Cisco ASDM ユーザ ガイド バージョン 6.0(3)

ACL

ユーザ セッションに適用する ACL（アクセス コントロール リスト）を設定できます。ACL は、特定のネットワーク、サブネット、ホスト、および Web サーバへのユーザ アクセスを許可または拒否するフィルタです。

• フィルタを定義しない場合は、すべての接続が許可されます。

• セキュリティ アプライアンスは、インターフェイスのインバウンド ACL だけをサポートします。

• 各 ACL の最後には、許可されないすべてのトラフィックを拒否する、表記されない暗黙のルールが含まれます。トラフィックがアクセス コントロール エントリ（ACE）によって明示的に許可されていない場合には、セキュリティ アプライアンスがそのトラフィックを拒否します。このトピックでは、ACE をルールと呼びます。

このペインでは、クライアントレス SSL VPN セッションで使用される ACL、および各 ACL に含まれる ACL エントリを追加および編集できます。また、このペインには ACL と ACE に関する要約情報が表示され、それらをイネーブルまたはディセーブルにしたり、プライオリティ順を変更したりすることもできます。

フィールド

• [Add ACL]：ACL または ACE を追加する場合にクリックします。既存の ACE の前後に新しい ACE を挿入するには、[Insert] または [Insert After] をクリックします。

• [Edit]：選択されている ACE を編集する場合にクリックします。ACL を削除すると、その ACE もすべて削除されます。警告は表示されず、復元もできません。

• [Delete]：選択されている ACL または ACE を削除する場合にクリックします。ACL を削除すると、その ACE もすべて削除されます。警告は表示されず、復元もできません。

• [Move UP/Move Down]：ACL または ACE を選択してこれらのボタンをクリックすると、ACL および ACE の順序が変更されます。セキュリティ アプライアンスは、一致するエントリを見つけるまで、ACL リスト内での位置の順に、クライアントレス SSL VPN セッションに適用される ACL およびその ACE をチェックします。

• [+/-]：各 ACL 下の ACE のリストを展開したり（+）折りたたんだり（-）して、表示または非表示にする場合にクリックします。

• [No]：各 ACL 下の ACE の優先順位を表示します。リスト内での順序によって優先順位が決まります。

• [Enabled]：ACE がイネーブルになっているかどうかを表示します。ACE は、作成されるとデフォルトでイネーブルになります。ACE をディセーブルにするには、チェックボックスをオフにします。

• [Address]：ACE が適用されるアプリケーションまたはサービスの IP アドレスまたは URL を表示します。

• [Service]：ACE が適用される TCP サービスを表示します。

• [Action]：ACE でクライアントレス SSL VPN アクセスが許可または拒否されているかどうかを表示します。

• [Time]：ACE に関連付けられている時間範囲を表示します。

• [Logging (Interval)]：設定されているロギング動作を表示します。ディセーブルにするか、指定されたレベルと間隔で表示します。

モード

次の表は、この機能を使用できるモードを示したものです。

Add ACL

このペインでは、新規 ACL を作成できます。

フィールド

• [ACL Name]：ACL の名前を入力します。最大 55 文字です。

Add/Edit ACE

アクセス コントロール エントリは、特定の URL およびサービスへのアクセスを許可または拒否します。ACL に対して、複数の ACE を設定できます。ACL は、初回一致ルールに従って、優先順位に応じて ACE を適用します。

フィールド

• [Action]：[Filter] グループ ボックスで指定されている特定のネットワーク、サブネット、ホスト、および Web サーバへのユーザ アクセスを許可または拒否します。

• [Filter]：フィルタを適用する（ユーザ アクセスを許可または拒否する）URL または IP アドレスを指定します。

– [URL]：指定された URL にフィルタを適用します。

– [Protocols (unlabeled)]：URL アドレスのプロトコル部分を指定します。

– [://x]：フィルタを適用する Web ページの URL を指定します。

– [TCP]：指定された IP アドレス、サブネット、およびポートにフィルタを適用します。

– [IP Address]：フィルタを適用する IP アドレスを指定します。

– [Netmask]：[IP Address] ボックス内のアドレスに適用する標準サブネット マスクを一覧表示します。

– [Service]：一致するサービス（https や Kerberos など）を特定します。[Service] ボックスに表示するサービスの選択元サービスの一覧を表示します。

– [Boolean operator]（ラベルなし）：[Service] ボックスで指定したサービスを照合するときに使用するブーリアン条件（等号、不等号、大なり、小なり、または範囲）を一覧表示します。

• [Rule Flow Diagram]：このフィルタを使用して、トラフィックをグラフィカルに描写します。この領域は非表示の場合もあります。

• [Options]：ロギング ルールを指定します。デフォルトは Default Syslog です。

– [Logging]：特定のログレベルをイネーブルにする場合は、[enable] を選択します。

– [Syslog Level]：Logging 属性に対して [Enable] を選択するまではグレー表示です。セキュリティ アプライアンスが表示する syslog メッセージの種類を選択できます。

– [Log Interval]：ログ メッセージ間の秒数を選択できます。

– [Time Range]：事前定義済みの時間範囲パラメータ セットの名前を選択できます。

– [...]：設定済みの時間範囲を参照する場合や、新たに追加する場合にクリックします。

例

クライアントレス SSL VPN の ACL の例を次に示します。

モード

次の表は、この機能を使用できるモードを示したものです。

Upload Image

[Upload Image] ダイアログボックスでは、Cisco Secure Desktop イメージのコピーをローカル コンピュータからセキュリティ アプライアンスのフラッシュ デバイスに転送できます。このウィンドウを使用して、Cisco Secure Desktop をインストールまたはアップグレードします。

（注） このウィンドウを使用する前に、インターネット ブラウザを使用して、http://www.cisco.com/cisco/software/navigator.html からローカル コンピュータの任意の場所に securedesktop_asa_<n>_<n>*.pkg ファイルをダウンロードしてください。

次のようにして、ウィンドウのボタンを使用できます。

• 転送する securedesktop_asa_< n >_< n >*.pkg ファイルのパスを選択するには、[Browse Local Files] をクリックします。[Selected File Path] ダイアログボックスに、自分のローカル コンピュータで最後にアクセスしたフォルダの内容が表示されます。securedesktop_asa_< n >_< n >*.pkg ファイルのある場所に移動し、そのファイルを選択して [Open] をクリックします。

• ファイルのターゲット ディレクトリを選択するには、[Browse Flash] をクリックします。[Browse Flash] ダイアログボックスに、フラッシュ カードの内容が表示されます。

• ローカル コンピュータからフラッシュ デバイスに securedesktop_asa_< n >_< n >*.pkg ファイルをアップロードするには、[Upload File] をクリックします。[Status] ウィンドウが表示され、ファイル転送中は開いたままの状態を維持します。転送が終わり、[Information] ウィンドウに「File is uploaded to flash successfully.」というメッセージが表示されたら、[OK] をクリックします。[Upload Image] ダイアログ ウィンドウから、[Local File Path] フィールドと [Flash File System Path] フィールドの内容が削除されます。

• [Upload Image] ダイアログ ウィンドウを閉じるには、[Close] をクリックします。このボタンは、Cisco Secure Desktop イメージをフラッシュ デバイスにアップロードした後に、またはイメージをアップロードしない場合にクリックしてください。アップロードした場合には、[Cisco Secure Desktop Setup] ウィンドウの [Secure Desktop Image] フィールドにそのファイル名が表示されます。アップロードしなかった場合には、「Are you sure you want to close the dialog without uploading the file?」と尋ねる [Close Message] ダイアログボックスが表示されます。ファイルをアップロードしない場合は、[OK] をクリックします。[Close Message] ダイアログボックスと [Upload Image] ダイアログボックスが閉じられ、[Cisco Secure Desktop Setup] ペインが表示されます。この処理が実行されない場合は、[Close Message] ダイアログボックスの [Cancel] をクリックします。ダイアログボックスが閉じられ、フィールドの値がそのままの状態で [Upload Image] ダイアログボックスが再度表示されます。[Upload File] をクリックします。

