リモート アクセス VPN ポリシー リファレンス

CHAPTER 23 リモート アクセス VPN ポリシーの 各 ページを 使 用 して Cisco IOS セキュリティ ルータ PIX ファイ アウォール Catalyst 6500 /7600 デバイス および Adaptive Security Appliance(ASA; 適 応 型 セキュ リティ アプライアンス)デバイスでリモート アクセス VPN を 設 定 します この 章 は 次 の 内 容 で 構 成 されています Remote Access VPN Configuration ウィザード (P.23-1) [ASA Cluster Load Balance] ページ (P.23-17) [Connection Profiles] ページ (P.23-19) [Dynamic Access] ページ(ASA) (P.23-34) [Global Settings] ページ (P.23-64) [Group Policies] ページ (P.23-70) [Public Key Infrastructure] ページ (P.23-70) [Certificate to Connection Profile Maps] > [Policies] ページ (P.23-71) [Certificate to Connection Profile Maps] > [Rules] ページ (P.23-72) [High Availability] ページ (P.23-75) [IKE Proposal] ページ (P.23-77) [IPsec Proposal] ページ (P.23-78) [User Group Policy] ページ (P.23-90) [SSL VPN Access Policy] ページ (P.23-91) [SSL VPN Other Settings] ページ (P.23-94) [SSL VPN Shared License] ページ(ASA 8.2) (P.23-110) [SSL VPN Policy] ページ(IOS) (P.23-111) Remote Access VPN Configuration ウィザード Remote Access VPN Configuration ウィザードを 使 用 して デバイスにポリシーを 設 定 して デバイス がリモート アクセス SSL または IPSec VPN サーバとして 機 能 できるようにします (デバイス ビューだけ) 目 的 のデバイスを 選 択 し ポリシー セレクタから [Remote Access VPN] > [Configuration Wizard] を 選 択 します 23-1

Remote Access VPN Configuration ウィザード 第 23 章 Remote Access VPN Configuration ウィザードの 使 用 (P.22-9) 表 23-1 Remote Access VPN Configuration ウィザード [Remote Access SSL VPN] 作 成 するリモート アクセス VPN のタイプとして SSL を 選 択 する 場 合 は このオプション ボタンを 選 択 します ウィザードでは 選 択 した デバイス タイプに 応 じて 適 切 な 手 順 が 示 されます ASA デバイス a. [Access] ページ(ASA) (P.23-2) b. [Connection Profile] ページ(ASA) (P.23-3) IOS デバイス a. [Gateway and Context] ページ(IOS) (P.23-10) [Remote Access IPSec VPN] b. [Portal Page Customization] ページ (P.23-12) 作 成 するリモート アクセス VPN のタイプとして IPSec を 選 択 する 場 合 は このオプション ボタンを 選 択 します ウィザードでは 選 択 し たデバイス タイプに 応 じて 適 切 な 手 順 が 示 されます ASA デバイス a. [IPSec VPN Connection Profile] ページ(ASA) (P.23-13) b. [IPSec Settings] ページ(ASA) (P.23-14) c. [Defaults] ページ (P.23-16) IOS デバイス a. [User Group Policy] ページ (P.23-90) [Remote Access Configuration Wizard] ボタン b. [Defaults] ページ (P.23-16) このボタンをクリックすると 設 定 ウィザードが 開 始 されます [Access] ページ(ASA) SSL VPN Configuration ウィザードの [Access] ページを 使 用 して SSL VPN セッションのセキュリ ティ アプライアンス インターフェイスを 設 定 し SSL VPN 接 続 プロファイルのポートを 選 択 します また 接 続 プロファイルにアクセスするための [Portal] ページに 表 示 される URL を 指 定 します (デバイス ビューだけ)ASA デバイスでリモート アクセス SSL VPN を 設 定 するための Remote Access VPN Configuration ウィザード (P.23-1)を 開 きます 最 初 に 表 示 されるページが [Access] ページです Remote Access VPN Configuration ウィザードを 使 用 した SSL VPN の 作 成 (ASA デバイス) (P.22-12) 23-2

第 23 章 Remote Access VPN Configuration ウィザード インターフェイス ロール オブジェクトについて (P.6-57) 表 23-2 SSL VPN ウィザード - [Access] ページ(ASA) [Interfaces to Enable SSL VPN Service] [Port Number] SSL VPN 接 続 プロファイルをイネーブルにするインターフェイス インターフェイスを 入 力 するか [Select] をクリックしてリストから インターフェイス ロールを 選 択 します SSL VPN セッションに 使 用 するポート 番 号 ポート 番 号 を 入 力 する か [Select] をクリックして ポートを 定 義 するポート リスト オブ ジェクトを 選 択 します [Portal Page URLs] [Allow Users to Select Connection Profile in Portal Page] HTTPS トラフィックの 場 合 デフォルト ポートは 443 です ポート 番 号 は 443 にすることも 1024 ~ 65535 の 範 囲 で 指 定 することもで きます ポート 番 号 を 変 更 すると 現 在 の SSL VPN 接 続 がすべて 終 了 するため 現 在 のユーザは 再 接 続 が 必 要 になります ( 注 ) HTTP ポート リダイレクションがイネーブルになっている 場 合 デフォルトの HTTP ポート 番 号 は 80 です [Portal] ページに 表 示 される SSL VPN 接 続 プロファイルにアクセス するための URL 選 択 すると ユーザはログイン 時 に デバイスで 設 定 されているトン ネル グループ 接 続 プロファイルのリストからトンネル グループを 選 択 できます これがデフォルト 設 定 です [Enable AnyConnect Access] 選 択 すると ASA デバイスで AnyConnect 機 能 がイネーブルになりま す ( 注 ) AnyConnect Essentials をイネーブルにするには [Remote Access VPN] > [SSL VPN] > [Access] を 選 択 します 詳 細 に ついては Access ポリシーの 設 定 (P.22-47)を 参 照 してく ださい [Connection Profile] ページ(ASA) SSL VPN Configuration ウィザードの [Connection Profile] ページを 使 用 して セキュリティ アプライ アンスでトンネル グループ ポリシーを 設 定 します 追 加 するトンネル 接 続 プロファイル ポリシーの 名 前 を 選 択 し ユーザ グループ ポリシーを 選 択 できます また このポリシーのアドレス プールを 指 定 し 認 証 サーバ グループ 設 定 を 指 定 できます (デバイス ビューだけ)ASA デバイスでリモート アクセス SSL VPN を 設 定 するための Remote Access VPN Configuration ウィザード (P.23-1)を 開 き このページが 表 示 されるまで [Next] をク リックします Remote Access VPN Configuration ウィザードを 使 用 した SSL VPN の 作 成 (ASA デバイス) (P.22-12) [ASA Group Policies] ダイアログボックス (P.24-1) SSL VPN カスタマイゼーション オブジェクトを 使 用 した ASA ポータル 表 示 の 設 定 (P.22-66) 23-3

Remote Access VPN Configuration ウィザード 第 23 章 ネットワーク / ホスト オブジェクトについて (P.6-64) AAA サーバおよびサーバ グループ オブジェクトについて (P.6-21) 表 23-3 [Connection Profile] ページ(ASA) [Connection Profile Name] [Group Policy] [Full Tunnel] [Group Policies] この SSL VPN 接 続 プロファイルのポリシーを 含 むトンネル グループ の 名 前 このトンネル グループを する 名 前 を 入 力 します デバイスに 関 連 付 けられているデフォルトの ASA ユーザ グループ ASA ユーザ グループ ポリシーを 入 力 します または [Select] をク リックしてリストからポリシーを 選 択 するか 新 しいポリシーを 作 成 します ユーザ グループにフル トンネル アクセス モードが 設 定 されているか どうかを 示 す 読 み 取 り 専 用 フィールド SSL VPN 接 続 プロファイル 内 で 使 用 される ASA ユーザ グループ ポ リシーの 名 前 と それらのポリシーに 対 して [Full Tunnel] アクセス モードをイネーブルにするかディセーブルにするか [Edit] をクリックして リストから ASA ユーザ グループ ポリシー オ ブジェクトを 選 択 するか 新 しいオブジェクトを 作 成 します [Portal Page Customization] [Connection URL] ( 注 ) ASA デバイス 上 の SSL VPN 接 続 プロファイルはすべて 1 つ のグループ ポリシーを 共 有 します ウィザードを 使 用 して 接 続 プロファイルを 作 成 するたびに [Group Policies] リストに デバイスで 定 義 された 以 前 の 接 続 プロファイルからデータが 読 み 込 まれます SSL VPN ネットワーク 上 のリモート アクセス ユーザに 使 用 可 能 な ポータル ページおよびリソースの 外 観 を 定 義 するカスタマイゼーショ ン プロファイル プロファイルの 名 前 を 入 力 します または [Select] をクリックしてリストからプロファイルを 選 択 するか 新 し いプロファイルを 作 成 します ( 注 ) カスタマイゼーション プロファイルとトンネル グループの 組 み 合 わせを 使 用 することで 個 々のグループにそれぞれ 異 なる ログイン ウィンドウを 設 定 できます たとえば salesgui とい う 名 前 のカスタマイゼーション プロファイルを 作 成 してある とすると そのカスタマイゼーション プロファイルを 使 用 す る sales という 名 前 の SSL VPN トンネル グループを 作 成 でき ます 接 続 プロファイルの URL ユーザは この URL を 使 用 して カスタ マイズ 済 みのポータル ページにダイレクト アクセスできます リストからプロトコル([http] または [https])を 選 択 し URL を 指 定 します URL には ASA デバイスのホスト 名 または IP アドレス ポート 番 号 および SSL VPN 接 続 プロファイルの 識 別 に 使 用 するエ イリアスを 含 めます ( 注 ) URL を 指 定 しなかった 場 合 は ポータル ページ URL を 入 力 し デバイスに 設 定 されている 設 定 済 みの 接 続 プロファイル エイリアス リストから 接 続 プロファイル エイリアスを 選 択 す ることによって ポータル ページにアクセスできます [Access] ページ(ASA) (P.23-2)を 参 照 してください 23-4

