スマート トンネル アクセス
次の項では、クライアントレス SSL VPN セッションでスマート トンネル アクセスをイネーブルにする方法、それらのアクセスを提供するアプリケーションの指定、および使用上の注意について説明します。
スマート トンネル アクセスを設定するには、スマート トンネル リストを作成します。このリストには、スマート トンネル アクセスに適した 1 つ以上のアプリケーション、およびこのリストに関連付けられたエンドポイント オペレーティング システムを含めます。各グループ ポリシーまたはローカル ユーザ ポリシーでは 1 つのスマート トンネル リストがサポートされているため、ブラウザベースではないアプリケーションをサポート対象とするために、グループ化してスマート トンネル リストに加える必要があります。リストを作成したら、1 つ以上のグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。
次の項では、スマート トンネルおよびその設定方法について説明します。
スマート トンネルについて
スマート トンネルは、TCP ベースのアプリケーションとプライベート サイト間の接続です。このスマート トンネルでは、セキュリティ アプライアンスをパスウェイ、ASA をプロキシ サーバとするクライアントレス(ブラウザベース)SSL VPN セッションが使用されます。スマート トンネル アクセスを許可するアプリケーションを特定し、各アプリケーションのローカル パスを指定できます。Microsoft Windows で実行するアプリケーションの場合は、チェックサムの SHA-1 ハッシュの一致を、スマート トンネル アクセスを許可する条件として要求もできます。
Lotus SameTime および Microsoft Outlook は、スマート トンネル アクセスを許可するアプリケーションの例です。
スマート トンネルを設定するには、アプリケーションがクライアントであるか、Web 対応アプリケーションであるかに応じて、次の手順のいずれかを実行する必要があります。
-
クライアント アプリケーションの 1 つ以上のスマート トンネル リストを作成し、スマート トンネル アクセスを必要とするグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。
-
スマート トンネル アクセスに適格な Web 対応アプリケーションの URL を指定する 1 つ以上のブックマーク リスト エントリを作成し、スマート トンネル アクセスを必要とするグループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てます。
また、クライアントレス SSL VPN セッションを介したスマート トンネル接続でのログイン クレデンシャルの送信を自動化する Web 対応アプリケーションのリストも作成できます。
スマート トンネルのメリット
スマート トンネル アクセスでは、クライアントの TCP ベースのアプリケーションは、ブラウザベースの VPN 接続を使用してサービスにアクセスできます。この方法では、プラグインやレガシー テクノロジーであるポート転送と比較して、ユーザには次のような利点があります。
-
スマート トンネルは、プラグインよりもパフォーマンスが向上します。
-
ポート転送とは異なり、スマート トンネルでは、ローカル ポートへのローカル アプリケーションのユーザ接続を要求しないことにより、ユーザ エクスペリエンスが簡略化されます。
-
ポート転送とは異なり、スマート トンネルでは、ユーザは管理者特権を持つ必要がありません。
プラグインの利点は、クライアント アプリケーションをリモート コンピュータにインストールする必要がないという点です。
スマート トンネルの前提条件
スマート トンネルでサポートされるプラットフォームとブラウザについては、『サポート対象の VPN プラットフォーム、Cisco ASA 5500 シリーズ』を参照してください。
次の要件と制限事項が Windows でのスマート トンネル アクセスには適用されます。
-
Windows ではブラウザで ActiveX または Oracle Java ランタイム環境(JRE 6 以降を推奨)をイネーブルにしておく必要がある。
-
Winsock 2 の TCP ベースのアプリケーションだけ、スマート トンネル アクセスに適する。
-
Mac OS X の場合に限り、Java Web Start をブラウザでイネーブルにしておく必要がある。
-
スマート トンネルは、IE の拡張保護モードと互換性がありません。
スマート トンネルのガイドライン
-
スマート トンネルは、Microsoft Windows を実行しているコンピュータとセキュリティ アプライアンス間に配置されたプロキシだけをサポートする。スマート トンネルは、Windows でシステム全体のパラメータを設定する Internet Explorer 設定を使用します。この設定がプロキシ情報を含む場合があります。
