OT_APM_easy_Setup12.1_j.pdf - PDF 無料ダウンロード

BIG-IP APM ネットワークアクセスかんたんセットアップガイド (v12.1.0 対応 ) 初級編 & 中級編 F5 Networks Japan PEOLD V2.0

目次 1. はじめに... 4 1.1. APM ネットワークアクセス動作概要... 4 2. スタンドアローン... 5 2.1. スタンドアローンイメージ... 5 2.2. スタンドアローンのネットワークサンプル... 6 3. 初期設定... 7 3.1.1. 管理ポートへの GUI アクセス... 7 4. ネットワーク設定... 12 4.1. VLAN の作成... 12 4.2. Self IP の設定... 14 4.3. ルーティングの設定... 16 4.3.1. デフォルトゲートウェイの設定... 16 4.3.2. オフィス内サーバへのルーティング設定... 16 5. 初級編... 18 5.1. ウィザードを使って設定する方法... 18 5.2. クライアントからのアクセス... 25 5.2.1. Windows の Web ブラウザからのアクセス... 25 5.3. SSL サーバ証明書の設定... 27 5.3.1. PEOLD で利用するサーバ証明書... 27 5.3.2. 秘密鍵とサーバ証明書のインポート... 28 5.3.3. Client SSL Profile の生成と VS への割当て... 31 5.4. クライアント PC の設定... 35 5.4.1. 認証局の証明書のインポート... 35 5.4.2. クライアント PC の hosts ファイルの編集... 39 5.5. クライアント PC からのアクセス... 41 6. 中級編... 42 6.1. クライアント証明書認証の設定... 42 6.1.1. クライアント証明書の発行... 42 6.1.2. クライアント PC へクライアント証明書をインポート... 42 6.1.3. BIG-IP の設定... 45 6.1.3.1. 認証局の証明書のインポート... 45 6.1.3.2. Client SSL Profile の設定... 46 6.1.3.3. VPE の設定... 47 6.1.4. クライアントからのアクセス... 48 6.2. セッション変数について... 49 6.3. [VPE サンプル-1] クライアント証明書の OU で ACL を割当てる... 51 6.3.1. ACL の作成... 51 6.3.2. VPE の設定... 53 6.3.3. クライアントからのアクセス... 57 6.4. [VPE サンプル-2] Active Directory の Group で ACL を割当てる... 58 6.4.1. ACL の作成... 58 6.4.2. Active Directory ユーザ :test1001... 58 6.4.3. VPE の設定... 59 6.4.4. クライアントからのアクセス... 64 6.4.5. [ 参考 ] AD Query がうまく行かない場合 :AAA 設定の変更... 65 6.5. [VPE サンプル-3] クライアント OS の種類に応じてポリシーを変える... 66 7. [ 参考 ] ウィザードを使わない設定... 69 7.1. APM オブジェクトを一つ一つ設定していく方法... 69 7.1.1. 設定が必要な APM オブジェクトたち... 69 7.1.2. 各オブジェクトの設定... 70 7.1.2.1. DNS / NTP 設定... 70 7.1.2.2. 認証サーバ :Active Directory の設定... 71 7.1.2.3. Lease Pool の設定... 72 7.1.2.4. Network Access の設定... 73 7.1.2.5. Webtop の設定... 75 Ⅹ

7.1.2.6. Connectivity Profile の設定... 76 7.1.2.7. Access Profile と Access Policy の設定... 77 7.1.2.8. APM 用 Virtual Server の設定... 83 7.1.2.9. リダイレクト用 Virtual Server の設定... 84 7.1.2.10. クライアント PC からのアクセス... 85 8. おわりに... 86 Ⅹ

1. はじめに本セットアップガイドにて BIG-IP Access Policy Manager( 以下 APM) のネットワークアクセスの設定方法についてご案内します BIG-IP APM は SSL-VPN トンネルによるリモートアクセス ( これをネットワークアクセスと呼びます ) をはじめとして高度な認証機能 ( 例 : クレデンシャルキャッシング方式シングルサインオン,SAML シングルサインオン等 ) も兼ね備えています本ガイドでは BIG-IP APM をご購入いただいてすぐにネットワークアクセスを始められるように必要となる典型的なセットアップ手法を豊富なスクリーンショットを交えて解説します 1.1. APM ネットワークアクセス動作概要 APM のネットワークアクセスは以下のような流れで動作します 1 クライアントが Web ブラウザに URL:https://vpn.xyz.com を入力 2 クライアント PC は vpn.xyz.com の IP アドレスを解決するために DNS クエリを送信 3 DNS サーバから vpn.xyz.com の IP アドレスを得る 4 Web ブラウザはその IP アドレス ( バーチャルサーバ ) 宛に HTTPS リクエストを送信 5 BIG-IP APM はログインページを表示 6 クライアントはユーザ名とパスワードを入力 7 BIG-IP APM は認証サーバに問合せを行い認証が正しく行われたことのレスポンスを得る 8 BIG-IP APM はクライアント PC との間で SSL-VPN トンネルを確立するこのときクライアント PC の PPP アダプタには事前に APM に設定された IP アドレスプールの中から一つ IP アドレスが払い出される ( この後クライアント PC は PPP アダプタを使ってオフィスサーバ群へアクセスができるようになる ) 9 PPP アダプタから出た IP パケットはインターネット上のグローバル IP アドレスでカプセル化 (= トンネル化 ) され BIG-IP APM に到着 APM はそのカプセル化を解き APM のルーティングテーブルに従ってそのカプセル化が解かれた IP パケットを送り出す 4

