CHAPTER 34 クライアントレス SSL VPN の設定 この章では、次について説明します。 • 「はじめに」(P.34-1) • 「クライアントレス SSL VPN リソースの作成と適用」(P.34-21) • 「クライアントレス SSL VPN の接続プロファイルのアトリビュートの設定」(P.34-22) • 「クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュートの設 定」(P.34-23) • 「クライアント / サーバ プラグインへのブラウザ アクセスの設定」(P.34-24) • 「スマート トンネル アクセスの設定」(P.34-30) • 「ポート転送の設定」(P.34-38) • 「ファイル アクセスの設定」(P.34-44) • 「PDA でのクライアントレス SSL VPN の使用」(P.34-47) • 「クライアントレス SSL VPN を介した電子メールの使用」(P.34-47) • 「クライアントレス SSL VPN のパフォーマンスの最適化」(P.34-49) • 「クライアントレス SSL VPN エンド ユーザの設定」(P.34-52) • 「データのキャプチャ」(P.34-79) • 「Application Access ユーザのメモ」(P.34-81) はじめに クライアントレス SSL VPN によってユーザは、ブラウザを使用して adaptive security appliance へのセ キュアなリモートアクセス VPN トンネルを確立できます。ソフトウェアやハードウェア クライアント は必要ありません。 クライアントレス SSL VPN を使用することで、インターネット上のほぼすべてのコンピュータから、 幅広い Web リソースおよび Web 対応アプリケーションにセキュアに、かつ容易にアクセスできます。 次のようなアクセス先があります。 • 内部 Web サイト • Web 対応アプリケーション • NT/Active Directory ファイル共有 • POP3S、IMAP4S、および SMTPS などの電子メール プロキシ • MS Outlook Web Access Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-1 第 34 章 クライアントレス SSL VPN の設定 はじめに • Application Access(他の TCP ベースのアプリケーションにアクセスするためのポート転送または スマート トンネル) (注) セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。 クライアントレス SSL VPN セッションによってアプリケーション アクセスを実現するポート転送やス マート トンネル機能のいずれも MAPI をサポートしません。MAPI プロトコルを使用する Microsoft Outlook Exchange での通信の場合、リモート ユーザは AnyConnect を使用する必要があります。 クライアントレス SSL VPN は Secure Sockets Layer プロトコルおよびその後継である Transport Layer Security を使用して、リモート ユーザと、中央サイトで設定した特定のサポートされている内部リ ソースとの間で、セキュアな接続を提供します。adaptive security appliance はプロキシで処理する必 要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。 ネットワーク管理者は、クライアントレス SSL VPN セッションのユーザに対してグループ単位でリ ソースへのアクセスを提供します。ユーザは、内部ネットワーク上のリソースに直接アクセスすること はできません。 次の項では、クライアントレス SSL VPN アクセスを設定するための準備について説明します。 • クライアントレス SSL VPN セキュリティ対策の順守 • クライアントレス SSL VPN でサポートされていない機能の概要 • 中央サイトにアクセスするための SSL の使用 • デジタル証明書による認証 • クライアントレス SSL VPN 用のブラウザのクッキーのイネーブル化 • パスワードの管理 • クライアントレス SSL VPN でのシングル サインオンの使用 • デジタル証明書による認証 クライアントレス SSL VPN セキュリティ対策の順守 adaptive security appliance 上の クライアントレス SSL VPN 接続は、リモートアクセス IPSec 接続と はまったく異なっています。特に SSL 対応サーバとの対話方法やセキュリティ上のリスクを減らすた めの対策に大きな違いがあります。 クライアントレス SSL VPN 接続では、adaptive security appliance は、エンド ユーザの Web ブラウザ とターゲット Web サーバとの間のプロキシとして機能します。ユーザが SSL 対応 Web サーバに接続 すると、adaptive security appliance はセキュアな接続を確立し、SSL 証明書を検証します。エンド ユーザのブラウザは提示された SSL 証明書を受信しないため、この証明書を検証することはできませ ん。 adaptive security appliance 上の現在のクライアントレス SSL VPN 実装では、有効期限が切れた証明書 を提示するサイトとの通信を許可しません。また、adaptive security appliance は信頼できる CA 証明 書の検証も実行しません。このため、ユーザは、Web 対応サービスで使用する前に SSL 対応の Web サーバが提示する証明書を分析することができません。 クライアントレス SSL VPN アクセスで発生するリスクを最小限にするため、次のことを実行すること をお勧めします。 ステップ 1 クライアントレス SSL VPN アクセスを必要とするすべてのユーザのグループ ポリシーを設定し、その グループ ポリシーに対してだけクライアントレス SSL VPN をイネーブルにします。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-2 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 はじめに ステップ 2 プライベート ネットワーク内の特定のターゲットへのアクセスのみを許可するか、プライベート ネッ トワークへのアクセスのみを許可するか、インターネット アクセスを拒否するか、信頼できるサイト へのアクセスのみを許可する ACL を適用します。 ステップ 3 ブラウザベースの接続を確立した場合に開くページであるポータル ページの URL エントリをディセー ブルにし、ユーザ アクセスの混乱を防ぐことができます。これを実行するには、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] ウィンドウに移動 し、該当する DAP を選択し、[Edit] > [Functions] タブをクリックし、[URL entry] の横の [Disable] を クリックします。 ステップ 4 ユーザに、ポータル ページの上のネィティブ ブラウザ アドレス フィールドに外部 URL を入力するか、 個別のブラウザ ウィンドウを開いて外部サイトを参照するように指示します。 注意 ユーザはポータル ページ(手順 3 を実行していない場合のポータル ページ内のアドレス フィールドを含む)を使用して、https プレフィックスを表示する外部サイト(オンライン バンキング サイトなど)を参照することはできません。 クライアントレス SSL VPN でサポートされていない機能の概要 adaptive security appliance は、クライアントレス SSL VPN 接続で次の機能をサポートしていません。 • モジュラ ポリシー フレームワークの検査機能。コンフィギュレーション制御を検査する機能です。 • vpn-filter コマンドなどのフィルタ設定コマンドが持つ機能。 • NAT。グローバルに一意の IP アドレスの必要性を減らす機能です。 • PAT。複数の発信セッションが 1 つの IP アドレスから発信されているように見せることができる 機能です。 • QoS。police コマンドと priority-queue コマンドを使用してレートを制限する機能です。 • 接続制限。スタティックまたはモジュラ ポリシー フレームワークの set connection コマンドを使 用して、接続をチェックする機能です。 • established コマンド。このコマンドを使用すると、高セキュリティ ホストから低セキュリティ ホ ストへの接続が確立済みの場合に、低セキュリティ ホストから高セキュリティ ホストへのリター ン接続が可能になります。 中央サイトにアクセスするための SSL の使用 クライアントレス SSL VPN は SSL およびその後継である TLS1 を使用して、リモート ユーザと、中 央サイトにある特定のサポートされている内部リソースとの間で、セキュアな接続を提供します。この 項は、次の内容で構成されています。 • クライアントレス SSL VPN セッションでの HTTPS の使用 • クライアントレス SSL VPN と ASDM ポートの設定 • プロキシ サーバのサポートの設定 • SSL/TLS 暗号化プロトコルの設定 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-3 第 34 章 クライアントレス SSL VPN の設定 はじめに クライアントレス SSL VPN セッションでの HTTPS の使用 クライアントレス SSL VPN セッションの確立には次が必要です。 • ユーザの接続先の adaptive security appliance インターフェイス上でクライアントレス SSL VPN セッションをイネーブルにする。 • adaptive security appliance またはロードバランシング クラスタへのアクセスに HTTPS を使用す る。Web ブラウザには、adaptive security appliance の IP アドレスを https:// address 形式で入力し ます。address は adaptive security appliance インターフェイスの IP アドレスまたは DNS ホスト名 です。 インターフェイス上でクライアントレス SSL VPN セッションを許可するには、次の手順を実行しま す。 ステップ 1 グローバル コンフィギュレーション モードで webvpn コマンドを入力して、webvpn モードに入りま す。 ステップ 2 クライアントレス SSL VPN セッションに使用するインターフェイス名を指定して enable コマンドを 入力します。 たとえば、外部のインターフェイス上でクライアントレス SSL VPN セッションをイネーブルにするに は、次のように入力します。 hostname(config)# webvpn hostname(config-webvpn)# enable outside クライアントレス SSL VPN と ASDM ポートの設定 バージョン 8.0(2)から、adaptive security appliance はクライアントレス SSL VPN セッションと ASDM 管理セッションの両方を外部インターフェイスのポート 443 で同時にサポートしています。た だし、これらのアプリケーションを別々のインターフェイスに設定するオプションもあります。 クライアントレス SSL VPN の SSL リスニング ポートを変更するには、webvpn モードで port port_number コマンドを使用します。次の例では、外部インターフェイスのポート 444 でクライアン トレス SSL VPN をイネーブルにします。ASDM の HTTPS も外部インターフェイスで設定されてお り、デフォルト ポート(443)を使用します。このコンフィギュレーションでは、リモート ユーザは ブラウザに https://<outside_ip>:444 と入力して、クライアントレス SSL VPN セッションを開始しま す。 hostname(config)# http server enable hostname(config)# http 192.168.3.0 255.255.255.0 outside hostname(config)# webvpn hostname(config-webvpn)# port 444 hostname(config-webvpn)# enable outside ASDM のリスニング ポートを変更するには、特権 EXEC モードで、http server enable コマンドの port 引数を使用します。次の例では、HTTPS ASDM セッションが外部インターフェイスでポート 444 を使用するように指定しています。クライアントレス SSL VPN も外部インターフェイスでイネーブル にされており、デフォルト ポート(443)を使用します。このコンフィギュレーションでは、リモート ユーザは https://<outside_ip>:444 とブラウザで入力して、ASDM セッションを開始します。 hostname(config)# http server enable 444 hostname(config)# http 192.168.3.0 255.255.255.0 outside hostname(config)# webvpn hostname(config-webvpn)# enable outside Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-4 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 はじめに プロキシ サーバのサポートの設定 adaptive security appliance は HTTPS 接続を終了して、HTTP および HTTPS 要求をプロキシ サーバに 転送できます。これらのサーバは、ユーザとインターネットの仲介役として機能します。インターネッ ト アクセスが組織によって制御されているサーバを経由するように指定することで、別のフィルタリ ングが可能になり、セキュアなインターネット アクセスと管理制御が保証されます。 HTTP および HTTPS プロキシ サービスのサポートを設定する場合、プリセットされたクレデンシャル を割り当てて、基本認証に対する各要求と共に送信できます。さらに、HTTP および HTTPS 要求から 除外する URL を指定することもできます。 HTTP プロキシ サーバからダウンロードするようにプロキシ自動設定(PAC)ファイルを指定できま すが、PAC ファイルを指定した場合、プロキシ認証を使用しないことがあります。 adaptive security appliance で HTTP および HTTPS 要求の処理に外部プロキシ サーバを使うように設 定するには、webvpn モードで http-proxy および https-proxy コマンドを使用します。 • http-proxy host [port] [exclude url] [username username {password password}] • https-proxy host [port] [exclude url] [username username {password password}] • http-proxy pac url exclude:(オプション)プロキシ サーバに送信される可能性がある URL から除外する場合に、この キーワードを入力します。 host:外部プロキシ サーバのホスト名または IP アドレスを入力します。 pac:ブラウザにダウンロードするプロキシ自動設定ファイル。PAC ファイルはダウンロードされる と、JavaScript 機能を使用して、各 URL のプロキシを識別します。 password:(オプション、username を指定した場合にのみ使用可能)各プロキシ要求に、基本プロキ シ認証を提供するためのパスワードを含める場合にこのキーワードを入力します。 password:各 HTTP または HTTPS 要求と共に、プロキシ サーバに送信するパスワードを入力します。 port:(オプション)プロキシ サーバで使用するポート番号を入力します。デフォルトの HTTP ポート は 80 です。デフォルトの HTTPS ポートは 443 です。adaptive security appliance は、代替の値が指定 されていない場合に、これらの各ポートを使用します。この範囲は 1 ~ 65535 です。 url:exclude を入力した場合、プロキシ サーバに送信される可能性がある URL から除外する URL ま たはカンマで区切った複数の URL のリストを入力します。文字列の文字数の制限はありませんが、コ マンド全体が 512 文字を超えることはできません。リテラルな URL を指定するか、次のワイルドカー ドを使用できます。 • * はスラッシュ(/)とピリオド(.)を含む任意の文字列と一致します。このワイルドカードは英 数字の文字列とともに使用する必要があります。 • ? は、スラッシュやピリオドを含む任意の 1 文字と一致します。 • [x-y] は、x から y の範囲の任意の 1 文字と一致します。x は ANSI 文字セットの 1 文字を表し、y は別の文字を表します。 • [!x-y] は、指定範囲に含まれていない任意の 1 文字と一致します。 http-proxy pac を入力した場合、http:// に続けて、プロキシ自動設定ファイルの URL を入力します。 http:// 部分を省略した場合、CLI はコマンドを無視します。 username:(オプション)基本プロキシ認証のための各 HTTP プロキシ要求に、ユーザ名を含める場 合にこのキーワードを入力します。このキーワードは http-proxy host コマンドでのみサポートされて います。 username:各 HTTP または HTTPS 要求と共に、プロキシ サーバに送信するユーザ名を入力します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-5 第 34 章 クライアントレス SSL VPN の設定 はじめに adaptive security appliance クライアントレス SSL VPN コンフィギュレーションでは、それぞれ 1 つの http-proxy と 1 つの http-proxy コマンドのみをサポートします。たとえば、http-proxy コマンドの 1 つのインスタンスがすでに実行中のコンフィギュレーションに存在していて、別のコマンドを入力した 場合、CLI は前のインスタンスを上書きします。 次の例に、IP アドレスが 209.165.201.1 で、デフォルトのポートを使用し、各 HTTP 要求でユーザ名と パスワードを送信する HTTP プロキシ サーバの使用を設定する方法を示します。 hostname(config-webvpn)# http-proxy 209.165.201.1 jsmith password mysecretdonttell hostname(config-webvpn) 次の例は同じコマンドを示していますが、adaptive security appliance が HTTP 要求内で特定の URL、 www.example.com を受け取った場合に、それをプロキシ サーバに渡す代わりに要求を解決する点が異 なります。 hostname(config-webvpn)# http-proxy 209.165.201.1 exclude www.example.com username jsmith password mysecretdonttell hostname(config-webvpn) 次の例は、ブラウザにプロキシ自動設定ファイルとして使われる URL を指定する方法を示します。 hostname(config-webvpn)# http-proxy pac http://www.example.com/pac hostname(config-webvpn) SSL/TLS 暗号化プロトコルの設定 SSL/TLS 暗号化プロトコルを設定するときは、次のことに注意してください。 • 使用している adaptive security appliance とブラウザが、同じ SSL/TLS 暗号化プロトコルを利用し ていることを確認してください。 • 電子メール プロキシを設定する場合は、adaptive security appliance SSL バージョンを TLSv1 Only に設定しないでください。 MS Outlook と MS Outlook Express は TLS をサポートしていません。 • TCP ポート転送には Sun Microsystems Java Runtime Environment(JRE)バージョン 1.4.x およ び 1.5.x が必要です。クライアントレス SSL VPN のユーザが次のようないくつかの SSL バージョ ンと接続している場合に、ポート転送は機能しません。 Negotiate SSLv3 Java がダウンロードされる Negotiate SSLv3/TLSv1 Java がダウンロードされる Negotiate TLSv1 Java がダウンロードされない TLSv1Only Java がダウンロードされない SSLv3Only Java がダウンロードされない デジタル証明書による認証 SSL はデジタル証明書を使用して認証を行います。adaptive security appliance は、ブート時に自己署 名の SSL サーバ証明書を作成します。または、PKI コンテキストで発行された SSL 証明書を adaptive security appliance にインストールすることもできます。HTTPS の場合、この証明書をクライアントに インストールする必要があります。証明書のインストールは、特定の adaptive security appliance から 1 度だけ行います。 デジタル証明書によるユーザ認証には、次のような制限事項があります。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-6 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 はじめに • デジタル証明書を使用して認証を行うクライアントレス SSL VPN ユーザに対して、Application Access は機能しません。JRE には、Web ブラウザ キーストアにアクセスする機能はありません。 このため、JAVA はブラウザがユーザ認証に使用する証明書を使用できず、起動できません。 • 電子メールプロキシは、Netscape 7.x の電子メール クライアントの証明書認証だけをサポートしま す。MS Outlook、MS Outlook Express、Eudora など、他の電子メール クライアントは、証明書 ストアにアクセスできません。 デジタル証明書を使用する認証と認可の詳細については、 「証明書とユーザ ログイン クレデンシャルの 使用方法」(P.12-17)を参照してください。 クライアントレス SSL VPN 用のブラウザのクッキーのイネーブル化 クライアントレス SSL VPN が正しく動作するためには、ブラウザのクッキーが必要です。ブラウザで クッキーがディセーブルになっていると、Web ポータル ホームページからのリンクによって新しい ウィンドウが開き、ユーザはもう一度ログインするように要求されます。 パスワードの管理 オプションで、パスワードの期限切れが近づくとにエンド ユーザに警告するように adaptive security appliance を設定できます。これを設定するには、トンネルグループの一般アトリビュート モードで、 password-management コマンドを指定するか、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > [Add or Edit] > [Advanced] > [General] > [Password Management] で ASDM を使用して機能をイネーブルにします。 adaptive security appliance は RADIUS プロトコルと LDAP プロトコルのパスワード管理をサポートし ています。「password-expire-in-days」オプションは LDAP に対してのみサポートされています。 IPSec リモート アクセスおよび SSL VPN トンネルグループのパスワード管理を設定できます。 パスワード管理を設定すると、adaptive security appliance は、リモート ユーザのログイン時に、現在 のパスワードの期限切れが近づいているか、または期限が切れていることを通知します。次に、 adaptive security appliance からパスワード変更の機会がユーザに提供されます。現在のパスワードの 期限がまだ切れていない場合は、ユーザはこのパスワードで引き続きログインできます。 このコマンドはそのような通知をサポートしている AAA サーバに有効です。RADIUS 認証または LDAP 認証が設定されていない場合、adaptive security appliance はこのコマンドを無視します。 (注) MSCHAP をサポートしている一部の RADIUS サーバでは現在 MSCHAPv2 をサポートしていません。 このコマンドを使用するには MSCHAPv2 が必要であるため、ベンダーに確認してください。 adaptive security appliance のリリース 7.1 以降では、一般に LDAP または MS-CHAPv2 をサポートす る RADIUS コンフィギュレーションで認証するときに、次の接続タイプのパスワード管理をサポート しています。 • AnyConnect VPN Client • IPSec VPN クライアント • クライアントレス SSL VPN Kerberos/Active Directory(Windows パスワード)または NT 4.0 ドメインについては、これらの接続 タイプのいずれでも、パスワード管理はサポートされていません。 RADIUS サーバ(Cisco ACS など)は認証要求を別の認証サーバにプロキシする場合があります。た だし、adaptive security appliance からは、RADIUS サーバと通信しているように見えます。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-7 第 34 章 クライアントレス SSL VPN の設定 はじめに (注) LDAP の場合、パスワード変更の方法は、市場のさまざまな LDAP サーバ専用です。現在、adaptive security appliance が実装している専用のパスワード管理ロジックは、Microsoft Active Directory サー バおよび Sun LDAP サーバのみを対象にしています。 ネイティブ LDAP には SSL 接続が必要です。LDAP のパスワード管理を実行する前に、SSL を介した LDAP をイネーブルにする必要があります。デフォルトで LDAP はポート 636 を使用します。 (注) LDAP ディレクトリ サーバを認証用に使用している場合、パスワード管理は、Sun Microsystems JAVA System Directory Server(旧称 Sun ONE Directory Server)および Microsoft Active Directory 上でサポートされます。 Sun:Sun ディレクトリ サーバにアクセスするために adaptive security appliance に設定した DN は サーバのデフォルトのパスワード ポリシーにアクセスできる必要があります。ディレクトリ管理者ま たはディレクトリ管理者の特権のあるユーザを使用することをお勧めします。または、デフォルトのパ スワード ポリシーに ACI を設定します。 Microsoft:Microsoft Active Directory でパスワードを管理できるように SSL を介して LDAP を設定 する必要があります。 このコマンドはパスワードの期限切れまでの日数を変更するのではなく、adaptive security appliance がパスワードが期限切れになる何日前にユーザへの警告を開始するかが変更されるという点に注意して ください。 password-expire-in-days キーワードを指定する場合、日数も指定する必要があります。 日数を 0 にしてこのコマンドを指定すると、このコマンドはディセーブルになります。adaptive security appliance は、期限切れが迫っていることをユーザに通知しませんが、ユーザは期限が切れた 後にパスワードを変更できます。 次の例は、接続プロファイル「testgroup」についてパスワードの期限切れが迫っていることをユーザ に警告し始めるまでの日数を 90 日間に設定しています。 hostname(config)# tunnel-group testgroup type webvpn hostname(config)# tunnel-group testgroup general-attributes hostname(config-general)# password-management password-expire-in-days 90 クライアントレス SSL VPN でのシングル サインオンの使用 シングル サインオン サポートは、クライアントレス SSL VPN ユーザがパスワードを 1 回入力するだ けで複数の保護されたサービスや Web サーバにアクセスできるシステムです。一般に、SSO のメカニ ズムは、AAA プロセスの一部として開始されるか、または AAA サーバのユーザ認証に成功した直後 に開始されます。adaptive security appliance 上で実行されているクライアントレス SSL VPN サーバ は、認証サーバにアクセスするユーザのプロキシとして機能します。ユーザがログインすると、クライ アントレス SSL VPN サーバは HTTPS を使用して認証サーバに SSO 認証要求を送信します。要求には ユーザ名とパスワードが含まれます。サーバは認証要求を承認した場合、SSO 認証クッキーをクライ アントレス SSL VPN サーバに返します。adaptive security appliance は、ユーザの代理としてこのクッ キーを保持し、ユーザ認証でこのクッキーを使用して、SSO サーバで保護されているドメイン内部の Web サイトの安全を確保します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-8 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 はじめに この項では、クライアントレス SSL VPN でサポートされる 3 種類の SSO 認証方法について説明しま す。これらの認証方法には、HTTP Basic 認証と NTLMv1(NT LAN Manager)認証、Computer Associates の eTrust SiteMinder SSO サーバ(以前の Netegrity SiteMinder)、および Security Assertion Markup Language(SAML)のバージョン 1.1、POST タイプ SSO サーバ認証があります。 この項の内容は次のとおりです。 • HTTP Basic 認証または NTLM 認証による SSO の設定 • SiteMinder による SSO 認証の設定 • SAML Browser Post プロファイルを使用した SSO 認証の設定 • HTTP Form プロトコルを使用した SSO の設定 HTTP Basic 認証または NTLM 認証による SSO の設定 この項では、HTTP Basic 認証または NTLM 認証を使用するシングル サインオンについて説明します。 この方法のいずれかまたは両方を使用して SSO を実装するように adaptive security appliance を設定で きます。auto-signon コマンドを使用すると、adaptive security appliance はクライアントレス SSL VPN ユーザのログインのクレデンシャル(ユーザ名およびパスワード)を内部サーバに自動的に渡す ように設定されます。auto-signon コマンドは 2 回以上入力できます。コマンドを複数回入力すると、 adaptive security appliance は入力順(先に入力されたコマンドを優先)にこれらを処理します。IP ア ドレスと IP マスク、または URI マスクのいずれかを使用してログインのクレデンシャルを受信するよ うにサーバに指定します。 auto-signon コマンドは、webvpn コンフィギュレーション モード、webvpn グループポリシー モー ド、webvpn ユーザ名モードのすべてで使用できます。ユーザ名はグループより優先され、グループは グローバルより優先されます。モードは、次のように、必要な認証の範囲に応じて選択します。 モード 範囲 webvpn コンフィギュレー クライアントレス SSL VPN ユーザ全員に対するグローバルな範囲 ション webvpn グループポリシー コ ンフィギュレーション グループポリシーで定義されるクライアントレス SSL VPN ユーザの サブセット webvpn ユーザ名コンフィ ギュレーション クライアントレス SSL VPN の個々のユーザ 次の例では、モードと引数の組み合せが可能なさまざまなコマンドについて説明します。 すべてのユーザ、IP アドレス範囲、NTLM NTLM 認証を使用し、10.1.1.0 から 10.1.1.255 の IP アドレス範囲に存在するサーバに対するすべての クライアントレス SSL VPN のユーザからのアクセスに自動サインオンを設定するには、次のようなコ マンドを入力します。 hostname(config)# webvpn hostname(config-webvpn)# auto-signon allow ip 10.1.1.1 255.255.255.0 auth-type ntlm すべてのユーザ、URI 範囲、HTTP Basic 基本 HTTP 認証を使用するすべてのクライアントレス SSL VPN のユーザに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに自動サインオンを設定するには、次のよう なコマンドを入力します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-9 第 34 章 クライアントレス SSL VPN の設定 はじめに hostname(config)# webvpn hostname(config-webvpn)# auto-signon allow uri https://*.example.com/* auth-type basic グループ、URI 範囲、HTTP Basic および NTLM 基本認証または NTLM 認証を使用して、ExamplePolicy グループ ポリシーに関連付けられているクラ イアントレス SSL VPN セッションに対し、URI マスク https://*.example.com/* で定義されたサーバへ のアクセスに自動サインオンを設定するには、次のコマンドを入力します。 hostname(config)# group-policy ExamplePolicy attributes hostname(config-group-policy)# webvpn hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all 特定のユーザ、IP アドレス範囲、HTTP Basic NTTP Basic 認証を使用し、10.1.1.0 から 10.1.1.255 の IP アドレス範囲に存在するサーバに対する Anyuser と名付けられたユーザからのアクセスに自動サインオンを設定するには、次のようなコマンド を入力します。 hostname(config)# username Anyuser attributes hostname(config-username)# webvpn hostname(config-username-webvpn)# auto-signon allow ip 10.1.1.1 255.255.255.0 auth-type basic SiteMinder による SSO 認証の設定 ここでは、SiteMinder を使用して SSO をサポートするための adaptive security appliance の設定につい て説明します。