第 23 章 Remote Access VPN Configuration ウィザード 表 23-3 [Connection Profile] ページ(ASA)( 続 き) [Global IP Address Pool] IP アドレスの 割 り 当 てに 使 用 されるアドレス プール アドレス プー ルの 名 前 を 入 力 するか [Select] をクリックして プールを 定 義 する ネットワーク / ホスト オブジェクトを 選 択 します サーバはこれらのプールを 一 覧 表 示 されている 順 序 で 使 用 します 最 初 のプールのアドレスがすべて 割 り 当 て 済 みの 場 合 は 次 のプールを 使 用 するというように 続 きます 最 大 で 6 つのプールを 指 定 できます [Authentication Server Group] [Use LOCAL if Server Group Fails] 認 証 サーバ グループの 名 前 (トンネル グループがローカル デバイス に 設 定 されている 場 合 は LOCAL です) 名 前 を 入 力 するか または [Select] をクリックしてサーバ グループ オブジェクトを 選 択 するか 新 しいオブジェクトを 作 成 します 選 択 した 認 証 サーバ グループで 障 害 が 発 生 した 場 合 に ローカルの 認 証 データベースに 切 り 替 えるかどうか [Authorization Server Group] 認 可 サーバ グループの 名 前 (トンネル グループがローカル デバイス に 設 定 されている 場 合 は LOCAL です) 名 前 を 入 力 するか または [Select] をクリックしてサーバ グループ オブジェクトを 選 択 するか 新 しいオブジェクトを 作 成 します [Accounting Server Group] アカウンティング サーバ グループの 名 前 名 前 を 入 力 するか または [Select] をクリックしてサーバ グループ オブジェクトを 選 択 するか 新 しいオブジェクトを 作 成 します [User Groups Selector] ページ このページを 使 用 して SSL VPN 接 続 で 使 用 されるユーザ グループを 選 択 します 選 択 したデバイス タイプによって 異 なります (IOS デバイス) [Gateway and Context] ページ(IOS) (P.23-10)から [Group Policies] フィー ルド 内 の [Edit] をクリックします (ASA デバイス) [Connection Profile] ページ(ASA) (P.23-3)から [Group Policies] フィー ルド 内 の [Edit] をクリックします Remote Access VPN Configuration ウィザードを 使 用 した SSL VPN の 作 成 (IOS デバイス) (P.22-10) Remote Access VPN Configuration ウィザードを 使 用 した SSL VPN の 作 成 (ASA デバイス) (P.22-12) 23-5

Remote Access VPN Configuration ウィザード 第 23 章 表 23-4 [User Groups Selector] ページ [Available User Groups] 選 択 可 能 な 事 前 定 義 済 みのユーザ グループが 一 覧 表 示 されます 必 要 なユーザ グループを 選 択 して [>>] をクリックします 目 的 のユーザ グループが 表 示 されていない 場 合 は [Create] をクリッ クしてユーザ グループを 作 成 します Create User Group ウィザー ド (P.23-6)を 参 照 してください [Selected User Groups] ユーザ グループのプロパティを 変 更 するには そのユーザ グループを 選 択 して [Edit] をクリックします 選 択 済 みのユーザ グループが 一 覧 表 示 されます リストからユーザ グループを 削 除 するには ユーザ グループを 選 択 し [<<] をクリックします ユーザ グループのプロパティを 変 更 するには そのユーザ グループを 選 択 して [Edit] をクリックします ( 注 ) ユーザ グループをデフォルト ユーザ グループとして 指 定 する には ユーザ グループを 選 択 し [Set As Default] をクリックし ます このオプションは IOS ルータの 場 合 だけ 使 用 可 能 です Create User Group ウィザード Create User Group ウィザードを 使 用 して SSL VPN 接 続 で IOS ルータまたは ASA デバイスに 設 定 す るユーザ グループを 作 成 します [User Groups Selector] ページ (P.23-5)から [Create] をクリックするか リストの 1 つから 項 目 を 選 択 して [Edit] をクリックします ここでは 次 の 内 容 について します [Name and Access Method] ページ (P.23-6) [Full Tunnel] ダイアログボックス (P.23-7) [Clientless and Thin Client Access Modes] ページ (P.23-9) [Name and Access Method] ページ Create User Group ウィザードのこの 手 順 を 使 用 して ユーザ グループの 名 前 を 定 義 し 任 意 で SSL 対 応 ゲートウェイ(IOS ルータ)または ASA セキュリティ アプライアンスへのアクセスに 使 用 するリ モート アクセス 方 式 を 選 択 します [User Groups Selector] ページ (P.23-5)で [Create] をクリックします Create User Group ウィザード (P.23-6) SSL VPN アクセスのモード (P.22-4) [Full Tunnel] ダイアログボックス (P.23-7) 23-6

第 23 章 Remote Access VPN Configuration ウィザード [Clientless and Thin Client Access Modes] ページ (P.23-9) 表 23-5 Create User Group ウィザード - [Name and Access Method] ページ [Name] [Access Method] ユーザ グループの 名 前 最 大 128 文 字 を 入 力 します 大 文 字 小 文 字 およびほとんどの 英 数 字 または 記 号 を 使 用 できます 目 的 のリモート アクセス モード オプションを 次 のうちから 選 択 します [Full Tunnel]: 完 全 に SSL VPN トンネルを 介 して 企 業 ネットワー クにアクセスします これは 推 奨 オプションです [Clientless]:クライアント マシンで Web ブラウザを 使 用 して 内 部 ネットワークまたは 企 業 ネットワークにアクセスします [Thin Client]:クライアント マシンで TCP プロキシとして 機 能 す る Java アプレットをダウンロードします [Full Tunnel] ダイアログボックス ( 注 ) このダイアログボックスは Create User Group ウィザードの [Name and Access Method] ページ (P.23-6)で [Full Client] オプションを 選 択 した 場 合 にだけ 使 用 可 能 です このダイアログボックスでは 企 業 ネットワークへのアクセスに 使 用 するモードを 設 定 できます Create User Group ウィザード (P.23-6)を 開 き [Full Client] アクセス 方 式 オプションを 選 択 して [Next] をクリックします Create User Group ウィザード (P.23-6) SSL VPN アクセスのモード (P.22-4) 表 23-6 Create User Group ウィザード - [Full Tunnel] ダイアログボックス [Use Other Access Modes if SSL VPN Client Download Fails] [Full Tunnel] 選 択 すると SVC のダウンロードが 失 敗 した 場 合 リモート クライ アントは [Clientless] または [Thin Client] アクセス モードを 使 用 でき ます 選 択 すると [Full Tunnel] アクセス モードを 設 定 できます ( 注 ) [Full Tunnel] アクセス モードが 適 切 に 機 能 するためには SSL VPN Client(SVC)ソフトウェアがデバイスにインス トールされている 必 要 があります SVC は FlexConfig ポリ シーを 使 用 して 管 理 します 詳 細 については 定 義 済 みの FlexConfig ポリシー オブジェクト (P.7-17)を 参 照 してくだ さい 23-7

Remote Access VPN Configuration ウィザード 第 23 章 表 23-6 Create User Group ウィザード - [Full Tunnel] ダイアログボックス ( 続 き) [Client IP Address Pools] ( 注 ) 選 択 したデバイスが IOS ルータの 場 合 にかぎり 使 用 できます クライアントがログイン 時 に IP アドレスを 導 出 する IP アドレス プー ル IP アドレス プールを 入 力 します または [Select] をクリックし てリストからネットワーク / ホスト オブジェクトを 選 択 するか 新 し いオブジェクトを 作 成 します [Primary DNS Server] フル クライアント SSL VPN 接 続 に 使 用 されるプライマリ DNS サー バの IP アドレス IP アドレスを 入 力 するか または [Select] をク リックしてリストからネットワーク / ホスト オブジェクトを 選 択 する か 新 しいオブジェクトを 作 成 します [Secondary DNS Server] フル クライアント SSL VPN 接 続 に 使 用 されるセカンダリ DNS サー バの IP アドレス IP アドレスを 入 力 するか または [Select] をク リックしてリストからネットワーク / ホスト オブジェクトを 選 択 する か 新 しいオブジェクトを 作 成 します [Default DNS Domain] フル クライアント SSL VPN 接 続 に 使 用 される DNS サーバのドメイ ン 名 [Primary WINS Server] フル クライアント SSL VPN 接 続 に 使 用 されるプライマリ WINS サー バの IP アドレス IP アドレスを 入 力 するか または [Select] をク リックしてリストからネットワーク / ホスト オブジェクトを 選 択 する か 新 しいオブジェクトを 作 成 します [Secondary WINS Server] フル クライアント SSL VPN 接 続 に 使 用 されるセカンダリ WINS サー バの IP アドレス IP アドレスを 入 力 するか または [Select] をク リックしてリストからネットワーク / ホスト オブジェクトを 選 択 する か 新 しいオブジェクトを 作 成 します [Split Tunnel Option] パブリック ネットワーク 内 を 保 護 されて または 保 護 されずに 送 信 されるトラフィックを 指 定 します [Disabled]:スプリット トンネリングはディセーブルになり ト ラフィックは 保 護 されます [Exclude Specified Networks]:スプリット トンネリングはイネー ブルになり [Networks] フィールド 内 に 指 定 されたネットワーク を 往 来 するトラフィックは 保 護 されずに 送 信 されます [Destinations] [Tunnel Specified Networks]:スプリット トンネリングはイネー ブルになり [Networks] フィールド 内 に 指 定 されたネットワーク を 往 来 するトラフィックは 保 護 されて 送 信 されます 選 択 したデバイスが IOS ルータで スプリット トンネリングがイネー ブルになっている 場 合 にかぎり 使 用 できます 選 択 した [Split Tunneling] オプションに 応 じて トラフィックが 保 護 されてまたは 保 護 されずに 送 信 される 宛 先 として 指 定 されたネット ワーク 複 数 のエントリはカンマで 区 切 ります ホスト IP アドレス ネット ワーク アドレス(10.100.10.0/24 または 10.100.10.0/255.255.255.0 な ど) またはネットワーク / ホスト オブジェクトの 名 前 を 入 力 できます [Select] をクリックして ネットワーク / ホスト オブジェクトを 選 択 するか 新 しいオブジェクトを 作 成 できます 23-8

第 23 章 Remote Access VPN Configuration ウィザード 表 23-6 Create User Group ウィザード - [Full Tunnel] ダイアログボックス ( 続 き) [Networks] ( 注 ) 選 択 したデバイスが ASA セキュリティ アプライアンスで ス プリット トンネリングがイネーブルになっている 場 合 に 使 用 可 能 です ネットワーク アクセスを 定 義 する ACL オブジェクトの 名 前 [Exclude Local LANs] ( 注 ) 選 択 したデバイスが IOS ルータで スプリット トンネリング がイネーブルになっている 場 合 にかぎり 使 用 できます [Split DNS Names] 選 択 すると 非 スプリット トンネリング 接 続 は クライアントと 同 時 にローカル サブネットワークにアクセスできなくなります プライベート ネットワークに 対 してトンネル 処 理 または 解 決 する 必 要 があるドメイン 名 のリスト 他 のすべての 名 前 は パブリック DNS サーバを 使 用 して 解 決 されます [Clientless and Thin Client Access Modes] ページ Create User group ウィザードの [Clientless and Thin Client] ページで SSL VPN で 企 業 ネットワーク にアクセスするために 使 用 する [Clientless] モードおよび [Thin Client] クライアント モードを 設 定 でき ます ( 注 ) このページは Create User Group ウィザードの 手 順 1( [Name and Access Method] ページ (P.23-6))で [Clientless] または [Thin Client] オプションを 選 択 した 場 合 にだけ 使 用 可 能 です Create User Group ウィザード (P.23-6)を 開 き [Clientless] または [Thin Client] アクセス 方 式 オプ ションを 選 択 し [Next] をクリックします Create User Group ウィザード (P.23-6) SSL VPN アクセスのモード (P.22-4) ASA デバイスおよび IOS デバイスの SSL VPN ブックマーク リストの 設 定 (P.22-71) [Add Port Forwarding List]/[Edit Port Forwarding List] ダイアログボックス (P.24-45) 表 23-7 Create User Group ウィザード - [Clientless and Thin Client] ページ [Clientless]:ウィザードの 手 順 1 で [Clientless] を 選 択 した 場 合 にだけ 表 示 されます [Portal Page Websites] ユーザが SSL VPN Web サイトで 使 用 可 能 なリソースにアクセスでき るように ポータル ページにブックマークとして 表 示 される Web サ イトのリスト [Select] をクリックすると [URL List Selector] が 開 き そこで URL リスト オブジェクトのリストから 目 的 の URL リストを 選 択 できます 23-9

