Cisco ASA シリーズ VPN ASDM コンフィギュレーション ガイド ソフトウェア バージョン 7.1 ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5580、ASA 5585-X、および ASA サービス モジュール用
クライアントレス SSL VPN の設定
クライアントレス SSL VPN の設定
発行日;2013/10/22 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

クライアントレス SSL VPN の設定

クライアントレス SSL VPN に関する情報

ライセンス要件

クライアントレス SSL VPN の前提条件

注意事項と制限事項

クライアントレス SSL VPN セキュリティ対策の順守

クライアントレス SSL VPN アクセスの設定

クライアントレス SSL VPN サーバ証明書の検証

アクセス コントロール リスト(ACL)の設定

ACE の追加または編集

クライアントレス SSL VPN の ACL の設定例

Cisco Secure Desktop の設定

イメージのアップロード

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

制約事項

APCF プロファイルの管理

APCF パッケージのアップロード

APCF パケットの管理

APCF 構文

パスワードの管理

シスコの認証スキームの SiteMinder への追加

SAML POST SSO サーバの設定

HTTP Form プロトコルを使用した SSO の設定

HTTP Form データの収集

自動サインオンの使用

Virtual Desktop Infrastructure(VDI)へのアクセス

セッションの設定

Java Code Signer

エンコーディング

コンテンツ キャッシュ

Content Rewrite

コンテンツ リライト ルールの設定例

プラグインへのブラウザ アクセスの設定

プラグインのためのセキュリティ アプライアンスの準備

シスコが再配布しているプラグインのインストール

Citrix XenApp Server へのアクセスの提供

クライアントレス SSL VPN アクセスのための Citrix XenApp Server の準備

Citrix プラグインの作成とインストール

Microsoft Kerberos Constrained Delegation ソリューション

KCD の機能概要

KCD の認証フロー

Active Directory での Windows サービス アカウントの追加

KCD の DNS の設定

Active Directory ドメインに参加する の設定

Kerberos サーバ グループの設定

Kerberos で認証されるサービスにアクセスするためのブックマークの設定

Application Access の設定

スマート トンネル アクセスの設定

スマート トンネルについて

スマート トンネルを使用する理由

スマート トンネルの設定(Lotus の例)

トンネリングするアプリケーションの設定の簡略化

スマート トンネル アクセスに適格なアプリケーションの追加

スマート トンネル リストについて

スマート トンネル自動サインオン サーバ リストの作成

スマート トンネル自動サインオン サーバ リストへのサーバの追加

スマート トンネル アクセスのイネーブル化とディセーブル化

スマート トンネルからのログオフの設定

ペアレント プロセスの終了

通知アイコン

ポート転送の設定

ポート転送に関する情報

ポート転送用の DNS の設定

ポート転送に適格なアプリケーションの追加

ポート転送エントリの追加/編集

ポート転送リストの割り当て

ポート転送のイネーブル化とディセーブル化

外部プロキシ サーバの使用法の設定

SSO サーバ

SiteMinder と SAML Browser Post Profile の設定

シスコの認証スキームの SiteMinder への追加

SSO サーバの追加または編集

Application Access ユーザへの注記

hosts ファイル エラーを回避するための Application Access の終了

Application Access 使用時の hosts ファイル エラーからの回復

hosts ファイルの概要

不正な Application Access の終了

クライアントレス SSL VPN によるホストのファイルの自動再設定

手動による hosts ファイルの再設定

ファイル アクセスの設定

CIFS ファイル アクセスの要件と制限事項

ファイル アクセスのサポートの追加

SharePoint アクセスのためのクロックの精度の確認

クライアントレス SSL VPN ユーザ エクスペリエンスのカスタマイズ

Customization Editor によるログイン ページのカスタマイズ

独自の完全にカスタマイズしたページでのログイン ページの置き換え

カスタム ログイン画面ファイルの設定

ファイルおよびイメージのインポート

カスタム ログイン画面を使用するセキュリティ アプライアンスの設定

PDA でのクライアントレス SSL VPN の使用

クライアントレス SSL VPN を介した電子メールの使用

電子メール プロキシの設定

Web 電子メール:MS Outlook Web App の設定

ポータル アクセス ルールの設定

プロキシ バイパスの使用

クライアントレス SSL VPN エンド ユーザの設定

エンド ユーザ インターフェイスの定義

クライアントレス SSL VPN ホームページの表示

クライアントレス SSL VPN の Application Access パネルの表示

フローティング ツールバーの表示

クライアントレス SSL VPN ページのカスタマイズ

カスタマイゼーションに関する情報

カスタマイゼーション テンプレートのエクスポート

カスタマイゼーション テンプレートの編集

ログイン画面の高度なカスタマイゼーション

HTML ファイルの変更

ポータル ページのカスタマイズ

カスタム ポータル タイムアウト アラートの設定

カスタマイゼーション オブジェクト ファイルでのカスタム タイムアウト アラートの指定

ログアウト ページのカスタマイズ

外部ポータル ページのカスタマイズ

カスタマイゼーション オブジェクトの追加

カスタマイゼーション オブジェクトのインポート/エクスポート

XML ベースのポータル カスタマイゼーション オブジェクトおよび URL リストの作成

XML カスタマイゼーション ファイルの構成について

カスタマイゼーションの設定例

カスタマイゼーション テンプレートの使用

カスタマイゼーション テンプレート

ヘルプのカスタマイゼーション

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供していない言語用のヘルプ ファイルの作成

アプリケーションのヘルプ コンテンツのインポートおよびエクスポート

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供していない言語用のヘルプ ファイルの作成

クライアント/サーバ プラグインへのブラウザ アクセスの設定

ブラウザ プラグインのインストールについて

RDP プラグイン ActiveX デバッグのクイック リファレンス

プラグインのためのセキュリティ アプライアンスの準備

ヘルプのカスタマイズ

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供していない言語用のヘルプ ファイルの作成

ユーザ名とパスワードの要求

セキュリティのヒントの通知

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

クライアントレス SSL VPN の起動

クライアントレス SSL VPN フローティング ツールバーの使用

Web のブラウズ

ネットワークのブラウズ(ファイル管理)

Remote File Explorer の使用

ポート転送の使用

ポート転送を介した電子メールの使用

Web アクセスを介した電子メールの使用

電子メール プロキシを介した電子メールの使用

スマート トンネルの使用

AnyConnect クライアントのカスタマイズ

リソース ファイルのインポートによる AnyConnect のカスタマイズ

独自の AnyConnect GUI テキストおよびスクリプトのカスタマイズ

バイナリ実行可能ファイルとしての独自の GUI のインポート

スクリプトのインポート

AnyConnect GUI テキストおよびメッセージのカスタマイズ

インストーラ トランスフォームを使用したインストーラ プログラムのカスタマイズ

トランスフォームの設定例

インストーラ トランスフォームを使用したインストーラ プログラムのローカライズ

言語ローカリゼーションのインポート/エクスポート

ブックマークの設定

GET または Post メソッドによる URL のブックマークの追加

定義済みアプリケーション テンプレートに帯する URL の追加

自動サインオン アプリケーションへのブックマークの追加

ブックマーク リストのインポートまたはエクスポート

Importing/Exporting GUI Customization Objects(Web コンテンツ)

Adding/Editing Post Parameter

ブックマークまたは URL エントリの設定例

ファイル共有(CIFS)URL 置換の設定の設定例

外部ポートのカスタマイズの設定例

管理者によるクライアントレス SSL VPN ユーザへのアラート送信

クライアントレス SSL VPN の設定

この章では、クライアントレス SSL VPN を設定する方法について説明します。次の項目を取り上げます。

「クライアントレス SSL VPN に関する情報」

「ライセンス要件」

「クライアントレス SSL VPN の前提条件」

「注意事項と制限事項」

「クライアントレス SSL VPN アクセスの設定」

「Cisco Secure Desktop の設定」

「アプリケーション プロファイル カスタマイゼーション フレームワークの設定」

「自動サインオンの使用」

「セッションの設定」

「Java Code Signer」

「エンコーディング」

「コンテンツ キャッシュ」

「Content Rewrite」

「プラグインへのブラウザ アクセスの設定」

「KCD の機能概要」

「Application Access の設定」

「ポート転送の設定」

「Application Access ユーザへの注記」

「ファイル アクセスの設定」

「SharePoint アクセスのためのクロックの精度の確認」

「クライアントレス SSL VPN ユーザ エクスペリエンスのカスタマイズ」

「PDA でのクライアントレス SSL VPN の使用」

「クライアントレス SSL VPN を介した電子メールの使用」

「ポータル アクセス ルールの設定」

「クライアントレス SSL VPN エンド ユーザの設定」

「クライアント/サーバ プラグインへのブラウザ アクセスの設定」

「AnyConnect クライアントのカスタマイズ」

「ブックマークの設定」

「管理者によるクライアントレス SSL VPN ユーザへのアラート送信」

クライアントレス SSL VPN に関する情報


) クライアントレス SSL VPN にASAを設定している場合、セキュリティ コンテキスト(ファイアウォール マルチモードとも呼ばれる)またはアクティブ/アクティブ ステートフル フェールオーバーをイネーブルにすることはできません。そのため、これらの機能は使用できなくなります。


クライアントレス SSL VPN によってユーザは、Web ブラウザを使用して ASA へのセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェアやハードウェア クライアントは必要ありません。

クライアントレス SSL VPN を使用することで、HTTP インターネット サイトにアクセスできるほとんどすべてのコンピュータから、幅広い Web リソースと、Web 対応およびレガシー アプリケーションにセキュアかつ簡単にアクセスできます。次の内容で構成されています。

内部 Web サイト

Web 対応アプリケーション

NT/Active Directory ファイル共有

POP3S、IMAP4S、および SMTPS などの電子メール プロキシ

Microsoft Outlook Web Access Exchange Server 2000、2003、および 2007

Microsoft Web App to Exchange Server 2010(8.4(2) 以降において)

Application Access(つまり、他の TCP ベースのアプリケーションにアクセスするためのスマート トンネルまたはポート転送)

クライアントレス SSL VPN は Secure Sockets Layer(SSL)プロトコルおよびその後継の Transport Layer Security(SSL/TLS1)を使用して、リモート ユーザと、内部サイトで設定した特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。ASAはプロキシで処理する必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。

ネットワーク管理者は、クライアントレス SSL VPN セッションのユーザに対してグループ単位でリソースへのアクセスを提供します。ユーザは、内部ネットワーク上のリソースに直接アクセスすることはできません。

ライセンス要件

次の表に、この機能のライセンス要件を示します。


) この機能は、ペイロード暗号化機能のないモデルでは使用できません。


 

モデル
ライセンス要件1 , 2

ASA 5505

AnyConnect Premium ライセンス:

Base ライセンスまたは Security Plus ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10 または 25 セッション。

共有ライセンスはサポートされていません。3

ASA 5510

AnyConnect Premium ライセンス:

Base および Security Plus ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、または 250 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5520

AnyConnect Premium ライセンス:

Base ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、または 750 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5540

AnyConnect Premium ライセンス:

Base ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、または 2500 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5550

AnyConnect Premium ライセンス:

Base ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、または 5000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5580

AnyConnect Premium ライセンス:

Base ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、5000、または 10000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5512-X

AnyConnect Premium ライセンス:

Base ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、または 250 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5515-X

AnyConnect Premium ライセンス:

Base ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、または 250 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5525-X

AnyConnect Premium ライセンス:

Base ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、または 750 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5545-X

AnyConnect Premium ライセンス:

Base ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、または 2500 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5555-X

AnyConnect Premium ライセンス:

Base ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、または 5000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5585-X(SSP-10)

AnyConnect Premium ライセンス:

Base ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、または 5000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASA 5585-X(SSP-20、-40、および -60)

AnyConnect Premium ライセンス:

Base ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、5000、または 10000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

ASASM

AnyConnect Premium ライセンス:

Base ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、5000、または 10000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

1.クライアントレス SSL VPN セッションを開始した後、ポータルから AnyConnect クライアント セッションを開始した場合は、合計 1 つのセッションが使用されています。これに対して、最初に AnyConnect クライアントを(スタンドアロン クライアントなどから)開始した後、クライアントレス SSL VPN ポータルにログインした場合は、2 つのセッションが使用されています。

2.すべてのタイプの組み合わせ VPN セッションの最大数は、この表に示す最大セッション数を超えることはできません。

3.共有ライセンスによって、ASA は複数のクライアントの ASA の共有ライセンス サーバとして機能します。共有ライセンス プールは大規模ですが、個々の ASA によって使用されるセッションの最大数は、永続的なライセンスで指定される最大数を超えることはできません。

クライアントレス SSL VPN の前提条件

ASA Release 9.0 でサポートされているプラットフォームおよびブラウザについては、『 Supported VPN Platforms, Cisco ASA 5500 Series 』を参照してください。

注意事項と制限事項

ActiveX ページでは、ActiveX リレーをイネーブルにするか、関連するグループ ポリシーに activex-relay を入力しておくことが必要です。あるいは、スマート トンネル リストをポリシーに割り当て、エンドポイント上のブラウザ プロキシ例外リストにプロキシが指定されている場合、ユーザはそのリストに「shutdown.webvpn.relay.」エントリを追加する必要があります。

ASA では、Windows 7、Vista、Internet Explorer 8 ~ 9、Mac OS X、および Linux から Windows 共有(CIFS)Web フォルダへのクライアントレス アクセスはサポートされていません。

DoD Common Access Card および SmartCard を含む証明書認証は、Safari キーチェーンだけで動作します。

ASA は、クライアントレス SSL VPN 接続では DSA または RSA 証明書をサポートしていません。

一部のドメインベースのセキュリティ製品には、ASA から送信された要求を超える要件があります。

コンフィギュレーション制御の検査およびモジュラ ポリシー フレームワークのインスペクション機能はサポートされません。

NAT および PAT はクライアントに適用可能ではありません。

クライアントレス SSL VPN のコンポーネントの一部には、Java ランタイム環境(JRE)が必要です。Mac OS X v10.7 以降では Java はデフォルトではインストールされていません。Mac OS X で Java をインストールする方法の詳細については、 http://java.com/en/download/faq/java_mac.xml を参照してください。

クライアントレス ポータル用に設定された複数のグループ ポリシーがある場合は、ログイン ページのドロップダウンに表示されます。グループ ポリシーのリストの一番上にあるのが、証明書が必要なグループ ポリシーである場合は、ユーザがログイン ページに達するとすぐに、一致の証明書がなければなりません。すべてのグループ ポリシーが証明書を使用するわけではない場合は、非証明書ポリシーを最初に表示するようにリストを設定します。アルファベット順で並べ替えられるようにグループ ポリシー名を付けるか、AAA ポリシーが最初に表示されるようにプレフィックスを付けます。たとえば、1-AAA、2-Certificate とします。または、Select-a-Group という名前の「ダミー」のグループ ポリシーを作成し、最初に表示されるようにします。

クライアントレス SSL VPN セキュリティ対策の順守

デフォルトでは、ASAはすべての Web リソース(HTTPS、CIFS、RDP、およびプラグイン)に対するすべてのポータル トラフィックを許可します。ASA クライアントレス サービスは、各 URL をそれ自体だけに意味のあるものに書き換えます。ユーザは、要求したサイト上にあることを確認するためにアクセスしたページに表示される、その書き換えられた URL を使用できません。ユーザを危険にさらさないようにするために、クライアントレス アクセス用に設定されたポリシー(グループ ポリシー、ダイナミック アクセス ポリシー、またはその両方)に Web ACL を割り当てて、ポータルからのトラフィック フローを制御します。たとえば、このような ACL がないと、ユーザは不正な銀行や商用サイトからの認証要求を受け取る可能性があります。また、これらのポリシー上の URL エントリをディセーブルにして、ユーザがアクセスできるページについて混乱しないようにすることをお勧めします。

図 7-1 ユーザが入力する URL の例

 

図 7-2 セキュリティ アプライアンスによって書き換えられ、ブラウザ ウィンドウに表示された同じ URL

 

手順の詳細

クライアントレス SSL VPN アクセスにより引き起こされるリスクを最小限に抑えるためには、次のことを実行することをお勧めします。


ステップ 1 クライアントレス SSL VPN アクセスを必要とするすべてのユーザにグループ ポリシーを設定し、そのグループ ポリシーに対してだけクライアントレス SSL VPN をイネーブルにします。

ステップ 2 グループ ポリシーを開き、[General] > [More Options] > [Web ACL] を選択して [Manage] をクリックします。

ステップ 3 プライベート ネットワーク内の特定のターゲットへのアクセスだけを許可する、プライベート ネットワークへのアクセスだけを許可する、または信頼できるサイトへのアクセスだけを許可する Web ACL を作成します。

ステップ 4 クライアントレス アクセス用に設定しているすべてのポリシー(グループ ポリシー、ダイナミック アクセス ポリシー、またはその両方)に Web ACL を適用します。Web ACL を DAP に割り当てるには、DAP レコードを編集し、[Network ACL Filters] タブで Web ACL を選択します。

ステップ 5 ブラウザベースの接続の確立時に表示される ポータル ページ 上の URL エントリをディセーブルにします。そのためには、グループ ポリシーのポータル フレームと DAP の [Functions] タブの両方で、[URL Entry] の横にある [Disable] をクリックします。DAP 上の URL エントリをディセーブルにするには、ASDM を使用して DAP レコードを編集し、[Functions] タブをクリックして、[URL Entry] の横にある [Disable] をオンにします。

ステップ 6 ユーザに、ポータル ページの上のネイティブ ブラウザの Address フィールドに外部 URL を入力するか、別のブラウザ ウィンドウを開いて、外部サイトにアクセスするかを指示します。


 

クライアントレス SSL VPN アクセスの設定

クライアントレス SSL VPN アクセスを設定する場合、次の操作が可能です。

クライアントレス SSL VPN セッション向けに ASA インターフェイスをイネーブルまたはディセーブルにする。

クライアントレス SSL VPN 接続で使用するポートを選択する。

同時クライアントレス SSL VPN セッションの最大数を設定する。

手順の詳細


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] ペインの順に進み、クライアントレス アクセスのグループ ポリシーを設定または作成します。

ステップ 2 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] の順に進みます。

a. 各 ASA インターフェイスの [Allow Access] をイネーブルまたはディセーブルにします。

インターフェイスのカラムは、設定されているインターフェイスの一覧を示します。[WebVPN Enabled] フィールドに、インターフェイスのクライアントレス SSL VPN の現在のステータスが表示されます。[Yes] の隣に緑のチェックマークが入っていると、クライアントレス SSL VPN はイネーブルになっています。[No] の隣に赤い丸が入っていると、クライアントレス SSL VPN はディセーブルになっています。

b. [Port Setting] ボタンをクリックして、クライアントレス SSL VPN セッションで使用するポート番号を入力します。デフォルトのポートは HTTPS トラフィックの場合は 443 で、1 ~ 65535 の範囲内で指定します。ポート番号を変更すると、現在のすべてのクライアントレス SSL VPN 接続が切断されるので、現在のユーザは再接続する必要があります。また、ASDM への接続も失われ、再接続を促すプロンプトが表示されます。

ステップ 3 [Configuration] > [Remote Access VPN] > [Advanced] > [Maximum VPN Sessions] の順に進み、[Maximum Other VPN Sessions] フィールドで許可するクライアントレス SSL VPN セッションの最大数を入力します。ASA モデルが異なれば、サポートされるクライアントレス SSL VPN セッション数も異なることに注意してください。ASA 5510 は最大 250、ASA 5520 は最大 750、ASA 5540 は最大 2500、ASA 5550 は最大 5000 です。


 

クライアントレス SSL VPN サーバ証明書の検証

クライアントレス SSL VPN 経由でリモート SSL 対応サーバに接続する場合は、リモート サーバを信頼できること、また、接続先が実際にサーバであることを認識することが重要です。ASA 9.0 には、クライアントレス SSL VPN の信頼できる認証局(CA)証明書のリストに対する SSL サーバ証明書の検証のためのサポートが追加されています。

HTTPS プロトコルを使用して Web ブラウザ経由でリモート サーバに接続する場合、サーバはサーバ自体を識別するために CA が署名したデジタル証明書を提供します。Web ブラウザには、サーバ証明書の有効性を検証するために使用される一連の CA 証明書が付属しています。これは、公開キー インフラストラクチャ(PKI)の 1 つの形式です。

ブラウザが証明書管理の機能を提供するのと同様に、ASA も信頼できる証明書のプール管理機能の形式を提供します(trustpools)。これは、複数の既知の CA 証明書を表すトラストポイントの特殊なケースと見なすことができます。ASA には、Web ブラウザで提供されるのと同様のデフォルトの証明書のバンドルが含まれますが、管理者がアクティブにするまで非アクティブとなります。


) すでに Cisco IOS の trustpools に精通している場合、ASA バージョンが、似ているが同じではないことがわかります。


HTTP サーバ検証のイネーブル化

クライアントレス SSL VPN ユーザの HTTPS サーバ検証をイネーブルにするには、次の手順を実行します。


ステップ 1 ASDM で、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] の順に進みます。

図 7-3 ASDM での HTTPS サーバ検証のイネーブル化

ステップ 2 [Enable SSL Certificate check] チェックボックスをオンにします。

ステップ 3 サーバ証明書の検証に失敗した場合に実行するアクションを決める必要があります。[disconnet user from https site] をクリックして、サーバが検証できなかった場合に切断します。または、[allow user to proceed to https site] をクリックして、チェックが失敗した場合でも、ユーザが接続を継続できるようにします。

ステップ 4 [Apply] をクリックして変更内容を保存します。


 

証明書のバンドルのインポート

次の形式のいずれかで、さまざまな場所から個々の証明書または証明書のバンドルをインポートできます。

pkcs7 構造でラップされた DER 形式の x509 証明書

PEM 形式(PEM ヘッダーに囲まれた)の連結した x509 証明書のファイル

証明書またはバンドルをインポートするには、次の手順を実行します。


ステップ 1 ASDM で、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] の順に進みます。

ステップ 2 [Import Bundle] をクリックします。

ステップ 3 バンドルの場所を選択します。

バンドルがマシンに保存されている場合は、[Import from a file] をクリックし、[Browse Local Files] をクリックして、バンドルに移動します。

バンドルが ASA フラッシュ ファイル システムに保存されている場合は、[Import from flash] をクリックし、[Browse Flash] をクリックして、ファイルに移動します。

バンドルがサーバでホストされている場合は、[Import from a URL] をクリックして、リストからプロトコルを選択し、ボックスに URL を入力します。

シグニチャの確認が失敗したり、実行できない場合にバンドルのインポートを継続することにより、バンドルをインポートして、後で個々の証明書のエラーを修正することができます。証明書のいずれかが失敗する場合に、バンドル全体での失敗を望む場合は、このチェックボックスをオフにします。

ステップ 4 [Import Bundle] をクリックします。または、[Cancel] をクリックして変更を破棄します。


) [Remove all downloaded trusted CA certificates prior to import] チェックボックスをオンにして、新しいバンドルをインポートする前に trustpool をクリアします。



 

trustpool のエクスポート

trustpool を正しく設定したら、プールをエクスポートする必要があります。これにより、このポイントまで(たとえばエクスポート後に trustpool に追加された証明書を削除する場合など)trustpool を復元できます。ASA フラッシュ ファイル システムまたはローカル ファイル システムにプールをエクスポートできます。

ASDM で、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] の順に進み、[Export Pool] をクリックします。

ローカル ファイル システムにエクスポートするには、次の手順を実行します。


ステップ 1 [Export to a file] をクリックします。

ステップ 2 [Browse Local Files] をクリックします。

ステップ 3 trustpool を保存するフォルダに移動します。

ステップ 4 [File name] ボックスに、trustpool の一意の覚えやすい名前を入力します。

ステップ 5 [Select] をクリックします。

ステップ 6 [Export Pool] をクリックして、ファイルを保存します。または、[Cancel] をクリックして保存を停止します。


 

証明書の削除

すべての証明書を削除するには、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] の順に進み、[Clear Pool] をクリックします。


) trustpool をクリアする前に、現在の設定を復元できるように、現在の trustpool をエクスポートする必要があります。


デフォルトの信頼できる認証局リストの復元

デフォルトの信頼できる認証局(CA)リストを復元するには、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] の順に進み、[Restore default trusted CA list] をクリックし、[Import Bundle] をクリックします。

trustpool の更新

次のいずれかの条件が満たされる場合は、trustpool を更新する必要があります。

trustpool の証明書が期限切れまたは再発行されている。

公開された CA 証明書のバンドルに、特定のアプリケーションで必要な追加の証明書が含まれている。

完全な更新によって、trustpool のすべての証明書が置き換えられます。

実用的な更新では、新しい証明書を追加したり、既存の証明書を置き換えることができます。

証明書のバンドルの削除

trustpool の削除をクリアすると、デフォルトのバンドルではないすべての証明書が削除されます。

デフォルトのバンドルは削除できません。trustpool をクリアするには、[Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] の順に進み、[Clear Pool] をクリックします。



コマンド
目的

ステップ 1

webvpn

 

グループ ポリシー webvpn コンフィギュレーション モードに切り替えます。

ステップ 2

url-entry disable

URL エントリをディセーブルにします。

アクセス コントロール リスト(ACL)の設定

ACL は、特定のネットワーク、サブネット、ホスト、および Web サーバへのユーザ アクセスを抑制します。[Web ACLs] テーブルには、クライアントレス SSL VPN トラフィックへの ASA 適用で設定されているフィルタが表示されます。このテーブルには、各アクセス コントロール リスト(ACL)の名前、および ACL 名の下で右にインデントされて、その ACL に割り当てられているアクセス コントロール エントリ(ACE)が表示されます。

各 ACL は、特定のネットワーク、サブネット、ホスト、および Web サーバへのアクセスを許可または拒否できます。各 ACE は、ACL の機能を提供する 1 つのルールを指定します。

ガイドライン

フィルタを定義しない場合は、すべての接続が許可されます。

制約事項

ASAは、インターフェイスのインバウンド ACL だけをサポートします。

各 ACL の最後には、許可されないすべてのトラフィックを拒否する、表記されない暗黙のルールが含まれます。トラフィックが ACE(アクセス コントロール エントリ)によって明示的に許可されていない場合には、ASAがそのトラフィックを拒否します。このトピックでは、ACE をルールと呼びます。

手順の詳細

Web ACL は、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Web ACLs] のページで設定されます。

[Add ACL] をクリックして、ACL または ACE を追加します。既存の ACE の前後に新しい ACE を挿入するには、[Insert] または [Insert After] をクリックします。

[Edit] をクリックして、変更する ACE を強調表示します。

削除する ACL または ACE を強調表示し、[Delete] をクリックします。ACL を削除するときは、その ACE もすべて削除する必要があります。警告は表示されず、復元も利用できません。

[Move Up] ボタンおよび [Move Down] ボタンを使用して、ACL または ACE の順序を変更します。ASA は、一致するエントリを見つけるまで、ACL リスト内での位置の順に、クライアントレス SSL VPN セッションに適用される ACL およびその ACE をチェックします。

[+] をクリックして各 ACL 下の ACE のリストを展開し、[-] をクリックして折りたたみます。各 ACL 下の ACE の優先順位が表示されます。リスト内での順序によって優先順位が決まります。

(任意)[Find] をクリックして、Web ACL を検索します。このフィールドへの入力を開始すると、各フィールドの先頭部分の文字が検索され、一致するものが検出されます。ワイルドカードを使用して、検索を展開できます。たとえば、[Find] フィールドに sal と入力すると、sales という名前の Web ACL は一致しますが、wholesalers という名前のカスタマイゼーション オブジェクトは一致しません。[Find] フィールドに *sal と入力した場合は、テーブル内の sales と wholesalers のうち、最初に出現するものが検出されます。

上矢印と下矢印を使用して、上または下にある、一致する次の文字列に移動します。[Match Case] チェックボックスをオンにして、大文字と小文字が区別されるようにします。

(任意)Web ACL を強調表示し、[Assign] をクリックして、選択した Web ACL を 1 つ以上の VPN グループ ポリシー、ダイナミック アクセス ポリシー、またはユーザ ポリシーに割り当てます。

ACE は、作成されるとデフォルトでイネーブルになります。ACE をディセーブルにするには、チェックボックスをオフにします。

ACE が適用されるアプリケーションまたはサービスの IP アドレスまたは URL が表示されます。ACE が適用される TCP サービスも表示されます。[Action] フィールドには、ACE でクライアントレス SSL VPN アクセスが許可されているか拒否されているかが表示されます。ACE に関連付けられている時間範囲およびロギング動作(ディセーブルか、指定されたレベルおよび時間間隔があるか)も表示されます。

ACE の追加または編集

アクセス コントロール エントリ(「アクセス ルール」)は、特定の URL およびサービスへのアクセスを許可または拒否します。ACL に対して、複数の ACE を設定できます。ACL は、初回一致ルールに従って、優先順位に応じて ACE を適用します。

手順の詳細


ステップ 1 [Filter] グループ フィールドで指定されている特定のネットワーク、サブネット、ホスト、および Web サーバへのアクセスを許可または拒否します。

ステップ 2 フィルタを適用する(ユーザ アクセスを許可または拒否する)URL または IP アドレスを指定します。

[URL]:指定された URL にフィルタを適用します。

[Protocols (unlabeled)]:URL アドレスのプロトコル部分を指定します。

[://x]:フィルタを適用する Web ページの URL を指定します。

[TCP]:指定された IP アドレス、サブネット、およびポートにフィルタを適用します。

[IP Address]:フィルタを適用する IP アドレスを指定します。

[Netmask]:IP Address フィールド内のアドレスに適用する標準サブネット マスクを一覧表示します。

[Service]:一致するサービス(https や Kerberos など)を特定します。[Service] フィールドに表示するサービスの選択元サービスの一覧を表示します。

[Boolean operator (unlabeled)]:[service] フィールドで指定したサービスを照合するときに使用するブーリアン条件(等号、不等号、大なり、小なり、または範囲)を一覧表示します。

ステップ 3 [Rule Flow Diagram] には、フィルタを使用して、トラフィック フローがグラフィカルに描写されます。この領域は非表示の場合もあります。

ステップ 4 ロギング ルールを指定します。デフォルトは Default Syslog です。

[Logging]:特定のログレベルをイネーブルにする場合は、[enable] を選択します。

[Syslog Level]:Logging 属性に対して [Enable] を選択するまではグレー表示です。ASAが表示する syslog メッセージの種類を選択できます。

[Log Interval]:ログ メッセージ間の秒数を選択できます。

[Time Range]:事前定義済みの時間範囲パラメータ セットの名前を選択できます。

[...]:設定済みの時間範囲を参照する場合や、新たに追加する場合にクリックします。

クライアントレス SSL VPN の ACL の設定例

クライアントレス SSL VPN の ACL の例を次に示します。

アクション
Filter
影響

拒否

url http://*.yahoo.com/

Yahoo! すべてへのアクセスを拒否します。

拒否

url cifs://fileserver/share/directory

指定された場所にあるすべてのファイルへのアクセスを拒否します。

拒否

url https://www.example.com/ directory/file.html

指定されたファイルへのアクセスを拒否します。

[Permit]

url https://www.example.com/directory

指定された場所へのアクセスを許可します。

拒否

url http://*:8080/

ポート 8080 を介した任意の場所への HTTPS アクセスを拒否します。

拒否

url http://10.10.10.10

10.10.10.10 への HTTP アクセスを拒否します。

[Permit]

url any

任意の URL へのアクセスを許可します。通常は、url アクセスを拒否する ACL のあとに使用されます。

Cisco Secure Desktop の設定

Cisco Secure Desktop イメージがASAにインストールされている場合は、そのイメージのバージョンと状態が Cisco Secure Desktop Setup ウィンドウに表示され、イネーブルになっているかどうかが示されます。また、ASAには、Cisco Secure Desktop および SSL VPN Client を保持するためのキャッシュのサイズも表示されます。

次のようにして、ウィンドウのボタンを使用できます。

Cisco Secure Desktop イメージのコピーを、ローカル コンピュータから ASA のフラッシュ デバイスに転送するには、[Upload] をクリックします。

Cisco Secure Desktop のインストールまたはアップグレードの準備をするには、インターネット ブラウザを使用して、 http://www.cisco.com/cgi-bin/tablebuild.pl/securedesktop から自分の PC の任意の場所に、securedesktop_asa_< n >_< n >*.pkg ファイルをダウンロードします。次に、このボタンを使用して、そのファイルをローカル コンピュータからフラッシュ デバイスに転送します。[Browse Flash] をクリックして、実行コンフィギュレーションにインストールします。最後に、[Enable Secure Desktop] をクリックします。

ASA のフラッシュ デバイスにある Cisco Secure Desktop イメージをインストールしたり、置き換えたりするには、[Browse Flash] をクリックします。


) [Browse Flash] をクリックして Cisco Secure Desktop イメージをアップグレードまたはダウングレードし、インストールするパッケージを選択して [OK] をクリックすると、[Uninstall Cisco Secure Desktop] ダイアログ ウィンドウが表示され、現在実行コンフィギュレーションにある Cisco Secure Desktop ディストリビューションをフラッシュ デバイスから削除するかどうか尋ねられます。フラッシュ デバイスのスペースを節約する場合は [Yes] をクリックします。このオプションを残してこのバージョンの Cisco Secure Desktop に戻す場合は [No] をクリックします。


実行コンフィギュレーションから Cisco Secure Desktop イメージとコンフィギュレーション ファイル(sdesktop/data.xml)を削除するには、[Uninstall] をクリックします。

このボタンをクリックすると、[Uninstall Cisco Secure Desktop] ダイアログ ウィンドウが表示され、「[Secure Desktop Image] フィールド」で命名された Cisco Secure Desktop イメージと、すべての Cisco Secure Desktop データ ファイル(Cisco Secure Desktop コンフィギュレーション全体を含む)をフラッシュ デバイスから削除するかどうか尋ねられます。これらのファイルを実行コンフィギュレーションとフラッシュ デバイスの両方から削除する場合は、[Yes] をクリックします。これらのファイルを実行コンフィギュレーションから削除するが、フラッシュ デバイスには残しておく場合は、[No] をクリックします。

手順の詳細

実行コンフィギュレーションにロードされた Cisco Secure Desktop イメージが [Location] フィールドに表示されます。デフォルトでのファイル名の形式は、securedesktop_asa_<n>_<n>*.pkg です。


ステップ 1 このフィールドに値を挿入したり、値を編集したりするには、[Browse Flash] をクリックします。

ステップ 2 次の処理を実行するには、[Enable Secure Desktop] をクリックして、[Apply] をクリックします。

a. ファイルが有効な Cisco Secure Desktop イメージであることを確認する。

b. 「sdesktop」フォルダが disk0 に存在しない場合には作成する。

c. data.xml(Cisco Secure Desktop コンフィギュレーション)ファイルがまだ存在しない場合には、そのファイルを sdesktop フォルダに挿入する。

d. data.xml ファイルを実行コンフィギュレーションにロードする。


) data.xml ファイルを転送または置換する場合は、Cisco Secure Desktop を一度ディセーブルにし、その後再びイネーブルにしてファイルをロードします。


e. Cisco Secure Desktop をイネーブルにする。


 

イメージのアップロード

[Upload Image] ダイアログボックスでは、Cisco Secure Desktop イメージのコピーをローカル コンピュータからASAのフラッシュ デバイスに転送できます。このウィンドウを使用して、Cisco Secure Desktop をインストールまたはアップグレードします。

前提条件

このウィンドウを使用する前に、インターネット ブラウザを使用して、http://www.cisco.com/cgi-bin/tablebuild.pl/securedesktop からローカル コンピュータの任意の場所に securedesktop_asa_< n >_< n >*.pkg ファイルをダウンロードしてください。

手順の詳細

次のようにして、ウィンドウのボタンを使用できます。

転送する securedesktop_asa_< n >_< n >*.pkg ファイルのパスを選択するには、[Browse Local Files] をクリックします。[Selected File Path] ダイアログボックスに、自分のローカル コンピュータで最後にアクセスしたフォルダの内容が表示されます。securedesktop_asa_< n >_< n >*.pkg ファイルのある場所に移動し、そのファイルを選択して [Open] をクリックします。

ファイルのターゲット ディレクトリを選択するには、[Browse Flash] をクリックします。[Browse Flash] ダイアログボックスに、フラッシュ カードの内容が表示されます。

ローカル コンピュータからフラッシュ デバイスに securedesktop_asa_< n >_< n >*.pkg ファイルをアップロードするには、[Upload File] をクリックします。[Status] ウィンドウが表示され、ファイル転送中は開いたままの状態を維持します。転送が終わり、[Information] ウィンドウに「File is uploaded to flash successfully.」というメッセージが表示されたら、[OK] をクリックします。 [Upload Image] ダイアログボックスから、[Local File Path] フィールドと [Flash File System Path] フィールドの内容が削除されます。

[Upload Image] ダイアログボックスを閉じるには、[Close] をクリックします。このボタンは、Cisco Secure Desktop イメージをフラッシュ デバイスにアップロードした後に、またはイメージをアップロードしない場合にクリックしてください。アップロードした場合には、[Cisco Secure Desktop Setup] ウィンドウの [Secure Desktop Image] フィールドにそのファイル名が表示されます。アップロードしなかった場合には、「Are you sure you want to close the dialog without uploading the file?」と尋ねる [Close Message] ダイアログボックスが表示されます。ファイルをアップロードしない場合は、[OK] をクリックします。[Close Message] ダイアログボックスと [Upload Image] ダイアログボックスが閉じられ、[Cisco Secure Desktop Setup] ペインが表示されます。この処理が実行されない場合は、[Close Message] ダイアログボックスの [Cancel] をクリックします。ダイアログボックスが閉じられ、フィールドの値がそのままの状態で [Upload Image] ダイアログボックスが再度表示されます。[Upload File] をクリックします。


ステップ 1 ローカル コンピュータでの、securedesktop_asa_< n >_< n >*.pkg ファイルへのパスを指定します。[Browse Local] をクリックしてこのフィールドにパスを自動的に挿入するか、パスを入力します。次の例を参考にしてください。

D:\Documents and Settings\ Windows_user_name .AMER\My Documents\My Downloads\securedesktop_asa_3_1_1_16.pkg

ASDM が [Local File Path] フィールドにファイルのパスを挿入します。

ステップ 2 ASA のフラッシュ デバイス上のアップロード先パスと、対象ファイルの名前を指定します。[Browse Flash] をクリックしてこのフィールドにパスを自動的に挿入するか、パスを入力します。次に例を示します。

disk0:/securedesktop_asa_3_1_1_16.pkg

ローカル コンピュータで選択した Cisco Secure Desktop イメージのファイル名が、[Browse Flash] ダイアログボックスに表示されます。混乱を防ぐために、この名前を使用することをお勧めします。このフィールドに、選択したローカル ファイルと同じ名前が表示されていることを確認し、[OK] をクリックします。[Browse Flash] ダイアログボックスが閉じます。ASDM が [Flash File System Path] フィールドにアップロード先のファイル パスを挿入します。


 

アプリケーション プロファイル カスタマイゼーション フレームワークの設定

クライアントレス SSL VPN に組み込まれているアプリケーション プロファイル カスタマイゼーション フレームワーク オプションにより、ASA は標準以外のアプリケーションや Web リソースを処理し、クライアントレス SSL VPN 接続で正しく表示できます。APCF プロファイルには、特定のアプリケーションに関して、いつ(事前、事後)、どこの(ヘッダー、本文、要求、応答)、何(データ)を変換するかを指定するスクリプトがあります。スクリプトは XML 形式で記述され、sed(ストリーム エディタ)の構文を使用して文字列およびテキストを変換します。

APCF プロファイルは、ASA 上で、数種類を同時に実行することができます。1 つの APCF プロファイルのスクリプト内に複数の APCF ルールを適用することができます。この場合、ASAは、最も古いルール(設定履歴に基づいて)を最初に処理し、次に 2 番目に古いルール、その次は 3 番目という順序で処理します。

ASA で複数の APCF プロファイルを設定できます。1 つの APCF プロファイルのスクリプト内に複数の APCF ルールを適用することができます。ASA は、設定履歴に基づいて最も古いルールを最初に処理し、次に 2 番目に古いルール、その次は 3 番目という順序で処理します。

APCF プロファイルは、ASAのフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、または TFTP サーバに保存できます。

制約事項

APCF プロファイルは、シスコの担当者のサポートが受けられる場合のみ設定することをお勧めします。

APCF プロファイルの管理

APCF プロファイルは、ASA のフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、FTP サーバ、または TFTP サーバに保存できます。このペインは、APCF パッケージを追加、編集、および削除する場合と、パッケージを優先順位に応じて並べ替える場合に使用します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Application Helper] の順に進みます。ここでは、次の機能を実行できます。

[Add/Edit] をクリックして、新しい APCF プロファイルを作成するか、既存の APCF プロファイルを変更します。

[Flash file] を選択して、ASA のフラッシュ メモリに保存されている APCF ファイルを指定します。

次に [Upload] をクリックして、ローカル コンピュータから ASA のフラッシュ ファイル システムに APCF ファイルを取得するか、[Browse] をクリックしてフラッシュ メモリに既存する APCF を選択します。

[URL] を選択して、HTTP、HTTPS、FTP、または TFTP サーバから APCF ファイルを取得します。

[Delete] をクリックして、既存の APCF プロファイルを削除します。確認の画面は表示されず、やり直しもできません。

[Move Up] または [Move Down] をクリックして、リスト内の APCF プロファイルの順序を入れ替えます。順序は、使用される APCF プロファイルを決定します。

ステップ 2 リストに変更が加えられていない場合は、[Refresh] をクリックします。


 

APCF パッケージのアップロード

手順の詳細


ステップ 1 コンピュータ上にある APCF ファイルへのパスが表示されます。[Browse Local] をクリックしてこのフィールドにパスを自動的に挿入するか、パスを入力します。

ステップ 2 クリックして、自分のコンピュータ上の転送する APCF ファイルを指定および選択します。[Select File Path] ダイアログボックスに、自分のローカル コンピュータで最後にアクセスしたフォルダの内容が表示されます。APCF ファイルに移動して選択し、[Open] をクリックします。ASDM が [Local File Path] フィールドにファイルのパスを挿入します。

ステップ 3 APCF ファイルをアップロードする ASA 上のパスが [Flash File System Path] に表示されます。[Browse Flash] をクリックして、APCF ファイルをアップロードする ASA 上の場所を特定します。[Browse Flash] ダイアログボックスに、フラッシュ メモリの内容が表示されます。