ユーザの Web サイトのセキュリティ インフラストラクチャにすでに SiteMinder を組み 込んでいる場合は、SSO に SiteMinder を使用するのが普通です。この方式により、SSO 認証は AAA から切り離され、AAA プロセスが完了するとこの認証が 1 回実施されます。クライアントレス SSL VPN アクセス用にユーザまたはグループに SSO を設定する場合は、まず RADIUS サーバまたは LDAP サーバなどの AAA サーバを設定する必要があります。その後で、クライアントレス SSL VPN の SSO サポートをセットアップできます。この項の内容は次のとおりです。 • タスクの概要:SiteMinder による SSO の設定 • タスクの詳細:SiteMinder による SSO の設定 • シスコの認証スキームの SiteMinder への追加 タスクの概要:SiteMinder による SSO の設定 この項では、SiteMinder SSO を使用して SSO を設定するために必要なタスクの概要について説明しま す。必要なタスクは次のとおりです。 • SSO サーバの指定 • adaptive security appliance が SSO 認証要求を作成するための SSO サーバの URL の指定 • adaptive security appliance と SSO サーバとの間でセキュアな通信を確立するための秘密キーの指 定。このキーはパスワードのようなもので、ユーザが作成および保管し、Cisco Java プラグイン認 証スキームを使用して adaptive security appliance および SiteMinder Policy Server の両方で入力し ます。 オプションで、必須タスクに加えて、次のコンフィギュレーション タスクを実行できます。 • 認証要求のタイムアウトの設定 • 認証要求のリトライ回数の設定 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-10 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 はじめに これらのタスクの完了後、ユーザまたはグループポリシーに SSO サーバを割り当てます。 タスクの詳細:SiteMinder による SSO の設定 ここでは、CA SiteMinder による SSO 認証をサポートするための adaptive security appliance の特定の 設定手順について説明します。SiteMinder を使用して SSO を設定するには、次の手順を実行します。 ステップ 1 webvpn コンフィギュレーション モードで、次の sso-server コマンドと type オプションを入力して SSO サーバを作成します。たとえば、Example of type siteminder という名前の SSO サーバを作成する には、次のように入力します。 hostname(config)# webvpn hostname(config-webvpn)# sso-server Example type siteminder hostname(config-webvpn-sso-siteminder)# ステップ 2 webvpn-sso-siteminder コンフィギュレーション モードで次のように web-agent-url コマンドを入力し て SSO サーバの認証 URL を指定します。たとえば、http://www.Example.com/webvpn という URL に 認証要求を送信するには、次のように入力します。 hostname(config-webvpn-sso-siteminder)# web-agent-url http://www.Example.com/webvpn hostname(config-webvpn-sso-siteminder)# ステップ 3 adaptive security appliance と SiteMinder との間の認証通信をセキュアにする秘密キーを webvpn-sso-siteminder コンフィギュレーション モードで policy-server-secret コマンドを使用して指 定します。キーの長さは、標準またはシフト式英数字を使用した任意の文字長にできますが、adaptive security appliance と SSO サーバの両方で同じキーを使用する必要があります。 たとえば、AtaL8rD8! という秘密キーを作成するには、次のように入力します。 hostname(config-webvpn-sso-siteminder)# policy-server-secret AtaL8rD8! hostname(config-webvpn-sso-siteminder)# ステップ 4 また、オプションで、webvpn-sso-siteminder コンフィギュレーション モードから request-timeout コ マンドを使用すると、失敗した SSO 認証がタイムアウトを試行するまでの秒数を設定できます。デ フォルトの秒数は 5 秒で、1 秒から 30 秒までの範囲で指定できます。要求がタイムアウトするまでの 秒数を 8 に変更するには、次のように入力します。 hostname(config-webvpn-sso-siteminder)# request-timeout 8 hostname(config-webvpn-sso-siteminder)# ステップ 5 また、オプションで、webvpn-sso-siteminder コンフィギュレーション モードから max-retry-attempts コマンドを使用すると、adaptive security appliance がタイムアウトするまでに、 失敗した SSO 認証をリトライする回数を設定できます。デフォルトのリトライ回数は 3 で、1 回から 5 回までの範囲で指定できます。たとえば、リトライの回数を 4 に設定するには、次のように入力しま す。 hostname(config-webvpn-sso-siteminder)# max-retry-attempts 4 hostname(config-webvpn-sso-siteminder)# ステップ 6 SSO サーバの設定後、グループまたはユーザのいずれかに対して SSO 認証を指定する必要がありま す。グループに SSO を指定するには、group-policy-webvpn コンフィギュレーション モードで sso-server value コマンドを使用して SSO サーバをグループポリシーに割り当てます。ユーザに SSO を指定するには、同じ sso-server value コマンドを使用して SSO サーバをユーザに割り当てますが、 この場合は username-webvpn コンフィギュレーション モードで実行します。たとえば、Example とい う名前の SSO サーバをユーザ名 Anyuser に割り当てるには、次のように入力します。 hostname(config)# username Anyuser attributes hostname(config-username)# webvpn hostname(config-username-webvpn)# sso-server value Example hostname(config-username-webvpn)# Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-11 第 34 章 クライアントレス SSL VPN の設定 はじめに ステップ 7 最後に、特権 EXEC モードで、test sso-server コマンドを使用すると SSO サーバの設定をテストでき ます。たとえば、Example という名前の SSO サーバをユーザ名 Anyuser でテストするには、次のよう に入力します。 hostname# test sso-server Example username Anyuser INFO: Attempting authentication request to sso-server Example for user Anyuser INFO: STATUS: Success hostname# シスコの認証スキームの SiteMinder への追加 SiteMinder による SSO を使用するための adaptive security appliance の設定に加え、シスコの Web サ イトからダウンロードする Java プラグインとして提供されているシスコの認証スキームを使用するよ うにユーザの CA SiteMinder Policy Server を設定する必要もあります。 (注) SiteMinder Policy Server を正しく設定するには、SiteMinder の経験が必要です。この項では、手順の すべてではなく、一般的なタスクを取り上げます。 ユーザの SiteMinder Policy Server にシスコの認証スキームを設定するには、次のタスクを実行します。 ステップ 1 SiteMinder Administration ユーティリティを使用して、次の特定の引数を使用できるようにカスタム 認証スキームを作成します。 • [Library] フィールドに、smjavaapi と入力します。 • [Secret] フィールドに、adaptive security appliance に設定したものと同じ秘密キーを入力します。 コマンド ライン インターフェイスで policy-server-secret コマンドを使用して、adaptive security appliance に秘密キーを設定します。 • [Parameter] フィールドに、CiscoAuthAPI と入力します。 ステップ 2 Cisco.com のログインを使用して cisco_vpn_auth.jar ファイルを http://www.cisco.com/cgi-bin/tablebuild.pl/asa からダウンロードし、SiteMinder サーバのデフォルト のライブラリ ディレクトリにコピーします。この .jar ファイルは Cisco adaptive security appliance CD でも入手できます。 SAML Browser Post プロファイルを使用した SSO 認証の設定 ここでは、認可済みのユーザに対し、Security Assertion Markup Language(SAML)バージョン 1.1 POST プロファイル シングル サインオン(SSO)をサポートするための adaptive security appliance の 設定について説明します。SAML SSO はクライアントレス SSL VPN セッションに対してのみサポー トされています。この項の内容は次のとおりです。 • タスクの概要:SAML Post プロファイルによる SSO の設定 • タスクの詳細:SAML Post プロファイルによる SSO の設定 • SSO サーバの設定 セッションの開始後、adaptive security appliance は設定済みの AAA 方式に対して、ユーザを認証しま す。次に、adaptive security appliance(アサーティング パーティ)は、SAML サーバによって提供さ れたコンシューマ URL サービスのリライング パーティに対してアサーションを生成します。SAML の交換が成功すると、ユーザは保護されたリソースへのアクセスが許可されます。図 34-1 に通信フ ローを示します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-12 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 はじめに SAML の通信フロー ࡙ࠩ ࡠࠣࠗࡦ ࡙ࠩ ࡉ࠙ࠩ ࠠࡘ࠹ࠖ ࠕࡊࠤ࡚ࠪࡦ ࠕࡊࠤ࡚ࠪࡦ߳ ࠕࠢࠬ (注) SAML SSO ࠕࠨ࡚ࠪࡦ ࠕࡊࠤ࡚ࠪࡦ ࡐ࠲࡞ ⼔ߐࠇߚ SAML ࠨࡃ ࠰ࠬ URL 㧔Web ࠛࠫࠚࡦ࠻㧕 㧔ࠢ࠶ࠠઃ߈㧕߳ߩ ࠳࡚ࠗࠢࠪࡦ 250105 図 34-1 SAML Browser Artifact プロファイル方式のアサーション交換はサポートされていません。 タスクの概要:SAML Post プロファイルによる SSO の設定 この項では、SAML Browser Post プロファイルを使用して SSO を設定するために必要なタスクの概要 について説明します。必要なタスクは次のとおりです。 • sso-server コマンドを使用して、SSO サーバを指定します。 • 認証要求のための SSO サーバの URL を指定します(assertion-consumer-url コマンド)。 • 認証要求を発行するコンポーネントとして adaptive security appliance ホスト名を指定します (issuer コマンド) • SAML Post プロファイル アサーションの署名に使用するトラストポイント 証明書を指定します (trustpoint コマンド)。 オプションで、これらの必須タスクに加えて、次のような設定タスクを行うことができます。 • 認証要求のタイムアウトを設定します(request-timeout コマンド)。 • 認証要求のリトライ回数を設定します(max-retry-attempts コマンド)。 コンフィギュレーション タスクが完了したら、SSO サーバをユーザまたはグループ ポリシーに割り当 てます。 タスクの詳細:SAML Post プロファイルによる SSO の設定 ここでは、SAML Post プロファイルによる SSO 認証をサポートするための adaptive security appliance の特定の設定手順について説明します。SAML-V1.1-POST を使用して SSO を設定するには、次の手 順を実行します。 ステップ 1 webvpn コンフィギュレーション モードで、次の sso-server コマンドと type オプションを入力して SSO サーバを作成します。たとえば、Sample of type SAML-V1.1-POST という名前の SSO サーバを 作成するには、次のように入力します。 hostname(config)# webvpn hostname(config-webvpn)# sso-server sample type SAML-V1.1-post hostname(config-webvpn-sso-saml)# (注) adaptive security appliance では現在、SAML SSO サーバの Browser Post プロファイル タイプのみを サポートしています。 ステップ 2 webvpn-sso-saml コンフィギュレーション モードで次のように assertion-consumer-url コマンドを入 力して SSO サーバの認証 URL を指定します。たとえば、http://www.Example.com/webvpn という URL に認証要求を送信するには、次のように入力します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-13 第 34 章 クライアントレス SSL VPN の設定 はじめに hostname(config-webvpn-sso-saml)# assertion-consumer-url http://www.sample.com/webvpn hostname(config-webvpn-sso-saml)# ステップ 3 セキュリティ アプライアンスでアサーションを生成する場合は、adaptive security appliance 自体を識 別する一意の文字列を指定します。通常、この issuer 名は、次のような adaptive security appliance の ホスト名になります。 hostname(config-webvpn-sso-saml)# issuer myasa hostname(config-webvpn-sso-saml)# ステップ 4 trust-point コマンドでアサーションに署名するための ID 証明書を指定します。次に例を示します。 hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes hostname(config-tunnel-ipsec)# trust-point mytrustpoint また、オプションで、webvpn-sso-saml コンフィギュレーション モードから request-timeout コマン ドを使用すると、失敗した SSO 認証がタイムアウトを試行するまでの秒数を設定できます。デフォル トの秒数は 5 秒で、1 秒から 30 秒までの範囲で指定できます。要求がタイムアウトするまでの秒数を 8 に変更するには、次のように入力します。 hostname(config-webvpn-sso-saml)# request-timeout 8 hostname(config-webvpn-sso-saml)# ステップ 5 また、オプションで、webvpn-sso-saml コンフィギュレーション モードから max-retry-attempts コマ ンドを使用すると、adaptive security appliance がタイムアウトするまでに、失敗した SSO 認証をリト ライする回数を設定できます。デフォルトのリトライ回数は 3 で、1 回から 5 回までの範囲で指定でき ます。たとえば、リトライの回数を 4 に設定するには、次のように入力します。 hostname(config-webvpn-sso-saml)# max-retry-attempts 4 hostname(config-webvpn-sso-saml)# ステップ 6 SSO サーバの設定後、グループまたはユーザのいずれかに対して SSO 認証を指定する必要がありま す。グループに SSO を指定するには、group-policy-webvpn コンフィギュレーション モードで sso-server value コマンドを使用して SSO サーバをグループポリシーに割り当てます。ユーザに SSO を指定するには、同じ sso-server value コマンドを使用して SSO サーバをユーザに割り当てますが、 この場合は username-webvpn コンフィギュレーション モードで実行します。たとえば、Example とい う名前の SSO サーバをユーザ名 Anyuser に割り当てるには、次のように入力します。 hostname(config)# username Anyuser attributes hostname(config-username)# webvpn hostname(config-username-webvpn)# sso-server value sample hostname(config-username-webvpn)# ステップ 7 最後に、特権 EXEC モードで、test sso-server コマンドを使用すると SSO サーバの設定をテストでき ます。たとえば、Example という SSO サーバをユーザ名 Anyuser でテストするには、次のように入力 します。 hostname# test sso-server Example username Anyuser INFO: Attempting authentication request to sso-server sample for user Anyuser INFO: STATUS: Success SSO サーバの設定 サーバ ソフトウェア ベンダーから提供された SAML サーバのマニュアルを使用して、Relying Party モードで SAML サーバを設定します。次の手順に、Browser Post プロファイルに SAML サーバを設定 するために必要な特定のパラメータを示します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-14 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 はじめに ステップ 1 アサーティング パーティ(adaptive security appliance)を表す SAML サーバ パラメータを設定しま す。 • Recipient consumer url(ASA で設定する assertion consumer url と同じ) • Issuer ID(通常はアプライアンスのホスト名である文字列) • Profile type:Browser Post Profile ステップ 2 証明書を設定します。 ステップ 3 アサーティング パーティのアサーションに署名が必要なことを指定します。 ステップ 4 SAML サーバがユーザを特定する方法を選択します。 • Subject Name Type が DN • Subject Name format が uid=<user> HTTP Form プロトコルを使用した SSO の設定 この項では、SSO における HTTP Form プロトコルの使用方法について説明します。HTTP Form プロ トコルは SSO 認証を実行するための一般的な手段で、AAA 方式としても使用できます。このプロトコ ルは、クライアントレス SSL VPN のユーザおよび認証を行う Web サーバの間で認証情報を交換する セキュアな方法を提供します。HTTP Form は一般的なプロトコルとして、Web サーバや Web ベース の SSO 製品との高度な互換性を持ち、RADIUS サーバや LDAP サーバなど他の AAA サーバと共に使 用できます。 (注) HTTP プロトコルを使用して SSO を正しく設定するには、認証および HTTP プロトコル交換に関する 実用的な知識が必要です。 adaptive security appliance は、ここでも認証 Web サーバに対するクライアントレス SSL VPN のユー ザのプロキシとして動作しますが、この場合は、要求に対して HTTP Form プロトコルと POST 方式を 使用します。フォーム データを送受信するように adaptive security appliance を設定する必要がありま す。図 34-2 に、次の SSO 認証手順を示します。 1. 最初に、クライアントレス SSL VPN のユーザは、ユーザ名とパスワードを入力して adaptive security appliance 上のクライアントレス SSL VPN サーバにログインします。 2. ユーザのプロキシとして動作するクライアントレス SSL VPN サーバは、このフォーム データ (ユーザ名およびパスワード)を、POST 認証要求によって認証する Web サーバに転送します。 3. 認証する Web サーバがユーザのデータを承認した場合は、ユーザの代行で保管していた認証クッ キーをクライアントレス SSL VPN サーバに戻します。 4. クライアントレス SSL VPN サーバはユーザまでのトンネル接続を確立します。 5. これでユーザは、ユーザ名やパスワードを再入力しなくても、保護された SSO 環境内の他の Web サイトにアクセスできるようになります。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-15 第 34 章 クライアントレス SSL VPN の設定 はじめに HTTP Form による SSO 認証 2 1 3 4 5 ࠻ࡦࡀ࡞ Web VPN ࠨࡃ ⸽ Web ࠨࡃ 5 ߘߩઁߩ⼔ߐࠇߚ Web ࠨࡃ 148147 図 34-2 adaptive security appliance でユーザ名やパスワードなどの POST データを含めるようにするフォーム パラメータを設定するときに、Web サーバが追加的に要求する非表示パラメータの中には、ユーザ側 で当初認識できないものがある場合があります。認証アプリケーションによっては、ユーザ側に表示さ れず、ユーザが入力もしない非表示データを要求する場合があります。しかし、認証 Web サーバが要 求する非表示パラメータを見つけることは可能です。これは、adaptive security appliance を仲介役の プロキシとして使用せずに、ユーザのブラウザから Web サーバに直接認証要求を出す方法で行います。 HTTP ヘッダー アナライザを使用して Web サーバの応答を分析すると、非表示パラメータが次のよう な形式で表示されます。 <param name>=<URL encoded value>&<param name>=<URL encoded> 非表示パラメータには、必須のパラメータとオプションのパラメータとがあります。Web サーバが非 表示パラメータのデータを要求した場合は、そのデータを省略するすべての認証 POST 要求を拒否し ます。非表示パラメータが必須かオプションかについてはヘッダー アナライザではわからないので、 必須であることが判別できるまではすべての非表示パラメータを含めることを推奨します。 この項の内容は次のとおりです。 • HTTP Form データの収集 • タスクの概要:HTTP Form プロトコルによる SSO の設定 • タスクの詳細:HTTP Form プロトコルによる SSO の設定 HTTP Form データの収集 この項では、必要な HTTP Form データを検出および収集する手順を示します。認証 Web サーバが要 求するパラメータが何かわからない場合は、次の手順を実行して認証交換を分析するとパラメータ データを収集できます。 (注) これらの手順では、ブラウザと HTTP ヘッダー アナライザが必要です。 ステップ 1 ユーザのブラウザと HTTP ヘッダー アナライザを起動して、adaptive security appliance を経由せずに Web サーバのログイン ページに直接接続します。 ステップ 2 Web サーバのログイン ページがユーザのブラウザにロードされてから、ログイン シーケンスを検証し て交換時にクッキーが設定されているかどうか判別します。Web サーバによってログイン ページに クッキーがロードされている場合は、このログイン ページの URL を start-URL として設定します。 ステップ 3 Web サーバにログインするためのユーザ名とパスワードを入力して、Enter キーを押します。この動作 によって、ユーザが検証する認証 POST 要求が HTTP ヘッダー アナライザで生成されます。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-16 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 はじめに 次に、ホストの HTTP ヘッダーおよび本文が記載された POST 要求の例を示します。 POST /emco/myemco/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000430e1-7443-125c-ac05-83 846dc90034&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2b J0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F HTTP/1.1 Host: www.example.com (BODY) SMENC=ISO-8859-1&SMLOCALE=US-EN&USERID=Anyuser&USER_PASSWORD=XXXXXX&target=https%3A%2F%2Fw ww.example.com%2Femco%2Fmyemco%2F&smauthreason=0 ステップ 4 POST 要求を検証してプロトコル、ホストをコピーし、URL を入力して、action-uri パラメータを設定 します。 ステップ 5 POST 要求の本文を検証して、次の情報をコピーします。 a. ユーザ名パラメータ。上記の例では、このパラメータは USERID で、値は anyuser ではありませ ん。 b. パスワード パラメータ。上記の例では、このパラメータは USER_PASSWORD です。 c. 非表示パラメータ。このパラメータは、POST 本文からユーザ名パラメータとパスワード パラメー タを除くすべてです。上記の例で言うと、非表示パラメータは、 SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Fe mco%2Fmyemco%2F&smauthreason=0 の部分です。 図 34-3 に、HTTP アナライザの出力例に表示される action URI、非表示データ、ユーザ名、パスワー ドの各種パラメータを示します。これは一例です。出力は Web サイトによって大きく異なります。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-17 第 34 章 クライアントレス SSL VPN の設定 はじめに 図 34-3 action-uri、非表示、ユーザ名、パスワードの各種パラメータ 1 2 3 1 148849 2 3 ステップ 6 1 action URI パラメータ 2 非表示パラメータ 3 ユーザ名パラメータとパスワード パラメータ Web サーバへのログインが成功したら、HTTP ヘッダー アナライザを使用して、サーバからユーザの ブラウザ内に設定されているセッションのクッキー名を見つけ出すことによって、サーバの応答を検証 します。ここで auth-cookie-name パラメータを使用します。 次のサーバ応答ヘッダーでは、SMSESSION がセッションのクッキーの名前です。必要なのはこの名 前だけです。値は不要です。 Set-Cookie: SMSESSION=yN4Yp5hHVNDgs4FT8dn7+Rwev41hsE49XlKc+1twie0gqnjbhkTkUnR8XWP3hvDH6PZPbHIHtWLDKTa8 ngDB/lbYTjIxrbDx8WPWwaG3CxVa3adOxHFR8yjD55GevK3ZF4ujgU1lhO6fta0dSSOSepWvnsCb7IFxCw+MGiw0o8 8uHa2t4l+SillqfJvcpuXfiIAO06D/gtDF40Ow5YKHEl2KhDEvv+yQzxwfEz2cl7Ef5iMr8LgGcDK7qvMcvrgUqx68 JQOK2+RSwtHQ15bCZmsDU5vQVCvSQWC8OMHNGwpS253XwRLvd/h6S/tM0k98QMv+i3N8oOdj1V7flBqecH7+kVrU01 F6oFzr0zM1kMyLr5HhlVDh7B0k9wp0dUFZiAzaf43jupD5f6CEkuLeudYW1xgNzsR8eqtPK6t1gFJyOn0s7QdNQ7q9 knsPJsekRAH9hrLBhWBLTU/3B1QS94wEGD2YTuiW36TiP14hYwOlCAYRj2/bY3+lYzVu7EmzMQ+UefYxh4cF2gYD8R ZL2RwmP9JV5l48I3XBFPNUw/3V5jf7nRuLr/CdfK3OO8+Pa3V6/nNhokErSgyxjzMd88DVzM41LxxaUDhbcmkoHT9I mzBvKzJX0J+o7FoUDFOxEdIqlAN4GNqk49cpi2sXDbIarALp6Bl3+tbB4MlHGH+0CPscZXqoi/kon9YmGauHyRs+0m Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-18 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 はじめに 6wthdlAmCnvlJCDfDoXtn8DpabgiW6VDTrvl3SGPyQtUv7Wdahuq5SxbUzjY2JxQnrUtwB977NCzYu2sOtN+dsEReW J6ueyJBbMzKyzUB4L3i5uSYN50B4PCv1w5KdRKa5p3N0Nfq6RM6dfipMEJw0Ny1sZ7ohz3fbvQ/YZ7lw/k7ods/8Vb aR15ivkE8dSCzuf/AInHtCzuQ6wApzEp9CUoG8/dapWriHjNoi4llJOgCst33wEhxFxcWy2UWxs4EZSjsI5GyBnefS QTPVfma5dc/emWor9vWr0HnTQaHP5rg5dTNqunkDEdMIHfbeP3F90cZejVzihM6igiS6P/CEJAjE;Domain=.examp le.com;Path=/ 図 34-4 に、HTTP アナライザによる認可クッキーの出力例を示します。これは一例です。出力は Web サイトによって大きく異なります。 図 34-4 HTTP アナライザの出力例に表示された認可クッキー 148848 1 1 1 ステップ 7 認可クッキー この場合は、認証の成否に関わらず同じクッキーがサーバによって設定される可能性があり、このよう なクッキーは SSO の目的上、認められません。クッキーが異なっていることを確認するには、無効な 「失敗した」クッキーと「成功した」クッキーとをステップ 1 か ログイン クレデンシャルを使用して、 らステップ 6 を繰り返して比較します。 これで、HTTP Form プロトコルによる SSO を adaptive security appliance に設定するために必要なパ ラメータ データを入手できました。 タスクの概要:HTTP Form プロトコルによる SSO の設定 この項では、HTTP Form プロトコルを使用した SSO の設定の概要について説明します。HTTP によっ て SSO をイネーブルにするには、次のタスクを実行します。 • フォーム データ(action-uri)を受信および処理するために、認証 Web サーバの Uniform Resource Identifier(URI; ユニフォーム リソース識別子)を設定する。 • ユーザ名パラメータ(user-parameter)を設定する。 • ユーザ パスワード パラメータ(password-parameter)を設定する。 認証 Web サーバの要件によっては次のタスクが必要になる場合もあります。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-19 第 34 章 クライアントレス SSL VPN の設定 はじめに • 認証ウェブサーバがログイン前のクッキー交換を必要とする場合は、開始 URL(start-url)を設 定する。 • 認証 Web サーバが要求する任意の非表示認証パラメータ(hidden-parameter)を設定する。 • 認証 Web サーバによって設定される認証クッキーの名前(auth-cookie-name)を設定する。 タスクの詳細:HTTP Form プロトコルによる SSO の設定 この項では、HTTP Form プロトコルを使用した SSO を設定するために必要な詳細タスクを取り上げま す。adaptive security appliance が HTTP Form プロトコルを使用した SSO を実行するように設定する には、次の手順を実行します。 ステップ 1 認証 Web サーバが要求する場合は、aaa-server-host コンフィギュレーション モードで start-url コマ ンドを入力して、認証 Web サーバから事前ログイン クッキーを取得するための URL を指定します。 たとえば、http://example.com/east/Area.do?Page-Grp1 の URL 認証 Web サーバを、IP アドレス 10.0.0.2 の testgrp1 サーバ グループに指定するには、次のように入力します。 hostname(config)# aaa-server testgrp1 host 10.0.0.2 hostname(config-aaa-server-host)# start-url http://example.com/east/Area.do?Page-Grp1 hostname(config-aaa-server-host)# ステップ 2 認証 Web サーバに認証プログラム用の URI を指定するには、aaa-server- host コンフィギュレーション モードで action-uri コマンドを入力します。1 つの URI を連続する複数行にわたって入力できます。1 行あたりの最大文字数は 255 です。URI 全体の最大文字数は 2048 です。action URI の出力例は次のと おりです。 