Remote Access VPN Configuration ウィザード 第 23 章 表 23-7 Create User Group ウィザード - [Clientless and Thin Client] ページ ( 続 き) [Allow Users to Enter Websites] 選 択 すると リモート ユーザは Web サイト URL を 直 接 入 力 できます [Thin Client]:ウィザードの 手 順 1 で [Thin Client] を 選 択 した 場 合 にだけ 表 示 されます [Port Forwarding List] クライアント マシン 上 のポート 番 号 から SSL VPN ゲートウェイの 背 後 にあるアプリケーションの IP アドレスとポートへのマッピングを 定 義 する ポート 転 送 リスト [Port Forwarding Applet Name] [Select] をクリックすると [Port Forwarding List Selector] が 開 き そ こで ポート 転 送 リスト オブジェクトのリストから 必 要 なポート 転 送 リストを 選 択 できます 選 択 したデバイスが ASA セキュリティ アプライアンスの 場 合 にだけ 使 用 可 能 です クライアント マシン 上 で TCP プロキシとして 使 用 される Java アプ レット Java アプレットは すべてのクライアント 接 続 に 対 して 新 し い SSL 接 続 を 開 始 します [Download Port Forwarding Applet on Client Login] Java アプレットは リモート ユーザ クライアントから ASA デバイス への HTTP 要 求 を 開 始 します HTTP 要 求 には 内 部 電 子 メール サー バの 名 前 およびポート 番 号 が 格 納 されます その 内 部 電 子 メール サー バおよびポートへの TCP 接 続 が 作 成 されます 選 択 すると リモート クライアントがログインしたときにポート 転 送 Java アプレットを 自 動 的 にダウンロードできます [Gateway and Context] ページ(IOS) リモート ユーザが SSL VPN の 背 後 にあるプライベート ネットワーク 上 のリソースにアクセスできる ように デバイスでゲートウェイおよびコンテキストをあらかじめ 設 定 しておく 必 要 があります SSL VPN Configuration ウィザードのこの 手 順 を 使 用 して ユーザにポータル ページへのアクセスを 許 可 する 情 報 を 含 むゲートウェイおよびコンテキスト 設 定 を 指 定 します (デバイス ビュー)IOS デバイスでリモート アクセス SSL VPN を 設 定 するための Remote Access VPN Configuration ウィザード (P.23-1)を 開 きます 最 初 に 表 示 されるページが [Gateway and Context] ページです Remote Access VPN Configuration ウィザードを 使 用 した SSL VPN の 作 成 (IOS デバイス) (P.22-10) [Add SSL VPN Gateway]/[Edit SSL VPN Gateway] ダイアログボックス (P.24-66) AAA サーバおよびサーバ グループ オブジェクトについて (P.6-21) 23-10

第 23 章 Remote Access VPN Configuration ウィザード 表 23-8 [Gateway] [Gateway and Context] ページ SSL VPN で 保 護 対 象 リソースへの 接 続 にプロキシとして 使 用 する ゲートウェイ 次 のオプションがあります [Use Existing Gateway]: 選 択 すると SSL VPN に 既 存 のゲート ウェイを 使 用 できます [Create Using IP Address]: 選 択 すると ルータ 上 の 到 達 可 能 な (パブリック スタティック)IP アドレスを 使 用 して 新 しいゲー トウェイを 設 定 できます [Gateway Name] [Create Using Interface]: 選 択 すると ルータ インターフェイス のパブリック スタティック IP アドレスを 使 用 して 新 しいゲー トウェイを 設 定 できます SSL VPN ゲートウェイ ポリシー オブジェクトの 名 前 ゲートウェイ オブジェクトの 名 前 を 入 力 します または [Select] をクリックして リストから 名 前 を 選 択 するか 新 しいオブジェクトを 作 成 します ( 注 ) ゲートウェイを 選 択 すると セキュアな 接 続 の 確 立 に 必 要 な ポート 番 号 とデジタル 証 明 書 が 関 連 するフィールドに 表 示 さ れます [Port] ( 注 ) ルータの IP アドレスまたはインターフェイスを 使 用 してゲー トウェイを 作 成 するように 選 択 した 場 合 にだけ 使 用 可 能 です HTTPS トラフィックを 伝 送 するポートの 番 号 (1024 ~ 65535) HTTP ポート リダイレクションがイネーブルになっていないかぎり デフォルトは 443 です イネーブルになっている 場 合 デフォルトの HTTP ポート 番 号 は 80 です ポート 番 号 を 指 定 します または [Select] をクリックしてリストか らポート リスト オブジェクトを 選 択 するか 新 しいオブジェクトを 作 成 します [Trustpoint] ( 注 ) ルータの IP アドレスまたはインターフェイスを 使 用 して 新 し いゲートウェイを 作 成 するように 選 択 した 場 合 にだけ 使 用 可 能 です [Context Name] [Portal Page URL] セキュアな 接 続 の 確 立 に 必 要 なデジタル 証 明 書 特 定 の CA 証 明 書 を 設 定 する 必 要 がある 場 合 SSL VPN ゲートウェイがアクティブにな るときに 自 己 署 名 証 明 書 が 生 成 されます ルータ 上 のすべてのゲート ウェイで 同 じ 証 明 書 を 使 用 できます リモート クライアントと 企 業 イントラネットやプライベート イントラ ネットの 間 の SSL VPN トンネルをサポートするために 必 要 なリソー スを 識 別 するコンテキストの 名 前 ヒント 複 数 のコンテキスト 設 定 の 管 理 を 簡 略 化 するために コンテキ スト 名 にはドメインまたは 仮 想 ホスト 名 を 使 用 することを 推 奨 します [Portal] ページに 表 示 される SSL VPN ゲートウェイにアクセスする ための URL 23-11

Remote Access VPN Configuration ウィザード 第 23 章 表 23-8 [Gateway and Context] ページ ( 続 き) [Group Policies] [Authentication Server Group] [Authentication Domain] SSL VPN 接 続 で 使 用 されるグループ ポリシーの 名 前 と それらのポ リシーに 対 して [Full Tunnel] アクセス モードをイネーブルにするか ディセーブルにするか グループ ポリシー 名 を 入 力 するか [Edit] をクリックして [User Groups Selector] ページ (P.23-5)を 開 きます 認 証 サーバ グループの 名 前 (ユーザがローカル デバイスに 定 義 されて いる 場 合 は LOCAL です) 認 証 サーバ グループ 名 を 入 力 します または [Select] をクリックし てリストからサーバ グループ オブジェクトを 選 択 するか 新 しいオブ ジェクトを 作 成 します SSL VPN リモート ユーザ 認 証 のリストまたは 方 式 を 指 定 します ( 注 ) リストも 方 式 も 指 定 しない 場 合 SSL VPN ゲートウェイでは リモートユーザ 認 証 にグローバル AAA パラメータが 使 用 され ます [Accounting Server Group] アカウンティング サーバ グループの 名 前 アカウンティング サーバ グループ 名 を 入 力 します または [Select] をクリックしてリストからサーバ グループ オブジェクトを 選 択 する か 新 しいオブジェクトを 作 成 します [Portal Page Customization] ページ SSL VPN Configuration ウィザードのこの 手 順 を 使 用 して リモート ユーザが SSL VPN に 接 続 すると 表 示 されるポータル ページの 外 観 を 定 義 します ポータル ページでは リモート ユーザが SSL VPN ネットワーク 上 で 使 用 可 能 なすべての Web サイトにアクセスできます (デバイス ビュー)IOS デバイスでリモート アクセス SSL VPN を 設 定 するための Remote Access VPN Configuration ウィザード (P.23-1)を 開 き このページが 表 示 されるまで [Next] をクリックし ます Remote Access VPN Configuration ウィザードを 使 用 した SSL VPN の 作 成 (IOS デバイス) (P.22-10) 表 23-9 [Title] [Portal Page Customization] ページ ポータル ページのタイトル バーに 表 示 されるタイトル デフォルトのタイトルは SSL VPN Service です 23-12

第 23 章 Remote Access VPN Configuration ウィザード 表 23-9 [Portal Page Customization] ページ ( 続 き) [Logo] SSL VPN ログインおよびポータル ページのタイトル バーに 表 示 され るロゴ 次 のオプションがあります [None]:ロゴは 表 示 されません [Default]:デフォルトのロゴを 使 用 します [Custom]: 選 択 すると 独 自 のロゴを 指 定 できます [Logo File] フィールドにロゴのソース イメージ ファイルを 指 定 するか また は [Select] をクリックしてイメージ ファイルを 選 択 します [Login Message] [Primary Title Color] [Secondary Title Color] ソース イメージ ファイルとして gif jpg または png ファイルを 使 用 できます ファイル 名 は 最 大 255 文 字 で ファイル サイズは 最 大 100 KB です ログイン 時 にユーザに 表 示 されるメッセージ SSL VPN のログイン ページおよびポータル ページのタイトル バーの 色 [Select] をクリックすると タイトル バーの 目 的 の 色 を 選 択 できるダ イアログボックスが 開 きます SSL VPN のログイン ページおよびポータル ページのセカンダリ タイ トル バーの 色 [Select] をクリックすると セカンダリ タイトル バーの 目 的 の 色 を 選 択 できるダイアログボックスが 開 きます [Primary Text Color] ログイン ページおよびポータル ページのタイトル バーのテキストの 色 選 択 できるのは 白 または 黒 (デフォルト)です [Secondary Text Color] ( 注 ) テキストの 色 は タイトル バーのテキストの 色 に 合 わせる 必 要 があります ログイン ページおよびポータル ページのセカンダリ タイトル バーの テキストの 色 選 択 できるのは 白 または 黒 (デフォルト)です [Preview] ( 注 ) テキストの 色 は セカンダリ タイトル バーのテキストの 色 に 合 わせる 必 要 があります ポータル ページの 外 観 のプレビュー [IPSec VPN Connection Profile] ページ(ASA) [Connection Profile] ページを 使 用 して セキュリティ アプライアンスで 接 続 プロファイル ポリシーを 設 定 します 追 加 する 接 続 プロファイル ポリシーの 名 前 を 指 定 し ユーザ グループ ポリシーを 選 択 で きます また このポリシーのアドレス プールを 指 定 し 認 証 認 可 およびアカウンティングの サーバ グループ 設 定 を 指 定 できます (デバイス ビュー)ASA デバイスでリモート アクセス IPsec VPN を 設 定 するための Remote Access VPN Configuration ウィザード (P.23-1)を 開 きます 最 初 に 表 示 されるページが [IPSec Connection Profile] ページです 23-13