ステップ 4 ローカル コンピュータで選択した APCF ファイルのファイル名が表示されます。混乱を防ぐために、この名前を使用することをお勧めします。このファイルの名前が正しく表示されていることを確認し、[OK] をクリックします。[Browse Flash] ダイアログボックスが閉じます。ASDM が [Flash File System Path] フィールドにアップロード先のファイル パスを挿入します。

ステップ 5 自分のコンピュータの APCF ファイルの場所と、APCF ファイルを ASA にダウンロードする場所を特定したら、[Upload File] をクリックします。

ステップ 6 [Status] ウィンドウが表示され、ファイル転送中は開いたままの状態を維持します。転送が終わり、[Information] ウィンドウに「File is uploaded to flash successfully.」というメッセージが表示されたら、[OK] をクリックします。[Upload Image] ダイアログ ウィンドウから、[Local File Path] フィールドと [Flash File System Path] フィールドの内容が削除されます。これは、別のファイルをアップロードできることを表します。別のファイルをアップロードするには、上記の手順を繰り返します。それ以外の場合は、[Close] をクリックします。

ステップ 7 [Upload Image] ダイアログ ウィンドウを閉じます。APCF ファイルをフラッシュ メモリにアップロードした後、またはアップロードしない場合に、[Close] をクリックします。アップロードする場合には、[APCF] ウィンドウの [APCF File Location] フィールドにファイル名が表示されます。アップロードしない場合には、「Are you sure you want to close the dialog without uploading the file?」と尋ねる [Close Message] ダイアログボックスが表示されます。ファイルをアップロードしない場合は、[OK] をクリックします。[Close Message] ダイアログボックスと [Upload Image] ダイアログボックスが閉じられ、APCF [Add/Edit] ペインが表示されます。この処理が実行されない場合は、[Close Message] ダイアログボックスの [Cancel] をクリックします。ダイアログボックスが閉じられ、フィールドの値がそのままの状態で [Upload Image] ダイアログボックスが再度表示されます。[Upload File] をクリックします。

APCF パケットの管理


ステップ 1 次のコマンドを使用して、APCF パケットを追加、編集、および削除し、パケットを優先順位に応じて並べ替えます。

[APCF File Location]:APCF パッケージの場所についての情報を表示します。ASAのフラッシュ メモリ、HTTP サーバ、HTTPS サーバ、FTP サーバ、または TFTP サーバのいずれかです。

[Add/Edit]:新規または既存の APCF プロファイルを追加または編集します。

[Delete]:既存の APCF プロファイルを削除します。確認されず、やり直しもできません。

[Move Up]:リスト内の APCF プロファイルを再配置します。リストにより、ASAが APCF プロファイルを使用するときの順序が決まります。

ステップ 2 [Flash file] をクリックして、ASA のフラッシュ メモリに保存されている APCF ファイルを指定します。

ステップ 3 フラッシュ メモリに保存されている APCF ファイルのパスを入力します。パスをすでに追加した場合は、それが、フラッシュ メモリに格納されている APCF ファイルを指定するために参照した後、そのファイルに対して表示されます。

ステップ 4 [Browse Flash] をクリックして、フラッシュ メモリを参照し、APCF ファイルを指定します。[Browse Flash Dialog] ペインが表示されます。[Folders] および [Files] 列を使用して APCF ファイルを指定します。APCF ファイルを選択して、[OK] をクリックします。ファイルへのパスが [Path] フィールドに表示されます。


) 最近ダウンロードした APCF ファイルの名前が表示されない場合には、[Refresh] をクリックします。


[Upload]:APCF ファイルをローカル コンピュータからASAのフラッシュ ファイル システムにアップロードします。[Upload APCF package] ペインが表示されます。

[URL]:HTTP サーバ、HTTPS、サーバ、または TFTP サーバに保存されている APCF ファイルを使用する場合に選択します。

[ftp, http, https, and tftp (unlabeled)]:サーバ タイプを特定します。

[URL (unlabeled)]:FTP、HTTP、HTTPS、または TFTP サーバへのパスを入力します。


 

APCF 構文

APCF プロファイルは、XML フォーマットおよび sed スクリプトの構文を使用します。 表 7-1 に、この場合に使用する XML タグを示します。

ガイドライン

APCF プロファイルの使い方を誤ると、パフォーマンスが低下したり、好ましくない表現のコンテンツになる場合があります。シスコのエンジニアリング部では、ほとんどの場合、APCF プロファイルを提供することで特定アプリケーションの表現上の問題を解決しています。

 

表 7-1 APCF XML タグ

タグ
使用目的

<APCF>...</APCF>

すべての APCF XML ファイルを開くための必須のルート要素。

<version>1.0</version>

APCF の実装バージョンを指定する必須のタグ。現在のバージョンは 1.0 だけです。

<application>...</application>

XML 記述の本文を囲む必須タグ。

<id> text </id>

この特定の APCF 機能を記述する必須タグ。

<apcf-entities>...</apcf-entities>

単一または複数の APCF エンティティを囲む必須タグ。

<js-object>...</js-object>

<html-object>...</html-object>

<process-request-header>...</process-request-header>

<process-response-header>...</process-response-header>

<preprocess-response-body>...</preprocess-response-body>

<postprocess-response-body>...</postprocess-response-body>

これらのタグのうちの 1 つが、コンテンツの種類または APCF 処理が実施される段階を指定します。

<conditions>...</conditions>

処理前および処理後の子要素タグで、次の処理基準を指定します。

http-version(1.1、1.0、0.9 など)

http-method(get、put、post、webdav)

http-scheme ("http"、"https" など)

("a".."z" | "A".."Z" | "0".."9" | ".-_*[]?"))を含む server-regexp 正規表現

("a".."z" | "A".."Z" | "0".."9" | ".-_*[]?+()\{},"))を含む server-fnmatch 正規表現

user-agent-regexp

user-agent-fnmatch

request-uri-regexp

request-uri-fnmatch

条件タグのうち 2 つ以上が存在する場合は、ASA はすべてのタグに対して論理 AND を実行します。

<action>...</action>

指定の条件下のコンテンツで実行する 1 つまたは複数のアクションを囲みます。これらのアクションは、<do>、<sed-script>、<rewrite-header>、<add-header>、および <delete-header> のタグで定義できます。

<do>...</do>

次のいずれかのアクションの定義に使用されるアクション タグの子要素です。

<no-rewrite/>:リモート サーバから受信したコンテンツを上書きしません。

<no-toolbar/>:ツールバーを挿入しません。

<no-gzip/>:コンテンツを圧縮しません。

<force-cache/>:元のキャッシュ命令を維持します。

<force-no-cache/>:オブジェクトをキャッシュできないようにします。

< downgrade-http-version-on-backend>:リモート サーバに要求を送信するときに HTTP/1.0 を使用します。

<sed-script> TEXT </sed-script>

テキストベースのオブジェクトのコンテンツの変更に使用されるアクション タグの子要素です。TEXT は有効な Sed スクリプトである必要があります。<sed-script> は、これより前に定義された <conditions> タグに適用されます。

<rewrite-header></rewrite-header>

アクション タグの子要素です。<header> の子要素タグで指定された HTTP ヘッダーの値を変更します(以下を参照してください)。

<add-header></add-header>

<header> の子要素タグで指定された新しい HTTP ヘッダーの追加に使用されるアクション タグの子要素です(以下を参照してください)。

<delete-header></delete-header>

<header> の子要素タグで指定された特定の HTTP ヘッダーの削除に使用されるアクション タグの子要素です(以下を参照してください)。

<header></header>

上書き、追加、または削除される HTTP ヘッダー名を指定します。たとえば、次のタグは Connection という名前の HTTP ヘッダーの値を変更します。

<rewrite-header>
<header>Connection</header>
<value>close</value>
</rewrite-header>

APCF の設定例

 
<APCF>
<version>1.0</version>
<application>
<id>Do not compress content from example.com</id>
<apcf-entities>
<process-request-header>
<conditions>
<server-fnmatch>*.example.com</server-fnmatch>
</conditions>
<action>
<do><no-gzip/></do>
</action>
</process-request-header>
</apcf-entities>
</application>
</APCF>
 
<APCF>
<version>1.0</version>
<application>
<id>Change MIME type for all .xyz objects</id>
<apcf-entities>
<process-response-header>
<conditions>
<request-uri-fnmatch>*.xyz</request-uri-fnmatch>
</conditions>
<action>
<rewrite-header>
<header>Content-Type</header>
<value>text/html</value>
</rewrite-header>
</action>
</process-response-header>
</apcf-entities>
</application>
</APCF>
 


 

パスワードの管理

オプションで、パスワードの期限切れが近づくとエンド ユーザに警告するようにASAを設定できます。

ASAでは、RADIUS および LDAP プロトコルのパスワード管理をサポートします。「password-expire-in-days」オプションは、LDAP のみでサポートされます。

IPsec リモート アクセスと SSL VPN トンネル グループのパスワード管理を設定できます。パスワード管理を設定すると、ASA は、リモート ユーザのログイン時に、現在のパスワードの期限切れが近づいていること、または期限が切れていることを通知します。それからASAは、ユーザがパスワードを変更できるようにします。現行のパスワードが失効していない場合、ユーザはそのパスワードを使用してログインし続けることができます。

このコマンドは、そのような通知をサポートする AAA サーバに対して有効です。

ASAのリリース 7.1 以降では通常、LDAP による認証時、または MS-CHAPv2 をサポートする RADIUS コンフィギュレーションによる認証時に、次の接続タイプに対するパスワード管理がサポートされます。

AnyConnect VPN クライアント

IPsec VPN クライアント

クライアントレス SSL VPN

RADIUS サーバ(Cisco ACS など)は、認証要求を別の認証サーバにプロキシする場合があります。ただし、ASAからは RADIUS サーバのみに対して通信しているように見えます。

前提条件

ネイティブ LDAP には、SSL 接続が必要です。LDAP のパスワード管理を実行する前に、SSL 上での LDAP をイネーブルにする必要があります。デフォルトでは、LDAP はポート 636 を使用します。

認証に LDAP ディレクトリ サーバを使用している場合、パスワード管理は Sun JAVA System Directory Server(旧名称は Sun ONE Directory Server)および Microsoft Active Directory を使用してサポートされます。

Sun:Sun ディレクトリ サーバにアクセスするために ASA に設定されている DN は、そのサーバ上のデフォルト パスワード ポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザを使用することを推奨します。または、デフォルト パスワード ポリシーに ACI を設定できます。

Microsoft:Microsoft Active Directory を使用したパスワード管理をイネーブルにするには、LDAP over SSL を設定する必要があります。制約事項

MSCHAP をサポートする一部の RADIUS サーバは、現在 MSCHAPv2 をサポートしていません。このコマンドには MSCHAPv2 が必要なため、ベンダーに問い合わせてください。

Kerberos/Active Directory(Windows パスワード)または NT 4.0 ドメインでは、これらの接続タイプのいずれについても、パスワード管理はサポート されません

LDAP でパスワードを変更するには、市販の LDAP サーバごとに独自の方法が使用されています。現在、ASAでは Microsoft Active Directory および Sun LDAP サーバに対してのみ、独自のパスワード管理ロジックを実装しています。

RADIUS または LDAP 認証が設定されていない場合、ASAではこのコマンドが無視されます。

手順の詳細


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > [Add or Edit] > [Advanced] > [General] > [Password Management] に移動します。

ステップ 2 [Enable password management] オプションをクリックします。


 

シスコの認証スキームの SiteMinder への追加

SiteMinder による SSO を使用するためのASAの設定に加え、Java プラグインとして提供されているシスコの認証スキーム(シスコの Web サイトからダウンロード)を使用するようにユーザの CA SiteMinder Policy Server を設定する必要もあります。

前提条件

SiteMinder Policy Server を設定するには、SiteMinder の経験が必要です。

手順の詳細

この項では、手順のすべてではなく、一般的なタスクを取り上げます。ユーザの SiteMinder Policy Server にシスコの認証スキームを設定するには、次の手順を実行します。


ステップ 1 SiteMinder Administration ユーティリティを使用して、次の特定の引数を使用できるようにカスタム認証スキームを作成します。

Library フィールドに、 smjavaapi と入力します。

Secret フィールドに、ASAに設定したものと同じ秘密キーを入力します。

コマンドライン インターフェイスで policy-server-secret コマンドを使用して、ASAに秘密キーを設定します。

Parameter フィールドに、 CiscoAuthAPI と入力します。

ステップ 2 Cisco.com にログインして、 http://www.cisco.com/cisco/software/navigator.html から cisco_vpn_auth.jar ファイルをダウンロードして、SiteMinder サーバのデフォルトのライブラリ ディレクトリにコピーします。この .jar ファイルは、Cisco ASA CD にも含まれています。

SAML POST SSO サーバの設定

サーバ ソフトウェアのベンダーが提供する SAML サーバのマニュアルを使用して、Relying Party モードで SAML サーバを設定します。次の手順には、Browser Post Profile に SAML サーバを設定するために必要な特定のパラメータが一覧表示されています。

手順の詳細


ステップ 1 アサーティング パーティ(ASA)を表す SAML サーバ パラメータを設定します。

Recipient consumer URL(ASA で設定する assertion consumer URL と同一)

Issuer ID(通常はアプライアンスのホスト名である文字列)

Profile type:Browser Post Profile

ステップ 2 証明書を設定します。

ステップ 3 アサーティング パーティのアサーションには署名が必要なことを指定します。

ステップ 4 SAML サーバがユーザを特定する方法を、次のように選択します。

Subject Name Type が DN

Subject Name format が uid=<user>

HTTP Form プロトコルを使用した SSO の設定

この項では、SSO における HTTP Form プロトコルの使用について説明します。HTTP Form プロトコルは、SSO 認証を実行するための手段で、AAA 方式としても使用できます。このプロトコルは、クライアントレス SSL VPN のユーザおよび認証を行う Web サーバの間で認証情報を交換するセキュアな方法を提供します。RADIUS サーバや LDAP サーバなどの他の AAA サーバと組み合わせて使用することができます。

前提条件

HTTP プロトコルを使用して SSO を正しく設定するには、認証と HTTP プロトコル交換についての詳しい実務知識が必要です。

制約事項

これは、一般的なプロトコルとして、認証に使用する Web サーバ アプリケーションの次の条件に一致する場合にだけ適用できます。

認証クッキーは、正常な要求に対して設定され、未許可のログインに対して設定されないようにする必要があります。この場合、ASA は、失敗した認証から正常な要求を識別することはできません。

手順の詳細

ASAは、ここでも認証 Web サーバに対するクライアントレス SSL VPN のユーザのプロキシとして機能しますが、この場合は、要求に対して HTTP Form プロトコルと POST 方式を使用します。フォーム データを送受信するようにASAを設定する必要があります。図 7-4 は、次の SSO 認証手順を示しています。


ステップ 1 最初に、クライアントレス SSL VPN のユーザは、ユーザ名とパスワードを入力してASA上のクライアントレス SSL VPN サーバにログインします。

ステップ 2 ユーザのプロキシとして動作するクライアントレス SSL VPN サーバは、このフォーム データ(ユーザ名およびパスワード)を、POST 認証要求を使用して認証する Web サーバに転送します。

ステップ 3 認証する Web サーバがユーザのデータを承認した場合は、認証クッキーをユーザの代行で保存していたクライアントレス SSL VPN サーバに戻します。

ステップ 4 クライアントレス SSL VPN サーバはユーザまでのトンネルを確立します。

ステップ 5 これでユーザは、ユーザ名やパスワードを再入力しなくても、保護された SSO 環境内の他の Web サイトにアクセスできるようになります。

図 7-4 HTTP Form を使用した SSO 認証

 

ASAでユーザ名やパスワードなどの POST データを含めるようにフォーム パラメータを設定しても、Web サーバが要求する非表示のパラメータが追加されたことに、ユーザが最初に気付かない可能性があります。認証アプリケーションの中には、ユーザ側に表示されず、ユーザが入力することもない非表示データを要求するものもあります。ただし、認証 Web サーバが要求する非表示パラメータを見つけるのは可能です。これは、ASAを仲介役のプロキシとして使用せずに、ユーザのブラウザから Web サーバに直接認証要求を出す方法で行います。HTTP ヘッダー アナライザを使用して Web サーバの応答を分析すると、非表示パラメータが次のような形式で表示されます。

<param name>=<URL encoded value>&<param name>=<URL encoded>
 

非表示パラメータには、必須のパラメータとオプションのパラメータとがあります。Web サーバが非表示パラメータのデータを要求すると、Web サーバはそのデータを省略するすべての認証 POST 要求を拒否します。ヘッダー アナライザは、非表示パラメータが必須かオプションかについては伝えないため、必須のパラメータが判別できるまではすべての非表示パラメータを含めておくことをお勧めします。


 

HTTP Form データの収集

この項では、必要な HTTP Form データを検出および収集する手順を示します。認証 Web サーバが要求するパラメータが何かわからない場合は、次の手順を実行して認証交換を分析するとパラメータ データを収集することができます。

前提条件

これらの手順では、ブラウザと HTTP ヘッダー アナライザが必要です。

手順の詳細


ステップ 1 ユーザのブラウザと HTTP ヘッダー アナライザを起動して、ASAを経由せずに Web サーバのログイン ページに直接接続します。

ステップ 2 Web サーバのログイン ページがユーザのブラウザにロードされてから、ログイン シーケンスを検証して交換時にクッキーが設定されているかどうか判別します。Web サーバによってログイン ページにクッキーがロードされている場合は、このログイン ページの URL を start-URL として設定します。

ステップ 3 Web サーバにログインするためのユーザ名とパスワードを入力して、Enter を押します。この動作によって、ユーザが検証する認証 POST 要求が HTTP ヘッダー アナライザを使用して生成されます。

次に、ホストの HTTP ヘッダーおよび本文が記載された POST 要求の例を示します。

POST /emco/myemco/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000430e1-7443-125c-ac05
-83846dc90034&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIr
NT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fwww.example.com%2Femco%2Fmye
mco%2FHTTP/1.1

Host: www.example.com

(BODY)

SMENC=ISO-8859-1&SMLOCALE=US-EN&USERID=Anyuser&USER_PASSWORD=XXXXXX&target=https%3A%2F%
2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0

ステップ 4 POST 要求を検証してプロトコル、ホストをコピーし、URL を入力して action-uri パラメータを設定します。

ステップ 5 POST 要求の本文を検証して、次の情報をコピーします。

a. ユーザ名パラメータ。上記の例では、このパラメータは USERID で、値 anyuser ではありません。

b. パスワード パラメータ。上記の例では、このパラメータは USER_PASSWORD です。

c. 非表示パラメータ。このパラメータは、POST 本文からユーザ名パラメータとパスワード パラメータを除くすべてです。上記の例では、非表示パラメータは、SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0 の部分です。

図 7-5 は、HTTP アナライザの出力例に表示される action URI、非表示、ユーザ名、パスワードの各種パラメータを強調して示したものです。これは一例です。出力は Web サイトによって大幅に異なることがあります。

図 7-5 action-uri、非表示、ユーザ名、パスワードの各種パラメータ

 

ステップ 6 Web サーバへのログインが成功したら、HTTP ヘッダー アナライザを使用して、サーバからユーザのブラウザに設定されているクッキー名を見つけ出すことによって、サーバの応答を検証します。これは auth-cookie-name パラメータです。

次のサーバ応答ヘッダーでは、SMSESSION がセッションのクッキーの名前です。必要なのはこの名前だけです。値は不要です。図 7-6 に、HTTP アナライザによる許可クッキーの出力例を示します。これは一例です。出力は Web サイトによって大幅に異なることがあります。

図 7-6 HTTP アナライザの出力例に表示された許可クッキー

 

 

1

許可クッキー

ステップ 7 場合によっては、認証の成否にかかわらず同じクッキーがサーバによって設定される可能性があり、このようなクッキーは、SSO の目的上、認められません。Cookie が異なっていることを確認するには、無効なログイン クレデンシャルを使用してステップ 1 からステップ 6 を繰り返し、「失敗」Cookie と「成功した」Cookie とを比較します。

これで、HTTP Form プロトコルによる SSO をASAに設定するために必要なパラメータ データを入手できました。


 

自動サインオンの使用

[Auto Signon] ウィンドウまたはタブでは、クライアントレス SSL VPN ユーザの自動サインオンを設定または編集できます。自動サインオンは、内部ネットワークに SSO 方式をまだ展開していない場合に使用できる簡素化された単一サインオン方式です。特定の内部サーバに対して自動サインオンを設定すると、ASA は、クライアントレス SSL VPN ユーザが ASA へのログインで入力したログイン クレデンシャル(ユーザ名とパスワード)をそれら特定の内部サーバに渡します。特定の範囲のサーバの特定の認証方式に応答するように、ASAを設定します。ASAが応答するように設定可能な認証方式は、Basic(HTTP)、NTLM、FTP と CIFS、またはこれらの方式すべてを使用する認証で構成されます。

ユーザ名とパスワードのルックアップが ASA で失敗した場合は、空の文字列で置き換えられ、動作は自動サインオンが不可の場合の状態に戻されます。

自動サインオンは、特定の内部サーバに SSO を設定する直接的な方法です。この項では、自動サインオンを行うように SSO をセットアップする手順について説明します。Computer Associates の SiteMinder SSO サーバを使用して SSO をすでに展開しているか、または Security Assertion Markup Language(SAML)Browser Post Profile SSO を使用している場合、およびこのソリューションをサポートするように ASA を設定する場合は、「SSO サーバ」を参照してください。

次のフィールドが表示されます。

[IP Address]:次の [Mask] と組み合わせて、認証されるサーバの IP アドレスの範囲を [Add/Edit Auto Signon] ダイアログボックスで設定されたとおりに表示します。サーバは、サーバの URI またはサーバの IP アドレスとマスクで指定できます。

[Mask]:前の [IP Address] と組み合わせて、[Add/Edit Auto Signon] ダイアログボックスで自動サインオンをサポートするように設定されたサーバの IP アドレスの範囲を表示します。

[URI]:[Add/Edit Auto Signon] ダイアログボックスで設定されたサーバを識別する URI マスクを表示します。

[Authentication Type]:[Add/Edit Auto Signon] ダイアログボックスで設定された認証のタイプ(Basic(HTTP)、NTLM、FTP と CIFS、またはこれらの方式すべて)を表示します。

制約事項

認証が不要なサーバ、またはASAとは異なるクレデンシャルを使用するサーバでは、自動サインオンをイネーブルにしないでください。自動サインオンがイネーブルの場合、ASAは、ユーザ ストレージにあるクレデンシャルに関係なく、ユーザがASAへのログインで入力したログイン クレデンシャルを渡します。

一定範囲のサーバに対して 1 つの方式(HTTP Basic など)を設定する場合に、その中の 1 台のサーバが異なる方式(NTLM など)で認証を試みると、ASAはユーザのログイン クレデンシャルをそのサーバに渡しません。

手順の詳細


ステップ 1 クリックして自動サインオン命令を追加または編集します。自動サインオン命令は、自動サインオン機能を使用する内部サーバの範囲と、特定の認証方式を定義します。

ステップ 2 クリックして [Auto Signon] テーブルで選択した自動サインオン命令を削除します。

ステップ 3 [IP Block] をクリックして、IP アドレスとマスクを使用して内部サーバの範囲を指定します。

[IP Address]:自動サインオンを設定する範囲の最初のサーバの IP アドレスを入力します。

[Mask]:[subnet mask] メニューで、自動サインオンをサポートするサーバのサーバ アドレス範囲を定義するサブネット マスクを選択します。

ステップ 4 [URI] をクリックして、URI によって自動サインオンをサポートするサーバを指定し、このボタンの横にあるフィールドに URI を入力します。

ステップ 5 サーバに割り当てられる認証方式を決定します。指定された範囲のサーバの場合には、Basic HTTP 認証要求、NTLM 認証要求、FTP と CIFS の認証要求、またはこれら方式のいずれかを使用する要求に応答するにように、ASAを設定できます。

[Basic]:サーバが Basic(HTTP)認証をサポートする場合は、このボタンをクリックします。

[NTLM]:サーバが NTLMv1 認証をサポートする場合は、このボタンをクリックします。

[FTP/CIFS]:サーバが FTP と CIFS の認証をサポートする場合は、このボタンをクリックします。

[Basic, NTLM, and FTP/CIFS]:サーバが上のすべての方式をサポートする場合は、このボタンをクリックします。


 

Virtual Desktop Infrastructure(VDI)へのアクセス

VDI モデルでは、管理者は、企業アプリケーションまたは企業アプリケーションに事前にロードされているデスクトップをパブリッシュし、エンド ユーザは、これらのアプリケーションにリモート アクセスします。これらの仮想リソースは、ユーザが Citrix Access Gateway を移動してアクセスする必要がないように、電子メールなどのその他のリソースと同様に表示されます。ユーザは Citrix Receiver モバイル クライアントを使用して ASA にログオンし、ASA は事前定義された Citrix XenApp または XenDesktop サーバに接続されます。ユーザが Citrix の仮想化されたリソースに接続する場合に、Citrix サーバのアドレスおよびクレデンシャルをポイントするのではなく、ASA の SSL VPN IP アドレスおよびクレデンシャルを入力するように、管理者は [Group Policy] で Citrix サーバのアドレスおよびログオン クレデンシャルを設定する必要があります。ASA がクレデンシャルを確認したら、受信側クライアントは ASA 経由で許可されているアプリケーションの取得を開始します。

サポートされているモバイル デバイス

iPad:Citrix Receiver バージョン 4.x 以降

iPhone/iTouch:Citrix Receiver バージョン 4.x 以降

Android 2.x/3.x/4.0/4.1 電話機:Citrix Receiver バージョン 2.x 以降

Android 4.0 電話機:Citrix Receiver バージョン 2.x 以降

制限事項

Citrix Receiver クライアントがアクセスできる XenApp/XenDesktop サーバは一度に 1 つのみです。

手順の詳細


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] を参照します。

ステップ 2 DfltGrpPolicy を編集し、左側のメニューから [More Options] メニューを展開します。

ステップ 3 [VDI Access] を選択します。[Add] または [Edit] をクリックして、VDI サーバの詳細を表示します。

[Server](ホスト名または IP アドレス):XenApp または XenDesktop サーバのアドレス。この値は、クライアントレス マクロにすることができます。

[Port Number](任意):Citrix サーバに接続するためのポート番号。この値は、クライアントレス マクロにすることができます。

[Active Directory Domain Name]:仮想化インフラストラクチャ サーバにログインするためのドメイン。この値は、クライアントレス マクロにすることができます。

[Use SSL Connection]:サーバに SSL を使用して接続する場合、チェックボックスをオンにします。

[Username]:仮想化インフラストラクチャ サーバにログインするためのユーザ名。この値は、クライアントレス マクロにすることができます。

[Password]:仮想化インフラストラクチャ サーバにログインするためのパスワード。この値は、クライアントレス マクロにすることができます。


 

セッションの設定

クライアントレス SSL VPN の [Add/Edit Internal Group Policy] > [More Options] > [Session Settings] ウィンドウでは、クライアントレス SSL VPN のセッションからセッションの間にパーソナライズされたユーザ情報を指定できます。デフォルトにより、各グループ ポリシーはデフォルトのグループ ポリシーから設定を継承します。このウィンドウを使用して、デフォルト グループ ポリシーのパーソナライズされたクライアントレス SSL VPN ユーザ情報、およびこれらの設定値を区別するグループ ポリシーすべてを指定します。

手順の詳細


ステップ 1 [none] をクリックするか、または [User Storage Location] ドロップダウン メニューからファイル サーバ プロトコル(smb または ftp)をクリックします。シスコでは、ユーザ ストレージに CIFS を使用することを推奨します。ユーザ名/パスワードまたはポート番号を使用せずに CIFS を設定できます。[CIFS] を選択した場合は、次の構文を入力してください。 cifs//cifs-share/user/data [smb] または [ftp] を選択する場合は、次の構文を使用して、隣のテキスト フィールドにファイル システムの宛先を入力します。

username : password @ host : port-number / path

次に例を示します。

mike:mysecret@ftpserver3:2323/public


) このコンフィギュレーションには、ユーザ名、パスワード、および事前共有キーが示されていますが、ASAは、内部アルゴリズムを使用して暗号化された形式でデータを保存し、そのデータを保護します。


ステップ 2 必要な場合は、保管場所へユーザがアクセスできるようにするためにセキュリティ アプライアンスが渡す文字列を入力します。

ステップ 3 [Storage Objects] ドロップダウン メニューから次のいずれかのオプションを選択して、ユーザとの関連でサーバが使用するオブジェクトを指定します。ASAは、これらのオブジェクトを保存してクライアントレス SSL VPN 接続をサポートします。

cookies,credentials

cookies

クレデンシャル

ステップ 4 セッションをタイムアウトするときのトランザクション サイズの限界値を KB 単位で入力します。この属性は、1 つのトランザクションにだけ適用されます。この値よりも大きなトランザクションだけが、セッションの期限切れクロックをリセットします。


 

Java Code Signer

コード署名により、デジタル署名が、実行可能なコードそのものに追加されます。このデジタル署名には、さまざまな情報が保持されています。署名以降にそのコードが変更されていないことを保証するだけでなく、署名者を認証する場合に使用することもできます。

コード署名者証明書は、関連付けられている秘密キーがデジタル署名の作成に使用される特殊な証明書です。コードの署名に使用される証明書は CA から取得され、署名されたコードそのものが証明書の発生元を示します。

Java オブジェクト署名で使用する、設定された証明書をドロップダウン リストから選択します。

Java Code Signer を設定するには、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Java Code Signer] を選択します。

クライアントレス SSL VPN によって変換された Java オブジェクトは、その後、トラストポイントに関連付けられている PKCS12 デジタル証明書を使用して署名することができます。[Java Trustpoint] ペインでは、指定されたトラストポイントの場所から PKCS12 証明書とキー関連情報を使用するように、クライアントレス SSL VPN Java オブジェクト署名機能を設定できます。

トラストポイントをインポートするには、[Configuration] > [Properties] > [Certificate] > [Trustpoint] > [Import] を選択します。

エンコーディング

エンコーディングを使用すると、クライアントレス SSL VPN ポータル ページの文字エンコーディングを表示または指定できます。

文字エンコーディング は「文字コード」や「文字セット」とも呼ばれ、raw データ(0 や 1 など)を文字と組み合わせ、データを表します。使用する文字エンコード方式は、言語によって決まります。単一の方式を使う言語もあれば、使わない言語もあります。通常は、地域によってブラウザで使用されるデフォルトのコード方式が決まりますが、リモート ユーザが変更することもできます。ブラウザはページに指定されたエンコードを検出することもでき、そのエンコードに従ってドキュメントを表示します。

エンコード属性によりポータル ページで使用される文字コード方式の値を指定することで、ユーザがブラウザを使用している地域や、ブラウザに対する何らかの変更に関係なく、ページが正しく表示されるようにできます。

デフォルトでは、ASA は「Global Encoding Type」を Common Internet File System(共通インターネット ファイル システム)サーバからのページに適用します。CIFS サーバと適切な文字エンコーディングとのマッピングを、[Global Encoding Type] 属性によってグローバルに、そしてテーブルに示されているファイル エンコーディング例外を使用して個別に行うことにより、ファイル名やディレクトリ パス、およびページの適切なレンダリングが問題となる場合に、CIFS ページが正確に処理および表示できるようにします。

手順の詳細


ステップ 1 [Global Encoding Type] によって、表に記載されている CIFS サーバからの文字エンコーディングを除いて、すべてのクライアントレス SSL VPN ポータル ページが継承する文字エンコーディングが決まります。文字列を入力するか、ドロップダウン リストから選択肢を 1 つ選択します。リストには、最も一般的な次の値だけが表示されます。

big5

gb2312

ibm-850

iso-8859-1

shift_jis



unicode

windows-1252

none


) [none] をクリックするか、またはクライアントレス SSL VPN セッションのブラウザがサポートしていない値を指定した場合には、ブラウザのデフォルトのコードが使用されます。


最大 40 文字から成り、 http://www.iana.org/assignments/character-sets で指定されているいずれかの有効文字セットと同じ文字列を入力できます。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。このストリングは、大文字と小文字が区別されません。ASAの設定を保存したときに、コマンド インタープリタが大文字を小文字に変換します。

ステップ 2 エンコーディング要件が [Global Encoding Type] 属性設定とは異なる CIFS サーバの名前または IP アドレスを入力します。ASAでは、指定した大文字と小文字の区別が保持されますが、名前をサーバと照合するときには大文字と小文字は区別されません。

ステップ 3 CIFS サーバがクライアントレス SSL VPN ポータル ページに対して指定する必要のある文字エンコーディングを選択します。文字列を入力するか、ドロップダウン リストから選択します。リストには、最も一般的な次の値だけが登録されています。

big5

gb2312

ibm-850

iso-8859-1

shift_jis


) 日本語の Shift_jis 文字エンコーディングを使用している場合は、関連付けられている [Select Page Font] ペインの [Font Family] 領域にある [Do not specify] をクリックして、このフォント ファミリを削除します。


unicode

windows-1252

none

[none] をクリックするか、またはクライアントレス SSL VPN セッションのブラウザがサポートしていない値を指定した場合には、ブラウザのデフォルトのコードが使用されます。

最大 40 文字から成り、 http://www.iana.org/assignments/character-sets で指定されているいずれかの有効文字セットと同じ文字列を入力できます。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。このストリングは、大文字と小文字が区別されません。ASAの設定を保存したときに、コマンド インタープリタが大文字を小文字に変換します。


 

コンテンツ キャッシュ

キャッシュにより、クライアントレス SSL VPN のパフォーマンスを強化します。頻繁に再利用されるオブジェクトをシステム キャッシュに格納することで、書き換えの繰り返しやコンテンツの圧縮の必要性を低減します。キャッシュを使用することでトラフィック量が減り、結果として多くのアプリケーションがより効率的に実行されます。

手順の詳細


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Content Cache] の順に選択します。

ステップ 2 [Enable Cache] がオフの場合は、オンにします。

ステップ 3 キャッシング条件を定義します。

[Maximum Object Size]:ASAがキャッシュできるドキュメントの最大サイズを KB 単位で入力します。ASAが、オブジェクトの元の(書き換えまたは圧縮されていない)コンテンツの長さを測定します。範囲は 0 ~ 10,000 KB で、デフォルトは 1,000 KB です。

[Minimum Object Size]:ASAがキャッシュできるドキュメントの最小サイズを KB 単位で入力します。ASAが、オブジェクトの元の(書き換えまたは圧縮されていない)コンテンツの長さを測定します。範囲は 0 ~ 10,000 KB で、デフォルトは 0 KB です。


) [Maximum Object Size] は、[Minimum Object Size] よりも大きい値にする必要があります。


[Expiration Time]:0 ~ 900 の整数を入力して、オブジェクトを再検証しないでキャッシュする分数を設定します。デフォルトは 1 分です。

[LM Factor]:1 ~ 100 の整数を入力します。デフォルトは 20 です。

LM 因数は、最終変更タイムスタンプだけを持つオブジェクトをキャッシュするためのポリシーを設定します。これによって、サーバ設定の変更値を持たないオブジェクトが再検証されます。ASAは、オブジェクトが変更された後、およびオブジェクトが期限切れの時刻を呼び出した後の経過時間を推定します。推定された期限切れ時刻は、最終変更後の経過時間と LM 因数の積に一致します。LM 因数を 0 に設定すると、ただちに再検証が実行され、100 に設定すると、再検証までの許容最長時間になります。

期限切れ時刻は、ASAが、最終変更タイムスタンプがなく、サーバ設定の期限切れ時刻も明示されていないオブジェクトをキャッシュする時間の長さを設定します。

[Cache static content]:たとえば PDF ファイルやイメージなど、リライトされることのないすべてのコンテンツをキャッシュします。

[Restore Cache Default]:すべてのキャッシュ パラメータをデフォルト値に戻します。


 

Content Rewrite

[Content Rewrite] ペインには、コンテンツのリライトがイネーブルまたはディセーブルであるすべてのアプリケーションが一覧表示されます。

クライアントレス SSL VPN では、コンテンツ変換およびリライト エンジンによって、JavaScript、VBScript、Java、マルチバイト文字などの高度な要素からプロキシ HTTP へのトラフィックまでを含む、アプリケーション トラフィックを処理します。このようなトラフィックでは、ユーザがアプリケーションにアクセスするのに SSL VPN デバイス内部からアプリケーションを使用しているか、SSL VPN デバイスに依存せずに使用しているかによって、セマンティックやアクセス コントロールのルールが異なる場合があります。

デフォルトでは、セキュリティ アプライアンスはすべてのクライアントレス トラフィックをリライト、または変換します。公開 Web サイトなどの一部のアプリケーションや Web リソースによっては、ASAを通過しない設定が求められる場合があります。このため、ASAでは、特定のサイトやアプリケーションを ASA を通過せずにブラウズできるリライト規則を作成できます。これは、VPN 接続におけるスプリット トンネリンに似ています。

リライト ルールは複数作成できます。セキュリティ アプライアンスはリライト ルールを順序番号に従って検索するため、ルールの番号は重要です。このとき、最下位の番号から順に検索して行き、最初に一致したルールが適用されます。

「コンテンツ リライト ルールの設定例」に、コンテンツ リライト ルールを例示します。


) これらの機能強化は、ASA 9.0 の Content Rewriter に行われました。

コンテンツ リライトは、HTML5 に対するサポートを追加しました。

クライアントレス SSL VPN リライタ エンジンの品質と有効性が大きく向上しました。その結果、クライアントレス SSL VPN ユーザのエンドユーザ エクスペリエンスも向上が期待できます。


 

手順の詳細

[Content Rewrite] テーブルには、次のカラムがあります。

[Rule Number]:リスト内でのルールの位置を示す整数を表示します。

[Rule Name]:ルールが適用されるアプリケーションの名前を付けます。

[Rewrite Enabled]:コンテンツのリライトを、イネーブルかディセーブルで表示します。

[Resource Mask]:リソース マスクを入力します。

次の手順は、リライト エントリを追加する方法、または選択したリライト エントリを編集する方法を説明します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Content Rewrite] の順に進みます。

ステップ 2 [Add] または [Edit] をクリックして、コンテンツ リライト ルールを作成または更新します。

ステップ 3 このルールをイネーブルにするには、[Enable content rewrite] をオンにする必要があります。

ステップ 4 このルールの番号を入力します。この番号は、リストの他のルールに相対的に、そのルールの優先順位を示します。番号がないルールはリストの最後に配置されます。有効な範囲は 1 ~ 65534 です。

ステップ 5 (任意)ルールについて説明する英数字を指定します。最大 128 文字です。

ステップ 6 ルールを適用するアプリケーションやリソースに対応する文字列を入力します。文字列の長さは最大で 300 文字です。次のいずれかのワイルドカードを使用できますが、少なくとも 1 つの英数字を指定する必要があります。

*:すべてに一致します。ASDM では、* または *.* で構成されるマスクは受け付けません。

?:任意の 1 文字に一致します。

[!seq]:シーケンスにない任意の文字に一致します。

[seq]:シーケンス内の任意の文字に一致します。

コンテンツ リライト ルールの設定例

 

表 7-2 コンテンツ リライト ルール

機能
コンテンツのリライトをイネーブルにする
ルール番号
ルール名
リソース マスク

youtube.com での HTTP URL のリライタをディセーブルにする

オフ

1

no-rewrite-youtube

*.youtube.com/*

上記のルールに一致しないすべての HTTP URL のリライタをイネーブルにする

Check

65,535

rewrite-all

*

プラグインへのブラウザ アクセスの設定

次の項では、クライアントレス SSL VPN のブラウザ アクセス用のブラウザ プラグインの統合について説明します。

「プラグインのためのセキュリティ アプライアンスの準備」

「シスコが再配布しているプラグインのインストール」

「Citrix XenApp Server へのアクセスの提供」

ブラウザ プラグインは、Web ブラウザによって呼び出される独立したプログラムで、ブラウザ ウィンドウ内でクライアントをサーバに接続するなどの専用の機能を実行します。ASAを使用すると、クライアントレス SSL VPN セッション中に、リモート ブラウザにダウンロードするプラグインをインポートできます。通常、シスコでは再配布するプラグインのテストを行っており、再配布できないプラグインの接続性をテストする場合もあります。ただし、現時点では、ストリーミング メディアをサポートするプラグインのインポートは推奨しません。

プラグインをフラッシュ デバイスにインストールすると、ASAは次の処理を実行します。

(シスコが配布したプラグインのみ) URL で指定した jar ファイルを解凍する。

ASA ファイル システムにファイルを書き込みます。

ASDM の URL 属性の横にあるドロップダウン メニューに情報を入力します。

将来のすべてのクライアントレス SSL VPN セッションに対するプラグインのイネーブル化、およびメイン メニュー オプションの追加とポータル ページの [Address] フィールドの隣にあるドロップダウン メニューへのオプションの追加

表 7-3 に、次の項で説明するプラグインを追加したときの、ポータル ページのメイン メニューと [Address] フィールドの変更点を示します。

* 推奨されないプラグイン。

表 7-3 クライアントレス SSL VPN ポータル ページへのプラグインの影響

プラグイン
ポータル ページに追加されるメイン メニュー オプション
ポータル ページに追加される [Address] フィールド オプション

ica

Citrix MetaFrame Services

ica://

rdp

Terminal Servers

rdp://

rdp2*

Terminal Servers Vista

rdp2://

ssh,telnet

Secure Shell

ssh://

Telnet services(v1 および v2 をサポート)

telnet://

vnc

Virtual Network Computing services

vnc://

クライアントレス SSL VPN セッションのユーザがポータル ページで関連するメニュー オプションをクリックすると、ポータル ページにインターフェイスへのウィンドウが開き、ヘルプ ペインが表示されます。ドロップダウン メニューに表示されたプロトコルをユーザが選択して [Address] フィールドに URL を入力すると、接続を確立できます。プラグインは、シングル サインオン(SSO)をサポートします。実装の詳細については、「HTTP Form プロトコルを使用した SSO の設定」を参照してください。

リモートで使用するために必要な最低限のアクセス権は、ゲスト特権モードに属しています。

前提条件

プラグインへのリモートアクセスを提供するには、ASAでクライアントレス SSL VPN をイネーブルにする必要があります。

プラグインに対して SSO サポートを設定するには、プラグインをインストールし、サーバへのリンクを表示するためのブックマーク エントリを追加します。また、ブックマークを追加するときに、SSO サポートを指定します。

リモートで使用するために必要な最低限のアクセス権は、ゲスト特権モードに属しています。

プラグインには、ActiveX または Oracle Java ランタイム環境(JRE)が必要です。バージョン要件については、「 compatibility matrix 」を参照してください。

制約事項


) Remote Desktop Protocol プラグインでは、セッション ブローカを使用したロード バランシングはサポートされていません。プロトコルによるセッション ブローカからのリダイレクションの処理方法のため、接続に失敗します。セッション ブローカが使用されていない場合、プラグインは動作します。


プラグインは、シングル サインオン(SSO)をサポートします。プラグインは、クライアントレス SSL VPN セッションを開くときに入力したクレデンシャルと 同じ クレデンシャルを使用します。プラグインはマクロ置換をサポートしないため、内部ドメイン パスワードなどのさまざまなフィールドや、RADIUS または LDAP サーバの属性で SSO を実行するオプションはありません。

ステートフル フェールオーバーが発生すると、プラグインを使用して確立されたセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

ステートフル フェールオーバーではなくステートレス フェールオーバーを使用する場合は、ブックマーク、カスタマイゼーション、ダイナミック アクセス ポリシーなどのクライアントレス機能はフェールオーバー ASA ペア間で同期されません。フェールオーバーの発生時に、これらの機能は動作しません。

プラグインのためのセキュリティ アプライアンスの準備

プラグインをインストールする前に、ASAで次のような準備を行います。

前提条件

ASA インターフェイスでクライアントレス SSL VPN(「webvpn」)がイネーブルになっていることを確認します。

制約事項

SSL 証明書の 一般名(CN)として IP アドレスを指定しないでください。リモート ユーザは、ASAと通信するために FQDN の使用を試行します。リモート PC は、DNS または System32\drivers\etc\hosts ファイル内のエントリを使用して、FQDN を解決できる必要があります。

クライアントレス SSL VPN アクセスに提供する必要があるプラグインのタイプを指定している項に進んでください。

「シスコが再配布しているプラグインのインストール」

「Citrix XenApp Server へのアクセスの提供」

シスコが再配布しているプラグインのインストール

シスコでは、Java ベースのオープン ソース コンポーネントを再配布しています。これは、クライアントレス SSL VPN セッションで Web ブラウザのプラグインとしてアクセスされるコンポーネントで、次のものがあります。

前提条件

ASA のインターフェイス上でクライアントレス SSL VPN(「webvpn」)がイネーブルになっていることを確認します。そのためには、 show running-config コマンドを入力します。

 

表 7-4 シスコが再配布しているプラグイン

プロトコル
説明
再配布しているプラグインのソース *

RDP

Windows Vista および Windows 2003 R2 でホストされる Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

RDP および RDP2 の両方をサポートするこのプラグインを使用することをお勧めします。RDP および RDP2 のバージョン 5.2 へのバージョンアップだけがサポートされています。バージョン 5.2 以降はサポートされていません。

再配布プラグインの元のソースは http://properjavardp.sourceforge.net/ です。

RDP2

Windows Vista および Windows 2003 R2 でホストされる Microsoft Terminal Services にアクセスします。

リモート デスクトップ ActiveX コントロールをサポートします。

(注) この古いプラグインは、RDP2 だけをサポートします。このプラグインを使用することは推奨しません。代わりに、上記の RDP プラグインを使用してください。

再配布プラグインの元のソースは、 http://properjavardp.sourceforge.net/ です。

SSH

Secure Shell-Telnet プラグインにより、リモート ユーザはリモート コンピュータへの Secure Shell(v1 または v2)または Telnet 接続を確立できます。

(注) キーボード インタラクティブ認証は Java SSH ではサポートされていないため、SSH プラグインでもサポートできません。(キーボード インタラクティブは異なる認証メカニズムの実装に使用される汎用の認証方式です)。

この再配布プラグインのソースがある Web サイトは、 http://javassh.org/ です。

VNC

Virtual Network Computing プラグインを使用すると、リモート ユーザはリモート デスクトップ共有(VNC サーバまたはサービスとも呼ばれる)をオンにしたコンピュータを、モニタ、キーボード、およびマウスを使用して表示および制御できます。このバージョンでは、テキストのデフォルトの色が変更されています。また、フランス語と日本語のヘルプ ファイルもアップデートされています。

この再配布プラグインのソースがある Web サイトは、 http://www.tightvnc.com/ です。

* Consult the plug-in documentation for information on deployment configuration and restrictions.
 