2. スタンドアローン 2.1. スタンドアローンイメージ上図 1~9 の IP アドレスが必要になりますのであらかじめご用意くださいなお 1 管理 IP は工場出荷時に 192.168.1.245/24 がプリセットされています項目名前 ( サンプル ) 値 - ホスト名 BigXXX.f5jp.local 1 管理 IP --- 10.99.88.XXX/24 2 External インタフェース external 10.99.1.XXX 3 Internal インタフェース internal 10.99.2.XXX 4 デフォルトゲートウェイ default-gw 10.99.1.254 5 バーチャルサーバアドレス NetAccess-001_vs 10.99.1.ZZZ:443 6 PPP アダプタ用 IP アドレスプール NetAccess-001_lp 10.99.99.11-20 7 認証サーバ (Active Directory) NetAccess-001_aaa_srvr 10.99.2.218 8 DNS サーバ (Active Directory) --- 10.99.2.218 9 NTP サーバ --- 10.99.2.219 10 サーバが存在するネットワーク --- 10.99.100.0/24 CLI パスワード ( デフォルト ) --- ID/Password : root/default GUI パスワード ( デフォルト ) --- ID/Password : admin/admin 5

2.2. スタンドアローンのネットワークサンプルまずは冗長化しない状態を想定して 1 台のみ設定していきます BIG-IP の APM リモートアクセス用 Virtual Server は 10.99.1.ZZZ:443 とします Active Directory のドメインは corp.f5jp.local とします Active Directory には以下のユーザが登録されていますユーザ名パスワードグループ test1001 test1001 CorpA-Group test1002 test1002 CorpB-Group test1003 test1003 CorpC-Group BIG-IP のデフォルトゲートウェイはインターネット方向を想定したルーター :10.99.1.254 に設定しますオフィス内サーバのデフォルトゲートウェイは直上のルーター :10.99.100.254 に設定されているものとします動作確認はテスト用に設置した PC( 図中のテスト用クライアント PC ) から行うこととします PEOLD で利用する IP アドレス ( ホストアドレス ): ユーザ A B C D E F G H BIG-IP の Hostname Big191 big193 big195 big197 big201 big203 big205 big207 BIG-IP の Self-IP(.XXX).191.193.195.197.201.203.205.207 Virutual Server (.ZZZ).91.93.95.97.101.103.105.107 テスト用クライアント PC(.mm).11.12.13.14.15.16.17.18 注 : このマークのところでご利用頂く値です 6

3. 初期設定 3.1.1. 管理ポートへの GUI アクセス管理用 PC から設定した BIG-IP の管理 IP アドレスへ HTTPS でアクセスしますデフォルトの証明書は正式に取得した証明書ではないため以下のような画面が現れますが続行するを選択してください (1) ログイン画面が現れますので以下のデフォルトの ID と Password でログインしてください ID:admin Password:admin 7

(2) Next ボタンを押します (3) ライセンス画面が出ます Next ボタンを押します ~ 中略 ~ 8

(4) プロビジョニング画面がでますので APM にチェックを入れます Next ボタンを押すと再起動の確認がでて OK を押します (5) SSL 証明書の確認がなされますがデフォルトのまま Next ボタンを押します 9

(6) ホスト名タイムゾーン Root/Admin それぞれのパスワードを設定します Next ボタンを押します注ホスト名を FQDN で指定タイムゾーンを指定 Root と Admin ユーザのパスワードを指定 Root: default Admin: admin 設定したパスワードでログインを試みるようログアウトログインするように指示があります OK ボタンを押します (7) Username = admin と設定したパスワードで再度ログインします (8) この後 Standard Network Configuration の Next を押すことでウィザード形式にて冗長化も含めた設定が可能ですがここではスタンドアローン構成にするため Advanced Network Configuration の Finished ボタンを 10

押します Finish ボタンを押す 11

4. ネットワーク設定 VLAN や VLAN インタフェースへの IP 設定 (Self-IP 設定 ) およびルーティング設定を行います 4.1. VLAN の作成まず VLAN を作成します Network VLAN で表示された画面の右上にある Create ボタンを押します (1) External VLAN の設定名前 ( 任意 ) を指定 Interface:1.1 を確認し Tagging:Untagged を選択肢 Add をクリック 12

(2) Internal VLAN の設定名前 ( 任意 ) を指定 Interface:1.2 を確認し Tagging:Untagged を選択肢 Add をクリック一覧では以下のようになります 13

4.2. Self IP の設定 BIG-IP に設定した VLAN それぞれに対して IP アドレスを設定していきます BIG-IP 自身に設定する IP アドレスを Self IP と呼びます Network Self IPs で表示された画面の右上にある Create ボタンを押します (1) External VLAN の IP 設定名前 ( 任意 ) 注 IP アドレスサブネットマスク VLAN を設定このアドレス上でのサービス (SSH/GUI アクセス等 ) を拒否 (2) Internal VLAN の IP 設定名前 ( 任意 ) 注 IP アドレスサブネットマスク VLAN を設定 VLAN を internal に割付このアドレス上でのサービス (SSH/GUI アクセス等 ) を許可 14

