クライアントレス SSL VPN でのシングル サインオンの使用
シングル サインオンのサポートを使用すると、クライアントレス SSL VPN のユーザは、ユーザ名とパスワードを 1 回入力するだけで、保護された複数のサービスや Web サーバにアクセスできます。一般に、SSO のメカニズムは AAA プロセスの一部として開始されるか、または AAA サーバのユーザ認証に成功した直後に開始されます。ASA で実行するクライアントレス SSL VPN サーバは、認証サーバに対するユーザのプロキシとして動作します。ユーザがログインすると、クライアントレス SSL VPN サーバは、ユーザ名とパスワードを含む SSO 認証要求を認証サーバに送信します。サーバが認証要求を受け入れた場合は、クライアントレス SSL VPN サーバに SSO 認証クッキーを戻します。ASA は、ユーザの代わりにこのクッキーを保持し、ユーザの認証にこのクッキーを使用して、SSO サーバで保護されているドメイン内の Web サイトの安全を守ります。
この項では、クライアントレス SSL VPN でサポートされる 4 つの SSO 認証方法について説明します。これらの認証方法には、HTTP Basic 認証と NTLMv1(NT LAN Manager)認証、Computer Associates の eTrust SiteMinder SSO サーバ(以前の Netegrity SiteMinder)、および Security Assertion Markup Language(SAML)のバージョン 1.1、POST-type SSO サーバ認証があります。
この項では、次の内容について説明します。
• 「HTTP Basic 認証または NTLM 認証による SSO の設定」
• 「SiteMinder を使用した SSO 認証の設定」
• 「SAML Browser Post Profile を使用した SSO 認証の設定」
• 「HTTP Form プロトコルを使用した SSO の設定」
HTTP Basic 認証または NTLM 認証による SSO の設定
この項では、HTTP Basic 認証または NTLM 認証を使用するシングル サインオンについて説明します。この方法のいずれかまたは両方を使用して SSO を実装するように ASA を設定することができます。 auto-sign-on コマンドを使用すると、ASA はクライアントレス SSL VPN ユーザのログインのクレデンシャル(ユーザ名およびパスワード)を内部サーバに自動的に渡すように設定されます。複数の auto-sign-on コマンドを入力できます。コマンドを複数回入力すると、ASA は入力順(先に入力されたコマンドを優先)にこれらを処理します。IP アドレスと IP マスク、または URI マスクのいずれかを使用してログインのクレデンシャルを受信するようにサーバに指定します。
クライアントレス SSL VPN コンフィギュレーション、クライアントレス SSL VPN グループポリシー モード、またはクライアントレス SSL VPN ユーザ名モードの 3 つのモードのいずれかで、 auto-sign-on コマンドを使用します。ユーザ名はグループより優先され、グループはグローバルより優先されます。認証に必要な範囲のモードを選択します。
|
|
|
クライアントレス SSL VPN ユーザ全員に対するグローバルな範囲 |
webvpn グループ ポリシー コンフィギュレーション
|
グループ ポリシーで定義されるクライアントレス SSL VPN ユーザのサブセット |
|
個々のクライアントレス SSL VPN ユーザ |
手順の詳細
次の例では、モードと引数の組み合わせが可能なさまざまなコマンドについて説明します。
|
|
|
ステップ 1 |
hostname(config)# webvpn hostname(config-webvpn)# auto-sign-on allow ip 10.1.1.1 255.255.255.0 auth-type ntlm |
NTLM 認証を使用し、10.1.1.0 ~ 10.1.1.255 の IP アドレス範囲に存在するサーバに対するすべてのクライアントレス SSL VPN ユーザからのアクセスに auto-sign-on を設定します。 |
ステップ 2 |
hostname(config)# webvpn hostname(config-webvpn)# auto-sign-on allow uri https://*.example.com/* auth-type basic |
基本の HTTP 認証を使用するすべてのクライアントレス SSL VPN ユーザに対し、URI マスク https://*.example.com/* で定義されたサーバへのアクセスに auto-sign-on を設定します。 |
ステップ 3 |
hostname(config)# group-policy ExamplePolicy attributes hostname(config-group-policy)# webvpn hostname(config-group-webvpn)# auto-sign-on allow uri https://*.example.com/* auth-type all |
基本認証または NTLM 認証を使用して、ExamplePolicy グループ ポリシーと関連付けられているクライアントレス SSL VPN セッションに対し、URI マスクで定義されたサーバへのアクセスに auto-sign-on を設定します。 |
ステップ 4 |
hostname(config)# username Anyuser attributes hostname(config-username)# webvpn hostname(config-username-webvpn)# auto-sign-on allow ip 10.1.1.1 255.255.255.0 auth-type basic |
HTTP 基本認証を使用し、10.1.1.0 ~ 10.1.1.255 の IP アドレス範囲に存在するサーバに対する Anyuser と名付けられたユーザからのアクセスに auto-sign-on を設定します。 |
ステップ 5 |
(config-webvpn)# smart-tunnel auto-sign-on host-list [use-domain] [realm realm string] [port port num] [host host mask | ip address subnet mask] |
特定のポートで自動サインオンを設定し、認証のレルムを設定します。 |
SiteMinder を使用した SSO 認証の設定
この項では、SiteMinder を使用して SSO をサポートするための ASA の設定について説明します。ユーザの Web サイトのセキュリティ インフラストラクチャにすでに SiteMinder を組み込んでいる場合は、SiteMinder を使用して SSO を実装するのが一般的です。この方式では、SSO 認証は AAA とは分離され、AAA プロセスが完了するとこの認証が 1 回行われます。
前提条件
• SSO サーバの指定。
• ASA が SSO 認証要求を作成するための SSO サーバの URL の指定。
• ASA と SSO サーバとの間でセキュアな通信を確立するための秘密キーの指定。このキーはパスワードのようなもので、ユーザが作成および保存し、Cisco Java プラグイン認証スキームを使用して ASA および SiteMinder ポリシー サーバの両方で入力します。
これらの必須のタスクに加えて、次のようなオプションの設定タスクを行うことができます。
• 認証要求のタイムアウトの設定。
• 認証要求のリトライ回数の設定。
制限
クライアントレス SSL VPN アクセスを行うユーザまたはグループに SSO を設定するには、まず RADIUS サーバや LDAP サーバなどの AAA サーバを設定する必要があります。次に、クライアントレス SSL VPN に対する SSO のサポートを設定できます。
手順の詳細
この項では、CA SiteMinder による SSO 認証をサポートするための ASA の特定の設定手順について説明します。
|
|
|
ステップ 1 |
webvpn |
クライアントレス SSL VPN コンフィギュレーション モードに切り替えます。 |
ステップ 2 |
sso-server type type
hostname(config)# webvpn hostname(config-webvpn)# sso-server Example type siteminder hostname(config-webvpn-sso-siteminder)# |
SSO サーバを作成します。 タイプが siteminder の Example という名前の SSO サーバを作成します。 |
ステップ 3 |
config-webvpn-sso-siteminder |
SiteMinder コンフィギュレーション モードに切り替えます。 |
ステップ 4 |
web-agent-url
hostname(config-webvpn-sso-siteminder)#
w
eb-agent-url http://www.Example.com/webvpn
hostname(config-webvpn-sso-siteminder)# |
SSO サーバの認証 URL を指定します。 http://www.Example.com/webvpn という URL に認証要求を送信します。 |
ステップ 5 |
policy-server-secret secret
hostname(config-webvpn-sso-siteminder)#
policy-server-secret AtaL8rD8!
