NetScreen Instant Virtual Extranet Platform

Save this PDF as:
 WORD  PNG  TXT  JPG

Size: px
Start display at page:

Download "NetScreen Instant Virtual Extranet Platform"

Transcription

1 NETSCREEN INSTANT VIRTUAL EXTRANET PLATE-FORME NetScreen Secure Access NetScreen-SA 1000 NetScreen-SA 3000 NetScreen-SA 5000 NetScreen-SA FIPS NetScreen Secure Meeting NetScreen-SM 3000

2

3 NETSCREEN INSTANT VIRTUAL EXTRANET PLATFORM 管理ガイド

4 Copyright 2004 NetScreen Technologies, Inc. All rights reserved. NetScreen NetScreen Technologies GigaScreen および NetScreen ロゴは NetScreen Technologies, Inc. の登録商標です NetScreen-5GT NetScreen-5XP NetScreen-5XT NetScreen-25 NetScreen-50 NetScreen-100 NetScreen-204 NetScreen-208 NetScreen-500 NetScreen-5200 NetScreen-5400 NetScreen-Global PRO NetScreen-Global PRO Express NetScreen-Remote Security Client NetScreen-Remote VPN Client NetScreen-IDP 10 NetScreen-IDP 100 NetScreen-IDP 500 GigaScreen ASIC GigaScreen-II ASIC および NetScreen ScreenOS は NetScreen Technologies, Inc. の商標です その他のすべての商標と登録商標は 関係各社の所有物です このドキュメントの情報は 通知なしに変更される場合があります このドキュメントの一部または全部は どのような目的であれ NetScreen Technologies, Inc., Building #3, th Avenue, Sunnyvale, CA 94089, の書面による許諾なしに 電子的 機械的など その形態や手段を問わず 複製または転送することは禁じられています 注意 : この製品の改変または改造を行うと お客様は 製品の保証と製品を操作する権利を失う場合があります 免責 : 製品のソフトウェアライセンスと限定保証は 製品内の電子情報で提示され またこの参照マニュアルにも記載されています ソフトウェアライセンスまたは限定保証を見つけられない場合は NETSCREEN の担当者にコピーをお求めください Copyright 2001 D. J. Bernstein. Copyright by the Massachusetts Institute of Technology. All rights reserved. Copyright 2000 by Zero-Knowledge Systems, Inc. Copyright 2001, Dr Brian Gladman Worcester, UK. All rights reserved. Copyright 1989, 1991 Free Software Foundation, Inc. Copyright 1989, 1991, 1992 by Carnegie Mellon University. Derivative Work , Copyright 1996, The Regents of the University of California. All Rights Reserved. Copyright The OpenLDAP Foundation, Redwood City, California, USA. All Rights Reserved. Permission to copy and distribute verbatim copies of this document is granted. Copyright 1995 Tatu Ylonen Espoo, Finland. All rights reserved. Copyright 1986 Gary S. Brown. Copyright 1998 CORE SDI S.A., Buenos Aires, Argentina. Copyright 1995, 1996 by David Mazieres Copyright The OpenSSL Project. All rights reserved. Copyright , Larry Wall. All rights reserved. Copyright 1989, 1991 Free Software Foundation, Inc. Copyright Andy Wardley. All Rights Reserved. Copyright Canon Research Centre Europe Ltd. Copyright Jean-loup Gailly and Mark Adler. Secure Access Product Group NetScreen Technologies, Inc. 940 Stewart Drive Sunnyvale, CA 94085, USA 電話 : ファックス : A020404

5 iii 目次 はじめに... ix 第 1 章 IVE Series...1 NetScreen Instant Virtual Extranet の概要...3 Access Series の概要...7 Access Series FIPS の概要...9 セキュアミーティングの概要...13 ミーティングのスケジュール 参加および運営...14 ミーティング URL へのアクセス...16 セキュアミーティングがサポートされている環境...17 セキュアミーティングのトラブルシューティング...19 アクセス管理の概要...21 ポリシー 規則 & 制限および条件...21 セキュリティ要件の指定...24 領域認証の概要...31 認証サーバ...31 認証ポリシー...32 ディレクトリサーバ...33 ロールマッピング規則...34 リソースポリシーの概要...35 リソースポリシーのリソースの指定...38 詳細規則の記述...45 ユーザロールの概要...47

6 iv 第 2 章 IVE の機能...51 Cache Cleaner の概要...53 セントラルマネージャの概要...56 証明書の概要...57 サーバ証明書...57 クライアント証明書...58 アプレット証明書...59 クラスタの概要...61 クラスタの概要...61 委任管理の概要...68 E メールクライアントの概要...69 E メールクライアントの選択...70 標準ベースのメールサーバの使用...70 Microsoft Exchange Server の使用...71 Lotus Notes および Lotus Notes メールサーバの使用...73 ホストチェッカの概要...74 ログと監視の概要...78 ログファイルの重要度のレベル...79 カスタムフィルタログファイル...80 ネットワークコネクトの概要...81 データ転送プロキシの概要...83 リモート SSO の概要...85 セキュアアプリケーションマネージャの概要...86 Windows セキュアアプリケーションマネージャ (W-SAM) の概要...86 Java セキュアアプリケーションマネージャ (J-SAM) の概要...88 MS Exchange のサポートの強化...93 Lotus Notes のサポートの強化...95 Citrix NFuse のサポートの強化...96

7 v 第 3 章 IVE の設定...99 [Status] ページの設定 [Overview] タブ [Active Users] タブ [Meeting Schedule] タブ [Schedule] ページの設定 [Configuration] ページの設定 [Licensing] タブ [Security] [Security Options] タブ [Security] [Host Checker] サブタブ [Security] [Cache Cleaner] タブ [Certificates] [Server Certificate] タブ [Certificates] [CA Certificate] タブ [Certificates] [Applet Certificates] タブ [Network] ページの設定 [Internal Port] タブ [External Port] タブ [Static Routes] タブ [Hosts] タブ [Clustering] ページの設定 [Create] タブ [Status] タブ [Join] タブ シリアルコンソール手順 [Properties] タブ [Log Monitoring] ページの設定 [Events] [User Access] および [Admin Access] タブ [SNMP] タブ [Statistics] タブ [Signing-in] ページの設定 [Sign-in Policies] タブ [Sign-in Page] タブ [Servers] タブ ACE/Server インスタンスを設定する...175

8 vi Active Directory または NT ドメインインスタンスを設定する 匿名サーバインスタンスを設定する 証明書サーバインスタンスを設定する LDAP サーバインスタンスを設定する ローカル IVE サーバインスタンスを設定する NIS サーバインスタンスを設定する RADIUS サーバインスタンスを設定する Netegrity SiteMinder サーバインスタンスを設定する ユーザセッションの表示と削除 [Delegation] ページの設定 [General] タブ [System] タブ [User Role Admin] タブ 認証領域の設定 [General] タブ [Authentication Policy] タブ [Role Mapping] タブ [Roles] ページの設定 [General] [Overview] タブ [General] [Restrictions] タブ [General] [Session Options] タブ [General] [UI Options] タブ [Web] [Bookmarks] タブ [Web] [Options] タブ [Files] [Windows Bookmarks] タブ [Files] [UNIX Bookmarks] タブ [Files] [Options] タブ [SAM] [Applications] タブ [SAM] [Options] タブ [Telnet/SSH] [Sessions] タブ [Telnet/SSH] [Options] タブ [Meetings] タブ [Network Connect] タブ [New User] ページの設定 [Web] ページの設定 [Access] タブ [Caching] [Policies] タブ...279

9 vii [Caching] [Options] タブ [Java] [Access Control] タブ [Java] [Code Signing] タブ [Rewriting] [Selective Rewriting] タブ [Rewriting] [Pass-through Proxy] タブ [Remote SSO] [Form POST] タブ [Remote SSO] [Headers/Cookies] タブ [Web Proxy] [Policies] タブ [Web Proxy] [Settings] タブ [Files] ページの設定 [Windows] [Access] タブ [Windows] [Credentials] タブ [UNIX/NFS] タブ [Encoding] タブ [SAM] ページの設定 [Telnet/SSH] ページの設定 [Network Connect] ページの設定 [Access] タブ [IP Address Pools] タブ [Meetings] ページの設定 [ Client] ページの設定 [System] ページの設定 [Platform] タブ [Upgrade/Downgrade] タブ [Options] タブ [Import/Export] ページの設定 [Configuration] タブ [User Accounts] タブ [Roles and Policies] タブ [Push Config] ページの設定 [Archiving] ページの設定 [FTP Server] タブ [Local Backup] タブ...337

10 viii [Troubleshooting] ページの設定 [Policy Tracing] タブ [Session Recording] タブ [System Snapshot] タブ [TCP Dump] タブ [Commands] タブ [Remote Debugging] タブ 第 4 章追補情報 付録 A 認証と承認のフローチャート 付録 B アクセス管理オプションの設定 ソース IP の制限 ブラウザの制限 証明書の制限 パスワードの制限 Host Checker の制限 Cache Cleaner の制限 付録 C カスタムエクスプレッションの記述 システム変数とその例 付録 D IVE シリアルコンソールの使用 索引...389

11 ix はじめに このガイドでは NetScreen Instant Virtual Extranet(IVE) アプライアンスの理解 設定 保守に必要な情報を説明します 以下のような内容です Access Series 製品と基盤となっているアクセス管理システムを知るための概要 基本機能と高度な機能 そしてアップグレードオプションを説明する概要 IVE アプライアンスまたはクラスタを設定および管理する手順 対象読者 このガイドは 次の Access Series 製品の設定を担当するシステム管理者を対象としています NetScreen-SA 1000 NetScreen-SA 3000 NetScreen-SA 5000 NetScreen-SA FIPS NetScreen-SM 3000 お問い合わせ インストールの説明については 製品に付属のインストールガイドを参照してください IVE OS の最新版 対応する 管理ガイド PDF リリースノートについては にアクセスしてください 設定のアップグレードについての詳細は をご覧いただくか まで E メールでお問い合わせください

12 x

13 1 第 1 章 IVE Series ここでは NetScreen Instant Virtual Extranet(IVE) プラットフォーム このプラットフォームで構築された Access Series 製品ライン そして Access Series 製品が使用するアクセス管理システムについて説明します 目次 NetScreen Instant Virtual Extranet の概要... 3 Access Series の概要... 7 Access Series FIPS の概要... 9 セキュアミーティングの概要 アクセス管理の概要 領域認証の概要 リソースポリシーの概要 ユーザロールの概要... 47

14 2 NetScreen Instant Virtual Extranet アプライアンス管理ガイド

15 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 3 NetScreen Instant Virtual Extranet の概要 NetScreen Instant Virtual Extranet によって 従業員 パートナー および顧客は 企業のファイルサーバ Web サーバ ネイティブのメッセージおよび E メールクライアント ホストされたサーバなどに対し どこからでも どの Web ブラウザからでも セキュアでコントロールされたアクセスを行うことができます! NetScreen Instant Virtual Extranet とは NetScreen Instant Virtual Extranet(IVE) は 堅牢なネットワークアプライアンスであり 外部ユーザと 以下に示すような内部リソースの間を流れるデータストリームを仲介することによって 頑健なセキュリティを提供します MS Terminal サーバ MS Exchange サーバ Lotus Notes サーバ インターネット E メールサーバ 端末ベースのアプリケーション (IBM 3270 VT100) ファイルサーバ上のドキュメント Web ベースのエンタープライズアプリケーション イントラネットページ IVE では 従来の DMZ 内にエクストラネットツールキットを配置したり 従業員用にリモートアクセス VPN を提供したりする必要はありません アプライアンスは 外部コネクションからセキュアな要求を受け取り 認証されたユーザに代わって内部リソースに対して要求を行うことにより 外部コネクションと内部リソースの間を仲介します

16 4 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 1: LAN における IVE アプライアンスの動作 IVE の動作 IVE は セキュアなアプリケーションレイヤーのゲートウェイとして動作し パブリックなインターネットと企業の内部リソース間のすべての要求を仲介します Instant Virtual Extranet に入ってきた要求はすべて エンドユーザのブラウザで SSL/HTTPS 128 ビットまたは 168 ビット暗号化を使用して既に暗号化されています 暗号化されていない要求は除外されます 内部リソースに転送されるまで 各要求は デュアル要素の認証またはクライアントサイドの電子証明書など 管理用に定義されたアクセスコントロールポリシーに従います IVE はパブリックなインターネットと内部リソースの間に頑健なセキュリティレイヤーを提供するので 管理者は セキュリティポリシーを定期的に管理したり パブリックな DMZ に配置された多数のさまざまなアプリケーションおよび Web サーバのセキュリティ上の弱点にパッチを当てる必要はありません Instant Virtual Extranet は 単純な Web ブラウザ技術を使用して 各種のアプリケーションおよびリソースへのアクセスを仲介します ユーザは アプライアンスがホストとなるエクストラネットセッションを経由して 承認されたリソースに対する認証アクセスを取得できます また インターネットに接続した任意の Web ブラウザから 多彩な Web ベースのエンタープライズアプリケーション Java アプリケーション 共有ファイル および端末ホストにアクセスできます さらに セキュアな Web セッションを通じて Microsoft Outlook および Lotus Notes などの他のクライアント / サーバアプリケーションにもアクセスできます

17 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 5 IVE の設定方法 IVE を設定するには 管理者の Web コンソールを通じて以下の 5 つの基本タスクを実行する必要があります 1. ユーザおよび管理者ロールを定義します Web コンソールページ :[User] [Roles] [Administrators] [Delegation] ロールは ユーザおよび管理者がアクセスできるリソースを制限します たとえば ネットワークディレクトリへのアクセスを許可し Web へのアクセスを拒否するロールを作成することができます IVE には 1 つのユーザロール (Users) と 2 つの管理者ロール (Administrators および Read-only Administrators) があらかじめ定義されています 2. リソースポリシーを定義します Web コンソールページ :[Resource Policie] リソースポリシーは ユーザおよび管理者がアクセスできるリソースをさらに制限します たとえば ロールレベルでファイルアクセスを許可した場合に リソースポリシーで企業ネットワークの特定ディレクトリへのアクセスを拒否するように指定することができます リソースポリシーを設定する場合は そのリソースポリシーを使用するロールを指定する必要があります IVE には すべてのユーザに Web ブラウズとファイルブラウズを許可するリソースポリシーがあらかじめ定義されています 3. 認証サーバと承認サーバを定義します Web コンソールページ :[System] [Signing In] [Servers] 認証および承認サーバは ユーザの証明書を認証し システムでのユーザ特権を判断します たとえば 証明書サーバを使用してユーザのクライアントサイド証明書属性に基づいてユーザを認証し LDAP サーバを作成して証明書失効リスト (CRL) に含まれる値に基づいてユーザを承認することができます IVE には ユーザを認証する 1 つのローカルサーバ (System Local) と 管理者を認証する 1 つのローカル認証サーバ (Administrators) があらかじめ定義されています IVE へのユーザアクセスを許可するには 少なくともこれらのサーバにユーザを追加する必要があります 4. 認証領域を定義します Web コンソールページ :[Users] [Authentication] [Administrators] [Authentication] 認証領域には ユーザまたは管理者が IVE にサインインする際の要件を指定するポリシーが含まれます たとえば ユーザが特定の IP アドレスまたは特定のブラウザからサインインする場合にのみ IVE へのアクセスを許可するように認証ポリシーを指定できます 認証領域を設定する場合は規則を作成する必要があります その規則により ユーザをロールに割り当て IVE で使用する領域メンバの認証サーバを指定します

18 6 NetScreen Instant Virtual Extranet アプライアンス管理ガイド IVE には System Local サーバを通じて認証されたすべてのユーザを Users ロールに割り当てる 1 つの領域 (Users) があらかじめ定義されています その他にも IVE には Administrators サーバを通じて認証されたすべてのユーザを Administrators ロールに割り当てる 1 つの領域 (Admin Users) があらかじめ定義されています 5. サインインポリシーを定義します Web コンソールページ :[System] [Signing In] [Sign-In Policies] サインインポリシーでは ユーザおよび管理者が IVE へサインインする際に使用する URL を定義します たとえば サインインポリシーを使用して 販売部門に 1 つのサインイン URL を作成し 輸送部門には別の URL を作成することができます サインインポリシーを設定する場合は 1 つまたは複数の領域と関連付ける必要があります 指定された領域のメンバのみ ポリシーで定義されている URL を使用して IVE にサインインできます IVE には Admin Users 領域メンバの */admin URL からのサインインを許可する 1 つのサインインポリシーと Users 領域メンバの */ URL からのサインインを許可するもう 1 つのサインインポリシーがあらかじめ定義されています

19 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 7 Access Series の概要 NetScreen Accessa 製品シリーズは 各種エンタープライズクラスの拡張性 高い可用性 およびセキュリティ機能を提供し ネットワークリソースに対してセキュアなアクセスを拡張します ほんの数時間で ユーザが以下に対してセキュアなアクセスができるように Access Series Instant Virtual Extranet (IVE) アプライアンスを設定できます デスクトップコンピュータ ラップトップコンピュータ および Pocket PC ワイヤレスデバイスを使用して 企業内部の Web サイトと Web ベースのアプリケーション ( クライアントサイドの Java アプレットを含む ) にアクセス ( 標準 ) 企業内部のファイルサーバ (NFS および CIFS) と 任意のディレクトリ間のファイル転送機能にアクセス ( 標準 ) 任意の PC から Microsoft Outlook および IBM / Lotus Notes などのネイティブのメッセージクライアントにアクセス ( セキュア E メールクライアントのアップグレードオプション ) 任意の PC から Microsoft Outlook Express Netscape Communicator および Qualcomm の Eudora などの標準ベースの E メールクライアントにアクセス ( セキュアアプリケーションマネージャのアップグレードオプション ) 任意の PC から Citrix ICA Client pcanywhere および MS Terminal Services などのクライアント / サーバアプリケーションにアクセス ( セキュアアプリケーションマネージャのアップグレードオプション ) 任意の PC から Telnet と SSH を通じて ホストされるサーバにアクセス ( セキュアターミナルアクセスのアップグレードオプション ) ミーティングのスケジュール リモートミーティングプレゼンテーション 司会者のデスクトップのリモートコントロール および文字列によるチャットなどのセキュアな共同作業の機能 ( セキュアミーティングのアップグレードオプション ) 従業員 パートナー および顧客に必要なものは標準的な PC の Web ブラウザ (IE/Netscape/AOL/Pocket IE) と インターネットに接続し 直感的な Access Series IVE ホームページにアクセスすることだけです このページに表示されるウィンドウから ユーザは セキュアに Web またはファイルサーバを参照したり HTML 対応のエンタープライズアプリケーションを使用したり クライアント / サーバアプリケーションプロキシを起動したり ターミナルセッションを開始することができます 1 IVE のインストール 設定 および管理は容易に実行できます IVE は 短時間でラックに設置できる堅牢なネットワークアプライアンスであり ネットワークに接続した後は シリアルコンソールを通じて初期システムとネットワーク設定を入力するだけで Web 1. これらの機能は 購入した NetScreen Access Series 製品およびアップグレードオプションによって異なります

20 8 NetScreen Instant Virtual Extranet アプライアンス管理ガイド コンソールにアクセスできます Web コンソールは Web ベースのインターフェイスであり 企業のニーズを満たすように IVE を設定および管理できます 以下の機能により スムーズな配置とシステムの効率的な保守が可能になります 単純なサーバ統合 IVE は 既存の企業認証サーバ (LDAP RADIUS NIS Windows NT ドメイン Active Directory および RSA ACE/Server) に接続できます 内部 Web サーバ ファイルサーバ またはネットワークに変更を加える必要がありません 証明書の認証 内部リソースに変更を加えることなくアプリケーションを保護します Access Series IVE 上で認証方式の一部として電子証明書を選択するだけです 高い可用性と冗長性 万が一障害が発生した場合にはユーザのダウンタイムを排除し ユーザ設定 システム設定 およびユーザセッションデータを同期するステートフルな相互接続を実現します ( クラスタ化されている場合 ) 単純なファイアウォールポリシー 外部からの IVE アプライアンスへの SSL アクセスのみが必要です IVE 4.0 アクセス管理システム ( 認証領域 ユーザロール およびリソースポリシー ) を使用したファイルおよび URL レベルへのリソースアクセスコントロール 集中管理された アプリケーションレベルのロギング 管理者およびユーザのアクション コネクション ファイル Web 要求 およびシステムエラーを追跡します インターネットを通じたシステムソフトウェアのアップグレード SNMP と DMZ のサポート

21 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 9 Access Series FIPS の概要 FIPS( 連邦情報処理規格 ) は 国立標準技術研究所による鍵操作およびデータ暗号化の規格です NetScreen Access Series FIPS は FIPS 認定の暗号化モジュールを搭載した標準の A5000 または A3000 NetScreen Instant Virtual Extranet です Access Series FIPS システムにインストールされた不正操作防止用ハードウェアセキュリティモジュールは FIPS レベル 3 セキュリティベンチマークに適合することが保証されています このモジュールは暗号化秘密鍵管理と SSL ハンドシェークを制御し 同時に FIPS への準拠を保証して アプライアンスから専用モジュールへの CPU 集中型の公開鍵インフラストラクチャ (PKI) の負荷を軽減します Access Series FIPS 管理者の設定プロセスは 非 FIPS IVE 管理者の設定プロセスとほぼ同じですが 初期化 クラスタ化 および証明書の生成プロセスの設定時に多少の変更が必要です このガイドでは 作業が異なる管理タスクについて Access Series および Access Series FIPS のそれぞれの管理者に該当する説明を記載しています エンドユーザの場合 Access Series FIPS は標準の IVE システムと全く同じです NetScreen Access Series FIPS の動作 Access Series FIPS システムを初めてインストールする場合 ユーザには IVE シリアルコンソールを通じてセキュリティワールドを作成する一連のプロセスが提供されます セキュリティワールドは Access Series FIPS によって使用される鍵管理システムであり 以下の要素で構成されます 暗号化モジュール Access Series FIPS に含まれる暗号化モジュール ( ハードウェアセキュリティモジュール HSM と呼ばれることもあります ) には アプライアンスに直接インストールされるハードウェアとファームウェアが含まれています セキュリティワールドには 単一の暗号化モジュール ( 標準的な環境 ) か複数のモジュール ( クラスタ環境 ) を含めることができます ただし 単一の暗号化モジュールには必ず単一の Access Series FIPS アプライアンスが搭載されます セキュリティワールド鍵 セキュリティワールド鍵は 一意な Triple DES 暗号化鍵であり セキュリティワールド内の他のすべてのアプリケーション鍵を保護します 連邦情報処理規格では この鍵をセキュリティワールドにインポートしないように要求しています つまり 暗号化モジュールから直接作成する必要があります クラスタ環境では セキュリティワールド内のすべてのモジュールが同じセキュリティワールド鍵を共有します ( 詳細については 67 ページの Access Series FIPS 環境でのクラスタの配置 を参照してください )

22 10 NetScreen Instant Virtual Extranet アプライアンス管理ガイド スマートカード スマートカードは クレジットカードに似た 取り外し可能な鍵デバイスです スマートカードによって認証されたユーザは 暗号化ハードウェアモジュールにより制御されるさまざまなデータやプロセスにアクセスできます 初期化プロセスでは 暗号化モジュールに提供するスマートカードリーダーを取り付け スマートカードの 1 枚をリーダーに挿入する必要があります スマートカードは初期化プロセス中に管理者カードに変換されます 管理者カードは カード所有者がセキュリティワールドにアクセスすることを許可します ( 詳細については 385 ページの 管理者カードの追加作成 (Access Series FIPS のみ ) を参照してください ) 暗号化したデータ - Access Series FIPS 環境で暗号化したホストデータには セキュアな方法で情報を共有するために必要な鍵および他のデータが含まれています これらの要素が連動して 包括的なセキュリティワールドを作成します アプライアンスを起動すると 通常の動作が開始される前に セキュリティワールドが有効であるかどうかと 暗号化モジュールが動作可能モードにあるかどうかが確認されます モジュールの外部にあるハードウェアスイッチを使用して 暗号化モジュールを動作可能モードに設定できます スイッチの設定は次のとおりです I - 初期化モード この設定は 暗号化モジュールを新しいセキュリティワールドで初期化する場合 または IVE クラスタで既存のセキュリティワールドにモジュールを追加する場合に使用します O - 動作可能モード この設定は 初期化後に暗号化モジュールを動作可能モードに置く場合に使用します モジュールの電源を入れる前にスイッチを O に設定し 日常の処理を開始したいことをユニットに警告するようにしてください そうしない場合 モジュールはシリアルコンソールを通じて 既存のセキュリティワールドに参加するか 新しいセキュリティワールドを初期化するように要求してきます M - メンテナンスモード 将来のリリースでは この設定を使用して暗号化モジュール上のファームウェアをアップグレードします ( 現在はサポートされていません ) モジュールの初期化と新しいセキュリティワールドの作成の詳細については 製品パッケージに付属の NetScreen Access Series FIPS クイックスタートガイド を参照してください 管理者カードの作成 Access Series FIPS 製品には パッケージの一部として 6 枚のスマートカードが入っています スマートカード は取り外し可能な鍵デバイスであり 暗号化モジュールによって制御される重要なデータおよびプロセスにアクセスするために必要です Access Series FIPS は最初に シリアルコンソールを通じた暗号化モジュールの初期化中に スマートカードの 1 枚を使用するよう要求してきます このプロセスで Access Series FIPS はセキュリティワールドを作成し スマートカードを管理者カードに変換します このプロセスにより 所有者はそのセキュリティワールドへのアクセスのみが許可されます

23 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 11 一度モジュールが初期化されると 通常の IVE の操作に管理者カードは必要ありません ただし 以下の場合には常に管理者カードを使用する必要があります 別の Access Series FIPS マシンをクラスタに追加する (144 ページの Web コンソールを通じて IVE をクラスタに追加する Web コンソール を参照 ) 新しい または異なるセキュリティワールドでモジュールを再度初期化する (386 ページ ) 管理者カードを追加作成する (385 ページ ) ほとんどの場合 シリアルコンソールを通じて実行する必要のある Access Series FIPS の操作には管理者カードが必要です 注意 : セキュリティワールドを変更する場合は常に 既存の管理者カードをどのように処理するかを決定する必要があります 以下の選択肢があります - 既存の管理者カードを新しいセキュリティワールドに対して再設定する - あらかじめ初期化した管理者カードを新しいセキュリティワールドに対して使用し 既存の管理者カードは変更しないまま残す ただし このオプションを選択すると 変更しない古いカードを使用して新しいセキュリティワールドにアクセスすることができないことにご注意ください 管理者カードは Access Series FIPS の操作とセキュリティワールド内の鍵のセキュリティにとって非常に重要であるため 次の予防策を講じることをお勧めします 複数の管理者カードを作成しておく 管理者カードを交換するには 別の有効なカードがあり セットに対するパスフレーズを持っていなければなりません 暗号化モジュールは管理者カードのリカバリデータを保存していません そのため 通常の管理操作用に少なくとも 1 枚 バックアップ用にもう 1 枚の管理者カードを作成することをお勧めします そうしない場合 1 枚しかない管理者カードを紛失すると それ以降 セキュリティワールドとそこに保存されているすべてのデータにアクセスできなくなる恐れがあります バックアップ用の管理者カードをセキュアな場所に保管する バックアップ用の管理者カードは 通常の管理操作に使用するカードとは別のセキュアな場所に保管しておき 同じ出来事 ( 火災や盗難 ) ですべての管理者カードが失われることのないようにします 管理者カードを 1 枚紛失したら 残りのすべてのカードを上書きする 管理者カードを紛失または破損した場合は ただちに新しいセキュリティワールドを作成し 古いセキュリティワールドの残りのカードをすべて上書きします そうしない場合 古い管理者カードを持つ攻撃者は バックアップテープまたは別のホストに格納された古いホストデータにアクセス可能になります すると攻撃者は 古いホストデータと古いカードを使用して 鍵を再作成することができます

24 12 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 管理者カードのパスフレーズを保護する セキュリティを最大にするには パスフレーズを書き留めたり 信頼できないユーザに伝えたり 推測しやすいパスフレーズを使用しないことです パスフレーズを保護すると 操作のセキュリティレベルが向上します 管理者カードは既知の信頼できるソースとのみ使用する スマートカードは必ず信頼できるソースから取得し 信頼できないスマートカードリーダーにスマートカードを挿入してはなりません また 信頼できないスマートカードをスマートカードリーダーに挿入してはなりません

25 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 13 セキュアミーティングの概要 IVE ユーザは セキュアミーティングを使用することにより IVE ユーザと非 IVE ユーザ間の両方でオンラインミーティングをセキュアに計画および開催できます ミーティングでは ユーザはセキュアな接続を通じてデスクトップとアプリケーションを相互に共有できます これにより ミーティング参加者全員が画面上で電子データを即時に共有することができます また ミーティング参加者は デスクトップを相互にリモートコントロールしたり プレゼンテーションを妨害しないよう別のアプリケーションウィンドウを使用して文字列によるチャットを行い オンラインでセキュアに共同作業をすることもできます NetScreen では 以下の 2 種類の異なるセキュアミーティングアプライアンスを用意しています Meeting Series アプライアンス - ミーティング重視の環境用のミーティングサーバ専用アプライアンスです セキュアミーティングアップグレード付き Access Series アプライアンス - セキュアミーティングアップグレードは Access Series ユーザ向けに小規模なミーティング環境を備えています このオプションでは ミーティングを実行するサーバが公衆インターネットと企業の内部リソース間で要求を仲介する機能も実行します Meeting Series と Access Series は IVE プラットフォームに基づいているため これらの管理者の設定プロセスはほとんど同じです 一部には管理者の操作が異なる場合がありますが このガイドでは Access Series と Meeting Series の両方の管理者に対して適切な手順を示しています セキュアミーティング機能の概要およびシステム要件については 以下を参照してください ミーティングのスケジュール 参加および運営 ミーティング URL へのアクセス セキュアミーティングがサポートされている環境 セキュアミーティングの設定手順については 以下を参照してください ユーザーロールのミーティング機能の有効化および設定 [Meetings] ページの設定 内部ポート (LAN インターフェイス ) のネットワーク設定の変更 セキュアミーティングの管理とトラブルシューティング手順については 以下を参照してください (Meeting Series アプライアンスのみ ) システム許容能力の表示 スケジュールされたミーティングの表示と取り消し セキュアミーティングのトラブルシューティング 注意 : ここに一覧されている手順は このガイド全体に記載されている標準的な IVE 設定手順を補足するものです

26 14 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ミーティングのスケジュール 参加および運営 ミーティングのスケジュール セキュアミーティングオンラインミーティングはすべて IVE ユーザがスケジュールする必要があります ミーティング作成者は セキュアゲートウェイインターフェイスを通じて ミーティングの名前 説明 開始日時 期間 パスワード 参加者リスト および参加者の E メールアドレスなどのミーティングの詳細を指定します ミーティング作成者が参加者を指定するときには 各参加者を次の 2 つのカテゴリのいずれかにグループ化する必要があります IVE 参加者 - IVE 参加者 ( ネットワーク内部の参加者とも呼ばれます ) は ミーティング作成者と同じサーバから認証を受けている IVE ユーザです 非 IVE 参加者 - 非 IVE 参加者 ( ネットワーク外部の参加者とも呼ばれます ) は 非 IVE ユーザか ミーティング作成者の IVE と異なる IVE から認証を受けている IVE ユーザです 1 ミーティング作成者がミーティングを保存すると セキュアミーティングは [Meeting] ページを有効にしたすべての IVE 参加者 ( ミーティング作成者を含む ) の [Meeting] ページにその会議を追加します Simple Mail Transfer Protocol(SMTP)E メールサーバを有効にすると選択した場合 セキュアミーティングはメールアドレスがわかっている各参加者に個別に通知 E メールも送信します セキュアミーティングは以下の 2 つの設定から E メールアドレスを取得します [Preferences] ページ - IVE ユーザは自分の E メールアドレスを IVE ホームページの [Preferences] ページで入力できます 入力したアドレスは そのユーザがミーティングに招待される際に自動的に使用されます [Create Meeting] ページ - ミーティング作成者は ミーティングのスケジュールおよび更新中に ミーティングの参加者の E メールアドレスを手で入力 ( または上書き ) できます E メールには ミーティングの詳細と会議へのリンクが含まれます 参加者はこのリンクから会議に出席できます 参加者は会議の予定開始時刻の 15 分前まで 会議への出席を許可されます ( 詳細については 16 ページの ミーティング URL へのアクセス を参照してください ) インスタントミーティングの作成 ミーティング作成者は インスタントミーティング を作成することにより 複数のスケジュールステップを省略することができます IVE ユーザが [Instant Meeting] をクリックすると セキュアミーティングで自動的に一意の名前とパスワードを使用した 1. セキュアミーティングでは サインインで非 IVE 参加者に名前の入力を要求しますが 名前は認証されません セキュアミーティングはミーティング ID とパスワードのみを使用して非 IVE 参加者を認証します

27 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 15 ミーティングが作成されます この場合 すぐに開始する予定の 30 分間の会議が指定され 参加者としてミーティング作成者のみが追加されます さらに ミーティング作成者のデスクトップに [Launch Meeting Application] ページが表示されます このページで ミーティング作成者は自動的に生成されたパスワードを変更するか受け入れるかを選択できます また ミーティングの開始も選択できます ミーティング作成者はインスタントミーティングの唯一の参加 ( 招待 ) 者であるため E メール通知を使用してその他の参加者を追加することはできません 代わりに 他の出席者がミーティングに出席できるように ミーティング URL ID およびパスワードなどの必要な情報を提供する必要があります この情報は [Launch Meeting Application] ページに表示されます 同様に ミーティング作成者は唯一の IVE 参加者であるため そのミーティング中の唯一の運営管理者 ( コンダクタ ) でもあります ミーティングへの参加 参加者がミーティングへの参加を選択すると セキュアミーティングは Active-X コンポーネントか Java アプレットのいずれかを参加者のシステムにダウンロードします このクライアントサイドコンポーネントには ミーティングビューワ プレゼンテーションツール および文字列メッセージアプリケーションが含まれています セキュアミーティングがユーザのデスクトップで Active-X または Java アプレットを起動すると ユーザはミーティング参加者となり ミーティングへの参加を開始できるようになります ( セキュアミーティングでの Active-X または Java アプレットのダウンロードの詳細につていは 17 ページの セキュアミーティングがサポートされている環境 を参照してください ) 参加者はミーティングに参加するとすぐに [Secure Meeting Chat] ウィンドウを使用して他の参加者への文字列メッセージの送信を開始できます ミーティングの運営 ミーティングコンダクタはミーティングを開始して 司会者の役割をします コンダクタが参加するまで 他の参加者はチャットのみ行うことができます プレゼンテーションの表示または作成は許可されません これは デフォルトでは コンダクタはミーティングの司会者でもあるためです コンダクタ ( またはコンダクタに指定されたミーティング参加者 ) は 自分のデスクトップまたはアプリケーションを他の参加者と共有することにより ミーティングプレゼンテーションを開始します 司会者が共有を開始すると すべてのミーティング参加者のデスクトップでミーティングビューワが自動的に開き 司会者と共有しているアプリケーションが表示されます 1 1. ミーティング司会者のデスクトップのコンテンツがロックされている場合には セキュアミーティングはそのコンテンツを表示できません

28 16 NetScreen Instant Virtual Extranet アプライアンス管理ガイド コンダクタには 必要に応じてミーティング参加者を退出させたり 予定終了時間を超える場合はミーティングを延長したり 完了したミーティングを終了する役割もあります ミーティングのコンダクタは ミーティング中に コンダクタの役割を別の参加者に委任することができます この場合 委任される参加者は適切な環境でミーティングを実行していることが求められます コンダクタは 任意の IVE ユーザをコンダクタに指定できます 同様に 任意の Windows ユーザを司会者に指定できます ミーティング司会者の場合も コントローラを指定することにより他の参加者に役割を委任することができます コントローラは 自分のマウスおよびキーボードを使用して 司会者の共有デスクトップまたはアプリケーションをリモートコントロールします 司会者は IVE 参加者または Windows ユーザだけでなく 任意の参加者にリモートコントロール権を委任できます 司会者がリモートコントロールされているアプリケーションのコントロールを取り戻すには 任意の場所で右クリックします これによりセキュアミーティングによってコントロールが司会者に戻されます ミーティング URL へのアクセス ミーティングに参加するには セキュアミーティング参加者はミーティング URL を使用して セキュアミーティングサーバ (IVE) 1 のミーティングサイトにアクセスする必要があります 最も簡単に URL にアクセスする方法は以下のとおりです 通知 E メールに含まれているリンクを使用する [Launch Meeting Application] ページに表示される URL を入力する エンドユーザセキュアゲートウェイセッションで提供される [Join Meeting] リンクをクリックする (IVE 参加者のみ ) 参加者は 以下の形式で URL を作成し ブラウザのナビゲーションバーにその URL を入力します https://yourive/meeting/meetingid ここで yourive はミーティングのホストとなる IVE の名前とドメインです たとえば iveserver.yourcompany.com のようになります 名前は [System] [Network] [Internal Port] タブの [Virtual Hostname] フィールドから取得されます ( 定義されている場合 ) 定義されていない場合は セキュアミーティングはミーティング URL の作成時にミーティング作成者のブラウザから IVE 名を取得します Meeting はリテラル文字列です ( この文字列は常に同じなのでご注意ください ) 1. セキュアミーティングは NetScreen Instant Virtual Extranet 上でオンラインミーティングを開催して IVE ユーザと非 IVE ユーザの両方がミーティングに参加できるようにします ただし 非 IVE ミーティング参加者は 招待されたミーティング以外 IVE の何にもアクセスできません

29 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 17 MeetingID は ミーティングに生成された 8 桁の一意な識別番号です ( オプション ) ユーザが URL に ID を指定しない場合 ミーティングへサインインする際に ID を要求されます 例 : https://connect.acmegizmo.com/meeting/ セキュアミーティングがサポートされている環境 セキュアミーティングは さまざまな環境で動作するように設計されています ただし システムの設定方法によっては セキュアミーティングの動作が多少異なり 提供する機能のレベルも変わってきます ( 詳細については 次のセクションを参照してください ) 現在のシステムとセキュアミーティングとの互換性を最も簡単に確認するには セキュアミーティング互換性チェッカを使用します この機能を使用するには ミーティング URL (https://yourive/meeting) を使用してミーティングサインインページにアクセスし [Check Meeting Compatibility] をクリックします これによりセキュアミーティングで互換性レベルが確認され 必要に応じて完全な互換性を得るためのアップグレードの必要性が通知されます ミーティングをスケジュールした後 いつでも互換性チェッカを実行できます ミーティングを開始する直前まで待つ必要はありません 重要 : セキュアミーティング互換性チェッカは 接続速度 レガシモード ミーティングに影響を与えるその他の要因などをチェックしません チェッカが検証しない要因については 19 ページの 追加の要件および制限 を参照してください オペレーティングシステムおよびブラウザの要件 セキュアミーティングは さまざまなオペレーティングシステムの異なるレベルでサポートされています セキュアミーティングを以下の環境で実行する場合の要件を説明します Windows オペレーティングシステム - すべてのミーティング機能にアクセスできます サポートされている Windows オペレーティングシステムは Windows 98 SE Windows ME サービスパック 4 の Windows 2000 サービスパック 6 の Windows NT 4.0 およびサービスパック 1 の Windows XP です Windows オペレーティングシステムでサポートされているブラウザは サービスパック 1 の Internet Explorer 6.0 および Netscape Navigator 7.1 です また Windows XP を除く上記のすべての Windows オペレーティングシステムで サービスパック 2 の Internet Explorer 5.0 および 5.5 がサポートされています

30 18 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 非 Windows オペレーティングシステム - ミーティングを表示 運営管理 リモートコントロールできますが 司会はできません セキュアミーティングは 適切な Java Virtual Machine(JVM) がインストールされているあらゆるオペレーティングシステムで実行できます ただし 非 Windows 環境で実行する場合では Safari の MacX 10.3 または Mozilla 1.1 の Linux Redhat 7.3 を推奨します 上記のブラウザ要件のほかにも ブラウザを通じて java スクリプトと以下のコンポーネント 1 のいずれかを有効にする必要があります Active-X コンポーネント - Windows 2000 システムの管理者とパワーユーザの場合 Active-X コントロールは自動的に有効になりますが 一般ユーザは手動で有効にしなければなりません Active-X コントロールを Internet Explorer* で有効にするには [ ツール ] [ インターネットオプション ] [ セキュリティ ] [ レベルのカスタマイズ ] を選択し [ セキュリティの設定 ] ダイアログボックスで Active-X コンポーネントを有効にします Microsoft Java Virtual Machine (JVM)- Microsoft JVM を Internet Explorer* で有効にするには [ ツール ] [ インターネットオプション ] [ セキュリティ ] [ レベルのカスタマイズ ] を選択し [ セキュリティの設定 ] ダイアログボックスで [Microsoft VM] を有効にします Sun Java Virtual Machine(JVM)1.4.1_01 以降 - ミーティングに参加すると セキュアミーティングはマシン上のメモリで Java アプレットを実行します セキュアミーティングは Sun JVM 1.4.1_01 以降でサポートされます Sun JVM は からダウンロードできます java スクリプトを有効にするには 次の操作を実行します Internet Explorer* - [ ツール ] [ インターネットオプション ] [ セキュリティ ] タブを表示し [ レベルのカスタマイズ ] を選択します [Java アプレットのスクリプト ] で [ 有効にする ] を選択します Netscape Navigator* - [ 編集 ] [ 設定 ] を表示します [ 詳細 ] [ スクリプトとプラグイン ] で [Navigator] チェックボックスを選択します * ここでは ブラウザの最新バージョンについて説明しています 古いバージョンのブラウザについては 内容が異なる場合があります 1. ブラウザから Active-X コンポーネントを有効化した場合 会議に参加する際に セキュアミーティングによってクライアントマシンに Active-X コンポーネントがダウンロードされます JVM をインストールした場合 会議に参加する際に セキュアミーティングによって Java アプレットがダウンロードされます

31 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 19 追加の要件および制限 セキュアミーティングは 16 ビットまたは 32 ビットカラーモニター表示によるミーティング運営をサポートします セキュアミーティングは IVE の 2.x 認証モード ( レガシモード ) で設定された IVE 環境ではサポートされません またセキュアミーティングを使用して ストリーミングメディアアプリケーションを共有できません ライセンスの制限の他 これらの制限が加えられます セキュアミーティングサーバ ( たとえば IVE) 上でセキュアミーティングと SSL 証明書を併用する場合は 本番レベルの証明書をインストールすることをお勧めします 自己署名 SSL 証明書をインストールすると セキュアミーティングのユーザがミーティングにサインインできないことがあります (57 ページの サーバ証明書 の説明を参照 ) 自己署名証明書を使用する場合には 証明書をインストールし その後ミーティングに参加するよう参加者に指示してください (Internet Explorer を使用している場合 ユーザはエラーメッセージが表示されたときに [View Certificate] [Install Certificate] をクリックする必要があります ) セキュアミーティングのトラブルシューティング セキュアミーティングに関する問題が発生した場合は 以下を行うことをお勧めします セキュアミーティングクライアントをシステムからアンインストールするセキュアミーティングの起動時に問題が発生した場合 [Launch Meeting Application] ページで [Joining a Meeting: Troubleshooting] リンクをクリックし 次に [Uninstall] をクリックします ミーティングを再度起動するには [Return to Meeting] をクリックします 次回ミーティングに参加する際 セキュアミーティングによりクライアントが最新バージョンに更新されます セキュアミーティングエラーメッセージ PDF を参照する セキュアミーティングエラーメッセージ では セキュアミーティングの設定時または使用時に発生する可能性のあるエラーとその解決方法について説明しています PDF は サポートサイト から入手できます NetScreen サポートへ連絡する上記の方法で解決不可能なエラーが発生した場合は エラーメッセージの内容 問題を再現する詳細手順 IVE のオペレーティングシステムとビルドナンバー IVE 管理者ログファイル インストールログファイル クライアントサイドログファイルを含むレポートを送信します

32 20 NetScreen Instant Virtual Extranet アプライアンス管理ガイド クライアントサイドログファイルへのアクセス セキュアミーティングは オペレーティングシステムの特権に応じて 異なるディレクトリにクライアントファイルをインストールします 特権ごとに説明します Windows システムパワーユーザまたは管理者の特権 セキュアミーティングは C:\Program Files\Neoteris\Secure Meeting <version number>\dscboxui.log ディレクトリにファイルをインストールします Windows システム一般ユーザの特権 セキュアミーティングは C:\Documents and Settings\<user_name>\Local Settings\Temp\dsCboxUI.log か C:\dsCboxUI.log ディレクトリにファイルをインストールします 最初のディレクトリでログファイルが見つからない場合は 非表示のファイルとフォルダの表示を有効にする必要があります (Windows Explorer で [ ツール ] [ フォルダオプション ] [ 表示 ] [ すべてのファイルとフォルダを表示する ] を選択し [OK] をクリックします ) Windows 以外のシステム セキュアミーティングは Java コンソールに記録します NetScreen サポートに送信できるように Java コンソールの内容を別のファイルにコピー & ペーストしてください インストールログファイルへのアクセス Windows 環境でセキュアミーティングを実行している場合は 以下のディレクトリでインストールログファイルを確認します C:\WINNT\Downloaded Program Files\NeoterisSetup.log C:\NeoterisSetup.log 非 Windows 環境で実行している場合 セキュアミーティングは Java コンソールに記録します NetScreen サポートに送信できるように Java コンソールの内容を別のファイルにコピー & ペーストしてください 管理者ログファイルへのアクセス 管理者ログファイルは Web コンソールの [System] [Log/Monitoring] ページで確認できます ログを取り出す場合 イベントログ ユーザアクセスログおよび管理者アクセスログの 3 種類のログがあることに注意してください

33 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 21 アクセス管理の概要 IVE は 認証ポリシー ユーザプロファイル およびリソースポリシーに基づいた企業リソースのセキュリティ保護を実現します これらの 3 つのコントロールレベルを使用することにより 企業の外部機能に対する適切なアクセス管理が可能になります ユーザが IVE にサインインする場合 IVE 機能にアクセスする場合 または特定の URL ファイルおよびその他のサーバリソースにアクセスする場合のセキュリティ要件を指定できます IVE では ユーザが承認されていないリソースやコンテンツにアクセスしたり それらをダウンロードしたりできないようにするためのポリシー 規則 制限および 設定条件が適用されます 詳細については 以下を参照してください ポリシー 規則 & 制限および条件 セキュリティ要件の指定 ポリシー 規則 & 制限および条件 リソースへのアクセス可能性の検証は証領域から始まります 認証領域 とは 以下のリソースを含む認証リソースのグループです ユーザが本人に間違いないかどうかを検証する認証サーバ IVE は ユーザがサインインページで送信する証明書を認証サーバに転送します (173 ページ ) 認証ポリシー IVE が検証のためにユーザ証明書を認証サーバに送る前に 満たす必要がある領域セキュリティ要件を指定します (166 ページ ) ディレクトリサーバ ユーザを 1 つまたは複数のユーザロールに割り当てる際に IVE が使用するユーザおよびグループ情報を IVE に提供する LDAP サーバです (187 ページ ) ロールマッピング規則 IVE でユーザを 1 つまたは複数のユーザロールに割り当られるようにするためのユーザの条件です これらの条件は 領域のディレクトリサーバによって返されるユーザ情報またはユーザのユーザ名に基づいています (228 ページ ) 各 IVE サインインページには 1 つまたは複数の認証領域が関連付けられています サインインページに複数の領域が存在する場合は ユーザは証明書を送信する前に領域を指定する必要があります ユーザが証明書を送信すると IVE は選択領域に定義されている認証ポリシーをチェックします このとき ユーザは領域の認証ポリシーに対して定義されているセキュリティ要件を満たしている必要があります 要件を満たしていない場合には IVE はユーザの証明書を認証サーバに転送しません

34 22 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ユーザのソース IP IVE にアクセスするユーザのブラウザ クライアントサイド証明書の所有 パスワードの文字数 ホストチェッカがユーザマシンにインストールされているかまたはポリシーを適用しているか Cache Cleaner がユーザマシンにインストールされているかまたは実行されているかなどの条件に基づいて 領域レベルでのセキュリティ要件を指定できます 領域の認証ポリシーで指定された要件をユーザが満たしている場合 IVE はそのユーザの証明書を適切な認証サーバに送ります このサーバでユーザ認証が正常に終了すると IVE は ロールマッピング規則を確認してユーザに割り当てるロールを決定します ロール は ロールに割り当てられるユーザの IVE セッションプロパティを指定する定義済みエンティティです これらのセッションプロパティには セッションタイムアウトやブックマーク Web ブラウジング ファイルブラウジング セキュアアプリケーションマネージャ Telnet/SSH ネットワークコネクト セキュアミーティングおよび E メールクライアントなどの有効化されている Access 機能の情報がすべて含まれます ロールの設定は 第 2 レベルのリソースアクセスコントロールとして機能します ロールにはユーザにとって利用可能なアクセスメカニズムを指定するだけでなく ユーザがロールに割り当てられる前に従わなければならない制限も指定できます ユーザはこれらのセキュリティ要件を満たしている必要があり 満たしていない場合には IVE はユーザをロールに割り当てません ユーザのソース IP ブラウザ クライアントサイド証明書の所有のほか ホストチェッカがユーザマシンにインストールされているかまたは指定のポリシーを適用しているか Cache Cleaner がユーザマシン上で実行されているかなどの条件に基づいてロールレベルでのセキュリティ要件を指定できます ロールマッピング規則またはロールの制限 1 のいずれかで指定されている要件をユーザが満たしている場合は IVE はユーザをロールに割り当てます ユーザが そのロールに利用可能なバックエンドリソースに要求を送信する場合には IVE は 対応する Access 機能のリソースポリシーを確認します リソースポリシー は アクセス権や 再書き込みおよびキャッシングなどのその他のリソース固有のアクションの許可または拒否を設定するリソース名のセット (URL ホスト名および IP アドレス / ネットマスクの組み合わせなど ) です リソースポリシーは 第 3 レベルのリソースアクセスコントロールとして機能します ロールでは特定タイプの機能およびリソース ( ブックマークおよびアプリケーションなど ) へのアクセス権を付与しますが ユーザが個々のリソースにアクセスできるかどうかはリソースポリシーによって制御されます これらのポリシーでは サーバシェアまたはファイルに対するユーザアクセスを許可または拒否する条件も指定できます これらの条件は 指定のセキュリティ要件に基づいています ユーザは これらのセキュリティ要件を満たしている必要があり 満たしていない場合には IVE はユーザの要求を処理しません 1. ロールのセキュリティ要件は 認証領域のロールマッピング規則 ( カスタムエクスプレッションを使用 ) による指定と ロール定義内で制限を定義することによる指定の両方が可能です IVE は 両方の指定エリアを検証し ユーザをロールに割り当てる前にユーザがそれらの要件を満たしているかどうか確認します

35 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 23 ユーザのソース IP ブラウザ クライアントサイド証明書の所有 要求の時刻 ホストチェッカがユーザマシンにインストールされているかまたはポリシーを適用しているか Cache Cleaner がユーザマシンにインストールされているかまたは実行されているかなどの条件に基づいて リソースレベルでのセキュリティ要件を指定できます リソースポリシーの条件で指定されている要件をユーザが満たしている場合は IVE は要求されたリソースに対するアクセスを許可または拒否します たとえば Web アクセスをロールレベルで許可し そのロールに割り当てられたユーザが Web リクエストを行うとします このとき ホストチェッカによってユーザマシン上に許容できないファイルが確認された場合に 特定の URL やパスに対する要求を拒否するように Web リソースポリシーを設定することも可能です この場合 IVE はホストチェッカが実行されているかどうかチェックし ユーザマシンが指定されているホストチェッカポリシーを適用する必要があることを示します ユーザマシンが要件を満たしている場合 つまり 許容できないファイルが存在しない場合には IVE は要求された Web リソースに対するアクセスを許可します 図 2: アクセス管理この図は ユーザがサインインページで証明書を送信した後で IVE でポリシー 規則 制限および条件を検証する順序を示しています

36 24 NetScreen Instant Virtual Extranet アプライアンス管理ガイド セキュリティ要件の指定 IVE の以下のオプションおよび機能を使用すると 管理者とユーザに対するセキュリティ要件を簡単に指定できます ソース IP ブラウザ 証明書 パスワード ホストチェッカ Cache Cleaner ソース IP ソース IP により IVE およびリソースへのアクセスを制限できます 管理者またはユーザが IVE へサインインする場合ユーザは IP アドレス / ネットマスクの組み合わせが 選択されている認証領域の指定ソース IP 要件と一致するマシンからサインインする必要があります 領域が要求する IP アドレス / ネットマスクの組み合わせがユーザマシンに該当しない場合 IVE はユーザの証明書を認証サーバに転送しないため IVE へのユーザアクセスは拒否されます 管理者に対して 以下の場所でこのセキュリティ要件を設定します [Administrators] [Authentication] [SelectRealm] [Authentication Policy] [Source IP] ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Users] [Authentication] [SelectRealm] [Authentication Policy] [Source IP] 管理者またはユーザをロールに割り当てる場合認証されたユーザは IP アドレス / ネットマスクの組み合わせが IVE のユーザ割り当て先の各ロールに指定されているソース IP 要件と一致するマシンからサインインしている必要があります ロールが要求する IP アドレス / ネットマスクの組み合わせがユーザマシンに該当しない場合 IVE はユーザをロールに割り当てません 管理者に対して 以下の場所でこのセキュリティ要件を設定します [Administrators] [Delegation] [SelectRole] [General] [Restrictions] [Source IP] ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Users] [Authentication] [SelectRealm] [Role Mapping] [Select CreateRule] [CustomExpression] または 以下の場所で設定します [Users] [Roles] [SelectRole] [General] [Restrictions] [Source IP]

37 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 25 ユーザがリソースを要求する場合 認証および承認されたユーザは IP アドレス / ネットマスクの組み合わせが ユーザの要求に対応するリソースポリシーの指定ソース IP 要件と一致するマシンからリソースを要求する必要があります リソースが要求する IP アドレス / ネットマスクの組み合わせがユーザマシンに該当しない場合 IVE はリソースへのユーザアクセスを許可しません ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Resource Policies] [SelectResource] [SelectPolicy] [Detailed Rules] [Select CreateRule] [ConditionField] ブラウザ ブラウザタイプにより IVE およびリソースへのアクセスを制限できます 管理者またはユーザが IVE へサインインする場合ユーザは ユーザエージェント文字列が 選択されている認証領域の指定ユーザエージェント文字列パターン要件と一致するブラウザからサインインする必要があります ブラウザのユーザエージェント文字列がその領域で許可されると IVE はユーザの証明書を認証サーバに送信します ブラウザのユーザエージェント文字列がその領域で拒否された場合は IVE はユーザの証明書を認証サーバに送信しません 管理者に対して 以下の場所でこのセキュリティ要件を設定します [Administrators] [Authentication] [SelectRealm] [Authentication Policy] [Browser] ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Users] [Authentication] [SelectRealm] [Authentication Policy] [Browser] 管理者またはユーザをロールに割り当てる場合認証されたユーザは ユーザエージェント文字列が IVE のユーザ割り当て先の各ロールに指定されているユーザエージェント文字列パターン要件と一致するブラウザからサインインしている必要があります ユーザエージェント文字列がロールの許可または拒否要件を満たしていない場合は IVE はユーザをそのロールに割り当てません 管理者に対して 以下の場所でこのセキュリティ要件を設定します [Administrators] [Delegation] [SelectRole] [General] [Restrictions] [Browser] ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Users] [Authentication] [SelectRealm] [Role Mapping] [Select CreateRule] [CustomExpression] または 以下の場所で設定します [Users] [Roles] [SelectRole] [General] [Restrictions] [Browser]

38 26 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ユーザがリソースを要求する場合 認証および承認されたユーザは ユーザエージェント文字列が ユーザの要求に対応するリソースポリシーに指定されている許可または拒否要件と一致するブラウザからリソースを要求する必要があります ユーザエージェント文字列がリソースの許可または拒否要件を満たしていない場合は IVE はそのリソースへのユーザアクセスを許可しません ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Resource Policies] [SelectResource] [SelectPolicy] [Detailed Rules] [Select CreateRule] [ConditionField] 証明書 クライアントサイド証明書を要求することにより IVE およびリソースへのアクセスを制限できます 管理者またはユーザが IVE へサインインする場合ユーザは 指定のクライアントサイド証明書 ( 正当な認証局 (CA) から発行され オプション指定の任意のフィールド / 値ペア要件を含む ) を所有しているマシンからサインインする必要があります 領域が要求する証明書情報がユーザマシン上にない場合は IVE はユーザの証明書を認証サーバに送信しません クライアントサイド証明書の検証に使用するルート認証局を以下の場所で指定します [System] [Configuration] [Certificates] [CA Certificates] 管理者に対して 以下の場所でこのセキュリティ要件を設定します [Administrators] [Authentication] [SelectRealm] [Authentication Policy] [Certificate] ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Users] [Authentication] [SelectRealm] [Authentication Policy] [Certificate] 管理者またはユーザをロールに割り当てる場合認証されたユーザは IVE のユーザ割り当て先の各ロールに指定されているクライアントサイド証明書の要件 ( 正当な認証局 (CA) から発行され オプション指定の任意のフィールド / 値ペア要件を含む ) を満たしているマシンからサインインしている必要があります ロールが要求する証明書情報がユーザマシン上にない場合 IVE はユーザをロールに割り当てません クライアントサイド証明書の検証に使用するルート認証局を以下の場所で指定します [System] [Configuration] [Certificates] [CA Certificates] 管理者に対して 以下の場所でこのセキュリティ要件を設定します [Administrators] [Delegation] [SelectRole] [General] [Restrictions] [Certificate] ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Users] [Authentication] [SelectRealm] [Role Mapping] [Select CreateRule] [CertificateAttribute CustomExpression]

39 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 27 以下の場所で追加のロール要件を指定できます [Users] [Roles] [SelectRole] [General] [Restrictions] [Certificate] ユーザがリソースを要求する場合認証および承認されたユーザは ユーザの要求に対応するリソースポリシーに指定されているクライアントサイド証明書の要件 ( 正当な認証局 (CA) から発行され オプション指定の任意のフィールド / 値ペア要件を含む ) を満たしているマシンからリソースを要求する必要があります リソースが要求する証明書情報がユーザマシン上にない場合 IVE はそのリソースへのユーザアクセスを許可しません クライアントサイド証明書の検証に使用するルート認証局を以下の場所で指定します [System] [Configuration] [Certificates] [CA Certificates] ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Resource Policies] [SelectResource] [SelectPolicy] [Detailed Rules] [Select CreateRule] [ConditionField] パスワード パスワードの文字数により IVE およびリソースへのアクセスを制限できます 管理者またはユーザが IVE へサインインする場合ユーザは 領域に指定されている最低文字数要件を満たしているパスワードを入力する必要があります ローカルユーザおよび管理者のレコードは IVE 認証サーバに格納されます このサーバでは 領域の認証ポリシーに指定する値に関係なく 6 文字以上のパスワードが要求されます 管理者に対して 以下の場所でこのセキュリティ要件を設定します [Administrators] [Authentication] [SelectRealm] [Authentication Policy] [Password] ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Users] [Authentication] [SelectRealm] [Authentication Policy] [Password] ホストチェッカ ホストチェッカを要求することにより IVE およびリソースへのアクセスを制限できます 管理者またはユーザが IVE へサインインする場合ユーザは 領域に指定されているホストチェッカポリシーを適用するマシンからサインインする必要があります ユーザマシンが 領域に指定されているホストチェッカポリシーの要件を満たしていない場合 IVE はユーザの証明書を認証サーバに転送しないため IVE へのユーザアクセスは拒否されます システム全体のホストチェッカポリシーを以下の場所で指定します [System] [Configuration] [Security] [ ホストチェッカ ]

40 28 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 管理者に対して 以下の場所でこのセキュリティ要件を設定します [Administrators] [Authentication] [SelectRealm] [Authentication Policy] [ ホストチェッカ ] ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Users] [Authentication] [SelectRealm] [Authentication Policy] [ ホストチェッカ ] 管理者またはユーザをロールに割り当てる場合認証されたユーザは IVE のユーザ割り当て先の各ロールに指定されているホストチェッカポリシーを適用するマシンからサインインしている必要があります ユーザマシンが ロールに指定されているホストチェッカポリシーの要件を満たしていない場合は IVE はユーザをそのロールに割り当てません システム全体のホストチェッカポリシーを以下の場所で指定します [System] [Configuration] [Security] [ ホストチェッカ ] 管理者に対して 以下の場所でこのセキュリティ要件を設定します [Administrators] [Delegation] [SelectRole] [General] [Restrictions] [ ホストチェッカ ] ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Users] [Authentication] [SelectRealm] [Role Mapping] [Select CreateRule] [CustomExpression] 以下の場所で追加のロール要件を指定できます [Users] [Roles] [SelectRole] [General] [Restrictions] [ ホストチェッカ ] ユーザがリソースを要求する場合認証および承認されたユーザは ユーザの要求に対応するリソースポリシーに指定されている ホストチェッカポリシーを適用するマシンからリソースを要求する必要があります ユーザマシンが リソースに指定されているホストチェッカポリシーの要件を満たしていない場合は IVE はそのリソースへのユーザアクセスを許可しません すべてのユーザに対して 以下の場所でこのセキュリティ要件を設定します [Resource Policies] [SelectResource] [SelectPolicy] [Detailed Rules] [Select CreateRule] [ConditionField] Cache Cleaner Cache Cleaner を要求することにより IVE およびリソースへのアクセスを制限できます 管理者またはユーザが IVE へサインインする場合ユーザは 領域に指定されている Cache Cleaner ポリシーを適用するマシンからサインインする必要があります ユーザマシンが 領域に指定されている Cache Cleaner ポリシーの要件を満たしていない場合 IVE はユーザの証明書を認証サーバに転送しないため IVE へのユーザアクセスは拒否されます

41 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 29 管理者に対して 以下の場所でこのセキュリティ要件を設定します [Administrators] [Authentication] [SelectRealm] [Authentication Policy] [Cache Cleaner] ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Users] [Authentication] [SelectRealm] [Authentication Policy] [Cache Cleaner] 管理者またはユーザをロールに割り当てる場合認証されたユーザは IVE のユーザ割り当て先の各ロールに指定されているこの要件 つまり Cache Cleaner がユーザのワークステーション上でインストールされているか実行されていなければならない ( 設定により異なる ) という要件を満たしているマシンからサインインしている必要があります ユーザマシンが ロールに指定されている Cache Cleaner 要件を満たしていない場合は IVE はユーザをそのロールに割り当てません 管理者に対して 以下の場所でこのセキュリティ要件を設定します [Administrators] [Delegation] [SelectRole] [General] [Restrictions] [Cache Cleaner] ユーザに対して 以下の場所でこのセキュリティ要件を設定します [Users] [Roles] [SelectRole] [General] [Restrictions] [Cache Cleaner] 以下の場所で追加のロール要件を指定できます [Users] [Roles] [SelectRole] [General] [Restrictions] [Cache Cleaner] ユーザがリソースを要求する場合認証および承認されたユーザは ユーザの要求に対応するリソースポリシーに指定されているこの要件 つまり ユーザのワークステーション上に Cache Cleaner がインストールされているか実行されていなければならない ( 設定により異なる ) という要件を満たしているマシンからサインインしている必要があります ユーザマシンが リソースに指定されている Cache Cleaner 要件を満たしていない場合は IVE はそのリソースへのユーザアクセスを許可しません 以下の場所でこのセキュリティ要件を設定します [Resource Policies] [SelectResource] [SelectPolicy] [Detailed Rules] [Select CreateRule] [ConditionField]

42 30 NetScreen Instant Virtual Extranet アプライアンス管理ガイド

43 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 31 領域認証の概要 認証領域 は 以下のリソースを含む認証リソースのグループです ユーザが本人に間違いないかどうかを検証する認証サーバ IVE は ユーザがサインインページで送信する証明書を認証サーバに転送します (31 ページ ) 認証ポリシー IVE が検証のためにユーザ証明書を認証サーバに送る前に 満たす必要がある領域セキュリティ要件を指定します (32 ページ ) ディレクトリサーバ ユーザを 1 つまたは複数のユーザロールに割り当てる際に IVE が使用するユーザおよびグループ情報を IVE に提供する LDAP サーバです (33 ページ ) ロールマッピング規則 IVE でユーザを 1 つまたは複数のユーザロールに割り当られるようにするためのユーザの条件です これらの条件は 領域のディレクトリサーバによって返されるユーザ情報またはユーザのユーザ名に基づいています (34 ページ ) 認証サーバ 認証サーバ は ユーザの証明書 つまりユーザ名とパスワードを保存し さらにグループ情報などを保存するデータベースです ユーザが IVE にサインインする場合 認証サーバに関連付けられている認証領域を指定します ユーザがその領域の認証ポリシーを満たしている場合は IVE はユーザの証明書を関連する認証サーバに転送します 認証サーバの役割は ユーザの存在やその身元を検証することです ユーザを検証した後 認証サーバは IVE に承認を送信します また そのサーバが領域でディレクトリ / 属性サーバとしても機能している場合には ユーザのグループ情報やその他の属性情報も送信します 次に IVE は領域のロールマッピング規則を確認してユーザに割り当てるユーザロールを決定します 領域で使用可能な認証サーバを指定するには 最初に [System] [Signing In] [Servers] ページで サーバインスタンスを設定しておく必要があります サーバの設定を保存すると [General] タブの [Authentication server] ドロップダウンリストにサーバ名 ( インスタンスに割り当てられた名前 ) が表示されます サーバが LDAP サーバか Active Directory サーバの場合は 領域の [General] タブの [Directory/Attribute server] ドロップダウンリストにそのインスタンス名が表示されます 領域での認証と承認を行うため 同じ LDAP サーバまたは Active Directory サーバを使用できます または 1 つの領域での認証用と 認証に別のサーバを使用する任意の数の領域での承認用に同じサーバインスタンスを使用できます

44 32 NetScreen Instant Virtual Extranet アプライアンス管理ガイド NetScreen Instant Virtual Extranet では Windows NT Domain Active Directory RADIUS LDAP NIS RSA ACE/Server Netegrity SiteMinder などの最も標準的な認証サーバをサポートしており IVE で認証するユーザのローカルデータベースを 1 つまたは複数作成できます サーバの概要と設定情報については 以下を参照してください ACE/Server インスタンスを設定する Active Directory または NT ドメインインスタンスを設定する 匿名サーバインスタンスを設定する 証明書サーバインスタンスを設定する LDAP サーバインスタンスを設定する ローカル IVE サーバインスタンスを設定する Netegrity SiteMinder サーバインスタンスを設定する NIS サーバインスタンスを設定する RADIUS サーバインスタンスを設定する 注意 : 認証サーバは IVE サーバにアクセスできる必要があります RSA ACE/Server などの認証サーバがエージェントホストに対して IP アドレスを使用しない場合 認証サーバは DNS エントリまたは認証サーバのホストファイルのエントリから取得した IVE ホスト名を解決できる必要があります 認証ポリシー 認証ポリシー は アクセス管理の 1 つに位置付けられている一連の規則で サインインページをユーザに表示するかどうかを制御します 認証ポリシーは認証領域の設定に含まれるもので サインインページをユーザに表示する前に IVE で検討する規則を指定します ユーザが領域の認証ポリシーで指定されている要件を満たしている場合は IVE は該当するサインインページをユーザに表示し その後ユーザの証明書を適切な認証サーバに転送します このサーバでユーザ認証が正常に行われると 次に IVE はロール評価プロセスを行います

45 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 33 ディレクトリサーバ ディレクトリサーバ は ユーザおよびグループ情報を保存するデータベースです 認証領域の設定では ディレクトリサーバを使用して ロールマッピング規則およびリソースポリシーに必要なユーザ情報やグループ情報を取得するように指定できます これを可能にするため 現在 IVE では LDAP サーバをサポートしています これにより 認証と承認の両方を LDAP サーバで行うことができます サーバインスタンスを 1 つ定義するだけで [General] タブの [Authentication server] および [Directory/Attribute server] ドロップダウンリストに LDAP サーバのインスタンス名が表示されます 同じサーバを任意の数の領域で使用できます ロールマッピング規則で使用するユーザ属性の取得には LDAP サーバだけでなく RADIUS サーバを使用することもできます LDAP サーバインスタンスとは異なり RADIUS サーバインスタンスは領域の [Directory/Attribute server] ドロップダウンリストに表示されません RADIUS サーバを使用してユーザ情報を取得できるようにするには [Authentication server] リストでインスタンスを指定して [Directory/Attribute server] リストで [None] を選択します 次に RADIUS サーバから属性を使用するようにロールマッピング規則を設定します 属性は [Rule based on User attribute] を選択後に [Role Mapping Rule] ページの属性リストに表示されます ディレクトリサーバの指定の詳細については 225 ページの 認証領域の作成 を参照してください ロールマッピング規則で LDAP または RADIUS 属性を指定する方法の詳細については 228 ページの 認証領域にロールマッピング規則を指定する を参照してください

46 34 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ロールマッピング規則 ロールマッピング規則 は 以下の形式で指定する命令です 指定の条件が ture の場合 または true でない場合に ユーザを選択されているロールに割り当てる ロールマッピング規則は 認証領域の [Role Mapping] タブ 1 で作成します このタブで [New Rule] をクリックすると 規則を定義するためのインラインエディタとともに [Role Mapping Rule] ページが表示されます エディタを使用して 以下の 3 つの規則作成ステップを行います 1. 規則を設定する条件のタイプを指定します 次のいずれかのオプションを選択できます ユーザ名 ユーザ属性 証明書または証明書の属性 グループメンバーシップ カスタムエクスプレッション 2. 以下のように評価する条件を指定します 1 ステップ 1 で選択した条件のタイプに応じて 1 つまたは複数のユーザ名 ユーザ属性 証明書属性 グループ (LDAP) 式を指定します 2 評価する式の値を指定します この場合 RADIUS または LDAP サーバからの IVE ユーザ名 ユーザ属性値 クライアントサイド証明書の値 ( 静的な値または LDAP 属性との比較 ) LDAP グループ または定義済みのカスタムエクスプレッションのリストを含めることができます 3. 認証されたユーザを割り当てるロールを指定します IVE は ユーザ割り当てが可能な エリジブルロール のリストを編集します ここに含まれるロールは ユーザが従わなければならないロールマッピング規則で指定されているロールです その後 IVE は各ロールの定義を評価して ユーザがロール制限に違反していないかどうかを確認します IVE はこの情報を使用して 有効なロール のリストを編集します ここに含まれるロールは ユーザがすべての追加要件を満たしているロールです 最後に IVE は領域の [Role Mapping] タブで指定されている設定に応じて 有効なロールのパーミッシブマージを実行するか または ユーザに有効なロールのリストを表示します ロールの詳細については 47 ページの ユーザロールの概要 を参照してください ロールマッピング規則の指定の詳細については 228 ページの 認証領域にロールマッピング規則を指定する を参照してください 1. 管理者については ロールマッピング規則を [Administrators] [Authentication] [SelectRealm] [Role Mapping] タブで作成します ユーザについては ロールマッピング規則を [Users] [Authentication] [SelectRealm] [Role Mapping] タブで作成します