フィールド

[Upload Image] ダイアログボックスには、次のフィールドが表示されます。

• [Local File Path]：ローカル コンピュータでの、securedesktop_asa_< n >_< n >*.pkg ファイルへのパスを指定します。[Browse Local] をクリックしてこのフィールドにパスを自動的に挿入するか、パスを入力します。次の例を参考にしてください。

D:\Documents and Settings\ Windows_user_name .AMER\My Documents\My Downloads\securedesktop_asa_3_1_1_16.pkg

ASDM が [Local File Path] フィールドにファイルのパスを挿入します。

• [Flash File System Path]：セキュリティ アプライアンスのフラッシュ デバイス上のアップロード先パスと、対象ファイルの名前を指定します。[Browse Flash] をクリックしてこのフィールドにパスを自動的に挿入するか、パスを入力します。次に例を示します。

disk0:/securedesktop_asa_3_1_1_16.pkg

• [File Name]：このフィールドは、[Browse Flash] をクリックした場合に表示される [Browse Flash] ダイアログボックスに配置されており、ローカル コンピュータで選択した Cisco Secure Desktop イメージの名前が表示されます。混乱を防ぐために、この名前を使用することをお勧めします。このフィールドに、選択したローカル ファイルと同じ名前が表示されていることを確認し、[OK] をクリックします。[Browse Flash] ダイアログボックスが閉じます。ASDM が [Flash File System Path] フィールドにアップロード先のファイル パスを挿入します。

モード

次の表は、この機能を使用できるモードを示したものです。

Add/Edit APCF Profile

このパネルでは、APCF パッケージを追加または編集できます。この作業を行うに当たっては、パッケージの場所を特定します。場所は、セキュリティ アプライアンスのフラッシュ メモリの場合もあれば、HTTP サーバ、HTTPS サーバ、または TFTP サーバの場合もあります。

フィールド

• [Flash file]：セキュリティ アプライアンスのフラッシュ メモリに保存されている APCF ファイルを指定する場合にオンにします。

• [Path]：ユーザがフラッシュ メモリに格納されている APCF ファイルを指定するために参照した後、そのファイルへのパスを表示します。このフィールドにパスを手動で入力することもできます。

• [Browse Flash]：フラッシュ メモリを参照して APCF ファイルを指定します。[Browse Flash Dialog] パネルが表示されます。[Folders] および [Files] 列を使用して APCF ファイルを指定します。APCF ファイルを選択して、[OK] をクリックします。ファイルへのパスが [Path] フィールドに表示されます。

（注） 最近ダウンロードした APCF ファイルの名前が表示されない場合には、[Refresh] ボタンをクリックします。

• [Upload]：APCF ファイルをローカル コンピュータからセキュリティ アプライアンスのフラッシュ ファイル システムにアップロードします。[Upload APCF package] ペインが表示されます。

• [URL]：HTTP サーバ、HTTPS サーバ、または TFTP サーバに保存されている APCF ファイルを使用する場合にオンにします。

• [ftp, http, https, and tftp (unlabeled)]：サーバ タイプを特定します。

• [URL (unlabeled)]：FTP、HTTP、HTTPS、または TFTP サーバへのパスを入力します。

モード

次の表は、この機能を使用できるモードを示したものです。

Upload APCF package

フィールド

• [Local File Path]：コンピュータ上にある APCF ファイルへのパスを表示します。[Browse Local] をクリックしてこのフィールドにパスを自動的に挿入するか、パスを入力します。

• [Browse Local Files]：自分のコンピュータ上の転送する APCF ファイルを指定および選択します。[Select File Path] ダイアログボックスに、自分のローカル コンピュータで最後にアクセスしたフォルダの内容が表示されます。APCF ファイルに移動して選択し、[Open] をクリックします。ASDM が [Local File Path] フィールドにファイルのパスを挿入します。

• [Flash File System Path]：APCF ファイルをアップロードするセキュリティ アプライアンス上のパスを表示します。

• [Browse Flash]：APCF ファイルをアップロードするセキュリティ アプライアンス上の場所を特定します。[Browse Flash] ダイアログボックスに、フラッシュ メモリの内容が表示されます。

• [File Name]：このフィールドは、[Browse Flash] をクリックしたときに表示される [Browse Flash] ダイアログボックスにあり、ローカル コンピュータで選択した APCF ファイルの名前を表示します。混乱を防ぐために、この名前を使用することをお勧めします。このファイルの名前が正しく表示されていることを確認し、[OK] をクリックします。[Browse Flash] ダイアログボックスが閉じます。ASDM が [Flash File System Path] フィールドにアップロード先のファイル パスを挿入します。

• [Upload File]：自分のコンピュータの APCF ファイルの場所と、APCF ファイルをセキュリティ アプライアンスにダウンロードする場所を特定します。

• [Status] ウィンドウが表示され、ファイル転送中は開いたままの状態を維持します。転送が終わり、[Information] ウィンドウに「File is uploaded to flash successfully.」というメッセージが表示されたら、[OK] をクリックします。[Upload Image] ダイアログ ウィンドウから、[Local File Path] フィールドと [Flash File System Path] フィールドの内容が削除されます。これは、別のファイルをアップロードできることを表します。別のファイルをアップロードするには、上記の手順を繰り返します。そうでない場合は、[Close] ボタンをクリックします。

• [Close]：[Upload Image] ダイアログウィンドウを閉じます。APCF ファイルをフラッシュ メモリにアップロードした後、またはアップロードしない場合に、このボタンをクリックします。アップロードする場合には、[APCF] ウィンドウの [APCF File Location] フィールドにファイル名が表示されます。アップロードしない場合には、「Are you sure you want to close the dialog without uploading the file?」と尋ねる [Close Message] ダイアログボックスが表示されます。ファイルをアップロードしない場合は、[OK] をクリックします。[Close Message] ダイアログボックスと [Upload Image] ダイアログボックスが閉じられ、APCF [Add/Edit] ペインが表示されます。この処理が実行されない場合は、[Close Message] ダイアログボックスの [Cancel] をクリックします。ダイアログボックスが閉じられ、フィールドの値がそのままの状態で [Upload Image] ダイアログボックスが再度表示されます。[Upload File] をクリックします。

モード

次の表は、この機能を使用できるモードを示したものです。

Add/Edit Auto Signon Entry

[Add/Edit Auto Signon Entry] ダイアログボックスでは、新しい自動サインオン命令を追加または編集できます。自動サインオン命令は、自動サインオン機能を使用する内部サーバの範囲と、特定の認証方式を定義します。

フィールド

• [IP Block]：IP アドレスとマスクを使用して内部サーバの範囲を指定します。

– [IP Address]：自動サインオンを設定する範囲の最初のサーバの IP アドレスを入力します。

– [Mask]：[subnet mask] メニューで、自動サインオンをサポートするサーバのサーバ アドレス範囲を定義するサブネット マスクをクリックします。

• [URI]：URI によって自動サインオンをサポートするサーバを指定し、このボタンの横にあるフィールドに URI を入力します。

• [Authentication Type]：サーバに割り当てられている認証方式。指定された範囲のサーバの場合には、Basic HTTP 認証要求、NTLM 認証要求、FTP と CIFS の認証要求、またはこれらの方式のいずれかを使用する要求に応答するように、セキュリティ アプライアンスを設定できます。

– [Basic]：サーバが Basic（HTTP）認証をサポートする場合は、このボタンをクリックします。

– [NTLM]：サーバが NTLMv1 認証をサポートする場合は、このボタンをクリックします。

– [FTP/CIFS]：サーバが FTP と CIFS の認証をサポートする場合は、このボタンをクリックします。

– [Basic, NTLM, and FTP/CIFS]：サーバが上のすべての方式をサポートする場合は、このボタンをクリックします。

（注） 一定範囲のサーバに対して 1 つの方式（HTTP Basic など）を設定する場合に、その中の 1 台のサーバが異なる方式（NTLM など）で認証を試みると、セキュリティ アプライアンスはユーザのログイン クレデンシャルをそのサーバに渡しません。

モード

次の表は、この機能を使用できるモードを示したものです。

エンコードの追加と編集

[Add CIFS Server Encoding] ダイアログ ウィンドウでは、[Add CIFS Encoding] ウィンドウの「Global Encoding Type」属性設定に対する例外を保持できます。このウィンドウには、このダイアログボックスを開く [Add] および [Edit] ボタンがあります。