hostname(config-webvpn-sso-siteminder)# |
ASA と SiteMinder との間でセキュアな認証通信を確立するための秘密キーを指定します。 秘密キー AtaL8rD8! を作成します。キーの長さは、標準またはシフト式英数字を使用した任意の文字長にできますが、ASA と SSO サーバの両方で同じキーを入力する必要があります。 |
ステップ 6 |
request-timeout seconds
hostname(config-webvpn-sso-siteminder)#
request-timeout 8
hostname(config-webvpn-sso-siteminder)# |
失敗した SSO 認証試行をタイムアウトさせるまでの秒数を設定します。デフォルトの秒数は 5 で、1 ~ 30 秒までの範囲で指定できます。 要求がタイムアウトするまでの秒数を 8 に変更します。 |
ステップ 7 |
max-retry-attempts
hostname(config-webvpn-sso-siteminder)#
max-retry-attempts 4
hostname(config-webvpn-sso-siteminder)# |
失敗した SSO 認証試行を ASA が再試行する回数を設定します。この回数を超えて失敗すると認証タイムアウトになります。デフォルトの再試行回数は 3 で、1 回から 5 回までの範囲で指定できます。 再試行回数を 4 に設定します。 |
ステップ 8 |
username-webvpn group-policy-webvpn |
ユーザの認証を指定する場合。 グループの認証を指定する場合。 |
ステップ 9 |
sso-server value value
hostname(config)#
username Anyuser attributes
hostname(config-username)#
webvpn
hostname(config-username-webvpn)#
sso-server value value
hostname(config-username-webvpn)#
|
グループまたはユーザの SSO 認証を指定します。 Example という名前の SSO サーバを Anyuser という名前のユーザに割り当てます。 |
ステップ 10 |
test sso-server server username username
hostname#
test sso-server Example username Anyuser
INFO: Attempting authentication request to sso-server Example for user Anyuser
hostname# |
SSO サーバの設定をテストします。 Example という名前の SSO サーバをユーザ名 Anyuser を使用してテストします。 |
シスコの認証スキームの SiteMinder への追加
SiteMinder による SSO を使用するための ASA の設定に加え、Java プラグインとして提供されているシスコの認証スキーム(シスコの Web サイトからダウンロード)を使用するようにユーザの CA SiteMinder ポリシー サーバを設定する必要もあります。
前提条件
SiteMinder ポリシー サーバを設定するには、SiteMinder の経験が必要です。
手順の詳細
この項では、手順のすべてではなく、一般的なタスクを取り上げます。
ステップ 1 SiteMinder Administration ユーティリティを使用して、次の特定の引数を使用できるようにカスタム認証スキームを作成します。
• [Library] フィールドに、 smjavaapi と入力します。
• [Secret] フィールドに、ASA に設定したものと同じ秘密キーを入力します。
コマンドライン インターフェイスで policy-server-secret コマンドを使用して、ASA に秘密キーを設定します。
• [Parameter] フィールドに、 CiscoAuthAPI と入力します。
ステップ 2 Cisco.com にログインして、 http://www.cisco.com/cisco/software/navigator.html から cisco_vpn_auth.jar ファイルをダウンロードして、SiteMinder サーバのデフォルトのライブラリ ディレクトリにコピーします。この .jar ファイルは、Cisco ASA CD にも含まれています。
SAML Browser Post Profile を使用した SSO 認証の設定
この項では、認可されたユーザに対し、Security Assertion Markup Language(SAML)、バージョン 1.1 POST プロファイル シングル サインオン(SSO)をサポートするための ASA の設定について説明します。
セッション開始後、ASA は設定済みの AAA 方式に対してユーザを認証します。次に、ASA(アサーティング パーティ)は、SAML サーバが提供するコンシューマ URL サービスであるリライング パーティに対してアサーションを生成します。SAML の交換が成功すると、ユーザは保護されているリソースへのアクセスを許可されます。
前提条件
SAML Browser Post Profile を使用して SSO を設定するには、次のタスクを実行する必要があります。
• sso-server コマンドを使用した SSO サーバの指定
• 認証要求を行うための SSO サーバの URL の指定( assertion-consumer-url コマンド)
• 認証要求を発行するコンポーネントとしての ASA ホスト名の指定( issuer コマンド)
• SAML Post Profile アサーションの署名に使用するトラストポイント証明書の指定( trustpoint コマンド)
これらの必須タスクに加えて、次のようなオプションの設定タスクを行うことができます。
• 認証要求のタイムアウトの設定( request-timeout コマンド)
• 認証要求のリトライ回数の設定( max-retry-attempts コマンド)
制限
• SAML SSO は、クライアントレス SSL VPN セッションに対してのみサポートされています。
• ASA は、現在、SAML SSO サーバの Browser Post Profile タイプのみをサポートしています。
• SAML Browser Artifact プロファイル方式のアサーション交換はサポートされていません。
手順の詳細
この項では、SAML-V1.1-POST プロファイルによる SSO 認証をサポートするための ASA の特定の設定手順について説明します。
|
|
|
ステップ 1 |
webvpn |
クライアントレス SSL VPN コンフィギュレーション モードに切り替えます。 |
ステップ 2 |
sso-server type type
hostname(config-webvpn)#
sso-server sample type SAML-V1.1-post
hostname(config-webvpn-sso-saml)# |
SSO サーバを作成します。 タイプが SAML-V1.1-POST の Sample という名前の SSO サーバを作成します。 |
ステップ 3 |
sso saml |
クライアントレス SSL VPN sso-saml コンフィギュレーション モードに切り替えます。 |
ステップ 4 |
assertion-consumer-url url
hostname(config-webvpn-sso-saml)# assertion-consumer-url http://www.example.com/webvpn
hostname(config-webvpn-sso-saml)# |
SSO サーバの認証 URL を指定します。 http://www.Example.com/webvpn という URL に認証要求を送信します。 |
ステップ 5 |
hostname(config-webvpn-sso-saml)#
issuer myasa
hostname(config-webvpn-sso-saml)# |