47 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 35 リソースポリシーの概要 リソースポリシー は 特定のアクセス機能に対してリソースおよびアクションを指定するポリシーです リソースは IVE からアクセス可能なサーバまたはファイルを意味し アクションはリソースの許可または拒否 あるいは機能の実行または非実行のいずれかを意味します 各アクセス機能には 1 つまたは複数のポリシータイプがあります それぞれのタイプでは ユーザの要求に対する IVE の応答や アクセス機能を有効にする方法 ( セキュアミーティングおよび電子メールクライアントの場合 ) を指定します リソースポリシーの詳細規則を定義することも可能です 詳細規則では 特定のユーザの要求に対する追加の要件を評価できます ここでは 以下の内容について概説します リソースポリシーの種類 リソースポリシーコンポーネント リソースポリシーの評価 リソースポリシーのリソースの指定 詳細規則の記述 リソースポリシーの種類 Web リソースポリシー - Web アクセス機能には 以下のリソースポリシータイプがあります アクセス : ユーザのブラウズを許可または拒否する Web リソースを指定します (278 ページ ) キャッシング : IVE がページヘッダを送信または変更する Web リソースを指定します (279 ページ ) Java アクセス : Java アプレットの接続を許可するサーバを指定します (283 ページ ) Java 文字列 : Java アプレットの署名を書き換える際に アプレット証明書または IVE のデフォルト証明書のどちらを使用するかを指定します (283 ページ ) 選択的な再書き込み : IVE が再書き込みするまたはしないリソースを指定します (287 ページ ) データ転送プロキシ : IVE によって最小限のデータ送受信を実行する Web アプリケーションを指定します (294 ページ ) フォーム転送 : ユーザの IVE 証明書をバックエンド Web アプリケーションのサインインフォームに直接転送するかどうかを指定します (289 ページ ) クッキー / ヘッダ : クッキーおよびヘッダをバックエンド Web アプリケーションのサインインフォームに転送するかどうかを指定します (289 ページ )

48 36 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ファイルリソースポリシー -ファイルアクセス機能には 以下のリソースポリシータイプがあります Windows アクセス : ユーザのアクセスを許可または拒否する Windows ファイルリソースを指定します (297 ページ ) Windows 証明書 : 管理者またはユーザに追加の証明書の送信を要求する Windows ファイルリソースを指定します (297 ページ ) UNIX/NFS アクセス : ユーザのアクセスを許可または拒否する UNIX/NFS ファイルリソースを指定します (302 ページ ) セキュアアプリケーションマネージャリソースポリシー - セキュアアプリケーションマネージャアクセス機能には 以下の 1 種類のリソースポリシータイプがあります J-SAM または W-SAM を使用してソケット接続を行うように設定されているアプリケーションの実行の許可または拒否 (305 ページ ) Telnet/SSH リソースポリシー - Telnet/SSH アクセス機能には 以下の 1 種類のリソースポリシータイプがあります 指定のサーバへのアクセスの許可または拒否 (308 ページ ) ネットワークコネクトリソースポリシー - ネットワークコネクトアクセス機能には 以下の 2 種類のリソースポリシータイプがあります 指定のサーバへのアクセスの許可または拒否と IP アドレス範囲の指定 (311 ページ ) セキュアミーティングリソースポリシー - セキュアミーティングアクセス機能には 以下の 1 種類のリソースポリシータイプがあります セキュアミーティングの招待者への E メール通知の有効化または無効化 (316 ページ ) セキュア E メールクライアントリソースポリシー - セキュア E メールクライアントアクセス機能には 以下の 1 種類のリソースポリシータイプがあります E メールクライアントサポートの有効化または無効化 (318 ページ ) リソースポリシーコンポーネント リソースポリシーには 以下の情報が含まれます リソース : ポリシーの適用対象のリソースを指定するリソース名の集合 (URL ホスト名 IP アドレス / ネットマスクの組み合わせ ) です ホスト名を一致させるためワイルドカードを接頭辞として使用してリソースを指定できます ポリシーのデフォルトリソースはアスタリスク (*) です これは 関連するすべてのリソースにポリシーが適用されることを意味します 詳細については 38 ページの リソースポリシーのリソースの指定 を参照してください ロール : このポリシーの適用対象のユーザロールのリスト ( オプション ) デフォルト設定では すべてのロールにポリシーが適用されます

49 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 37 アクション : ユーザから [Resource] リストに対応するリソースを要求されたときに IVE が実行するアクション アクションでは リソースの許可または拒否を指定できます また Web コンテンツの再書き込みまたは Java ソケット接続の許可などのアクションを実行するかしないかも指定できます 詳細規則 : リソースの詳細 ( 特定の URL ディレクトリ パス ファイルまたはファイルタイプ ) を指定する要素のリストです ( オプション ) 個別にアクションを適用するか またはアクションを適用する前に条件を評価する場合に使用します 任意の数の規則を定義し それらの規則が IVE で評価される順序を指定できます 詳細については 45 ページの 詳細規則の記述 を参照してください リソースポリシーの評価 IVE がユーザからの要求を受信する際 要求のタイプに応じたリソースポリシーが評価されます IVE は要求されたリソースに対応するポリシーを処理する場合に その要求に対して指定のアクションを適用します このアクションは ポリシーの [General] タブまたは [Detailed Rules] タブで定義します たとえば ユーザが Web ページを要求した場合には IVE は Web リソースポリシーを使用すると判断します Web リクエストの場合 IVE は必ず Web 再書き込みポリシー ( 選択的な再書き込みおよびデータ転送プロキシ ) から評価を開始し 要求を処理するかどうかを決定します これらのポリシーがいずれも適用されない場合 ( または定義されていない場合 ) には IVE は要求されたリソースに関連するポリシーが見つかるまで Web アクセスポリシーの評価を行います IVE では アクセス機能のリソースポリシーを上から下に順に評価します つまり ポリシーリストの 1 番から開始して一致するポリシーが見つかるまでリストの下方向に進んでいきます 一致するポリシーに対して詳細規則を定義している場合 IVE は上から下に順に評価を行います つまり その規則の [Resource] リストの 1 番から開始して該当するリソースに当たると停止します 以下の図は 全般的なポリシー評価の順序を示しています 図 3: リソースポリシーの評価順序 評価順序の詳細は以下のとおりです 1. ユーザの セッションロール は 認証プロセス中にユーザが割り当てられる 1 つまたは複数のロールに基づいています ユーザに対して有効化されるアクセス機能は 認証領域のロールマッピング設定によって決定されます

50 38 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 2. Web アクセスおよびファイルアクセス機能には複数のリソースポリシータイプがあるため IVE では最初に要求のタイプ (Web ページ Java アプレットまたは UNIX ファイルへの要求など ) を判断し 次にその要求に関連するリソースポリシーを評価します Web アクセス機能の場合 最初にすべての Web リクエストに対して再書き込みポリシーが評価されます その他の 5 つのアクセス機能 ( セキュアアプリケーションマネージャ セキュアターミナルアクセス セキュアミーティング セキュア E メールクライアントアクセス機能 ) のリソースポリシータイプは 1 種類のみです 3. 詳細規則を使用すると 以下の 2 つの設定が可能になります アクションをより細かく適用するリソースの指定 たとえば Web アクセスリソースポリシーのメインポリシー設定で Web サーバを指定した場合に 詳細規則の定義でそのサーバの特定パスを指定し そのパスに対して適用するアクションを変更することができます アクションを適用するため ユーザに対してブール演算式またはカスタムエクスプレッションで記述した特定の条件を設定 ( 詳細は 45 ページの 詳細規則の記述 を参照 ) 4. 要求されたリソースがポリシーの [Resource] リストまたは詳細規則で見つかると同時に IVE のリソースポリシー処理が停止します リソースポリシーのリソースの指定 IVE エンジンは リソースポリシーを評価する際に ポリシーの [Resource] リスト内に表示される正式フォーマットで記述されたリソースを使用します ここでは Web ファイルおよびサーバリソースの指定に使用可能な正式フォーマットについて説明します ユーザが特定のリソースにアクセスする際 IVE は 要求されたリソースと対応するポリシーに指定されているリソースを比較します これは ポリシーリストの最初のポリシーから順に行われます 要求されたリソースとポリシーの [Resource] リストに指定されているリソースが一致すると さらに詳細にポリシーの制約が評価され 適切なアクションが IVE に返されます ( 以降 ポリシー評価は実行されません ) 適用されるポリシーがない場合は IVE は自動許可ブックマーク ( 定義されている場合 ) を評価します それ以外の場合は ポリシーのデフォルトアクションが返されます 必要とされる正式フォーマットについては 以下のセクションで説明しています Web リソースの指定 (39) Windows ファイルリソースの指定 (41) UNIX/NFS ファイルリソースの指定 (42) サーバリソースの指定 (43) IP アドレス範囲の指定 (44)

51 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 39 正式フォーマットについての一般的な注意 パスコンポーネントの最後がスラッシュ _ アスタリスク (/*) の場合 リーフノードとその下のノードすべてと一致します パスコンポーネントの最後がスラッシュ _ パーセント (/%) の場合 リーフノードとその 1 つ下のレベルのノードのみと一致します 例 : /intranet/* と一致 : /intranet /intranet/home.html /intranet/elee/public/index.html /intranet/% と一致 : /intranet /intranet/home.html /intranet/elee/public/index.html は除外 リソースのホスト名および IP アドレスは 同時にポリシーエンジンに渡されます ポリシーの [Resource] リストのサーバが IP アドレスで指定されている場合 認証は IP アドレスに基づいて行われます それ以外の場合は 2 つのホスト名を一致させます つまり IP を特定するための DNS 逆引き参照は実行されません ポリシーの [Resource] リストのホスト名が intranet.netscreen.net ではなく netscreen のように完全修飾名で表示されていない場合 その表示のまま評価が実行されます ホスト名の詳細な修飾部分は評価されません Web リソースの指定 正式フォーマット : [protocol://]host[:ports][/path] 以下の 4 つのコンポーネントがあります プロトコル ( オプション ) 考えられる値 : http および https ( 大文字と小文字が区別されます ) プロトコルを指定しない場合 http および https の両方が想定されます プロトコルを指定する場合 区切り文字 :// を使用する必要があります 特殊文字は使用できません

52 40 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ホスト ( 必須 ) 考えられる値 : DNS Hostname 例 : 以下の特殊文字を使用できます * すべての文字と一致 % ドット (.) 以外の任意の文字と一致? 正確に 1 文字と一致 IP アドレス / ネットマスク IP アドレスは a.b.c.d のように指定する必要があります ネットマスクは以下の 2 つのどちらかの形式で指定できます 接頭辞 : 先頭からのビット数 IP:a.b.c.d 例 : /24 または / 特殊文字は使用できません ポート ( オプション ) 考えられる値 : * すべてのポートに一致 その他の特殊文字は使用不可 port[,port]* [port1]-[port2] カンマで区切れらた単一ポートのリスト 有効なポート番号は 1 ~ です ポート 1 からポート 2 を含むポートの範囲 注意 : 80,443, などのように ポートリストおよびポート範囲を一緒に使用することができます ポートを指定しない場合は http には 80 https には 443 のデフォルトポートが割り当てられます ポートを指定する場合 区切り文字 : を使用する必要があります パス ( オプション ) パスを指定しない場合はアスタリスク (*) が想定され すべてのパスが一致します パスを指定する場合 区切り文字 / を使用する必要があります その他の特殊文字はサポートされていません

53 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 41 例 : https://www.netscreen.com:443/intranet/* *.yahoo.com:80,443/* %.danastreet.net:80/share/users/<user>/* Windows ファイルリソースの指定 正式フォーマット : \\server[\share[\path]] 以下の 3 つのコンポーネントがあります サーバ ( 必須 ) 考えられる値 : Hostname システム変数 <USER> を使用できます IP アドレス IP アドレスは a.b.c.d のように指定する必要があります 先頭に 2 つのバックスラッシュを使用する必要があります シェア ( オプション ) シェアを指定しない場合はアスタリスク (*) が想定され すべてのパスと一致します システム変数 <USER> を使用できます パス ( オプション ) 以下の特殊文字を使用できます * 任意の文字と一致 % バックスラッシュ (\) 以外の任意の文字と一致? 正確に 1 文字と一致 パスを指定しない場合はバックスラッシュ (\) が想定され 最上位レベルのフォルダのみと一致します

54 42 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 例 : \\%.danastreet.net\share\<user>\* \\*.netscreen.com\dana\* \\ \share\web\* \\ \public\%.doc UNIX/NFS ファイルリソースの指定 正式フォーマット : server[/path] 以下の 2 つのコンポーネントがあります サーバ ( 必須 ) 考えられる値 : Hostname システム変数 <USER> を使用できます IP アドレス IP アドレスは a.b.c.d のように指定する必要があります 先頭に 2 つのバックスラッシュを使用する必要があります パス ( オプション ) 以下の特殊文字を使用できます * 任意の文字と一致 % バックスラッシュ (\) 以外の任意の文字と一致? 正確に 1 文字と一致 パスを指定しない場合はバックスラッシュ (\) が想定され 最上位レベルのフォルダのみと一致します 例 : %.danastreet.net/share/users/<user>/* *.netscreen.com/dana/* /web/* /public/%.txt

55 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 43 サーバリソースの指定 正式フォーマット : [protocol://]host[:ports] 以下の 3 つのコンポーネントがあります プロトコル ( オプション ) 注意 : ネットワークコネクトポリシーにのみ指定できます セキュアアプリケーションマネージャや Telnet/SSH などのその他のアクセス機能のリソースポリシーについては このコンポーネントの指定は無効です 考えられる値 ( 大文字と小文字が区別されます ): tcp udp icmp プロトコルを指定しない場合 3 種類のプロトコルがすべて想定されます プロトコルを指定する場合 区切り文字 :// を使用する必要があります 特殊文字は使用できません ホスト ( 必須 ) 考えられる値 : DNS Hostname 例 : 以下の特殊文字を使用できます * すべての文字と一致 % ドット (.) 以外の任意の文字と一致? 正確に 1 文字と一致 IP アドレス / ネットマスク IP アドレスは a.b.c.d のように指定する必要があります ネットマスクは以下の 2 つのどちらかの形式で指定できます 接頭辞 : 先頭からのビット数 IP:a.b.c.d 例 : /24 または / 特殊文字は使用できません

56 44 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ポート ( オプション ) 考えられる値 : * すべてのポートに一致 その他の特殊文字は使用不可 port[,port]* [port1]-[port2] カンマで区切れらた単一ポートのリスト 有効なポート番号は 1 ~ です ポート 1 からポート 2 を含むポートの範囲 注意 : 80,443, などのように ポートリストおよびポート範囲を一緒に使用することができます ポートを指定しない場合は http には 80 https には 443 のデフォルトポートが割り当てられます ポートを指定する場合 区切り文字 : を使用する必要があります 例 : <USER>.danastreet.net: :22,23 tcp:// :80 udp:// :* IP アドレス範囲の指定 正式フォーマット : ip_range IP アドレス範囲は a.b.c.d-e のように指定することができます ここで IP アドレスの最後のコンポーネントはハイフン (-) で区切れた範囲を意味します 特殊文字は使用できません 例 :

57 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 45 詳細規則の記述 Web ファイル セキュアアプリケーションマネージャ Telnet/SSH ネットワークコネクトなどのアクセス機能では 個々の Web ファイル アプリケーションおよび telnet サーバに対するリソースポリシーを指定できます セキュアミーティングと E メールクライアントアクセス機能の場合 グローバルに適用されるポリシーがそれぞれ 1 つずつあります この場合 これらのアクセス機能を有効化するすべてのロールで使用するサーバ設定を指定します その他のアクセス機能については 任意の数のリソースポリシーを指定できます さらに 各ポリシーには 1 つまたは複数の詳細規則を定義できます 詳細規則 は 以下の内容を指定できるリソースポリシーの拡張機能です [General] タブに表示されるリソースの追加 1 情報 ( 特定のパス ディレクトリ ファイルまたはファイルタイプなど ) [General] タブで指定したアクションとは異なるアクション ( 同じリソースに対して ) 結果が ture でなければならない詳細規則を適用するための条件 ほとんどの場合 [General] タブで指定する基本リソースポリシーにより リソースに対するアクセスを十分にコントロールできます defined_roles に属しているユーザが defined_resources にアクセスを試みる場合 指定されている resource_action が実行されます 以下に示すその他の情報のセットに基づいてアクションを実行する場合は ポリシーに 1 つまたは複数の詳細規則を定義できます ヘッダ コンテンツタイプまたはファイルタイプなどのリソースプロパティ ユーザ名やユーザ割り当て先のロールなどのユーザプロパティ ユーザのソース IP およびブラウザタイプ Host Checker または Cache Cleaner の実行状態 時刻 証明書属性などのセッションプロパティ 詳細規則により 既存のリソース情報および権限情報を利用したより柔軟なリソースアクセスコントロールが可能になり 基本リソースポリシーを適用する別々のユーザに異なる要件を効率的に指定できるようになります 1. ユーザの要求に対する条件を適用するためだけに詳細規則を使用する場合は [General] タブと同じリソースリストを指定することもできます

58 46 NetScreen Instant Virtual Extranet アプライアンス管理ガイド リソースポリシーに詳細規則を記述するには 次の操作を実行します 1. リソースポリシーの [New Policy] ページで 必要なリソースとロール情報を入力します 2. [Action] セクションで [Use Detailed Rules] を選択し [Save Changes] をクリックします 3. [Detailed Rules] タブで [New Rule] をクリックします 4. [Detailed Rules] ページで 以下を実行します 1 ユーザの要求が [Resource] リストのリソースと一致する場合は [Action] セクションで 実行するアクションを設定します ( オプション ) デフォルトでは [General] タブで指定したアクションが継承されます 2 [Resources] セクションで 次のいずれかを指定します ( 必須 ) [General] タブで指定されているリソースと完全に一致または部分的に一致するリソースリスト [General] タブで指定されているサーバの特定のパスまたはファイル [Resources] リスト内でのワイルドカードの使用方法については 該当するリソースポリシーのドキュメントを参照してください 適切なパスとその後に続くファイルタイプ または [General] タブで指定されているサーバの任意のパス内で指定拡張子を使用するファイルを示す */*.file_extension を指定 3 [Conditions] セクションで アクションを実行するために評価する以下のいずれかの式を必要な数だけ指定します ( オプション ) ブール演算式 : システム変数を使用し NOT OR AND 演算子を使用した任意の数のブール演算式を記述します リソースポリシーで利用可能な変数のリストについては 369 ページの システム変数とその例 を参照してください カスタムエクスプレッション : カスタムエクスプレッションの構文を使用し 任意の数のカスタムエクスプレッションを記述します 構文および変数の詳細は 365 ページの カスタムエクスプレッションの記述 を参照してください カスタムエクスプレッションは アドバンスドライセンスの場合のみ利用可能です 4 [Save Changes] をクリックします 5. [Detailed Rules] タブで IVE で評価する順序のとおりに規則を指定します ユーザから要求されたリソースが [Resource] リストのリソースと一致すると IVE は指定されているアクションを実行し 処理中の規則 ( およびその他のリソースポリシー ) を停止することに注意してください

59 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 47 ユーザロールの概要 ユーザロール は ユーザセッションパラメータ ( セッション設定およびオプション ) 個人設定 ( ユーザインターフェイスのカスタマイズおよびブックマーク ) 有効なアクセス機能 (Web ファイル アプリケーション ネットワーク ミーティングおよび E メールアクセス ) を定義するエンティティです ユーザロールでは 個々の要求に対するリソースアクセスコントロールまたはその他のリソース関連のオプションは指定しません たとえば ユーザロールではユーザが Web ブラウズを実行できるかどうか定義できますが アクセスを許可する個々の Web リソースについては 別の Web リソースポリシーで定義します ここでは 以下の内容について概説します ロールタイプ ロールコンポーネント ロール評価 ユーザロールの詳細については 236 ページの [Roles] ページの設定 を参照してください ロールタイプ IVE には 以下の 2 種類のユーザロールがあります Administrators 管理者ロールは IVE の管理機能とロールに割り当てられた管理者のセッションプロパティを指定するエンティティです 管理者ロールをカスタマイズするには その管理者ロールのメンバが表示および管理可能な IVE 機能のセットとユーザロールを選択します 詳細については 68 ページの 委任管理の概要 を参照してください Users ユーザロールは ユーザセッションパラメータ 個人設定および有効なアクセス機能を定義するエンティティです ユーザロールをカスタマイズするには 特定の IVE アクセス機能を有効にして Web アプリケーションおよびセッションブックマークを定義し 有効なアクセス機能のセッション設定を構成します 詳細については 236 ページの [Roles] ページの設定 を参照してください

60 48 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ロールコンポーネント ユーザロールには 以下の情報が含まれます ロール制限 - ソース IP ユーザエージェント クライアントサイド証明書 Host Checker および Cache Cleaner 要件に基づくユーザのロールアクセス可能性で ユーザをこのロールへ割り当てる前に検証する要件です (239 ページ ) セッションパラメータ - タイムアウト値 ( アイドル 最大およびリマインダ ) タイムアウト警告 ローミングセッション シングルサインオンなどのセッション設定と 永続パスワードキャッシング 永続セッションクッキー ブラウザリクエストフォロースルーなどのセッションオプションです (240 ページ ) ユーザインターフェイスオプション - サインインページ ページヘッダ ページフッタ ブラウジングツールバーの表示 / 非表示などの個人設定です ユーザを複数のロールに割り当てた場合 IVE により 最初にユーザを割り当てたロールのユーザインターフェイスが表示されます (243 ページ ) Web 設定 - Web アクセス機能の有効または無効の指定 このロールに定義されている Web ブックマーク および Web ブラウジングオプションです (245 ページ ) 後者には以下が含まれます ブラウジングオプション : ユーザは URL Java アプレットの許可 ブラウジング中のホスト名の隠蔽 新規ウィンドウでの再書き込みされないページを指定できます ブックマークオプション : ユーザは ブックマーク 自動許可ブックマークを追加できます クッキーオプション : 永続クッキー ファイル設定 -ファイルアクセス機能の有効または無効の指定 このロールに定義されているファイルブックマーク およびファイルブラウジングオプションです (248 ページ ) 後者には以下が含まれます Windows ネットワークファイル : ユーザは ネットワーク共有ファイルの参照 ブックマークの追加 Windows フォルダへのパーソナルブックマークの追加を行うことができます UNIX ネットワークファイル : ユーザは ネットワーク共有ファイルの参照 ブックマークの追加 UNIX/FFS ディレクトリへのパーソナルブックマークの追加を行うことができます Telnet/SSH 設定 -セキュアターミナルアクセスのアクセス機能の有効または無効の指定 このロールに指定されている telnet/ssh セッション および telnet/ssh オプションです (264 ページ ) 後者には以下が含まれます ユーザはセッションを追加できます Telnet/SSH セッション自動許可ロール

61 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 49 SAM 設定 -セキュアアプリケーションマネージャのアクセス機能の有効または無効の指定 (J-SAM または W-SAM の指定を含む ) このロールに指定されている W- SAM または J-SAM アプリケーション および SAM オプションです (253 ページ ) 後者には以下が含まれます セキュアアプリケーションマネージャの全般的なオプション : セキュアアプリケーションマネージャの自動起動 自動アンインストール アプリケーションサーバ自動許可 Windows SAM オプション : セキュアアプリケーションマネージャの自動アップグレード Java SAM オプション : ユーザは アプリケーション 自動ホストマッピングを追加できます ネットワークコネクト設定 - ネットワークコネクトアクセス機能の有効または無効の指定 ローカルサブネットへのアクセス許可オプションです (271 ページ ) セキュアミーティング セキュアミーティングアクセス機能の有効または無効の指定 およびセキュアミーティングオプションです (266 ページ ) 以下が含まれます 全般的なオプション : 参加および作成 認証要件 パスワード配布 リモートコントロール スケジュールされたミーティング 同時ミーティング 同時ミーティング参加者 ミーティング期間に対する回数 件数 人数などのポリシー設定 ロール評価 IVE ロールマッピングエンジンは 以下の順序でユーザの セッションロール やユーザセッションで有効なすべての権限を確認します 1. IVE は ユーザのサインインが正常に行われた認証領域の [Role Mapping] タブ 1 の最初の規則から評価を開始します 2. IVE は ユーザが規則に定義されている要件を満たしているかどうかを確認します 満たしている場合には 次の処理を行います 1 IVE は 該当するロールを ユーザ割り当てが可能な エリジブルロール のリストに追加します 2 IVE は 一致したら停止 オプションが設定されているかどうかを確認し 設定されている場合はステップ 5 に進みます 3. IVE は ステップ 2 に従って 認証領域の [Role Mapping] タブの次の規則を評価します ロールマッピング規則の評価をすべて完了し エリジブルロールリストが完成するまで IVE はこの処理を繰り返します ページの ロールマッピング規則 を参照してください

62 50 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 4. IVE は エリジブルロールリスト内の各ロールの定義を評価し ユーザがロール制限に違反していないかどうか判断します IVE はこの情報を使用して 有効なロール のリストを編集します ここに含まれるロールは ユーザがすべての追加要件を満たしているロールです 有効なロールのリストに 1 つのみロールが含まれている場合 IVE はそのロールにユーザを割り当てます それ以外の場合は IVE は評価プロセスを続けて行います 5. ユーザが複数のロールに割り当てられている場合 IVE は [Role Mapping] タブで定義されている以下の設定を評価します [Merge settings for all assigned roles] このオプションを選択すると IVE はすべての有効なユーザロールのパーミッシブマージを実行し ユーザセッションの全般的な ( ネット ) セッションロールを決定します [User must select from among assigned roles] このオプションを選択すると IVE により 認証されたユーザにエリジブルロールのリストが表示されます ユーザはこのリストからロールを選択する必要があります IVE はユーザセッションの間 ユーザをそのロールに割り当てます パーミッシブマージガイドライン パーミッシブマージ は 以下のガイドラインに従って有効な機能と設定をマージします アクセス機能が あるロールでは有効で別のロールでは使用不可に設定されている場合 有効な設定が優先されます たとえば ユーザが割り当てられたあるロールでセキュアミーティングが無効で 別のロールでは有効に設定されている場合 ユーザはそのユーザセッションの間セキュアミーティングの使用を許可されます セキュアアプリケーションマネージャの場合 IVE では この機能を有効に設定した最初のロールに対応するバージョンが適用されます さらに IVE は選択されたバージョンに対応するすべてのロールの設定をマージします ユーザインターフェイスオプションの場合 IVE は 最初にユーザを割り当てたロールの設定を適用します セッションタイムアウトの場合 IVE は すべてのロールの中から最も大きい値をユーザセッションに適用します 複数のロールでローミングセッション機能が有効な場合 IVE はネットマスクをマージしてより大規模なネットマスクを作成します

63 51 第 2 章 IVE の機能 ここでは Access Series 製品の機能について説明します これらの機能の一部には 追加のライセンス契約が必要です 目次 Cache Cleaner の概要 セントラルマネージャの概要 証明書の概要 クラスタの概要 委任管理の概要 E メールクライアントの概要 ホストチェッカの概要 ログと監視の概要 ネットワークコネクトの概要 データ転送プロキシの概要 リモート SSO の概要 セキュアアプリケーションマネージャの概要... 86

64 52 NetScreen Instant Virtual Extranet アプライアンス管理ガイド

65 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 53 Cache Cleaner の概要 Cache Cleaner はクライアントサイドエージェントであり IVE セッション後にユーザのマシンに残った一時ファイルやアプリケーションキャッシュなどのデータをクリーンアップします たとえば ユーザがインターネットキオスクから IVE にサインインし ブラウザプラグインを使用して Microsoft Word のドキュメントを開いた場合 Cache Cleaner は セッション終了時にブラウザのキャッシュ (Windows フォルダ ) に保存された Word ファイルの一時的なコピーを削除します Cache Cleaner がコピーを削除すると IVE ユーザがセッションを終了した後に 別のユーザがキオスクからその Word ドキュメントを検索して開くことはできなくなります 以下の設定で Cache Cleaner を要求することにより IVE およびリソースへのアクセスを制限できます 領域認証ポリシー管理者またはユーザが IVE にサインインする場合 IVE は指定の領域の認証ポリシーを評価して認証の前提条件に Cache Cleaner が含まれているかどうかを確認します 領域の認証ポリシーでは Cache Cleaner をダウンロードする Cache Cleaner をダウンロードして開始する または Cache Cleaner を要求しない と設定できます ユーザは 領域に指定されている Cache Cleaner 要件を満たしているマシンからサインインする必要があります ユーザマシンが領域に指定されている要件を満たしていない場合 IVE はユーザの証明書を認証サーバに転送しないため IVE へのユーザアクセスは拒否されます ユーザロール IVE は 管理者またはユーザ割り当て先のロールのリストを決定する際 各ロールの制限を評価して ユーザのワークステーションで Cache Cleaner が実行されていなければならないという要件が含まれているかどうか確認します 要件が含まれており ユーザマシンで Cache Cleaner が実行されていない場合 IVE はユーザをそのロールに割り当てません リソースポリシーユーザがリソースを要求すると IVE はリソースポリシーの詳細規則を評価してユーザのワークステーションで Cache Cleaner がインストールまたは実行されていなければならないという要件が含まれているかどうか確認します ユーザマシンが Cache Cleaner の要件を満たしていない場合は IVE はそのリソースへのアクセスを拒否します

66 54 NetScreen Instant Virtual Extranet アプライアンス管理ガイド Cache Cleaner の実行 ロールまたはリソースポリシーで Cache Cleaner を要求する場合 ユーザがサインインする際のエージェントのインストールを最低限にするように 領域の認証ポリシーで設定する必要があります このように設定した場合 IVE は ActiveX コントロールをユーザのシステムにダウンロードします Cache Cleaner は [System] [Configuration] [Security] [Cache Cleaner] タブで設定する間隔に基づいて実行されます 1 ユーザマシンで Cache Cleaner を実行できるようにするには ユーザが ActiveX コントロールを有効にする必要があります 注意 : ActiveX コントロールは 管理者と Windows 2000 システムのパワーユーザの場合は自動的に有効になりますが 一般ユーザは手動で有効にしなければなりません ActiveX コントロールを Internet Explorer で有効にするには [ ツール ] [ インターネットオプション ] [ セキュリティ ] [ レベルのカスタマイズ ] を選択し [ セキュリティの設定 ] ダイアログボックスで ActiveX コンポーネントを有効にします Cache Cleaner は 以下の場合に最終的なクリーンアップを実行します ユーザがセッションから明示的にサインアウトしたときユーザが IVE ホームページで [Sign Out] をクリックすると Cache Cleaner は 最終的なクリーンアップを実行し システムから自身をアンインストールします ユーザセッションがタイムアウトしたときユーザセッションがタイムアウトすると Cache Cleaner はクリーンアップを実行し 再度ユーザがサインインすると Cache Cleaner はさらに別のクリーンアップを実行します Cache Cleaner は [System] [Configuration] [Security] [Cache Cleaner] タブで設定した間隔でセッションの有効性を定期的にチェックするため セッションがいつタイムアウトしたかを認識できます (120 ページの [Security] [Cache Cleaner] タブ を参照 ) 注意 : ユーザセッションの有効性をチェックする際 Cache Cleaner は IVE に接続します このアクションによって パーソナルファイアウォールで警告が発せられる可能性があります Cache Cleaner が正しく動作できるようにするため ユーザはこのトラフィックを許可する必要があります クライアントシステムが システム セッション または接続の異常終了後に再起動したとき Cache Cleaner は 最終的なクリーンアップを実行し システムの再起動後 システムから自身をアンインストールします 1. パーソナルファイアウォールを備えたユーザには Cache Cleaner がキャッシュをクリアするたびにログエントリが表示されます

67 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 55 Cache Cleaner は 標準の IVE ログにログエントリを記録しません ただし 以下に示すクライアントサイドの一時的なテキストファイルにログデータを記録します c:\program Files\Neoteris\Cache Cleaner\dsCacheCleaner.log このログは Cache Cleaner が自身をアンインストールしたときに削除されます 重要 : Cache Cleaner はブラウザの履歴をクリーンアップしたり ユーザが明示的に保存したファイルを削除したり Internet Explorer プラグインおよび ActiveX コントロールを削除したり index.dat(internet Explorer によって保持される URL の private テーブルがあります ) のエントリを削除することはありません アクセス管理のオプションの詳細については 21 ページの アクセス管理の概要 を参照してください

68 56 NetScreen Instant Virtual Extranet アプライアンス管理ガイド セントラルマネージャの概要 Central Manager は クラスタメンバであるか否に関係なく 複数の IVE を管理できる 2 層 ( クライアント / サーバ ) システムです Central Manager には以下の機能があります システムダッシュボード Central Manager ダッシュボード機能は システムの管理を容易にするシステム容量グラフとアラームを表示します (101 ページ ) 高度なロギングおよび監視機能ロギング機能ではカスタムフィルタを作成できます これにより 選択したログメッセージを指定の形式で表示および保存できるようになります (152 ページ ) プッシュ設定機能プッシュ設定機能では 便利な集中管理のための IVE 間のプッシュ設定を容易に行うことができます (332 ページ ) アップグレード時のゼロダウンタイム機能アップグレード時のゼロダウンタイム機能では クラスタ内のいずれかのメンバが常に動作している状態でアップグレードプロセスが行われます これにより クラスタ全体のアップグレードを高速化できます (322 ページ ) 洗練されたユーザインターフェイス Central Manager の Web コンソールには より洗練されたインターフェイスが組み込まれています

69 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 57 証明書の概要 デジタル証明書 とは クライアント / サーバ間でトランザクションを処理するために Web サーバまたはユーザの信用を確立する暗号化された電子ファイルです 信用を確立して IVE トランザクションをセキュアにするために 3 種類の証明書を利用できます サーバ証明書 IVE との間で送受信するネットワークトラフィックをセキュアにします (57 ページ ) クライアントサイド証明書 これでエンドユーザを検証します クライアントサイド証明書は エンドユーザのブラウザによって送信され IVE にインストールされたルート証明書で検証されます (58 ページ ) アプレット証明書 コード署名証明書とも呼ばれています IVE が仲介するアプレットの署名を書き直します (59 ページ ) さらに 証明書サーバを使用してエンドユーザを認証できます 証明書サーバ は 証明書属性に基づいてユーザの認証を可能とする上記のソリューションに似ています ただし 上記の証明書ソリューションは 認証サーバが実行する認証の 追加機能 ですが 証明書サーバは証明書属性だけに基づいてユーザを認証します 詳細については 184 ページの 証明書サーバインスタンスを設定する を参照してください IVE は PKCS #12( ファイル拡張子は.pfx および.p12) とともに DER NET または PEM のエンコードフォーマット ( ファイル拡張子は.cer.crt.der.net および.pem) の X.509 証明書をサポートします サーバ証明書 IVE では 初期化時に入力されたデータをもとに ローカル作成される自己署名された一時デジタル証明書を使用します このサーバ証明書により ユーザはただちに IVE 1 の使用を開始できます IVE の自己署名された証明書を使用しないと選択した場合 代わりに以下のいずれかの方法で IVE の電子証明書を取得できます 1. 初期化時に作成され 自己署名された証明書を使用してもセキュリティ上の問題はありませんが IVE にサインインするたびにセキュリティ警告が表示されます これは 認証機関 (Certificate Authority:CA) 発行の証明書が存在しないためです 本番稼動する場合には CA から電子証明書を取得することをお勧めします

70 58 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 既存のサーバ証明書と秘密鍵を IVE にインポートします これには まず既存の Web サーバからサーバ証明書と秘密鍵ファイルをエクスポートする必要があります [System] [Configuration] [Certificates] [Server Certificate] タブにアクセスして これらのファイルをインポートします (121 ページ ) 重要 : 証明書をエクスポートする場合 証明書を暗号化して 証明書と一緒にパスワードをエクスポートする必要があるのでご注意ください また 秘密鍵は非 FIPS 準拠の環境で作成されるため Web サーバ証明書の秘密鍵を Access Series FIPS マシンにインポートすることはできません ただし 別の NetScreen IVE Access Series マシンから セキュリティワールドと一緒に証明書鍵をインポートすることはできます CA に送信する証明書署名要求 (Certificate Signing Request:CSR) を作成します (124 ページ ) CA から署名されたファイルが返送されてきたら [System] [Configuration] [Certificates] [Server Certificate] タブを通じてファイルをインポートします (125 ページ ) クライアント証明書 ユーザがシステムにサインインするために 有効なクライアントサイド証明書を提出することをユーザに要求するように IVE を設定できます 有効なクライアントサイド証明書の提出を要求するには 次の操作を実行します 1. ユーザのブラウザを通じてクライアントサイド証明書をインストールします 詳細については ブラウザのヘルプを参照してください 関連する問題については IVE の該当するバージョンのリリースノートを参照してください 2. [System] [Configuration] [Certificates] [CA Certificate] タブで クライアントサイド証明書を検証する IVE にルート証明書をインポートします (126 ページ ) 重要 : IVE は 中間のサーバ証明書をサポートしません 証明書チェーン ( たとえば ルート証明書のキーによって署名した中間証明書 ) を IVE にインポートすると IVE は最初の証明書だけをインポートします 次に ユーザが IVE にアクセスを試みると 証明書には信頼性がないと警告メッセージが表示されます ( また IVE にルート証明書をインポートしても これがユーザのブラウザに組み込まれていない場合 この警告が表示されます ) ただし VeriSign の中間証明書を IVE に組み込んである場合は VeriSign サーバ証明書チェーンのルートをインポートしても 信頼性に関する証明書の警告メッセージが表示されないのでご注意ください

71 NetScreen Instant Virtual Extranet アプライアンス管理ガイド IVE へのサインインにクライアントサイド証明書を要求するには [Users/Administrators] [Authentication] [Authentication Policy] [Certificate] タブの設定を使用します 4. [Users] ページで以下のように選択すると さらにユーザアクセスを制限できます [Authentication] [Authentication Policy] [Certificate] [Roles] [General] [Restrictions] [Certificate] または [Administrators] ページで以下のように選択すると 管理者および委任管理者のアクセスを制限できます [Authentication] [Authentication Policy] [Certificate] [Delegation] [General] [Restrictions] [Certificate] これらのタブを使用して 認証に必要な X.509 識別名 (Distinguished Name:DN) 属性を指定します たとえば 複数のロールに同じ証明書を使用しながら 特定のリソースにアクセスを制限するには ユーザの証明書に指定の DN 属性を要求します アプレット証明書 署名付き Java アプレットを仲介する場合 IVE は標準のルート証明書にチェーンされていない IVE 自身の証明書でアプレットの署名を書き直します ユーザがネットワークサーバへのアクセスなどの危険度の高いタスクの実行を要求すると ルートが信頼できるルートではない というセキュリティ警告がユーザのブラウザに表示されます このような警告が表示されないようにするには NetScreen Instant Virtual Extranet が仲介するアプレットの署名書き換えに使用するコード署名証明書をインポートします サポートされるコード署名証明書は次のとおりです Microsoft Authenticode 証明書 IVE は MS JVM または SUN JVM で実行するアプレットの署名にはこの証明書を使用します サポートされるのは Verisign が発行した Microsoft Authenticode 証明書だけなのでご注意ください JavaSoft 証明書 IVE は SUN JVM で実行するアプレットの署名にはこの証明書を使用します どのコード署名証明書をインポートするかを判断するには 次のようなブラウザの依存性を考慮します

72 60 NetScreen Instant Virtual Extranet アプライアンス管理ガイド Internet Explorer Windows XP があらかじめインストールされた新しいコンピュータの場合 IE Explorer は通常 SUN JVM を実行します つまり IVE は JavaSoft 証明書を使用してアプレットの署名を書き直す必要があります Windows または Windows XP にアップグレードした PC の場合 IE Explorer は通常 MS JVM を実行します つまり IVE は Authenticode 証明書を使用してアプレットの署名を書き直す必要があります Netscape Netscape ブラウザは SUN JVM だけをサポートします つまり IVE は JavaSoft 証明書を使用してアプレットの署名を書き直す必要があります SUN JVM ユーザに関する考慮事項 ユーザがアプレットにアクセスすると デフォルトで Java プラグインはコード署名証明書と共にアプレットをキャッシュに格納します この処理は コード署名証明書を IVE にインポートした後でも ブラウザによって元の証明書がアプレットに開示されることを意味します コード署名証明書をインポートする前にアクセスされたアプレットの信頼できない証明書が表示されないようにするには SUN JVM ユーザは Java プラグインをキャッシュから廃棄する必要があります または キャッシュを無効にするという方法もあります ただし この方法ではアクセスするたびにアプレットをフェッチする必要が生じるため パフォーマンスが低下する可能性があります Java プラグインには ブラウザの信頼できる証明書リストとは別に 独自の信頼できる Web サーバ証明書リストが保持されます ユーザがアプレットにアクセスすると ( ブラウザによる接続とは別に )SUN JVM はアプレットがある Web サーバに接続します ユーザは コード署名証明書に加えて Web サーバ証明書も受け入れるかどうか尋ねられます この場合には Web サーバ証明書の [Always Trust] ボタンを選択する必要があります Java プラグインにはタイムアウトが設定されているため このボタンの選択が遅れるとアプレットはロードされません

73 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 61 クラスタの概要 Secure Access Series および Secure Access FIPS Series はクラスタペアとマルチユニットクラスタをサポートしています クラスタペア は アクティブ / パッシブまたはアクティブ / アクティブ構成の 2 台の Access または 5000 プラットフォームで LAN または WAN 内に配置され 高可用性とロードバランス機能を提供します マルチユニットクラスタ は アクティブ / パッシブ 1 またはアクティブ / アクティブ構成の 2 台以上の Access 5000 プラットフォームで LAN または WAN 内に配置され さらに高いスケーラビリティ 可用性 およびパフォーマンスを実現します ここでは クラスタについて概説します 手順については 以下を参照してください クラスタの定義と初期化 Web コンソールを通じて IVE をクラスタに追加する Web コンソール シリアルコンソールを通じて IVE をクラスタに追加する 新しいクラスタメンバの指定 クラスタノードのネットワーク設定の管理 クラスタプロパティの変更またはクラスタの削除 クラスタノードのサービスパッケージのアップグレード クラスタの詳細については 61 ページの クラスタの概要 を参照してください クラスタの概要 1 つの IVE にクラスタを定義するには 次の 3 つのデータを指定します 1 クラスタの名前 2 クラスタメンバが共有するパスワード 3 クラスタ内のマシンの識別名 [System] [Clustering]] [Create] タブでこの情報を指定したら [Create Cluster] をクリックしてクラスタを起動し 現在のマシンをクラスタに追加します クラスタを定義すると [Clustering] ページに [Status] タブと [Properties] タブが表示されます この [Status] タブには クラスタの名前と種類が一覧表示され 新しいメンバの指定や 既存のメンバの管理 クラスタの全体的なステータス情報を参照することができます クラスタの定義と初期化を終えたら クラスタに追加する IVE を指定する必要があります クラスタに IVE を追加するには 次のいずれかを使用します 1. マルチユニットクラスタのアクティブ / パッシブモードは クラスタペア内のでのみ利用可能です

74 62 NetScreen Instant Virtual Extranet アプライアンス管理ガイド Web コンソール 設定した IVE がスタンドアロンモードで実行している場合には Web コンソールを通じてその IVE をクラスタに追加できます シリアルコンソール IVE がまだ未設定の場合は 起動手順で最小限の情報を入力することにより その IVE をシリアルコンソールからクラスタに追加できます IVE をクラスタに追加すると 指定された既存のメンバから状態が初期化されます 新しいメンバは既存のメンバに同期化を要求するメッセージを送信します 既存のメンバが新しいメンバにシステム状態を送信すると 新しいメンバマシンのシステム状態は すべて 上書きされます その後はいずれかのメンバの状態が変化するたびに すべてのクラスタメンバがデータの同期化を行います 社内ファイアウォールの内側からの攻撃を防止するために クラスタメンバ間の通信は暗号化されます 各 IVE は 共通のパスワードを使用して 別のクラスタメンバからの通信を解読します セキュリティ上の理由から クラスタパスワードは IVE 間で同期化されません 詳細については 以下を参照してください アクティブ / パッシブモードでのクラスタペアの配置 アクティブ / アクティブモードでのクラスタペアまたはマルチクラスタの配置 状態の同期化 Access Series FIPS 環境でのクラスタの配置 アクティブ / パッシブモードでのクラスタペアの配置 NetScreen Access および 5000 プラットフォームは アクティブ / パッシブモードのクラスタペアとして配置できます このモードでは 片方の IVE が能動的にユーザ要求を処理し 別の IVE がバックグラウンドで受動的に動作して システム状態やユーザプロファイル ログメッセージなどの状態データを同期化します クラスタ VIP に送信されたユーザ要求はアクティブ ( 能動的 )IVE に渡されます アクティブ IVE がオフライン状態になると スタンバイ IVE が自動的にユーザ要求の受信を開始します ユーザはサインインし直す必要はありませんが クッキーやパスワードなどの IVE セッション情報が現在の IVE ボックスで同期化されない場合があります このような場合には バックエンド Web サーバに再度サインインする必要があります ( 図 4) は 外部ポートが有効に設定された 2 台の IVE を使用した アクティブ / パッシブ型の IVE クラスタ構成を示します このモードでは スループットや許容ユーザ数が増えることはありませんが 予測できないシステム障害に対応する冗長性が提供されます

75 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 63 図 4: アクティブ / パッシブクラスタペア この図は ネットワーク内に配置したアクティブ / パッシブ型クラスタを示します クラスタ VIP に送信された IVE ユーザ要求は 現在アクティブなマシンに転送されます アクティブ / アクティブモードでのクラスタペアまたはマルチクラスタの配置 NetScreen Access および 5000 プラットフォームは アクティブ / アクティブモードのクラスタペアとしても配置できます アクティブ / アクティブモードでは クラスタ内のすべてのマシンが外部ロードバランサから受信したユーザ要求を能動的に処理します ロードバランサは クラスタ VIP をホスティングして SIP ( ソース IP) ルーティングに基づいてクラスタグループに定義された IVE にユーザ要求をルーティングします 1 台の IVE がオフライン状態になると ロードバランサがアクティブな IVE の間で負荷を調整します ユーザはサインインし直す必要はありませんが クッキーやパスワードなどの IVE セッション情報が現在の IVE ボックスで同期化されない場合があります このような場合には バックエンド Web サーバに再度サインインする必要があります IVE クラスタは自動フェイルオーバーやロードバランス操作を実行しませんが クラスタメンバ間で状態データ ( システム ユーザ ログデータ ) の同期を保持します オフライン状態だった IVE がオンラインに復帰すると ロードバランサは再びすべてのアクティブメンバ間で負荷を調整します このモードでは 処理負荷がピーク時のスループットとパフォーマンスが向上しますが ライセンスユーザの総数以上にスケーラビリティが向上することはありません

76 64 NetScreen Instant Virtual Extranet アプライアンス管理ガイド IVE は クラスタ内の各 IVE にサービスステータスを提供する HTML ページをホスティングします 外部のロードバランサは このリソースを調べて すべてのクラスタノード間で処理負荷をどのように分散すれば効果的かを判断します L7 ヘルスチェック URL は次のとおりです https://<ive-hostname>/dana-na/healthcheck/healthcheck.cgi ( 図 5) は 外部ポートが有効に設定された IVE で構成されるアクティブ / アクティブ型の IVE クラスタ構成を示します 図 5: アクティブ / アクティブ構成この図は 外部ロードバランサの裏に配置されたアクティブ / アクティブ型クラスタを示します クラスタペアまたはマルチユニットクラスタをアクティブ / アクティブモードで配置できます IVE ユーザ要求は ロードバランサに定義されたクラスタ VIP に送信され そこから適切なマシンに転送されます

77 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 65 状態の同期化 IVE の状態の同期化は 内部ネットワークインターフェイスカード (NIC) のみを経由して実行され 各クラスタメンバは相互の通信にクラスタパスワードが必要になります いずれかのメンバの状態が変化するたびに すべてのクラスタメンバがデータの同期化を行います IVE クラスタの状態データは 永続的 (IVE に永続的に格納される ) または 一時的 ( ユーザのセッションが存続する間のみ IVE に格納される ) のいずれかです IVE の状態データは 次のような主なカテゴリに分類されます システム状態 - この状態は永続的で 頻繁に変化することはありません ネットワーク設定 認証サーバの設定 アクセス制御リスト ブックマーク メッセージング およびアプリケーションデータなどの認証グループ設定 ユーザプロファイル - このデータの状態は 永続 Cookie と永続パスワードキャッシングを有効に設定したか否かによって 永続的または一時的になります この 2 つの機能を有効にしていない場合には一時データになり 次のカテゴリに該当します ユーザブックマーク - 永続的 永続的ユーザ Cookie - 永続 Cookie 機能が有効の場合 永続 Cookie を発行する Web サイトのユーザ Cookie が IVE に格納されます 永続ユーザパスワード - パスワードのキャッシング機能が有効の場合 アプリケーションおよび Web サイトの認証情報を格納するかどうかをユーザが選択できます ユーザセッション - この状態は一時的かつ動的です ユーザセッションデータは次のもので構成されます ユーザ IVE セッション Cookie 一時ユーザプロファイル情報 ユーザセッションの存続期間のみ格納される Cookie とパスワードが含まれます 監視状態 - この一時状態は動的で ログメッセージ 1 で構成されます アクティブ / パッシブモードまたはアクティブ / アクティブモードのどちらにクラスタを配置した場合でも クラスタメンバ間のデータの同期化を実行するのは IVE の役割です IVE は すべてのシステムデータ ユーザプロファイルデータ および IVE ユーザセッション Cookies をただちに同期化するため 1 台のクラスタメンバがオフライン状態になっても ユーザは IVE にサインインし直す必要はありません IVE がユーザセッションプロファイルを同期化したり 状態データを監視している間には わずかに 1. IVE をクラスタに追加しても クラスタリーダーから新しいメンバにログメッセージは送信されません また 1 つのメンバがサービスを再開した場合やオフライン状態だったマシンがオンラインに復帰した場合でも ログメッセージはクラスタメンバ間で同期化されません ただし すべてのマシンがオンラインになると ログメッセージは同期化されます

78 66 NetScreen Instant Virtual Extranet アプライアンス管理ガイド レイテンシが生じるため この間にいずれかのメンバがオフライン状態になると ユーザがバックエンド Web アプリケーションにサインインし直す必要が生じることがあります また 障害の起きたマシンに管理者がログオンできなくなることもあります パフォーマンスを改善するため 以下のように同期化を設定することもできます 同期化プロトコルを指定する次の中から ネットワークハードウェアの構成に最適な同期化プロトコルを選択できます ユニキャスト IVE はクラスタ内の各ノードに同じメッセージを送信します ( これは 2 ノードクラスタおよびマルチサイトクラスタで利用できる唯一の同期化プロトコルです ) マルチキャスト IVE はネットワーク上のすべてのクラスタノードに 1 つのメッセージを送信します ブロードキャスト IVE は ネットワーク上のすべてのマシンに 1 つのメッセージを送信しますが 非クラスタノードはメッセージをドロップします 注意 : クラスタのプロパティページで指定した転送設定が使用されるのは 同じサイト ( 同じサブネット ) にあるメンバの間だけです たとえば 4 ノードがある 1 つのクラスタサイトでは マルチキャストの同期化を選択できますが このサイトはユニキャスト方式で他のサイトと通信することしかできません ログメッセージを同期化するかどうかを指定するログメッセージはネットワークに多大なペイロードを生じ クラスタのパフォーマンスを低下させる場合があります 特にマルチユニット構成の場合には このオプションを選択解除することをお勧めします

79 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 67 Access Series FIPS 環境でのクラスタの配置 状態 ユーザプロファイル およびユーザセッションの共有 状態データの監視に加えて Access Series FIPS クラスタのメンバは セキュリティワールドデータも共有します すべてのクラスタメンバは 同じ秘密鍵を共有し 同じ管理者カードでアクセスできます セキュリティワールドを変更するには 暗号化モジュールに物理的にアクセスできることが条件になりますが Access Series FIPS のクラスタメンバは 標準的な IVE 同期化プロセスでは すべてのデータを共有することができません その代わり Access Series FIPS クラスタを作成するには 次の手順を実行する必要があります 1. Web コンソールで Access Series FIPS マシンのクラスタを作成します 標準的な IVE クラスタの場合と同様に 指定したクラスタメンバから受け取ったシステム状態データを使用して Access Series FIPS クラスタにある各クラスタノードを初期化します ノードマシンにある既存の全データは上書きされます 2. 各マシンでセキュリティワールドを手動で更新します クラスタを作成したら セキュリティワールド スマートカードリーダー およびシリアルコンソールに事前に初期化された管理者カードを使用して 指定したメンバのセキュリティワールドで 各クラスタノードを初期化する必要があります 手順については 144 ページの Web コンソールを通じて IVE をクラスタに追加する Web コンソール を参照してください 同様に クラスタにある既存のセキュリティワールドを修正したい場合 管理者カード スマートカードリーダー および IVE シリアルコンソールを使用して 個別に各クラスタメンバの暗号化モジュールを更新する必要があります 手順については 379 ページの 付録 D: を参照してください

80 68 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 委任管理の概要 IVE アクセス管理システムでは 管理者ロールを使用して さまざまな IVE の管理タスクを複数の管理者に委任できます 1 管理者ロールは IVE の管理機能とロールに割り当てられた管理者のセッションプロパティを指定する 定義済みのエンティティです 管理者ロールをカスタマイズするには その管理者ロールのメンバが表示および管理可能な IVE 機能のセットとユーザロールを選択します たとえば Help Desk Administrators という管理者ロールを作成し Web アプリケーションや IVE ページにアクセスできないユーザのヘルプ係として第 1 層サポートコールを受け持つユーザをこのロールに割り当てるとします トラブルシューティングを行うため Help Desk Administrators ロールを以下のように設定します ヘルプデスク管理者に [System] [Log/Monitoring] ページの書き込み特権を許可して IVE ログの表示およびフィルタリングや 個々のユーザセッション履歴での重要イベントのトラッキングができるようにします 同様に [Maintenance] [Troubleshooting] ページの書き込み特権を許可し 個々のユーザシステムの問題をトレースできるようにします ヘルプデスク管理者に [User] [Roles] ページの読み取り特権を許可して 個々のユーザロールで利用可能なブックマーク 共有ファイル アプリケーションを確認できるようにします 同様に [Resource Policy] ページの読み取り特権を許可し 個々のユーザアクセスが拒否されるブックマーク 共有ファイル およびアプリケーションを表示できるようにします ヘルプデスク管理者にその他の [System] ページおよび [Maintenance] ページへのアクセスを禁止します これらは主に ライセンスやサービスパッケージのインストールなどのシステム全体の設定に使用するもので 個々のユーザのトラブルシューティングを行うためのものではありません さまざまな管理者ロールを作成し それぞれの Web コンソールへのアクセスをカスタマイズするには [Administrators] [Delegation] ページ (218 ページ ) の設定を使用します 1. 作成可能な委任管理者の他にも IVE には スーパー管理者 (.Administrators) と読み取りのみ可能な管理者 (.Read-only Administrators) の 2 種類の定義が含まれています スーパー管理者は Web コンソールを通じてあらゆる管理タスクを実行できます 一方 読み取りのみ可能な管理者は Web コンソールを通じて IVE 全体の設定を表示できますが 変更はできません スーパー管理者と読み取りのみ可能な管理者は両方とも すべての IVE 製品で定義されています

81 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 69 E メールクライアントの概要 IVE サーバでライセンスが与えられているオプション機能に応じて IVE では次の E メールサポートが提供されます セキュア E メールクライアントアップグレードオプション セキュア E メールクライアントアップグレードオプションが含まれている場合 IVE は Internet Mail Application Protocol (IMAP4) Post Office Protocol (POP3) および Simple Mail Transfer Protocol (SMTP) をサポートします メールサーバ E メールセッション および認証情報を [Resource Policies] [ Settings] ページに指定すれば 企業の IMAP/POP/SMTP メールサーバへのアクセスを簡単に有効にできます (318 ページ ) セキュアアプリケーションマネージャアップグレードオプションセキュアアプリケーションマネージャのアップグレードオプションが含まれている場合 IVE はネイティブの Microsoft Exchange MAPI プロトコルとネイティブの Lotus Notes プロトコルをサポートします 承認グループの [User] [Roles] [SAM] [Applications] ページで Microsoft Exchange サーバと Lotus Notes サーバへのアクセスを有効にできます (253 ページ ) 重要 : IVE サーバライセンスに Microsoft Exchange MAPI および Lotus Notes のネイティブプロトコルをサポートするセキュアアプリケーションマネージャアップグレードオプションが含まれる場合には このセクションの説明は無視してください セキュア E メールクライアントアップグレードオプションを使用すれば ユーザは VPN クライアントなどのソフトウェアを追加することなく 標準ベースの E メールクライアントを使用して リモートから企業の E メールに安全にアクセスできます IVE サーバは Internet Mail Application Protocol (IMAP4) Post Office Protocol (POP3) および Simple Mail Transfer Protocol (SMTP) をサポートするどのメールサーバにも対応しています これには IMAP4/POP3/SMTP インターフェイスを提供する Microsoft Exchange Server や Lotus Notes メールサーバが含まれます IVE サーバは リモートクライアントとメールサーバの間でセキュア E メールプロキシとしての役割を果たします リモートクライアントは ( 仮想 ) メールサーバとして IVE を使用し SSL プロトコルを経由してメールを送信します IVE サーバはクライアントからの SSL 接続を終了し LAN 内で暗号化されたメールトラフィックをメールサーバに転送します 次に メールサーバから送られた暗号化されたトラフィックを IVE サーバが S-IMAP (Secure IMAP) S-POP (Secure POP) および S-SMTP (Secure SMTP) トラフィックにそれぞれ変換し SSL を通じて E メールクライアントに送信します

82 70 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 詳細については 以下を参照してください E メールクライアントの選択 標準ベースのメールサーバの使用 Microsoft Exchange Server の使用 Lotus Notes および Lotus Notes メールサーバの使用 E メールクライアントの選択 IVE は次のような E メールクライアントをサポートしています Outlook 2000 および 2002 Outlook Express 5.5 および 6.x Netscape Messenger 4.7x および Netscape Mail 6.2 一般に E メールへのリモートアクセスが必要なユーザは 次のいずれかのカテゴリに該当します 会社のラップトップを使用するユーザ通常 これらのユーザは職場でも社外でも同じラップトップを使用します 自宅のマシンを使用するユーザこれらのユーザは 会社と自宅で別のマシンを使用します ユーザに E メールクライアントを推奨する前に 次の項を参照して サポートされる各クライアントの対話方法を確認してください Lotus Notes メールサーバなどの標準ベースのメールサーバ (70 ページ ) Microsoft Exchange Server(71 ページ ) 注意 : サポートされる各 E メールクライアントの設定方法は NetScreen のサポートサイト で参照できます 標準ベースのメールサーバの使用 IVE は IMAP4 POP3 および SMTP をサポートするメールサーバに対応しています IMAP メールサーバ 会社のラップトップを使用するユーザ : サポートされる 6 種類の E メールクライアントのどれでも使用できます 使い慣れた環境をそのまま使用できるように 職場でも社外でも同じ (IVE サーバを参照するように設定された ) クライアントを使用することをお勧めします

83 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 71 自宅のマシンを使用するユーザ : サポートされる 6 種類の E メールクライアントのどれを使用しても IVE を経由して IMAP サーバにリモートアクセスできます POP メールサーバ 会社のラップトップを使用するユーザ : サポートされる 4 種類の Outlook E メールクライアント * を使用できます 慣れた環境をそのまま使用できるように 職場でも社外でも同じ (IVE サーバを参照するように設定された ) クライアントを使用することをお勧めします 自宅のマシンを使用するユーザ :4 種類の Outlook E メールクライアント * のどれを使用しても IVE を経由して POP サーバにリモートアクセスできます * Netscape E メールクライアントは IVE サーバによるセキュアデータ通信に必要な S- POP をサポートしていないため POP モードではリモートアクセスに Netscape E メールクライアントを使用することはできません Microsoft Exchange Server の使用 Microsoft Exchange Server は次のクライアントをサポートしています ネイティブ MAPI (Messaging Application Programming Interface) クライアント IMAP クライアント POP クライアント Outlook Web Access (OWA) IVE サーバは IMAP クライアントおよび POP クライアント経由の場合はセキュア E メールクライアントアップグレードオプション OWA 経由の場合はセキュア Web ブラウジング機能をそれぞれ使用して Microsoft Exchange Server へのアクセスを提供します ネイティブ MAPI プロトコルを通じて Microsoft Exchange Server にアクセスする場合には IVE にセキュアアプリケーションマネージャアップグレードオプションのライセンスが必要になります Exchange Server と IMAP クライアント 会社でメールサーバとして Exchange Server を使用している場合には 社員が職場で使用するマシンはネイティブ MAPI モードで Outlook 2000 または 2002 E メールクライアントを使用するように構成されていると想定されます 会社のラップトップを使用するユーザ :Outlook Express または Netscape クライアントを使用して IVE 経由で Exchange Server にリモートアクセスできます 1

84 72 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 自宅のマシンを使用するユーザ :MAPI アカウントがリモートマシンに設定されていない場合 サポートされる 6 種類の E メールクライアントのどれを使用しても IVE 経由で Exchange Server にリモートアクセスできます IMAP モードで Outlook Express または Netscape クライアントを実行する場合には 次のようなフォルダの管理動作に注意する必要があります Outlook Express メールクライアントを使用する場合 Outlook Express では 削除された E メールは受信ボックスに抹消線付きで表示されるだけで Outlook 2000 や 2002 クライアントを使用している場合のように Exchange Server の [ 削除済みアイテム ] フォルダに移動されることはありません Outlook Express クライアントで削除済みフォルダを空にすると E メールは完全に消去されます Outlook Express を使用する場合には 次のいずれかの操作を実行することをお勧めします 削除する E メールを [ ローカルフォルダ ] の下にある [ 削除済みアイテム ] フォルダにドラッグします ( これらのフォルダはデフォルトで表示されます ) このフォルダは Exchange Server の [ 削除済みアイテム ] フォルダと同期しており ユーザは削除した E メールを後で復元することができます Outlook Express の受信箱にある削除済み E メールはそのまま残し Outlook 2000 または 2002 プログラムに次回にログインしたときに削除済み E メールを [ 削除済みアイテム ] フォルダに移動します Netscape メールクライアントを使用する場合削除された E メールは Netscape の [ ごみ箱 ] フォルダに移動され Netscape の受信箱には表示されません ただし 次の操作を実行しない限り Outlook 2000 または 2002 の受信箱からは消えません 1 削除済みメッセージが [ ごみ箱 ] フォルダに移動されるように Netscape プログラムを設定して 終了時に受信箱を空にするオプションをオンにします 2 他のプログラムの受信箱がサーバと同期して同じメッセージが表示されるのを避けるために 同時に実行するプログラムは 1 つだけにして 作業を終えたらプログラムを終了するようにしてください また 送信済みの E メールは Netscape の [ 送信済み ] フォルダ ( または他のユーザ定義フォルダ ) に移動されます 送信済みメッセージを Microsoft Exchange Server の [ 送信済みアイテム ] フォルダにも表示するには Netscape の [ 送信済み ] フォルダから送信済みメールを [ 送信済みアイテム ] フォルダにドラッグする必要があります 1. Outlook 2000 クライアントの場合 複数のユーザが同じクライアントを使用してリモートアクセスするのを防止するために サポートされるメールサーバ設定は 1 つだけ ( この場合には ネイティブ MAPI モード ) です Outlook 2002 クライアントの場合 MAPI と IMAP のサーバ設定を同時にサポートしますが リモートユーザによって E メールが受信されるのを防止するために MAPI アカウントがオフラインのときには IMAP 経由のアクセスはできないようになっています

85 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 73 Exchange Server と POP クライアント 会社でメールサーバとして Exchange Server を使用している場合には 社員が職場で使用するマシンはネイティブ MAPI モードで Outlook 2000 または 2002 E メールクライアントを使用するように構成されていると想定されます 会社のラップトップを使用するユーザ : サポートされるいずれかの Outlook Express クライアント * を使用して IVE 経由で Exchange Server にリモートアクセスできます 自宅のマシンを使用するユーザ :MAPI アカウントがリモートマシンに設定されていない場合 4 種類の Outlook クライアント * のどれを使用しても IVE 経由で Exchange Server にリモートアクセスできます * Netscape E メールクライアントは IVE サーバによるセキュアデータ通信に必要な S- POP をサポートしていないため POP モードではリモートアクセスに Netscape E メールクライアントを使用することはできません Exchange Server と Outlook Web Access Exchange Server への OWA によるアクセスを可能にし ユーザが IVE Web ブラウジング機能を通じて Exchange Server にアクセスできるようにするには Web ベースのアプリケーションとしてイントラネットに OWA を展開します ネットワークの外部で OWA の実装手順を実行する必要はありません 注意 : IVE サーバを使用して Outlook Web Access にアクセスする方が 直接 Outlook Web Access をインターネットに接続するよりも安全です これにより Nimda などの攻撃から Outlook Web Access IIS Web Server を保護できます Lotus Notes および Lotus Notes メールサーバの使用 Lotus Notes メールサーバは POP3 インターフェイスと IMAP4 インターフェイスを提供し ユーザは IVE を通じて Lotus Notes メール設定からメールを取り出すことができます Lotus メールサーバへのリモートアクセスを必要とする社内の E メールユーザにどの E メールクライアントを推奨するかを判断するには 70 ページの 標準ベースのメールサーバの使用 の標準ベースのメールサーバの使用法に関するセクションを参照してください

86 74 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ホストチェッカの概要 ホストチェッカは エンドポイントのセキュリティチェックを IVE に接続したホストで実行するクライアントサイドエージェントです IVE サインインページをユーザに表示する前やロールマッピング規則またはリソースポリシーを評価する際に ホストチェッカを起動できます IVE は次を使用して エンドポイントセキュリティアプリケーションを探してホストをチェックします [The NetScreen ホストチェッカ implementation of a supported endpoint security application] ActiveX コントロールは 指定したサードパーティのエンドポイントセキュリティ製品の NetScreen ホストチェッカ (NetScreen ホストチェッカ ) 統合を呼び出し 返された値で 製品が設定ポリシーに準拠して実行しているかどうかを確認します IVE は 現在 以下との緊密な NetScreen ホストチェッカ統合をサポートしています Sygate Enforcement API Sygate Security Agent Zone Labs: ZoneAlarm Pro and Zone Labs Integrity McAfee Desktop Firewall 8.0 InfoExpress CyberGatekeeper Agent [NetScreen ホストチェッカ integration using a custom DLL] NetScreen ホストチェッカ API により カスタマイズしたクライアントサイドチェックを実行する DLL を作成することができます この DLL は 各クライアントマシンにインストールする必要があります NetScreen ホストチェッカ API のドキュメンテーションは サポートサイト (http://support.netscreen.com) から入手可能です [Attribute checking] ActiveX コントロールは プロセス ファイル およびレジストリエントリなど 指定したアプリケーションの痕跡を検索します

87 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 75 グローバルなホストチェッカポリシーの作成 エンドポイントセキュリティ管理のためのポリシー強制ツールとしてホストチェッカを使用するには 以下を指定するグローバルなホストチェッカポリシーを作成する必要があります [Host Checking Methods] メソッド とは サードパーティエンドポイントセキュリティ製品の NetScreen ホストチェッカ (NHC) への実装であり アプリケーションが 設定したポリシーに準拠して実行するかどうかを判断します 現在 ホストチェッカは以下を実装するためのメソッドを提供しています [Sygate Enforcement API] [Sygate Security Agent] Zone Labs: ZoneAlarm Pro and Zone Labs Integrity [McAfee Desktop Firewall 8.0] [InfoExpress CyberGatekeeper Agent] [Rule Settings] 規則とは ホストチェッカが IVE に成功の結果を戻すために クライアントが満たさなければならない要件です 5 種類の規則を指定できます [Custom NHC integration] この規則は NHC API を使用して作成するカスタム DLL の場所を指定するために使用します ホストチェッカは この DLL を呼び出して カスタマイズしたクライアントサイドチェックを実行します DLL がホストチェッカに成功の結果を返した場合 IVE は 規則が満たされたとみなします NHC API については NetScreen サポートサイト (http://support.netscreen.com) から API のドキュメンテーションを取得してください [Port check] この規則は ユーザが IVE にアクセスできるように クライアントマシンに特定のポートを開くまたは閉じることを要求するために使用します [Process check] この規則は ユーザが IVE にアクセスできるように クライアントマシンに特定のプロセスを実行するまたは実行しないことを要求するために使用します [File check] この規則は ユーザが IVE にアクセスできるように クライアントマシンに特定のファイルを所有するまたは所有しないことを要求するために使用します [Registry settings check] この規則は ユーザが IVE にアクセスできるように クライアントマシンに特定のレジストリ設定を行うことを要求するために使用します

88 76 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ホストチェッカのメソッドと規則は 必要なエンドポイントセキュリティプロパティをクライアントが所有しているかどうかを検証するために いくつでも選択できます これらの規則を組み合わせて クライアント上でホストチェッカが検証するポリシーを作成します 以下を使用してホストチェッカを要求することにより IVE およびリソースへのアクセスを制限できます 領域認証ポリシー管理者またはユーザが IVE にサインインする場合 IVE は指定の領域の認証ポリシーを評価して認証の前提条件にホストチェッカが含まれているかどうかを確認します 領域の認証ポリシーでは ホストチェッカをダウンロードする ホストチェッカをダウンロードして領域に指定されているホストチェッカポリシーを適用する またはホストチェッカを要求しない と設定できます ユーザは 領域に指定されているホストチェッカ要件を満たしているマシンからサインインする必要があります ユーザマシンが領域に指定されている要件を満たしていない場合 IVE はユーザの証明書を認証サーバに転送しないため IVE へのユーザアクセスは拒否されます ユーザロール IVE は 管理者またはユーザ割り当て先のロールのリストを決定する際 各ロールの制限を評価して ユーザのマシンがホストチェッカポリシーを満たしていなければならないという要件が含まれているか確認します 要件が含まれており ユーザマシンが指定されているホストチェッカポリシーと一致しない場合は IVE はユーザをそのロールに割り当てません リソースポリシーユーザがリソースを要求すると IVE はリソースポリシーの詳細規則を評価して ユーザマシンが特定のホストチェッカポリシーを満たしていなければならないという要件が含まれているかどうか確認します ユーザマシンが指定のホストチェッカポリシーを満たしていない場合は IVE はそのリソースへのアクセスを拒否します