(3) 一覧では以下のような状態になります 15

4.3. ルーティングの設定 4.3.1. デフォルトゲートウェイの設定 Network Routes で表示された画面の右上にある Add ボタンを押します以下の通り入力し Finished を押します任意の名称を入力左記の通りに入力ゲートウェイのアドレスを入力 4.3.2. オフィス内サーバへのルーティング設定 BIG-IP からオフィス内サーバ :10.99.100.0/24 へ到達するためのルーティングも同様に設定します任意の名称を入力左記の通りに入力ゲートウェイのアドレスを入力 16

(1) 一覧では以下のような状態になります 17

5. 初級編 5.1. ウィザードを使って設定する方法ウィザード (Wizards) を利用するとネットワークアクセス設定に必要な情報が一通りそろっていれば簡単に 10 分程度で設定することができます (1) Wizards Device Wizards で Network Access Setup を選択します Network Access を選択 (2) 以下の情報を入力 ( または選択 ) します任意の名称を入力クライアント PC で表示される認証画面の言語を選択 ( 自動的に Policy Name が入る ) クライアント PC のアンチウィルスソフトウェアのチェック本例ではテスト用クライアント PC にアンチウィルスソフトがインストールされていないのでチェックを外しますこのチェックボックスを有効にしておくことでクライアント PC 内にインストールされているアンチウィルスソフトウェアのチェックが行われます詳しくは [ 参考 ] アンチウィルスソフトウェアのチェックについてを参照ください 18

(3) DNS と Time Server(NTP) の IP アドレスを入力します DNS の IP アドレスを入力し Add ボタンを押す NTP の IP アドレスを入力し Add ボタンを押す (4) 利用する認証サーバ (Active Directory) を選択します Create New を選択 Active Directory を選択 19

(5) Active Directory による認証に必要な情報を入力します (Local User DB を利用する場合 No Authentication を選択しますのでこのステップはありません ) ドメイン名 "Direct" を選択ドメインコントローラの IP アドレス (6) IP アドレスプールを設定しますクライアント PC の PPP アダプタに割当てられる IP アドレスプールのレンジ (Start と End) を入力 Add ボタンを押す 20

(7) スプリットトンネルを設定します PPP アダプタ側で通信したいものを指定するこの構成では 10.99.2.0/24 と 10.99.100.0/24 を指定しそれぞれを Add する < スプリットトンネルとは > SSL-VPN トンネルを使う通信と使わない通信を分けたいときにつかいます例えば以下のような要件があったとします 1 社内 LAN のサーバは 10.99.2.0/24 と 10.99.100.0/24 に設置されているのでそれらは SSL-VPN トンネルを使いたい 2 しかし同時にインターネットも使いたいこのような要件を実現するのがスプリットトンネルです Use split Tunnelling for Traffic を選択しトンネルに向かわせたいネットワーク帯 (10.99.2.0/24, 10.99.100.0/24) を指定することでそのネットワークだけは SSL-VPN トンネルを通りそれ以外はクライアント IP( 上図の 1.1.1.1) を使ってインターネット ( 上図 3.3.3.3 の web サーバへの通信 ) を使うということが可能になります 21

(8) クライアント PC に割り当てたい情報を設定しますクライアント PC の PPP アダプタに SSL-VPN トンネル確立後に割当てられる DNS サーバと DNS サフィックスここに指定した DNS サフィックス宛の通信 (f5jp.local) はこの DNS サーバを利用するという設定です (9) バーチャルサーバを設定します注バーチャルサーバの IP アドレス HTTP(80) から HTTPS(443) へリダイレクトする VS も同時に設定このチェックボックスを有効にすることで HTTP(80) で Virtual Server へアクセスしても自動的に HTTPS(443) へリダイレクトする Virtual Server が生成されます不要であればチェックを外してください 22

(10) 設定のレビュー ( 確認のみ ) です 23

(11) 設定のサマリ ( これも確認のみ ) です以上でネットワークアクセス設定は完了です 24

5.2. クライアントからのアクセス 5.2.1. Windows の Web ブラウザからのアクセスクライアント PC の Web ブラウザから設定した Virtual Server へアクセスします Windows 7 + Internet Explorer を使った場合の例です (1) 初アクセス時には SSL-VPN クライアント用の ActiveX コンポーネントをインストールする必要がありますインストールするためには Windows の管理者権限が必要です (2) 認証フォーム画面が現れますので Active Directory に登録されているユーザ名とパスワードを入力します (3) 認証完了後 Windows のタスクトレイに入りますもしくはブラウザに Connected が表示されます 25

(4) Web ブラウザ ( または SSH クライアント ) から以下の宛先へ直接通信ができることを確認します 1 http://10.99.100.215 ( または SSH アクセス ) 2 http://10.99.100.217 ( 同上 ) 26

5.3. SSL サーバ証明書の設定 BIG-IP が持つデフォルトのサーバ証明書は正式な認証局で取得したものではないためクライアント PC の Web ブラウザで Virtual Server へアクセスすると以下のような警告が出ます (IE の場合の例 ) 以降正式な認証局 ( 例 :Verisign,CyberTrust 等 ) にて署名されたサーバ証明書をインポートして利用するまでの手順を示します 5.3.1. PEOLD で利用するサーバ証明書一般的には BIG-IP の GUI で CSR と秘密鍵を生成し CSR を認証局 ( 例 : ベリサイン等 ) に送付しますその CSR に対して認証局が署名を行うことでサーバ証明書が完成しますそのサーバ証明書を返送してもらいインポートします本ガイドでは簡易的に秘密鍵ファイルとサーバ証明書の両方がすでに存在しているものとし両方をインポートする手順としますリモートデスクトップ接続した PC のデスクトップ上にある以下のフォルダを開いてくださいこのフォルダ内の以下 2 つのファイルを使用します 1 秘密鍵ファイル : abccompany-key.pem 2 サーバ証明書ファイル : abccompany-cert.pem 27