http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REAL MOID=06-000a1311-a828-1185-ab41-8333b16a0008&GUID=&SMAUTHREASON=0&METHOD=G ET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2Pxk HqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com この action URI を指定するには、次のコマンドを入力します。 hostname(config-aaa-server-host)# hostname(config-aaa-server-host)# hostname(config-aaa-server-host)# hostname(config-aaa-server-host)# hostname(config-aaa-server-host)# hostname(config-aaa-server-host)# hostname(config-aaa-server-host)# hostname(config-aaa-server-host)# hostname(config-aaa-server-host)# (注) ステップ 3 action-uri action-uri action-uri action-uri action-uri action-uri action-uri action-uri http://www.example.com/auth/index.htm l/appdir/authc/forms/MCOlogin.fcc?TYP 554433&REALMOID=06-000a1311-a828-1185 -ab41-8333b16a0008&GUID=&SMAUTHREASON =0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk 3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6r B1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F %2Fauth.example.com action URI には、ホスト名およびプロトコルを含めることができます。上記の例では、これら は、http://www.example.com の URI の最初に表示されます。 HTTP POST 要求のユーザ名パラメータを設定するには、aaa-server-host コンフィギュレーション モー ドで、user-parameter コマンドを入力します。たとえば、次のようにコマンドを入力すると、ユーザ 名パラメータ userid が設定されます。 hostname(config-aaa-server-host)# user-parameter userid hostname(config-aaa-server-host)# ステップ 4 HTTP POST 要求のユーザ パスワード パラメータを設定するには、aaa-server-host コンフィギュレー ション モードで、password-parameter コマンドを入力します。たとえば、次のようにコマンドを入 力すると、ユーザ パスワード パラメータ名として user_password が設定されます。 hostname(config-aaa-server-host)# password-parameter user_password hostname(config-aaa-server-host)# Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-20 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN リソースの作成と適用 ステップ 5 認証 Web サーバと交換する非表示パラメータを指定するには、aaa-server-host コンフィギュレーショ ン モードで、hidden-parameter コマンドを入力します。次に、POST 要求から抜粋した非表示パラ メータの例を示します。 SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco %2Fappdir%2FAreaRoot.do%3FEMCOPageCode%3DENG&smauthreason=0 この非表示パラメータには、間を & で区切った 4 つの Form エントリとその値が含まれています。4 つ のエントリとその値は次のとおりです。 • SMENC エントリおよび値 ISO-8859-1 • SMLOCALE エントリおよび値 US-EN • target エントリおよび値 https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do • %3FEMCOPageCode%3DENG • smauthreason エントリおよび値 0 この非表示パラメータを指定するには、次のコマンドを入力します。 hostname(config)# aaa-server testgrp1 host example.com hostname(config-aaa-server-host)# hidden-parameter SMENC=ISO-8859-1&SMLOCALE=US-EN&targe hostname(config-aaa-server-host)# hidden-parameter t=https%3A%2F%2Fwww.example.com%2Femc hostname(config-aaa-server-host)# hidden-parameter o%2Fappdir%2FAreaRoot.do%3FEMCOPageCo hostname(config-aaa-server-host)# hidden-parameter de%3DENG&smauthreason=0 hostname(config-aaa-server-host)# ステップ 6 認証クッキーの名前を指定するには、aaa-server-host コンフィギュレーション モードで、 auth-cookie-name コマンドを入力します。このコマンドをはオプションです。次に、SsoAuthCookie という名前の認証クッキーを指定する例を示します。 hostname(config-aaa-server-host)# auth-cookie-name SsoAuthCookie hostname(config-aaa-server-host)# デジタル証明書による認証 デジタル証明書を使用して認証を行うクライアントレス SSL VPN ユーザは、グローバルな認証と認可 の設定を使用しません。その代わり、証明書の検証が完了すると、ユーザは認可サーバを使用して認証 します。デジタル証明書を使用する認証と認可の詳細については、 「証明書とユーザ ログイン クレデン シャルの使用方法」(P.12-17)を参照してください。 クライアントレス SSL VPN リソースの作成と適用 中央にあるリソースへのアクセスを制御するクライアントレス SSL VPN のポリシーを作成および適用 するには、次の作業を実行します。 • グループポリシーへのユーザの割り当て 第 28 章「接続プロファイル、グループ ポリシー、およびユーザの設定」では、これらのタスクについ て詳細な手順で説明しています。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-21 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN の接続プロファイルのアトリビュートの設定 グループポリシーへのユーザの割り当て ユーザをグループポリシーに割り当てると、複数のユーザにポリシーを適用することで設定が容易にな ります。ユーザをグループポリシーに割り当てるには、内部の認証サーバまたは RADIUS サーバを使 用できます。グループポリシーを使用して設定を簡略化する説明の詳細については、第 28 章「接続プ ロファイル、グループ ポリシー、およびユーザの設定」を参照してください。 セキュリティ アプライアンス認証サーバを使用する adaptive security appliance の内部認証サーバでユーザを認証するように設定し、これらのユーザを adaptive security appliance 上でグループポリシーに割り当てることもできます。 RADIUS サーバを使用する RADIUS サーバをユーザ認証に使用する場合は、次の手順を実行して、ユーザをグループポリシーに 割り当てます。 ステップ 1 RADIUS でユーザ認証を行い、Class アトリビュートを使用してそのユーザを特定のグループポリシー に割り当てます。 ステップ 2 OU=group_name 形式で Class アトリビュートをグループポリシー名に設定します。 たとえば、クライアントレス SSL VPN ユーザを SSL_VPN グループに割り当てるには、RADIUS Class アトリビュートを OU=SSL_VPN;(セミコロンは省略不可)の値に設定します。 クライアントレス SSL VPN の接続プロファイルのアトリ ビュートの設定 表 34-1 は、クライアントレス SSL VPN に固有の接続プロファイルのアトリビュートのリストです。 これらのアトリビュートに加えて、すべての VPN 接続に共通する一般的な接続プロファイルのアトリ ビュートを設定します。接続プロファイルの設定の手順については、「クライアントレス SSL VPN セッション用接続プロファイルの設定」(P.28-20)を参照してください。 (注) 以前のリリースでは、「接続プロファイル」は「トンネル グループ」と呼ばれていました。接続プロ ファイルは tunnel-group コマンドを使用して設定します。この章では、この 2 つの用語をしばしば同 じ意味で使用しています。 表 34-1 クライアントレス SSL VPN の接続プロファイルのアトリビュート コマンド 機能 authentication 認証方式を設定します。 customization 以前に定義した、適用対象のカスタマイゼーションの名前を指定します。 nbns-server CIFS 名前解決用の NetBIOS ネーム サービス サーバの名前(nbns-server) を指定します。 group-alias サーバが接続プロファイルの参照に使用できる代替名を指定します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-22 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュートの設定 表 34-1 クライアントレス SSL VPN の接続プロファイルのアトリビュート (続き) コマンド 機能 group-url 1 つ以上のグループの URL を指定します。このアトリビュートを設定する と、指定した URL に着信するユーザはログイン時にグループを選択する必 要がありません dns-group DNS サーバ名、ドメイン名、ネーム サーバ、リトライの回数、およびタイ ムアウト値を指定する DNS サーバ グループを指定します。 hic-fail-group-policy Cisco Secure Desktop Manager を使用してグループベースのポリシー アトリ ビュートを「Use Failure Group-Policy 」または「Use Success Group-Policy, if criteria match」に設定する場合の VPN フィーチャ ポリシーを指定します。 override-svc-downlo リモート ユーザに AnyConnect VPN クライアントをダウンロードするため ad に設定された、グループ ポリシーまたはユーザ名のアトリビュートのダウン ロードを上書きします。 radius-reject-message 認証が拒否されたときに、ログイン画面に RADIUS 拒否メッセージを表示し ます。 クライアントレス SSL VPN のグループポリシー アトリ ビュートとユーザ アトリビュートの設定 表 34-2 に、クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュート のリストを示します。グループポリシーとユーザ アトリビュートの詳細な手順については、「グループ ポリシーの設定」(P.28-40)と「特定ユーザのアトリビュートの設定」(P.28-79)を参照してください。 . 表 34-2 クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュート コマンド 機能 activex-relay クライアントレス SSL VPN セッションを確立したユーザが、ブラウザを使 用して Microsoft Office アプリケーションを起動できます。このアプリケー ションは、セッションを使用して Microsoft Office ドキュメントのダウン ロードやアップロードを行います。ActiveX リレーはクライアントレス SSL VPN セッションを閉じるまで有効です。 auto-signon 自動サインオンの値を設定します。設定ではクライアントレス SSL VPN へ の初回の接続のみユーザ名およびパスワードのクレデンシャルが必要です。 customization カスタマイゼーション オブジェクトをグループポリシーまたはユーザに割り 当てます。 deny-message クライアントレス SSL VPN へのログインに成功したが VPN 特権を持たない リモート ユーザに送信されるメッセージを指定します。 file-browsing ファイル サーバとファイル共有の CIFS ファイル ブラウジングをイネーブル にします。ブラウジングには NBNS が必要です(マスター ブラウザまたは WINS)。 file-entry ユーザに、アクセスするファイル サーバ名を許可します。 filter webtype アクセス リストの名前を設定します。 hidden-shares 非表示の CIFS 共有ファイルの可視性を制御します。 homepage ログイン時に表示される Web ページの URL を設定します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-23 第 34 章 クライアントレス SSL VPN の設定 クライアント / サーバ プラグインへのブラウザ アクセスの設定 表 34-2 クライアントレス SSL VPN のグループポリシー アトリビュートとユーザ アトリビュート (続き) コマンド 機能 html-content-filter このグループポリシー用の HTML からフィルタリングするコンテンツとオブ ジェクトを設定します。 http-comp 圧縮を設定します。 http-proxy HTTP 要求の処理に外部プロキシ サーバを使用するように adaptive security appliance を設定します。 keep-alive-ignore セッション タイマーのアップデートを無視する最大オブジェクト サイズを設 定します。 port-forward 転送するクライアントレス SSL VPN TCP ポートのリストを適用します。ユー ザ インターフェイスにこのリスト上のアプリケーションが表示されます。 post-max-size ポストするオブジェクトの最大サイズを設定します。 smart-tunnel スマート トンネルを使用するプログラムのリストを設定します。 sso-server SSO サーバの名前を設定します。 storage-objects セッション間に保存されたデータのストレージ オブジェクトを設定します。 svc SSL VPN クライアントのアトリビュートを設定します。 unix-auth-gid UNIX グループ ID を設定します。 unix-auth-uid UNIX ユーザ ID を設定します。 upload-max-size アップロードするオブジェクトの最大サイズを設定します。 url-entry ユーザが HTTP/HTTP URL を入力する機能を制御します。 url-list エンド ユーザのアクセス用にクライアントレス SSL VPN のポータル ページ に表示されるサーバと URL のリストを適用します。 user-storage セッション間のユーザ データを保存する場所を設定します。 クライアント / サーバ プラグインへのブラウザ アクセスの設 定 次の項では、クライアントレス SSL VPN のブラウザ アクセス用のブラウザ プラグインの統合につい て説明します。 • 「ブラウザ プラグインのインストールについて」(P.34-24) • 「プラグインのためのセキュリティ アプライアンスの準備」(P.34-26) • 「シスコが再配布しているプラグインへのアクセスの提供」(P.34-26) • 「シスコが再配布していないプラグイン(Citrix Java Presentation Server Client プラグインなど) へのアクセスの提供」(P.34-29) • 「セキュリティ アプライアンスにインストールされているプラグインの表示」(P.34-30) ブラウザ プラグインのインストールについて ブラウザ プラグインは、ブラウザ ウィンドウ内でクライアントをサーバに接続するなどの、専用の機 能を実行するために Web ブラウザから起動される独立したプログラムです。adaptive security appliance を使用すると、クライアントレス SSL VPN セッション中に、リモート ブラウザにダウン Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-24 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアント / サーバ プラグインへのブラウザ アクセスの設定 ロードするプラグインをインポートできます。シスコでは再配布するプラグインのテストを行ってお り、場合によっては、再配布できないプラグインの接続性のテストを行っています。ただし、現時点で は、ストリーミング メディアをサポートするプラグインはインポートしないことをお勧めします。 (注) GNU General Public License(GPL)により、シスコでは変更を加えることなくプラグイ ンを再配布しています。GPL により、シスコではこれらのプラグインを直接強化すること はできません。 プラグインをフラッシュ デバイスにインストールすると、adaptive security appliance は次の処理を実 行します。 • (シスコが配布したプラグインのみ)URL で指定した jar ファイルを解凍する。 • adaptive security appliance ファイル システムの csco-config/97/plugin ディレクトリにファイル を書き込む。 • ASDM の URL アトリビュートの隣にドロップダウン メニューを読み込む。 • 以後のすべてのクライアントレス SSL VPN セッションに対するプラグインのイネーブル化、メイ ン メニュー オプションの追加、およびポータル ページの [Address] フィールドの隣のドロップダ ウン メニューへのオプションの追加を行う。 表 3 に、次の項で説明するプラグインを追加したときの、ポータル ページのメイン メニューと [Address] フィールドの変更点を示します。 表 3 クライアントレス SSL VPN ポータル ページへのプラグインの影響 プラグイ ン ポータル ページに追加されるメイン メ ニュー オプション ポータル ページに追加される [Address] フィールドのオプション rdp Terminal Servers rdp:// rdp2 Terminal Servers Vista rdp2:// ssh、 telnet SSH ssh:// Telnet telnet:// vnc VNC Client vnc:// ica Citrix Client citrix:// ユーザがクライアントレス SSL VPN セッション中に、ポータル ページの関連メニュー オプションを クリックすると、ポータル ページにインターフェイスへのウィンドウが表示され、ヘルプ ペインが表 示されます。ユーザはドロップダウン メニューに表示されるプロトコルを選択し、[Address] フィール ドに URL を入力して接続を確立できます。 (注) 一部の Java プラグインは、宛先サービスへのセッションが設定されていない場合でも、接続済みまた はオンラインのステータスを報告することがあります。adaptive security appliance ではなく、オープ ンソース プラグインがステータスを報告します。 プラグインの要件と制限事項 プラグインへのリモート アクセスを提供するには、adaptive security appliance でクライアントレス SSL VPN をイネーブルにする必要があります。 リモートでの使用に必要な最小のアクセス権限は、ゲスト特権モードに属しています。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-25 第 34 章 クライアントレス SSL VPN の設定 クライアント / サーバ プラグインへのブラウザ アクセスの設定 ステートフル フェールオーバーでは、プラグインを使用して確立されたセッションが維持されません。 ユーザはフェールオーバー後に再接続する必要があります。 プラグインのためのセキュリティ アプライアンスの準備 プラグインをインストールする前に、次のようにして adaptive security appliance を準備します。 ステップ 1 adaptive security appliance インターフェイスでクライアントレス SSL VPN(「webvpn」)がイネーブ ルになっていることを確認します。確認するには、show running-config コマンドを入力します。 ステップ 2 リモート ユーザが接続のために Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用 する adaptive security appliance のインターフェイスに SSL 証明書をインストールします。 (注) SSL 証明書の Common Name(CN; 通常名)に IP アドレスを指定しないでください。リモー ト ユーザは FQDN を使用して adaptive security appliance との通信を試みます。リモート PC は、FQDN を解決するために System32\drivers\etc\hosts ファイル内の DNS またはエントリを 使用できる必要があります。 クライアントレス SSL VPN アクセスに提供する必要があるプラグインのタイプを指定している項に進 んでください。 • 「シスコが再配布しているプラグインへのアクセスの提供」(P.34-26) • 「シスコが再配布していないプラグイン(Citrix Java Presentation Server Client プラグインなど) へのアクセスの提供」(P.34-29) シスコが再配布しているプラグインへのアクセスの提供 シスコでは、クライアントレス SSL VPN セッションで Web ブラウザのプラグインとしてアクセスさ れる、次のオープンソースの Java ベースのコンポーネントを再配布しています。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-26 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアント / サーバ プラグインへのブラウザ アクセスの設定 表 34-4 シスコが再配布しているプラグイン シスコのダウンロード リンク プロト コル rdp2-plugin.090211.jar RDP2 説明 再配布プラグインのソース Windows Vista および Windows 2003 R2 でホス シスコでは、GNU General Public トされている Microsoft Terminal Services にアク License にしたがって、変更を加え セスします。 ずにこのプラグインを再配布しま す。再配布プラグインの元のソース リモート デスクトップ ActiveX コントロールを がある Web サイトは、 サポートします。 http://properjavardp.sourceforge.net/ 注:RDP および RDP2 プラグインをインポート です。 して、それらの両方をクライアントレス ユーザが 使用できるようにすることができます。 rdp-plugin.080506.jar RDP Windows 2003 R1 でホストされている Microsoft シスコでは、GNU General Public Terminal Services にアクセスします。 License にしたがって、変更を加え リモート デスクトップ ActiveX コントロールを サポートします。 ずにこのプラグインを再配布しま す。再配布プラグインのソースがあ る Web サイトは、 http://properjavardp.sourceforge.net/ です。 ssh-plugin.080430.jar SSH vnc-plugin.080130.jar VNC Secure Shell-Telnet プラグインにより、リモート ユーザは、リモート コンピュータへの Secure Shell または Telnet 接続を確立できます。 シスコでは、GNU General Public License にしたがって、変更を加え Virtual Network Computing プラグインを使用し て、リモート ユーザは、モニタ、キーボード、マ ウスを使用して、リモート デスクトップ共有がオ ンにされているコンピュータを表示し、制御でき ます。このバージョンでは、テキストのデフォル トの色が変更され、更新済みのフランス語および 日本語のヘルプ ファイルが含まれます。 シスコでは、GNU General Public License にしたがって、変更を加え ずにこのプラグインを再配布しま す。再配布プラグインのソースがあ る Web サイトは http://javassh.org/ です。 ずにこのプラグインを再配布しま す。再配布プラグインのソースがあ る Web サイトは http://www.tightvnc.com/ です。 プラグインをインストールする前に、次を実行します。 • adaptive security appliance のインターフェイスでクライアントレス SSL VPN(webvpn)がイネー ブルになっていることを確認します。確認するには、show running-config コマンドを入力します。 • ローカル TFTP または FTP サーバに「plugins」という名前の一時ディレクトリを作成し(たとえ ば、ホスト名「local_tftp_server」などで)、シスコの Web サイトから「plugins」ディレクトリに プラグインをダウンロードします。 シスコが再配布しているプラグインへのクライアントレス SSL VPN ブラウザ アクセスを提供するに は、特権 EXEC モードで次のコマンドを入力して、adaptive security appliance のフラッシュ デバイス にプラグインをインストールします。 import webvpn plug-in protocol protocol URL protocol には、次の値のいずれかを指定します。 • Remote Desktop Protocol サービスへのプラグイン アクセスを提供するには、rdp を入力します 次 に、[URL] フィールドに rdp-plugin.jar ファイルのパスを指定します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-27 第 34 章 クライアントレス SSL VPN の設定 クライアント / サーバ プラグインへのブラウザ アクセスの設定 • Secure Shell サービスと Telnet サービスの両方にプラグイン アクセスを提供するには、ssh,telnet を入力します。次に、[URL] フィールドに ssh-plugin.jar ファイルのパスを指定します。 注意 SSH と Telnet の両方に このコマンドを 1 回ずつ入力しないでください。ssh,telnet 文字列を入力す る場合は、スペースを挿入しないでください。これらの要件から外れている import webvpn plug-in protocol コマンドを削除するには、revert webvpn plug-in protocol コマンドを使用します。 • Virtual Network Computing サービスにプラグイン アクセスを提供するには、vnc を入力します。 次に、[URL] フィールドに vnc-plugin.jar ファイルのパスを指定します。 URL はプラグインのソースのリモート パスです。TFTP または FTP サーバのホスト名またはアドレス およびプラグインのパスを入力します。 次のコマンド例では、RDP にクライアントレス SSL VPN のサポートを追加します。 hostname# import webvpn plug-in protocol rdp tftp://local_tftp_server/plugins/rdp-plugin.jar Accessing tftp://local_tftp_server/plugins/rdp-plugin.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file disk0:/csco_config/97/plugin/rdp... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 329994 bytes copied in 5.350 secs (65998 bytes/sec) 次のコマンド例では、SSH と Telnet にクライアントレス SSL VPN のサポートを追加します。 hostname# import webvpn plug-in protocol ssh,telnet tftp://local_tftp_server/plugins/ssh-plugin.jar Accessing tftp://local_tftp_server/plugins/ssh-plugin.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!! Writing file disk0:/csco_config/97/plugin/ssh... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 238510 bytes copied in 3.650 secs (79503 bytes/sec) 次のコマンド例では、VNC にクライアントレス SSL VPN のサポートを追加します。 hostname# import webvpn plug-in protocol vnc tftp://local_tftp_server/plugins/vnc-plugin.jar Accessing tftp://local_tftp_server/plugins/vnc-plugin.jar...!!!!!!!!!!!!!!! Writing file disk0:/csco_config/97/plugin/vnc... !!!!!!!!!!!!!!! 58147 bytes copied in 2.40 secs (29073 bytes/sec) (注) adaptive security appliance はコンフィギュレーション内に import webvpn plug-in protocol コマンド を保持しません。代わりに、csco-config/97/plugin ディレクトリの内容を自動的にロードします。 セカンダリ adaptive security appliance はプライマリ adaptive security appliance からプラグインを取得 します。 プラグインをインポートしたら、SSL VPN ホーム ページのアドレス バーに、対応するプロトコルとリ ソースの場所を入力してアクセスします。次の例を参考にしてください。 rdp://10.1.1.1 vnc://10.1.1.1 ssh://10.1.1.1 telnet://10.1.1.1 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-28 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアント / サーバ プラグインへのブラウザ アクセスの設定 Java ベースのクライアント アプリケーションに対するクライアントレス SSL VPN のサポートをディ セーブルにして削除し、adaptive security appliance のフラッシュ ドライブからそれを削除するには、 次のコマンドを使用します。 revert webvpn plug-in protocol protocol 次のコマンド例では RDP を削除します。 hostname# revert webvpn plug-in protocol rdp シスコが再配布していないプラグイン(Citrix Java Presentation Server Client プラグインなど)へのアクセスの提供 セキュリティ アプライアンスのオープン フレームワークを使用して、サードパーティの Java クライア ント / サーバ アプリケーションをサポートするためのプラグインを追加できます。サードパーティ プ ラグインにクライアントレス SSL VPN ブラウザ アクセスを提供する方法の例として、ここでは、 Citrix Presentation Server Client にクライアントレス SSL VPN のサポートを追加する方法について説 明します。 注意 シスコでは、シスコが再配布していない特定のプラグインに対して、直接のサポートや推奨はして いません。クライアントレス SSL VPN サービスの提供者として、プラグインの使用に必要なライ センス契約を確認し、遵守する責任があります。 adaptive security appliance に Citrix プラグインがインストールされている場合、クライアントレス SSL VPN のユーザは adaptive security appliance への接続を使用して、Citrix MetaFrame サービスにア クセスできます。 ステートフル フェールオーバーでは、Citrix プラグインを使用して確立されたセッションは保持されま せん。Citrix のユーザはフェールオーバー後に再認証する必要があります。 Citrix プラグインへのアクセスを提供するには、次の項の手順に従います。 • クライアントレス SSL VPN アクセスのための Citrix MetraFrame Server の準備 • Citrix プラグインの作成とインストール クライアントレス SSL VPN アクセスのための Citrix MetraFrame Server の準備 Citrix クライアントが Citrix MetaFrame Server に接続するときに、adaptive security appliance は Citrix セキュア ゲートウェイの接続機能を実行します。そのため、(Citrix)「セキュア ゲートウェイ」 を使用しないモードで動作するように Citrix Web Interface ソフトウェアを設定する必要があります。 設定しないと、Citrix クライアントは Citrix MetaFrame Server に接続できません。 (注) プラグインに対するサポートをまだ提供していない場合は、この項を使用する前に、「プラグインのた めのセキュリティ アプライアンスの準備」(P.34-26)の手順に従う必要があります。 Citrix プラグインの作成とインストール Citrix プラグインを作成し、インストールするには、次の手順を実行します。 ステップ 1 Cisco Software Download Web サイトから、ica-plugin.zip ファイルをダウンロードします。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-29 第 34 章 クライアントレス SSL VPN の設定 スマート トンネル アクセスの設定 このファイルには、Citrix プラグインで使用するためにシスコがカスタマイズしたファイルが含まれて います。 