89 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 77 ホストチェッカの実行 ロールまたはリソースポリシーでホストチェッカを要求する場合 ユーザがサインインする際のエージェントのインストールを最低限にするように 領域の認証ポリシーで設定する必要があります 設定した場合 IVE はユーザのシステムに ActiveX コントロールをダウンロードします システム全体のホストチェッカポリシー ([System] [Configuration] [Security] [ ホストチェッカ ] タブ ) も設定し 領域 ロールまたはリソースポリシーにホストチェッカ要件を設定する際にこれらの設定から選択します ユーザが IVE サインインページへのアクセスする際 IVE はユーザをロールに割り当てます そのユーザがリソースを要求すると ホストチェッカエージェントは関連するホストチェッカポリシーに指定されているメソッドと規則を使用して そのクライアントがエンドポイントセキュリティ要件を満たしているかどうか検証します IVE は ホストチェッカから要件を満たしているか否かの結果が返されるまで 120 秒間待機し 返されない場合にはその後タイムアウトします その際 IVE によってエラーが表示され ユーザにはサインインページが表示されます エンドポイントセキュリティチェックが正常に終了した場合 IVE は認証されたユーザにホームページを表示するか ユーザを対応するロールに割り当てるか またはリソースポリシーに指定されているアクションを実行するかのいずれかを行います IVE サインインページにアクセスする際にチェックが失敗した場合 IVE は コンピュータがエンドポイントセキュリティポリシーに準拠していないことを通知するエラーを表示します IVE がロールマッピング規則を評価する際にチェックが失敗した場合は IVE はユーザを対応するロールに割り当てません ユーザがリソースを要求する際にチェックが失敗した場合は IVE は対応するリソースポリシーに指定されているアクションを実行しません このチェックに成功するか失敗するかに関係なく ホストチェッカはクライアントの C:\Program Files\Neoteris\Host Checker ディレクトリに保存されます ユーザは このディレクトリの uninstall.exe を実行して エージェントを自分でアンインストールできます このディレクトリには ホストチェッカが実行されるたびに書き込まれるログファイルもあります アクセス管理のオプションの詳細については 21 ページの アクセス管理の概要 を参照してください

90 78 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ログと監視の概要 IVE ログファイルは システムイベントを追跡するテキストファイルで IVE に格納されています IVE には 以下の 3 種類の主要なログファイルがあります イベントログ - このログファイルには セッションタイムアウト ( アイドルセッションのタイムアウトやタイムアウトまでの最長時間など ) システムエラーおよび警告 サーバの接続状態チェックの要求 および IVE サービス再起動通知 (IVE ウォッチドッグプロセスが定期的に IVE サーバをチェックし 応答がない場合には IVE を再起動する ) などのさまざまなシステムイベントが記録されます ユーザアクセスログ - このログファイルには 1 時間ごとの同時ユーザ数 (1 時間単位で記録 ) ユーザのサインインおよびサインアウト ユーザのファイルリクエストおよび Web リクエストなどの ユーザが IVE にアクセスしたときのさまざまな情報が記録されます 管理者アクセスログ - このログファイルには セッションのタイムアウト URL ブラウジングの許可 / 禁止やユーザ作成ブックマークなどのオプション マシン情報およびサーバ情報など 管理者によるユーザやシステム ネットワークの設定変更が記録されます また 管理者によるサインイン サインアウト IVE のライセンス変更なども記録されます [System] [Log/Monitoring] ページでは ログに記録するイベントやシステムログファイルの最大サイズを指定できるほか ローカルログに加えて syslog サーバでもイベントを記録するかどうかを指定できます [System] [Log/Monitoring] ページでは イベントの数を指定して表示したり ネットワークにログファイルを保存したりできるほか ログをクリアすることもできます ログの 1 つが 設定された最大ログファイルサイズ ( デフォルトで 200MB) に達すると 現在のデータはバックアップログファイルに移されます その後 以降の ( 新しい ) ログメッセージのための空のファイルが新しく作成されます 管理者はログビューワを使用して 最新の 5000 ログメッセージ ( ビューワの表示制限 ) を参照できます 現在のログファイルのログメッセージが 5000 未満の場合 バックアップログファイルの古いログメッセージが 最大で合計 5000 個まで表示されます 設定された最大ログファイルサイズによって異なりますが これにより 別々に保存されたログファイルであっても 1 個として表示されます 重要 : ログメッセージの保存または [Maintenance] [Archiving] ページで FTP アーカイブ関数の使用を選択した場合 バックアップログファイルは現在のログファイルに追加され 1 個のログファイルとしてダウンロードされます ログファイルがアーカイブされていないか もう一度移されるときまでに保存されていない場合は 最も古いログメッセージ ( バックアップログファイルに保存された ) が失われます

91 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 79 さらに HP OpenView などのネットワーク管理ツールを使用して SNMP エージェントとして IVE を監視することができます IVE は SNMP v2 をサポートし プライベート MIB( 管理情報ベース ) を実装して 独自のトラップを定義します ネットワーク管理ステーションでこれらのトラップを処理できるようにするには NetScreen MIB ファイルをダウンロードし トラップを受信するための適切な情報を指定する必要があります 注意 : CPU の使用状況など IVE に関する重要なシステム統計情報を監視するには UC-Davis MIB ファイルを SNMP 管理アプリケーションにロードします MIB ファイルは 次の URL からダウンロードできます 詳細については 以下を参照してください ログファイルの重要度のレベル カスタムフィルタログファイル [Log Monitoring] ページの設定 ログファイルの重要度のレベル IVE イベントログ ユーザアクセスログおよび管理者アクセスログファイルのイベントは 以下のガイドラインの重要度レベルに分類されます Critical( 重要度レベル 10)- IVE がユーザおよび管理者の要求を処理できない場合や サブシステムのほとんどの機能が使用できない場合には クリティカルイベントがログに記録されます Major( 重要度レベル 8-9)- IVE で 1 つまたは複数のサブシステムの機能が使用できなくなっている一方で ユーザが他のアクセスメカニズムのアプライアンスにアクセスできる場合は IVE はメジャーイベントをログに記録します Minor( 重要度レベル 5-7)- IVE でエラーを検出し そのエラーがサブシステムの大きな障害にならない場合は マイナーイベントがログに記録されます マイナーイベントは通常 個々の要求の失敗に該当します Info( 重要度レベル 1-4)- IVE により通知メッセージが表示される際 エンドユーザが要求を行う際 または管理者が変更を行う際に IVE はインフォメーションイベントをログに記録します

92 80 NetScreen Instant Virtual Extranet アプライアンス管理ガイド カスタムフィルタログファイル セントラルマネージャパッケージでは イベントログ ユーザアクセスログおよび管理者アクセスログファイルに記録されるデータのフィルタ処理とフォーマット作成が可能です ログファイルをフィルタ処理した場合 IVE はフィルタクエリに指定されたメッセージのみを保存します たとえば 特定の IP アドレスの範囲や特定領域にサインインしたユーザのエントリのみを記録するクエリを作成できます クエリを作成するには IVE カスタムエクスプレッション言語を使用します ログファイルをフォーマットした場合 IVE は単に 指定に基づいてログメッセージの表示方法を変更します ログフォーマットは IVE が保存するデータには変更を加えずに IVE でのデータの表示方法のみを変更します IVE では 標準的な WELF および W3C フォーマットを使用しますが カスタムフォーマットを作成することも可能です カスタムフォーマットを作成するには ログフィールドを使用します 設定手順については 152 ページの [Log Monitoring] ページの設定 を参照してください

93 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 81 ネットワークコネクトの概要 ネットワークコネクトアップグレードオプションはクライアントレスの VPN 機能を提供し IVE を使用して 企業リソースに対する追加的なリモートアクセスメカニズムとして機能します この機能は ダイヤルアップ ブロードバンド クライアントマシンからの LAN シナリオなど あらゆるインターネットアクセスモードをサポートし ポート 443 で SSL トラフィックを送受信することで クライアントサイドのプロキシ機能やファイアウォール機能も備えています ユーザがネットワークコネクトを起動すると クライアントの全トラフィックは セキュアなネットワークコネクトトンネルを通じて送受信されます 唯一 例外的なルートで送受信されるのは Web のブラウズやファイルの参照 telnet/ssh など 他の IVE 対応機能が開始したトラフィックです 特定のユーザに対して 他の IVE 機能を有効にしたくない場合は ネットワークコネクトオプションだけを有効にしたユーザロールを作成し このロールにマップされたユーザが 他の IVE 機能を有効にしたロールにもマップされていないことを確認します ネットワークコネクトが実行していると クライアントはリモート ( 企業 )LAN のノードとして効果的に機能し ユーザのローカル LAN 上には表示されなくなります IVE は クライアントの DNS ゲートウェイとして機能し ユーザのローカル LAN の情報は全く認識しません ただし PC 上に静的なルートを定義すれば ユーザは引き続きローカル LAN にアクセスしながら同時にリモート LAN にも接続することができます PC トラフィックはネットワークコネクトトンネルを通過して企業内部リソースに渡されるため ユーザのローカルネットワーク内の他のホストが ネットワークコネクトを実行する PC に接続できないようにします ローカルサブネットへのユーザアクセスを拒否することにより ([Users] [Roles] [RoleName] [Network Connect] タブで設定 ) リモートユーザのローカル LAN の他のホストが企業内部リソースにアクセスできないようにします ローカルサブネットへのアクセスを許可しない場合は IVE は 静的ルートが定義されたクライアントが開始したネットワークコネクトセッションを終了します また 管理者は クライアントがパーソナルファイアウォールなどのエンドポイントセキュリティソリューションを実行してからネットワークレベルのリモートアクセスセッションを起動するよう要求することもできます IVE に接続したホストでエンドポイントセキュリティチェックを実行するホストチェッカは クライアントがエンドポイントセキュリティソフトウェアを使用しているかどうかを検証できます 詳細については 74 ページの ホストチェッカの概要 を参照してください ネットワークコネクトのリソースポリシーの設定については 311 ページの [Network Connect] ページの設定 を参照してください

94 82 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ネットワークコネクトの実行 ネットワークコネクト (NC) アプリケーションは 以下の処理を実行します 1. ユーザは IVE にサインインして IVE ホームページで [ ネットワークコネクト ] リンクをクリックします 2. ユーザが次に進むと IVE は ActiveX コントロールをクライアントマシンにダウンロードし クライアントは次の手順を実行します 1 IVE は ネットワークコネクトがインストールされているかどうかを確認します インストールされていない場合 IVE は必要なソフトウェアをインストールします これは 1 度だけ実行される設定です 2 ネットワークコネクトサービスは リクエストを IVE に送信し 事前に指定された IP の範囲から IP アドレスを取得して接続を開始します 3 ネットワークコネクトのシステムトレイアイコンがタスクバーに表示され 処理が開始されます 3. IVE は 2 つの IP アドレスを取得し ( 設定された範囲から ) 以下に対して一意な IP を割り当てます クライアント上で実行する NC サービス IVE 上で実行する NC プロセス 4. ネットワークコネクトクライアントサイドサービスは 割り当てられた IP アドレスを使用して IVE 上で実行するネットワークコネクトプロセスと通信します 5. サーバサイドのネットワークコネクトプロセスは 割り当てられた IP アドレスを使用して 企業リソースと通信します 図 6: ネットワークコネクトのクライアント / サーバの通信ネットワークコネクトクライアントサイドサービスは 割り当てられた IP アドレスを使用して IVE 上で実行するネットワークコネクトサーバサイドプロセスと通信します このプロセスは クライアントリクエストを企業リソースに転送します

95 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 83 データ転送プロキシの概要 データ転送プロキシを使用すると IVE が最小限の仲介を実行する Web アプリケーションを指定できます 従来型のリバースプロキシ機能の場合 選択したサーバレスポンスの一部を再書き込みするだけで ネットワークの変更や複雑な設定が必要とされました しかし このオプションでは アプリケーションサーバと アプリケーションサーバへのクライアントリクエストを IVE で受信する方法を指定するだけで済みます [Via an IVE port] データ転送プロキシで仲介する場合 対象のアプリケーションを指定するときに IVE がアプリケーションサーバへのクライアントリクエストを待ち受けするポートを指定します IVE は アプリケーションサーバへのクライアントリクエストを受信すると このリクエストを指定されたアプリケーションサーバポートに転送します このオプションを選択する場合 企業ファイアウォール上にある指定の IVE ポートに対して トラフィックを開く必要があります [Via external DNS resolution] データ転送プロキシで仲介を実行するために 対象のアプリケーションを指定する場合 アプリケーションサーバのホスト名に関連している別名を指定します この別名のために IVE に解決されるエントリを外部 DNS に追加する必要があります IVE は 別名に対するクライアントリクエストを受信すると アプリケーションサーバ用に指定したポートにこのリクエストを転送します このオプションが役立つのは 企業が IVE にアクセスするファイアウォールポートを開くのに厳格なポリシーを設定している場合です このオプションを使用する場合 各ホスト名の別名に IVE ホスト名と同じドメインの部分文字列を含め IVE に *.domain.com という形式でワイルドカードのサーバ証明書をアップロードすることをお勧めします たとえば IVE が iveserver.yourcompany.com である場合 ホスト名の別名は appserver.yourcompany.com の形式にする必要があり ワイルドカード証明書の形式は *.yourcompany.com のようになります ワイルドカード証明書を使用しないと ユーザがアプリケーションサーバを参照するときに 証明書の名前をチェックするように クライアントブラウザに警告が表示されます これは アプリケーションサーバのホスト名の別名が 証明書のドメイン名に一致しないからです ただし このような状況でも アプリケーションサーバに対するユーザのアクセスは阻止されません

96 84 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 例 IVE が iveserver.yourcompany.com であり oracle.companynetwork.net:8000 で Oracle サーバを使用している場合 IVE ポートを指定するときに 次のようにアプリケーションパラメータを指定できます Server: oracle.companynetwork.net Port: 8000 IVE port: IVE は iveserver.yourcompany.com:11000 に送られた Oracle クライアントトラフィックを受信すると このトラフィックを oracle.companynetwork.net:8000 に転送します また ホスト名の別名を指定したい場合は 次のパラメータでアプリケーションを設定できます Server: oracle.companynetwork.net Port: 8000 IVE alias: oracle.yourcompany.com IVE は oracle.yourcompany.com に送られた Oracle クライアントトラフィックを受信すると このトラフィックを oracle.companynetwork.net:8000 に転送します ホスト名の別名に基づいてクライアントリクエストを IVE にルートすることを選択した場合 外部 DNS サーバに IVE を追加する必要もあります このオプションが役立つのは 内部サーバと DMZ にあるサーバのどちらにファイアウォールポートを開くのか 制限的なポリシーがある場合です コアな仲介エンジンとして データ転送プロキシオプションは セキュアアプリケーションマネージャに応じて 高いセキュリティを提供します アプリケーションに対してこの機能を有効にすると IVE は クライアントが企業ネットワークの固定されたアプリケーションポートにレイヤー 7 トラフィックだけを送信できるようにします このオプションを使用すると IVE は Oracle e-business スイートアプリケーションにある Java アプレットまたはサポートされていない Java Virtual Machine で実行するアプレットなど コンテンツ仲介エンジンと互換性のないコンポーネントでもアプリケーションをサポートできるようにします 注意 : データ転送プロキシオプションが機能するのは 固定ポートで待ち受けをしているアプリケーションの場合だけです クライアントは 直接的なソケット接続を確立しません IVE が最低限の仲介を実行するアプリケーションを指定するには 287 ページの データ転送プロキシリソースポリシーの作成 を参照してください

97 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 85 リモート SSO の概要 リモートシングルサインオン (SSO) 機能により ユーザが複数のバックエンドアプリケーションにアクセスする際に証明書の入力回数が最低限で済むように IVE がユーザ証明書を転送するアプリケーションの URL サインインページを指定できます 追加のフォーム値とカスタムヘッダ ( クッキーなど ) を指定して アプリケーションのサインインフォームを転送することもできます リモート SSO 設定は 以下の Web リソースポリシーで構成されます フォーム転送ポリシーこのリモート SSO ポリシーでは IVE データの転送先アプリケーションのサインインページ URL と 転送するデータを指定します このデータには ユーザの IVE ユーザ名およびパスワード システム変数に格納されたシステムデータなどが含まれます (369 ページの システム変数とその例 ) ユーザがこの情報を変更できるかどうかについても指定できます ヘッダ / クッキーポリシーこのリモート SSO ポリシーでは カスタムヘッダ / クッキーを送信できるカスタマイズしたアプリケーションなどのリソースを指定します ユーザの IVE 証明書がバックエンドアプリケーションで要求されるものと異なる場合 ユーザは以下の方法でアプリケーションにアクセスすることができます 手動でサインインする自分の証明書を手動でアプリケーションのサインインページに入力すると ユーザはバックエンドアプリケーションに即座にアクセスできます また 以下に説明する [Advanced Preferences] ページを使用して 証明書と 必要な他の情報を IVE に永久に保存しておくこともできますが 必須ではありません 必要な証明書を IVE で指定するユーザは [Advanced Preferences] ページを使用して IVE に正しいアプリケーション証明書を提供する必要があります 設定後 ユーザはサインアウトしてから再びサインインし 自分の証明書を IVE に保存しなければなりません 次回 Remote SSO のブックマークをクリックしてアプリケーションにサインインしたときには 更新済みの証明書が送信されます 注意 : Remote SSO 機能は HTML フォームに静的な POST アクションを持つアプリケーションにデータを渡すときに使用します URL POST アクションが頻繁に変更したり 時間ベースの期限切れ設定があったり フォームの生成時に POST アクションが生成されるアプリケーションで Remote SSO を使用するのは実用的ではありません

98 86 NetScreen Instant Virtual Extranet アプライアンス管理ガイド セキュアアプリケーションマネージャの概要 セキュアアプリケーションマネージャアップグレードオプションは クライアントアプリケーションから企業サーバへのセキュアなアプリケーションレベルリモートアクセスを提供します セキュアアプリケーションマネージャには 以下の 2 つのバージョンがあります Windows バージョン (W-SAM) セキュアアプリケーションマネージャの Windows バージョンは IVE ボックスを通じて 送信 TCP 接続をアプリケーション単位またはホスト単位で透過的かつ安全にリダイレクトする Windows-32 ソリューションです このソフトウェアは IVE 上でホストされている ActiveX コントロールからダウンロードされ 起動されます 詳細は 86 ページの Windows セキュアアプリケーションマネージャ (W-SAM) の概要 を参照してください Java バージョン (J-SAM) セキュアアプリケーションマネージャの Java バージョンは Microsoft MAPI Lotus Notes Citrix Nfuse の拡張サポートなど 静的な TCP ポートのクライアント / サーバアプリケーションをサポートします また J-SAM は NetBIOS もサポートします これにより ユーザはドライブを指定の保護対象リソースにマップできます J-SAM は 多くのネットワーク構成で正常に機能しますが 動的な TCP ポートのクライアント / サーバアプリケーション サーバが開始した接続 または UDP トラフィックはサポートしません J-SAM の実行時 ( 正確なメモリ量は使用する JVM によって異なります ) には 20 ~ 30 MB の RAM が割り当てられ キャッシュが有効になっている場合は クライアントマシンに.jar ファイルが残ることがあります 詳細については 88 ページの Java セキュアアプリケーションマネージャ (J-SAM) の概要 を参照してください 注意 : 現在 Sun JVM バージョン 以降が Windows Linux および Macintosh プラットフォームでサポートされています Windows では Sun JRE バージョン 1.1 に基づく MS JVM もサポートされています Windows セキュアアプリケーションマネージャ (W-SAM) の概要 セキュアアプリケーションマネージャの Windows バージョン (W-SAM) は Layered Service Provider(LSP) メカニズムを使用して PC で実行しているクライアントアプリケーションのトラフィックにセキュリティを提供するサービスです LSP サービスコンポーネントは ユーザが IVE ホームページからセキュアアプリケーションマネージャを起動したときにダウンロードされる ActiveX コントロールによって クライアント PC にインストールされます 一度インストールされると セキュアアプリケーションマネージャが次の制御権を獲得します

99 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 87 IVE 上で設定したアプリケーションからの TCP 接続コール IVE 上で設定した送信先ホスト名を検索する DNS クエリ ユーザが 1 セキュアアプリケーションマネージャを起動すると ステータスウィンドウがシステムトレイ中のプロセスとして実行されます ユーザがこのアイコンをダブルクリックすると 現在のセッションステータスやアプリケーションのリスト セキュアアプリケーションマネージャで仲介するために指定したホストが表示されます W-SAM を使用したクライアント / サーバの通信 以下の図に IVE を通じたクライアントアプリケーションとサーバの通信を図示します 1. ユーザが IVE メニュー項目の [Secure Application Manager] をクリックすると Windows セキュアアプリケーションマネージャが起動されます IVE は ActiveX コントロールをクライアントマシンにダウンロードします このコントロールは クライアントサイドサービス (LSP) を実行してアプリケーショントラフィックにセキュリティを提供するように クライアントマシンを設定します セキュアアプリケーションマネージャのステータスウィンドウアイコンが システムトレイに表示されます 2. ユーザは 管理者が指定したアプリケーションを起動するか 特定のホストからデータを要求するプロセスを開始します クライアントアプリケーションまたはプロセスがリソースへの接続を試みると セキュアアプリケーションマネージャがこのリクエストを受け取ります 3. セキュアアプリケーションマネージャは SSL を使用して IVE にホスト名を転送します IVE はホスト名を解決して ターゲットホストの IP アドレスをセキュアアプリケーションマネージャに返します 4. セキュアアプリケーションマネージャは 事前に指定された localhost IP アドレスを使用して 自動的にポート転送チャネルを設定します 1. ユーザのサインイン時に セキュアアプリケーションマネージャが自動的に起動するように設定できます ユーザは IVE の [System] [Preferences] メニューでこの設定を変更できます 自動的な起動を無効にしている場合 ユーザは IVE ホームページのメニューにあるリンクをクリックして セキュアアプリケーションマネージャを手動で起動する必要があります

100 88 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 7: Windows セキュアアプリケーションマネージャ Java セキュアアプリケーションマネージャ (J-SAM) の概要 セキュアアプリケーションマネージャの Java バージョン (J-SAM) は リモートマシンで実行するアプリケーションに対して セキュアなポート転送を提供します IVE は 特定のポートに指定された各アプリケーションサーバに固有の IP ループバックアドレスを割り当てます たとえば 次のように指定します app1.mycompany.com, app2.mycompany.com, app3.mycompany.com,... 単一ポートの場合 IVE は各アプリケーションに固有の IP ループバックアドレスを割り当てます , , ,... ユーザが J-SAM をダウンロードすると これはネットワークアプリケーションサーバに対するクライアントリクエストのために IVE が割り当てたループバックアドレス ( アプリケーションサーバのために指定された対応するクライアントポート ) で待ち受けを行います J-SAM はリクエストデータをカプセル化し SSL トラフィックとして暗号化したデータを IVE に転送します IVE はデータのカプセル化を解除して ネットワークにあるアプリケーションサーバに指定されたサーバポートにデータを転送します アプリケーションサーバは IVE にレスポンスを返し IVE はデータを再びカプセル化して J-SAM に転送します 次に J-SAM はサーバレスポンスの暗号化を解除して データをクライアントアプリケーションに転送します ローカルマシンで実行しているクライアントアプリケーションには J-SAM はアプリケーションサーバのように見えます ネットワークにあるアプリケーションサーバには IVE はクライアントアプリケーションのように見えます

101 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 89 J-SAM は以下のサポートも提供しています MS Exchange のサポートの強化 Lotus Notes のサポートの強化 Citrix NFuse のサポートの強化 J-SAM を使用したクライアント / サーバの通信 以下の図に IVE を通じたクライアントアプリケーションとサーバの通信を図示します この図では ユーザがサーバとして localhost IP アドレスをクライアントアプリケーションに指定したと仮定しています 自動ホストマッピングを使用するように (PC ユーザのため )IVE を設定する場合は 89 ページの J-SAM を使用したクライアント / サーバの通信 を参照してください 1. ユーザは IVE の [Client Applications] ページに指定されたクライアントアプリケーションを起動します アプリケーションはリモートサーバを localhost に解決します 2. クライアントアプリケーションは ユーザのマシンで実行している J-SAM に接続し リクエストの送信を開始します 3. J-SAM はすべてのクライアントリクエストをカプセル化し SSL を使用して IVE に転送します 4. IVE はクライアントデータのカプセル化を解除し 指定されたアプリケーションサーバに転送します 5. アプリケーションサーバは IVE サーバにデータを返します 6. IVE はアプリケーションサーバからのレスポンスをカプセル化し SSL を使用して J-SAM に転送します 7. J-SAM はアプリケーションサーバデータの暗号化を解除し クライアントアプリケーションに転送します 図 8: Java セキュアアプリケーションマネージャこの図では ユーザがサーバとして localhost IP アドレスをクライアントアプリケーションに指定したと仮定しています

102 90 NetScreen Instant Virtual Extranet アプライアンス管理ガイド localhost への Hostname の解決 このソリューションを正常に使用するには J-SAM がアプリケーションサーバに向けられたデータを IVE によってキャプチャし 安全にポート転送できるように ユーザのマシンにあるクライアントアプリケーションはアプリケーションサーバを自身の localhost に解決する必要があります J-SAM は自動ホストマッピングを実行できます この処理では クライアントの hosts ファイルを編集し アプリケーションサーバを localhost にマップします J-SAM によってユーザの hosts ファイルを編集する場合 ユーザはクライアントマシンで適切な特権を持っている必要があります Windows 2000 ユーザは どのユーザグループにも所属できます ただし Exchange MAPI サポートの場合 ユーザはマシン上で最低でもパワーユーザ特権を持っている必要があります Windows XP ユーザは自分自身のマシンで管理者特権を持っている必要があります Linux (RedHat) ユーザは root として J-SAM を起動するブラウザを起動する必要があります Macintosh ユーザは J-SAM に要求されたら 管理者パスワードを入力する必要があります ユーザがマシン上で適切な特権を持っていない場合 J-SAM は自動的には hosts ファイルを編集できません したがって hostname を localhost に解決できません 適切な特権がないユーザは 代わりに以下の手順を行います アプリケーションサーバを localhost に解決するように ユーザは外部 DNS サーバを設定できます アプリケーションサーバの hostname の代わりに localhost アドレスを使用するように 外部 DNS サーバを設定する場合 リモートユーザは マシンが企業 DNS から DNS サーバを検索するように順番を設定する必要があります etc ディレクトリと etc\hosts ファイルでアクセス制限を緩和して J-SAM が必要な修正を実行できるようにします IVE が割り当てた localhost アドレスを使用するように ユーザはクライアントアプリケーションを設定できます この場合 一般的に アプリケーションサーバの hostname をクライアントアプリケーションに指定します 詳細については 91 ページの IVE が割り当てたループバックアドレスを確認する を参照してください

103 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 91 Linux ユーザと Macintosh ユーザの特権ポートアクセス Linux ユーザは root としてマシンにログインしていない限り 1024 よりも下のポートにアクセスできません Macintosh ユーザは J-SAM に要求されたときに 管理者パスワードを入力しない限り 1024 よりも下のポートにアクセスできません telnet など 特権ポート (1024 よりも下のポート ) で実行するアプリケーションをサポートするには 次の手順に従います ユーザは root として J-SAM を起動するブラウザを起動できます 管理者またはユーザは アプリケーションを [Client Applications] リストに追加すれば ポート 1024 以上のクライアントポート番号を指定できます たとえば telnet アプリケーションにクライアントポート 2041 サーバポート 23 を指定した場合 アプリケーションを実行するコマンドは 次のようになります telnet loopbackip 2041 loopbackip は IVE がアプリケーションサーバに割り当てたループバック IP アドレスです J-SAM は telnet アプリケーションからのトラフィックをポート 2041 で待ち受けし これを IVE に転送します 次に IVE は送信先サーバのポート 23 にこのトラフィックを転送します IVE が割り当てたループバックアドレスを確認する方法については 91 ページの IVE が割り当てたループバックアドレスを確認する を参照してください IVE が割り当てたループバックアドレスを確認する ポート転送用に追加するアプリケーションのために ユーザは企業 DNS サーバを変更できません ユーザは通常 サーバ hostname を入力しますが J-SAM によってプロキシを実行するアプリケーションをユーザが指定できるように設定した場合 IVE が割り当てた localhost アドレスを使用するように ユーザはクライアントアプリケーションを設定する必要があります J-SAM ブラウザウィンドウの [Details] ウィンドウには IVE が割り当てたループバック IP アドレスとユーザが指定したポートが表示されます IVE の [Client Applications] ページで指定したアプリケーションに対して IVE が割り当てた IP アドレスを確認するには アプリケーションを追加した後で ユーザはセキュアアプリケーションマネージャを再起動する必要があります アプリケーションに割り当てられたループバックアドレスは セキュアアプリケーションマネージャブラウザウィンドウの [Details] ウィンドウに表示されます

104 92 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 9: セキュアアプリケーションマネージャの [Details] ウィンドウ (J-SAM) クライアントアプリケーションでは ユーザは IVE が割り当てたループバックアドレスをアプリケーションサーバとして入力する必要があります たとえば ユーザが社内ファイアウォールの内側にある telnet サーバにアクセスしたい場合は 次の手順に従う必要があります 1. IVE の [Client Applications] ページで [Add Application] をクリックします 2. [Add Application] ページで 次のように指定します [Remote Server] フィールドに terminalserver.netscreen.com など サーバの完全修飾ドメイン名または IP アドレスを入力します [Client Port] フィールドに 3389 など J-SAM がサーバへのクライアントトラフィックを待ち受けする必要のあるポートを入力します [Server Port] フィールドに 3389 など リモートサーバがクライアントアプリケーション (J-SAM) からのトラフィックを待ち受けする必要のあるポートを入力します 3. [Add] をクリックして設定を保存します 4. セキュアアプリケーションマネージャブラウザウィンドウを閉じます 5. IVE の [Client Applications] ページで [Start Session] をクリックして セキュアアプリケーションマネージャを再起動します 6. セキュアアプリケーションマネージャブラウザウィンドウで [Details] をクリックします 7. [Details] タブで など IVE がリモートサーバに割り当てたループバックアドレスを確認します 8. リモートデスクトップ接続などのクライアントアプリケーションでは サーバの設定フィールドでループバックアドレスを指定します アプリケーションが変われば このフィールドが表示される場所も変わります ユーザはセットアップウィザードまたはその他の設定ダイアログでこの情報を入力できます

105 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 93 MS Exchange のサポートの強化 リモートユーザは PC にある Microsoft Outlook クライアントを使用して IVE を通じて E メール カレンダー その他の Outlook 機能にアクセスできます この機能では Outlook クライアントの変更は必要なく VPN など ネットワークレイヤー接続も必要がありません この機能に必要なのは Microsoft JVM または Sun JVM がクライアント PC にインストールされており Windows 2000 (Internet Explorer 5.5 または 6.0) の PC でサポートされていることです またこの機能は Windows 98 (Internet Explorer 5.5) あるいは Windows XP (Internet Explorer 6.0) の PC とも互換性があります リモートユーザがこの機能を使用するには Outlook クライアントに対してトラフィックを安全に仲介するために ユーザ PC のネットワーク設定によって Outlook クライアントに指定された Exchange サーバ名をローカル PC ( デフォルトの localhost IP アドレス ) に解決する必要があります 自動ホストマッピングオプションを使用して クライアントコンピュータ上の hosts ファイルを一時的に更新することで Exchange サーバの hostnames を自動的に localhost に解決するように IVE を設定することをお勧めします J-SAM を使用したクライアント / サーバの通信 以下の図では IVE を通じた Outlook クライアントと Exchange サーバの通信を説明します この図では 自動ホストマッピングを実行するように IVE が設定されていると仮定しています 1. ユーザは MS Outlook クライアントを起動します Outlook は Exchange サーバ exchange1.yourcompany.com との接続を試みます IVE は hosts ファイルの一時的な変更によって Exchange サーバのホスト名を (localhost) に解決します 2. Outlook はユーザの PC で実行しているセキュアアプリケーションマネージャに接続して E メールのリクエストの送信を開始します 3. セキュアアプリケーションマネージャは Outlook クライアントからのすべてのリクエストをカプセル化し SSL を使用して IVE に転送します 4. IVE はクライアントデータのカプセル化を解除して MAPI リクエストをチェックし 送信先である Exchange サーバを確認します そして このリクエストは送信先サーバに転送されます 5. MAPI プロトコルの各リクエストには リクエストの送信先となるサーバが指定されています MAPI リクエストをセキュアアプリケーションマネージャから受信すると IVE サーバは各リクエストをチェックして 適切な送信先サーバに振り分けます 複数の Exchange サーバがある場合でも このプロセスは透過的に実行されます 6. Exchange サーバは E メールデータで IVE に応答します 7. IVE は Exchange サーバからのレスポンスをカプセル化し SSL を使用してセキュア アプリケーションマネージャに転送します

106 94 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 8. セキュアアプリケーションマネージャは IVE から送信された情報のカプセル化を解除し Exchange サーバから Outlook クライアントへ通常の MAPI レスポンスを転送します 図 10: Java セキュアアプリケーションマネージャと強化された MS Exchange のサポートこの図には MS Outlook クライアントのために自動ホストマッピングを使用するように設定された IVE を示します Windows レジストリの更新 セキュアアプリケーションマネージャを起動すると これはユーザの Windows レジストリ設定 Rpc_Binding_Order を更新します Outlook クライアントをインストールし クライアントが Exchange サーバとの通信に使用するプロトコルの順番を決定すると この設定がレジストリに追加されます この設定の元の値は 次のとおりです ncalrpc,ncacn_ip_tcp,ncacn_spx,ncacn_np,netbios,ncacn_vns_spp セキュアアプリケーションマネージャを最初に使用した後 この値は次のようになります ncalrpc,ncacn_http,ncacn_ip_tcp,ncacn_spx,ncacn_np,netbios,ncacn_vns_spp Rpc_Binding_Order の変更は セキュアアプリケーションマネージャの動作に影響するだけで ユーザの PC には影響を及ぼしません 重要 : セキュアアプリケーションマネージャの Java バージョンで Outlook クライアントを使用する場合 Windows PC ユーザは管理者特権を持っている必要があります

107 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 95 Lotus Notes のサポートの強化 リモートユーザは PC にある Lotus Notes クライアントを使用して IVE を通じて E メール カレンダー その他の機能にアクセスできます この機能では Lotus Notes クライアントの変更は必要なく VPN など ネットワークレイヤー接続も必要ありません この機能に必要なのは Microsoft JVM または Sun JVM が Windows 2000(Internet Explorer 5.5 または 6.0) の PC でサポートされていることです J-SAM を使用したクライアント / サーバの通信 リモートユーザがこの機能を使用するには [Remote Location] の設定として localhost を使用するように Lotus Notes クライアントを設定する必要があります このように設定すると Lotus Notes クライアントからの接続要求がセキュアアプリケーションマネージャによって受信されます 以下の図は IVE を経由した Lotus Notes クライアントと Lotus Notes サーバの間での通信を示します 1. ユーザは [Home Location] 設定で Lotus Notes クライアントを起動します クライアントは [Home Location] としてプロキシ設定 ( つまり ユーザの PC である localhost) を参照します 2. Lotus Notes クライアントがセキュアアプリケーションマネージャに接続し E メール要求の送信を開始します 3. セキュアアプリケーションマネージャは Lotus Notes クライアントからの要求をカプセル化し SSL を介して IVE に転送します 4. IVE はクライアントデータのカプセル化を解除して Lotus Notes リクエストをチェックし 送信先である Lotus Notes サーバを確認します そして このリクエストは送信先サーバに転送されます Lotus Notes プロトコルの要求にはそれぞれ その要求の送信先サーバが暗号化されて含まれています Lotus Notes からの要求をアプリケーションプロキシから着信した場合 IVE サーバは要求から送信先サーバの情報を取得して その要求を適切な送信先サーバに配信します したがって 1 人のユーザが複数の Lotus Notes サーバにアクセスした場合でも この機能は透過的に動作します 5. Lotus Notes サーバが応答として E メールデータを IVE に送信します 6. IVE は Lotus Notes サーバからの応答をカプセル化し SSL を介してセキュアアプリケーションマネージャに転送します 7. セキュアアプリケーションマネージャは IVE から送信された情報のカプセル化を解除し Lotus Notes サーバからの応答を Lotus Notes クライアントに転送します

108 96 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 11: Java セキュアアプリケーションマネージャと強化された Lotus Notes のサポート この図は localhost に設定する必要がある Lotus Notes クライアントの [Remote Location] 値を示します Citrix NFuse のサポートの強化 ユーザが Nfuse サーバをブラウジングして アプリケーションを選択すると Nfuse サーバはクライアントに ICA ファイルを送信します IVE は ICA ファイルを書き直し ホスト名と IP アドレスを事前設定された localhost IP アドレスに置き換えます ICA クライアントはアプリケーション要求をいずれかの localhost IP アドレスに送信します セキュアアプリケーションマネージャはデータをカプセル化し IVE に送信します IVE はデータのカプセル化を解除して ポート 1494 を使用して適切な MetaFrame サーバに送信します サポートリスト MetaFrame TM サーバ : バージョン 1.8 XP 1.0 ( サービスパック 1 および 2 を含む ) NFuse Web サーバ : バージョン および 1.7 ICA クライアント : Windows 32 ビット :PN クライアントバージョン 7.0 および Web クライアントバージョン 6.3 IVE のこのバージョンでは MetaFrame サーバ上のアプリケーションを Program Neighborhood のユーザに表示する検出メカニズムをサポートしていないため Program Neighborhood のユーザは PN クライアントを使用するときにアクセスするサーバとアプリケーションを指定する必要があります

109 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 97 Java: スタンドアロンクライアントの場合はバージョン 6.2 アプレットモードの場合はバージョン 6.2 および 6.3 Java クライアントのアプレットモードを使用する場合は [Web] [General] ページで Java アプレットのサポートを有効にしてください 注意 : IVE は CSG を配置する代わりとしての役割を果たします

110 98 NetScreen Instant Virtual Extranet アプライアンス管理ガイド

111 99 第 3 章 IVE の設定 ここでは Access Series 製品の設定と保守について説明します 目次 [Status] ページの設定 [Schedule] ページの設定 [Configuration] ページの設定 [Network] ページの設定 [Clustering] ページの設定 ログと監視の概要 [Signing-in] ページの設定 認証領域の設定 [Delegation] ページの設定 [Roles] ページの設定 [New User] ページの設定 [Web] ページの設定 [Files] ページの設定 [SAM] ページの設定 [Telnet/SSH] ページの設定 [Network Connect] ページの設定 [Meetings] ページの設定 [ Client] ページの設定 [System] ページの設定 [Import/Export] ページの設定 [Push Config] ページの設定 [Archiving] ページの設定 [Troubleshooting] ページの設定

112 100 NetScreen Instant Virtual Extranet アプライアンス管理ガイド

113 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 101 [Status] ページの設定 [System] [Status] ページには 次のタブがあります [Overview] タブ [Active Users] タブ [Meeting Schedule] タブ 次の操作を行うには [System] [Status] ページタブを使用します システム許容能力の表示 システム許容能力の使用状況グラフを設定する 重要なシステムイベントの表示 現在のサービスパッケージのダウンロード システムの日付と時刻の変更 IVE にサインインしたユーザの監視 IVE スケジュールされたミーティングの表示と取り消し [Overview] タブ Web コンソールにサインインして [System] [Status] ページを選択すると [Overview] タブが表示されます このタブには IVE サーバおよびシステムユーザに関する詳細情報が表示されます 他の Web コンソールページで変更を行うと [Overview] タブの対応する情報が自動的に更新されます 注意 : [System] [Status] タブの読み取り特権や書き込み特権を持たない委任管理者を含めて すべての管理者にとって このタブはホームページとなります このページを使用して 次の操作を実行できます システム許容能力の表示 システム許容能力の使用状況グラフを設定する 重要なシステムイベントの表示 現在のサービスパッケージのダウンロード システムの日付と時刻の変更

114 102 NetScreen Instant Virtual Extranet アプライアンス管理ガイド システム許容能力の表示 Access Series アプライアンスと Meeting Series アプライアンスのセントラルマネージャダッシュボードは 間単に表示できるグラフでシステム許容能力の使用状況を示すので 日常的にどれだけのシステム許容能力を使用しているのか理解できます グラフを提供します この情報を他の場所へのデータ送信に使用するには [Maintenance] [Import/Export] [Configuration] ページのオプションを使用して XML ファイルとしてエクスポートします Web コンソールを開いて [System] [Status] [Overview] タブを選択すると これらのグラフが表示されます そして 次の情報を簡単に表示できます [Concurrent Users] このグラフは IVE にサインインしているユーザ数を示します クラスタ環境では グラフに 2 行が表示されます 最初の行は ドロップダウンリストから選択したノードにサインインしているローカルユーザ数を示します 2 番目の行は クラスタ全体にサインインしている同時使用ユーザ数を示します [Concurrent Meetings]( セキュアミーティングアプライアンスのみ ) このグラフは 現在進行中のミーティングの数を示します クラスタ環境では グラフに 2 行が表示されます 最初の行は ドロップダウンリストから選択したノードで実行中のミーティングの数を示します 2 番目の行は クラスタ全体で実行中のミーティングの数を示します [Hits Per Second] このグラフは IVE が現在処理中のヒットの数を示します クラスタ環境では グラフに表示するノードのデータを決定するために ドロップダウンリストから IVE を選択することができます グラフには 4 行 ( ヒットの数 Web ヒットの数 ファイルヒットの数 クライアント / サーバヒットの数 ) が表示されます [CPU and Memory Usage] このグラフは 現在使用中の CPU の使用率と利用可能なメモリを示します クラスタ環境では グラフに表示するノードのデータを決定するために ドロップダウンリストから IVE を選択することができます [Throughput] このグラフは 現在処理中のデータの量を (KB 単位で ) 示します クラスタ環境では グラフに表示するノードのデータを決定するために ドロップダウンリストから IVE を選択することができます グラフには 4 行 ( 外部入力 外部出力 内部入力 内部出力 ) が表示されます また [Page Settings] ウィンドウを使用すると IVE がダッシュボードに表示するグラフを設定したり IVE が追跡する期間を指定できます

115 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 103 図 12:[System] [Status] [Overviews] ページ

116 104 NetScreen Instant Virtual Extranet アプライアンス管理ガイド システム許容能力の使用状況グラフを設定する システム許容能力の使用状況グラフを設定するには 次の操作を実行します 1. Web コンソールで [System] [Status] [Overviews] を選択します 2. [Page Settings] をクリックします 3. 表示する使用状況グラフを選択します 4. グラフに表示する期間を選択します グラフの期間は 1 時間から 1 年まで選択できます 5. グラフを更新する頻度を指定します 6. [Save Changes] をクリックします 図 13:[System] [Status] [Overviews] [Page Settings] 重要なシステムイベントの表示 Access Series アプライアンスと Meeting Series アプライアンスのセントラルマネージャのダッシュボードでは 簡単に 10 個の重要な最新システムイベントを表示できます [Event Monitor] ウィンドウを使用すると システムの重要な問題に簡単にアクセスして 解決に取り組むことができます Web コンソールを使用して標準的な保守や設定タスクを実行しているときでも [Event Monitor] ウィンドウを開けば このウィンドウによって 引き続きシステムイベントを監視できます 重要なシステムイベントを素早く確認するには 次の操作を実行します 1. Web コンソールで [System] [Status] [Overviews] を選択します 2. [Critical Events] をクリックします [Event Monitor] ウィンドウには システムのログファイルに記録された重要なイベントについて その重要度やメッセージが表示されます

117 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 最新のイベントを表示するには [Refresh] をクリックしてください ( オプション ) 4. [See All] をクリックして [System] [Log/Monitoring] [Events] [Log] タブを表示します このタブには 情報イベントから重要イベントまで すべてのイベントが表示されます ( オプション ) 詳細については 152 ページの [Log Monitoring] ページの設定 を参照してください 図 14:[System] [Status] [Overviews] [Critical Events] 現在のサービスパッケージのダウンロード [System] [Status] [Overview] タブでは IVE に現在インストールされているサービスパッケージをダウンロードできます したがって これを保存して別の IVE に簡単にインストールできます 現在のサービスパッケージをダウンロードするには 次の操作を実行します 1. Web コンソールで [System] [Status] [Overviews] を選択します 2. [Download Package]( セントラルマネージャバージョン ) または [System Software Pkg Version] の横にあるリンクをクリックします 3. [Save] をクリックします 4. サービスパッケージの名前と場所を指定します 5. [Save] をクリックします 図 15:[System] [Status] [Overviews] [Download Package]

118 106 NetScreen Instant Virtual Extranet アプライアンス管理ガイド システムの日付と時刻の変更 システムイベントやユーザファイルの転送を正確に記録するには サーバの時刻を設定する必要があります Network Time Protocol(NTP) サーバを使用して IVE を一連のコンピュータと同期させることができます また IVE の時刻を手動で設定することもできます システムの日付と時刻を変更するには 次の操作を実行します 1. Web コンソールで [System] [Status] [Overview] を選択します 2. [System Date & Time] セクションで [Edit] をクリックします 3. [Time Zone] メニューからタイムゾーンを選択します サマータイムに該当する場合 IVE は 時刻を自動的に調整します 4. 次のいずれかの方法でシステム時刻を設定します NTP サーバを使用する方法 [Use NTP server] オプションを選択し サーバの IP アドレスまたは名前を入力して 更新間隔 (Update Interval) を指定します 手動による時刻の設定 [Set Time Manually] オプションを選択して 日時の値を入力します また [Get from Browser] をクリックして [Date] フィールドと [Time] フィールドに入力することもできます 5. [Save Changes] をクリックします

119 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 107 図 16:[System] [Status] [Overviews] [Date & Time] ページ [Active Users] タブ IVE にサインインしたユーザの監視 IVE IVE にサインインしたユーザを監視するには [Active Users] ページを使用します 各ユーザの名前 認証領域 ロール およびサインイン時間がリストされます 注意 : IVE は セキュアミーティングに出席するために IVE にサインインしている非 IVE ユーザの [Realm] 列と [Role] 列に N/A を表示します IVE にサインインしたユーザを監視するには 次の操作を実行します 1. Web コンソールで [System] [Status] [Active Users] を選択します 2. 次のタスクを実行します ( オプション ) IVE セッションからのユーザのサインアウト 1 人以上のエンドユーザまたは管理者を強制的にサインアウトさせるには 該当する名前の隣にあるチェックボックスをオンにして [Delete Session] をクリックします

120 108 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 現在サインインしている全エンドユーザを強制的にサインアウトさせるには [Delete All Sessions] をクリックします ( 管理者をサインアウトさせたい場合は 彼らを個別に選択して [Delete Session] ボタンを使用する必要があるのでご注意ください ) データの表示と順序の設定 特定のユーザを表示するには [Show Users Named] フィールドにユーザ名を入力して [Update] をクリックします ユーザの正確なユーザ名が分からない場合は ワイルドカード文字の * を使用します たとえば Joseph Jones という名前のユーザが存在しており 彼のユーザ名が Joe だったか Joseph だったか思い出せない場合 [Show Users Named] フィールドに Jo* と入力します これで IVE には ユーザ名が jo で始まるすべてのユーザがリストされます [Active Users] ページに表示するユーザと管理者の人数を設定するには [Show N users] フィールドに人数を入力し [Update] をクリックします 現在サインインしているユーザおよび管理者の表を並び替えるには 列のヘッダをクリックします ページの内容を更新するには [Update] をクリックします 関連タブのリンク ユーザの認証領域を編集するには 名前の横にある [Realm] リンクをクリックし 225 ページの 認証領域の設定 の説明に従ってください ユーザのロールを編集するには 名前の横にある [Role] リンクをクリックし 218 ページの [Delegation] ページの設定 ( 管理者の場合 ) または 236 ページの [Roles] ページの設定 ( エンドユーザの場合 ) で説明している手順を実行してください 図 17:[System] [Status] [Active Users]

121 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 109 [Meeting Schedule] タブ スケジュールされたミーティングの表示と取り消し IVE で現在スケジュールされている全ミーティングを表示したり 必要に応じてミーティングをキャンセルするには [Meeting Schedule] ページ (Access Series アプライアンス ) または [Schedule] ページ (Meeting Series アプライアンス ) を使用します ( セキュアミーティングのオプションの説明については 13 ページの セキュアミーティングの概要 を参照してください ) スケジュールされたミーティングの表示と取り消し 1. Web コンソールで [System] [Status] [Meeting Schedule](Access Series アプライアンス ) または [System] [Schedule](Meeting Series アプライアンス ) を選択します IVE では 現在実行中またはスケジュールされているすべてのミーティングに関する情報がリアルタイムで表示されます 時刻とステータス実行するようにスケジュールされているミーティングの時間と期間だけでなく ミーティングの現在の状態も表示します ミーティング詳細ミーティング名 ID およびパスワード要件を表示します この列には ミーティングに関する情報を表示したり ミーティングに参加するために使用することができる [Details] リンクも含まれています ミーティングロール ミーティング作成者のロールを表示します 作成者がミーティングを作成したときに 複数のロールにサインインしていた場合 ( つまり 作成者が複数のロールのメンバで アプライアンスが結合許可に設定されている場合 ) セキュアミーティングは 267 ページの ユーザーロールのミーティング機能の有効化および設定 に説明されているガイドラインに従ってロールを選択します 参加者ロールミーティングにサインインしている参加者のロール 各ロールにサインインしている参加者の数 および各ロールのミーティング参加者の上限を表示します 参加者をロールに割り当てる方法とロールごとの上限を設定する方法については 267 ページの ユーザーロールのミーティング機能の有効化および設定 を参照してください 2. ミーティング画面を変更するには 以下のいずれかの方法を実行します ( オプション ) 表示するミーティングを制御するには グループタブ (Meeting Series アプライアンス ) から またはドロップダウンリスト (Access Series アプライアンス ) から 期間 ([Daily] [Weekly] [In Progress] [Scheduled]) を選択します

122 110 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 下線が表示された列のヘッダをクリックすると 現在表示されているミーティングを並び替えることができます 3. ミーティングの情報を表示したり ミーティングに参加する ( オプション ) には ミーティングの下にある [Details] リンクをクリックします 4. ミーティングをキャンセルするには 右側の列にある削除アイコンをクリックします ( オプション ) 重要 : キャンセルしたミーティングは IVE から永久に削除されるため キャンセル後はミーティングを復元できません 図 18:[System] [Status] [Meeting Schedule]

123 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 111 [Schedule] ページの設定 IVE で現在スケジュールされている全ミーティングを表示したり 必要に応じてミーティングをキャンセルするには [Schedule] ページ (Meeting Series アプライアンス ) を使用します 詳細については 109 ページの [Meeting Schedule] タブ を参照してください

124 112 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Configuration] ページの設定 [System] [Configuration] ページには 次のタブがあります [Licensing] タブ [Security] [Security Options] タブ [Security] [Host Checker] サブタブ [Security] [Cache Cleaner] タブ [Certificates] [Server Certificate] タブ [Certificates] [CA Certificate] タブ [Certificates] [Applet Certificates] タブ 次の操作を行うには [System] [Configuration] ページタブを使用します IVE ライセンスの入力または更新 システム全体のセキュリティオプションの設定 グローバルなホストチェッカポリシーの作成 グローバルな Cache Cleaner 設定の指定 既存のサーバ証明書と秘密鍵のインポート 既存の秘密鍵を使用する更新されたサーバ証明書のインポート 新しいサーバ証明書の証明書署名要求 (CSR) の作成 CSR から作成された署名付きサーバ証明書のインポート クライアントサイド証明書を確認するためのルート証明書のインポート コード署名証明書のインポート [Licensing] タブ IVE では 初めに IVE 1 への基本的なアクセスを可能とするライセンスが提供されます ただし システムを完全に活用するには Web コンソールにサインインして NetScreen から電子メールで送信されたライセンスを入力する必要があります この電子メールには 最大 3 種類のライセンスが含まれています 製品ライセンス - 製品ライセンスによって クラスタに組み込める IVE の数 システムにサインインできる同時ユーザの数が決まります たとえば 特定の製品ライセンスでは A5000 ユニットの 4 ユニットクラスタ 2,500 人の同時ユーザで環境を構築できます 1. 基本 IVE ライセンスでは 5 つのローカルユーザアカウントを作成でき 2 ユーザが同時にサインインできます また基本的な Web Windows および UNIX/NFS ファイルブラウジング機能を提供します

125 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 113 アップグレードパッケージライセンス - アップグレードパッケージライセンスでは さまざまな機能を使用できます たとえば セントラルマネージャライセンスの場合 システムの許容能力を監視する IVE ダッシュボード機能 特定の IVE から別の IVE に設定を簡単にプッシュするプッシュ設定機能 アップグレードを高速化するゼロダウンタイム機能 バックアップファイルをローカルに保存するバックアップ機能 ログファイルの形式をカスタマイズするログレポーティング機能を使用できます アップグレード機能ライセンス - アップグレード機能ライセンスでは 個々の機能を使用できます たとえば セキュアターミナルライセンスでは ユーザ PC から Telnet や SSH を通じてホストサーバにセキュアにアクセスできます [System] [Configuration] [Licensing] タブでは サイトのライセンスコードの入力 有効期限の表示 これらの削除 ( 必要な場合 ) を実行します 注意 : ライセンスを送信する前に [Licensing] タブで表示できる使用許諾条件を必ず読んでください [Licensing] タブで表示される使用許諾条件は 最初のセットアップ時にシリアルコンソールで表示されるテキストと同じです IVE ライセンスの入力または更新 IVE のライセンス情報を入力または更新するには 次の操作を実行します 1. Web コンソールで [System] [Configuration] [Licensing] を選択します 2. [license agreement] リンクをクリックします 使用許諾条件を読んで 同意する場合には次の手順に進みます 3. 会社名とライセンスキーを入力して [Save Changes] をクリックします

126 114 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 19:[System] [Configuration] [Licensing]

127 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 115 [Security] [Security Options] タブ [System] [Configuration] [Security] [Security Options] タブを使用して IVE のデフォルトのセキュリティ設定を変更します デフォルトのセキュリティ設定は 最大限のセキュリティを提供するように配慮されているため 変更しないことをお勧めします ただし ユーザが特定のブラウザを使用できない場合や 特定の Web ページにアクセスできない場合には デフォルト設定を変更する必要があります システム全体のセキュリティオプションの設定 特定の Web ページにアクセスするときにブラウザ問題が発生した場合には 次の設定を調整してみてください [Allowed SSL and TLS Version] NetScreen IVE サーバでは デフォルトで SSL バージョン 3 と TLS を使用するように設定されています 以前のブラウザでは SSL バージョン 2 を使用します ユーザはブラウザをアップデートするか SSL のバージョン 2 とバージョン 3 の両方に対応できるように設定を変更する必要があります [Allowed Encryption Strength] NetScreen IVE サーバのデフォルト設定では 128 ビット暗号化を使用する必要があります また IVE で 168 ビットの暗号化を必要とするよう指定することもできます 米国輸出規制法が改定される前までは海外輸出用に 40 ビットサイファー暗号化の使用が許されていたため 2000 年以前のブラウザでは 40 ビット暗号化を使用できます ユーザは 128 ビット暗号化に対応するブラウザにアップデートするか 40 ビット暗号化にも対応するように暗号化強度の設定を変更する必要があります [Browsing to SSL Sites] NetScreen IVE サーバのデフォルト設定では 内部 SSL サイト ( アドレスの冒頭に https:// が付くサイト ) のブラウジングが許可され ( 一時証明書またはその他の ) すべての証明書が受け入れられます ユーザが IVE を通じて 正当な外部認証局が発行した証明書のないサイトをブラウジングするのを禁止するには この機能を無効にします [Basic Authentication Intermediation] NetScreen Instant Virtual Extranet サーバは ユーザ証明書を仲介して ユーザがキャッシュに入っている別のユーザの証明書を通じてリソースにアクセスするのを防止することができます また IVE ではユーザ証明書を再利用して 他のイントラネットサイトのシングルサインインを可能にすることもできます シングルサインインオプションを選択した場合 証明書の受け渡しは自社のイントラネット内のみに制限されます [NetScreen Communication Protocol (NCP) for Client-Server applications] Instant Virtual Extranet は NetScreen Communication Protocol(NCP) を使用して IVE サーバと一部のクライアントアプリケーションの通信を確立します クライア

128 116 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ントアプリケーションには セキュアミーティング W-SAM(Windows version of Secure Application Manager) ネットワークコネクトなどがあります IVE は optimized NCP(oNCP) と標準的な NCP の 2 バージョンのプロトコルを使用できます [Auto-select Enabled] を選択すると IVE はほとんどのクライアント / サーバ通信に oncp を使用してシステムのパフォーマンスを最適化し 必要に応じて標準的な NCP の使用に切り替えます 1 図 20:[System] [Configuration] [Security] [Security Options] 1. 主に 直接的なソケット接続を確立できないときに ( 通常 プロキシが存在するため ) IVE は標準的な NCP に切り替わります

129 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 117 [Security] [Host Checker] サブタブ [System] [Configuration] [Security] [Host Checker] タブを使用して 認証ポリシー ( 認証領域用 ) ロールのマッピング規則 およびリソースポリシーで参照できるグローバルなホストチェッカポリシーを作成します 詳細については 74 ページの ホストチェッカの概要 を参照してください グローバルなホストチェッカポリシーの作成 グローバルなホストチェッカポリシーを作成するには 次の操作を実行します 1. Web コンソールで [System] [Configuration] [Security] [Host Checker] を選択します 2. [Security] [Host Checker] タブで ホストチェッカポリシーの名前を入力し [Continue] をクリックします 3. [Host Checking Method] で 次のオプションをいくつでも選択します [Sygate Enforcement API] このオプションは クライアントマシンに Sygate Personal Firewall 製品がインストールされていることを要求します [Sygate Security Agent] このオプションは クライアントマシンに Sygate Security Agent がインストールされていることを要求します [Zone Labs: Zone Alarm Pro and Zone Labs Integrity] このオプションは Zone Alarm Pro または Zone Labs Integrity のいずれかがクライアントマシンにインストールされていることを要求します [McAfee Desktop Firewall 8.0] このオプションは クライアントマシンに McAfee Desktop Firewall 8.0 がインストールされていることを要求します [InfoExpress CyberGatekeeper Agent] このオプションは クライアントマシンに InfoExpress CyberGatekeeper Agent がインストールされていることを要求します 4. [Rule Settings] で ホストチェッカに適用する規則を作成します 1 ドロップダウンリストから規則の種類を選択し [Add] をクリックします ( 詳細は 75 ページの グローバルなホストチェッカポリシーの作成 を参照してください ) 2 [Add Attribute Check] ダイアログで 規則に必要な情報を入力します [Custom NHC Integration] で DLL の名前と クライアントマシンでの DLL の場所 ( パスとファイル名 ) を入力します

130 118 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Attribute Check: Ports] で ポートまたはポートの範囲をカンマで区切ったリストを入力します たとえば 1234, , 1235 など クライアントマシンでこれらのポートが開いていることを要求するには [Required] を選択します ポートが閉じていることを要求するには [Deny] を選択します [Attribute Check: Process] で プロセス ( 実行形式ファイル ) の名前を入力します たとえば good-app.exe など このプロセスをタスクマネージャで実行することを要求するには [Required] を選択します このプロセスを実行しないことを要求するには [Deny] を選択します また 実行形式ファイルの MD5 チェックサム値を指定することもできます [Attribute Check: File] で ファイル ( 任意の種類のファイル ) の名前を入力します たとえば \Temp\Bad-file.doc など このファイルがクライアントマシンに存在することを要求するには [Required] を選択します このファイルが存在しないことを要求するには [Deny] を選択します また このファイルの MD5 チェックサム値を指定することもできます [Attribute Check: Registry Setting] で クライアントマシンが所有する必要のあるレジストリ値を入力します オプションには次のものがあります [Registry Root Key]-ドロップダウンリストからルートキーを選択します ( 必須 ) [Registry Subkey]- アプリケーションフォルダのパスを入力します ( 必須 ) [Name]- 要求したいキーの値の名前を入力します この名前は レジストリエディタの [Name] 列に表示されます ( オプション ) [Type]- キー値の種類 たとえば String Binary または DWORD この種類は レジストリエディタの [Type] 列に表示されます ( オプション ) [Value]- キーの値の値 この情報は レジストリエディタの [Data] 列に表示されます ( オプション ) 注意 : Key と Subkey のみを指定した場合 ホストチェッカは レジストリで Subkey フォルダが存在するかどうかを検証するだけです 3 ダイアログで [Save Changes] をクリックします 5. ホストチェッカ [Configuration] ページで [Save Changes] をクリックして ホストチェッカポリシーを作成します

131 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 119 図 21:[System] [Configuration] [Security] [Host Checker]

132 120 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Security] [Cache Cleaner] タブ [System] [Configuration] [Security] [Cache Cleaner] タブを使用して Cache Cleaner がその状態の IVE を実行および更新する頻度を指定します 詳細については 53 ページの Cache Cleaner の概要 を参照してください グローバルな Cache Cleaner 設定の指定 グローバルな Cache Cleaner 設定を指定するには 次の操作を実行します 1. Web コンソールで [System] [Configuration] [Security] [Cache Cleaner] を選択します 2. [Security] [Cache Cleaner] タブで 以下を指定します [Cleaner Frequency] Cache Cleaner を実行する頻度 [Status Update Frequency] Cache Cleaner が自身を更新することを IVE が求める頻度 3. Cache Cleaner [Configuration] ページで [Save Changes] をクリックして これらの設定を一括で保存します 図 22:[System] [Configuration] [Security] [Cache Cleaner]

133 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 121 [Certificates] [Server Certificate] タブ [System] [Configuration] [Certificates] [Server Certificate] タブを使用して 電子サーバ証明書ファイルと対応する鍵を IVE にインポートします サーバ証明書を使用すると IVE との間のネットワークトラフィックをセキュアにできます 電子サーバ証明書をすでに購入してある場合には 証明書ファイルと対応する鍵を IVE にインポートします このタブを使用して 既存の秘密鍵に基づいて更新された証明書をインポートしたり CA に送信した証明書署名要求に基づく証明書をインポートしたりすることもできます 詳細については 57 ページの サーバ証明書 を参照してください ここでは 次のタスクを実行します 既存のサーバ証明書と秘密鍵のインポート 既存の秘密鍵を使用する更新されたサーバ証明書のインポート 新しいサーバ証明書の証明書署名要求 (CSR) の作成 CSR から作成された署名付きサーバ証明書のインポート 既存のサーバ証明書と秘密鍵のインポート Apache や IIS Sun ONE( 以前の iplanet) または Netscape などのサーバから Web サーバ証明書を作成して その証明書を IVE にインポートすることができます 電子サーバ証明書と鍵をエクスポートするには Web サーバの証明書のエクスポート方法を参照して その説明に従ってください 重要 : 証明書をインポートする場合 証明書を暗号化して 証明書と一緒にパスワードをエクスポートする必要があるのでご注意ください また Web サーバ証明書の秘密鍵を Access Series FIPS マシンにインポートすることはできません 秘密鍵は非 FIPS 準拠の環境で作成されるからです ただし 別の NetScreen IVE Access Series マシンから セキュリティワールドと一緒に証明書鍵をインポートすることはできます 詳細については 326 ページの システム設定ファイルのインポート を参照してください 既存の電子サーバ証明書と秘密鍵をインポートするには 次の操作を実行します 1. Web コンソールで [System] [Configuration] [Certificates] [Server Certificate] を選択します 2. [Import / Renew] をクリックします 3. 証明書をインポートするためのフォームを次の中から選択します 証明書と鍵が 1 つのファイルに入っている場合は [Certificate file includes private key] フォームを使用します 証明書と鍵が別のファイルに入っている場合は [Certificate and private key are separate files] フォームを使用します

134 122 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 4. 該当するフォームで 証明書と鍵が入ったファイルを参照します ファイルが暗号化されている場合は パスワードキーを入力します 5. [Import] をクリックします 図 23:[System] [Configuration] [Certificates] [Server Certificate] [Import / Renew]

135 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 123 既存の秘密鍵を使用する更新されたサーバ証明書のインポート サーバ証明書を更新するには 2 つの方法があります 新しい CSR を CA に送信する方法 CA によって新しい証明書と秘密鍵が生成され 古い秘密鍵が廃棄されるため 証明書を更新する方法としては安全です この更新方法を使用するには まず Web コンソールを通じて CSR を作成する必要があります 124 ページの 新しいサーバ証明書の証明書署名要求 (CSR) の作成 を参照してください 重要 : Web サーバ証明書の秘密鍵を Access Series FIPS マシンにインポートすることはできません 秘密鍵は非 FIPS 準拠の環境で作成されるからです 以前に CA に送信した CSR に基づいて更新を要求する方法 CA では既存の秘密鍵を使用する証明書を発行するため 上記の方法よりも安全性は劣ります 重要 : 証明書を再発注する場合には 元の CSR で使用した情報を指定します CA では この情報をもとに既存の鍵に対応する新しい証明書を作成します 既存の秘密鍵を使用する更新されたサーバ証明書をインポートするには 次の操作を実行します 1. 以前に証明書を購入した CA の指示に従って 証明書を更新します 重要 : 元の CSR で使用した情報を指定します CA では この情報をもとに既存の鍵に対応する新しい証明書を作成します 2. Web コンソールで [System] [Configuration] [Certificates] [Server Certificate] を選択します 3. [Import / Renew] をクリックします 4. [Renew the Certificate] フォームで 更新された証明書ファイルを参照し [Update] をクリックします

136 124 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 新しいサーバ証明書の証明書署名要求 (CSR) の作成 Web サーバの電子証明書がないか Access Series FIPS システムを実行している場合には Web コンソールを通じて CSR( 証明書署名要求 ) を作成し CA に送信します Web コンソールを通じて CSR を作成すると その CSR に対応する秘密鍵がローカルで作成されます CSR を削除すると このファイルも削除されるため その CSR から生成された署名付き証明書をインストールできなくなります 重要 : 複数の CSR を同時に CA に送信しないでください 変更が重複する恐れがあります [Server Certificates] タブにある [Certificate Signing Request Details] リンクをクリックすると 前に送信した保留中の要求について詳細を表示できます 証明書署名要求を作成するには 次の操作を実行します 1. Web コンソールで [System] [Configuration] [Certificates] [Server Certificate] を選択します 2. [Pending Certificate Signing Request] の [New CSR] をクリックします 3. 必要な情報を入力して [Create CSR] をクリックします 4. 画面には CA に送る必要がある情報とその送信方法の説明が表示されます 画面の指示に従ってください CA から署名付き証明書が返送されてきたら 125 ページの CSR から作成された署名付きサーバ証明書のインポート の説明に従って 証明書ファイルをインポートします 注意 : CSR を CA に送信するときには 証明書を作成した Web サーバの種類または証明書を使用する Web サーバの種類を指定するように求められる場合があります この場合には [apache_modssl] を選択してください (apache_modssl に複数の選択肢がある場合は どれか 1 つを選択してください ) また 証明書フォーマットのダウンロードを指示された場合には 標準フォーマットを選択してください

137 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 125 図 24:[System] [Configuration] [Certificates] [Server Certificate] [New CSR] CSR から作成された署名付きサーバ証明書のインポート Web コンソールを通じて CSR を作成すると [Server Certificate] タブに [Import the Certificate for a pending CSR] フォームが表示されます CSR から作成された署名付きサーバ証明書をインポートするには 次の操作を実行します 1. Web コンソールで [System] [Configuration] [Certificates] [Server Certificate] を選択します 2. [Import the Certificate for a pending CSR] フォームで CA から受け取った証明書ファイルを参照し [Import] をクリックします

138 126 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Certificates] [CA Certificate] タブ [System] [Configuration] [Certificates] [CA Certificate] タブを使用して ルート証明書をインポートします IVE へのサインインにクライアントサイド証明書を提供するよう要求するには ルート証明書を指定する必要があります ルート証明書は ブラウザから送信された証明書の有効性を確認するのに使用します 詳細については 58 ページの クライアント証明書 を参照してください クライアントサイド証明書を確認するためのルート証明書のインポート 注意 : IVE は 中間のサーバ証明書をサポートしません 証明書チェーン ( たとえば ルート証明書のキーによって署名した中間証明書 ) を IVE にインポートすると IVE は最初の証明書だけをインポートします ユーザが IVE にアクセスを試みると 証明書には信頼性がないと警告メッセージが表示されます ( また IVE にルート証明書をインポートしても これがユーザのブラウザに組み込まれていない場合 この警告が表示されます ) ただし VeriSign の中間証明書を IVE に組み込んである場合は チェーンされた VeriSign サーバ証明書のルートをインポートしても 信頼性に関する証明書の警告メッセージが表示されないのでご注意ください ルート証明書を指定するには 次の操作を実行します 1. Web コンソールで [System] [Configuration] [Certificates] [CA Certificate] を選択します 2. [Import Certificate] をクリックします 3. ルート証明書の署名付き証明書ファイルを参照して [Import] をクリックします 4. 証明書を有効にし 選択した証明書フィールドの特定の値をオプションで要求するには [Users] [Authentication] [Authentication Policy] [Certificate] タブの設定を使用します 5. 領域レベルの証明書設定を指定するには [Users] [Authentication] [Authentication Policy] [Certificate] タブの設定を使用します 重要 : 証明書サーバを使用しない場合 領域の [Authentication Policy] ページでこのオプションを明示的に選択するまで クライアントサイド SSL 認証はオンに設定されません

139 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ロールレベルの証明書設定を指定するには [Users] [Roles] [General] [Restrictions] [Certificates] タブの設定を使用します 重要 : ロールレベルで証明書の制限を有効にするには まず証明書情報の記憶を選択するか [Users] [Authentication] [Authentication Policy] [Certificate] タブを使用して 領域レベルで証明書の制限を有効にする必要があります 図 25:[System] [Configuration] [Certificates] [CA Certificate] [Certificates] [Applet Certificates] タブ 59 ページの アプレット証明書 で説明しているように [System] [Configuration] [Certificates] [Applet Certificate] タブを使用して ユーザのためにコード署名証明書をインポートします コード署名証明書のインポート コード署名証明書をインポートするには 次の操作を実行します 1. Web コンソールで [System] [Configuration] [Certificates] [Applet Certificates] を選択します 2. [Applet Signing Certificates] の [Import Certificate] をクリックします 3. [Import Certificate] ページで 該当するコード署名証明書ファイルを参照し パスワードキー情報を入力して [Import] をクリックします

140 128 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 4. アプレット証明書によって どのリソースの署名を書き直すか指定するには [Resource Policies] [Web] [Java] [Code Signing] タブの設定を使用します 図 26:[System] [Configuration] [Certificates] [Applet Certificate]

141 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 129 [Network] ページの設定 [System] [Network] ページには 次のタブがあります [Internal Port] タブ [External Port] タブ [Static Routes] タブ [Hosts] タブ 次の操作を行うには [System] [Network] ページタブを使用します 内部ポート (LAN インターフェイス ) のネットワーク設定の変更 外部ポート (DMZ インターフェイス ) の有効化 ネットワークトラフィックの静的ルートの指定 IVE によってローカル解決されるホスト名の指定 [Internal Port] タブ IVE アプライアンスのインストール時には アプライアンスの内部ポートを使用して LAN に接続するための基本設定情報を入力します 内部ポートは あらゆるリソースに対するすべての WAN および LAN 要求を処理し Web ブラウジングやファイルブラウジング 認証 送信メール要求を待ち受けします IVE を設定すると [System] [Network] [Internal Port] タブを使用して 必要に応じて最初の設定を更新できます ( 代わりに アプライアンスをデュアルポートモードに配置して 外部ポートでプロキシ経由の着信 Web およびメール SSL 接続を待ち受けすることもできます 132 ページの [External Port] タブ を参照 ) また [System] [Network] [Internal Port] タブを使用して 追加の仮想ホスト名 WINS マスタブラウザ設定を指定できます 内部ポート (LAN インターフェイス ) のネットワーク設定の変更 初期化時に入力したネットワーク設定を変更し 仮想ホスト名 WINS およびマスタブラウザを設定するには [Internal Port] タブを使用します 注意 : このページのほとんどのフィールドには IVE のインストール時に指定した値が事前に入れられています 内部ポート (LAN インターフェイス ) のネットワーク設定を変更するには 次の操作を実行します 1. Web コンソールで [System] [Network] [Internal Port] を選択します