これらのプラグインは、「 Cisco Adaptive Security Appliance Software Download 」サイトで入手できます。

手順の詳細

次の手順を実行して、シスコによって再配布されるプラグインへのクライアントレス SSL VPN ブラウザ アクセスを指定します。


ステップ 1 ASA との ASDM セッションを確立するために使用するコンピュータに、plugins という名前の一時ディレクトリを作成し、シスコの Web サイトから、必要なプラグインを [plugins] ディレクトリにダウンロードします。

ステップ 2 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Client-Server Plug-ins] を選択します。

このペインには、クライアントレス SSL セッションで使用可能な現在ロードされているプラグインが表示されます。これらのプラグインのハッシュおよび日付も表示されます。

ステップ 3 [Import] をクリックします。

[Import Client-Server Plug-in] ダイアログボックスが開きます。

ステップ 4 [Import Client-Server Plug-in] ダイアログボックスのフィールド値を入力するには、次の説明を参考にしてください。

[Plug-in Name]:次のいずれかの値を入力します。

ica 。Citrix MetaFrame または Web Interface サービスへのプラグイン アクセスを提供する場合に指定します。

Remote Desktop Protocol サービスへのプラグイン アクセスを提供するには、 rdp を入力します。

セキュア シェル サービスと Telnet サービスの 両方 にプラグイン アクセスを提供するには、 ssh,telnet を入力します。

Virtual Network Computing サービスにプラグイン アクセスを提供するには、 vnc を入力します。


) このメニューの、記載のないオプションは実験的なものであるため、サポートされていません。


[Select the location of the plugin file]:次のいずれかのオプションをクリックし、テキスト フィールドにパスを挿入します。

[Local computer]:関連する [Path] フィールドにプラグインの場所と名前を入力するか、[Browse Local Files] をクリックしてプラグインにナビゲートし、プラグインを選択して [Select] をクリックします。

[Flash file system]:関連する [Path] フィールドにプラグインの場所と名前を入力するか、[Browse Flash] をクリックしてプラグインにナビゲートし、プラグインを選択して [OK] をクリックします。

[Remote Server]:リモート サーバで実行されているサービスに応じて、関連付けられた [Path] 属性の横にあるドロップダウン メニューで [ftp]、[tftp]、または [HTTP] を選択します。隣にあるテキスト フィールドに、サーバのホスト名またはアドレスおよびプラグインへのパスを入力します。

ステップ 5 [Import Now] をクリックします。

ステップ 6 [Apply] をクリックします。

これで、以降のクライアントレス SSL VPN セッションでプラグインが使用できるようになりました。


 

Citrix XenApp Server へのアクセスの提供

サードパーティのプラグインに、クライアントレス SSL VPN ブラウザ アクセスを提供する方法の例として、この項では、Citrix XenApp Server Client にクライアントレス SSL VPN のサポートを追加する方法について説明します。

ASA に Citrix プラグインがインストールされている場合、クライアントレス SSL VPN ユーザは、ASA への接続を使用して、Citrix XenApp サービスにアクセスできます。

ステートフル フェールオーバーでは、Citrix プラグインを使用して確立したセッションは保持されません。Citrix のユーザは、フェールオーバー後に再認証を行う必要があります。

Citrix プラグインへのアクセスを提供するには、次の項で説明する手順に従ってください。

クライアントレス SSL VPN アクセスのための Citrix XenApp Server の準備

Citrix プラグインの作成とインストール

クライアントレス SSL VPN アクセスのための Citrix XenApp Server の準備

(Citrix)「セキュア ゲートウェイ」を使用しないモードで動作するように、Citrix Web Interface ソフトウェアを設定する必要があります。この設定をしないと、Citrix クライアントは Citrix XenApp Server に接続できません。


) プラグインに対するサポートをまだ提供していない場合は、「プラグインのためのセキュリティ アプライアンスの準備」の説明に従い作業を行った後に、この項を参照してください。


Citrix プラグインの作成とインストール

Citrix プラグインを作成およびインストールするには、次の手順に従います。

手順の詳細


ステップ 1 シスコのソフトウェア ダウンロード Web サイトから ica-plugin.zip ファイルをダウンロードします。

このファイルには、Citrix プラグインを使用するためにシスコがカスタマイズしたファイルが含まれています。

ステップ 2 Citrix のサイトから Citrix Java クライアント をダウンロードします。

Citrix のダウンロード サイトでは、Citrix Receiver([Receivers by Platform])を選択し、[Find] をクリックします。[Receiver for Other Platforms] を展開し、Receiver for Java をダウンロードします。JICAComponents.tar.gz は、7-Zip またはその他の UNIX 互換のツールで開くことができる gzip された tar ファイルです。

ステップ 3 Citrix Java クライアントから次のファイルを抽出し、それらを ica-plugin.zip ファイルに追加します。

JICA-configN.jar

JICAEngN.jar

この手順の実行には WinZip を使用できます。

ステップ 4 Citrix Java に含まれている EULA によって、Web サーバ上にクライアントを配置するための権限が与えられていることを確認します。

ステップ 5 ASDM を使用するか、または特権 EXEC モードで次の CLI コマンドを入力して、プラグインをインストールします。

import webvpn plug-in protocol ica URL

URL はホスト名または IP アドレス、および ica-plugin.zip ファイルへのパスです。


) ユーザの接続を容易にするためにブックマークを追加することをお勧めします。Citrix セッションに SSO サポートを提供する場合は、ブックマークの追加は必須です。
次のように、ブックマークで便利な表示を提供する URL パラメータを使用することも推奨します。
ica://10.56.1.114/?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768


ステップ 6 SSL VPN クライアントレス セッションを確立し、ブックマークをクリックするか、Citrix サーバの URL を入力します。

必要に応じて、『 Client for Java Administrator's Guide 』を参照してください。


 

Microsoft Kerberos Constrained Delegation ソリューション

多くの組織では、現在 ASA SSO 機能によって提供される以上の認証方式を使用して、クライアントレス VPN ユーザを認証し、ユーザの認証クレデンシャルを Web ベースのリソースにシームレスに拡張する必要があります。スマート カードおよびワンタイム パスワード(OTP)を使用したリモート アクセス ユーザの認証に対する要求が大きくなっていますが、SSO 機能ではこの要求を満たすには不十分です。SSO 機能では、認証が必要になると、従来のユーザ クレデンシャル(スタティックなユーザ名とパスワードなど)をクライアントレス Web ベースのリソースに転送するだけであるためです。

たとえば、証明書ベースまたは OTP ベースの認証方式には、ASA が Web ベースのリソースへの SSO アクセスをシームレスに実行するために必要な従来のユーザ名とパスワードは含まれていません。証明書を使用して認証する場合、ASA が Web ベースのリソースへ拡張するためにユーザ名とパスワードは必要ありません。そのため、SSO でサポートされない認証方式になっています。これに対し、OTP にはスタティックなユーザ名が含まれていますが、パスワードはダイナミックであり、VPN セッション中に後で変更されます。一般に、Web ベースのリソースはスタティックなユーザ名とパスワードを受け入れるように設定されるため、OTP も SSO でサポートされない認証方式になっています。

Microsoft の Kerberos Constrained Delegation(KCD)は、ASA のソフトウェア リリース 8.4 で導入された新機能であり、プライベート ネットワーク内の Kerberos で保護された Web アプリケーションへのアクセスを提供します。この利点により、証明書ベースおよび OTP ベースの認証方式を Web アプリケーションにシームレスに拡張できます。したがって、SSO と KCD は独立しながら連携し、多くの組織では、ASA でサポートされるすべての認証方式を使用して、クライアントレス VPN ユーザを認証し、ユーザの認証クレデンシャルを Web アプリケーションにシームレスに拡張できます。

要件

kcd-server コマンドが機能するには、ASA は ソース ドメイン(ASA が常駐するドメイン)と ターゲット または リソース ドメイン(Web サービスが常駐するドメイン)間の信頼関係を確立する必要があります。ASA は、その独自のフォーマットを使用して、サービスにアクセスするリモート アクセス ユーザの代わりに、ソースから宛先ドメインへの認証パスを越えて、必要なチケットを取得します。

このように認証パスを越えることは、クロスレルム認証と呼ばれます。クロスレルム認証の各フェーズで、ASA は特定のドメインのクレデンシャルおよび後続のドメインとの信頼関係に依存しています。

KCD の機能概要

Kerberos は、ネットワーク内のエンティティのデジタル識別情報を検証するために、信頼できる第三者に依存しています。これらのエンティティ(ユーザ、ホスト マシン、ホスト上で実行されるサービスなど)は、プリンシパルと呼ばれ、同じドメイン内に存在している必要があります。秘密キーの代わりに、Kerberos では、サーバに対するクライアントの認証にチケットが使用されます。チケットは秘密キーから導出され、クライアントのアイデンティティ、暗号化されたセッション キー、およびフラグで構成されます。各チケットはキー発行局によって発行され、ライフタイムが設定されます。

Kerberos セキュリティ システムは、エンティティ(ユーザ、コンピュータ、またはアプリケーション)を認証するために使用されるネットワーク認証プロトコルであり、情報の受け手として意図されたデバイスのみが復号化できるようにデータを暗号化することによって、ネットワーク伝送を保護します。クライアントレス SSL VPN(WebVPN ともいう)のユーザに Kerberos で保護された Web サービスへの SSO アクセスを提供するように KCD を設定できます。このような Web サービスやアプリケーションの例として、Outlook Web Access(OWA)、SharePoint、および Internet Information Server(IIS)があります。

Kerberos プロトコルに対する 2 つの拡張機能として、 プロトコル移行 および 制約付き委任 が実装されました。これらの拡張機能によって、クライアントレスまたは WebVPN リモート アクセス ユーザは、プライベート ネットワーク内の Kerberos で認証されるアプリケーションにアクセスできます。

プロトコル移行 では、ユーザ認証レベルでさまざまな認証メカニズムをサポートし、後続のアプリケーション レイヤでセキュリティ機能(相互認証や制約付き委任など)について Kerberos プロトコルに切り替えることによって、柔軟性とセキュリティが強化されます。 制約付き委任 では、ドメイン管理者は、アプリケーションがユーザの代わりを務めることができる範囲を制限することによって、アプリケーション信頼境界を指定して強制適用できます。この柔軟性は、信頼できないサービスによる危険の可能性を減らすことで、アプリケーションのセキュリティ設計を向上させます。

制約付き委任の詳細については、IETF の Web サイト( http://www.ietf.org )にアクセスして、RFC 1510 を参照してください。

KCD の認証フロー

図 7-7 に、委任に対して信頼されたリソースにユーザがクライアントレス ポータルによってアクセスするときに、直接的および間接的に体験するパケットおよびプロセス フローを示します。このプロセスは、次のタスクが完了していることを前提としています。

ASA 上で設定された KCD

Windows Active Directory への参加、およびサービスが委任に対して信頼されたことの確認

Windows Active Directory ドメインのメンバーとして委任された ASA

図 7-7 KCD プロセス


) クライアントレス ユーザ セッションが、ユーザに設定されている認証メカニズムを使用して ASA により認証されます。(スマートカード クレデンシャルの場合、ASA によって、デジタル証明書の userPrincipalName を使用して Windows Active Directory に対して LDAP 許可が実行されます)。


1. 認証が成功すると、ユーザは、ASA クライアントレス ポータル ページにログインします。ユーザは、URL をポータル ページに入力するか、ブックマークをクリックして、Web サービスにアクセスします。この Web サービスで認証が必要な場合、サーバは、ASA クレデンシャルの認証確認を行い、サーバでサポートされている認証方式のリストを送信します。


) クライアントレス SSL VPN の KCD は、すべての認証方式(RADIUS、RSA/SDI、LDAP、デジタル証明書など)に対してサポートされています。次の AAA のサポートに関する表を参照してください。http://www.cisco.com/en/US/partner/docs/security/asa/asa84/configuration/guide/access_aaa.html#wp1069492


2. 認証確認時の HTTP ヘッダーに基づいて、ASA は、サーバで Kerberos 認証が必要かどうかを決定します。(これは SPNEGO メカニズムの一部です)。バックエンド サーバとの接続で、Kerberos 認証が必要な場合、ASA は、ユーザの代わりにそれ自体のために、サービス チケットをキー発行局から要求します。

3. キー発行局は、要求されたチケットを ASA に返します。これらのチケットは ASA に渡されますが、ユーザの許可データが含まれています。ASA は、ユーザがアクセスする特定のサービス用の KDC からのサービス チケットを要求します。


) ステップ 1 ~ 3 では、プロトコル移行が行われます。これらのステップの後、Kerberos 以外の認証プロトコルを使用して ASA に対して認証を行うユーザは、透過的に、Kerberos を使用してキー発行局に対して認証されます。


4. ASA は、ユーザがアクセスする特定のサービス用のキー発行局からのサービス チケットを要求します。

5. キー発行局は、特定のサービスのサービス チケットを ASA に返します。

6. ASA は、サービス チケットを使用して、Web サービスへのアクセスを要求します。

7. Web サーバは、Kerberos サービス チケットを認証して、サービスへのアクセスを付与します。認証が失敗した場合は、適切なエラー メッセージが表示され、確認を求められます。Kerberos 認証が失敗した場合、予期された動作は基本認証にフォールバックします。

Active Directory での Windows サービス アカウントの追加

ASA での KCD 実装にはサービス アカウントが必要です。これはつまり、コンピュータの追加(ドメインへの ASA の追加など)に必要な権限を持った Active Directory ユーザ アカウントです。ここでの例では、Active Directory ユーザ名 JohnDoe は、必要な権限を持ったサービス アカウントを示します。ユーザ権限を Active Directory に実装する方法の詳細については、Microsoft サポートに問い合わせるか、 http://microsoft.com を参照してください。

KCD の DNS の設定

この項では、ASA で DNS を設定するために必要な設定手順の概要を示します。KCD を ASA での認証委任方式として使用する場合、ホスト名の解決と、ASA、ドメイン コントローラ(DC)、および委任に対して信頼されたサービス間の通信をイネーブルにするために、DNS が必要です。


ステップ 1 ASDM から、[Configuration] > [Remote Access VPN] > [DNS] に移動し、図 7-8 に示すように DNS のセットアップを設定します。

[DNS Server Group]:DNS サーバの IP アドレス(192.168.0.3 など)を入力します。

[Domain Name]:DC が属するドメイン名を入力します。

ステップ 2 適切なインターフェイスで DNS ルックアップをイネーブルにします。クライアントレス VPN の配置には、社内ネットワーク(通常は 内部 インターフェイス)を介した DNS ルックアップが必要です。

図 7-8 ASA DNS の設定例

Active Directory ドメインに参加する ASA の設定

この項では、ASA が Active Directory ドメインの一部として機能できるようにするために必要な設定手順の概要を示します。KCD では、ASA が Active Directory ドメインのメンバーであることが必要です。この設定により、ASA と KCD サーバ間の制約付き委任トランザクションに必要な機能がイネーブルになります。


ステップ 1 ASDM から、図 7-9 に示すように、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Microsoft KCD Server] に移動します。

ステップ 2 [New] をクリックして制約付き委任用の Kerberos サーバ グループを追加し、次の項目を設定します。
図 7-9 を参照)。

Server Group Configuration

[Server Group Name]:ASA での制約付き委任設定の名前を定義します。MSKCD(デフォルト値)などです。冗長性のために複数のサーバ グループを設定できます。ただし、VPN ユーザの代わりにサービス チケットを要求するために使用する KCD サーバ設定には、割り当てることができるサーバ グループは 1 つのみです。

[Reactivation Mode]:使用するモードのオプション ボタン([Depletion] または [Timed])をクリックします。[Depletion] モードの場合、障害が発生したサーバは、グループ内のサーバがすべて非アクティブになったときに限り、再アクティブ化されます。Timed モードでは、障害が発生したサーバは 30 秒の停止時間の後で再アクティブ化されます。[Depletion] は、デフォルト設定です。

[Dead Time]:再アクティブ化モードとして [Depletion] を選択した場合は、デッド時間を追加する必要があります。10 分がデフォルト設定です。この時間は、グループ内の最後のサーバがディセーブルになってから、すべてのサーバを再度イネーブルにするまでの時間を分単位で表します。

[Max Failed Attempts]:応答のないサーバを非アクティブと宣言するまでに許可される接続試行の失敗回数を設定します。デフォルトの試行回数は 3 回です。

Server Configuration

[Interface Name]:サーバが常駐するインターフェイスを選択します。一般に、認証サーバの配置は、社内ネットワークに(通常は 内部 インターフェイスを介して)常駐します。

[Server Name]:ドメイン コントローラのホスト名を定義します。ServerHostName などです。

[Timeout]:サーバからの応答を待機する最大時間(秒単位)を指定します。デフォルトは 10 秒です。

Kerberos Parameter

[Server Port]:88 がデフォルトであり、KCD 用に使用される標準ポートです。

[Retry Interval]:必要な再試行間隔を選択します。10 秒がデフォルト設定です。

[Realm]:DC のドメイン名をすべて大文字で入力します。ASA での KCD 設定では、レルム値は大文字である必要があります。レルムとは認証ドメインのことです。サービスは、同じレルム内のエンティティからの認証クレデンシャルのみを受け入れることができます。レルムは、ASA が参加するドメイン名と一致している必要があります。

図 7-9 KCD サーバ グループ設定

ステップ 3 [OK] をクリックして設定を適用し、リモート アクセス ユーザの代わりにサービス チケットを要求するように Microsoft KCD サーバを設定します(図 7-9 を参照)。[OK] をクリックすると、Microsoft KCD サーバの設定ウィンドウが表示されます。


 

Kerberos サーバ グループの設定

制約付き委任用の Kerberos サーバ グループ MSKCD が、KCD サーバ設定に自動的に適用されます。Kerberos サーバ グループを設定して、[Configuration] > [Remote Access VPN] > [AAA/Local User] > [AAA Server Groups] で管理することもできます。


ステップ 1 [Server Access Credential] セクションで、次の項目を設定します。

[Username]:サービス アカウント(Active Directory ユーザ名)を定義します。JohnDoe などです。これには、Active Directory ドメインへのコンピュータ アカウントの追加に必要な権限が付与されています。ユーザ名は、特定の管理ユーザには対応せず、単にサービス レベル権限を持つユーザです。このサービス アカウントは、ASA によって、リブートのたびにそれ自体のコンピュータ アカウントを Active Directory ドメインに追加するために使用されます。リモート ユーザの代わりに Kerberos チケットを要求するために、コンピュータ アカウントを個別に設定する必要があります。


) 最初の参加には、管理者権限が必要です。ドメイン コントローラのサービス レベル権限を持つユーザはアクセスできません。


[Password]:ユーザ名に関連付けるパスワードを定義します(Cisco123 など)。パスワードは、特定のパスワードには対応せず、単に Window ドメイン コントローラでデバイスを追加するためのサービス レベル パスワード権限です。

ステップ 2 [Server Group Configuration] セクションで、次の項目を設定します。

[Reactivation Mode]:使用するモード([Depletion] または [Timed])をクリックします。[Depletion] モードの場合、障害が発生したサーバは、グループ内のサーバがすべて非アクティブになったときに限り、再アクティブ化されます。Timed モードでは、障害が発生したサーバは 30 秒の停止時間の後で再アクティブ化されます。[Depletion] は、デフォルト設定です。

[Dead Time]:再アクティブ化モードとして [Depletion] を選択した場合は、デッド時間を追加する必要があります。この時間は、グループ内の最後のサーバがディセーブルになってから、すべてのサーバを再度イネーブルにするまでの時間を分単位で表します。10 分がデフォルトです。

[Max Failed Attempts]:応答のないサーバを非アクティブと宣言するまでに許可される接続試行の失敗回数を設定します。デフォルトの試行回数は 3 回です。


) [Server Table] セクションでは、前に設定した DC ホスト名 ServerHostName が KCD サーバ設定に自動的に適用されました(図 7-10 を参照)。


図 7-10 KCD サーバの設定

ステップ 3 [Apply] をクリックします。


) 設定の適用後、ASA によって Active Directory ドメインの参加プロセスが自動的に開始されます。ASA のホスト名が Active Directory Users and Computers の Computers ディレクトリに表示されます。


ASA がドメインに正常に参加したかどうかを確認するには、図 7-11 に示すように、ASA プロンプトから次のコマンドを実行します。

show webvpn kcd

図 7-11 ASA ドメイン メンバーシップの確認


 

Kerberos で認証されるサービスにアクセスするためのブックマークの設定

Outlook Web Access などの Kerberos で認証されるサービスに ASA クライアントレス ポータルを使用してアクセスするには、ブックマーク リストを設定する必要があります。ブックマーク リストは、リモート アクセス ユーザに関連付けられた VPN セキュリティ ポリシーに基づいて、それらのユーザに割り当てられ、表示されます。

制約事項

Kerberos Constrained Delegation(KCD)を使用するアプリケーションへのブックマークを作成する場合は、[Enable Smart Tunnel] をオンにしないでください。

手順の詳細


ステップ 1 ASDM GUI で、[Configuration] > [Remote Access VPN] > [Clientless VPN Access] > [Portal] > [Bookmarks] に移動します。

ステップ 2 [Bookmark List] に、サービス ロケーションを参照するための URL を入力します。


 

Application Access の設定

次の項では、クライアントレス SSL VPN セッションでスマート トンネル アクセスおよびポート転送をイネーブルにする方法、それらのアクセスを提供するアプリケーションの指定、および使用上の注意について説明します。

スマート トンネル アクセスの設定

スマート トンネルからのログオフの設定

スマート トンネル アクセスの設定

スマート トンネル アクセスを設定するには、スマート トンネル リストを作成します。このリストには、スマート トンネル アクセスに適した 1 つ以上のアプリケーション、およびこのリストに関連付けられたエンドポイント オペレーティング システムを含めます。各グループ ポリシーまたはローカル ユーザ ポリシーでは 1 つのスマート トンネル リストがサポートされているため、ブラウザベースではないアプリケーションをサポート対象とするために、グループ化してスマート トンネル リストに加える必要があります。リストを作成したら、1 つ以上のグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

次の項では、スマート トンネルおよびその設定方法について説明します。

スマート トンネルについて

スマート トンネルを使用する理由

スマート トンネルの設定(Lotus の例)

トンネリングするアプリケーションの設定の簡略化

スマート トンネル リストについて

スマート トンネル自動サインオン サーバ リストの作成

スマート トンネル自動サインオン サーバ リストへのサーバの追加

スマート トンネル アクセスのイネーブル化とディセーブル化

スマート トンネルについて

スマート トンネルは、TCP ベースのアプリケーションとプライベート サイト間の接続です。このスマート トンネルは、セキュリティ アプライアンスをパスウェイとして、また、ASAをプロキシ サーバとして使用するクライアントレス(ブラウザベース)SSL VPN セッションを使用します。スマート トンネル アクセスを許可するアプリケーションを特定し、各アプリケーションのローカル パスを指定できます。Microsoft Windows で実行するアプリケーションの場合は、チェックサムの SHA-1 ハッシュの一致を、スマート トンネル アクセスを許可する条件として要求もできます。

Lotus SameTime および Microsoft Outlook は、スマート トンネル アクセスを許可できるアプリケーションの例です。

スマート トンネルを設定するには、アプリケーションがクライアントであるか、Web 対応アプリケーションであるかに応じて、次の手順のいずれかを実行する必要があります。

クライアント アプリケーションの 1 つ以上のスマート トンネル リストを作成し、スマート トンネル アクセスを提供するグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

スマート トンネル アクセスに適格な Web 対応アプリケーションの URL を指定する 1 つ以上のブックマーク リスト エントリを作成し、スマート トンネル アクセスを提供するグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

また、クライアントレス SSL VPN セッションを介したスマート トンネル接続でのログイン クレデンシャルの送信を自動化する Web 対応アプリケーションのリストも作成できます。

スマート トンネルを使用する理由

スマート トンネル アクセスでは、クライアントの TCP ベースのアプリケーションは、ブラウザベースの VPN 接続を使用してサービスにアクセスできます。この方法では、プラグインやレガシー テクノロジーであるポート転送と比較して、ユーザには次のような利点があります。

スマート トンネルは、プラグインよりもパフォーマンスが向上します。

ポート転送とは異なり、スマート トンネルでは、ローカル ポートへのローカル アプリケーションのユーザ接続を要求しないことにより、ユーザ エクスペリエンスが簡略化されます。

ポート転送とは異なり、スマート トンネルでは、ユーザは管理者特権を持つ必要がありません。

プラグインの利点は、クライアント アプリケーションをリモート コンピュータにインストールする必要がないという点です。

前提条件

ASA Release 9.0 のスマート トンネルでサポートされているプラットフォームおよびブラウザについては、『 Supported VPN Platforms, Cisco ASA 5500 Series 』を参照してください。

次の要件と制限事項が Windows でのスマート トンネル アクセスには適用されます。

Windows では ActiveX または Oracle Java ランタイム環境(JRE)4 Update 15 以降(JRE 6 以降を推奨)をブラウザでイネーブルにしておく必要がある。

Winsock 2 の TCP ベースのアプリケーションだけ、スマート トンネル アクセスに適する。

Mac OS X の場合に限り、Java Web Start をブラウザでイネーブルにしておく必要がある。

制約事項

スマート トンネルは、Microsoft Windows を実行しているコンピュータとセキュリティ アプライアンス間に配置されたプロキシだけをサポートする。スマート トンネルは、Windows でシステム全体のパラメータを設定する Internet Explorer 設定を使用します。この設定がプロキシ情報を含む場合があります。

Windows コンピュータで、プロキシが ASA にアクセスする必要がある場合は、クライアントのブラウザにスタティック プロキシ エントリが必要であり、接続先のホストがクライアントのプロキシ例外のリストに含まれている必要があります。

Windows コンピュータで、プロキシが ASA にアクセスする必要がなく、プロキシがホスト アプリケーションにアクセスする必要がある場合は、ASA がクライアントのプロキシ例外のリストに含まれている必要があります。

プロキシ システムはスタティック プロキシ エントリまたは自動設定のクライアントの設定、または PAC ファイルによって定義できます。現在、スマート トンネルでは、スタティック プロキシ設定だけがサポートされています。

スマート トンネルでは、Kerberos Constrained Delegation(KCD)はサポートされない。

Windows の場合、コマンド プロンプトから開始したアプリケーションにスマート トンネル アクセスを追加する場合は、スマート トンネル リストの 1 つのエントリの Process Name に「cmd.exe」を指定し、別のエントリにアプリケーション自体へのパスを指定する必要がある。これは「cmd.exe」がアプリケーションの親であるためです。

HTTP ベースのリモート アクセスによって、いくつかのサブネットが VPN ゲートウェイへのユーザ アクセスをブロックすることがある。これを修正するには、Web とエンド ユーザの場所との間のトラフィックをルーティングするために ASA の前にプロキシを配置します。このプロキシが CONNECT 方式をサポートしている必要があります。認証が必要なプロキシの場合、スマート トンネルは、基本ダイジェスト認証タイプだけをサポートします。

スマート トンネルが開始されると、ASAは、ブラウザ プロセスが同じである場合に VPN セッション経由ですべてのブラウザ トラフィックをデフォルトで送信する。また、tunnel-all ポリシーが適用されている場合にのみ、ASA は同じ処理を行います。ユーザがブラウザ プロセスの別のインスタンスを開始すると、VPN セッション経由ですべてのトラフィックが送信されます。ブラウザ プロセスが同じで、セキュリティ アプライアンスが URL へのアクセスを提供しない場合、ユーザはその URL を開くことはできません。回避策として、tunnel-all ではないトンネル ポリシーを割り当てます。

ステートフル フェールオーバーが発生したとき、スマート トンネル接続は保持されません。ユーザはフェールオーバー後に再接続する必要があります。

スマート トンネルの Mac バージョンは、POST ブックマーク、フォームベースの自動サインオン、または POST マクロ置換をサポートしない。

Mac OS ユーザの場合、ポータル ページから起動されたアプリケーションだけがスマート トンネル セッションを確立できる。この要件には、Firefox に対するスマート トンネルのサポートも含まれます。スマート トンネルを最初に使用する際に、Firefox を使用して Firefox の別のインスタンスを起動するには、csco_st という名前のユーザ プロファイルが必要です。このユーザ プロファイルが存在しない場合、セッションでは、作成するようにユーザに要求します。

Mac OS X では、SSL ライブラリにダイナミックにリンクされた、TCP を使用するアプリケーションをスマート トンネルで使用できる。

Mac OS X では、スマート トンネルは次をサポートしない。

プロキシ サービス

自動サインオン

2 つのレベルの名前スペースを使用するアプリケーション

Telnet、SSH、cURL などのコンソールベースのアプリケーション

dlopen または dlsym を使用して libsocket コールを見つけ出すアプリケーション

libsocket コールを見つけ出すスタティックにリンクされたアプリケーション

Mac OS X では、プロセスへのフル パスが必要である。また、このパスは大文字と小文字が区別されます。各ユーザ名のパスを指定しないようにするには、部分パスの前にチルダ(~)を入力します(例:~/bin/vnc)。

スマート トンネルの設定(Lotus の例)

スマート トンネルを設定するには、次の手順を実行します。


) この例では、アプリケーションでのスマート トンネル サポートを追加するために必要な最小限の指示だけを示します。詳細については、以降の各項にあるフィールドの説明を参照してください。


手順の詳細


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を選択します。

ステップ 2 アプリケーションを追加するスマート トンネル リストをダブルクリックするか、または [Add] をクリックしてアプリケーションのリストを作成し、[List Name] フィールドにそのリストの名前を入力して [Add] をクリックします。

たとえば、[Smart Tunnels] ペインで [Add] をクリックし、[List Name] フィールドに Lotus と入力して [Add] をクリックします。

ステップ 3 [Add or Edit Smart Tunnel List] ダイアログボックスで [Add] をクリックします。

ステップ 4 [Application ID] フィールドに、スマート トンネル リスト内のエントリに対する一意のインデックスとして使用する文字列を入力します。

ステップ 5 [Process Name] ダイアログボックスに、ファイル名とアプリケーションの拡張子を入力します。

表 7-5 に、[Application ID] 文字列の例と、Lotus をサポートするために必要な関連付けられたパスを示します。

 

表 7-5 スマート トンネルの例:Lotus 6.0 Thick Client with Domino Server 6.5.5

アプリケーション ID の例
必要最小限のプロセス名

lotusnotes

notes.exe

lotusnlnotes

nlnotes.exe

lotusntaskldr

ntaskldr.exe

lotusnfileret

nfileret.exe

ステップ 6 [OS] の横の [Windows] を選択します。

ステップ 7 [OK] をクリックします。

ステップ 8 リストに追加するアプリケーションごとに、ステップ 3 7 を繰り返します。

ステップ 9 [Add or Edit Smart Tunnel List] ダイアログボックスで [OK] をクリックします。

ステップ 10 次のようにして、関連付けられたアプリケーションへのスマート トンネル アクセスを許可する、グループ ポリシーとローカル ユーザ ポリシーにリストを割り当てます。

グループ ポリシーにリストを割り当てるには、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add] または [Edit] > [Portal] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

ローカル ユーザ ポリシーにリストを割り当てるには、[Configuration] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] または [Edit] > [VPN Policy] > [Clientless SSL VPN] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。


 

トンネリングするアプリケーションの設定の簡略化

スマート トンネル アプリケーション リストは、基本的に、トンネルへのアクセスを許可するアプリケーションのフィルタです。デフォルトでは、ブラウザによって開始されるすべてのプロセスに対してアクセスが許可されます。スマート トンネル対応ブックマークによって、クライアントレス セッションでは Web ブラウザによって開始されるプロセスのみにアクセスが許可されます。ブラウザ以外のアプリケーションでは、管理者はすべてのアプリケーションをトンネリングすることを選択して、エンド ユーザがどのアプリケーションを起動するかを知る必要性をなくすことができます。 表 7-6 に、プロセスにアクセスが許可される状況を示します。

 

表 7-6 スマート トンネル アプリケーションのアクセスと対応ブックマーク

スマート トンネル対応ブックマーク
スマート トンネル アプリケーション アクセス

アプリケーション リストが指定される

アプリケーション リストのプロセス名と一致する任意のプロセスにアクセス権が付与されます。

アプリケーション リストのプロセス名と一致するプロセスのみにアクセス権が付与されます。

スマート トンネルがディセーブルにされる

すべてのプロセス(およびその子プロセス)にアクセス権が付与されます。

プロセスにアクセス権は付与されません。

[Smart Tunnel all Applications] チェックボックスをオンにする

すべてのプロセス(およびその子プロセス)にアクセス権が付与されます。

(注) スマート トンネル以外の Web ページによって開始されたプロセスも含まれます(Web ページが同じブラウザ プロセスによって処理される場合)。

ブラウザを開始したユーザが所有するすべてのプロセスにアクセス権が付与されますが、その子プロセスには付与されません。

制約事項

この設定は、Windows プラットフォームのみに適用されます。

手順の詳細

トンネル ポリシーを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を選択します。

ステップ 2 [User Account] ウィンドウで、編集するユーザ名を強調表示します。

ステップ 3 [Edit] をクリックします。[Edit User Account] ウィンドウが表示されます。

ステップ 4 [Edit User Account] ウィンドウの左側のサイドバーで、[VPN Policy] > [Clientless SSL VPN] をクリックします。

ステップ 5 次のいずれかの操作を行います。

[smart tunnel_all_applications] チェックボックスをオンにします。リストを作成しなくても、または外部アプリケーションについてエンド ユーザが起動する可能性がある実行ファイルを知らなくても、すべてのアプリケーションがトンネリングされます。

または、次のトンネル ポリシー オプションから選択します。

[Smart Tunnel Policy] パラメータの [Inherit] チェックボックスをオフにします。

ネットワーク リストから選択し、トンネル オプションの 1 つを指定します。指定されたネットワークに対してスマート トンネルを使用する、指定されたネットワークに対してスマート トンネルを使用しない、またはすべてのネットワーク トラフィックに対してトンネルを使用する、のいずれかです。


 

スマート トンネル アクセスに適格なアプリケーションの追加

各ASAのクライアントレス SSL VPN コンフィギュレーションは、 スマート トンネル リスト をサポートしています。各リストは、スマート トンネル アクセスに適格な 1 つ以上のアプリケーションを示します。各グループ ポリシーまたはユーザ名は 1 つのスマート トンネル リストのみをサポートするため、サポートされる各アプリケーションのセットをスマート トンネル リストにグループ化する必要があります。

[Add or Edit Smart Tunnel entry] ダイアログボックスでは、スマート トンネル リストにあるアプリケーションの属性を指定できます。


ステップ 1 [Configuration] > [Remote Access VPN] >[Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] の順に進み、編集するスマート トンネル アプリケーション リストを選択するか、新しいリストを追加します。

ステップ 2 新しいリストの場合は、アプリケーションまたはプログラムのリストに付ける一意の名前を入力します。スペースは使用しないでください。

スマート トンネル リストのコンフィギュレーションに続いて、クライアントレス SSL VPN のグループ ポリシーとローカル ユーザ ポリシーの [Smart Tunnel List] 属性の横にリスト名が表示されます。他に設定する可能性があるリストと、内容および目的を区別できるような名前を付けてください。

ステップ 3 [Add] をクリックして、このスマート トンネル リストに必要な数のアプリケーションを追加します。パラメータについては次で説明します。

[Application ID]:スマート トンネル リストのエントリに命名する文字列を入力します。このユーザ指定の名前は保存され、GUI に戻されます。文字列はオペレーティング システムに対して一意です。通常は、スマート トンネル アクセスを許可されるアプリケーションに付けられる名前です。異なるパスまたはハッシュ値を指定するアプリケーションの複数バージョンをサポートするには、この属性を使用してエントリを差別化し、オペレーティング システム、および各リスト エントリによってサポートされているアプリケーションの名前とバージョンの両方を指定します。文字列は最大 64 文字まで使用できます。

[Process Name]:アプリケーションのファイル名またはパスを入力します。ストリングには最大 128 文字を使用できます。

Windows では、アプリケーションにスマート トンネル アクセスを許可する場合に、この値とリモート ホストのアプリケーション パスの右側の値が完全に一致している必要があります。Windows でファイル名のみを指定すると、SSL VPN では、アプリケーションにスマート トンネル アクセスを許可する場合に、リモート ホストに対して場所の制限を強制しません。

アプリケーションのパスを指定し、ユーザが別の場所にインストールした場合は、そのアプリケーションは許可されません。アプリケーションは、入力する値と文字列と右側の値が一致している限り、任意のパスに配置できます。

アプリケーションがリモート ホストの複数のパスのいずれかにある場合に、アプリケーションにスマート トンネル アクセスを認可するには、このフィールドにアプリケーションの名前と拡張子だけを指定するか、またはパスごとに固有のスマート トンネル エントリを作成します。


) スマート トンネル アクセスで突然問題が発生する場合、Process Name 値がアップグレードされたアプリケーションに対して最新ではない可能性があります。たとえば、アプリケーションへのデフォルト パスは、そのアプリケーションおよび次のアップグレード版を製造する企業が買収されると変更されることがあります。


Windows の場合、コマンド プロンプトから開始したアプリケーションにスマート トンネル アクセスを追加する場合は、スマート トンネル リストの 1 つのエントリの Process Name に「cmd.exe」を指定し、別のエントリにアプリケーション自体へのパスを指定する必要があります。これは「cmd.exe」がアプリケーションの親であるためです。

[OS]:[Windows] または [Mac] をクリックして、アプリケーションのホスト オペレーティング システムを指定します。

[Hash](任意、Windows にのみ該当):この値を取得するには、アプリケーションのチェックサム(つまり、実行ファイルのチェックサム)を、SHA-1 アルゴリズムを使用してハッシュを計算するユーティリティに入力します。このようなユーティリティの例として、Microsoft ファイル チェックサム整合性検証(FCIV)を挙げることができます。このユーティリティは、 http://support.microsoft.com/kb/841290/ で入手できます。FCIV のインストール後、スペースを含まないパス(c:/fciv.exe など)に、ハッシュするアプリケーションの一時コピーを置き、コマンドラインで fciv.exe -sha1 application と入力して( fciv.exe -sha1 c:\msimn.exe など)、SHA-1 ハッシュを表示します。