5.3.2. 秘密鍵とサーバ証明書のインポート (1) サーバの秘密鍵をインポートします System File Management SSL Certificate List で表示された画面右上の Import ボタンを押して現れた画面で以下のように設定 ( インポート ) します Key を選択 Key の名称 ( 任意 ) を指定 Key ファイルを Upload Import を押す以下の状態になります 28

(2) サーバ証明書をインポートしますインポートした秘密鍵をクリックすると以下の画面が現れます Import ボタンを押します Import を押す以下のように設定 ( インポート ) しますサーバ証明書を指定 Import を押す 29

(3) サーバ証明書がインポートされた状態です 30

5.3.3. Client SSL Profile の生成と VS への割当て (1) Client SSL Profile の生成 Local Traffic Profile SSL Client で表示された画面右上の Create ボタンを押すと以下の画面が表示されます以下のように設定します名前 ( 任意 ) を指定右のチェックボックスをチェック左のプルダウンメニューから証明書とキーを選択 Add ボタンをクリックします add ボタンを押すと以下の表示になり abccompany を設定します abccompany を選択します abccompany を選択します Add ボタンをクリックします 31

以下のように表示されます abccompany が表示されます ~( 略 )~ Finished をクリック作成した設定が登録されていることを確認登録されていることを確認 32

(2) Virtual Server への Client SSL Profile の割当て Local Traffic Virtual Servers を選択し APM 用に設定した Virtual Server をクリックすると以下の画面が表示されます ~( 略 )~ 作成した Client SSL Profile を選択 ~( 略 )~ 33

34 Update をクリック

5.4. クライアント PC の設定 5.4.1. 認証局の証明書のインポートサーバ証明書を BIG-IP にインポートしただけでは不十分ですこのままではまだ以下の画面を見ることになります ( 例 :Internet Explorer) この画面が出る理由はこの Web サイト (= BIG-IP の Virtual Server) のサーバ証明書に署名した認証局 (F5J- CA) の証明書が Web ブラウザにインポートされていないことが原因です認証局の証明書が Web ブラウザに入っていないとサーバ証明書の発行元をチェックすることができないためですよって認証局 (F5J-CA) の証明書をクライアント PC の Web ブラウザへインポートする必要がありますリモートデスクトップ接続した PC のデスクトップ上にある以下のフォルダを開いてくださいこのフォルダ内の以下のファイルを使用します認証局ファイル : cacert.pem 以下の手順でクライアント PC の Web ブラウザ ( 例 :Internet Explorer 10) へインポートします (1) Internet Explorer 10 のツールインターネットオプションコンテンツタブを選び証明書ボタンを押します 35

(2) 信頼されたルート証明機関タブを選択しインポートボタンを押して下ださい (3) 次へを押して下さい (4) インポートするファイルとして認証局の証明書 :cacert.pem を選び次へを押してください ( 参照ボタンを押した後 ***.pem はデフォルト状態では表示されないかもしれませんその場合は左下のすべてのファイル (*.*) を選択してください ) 36

(5) 証明書ストアが信頼されたルート証明機関であることを確認し次へを押してください (6) 完了を押してください 37

(7) 警告が出ますがはいを押してください (8) 完了です OK を押してください (9) 信頼されたルート証明機関に.(f5jca.f5jp.local) のルート証明書がインポートされましたこれで信頼されたルート証明機関として本ガイドの認証局 (F5J-CA) が登録されました基本的にはこれで証明書のセキュリティ警告は表示されなくなりますしかし DNS による名前解決ができない環境においては次のステップも必要です 38

5.4.2. クライアント PC の hosts ファイルの編集 DNS による名前解決ができない環境の場合 URL として IP アドレスを入力することになりますこの場合クライアント PC へ認証局の証明書をインポートしてもまだ以下の画面をみることになりますこれは Web サーバ (=Virtual Server) へアクセスして Web サーバからサーバ証明書を受け取ったもののサーバ証明書に記載された Common Name と接続を要求した FQDN ( URL) が一致しないことが原因ですこれを比較的簡単に回避するためにはクライアント PC:Windows の hosts ファイルを編集することです本例ではサーバ証明書の Common Name は www.abc-company.com です (1) メモ帳を管理者権限で実行します 39

(2) C: Windows System32 drivers etc hosts を編集します ( hosts デフォルト状態では表示されないかもしれませんその場合は左下のすべてのファイル (*.*) を選択してください ) hosts に指定するアドレスはご自身で設定した Virtual Server の IP アドレスを指定してください Web ブラウザへ入力する URL は IP アドレスではなく FQDN (https://www.abc-company.com) で入力しますこれで SSL 証明書のセキュリティ警告を見ることなく Web サーバ (Virtual Server) へ接続することができます 40