142 130 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 2. [Virtual Hostname] フィールドには セキュアミーティングやデータ転送プロキシ機能で使用する IVE の完全修飾ホスト名を入力します セキュアミーティングは SMTP を呼び出すとき そして通知 E メールにミーティング URL を組み込むときに この指定されたホスト名を使用します (316 ページ ) データ転送プロキシは アプリケーションサーバホスト名の別名として 指定されたホスト名を使用します (294 ページ ) 注意 : IVE アプライアンスをクラスタに組み込んでいる場合 指定する仮想ホスト名はクラスタの中で同期されます ただし クラスタが複数サイトに渡っている場合は この設定を上書きすることをお勧めします [System] [Clustering] ページのオプションを使用して クラスタにあるノードごとに 異なるホスト名を指定してください 3. [Address Information] セクションでは 個々の IVE アプライアンスの IP アドレス ネットマスク ゲートウェイ およびリンク速度の設定を更新します デフォルトの場合 これらのフィールドには最初の IVE 設定時に入力した値が入れられています 4. [ARP Ping Timeout] フィールドでは Address Resolution Protocol(ARP) 要求に対する応答を待つ タイムアウトまでの長さを指定します クラスタに組み込んだ IVE アプライアンスは 相互に適切な通信を行っているか確認するために ARP 要求 1 を他の IVE アプライアンスのゲートウェイに送信します 重要 : クラスタ環境で IVE を実行していない場合 IVE はこの設定を使用しません IVE をクラスタに組み込んでいる場合 指定するタイムアウト間隔はクラスタの中で同期されます ただし クラスタが複数のサイトに渡っている場合 [System] [Clustering] ページのオプションを使用して クラスタにあるノードごとに設定を上書きできます アクティブ / パッシブクラスタのこの設定を変更する場合は IVE が [Internal] タブの [ARP Ping Timeout] 設定を VIP の障害迂回タイマとしても使用するので注意してください 5. [DNS Name Resolution] セクションでは 個々の IVE アプライアンスのプライマリ DNS アドレス セカンダリ DNS アドレス およびデフォルト DNS ドメイン名を更新します これらのフィールドに複数の DNS ドメインを入力することができます IVE は リストされている順序でこれらのドメインを検索します 6. [WINS] フィールドでは ワークステーションの名前と場所を IP アドレス ( 使用できる場合 ) に関連付けている Windows Internet Naming Service(WINS) サーバの名前または IP アドレスを入力します ローカルまたはリモートの WINS サーバを選択できます 1. IVE はクラスタ中で通信を確立するときに 2 つの ARP 要求を作成します 1 つは内部ポートのゲートウェイに送信し もう 1 つは外部ポートのゲートウェイに送信します

143 NetScreen Instant Virtual Extranet アプライアンス管理ガイド IVE を有効にして共有の Windows フォルダを検索するには [Enable Network Discovery] チェックボックスを選択します 8. IVE ドメインの中で NETBIOS の呼び出しに応答し ワークステーションの名前と場所を IP アドレス ( 使用できる場合 ) に関連付けている WINS サーバ ドメインコントローラ または他のサーバを選択するには [Master Browsers] をクリックします そして [Windows Networking - Specify Master Browser] ページで マスタブラウザを追加します 9. [Internal Port] タブの [Save Changes] をクリックします 内部ポート (LAN インターフェイス ) のネットワーク設定を取り消すには 次の操作を実行します 1. Web コンソールで [System] [Network] [Internal Port] を選択します 2. 最後に保存した変更を取り消すには [Reset] をクリックします 図 27:[System] [Network] [Internal Port]

144 132 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [External Port] タブ 外部 DMZ(demilitarized zone: 緩衝域 ) インターフェイスは IVE にサインインしたユーザからの着信要求のみを待ち受けして処理します IVE は 受信したパケットが外部インターフェイスを通じてユーザから送信された TCP 接続に関連するかどうかを判断してから パケットを送信します パケットが TCP 接続に関連する場合 IVE は外部インターフェイスにパケットを送信します その他のパケットはすべて内部インターフェイスに送信されます 各インターフェイスに指定したルートは IVE が内部インターフェイスまたは外部インターフェイスのどちらを使用するかを判断した後で適用されます IVE が外部インターフェイスからの要求を送信することはなく 外部インターフェイスが (PING と traceroute を除く ) 他の接続を受信することもありません リソースの種類に関係なく すべての要求は内部インターフェイスから発信されます ( 詳細については 129 ページの [Internal Port] タブ を参照してください ) 外部ポート (DMZ インターフェイス ) の有効化 DMZ 機能を有効にするには [External Port] タブを使用します 注意 : 外部ポートは IVE にサインインしたユーザからの着信要求のみを待ち受けして処理します DMZ 機能を有効にすると デフォルトで管理者は外部からサインインできなくなります 管理者が外部ポートからアクセスできるようにするには [Administrators] [Authentication] [Authentication Policy] [Source IP] タブを使用します 外部ポートを有効にするには 次の操作を実行します 1. Web コンソールで [System] [Network] [External Port] を選択します 2. [DMZ Setting] の [Enable] を選択します 3. [Address Information] に IVE の外部ポートの IP アドレス ネットマスク ゲートウェイ およびリンク速度に関する情報を入力します 通常は [Internal Port] ページの設定をそのまま使用し 内部ポート情報をローカル IP アドレス ネットマスク およびゲートウェイ情報に変更します 4. [ARP Ping Timeout] フィールドでは Address Resolution Protocol(ARP) 要求に対する応答を待つ タイムアウトまでの長さを指定します クラスタに組み込んだ IVE アプライアンスは 相互に適切な通信を行っているか確認するために ARP 要求 1 を他の IVE アプライアンスのゲートウェイに送信します 1. IVE はクラスタ中で通信を確立するときに 2 つの ARP 要求を作成します 1 つは内部ポートのゲートウェイに送信し もう 1 つは外部ポートのゲートウェイに送信します

145 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 133 注意 : IVE をクラスタに組み込んでいる場合 指定したタイムアウト間隔はクラスタ中で同期されます ただし クラスタが複数のサイトに渡っている場合 [System] [Clustering] ページのオプションを使用して クラスタ中の各ノードの設定を上書きできます クラスタ環境で IVE を実行していない場合 IVE は [ARP Ping Timeout] 設定を使用しません 5. [Save Changes] をクリックして設定を保存します 図 28:[System] [Network] [External Port]

146 134 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Static Routes] タブ ネットワークトラフィックの静的ルートの指定 ルーティングテーブルエントリを追加するには [Static Routes] タブを使用します 注意 : ルート設定に関係なく 内部リソースへの接続要求はすべて IVE の内部ポートから送信されます 外部ポートのルート設定は リモートクライアントからの接続に関係するパケットのルーティングにのみ使用されます 詳細については 132 ページの [External Port] タブ を参照してください 静的ルートを指定するには 次の操作を実行します 1. Web コンソールで [System] [Network] [Static Routes] を選択します 2. 必要な情報を入力して [Add] をクリックします 図 29:[System] [Network] [Static Routes]

147 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 135 [Hosts] タブ IVE によってローカル解決されるホスト名の指定 IVE がローカルで IP アドレスに解決できるホスト名を指定するには [Hosts] タブを使用します この機能は 次のような場合に便利です DNS サーバが IVE にアクセスできない場合 WINS を使用して LAN 内のサーバにアクセスする場合 会社の規定により 内部サーバを外部の DNS に公開できない場合 または内部ホスト名を隠蔽する必要がある場合 クラスタの [System] [Network Settings] [Hosts] タブにホスト名のマッピングを入力すると その設定が他のノードに伝播されます 特定のノードのホスト名のマッピングを入力するには [System] [Clustering] タブを選択し [Cluster Members] リストから目的のノードを選択して そのノードの [Hosts] タブを選択します IVE がローカルで解決するホスト名を指定するには 次の操作を実行します 1. Web コンソールで [Network] [Network Settings] [Hosts] タブを選択します 2. IP IP に解決されるホスト名のカンマ区切りのリスト および 200 語以下のコメント ( オプション ) を入力して [Add] をクリックします 図 30:[System] [Network Settings] [Hosts]

148 136 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Clustering] ページの設定 まずステージング環境でクラスタを配置し 認証領域 ユーザロール およびリソースポリシーの設定およびエンドユーザが使用するアプリケーションのテストを行ってから 本番環境に移行することを推奨します 重要 : クラスタを構成する前に 目的の IVE ノードがすべて同じハードウェアプラットフォーム ( たとえば すべて Access 3000 マシン ) で かつ同じバージョンのサービスパッケージを実行していることを確認してください [System] [Clustering] ページには 次のタブがあります [Create] タブ [Join] タブ [Status] タブ [Properties] タブ 次の操作を行うには [System] [Clustering] ページタブを使用します クラスタの定義と初期化 Web コンソールを通じて IVE をクラスタに追加する Web コンソール.144 シリアルコンソールを通じて IVE をクラスタに追加する 新しいクラスタメンバの指定 クラスタノードのネットワーク設定の管理 クラスタプロパティの変更またはクラスタの削除 クラスタノードのサービスパッケージのアップグレード クラスタの概要については 61 ページの クラスタの概要 を参照してください [Create] タブ クラスタペア マルチユニット またはマルチサイトクラスタを作成するには 1 つの IVE 上にクラスタ設定を指定し そのクラスタにメンバを追加します [Create] タブを使用して クラスタを定義および初期化します クラスタ設定を指定した後 [Create] タブは [Status] タブに置き換えられます このタブを使用すると クラスタに追加したりクラスタを管理する追加の IVE を指定することがきます

149 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 137 クラスタの定義と初期化 まず 1 台のマシンでシステムおよびユーザの設定を行ってから クラスタを定義することをお勧めします この後で 同じマシンを使用してクラスタを定義します このマシンは作成プロセスの中でクラスタに参加します 他の IVE がクラスタに参加すると このマシンはその設定を新しいクラスタメンバに伝播します クラスタを定義して初期化するには 次の操作を実行します 1. 1 台の IVE でシステム ユーザ リソース およびアプリケーションデータを正しく設定します 2. 設定した IVE の Web コンソールで [System] [Configuration] [Licensing] タブを選択し ライセンスコードを入力してクラスタリング機能を有効にします [System] の見出しの下に [Clustering] メニュー項目が表示されます 3. [System] [Clustering] [Create] タブで クラスタの名前 クラスタパスワード このマシンの名前 (ive-1 など ) を入力します 注意 : クラスタに追加する IVE を設定するときには 再度パスワードを入力する必要があります クラスタ内のすべてのマシンはこのパスワードを使用して対話します 4. [Create Cluster] をクリックします クラスタ作成の確認を求められたら [Create] をクリックします IVE によってクラスタが初期化されると [Clustering] ページに [Status] タブと [Properties] タブが表示されます 図 31: [System] [Clustering] : 初期ページ

150 138 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 32:[System] [Clustering]: クラスタを定義した後 この図は クラスタを作成した後の [Clustering] ページを示します クラスタを定義したマシンが最初のクラスタメンバになります [Status] タブ [Status] タブを使用して クラスタに追加する IVE の指定 クラスタノードの状態の監視 特定ノードのネットワーク設定の編集 クラスタノードの有効化 無効化 または削除を行うことができます 141 ページの表 1 は [Status] タブに表示される情報と このタブで実行できるさまざまな管理タスクを示します 新しいクラスタメンバの指定 IVE がクラスタに参加する前に アクティブなクラスタメンバのネットワーク ID を指定する必要があります 既存のクラスタに追加する IVE を指定するには 次の操作を実行します 1. アクティブなクラスタメンバの Web コンソールで [System] [Clustering] [Status] タブを選択します 2. [Add Member] をクリックして クラスタに追加する IVE を指定します 1 メンバの名前を入力します 2 マシンの内部 IP アドレスを入力します

151 NetScreen Instant Virtual Extranet アプライアンス管理ガイド マシンの外部 IP アドレスを入力します [System] [Network] [External Port] タブで外部ポートを有効にしていない場合には [External IP address] フィールドは表示されません 4 [Add Node] をクリックします 5 新しいメンバを追加する確認を求められたら [Add] をクリックします 6 追加するマシンごとにこの手順を繰り返します 図 33:[System] [Clustering] [Add Member] 図 34:[System] [Clustering] [Status]: 新しいメンバを指定した後

152 140 NetScreen Instant Virtual Extranet アプライアンス管理ガイド クラスタノードのネットワーク設定の管理 クラスタノードのネットワーク設定を変更するには 次の操作を実行します 1. アクティブなクラスタメンバの Web コンソールで [System] [Clustering] [Status] タブを選択します 2. [Member Name] 列で ネットワーク設定を変更するノードの名前をクリックします クラスタノードの [Network Settings] ページが表示され [Clustering] [Internal Port] [External Port] [Static Routes] [Hosts] および[Network Connect]( ライセンス契約している場合 ) の各タブが表示されます 各タブで行った変更を保存しても 新しい設定が適用されるのは対応するノードだけです 重要 : クラスタメンバの Web コンソールの [System] [Network Settings] ページを使用してネットワーク設定を変更した場合には クラスタ内のすべてのノードに変更が反映されます 特定のノードの設定のみを変更するには いずれかのアクティブメンバの [Status] タブから そのノードの [Network Settings] ページにリンクする必要があります 図 35:[System] [Clustering] [Status]:[Member Name] 列の IVE ノードをクリックした後重要 : いずれかのアクティブメンバの [Clustering] [Status] タブを通じて ノード固有の設定にアクセスすることができます [System] [Network] メニューは薄い灰色で強調表示され メニューが黄色で強調表示されている [Network] メニューを直接クリックしてもそのページに移動できないことを示しています クラスタの [Network Settings] ページの設定を変更した場合は すべてのクラスタノードに変更が反映されます

153 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 141 クラスタノードのサービスパッケージのアップグレード 注意 : クラスタメンバはダウングレードできません ただし 個々のクラスタメンバを以前の非クラスタ状態に戻すことは可能です クラスタノードを新しいサービスパッケージでアップグレードするには 次の操作を実行します 1. アップグレードするクラスタノードの Web コンソールにサインインします 2. [System] [Clustering] [Status] タブで [Member Name] 列のノード名の横にあるチェックボックスをオンにして [Disable] をクリックします ページの NetScreen ソフトウェアサービスパッケージのインストール の説明に従って サービスパッケージをインストールします 4. インストールが完了したら ノードの [System] [Clustering] [Status] タブに戻り ノード名の横にあるチェックボックスをオンにして [Enable] をクリックします 5. このステップをクラスタ内のノードごとに繰り返します 表 1: [Clustering] [Status] タブ ユーザインターフェイス要素 [Add Member] ボタン [Enable] ボタン [Disable] ボタン [Remove] ボタン [Member Name] 列 説明 クラスタに追加する IVE を指定します クラスタに追加する IVE ごとに この手順を実行する必要があります 無効になっているノードを有効にします ノードを有効にすると すべてのステータス情報がノード上で同期化されます 特定のノードを無効にしてクラスタに参加させないようにするには このボタンをクリックします 無効にしても ノードからはクラスタが見えますが メンバが直接ノードにサインインしなければ状態の同期化を実行することもユーザ要求を受け取ることもできません 選択したノードをクラスタから削除するには このボタンをクリックします 削除されたノードは スタンドアロンモードで稼動します クラスタに属する全ノードを一覧表示します ノードの名前やネットワーク設定を変更するには ノード名をクリックします

154 142 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 表 1: [Clustering] [Status] タブ ( 続き ) ユーザインターフェイス要素 [Internal IP Address] 列 [External IP Address] 列 [Status] 列 説明 クラスタメンバの内部 IP アドレスを CIDR(Classless Inter Domain Routing) 表記法で表示します クラスタメンバの外部 IP アドレスを CIDR(Classless Inter Domain Routing) 表記法で表示します 各ノードのネットワーク設定ページでノードの別のアドレスを指定しない限り この列に表示されるのは クラスタリーダーの外部 IP アドレスです ネットワーク設定ページにアクセスするには [Member Name] 列で目的のノード名をクリックします [Network] [Network Settings] ページで外部 IP アドレスを変更した場合 変更はすべてのクラスタノードに影響します ノードの状態が表示されます green light/enabled -ユーザ要求を処理し クラスタの同期化を実行します yellow light/transitioning -クラスタに追加します red light/disabled -ユーザ要求を処理せず クラスタの同期化も実行しません 注意 : クラスタの外部に配置されたノードやクラスタから除外されたノードの状態は スタンドアロン とみなされます

155 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 143 表 1: [Clustering] [Status] タブ ( 続き ) ユーザインターフェイス要素 [Notes] 列 [Sync Rank] 列 説明 クラスタへのノードの接続状態が表示されます 接続状態は次のいずれかです OK-ノードはクラスタに参加しています Transitioning-ノードがスタンドアロン状態から enabled 状態に切り替わっています Unreachable -ノードからはクラスタは見えません クラスタメンバは オンラインでピングできても アクセスできません 考えられる理由としては パスワードが間違っている 全クラスタノードを認識していない 別のグループ通信モードで設定されている 異なるサービスパッケージバージョンを実行している マシンの電源がオフにされているなどがあります クラスタノードを同期化する順序を指定します [Join] タブ IVE をクラスタに追加する方法は IVE が設定されているか 初期化されていないかにより異なります [Join] タブを使用して 設定した IVE を既存のクラスタに追加します IVE が出荷状態の場合 シリアルコンソール (146 ページ ) を使用すれば 最低限の情報を入力するだけで マシンをクラスタに追加することができるので こちらの方法をお勧めします Access Series FIPS 環境では Web コンソールを使用して IVE をクラスタに追加する必要があります また以下のものに対して 物理的にアクセスできることが条件になります クラスタメンバの IVE アプライアンスの前面パネルにインストールした暗号化モジュール スマートカードリーダー アクティブなクラスタメンバのセキュリティワールドに事前に初期化された管理者カード

156 144 NetScreen Instant Virtual Extranet アプライアンス管理ガイド Web コンソールを通じて IVE をクラスタに追加する Web コンソール 設定済みの または出荷時設定の IVE がクラスタに参加する前に その身元をクラスタに認識させる必要があります クラスタに追加する IVE を指定するには 138 ページの 新しいクラスタメンバの指定 を参照してください 重要 : 現在 スタンドアロンマシンとして稼動している IVE を Web コンソールを通じてクラスタに追加する場合には 追加する IVE が他のメンバと同じライセンスを使用し 同じハードウェアプラットフォームで同じサービスパッケージを実行している必要があります Web コンソールを通じて IVE をクラスタに追加するには 次の操作を実行します 1. 既存のクラスタメンバの Web コンソールで [System] [Clustering] [Status] タブを選択し クラスタに追加する IVE を指定します 詳細については 138 ページの 新しいクラスタメンバの指定 を参照してください 2. クラスタに追加する IVE の Web コンソールで 次の手順を実行します 1 [System] [Configuration] [Licensing] タブを選択し ライセンスを入力してクラスタリング機能を有効にします 2 次の操作を行うには [System] [Clustering] [Join] タブを使用します 追加先のクラスタの名前 クラスタを定義したときに指定したクラスタパスワード アクティブなクラスタメンバの IP アドレス 3. [Join Cluster] をクリックします クラスタに参加する確認を求められたら [Join] をクリックします IVE がクラスタに参加した後 もう一度サインインする必要があります 4. (Access Series FIPS 環境のみ ) 次の手順に従って アクティブなクラスタメンバのセキュリティワールドでノードを初期化します シリアルコンソールを使用して クラスタメンバのセキュリティワールドを初期化するには 次の操作を実行します 1. スマートカードリーダーのケーブルを IVE の前面パネルにある暗号化モジュールのリーダーのポートに差し込みます 2. アクティブなクラスタメンバのセキュリティワールドで事前に初期化された管理者カードを 接続部を上にしてスマートカードリーダーに差し込みます 3. 暗号化モジュールのモードスイッチが O( 動作可能モード ) になっていない場合は 切り替えます 4. マシンのシリアルコンソールに接続します 詳細については 379 ページの 付録 D: を参照してください

157 NetScreen Instant Virtual Extranet アプライアンス管理ガイド マシンを再起動して シリアルコンソールを監視します システムソフトウェアが起動すると スタンドアロン IVE として起動しようとしています クラスタリングオプションを選択する場合には Tab を押してください というメッセージが表示されます このオプションが表示されたら ただちに Tab キーを押します 注意 : 5 秒以内に Tab キーを押してください スタンドアロンモードでマシンの起動が始まってしまった場合には 起動が完了するまで待ってから再起動してください 6. 既存のクラスタに追加する に対応する番号 1 を入力します 7. 要求された初期化情報を入力します 注意 : Access Series FIPS クラスタのメンバを同じセキュリティワールドで初期化した後 Web コンソールによってクラスタを無効にし 再び有効にすることができます クラスタメンバがすべて同じセキュリティワールドのメンバである場合 シリアルコンソールを使用する必要はありません 図 36:[System] [Clustering] [Join]: クラスタに参加

158 146 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 37:[System] [Clustering] [Status]: 新しいクラスタメンバでのサービスの再開 新しいノードがクラスタに接続されると ただちに [Clustering] ページに [Status] タブと [Properties] タブが表示されます 新しいノードがステータスを既存のクラスタメンバと同期化する間 ステータスには Transitioning と示されます シリアルコンソール手順 シリアルコンソールを通じて IVE をクラスタに追加することができます ただし 個々の IVE を Web コンソールを通じて追加する必要があるので Access Series FIPS 環境で実行している場合を除きます 出荷時設定の IVE をクラスタに追加している場合は 最低限の情報を入力するだけで 初期化プロセスの間に既存のクラスタを追加することができるので シリアルコンソールの使用をお勧めします IVE はクラスタに参加すると クラスタ状態設定を受け取り そのマシンの設定を既存の設定ですべて上書きし 新しいマシンに必要な予備情報を提供します シリアルコンソールを通じて IVE をクラスタに追加する 設定済みの または出荷時設定の IVE がクラスタに参加する前に その身元をクラスタに認識させる必要があります クラスタに追加する IVE を指定するには 138 ページの 新しいクラスタメンバの指定 を参照してください

159 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 147 重要 : 現在 スタンドアロンマシンとして稼動している IVE を Web コンソールを通じてクラスタに追加する場合には 追加する IVE が他のメンバと同じライセンスを使用し 同じハードウェアプラットフォームで同じサービスパッケージを実行している必要があります シリアルコンソールを通じて IVE をクラスタに追加するには 次の操作を実行します 1. 既存のクラスタメンバの Web コンソールで [System] [Clustering] [Status] タブを選択し クラスタに追加する IVE を指定します 詳細については 138 ページの 新しいクラスタメンバの指定 を参照してください 2. クラスタに追加するマシンのシリアルコンソールに接続します 詳細については 379 ページの 付録 D: を参照してください 3. マシンを再起動して シリアルコンソールを監視します システムソフトウェアが起動すると スタンドアロン IVE として起動しようとしています クラスタリングオプションを選択する場合には Tab を押してください というメッセージが表示されます このオプションが表示されたら ただちに Tab キーを押します 注意 : 5 秒以内に Tab キーを押してください スタンドアロンモードでマシンの起動が始まってしまった場合には 起動が完了するまで待ってから再起動してください 図 38: シリアルコンソール : クラスタ追加オプション

160 148 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 4. 既存のクラスタに追加する に対応する番号 1 を入力します 5. 要求に従って 次のような情報を入力します クラスタ内のアクティブメンバの内部 IP アドレス クラスタパスワード クラスタを定義したときに入力したパスワードです 追加するマシンの名前 この例では マシン名は ive-2 です 追加するマシンの内部 IP アドレス 追加するマシンのネットマスク 追加するマシンのゲートウェイ アクティブなクラスタメンバは クラスタパスワード [System] [Clustering] [Add Cluster Member] ページの Web コンソールで指定した新しいマシンの名前および IP アドレスが一致すること 証明書が有効であること アクティブメンバがライセンスや証明書 ユーザ およびシステムデータを含む状態データをすべて新しいクラスタメンバにコピーすることを確認します 図 39: シリアルコンソール : 新しいクラスタメンバの指定

161 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 149 図 40: シリアルコンソール : クラスタ追加の確認 6. 対応する番号 1 を入力して 既存のクラスタへの追加手順を続けます マシンがクラスタに追加されたことを確認するメッセージが表示されたら いずれかのアクティブなクラスタメンバの [Status] [Clustering] [Status] タブを見て 新しいメンバの [Status] が IVE がクラスタの有効なノードであることを示す緑色になっているかどうか確認します [Properties] タブ クラスタプロパティの変更またはクラスタの削除 [Properties] タブを使用して クラスタ名の変更 クラスタペアの実行モードの指定 同期化設定の指定 またはクラスタの削除を行います クラスタのプロパティを変更するには 次の操作を実行します 1. アクティブなクラスタメンバの Web コンソールで [System] [Clustering] [Properties] タブを選択します 2. 変更を行ったら [Save Changes] をクリックします クラスタ名を変更するには [Cluster Name] フィールドを編集します

162 150 NetScreen Instant Virtual Extranet アプライアンス管理ガイド クラスタペアの構成を指定するには [Active/Passive] または [Active/Active] を選択します アクティブ / パッシブ型構成の場合には 内部 VIP ( 仮想 IP アドレス ) を指定し 外部ポートを有効にする場合には さらに外部 VIP も指定する必要があります 注意 :[Configuration Settings] セクションはクラスタペアの場合にのみ表示され マルチユニットクラスタの場合は表示されません 使用する同期化プロトコルや ログメッセージとユーザセッションデータの同期化を行うか否かなど 適切な同期化設定を選択します 同期化設定の詳細については 65 ページの 状態の同期化 を参照してください IVE の内部インターフェイスが無効になる前に許可された ARP ピング失敗の回数 内部インターフェイスが失敗した場合に IVE の外部インターフェイスを無効にするか否かなど 適切なネットワークヘルスチェック設定を指定します クラスタを削除するには 次の操作を実行します 1. アクティブなクラスタメンバの Web コンソールで [System] [Clustering] [Properties] タブを選択します 2. [Delete Cluster] を選択します この操作が完了すると すべてのクラスタノードがスタンドアロンの IVE として稼動を開始します 図 41:[System] [Clustering] [Properties]

163 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 151 図 42:[System] [Clustering] [Properties]

164 152 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Log Monitoring] ページの設定 [System] [Log Monitoring] ページには 次のタブがあります [Events] [User Access] および [Admin Access] タブ [SNMP] タブ [Statistics] タブ 次の操作を行うには [System] [Log Monitoring] ページタブを使用します ログファイルの保存 表示 またはクリア ログファイルに保存するイベントの指定 ログファイル用のカスタムフィルタとフォーマットの作成 SNMP エージェントとしての IVE の監視 システム統計の表示 IVE ログおよび監視機能については 78 ページの ログと監視の概要 を参照してください [Events] [User Access] および [Admin Access] タブ [System] [Log/Monitoring] [Events] [User Access] および [Admin Access] ページを使用して イベントログ ( システムイベントを含む ) ユーザアクセスログ ( エンドユーザ要求と修正を含む ) および管理者アクセスログ ( 管理者修正を含む ) をフィルタリングおよびフォーマットします [Events] [User Access] および [Admin Access] の各ページには 次のタブがあります [Log] タブ [Settings] タブ [Filters] タブ 注意 : イベントログ ユーザアクセスログ および管理者アクセスログは 3 つの独自なファイルです 個々のファイルの基本設定手順は同じですが 1 つのファイルの設定を修正しても他のファイルの設定には影響を及ぼしません 各ファイルの内容については 78 ページの ログと監視の概要 を参照してください

165 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 153 [Log] タブ ログファイルの保存 表示 またはクリア ログファイルを保存 表示 またはクリアするには 次の操作を実行します 1. Web コンソールで [System] [Log/Monitoring] を選択します 2. [Events] [User Access] または[Admin Access] タブを選択して [Log] を選択します 3. ( セントラルマネージャのみ )[View by filter] リストから IVE がデータのフィルタリングに使用するカスタムフィルタを選択します 4. IVE が同時に表示するログエントリの数を変更する場合は [Show] フィールドに数を入力して [Update] をクリックします 5. ログファイルを手動で保存するには [Save Log As] をクリックし 目的のネットワークディレクトリに移動して ファイル名を入力し [Save] をクリックします 6. ローカルログと log.old ファイルをクリアするには [Clear Log] をクリックします 注意 : ローカルログをクリアしても syslog サーバによって記録されたイベントには影響はありません 以降のイベントは新しいローカルログファイルに記録されます

166 154 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 43:[System] [Log/Monitoring] [Events] [Log] [Settings] タブ ログファイルに保存するイベントの指定 [Settings] タブのオプションを使用して IVE によってログファイルに書き込まれるデータ ログファイルを格納するのに使用する syslog サーバ および最大ファイルサイズを指定します 注意 : [Archiving] ページを使用して FTP アクセス可能な場所にログを自動的に保存することもできます 詳細については 335 ページの [Archiving] ページの設定 を参照してください

167 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 155 イベントログ設定を指定するには 次の操作を実行します 1. Web コンソールで [System] [Log/Monitoring] を選択します 2. [Events] [User Access] または[Admin Access] タブを選択して [Settings] を選択します 3. [Max Log Size] リストから ローカルログファイルの最大ファイルサイズを指定します ( 上限は 500MB) システムログには 指定した最大量のデータが表示されます 注意 : [Max Log Size] は [Standard] フォーマットでフォーマットされたログのサイズと最も緊密に対応した内部設定です [WELF] などのより冗長なフォーマットを選択した場合は ここで指定した制限をログファイルが越える可能性があります 4. [Select Events to Log] で ローカルログファイルに取り込むイベントの種類ごとにチェックボックスを選択します 注意 : [Events] タブで [Statistics] チェックボックスを無効にした場合 IVE は統計情報をログファイルには書き込みませんが [System] [Log/Monitoring] [Statistics] タブ (164 ページ ) に表示し続けます 5. [Syslog Servers] で ログファイルを格納する syslog サーバの情報を入力します ( オプション ) 1 syslog サーバの名前または IP アドレスを入力します 2 サーバのファシリティを入力します IVE は 8 つのファシリティ (LOCAL0 ~ LOCAL7) を備えています これらのファシリティは syslog サーバ上のファシリティにマッピングできます 3 ( セントラルマネージャのみ ) ログファイルに適用するフィルタを選択します 4 [Add] をクリックします 5 必要に応じて 複数のサーバについて繰り返します サーバとファシリティが変われば 使用するフォーマットとフィルタも変わります 重要 : syslog サーバが次のような設定でメッセージを受け入れるようになっていることを確認してください facility = LOG_USER および level = LOG_INFO 6. [Save Changes] をクリックします

168 156 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 44:[System] [Log/Monitoring] [Events] [Settings]

169 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 157 図 45:[System] [Log/Monitoring] [User Access] [Settings]

170 158 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 46:[System] [Log/Monitoring] [Admin Access] [Settings]

171 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 159 [Filters] タブ ログファイル用のカスタムフィルタとフォーマットの作成 [Filters] タブのオプションを使用して ログファイルに書き込むデータとフォーマットを指定します このオプションは セントラルマネージャパッケージでのみ利用できます 1. Web コンソールで [System] [Log/Monitoring] を選択します 2. [Events] [User Access] または[Admin Access] タブを選択して [Filtering] を選択します 3. 次のいずれかを実行します 既存のフィルタを修正するには その名前をクリックします 新しいフィルタを作成するには [New Filter] をクリックします 4. フィルタの名前を入力します 重要 : フォーマットを選択して [Filter Name] フィールドで新しい名前を作成した場合 IVE は 既存のフォーマットに基づく新しいカスタムフィルタフォーマットを作成しません 代わりに 既存のフォーマットを 変更に応じて上書きします 5. [Make Default] をクリックして 選択したフィルタをログファイルタイプのデフォルトとして定義します 別のデフォルトフィルタをイベント ユーザアクセス および管理アクセスログ用に設定することができます 6. [Query] セクションのオプションを使用して IVE がログに書き込むデータの一部を制御します 1 [Start Date] セクションで [Earliest Date] をクリックして ログファイルに格納された最初に利用できる日からのログをすべて書き込みます または 手動で開始日を入力します 2 [End Date] セクションで [Latest Date] をクリックして ログファイルに格納された最後に利用できる日までのログをすべて書き込みます または 手動で終了日を入力します 3 [Query] セクションで IVE カスタムエクスプレッション言語を使用して IVE がログに書き込むデータの一部を制御します 7. [Export Format] セクションのオプションのいずれかを使用して ログのデータのフォーマットを制御します 標準的なフォーマットでログエントリをフォーマットするには [Standard] [WELF] または[W3C] オプションを選択します 詳細については 80 ページの カスタムフィルタログファイル を参照してください

172 160 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Custom] オプションを選択して 使用するフォーマットを [Format] フィールドに入力します フォーマットを入力するとき 変数を % 記号で囲んでください (%user%) フィールドのその他の文字は リテラルとして扱われます 8. [Save] をクリックします 図 47:[System] [Log/Monitoring] [Events] [Filters] [SNMP] タブ SNMP エージェントとしての IVE の監視 HP OpenView などのネットワーク管理ツールを使用して SNMP エージェントとして IVE を監視するには このタブを使用します IVE は SNMP (Simple Network Management Protocol) v2 をサポートし プライベート MIB (management information base) を実装して 独自のトラップを定義します ネットワーク管理ステーションでこれらのトラップを処理できるようにするには NetScreen MIB ファイルをダウンロードし トラップを受信するための適切な情報を指定する必要があります 注意 : CPU の使用状況など IVE に関する重要なシステム統計情報を監視するには UC-Davis MIB ファイルを SNMP 管理アプリケーションにロードします MIB ファイルは URLhttp://net-snmp.sourceforge.net/UCD-SNMP- MIB.txt からダウンロードできます

173 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 161 SNMP 設定を指定するには 次の操作を実行します 1. Web コンソールで [System] [Log/Monitoring] [SNMP] を選択します 2. [NetScreen MIB file] リンクをクリックして MIB ファイルにアクセスし ブラウザからネットワークにファイルを保存します (MIB ファイルの Get オブジェクトと Trap オブジェクトの説明は これ以降の表を参照してください ) 3. [Agent Properties] で以下のフィールドに情報を入力して [Save Changes] をクリックします [System Name] [System Location] および [System Contact] の各フィールドに IVE エージェントに関する情報を入力します ( オプション ) [Community] フィールドに文字列を入力します ( オプション ) 注意 : IVE を照会するには ネットワーク管理ステーションからこの文字列を IVE に送信する必要があります SNMP デーモンを停止するには [Community] フィールドをクリアします 4. [Traps] で以下のフィールドに情報を入力し IVE によって生成するトラップの送信先となるサーバを指定し [Add] をクリックします サーバのホスト名または IP アドレス サーバが待ち受けをするポート ( 通常はポート 162) ネットワーク管理ステーションで必要なコミュニティ文字列 ( 該当する場合 ) 5. [Save Changes] をクリックします 6. ネットワーク管理ステーションで 次の操作を実行します 1 NetScreen MIB ファイルをダウンロードします 2 IVE の照会時に必要なコミュニティ文字列を指定します ( ステップ 3 を参照 ) 3 IVE トラップを受信するようにネットワーク管理ソフトウェアを設定します 表 2: NetScreen MIB オブジェクト :Gets オブジェクト logfullpercent signedinwebusers signedinmailusers productname productversion 説明 利用可能なファイルサイズの中で現在のログが使用している率を返します Web ブラウザで IVE にサインインしているユーザ数を返します E メールクライアントにサインインしているユーザ数を返します ライセンス登録している IVE 製品の名前を返します IVE システムソフトウェアのバージョンを返します

174 162 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 表 3: NetScreen MIB オブジェクト :Traps オブジェクト ivelognearlyfull ivelogfull 説明 ログ ( システム ユーザアクセス または管理者アクセス ) のいずれかの 90% が使用されています このトラップが送信される場合 logfullpercent ( ログファイルの使用率 ) パラメータも送信されます ログ ( システム ユーザアクセス または管理者アクセス ) のいずれかが完全に満杯になりました ivemaxconcurrentusers SignedIn ivetoomanyfailedlogin Attempts externalauthserverunre achable 最大ユーザ数または許された同時ユーザ数まで ユーザが同時にサインインしており 10% 超過しています 特定の IP アドレスからのサインインが あまりに多く失敗しています ユーザが 1 時間に 180 回の認証に失敗すると このメッセージが送信されます このメッセージを受信すると ユーザの IP アドレスは 2 分間ロックアウトされ その間はサインインできなくなります 次にユーザが 30 分間に 90 回以上失敗すると IP アドレスが再びロックアウトされます 時間と失敗数を半減しながら このサイクルは繰り返されます つまり 3 回目のサイクルでは 15 分間に 45 回失敗すると ユーザがロックアウトされ 4 回目では 8 分間に 23 回失敗すると ユーザがロックアウトされます このトラップが送信される場合 blockedip ( ログインを試行している送信元の IP) パラメータも送信されます 外部認証サーバが認証要求に応答していません このトラップが送信される場合 authservername ( ログファイルの使用率 ) ( アクセス不能なサーバの名前 ) パラメータも送信されます ivestart iveshutdown ivereboot IVE が起動されました IVE がシャットダウンされました IVE が再起動されました archiveserverunreachab le IVE は設定した FTP アーカイブサーバにアクセスできません

175 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 163 表 3: NetScreen MIB オブジェクト :Traps ( 続き ) オブジェクト archiveserverloginfaile d 説明 IVE は設定した FTP アーカイブサーバにログインできません archivefiletransferfaile d IVE は設定した FTP アーカイブサーバに正常にアーカイブファイルを転送できません 図 48:[System] [Log/Monitoring] [SNMP]

176 164 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Statistics] タブ システム統計の表示 IVE は 1 時間ごとに次のようなデータをログに記録します Web ユーザのピーク時負荷 メールユーザのピーク時負荷 アクセスされた URL の数 アクセスされたファイルの数 [Statistics] ページには 過去 7 日分の情報が表示されます この情報は 1 週間に 1 度 システムログに書き込まれます IVE をアップグレードすると すべての統計情報がクリアされることに注意してください 統計情報を 1 時間ごとにログに記録するようシステムを設定した場合は アップグレードした後でもログファイル内の過去の統計情報を利用できます システム統計を表示するには 次の操作を実行します 1. Web コンソールで [System] [Log/Monitoring] [Statistics] を選択します 2. 4 つのカテゴリのデータすべてを表示するには ページをスクロールしてください

177 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 165 図 49:[System] [Log/Monitoring] [Statistics]

178 166 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Signing-in] ページの設定 [System] [Signing-in] ページには 次のタブがあります [Sign-in Policies] タブ [Sign-in Page] タブ [Servers] タブ 次の操作を行うには [System] [Signing-in] ページタブを使用します サインインポリシーの作成と設定 サインインポリシーが評価される順序を指定する サインインポリシーの有効化と無効化 標準サインインページを変更する カスタムサインインページのアップロード 認証サーバインスタンスを定義する [Sign-in Policies] タブ サインインポリシーは ユーザと管理者が IVE にアクセスするのに使用できる URL を定義します サインインポリシーは 設定するときに領域と関連付ける必要があります 認証領域のメンバだけが ポリシーで定義された URL を使用してサインインできます サインインポリシー内で 別の URL に関連付けるサインインページを別々に定義することもできます たとえば 以下を指定するサインインポリシーを作成することができます Partners 領域のメンバは 2 つの URL(partner1.yourcompany.com と partner2.yourcompany.com) を使用して IVE にサインインすることができます 最初の URL にサインインするユーザは partners1 サインインページを参照してください 2 番目の URL にサインインするユーザは partners2 サインインページを参照してください Local 領域と Remote 領域のメンバは URL(employees.yourcompany.com) を使用して IVE にサインインすることができます サインインすると Employees サインインページが表示されます Admin Users 領域のメンバは URL(access.yourcompany.com/super) を使用して IVE にサインインすることができます サインインすると Administrators サインインページが表示されます

179 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 167 サインインポリシーを定義するとき 異なるホスト名 (partners.yourcompany.com および employees.yourcompany.com など ) または異なるパス (yourcompany.com/partners および yourcompany.com/employees など ) を使用して 複数の URL を区別することができます 重要 : ホスト名を使用して複数の URL を区別する場合 [System] [Configuration] [Certificates] [Server Certificates] ページを通じて ワイルドカード証明書を IVE にアップロードする必要があります サインインポリシーの作成と設定 1. Web コンソールで [System] [Signing In] [Sign-in Policies] を選択します 2. 次のいずれかを実行します 新しいポリシーを作成するには [New] をクリックします [Administrator URLs] または [User URLs] 列の URL をクリックして 既存のポリシーを編集します 3. IVE にサインインできるユーザを指定するには [Users] または [Administrators] を選択します 4. [Sign-in URL] フィールドに ポリシーと関連付ける URL を入力します サインインページを使用しなければならない指定した領域内のすべての管理者 URL を指定するには */admin を入力します サインインページを使用しなければならない指定した領域内のすべてのエンドユーザ URL を指定するには */ を入力します 注意 : ワイルドカード文字 (*) は URL のホスト名の部分でのみ使用することができます IVE は URL パスのワイルドカードは認識しません 5. ポリシーの [Description] を入力します ( オプション ) 6. [Sign-in page] を選択します IVE に提供されているデフォルトのページ 標準サインインページに変更を加えたページ またはユーザ設定可能な UI 機能を使用して作成するカスタムページを選択することができます 詳細については 171 ページの [Sign-in Page] タブ を参照してください 7. [Authentication realm] で ポリシーにマッピングする領域 およびユーザと管理者が領域から選択する方法を指定します 以下の選択肢があります [User types the realm name] サインインポリシーはすべての認証領域にマッピングされますが IVE はユーザまたは管理者が選択できる領域のリストを提供しません その代わり ユーザまたは管理者は 領域の名前を手動でサインインページに入力する必要があります

180 168 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [User picks from a list of authentication realms] サインインポリシーは 選択する認証領域だけにマッピングされます IVE は ユーザまたは管理者が IVE にサインインするときに この領域のリストを提示します ユーザまたは管理者は リストから領域を選択することができます (URL が 1 つの領域だけにマッピングされている場合には IVE が認証領域のドロップダウンリストを表示しないことに注意してください その代わりに 指定された領域が自動的に使用されます ) 8. [Save Changes] をクリックします 図 50:[System] [Signing In] [Sign-in Policies] [Select Policy]

181 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 169 サインインポリシーが評価される順序を指定する IVE は 管理者サインインポリシーを [Sign-in Policies] ページにリストされている同じ順序で評価してから ユーザサインインポリシーを評価します 正確に一致する URL が見つかった場合は 評価を中止して 適切なサインインページを管理者またはユーザに提示します たとえば 2 つの管理者サインインポリシーを 2 つの異なる URL で定義することができます 最初のポリシーは */admin URL を使用して デフォルトの管理者サインインページにマッピングします 2 番目のポリシーは yourcompany.com/admin URL を使用して カスタム管理者サインインページにマッピングします この順序でポリシーを [Sign-in Policies] ページにリストした場合 最初の URL が 2 番目の URL を包含しているため IVE は 2 番目のポリシーを評価および使用しません 管理者が yourcompany.com/admin URL を使用してサインインした場合でも IVE はデフォルトの管理者サインインページを表示します ただし ポリシーを逆の順序でリストした場合は IVE はカスタム管理者サインインページを yourcompany.com/admin URL を使用して IVE にアクセスする管理者に対して表示します IVE が URL のホスト名の部分でワイルドカード文字だけを受け入れ URL を正確なパスに基づいて照合することに注意してください たとえば 2 つの管理者サインインポリシーを 2 つの異なる URL パスで定義することができます 最初のポリシーは */marketing URL を使用して マーケティング部門全体のカスタム管理者サインインページにマッピングします 2 番目のポリシーは */marketing/joe URL を使用して マーケティング部門の誰か個人のカスタムサインインページにマッピングします この順序でポリシーを [Sign-in Policies] ページにリストした場合 誰か個人が yourcompany.com/marketing/joe URL を使用して IVE にアクセスすると IVE はその個人のカスタムサインインページを表示します URL のパスの部分が最初のポリシーで定義された URL と正確に一致しないため その個人のマーケティングサインインページは リストされ かつ最初に評価された場合でも表示されません 管理者サインインポリシーが評価される順序を変更するには 次の操作を実行します 1. Web コンソールで [System] [Signing In] [Sign-in Policies] を選択します 2. [Administrator URL] リストで サインインポリシーを選択します 3. リストで選択したポリシーの交替を変更する場合は と をクリックします 4. [Save Changes] をクリックします

182 170 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 51:[System] [Signing In] [Sign-in Policies] サインインポリシーの有効化と無効化 サインインポリシーの有効化と無効化を行うには 次の操作を実行します 1. Web コンソールで [System] [Signing In] [Sign-in Policies] を選択します 2. 有効化または無効化を行うには 以下の手順を実行します [An individual policy]- 変更するポリシーの横にあるチェックボックスを選択して [Enable] または [Disable] をクリックします [All user policies]-[restrict access to administrators only] チェックボックスをオンまたはオフにします

183 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 171 [Sign-in Page] タブ サインインページでは Welcome テキスト ヘルプテキスト ロゴ ヘッダ およびフッタなど エンドユーザの Welcome ページのカスタマイズしたプロパティを定義します IVE は ユーザと管理者に提示する 2 種類のサインインページの作成を許可します 標準サインインページ 標準サインインページは NetScreen によって作成され IVE のすべてのバージョンに含まれています [System] [Signing In] [Sign-in Page] タブを使用して変更したページも 標準サインインページとみなされることに注意してください カスタマイズしたサインインページカスタマイズしたサインインページは THTML ページです この THTML ページは Template Toolkit を使用して作成し アーカイブされた ZIP ファイル形式で IVE にアップロードします カスタマイズしたサインインページは IVE に含まれているサインインページを変更する必要はなく 各自のページを使用できるようにするライセンスされた機能です カスタマイズしたサインインページを作成するには に提供されているテンプレートとドキュメントを使用してください 標準サインインページを変更する IVE に提供されている標準サインインページを変更するには 次の操作を実行します 1. Web コンソールで [System] [Signing In] [Sign-in Pages] を選択します 2. [New] をクリックします 3. ページを識別する名前を入力します 4. [Custom Text] セクションと [Custom Error Messages] セクションで 画面ラベルとして表示されるデフォルトのテキストを変更します 5. [Header] セクションで ヘッダのカスタムロゴイメージファイルとヘッダの色を指定します 6. カスタムヘルプまたは追加の指示をユーザに提供するには [Show Help Button] を選択して IVE にアップロードする HTML ファイルを指定します この HTML ページで参照されるイメージやその他のコンテンツは IVE には表示されません 7. [Save Changes] をクリックします 変更はただちに有効になりますが 変更を表示するには 現在のユーザブラウザセッションを更新する必要があります 注意 : [Restore Factory Defaults] をクリックすると サインインページ IVE ユーザホームページ および Web コンソールの外観が元の状態にリセットされます

184 172 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 52:[System] [Signing In] [Sign-in Policies] [Select Page]

185 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 173 カスタムサインインページのアップロード カスタマイズしたサインインページを IVE にアップロードするには 次の操作を実行します 1. Web コンソールで [System] [Signing In] [Sign-in Pages] を選択します 2. [Upload Custom Pages] をクリックします 3. ページを識別する名前を入力します 4. カスタムページが入った zip ファイルをブラウズします 注意 : カスタマイズしたサインインページを作成するには で提供されているテンプレートとドキュメントを使用してください 5. [Save Changes] をクリックします [Servers] タブ 認証サーバはユーザ証明書を認証し 承認サーバは IVE がシステム内のユーザ権限を決定するのに使用するユーザ情報を提供します たとえば 証明書サーバインスタンスを指定して クライアントサイドの証明書属性に基づいてユーザを認証することができます また LDAP サーバインスタンスを作成して CRL(certificate revocation list) 内に含まれている値に基づいてユーザを承認することもできます 認証サーバの詳細については 31 ページの 認証サーバ を参照してください 認証サーバインスタンスを定義する サーバインスタンスを定義するには 次の操作を実行します 1. 個々のサーバインスタンスの設定を指定します 手順については 以下を参照してください ACE/Server インスタンスを設定する (175) Active Directory または NT ドメインインスタンスを設定する (180) 匿名サーバインスタンスを設定する (182) 証明書サーバインスタンスを設定する (184) LDAP サーバインスタンスを設定する (187) ローカル IVE サーバインスタンスを設定する (192) Netegrity SiteMinder サーバインスタンスを設定する (202) NIS サーバインスタンスを設定する (197) RADIUS サーバインスタンスを設定する (199)

186 174 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 注意 : 選択するサーバの種類を決定するときは 次の点にご注意ください IVE ごとに作成できる ACE と Radius サーバインスタンスは それぞれ 1 つだけです Active Directory サーバを次のプロトコルで認証する場合 [NTLM protocol]-[active Directory/Windows NT Domain] を選択します (180 ページ ) [LDAP protocol]-[ldap Server] を選択します (187 ページ ) ユーザ管理者を認証するためにサーバインスタンスを作成する場合 (195 ページ ) [IVE Authentication] を選択する必要があります 2. 管理者とユーザを認証および承認するために サーバが使用する領域を指定します (225 ページ ) 3. ローカル IVE 認証サーバを設定している場合は ローカルユーザアカウントを定義してください 手順については 193 ページの ローカルユーザの作成 を参照してください 図 53:[System] [Signing In] [Servers]

187 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 175 ACE/Server インスタンスを設定する 次のようなトピックがあります ACE/Server の概要 ACE/Server インスタンスを定義する ACE/Agent 設定ファイルを生成する ACE/Server の概要 RSA ACE/Server でユーザを認証する場合 ユーザは 2 つの方法でサインインできます 標準 IVE サインインページを使用するユーザは標準 IVE サインインページを表示して ユーザ名とパスワード (PIN と RSA SecurID ハードウェアまたはソフトウェアトークンの現在値を結合した値 ) を入力します 次に IVE は ユーザの証明書を ACE/Server に転送します [Using the RSA SecurID Authentication] ページを使用するシステムに RSA SecurID ソフトウェアがインストールされている場合 URL 形式で https://ive/login/serverinstance と指定して [RSA SecurID Authentication] ページにアクセスし PIN を入力することができます (RSA 設定によっては ユーザはユーザ名も入力しなければならない場合があります ) サインインリクエストが有効であると IVE アプライアンスが確認すると RSA SecurID ソフトウェアは IVE アプライアンスを通じて透過的にトークン値を ACE/Server に渡すことができます ACE/Server が正常にユーザを認証した場合 ユーザは IVE アプライアンスへのアクセス権を取得します 認証されなかった場合 ACE/Server は次の処理を行います システムへのユーザアクセスを拒否するユーザの証明書が認められなかった場合です ユーザを標準 IVE サインインページにリダイレクトする SecurID ソフトウェアがインストールされていないコンピュータで ユーザが [RSA SecurID Authentication] ページにサインインしようとした場合です ユーザは新しい PIN を生成するように指示される ( 新しい PIN モード ) ユーザが初めて NetScreen Instant Virtual Extranet にサインインした場合です ( サインインの方法によって異なるメッセージが表示されます [RSA SecurID Authentication] ページでサインインした場合 新しい PIN の作成を指示する RSA メッセージが表示されます それ以外の場合は IVE メッセージが表示されます ) 最初にサインインするとき ユーザには一時的な PIN が必要になるので ご注意ください

188 176 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 次のトークンを入力するように指示される (Next Token モード ) ユーザが入力したトークンが ACE/Server が予期していたトークンと同期していなかった場合です ( ユーザが [RSA SecurID Authentication] ページにサインインした場合 透過的に Next Token モードに変わります ユーザが何も指定しなくても RSA SecurID ソフトウェアは IVE アプライアンスによってトークンを ACE/Server に渡します ) ユーザが New PIN または Next Token モードに入った場合 必要な情報を 3 分以内に入力する必要があります 時間が過ぎると IVE はトランザクションをキャンセルし 証明書を再び入力するように指示してきます IVE は 最大 200 の ACE/Server トランザクションを同時に制御できます 1 つのトランザクションは ACE/Server に対する認証に必要な時間のみ持続します たとえば ユーザが IVE にサインインすると ユーザが認証要求を送信したときに ACE/Server のトランザクションが開始し ACE/Server が要求の処理を完了したときにトランザクションが終了します ACE/Server のトランザクションが閉じた後でも ユーザは自身のセッションを開いたままにすることができます IVE では New PIN モード Next Token モード DES/SDI 暗号化 AES 暗号化 スレーブ ACE/Server のサポート ネームロッキング クラスタ化などの ACE/Server の機能をサポートします また IVE では RADIUS プロトコルを使用して RSA SecurID の New PIN モードと Next Token モードもサポートします 注意 : ACE/Server ライブラリには UNIX 特有の制限事項があるので 1 つの ACE/Server 設定しか定義できません ACE サーバ上で IVE アプライアンスの ACE/Agent 設定ファイルを生成する方法については 179 ページの ACE/Agent 設定ファイルを生成する を参照してください ACE/Server インスタンスを定義する 注意 : 追加できるのは 1 つの ACE/Server インスタンスだけです ACE/Server を定義するには 次の操作を実行します 1. IVE のために ACE サーバ上で ACE/Agent 設定ファイル (sdconf.rec) を生成する必要があります (179 ページ ) 2. Web コンソールで [System] [Signing In] [Servers] を選択します 3. 次のいずれかを実行します 新しいサーバインスタンスを IVE 上で作成するには [New] リストから [ACE Server] を選択して [New Server] をクリックします 既存のサーバインスタンスを更新するには [Authentication/Authorization Servers] リストの適切なリンクをクリックします

189 NetScreen Instant Virtual Extranet アプライアンス管理ガイド サーバインスタンスを識別する名前を指定します 注意 : エンドユーザが SecurID ソフトウェアトークンを ACE/Server に渡す場合 サーバインスタンス名にはスペースまたはその他の非英数文字を使用しないように注意すべきです SecurID ソフトウェアトークン値を ACE/Server に透過的に渡すには URL: https://ive/login/serverinstance を使用して [RSA SecurID Authentication] ページを参照する必要があります (IVE は IVE アプライアンスの IP アドレスまたはホスト名で ServerInstance は上記で定義した名前です ) サーバインスタンス名にスペースまたはその他の非英数文字を使用する場合 ユーザはエスケープ文字 (%20 など ) を URL に含める必要があります 5. デフォルトポート [ACE Port] フィールドを指定します sdconf.rec ファイルでポートを指定していない場合 IVE がこの設定を使用することに注意してください 6. RSA ACE/Agent 設定ファイルをインポートします ソースファイルに変更を加えた場合は 必ず IVE 上でこのファイルを更新してください 同様に IVE からインスタンスファイルを削除した場合は 179 ページの ACE/Agent 設定ファイルを生成する で説明しているように ACE Server Configuration Management アプリケーションを起動して [Sent Node Secret] チェックボックスのチェックを外してください 7. [Save Changes] をクリックします サーバインスタンスを最初に作成するときは [Settings] タブと [Users] タブが表示されます 8. 管理者とユーザを認証および承認するために サーバが使用する領域を指定します (225 ページ ) 注意 : サーバを通じて現在サインインしているユーザのセッションを監視および削除する詳細については 216 ページの ユーザセッションの表示と削除 を参照してください

190 178 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 54:[System] [Signing In] [Servers] [ACE Server]

191 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 179 ACE/Agent 設定ファイルを生成する 認証のために ACE/Server を使用する場合 IVE のために ACE サーバ上で ACE/Agent 設定ファイル (sdconf.rec) を生成する必要があります ACE/Agent 設定ファイルを生成するには 次の操作を実行します 1. ACE Server Configuration Management アプリケーションを起動して [Agent Host] をクリックします 2. [Add Agent Host] をクリックします 3. [Name] には IVE エージェントの名前を入力します 4. [Network Address] には IVE の IP アドレスを入力します 5. ACE サーバで設定されるサイトを [Site] に入力します 6. [Agent Type] で [Communication Server] を選択します 7. [Encryption Type] で [DES] を選択します 8. [Sent Node Secret] が選択されていないことを確認します ( 新しいエージェントの作成時 ) IVE が送信したリクエストを ACE サーバが初めて正常に認証すると ACE サーバは [Sent Node Secret] を選択します これ以降 次の認証リクエストで ACE サーバから新しいノードシークレットを IVE に送信したい場合は 次の手順を行います 1 [Sent Node Secret] チェックボックスをクリックして チェックを解除します 2 IVE Web コンソールにサインインして [System] [Signing In] [Servers] を選択します 3 [Authentication/Authorization Servers] リストの ACE サーバの名前をクリックします 4 [Node Verification File] で 適切なチェックボックスを選択して [Delete] をクリックします これらのステップで IVE と ACE サーバの同期が確実に行われます 同様に IVE から検証ファイルを削除した場合は ACE サーバで [Sent Node Secret] チェックボックスのチェックを外す必要があります 9. [Assign Acting Servers] をクリックして 適切な ACE サーバを選択します 10.[Generate Config File] をクリックします ACE サーバを IVE に追加する場合は この設定ファイルをインポートすることになります

192 180 NetScreen Instant Virtual Extranet アプライアンス管理ガイド Active Directory または NT ドメインインスタンスを設定する NT プライマリドメインコントローラまたは Active Directory でユーザを認証する場合 ユーザは Windows デスクトップのアクセスに使用する同じユーザ名とパスワードで IVE にサインインします Active Directory または Windows NT ドメインサーバインスタンスを定義する Active Directory または Windows NT ドメインサーバを定義するには 次の操作を実行します 1. Web コンソールで [System] [Signing In] [Servers] を選択します 2. 次のいずれかを実行します 新しいサーバインスタンスを IVE 上で作成するには [New] リストから [Active Directory/ Windows NT] を選択して [New Server] をクリックします 既存のサーバインスタンスを更新するには [Authentication/Authorization Servers] リストの適切なリンクをクリックします 3. サーバインスタンスを識別する名前を指定します 4. プライマリドメインコントローラまたは Active Directory の名前または IP アドレスを指定します 5. バックアップのドメインコントローラまたは Active Directory の IP アドレスを指定します ( オプション ) 6. アクセス権を与えたいユーザのドメイン名を入力します 7. [Save Changes] をクリックします サーバインスタンスを最初に作成するときは [Settings] タブと [Users] タブが表示されます 8. 管理者とユーザを認証および承認するために サーバが使用する領域を指定します (225 ページ ) 注意 : サーバを通じて現在サインインしているユーザのセッションを監視および削除する詳細については 216 ページの ユーザセッションの表示と削除 を参照してください

193 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 181 図 55:[System] [Signing In] [Servers] [Active Directory/Windows NT]

194 182 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 匿名サーバインスタンスを設定する 匿名サーバ機能により ユーザは ユーザ名またはパスワードを入力せずに IVE にアクセスすることができます その代わり 匿名サーバに対して認証するように設定するサインインページの URL をユーザが入力すると IVE は標準 IVE サインインページをバイパスし ただちに IVE Welcome ページをユーザに表示します IVE のリソースに非常に厳しいセキュリティは必要ないと考えた場合 あるいは IVE を通じて提供される他のセキュリティ対策で十分であると考えた場合は 匿名認証を使用することを選択できます たとえば 内部リソースへのアクセスに限定されたユーザロールを作成して 内部ネットワーク内に存在する IP アドレスからサインインすることだけをユーザに要求するポリシーのロールを認証することができます この方法は ユーザが内部ネットワークにアクセスできた場合 ユーザロールを通じて提供される特定のリソースをユーザが表示できるということを想定しています 匿名サーバインスタンスを定義および監視する場合は 次の点にご注意ください 追加できるのは 1 つの匿名サーバ設定だけです 管理者は 匿名サーバを使用して認証することはできません 9. 設定時に [Users] [Authentication] [General] タブで 認証サーバおよびディレクトリ / 属性サーバの両方として匿名サーバを選択する必要があります (225 ページ ) [Users] [Authentication] [Role Mapping] タブ (228 ページ ) を通じてロールマッピング規則を作成するとき 匿名サーバがユーザ名情報を収集しないので IVE は特定のユーザ ( Joe など ) に適用するマッピング規則をユーザが作成することを許可しません デフォルトユーザ名 (*) 証明書属性 またはカスタムエクスプレッションに基づいてのみロールマッピング規則を作成することができます セキュリティ上の理由から 匿名サーバを通じてサインインするユーザ数を制限したい場合があります これを行うには [Users] [Authentication] [Realm] [Authentication Policy] [Limits] タブのオプションを使用します ([Realm] は 匿名サーバがユーザの認証に使用するように設定される領域です )(227 ページ ) IVE がユーザ名を収集せずに個別のセッションデータを表示できないため [Users] タブを通じて匿名ユーザのセッションを表示および削除することはできません ( 他の認証サーバを使用した場合は可能です )

195 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 183 匿名サーバインスタンスを定義する 匿名サーバを定義するには 次の操作を実行します 1. Web コンソールで [System] [Signing In] [Servers] を選択します 2. 次のいずれかを実行します 新しいサーバインスタンスを IVE 上で作成するには [New] リストから [Anonymous Server] を選択して [New Server] をクリックします 既存のサーバインスタンスを更新するには [Authentication/Authorization Servers] リストの適切なリンクをクリックします 3. サーバインスタンスを識別する名前を指定します 4. [Save Changes] をクリックします 5. ユーザを承認するために サーバが使用する領域を指定します (225 ページ ) 図 56:[System] [Signing In] [Servers] [Anonymous Server]

196 184 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 証明書サーバインスタンスを設定する 証明書サーバ機能により ユーザは クライアントサイド証明書に含まれる属性に基づいて認証することができます ユーザを認証してロールにマッピングするために 証明書サーバを単独で使用することも または他のサーバと一緒に使用することができます たとえば 証明書属性だけに基づいてユーザを認証することを選択することができます IVE は ユーザの証明書を有効と決定した場合 証明書に含まれる CN( 通称 ) に基づいてユーザに署名するので ユーザ名またはパスワードの入力をユーザに要求しません または クライアントサイド証明書属性を 2 番目の認証サーバ (LDAP など ) に渡すことによってユーザを認証することを選択することができます このシナリオでは 証明書サーバは ユーザの証明書が有効かどうかを最初に決定します 有効な場合 証明書サーバは 選択した属性を CRL(certificate revocation list) を保持している LDAP サーバに渡します ユーザの証明書が ( 退社したか 肩書きが変わったために ) 取り消されている場合 LDAP サーバは 不正 ステータスを IVE に返し IVE はユーザアクセスを拒否します LDAP サーバが 正常 ステータスを返した場合は IVE は LDAP サーバから返された値に基づいてユーザをロールにマッピングします 証明書属性に基づいてユーザを認証するとき クライアントサイド証明書 ( クッキーおよび証明書など ) がユーザのシステム上に蓄積されていないことを確認するために IVE セクションを閉じた後にブラウザセクションを閉じるようにユーザに要求することは良いことです 証明書サーバの設定を定義する IVE 上で証明書サーバを定義するときは 次のステップを実行する必要があります 1. クライアントサイド証明書に署名するのに使用したルート CA をインポートするには 次の操作を実行します 1 [System] [Configuration] [Certificates] [CA Certificates] に移動します 2 ルート証明書をインポートします 2. 証明書サーバインスタンスを作成するには 次の操作を実行します 1 [System] [Signing In] [Servers] に移動します 2 [New] リストから [Certificate Server] を選択して [New Server] をクリックします 3 サーバインスタンスを識別する名前を指定します 既存のサーバの名前を変更した場合 IVE が新しい証明書インスタンスを新しい名前で作成し 古いサーバも保持することに注意してください

197 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Save Changes] をクリックします サーバインスタンスを最初に作成するときは [Settings] タブと [Users] タブが表示されます 注意 : サーバを通じて現在サインインしているユーザのセッションを監視および削除する詳細については 216 ページの ユーザセッションの表示と削除 を参照してください 3. LDAP に対して証明書属性を検証する場合は LDAP サーバインスタンスを作成します ( オプション ) 証明書から検証するユーザ固有の属性を検索するには LDAP 設定ページで [Finding user entries] オプションを使用する必要があることに注意してください 4. 次のいずれかのタブを使用して認証領域を作成するには 次の操作を実行します [Users] [Authentication] [Administrators] [Authentication] 5. 新しいサーバを使用するための領域を設定するには 次の操作を実行します 1 [Users/Administrators] [Authentication] [General] に移動します 2 [Authentication Server] リストから証明書サーバを選択します 3 [Directory/Attribute server] リストから LDAP サーバ ( 該当する場合 ) または [None] を選択します 6. 領域に対するユーザのアクセスを 個別の証明書属性に基づいて制限する場合は 次の操作を実行します 1 [Users/Administrators] [Authentication] [Realm] [Authentication Policy] [Certificate] に移動します 2 [Only allow users with client-side certificate...] オプションを選択します 3 ユーザの証明書 / 管理者の証明書に必ず含まれている値を指定します 7. 個別の証明書属性に基づいてユーザをロールにマッピングする場合は 次の操作を実行します 1 [Users/Administrators] [Authentication] [Realm] [Role Mapping] に移動します 2 証明書に基づいた規則を作成するオプションを表示するには [New Rule] を選択して [Rule based on] リストから [Certificate] を選択し [Update] をクリックします 3 証明書属性に基づいてロールマッピング規則を入力します 共通の証明書属性には次のようなものがあります CN: 通称 ユーザ名を保持するために頻繁に使用されます OU: 組織単位 ユーザの会社名を保持します 8. カスタムエクスプレッションを使用して証明書属性に基づいたより高度な規則を設定します ( オプション )

198 186 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 57:[System] [Signing In] [Servers] [Certificate Server]

199 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 187 LDAP サーバインスタンスを設定する IVE は LDAP 固有の 2 つの認証オプションをサポートします [Unencrypted] ユーザ名とパスワードは シンプルテキストとして LDAP ディレクトリサービスに送信されます [LDAPS] LDAP ディレクトリサービスに送信される前に LDAP 認証セッションのデータは Secure Socket Layer(SSL) プロトコルを使用して暗号化されます IVE も動的な LDAP サーバグループと LDAP パスワード管理を IVE を通じてサポートしています パスワード管理機能により LDAP サーバを通じて認証するユーザは LDAP サーバ 1 上で定義されたポリシーを使用して IVE を通じてパスワードを管理することができます たとえば ユーザが有効期限切れ間近の LDAP パスワードを使用して IVE にサインインを試みた場合 IVE はパスワード期限切れ情報を取得し IVE インターフェイスを通じてユーザにそれを表示して ユーザの応答を LDAP サーバに戻します その際 ユーザは個別に LDAP サーバにサインインする必要はありません 詳細については 以下を参照してください LDAP サーバインスタンスを定義する サポートされる LDAP パスワード管理機能 LDAP サーバインスタンスを定義する LDAP サーバインスタンスを定義するには 次の操作を実行します 1. Web コンソールで [System] [Signing In] [Servers] を選択します 2. 次のいずれかを実行します 新しいサーバインスタンスを IVE 上で作成するには [New] リストから [LDAP Server] を選択して [New Server] をクリックします 既存のサーバ インスタンスを更新するには [Authentication/Authorization Servers] リストの適切なリンクをクリックします 3. サーバインスタンスを識別する名前を指定します 4. IVE がユーザの検証に使用する LDAP サーバの名前または IP アドレスを指定します 5. LDAP サーバが待ち受けを行うポートを指定します このポートは通常 非暗号化接続のときは 389 SSL 使用のときは 636 になります 1. LDAP パスワード管理は ライセンスされている機能です

200 188 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 6. バックアップ LDAP サーバのために パラメータを指定します ( オプション ) 障害迂回のために IVE は指定されたサーバを使用します 各認証リクエストはまずプライマリ LDAP サーバに送られ プライマリサーバにアクセスできない場合に 指定されたバックアップサーバに送られます 注意 : バックアップ LDAP サーバは プライマリ LDAP サーバと同じバージョンでなければなりません またバックアップ LDAP サーバを指定した場合 ホスト名ではなく IP アドレスを指定するようにお勧めしているのでご注意ください ホスト名を IP アドレスに解決する必要がなくなるので 障害迂回の処理を高速化できます 7. IVE と LDAP ディレクトリサービスの間は 暗号化しないで接続するのか または SSL(LDAP) を使用するのかを指定します 8. ユーザを認証させたい LDAP サーバの種類を指定します IVE が動的なグループを Active Directory サーバと iplanet サーバと共にサポートすることに注意してください 9. IVE アプライアンスと指定した LDAP サーバの間で接続を検証するには [Test Connection] をクリックします ( オプション ) IVE は プライマリサーバおよび両方のバックアップサーバとの接続を検証することができます 10. パスワード管理機能 (189 ページ ) を使用して検索を実行するか パスワードを変更するために IVE が LDAP ディレクトリから認証を受ける必要がある場合は [Authentication required to search LDAP] チェックボックスをオンにして 管理者 DN およびパスワードを入力します 例 : DN: CN=Administrator, CN=Users, DC=eng, DC=NetScreen, DC=com 注意 : Active Directory でのパスワードの変更または動的 DN を使用した Active Directory データベースの検索では これは必須です 11.[Finding user entries] で 以下を指定します [Base DN] ユーザエントリの検索を開始する位置 [Filter] 検索を微調整したい場合 注意 : サインインページで入力したユーザ名を検索に使用するには フィルタに <USER>( 大文字 ) を含めてください 例 : DN: CN=cay, CN=dave, ou=eng, ou=mktg, o=netscreen.com 0 または 1 ユーザ DN を返すフィルタを指定するのは優れたアイデアです 12.[Determining group membership] で 以下を指定します [Base DN] ユーザエントリの検索を開始する位置です [Filter] 検索の微調整を行う場合に指定します [Member Attribute] 静的なグループのメンバを識別します [Query Attribute] 動的なグループのメンバを検索します

201 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Bind Options] で 以下を選択します [Simple bind] データを暗号化せずに LDAP ディレクトリサービスに送信します [StartTLS bind] LDAP ディレクトリサービスに送信される前に LDAP 認証セッションのデータは Transport Layer Security(TLS) プロトコルを使用して暗号化されます 14.[Save Changes] をクリックします サーバインスタンスを最初に作成するときは [Settings] タブと [Users] タブが表示されます 15. 管理者とユーザを認証および承認するために サーバが使用する領域を指定します (225 ページ ) 注意 : サーバを通じて現在サインインしているユーザのセッションを監視および削除する詳細については 216 ページの ユーザセッションの表示と削除 を参照してください サポートされる LDAP パスワード管理機能 以下に Microsoft Active Directory Sun iplanet および Novell edirectory LDAP サーバから認証をうけるときに IVE がサポートする LDAP パスワードポリシー ロックアウト および検証機能について説明します (IBM Secure Directory などの汎用 LDAP サーバから認証を受けるときには IVE は認証のみをサポートし ユーザに自身のパスワードの変更を許可します ) これらの機能は IVE が対応するメッセージ 機能 および制限をエンドユーザに渡す前に LDAP サーバ自体を通じて設定されている必要があります 注意 : Active Directory を使用する際の注意点を示します - Active Directory では ポリシー機能の設定時に ポリシーの更新に最大 90 分かかる可能性があります Active Directory がポリシーを完全に更新するまで 古いポリシー設定が持続されます - Active Directory のパスワード管理の使用時にパスワードの変更をサポートするには Active Directory サーバで LDAPS が有効になっている必要があります これには 有効な署名 SSL 証明書をパーソナル証明書ストア (MMC を使用し Certificates Snap-In を選択して有効にします ) にインポートするだけです この証明書の CN Subject は Active Directory サーバのホスト名と正確に一致している必要があります SSL 証明書は 信頼される CA によって署名されている必要があり 信頼できるものであれば ローカル CA を含んでいてもかまいません 信頼を確立するには ルート証明書がルート証明書ストアにインストールされていなければならないことにご注意ください