SHA-1 ハッシュは、常に 16 進数 40 文字です。

クライアントレス SSL VPN は、アプリケーションにスマート トンネル アクセスの認可を与える前に、[Application ID] に一致するアプリケーションのハッシュを計算します。結果が [ Hash ] の値と一致すれば、アプリケーションにスマート トンネル アクセスの資格を与えます。

ハッシュを入力することにより、[ Application ID ] で指定した文字列に一致する不正ファイルに対して SSL VPN が資格を与えないようしています。チェックサムは、アプリケーションのバージョンまたはパッチによって異なるため、入力する [ Hash ] 値は、リモート ホストの 1 つのバージョンやパッチにしか一致しない可能性があります。複数のバージョンのアプリケーションにハッシュを指定するには、[ Hash ] 値ごとに固有のスマート トンネル エントリを作成します。


) [Hash] を入力し、スマート トンネル アクセスで今後のバージョンまたはパッチのアプリケーションをサポートする場合は、将来的にスマート トンネル リストを更新する必要が生じます。スマート トンネル アクセスに突然問題が発生した場合は、[Hash] 値を含むアプリケーション リストが、アプリケーションのアップグレードによって最新の状態になっていない可能性があります。この問題は hash を入力しないことによって回避できます。


ステップ 4 [OK] をクリックしてアプリケーションを保存し、このスマート トンネル リストに必要な数だけアプリケーションを作成します。

ステップ 5 スマート トンネル リストの作成が終わったら、そのリストをアクティブにするには、次の手順に従って、グループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てる必要があります。

グループ ポリシーにリストを割り当てるには、[Config] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add] または [Edit] > [Portal] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

ローカル ユーザ ポリシーにリストを割り当てるには、[Config] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] または [Edit] > [VPN Policy] > [Clientless SSL VPN] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

 

表 7-7 スマート トンネル エントリの例

スマート トンネルのサポート
アプリケーション ID(一意の文字列であればどれでも OK)
プロセス名
OS

Mozilla Firefox

firefox

firefox.exe

Windows

Microsoft Outlook Express

outlook-express

msimn.exe

Windows

より制限的なオプション:実行ファイルが事前定義済みのパスにある場合は、Microsoft Outlook Express 専用。

outlook-express

\Program Files\Outlook Express\msimn.exe

Windows

Mac で新しいターミナル ウィンドウを開く (ワンタイムパスワードが実装されているので、それ以降、同じターミナル ウィンドウでのアプリケーションの起動は失敗します)。

terminal

Terminal

Mac

新しいウィンドウでスマート トンネルを開始

new-terminal

Terminal open -a MacTelnet

Mac

Mac ターミナル ウィンドウでアプリケーションを起動

curl

Terminal curl www.example.com

Mac

スマート トンネル リストについて

グループ ポリシーとユーザ名ごとに、次のいずれかを行うようにクライアントレス SSL VPN を設定できます。

ユーザのログイン時に自動的にスマート トンネル アクセスを開始する。

ユーザのログイン時にスマート トンネル アクセスをイネーブルにするが、ユーザはクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを手動で開始するようにユーザに要求する。

制約事項

スマート トンネル ログオン オプションは、各グループ ポリシーとユーザ名に対して互いに排他的です。1 つだけ使用してください。

スマート トンネル自動サインオン サーバ リストの作成

[Add Smart Tunnel Auto Sign-on Server List] ダイアログボックスで、スマート トンネルのセットアップ中にログイン クレデンシャルの送信を自動化するサーバのリストを追加または編集できます。スマート トンネルの自動サインオンは、Internet Explorer および Firefox で利用可能です。


ステップ 1 [Configuration] > [Remote Access VPN] >[Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] の順に進み、[Smart Tunnel Auto Sign-on Server List] が展開されて表示されていることを確認します。

ステップ 2 [Add] をクリックして、他に設定する可能性があるリストと、内容および目的を区別できるようなリモート サーバのリストの一意の名前を入力します。文字列は最大 64 文字まで使用できます。スペースは使用しないでください。


 

スマート トンネルの自動サインオン リストを作成した後は、クライアントレス SSL VPN グループ ポリシーおよびローカル ポリシー コンフィギュレーションの下の [Auto Sign-on Server List] 属性の横に、リスト名が表示されます。

スマート トンネル自動サインオン サーバ リストへのサーバの追加

次の手順では、スマート トンネル接続での自動サインオンを提供するサーバのリストにサーバを追加し、そのリストをグループ ポリシーまたはローカル ユーザに割り当てる方法について説明します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] の順に進み、リストのいずれかを選択して、[Edit] をクリックします。

ステップ 2 [Tunnel Auto Sign-on Server List] ダイアログで [Add] ボタンをクリックして、1 つ以上のサーバをスマート トンネル サーバに追加します。

ステップ 3 自動認証を行うサーバのホスト名または IP アドレスを入力します。

[Hostname] を選択する場合、自動認証を行うホスト名またはワイルドカード マスクを入力します。次のワイルドカード文字を使用できます。

*:任意の数の文字を一致させる、またはどの文字も一致させない。

?単一の文字を一致させる。

[ ]:かっこ内に指定された範囲内の、任意の 1 文字を一致させる。

たとえば、*.example.com と入力します。このオプションを使用すると、IP アドレスのダイナミックな変更からコンフィギュレーションを保護します。

[IP Address]を選択する場合、IP アドレスを入力します。


) Firefox では、ワイルドカードを使用したホスト マスク、IP アドレスを使用したサブネット、またはネットマスクをサポートしていません。正確なホスト名または IP アドレスを使用する必要があります。たとえば、Firefox では、*.cisco.com を入力した場合、email.cisco.com をホストする自動サインオンは失敗します。


ステップ 4 [Windows Domain](任意):認証で必要な場合、クリックして Windows ドメインをユーザ名に追加します。このオプションを使用する場合は、1 つ以上のグループ ポリシーまたはローカル ユーザ ポリシーにスマート トンネル リストを割り当てる際に、ドメイン名を指定する必要があります。

ステップ 5 [HTTP-based Auto Sign-On](任意)

[Authentication Realm]:Web サイトの保護領域に関連付けられ、認証時に認証プロンプトまたは HTTP ヘッダーのいずれかでブラウザに再度渡されます。ここで自動サインオンが設定され、レルムの文字列が指定されたら、ユーザはレルムの文字列を Web アプリケーション(Outlook Web Access など)で設定し、Web アプリケーションにサインオンすることなくアクセスできます。

イントラネットの Web ページのソース コードで使用されるアドレス形式を使用します。ブラウザ アクセス用にスマート トンネル自動サインオンを設定しており、一部の Web ページでホスト名が使用され、他の Web ページで IP アドレスが使用されている場合、あるいはどちらが使用されているかわからない場合は、両方を異なるスマート トンネル自動サインオン エントリで指定します。それ以外の場合、Web ページのリンクで、指定されたフォーマットとは異なるフォーマットが使用されると、ユーザがリンクをクリックしても開きません。


) 対応するレルムがわからない場合、管理者はログインを一度実行し、プロンプト ダイアログから文字列を取得する必要があります。


[Port Number]:対応するホストのポート番号を指定します。Firefox では、ポート番号が指定されていない場合、自動サインオンはデフォルトのポート番号 80 および 443 でそれぞれアクセスされた HTTP および HTTPS に対して実行されます。

ステップ 6 [OK] をクリックします。

ステップ 7 スマート トンネル自動サインオン サーバ リストのコンフィギュレーションに続いて、そのリストをアクティブにするには、グループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てる必要があります。

グループ ポリシーにリストを割り当てるには、次の手順を実行します。

1. [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] の順に進み、グループ ポリシーを開きます。

2. [Portal] タブを選択し、[Smart Tunnel] 領域を探して、[Auto Sign-on Server List] 属性の横にあるドロップダウン リストから自動サインオン サーバ リストを選択します。

ローカル ユーザ ポリシーにリストを割り当てるには、次の手順を実行します。

1. [Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を選択し、自動サインオン サーバ リストに割り当てるローカル ユーザを編集します。

2. [VPN Policy] > [Clientless SSL VPN] の順に進み、[Smart Tunnel] 領域の下の [Auto Sign-on Server] 設定を探します。

3. [Inherit] をオフにし、[Auto Sign-on Server List] 属性の横にあるドロップダウン リストからサーバ リストを選択します。


 

スマート トンネル アクセスのイネーブル化とディセーブル化

デフォルトでは、スマート トンネルはディセーブルになっています。

スマート トンネル アクセスをイネーブルにした場合、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスを手動で開始する必要があります。

スマート トンネルからのログオフの設定

ここでは、スマート トンネルからの適切なログオフ方法について説明します。すべてのブラウザ ウィンドウを閉じるか、通知アイコンを右クリックしてログアウトを確認すると、スマート トンネルからログオフできます。


) ポータルにあるログアウト ボタンを使用することを強くお勧めします。この方法は、クライアントレス SSL VPN 用であり、スマート トンネルが使用されているかどうかに関係なくログオフが行われます。通知アイコンは、ブラウザを使用しないスタンドアロン アプリケーションを使用する場合に限り使用する必要があります。


ペアレント プロセスの終了

この方法では、ログオフを示すためにすべてのブラウザを閉じることが必要です。スマート トンネルのライフタイムは現在、プロセスのライフタイムの開始に結び付けられています。たとえば、Internet Explorer からスマート トンネルと開始した場合、iexplore.exe が実行されていないとスマート トンネルがオフになります。スマート トンネルは、ユーザがログアウトせずにすべてのブラウザを閉じた場合でも、VPN セッションが終了したと判断します。


) 場合によっては、ブラウザ プロセスがエラーの結果として、意図的にではなく残っていることがあります。また、Secure Desktop を使用しているときに、ユーザが Secure Desktop 内ですべてのブラウザを閉じてもブラウザ プロセスが別のデスクトップで実行されている場合があります。したがって、スマート トンネルは、現在のデスクトップで表示されているウィンドウがない場合にすべてのブラウザ インスタンスが終了したと見なします。


通知アイコン

ブラウザを閉じてもセッションが失われないようにするために、ペアレント プロセスの終了時にログオフをディセーブルにすることもできます。この方法では、システム トレイの通知アイコンを使用してログアウトします。アイコンは、ユーザがアイコンをクリックしてログアウトするまで維持されます。ユーザがログアウトする前にセッションの期限が切れた場合、アイコンは、次回に接続を試行するまで維持されます。セッション ステータスがシステム トレイで更新されるまで時間がかかることがあります。


) このアイコンが、SSL VPN からログアウトする別の方法です。これは、VPN セッション ステータスのインジケータではありません。


手順の詳細

通知領域のアイコンをイネーブルにするには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を選択します。

ステップ 2 [Click on smart-tunnel logoff icon in the system tray] オプション ボタンをイネーブルにします。

ステップ 3 ウィンドウの [Smart Tunnel Networks] 部分で、[Add] をオンにして、アイコンを含めるネットワークの IP アドレスとホスト名の両方を入力します。


) アイコンを右クリックすると、SSL VPN からのログアウトをユーザに求める単一のメニュー項目が表示されます。



 

ポート転送の設定

次の項では、ポート転送とその設定方法について説明します。

「ポート転送に関する情報」

ポート転送用の DNS の設定

ポート転送に適格なアプリケーションの追加

ポート転送エントリの追加/編集

ポート転送リストの割り当て

ポート転送のイネーブル化とディセーブル化

ポート転送に関する情報

ポート転送により、ユーザはクライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションにアクセスできます。TCP ベースのアプリケーションには次のようなものがあります。

Lotus Notes

Microsoft Outlook

Microsoft Outlook Express

Perforce

Sametime

Secure FTP(FTP over SSH)

SSH

TELNET

Windows Terminal Service

XDDTS

その他の TCP ベースのアプリケーションも動作する可能性はありますが、シスコではテストを行っていません。UDP を使用するプロトコルは動作しません。

ポート転送は、クライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションをサポートするためのレガシー テクノロジーです。ポート転送テクノロジーをサポートする設定を事前に構築している場合は、ポート転送の使用を選択することもできます。

ポート転送の代替方法として次のことを検討してください。

スマート トンネル アクセスを使用すると、ユーザには次のような利点があります。

スマート トンネルは、プラグインよりもパフォーマンスが向上します。

ポート転送とは異なり、スマート トンネルでは、ローカル ポートへのローカル アプリケーションのユーザ接続を要求しないことにより、ユーザ エクスペリエンスが簡略化されます。

ポート転送とは異なり、スマート トンネルでは、ユーザは管理者特権を持つ必要がありません。

ポート転送およびスマート トンネル アクセスとは異なり、プラグインでは、クライアント アプリケーションをリモート コンピュータにインストールする必要がありません。

ASAでポート転送を設定する場合は、アプリケーションが使用するポートを指定します。スマート トンネル アクセスを設定する場合は、実行ファイルまたはそのパスの名前を指定します。

前提条件

リモート ホストで、次のいずれかの 32 ビット バージョンが実行されている必要がある。

Microsoft Windows Vista、Windows XP SP2 または SP3、または Windows 2000 SP4

Apple Mac OS X 10.4 または 10.5 と Safari 2.0.4(419.3)

Fedora Core 4™

また、リモート ホストで Oracle Java ランタイム環境(JRE)5 以降が動作している必要もある。

Mac OS X 10.5.3 上の Safari のブラウザベースのユーザは、Safari での URL の解釈方法に従って、使用するクライアント証明書を、1 回目は末尾にスラッシュを含め、もう 1 回はスラッシュを含めずに、ASAの URL を使用して指定する必要があります。次に例を示します。

https://example.com/

https://example.com

詳細については、『 Safari, Mac OS X 10.5.3: Changes in client certificate authentication 』を参照してください。

ポート転送またはスマート トンネルを使用する Microsoft Windows Vista 以降のユーザは、ASA の URL を信頼済みサイト ゾーンに追加する。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista(以降の)ユーザは、保護モードをディセーブルにしてスマート トンネル アクセスの使用もできます。ただし、攻撃に対するコンピュータの脆弱性が増すため、この方法の使用はお勧めしません。

ポート転送(アプリケーション アクセス)およびデジタル証明書をサポートするために、リモート コンピュータに Oracle Java ランタイム環境(JRE)1.5.x 以降がインストールされていることを確認する。JRE 1.4.x が実行中で、ユーザがデジタル証明書で認証される場合、JRE は Web ブラウザの証明書ストアにアクセスできないため、アプリケーションは起動しません。

制約事項

ポート転送は、スタティック TCP ポートを使用する TCP アプリケーションのみをサポートしています。ダイナミック ポートまたは複数の TCP ポートを使用するアプリケーションはサポートしていません。たとえば、ポート 22 を使用する SecureFTP は、クライアントレス SSL VPN のポート転送を介して動作しますが、ポート 20 と 21 を使用する標準 FTP は動作しません。

ポート転送は、UDP を使用するプロトコルをサポートしていません。

ポート転送は Microsoft Outlook Exchange(MAPI)プロキシをサポートしていません。しかし、Microsoft Outlook Exchange Server と連携することにより、Microsoft Office Outlook のスマート トンネル サポートを設定することができます。

ステートフル フェールオーバーでは、Application Access(ポート転送またはスマート トンネル アクセス)を使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

ポート転送は、Personal Digital Assistants(PDA; 携帯情報端末)への接続はサポートしていません。

ポート転送を使用するには、Java アプレットをダウンロードしてローカル クライアントを設定する必要があります。これには、ローカル システムに対する管理者の許可が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。

Java アプレットは、エンド ユーザの HTML インターフェイスにあるアプレット独自のウィンドウに表示されます。このウィンドウには、ユーザが使用できる転送ポートのリストの内容、アクティブなポート、および送受信されたトラフィック量(バイト単位)が表示されます。

ローカル IP アドレス 127.0.0.1 が使用されており、ASA からのクライアントレス SSL VPN 接続によって更新できない場合、ポート転送アプレットはローカル ポートとリモート ポートを同一として表示します。その結果、ASA は、127.0.0.2、127.0.0.3 など、ローカル プロキシ ID の新しい IP アドレスを作成します。hosts ファイルを変更して異なるループバックを使用できるため、リモート ポートはアプレットでローカル ポートとして使用されます。接続するには、ポートを指定せずにホスト名を指定して Telnet を使用します。正しいローカル IP アドレスをローカル ホスト ファイルで使用できます。

ポート転送用の DNS の設定

ポート転送では、リモート サーバのドメイン名またはその IP アドレスを ASA に転送して、解決および接続を行います。つまり、ポート転送アプレットは、アプリケーションからの要求を受け入れて、その要求を ASA に転送します。ASA は適切な DNS クエリーを作成し、ポート転送アプレットの代わりに接続を確立します。ポート転送アプレットは、ASA に対する DNS クエリーだけを作成します。ポート転送アプレットはホスト ファイルをアップデートして、ポート転送アプリケーションが DNS クエリーを実行したときに、クエリーがループバック アドレスにリダイレクトされるようにします。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] の順にクリックします。

DefaultWEBVPNGroup エントリは、クライアントレス接続に使用されるデフォルトの接続プロファイルです。

ステップ 2 クライアント接続において DefaultWEBVPNGroup エントリが使用されるようにコンフィギュレーションを設定する場合は、このエントリを強調表示し、[Edit] をクリックします。このエントリが使用されない場合は、クライアント接続のコンフィギュレーションで使用される接続プロファイルを強調表示し、[Edit] をクリックします。

[Basic] ウィンドウが開きます。

ステップ 3 [DNS] 領域にスキャンし、ドロップダウン リストから DNS サーバを選択します。ドメイン名をメモしておきます。使用したい DNS サーバが ASDM に表示されている場合は、残りのステップを飛ばし、次のセクションに移動します。ポート転送リストのエントリを設定する際、リモート サーバの指定時には、同じドメイン名を入力する必要があります。コンフィギュレーションに DNS サーバがない場合は、残りのステップを続けます。

ステップ 4 [DNS] 領域で [Manage] をクリックします。

[Configure DNS Server Groups] ウィンドウが開きます。

ステップ 5 [Configure Multiple DNS Server Groups] をクリックします。

ウィンドウに、DNS サーバのエントリの一覧表が表示されます。

ステップ 6 [Add] をクリックします。

[Add DNS Server Group] ウィンドウが開きます。

ステップ 7 [Name] フィールドに新しいサーバ グループ名を入力し、IP アドレスとドメイン名を入力します(図 7-12 を参照)。

図 7-12 ポート転送の DNS サーバ値の例

 

入力したドメイン名をメモしておきます。後ほど、ポート転送エントリを設定する際、リモート サーバを指定するために必要になります。

ステップ 8 [Connection Profiles] ウィンドウが再度アクティブになるまで、[OK] をクリックします。

ステップ 9 クライアントレス接続の設定で使用される、残りすべての 続プロファイルについて、手順 2 8 を繰り返します。

ステップ 10 [Apply] をクリックします。


 

ポート転送に適格なアプリケーションの追加

各ASAのクライアントレス SSL VPN コンフィギュレーションは、 ポート転送リスト をサポートしています。それぞれのリストでは、アクセスを提供するアプリケーションが使用するローカル ポートとリモート ポートを指定します。各グループ ポリシーまたはユーザ名は 1 つのポート転送リストのみをサポートするため、サポートされる各アプリケーションのセットをグループ化してリストを作成する必要があります。ASA コンフィギュレーションにすでに存在するポート転送リストのエントリを表示するには、次のコマンドを入力します。

ポート転送リストの設定に続けて、次の項で説明するように、そのリストをグループ ポリシーまたはユーザ名に割り当てます。

ポート転送エントリの追加/編集

[Add/Edit Port Forwarding Entry] ダイアログボックスでは、クライアントレス SSL VPN 接続によるアクセスに適用されるユーザまたはグループ ポリシーに関連付ける TCP アプリケーションを指定できます。これらのウィンドウで属性に値を割り当てるには、次の手順を実行します。

前提条件

トンネルを確立し、IP アドレスに解決するには、「ポート転送リストの割り当て」に記載のとおり、[Remote Server] パラメータに割り当てた DNS 名が、[Domain Name] および [Server Group] パラメータと一致する必要があります。[Domain] および [Server G roup] パラメータ のデフォルト設定は、いずれも DefaultDNS です。

手順の詳細


ステップ 1 [Add] をクリックします。

ステップ 2 アプリケーションが使用する TCP ポート番号を入力します。ローカル ポート番号は、1 つの listname に対して一度だけ使用できます。ローカル TCP サービスとの競合を避けるには、1024 ~ 65535 の範囲にあるポート番号を使用します。

ステップ 3 リモート サーバのドメイン名または IP アドレスを入力します。特定の IP アドレスに対してクライアント アプリケーションを設定しなくて済むよう、ドメイン名を使用することをお勧めします。

ステップ 4 そのアプリケーション用の well-known ポート番号を入力します。

ステップ 5 アプリケーションの説明を入力します。最大で 64 文字まで指定可能です。

ステップ 6 (任意)ポート転送リストを強調表示し、[Assign] をクリックして、選択したリストを 1 つ以上のグループ ポリシー、ダイナミック アクセス ポリシー、またはユーザ ポリシーに割り当てます。


 

ポート転送リストの割り当て

クライアントレス SSL VPN 接続によるアクセスに適用されるユーザまたはグループ ポリシーに関連付ける TCP アプリケーションの名前付きリストを追加または編集できます。グループ ポリシーとユーザ名ごとに、次のいずれかを行うようにクライアントレス SSL VPN を設定できます。

ユーザのログイン時に自動的にポート転送アクセスを開始する。

ユーザのログイン時にポート転送アクセスをイネーブル化するが、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、ポート転送を手動で開始するようにユーザに要求する。


) これらのオプションは、各グループ ポリシーとユーザ名に対して互いに排他的です。1 つだけ使用してください。


手順の詳細

[Add Port Forwarding List]/[Edit Port Forwarding List] ダイアログボックスでは、次のものを追加または編集できます。


ステップ 1 リストの英数字の名前を指定します。最大で 64 文字まで指定可能です。

ステップ 2 アプリケーションのトラフィックを受信するローカル ポートを入力します。ローカル ポート番号は、1 つの listname に対して一度だけ使用できます。ローカル TCP サービスとの競合を避けるには、1024 ~ 65535 の範囲にあるポート番号を使用します。


) リモート サーバの IP アドレスまたは DNS 名を入力します。特定の IP アドレスに対してクライアント アプリケーションを設定しなくて済むよう、ドメイン名を使用することをお勧めします。


ステップ 3 アプリケーションのトラフィックを受信するリモート ポートを入力します。

ステップ 4 TCP アプリケーションの説明を入力します。最大で 64 文字まで指定可能です。

詳細については、使用するオプションについて記載している項を参照してください。


 

ポート転送のイネーブル化とディセーブル化

デフォルトでは、ポート転送はディセーブルになっています。

ポート転送をイネーブルにした場合、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、ポート転送を手動で開始する必要があります。

外部プロキシ サーバの使用法の設定

[Proxies] ペインを使用して、外部プロキシ サーバによって HTTP 要求と HTTPS 要求を処理するようにASAを設定します。これらのサーバは、ユーザとインターネットの仲介役として機能します。すべてのインターネット アクセスがユーザ制御のサーバを経由するように指定することで、別のフィルタリングが可能になり、セキュアなインターネット アクセスと管理制御が保証されます。

制約事項

HTTP および HTTPS プロキシ サービスでは、PDA への接続をサポートしていません。

手順の詳細


ステップ 1 [Use an HTTP proxy server] をクリックします。

ステップ 2 IP アドレスまたはホスト名で HTTP プロキシ サーバを識別します。

ステップ 3 外部 HTTP プロキシ サーバのホスト名または IP アドレスを入力します。

ステップ 4 HTTP 要求を受信するポートを入力します。デフォルトのポートは 80 です。

ステップ 5 (任意)HTTP プロキシ サーバに送信できないようにする 1 つの URL、または複数の URL のカンマ区切りリストを入力します。このストリングには文字数の制限はありませんが、コマンド全体で 512 文字以下となるようにする必要があります。リテラル URL を指定するか、次のワイルドカードを使用できます。

* は、スラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは、英数字ストリングとともに使用する必要があります。

? は、スラッシュおよびピリオドを含む、任意の 1 文字に一致します。

[ x - y ] は、 x から y の範囲にある任意の 1 文字に一致します。ここで、 x は ANSI 文字セット内の 1 文字を、 y は ANSI 文字セット内の別の 1 文字を示します。

[ ! x - y ] は、この範囲内に存在しない任意の 1 文字に一致します。

ステップ 6 (任意)各 HTTP プロキシ要求にユーザ名を付加して基本的なプロキシ認証を提供するには、このキーワードを入力します。

ステップ 7 各 HTTP 要求とともにプロキシ サーバに送信されるパスワードを入力します。

ステップ 8 HTTP プロキシ サーバの IP アドレスを指定する方法の代替として、[Specify PAC file URL] を選択して、ブラウザにダウンロードするプロキシ自動コンフィギュレーション ファイルを指定できます。ダウンロードが完了すると、PAC ファイルは JavaScript 機能を使用して各 URL のプロキシを識別します。隣接するフィールドに、 http:// を入力し、プロキシ自動設定ファイルの URL を入力します。 http:// の部分を省略すると、ASAはその URL を無視します。

ステップ 9 HTTPS プロキシ サーバを使用するかどうかを選択します。

ステップ 10 クリックして、IP アドレスまたはホスト名で HTTPS プロキシ サーバを識別します。

ステップ 11 外部 HTTPS プロキシ サーバのホスト名または IP アドレスを入力します。

ステップ 12 HTTPS 要求を受信するポートを入力します。デフォルトのポートは 443 です。

ステップ 13 (任意)HTTPS プロキシ サーバに送信できないようにする 1 つの URL、または複数の URL のカンマ区切りリストを入力します。このストリングには文字数の制限はありませんが、コマンド全体で 512 文字以下となるようにする必要があります。リテラル URL を指定するか、次のワイルドカードを使用できます。

* は、スラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは、英数字ストリングとともに使用する必要があります。

? は、スラッシュおよびピリオドを含む、任意の 1 文字に一致します。

[ x - y ] は、 x から y の範囲にある任意の 1 文字に一致します。ここで、 x は ANSI 文字セット内の 1 文字を、 y は ANSI 文字セット内の別の 1 文字を示します。

[ ! x - y ] は、この範囲内に存在しない任意の 1 文字に一致します。

ステップ 14 (任意)各 HTTPS プロキシ要求にユーザ名を付加して基本的なプロキシ認証を提供するには、このキーワードを入力します。

ステップ 15 各 HTTPS 要求とともにプロキシ サーバに送信されるパスワードを入力します。


 

SSO サーバ

[SSO Server] ペインでは、Computer Associates SiteMinder SSO サーバまたは Security Assertion Markup Language(SAML)バージョン 1.1 Browser Post Profile SSO サーバに接続するクライアントレス SSL VPN のユーザの、シングル サインオン(SSO)を設定または削除できます。クライアントレス SSL VPN でだけ使用できる SSO のサポートにより、ユーザは、ユーザ名とパスワードを複数回入力しなくても、さまざまなサーバのセキュアな各種のサービスにアクセスできます。

SSO の方式は、基本 HTTP または NTLMv1 認証を使用した自動サインオン、HTTP Form プロトコル、Computer Associates eTrust SiteMinder(以前の名称は Netegrity SiteMinder)、または SAML バージョン 1.1 Browser Post Profile の 4 方式の中から選択できます。

制約事項

SAML Browser Artifact プロファイル方式のアサーション交換は、サポートされていません。

次の章では、SiteMinder と SAML Browser Post Profile を使用して SSO を設定する手順について説明します。

「SiteMinder と SAML Browser Post Profile の設定」:基本 HTTP または NTLM 認証で SSO を設定します。

セッションの設定:HTTP Form プロトコルで SSO を設定します。

SSO のメカニズムは、AAA プロセス(HTTP Form)の一部として開始されるか、AAA サーバ(SiteMinder)または SAML Browser Post Profile サーバへのユーザ認証に成功した直後に開始されます。これらの場合、ASA 上で実行されているクライアントレス SSL VPN サーバは、認証サーバに対するユーザのプロキシとして機能します。ユーザがログインすると、クライアントレス SSL VPN サーバは、ユーザ名とパスワードを含む SSO 認証要求を HTTPS を使用して認証サーバに送信します。

認証サーバが認証要求を承認すると、SSO 認証クッキーがクライアントレス SSL VPN サーバに返されます。このクッキーは、ユーザの代理としてASAで保持され、ユーザ認証でこのクッキーを使用して、SSO サーバで保護されているドメイン内部の Web サイトの安全を確保します。

SiteMinder と SAML Browser Post Profile の設定

SiteMinder または SAML Browser Post Profile による SSO 認証は AAA から切り離されており、AAA プロセスの完了後に実施されます。ユーザまたはグループが対象の SiteMinder SSO を設定するには、まず AAA サーバ(RADIUS や LDAP など)を設定する必要があります。AAA サーバがユーザを認証した後、クライアントレス SSL VPN サーバは、HTTPS を使用して認証要求を SiteMinder SSO サーバに送信します。

SiteMinder SSO の場合は、ASAの設定を行う以外に、シスコの認証スキームによって CA SiteMinder Policy Server を設定する必要があります。 シスコの認証スキームの SiteMinder への追加を参照してください。

SAML Browser Post Profile の場合は、認証で使用する Web Agent(Protected Resource URL)を設定する必要があります。

手順の詳細

サーバ ソフトウェア ベンダーが提供する SAML サーバのマニュアルに従って、SAML サーバを Relying Party モードで設定します。次のフィールドが表示されます。

[Server Name]: 表示専用 。 設定された SSO サーバの名前を表示します。入力できる文字の範囲は、4 ~ 31 文字です。

[Authentication Type]: 表示専用 。SSO サーバのタイプを表示します。ASAは現在、SiteMinder タイプと SAML Browser Post Profile タイプをサポートしています。

[URL]: 表示専用 。 ASAが SSO 認証要求を行う SSO サーバの URL を表示します。

[Secret Key]: 表示専用 。 SSO サーバとの認証通信の暗号化に使用される秘密キーを表示します。キーは、任意の標準またはシフト式英数字で構成されます。文字の最小数や最大数の制限はありません。

[Maximum Retries]: 表示専用 。 SSO 認証が失敗した場合にASAがリトライする回数を表示します。リトライの範囲は 1 ~ 5 回で、デフォルトのリトライ数は 3 回です。

[Request Timeout (seconds)]: 表示専用 。失敗した SSO 認証試行をタイムアウトさせるまでの秒数を表示します。範囲は 1 ~ 30 秒で、デフォルトの秒数は 5 秒です。

[Add/Edit]:[Add/Edit SSO Server] ダイアログボックスを開きます。

[Delete]:選択した SSO サーバを削除します。

[Assign]:SSO サーバを強調表示し、このボタンをクリックして選択したサーバを 1 つ以上の VPN グループ ポリシーまたはユーザ ポリシーに割り当てます。


ステップ 1 アサーティング パーティ(ASA)を表す SAML サーバ パラメータを設定します。

宛先コンシューマ(Web Agent)URL(ASA で設定されるアサーション コンシューマ URL と同じ)

Issuer ID(通常はアプライアンスのホスト名である文字列)

Profile type:Browser Post Profile

ステップ 2 証明書を設定します。

ステップ 3 アサーティング パーティのアサーションには署名が必要なことを指定します。

ステップ 4 SAML サーバがユーザを特定する方法を、次のように選択します。

Subject Name Type が DN

Subject Name format が uid=<user>


 

シスコの認証スキームの SiteMinder への追加

SiteMinder による SSO を使用するためのASAの設定に加え、Java プラグインとして提供されている、シスコの認証スキームを使用するようにユーザの CA SiteMinder Policy Server を設定する必要もあります。この項では、手順のすべてではなく、一般的なタスクを取り上げます。カスタム認証スキームを追加するための完全な手順については、CA SiteMinder のマニュアルを参照してください。ユーザの SiteMinder Policy Server にシスコの認証スキームを設定するには、次の手順を実行します。

前提条件

SiteMinder Policy Server を設定するには、SiteMinder の経験が必要です。

手順の詳細


ステップ 1 Siteminder Administration ユーティリティを使用して、次の特定の引数を使用できるようにカスタム認証スキームを作成します。

Library フィールドに、 smjavaapi と入力します。

[Secret] フィールドで、[Add SSO Server] ダイアログの [Secret Key] フィールドで設定したものと同じ秘密キーを入力します。

Parameter フィールドに、 CiscoAuthAPI と入力します。

ステップ 2 Cisco.com にログインして、 http://www.cisco.com/cisco/software/navigator.html から cisco_vpn_auth.jar ファイルをダウンロードして、SiteMinder サーバのデフォルトのライブラリ ディレクトリにコピーします。この .jar ファイルは、Cisco ASA CD にも含まれています。


 

SSO サーバの追加または編集

この SSO 方式では、CA SiteMinder と SAML Browser Post Profile を使用します。また、HTTP Form プロトコルまたは基本 HTML および NTLM 認証を使用して SSO を設定することもできます。HTTP Form プロトコルを使用する場合は、「 セッションの設定」を参照してください。基本 HTML または NTLM 認証を使用するように設定する場合は、コマンドライン インターフェイスで auto-signon コマンドを使用します。

手順の詳細


ステップ 1 サーバを追加する場合は、新しい SSO の名前を入力します。サーバを編集する場合、このフィールドは表示専用です。選択した SSO サーバの名前が表示されます。

ステップ 2 表示のみ。 SSO サーバのタイプを表示します。ASAが現在サポートしているタイプは、SiteMinder と SAML Browser Post Profile です。

ステップ 3 SSO サーバへの認証要求を暗号化するために使用する秘密キーを入力します。キーに使用する文字には、通常の英数字と、シフト キーを押して入力した英数字を使用できます。文字の最小数や最大数の制限はありません。秘密キーはパスワードに似ており、作成、保存、設定ができます。Cisco Java プラグイン認証スキームを使用して、ASA、SSO サーバ、および SiteMinder Policy Server で設定されます。

ステップ 4 失敗した SSO 認証試行を ASA が再試行する回数を入力します。この回数を超えて失敗すると認証タイムアウトになります。範囲は 1 ~ 5 回で、1 回と 5 回も含まれます。デフォルトは 3 回です。

ステップ 5 失敗した SSO 認証試行をタイムアウトさせるまでの秒数を入力します。範囲は 1 ~ 30 秒で、1 秒と 30 秒も含まれます。デフォルトは 5 秒です。


 

Application Access ユーザへの注記

次の項では、Application Access の使用についての情報を提供します。

hosts ファイル エラーを回避するための Application Access の終了

Application Access 使用時の hosts ファイル エラーからの回復

hosts ファイル エラーを回避するための Application Access の終了

Application Access の実行の妨げになる hosts ファイル エラーを回避するために、Application Access を使用し終えたら、Application Access ウィンドウを必ず閉じるようにします。ウィンドウを閉じるには、[Close] アイコンをクリックします。

Application Access 使用時の hosts ファイル エラーからの回復

Application Access ウィンドウを正しく閉じないと、次のエラーが発生する可能性があります。

次に Application Access を起動しようとしたときに、Application Access がディセーブルになっていて、「 Backup HOSTS File Found 」エラー メッセージが表示される。

アプリケーションをローカルで実行している場合でも、アプリケーション自体がディセーブルになっているか、または動作しない。

このようなエラーは、Application Access ウィンドウを不適切な方法で終了したことが原因です。たとえば、次のように入力します。

Application Access の使用中に、ブラウザがクラッシュした。

Application Access の使用中に、停電またはシステム シャットダウンが発生した。

作業中に Application Access ウィンドウを最小化し、このウィンドウがアクティブな状態(ただし最小化されている)でコンピュータをシャットダウンした。

この項では、次のトピックについて取り上げます。

hosts ファイルの概要

不正な Application Access の終了

クライアントレス SSL VPN によるホストのファイルの自動再設定

手動による hosts ファイルの再設定

hosts ファイルの概要

ローカル システム上の hosts ファイルは、IP アドレスをホスト名にマッピングしています。Application Access を起動すると、クライアントレス SSL VPN は hosts ファイルを修正し、クライアントレス SSL VPN 固有のエントリを追加します。Application Access ウィンドウを正しく閉じて Application Access を終了すると、hosts ファイルは元の状態に戻ります。

 

Application Access の起動前

hosts ファイルは元の状態です。

Application Access の起動時

クライアントレス SSL VPN は hosts ファイルを hosts.webvpn にコピーして、バックアップを作成します。

次に、クライアントレス SSL VPN は hosts ファイルを編集し、クライアントレス SSL VPN 固有の情報を挿入します。

Application Access の終了時

クライアントレス SSL VPN はバックアップ ファイルを hosts ファイルにコピーして、hosts ファイルを元の状態に戻します。

クライアントレス SSL VPN は、hosts.webvpn を削除します。

Application Access の終了後

hosts ファイルは元の状態です。


) Microsoft 社のアンチスパイウェア ソフトウェアは、ポート転送 Java アプレットによる hosts ファイルの変更をブロックします。アンチスパイウェア ソフトウェアの使用時に hosts ファイルの変更を許可する方法の詳細については、www.microsoft.com を参照してください。


不正な Application Access の終了

Application Access が正しく終了しなかった場合、 hosts ファイルは、クライアントレス SSL VPN 用にカスタマイズされた状態のままになっています。ユーザが次に Application Access を起動するときに、クライアントレス SSL VPN は hosts.webvpn ファイルを検索することで、Application Access の状態をチェックします。hosts.webvpn ファイルが検出されると、 「Backup HOSTS File Found」 というエラー メッセージが表示され(図 7-13 を参照)、Application Access が一時的にディセーブルになります。

Application Access を正しくシャットダウンしないと、リモートアクセス クライアント/サーバ アプリケーションが不安定な状態のままになります。クライアントレス SSL VPN を使用せずにこれらのアプリケーションを起動しようとすると、正しく動作しない場合があります。通常の接続先のホストが使用できなくなる場合があります。一般にこのような状況は、自宅からリモートでアプリケーションを実行し、Application Access ウィンドウを終了せずにコンピュータをシャットダウンし、その後職場でそのアプリケーションを実行しようとした場合に発生します。

クライアントレス SSL VPN によるホストのファイルの自動再設定

リモート アクセス サーバに接続できる場合は、ホストのファイルを再設定し、Application Access やアプリケーションを再度イネーブルにするために、次の手順を実行します。

手順の詳細


ステップ 1 クライアントレス SSL VPN を起動してログインします。ホームページが開きます。

ステップ 2 [Applications Access] リンクをクリックします。「 Backup HOSTS File Found 」メッセージが表示されます (図 7-13 を参照)。

図 7-13 Backup HOSTS File Found メッセージ

 

ステップ 3 次のいずれかのオプションを選択します。

[Restore from backup]:クライアントレス SSL VPN は強制的に正しくシャットダウンされます。クライアントレス SSL VPN は hosts.webvpn backup ファイルを hosts ファイルにコピーし、hosts ファイルを元の状態に戻してから、hosts.webvpn を削除します。その後、Application Access を再起動する必要があります。

[Do nothing]:Application Access は起動しません。リモートアクセスのホームページが再び表示されます。

[Delete backup]:クライアントレス SSL VPN は hosts.webvpn ファイルを削除し、hosts ファイルをクライアントレス SSL VPN 用にカスタマイズされた状態にしておきます。元の hosts ファイル設定は失われます。Application Access は、クライアントレス SSL VPN 用にカスタマイズされた hosts ファイルを新しいオリジナルとして使用して起動します。このオプションは、hosts ファイル設定が失われても問題がない場合にだけ選択してください。Application Access が不適切にシャットダウンされた後に、ユーザまたはユーザが使用するプログラムによって hosts ファイルが編集された可能性がある場合は、他の 2 つのオプションのどちらかを選択するか、または hosts ファイルを手動で編集します (「 手動による hosts ファイルの再設定」を参照)。


 

手動による hosts ファイルの再設定

現在の場所からリモートアクセス サーバに接続できない場合や、カスタマイズした hosts ファイルの編集内容を失いたくない場合は、次の手順に従って、hosts ファイルを再設定し、Application Access とアプリケーションを再度イネーブルにします。

手順の詳細


ステップ 1 hosts ファイルを見つけて編集します。最も一般的な場所は、c:\windows\sysem32\drivers\etc\hosts です。

ステップ 2 # added by WebVpnPortForward という文字列が含まれている行があるかどうかをチェックします。この文字列を含む行がある場合、hosts ファイルはクライアントレス SSL VPN 用にカスタマイズされています。hosts ファイルがクライアントレス SSL VPN 用にカスタマイズされている場合、次の例のようになっています。

server1 # added by WebVpnPortForward
server1.example.com invalid.cisco.com # added by WebVpnPortForward
server2 # added by WebVpnPortForward
server2.example.com invalid.cisco.com # added by WebVpnPortForward
server3 # added by WebVpnPortForward
server3.example.com invalid.cisco.com # added by WebVpnPortForward
 
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 cisco.example.com # source server
# 38.25.63.10 x.example.com # x client host
 
123.0.0.1 localhost
 
 

ステップ 3 # added by WebVpnPortForward という文字列が含まれている行を削除します。

ステップ 4 ファイルを保存して、閉じます。

ステップ 5 クライアントレス SSL VPN を起動してログインします。

ホームページが表示されます。

ステップ 6 [Application Access] リンクをクリックします。

[Application Access] ウィンドウが表示されます。これで Application Access がイネーブルになります。


 

ファイル アクセスの設定

クライアントレス SSL VPN は、リモート ユーザに HTTPS ポータル ページを提供しています。このページは、ASAで実行するプロキシ CIFS クライアントまたは FTP クライアント(あるいはその両方)と連動しています。クライアントレス SSL VPN は、CIFS または FTP を使用して、ユーザが認証の要件を満たしているファイルのプロパティがアクセスを制限しない限り、ネットワーク上のファイルへのネットワーク アクセスをユーザに提供します。CIFS クライアントおよび FTP クライアントは透過的です。クライアントレス SSL VPN から送信されるポータル ページでは、ファイル システムに直接アクセスしているかのように見えます。

