Aventail E-Class SRA 10.7 㻌⟶⌮⪅䜺䜲䝗 | 1 メ モ、 注意、 警告 メ モ : シ ス テムを使いやす く する ための重要な情報を説明 し ています。 注意 : 手順に従わない場合は、ハー ド ウ ェ アの損傷やデー タ の損失の可能性があ る こ と を示 し ています。 警告 : 物的損害、 けが、 または死亡の原因 と な る可能性があ る こ と を示 し ています。 © 2014 Dell Inc. 本書に使用 さ れてい る商標 :Dell™、 DELL ロ ゴ、 SonicWALL™、 Aventail™、 ReassemblyFree Deep Packet Inspection™、 Dynamic Security for the Global Network™、 SonicWALL Aventail Advanced End Point Control™ (EPC™)、 SonicWALL Aventail Advanced Reporting™、 SonicWALL Aventail Connect Mobile™、 SonicWALL Aventail Connect™、SonicWALL Aventail Native Access Modules™、SonicWALL Aventail Policy Zones™、 SonicWALL Aventail Smart Access™、 SonicWALL Aventail Unified Policy™、 SonicWALL Aventail™ Advanced EPC™、 SonicWALL Clean VPN™、 SonicWALL Clean Wireless™、 SonicWALL Global Response Intelligent Defense (GRID) Network™、 SonicWALL Mobile Connect™、 お よ びその他すべての SonicWALL 製品お よ びサー ビ スの 名前、 キ ャ ッ チ フ レ ーズは Dell Inc. の商標です。 2014 年 2 月 P/N 232-002330-00 2 | Aventail E-Class SRA 10.7 管理者ガ イ ド Rev. A 目次 第1章 は じ めに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13 E-Class SRA ア プ ラ イ ア ン スの機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 E-Class SRA ア プ ラ イ ア ン スのモデル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 管理者 コ ンポーネ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 ユーザー ア ク セス コ ンポーネ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 ア ク セシ ビ リ テ ィ の改善事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 本 リ リ ースの新機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 シ ス テム要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 ク ラ イ ア ン ト コ ンポーネ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 サーバー コ ンポーネ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 こ のマニ ュ アルについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 このマニ ュ アルの規則. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 第2章 イ ン ス ト ール と 初期セ ッ ト ア ッ プ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33 ネ ッ ト ワー ク のアーキテ ク チ ャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 イ ン ス ト ールの準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 情報の収集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 フ ァ イ アウ ォ ール ポ リ シーの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 便利な管理ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 イ ン ス ト ール と 展開のプ ロ セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 仕様および ラ ッ ク のイ ン ス ト ール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 フ ロ ン ト パネルの操作ボ タ ン と イ ン ジケー タ . . . . . . . . . . . . . . . . . . . . . . . 40 ア プ ラ イ ア ン スの接続. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 電源投入 と ネ ッ ト ワー ク の基本設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Setup Wizard に よ る Web ベースでの構成. . . . . . . . . . . . . . . . . . . . . . . . . . 47 管理 コ ン ソ ールでのア プ ラ イ ア ン スの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 48 ア プ ラ イ ア ン スの実稼動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 ア プ ラ イ ア ン スの電源停止 と 再起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 次のス テ ッ プ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 第3章 ユーザー管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53 概要 : ユーザー、 グループ、 コ ミ ュ ニ テ ィ 、 レルム . . . . . . . . . . . . . . . . . . . . . 53 レルムおよび コ ミ ュ ニ テ ィ の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 レルムの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 デ フ ォル ト 、 表示、 非表示のレルム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 デ フ ォル ト レルムの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 レルムの有効化 と 無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 レルム定義におけるベス ト プ ラ ク テ ィ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 レルムおよび コ ミ ュ ニ テ ィ の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 目次 | 3 レルムの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 レルムへの コ ミ ュ ニ テ ィ の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 コ ミ ュ ニ テ ィ の作成 と 構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト の構成 . . . . . . . . . . . . . . . . . . . . . . . . 69 デ フ ォル ト コ ミ ュ ニ テ ィ の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 レルムで コ ミ ュ ニ テ ィ が リ ス ト さ れる順序の変更 . . . . . . . . . . . . . . . . . . . . 81 レルムでの RADIUS ア カ ウ ン テ ィ ングの構成 . . . . . . . . . . . . . . . . . . . . . . . 81 コ ミ ュ ニ テ ィ の編集、 コ ピー、 削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 ユーザーおよびグループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 ユーザーおよびグループの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 外部 リ ポジ ト リ にマ ッ ピ ング さ れているユーザーおよびグループの管理 . . 84 ロー カル ユーザー ア カ ウン ト の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 ロー カル ア カ ウ ン ト のイ ンポー ト およびエ ク スポー ト . . . . . . . . . . . . . . . . 98 第4章 Aventail 管理コ ン ソ ールの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .105 AMC へのログ イ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 ロ グアウ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 AMC の基礎. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 AMC イ ン タ ー フ ェ ース ク イ ッ ク ツ アー . . . . . . . . . . . . . . . . . . . . . . . . . . 107 AMC でのオブ ジ ェ ク ト の追加、 編集、 コ ピー、 削除 . . . . . . . . . . . . . . . . 112 ヘルプの利用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 管理者ア カ ウン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 管理者ア カ ウ ン ト と 役割の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 複数管理者の構成フ ァ イルの衝突の回避 . . . . . . . . . . . . . . . . . . . . . . . . . . 