ASA でアサーションを生成する場合は、ASA 自体を識別します。通常、この issuer 名は ASA のホスト名になります。 |
ステップ 6 |
trust-point hostname(config-webvpn-sso-saml)# trust-point mytrustpoint |
アサーションに署名するための ID 証明書を指定します。 |
ステップ 7 |
(オプション) request-timeout
hostname(config-webvpn-sso-saml)#
request-timeout 8
hostname(config-webvpn-sso-saml)# |
失敗した SSO 認証試行をタイムアウトさせるまでの秒数を設定します。 要求がタイムアウトするまでの秒数を 8 に設定します。デフォルトの秒数は 5 で、1 秒から 30 秒までの範囲で指定できます。 |
ステップ 8 |
(オプション) max-retry-attempts
hostname(config-webvpn-sso-saml)#
max-retry-attempts 4
hostname(config-webvpn-sso-saml)# |
認証がタイムアウトするまでに ASA が失敗した SSO 認証を再試行する回数を設定します。 再試行回数を 4 に設定します。デフォルトの再試行回数は 3 で、1 回から 5 回までの範囲で指定できます。 |
ステップ 9 |
webvpn |
クライアントレス SSL VPN コンフィギュレーション モードに切り替えます。 |
ステップ 10 |
group-policy-webvpn username-webvpn |
SSO サーバをグループ ポリシーに割り当てる場合。 SSO サーバをユーザ ポリシーに割り当てる場合。 |
ステップ 11 |
sso-server value
hostname(config)#
username Anyuser attributes
hostname(config-username)#
webvpn
hostname(config-username-webvpn)#
sso-server value sample
hostname(config-username-webvpn)# |
グループまたはユーザの SSO 認証を指定します。 Example という名前の SSO サーバを Anyuser という名前のユーザに割り当てます。 |
ステップ 12 |
test sso-server
hostname# test sso-server Example username Anyuser
INFO: Attempting authentication request to sso-server sample for user Anyuser
INFO: STATUS: Success |
(特権 EXEC モード)SSO サーバの設定をテストします。 Example という名前の SSO サーバをユーザ名 Anyuser を使用してテストします。 |
SAML POST SSO サーバの設定
サーバ ソフトウェア ベンダーが提供する SAML サーバのマニュアルに従って、SAML サーバを Relying Party モードで設定します。
手順の詳細
ステップ 1 アサーティング パーティ(ASA)を表す SAML サーバ パラメータを設定します。
• Recipient consumer URL(ASA で設定する assertion consumer URL と同一)
• Issuer ID(通常はアプライアンスのホスト名である文字列)
• Profile type:Browser Post Profile
ステップ 2 証明書を設定します。
ステップ 3 アサーティング パーティのアサーションには署名が必要なことを指定します。
ステップ 4 SAML サーバがユーザを特定する方法を、次のように選択します。
• Subject Name Type が DN
• Subject Name format が uid=<user>
HTTP Form プロトコルを使用した SSO の設定
この項では、SSO における HTTP Form プロトコルの使用について説明します。HTTP Form プロトコルは、SSO 認証を実行するための手段で、AAA 方式としても使用できます。このプロトコルは、クライアントレス SSL VPN のユーザおよび認証を行う Web サーバの間で認証情報を交換するセキュアな方法を提供します。RADIUS サーバや LDAP サーバなどの他の AAA サーバと組み合わせて使用することができます。
前提条件
HTTP プロトコルを使用して SSO を正しく設定するには、認証と HTTP プロトコル交換についての詳しい実務知識が必要です。
制限
これは、一般的なプロトコルとして、認証に使用する Web サーバ アプリケーションの次の条件に一致する場合にだけ適用できます。
• 認証クッキーは、正常な要求に対して設定され、未許可のログインに対して設定されないようにする必要があります。この場合、ASA は、失敗した認証から正常な要求を識別することはできません。
手順の詳細
ASA は、ここでも認証 Web サーバに対するクライアントレス SSL VPN のユーザのプロキシとして機能しますが、この場合は、要求に対して HTTP Form プロトコルと POST 方式を使用します。フォーム データを送受信するように ASA を設定する必要があります。図 18-4 は、次の SSO 認証手順を示しています。
ステップ 1 最初に、クライアントレス SSL VPN のユーザは、ユーザ名とパスワードを入力して ASA 上のクライアントレス SSL VPN サーバにログオンします。
ステップ 2 ユーザのプロキシとして動作するクライアントレス SSL VPN サーバは、このフォーム データ(ユーザ名およびパスワード)を、POST 認証要求を使用して認証 Web サーバに転送します。
ステップ 3 認証 Web サーバがユーザのデータを承認した場合は、認証クッキーをユーザの代行で保存していたクライアントレス SSL VPN サーバに戻します。
ステップ 4 クライアントレス SSL VPN サーバはユーザまでのトンネルを確立します。
ステップ 5 これでユーザは、ユーザ名やパスワードを再入力しなくても、保護された SSO 環境内の他の Web サイトにアクセスできるようになります。
図 18-4 HTTP Form を使用した SSO 認証
ASA でユーザ名やパスワードなどの POST データを含めるようにフォーム パラメータを設定しても、Web サーバが要求する非表示のパラメータが追加されたことに、ユーザが最初に気付かない可能性があります。認証アプリケーションの中には、ユーザ側に表示されず、ユーザが入力することもない非表示データを要求するものもあります。ただし、認証 Web サーバが要求する非表示パラメータを見つけるのは可能です。これは、ASA を仲介役のプロキシとして使用せずに、ユーザのブラウザから Web サーバに直接認証要求を出す方法で行います。HTTP ヘッダー アナライザを使用して Web サーバの応答を分析すると、非表示パラメータが次のような形式で表示されます。
<param name>=<URL encoded value>&<param name>=<URL encoded>
非表示パラメータには、必須のパラメータとオプションのパラメータとがあります。Web サーバが非表示パラメータのデータを要求すると、Web サーバはそのデータを省略するすべての認証 POST 要求を拒否します。ヘッダー アナライザは、非表示パラメータが必須かオプションかについては伝えないため、必須のパラメータが判別できるまではすべての非表示パラメータを含めておくことをお勧めします。
HTTP Form プロトコルを使用した SSO を設定するには、次を実行する必要があります。
• フォーム データ( action-uri )を受信および処理するために、認証 Web サーバのユニフォーム リソース識別子を設定する。
• ユーザ名パラメータ( user-parameter )を設定する。
• ユーザ パスワード パラメータ( password-parameter )を設定する。
