロキシを使用する場合、PIN の確認は、最初のダイアログボックスの次に表示される、別のチャレンジで行われます。クライアントは新しい PIN をセキュア ゲートウェイに送信し、セキュア ゲートウェイは「next passcode」チャレンジに進みます。

「next passcode」チャレンジと「next Token Code」チャレンジ

「next passcode」チャレンジでは、クライアントが新規 PIN の作成または割り当て時にキャッシュに入れられた PIN 値を使用して RSA SecurID Software Token DLL から次のパスコードを取得し、ユーザにプロンプト表示せずにこれをセキュア ゲートウェイに返します。同様に、ソフトウェア トークン用の「next Token Code」チャレンジでは、クライアントは RSA SecurID Software Token DLL から次のトークン コードを取得します。

ネイティブ SDI と RADIUS SDI の比較

ネットワーク管理者は、SDI 認証を可能にするセキュア ゲートウェイを次のいずれかのモードで設定することができます。

  • ネイティブ SDI:SDI サーバと直接通信して SDI 認証を処理できるセキュア ゲートウェイのネイティブ機能です。

  • RADIUS SDI:RADIUS SDI プロキシを使用して SDI サーバと通信することで SDI 認証を行うセキュア ゲートウェイのプロセスです。

リモート ユーザからは、ネイティブ SDI と RADIUS SDI は同一です。SDI メッセージは SDI サーバ上で設定が可能なため、これには、ASA 上のメッセージ テキストは、SDI サーバ上のメッセージ テキストに一致する必要があります。一致しない場合、リモート クライアント ユーザに表示されるプロンプトが、認証中に必要なアクションに対して適切でない場合があります。この場合、AnyConnect が応答できずに認証に失敗することがあります。

RADIUS SDI チャレンジは、少数の例外はありますが、基本的にはミラー ネイティブの SDI 交換です。両者とも最終的には SDI サーバと通信するため、クライアントからの必要な情報と要求される情報の順序は同じです。

認証の間に、RADIUS サーバは ASA にアクセス チャレンジ メッセージを提示します。これらのチャレンジ メッセージ内に、SDI サーバからのテキストを含む応答メッセージがあります。このメッセージ テキストは、ASA が SDI サーバと直接通信している場合と RADIUS プロキシを経由して通信している場合とで異なります。そのため、AnyConnect にネイティブ SDI サーバとして認識させるために、ASA は RADIUS サーバからのメッセージを解釈する必要があります。

また、SDI メッセージは SDI サーバで設定可能であるため、ASA のメッセージ テキストの全体または一部が、SDI サーバのメッセージ テキストと一致する必要があります。一致しない場合、リモート クライアント ユーザに表示されるプロンプトが、認証中に必要とされるアクションに対して適切でない場合があります。この場合、AnyConnect が応答できずに認証に失敗することがあります。

RADIUS/SDI メッセージをサポートするための ASA の設定

SDI 固有の RADIUS 応答メッセージを解釈し、適切なアクションを AnyConnect ユーザに求めるように ASA を設定するには、SDI サーバとの直接通信をシミュレートする方法で RADIUS 応答メッセージを転送するように接続プロファイル(トンネル グループ)を設定する必要があります。SDI サーバに認証されるユーザは、この接続プロファイルを介して接続する必要があります。

手順
ステップ 1

[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [AnyConnect 接続プロファイル(AnyConnect Connection Profiles)] を選択します。

ステップ 2

SDI 固有の RADIUS 応答メッセージを解釈するために設定する接続プロファイルを選択して、[編集(Edit)] をクリックします。

ステップ 3

[AnyConnect 接続プロファイルの編集(Edit AnyConnect Connection Profile)] ウィンドウで、左側のナビゲーション ペインにある [詳細(Advanced)] ノードを展開して、[グループ エイリアス/グループ URL(Group Alias / Group URL)] を選択します。

ステップ 4

[ログイン画面への SecurID メッセージの表示を有効にする(Enable the display of SecurID messages on the login screen)] をオンにします。

ステップ 5

[OK] をクリックします。

ステップ 6

[設定(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [AAA/ローカル ユーザ(AAA/Local Users)] > [AAA サーバ グループ(AAA Server Groups)] を選択します。

ステップ 7

[追加(Add)] をクリックして、AAA サーバ グループを追加します。

ステップ 8

[AAA サーバ グループの編集(Edit AAA Server Group)] ダイアログで AAA サーバ グループを設定して、[OK] をクリックします。

ステップ 9

[AAA サーバ グループ(AAA Server Groups)] 領域で作成した AAA サーバ グループを選択し、[選択したグループ内のサーバ(Servers in the Selected Group)] 領域で [追加(Add)] をクリックします。

ステップ 10

[SDI メッセージ(SDI Messages)] 領域で [メッセージ テーブル(Message Table)] 領域を展開します。メッセージ テキスト フィールドをダブルクリックするとメッセージを編集できます。RADIUS サーバから送信されたメッセージとテキストの一部または全体が一致するように、RADIUS 応答メッセージ テキストを ASA で設定します。

次の表に、メッセージ コード、デフォルトの RADIUS 応答メッセージ テキスト、および各メッセージの機能を示します。

(注)   