ユーザがファイルのリストを要求すると、クライアントレス SSL VPN は、そのリストが含まれるサーバの IP アドレスをマスター ブラウザに指定されているサーバに照会します。ASAはリストを入手してポータル ページ上のリモート ユーザに送信します。

クライアントレス SSL VPN は、ユーザの認証要件とファイルのプロパティに応じて、ユーザが次の CIFS および FTP の機能を呼び出すことができるようにします。

ドメインとワークグループ、ドメインまたはワークグループ内のサーバ、サーバ内部の共有、および共有部分またはディレクトリ内のファイルのナビゲートとリスト

ディレクトリの作成

ファイルのダウンロード、アップロード、リネーム、移動、および削除

ASA は、通常、ASA と同じネットワーク上か、またはこのネットワークからアクセス可能な場所のマスター ブラウザ、WINS サーバ、または DNS サーバを使用して、リモート ユーザがクライアントレス SSL VPN セッション中に表示されるポータル ページのメニュー上またはツールバー上の [Browse Networks] をクリックしたときに、ネットワークでサーバのリストを照会します。

マスター ブラウザまたは DNS サーバは、ASA上の CIFS/FTP クライアントに、クライアントレス SSL VPN がリモート ユーザに提供する、ネットワーク上のリソースのリストを表示します。


) ファイル アクセスを設定する前に、ユーザ アクセス用のサーバに共有を設定する必要があります。


CIFS ファイル アクセスの要件と制限事項

\\server\share\subfolder\personal フォルダ にアクセスするには、最低限、共有自体を含むすべての親フォルダに対する読み取り権限がユーザに必要です。

CIFS ディレクトリとローカル デスクトップとの間でファイルをコピー アンド ペーストするには、[Download] または [Upload] を使用します。[Copy] ボタンおよび [Paste] ボタンはリモート間のアクションのみで使用でき、ローカルからリモートまたはリモートからローカルへのアクションには使用できません。

CIFS ブラウズ サーバ機能は、2 バイト文字の共有名(13 文字を超える共有名)をサポートしていません。これは、表示されるフォルダのリストに影響を与えるだけで、フォルダへのユーザ アクセスには影響しません。回避策として、2 バイトの共有名を使用する CIFS フォルダのブックマークを事前に設定するか、ユーザが cifs://server/<long-folder-name> 形式でフォルダの URL またはブックマークを入力します。たとえば、次のように入力します。

cifs://server/Do you remember?
cifs://server/Do%20you%20remember%3F

ファイル アクセスのサポートの追加

次の手順を実行して、ファイル アクセスを設定します。


) 最初の手順では、マスター ブラウザおよび WINS サーバを指定する方法について説明します。代わりに、ASDM を使用して、ファイル共有へのアクセスを提供する URL リストとエントリを設定することもできます。

ASDM での共有の追加には、マスター ブラウザまたは WINS サーバは必要ありません。ただし、Browse Networks リンクへのサポートは提供されません。このコマンドを入力するときは、ホスト名または IP アドレスを使用して ServerA を参照できます。ホスト名を使用する場合、ASAはホスト名を IP アドレスに解決するように DNS サーバに要求します。


これらのコマンドの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。

SharePoint アクセスのためのクロックの精度の確認

ASAのクライアントレス SSL VPN サーバは、クッキーを使用して、エンドポイントの Microsoft Word などのアプリケーションと対話します。ASAで設定されたクッキーの有効期間により、ASAの時間が正しくない場合、SharePoint サーバ上の文書にアクセスするときに Word が正しく機能しなくなる可能性があります。このような誤作動を回避するには、ASA クロックを正しく設定します。NTP サーバとダイナミックに同期化されるようにASAを設定することをお勧めします。手順については、一般的な操作のコンフィギュレーション ガイドのを参照してください。

クライアントレス SSL VPN ユーザ エクスペリエンスのカスタマイズ

ログイン ページ、ポータル ページ、ログアウト ページなどの、クライアントレス SSL VPN ユーザ エクスペリエンスをカスタマイズできます。2 つの方式を使用できます。[Add/Edit Customization Object] ウィンドウで、事前定義されたページ コンポーネントをカスタマイズできます。このウィンドウでは、ページをカスタマイズするために使用される、ASA 上に保存される XML ファイル(カスタマイゼーション オブジェクト)を追加または変更します。または、XML ファイルをローカル コンピュータまたはサーバにエクスポートし、XML タグを変更し、ファイルを ASA に再インポートできます。どちらの方式でも、接続プロファイルまたはグループ ポリシーに適用するカスタマイゼーション オブジェクトが作成されます。

ログイン ページの事前定義されたコンポーネントをカスタマイズするのではなく、独自のページを作成して ASA にインポートできます(フル カスタマイゼーション)。これを実行するには、「独自の完全にカスタマイズしたページでのログイン ページの置き換え」を参照してください。

ログイン ページの事前定義されたコンポーネントをカスタマイズできます。タイトル、言語オプション、ユーザへのメッセージなどがあります。または、独自のカスタム ページでページを完全に置き換えることができます(フル カスタマイゼーション)。次の項では、両方の手順について詳細に説明します。

「Customization Editor によるログイン ページのカスタマイズ」

「独自の完全にカスタマイズしたページでのログイン ページの置き換え」

Customization Editor によるログイン ページのカスタマイズ

図 7-14 に、ログイン ページとカスタマイズ可能な事前定義されたコンポーネントを示します。

図 7-14 クライアントレス ログイン ページのコンポーネント

ログイン ページのすべてのコンポーネントをカスタマイズするには、次の手順を実行します。[Preview] ボタンをクリックして、各コンポーネントに対する変更をプレビューできます。


ステップ 1 事前定義されたカスタマイゼーションを指定します。[Logon Page] に移動し、[Customize pre-defined logon page components] を選択します。ブラウザ ウィンドウのタイトルを指定します。

ステップ 2 タイトル パネルを表示し、カスタマイズします。[Logon Page] > [Title Panel] の順に選択し、[Display title panel] をオンにします。タイトルとして表示するテキストを入力し、ロゴを指定します。任意のフォント スタイルを指定します。

ステップ 3 表示する言語オプションを指定します。[Logon Page] > [Language] の順に選択し、[Enable Language Selector] をオンにします。リモート ユーザに表示する言語を追加または削除します。リスト内の言語には、[Configuration] > [Remote Access VPN] > [Language Localization] で設定する変換テーブルが必要です。

ステップ 4 ログイン フォームをカスタマイズします。[Logon Page] > [Logon Form] の順に選択します。フォームのテキストおよびパネル内のフォント スタイルをカスタマイズします。接続プロファイルでセカンダリ認証サーバが設定されている場合にのみ、セカンダリ パスワード フィールドがユーザに表示されます。

ステップ 5 ログイン フォームのフィールドを配置します。[Logon Page] > [Form Fields Order] の順に選択します。上矢印ボタンと下矢印ボタンを使用して、フィールドが表示される順序を変更します。

ステップ 6 ユーザへのメッセージを追加します。[Logon Page] > [Informational Panel] の順に選択し、[Display informational panel] をオンにします。パネルに表示するテキストを追加し、ログイン フォームに対してパネルの位置を変更し、このパネルに表示するロゴを指定します。

ステップ 7 著作権宣言文を表示します。[Logon Page] > [Copyright Panel] の順に選択し、[Display copyright panel] をオンにします。著作権のために表示するテキストを追加します。

ステップ 8 [OK] をクリックしてから、編集したカスタマイゼーション オブジェクトに変更を適用させます。


 

独自の完全にカスタマイズしたページでのログイン ページの置き換え

提供されるログイン ページの特定のコンポーネントを変更するのではなく、独自のカスタム ログイン画面を使用する場合は、フル カスタマイゼーション機能を使用してこの高度なカスタマイゼーションを実行できます。

フル カスタマイゼーションを使用して、独自のログイン画面の HTML を入力し、ASAで関数を呼び出す Cisco HTML コードを挿入します。これで、Login フォームと言語セレクタ ドロップダウン リストが作成されます。

このマニュアルでは、独自の HTML コードを作成するために必要な修正内容、および ASA が独自のコードを使用する場合に設定する必要があるタスクについて説明します。

図 7-15 は、フル カスタマイゼーション機能によってイネーブル化される簡単なカスタム ログイン画面の例を示しています。

図 7-15 ログイン ページのフル カスタマイゼーション例

次の項では、ログイン画面をカスタマイズするタスクについて説明します。

カスタム ログイン画面ファイルの設定

ファイルおよびイメージのインポート

カスタム ログイン画面を使用するセキュリティ アプライアンスの設定

カスタム ログイン画面ファイルの設定

次の HTML コードは例として使用され、表示するコードです。

<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>New Page 3</title>
<base target="_self">
</head>
 
<p align="center">
<img border="0" src="/+CSCOU+/cisco_logo.jpg" width="188" height="48"><font face="Snap ITC" size="6" color="#FF00FF">
</font><font face="Snap ITC" color="#FF00FF" size="7"> </font><i><b><font color="#FF0000" size="7" face="Sylfaen"> SSL VPN Service by the Cisco ASA5500</font></b></i></p>
 
<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p> </p>
<p> </p>
<p> </p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>
 

字下げされたコードは、画面に Login フォームと言語セレクタを挿入します。関数 csco_ShowLoginForm('lform') は Login フォームを挿入します。 csco_ShowLanguageSelector('selector') は、言語セレクタを挿入します。

HTML ファイルを変更するには、次の手順を実行します。


ステップ 1 ファイルに login.inc という名前を付けます。このファイルをインポートすると、ASAはこのファイル名をログイン画面として認識します。

ステップ 2 このファイルで使用されるイメージのパスに /+CSCOU+/ を含めるように変更します。

認証前にリモート ユーザに表示されるファイルは、パス /+CSCOU+/ で表されるASAのキャッシュ メモリの特定のエリアに置く必要があります。そのため、このファイルにある各イメージのソースはこのパスに含める必要があります。次に例を示します。

src="/+CSCOU+/asa5520.gif"
 

ステップ 3 下記の特別な HTML コードを挿入します。このコードには、Login フォームと言語セレクタを画面に挿入する前述のシスコの関数が含まれています。

<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p> </p>
<p> </p>
<p> </p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>


 

ファイルおよびイメージのインポート

HTML ファイルおよびイメージを ASA にインポートするには、次の手順を実行します。


ステップ 1 [Clientless SSL VPN Access] > [Portal] > [Web Contents] の順に選択します。

ステップ 2 [Import] をクリックします。[Import Web Content] ウィンドウが表示されます。

a. [Source] オプションを選択し、Web コンテンツをファイルのパスを入力します。

b. [Destination] 領域で、[Require Authentication to access its content] に対して [No] を選択します。これにより、ファイルは、認証の前にユーザがアクセスできるフラッシュ メモリの領域に保存されます。

ステップ 3 [Import Now] をクリックし、同じウィンドウを使用して、ファイルで使用されるイメージを Web コンテンツとしてインポートします。


 

カスタム ログイン画面を使用するセキュリティ アプライアンスの設定

ASA がカスタマイゼーション オブジェクトで新しいログイン画面を使用できるようにするには、次の手順を実行します。


ステップ 1 カスタマイゼーション オブジェクトを選択します。[Clientless SSL VPN Access] > [Portal] > [Customization] の順に選択します。テーブルでカスタマイゼーション オブジェクトを選択し、[Edit] をクリックします。[Edit Customization Object] ウィンドウが表示されます。

ステップ 2 ナビゲーション ペインで、[Logon Page] を選択します。

ステップ 3 [Replace pre-defined logon page with a custom page] を選択します。

ステップ 4 [Manage] をクリックして、ログイン ページ ファイルをインポートします。[Import Web Content] ウィンドウが表示されます。

ステップ 5 [Destination] 領域で、[No] を選択して、認証の前にログイン ページがユーザに表示されるようにします。

ステップ 6 [Edit Customization Object] ウィンドウに戻り、[General] をクリックして、必要な接続プロファイルおよびグループ ポリシーのカスタマイゼーション オブジェクトをイネーブルにします。


 

PDA でのクライアントレス SSL VPN の使用

Pocket PC または他の認定された携帯情報端末からクライアントレス SSL VPN にアクセスできます。ASAの管理者やクライアントレス SSL VPN ユーザは、特に何もしなくても、認定された携帯情報端末(PDA)でクライアントレス SSL VPN を使用できます。

シスコでは次の PDA プラットフォームを認定しています。

HP iPaq H4150
Pocket PC 2003
Windows CE 4.20.0, build 14053
Pocket Internet Explorer (PIE)
ROM version 1.10.03ENG
ROM Date: 7/16/2004

PDA のバージョンによって、クライアントレス SSL VPN に次のような相違点があります。

ポップアップのクライアントレス SSL VPN ウィンドウはバナー Web ページが置き換わっている。

標準のクライアントレス SSL VPN フローティング ツールバーがアイコン バーに置き換わっている。このバーには、[Go]、[Home]、および [Logout] の各種ボタンが表示されます。

メインのクライアントレス SSL VPN ポータル ページに [Show Toolbar] アイコンがない。

クライアントレス SSL VPN のログアウト時に、警告メッセージで PIE ブラウザを正しく閉じる手順が表示される。この手順に従わないで通常の方法でブラウザのウィンドウを閉じると、クライアントレス SSL VPN または HTTPS を使用するすべてのセキュアな Web サイトから PIE が切断されません。

制約事項

クライアントレス SSL VPN は、OWA 2000 版および OWA 2003 版の基本認証をサポートする。OWA サーバに基本認証を設定せずに、クライアントレス SSL VPN ユーザがこのサーバにアクセスをしようとするとアクセスは拒否されます。

サポートされていないクライアントレス SSL VPN の機能

Application Access および他の Java 依存の各種機能

HTTP プロキシ

Citrix Metaframe 機能(PDA に対応する Citrix ICA クライアント ソフトウェアが装備されていない場合)

クライアントレス SSL VPN を介した電子メールの使用

クライアントレス SSL VPN は、電子メールにアクセスする方法をいくつかサポートしています。ここでは、次の方式について説明します。

電子メール プロキシの設定

Web 電子メール:MS Outlook Web App の設定

電子メール プロキシの設定

クライアントレス SSL VPN は、IMAP4S、POP3S、および SMTPS 電子メール プロキシをサポートしています。次の属性が電子メール プロキシ ユーザにグローバルに適用されます。

制約事項

MS Outlook、MS Outlook Express、Eudora などの電子メール クライアントは、証明書ストアにアクセスできません。

1 Eudora 電子メール クライアントでは、SMTPS 接続のデフォルトのポートが 988 の場合でも、SMTPS はポート 465 でのみ動作します。

Web 電子メール:MS Outlook Web App の設定

ASA は、Microsoft Outlook Web App to Exchange Server 2010 および Microsoft Outlook Web Access to Exchange Server 2007、2003、および 2000 をサポートしています。OWA は、ユーザが次の手順を実行する必要があります。

手順の詳細


ステップ 1 アドレス フィールドに電子メール サービスの URL を入力するか、クライアントレス SSL VPN セッションでの関連するブックマークをクリックする。

ステップ 2 プロンプトが表示されたら、電子メール サーバのユーザ名を domain\username 形式で入力する。

ステップ 3 電子メールのパスワードを入力する。


 

ポータル アクセス ルールの設定

この拡張機能により、カスタマーは、HTTP ヘッダー内に存在するデータに基づいて、クライアントレス SSL VPN セッションを許可または拒否するグローバルなクライアントレス SSL VPN アクセス ポリシーを設定することができます。ASA がクライアントレス SSL VPN セッションを拒否する場合、ただちにエンドポイントにエラー コードを返します。

ASA は、このアクセス ポリシーを、エンドポイントが ASA に対して認証する前に評価します。その結果、拒否の場合は、エンドポイントからの追加の接続試行による ASA の処理リソースの消費はより少なくなります。

前提条件

ASA にログインし、グローバル コンフィギュレーション モードを開始します。グローバル コンフィギュレーション モードでは、ASA は次のプロンプトを表示します。

hostname(config)#

手順の詳細


ステップ 1 ASDM を起動し、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Portal Access Rule] を選択します。

[Portal Access Rule] ウィンドウが開きます。

ステップ 2 [Add] をクリックしてポータル アクセス ルールを作成するか、既存のルールを選択して [Edit] をクリックします。

[Add Portal Access Rule] または [Edit Portal Access Rule] ダイアログボックスが開きます。

ステップ 3 1 ~ 65535 のルール番号を [Rule Priority] フィールドに入力します。

ルールは 1 ~ 65535 のプライオリティの順序で処理されます。

ステップ 4 [User Agent] フィールドに、HTTP ヘッダーで検索するユーザ エージェントの名前を入力します。

文字列を広範囲に指定するには、文字列をワイルドカード(*)で囲みます。たとえば、*Thunderbird* です。検索文字列でワイルドカードを使用することを推奨します。ワイルドカードを使用しないと、ルールがどの文字列とも一致しないか、予期したよりも大幅に少ない文字列としか一致しない場合があります。

文字列にスペースが含まれている場合、ASDM によって、ルールの保存時に文字列の最初と最後に自動的に引用符が追加されます。たとえば、 my agent と入力した場合、ASDM によってこの文字列は "my agent" として保存されます。ASA では my agent の一致が検索されます。

スペースを含む文字列に自分で引用符を追加しないでください。ただし、文字列に追加した引用符を ASA で照合させる場合を除きます。たとえば、 "my agent" と入力すると、ASDM によってこの文字列は "\"my agent\"" として保存され、 "my agent" の一致が検索されて、 my agent は検索されません。

スペースを含む文字列でワイルドカードを使用する場合は、文字列全体をワイルドカードで開始して終了します。たとえば、 *my agent* です。ASDM によって、ルールの保存時に、その文字列は自動的に引用符で囲まれます。

ステップ 5 [Action] フィールドで、[Deny] または [Permit] を選択します。

ASA は、この設定に基づいて、クライアントレス SSL VPN 接続を拒否または許可します。

ステップ 6 HTTP メッセージ コードを [Returned HTTP Code] フィールドに入力します。

HTTP メッセージ番号 403 がフィールドにあらかじめ入力されており、これがポータル アクセス ルールのデフォルト値です。メッセージ コードの有効な範囲は 200 ~ 599 です。

ステップ 7 [OK] をクリックします。

ステップ 8 [Apply] をクリックします。


 

プロキシ バイパスの使用

ユーザはプロキシ バイパスを使用するようにASAを設定できます。これは、プロキシ バイパスが提供する特別なコンテンツ リライト機能を使用した方が、アプリケーションや Web リソースをより有効活用できる場合に設定します。プロキシ バイパスはコンテンツの書き換えに代わる手法であり、元のコンテンツの変更を最小限に抑えます。多くの場合、カスタム Web アプリケーションでこれを使用すると有効です。

プロキシ バイパスには複数のエントリを設定できます。エントリを設定する順序は重要ではありません。インターフェイスとパス マスク、またはインターフェイスとポートにより、プロキシ バイパス ルールが一意に指定されます。

パス マスクではなくポートを使用してプロキシ バイパスを設定する場合、ネットワーク コンフィギュレーションによっては、これらのポートがASAにアクセスできるようにするために、ファイアウォール コンフィギュレーションの変更が必要になることがあります。この制限を回避するには、パス マスクを使用します。ただし、パス マスクは変化することがあるため、複数のパス マスク ステートメントを使用して変化する可能性をなくすことが必要になる場合があります。

パスは、URL で .com や .org、またはその他のタイプのドメイン名の後に続く全体です。たとえば、www.example.com/hrbenefits という URL では、 hrbenefits がパスになります。同様に、www.example.com/hrinsurance という URL では、 hrinsurance がパスです。すべての hr サイトでプロキシ バイパスを使用する場合は、*(ワイルドカード)を /hr* のように使用して、コマンドを複数回使用しないようにできます。

手順の詳細

ASA がコンテンツ リライトをほとんどまたはまったく実行しない場合のルールを設定できます。


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxy Bypass] の順に進みます。

ステップ 2 プロキシ バイパスのインターフェイス名を選択します。

ステップ 3 プロキシ バイパス用のポートまたは URI を指定します。

[Port]:(オプション ボタン)プロキシ バイパスにポートを使用します。有効なポート番号は 20000 ~ 21000 です。

[Port]:(フィールド)ASAがプロキシ バイパス用に予約する大きな番号のポートを入力します。

[Path Mask]:(オプション ボタン)プロキシ バイパスに URL を使用します。

[Path Mask]:(フィールド)プロキシ バイパス用の URL を入力します。この URL には、正規表現を使用できます。

ステップ 4 プロキシ バイパスのターゲット URL を定義します。

[URL]:(ドロップダウン リスト)プロトコルとして、http または https をクリックします。

[URL]:(テキスト フィールド)プロキシ バイパスを適用する URL を入力します。

ステップ 5 リライトするコンテンツを指定します。選択肢は、なし、または XML、リンク、およびクッキーの組み合わせです。

[XML]:XML コンテンツをリライトする場合に選択します。

[Hostname]:リンクをリライトする場合に選択します。


 

クライアントレス SSL VPN エンド ユーザの設定

この項は、エンド ユーザのためにクライアントレス SSL VPN を設定するシステム管理者を対象にしています。ここでは、エンド ユーザ インターフェイスをカスタマイズする方法について説明します。

この項では、リモート システムの設定要件と作業の概要を説明します。ユーザがクライアントレス SSL VPN の使用を開始するために、ユーザに伝える必要がある情報を明確にします。説明する項目は次のとおりです。

エンド ユーザ インターフェイスの定義

「クライアントレス SSL VPN ページのカスタマイズ」

「ヘルプのカスタマイズ」

ユーザ名とパスワードの要求

セキュリティのヒントの通知

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

エンド ユーザ インターフェイスの定義

クライアントレス SSL VPN エンド ユーザ インターフェイスは、一連の HTML パネルで構成されます。ユーザは、ASA インターフェイスの IP アドレスを https:// address 形式で入力することにより、クライアントレス SSL VPN にログインします。最初に表示されるパネルは、ログイン画面(図 7-16)です。

図 7-16 クライアントレス SSL VPN の [Login] 画面

 

クライアントレス SSL VPN ホームページの表示

ユーザがログインすると、ポータル ページが開きます。

ホームページには設定済みのクライアントレス SSL VPN 機能がすべて表示され、選択済みのロゴ、テキスト、および色が外観に反映されています。このサンプル ホームページには、特定のファイル共有の指定機能以外のすべてのクライアントレス SSL VPN 機能が表示されています。ユーザはこのホームページを使用して、ネットワークのブラウズ、URL の入力、特定の Web サイトへのアクセス、および Application Access(ポート転送とスマート トンネル)による TCP アプリケーションへのアクセスを実行できます。

クライアントレス SSL VPN の Application Access パネルの表示

ポート転送またはスマート トンネルを開始するには、[Application Access] ボックスの [Go] ボタンをクリックします。[Application Access] ウィンドウが開きます(図 7-17)。

図 7-17 クライアントレス SSL VPN の [Application Access] ウィンドウ

 

このウィンドウには、このクライアントレス SSL VPN 接続用に設定された TCP アプリケーションが表示されます。このパネルを開いたままでアプリケーションを使用する場合は、通常の方法でアプリケーションを起動します。


) ステートフル フェールオーバーでは、Application Access を使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。


フローティング ツールバーの表示

図 7-18 に示すフローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。

図 7-18 クライアントレス SSL VPN フローティング ツールバー

 

フローティング ツールバーの次の特性に注意してください。

ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

ツールバーを閉じると、ASAはクライアントレス SSL VPN セッションの終了を確認するプロンプトを表示します。

クライアントレス SSL VPN の使用方法の詳細については、表 7-14を参照してください。

クライアントレス SSL VPN ページのカスタマイズ

クライアントレス SSL VPN ユーザに表示されるポータル ページの外観を変えることができます。変更できる外観には、ユーザがセキュリティ アプライアンスに接続するときに表示される [Login] ページ、セキュリティ アプライアンスのユーザ承認後に表示される [Home] ページ、ユーザがアプリケーションを起動するときに表示される [Application Access] ウィンドウ、およびユーザがクライアントレス SSL VPN セッションからログアウトするときに表示される [Logout] ページが含まれます。

ポータル ページのカスタマイズ後は、このカスタマイゼーションを保存して、特定の接続プロファイル、グループ ポリシー、またはユーザに適用できます。ASA をリロードするか、またはクライアントレス SSL をディセーブルにしてから再度イネーブルにするまで、変更は適用されません。

いくつものカスタマイゼーション オブジェクトを作成、保存して、個々のユーザまたはユーザ グループに応じてポータル ページの外観を変更するようにセキュリティ アプライアンスをイネーブル化できます。

この項では、次のトピックについて取り上げます。

「カスタマイゼーションに関する情報」

「カスタマイゼーション テンプレートのエクスポート」

「カスタマイゼーション テンプレートの編集」

「ログイン画面の高度なカスタマイゼーション」

「ログイン画面の高度なカスタマイゼーション」

カスタマイゼーションに関する情報

ASAは、カスタマイゼーション オブジェクトを使用して、ユーザ画面の外観を定義します。カスタマイゼーション オブジェクトは、リモート ユーザに表示されるカスタマイズ可能なすべての画面項目に対する XML タグを含む XML ファイルからコンパイルされます。ASA ソフトウェアには、リモート PC にエクスポートできるカスタマイゼーション テンプレートが含まれています。このテンプレートを編集して、新しいカスタマイゼーション オブジェクトとしてASAにインポートし戻すことができます。

カスタマイゼーション オブジェクトをエクスポートすると、XML タグを含む XML ファイルが、指定した URL に作成されます。カスタマイゼーション オブジェクトによって作成される Template という名前の XML ファイルには、空の XML タグが含まれており、新しいカスタマイゼーション オブジェクトを作成するための基礎として利用できます。このオブジェクトは変更したり、キャッシュ メモリから削除したりすることはできませんが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとして再度 ASA にインポートできます。

カスタマイゼーション オブジェクト、接続プロファイル、およびグループ ポリシー

ユーザが初めて接続するときには、接続プロファイル(トンネル グループ)で指定されたデフォルトのカスタマイゼーション オブジェクト( DfltCustomization )がログイン画面の表示方法を決定します。接続プロファイル リストがイネーブルになっている場合に、独自のカスタマイゼーションがある別のグループをユーザが選択すると、その新しいグループのカスタマイゼーション オブジェクトを反映して画面が変わります。

リモート ユーザが認証された後は、画面の外観は、そのグループ ポリシーにカスタマイゼーション オブジェクトが割り当てられているかどうかによって決まります。

カスタマイゼーション テンプレートのエクスポート

カスタマイゼーション オブジェクトをエクスポートすると、指定した URL に XML ファイルが作成されます。カスタマイゼーション テンプレート( Template )は、空の XML タグを含んでおり、新しいカスタマイゼーション オブジェクトを作成するためのベースになります。このオブジェクトは変更したり、キャッシュ メモリから削除したりすることはできませんが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとして再度 ASA にインポートできます。

カスタマイゼーション テンプレートの編集

この項では、カスタマイゼーション テンプレートの内容を示して、便利な図を提供しています。これらを参照して、正しい XML タグをすばやく選択して、画面表示を変更できます。

テキスト エディタまたは XML エディタを使用して、XML ファイルを編集できます。次の例は、カスタマイゼーション テンプレートの XML タグを示しています。一部の冗長タグは、見やすくするために削除してあります。

 
<custom>
<localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>
</localization>
<auth-page>
<window>
<title-text l10n="yes"><![CDATA[SSL VPN Service]]></title-text>
</window>
<full-customization>
<mode>disable</mode>
<url></url>
</full-customization>
<language-selector>
<mode>disable</mode>
<title l10n="yes">Language:</title>
<language>
<code>en</code>
<text>English</text>
</language>
<language>
<code>zh</code>
<text>中国 (Chinese)</text>
</language>
<language>
<code>ja</code>
<text>æ--¥æœ¬ (Japanese)</text>
</language>
<language>
<code>ru</code>
<text>РуÑÑкий (Russian)</text>
</language>
<language>
<code>ua</code>
<text>УкраÑ--нÑька (Ukrainian)</text>
</language>
</language-selector>
<logon-form>
<title-text l10n="yes"><![CDATA[Login]]></title-text>
<title-background-color><![CDATA[#666666]]></title-background-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<message-text l10n="yes"><![CDATA[Please enter your username and password.]]></message-text>
<username-prompt-text l10n="yes"><![CDATA[USERNAME:]]></username-prompt-text>
<password-prompt-text l10n="yes"><![CDATA[PASSWORD:]]></password-prompt-text>
<internal-password-prompt-text l10n="yes">Internal Password:</internal-password-prompt-text>
<internal-password-first>no</internal-password-first>
<group-prompt-text l10n="yes"><![CDATA[GROUP:]]></group-prompt-text>
<submit-button-text l10n="yes"><![CDATA[Login]]></submit-button-text>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-background-color><![CDATA[#666666]]></title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logon-form>
<logout-form>
<title-text l10n="yes"><![CDATA[Logout]]></title-text>
<message-text l10n="yes"><![CDATA[Goodbye.<br>
 
For your own security, please:<br>
 
<li>Clear the browser's cache
 
<li>Delete any downloaded files
 
<li>Close the browser's window]]></message-text>
<login-button-text l10n="yes">Logon</login-button-text>
<hide-login-button>no</hide-login-button>
<title-background-color><![CDATA[#666666]]></title-background-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-font-color><![CDATA[#ffffff]]></title-font-color>
<title-background-color><![CDATA[#666666]]></title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
<border-color>#858A91</border-color>
</logout-form>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service]]></text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff]]></background-color>
<font-size><![CDATA[larger]]></font-size>
<font-color><![CDATA[#800000]]></font-color>
<font-weight><![CDATA[bold]]></font-weight>
</title-panel>
<info-panel>
<mode>disable</mode>
<image-url l10n="yes">/+CSCOU+/clear.gif</image-url>
<image-position>above</image-position>
<text l10n="yes"></text>
</info-panel>
<copyright-panel>
<mode>disable</mode>
<text l10n="yes"></text>
</copyright-panel>
</auth-page>
<portal>
<title-panel>
<mode>enable</mode>
<text l10n="yes"><![CDATA[SSL VPN Service]]></text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style></style>
<background-color><![CDATA[#ffffff]]></background-color>
<font-size><![CDATA[larger]]></font-size>
<font-color><![CDATA[#800000]]></font-color>
<font-weight><![CDATA[bold]]></font-weight>
</title-panel>
<browse-network-title l10n="yes">Browse Entire Network</browse-network-title>
<access-network-title l10n="yes">Start AnyConnect</access-network-title>
<application>
<mode>enable</mode>
<id>home</id>
<tab-title l10n="yes">Home</tab-title>
<order>1</order>
</application>
<application>
<mode>enable</mode>
<id>web-access</id>
<tab-title l10n="yes"><![CDATA[Web Applications]]></tab-title>
<url-list-title l10n="yes"><![CDATA[Web Bookmarks]]></url-list-title>
<order>2</order>
</application>
<application>
<mode>enable</mode>
<id>file-access</id>
<tab-title l10n="yes"><![CDATA[Browse Networks]]></tab-title>
<url-list-title l10n="yes"><![CDATA[File Folder Bookmarks]]></url-list-title>
<order>3</order>
</application>
<application>
<mode>enable</mode>
<id>app-access</id>
<tab-title l10n="yes"><![CDATA[Application Access]]></tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>net-access</id>
<tab-title l10n="yes">AnyConnect</tab-title>
<order>4</order>
</application>
<application>
<mode>enable</mode>
<id>help</id>
<tab-title l10n="yes">Help</tab-title>
<order>1000000</order>
</application>
<toolbar>
<mode>enable</mode>
<logout-prompt-text l10n="yes">Logout</logout-prompt-text>
<prompt-box-title l10n="yes">Address</prompt-box-title>
<browse-button-text l10n="yes">Browse</browse-button-text>
</toolbar>
<column>
<width>100%</width>
<order>1</order>
</column>
<pane>
<type>TEXT</type>
<mode>disable</mode>
<title></title>
<text></text>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>IMAGE</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>HTML</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<pane>
<type>RSS</type>
<mode>disable</mode>
<title></title>
<url l10n="yes"></url>
<notitle></notitle>
<column></column>
<row></row>
<height></height>
</pane>
<url-lists>
<mode>group</mode>
</url-lists>
<home-page>
<mode>standard</mode>
<url></url>
</home-page>
</portal>
</custom>
 

図 7-19 に、[Login] ページとページをカスタマイズする XML タグを示します。これらのタグはすべて、上位レベルのタグ <auth-page> にネストされています。

図 7-19 [Login] ページと関連の XML タグ

 

図 7-20 は、[Login] ページで使用可能な言語セレクタ ドロップダウン リストと、この機能をカスタマイズするための XML タグを示しています。これらのタグはすべて、上位レベルの <auth-page> タグにネストされています。

図 7-20 [Login] 画面上の言語セレクタと関連の XML タグ

 

図 7-21 は、[Login] ページで使用できる Information Panel とこの機能をカスタマイズするための XML タグを示しています。この情報は [Login] ボックスの左側または右側に表示されます。これらのタグは、上位レベルの <auth-page> タグにネストされています。

図 7-21 [Login] 画面上の Information Panel と関連の XML タグ

 

図 7-22 は、ポータル ページとこの機能をカスタマイズするための XML タグを示しています。これらのタグは、上位レベルの <auth-page> タグにネストされています。

図 7-22 ポータル ページと関連の XML タグ

 

ログイン画面の高度なカスタマイゼーション

提供されるログイン画面の特定の画面要素を変更するのではなく、独自のカスタム ログイン画面を使用する場合は、フル カスタマイゼーション機能を使用してこの高度なカスタマイゼーションを実行できます。

フル カスタマイゼーションを使用して、独自のログイン画面の HTML を入力し、ASAで関数を呼び出す Cisco HTML コードを挿入します。これで、Login フォームと言語セレクタ ドロップダウン リストが作成されます。

この項では、独自の HTML コードを作成するために必要な修正内容、およびASAが独自のコードを使用する場合に設定する必要があるタスクについて説明します。

図 7-23 に、クライアントレス SSL VPN ユーザに表示される標準の Cisco ログイン画面を示します。Login フォームは、HTML コードで呼び出す関数によって表示されます。

図 7-23 標準の Cisco [Login] ページ

 

図 7-24 に、言語セレクタ ドロップダウン リストを示します。この機能は、クライアントレス SSL VPN ユーザにはオプションとなっており、ログイン画面の HTML コード内の関数によっても呼び出されます。

図 7-24 言語セレクタ ドロップダウン リスト

 

図 7-25 は、フル カスタマイゼーション機能によってイネーブル化される簡単なカスタム ログイン画面の例を示しています。

図 7-25 ログイン画面のフル カスタマイゼーション例

次の HTML コードは例として使用され、表示するコードです。

 
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>New Page 3</title>
<base target="_self">
</head>
 
<p align="center">
<img border="0" src="/+CSCOU+/cisco_logo.jpg" width="188" height="48"><font face="Snap ITC" size="6" color="#FF00FF">
</font><font face="Snap ITC" color="#FF00FF" size="7">&nbsp;</font><i><b><font color="#FF0000" size="7" face="Sylfaen"> SSL VPN Service by the Cisco ASA5500</font></b></i></p>
 
<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>
 

字下げされたコードは、画面に Login フォームと言語セレクタを挿入します。関数 csco_ShowLoginForm('lform') は Login フォームを挿入します。 csco_ShowLanguageSelector('selector') は、言語セレクタを挿入します。

HTML ファイルの変更

HTML ファイルを変更するには、次の手順を実行します。

手順の詳細


ステップ 1 ファイルに login.inc という名前を付けます。このファイルをインポートすると、ASAはこのファイル名をログイン画面として認識します。

ステップ 2 このファイルで使用されるイメージのパスに /+CSCOU+/ を含めるように変更します。

認証前にリモート ユーザに表示されるファイルは、パス /+CSCOU+/ で表されるASAのキャッシュ メモリの特定のエリアに置く必要があります。そのため、このファイルにある各イメージのソースはこのパスに含める必要があります。たとえば、次のように入力します。

src=”/+CSCOU+/asa5520.gif”
 

ステップ 3 下記の特別な HTML コードを挿入します。このコードには、Login フォームと言語セレクタを画面に挿入する前述のシスコの関数が含まれています。

<body onload="csco_ShowLoginForm('lform');csco_ShowLanguageSelector('selector')">
 
<table>
 
<tr><td colspan=3 height=20 align=right><div id="selector" style="width: 300px"></div></td></tr>
<tr><td></td><td></td><td></td></tr>
<tr>
<td height="379"></td>
<td height="379"></td>
<td align=middle valign=middle>
<div id=lform >
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Loading...</p>
</div>
</td>
</tr>
<tr>
<td width="251"></td>
<td width="1"></td>
<td align=right valign=right width="800">
<img border="1" src="/+CSCOU+/asa5500.jpg" width="660" height="220" align="middle">
</td></tr>
 
</table>

ポータル ページのカスタマイズ

図 7-26 に、ポータル ページとカスタマイズ可能な事前定義されたコンポーネントを示します。

図 7-26 ポータル ページのカスタマイズ可能なコンポーネント

 

ページのコンポーネントをカスタマイズする以外に、ポータル ページを、テキスト、イメージ、RSS フィード、または HTML を表示するカスタム ペインに分割できます。図 7-26 では、ポータル ページは 1 列と 2 行に分割されています。

ポータル ページをカスタマイズするには、次の手順を実行します。[Preview] ボタンをクリックして、各コンポーネントに対する変更をプレビューできます。


ステップ 1 [Portal Page] に移動し、ブラウザ ウィンドウのタイトルを指定します。

ステップ 2 タイトル パネルを表示し、カスタマイズします。[Portal Page] > [Title Panel] の順に選択し、[Display title panel] をオンにします。タイトルとして表示するテキストを入力し、ロゴを指定します。フォント スタイルを指定します。

ステップ 3 ツールバーをイネーブルにしてカスタマイズします。[Portal Page] > [Toolbar] の順に選択し、[Display toolbar] をオンにします。プロンプト ボックス、参照ボタン、およびログアウト プロンプトを必要に応じてカスタマイズします。

ステップ 4 アプリケーション リストをカスタマイズします。[Portal Page] > [Applications] の順に選択し、[Show navigation panel] をオンにします。テーブルに入力されているアプリケーションは ASA の設定でイネーブルにしたアプリケーションであり、クライアント/サーバ プラグインやポート転送アプリケーションが含まれています。

ステップ 5 ポータル ページ スペースでカスタム ペインを作成します。[Portal Page] > [Custom Panes] の順に選択し、必要に応じて、ウィンドウをテキスト、イメージ、RSS フィード、または HTML ページの行およびカラムに分割します。

ステップ 6 ホームページの URL を指定します。[Portal Page] > [Home Page] の順に選択し、[Enable custom intranet web page] をオンにします。ブックマークの構成を定義するブックマーク モードを選択します。

タイムアウト アラート メッセージおよびツールチップを設定します。[Portal Page] > [Timeout Alerts] の順に選択します。詳細な手順については、「 カスタム ポータル タイムアウト アラートの設定」を参照してください。


 

カスタム ポータル タイムアウト アラートの設定

クライアントレス SSL VPN 機能のユーザが VPN セッションで時間を管理できるように、クライアントレス SSL VPN ポータル ページには、クライアントレス VPN セッションが終了するまでの合計残り時間を示すカウントダウン タイマーが表示されます。セッションは、非アクティブ状態によって、または設定された最大許容接続時間が終了したために、タイムアウトします。

ユーザのセッションが、アイドル タイムアウトまたはセッション タイムアウトにより終了することをユーザに警告するカスタム メッセージを作成できます。デフォルトのアイドル タイムアウト メッセージはカスタム メッセージによって置き換えられます。デフォルトのメッセージは、「 Your session will expire in %s . 」です。メッセージ内の %s プレース ホルダは、進行するカウントダウン タイマーで置き換えられます。


ステップ 1 ASDM を起動し、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Customization] を選択します。

ステップ 2 [Add] をクリックして新しいカスタマイゼーション オブジェクトを追加するか、既存のカスタマイゼーション オブジェクトを選択して [Edit] をクリックし、カスタム アイドル タイムアウト メッセージを既存のカスタマイゼーション オブジェクトに追加します。

ステップ 3 [Add / Edit Customization Object] ペインで、ナビゲーション ツリーの [Portal Page] ノードを展開して、[Timeout Alerts] をクリックします。

ステップ 4 [Enable alert visual tooltip (red background for timer countdown)] をオンにします。これにより、カウントダウン タイマーがツール ヒントとして赤の背景に表示されます。ユーザが [Time left] 領域をクリックすると、時間領域が拡大されて、カスタム タイムアウト アラート メッセージが表示されます。このボックスをオフのままにしておくと、カスタム タイムアウト アラートはポップアップ ウィンドウに表示されます。

ステップ 5 [Idle Timeout Message] ボックスおよび [Session Timeout Message] ボックスにメッセージを入力します。メッセージの例は、次のとおりです。「 Warning: Your session will end in %s.Please complete your work and prepare to close your applications.」

ステップ 6 [OK] をクリックします。

ステップ 7 [Apply] をクリックします。


 

カスタマイゼーション オブジェクト ファイルでのカスタム タイムアウト アラートの指定

必要に応じて、ASA の外部の既存のカスタマイゼーション オブジェクト ファイルを編集し、ASA にインポートできます。カスタマイゼーション オブジェクトのインポートおよびエクスポートの詳細については、「カスタマイゼーション オブジェクトのインポート/エクスポート」を参照してください。「XML ベースのポータル カスタマイゼーション オブジェクトおよび URL リストの作成」も参照してください。

タイムアウト メッセージは、XML カスタマイゼーション オブジェクト ファイルの <timeout-alerts> XML 要素で設定されます。<timeout-alerts> 要素は <portal> 要素の子です。<portal> 要素は <custom> 要素の子です。

<timeout-alerts> 要素は、<portal> の子要素の順序では、<home-page> 要素の後、<application> 要素の前に配置します。

<timeout-alerts> の次の子要素を指定する必要があります。

<alert-tooltip>:「yes」に設定されると、カウントダウン タイマーはユーザにツール ヒントとして赤の背景に表示されます。カウントダウン タイマーをクリックすると、ツールチップが展開されて、カスタム メッセージが表示されます。「no」に設定されるか未定義の場合、カスタム メッセージはポップアップ ウィンドウでユーザに表示されます。