フィールド

• [CIFS Server]：エンコーディング要件が「Global Encoding Type」属性設定とは異なる CIFS サーバの名前または IP アドレスを入力します。セキュリティ アプライアンスでは、指定した大文字と小文字の区別が保持されますが、名前をサーバと照合するときには大文字と小文字は区別されません。

• [Encoding Type]：CIFS サーバがクライアントレス SSL VPN ポータル ページで使用する文字エンコーディングを選択します。文字列を入力するか、ドロップダウン リストから選択します。リストには、最も一般的な次の値だけが登録されています。

– big5

– gb2312

– ibm-850

– iso-8859-1

– shift_jis

（注） 日本語の Shift_jis 文字エンコーディングを使用している場合は、関連付けられている [Select Page Font] ペインの [Font Family] 領域にある [Do not specify] をクリックして、このフォント ファミリを削除します。

– unicode

– windows-1252

– none

[none] を選択するか、またはクライアントレス SSL VPN セッションのブラウザがサポートしていない値を指定した場合には、ブラウザのデフォルトのエンコーディングが使用されます。

最大 40 文字から成り、 http://www.iana.org/assignments/character-sets で指定されているいずれかの有効文字セットと同じ文字列を入力できます。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。このストリングは、大文字と小文字が区別されません。セキュリティ アプライアンスの設定を保存したときに、コマンド インタープリタが大文字を小文字に変換します。

モード

次の表は、この機能を使用できるモードを示したものです。

Web ACLs

[Web ACLs] テーブルには、セキュリティ アプライアンスで設定されている、クライアントレス SSL VPN トラフィックに適用できるフィルタが表示されます。このテーブルには、各アクセス コントロール リスト（ACL）の名前、および ACL 名の下で右にインデントされて、その ACL に割り当てられているアクセス コントロール エントリ（ACE）が表示されます。

各 ACL により、特定のネットワーク、サブネット、ホスト、および Web サーバへのアクセスを許可または拒否します。各 ACE は、ACL の機能を提供する 1 つのルールを指定します。

ACL は、クライアントレス SSL VPN トラフィックに適用されるように設定できます。次の規則が適用されます。

• フィルタを設定しない場合は、すべての接続が許可されます。

• セキュリティ アプライアンスは、インターフェイスのインバウンド ACL だけをサポートします。

• 各 ACL の最後では、表記されない暗黙のルールにより、明示的に許可されていないすべてのトラフィックが拒否されます。

ACL および ACE を追加するには、次の手順を実行します。

• ACL を追加するには、テーブルの上にあるプラス記号の横の下矢印をクリックし、[Add ACL] をクリックします。

（注） ACE を追加するには、テーブルに ACL が表示されている必要があります。

• テーブル内にすでに表示されている ACL に ACE を追加するには、追加する ACE を選択し、テーブルの上にあるプラス記号の横の下矢印をクリックして、[Add ACE] をクリックします。

• テーブル内にすでに存在する ACE の前に ACE を追加するには、追加する ACE を選択し、テーブルの上にあるプラス記号の横の下矢印をクリックして、[Insert] をクリックします。

• テーブル内にすでに存在する ACE の後に ACE を追加するには、追加する ACE を選択し、テーブルの上にあるプラス記号の横の下矢印をクリックして、[Insert After] をクリックします。

ACE に割り当てられている値を変更するには、その値をダブルクリックするか、選択して [Edit] をクリックします。

ACL または ACE を削除するには、テーブルでそのエントリを選択し、[Delete] をクリックします。

ACL 内での ACE の相対的な位置により、セキュリティ アプライアンスがインターフェイスのトラフィックに ACE を適用するときの順番が決まります。テーブル内の ACE を並べ替えて再使用するには、次の手順を実行します。

• ACE を他の ACE の上または下に移動させるには、移動させる ACE を選択して、テーブルの上にある上へまたは下へアイコンをクリックします。

• ACE を移動させるには、その ACE を選択し、テーブルの上にあるはさみアイコンをクリックします。ターゲットの ACL または ACE を選択し、クリップボード アイコンの横の矢印をクリックして、選択したエントリの上に貼り付けるには [Paste] を、選択したエントリの後に貼り付けるには [Paste After] をクリックします。[Edit ACE] ダイアログ ウィンドウが開きます。このダイアログボックスでは、値を変更できます。[OK] をクリックします。

• ACE をコピーするには、コピーする ACE を選択し、テーブルの上にある見開きページ アイコンをクリックします。ターゲットの ACL または ACE を選択し、クリップボード アイコンの横の矢印をクリックして、選択したエントリの上に貼り付けるには [Paste] を、選択したエントリの後に貼り付けるには [Paste After] をクリックします。[Edit ACE] ダイアログ ウィンドウが開きます。このダイアログボックスでは、値を変更できます。[OK] をクリックします。

モード

次の表は、この機能を使用できるモードを示したものです。

ポート転送を使用する理由

ポート転送は、クライアントレス SSL VPN 接続を介して TCP ベースのアプリケーションをサポートするためのレガシー テクノロジーです。ポート転送テクノロジーをサポートする設定を事前に構築している場合は、ポート転送の使用を選択することもできます。

ポート転送の代替方法として次を検討してください。

• スマート トンネル アクセスを使用すると、ユーザには次のような利点があります。

– スマート トンネルは、プラグインよりもパフォーマンスが向上します。

– ポート転送とは異なり、スマート トンネルでは、ローカル ポートへのローカル アプリケーションのユーザ接続を要求しないことにより、ユーザ エクスペリエンスが簡略化されます。

– ポート転送とは異なり、スマート トンネルでは、ユーザは管理者特権を持つ必要がありません。

• ポート転送およびスマート トンネル アクセスとは異なり、プラグインでは、クライアント アプリケーションをリモート コンピュータにインストールする必要がありません。

セキュリティ アプライアンスでポート転送を設定する場合は、アプリケーションが使用するポートを指定します。スマート トンネル アクセスを設定する場合は、実行ファイルまたはそのパスの名前を指定します。

ポート転送の要件と制限事項

ポート転送には次の制限が適用されます。

• リモート ホストで、次のいずれかの 32 ビット バージョンが実行されている必要がある。

– Microsoft Windows Vista、Windows XP SP2 または SP3、または Windows 2000 SP4

– Apple Mac OS X 10.4 または 10.5 と Safari 2.0.4(419.3)

– Fedora Core 4

• また、リモート ホストで Sun JRE 1.5 以降が動作していることも必要です。

• Mac OS X 10.5.3 上の Safari のブラウザベースのユーザは、Safari での URL の解釈方法に従って、使用するクライアント証明書を、1 回目は末尾にスラッシュを含め、もう 1 回はスラッシュを含めずに、セキュリティ アプライアンスの URL を使用して指定する必要があります。次に例を示します。

– https://example.com/

– https://example.com

詳細については、『 Safari, Mac OS X 10.5.3: Changes in client certificate authentication 』を参照してください。

• ポート転送またはスマート トンネルを使用する Microsoft Windows Vista ユーザは、ASA の URL を信頼済みサイト ゾーンに追加する。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista ユーザは、[Protected Mode] をディセーブルにしてスマート トンネル アクセスを容易にすることもできます。ただし、攻撃に対するコンピュータの脆弱性が増すため、この方法は推奨しません。

• ポート転送は、スタティック TCP ポートを使用する TCP アプリケーションのみをサポートしています。ダイナミック ポートまたは複数の TCP ポートを使用するアプリケーションはサポートしていません。たとえば、ポート 22 を使用する SecureFTP は、クライアントレス SSL VPN のポート転送を介して動作しますが、ポート 20 と 21 を使用する標準 FTP は動作しません。

• ポート転送は、UDP を使用するプロトコルをサポートしていません。

• セキュリティ アプライアンスは Microsoft Outlook Exchange（MAPI）プロキシをサポートしていません。MAPI プロトコルを使用した Microsoft Outlook Exchange 通信では、リモート ユーザが AnyConnect を使用する必要があります。

• ステートフル フェールオーバーでは、Application Access（ポート転送またはスマート トンネル アクセス）を使用して確立したセッションは保持されません。ユーザはフェールオーバー後に再接続する必要があります。