認証 Web サーバの要件によっては次のタスクが必要になる場合もあります。
• 認証 Web サーバがログイン前のクッキー交換を必要とする場合は、開始 URL( start-url )を設定する。
• 認証 Web サーバが要求する任意の非表示認証パラメータ( hidden-parameter )を設定する。
• 認証 Web サーバによって設定される認証クッキーの名前( auth-cookie-name )を設定する。
|
|
|
ステップ 1 |
aaa-server-host |
AAA サーバ ホスト コンフィギュレーション モードに切り替えます。 |
ステップ 2 |
start-url
hostname(config)#
aaa-server testgrp1 protocol http-form hostname(config)#
aaa-server testgrp1 host 10.0.0.2
hostname(config-aaa-server-host)#
start-url http://example.com
/
east/Area.do?Page-Grp1
hostname(config-aaa-server-host)# |
認証 Web サーバが要求する場合は、認証 Web サーバから事前ログイン クッキーを取得するための URL を指定します。 http://example.com/east/Area.do?Page-Grp1 の URL 認証 Web サーバを、IP アドレス 10.0.0.2 の testgrp1 サーバ グループに指定します。 |
ステップ 3 |
action-uri
http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000a1311-a828-1185-ab41-8333b16a0008&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com このアクション URI を指定するには、次のコマンドを入力します。
hostname(config-aaa-server-host)#
action-uri http://www.example.com/auth/index.htm
hostname(config-aaa-server-host)#
action-uri l/appdir/authc/forms/MCOlogin.fcc?TYP
hostname(config-aaa-server-host)#
action-uri 554433&REALMOID=06-000a1311-a828-1185
hostname(config-aaa-server-host)#
action-uri -ab41-8333b16a0008&GUID=&SMAUTHREASON
hostname(config-aaa-server-host)#
action-uri =0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk
hostname(config-aaa-server-host)#
action-uri 3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6r
hostname(config-aaa-server-host)#
action-uri B1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F
hostname(config-aaa-server-host)#
action-uri %2Fauth.example.com
hostname(config-aaa-server-host)# |
認証 Web サーバ上の認証プログラムの URI を指定します。 1 つの URI を連続する複数行にわたって入力することができます。1 行あたりの最大文字数は 255 です。URI 全体の最大文字数は 2048 です。 アクション URI にホスト名とプロトコルを含める必要があります。この例では、これらは http://www.example.com の URI の最初に表示されます。 |
ステップ 4 |
user-parameter
hostname(config-aaa-server-host)#
user-parameter userid
hostname(config-aaa-server-host)# |
HTTP POST 要求の userid のユーザ名パラメータを設定します。 |
ステップ 5 |
password-parameter
hostname(config-aaa-server-host)#
password-parameter user_password
hostname(config-aaa-server-host)# |
HTTP POST 要求の user_password ユーザ パスワード パラメータを設定します。 |
ステップ 6 |
hidden-parameter
SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do%3FEMCOPageCode%3DENG&smauthreason=0 この非表示パラメータを指定するには、次のコマンドを入力します。
hostname(config)#
aaa-server testgrp1 host example.com
hostname(config-aaa-server-host)#
hidden-parameter SMENC=ISO-8859-1&SMLOCALE=US-EN&targe
hostname(config-aaa-server-host)#
hidden-parameter t=https%3A%2F%2Fwww.example.com%2Femc
hostname(config-aaa-server-host)#
hidden-parameter o%2Fappdir%2FAreaRoot.do%3FEMCOPageCo
hostname(config-aaa-server-host)#
hidden-parameter de%3DENG&smauthreason=0
hostname(config-aaa-server-host)# |
認証 Web サーバと交換するための非表示パラメータを指定します。 POST 要求から抜粋した非表示パラメータの例を示します。この非表示パラメータには、間を & で区切った 4 つの Form エントリとその値が含まれています。エントリとその値は次のとおりです。 • SMENC、値は ISO-8859-1。 • SMLOCALE、値は US-EN。 • target エントリおよび値 https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do • %3FEMCOPageCode%3DENG。 • smauthreason、値は 0。 |
ステップ 7 |
(オプション) auth-cookie-name cookie-name
hostname(config-aaa-server-host)#
auth-cookie-name SsoAuthCookie
hostname(config-aaa-server-host)# |
認証クッキーの名前を指定します。 SsoAuthCookie の認証クッキー名を指定します。 |
ステップ 8 |
tunnel-group general-attributes |
トンネル グループ一般属性コンフィギュレーション モードに切り替えます。 |
ステップ 9 |
authentication-server-group
hostname(config)#
tunnel-group testgroup general-attributes
hostname(config-tunnel-general) #authentication-server-group testgrp1 |
前の手順で設定された SSO サーバを使用するためのトンネル グループを設定します。 /testgrp1/ という名前の SSO サーバを使用するための、/testgroup/ という名前のトンネル グループを設定します。 |
ステップ 10 |