-
Windows コンピュータで、プロキシが ASA にアクセスする必要がある場合は、クライアントのブラウザにスタティック プロキシ エントリが必要であり、接続先のホストがクライアントのプロキシ例外のリストに含まれている必要があります。
-
Windows コンピュータで、プロキシが ASA にアクセスする必要がなく、プロキシがホスト アプリケーションにアクセスする必要がある場合は、ASA がクライアントのプロキシ例外のリストに含まれている必要があります。
プロキシ システムはスタティック プロキシ エントリまたは自動設定のクライアントの設定、または PAC ファイルによって定義できます。現在、スマート トンネルでは、スタティック プロキシ設定だけがサポートされています。
-
-
スマート トンネルでは、Kerberos Constrained Delegation(KCD)はサポートされない。
-
Windows の場合、コマンド プロンプトから開始したアプリケーションにスマート トンネル アクセスを追加する場合は、スマート トンネル リストの 1 つのエントリの [Process Name] に「cmd.exe」を指定し、別のエントリにアプリケーション自体へのパスを指定する必要があります。これは「cmd.exe」がアプリケーションの親であるためです。
-
HTTP ベースのリモート アクセスによって、いくつかのサブネットが VPN ゲートウェイへのユーザ アクセスをブロックすることがある。これを修正するには、Web とエンド ユーザの場所との間のトラフィックをルーティングするために ASA の前にプロキシを配置します。このプロキシが CONNECT 方式をサポートしている必要があります。認証が必要なプロキシの場合、スマート トンネルは、基本ダイジェスト認証タイプだけをサポートします。
-
スマート トンネルが開始されると、ASA は、ブラウザ プロセスが同じである場合に VPN セッション経由ですべてのブラウザ トラフィックをデフォルトで送信する。また、tunnel-all ポリシーが適用されている場合にのみ、ASA は同じ処理を行います。ユーザがブラウザ プロセスの別のインスタンスを開始すると、VPN セッション経由ですべてのトラフィックが送信されます。ブラウザ プロセスが同じで、セキュリティ アプライアンスが URL へのアクセスを提供しない場合、ユーザはその URL を開くことはできません。回避策として、tunnel-all ではないトンネル ポリシーを割り当てます。
-
ステートフル フェールオーバーが発生したとき、スマート トンネル接続は保持されません。ユーザはフェールオーバー後に再接続する必要があります。
-
スマート トンネルの Mac バージョンは、POST ブックマーク、フォームベースの自動サインオン、または POST マクロ置換をサポートしない。
-
Mac OS ユーザの場合、ポータル ページから起動されたアプリケーションだけがスマート トンネル セッションを確立できる。この要件には、Firefox に対するスマート トンネルのサポートも含まれます。スマート トンネルを最初に使用する際に、Firefox を使用して Firefox の別のインスタンスを起動するには、csco_st という名前のユーザ プロファイルが必要です。このユーザ プロファイルが存在しない場合、セッションでは、作成するようにユーザに要求します。
-
Mac OS X では、SSL ライブラリにダイナミックにリンクされた、TCP を使用するアプリケーションをスマート トンネルで使用できる。
-
Mac OS X では、スマート トンネルは次をサポートしない。
-
プロキシ サービス
-
自動サインオン
-
2 つのレベルの名前スペースを使用するアプリケーション
-
Telnet、SSH、cURL などのコンソールベースのアプリケーション
-
dlopen または dlsym を使用して libsocket コールを見つけ出すアプリケーション
-
libsocket コールを見つけ出すスタティックにリンクされたアプリケーション
-
-
Mac OS X では、プロセスへのフル パスが必要である。また、このパスは大文字と小文字が区別されます。各ユーザ名のパスを指定しないようにするには、部分パスの前にチルダ(~)を入力します(例:~/bin/vnc)。
-
Mac デバイスや Windows デバイスの Chrome ブラウザでスマート トンネルをサポートするための新しいメソッドが用意されました。Chrome Smart Tunnel Extension は、Netscape プラグイン アプリケーション プログラム インターフェイス(NPAPI)に代わるものです。NPAPI は、Chrome ではサポートされなくなりました。