• ポート転送は、Personal Digital Assistants（PDA; 携帯情報端末）への接続はサポートしていません。

• ポート転送を使用するには、Java アプレットをダウンロードしてローカル クライアントを設定する必要があります。これには、ローカル システムに対する管理者の許可が必要になるため、ユーザがパブリック リモート システムから接続した場合に、アプリケーションを使用できない可能性があります。

Java アプレットは、エンド ユーザの HTML インターフェイスにあるアプレット独自のウィンドウに表示されます。このウィンドウには、ユーザが使用できる転送ポートのリストの内容、アクティブなポート、および送受信されたトラフィック量（バイト単位）が表示されます。

• ポート転送も ASDM Java アプレットも、デジタル証明書を使用するユーザ認証では動作しません。Java には、Web ブラウザ キーストアにアクセスする機能はありません。このため、Java はブラウザがユーザの認証に使用する証明書を使用できず、アプリケーションは起動できません。

• 次の項で説明するように、ポート転送には DNS を設定する必要があります。

ポート転送用の DNS の設定

ポート転送では、リモート サーバのドメイン名またはその IP アドレスを ASA に転送して、解決および接続を行います。つまり、ポート転送アプレットは、アプリケーションからの要求を受け入れて、その要求を ASA に転送します。ASA は適切な DNS クエリーを作成し、ポート転送アプレットの代わりに接続を確立します。ポート転送アプレットは、ASA に対する DNS クエリーだけを作成します。ポート転送アプレットはホスト ファイルをアップデートして、ポート転送アプリケーションが DNS クエリーを実行したときに、クエリーがループバック アドレスにリダイレクトされるようにします。

次のように、DNS 要求をポート転送アプレットから受け入れるように、セキュリティ アプライアンスを設定します。

ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] の順にクリックします。

DefaultWEBVPNGroup エントリは、クライアントレス接続に使用されるデフォルトの接続プロファイルです。

ステップ 2 クライアント接続において DefaultWEBVPNGroup エントリが使用されるようにコンフィギュレーションを設定する場合は、このエントリを強調表示し、[Edit] をクリックします。このエントリが使用されない場合は、クライアント接続のコンフィギュレーションで使用される接続プロファイルを強調表示し、[Edit] をクリックします。

[Basic] ウィンドウが開きます。

ステップ 3 [DNS] 領域にスキャンし、ドロップダウン リストから DNS サーバを選択します。ドメイン名をメモしておきます。使用したい DNS サーバが ASDM に表示されている場合は、残りのステップを飛ばし、次のセクションに移動します。ポート転送リストのエントリを設定する際、リモート サーバの指定時には、同じドメイン名を入力する必要があります。コンフィギュレーションに DNS サーバがない場合は、残りのステップを続けます。

ステップ 4 [DNS] 領域で [Manage] をクリックします。

[Configure DNS Server Groups] ウィンドウが開きます。

ステップ 5 [Configure Multiple DNS Server Groups] をクリックします。

ウィンドウに、DNS サーバのエントリの一覧表が表示されます。

ステップ 6 [Add] をクリックします 。

[Add DNS Server Group] ウィンドウが開きます。

ステップ 7 [Name] フィールドに新しいサーバ グループ名を入力し、IP アドレスとドメイン名を入力します（図 34-1 を参照）。

図 34-1 ポート転送の DNS サーバ値の例

入力したドメイン名をメモしておきます。後ほど、ポート転送エントリを設定する際、リモート サーバを指定するために必要になります。

ステップ 8 [Connection Profiles] ウィンドウが再度アクティブになるまで、[OK] をクリックします。

ステップ 9 クライアントレス接続の設定で使用される、残りすべての 接 続プロファイルについて、手順 2 ～ 8 を繰り返します。

ステップ 10 [Apply] をクリックします。

モード

次の表は、この機能を使用できるモードを示したものです。

Add/Edit Port Forwarding List

[Add/Edit Port Forwarding List] ダイアログボックスでは、クライアントレス SSL VPN 接続によるアクセスに適用されるユーザまたはグループ ポリシーに関連付ける TCP アプリケーションの名前付きリストを追加または編集できます。

フィールド

• [List Name]：英数字で表したリストの名前。最大 64 文字です。

• [Local TCP Port]：アプリケーションのトラフィックを受信するローカル ポート。

• [Remote Server]：リモート サーバの IP アドレスまたは DNS 名。

• [Remote TCP Port]：アプリケーションのトラフィックを受信するリモート ポート。

• [Description]：TCP アプリケーションを説明するテキスト。

モード

次の表は、この機能を使用できるモードを示したものです。

Add/Edit Port Forwarding Entry

[Add/Edit Port Forwarding Entry] ダイアログボックスでは、クライアントレス SSL VPN 接続によるアクセスに適用されるユーザまたはグループ ポリシーに関連付ける TCP アプリケーションを指定できます。これらのウィンドウで属性に値を割り当てるには、次の手順を実行します。

• [Local TCP Port]：アプリケーションが使用する TCP ポート番号を入力します。ローカル ポート番号は、1 つの listname に対して一度だけ使用できます。ローカル TCP サービスとの競合を避けるには、1024 ～ 65535 の範囲にあるポート番号を使用します。

• [Remote Server]：リモート アクセス サーバのドメイン名または IP アドレスを入力します。特定の IP アドレスに対してクライアント アプリケーションを設定しなくて済むよう、ドメイン名を使用することをお勧めします。

• [Remote TCP Port]：そのアプリケーション用の既知のポート番号を入力します。

• [Description]：アプリケーションの説明を入力します。最大 64 文字です。

モード

次の表は、この機能を使用できるモードを示したものです。

Add/Edit Proxy Bypass Rule

このパネルでは、セキュリティ アプライアンスがコンテンツ リライトをほとんどまたはまったく実行しない場合のルールを設定できます。

フィールド

• [Interface Name]：プロキシ バイパス用の VLAN を選択します。

• [Bypass Condition]：プロキシ バイパス用のポートまたは URI を指定します。

– [Port]：（オプション ボタン）プロキシ バイパスにポートを使用します。有効なポート番号は 20000 ～ 21000 です。

– [Port]：（フィールド）セキュリティ アプライアンスがプロキシ バイパス用に予約する大きな番号のポートを入力します。

– [Path Mask]：（オプション ボタン）プロキシ バイパスに URL を使用します。

– [Path Mask]：（フィールド）プロキシ バイパス用の URL を入力します。この URL には、正規表現を使用できます。

• [URL]：プロキシ バイパスのターゲット URL を定義します。

– [URL]：（ドロップダウン リスト）プロトコルとして、http または https を選択します。

– [URL]：（テキスト フィールド）プロキシ バイパスを適用する URL を入力します。

• [Content to Rewrite]：リライトするコンテンツを指定します。選択肢は、なし、または XML、リンク、およびクッキーの組み合わせです。

– [XML]：XML コンテンツをリライトする場合に選択します。

– [Hostname]：リンクをリライトする場合に選択します。

モード

次の表は、この機能を使用できるモードを示したものです。

Add/Replace SSL VPN Client Image

このウィンドウでは、SSL VPN クライアント イメージとして追加するか、またはテーブルのリストにすでに含まれているイメージと置換する、セキュリティ アプライアンス フラッシュ メモリのファイルの名前を指定できます。また、識別するファイルをフラッシュ メモリから参照したり、ローカル コンピュータからファイルをアップロードしたりすることもできます。

フィールド

• [Flash SVC Image]：SSL VPN クライアント イメージとして識別する、フラッシュ メモリ内のファイルを指定します。

• [Browse Flash]：フラッシュ メモリに格納されているすべてのファイルを参照できる [Browse Flash Dialog] ウィンドウを表示します。

• [Upload]：[Upload Image] ウィンドウが表示されます。このウィンドウでは、クライアント イメージとして指定するファイルをローカル PC からアップロードできます。

• [Regular expression to match user-agent]：セキュリティ アプライアンスが、ブラウザによって渡された User-Agent 文字列に一致させる文字列を指定します。モバイル ユーザの場合、この機能を使用してモバイル デバイスの接続時間を短縮できます 。 ブラウザがセキュリティ アプライアンスに接続するとき、User-Agent ストリングが HTTP ヘッダーに含められます。セキュリティ アプライアンスによってストリングが受信され、そのストリングがあるイメージ用に設定された式と一致すると、そのイメージがただちにダウンロードされます。この場合、他のクライアント イメージはテストされません。

