- このマニュアルについて
- サイトツーサイトおよびクライアント VPN
- IPsec および ISAKMP
- L2TP over IPsec
- 全般 VPN パラメータ
- 接続プロファイル、グループ ポリシー、およびユーザ
- VPN の IP アドレス
- リモート アクセス IPSec VPN
- ネットワーク アドミッション コントロール
- PPPoE クライアント
- LAN-to-LAN IPsec VPN
- AnyConnect VPN Client 接続
- AnyConnect ホスト スキャン
- 認可および認証用の外部サーバ
- クライアントレス SSL VPN
- クライアントレス SSL VPN の概要
- 基本的なクライアントレス SSL VPN のコンフィギュレーション
- 高度なクライアントレス SSL VPN のコンフィギュレーション
- ポリシー グループ
- クライアントレス SSL VPN リモート ユーザ
- クライアントレス SSL VPN ユーザ
- モバイル デバイスでのクライアントレス SSL VPN
- クライアントレス SSL VPN のカスタマイズ
- クライアントレス SSL VPN のトラブルシューティング
- クライアントレス SSL VPN ライセンス
Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド ソフトウェア バージョン 9.3
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月6日
章のタイトル: クライアントレス SSL VPN のカスタマイズ
クライアントレス SSL VPN のカスタマイズ
クライアントレス SSL VPN エンド ユーザの設定
この項は、エンド ユーザのためにクライアントレス SSL VPN を設定するシステム管理者を対象にしています。ここでは、エンド ユーザ インターフェイスをカスタマイズする方法について説明します。
この項では、リモート システムの設定要件と作業の概要を説明します。ユーザがクライアントレス SSL VPN の使用を開始するために、ユーザに伝える必要のある情報を明確にします。説明する項目は次のとおりです。
エンド ユーザ インターフェイスの定義
クライアントレス SSL VPN エンド ユーザ インターフェイスは一連の HTML パネルで構成されます。ユーザは、ASA インターフェイスの IP アドレスを https:// address 形式で入力することにより、クライアントレス SSL VPN にログインします。最初に表示されるパネルは、ログイン画面(図 20-1)です。
図 20-1 クライアントレス SSL VPN の [Login] 画面
クライアントレス SSL VPN ホームページの表示
ホームページには設定済みのクライアントレス SSL VPN 機能がすべて表示され、選択済みのロゴ、テキスト、および色が外観に反映されています。このサンプル ホームページには、特定のファイル共有の指定機能以外のすべてのクライアントレス SSL VPN 機能が表示されています。ユーザはこのホームページを使用して、ネットワークのブラウズ、URL の入力、特定の Web サイトへのアクセス、および Application Access(ポート転送とスマート トンネル)による TCP アプリケーションへのアクセスを実行できます。
クライアントレス SSL VPN の Application Access パネルの表示
ポート転送またはスマート トンネルを開始するには、[Application Access] ボックスの [Go] ボタンをクリックします。[Application Access] ウィンドウが開きます(図 20-2)。
図 20-2 クライアントレス SSL VPN の [Application Access] ウィンドウ
このウィンドウには、このクライアントレス SSL VPN 接続用に設定された TCP アプリケーションが表示されます。このパネルを開いたままでアプリケーションを使用する場合は、通常の方法でアプリケーションを起動します。
(注) ステートフル フェールオーバーでは、Application Access を使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。
フローティング ツールバーの表示
図 20-3 に示すフローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。
図 20-3 クライアントレス SSL VPN フローティング ツールバー
•
ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。
• ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。
• ツールバーを閉じると、ASA はクライアントレス SSL VPN セッションを終了するよう促すメッセージを表示します。