127 複数の Dell SonicWALL E-Class SRA デバイ スの管理 . . . . . . . . . . . . . . . . . . 128 GMS のためのア プ ラ イ ア ン スの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 ViewPoint のためのア プ ラ イ ア ン スの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 130 構成デー タ の操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 構成変更のデ ィ ス ク への保存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 構成変更の適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 保留中の構成変更の破棄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 保留中の変更のスケジ ュ ール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 参照 さ れている オブ ジ ェ ク ト の削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 第5章 ネ ッ ト ワー ク と 認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135 基本ネ ッ ト ワー ク 設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 シ ス テム ID の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 ネ ッ ト ワー ク イ ン タ ー フ ェ ースの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 ICMP の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 完全修飾 ド メ イ ン名 と カ ス タ ム ポー ト の表示 . . . . . . . . . . . . . . . . . . . . . . 137 Connect Tunnel の フ ォ ールバ ッ ク サーバーの設定 . . . . . . . . . . . . . . . . . . 138 ルーテ ィ ングの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 ネ ッ ト ワー ク ゲー ト ウ ェ イの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 4 | Aventail E-Class SRA 10.7 管理者ガ イ ド ネ ッ ト ワー ク ゲー ト ウ ェ イ オプ シ ョ ンの選択. . . . . . . . . . . . . . . . . . . . . . 139 デ ュ アルホーム環境における ネ ッ ト ワー ク ゲー ト ウ ェ イの構成. . . . . . . . 142 シ ングルホーム環境における ネ ッ ト ワー ク ゲー ト ウ ェ イの構成. . . . . . . . 143 イ ン タ ーネ ッ ト へのルー ト の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 静的ルー ト の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 名前解決の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 Domain Name Service の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 Windows ネ ッ ト ワー ク 名前解決の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 サーバー証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 CA 証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 証明書の FAQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 ユーザー認証の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 中間証明書について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 認証サーバーの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 Microsoft Active Directory サーバーの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 170 LDAP と LDAPS 認証の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 RADIUS 認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 RSA サーバー認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 PKI 認証サーバーの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 SAML ベースの認証サーバーの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 シ ングル サイ ン オ ン認証サーバーを設定する . . . . . . . . . . . . . . . . . . . . . . 201 RSA ClearTrust 認証の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 ロー カル ユーザー ス ト レージの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 LDAP および AD 認証構成のテ ス ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 連鎖式認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 レルムでのグループ ア フ ィ ニ テ ィ チ ェ ッ クの有効化 . . . . . . . . . . . . . . . . 211 ワ ン タ イム パスワー ド の使用によ る セキ ュ リ テ ィ の強化 . . . . . . . . . . . . . 212 次のス テ ッ プ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 第6章 セキ ュ リ テ ィ 管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215 リ ソ ースの作成 と 管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 リ ソ ース タ イ プ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 リ ソ ース と リ ソ ース グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 リ ソ ース と WorkPlace シ ョ ー ト カ ッ ト の定義での変数の使用 . . . . . . . . . 234 リ ソ ース グループの作成 と 管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 フ ォ ームベースのシ ングル サイ ン オ ン プ ロ フ ァ イルの作成 . . . . . . . . . . . 249 ア ク セス制御ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 ア ク セス制御ルールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 拒否ルールの非互換性の解決 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 無効な接続先 リ ソ ースの解決 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 目次 | 5 第7章 シ ス テム管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .267 オプ シ ョ ン ネ ッ ト ワー ク 構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 リ モー ト ホス ト から の SSH ア ク セスの有効化 . . . . . . . . . . . . . . . . . . . . . 267 ICMP の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 時刻設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 シ ス テム ロギン グおよびモニ タ リ ン グ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 概要 : シ ス テム ロギングおよびモニ タ リ ング . . . . . . . . . . . . . . . . . . . . . . 270 ロ グ フ ァ イル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 ア プ ラ イ ア ン スの監視. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 SNMP の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 構成デー タ の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 ロー カル マ シ ンへの現在の構成のエ ク スポー ト . . . . . . . . . . . . . . . . . . . . 304 現在の構成のア プ ラ イ ア ン スへの保存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 構成デー タ のイ ンポー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 ア プ ラ イ ア ン スに保管 さ れた構成デー タ の リ ス ト ア またはエ ク スポー ト . 307 構成デー タ の複製 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 複製の要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 作業の開始. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 構成デー タ を受け取る ア プ ラ イ ア ン スの コ レ ク シ ョ ンの定義 . . . . . . . . . . 310 複製の開始. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 構成デー タ 受信者の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 シス テムのア ッ プグ レー ド 、 リ セ ッ ト 、 ま たはロールバ ッ ク . . . . . . . . . . . . . 316 シ ス テムのア ッ プデー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 以前のバージ ョ ンへのロールバ ッ ク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 ア プ ラ イ ア ン スの リ セ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 スケジ ュ ールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 SSL 暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 SSL 暗号化の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 FIPS 認定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 FIPS の要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 FIPS 互換の証明書の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 FIPS の違反. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 FIPS の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 FIPS 互換の証明書のエ ク スポー ト と イ ンポー ト . . . . . . . . . . . . . . . . . . . . 330 FIPS の無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 秘密情報の消去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 ソ フ ト ウ ェ ア ラ イ セ ン ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 ラ イ セ ン スの計算方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 ラ イ セ ン ス詳細の表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 ラ イ セ ン スの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 第8章 End Point Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .339 6 | Aventail E-Class SRA 10.7 管理者ガ イ ド 概要 : End Point Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 ア プ ラ イ ア ン スが End Point Control で ゾーン と デバイ ス プ ロ フ ァ イルを 使用する方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 End Point Control のシナ リ オ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 ゾーンおよびデバイ ス プ ロ フ ァ イルによ る EPC の管理. . . . . . . . . . . . . . . . . 346 End Point Control の有効化 と 無効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 ゾーンおよびデバイ ス プ ロ フ ァ イル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 特殊な状況向けのゾーンの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 End Point Control エージ ェ ン ト の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377 第9章 Aventail WorkPlace ポー タ ル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .383 Aventail WorkPlace の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 ホーム ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 ブ ッ ク マー ク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388 カ ス タ ム RDP ブ ッ ク マー ク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 ネ ッ ト ワー ク エ ク ス プ ロー ラ ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 Web シ ョ ー ト カ ッ ト ア ク セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 WorkPlace の一般設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 WorkPlace シ ョ ー ト カ ッ ト についての作業 . . . . . . . . . . . . . . . . . . . . . . . . 392 シ ョ ー ト カ ッ ト の表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 Web シ ョ ー ト カ ッ ト の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 シ ョ ー ト カ ッ ト グループの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 ネ ッ ト ワー ク シ ョ ー ト カ ッ ト の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 グ ラ フ ィ カル タ ー ミ ナル シ ョ ー ト カ ッ ト の追加 . . . . . . . . . . . . . . . . . . . . 397 仮想デス ク ト ッ プ シ ョ ー ト カ ッ ト の追加. . . . . . . . . . . . . . . . . . . . . . . . . . 407 テキス ト タ ー ミ ナル シ ョ ー ト カ ッ ト の追加 . . . . . . . . . . . . . . . . . . . . . . . 410 シ ョ ー ト カ ッ ト の編集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 WorkPlace サイ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 WorkPlace サイ ト の追加. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413 WorkPlace の外観の変更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416 WorkPlace と 小型携帯端末 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 WorkPlace ページの全面的な カ ス タ マ イ ズ . . . . . . . . . . . . . . . . . . . . . . . . . . . 422 WorkPlace ス タ イルのカ ス タ マ イ ズ : 手動での編集 . . . . . . . . . . . . . . . . . 422 概要 : カ ス タ ム WorkPlace テ ン プ レー ト . . . . . . . . . . . . . . . . . . . . . . . . . . 423 テ ン プ レー ト フ ァ イルはどのよ う に選択 さ れるか . . . . . . . . . . . . . . . . . . 424 WorkPlace テ ン プ レー ト のカ ス タ マ イ ズ . . . . . . . . . . . . . . . . . . . . . . . . . . 426 ユーザーに Aventail WorkPlace へのア ク セス を提供する . . . . . . . . . . . . . . . . 427 End Point Control と ユーザー エ ク スペ リ エ ン ス . . . . . . . . . . . . . . . . . . . . . . . 427 OPSWAT Secure Virtual Desktop の仕組み . . . . . . . . . . . . . . . . . . . . . . . . 428 Cache Cleaner の仕組み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 第 10 章 ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス . . . . . . . . . . . . .431 目次 | 7 ユーザー ア ク セス エージ ェ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 ク ラ イ ア ン ト およびエージ ェ ン ト プ ロ ビ ジ ョ ニ ング (Windows). . . . . . . . 433 Aventail WorkPlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 ト ン ネル ク ラ イ ア ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 プ ロキシ ク ラ イ ア ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437 Web ア ク セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438 ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441 E-Class SRA ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージのダウン ロー ド . . . 441 Connect Tunnel ク ラ イ ア ン ト 用構成のカ ス タ マ イ ズ. . . . . . . . . . . . . . . . . 442 Connect Tunnel への コ マ ン ド ラ イ ン でのア ク セス (NGDIAL を使用 ). . . . 