モード

次の表は、この機能を使用できるモードを示したものです。

Upload Image

このウィンドウでは、ローカル コンピュータまたはセキュリティ アプライアンスのフラッシュ メモリに格納されている、SSL VPN クライアント イメージとして識別するファイルのパスを指定できます。ローカル コンピュータまたはセキュリティ アプライアンスのフラッシュ メモリから、識別するファイルを参照できます。

フィールド

• [Local File Path]：ローカル コンピュータに格納されている、SSL VPN クライアント イメージとして識別するファイルの名前を指定します。

• [Browse Local Files]：[Select File Path] ウィンドウが表示されます。このウィンドウでは、ローカル コンピュータに格納されているすべてのファイルを表示し、クライアント イメージとして識別するファイルを選択できます。

• [Flash File System Path]：セキュリティ アプライアンスのフラッシュ メモリに格納されている、SSL VPN クライアント イメージとして識別するファイルの名前を指定します。

• [Browse Flash]：[Browse Flash Dialog] ウィンドウが表示されます。このウィンドウでは、セキュリティ アプライアンスのフラッシュ メモリに格納されているすべてのファイルを表示し、クライアント イメージとして識別するファイルを選択できます。

• [Upload File]：ファイルのアップロードを開始します。

モード

次の表は、この機能を使用できるモードを示したものです。

Add/Edit SSL VPN Client Profiles

このウィンドウでは、ローカル コンピュータまたはセキュリティ アプライアンスのフラッシュ メモリに格納されている、SSL VPN クライアント プロファイルとして識別するファイルのパスを指定できます。これらのプロファイルは、AnyConnect VPN クライアント ユーザ インターフェイスにホスト情報を表示します。ローカル コンピュータまたはセキュリティ アプライアンスのフラッシュ メモリから、識別するファイルを参照できます。

フィールド

• [Profile Name]：テーブルに表示される XML ファイルに名前を関連付けます。XML プロファイル ファイルで特定されているホストを思い出しやすい名前を付けてください。

• [Profile Package]：ローカル コンピュータのフラッシュ メモリに格納されている、SSL VPN クライアント プロファイルとして識別するファイルの名前を指定します。

• [Browse Flash]：[Browse Flash Dialog] ウィンドウが表示されます。このウィンドウでは、セキュリティ アプライアンスのフラッシュ メモリに格納されているすべてのファイルを表示し、プロファイルとして識別するファイルを選択できます。

• [Upload File]：ファイルのアップロードを開始します。

モード

次の表は、この機能を使用できるモードを示したものです。

Upload Package

このウィンドウでは、ローカル コンピュータまたはセキュリティ アプライアンスのフラッシュ メモリに格納されている、SSL VPN クライアント プロファイルとして識別するファイルのパスを指定できます。ローカル コンピュータまたはセキュリティ アプライアンスのフラッシュ メモリから、識別するファイルを参照できます。

フィールド

• [Local File Path]：ローカル コンピュータに格納されている、SSL VPN クライアント プロファイルとして識別するファイルの名前を指定します。

• [Browse Local Files]：[Select File Path] ウィンドウが表示されます。このウィンドウでは、ローカル コンピュータに格納されているすべてのファイルを表示し、クライアント プロファイルとして識別するファイルを選択できます。

• [Flash File System Path]：セキュリティ アプライアンスのフラッシュ メモリに格納されている、クライアント プロファイルとして識別するファイルの名前を指定します。

• [Browse Flash]：[Browse Flash Dialog] ウィンドウが表示されます。このウィンドウでは、セキュリティ アプライアンスのフラッシュ メモリに格納されているすべてのファイルを表示し、クライアント プロファイルとして識別するファイルを選択できます。

• [Upload File]：ファイルのアップロードを開始します。

モード

次の表は、この機能を使用できるモードを示したものです。

SiteMinder と SAML Browser Post Profile

SiteMinder または SAML Browser Post Profile による SSO 認証は AAA から切り離されており、AAA プロセスの完了後に実施されます。ユーザまたはグループが対象の SiteMinder SSO を設定するには、まず AAA サーバ（RADIUS や LDAP など）を設定する必要があります。AAA サーバがユーザを認証した後、クライアントレス SSL VPN サーバは、HTTPS を使用して認証要求を SiteMinder SSO サーバに送信します。

SiteMinder SSO の場合は、セキュリティ アプライアンスの設定を行う以外に、シスコの認証スキームによって CA SiteMinder Policy Server を設定する必要があります。 シスコの認証スキームの SiteMinder への追加を参照してください。

SAML Browser Post Profile の場合は、認証で使用する Web Agent（Protected Resource URL）を設定する必要があります。SAML Browser Post Profile SSO サーバの設定の詳細については、「 SAML POST SSO サーバのコンフィギュレーション」を参照してください。

フィールド

• [Server Name]： 表示専用。 設定された SSO サーバの名前を表示します。入力できる文字の範囲は、4 ～ 31 文字です。

• [Authentication Type]： 表示専用 。SSO サーバのタイプを表示します。セキュリティ アプライアンスは現在、SiteMinder タイプと SAML Browser Post Profile タイプをサポートしています。

• [URL]： 表示専用 。 セキュリティ アプライアンスが SSO 認証要求を行う SSO サーバの URL を表示します。

• [Secret Key]： 表示専用 。 SSO サーバとの認証通信の暗号化に使用される秘密キーを表示します。キーは、任意の標準またはシフト式英数字で構成されます。文字の最小数や最大数の制限はありません。

• [Maximum Retries]： 表示専用 。 SSO 認証が失敗した場合にセキュリティ アプライアンスがリトライする回数を表示します。リトライの範囲は 1 ～ 5 回で、デフォルトのリトライ数は 3 回です。

• [Request Timeout (seconds)]： 表示専用 。 失敗した SSO 認証試行をタイムアウトさせるまでの秒数を表示します。範囲は 1 ～ 30 秒で、デフォルトの秒数は 5 秒です。

• [Add/Edit]：[Add/Edit SSO Server] ダイアログボックスを開きます。

• [Delete]：選択した SSO サーバを削除します。

モード

次の表は、この機能を使用できるモードを示したものです。

SAML POST SSO サーバのコンフィギュレーション

サーバ ソフトウェア ベンダーが提供する SAML サーバのマニュアルに従って、SAML サーバを Relying Party モードで設定します。次の手順には、Browser Post Profile に SAML サーバを設定するために必要な値が一覧表示されています。

ステップ 1 アサーティング パーティ（セキュリティ アプライアンス）を表す SAML サーバ パラメータを設定します。

• 宛先コンシューマ（Web Agent）URL（ASA で設定されるアサーション コンシューマ URL と同じ）

• Issuer ID（通常はアプライアンスのホスト名である文字列）

• Profile type：Browser Post Profile

ステップ 2 証明書を設定します。

ステップ 3 アサーティング パーティのアサーションには署名が必要なことを指定します。

ステップ 4 SAML サーバがユーザを特定する方法を、次のように選択します。

• Subject Name Type が DN

• Subject Name format が uid=<user>

シスコの認証スキームの SiteMinder への追加

SiteMinder による SSO を使用するためのセキュリティ アプライアンスの設定に加え、Java プラグインとして提供されている、シスコの認証スキームを使用するようにユーザの CA SiteMinder Policy Server を設定する必要もあります。

（注） • SiteMinder Policy Server を設定するには、SiteMinder の経験が必要です。

• この項では、手順のすべてではなく、一般的なタスクを取り上げます。

• カスタム認証スキームを追加するための完全な手順については、CA SiteMinder のマニュアルを参照してください。

ユーザの SiteMinder Policy Server にシスコの認証スキームを設定するには、次のタスクを実行します。

ステップ 1 Siteminder Administration ユーティリティを使用して、次の特定の引数を使用できるようにカスタム認証スキームを作成します。

• [Library] フィールドに、 smjavaapi と入力します。

• [Secret] フィールドで、[Add SSO Server] ダイアログの [Secret Key] フィールドで設定したものと同じ秘密キーを入力します。

