この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この付録は、WebVPN をエンド ユーザ用に設定するシステム管理者を対象にしています。エンド ユーザ リモート システムの設定要件およびタスクの概要について説明します。また、WebVPN の使用を開始できるように、エンド ユーザと通信するための情報を示します。
(注) エンド ユーザ用に WebVPN を設定する前に、WebVPN サービス モジュール を設定しておく必要があります。
エンド ユーザのリモート システム上で WebVPN を起動するための要件は、次のとおりです。
• インターネットへの接続 ― 以下を含む任意のインターネット接続がサポートされます。
• WebVPN 対応ブラウザ ― 次のブラウザは WebVPN への対応が確認されています。その他のブラウザの場合、WebVPN 機能が完全にサポートされないことがあります。
–Internet Explorer 6.0 SP1(Windows XP には SP2 が必要)
• クッキー対応 ― ポート転送によりアプリケーションにアクセスするには、ブラウザ上でクッキーを使用できる必要があります。
• ポップアップ対応 ― フローティング WebVPN ツールバーおよびタイムアウト警告を表示するには、ブラウザにポップアップを表示できる必要があります。ポップアップが表示されない場合は、ブラウザの設定を変更し、in-page ツールバー上の WebVPN フローティング ツールバー アイコンをクリックして、フローティング ツールバーを表示します。
ブラウザ上でポップアップが無効になっていると、アイドル タイムアウトまたは最大接続時間による切断の前に、エンド ユーザに WebVPN の警告が表示されません。
• WebVPN 用の URL ― 次の形式の HTTPS アドレスを使用します。
address は、 https://10.89.192.163 または https://vpn.company.com などの WebVPN モジュールのインターフェイスの IP アドレスまたは DNS ホスト名です。
• (任意)ローカル プリンタ ― WebVPN は、Web ブラウザからネットワーク プリンタへのプリント出力をサポートしていません。ローカル プリンタへのプリント出力はサポートされます。
表A-1 に、WebVPN ユーザに必要となるユーザ名とパスワードのタイプを示します。
|
|
|
---|---|---|
WebVPN を設定している企業のエンド ユーザは、ブラウザを起動して、企業ネットワークがホスティングしている WebVPN ゲートウェイに接続することにより、企業ネットワークにアクセスできます。エンド ユーザは、各自のクレデンシャルおよび認証情報を提示し、企業サイトのポータル ページ(ホームページ)にアクセスします。ポータル ページには、エンド ユーザが各自のクレデンシャルに基づいてアクセスできる各種機能(E メール、Web ブラウジングなど)が表示されます。エンド ユーザが WebVPN ゲートウェイのすべての機能にアクセスできる場合には、ホームページにすべての機能へのリンクが提供されます。
(注) エンド ユーザ インターフェイスは、主として HTML インターフェイスです。
次の項目で、エンド ユーザ インターフェイスについて、より詳細に説明します。
• 「初回の接続」
• 「証明書の認証」
ここでは、WebVPN セッションのページ フロー プロセス(図A-1 を参照)について説明します。エンド ユーザが、各自のブラウザに Hypertext Transfer Protocol Secure(HTTPS)URL(https:// address )を入力すると、エンド ユーザは、ログイン ページのある https:// address /index.html にリダイレクトされます。
(注) ブラウザの設定によっては、このリダイレクションによって、エンド ユーザのブラウザに、セキュアな接続にリダイレクトされていることを示す警告が表示されることがあります。
エンド ユーザの初回の接続では、次のいずれかの状況が発生することがあります。
モジュールのトラフィック負荷が大きい場合、エンド ユーザに「503 Service Unavailable」メッセージが表示されることがあります。このメッセージを受信したエンド ユーザは、以降で、再び接続を試みる必要があります。