445 コ マ ン ド 構文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 Connect Mobile ク ラ イ ア ン ト 構成のカ ス タ マ イ ズ. . . . . . . . . . . . . . . . . . . 448 Connect をサービ ス と し て実行する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト のブ ラ ン ド . . . . . . . . . . . . . . . . . . . . . . . 456 OnDemand プ ロキシ エージ ェ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457 概要 :OnDemand プ ロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458 OnDemand に よ る ネ ッ ト ワー ク ト ラ フ ィ ッ クの リ ダ イ レ ク ト の仕組み. . 460 特定のア プ リ ケーシ ョ ンにア ク セスする よ う OnDemand を構成する . . . 461 OnDemand の詳細オプ シ ョ ンの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 ク ラ イ ア ン ト の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 E-Class SRA ア ク セス サービ スの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 概要 : ア ク セス サービ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 E-Class SRA ア ク セス サービ スの停止 と 起動 . . . . . . . . . . . . . . . . . . . . . . 467 ネ ッ ト ワー ク ト ン ネル サービ スの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 468 IP ア ド レ ス プールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470 Web リ ソ ースのフ ィ ル タ リ ングの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 476 カ ス タ ム接続の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477 代替サーバーの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478 Web プ ロキシ サービ スの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478 タ ー ミ ナル サーバー ア ク セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479 タ ー ミ ナル サーバー リ ソ ースへのア ク セスの提供 . . . . . . . . . . . . . . . . . . 480 サーバー フ ァ ーム リ ソ ース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481 タ ー ミ ナル サーバー ア ク セスのア ク セス制御ルールおよび リ ソ ースの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484 グ ラ フ ィ カル タ ー ミ ナル エージ ェ ン ト の管理. . . . . . . . . . . . . . . . . . . . . . 484 グ ラ フ ィ カル タ ー ミ ナル シ ョ ー ト カ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . 486 E-Class SRA Connect for Android . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492 E-Class SRA Connect for Android のイ ン ス ト ール . . . . . . . . . . . . . . . . . . 492 E-Class SRA Connect for Android の構成および使用. . . . . . . . . . . . . . . . . 493 第 11 章 Virtual Assist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .501 Virtual Assist と は ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501 8 | Aventail E-Class SRA 10.7 管理者ガ イ ド Virtual Assist の仕組み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502 技術担当者が Virtual Assist セ ッ シ ョ ン を起動する場合 . . . . . . . . . . . . . . . 502 顧客が Virtual Assist セ ッ シ ョ ン を起動する場合 . . . . . . . . . . . . . . . . . . . . 502 Virtual Assist の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503 Virtual Assist サービ スの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503 Virtual Assist チケ ッ ト キ ュ ーの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504 Virtual Assist 要求の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504 Virtual Assist の招待の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505 WorkPlace のレ イ アウ ト での Virtual Assist の有効化 . . . . . . . . . . . . . . . . 505 ヘルプ デス ク 技術担当者の AMC ログ イ ンの構成 . . . . . . . . . . . . . . . . . . . 507 Virtual Assist の Technician モー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509 Virtual Assist 技術担当者向け コ ン ソ ールのイ ン ス ト ール . . . . . . . . . . . . . 510 技術担当者 コ ン ソ ールへのア ク セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512 Virtual Assist 設定の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514 Virtual Assist チケ ッ ト の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517 顧客への招待電子 メ ールの送信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520 顧客の支援. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520 技術担当者 コ ン ソ ール ツールの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521 Virtual Assist でのチ ャ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522 Virtual Assist の Customer モー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522 Windows ユーザー向け Virtual Assist の使用 . . . . . . . . . . . . . . . . . . . . . . . 523 MacOS コ ン ピ ュ ー タ での Virtual Assist の起動 . . . . . . . . . . . . . . . . . . . . . 525 Linux コ ン ピ ュ ー タ での Virtual Assist の起動. . . . . . . . . . . . . . . . . . . . . . . 527 第 12 章 ハイ アベ イ ラ ビ リ テ ィ ク ラ ス タ の管理 . . . . . . . . . . . . . . . . . . . . . . .531 ハイ アベ イ ラ ビ リ テ ィ ク ラ ス タ の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531 ク ラ ス タ のアーキテ ク チ ャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532 障害の検出. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532 ス テー ト フ ル フ ェ イルオーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533 同期ク ラ ス タ 管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533 ク ラ ス タ のイ ン ス ト ール と 構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534 ス テ ッ プ 1: ク ラ ス タ ネ ッ ト ワー クの接続 . . . . . . . . . . . . . . . . . . . . . . . . . 534 ス テ ッ プ 2: ク ラ ス タ のすべての ノ ー ド で Setup Tool を実行 . . . . . . . . . . 535 ス テ ッ プ 3: ク ラ ス タ の外部仮想 IP ア ド レ スの構成 . . . . . . . . . . . . . . . . . 536 最終ス テ ッ プ : ネ ッ ト ワー ク の構成 と ラ イ セ ン ス . . . . . . . . . . . . . . . . . . . 536 ク ラ ス タ の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537 各 ノ ー ド のネ ッ ト ワー ク 情報の表示 と 構成 . . . . . . . . . . . . . . . . . . . . . . . . 537 ク ラ ス タ の起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537 サービ スの開始 と 停止. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538 ク ラ ス タ の監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538 ク ラ ス タ のバ ッ ク ア ッ プ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539 ク ラ ス タ での保守の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539 目次 | 9 ク ラ ス タ のア ッ プグ レー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539 ク ラ ス タ の ト ラ ブルシ ュ ーテ ィ ング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539 ク ラ ス タ のシナ リ オ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540 ト ラ フ ィ ッ ク の正常な流れ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541 ノ ー ド の障害 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541 付録 A ア プ ラ イ ア ン スの コ マ ン ド ラ イ ン ツール . . . . . . . . . . . . . . . . . . . . . .543 Setup Tool によ る新 し いア プ ラ イ ア ン スの構成 . . . . . . . . . . . . . . . . . . . . . . . 544 Setup Tool の使用についての ヒ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544 Setup Tool の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544 構成デー タ の保存 と リ ス ト ア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545 構成デー タ の保存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546 構成デー タ の リ ス ト ア. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547 工場出荷時のデ フ ォル ト 構成の リ ス ト ア . . . . . . . . . . . . . . . . . . . . . . . . . . 547 シ ス テム ソ フ ト ウ ェ アのア ッ プグ レー ド またはロールバ ッ ク . . . . . . . . . . . . 548 シ ス テム ア ッ プグ レー ド のイ ン ス ト ール ( コ マ ン ド ラ イ ン ツール ). . . . . 548 以前のバージ ョ ンへの復帰 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549 リ セ ッ ト の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549 ホス ト の確認. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550 付録 B ト ラ ブルシ ュ ーテ ィ ング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .551 一般的なネ ッ ト ワーキングの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551 ダウン ロー ド 済みのア ッ プグ レー ド フ ァ イルの確認. . . . . . . . . . . . . . . . . . . . 553 エージ ェ ン ト プ ロ ビ ジ ョ ニ ン グの ト ラ ブルシ ュ ーテ ィ ング (Windows) . . . . . 554 AMC の問題. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556 認証の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557 E-Class SRA エージ ェ ン ト でのパー ソ ナル フ ァ イ アウ ォ ールの使用 . . . . . . . 557 E-Class SRA サービ スの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558 ト ン ネルの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559 イ ン ス ト ール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560 接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561 OnDemand の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565 OnDemand の一般的な問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565 OnDemand の個別の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566 ク ラ イ ア ン ト の ト ラ ブルシ ュ ーテ ィ ング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567 Windows ク ラ イ ア ン ト の ト ラ ブルシ ュ ーテ ィ ング . . . . . . . . . . . . . . . . . . 567 Macintosh と Linux の Tunnel Client の ト ラ ブルシ ュ ーテ ィ ング . . . . . . . . 570 AMC の ト ラ ブルシ ュ ーテ ィ ング ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571 DNS ル ッ ク ア ッ プの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572 現在のルーテ ィ ング テーブルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572 ネ ッ ト ワー ク ト ラ フ ィ ッ ク のキ ャ プ チ ャ . . . . . . . . . . . . . . . . . . . . . . . . . . 573 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト のロギング ツール . . . . . . . . . . . . . 575 CEM 拡張機能の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576 10 | Aventail E-Class SRA 10.7 管理者ガ イ ド ping コ マ ン ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576 traceroute コ マ ン ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577 スナ ッ プ シ ョ ッ ト ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578 付録 C ア プ ラ イ ア ン ス保護のためのベス ト プ ラ ク テ ィ ス. . . . . . . . . . . . . . .581 ネ ッ ト ワー ク 構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581 ア プ ラ イ ア ン スの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582 ア プ ラ イ ア ン ス セ ッ シ ョ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583 管理者ア カ ウン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583 ア ク セス ポ リ シー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584 信頼ゾーンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584 SSL Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585 ク ラ イ ア ン ト ア ク セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585 付録 D ログ フ ァ イルの出力フ ォ ーマ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . .587 フ ァ イルの場所 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587 シ ス テム メ ッ セージ ロ グ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588 ア ク セス ポ リ シー決定の監査. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590 ロ グにおける ク ラ イ ア ン ト 証明書エ ラ ーの表示 . . . . . . . . . . . . . . . . . . . . . 592 End Point Control イ ン タ ロゲーシ ョ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592 未登録デバイ スのログ メ ッ セージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593 ネ ッ ト ワー ク ト ン ネル監査ロ グ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594 接続ス テー タ ス メ ッ セージの監査 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597 Web プ ロキシ監査ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598 管理 コ ン ソ ールの監査ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600 WorkPlace ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600 WorkPlace シ ョ ー ト カ ッ ト の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600 付録 E 多言語サポー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .603 ネ イ テ ィ ブ文字セ ッ ト のサポー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603 RADIUS ポ リ シー サーバーの文字セ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603 選択可能な RADIUS 文字セ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604 サポー ト さ れている その他の RADIUS 文字セ ッ ト . . . . . . . . . . . . . . . . . . 