この拡張プログラムをインストールしていない Chrome でスマート トンネルに対応したブックマークをクリックすると、ユーザは拡張プログラムを取得できるように Chrome ウェブストアにリダイレクトされます。Chrome を新規インストールする場合、ユーザは拡張プログラムを取得できるように Chrome ウェブストアに移動されます。この拡張プログラムは、スマート トンネルの実行に必要なバイナリを ASA からダウンロードします。
Chrome のデフォルトのダウンロード場所が、現在のユーザの「ダウンロード」フォルダを指している必要があります。または、Chrome のダウンロード設定が [Ask every time] である場合は、ユーザは尋ねられたときに「ダウンロード」フォルダを選択する必要があります。
スマート トンネルの使用中、通常のブックマークおよびアプリケーション設定は、新しい拡張機能のインストールとダウンロード場所指定のプロセス以外は変更されません。
スマート トンネルの設定(Lotus の例)
(注) |
この例では、アプリケーションでのスマート トンネル サポートを追加するために必要な最小限の指示だけを示します。詳細については、以降の各項にあるフィールドの説明を参照してください。 |
手順
ステップ 1 |
[Configuration] > Remote Access VPN > Clientless SSL VPN Access を選択します。 |
||||||||||
ステップ 2 |
アプリケーションを追加するスマート トンネル リストをダブルクリックするか、または [Add] をクリックしてアプリケーションのリストを作成し、[List Name] フィールドにそのリストの名前を入力して [Add] をクリックします。 たとえば、[Smart Tunnels] ペインで [Add] をクリックし、[List Name] フィールドに Lotus と入力して [Add] をクリックします。 |
||||||||||
ステップ 3 |
[Add or Edit Smart Tunnel List] ダイアログボックスで [Add] をクリックします。 |
||||||||||
ステップ 4 |
[Application ID] フィールドに、スマート トンネル リスト内のエントリに対する一意のインデックスとして使用する文字列を入力しします。 |
||||||||||
ステップ 5 |
[Process Name] ダイアログボックスに、ファイル名とアプリケーションの拡張子を入力します。 次の表 に、[Application ID] 文字列の例と、Lotus をサポートするために必要となる関連付けられたパスを示します。
|
||||||||||
ステップ 6 |
[OS] の横の [Windows] を選択します。 |
||||||||||
ステップ 7 |
[OK] をクリックします。 |
||||||||||
ステップ 8 |
アプリケーションごとにステップを繰り返してリストに追加します。 |
||||||||||
ステップ 9 |
[Add or Edit Smart Tunnel List] ダイアログボックスで [OK] をクリックします。 |
||||||||||
ステップ 10 |
次のようにして、関連付けられたアプリケーションへのスマート トンネル アクセスを許可するグループ ポリシーとローカル ユーザ ポリシーにリストを割り当てます。
|
トンネリングするアプリケーションの設定の簡略化
スマート トンネル アプリケーション リストは、基本的に、トンネルへのアクセスを許可するアプリケーションのフィルタです。デフォルトでは、ブラウザによって開始されるすべてのプロセスに対してアクセスが許可されます。スマート トンネル対応ブックマークによって、クライアントレス セッションでは Web ブラウザによって開始されるプロセスのみにアクセスが許可されます。ブラウザ以外のアプリケーションでは、管理者はすべてのアプリケーションをトンネリングすることを選択して、エンド ユーザがどのアプリケーションを起動するかを知る必要性をなくすことができます。
(注) |
この設定は、Windows プラットフォームのみに適用されます。 |
次の表に、アクセスを許可されるプロセスの状況を示します。
状況 |
スマート トンネル対応ブックマーク |
スマート トンネル アプリケーション アクセス |
||
---|---|---|---|---|
アプリケーション リストが指定される |
アプリケーション リストのプロセス名と一致する任意のプロセスにアクセス権が付与されます。 |
アプリケーション リストのプロセス名と一致するプロセスのみにアクセス権が付与されます。 |
||
スマート トンネルをオフに切り替える |
すべてのプロセス(およびその子プロセス)にアクセス権が付与されます。 |
プロセスにアクセス権は付与されません。 |
||
[Smart Tunnel all Applications] チェックボックスをオンにする |
すべてのプロセス(およびその子プロセス)にアクセス権が付与されます。
|
ブラウザを開始したユーザが所有するすべてのプロセスにアクセス権が付与されますが、その子プロセスには付与されません。 |