<session-timeout-message>:この要素にカスタム セッション タイムアウト メッセージを入力します。設定されており、空ではない場合は、デフォルト メッセージの代わりに、カスタム メッセージを受け取ります。メッセージ内の %s プレース ホルダは、進行するカウントダウン タイマーで置き換えられます。

<idle-timeout-message>:この要素にカスタム アイドル タイムアウト メッセージを入力します。設定されており、空ではない場合は、デフォルト メッセージの代わりに、カスタム メッセージを受け取ります。%s プレース ホルダは、進行するカウントダウン タイマーで置き換えられます。

タイムアウト アラート要素および子要素の設定例

この例では、<portal> 要素の <timeout-alerts> 要素のみを示します。


) この例を既存のカスタマイゼーション オブジェクトにカット アンド ペーストしないでください。


<portal>
<window></window>
<title-panel></title-panel>
<toolbar></toolbar>
<url-lists></url-lists>
<navigation-panel></navigation-panel>
<home-page>
<timeout-alerts>
<alert-tooltip>yes</alert-tooltip>
<idle-timeout-message>You session expires in %s due to idleness.</idle-timeout-message>
<session-timeout-message>Your session expires in %s.</session-timeout-message>
</timeout-alerts>
<application></application>
<column></column>
<pane></pane>
<external-portal></external-portal>
</portal>

ログアウト ページのカスタマイズ

図 7-27 に、カスタマイズ可能なログアウト ページを示します。

図 7-27 ログアウト ページのコンポーネント

ログアウト ページをカスタマイズするには、次の手順を実行します。[Preview] ボタンをクリックして、各コンポーネントに対する変更をプレビューできます。


ステップ 1 [Logout Page] に移動します。必要に応じて、タイトルまたはテキストをカスタマイズします。

ステップ 2 ユーザに便利なように、ログアウト ページに [Login] ボタンを表示できます。そのためには、[Show logon button] をオンにします。必要に応じて、ボタンのテキストをカスタマイズします。

ステップ 3 必要に応じて、タイトルのフォントまたは背景をカスタマイズします。

ステップ 4 [OK] をクリックしてから、編集したカスタマイゼーション オブジェクトに変更を適用します。


 

外部ポータル ページのカスタマイズ

カスタマイゼーション オブジェクトの追加

カスタマイゼーション オブジェクトを追加するには、DfltCustomization オブジェクトのコピーを作成して一意の名前を付けます。次に、要件に合うようにそのオブジェクトを修正または編集できます。

手順の詳細


ステップ 1 [Add] をクリックし、新しいカスタマイゼーション オブジェクトの名前を入力します。最大 64 文字で、スペースは使用できません。

ステップ 2 (任意)[Find] をクリックして、カスタマイゼーション オブジェクトを検索します。このフィールドへの入力を開始すると、各フィールドの先頭部分の文字が検索され、一致するものが検出されます。ワイルドカードを使用して、検索を展開できます。たとえば、[Find] フィールドに sal と入力すると、sales という名前のカスタマイゼーション オブジェクトは一致しますが、wholesalers という名前のカスタマイゼーション オブジェクトは一致しません。[Find] フィールドに *sal と入力した場合は、テーブル内の sales と wholesalers のうち、最初に出現するものが検出されます。

上矢印と下矢印を使用して、上または下にある、一致する次の文字列に移動します。[Match Case] チェックボックスをオンにして、大文字と小文字が区別されるようにします。

ステップ 3 オンスクリーン キーボードをポータル ページ上にいつ表示するかを指定します。次の選択肢があります。

Do not show OnScreen Keyboard

Show only for the login page

Show for all portal pages requiring authentication

ステップ 4 (任意)カスタマイゼーション オブジェクトを強調表示し、[Assign] をクリックして、選択したオブジェクトを 1 つ以上のグループ ポリシー、接続プロファイル、または LOCAL ユーザに割り当てます。


 

カスタマイゼーション オブジェクトのインポート/エクスポート

既存のカスタマイゼーション オブジェクトをインポートまたはエクスポートできます。インポートするのは、エンド ユーザに適用するオブジェクトです。ASAにすでに存在するカスタマイゼーション オブジェクトは、編集のためにエクスポートし、その後再インポートできます。

手順の詳細


ステップ 1 カスタマイゼーション オブジェクトを名前で指定します。最大 64 文字で、スペースは使用できません。

ステップ 2 カスタマイゼーション ファイルをインポートまたはエクスポートするときに使用する方式を選択します。

[Local computer]:ローカル PC にあるファイルをインポートする場合は、この方式を選択します。

[Path]:ファイルへのパスを入力します。

[Browse Local Files]:ファイルへのパスを参照します。

[Flash file system]:ASAに常駐するファイルをエクスポートするには、この方式を選択します。

[Path]:ファイルへのパスを入力します。

[Browse Flash]:ファイルへのパスを参照します。

[Remote server]:ASAからアクセスできるリモート サーバに常駐するカスタマイゼーション ファイルをインポートするには、このオプションを選択します。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

ステップ 3 クリックして、ファイルをインポートまたはエクスポートします。


 

XML ベースのポータル カスタマイゼーション オブジェクトおよび URL リストの作成

この項では、次のトピックについて取り上げます。

「XML カスタマイゼーション ファイルの構成について」

「カスタマイゼーションの設定例」

「カスタマイゼーション テンプレートの使用」

「ヘルプのカスタマイゼーション」

「アプリケーションのヘルプ コンテンツのインポートおよびエクスポート」

XML カスタマイゼーション ファイルの構成について

表 7-8 に、XML カスタマイゼーション オブジェクトのファイル構造を示します。


) パラメータ/タグが指定されなければデフォルト/継承値が使用されます。存在する場合は、空の文字列であってもパラメータ/タグ値が設定されます。


 

表 7-8 XML ベース カスタマイゼーション ファイルの構造

タグ
タイプ
プリセット値
説明
custom
ノード
--
--
ルート タグ
auth-page
ノード
--
--
認証ページ コンフィギュレーションのタグ コンテナ
window
ノード
--
--
ブラウザ ウィンドウ

title-text

文字列

任意の文字列

空の文字列

--

title-panel
ノード
--
--
ロゴおよびテキストを表示したページの先頭パネル

mode

テキスト

enable|disable

disable

--

text

テキスト

任意の文字列

空の文字列

--

logo-url

テキスト

任意の URL

空のイメージ URL

--

copyright-panel
ノード
--
--
著作権情報を示したページの下部ペイン

mode

テキスト

enable|disable

disable

--

text

テキスト

任意の URL

空の文字列

--

info-panel
ノード
--
--
カスタム テキストとイメージを表示したペイン

mode

文字列

enable|disable

disable

--

image-position

文字列

above|below

above

テキストに対する相対的なイメージの位置

image-url

文字列

任意の URL

空のイメージ

--

text

文字列

任意の文字列

空の文字列

--

logon-form
ノード
--
--
ユーザ名、パスワード、グループ プロンプトのフォーム

title-text

文字列

任意の文字列

Logon

--

message-text

文字列

任意の文字列

空の文字列

--

username-prompt-text

文字列

任意の文字列

Username

--

password-prompt-text

文字列

任意の文字列

Password

--

internal-password-prompt-text

文字列

任意の文字列

Internal Password

--

group-prompt-text

文字列

任意の文字列

Group

--

submit-button-text

文字列

任意の文字列

Logon

logout-form
ノード
--
--
ログアウト メッセージと、ログインまたはウィンドウを閉じるためのボタンを表示したフォーム

title-text

文字列

任意の文字列

Logout

--

message-text

文字列

任意の文字列

空の文字列

--

login-button-text

文字列

任意の文字列

Login

close-button-text

文字列

任意の文字列

Close window

--

language-selector
ノード
--
--
言語を選択するドロップダウン リスト

mode

文字列

enable|disable

disable

--

title

テキスト

--

Language

言語を選択するよう求めるプロンプト テキスト

language
ノード(複数)
--
--
--

code

文字列

--

--

--

text

文字列

--

--

--

portal
ノード
--
--
ポータル ページ コンフィギュレーションのタグコンテナ
window
ノード
--
--
認証ページの説明を参照

title-text

文字列

任意の文字列

空の文字列

--

title-panel
ノード
--
--
認証ページの説明を参照

mode

文字列

enable|disable

Disable

--

text

文字列

任意の文字列

空の文字列

--

logo-url

文字列

任意の URL

空のイメージ URL

--

navigation-panel
ノード
--
--
アプリケーション タブの左側のペイン

mode

文字列

enable|disable

enable

--

application
ノード(複数)
--
該当なし
ノードは(ID によって)設定されているアプリケーションのデフォルトを変更する

id

文字列

ストック アプリケーションの場合:

web-access

file-access

app-access

net-access

help

ins の場合:

固有のプラグイン

該当なし

--

tab-title

文字列

--

該当なし

--

order

数値

--

該当なし

エレメントの並べ替えで使用する値。デフォルトのエレメント順の値には、1000、2000、3000 などの段階があります。たとえば、最初と 2 番目のエレメントの間にエレメントを挿入するには、1001 ~ 1999 の値を使用します。

url-list-title

文字列

--

該当なし

アプリケーションにブックマークがある場合は、グループ化されたブックマークを表示したパネルのタイトル

mode

文字列

enable|disable

該当なし

v

toolbar
ノード
--
--
--

mode

文字列

enable|disable

Enable

--

prompt-box-title

文字列

任意の文字列

Address

URL プロンプト リストのタイトル

browse-button-text

文字列

任意の文字列

Browse

[Browse] ボタンのテキスト

logout-prompt-text

文字列

任意の文字列

Logout

--

column
ノード(複数)
--
--
デフォルトで 1 列を表示

width

文字列

--

該当なし

--

order

数値

--

該当なし

エレメントの並べ替えで使用する値。

url-lists
ノード
--
--
URL リストは、明示的にディセーブルになっていない場合、ポータル ホーム ページのデフォルト エレメントと見なされる

mode

文字列

group | nogroup

group

モード:

group:Web Bookmarks や File Bookmarks などのアプリケーション タイプによってグループ化されたエレメント

no-group:URL リストを別々のペインに表示する

disable:デフォルトで URL リストを表示しない

panel

ノード

(複数)

--

--

追加ペインの設定を許可

mode

文字列

enable|disable

--

コンフィギュレーションを削除せずにパネルを一時的にディセーブルにする場合に使用する

title

文字列

--

--

--

type

文字列

--

--

サポートされるタイプ:

RSS

IMAGE

TEXT

HTML

url

文字列

--

--

RSS、IMAGE、または HTML タイプのペインの URL

url-mode

文字列

--

--

モード:mangle、no-mangle

text

文字列

--

--

TEXT タイプ ペインのテキスト

column

数値

--

--

--

カスタマイゼーションの設定例

次の例は、次のカスタマイゼーション オプションを示しています。

File アクセス アプリケーションのタブを非表示にする。

Web Access アプリケーションのタイトルと順序を変更する。

ホーム ページで 2 つのカラムを定義する。

RSS ペインを追加する。

2 番目のペインの上部に 3 つのペイン(テキスト、イメージ、および html)を追加する。

 
<custom name="Default">
<auth-page>
 
<window>
<title-text l10n="yes">title WebVPN Logon</title>
</window>
 
<title-panel>
<mode>enable</mode>
<text l10n="yes">EXAMPLE WebVPN</text>
<logo-url>http://www.example.com/images/EXAMPLE.gif</logo-url>
</title-panel>
 
<copyright>
<mode>enable</mode>
<text l10n="yes">(c)Copyright, EXAMPLE Inc., 2006</text>
</copyright>
 
<info-panel>
<mode>enable</mode>
<image-url>/+CSCOE+/custom/EXAMPLE.jpg</image-url>
<text l10n="yes">
<![CDATA[
<div>
<b>Welcome to WebVPN !.</b>
</div>
]]>
</text>
</info-panel>
<logon-form>
<form>
<title-text l10n="yes">title WebVPN Logon</title>
<message-text l10n="yes">message WebVPN Logon</title>
<username-prompt-text l10n="yes">Username</username-prompt-text>
<password-prompt-text l10n="yes">Password</password-prompt-text>
<internal-password-prompt-text l10n="yes">Domain password</internal-password-prompt-text>
<group-prompt-text l10n="yes">Group</group-prompt-text>
<submit-button-text l10n="yes">Logon</submit-button-text>
</form>
</logon-form>
<logout-form>
<form>
<title-text l10n="yes">title WebVPN Logon</title>
<message-text l10n="yes">message WebVPN Logon</title>
<login-button-text l10n="yes">Login</login-button-text>
<close-button-text l10n="yes">Logon</close-button-text>
</form>
</logout-form>
 
<language-slector>
<language>
<code l10n="yes">code1</code>
<text l10n="yes">text1</text>
</language>
<language>
<code l10n="yes">code2</code>
<text l10n="yes">text2</text>
</language>
</language-slector>
 
</auth-page>
<portal>
 
<window>
<title-text l10n="yes">title WebVPN Logon</title>
</window>
 
<title-panel>
<mode>enable</mode>
<text l10n="yes">EXAMPLE WebVPN</text>
<logo-url>http://www.example.com/logo.gif</logo-url>
</title-panel>
 
<navigation-panel>
<mode>enable</mode>
</navigation-panel>
 
<application>
<id>file-access</id>
<mode>disable</mode>
</application>
<application>
<id>web-access</id>
<tab-title>EXAMPLE Intranet</tab-title>
<order>3001</order>
</application>
 
<column>
<order>2</order>
<width>40%</width>
<column>
<column>
<order>1</order>
<width>60%</width>
<column>
 
<url-lists>
<mode>no-group</mode>
</url-lists>
 
<pane>
<id>rss_pane</id>
<type>RSS</type>
<url>rss.example.com?id=78</url>
</pane>
<pane>
<type>IMAGE</type>
<url>http://www.example.com/logo.gif</url>
<column>1</column>
<row>2</row>
</pane>
 
<pane>
<type>HTML</type>
<title>EXAMPLE news</title>
<url>http://www.example.com/news.html</url>
<column>1</column>
<row>3</row>
</pane>
 
</portal>
 
</custom>
 

カスタマイゼーション テンプレートの使用

Template という名前のカスタマイゼーション テンプレートには、現在使用されているタグすべてと、その使用法を説明した対応するコメントが含まれています。 export コマンドを使用し、次のようにしてASAからカスタマイゼーション テンプレートをダウンロードします。

 
hostname# export webvpn customization Template tftp://webserver/default.xml
hostname#
 

Template ファイルは、変更または削除できません。この例のようにしてエクスポートする場合は、 default.xml という新しい名前で保存します。このファイルで変更を行った後、組織の必要を満たすカスタマイゼーション オブジェクトを作成し、 default.xml または選択する別の名前のファイルとしてASAにインポートします。次に例を示します。

hostname# import webvpn customization General tftp://webserver/custom.xml
hostname#

 

ここで custom.xml という名前の XML オブジェクトをインポートし、 ASA で General と命名します。

カスタマイゼーション テンプレート

Template という名前のカスタマイゼーション テンプレートを次に示します。

<?xml version="1.0" encoding="UTF-8" ?>
- <!--
 
Copyright (c) 2008,2009 by Cisco Systems, Inc.
All rights reserved.
 
Note: all white spaces in tag values are significant and preserved.
 
 
Tag: custom
Description: Root customization tag
 
Tag: custom/languages
Description: Contains list of languages, recognized by ASA
Value: string containing comma-separated language codes.Each language code is
a set dash-separated alphanumeric characters, started with
alpha-character (for example: en, en-us, irokese8-language-us)
Default value: en-us
Tag: custom/default-language
Description: Language code that is selected when the client and the server
were not able to negotiate the language automatically.
For example the set of languages configured in the browser
is "en,ja", and the list of languages, specified by
'custom/languages' tag is "cn,fr", the default-language will be
used.
Value: string, containing one of the language coded, specified in
'custom/languages' tag above.
Default value: en-us
 
*********************************************************
 
Tag: custom/auth-page
Description: Contains authentication page settings
 
*********************************************************
Tag: custom/auth-page/window
Description: Contains settings of the authentication page browser window
 
Tag: custom/auth-page/window/title-text
Description: The title of the browser window of the authentication page
Value: arbitrary string
Default value: Browser's default value
 
*********************************************************
 
Tag: custom/auth-page/title-panel
Description: Contains settings for the title panel
 
Tag: custom/auth-page/title-panel/mode
Description: The title panel mode
Value: enable|disable
Default value: disable
Tag: custom/auth-page/title-panel/text
Description: The title panel text.
Value: arbitrary string
Default value: empty string
 
Tag: custom/auth-page/title-panel/logo-url
Description: The URL of the logo image (imported via "import webvpn webcontent")
Value: URL string
Default value: empty image URL
 
Tag: custom/auth-page/title-panel/background-color
Description: The background color of the title panel
Value: HTML color format, for example #FFFFFF
Default value: #FFFFFF
 
Tag: custom/auth-page/title-panel/font-color
Description: The background color of the title panel
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
Tag: custom/auth-page/title-panel/font-weight
Description: The font weight
Value: CSS font size value, for example bold, bolder,lighter etc.
Default value: empty string
 
Tag: custom/auth-page/title-panel/font-size
Description: The font size
Value: CSS font size value, for example 10pt, 8px, x-large, smaller etc.
Default value: empty string
 
 
 
 
Tag: custom/auth-page/title-panel/gradient
Description: Specifies using the background color gradient
Value: yes|no
Default value:no
 
Tag: custom/auth-page/title-panel/style
Description: CSS style of the title panel
Value: CSS style string
Default value: empty string
 
*********************************************************
 
Tag: custom/auth-page/copyright-panel
Description: Contains the copyright panel settings
 
Tag: custom/auth-page/copyright-panel/mode
Description: The copyright panel mode
Value: enable|disable
Default value: disable
 
Tag: custom/auth-page/copyright-panel/text
Description: The copyright panel text
Value: arbitrary string
Default value: empty string
 
*********************************************************
Tag: custom/auth-page/info-panel
Description: Contains information panel settings
 
Tag: custom/auth-page/info-panel/mode
Description: The information panel mode
Value: enable|disable
Default value: disable
 
Tag: custom/auth-page/info-panel/image-position
Description: Position of the image, above or below the informational panel text
Values: above|below
Default value: above
 
Tag: custom/auth-page/info-panel/image-url
Description: URL of the information panel image (imported via "import webvpn webcontent")
Value: URL string
Default value: empty image URL
 
Tag: custom/auth-page/info-panel/text
Description: Text of the information panel
Text: arbitrary string
Default value: empty string
 
*********************************************************
 
Tag: custom/auth-page/logon-form
Description: Contains logon form settings
 
Tag: custom/auth-page/logon-form/title-text
Description: The logon form title text
Value: arbitrary string
Default value: "Logon"
 
Tag: custom/auth-page/logon-form/message-text
Description: The message inside of the logon form
Value: arbitrary string
Default value: empty string
 
Tag: custom/auth-page/logon-form/username-prompt-text
Description: The username prompt text
Value: arbitrary string
Default value: "Username"
 
Tag: custom/auth-page/logon-form/password-prompt-text
Description: The password prompt text
Value: arbitrary string
Default value: "Password"
 
Tag: custom/auth-page/logon-form/internal-password-prompt-text
Description: The internal password prompt text
Value: arbitrary string
Default value: "Internal Password"
 
Tag: custom/auth-page/logon-form/group-prompt-text
Description: The group selector prompt text
Value: arbitrary string
Default value: "Group"
 
 
Tag: custom/auth-page/logon-form/submit-button-text
Description: The submit button text
Value: arbitrary string
Default value: "Logon"
 
Tag: custom/auth-page/logon-form/internal-password-first
Description: Sets internal password first in the order
Value: yes|no
Default value: no
 
 
Tag: custom/auth-page/logon-form/title-font-color
Description: The font color of the logon form title
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
Tag: custom/auth-page/logon-form/title-background-color
Description: The background color of the logon form title
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
 
Tag: custom/auth-page/logon-form/font-color
Description: The font color of the logon form
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
Tag: custom/auth-page/logon-form/background-color
Description: The background color of the logon form
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
 
*********************************************************
 
Tag: custom/auth-page/logout-form
Description: Contains the logout form settings
 
Tag: custom/auth-page/logout-form/title-text
Description: The logout form title text
Value: arbitrary string
Default value: "Logout"
 
Tag: custom/auth-page/logout-form/message-text
Description: The logout form message text
Value: arbitrary string
Default value: Goodbye.
For your own security, please:
Clear the browser's cache
Delete any downloaded files
Close the browser's window
 
Tag: custom/auth-page/logout-form/login-button-text
Description: The text of the button sending the user to the logon page
Value: arbitrary string
Default value: "Logon"
 
*********************************************************
 
Tag: custom/auth-page/language-selector
Description: Contains the language selector settings
 
Tag: custom/auth-page/language-selector/mode
Description: The language selector mode
Value: enable|disable
Default value: disable
 
Tag: custom/auth-page/language-selector/title
Description: The language selector title
Value: arbitrary string
Default value: empty string
 
Tag: custom/auth-page/language-selector/language (multiple)
Description: Contains the language settings
 
Tag: custom/auth-page/language-selector/language/code
Description: The code of the language
Value (required): The language code string
 
Tag: custom/auth-page/language-selector/language/text
Description: The text of the language in the language selector drop-down box
Value (required): arbitrary string
 
*********************************************************
 
Tag: custom/portal
Description: Contains portal page settings
 
*********************************************************
 
Tag: custom/portal/window
Description: Contains the portal page browser window settings
 
Tag: custom/portal/window/title-text
Description: The title of the browser window of the portal page
Value: arbitrary string
Default value: Browser's default value
 
*********************************************************
 
Tag: custom/portal/title-panel
Description: Contains settings for the title panel
 
Tag: custom/portal/title-panel/mode
Description: The title panel mode
Value: enable|disable
Default value: disable
 
Tag: custom/portal/title-panel/text
Description: The title panel text.
Value: arbitrary string
Default value: empty string
 
Tag: custom/portal/title-panel/logo-url
Description: The URL of the logo image (imported via "import webvpn webcontent")
Value: URL string
Default value: empty image URL
 
Tag: custom/portal/title-panel/background-color
Description: The background color of the title panel
Value: HTML color format, for example #FFFFFF
Default value: #FFFFFF
 
Tag: custom/auth-pa/title-panel/font-color
Description: The background color of the title panel
Value: HTML color format, for example #FFFFFF
Default value: #000000
 
Tag: custom/portal/title-panel/font-weight
Description: The font weight
Value: CSS font size value, for example bold, bolder,lighter etc.
Default value: empty string
 
Tag: custom/portal/title-panel/font-size
Description: The font size
Value: CSS font size value, for example 10pt, 8px, x-large, smaller etc.
Default value: empty string
Tag: custom/portal/title-panel/gradient
Description: Specifies using the background color gradient
Value: yes|no
Default value:no
 
Tag: custom/portal/title-panel/style
Description: CSS style for title text
Value: CSS style string
Default value: empty string
 
*********************************************************
 
Tag: custom/portal/application (multiple)
Description: Contains the application setting
 
Tag: custom/portal/application/mode
Description: The application mode
Value: enable|disable
Default value: enable
 
Tag: custom/portal/application/id
Description: The application ID.Standard application ID's are: home, web-access, file-access, app-access, network-access, help
Value: The application ID string
Default value: empty string
 
Tag: custom/portal/application/tab-title
Description: The application tab text in the navigation panel
Value: arbitrary string
Default value: empty string
 
Tag: custom/portal/application/order
Description: The order of the application's tab in the navigation panel.Applications with lesser order go first.
Value: arbitrary number
Default value: 1000
 
Tag: custom/portal/application/url-list-title
Description: The title of the application's URL list pane (in group mode)
Value: arbitrary string
Default value: Tab tite value concatenated with "Bookmarks"
 
*********************************************************
 
Tag: custom/portal/navigation-panel
Description: Contains the navigation panel settings
 
Tag: custom/portal/navigation-panel/mode
Description: The navigation panel mode
Value: enable|disable
Default value: enable
 
*********************************************************
 
Tag: custom/portal/toolbar
Description: Contains the toolbar settings
 
Tag: custom/portal/toolbar/mode
Description: The toolbar mode
Value: enable|disable
Default value: enable
 
Tag: custom/portal/toolbar/prompt-box-title
Description: The universal prompt box title
Value: arbitrary string
Default value: "Address"
Tag: custom/portal/toolbar/browse-button-text
Description: The browse button text
Value: arbitrary string
Default value: "Browse"
 
Tag: custom/portal/toolbar/logout-prompt-text
Description: The logout prompt text
Value: arbitrary string
Default value: "Logout"
 
*********************************************************
 
Tag: custom/portal/column (multiple)
Description: Contains settings of the home page column(s)
 
Tag: custom/portal/column/order
Description: The order the column from left to right.Columns with lesser order values go
first
Value: arbitrary number
Default value: 0
 
Tag: custom/portal/column/width
Description: The home page column width
Value: percent
Default value: default value set by browser
Note: The actual width may be increased by browser to accommodate content
 
 
*********************************************************
 
 
Tag: custom/portal/url-lists
Description: Contains settings for URL lists on the home page
 
Tag: custom/portal/url-lists/mode
Description: Specifies how to display URL lists on the home page:
group URL lists by application (group) or
show individual URL lists (nogroup).
URL lists fill out cells of the configured columns, which are not taken
by custom panes.
Use the attribute value "nodisplay" to not show URL lists on the home page.
 
Value: group|nogroup|nodisplay
Default value: group
*********************************************************
 
Tag: custom/portal/pane (multiple)
Description: Contains settings of the custom pane on the home page
 
Tag: custom/portal/pane/mode
Description: The mode of the pane
Value: enable|disable
Default value: disable
 
Tag: custom/portal/pane/title
Description: The title of the pane
Value: arbitrary string
Default value: empty string
 
Tag: custom/portal/pane/notitle
Description: Hides pane's title bar
Value: yes|no
Default value: no
 
Tag: custom/portal/pane/type
Description: The type of the pane.Supported types:
TEXT - inline arbitrary text, may contain HTML tags;
HTML - HTML content specified by URL shown in the individual iframe;
IMAGE - image specified by URL
RSS - RSS feed specified by URL
Value: TEXT|HTML|IMAGE|RSS
Default value: TEXT
 
Tag: custom/portal/pane/url
Description: The URL for panes with type HTML,IMAGE or RSS
Value: URL string
Default value: empty string
 
Tag: custom/portal/pane/text
Description: The text value for panes with type TEXT
Value: arbitrary string
Default value:empty string
 
Tag: custom/portal/pane/column
Description: The column where the pane located.
Value: arbitrary number
Default value: 1
 
Tag: custom/portal/pane/row
Description: The row where the pane is located
Value: arbitrary number
Default value: 1
 
Tag: custom/portal/pane/height
Description: The height of the pane
Value: number of pixels
Default value: default value set by browser
 
 
*********************************************************
 
Tag: custom/portal/browse-network-title
Description: The title of the browse network link
Value: arbitrary string
Default value: Browse Entire Network
 
 
Tag: custom/portal/access-network-title
Description: The title of the link to start a network access session
Value: arbitrary string
Default value: Start AnyConnect
 
-->
- <custom>
- <localization>
<languages>en,ja,zh,ru,ua</languages>
<default-language>en</default-language>
</localization>
- <auth-page>
- <window>
- <title-text l10n="yes">
- <![CDATA[
WebVPN Service
]]>
</title-text>
</window>
- <language-selector>
<mode>disable</mode>
<title l10n="yes">Language:</title>
- <language>
<code>en</code>
<text>English</text>
</language>
- <language>
<code>zh</code>
<text>??(Chinese)</text>
</language>
- <language>
<code>ja</code>
<text>??(Japanese)</text>
</language>
- <language>
<code>ru</code>
<text>???????(Russian)</text>
</language>
- <language>
<code>ua</code>
<text>??????????(Ukrainian)</text>
</language>
</language-selector>
- <logon-form>
- <title-text l10n="yes">
- <![CDATA[
Login
]]>
</title-text>
- <title-background-color>
- <![CDATA[
#666666
]]>
</title-background-color>
- <title-font-color>
- <![CDATA[
#ffffff
]]>
</title-font-color>
- <message-text l10n="yes">
- <![CDATA[
Please enter your username and password.
]]>
</message-text>
- <username-prompt-text l10n="yes">
- <![CDATA[
USERNAME:
]]>
</username-prompt-text>
- <password-prompt-text l10n="yes">
- <![CDATA[
PASSWORD:
]]>
password-prompt-text
<internal-password-prompt-text l10n="yes" />
<internal-password-first>no</internal-password-first>
- <group-prompt-text l10n="yes">
- <![CDATA[
GROUP:
]]>
</group-prompt-text>
- <submit-button-text l10n="yes">
- <![CDATA[
Login
]]>
</submit-button-text>
- <title-font-color>
- <![CDATA[
#ffffff
]]>
</title-font-color>
- <title-background-color>
- <![CDATA[
#666666
]]>
</title-background-color>
<font-color>#000000</font-color>
<background-color>#ffffff</background-color>
</logon-form>
- <logout-form>
- <title-text l10n="yes">
- <![CDATA[
Logout
]]>
</title-text>
- <message-text l10n="yes">
- <![CDATA[
Goodbye.
]]>
</message-text>
</logout-form>
- <title-panel>
<mode>enable</mode>
- <text l10n="yes">
- <![CDATA[
WebVPN Service
]]>
</text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style />
- <background-color>
- <![CDATA[
#ffffff
]]>
</background-color>
- <font-size>
- <![CDATA[
larger
]]>
</font-size>
- <font-color>
- <![CDATA[
#800000
]]>
</font-color>
- <font-weight>
- <![CDATA[
bold
]]>
</font-weight>
</title-panel>
- <info-panel>
<mode>disable</mode>
<image-url l10n="yes">/+CSCOU+/clear.gif</image-url>
<image-position>above</image-position>
<text l10n="yes" />
</info-panel>
- <copyright-panel>
<mode>disable</mode>
<text l10n="yes" />
</copyright-panel>
</auth-page>
- <portal>
- <title-panel>
<mode>enable</mode>
- <text l10n="yes">
- <![CDATA[
WebVPN Service
]]>
</text>
<logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url>
<gradient>yes</gradient>
<style />
- <background-color>
- <![CDATA[
#ffffff
]]>
</background-color>
- <font-size>
- <![CDATA[
larger
]]>
</font-size>
- <font-color>
- <![CDATA[
#800000
]]>
</font-color>
- <font-weight>
- <![CDATA[
bold
]]>
</font-weight>
</title-panel>
<browse-network-title l10n="yes">Browse Entire Network</browse-network-title>
<access-network-title l10n="yes">Start AnyConnect</access-network-title>
- <application>
<mode>enable</mode>
<id>home</id>
<tab-title l10n="yes">Home</tab-title>
<order>1</order>
</application>
- <application>
<mode>enable</mode>
<id>web-access</id>
- <tab-title l10n="yes">
- <![CDATA[
Web Applications
]]>
</tab-title>
- <url-list-title l10n="yes">
- <![CDATA[
Web Bookmarks
]]>
</url-list-title>
<order>2</order>
</application>
- <application>
<mode>enable</mode>
<id>file-access</id>
- <tab-title l10n="yes">
- <![CDATA[
Browse Networks
]]>
</tab-title>
- <url-list-title l10n="yes">
- <![CDATA[
File Folder Bookmarks
]]>
</url-list-title>
<order>3</order>
</application>
- <application>
<mode>enable</mode>
<id>app-access</id>
- <tab-title l10n="yes">
- <![CDATA[
Application Access
]]>
</tab-title>
<order>4</order>
</application>
- <application>
<mode>enable</mode>
<id>net-access</id>
<tab-title l10n="yes">AnyConnect</tab-title>
<order>4</order>
</application>
- <application>
<mode>enable</mode>
<id>help</id>
<tab-title l10n="yes">Help</tab-title>
<order>1000000</order>
</application>
- <toolbar>
<mode>enable</mode>
<logout-prompt-text l10n="yes">Logout</logout-prompt-text>
<prompt-box-title l10n="yes">Address</prompt-box-title>
<browse-button-text l10n="yes">Browse</browse-button-text>
</toolbar>
- <column>
<width>100%</width>
<order>1</order>
</column>
- <pane>
<type>TEXT</type>
<mode>disable</mode>
<title />
<text />
<notitle />
<column />
<row />
<height />
</pane>
- <pane>
<type>IMAGE</type>
<mode>disable</mode>
<title />
<url l10n="yes" />
<notitle />
<column />
<row />
<height />
</pane>
- <pane>
<type>HTML</type>
<mode>disable</mode>
<title />
<url l10n="yes" />
<notitle />
<column />
<row />
<height />
</pane>
- <pane>
<type>RSS</type>
<mode>disable</mode>
<title />
<url l10n="yes" />
<notitle />
<column />
<row />
<height />
</pane>
- <url-lists>
<mode>group</mode>
</url-lists>
</portal>
</custom>

ヘルプのカスタマイゼーション

ASAは、クライアントレス セッションの間、アプリケーション ペインにヘルプ コンテンツを表示します。それぞれのクライアントレス アプリケーション ペインには、事前設定されたファイル名を使用する独自のヘルプ ファイルのコンテンツが表示されます。たとえば、[Application Access] パネルに表示されるヘルプ コンテンツは、app-access-hlp.inc というファイルの内容です。 表 7-9 に、クライアントレス アプリケーション パネルと、ヘルプのコンテンツの事前設定されたファイル名を示します。

 

表 7-9 クライアントレス アプリケーション

アプリケーション タイプ
パネル
ファイル名

Standard

Application Access

app-access-hlp.inc

Standard

Browse Networks

file-access-hlp.inc

Standard

AnyConnect Client

net-access-hlp.inc

Standard

Web Access

web-access-hlp.inc

プラグイン

MetaFrame Access

ica-hlp.inc

プラグイン

Terminal Servers

rdp-hlp.inc

プラグイン

Telnet/SSH Servers4

ssh,telnet-hlp.inc

プラグイン

VNC Connections

vnc-hlp.inc

4.このプラグインは、sshv1 と sshv2 の両方を実行できます。

シスコが提供するヘルプ ファイルをカスタマイズするか、または別の言語でヘルプ ファイルを作成できます。次に [Import] ボタンを使用して、ASAのフラッシュ メモリにそれらのファイルをコピーし、その後のクライアントレス セッション中に表示します。また、以前にインポートしたヘルプ コンテンツ ファイルをエクスポートし、カスタマイズして、フラッシュ メモリに再インポートすることもできます。

次の各項では、クライアントレス セッションに表示されるヘルプ コンテンツのカスタマイズ方法または作成方法を説明します。

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供していない言語用のヘルプ ファイルの作成

手順の詳細


ステップ 1 [Import] をクリックして、[Import Application Help Content] ダイアログを起動します。このダイアログでは、クライアントレス セッション中に表示する新しいヘルプ コンテンツをフラッシュ メモリにインポートできます。

ステップ 2 (任意)[Export] をクリックして、テーブルから選択し、以前にインポートしたヘルプ コンテンツを取得します。

ステップ 3 (任意)[Delete] をクリックして、テーブルから選択し、以前にインポートしたヘルプ コンテンツを削除します。

ステップ 4 ブラウザに表示される言語の省略形が表示されます。このフィールドは、ファイル変換には 使用されません 。ファイル内で使用される言語を示します。テーブル内の略語に関連付ける言語名を特定するには、ブラウザで表示される言語のリストを表示します。たとえば、次の手順のいずれかを使用すると、ダイアログ ウィンドウに言語と関連の言語コードが表示されます。

Internet Explorer を起動して、[Tools] > [Internet Options] > [Languages] > [Add] を選択します。

Mozilla Firefox を起動して、[Tools] > [Options] > [Advanced] > [General] を選択し、[Languages] の隣にある [Choose] をクリックして、[Select a language to add] をクリックします。

ヘルプ コンテンツ ファイルがインポートされたときのファイル名が表示されます。


 

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供するヘルプ ファイルをカスタマイズするには、まずフラッシュ メモリ カードからファイルのコピーを取得する必要があります。コピーを取得し、次の手順を実行してカスタマイズします。


ステップ 1 ブラウザを使用して、ASAとのクライアントレス セッションを確立します。

ステップ 2 表 7-10 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」欄にある文字列を ASA のアドレスに追加し、次の説明に従って language の部分を置き換え、次に Enter を押してヘルプ ファイルを表示します。

 

表 7-10 クライアントレス アプリケーション用にシスコが提供するヘルプ ファイル

アプリケーション タイプ
パネル
セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL

Standard

Application Access

/+CSCOE+/help/ language /app-access-hlp.inc

Standard

Browse Networks

/+CSCOE+/help/ language /file-access-hlp.inc

Standard

AnyConnect Client

/+CSCOE+/help/ language /net-access-hlp.inc

Standard

Web Access

/+CSCOE+/help/ language /web-access-hlp.inc

プラグイン

Terminal Servers

/+CSCOE+/help/ language /rdp-hlp.inc

プラグイン

Telnet/SSH Servers

/+CSCOE+/help/ language /ssh,telnet-hlp.inc

プラグイン

VNC Connections

/+CSCOE+/help/ language /vnc-hlp.inc

language は、ブラウザで表示される言語の略語です。略語はファイル変換では 使用されません 。これは、ファイルで使用される言語を示します。シスコが提供する英語版のヘルプ ファイルを表示する場合は、略語として en と入力します。

次のアドレス例は、Terminal Servers のヘルプの英語版を表示します。

https:// address_of_security_appliance /+CSCOE+/help/en/rdp-hlp.inc

ステップ 3 [File] > [Save (Page) As] を選択します。


) [File name] ボックスの内容は変更しないでください。


ステップ 4 [Save as type] オプションを [Web Page, HTML only] に変更して、[Save] をクリックします。

ステップ 5 任意の HTML エディタを使用してファイルをカスタマイズします。


) ほとんどの HTML タグを使用できますが、文書およびその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグや、コンテンツの構造を決める <p>、<ol>、<ul>、および <li> タグは使用できます。


ステップ 6 オリジナルのファイル名と拡張子を指定して、HTML only としてファイルを保存します。

ステップ 7 ファイル名が 表 7-11 にあるファイル名のいずれかと一致すること、および余分なファイル拡張子がないことを確認します。


 

ASDM に戻り、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択して、修正されたヘルプ ファイルをフラッシュ メモリにインポートします。

シスコが提供していない言語用のヘルプ ファイルの作成

標準 HTML を使用して他の言語のヘルプ ファイルを作成します。サポートするそれぞれの言語に別のフォルダを作成することをお勧めします。


) ほとんどの HTML タグを使用できますが、文書およびその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグや、コンテンツの構造を決める <p>、<ol>、<ul>、および <li> タグは使用できます。


HTML only としてファイルを保存します。[Filename] カラムにあるファイル名を使用してください。

ASDM に戻り、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択して、新しいヘルプ ファイルをフラッシュ メモリにインポートします。

アプリケーションのヘルプ コンテンツのインポートおよびエクスポート

[Import Application Help Content] ダイアログボックスを使用して、クライアントレス セッション中にポータル ページに表示するために、ヘルプ ファイルをフラッシュ メモリにインポートします。[Export Application Help Content] ダイアログボックスを使用して、以前にインポートしたヘルプ ファイルをその後の編集のために取得します。

手順の詳細


ステップ 1 [Language] フィールドによってブラウザに表示される言語が指定されますが、このフィールドはファイル変換には使用されません。(このフィールドは、[Export Application Help Content] ダイアログボックスでは非アクティブです)。[Language] フィールドの横にあるドット(複数)をクリックし、[Browse Language Code] ダイアログボックスで、表示される言語を含む行をダブルクリックします。[Language Code] フィールドの略語がその行の略語と一致することを確認して、[OK] をクリックします。

ステップ 2 ヘルプ コンテンツを提供する言語が [Browse Language Code] ダイアログボックスにない場合は、次の手順を実行します。

1. ブラウザに表示される言語および略語のリストを表示します。

2. 言語の略語を [Language Code] フィールドに入力し、[OK] をクリックします。または

ドット(複数)の左にある [Language] テキスト ボックスに入力することもできます。

次のいずれかの操作を実行すると、ダイアログボックスに言語および関連付けられた言語コードが表示されます。

Internet Explorer を起動して、[Tools] > [Internet Options] > [Languages] > [Add] を選択します。

Mozilla Firefox を起動して、[Tools] > [Options] > [Advanced] > [General] を選択し、[Languages] の隣にある [Choose] をクリックして、[Select a language to add] をクリックします。

ステップ 3 インポートしている場合は、新しいヘルプ コンテンツ ファイルを [File Name] ドロップダウン リストから選択します。エクスポートする場合は、このフィールドは使用できません。

ステップ 4 ソース ファイル(インポートの場合)または転送先ファイル(エクスポートの場合)のパラメータを設定します。

[Local computer]:ソースまたは転送先ファイルがローカル コンピュータにある場合に指定します。

[Path]:ソースまたは転送先ファイルのパスを指定します。

[Browse Local Files]:ソースまたは転送先ファイルのローカル コンピュータを参照します。

[Flash file system]:ソースまたは転送先ファイルがASAのフラッシュ メモリにある場合に指定します。

[Path]:フラッシュ メモリ内のソースまたは転送先ファイルのパスを指定します。

[Browse Flash]:ソースまたは転送先ファイルのあるフラッシュ メモリを参照します。

[Remote server]:ソースまたは転送先ファイルがリモート サーバにある場合に指定します。

[Path]:ftp、tftp、または http(インポートの場合のみ)の中からファイル転送(コピー)方式を選択し、パスを指定します。


 

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供するヘルプ ファイルをカスタマイズするには、まずフラッシュ メモリ カードからファイルのコピーを取得する必要があります。コピーを取得し、次の手順を実行してカスタマイズします。


ステップ 1 ブラウザを使用して、ASAとのクライアントレス セッションを確立します。

ステップ 2 表 7-11 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」欄にある文字列を ASA のアドレスに追加し、次の説明に従って language の部分を置き換え、次に Enter を押してヘルプ ファイルを表示します。

 