5.5. クライアント PC からのアクセス正式なサーバ証明書を利用することでクライアント PC から Virutal Server へのアクセス時に警告が出なくなります初級編は以上で終了です 41

6. 中級編 6.1. クライアント証明書認証の設定クライアント証明書による認証を行う設定方法を記載します 6.1.1. クライアント証明書の発行クライアント証明書認証の設定を行うためには以下 2 つの証明書が必要です 1 認証局の証明書 BIG-IP 側で利用します 2 クライアント証明書クライアント PC 側で利用しますクライアント証明書の発行には大きくは以下 2 つの方法があります a) 商用の認証局 (Verisign CyberTrust 等 ) から発行してもらう b) 独自の認証局 ( 例 :OpenSSL の利用 ) を建てて発行する本ガイドでは b) の方法 :OpenSSL を使って独自の認証局を建ててクライアント証明書を発行したものを利用しますリモートデスクトップ接続した PC のデスクトップ上にある以下のフォルダを開いてくださいこのフォルダ内の以下のファイルを使用しますクライアント証明書ファイル : abc-client001.p12 6.1.2. クライアント PC へクライアント証明書をインポートクライアント証明書 (PKCS#12) をクライアント PC へインストールする手順について参考までに記載します本ガイドのクライアント PC は Windows7+Internet Explorer 10 を利用しています (1) クライアント証明書 : abc-client001.p12 をダブルクリックすることで Internet Explorer へのインポートが開始されます 42

(2) そのまま次へを押します (3) 秘密キーがパスワードで保護されているのでパスワードを入力します (OpenSSL で発行する際に指定したパスワードは f5demo です ) (4) そのまま次へを押します 43

(5) 完了を押します (6) OK を押します (7) 証明書がインストールされた状態を確認するには IE10 のツールインターネットオプション証明書ボタンを押します (8) 個人タブでクライアント証明書がインストールされていることを確認できます (9) クライアント証明書をダブルクリックすると証明書の詳細が確認できます 44

6.1.3. BIG-IP の設定クライアント証明書認証に必要な BIG-IP の設定を示します 6.1.3.1. 認証局の証明書のインポート (1) あらかじめ認証局の証明書を BIG-IP の設定用 GUI へアクセスする PC にコピーしておきます認証局ファイル : cacert.pem (2) その認証局の証明書を以下の手順で BIG-IP へインポートします Certificate を選択任意の名称を入力独自の認証局の証明書を指定 (3) 以下の状態になります 45

6.1.3.2. Client SSL Profile の設定 SSL サーバ証明書の設定で生成した Client SSL Profile を編集します Local Traffic Profile SSL Client で該当する Profile をクリックすると以下の画面が現れます以下の通り設定します ~( 略 )~ 右のチェックボックスにチェックを入れてインポートした証明書を選択 46

6.1.3.3. VPE の設定 VPE の設定を変更します (1) Access Policy Access Profiles で表示された NetAccess-001 の Edit をクリックして VPE を表示します (2) ここまでの設定では VPE は以下の状態になっています Logon Page の前にある + をクリックします (3) Authentication タブの On-Demand Cert Auth にチェックを入れ Add Item ボタンを押します 47

(4) Auth Mode を Require に変更し Save ボタンを押します (5) Apply Access Policy を押します以上でクライアント証明書認証の設定は完了です 6.1.4. クライアントからのアクセス (1) クライアント PC から APM VS へアクセスします (2) クライアント証明書の選択画面が出たら該当する証明書をクリックします (3) APM へのアクセスが完了することを確認します 48

6.2. セッション変数について BIG-IP APM にはセッション変数 (Session Variables) という便利な機能が実装されていますこのセッション変数を利用することで例えばクライアント端末が持つ情報と Active Directory で管理している情報を突き合わせて情報が一致すれば次のアクションを実施するというようなポリシーを生成することが可能です例えば先のセクションで設定したクライアント証明書認証においてそのクライアント証明書内の値がセッション変数に取り込まれますのでその情報を利用することも可能ですセッション変数の確認方法を以下に示します (1) クライアントが APM に接続された状態にします (2) Access Policy Event Logs を選ぶと以下の画面が現れます Run Report ボタンを押します (3) アクセスした Logon ユーザ ( 本例では test1001) の行に表示されている View Session Variables をクリックします 49

(4) 表示された画面の Variable Name の中で ssl を捜しボタンをクリックして展開するとクライアント証明書の詳細が表示されます上図の赤点線囲みの部分を例にとりますと session.ssl.cert.subject がセッション変数であり CN=abc-client001.abc-company.com,OU=Systems Engineer,O=ABC-Company, Ltd.,ST=Kanagawa,C=JP がその値ですクライアント証明書情報を APM のセッション変数に取り込むというのはほんの一例でありその他にもクライアントが持つ固有の情報 ( 例 :Windows であれば NIC の MAC アドレスマザーボードの ID 等 ) を取り込むことが可能ですこのセッション変数を利用することでユーザ単位にアクセス制御を行うことが可能です以降このセッション変数を利用したポリシーの設定例をいくつか紹介します 50

6.3. [VPE サンプル -1] クライアント証明書の OU で ACL を割当てるクライアント証明書の OU 単位 (= 組織単位 ) にアクセスできるサーバを制限したい =Access Control List を適用したいという要件があると仮定します本例ではクライアント証明書の Sbject に " OU=Systems Engineer " が含まれている場合にある ACL を割当てるという設定を行います 6.3.1. ACL の作成サンプルとして実サーバ :10.99.100.215 への SSH(Port:22) アクセスを止める ACL を作成します (1) Access Policy ACLs で表示された画面の右上の Create ボタンを押すと以下の画面が表示されます以下のように設定します任意の名称を入力 51