エンド ユーザが SSL VPN Client(SVC)のダウンロードを試みたときに、SVC バイナリが保管されているファイル システムが、一時的にサービス停止になっていることがあります。この場合には、エンド ユーザのブラウザに Out of Service ページ(図A-2 を参照)が表示されます。Out of Service ページには、ダウンロードの再試行またはプロセスの終了を問い合わせるプロンプトが表示されます。
ほとんどの場合、エンド ユーザが Retry ボタンをクリックすると、SVC を正常にダウンロードできます。ただし、ゲートウェイの応答が引き続き Out of Service ページだった場合には、エンド ユーザは、プロセスを終了し、ゲートウェイ管理者にエラーを報告する必要があります。
HTTPS 接続を確立したとき、SSL/TLS 証明書に関する警告が表示されることがあります。この警告が表示された場合、エンド ユーザは、この証明書をインストールする必要があります。警告が表示されない場合には、ブラウザを信頼する証明書がすでにシステムに存在しています。
ログイン ページ(図A-3 を参照)には、エンド ユーザにユーザ名およびパスワードの入力を要求するプロンプトが表示されます。エンド ユーザおよびパスワードは、HTML フォームに入力されます。認証に失敗すると、ログイン ページにエラー メッセージが表示されます。
ログアウト ページ(図A-4 を参照)は、エンド ユーザがログアウトのリンクをクリックしたとき、またはアイドル タイムアウトまたは最大接続時間の経過によりセッションが終了したときに表示されます。
ポータル ページ(図A-5 を参照)は、WebVPN 機能のメイン ページです。このページはカスタマイズすることができ、次の内容を表示できます。
• カスタム ロゴ(デフォルトは、シスコ社のブリッジ ロゴ)
• カスタム タイトル(デフォルトは、「WebVPN Service」)
• カスタム カラー(デフォルトはホワイトとパープルの組み合わせ)
• ヘルプ、ホーム(このポータル ページ)、およびログアウトのアイコン リンク
(注) シンクライアント モードでは、アプリケーション アクセス リンクを使用してダウンロードする E メール アクセスがサポートされます。
エンド ユーザは、ポータル ページ上のテキスト ボックスまたはフローティング ツールバーのテキスト ボックスに、アクセスしたい Web サイトのアドレスまたは URL パスを入力できます。リモート サーバからのページは、ブラウザのウィンドウに表示されます。エンド ユーザは、ページ上の他のリンクを使用できます。
図A-6 に、標準的な Web サイトのポータル ページを示します。フローティング ツールバー(図A-7 を参照)のホーム アイコン ボタンをクリックすると、エンド ユーザはポータル ページに戻ります。
フローティング ツールバー(図A-7 を参照)により、メイン ブラウザ ウィンドウを表示したまま、URL を入力し、ファイルの場所を検索し、設定済みの Web 接続を選択できます。
フローティング ツールバーは、WebVPN セッションを表示します。エンド ユーザがウィンドウの「閉じる」ボタンをクリックすると、WebVPN モジュールにより、セッションを終了することを確認するプロンプトが表示されます。
(注) Hotmail.com および CNN.com などの特定の Web ページの表示中にホーム アイコンをクリックすると、新しいブラウザ ウィンドウが表示されます。これらのサイトの動作の一環として、WebVPN ブラウザ ウィンドウの名前が変更されているからです。
ヒント テキストをテキスト フィールドにペーストするには、Ctrl-V を押します。WebVPN ツールバーでは、右クリックはディセーブルです。
エンド ユーザが、Domain Name System(DNS;ドメイン ネーム システム)または他の接続エラーにより、接続できないリモート サーバを指定すると、エラーが表示されます(図A-8 を参照)。TCP のタイムアウトにより、エンド ユーザに接続エラーが戻されるまでに、しばらくかかることがあります。
無動作によりセッションが終了する場合、エンド ユーザに対して約 1 分前に警告が表示され、セッション終了時にも別の警告が表示されます(図A-9 を参照)。また、メッセージの表示時刻を示すために、ワークステーションのローカル時刻が表示されます。
• 「無動作により、 x 秒以内にセッションが終了します。無動作タイマーをリセットする場合には、[ Close ] をクリックしてください。(ブラウザの時刻および日付)」