Remote Access VPN Configuration ウィザード 第 23 章 Remote Access VPN Configuration ウィザードを 使 用 した IPSec VPN の 作 成 (ASA デバイス) (P.22-14) 表 23-10 [IPSec Connection Profile] ページ(ASA) [Connection Profile Name] [Group Policy] [Global IP Address Pool] この IPSec VPN 接 続 プロファイルのポリシーを 含 む 接 続 プロファイル の 名 前 デバイスに 関 連 付 けられているデフォルトのグループ ポリシー 名 前 を 入 力 します または [Select] をクリックしてリストからオブジェ クトを 選 択 するか 新 しいオブジェクトを 作 成 します IP アドレスの 割 り 当 てに 使 用 されるアドレス プール サーバはこれら のアドレス プールをリスト 内 の 順 序 で 使 用 します 最 初 のプールのア ドレスがすべて 割 り 当 て 済 みの 場 合 は 次 のプールを 使 用 するという ように 続 きます 最 大 で 6 つのプールを 指 定 できます [Authentication Server Group] [Use LOCAL if Server Group Fails] ネットワーク / ホスト オブジェクトの 名 前 を 入 力 します または [Select] をクリックしてリストからオブジェクトを 選 択 するか 新 し いオブジェクトを 作 成 します 認 証 サーバ グループの 名 前 (トンネル グループがローカル デバイス に 設 定 されている 場 合 は LOCAL です) 名 前 を 入 力 するか または [Select] をクリックしてリストからサーバ グループを 選 択 するか 新 し いオブジェクトを 作 成 します 選 択 した 認 証 サーバ グループで 障 害 が 発 生 した 場 合 に ローカルの 認 証 データベースに 切 り 替 えるかどうか [Authorization Server Group] 認 可 サーバ グループの 名 前 (トンネル グループがローカル デバイス に 設 定 されている 場 合 は LOCAL です) 名 前 を 入 力 するか または [Select] をクリックしてリストからサーバ グループを 選 択 するか 新 し いオブジェクトを 作 成 します [Accounting Server Group] アカウンティング サーバ グループの 名 前 名 前 を 入 力 するか または [Select] をクリックしてリストからサーバ グループを 選 択 するか 新 し いオブジェクトを 作 成 します [IPSec Settings] ページ(ASA) IPSec VPN Configuration ウィザードの [IPSec Settings] ページを 使 用 して セキュリティ アプライア ンスで IPSec を 設 定 します (デバイス ビュー)ASA デバイスでリモート アクセス IPsec VPN を 設 定 するための Remote Access VPN Configuration ウィザード (P.23-1)を 開 き このページが 表 示 されるまで [Next] をクリックし ます Remote Access VPN Configuration ウィザードを 使 用 した IPSec VPN の 作 成 (ASA デバイス) (P.22-14) 23-14

第 23 章 Remote Access VPN Configuration ウィザード 表 23-11 IPSec VPN ウィザード - [IPSec Settings](ASA) [Preshared Key] トンネル グループの 事 前 共 有 キーの 値 事 前 共 有 キーの 最 大 長 は 127 文 字 です ( 注 ) [Confirm] フィールドに この 値 を 再 入 力 する 必 要 があります [Trustpoint Name] トラストポイントの 名 前 (トラストポイントが 設 定 されている 場 合 ) トラストポイントは CA とアイデンティティのペアを 表 し CA のア イデンティティ CA 固 有 の 設 定 パラメータ および 登 録 されている 1 つのアイデンティティ 証 明 書 との 関 連 付 けが 含 まれます [IKE Peer ID Validation] IKE ピア ID 検 証 を 無 視 するか 必 須 とするか または 証 明 書 によっ てサポートされている 場 合 にかぎり 確 認 するかを 選 択 します IKE ネ ゴシエーション 中 ピアは 互 いに 自 身 を 識 別 する 必 要 があります [Enable Sending Certificate Chain] [Enable Password Update with RADIUS Authentication] [ISAKMP Keepalive] [Monitor Keepalive] [Confidence Interval] [Retry Interval] [Client Software Update] [All Windows Platforms] [Windows 95/98/ME] [Windows NT4.0/2000/XP] [VPN3002 Hardware Client] 選 択 すると 証 明 書 チェーンを 認 可 のために 送 信 できます 証 明 書 チェーンには ルート CA 証 明 書 アイデンティティ 証 明 書 および キー ペアが 含 まれます 選 択 すると RADIUS 認 証 プロトコルを 使 用 してパスワードを 更 新 で きます 詳 細 については サポートされる AAA サーバ タイプ (P.6-22)を 参 照 してください 選 択 されている 場 合 IKE キープアライブをデフォルトのフェール オーバーおよびルーティングのメカニズムとして 設 定 できます 詳 細 については ISAKMP/IPsec 設 定 について (P.21-75)を 参 照 し てください IKE キープアライブ パケットの 送 信 と 送 信 の 間 のデバイスの 待 機 時 間 ( 秒 数 ) リモート ピアとの IKE 接 続 を 確 立 しようとする 試 行 と 試 行 の 間 のデバ イスの 待 機 時 間 ( 秒 数 ) デフォルトは 2 秒 です 選 択 すると すべての Windows プラットフォームで VPN クライアン トの 特 定 のリビジョン レベルおよびイメージ URL を 設 定 できます 選 択 すると Windows 95/98/ME プラットフォームで VPN クライア ントの 特 定 のリビジョン レベルおよびイメージ URL を 設 定 できます 選 択 すると NT4.0/2000/XP プラットフォームで VPN クライアント の 特 定 のリビジョン レベルおよびイメージ URL を 設 定 できます 選 択 すると VPN3002 ハードウェア クライアントの 特 定 のリビジョ ン レベルおよびイメージ URL を 設 定 できます [User Group Policy] ページ(IOS) [User Group Policy] ページを 使 用 して リモート アクセス IPSec VPN サーバのユーザ グループを 指 定 します Cisco IOS ルータ PIX 6.3 ファイアウォール または Catalyst 6500 /7600 デバイスにユーザ グループを 設 定 できます 23-15

Remote Access VPN Configuration ウィザード 第 23 章 (デバイス ビュー)IOS デバイスでリモート アクセス IPSec VPN を 設 定 するための Remote Access VPN Configuration ウィザード (P.23-1)を 開 き このページが 表 示 されるまで [Next] をクリックし ます Remote Access VPN Configuration ウィザードを 使 用 した IPSec VPN の 作 成 (IOS デバイス) (P.22-11) 表 23-12 [User Group Policy] ページ [Available User Groups] 選 択 可 能 な 事 前 定 義 済 みのユーザ グループを 一 覧 表 示 します 必 要 なユーザ グループを 選 択 して [>>] をクリックします [Selected User Groups] Security Manager では ユーザ グループはオブジェクトです 必 要 な ユーザ グループがリストにない 場 合 [Create] をクリックして [User Groups Editor] ダイアログボックスを 開 くと そこでユーザ グループ オブジェクトを 作 成 または 編 集 できます [Add User Group]/[Edit User Group] ダイアログボックス (P.24-71)を 参 照 してください 選 択 済 みのユーザ グループを 表 示 します このリストからユーザ グループを 削 除 するには そのグループを 選 択 して [<<] をクリックします ユーザ グループのプロパティを 変 更 するには そのユーザ グループを 選 択 して [Edit] をクリックします [Defaults] ページ Remote Access IPSec Configuration ウィザードの [VPN Defaults] ページを 使 用 して 作 成 する VPN トポロジに 割 り 当 てられるデフォルトのサイト 間 VPN ポリシーを 参 照 および 選 択 します ポリシー タ イプごとに 出 荷 時 のデフォルト ポリシー(プライベート ポリシー)または 共 有 ポリシーを 割 り 当 て ることができます [Finish] をクリックすると 選 択 したポリシーがデバイスに 割 り 当 てられます 各 ポリシー タイプのドロップダウン リストに 選 択 可 能 な 既 存 の 共 有 ポリシーが 一 覧 表 示 されます ポリシーを 選 択 して [View Content] ボタンをクリックすると そのポリシーの 定 義 を 参 照 できます 場 合 によっては 変 更 できますが その 変 更 は 保 存 できません 一 覧 表 示 されるポリシー タイプは デ バイス タイプによって 異 なります ( 注 ) 別 のユーザによって 現 在 ロックされているデフォルト ポリシーを 選 択 しようとすると ロックの 問 題 を 警 告 するメッセージが 表 示 されます ロックを 回 避 するには 別 のポリシーを 選 択 するか または ロックが 解 除 されるまで VPN トポロジの 作 成 をキャンセルします 詳 細 については ポリシーの ロックについて (P.5-7)を 参 照 してください (デバイス ビュー)リモート アクセス IPSec VPN を 設 定 するための Remote Access VPN Configuration ウィザード (P.23-1)を 開 き このページが 表 示 されるまで [Next] をクリックします 23-16

第 23 章 [ASA Cluster Load Balance] ページ Remote Access VPN Configuration ウィザードを 使 用 した IPSec VPN の 作 成 (ASA デバイス) (P.22-14) Remote Access VPN Configuration ウィザードを 使 用 した IPSec VPN の 作 成 (IOS デバイス) (P.22-11) 表 23-13 [Defaults] ページ [ASA Cluster Load Balance] [High Availability] [Certificate to Connection Profile Map Policy] [IKE Proposal] [IPSec Proposal] [Public Key Infrastructure] [VPN Global Settings] リモート アクセス VPN の ASA デバイスのロード バランシングを 定 義 します リモート アクセス VPN の Cisco IOS ルータの High Availability (HA; ハイ アベイラビリティ)ポリシーを 定 義 します リモート アクセス VPN の 接 続 プロファイルを 定 義 します 2 つのピアの 間 の IKE ネゴシエーションを 保 護 するために 使 用 するア ルゴリズム セットを 定 義 します IPsec Security Associations(SA; セキュリティ アソシエーション)の 設 定 に 必 要 なクリプト マップを 定 義 します この 定 義 内 容 には IPsec 規 則 トランスフォーム セット リモート ピア および IPsec SA の 定 義 に 必 要 なその 他 のパラメータが 含 まれます Public Key Infrastructure(PKI; 公 開 キー インフラストラクチャ) 証 明 書 および RSA キーに 対 する PKI 登 録 要 求 の 生 成 に 使 用 する PKI ポ リシーを 定 義 します リモート アクセス VPN のデバイスに 適 用 される IKE IPsec NAT およびフラグメンテーションのグローバル 設 定 を 定 義 します [ASA Cluster Load Balance] ページ [ASA Cluster Load Balance] ページを 使 用 して リモート アクセス VPN の ASA デバイスのロード バ ランシングをイネーブルにします ( 注 ) ロード バランシングには アクティブな 3DES/AES ライセンスが 必 要 となります ASA デバイスで は ロード バランシングをイネーブルにする 前 に このクリプト ライセンスが 存 在 するかをチェック します アクティブな 3DES または AES ライセンスを 検 出 できない 場 合 デバイスではロード バラン シングが 行 われないようにし また ロード バランシング システムによる 3DES の 内 部 設 定 も 行 われ ないようにします (デバイス ビュー)ASA デバイスを 選 択 し ポリシー セレクタから [Remote Access VPN] > [ASA Cluster Load Balance] を 選 択 します (ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [ASA Cluster Load Balance] を 選 択 します 既 存 のポリシーを 選 択 するか または 新 しいポリシーを 作 成 します 23-17