(2) 以下の状態になります Access Control Entries の横の Add ボタンを押します (3) 送信元は特定せず (=Any) 宛先が 10.99.100.215 の SSH(Port 22) を止める設定を行います本例では L4 を選択送信元は Any を指定宛先は 10.99.100.215:22 を指定プロトコルは TCP を選択アクションとして Reject を選択 52

(4) この状態になります 6.3.2. VPE の設定 VPE の設定を変更します (1) Access Policy Access Profiles で表示された NetAccess-001 の Edit をクリックして VPE を表示します (2) AD Auth の後ろにある + をクリックします (3) General Purpose タブで Empty を選択し Add Item ボタンを押します 53

(4) Branch Rules タブを選択します Add Branch Rule ボタンを押して Expression を 1 つ追加し Change をクリックします (5) Advanced タブを選択し以下のように TCL 形式で入力します expr { [mcget {session.ssl.cert.subject}] contains "OU=Systems Engineer" } mcget コマンド : このコマンドによって BIG-IP APM のセッション変数 (Session Variable) に取り込まれた値を取り出しますこの構文によってセッション変数 :"session.ssl.cert.subject" の値に " OU=Systems Engineer " が含まれているかどうかを確認します確認結果が OK であれば次のボックスへ進みます (6) Name を分かりやすいものに変更し Save ボタンを押します 54

(7) 同様の方法で 2 つ目の分岐 (OU=Sales の場合 ) も追加してみた状態です VPE の見た目上 SE を一番上にしたい場合以下のボタンを押します (8) 以下のように上下が入れ替わります Save ボタンを押します (9) この例では以下のように Fallback に Asdvanced Resouce Assign がつながっていますこのままだと OU=Systems Engineer でも OU=Sales でもないものに対してリソースがアサインされる状態になっていますのでこれを変更します Fallback の後ろにある >> のマークをクリックします 55

(10) 以下のような画面に変わります Advanced Resource Assign を繋ぎたい分岐 ( この例では OU_SE) の ^ になっている部分をクリックします (11) 以下のように Advanced Resource Assign が移動します次に "OU_SE" の分岐に ACL を割当てるためその分岐の + をクリックします (12) Assignment タブの ACL Assign を選択し Add Item ボタンを押します (13) Add/Delete をクリックします 56

(14) 既に作成した ACL(TEST1001-ACL) のチェックボックスにチェックを入れ Save ボタンを押します (15) 以下の状態になります Apply Access Policy を押して設定を適用します 6.3.3. クライアントからのアクセス (1) OU=Systems Engnieer のクライアント証明書を持つクライアント PC から APM の VS へアクセスします (2) アクセス完了後 10.99.100.215 の SSH(Port 22) へのアクセスだけが Reject されることを確認します 57

6.4. [VPE サンプル -2] Active Directory の Group で ACL を割当てる Active Directory のユーザが属する Group 毎にアクセスできるサーバを制限したい =Access Control List を適用したいという要件があると仮定します本例では "CorpA-Group" に属するユーザ :"test1001" に対して ACL を適用し "CorpB-Group" に属するユーザ : "test1002" には ACL を適用しないという設定を行います 6.4.1. ACL の作成 "[VPE サンプル -1]" で作成した ACL:Test1001-ACL を利用しますので設定例は省略します 6.4.2. Active Directory ユーザ :test1001 (1) 全般 (2) 所属するグループ test1001 は CorpA-Group に属していますこの CorpA-Group に対して ACL を割当てる設定を行います 58

6.4.3. VPE の設定 (1) ここまでの設定では VPE は以下のようになっています一旦 Empty 以降をすべて削除しますボックスの右上のをクリックします (2) 以下のような画面が現れますそのまま Delete を押します (3) 同様の手順で ACL Assign も Advanced Resource Assign も削除し以下の状態にします AD Auth の Successful 分岐上の + をクリックします (4) Autentication タブの AD Query を選択し Add Item ボタンを押します 59

(5) Server として既に設定した Active Directory 設定 (NetAccess-001_aaa_srvr) を選択します SerchFilter には以下を入力します samaccountname=%{session.logon.last.username} SearchFilter に入力した samaccountname は Active Directory で定義されているユーザ名の変数ですこの変数に APM にログインしたときのユーザ名 ( 例 :test1001) を代入して AD Query を実施するという定義です APM にログインしたときのユーザ名はセッション変数 : session.logon.last.username の値として格納されていますので =%{session.logon.last.username} で代入を行います (6) Branch タブで Change をクリックします (7) Simple タブ上でデフォルトで設定されている User's Primary Group ID is 100 をボタンを押して削除します 60

(8) Add Expression ボタンをクリックすると以下の画面が現れますここでは単純に AD Query が成功したら次の BOX に移動する定義にしています以下の状態にして Add Expression ボタンを押します (9) 以下の状態になります Finished ボタンを押します (10) Name に区別しやすい名称 ( ここでは Query_Passed としました ) を入力し Save ボタンを押します 61