aaa-server-host |
AAA サーバ ホスト コンフィギュレーション モードに切り替えます。 |
ステップ 11 |
hidden-parameter
SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do%3FEMCOPageCode%3DENG&smauthreason=0 この非表示パラメータを指定するには、次のコマンドを入力します。
hostname(config)#
aaa-server testgrp1 host example.com
hostname(config-aaa-server-host)#
hidden-parameter SMENC=ISO-8859-1&SMLOCALE=US-EN&targe
hostname(config-aaa-server-host)#
hidden-parameter t=https%3A%2F%2Fwww.example.com%2Femc
hostname(config-aaa-server-host)#
hidden-parameter o%2Fappdir%2FAreaRoot.do%3FEMCOPageCo
hostname(config-aaa-server-host)#
hidden-parameter de%3DENG&smauthreason=0
hostname(config-aaa-server-host)# |
認証 Web サーバと交換するための非表示パラメータを指定します。 POST 要求から抜粋した非表示パラメータの例を示します。この非表示パラメータには、間を & で区切った 4 つの Form エントリとその値が含まれています。エントリとその値は次のとおりです。 • SMENC、値は ISO-8859-1。 • SMLOCALE、値は US-EN。 • target エントリおよび値 https%3A%2F%2Fwww.example.com%2Femco%2Fappdir%2FAreaRoot.do • %3FEMCOPageCode%3DENG。 • smauthreason、値は 0。 |
ステップ 12 |
(オプション) auth-cookie-name cookie-name
hostname(config-aaa-server-host)#
auth-cookie-name SsoAuthCookie
hostname(config-aaa-server-host)# |
認証クッキーの名前を指定します。 SsoAuthCookie の認証クッキー名を指定します。 |
ステップ 13 |
tunnel-group general-attributes |
トンネル グループ一般属性モードに切り替えます。 |
ステップ 14 |
authentication-server-group group
hostname(config)#
tunnel-group testgroup general-attributes
hostname(config-tunnel-general) #authentication-server-group testgrp1 |
前の手順で設定された SSO サーバを使用するためのトンネル グループを設定します。 /testgrp1/ という名前の SSO サーバを使用するための、/testgroup/ という名前のトンネル グループを設定します。 |
HTTP Form データの収集
この項では、必要な HTTP Form データを検出および収集する手順を示します。認証 Web サーバが要求するパラメータが何かわからない場合は、認証交換を分析するとパラメータ データを収集することができます。
前提条件
これらの手順では、ブラウザと HTTP ヘッダー アナライザが必要です。
手順の詳細
ステップ 1 ユーザのブラウザと HTTP ヘッダー アナライザを起動して、ASA を経由せずに Web サーバのログイン ページに直接接続します。
ステップ 2 Web サーバのログイン ページがユーザのブラウザにロードされてから、ログイン シーケンスを検証して交換時にクッキーが設定されているかどうか判別します。Web サーバによってログイン ページにクッキーがロードされている場合は、このログイン ページの URL を start-URL として設定します。
ステップ 3 Web サーバにログオンするためのユーザ名とパスワードを入力して、Enter を押します。この動作によって、ユーザが検証する認証 POST 要求が HTTP ヘッダー アナライザを使用して生成されます。
次に、ホストの HTTP ヘッダーおよび本文が記載された POST 要求の例を示します。
POST /emco/myemco/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000430e1-7443-125c-ac05-83846dc90034&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2FHTTP/1.1
Host: www.example.com
(BODY)
SMENC=ISO-8859-1&SMLOCALE=US-EN&USERID=Anyuser&USER_PASSWORD=XXXXXX&target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0
ステップ 4 POST 要求を検証してプロトコル、ホストをコピーし、URL を入力して action-uri パラメータを設定します。
ステップ 5 POST 要求の本文を検証して、次の情報をコピーします。
a. ユーザ名パラメータ。上記の例では、このパラメータは USERID で、値 anyuser ではありません。
b. パスワード パラメータ。上記の例では、このパラメータは USER_PASSWORD です。
c. 非表示パラメータ。このパラメータは、POST 本文からユーザ名パラメータとパスワード パラメータを除くすべてです。前の例の非表示パラメータは次のとおりです。
SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Fwww.example.com%2Femco%2Fmyemco%2F&smauthreason=0
図 18-5 は、HTTP アナライザの出力例に表示されるアクション URI、非表示、ユーザ名、パスワードの各種パラメータを強調して示したものです。これは一例です。出力は Web サイトによって大幅に異なることがあります。
図 18-5 action-uri、非表示、ユーザ名、パスワードの各種パラメータ
|
action URI パラメータ |
|
非表示パラメータ |
|
ユーザ名パラメータとパスワード パラメータ |
ステップ 6 Web サーバへのログオンが成功したら、HTTP ヘッダー アナライザを使用して、サーバからユーザのブラウザに設定されているクッキー名を見つけ出すことによって、サーバの応答を検証します。これは auth-cookie-name パラメータです。
次のサーバ応答ヘッダーでは、SMSESSION がセッションのクッキーの名前です。必要なのはこの名前だけです。値は不要です。
図 18-6 に、HTTP アナライザによる認可クッキーの出力例を示します。これは一例です。出力は Web サイトによって大幅に異なることがあります。
図 18-6 HTTP アナライザの出力例に表示された認可クッキー
ステップ 7 場合によっては、認証の成否にかかわらず同じクッキーがサーバによって設定される可能性があり、このようなクッキーは、SSO の目的上、認められません。クッキーが異なっていることを確認するには、無効なログイン クレデンシャルを使用してステップ 1 からステップ 6 を繰り返し、「失敗」クッキーと「成功した」クッキーとを比較します。これで、HTTP Form プロトコルによる SSO を ASA に設定するために必要なパラメータ データを入手できました。
プラグインの SSO の設定
プラグインは、シングル サインオン(SSO)をサポートします。プラグインは、クライアントレス SSL VPN セッションを認証するときに入力したクレデンシャルと同じクレデンシャル(ユーザ名とパスワード)を使用します。プラグインはマクロ置換をサポートしないため、内部ドメイン パスワードなどのさまざまなフィールドや、RADIUS または LDAP サーバの属性で SSO を実行するオプションはありません。