[ASA Cluster Load Balance] ページ 第 23 章 クラスタ ロード バランシングについて(ASA) (P.22-16) クラスタ ロード バランス ポリシーの 設 定 (ASA) (P.22-17) インターフェイス ロール オブジェクトの 作 成 (P.6-58) 表 23-14 [ASA Cluster Load Balance] ページ [VPN Load Balancing] [Participate in Load Balancing Cluster] [VPN Cluster Configuration] [Cluster IP Address] [UDP Port] [Enable IPsec Encryption] デバイスがロードバランシング クラスタに 属 することを 指 定 する 場 合 は これを 選 択 します 仮 想 クラスタ 全 体 を 表 す 単 一 の IP アドレス この IP アドレスは 外 部 インターフェイスと 同 じサブネット 内 に 存 在 する 必 要 があります デバイスが 参 加 する 仮 想 クラスタの UDP ポート このポートが 別 の アプリケーションによって 使 用 される 場 合 は ロード バランシングに 使 用 する UDP 宛 先 ポート 番 号 を 入 力 します デフォルトは 9023 です このチェックボックスをオンにすると デバイス 間 で 伝 達 されるすべ てのロードバランシング 情 報 が 暗 号 化 されます このチェックボックスをオンにした 場 合 は 共 有 秘 密 キーを 指 定 して 検 証 する 必 要 もあります 仮 想 クラスタのセキュリティ アプライアン スは IPsec を 使 用 して LAN-to-LAN トンネルを 介 して 通 信 します [IPsec Shared Secret] IPsec 暗 号 化 をイネーブルにした 場 合 に IPsec ピア 間 で 伝 達 される 共 有 秘 密 キー これは スペースを 含 まない 4 ~ 16 文 字 の 値 で 大 文 字 と 小 文 字 が 区 別 されます [Priority] [Accept default device value] 選 択 されている 場 合 (デフォルト) デバイスに 割 り 当 てられている デフォルト プライオリティ 値 を 受 け 入 れます [Configure same priority on all devices in the cluster] 選 択 すると クラスタ 内 のすべてのデバイスに 同 じプライオリティ 値 を 設 定 できます プライオリティは 起 動 時 または 既 存 のマスターの 障 害 発 生 時 に このデバイスが 仮 想 クラスタ マスターになる 可 能 性 の 高 さを 示 します [VPN Server Configuration] [Public interfaces] 1 ~ 10 の 値 を 入 力 してください サーバで 使 用 されるパブリック インターフェイス インターフェイスは 定 義 済 みのオブジェクトです [Select] をクリッ クして すべての 使 用 可 能 なインターフェイス およびインターフェ イスのロール 別 に 定 義 されたインターフェイスのセットを 表 示 するダ イアログボックスを 開 きます このダイアログボックスで インター フェイス ロール オブジェクトを 選 択 または 作 成 できます 23-18

第 23 章 [Connection Profiles] ページ 表 23-14 [ASA Cluster Load Balance] ページ ( 続 き) [Private Interfaces] サーバで 使 用 されるプライベート インターフェイス [Send FQDN to client instead of an IP address when redirecting] インターフェイスは 定 義 済 みのオブジェクトです [Select] をクリッ クして すべての 使 用 可 能 なインターフェイス およびインターフェ イスのロール 別 に 定 義 されたインターフェイスのセットを 表 示 するダ イアログボックスを 開 きます このダイアログボックスで インター フェイス ロール オブジェクトを 選 択 または 作 成 できます 選 択 すると ロード バランシングが 設 定 されている ASA デバイスで FQDN を 使 用 するリダイレクションがイネーブルになります 詳 細 に ついては クラスタ ロード バランシングについて(ASA) (P.22-16)を 参 照 してください このチェックボックスは 8.0.2 以 降 を 実 行 している ASA デバイスに かぎり 使 用 可 能 です [Connection Profiles] ページ [Connection Profiles] ページを 使 用 して リモート アクセス VPN トポロジまたは Easy VPN トポロジ の 接 続 プロファイル ポリシーを 管 理 します このポリシーの 使 用 法 は 設 定 する VPN のタイプによっ て 異 なります [Remote access SSL VPN]:ポリシーは ASA デバイスに 対 してだけ 使 用 されます 複 数 のプロ ファイルを 作 成 し [Connection Profiles] ダイアログボックスのすべてのタブの 値 を 設 定 できます [Remote access IPSec VPN]:ポリシーは PIX 7.0+ ソフトウェアを 実 行 している ASA デバイス および PIX ファイアウォールに 対 して 使 用 されます 複 数 のプロファイルを 作 成 できますが [Connection Profiles] ダイアログボックスの [General] [AAA] および [IPSec] タブだけがこの 設 定 に 適 用 されます( 場 合 によってはこれらのタブだけが 表 示 されます) [Easy VPN topologies]:ポリシーは PIX 7.0+ ソフトウェアを 実 行 している ASA デバイスまたは PIX ファイアウォールである Easy VPN サーバ(ハブ)に 対 して 使 用 されます ポリシー ページ が [Connection Profiles] ダイアログボックスが 実 際 に 埋 め 込 まれるように 単 一 のプロファイルを 作 成 できます これにより プロファイルを 定 義 するタブに 直 接 アクセスできます [General] [AAA] および [IPSec] タブだけが 適 用 されます リモート アクセス IPSec および SSL VPN の 場 合 は 次 のようにします プロファイルを 追 加 するには [Add Row] をクリックし [Connection Profiles] ダイアログボック スに 入 力 します 既 存 のプロファイルを 編 集 するには プロファイルを 選 択 し [Edit Row] ボタンをクリックします プロファイルを 削 除 するには プロファイルを 選 択 し [Delete Row] ボタンをクリックします 接 続 プロファイルは 次 のタブで 構 成 されます これらのタブには 設 定 する VPN のタイプに 適 した 値 を 設 定 してください [General] タブ([Connection Profiles]) (P.23-20) [AAA] タブ([Connection Profiles]) (P.23-22) [Secondary AAA] タブ([Connection Profiles]) (P.23-26)(SSL VPN のみ) [IPSec] タブ([Connection Profiles]) (P.23-28) [SSL] タブ([Connection Profiles]) (P.23-30)(SSL VPN のみ) 23-19

[Connection Profiles] ページ 第 23 章 リモート アクセス VPN: (デバイス ビュー)ASA または PIX 7+ デバイスを 選 択 し ポリシー セレクタから [Remote Access VPN] > [Connection Profiles] を 選 択 します (ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [Connection Profiles (ASA)] を 選 択 します 既 存 のポリシーを 選 択 するか または 新 しいポリシーを 作 成 します Easy VPN: [Site-to-Site VPN Manager] ウィンドウ (P.21-17)から Easy VPN トポロジを 選 択 し [Connection Profiles (PIX7.0/ASA)] を 選 択 します (デバイス ビュー)Easy VPN トポロジに 参 加 するデバイスを 選 択 し ポリシー セレクタから [Site to Site VPN] を 選 択 します Easy VPN トポロジを 選 択 して [Edit VPN Policies] をクリックし ポ リシーを 選 択 できる [Site-to-Site VPN Manager] ウィンドウ (P.21-17)を 開 きます (ポリシー ビュー)[Site-to-Site VPN] > [Connection Profiles (PIX7.0/ASA)] を 選 択 します 既 存 のポリシーを 選 択 するか または 新 しいポリシーを 作 成 します ここでは 次 の 内 容 について します [General] タブ([Connection Profiles]) (P.23-20) [AAA] タブ([Connection Profiles]) (P.23-22) [Secondary AAA] タブ([Connection Profiles]) (P.23-26) [IPSec] タブ([Connection Profiles]) (P.23-28) [SSL] タブ([Connection Profiles]) (P.23-30) [General] タブ([Connection Profiles]) [Connection Profiles] ダイアログボックスの [General] タブを 使 用 して VPN Connection Profile ポリ シーの 基 本 プロパティを 設 定 します [Connection Profiles] ページ (P.23-19)から [Add] ボタンをクリックするか エントリを 選 択 して [Edit] ボタンをクリックします Easy VPN トポロジの 場 合 は ポリシーを 選 択 するだけです 必 要 に 応 じて [General] タブをクリックします 接 続 プロファイルの 設 定 (ASA) (P.22-19) [ASA Group Policies] ダイアログボックス (P.24-1) ネットワーク / ホスト オブジェクトについて (P.6-64) Easy VPN における Connection Profile ポリシーの 設 定 (P.21-127) Easy VPN について (P.21-117) 表 23-15 [Connection Profile] の [General] タブ [Connection Profile Name] この 接 続 プロファイルのポリシーを 含 むトンネル グループの 名 前 23-20

第 23 章 [Connection Profiles] ページ 表 23-15 [Connection Profile] の [General] タブ ( 続 き) [Group Policy] 必 要 な 場 合 接 続 プロファイルに 関 連 付 けられているデフォルト ユー ザ グループを 定 義 する ASA グループ ポリシー オブジェクトの 名 前 グループ ポリシーはユーザ 指 向 の 属 性 と 値 のペアの 集 合 であり デバ イスで 内 部 的 に または RADIUS/LDAP サーバで 外 部 的 に 格 納 され ます [Select] をクリックして 既 存 のオブジェクトを 選 択 するか 新 しいオ ブジェクトを 作 成 します [Client Address Assignment] [DHCP Servers] クライアント アドレス 割 り 当 てに 使 用 される DHCP サーバ これら のサーバは リスト 内 の 順 序 で 使 用 されます [Global IP Address Pool] [Interface-Specific Address Pools] テーブル DHCP サーバの IP アドレスを 入 力 するか DHCP サーバ アドレスを 定 義 するネットワーク / ホスト ポリシー オブジェクトの 名 前 を 入 力 し ます [Select] をクリックして 既 存 のネットワーク / ホスト オブジェ クトを 選 択 するか 新 しいネットワーク / ホスト オブジェクトを 作 成 します 複 数 のエントリを 指 定 する 場 合 は カンマで 区 切 ります クライアントの 接 続 先 のインターフェイスにプールが 指 定 されていな い 場 合 に IP アドレスをクライアントに 割 り 当 てるために 使 用 される アドレス プール アドレス プールは 通 常 アドレスの 範 囲 として 入 力 します(10.100.12.2-10.100.12.254 など) サーバはこれらのプール を 一 覧 表 示 されている 順 序 で 使 用 します 最 初 のプールのアドレスが すべて 割 り 当 て 済 みの 場 合 は 次 のプールを 使 用 するというように 続 きます 最 大 で 6 つのプールを 指 定 できます アドレス プール 範 囲 を 入 力 するか これらのプールを 定 義 するネット ワーク / ホスト オブジェクトの 名 前 を 入 力 します [Select] をクリッ クして 既 存 のネットワーク / ホスト オブジェクトを 選 択 するか 新 しいネットワーク / ホスト オブジェクトを 作 成 します 複 数 のエント リを 指 定 する 場 合 は カンマで 区 切 ります 複 数 のエントリを 指 定 す る 場 合 は カンマで 区 切 ります 特 定 のインターフェイスを 介 して 接 続 するクライアントがグローバル プールとは 異 なるプールを 使 用 するように そのインターフェイスに 対 して 個 別 の IP アドレス プールを 設 定 する 場 合 は そのインター フェイスをこのテーブルに 追 加 し 個 別 のプールを 設 定 します この テーブルに 表 示 されていないインターフェイスはすべて グローバル プールを 使 用 します インターフェイス 固 有 のアドレス プールを 追 加 するには [Add Row] ボタンをクリックし [Add Interface Specific Client Address Pools]/[Edit Interface Specific Client Address Pools] ダイ アログボックス (P.23-22)に 入 力 します インターフェイス プールを 編 集 するには インターフェイス プー ルを 選 択 し [Edit Row] ボタンをクリックします インターフェイスを 削 除 するには インターフェイスを 選 択 し [Delete Row] ボタンをクリックします 23-21