アイドル警告メッセージの [ Close ] ボタンをクリックすると、無動作タイマーがリセットされます。
次の終了メッセージには、(セッション終了の理由が既知かどうかにより)タイムアウトの時刻が表示されます。
図A-9 無動作またはタイムアウトによるセッション終了ウィンドウ
(注) この機能は、SSL 接続を適正にサポートするために、Java 1.4 Java Virtual Machine(JTM)を必要とします。
(注) この機能は、JRE をインストールしてローカル クライアントを設定する必要があり、ローカル システム上での管理者の許可が必要になるので、エンド ユーザが公共リモート システムから接続している場合には、ほとんどの場合、アプリケーションを使用できません。
エンド ユーザが アプリケーション アクセス リンクをクリックすると、新しいウィンドウが表示されます。このウィンドウにより、ポート転送アプレットのダウンロードが開始されます。さらに、別のウィンドウが表示されます。このウィンドウは、エンド ユーザに、アプレットが署名されている証明書を確認するように要求します。エンド ユーザが証明書を受け入れると、アプレットが起動し、ポート転送エントリが表示されます(図A-10 を参照)。また、アクティブな接続数および送受信バイト数がウィンドウにリストされます。
(注) エンド ユーザがアプリケーション アクセスを起動すると、システムによってはデジタル証明書に関するダイアログボックスが表示されることがあります。また、このダイアログボックスは、他のブラウザ ウィンドウの背後に表示されることもあります。エンド ユーザの接続が保留されているようであれば、エンド ユーザにブラウザのウィンドウを最小化して、このダイアログボックスを確認するように通知してください。
E メール サーバには、IP アドレス、DNS 名、およびポート番号が設定されている必要があります。エンド ユーザは、E メール サーバと通信して E メールを送受信する E メール クライアントを起動できます。Point of Presence3(POP3)、Internet Message Access Protocol(IMAP)、および Simple Mail Transfer Protocol(SMTP)プロトコルがサポートされます。
エンド ユーザが JavaScript を使用してログアウトすると、ウィンドウは自動的に閉じます。セッションが終了してから、新しいポート転送接続が確立されると、アプレットによりエラー メッセージが表示されます。
表A-2 に、エンド ユーザのリモート システム上でのアプリケーション アクセス(ポート転送)の要件を示します。
表A-3 に、各種の WebVPN 機能の要件を示します。
|
|
|
---|---|---|
WebVPN を使用しても、すべてのサイトとの安全な通信を確保できるわけではありません。「セキュリティ上の注意事項」 を参照してください。 |
||
WebVPN での Web ブラウジングの画面表示は、ユーザが慣れているものと異なることがあります。たとえば、WebVPN を使用した場合、次のようになります。 • 各 Web ページの上部に WebVPN のタイトルバーが表示されます。 –WebVPN ホームページ上の Enter Web Address フィールドに URL を入力します。 –WebVPN ホームページ上に設定されている Web サイト リンクをクリックします。 –上記のいずれかの方法でアクセスした Web ページ上のリンクをクリックします。 |
||
(注) コピーの実行中は、Copy File to Server コマンドを中断したり、別のスクリーンに移動しないでください。操作を妨害すると、サーバに不完全なファイルが保存される原因になります。 |
||
アプリケーション アクセスの要件に準拠(TCP ポート転送およびアプリケーション アクセス を参照) |
E メールを使用するには、WebVPN ホームページからアプリケーション アクセスを開始します。E メール クライアントを使用できるようになります。 |
|
(注) エンド ユーザが IMAP クライアントを使用し、E メール サーバとの接続が失われたり、新しい接続を開始できない場合、エンド ユーザは IMAP アプリケーションを終了し、WebVPN を再起動する必要があります。 |
||
シスコでは、Microsoft Outlook Express version 5.5 および 6.0 をテスト済みです。 WebVPN は、Netscape Mail、Lotus Notes, Eudora など、他の SMTPS、POP3S、または IMAP4S E メール プログラムをサポートできるはずですが、シスコでは動作確認をしていません。 |