プラグインに対して SSO サポートを設定するには、プラグインをインストールし、サーバへのリンクを表示するためのブックマーク エントリを追加します。また、csco_sso=1 パラメータを使用して SSO サポートを指定します。次に、SSO 用にイネーブルにするプラグインのブックマークの例を示します。
ssh://ssh-server/?cisco_sso=1
rdp://rdp-server/?Parameter1=value&Parameter2=value&csco_sso=1
マクロ置換による SSO の設定
ここでは、SSO のマクロ置換の使用について説明します。マクロ置換を使用して SSO を設定することで、ブックマークに特定の変数を挿入して動的な値に置換できます。
(注) スマート トンネル ブックマークでは、自動サインオンはサポートされていますが変数置換はサポートされていません。たとえば、スマート トンネル向けに設定された SharePoint ブックマークは、アプリケーションにログオンするために、クライアントレス SSL VPN にログオンするために使用するクレデンシャルと同じユーザ名とパスワードを使用します。変数置換および自動サインオンは同時に、または別々に使用できます。
一部の Web ページでの自動サインオンに、マクロ置換を含むブックマークを使用できるようになりました。以前の POST プラグイン アプローチは、管理者がサインオン マクロを含む POST ブックマークを指定し、POST 要求のポストの前にロードするキックオフ ページを受信できるようにするために作成されました。この POST プラグイン アプローチでは、クッキーまたはその他のヘッダー項目の存在を必要とする要求は排除されました。現在は、管理者は事前ロード ページおよび URL を決定し、これによってポスト ログイン要求の送信場所が指定されます。事前ロード ページによって、エンドポイント ブラウザは、クレデンシャルを含む POST 要求を使用するのではなく、Web サーバまたは Web アプリケーションに送信される特定の情報を取得できます。
次に、ブックマーク内の置換およびフォームベースの HTTP POST 操作が可能な変数(またはマクロ)を示します。
• CSCO_WEBVPN_USERNAME:ユーザのログイン ID
• CSCO_WEBVPN_PASSWORD:ユーザのログイン パスワード
• CSCO_WEBVPN_INTERNAL_PASSWORD:ユーザの内部(または、ドメイン)パスワード このキャッシュ済みクレデンシャルは、AAA サーバに対して認証されません。この値を入力すると、セキュリティ アプライアンスは、パスワードまたはプライマリ パスワードの値ではなく、この値を自動サインオンのパスワードとして使用します。
(注) 上記の 3 つの変数は、GET ベースの HTTP(S)ブックマークでは使用できません。これらの値を使用できるのは、POST ベースの HTTP(S)および CIFS ブックマークだけです。
• CSCO_WEBVPN_CONNECTION_PROFILE:ユーザのログイン グループ ドロップダウン(接続プロファイル エイリアス)
• CSCO_WEBVPN_MACRO1:RADIUS-LDAP ベンダー固有属性(VSA)によって設定。LDAP から ldap-attribute-map コマンドをマッピングしている場合、このマクロの Cisco 属性である WebVPN-Macro-Substitution-Value1 を使用します。次の URL にある、Active Directory での LDAP 属性マッピングの例を参照してください。 http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/ref_extserver.html#wp1572118
RADIUS による CSCO_WEBVPN_MACRO1 のマクロ置換は、VSA#223 によって行われます( 表 18-1 を参照)。
表 18-1 VSA#223
WebVPN-Macro-Value1 |
Y |
223 |
文字列 |
シングル |
無制限 |
WebVPN-Macro-Value2 |
Y |
224 |
文字列 |
シングル |
無制限 |
特定の DAP またはグループ ポリシーについて、https://CSCO_WEBVPN_MACRO1 や https://CSCO_WEBVPN_MACRO2 のようにすると、www.cisco.com/email などの値が、クライアントレス SSL VPN ポータルのブックマークに動的に読み込まれます。
• CSCO_WEBVPN_MACRO2:RADIUS-LDAP のベンダー固有属性(VSA)によって設定されます。LDAP から ldap-attribute-map コマンドをマッピングしている場合、このマクロの Cisco 属性である WebVPN-Macro-Substitution-Value2 を使用します。次の URL にある、Active Directory での LDAP 属性マッピングの例を参照してください。 http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/ref_extserver.html#wp1572118
RADIUS による CSCO_WEBVPN_MACRO2 のマクロ置換は、VSA#224 によって行われます( 表 18-1 を参照)。
クライアントレス SSL VPN が(ブックマークの形式または POST 形式の)エンドユーザの要求内にあるこれらの 6 つの文字列のいずれかを認識するたびに、文字列がユーザ指定の値に置き換えられ、この要求がリモート サーバに渡されます。
ユーザ名とパスワードのルックアップが ASA で失敗した場合は、空の文字列で置き換えられ、動作は自動サインインが不可の場合の状態に戻されます。
ユーザ名とパスワードの要求
ネットワークによっては、リモート セッション中にユーザが、コンピュータ、インターネット サービス プロバイダー、クライアントレス SSL VPN、メール サーバ、ファイル サーバ、企業アプリケーションの一部またはすべてにログインする必要が生じることがあります。ユーザはさまざまなコンテキストで認証を行うために、固有のユーザ名、パスワード、PIN などさまざまな情報が要求される場合があります。
表 18-2 に、クライアントレス SSL VPN ユーザが知っておく必要のあるユーザ名とパスワードのタイプを示します。
表 18-2 クライアントレス SSL VPN セッションのユーザに提供するユーザ名とパスワード
|
|
|
コンピュータ |
コンピュータへのアクセス |
コンピュータの起動 |
インターネット サービス プロバイダー |
インターネットへのアクセス |
インターネット サービス プロバイダーへの接続 |
クライアントレス SSL VPN |
リモート ネットワークへのアクセス |
クライアントレス SSL VPN の起動 |
ファイル サーバ |
リモート ファイル サーバへのアクセス |
クライアントレス SSL VPN ファイル ブラウジング機能を使用して、リモート ファイル サーバにアクセスするとき |
企業アプリケーションへのログイン |
ファイアウォールで保護された内部サーバへのアクセス |
クライアントレス SSL VPN Web ブラウジング機能を使用して、保護されている内部 Web サイトにアクセスするとき |
メール サーバ |
クライアントレス SSL VPN 経由によるリモート メール サーバへのアクセス |
電子メール メッセージの送受信 |
クライアントレス SSL VPN の機能を使用するためのリモート システムの設定
ここでは、クライアントレス SSL VPN を使用するためのリモート システムの設定方法について説明します。
• 「クライアントレス SSL VPN の起動」
• 「クライアントレス SSL VPN フローティング ツールバーの使用」
• 「Web のブラウズ」
• 「ネットワークのブラウズ(ファイル管理)」