202 190 NetScreen Instant Virtual Extranet アプライアンス管理ガイド サポートされるパスワードポリシー機能 LDAP サーバに対して IVE ユーザを認証します IVE の [System] [Preferences] ページを通じてユーザが自身の LDAP パスワードを変更できるようにします LDAP パスワードの変更に成功した後 ユーザを IVE からサインアウトします ユーザが次回に IVE にサインインするときに LDAP パスワードを変更することを要求します 注意 : iplanet サーバでこのオプションを有効にした場合 ユーザをリセットするために Directory Manager にサインインしてユーザのパスワードを変更する必要があることにご注意ください 次回にユーザが新しいパスワードを使用してサインインすると IVE からパスワードを変更するよう要求されます LDAP パスワードの期限が切れたときにユーザに通知します LDAP パスワードの期限が切れる 14 日前にユーザに警告します 注意 : このオプションを有効にした場合を サーバ別に示します - iplanet サーバ - IVE は ユーザレベルのパスワード期限切れポリシーを認識するだけです グループレベルのポリシーは認識しません - Active Directory サーバ - アカウントの期限切れ日付を設定しても ユーザのパスワードの期限切れ日付には影響はありません サポートされるパスワードロックアウト機能 ユーザのパスワードが無効であるか ロックされている場合 そのユーザを IVE および LDAP サーバからロックアウトします サポートされるパスワード検証機能 LDAP パスワードの最低長を強制します LDAP パスワードの最低期間を強制して ユーザが頻繁にパスワードを変更できないようにします LDAP パスワードの複雑性の要件を強制して ユーザがユーザ名 名前 または姓をパスワードに含めることができないようにし 同時に英語の大文字 英語の小文字 数字 および英数字以外の文字 (! $ % など ) のうちの 3 つのカテゴリから文字を含めることを要求します ユーザの LDAP パスワード履歴を保持します パスワード履歴の値をゼロに設定すると ユーザは同じパスワードを再使用できます

203 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 191 図 58:[System] [Signing In] [Servers] [LDAP Server]

204 192 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ローカル IVE サーバインスタンスを設定する IVE では IVE で認証するユーザのローカルデータベースを 1 つまたは複数作成できます 無効にする予定の外部認証サーバで通常検証されるユーザの場合 または一時的なユーザのグループを作成したい場合 ローカルユーザレコードを作成したいと思うことがあります すべての管理者アカウントはローカルレコードとして保存されますが 227 ページの 認証領域ポリシーの指定 の手順を使用して 外部サーバを使用する管理者を認証することを選択できるので ご注意ください このセクションのタスクには 次のようなものがあります ローカル IVE サーバインスタンスを定義する ローカルユーザの作成 ユーザアカウントの管理 ユーザ管理の権限をエンドユーザに委任する ローカル IVE サーバインスタンスを定義する ローカル IVE サーバを定義するには 次の操作を実行します 1. Web コンソールで [System] [Signing In] [Servers] を選択します 2. 次のいずれかを実行します 新しいサーバインスタンスを IVE 上で作成するには [New] リストから [IVE Authentication] を選択して [New Server] をクリックします 既存のサーバインスタンスを更新するには [Authentication/Authorization Servers] リストの適切なリンクをクリックします 3. サーバインスタンスを識別する名前を指定します 4. [Save Changes] をクリックします サーバインスタンスを最初に作成するときは [Users] タブと [Admin Users] タブが表示されます 5. 管理者とユーザ (227 ページ ) を認証および承認するために サーバが使用する領域を指定します

205 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 193 図 59:[System] [Signing In] [Servers] [Local IVE Authentication] ローカルユーザの作成 認証サーバの種類として IVE 認証 を選択する場合 このデータベースのために ローカルユーザレコードを定義する必要があります ローカルユーザレコードは ユーザ名 ユーザの氏名 ユーザのパスワードで構成されます 無効にする予定の外部認証サーバで通常検証されるユーザの場合 または一時的なユーザのグループを素早く作成したい場合 ローカルユーザレコードを作成すると便利です IVE ローカル認証のためにローカルユーザレコードを作成するには 次の操作を実行します 1. Web コンソールで 次のいずれかを実行します [System] [Signing In] [Servers] を選択して ユーザアカウントを追加する IVE データベースをクリックします それから [Users] タブを選択して [New] をクリックします [Users] [New User] を選択します 2. ユーザ名 ユーザの氏名 パスワードを入力します 注意 : ユーザ名に ~~ を含めないでください アカウントの作成後に ユーザのユーザ名を変更したい場合は 新しいアカウントそのものを作成する必要があります 3. ([Users] [New User] ページのみ ) [Authenticate Using] リストから ユーザアカウントを追加したい IVE データベースを選択します 4. [Save Changes] をクリックします ユーザレコードが IVE データベースに追加されます

206 194 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 60:[Users] [Signing In] [Servers] [Local IVE Authentication] [Users] [New User] ユーザアカウントの管理 ローカル IVE 認証サーバの設定ページには [Users] タブがあります このタブを使用して アクティブな IVE ユーザアカウントを表示 編集 および削除することができます ローカルユーザアカウントを管理するには 次の操作を実行します 1. Web コンソールで [System] [Signing In] [Servers] を選択します 2. [Authentication/Authorization Servers] リストの適切なリンクをクリックします 3. [Users] タブを選択します 4. 次のいずれかのタスクを実行します 特定のユーザを検索するには [Show users named] フィールドにユーザ名を入力して [Update] をクリックします また ワイルドカードとして * を使用できます * は 0 を含む任意の文字数の文字を表します たとえば jo という文字を含むユーザ名をすべて検索したい場合は [Show users named] フィールドに *jo* と入力します この検索では 大文字と小文字は区別されます アカウントのリスト全体を再び表示する場合は * 文字を入力するか 指定した文字を削除して [Update] をクリックします ページに表示されるユーザの数を制御するには [Show N users ] フィールドに数字を入力して [Update] をクリックします 個々のユーザの IVE セッションを終了するには ユーザの横にあるチェックボックスをクリックし [Delete] をクリックします

207 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 195 図 61:[System] [Signing In] [Servers] [Local IVE Authentication] [Users] ユーザ管理の権限をエンドユーザに委任する [System] [Signing In] [Admin Users] タブを使用して ユーザ管理の権限を選択したエンドユーザに委任します 権限を委任する処理は ローカル IVE 認証サーバへのユーザの追加 ユーザの削除 ユーザの氏名変更 ユーザパスワードの変更で セキュアゲートウェイホームページの [User Admin] メニューで実行します 注意 : ユーザ管理者が管理できるのは ローカル IVE 認証サーバだけです また ユーザ管理者は 領域あるいはロールマッピングは管理できないので注意してください したがって User Admin 機能を有効にすることをお勧めできるのは 管理者の手間をかけずに ユーザ管理者が正常に新しいユーザを追加できるように 認証領域のロールマッピング規則が 一致しない ユーザ (*) にも IVE へのサインインを認めている場合だけです ( ロールマッピングが自動になっている場合 ユーザ管理者は 手動で新しいユーザをロールにマッピングするように管理者に依頼する必要はありません )

208 196 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ユーザ管理の権限をエンドユーザに委任するには 次の操作を実行します 1. Web コンソールで [System] [Signing In] [Servers] を選択します 2. ユーザ管理者に管理を任せたいローカル IVE 認証サーバインスタンスを選択し [Admin Users] タブをクリックします 注意 : ユーザ管理者が管理できるのは IVE 認証サーバだけです 3. 選択した認証サーバの管理を任せるユーザのユーザ名を [Username] に入力します ( 管理するサーバに ローカルユーザとして このユーザを追加する必要はありません ) 注意 : 厳密に一致する必要があるので ユーザ管理者のユーザ名を入力するときは 十分に注意してください 4. ユーザ管理者が IVE にサインインするときにマッピングする [Authentication Realm] を選択します 5. [Add] をクリックします IVE は という形式で [User Admins] リストに新しいユーザ管理者を追加します 6. 指定したユーザ管理者が複数の領域にマッピングする場合 IVE へのサインインに使用するアカウントに関係なくサーバを管理できるように 各領域に対して 必要に応じてステップ 3 ~ 5 を繰り返してください 7. ユーザの管理権限を取り消す場合は [User Admins] リストから名前を選択して [Remove] をクリックします 注意 : セキュアゲートウェイホームページからのユーザ管理については セキュアゲートウェイヘルプの ユーザの追加および変更 を参照してください このヘルプは IVE から使用可能なユーザヘルプです

209 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 197 NIS サーバインスタンスを設定する UNIX/NIS サーバでユーザを認証する場合 IVE は サインインページに入力したユーザ名とパスワードが NIS サーバにある有効なユーザ ID とパスワードに一致しているか検証します IVE に送信するユーザ名には 2 つの連続したチルダ (~~) を含めることができないのでご注意ください 注意 : パスワードが Crypt または MD5 フォーマットを使用して NIS サーバ上に格納されている場合 IVE では NIS 認証だけを使用することができます NIS サーバ設定を 1 つだけ IVE に追加できますが その設定を使用して領域のあらゆるメンバを認証できることにも注意してください NIS サーバインスタンスを定義する NIS サーバインスタンスを定義するには 次の操作を実行します 1. Web コンソールで [System] [Signing In] [Servers] を選択します 2. 次のいずれかを実行します 新しいサーバインスタンスを IVE 上で作成するには [New] リストから [NIS Server] を選択して [New Server] をクリックします 既存のサーバインスタンスを更新するには [Authentication/Authorization Servers] リストの適切なリンクをクリックします 3. サーバインスタンスを識別する名前を指定します 4. NIS サーバの名前または IP アドレスを指定します 5. NIS サーバのドメイン名を指定します 6. [Save Changes] をクリックします サーバインスタンスを最初に作成するときは [Settings] タブと [Users] タブが表示されます 7. 管理者とユーザを認証および承認するために サーバが使用する領域を指定します (225 ページ ) 注意 : サーバを通じて現在サインインしているユーザのセッションを監視および削除する詳細については 216 ページの ユーザセッションの表示と削除 を参照してください

210 198 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 62:[System] [Signing In] [Servers] [NIS Server]

211 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 199 RADIUS サーバインスタンスを設定する RADIUS サーバでユーザを認証する場合 IVE をクライアントとして認識するように RADIUS サーバを設定し クライアントリクエストの認証に使用するために RADIUS サーバに対して共有シークレットを指定する必要があります IVE は Access-Request Access-Accept Access-Reject および Access-Challenge を含めて 標準的な RADIUS 認証方式をサポートします また RADUS プロトコルや SecurID トークン (Security Dynamics により利用可能 ) を使用して RSA ACE/Server をサポートします ユーザの認証に SecurID を使用する場合 ユーザはユーザ ID とともに PIN とトークン値を結合した値を指定する必要があります PassGo Defender RADIUS Server を使用している場合 ユーザは次の手順でサインインを行います 1. ユーザは ユーザ名とパスワードで IVE にサインインします IVE は これらの証明書を Defender に転送します 2. Defender は固有のチャレンジ文字列を IVE に送信し IVE はこのチャレンジ文字列をユーザに表示します 3. ユーザは Defender トークンにチャレンジ文字列を入力し トークンはレスポンス文字列を生成します 4. ユーザは IVE にレスポンス文字列を入力し [Sign In] をクリックします RADIUS サーバを定義する RADIUS サーバを定義するには 次の操作を実行します 1. Web コンソールで [System] [Signing In] [Servers] を選択します 2. 次のいずれかを実行します 新しいサーバインスタンスを IVE 上で作成するには [New] リストから [Radius Server] を選択して [New Server] をクリックします 既存のサーバ インスタンスを更新するには [Authentication/Authorization Servers] リストの適切なリンクをクリックします 3. サーバインスタンスを識別する名前を指定します 4. Radius サーバの名前または IP アドレスを指定します 5. RADIUS サーバのポート値を入力します 通常 このポートは 1645 です 6. 共有シークレットの文字列を入力します RADIUS サーバが IVE マシンをクライアントとして認識するように設定した場合 この文字列も入力する必要があります 7. IVE が RADIUS サーバからのレスポンスを待ち 接続を切るまでのタイムアウトの時間を入力します

212 200 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 8. 最初の試行が失敗した後に IVE が接続を試みる回数を入力します 9. このインスタンスに定義されたプライマリサーバにアクセスできなかった場合に IVE が使用するセカンダリ RADIUS サーバを入力します セカンダリサーバの場合は 以下のサーバ情報を入力します 名前または IP アドレス ポート値 共有シークレット 注意 : このセカンダリ RADIUS サーバのために インスタンスを定義したかどうかを確認します 10.[Save Changes] をクリックします サーバインスタンスを最初に作成するときは [Settings] タブと [Users] タブが表示されます 11. 次の手順に従って プライマリおよびセカンダリ RADIUS サーバが IVE を認識するように設定します 12. 管理者とユーザを認証および承認するために サーバが使用する領域を指定します (225 ページ ) 注意 : サーバを通じて現在サインインしているユーザのセッションを監視および削除する詳細については 216 ページの ユーザセッションの表示と削除 を参照してください 図 63:[System] [Signing In] [Servers] [Radius Server]

213 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 201 RADIUS サーバが IVE を認識するように設定する 以下の値を指定して RADIUS サーバが IVE アプライアンスサーバを認識するように設定する必要があります IVE アプライアンスのホスト名 IVE アプライアンスのネットワーク IP アドレス IVE アプライアンスのクライアントの種類 ( 指定可能な場合 ) このオプションを利用できる場合は Single Transaction Server または類似の値を選択します クライアント通信の認証に使用する暗号化の種類 この選択は クライアントの種類に対応した値でなければなりません Web コンソールの [System] [Signing In] [Servers] [Radius Server] ページで RADIUS サーバのために入力した共有シークレット

214 202 NetScreen Instant Virtual Extranet アプライアンス管理ガイド Netegrity SiteMinder サーバインスタンスを設定する 次のようなトピックがあります Netegrity SiteMinder の概要 SiteMinder ポリシーサーバ上で Web エージェントとして IVE を設定する. 207 下位の保護レベルのユーザを再認証するために IVE を設定する Netegrity SiteMinder インスタンスを定義する 高度な SiteMinder 設定オプションを設定する Netegrity SiteMinder の概要 Netegrity SiteMinder サーバでユーザを認証する場合 IVE は アクセス権を与える前に サインインページを通じて入力されたユーザ名とパスワードが Netegrity SiteMinder サーバに対して有効であるか検証します IVE からのユーザのシングルサインオン認証を SiteMinder に提供するために 認証時に IVE はユーザ証明書を Netegrity SiteMinder サーバに渡します SiteMinder サーバは 203 ページの 複数の認証方式を使用して認証する に説明されているように 標準的な Netegrity 認証の ACE SecurID トークン またはクライアントサイド証明書を使用して IVE から渡された証明書を認証することができます ユーザが特定の保護レベルで SiteMinder サーバの認証を受けた場合 ユーザは自身の保護レベルと同等または下位の保護レベルで SiteMinder Web リソースへのシームレスなアクセスを認められます ユーザが上位の保護レベルで Web リソースへのアクセスを試みると 207 ページの 下位の保護レベルのユーザを再認証するために IVE を設定する に説明されているように IVE が再認証を行うことができます IVE アプライアンスは Netegrity SiteMinder セキュリティトークン (SMSESSION クッキーとも呼ばれます ) を保存することで Netegrity で保護しているリソースに対して シングルサインオンができるようにします ユーザが IVE アプライアンスにサインインすると IVE アプライアンスは Web コンソールに指定された Web エージェントに接触し ユーザの証明書を Web エージェントに転送します 証明書が認証されると Web エージェントは SMSESSION クッキーを IVE アプライアンスに渡します IVE は SMESESSION クッキーを受け取ると 検証してから保存します ユーザが標準的な Web エージェントで Web リソースへのアクセスを試みると IVE アプライアンスは認証のためにクッキーをこの Web エージェントに渡します SMSESSION クッキーには ユーザ名 パスワード 承認された保護レベルなど さまざまなユーザ情報が含まれています 204 ページの SiteMinder 認証を使用して IVE に自動的にサインインする に説明されているように Netegrity SDK で作成した IVE カスタムエージェントまたは他の標準的な Web エージェントのいずれを使用して SMSESSION クッキーを作成してユーザのブラウザに書き込むことができます

215 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 203 また 205 ページの 自動的に SiteMinder から IVE にサインインする に説明されているように SiteMinder からユーザ証明書を受け取るようにオプションで設定できるため SiteMinder から IVE にシングルサインオンを提供することができます 重要 : このガイドの印刷時点で NetScreen は 標準的なエージェントのバージョン 5QMR5 および 4QMR6 を備えた Netegrity Siteminder サーバのバージョン 5.5 をサポートし Netegrity Siteminder サーバのバージョン 4.61 との互換性があります 複数の認証方式を使用して認証する 認証方式は SiteMinder 内でユーザ証明書を収集してユーザの身元を決定する方法です 認証方式を個別に作成して そのそれぞれを異なる保護レベルに関連付けることができます たとえば 2 つの方式を作成して 1 つの方式でユーザのクライアントサイド証明書を検証して下位の保護レベルを提供し 2 番目の方式で ACE SecurID トークン認証を使用してユーザにより上位の保護レベルを提供することが可能です IVE は 次のような SiteMinder 認証方式に対応しています 基本的なユーザ名とパスワードの認証ユーザの名前とパスワードは SiteMinder ポリシーサーバに渡されます SiteMinder ポリシーサーバは ユーザの名前とパスワードを自身で認証することも 認証のために別のサーバに渡すこともできます (205 ページ ) ACE SecurID トークンの認証 SiteMinder ポリシーサーバは ACE SecurID トークンで生成されたユーザ名とパスワードに基づいて ユーザを認証します クライアントサイド証明書の認証 SiteMinder ポリシーサーバは クライアントサイド証明書の認証情報 1 に基づいてユーザを認証します この認証方法を選択すると IVE は標準サインインページを表示して ユーザ名とパスワードを入力するよう要求してきますが 2 IVE と SiteMinder サーバのいずれもがユーザ名とパスワードを必要としなければ ユーザはこれらのフィールドを空欄にしたまま [Submit] をクリックすることができます 重要 : この方法を使用してユーザを認証することを選択した場合は [System] [Certificates] [CA Certificates] タブ (126 ページ ) を通じて CA 証明書を IVE にインポートする必要があります 1. SiteMinder クライアントサイド証明書の認証は IVE クライアントサイド証明書の認証とは異なります 2. 標準 IVE サインインページをユーザに表示したくない場合 ユーザ設定可能な UI(Custom Pages) 機能を使用して変更することができます この機能は NetScreen サポートサイトから入手可能です

216 204 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 重要 : さまざまな認証方法と併用するために IVE を設定するには それぞれの SiteMinder 認証方式を IVE サインイン URL と関連付けます 本番稼動中のプロセスには 次のものがあります 1. ユーザは 領域に関連付けられた URL にサインインするか または IVE サインインページのドロップダウンリストから領域を選択することで いずれかの領域を選択します 2. IVE は 選択した領域に関連付けられた保護リソースを SiteMinder に送信します 3. リソースに基づいて SiteMinder は 使用する認証の種類とユーザの保護レベルを決定します 4. IVE は 認証方式に必要とされる証明書を収集して 認証のために SiteMinder に渡します SiteMinder 認証を使用して IVE に自動的にサインインする IVE からのシングルサインオンを SiteMinder に対して有効にするために Web エージェントは SMSESSION クッキーを作成して ユーザのブラウザに書き込む必要があります SMSESSION クッキーは SiteMinder または IVE カスタム Web エージェントのいずれかで次のメカニズムを使用して作成して ユーザのブラウザに書き込むことができます カスタムエージェントオプションを使用して認証する (210 ページ ) IVE アプライアンスは Netegrity Software Development Kit(SDK) で作成したカスタム Web エージェントを使用します ユーザが IVE アプライアンスにサインインすると カスタム Web エージェントは ユーザ証明書を SiteMinder ポリシーサーバに渡します 証明書が認証されると カスタム Web エージェントは SMSESSION クッキーを作成して IVE アプライアンスに保存します ユーザが標準的な Web エージェントで別の Web リソースにアクセスを試みると IVE アプライアンスは認証のためにクッキーをこの Web エージェントに渡します 重要 : このオプションを選択した場合は 次のクッキーを認識するように 標準的な Web エージェントを適切な Siteminder Agent Quarterly Maintenance Release (QMR) に更新する必要があります SiteMinder バージョン 4 Web エージェント - Netegrity Web サイトから入手可能な QMR パス V4QMR4-010.zip を使用してください ( また V4QMR4- Windows.zip など 必須のホットフィックスをインストールしなければならない場合もあります ) SiteMinder バージョン 5 Web エージェント- QMR5 ホットフィックスを使用してください (2002 年 9 月 30 日に Netegrity から入手可能 ) Web エージェントの設定ファイル (webagent.conf) で Accept Third Party Cookie 属性 (AcceptTPCookie) を yes に設定するか IIS Web サーバの Windows レジストリで 1 に設定する必要があることに注意してください この属性を指定する場所は SiteMinder のバージョンや使用する Web サーバによって変わります 詳細については SiteMinder サーバのマニュアルを参照してください

217 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 205 HTML フォーム転送オプションを使用して認証する (210 ページ ) IVE アプライアンスは SMSESSION クッキーを生成しない代わりに 別の Web エージェントからクッキーを取得します HTML フォーム転送を使用した認証オプションを有効にする場合は 次の点にご注意ください クライアントサイド証明書の認証との組み合わせではサポートされません SecurID New Pin モードと Next Token モードをサポートしません 自動的に SiteMinder から IVE にサインインする 別の Web エージェントからのシングルサインオンを IVE に対して有効にするために IVE は 標準的な SiteMinder v4.x または v5.x Web エージェントで作成した既存の SMSESSION 検証する必要があります [Automatic Sign in] オプション (210 ページ ) を選択すると ユーザが既に IVE アプライアンスと同じドメインにある別の Netegrity 対応サーバにサインインしている場合 ユーザはサインインを再び求められることなく IVE アプライアンスにアクセスできます IVE アプライアンスは ポリシーサーバを通じてユーザのブラウザが送信した SMSESSION クッキーを検証するだけです この方法で IVE にサインインしたすべてのユーザは IVE Web コンソールの [System] [Signing In] [Servers] [SiteMinder server] タブで指定する領域にマッピングされ [Users] [Authentication] [Realm] [Role Mapping] タブの設定に基づいて割り当てられます [Automatic Sign in] オプションを有効にする場合は 次の点にご注意ください 複数の領域と関連付けられている URL にユーザが自動的にサインインする場合 IVE は IVE Web コンソールの [System] [Signing In] [Servers] [SiteMinder server] タブで指定した領域 ([System] [Signing In] [Signin Policies] タブで指定した URL( ではありません ) にユーザをサインインします ユーザの SMSESSION クッキーと関連付けられた保護レベルが IVE 領域の保護レベルと異なる場合 IVE はクッキーと関連付けられた保護レベルを使用します シングルサインオン用の正しいユーザ名を取得する 異なる認証方式とサインインポイントを利用した場合 IVE は同じユーザのさまざまなユーザ名を受信する可能性があります IVE が別のサーバに対して同じユーザ名を使用する場合 SiteMinder が提供した名前に優先権を付与しようと試みます ユーザが以下を実行すると

218 206 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 標準 IVE サインインページを通じてサインインする - IVE は OnAuthAccept ヘッダ内の SiteMinder が返したユーザ名に優先権を付与します SiteMinder がユーザ名を提供した場合 IVE はユーザがサインイン時に入力した名前を使用します 提供しなかった場合 SiteMinder とユーザのいずれもがユーザ名を提供しなければ IVE はポリシーサーバが返した UserDN を使用します ( これは サーバ上で CA 証明書を経由してユーザを認証することを選択している場合にのみ実行されます ) SiteMinder 証明書を使用して IVE に自動的にサインインする - IVE は [OnAuthAccept] ヘッダ内の SiteMinder が返したユーザ名に優先権を付与します SiteMinder がユーザ名を提供しなかった場合 IVE は SMSESSION クッキーに入っているユーザ名を使用します 提供した場合は SMSESSION クッキーに入っている UserDN を使用します 正しいユーザ名を渡すには IVE Web エージェント用のポリシーサーバの以下のオプションを設定してください 1. リソースが /ive-authentication の領域に移動します 2. 以下で 新しい規則を作成します Action=Authentication event OnAuthAccept is selected 3. 以下で 新しい応答を作成します Attribute Name=WebAgent-HTTP-Header-Variable Variable Name=IVEUSERNAME その他の考慮事項 Netegrity は IP アドレスを SMSESSION クッキーに保存しないため IVE アプライアンスに IP アドレスを渡すことができません SiteMinder は SMSESSION クッキーを永続クッキーとして IVE に送ります セキュリティを最大限に強化するには IVE は認証が完了したら 永続クッキーをセッションクッキーとしてリセットします IVE は W-SAM ネットワーク接続 または [Automatic Sign in] 機能を使用した Host Checker または Cache Cleaner による事前認証確認をサポートしません

219 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 207 SiteMinder ポリシーサーバ上で Web エージェントとして IVE を設定する SiteMinder サーバを IVE 認証サーバとして追加するには まず SiteMinder ポリシーサーバ上のエージェントとして IVE を設定する必要があります これ以降は SiteMinder ポリシーサーバを設定する全般的な手順を概説します 詳細については SiteMinder サーバのマニュアルを参照してください SiteMinder ポリシーサーバ上で Web エージェントとして IVE を設定するには 次の操作を実行します 1. ポリシーサーバのユーザインターフェイスにサインインします 2. IVE に対してエージェントを作成します SiteMinder バージョン 5 を使用している場合 Host Configuration Object を作成するか 既存の Host Configuration Object をコピーしてパラメータ値を変更します 3. 新しい Policy Domain を設定するか 既存の Policy Domain を使用します 4. Policy Domain では SiteMinder Realm を作成します Resource Filter を / に設定し 次に全リソース * を保護するために GET 規則を設定します IVE デフォルトに一致する /ive-authentication を使用します これ以降 Web コンソールで SiteMinder 認証サーバを設定する場合 [Protected Resource] フィールドには 対応する設定値を必ず使用するようにします 5. Policy Domain では Rules と既存の User Directories を関連付けるポリシーを作成します 下位の保護レベルのユーザを再認証するために IVE を設定する IVE 設定時に ユーザの SiteMinder セッションで許可された保護レベルを制御するために 保護リソース (URL) 指定する必要があります IVE は URL の関連する部分 ( ドメイン以降をすべて ) を抽出して 認証のために SiteMinder に渡します SiteMinder は URL に最低限の保護レベルをユーザに付与します ユーザが アクセスを承認されているより上位の保護レベルを必要とする Web リソースへのアクセスを試みると IVE は次のオプションを備えた中間ページにユーザをダイレクトすることによって 再認証を行うことができます [Continue]- ユーザがこのオプションを選択すると IVE は ユーザを現在のセッションからサインアウトして 上位レベルのリソースに必要とされる証明書をユーザに要求します 証明書が認証された場合は アクセスしようと試みているページにユーザをダイレクトします [Cancel]- ユーザがこのオプションを選択すると ユーザは前のページにリダイレクトされます

220 208 NetScreen Instant Virtual Extranet アプライアンス管理ガイド そうではなく IVE を通じて再認証することを選択しない場合 ポリシーサーバが認証方式 URL をユーザに返すか返さないかによって再認証プロセスは異なります ポリシーサーバが以下を実行する場合 認証方式 URL を返さない - IVE は 検証失敗メッセージをユーザに返し 標準の welcome.cgi ページを通じて再認証を行います ユーザは サインインし直すように求められますが 元の保護レベルが割り当てられるため 目的のページにサインインできない可能性があります 認証方式 URL を返す - IVE は 再認証を行うために 標準的な Web エージェントにリダイレクトします IVE を通じて再認証を行うには 次の手順を実行します 1. Web コンソールの [System] [Signing In] [Sign-in Policies] ページで SiteMinder サーバインスタンスのサインイン URL を定義します (166 ページ ) 2. 次のパラメータを使用して 認証方式を SiteMinder ポリシーサーバ上で定義します 目的の保護レベルを入力します ( たとえば 30) [Password Enabled] チェックボックスをオンにします [Server Name] に IVE ホスト名を入力します ( たとえば sales.yourcompany.net) [Use SSL Connection] チェックボックスをオンにします [Target] で ステップ 1 で定義された IVE サインイン URL に ive=1 パラメータを加えて入力します ( たとえば /highproturl?ive=1) 注意 : 変更を保存すると ive=1 は送信先に表示されなくなります これで問題ありません ポリシーサーバは [Advanced] タブの [Parameter] フィールドで確認できるように IVE に送信される全部の認証方式 URL に ive=1 を入れます [Allow Form Auth Scheme to Save Credentials] チェックボックスのチェックを外します [Additional Attribute] リストを空欄にします Netegrity SiteMinder インスタンスを定義する Netegrity SiteMinder サーバインスタンスを定義するには 次の操作を実行します ページの SiteMinder ポリシーサーバ上で Web エージェントとして IVE を設定する の説明に従って IVE をポリシーサーバのエージェントとして設定します 2. Web コンソールで [System] [Signing In] [Servers] を選択します

221 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 次のいずれかを実行します 新しいサーバインスタンスを IVE 上で作成するには [New] リストから [SiteMinder Server] を選択して [New Server] をクリックします 既存のサーバインスタンスを更新するには [Authentication/Authorization Servers] リストの適切なリンクをクリックします 4. [Name] フィールドで サーバインスタンスを識別する名前を指定します 5. [Policy Server] フィールドに ユーザを認証するのに使用する SiteMinder ポリシーサーバの名前と IP アドレスを入力します 6. [Backup Server(s)] フィールドに バックアップポリシーサーバのリストをカンマで区切って入力します ( オプション ) 次に [Failover Mode:] を選択します 障害が発生しない限り IVE アプライアンスでメインポリシーサーバを使用する場合は [Yes] を選択します シ指定した膳ポリシーサーバ間で負荷を分散するように IVE アプライアンスを設定する場合は [No] を選択します ページの SiteMinder ポリシーサーバ上で Web エージェントとして IVE を設定する で指定した共有 [Secret] と [Agent Name] を指定します 8. [On logout, redirect to] フィールドで IVE からサインアウトしたときにユーザをリダイレクトするページの URL を指定します ( オプション ) このフィールドを空欄にした場合 デフォルトの IVE サインインページ (login.cgi) が表示されます 重要 : 下位互換性のために [On logout, redirect to] フィールドが 4.0 製品リリースに含まれていますが 中止される予定です サインアウトするときに ユーザを別のサインインページにリダイレクトしたい場合は その代わりに [Custom Pages] 機能を使用することを強くお勧めします (171 ページ ) 9. [Protected Resource] フィールドに 保護リソースを入力します (207 ページ ) IVE は この URL を使用して セッションのユーザ保護レベルを設定します ユーザが * URL( デフォルトの IVE サインインページ ) にサインインしている場合は /ive-authentication を入力します 10.[Resource Action] で これが新しい SiteMinder サーバインスタンスの場合 リソースアクションが GET( 読み取り専用 ) であることに注意してください SiteMinder インスタンスが 3.x インスタンスから更新されている場合は 以前に選択したリソースアクション (GET POST PUT など) が使用されます 注意 : 既存のリソースアクションを GET に変更するには SiteMinder サーバインスタンスを削除して 新しく作成し直す必要があります

222 210 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 11.[Cookie Domain] フィールドに IVE のクッキードメインを入力します 次の点にご注意ください 複数のドメインは カンマで区切ってください ( たとえば sales.myorg.com, marketing.myorg.com ) ドメインでは 大文字と小文字は区別されます ワイルドカード文字は 使用することができません 12.[Cookie Provider Domain] フィールドには IVE アプライアンスが SMSESSION クッキーの内容を送信するインターネットドメインを入力します 複数のクッキードメインにまたがるシングルサインオンを有効にするために クッキープロバイダを設定した場合 クッキープロバイダのドメインを入力します 設定していない場合は シングルサインオンが必要な Web エージェントのドメインを入力します 13. セキュアクッキーを受け入れるように他の Web エージェントを設定している場合 クッキーをセキュアに送信するには [Protocol] セクションで [HTTPS] を選択します また クッキーを非セキュアに送信するには [HTTP] を選択します 14. 有効な SMSESSION を持っているユーザを IVE に自動的にサインインさせるには [Automatic Sign-In] チェックボックスをオンにします 次に ユーザがマッピングされる認証領域を選択します これらのオプションに関する詳細と制限については 205 ページの 自動的に SiteMinder から IVE にサインインする を参照してください 15. 次のクッキー認証方法のいずれかを選択します [Authenticate using custom agent]- IVE カスタム Web エージェントを使用して認証したい場合は このオプションを選択します [Authenticate using HTML form post]- 別の Web エージェントに対して認証したい場合は このオプションを選択します フォーム転送設定を指定します 設定 Target Protocol Webagent Port 説明 外部の Netegrity 対応 Web サーバの URL です IVE と指定された Web エージェントを結ぶ通信プロトコルです 非セキュア通信には HTTP を使用し セキュア通信には HTTPS を使用します Web エージェントの名前です IVE は このエージェントから SMSESSION クッキーを取得します このフィールドには IP アドレスを指定できません Web エージェントとして IP アドレスを指定すると 一部のブラウザはクッキーを受信できなくなります HTTP の場合はポート 80 で HTTPS の場合はポート 443 です

223 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 211 設定 Path Parameters 説明 Web エージェントのサインインページのパスです ユーザのサインイン時に送信する Post パラメータです デフォルトの場合 IVE は 変数 USER PASS および TARGET を使用します これらの変数は Web エージェントのサインインページでユーザが入力したユーザ名とパスワード および [Target] フィールドに指定した値で置き換えられます これらのオプションの詳細と制限については 204 ページの SiteMinder 認証を使用して IVE に自動的にサインインする を参照してください 16.[If authentication fails, redirect to] フィールドに IVE が認証に失敗し SiteMinder ポリシーサーバからレスポンスを受信しない場合にユーザがリダイレクトされる代替 URL を入力します このフィールドを空欄にした場合 ユーザは IVE にサインインするように要求されます 注意 : ユーザ設定可能な UI(Custom Pages) オプションを使用している場合 (171 ページ ) IVE が 2 つの異なる事例で welcome.cgi にリダイレクトすることに注意してください これらの特別な事例の両方をカスタムページで説明する必要があります セッションタイムアウトとアイドルタイムアウト : /dana-na/auth/welcome.cgi?p=timed-out. 失敗したクッキー検証 :/dana-na/auth/welcome.cgi?p=failed. 17. SiteMinder ポリシーサーバ規則を使用してユーザ Web リソースリクエストを承認するには [Authorize requests against SiteMinder policy server] チェックボックスをオンにします このオプションを選択する場合は SiteMinder の中で および など サーバ名にスラッシュを付けた適切な規則を作成したかどうかを確認してください 18.[Resource for insufficient protection level] フィールドに 適切な許可がないユーザを IVE がリダイレクトする Web エージェントのリソースを入力します ユーザが自身の SMSESSION クッキーの保護レベルより上位の保護レベルのリソースにアクセスすると セキュアなサインインページを受け取ります 再認証の後 ユーザは より上位の保護レベルの SMSESSION クッキーを取得して Web ページにリダイレクトされます IVE が表示する Web ページの種類は 設定によって異なります 以下を通じて再認証したい場合は

224 212 NetScreen Instant Virtual Extranet アプライアンス管理ガイド FCCCompatMode = yes の標準 4.x または 5.x Web エージェント [Resource for insufficient protection level] フィールドに その標準的な Web エージェントの Web ページを入力します リソースの完全な URL( たとえば を入力する必要はなく リソース (index.html) を入力するだけでかまいません この点にご注意ください この場合 IVE は 再認証の後 標準的な Web エージェントの Web ページにリダイレクトすることができます ユーザがアクセスしたい元のリソースにはリダイレクトすることはできません FCCCompatMode = no の標準 5.x Web エージェント (V5QMR3 以上 ) ユーザがアクセスしたい元のリソースにユーザをリダイレクトするには [Resource for insufficient protection level] フィールドを空欄にします または 静的なリソースを入力します The IVE 207 ページの 下位の保護レベルのユーザを再認証するために IVE を設定する の説明に従って ポリシーサーバを設定します 19.[Ignore authorization for files with extensions] フィールドに 承認を必要としないファイルの種類に応じてファイル拡張子を入力します 無視したいファイルの種類ごとに 拡張子をカンマで区切って入力する必要があります たとえば さまざまな種類のイメージファイルを無視するには.gif.jpeg.jpg.bmp を入力します 広範囲なファイルの種類を無視するために ワイルドカード文字 (* *.* または.* など ) を使用することはできません 20.[Save Changes] をクリックします 21. 高度な SiteMinder 設定オプションを設定します ( オプション )(213 ページ ) 22. 管理者とユーザ (227 ページ ) を認証および承認するために サーバが使用する領域を指定します 注意 : サーバを通じて現在サインインしているユーザのセッションを監視および削除する詳細については 216 ページの ユーザセッションの表示と削除 を参照してください

225 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 213 高度な SiteMinder 設定オプションを設定する SiteMinder サーバインスタンスを作成すると 高度な設定の調整を可能にする [Advanced] タブが表示されます このタブのフィールドには 次のようなものがあります [Poll Interval]- 新しいキーをチェックするために IVE が SiteMinder ポリシーサーバをポーリングする間隔を入力します [Policy Server options]- 必要に応じて 接続やタイムアウトの設定を調整し パフォーマンスを改善してください ただし 弊社はデフォルト値の使用を推奨しているのでご注意ください [Max. Connections]- IVE からポリシーサーバに確立できる同時接続の最大数を入力します デフォルト値は 20 です [Max. Requests/Connection]- IVE が接続を終了する前に ポリシーサーバ接続が制御できるリクエストの最大数を入力します デフォルト値は 1000 です [Idle Timeout] は IVE が接続を終了するまでに ポリシーサーバへの接続がアイドル状態 ( 接続がリクエストを処理していない状態 ) でいることのできる最大時間 ( 分 ) を制御します デフォルト設定の none は 時間制限がないことを示しています [Accounting Port]: デフォルト値は です [Authentication Port]: デフォルト値は です [Authorization Port]: デフォルト値は です [Flush Cache]- リソース承認情報を 10 分間 キャッシュに保存する IVE のリソースキャッシュを削除するのに使用します

226 214 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 64:[System] [Signing In] [Servers] [SiteMinder Server]

227 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 215 図 65:[System] [Signing In] [Servers] [SiteMinder Server] [Advanced]

228 216 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ユーザセッションの表示と削除 アクティブな IVE ユーザセッションの表示と削除 IVE 認証サーバのほとんどの設定ページには [Users] タブがあります このタブを使用して アクティブな IVE ユーザセッションを表示および削除することができます このタブに表示されない認証サーバの種類には次のものがあります [Anonymous server]- IVE は 匿名サーバを通じてサインインするユーザのユーザ名または他の証明書を収集しないため 匿名サーバを通じてサインインするユーザに関する個別のセッションデータを表示できません ローカル IVE サーバ - IVE は ローカル IVE サーバ用の [Users] タブの代わりに [Local Users] タブを表示します このタブを使用して ユーザセッションの代わりにユーザアカウントを追加および削除することできます その他のすべての認証サーバの場合 以下の説明に従って アクティブユーザセッションを表示および削除することができます アクティブなユーザセッションを表示および削除するには 次の操作を実行します 1. Web コンソールで [System] [Signing In] [Servers] を選択します 2. [Authentication/Authorization Servers] リストの適切なリンクをクリックします 3. [Users] タブを選択します 4. 次のいずれかのタスクを実行します 特定のユーザを検索するには [Show users named] フィールドにユーザ名を入力して [Update] をクリックします また ワイルドカードとして * を使用できます * は 0 を含む任意の文字数の文字を表します たとえば jo という文字を含むユーザ名をすべて検索したい場合は [Show users named] フィールドに *jo* と入力します この検索では 大文字と小文字は区別されます アカウントのリスト全体を再び表示する場合は * 文字を入力するか 指定した文字を削除して [Update] をクリックします ページに表示されるユーザの数を制御するには [Show N users ] フィールドに数字を入力して [Update] をクリックします 個々のユーザの IVE セッションを終了するには ユーザの横にあるチェックボックスをクリックし [Delete] をクリックします

229 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 217 図 66:[System] [Signing In] [Servers] [Select Server] [Users]

230 218 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Delegation] ページの設定 [Administrators] [Delegation] ページでは ネットワークの設定 クラスタの設定 ログの設定など さまざまなシステムタスクの管理権限 ( 読み取り専用 読み取りおよび書き込み 拒否 ) そしてシステムで定義されたユーザロールの管理権限を定義できます 詳細については 68 ページの 委任管理の概要 を参照してください [Administrators] [Delegation] ページには 次のタブがあります [General] タブ [System] タブ [User Role Admin] タブ 次の操作を行うには [Administrators] [Delegation] ページタブを使用します 管理者ロールの作成 修正 削除 管理者ロールに全般的な設定を設定する 管理者ロールに管理タスクを委任する ユーザロール管理を管理者ロールに委任する 管理者ロールの作成 修正 削除 [Administrators] [Delegation] を選択すると [Delegated Admin Roles] ページが表示されます このページから 管理者ロールの作成 修正 削除を実行でき さらに委任された管理者ロールに関してデフォルトセッションやユーザインターフェイスオプションを設定できます 管理者ロールを作成するには 次の操作を実行します 1. Web コンソールで [Administrators] [Delegation] を選択します 2. 次のいずれかを実行します [New Role] をクリックして デフォルト設定で新規管理者ロールを作成します 既存の管理者ロールの横にあるチェックボックスを選択して [Duplicate] をクリックし ロールとカスタムの権限をコピーします 3. 新規ロールのために [Name]( 必須 ) と [Description]( オプション ) を入力し [Save Changes] をクリックします 4. 以下の節の手順を実行して ロールの設定を修正します 220 ページの [General] タブ 221 ページの [System] タブ 223 ページの [User Role Admin] タブ

231 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 219 既存の管理ロールを修正するには 次の操作を実行します 1. Web コンソールで [Administrators] [Delegation] を選択します 2. 修正したい管理者ロールの名前をクリックします 3. 以下の節の手順を実行して ロールの設定を修正します 220 ページの [General] タブ 221 ページの [System] タブ 223 ページの [User Role Admin] タブ 既存の管理ロールを削除するには 次の操作を実行します 1. Web コンソールで [Administrators] [Delegation] を選択します 2. 削除したい管理者ロールの横にあるチェックボックスをクリックし [Delete] をクリックします 3. [Delete] をクリックして 選択したロールを削除したいことを確認します 委任した管理者ロールにデフォルトオプションを設定するには 次の操作を実行します 1. Web コンソールで [Administrators] [Delegation] を選択します 2. [Default Options] をクリックします 3. [Session Options] タブと [UI Options] タブで 設定を修正します これらの値は 委任する新規の全管理者ロールに対して 新しいデフォルト値になります

232 220 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 67:[Administrators] [Delegation] 図 68:[Administrators] [Delegation] [New Role] [General] タブ 管理者ロールに全般的な設定を設定する このタブでは 委任する管理者ロールに対して ソース IP の制限 ブラウザの制限 証明書の制限 ホストチェッカの制限 セッションオプション および UI オプションを設定します これらのタブで提供するオプションの詳細については 237 ページの [General] [Overview] タブ を参照してください

233 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 221 [System] タブ 管理者ロールに管理タスクを委任する このタブでは さまざまな IVE 管理タスクをさまざまな管理者ロールに委任します 特権を委任すると 選択した特権レベルに関係なく すべての管理者が Web コンソールホームページ ([System] [Status] [Overview]) の読み取りアクセス ( 最低でも ) を認められるのでご注意ください また 委任された管理者は 自分自身の特権を変更できるページでは 書き込みアクセスを許されないのでご注意ください システムに付属の管理者ロール (.Administrators および.Read-Only Administrators) だけが これらのページにアクセスできます [System] [Signing In] [Administrators] [Authentication] [Administrators] [Delegation] [Users] [Authentication] [Users] [New User] [Maintenance] [Import/Export]( このページでは.Read-Only Administrators で設定をエクスポートできますが 設定のインポートはできません ) [Maintenance] [Push Config] [Maintenance] [Archiving] [Local Backups] 管理ロールに対して管理特権を定義するには 次の操作を実行します 1. Web コンソールで [Administrators] [Delegation] を選択します 2. 修正したい管理者ロールを選択します 3. [System] タブを選択します 4. 主要な各カテゴリ ([System tasks] [Maintenance tasks] [Resource policies] および [Users]) では ロールに許可するアクセスレベルを指定します 主要な各カテゴリは Web コンソールのオプションに直接的に対応しています [Deny All]- 管理者ロールのメンバは カテゴリ内の設定を表示する あるいは修正することができないと指定します [Read All]- 管理者ロールのメンバは カテゴリ内の全設定を表示できますが 修正することはできないと指定します [Write All]- 管理者ロールのメンバは カテゴリ内の全設定を修正できると指定します

234 222 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Custom Settings]- カテゴリ内の個々の機能について 管理者特権 ([Deny] [Read] または [Write]) を個別に選択できるようにします 5. [Save Changes] をクリックします 図 69:[Administrators] [Delegation] [Select Role] [System]

235 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 223 [User Role Admin] タブ ユーザロール管理を管理者ロールに委任する このタブでは 管理者ロールが管理できるユーザロールを指定します ロール管理特権を委任する場合 以下の項目にご注意ください 委任された管理者が ユーザロール内の機能の読み取りまたは書き込みを実行できる場合 IVE は 委任された管理者に対して このユーザロール ([User] [Role] [Role] [General] [Overview]) の Web コンソールホームページの読み取りアクセスも認めます IVE は 委任された全管理者に対して [User] [Roles] ページ上で [New Role] [Duplicate] および [Delete] コマンドを無効にします [Administrators] [Delegation] [Administrator Role] [System] ページを通じて 委任された管理者にリソースポリシーへの書き込みアクセスを与えた場合 ロールの読み取りアクセスを与えなくても この管理者はあらゆるユーザロールに適用するリソースポリシーを作成できます 管理ロールに対してロール管理特権を定義するには 次の操作を実行します 1. Web コンソールで [Administrators] [Delegation] を選択します 2. 修正したい管理者ロールを選択します 3. [User Role Admin] タブを選択します 4. [Allowed Roles] で 管理者に管理を許可したいユーザロールを選択します 5. [Permissions] では 管理者に許可するアクセスレベルを指定します [Write All]- 管理者ロールのメンバは 選択したユーザロールの全設定を修正できると指定します [Custom Settings]-ユーザロールの個々の機能について 管理者特権 ([Deny] [Read] または[Write]) を個別に選択できるようにします 6. [Read-only roles] では 管理者に表示を許可する一方 管理は許可しないユーザロールを選択します 7. [Save Changes] をクリックします

236 224 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 70:[Administrators] [Delegation] [Select Role] [User Role Admin]

237 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 225 認証領域の設定 [Administrators] [Authentication] および [Users] [Authentication] メニューは それぞれのユーザーの [Authentication Realms] ページにリンクされています これらのページを使用して システム認証領域の作成と管理を実行します [Authentication Realms] ページには 次のタブがあります [General] タブ [Authentication Policy] タブ [Role Mapping] タブ 次の操作を実行するには [Authentication Realms] ページのタブを使用します 認証領域の作成 認証領域ポリシーの指定 認証領域にロールマッピング規則を指定する サーバカタログの使用 [General] タブ 認証領域を作成するには [General] タブを使用します 領域については 31 ページの 領域認証の概要 を参照してください 認証領域の作成 認証領域を作成するには 次の操作を実行します 1. Web コンソールで [Administrators] [Authentication] または [Users] [Authentication] を選択します 2. それぞれの [Authentication Realm] ページで [New Realm] をクリックします 3. [New Realm] ページでは 次の操作を実行します 1 この領域のラベルにする名前を入力します 2 領域の説明 ( オプション ) を入力します 3 領域を開いて編集するときに [Role Mapping] タブを選択状態にしたい場合 [When editing, start on the Role Mapping page] にチェックを入れます 4. [Servers] で 以下の内容を指定します 領域にサインインするユーザを認証する認証サーバ ロールマッピング規則やリソースポリシーのために ユーザ属性やグループ情報を抽出するディレクトリ / 属性サーバ ( オプション )

238 226 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 5. [Save Changes] をクリックして IVE 上で領域を作成します 認証領域のために [General] [Authentication Policy] および [Role Mapping] タブが表示されます 6. 次の設定手順を実行してください 1 1 つ以上のロールマッピング規則を設定します (228 ページ ) 2 領域のために 認証ポリシーを設定します (227 ページ ) 図 71:[Users Administrators] [Authentication] [RealmName] [General]

239 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 227 [Authentication Policy] タブ 認証領域ポリシーを作成するには [Authentication Policy] タブを使用します 領域については 31 ページの 領域認証の概要 を参照してください 認証領域ポリシーの指定 認証領域ポリシーを指定するには 次の操作を実行します 1. Web コンソールで [Administrators] [Authentication] または [Users] [Authentication] を選択します 2. それぞれの [Authentication Realms] ページで 領域を選択して [Authentication Policy] タブをクリックします 3. [Authentication Policy] ページで 以下のアクセス管理オプションの中から 1 つ以上を設定します [Source IP](356 ページ ) [Browser](357 ページ ) [Certificate](359 ページ ) [Password](360 ページ ) [Host Checker](361 ページ ) [Cache Cleaner](362 ページ ) 利用できるのは ユーザ領域内だけです [Limits](356 ページ ) 同時ユーザの制限 認証ポリシーに指定できるアクセス管理オプションに加えて 同時ユーザに対しても制限を指定できます これは以下のページで設定します [Administrators] [Authentication] [SelectRealm] [Authentication Policy] [Limits] [Users] [Authentication] [SelectRealm] [Authentication Policy] [Limits] この領域のサインインページに URL を入力するユーザは 認証ポリシーに指定されたあらゆるアクセス管理要件と同時ユーザ要件を満たさないと IVE にサインインページを表示させることができません

240 228 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 72:[Users Administrators] [Authentication] [RealmName] [Authentication Policy] [Role Mapping] タブ 認証領域のロールマッピング規則を指定するには [Role Mapping] タブを使用します 詳細については 以下を参照してください 領域については 31 ページの 領域認証の概要 を参照してください ロールについては 47 ページの ユーザロールの概要 を参照してください 認証領域にロールマッピング規則を指定する LDAP ユーザ属性 LDAP グループ情報 またはカスタムの式を使用する新しい規則を作成する場合 サーバカタログを使用する必要があります このカタログの詳細については 231 ページの サーバカタログの使用 を参照してください 認証領域にロールマッピング規則を指定するには 次の操作を実行します 1. Web コンソールで [Administrators] [Authentication] または [Users] [Authentication] を選択します 2. それぞれの [Authentication Realms] ページで 領域を選択して [Role Mapping] タブをクリックします

241 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [New Rule] をクリックして [Role Mapping Rule] ページにアクセスします このページは 規則を定義するためにインラインエディタを提供しています 4. [Rule based on] リストでは 以下のいずれかを選択します ユーザ名 [Username] は サインインページに入力した IVE ユーザ名です このオプションを選択するのは IVE ユーザ名に基づいて ユーザをロールにマップしたいときです この種類の規則は すべての領域で利用できます [User attribute] [User attribute] は RADIUS サーバまたは LDAP サーバから取得するユーザ属性です このオプションを選択するのは 対応するサーバの属性に基づいて ユーザをロールにマップしたいときです この種類の規則を利用できるのは 認証サーバに RADIUS サーバを使用する領域 あるいは認証サーバまたはディレクトリサーバに LDAP サーバを使用する領域だけです [Certificate] または [Certificate attribute] [Certificate] または [Certificate attribute] は ユーザのクライアントサイド証明書によりサポートされる属性です このオプションを選択するのは 証明書属性に基づいてユーザをロールにマップしたいときです [Certificate] オプションは すべての領域で利用できます [Certificate attribute] オプションを利用できるのは 認証サーバまたはディレクトリサーバに LDAP を使用している領域だけです [Group membership] [Group membership] は サーバカタログの [Groups] タブに追加する LDAP サーバのグループ情報です このオプションを選択するのは LDAP グループ情報に基づいて ユーザをロールにマップしたいときです この種類の規則を利用できるのは 認証サーバまたディレクトリサーバに LDAP サーバを使用している領域だけです [Custom Expressions] [Custom Expressions] は サーバカタログに定義する 1 つ以上のカスタムの式です このオプションを選択するのは カスタムの式に基づいてユーザをロールにマップしたいときです この種類の規則は すべての領域で利用できます 5. [Rule] では 評価すべき条件を指定します これは 選択した規則の種類に対応しており 以下の内容を指定します 1 1 つ以上のユーザ名 RADIUS または LDAP ユーザ属性 証明書属性 LDAP グループ またはカスタムの式を指定します 2 式で使用する値を指定します この値には IVE ユーザ名のリスト RADIUS または LDAP サーバのユーザ属性値 クライアントサイド証明書の値 ( 静的属性値または LDAP 属性値 ) LDAP グループ またはカスタムの式などがあります

242 230 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 6. [...then assign these roles] では 以下の内容を指定します 1 ロールを [Selected Roles] リストに追加して 認証されたユーザに割り当てるロールを指定します 2 [Stop processing rules when this rule matches] にチェックを入れるのは ユーザがこの規則に指定された条件を満たした場合に IVE によるロールマッピング規則の評価を停止したい場合です 7. [Save Changes] をクリックして [Role Mapping] タブで規則を作成します 規則の作成が完了したら 次の操作を実行します IVE で評価する順序で 規則を指定したことを確認します この作業が特に重要なのは 一致に基づいてロールマッピング規則の処理を停止したい場合です 割り当てられた全ロールに対して 設定をマージするかどうかを指定します 50 ページの パーミッシブマージガイドライン を参照してください 図 73:[Users Administrators] [Authentication] [RealmName] [Role Mapping]

243 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 231 サーバカタログの使用 [server catalog] は 追加情報を指定する第 2 のウィンドウであり ユーザをロールにマップするときに IVE が使用する以下の情報を指定します [Attributes] [Server Catalog Attributes] タブには cn uid uniquemember および memberof など 一般的な LDAP 属性のリストが表示されます このタブが表示されるのは LDAP サーバのサーバカタログにアクセスしたときだけです このタブを使用すると IVE サーバカタログでカスタムの値を追加したり削除したりして LDAP サーバの属性を管理できます ただし IVE が LDAP サーバの値をコピーして ローカルに保守していることにご注意ください LDAP サーバのディクショナリでは 属性の追加または削除は実行されません Groups [Server Catalog Groups] タブは LDAP サーバからグループ情報を簡単に抽出して サーバの IVE サーバカタログに追加するメカニズムを提供しています グループの BaseDN とオプションのフィルタを指定して 検索を開始します グループのコンテナが正確には分からない場合 dc=netscreen, dc=com など BaseDN としてドメインルートを指定できます 検索ページには サーバから返されたグループのリストが表示されます [Groups] リストに入力するために このリストからグループを選択できます 注意 : ユーザエントリの検索 のために LDAP サーバの設定ページに指定された BaseDN 値は デフォルトの BaseDN 値になります フィルタ値のデフォルトは (cn=*) になります また [Groups] タブでもグループを指定できます cn=goodmanagers, ou=hq, ou=netscreen, o=com, c=us など グループの完全修飾識別名 (Fully Qualified Distinguished Name FQDN) を指定する必要がありますが [Groups] リストに表示されるグループには ラベルを割り当てることができます このタブが表示されるのは LDAP サーバのサーバカタログにアクセスしているときだけなのでご注意ください [Expressions] [Server Catalog Expressions] タブは ロールマッピング規則のために カスタムの式を記述するメカニズムを提供します

244 232 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 74:[Server Catalog Attributes] タブ 属性の追加 図 75: サーバカタログに追加された属性はロールマッピング規則で利用可能

245 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 233 図 76:[Server Catalog Groups] タブ LDAP グループの追加

246 234 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 77: サーバカタログに追加されたグループはロールマッピング規則で利用可能 図 78:[Server Catalog Expressions] タブ カスタムエクスプレッションの追加

247 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 235 図 79: サーバカタログに追加されたカスタムエクスプレッションはロールマッピング規則で利用可能

248 236 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Roles] ページの設定 [Users] [Roles] メニューは ユーザの [Roles] ページにリンクされています システムユーザロールの作成と管理には このページを使用します ロールを作成するには [New Role] をクリックし 名前と任意の説明を入力します この名前は [Roles] ページにある [Roles] のリストに表示されます [Role] タブで設定を始めるには ロールの名前をクリックしてください [Users] [Roles] ページには 次のタブがあります [General] [Overview] タブ [General] [Restrictions] タブ [General] [Session Options] タブ [General] [UI Options] タブ [Web] [Bookmarks] タブ [Web] [Options] タブ [Files] [Windows Bookmarks] タブ [Files] [UNIX Bookmarks] タブ [Files] [Options] タブ [SAM] [Applications] タブ [SAM] [Options] タブ [Telnet/SSH] [Sessions] タブ [Telnet/SSH] [Options] タブ [Meetings] タブ [Network Connect] タブ 次の操作を行うには [Users] [Roles] ページタブを使用します 一般的なロール設定とオプションの管理 ロールに対してアクセス管理オプションを指定する ユーザセッション時間 ローミング 持続性 およびリクエスト設定を指定する ロールユーザの IVE welcome ページをカスタマイズする Web リソースへのブックマークを作成する 一般的な Web ブラウジングオプションの指定 Windows リソースへのブックマークを作成する UNIX リソースへのブックマークを作成する 一般的な Web ブラウジングオプションの指定 W-SAM でセキュリティを提供するために対象のアプリケーションとホストを指定する

249 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 237 J-SAM でセキュリティを提供するために対象のアプリケーションを指定する 外部 DNS サーバとユーザマシンを設定する ( 必要に応じて ) プロキシ Web サーバを通じて IVE に接続する PC を設定する 一般的なセキュアアプリケーションマネージャオプションを指定する 261 セキュアターミナルセッションのためにブックマークを作成する 一般的な Telnet/SSH オプションを指定する ユーザーロールのミーティング機能の有効化および設定 ネットワークコネクトのローカルサブネットオプションの指定 [General] [Overview] タブ [General] [Overview] タブでは ロール名や説明の編集 セッションやユーザインターフェイスオプションのオン オフ切り替え アクセス機能の有効化を実行します アクセス機能を有効にする場合 対応するリソースポリシーを作成したことを確認してください 一般的なロール設定とオプションの管理 一般的なロール設定とオプションを管理するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [General] [Overview] を選択します 2. 名前と説明を変更して [Save Changes] をクリックします ( 任意 ) 3. [Options] で 以下の項目にチェックを入れます [General] [Session Options] タブで指定した設定をロールに適用する場合は [Session Options] [General] [UI Options] タブで指定した設定をロールに適用する場合は [UI Options] 4. [Access features] では ロールのために有効にしたい機能にチェックを入れます オプションには [Web] [Files] [Secure Application Manager](Windows バージョンまたは Java バージョン ) [Telnet/SSH] [Meetings] [ Client] および [Network Connect] があります 5. [Save Changes] をクリックして ロールに設定を適用します

250 238 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 80:[Users] [Roles] [RoleName] [General] [Overview]

251 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 239 [General] [Restrictions] タブ ロールに対してアクセス管理オプションを指定するには [General] [Restrictions] タブを使用します IVE は ユーザをロールにマップするかどうか判断するときに これらの制限をチェックします IVE は指定された制限をクリアしない限り ユーザをこのロールにマップしません アクセス管理の詳細については 21 ページの アクセス管理の概要 を参照してください ロールに対してアクセス管理オプションを指定する ロールに対してアクセス管理オプションを指定するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [General] [Restrictions] を選択します 2. ロールに設定したいオプションのタブをクリックしてください [Source IP](356 ページ ) [Browser](357 ページ ) [Certificate](359 ページ ) [Host Checker](361 ページ ) [Cache Cleaner](362 ページ ) ロールには 任意の数のアクセス管理オプションを設定できます ユーザがすべての制限をクリアしない場合 IVE はこのユーザをロールにマップしません 図 81:[Users] [Roles] [RoleName] [General] [Restrictions]

252 240 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [General] [Session Options] タブ セッションの時間制限 ローミング機能 セッションとパスワードの持続性 リクエストのフォロースルーオプションを指定するには [General] [Session] タブを使用します [General] [Overview] タブにある [Session Options] チェックボックスにチェックを入れると ロールに対して設定を有効にできます ユーザセッション時間 ローミング 持続性 およびリクエスト設定を指定する 一般的なセッションオプションを指定するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [General] [Session Options] を選択します 2. [Session Lifetime] で 以下の項目に値を指定します [Idle Timeout]- 非管理者ユーザセッションにアイドル状態を許容する分数を指定します 最小値は 3 分です デフォルトのアイドルセッション制限は 10 分です つまり ユーザのセッションで 10 分間 何も操作がなかった場合 IVE はユーザセッションを終了させて システムログにイベントを記録します ( 以下で説明するセッションタイムアウト警告を有効にしない場合 ) [Max. Session Length]- アクティブな非管理者ユーザセッションを開いておける分数を指定します 最小値は 3 分です ユーザセッションのデフォルトの時間制限は 60 分です それ以降は IVE がユーザセッションを終了させて システムログにイベントを記録します [Reminder Time]- IVE が セッションタイムアウトまたはアイドルタイムアウトが迫っていることを非管理者ユーザに警告する時期を指定します タイムアウトまでの時間を分で指定します 3. セッション制限またはアイドルタイムアウト制限が迫ったときに 非管理者ユーザに状況を通知するには [Enable session timeout warning] で [Enabled] を選択します これらの警告は セッション制限またはアイドルタイムアウトが迫っているときに ユーザに適切な対応を取るように促します つまり データを失う前に 作業中のフォームデータを保存するのに役立ちます アイドルタイムアウト制限に近づいているユーザは セッションの再開を指示されます セッション時間制限に近づいているユーザは データの保存を指示されます たとえば IVE ユーザが IVE での使用を設定された E メールクライアントの使用中 自分の承認グループに設定されたアイドルタイムアウトに知らないうちに達していることがあります それは ユーザが E メールを作成している間 IVE はデータを受け取らないためです しかし セッションタイムアウト警告が有効になっている場合 セッションがタイムアウトしてユーザの IVE セッションが強制終了される前に ユーザは IVE を再度アクティブにするよう要求されます この警告により ユーザには 途中まで作成した E メールを保存する機会が与えられます

253 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Roaming session] では 以下の項目を指定します [Enabled]- このグループにマップされたユーザに対して ローミングユーザセッションを有効にします ローミングユーザセッションは 複数のソース IP アドレスにまたがって機能します この環境の場合 動的 IP アドレスで特定の場所から IVE にサインインしたモバイルユーザ ( ラップトップユーザ ) は 別の場所に移っても作業を続行できます ただし 一部のブラウザに欠陥があり 悪意のコードがユーザ Cookie を傍受する可能性もあります このような場合 悪意のユーザは 傍受した IVE セッション Cookie で IVE にサインインできることになります [Limit to subnet]- ローミングセッションを [Netmask] フィールドに指定したローカルサブネットに制限します ユーザは特定の IP アドレスでサインインし 別の IP アドレスに途中で変わっても 新しい IP アドレスが同じサブネットの範囲にある限り そのままセッションを続けることができます [Disabled]- このロールにマップされたユーザに対して ローミングユーザセッションを無効にします 特定の IP アドレスでサインインしたユーザは 別の IP アドレスで開始されたアクティブな IVE セッションに移行できません ユーザセッションは 最初のソース IP アドレスに限定されます 5. [Persistent session] で [Enabled] を選択すると IVE セッション Cookie がクライアントハードディスクに書き込まれて IVE セッションが終了するまで ユーザの IVE 証明書が保存されます デフォルトの場合 IVE セッション Cookie は ブラウザを閉じた時点でブラウザのメモリから消去されます IVE セッションの長さは ロールに指定したアイドルタイムアウトの値と最大セッション長の値で決まります ユーザがブラウザを閉じても IVE セッションは終了しません IVE セッションが終了するのは ユーザが IVE からサインアウトしたときだけです ユーザがサインアウトしないでブラウザウィンドウを閉じた場合 有効な証明書を送信しなくとも 任意のユーザが同じブラウザの別のインスタンスを開いて IVE にアクセスできてしまいます 注意 : この機能を有効にするのは ロールのメンバが IVE 証明書を要求するアプリケーションにアクセスする必要があるときだけに限定するべきです また 操作が完了したら IVE からサインアウトすることが重要であると これらのユーザが理解していることを確認してください 6. キャッシュしたパスワードを複数のセッションに渡ってグループで共有できるようにするには [Persistent password caching] で [Enabled] を選択します IVE は NTLM と HTTP Basic Authentication をサポートし NTLM と匿名サインインの両方を受け入れるように設定したサーバをサポートします IVE は IVE サーバまたは NT ドメインにある別のリソースへのサインインに同じ証明書を入力するよう 繰り返し指示されることがないように ユーザが提供した NTLM と HTTP Basic Authentication のパスワードをキャッシュに保持します デフォルトの場合 IVE サーバは ユーザがサインアウトした時点で キャッシュしたパスワードを消去します ユーザは [Advanced Preferences] ページで キャッシュしたパスワードを削除できます

254 242 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 7. ユーザが再認証を受けた後 タイムアウトしたユーザセッション後のユーザリクエストを IVE に処理させるには [Browser request follow-through] で [Enabled] を選択します 8. [Save Changes] をクリックして ロールに設定を適用します 図 82:[Users] [Roles] [RoleName] [General] [Session Options]

255 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 243 [General] [UI Options] タブ このロールにマップされたユーザの IVE welcome ページの設定をカスタマイズするには [General] [UI Options] タブを使用してください IVE welcome ページ ( またはホームページ ) は 認証された IVE ユーザに表示される Web インターフェイスです このロールの設定を有効にするには [General] [Overview] タブで [UI Options] チェックボックスにチェックを入れます ロールユーザの IVE welcome ページをカスタマイズする ロールユーザの IVE welcome ページをカスタマイズするには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [General] [UI Options] を選択します 2. [Custom Text] セクションと [Custom Error Messages] セクションで 画面ラベルとして表示されるデフォルトのテキストを変更します 3. [Header] セクションで ヘッダのカスタムロゴイメージファイルとヘッダの色を指定します 4. カスタムヘルプまたは追加の指示をユーザに提供するには [Show Help Button] を選択して ボタンに表示するラベルを入力し IVE にアップロードする HTML ファイルを指定します この HTML ページで参照されるイメージやその他のコンテンツは IVE には表示されません 5. [Save Changes] をクリックします 変更はただちに有効になりますが 変更を表示するには 現在のユーザブラウザセッションを更新する必要があります 6. [Restore Factory Defaults] をクリックすると サインインページ IVE ユーザホームページ および Web コンソールの外観が元の状態にリセットされます

256 244 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 83:[Users] [Roles] [RoleName] [General] [UI Options]

257 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 245 [Web] [Bookmarks] タブ [Web] [Bookmarks] タブを使用すると このロールにマップされたユーザの welcome ページに表示する Web ブックマークを作成できます バックエンドの Web アプリケーションに対するシングルサインオンアクセスを与えるために URL パスにユーザの IVE ユーザ名を挿入することができます Web リソースへのブックマークを作成する Web リソースへのブックマークを作成するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [ Web] [Bookmarks] を選択します 2. [New Bookmark] をクリックし 必要な情報を入力します ユーザのユーザ名を挿入したい場合は URL の適切な場所に <USER>( 大文字 ) を入力します ブックマークの名前と説明を指定すると [IVE home page instead of the URL] にこの情報が表示されます 3. 別のものを追加するには [Save] または [Save + New] をクリックします 図 84:[Users] [Roles] [RoleName] [Web] [Bookmarks]

258 246 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Web] [Options] タブ 一般的な Web ブラウジングオプションを指定するには [Web] [Options] タブを使用します 一般的な Web ブラウジングオプションの指定 一般的な Web ブランジングオプションを指定するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [Web] [Options] を選択します 2. [Browsing] で ユーザのために有効にするオプションを指定します [User can type URLs]- 有効にすると ユーザは welcome ページに URL を入力し インターネットサイトを参照できます [Allow Java applets]- 有効にすると クライアントサイド Java アプレットがある Web ページを参照できます IVE サーバは アプリケーションサーバには SSL を通じてブラウザとして認識されます IVE は透過的に HTTP リクエストを処理し Java アプレットが開始した TCP 接続や署名された Java アプレットを制御します この機能を有効にすると ユーザは Java アプレットを起動して Virtual Computing (VNC) Java クライアント Citrix NFuse Java クライアント WRQ Reflections Web クライアント Lotus WebMail など クライアントサイド Java アプレットとして実装したアプリケーションを実行できます この機能は Java Code Signing リソースポリシーと協調して動作します [Mask hostnames while browsing]- 有効にすると ユーザがアクセスする URL のリソース名が非表示になります このオプションを選択すると ユーザの以下の場所で IP アドレスとホスト名が非表示にされます Web ブラウザのアドレスバー ( ユーザがページをナビゲートしたとき ) Web ブラウザのステータスバー ( ユーザがハイパーリンク上にカーソルを置いたとき ) HTML ソースファイル ( ユーザが [View Source] を選択したとき ) [Hostname Encoding] は URL 内の目的のサーバを隠蔽することにより 一時的なユーザが内部リソースの URL を書き留めないようにします ただし 完全パス名 目的のファイル またはポート番号が隠されることはありません たとえば [Selective Rewriting] または [Hostname Encoding] を有効にせずにユーザが にナビゲートした場合 Web ブラウザのアドレスバーには以下の URL が表示されます [Unrewritten pages open in new window]- 有効にした場合 書き直されていないページにユーザがアクセスすると ( [Selective Rewriting policy] ページ を参照 ) コンテンツを新しいウィンドウに表示させることを強制できます これは セキュアセッションがまだ有効であることをユーザに知らせるのに役立ちます

259 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Bookmarks] で ユーザのために有効にするオプションを指定します [User can add bookmarks]- 有効にすると ユーザは個人的な Web ブックマークを IVE welcome ページ上で作成できます [Auto-allow role bookmarks]- 有効にすると IVE はこのロールのために自動的に Web アクセスリソースポリシーへの Web ブックマークを作成します この機能は ユーザが作成したブックマークではなく ロールブックマークだけに適用されるのでご注意ください 4. Cookie の持続性を維持することで このロールに属しているユーザが ブラウジング体験をカスタマイズできるようにするには [Cookies] で [Persistent cookies] を有効にします デフォルトの場合 IVE は ユーザセッション中に格納された Web Cookie を消去します ユーザはこのオプションを有効にした場合 [Advanced Preferences] ページで Cookie を削除できます 5. [Save Changes] をクリックします 図 85:[Users] [Roles] [RoleName] [Web] [Options]