[Connection Profiles] ページ 第 23 章 [Add Interface Specific Client Address Pools]/[Edit Interface Specific Client Address Pools] ダイアログボックス [Add Interface Specific Client Address Pools]/[Edit Interface Specific Client Address Pools] ダイアログ ボックスを 使 用 して 接 続 プロファイル ポリシーに 対 してインターフェイス 固 有 のクライアント アド レス プールを 設 定 します [General] タブ([Connection Profiles]) (P.23-20)を 開 き [Interface-Specific Address Pools] テー ブルの 下 の [Add Row] をクリックするか テーブル 内 の 行 を 選 択 して [Edit Row] をクリックします インターフェイス ロール オブジェクトの 作 成 (P.6-58) ネットワーク / ホスト オブジェクトの 作 成 (P.6-66) 表 23-16 [Interface] [Address Pool] [Add Interface Specific Client Address Pools]/[Edit Interface Specific Client Address Pools] ダイアログボックス クライアント アドレスの 割 り 当 て 先 のインターフェイス [Select] をクリックすると すべての 使 用 可 能 なインターフェイスお よびインターフェイス ロールが 一 覧 表 示 されたダイアログボックスが 開 きます このダイアログボックスで インターフェイス ロール オブ ジェクトを 選 択 または 作 成 できます 選 択 したインターフェイスにクライアント アドレスを 割 り 当 てるため に 使 用 するアドレス プール アドレス プールは 定 義 済 みのネットワーク オブジェクトです [Select] をクリックすると ダイアログボックスが 開 き 使 用 可 能 な すべてのネットワーク ホストが 一 覧 表 示 されます このダイアログ ボックスで ネットワーク ホスト オブジェクトを 作 成 または 編 集 でき ます [AAA] タブ([Connection Profiles]) [Connection Profile] ダイアログボックスの [AAA] タブを 使 用 して 接 続 プロファイル ポリシーに AAA 認 証 パラメータを 設 定 します [Connection Profiles] ページ (P.23-19)から [Add] ボタンをクリックするか エントリを 選 択 して [Edit] ボタンをクリックします 次 に [AAA] タブを 選 択 します Easy VPN トポロジの 場 合 は [AAA] タブをクリックするだけです 接 続 プロファイルの 設 定 (ASA) (P.22-19) AAA サーバおよびサーバ グループ オブジェクトについて (P.6-21) Easy VPN における Connection Profile ポリシーの 設 定 (P.21-127) 23-22

第 23 章 [Connection Profiles] ページ Easy VPN について (P.21-117) 表 23-17 [Connection Profile] の [AAA] タブ [Authentication Method] [Authentication Server Group] 接 続 の 認 証 に AAA 証 明 書 その 両 方 のいずれを 使 用 するか [Certificate] を 選 択 した 場 合 ダイアログボックスのオプションの 多 くはグレー 表 示 され 適 用 されません 認 証 サーバ グループの 名 前 (トンネル グループがローカル デバイス に 設 定 されている 場 合 は LOCAL) AAA サーバ グループ オブジェク トの 名 前 を 入 力 します または [Select] をクリックしてリストから 選 択 するか 新 しいオブジェクトを 作 成 します [Use LOCAL if Server Group Fails] クライアントの 接 続 先 のインターフェイスに 基 づいて 別 の 認 証 サーバ グループを 使 用 する 場 合 は このタブの 一 番 下 にある [Interface-Specific Authentication Server Groups] テーブルでサーバ グループを 設 定 します( 後 述 の を 参 照 ) 選 択 した 認 証 サーバ グループで 障 害 が 発 生 した 場 合 に ローカルの 認 証 データベースに 切 り 替 えるかどうか [Authorization Server Group] 認 可 サーバ グループの 名 前 (トンネル グループがローカル デバイス に 設 定 されている 場 合 は LOCAL です) AAA サーバ グループ オブ ジェクトの 名 前 を 入 力 します または [Select] をクリックしてリス トから 選 択 するか 新 しいオブジェクトを 作 成 します [Users must exist in the authorization database to connect] [Accounting Server Group] [Strip Realm from Username] [Strip Group from Username] 正 常 に 接 続 するために クライアントのユーザ 名 が 認 可 データベース 内 に 存 在 すること 要 求 するかどうか 認 可 データベース 内 にユーザ 名 が 存 在 しない 場 合 接 続 は 拒 否 されます アカウンティング サーバ グループの 名 前 AAA サーバ グループ オブ ジェクトの 名 前 を 入 力 します または [Select] をクリックしてリス トから 選 択 するか 新 しいオブジェクトを 作 成 します ユーザ 名 を AAA サーバに 渡 す 前 に ユーザ 名 からレルムまたはグ ループ 名 を 削 除 するかどうか レルムとは 管 理 ドメインのことです これらのオプションをイネーブルにすると ユーザ 名 だけに 基 づいて 認 証 できます これらのオプションを 任 意 に 組 み 合 わせてイネーブルにできます た だし サーバが 区 切 り 文 字 を 解 析 できない 場 合 は 両 方 のチェック ボックスをオンにする 必 要 があります 23-23

[Connection Profiles] ページ 第 23 章 表 23-17 [Connection Profile] の [AAA] タブ ( 続 き) [Override Account-Disabled AAA サーバから account-disabled インジケータを 上 書 きするかど Indication from AAA Server] うか この 設 定 は account-disabled インジケータを 返 すサーバ (NT LDAP を 使 用 する RADIUS Kerberos など)で 有 効 です 認 証 に LDAP ディレクトリ サーバを 使 用 している 場 合 パスワード 管 理 は Sun Microsystems JAVA System Directory Server( 旧 名 称 は Sun ONE Directory Server)および Microsoft Active Directory を 使 用 してサポートされます Sun:Sun ディレクトリ サーバにアクセスするためにセキュリ ティ アプライアンスで 設 定 されている DN は そのサーバ 上 のデ フォルトのパスワード ポリシーにアクセスできる 必 要 がありま す DN として ディレクトリ 管 理 者 またはディレクトリ 管 理 者 権 限 を 持 つユーザを 使 用 することを 推 奨 します あるいは ACI をデフォルトのパスワード ポリシーに 配 置 することもできます [Enable Notification Upon Password Expiration to Allow User to Change Password] [Enable Notification Prior to Expiration] [Notify Prior to Expiration] [Distinguished Name (DN) Authorization Setting] Microsoft:Microsoft Active Directory を 使 用 したパスワード 管 理 をイネーブルにするには LDAP over SSL を 設 定 する 必 要 があ ります セキュリティ アプライアンスによって リモート ユーザのログイン 時 に 現 在 のパスワードの 有 効 期 限 が 間 もなく 切 れること またはすで に 期 限 が 切 れていることを 通 知 し パスワードを 変 更 する 機 会 をユー ザに 提 供 するかどうか パスワードの 有 効 期 限 が 間 もなく 切 れることを 事 前 にユーザに 警 告 す る 場 合 [Enable Notification Prior to Expiration] を 選 択 し 通 知 を 開 始 する 有 効 期 限 前 の 日 数 (1 ~ 180 日 )を 指 定 します このオプショ ンは このような 通 知 をサポートする AAA サーバ(RADIUS NT サーバを 使 用 する RADIUS LDAP サーバなど)で 使 用 できます そ の 他 のタイプのサーバでは 事 前 通 知 はありません 認 可 用 の 識 別 名 を 使 用 する 方 法 Distinguished Name(DN; 識 別 名 ) は 個 々のフィールドから 構 成 される 一 意 の 識 別 子 であり ユーザを トンネル グループと 照 合 するときに 識 別 子 として 使 用 できます DN 規 則 は 拡 張 証 明 書 認 証 に 使 用 されます 次 のオプションから 選 択 し て 認 可 時 の DN の 使 用 方 法 を 決 定 します [Use Entire DN as the Username]:DN 特 定 のフィールドに 焦 点 を 当 てることなく 全 体 を 使 用 します [Specify Individual DN fields as the Username]: 特 定 のフィール ドに 焦 点 を 当 てます プライマリ フィールドを 選 択 し オプショ ンでセカンダリ フィールドを 選 択 します デフォルトでは User Identification(UID; ユーザ ID)フィールドだけを 使 用 します 23-24

第 23 章 [Connection Profiles] ページ 表 23-17 [Connection Profile] の [AAA] タブ ( 続 き) [Interface-Specific Authentication Server Groups] テーブル 特 定 のインターフェイスを 介 して 接 続 するクライアントがグローバル プールとは 異 なるサーバ グループを 使 用 するように そのインター フェイスに 対 して 個 別 の 認 証 サーバ グループを 設 定 する 場 合 は その インターフェイスをこのテーブルに 追 加 し 個 別 のグループを 設 定 し ます ここに 記 載 されていないインターフェイスでは グローバル 認 証 サーバ グループを 使 用 します この 表 には サーバ グループと サーバ グループが 使 用 可 能 でない 場 合 にローカル 認 証 を 使 用 するかど うかを 示 します インターフェイス 固 有 の 認 証 グループをリストに 追 加 するには [Add Row] をクリックし [Add Interface Specific Authentication Server Groups]/[Edit Interface Specific Authentication Server Groups] ダイアログボックス (P.23-25) に 入 力 します インターフェイス 設 定 を 編 集 するには そのインターフェイス 設 定 を 選 択 し [Edit Row] ボタンをクリックします インターフェイス 設 定 を 削 除 するには そのインターフェイス 設 定 を 選 択 し [Delete Row] ボタンをクリックします [Add Interface Specific Authentication Server Groups]/[Edit Interface Specific Authentication Server Groups] ダイアログボックス [Add Interface Specific Authentication Server Groups]/[Edit Interface Specific Authentication Server Groups] ダイアログボックスを 使 用 して 接 続 プロファイル ポリシーにインターフェイス 固 有 の 認 証 を 設 定 します 指 定 されたインターフェイスにクライアントが 接 続 すると グローバル 認 証 サーバ グ ループの 設 定 がこの 設 定 によって 上 書 きされます ASA デバイスで SSL VPN のセカンダリ AAA サーバを 設 定 する 場 合 その 設 定 は ユーザが 入 力 する セカンダリ クレデンシャル セットに 対 して 使 用 されます これは ダイアログボックスの 名 前 に 反 映 されます [AAA] タブ([Connection Profiles]) (P.23-22)または [Secondary AAA] タブ([Connection Profiles]) (P.23-26)を 開 き [(Secondary) Interface Specific Authentication Server Groups] テーブル の 下 の [Add Row] をクリックするか テーブル 内 の 行 を 選 択 して [Edit Row] をクリックします 接 続 プロファイルの 設 定 (ASA) (P.22-19) インターフェイス ロール オブジェクトについて (P.6-57) AAA サーバおよびサーバ グループ オブジェクトについて (P.6-21) 23-25