605 付録 F 大規模ク ラ ス タ の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .607 ク ラ ス タ リ ングの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607 ク ラ ス タ の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608 ア プ ラ イ ア ン ス初期設定の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608 ア プ ラ イ ア ン スの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608 ス イ ッ チへのア プ ラ イ ア ン スの接続. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608 ロー ド バラ ンサの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609 付録 G 保証および ラ イ セ ン ス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .611 お問い合わせ先 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611 ハー ド ウ ェ ア限定保証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611 目次 | 11 GNU General Public License (GPL) のソ ース コ ー ド . . . . . . . . . . . . . . . . . . 612 エ ン ド ユーザー ラ イ セ ン ス契約 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612 サー ド パーテ ィ パ ッ ケージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620 12 | Aventail E-Class SRA 10.7 管理者ガ イ ド 第1章 は じ めに E-Class SRA ア プ ラ イ ア ン スは、 従業員、 ビ ジ ネ ス パー ト ナー、 顧客に対 し て、 安全な ア ク セ ス (Web ア プ リ ケーシ ョ ンへの ク ラ イ ア ン ト レ ス ア ク セ ス、 ク ラ イ ア ン ト / サーバー ア プ リ ケ ー シ ョ ン への ア ク セ ス、 フ ァ イ ル共有 を 含む ) を 提供 し ま す。 すべ て の ト ラ フ ィ ッ ク は、 SecureSockets Layer (SSL) に よ っ て暗号化 さ れて お り 、 許可 を 受け て い な いユーザーのア ク セ ス を防止 し ます。 こ のア プ ラ イ ア ン ス を使用す る と 、 Windows、 Macintosh、 Linux な どの広範な プ ラ ッ ト フ ォ ー ムか ら 、 さ ま ざ ま な ア ク セ ス方式 ( 標準の Web ブ ラ ウザ、 Windows ク ラ イ ア ン ト 、 モバ イ ル デバ イ ス な ど ) で ア プ リ ケーシ ョ ン を利用で き ます。 こ のア プ ラ イ ア ン ス を使用す る と 、 次の操作を実行で き ます。 • • リ モー ト ア ク セ ス VPN の作成。 こ れに よ り 、 リ モー ト の従業員が電子 メ ールな どのプ ラ イ ベー ト な企業ア プ リ ケーシ ョ ン に イ ン タ ーネ ッ ト で安全に ア ク セ ス で き ます。 ビ ジ ネ ス パー ト ナー VPN の作成。 こ れに よ り 、 指定 さ れたサプ ラ イ ヤーが内部のサプ ラ イ チ ェ ー ン ア プ リ ケーシ ョ ン に イ ン タ ーネ ッ ト で ア ク セ ス で き ます。 は じ めに | 13 こ のア プ ラ イ ア ン スが提供す る 細かい ア ク セ ス制御に よ り 、 ユーザーや リ ソ ースの レ ベルで ポ リ シ ー を 定義 し て ア ク セ ス を 制御で き ま す。 ポ リ シ ーの管理やア プ ラ イ ア ン スの構成 も 、 Web ベースの管理 コ ン ソ ールを使用 し て素早 く 簡単に実行で き ます。 E-Class SRA ア プ ラ イ ア ン スの構成お よ び展開の計画の概要については、 『導入ガ イ ド 』 を参照 し て く だ さ い。 E-Class SRA ア プ ラ イ ア ン スの機能 こ のセ ク シ ョ ン では、 ア プ ラ イ ア ン スの主な コ ン ポーネ ン ト について説明 し ます。 E-Class SRA ア プ ラ イ ア ン スのモデル Dell SonicWALL では、 次の E-Class SRA ア プ ラ イ ア ン スのモデルを提供 し て い ます。 各モデ ルの詳細につい ては、 こ のマ ニ ュ アルで説明 し ま す。 ほ と ん どのモ デルは ク ラ ス タ リ ン グ で き ます。2 台のア プ ラ イ ア ン スの ク ラ ス タ に よ る負荷分散機能を使用 し て高可用性を実現で き ( い ずれかの ノ ー ド に障害が発生 し た場合に シ ス テムの冗長性を提供 )、 接続ユーザー数を増やすた めに最大 8 台のア プ ラ イ ア ン スの ク ラ ス タ を使用す る こ と も 可能です。 • • • E-Class SRA EX9000: 最大 20,000 ユーザーの同時利用をサポー ト し 、 負荷分散機能を使 用 し 、1 つの仮想 IP ア ド レ ス に よ り 2 台の同一ア プ ラ イ ア ン ス を ク ラ ス タ リ ン グ で き ます。 ま た、 1 台の外部ロ ー ド バ ラ ンサを使用す る こ と で、 最大 8 台のア プ ラ イ ア ン ス に よ る ク ラ ス タ リ ン グ も サポー ト し ます。 E-Class SRA EX7000: 最大 5,000 ユーザーの同時利用をサポー ト し 、 負荷分散機能を使用 し 、 1 つの仮想 IP ア ド レ ス に よ り 2 台の同一ア プ ラ イ ア ン ス を ク ラ ス タ リ ン グ で き ま す。 ま た、 1 台の外部ロ ー ド バ ラ ンサを使用す る こ と で、 最大 8 台のア プ ラ イ ア ン ス に よ る ク ラ ス タ リ ン グ も サポー ト し ます。 E-Class SRA EX6000: 最大 250 ユーザーの同時利用をサポー ト し 、 負荷分散機能を使用 し 、 1 つの仮想 IP ア ド レ ス に よ り 2 台の同一ア プ ラ イ ア ン ス を ク ラ ス タ リ ン グ で き ま す。 ま た、 1 台の外部ロ ー ド バ ラ ンサを使用す る こ と で、 最大 8 台のア プ ラ イ ア ン ス に よ る ク ラ ス タ リ ン グ も サポー ト し ます。 管理者コ ンポーネン ト 次の コ ン ポーネ ン ト は、 E-Class SRA ア プ ラ イ ア ン ス と サー ビ スの管理のために使用 し ます。 • • • Aventail 管理 コ ン ソ ール (AMC)。ア プ ラ イ ア ン ス を管理す る ための Web ベース の管理ツ ー ルです。 こ のツ ールは、 セキ ュ リ テ ィ ポ リ シーの管理、 シ ス テムの構成 ( ネ ッ ト ワーキ ン グお よ び証明書の構成を含む )、監視のための一元的ア ク セ ス を提供 し ま す。AMC には Web ブ ラ ウザか ら ア ク セ ス で き ます。 Web プ ロ キシ サー ビ ス。 こ のサー ビ ス に よ り ユーザーは、 Web ベースのア プ リ ケーシ ョ ン、 Web サーバー、 ネ ッ ト ワー ク フ ァ イ ル サーバーに Web ブ ラ ウザか ら 安全に ア ク セ ス で き ます。 Web プ ロ キシ サー ビ スは、 Web ベースの リ ソ ース に対す る ア ク セ ス を中継お よ び暗号化す る安全な HTTP リ バース プ ロ キシ です。 ま た、 Connect Mobile ク ラ イ ア ン ト の TCP/IP 接続 も 管理 し ます。 ネ ッ ト ワー ク ト ン ネル サー ビ ス。 こ の コ ン ポーネ ン ト は、 多様な ア プ リ ケーシ ョ ン に安全 な ネ ッ ト ワー ク ト ン ネル ア ク セ ス を提供す る ネ ッ ト ワー ク ルー テ ィ ン グ テ ク ノ ロ ジ ーで す。 対象 と な る ア プ リ ケーシ ョ ン には、 Voice Over IP (VoIP) や ICMP な どの非 TCP プ ロ ト コ ル、 逆方向接続プ ロ ト コ ル、 FTP な どの双方向プ ロ ト コ ル を 使用す る も の も 含まれま す。 こ のサー ビ スは、 Connect Tunnel ク ラ イ ア ン ト や OnDemand Tunnel エージ ェ ン ト と 14 | Aventail E-Class SRA 10.7 管理者ガ イ ド 連動 し て、 ア ク セ スの認証 と 暗号化 を 提供 し ま す。 ネ ッ ト ワー ク ト ン ネル サー ビ ス では、 フ ァ イ ア ウ ォ ールや NAT デバ イ スの他、 従来型の VPN デバ イ ス と 干渉す る可能性があ る プ ロ キシ サーバー も ト ラ バース で き ます。 • 管理 API ラ イ ブ ラ リ 。 こ の コ ン ポーネ ン ト は、 JSON 形式のア プ ラ イ ア ン ス デー タ の表示 と 変更のための URL を提供 し ます。 API は、 ア プ ラ イ ア ン スが最初の構成を完了す る前 と 後で HTTP リ ク エ ス ト を処理す る次の 2 つのプ ラ イ マ リ URL に分割 さ れま す。 最初の構成実行中 : https://<AMC IP address:8443>/Setup ア プ ラ イ ア ン スの構成後 : https://<AMC IP address:8443>/Console.do ユーザー ア ク セス コ ンポーネン ト E-Class SRA ア プ ラ イ ア ン スは、 ユーザーがネ ッ ト ワー ク 上の リ ソ ース に ア ク セ スす る ための コ ン ポーネ ン ト を い く つか提供 し ます。 WorkPlace WorkPlace ポー タ ル を使用す る と 、 ネ ッ ト ワー ク 上の リ ソ ース に素早 く ア ク セ ス で き ます。 こ のポー タ ルには、 SSL をサポー ト し JavaScript が有効な任意の Web ブ ラ ウザか ら ア ク セ ス で き ます。 WorkPlace では、 次のよ う な多様な ア ク セ ス方法か ら 選択で き ます。 • 基本的な Web(HTTP) リ ソ ースは、 Web 変換エ ン ジ ン を使用 し て ア ク セ ス で き ます。 Web 変換エ ン ジ ンは、 シ ン グル サ イ ン オ ンや詳細な ア ク セ ス制御が可能な リ バース プ ロ キシ で す。 Web 変換エ ン ジ ンの処理には、 次の 3 種類があ り ま す。 – エ イ リ ア ス ベースの変換に よ り 、 ユーザーがア ク セ スす る URL の最後に カ ス タ ムのエ イ リ ア スが付け ら れます (URL リ ラ イ ト )。 例えば、 エ イ リ ア スの 「hr」 を使用す る URL リ ソ ース と し て http://hr.mycompany.com/ と 指定す る と 、 ユーザーが こ の リ ソ ー ス に ア ク セ スす る ために Workplace で ク リ ッ ク す る リ ン ク は、 https://vpn.mycompany.com/hr/ のよ う に表示 さ れま す。 こ のよ う な構成は、 Java ア プ レ ッ ト 、 JavaScript (AJAX) な どの高度な機能を必要 と し ない単純な Web ア プ リ ケー シ ョ ン に推奨 さ れます。 SonicWALL がエ イ リ ア ス ベースの変換 Web ア ク セ ス方式で サポー ト す る ア プ リ ケーシ ョ ン数は限定 さ れて い ます ( 詳細は 18 ページ を参照 )。 は じ めに | 15 – ホ ス ト マ ッ プ URL ア ク セ スは、 リ ソ ースがア ク セ ス を受け る ホ ス ト 名を変更 し ます。 例 え ば、 http://hr.mycompany.com/ と い う URL リ ソ ー ス が カ ス タ ム の ホ ス ト 名 の hr.vpn.mycompany.com に よ り 構成 さ れる場合、 ユーザーが こ の リ ソ ース に ア ク セ スす る ために Workplace で ク リ ッ ク す る リ ン ク は、 https://hr.vpn.mycompany.com/ のよ う に表示 さ れます。 ホ ス ト マ ッ プ URL ア ク セ スは、 Java ア プ レ ッ ト 、 高度な AJAX ( お よ びその他の高度な Web テ ク ノ ロ ジー) を使用す る複雑な Web ア プ リ ケーシ ョ ン向け と し て推奨 さ れます。 ホ ス ト マ ッ プ URL リ ソ ースのを容易に拡張す る には、 ワ イ ル ド カ ー ド SSL 証明書、ま たはワ イ ル ド カ ー ド を含む SAN 証明書のいずれかを購入す る こ と が推奨 さ れます。 – ポー ト マ ッ プ URL ア ク セ スは、リ ソ ースがア ク セ ス を受け る ポー ト 番号を変更 し ます。 例えば、 http://hr.mycompany.com/ と い う URL リ ソ ースが カ ス タ ムのア ク セス用ポー ト (8888) に よ り 構成 さ れる場合、ユーザーが こ の リ ソ ースにア ク セスする ために Workplace で ク リ ッ ク する リ ン ク は、 https://vpn.mycompany.com:8888/ のよ う に表示 さ れます。 カ ス タ ムポー ト URL ア ク セスの問題 と し て、 ポー ト マ ッ プ URL ア ク セス を使用する ため には構成す る各 Web ア プ リ ケーシ ョ ン向けにポー ト を 開 く 必要があ る点が挙げ ら れま す。 ポー ト マ ッ プ URL リ ソ ースは、 Java ア プ レ ッ ト 、 高度な AJAX、 その他の高度な Web テ ク ノ ロ ジーを使用する複雑な Web ア プ リ ケーシ ョ ン向け と し て推奨 さ れます。 フ ァ イ ル シ ス テム リ ソ ースは、 WorkPlace に統合 さ れてい る Web ベースの Network Explorer か ら ア ク セ ス で き ま す。 • ク ラ イ ア ン ト / サーバー ト ラ フ ィ ッ ク (TCP/IP) は、 いずれかのネ ッ ト ワー ク リ ダ イ レ ク シ ョ ン ク ラ イ ア ン ト ま たは OnDemand Tunnel を使用 し て ア ク セ ス で き ます。 ク ラ イ ア ン ト は、 ユーザーが WorkPlace に ロ グ イ ン す る と き に自動的に設定 さ れ有効に な り ます。 ア ク セ ス方法は、 ア プ リ ケー シ ョ ン が使用す る ネ ッ ト ワー ク プ ロ ト コ ル、 セ キ ュ リ テ ィ 要件、 エ ン ド ユーザーの利便性、 対象プ ラ ッ ト フ ォ ームな ど、 複数の要因に基づいて選択 し ます。 次 の図は、 企業の WorkPlace ポー タ ルの一例 を示 し てい ます。 • Connect お よび OnDemand Tunnel ク ラ イ ア ン ト ト ン ネル ク ラ イ ア ン ト は、 すべての リ ソ ースに対 し て ネ ッ ト ワー ク レ ベルでのア ク セ ス を提供 す るので、 ネ ッ ト ワー ク 上で各ユーザー デバ イ スが事実上の仮想 ノ ー ド に な り ます。 16 | Aventail E-Class SRA 10.7 管理者ガ イ ド • • Connect Tunnel ク ラ イ ア ン ト を使用す る と 、 Web に展開 さ れた Windows ク ラ イ ア ン ト (Windows 7、 Windows Vista、 Windows XP、 Mac OS、 Linux オペ レ ーテ ィ ン グ シ ス テム が動作す る コ ン ピ ュ ー タ 向け ) か ら 、ネ ッ ト ワー ク お よ びア プ リ ケーシ ョ ン に対す る フ ル ア ク セ スが可能に な り ま す。 ク ラ イ ア ン ト のプ ロ ビ ジ ョ ニ ン グは、 WorkPlace ポー タ ルの リ ン ク か ら 透 過 的 に、 ま た は 実 行 可 能 イ ン ス ト ー ル パ ッ ケ ー ジ を 使 用 し て 行 わ れ ま す。 Connect Tunnel ク ラ イ ア ン ト は、 分割 ト ン ネル制御、 細かい ア ク セ ス制御、 自動プ ロ キシ 検出、 お よ び認証の機能を提供 し ます。 OnDemand Tunnel エージ ェ ン ト には、 Connect Tunnel と ほぼ同 じ 機能があ り ます。 た だ し 、 ド メ イ ン ロ グ イ ン 用 の ダ イ ヤ ル ア ッ プ ア ダ プ タ と し て 使 用 で き ず、 ま た ASAP WorkPlace に統合 さ れて い る点におい て異な り ま す。 OnDemand は、 「ス プ リ ッ ト ト ン ネ ル モー ド 」 ま たは 「 リ ダ イ レ ク ト オール モー ド 」 で動作で き ます。 Connect Mobile ク ラ イ ア ン ト ConnectMobile は、Windows Mobile 搭載デバ イ スへの リ モー ト TCP/IP ア ク セ ス を提供 し ます。 Connect Mobile ク ラ イ ア ン ト は、ス タ ン ド ア ロ ンの イ ン ス ト ー ラ パ ッ ケージ に よ り イ ン ス ト ー ル さ れ、 Web プ ロ キシ サー ビ ス に よ り 管理 さ れます。 Aventail Connect for Android Aventail Connect for Android は、Android デバ イ ス向け ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ンへの安全な ネ ッ ト ワー ク ア ク セ ス を提供 し ます。 Android ク ラ イ ア ン ト は、 OnDemand マ ッ プ モー ド に似た ア プ リ ケーシ ョ ン層のプ ロ キシ リ ダ イ レ ク シ ョ ン を提供 し ま す。 End Point Control (EPC) EPC コ ン ポーネ ン ト は、 ネ ッ ト ワー ク が、 信頼 さ れて い ない環境の PC か ら ア ク セ ス さ れた場 合に危険に さ ら さ れ る こ と のな い よ う に し ま す。 こ の コ ン ポーネ ン ト を 使用す る と 、 デバ イ ス を 「照会」 し 、 必要な プ ロ グ ラ ムが動作 し て い る か を 判定 し ま す。 ま た AdvancedEPC では、 OPSWAT、 McAfee、 Computer Associates、 Sophos、 Kaspersky な どの大手ベ ン ダーのセキ ュ リ テ ィ ソ リ ュ ー シ ョ ン を 含 む 包 括 的 な 定 義 済 み チ ェ ッ ク リ ス ト を 使 用 し て、 (Microsoft Windows が動作す る ク ラ イ ア ン ト に対 し て ) デバ イ ス プ ロ フ ァ イ ルを設定す る こ と に よ り 、 詳 細な エ ン ド ポ イ ン ト 保護 を 簡単に行 う こ と か で き ま す。 Advanced EPC は、 EX9000 お よ び EX7000 ア プ ラ イ ア ン ス に付属 し て い ま すが、 EX シ リ ーズのその他のア プ ラ イ ア ン ス について は別途 ラ イ セ ン スが必要です。 ア ク セシ ビ リ テ ィ の改善事項 お使いのア プ ラ イ ア ン ス で提供 さ れ る 管理者 (AMC) お よ びユーザー ア ク セ ス (WorkPlace と Connect Tunnel) の コ ン ポーネ ン ト は、 次のオペ レ ーテ ィ ン グ シ ス テムについ て、 米国 リ ハビ リ テ ーシ ョ ン法第 508 条お よ び ADA (Americans with Disabilities) 法への準拠に関す る ア ク セ シ ビ リ テ ィ の改善事項があ り ます。 Windows Mac OS X Linux AMC WorkPlace Connect Tunnel 米国 リ ハビ リ テ ーシ ョ ン法第 508 条お よ び ADA (Americans with Disabilities) 法への準拠に関 す る ア ク セ シ ビ リ テ ィ につい て、 次の機能に よ り キーボー ド の使いやす さ や支援技術への適合 性が改善 さ れて い ます。 は じ めに | 17 キーボー ド シ ョ ー ト カ ッ ト 、 お よ び適切なキーボー ド タ ブ順序。 • ページ上でのユーザーの場所を識別 し 、 タ ブ キーに よ る ページ上の要素間の移動を可能に す る ビ ジ ュ アル フ ォ ー カ ス。 こ の機能は、 タ ブ付け さ れたページ、 ラ ジ オ ボ タ ン、 チ ェ ッ ク ボ ッ ク ス、 プ ッ シ ュ ボ タ ン な どの選択方法を使用す る上で、 特に役立ち ます。 • プ ロパテ ィ ウ ィ ン ド ウ、 ダ イ ア ロ グ ボ ッ ク ス、 お よ び非テキス ト 要素上での、 有意なポ ッ プ ア ッ プ キ ャ プ シ ョ ン。 • Connect Tunnel が イ ン ス ト ールを正常に完了 し た と き の完了 メ ッ セージ。 • Configuration Wizard でのユーザー操作のア ク セ シ ビ リ テ ィ 向上。 • ブ ラ ウザ ベースのハ イ コ ン ト ラ ス ト テ ーマ に よ る、 コ ン ピ ュ ー タ 画面上での見やすい テキ ス ト 表示。 こ の機能は Internet Explorer、 Chrome、 Firefox の各 ブ ラ ウザで利用で き ま す が、 オペ レ ーテ ィ ン グ シ ス テム と ブ ラ ウザの組み合わせに よ っ て結果は異な り ます。 ロ グ イ ン お よ び実行時のダ イ ア ロ グ ボ ッ ク ス、 セ ッ シ ョ ン統計、 お よ びス テー タ スの再編成に よ る ア ク セ シ ビ リ テ ィ 向上。 • Dell SonicWALL では、 NonVisual Desktop Access (NVDA) ま たは JAWS ス ク リ ー ン リ ーダー の使用を推奨 し て い ます。 