260 248 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Files] [Windows Bookmarks] タブ [Files] [Windows Bookmarks] タブを使用すると このロールにマップされたユーザの welcome ページに表示する Windows ブックマークを作成できます ユーザのネットワークディレクトリに素早くアクセスできるように URL パスにユーザの IVE ユーザ名を挿入することができます IVE ユーザが Dfs サーバ上でファイルを参照している場合 Dfs サーバは Active Directory に保存されているサイト設定データを使用して IVE に正しい順序で Dfs 紹介を返します 近いサーバの紹介は 遠いサーバの紹介に比べて リスト内で上位に配置されます クライアントは 受信した順序で紹介を処理しようとします このリストにないサブネットのクライアントからリクエストが来た場合 サーバはクライアントが通信している場所が分からず 任意の順序でカスタマに紹介リストを返すことになります この状況では IVE ( この場合 クライアントとして動作 ) の Dfs リクエストがはるか遠くにあるサーバにアクセスする可能性があります これでは IVE があるサブネットからアクセスできないサーバに IVE がアクセスしようとして 深刻な遅延が発生する恐れがあります IVE が Dfs サーバのリストにないサブネットにインストールされている場合 Dfs 管理者はドメインコントローラの Active Directory Sites and Services ツールを使用して IVE のサブネットを適切なサイトに追加できます Windows リソースへのブックマークを作成する Windows リソースへのブックマークを作成するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [Files] [Windows Bookmarks] を選択します 2. [New Bookmark] をクリックし サーバおよび共有の名前を参照するか 入力します アクセスをさらに制限するには パスを指定します ユーザのユーザ名を挿入したい場合は パスの適切な場所に <USER>( 大文字 ) を入力します ブックマークの名前と説明を指定すると [IVE home page instead of the server/share] にこの情報が表示されます 注意 : Windows サーバのブックマークは作成できません このサーバと共有の名前を両方指定する必要があります 3. [Appearance] に 以下のいずれかを選択します [Appear as bookmark on homepage and in file browsing] ユーザの welcome ページとネットワークファイルの参照時の両方にブックマークを表示したい場合 [Appear in file browsing only] ネットワークファイルの参照時にだけ ブックマークを表示したい場合

261 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Access] に 以下を指定します [Enable auto-allow access to this bookmark] このロールのために Windows アクセスリソースポリシーへのブックマークを IVE に自動的に作成させたい場合 この機能が適用されるのは ユーザが作成したブックマークではなく ロールのブックマークだけなのでご注意ください ブックマークは ユーザの welcome ページとネットワークファイルの参照時の両方に表示されます [Read-write access] サーバでユーザがファイルを保存できるようにします [Include sub-folders] 指定したブックマークパスの下にあるディレクトリで ユーザがファイルを表示できるようにします 5. 別のものを追加するには [Save Changes] または [Save + New] をクリックします 図 86:[Users] [Roles] [RoleName] [Files] [Windows Bookmarks]

262 250 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Files] [UNIX Bookmarks] タブ [Files] [UNIX Bookmarks] タブを使用すると IVE ホームページに表示する UNIX/NFS ブックマークを作成できます ユーザのネットワークディレクトリに素早くアクセスするために URL パスにユーザの IVE ユーザ名を挿入できます UNIX リソースへのブックマークを作成する UNIX/NFS リソースへのブックマークを作成するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [Files] [UNIX Bookmarks] を選択します 2. [New Bookmark] をクリックして サーバのホスト名または IP アドレスとともに 共有のパスを入力します ユーザのユーザ名を挿入したい場合は パスの適切な場所に <USER>( 大文字 ) を入力します ブックマークの名前と説明を指定すると [IVE home page instead of the server/path] にこの情報が表示されます 3. [Appearance] に 以下のいずれかを選択します [Appear as bookmark on homepage and in file browsing] ユーザの welcome ページとネットワークファイルの参照時の両方にブックマークを表示したい場合 [Appear in file browsing only] ネットワークファイルの参照時にだけ ブックマークを表示したい場合 4. [Access] に 以下を指定します [Enable auto-allow access to this bookmark] このロールのために Windows アクセスリソースポリシーへのブックマークを IVE に自動的に作成させたい場合 この機能が適用されるのは ユーザが作成したブックマークではなく ロールのブックマークだけなのでご注意ください ブックマークは ユーザの welcome ページとネットワークファイルの参照時の両方に表示されます [Read-write access] サーバでユーザがファイルを保存できるようにします [Include sub-folders] 指定したブックマークパスの下にあるディレクトリで ユーザがファイルを表示できるようにします 5. 別のものを追加するには [Save Changes] または [Save + New] をクリックします

263 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 251 図 87:[Users] [Roles] [RoleName] [Files] [UNIX Bookmarks] [Files] [Options] タブ [Files] [Options] タブを使用すると リソースの表示機能 フォルダブックマークの作成機能など Windows および UNIX/NFS ネットワークブラウジングオプションを指定できます これらのオプションは ファイルリソースポリシーと協調して動作します 一般的な Web ブラウジングオプションの指定 一般的なファイルブランジングオプションを指定するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [Web] [Options] を選択します 2. [Windows Network Files] で ユーザのために有効にするオプションを指定します [User can browse network file shares]- 有効にすると ユーザは利用可能な Windows ファイル共有にあるリソースを表示したり ブックマークを作成したりできます [User can add bookmarks]- 有効にすると ユーザは利用可能な Windows ファイル共有にあるリソースを表示したり ブックマークを作成したりできます

264 252 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 3. [UNIX Network Files] で ユーザのために有効にするオプションを指定します [User can browse network file shares]- 有効にすると ユーザは利用可能な UNIX ファイル共有にあるリソースを表示したり ブックマークを作成したりできます [User can add bookmarks]- 有効にすると ユーザは利用可能な Windows ファイル共有にあるリソースを表示したり ブックマークを作成したりできます [Allow automount shares]- 有効にすると ユーザは NIS サーバに指定された自動マウント共有にアクセスできます 4. [Save Changes] をクリックします 図 88:[Users] [Roles] [RoleName] [Files] [Options]

265 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 253 [SAM] [Applications] タブ セキュアアプリケーションマネージャで仲介の機能を提供するために 対象のクライアント / サーバアプリケーションを指定するには [SAM] [Applications] タブを使用します ロールのために有効にした SAM のバージョンに応じて このタブには さまざまなオプションが表示されます このオプションを有効にした場合 以下を参照してください W-SAM については 254 ページの W-SAM でセキュリティを提供するために対象のアプリケーションとホストを指定する を参照してください J-SAM については 254 ページの W-SAM でセキュリティを提供するために対象のアプリケーションとホストを指定する を参照してください 図 89:[Users] [Roles] [RoleName] [SAM] [Applications]

266 254 NetScreen Instant Virtual Extranet アプライアンス管理ガイド W-SAM でセキュリティを提供するために対象のアプリケーションとホストを指定する W-SAM でトラフィックをセキュアにするために 対象のアプリケーションとサーバを指定するには [Applications] タブを使用します W-SAM がクライアント PC にダウンロードされる場合 このロールに関して [Applications] タブで設定した情報もダウンロードに含まれます ユーザが 1 セキュアアプリケーションマネージャを起動した後 W-SAM は クライアントアプリケーションから内部ネットワーク内のサーバへのリクエストを受け取り クライアント上で稼動しているプロセスから内部ホストへのリクエストを受け取ります 2 つのリストを設定することで [Applications] タブでこれらのリソースを定義します W-SAM[supported applications] リスト クライアントと IVE 間のクライアント / サーバトラフィックに W-SAM でセキュリティを提供するために このリストには 対象のアプリケーションを指定します W-SAM[allowed servers] リスト クライアントと IVE 間のクライアント / サーバトラフィックに W-SAM でセキュリティを提供するために このリストには 対象のホストを指定します 重要 : NetBIOS で W-SAM を使用して共有にアクセスする場合 サーバの NetBIOS 名 ( 最大 15 文字の英数文字列 ) を [Add Server] ページと SAM リソースポリシー ( ワイルドカードは現在サポートされていません ) の 2 カ所に明示的に指定する必要があります 別の方法としては [SAM] [Options] タブで [Auto-allow application servers] オプションを有効にすると IVE はこのサーバのアクセスを許可する SAM リソースポリシーを自動的に作成できます W-SAM でセキュリティを提供するために 対象のアプリケーションとサーバを指定するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [SAM] [Applications] を選択します 2. クライアントと IVE 間のクライアント / サーバトラフィックに W-SAM でセキュリティを提供するために W-SAM[supported application] リストに対象とするリソースを指定します 1 [Add Application] をクリックします 1. ユーザのサインイン時に セキュアアプリケーションマネージャが自動的に起動するように設定できます ユーザは IVE の [System] [Preferences] メニューでこの設定を変更できます 自動的な起動を無効にしている場合 ユーザは IVE ホームページのメニューにあるリンクをクリックして セキュアアプリケーションマネージャを手動で起動する必要があります

267 NetScreen Instant Virtual Extranet アプライアンス管理ガイド アプリケーションの名前とともに オプションとして説明を入力します IVE ユーザのために この情報は [Client Applications] ページに表示されます 3 以下のいずれかを選択します [Standard application]- Citrix NFuse Lotus Notes または Microsoft Outlook/Exchange を選択します [Custom application]- カスタムのクライアント / サーバアプリケーションを指定します [Filename] フィールドでは ファイルの実行形式ファイルの名前を指定します このファイルのパスと実行可能ファイルの MD5 ハッシュ ( オプション ) を追加的に指定できます この MD5 ハッシュ値を入力すると W-SAM は実行形式ファイルのチェックサム値とこの値が一致するかどうかを検証します 値が一致しない場合 W-SAM は アプリケーションの正当性が証明されなかったので アプリケーションから IVE に接続を仲介できないとユーザに通知します 4 [Save Changes] または [Save + New] をクリックします 3. クライアントと IVE 間のクライアント / サーバトラフィックに W-SAM でセキュリティを提供するために W-SAM[allowed servers] リストに対象とするリソースを指定します 1 [Add Servers] をクリックします 2 ホスト名 ( ワイルドカードの * または? は利用可能) あるいは IP / ネットマスクの値を指定します ホストに対して 別々のエントリとして 複数のポートを指定します 3 [Add] をクリックします 4. IVE がアプリケーションまたはサーバのリクエストを送信する場合 送信先のエンタープライズリソースを (IP アドレス / ポートの組み合わせに基づいて ) 指定するには セキュアアプリケーションマネージャリソースポリシーを設定します 別の方法としては [SAM] [Options] タブで [Auto-allow application servers] オプションを有効にすると IVE は 指定されたサーバのアクセスを許可する SAM リソースポリシーを自動的に作成できます アプリケーションまたはサーバを指定する前に このオプションを有効にする必要があるのでご注意ください 有効にしない場合 SAM リソースポリシーを作成する必要があります

268 256 NetScreen Instant Virtual Extranet アプライアンス管理ガイド J-SAM でセキュリティを提供するために対象のアプリケーションを指定する J-SAM でトラフィックにセキュリティを提供する場合 対象のアプリケーションを指定するために [SAM] [Applications] タブを使用します セキュアアプリケーションマネージャの Java バージョンを正常に使用するには セキュアアプリケーションマネージャがアプリケーションサーバとして稼動しているローカル PC に クライアントアプリケーションで接続する必要があります アプリケーションサーバをユーザのローカル PC にマップする方法として 自動ホストマッピング機能を有効にすることをお勧めします この機能を使用すると IVE は自動的に PC の hosts ファイルを変更して セキュアなポート転送のためにアプリケーションサーバを localhost に関連付けることができます 重要 : Windows PC で自動ホストマッピング機能を使用する場合 セキュアアプリケーションマネージャが hosts ファイルを変更できるように ユーザは管理者特権を持っている必要があります 管理者特権を持っていない場合 [Secure Application Manager] ウィンドウに エラーメッセージが表示され ユーザはクライアント / サーバアプリケーションにアクセスできません セキュリティポリシーの設定により 管理者がユーザに管理者特権を与えられない場合 259 ページの 外部 DNS サーバとユーザマシンを設定する ( 必要に応じて ) で説明しているように 代わりに外部 DNS サーバを設定できます J-SAM がクライアントマシンにダウンロードされる場合 このロールに関して [SAM] [Applications] タブで設定した情報もダウンロードに含まれます ユーザが [Client Applications] をクリックすると J-SAM が起動され 指定されたポートでリクエストを受信し IVE にこれらを安全にポート転送します 次に IVE はアプリケーションサーバに指定されたポートにデータを転送します 注意 : 現在 Sun JVM バージョン 以降が Windows Linux および Macintosh プラットフォームでサポートされています Windows では Sun JRE バージョン 1.1 に基づく MS JVM もサポートされています サーバへのドライブ割り当てを有効にしたい場合は このサーバのクライアントポートとサーバポートとしてポート 139 を指定する必要があります Windows XP ユーザの場合 J-SAM は自動的にレジストリを修正して ポート 445 を無効にします したがって Windows XP はドライブの割り当てにポート 139 を使用します Windows XP ユーザは レジストリの変更を有効にするために コンピュータを再起動する必要があります J-SAM が加えたレジストリの変更を無効にする場合 ユーザは IVE の [Advanced Preferences] ページで [Restore System Settings] ボタンをクリックできます 変更を再び有効にするには もう一度コンピュータを再起動する必要があります

269 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 257 J-SAM でセキュリティを提供するために対象のアプリケーションを指定するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [SAM] [Applications] を選択します 2. アプリケーションの名前とともに オプションとして説明を入力します IVE ユーザのために この情報は [Client Applications] ページに表示されます 3. 以下のいずれかを選択します [Standard application]- Citrix NFuse Lotus Notes または Microsoft Outlook/Exchange を選択します [Custom application]- 1 [Server] フィールドに サーバの DNS 名またはサーバ IP アドレスを入力します 2 [Server Port] フィールドに リモートサーバがクライアントの接続を待ち受けするポートを入力します たとえば リモートマシンから受信した Telnet トラフィックを転送するには クライアントポート ( このポートで J-SAM が待ち受け ) とサーバポート ( このポートで Telnet サーバが待ち受け ) の両方にポート 23 を指定します 注意 : このリソースに対するドライブ割り当てを有効にするには サーバポートとして 139 を入力します 3 [Local Port] フィールドに J-SAM がクライアントアプリケーションの接続を待ち受けする必要があるポートを入力します ローカルポート値は サーバポートと同じ値になります 通常 ローカルポート値が異なるのは Linux または Macintosh ユーザがポート転送のために 1024 よりも下のポートを使用するアプリケーションを追加したい場合だけです 注意 : このリソースに対するドライブ割り当てを有効にするには サーバポートとして 139 を入力します app1.mycompany.com app2.mycompany.com app3.mycompany.com など 単一ポートで複数のアプリケーションを設定できます IVE は各アプリケーションにループバックアドレス ( ) を割り当てます 次に J-SAM は指定されたポートでこれらの複数のループバックアドレスの待ち受けを行います たとえば 指定されたポートで のトラフィックがあった場合 IVE は送信先ホスト app3.mycompany.com にこのトラフィックを転送します

270 258 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 4 J-SAM が同じポートで複数ホストの待ち受けを行っており さらに 管理者が指定したクライアントポートが使用中の場合に利用できるポートを J-SAM に選択させたい場合 [Allow Secure Application Manager to dynamically select an available port...] チェックボックスにチェックを入れます このオプションを使用する場合 クライアントアプリケーションでは 接続用のポート番号を指定できる必要があります 4. [Save Changes] または [Save + New] をクリックします 5. [Enable Automatic Host Mapping (Java Version Only)] で [Enabled] を選択し PC ユーザである場合は [Save Changes] をクリックします クライアントアプリケーションは アプリケーションサーバを localhost IP アドレスに解決する必要があります リモート PC ユーザに対して自動ホストマッピングを有効にしたくない場合 あるいは Linux ユーザである場合 アプリケーションサーバ名をユーザの localhost に解決するように 外部 DNS サーバを設定する必要があります 詳細については 259 ページの 外部 DNS サーバとユーザマシンを設定する ( 必要に応じて ) を参照してください 6. Internet Explorer で Web プロキシを使用するようにリモートユーザの PC が設定されている場合 セキュアアプリケーションマネージャに接続する必要があるアプリケーションをユーザが起動した場合に このプロキシサーバをバイパスするように クライアントマシンを設定してください 260 ページの プロキシ Web サーバを通じて IVE に接続する PC を設定する を参照してください 7. company-a.com や company-b.com など 複数の内部ドメインがある場合 app1.company-a.com および app2.company-b.com のような名前を正常に解決できるように IVE に DNS ドメインを追加します 1 [Network] [Network Settings] メニューをクリックします 2 [DNS Name Resolution] で カンマ区切りのドメインリストを [DNS Domains] フィールドに追加します 3 [Save Changes] をクリックします J-SAM のその他のタスク このセクションでは J-SAM に指定したクライアント / サーバアプリケーションやユーザが使用しているオペレーティングシステムに応じて 実行すべきタスクを説明します また企業内で J-SAM をテストする手順を説明します 次のようなトピックがあります 外部 DNS サーバとユーザマシンを設定する ( 必要に応じて ) (259) プロキシ Web サーバを通じて IVE に接続する PC を設定する (260)

271 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 259 外部 DNS サーバとユーザマシンを設定する ( 必要に応じて ) クライアントアプリケーションは サーバホスト名を クライアントとサーバの間でデータのプロキシを実行する J-SAM に解決する必要があります Windows PC の場合 サーバホスト名は hosts ファイルに保存されます J-SAM を使用してデータを受け取る場合 IVE がトラフィックの仲介を実行できるように このファイル中のサーバ名を ローカルマシン (localhost) に解決する必要があります アプリケーションサーバをユーザのローカル PC にマップする方法として 自動ホストマッピングオプションを有効にすることをお勧めします (263 ページ ) この機能を使用すると IVE は自動的に PC の hosts ファイルを変更して セキュアなポート転送のためにアプリケーションサーバを localhost に関連付けることができます IVE が自動ホストマッピングを実行する場合 PC ユーザはマシン上で管理者特権を持っている必要があります PC ユーザがこれらの特権を持っていない場合 インターネットの外部 DNS サーバにエントリを追加して 内部アプリケーションサーバの名前が PC の localhost に外的に解決されるように設定する必要があります app1.company-a.com app2.company-b.com exchange1.company-a.com exchange1.company-b.com クライアントアプリケーションが アプリケーションサーバに対して修飾のない名前を使用する場合 PC がサフィックスを追加して名前解決のために外部 DNS サーバにアクセスできるように ユーザは DNS サフィックスを指定する必要があります たとえば MS Outlook クライアントは 通常 MS Exchange サーバに対して無修飾名を使用します 修飾名を に解決する場合 ユーザは適切な DNS サフィックスを PC 上で指定する必要があります ドメイン名を追加しても 企業内でのクライアントアプリケーションの使用など PC 上の他の処理には影響が及びません ユーザ PC を DNS サフィックスで設定するには 次の操作を実行します (Windows 2000) 1. Windows の [ スタート ] メニューから [ 設定 ] [ ネットワークとダイヤルアップ接続 ] [ ローカルエリア接続 ] を選択して [ プロパティ ] を選択します 2. [ インターネットプロトコル (TCP/IP)] を選択して [ プロパティ ] をクリックします 3. [ 詳細設定 ] をクリックして 次に [DNS] タブをクリックします 4. [ 以下の DNS サフィックスを順に追加する ] をクリックして [ 追加 ] をクリックします 5. 追加の DNS サフィックスとして 企業の内部ドメインを追加します

272 260 NetScreen Instant Virtual Extranet アプライアンス管理ガイド プロキシ Web サーバを通じて IVE に接続する PC を設定する この手順を行うのは Internet Explorer で Web プロキシを使用するように リモートユーザの PC が設定されている場合だけです この手順によって クライアントアプリケーションは Web プロキシに接続するのではなく セキュアアプリケーションマネージャに接続するようになります Internet Explorer で Web プロキシを通じて IVE に接続する PC を設定するには 次の操作を実行します 1. Internet Explorer の [ ツール ] メニューから [ インターネットオプション ] を選択します 2. [ 接続 ] タブで [LAN の設定 ] ボタンをクリックします 3. [ プロキシサーバー ] で [ 詳細 ] ボタンをクリックします 4. [ 例外 ] には プロキシサーバを使用したくないアドレスを入力します セキュアアプリケーションマネージャによる接続時にクライアントアプリケーションが使用するすべてのアドレス (hostnames と localhost) を入力します 例 : アプリケーションサーバが app1.company.com である場合 次のように例外を入力します app1;app1.company.com; Exchange サーバが exchange.company.com である場合 次のように例外を入力します exchange;exchange.company.com;

273 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 261 [SAM] [Options] タブ 一般的なセキュアアプリケーションマネージャオプションを指定するには [SAM] [Options] タブを使用します これらのオプションでは セキュアアプリケーションマネージャ自体に加えて セキュアアプリケーションマネージャリソースポリシー内の事前設定リソースに関しても 起動 更新 アンインストールの方法などを指定します 一般的なセキュアアプリケーションマネージャオプションを指定する 一般的なセキュアアプリケーションマネージャオプションを指定するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [SAM] [Options] を選択します 2. [Secure Application Manager] で ユーザのために有効にするオプションを選択します [Auto-launch Secure Application Manager]- 有効にすると ユーザがサインインしたときに IVE は自動的にセキュアアプリケーションマネージャを起動します [Yes] を選択しない場合 ユーザは [Client Applications] メニューから手動でセキュアアプリケーションマネージャを起動する必要があります [Auto-uninstall Secure Application Manager]- 有効にすると IVE はユーザがサインオフした後で自動的にセキュアアプリケーションマネージャをアンインストールします [Auto-allow application server]- 有効にすると IVE は自動的に W-SAM のアプリケーションリストやサーバリスト J-SAM のアプリケーションリストに指定されたサーバにアクセスを許可する SAM リソースポリシーを作成します 3. ユーザのサインイン時に IVE でセキュアアプリケーションマネージャを自動的にアップグレードするには [Windows SAM Options] で [Auto-upgrade Secure Application Manager] を選択します 4. [Java SAM Options] で ユーザのために有効にするオプションを選択します [User can add applications]- 有効にすると ユーザはアプリケーションを追加できます ユーザがアプリケーションを追加するには アプリケーションサーバの DNS 名とクライアント / サーバポートを知っている必要があります このオプションを有効すると あらゆるホストに接続したポートまたは企業内のポートを設定できます ユーザにアプリケーションの追加機能を提供する前に この機能がセキュリティの設定と矛盾しないか確認してください ユーザがアプリケーションを追加した場合 この機能を後で無効にしても ユーザはこのアプリケーションを利用できる状態になります

274 262 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Automatic host-mapping]- 有効にすると セキュアアプリケーションマネージャは Windows PC の hosts ファイルを編集して Windows アプリケーションサーバのエントリを localhost で置換します ユーザがセキュアアプリケーションマネージャを終了すると これらのエントリは元のデータに戻されます セキュアアプリケーションマネージャの Java バージョンを正常に使用するには セキュアアプリケーションマネージャがアプリケーションサーバとして稼動しているローカル PC に クライアントアプリケーションで接続する必要があります アプリケーションサーバをユーザのローカル PC にマップする方法として 自動ホストマッピング機能を有効にすることをお勧めします この機能を使用すると IVE は自動的に PC の hosts ファイルを変更して セキュアなポート転送のためにアプリケーションサーバを PC の localhost に関連付けることができます あるいは代わりに 外部 DNS サーバを設定できます [Skip web-proxy registry check]- 有効にすると J-SAM は Web プロキシに対して ユーザレジストリをチェックしません 一部のユーザには レジストリを参照する権限がありません したがって J-SAM がレジストリを参照しようとすると ユーザには権限がないことを通知するエラーメッセージが表示されます このオプションを選択すると このメッセージが表示されなくなります 5. [Save Changes] をクリックします

275 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 263 図 90:[Users] [Roles] [RoleName] [SAM] [Options]

276 264 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Telnet/SSH] [Sessions] タブ このロールにマップされたユーザの welcome ページに セキュアターミナルセッションブックマークを作成するには [Telnet/SSH] [Sessions] タブを使用します ターミナルセッションブックマークは ユーザが起動できる Telnet または SSH セッションのターミナルセッション情報を定義します これらのセッションは UNIX サーバ ネットワークデバイス ターミナルサービスを使用するその他のレガシアプリケーションなど さまざまなネットワークデバイスへのアクセスをユーザに提供します [Secure Terminal Access upgrade] オプション (Telnet/SSH) を有効にしたものの 独自のブックマークを作成する権限をユーザに与えない場合は ユーザのためにセッションブックマークを設定したことを確認してください それ以外の場合 ユーザはこの機能を使用できなくなります 注意 : 現在 Sun JVM バージョン 以降がサポートされています セキュアターミナルセッションのためにブックマークを作成する セキュアターミナルセッションのためにブックマークを作成するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [Telnet/SSH] [Sessions] を選択します 2. [Add Session] をクリックして 必要な情報を入力します 必要な情報には アスタリスク (*) が表示されます ブックマークの名前と説明を指定すると この情報は [Terminal Sessions] ページに表示されます 3. [Save Changes] または [Save + New] をクリックします

277 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 265 図 91:[Users] [Roles] [RoleName] [Telnet/SSH] [Sessions] [Telnet/SSH] [Options] タブ 一般的な Telnet/SSH オプションを指定するには [Telnet/SSH] [Options] タブを使用します これらのオプションは Telnet/SSH リソースポリシーと協調して動作します 一般的な Telnet/SSH オプションを指定する 一般的な Telnet/SSH オプションを指定するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [Telnet/SSH] [Options] を選択します 2. ユーザが独自のセッションブックマークを定義できるようにするには [User can add sessions] を有効にします このオプションを有効した場合 これ以降 ユーザが IVE welcome ページを再表示すると [Add Terminal Session] ボタンが [Terminal Sessions] ページに表示されるようになります 3. セッションブックマークに指定されたサーバへのアクセスを許可する Telnet/SSH リソースポリシーを IVE で自動的に作成できるようにするには [Auto-allow role Telnet/SSH sessions] を有効にします

278 266 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 4. [Save Changes] をクリックします 図 92:[Users] [Roles] [RoleName] [Telnet/SSH] [Options] [Meetings] タブ この [Meetings] タブでは ミーティングのスケジュール (13 ページの セキュアミーティングの概要 で説明 ) や 作成したミーティングのセキュリティレベルの制御 およびミーティングで使用するシステムリソースのレベルの管理を行う権限をどのユーザロールに付与するかを指定します ユーザロールの作成時に ユーザが複数のロールにマップされており これらをマージすると選択した場合 (228 ページ ) 安全性よりも アクセス性が優先されて [User] [Roles] [Meetings] ページの全オプション ( ポリシー設定を除く ) がマージされることに注意してください ロールで許容されるミーティング数と参加者数を管理しているポリシー設定を適用すると セキュアミーティングはさまざまなロールをチェックして 制限にまだ達していないロールを見つけようとします たとえば ロールは以下のミーティング数をスケジュールできると指定します エンジニアリング部門 : 25 ミーティング 管理部門 : 50 ミーティング 販売部門 : 200 ミーティング これらのロールのすべてに Joe がマップされている場合 ( リスト順に ) 彼がミーティングのスケジュールを計画しようとすると まずエンジニアリング部門のミーティング制限に既に達していないか セキュアミーティングによってチェックされます 制限に達している場合 セキュアミーティングは管理部門の制限をチェックします この制限に達していた場合 セキュアミーティングは販売部門のロール制限までチェックします

279 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 267 スケジュールを決めたミーティングが制限に達し これ以上ミーティングを作成できないとセキュアミーティングがメッセージを Joe に表示するのは これらの全ロールの制限に達した場合だけです 領域レベルでは ミーティング数またはミーティングユーザ数を制限できません ユーザーロールのミーティング機能の有効化および設定 ミーティングを有効化して設定するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] を選択します 2. ロールを選択します 3. [General] [Overview] タブで [Meetings] チェックボックスを選択し [Save Changes] をクリックします 重要 : [Meetings] チェックボックスを選択しない場合 ユーザはミーティングの作成 ミーティングのスケジュール セキュアミーティングカレンダの表示を実行できません ただし 招待状 E メールに記載されたリンクを使用して またはミーティング URL を Web ブラウザに直接入力して 招待されたミーティングに参加できるので注意してください 4. [Meetings] タブを選択します 5. [Meeting Options] セクションでは ユーザに与えたいアクセスレベルを指定します [Allow user to join meetings] を選択すると ユーザはミーティングの作成とスケジュールができなくなりますが 招待されたミーティングに参加するために依然としてセキュアミーティングカレンダーにアクセスできます [Allow user to create and join meetings] を選択すると ユーザはセキュアミーティングカレンダーを使用して ミーティングの作成 スケジュール アクセスを実行できます ( エンドユーザのホームページにある [Meetings] リンクでアクセス可能 ) 6. ユーザが作成するミーティングに適用させたい [Authentication Requirements] を指定します [Meeting password optional (more accessible)] を選択すると ミーティングへの参加にパスワードが必要かどうかを決定する権限がミーティングの作成者に与えられます このオプションを選択すると 非 IVE ユーザを含めて ミーティング URL ID 番号 およびパスワード ( 省略可能 ) を知っている人は誰でも ミーティングに参加できるようになります [Require meeting password (more secure)] を選択すると ミーティングの作成者がミーティングのパスワードを作成するか セキュアミーティングによって生成されたパスワードを使用する必要があります このオプションを選択すると 非 IVE ユーザを含めて ミーティング URL ID 番号 およびパスワードを知っている人は誰でも ミーティングに参加できるようになります

280 268 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Require server-generated password (even more secure)] を選択すると ミーティングの作成者は セキュアミーティングによって生成されたパスワードを使用する必要があります このオプションを選択すると 非 IVE ユーザを含めて ミーティング URL ID 番号 およびパスワードを知っている人は誰でも ミーティングに参加できるようになります [Require secure gateway authentication (most secure)] を選択すると IVE セキュアゲートウェイに対して認証され 招待されたユーザのみがミーティングに参加できます このオプションを選択した場合 すべてのユーザは IVE セキュアゲートウェイを通じて認証を受ける必要があるため ミーティングの作成者はミーティングパスワードを作成する必要はありません 7. ミーティングの作成者に使用させたい [Password Distribution] の方法を選択します [Do not display the password in the notification (more secure)] を選択すると ミーティングの作成者は ( セキュアミーティングが送信する自動 E メール通知ではなく ) 手動でミーティングのパスワードを参加者に配信する必要があります ミーティング E メールにパスワードを含めなければ ミーティングのセキュリティが高まります [Display the password in the notification (more accessible)] を選択すると セキュアミーティングが送信する E メール通知でミーティングパスワードが自動的に配信されます [Allow the meeting creator to decide] を選択すると セキュアミーティングで送信する自動 E メール通知にミーティングパスワードを含めるかどうかをミーティングの作成者が決定できます 8. [Remote Control] セクションで次のいずれかのオプションを選択して ミーティングのプレゼンタが他のミーティング出席者とデスクトップとアプリケーションを共有することを許可するかどうか指定します [Allow remote control of shared windows (more functional)] を選択すると ミーティングのプレゼンタまたは実行者が プレゼンタのデスクトップおよびデスクトップアプリケーションの制御権を 非 IVE ユーザを含め 任意のミーティング参加者に渡すことができます [Disable remote control (more secure)] を選択すると ミーティングのプレゼンタのデスクトップおよびデスクトップアプリケーションの制御権はプレゼンタのみに与えられます 9. [Meeting Policy Settings] セクションで セキュアミーティングユーザによって使用されるリソースを制限するかどうかを指定します ロールに対してスケジュールできるミーティングの最大数を指定するには [Limit number of scheduled meetings] チェックボックスをオンにして 対応する値を入力します ロールのメンバが開催できるミーティングの最大数を指定するには [Limit number of simultaneous meetings] チェックボックスをオンにして 対応する値を入力します

281 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 269 ロールのメンバによってスケジュールされたミーティングに同時に参加できる最大人数を指定するには [Limit number of simultaneous meeting attendees] チェックボックスをオンにして 対応する値を入力します ミーティングの最長継続時間 ( 分単位 ) を指定するには [Limit duration of meetings (minutes)] チェックボックスをオンにして 対応する値を入力します 重要 : また IVE はユーザが参加できるミーティング数も制限します 各ユーザは 1 台のコンピュータから 1 度に 1 つのミーティングにしか参加できません また 3 分間に 10 を超えるミーティングに連続して参加することもできません セキュアミーティングライセンスで定義されるミーティング制限やユーザ制限に これらの制限が追加されます 10.[Save Changes] をクリックしてください IVE により 指定されたロールのユーザのセキュアゲートウェイホームページに [Meeting] リンクが追加されます

282 270 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 93:[Users] [Roles] [RoleName] [Meetings]

283 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 271 [Network Connect] タブ ローカルサブネットオプションを設定するには [Network Connect] タブを使用します ネットワークコネクトのローカルサブネットオプションの指定 ネットワークコネクトのローカルサブネットオプションを指定するには 次の操作を実行します 1. Web コンソールで [Users] [Roles] [RoleName] [Network Connect] を選択します 2. ユーザのローカルサブネットルートをルートテーブルに保存するには [Allow access to local subnet] を有効にします ルートテーブルの編集は 許可されています 3. [Save Changes] をクリックします 図 94:[Users] [Roles] [RoleName] [Network Connect]

284 272 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [New User] ページの設定 ローカルユーザの作成 認証サーバの種類として IVE 認証 を選択する場合 このデータベースのために ローカルユーザレコードを定義する必要があります ローカルユーザレコードは ユーザ名 ユーザの氏名 ユーザのパスワードで構成されます 無効にする予定の外部認証サーバで通常検証されるユーザの場合 または一時的なユーザのグループを素早く作成したい場合 ローカルユーザレコードを作成すると便利です IVE ローカル認証のためにローカルユーザレコードを作成するには 次の操作を実行します 1. Web コンソールで 次のいずれかを実行します [System] [Signing In] [Servers] を選択して ユーザアカウントを追加する IVE データベースをクリックします それから [Users] タブを選択して [New] をクリックします [Users] [New User] を選択します 2. ユーザ名 ユーザの氏名 パスワードを入力します 注意 : ユーザ名に ~~ を含めないでください アカウントの作成後に ユーザのユーザ名を変更したい場合は 新しいアカウントそのものを作成する必要があります 3. ([Users] [New User] ページのみ ) [Authenticate Using] リストから ユーザアカウントを追加したい IVE データベースを選択します 4. [Save Changes] をクリックします ユーザレコードが IVE データベースに追加されます 図 95: >[Users] [New User] を選択します

285 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 273 [Web] ページの設定 [Resource Policies] [Web] ページには 次のタブがあります [Access] タブ [Caching] [Policies] タブ [Caching] [Options] タブ [Java] [Access Control] タブ [Java] [Code Signing] タブ [Rewriting] [Selective Rewriting] タブ [Rewriting] [Pass-through Proxy] タブ [Remote SSO] [Form POST] タブ [Remote SSO] [Headers/Cookies] タブ [Web Proxy] [Policies] タブ [Web Proxy] [Settings] タブ 次の操作を行うには [Resource Policies] [Web] ページタブを使用します Web Access リソースポリシーの作成 Web Caching リソースポリシーの作成 キャッシングオプションの指定 Java Access Control リソースポリシーの作成 Java Code Signing リソースポリシーの作成 選択的な再書き込みリソースポリシーの作成 データ転送プロキシリソースポリシーの作成 SSO Form POST リソースポリシーの作成 SSO Headers/Cookies リソースポリシーの作成 Web プロキシリソースポリシーの作成 Web プロキシ設定の指定 Web リソースポリシーの作成 ロールに対して Web アクセス機能を有効にすると ユーザが要求したコンテンツ およびキャッシング アプレット シングルサインオン条件を IVE が再書き込みする必要があるかどうか ユーザがアクセスできるリソースを指定するリソースポリシーを作成する必要があります Web 要求ごとに IVE は 設定した再書き込みポリシーを最初に評価します 1 ユーザの要求が 選択的な再書き込みまたはデータ転送プロキシリソースポリシーにより 再書き込みしない と指定されたリソースの場合 IVE はユーザの要求を適切なバックエンドリソースに転送します 規則に適合しない場合 IVE は Java 1. 再書き込み リソースポリシーを設定しない場合 IVE はユーザ要求に適用するポリシーを使用して評価プロセスを続行します

286 274 NetScreen Instant Virtual Extranet アプライアンス管理ガイド アプレットのフェッチを要求する Java リソースポリシーなどの 要求に対応するリソースポリシーを評価します ユーザの要求を該当するポリシーにリストされたリソースと照合した後 IVE はリソース用に指定されたアクションを実行します Web リソースポリシーを作成するとき 以下のキー情報を入力する必要があります リソース : リソースポリシーは ポリシーを適用する複数のリソースを指定する必要があります Web ポリシーを作成するとき Web サーバまたは特定の URL を指定する必要があります 39 ページの Web リソースの指定 を参照してください ロール : リソースポリシーは 適用するロールを指定する必要があります ユーザが要求を行うと IVE はロールに適用するポリシーを決定し 要求に対応するポリシーを評価します アクション : リソースポリシーの各タイプは リソースを許可または拒否するかどうか コンテンツの再書き込み アプレットの書き直し Web データの転送などの機能を実行するかどうかといった 特定のアクションを実行します ユーザ要求に対してさらに条件を適用する詳細な規則を作成することもできます 45 ページの 詳細規則の記述 を参照してください

287 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 275 図 96:[Resource Policies] [Web] [Access] [New Policy] この図は Web リソースポリシーの一般的な [New Policy] 設定ページを示します [Resource] リストへの情報の入力方法については 38 ページの リソースポリシーのリソースの指定 を参照してください

288 276 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 97:[Resource Policies] [Web] [Access] [New Policy] [Detailed Rule] この図は 詳細な規則をポリシーに追加する方法を示します 詳細については 45 ページの 詳細規則の記述 を参照してください 図 98:[Resource Policies] [Web] [Access] [New Policy] [Detailed Rule Added] ポリシーの [Detailed Rules] タブに加え [Action] 列の [Details](277 ページの図 99) をクリックすると 規則の詳細な情報がリソースポリシーのメインページに表示されます

289 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 277 図 99:[Resource Policies] [Web] [Access] この図は Web Access リソースポリシーの [Policies] ページを示します [Users] [Roles] [Web] [Option] タブで [auto-allow] オプションを有効にすると ユーザがロールに対して作成された Web ブックマークに到達できることが保証されます

290 278 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Access] タブ [Access] タブを使用して インターネット イントラネット またはエクストラネットに接続するためにユーザがアクセスできる Web リソースを制御するリソースポリシーを指定します URL または IP の範囲によって Web リソースへのアクセスを拒否または許可することができます URL の場合 複数のホスト名とパスを効率的に指定するために ワイルドカードの * と? を使用できます ホスト名で指定したリソースの場合 HTTP HTTPS のどちらか または両方のプロトコルを選択することも可能です Web Access リソースポリシーの作成 Web Access リソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Web] [Access] を選択します 2. [Web Access Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで このポリシーを適用するリソースを指定します 詳細については 39 ページの Web リソースの指定 を参照してください 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Allow access] [Resources] リストで指定したリソースに対するアクセスを許可します [Deny access] [Resources] リストで指定したリソースに対するアクセスを拒否します

291 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 279 [Use Detailed Rules] このポリシーに対して複数の詳細な規則を指定します 詳細については 45 ページの 詳細規則の記述 を参照してください 7. [Save Changes] をクリックします 8. [Web Access Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください [Caching] [Policies] タブ [Caching] [Policies] タブを使用して ユーザのマシン上のキャッシュに格納される Web コンテンツを制御する Web リソースポリシーを作成します デフォルトでは ブラウザのキャッシングは無効に設定されます この場合 IVE は リモートユーザに送信されるすべてのページをキャッシング不可とマークします この設定により ユーザがブラウザを終了した後に機密情報が含まれたページがリモートマシンに残るのを防止できます このオプションを有効にすると コンテンツを何度もフェッチする必要があるため ブラウジングが遅くなり 通信速度の低い接続回線を使用している場合にはパフォーマンスの問題が生じる場合があります もう 1 つの方法として 指定したサイズの上限を超えない特定の種類のコンテンツをキャッシュに格納するようなポリシーを指定することもできます ブラウザのサポート キャッシュ管理命令は W3C 規格に準拠するすべてのブラウザでサポートされています IVE をサポートする以下のブラウザは キャッシュコントロールヘッダをサポートしています Win2k-IE5.5 SP2 Win2k-IE6.0 Win98-Netscape4.79 Win98-IE5.5 SP2 MacOS9.2-IE5.1.5 MacOSx-IE5.2

292 280 NetScreen Instant Virtual Extranet アプライアンス管理ガイド Web Caching リソースポリシーの作成 Web Caching リソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Web] [Caching] [Policies] を選択します 2. [Web Caching Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで このポリシーを適用するリソースを指定します 詳細については 39 ページの Web リソースの指定 を参照してください 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Smart Caching]( コンテンツとブラウザに適したヘッダを送信する ) user-agent ヘッダに msie または windows-media-player が含まれ かつメディアファイルが要求された場合 cache 応答ヘッダまたは cachecontrol:no-store 応答ヘッダは送信されません 例 : (if content type has "audio/x-pn-realaudio" OR if content type begins with "video/" OR if content type begins with "audio/" OR if content type is "application/octet-stream" and the file extension begins with "rm" or "ram" ) この場合 IVE は発信元サーバの cache-control を削除し コンテンツのキャッシングを可能にします この処理により メディアファイルが正常に機能します

293 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 281 user-agent ヘッダに msie または windows-media-player が含まれ Flash.xls.pps.ppt ファイルが要求された場合 指定された content-type が application/ text/rtf text/xml model/ の場合 または 発信元サーバから content-disposition ヘッダが送信された場合この場合 IVE は cache-control:no-store を送信し 発信元サーバの cache-control ヘッダを削除します その他の場合 IVE は pragma:no-cache 応答ヘッダまたは cachecontrol:no-store 応答ヘッダを追加します 注意 : Citrix.ica ファイルと QuickPlace ファイルには特殊な処理が適用されます Citrix.ica ファイルは常にキャッシング可能で cachecontrol-private ヘッダも追加されます QuickPlace ファイルについては指定の規則が優先されますが 規則に適合しない QuickPlace ファイルは CCNS および cache-control:private ヘッダが追加されます [Don't Cache]( Cache Control: No Store を送信する) IVE は発信元サーバの cache-control ヘッダを削除し ブラウザから送信された user-agent 文字列に msie または windows-media-player が含まれている場合には cache-control:no-store 応答ヘッダを追加します [Don't Cache]( Pragma: No Cache を送信する ) IVE は pragma:no-cache ヘッダと cache-control:no-cache ヘッダを応答に追加します IVE は age や date etag last-modified expires などの発信元サーバのキャッシングヘッダは転送しません [Cache]( キャッシングヘッダを追加 / 変更しない ) IVE は pragma:no-cache 応答ヘッダまたは cache-control:no-store 応答ヘッダを追加せずに 発信元サーバのキャッシングヘッダを転送します [Use Detailed Rules] このポリシーに対して複数の詳細な規則を指定します 詳細については 45 ページの 詳細規則の記述 を参照してください 7. [Save Changes] をクリックします 8. [Web Caching Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください

294 282 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Caching] [Options] タブ [Caching] [Options] タブを使用して クライアント上のキャッシュに格納される最大イメージファイルサイズを指定します 発信元サーバから送られた content-type ヘッダが image/ で始まり content-length ヘッダにこのオプション用に設定された最大サイズを超えないサイズが指定されている場合 IVE は発信元サーバのキャッシングヘッダを転送します 規則に適合しない場合 その要求はキャッシング不可と同様に扱われます キャッシングオプションの指定 キャッシングオプションを指定するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Web] [Caching] [Options] を選択します 2. [Caching Options] ページで [New Policy] をクリックします 3. [Save Change] をクリックします 図 100:[Resource Policies] [Web] [Caching] [Options]

295 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 283 [Java] [Access Control] タブ [Java] [Access Control] タブを使用して Java アプレットが接続できるサーバとポートを制御する Web リソースポリシーを作成します Java Access Control リソースポリシーの作成 Java Access Control リソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Web] [Java] [Access Control] を選択します 2. [Java Access Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで このポリシーを適用するリソースを指定します 詳細については 39 ページの Web リソースの指定 を参照してください 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Allow socket access] Java アプレットが [Resources] リストのサーバ ( およびオプションのポート ) に接続できるようにします [Deny socket access] Java アプレットが [Resources] リストのサーバ ( およびオプションのポート ) に接続できないようにします [Use Detailed Rules] このポリシーに対して複数の詳細な規則を指定します 詳細については 45 ページの 詳細規則の記述 を参照してください

296 284 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 7. [Save Changes] をクリックします 8. [Java Access Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください [Java] [Code Signing] タブ [Java] [Code Signing] タブを使用して IVE が Java アプレットを再書き込みする Web リソースポリシーを作成します デフォルトでは 署名付き Java アプレットを仲介する場合 IVE は標準のルート証明書にチェーンされていない IVE 自身の証明書でアプレットの署名を書き直します ユーザがネットワークサーバへのアクセスなどの危険度の高いタスクの実行を要求すると ルートが信頼できるルートではない というセキュリティ警告がユーザのブラウザに表示されます このような警告が表示されないようにするには IVE が仲介するアプレットの署名書き換えに使用するコード署名証明書をインポートします 詳細については 59 ページの アプレット証明書 を参照してください Java Code Signing リソースポリシーの作成 Java Code Signing リソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Web] [Java] [Access Control] を選択します 2. [Java Signing Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで このポリシーを適用するリソースを指定します 詳細については 39 ページの Web リソースの指定 を参照してください 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください

297 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 285 [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Resign applets using applet certificate] Java アプレットが [Resources] リストのサーバ ( およびオプションのポート ) に接続できるようにします [Resign applets using default certificate] Java アプレットが [Resources] リストのサーバ ( およびオプションのポート ) に接続できないようにします [Use Detailed Rules] このポリシーに対して複数の詳細な規則を指定します 詳細については 45 ページの 詳細規則の記述 を参照してください 7. [Save Changes] をクリックします 8. [Java Signing Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください [Rewriting] [Selective Rewriting] タブ [Rewriting] [Selective Rewriting] タブを使用して IVE がコンテンツを仲介するホストのリストとこのリストの例外を定義します デフォルトの場合 IVE は すべてのユーザ要求を Web ホストに仲介します これは セキュアアプリケーションマネージャなど 別のメカニズムで特定のホストにリクエストを送るように IVE を設定していない場合です yahoo.com など 企業ネットワークの外にある Web サイトのトラフィックを IVE で仲介したくない場合 あるいは Microsoft OWA(Outlook Web Access) など Web リソースとして配置したクライアント / サーバアプリケーションに対して IVE でトラフィックを仲介したくない場合に 選択的な再書き込みポリシーを作成します

298 286 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 選択的な再書き込みリソースポリシーの作成 選択的な再書き込みリソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Web] [Rewriting] [Selective Rewriting] を選択します 2. [Web Rewriting Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで このポリシーを適用するリソースを指定します 詳細については 39 ページの Web リソースの指定 を参照してください 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Rewrite content] IVE は [Resources] リストで指定したリソースの全 Web コンテンツを仲介します [Don t rewrite content] IVE は [Resources] リストで指定したリソースの Web コンテンツを仲介しません このオプションを適用するリソースにユーザ要求を行うと IVE は 要求されたリソースへのリンクを組み込んだページを表示し このリンクをクリックするようにユーザに指示します このリンクをクリックすると 新しいブラウザウィンドウでリソースが表示され リクエストを最初に出したページはそのまま IVE の中に表示されます [Use Detailed Rules] このポリシーに対して複数の詳細な規則を指定します 詳細については 45 ページの 詳細規則の記述 を参照してください 7. [Save Changes] をクリックします

299 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Web Rewriting Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください [Rewriting] [Pass-through Proxy] タブ [Rewriting] [Pass-through Proxy] タブを使用して IVE が最小限の仲介を実行する Web アプリケーションを指定する Web リソースポリシーを作成します データ転送プロキシリソースポリシーを作成するには 2 つの項目を指定する必要があります データ転送プロキシで仲介する Web アプリケーション IVE がアプリケーションサーバへのクライアントリクエストを待ち受けするときの方法 この機能の詳細については 83 ページの データ転送プロキシの概要 を参照してください データ転送プロキシリソースポリシーの作成 データ転送プロキシリソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Web] [Rewriting] [Passthrough Proxy] を選択します 2. [Pass-through Proxy Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [URL] フィールドで アプリケーションに内的にアクセスするのに URL から使用するアプリケーションサーバホスト名または IP アドレスおよびポートを指定します 5. データ転送プロキシ機能を有効にする方法を指定します [Use virtual hostname] このオプションを指定する場合 アプリケーションサーバホスト名の別名を指定します IVE は アプリケーションサーバホスト名の別名に対するクライアントリクエストを受信すると URL フィールドの指定されたアプリケーションサーバポートにリクエストを転送します 重要 : このオプションを選択した場合 [System] [Network] [Internal Port] タブの [Network Identity] セクションで IVE 名とホスト名も定義する必要があります

300 288 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Use IVE port] このオプションを選択した場合 ~ の範囲にある固有の IVE ポートを指定します IVE は 指定した IVE ポートのアプリケーションサーバへのクライアントリクエストを待ち受け そのリクエストを URL フィールドで指定されたアプリケーションサーバポートに転送します 6. [Action] セクションで IVE がトラフィックを仲介する方法を指定します [Rewrite XML] [Rewrite external links] 7. [Save Changes] をクリックします 8. [Pass-through Proxy Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたアプリケーションをポリシーの ( または 詳細な規則の )[Resource] リストで指定されたアプリケーションと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください 9. 以下の選択肢があります [Use virtual hostname] 1 IVE に解決される各アプリケーションサーバホスト名の別名エントリを外部 DNS に追加する 2 ワイルドカードのサーバ証明書を IVE にアップロードする ( 推奨 ) [UseIVE port] 企業のファイアウォール内にあるアプリケーションサーバ用に指定した IVE ポートに対してトラフィックを開きます 注意 : アプリケーションが複数のポートで待ち受けをする場合 個別の IVE ポートで 別々のデータ転送プロキシエントリとして各アプリケーションポートを設定します 異なるホスト名または IP アドレスを使用してサーバにアクセスする場合 これらのオプションは個別に設定します このような場合 同じ IVE ポートを使用してもかまいません

301 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 289 [Remote SSO] [Form POST] タブ [Remote SSO] [Form POST] タブを使用して IVE がデータを転送する Web アプリケーションを指定する Web リソースポリシーを作成します この Web リソースポリシーには ユーザの IVE ユーザ名およびパスワードに加えて システム変数によって格納されたシステムデータを含めることが可能です この機能の詳細については 85 ページの リモート SSO の概要 を参照してください SSO Form POST リソースポリシーの作成 SSO Form POST リソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Web] [Remote SSO] [Form POST] を選択します 2. [Form POST Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで このポリシーを適用するリソースを指定します 詳細については 39 ページの Web リソースの指定 を参照してください 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Perform the POST defined below] IVE は ユーザが [Resources] リストで指定したリソースに要求を行うと [POST details] セクションで指定したユーザデータと共にフォーム POST を 指定した URL に対して実行します

302 290 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Do NOT perform the POST defined below] IVE は [POST details] セクションで指定されたユーザデータと共にフォーム POST を実行しません [Use Detailed Rules] このポリシーに対して複数の詳細な規則を指定します 詳細については 45 ページの 詳細規則の記述 を参照してください 7. [Post details] セクションで 以下を指定します バックエンド Web アプリケーションのサインインページの URL ユーザが URL ディレクトリにアクセスできないようにする場合は [Deny direct login for this resource] をチェックします 転送するユーザデータおよびユーザ修正許可 [User label]- IVE のユーザの [Advanced Preferences] ページに表示されるラベル バックエンドアプリケーションに転送するデータの修正を ユーザができるようにするか またはユーザに求める場合 このフィールドは必須です [Name]-[Value] フィールドのデータを識別する名前 ( バックエンドアプリケーションではこの名前が必要 ) [Value]- 指定した [Name] のフォームに転送する値 静的なデータまたはシステム変数を入力します 有効な変数のリストについては 369 ページの システム変数とその例 を参照してください [User modifiable?] 設定 -[Value] フィールドの情報をユーザが変更できないようにする場合は [Not modifiable] に設定します バックエンドアプリケーションのデータをユーザが指定できないようにする場合は [User CAN change value] に設定します バックエンドアプリケーションにアクセスするために追加情報をユーザが入力する必要がある場合は [User MUST change value] に設定します 後者の設定のいずれかを選択した場合は データ入力用のフィールドが IVE のユーザの [Advanced Preferences] ページに表示されます このフィールドには [User label] フィールドに入力したデータをもとに名前が付けられます [Value] フィールドに値を入力した場合は この値がフィールドに表示されますが編集可能です 8. [Save Changes] をクリックします 9. [Form POST Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください

303 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 291 [Remote SSO] [Headers/Cookies] タブ [Remote SSO] [Headers/Cookies] タブを使用して IVE がカスタムヘッダとクッキーを転送するカスタマイズした Web アプリケーションを指定する Web リソースポリシーを作成します この機能の詳細については 85 ページの リモート SSO の概要 を参照してください SSO Headers/Cookies リソースポリシーの作成 SSO Headers/Cookies リソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Web] [Remote SSO] [Headers/Cookies] を選択します 2. [Headers/Cookies Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで このポリシーを適用するリソースを指定します 詳細については 39 ページの Web リソースの指定 を参照してください 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Append headers as defined below] IVE は ユーザが [Resources] リストで指定されたリソースに要求を行うと [POST details] セクションで指定されたユーザデータを 指定した URL に転送します

304 292 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Do NOT append headers as defined below] IVE は ユーザが [Resources] リストで指定されたリソースに要求を行うと [POST details] セクションで指定されたユーザデータを 指定した URL に転送しません [Use Detailed Rules] このポリシーに対して複数の詳細な規則を指定します 詳細については 45 ページの 詳細規則の記述 を参照してください 7. [Headers and values] セクションで 以下を指定します [Header name]- ヘッダデータとして IVE が送信するテキスト [Value]- 指定したヘッダの値 8. [Save Changes] をクリックします 9. [Headers/Cookies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください [Web Proxy] [Policies] タブ [Web Proxy] [Policies] タブを使用して IVE がカスタムヘッダとクッキーを転送するカスタマイズした Web アプリケーションを指定する Web リソースポリシーを作成します この機能の詳細については 85 ページの リモート SSO の概要 を参照してください Web プロキシリソースポリシーの作成 Web プロキシリソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Web] [Web Proxy] [Policies] を選択します 2. [Web Proxy Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション )

305 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Resources] セクションで このポリシーを適用するリソースを指定します 詳細については 39 ページの Web リソースの指定 を参照してください 重要 : IVE は ドメイン名の IP アドレスへの解決や IP アドレスの逆参照を行いません ホスト名ではなく IP アドレスを参照する URL は その IP アドレスに一致するエントリが [Resources] リストにある場合にのみ一致します 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Access web resources directly] IVE は ユーザの要求をバックエンドサーバに サーバの応答を [Resources] リストで指定されたリソースに要求を行ったユーザに仲介します [Access web resources through a web proxy] IVE は ユーザが [Resources] リストで指定されたリソースに要求を行うと [POST details] セクションで指定されたユーザデータを 指定した URL に転送しません このオプションを選択した場合は Web プロキシ設定を指定したかどうかを確認します 294 ページの [Web Proxy] [Settings] タブ を参照してください [Use Detailed Rules] このポリシーに対して複数の詳細な規則を指定します 詳細については 45 ページの 詳細規則の記述 を参照してください 7. [Save Changes] をクリックします 8. [Headers/Cookies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください

306 294 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Web Proxy] [Settings] タブ IVE から送信する Web 要求は IVE を使用して直接的に接続する Web サーバではなく Web プロキシにすべて送ることができます この機能が役立つのは ネットワークセキュリティポリシーでこの構成が要求される場合 あるいはパフォーマンスを高めるために キャッシング Web プロキシを使用したい場合です 現時点で IVE がサポートするプロキシまたはサポートしないプロキシは次のとおりです HTTP プロキシングのみ Secure-HTTP (HTTPS) プロキシングはサポートしていません IVE は 直接接続を介して Secure-HTTP コンテンツをフェッチします Web プロキシ認証はサポートしていません IVE Web プロキシ機能を使用するには 認証されたユーザを受け入れるように Web プロキシを設定する必要があります Web プロキシ設定の指定 [Web Proxy] タブを使用して Web プロキシの設定を指定します Web プロキシ設定を指定するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Web] [Web Proxy] [Settings] を選択します 2. [Web Proxy Server Information] に Web プロキシサーバの名前と IP アドレス およびプロキシサーバが待ち受けするポートの番号を入力します 3. ではなく のようにホスト名が修飾されていない URL をプロキシサーバに送信する場合には [Unqualified hostnames] の [Send requests specified without a domain name to the Web proxy] をオンにします 4. [Save Changes] をクリックします

307 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 295 図 101:[Resource Policies] [Web] [Web Proxy] [Settings]

308 296 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Files] ページの設定 [Resource Policies] [Files] ページには 次のタブがあります [Windows] [Access] タブ [Windows] [Credentials] タブ [UNIX/NFS] タブ [Encoding] タブ 次の操作を行うには [Resource Policies] [Files] ページタブを使用します Windows アクセスリソースポリシーの作成 Windows 証明書リソースポリシーの作成 UNIX/NFS リソースポリシーの作成 IVE トラフィックの国際化コードの指定 Files リソースポリシーの作成 ロールに対して File アクセス機能を有効にすると ユーザがアクセスできる Windows および UNIX/NFS リソースを指定するリソースポリシーに加えて Windows および NFS 共有ファイルとの通信に使用するコード化を作成する必要があります ユーザがファイル要求を行うと IVE は MS Word ドキュメント (.doc ファイル ) のフェッチを要求するアクセスリソースポリシーなどの 要求に対応するリソースポリシーを評価します ユーザの要求を該当するポリシーにリストされたリソースと照合した後 IVE はリソース用に指定されたアクションを実行します File リソースポリシーを作成するとき 以下のキー情報を入力する必要があります リソース : リソースポリシーの各タイプは ポリシーを適用する複数のリソースを指定する必要があります File ポリシーを作成するとき File サーバまたは特定のシェアを指定する必要があります 41 ページの Windows ファイルリソースの指定 および 42 ページの UNIX/NFS ファイルリソースの指定 を参照してください ロール : リソースポリシーは 適用するロールを指定する必要があります ユーザが要求を行うと IVE はロールに適用するポリシーを決定し 要求に対応するポリシーを評価します アクション : リソースポリシーは リソースを許可または拒否するかどうか ユーザがディレクトリに書き込めるようにするなどの機能を実行するかどうかといった 特定のアクションを実行します ユーザ要求に対してさらに条件を適用する詳細な規則を作成することもできます 45 ページの 詳細規則の記述 を参照してください

309 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 297 [Windows] [Access] タブ [Windows] [Access] タブを使用して ユーザがアクセスできる Windows リソースを制御する File リソースポリシーを作成します Windows リソースを指定するには サーバおよびシェアを入力するか オプションで特定のフォルダへのパスを指定します Windows アクセスリソースポリシーの作成 Windows アクセスリソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [File] [Windows] [Access] を選択します 2. [Windows File Access Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで このポリシーを適用するリソースを指定します 詳細については 41 ページの Windows ファイルリソースの指定 を参照してください 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Allow access] [Resources] リストで指定したリソースに対するアクセスを許可します [Read-only] チェックボックスをオンにして ユーザがファイルをサーバ上に保存できないようにしてください [Deny access] [Resources] リストで指定したリソースに対するアクセスを拒否します

310 298 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Use Detailed Rules] このポリシーに対して複数の詳細な規則を指定します 詳細については 45 ページの 詳細規則の記述 を参照してください 7. [Save Changes] をクリックします 8. [Windows File Access Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください 図 102:[Resource Policies] [File] [Windows] [Access] [New Policy]

311 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 299 [Windows] [Credentials] タブ [Windows] [Credentials] タブを使用して File リソースポリシーを作成すると ユーザ要求が [Resource] リスト内のリソースと一致したときに IVE がファイルサーバに送信するための証明書を指定することができます IVE がユーザに証明書を要求するように設定することもできます Windows 証明書リソースポリシーの作成 Windows 証明書リソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [File] [Windows] [Credentials] を選択します 2. [Windows Credentials Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで このポリシーを適用するリソースを指定します 詳細については 41 ページの Windows ファイルリソースの指定 を参照してください 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します Policy applies to SELECTED roles このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Use specified credentials] このオプションを有効にすると フォルダおよびファイルレベルの [Resources] リストで指定したリソースに対してIVE が送信する管理者証明書を指定することができます IVE ファイルブラウジングサーバは server\share にオープンな接続を維持しますが 別のアカウントを使用して同じシェアの別のフォルダに接続した場合は 正常に機能しません 指定した証明書が機能しない場合 IVE は中間のページで証明書を入力するようにユーザに要求します

312 300 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Prompt for user credentials] [Resources] リストで指定したリソースの共有ファイルに証明書が必要な場合 IVE は IVE の認証チャレンジを提示することによって チャレンジを仲介します ユーザは アクセスしようとしているシェアの証明書を入力する必要があります [Use Detailed Rules] このポリシーに対して複数の詳細な規則を指定します 詳細については 45 ページの 詳細規則の記述 を参照してください 7. [Save Changes] をクリックします 8. [Windows File Access Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください

313 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 301 図 103:[Resource Policies] [File] [Windows] [Credentials] [New Policy]

314 302 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [UNIX/NFS] タブ [UNIX/NFS] タブを使用して ユーザがアクセスできる UNIX/NFS リソースを制御する File リソースポリシーを作成します UNIX/NFS リソースを指定するには サーバのホスト名または IP アドレスを入力するか オプションで特定のシェアへのパスを指定します UNIX/NFS リソースポリシーの作成 UNIX/NFS リソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [File] [UNIX/NFS] を選択します 2. [Unix/NFS File Access Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで このポリシーを適用するリソースを指定します 詳細については 42 ページの UNIX/NFS ファイルリソースの指定 を参照してください 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Allow access] [Resources] リストで指定したリソースに対するアクセスを許可します [Read-only] チェックボックスをオンにして ユーザがファイルをサーバ上に保存できないようにしてください [Deny access] [Resources] リストで指定したリソースに対するアクセスを拒否します

315 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 303 [Use Detailed Rules] このポリシーに対して複数の詳細な規則を指定します 詳細については 45 ページの 詳細規則の記述 を参照してください 7. [Save Changes] をクリックします 8. [Unix/NFS File Access Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください 図 104:[Resource Policies] [File] [UNIX/NFS] [New Policy]

316 304 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Encoding] タブ ファイルサーバとの対話時に IVE がデータをコード化する方法を指定するには [Files] [Encoding] タブを使用します IVE トラフィックの国際化コードの指定 IVE トラフィックの国際化コードを指定するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [File] [Encoding] を選択します 2. 適切なオプションを選択します Western European (ISO ) Japanese (Shift-JIS) Korean 3. [Save Changes] をクリックします 図 105:[Resource Policies] [File] [Encoding]

317 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 305 [SAM] ページの設定 次の操作を行うには [Resource Policies] [SAM] ページを使用します セキュアアプリケーションマネージャリソースポリシーの作成 セキュアアプリケーションマネージャアップグレードオプションを使用すれば ユーザは 企業 LAN の場合と同様に暗号化 SSL トンネルを通じてアプリケーションサーバにアクセスできます 詳細については 86 ページの セキュアアプリケーションマネージャの概要 を参照してください SAM リソースポリシーの作成 ロールに対してセキュアアプリケーションマネージャアクセス機能を有効にすると ユーザがアクセスできるアプリケーションサーバを指定するリソースポリシーを作成する必要があります これらのポリシーは Java バージョンと Windows バージョン両方のセキュアアプリケーションマネージャ (J-SAM および W-SAM) にそれぞれ適用します ユーザがアプリケーションサーバに要求を行うと IVE は SAM リソースポリシーを評価します IVE がユーザの要求を SAM ポリシーにリストされたリソースと照合する場合 IVE はリソース用に指定されたアクションを実行します SAM リソースポリシーを作成するとき 以下のキー情報を入力する必要があります リソース : リソースポリシーは ポリシーを適用する複数のリソースを指定する必要があります SAM ポリシーを作成するとき ユーザが接続できるアプリケーションサーバを指定する必要があります ロール : リソースポリシーは 適用するロールを指定する必要があります ユーザが要求を行うと IVE はロールに適用するポリシーを決定し 要求に対応するポリシーを評価します SAM リソースポリシーは J-SAM または W-SAM いずれかのバージョンを経由して行われたユーザ要求に適用します アクション : Secure Application Manager リソースポリシーは アプリケーションサーバに対するアクセスを許可または拒否します

318 306 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 106:[Resource Policies] [SAM] [New Policy] セキュアアプリケーションマネージャリソースポリシーの作成 セキュアアプリケーションマネージャリソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [SAM] を選択します 2. セキュアアプリケーションマネージャ [Policies] ページで [New Policy] をク リックします

319 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで このポリシーを適用するアプリケーションサーバを指定します 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Allow socket access] [Resources] リストで指定したアプリケーションサーバに対するアクセスを許可します [Deny socket access] [Resources] リストで指定したアプリケーションサーバに対するアクセスを拒否します [Use Detailed Rules] このポリシーに対して複数の詳細な規則を指定します 詳細については 45 ページの 詳細規則の記述 を参照してください 7. [Save Changes] をクリックします 8. セキュアアプリケーションマネージャ [Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください

320 308 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Telnet/SSH] ページの設定 次の操作を行うには [Resource Policies] [Telnet/SSH] ページを使用します Telnet/SSH リソースポリシーの作成 セキュアターミナルアクセスアップグレードオプションを使用すれば ユーザは Telnet プロトコルを使用して内部サーバホストに接続したり Web ベースの端末セッションエミュレーションによって暗号化された Secure Shell(SSH) セッションを介して通信することができます この機能は 次のアプリケーションとプロトコルをサポートします ネットワークプロトコル Telnet SSH 端末設定 VT100 VT320 およびその派生 スクリーンバッファ セキュリティ SSL を使用した Web / クライアントセキュリティ ホストセキュリティ :SSH ( 必要な場合 ) Telnet/SSH リソースポリシーの作成 ロールに対して Telnet/SSH アクセス機能を有効にすると ユーザがアクセスできるリモートサーバを指定するリソースポリシーを作成する必要があります IVE がユーザの要求を Telnet/SSH ポリシーにリストされたリソースと照合する場合 IVE はリソース用に指定されたアクションを実行します Telnet/SSH リソースポリシーを作成するとき 以下のキー情報を入力する必要があります リソース : リソースポリシーは ポリシーを適用する複数のリソースを指定する必要があります Telnet/SSH ポリシーを作成するとき ユーザが接続できるリモートサーバを指定する必要があります ロール : リソースポリシーは 適用するロールを指定する必要があります ユーザが要求を行うと IVE はロールに適用するポリシーを決定し 要求に対応するポリシーを評価します アクション : Telnet/SSH リソースポリシーは サーバに対するアクセスを許可または拒否します

321 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 309 Telnet/SSH リソースポリシーの作成 Telnet/SSH リソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Telnet/SSH] を選択します 2. Telnet/SSH[Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで このポリシーを適用するサーバを指定します 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Allow access] [Resources] リストで指定したサーバに対するアクセスを許可します [Deny access] [Resources] リストで指定したサーバに対するアクセスを拒否します [Use Detailed Rules] このポリシーに対して複数の詳細な規則を指定します 詳細については 45 ページの 詳細規則の記述 を参照してください 7. [Save Changes] をクリックします 8. Telnet/SSH[Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください

322 310 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 107: [Resource Policies] [Telnet/SSH] [New Policy]

323 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 311 [Network Connect] ページの設定 ネットワークコネクトアップグレードオプションを使用すると ネットワークレベルのセキュアな SSL ベースリモートアクセスを IVE を通じて企業の全アプリケーションリソースに提供できます 重要 : IVE によってネットワークコネクトエージェントをインストールするには Windows PC 上で 管理者特権またはパワーユーザ特権を持っている必要があります [Resource Policies] [Network Connect] ページには 次のタブがあります [Access] タブ [IP Address Pools] タブ 次の操作を行うには [Resource Policies] [Network Connect] ページタブを使用します ネットワークコネクトアクセスリソースポリシーの作成 ネットワークコネクト IP アドレス範囲リソースポリシーの作成 設定ネットワークコネクト ロールに対してネットワークコネクトアクセス機能を有効にすると ユーザがアクセスできるリソースに加えて IVE がネットワークコネクトクライアントサイドエージェントとサーバサイドプロセスの両方に IP アドレスを割り当てられるように IP アドレスの範囲を指定するリソースポリシーを作成する必要があります また クライアントリクエストに対するネットワークレスポンスを転送するゲートウェイとしての IVE の内部ポートの IP アドレスを指定するようルータを設定する必要もあります クラスタの考慮事項 マルチサイトクラスタを実行し 各ノードで異なるネットワークアドレスを使用している場合は 次の操作を実行する必要があります クラスタ内の各ノードで使用する異なるネットワークアドレスを含めて IP アドレスの範囲を設定します クラスタ内のノードごとに IP フィルタを指定します このフィルタを使用して そのノードで使用可能なネットワークアドレスのみを通過させます 各クラスタノードの内部ポートの IP アドレスを指定したポインタを ルータに作成します ルータに指定した各 IP アドレスは 対応するクラスタノードと同じサブネット内になければなりません

324 312 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Access] タブ ユーザがネットワークコネクトを使用して接続できるリソースを制御するネットワークコネクトリソースポリシーを作成するには [Access] タブを使用します ネットワークコネクトアクセスリソースポリシーの作成 ネットワークコネクトアクセスリソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Network Connect] [Access] を選択します 2. [Network Connect] の [Access Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで このポリシーを適用するリソースを指定します 詳細については 43 ページの サーバリソースの指定 を参照してください 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Action] セクションで 以下を指定します [Allow access] [Resources] リストで指定したリソースに対するアクセスを許可します [Deny access] [Resources] リストで指定したリソースに対するアクセスを拒否します [Use Detailed Rules] 指定したリソースに追加の制限を加えるリソースポリシー規則を定義します 詳細については 45 ページの 詳細規則の記述 を参照してください 7. [Save Changes] をクリックします

325 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Network Connect] の [Access Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください 図 108:[Resource Policies] [Network Connect] [Access] [PolicyName] [General]