ステップ 2 Citrix サイトから Citrix Java クライアントをダウンロードします。 ステップ 3 Citrix Java クライアントから次のファイルを抽出し、それらを ica-plugin.zip ファイルに追加します。 • JICA-configN.jar • JICAEngN.jar WinZip を使用して、この手順を実行できます。 ステップ 4 Citrix Java クライアントに含まれている EULA で、クライアントを Web サーバに展開する権限が与え られていることを確認します。 ステップ 5 adaptive security appliance で CLI セッションを開き、特権 EXEC モードで次のコマンドを入力して、 プラグインをインストールします。 import webvpn plug-in protocol ica URL URL はホスト名または IP アドレスと ica-plugin.zip ファイルのパスです。 (注) ステップ 6 プラグインをインポートしたら、リモート ユーザは ica を選択し、ポータル ページの [Address] フィールドに host/?DesiredColor=4&DesiredHRes=1024&DesiredVRes=768 と入 力して、Citrix サービスにアクセスできます。ユーザが接続しやすいように、ブックマークを 追加することをお勧めします。Citrix セッションに SSO サポートを提供する場合は、ブック マークの追加が必須です。 SSL VPN クライアントレス セッションを確立し、ブックマークをクリックするか、Citrix サーバの URL を入力します。 必要に応じて『Client for Java Administrator’s Guide』を使用します。 セキュリティ アプライアンスにインストールされているプラグインの表示 クライアントレス SSL VPN のユーザが使用できる Java ベースのクライアント アプリケーションを一 覧表示するには、特権 EXEC モードで次のコマンドを入力します。 show import webvpn plug-in 次の例を参考にしてください。 hostname# show import webvpn plug-in ssh rdp vnc スマート トンネル アクセスの設定 次の項では、スマート トンネルおよびその設定方法について説明します。 • 「スマート トンネルについて」(P.34-31) • 「スマート トンネルを使用する理由」(P.34-31) • 「スマート トンネルの要件と制限事項」(P.34-31) Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-30 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 スマート トンネル アクセスの設定 • 「スマート トンネル アクセスに適格なアプリケーションの追加」(P.34-33) • 「スマート トンネル リストの割り当て」(P.34-36) スマート トンネルについて スマート トンネルは、セキュリティ アプライアンスをパスウェイとして、また、adaptive security appliance をプロキシ サーバとして使用する、クライアントレス(ブラウザベース)SSL VPN セッ ションを使用した TCP ベースのアプリケーションとプライベート サイト間の接続です。スマート トン ネル アクセスを許可するアプリケーションを特定し、各アプリケーションのローカル パスを指定でき ます。Microsoft Windows で実行しているアプリケーションの場合、スマート トンネル アクセスを許 可するための条件として、チェックサムの SHA-1 ハッシュの一致を必要とすることもできます。 Lotus SameTime および Microsoft Outlook Express は、スマート トンネル アクセスを許可したいと考 えるアプリケーションの例です。 スマート トンネルの設定には、アプリケーションがクライアント アプリケーションであるか、Web 対 応アプリケーションであるかに応じて、次のいずれかの手順が必要です。 • クライアント アプリケーションの 1 つ以上のスマート トンネル リストを作成し、スマート トンネ ル アクセスを提供したいグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当 てます。 • スマート トンネル アクセスに適格な Web 対応アプリケーションの URL を指定する 1 つ以上の ブックマーク リスト エントリを作成し、スマート トンネル アクセスを提供したい DAP、グルー プ ポリシー、またはローカル ユーザ ポリシーにそのリストを割り当てます。 クライアントレス SSL VPN セッションによるスマート トンネル接続で、ログイン クレデンシャルの 送信を自動化する Web 対応アプリケーションもリストできます。 スマート トンネルを使用する理由 スマート トンネル アクセスにより、クライアント TCP ベースのアプリケーションはブラウザベースの VPN 接続を使用して、サービスに接続できます。スマート トンネル アクセスは、プラグインやレガ シー テクノロジーのポート転送と比較して、次の利点があります。 • スマート トンネルはプラグインよりパフォーマンスに優れています。 • ポート転送と異なり、スマート トンネルは、ローカル アプリケーションからローカル ポートへの ユーザ接続が必要でないため、操作が簡単です。 • ポート転送と異なり、スマート トンネルでは、ユーザが管理者権限を持つ必要がありません。 プラグインの利点は、リモート コンピュータにクライアント アプリケーションをインストールする必 要がないことです。 スマート トンネルの要件と制限事項 次の項では、スマート トンネルの要件と制限事項を分類します。 一般的な要件と制限事項 スマート トンネルには次の一般的な要件と制限事項があります。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-31 第 34 章 クライアントレス SSL VPN の設定 スマート トンネル アクセスの設定 • スマート トンネル接続を開始するリモート ホストでは、32 ビット バージョンの Microsoft Windows Vista、Windows XP、Windows 2000、Mac OS 10.4 または 10.5 のいずれかを実行して いる必要があります。 • スマート トンネルの自動サインオンは、Windows 上の Microsoft Internet Explorer のみをサポー トしています。 • ブラウザでは、Java、Microsoft ActiveX、またはその両方がイネーブルになっている必要があり ます。 • スマート トンネルは、Microsoft Windows とセキュリティ アプライアンスを実行するコンピュー タ間に配置されたプロキシのみをサポートします。スマート トンネルは Internet Explorer のコン フィギュレーション(つまり、Windows でのシステム規模の使用が意図されている)を使用しま す。リモート コンピュータが adaptive security appliance に到達するためにプロキシ サーバを必要 とする場合、接続の終端側の URL がプロキシ サービスから除外される URL のリストに含まれて いる必要があります。プロキシ コンフィギュレーションで、ASA を宛先とするトラフィックがプ ロキシを通過するように指定している場合、すべてのスマート トンネル トラフィックはプロキシ を通過します。 HTTP ベースのリモート アクセス シナリオで、サブネットが、VPN ゲートウェイへのユーザ アク セスを提供しないことがあります。この場合、ASA の前面に配置され、Web とエンド ユーザの場 所間のトラフィックをルーティングするプロキシが Web アクセスを提供します。ただし、ASA の 前面に配置されたプロキシを設定できるのは、VPN ユーザだけです。設定を行うには、これらの プロキシが CONNECT メソッドをサポートすることを確認する必要があります。認証が必要なプ ロキシの場合、スマート トンネルは基本ダイジェスト認証タイプのみをサポートしています。 • スマート トンネルが起動すると、セキュリティ アプライアンスは、ユーザがクライアントレス セッションの開始に使用したブラウザ プロセスからのすべてのトラフィックをトンネルします。 ユーザがブラウザ プロセスの別のインスタンスを起動した場合、セキュリティ アプライアンスは、 すべてのトラフィックをトンネルに渡します。ブラウザ プロセスが同じで、セキュリティ アプラ イアンスが指定された URL へのアクセスを提供しない場合、ユーザはそれを開くことができませ ん。回避方法として、ユーザはクライアントレス セッションの確立に使用したブラウザと別のブ ラウザを使用できます。 • ステートフル フェールオーバーではスマート トンネル接続が維持されません。ユーザはフェール オーバー後に再接続する必要があります。 Windows の要件と制限事項 次の要件と制限事項は Windows にのみ適用します。 • スマート トンネル アクセスには、Winsock 2 の TCP ベースのアプリケーションのみが適格とされ ます。 • セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしませ ん。ポート転送もスマート トンネルも MAPI をサポートしていません。MAPI プロトコルを使用 する Microsoft Outlook Exchange での通信の場合、リモート ユーザは AnyConnect を使用する必 要があります。 • スマート トンネルまたはポート転送を使用する Microsoft Windows Vista のユーザは ASA の URL を信頼済みサイトゾーンに追加する必要があります。信頼済みサイトゾーンにアクセスするには、 Internet Explorer を起動し、[ ツール ] > [ インターネット オプション ]> [ セキュリティ ] タブを選 択します。Vista ユーザは、保護モードをディセーブルにして、スマート トンネル アクセスを容易 にすることもできますが、攻撃の脆弱性が高まるため、この方法はお勧めしません。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-32 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 スマート トンネル アクセスの設定 Mac OS の要件と制限事項 次の要件と制限事項は次の Mac OS にのみ適用します。 • Safari 3.1.1 以降または Firefox 3.0 以降 • Sun JRE 1.5 以降 • ポータル ページから起動したアプリケーションのみ、スマート トンネル接続を確立できます。こ の要件には、Firefox のスマート トンネルのサポートが含まれます。スマート トンネルの初回使用 時に、Firefox を使用して、別の Firefox のインスタンスを起動するには、csco_st というユーザ プ ロファイルが必要です。このユーザ プロファイルが存在しない場合、セッションで作成するよう に求められます。 • SSL ライブラリにダイナミックにリンクされている TCP を使用したアプリケーションは、スマー ト トンネルで動作できます。 • スマート トンネルは、Mac OS 上の次の機能をサポートしません。 – プロキシ サービス – 自動サインオン – 2 つのレベルのネーム スペースを使用するアプリケーション – Telnet、SSH、cURL などのコンソールベースのアプリケーション – dlopen または dlsym を使用して libsocket コールを見つけるアプリケーション – libsocket コールを見つけるためにスタティックにリンクされたアプリケーション スマート トンネル アクセスに適格なアプリケーションの追加 各 adaptive security appliance のクライアントレス SSL VPN コンフィギュレーションは、スマート ト ンネル アクセスに適格な 1 つ以上のアプリケーションから構成されるスマート トンネル リストをサ ポートしています。各グループポリシーまたはユーザ名がサポートするスマート トンネル リストは 1 つのみであるため、サポートされる各アプリケーションのセットをスマート トンネル リストにグルー プ化する必要があります。 クライアントレス SSL VPN セッションを使用してプライベート サイトに接続できるアプリケーション のリストにエントリを追加するには、webvpn コンフィギュレーション モードで次のコマンドを入力し ます。 smart-tunnel list list application path [hash] リストからアプリケーションを削除するには、コマンドの no 形式を使用し、リストとアプリケーショ ンの名前の両方を指定します。 no smart-tunnel list list application adaptive security appliance コンフィギュレーションからアプリケーションのリスト全体を削除するに は、コマンドの no 形式を使用して、リストのみを指定します。 no smart-tunnel list list • list はアプリケーションまたはプログラムのリストの名前です。名前にスペースが含まれる場合、 名前を引用符で囲みます。リストがコンフィギュレーションに存在しない場合、CLI はリストを作 成します。リストが存在する場合、エントリをリストに追加します。 (注) SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するに は、特権 EXEC モードで show running-config webvpn コマンドを入力します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-33 第 34 章 クライアントレス SSL VPN の設定 スマート トンネル アクセスの設定 • application は、スマート トンネル リストの各エントリに対する一意のインデックスとして機能す る文字列です。これは、通常スマート トンネル アクセスが許可されるアプリケーションの名前で す。異なるパスやハッシュ値を指定するアプリケーションの複数のバージョンをサポートするには、 このアトリビュートを使用して、エントリを区別し、各リスト エントリでサポートされるアプリ ケーションの名前とバージョンの両方を指定します。文字列は、最大 64 文字です。スマート トン ネル リストにすでに存在するエントリを変更するには、変更するエントリの名前を入力します。 • path は、アプリケーションのファイル名と拡張子、またはファイル名と拡張子を含むアプリケー ションのパスです。文字列は、最大 128 文字です。 Windows では、アプリケーションにスマート トンネル アクセスを許可するために、リモート ホス トのアプリケーション パスの右側の値とこの値が完全に一致している必要があります。Windows でファイル名のみを指定した場合、SSL VPN は、アプリケーションにスマート トンネル アクセス を許可するために、リモート ホストに場所の制限を適用しません。 パスを指定し、ユーザが別の場所にアプリケーションをインストールした場合、そのアプリケー ションは許可されません。文字列の右側が入力した値と一致している限り、アプリケーションは任 意のパスに置くことができます。 アプリケーションがリモート ホストの複数のパスのいずれかに存在する場合、そのアプリケー ションにスマート トンネル アクセスを許可するには、path 値を入力するときに、アプリケーショ ンの名前と拡張子のみを指定するか、または、それぞれのコマンドで同じ list 文字列を入力し、一 意の application 文字列と path 値を指定して、パスごとに smart-tunnel list コマンドを 1 回ずつ 入力します。 (注) スマート トンネル アクセスで突然問題が発生する場合、Process Name 値が、アップグ レードされたアプリケーションに対して最新ではない可能性があります。たとえば、アプ リケーションのデフォルトのパスは、アプリケーションと次のアプリケーションのアップ グレード版を製造する企業が買収された後に変更されることがあります。 Windows の場合、コマンド プロンプトから起動するアプリケーションにスマート トンネル アクセ スを追加する場合、スマート トンネル リストの 1 つのエントリの Process Name に「cmd.exe」を 指定し、別のエントリにアプリケーション自体のパスを指定する必要があります。「cmd.exe」は アプリケーションの親であるためです。 Mac OS ではプロセスのフル パスが必要で、大文字と小文字が区別されます。ユーザ名ごとにパス を指定することを避けるには、部分パスの前にチルド(~)を挿入します(~/bin/vnc など)。 • hash(オプション)この値を取得するには、SHA-1 アルゴリズムを使用してハッシュを計算する ユーティリティに、アプリケーションのチェックサム(つまり実行可能ファイルのチェックサム) を入力します。そのようなユーティリティの例には Microsoft File Checksum Integrity Verifier (FCIV)があり、これは http://support.microsoft.com/kb/841290/ から入手できます。FCIV のイ ンストール後、ハッシュされるアプリケーションの一時コピーをスペースを含まないパス (c:/fciv.exe など)に配置し、コマンド ラインに fciv.exe -sha1 application(fciv.exe -sha1 c:\msimn.exe など)と入力して、SHA-1 ハッシュを表示します。 SHA-1 ハッシュは常に 40 桁の 16 進数文字です。 アプリケーションにスマート トンネル アクセスを許可する前に、クライアントレス SSL VPN は path に一致するアプリケーションのハッシュを計算します。結果が hash の値と一致する場合、ア プリケーションにスマート トンネル アクセスを許可します。 ハッシュを入力することで、SSL VPN が path で指定した文字列と一致する不正ファイルを許可し ないことを合理的に保証できます。チェックサムはアプリケーションの各バージョンまたはパッチ によって異なるため、入力する hash はリモート ホスト上の 1 つのバージョンまたはパッチとのみ Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-34 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 スマート トンネル アクセスの設定 一致します。アプリケーションの複数バージョンの hash を指定するには、同じ list 文字列を入力 し、一意の application 文字列と一意の hash 値を指定して、バージョンごとに smart-tunnel list コマンドを 1 回ずつ入力します。 (注) 表 34-5 hash 値を入力し、アプリケーションの将来のバージョンまたはパッチでのスマート トンネ ル アクセスをサポートする場合は、スマート トンネル リストを今後も維持する必要があり ます。スマート トンネル アクセスで突然問題が発生する場合、hash 値を含むアプリケー ション リストがアップグレードされたアプリケーションに対して最新ではない可能性があ ります。この問題は hash を入力しないことで回避できます。 smart-tunnel コマンドの例 機能 OS lotus というスマート トンネル リストに Lotus SameTime を追加します。 Windows(デ smart-tunnel list lotus LotusSametime connect.exe Lotus 6.0 シック クライアントと Domino Server 6.5.5 を追加します。 Windows smart-tunnel smart-tunnel smart-tunnel smart-tunnel apps というスマート トンネル リストにコマ Windows smart-tunnel list apps CommandPrompt cmd.exe Windows smart-tunnel list apps OutlookExpress msimn.exe Windows Outlook Express を追加し、リモー Windows ト ホスト上のパスが文字列に一致する場合に のみ、そのスマート トンネルのサポートを許 可します。 smart-tunnel list apps OutlookExpress "\Program Files\Outlook Express\msimn.exe" Windows smart-tunnel list apps OutlookExpress msimn.exe 4739647b255d3ea865554e27c3f96b9476e75061 コマンド フォルトのプ ラットフォー ム) list list list list lotus lotus lotus lotus lotusnotes notes.exefs lotusnlnotes nlnotes.exe lotusntaskldr ntaskldr.exe lotusnfileret nfileret.exe ンド プロンプトを追加します。 注:これは、コマンド プロンプトから起動す る Microsoft Windows アプリケーションにス マート トンネル アクセスを提供するために 必要です。リストにアプリケーション自体を 追加する必要もあります。 Windows Outlook Express を追加します。 Windows Outlook Express を追加し、ハッ シュが文字列に一致する場合にのみ、そのス マート トンネルのサポートを許可します。 Safari を追加し、リモート ホスト上のパスが Mac OS 文字列に一致する場合にのみ、そのスマート トンネルのサポートを許可します。 新しいターミナル ウィンドウにスマート ト ンネルのサポートを追加します。 Mac OS smart-tunnel list apps Safari "/Applications/Safari" platform mac smart-tunnel list apps Terminal terminal platform mac Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-35 第 34 章 クライアントレス SSL VPN の設定 スマート トンネル アクセスの設定 表 34-5 smart-tunnel コマンドの例 (続き) OS 機能 コマンド 新しいターミナル ウィンドウから起動するア Mac OS プリケーションにスマート トンネルのサポー トを追加します。Terminal の後の引用符で囲 んだすべての単語をコマンドラインに入力し ます。 smart-tunnel list apps Terminal "terminal open -a MacTelnet" platform mac VNC 実行可能ファイルのユーザ パスに関係 Mac OS なく、VNC のスマート トンネル サポートを smart-tunnel list apps vnc "~/bin/vnc" platform mac 追加します。 スマート トンネル リストのコンフィギュレーションに続き、次の項で説明するように、リストをグ ループ ポリシーまたはユーザ名に割り当てます。 スマート トンネル リストの割り当て グループ ポリシーとユーザ名ごとに、次のいずれかを実行するようにクライアントレス SSL VPN を設 定できます。 • ユーザのログイン時に自動的にスマート トンネル アクセスを開始します。 • ユーザのログイン時にスマート トンネル アクセスをイネーブルにしますが、ユーザは、クライア ントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用 して、手動でそれを開始する必要があります。 (注) これらのオプションは、各グループ ポリシーとユーザ名に対して互いに排他的です。1 つだけ使用して ください。 表 34-6 に、各グループ ポリシーとユーザ名で使用可能な smart-tunnel コマンドを示します。各グルー プ ポリシーとユーザ名のコンフィギュレーションは、一度にこれらのコマンドの 1 つだけサポートす るため、1 つのコマンドを入力すると、adaptive security appliance は、該当のグループ ポリシーまた はユーザ名のコンフィギュレーションに存在するコマンドを新しいコマンドで置き換えるか、最後のコ マンドの場合は、グループ ポリシーまたはユーザ名にすでに存在する smart-tunnel コマンドを単純に 削除します。 表 34-6 グループポリシーとユーザ名 webvpn Smart Tunnel コマンド コマンド 説明 smart-tunnel auto-start list ユーザのログイン時にスマート トンネル アクセスを自動的に起動しま す。 smart-tunnel enable list ユーザのログイン時にスマート トンネル アクセスをイネーブルにしま すが、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手動 でスマート トンネル アクセスを開始する必要があります。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-36 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 スマート トンネル アクセスの設定 表 34-6 グループポリシーとユーザ名 webvpn Smart Tunnel コマンド (続き) コマンド 説明 smart-tunnel disable スマート トンネル アクセスを禁止します。 no smart-tunnel グループ ポリシーまたはユーザ名コンフィギュレーションから [auto-start list | enable list | smart-tunnel コマンドを削除して、デフォルトのグループ ポリシーか disable] ら [no] smart-tunnel コマンドを継承します。no smart-tunnel コマン ドの後にあるキーワードはオプションですが、それらにより、関連付 けられた smart-tunnel コマンドに削除を限定します。 詳細については、使用するオプションについて説明している項を参照してください。 スマート トンネル アクセスの自動化 ユーザのログイン時にスマート トンネル アクセスを自動的に開始するには、グループポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、次 のコマンドを入力します。 smart-tunnel auto-start list グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除し、デフォルトのグループ ポリ シーから [no] smart-tunnel コマンドを継承するには、コマンドの no 形式を使用します。 no smart-tunnel list は adaptive security appliance webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。 (注) SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、 特権 EXEC モードで show running-config webvpn コマンドを入力します。 複数のスマート トンネル リストをグループ ポリシーまたはユーザ名に割り当てることはできません。 次のコマンドは、apps1 という名前のスマート トンネル リストをグループ ポリシーに割り当てます。 hostname(config-group-policy)# webvpn hostname(config-group-webvpn)# smart-tunnel auto-start apps1 スマート トンネル アクセスのイネーブル化 ユーザのログイン時にスマート トンネル アクセスをイネーブルにする場合、ユーザは、クライアント レス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手 動でそれを開始する必要があります。 スマート トンネル アクセスをイネーブルにするには、グループポリシー webvpn コンフィギュレー ション モードまたはユーザ名 webvpn コンフィギュレーション モードで、次のコマンドを入力します。 smart-tunnel enable list list は adaptive security appliance webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-37 第 34 章 クライアントレス SSL VPN の設定 ポート転送の設定 (注) SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、 特権 EXEC モードで show running-config webvpn コマンドを入力します。 グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除し、デフォルトのグループ ポリ シーから [no] smart-tunnel コマンドを継承するには、コマンドの no 形式を使用します。 no smart-tunnel 複数のスマート トンネル リストをグループ ポリシーまたはユーザ名に割り当てることはできません。 次のコマンドは、apps1 という名前のスマート トンネル リストをグループ ポリシーに割り当てます。 hostname(config-group-policy)# webvpn hostname(config-group-webvpn)# smart-tunnel enable apps1 スマート トンネル アクセスのディセーブル化 スマート トンネル アクセスを禁止するには、グループポリシー webvpn コンフィギュレーション モー ドまたはユーザ名 webvpn コンフィギュレーション モードで、次のコマンドを入力します。 smart-tunnel disable デフォルトで、スマート トンネルはイネーブルにされないため、 (デフォルトの)グループ ポリシーま たはユーザ名コンフィギュレーションに、該当のグループ ポリシーやユーザ名に適用したくない smart-tunnel auto-start または smart-tunnel enable コマンドが含まれる場合にのみ、smart-tunnel disable コマンドが必要です。 グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除し、デフォルトのグループ ポリ シーから [no] smart-tunnel コマンドを継承するには、コマンドの no 形式を使用します。 no smart-tunnel 次のコマンドはスマート トンネル アクセスをディセーブルにします。 hostname(config-group-policy)# webvpn hostname(config-group-webvpn)# smart-tunnel disable ポート転送の設定 次の項では、ポート転送およびその設定方法について説明します。 • ポート転送の概要 • ポート転送を使用する理由 • ポート転送の要件と制限事項 • ポート転送用の DNS の設定 • ポート転送の対象となるアプリケーションの追加 • ポート転送リストの割り当て • ポート転送の自動化 • ポート転送のイネーブル化とディセーブル化 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-38 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 ポート転送の設定 ポート転送の概要 ポート転送により、ユーザはクライアントレス SSL VPN 接続を介して TCP ベースのアプリケーショ ンにアクセスできます。次のようなアプリケーションが含まれます。 • Lotus Notes • Microsoft Outlook • Microsoft Outlook Express • Perforce • Sametime • Secure FTP(FTP over SSH) • SSH • TELNET • Windows Terminal Service • XDDTS その他の TCP ベースのアプリケーションも動作する可能性はありますが、シスコではテストを行って いません。UDP を使用するプロトコルは動作しません。 ポート転送を使用する理由 ポート転送は、クライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションをサポート するためのレガシー テクノロジーです。このテクノロジーをサポートする初期のコンフィギュレー ションを構築しているため、ポート転送を使用することも選択できます。 ポート転送の代わりに次の方法を考慮してください。 • スマート トンネル アクセスは、ユーザに次の利点があります。 – スマート トンネルはプラグインよりパフォーマンスに優れています。 – ポート転送と異なり、スマート トンネルは、ローカル アプリケーションからローカル ポート へのユーザ接続が必要でないため、操作が簡単です。 – ポート転送と異なり、スマート トンネルでは、ユーザが管理者権限を持つ必要がありません。 • ポート転送とスマート トンネル アクセスと異なり、プラグインでは、リモート コンピュータにク ライアント アプリケーションをインストールする必要がありません。 adaptive security appliance にポート転送を設定する場合、アプリケーションで使用するポートを指定 します。スマート トンネル アクセスを設定する場合、実行可能ファイルまたはそのパスの名前を指定 します。 ポート転送の要件と制限事項 ポート転送には次の制限が適用されます。 • リモート ホストは次のいずれかの 32 ビット バージョンを実行している必要があります。 – Microsoft Windows Vista、Windows XP SP2 または SP3、Windows 2000 SP4 – Apple Mac OS X 10.4 または 10.5 および Safari 2.0.4(419.3) – Fedora Core 4 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-39 第 34 章 クライアントレス SSL VPN の設定 ポート転送の設定 • リモート ホストでは Sun JRE 1.5 以降も実行している必要があります。 • Mac OS X 10.5.3 の Safari のブラウザベースのユーザは、Safari の URL の解釈方法のため、 adaptive security appliance の URL で使用するクライアント証明書を末尾のスラッシュがある場合 とない場合で 1 回ずつ識別する必要があります。次に例を示します。 – https://example.com/ – https://example.com 詳細については、「Safari, Mac OS X 10.5.3: Changes in client certificate authentication」を参照し てください。 • ポート転送またはスマート トンネルを使用する Microsoft Windows Vista のユーザは ASA の URL を信頼済みサイトゾーンに追加する必要があります。信頼済みサイトゾーンにアクセスするには、 Internet Explorer を起動し、[ ツール ] > [ インターネット オプション ]> [ セキュリティ ] タブを選択 します。Vista ユーザは、保護モードをディセーブルにして、スマート トンネル アクセスを容易に することもできますが、コンピュータの攻撃の脆弱性が高まるため、この方法はお勧めしません。 • ポート転送はスタティック TCP ポートを使用する TCP アプリケーションのみをサポートします。 ダイナミック ポートまたは複数の TCP ポートを使用するアプリケーションはサポートされていま せん。たとえば、ポート 22 を使用する SecureFTP はクライアントレス SSL VPN ポート転送を介 して動作しますが、ポート 20 と 21 を使用する標準 FTP は動作しません。 • ポート転送は、UDP を使用するプロトコルをサポートしません。 • セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしませ ん。MAPI プロトコルを使用する Microsoft Outlook Exchange での通信の場合、リモート ユーザ は AnyConnect を使用する必要があります。 • ステートフル フェールオーバーでは Application Access(ポート転送またはスマート トンネル ア クセス)を使用して確立されたセッションが保持されません。ユーザはフェールオーバー後に再接 続する必要があります。 • ポート転送は、携帯情報端末への接続をサポートしていません。 • ポート転送を使用するには、Java アプレットをダウンロードしてローカル クライアントを設定す る必要があります。これを行うには、ローカル システムでの管理者権限が必要になるため、ユー ザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性 があります。 注意 ポート転送(Application Access)とデジタル証明書をサポートするために、リモート コンピュー タに Sun Microsystems Java Runtime Environment(JRE)1.5.x 以降がインストールされているこ とを確認してください。JRE 1.4.x が実行しており、ユーザがデジタル証明書で認証する場合、JRE は Web ブラウザ証明書ストアにアクセスできないため、アプリケーションが起動できません。 Java アプレットは、エンドユーザ HTML インターフェイス上の独自のウィンドウに表示されま す。このウィンドウには、ユーザが使用できる転送ポートのリストの内容、アクティブなポート、 および送受信されたトラフィック量(バイト単位)が表示されます。 • ポート転送も ASDM Java アプレットもデジタル証明書を使用したユーザ認証で機能しません。 Java には、Web ブラウザ キーストアにアクセスする機能はありません。そのため、Java はブラウ ザがユーザ認証に使用する証明書を使用できず、アプリケーションが起動できません。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-40 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 ポート転送の設定 ポート転送用の DNS の設定 ポート転送では、リモート サーバのドメイン名またはその IP アドレスを解決および接続のために ASA に転送します。つまり、ポート転送アプレットはアプリケーションからの要求を受け入れ、それを ASA に転送します。ASA は適切な DNS 照会を行い、ポート転送アプレットに代わって、接続を確立 します。ポート転送アプレットは、ASA に対してのみ DNS 照会を行います。ポート転送アプレット は、ポート転送アプリケーションが DNS 照会を試みた場合に、照会がループバック アドレスにリダイ レクトされるように、ホスト ファイルを更新します。ポート転送アプレットからの DNS 要求を受け入 れるように、次のように adaptive security appliance を設定します。 ステップ 1 dns server-group コマンドをグローバル コンフィギュレーション モードで使用し、dns server-group モードに入り、次に domain-name コマンドを使用して、ドメイン名を指定し、name-server コマンド を使用して、ドメイン名を IP アドレスに解決します。ドメイン名のデフォルトの設定は DefaultDNS です。 次の例では、example.com という DNS サーバ グループを設定します。 hostname(config)# dns server-group example.com hostname(config-dns-server-group)# domain-name example.com hostname(config-dns-server-group)# name-server 192.168.10.10 ステップ 2 (デフォルトのドメイン名 [DefaultDNS] 以外のドメイン名を使用する場合にのみ必要):dns-group コ マンドをトンネルグループ webvpn コンフィギュレーション モードを使用して、トンネル グループで 使用するドメイン名を指定します。デフォルトで、セキュリティ アプライアンスは、クライアントレ ス接続のデフォルトのトンネル グループとして DefaultWEBVPNGroup を割り当てます。adaptive security appliance がそのトンネル グループを使用して、設定をクライアントレス接続に割り当てる場 合は、この手順に従います。それ以外の場合は、クライアントレス接続に設定するトンネルごとに、こ の手順を実行します。 次に例を示します。 asa2(config-dns-server-group)# exit asa2(config)# tunnel-group DefaultWEBVPNGroup webvpn-attributes asa2(config-tunnel-webvpn)# dns-group example.com ポート転送の対象となるアプリケーションの追加 各 adaptive security appliance のクライアントレス SSL VPN コンフィギュレーションは、それぞれアク セスを提供するアプリケーションで使用するローカル ポートとリモート ポートを指定したポート転送 リストをサポートします。各グループポリシーまたはユーザ名がサポートするポート転送リストは 1 つ のみであるため、サポートされる各アプリケーションのセットをリストにグループ化する必要がありま す。adaptive security appliance コンフィギュレーションにすでに存在するポート転送リスト エントリ を表示するには、特権 EXEC モードで次のコマンドを入力します。 show run webvpn port-forward ポート転送エントリをリストに追加するには、webvpn コンフィギュレーション モードで次のコマンド を入力します。 port-forward {list_name local_port remote_server remote_port description} list_name:クライアントレス SSL VPN セッションのユーザがアクセスする一連のアプリケーション (技術的には一連の転送先 TCP ポート)の名前。adaptive security appliance は、名前を認識しない場合 に、ユーザが入力した名前を使用してリストを作成します。認識した場合は、ポート転送エントリをリ ストに追加します。最大文字数は 64 文字です。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-41 第 34 章 クライアントレス SSL VPN の設定 ポート転送の設定 local_port:ユーザのコンピュータで実行しているアプリケーションの TCP トラフィックをリッスン するポート。ローカル ポート番号は、各ポート転送リストに 1 回だけ使用できます。1 ~ 65535 の範 囲のポート番号またはポート名を入力します。既存のサービスとの競合を避けるため、1024 より大き いポート番号を使用してください。 remote_server:アプリケーションのリモート サーバの DNS 名または IP アドレス。IP アドレスは IPv4 または IPv6 形式で指定できます。特定の IP アドレスでクライアント アプリケーションを設定す る必要がないように、DNS 名を使用することをお勧めします。 注意 前の項の手順にしたがって、トンネルを確立し、IP アドレスに解決するために、DNS 名は、 トンネル グループに割り当てられた DNS 名と一致している必要があります。その項で説明 した domain-name group コマンドと dns-group コマンドの両方のデフォルトの設定は、 DefaultDNS です。 remote_port:このアプリケーションが接続するリモート サーバのポート。これは、アプリケーション が使用する実際のポートです。1 ~ 65535 の範囲のポート番号またはポート名を入力します。 description:エンド ユーザの Port Forwarding Java アプレット画面に表示されるアプリケーション名ま たは簡単な説明。最大文字数は 64 文字です。 リストからエントリを削除するには、コマンドの no 形式を使用し、リストとローカル ポートの名前の 両方を指定します。この場合、リモート サーバ、リモート ポート、説明はオプションです。 no port-forward list_name local_port 次の表に、アプリケーション例に使用されている値を示します。 アプリケーション ローカル ポート サーバ DNS 名 リモート ポー ト 説明 IMAP4S e-mail 20143 IMAP4Sserver 143 Get Mail SMTPS e-mail 20025 SMTPSserver 25 Send Mail DDTS over SSH 20022 DDTSserver 22 DDTS over SSH Telnet 20023 Telnetserver 23 Telnet 次の例に、これらのアプリケーションにアクセスを提供する SalesGroupPorts というポート転送リスト の作成方法を示します。 hostname(config)# webvpn hostname(config-webvpn)# hostname(config-webvpn)# hostname(config-webvpn)# hostname(config-webvpn)# port-forward port-forward port-forward port-forward SalesGroupPorts SalesGroupPorts SalesGroupPorts SalesGroupPorts 20143 20025 20022 20023 IMAP4Sserver 143 Get Mail SMTPSserver 25 Send Mail DDTSserver 22 DDTS over SSH Telnetserver 23 Telnet ポート転送リストのコンフィギュレーションに続いて、次の項で説明するように、リストをグループ ポリシーまたはユーザ名に割り当てます。 ポート転送リストの割り当て グループ ポリシーとユーザ名ごとに、次のいずれかを実行するようにクライアントレス SSL VPN を設 定できます。 • ユーザのログイン時に自動的にポート転送アクセスを開始します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-42 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 ポート転送の設定 • ユーザのログイン時にポート転送アクセスをイネーブルにしますが、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、手動 でそれを開始する必要があります。 (注) これらのオプションは、各グループ ポリシーとユーザ名に対して互いに排他的です。1 つだけ使用して ください。 表 34-7 に、各グループ ポリシーとユーザ名で使用可能な port-forward コマンドを示します。各グ ループ ポリシーとユーザ名のコンフィギュレーションは、一度にこれらのコマンドの 1 つだけサポー トするため、1 つのコマンドを入力すると、adaptive security appliance は、該当のグループ ポリシー またはユーザ名のコンフィギュレーションに存在するコマンドを新しいコマンドで置き換えるか、最後 のコマンドの場合は、グループ ポリシーまたはユーザ名コンフィギュレーションにすでに存在する port-forward コマンドを単純に削除します。 表 34-7 グループポリシーとユーザ名の webvpn port-forward コマンド コマンド 説明 port-forward auto-start list_name ユーザのログイン時に自動的にポート転送を開始します。 port-forward enable list_name ユーザのログイン時にポート転送をイネーブルにしますが、 ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタンを使用して、 手動でポート転送を開始する必要があります。 port-forward disable no port-forward [auto-start list_name | enable list_name | disable] ポート転送を禁止します。 グループ ポリシーまたはユーザ名コンフィギュレーションから port-forward コマンドを削除し、デフォルトのグループ ポリ シーから [no] port-forward コマンドを継承します。no port-forward コマンドの後にあるキーワードはオプションです が、それらは削除を名前付きの port-forward コマンドに限定 します。 詳細については、使用するオプションについて説明している項を参照してください。 ポート転送の自動化 ユーザのログイン時にポート転送を自動的に開始するには、グループポリシー webvpn コンフィギュ レーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、次のコマンドを入力し ます。 port-forward auto-start list_name list_name は、adaptive security appliance webvpn コンフィギュレーションにすでに存在するポート転 送リストに名前を付けます。複数のポート転送リストをグループ ポリシーまたはユーザ名に割り当て ることはできません。adaptive security appliance コンフィギュレーションに存在するポート転送を表 示するには、特権 EXEC モードで show run webvpn port-forward コマンドを入力します。 グループ ポリシーまたはユーザ名から port-forward コマンドを削除し、デフォルトのグループ ポリ シーから [no] port-forward コマンドを継承するには、コマンドの no 形式を使用します。 no port-forward 次のコマンドは、apps1 という名前のポート転送リストをグループ ポリシーに割り当てます。 hostname(config-group-policy)# webvpn Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-43 第 34 章 クライアントレス SSL VPN の設定 ファイル アクセスの設定 hostname(config-group-webvpn)# port-forward auto-start apps1 ポート転送のイネーブル化とディセーブル化 デフォルトで、ポート転送はディセーブルになっています。ポート転送をイネーブルにした場合、ユー ザはクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Applications] ボタン を使用して、手動でそれを開始する必要があります。前の項で説明した port-forward auto-start list_name コマンドを port-forward enable list_name コマンドの代わりに入力した場合、ユーザはポー ト転送を使用するためにそれを手動で開始する必要がなくなります。 ポート転送をイネーブルまたはディセーブルにするには、グループポリシー webvpn コンフィギュレー ション モードまたはユーザ名 webvpn コンフィギュレーション モードで、次のコマンドを入力します。 port-forward [enable list_name | disable] list_name は adaptive security appliance webvpn コンフィギュレーションにすでに存在するポート転送 リストの名前です。複数のポート転送リストをグループ ポリシーまたはユーザ名に割り当てることは できません。ポート転送リストのエントリを表示するには、特権 EXEC モードで show running-config port-forward コマンドを入力します。 グループ ポリシーまたはユーザ名から port-forward コマンドを削除し、デフォルトのグループ ポリ シーから [no] port-forward コマンドを継承するには、コマンドの no 形式を使用します。 no port-forward 次のコマンドは、apps1 という名前のポート転送リストをグループ ポリシーに割り当てます。 hostname(config-group-policy)# webvpn hostname(config-group-webvpn)# port-forward enable apps1 次のコマンドはポート転送をディセーブルにします。 hostname(config-group-webvpn)# port-forward disable ファイル アクセスの設定 クライアントレス SSL VPN は、リモート ユーザに adaptive security appliance で実行するプロキシ CIFS クライアントと FTP クライアントとのインターフェイスをとる HTTPS ポータル ページを提供し ます。クライアントレス SSL VPN は、CIFS または FTP を使用して、ユーザが認証の要件を満たして いてファイルのプロパティがアクセスを制限しない限り、ネットワーク上のファイルへのネットワーク アクセスをユーザに提供します。CIFS クライアントおよび FTP クライアントは透過的です。クライア ントレス SSL VPN から送信されるポータル ページでは、ファイル システムに直接アクセスしている かのように見えます。 ユーザがファイルのリストを要求すると、クライアントレス SSL VPN は、そのリストが含まれるサー バの IP アドレスをマスター ブラウザに指定されているサーバに照会します。adaptive security appliance はリストを入手してポータル ページ上のリモート ユーザに送信します。 クライアントレス SSL VPN は、ユーザの認証要求とファイルのプロパティに応じて、ユーザが次の CIFS および FTP の機能を呼び出すことができるようにします。 • ドメインおよびワークグループへの移動とリスト、ドメインまたはワークグループ内のサーバへの 移動とリスト、サーバ内部の共有、共有部分またはディレクトリ内でのファイルの共有 • ディレクトリの作成 • ファイルのダウンロード、アップロード、移動、削除 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-44 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 ファイル アクセスの設定 adaptive security appliance は、通常、adaptive security appliance と同じネットワーク上か、またはこ のネットワークからアクセス可能な場所のマスター ブラウザ、WINS サーバ、または DNS サーバを使 用して、リモート ユーザがクライアントレス SSL VPN セッション中に表示されるポータル ページの メニュー上またはツールバー上の [Browse Networks] をクリックしたときに、ネットワークでサーバの リストを照会します。 マスター ブラウザまたは DNS サーバには、adaptive security appliance 上の CIFS/FTP クライアント と、クライアントレス SSL VPN がリモート ユーザに提供するネットワーク リソースのリストが表示 されます。 (注) ファイル アクセスを設定する前に、ユーザ アクセス用のサーバに共有を設定する必要があります。 ファイル アクセスのサポートの追加 次のように、ファイル アクセスを設定します。 (注) この手順 1 は、マスター ブラウザと WINS サーバの指定方法について説明します。代わりに、ASDM を使用して、ファイル共有にアクセスを提供する URL リストとエントリを設定できます。 ASDM の共有の追加では、マスター ブラウザまたは WINS サーバは不要です。ただし、Browse Networks リンクはサポートされません。このコマンドの入力時に ServerA を参照するためのホスト名 または IP アドレスが使用できます。ホスト名を使用する場合、adaptive security appliance には IP アド レスを解決するための DNS サーバが必要です。 ステップ 1 NetBIOS Name Server(NBNS)ごとに 1 回ずつ、トンネルグループの webvpn コンフィギュレーショ ン モードで、nbns-server コマンドを使用します。この手順により、ユーザはネットワークまたはドメ インを参照できます。 nbns-server {IPaddress | hostname} [master] [timeout timeout] [retry retries] master は、マスター ブラウザに指定されるコンピュータです。マスター ブラウザは、コンピュータと 共有リソースのリストを保持します。コマンドのマスター部分を入力せずにこのコマンドで指定する任 意の NBNS サーバは、Windows Internet Naming Server(WINS)である必要があります。まずマス ター ブラウザを指定してから、WINS サーバを指定してください。接続プロファイル用のマスター ブ ラウザを含め、サーバは最大 3 つまで指定できます。 retries は、NBNS サーバに対するクエリーのリトライ回数です。adaptive security appliance は、この 回数だけサーバのリストを再利用してからエラー メッセージを送信します。デフォルト値は 2 で、範 囲は 1 ~ 10 です。 timeout は、adaptive security appliance が、クエリーを再度サーバに送信する前に待機する秒数です。 このとき、サーバが 1 つしかない場合は同じサーバに送信し、サーバが複数存在する場合は別のサーバ に送信します。デフォルトのタイムアウトは 2 秒で、範囲は 1 ~ 30 秒です。 次に例を示します。 hostname(config-tunnel-webvpn)# nbns-server 192.168.1.20 master hostname(config-tunnel-webvpn)# nbns-server 192.168.1.41 hostname(config-tunnel-webvpn)# nbns-server 192.168.1.47 (注) 接続プロファイル コンフィギュレーションにすでに存在する NBNS サーバを表示する場合は、 show tunnel-group webvpn-attributes コマンドを使用します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-45 第 34 章 クライアントレス SSL VPN の設定 SharePoint アクセスのためのクロック精度の確認 ステップ 2 (オプション)クライアントレス SSL VPN ポータル ページをリモート ユーザに送信するために符号化 する文字セットを指定する character-encoding コマンドを使用します。デフォルトでは、リモート ブ ラウザ上の符号化タイプ セットによって、クライアントレス SSL VPN ポータル ページの文字セット が決定されるため、ユーザは、ブラウザで符号化を適切に実行するために必要となる場合に限り、文字 の符号化を設定する必要があります。 character-encoding charset Charset は、最大 40 文字からなる文字列で、http://www.iana.org/assignments/character-sets で指定さ れたいずれかの有効文字セットと同じです。このページのリストにある名前またはエイリアスのいずれ かを使用できます。例には、iso-8859-1、shift_jis、および ibm850 が含まれています。 (注) character-encoding 値および file-encoding 値では、ブラウザが使用するフォント ファミリを除 外しません。これらの値のいずれかに対し、次の例で示すように日本語の Shift JIS 文字符号化 を使用する場合は、webvpn カスタマイゼーション コマンド モードの page style コマンドを使 用してフォント ファミリを置き換えるか、webvpn カスタマイゼーション コマンド モードで no page style コマンドを入力してフォント ファミリを削除することにより、設定を補う必要が あります。 次に、日本語の Shift JIS 文字をサポートしてフォント ファミリを削除し、さらにデフォルトの背景色 を保持するための character-encoding アトリビュートを設定する例を示します。 hostname(config-webvpn)# character-encoding shift_jis hostname(config-webvpn)# customization DfltCustomization hostname(config-webvpn-custom)# page style background-color:white ステップ 3 (オプション)特定の CIFS サーバのクライアントレス SSL VPN ポータル ページの符号化を指定する file-encoding コマンドを使用します。このため、これ以外の文字の符合化が必要な各 CIFS サーバに 対し、異なるファイル符号化値を使用できます。 file-encoding {server-name | server-ip-address} charset 次の例では、IBM860(エイリアス「CP860」)文字をサポートするために、CIFS サーバ 10.86.5.174 にファイル符号化アトリビュートを設定しています。 hostname(config-webvpn)# file-encoding 10.86.5.174 cp860 これらのコマンドの詳細については、 『Cisco Security Appliance Command Reference』を参照してくだ さい。 SharePoint アクセスのためのクロック精度の確認 adaptive security appliance のクライアントレス SSL VPN サーバはクッキーを使用して、エンドポイン ト上の Microsoft Word などのアプリケーションと対話します。adaptive security appliance の時刻が正 しくない場合に、Word が SharePoint サーバ上のドキュメントにアクセスすると、adaptive security appliance によって設定されたクッキーの有効期限により、正しく動作しないことがあります。この誤 動作を防ぐには、ASA クロックを正しく設定します。NTP サーバとダイナミックに時刻を同期するよ うに、adaptive security appliance を設定することをお勧めします。手順については、「日付と時刻の設 定」を参照してください。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-46 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 PDA でのクライアントレス SSL VPN の使用 PDA でのクライアントレス SSL VPN の使用 Pocket PC または他の認定された携帯情報端末からクライアントレス SSL VPN にアクセスできます。 adaptive security appliance の管理者やクライアントレス SSL VPN ユーザは、特に何もしなくても、認 定された PDA でクライアントレス SSL VPN を使用できます。 シスコでは次の PDA プラットフォームを認定しています。 HP iPaq H4150 Pocket PC 2003 Windows CE 4.20.0、ビルド 14053 Pocket Internet Explorer(PIE) ROM バージョン 1.10.03ENG ROM 日付:7/16/2004 PDA のバージョンによって、クライアントレス SSL VPN に次のような相違点があります。 • ポップアップのクライアントレス SSL VPN ウィンドウはバナー Web ページに置き換わっていま す。 • 標準のクライアントレス SSL VPN フローティング ツールバーがアイコン バーに置き換わってい ます。このバーには、Go、Home、および Logout の各種ボタンが表示されます。 • メインのクライアントレス SSL VPN ポータル ページに [Show Toolbar] アイコンがありません。 • クライアントレス SSL VPN のログアウト時に、警告メッセージで PIE ブラウザを正しく閉じる手 順が表示されます。この手順に従わないで通常の方法でブラウザのウィンドウを閉じると、クライ アントレス SSL VPN または HTTPS を使用するすべてのセキュアな Web サイトから PIE が切断さ れません。 • クライアントレス SSL VPN は OWA 2000 版および OWA 2003 版の基本認証をサポートします。 OWA サーバに基本認証を設定せずにクライアントレス SSL VPN ユーザがこのサーバにアクセス しようとするとアクセスは拒否されます。 • サポートされていないクライアントレス SSL VPN の機能 – Application Access および他の Java 依存の各種機能 – HTTP プロキシ – Cisco Secure Desktop の Microsoft Windows CE の限定的なサポート – Microsoft Outlook Web Access(OWA)5.5 – Citrix Metaframe 機能(PDA に対応する Citrix ICA クライアント ソフトウェアが装備されて いない場合)。 クライアントレス SSL VPN を介した電子メールの使用 クライアントレス SSL VPN は、電子メールにアクセスする方法をいくつかサポートしています。ここ では、次の方式について説明します。 • 電子メール プロキシの設定 • Web 電子メール MS Outlook Web Access の設定 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-47 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN を介した電子メールの使用 電子メール プロキシの設定 クライアントレス SSL VPN は IMAP4S、POP3S、および SMTPS 電子メール プロキシをサポートし ています。表 34-8 に、電子メール プロキシ ユーザにグローバルに適用されるアトリビュートを示しま す。 表 34-8 クライアントレス SSL VPN を介した電子メール プロキシ ユーザのアトリビュート 機能 コマンド デフォルト値 電子メール プロキシで使用するように事前に設定されてい るアカウンティング サーバを指定します。 accounting-server-group なし 電子メール プロキシ ユーザ用の認証方式(複数可)を指定 します。 authentication IMAP4S:メールホスト(必 須) POP3S メールホスト(必須) 電子メール プロキシで使用するように事前に設定されてい る認証サーバを指定します。 SMTPS:AAA authentication-server-group LOCAL クライアントレス SSL VPN で使用するように事前に設定さ authorization-server-group れている認可サーバを指定します。 なし ユーザが接続するには、正常に認可される必要があります。 authorization-required Disabled 認可のユーザ名として使用するピア証明書の DN を指定し ます。 authorization-dn-attributes プライマリ アトリビュート: CN セカンダリ アトリビュート: OU 使用するグループポリシーの名前を指定します。 default-group-policy DfltGrpPolicy 指定したインターフェイスで電子メール プロキシをイネー ブルにします。 enable Disabled 電子メールと VPN のユーザ名とパスワードとの間の区切り 記号を定義します。 name-separator 未処理の未承認セッションの最大数を設定します。 outstanding 20 電子メール プロキシがリスンするポートを設定します。 port IMAP4S:993 「:」(コロン) POP3S:995 SMTPS:9881 デフォルトの電子メール サーバを指定します。 server 電子メールとサーバ名との間の区切り記号を定義します。 server-separator なし。 「 @」 1. Eudora 電子メール クライアントでは、SMTPS 接続のデフォルトのポートが 988 の場合でも、SMTPS はポート 465 でだけ動作します。 電子メールプロキシの証明書認証 電子メール プロキシ接続の証明書認証は、Netscape 7x 電子メール クライアントで機能します。MS Outlook、MS Outlook Express、Eudora など、他の電子メール クライアントは、証明書ストアにアク セスできません。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-48 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN のパフォーマンスの最適化 Web 電子メール MS Outlook Web Access の設定 Web 電子メールとは、MS Outlook Web Access for Exchange 2000、Exchange 5.5、および Exchange 2003 のことです。中央サイトに MS Outlook Exchange Server が必要です。また、ユーザが次の作業を 行う必要があります。 • クライアントレス SSL VPN セッションで、ブラウザに電子メール サーバの URL を入力する。 • プロンプトが表示されたら、電子メール サーバのユーザ名を domain\username 形式で入力する。 • 電子メールのパスワードを入力する。 クライアントレス SSL VPN のパフォーマンスの最適化 adaptive security appliance には、クライアントレス SSL VPN のパフォーマンスと機能性を最適化する いくつかの方法があります。パフォーマンスの改善には、キャッシングと Web オブジェクトの圧縮が 含まれます。機能性の調整には、コンテンツの変換およびプロキシのバイパスが含まれます。APCF は、コンテンツの変換を調整するための追加的な方法を提供します。この項では、次のトピックを取り 上げます。 • キャッシングの設定 • コンテンツの変換の設定 キャッシングの設定 キャッシングを行うとクライアントレス SSL VPN のパフォーマンスが向上します。キャッシングに よって頻繁に再利用されるオブジェクトはシステム キャッシュに保存され、コンテンツを繰り返しリ ライトしたり圧縮する必要性を減らしたりすることができます。また、クライアントレス SSL VPN と リモート サーバ間のトラフィックが軽減されるため、多くのアプリケーションが今までよりはるかに 効率的に実行できるようになります。 デフォルトでは、キャッシングはイネーブルになっています。次のように、webvpn モードからキャッ シング コマンドを入力すると、ユーザの環境に応じてキャッシング動作をカスタマイズできます。 hostname(config)# hostname(config)# webvpn hostname(config-webvpn)# cache 次に、キャッシング コマンドとその機能のリストを示します。 キャッシング コマンド 機能 disable キャッシングをディセーブルにします。 expiry-time キャッシング オブジェクトの期限切れの時刻を設定します。 lmfactor キャッシングされたオブジェクトを再検証するための用語を設定しま す。 