• [Parameter] フィールドに、 CiscoAuthAPI と入力します。

ステップ 2 Cisco.com にログインして、 http://www.cisco.com/cisco/software/navigator.html から cisco_vpn_auth.jar ファイルをダウンロードして、SiteMinder サーバのデフォルトのライブラリ ディレクトリにコピーします。この .jar ファイルは、Cisco セキュリティ アプライアンス CD にも含まれています。

Add/Edit SSO Servers

（注） この SSO 方式では、CA SiteMinder と SAML Browser Post Profile を使用します。また、HTTP Form プロトコルまたは基本 HTML および NTLM 認証を使用して SSO を設定することもできます。HTTP Form プロトコルを使用する場合は、「 HTTP Form でのクライアントレス SSL VPN に対する SSO のサポート」を参照してください。基本 HTML または NTLM 認証を使用するように設定する場合は、コマンドライン インターフェイスで auto-signon コマンドを使用します。

フィールド

• [Server Name]：サーバを追加する場合は、新しい SSO の名前を入力します。サーバを編集する場合、このフィールドは表示専用です。選択した SSO サーバの名前が表示されます。

• [Authentication Type]： 表示専用 。SSO サーバのタイプを表示します。セキュリティ アプライアンスが現在サポートしているタイプは、SiteMinder と SAML Browser Post Profile です。

• [URL]：セキュリティ アプライアンスが SSO 認証要求を行う SSO サーバの URL を入力します。

• [Secret Key]：SSO サーバへの認証要求を暗号化するために使用する秘密キーを入力します。キーに使用する文字には、通常の英数字と、シフト キーを押して入力した英数字を使用できます。文字の最小数や最大数の制限はありません。秘密キーはパスワードに似ており、作成、保存、設定ができます。Cisco Java プラグイン認証スキームを使用して、セキュリティ アプライアンス、SSO サーバ、および SiteMinder Policy Server で設定されます。

• [Maximum Retries]：失敗した SSO 認証試行をセキュリティ アプライアンスが再試行する回数を入力します。この回数を超えて失敗すると認証タイムアウトになります。範囲は 1 ～ 5 回で、1 回と 5 回も含まれます。デフォルトは 3 回です。

• [Request Timeout]：失敗した SSO 認証試行をタイムアウトさせるまでの秒数を入力します。範囲は 1 ～ 30 秒で、1 秒と 30 秒も含まれます。デフォルトは 5 秒です。

モード

次の表は、この機能を使用できるモードを示したものです。

スマート トンネルについて

スマート トンネルは、TCP ベースのアプリケーションとプライベート サイト間の接続です。このスマート トンネルは、セキュリティ アプライアンスをパスウェイとして、また、セキュリティ アプライアンスをプロキシ サーバとして使用するクライアントレス（ブラウザベース）SSL VPN セッションを使用します。スマート トンネル アクセスを許可するアプリケーションを特定し、各アプリケーションのローカル パスを指定できます。Microsoft Windows で実行するアプリケーションの場合は、チェックサムの SHA-1 ハッシュの一致を、スマート トンネル アクセスを許可する条件として要求もできます。

Lotus SameTime および Microsoft Outlook Express は、スマート トンネル アクセスを許可できるアプリケーションの例です。

スマート トンネルを設定するには、アプリケーションがクライアントであるか、Web 対応アプリケーションであるかに応じて、次の手順のいずれかを実行する必要があります。

• クライアント アプリケーションの 1 つ以上のスマート トンネル リストを作成し、スマート トンネル アクセスを提供するグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。

• スマート トンネル アクセスに適格な Web 対応アプリケーションの URL を指定するブックマーク リスト エントリを 1 つ以上作成し、スマート トンネル アクセスを提供する DAP、グループ ポリシー、ローカル ユーザ ポリシーにそのリストを割り当てます。

また、クライアントレス SSL VPN セッションを介したスマート トンネル接続でのログイン クレデンシャルの送信を自動化する Web 対応アプリケーションのリストも作成できます。

スマート トンネルを使用する理由

スマート トンネル アクセスを使用すると、クライアントの TCP ベースのアプリケーションがブラウザベースの VPN 接続を使用してサービスに接続します。この方法では、プラグインやレガシー テクノロジーであるポート転送と比較して、ユーザには次のような利点があります。

• スマート トンネルは、プラグインよりもパフォーマンスが向上します。

• ポート転送とは異なり、スマート トンネルでは、ローカル ポートへのローカル アプリケーションのユーザ接続を要求しないことにより、ユーザ エクスペリエンスが簡略化されます。

• ポート転送とは異なり、スマート トンネルでは、ユーザは管理者特権を持つ必要がありません。

プラグインの利点は、クライアント アプリケーションをリモート コンピュータにインストールする必要がないという点です。

スマート トンネルの要件および制限

以降のセクションでは、スマート トンネルの要件と制限事項について分類ごとに説明します。

一般的な要件と制限事項

スマート トンネルには、次の一般的な要件と制限事項があります。

• スマート トンネル接続を開始するリモート ホストでは、32 ビット バージョンの Microsoft Windows Vista、Windows XP、Windows 2000、Mac OS 10.4 または 10.5 が実行されている必要があります。

• スマート トンネルの自動サインオンは、Windows の Microsoft Internet Explorer だけサポートします。

• ブラウザで Java、Microsoft ActiveX、またはその両方をイネーブルにする必要があります。

• スマート トンネルは、Microsoft Windows を実行しているコンピュータとセキュリティ アプライアンス間に配置されたプロキシだけをサポートします。スマート トンネルは、Internet Explorer 設定（つまり、Windows でシステム全体での使用を目的とした設定）を使用します。リモート コンピュータがセキュリティ アプライアンスにアクセスするためにプロキシ サーバを必要とする場合、接続の終端側の URL が、プロキシ サービスから除外される URL のリストに存在する必要があります。プロキシ設定で、ASA を宛先とするトラフィックのプロキシ経由を指定すると、すべてのスマート トンネル トラフィックがプロキシ経由になります。

HTTP ベースのリモート アクセスのシナリオでは、サブネットが VPN ゲートウェイへのユーザ アクセスを提供しない場合があります。この場合、Web とエンド ユーザの場所との間のトラフィックをルーティングするために ASA の前に配置されているプロキシが、Web アクセスを提供します。ただし、ASA の前に配置されるプロキシを設定できるのは、VPN ユーザだけです。このように実行する場合、これらのプロキシが CONNECT 方式をサポートすることを確認する必要があります。認証が必要なプロキシの場合、スマート トンネルは、基本ダイジェスト認証タイプだけをサポートします。

• スマート トンネルが開始されると、セキュリティ アプライアンスは、ブラウザ プロセスが同じである場合に VPN セッション経由ですべてのブラウザ トラフィックをデフォルトで送信します。tunnel-all ポリシーが適用されている場合にも、セキュリティ アプライアンスは同じ処理を行います。ユーザがブラウザ プロセスの別のインスタンスを開始すると、VPN セッション経由ですべてのトラフィックが送信されます。ブラウザ プロセスが同じで、セキュリティ アプライアンスが URL へのアクセスを提供しない場合、ユーザはその URL を開くことはできません。回避策として、tunnel-all ではないトンネル ポリシーを割り当てます。

• ステートフル フェールオーバーが発生したとき、スマート トンネル接続は保持されません。ユーザはフェールオーバー後に再接続する必要があります。

Windows の要件と制限事項

次の要件と制限は Windows だけに適用されます。

• Winsock 2 の TCP ベースのアプリケーションだけ、スマート トンネル アクセスに適します。

• セキュリティ アプライアンスは Microsoft Outlook Exchange（MAPI）プロキシをサポートしていません。ポート転送もスマート トンネルも MAPI をサポートしません。MAPI プロトコルを使用した Microsoft Outlook Exchange 通信では、リモート ユーザが AnyConnect を使用する必要があります。

• スマート トンネルまたはポート転送を使用する Microsoft Windows Vista ユーザは、ASA の URL を信頼済みサイト ゾーンに追加する必要があります。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista ユーザは、保護モードをディセーブルにしてスマート トンネル アクセスの使用もできます。ただし、攻撃を受けやすくなるため、この方法の使用はお勧めしません。