[Connection Profiles] ページ 第 23 章 表 23-18 [Interface] [Server Group] [Add (Secondary) Interface Specific Authentication Server Groups]/[Edit (Secondary) Interface Specific Authentication Server Groups] 認 証 サーバ グループを 設 定 するインターフェイスまたは(インター フェイスを 識 別 する)インターフェイス ロールの 名 前 [Select] をク リックして インターフェイスまたはインターフェイス ロールを 選 択 するか 新 しいインターフェイス ロールを 作 成 します 認 証 サーバ グループの 名 前 (トンネル グループがローカル デバイス に 設 定 されている 場 合 は LOCAL) AAA サーバ グループ オブジェク トの 名 前 を 入 力 します または [Select] をクリックしてリストから 選 択 するか 新 しいオブジェクトを 作 成 します [Use LOCAL if Server Group Fails] [Use Primary Username] (セカンダリ 認 証 だけ ASA 8.2+ での SSL VPN にかぎり ます) セカンダリ AAA を 設 定 する 場 合 2 番 目 のクレデンシャルに 対 して このグループが 使 用 されます プライマリ クレデンシャルとセカンダ リ クレデンシャルには 別 々のサーバ グループを 指 定 できます 選 択 した 認 証 サーバ グループで 障 害 が 発 生 した 場 合 に ローカルの 認 証 データベースに 切 り 替 えるかどうか プライマリ クレデンシャルに 使 用 したのと 同 じユーザ 名 をセカンダリ クレデンシャルに 使 用 するかどうか このオプションを 選 択 した 場 合 ユーザは プライマリ クレデンシャルで 認 証 されたあと セカン ダリ パスワードだけを 要 求 されます このオプションを 選 択 しない 場 合 は セカンダリ プロンプトによってユーザ 名 とパスワードの 両 方 が 要 求 されます [Secondary AAA] タブ([Connection Profiles]) [Secondary AAA] タブを 使 用 して ASA 8.2+ デバイスで 使 用 する SSL VPN 接 続 プロファイル ポリ シーにセカンダリ AAA 認 証 パラメータを 設 定 します これらの 設 定 は リモート アクセス IPSec VPN や Easy VPN トポロジ またはその 他 のデバイス タイプには 適 用 されません [Connection Profiles] ページ (P.23-19)から [Add] ボタンをクリックするか エントリを 選 択 して [Edit] ボタンを 選 択 します 次 に [Secondary AAA] タブを 選 択 します 接 続 プロファイルの 設 定 (ASA) (P.22-19) 表 23-19 [Connection Profile] の [Secondary AAA] タブ [Enable Double Authentication] SSL VPN 接 続 を 完 了 する 前 にユーザに 2 つのクレデンシャル セット (ユーザ 名 とパスワード)を 要 求 する 二 重 認 証 をイネーブルにするか どうか 23-26

第 23 章 [Connection Profiles] ページ 表 23-19 [Connection Profile] の [Secondary AAA] タブ ( 続 き) [Secondary Authentication Server Group] [Use LOCAL if Server Group Fails] [Use Primary Username for Secondary Authentication] [Username for Session] [Authorization Authentication Server] [Distinguished Name (DN) Secondary Authorization Setting] 2 番 目 のクレデンシャル セットで 使 用 する 認 証 サーバ グループの 名 前 (トンネル グループがローカル デバイスに 設 定 されている 場 合 は LOCAL です) AAA サーバ グループ オブジェクトの 名 前 を 入 力 しま す または [Select] をクリックしてリストから 選 択 するか 新 しい オブジェクトを 作 成 します クライアントの 接 続 先 のインターフェイスに 基 づいて 別 の 認 証 サーバ グループを 使 用 する 場 合 は このタブの 一 番 下 にある [Secondary Interface-Specific Authentication Server Groups] テーブルでサーバ グ ループを 設 定 します( 後 述 の を 参 照 ) 選 択 した 認 証 サーバ グループで 障 害 が 発 生 した 場 合 に ローカルの 認 証 データベースに 切 り 替 えるかどうか プライマリ クレデンシャルに 使 用 したのと 同 じユーザ 名 をセカンダリ クレデンシャルに 使 用 するかどうか このオプションを 選 択 した 場 合 ユーザは プライマリ クレデンシャルで 認 証 されたあと セカン ダリ パスワードだけを 要 求 されます このオプションを 選 択 しない 場 合 は セカンダリ プロンプトによってユーザ 名 とパスワードの 両 方 が 要 求 されます ソフトウェアがユーザ セッションに 使 用 するユーザ 名 プライマリ 名 かセカンダリ 名 のいずれかとなります プライマリ 名 だけを 要 求 する 場 合 は プライマリを 選 択 します ( 注 ) デフォルトでは 複 数 のユーザ 名 が 存 在 する 場 合 AnyConnect では 複 数 のセッションの 間 両 方 のユーザ 名 を 記 憶 します また ヘッドエンド デバイスに クライアント がユーザ 名 の 両 方 を 記 憶 するか またはいずれも 記 憶 しないか についての 管 理 制 御 機 能 が 備 えられていることもあります 認 可 に 使 用 するサーバ ([AAA] タブで 定 義 されている)プライマリ 認 証 サーバか このタブで 設 定 されているセカンダリ 認 証 サーバのい ずれかです 認 可 用 の 識 別 名 を 使 用 する 方 法 Distinguished Name(DN; 識 別 名 ) は 個 々のフィールドから 構 成 される 一 意 の 識 別 子 であり ユーザを トンネル グループと 照 合 するときに 識 別 子 として 使 用 できます DN 規 則 は 拡 張 証 明 書 認 証 に 使 用 されます 次 のオプションから 選 択 し て 認 可 時 の DN の 使 用 方 法 を 決 定 します [Use Entire DN as the Username]:DN 特 定 のフィールドに 焦 点 を 当 てることなく 全 体 を 使 用 します [Specify Individual DN fields as the Username]: 特 定 のフィール ドに 焦 点 を 当 てます プライマリ フィールドを 選 択 し オプショ ンでセカンダリ フィールドを 選 択 します デフォルトでは User Identification(UID; ユーザ ID)フィールドだけを 使 用 します 23-27

[Connection Profiles] ページ 第 23 章 表 23-19 [Connection Profile] の [Secondary AAA] タブ ( 続 き) [Secondary Interface-Specific Authentication Server Groups] テーブル 特 定 のインターフェイスを 介 して 接 続 するクライアントがグローバル プールとは 異 なるサーバ グループを 使 用 するように そのインター フェイスに 対 して 個 別 のセカンダリ 認 証 サーバ グループを 設 定 する 場 合 は そのインターフェイスをこのテーブルに 追 加 し 個 別 のグルー プを 設 定 します ここに 記 載 されていないインターフェイスでは グ ローバル 認 証 サーバ グループを 使 用 します この 表 には サーバ グ ループと サーバ グループが 使 用 可 能 でない 場 合 にローカル 認 証 を 使 用 するかどうかを 示 します セカンダリ インターフェイス 固 有 の 認 証 グループをリストに 追 加 するには [Add Row] ボタンをクリックし [Add Interface Specific Authentication Server Groups]/[Edit Interface Specific Authentication Server Groups] ダイアログボックス (P.23-25) に 入 力 します インターフェイス 設 定 を 編 集 するには そのインターフェイス 設 定 を 選 択 し [Edit Row] ボタンをクリックします インターフェイス 設 定 を 削 除 するには そのインターフェイス 設 定 を 選 択 し [Delete Row] ボタンをクリックします [IPSec] タブ([Connection Profiles]) [Connection Profiles] ページの [IPsec] タブを 使 用 して 接 続 ポリシーに IPsec および IKE パラメータ を 指 定 します [Connection Profiles] ページ (P.23-19)から [Add Row] ボタンをクリックするか エントリを 選 択 して [Edit Row] ボタンをクリックします 次 に [IPSec] タブを 選 択 します Easy VPN トポロジの 場 合 は [IPSec] タブをクリックするだけです 接 続 プロファイルの 設 定 (ASA) (P.22-19) Easy VPN における Connection Profile ポリシーの 設 定 (P.21-127) Easy VPN について (P.21-117) 表 23-20 [Connection Profiles] の [IPsec] タブ [Preshared Key] 接 続 プロファイルの 事 前 共 有 キーの 値 事 前 共 有 キーの 最 大 長 は 127 文 字 です [Confirm] フィールドにキーを 再 入 力 します 23-28

第 23 章 [Connection Profiles] ページ 表 23-20 [Connection Profiles] の [IPsec] タブ ( 続 き) [Trustpoint Name] [IKE Peer ID Validation] [Enable Sending Certificate Chain] [Enable Password Update with RADIUS Authentication] [ISAKMP Keepalive] トラストポイント 名 を 定 義 する PKI 登 録 ポリシー オブジェクトの 名 前 (トラストポイントが 設 定 されている 場 合 ) トラストポイントは Certificate Authority(CA; 認 証 局 )とアイデンティティのペアを 表 し CA のアイデンティティ CA 固 有 の 設 定 パラメータ および 登 録 されている 1 つのアイデンティティ 証 明 書 との 関 連 付 けが 含 まれます [Select] をクリックしてリストからオブジェクトを 選 択 するか また は 新 しいオブジェクトを 作 成 します IKE ピア ID 検 証 を 無 視 する( 確 認 しない)か 必 須 とするか また は 証 明 書 によってサポートされている 場 合 にかぎり 確 認 するかを 選 択 します IKE ネゴシエーション 中 ピアは 互 いに 自 身 を 識 別 する 必 要 があります 認 可 で 証 明 書 チェーンの 送 信 をイネーブルにするかどうか 証 明 書 チェーンには ルート CA 証 明 書 アイデンティティ 証 明 書 および キー ペアが 含 まれます RADIUS 認 証 プロトコルを 使 用 してパスワードを 更 新 できるかどう か 詳 細 については サポートされる AAA サーバ タイプ (P.6-22) を 参 照 してください ISAKMP キープアライブをモニタするかどうか [Monitor Keepalive] オプションを 選 択 した 場 合 デフォルトのフェールオーバーおよび ルーティングのメカニズムとして IKE キープアライブを 設 定 できま す 次 のパラメータを 入 力 します [Confidence Interval]:IKE キープアライブ パケットの 送 信 と 送 信 の 間 のデバイスの 待 機 時 間 ( 秒 単 位 ) [Retry Interval]:リモート ピアとの IKE 接 続 を 確 立 しようとする 試 行 と 試 行 の 間 のデバイスの 待 機 時 間 ( 秒 単 位 ) デフォルトは 2 秒 です [Client Software Update] テーブル 詳 細 については ISAKMP/IPsec 設 定 について (P.21-75)を 参 照 し てください クライアント プラットフォームの VPN クライアントのリビジョン レ ベルおよび URL すべての [All Windows Platforms] [Windows 95/98/ME] [Windows NT4.0/2000/XP] または [VPN3002 Hardware Client] に 対 して 別 々のリビジョン レベルを 設 定 できます プラットフォームにクライアントを 設 定 するには クライアントを 選 択 して [Edit Row] ボタンをクリックし [IPSec Client Software Update] ダイアログボックス (P.23-29)に 入 力 します [IPSec Client Software Update] ダイアログボックス [IPSec Client Software Update] ダイアログボックスを 使 用 して VPN クライアントの 特 定 のリビジョ ン レベルおよびイメージ URL を 設 定 します [IPSec] タブ([Connection Profiles]) (P.23-28)から [Client Software Update] テーブル 内 のクラ イアント タイプを 選 択 し [Edit] をクリックします 23-29