表 7-11 クライアントレス アプリケーション用にシスコが提供するヘルプ ファイル

アプリケーション タイプ
パネル
セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL

Standard

Application Access

/+CSCOE+/help/ language /app-access-hlp.inc

Standard

Browse Networks

/+CSCOE+/help/ language /file-access-hlp.inc

Standard

AnyConnect Client

/+CSCOE+/help/ language /net-access-hlp.inc

Standard

Web Access

/+CSCOE+/help/ language /web-access-hlp.inc

プラグイン

Terminal Servers

/+CSCOE+/help/ language /rdp-hlp.inc

プラグイン

Telnet/SSH Servers

/+CSCOE+/help/ language /ssh,telnet-hlp.inc

プラグイン

VNC Connections

/+CSCOE+/help/ language /vnc-hlp.inc

language は、ブラウザで表示される言語の略語です。略語はファイル変換では 使用されません 。これは、ファイルで使用される言語を示します。シスコが提供する英語版のヘルプ ファイルを表示する場合は、略語として en と入力します。

次のアドレス例は、Terminal Servers のヘルプの英語版を表示します。

https:// address_of_security_appliance /+CSCOE+/help/en/rdp-hlp.inc

ステップ 3 [File] > [Save (Page) As] を選択します。


) [File name] ボックスの内容は変更しないでください。


ステップ 4 [Save as type] オプションを [Web Page, HTML only] に変更して、[Save] をクリックします。

ステップ 5 任意の HTML エディタを使用してファイルをカスタマイズします。


) ほとんどの HTML タグを使用できますが、文書およびその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグや、コンテンツの構造を決める <p>、<ol>、<ul>、および <li> タグは使用できます。


ステップ 6 オリジナルのファイル名と拡張子を指定して、HTML only としてファイルを保存します。

ステップ 7 ファイル名が 表 7-11 にあるファイル名のいずれかと一致すること、および余分なファイル拡張子がないことを確認します。


 

ASDM に戻り、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択して、修正されたヘルプ ファイルをフラッシュ メモリにインポートします。

シスコが提供していない言語用のヘルプ ファイルの作成

標準 HTML を使用して他の言語のヘルプ ファイルを作成します。サポートするそれぞれの言語に別のフォルダを作成することをお勧めします。


) ほとんどの HTML タグを使用できますが、文書およびその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグや、コンテンツの構造を決める <p>、<ol>、<ul>、および <li> タグは使用できます。


HTML only としてファイルを保存します。 表 7-13 のファイル名列にあるファイル名を使用してください。

ASDM に戻り、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Help Customization] > [Import] を選択して、新しいヘルプ ファイルをフラッシュ メモリにインポートします。

クライアント/サーバ プラグインへのブラウザ アクセスの設定

[Client-Server Plug-in] テーブルには、ASA によってクライアントレス SSL VPN セッションのブラウザで使用できるようになるプラグインが表示されます。

プラグインを追加、変更、または削除するには、次のいずれかを実行します。

プラグインを追加するには、[Import] をクリックします。[Import Plug-ins] ダイアログボックスが開きます。

プラグインを削除するには、そのプラグインを選択して [Delete] をクリックします。次の項では、クライアントレス SSL VPN のブラウザ アクセス用のブラウザ プラグインの統合について説明します。

ブラウザ プラグインのインストールについて

プラグインのためのセキュリティ アプライアンスの準備

シスコが再配布しているプラグインのインストール

ブラウザ プラグインのインストールについて

ブラウザ プラグインは、Web ブラウザによって呼び出される独立したプログラムで、ブラウザ ウィンドウ内でクライアントをサーバに接続するなどの専用の機能を実行します。ASAを使用すると、クライアントレス SSL VPN セッション中に、リモート ブラウザにダウンロードするプラグインをインポートできます。通常、シスコでは再配布するプラグインのテストを行っており、再配布できないプラグインの接続性をテストする場合もあります。ただし、現時点では、ストリーミング メディアをサポートするプラグインのインポートは推奨しません。

プラグインをフラッシュ デバイスにインストールすると、ASAは次の処理を実行します。

(シスコが配布したプラグインのみ) URL で指定した jar ファイルを解凍する。

ASA ファイル システムの csco-config/97/plugin ディレクトリにファイルを書き込む。

ASDM の URL 属性の横にあるドロップダウン メニューに情報を入力します。

将来のすべてのクライアントレス SSL VPN セッションに対するプラグインのイネーブル化、およびメイン メニュー オプションの追加とポータル ページの [Address] フィールドの隣にあるドロップダウン メニューへのオプションの追加

表 7-12 に、次の項で説明するプラグインを追加したときの、ポータル ページのメイン メニューと [Address] フィールドの変更点を示します。

 

表 7-12 クライアントレス SSL VPN ポータル ページへのプラグインの影響

プラグイン
ポータル ページに追加されるメイン メニュー オプション
ポータル ページに追加される [Address] フィールド オプション

ica

Citrix Client

citrix://

rdp

Terminal Servers

rdp://

rdp2

Terminal Servers Vista

rdp2://

ssh,telnet

SSH

ssh://

Telnet

telnet://

vnc

VNC Client

vnc://


) セカンダリ ASA は、プライマリ ASA からプラグインを取得します。


クライアントレス SSL VPN セッションのユーザがポータル ページで関連するメニュー オプションをクリックすると、ポータル ページにインターフェイスへのウィンドウが開き、ヘルプ ペインが表示されます。ドロップダウン メニューに表示されたプロトコルをユーザが選択して [Address] フィールドに URL を入力すると、接続を確立できます。


) Java プラグインによっては、宛先サービスへのセッションが設定されていない場合でも、接続済みまたはオンラインというステータスがレポートされることがあります。open-source プラグインは、ASAではなくステータスをレポートします。


1 つ目のプラグインをインストールする前に、次の項の指示に従う必要があります。

前提条件

セキュリティ アプライアンスでクライアントレス セッションがプロキシ サーバを使用するように設定している場合、プラグインは機能しません。


) Remote Desktop Protocol プラグインでは、セッション ブローカを使用したロード バランシングはサポートされていません。プロトコルによるセッション ブローカからのリダイレクションの処理方法のため、接続に失敗します。セッション ブローカが使用されていない場合、プラグインは動作します。


プラグインは、シングル サインオン(SSO)をサポートします。プラグインは、クライアントレス SSL VPN セッションを開くときに入力したクレデンシャルと 同じ クレデンシャルを使用します。プラグインはマクロ置換をサポートしないため、内部ドメイン パスワードなどのさまざまなフィールドや、RADIUS または LDAP サーバの属性で SSO を実行するオプションはありません。

プラグインに対して SSO サポートを設定するには、プラグインをインストールし、サーバへのリンクを表示するためのブックマーク エントリを追加します。また、ブックマークを追加するときに、SSO サポートを指定します。

リモートで使用するために必要な最低限のアクセス権は、ゲスト特権モードに属しています。

要件

シスコでは、GNU General Public License(GPL; 一般公的使用許諾)に従い、変更を加えることなくプラグインを再配布しています。GPL により、これらのプラグインを直接改良できません。

プラグインへのリモートアクセスを提供するには、ASAでクライアントレス SSL VPN をイネーブルにする必要があります。

ステートフル フェールオーバーが発生すると、プラグインを使用して確立されたセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

プラグインには、ActiveX または Oracle Java ランタイム環境(JRE)1.4.2(以降)がブラウザでイネーブルになっている必要があります。64 ビット ブラウザには、RDP プラグインの ActiveX バージョンはありません。

RDP プラグイン ActiveX デバッグのクイック リファレンス

RDP プラグインをセットアップして使用するには、新しい環境変数を追加する必要があります。新しい環境変数を追加するには、次の手順を行います。


ステップ 1 [My Computer] を右クリックし、[System Properties] を開いて [Advanced] タブを選択します。

ステップ 2 [Advanced] タブで、[Environment Variables] ボタンを選択します。

ステップ 3 [New User Variable] ダイアログボックスで、RF_DEBUG 変数を入力します。

ステップ 4 [User variables] セクションの新しい環境変数を確認します。

ステップ 5 バージョン 8.3 の前に WebVPN のバージョンのクライアント コンピュータを使用していた場合、古い Cisco Portforwarder Control を削除してください。C:/WINDOWS/Downloaded Program Files ディレクトリを開いて、Portforwarder Control を右クリックして、[Remove] を選択します。

ステップ 6 Internet Explorer ブラウザのすべてのキャッシュをクリアします。

ステップ 7 WebVPN セッションを起動して、RDP ActiveX プラグインを使用して RDP セッションを確立します。

これで Windows アプリケーションのイベント ビューアでイベントを確認できるようになります。


 

プラグインのためのセキュリティ アプライアンスの準備

プラグインをインストールする前に、次の手順を実行してASAを準備します。


ステップ 1 ASA インターフェイスでクライアントレス SSL VPN(「webvpn」)がイネーブルになっていることを確認します。

ステップ 2 リモート ユーザが Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用して接続する ASA インターフェイスに SSL 証明書をインストールします。


) SSL 証明書の 一般名(CN)として IP アドレスを指定しないでください。リモート ユーザは、ASAと通信するために FQDN の使用を試行します。リモート PC は、DNS または System32\drivers\etc\hosts ファイル内のエントリを使用して、FQDN を解決できる必要があります。



 

ヘルプのカスタマイズ

ASAは、VPN セッション中に、アプリケーション パネルにヘルプ コンテンツを表示します。シスコが提供するヘルプ ファイルをカスタマイズするか、または別の言語でヘルプ ファイルを作成できます。次に、後続のセッション中に表示するために、ファイルをフラッシュ メモリにインポートします。事前にインポートしたヘルプ コンテンツ ファイルを取得して、変更し、フラッシュ メモリに再インポートすることもできます。

各アプリケーションのパネルには、事前に設定されたファイル名を使用して独自のヘルプ ファイル コンテンツが表示されます。今後、各ファイルは、ASAのフラッシュ メモリ内の /+CSCOE+/help/ language / という URL に置かれます。 表 7-13 に、VPN セッション用に保守できる各ヘルプ ファイルの詳細を示します。

 

表 7-13 VPN アプリケーションのヘルプ ファイル

アプリケーション タイプ
パネル
セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL
シスコが提供するヘルプ ファイルに英語版があるか

標準

Application Access

/+CSCOE+/help/ language /app-access-hlp.inc

Yes

標準

Browse Networks

/+CSCOE+/help/ language /file-access-hlp.inc

Yes

標準

AnyConnect Client

/+CSCOE+/help/ language /net-access-hlp.inc

Yes

標準

Web Access

/+CSCOE+/help/ language /web-access-hlp.inc

Yes

プラグイン

MetaFrame Access

/+CSCOE+/help/ language /ica-hlp.inc

No

プラグイン

Terminal Servers

/+CSCOE+/help/ language /rdp-hlp.inc

Yes

プラグイン

Telnet/SSH Servers

/+CSCOE+/help/ language /ssh,telnet-hlp.inc

Yes

プラグイン

VNC Connections

/+CSCOE+/help/ language /vnc-hlp.inc

Yes

language は、ブラウザに表示される言語の省略形です。このフィールドは、ファイル変換には 使用されません 。ファイル内で使用される言語を示します。特定の言語コードを指定するには、ブラウザに表示される言語のリストからその言語の省略形をコピーします。たとえば、次の手順のいずれかを使用すると、ダイアログ ウィンドウに言語と関連の言語コードが表示されます。

Internet Explorer を起動して、[Tools] > [Internet Options] > [Languages] > [Add] を選択します。

Mozilla Firefox を起動して、[Tools] > [Options] > [Advanced] > [General] を選択し、[Languages] の隣にある [Choose] をクリックして、[Select a language to add] をクリックします。

ここでは、ヘルプ コンテンツのカスタマイズ方法について説明します。

「シスコが提供するヘルプ ファイルのカスタマイズ」

「シスコが提供していない言語用のヘルプ ファイルの作成」

「ユーザ名とパスワードの要求」

シスコが提供するヘルプ ファイルのカスタマイズ

シスコが提供するヘルプ ファイルをカスタマイズするには、まずフラッシュ メモリ カードからファイルのコピーを取得する必要があります。次の手順で、コピーを取得してカスタマイズします。

手順の詳細


ステップ 1 ブラウザを使用して、ASAとのクライアントレス SSL VPN セッションを確立します。

ステップ 2 表 7-13 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の中の文字列を、ASA のアドレスに追加し、Enter を押してヘルプ ファイルを表示します。


) 英語版のヘルプ ファイルを取得するには、language のところに en を入力します。


次のアドレス例は、Terminal Servers のヘルプの英語版を表示します。

https:// address_of_security_appliance /+CSCOE+/help/en/rdp-hlp.inc

ステップ 3 [File] > [Save (Page) As] を選択します。


) [File name] ボックスの内容は変更しないでください。


ステップ 4 [Save as type] オプションを [Web Page, HTML only] に変更して、[Save] をクリックします。

ステップ 5 任意の HTML エディタを使用してファイルを変更します。


) ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグは使用しないでください(たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグ、およびコンテンツを構築するための <p>、<ol>、<ul>、および <li> などのタグは使用できます。


ステップ 6 オリジナルのファイル名と拡張子を指定して、HTML only としてファイルを保存します。

ステップ 7 ファイル名が 表 7-13 にあるファイル名のいずれかと一致すること、および余分なファイル拡張子がないことを確認します。


 

変更したファイルをインポートするには、「 ユーザ名とパスワードの要求」を参照してください。

シスコが提供していない言語用のヘルプ ファイルの作成

HTML を使用して、他の言語でヘルプ ファイルを作成します。

サポートするそれぞれの言語に別のフォルダを作成することをお勧めします。

HTML only としてファイルを保存します。 表 7-13 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の最後のスラッシュの後にあるファイル名を使用します。

VPN セッション中に表示するためにファイルをインポートする場合は、次の項を参照してください。

制約事項

ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグは 使用しないでください (たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください)。<b> タグなどの文字タグ、およびコンテンツを構築するための <p>、<ol>、<ul>、および <li> などのタグは使用できます。

ユーザ名とパスワードの要求

ネットワークによっては、リモート セッション中にユーザが、コンピュータ、インターネット サービス プロバイダー、クライアントレス SSL VPN、メール サーバ、ファイル サーバ、企業アプリケーションのうち、それらの一部またはすべてにログインする必要が生じることがあります。ユーザはさまざまなコンテキストで認証を行うために、固有のユーザ名、パスワード、PIN などさまざまな情報が要求される場合があります。

表 7-14 に、クライアントレス SSL VPN ユーザが知っておく必要があるユーザ名とパスワードのタイプを示します。

 

表 7-14 クライアントレス SSL VPN セッションのユーザに提供するユーザ名とパスワード

ログイン ユーザ名/
パスワード タイプ
目的
入力するタイミング

コンピュータ

コンピュータへのアクセス

コンピュータの起動

Internet Service Provider:インターネット サービス プロバイダー

インターネットへのアクセス

インターネット サービス プロバイダーへの接続

クライアントレス SSL VPN

リモート ネットワークへのアクセス

クライアントレス SSL VPN の起動

ファイル サーバ

リモート ファイル サーバへのアクセス

クライアントレス SSL VPN ファイル ブラウジング機能を使用して、リモート ファイル サーバにアクセスするとき

企業アプリケーションへのログイン

ファイアウォールで保護された内部サーバへのアクセス

クライアントレス SSL VPN Web ブラウジング機能を使用して、保護されている内部 Web サイトにアクセスするとき

メール サーバ

クライアントレス SSL VPN 経由のリモート メール サーバへのアクセス

電子メール メッセージの送受信

セキュリティのヒントの通知

ユーザはいつでもツールバーの [Logout] アイコンをクリックして、クライアントレス SSL VPN セッションを閉じることができます (ブラウザ ウィンドウを閉じてもセッションは閉じません)。

クライアントレス SSL VPN は、企業ネットワーク上のリモート PC やワークステーションとASAとの間のデータ転送のセキュリティを保証するものです。クライアントレス SSL VPN を使用してもすべてのサイトとの通信がセキュアであるとは限らないことを、ユーザに通知してください。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるもの)にアクセスする場合、企業のASAから目的の Web サーバまでの通信は暗号化されていないため、プライベートではありません。

クライアントレス SSL VPN セキュリティ対策の順守 に、セッション内で実行する手順に応じて、ユーザと通信するための追加のヒントを示します。

クライアントレス SSL VPN の機能を使用するためのリモート システムの設定

この項では、クライアントレス SSL VPN を使用するようにリモート システムを設定する方法について説明します。次の項目を取り上げます。

「クライアントレス SSL VPN の起動」

「クライアントレス SSL VPN フローティング ツールバーの使用」

「Web のブラウズ」

「ネットワークのブラウズ(ファイル管理)」

「ポート転送の使用」

「ポート転送を介した電子メールの使用」

「Web アクセスを介した電子メールの使用」

「電子メール プロキシを介した電子メールの使用」

「スマート トンネルの使用」

ユーザ アカウントを別々に設定でき、各ユーザは異なるクライアントレス SSL VPN の機能を使用できます。

クライアントレス SSL VPN の起動

次のようなサポートされている接続を使用して、インターネットに接続できます。

家庭の DSL、ケーブル、ダイヤルアップ

公共のキオスク

ホテルの回線

空港の無線ノード

インターネット カフェ


) クライアントレス SSL VPN でサポートされている Web ブラウザのリストについては、『Cisco ASA 5500 Series VPN Compatibility Reference』を参照してください。


前提条件

ポート転送を介してアプリケーションにアクセスするために、ブラウザでクッキーをイネーブルにする必要があります。

クライアントレス SSL VPN の URL が必要です。URL は、https: //address の形式の https アドレスである必要があります。 address は、SSL VPN がイネーブルである ASA(またはロードバランシング クラスタ)のインターフェイスの IP アドレスまたは DNS ホスト名です。たとえば、https://cisco.example.com などです。

クライアントレス SSL VPN のユーザ名とパスワードが必要です。

制約事項

クライアントレス SSL VPN ではローカル印刷がサポートされていますが、VPN 経由による企業ネットワーク上のプリンタへの印刷はサポートされていません。

クライアントレス SSL VPN フローティング ツールバーの使用

フローティング ツールバーを使用すると、クライアントレス SSL VPN を簡単に使用できます。ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。

フローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。[Close] ボタンをクリックすると、ASAはクライアントレス SSL VPN セッションの終了を確認するプロンプトを表示します。


ヒント テキストをテキスト フィールドに貼り付けるには、Ctrl を押した状態で V を押します。(クライアントレス SSL VPN セッション中は、表示されるツールバー上での右クリックはディセーブルになっています)。


制約事項

ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。

Web のブラウズ

クライアントレス SSL VPN を使用しても、すべてのサイトとの通信がセキュアになるわけではありません。 セキュリティのヒントの通知を参照してください。

クライアントレス SSL VPN での Web ブラウジングのルックアンドフィールは、ユーザが見慣れたものではない場合があります。たとえば、次のように入力します。

クライアントレス SSL VPN のタイトル バーが各 Web ページの上部に表示される。

Web サイトへのアクセス方法:

クライアントレス SSL VPN [Home] ページ上の [Enter Web Address] フィールドに URL を入力する

クライアントレス SSL VPN [Home] ページ上にある設定済みの Web サイト リンクをクリックする

上記 2 つのどちらかの方法でアクセスした Web ページ上のリンクをクリックする

また、特定のアカウントの設定によっては、次のようになる場合もあります。

一部の Web サイトがブロックされている

使用可能な Web サイトが、クライアントレス SSL VPN [Home] ページ上にリンクとして表示されるものに限られる

前提条件

保護されている Web サイトのユーザ名とパスワードが必要です。

制約事項

また、特定のアカウントの設定によっては、次のようになる場合もあります。

一部の Web サイトがブロックされている

使用可能な Web サイトが、クライアントレス SSL VPN [Home] ページ上にリンクとして表示されるものに限られる

ネットワークのブラウズ(ファイル管理)

ユーザは、組織ネットワークを介してファイルを見つける方法に慣れていない場合があります。


) コピー処理の進行中は、Copy File to Server コマンドを中断したり、別の画面に移動したりしないでください。コピー処理を中断すると、不完全なファイルがサーバに保存される可能性があります。


前提条件

共有リモート アクセス用にファイル アクセス権を設定する必要があります。

保護されているファイル サーバのサーバ名とパスワードが必要です。

フォルダとファイルが存在するドメイン、ワークグループ、およびサーバの名前が必要です。

制約事項

クライアントレス SSL VPN を介してアクセスできるのは、共有フォルダと共有ファイルに限られます。

Remote File Explorer の使用

ユーザは、Remote File Explorer を使用して、Web ブラウザから企業ネットワークをブラウズできます。ユーザが Cisco SSL VPN ポータル ページの [Remote File System] アイコンをクリックすると、ユーザのシステムでアプレットが起動し、ツリーおよびフォルダ ビューにリモート ファイル システムが表示されます。

図 7-28 Clientless SSL VPN Remote File Explorer

ユーザはブラウザで次を実行できます。

リモート ファイル システムのブラウズ

ファイルの名前の変更

リモート ファイル システム内、およびリモートとローカルのファイル システム間でのファイルの移動またはコピー

ファイルのバルク アップロードおよびダウンロードの実行


) この機能では、ユーザのマシンに Oracle Java ランタイム環境(JRE)1.4 以降がインストールされ、Web ブラウザで Java がイネーブルになっている必要があります。リモート ファイルの起動には、JRE 1.6 以降が必要です。


ファイルまたはフォルダの名前変更

ファイルまたはフォルダの名前を変更するには、次の手順を実行します。


ステップ 1 名前を変更するファイルまたはフォルダをクリックします。

ステップ 2 [Edit] > [Rename] を選択します。

ステップ 3 プロンプトが表示されたら、ダイアログに新しい名前を入力します。

ステップ 4 [OK] をクリックして、ファイルまたはフォルダの名前を変更します。または、名前を変更しない場合は [Cancel] をクリックします。


 

リモート サーバでのファイルやフォルダの移動またはコピー

リモート サーバでファイルやフォルダを移動またはコピーするには、次の手順を実行します。


ステップ 1 移動またはコピーするファイルやフォルダが含まれている送信元フォルダに移動します。

ステップ 2 ファイルまたはフォルダをクリックします。

ステップ 3 ファイルをコピーするには、[Edit] > [Copy] を選択します。また、ファイルを移動するには、[Edit] > [Cut] を選択します。

ステップ 4 宛先フォルダに移動します。

ステップ 5 [Edit] > [Paste] を選択します。


 

ローカル システム ドライブからリモート フォルダへのファイルのコピー

ローカル ファイル システムとリモート ファイル システム間でファイルをコピーするには、リモート ファイル ブラウザの右ペインとローカル ファイル マネージャ アプリケーション間でファイルをドラッグ アンド ドロップします。

ファイルのアップロードおよびダウンロード

ファイルをダウンロードするには、ブラウザでファイルをクリックし、[Operations] > [Download] を選択し、[Save] ダイアログで場所と名前を指定してファイルを保存します。

ファイルをアップロードするには、宛先フォルダをクリックし、[Operations] > [Upload] を選択し、[Open] ダイアログでファイルの場所と名前を指定します。

この機能には次の制限があります。

ユーザは、アクセスを許可されていないサブフォルダを表示できません。

ユーザがアクセスを許可されていないファイルは、ブラウザに表示されても移動またはコピーできません。

ネストされたフォルダの最大の深さは 32 です。

ツリー ビューでは、ドラッグ アンド ドロップのコピーがサポートされていません。

Remote File Explorer の複数のインスタンスの間でファイルを移動するときは、すべてのインスタンスが同じサーバを探索する必要があります(ルート共有)。

Remote File Explorer は、1 つのフォルダに最大 1500 のファイルおよびフォルダを表示できます。フォルダがこの制限を超えた場合、フォルダは表示されません。

ポート転送の使用


) ユーザは、[Close] アイコンをクリックしてアプリケーションを終了したら、必ず [Application Access] ウィンドウを閉じる必要があります。このウィンドウを正しく閉じないと、Application Access またはアプリケーション自体がディセーブルになる可能性があります。詳細については、 Application Access 使用時の hosts ファイル エラーからの回復を参照してください。


前提条件

Mac OS X の場合、この機能をサポートしているのは Safari ブラウザだけです。

クライアント アプリケーションがインストールされている必要があります。

ブラウザでクッキーをイネーブルにする必要があります。

DNS 名を使用してサーバを指定する場合、ホスト ファイルの変更に必要になるため、PC に対する管理者アクセス権が必要です。

Oracle Java ランタイム環境(JRE)バージョン 1.4.x と 1.5.x がインストールされている必要があります。

JRE がインストールされていない場合は、ポップアップ ウィンドウが表示され、ユーザに対して使用可能なサイトが示されます。 まれに、Java 例外エラーで、ポート転送アプレットが失敗することがあります。このような状況が発生した場合は、次の手順を実行します。

a. ブラウザのキャッシュをクリアして、ブラウザを閉じます。

b. Java アイコンがコンピュータのタスク バーに表示されていないことを確認します。

c. Java のインスタンスをすべて閉じます。

d. クライアントレス SSL VPN セッションを確立し、ポート転送 Java アプレットを起動します。

ブラウザで javascript をイネーブルにする必要があります。デフォルトでは有効に設定されています。

必要に応じて、クライアント アプリケーションを設定する必要があります。


) Microsoft Outlook クライアントの場合、この設定手順は不要です。Windows 以外のすべてのクライアント アプリケーションでは、設定が必要です。Windows アプリケーションの設定が必要かどうかを確認するには、[Remote Server] フィールドの値をチェックします。[Remote Server] フィールドにサーバ ホスト名が含まれている場合、クライアント アプリケーションの設定は不要です。[Remote Server] フィールドに IP アドレスが含まれている場合、クライアント アプリケーションを設定する必要があります。


制約事項

この機能を使用するには、Oracle Java ランタイム環境(JRE)をインストールしてローカル クライアントを設定する必要があります。これには、ローカル システムでの管理者の許可、または C:\windows\System32\drivers\etc の完全な制御が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。

手順の詳細

クライアント アプリケーションを設定するには、ローカルにマッピングされたサーバの IP アドレスとポート番号を使用します。この情報を見つけるには、次の手順を実行します。

1. クライアントレス SSL VPN セッションを開始して、[Home] ページの [Application Access] リンクをクリックします。[Application Access] ウィンドウが表示されます。

2. [Name] カラムで、使用するサーバ名を確認し、このサーバに対応するクライアント IP アドレスとポート番号を [Local] カラムで確認します。

3. この IP アドレスとポート番号を使用して、クライアント アプリケーションを設定します。設定手順は、クライアント アプリケーションによって異なります。


) クライアントレス SSL VPN セッション上で実行しているアプリケーションで URL(電子メール メッセージ内のものなど)をクリックしても、サイトがそのセッションで開くわけではありません。サイトをセッション上で開くには、その URL を [Enter Clientless SSL VPN (URL) Address] フィールドに貼り付けます。


ポート転送を介した電子メールの使用

電子メールを使用するには、クライアントレス SSL VPN のホームページから Application Access を起動します。これにより、メール クライアントが使用できるようになります。


) IMAP クライアントの使用中にメール サーバとの接続が中断した、または新しく接続を確立できない場合は、IMAP アプリケーションを終了してクライアントレス SSL VPN を再起動します。


前提条件

アプリケーション アクセスおよびその他のメール クライアントの要件を満たしている必要があります。

制約事項

Microsoft Outlook Express バージョン 5.5 および 6.0 はテスト済みです。

クライアントレス SSL VPN は、Lotus Notes および Eudora などの、ポート転送を介したその他の SMTPS、POP3S、または IMAP4S 電子メール プログラムをサポートしますが、動作確認は行っていません。

Web アクセスを介した電子メールの使用

次の電子メール アプリケーションがサポートされています。

Microsoft Outlook Web App to Exchange Server 2010

OWA には、Internet Explorer 7 以降、または Firefox 3.01 以降が必要です。

Microsoft Outlook Web Access to Exchange Server 2007、2003、および 2000

最適な結果を得るために、Internet Explorer 8.x 以降または Firefox 8.x で OWA を使用してください。

Louts iNotes

前提条件

Web ベースの電子メール製品がインストールされている必要があります。

制約事項

その他の Web ベースの電子メール アプリケーションも動作しますが、動作確認は行っていません。

電子メール プロキシを介した電子メールの使用

次のレガシー電子メール アプリケーションがサポートされています。

Microsoft Outlook 2000 および 2002

Microsoft Outlook Express 5.5 および 6.0

メール アプリケーションの使用方法と例については、「 クライアントレス SSL VPN を介した電子メールの使用」を参照してください。

前提条件

SSL 対応メール アプリケーションがインストールされている必要があります。

ASA SSL バージョンを TLSv1 Only に設定しないでください。Outlook および Outlook Express では TLS はサポートされません。

メール アプリケーションが正しく設定されている必要があります。

制約事項

その他の SSL 対応クライアントも動作しますが、動作確認は行っていません。

スマート トンネルの使用

スマート トンネルの使用に管理権限は必要ありません。


) ポート フォワーダの場合と異なり、Java は自動的にダウンロードされません。


前提条件

スマート トンネルには、Windows では ActiveX または JRE(1.4x および 1.5x)、Mac OS X では Java Web Start が必要です。

ブラウザで Cookie をイネーブルにする必要があります。

ブラウザで javascript をイネーブルにする必要があります。

制約事項

Mac OS X では、フロントサイド プロキシはサポートされていません。

「スマート トンネル アクセスの設定」で指定されているオペレーティング システムおよびブラウザだけがサポートされています。

TCP ソケットベースのアプリケーションだけがサポートされています。

ASA には、標準機能の一部である各ドメイン用の変換テーブル テンプレートが含まれています。プラグインのテンプレートはプラグインともに含まれており、独自の変換ドメインを定義します。

変換ドメインのテンプレートをエクスポートできます。これで、入力する URL にテンプレートの XML ファイルが作成されます。このファイルのメッセージ フィールドは空です。メッセージを編集して、テンプレートをインポートし、フラッシュ メモリに置かれる新しい変換テーブル オブジェクトを作成できます。

既存の変換テーブルをエクスポートすることもできます。作成した XML ファイルに事前に編集したメッセージが表示されます。この XML ファイルを同じ言語名で再インポートすると、新しいバージョンの変換テーブルが作成され、以前のメッセージが上書きされます。

テンプレートにはスタティックのものも、ASAの設定に基づいて変化するものもあります。 クライアントレス ユーザのログインおよびログアウト ページ、ポータル ページ、および URL ブックマーク はカスタマイズが可能なため、ASAは customization および url-list 変換ドメイン テンプレートをダイナミックに生成し、テンプレートは変更内容をこれらの機能エリアに自動的に反映させます。

変換テーブルを作成した後、このテーブルを使用して、カスタマイゼーション オブジェクトを作成し、グループ ポリシーまたはユーザ属性に適用できます。AnyConnect 変換ドメイン以外では、カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを識別し、グループ ポリシーまたはユーザに対してそのカスタマイゼーションを指定するまで、変換テーブルは影響を及ぼすことはなく、ユーザ画面のメッセージは変換されません。AnyConnect ドメインの変換テーブルに対する変更は、ただちに AnyConnect クライアント ユーザに表示されます。




ステップ 1 [Configuration] > [Remote Access VPN] > [Language Localization] の順に進みます。[Language Localization] ペインが表示されます。[Add] をクリックします。[Add Language Localization] ウィンドウが表示されます。

ステップ 2 ドロップダウン ボックスから言語ローカリゼーション テンプレートを選択します。このボックスのエントリは、変換する機能エリアに対応します。

ステップ 3 テンプレートの言語を指定します。テンプレートはキャッシュメモリ内の変換テーブルになり、指定した名前が付きます。ブラウザの言語オプションと互換性のある短縮形を使用してください。たとえば、中国語のテーブルを作成するときに IE を使用している場合は、IE によって認識される zh という略語を使用します。

ステップ 4 変換テーブルを編集します。msgid フィールドで表される変換対象のメッセージごとに、対応する msgstr フィールドの引用符の間に変換済みテキストを入力します。次の例では、メッセージ Connected の msgstr フィールドにスペイン語テキストを入力しています。

msgid "Connected"
msgstr "Conectado"
 

ステップ 5 [OK] をクリックします。新しいテーブルが変換テーブルのリストに表示されます。


 

 

ローカリゼーション エントリの追加/編集

テンプレートに基づいて新しい変換テーブルを追加するか、またはこのペインですでにインポートされた変換テーブルを修正できます。


ステップ 1 修正するテンプレートを選択し、新しい変換テーブルの基礎として使用します。テンプレートは変換ドメインに構成され、特定の機能領域に影響します。次の表に、変換ドメインと影響を受ける機能領域を示します。

 

変換ドメイン
変換される機能エリア

AnyConnect

Cisco AnyConnect VPN クライアントのユーザ インターフェイスに表示されるメッセージ。

CSD

Cisco Secure Desktop(CSD)のメッセージ。

customization

ログイン ページ、ログアウト ページ、ポータル ページのメッセージ、およびユーザによるカスタマイズが可能なすべてのメッセージ。

keepout

VPN アクセスを拒否された場合にリモート ユーザに表示されるメッセージ。

PortForwarder

ポート フォワーディング ユーザに表示されるメッセージ。

url-list

ユーザがポータル ページの URL ブックマークに指定するテキスト。

webvpn

カスタマイズできないすべてのレイヤ 7 メッセージ、AAA メッセージ、およびポータル メッセージ。

plugin-ica

Citrix プラグインのメッセージ。

plugin-rdp

Remote Desktop Protocol プラグインのメッセージ。

plugin-telnet,ssh

Telnet および SSH プラグインのメッセージ。

plugin-vnc

VNC プラグインのメッセージ。

ステップ 2 言語を指定します。ブラウザの言語オプションと互換性のある略語を使用してください。ASAは、この名前で新しい変換テーブルを作成します。

ステップ 3 エディタを使用してメッセージ変換を変更します。メッセージ ID フィールド(msgid)には、デフォルトの変換が含まれています。msgid に続くメッセージ文字列フィールド(msgstr)で変換を指定します。変換を作成するには、msgstr 文字列の引用符の間に変換対象のテキストを入力します。たとえば、「Connected」というメッセージをスペイン語に変換するには、msgstr の引用符の間にスペイン語のテキストを挿入します。

msgid "Connected"
msgstr "Conectado"
 

変更を行った後、[Apply] をクリックして変換テーブルをインポートします。


 

AnyConnect クライアントのカスタマイズ

AnyConnect VPN クライアントをカスタマイズして、リモート ユーザに自社企業のイメージを表示することができます。Windows、Linux、および Mac OS X コンピュータ上で稼働するクライアントがあります。

クライアントをカスタマイズするには、次の 3 つ方法のいずれかを使用します。

企業ロゴおよびアイコンなど個別のクライアント GUI コンポーネントを ASA にインポートし、インストーラでリモート コンピュータに展開することによって、クライアントのブランドを変更する。

独自の GUI または CLI を提供し、AnyConnect API を使用する、独自のプログラムをインポートする(Windows および Linux のみ)。

より広範なブランド変更のために作成したトランスフォームをインポートする(Windows のみ)。インストーラを使用して ASA から展開されます。

クライアントに展開され、クライアントが VPN 接続を確立および終了するときに実行されるスクリプトを作成する。

次の項では、AnyConnect クライアントをカスタマイズする方法について説明します。

「リソース ファイルのインポートによる AnyConnect のカスタマイズ」

「独自の AnyConnect GUI テキストおよびスクリプトのカスタマイズ」

「AnyConnect GUI テキストおよびメッセージのカスタマイズ」

「インストーラ トランスフォームを使用したインストーラ プログラムのカスタマイズ」

「インストーラ トランスフォームを使用したインストーラ プログラムのローカライズ」

制約事項

Windows Mobile デバイスで稼働する AnyConnect クライアントのカスタマイズはサポートされていません。

リソース ファイルのインポートによる AnyConnect のカスタマイズ

独自のカスタム ファイルをセキュリティ アプライアンスにインポートし、その新しいファイルをクライアントに展開することによって、AnyConnect クライアントをカスタマイズすることができます。元の GUI アイコンとそれらのサイズの詳細については、『AnyConnect VPN Client Administrators Guide』を参照してください。この情報は、カスタム ファイルの作成に使用できます。

手順の詳細

カスタム ファイルをインポートし、クライアントに展開するには、次の手順を実行します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Customization/Localization] > [Resources] の順に選択します。

[Import] をクリックします。[Import AnyConnect Customization Object] ウィンドウが表示されます。

ステップ 2 インポートするファイルの名前を入力します。置き換えることができるすべての GUI コンポーネントのファイル名については、『AnyConnect VPN Client Administrators Guide』を参照してください。


) カスタム コンポーネントのファイル名は、AnyConnect クライアント GUI に使用されるファイル名と一致している必要があります。この GUI コンポーネントのファイル名は OS によって異なり、Mac と Linux では大文字と小文字が区別されます。たとえば、Windows クライアント用の企業ロゴを置き換えるには、独自の企業ロゴを company_logo.bmp としてインポートする必要があります。別のファイル名でインポートすると、AnyConnect インストーラはそのコンポーネントを変更しません。ただし、独自の実行ファイルを展開して GUI をカスタマイズする場合は、その実行ファイルから任意のファイル名のリソース ファイルを呼び出すことができます。


ステップ 3 プラットフォームを選択し、インポートするファイルを指定します。[Import Now] をクリックします。ファイルがテーブルに表示されます。


) イメージをソース ファイルとして(たとえば、company_logo.bmp)インポートする場合、インポートしたイメージは、同じファイル名を使用して別のイメージを再インポートするまで、AnyConnect クライアントをカスタマイズします。たとえば、company_logo.bmp をカスタム イメージに置き換えて、このイメージを削除する場合、同じファイル名を使用して新しいイメージ(または元のシスコ ロゴ イメージ)をインポートするまで、クライアントはこのイメージの表示を継続します。


ステップ 4 [Import] をクリックすると、[Import AnyConnect Customization Objects] ダイアログが起動します。このダイアログでは、オブジェクトとしてインポートするファイルを指定できます。

ステップ 5 [Export] をクリックすると、[Export AnyConnect Customization Objects] ダイアログが起動します。このダイアログでは、オブジェクトとしてエクスポートするファイルを指定できます。

ステップ 6 [Delete] をクリックすると、選択したオブジェクトが削除されます。

オブジェクトでサポートされるリモート PC プラットフォームのタイプと、オブジェクト名が表示されます。


 

独自の AnyConnect GUI テキストおよびスクリプトのカスタマイズ

Windows、Linux、または Mac(PPP または Intel ベース)コンピュータの場合、AnyConnect クライアント API を使用する独自のクライアントを展開できます。クライアントのバイナリ ファイルを置き換えることによって、AnyConnect GUI または AnyConnect CLI を置き換えます。

クライアントが接続を確立したとき( OnConnect スクリプト)またはクライアントがセッションを終了したとき( OnDisconnect スクリプト)に実行されるスクリプトをダウンロードして実行することもできます。この機能には次のような使用例があります。

VPN 接続時にグループ ポリシーを更新する。

VPN 接続時にネットワーク ドライブをマッピングし、接続解除後にマッピングを解除する。

VPN 接続時にサービスにログインし、接続解除後にログオフする。

AnyConnect GUI のカスタマイズとスクリプトの作成および展開の詳細については、『AnyConnect VPN Client Administrators Guide』を参照してください。

次の項では、バイナリ実行可能ファイルおよびスクリプトを ASA にインポートする方法について説明します。

「バイナリ実行可能ファイルとしての独自の GUI のインポート」

「スクリプトのインポート」

バイナリ実行可能ファイルとしての独自の GUI のインポート

Windows、Linux、または Mac(PPP または Intel ベース)コンピュータの場合、AnyConnect クライアント API を使用する独自のクライアントを展開できます。クライアントのバイナリ ファイルを置き換えることによって、AnyConnect GUI または AnyConnect CLI を置き換えます。 表 7-15 に、クライアント実行ファイルのファイル名を、オペレーティング システム別に示します。

 

表 7-15 クライアント実行ファイルのファイル名

クライアント OS
クライアント GUI ファイル
クライアント CLI ファイル

Windows

vpnui.exe

vpncli.exe

Linux

vpnui

vpn

Mac

サポート対象外5

vpn

5.ASA からの展開はサポートされません。ただし、Altiris Agent などの他の手段によって、クライアント GUI を置き換える Mac 用の実行ファイルを展開できます。

ASA にインポートした、ロゴ イメージなどの任意のリソース ファイルを実行ファイルから呼び出すことができます( 表 7-15 を参照)。事前定義された GUI コンポーネントを置き換える場合とは異なり、独自の実行ファイルを展開する場合は、リソース ファイルに任意のファイル名を使用できます。

ASA にインポートするカスタム Windows クライアント バイナリ(GUI または CLI バージョン)には、署名することを推奨します。署名付きバイナリには、使用可能な多くの機能があります。バイナリが署名されていないと、次の機能に影響が生じます。

Web ラウンチ:クライアントレス ポータルは使用可能でユーザ認証も可能です。ただし、トンネル確立周辺の動作が予期したとおりに行われません。クライアントに署名のない GUI が存在すると、クライアントはクライアントレス接続試行の一部として開始されません。また、この状態が検出された場合、クライアントでの接続試行が中断されます。

SBL:Start Before Logon 機能では、ユーザのクレデンシャルを要求するために使用するクライアント GUI には署名が必要です。署名がないと、GUI は開始されません。SBL は CLI プログラムでサポートされないため、影響を受けるのは GUI バイナリ ファイルだけです。

自動アップグレード:クライアントの新バージョンへのアップグレード中は古い GUI が存在しますが、新しい GUI がインストールされると新規 GUI が開始されます。新しい GUI は署名がないと開始されません。Web ラウンチと同様、この GUI に署名がないと VPN 接続は終了します。ただし、アップグレード後のクライアントはインストールされたままになります。

制約事項

ASAは、AnyConnect VPN クライアントのバージョン 2.0 および 2.1 の場合に、この機能をサポートしません。クライアントの手動でのカスタマイズの詳細については、『 AnyConnect VPN Client Administrator's Guide 』および Cisco AnyConnect VPN Client のリリース ノート を参照してください。

スクリプトのインポート

AnyConnect では、次のイベントが発生したときに、スクリプトをダウンロードして実行できます。

セキュリティ アプライアンスで新しい AnyConnect クライアント VPN セッションが確立された。このイベントによって起動するスクリプトを OnConnect スクリプトと呼びます。スクリプトには、このファイル名プレフィックスが必要です。