(11) 以下の状態になります AD Query の Query_Passed 分岐上にある + をクリックします (12) Assignment タブの AD Group Resource Assign を選択し Add Item ボタンを押します (13) Groups の下にある行の edit をクリックします (14) Groups タブで New Group に Active Directory のグループ名を入力し Add ボタンを押します 62

(15) 以下の状態になります (16) Static ACL タブで既に設定した ACL のチェックボックスにチェックを入れます (17) Network Access タブで既に設定した Network Access のチェックボックスにチェックを入れます (18) Webtop タブで既に設定した Webtop のチェックボックスにチェックを入れます 63

(19) 以下の状態になります CorpB-Group 設定を追加するために Add new entry ボタンを押します (20) 同様の手順で CorpB-Group の設定を行いますこの例では CorpB-Group には ACL を割り当てない設定にしています (21) 以下の状態になります Apply Access Policy を押して設定を適用します 6.4.4. クライアントからのアクセス (1) クライアント PC から CorpA-Group に属するユーザ :"test1001" で APM の VS へアクセスします (2) アクセス完了後 10.99.100.215 の SSH(Port 22) へのアクセスだけが Reject されることを確認します (3) クライアント PC から CorpB-Group に属するユーザ :"test1002" で APM の VS へアクセスします (4) CorpB-Group には ACL が割り当てられていないのですべてのアクセスが通過する ( なにも Reject されない ) ことを確認します 64

6.4.5. [ 参考 ] AD Query がうまく行かない場合 :AAA 設定の変更 Active Directory 設定またはそのユーザ設定によっては Administrator 権限が必要となる場合がありますその場合には以下の部分を追加してみてください本 PEOLD 環境では必要ありませんあくまで参考情報です Access Policy AAA Servers Active Directory 設定済みの AAA サーバをクリックすることで以下の画面が現れます以下の赤囲み部分を追加してみてください 65

6.5. [VPE サンプル -3] クライアント OS の種類に応じてポリシーを変えるクライアント OS 毎にポリシーを変更したいという要件があると仮定します本例では Windows クライアントには [VPE サンプル -3] で設定したポリシーを適用し ios(apple iphone/ipad) にはそれとは異なるポリシーを適用するという設定を行います (1) ここまでの設定では以下の状態になっています Logon Page 前の + をクリックします (2) Endpoint Security (Server-Side) タブで Client OS を選択し Add Item ボタンを押します 66

(3) Save をクリックします (4) Windows RT から Windows に移行するために Windows RT の右の >> をクリックします (5) 以下の状態から Windows の右側をクリックします 67

(6) 以下のようになります (7) ios 設定には Logon Page, AD Auth, Advanced Resource Assign のみ追加してみました最後に Apply Access Policy をクリックして設定を適用しますこの設定によってクライアント OS 毎に異なるポリシーを適用することができます 68

7. [ 参考 ] ウィザードを使わない設定 7.1. APM オブジェクトを一つ一つ設定していく方法ウィザードを利用せず一つ一つオブジェクトを設定していきウィザード設定と同等の状態にする方法を示します 7.1.1. 設定が必要な APM オブジェクトたち APM のバーチャルサーバにアクセスしてからネットワークアクセス (SSL-VPN トンネル ) を確立するまでには下図に示すような様々なオブジェクトを経由しますこのことで BIG-IP APM に設定したポリシーが適用されたネットワークアクセスセッションが生成されます設定が必要な各オブジェクトの概要を以下に記載します (1) DNS/NTP 設定 BIG-IP 自身が問合せを行うサーバ設定です (2) AAA Server 設定 Active Directory 認証に必要な設定を行います (3) ACL 設定パケットフィルタリング設定ですこのセクションでは設定しませんが後の VPE サンプルで設定します (4) WebTop 設定 BIG-IP APM へのアクセス後に稼働する Web アプリケーションです (5) Network Access 設定 SSL-VPN トンネルを行うための設定です (6) Lease Pool 設定クライアント PPP アダプタに割当てられるアドレス群です (7) Access Policy 上記のオブジェクトをフローチャート形式で紐づける設定です (8) Access Profile Access Policy の親的位置づけです利用する言語をここで設定します (9) Connectivity Profile コネクション上の圧縮設定やクライアント用ソフトウェアの設定を行います以降上記の各オブジェクトを設定していきます尚既述のネットワーク設定は完了しているものとして進めます 69

7.1.2. 各オブジェクトの設定 7.1.2.1. DNS / NTP 設定 (1) DNS を設定します System Configuration Device タブから DNS を選択します DNS の IP アドレスを入力し Add ボタンを押す (2) NTP を設定します Device タブから NTP を選択します NTP の IP アドレスを入力し Add ボタンを押す 70

7.1.2.2. 認証サーバ :Active Directory の設定 Access Policy AAA Servers へ移動し AAA Server by Type タブから Active Directory を選択します任意の名称を入力ドメイン名を入力 Server Connection は "Direct" を選択し Active Directory の IP アドレスを入力 71

7.1.2.3. Lease Pool の設定クライアントに割当てる IP アドレス群 : リースプールを設定します Access Policy Network Access へ移動します Lease Pool List タブから IPV4 Lease Pools を選択します任意の名称を入力 IP Address Range を選択し割当てる IP アドレス範囲の最初のアドレス (Start IP Address) と最後のアドレス (End IP Address) を入力し Add ボタンを押す 72