• 「ポート転送の使用」
• 「ポート転送を介した電子メールの使用」
• 「Web アクセスを介した電子メールの使用」
• 「電子メール プロキシを介した電子メールの使用」
• 「スマート トンネルの使用」
ユーザ アカウントを別々に設定でき、各ユーザは異なるクライアントレス SSL VPN の機能を使用できます。
クライアントレス SSL VPN の起動
次のようなサポートされている接続を使用して、インターネットに接続できます。
• 家庭の DSL、ケーブル、ダイヤルアップ。
• 公共のキオスク。
• ホテルのホットスポット。
• 空港の無線ノード。
• インターネット カフェ。
(注) クライアントレス SSL VPN がサポートする Web ブラウザのリストについては、『Supported VPN Platforms, Cisco ASA Series』を参照してください。
前提条件
• ポート転送を介してアプリケーションにアクセスするために、ブラウザでクッキーをイネーブルにする必要があります。
• クライアントレス SSL VPN の URL が必要です。URL は、https: //address の形式の https アドレスである必要があります。 address は、SSL VPN がイネーブルである ASA(またはロード バランシング クラスタ)のインターフェイスの IP アドレスまたは DNS ホスト名です。たとえば、https://cisco.example.com などです。
• クライアントレス SSL VPN のユーザ名とパスワードが必要です。
制限
• クライアントレス SSL VPN ではローカル印刷がサポートされていますが、VPN 経由による企業ネットワーク上のプリンタへの印刷はサポートされていません。
クライアントレス SSL VPN フローティング ツールバーの使用
フローティング ツールバーを使用すると、クライアントレス SSL VPN を簡単に使用できます。ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。
フローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。[Close] ボタンをクリックすると、ASA によってクライアントレス SSL VPN セッションを閉じることを求めるメッセージが表示されます。
ヒント テキストをテキスト フィールドに貼り付けるには、Ctrl を押した状態で V を押します (クライアントレス SSL VPN セッション中は、表示されるツールバー上での右クリックはオフになっています)。
制限
ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。
Web のブラウズ
クライアントレス SSL VPN を使用しても、すべてのサイトとの通信がセキュアになるわけではありません。「 セキュリティのヒントの通知」を参照してください。
クライアントレス SSL VPN での Web ブラウジングのルックアンドフィールは、ユーザが使い慣れたものと異なる場合があります。次に例を示します。
• クライアントレス SSL VPN のタイトル バーが各 Web ページの上部に表示される。
• Web サイトへのアクセス方法:
– クライアントレス SSL VPN [Home] ページ上の [Enter Web Address] フィールドに URL を入力する
– クライアントレス SSL VPN [Home] ページ上にある設定済みの Web サイト リンクをクリックする
– 上記 2 つのどちらかの方法でアクセスした Web ページ上のリンクをクリックする
また、特定のアカウントの設定によっては、次のようになる場合もあります。
• 一部の Web サイトがブロックされている
• 使用可能な Web サイトが、クライアントレス SSL VPN [Home] ページ上にリンクとして表示されるものに限られる
前提条件
保護されている Web サイトのユーザ名とパスワードが必要です。
制限
また、特定のアカウントの設定によっては、次のようになる場合もあります。
• 一部の Web サイトがブロックされている
• 使用可能な Web サイトが、クライアントレス SSL VPN [Home] ページ上にリンクとして表示されるものに限られる
ネットワークのブラウズ(ファイル管理)
ユーザは、組織ネットワークを介してファイルを見つける方法に慣れていない場合があります。
(注) コピー処理の進行中は、Copy File to Server コマンドを中断したり、別の画面に移動したりしないでください。コピー処理を中断すると、不完全なファイルがサーバに保存される可能性があります。
前提条件
• 共有リモート アクセス用にファイル アクセス権を設定する必要があります。
• 保護されているファイル サーバのサーバ名とパスワードが必要です。
• フォルダとファイルが存在するドメイン、ワークグループ、およびサーバの名前が必要です。
制限
クライアントレス SSL VPN を介してアクセスできるのは、共有フォルダと共有ファイルに限られます。
Remote File Explorer の使用
ユーザは、Remote File Explorer を使用して、Web ブラウザから企業ネットワークをブラウズできます。ユーザが Cisco SSL VPN ポータル ページの [Remote File System] アイコンをクリックすると、ユーザのシステムでアプレットが起動し、ツリーおよびフォルダ ビューにリモート ファイル システムが表示されます。
図 18-7 Clientless SSL VPN Remote File Explorer
ユーザはブラウザで次を実行できます。
• リモート ファイル システムのブラウズ。
• ファイルの名前の変更。
• リモート ファイル システム内、およびリモートとローカルのファイル システム間でのファイルの移動またはコピー。
• ファイルのバルク アップロードおよびダウンロードの実行。
(注) この機能では、ユーザのマシンに Oracle Java ランタイム環境(JRE)1.4 以降がインストールされ、Web ブラウザで Java がイネーブルになっている必要があります。リモート ファイルの起動には、JRE 1.6 以降が必要です。
ファイルまたはフォルダの名前変更
ファイルまたはフォルダの名前を変更するには、次の手順を実行します。
ステップ 1 名前を変更するファイルまたはフォルダをクリックします。
ステップ 2 [Edit] > [Rename] を選択します。
ステップ 3 プロンプトが表示されたら、ダイアログに新しい名前を入力します。
ステップ 4 [OK] をクリックして、ファイルまたはフォルダの名前を変更します。または、名前を変更しない場合は [Cancel] をクリックします。
リモート サーバでのファイルやフォルダの移動またはコピー
リモート サーバでファイルやフォルダを移動またはコピーするには、次の手順を実行します。
ステップ 1 移動またはコピーするファイルやフォルダが含まれている送信元フォルダに移動します。
ステップ 2 ファイルまたはフォルダをクリックします。
ステップ 3 ファイルをコピーするには、[Edit] > [Copy] を選択します。また、ファイルを移動するには、[Edit] > [Cut] を選択します。
ステップ 4 宛先フォルダに移動します。
ステップ 5 [Edit] > [Paste] を選択します。
ローカル システム ドライブからリモート フォルダへのファイルのコピー
ローカル ファイル システムとリモート ファイル システム間でファイルをコピーするには、リモート ファイル ブラウザの右ペインとローカル ファイル マネージャ アプリケーション間でファイルをドラッグ アンド ドロップします。
ファイルのアップロードおよびダウンロード
ファイルをダウンロードするには、ブラウザでファイルをクリックし、[Operations] > [Download] を選択し、[Save] ダイアログで場所と名前を指定してファイルを保存します。
ファイルをアップロードするには、宛先フォルダをクリックし、[Operations] > [Upload] を選択し、[Open] ダイアログでファイルの場所と名前を指定します。