Mac OS の要件と制限事項

次の要件と制限は Mac OS だけに適用されます。

• Safari 3.1.1 以降または Firefox 3.0 以降。

• Sun JRE 1.5 以降。

• ポータル ページから起動されたアプリケーションだけ、スマート トンネル接続を確立できる。この要件には、Firefox に対するスマート トンネルのサポートも含まれます。スマート トンネルを最初に使用する際に、Firefox を使用して Firefox の別のインスタンスを起動するには、csco_st という名前のユーザ プロファイルが必要です。このユーザ プロファイルが存在しない場合、セッションでは、作成するようにユーザに要求します。

• SSL ライブラリにダイナミックにリンクされている TCP を使用するアプリケーションは、スマート トンネルを介して動作できる。

• Mac OS では、スマート トンネルは次をサポートしない。

– プロキシ サービス

– 自動サインオン

– 2 つのレベルの名前スペースを使用するアプリケーション

– Telnet、SSH、cURL などのコンソールベースのアプリケーション

– dlopen または dlsym を使用して libsocket コールを見つけ出すアプリケーション

– libsocket コールを見つけ出すスタティックにリンクされたアプリケーション

スマート トンネルの設定（Lotus の例）

スマート トンネルを設定するには、次の手順を実行します。

（注） この例では、アプリケーションでのスマート トンネル サポートを追加するために必要な最小限の指示だけを示します。詳細については、以降の各項にあるフィールドの説明を参照してください。

ステップ 1 [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] を選択します。

ステップ 2 アプリケーションを追加するスマート トンネル リストをダブルクリックするか、または [Add] をクリックしてアプリケーションのリストを作成し、[List Name] フィールドにそのリストの名前を入力して [Add] をクリックします。

たとえば、[Smart Tunnels] ペインで [Add] をクリックし、[List Name] フィールドに Lotus と入力して [Add] をクリックします。

ステップ 3 [Add or Edit Smart Tunnel List] ダイアログボックスで [Add] をクリックします。

ステップ 4 [Application ID] フィールドに、スマート トンネル リスト内のエントリに対する一意のインデックスとして使用する文字列を入力します。

ステップ 5 [Process Name] ダイアログボックスに、ファイル名とアプリケーションの拡張子を入力します。

表 34-1 に、[Application ID] 文字列の例と、Lotus をサポートするために必要な関連付けられたパスを示します。

ステップ 6 [OS] の横の [Windows] を選択します。

ステップ 7 [OK] をクリックします。

ステップ 8 リストに追加するアプリケーションごとに、ステップ 3 ～ 7 を繰り返します。

ステップ 9 [Add or Edit Smart Tunnel List] ダイアログボックスで [OK] をクリックします。

ステップ 10 次のようにして、関連付けられたアプリケーションへのスマート トンネル アクセスを許可する、グループ ポリシーとローカル ユーザ ポリシーにリストを割り当てます。

• グループ ポリシーにリストを割り当てるには、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add] または [Edit] > [Portal] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

• ローカル ユーザ ポリシーにリストを割り当てるには、[Configuration] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] または [Edit] > [VPN Policy] > [Clientless SSL VPN] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

Add or Edit Smart Tunnel List

[Add Smart Tunnel List] ダイアログボックスでは、スマート トンネル エントリのリストをセキュリティ アプライアンスのコンフィギュレーションに追加できます。[Edit Smart Tunnel List] ダイアログボックスでは、リストの内容を修正できます。

フィールド

• [List Name]：アプリケーションまたはプログラムのリストに付ける一意の名前を入力します。名前に使用される文字数には制限はありません。スペースは使用しないでください。

スマート トンネル リストのコンフィギュレーションに続いて、クライアントレス SSL VPN のグループ ポリシーとローカル ユーザ ポリシーの [Smart Tunnel List] 属性の横にリスト名が表示されます。他に設定する可能性があるリストと、内容および目的を区別できるような名前を付けてください。

モード

次の表は、この機能を使用できるモードを示したものです。

Add or Edit Smart Tunnel Entry

[Add or Edit Smart Tunnel Entry] ダイアログボックスでは、スマート トンネル リストにあるアプリケーションの属性を指定できます。

• [Application ID]：スマート トンネル リストのエントリに命名する文字列を入力します。この文字列は、OS ごとに一意です。通常は、スマート トンネル アクセスを許可されるアプリケーションに付けられる名前です。異なるパスまたはハッシュ値を指定するアプリケーションの複数バージョンをサポートするには、この属性を使用してエントリを差別化し、OS、および各リスト エントリによってサポートされているアプリケーションの名前とバージョンの両方を指定します。文字列は最大 64 文字まで使用できます。

• [Process Name] ： アプリケーションのファイル名またはパスを入力します。ストリングには最大 128 文字を使用できます。

Windows では、アプリケーションにスマート トンネル アクセスを許可する場合に、この値とリモート ホストのアプリケーション パスの右側の値が完全に一致している必要があります。Windows でファイル名のみを指定すると、SSL VPN では、アプリケーションにスマート トンネル アクセスを許可する場合に、リモート ホストに対して場所の制限を強制しません。

アプリケーションのパスを指定し、ユーザが別の場所にインストールした場合は、そのアプリケーションは許可されません。アプリケーションは、入力する値と文字列の右側の値が一致している限り、任意のパスに配置できます。

アプリケーションがリモート ホストの複数のパスのいずれかにある場合に、アプリケーションにスマート トンネル アクセスを許可するには、このフィールドにアプリケーションの名前と拡張子だけを指定するか、またはパスごとに固有のスマート トンネル エントリを作成します。

（注） スマート トンネル アクセスで突然問題が発生する場合、Process Name 値がアップグレードされたアプリケーションに対して最新ではない可能性があります。たとえば、アプリケーションへのデフォルト パスは、そのアプリケーションおよび次のアップグレード版を製造する企業が買収されると変更されることがあります。

Windows の場合、コマンド プロンプトから開始したアプリケーションにスマート トンネル アクセスを追加する場合は、スマート トンネル リストの 1 つのエントリの Process Name に「cmd.exe」を指定し、別のエントリにアプリケーション自体へのパスを指定する必要があります。これは「cmd.exe」がアプリケーションの親であるためです。

Mac OS では、プロセスへのフル パスが必要です。また、このパスは大文字と小文字が区別されます。各ユーザ名のパスを指定しないようにするには、部分パスの前にチルダ（~）を入力します（例：~/bin/vnc）。

• [OS]：[Windows] または [Mac] をクリックし、アプリケーションのホスト OS を指定します。

• [Hash]：（オプション。Windows にだけ適用）この値を取得するには、アプリケーションのチェックサム（つまり、実行ファイルのチェックサム）を、SHA-1 アルゴリズムを使用してハッシュ計算するユーティリティに入力します。このようなユーティリティの例として、Microsoft File Checksum Integrity Verifier（FCIV; ファイル チェックサム整合性検証）を挙げることができます。このユーティリティは、 http://support.microsoft.com/kb/841290/ で入手できます。FCIV のインストール後、スペースを含まないパス（c:/fciv.exe など）に、ハッシュするアプリケーションの一時コピーを置き、コマンドラインで fciv.exe -sha1 application と入力して（ fciv.exe -sha1 c:\msimn.exe など）、SHA-1 ハッシュを表示します。

SHA-1 ハッシュは、常に 16 進数 40 文字です。

クライアントレス SSL VPN は、アプリケーションにスマート トンネル アクセスの許可を与える前に、[Application ID] に一致するアプリケーションのハッシュを計算します。結果が [ Hash ] の値と一致すれば、アプリケーションにスマート トンネル アクセスの資格を与えます。

ハッシュを入力することにより、[ Application ID ] で指定した文字列に一致する不正ファイルに対して SSL VPN が資格を与えないようにしています。チェックサムは、アプリケーションのバージョンまたはパッチによって異なるため、入力する [ Hash ] 値は、リモート ホストの 1 つのバージョンやパッチにしか一致しない可能性があります。複数のバージョンのアプリケーションにハッシュを指定するには、[ Hash ] 値ごとに固有のスマート トンネル エントリを作成します。