326 314 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [IP Address Pools] タブ [IP Address Pools] タブを使用して IVE がネットワークコネクトセッションのサーバサイドプロセスとクライアントサイドプロセスの両方に IP アドレスを割り当てる IP アドレスの範囲を指定するネットワークコネクトリソースポリシーを作成します IVE がネットワークコネクトセッションの開始を求めるクライアント要求を受信すると IVE はクライアントサイドのネットワークコネクトエージェントと IVE サーバサイドのプロセスの両方に IP アドレスを割り当てます IVE は ユーザのロールに適用する IP Address Pool ポリシーに基づいてこれらの IP アドレスを割り当てます マルチサイトクラスタのノードは 設定情報を共有します つまり 別のネットワークにある IVE は IP アドレスの範囲を共有します いずれの IVE ノードでも ネットワークコネクトセッションの開始を求めるクライアント要求を受信する可能性があるので ノードに対して このノードで利用できるネットワークアドレスだけをフィルタリングする IP フィルタを指定する必要があります クラスタノードがネットワークコネクトセッションの確立を求める要求を受信すると ノードはセッションのために フィルタリングされた IP アドレス範囲から 2 つの IP アドレスを割り当てます ネットワークコネクト IP アドレス範囲リソースポリシーの作成 ネットワークコネクト IP アドレス範囲リソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Network Connect] [ IP Address Pools] を選択します 2. ネットワークコネクト [IP Address Policies] ページで [New Policy] をクリックします 3. [New Policy] ページで 以下を入力します 1 このポリシーに付ける名前 2 ポリシーの説明 ( オプション ) 4. [Resources] セクションで IVE がネットワークコネクトサービスを実行するクライアントに割り当てる IP アドレスまたは IP アドレスの範囲を指定します IP の範囲を作成する方法については 44 ページの IP アドレス範囲の指定 を参照してください

327 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 315 IVE はネットワークコネクトセッションごとに 2 つの IP アドレスを割り当てるので IP アドレスは偶数個指定するようにします たとえば IVE 上の 1 つのネットワークコネクトセッションを許可するには 2 つの IP アドレスを指定します 100 のセッションを許可するには 200 の IP アドレスを指定します 注意 : LAN または WAN 上でマルチユニットクラスタを実行している場合は クラスタ内の各ノードに有効なアドレスが IP の範囲に含まれていることを確認します 次に 各ノードに対して この IP の範囲に適用する IP フィルタを設定します 5. [Roles] セクションで 以下を指定します [Policy applies to ALL roles] このポリシーをすべてのユーザに適用します [Policy applies to SELECTED roles] このポリシーを [Selected roles] リストのロールにマッピングされたユーザだけに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください [Policy applies to all roles OTHER THAN those selected below] このポリシーを [Selected roles] リストのロールにマッピングされた以外のすべてのユーザに適用します [Available roles] リストからこのリストにロールを追加したかどうかを確認してください 6. [Save Changes] をクリックします 7. [Network Connect] の [IP Address Policies] ページで IVE にどのように評価させるのかに応じてポリシーを順序付けてください IVE は ユーザから要求されたリソースをポリシーの ( または 詳細な規則の )[Resource] リスト内のリソースと照合すると 指定したアクションを実行し ポリシーの処理を停止することに注意してください

328 316 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Meetings] ページの設定 次の操作を行うには [Resource Policies] [Meetings] ページを使用します セキュアミーティング E メール通知リソースポリシーの作成 セキュアミーティングアップグレードオプションを使用すれば 直感的な Web ページを通じて 企業間オンライン会議をスケジュールまたは開催することができます 詳細については 13 ページの セキュアミーティングの概要 を参照してください セキュアミーティングリソースポリシーの作成 ロールに対してセキュアミーティングアクセス機能を有効にすると セキュアミーティングの参加者に自動的に E メール通知を送信する機能を有効にするかどうかを指定するリソースポリシーを作成する必要があります その他の機能とは異なり セキュアミーティングには この機能を有効にするすべてのロールに適用するリソースポリシーが 1 つだけあります 参加者に E メール通知を送信する機能を有効にすると選択した場合 ミーティング E メールを転送するために IVE にアクセスできるように SMTP サーバを使用する必要があります 重要 : セキュアミーティングで SMTP サーバを使用できるようにするには [System] [Network] [Internal Port] タブの [Network Identity] セクションで IVE アプライアンスの仮想ホスト名を定義する必要もあります セキュアミーティングは ここに指定された名前を使用して ミーティング URL を知らせる E メールを作成し SMTP を呼び出します IVE が複数の名前にマッピングされ [Virtual Hostname] を定義しない場合 ミーティングを作成する前に IVE ユーザがサインインする名前を制限しなければならない場合もあります たとえば IVE が 企業のファイアウォール内からしかアクセスできない内部名 (sales.acmegizmo.com など ) と どこからでもアクセス可能な別の名前 (partners.acmegizmo.com など ) にマッピングされる場合 IVE ユーザは ミーティングを作成する前に partners.acmegizmo.com にサインインする必要があります 規則に適合しない場合 非 IVE 参加者は 接続できない IVE へのリンクを含んでいる E メール通知を受け取ることになります セキュアミーティング E メール通知リソースポリシーの作成 セキュアミーティングE メール通知リソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Meetings] を選択します

329 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Enabled] を選択します 3. アプライアンスからミーティング参加者に E メールトラフィックをルーティングできる SMTP サーバの IP アドレスまたはホスト名を [SMTP Server] フィールドに入力します 4. 必要に応じて 指定した SMTP E メールサーバの有効なログイン名とパスワードを [SMTP Login] フィールドと [SMTP Password] フィールドにそれぞれ入力します 5. 任意の管理者の E メールアドレスを [SMTP ] フィールドに入力します E メールの作成者が NetScreen Instant Virtual Extranet に自分の E メールアドレスを設定していない場合 セキュアミーティングは指定されたアドレスを送信者の E メールアドレスとして使用します 6. [Save Changes] をクリックします ページの [Meetings] タブ の説明に従って 個々のロールについてセキュアミーティングを設定します ミーティングの出席者への自動 E メール通知を無効にするには 次の操作を実行します 1. Web コンソールで [Resource Policies] [Meetings] を選択します 2. [Disabled] を選択します 3. [Save Changes] をクリックします 図 109:[Resource Policies] [Meetings]

330 318 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [ Client] ページの設定 次の操作を行うには [Resource Policies] [ Client] ページを使用します 電子メールクライアントメールサーバリソースポリシーの作成 セキュア E メールクライアントアップグレードオプションを使用すれば リモートユーザは 標準 Web ブラウザとインターネット接続を使用して Outlook Express Netscape Communicator または Qualcomm s の Eudora などの標準ベースの E メールに アクセスできるようになります 詳細については 69 ページの E メールクライアントの概要 を参照してください 電子メールクライアントリソースポリシーの作成 ロールに対して電子メールクライアントアクセス機能を有効にすると メールサーバ設定を指定するリソースポリシーを作成する必要があります その他の機能とは異なり セキュア E メールクライアントには この機能を有効にするすべてのロールに適用するリソースポリシーが 1 つだけあります ユーザのために E メールクライアントサーバを有効にすると選択した場合 IMAP/POP/SMTP メールサーバ情報およびユーザ認証設定を指定する必要があります IVE は 指定されたサーバの E メールプロキシとしての役割を果たします IVE は 複数のメールサーバをサポートしています すべてのユーザにデフォルトのメールサーバを使用させるか ユーザがカスタム SMTP および IMAP または POP メールサーバを指定できるように設定できます ユーザがカスタムメールサーバを指定できるようにした場合 ユーザは IVE を通じてサーバ設定を指定する必要があります IVE サーバは E メールのユーザ名を管理し 名前の重複を防止しています 電子メールクライアントメールサーバリソースポリシーの作成 電子メールクライアントメールサーバリソースポリシーを作成するには 次の操作を実行します 1. Web コンソールで [Resource Policies] [ Client] を選択します 2. [ Client Support] の [Enabled] をクリックします 3. [ Authentication Mode] で オプションを選択します [Web-based session] ユーザは IVE の E メールセットアップを 1 度だけ実行する必要があります 次に IVE の E メールセットアップで生成されたユーザ名とパスワードを使用するように 各自の E メールクライアントを設定します ユーザは IVE にサインインして E メールセッションを開始することをお勧めします ( デフォルト )

331 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 319 [Combined IVE and mail server authentication] ユーザは次の認証情報を使用して E メールクライアントを設定します ユーザ名 : ユーザの標準のメールサーバユーザ名 次のいずれかの条件に適合する場合には IVE の E メールの設定によって生成されたユーザ名 - 複数のメールサーバユーザ名がある場合 - IVE サーバとメールサーバのユーザ名が異なる場合 パスワード : ユーザの IVE パスワード ユーザ設定可能な認証情報の区切り文字 ユーザのメールサーバパスワードで構成されます ユーザは IVE にサインインしなくても E メールを使用できます [Mail server authentication only] ユーザは標準のメールサーバユーザ名とパスワードを使用するように各自の E メールクライアントを設定します ユーザは IVE にサインインしなくても E メールを設定および使用できます 注意 : [ Setup] ページを参照すれば 簡単にユーザ名とパスワードを確認できます 4. [Default Server Information] で メールサーバ情報を指定します IVE は このサーバの E メールプロキシとしての役割を果たします 重要 : 指定できるデフォルトメールサーバは 1 つだけです 複数の SMTP サーバおよび POP サーバまたは IMAP サーバから E メールを取り出す必要があるユーザには 該当するチェックボックスをクリックして追加のメールサーバを設定できるようにしてください ユーザがカスタムサーバを指定できるように設定した場合 ユーザは各自の [IVE Setup] ページで 1 度だけサーバ情報を入力する必要があります 5. [ Session Information] で 以下を指定します IVE が E メールクライアントセッションを終了するまでユーザの E メールセッションがアイドル状態でいることのできる時間を制御する [Idle Timeout] 値 IVE が E メールクライアントセッションを終了するまでユーザの E メールセッションがアクティブ状態でいることのできる時間を制御する [Max. Session Length] 値 6. [Save Changes] をクリックします

332 320 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 110:[Resource Policies] [ Client]

333 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 321 [System] ページの設定 [Maintenance] [System] ページには 以下のタブがあります [Platform] タブ [Upgrade/Downgrade] タブ [Options] タブ 次の操作を行うには [Maintenance] [System] ページタブを使用します 再起動 シャットダウン 接続状態のテスト NetScreen ソフトウェアサービスパッケージのインストール バージョン管理およびアクセレータカードの有効化 [Platform] タブ 再起動 シャットダウン 接続状態のテスト [Platform] ページでは 再起動 シャットダウン IVE 接続状態のテスト およびシステムデータ (IVE のホスト名と最後に起動された時間 ) の表示を行います 次のような状況に対応する方法については 379 ページの 付録 D: を参照してください サインイン情報を忘れた場合 コンピュータにサインインできないように IP 制限を設定した場合 システムを直前の状態に戻したい場合 出荷時リセットを実行する必要がある場合 再起動 シャットダウンまたは接続状態のテストを行うには 次の操作を実行します 1. Web コンソールで [Maintenance] [System] [Platform] を選択します 2. IVE を再起動するには [Reboot Now] をクリックします 3. IVE をシャットダウンするには [Shutdown] をクリックします シャットダウンしたサーバを再起動するには アプライアンスのリセットボタンを押す必要があります サーバをシャットダウンしても マシンの電源はオンの状態になっているので注意してください 4. IVE で使用するように設定されているすべてのサーバに IVE から ICM PING を送信して サーバの接続状態を調べるには [Test Server Connectivity] をクリックします 各サーバのステータスは [Server Connectivity Results] の下に表示されます

334 322 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 111:[Maintenance] [System] [Platform] [Upgrade/Downgrade] タブ 別のサービスパッケージをインストールするには NetScreen サポートの Web サイトからソフトウェアを取得して Web コンソールを通じてアップロードします IVE サーバが NetScreen によって発行された有効なパッケージのみを受け入れるようにするため パッケージファイルは暗号化され署名されています これにより トロイの木馬プログラムが IVE サーバに侵入するのを防ぐことができます この機能は システムソフトウェアの新しいバージョンにアップグレードする場合には特に便利ですが 同じ方法で以前のバージョンにダウングレードしたり 現在の構成設定をすべて削除して クリーンな状態 から設定をやり直すこともできます また 380 ページの 直前のシステム状態へのロールバック の説明に従って シリアルコンソールを通じて直前のシステム状態にロールバックすることができます 注意 : サービスパッケージをインストールする場合 処理に数分間かかる場合があります また インストール完了後に IVE を再起動する必要があります 既存のシステムデータはこのときにバックアップされるため サービスパッケージをインストールする前にシステムログをクリアしておくとインストール時間を短縮できます NetScreen ソフトウェアサービスパッケージのインストール 新しいサービスパッケージをインストールする場合は その前に現在のシステム設定 ローカルユーザアカウント および ACL とユーザブックマークをエクスポートしてください このタスクについては 325 ページの [Import/Export] ページの設定 で説明しています

335 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 323 サービスパッケージをインストールするには 次の操作を実行します 1. NetScreen サポートの Web サイト (http://support.netscreen.com) にアクセスして 目的のサービスパッケージを取得します 2. Web コンソールで [Maintenance] [System] [Upgrade/Downgrade] を選択します 3. [Browse] をクリックして サポートサイトから取得したサービスパッケージを参照します IVE の同じバージョンを引き続き使用しながら 現在の設定を削除するには アプライアンスに現在インストールされているサービスパッケージを選択します 4. 以前のサービスパッケージにダウングレードするか 構成設定を削除する場合には [Delete all system and user data] を選択します 重要 : このオプションを使用して アプライアンスからすべてのシステムデータとユーザデータを削除した場合には システムの再設定を行う前に ネットワーク接続を再確立する必要があります バージョン 3.1 以前の IVE に戻ることはできません 5. サービスパッケージファイルを選択して [Install Now] をクリックします 図 112:[Maintenance] [System] [Upgrade/Downgrade]

336 324 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Options] タブ バージョン管理およびアクセレータカードの有効化 IVE では重要なソフトウェアパッチやアップデートの自動通知を設定することで システムを常に最新の状態に保ち 安全性を確保することができます これを実行するため 会社名 ライセンス設定の MD5 ハッシュ 現在のソフトウェアバージョン情報が NetScreen に送信されます さらに [Options] ページでは パフォーマンスの向上に役立つアクセレータカードを有効化できます 注意 : アクセレータカードの設定は 対応するカードを備えた A5000 IVE を購入した場合にのみ表示されます 自動アップデートおよびアクセレータカードを有効化するには 次の操作を実行します 1. Web コンソールで [Maintenance] [System] [Options] を選択します 2. [Automatic Version Monitoring] チェックボックスを選択し 重要なソフトウェアパッチやアップデートの自動通知を有効にします 重要 : この自動サービスを有効にすることを強くお勧めしますが 必要であれば無効にすることも可能です 3. [SSL Accelerator] チェックボックスを選択し アプライアンスからアクセラレータカードへの SSL ハンドシェークの暗号化および復号化の処理負荷を軽減します ( オプション ) 4. [ZIP Accelerator] チェックボックスを選択し Web やファイルのブラウジングを通じて取得された HTML JavaScript および CSS データをすべて圧縮します ( オプション ) 5. [Save Changes] をクリックします 図 113:[Maintenance] [System] [Options]

337 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 325 [Import/Export] ページの設定 [Maintenance] [Import/Export] ページには 以下のタブがあります [Configuration] タブ [User Accounts] タブ [Roles and Policies] タブ 次の操作を行うには [Maintenance] [Import/Export] ページタブを使用します システム設定ファイルのエクスポート システム設定ファイルのインポート ローカルユーザアカウントのエクスポート ローカルユーザアカウントのインポート ロールおよびリソースポリシーのエクスポート ロールおよびリソースポリシーのインポート [Configuration] タブ システム設定ファイルをエクスポートまたはインポートするには このタブを使用します システム設定ファイルには システム全体の設定とネットワーク設定がすべて含まれています サーバ設定のアーカイブスケジュールの設定方法については 335 ページの 外部 FTP サーバへのシステムデータのアーカイブスケジューリング を参照してください システム設定ファイルのエクスポート システム設定ファイルをエクスポートするには 次の操作を実行します 1. Web コンソールで [System] [Import/Export] [Configuration] を選択します 2. 設定ファイルをパスワードで保護する場合は [Export] の下にパスワードを入力します 3. [Save Config As] をクリックしてファイルを保存します 重要 : Access Series FIPS 設定ファイルをエクスポートするときには マシンのセキュリティワールドの情報がファイルに含まれることにご注意ください そのため 設定ファイルを別のマシンに正常にインポートするには セキュリティワールドに関連付けられた管理者カードが必要です

338 326 NetScreen Instant Virtual Extranet アプライアンス管理ガイド システム設定ファイルのインポート システム設定ファイルをインポートするときには サーバ証明書と IVE サーバの IP アドレスまたはネットワーク設定を除外することができますたとえば ロードバランサの裏に複数の IVE をセットアップする場合は IP アドレス以外のすべての情報をインポートします IVE をバックアップサーバとしてセットアップする場合には 電子証明書とネットワーク設定以外のすべての情報をインポートします 注意 : ライセンスを含む設定ファイルをインポートする場合 IVE では 現在 IVE にインストールされている既存ライセンスが優先されます アーカイブされたライセンスは IVE に既存ライセンスが存在しない場合のみインポートされます 設定ファイルをインポートするには 次の操作を実行します 1. Web コンソールで [System] [Import/Export] [Configuration] を選択します 2. サーバ証明書をインポートするかどうかを指定します [Import Server Certificate?] チェックボックスをオンにしない限り 証明書はインポートされません 重要 : サーバ証明書を Access Series FIPS システムにインポートするときには FIPS 準拠の秘密鍵を使用する証明書を選択する必要があることにご注意ください FIPS 準拠であることを確実にするには 秘密鍵が Access Series FIPS システムに生成されている証明書と それに対応するセキュリティワールドを選択します 3. インポートオプションを選択します 次の点にご注意ください IP アドレスを除外すると ファイルをインポートしてもサーバの IP アドレスは変わりません ネットワーク設定を除外すると ファイルをインポートしても [System] [Network Settings] ページの情報 ( 内部ポート 外部ポート 静的ルート設定 ) は変わりません 4. 設定ファイルを参照します 設定ファイルはデフォルトで system.cfg という名前が付けられます 5. 設定ファイルに指定したパスワードを入力します ファイルをエクスポートする前にパスワードを指定しなかった場合には このフィールドは空白のままにしておきます 6. [Import Config] をクリックします 重要 : サーバ証明書と それに対応するセキュリティワールドを Access Series FIPS マシンにインポートするときには シリアルコンソールと 新しくインポートするセキュリティワールドに関連付けられた管理者カードを使用して セキュリティワールドの初期化を完了する必要があります 詳細については 387 ページの アーカイブされたセキュリティワールドの復元 (Access Series FIPS のみ ) を参照してください

339 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 327 図 114:[System] [Import/Export] [Configuration] [User Accounts] タブ ローカルユーザアカウントをエクスポートまたはインポートするには このタブを使用します ユーザアカウントファイルには ローカル認証サーバに定義したすべてのローカルユーザが含まれています ユーザレコードのアーカイブスケジュールの設定方法については 335 ページの 外部 FTP サーバへのシステムデータのアーカイブスケジューリング を参照してください

340 328 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ローカルユーザアカウントのエクスポート システム設定ファイルをエクスポートするには 次の操作を実行します 1. Web コンソールで [System] [Import/Export] [Configuration] を選択します 2. 設定ファイルをパスワードで保護する場合は [Export] の下にパスワードを入力します 3. [Save Config As] をクリックしてファイルを保存します ローカルユーザアカウントのインポート ローカルユーザアカウントをインポートするには 次の操作を実行します 1. Web コンソールで [System] [Import/Export] [User Accounts] を選択します 2. 設定ファイルを参照します 設定ファイルはデフォルトで user.cfg という名前が付けられます 3. 設定ファイルに指定したパスワードを入力します ファイルをエクスポートする前にパスワードを指定しなかった場合には このフィールドは空白のままにしておきます 4. [Import Config] をクリックします 図 115:[System] [Import/Export] [User Accounts]

341 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 329 [Roles and Policies] タブ [Maintenance] [Import/Export] [Roles and Resources] ページでは 選択した委任管理者ロール ユーザロール およびリソースポリシーを IVE へエクスポートし さらにそれらを別の IVE に再インポートできます ( プッシュ設定機能 (332 ページ ) を使用しても ロールおよびリソースポリシーを IVE 間でコピーできます ) 重要 : IVE へインポートする前に XML ファイルを変更しないように注意してください 特定および解決が困難な設定エラーが発生する可能性があります ロールおよびリソースポリシーのエクスポート ロールおよびリソースポリシーをエクスポートするには 次の操作を実行します 1. Web コンソールで [Maintenance] [Import/Export] [Roles and Policies] [Export] を選択します 2. 委任管理者ロールをコピーするには [Delegated Admin Roles] チェックボックスを選択し 次の操作を実行します すべての委任管理者ロールをコピーする場合は [All roles] を選択します 一部のロールのみをコピーする場合は [Selected roles] を選択し 次に [Available Roles] リストからロールを選択して [Add] をクリックします 3. ユーザロールをコピーするには [User Roles] チェックボックスを選択し 次の操作を実行します すべての委任管理者ロールをコピーする場合は [All roles] を選択します 一部のロールのみをコピーする場合は [Selected roles] を選択し 次に [Available Roles] リストからロールを選択して [Add] をクリックします 4. リソースポリシーをコピーするには [Resource Policies] チェックボックスを選択し 次に コピーするリソースポリシーのタイプ ( アクセスコントロールポリシー キャッシングポリシー 選択的な再書き込みポリシーなど ) に対応するチェックボックスを選択します 5. [Export Configuration] をクリックして設定を XML ファイルに保存します

342 330 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 116:[Maintenance] [Import/Export] [Roles and Policies] [Export]

343 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 331 ロールおよびリソースポリシーのインポート ロールおよびリソースポリシーをインポートするには 次の操作を実行します 1. Web コンソールで [Maintenance] [Import/Export] [Roles and Policies] [Import] を選択します 2. インポートする XML データファイルを含むディレクトリをブラウズします 3. インポート先の IVE の設定を XML ファイルに含まれる設定で ( 追加でなく ) 上書きコピーする場合は [Overwrite duplicate settings] チェックボックスを選択します ( オプション ) 4. [Import Settings] をクリックします 図 117:[Maintenance] [Import/Export] [Roles and Policies] [Import]

344 332 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [Push Config] ページの設定 IVE 間のロールおよびリソースポリシーのコピー [Maintenance] [Push Config] ページのプッシュ設定機能を使用して 選択した委任管理者ロール ユーザロール およびリソースポリシーを IVE 間でコピーできます この機能により IVE 製品のクラスタ化を必要としない 企業全体でのシンプルな設定管理を実現できます プッシュ設定機能では 委任管理者ロール ユーザロール およびリソースポリシータイプのそれぞれの中で どれを全社レベルでコピーするか またはコピーしないかを厳密に設定できます プッシュ設定機能は セントラルマネージャパッケージ (56 ページ ) とともに使用する場合のみ利用可能になります 設定をプッシュするには 両方の IVE で管理者アカウントを作成する必要があります プッシュ設定機能は 作成された管理者情報を使用して コピー対象の IVE に自動的にサインインします 管理者アカウントを作成する場合は 次の点にご注意ください.Administrators ロールに割り当て すべての管理者権限を持つ スーパー管理者 を作成する必要があります ターゲット IVE の管理者アカウントには静的パスワード認証を使用するか またはチャレンジ / レスポンス方式ではない二要素トークンを使用する必要があります ( 証明書 Soft ID Defender Authentication などはサポートされません ) 管理者アカウントは 管理者がターゲット IVE にサインインする際にロールを選択しなくてもよい設定にしてください ( たとえば 1 人のユーザを プッシュ設定管理者ロールを含む複数のロールに割り当てないようにしてください それらのロールを統合できないことがあります ) 管理者によるサインインプロセス中のロール選択の必要性を排除し ログファイル内のプッシュ設定管理者の操作をその他の操作と明確に区別するため アカウントはプッシュ設定管理者専用に作成することをお勧めします 選択したロールおよびリソースを IVE 間でプッシュするには 次の操作を実行します 1. 両方の IVE で管理者アカウントを作成します 手順については 218 ページの [Delegation] ページの設定 を参照してください ( 上記の制限事項も参照 ) 2. Web コンソールで [Maintenance] [Push Config] を選択します 3. [Target Host Sign-in URL] で ロールおよびリソースポリシーのプッシュ先の IVE の管理者 URL を入力します 例 :https:// /admin 4. ターゲット IVE でのすべての管理者権限を持つ管理者アカウントのユーザ名 パスワード 認証領域を入力します

345 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ターゲット IVE のユーザロール 委任管理者ロール リソースポリシーを 同じ名前のソース IVE のユーザロール 委任管理者ロール リソースポリシーで上書きする場合は [Overwrite duplicate settings] チェックボックスを選択します 6. 委任管理者ロールをターゲット IVE にコピーするには [Delegated Admin Roles] チェックボックスを選択し 次の操作を実行します すべての委任管理者ロールをターゲット IVE にコピーする場合は [All roles] を選択します 一部のロールのみをターゲット IVE にコピーする場合は [Selected roles] を選択し 次に [Available Roles] リストからロールを選択して [Add] をクリックします 7. ユーザロールをターゲット IVE にコピーするには [User Roles] チェックボックスにチェックを選択し 次の操作を実行します すべての委任管理者ロールをターゲット IVE にコピーする場合は [All roles] を選択します 一部のロールのみをターゲット IVE にコピーする場合は [Selected roles] を選択し 次に [Available Roles] リストからロールを選択して [Add] をクリックします 8. リソースポリシーをターゲット IVE にコピーするには [Resource Policies] チェックボックスを選択します 次に コピーするリソースポリシーのタイプ ( アクセスコントロールポリシー キャッシングポリシー 選択的な再書き込みポリシーなど ) に対応するチェックボックスを選択します 9. [Push Configuration] をクリックし 選択したロールおよびリソースをターゲット IVE にコピーします IVE により ソース IVE の [Maintenance] [Push Config] ページ下部に プッシュ状況が表示されます

346 334 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 118:[Maintenance] [Push Config]

347 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 335 [Archiving] ページの設定 [Maintenance] [Archiving] ページには 次のタブがあります [FTP Server] タブ [Local Backup] タブ 次の操作を行うには [Maintenance] [Archiving] ページタブを使用します 外部 FTP サーバへのシステムデータのアーカイブスケジューリング 現在の設定のスナップショットの保存 スナップショットからのシステム状態またはユーザアカウント状態の復元. 337 [FTP Server] タブ 外部 FTP サーバへのシステムデータのアーカイブスケジューリング システムログファイル 設定ファイル およびユーザアカウントは毎日または毎週アーカイブするように指定できます IVE では FTP を使用して 指定された日時に指定されたサーバまたはディレクトリにファイルをアーカイブします FTP 経由でのセキュアな送信と他のサーバへの格納の安全性を確保するために 設定ファイルとユーザアカウントは暗号化されます アーカイブファイルの名前には 次のようにアーカイブの日時が含まれます システム設定ファイル :NetScreenConf- 日付 - 時刻 ユーザアカウント :NetScreenUserAccounts- 日付 - 時刻 システムイベント :NetScreenccessLog- 日付 - 時刻 管理者イベント :NetScreenAdminLog- 日付 - 時刻 ユーザイベント :NetScreenEventsLog- 日付 - 時刻 アーカイブパラメータを指定するには 次の操作を実行します 1. Web コンソールで [Maintenance] [Archiving] [FTP Server] を選択します 2. [Archive Settings] で 送信先サーバ ディレクトリ およびそのサーバの FTP 証明書を指定します netscreen/log のように 送信先ディレクトリのドライブ指定は含めないでください

348 336 NetScreen Instant Virtual Extranet アプライアンス管理ガイド UNIX コンピュータの場合には ユーザのホームディレクトリに応じて 絶対パスまたは相対パスを指定します Windows コンピュータの場合には ftproot フォルダの相対パスを指定します 3. アーカイブ対象のデータの種類ごとに アーカイブスケジュールを指定します システムイベント アクセスおよび管理者ログファイルについては ログフィルタを指定し アーカイブ後にログファイルをクリアすることもできます 4. [Save Changes] をクリックします 図 119:[Maintenance] [Archiving] [FTP Server]

349 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 337 [Local Backup] タブ 現在の設定のスナップショットの保存 Access Series および Meeting Series 製品のセントラルマネージャを使用することにより 現在のシステム設定とユーザアカウントのスナップショットを直接 IVE に保存できます これらの設定を使用して IVE や IVE のクラスタを 暗号化ファイルに記述されている状態に復元できます これらのファイルには設定情報のみ記述され ログ情報は含まれません システム設定とユーザアカウントのスナップショットは それぞれ最大 5 個まで IVE に保存できます この制限を超えた場合 IVE は最も古いスナップショットを新しいスナップショットで上書きします 最も古いスナップショットが上書きされないようにする場合は 最新のスナップショットを保存する前に 上書きされても支障のない別のスナップショットを選択します 現在のシステム設定を保存するには 次の操作を実行します 1. Web コンソールで [Maintenance] [Archiving] [Local Backups] を選択します 2. [Save Configuration] または [Save User Accounts] をクリックします IVE により 現在の日付と時刻を名前に持つ新しいスナップショットがリストに追加されます スナップショットからのシステム状態またはユーザアカウント状態の復元 システムスナップショットおよびユーザスナップショットを使用して IVE を単独でまたはクラスタごとに更新できます クラスタメンバとして有効化されている IVE を復元した場合は その IVE からその他のすべてのクラスタメンバへ設定が自動的にプッシュされます スナップショット設定を使用してすべてのクラスタメンバの設定が更新されるまで クラスタは無効化されます 更新が完了すると クラスタが再度始動して有効化されます バックアップファイルの情報を使用して設定を上書きするには 次の操作を実行します 1. Web コンソールで [Maintenance] [Archiving] [Local Backups] を選択します 2. システムを復元するには 使用するシステム設定またはユーザアカウントバックアップファイルの横にあるチェックボックスを選択します

350 338 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 3. システム設定の復元を実行している場合は 設定ファイルに記述されている証明書 IP アドレス ネットワーク設定を使用するかどうか指定します 次の内容を更新する場合は注意が必要です Access Series FIPS システム- 証明書をインポートする場合は FIPS 準拠の秘密鍵を使用する証明書を選択する必要があります FIPS 準拠であることを確実にするには 秘密鍵が Access Series FIPS システムに生成されている証明書と それに対応するセキュリティワールドを選択します クラスタ全体 -ネットワーク設定を含める場合は 注意が必要です IP アドレスやその他の設定はすべてのクラスタメンバに適用できるわけではないため すべてのメンバに設定がプッシュされると クラスタメンバ間で通信できなくなる場合があります 4. [Restore] をクリックします 変更を反映させるには IVE を再起動する必要があります 再起動後 Web コンソールにアクセスするには IVE に再度サインインする必要があります 図 120:[Maintenance] [Archiving] [Local Backups]

351 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 339 [Troubleshooting] ページの設定 [Maintenance] [Troubleshooting] ページには 次のタブがあります [Policy Tracing] タブ [Session Recording] タブ [System Snapshot] タブ [TCP Dump] タブ [Commands] タブ [Remote Debugging] タブ 次の操作を行うには [Maintenance] [Troubleshooting] ページタブを使用します デバッグ用のポリシートレースファイルの記録 デバッグ用のトレースファイルの記録 IVE システム状態のスナップショットの作成 ネットワークパケットヘッダのスニッフィング ARP PING traceroute または nslookup コマンドの実行 NetScreen サポートによるリモートデバッグを可能にする [Policy Tracing] タブ デバッグ用のポリシートレースファイルの記録 ユーザが使用する機能で予期しない問題が発生した場合には このタブを使用します ポリシートレース機能により すべての領域にサインインする個々のユーザを追跡することができます ポリシートレースファイルを個々のユーザに対して実行すると ユーザのアクションとさまざまなロールへのアクセスが許可または拒否された理由を示すログエントリが表示されます たとえば Human Resources 領域を作成し 領域内に以下の 2 つのロールマッピング規則を作成するとします All Employees このロール内では Web ブラウジングのみを有効にします 以下の規則を使用してユーザをロールに割り当てます if username = *, map to "All Employees" ( つまり この領域へのサインインを許可されたユーザはすべて All Employees ロールに自動的に割り当てられます )

352 340 NetScreen Instant Virtual Extranet アプライアンス管理ガイド Human Resources Staff このロール内では Web ファイルおよびミーティングの機能を有効にします 以下の規則を使用してユーザをロールに割り当てます if LDAP group=human resources, map to "Human Resources Staff" ( つまり このロールに割り当てられるには ユーザは LDAP 認証サーバの humanresources グループに属している必要があります ) これらの両方のロールに属していなければならない Joe が IVE へサインインしたときに Human Resources Staff ロールで有効化されているファイルブラウジングまたはセキュアミーティング機能にアクセスできないとします 想定されている機能のすべてに Joe がアクセスできない理由を確認するため ポリシートレースを実行した場合 以下のログエントリが表示されます トレースファイルを確認すると エントリ PTR10218 に問題があることがわかります joe(human resources realm)-no match on rule 'group.humanresources' このエントリは Joe が LDAP サーバの humanresources グループに属していないため IVE が Joe を Human Resources Staff ロールに割り当てていないことを示しています

353 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 341 ポリシートレースファイルを作成するには 次の操作を実行します 1. Web コンソールで [Maintenance] [Troubleshooting] [Policy Tracing] を選択します 2. [User] フィールドで トレースするユーザの名前を入力します この場合 IVE ではワイルドカードの使用は許可されません 3. [Realm] フィールドで ユーザの領域を選択します この場合 IVE では匿名認証サーバに割り当てられる領域を選択できません 4. [Start Recording] をクリックします 記録を開始後 ユーザに IVE にサインインするように要求します 5. [View Log] をクリックしてログエントリを確認します 6. 情報を十分に入手した後で [Stop Recording] をクリックします 7. ログファイルのメッセージを確認し 予期しない動作が発生した原因を特定します 問題を特定できない場合は [Save Log As] をクリックしてログファイルのコピーをネットワーク上に保存します 次に 確認のためファイルを NetScreen サポート に送信します 8. ログファイルの内容をクリアするには [Clear Log] をクリックするか または [Delete Trace] をクリックしてユーザ名および領域フィールドからデフォルトエントリを削除します

354 342 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 121:[Maintenance] [Troubleshooting] [Policy Tracing]

355 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 343 [Session Recording] タブ デバッグ用のトレースファイルの記録 トレースファイルを記録するには このタブを使用します トレースファイルにはブラウジングした Web サイトが IVE を介して正しく表示されなかったときにユーザが実行したアクションが一覧されます このオプションを使用すると IVE は指定されたユーザを強制的に再度サインインさせて すべてのユーザアクションの記録を開始します この際 対象ユーザにはアクションが記録されることが通知されます トレースファイルを記録するには 次の操作を実行します 1. Web コンソールで [Maintenance] [Troubleshooting] [Session Recording] を選択します 2. ユーザのユーザ名を入力して [Start Recording] をクリックします 3. 正しく表示されなかった Web サイトをブラウジングするようユーザに指示します 4. [Stop Recording] をクリックします 5. [dsrecord.log] をクリックして ネットワークマシンにファイルをダウンロードします テキストエディタで機密データを削除します 6. ファイルを に送信します 図 122:[Maintenance] [Troubleshooting] [Session Recording]

356 344 NetScreen Instant Virtual Extranet アプライアンス管理ガイド [System Snapshot] タブ IVE システム状態のスナップショットの作成 IVE システム状態のスナップショットを作成するには このタブを使用します このオプションを使用すると IVE はさまざまなユーティリティを実行して 使用中のメモリ ページジングパフォーマンス 実行中のプロセスの数 システムの稼動時間 開いているファイル記述子の数 使用中のポートおよび Access Series FIPS ログメッセージなど IVE システムの状態に関する詳細情報を収集します IVE は 最大 10 のスナップショットを保持します 暗号化された ダンプ ファイルにまとめられたこれらのスナップショットをいったんネットワークマシンにダウンロードしてから NetScreen サポートにメールで送信します IVE システム状態のスナップショットを作成するには 次の操作を実行します 1. Web コンソールで [Maintenance] [Troubleshooting] [System Snapshot] を選択します 2. [Take Snapshot] をクリックします 3. スナップショットの作成が完了したら [Download] をクリックして ネットワークマシンにファイルをダウンロードします 4. ファイルを に送信します 図 123:[Maintenance] [Troubleshooting] [System Snapshot]

357 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 345 [TCP Dump] タブ ネットワークパケットヘッダのスニッフィング ネットワークパケットヘッダをスニッフィングするには このタブを使用します 結果は暗号化された ダンプ ファイルに保存されます これらのファイルをいったんネットワークマシンにダウンロードしてから NetScreen サポートにメールで送信します ネットワークパケットヘッダをスニッフィングするには 次の操作を実行します 1. Web コンソールで [Maintenance] [Troubleshooting] [TCP Dump] を選択します 2. ネットワークパケットヘッダのスニッフィングを行う IVE ポートを選択します 3. IVE 宛に送信されたパケットのみを対象にスニッフィングするには [promiscuous] モードをオフにします 4. [Start Sniffing] をクリックします 5. [Stop Sniffing] をクリックしてスニッフィングプロセスを停止し 暗号化ファイルを作成します 6. [Download] をクリックして ネットワークマシンにファイルをダウンロードします 7. ファイルを に送信します 図 124:[Maintenance] [Troubleshooting] [TCP Dump]( ダンプファイル生成 )

358 346 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 125:[Maintenance] [Troubleshooting] [TCP Dump]( ダンプファイル生成後 ) [Commands] タブ ARP PING traceroute または nslookup コマンドの実行 UNIX コマンドを実行して IVE ネットワークの接続をテストするには このタブを使用します IVE ネットワークの接続をテストする UNIX コマンドを実行するには 次の操作を実行します 1. Web コンソールで [Maintenance] [Troubleshooting] [Commands] を選択します 2. [Command] リストから 実行するコマンドを選択します 3. [Target Server] フィールドに 対象サーバの IP アドレスを入力します 4. [OK] をクリックして コマンドを実行します

359 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 347 図 126:[Maintenance] [Troubleshooting] [Commands] [Remote Debugging] タブ NetScreen サポートによるリモートデバッグを可能にする NetScreen サポートチームが本番環境で稼動中の IVE でデバッグツールを実行できるようにするには このタブを使用します このオプションを有効にするには NetScreen サポートに連絡してデバッグコードと IVE の接続先ホストの情報を取得する必要があります モートデバッグを有効にするには 次の操作を実行します 1. NetScreen サポートに連絡して リモートデバッグセッションを実行するための条件をセットアップします 2. Web コンソールで [Maintenance] [Troubleshooting] [Remote Debugging] を選択します

360 348 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 3. NetScreen サポートから取得したデバッグコードを入力します 4. NetScreen サポートから取得したホスト名を入力します 5. [Enable Debugging] をクリックして NetScreen サポートチームが IVE にアクセスできるように設定します 6. IVE へのアクセスが可能になったことを NetScreen サポートに連絡します 7. NetScreen サポートからリモートデバッグセッションが終了したという通知を受け取ったら [Disable Debugging] をクリックします 図 127:[Maintenance] [Troubleshooting] [Remote Debugging]

361 349 第 4 章 追補情報 ここでは Access Series 製品の設定について追加的な情報を提供します 目次 認証と承認のフローチャート アクセス管理オプションの設定 カスタムエクスプレッションの記述 IVE シリアルコンソールの使用

362 350 NetScreen Instant Virtual Extranet アプライアンス管理ガイド

363 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 351 付録 A 認証と承認のフローチャート このフローチャートは ユーザと IVE 間 IVE と認証領域間で発生するトランザクションを示しています フローチャートは ユーザが IVE サインインページへの URL を入力することろから そのユーザセッションが終了するまでの流れを示しています

364 352 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 128: ステップ 1 / 3: ユーザを認証する

365 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 353 図 129: ステップ 2 / 3: IVE が 1 つまたは複数のユーザロールへユーザを割り当てる

366 354 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 130: ステップ 3 / 3: ユーザリクエストに対応するリソースポリシーを評価する

367 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 355 付録 B アクセス管理オプションの設定 IVE により 以下の 3 つのレベルで企業リソースのセキュリティ保護を実現できます 領域領域レベルでは 認証ポリシーでアクセス管理要件を設定します ロールロールレベルでは 認証ポリシーのロールマッピング規則またはロール制限オプションでアクセス管理要件を設定します リソースポリシーリソースポリシーレベルでは 条件を作成することによりアクセス管理要件を設定します アクセス管理のオプションの設定手順については 以下を参照してください ソース IP の制限 ブラウザの制限の指定 クライアントサイド証明書の制限の指定 パスワード文字数制限の指定 Host Checker の制限の指定 概要については 21 ページの アクセス管理の概要 を参照してください

368 356 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ソース IP の制限 特定の IP アドレスを使用するユーザに対して IVE サインインページへのアクセス ロールへの割り当て またはリソースへのアクセスを許可するには ソース IP 制限を使用します ソース IP の制限 ソース IP の制限は 以下のように指定します 領域レベル以下のように選択します [Administrators] [Authentication] [SelectRealm] [Authentication Policy] [Source IP] [Users] [Authentication] [SelectRealm] [Authentication Policy] [Source IP] ロールレベル以下のように選択します [Administrators] [Delegation] [SelectRole] [General] [Restrictions] [Source IP] [Users] [Authentication] [SelectRealm] [Role Mapping] [Select CreateRule] [CustomExpression] [Users] [Roles] [SelectRole] [General] [Restrictions] [Source IP] リソースポリシーレベル以下のように選択します [Resource Policies] [SelectResource] [SelectPolicy] [Detailed Rules] [Select CreateRule] [ConditionField] 次に 以下の操作を実行します 次のオプションのいずれかを選択します Users can sign in from any IP address -アクセス管理の要件を満たすために ユーザが任意の IP アドレスから IVE にサインインできるようにします Users can only sign in from the following IP addresses -アクセス管理の要件を満たすために サインインできるユーザの IP アドレスを制限します このオプションを選択する場合は 1 つまたは複数の IP アドレスを指定してください 指定がないと ソース IP アドレスの制限は適用されません [Save Changes] をクリックして設定を保存します

369 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 357 ブラウザの制限 特定の Web ブラウザを使用するユーザに対して IVE サインインページへのアクセス ロールへの割り当て またはリソースへのアクセスを許可するには ブラウザ制限を使用します ユーザがサポートされていないブラウザを使用して IVE へのサインインを試行すると そのサインインはエラーになり サポートされていないブラウザが使用されていることを通知するメッセージが表示されます この機能は 企業のアプリケーションと互換性があるブラウザ またはセキュリティポリシーで承認されているブラウザから IVE へのサインインが行われるようにするためにも使用できます 注意 : ブラウザ制限機能の目的は 厳格なアクセスコントロールではありません 技術力のあるユーザは ブラウザのユーザエージェント文字列を変更できるからです この機能は 通常の運用環境で アクセス時のアドバイス的なコントロールとして役に立ちます ブラウザの制限の指定 ブラウザの制限は 以下のように指定します 領域レベル以下のように選択します [Administrators] [Authentication] [SelectRealm] [Authentication Policy] [Browser] [Users] [Authentication] [SelectRealm] [Authentication Policy] [Browser] ロールレベル以下のように選択します [Administrators] [Delegation] [SelectRole] [General] [Restrictions] [Browser] [Users] [Authentication] [SelectRealm] [Role Mapping] [Select CreateRule] [CustomExpression] [Users] [Roles] [SelectRole] [General] [Restrictions] [Browser] リソースポリシーレベル以下のように選択します [Resource Policies] [SelectResource] [SelectPolicy] [Detailed Rules] [Select CreateRule] [ConditionField]

370 358 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 次に 以下の操作を実行します 次のオプションのいずれかを選択します Allow all users matching any user-agent string sent by the browser -サポートされている任意の Web ブラウザから IVE またはリソースにアクセスできるようにします Only allow users matching based on the user-agent string sent by the browser - ブラウザアクセスの制限規則を定義できます 規則を作成するには 次の操作を実行します 1 [User-agent string pattern] には 以下の形式で文字列を入力します *<browser_string>* この場合 *( アスタリスク ) は あらゆる文字を表すオプションの文字です 大文字と小文字が区別される <browser_string> は ブラウザが送信したユーザエージェントヘッダにある部分文字列と一致する必要があります 2 次のいずれかを選択します Allow -ユーザエージェントヘッダに部分文字列 <browser_string> が含まれるブラウザの使用を許可します Deny -ユーザは ユーザエージェントヘッダに部分文字列 <browser_string> が含まれるブラウザを使用できません [Save Changes] をクリックして設定を保存します 注意 規則は順番に適用されます したがって 最初に一致した規則が適用されます 規則に指定する文字は 大文字と小文字で区別されます また指定する文字には スペースを含めることができません 例 文字列 *Netscape* は 部分文字列 Netscape を含むすべてのユーザエージェント文字列と一致します 以下の規則では ユーザが Internet Explorer 5.5x または Internet Explorer 6.x からサインインする場合のみ リソースへのアクセスが許可されます この例の場合 ユーザエージェントヘッダの部分文字列として MSIE を送信する一般の非 IE ブラウザも含まれます *Opera*[Deny] *AOL*[Deny] *MSIE 5.5*[Allow] *MSIE 6.*[Allow] * Deny

371 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 359 証明書の制限 クライアントマシンに対して 有効なクライアントサイド証明書の所有を要求して IVE サインインページへのアクセス ロールへの割り当て またはリソースへのアクセスを許可するには 証明書の制限を使用します この機能を使用する場合 クライアントサイド証明書を検証するために ルート証明書をインポートしたかどうかを確認します この機能のセキュリティを最大限に強化するには ユーザがサインインするたびに ユーザにパスワードの入力を要求するように ユーザのクライアントを設定したかどうかを確認します ブラウザの一部バージョンのデフォルト設定では 証明書のパスワードが記録されるようになっています つまり 証明書のインストール後 ユーザは追加のサインイン情報の入力を指示されません クライアントサイド証明書の制限の指定 証明書の制限は 以下のように指定します 領域レベル以下のように選択します [Administrators] [Authentication] [SelectRealm] [Authentication Policy] [Certificate] [Users] [Authentication] [SelectRealm] [Authentication Policy] [Certificate] ロールレベル以下のように選択します [Administrators] [Delegation] [SelectRole] [General] [Restrictions] [Certificate] [Users] [Authentication] [SelectRealm] [Role Mapping] [Select CreateRule] [CustomExpression] [Users] [Roles] [SelectRole] [General] [Restrictions] [Certificate] リソースポリシーレベル以下のように選択します [Resource Policies] [SelectResource] [SelectPolicy] [Detailed Rules] [Select CreateRule] [ConditionField] 次に 以下の操作を実行します 次のオプションのいずれかを選択します Allow all users (no client-side certificate required) -ユーザのクライアントマシンにクライアントサイド証明書の所有を要求しません

372 360 NetScreen Instant Virtual Extranet アプライアンス管理ガイド Only allow users with a client-side certificate signed by Certification Authority to sign in -アクセス管理要件を満たすため ユーザのクライアントマシンにクライアントサイド証明書の所有を要求します アクセスイベントをさらに制限する場合は 一意の証明書属性 / 値ペアを定義できます [Save Changes] をクリックして設定を保存します 注意 すべての X.509 Distinguished Name(DN) 属性 (C CN L O OU など ) がサポートされています 属性と値のフィールドでは 大文字と小文字が区別されません 各属性に値を 1 つだけ定義してください 複数の値を指定すると クライアントサイド証明書が ルート証明書に対して正常に認証されません パスワードの制限 パスワード制限を使用して 領域のパスワード最低文字数を指定します パスワード文字数制限の指定 パスワードの制限は 以下のように指定します 領域レベル 以下のように選択します [Administrators] [Authentication] [SelectRealm] [Authentication Policy] [Password] [Users] [Authentication] [SelectRealm] [Authentication Policy] [Password] 次に 以下の操作を実行します 次のオプションのいずれかを選択します Allow all users (passwords of any length) - IVE にサインインするユーザに対してパスワード文字数の制限を適用しません Only allow users that have passwords of a minimum length -ユーザは 指定されている最低文字数でパスワードを入力する必要があります [Save Changes] をクリックして設定を保存します 注意 IVE のデフォルト設定では サインインページに入力するユーザパスワードは最低 4 文字と指定されています ユーザの証明書の正当性を検証する認証サーバによっては 最低文字数が異なる場合があります たとえば IVE ローカル認証データベースでは ユーザパスワードは最低 6 文字です

373 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 361 Host Checker の制限 クライアントマシンに対して 指定の Host Checker ポリシーの適用を要求して IVE サインインページへのアクセス ロールへの割り当て またはリソースポリシーへのアクセスを許可するには Host Checker の制限を使用します Host Checker の制限の指定 Host Checker の制限を指定するには 次の操作を実行します システム全体のホストチェッカポリシーを以下の場所で指定します [System] [Configuration] [Security] [Host Checker] その後 次の操作を実行します 領域レベル以下のように選択します [Administrators] [Authentication] [SelectRealm] [Authentication Policy] [Host Checker] [Users] [Authentication] [SelectRealm] [Authentication Policy] [Host Checker] ロールレベル [Administrators] [Delegation] [SelectRole] [General] [Restrictions] [Host Checker] [Users] [Authentication] [SelectRealm] [Role Mapping] [Select CreateRule] [CustomExpression] [Users] [Roles] [SelectRole] [General] [Restrictions] [Host Checker] リソースポリシーレベル以下のように選択します [Resource Policies] [SelectResource] [SelectPolicy] [Detailed Rules] [Select CreateRule] [ConditionField] 次に 以下の手順に従います 領域レベル でホストチェッカの要件を設定している場合は 以下のオプションのいずれかを選択します Allow all users -ユーザはアクセス要件を満たすために ホストチェッカをインストールする必要がありません

374 362 NetScreen Instant Virtual Extranet アプライアンス管理ガイド Allow all users & install Host Checker - IVE で ホストチェッカをクライアントマシンにダウンロードする必要があります Allow only users whose workstations meet the requirements specified by the following [policies] -ユーザはアクセス要件を満たすため ホストチェッカで 指定のホストチェッカポリシーを実行する必要があります ロールレベル でホストチェッカを設定している場合は 以下のオプションのいずれかを選択します Allow all users -ユーザはアクセス要件を満たすために ホストチェッカをインストールする必要がありません Allow only users whose workstations meet the requirements specified by the following [policies] -ユーザはアクセス要件を満たすため ホストチェッカで 指定のホストチェッカポリシーを実行する必要があります または hostcheckerpolicy 変数を使用して ロールマッピング規則にホストチェッカの状態を評価するカスタムエクスプレッションを作成できます リソースポリシーレベル でホストチェッカの制限を作成する場合は 詳細規則でカスタムエクスプレッションを作成する必要があります Cache Cleaner の制限 クライアントマシンに対して 指定の Cache Cleaner 要件の適用を要求して IVE サインインページへのアクセス ロールへの割り当て またはリソースポリシーへのアクセスを許可するには Cache Cleaner の制限を使用します Cache Cleaner の制限の指定 Cache Cleaner の制限を指定するには 次の操作を実行します システム全体のホストチェッカポリシーを以下の場所で指定します [System] [Configuration] [Security] [Host Checker] その後 次の操作を実行します 領域レベル以下のように選択します [Administrators] [Authentication] [SelectRealm] [Authentication Policy] [Cache Cleaner] [Users] [Authentication] [SelectRealm] [Authentication Policy] [Cache Cleaner]

375 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 363 ロールレベル [Administrators] [Delegation] [SelectRole] [General] [Restrictions] [Cache Cleaner] [Users] [Authentication] [SelectRealm] [Role Mapping] [Select CreateRule] [CustomExpression] [Users] [Roles] [SelectRole] [General] [Restrictions] [Cache Cleaner] リソースポリシーレベル以下のように選択します [Resource Policies] [SelectResource] [SelectPolicy] [Detailed Rules] [Select CreateRule] [ConditionField] 次に 以下の手順に従います 領域レベル で Cache Cleaner の要件を設定している場合は 以下のオプションのいずれかを選択します Just load Cache Cleaner -ユーザはアクセス要件を満たすために Cache Cleaner を実行する必要はありません ただし 今後のために Cache Cleaner をインストールしておきます Load and enforce Cache -ユーザはアクセス要件を満たすために IVE で Cache Cleaner をダウンロードし 実行する必要があります Disable Cache Cleaner -ユーザはアクセス要件を満たすために Cache Cleaner をインストールまたは実行する必要がありません ロールレベル で Cache Cleaner の要件を設定している場合は 以下のオプションを選択します Enable Cache Cleaner -ユーザはアクセス要件を満たすために Cache Cleaner を実行する必要があります または cachecleaner 変数を使用して ロールマッピング規則に Cache Cleaner の状態を評価するカスタムエクスプレッションを作成できます リソースポリシーレベル で Cache Cleaner の制限を作成する場合は 詳細規則でカスタムエクスプレッションを作成する必要があります

376 364 NetScreen Instant Virtual Extranet アプライアンス管理ガイド

377 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 365 付録 C カスタムエクスプレッションの記述 IVE では ロールマッピング規則 リソースポリシーおよびログフィルタクエリ内での評価に使用可能なカスタムエクスプレッションを記述できます カスタムエクスプレッション とは ブール型オブジェクトとして IVE によって true false エラーのいずれかに演算される変数の組み合わせです カスタムエクスプレッションを使用することによりポリシー検証およびログクエリに複雑な式を指定できるようになり より優れたリソースアクセスコントロール管理が可能になります カスタムエクスプレッションは 以下のフォーマットで記述できます カスタムエクスプレッションの構文 variable comparisonoperator variable variable comparisonoperator simplevalue variable comparisonoperator (simplevalue) variable comparisonoperator (ORValues) variable comparisonoperator (ANDValues) variable comparisonoperator (time TO time) variable comparisonoperator (day TO day) isempty (variable) isempty (variable) (customexpr) NOT customexpr! customexpr customexpr OR customexpr customexpr customexpr customexpr AND customexpr customexpr && customexpr

378 366 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ここで variable は システム変数です 1 変数名はドットで区切られた文字列で 各コンポーネントには [a-z A-Z 0-9_] のセットからの文字を含めることはできますが [0-9] の値を最初に使用することはできません 変数名では大文字と小文字が区別されます ロールマッピング規則およびリソースポリシーで使用可能なシステム変数については 369 ページの システム変数とその例 1 を参照してください comparisonoperator は次のいずれかです = 等しい 文字列 数字 DN とともに使用します!= 等しくない 文字列 数字 DN とともに使用します < より小さい 数字とともに使用します <= 以下 数値とともに使用 > より大きい 数値とともに使用 >= 以上 数値とともに使用 simplevalue は次のいずれかです 文字列 ワイルドカードを含む引用符で囲まれた文字列 IP アドレス a.b.c.d サブネット a.b.c.d / subnetbitcount 数値 正または負の整数 day 2 SUN MON TUE WED THU FRI SAT 文字列についての注意 : 文字列には <nl> および <cr> 以外のすべての文字を含めることができます 文字列の比較では 大文字と小文字が区別されます 文字列は 一重引用符または二重引用符で囲むことができます 引用符で囲まれた文字列には アスタリスク (*) クエスチョンマーク (?) およびスクエアブラケット ([ ]) を含むワイルドカードを使用できます 368 ページの ワイルドカードマッチング を参照してください variable comparisonoperator variable の比較式では ワイルドカードマッチングを含まない評価を行います 以下の文字をエスケープするには バックスラッシュを使用します 一重引用符 (') \' 二重引用符 (") \" バックスラッシュ (\) \\ 16 進数表記 [0-9a-fA-F]

379 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 367 time 3 は以下のいずれかのフォーマットで表す時刻です HH:MM 24 時間制 HH:MMam 12 時間制 HH:MMpm 12 時間制 H:MM 24 時間制 H:MMam 12 時間制 H:MMpm 12 時間制 ORValue は 1 つまたは複数の OR 演算を含む文字列です variable comparisonoperator (number OR number...) variable comparisonoperator (string OR string...) ANDValue は 1 つまたは複数の AND 演算を含む文字列です variable comparisonoperator (number OR number...) variable comparisonoperator (string OR string...) isempty は単一の変数名 (variable) を引数とし ブール値を返す関数です isempty() は 変数が未知の場合や空白値 空白文字列および空のリストを含む場合に ture を返します 例 : isempty(userattr.terminationdate) isunknown は単一の変数名 (variable) を引数とし ブール値を返す関数です isunknown() は 変数が定義されていない場合に ture を返します ユーザ属性 (userattr.*) は 属性が LDAP で定義されていない場合や属性を参照できない場合 (LDAP サーバが停止しているなどの場合 ) は未知の属性として処理されます 例 : isunknown(userattr.bonusprogram) NOT,! は 論理否定の比較演算子です 否定演算式では customexpr が false のときに ture true のときに false が返されます 3 OR は 論理演算子 OR または です これらは同じ意味を表します 3 AND && は 論理演算子 AND または && です これらは同じ意味を表します 3 customexpr は カスタムエクスプレッションの構文 ( 上記を参照 ) で記述された式です 1 カスタムエクスプレッションをログクエリフィールドに記述する場合は システムログ変数を使用する必要があります 2 日付と時刻の比較は IVE のタイムゾーンで行われます デイレンジ (day TO day) の演算では 最初の日付から開始され次の日付になるまで行われます タイムレンジ (time TO time) の演算では 最初の値は次の値より早くなければなりません 日付および時刻の値と比較できるには時刻の変数だけです 時刻の変数は time.* および logintime.* です 3 演算子 NOT AND および OR は優先順位の高いものから実行されます 優先順位は以下のとおりです NOT ( 右から ) AND ( 左から ) OR( 右から )

380 368 NetScreen Instant Virtual Extranet アプライアンス管理ガイド ワイルドカードマッチング 引用符で囲んだ文字列内には ワイルドカードを使用できます 以下のワイルドカードがサポートされています アスタリスク (*) アスタリスクは 空白文字または任意の数の文字例の変わりに使用します クエスチョンマーク (?) クエスチョンマークは 任意の単一文字の代わりに使用します スクエアブラケット ([ ]) スクエアブラケット ([ ]) は ブラケット間で指定された文字範囲に当てはまる 1 文字とマッチします ダッシュ (-) で区切られた 2 文字は 指定された範囲内で 辞書表記的にその間に入る 2 文字とマッチします たとえば 'dept[0-9]' は dept0 dept1 から dept9 までの文字列とマッチします ワイルドカードをエスケープするには スクエアブラケット内にワイルドカードを配置します たとえば 式を ' userattr.x = "value[*]" ' とすると 属性 x が実際に value* である場合は ture であると評価されます DN 変数 識別名 (DN) を別の DN や文字列と比較できます ただし ワイルドカードは無視されます 比較式では大文字と小文字が区別され ホワイトスペースは無視されます また 変数の順序は考慮されます DN と文字列を比較する式の場合は 式を評価する前に文字列が識別名に変換されます 文字列が ( 構文が不適切などのため ) 変換不可能な場合には 比較は実行されません DN 変数には以下のものが含まれます userdn certdn certissuerdn

381 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 369 システム変数とその例 注意 : このリストには フィルタクエリまたはシステムログ用のエクスポートフォーマットで使用される変数は含まれていません 変数 Description 例 auth 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 ユーザを認証する認証サーバ名 auth = MyLDAPServer cachecleaner 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 Cache Cleaner の状態 考えられる値 : 1 - 実行中の場合 1 - その他の場合 cachecleanerstatus = 1 cachecleanerstatus = 0 certattr.<cert-attr> 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 LDAP 設定 SSO パラメータフィールド CertAttr.altName.<Altattr> 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 LDAP 設定 SSO パラメータフィールド クライアントサイド証明書の属性 cert-attr は C ST L O OU CN T I G S D SN UI または E メールのいずれかになります この変数を使用して ユーザのクライアントマシンに指定の値を持つクライアントサイド証明書があるかどうかチェックします クライアントサイド証明書の代替サブジェクト名 ここで Alt-attr は以下のいずれかになります. .directoryName.DNS.URI.ipAddress.registeredId certattr.ou = 'Retail Products Group' certattr.altname. = certattr.altname.directoryname = "cn=joe, ou=company, o=com" certattr.altname.ipaddress =

382 370 NetScreen Instant Virtual Extranet アプライアンス管理ガイド certattr.sn 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 LDAP 設定 SSO パラメータフィールド クライアント証明書のシリアル番号 [0-9 a-f A-F] 以外の文字列は certattr.sn との比較を実行する前にすべて除外されます ワイルドカードはサポートされません certattr.sn = userattr.certserial certattr.sn = "6f:05:45:ab" certdn 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 クライアント証明書のサブジェクト ( 認証対象 )DN certdn = 'cn=john Harding,ou=eng,c=Company' certdn = userdn (match the certificate subject DN with the LDAP user DN) certdn = userattr.x509subjectname certdn = ('cn=john Harding,ou=eng,c=Company' or 'cn=julia Yount,ou=eng,c=Company') certdn.<subject-attr> 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 LDAP 設定 SSO パラメータフィールド certdntext 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 SSO パラメータフィールド certissuerdn 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 クライアント証明書のサブジェクト DN の任意の変数 ここで subject-attr は RDN キーの名前になります 標準 x.509 形式の証明書のさまざまなサブジェクト DN 属性をテストする際に使用します certdn.ou = 'company' certdn.e = certdn.st = 'CA' 文字列として格納されているク certdntext = 'cn=john ライアント証明書のユーザ DN Harding,ou=eng,c=Company' この値との文字列の比較のみ許可されます クライアント証明書発行者の DN です この変数は CertDN などの標準的な DN 属性と同様に機能します certissuerdn = 'cn=john Harding,ou=eng,c=Company' certissuerdn = userattr.x509issuer certissuerdn = ('ou=eng,c=company' or 'ou=operations,c=company')

383 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 371 certissuerdn.<issuerattr> 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 SSO パラメータフィールド certissuerdntext 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 SSO パラメータフィールド クライアント証明書発行者の certissuerdn.ou = 'company' DN の任意の変数 ここで certdn.st = 'CA' issuer-attr は RDN キーの名前になります 文字列として格納されているク userdn = 'cn=john ライアント証明書発行者の DN Harding,ou=eng,c=Company' この値との文字列の比較のみ許可されます group.<group-name> 静的および動的な LDAP ユーザ以下で利用可能 : グループです ここで groupname は辞書で参照される ロールマッピング規則 LDAP グループの名前です リソースポリシー規則重要 : ロールマッピング規則で評価されるグループのみ リソースポリシーの詳細規則 ( 条件 ) で利用できます また ストップ 規則を使用してユーザをロールへ割り当てる場合には その後の規則のグループはユーザのセッションコンテキストに追加されません group.preferredpartner group.goldpartner or group.silverpartner group.employees and time.month = 9 組み合わせ例 : 月曜日から金曜日まではすべてのアクティブなパートナを許可し 月曜日から土曜日までは優先パートナを許可する場合には 以下のようにします ((group.partners and time = (Mon to Fri)) or (group.preferredpartners and time = (Mon to Sat))) and userattr.partnerstatus = 'active' hostcheckerpolicy 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 SSO パラメータフィールド クライアントに要求する Host Checker のポリシーです hostcheckerpolicy = ('Norton' and 'Sygate') and cachecleanerstatus = 1

384 372 NetScreen Instant Virtual Extranet アプライアンス管理ガイド logintime 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 SSO パラメータフィールド logintime.day 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 logintime.dayofweek 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 ユーザが IVE に証明書を送信す logintime = (8:00am to 5:00pm) る時刻です 時間は IVE タイム logintime= (Mon to Fri) ゾーンに基づいています 注意 : この変数を SSO パラメータフィールドで使用した場合 UNIX 時間の文字列が返されます ユーザが IVE に証明書を送信す logintime.day = 3 る日付を示す 1-31 の数値です 時間は IVE タイムゾーンに基づいています ユーザが IVE に証明書を送信す logintime.dayofweek!= (0 OR 6) る曜日を示す [0-6] の数値です ここで 0 は土曜日を意味します logintime.dayofyear 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 ユーザが IVE へ証明書を送信する日を示す [0-365] の数値です logintime.dayofyear = 100 logintime.month 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 logintime.year 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 ユーザが IVE へ証明書を送信す logintime.month >= 4 AND logintime.month る月を示す [1-12] の数値です <=9 ここで 1 = 1 月です ユーザが IVE へ証明書を送信する年で [ ] に設定できます logintime.year = 2005

385 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 373 networkif 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 SSO パラメータフィールド ユーザの要求を受信するネット sourceip = /24 and networkif = ワークインターフェイスです 'internal' 考えられる値 : internal または external 領域以下で利用可能 : ロールマッピング規則 リソースポリシー規則 SSO パラメータフィールド ユーザのサインイン先の認証領域の名前です Realm = ('GoldPartners' or 'SilverPartners') 注意 : ユーザはセッション内の単一領域でのみサインインを許可されるため AND 演算を使用した条件は評価されません resource 以下で利用可能 : リソースポリシー規則 ユーザがアクセスを試みるリソースです Resource = 'www.yahoo.com' ロール以下で利用可能 : リソースポリシー規則 SSO セッションのすべてのユーザロールのリスト SSO では すべてのロールをバックエンドアプリケーションに送信する場合 <role sep = ";"> を使用します ここで sep は区切り文字列を意味します Role = ('sales' or 'engineering') Role = ('Sales' AND 'Support') sourceip 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 SSO パラメータフィールド ユーザを認証するマシンの IP アドレス 注意 : リソースポリシーでは ビット数またはネットマスクフォーマット を使用してネットマスクを指定できます sourceip = sourceip = /24 (Class A) sourceip = /24 and networkif = 'internal' userattr.dept = ('eng' or 'it') and sourceip = /16

386 374 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 時間以下で利用可能 : ロールマッピング規則 リソースポリシー規則 ロールマッピング規則またはリソースポリシー規則を評価する時刻です 時刻は 12 時間形式または 24 時間形式で記述できます time = (9:00am to 5:00pm) time = (09:00 to 17:00) time = (Mon to Fri) 注意 : time.day の区切り行を追加する必要があります これは logintime.day と同様である必要があります 組み合わせ例 : エグゼクティブマネージャとそのアシスタントのアクセスを月曜日から金曜日まで許可するには 次のようにします userattr.employeetype = ('*manager*' or '*assistant*') and group.executivestaff and time = (Mon to Fri) time.day 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 ユーザが IVE に証明書を送信する時刻です 時刻は 12 時間形式または 24 時間形式で記述できます time.day = (9:00am to 5:00pm) time.day = (09:00 to 17:00) time.day = (Mon to Fri) time.dayofweek 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 ロールマッピング規則またはリソースポリシー規則を評価する曜日です 考えられる値 : Mon Tue Wed Thu Fri Sat Sun time.dayofweek = (Mon to Fri) time = (mon to fri) and time = (9:00am to 5:00pm) time = (sat to sun) and time = (8:00 to 23:00) time.dayofyear 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 ロールマッピング規則またはリソースポリシー規則を評価する日です 考えられる値 :1-365 time.dayofyear = 100 time.month 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 ロールマッピング規則またはリソースポリシー規則を評価する月です 考えられる値 :1-12 time.month >= 9 and time.month <= 12 and time.year = 2004 group.employees and time.month = 9

387 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 375 time.year 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 ロールマッピング規則またはリソースポリシー規則を評価する年で [ ] に設定できます time.year = 2005 ユーザ以下で利用可能 : ロールマッピング規則 リソースポリシー規則 SSO パラメータフィールド IVE ユーザ名です ユーザが証明書認証サーバにサインインする場合 ユーザの IVE ユーザ名は CertDN.cn と同じになります user = 'steve' and time = mon user = 'steve' user = 'steve*' user = ('steve' or '*jankowski') useragent 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 SSO パラメータフィールド ブラウザのユーザエージェント文字列です useragent = '*MSIE*'

388 376 NetScreen Instant Virtual Extranet アプライアンス管理ガイド userattr.<auth-attr> 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 SSO パラメータフィールド重要 : ロールマッピング規則で評価される属性のみ リソースポリシーの詳細規則 ( 条件 ) で利用できます また ストップ 規則を使用してユーザをロールへ割り当てる場合には その後の規則の属性はユーザのセッションコンテキストに追加されません LDAP または RADIUS サーバから取得されるユーザ属性です userattr.building = ('HQ*' or 'MtView[1-3]') userattr.dept = ('sales' and 'eng') userattr.dept = ('eng' or 'it' or 'custsupport') userattr.division = 'sales' userattr.employeetype!= 'contractor' userattr.salarygrade > 10 userattr.salesconfirmed >= userattr.salesquota 否定 (NOT) の例 : userattr.company!= "Acme Inc" or not group.contractors not (user = 'guest' or group.demo) 組み合わせ例 : エグゼクティブマネージャとそのアシスタントのアクセスを月曜日から金曜日まで許可するには 次のようにします userattr.employeetype = ('*manager*' or '*assistant*') and group.executivestaff and time = (Mon to Fri) 月曜日から金曜日まではすべてのアクティブなパートナを許可し 月曜日から土曜日までは優先パートナを許可する場合には 以下のようにします ((group.partners and time = (Mon to Fri)) or (group.preferredpartners and time = (Mon to Sat))) and userattr.partnerstatus = 'active'

389 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 377 userdn 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 LDAP サーバからのユーザ DN userdn = 'cn=john です ユーザが LDAP サーバに Harding,ou=eng,c=Company' よって認証される場合 この DN は認証サーバから取得されます それ以外の場合は DN は領域のディレクトリ / 属性サーバから取得されます userdn.<user-attr> 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 SSO パラメータフィールド ユーザ DN の任意の変数 ここで user-attr は RDN キーの名前になります userdn.ou = 'eng' userdntext 以下で利用可能 : ロールマッピング規則 リソースポリシー規則 SSO パラメータフィールド 文字列として格納されているユーザ DN この値との文字列の比較のみ許可されます userdntext = 'cn=john Harding,ou=eng,c=Company'

390 378 NetScreen Instant Virtual Extranet アプライアンス管理ガイド

391 379 付録 D IVE シリアルコンソールの使用 IVE シリアルコンソールは 以下の操作を実行するためにインターフェイスを提供します IVE シリアルコンソールへの接続 直前のシステム状態へのロールバック IVE マシンを出荷時設定に戻す 共通のリカバリタスクの実行 管理者カードの追加作成 (Access Series FIPS のみ ) 新しいセキュリティワールドの作成 (Access Series FIPS のみ ) アーカイブされたセキュリティワールドの復元 (Access Series FIPS のみ )387 IVE シリアルコンソールへの接続 IVE シリアルコンソールを通じて作業を行うには その前にターミナルコンソールまたはラップトップを IVE マシンに接続する必要があります IVE シリアルコンソールに接続するには 次の操作を実行します 1. コンソールターミナルまたはラップトップのヌルモデムクロスオーバーケーブルを IVE マシンに差し込みます このケーブルは 製品に同梱されています ストレートシリアルケーブルは使用しないでください 2. ターミナル または HyperTerminal などのターミナルエミュレーションユーティリティを 以下のシリアル接続パラメータを使用するように設定します 9600 ビット / 秒 8 ビット パリティなし (8N1) 1 ストップビット フロー制御なし 3. IVE シリアルコンソールが表示されるまで Enter キーを押します 注意 : Access Series FIPS マシンを実行している場合に初めてシリアルコンソールに接続するときは 暗号化モジュールのモードスイッチを I( 初期化モード ) に設定することも必要です