クライアントレス SSL VPN ページのカスタマイズ
クライアントレス SSL VPN ユーザに表示されるポータル ページの外観を変えることができます。変更できる外観には、ユーザがセキュリティ アプライアンスに接続するときに表示される [Login] ページ、セキュリティ アプライアンスのユーザ認証後に表示される [Home] ページ、ユーザがアプリケーションを起動するときに表示される [Application Access] ウィンドウ、およびユーザがクライアントレス SSL VPN セッションからログアウトするときに表示される [Logout] ページが含まれます。
ポータル ページのカスタマイズ後は、このカスタマイゼーションを保存して、特定の接続プロファイル、グループ ポリシー、またはユーザに適用できます。ASA をリロードするか、またはクライアントレス SSL をオフに切り替えてから再度イネーブルにするまで、変更は適用されません。
いくつものカスタマイゼーション オブジェクトを作成、保存して、個々のユーザまたはユーザ グループに応じてポータル ページの外観を変更するようにセキュリティ アプライアンスをイネーブル化できます。
カスタマイゼーションに関する情報
ASA は、カスタマイゼーション オブジェクトを使用して、ユーザ画面の外観を定義します。カスタマイゼーション オブジェクトは、リモート ユーザに表示されるカスタマイズ可能なすべての画面項目に対する XML タグを含む XML ファイルからコンパイルされます。ASA ソフトウェアには、リモート PC にエクスポートできるカスタマイゼーション テンプレートが含まれています。このテンプレートを編集して、新しいカスタマイゼーション オブジェクトとして ASA にインポートし戻すことができます。
カスタマイゼーション オブジェクトをエクスポートすると、XML タグを含む XML ファイルが、指定した URL に作成されます。カスタマイゼーション オブジェクトによって作成される Template という名前の XML ファイルには、空の XML タグが含まれており、新しいカスタマイゼーション オブジェクトを作成するための基礎として利用できます。このオブジェクトは変更したり、キャッシュ メモリから削除したりすることはできませんが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとして再度 ASA にインポートできます。
カスタマイゼーション オブジェクト、接続プロファイル、およびグループ ポリシー
ユーザが初めて接続するときには、接続プロファイル(トンネル グループ)で指定されたデフォルトのカスタマイゼーション オブジェクト( DfltCustomization )がログイン画面の表示方法を決定します。接続プロファイル リストがイネーブルになっている場合に、独自のカスタマイゼーションがある別のグループをユーザが選択すると、その新しいグループのカスタマイゼーション オブジェクトを反映して画面が変わります。
リモート ユーザが認証された後は、画面の外観は、そのグループ ポリシーにカスタマイゼーション オブジェクトが割り当てられているかどうかによって決まります。
カスタマイゼーション テンプレートのエクスポート
カスタマイゼーション オブジェクトをエクスポートすると、指定した URL に XML ファイルが作成されます。カスタマイゼーション テンプレート( Template )は、空の XML タグを含んでおり、新しいカスタマイゼーション オブジェクトを作成するためのベースになります。このオブジェクトは変更したり、キャッシュ メモリから削除したりすることはできませんが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとして再度 ASA にインポートできます。
手順の詳細
カスタマイゼーション テンプレートの編集
この項では、カスタマイゼーション テンプレートの内容を示して、便利な図を提供しています。これらを参照して、正しい XML タグをすばやく選択して、画面表示を変更できます。
テキスト エディタまたは XML エディタを使用して、XML ファイルを編集できます。次の例は、カスタマイゼーション テンプレートの XML タグを示しています。一部の冗長タグは、見やすくするために削除してあります。
図 20-4 に、[Login] ページとページをカスタマイズする XML タグを示します。これらのタグはすべて、上位レベルのタグ <auth-page> にネストされています。
図 20-5 は、[Login] ページで使用可能な言語セレクタ ドロップダウン リストと、この機能をカスタマイズするための XML タグを示しています。これらのタグはすべて、上位レベルの <auth-page> タグにネストされています。
図 20-5 [Login] 画面上の言語セレクタと関連の XML タグ