max-object-size キャッシュに入れるオブジェクトの最大サイズを設定します。 min-object-size キャッシュに入れるオブジェクトの最小サイズを設定します。 cache-static-content キャッシング可能なすべての Web オブジェクトをキャッシュに入れ、 コンテンツはリライトの対象にしません。例には、イメージや PDF ファイルがあります。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-49 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN のパフォーマンスの最適化 コンテンツの変換の設定 デフォルトでは、adaptive security appliance は、コンテンツ変換およびリライト エンジンを通じ、 JavaScript および Java などの高度な要素からプロキシ HTTP へのトラフィックを含む、すべてのクラ イアントレス SSL VPN トラフィックを処理します。このようなトラフィックでは、ユーザがアプリ ケーションにアクセスするのに SSL VPN デバイス内部からアクセスしているか、これらに依存せずに アクセスしているかによって、セマンティックやアクセス コントロールのルールが異なる場合があり ます。 Web リソースによっては高度に個別の処理が要求される場合があります。次の各項では、このような 処理を提供する機能について説明します。 • リライト済み Java コンテンツに署名するための証明書の設定 • コンテンツのリライトのディセーブル化 • プロキシのバイパスの使用 • アプリケーション プロファイル カスタマイゼーション フレームワークの設定 組織や関係する Web コンテンツの要件に応じてこれらの機能のいずれかを使用する場合があります。 リライト済み Java コンテンツに署名するための証明書の設定 クライアントレス SSL VPN が変換した Java オブジェクトは、その後、トラストポイントに関連付け られた PKCS12 デジタル証明書により署名されます。crypto ca import コマンドと java-trustpoint コ マンドを組み合せて、証明書をインポートし使用します。 次のコマンド例は mytrustpoint と呼ばれるトラストポイントの作成と Java オブジェクト署名への割り 当てを示しています。 hostname(config)# crypto ca import mytrustpoint pkcs12 mypassphrase Enter the base 64 encoded PKCS12. End with the word “quit” on a line by itself. [ PKCS12 data omitted ] quit INFO: Import PKCS12 operation completed successfully. hostname(config)# webvpn hostname(config)# java-trustpoint mytrustpoint コンテンツのリライトのディセーブル化 公開 Web サイトなどの一部のアプリケーションや Web リソースによっては、adaptive security appliance を通過しない設定が求められる場合があります。このため、adaptive security appliance では、 特定のサイトやアプリケーションをを通過せずにブラウズできる adaptive security appliance リライト ルールを作成できます。これは、IPSec VPN 接続のスプリット トンネリングと同様の機能です。 webvpn モードで rewrite コマンドと disable オプションを使用して、クライアントレス SSL VPN ト ンネル外部にアクセスするためのアプリケーションとリソースを指定します。 この rewrite コマンドは複数回使用できます。セキュリティ アプライアンスはリライト ルールを順序番 号にしたがって検索するため、ルールの順序番号は重要です。このとき、最下位の番号から順に検索し て行き、最初に一致したルールが適用されます。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-50 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN のパフォーマンスの最適化 プロキシのバイパスの使用 ユーザは adaptive security appliance プロキシ バイパスを使用するようにを設定できます。これは、プ ロキシ バイパスが提供する特殊なコンテンツ リライト機能を使用した方が、アプリケーションや Web リソースをより有効活用できる場合に設定します。プロキシ バイパスはコンテンツ リライトに代わる 手法で、元のコンテンツへの変更を最小限にします。多くの場合、カスタム Web アプリケーションで これを使用すると有効です。 このコマンドは複数回使用できます。エントリを設定する順序は重要ではありません。インターフェイ スとパス マスク、またはインターフェイスとポートを組み合せることで、プロキシ バイパスのルール を一意に指定できます。 ネットワーク設定に応じてパス マスクではなくポートを使用してプロキシ バイパスを設定する場合、 これらのポートから adaptive security appliance にアクセスできるようにファイアウォール設定を変更 する必要がある場合があります。この制約を回避するにはパス マスクを使用します。ただし、このパ ス マスクは変更される場合があるため、複数の pathmask 文を使用して可能性を排除する必要があるこ とに注意してください。 パスとは URL の中で .com、.org、または他のドメイン名以降に記述されているすべてを指します。た とえば、www.mycompany.com/hrbenefits という URL では、hrbenefits がパスになります。同様に、 www.mycompany.com/hrinsurance という URL では、hrinsurance がパスです。すべての hr サイトで プロキシ バイパスを使用する場合は、/hr* のように * をワイルドカードとして使用すると、コマンド を何度も入力しなくてもすみます。 プロキシ バイパスを設定するには、webvpn モードで proxy-bypass コマンドを使用します。 アプリケーション プロファイル カスタマイゼーション フレームワークの設定 クライアントレス SSL VPN 用の Apllication Profile Customization Framework(APCF; アプリケー ション プロファイル カスタマイゼーション フレームワーク)プロファイルを使用すると、adaptive security appliance は、標準以外のアプリケーションや Web リソースを処理できるようになり、クライ アントレス SSL VPN 接続を介してこれらが正しく表示されます。APCF プロファイルには、特定のア プリケーションに送信するデータの送信時刻(処理前、処理後)、送信部分(ヘッダー、本文、要求、 応答)、および送信内容を指定したスクリプトが含まれています。スクリプトは XML 形式で記述され、 ストリングおよびテキストの変換では sed(ストリーム エディタ)のシンタックスが使用されます。 APCF プロファイルは、adaptive security appliance 上で数種類を同時に実行できます。1 つの APCF プ ロファイルのスクリプト内に複数の APCF ルールを適用できます。この場合、adaptive security appliance は、最も古いルール(設定履歴に基づいて)を最初に処理し、次に 2 番目に古いルール、そ の次は 3 番目という順序で処理します。 APCF プロファイルは、adaptive security appliance のフラッシュ メモリ、HTTP サーバ、HTTPS サー バ、または TFTP サーバに保存できます。webvpn モードで apcf コマンドを使用すると、adaptive security appliance 上にロードする APCF プロファイルを指定し、検索できます。 (注) APCF プロファイルは、シスコの担当者のサポートが受けられる場合のみ設定することをお勧めしま す。 次の例は、フラッシュ メモリに保存されている apcf1.xml という名前の APCF プロファイルのイネー ブル化を示します。 hostname(config)# webvpn hostname(config-webvpn)# apcf flash:/apcf/apcf1.xml この例では、ポート番号 1440、パスが /apcf の myserver という名前の https サーバにある APCF プロ ファイル apcf2.xml をイネーブルにする手順を示しています。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-51 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 hostname(config)# webvpn hostname(config-webvpn)# apcf https://myserver:1440/apcf/apcf2.xml APCF の例 APCF プロファイルは、XML フォーマットおよび sed スクリプト シンタックスを使用します。次の例 に、APCF プロファイルの例を示します。 注意 APCF プロファイルの使用方法を誤ると、パフォーマンスが低下したり、好ましくない表現のコン テンツになる場合があります。シスコのエンジニアリング部では、APCF プロファイルを提供する ことで特定アプリケーションの表現上の問題を解決しています。 <APCF> <version>1.0</version> <application> <id>Do not compress content from notsogood.com</id> <apcf-entities> <process-request-header> <conditions> <server-fnmatch>*.notsogood.com</server-fnmatch> </conditions> <action> <do><no-gzip/></do> </action> </process-request-header> </apcf-entities> </application> </APCF> クライアントレス SSL VPN エンド ユーザの設定 この項は、エンド ユーザのためにクライアントレス SSL VPN を設定するシステム管理者を対象にして います。ここでは、エンド ユーザ インターフェイスをカスタマイズする方法について説明します。 この項では、リモート システムの設定要件と作業の概要を説明します。ユーザがクライアントレス SSL VPN の使用を開始するために、ユーザに伝える必要のある情報を明確にします。次の項目につい て説明します。 • エンド ユーザ インターフェイスの定義 • 「クライアントレス SSL VPN ページのカスタマイズ」(P.34-56) • 「ヘルプのカスタマイズ」(P.34-65) • ユーザ名とパスワードの要求 • セキュリティのヒントの通知 • クライアントレス SSL VPN の機能を使用するためのリモート システムの設定 • ユーザ メッセージの言語の変換 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-52 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 エンド ユーザ インターフェイスの定義 クライアントレス SSL VPN エンド ユーザ インターフェイスは一連の HTML パネルで構成されます。 ユーザは、adaptive security appliance インターフェイスの IP アドレスを https://address 形式で入力す ることにより、クライアントレス SSL VPN にログインします。最初に表示されるパネルは、ログイン 画面です(図 34-5)。 図 34-5 クライアントレス SSL VPN の Login 画面 クライアントレス SSL VPN ホーム ページの表示 ユーザがログインすると、ポータルページが開きます(図 34-6)。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-53 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 図 34-6 クライアントレス SSL VPN ホーム ページ ホームページには設定済みのクライアントレス SSL VPN 機能がすべて表示され、選択済みのロゴ、テ キスト、および色が外観に反映されています。このサンプル ホームページには、特定のファイル共有 の指定機能以外のすべてのクライアントレス SSL VPN 機能が表示されています。ユーザはこのホーム ページを使用して、ネットワークのブラウズ、URL の入力、特定の Web サイトへのアクセス、および Application Access(ポート転送とスマート トンネル)による TCP アプリケーションへのアクセスを 実行できます。 クライアントレス SSL VPN の Application Access パネルの表示 ポート転送またはスマート トンネルを開始するには、ユーザは [Application Access] ボックスの [Go] ボタンをクリックします。[Application Access] ウィンドウが開きます(図 34-7)。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-54 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 図 34-7 クライアントレス SSL VPN の [Application Access] ウィンドウ このウィンドウには、このクライアントレス SSL VPN 接続用に設定された TCP アプリケーションが 表示されます。アプリケーションを使用する場合は、このパネルを開いたまま、通常の方法でアプリ ケーションを起動します。 (注) ステートフル フェールオーバーでは、Application Access を使用して確立されたセッションが維持され ません。ユーザはフェールオーバー後に再接続する必要があります。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-55 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 フローティング ツールバーの表示 図 34-8 に示すフローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表しま す。 図 34-8 クライアントレス SSL VPN フローティング ツールバー ࠷࡞ࡃࠍࡉ࠙ࠩߩ ኻߦ⒖േ ࡙ࠩߩࡠࠣ ࠕ࠙࠻ ࡐ࠲࡞ ࡎࡓࡍࠫࠍ␜ 191984 URL ࠛࡦ࠻ߩ࠳ࠗࠕࡠࠣࡏ࠶ࠢࠬࠍേ フローティング ツールバーの次の特性に注意してください。 • ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイル の場所のブラウズ、設定済み Web 接続の選択ができます。 • ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバー は表示できません。 • ツールバーを閉じると、adaptive security appliance はクライアントレス SSL VPN セッションの終 了を確認するプロンプトを表示します。 クライアントレス SSL VPN の使用方法については、表 34-11(P.34-70)を参照してください。 クライアントレス SSL VPN ページのカスタマイズ クライアントレス SSL VPN ユーザに表示されるポータル ページの外観を変えることができます。変更 できる外観には、ユーザによるセキュリティ アプライアンスへの接続時に表示される Login ページ、 セキュリティ アプライアンスのユーザ承認後に表示されるホームページ、ユーザによるアプリケー ション起動時に表示される Application Access ウィンドウ、さらにはユーザによるクライアントレス SSL VPN セッションのログオフ時に表示される Logout ページがあります。 ポータル ページのカスタマイズ後は、このカスタマイズを保存して特定の接続プロファイル、グルー プ ポリシー、ユーザに適用できます。いくつものカスタマイゼーション オブジェクトを作成、保存し て、ユーザ個人やユーザ グループに応じてポータル ページの外観を変更するようにセキュリティ アプ ライアンスをイネーブル化できます。 ここでは、次の項目とタスクについて説明します。 • 「カスタマイゼーションのしくみ」(P.34-57) • 「カスタマイゼーション テンプレートのエクスポート」(P.34-57) Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-56 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 • 「カスタマイゼーション テンプレートの編集」(P.34-58) • 「カスタマイゼーション オブジェクトのインポート」(P.34-63) • 「接続プロファイル、グループ ポリシー、ユーザへのカスタマイゼーションの適用」(P.34-64) カスタマイゼーションのしくみ adaptive security appliance はカスタマイゼーション オブジェクトを使用して、ユーザ画面の外観を定 義します。カスタマイゼーション オブジェクトは、リモート ユーザに表示されるすべてのカスタマイ ズ可能な画面項目の XML タグを含む XML ファイルからコンパイルされたものです。adaptive security appliance ソフトウェアには、リモート PC にエクスポート可能なカスタマイゼーション テン プレートがあります。このテンプレートを編集し、新しいカスタマイゼーション オブジェクトとして、 そのテンプレートを adaptive security appliance にインポートすることもできます。 カスタマイゼーション オブジェクトをエクスポートすると、XML タグを含む XML ファイルが、指定 した URL に作成されます。Template というカスタマイゼーション オブジェクトによって作成された XML ファイルには、空の XML タグが含まれ、新しいカスタマイゼーション オブジェクトを作成する ための基礎となります。このオブジェクトは、変更やキャッシュ メモリから削除することはできませ んが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとして adaptive security appliance にインポートできます。 カスタマイゼーション オブジェクト、接続プロファイル、グループ ポリシー ユーザが初めて接続したときに、接続プロファイル(トンネル グループ)に指定されたデフォルトの カスタマイゼーション オブジェクト(DfltCustomization という)によって、ログオン画面の表示方法 が決定されます。接続プロファイル リストがイネーブルにされていて、ユーザが別のグループを選択 し、そのグループに独自のカスタマイゼーションがある場合、画面はその新しいグループのカスタマイ ゼーション オブジェクトを反映して変更されます。 リモート ユーザの認証後、画面の外観は、グループ ポリシーに割り当てられているカスタマイゼー ション オブジェクトによって決定されます。 次の項で、カスタマイゼーションの作成とそれらの適用方法を示します。 • 「カスタマイゼーション テンプレートのエクスポート」(P.34-57) • 「カスタマイゼーション テンプレートの編集」(P.34-58) • 「カスタマイゼーション オブジェクトのインポート」(P.34-63) • 「接続プロファイル、グループ ポリシー、ユーザへのカスタマイゼーションの適用」(P.34-64) カスタマイゼーション テンプレートのエクスポート カスタマイゼーション オブジェクトをエクスポートすると、指定した URL に XML ファイルが作成さ れます。カスタマイゼーション テンプレート(Template)には、空の XML タグが含まれ、新しいカ スタマイゼーション オブジェクトを作成するための基礎となります。このオブジェクトは、変更や キャッシュ メモリから削除することはできませんが、エクスポートし、編集して、新しいカスタマイ ゼーション オブジェクトとして adaptive security appliance にインポートできます。 export webvpn customization コマンドを使用して、カスタマイゼーション オブジェクトをエクス ポートし、XML タグを変更して、import webvpn customization コマンドを使用し、そのファイルを 新しいオブジェクトとしてインポートします。 次の例では、デフォルトのカスタマイゼーション オブジェクト(DfltCustomization)をエクスポート し、dflt_custom という名前の XML ファイルを作成します。 hostname# export webvpn customization DfltCustomization tftp://209.165.200.225/dflt_custom Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-57 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 !!!!!!!!!!!!!!!!INFO: Customization object 'DfltCustomization' was exported to tftp://10.86.240.197/dflt_custom hostname# カスタマイゼーション テンプレートの編集 ここでは、カスタマイゼーション オブジェクト テンプレートの内容を示し、便利な図を掲載していま す。これらは、正しい XML タグを速やかに選択して、画面に影響する変更を行うのに役立ちます。 XML ファイルを編集するには、テキスト エディタまたは XML エディタを使用できます。次の例に、 カスタマイゼーション テンプレートの XML タグを示します。見やすくするため、一部の冗長なタグ は削除しています。 <custom> <localization> <languages>en,ja,zh,ru,ua</languages> <default-language>en</default-language> </localization> <auth-page> <window> <title-text l10n="yes"><![CDATA[SSL VPN Service]]></title-text> </window> <full-customization> <mode>disable</mode> <url></url> </full-customization> <language-selector> <mode>disable</mode> <title l10n="yes">Language:</title> <language> <code>en</code> <text>English</text> </language> <language> <code>zh</code> <text>ä¸-国 (Chinese)</text> </language> <language> <code>ja</code> <text>日本 (Japanese)</text> </language> <language> <code>ru</code> <text>РуÑÑкий (Russian)</text> </language> <language> <code>ua</code> <text>УкраїнÑька (Ukrainian)</text> </language> </language-selector> <logon-form> <title-text l10n="yes"><![CDATA[Login]]></title-text> <title-background-color><![CDATA[#666666]]></title-background-color> <title-font-color><![CDATA[#ffffff]]></title-font-color> <message-text l10n="yes"><![CDATA[Please enter your username and password.]]></message-text> <username-prompt-text l10n="yes"><![CDATA[USERNAME:]]></username-prompt-text> <password-prompt-text l10n="yes"><![CDATA[PASSWORD:]]></password-prompt-text> <internal-password-prompt-text l10n="yes">Internal Password:</internal-password-prompt-text> <internal-password-first>no</internal-password-first> <group-prompt-text l10n="yes"><![CDATA[GROUP:]]></group-prompt-text> Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-58 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 <submit-button-text l10n="yes"><![CDATA[Login]]></submit-button-text> <title-font-color><![CDATA[#ffffff]]></title-font-color> <title-background-color><![CDATA[#666666]]></title-background-color> <font-color>#000000</font-color> <background-color>#ffffff</background-color> <border-color>#858A91</border-color> </logon-form> <logout-form> <title-text l10n="yes"><![CDATA[Logout]]></title-text> <message-text l10n="yes"><![CDATA[Goodbye.<br> For your own security, please:<br> <li>Clear the browser's cache <li>Delete any downloaded files <li>Close the browser's window]]></message-text> <login-button-text l10n="yes">Logon</login-button-text> <hide-login-button>no</hide-login-button> <title-background-color><![CDATA[#666666]]></title-background-color> <title-font-color><![CDATA[#ffffff]]></title-font-color> <title-font-color><![CDATA[#ffffff]]></title-font-color> <title-background-color><![CDATA[#666666]]></title-background-color> <font-color>#000000</font-color> <background-color>#ffffff</background-color> <border-color>#858A91</border-color> </logout-form> <title-panel> <mode>enable</mode> <text l10n="yes"><![CDATA[SSL VPN Service]]></text> <logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url> <gradient>yes</gradient> <style></style> <background-color><![CDATA[#ffffff]]></background-color> <font-size><![CDATA[larger]]></font-size> <font-color><![CDATA[#800000]]></font-color> <font-weight><![CDATA[bold]]></font-weight> </title-panel> <info-panel> <mode>disable</mode> <image-url l10n="yes">/+CSCOU+/clear.gif</image-url> <image-position>above</image-position> <text l10n="yes"></text> </info-panel> <copyright-panel> <mode>disable</mode> <text l10n="yes"></text> </copyright-panel> </auth-page> <portal> <title-panel> <mode>enable</mode> <text l10n="yes"><![CDATA[SSL VPN Service]]></text> <logo-url l10n="yes">/+CSCOU+/csco_logo.gif</logo-url> <gradient>yes</gradient> <style></style> <background-color><![CDATA[#ffffff]]></background-color> <font-size><![CDATA[larger]]></font-size> <font-color><![CDATA[#800000]]></font-color> <font-weight><![CDATA[bold]]></font-weight> </title-panel> <browse-network-title l10n="yes">Browse Entire Network</browse-network-title> <access-network-title l10n="yes">Start AnyConnect</access-network-title> Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-59 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 <application> <mode>enable</mode> <id>home</id> <tab-title l10n="yes">Home</tab-title> <order>1</order> </application> <application> <mode>enable</mode> <id>web-access</id> <tab-title l10n="yes"><![CDATA[Web Applications]]></tab-title> <url-list-title l10n="yes"><![CDATA[Web Bookmarks]]></url-list-title> <order>2</order> </application> <application> <mode>enable</mode> <id>file-access</id> <tab-title l10n="yes"><![CDATA[Browse Networks]]></tab-title> <url-list-title l10n="yes"><![CDATA[File Folder Bookmarks]]></url-list-title> <order>3</order> </application> <application> <mode>enable</mode> <id>app-access</id> <tab-title l10n="yes"><![CDATA[Application Access]]></tab-title> <order>4</order> </application> <application> <mode>enable</mode> <id>net-access</id> <tab-title l10n="yes">AnyConnect</tab-title> <order>4</order> </application> <application> <mode>enable</mode> <id>help</id> <tab-title l10n="yes">Help</tab-title> <order>1000000</order> </application> <toolbar> <mode>enable</mode> <logout-prompt-text l10n="yes">Logout</logout-prompt-text> <prompt-box-title l10n="yes">Address</prompt-box-title> <browse-button-text l10n="yes">Browse</browse-button-text> </toolbar> <column> <width>100%</width> <order>1</order> </column> <pane> <type>TEXT</type> <mode>disable</mode> <title></title> <text></text> <notitle></notitle> <column></column> <row></row> <height></height> </pane> <pane> <type>IMAGE</type> <mode>disable</mode> <title></title> <url l10n="yes"></url> <notitle></notitle> Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-60 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 <column></column> <row></row> <height></height> </pane> <pane> <type>HTML</type> <mode>disable</mode> <title></title> <url l10n="yes"></url> <notitle></notitle> <column></column> <row></row> <height></height> </pane> <pane> <type>RSS</type> <mode>disable</mode> <title></title> <url l10n="yes"></url> <notitle></notitle> <column></column> <row></row> <height></height> </pane> <url-lists> <mode>group</mode> </url-lists> <home-page> <mode>standard</mode> <url></url> </home-page> </portal> </custom> 図 34-9 に [Logon] ページと、そのカスタマイズする XML タグを示しています。これらのすべてのタ グは上位レベルのタグ <auth-page> にネストされています。 [Logon] ページと関連する XML タグ <title-panel> <mode> <title-panel> <logo-url> <title-panel> <text> <front-color> <font-weight> <font-gradient> <style> copyright-panel <mode> <text> <title-panel> <background-colors> <logon-form> <logon-form> <title-text> <title-font-colors> <title-background-color> <logon-form> <message-text> <username-prompt-text> <password-prompt-text> <internal-password-prompt-text> <internal-password-first> <group-prompt-text> 191904 図 34-9 <logon-form> <submit-button-text> <logon-form> <background-color> Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-61 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 図 34-10 に、[Logon] ページで使用可能な言語セレクタ ドロップダウン リストとこの機能をカスタマ イズするための XML タグを示します。これらのすべてのタグは上位レベルのタグ <auth-page> にネス トされています。 図 34-10 [Logon] 画面の言語セレクタと関連する XML タグ <localization> <default-language> <language-selector> <title> <language-selector> <mode> 191903 <language-selector> <language> <code> <text> 図 34-11 に、[Logon] ページで使用可能な情報パネルとこの機能をカスタマイズするための XML タグ を示します。この情報は、[Logon] ボックスの左側または右側に表示されます。これらのタグは上位レ ベルのタグ <auth-page> にネストされています。 図 34-11 [Logon] 画面上の情報パネルと関連する XML タグ <info-panel> <image-url> <image-position> <info-panel> <mode> 191905 <info-panel> <text> 図 34-12 に、ポータル ページとこの機能をカスタマイズするための XML タグを示します。これらの タグは上位レベルのタグ <auth-page> にネストされています。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-62 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 図 34-12 ポータル ページと関連する XML タグ <title-panel> <toolbar> <text> <mode> <gradient> <font-weight> <toolbar> <font-size> <front-color> <prompt-box-titles> <title-panel> <logo-url> <title-panel> <mode> <toolbar> <logout-prompt-text> <toolbar> <browse-button-text> <title-panel> <background-colors> <url-lists> <mode> <applications> <tab-Titles> <order> <mode> <pane> <type> <mode> <title> <text> <notitle> <column> <row> <height> 191906 <column> <width> <order> カスタマイゼーション オブジェクトのインポート XML ファイルを編集して保存したら、EXEC モードで import webvpn customization コマンドを使用 して、adaptive security appliance のキャッシュ メモリにインポートします。カスタマイゼーション オ ブジェクトがインポートされると、adaptive security appliance は XML コードの有効性をチェックしま す。コードが有効な場合、adaptive security appliance はそのオブジェクトをキャッシュ メモリの非表 示の場所に保存します。 次の例では、カスタマイゼーション オブジェクト General.xml を 209.165.201.22/customization の URL からインポートし、custom1 という名前を付けます。 hostname# import webvpn customization custom1 tftp://209.165.201.22/customization /General.xml Accessing tftp://209.165.201.22/customization/General.xml...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file disk0:/csco_config/97/custom1... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 329994 bytes copied in 5.350 secs (65998 bytes/sec) Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-63 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 接続プロファイル、グループ ポリシー、ユーザへのカスタマイゼーションの適用 カスタマイゼーションを作成したら、customization コマンドを使用して、このカスタマイゼーション を接続プロファイル、グループ、またはユーザに適用できます。このコマンドで表示されるオプション は、現在のモードの種類によって異なります。 (注) 接続プロファイルは、以前はトンネル グループと呼ばれていました。 接続プロファイル、グループポリシー、およびユーザの設定の詳細については、第 28 章「接続プロ ファイル、グループ ポリシー、およびユーザの設定」を参照してください。 接続プロファイルへのカスタマイゼーションの適用 接続プロファイルにカスタマイゼーションを適用するには、トンネルグループ webvpn モードで customization コマンドを使用します。 [no] customization name name は、接続プロファイルに適用するカスタマイゼーションの名前です。 コンフィギュレーションからコマンドを削除して、接続プロファイルからカスタマイゼーションを削除 するには、このコマンドの no 形式を使用します。 既存のカスタマイゼーションのリストを表示するには、customization コマンドの後に疑問符(?)を 入力します。 次の例では、トンネルグループ webvpn モードに入り、接続プロファイル cisco_telecommuters のカス タマイゼーション cisco をイネーブルにしています。 hostname(config)# tunnel-group cisco_telecommuters webvpn-attributes hostname(tunnel-group-webvpn)# customization cisco グループおよびユーザへのカスタマイゼーションの適用 グループまたはユーザにカスタマイゼーションを適用するにはグループポリシー webvpn モードまたは ユーザ名 webvpn モードで、customization コマンドを使用します。これらのモードには、none およ び value のオプションが含まれています。 [no] customization {none | value name} none は、グループまたはユーザのカスタマイゼーションをディセーブルにして値が継承されないよう にするオプションで、デフォルトのクライアントレス SSL VPN ページを表示します。 value name は、グループまたはユーザに適用するカスタマイゼーションの名前です。 コンフィギュレーションからコマンドを削除して値が継承されるようにするには、コマンドの no 形式 を使用します。 customization value コマンドの後に疑問符(?)を入力して、既存のカスタマイゼーションのリストを 表示します。 次の例では、グループポリシーの webvpn モードに入ってから、セキュリティ アプライアンスにカス タマイゼーションのリストを照会し、グループポリシー cisco_sales のカスタマイゼーション cisco を イネーブルにしています。 hostname(config)# group-policy cisco_sales attributes hostname(config-group-policy)# webvpn hostname(config-username-webvpn)# customization value ? config-username-webvpn mode commands/options: Available configured customization profiles: DfltCustomization cisco Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-64 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 hostname(config-group-webvpn)# customization value cisco 次の例では、ユーザ名の webvpn モードに入ってから、ユーザ cisco_employee のカスタマイゼーショ ン cisco をイネーブルにしています。 hostname(config)# username cisco_employee attributes hostname(config-username)# webvpn hostname(config-username-webvpn)# customization value cisco ヘルプのカスタマイズ adaptive security appliance は、クライアントレス SSL VPN セッション中にアプリケーション パネルに ヘルプ コンテンツを表示します。シスコが提供するヘルプ ファイルをカスタマイズしたり、他の言語 でヘルプ ファイルを作成したりすることができます。次に、その後のクライアントレス セッション中 に表示するために、それらをフラッシュ メモリにインポートします。または、以前にインポートした ヘルプ コンテンツ ファイルを取得して、それらを変更して、フラッシュ メモリに再インポートするこ ともできます。 各クライアントレス アプリケーションのパネルには、事前に設定されたファイル名を使用して、独自 のヘルプ ファイル コンテンツが表示されます。その後の各ファイルは、adaptive security appliance の フラッシュ メモリ内の /+CSCOE+/help/language/ URL に置かれます。表 34-9 に、クライアントレス SSL VPN セッション用に保持できる各ヘルプ ファイルの詳細を示します。 表 34-9 クライアントレス SSL VPN アプリケーションのヘルプ ファイル シスコから英語 版のヘルプ ファ イルが提供され ているか アプリケー ションのタ イプ パネル 標準 Application Access /+CSCOE+/help/language/app-access-hlp.inc はい 標準 Browse Networks /+CSCOE+/help/language/file-access-hlp.inc はい AnyConnect クラ /+CSCOE+/help/language/net-access-hlp.inc はい /+CSCOE+/help/language/web-access-hlp.inc はい 標準 セキュリティ アプライアンスのフラッシュ メ モリ内のヘルプ ファイルの URL イアント Web Access 標準 プラグイン MetaFrame Access /+CSCOE+/help/language/ica-hlp.inc /+CSCOE+/help/language/rdp-hlp.inc プラグイン Terminal Servers なし はい プラグイン Telnet/SSH Servers /+CSCOE+/help/language/ssh,telnet-hlp.inc はい プラグイン VNC Connections はい /+CSCOE+/help/language/vnc-hlp.inc language はブラウザに表示される言語の短縮形です。このフィールドはファイル変換には使用されず、 ファイル内で使用される言語を示します。特定の言語コードを指定するには、ブラウザで表示される言 語のリストから言語の短縮形をコピーします。たとえば、次のいずれかの手順を実行すると、ダイアロ グ ウィンドウに言語と関連の言語コードが表示されます。 • Internet Explorer を開き、[ ツール ] > [ インターネット オプション ] > [ 言語 ] > [ 追加 ] を選択しま す。 • Mozilla Firefox を開き、[ ツール ] > [ オプション ] > [ 詳細 ] > [ 一般 ] を選択し、[ 言語 ] の横の [ 言 語設定 ] をクリックして、[ 追加する言語を選択 ] をクリックします。 次の項では、クライアントレス セッションで表示されるヘルプ コンテンツのカスタマイズ方法につい て説明します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-65 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 • 「シスコが提供するヘルプ ファイルのカスタマイズ」(P.34-66) • 「シスコが提供していない言語のヘルプ ファイルの作成」(P.34-66) • 「フラッシュ メモリへのヘルプ ファイルのインポート」(P.34-67) • 「フラッシュ メモリからの以前にインポートしたヘルプ ファイルのエクスポート」(P.34-67) シスコが提供するヘルプ ファイルのカスタマイズ シスコが提供するヘルプ ファイルをカスタマイズするには、まずフラッシュ メモリ カードからファイ ルのコピーを取得する必要があります。次のようにして、コピーを取得してカスタマイズします。 ステップ 1 ブラウザを使用して、adaptive security appliance とのクライアントレス SSL VPN セッションを確立し ます。 ステップ 2 表 34-9 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の文字列を adaptive security appliance のアドレスに追加して、Enter キーを押し、ヘルプ ファイルを表示します。 (注) 英語版のヘルプ ファイルを取得するには、language の場所に en を入力します。 次のアドレス例では、Terminal Servers の英語版のヘルプを表示します。 https://address_of_security_appliance/+CSCOE+/help/en/rdp-hlp.inc ステップ 3 注意 [File] > [Save (Page) As] を選択します。 [File] 名ボックスの内容は変更しないでください。 ステップ 4 [Save as type] オプションを「Web Page, HTML only」に変更し、[Save] をクリックします。 ステップ 5 任意の HTML エディタを使用して、ファイルを変更します。 (注) ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグ(たとえ ば、<html>、<title>、<body>、<head>、<h1>、<h2> など)は使用しないでください。<b> タグやコンテンツを構築する <p>、<ol>、<ul>、<li> タグなどは使用できます。 ステップ 6 ファイルを元のファイル名と拡張子を使用して、HTML のみとして保存します。 ステップ 7 ファイル名が表 34-9 の名前と一致しており、余分なファイル名拡張子が付いていないことを確認しま す。 変更したファイルをクライアントレス SSL VPN セッションで表示するためにインポートするには、 「フラッシュ メモリへのヘルプ ファイルのインポート」を参照してください。 シスコが提供していない言語のヘルプ ファイルの作成 HTML を使用して、他の言語でヘルプ ファイルを作成します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-66 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 (注) ほとんどの HTML タグを使用できますが、ドキュメントとその構造を定義するタグ(たとえば、 <html>、<title>、<body>、<head>、<h1>、<h2> など)は使用しないでください。<b> タグやコンテ ンツを構築する <p>、<ol>、<ul>、<li> タグなどは使用できます。 サポートする言語ごとに個別のフォルダを作成することをお勧めします。 ファイルは HTML のみとして保存します。表 34-9 の「セキュリティ アプライアンスのフラッシュ メ モリ内のヘルプ ファイルの URL」の最後のスラッシュの後にあるファイル名を使用します。 クライアントレス SSL VPN セッションで表示するためにファイルをインポートするには、次の項を参 照してください。 フラッシュ メモリへのヘルプ ファイルのインポート クライアントレス SSL VPN セッションで表示するために、フラッシュ メモリにヘルプ コンテンツ ファイルをインポートするには、特権 EXEC モードで次のコマンドを入力します。 import webvpn webcontent destination_url source_url destination_url は、表 34-9 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイ ルの URL」の文字列です。 source_url はインポートするファイルの URL です。有効なプレフィックスは ftp://、http://、tftp:// で す。 次のコマンド例では、209.165.200.225 の TFTP サーバからヘルプ ファイル app-access-hlp.inc をフ ラッシュ メモリにコピーしています。URL には、英語の短縮形 en が含まれています。 hostname# import webvpn webcontent /+CSCOE+/help/en/app-access-hlp.inc tftp://209.165.200.225/app-access-hlp.inc フラッシュ メモリからの以前にインポートしたヘルプ ファイルのエクスポート 後の編集のために以前にインポートしたヘルプ コンテンツ ファイルを取得するには、特権 EXEC モー ドで次のコマンドを入力します。 export webvpn webcontent source_url destination_url source_url は、表 34-9 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の文字列です。 destination_url はターゲット URL です。有効なプレフィックスは ftp:// と tftp:// です。最大文字数は 255 です。 次のコマンド例では、[Browse Networks] パネルに表示される英語のヘルプ ファイル file-access-hlp.inc を TFTP サーバ 209.165.200.225 にコピーします。 hostname# export webvpn webcontent /+CSCOE+/help/en/file-access-hlp.inc tftp://209.165.200.225/file-access-hlp.inc Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-67 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 ユーザ名とパスワードの要求 ネットワークによっては、リモート セッション中にユーザが、コンピュータ、インターネット サービ ス プロバイダー、クライアントレス SSL VPN、メール サーバ、ファイル サーバ、企業アプリケー ションのうち、それらの一部またはすべてにログインする必要がある場合があります。ユーザはさまざ まなコンテキストで認証を行うために、一意のユーザ名、パスワード、PIN などさまざまな情報が要求 される場合があります。 表 34-10 に、クライアントレス SSL VPN ユーザが知っておく必要のあるユーザ名とパスワードのタイ プを示します。 表 34-10 クライアントレス SSL VPN セッションのユーザに提供するユーザ名とパスワード ログイン ユーザ名 / パスワード タイプ 目的 入力するタイミング コンピュータ コンピュータへのアクセス コンピュータの起動 Internet Service Provider: インターネット サービス プ ロバイダー インターネットへのアクセス インターネット サービス プロバ イダーへの接続 クライアントレス SSL VPN リモート ネットワークへのアクセ クライアントレス SSL VPN の起 ス 動 ファイル サーバ リモート ファイル サーバへのア クセス 企業アプリケーションへのロ ファイアウォールで保護された内 グイン 部サーバへのアクセス メール サーバ クライアントレス SSL VPN 経由 によるリモート メール サーバへ のアクセス クライアントレス SSL VPN ファ イル ブラウジング機能を使用し て、リモート ファイル サーバに アクセスするとき クライアントレス SSL VPN Web ブラウジング機能を使用して、保 護されている内部 Web サイトに アクセスするとき 電子メール メッセージの送受信 セキュリティのヒントの通知 ユーザに、クライアントレス SSL VPN セッションを閉じる場合は、常にツールバーのログアウト アイ コンをクリックするように通知してください (ブラウザ ウィンドウを閉じてもセッションは閉じられ ません)。 クライアントレス SSL VPN を使用してもすべてのサイトとの通信がセキュアであるとは限らないこと を、ユーザに通知してください。クライアントレス SSL VPN は、企業ネットワーク上のリモート PC やワークステーションと adaptive security appliance との間のデータ転送のセキュリティを保証するも のです。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク 上にあるもの)にアクセスする場合、企業の adaptive security appliance から目的の Web サーバまでの 通信は暗号化されないためプライベートではありません。 「クライアントレス SSL VPN セキュリティ対策の順守」(P.2)では、その項で実行する手順に応じて、 ユーザと通信するための追加のヒントを説明しています。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-68 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 クライアントレス SSL VPN の機能を使用するためのリモート システムの 設定 表 34-11 に、クライアントレス SSL VPN を使用するためのリモート システムの設定に関する、次の各 種情報を示します。 • クライアントレス SSL VPN の起動 • クライアントレス SSL VPN フローティング ツールバーの使用 • Web ブラウジング • ネットワーク ブラウジングとファイル管理 • アプリケーションの使用(ポート転送) • ポート転送を介した電子メールの使用 • Web アクセスを介した電子メールの使用 • 電子メール プロキシを介した電子メールの使用 また、表 34-11 には、次の項目に関する情報も記載されています。 • 機能別のクライアントレス SSL VPN の要件 • クライアントレス SSL VPN でサポートされるアプリケーション • クライアント アプリケーションのインストールとコンフィギュレーションの要件 • エンド ユーザに提供する必要のある情報 • エンド ユーザのためのヒントや使用上の推奨事項 ユーザ アカウントを別々に設定し、各ユーザがそれぞれ異なるクライアントレス SSL VPN 機能を使用 できるようにすることが可能です。表 34-11 には機能別の情報をまとめてあります。利用できない機 能の情報についてはスキップしてください。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-69 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 表 34-11 クライアントレス SSL VPN のリモート システムコンフィギュレーションとエンド ユーザの要件 タスク リモート システムまたはエンド ユーザの要件 仕様または使用上の推奨事項 クライアントレス SSL VPN の起動 インターネットへの接続 サポートされているインターネット接続は、次の とおりです。 • 家庭の DSL、ケーブル、ダイヤルアップ • 公共のキオスク • ホテルの回線 • 空港の無線ノード • インターネット カフェ クライアントレス SSL VPN でサポートされ 『Cisco ASA 5500 Series VPN Compatibility る Web ブラウザ Reference』を参照してください。 ブラウザでイネーブルにされているクッ キー ポート転送を介してアプリケーションにアクセス するために、ブラウザでクッキーをイネーブルに する必要があります。 クライアントレス SSL VPN の URL https アドレスの形式は次のとおりです。 https://address address は、クライアントレス SSL VPN がイ ネーブルになっている adaptive security appliance のインターフェイスの IP アドレス または DNS ホスト名(またはロードバラン シング クラスタ)です。たとえば、 https://10.89.192.163 または https://cisco.example.com のようになります。 クライアントレス SSL VPN ユーザ名とパス ワード (オプション)ローカル プリンタ クライアントレス SSL VPN は、Web ブラウザか らネットワーク プリンタへの印刷をサポートして いません。ローカル プリンタへの印刷はサポート されています。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-70 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 表 34-11 クライアントレス SSL VPN のリモート システムコンフィギュレーションとエンド ユーザの要件 (続き) タスク クライアントレス SSL VPN セッション中に表 示されるフローティング ツールバーの使用 リモート システムまたはエンド ユーザの要件 仕様または使用上の推奨事項 フローティング ツールバーを使用すると、クライ アントレス SSL VPN を簡単に使用できます。 ツールバーを使用して、メインのブラウザ ウィン ドウに影響を与えずに、URL の入力、ファイルの 場所のブラウズ、設定済み Web 接続の選択ができ ます。 ポップアップをブロックするようにブラウザが設 定されている場合、フローティング ツールバーは 表示できません。 フローティング ツールバーは、現在のクライアン トレス SSL VPN セッションを表します。[Close] ボタンをクリックすると、adaptive security appliance はクライアントレス SSL VPN セッショ ンの終了を確認するプロンプトを表示します。 ヒント ヒント:テキストをテキスト フィールド に貼り付けるには、Ctrl+V キーを使用し ます(クライアントレス SSL VPN セッ ション中に表示されるツールバーでは右ク リックはディセーブルになっています)。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-71 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 表 34-11 クライアントレス SSL VPN のリモート システムコンフィギュレーションとエンド ユーザの要件 (続き) タスク リモート システムまたはエンド ユーザの要件 仕様または使用上の推奨事項 Web ブラウジング 保護されている Web サイトのユーザ名とパ スワード クライアントレス SSL VPN を使用してもすべて のサイトとの通信がセキュアになるとは限りませ ん。「セキュリティのヒントの通知」を参照して ください。 クライアントレス SSL VPN での Web ブラウ ジングのルックアンドフィールは、ユーザが 見慣れたものではない場合があります。次の 例を参考にしてください。 • クライアントレス SSL VPN のタイトル バー が各 Web ページの上部に表示される • Web サイトへのアクセス方法: – クライアントレス SSL VPN ホームペー ジ上の [Enter Web Address] フィールドに URL を入力する – クライアントレス SSL VPN ホームペー ジ上にある設定済みの Web サイト リンク をクリックする – 上記 2 つのどちらかの方法でアクセスし た Web ページ上のリンクをクリックする また、特定のアカウントの設定によっては、 次のようになる場合もあります。 • 一部の Web サイトがブロックされている • 使用可能な Web サイトが、クライアントレス SSL VPN ホームページ上にリンクとして表示 されるものに限られる ネットワーク ブラウジン 共有リモートアクセス用に設定されたファ グとファイル管理 イル アクセス権 クライアントレス SSL VPN を介してアクセスで きるのは、共有フォルダと共有ファイルに限られ ます。 保護されているファイル サーバのサーバ名 とパスワード — フォルダとファイルが存在するドメイン、 ワークグループ、およびサーバ名 ユーザは、組織ネットワークを介してファイルを 見つける方法に慣れていない場合があります。 — コピー処理の進行中は、Copy File to Server コマ ンドを中断したり、別の画面に移動したりしない でください。コピー処理を中断すると、不完全な ファイルがサーバに保存される可能性があります。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-72 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 表 34-11 クライアントレス SSL VPN のリモート システムコンフィギュレーションとエンド ユーザの要件 (続き) タスク リモート システムまたはエンド ユーザの要件 仕様または使用上の推奨事項 Application Access の (注) Macintosh OS X の場合、この機能をサポートしているのは Safari ブラウザだけです。 使用 (注) この機能を使用するには、Sun Microsystems Java? Runtime Environment をインストー ルしてローカル クライアントを設定する必要があります。これには、ローカル システム で管理者の許可が必要になるため、ユーザがパブリック リモート システムから接続した 場合に、アプリケーションを使用できない可能性があります。 注意 ユーザは、[Close] アイコンをクリックしてアプリケーションを終了したら、必ず [Application Access] ウィンドウを閉じる必要があります。このウィンドウを正しく 閉じないと、Application Access またはアプリケーション自体がディセーブルになる 可能性があります。詳細については、 「Application Access 使用時の hosts ファイル エ ラーの回復」を参照してください。 インストール済みのクライアント アプリ ケーション — ブラウザでイネーブルにされているクッ キー — ユーザが DNS 名を使用してサーバを指定す る場合、そのユーザは PC の管理者用アクセ ス特権を持つ必要があります。これは、hosts ファイルを修正するのにこの特権が必要なた めです。 インストール済みの Sun Microsystems Java JRE がインストールされていない場合は、ポップ アップ ウィンドウが表示され、ユーザに対して使 Runtime Environment(JRE)バージョン 用可能なサイトが示されます。 1.4.x と 1.5.x まれに、JAVA 例外エラーでポート転送アプレット ブラウザで Javascript をイネーブルにする必 が失敗することがあります。このような状況が発 管理者特権 要があります。デフォルトでは、イネーブ ルになっています。 設定済みのクライアント アプリケーション (必要な場合) (注) Microsoft Outlook クライアントの場 合、この設定手順は不要です。 生した場合は、次の手順を実行します。 1. ブラウザのキャッシュをクリアして、ブラウザ を閉じます。 2. JAVA アイコンがコンピュータのタスク バーに 表示されていないことを確認します。JAVA の インスタンスをすべて閉じます。 3. クライアントレス SSL VPN セッションを確立 し、ポート転送 JAVA アプレットを起動します。 クライアント アプリケーションを設定するには、 ローカルにマッピングされたサーバの IP アドレス とポート番号を使用します。この情報を見つける には、次の手順を実行します。 Windows 以外のすべてのクライアント アプリ 1. クライアントレス SSL VPN セッションを開始 し、ホーム ページの [Application Access] リン ケーションでは、設定が必要です。 クをクリックします。[Application Access] Windows アプリケーションの設定が必要か ウィンドウが表示されます。 どうかを確認するには、Remote Server の値 をチェックします。 2. [Name] カラムで、使用するサーバ名を確認 し、このサーバに対応するクライアント IP ア • Remote Server にサーバ ホスト名が含ま ドレスとポート番号を [Local] カラムで確認し れている場合、クライアント アプリケー • ションの設定は不要です。 [Remote Server] フィールドに IP アドレ 3. スが含まれている場合、クライアント ア プリケーションを設定する必要がありま す。 ます。 この IP アドレスとポート番号を使用して、ク ライアント アプリケーションを設定します。 設定手順は、クライアント アプリケーション によって異なります。 (注) クライアントレス SSL VPN セッションでアプリケーションを実行している場合、アプ リケーションで表示される URL(電子メール内の URL など)をクリックしても、そのセッ ションではそのサイトは開きません。セッションでこのようなサイトを開くには、[Enter Clientless SSL VPN (URL) Address] フィールドに URL を貼り付けます。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-73 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 表 34-11 クライアントレス SSL VPN のリモート システムコンフィギュレーションとエンド ユーザの要件 (続き) タスク リモート システムまたはエンド ユーザの要件 Application Access アク Application Access の要件を満たす(「アプ セスを介した 電子メールの使用 リケーションの使用」を参照) (注) 仕様または使用上の推奨事項 電子メールを使用するには、クライアントレ ス SSL VPN ホームページから Application Access を起動します。これにより、メール ク ライアントが使用できるようになります。 