[Connection Profiles] ページ 第 23 章 [Connection Profiles] ページ (P.23-19) 接 続 プロファイルの 設 定 (ASA) (P.22-19) 表 23-21 [IPSec Client Software Update] ダイアログボックス [Client Type] [Client Revisions] [Image URL] 変 更 するクライアントのタイプ クライアントのリビジョン レベル クライアント ソフトウェア イメージの URL [SSL] タブ([Connection Profiles]) [Connection Profile] ダイアログボックスの [SSL] タブを 使 用 して 接 続 プロファイル ポリシーの WINS サーバの 設 定 SSL VPN エンドユーザ ログイン Web ページのカスタマイズ 済 みルック アンド フィールの 選 択 クライアント アドレス 割 り 当 てに 使 用 する DHCP サーバの 選 択 およびインター フェイスとクライアント IP アドレス プールの 関 連 付 けの 確 立 を 行 います これらの 設 定 は リモート アクセス IPSec VPN や Easy VPN トポロジには 適 用 されません [Connection Profiles] ページ (P.23-19)から [Add] ボタンをクリックするか エントリを 選 択 して [Edit] ボタンをクリックします 次 に [SSL] タブを 選 択 します 接 続 プロファイルの 設 定 (ASA) (P.22-19) WINS/NetBIOS Name Service(NBNS)サーバの 設 定 による SSL VPN でのファイル システム ア クセスのイネーブル 化 (P.22-76) ネットワーク / ホスト オブジェクトについて (P.6-64) SSL VPN カスタマイゼーション オブジェクトを 使 用 した ASA ポータル 表 示 の 設 定 (P.22-66) 23-30

第 23 章 [Connection Profiles] ページ 表 23-22 [Connection Profile] の [SSL] タブ [WINS Servers List] CIFS 名 前 解 決 に 使 用 する Windows Internet Naming Server(WINS) サーバ リストの 名 前 SSL VPN は CIFS プロトコルを 使 用 して リモート システムのファ イルをアクセスまたは 共 有 します Windows コンピュータの 名 前 を 使 用 してそのコンピュータへのファイル 共 有 接 続 を 試 行 する 場 合 指 定 するファイル サーバは ネットワーク 上 のリソースを 識 別 する 特 定 の WINS サーバ 名 と 対 応 しています WINS サーバ リストは Windows ファイル サーバ 名 を IP アドレスに 変 換 するために 使 用 される WINS サーバのリストを 定 義 するもので す セキュリティ アプライアンスは WINS サーバを 照 会 して WINS 名 を IP アドレスにマップします 少 なくとも 1 台 の WINS サーバを 設 定 する 必 要 があります 冗 長 性 のために 最 大 3 台 設 定 でき ます セキュリティ アプライアンスは リストの 最 初 のサーバを WINS/CIFS 名 前 解 決 に 使 用 します クエリーが 失 敗 すると 次 の サーバが 使 用 されます [DNS Group] [Portal Page Customization] WINS サーバ リストは 定 義 済 みのオブジェクトです 別 の WINS サーバ リストを 使 用 する 場 合 は [Select] をクリックして すべての WINS サーバ リスト オブジェクトが 一 覧 表 示 された [WINS Server List Selector] ダイアログボックスを 開 きます このダイアログボック スで WINS サーバ リスト オブジェクトを 作 成 できます SSL VPN トンネル グループに 使 用 する DNS グループ DNS グループ は ホスト 名 をトンネル グループに 適 した DNS サーバに 解 決 します 提 供 されたフィールドで デフォルトの SSL VPN カスタマイゼーショ ン プロファイルを 指 定 します このプロファイルでは リモート ユー ザが SSL VPN ネットワーク 上 で 使 用 可 能 なすべてのリソースにアクセ スできるようにするためのポータル ページの 外 観 を 定 義 します ( 注 ) カスタマイゼーション プロファイルとグループの 組 み 合 わせ を 使 用 することで 個 々のグループにそれぞれ 異 なるログイン ウィンドウを 設 定 できます たとえば salesgui という 名 前 の カスタマイゼーション プロファイルを 作 成 してあるとすると そのカスタマイゼーション プロファイルを 使 用 する sales とい う 名 前 の SSL VPN グループを 作 成 できます [Customization Profiles] ダイアログボックスの [General] タブで グループを 指 定 します [Override SVC Download] カスタマイゼーション プロファイルは 定 義 済 みのオブジェクトで す [Select] をクリックすると [SSL VPN Customization Selector] ダ イアログボックスが 開 きます このダイアログボックスで カスタマ イゼーション オブジェクトを 選 択 または 作 成 できます 特 定 のトンネル グループを 使 用 してログインするクライアントレス ユーザに ダウンロード プロンプトの 時 間 切 れを 待 たなくてもクライ アントレス SSL VPN ホームページが 表 示 されるようにする 場 合 は このチェックボックスをオンにします この 場 合 これらのユーザに は 即 時 にクライアントレス SSL VPN ホームページが 表 示 されます 23-31

[Connection Profiles] ページ 第 23 章 表 23-22 [Connection Profile] の [SSL] タブ ( 続 き) [Reject Radius Message] 認 証 の 失 敗 に 関 する RADIUS メッセージをリモート ユーザに 表 示 す る 場 合 は このチェックボックスをオンにします [Connection Aliases] [Alias] トンネル グループの 参 照 に 使 用 する 代 替 名 グループ エイリアスにより ユーザがトンネル グループの 参 照 に 使 用 できる 1 つ 以 上 の 代 替 名 が 作 成 されます 同 じグループが 複 数 の 通 常 名 ( Devtest と QA など)で 認 識 されている 場 合 は この 機 能 が 役 立 ちます トンネル グループの 実 際 の 名 前 をこのリストに 表 示 する 場 合 は その 名 前 をエイリアスとして 指 定 する 必 要 があります ここ で 指 定 したグループ エイリアスは ログイン ページに 表 示 されます 各 トンネル グループには 複 数 のエイリアスを 指 定 することも エイ リアスを 指 定 しないこともできます [Status] [Create] ボタン [Edit] ボタン [Delete] ボタン [Group URLs] [URL] 詳 細 については 接 続 プロファイルについて(ASA) (P.22-18)を 参 照 してください グループ エイリアスをイネーブルにするかどうかを 指 定 します イネーブルにした 場 合 は ログイン 時 にグループ エイリアスがリスト に 表 示 されます グループ エイリアスを 作 成 するための [Add Connection Alias]/[Edit Connection Alias] ダイアログボックス (P.23-33)を 開 きます テーブル 内 で 選 択 したグループ エイリアスの 設 定 を 編 集 するための [Add Connection Alias]/[Edit Connection Alias] ダイアログボック ス (P.23-33)を 開 きます テーブル 内 で 選 択 した 1 つ 以 上 のグループ エイリアスを 削 除 します トンネル グループ 接 続 プロファイルと 関 連 付 けられた URL 1 つのトンネル グループに 対 して 複 数 の URL を 設 定 できます また は URL を 設 定 しないこともできます 各 URL は 個 別 にイネーブ ルまたはディセーブルにできます URL ごとに HTTP または HTTPS プロトコルを 使 用 して URL 全 部 を 指 定 することにより 個 別 の 指 定 を 使 用 する 必 要 があります [Status] [Create] ボタン [Edit] ボタン [Delete] ボタン 詳 細 については 接 続 プロファイルについて(ASA) (P.22-18)を 参 照 してください グループ URL をイネーブルにするかどうかを 指 定 します イネーブ ルにした 場 合 ログイン 時 にグループを 選 択 する 必 要 はありません このボタンをクリックすると グループ URL を 作 成 するための [Add Group URL] ダイアログボックスが 開 きます [Add Connection URL]/[Edit Connection URL] ダイアログボックス (P.23-33)を 参 照 してください テーブル 内 のグループ URL を 選 択 してこのボタンをクリックすると 設 定 を 編 集 するための [Edit Group URL] ダイアログボックスが 開 きま す [Add Connection URL]/[Edit Connection URL] ダイアログボッ クス (P.23-33)を 参 照 してください 1 つ 以 上 のグループ URL の 行 を 選 択 し このボタンをクリックしてリ ストから 削 除 します 23-32

第 23 章 [Connection Profiles] ページ [Add Connection Alias]/[Edit Connection Alias] ダイアログボックス [Add Connection Alias]/[Edit Connection Alias] ダイアログボックスを 使 用 して SSL VPN 接 続 プロ ファイルの 接 続 エイリアスを 作 成 または 編 集 します 接 続 エイリアスを 指 定 すると ユーザがトンネル グループの 参 照 に 使 用 できる 1 つ 以 上 の 代 替 名 が 作 成 されます [SSL] タブ([Connection Profiles]) (P.23-30)を 開 き [Connection Aliases] テーブルの 下 の [Create] をクリックするか テーブル 内 の 行 を 選 択 して [Edit] をクリックします [Connection Profiles] ページ (P.23-19) 接 続 プロファイルの 設 定 (ASA) (P.22-19) 表 23-23 [Add Connection Profile]/[Edit Connection Profile] > [Add Connection Alias]/[Edit Connection Alias] ダイアログボックス [Enabled] 接 続 エイリアスがイネーブルになっているかどうかを 示 します [Connection Alias] 接 続 プロファイルの 代 替 名 ここで 指 定 した 接 続 エイリアスは ユーザのログイン ページのリスト に 表 示 されます 各 グループに 対 して 複 数 のエイリアスを 指 定 するこ とも エイリアスを 指 定 しないこともできます それぞれを 別 のコマ ンドで 指 定 します [Add Connection URL]/[Edit Connection URL] ダイアログボックス このダイアログボックスを 使 用 して トンネル グループに 着 信 URL または IP アドレスを 指 定 します トンネル グループ 内 の 接 続 URL がイネーブルになっている 場 合 セキュリティ アプライアンスによ り 関 連 付 けられたトンネル グループが 選 択 され ログイン ウィンドウ 内 にユーザ 名 フィールドとパ スワード フィールドだけが 表 示 されます ( 注 ) 1 つのグループに 対 して 複 数 の URL またはアドレスを 設 定 できます( 何 も 設 定 しないこともできま す) 各 URL またはアドレスは 個 別 にイネーブルまたはディセーブルにできます 同 じ URL またはアドレスを 複 数 のグループに 関 連 付 けることはできません セキュリティ アプライア ンスは トンネル グループの URL またはアドレスを 受 け 入 れる 前 に URL またはアドレスの 一 意 性 を 検 証 します [SSL] タブ([Connection Profiles]) (P.23-30)を 開 き [Group URLs] テーブルの 下 の [Create] をク リックするか テーブル 内 の 行 を 選 択 して [Edit] をクリックします [Connection Profiles] ページ (P.23-19) 接 続 プロファイルの 設 定 (ASA) (P.22-19) 23-33