図 20-6 は、[Login] ページで使用できる Information Panel とこの機能をカスタマイズするための XML タグを示しています。この情報は [Login] ボックスの左側または右側に表示されます。これらのタグは、上位レベルの <auth-page> タグにネストされています。
図 20-6 [Login] 画面上の Information Panel と関連の XML タグ
図 20-7 は、ポータル ページとこの機能をカスタマイズするための XML タグを示しています。これらのタグは、上位レベルの <auth-page> タグにネストされています。
カスタマイゼーション オブジェクトのインポート
手順の詳細
接続プロファイル、グループ ポリシー、およびユーザへのカスタマイゼーションの適用
カスタマイゼーションの作成後、 customization コマンドを使用して、接続プロファイル(トンネル グループ)、グループ、またはユーザにそのカスタマイゼーションを適用できます。このコマンドで表示されるオプションは、使用中のモードによって異なります。
(注) ポータル ページのカスタマイズ後は、ASA をリロードするか、またはクライアントレス SSL をディセーブルにしてから再度イネーブルにするまで、変更は適用されません。
接続プロファイル、グループ ポリシー、およびユーザの設定に関する詳細については、 『Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド』の 「接続プロファイル、グループ ポリシー、およびユーザ」を参照してください。
手順の詳細
ログイン画面の高度なカスタマイゼーション
提供されるログイン画面の特定の画面要素を変更するのではなく、独自のカスタム ログイン画面を使用する場合は、フル カスタマイゼーション機能を使用してこの高度なカスタマイゼーションを実行できます。
フル カスタマイゼーションを使用して、独自のログイン画面の HTML を入力し、ASA で関数を呼び出す Cisco HTML コードを挿入します。これで、Login フォームと言語セレクタ ドロップダウン リストが作成されます。
この項では、独自の HTML コードを作成するために必要な修正内容、および ASA が独自のコードを使用する場合に設定する必要があるタスクについて説明します。
図 20-8 に、クライアントレス SSL VPN ユーザに表示される標準の Cisco ログイン画面を示します。Login フォームは、HTML コードで呼び出す関数によって表示されます。
図 20-9 に、言語セレクタ ドロップダウン リストを示します。この機能は、クライアントレス SSL VPN ユーザにはオプションとなっており、ログイン画面の HTML コード内の関数によっても呼び出されます。
図 20-10 は、フル カスタマイゼーション機能によってイネーブル化される簡単なカスタム ログイン画面の例を示しています。
次の HTML コードは例として使用され、表示するコードです。
字下げされたコードは、画面に Login フォームと言語セレクタを挿入します。関数 csco_ShowLoginForm('lform') は Login フォームを挿入します。 csco_ShowLanguageSelector('selector') は、言語セレクタを挿入します。
HTML ファイルの変更
手順の詳細
ファイルに login.inc という名前を付けます。このファイルをインポートすると、ASA はこのファイル名をログイン画面として認識します。
ステップ 2 このファイルで使用されるイメージのパスに /+CSCOU+/ を含めるように変更します。
認証前にリモート ユーザに表示されるファイルは、パス /+CSCOU+/ で表される ASA のキャッシュ メモリの特定のエリアに置く必要があります。そのため、このファイルにある各イメージのソースはこのパスに含める必要があります。次に例を示します。
ステップ 3 下記の特別な HTML コードを挿入します。このコードには、Login フォームと言語セレクタを画面に挿入する前述のシスコの関数が含まれています。
ブックマーク ヘルプのカスタマイズ
ASA は、選択した各ブックマークのアプリケーション パネルにヘルプの内容を表示します。これらのヘルプ ファイルをカスタマイズしたり、他の言語でヘルプ ファイルを作成したりできます。次に、後続のセッション中に表示するために、ファイルをフラッシュ メモリにインポートします。事前にインポートしたヘルプ コンテンツ ファイルを取得して、変更し、フラッシュ メモリに再インポートすることもできます。
各アプリケーションのパネルには、事前に設定されたファイル名を使用して独自のヘルプ ファイル コンテンツが表示されます。今後、各ファイルは、ASA のフラッシュ メモリ内の /+CSCOE+/help/ language / という URL に置かれます。 表 20-1 に、VPN セッション用に保守できる各ヘルプ ファイルの詳細を示します。
|
|
|
|
|
|---|---|---|---|