（注） [Hash] を入力し、スマート トンネル アクセスで今後のバージョンまたはパッチのアプリケーションをサポートする場合は、将来的にスマート トンネル リストを更新する必要が生じます。スマート トンネル アクセスに突然問題が発生した場合は、[Hash] 値を含むアプリケーション リストが、アプリケーションのアップグレードによって最新の状態になっていない可能性があります。この問題は hash を入力しないことによって回避できます。

スマート トンネル リストのコンフィギュレーションに続いて、そのリストをアクティブにするには、グループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てる必要があります。

• グループ ポリシーにリストを割り当てるには、[Config] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add] または [Edit] > [Portal] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

• ローカル ユーザ ポリシーにリストを割り当てるには、[Config] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] または [Edit] > [VPN Policy] > [Clientless SSL VPN] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

モード

次の表は、この機能を使用できるモードを示したものです。

次の作業

スマート トンネル リストのコンフィギュレーションに続いて、そのリストをアクティブにするには、次のようにグループ ポリシーまたはユーザ名にそのリストを割り当てる必要があります。

• グループ ポリシーにリストを割り当てるには、[Config] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Group Policies] > [Add] または [Edit] > [Portal] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

• ユーザ名にリストを割り当てるには、[Config] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] または [Edit] > [VPN Policy] > [Clientless SSL VPN] を選択し、[Smart Tunnel List] 属性の横にあるドロップダウン リストからスマート トンネル名を選択します。

カスタマイゼーション オブジェクトの設定

クライアントレス SSL VPN ポータル上で見ることができるすべてのエンドユーザ コンテンツは、カスタマイズできます。カスタマイズするには、ASDM で Customization Editor という XML テンプレートを使用するか、すでに存在するカスタマイゼーション オブジェクトをエクスポートして編集してから、セキュリティ アプライアンスに再インポートします。

バージョン 8.0 ソフトウェアでは、カスタマイゼーションの設定機能が拡張されており、新しいプロセスは以前のバージョンと互換性がありません。8.0 ソフトウェアへのアップグレードの間、セキュリティ アプライアンスは、古い設定を使用して新しいカスタマイゼーション オブジェクトを作成することにより、現在のコンフィギュレーションを維持します。このプロセスは 1 回のみ実行されます。また、古い値は新しい値の一部を構成するサブセットに過ぎないため、このプロセスは古い形式から新しい形式への単なる変換ではありません。

（注） バージョン 7.2 ポータルのカスタマイズと URL リストは、バージョン 8.0 にアップグレードする前にバージョン 7.2（x）のコンフィギュレーション ファイルの適切なインターフェイスでクライアントレス SSL VPN（WebVPN）がイネーブルになっていた場合にだけ、Beta 8.0 コンフィギュレーションで使用できます。

現在のペインで、テンプレートに基づいて新しいカスタマイゼーション オブジェクトを追加するか、すでにインポート済みのカスタマイゼーション オブジェクトを修正できます。

フィールド

[Add]：[Add Customization] ペインを表示します。このペインでは、デフォルトのカスタマイゼーション オブジェクトのコピーを作成し、一意の名前を付けて保存できます。その後、ASDM SSL VPN Customization Editor を使用して、要件に応じてオブジェクトを修正できます。

[Edit]：既存の選択されたカスタマイゼーション オブジェクトを編集します。クリックすると、SSL VPN Customization Editor が起動します。

[Delete]：カスタマイゼーション オブジェクトを削除します。

[Import]：XML ファイル形式のカスタマイゼーション オブジェクトをインポートします。XML ファイルの作成の詳細については、「 XML ベースのポータル カスタマイゼーション オブジェクトおよび URL リストの作成」を参照してください。

[Export]：選択した既存のカスタマイゼーション オブジェクトをエクスポートします。エクスポートにより、そのオブジェクトを編集し、このセキュリティ アプライアンスか別のセキュリティ アプライアンスに再インポートできます。

[Customization Objects]：セキュリティ アプライアンスの既存のカスタマイゼーション オブジェクトを一覧表示します。

[OnScreen Keyboard]：エンド ユーザに対して OnScreen Keyboard を表示するタイミングを指定します。このキーボードを使用することにより、ログインや認証を行う場合にキーボードのキーを押してパスワードを入力する必要がなくなるため、セキュリティを高めることができます。

モード

次の表は、この機能を使用できるモードを示したものです。

カスタマイゼーション オブジェクトの追加

カスタマイゼーション オブジェクトを追加するには、DfltCustomization オブジェクトのコピーを作成して一意の名前を付けます。次に、要件に合うようにそのオブジェクトを修正または編集できます。

フィールド

[Customization Object Name]：新しいカスタマイゼーション オブジェクトの名前を入力します。最大 64 文字で、スペースは使用できません。

モード

次の表は、この機能を使用できるモードを示したものです。

カスタマイゼーション オブジェクトのインポートおよびエクスポート

既存のカスタマイゼーション オブジェクトをインポートまたはエクスポートできます。インポートするのは、エンド ユーザに適用するオブジェクトです。セキュリティ アプライアンスにすでに存在するカスタマイゼーション オブジェクトは、編集のためにエクスポートし、その後再インポートできます。

フィールド

• [Customization Object Name]：カスタマイゼーション オブジェクトを名前で特定します。最大 64 文字で、スペースは使用できません。

• [Select a file]：カスタマイゼーション ファイルをインポートまたはエクスポートするときに使用する方式を選択します。

– [Local computer]：ローカル PC にあるファイルをインポートする場合は、この方式を選択します。

– [Path]：ファイルへのパスを入力します。

– [Browse Local Files]：ファイルへのパスを参照します。

– [Flash file system]：セキュリティ アプライアンスに常駐するファイルをエクスポートするには、この方式を選択します。

– [Path]：ファイルへのパスを入力します。

– [Browse Flash]：ファイルへのパスを参照します。

– [Remote server]：セキュリティ アプライアンスからアクセスできるリモート サーバに常駐するカスタマイゼーション ファイルをインポートするには、このオプションを選択します。

– [Path]：ファイルにアクセスする方式（ftp、http、または https）を指定し、ファイルへのパスを入力します。

• [Import Now]/[Export Now]：クリックすると、ファイルをインポートまたはエクスポートします。

モード

次の表は、この機能を使用できるモードを示したものです。

XML ベースのポータル カスタマイゼーション オブジェクトおよび URL リストの作成

この項では、次のトピックについて取り上げます。

• XML カスタマイゼーション ファイルの構成について

• カスタマイゼーションの例

• カスタマイゼーション テンプレートの使用

XML カスタマイゼーション ファイルの構成について

表 34-3 に、XML カスタマイゼーション オブジェクトのファイル構造を示します。

（注） XML カスタマイゼーション ファイルの空白のタグ <param></param> は、微小値（(hostname)# param value "" ）を含む CLI コマンドに相当します。
パラメータ/タグが指定されなければデフォルト/継承値が使用されます。存在する場合は、空の文字列であってもパラメータ/タグ値が設定されます。

カスタマイゼーションの例

次の例は、次のカスタマイゼーション オプションを示しています。

• File アクセス アプリケーションのタブを非表示にする。

• Web Access アプリケーションのタイトルと順序を変更する。

• ホーム ページで 2 つのカラムを定義する。

• RSS ペインを追加する。

• 2 番目のペインの上部に 3 つのペイン（テキスト、イメージ、および html）を追加する。

カスタマイゼーション テンプレートの使用

Template という名前のカスタマイゼーション テンプレートには、現在使用されているタグすべてと、その使用法を説明した対応するコメントが含まれています。export コマンドを使用し、次のようにしてセキュリティ アプライアンスからカスタマイゼーション テンプレートをダウンロードします。

Template ファイルは、変更または削除できません。この例のようにしてエクスポートする場合は、 default.xml という新しい名前で保存します。このファイルで変更を行った後、そのファイルを使用して組織の必要を満たすカスタマイゼーション オブジェクトを作成し、 default.xml または選択する別の名前のファイルとしてセキュリティ アプライアンスにインポートします。次に例を示します。

ここで custom.xml という名前の XML オブジェクトをインポートし、セキュリティ アプライアンス で General と命名します。

カスタマイゼーション テンプレート

Template という名前のカスタマイゼーション テンプレートを次に示します。