392 380 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 図 131:IVE シリアルコンソール 直前のシステム状態へのロールバック 通常は 次の操作を実行することで Web コンソールを通じて直前の IVE システム状態を復元することができます 1. 目的の状態データが格納されているエクスポート済みのシステム設定ファイルとユーザ設定ファイルを探します 2. support.netscreen.com から目的のサーバパッケージをダウンロードします 3. 選択したサーバパッケージをインポートします 4. 目的のシステム設定ファイルとユーザ設定ファイルをインポートします IVE には 現在のシステム設定情報と以前の状態のシステム設定情報が格納されています サーバパッケージをアップグレードした後で 以前の状態に戻すには 上記の手順を実行することをお勧めします Web コンソールにアクセスできない場合は シリアルコンソールに接続してシステムのロールバックを実行し 以前のシステム状態を復元してください まだサーバのアップグレードを実行していない場合には ロールバックする以前の状態は存在しないため このオプションは選択できません サーバのアップグレードを実行した後でロールバックを実行すると アップグレード後に作成されたシステム設定データとユーザ設定データはすべて失われます システムのロールバックを行う前に最新の設定ファイルをエクスポートしておけば 後でデータをインポートできます また 322 ページの NetScreen ソフトウェアサービスパッケージのインストール の説明に従って Web コンソールを通じて直前のシステム状態にロールバックすることができます

393 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 381 注意 : Access Series FIPS マシンを実行しているときに直前のセキュリティワールドにロールバックする場合は 387 ページの アーカイブされたセキュリティワールドの復元 (Access Series FIPS のみ ) の説明に従います 直前のシステム状態にロールバックするには 次の操作を実行します 1. シリアルコンソールに接続します (379 ページ ) 2. ブラウザのウィンドウで Web コンソールにサインインします 3. [Maintenance] [System] [Platform] を選択します 4. [Reboot Now] をクリックしてコンソールユーティリティウィンドウに戻ります ウィンドウに システムの再起動中というメッセージが表示されます 5. 数分後に Tab キーを押してオプションを選択するよう求められます Tab キーを押し 設定をロードするよう指示されたら rollback と入力して Enter キーを押します 図 132:IVE シリアルコンソール [Maintenance] [System] [Platform] ページの [Reboot Now] をクリックした後 注意 : - 5 秒以内に入力しないと 現在のシステム設定が自動的にロードされます この場合には Web コンソールに戻り [Reboot Now] をクリックして この手順をやり直す必要があります - すでにシステムのロールバックが済んでいる場合 再びサーバソフトウェアのアップグレードを実行するまではロールバックオプションは選択できません サーバのロールバックステータスが画面に表示され ロールバックが完了すると Return(Enter) キーを押してシステム設定を変更するように指示されます キーを押すと 初期セットアップオプションに戻ります データの入力が済んだら ユーティリティウィンドウを閉じます

394 382 NetScreen Instant Virtual Extranet アプライアンス管理ガイド IVE マシンを出荷時設定に戻す ごくまれに IVE マシンを出荷時の状態に戻す必要が生じる場合があります この高度なシステムリカバリオプションを実行する前に 必ず NetScreen サポート にご連絡ください 可能であれば 出荷時リセットを実行する前に 最新のシステム設定データとユーザ設定データをエクスポートしてください 出荷時リセットを行うには 次の操作を実行します 1. シリアルコンソールに接続します (379 ページ ) 2. ブラウザのウィンドウで Web コンソールにサインインします 3. [Maintenance] [System] [Platform] を選択します 4. [Reboot Now] をクリックしてコンソールユーティリティウィンドウに戻ります ウィンドウに システムの再起動中というメッセージが表示されます 5. 数分後に Tab キーを押してオプションを選択するよう求められます Tab キーを押し 設定をロードするよう指示されたら factory-reset と入力して Enter キーを押します 図 133:IVE シリアルコンソール [Maintenance] [System] [Platform] ページの [Reboot Now] をクリックした後 注意 : 5 秒以内に入力しないと 現在のシステム設定が自動的にロードされます この場合には Web コンソールに戻り [Reboot Now] をクリックして この手順をやり直す必要があります 6. 出荷時リセットを実行するかどうか確認を求められたら proceed と入力して Enter キーを押します

395 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 383 図 134:IVE シリアルコンソール 出荷時リセットを選択した後 マシンを元の設定にリセットするプロセスが開始され 複数のデータ画面が表示されます 数分後に Tab キーを押して設定を選択するように求められます 図 135:IVE シリアルコンソール 出荷時リセットを実行した後 7. Tab キーを押すように求められたら 次のいずれかの操作を実行します デフォルトの選択 (current) が自動的に開始されるまで待ちます または Tab キーを押して current と入力し Enter キーを押します マシンの初期設定を入力するよう求められます 以降の手順の詳細については 製品に付属のインストールガイドを参照してください このガイドは NetScreen のサポートサイトからも PDF 形式でダウンロードできます 初期化プロセスが完了したら 最新のサーバパッケージにアップグレードし 保存してあるシステム設定ファイルとユーザ設定ファイルをインポートすれば 以前の作業環境を復元することができます

396 384 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 共通のリカバリタスクの実行 IVE 管理者ユーザ名またはパスワード ( あるいはその両方 ) を忘れた場合 設定エラーのためにマシンからロックアウトされた場合 または IVE マシンの IP アドレスを変更したためにマシンにアクセスできなくなった場合には シリアルコンソールを通じてマシン設定を変更できます 379 ページの IVE シリアルコンソールへの接続 の説明に従って手順を実行し 適切な設定タスクを選択してください ネットワーク設定の表示 / 設定標準的なネットワーク設定を変更できるようにします ユーザ名およびパスワードの作成と管理上級管理者の新規アカウントを作成できるようにします システムログの表示シリアルコンソールを通じて システム設定 ユーザログ または管理者アクセスログを表示できるようにします ログを表示した後でシリアルコンソールオプションに戻るには q を入力する必要があるのでご注意ください パスワード保護の切り替え シリアルコンソールを保護するために パスワードを設定できます このオプションを on に切り替えると 上級管理者だけがアクセスを許されます 上級管理者セッションの作成全管理者のアクセスをブロックするように IVE を設定した場合でも Web コンソールのリカバリセッションは確立できます このオプションを選択すると IVE は 3 分間有効な一時的なトークンを生成します ブラウザウィンドウに URL : https://<ive-host>/dana-na/auth/recover.cgi を入力し 次に Web コンソールへサインインするように指示されたら この一時的なトークンを入力します 接続と他のネットワーク設定のテスト他のサーバへの PING 送信 サーバルートのトレース 静的なルートの削除 ARP キャッシュの出力 ARP キャッシュのクリア ルーティングテーブルの出力などを実行できます 注意 : Access Series FIPS システムを実行している場合に暗号化モジュールのクリアスイッチを押したときには 暗号化モジュールのモードスイッチを O( 動作可能モード ) に設定し システムを再起動します リカバリのためにシリアルコンソールにアクセスする必要はありません

397 NetScreen Instant Virtual Extranet アプライアンス管理ガイド 385 図 136:IVE シリアルコンソール システムメンテナンスタスク 管理者カードの追加作成 (Access Series FIPS のみ ) セキュリティワールド用の管理者カードを追加作成するには 以下に対して物理的にアクセスできなければなりません セキュリティワールドに含まれる暗号化モジュール スマートカードリーダー セキュリティワールドであらかじめ初期化した管理者カード 1 枚以上の未フォーマットのスマートカードまたは上書きしても安全なデータが含まれる管理者カード 注意 : 追加のスマートカードが必要な場合は IVE の再販業者に問い合わせてください セキュリティワールドに管理者カードを追加作成するには 次の操作を実行します 1. スマートカードリーダーのケーブルを セキュリティワールドに含まれる暗号化モジュールのリーダーのポートに差し込みます ポートは IVE の前面パネルにあります 2. あらかじめ初期化してある セキュリティワールド用の管理者カードを 接触部を上に向けてスマートカードリーダーに差し込みます 3. 暗号化モジュールのモードスイッチが O( 動作可能モード ) になっていない場合は 切り替えます 4. シリアルコンソールに接続します (379 ページ )

Mobile Access簡易設定ガイド

Mobile Access簡易設定ガイド Mobile Access Software Blade 設定ガイド チェック ポイント ソフトウェア テクノロジーズ ( 株 ) アジェンダ 1 SSL VPN ポータルの設定 2 3 4 Web アプリケーションの追加 Check Point Mobile for iphone/android の設定 Check Point Mobile for iphone/android の利用 2 変更履歴

More information

ESET NOD32 アンチウイルス 6 リリースノート

ESET NOD32 アンチウイルス 6 リリースノート ====================================================================== ESET NOD32 アンチウイルス 6 リリースノート キヤノンITソリューションズ株式会社 ====================================================================== はじめにキヤノンITソリューションズ製品をご愛顧いただき誠にありがとうございます

More information

NortonAntiVirus for MicrosoftExchange

NortonAntiVirus for MicrosoftExchange NortonAntiVirus for MicrosoftExchange インストール手順書 このドキュメントは NortonAntiVirus 2.5 for MicrosoftExchange のインストール手順を示します 2001 年 7 月 1 1.. Norton AntiVirus for Microsoft Exchange のアンインストール まず 以前のバージョンの NortonAntiVirus

More information

ESET NOD32アンチウイルス V4.2 リリースノート

ESET NOD32アンチウイルス V4.2 リリースノート ====================================================================== ESET NOD32 アンチウイルス V4.2 リリースノート キヤノンITソリューションズ株式会社 ====================================================================== はじめにキヤノンITソリューションズ製品をご愛顧いただき誠にありがとうございます

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション 大東ビジネスインターネットバンキング SPEED ONE 電子証明書ログイン方式手順書 ログイン編 Windows7 Windows8 共通 . 電子証明書利用時のご注意事項 電子証明書利用時のご注意事項について記載します () 同一 PC を複数ユーザで利用する場合の注意事項同一 Windows アカウントで複数の電子証明書をインストールした場合 インストールしている全ての電子証明書に紐付く利用者

More information

< はじめに > 推奨環境インターネット伝送サービスをご利用いただくための推奨環境は以下の通りです OS ブラウザソフト Microsoft Windows Vista Microsoft Internet Explorer 8 Microsoft Windows 7(32bit/64bit) Mi

< はじめに > 推奨環境インターネット伝送サービスをご利用いただくための推奨環境は以下の通りです OS ブラウザソフト Microsoft Windows Vista Microsoft Internet Explorer 8 Microsoft Windows 7(32bit/64bit) Mi WEB-EDI 操作マニュアル ご注意 0:00~23:59 にお支払いの完了したデータは 翌日 13:30 以降より受信が可能です データにつきましては サーバへデータを用意した日 ( 収納日の翌日 ) から 30 日間を過ぎますと 消去されますので期間内に必ず受信してください 受信用のアドレスはこちらになります https://e-shiharai.net/webedi/ ver.5.0 版

More information

ESET NOD32 アンチウイルス 8 リリースノート

ESET NOD32 アンチウイルス 8 リリースノート ================================================================== ESET NOD32 アンチウイルス 8 リリースノート キヤノンITソリューションズ株式会社 ================================================================== はじめにキヤノンITソリューションズ製品をご愛顧いただき誠にありがとうございます

More information

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

McAfee SaaS  Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護 統合ガイド改訂 G McAfee SaaS Email Protection Microsoft Office 365 と Exchange Online の保護 Microsoft Office 365 の設定 このガイドの説明に従って McAfee SaaS Email Protection を使用するように Microsoft Office 365 と Microsoft Exchange Online

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション Synology インストールガイド 株式会社アスク Synology NAS でできること 家庭内に設置することで簡単に写真や動画の共有が行えます ユーザーごとに閲覧可否を制御することが出来ます 専用のアプリを利用することでスマートフォンやタブレットからもアクセスできます 特定のフォルダのみ閲覧可能 外出先など外部のネットワークからアクセス 写真や動画のアップロード Synology NAS アプリを利用して閲覧

More information

Nagios XI Webサイトの改ざん監視

Nagios XI Webサイトの改ざん監視 目的 この資料では Web サイトの改ざん 編集 悪意のあるコード挿入を監視する Web サイト改ざん監視ウィザードの使用方法について説明します Web サイト改ざん監視ウィザードを使用すれば Web サイトの改変を監視し Web サイトに好ましくないコンテンツが見つかったら通知することができます 対象読者 この資料は Web サイトの改ざんを監視したい Nagios 管理者およびエンドユーザーを対象としています

More information

インストール手順 2 セットアップの種類 [ 標準インストール (S)] [Thunderbird を既定のメールプログラムとして使用する (U)] にチェックを入れ [ 次へ (N)] をクリックします インストール手順 3 セットアップ設定の確認 [ インストール (I)] をクリックします 2

インストール手順 2 セットアップの種類 [ 標準インストール (S)] [Thunderbird を既定のメールプログラムとして使用する (U)] にチェックを入れ [ 次へ (N)] をクリックします インストール手順 3 セットアップ設定の確認 [ インストール (I)] をクリックします 2 Mozilla Thunderbird メール編 本書では Thunderbird メールの設定方法を説明します 目次 P1 1 Thunderbirdメールのインストール P4 2 メールアカウントの登録 P11 3 メールアカウント設定の確認 P15 4 接続ができない時には ( 再設定 ) P17 5 設定の変更をしていないのに メールが送受信できなくなった P18 6 メール送信形式の設定

More information

エンドポイントにおける Web コントロール 概要ガイド

エンドポイントにおける Web コントロール 概要ガイド エンドポイントにおける Web コントロール 概要ガイド Sophos Web Appliance Sophos UTM ( バージョン 9.2 以降 ) Sophos Enterprise Console Sophos Endpoint Security and Control ドキュメント作成日 : 2016 年 4 月 目次 1 エンドポイントにおける Web コントロール...3 2 Enterprise

More information

エンドポイントにおける Web アクセス制御 概要ガイド

エンドポイントにおける Web アクセス制御 概要ガイド エンドポイントにおける Web アクセス制御 概要ガイド Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control ドキュメント作成日 : 2011 年 12 月 目次 1 エンドポイントにおける Web アクセス制御...3 2 Enterprise Console のみ...4 3 Enterprise

More information

TimeTracker FX セットアップガイド 補足資料 2/14 0. はじめに 本資料は [TimeTracker FX セットアップガイド ] では説明していない Microsoft SQL Server 2005 ( 以下 SQL Server 2005) の設定や操作方法を補足するための

TimeTracker FX セットアップガイド 補足資料 2/14 0. はじめに 本資料は [TimeTracker FX セットアップガイド ] では説明していない Microsoft SQL Server 2005 ( 以下 SQL Server 2005) の設定や操作方法を補足するための TimeTracker FX 補足資料 SQL Server 2005 インストール方法 2007 年 1 月 TimeTracker FX セットアップガイド 補足資料 2/14 0. はじめに 本資料は [TimeTracker FX セットアップガイド ] では説明していない Microsoft SQL Server 2005 ( 以下 SQL Server 2005) の設定や操作方法を補足するためのものです

More information

導入設定ガイド

導入設定ガイド Big Bang System Corporation ExLook Online 機体認証オプション 管理者マニュアル 第 2 版平成 24 年 2 月 17 日 株式会社ビービーシステム Copyright (c) 2010, Big Bang System Corporation. All rights reserved. 本書に記載された事項で発生したいかなる事態もその責務を負いません また

More information

目次 既存アカウントにモバイルライセンスキーコードを追加 ライセンスキーコードを追加 ポータルへモバイルデバイスを追加 電話番号の入力ルール /AU 端末の制限 ( 留意事項 ) ダウンロードリンクの通知 (SMS 配信 )/ 子デバイスキー生成 モバイルデバイスへのソフトウェアダウンロード ダウン

目次 既存アカウントにモバイルライセンスキーコードを追加 ライセンスキーコードを追加 ポータルへモバイルデバイスを追加 電話番号の入力ルール /AU 端末の制限 ( 留意事項 ) ダウンロードリンクの通知 (SMS 配信 )/ 子デバイスキー生成 モバイルデバイスへのソフトウェアダウンロード ダウン エンドポイントウィルス対策サービス モバイル端末利用者向けマニュアル [ エンドポイントウィルス対策サービス利用者さま向け ] 0 年 8 月 日 Version.0 bit-drive Copyright 0 Sony Business Solutions Corporation 目次 既存アカウントにモバイルライセンスキーコードを追加 ライセンスキーコードを追加 ポータルへモバイルデバイスを追加

More information

スライド 1

スライド 1 Internet Explorer の設定マニュアル このマニュアルは 長崎市の入札関連システム ( ) をご利用頂くために必要なInternet Explorerの設定手順を説明します お使いのパソコンの環境 ( ブラウザのバージョンなど ) に応じて必要な設定を行ってください なお お使いのブラウザのバージョンによっては掲載する画面と異なる場合がございます あらかじめご了承ください 入札関連システム

More information

インターネットフィルタリング簡単マニュアル

インターネットフィルタリング簡単マニュアル セキュリティ安心 Windows8 版フィルタリングソフト 簡単マニュアル インターネットフィルタリングのインストール インターネットフィルタリングの初期設定 インターネットフィルタリングの使い方 インターネットフィルタリングのWeb 管理 インターネットフィルタリングのアンインストール インターネットフィルタリングの再インストール よくあるご質問 お問い合わせ先 インターネットフィルタリングのインストール

More information

iStorage NSシリーズ 管理者ガイド

iStorage NSシリーズ 管理者ガイド istorage NS シリーズ 管理者ガイド ( 詳細編 ) 第 3.0 版 2014 年 10 月 商標について Microsoft Windows Windows Server および Windows Vista は米国 Microsoft Corporation の米国および その他の国における登録商標です ESMPRO は日本電気株式会社の商標です Windows Server 2012

More information

エクストラネット : ファイアウォール内部の内部ユーザーと特定の外部ユーザーのみがアクセスできるコンテンツ 情報またはソフトウェアをホストする Web サイト インターネット : すべてのユーザー ( 内部ユーザーと外部ユーザー ) が公的にアクセスできるコンテンツ 情報またはソフトウェアをホストす

エクストラネット : ファイアウォール内部の内部ユーザーと特定の外部ユーザーのみがアクセスできるコンテンツ 情報またはソフトウェアをホストする Web サイト インターネット : すべてのユーザー ( 内部ユーザーと外部ユーザー ) が公的にアクセスできるコンテンツ 情報またはソフトウェアをホストす ボリュームライセンス簡易ガイド Microsoft SharePoint Server 2013 のライセンス この簡易ガイドは すべてのボリュームライセンスプログラムに適用されます 目次 概要... 1 この簡易ガイドの更新情報... 1 詳細... 1 SharePoint Server ライセンスの枠組みを構成する概念... 1 Microsoft SharePoint Server 2013

More information

帳票エラーが発生した場合のチェックリスト 確認番号 1 企業内 LAN にて ActiveDirectory のリダイレクト機能 ( シンクライアント等 ) を利用しているか 利用している場合 帳票を正常に表示できないことがあります 項目確認方法チェック対応方法 2 事前準備セットアップを実行してい

帳票エラーが発生した場合のチェックリスト 確認番号 1 企業内 LAN にて ActiveDirectory のリダイレクト機能 ( シンクライアント等 ) を利用しているか 利用している場合 帳票を正常に表示できないことがあります 項目確認方法チェック対応方法 2 事前準備セットアップを実行してい 問多国籍企業情報の報告コーナーにおいて エラーコード : ERR_INITIAL_001 エラーメッセージ : 通信中にエラーが発生したため 帳票表示処理を中断しました 再度処理を行って もしくはエラーコード ERR_INITIAL_005 エラーメッセージ : 帳票表示処理中にエラーが発生したため処理を中断しました ご利用の環境確認後 再度処理を行って が表示されました どうすればいいですか 答

More information

Mobile Access IPSec VPN設定ガイド

Mobile Access IPSec VPN設定ガイド Mobile Access Software Blade 設定ガイド Check Point Mobile for Windows 編 Check Point Mobile VPN for iphone/android 編 アジェンダ 1 Check Point Mobile for Windows の設定 2 3 4 Check Point Mobile for Windows の利用 Check

More information

Vectorworksサイトプロテクションネットワーク版-情報2

Vectorworksサイトプロテクションネットワーク版-情報2 Vectorworks サイトプロテクションネットワーク版 - 情報 2 セットアップリスト A&A セットアップリストについて 概要 ) 本リストは Vectorworksサイトプロテクションネットワーク版 ( 以下 SPN 版 ) のサーバアプリケーションが正しくセットアップされたかを確認する為のリストです 本リストを全てクリアすれば SPN 版が使用できる環境が整った事を意味します 使い方 )

More information

TeamViewer 9マニュアル – Wake-on-LAN

TeamViewer 9マニュアル – Wake-on-LAN TeamViewer 9 マニュアル Wake-on-LAN バージョン 9.2-12/2013 TeamViewer GmbH Jahnstraße 30 D-73037 Göppingen www.teamviewer.com 目次 1 Wake-on-LAN のバージョン情報... 3 2 要件... 4 3 Windows のセットアップ... 5 3.1 BIOS の設定... 5 3.2

More information

ご利用の前に 目次 推奨環境とソフトウェアのバージョン 推奨環境について Windows8 Windows8.1 について Internet Explorer のバージョン確認 SAMWEB の初期設定 セ

ご利用の前に 目次 推奨環境とソフトウェアのバージョン 推奨環境について Windows8 Windows8.1 について Internet Explorer のバージョン確認 SAMWEB の初期設定 セ 操作マニュアル ( ご利用の前に ) 2016.10.14 v1.6 ご利用の前に 目次 - 01. 推奨環境とソフトウェアのバージョン... 3 1. 推奨環境について... 3 2. Windows8 Windows8.1 について... 4 3. Internet Explorer のバージョン確認... 5 02. SAMWEB の初期設定... 7 1. セキュリティ設定... 7 2.

More information

10 完了 をクリック 13 このサーバーは認証が必要 をチェックして 設定 をクリック Windows メール Windows Vista に標準のメールソフト Windows メール の設定方法を説明します 1 スタート から 電子メール Windows メール をクリック 11 続いて設定ファ

10 完了 をクリック 13 このサーバーは認証が必要 をチェックして 設定 をクリック Windows メール Windows Vista に標準のメールソフト Windows メール の設定方法を説明します 1 スタート から 電子メール Windows メール をクリック 11 続いて設定ファ Outlook Express Windows に標準のメールソフト Outlook Express の設定方法を説明します 1Outlook Express を起動します 注. ウイザードが起動した場合は5へ進む 4 メール をクリック 7 受信メール (POP3 IMAP または HTTP) サーバー に pop.kvision.ne.jp を 入力し 送信メール (SMTP) サーバー に mail.kvision.ne.jp

More information

スライド 1

スライド 1 Internet Explorer9 11 の設定 ( 定例見積 ) Internet Explorer9 11 ご利用の際の推奨環境について 福岡市電子入札システムを Internet Explorer 9 11 でご利用頂く際は必ず 下記推奨環境をご確認頂き次ページからの各設定を行ってください 設定を行わない場合 電子入札操作時エラーが発生する可能性があります 電子入札をスムーズに行う為に必ず設定をお願い致します

More information

目次 1. はじめに ライセンス証書の受領 ライセンス証書に含まれる内容 環境前提条件 準備 インストール環境の確認 ファイル インストール インストール後の Dr

目次 1. はじめに ライセンス証書の受領 ライセンス証書に含まれる内容 環境前提条件 準備 インストール環境の確認 ファイル インストール インストール後の Dr Dr.Web KATANA for Windows Ver.1.0 インストールガイド 株式会社 Doctor Web Pacific 初版 : 2015/11/04 改訂 : 2015/11/12 目次 1. はじめに... 3 1.1 ライセンス証書の受領... 3 1.2 ライセンス証書に含まれる内容... 3 2. 環境前提条件... 3 3. 準備... 4 3.1 インストール環境の確認...

More information

『テクノス』V2プログラムインストール説明書

『テクノス』V2プログラムインストール説明書 土木積算システム テクノス V2 プログラム インストール説明書 ( 第 3 版 ) 目 次 1. テクノス V2 プログラム インストールの概要...3 2. テクノス V2 のプログラム ドライバ インストール...4 3. テクノス V2 の初期起動...10 4. アンインストール...11 5. 補足 ( 動作環境 )...11 2. 1. テクノス V2 プログラム インストールの概要

More information

Oracle Application Expressの機能の最大活用-インタラクティブ・レポート

Oracle Application Expressの機能の最大活用-インタラクティブ・レポート Oracle Application Express 4.0 を使用した データベース アプリケーションへのセキュリティの追加 Copyright(c) 2011, Oracle. All rights reserved. Copyright(c) 2011, Oracle. All rights reserved. 2 / 30 Oracle Application Express 4.0 を使用した

More information

IBM Proventia Management/ISS SiteProtector 2.0

IBM Proventia Management/ISS  SiteProtector 2.0 CHAPTER 10 IBM Proventia Management/ISS SiteProtector 2.0 この章は 次の内容で構成されています グローバルイベントポリシーを定義する IBM Proventia Management/ISS SiteProtector (P.10-1) (P.10-5) グローバルイベントポリシーを定義する IBM Proventia Management/ISS

More information

1 Ver デジタル証明書の更新手順 1 S T E P 1 netnaccs 専用デジタル ( クライアント ) 証明書 の更新作業を開始する前に 次の準備を行って下さい (1) お使いになるパソコンのブラウザのバージョンを確認して下さい ( デジタル証明書の取得等は 必ず Inte

1 Ver デジタル証明書の更新手順 1 S T E P 1 netnaccs 専用デジタル ( クライアント ) 証明書 の更新作業を開始する前に 次の準備を行って下さい (1) お使いになるパソコンのブラウザのバージョンを確認して下さい ( デジタル証明書の取得等は 必ず Inte 1 Ver-201401 資料 : デジタル証明書の更新手順 Windows Vista Windows 7 用 1 Ver-201401 デジタル証明書の更新手順 1 S T E P 1 netnaccs 専用デジタル ( クライアント ) 証明書 の更新作業を開始する前に 次の準備を行って下さい (1) お使いになるパソコンのブラウザのバージョンを確認して下さい ( デジタル証明書の取得等は 必ず

More information

Microsoft Word - 電子署名利用マニュアル(Microsoft Office 2010)kat

Microsoft Word - 電子署名利用マニュアル(Microsoft Office 2010)kat 電子署名利用マニュアル (Microsoft Office 2010 Word,Excel,PowerPoint) 電子署名 ( デジタル署名 ) を使用すれば ファイルに署名した人物の身元を証明し 電子署名がファイルに適用されてから文書の内容が変更されていないことを確認できます また 結果として否認の防止をすることができます 本マニュアルでは Microsoft Office 2010 における電子署名の利用方法について説明します

More information

登録手順 1 の 2 Microsoft Outlook 2013 スタートアップ 参考 スタートアップ画面が表示されない場合 Microsoft Outlook 2013 の起動画面から [ ファイル ] タブを選択し [ 情報 ] をクリックします アカウント情報から [ アカウントの追加 ]

登録手順 1 の 2 Microsoft Outlook 2013 スタートアップ 参考 スタートアップ画面が表示されない場合 Microsoft Outlook 2013 の起動画面から [ ファイル ] タブを選択し [ 情報 ] をクリックします アカウント情報から [ アカウントの追加 ] Microsoft Outlook 2013 編 本書では Microsoft Outlook 2013 の設定方法を説明します なお 本書では Microsoft Outlook 2013 の評価版を使いマニュアルを作成しております 製品版 とは多少異なる手順があるかもしれませんが ご了承ください 目次 P1 1 Microsoft Outlook 2013 の起動 P1 2 メールアカウントの登録

More information

目次 はじめに... 3 ライセンス適用の流れ... 4 Step 1 SLC の登録とライセンスファイルの取得... 5 Step 2 追加ライセンスの適用... 6 Step 3,4,5 アプリケーションのインストール ライセンスファイルのインポート アプリケーションの設定... 7 Step

目次 はじめに... 3 ライセンス適用の流れ... 4 Step 1 SLC の登録とライセンスファイルの取得... 5 Step 2 追加ライセンスの適用... 6 Step 3,4,5 アプリケーションのインストール ライセンスファイルのインポート アプリケーションの設定... 7 Step Network Video Management System ライセンスガイド HAW シリーズ SOW シリーズ 2016 Sony Corporation 目次 はじめに... 3 ライセンス適用の流れ... 4 Step 1 SLC の登録とライセンスファイルの取得... 5 Step 2 追加ライセンスの適用... 6 Step 3,4,5 アプリケーションのインストール ライセンスファイルのインポート

More information

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp Windows10 動作保障開始のお知らせ 2016 年 7 月より Windows 10 を新たに動作保証対象といたします ご利用にあたって は以下の点にご注意ください 動作保証環境 (1)OS ブラウザのバージョン対応表 以下枠線部分の OS 及びブラウザが新たに追加される動作保証環境となります OS Windows10 Home/Pro (32bit 版 /64bit 版 )( 2) Windows8.1

More information

スライド 1

スライド 1 セキュリティ安心ブラウザ Android 版 WEBフィルタリングソフト 簡単マニュアル onlyタフ レットフィルタリンク ( ファイナルスマホセキュリティ ) のインストール onlyタフ レットフィルタリンク ( ファイナルスマホセキュリティ ) の初期設定 onlyタフ レットフィルタリンク ( ファイナルスマホセキュリティ ) の使い方 ( ブラウザ ) onlyタフ レットフィルタリンク

More information

1. 概要 この章では HDE Controller X LG Edition をお使いの方に向けて LGWAN 接続に特化した設定の説明をします HDE Controller X LG Edition 以外の製品をご利用のお客様はこの章で解説する機能をお使いになれませんのでご注意ください 452

1. 概要 この章では HDE Controller X LG Edition をお使いの方に向けて LGWAN 接続に特化した設定の説明をします HDE Controller X LG Edition 以外の製品をご利用のお客様はこの章で解説する機能をお使いになれませんのでご注意ください 452 HDE Controller X 1-36. LGWAN の設定 1. 概要 この章では HDE Controller X LG Edition をお使いの方に向けて LGWAN 接続に特化した設定の説明をします HDE Controller X LG Edition 以外の製品をご利用のお客様はこの章で解説する機能をお使いになれませんのでご注意ください 452 HDE Controller X ユーザーマニュアル

More information

Microsoft Word - Gmail-mailsoft設定2016_ docx

Microsoft Word - Gmail-mailsoft設定2016_ docx 全学 Gmail メールソフト設定方法 総合情報メディアセンター情報基盤部門 2016 年 6 月 1 日 はじめに 1 1 Gmail との連携を有効にする 2 2 Gmail にて POP または IMAP を有効にする 3 3 アカウントでの設定 5 4 メールソフトへの設定 7 5 設定例 :Windows メールのアカウント追加手順 9 6 設定例 :Windows メールのアカウント追加手順

More information

Microsoft Word - PCOMM V6.0_FAQ.doc

Microsoft Word - PCOMM V6.0_FAQ.doc 日本 IBM システムズ エンジニアリング メインフレーム サーバー部 2012 年 3 月 目次 1 サポートされる環境について... 3 1.1 接続先ホスト (System z, IBM i) の OS のバージョンに制約がありますか?... 3 1.2 PCOMM を導入する PC のスペックの推奨はありますか?... 3 1.3 PCOMM は Windows 7 に対応していますか?...

More information

<31305F F C815B82C582CC91808DEC8EE88F878F A5F56322E342E786C7378>

<31305F F C815B82C582CC91808DEC8EE88F878F A5F56322E342E786C7378> USB キーでの操作手順書 STR 目次 目次 -------------------------------------------------------------------------------------- 1. パッケージをご利用いただくまでの手順 1 (1) ユーザ専用ページから 該当パッケージをダウンロードする 手順 2 (2) 該当パッケージをインストールする 手順 5 (3)

More information

本文中の記号の意味 本文中で使用している記号の意味について以下に示します システムの操作上または処理の手続き上において 特に注意していただきたい事項を記載しています 記載内容を必ずお読みください システムの操作上または処理の手続き上において 参考にしていただきたい事項を記載しています 必要に応じてお

本文中の記号の意味 本文中で使用している記号の意味について以下に示します システムの操作上または処理の手続き上において 特に注意していただきたい事項を記載しています 記載内容を必ずお読みください システムの操作上または処理の手続き上において 参考にしていただきたい事項を記載しています 必要に応じてお 電子証明書の更新手順書 平成 26 年 10 月版 社会保険診療報酬支払基金都道府県国民健康保険団体連合会 本文中の記号の意味 本文中で使用している記号の意味について以下に示します システムの操作上または処理の手続き上において 特に注意していただきたい事項を記載しています 記載内容を必ずお読みください システムの操作上または処理の手続き上において 参考にしていただきたい事項を記載しています

More information

1 はじめに はじめに メールシステムの切り替えについて お問い合わせ窓口 メールソフト設定の前に (OUTLOOK2010 および 2007) OUTLOOK のバージョン確認 WINDOWS

1 はじめに はじめに メールシステムの切り替えについて お問い合わせ窓口 メールソフト設定の前に (OUTLOOK2010 および 2007) OUTLOOK のバージョン確認 WINDOWS Office365 Outlook クライアント 教職員向け操作手順書 1 1 はじめに... 3 1.1 はじめに... 3 1.2 メールシステムの切り替えについて... 3 1.3 お問い合わせ窓口... 3 2 メールソフト設定の前に (OUTLOOK2010 および 2007)... 4 2.1 OUTLOOK のバージョン確認... 4 2.2 WINDOWS UPDATE を実施する場合の注意点...

More information

登録手順 1 の 2 Microsoft Outlook 2010 スタートアップ 参考 スタートアップ画面が表示されない場合 Microsoft Outlook 2010 の起動画面から [ ファイル ] タブを選択し [ 情報 ] をクリックします [ アカウント設定 ] [ アカウント設定 (

登録手順 1 の 2 Microsoft Outlook 2010 スタートアップ 参考 スタートアップ画面が表示されない場合 Microsoft Outlook 2010 の起動画面から [ ファイル ] タブを選択し [ 情報 ] をクリックします [ アカウント設定 ] [ アカウント設定 ( Microsoft Outlook 2010 編 本書では Microsoft Outlook 2010 の設定方法を説明します 目次 P1 1 Microsoft Outlook 2010 の起動 P1 2 メールアカウントの登録 P10 3 メールアカウント設定の確認 P16 4 接続ができない時には ( 再設定 ) P18 5 設定の変更をしていないのに メールが送受信できなくなった P19

More information

POWER EGG2.0 Ver2.8 スタートアップガイド ~Webデータベース 応用編~

POWER EGG2.0 Ver2.8 スタートアップガイド ~Webデータベース 応用編~ POWER EGG2.0 Ver2.8 スタートアップガイド ~ Web データベースの作成応用編 ~ 第 1 版 2016 年 3 月ディサークル株式会社 改版履歴 版数 改版年月日 備考 1.0 2016/03/04 初版 (POWER EGG2.0 Ver2.8 版 ) 目次 はじめに... 1 第 1 章データベース間の連携設定... 2 1-1 WebDB 間連携項目フィールドの作成...

More information

Microsoft Active Directory用およびMicrosoft Exchange用Oracle Identity Connector

Microsoft Active Directory用およびMicrosoft Exchange用Oracle Identity Connector Oracle Identity Manager Connector データシート 2008 年 9 月 Microsoft Active Directory 用および Microsoft Exchange 用 Oracle Identity Connector 利点とおもな機能 OIM Connector for Microsoft Active Directory User & Group Management

More information

下位互換サポートの注意点 下位互換サポートにはいくつか注意点があります 1. 全体的な注意点 と 利用する製品の注意点 最 後に 8. そのほかの注意点 をすべて確認してください 1. 全体的な注意点 ライセンスキーの登録 ( 重要 ) Arcserve Backup r17 からライセンスの登録モ

下位互換サポートの注意点 下位互換サポートにはいくつか注意点があります 1. 全体的な注意点 と 利用する製品の注意点 最 後に 8. そのほかの注意点 をすべて確認してください 1. 全体的な注意点 ライセンスキーの登録 ( 重要 ) Arcserve Backup r17 からライセンスの登録モ Arcserve Backup r17 下位互換サポート 2016/03/03 下位互換サポートについて Arcserve Backup は 同一バージョン間だけではなく 下位バージョンのエージェント製品を利用できます 下位互換を利用することで バージョンアップができない環境や アップグレードに時間がかかる環境において バックアップ運用の継続ができます 下位互換とは バックアップサーバとなる Arcserve

More information

Microsoft Word - Qsync設定の手引き.docx

Microsoft Word - Qsync設定の手引き.docx 使用の手引き Qsync はまるごと QNAP で作動するクラウドベースのファイル同期サービスです ローカルの Qsync フォルダにファイルを追加するだけで ファイルはまるごと QNAP およびそれに接続されたすべてのデバイスで利用できるようになります Qsync を使用する前に Qsync を配置する前に 以下の 3 つのステップに従ってください 1. まるごと QNAP でユーザーアカウントを作成する

More information

コースの目標 このコースを修了すると 下記のことができるようになります : 1. WebDAV の基本的理解を深める 2. WebDAV 経由で ASUSTOR NAS に接続する 前提条件 受講前提条件 : なし 次の項目についての知識を持つ受講生を対象としています :s 該当なし 概要 1. W

コースの目標 このコースを修了すると 下記のことができるようになります : 1. WebDAV の基本的理解を深める 2. WebDAV 経由で ASUSTOR NAS に接続する 前提条件 受講前提条件 : なし 次の項目についての知識を持つ受講生を対象としています :s 該当なし 概要 1. W NAS 208 WebDAV FTP への安全なファイル共有代替手段 WebDAV 経由で NAS に接続する A S U S T O R C O L L E G E コースの目標 このコースを修了すると 下記のことができるようになります : 1. WebDAV の基本的理解を深める 2. WebDAV 経由で ASUSTOR NAS に接続する 前提条件 受講前提条件 : なし 次の項目についての知識を持つ受講生を対象としています

More information

MIRACLE System Savior操作手順書

MIRACLE System Savior操作手順書 バックアップ / リストア作業手順書 Copyright 2000-2013 MIRACLE LINUX CORPORATION All rights reserved Ver.1.1 変更履歴日付 作成者 Revision 対象 変更内容 2013/07/02 青山雄一 1.0 全体 初版作成 2013/12/27 青山雄一 1.1 全体 V2R4 対応 Copyright 2000-2013 MIRACLE

More information

DigiCert EV コード署名証明書 Microsoft Authenticode署名手順書

DigiCert EV コード署名証明書 Microsoft Authenticode署名手順書 DigiCert EV コード署名証明書 Microsoft Authenticode 署名手順書 2015/07/31 はじめに! 本手順書をご利用の前に必ずお読みください 1. 本ドキュメントは Windows の環境下で DigiCert の EV コード署名証明書をご利用いただく際の署名手順について解説するドキュメントです 2. 本ドキュメントの手順は Microsoft Windows7

More information

ESET Mobile Security for Android V1.1 セットアップ手順

ESET Mobile Security for Android V1.1 セットアップ手順 ESET Mobile Security for Android V1.1 セットアップ手順 キヤノン IT ソリューションズ株式会社最終更新日 2016/12/08 1 目次 1. はじめに... 3 2. ESET Mobile Security for Android V1.1 のインストール... 4 3. ESET Mobile Security for Android V1.1 のアンインストール...

More information

スライド 1

スライド 1 旧設定サイトからの パスワード引継ぎ 操作ガイド 平成 2 8 年東日本電信電話株式会社 もくじ 旧設定サイトからパスワード引継ぎ P1 旧設定サイトへ接続 P6 ひかり電話設定サイトから旧設定サイトへの接続方法 P7 ご利用上の注意事項 P8 ひかり電話設定サイトとは ひかり電話設定サイトとは パソコンなどからひかり電話 / ひかり電話オフィスタイプ / ひかり電話オフィス A( エース ) における

More information

登録手順 2 アカウントの登録 追加 インターネットアカウント画面が表示されます [ 追加 (A)] [ メール (M)] の順にクリックします 登録手順 3 表示名の設定 インターネット接続ウィザードが表示されます [ 表示名 (D)] に名前を入力します 入力が完了したら [ 次へ (N)] を

登録手順 2 アカウントの登録 追加 インターネットアカウント画面が表示されます [ 追加 (A)] [ メール (M)] の順にクリックします 登録手順 3 表示名の設定 インターネット接続ウィザードが表示されます [ 表示名 (D)] に名前を入力します 入力が完了したら [ 次へ (N)] を Outlook Express 編 本書では Outlook Express の設定方法を説明します 目次 P1 1 Outlook Express の起動 P1 2 メールアカウントの登録 P8 3 メールアカウント設定の確認 P12 4 接続ができない時には ( 再設定 ) P14 5 設定の変更をしていないのに メールが送受信できなくなった P15 6 メール送信形式の設定 1 Outlook

More information

ヴィスタ2.1 features & benefits

ヴィスタ2.1 features & benefits 株式会社アマデウス ジャパン 2014 年 4 月 Page2 Step 1-Internet Explorer の起動 1. Internet Explorer を起動します OS が Windows Vista/Windows7 の場合 [ スタート ]-[ すべてのプログラム ]-[Internet Explorer] を右クリックし 管理者として実行 で起動します 64 ビット OS の場合

More information

2. サポートプラットフォーム Pulse Secure MAG でサポートされる OS 及びブラウザを以下に記載します OS ブラウザ WindowsXP SP3 32bit or 64bit Internet Explorer 7.0 以降 Windows Vista 32bit or 64bi

2. サポートプラットフォーム Pulse Secure MAG でサポートされる OS 及びブラウザを以下に記載します OS ブラウザ WindowsXP SP3 32bit or 64bit Internet Explorer 7.0 以降 Windows Vista 32bit or 64bi 目次 1. はじめに... 1 2. サポートプラットフォーム... 2 3. KOTO ユーザから WINDOWS MAC 端末でのログイン方法... 2 4. STU ユーザから WINDOWS MAC 端末でのログイン方法... 5 5. IPHONE,IPAD からのログイン方法... 7 1. はじめに Pulse Secure MAG アプライアンスでの SSL-VPN 接続方法について説明します

More information

2 組織アカウントを作成する 組織アカウントについて Office 365 などの Microsoft のオンラインサービスを使用するには 組織の管理者およびユーザーは 組織アカウントを使用して サービスにサインインする必要があります 新しいオンラインサービスのアクティブ化を行う際 組織アカウントを

2 組織アカウントを作成する 組織アカウントについて Office 365 などの Microsoft のオンラインサービスを使用するには 組織の管理者およびユーザーは 組織アカウントを使用して サービスにサインインする必要があります 新しいオンラインサービスのアクティブ化を行う際 組織アカウントを 2014 年 11 月 組織アカウントを作成する このガイドは 組織アカウントを作成し 組織内のユーザーが業務で Microsoft のオンラインサービスにサインインできるように設定する必要がある管理者を対象としています このガイドでは アクティブ化が必要なオンラインサービスのサブスクリプションを購入済みであることを前提として説明します このガイドのトピック : 組織アカウントについて 新規の組織アカウントを作成する

More information

Microsoft Word - Build3264Project.doc

Microsoft Word - Build3264Project.doc 32bit 用インストーラと 64Bit 用インストーラを同一のプロジェクトで作成する 注 ) このドキュメントは InstallShield 2011 Premier Edition を基に作成しています InstallShield 2011 以外のバージョンでは設定名などが異なる場合もあります 概要 MSI 形式インストーラでは Windows Installer の仕様により 32Bit 環境と

More information

目次 第 1 章はじめに 電子入札システムを使用するまでの流れ 1 第 2 章 Java ポリシーを設定する前に 前提条件の確認 2 第 3 章 Java のバージョンについて Java バージョン確認方法 Java のアンインストール ( ケース2の

目次 第 1 章はじめに 電子入札システムを使用するまでの流れ 1 第 2 章 Java ポリシーを設定する前に 前提条件の確認 2 第 3 章 Java のバージョンについて Java バージョン確認方法 Java のアンインストール ( ケース2の 電子入札サービス IC カードを利用しない事業者向け Java ポリシー設定マニュアル (Windows10 用 ) 平成 28 年 6 月 目次 第 1 章はじめに 1 1.1 電子入札システムを使用するまでの流れ 1 第 2 章 Java ポリシーを設定する前に 2 2.1 前提条件の確認 2 第 3 章 Java のバージョンについて 4 3.1 Java バージョン確認方法 4 3.2 Java

More information

Windows10 の設定

Windows10 の設定 Windows0 の設定 奈良県公共工事等電子入札システムではこの度 Windows 0 を推奨環境に追加しました Windows0 でスムーズにご利用いただくためには各設定が必要となります また 奈良県公共工事等電子入札システム以外でも利用されている場合は他機関のパソコン推奨環境でも適合していることを必ずご確認の上導入頂きます様お願いいたします Windows 0 Internet Explorer

More information

目次 1. はじめに 本資料の目的 前提条件 Kaspersky Update Utility スタンドアロン端末での定義 DB 更新 定義 DB のダウンロード (Kaspersky Update Ut

目次 1. はじめに 本資料の目的 前提条件 Kaspersky Update Utility スタンドアロン端末での定義 DB 更新 定義 DB のダウンロード (Kaspersky Update Ut Kaspersky Endpoint Security 10 オフライン環境下での定義 DB アップデート 2016/09/27 株式会社カスペルスキー法人営業本部セールスエンジニアリング部 Ver 1.0 1 目次 1. はじめに... 3 1.1. 本資料の目的... 3 1.2. 前提条件... 3 1.3. Kaspersky Update Utility... 4 2. スタンドアロン端末での定義

More information

1-2. Yahoo! JAPAN ID を確認, 記録する 認証に成功すると Yahoo! メールのページが表示されます 画面上部に Yahoo! JAPAN ID が表示さ れていますので, これを記録してください ( 例では xxxxx999 となっています ) Yahoo! JAPAN ID

1-2. Yahoo! JAPAN ID を確認, 記録する 認証に成功すると Yahoo! メールのページが表示されます 画面上部に Yahoo! JAPAN ID が表示さ れていますので, これを記録してください ( 例では xxxxx999 となっています ) Yahoo! JAPAN ID Outlook(Office365 システム ) での過去メール保存方法 Office365 システムのウェブメーラー Outlook を用いたメールの保存方法について説明します ( 注 ) 説明には Windows10 Pro + Edge(20.10240.16384.0) を用いています ブラウザの種類やバージョン によっては表示が異なる場合がありますのでご注意ください ( 注 ) 前生涯メールシステム

More information

Community Edition日本語インストール ガイド

Community Edition日本語インストール ガイド Community Edition 日本語インストール ガイド ドキュメント番号 : GUIDE-install-21040501 バージョン : 1.0 発行日 : 2014/05/01 目次 1. はじめに... 1 2. インストールする前に必要な環境の確認... 1 2.1. ハードウェア... 1 2.2. インターネットブラウザ... 1 2.3. Java Virtual Machines

More information

flashplayer確認手順_ xls

flashplayer確認手順_ xls それでもうまくいかない場合 ShockWave Player について ShockWave Player がインストールされていると Flash Player のインストールが正常に行われない場合があります ShockWave Player がインストールされている場合は Flash Player を削除し Flash Player の再インストールする前に 一時的に ShockWave Player

More information

1.InternetExplorer のバージョン確認手順 1 InternetExplorer を起動します 2 メニューバーより ヘルプ バージョン情報 を選択します メニューバーが表示されていない場合は F10 キーでメニューバーを表示してください 2

1.InternetExplorer のバージョン確認手順 1 InternetExplorer を起動します 2 メニューバーより ヘルプ バージョン情報 を選択します メニューバーが表示されていない場合は F10 キーでメニューバーを表示してください 2 作業を始める前に 作業実施の前提条件として お使いのパソコンが以下の環境の場合に作業が必要となります 他の環境の場合は作業を実施する必要はございません 対象の OS( オペレーティングシステム ) Windows7 WindowsXP をおつかいの教室につきましては作業の必要はありません 対象の InternetExplorer バージョン InternetExplorer8 バージョン確認方法につきましては

More information

9.pdf

9.pdf スタティック NAT とダイナミック NAT の同時設定 目次 概要前提条件要件使用するコンポーネント表記法 NAT の設定関連情報 概要 Cisco ルータでスタティックとダイナミックの両方の Network Address Translation(NAT; ネットワークアドレス変換 ) コマンドを設定する必要がある場合があります このテックノートでは これを行う方法とサンプルシナリオを掲載しています

More information

Microsoft® Windows® Server 2008/2008 R2 の Hyper-V 上でのHP ProLiant用ネットワークチーミングソフトウェア使用手順

Microsoft® Windows® Server 2008/2008 R2 の Hyper-V 上でのHP ProLiant用ネットワークチーミングソフトウェア使用手順 Microsoft Windows Server 2008/2008 R2 の Hyper-V 上での HP ProLiant 用ネットワークチーミングソフトウェア使用手順 設定手順書第 4 版 はじめに...2 ソフトウェア要件...2 インストール手順...2 チーミングソフトウェアのアンインストール...3 HP Network Teamの作成...5 HP Network Teamの解除...10

More information

目次はじめに 必要システム環境 インストール手順 インストール前の注意点 インストールの準備 (.NET Framework3.5 SP1 のインストール ) ライセンスの登録 初期設定情報の入力... 8

目次はじめに 必要システム環境 インストール手順 インストール前の注意点 インストールの準備 (.NET Framework3.5 SP1 のインストール ) ライセンスの登録 初期設定情報の入力... 8 一括請求 Assist 操作マニュアル インストール編 第 1.7 版 目次はじめに...3 1 必要システム環境...4 2 インストール手順...5 2.1 インストール前の注意点... 5 2.2 インストールの準備 (.NET Framework3.5 SP1 のインストール )... 5 2.3 ライセンスの登録... 8 2.4 初期設定情報の入力... 8 2.5 インストール先の選択...

More information

Microsoft Word - JRE_Update_6.doc

Microsoft Word - JRE_Update_6.doc WebSAM DeploymentManager (HP-UX) における Java 2 Runtime Environment の更新について Rev.6 2008 年 4 月 NEC 本文書では WebSAM DeploymentManager (HP-UX) をご使用のお客様におきまして Java 2 Runtime Environment を更新する際の手順についてお知らせいたします Java

More information

Windows Small Business Server 2011 Essentialsバックアップ容量節減ガイド

Windows Small Business Server 2011 Essentialsバックアップ容量節減ガイド Windows Small Business Server 2011 Essentials バックアップ容量節減ガイド 2011 年 6 月 富士通株式会社 改訂履歴 改版日時版数改版内容 2011.6.15 1.0 新規作成 本書では 以下の略称を使用することがあります 正式名称 略称 製品名 Microsoft Windows Small Business Server 2011 Essentials

More information

intra-mart Accel Platform

intra-mart Accel Platform 目次目次 Copyright 2014 NTT DATA INTRAMART CORPORATION クイック検索検索 1 Top 目次 改訂情報はじめに本書の目的対象読者本書の構成概要 OAuthとは で提供している認証フロー認可コードによる認可インプリシットグラントアクセストークンの更新 で提供しているエンドポイントアクセストークンの有効期限と更新方法アクセストークンの有効期限の設定方法 2 改訂情報

More information

SSL サムプリントの検証 SSL サムプリントの検証はリモートユーザーがホストの信頼性を検証するために使用します この検証はリモートとホスト間の接続の安全性を確立して MITM 攻撃から保護するために実行する必要があります デフォルトで リモートユーザーが TCP/IP を使用してホストに接続しよ

SSL サムプリントの検証 SSL サムプリントの検証はリモートユーザーがホストの信頼性を検証するために使用します この検証はリモートとホスト間の接続の安全性を確立して MITM 攻撃から保護するために実行する必要があります デフォルトで リモートユーザーが TCP/IP を使用してホストに接続しよ Symantec pcanywhere のセキュリティ対策 ( ベストプラクティス ) この文書では pcanywhere 12.5 SP4 および pcanywhere Solution 12.6.7 で強化されたセキュリティ機能と これらの主要な強化機能が動作するしくみ およびセキュリティリスクを低減するためのいくつかの手順について説明します SSL ハンドシェイクと TCP/IP の暗号化現在

More information

Polycom RealPresence Content Sharing Suite クイックユーザガイド、バージョン 1.4

Polycom RealPresence Content Sharing Suite クイックユーザガイド、バージョン 1.4 Polycom RealPresence Content Sharing Suite クイックユーザガイド バージョン 1.4 3725-03261-003 Rev.A 2014 年 12 月 このガイドでは Polycom RealPresence Content Sharing Suite (CSS) が導入されている環境での会議通話時に コンテンツを共有および表示する方法について説明します Microsoft

More information

hTc Z バックアップ手順書 (Ver.1.1)

hTc Z バックアップ手順書 (Ver.1.1) htc Z バックアップ手順書 1. htc Z バックアップ手順について [ はじめに ] P2 [ STEP1 ] 同期できる項目 P4 [ STEP2 ] 事前の準備 P5 (1) 事前準備物 P5 (2) パソコン環境の確認 P5 [ STEP3 ] 必要なアプリケーションのインストール P6 [ STEP4 ] ソフトウェア更新前のデータをバックアップする P7-P9 (1) ActiveSync

More information

Oracle Secure Enterprise Search 10gを使用したセキュアな検索

Oracle Secure Enterprise Search 10gを使用したセキュアな検索 Oracle Secure Enterprise Search 10g 2006 3 Oracle Secure Enterprise Search 10g... 3... 3... 3... 4 Oracle Internet Directory... 4 Microsoft Active Directory... 5... 5 1... 5 2... 6 3 ACL... 6 4 ACL...

More information

すだちくんメール法人(所属設定職員管理)_docx

すだちくんメール法人(所属設定職員管理)_docx すだちくんメール 法 管理マニュアル 所属設定 職員管理所属設定 職員管理 第 1 版 作成日 2015 年 12 月 7 日 最終更新日 2015 年 12 月 7 日 目次 概要... 2 法人管理画面... 3 ログイン... 3 所属名称管理... 5 所属 (1 階層目 ) の新規登録... 5 所属 (2 階層目以降 ) の新規登録... 6 CSV ファイルを使用した所属の一括登録...

More information

Windows Server 2003 Service Pack 適用手順書

Windows Server 2003 Service Pack 適用手順書 CLUSTERPRO X for Windows Windows Server 2008 Service Pack 適用手順書 第 1 版 2009 年 6 月 23 日 本手順書では CLUSTERPRO X 2.0/2.1 環境における Windows Server 2008 Service Pack 2 の適用方法を説明します 以降 特に記述のない場合 Service Pack は Windows

More information

Control Manager 6.0 Service Pack 3 System Requirements

Control Manager 6.0 Service Pack 3 System Requirements トレンドマイクロ株式会社は 本書および本書に記載されている製品を予告なしに変更する権利を有しています ソフトウェアをインストールして使用する前に Readme ファイル リリースノート および最新のユーザドキュメントを確認してください これらは 次のトレンドマイクロ Web サイトから入手できます http://downloadcenter.trendmicro.com/index.php?regs=jp

More information

改訂履歴 項番版数変更理由変更箇所作成日備考 初版 分冊化 事前準備編 Internet Explorer 版 事前準備編 Netscape 版 操作手順編 ベンダサポート終了 2.2 WinNT サポート終了 新規サポート

改訂履歴 項番版数変更理由変更箇所作成日備考 初版 分冊化 事前準備編 Internet Explorer 版 事前準備編 Netscape 版 操作手順編 ベンダサポート終了 2.2 WinNT サポート終了 新規サポート 公的個人認証サービスオンライン窓口利用者マニュアル 事前準備編 Internet Explorer 版 1.8 版 公的個人認証サービス指定認証機関 地方公共団体情報システム機構 改訂履歴 項番版数変更理由変更箇所作成日備考 1 1.0 - - 2004.1.27 初版 2 1.1 分冊化 - 2004.3.11 事前準備編 Internet Explorer 版 事前準備編 Netscape 版

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション 最近よくあるお問い合わせ 本マニュアルでは 最近よくあるお問い合わせの解決手順をまとめました 以下より 該当する現象を選択してください 2014.4.30 改定 ver. 目次 0. 必ずお読み下さい ユーザサポートツールが新しくなりました 2 1. 画面のリンクやボタン タブをクリックしても反応しない 3 2. ライセンス認証に失敗 受講画面が準備完了のまま 受講画面が真っ白 7 3. Windows8

More information

5.1. ホームページ登録 ホームページ URL を登録します ホームページ URL は基本契約で 1 個 (100MB) まで無料 2 個目以降は有料オプションサービス ( 月額 300 円 / 個 ) で追加登録が可能です (1) 左メニューの HP アカウント登録 リンクをクリックします (1

5.1. ホームページ登録 ホームページ URL を登録します ホームページ URL は基本契約で 1 個 (100MB) まで無料 2 個目以降は有料オプションサービス ( 月額 300 円 / 個 ) で追加登録が可能です (1) 左メニューの HP アカウント登録 リンクをクリックします (1 5. HP( ホームページ ) アカウント情報 ホームページアカウント情報では ホームページ URL の取得やパスワードの変更 ホームページ容量の追加 authid の設定など ホームページ URL に関する管理が行えます HP アカウント情報 にアクセスするには 世帯情報参照 画面で HP アカウント情報 のリンクをクリックします 新しくホームページ URL を取得する場合は 41 ページへ FTP

More information

1. ログイン 1. インターネットに接続をします 2. ご利用のブラウザー (Internet Explorer,Netscape など ) を起動し アドレスバーに https://webmail.gol.com ( www は不要 ) と入力します 3.Log-in 画面にお客様のユーザー I

1. ログイン 1. インターネットに接続をします 2. ご利用のブラウザー (Internet Explorer,Netscape など ) を起動し アドレスバーに https://webmail.gol.com ( www は不要 ) と入力します 3.Log-in 画面にお客様のユーザー I FUSION GOL ウェブメールご利用マニュアル 概要 ウェブメールとは? ウェブメールはインターネット接続ができる場所なら どこからでもご利用になれます ウェブメールでは下記のことがご利用可能です - メールの送受信 - ファイルの添付 - アドレス帳 - ホームページのブックマーク管理 - カレンダー機能 内容 1. ログイン A) 個人情報のデフォルト指定 2. ナビゲーションバー 3. メールの管理

More information

<30312E D F898AFA93B193FC8EE88F872E786C73>

<30312E D F898AFA93B193FC8EE88F872E786C73> WEB-EDI システム Ver.20130620 1/14 WEB-EDI システム初期セットアップ手順 > 2008/10/20 初稿 2009/8/28 補足追加 2009/9/15 誤字訂正 文言修正 2010/3/12 IE8 用設定に関する補足を追加 2010/9/15 自動構成スクリプトに関する補足を追加 よくあるお問合せ を追加 2010/4/16 セキュリティレベルの変更に補足追加

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション サインズホスティングサービス 簡易ユーザーマニュアル 管理者編 Plesk11 目次 1. 管理画面へのログイン 2. メールアドレスの追加 2-1. ホーム画面からメール設定画面への切り替え 2-2. メールアドレス追加の設定 2-3. メールの各種設定 全般 の設定 転送 の設定 メールエイリアス の設定 自動返信 の設定 スパムフィルタ の設定 アンチウィルス の設定 3. ウェブユーザの追加

More information

目次 第 1 章はじめに 取扱いについて 記載内容について... 6 第 2 章基本操作 OneNote Online を開く ノートブックを開く ノート ( セクション ) を作成する... 11

目次 第 1 章はじめに 取扱いについて 記載内容について... 6 第 2 章基本操作 OneNote Online を開く ノートブックを開く ノート ( セクション ) を作成する... 11 Office 365 OneNote Online - 利用マニュアル - 発行日 2015/09/01 1 目次 第 1 章はじめに... 5 1.1. 取扱いについて... 6 1.2. 記載内容について... 6 第 2 章基本操作... 7 2.1. OneNote Online を開く... 8 2.2. ノートブックを開く... 10 2.3. ノート ( セクション ) を作成する...

More information

概要 ABAP 開発者が SAP システム内の SAP ソースまたは SAP ディクショナリーオブジェクトを変更しようとすると 2 つのアクセスキーを入力するよう求められます 1 特定のユーザーを開発者として登録する開発者キー このキーは一度だけ入力します 2 SAP ソースまたは SAP ディクシ

概要 ABAP 開発者が SAP システム内の SAP ソースまたは SAP ディクショナリーオブジェクトを変更しようとすると 2 つのアクセスキーを入力するよう求められます 1 特定のユーザーを開発者として登録する開発者キー このキーは一度だけ入力します 2 SAP ソースまたは SAP ディクシ オンラインヘルプ :SAP ソフトウェア変更登録 (SSCR) キーの登録 目次 概要... 2 参考リンク... 3 アプリケーションの起動... 4 アプリケーションとメインコントロールの概要... 5 キーリストのカスタマイズ... 7 リストのフィルタリング... 7 表のレイアウトのカスタマイズ... 8 新しい開発者の登録... 10 新しいオブジェクトの登録... 12 特定のインストレーションから別のインストレーションに個々の

More information

1. はじめに 1.1. Office365 ProPlus ライセンスについて 九州産業大学に在籍中の学生 教職員の方は Office365 ProPlus のライセンスを 1 つ保持しています 1 つの Office365 ライセンスで Office365 ProPlus( 最新版の Offic

1. はじめに 1.1. Office365 ProPlus ライセンスについて 九州産業大学に在籍中の学生 教職員の方は Office365 ProPlus のライセンスを 1 つ保持しています 1 つの Office365 ライセンスで Office365 ProPlus( 最新版の Offic [ 目次 ] Office365 ProPlus インストール手順 (Android) 1. はじめに... 2 1.1. Office365 ProPlus ライセンスについて... 2 1.2. インストール環境について... 2 1.3. パスワードについて... 2 2. Office365 ポータルへのサインイン / サインアウト手順... 3 2.1. Office365 ポータルへのサインイン...

More information

システム必要条件 - SAS Add-In 7.1 for Microsoft Office

システム必要条件 -  SAS Add-In 7.1 for Microsoft Office 94E196 システム必要条件 SAS Add-In 7.1 for Microsoft Office 標準インストール プラットフォーム 必要なインストール容量 推奨する最小限のRAM Microsoft Windows 400 MB 2 GB Microsoft Windows x64 400 MB 2 GB サポートしているオペレーティングシステム SAS Add-In for Microsoft

More information

Keysight Software Manager (KSM)でのライセンス発行手続きについて

Keysight Software Manager (KSM)でのライセンス発行手続きについて Keysight Software Manager (KSM) でのライセンス発行手続きについて EDA Technical Support Japan Codeword Center Updated August 1, 2014 ご自身による簡単な操作で Keysight 製品のライセンスを 即時に発行することができます Contents Keysight Software Management

More information

<4D F736F F F696E74202D F938C8B9E979D89C891E58A77976C5F91B28BC690B68CFC82AF E67654F6E6C696E B B837D836A B5F76312E322E707074>

<4D F736F F F696E74202D F938C8B9E979D89C891E58A77976C5F91B28BC690B68CFC82AF E67654F6E6C696E B B837D836A B5F76312E322E707074> メール / スケジュールユーザーマニュアル for WEB (IE Firefox) 2014 年 01 月 20 日初版 2014 年 02 月 10 日二版 INDEX 1. サインイン 1.1. Office 365 へのサインイン 1.2. パスワードを忘れたときは 2. メール 2.1. 受信したメールを確認する 2.2. メールを新規作成して送信する 2.3. ファイルを添付する 2.4.

More information

目次 本書の取り扱いについて... 3 事前準備... 4 MultiPoint Server 2011 OEM 版のインストール (OS リカバリー用のディスク領域を使う場合の起動方法 )... 5 MultiPoint Server 2011 OEM 版のインストール (OS リカバリー用のメデ

目次 本書の取り扱いについて... 3 事前準備... 4 MultiPoint Server 2011 OEM 版のインストール (OS リカバリー用のディスク領域を使う場合の起動方法 )... 5 MultiPoint Server 2011 OEM 版のインストール (OS リカバリー用のメデ Windows MultiPoint Server 2011 OEM 版インストールガイド 2012.06 目次 本書の取り扱いについて... 3 事前準備... 4 MultiPoint Server 2011 OEM 版のインストール (OS リカバリー用のディスク領域を使う場合の起動方法 )... 5 MultiPoint Server 2011 OEM 版のインストール (OS リカバリー用のメディアを使う場合の起動方法

More information

目次 1. はじめに 本書の背景と目的 Office365 ProPlus 利用条件 Office365 ProPlus 利用許諾の同意 利用者メニューにログイン Office365 ProPlus 利用

目次 1. はじめに 本書の背景と目的 Office365 ProPlus 利用条件 Office365 ProPlus 利用許諾の同意 利用者メニューにログイン Office365 ProPlus 利用 Office365 利用権申請手順書 2017 年 3 月 28 日 東京大学情報システム本部 目次 1. はじめに... 2 1.1. 本書の背景と目的... 2 1.2. Office365 ProPlus 利用条件... 2 2. Office365 ProPlus 利用許諾の同意... 4 2.1. 利用者メニューにログイン... 4 2.2. Office365 ProPlus 利用許諾を確認し同意を行う...

More information

目次 目次... 本書の見かた... 商標について... 重要なお知らせ... はじめに... 4 概要... 4 使用環境について... 5 サポートされている OS... 5 ネットワーク設定... 5 印刷... 8 ipad iphone ipod touch から印刷する... 8 OS

目次 目次... 本書の見かた... 商標について... 重要なお知らせ... はじめに... 4 概要... 4 使用環境について... 5 サポートされている OS... 5 ネットワーク設定... 5 印刷... 8 ipad iphone ipod touch から印刷する... 8 OS AirPrint ガイド 本ガイドは 次のモデルを対象としています DCP-J40N MFC-J470N/J560CDW/J570CDW/J580DN 目次 目次... 本書の見かた... 商標について... 重要なお知らせ... はじめに... 4 概要... 4 使用環境について... 5 サポートされている OS... 5 ネットワーク設定... 5 印刷... 8 ipad iphone ipod

More information

7 ページからの操作手順 (2 ご利用開始の手順 ) で登録したメールアドレス宛に メール通知パスワードが送信されます メール通知パスワードを確認ください ➎ トークン発行 が表示されます [ ワンタイムパスワード申請内容選択へ ] ボタンを押します 登録した携帯電話にメールが送信されます ワンタイ

7 ページからの操作手順 (2 ご利用開始の手順 ) で登録したメールアドレス宛に メール通知パスワードが送信されます メール通知パスワードを確認ください ➎ トークン発行 が表示されます [ ワンタイムパスワード申請内容選択へ ] ボタンを押します 登録した携帯電話にメールが送信されます ワンタイ (1) ワンタイムパスワードの申請 ワンタイムパスワードとは? ワンタイムパスワードとは 携帯電話アプリにて 1 分間ごとに表示されるパスワードのことです 1 分間に 1 回パスワードが変更となり 第三者へ搾取されることが防げるため 非常に高いセキュリティを保つことが可能です インターネットバンキング利用画面へログイン ( 接続 ) するときに使用いたします お手元に携帯電話をご用意していただき ワンタイムパスワードを申請する手続きを行ってください

More information

Net'Attest EPS設定例

Net'Attest EPS設定例 Net Attest EPS 設定例 連携機器 : Cisco Aironet1140 Case:TLS 方式での認証 Version 1.1 株式会社ソリトンシステムズ Net'Attest は 株式会社ソリトンシステムズの登録商標です その他 本書に掲載されている会社名 製品名は それぞれ各社の商標または登録商標です 本文中に は明記していません Copyright 2010, Soliton

More information

目次 1. はじめに ライセンス証書の受領 ライセンス証書に含まれる内容 環境前提条件 準備 インストール環境の確認 ファイル インストール インストール後の Dr

目次 1. はじめに ライセンス証書の受領 ライセンス証書に含まれる内容 環境前提条件 準備 インストール環境の確認 ファイル インストール インストール後の Dr Dr.Web Server Security Suite Dr.Web Anti-virus for Windows Servers Ver.10 インストールガイド 株式会社 Doctor Web Pacific 初版 : 2015/02/23 改訂 : 目次 1. はじめに... 3 1.1 ライセンス証書の受領... 3 1.2 ライセンス証書に含まれる内容... 3 2. 環境前提条件...

More information

情報通信の基礎

情報通信の基礎 情報通信の基礎 2016 年 5 月 19 日 ( 木 ) 第 4 回授業 1 本日の予定 グローバルIPアドレスとプライベートIPアドレス DHCPサーバ (IPアドレスの自動割り当て等) DNSサーバ ( 名前解決 ) MACアドレス ARP( アドレス解決プロトコル ) ネットワークの階層モデル アプリケーションを識別するポート番号 2 TCP/IP (Transmission Control

More information

内容 専用アプリケーションをインストールする... 3 アカウントを設定する... 5 ファイル フォルダをアップロードする... 8 ファイル フォルダをダウンロードする 専用アプリケーションをアンインストールする 転送状態 ( ファイルアップロード進捗状況 ) を確認する

内容 専用アプリケーションをインストールする... 3 アカウントを設定する... 5 ファイル フォルダをアップロードする... 8 ファイル フォルダをダウンロードする 専用アプリケーションをアンインストールする 転送状態 ( ファイルアップロード進捗状況 ) を確認する ServersMan@Disk Windows 版専用アプリケーション操作マニュアル 1 内容 専用アプリケーションをインストールする... 3 アカウントを設定する... 5 ファイル フォルダをアップロードする... 8 ファイル フォルダをダウンロードする... 11 専用アプリケーションをアンインストールする... 12 転送状態 ( ファイルアップロード進捗状況 ) を確認する... 14

More information

7 PIN 番号入力後 以下のアプレットエラーが表示されます 署名検証が失敗しました 署名検証が行なわれませんでした 8 PIN 番号入力後 以下のアプレットエラーが表示されます APPLET-ERROR APPLET-ERROR APPL

7 PIN 番号入力後 以下のアプレットエラーが表示されます 署名検証が失敗しました 署名検証が行なわれませんでした 8 PIN 番号入力後 以下のアプレットエラーが表示されます APPLET-ERROR APPLET-ERROR APPL 1 電子入札システムは何分でタイムアウトになりますか? 最後にサーバーと通信してから 10 分でタイムアウトになります 2 作業中に稼働時間を過ぎた場合はどうなりますか? システム稼動時間を過ぎると予告なくシステムを停止する場合があります 時間前に作業を完了するようにして下さい 3 画面上部中央に日付 時間が表示されない ( 日付 時間の表示部分が 読込み中のまま 灰色のまま X( 赤色 ) など

More information

Inet-Builder Client 操作説明書

Inet-Builder Client 操作説明書 Inet Builder Inet-Builder CLIENT (Windows7 10/IE9 10 11) セットアップ説明書 目次 1.I 推奨動作環境 3 2.Inet-Builder Client セットアップ 3 2-1.Internet Explorer の起動 3 2-2.Inet-Builder Client のダウンロードおよびセットアップ 4 2-3.Inet-Builder

More information