- このマニュアルについて
- ASDM の概要
- プリファレンスの定義および コンフィギュレーション、診断、 ファイル管理ツールの使用
- 始める前に
- スタートアップ ウィザードの使用
- インターフェイスの設定
- マルチモードのインターフェイスの 設定
- Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポート および VLAN インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイスの設定値と管理の設定
- DHCP、DNS、および WCCP サービス
- AAA サーバとユーザ アカウントの 設定
- 管理アクセスの設定
- 高可用性
- ロギングの設定
- ダイナミック ルーティングおよび スタティック ルーティングの設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの 概要
- アクセス ルールの設定
- EtherType ルールの設定
- AAA ルールの設定
- フィルタ ルールの設定
- サービス ポリシー ルールの設定
- アプリケーション レイヤ プロトコル 検査の設定
- NAT の設定
- ARP 検査およびブリッジング パラメータの設定
- 高度なファイアウォール保護の設定
- QoS の設定
- VPN
- SSL VPN ウィザード
- IKE
- 一般的な VPN 設定
- ダイナミック アクセス ポリシーの設定
- クライアントレス SSL VPN
- クライアントレス SSL VPN のエンド ユーザ設定
- 電子メール プロキシ
- SSL 設定の指定
- 証明書の設定
- IPS の設定
- Trend Micro Content Security の設定
- ロギングのモニタリング
- Trend Micro Content Security の モニタリング
- フェールオーバーのモニタリング
- インターフェイスのモニタリング
- ルーティングのモニタリング
- VPN のモニタリング
- プロパティのモニタリング
- 機能の ライセンスと仕様
- 認可と認証のための外部サーバの設定
- 索引
Cisco ASDM ユーザ ガイド Version 6.0(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: クライアントレス SSL VPN のエンド ユーザ設定
クライアントレス SSL VPN のエンド ユーザ設定
この項は、エンド ユーザのためのクライアントレス(ブラウザベース)SSL VPN を設定するシステム管理者を対象としています。ここでは、ユーザ リモート システムの設定要件と作業の概要を説明します。また、ユーザがクライアントレス SSL VPN の使用を開始するために、ユーザに伝える必要のある情報も明確にします。ここでは、次の項目について説明します。
•
クライアントレス SSL VPN 機能を使用するためのリモート システムの設定
(注) 次の説明では、すでにクライアントレス SSL VPN 用にセキュリティ アプライアンスが設定済みと想定しています。
ユーザ名とパスワードの要求
ネットワークによっては、リモート セッション中にユーザが、コンピュータ、インターネット サービス プロバイダー、クライアントレス SSL VPN、メール サーバ、ファイル サーバ、企業アプリケーションの一部またはすべてにログインする必要が生じることがあります。ユーザはさまざまなコンテキストで認証を行うために、一意のユーザ名、パスワード、PIN などさまざまな情報が要求される場合があります。
表35-1 に、クライアントレス SSL VPN ユーザが知っておく必要のあるユーザ名とパスワードのタイプを示します。
|
パスワード タイプ |
|
|
|---|---|---|
クライアントレス SSL VPN Web ブラウジング機能を使用して、保護されている内部 Web サイトにアクセスするとき |
||
セキュリティのヒントの通知
セッションから必ずログアウトするようにユーザに通知してください(クライアントレス SSL VPN からログアウトするには、クライアントレス SSL VPN ツールバーの logout アイコンをクリックするか、またはブラウザを閉じます)。
クライアントレス SSL VPN を使用してもすべてのサイトとの通信がセキュアであるとは限らないことを、ユーザに通知してください。クライアントレス SSL VPN は、企業ネットワーク上のリモート PC やワークステーションとセキュリティ アプライアンスとの間のデータ転送のセキュリティを保証するものです。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるもの)にアクセスする場合、企業のセキュリティ アプライアンスから目的の Web サーバまでの通信はセキュアではありません。
クライアントレス SSL VPN 機能を使用するためのリモート システムの設定
表35-2 に、クライアントレス SSL VPN を使用するためのリモート システムの設定に関する、次の各種情報を示します。
• クライアントレス SSL VPN フローティング ツールバーの使用