セキュリティ アプライアンスで AnyConnect クライアント VPN セッションがティアダウンされた。このイベントによって起動するスクリプトを OnDisconnect スクリプトと呼びます。スクリプトには、このファイル名プレフィックスが必要です。

これによって、Trusted Network Detection によって開始された新しい AnyConnect VPN セッションが確立すると、OnConnect スクリプトが起動されます(このスクリプトを実行する要件が満たされている場合)。ネットワーク切断後に永続的な AnyConnect VPN セッションが再接続されても、OnConnect スクリプトは起動されません。

前提条件

ここでの説明は、スクリプトの作成方法と、ターゲット エンドポイントのコマンドラインからスクリプトを実行し、テストする方法についての知識があることを前提としています。

制約事項

AnyConnect ソフトウェア ダウンロード サイトにいくつかのサンプル スクリプトがあります。試用する際は、これらがあくまでサンプルであることに注意してください。実行に必要なローカル コンピュータの要件を満たしていないことがあり、ネットワークおよびユーザのニーズに合わせてカスタマイズしなければ使用できないことがあります。シスコでは、サンプル スクリプトまたはユーザ作成スクリプトはサポートしていません。

スクリプトの展開とスクリプトの制限事項の詳細については、『AnyConnect VPN Client Administrators Guide』を参照してください。

スクリプトの作成、テスト、および展開

AnyConnect スクリプトの展開方法を、次に示します。

制約事項

Microsoft Windows コンピュータで作成されたスクリプトの行末コードは、Mac OS および Linux で作成されたスクリプトの行末コードとは異なります。そのため、ターゲット OS でスクリプトを作成し、テストする必要があります。ネイティブ OS のコマンドラインからスクリプトを正しく実行できない場合は、AnyConnect でも正しく実行できません。

Microsoft Windows Mobile では、このオプションはサポートされません。手動でスクリプトを展開する必要があります。


ステップ 1 AnyConnect がスクリプトを起動するときにスクリプトが実行される OS タイプを使用して、スクリプトを作成およびテストします。

ステップ 2 スクリプトをインポートするには、[Network (Client) Access] > [AnyConnect Customization/Localization] > [Script] の順に選択します。[Customization Scripts] ペインが表示されます。

ステップ 3 スクリプトの名前を入力します。名前には正しい拡張子を指定してください。たとえば、myscript.bat などです。

ステップ 4 スクリプト アクション [Script runs when client connects] または [Script runs when client disconnects] を選択します。

AnyConnect によって、ASA でファイルをスクリプトとして識別できるように、プレフィックス scripts_ とプレフィックス OnConnect または OnDisconnect がユーザのファイル名に追加されます。クライアントが接続すると、ASA は、リモート コンピュータ上の適切なターゲット ディレクトリにスクリプトをダウンロードし、scripts_ プレフィックスを削除し、OnConnect プレフィックスまたは OnDisconnect プレフィックスをそのまま残します。たとえば、myscript.bat スクリプトをインポートする場合、スクリプトは、ASA 上では scripts_OnConnect_myscript.bat となります。リモート コンピュータ上では、スクリプトは OnConnect_myscript.bat となります。

スクリプトの実行の信頼性を確保するために、すべての ASA で同じスクリプトを展開するように設定します。スクリプトを修正または置換する場合は、旧バージョンと同じ名前を使用し、ユーザが接続する可能性のあるすべての ASA に置換スクリプトを割り当てます。ユーザが接続すると、新しいスクリプトにより同じ名前のスクリプトが上書きされます。

ステップ 5 スクリプトのソースとしてファイルを選択します。名前は、スクリプトに対して指定した名前と同じである必要はありません。ASDM によってファイルがソース ファイルからインポートされ、ステップ 3 で [Name] に対して指定した新しい名前が作成されます。

表 7-16 に、リモート コンピュータ上のスクリプトの場所を示します。

 

表 7-16 スクリプトの所定の場所

OS
ディレクトリ

Microsoft Windows 7 および Microsoft Vista

%ALLUSERPROFILE%\Cisco\Cisco AnyConnect VPN Client\Scripts

Microsoft Windows XP

%ALLUSERPROFILE%\Application Data\Cisco\Cisco AnyConnect VPN Client\
スクリプト

Linux

/opt/cisco/vpn/scripts

(注) User、Group、Other にファイルの実行権限を割り当てます。

Mac OS X

/opt/cisco/vpn/scripts

Windows Mobile

%PROGRAMFILES%\Cisco AnyConnect VPN Client\Scripts

ステップ 6 [Import] をクリックして、[Import AnyConnect Customization Objects] ダイアログを起動します。このダイアログでは、オブジェクトとしてインポートするファイルを指定できます。

ステップ 7 [Export] をクリックして、[Export AnyConnect Customization Objects] ダイアログを起動します。このダイアログでは、オブジェクトとしてエクスポートするファイルを指定できます。

ステップ 8 [Delete] をクリックして、選択したオブジェクトを削除します。

オブジェクトでサポートされるリモート PC プラットフォームのタイプと、オブジェクト名が表示されます。


 

AnyConnect GUI テキストおよびメッセージのカスタマイズ

このペインのリモート ユーザに表示される AnyConnect クライアント GUI のテキストとメッセージを変更します。このペインは、[Language Localization] ペインと同じ機能を持ちます。より高度な言語変換については、[Configuration] > [Remote Access VPN] > [Language Localization] を選択します。

AnyConnect GUI に表示されるメッセージを変更するには、次の手順を実行します。


ステップ 1 [Template] をクリックし、テンプレート領域を展開します。[Export] をクリックし、英語の言語テンプレートをローカル PC またはリモート デバイスにエクスポートします。

ステップ 2 テンプレートを編集し、メッセージに変更を加えます。msgid フィールドの引用符の間のテキストは、デフォルトのテキストを表します。このテキストは変更しないでください。別のメッセージを表示するには、mgstr の引用符の間にカスタム テキストを挿入します。次の例では、接続終了情報を含むメッセージを示します。

msgid ""
"The VPN connection has been disconnected due to the system suspending.The
"reconnect capability is disabled.A new connection requires re-"
"authentication and must be started manually.Close all sensitive networked
"applications."
msgstr ""
 

ステップ 3 [Import] をクリックし、新規変換テンプレートとして編集されたファイルをインポートします。

ステップ 4 テンプレートの言語を指定します。テンプレートはキャッシュメモリ内の変換テーブルになり、指定した名前が付きます。ブラウザの言語オプションと互換性のある短縮形を使用してください。たとえば、中国語のテーブルを作成するときに IE を使用している場合は、IE によって認識される zh という略語を使用します。

ステップ 5 [Apply] をクリックし、ASA を変更します。

ステップ 6 (任意)[Add] をクリックして、[Add Localization Entry] ダイアログを呼び出します。このダイアログで、追加するローカリゼーション テンプレートの選択、およびテンプレートの内容の編集ができます。

ステップ 7 (任意)[Edit] をクリックして、選択したテーブル内の言語の [Edit Localization Entry] ダイアログを呼び出します。このダイアログで、以前インポートした言語ローカリゼーション テーブルを編集できます。

ステップ 8 (任意)[Delete] をクリックして、選択した言語ローカリゼーション テーブルを削除します。

ステップ 9 (任意)[Import] をクリックして、[Import Language Localization] ダイアログを呼び出します。このダイアログで、言語ローカリゼーション テンプレートまたはテーブルをインポートできます。

ステップ 10 (任意)[Export] をクリックして、[Export Language Localization] ダイアログを呼び出します。このダイアログで、言語ローカリゼーション テンプレートまたはテーブルを URL にエクスポートして変更できます。

ステップ 11 (任意)ローカリゼーション テーブルの言語を指定します。


 

インストーラ トランスフォームを使用したインストーラ プログラムのカスタマイズ

作成した独自のトランスフォームを、クライアント インストーラ プログラムを使用して展開することによって、AnyConnect クライアント GUI を大幅にカスタマイズすることができます(Windows のみ)。トランスフォームを ASA にインポートすると、インストーラ プログラムを使用して展開されます。

MSI トランスフォームを作成するには、Microsoft から Orca という名前の無料データベース エディタをダウンロードし、インストールします。このツールを使用して、既存のインストレーションを修正し、場合によっては新しいファイルを追加します。Orca ツールは、Microsoft Windows Installer ソフトウェア開発キット(SDK)の一部であり、これは Microsoft Windows SDK に同梱されています。次のリンクから Orca プログラムを含むバンドルを入手できます。

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/orca_exe.asp.

SDK をインストールすると、Orca MSI は、次の場所に格納されます。

C:\Program Files\Microsoft SDK SP1\Microsoft Platform SDK\Bin\Orca.msi.

Orca ソフトウェアをインストールしてから、[Start] > [All Programs] メニューを選択して Orca プログラムにアクセスします。

トランスフォームをインポートする手順は、次のとおりです。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Customization/Localization] > [Customized Installer Transforms] の順に選択します。[Import] をクリックします。 [Import AnyConnect Customization Objects] ウィンドウが表示されます。

 

ステップ 2 インポートするファイルの名前を入力します。他のカスタマイズ用オブジェクトの名前とは異なり、この名前は ASA にとって重要ではないため、自由に指定できます。

ステップ 3 プラットフォームを選択し、インポートするファイルを指定します。[Import Now] をクリックします。ファイルがテーブルに表示されます。


) トランスフォームの適用先として選択できるのは Windows だけです。


ステップ 4 (任意)[Import] をクリックして、[Import AnyConnect Customization Objects] ダイアログを起動します。このダイアログでは、インポートするトランスフォーム ファイルを指定できます。

ステップ 5 (任意)[Export] をクリックして、[Export AnyConnect Customization Objects] ダイアログを起動します。このダイアログでは、エクスポートするトランスフォーム ファイルを指定できます。

ステップ 6 (任意)[Delete] をクリックして、選択したファイルを削除します。

このトランスフォームでサポートされるリモート PC プラットフォームのタイプと、トランスフォーム名が表示されます。


 

トランスフォームの設定例

このマニュアルでは、トランスフォームの作成についてのチュートリアルを提供できませんが、トランスフォームの代表的なエントリをいくつか次に示します。これらのエントリでは、company_logo.bmp がローカル コピーと置き換えられ、カスタム プロファイル MyProfile.xml がインストールされます。

DATA CHANGE - Component Component ComponentId
+ MyProfile.xml {39057042-16A2-4034-87C0-8330104D8180}
 
Directory_ Attributes Condition KeyPath
Profile_DIR 0 MyProfile.xml
 
DATA CHANGE - FeatureComponents Feature_ Component_
+ MainFeature MyProfile.xml
 
DATA CHANGE - File File Component_ FileName FileSize Version Language Attributes Sequence
+ MyProfile.xml MyProfile.xml MyProf~1.xml|MyProfile.xml 601 8192 35
<> company_logo.bmp 37302{39430} 8192{0}
 
DATA CHANGE - Media DiskId LastSequence DiskPrompt Cabinet VolumeLabel Source
+ 2 35
 

このペインでは、AnyConnect クライアント インストールのカスタマイズに使用するトランスフォーム ファイルを指定します。

インストーラ トランスフォームを使用したインストーラ プログラムのローカライズ

AnyConnect クライアント GUI と同様に、クライアント インストーラ プログラムに表示されるメッセージを翻訳できます。ASA はトランスフォームを使用して、インストーラに表示されるメッセージを翻訳します。トランスフォームによってインストレーションが変更されますが、元のセキュリティ署名 MSI は変化しません。これらのトランスフォームではインストーラ画面だけが翻訳され、クライアント GUI 画面は翻訳されません。

言語にはそれぞれ独自のトランスフォームがあります。トランスフォームは Orca などのトランスフォーム エディタで編集して、メッセージの文字列を変更できます。その後、トランスフォームを ASA にインポートします。ユーザがクライアントをダウンロードすると、クライアントはコンピュータの目的の言語(オペレーティング システムのインストール時に指定されたロケール)を検出し、該当するトランスフォームを適用します。

現時点では、30 の言語に対応するトランスフォームが用意されています。これらのトランスフォームは、cisco.com の AnyConnect クライアント ソフトウェア ダウンロード ページから、次の .zip ファイルで入手できます。

anyconnect-win-<VERSION>-web-deploy-k9-lang.zip

このファイルの <VERSION> は、AnyConnect のリリース バージョン(2.2.103 など)を表します。

パッケージには使用可能な翻訳用のトランスフォーム(.mst ファイル)が含まれています。用意されている 30 以外の言語をリモート ユーザに表示する必要がある場合は、独自のトランスフォームを作成し、それを新しい言語として ASA にインポートすることができます。Microsoft のデータベース エディタ Orca を使用して、既存のインストレーションおよび新規ファイルを修正できます。Orca は、Microsoft Windows Installer ソフトウェア開発キット(SDK)の一部であり、これは Microsoft Windows SDK に同梱されています。次のリンクから Orca プログラムを含むバンドルを入手できます。

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/orca_exe.asp.

SDK をインストールすると、Orca MSI は、次の場所に格納されます。

C:\Program Files\Microsoft SDK SP1\Microsoft Platform SDK\Bin\Orca.msi.

ここでは、ASDM を使用してトランスフォームを ASA にインポートする方法について説明します。


ステップ 1 トランスフォームをインポートします。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Customization/Localization] > [Localized Installer Transforms] の順に選択します。[Import] をクリックします。[Import MST Language Localization] ウィンドウが表示されます。

ステップ 2 このトランスフォームの言語を選択します。[Language] ドロップ リストをクリックして、言語とその一般的な略称を表示します。手動で略称を入力する場合は、ブラウザおよびオペレーティング システムが認識できる略称を使用してください。

ステップ 3 [Import Now] をクリックします。テーブルが正常にインポートされたことを示すメッセージが表示されます。

[Apply] をクリックし、変更を必ず保存してください。

ステップ 4 (任意)[Import] をクリックして、[Import AnyConnect Customization Objects] ダイアログを起動します。このダイアログでは、トランスフォームとしてインポートするファイルを指定できます。

ステップ 5 (任意)[Export] をクリックして、[Export AnyConnect Customization Objects] ダイアログを起動します。このダイアログでは、トランスフォームとしてエクスポートするファイルを指定できます。

ステップ 6 (任意)[Delete] をクリックして、選択したトランスフォームを削除します。

このトランスフォームでサポートされるリモート PC プラットフォームのタイプと、名前が表示されます。


 

言語ローカリゼーションのインポート/エクスポート

[Import Translation Table] および [Export Translation Table] ダイアログボックスでは、変換テーブルを ASA にインポートまたはエクスポートして、ユーザ メッセージの変換機能を提供できます。

変換テンプレートは、変換済みメッセージで編集できるメッセージ フィールドが含まれている XML ファイルです。テンプレートをエクスポートし、メッセージフィールドを編集し、新しい変換テーブルとしてテンプレートをインポートするか、既存の変換テーブルをエクスポートし、メッセージフィールドを編集し、テーブルを再インポートして以前のバージョンを上書きすることができます。

手順の詳細


ステップ 1 言語の名前を入力します。

エクスポート の場合は、テーブルで選択したエントリの名前が自動的に取り込まれます。

インポート の場合は、識別する方法で言語名を入力します。インポートされた変換テーブルは、指定した短縮形でリストに表示されます。ブラウザが言語を認識できるように、ブラウザの言語オプションと互換性のある言語短縮形を使用してください。たとえば、IE を使用する場合は、中国語の略語として zh を使用します。

ステップ 2 メッセージ フィールドが含まれている XML ファイルの名前には、次のものがあります。

AnyConnect:Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッセージ。

CSD:Cisco Secure Desktop(CSD)のメッセージ。

customization:ログイン ページおよびログアウト ページのメッセージ、ポータル ページ、およびユーザがカスタマイズできるすべてのメッセージ。

keepout:VPN アクセスが拒否されたときに、リモート ユーザに対して表示されるメッセージ。

PortForwarder:Port Forwarding ユーザに表示されるメッセージ。

url-list:ユーザが、ポータル ページの URL ブックマークに指定したテキスト。

webvpn:カスタマイズできないレイヤ 7、AAA、およびポータルのすべてのメッセージ。

plugin-ica:Citrix プラグインのメッセージ。

plugin-rdp:Remote Desktop Protocol プラグインのメッセージ。

plugin-telnet,ssh:Telnet プラグインおよび SSH プラグインのメッセージ。このプラグインは、sshv1 と sshv2 の両方を実行できます。

plugin-vnc:VNC プラグインのメッセージ。

ステップ 3 ファイルをインポートまたはエクスポートする方式を選択します。

[Remote server]:ASAからアクセスできるリモート サーバに常駐するカスタマイゼーション ファイルをインポートするには、このオプションを選択します。

[Path]:ファイル(ftp、http、または https)にアクセスする方法を特定して、ファイルの場所を入力します。

[Flash file system]:ASAに常駐するファイルをエクスポートするには、この方式を選択します。

[Path]:ファイルの場所。

[Browse Flash]:ファイルへのパスを参照します。

[Local computer]:ローカル PC にあるファイルをインポートする場合は、この方式を選択します。

[Path]:ファイルへのパスを入力します。

[Browse Local Files]:ファイルへのパスを参照します。

ステップ 4 [Import Now]/[Export Now] をクリックして、ファイルをインポートまたはエクスポートします。


 

ブックマークの設定

[Bookmarks] パネルでは、ブックマーク リストを追加、編集、削除、インポート、およびエクスポートできます。

[Bookmarks] パネルを使用して、クライアントレス SSL VPN でアクセスするための、サーバおよび URL のリストを設定します。ブックマーク リストのコンフィギュレーションに続いて、そのリストを 1 つ以上のポリシー(グループ ポリシー、ダイナミック アクセス ポリシー、またはその両方)に割り当てることができます。各ポリシーのブックマーク リストは 1 つのみです。リスト名は、各 DAP の [URL Lists] タブのドロップダウン リストに表示されます。

一部の Web ページでの自動サインオンに、マクロ置換を含むブックマークを使用できるようになりました。以前の POST プラグイン アプローチは、管理者がサインオン マクロを含む POST ブックマークを指定し、POST 要求のポストの前にロードするキックオフ ページを受信できるようにするために作成されました。この POST プラグイン アプローチでは、クッキーまたはその他のヘッダー項目の存在を必要とする要求は排除されました。現在は、管理者は事前ロード ページおよび URL を決定し、これによってポスト ログイン要求の送信場所が指定されます。事前ロード ページによって、エンドポイント ブラウザは、クレデンシャルを含む POST 要求を使用するのではなく、Web サーバまたは Web アプリケーションに送信される特定の情報を取得できます。

既存のブックマーク リストが表示されます。ブックマーク リストを追加、編集、削除、インポート、またはエクスポートできます。アクセス用のサーバおよび URL のリストを設定し、指定した URL リスト内の項目を配列することができます。

ガイドライン

ブックマークを設定することでは、ユーザが不正なサイトや会社のアクセプタブル ユース ポリシーに違反するサイトにアクセスすることを防ぐことはできません。ブックマーク リストをグループ ポリシー、ダイナミック アクセス ポリシー、またはその両方に割り当てる以外に、Web ACL をこれらのポリシーに割り当てて、トラフィック フローへのアクセスを制御します。これらのポリシー上の URL エントリをディセーブルにして、ユーザがアクセスできるページについて混乱しないようにします。手順については、「クライアントレス SSL VPN セキュリティ対策の順守」を参照してください。

手順の詳細


ステップ 1 追加するリストの名前を指定するか、修正または削除するリストの名前を選択します。

ブックマークのタイトルおよび実際の関連付けられた URL が表示されます。

ステップ 2 (任意)[Add] をクリックして、新しいサーバまたは URL を設定します。詳細については、次の手順を参照してください。

「GET または Post メソッドによる URL のブックマークの追加」

「定義済みアプリケーション テンプレートに帯する URL の追加」

「自動サインオン アプリケーションへのブックマークの追加」

ステップ 3 (任意)[Edit] をクリックして、サーバ、URL、または表示名を変更します。

ステップ 4 (任意)[Delete] をクリックして、選択した項目を URL リストから削除します。確認の画面は表示されず、やり直しもできません。

ステップ 5 (任意)ファイルのインポートまたはエクスポート元の場所を選択します。

[Local computer]:ローカル PC に常駐するファイルをインポートまたはエクスポートする場合にクリックします。

[Flash file system]:ASAに常駐するファイルをインポートまたはエクスポートする場合にクリックします。

[Remote server]:ASAからアクセス可能なリモート サーバに常駐するファイルをインポートする場合にクリックします。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

[Browse Local Files.../Browse Flash...]:ファイルのパスを参照します。

ステップ 6 (任意)ブックマークを強調表示し、[Assign] をクリックして、選択したブックマークを 1 つ以上のグループ ポリシー、ダイナミック アクセス ポリシー、または LOCAL ユーザに割り当てます。

ステップ 7 (任意)[Move Up] または [Move Down] オプションを使用して、選択した項目の位置を URL リスト内で変更します。

ステップ 8 [OK] をクリックします。


 

GET または Post メソッドによる URL のブックマークの追加

[Add Bookmark Entry] ダイアログボックスでは、URL リストのリンクまたはブックマークを作成できます。

前提条件

ネットワークの共有フォルダにアクセスするには、\\server\share\subfolder\<personal folder> 形式を使用します。<personal folder> の上のすべてのポイントに対するリスト権限がユーザに必要です。

手順の詳細


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] の順に進み、[Add] ボタンをクリックします。

ステップ 2 [URL with GET or POST method] を選択して、ブックマークの作成に使用します。

ステップ 3 ポータルに表示されるブックマークの名前を入力します。

ステップ 4 [URL] ドロップダウン メニューを使用して、URL タイプ(http、https、cifs、または ftp)を選択します。[URL] ドロップダウンは、標準の URL タイプ、インストールしたすべてのプラグインのタイプを示します。

ステップ 5 このブックマーク(URL)の DNS 名または IP アドレスを入力します。プラグインの場合は、サーバの名前を入力します。サーバ名の後にスラッシュと疑問符(/?)を入力すると、オプションのパラメータを指定できます。それに続いてアンパサンドを使用すると、次の構文に示すように、パラメータ/値ペアを分けられます。

server /? Parameter = Value & Parameter = Value

次に例を示します。

host /?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768

プラグインによって、入力できるオプションのパラメータ/値ペアが決まります。

プラグインに対して、シングル サインオン サポートを提供するには、パラメータ/値ペア csco_sso=1 を使用します。次に例を示します。

host /?csco_sso=1&DesiredColor=4&DesiredHRes=1024&DesiredVRes=768

ステップ 6 (任意)事前ロード URL を入力します。事前ロード URL を入力するときに、待機時間も入力できます。待機時間は、実際の POST URL に転送されるまでに、ページのロードに使用できる時間です。

ステップ 7 サブタイトルとして、ユーザに表示するブックマーク エントリについての説明テキストを入力します。

ステップ 8 [Thumbnail] ドロップダウン メニューを使用して、エンドユーザ ポータル上のブックマークに関連付けるアイコンを選択します。

ステップ 9 [Manage] をクリックして、サムネールとして使用するイメージをインポートまたはエクスポートします。

ステップ 10 クリックしてブックマークを新しいウィンドウで開きます。このウィンドウでは、スマート トンネル機能を使用し、ASA を経由して宛先サーバとのデータの送受信を行います。すべてのブラウザ トラフィックは、SSL VPN トンネルで安全に送受信されます。このオプションでは、ブラウザベースのアプリケーションにスマート トンネルのサポートを提供します。一方で、[Smart Tunnels]([Clientless SSL VPN] > [Portal] メニューにもあり)では、非ブラウザベースのアプリケーションもスマート トンネル リストに追加し、それをグループ ポリシーとユーザ名に割り当てられます。

ステップ 11 [Allow the users to bookmark the link] をオンにして、クライアントレス SSL VPN ユーザが、ブラウザの [Bookmarks] または [Favorites] オプションを使用できるようにします。選択を解除すると、これらのオプションを使用できません。このオプションをオフにすると、WebVPN ポータルの [Home] セクションにブックマークは表示されません。

ステップ 12 (任意)[Advanced Options] を選択して、ブックマークの特徴の詳細を設定します。

[URL Method]:単純なデータ取得の場合には [Get] を選択します。データの保存または更新、製品の注文、電子メールの送信など、データを処理することによってデータに変更が加えられる可能性がある場合には、[Post] を選択します。

[Post Parameters]:Post URL 方式の詳細を設定します。

[Add]:post パラメータを追加します。

[Edit]:選択した post パラメータを編集します。

[Delete]:選択した post パラメータを削除します。

定義済みアプリケーション テンプレートに帯する URL の追加

このオプションは、事前に定義された ASDM テンプレートを選択しているユーザのブックマークの作成を簡略化します。ASDM テンプレートには、特定の明確に定義されたアプリケーションに対する事前に入力された必要な値が含まれます。

前提条件

定義済みアプリケーションのテンプレートは、次のアプリケーションで現在使用できます。

Citrix XenApp

Citrix XenDesktop

Domino WebAccess

Microsoft Outlook Web Access 2010

Microsoft Sharepoint 2007

Microsoft SharePoint 2010

手順の詳細


ステップ 1 ユーザに対して表示するブックマークの名前を入力します。

ステップ 2 サブタイトルとして、ユーザに表示するブックマーク エントリについての説明テキストを入力します。

ステップ 3 [Thumbnail] ドロップダウン メニューを使用して、エンドユーザ ポータル上のブックマークに関連付けるアイコンを選択します。

ステップ 4 [Manage] をクリックして、サムネールとして使用するイメージをインポートまたはエクスポートします。

ステップ 5 (任意)[Place this bookmark on the VPN home page] チェックボックスをオンにします。

ステップ 6 [Select Auto Sign-on Application] リストで、必要なアプリケーションをクリックします。使用可能なアプリケーションは次のとおりです。

Citrix XenApp

Citrix XenDesktop

Domino WebAccess

Microsoft Outlook Web Access 2010

Microsoft Sharepoint 2007

Microsoft SharePoint 2010

ステップ 7 ログイン ページの前にロードされたページの URL を入力します。このページには、ログイン画面に進むためのユーザ インタラクションが必要になります。URL には、任意の記号の番号を置き換える * を入力できます(たとえば、http*://www.example.com/test)。

ステップ 8 [Pre-login Page Control ID] を入力します。これは、ログイン ページに進む前に事前ログイン ページの URL でクリック イベントを取得する制御/タグの ID です。

ステップ 9 [Application Parameters] を入力します。アプリケーションに応じて、次の内容が含まれる可能性があります。

[Protocol]: HTTP または HTTPS。

[Host Name]: たとえば、www.cisco.com などです。

[Port Number]: アプリケーションで使用されるポート。

[URL Path Appendix]: たとえば、/Citrix/XenApp などです。通常これは、自動入力されます。

[Domain]: 接続するドメイン。

[User Name]: ユーザ名として使用する SSL VPN 変数。[Select Variable] をクリックして、異なる変数を選択します。

[Password]: パスワードとして使用する SSL VPN 変数。[Select Variable] をクリックして、異なる変数を選択します。

ステップ 10 (任意)[Preview] をクリックして、テンプレートの出力を表示します。[Edit] をクリックして、テンプレートを変更できます。

ステップ 11 [OK] をクリックして、変更を行います。または、[Cancel] をクリックして変更を破棄します。


 

自動サインオン アプリケーションへのブックマークの追加

このオプションでは、アプリケーションの複雑な自動サインインのブックマークを作成できます。

前提条件

自動サインオン アプリケーションの設定には、2 つの手順が必要になります。

1. 基本的な初期データがあり、POST パラメータがないブックマークを定義します。ブックマークを保存および割り当てて、グループまたはユーザ ポリシーで使用します。

2. ブックマークを再度編集します。特定のキャプチャ機能を使用して、SSL VPN パラメータをキャプチャし、ブックマークで編集します。

手順の詳細


ステップ 1 ユーザに対して表示するブックマークの名前を入力します。

ステップ 2 [URL] ドロップダウン メニューを使用して、URL タイプ(http、https、cifs、または ftp)を選択します。インポートされたすべてのプラグインの URL タイプが、このメニューに表示されます。ポータル ページにリンクとしてプラグインを表示するには、プラグインの URL タイプを選択します。

ステップ 3 ブックマークの DNS 名または IP アドレスを入力します。プラグインの場合は、サーバの名前を入力します。サーバ名の後にスラッシュと疑問符(/?)を入力すると、オプションのパラメータを指定できます。それに続いてアンパサンドを使用すると、次の構文に示すように、パラメータ/値ペアを分けられます。

server /? Parameter = Value & Parameter = Value

次に例を示します。

host /?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768

プラグインによって、入力できるオプションのパラメータ/値ペアが決まります。

プラグインに対して、シングル サインオン サポートを提供するには、パラメータ/値ペア csco_sso=1 を使用します。次に例を示します。

host /?csco_sso=1&DesiredColor=4&DesiredHRes=1024&DesiredVRes=768

ステップ 4 サブタイトルとして、ユーザに表示するブックマーク エントリについての説明テキストを入力します。

ステップ 5 [Thumbnail] ドロップダウン メニューを使用して、エンドユーザ ポータル上のブックマークに関連付けるアイコンを選択します。

ステップ 6 [Manage] をクリックして、サムネールとして使用するイメージをインポートまたはエクスポートします。

ステップ 7 (任意)[Place this bookmark on the VPN home page] チェックボックスをオンにします。

ステップ 8 [Login Page URL] を入力します。入力する URL には、ワイルドカードを使用できます。たとえば、http*://www.example.com/myurl* と入力します。

ステップ 9 [Landing Page URL] を入力します。ASA では、アプリケーションへの正常なログインを検出するために、ランディング ページを設定する必要があります。

ステップ 10 (任意)[Post Script] を入力します。Microsoft Outlook Web Access などの一部の Web アプリケーションは、JavaScript を実行して、ログイン フォームを送信する前に、要求パラメータを変更する場合があります。[Post Script] フィールドでは、このようなアプリケーションの JavaScript を入力できます。

ステップ 11 必要な [Form Parameters] を追加します。それぞれの必要な SSL VPN 変数では、[Add] をクリックして、[Name] を入力して、リストから変数を選択します。[Edit] をクリックしてパラメータを変更し、[Delete] をクリックして削除することができます。

ステップ 12 ログイン ページの前にロードされたページの URL を入力します。このページには、ログイン画面に進むためのユーザ インタラクションが必要になります。URL には、任意の記号の番号を置き換える * を入力できます(たとえば、http*://www.example.com/test)。

ステップ 13 [Pre-login Page Control ID] を入力します。これは、ログイン ページに進む前に事前ログイン ページの URL でクリック イベントを取得する制御/タグの ID です。

ステップ 14 [OK] をクリックして、変更を行います。または、[Cancel] をクリックして変更を破棄します。


 

ブックマークを編集する場合、HTML Parameter Capture 機能を使用して、VPN 自動サインオン パラメータをキャプチャできます。ブックマークは保存され、グループ ポリシーまたはユーザにまず割り当てられる必要があります。

[SSL VPN Username] を入力してから、[Start Capture] をクリックします。次に、Web ブラウザを使用して、VPN セッションを開始して、イントラネットのページに進みます。プロセスを完了するには、[Stop Capture] をクリックします。パラメータが編集できるようになり、ブックマークに挿入されます。

ブックマーク リストのインポートまたはエクスポート

すでに設定済みのブックマーク リストは、インポートまたはエクスポートできます。使用準備ができているリストをインポートします。リストをエクスポートして修正または編集してから、再インポートすることもできます。

手順の詳細


ステップ 1 ブックマーク リストを名前で指定します。最大 64 文字で、スペースは使用できません。

ステップ 2 リスト ファイルをインポートまたはエクスポートするときに使用する方法を選択します。

[Local computer]:ローカル PC に常駐するファイルをインポートする場合に選択します。

[Flash file system]:ASAに常駐するファイルをエクスポートする場合に選択します。

[Remote server]:ASAからアクセス可能なリモート サーバに常駐する URL リスト ファイルをインポートする場合にクリックします。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

[Browse Local Files/Browse Flash]:ファイルのパスを参照します。

[Import/Export Now]:リスト ファイルをインポートまたはエクスポートします。

Importing/Exporting GUI Customization Objects(Web コンテンツ)

このダイアログボックスでは、Web コンテンツ オブジェクトをインポートおよびエクスポートできます。Web コンテンツ オブジェクトの名前とファイル タイプが表示されます。

Web コンテンツには、全体的に設定されたホーム ページから、エンド ユーザ ポータルをカスタマイズするときに使用するアイコンやイメージまで、さまざまな種類があります。設定済みの Web コンテンツは、インポートまたはエクスポートできます。使用準備ができている Web コンテンツをインポートします。Web コンテンツをエクスポートして修正または編集してから、再インポートすることもできます。


ステップ 1 ファイルのインポートまたはエクスポート元の場所を選択します。

[Local computer]:ローカル PC に常駐するファイルをインポートまたはエクスポートする場合にクリックします。

[Flash file system]:ASAに常駐するファイルをインポートまたはエクスポートする場合にクリックします。

[Remote server]:ASAからアクセス可能なリモート サーバに常駐するファイルをインポートする場合にクリックします。

[Path]:ファイルにアクセスする方式(ftp、http、または https)を指定し、ファイルへのパスを入力します。

[Browse Local Files.../Browse Flash...]:ファイルのパスを参照します。

ステップ 2 コンテンツへのアクセスに認証が必要かどうかを決定します。

パスのプレフィックスは、認証を要求するかどうかに応じて異なります。ASAは、認証が必要なオブジェクトの場合には /+CSCOE+/ を使用し、認証が不要なオブジェクトの場合には /+CSCOU+/ を使用します。ASAはポータル ページにだけ /+CSCOE+/ オブジェクトを表示するのに対し、/+CSCOU+/ オブジェクトは、ログイン ページまたはポータル ページのどちらかで表示または使用可能です。

ステップ 3 クリックして、ファイルをインポートまたはエクスポートします。


 

Adding/Editing Post Parameter

このペインでは、ブックマーク エントリと URL リストのポスト パラメータを設定します。

クライアントレス SSL VPN 変数により、URL およびフォームベースの HTTP post 操作で置換が実行できます。これらの変数はマクロとも呼ばれ、ユーザ ID とパスワード、またはその他の入力パラメータを含む、パーソナル リソースへのユーザ アクセスを設定できます。このようなリソースの例には、ブックマーク エントリ、URL リスト、およびファイル共有などがあります。

手順の詳細


ステップ 1 パラメータの名前と値を、対応する HTML フォームのとおりに指定します。たとえば、<input name=" param_name " value=" param_value "> です。

提供されている変数のいずれかをドロップダウン リストから選択できます。また、変数を作成できます。ドロップダウン リストからは、次の変数を選択します。

 

表 7-17 クライアントレス SSL VPN の変数

No.
変数置換
定義

1

CSCO_WEBVPN_USERNAME

SSL VPN ユーザ ログイン ID

2

CSCO_WEBVPN_PASSWORD

SSL VPN ユーザ ログイン パスワード

3

CSCO_WEBVPN_INTERNAL_PASSWORD

SSL VPN ユーザ内部リソース パスワード。キャッシュされた認定証であり、AAA サーバによって認証されていません。ユーザがこの値を入力すると、パスワード値の代わりに、これが自動サインオンのパスワードとして使用されます。

4

CSCO_WEBVPN_CONNECTION_PROFILE

SSL VPN ユーザ ログイン グループ ドロップダウン、接続プロファイル内のグループ エイリアス

5

CSCO_WEBVPN_MACRO1

RADIUS/LDAP ベンダー固有属性によって設定。ldap-attribute-map を経由して LDAP からこれをマッピングする場合は、この変数を使用するシスコの属性は WEBVPN-Macro-Substitution-Value1 になります。

RADIUS 経由での変数置換は、VSA#223 によって行われます。

6

CSCO_WEBVPN_MACRO2

RADIUS/LDAP ベンダー固有属性によって設定。ldap-attribute-map を経由して LDAP からこれをマッピングする場合は、この変数を使用するシスコの属性は WEBVPN-Macro-Substitution-Value2 になります。

RADIUS 経由での変数置換は、VSA#224 によって行われます。

7

CSCO_WEBVPN_PRIMARY_USERNAME

二重認証用のプライマリ ユーザのログイン ID

8

CSCO_WEBVPN_PRIMARY_PASSWORD

二重認証用のプライマリ ユーザのログイン パスワード

9

CSCO_WEBVPN_SECONDARY_USERNAME

二重認証用のセカンダリ ユーザのログイン ID

10

CSCO_WEBVPN_SECONDARY_PASSWORD

二重認証用のセカンダリ ユーザのログイン ID

ASAが、これら 6 つの変数文字列のいずれかをエンドユーザ要求(ブックマークまたはポスト フォーム)で認識すると、リモート サーバに要求を渡す前に、ユーザ固有の値で変数を置換します。


) プレーン テキストで(セキュリティ アプライアンスを使用せずに)HTTP Sniffer トレースを実行すると、任意のアプリケーションの http-post パラメータを取得できます。次のリンクから、無料のブラウザ キャプチャ ツールである HTTP アナライザを入手できます。http://www.ieinspector.com/httpanalyzer/downloadV2/IEHttpAnalyzerV2.exe


変数 1 ~ 4 の使用

ASAは、[SSL VPN Login] ページから最初の 4 つの置き換えの値を取得します。それには、ユーザ名、パスワード、内部パスワード(任意)、およびグループのフィールドが含まれます。ユーザ要求内のこれらのストリングを認識し、このストリングをユーザ固有の値で置き換えてから、リモート サーバに要求を渡します。

たとえば、URL リストに http://someserver/homepage/CSCO_WEBVPN_USERNAME.html というリンクが含まれていると、ASAはこのリンクを次の一意のリンクに変換します。

USER1 の場合、リンクは http://someserver/homepage/USER1.html となります。

USER2 の場合、リンクは http://someserver/homepage/USER2.html となります。

cifs://server/users/CSCO_WEBVPN_USERNAME の場合、ASAは、次のようにファイル ドライブを特定のユーザにマップできます。

USER1 の場合、リンクは cifs://server/users/USER1 となります。

USER1 の場合、リンクは cifs://server/users/USER2 となります。

変数 5 および 6 の使用

マクロ 5 および 6 の値は、RADIUS または LDAP のベンダー固有属性(VSA)です。これらの置き換えにより、RADIUS または LDAP サーバのどちらかで設定される置き換えを設定できます。

変数 7 ~ 10 の使用

ASAが、これら 4 つの変数文字列のいずれかをエンドユーザ要求(ブックマークまたはポスト フォーム)で認識すると、リモート サーバに要求を渡す前に、ユーザ固有の値で変数を置換します。

例 1:ホームページの設定

次の例では、ホームページの URL を設定します。

WebVPN-Macro-Value1 (ID=223), type string, は、 wwwin-portal.example.com として返されます。

WebVPN-Macro-Value2 (ID=224), type string, は 401k.com として返されます。

ホームページの値を設定するには、次のように変数置換を設定します。

https://CSCO_WEBVPN_MACRO1。これは、https://wwwin-portal.example.com に変換されます。

この場合の最善の方法は、ASDM で Homepage URL パラメータを設定することです。スクリプトを記述したり何かをアップロードしなくても、管理者はグループ ポリシー内のどのページがスマート トンネル経由で接続するかを指定できます。

ASDM の Network Client SSL VPN または Clientless SSL VPN Access セクションから、[Add/Edit Group Policy] ペインに移動します。パスは次のとおりです。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit Group Policy] > [Advanced] > [SSL VPN Client] > [Customization] > [Homepage URL] 属性

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add/Edit Group Policy] > [More Options] > [Customization] > [Homepage URL] 属性

ブックマークまたは URL エントリの設定例

SSL VPN 認証で RSA ワンタイム パスワード(OTP)を使用し、続いて OWA 電子メール アクセスでスタティックな内部パスワードを使用することによって、HTTP Post を使用して OWA リソースにログインできます。この場合の最善の方法は、ASDM でブックマーク エントリを追加または編集することです。

次のパスを含め、[Add Bookmark Entry] ペインへのパスは数通り存在します。

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] > [Add/Edit Bookmark Lists] > [Add/Edit Bookmark Entry] > [Advanced Options] 領域 > [Add/Edit Post Parameters](URL Method 属性の [Post] をクリックすると表示されます)

または

([URL Method] 属性の [Post] をクリックすると表示されます)

[Network (Client) Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [URL Lists] タブ > [Manage] ボタン > [Configured GUI Customization Objects] > [Add/Edit] ボタン > [Add/Edit Bookmark List] > [Add/Edit Bookmark Entry] > [Advanced Options] 領域 > [Add/Edit Post Parameters]

ファイル共有(CIFS)URL 置換の設定の設定例

CIFS URL の変数置換を使用すると、より柔軟なブックマーク設定を行えます。

URL cifs://server/CSCO_WEBVPN_USERNAME を設定すると、ASA はそれをユーザのファイル共有ホーム ディレクトリに自動的にマッピングします。この方法では、パスワードおよび内部パスワード置換も行えます。次に、URL 置換の例を示します。

cifs://CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server

cifs://CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server

cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server

cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server

cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_PASSWORD@server/CSCO_WEBVPN_USERNAME

cifs://domain;CSCO_WEBVPN_USERNAME:CSCO_WEBVPN_INTERNAL_PASSWORD@server/CSCO_WEBVPN_USERNAME

外部ポートのカスタマイズの設定例

事前設定されたポータルを使用する代わりに、外部ポータル機能を使用して独自のポータルを作成できます。独自のポータルを設定する場合、クライアントレス ポータルをバイパスし、POST 要求を送信してポータルを取得できます。

手順の詳細


ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Customization] を選択します。必要なカスタマイゼーションを強調表示し、[Edit] を選択します。

ステップ 2 [Enable External Portal] チェックボックスをオンにします。

ステップ 3 [URL] フィールドに、POST 要求が許可されるように、必要な外部ポータルを入力します。


 

管理者によるクライアントレス SSL VPN ユーザへのアラート送信

クライアントレス SSL VPN ユーザにアラート メッセージ(接続ステータスに関するものなど)を送信するには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Tools] > [Administrator's Alert Message to Clientless SSL VPN Users] の順に選択します。

[Administrator's Alert Message to Clientless SSL VPN Users] ダイアログボックスが表示されます。

ステップ 2 送信する新規または編集済みのアラート内容を入力して、[Post Alert] をクリックします。

ステップ 3 現在のアラート内容を削除して新しいアラート内容を入力するには、[Cancel Alert] をクリックします。