ASA が使用するデフォルトのメッセージ テキストは、Cisco Secure Access Control Server(ACS)で使用されるデフォルトのメッセージ テキストです。Cisco Secure ACS を使用していて、デフォルトのメッセージ テキストを使用している場合、ASA でメッセージ テキストを設定する必要はありません。

セキュリティ アプライアンスは、テーブルでの出現順に文字列を検索するため、メッセージ テキスト用に使用する文字列が別の文字列のサブセットでないことを確認する必要があります。たとえば、「new PIN」が new-pin-sup と next-ccode-and-reauth の両方に対するデフォルトのメッセージ テキストのサブセットであるとします。new-pin-sup を「new PIN」として設定した場合、セキュリティ アプライアンスは RADIUS サーバから「new PIN with the next card code」を受信すると、next-ccode-and-reauth コードではなく new-pin-sup コードとテキストを照合します。

メッセージ コード

デフォルトの RADIUS 応答メッセージ テキスト

機能

next-code

Enter Next PASSCODE

ユーザは PIN を入力せずに次のトークンコードを入力する必要があることを示します。

new-pin-sup

Please remember your new PIN

新しいシステムの PIN が提供されており、ユーザにその PIN を表示することを示します。

new-pin-meth

Do you want to enter your own pin

新しい PIN の作成にどの新しい PIN 方式を使用するかをユーザに尋ねます。

new-pin-req

Enter your new Alpha-Numerical PIN

ユーザ生成の PIN を入力することを要求することを示します。

new-pin-reenter

Reenter PIN:

ユーザが提供した PIN の確認のために ASA が内部的に使用します。ユーザにプロンプトを表示せずに、クライアントが PIN を確認します。

new-pin-sys-ok

New PIN Accepted

ユーザが提供した PIN が受け入れられたことを示します。

next-ccode-and-reauth

new PIN with the next card code

PIN 操作後、次のトークンコードを待ってから、認証のために新しい PIN と次のトークンコードの両方を入力する必要があることをユーザに示します。

ready-for-sys-
pin

ACCEPT A SYSTEM GENERATED PIN

ユーザがシステム生成の PIN に対する準備ができていることを示すために ASA が内部的に使用します。

ステップ 11

[OK]、[適用(Apply)]、[保存(Save)] の順にクリックします。

証明書のピン留めについて

AnyConnect の証明書のピン留めは、サーバ証明書チェーンが実際に接続しているサーバから来たものであるか検出するのに役立ちます。この機能は VPN プロファイル設定に基づくもので、AnyConnect サーバ証明書検証ポリシーへの追加機能です。AnyConnect のローカル ポリシー ファイルでの厳格な証明書トラストの設定は、証明書のピン留めチェックに影響しません。ピンは、VPN プロファイルで、グローバルにまたはホストごとに設定できます。プライマリ ホストについて設定されたピンは、サーバ リスト内のバックアップ ホストに対しても有効です。証明書のピン留めチェックを実行するプリファレンスをユーザが制御することはできません。ピン検証が失敗すると、VPN 接続が終了します。


(注)  

AnyConnect は、プリファレンスが有効になっており、接続サーバの VPN プロファイルにピンがあるときのみ、ピン検証を実行します。

プリファレンスの有効化とグローバルおよびホストごとの証明書ピンの設定は、VPN プロファイル エディタ(AnyConnect プロファイル エディタの証明書ピン)で行うことができます。

証明書のピン留めを設定および維持するにあたっては、注意が必要です。プリファレンスを設定するときは、次の推奨事項を考慮してください。

  • ルート証明書および/または中間証明書をピン留めする。理由は、これらはオペレーティング システムにおいて CA ベンダーによって十分に管理されているためです。

  • CA が侵害された場合のバックアップとなるよう、別の CA からの複数のルート証明書および/または中間証明書をピン留めする。

  • CA の移行が容易になるよう、複数のルート証明書および/または中間証明書をピン留めする。

  • リーフ証明書がピン留めされている場合は、証明書の更新時に公開キーを保持するため、同一の証明書署名要求を使用する。

  • サーバ リスト内のすべての接続ホストをピン留めする。

グローバル ピンとホストごとのピン

証明書ピンは、グローバルまたはホストごとに設定できます。大部分の接続ホストに対して有効なピンは、グローバル ピンとして設定されます。ルート証明書、中間証明機関の証明書、およびワイルドカード リーフ証明書は、VPN プロファイルのグローバル ピンの下に設定することを推奨します。1 つの接続ホストに対してのみ有効なピンは、ホストごとのピンと見なされます。リーフ証明書、自己署名の証明書は、VPN プロファイルのホストごとのピンの下に設定することを推奨します。

(注)  
AnyConnect は、ピン検証において、対応する接続サーバのグローバル ピンおよびホストごとのピンをチェックします。

(注)  

複数の VPN プロファイルにまたがるグローバル ピンは、マージされません。ピンは、VPN 接続のためのファイル接続サーバから厳格に考慮されます。

(注)  

ホストごとの証明書のピン留めができるのは、[グローバル ピン(Global Pins)] セクションで証明書ピン留めのプリファレンスが有効になっている場合のみです。