IMAP クライアントの使用中にメール サーバとの接続が中断し、新しく接続を確立でき ない場合は、IMAP アプリケーションを終了してクライアントレス SSL VPN を再起動し ます。 その他のメール クライアント Microsoft Outlook Express バージョン 5.5 および 6.0 はテスト済みです。 クライアントレス SSL VPN は、Lotus Notes や Eudora などの、ポート転送を介したその他の SMTPS、POP3S、または IMAP4S 電子メール プ ログラムをサポートしますが、動作確認は行って いません。 Web アクセスを介した 電子メールの使用 インストールされている Web ベースの電子 メール製品 次の製品がサポートされています。 • Outlook Web Access 最適な結果を得るために、Internet Explorer 6.x 以上、または Firefox 2.0 以 上で OWA を使用してください。 • Louts iNotes その他の Web ベースの電子メール製品も動作しま すが、動作確認は行っていません。 電子メール プロキシを介 インストール済みの SSL 対応メール アプリ サポートされているメール アプリケーションは次 した電子メールの使用 ケーション のとおりです。 adaptive security appliance SSL バージョン を TLSv1 Only に設定しないでください。 Outlook および Outlook Express は TLS を サポートしていません。 • Microsoft Outlook • Microsoft Outlook Express バージョン 5.5 お よび 6.0 • Netscape Mail バージョン 7 • Eudora 4.2 for Windows 2000 その他の SSL 対応クライアントも動作しますが、 動作確認は行っていません。 設定済みのメール アプリケーション メール アプリケーションの使用方法と例について は、「クライアントレス SSL VPN を介した電子 メールの使用」を参照してください。 ユーザ メッセージの言語の変換 adaptive security appliance には、ブラウザ ベースのクライアントレス SSL VPN 接続を開始するユーザ に表示されるポータルと画面、および Cisco AnyConnect VPN Client のユーザに表示されるインター フェイスの言語を変換する機能があります。 この項では、このようなユーザ メッセージを変換するように adaptive security appliance を設定する方 法について説明します。次の項で構成されています。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-74 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 • 「言語の変換の概要」(P.34-75) • 「変換テーブルの作成」(P.34-76) • 「カスタマイゼーション オブジェクトでの言語の参照」(P.34-77) • 「カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ アトリ ビュートの変更」(P.34-79) 言語の変換の概要 リモート ユーザの目に触れる機能領域およびそのメッセージは、変換ドメインとしてまとめられてい ます。表 34-12 に変換ドメインと変換される機能エリアを示します。 表 34-12 変換ドメインと影響を受ける機能エリア 変換ドメイン 変換される機能エリア AnyConnect Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッ セージ CSD Cisco Secure Desktop のメッセージ customization ログオン ページおよびログアウト ページのメッセージ、ポータル ページ、お よびユーザがカスタマイズ可能なすべてのメッセージ banners リモート ユーザに表示されるバナーおよび VPN アクセスが拒否されたとき のメッセージ PortForwarder ポート転送ユーザに表示されるメッセージ url-list ポータル ページの URL ブックマークにユーザが指定するテキスト webvpn カスタマイズ不可能なすべてのレイヤ 7、AAA、およびポータル メッセージ plugin-ica Citrix プラグインのメッセージ plugin-rdp Remote Desktop Protocol プラグインのメッセージ plugin-telnet,ssh Telnet および SSH プラグインのメッセージ plugin-vnc VNC プラグインのメッセージ adaptive security appliance のソフトウェア イメージ パッケージには、標準機能の一部として、各ドメ インの変換テーブル テンプレートが含まれます。プラグインのテンプレートは、プラグインとともに 含まれ、独自の変換ドメインを定義します。 変換ドメインのテンプレートをエクスポートできます。指定した URL にテンプレートの XML ファイ ルが作成されます。このファイルのメッセージ フィールドは空です。メッセージを編集してテンプ レートをインポートすると、新しい変換テーブル オブジェクトがフラッシュ メモリ内に作成されます。 また、既存の変換テーブルをエクスポートすることもできます。作成された XML ファイルには、それ までに編集されたメッセージが含まれています。この XML ファイルを、同じ言語名を指定して再イン ポートすると、変換テーブル オブジェクトの新しいバージョンが作成され、それまでのメッセージは 上書きされます。 テンプレートにはスタティックのものも、adaptive security appliance のコンフィギュレーションに基 づいて変更されるものもあります。クライアントレス ユーザ用にログオン ページおよびログアウト ページ、ポータル ページ、URL ブックマークをカスタマイズできるため、adaptive security appliance により、customization および url-list 変換ドメイン テンプレートがダイナミックに生成され、これら の機能エリアへの変更が自動的にテンプレートに反映されます。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-75 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 変換テーブルの作成後、それらをカスタマイゼーション オブジェクトの作成に使用して、グループ ポ リシーまたはユーザ アトリビュートに適用できます。AnyConnect 変換ドメインを除き、カスタマイ ゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを特定して、そのカス タマイゼーションをグループ ポリシーまたはユーザに指定するまで、変換テーブルは影響を受けず、 メッセージはユーザの画面で変換されません。AnyConnect ドメインの変換テーブルに対する変更は、 ただちに AnyConnect クライアント ユーザの画面に反映されます。 変換テーブルの作成 次の手順に、変換テーブルの作成方法を説明します。 ステップ 1 特権 EXEC モードで export webvpn translation-table コマンドを使用して、変換テーブル テンプレー トをコンピュータにエクスポートします。 次の例では、show webvpn translation-table コマンドを実行して、使用可能な変換テーブル テンプ レートとテーブルを一覧表示しています。 hostname# show import webvpn translation-table Translation Tables' Templates: customization AnyConnect CSD PortForwarder url-list webvpn Citrix-plugin RPC-plugin Telnet-SSH-plugin VNC-plugin Translation Tables: 次の例では、カスタマイゼーション ドメインの変換テーブル テンプレートをエクスポートします。こ れはクライアントレス SSL VPN セッションでユーザに表示されるメッセージに影響します。作成され る XML ファイルのファイル名は portal(ユーザ指定)で、空のメッセージ フィールドが含まれます。 hostname# export webvpn translation-table customization template tftp://209.165.200.225/portal ステップ 2 変換テーブルの XML ファイルを編集します。 次の例に、portal としてエクスポートされたテンプレートの一部を示します。この出力の最後にはメッ セージ SSL VPN の ID フィールド(msgid)とメッセージ文字列フィールド(msgstr)が含まれ、ユー ザがクライアントレス SSL VPN セッションを確立すると、ポータル ページに表示されます。テンプ レート全体では、メッセージ フィールドのペアが多数存在します。 # Copyright (C) 2006 by Cisco Systems, Inc. # #, fuzzy msgid "" msgstr "" "Project-Id-Version: ASA\n" "Report-Msgid-Bugs-To: [email protected]\n" "POT-Creation-Date: 2007-03-12 18:57 GMT\n" "PO-Revision-Date: YEAR-MO-DA HO:MI+ZONE\n" "Last-Translator: FULL NAME <EMAIL@ADDRESS>\n" "Language-Team: LANGUAGE <[email protected]>\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-76 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 #: DfltCustomization:24 DfltCustomization:64 msgid "Clientless SSL VPN Service" msgstr "" メッセージ ID フィールド(msgid)にはデフォルトの変換が含まれます。msgid に続くメッセージ文 字列フィールド(msgstr)で変換を指定します。変換を作成するには、変換後のテキストを msgstr 文 字列の引用符の間に入力します。 ステップ 3 特権 EXEC モードで import webvpn translation-table コマンドを使用して、変換テーブルをインポー トします。 次の例では、XML ファイルが es-us(米国で話されるスペイン語の短縮形)でインポートされます。 hostname# import webvpn translation-table customization language es-us tftp://209.165.200.225/portal hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! hostname# show import webvpn translation-table Translation Tables' Templates: AnyConnect PortForwarder csd customization keepout url-list webvpn Citrix-plugin RPC-plugin Telnet-SSH-plugin VNC-plugin Translation Tables: es-us customization AnyConnect ドメインの変換テーブルをインポートした場合、変更はただちに有効になります。他のド メインの変換テーブルをインポートする場合は、ステップ 4 に進み、カスタマイゼーション オブジェ クトを作成し、そのオブジェクトで使用する変換テーブルを特定して、グループ ポリシーまたはユー ザにカスタマイゼーション オブジェクトを指定する必要があります。 カスタマイゼーション オブジェクトでの言語の参照 変換テーブルを作成したら、このテーブルをカスタマイゼーション オブジェクトで参照する必要があ ります。 手順 4 ~ 6 に、カスタマイゼーション テンプレートをエクスポートし、編集して、カスタマイゼー ション オブジェクトとしてそれをインポートする方法を説明します。 ステップ 4 特権 EXEC モードで export webvpn customization template コマンドを使用して、カスタマイゼー ション テンプレートを URL にエクスポートし、編集できます。下の例では、テンプレートをエクス ポートし、指定した URL に sales のコピーを作成します。 hostname# export webvpn customization template tftp://209.165.200.225/sales ステップ 5 カスタマイゼーション テンプレートを編集し、以前インポートした変換テーブルを参照します。 カスタマイゼーション テーブルには、変換テーブルに関連する XML コードの 2 つのエリアがありま す。下に示す最初のエリアは、使用する変換テーブルを指定します。 <localization> <languages>en,ja,zh,ru,ua</languages> <default-language>en</default-language> Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-77 第 34 章 クライアントレス SSL VPN の設定 クライアントレス SSL VPN エンド ユーザの設定 </localization> XML コードの <languages> タグの後に変換テーブルの名前を指定します。この例では、それらは en、 ja、zh、ru、ua です。カスタマイゼーション オブジェクトでこれらの変換テーブルを正しく呼び出す には、テーブルが同じ名前で以前にインポートされている必要があります。これらの名前は、ブラウザ の言語オプションと互換性がある必要があります。 <default-language> タグは、リモート ユーザが adaptive security appliance に接続したときに、最初に 表示される言語を指定します。上のコードの例では、言語は英語です。 図 34-13 にログオン ページに表示される言語セレクタを示します。言語セレクタにより、SSL VPN 接 続を確立するリモート ユーザが言語を選択できます。 図 34-13 言語セレクタ 次の XML コードは言語セレクタの表示に影響し、言語セレクタをイネーブルにし、カスタマイズする <language selector> タグと関連する <language> タグを含んでいます。 <auth-page> .... <language-selector> <mode>enable</mode> <title l10n="yes">Language:</title> <language> <code>en</code> <text>English</text> </language> <language> <code>es-us</code> <text>Spanish</text> </language> </language-selector> <language-selector> タグ グループ には、言語セレクタの表示をイネーブルおよびディセーブルにする <mode> と、言語をリストするドロップダウン ボックスのタイトルを指定する <title> タグが含まれま す。 <language> タグ グループには、言語セレクタ ドロップダウン ボックスに表示される言語名を特定の 変転テーブルにマッピングする <code> タグと <text> タグが含まれます。 このファイルを変更して、保存します。 ステップ 6 特権 EXEC モードで import webvpn customization コマンドを使用して、新しいオブジェクトとして カスタマイゼーション テンプレートをインポートします。次の例を参考にしてください。 hostname# import webvpn customization sales tftp://209.165.200.225/sales hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-78 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 データのキャプチャ show import webvpn customization コマンドの出力には、新しいカスタマイゼーション オブジェクト sales が表示されます。 hostname(config)# show import webvpn customization Template sales hostname(config)# カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ アトリ ビュートの変更 カスタマイゼーション オブジェクトを作成したら、特定のグループまたはユーザの変更をアクティブ にする必要があります。手順 7 に、グループ ポリシーでカスタマイゼーション オブジェクトをイネー ブルにする方法を示します。 ステップ 7 グループ ポリシーのグループ ポリシー webvpn コンフィギュレーション モードに入り、 customization コマンドを使用して、カスタマイゼーション オブジェクトをイネーブルにします。次の 例に、グループ ポリシー sales でイネーブルにされたカスタマイゼーション オブジェクト sales を示し ます。 hostname(config)# group-policy sales attributes hostname(config-group-policy)# webvpn hostname(config-group-webvpn)# customization value sales データのキャプチャ CLI capture コマンドにより、クライアントレス SSL VPN セッションでは正しく表示されない Web サ イトに関する情報を記録できます。このデータは、Cisco カスタマー サポート エンジニアによる問題 のトラブルシューティングに役立ちます。次の項では、クライアントレス SSL VPN セッション データ をキャプチャして表示する方法を説明します。 • キャプチャ ファイルの作成 • キャプチャ データを表示するためのブラウザの使用 (注) クライアントレス SSL VPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパ フォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成したら、 WebVPN キャプチャを必ずディセーブルにしてください。 キャプチャ ファイルの作成 次の手順を実行してクライアントレス SSL VPN セッションに関するデータをファイルにキャプチャし ます。 ステップ 1 クライアントレス SSL VPN のキャプチャ ユーティリティを開始するには、特権 EXEC モードで capture コマンドを使用します。 capture capture_name type webvpn user webvpn_username 値は次のとおりです。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-79 第 34 章 クライアントレス SSL VPN の設定 データのキャプチャ • capture_name は、キャプチャに割り当てる名前です。これは、キャプチャ ファイルの名前の先頭 にも付加されます。 • webvpn_user は、キャプチャの対象となるユーザ名です。 キャプチャ ユーティリティが開始されます。 ステップ 2 ユーザはクライアントレス SSL VPN セッションを開始するためにログインします。キャプチャ ユー ティリティは、パケットをキャプチャしています。 コマンドの no バージョンを使用してキャプチャを停止します。 no capture capture_name キャプチャ ユーティリティは capture_name.zip ファイルを作成し、このファイルはパスワード koleso で暗号化されます。 ステップ 3 .zip ファイルをシスコシステムズに送信するか、Cisco TAC サービス リクエストに添付します。 ステップ 4 .zip ファイルの内容を確認するには、パスワード koleso を使用してファイルを解凍します。 次の例では、hr という名前のキャプチャを作成します。これは、user2 へのトラフィックを次のように ファイルにキャプチャします。 hostname# capture hr type webvpn user user2 WebVPN capture started. capture name hr user name user2 hostname# no capture hr キャプチャ データを表示するためのブラウザの使用 次の手順を実行してクライアントレス SSL VPN セッションに関するデータをキャプチャし、これをブ ラウザに表示します。 ステップ 1 クライアントレス SSL VPN のキャプチャ ユーティリティを開始するには、特権 EXEC モードで capture コマンドを使用します。 capture capture_name type webvpn user webvpn_username 値は次のとおりです。 • capture_name は、キャプチャに割り当てる名前です。これは、キャプチャ ファイルの名前の先頭 にも付加されます。 • webvpn_user は、キャプチャの対象となるユーザ名です。 キャプチャ ユーティリティが開始されます。 ステップ 2 ユーザはクライアントレス SSL VPN セッションを開始するためにログインします。キャプチャ ユー ティリティは、パケットをキャプチャしています。 コマンドの no バージョンを使用してキャプチャを停止します。 ステップ 3 ブラウザを開き、アドレスを指定するボックスに次のように入力します。 https://asdm_enabled_interface_of_the_security_appliance:port/admin/capture/capture_name/pcap 次のコマンド例では、hr という名前のキャプチャを表示します。 https://192.0.2.1:60000/admin/capture/hr/pcap Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-80 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 Application Access ユーザのメモ キャプチャされたコンテンツが sniffer 形式で表示されます。 ステップ 4 コンテンツをキャプチャし終えたら、コマンドの no バージョンを使用してキャプチャを停止します。 Application Access ユーザのメモ 次の各項では、Application Access の使用について説明します。 • hosts ファイル エラーを回避するための Application Access の終了 • Application Access 使用時の hosts ファイル エラーの回復 (注) セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしません。 クライアントレス SSL VPN セッションによってアプリケーション アクセスを実現するポート転送やス マート トンネル機能のいずれも MAPI をサポートしません。MAPI プロトコルを使用する Microsoft Outlook Exchange での通信の場合、リモート ユーザは AnyConnect を使用する必要があります。 hosts ファイル エラーを回避するための Application Access の終了 Application Access の実行の妨げになる hosts ファイル エラーを回避するために、Application Access を使用し終わったら Application Access ウィンドウを正しく閉じるようにします。終了するには、 close アイコンをクリックします。 Application Access 使用時の hosts ファイル エラーの回復 Application Access ウィンドウを正しく閉じないと次のエラーが発生することがあります。 • 次に Application Access を起動しようとしたときに、Application Access がディセーブルになって いて、Backup HOSTS File Found エラー メッセージが表示される。 • アプリケーションをローカルで実行している場合でも、アプリケーション自体がディセーブルに なっているか、または動作しない。 このようなエラーは、Application Access ウィンドウを不適切な方法で終了したことが原因です。次の 例を参考にしてください。 • Application Access の使用中に、ブラウザがクラッシュした。 • Application Access の使用中に、停電またはシステム シャットダウンが発生した。 • 作業中に Application Access ウィンドウを最小化し、このウィンドウがアクティブな状態(ただし 最小化されている)でコンピュータをシャットダウンした。 この項は、次の内容で構成されています。 • hosts ファイルの概要 • 不正な Application Access の終了 • hosts ファイルの再設定 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-81 第 34 章 クライアントレス SSL VPN の設定 Application Access ユーザのメモ hosts ファイルの概要 ローカル システム上の hosts ファイルは、IP アドレスをホスト名にマッピングしています。 Application Access を起動すると、クライアントレス SSL VPN は hosts ファイルを修正し、クライア ントレス SSL VPN 固有のエントリを追加します。Application Access ウィンドウを正しく閉じて Application Access を終了すると、hosts ファイルは元の状態に戻ります。 Application Access の起動前 Application Access の起動時 hosts ファイルは元の状態です。 • クライアントレス SSL VPN は hosts ファイ ルを hosts.webvpn にコピーして、バック アップを作成します。 • 次にクライアントレス SSL VPN は hosts ファイルを編集し、クライアントレス SSL VPN 固有の情報を挿入します。 Application Access の終了時 • クライアントレス SSL VPN はバックアップ ファイルを hosts ファイルにコピーして、 hosts ファイルを元の状態に戻します。 • クライアントレス SSL VPN は hosts.webvpn を削除します。 Application Access の終了後 (注) hosts ファイルは元の状態です。 Microsoft アンチスパイウェア ソフトウェアは、ポート転送 Java アプレットによる hosts ファイルの変 更をブロックします。アンチスパイウェア ソフトウェアの使用時に hosts ファイルの変更を許可する方 法の詳細については、www.microsoft.com を参照してください。 不正な Application Access の終了 Application Access が正しく終了しなかった場合、hosts ファイルはクライアントレス SSL VPN 用に カスタマイズされた状態のままになっています。ユーザが次に Application Access を起動するときに、 クライアントレス SSL VPN は hosts.webvpn ファイルを検索することで、Application Access の状態を チェックします。hosts.webvpn ファイルが検出されると、Backup HOSTS File Found エラー メッセー ジ(図 34-14)が表示され、Application Access が一時的にディセーブルになります。 Application Access を正しくシャットダウンしないと、リモートアクセス クライアント / サーバ アプリ ケーションが不安定な状態のままになります。クライアントレス SSL VPN を使用せずにこれらのアプ リケーションを起動しようとすると、正しく動作しない場合があります。通常の接続先のホストが使用 できなくなる場合があります。一般にこのような状況は、自宅からリモートでアプリケーションを実行 し、Application Access ウィンドウを終了せずにコンピュータをシャットダウンし、その後職場でその アプリケーションを実行しようとした場合に発生します。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-82 OL-12908-01-J 第 34 章 クライアントレス SSL VPN の設定 Application Access ユーザのメモ hosts ファイルの再設定 Application Access または正しく動作しないアプリケーションを再度イネーブルにするには、次の手順 を実行します。 • リモートアクセス サーバに接続できる場合は、「クライアントレス SSL VPN による hosts ファイ ルの自動再設定」の項で説明されている手順を実行してください。 • 現在の場所からリモートアクセス サーバに接続できない場合や、hosts ファイルをカスタム編集し た場合は、「手動による hosts ファイルの再設定」で説明されている手順にしたがってください。 クライアントレス SSL VPN による hosts ファイルの自動再設定 リモートアクセス サーバに接続できる場合は、hosts ファイルを再設定し、Application Access やアプ リケーションを再度イネーブルにするために、次の手順を実行します。 ステップ 1 ステップ 2 クライアントレス SSL VPN を起動してログインします。ホームページが開きます。 Applications Access リンクをクリックします。Backup HOSTS File Found メッセージが表示されます (図 34-14 を参照)。 図 34-14 ステップ 3 Backup HOSTS File Found メッセージ 次のいずれかのオプションを選択します。 • Restore from backup :クライアントレス SSL VPN は強制的に正しくシャットダウンされます。 クライアントレス SSL VPN は hosts.webvpn backup ファイルを hosts ファイルにコピーし、hosts ファイルを元の状態に戻してから、hosts.webvpn を削除します。その後、Application Access を再 起動する必要があります。 • Do nothing:Application Access は起動しません。リモートアクセスのホームページが再び表示さ れます。 • Delete backup:クライアントレス SSL VPN は hosts.webvpn ファイルを削除し、hosts ファイル をクライアントレス SSL VPN 用にカスタマイズされた状態にしておきます。元の hosts ファイル 設定は失われます。Application Access は、クライアントレス SSL VPN 用にカスタマイズされた hosts ファイルを新しいオリジナルとして使用して起動します。このオプションは、hosts ファイル 設定が失われても問題がない場合にだけ選択してください。Application Access が不適切にシャッ Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド OL-12908-01-J 34-83 第 34 章 クライアントレス SSL VPN の設定 Application Access ユーザのメモ トダウンされた後に、ユーザまたはユーザが使用するプログラムによって hosts ファイルが編集さ れた可能性がある場合は、他の 2 つのオプションのどちらかを選択するか、または hosts ファイル を手動で編集します (「手動による hosts ファイルの再設定」を参照)。 手動による hosts ファイルの再設定 現在の場所からリモートアクセス サーバに接続できない場合や、カスタマイズした hosts ファイルの編 集内容を失いたくない場合は、次の手順にしたがって、hosts ファイルを再設定し、Application Access とアプリケーションを再度イネーブルにします。 ステップ 1 hosts ファイルを見つけて編集します。最も一般的な場所は、c:\windows\sysem32\drivers\etc\hosts で す。 ステップ 2 # added by WebVpnPortForward という文字列が含まれている行があるかどうかをチェックします。この文字列を含む行がある場合、 hosts ファイルはクライアントレス SSL VPN 用にカスタマイズされています。hosts ファイルがクライ アントレス SSL VPN 用にカスタマイズされている場合、次の例のようになっています。 123.0.0.3 123.0.0.3 123.0.0.4 123.0.0.4 123.0.0.5 123.0.0.5 # # # # # # # # # # # # # # # # # Copyright (c) 1993-1999 Microsoft Corp. This is a sample HOSTS file used by Microsoft TCP/IP for Windows. This file contains the mappings of IP addresses to host names. Each entry should be kept on an individual line. The IP address should be placed in the first column followed by the corresponding host name. The IP address and the host name should be separated by at least one space. Additionally, comments (such as these) may be inserted on individual lines or following the machine name denoted by a '#' symbol. For example: 102.54.94.97 38.25.63.10 123.0.0.1 ステップ 3 ステップ 4 ステップ 5 server1 # added by WebVpnPortForward server1.example.com vpn3000.com # added by WebVpnPortForward server2 # added by WebVpnPortForward server2.example.com.vpn3000.com # added by WebVpnPortForward server3 # added by WebVpnPortForward server3.example.com vpn3000.com # added by WebVpnPortForward cisco.example.com x.example.com # source server # x client host localhost # added by WebVpnPortForward という文字列が含まれている行を削除します。ファイルを保存してから閉じます。 クライアントレス SSL VPN を起動してログインします。 ホームページが開きます。 ステップ 6 Application Access リンクをクリックします。 [Application Access] ウィンドウが表示されます。これで Application Access がイネーブルになります。 Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド 34-84 OL-12908-01-J
© Copyright 2024 ExpyDoc