language は、ブラウザに表示される言語の省略形です。このフィールドは、ファイル変換には 使用されません 。ファイル内で使用される言語を示します。特定の言語コードを指定するには、ブラウザに表示される言語のリストからその言語の省略形をコピーします。たとえば、次の手順のいずれかを使用すると、ダイアログ ウィンドウに言語と関連の言語コードが表示されます。
• Internet Explorer を起動して、[Tools] > [Internet Options] > [Languages] > [Add] を選択します。
• Mozilla Firefox を起動して、[Tools] > [Options] > [Advanced] > [General] を選択し、[Languages] の隣にある [Choose] をクリックして、[Select a language to add] をクリックします。
ここでは、ヘルプ コンテンツのカスタマイズ方法について説明します。
• 「シスコが提供していない言語用のヘルプ ファイルの作成」
• 「フラッシュ メモリからの事前にインポートしたヘルプ ファイルのエクスポート」
シスコが提供するヘルプ ファイルのカスタマイズ
シスコが提供するヘルプ ファイルをカスタマイズするには、まずフラッシュ メモリ カードからファイルのコピーを取得する必要があります。次の手順で、コピーを取得してカスタマイズします。
手順の詳細
ステップ 1 ブラウザを使用して、ASA とのクライアントレス SSL VPN セッションを確立します。
ステップ 2 表 20-1 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の中の文字列を、ASA のアドレスに追加し、Enter を押してヘルプ ファイルを表示します。
(注) 英語版のヘルプ ファイルを取得するには、language のところに en を入力します。
次のアドレス例は、Terminal Servers のヘルプの英語版を表示します。
https:// address_of_security_appliance /+CSCOE+/help/en/rdp-hlp.inc
ステップ 3 [File] > [Save (Page) As] を選択します。
(注) [File name] ボックスの内容は変更しないでください。
ステップ 4 [Save as type] オプションを [Web Page, HTML only] に変更して、[Save] をクリックします。
ステップ 5 任意の HTML エディタを使用してファイルを変更します。
(注) ほとんどの HTML タグは使用できますが、ドキュメントやその構造を定義するタグは使用できません。たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください。<b> タグなどの文字タグやコンテンツを構成する <p>、<ol>、<ul>、<li> などのタグは使用できます。
ステップ 6 元のファイル名と拡張子を指定して、HTML only としてファイルを保存します。
ステップ 7 ファイル名が 表 20-1 にあるファイル名のいずれかと一致すること、および余分なファイル拡張子がないことを確認します。
シスコが提供していない言語用のヘルプ ファイルの作成
HTML を使用して、他の言語でヘルプ ファイルを作成します。
サポートするそれぞれの言語に別のフォルダを作成することをお勧めします。
HTML only としてファイルを保存します。 表 20-1 の「セキュリティ アプライアンスのフラッシュ メモリ内のヘルプ ファイルの URL」の最後のスラッシュの後にあるファイル名を使用します。
制限
ほとんどの HTML タグは使用できますが、ドキュメントやその構造を定義するタグは使用 できません 。たとえば、<html>、<title>、<body>、<head>、<h1>、<h2> などは使用しないでください。<b> タグなどの文字タグやコンテンツを構成する <p>、<ol>、<ul>、<li> などのタグは使用できます。
フラッシュ メモリへのヘルプ ファイルのインポート
手順の詳細
|
|
|
|
|---|---|---|
import webvpn webcontent destination_url source_url hostname# import webvpn webcontent /+CSCOE+/help/en/app-access-hlp.inc tftp://209.165.200.225/app-access-hlp.inc |
クライアントレス SSL VPN セッションで表示するために、フラッシュ メモリにヘルプ コンテンツ ファイルをインポートします。 • • TFTP サーバ(209.165.200.225)からヘルプ ファイル app-access-hlp.inc をフラッシュ メモリにコピーします。この URL には英語の省略形である en が含まれています。 |
フラッシュ メモリからの事前にインポートしたヘルプ ファイルのエクスポート