||
• Outlook Web Access(OWA)5.5、2000、および 2003 Netscape、Mozilla、Internet Explorer は、OWA 5.5 および 2000 でサポートされます。 Internet Explorer 6.0 以上には、OWA 2003 が必要です。Netscape および Mozilla は、OWA 2003 ではサポートされません。 |
||
テキストをテキスト フィールドにペーストするには、Ctrl-V を押します。フローティング ツールバーでは、右クリックはディセーブルです。 |
||
Windows Event Viewer を使用して SVC ログ メッセージを検索するには、Windows で、Program Files > |
||
エンド ユーザには、WebVPN セッションの終了後、必ずログアウトするように通知してください(WebVPN からログアウトするには、WebVPN ツールバー上のログアウト アイコンをクリックするか、ブラウザを終了します)。
エンド ユーザに、WebVPN を使用しても、すべてのサイトと安全に通信できるわけではないことを通知してください。WebVPN は、リモート エンド ユーザの PC またはワークステーションと、企業ネットワーク上の WebVPN モジュール間のデータ転送のセキュリティを確保します。エンド ユーザが(インターネットまたは内部ネットワーク上の)HTTPS 以外の Web リソースにアクセスした場合、企業の WebVPN モジュールと宛先 Web サーバ間の通信は、セキュアではありません。
エンド ユーザが、インターネット カフェまたはキオスクなどの公共または共有のインターネット システムから WebVPN を使用する場合、WebVPN セッションの終了後またはログアウト後に情報のセキュリティを確保するには、エンド ユーザが WebVPN セッション中に PC に保存した全ファイルを削除する必要があります。これらのファイルは、切断しても自動的には削除されません。
(注) WebVPN は、セッション中に表示した Web ページのコンテンツを保存しません。ただし、セキュリティを強化するために、エンド ユーザはブラウザのキャッシュも消去することを推奨します。PC からコンテンツを削除しても、回復できないとは限りません。重要なデータをダウンロードするときは、十分に注意してください。
エンド ユーザに、「閉じる」アイコンをクリックしてアプリケーション アクセス ウィンドウを正しく終了するように通知することは、非常に重要です。ウィンドウを正しく終了しない場合、次の状態が発生することがあります。
• エンド ユーザが次にアプリケーション アクセスを起動しようとしたとき、ディセーブルになり、「Backup HOSTS File Found」エラー メッセージが表示されます。
• エンド ユーザがローカルに実行しても、アプリケーションが使用不可または異常動作になります。
これらのエラーは、エンド ユーザが、次のような不適切な方法でアプリケーション アクセス ウィンドウを終了した場合に発生します。
• アプリケーション アクセスの使用中にブラウザがクラッシュした
• アプリケーション アクセスの使用中に電力障害またはシステム シャットダウンが発生した
• アプリケーション アクセス ウィンドウを最小化し、ウィンドウが(最小化されていても)アクティブな状態でコンピュータをシャットダウンした
エンド ユーザ システム上のホスト ファイルは、IP アドレスをホスト名にマッピングします。エンド ユーザがアプリケーション アクセスを起動すると、WebVPN は、WebVPN 特定のエントリを追加することにより、ホスト ファイルを書き換えます。アプリケーション アクセス ウィンドウを正しく終了し、エンド ユーザがアプリケーション アクセスを停止すると、WebVPN はホスト ファイルを元の状態に戻します。ホスト ファイルのステータスは、次のように変化します。
• アプリケーション アクセスの起動前は、ホスト ファイルは元のステートです。
• アプリケーション アクセスが起動すると、WebVPN は以下を実行します。
a. ホスト ファイルを hosts.webvpn にコピーし、バックアップを作成します。
b. ホスト ファイルを編集し、WebVPN 特定情報を挿入します。
• アプリケーション アクセスが停止すると、WebVPN は以下を実行します。