この機能には次の制限があります。
• ユーザは、アクセスを許可されていないサブフォルダを表示できません。
• ユーザがアクセスを許可されていないファイルは、ブラウザに表示されても移動またはコピーできません。
• ネストされたフォルダの最大の深さは 32 です。
• ツリー ビューでは、ドラッグ アンド ドロップのコピーがサポートされていません。
• Remote File Explorer の複数のインスタンスの間でファイルを移動するときは、すべてのインスタンスが同じサーバを探索する必要があります(ルート共有)。
• Remote File Explorer は、1 つのフォルダに最大 1500 のファイルおよびフォルダを表示できます。フォルダがこの制限を超えた場合、フォルダは表示されません。
前提条件
• Mac OS X の場合、この機能をサポートしているのは Safari ブラウザだけです。
• クライアント アプリケーションがインストールされている必要があります。
• ブラウザでクッキーをイネーブルにする必要があります。
• DNS 名を使用してサーバを指定する場合、hosts ファイルの変更に必要になるため、PC に対する管理者アクセス権が必要です。
• Oracle Java ランタイム環境(JRE)バージョン 1.4.x と 1.5.x がインストールされている必要があります。
JRE がインストールされていない場合は、ポップアップ ウィンドウが表示され、インストールを開始できるサイトがユーザに示されます。 まれに、Java 例外エラーで、ポート転送アプレットが失敗することがあります。このような状況が発生した場合は、次の手順を実行します。
a. ブラウザのキャッシュをクリアして、ブラウザを閉じます。
b. Java アイコンがコンピュータのタスク バーに表示されていないことを確認します。
c. Java のインスタンスをすべて閉じます。
d. クライアントレス SSL VPN セッションを確立し、ポート転送 Java アプレットを起動します。
• ブラウザで javascript をイネーブルにする必要があります。デフォルトではイネーブルに設定されています。
• 必要に応じて、クライアント アプリケーションを設定する必要があります。
(注) Microsoft Outlook クライアントの場合、この設定手順は不要です。Windows 以外のすべてのクライアント アプリケーションでは、設定が必要です。Windows アプリケーションの設定が必要かどうかを確認するには、[Remote Server] フィールドの値をチェックします。[Remote Server] フィールドにサーバ ホスト名が含まれている場合、クライアント アプリケーションの設定は不要です。[Remote Server] フィールドに IP アドレスが含まれている場合、クライアント アプリケーションを設定する必要があります。
制限
この機能を使用するには、Oracle Java ランタイム環境(JRE)をインストールしてローカル クライアントを設定する必要があります。これには、ローカル システムでの管理者の許可、または C:\windows\System32\drivers\etc の完全な制御が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。
手順の詳細
クライアント アプリケーションを設定するには、ローカルにマッピングされたサーバの IP アドレスとポート番号を使用します。この情報を見つけるには、次の手順を実行します。
1. クライアントレス SSL VPN セッションを開始して、[Home] ページの [Application Access] リンクをクリックします。[Application Access] ウィンドウが表示されます。
2. [Name] カラムで、使用するサーバ名を確認し、このサーバに対応するクライアント IP アドレスとポート番号を [Local] カラムで確認します。
3. この IP アドレスとポート番号を使用して、クライアント アプリケーションを設定します。設定手順は、クライアント アプリケーションによって異なります。
(注) クライアントレス SSL VPN セッション上で実行しているアプリケーションで URL(電子メール メッセージ内のものなど)をクリックしても、サイトがそのセッションで開くわけではありません。サイトをセッション上で開くには、その URL を [Enter Clientless SSL VPN (URL) Address] フィールドに貼り付けます。
ポート転送を介した電子メールの使用
電子メールを使用するには、クライアントレス SSL VPN のホームページから Application Access を起動します。これにより、メール クライアントが使用できるようになります。
(注) IMAP クライアントの使用中にメール サーバとの接続が中断したり、新しく接続を確立できない場合は、IMAP アプリケーションを終了してクライアントレス SSL VPN を再起動します。
前提条件
アプリケーション アクセスおよびその他のメール クライアントの要件を満たしている必要があります。
制限
Microsoft Outlook Express バージョン 5.5 および 6.0 はテスト済みです。
クライアントレス SSL VPN は、Lotus Notes および Eudora などの、ポート転送を介したその他の SMTPS、POP3S、または IMAP4S 電子メール プログラムをサポートしますが、動作確認は行っていません。
Web アクセスを介した電子メールの使用
次の電子メール アプリケーションがサポートされています。
• Microsoft Outlook Web App to Exchange Server 2010
OWA には、Internet Explorer 7 以降、または Firefox 3.01 以降が必要です。
• Microsoft Outlook Web Access to Exchange Server 2007、2003、および 2000
最適な結果を得るために、Internet Explorer 8.x 以降または Firefox 8.x で OWA を使用してください。
• Louts iNotes
前提条件
Web ベースの電子メール製品がインストールされている必要があります。
制限
その他の Web ベースの電子メール アプリケーションも動作しますが、動作確認は行っていません。
電子メール プロキシを介した電子メールの使用
次のレガシー電子メール アプリケーションがサポートされています。
• Microsoft Outlook 2000 および 2002
• Microsoft Outlook Express 5.5 および 6.0
メール アプリケーションの使用方法と例については、「クライアントレス SSL VPN を介した電子メールの使用」を参照してください。
前提条件
• SSL 対応メール アプリケーションがインストールされている必要があります。
• ASA SSL バージョンを TLSv1 Only に設定しないでください。Outlook および Outlook Express では TLS はサポートされません。
• メール アプリケーションが正しく設定されている必要があります。
制限
その他の SSL 対応クライアントも動作しますが、動作確認は行っていません。
スマート トンネルの使用
スマート トンネルの使用に管理権限は必要ありません。
(注) ポート フォワーダの場合と異なり、Java は自動的にダウンロードされません。
前提条件
• スマート トンネルには、Windows では ActiveX または JRE(1.4x および 1.5x)、Mac OS X では Java Web Start が必要です。
• ブラウザでクッキーをイネーブルにする必要があります。
• ブラウザで javascript をイネーブルにする必要があります。
制限
• Mac OS X では、フロントサイド プロキシはサポートされていません。
• 「スマート トンネル アクセスの設定」で指定されているオペレーティング システムおよびブラウザだけがサポートされています。
• TCP ソケットベースのアプリケーションだけがサポートされています。