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
[User Account] ウィンドウで、編集するユーザ名を強調表示します。 |
ステップ 3 |
[Edit] をクリックします。[Edit User Account] ウィンドウが表示されます。 |
ステップ 4 |
[Edit User Account] ウィンドウの左側のサイドバーで、 をクリックします。 |
ステップ 5 |
次のいずれかの操作を行います。
|
スマート トンネル アクセスに適格なアプリケーションの追加
各 ASA のクライアントレス SSL VPN コンフィギュレーションは、スマート トンネル リストをサポートしています。各リストは、スマート トンネル アクセスに適格な 1 つ以上のアプリケーションを示します。各グループ ポリシーまたはユーザ名は 1 つのスマート トンネル リストのみをサポートするため、サポートされる各アプリケーションのセットをスマート トンネル リストにグループ化する必要があります。
[Add or Edit Smart Tunnel Entry] ダイアログボックスでは、スマート トンネル リストにあるアプリケーションの属性を指定できます。
手順
ステップ 1 |
の順に移動し、編集するスマート トンネル アプリケーション リストを選択するか、新しいリストを追加します。 |
||||||||||||||||||||||||||||
ステップ 2 |
新しいリストの場合は、アプリケーションまたはプログラムのリストに付ける一意の名前を入力します。スペースは使用しないでください。 スマート トンネル リストのコンフィギュレーションに続いて、クライアントレス SSL VPN のグループ ポリシーとローカル ユーザ ポリシーの [Smart Tunnel List] 属性の横にリスト名が表示されます。他に設定する可能性があるリストと、内容および目的を区別できるような名前を付けてください。 |
||||||||||||||||||||||||||||
ステップ 3 |
[Add] をクリックして、このスマート トンネル リストに必要な数のアプリケーションを追加します。以下に、JSON 配列に格納されるパラメータについて説明します。
|
||||||||||||||||||||||||||||
ステップ 4 |
[OK] をクリックしてアプリケーションを保存し、このスマート トンネル リストに必要な数だけアプリケーションを作成します。 |
||||||||||||||||||||||||||||
ステップ 5 |
スマート トンネル リストの作成が終わったら、そのリストをアクティブにするには、次の手順に従って、グループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てる必要があります。
|
スマート トンネル リストについて
グループ ポリシーとユーザ名ごとに、次のいずれかを行うようにクライアントレス SSL VPN を設定できます。
-
ユーザのログイン時に自動的にスマート トンネル アクセスを開始する。
-
ユーザのログイン時にスマート トンネル アクセスをイネーブルにする。ただし、ユーザはクライアントレス SSL VPN ポータル ページの [Application Access ] > [Start Smart Tunnels ] ボタンを使用して、スマート トンネル アクセスを手動で開始する必要がある。
(注)
スマート トンネル ログオン オプションは、各グループ ポリシーとユーザ名に対して互いに排他的です。1 つだけ使用してください。
スマート トンネル自動サインオン サーバ リストの作成
[Add Smart Tunnel Auto Sign-on Server List] ダイアログボックスで、スマート トンネルのセットアップ中にログイン クレデンシャルの送信を自動化するサーバのリストを追加または編集できます。スマート トンネルの自動サインオンは、Internet Explorer および Firefox で利用可能です。
手順
ステップ 1 |
[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Smart Tunnels] の順に移動し、[Smart Tunnel Auto Sign-on Server List] が展開されていることを確認します。 |
ステップ 2 |
[Add] をクリックして、リモート サーバのリストの一意の名前を入力します。設定する可能性がある他のリストと内容や目的を区別できるような名前を指定してください。文字列は最大 64 文字まで使用できます。スペースは使用しないでください。 |
次のタスク
(注) |
スマート トンネルの自動サインオン リストを作成した後は、クライアントレス SSL VPN グループ ポリシーおよびローカル ポリシー コンフィギュレーションの下の [Auto Sign-on Server List] 属性の横に、リスト名が表示されます。 |