表35-2 には、次の項目に関する情報も記載されています。
• クライアントレス SSL VPN がサポートされているアプリケーション
• クライアント アプリケーションのインストールとコンフィギュレーションの要件
ユーザ アカウントを別々に設定し、クライアントレス SSL VPN ユーザがそれぞれ異なる機能を使用できるようにすることが可能です。 表35-2 では、機能別に情報をまとめてあります。利用できない機能の情報についてはスキップしてください。
|
|
|
|
|---|---|---|
次のオペレーティング システムとブラウザでクライアントレス SSL VPN の動作をテスト済みですが、他にも使用可能な製品があります。 • • |
||
| address は、クライアントレス SSL VPN がイネーブルになっているセキュリティ アプライアンス(またはロードバランシング クラスタ)のインターフェイスの IP アドレスまたは DNS ホスト名です。 たとえば、 |
||
クライアントレス SSL VPN は、Web ブラウザからネットワーク プリンタへの印刷をサポートしていません。ローカル プリンタへの印刷はサポートされています。 |
||
フローティング ツールバーを使用すると、クライアントレス SSL VPN を簡単に使用できます。ツールバーを使用して、メインのブラウザ ウィンドウに影響を与えずに、URL の入力、ファイルの場所のブラウズ、設定済み Web 接続の選択ができます。 ポップアップをブロックするようにブラウザが設定されている場合、フローティング ツールバーは表示できません。 フローティング ツールバーは、現在のクライアントレス SSL VPN セッションを表します。 Close ボタンをクリックすると、セキュリティ アプライアンスは、クライアントレス SSL VPN セッションの終了を確認するプロンプトを表示します。 
ヒント ヒント:テキストをテキスト フィールドに貼り付けるには、Ctrl+V キーを使用します(クライアントレス SSL VPN ツールバーでは右クリックがディセーブルになっています)。 |
||
| クライアントレス SSL VPN を使用しても、すべてのサイトとの通信がセキュアになるわけではありません。「セキュリティのヒントの通知」を参照してください。 |
||
クライアントレス SSL VPN での Web ブラウジングのルックアンドフィールは、ユーザが使い慣れたものと異なる場合があります。次の例を参考にしてください。 • – – – また、特定のアカウントの設定によっては、次のようになる場合もあります。 • |
||
コピー処理の進行中は、 Copy File to Server コマンドを中断したり、別の画面に移動したりしないでください。コピー処理を中断すると、不完全なファイルがサーバに保存される可能性があります。 |
||
|
(注) Macintosh OS X の場合、この機能をサポートしているのは Safari ブラウザだけです。 |
||
|
(注) この機能を使用するには、Sun Microsystems Java™ Runtime Environment をインストールしてローカル クライアントを設定する必要があります。これには、ローカル システムで管理者の許可が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。 |
||
|
||
ユーザが DNS 名を使用してサーバを指定する場合、そのユーザは PC の管理者用アクセス特権を持つ必要があります。これは、hosts ファイルを修正するのにこの特権が必要なためです。 |
||
| インストール済みの Sun Microsystems Java Runtime Environment(JRE)バージョン 1.4.x と 1.5.x |
JRE がインストールされていない場合は、ポップアップ ウィンドウが表示され、ユーザに対して使用可能なサイトが示されます。 まれに、JAVA 例外エラーでポート転送アプレットが失敗することがあります。このような状況が発生した場合は、次の手順を実行します。 1. 2. |
|
|
(注) Microsoft Outlook クライアントの場合、この設定手順は不要です。 Windows 以外のすべてのクライアント アプリケーションでは、設定が必要です。 Windows アプリケーションの設定が必要かどうかを確認するには、Remote Server の値をチェックします。 • • |
クライアント アプリケーションを設定するには、ローカルにマッピングされたサーバの IP アドレスとポート番号を使用します。この情報を見つけるには、次の手順を実行します。 1. 2. 3. |
|
|
(注) クライアントレス SSL VPN で実行されているアプリケーションで URL(電子メール内の URL など)をクリックしても、クライアントレス SSL VPN ではそのサイトは開きません。クライアントレス SSL VPN でこのようなサイトを開くには、Enter (URL) Address フィールドに URL をカット アンド ペーストします。 |
||