手順の詳細
|
|
|
|
|---|---|---|
export webvpn webcontent source_url destination_url hostname# export webvpn webcontent /+CSCOE+/help/en/file-access-hlp.inc tftp://209.165.200.225/file-access-hlp.inc |
後で編集するために事前にインポートしたヘルプ コンテンツ ファイルを取得します。 • • [Browser Networks] パネルに表示される英語のヘルプ ファイル file-access-hlp.inc を TFTP サーバ(209.165.200.225)にコピーします。 |
ユーザ メッセージの言語の変換
ASA は、クライアントレス SSL VPN セッション全体の言語変換を提供します。これには、ログイン、ログアウト バナー、およびプラグインおよび AnyConnect などの認証後に表示されるポータル ページが含まれます。
この項では、これらのユーザ メッセージを変換するために ASA を設定する方法について説明します。
• 「カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ属性の変更」
言語変換の概要
リモート ユーザに可視である機能エリアとそれらのメッセージは、変換ドメイン内にまとめられています。 表 20-2 に、変換ドメインと変換される機能エリアを示します。
|
|
|
|---|---|
ログイン ページ、ログアウト ページ、ポータル ページのメッセージ、およびユーザによるカスタマイズが可能なすべてのメッセージ。 |
|
ASA には、標準機能の一部である各ドメイン用の変換テーブル テンプレートが含まれています。プラグインのテンプレートはプラグインとともに含まれており、独自の変換ドメインを定義します。
変換ドメインのテンプレートをエクスポートできます。これで、入力する URL にテンプレートの XML ファイルが作成されます。このファイルのメッセージ フィールドは空です。メッセージを編集して、テンプレートをインポートし、フラッシュ メモリに置かれる新しい変換テーブル オブジェクトを作成できます。
既存の変換テーブルをエクスポートすることもできます。作成した XML ファイルに事前に編集したメッセージが表示されます。この XML ファイルを同じ言語名で再インポートすると、新しいバージョンの変換テーブルが作成され、以前のメッセージが上書きされます。
テンプレートにはスタティックのものも、ASA の設定に基づいて変化するものもあります。 クライアントレス ユーザのログインおよびログアウト ページ、ポータル ページ、および URL ブックマーク はカスタマイズが可能なため、ASA は customization および url-list 変換ドメイン テンプレートをダイナミックに生成し、テンプレートは変更内容をこれらの機能エリアに自動的に反映させます。
変換テーブルを作成した後、このテーブルを使用して、カスタマイゼーション オブジェクトを作成し、グループ ポリシーまたはユーザ属性に適用できます。AnyConnect 変換ドメイン以外では、カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを識別し、グループ ポリシーまたはユーザに対してそのカスタマイゼーションを指定するまで、変換テーブルは影響を及ぼすことはなく、ユーザ画面のメッセージは変換されません。AnyConnect ドメインの変換テーブルに対する変更は、ただちに AnyConnect クライアント ユーザに表示されます。
変換テーブルの作成
手順の詳細
AnyConnect ドメインの変換テーブルをインポートする場合、変更内容はすぐに有効になります。その他のドメインの変換テーブルをインポートする場合は、カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを指定して、グループ ポリシーまたはユーザに対してカスタマイゼーション オブジェクトを指定する必要があります。
カスタマイゼーション オブジェクトでの言語の参照
ここでは、カスタマイゼーション テンプレートを参照できるように、エクスポートし、編集して、カスタマイゼーション オブジェクトとしてインポートする方法について説明します。
前提条件
カスタマイゼーション オブジェクトでこれらの変換テーブルを正しく呼び出すには、テーブルが同じ名前ですでにインポートされている必要があります。これらの名前は、ブラウザの言語オプションと互換性がある必要があります。
手順の詳細
カスタマイゼーション オブジェクトを使用するためのグループ ポリシーまたはユーザ属性の変更
手順の詳細
|
|
|
|
|---|---|---|
|
|
グループ ポリシー sales でカスタマイゼーション オブジェクト sales がイネーブルになっていることを示します。 |
フィードバック