7.1.2.4. Network Access の設定 (1) Access Policy Network Access へ移動します Network Access List タブを選択し左に表示された Create ボタンを押すと以下の画面が出ます以下のように値を入力し Finished ボタンを押します任意の名称を入力 (Name の値が自動的に入力される ) (2) その後以下のような画面 ( タブメニューが追加された画面 ) に遷移します 73

(3) Network Settings タブでの設定ここで既に設定した Lease Pool を選択しますスプリットトンネルの設定もここで行います設定した Lease Pool を選択 Use split tunneling for traffic を選択トンネルに通したいネットワーク帯を設定し Add ボタンを押す (4) クライアントに割当てる DNS や hosts の設定クライアントに割当てる DNS クライアントに割当てる DNS ドメインサフィックス 74

7.1.2.5. Webtop の設定 Access Policy Webtops を選択します右上に表示された Create ボタンを押すと以下の画面が現れます以下の 2 ヶ所を設定し Finished ボタンを押します任意の名称を入力 Network Access を選択 75

7.1.2.6. Connectivity Profile の設定 Access Policy Secure Connectivity で以下の画面が現れます右上に表示される Add ボタンを押すと以下の画面が現れます以下 2 ヶ所を設定し OK ボタンを押します任意の名称を入力ベースとなる Profile を選択 76

7.1.2.7. Access Profile と Access Policy の設定 (1) Access Policy Access Profile Access Profile List を選択右上に表示された Create ボタンを押すと以下の画面が現れます以下 2 ヶ所を設定し Finished ボタンを押します任意の名称を入力言語を選択 77

(2) その後以下の画面に遷移しますここで Access Policy を設定するために Edit をクリックします (3) 以下のような証明書に関わる警告画面が表示されますがこのサイトの閲覧を続行するを選択してください (4) 以下の画面 :Visual Policy Editor (VPE) が表示されます "Start" と "Deny" の線上にある + をクリックします 78

(5) その後以下の画面が現れます Logon タブで Logon Page を選択し Add Item ボタンを押します (6) その後以下の画面が現れますここでは特に変更は行わず save ボタンを押します (7) 以下のような状態になります Logon Page の後ろにある + をクリックします 79

(8) その後以下の画面が現れます Authentication タブで AD Auth を選択し Add Item ボタンを押します (9) その後以下の画面が現れます Server の項目で既に設定した AAA サーバ :Active Directory を選択し Save ボタンを押します (10) 以下のような状態になります AD Auth の後ろにある Successful 側の + をクリックします 80

(11) その後以下の画面が現れます Assignment タブで Advanced Resource Assign を選択し Add Item ボタンを押します (12) その後以下の画面が現れます Add new entry ボタンを押して Expression を 1 つ追加しますその下の Add/Delete をクリックします (13) その後以下の画面が現れます Network Access タブで既に設定した Network Access リソースのチェックボタンにチェックを入れます (14) Webtop タブで既に設定した Netowrk Access 用 Webtop のチェックボタンにチェックを入れます Update ボタンを押します 81

(15) その後以下のような状態になります Save ボタンを押します (16) 以下のような状態になります最後に Advance Resource Assign の後ろにある Deny を Allow に変更する必要があるのでその Deny をクリックします (17) 以下のような画面が現れます Allow を選択し Save ボタンを押します (18) VPE の設定は以上ですがまだ設定した値は適用されていません左上に表示されている Apply Access Policy をクリックすることで設定が適用されます 82

7.1.2.8. APM 用 Virtual Server の設定 Local Traffic Virtual Servers を選択します右上の Create ボタンを押すと以下の画面が現れます以下のように設定します任意の名称を入力 Type で Host を選択注 VS の IP アドレスを入力しサービスポート (443) を選択 HTTP Profile を選択 clientssl を選択設定した Access Profile と Connectivity Profile を選択 83

7.1.2.9. リダイレクト用 Virtual Server の設定 HTTP(80) でアクセスしても APM 用 Virtual Server(HTTPS(443)) へリダイレクトされるようにリダイレクト用の Virtual Server を新規に設定します任意の名称を入力 Type で Host を選択注 VS の IP アドレスを入力しサービスポート (80) を選択 HTTP Profile を選択デフォルトで用意されている irule: _sys_https_redirect を選択以上でウィザードで設定した内容と同等の状態になります 84

7.1.2.10. クライアント PC からのアクセスクライアント PC から設定した Virtual Server へのアクセスが完了することを確認します 85

8. おわりに基本的な APM セットアップに関しては以上で終了となります BIG-IP シリーズ製品ラインナップにおいてはソフトウェアモジュールライセンスを追加することでサーバ負荷分散はもちろんのこと広域負荷分散やネットワークファイアウォール機能 Web アプリケーションファイアウォール機能などアプリケーションアクセスを最適化する為の多彩な機能が使用できるようになります詳細は各種 WEB サイトにてご確認いただくか購入元にお問い合わせください <F5 ネットワークス WEB サイトの紹介 > F5 ネットワークスジャパン総合サイト http://www.f5networks.co.jp/ F5 Tech Depot: エンジニア向け製品関連情報サイト http://www.f5networks.co.jp/depot/ AskF5: ナレッジベース総合サイト ( 英語 ) http://support.f5.com/kb/en-us.html DevCentral:F5 ユーザコミュニティサイト ( 英語 : アカウント登録が必要です ) https://devcentral.f5.com/ 以上 86