スマート トンネル自動サインオン サーバ リストへのサーバの追加
次の手順では、スマート トンネル接続での自動サインオンを提供するサーバのリストにサーバを追加し、そのリストをグループ ポリシーまたはローカル ユーザに割り当てる方法について説明します。
手順
ステップ 1 |
をクリックします。 に移動し、いずれかのリストを選択して、[Edit] |
||
ステップ 2 |
[Add Smart Tunnel Auto Sign-On Server List] ダイアログで [Add] ボタンをクリックし、スマート トンネル サーバをもう 1 つ追加します。 |
||
ステップ 3 |
自動認証を行うサーバのホスト名または IP アドレスを入力します。
|
||
ステップ 4 |
[Windows Domain](オプション):認証で必要な場合、クリックして Windows ドメインをユーザ名に追加します。このオプションを使用する場合は、1 つ以上のグループ ポリシーまたはローカル ユーザ ポリシーにスマート トンネル リストを割り当てる際に、ドメイン名を指定する必要があります。 |
||
ステップ 5 |
[HTTP-based Auto Sign-On](オプション)
|
||
ステップ 6 |
[OK] をクリックします。 |
||
ステップ 7 |
スマート トンネル自動サインオン サーバ リストのコンフィギュレーションに続いて、そのリストをアクティブにするには、グループ ポリシーまたはローカル ユーザ ポリシーにそのリストを割り当てる必要があります。
|
スマート トンネル アクセスのイネーブル化とオフへの切り替え
デフォルトでは、スマート トンネルはオフになっています。
スマート トンネル アクセスをイネーブルにした場合、ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access ] > [Start Smart Tunnels ] ボタンを使用して、スマート トンネル アクセスを手動で開始する必要があります。
スマート トンネルからのログオフの設定
ここでは、スマート トンネルからの適切なログオフ方法について説明します。すべてのブラウザ ウィンドウを閉じるか、通知アイコンを右クリックしてログアウトを確認すると、スマート トンネルからログオフできます。
(注) |
ポータルにあるログアウト ボタンを使用することを強くお勧めします。この方法は、クライアントレス SSL VPN 用であり、スマート トンネルが使用されているかどうかに関係なくログオフが行われます。通知アイコンは、ブラウザを使用しないスタンドアロン アプリケーションを使用する場合に限り使用する必要があります。 |
親プロセスが終了した場合のスマート トンネルからのログオフの設定
この方法では、ログオフを示すためにすべてのブラウザを閉じることが必要です。スマート トンネルのライフタイムは現在、プロセスのライフタイムの開始に結び付けられています。たとえば、Internet Explorer からスマート トンネルと開始した場合、iexplore.exe が実行されていないとスマート トンネルがオフになります。スマート トンネルは、ユーザがログアウトせずにすべてのブラウザを閉じた場合でも、VPN セッションが終了したと判断します。
(注) |
場合によっては、ブラウザ プロセスがエラーの結果として、意図的にではなく残っていることがあります。また、Secure Desktop を使用しているときに、ユーザが Secure Desktop 内ですべてのブラウザを閉じてもブラウザ プロセスが別のデスクトップで実行されている場合があります。したがって、スマート トンネルは、現在のデスクトップで表示されているウィンドウがない場合にすべてのブラウザ インスタンスが終了したと見なします。 |
通知アイコンを使用したスマート トンネルからのログオフの設定
ブラウザを閉じてもセッションが失われないようにするために、ペアレント プロセスの終了時にログオフをオフに切り替えることもできます。この方法では、システム トレイの通知アイコンを使用してログアウトします。アイコンは、ユーザがアイコンをクリックしてログアウトするまで維持されます。ユーザがログアウトする前にセッションの期限が切れた場合、アイコンは、次回に接続を試行するまで維持されます。セッション ステータスがシステム トレイで更新されるまで時間がかかることがあります。
(注) |
このアイコンが、SSL VPN からログアウトする別の方法です。これは、VPN セッション ステータスのインジケータではありません。 |
手順
ステップ 1 |
を選択します。 |
||
ステップ 2 |
[ ] オプション ボタンをイネーブルにします。 |
||
ステップ 3 |
ウィンドウの [Smart Tunnel Networks] 部分で、[Add] をオンにして、アイコンを含めるネットワークの IP アドレスとホスト名の両方を入力します。
|