電子メールを使用するには、Clientless SSL VPN Home ページから Application Access を起動します。これによって、メール クライアントが使用できるようになります。 |
||
|
(注) IMAP クライアントの使用中にメール サーバとの接続が中断したり、新しく接続を確立できない場合は、IMAP アプリケーションを終了してクライアントレス SSL VPN を再起動します。 |
||
Microsoft Outlook Express バージョン 5.5 および 6.0 はテスト済みです。 クライアントレス SSL VPN は、Netscape Mail、Lotus Notes、および Eudora などの、ポート転送を介したその他の SMTPS、POP3S、または IMAP4S 電子メール プログラムをサポートしますが、動作確認は行っていません。 |
||
| 最適な結果を得るために、Internet Explorer 6.x 以上、Mozilla 1.7、または Firefox 1.x. で OWA を使用してください。 |
||
| セキュリティ アプライアンス SSL バージョンを TLSv1 Only に設定しないでください。Outlook および Outlook Express は TLS をサポートしていません。 |
サポートされているメール アプリケーションは次のとおりです。 |
|
クライアントレス SSL VPN データのキャプチャ
CLI キャプチャ コマンドにより、クライアントレス SSL VPN 接続では正しく表示されない Web サイトに関する情報を記録できます。このデータは、Cisco カスタマー サポート エンジニアによる問題のトラブルシューティングに役立ちます。次の各項では、キャプチャ コマンドの使用方法について説明します。
(注) クライアントレス SSL VPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成したら、WebVPN キャプチャを必ずディセーブルにしてください。
キャプチャ ファイルの作成
次の手順を実行してクライアントレス SSL VPN セッションに関するデータをファイルにキャプチャします。
ステップ 1 クライアントレス SSL VPN キャプチャ ユーティリティを開始するには、特権 EXEC モードで capture コマンドを使用します。
capture capture_name type webvpn user webvpn_username
• capture_name は、キャプチャに割り当てる名前です。これは、キャプチャ ファイルの名前の先頭にも付加されます。
• webvpn_user は、キャプチャの対象となるユーザ名です。
ステップ 2 ユーザがログインするとクライアントレス SSL VPN セッションが開始します。キャプチャ ユーティリティは、パケットをキャプチャしています。
コマンドの no バージョンを使用してキャプチャを停止します。
キャプチャ ユーティリティは capture_name .zip ファイルを作成し、このファイルはパスワード koleso で暗号化されます。
ステップ 3 .zip ファイルをシスコシステムズに送信するか、Cisco TAC サービス リクエストに添付します。
ステップ 4 .zip ファイルの内容を確認するには、パスワード koleso を使用してファイルを解凍します。
次の例では、 hr という名前のキャプチャを作成します。これは、user2 へのトラフィックを次のようにファイルにキャプチャします。
キャプチャ データを表示するためのブラウザの使用
次の手順を実行して、クライアントレス SSL VPN セッションに関するデータをキャプチャし、ブラウザに表示します。
ステップ 1 クライアントレス SSL VPN キャプチャ ユーティリティを開始するには、特権 EXEC モードで capture コマンドを使用します。
capture capture_name type webvpn user webvpn_username
• capture_name は、キャプチャに割り当てる名前です。これは、キャプチャ ファイルの名前の先頭にも付加されます。
• webvpn_user は、キャプチャの対象となるユーザ名です。
ステップ 2 ユーザがログインするとクライアントレス SSL VPN セッションが開始します。キャプチャ ユーティリティは、パケットをキャプチャしています。
コマンドの no バージョンを使用してキャプチャを停止します。
ステップ 3 ブラウザをオープンし、アドレスを指定するボックスに次のように入力します。
https:// asdm_enabled_interface_of_the_security_appliance : port /admin/capture/ capture_name /pcap
次のサンプル コマンドを実行すると、hr という名前のキャプチャが表示されます。
https://192.0.2.1:60000/admin/capture/hr/pcap
キャプチャされたコンテンツが sniffer 形式で表示されます。
ステップ 4 コンテンツをキャプチャし終えたら、コマンドの no バージョンを使用してキャプチャを停止します。
フィードバック