エンド ユーザがアプリケーション アクセスを不適切に終了すると、ホスト ファイルは、WebVPN カスタム ステートのまま存続します。WebVPN は、エンド ユーザが次にアプリケーション アクセスを起動したときに、hosts.webvpn ファイルを検索し、この状態になっていないかどうかをチェックします。WebVPN により、ファイルが検出された場合、エンド ユーザに「Backup HOSTS File Found」エラー メッセージが表示され、アプリケーション アクセスは一時的にディセーブルになります。
エンド ユーザがアプリケーション アクセスを不適切な方法でシャットダウンした場合、リモート アクセス クライアント/サーバ アプリケーションは、保留ステートになります。エンド ユーザが、これらのアプリケーションを、WebVPN を使用せずに起動しようとすると、アプリケーションは正常に動作しません。エンド ユーザは、通常使用しているホストに接続できません。たとえば、エンド ユーザが自宅からリモートでアプリケーションを実行し、アプリケーション アクセス ウィンドウを閉じないでコンピュータをシャットダウンし、次にオフィスからアプリケーションを実行しようとした場合、この状況が発生します。
アプリケーション アクセスまたは正常に動作しないアプリケーションを回復する場合、エンド ユーザは、次のように対処する必要があります。
• エンド ユーザがリモート アクセス サーバに接続できる場合、「WebVPN でのホスト ファイルの自動再設定」 の手順に従います。
• エンド ユーザが現在のロケーションからリモート アクセス サーバに接続できない場合、またはホスト ファイルをカスタム編集している場合には、「ホスト ファイルの手動での再設定」 の手順に従います。
エンド ユーザがリモート アクセス サーバに接続できない場合、次の作業を行ってホスト ファイルを再設定し、アプリケーション アクセスおよびアプリケーションの両方を再イネーブル化する必要があります。
ステップ 1 WebVPN を起動し、ログインします。ポータル ページが表示されます。
ステップ 2 アプリケーション アクセス リンクをクリックします。「Backup HOSTS File Found」メッセージが表示されます。
• バックアップからの復元 ― WebVPN は、適正なシャットダウンを強制します。WebVPN は hosts.webvpn バックアップ ファイルをホスト ファイルにコピーし、元のステートに復元し、hosts.webvpn を削除します。アプリケーション アクセスを再起動する必要があります。
• 何もしない ― アプリケーション アクセスは起動しません。リモート アクセスのホームページに戻ります。
• バックアップの削除 ― WebVPN は hosts.webvpn ファイルを削除しますが、ホスト ファイルは WebVPN カスタム ステートのまま存続します。ホスト ファイルの元の設定は失われます。次にアプリケーション アクセスを起動すると、WebVPN カスタム ステートが、ホスト ファイルの新しい元の設定として使用されます。このオプションは、ホスト ファイルの設定が失われてもよい場合にのみ、使用してください。アプリケーション アクセスが不適切にシャットダウンされたあと、ホスト ファイルを編集した場合には、別のオプションを選択するか、ホスト ファイルを手動で編集します(ホスト ファイルの手動での再設定 を参照)。
エンド ユーザが現在のロケーションからリモート アクセス サーバに接続できない場合、またはエンド ユーザがカスタマイズしたホスト ファイルの設定を失いたくない場合には、次の手順を実行して、ホスト ファイルを再設定し、アプリケーション アクセスおよびアプリケーションの両方を再イネーブル化する必要があります。
ステップ 2 「added by WebVpnPortForward」の文字列を含む行がないかどうかをチェックします。
この文字列を含む行がある場合、ホスト ファイルは WebVPN によりカスタマイズされています。ホスト ファイルがカスタマイズされている場合、次の例のように出力されます。
ステップ 3 「added by WebVpnPortForward」の文字列を含む行を削除します。
ステップ 5 WebVPN を起動し、ログインします。ホームページが表示されます。
ステップ 6 アプリケーション アクセス リンクをクリックします。アプリケーション アクセス ウィンドウが表示されます。アプリケーション アクセスはイネーブルです。