本 リ リ ースの新機能 Dell SonicWALL Aventail E-Class Secure Remote Access のバージ ョ ン 10.7.0 には、次の新機 能お よ び機能拡張が実装 さ れて い ます。 • • • • • • • • • • • • • • • • • • OESIS フ レ ームワー ク のア ッ プ デー ト 。 最新の OESIS ラ イ ブ ラ リ のア ッ プ デー ト が Windows、 Mac、 Linux、 お よ び Android ユーザーに提供 さ れ、 こ れに よ っ て End Point Control の機能が促進 さ れます。 AMC、 WorkPlace、 お よ び Connect Tunnel での、 米国 リ ハビ リ テ ーシ ョ ン法第 508 条お よ び ADA 法への準拠に関す る ア ク セ シ ビ リ テ ィ のサポー ト 。 外部 ク ラ イ ア ン ト エ ン ド ポ イ ン ト デバ イ ス向けの IPv6 のサポー ト 。 AMC Scheduler。 将来の管理 タ ス ク を ス ケ ジ ュ ー リ ン グ で き ます。 Connect Tunnel お よ び Mobile Connect の Secure Network Detection。 安全で な いネ ッ ト ワー ク 上のユーザー を検出 し て、 ト ン ネル接続を確立 し ます。 AD/LDAP サーバーの コ ン テ ナ グループ に基づ く 認証。管理者がユーザーが所属す る組織単 位に基づいて ア ク セ ス制御ルールを作成で き ます。 ク レ デ ン シ ャ ルのキ ャ ッ シ ュ 。 ロ グ イ ン を安全に格納 し 、 自動ロ グ イ ン に使用で き ます。 TLS 1.2 のサポー ト 。 Kerberos シ ン グル サ イ ン オ ン。 WorkPlace お よ び Connect Tunnel ユーザーが、 認証用の Kerberos メ カ ニズム を使用 し て http リ ソ ースに ア ク セ ス で き ます。 AMC ホーム ページの改善。 追加情報 と ダ ッ シ ュ ボー ド 型表示 を含みます。 AMC API ラ イ ブ ラ リ 。JSON 形式でのア プ ラ イ ア ン ス デー タ の表示 と 変更に使用 さ れます。 AD Multi-Forest お よ び Multi-Realm のサポー ト 。 Connect Tunnel Dell のブ ラ ン ド 化。 Citrix WorkPlace の機能強化。 ロ ー カ ル リ ソ ースの リ ダ イ レ ク シ ョ ン、 ネ ッ ト ワー ク 中断 後の再接続、 すべての現行 Citrix Receiver ク ラ イ ア ン ト のサポー ト 、 XenDesktop のサポー ト 、XenDesktop VDI のシ ョ ー ト カ ッ ト 、XenApp お よ び XenDesktop Web イ ン タ ー フ ェ ー ス サ イ ト 向けの SSO プ ロ フ ァ イ ルを含みます。 HA ア ク テ ィ ブ / ア ク テ ィ ブ モー ド か ら ア ク テ ィ ブ / ス タ ンバ イ モー ド への置 き 換え。 Connect Tunnel の警告。 VPN セ ッ シ ョ ンがセ ッ シ ョ ン タ イ ムア ウ ト に よ る切断の し き い 値に近 く な っ て い る と き 、お よ び VPN セ ッ シ ョ ンが切断 し た と き にユーザーに通知 し ます。 Connect Tunnel セ ッ シ ョ ン統計。 マ ウ ス ポ イ ン タ を シ ス テム ト レ イ の Connect Tunnel ア イ コ ン に重ねる と 表示 さ れます。 Windows プ ラ ッ ト フ ォ ームでの Google Chrome のサポー ト 。 18 | Aventail E-Class SRA 10.7 管理者ガ イ ド • SAN 証明書サポー ト の改善。 システム要件 こ のセ ク シ ョ ン では、 SonicWALL SSL VPN の ク ラ イ ア ン ト お よ び管理者 ( サーバー ) の コ ン ポーネ ン ト のシ ス テム要件について説明 し ます。 サポー ト 状況については、 表に一覧 さ れた項目の フ ォ ン ト の種類で示 し ます。 • 完全にサポー ト • 対応、 サポー ト 予定、 必要に応 じ て問題に対応 ( 太字斜体 フ ォ ン ト ) 対応、 サポー ト 終了予定 ( 斜体 フ ォ ン ト ) • 「対応」 の構成で既知の問題はあ り ませんが、現行 リ リ ース では具体的に テ ス ト さ れて い ません。 こ のため、 SonicWALL では顕著な問題が発生 し ない こ と を保証せず、 こ のよ う な問題について のサポー ト の保証はあ り ません。 ク ラ イ ア ン ト コ ンポーネン ト ク ラ イ ア ン ト コ ン ポーネ ン ト のシ ス テム要件は、 次の表に リ ス ト さ れてい ます。 • • • • • • メモ 19 22 24 25 26 28 ページの ページの ページの ページの ページの ページの 「Web ベースの ク ラ イ ア ン ト 」 「Tunnel ク ラ イ ア ン ト 」 「プ ロ キシ ク ラ イ ア ン ト 」 「Virtual Assist ク ラ イ ア ン ト 」 「End Point Control」 「ActiveSync ク ラ イ ア ン ト 」 Mozilla Firefox と Google Chrome は短期間で リ リ ースが行われる ため、 次の表ではバー ジ ョ ン番号を掲載 し て い ません。 Dell SonicWALL では、 Aventail E-Class SRA の リ リ ー ス時点での最新バージ ョ ン に対応す る よ う に努めて い ます。 Web ベースのク ラ イ アン ト 次の表は、 Web ベースの ク ラ イ ア ン ト のシ ス テム要件を示 し て い ます。 オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 WorkPlace ポー タ ル、 変換 Web、 Network Explorer、 ホ ス ト / ポー ト マ ッ プ URL ア ク セ ス • Windows 8.1 (32 ビ ッ ト /64 ビ ッ ト ) • Windows 8 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 11.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 Windows で ActiveX を使用 し な い場合は JRE SE 7 が 推奨 さ れま す。 • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 Windows で ActiveX を使用 し ない場合は JRE 1.7 が推 奨 さ れま す。 は じ めに | 19 オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 • Windows 7 SP1 (32 ビ ッ ト /64 ビ ッ ト ) • Windows 7 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • Windows Vista SP2 (32 ビ ッ ト /64 ビ ッ ト ) • Windows XP Pro SP3 • • • ) • ) Maverick 10.9 • Safari 7.0 Mac OS X 10.8 (64 ビ ッ ト ) • Safari 6.0 Mac OS X 10.7 (32 ビ ッ ト /64 ビ ッ ト • Safari 5.1 • Safari 5.0 Mac OS X 10.6 (32 ビ ッ ト /64 ビ ッ ト • Linux カ ーネル 2.4.20 以降 (32 ビ ッ ト /64 ビ ッ ト ) Windows で ActiveX を使用 し ない場合は JRE 1.7 が推 奨 さ れま す。 • ActiveX • Java 1.7.0 Update 11 • Java 1.6.0 Update 37 以前 • Windows で ActiveX を使用 し ない場合は JRE 1.7 が推奨 さ れます。 • Java SE7 Update 17 • Java 1.6 Update 43 • Mac OS X のサポー ト は、 最 新の リ リ ース 2 件を完全にサ ポー ト する と い う Apple 社の ポ リ シーに基づき ます。 • Firefox オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 Web ア プ リ ケーシ ョ ン サービ ス 変換 / カ ス タ ム ポー ト マ ッ プ / カ ス タ ム FQDN マ ッ プ • Outlook Web Access 2013 • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Firefox • NTLM Single Sign-On (SSO) • ベーシ ッ ク SSO • フ ォ ーム ベースの SSO • Outlook Web Access での変 換ア ク セス、 ホス ト マ ッ プ URL ア ク セス、 およびポー ト マ ッ プ URL ア ク セスの使用。 • Outlook Web Access 2010 • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • NTLM Single Sign-On (SSO) • ベーシ ッ ク SSO • フ ォ ーム ベースの SSO • Outlook Web Access での変 換ア ク セス、 ホス ト マ ッ プ URL ア ク セス、 およびポー ト マ ッ プ URL ア ク セスの使用。 20 | Aventail E-Class SRA 10.7 管理者ガ イ ド オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 • SharePoint 2013 • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Firefox • NTLM Single Sign-On (SSO) • ベーシ ッ ク SSO • フ ォ ーム ベースの SSO • Outlook Web Access での変 換ア ク セス、 ホス ト マ ッ プ URL ア ク セス、 およびポー ト マ ッ プ URL ア ク セスの使用。 • SharePoint 2010 • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • NTLM Single Sign-On (SSO) • ベーシ ッ ク SSO • フ ォ ーム ベースの SSO • Outlook Web Access での変 換ア ク セス、 ホス ト マ ッ プ URL ア ク セス、 およびポー ト マ ッ プ URL ア ク セスの使用。 Web ア プ リ ケーシ ョ ン : 一般 ( 簡略 ) ブ ラ ウザ : Internet Explorer および Firefox メ モ : エ イ リ ア ス ベースの変換を使用する特定 Web ア プ リ ケーシ ョ ンに対するサポー ト は、こ れ らの基盤 Web ア プ リ ケーシ ョ ンの互換性 と 複雑性に基づ き ます。 一部の Web ア プ リ ケーシ ョ ン は、 エ イ リ ア ス ベースの変換に対応 し ていないため、 カ ス タ ムのホス ト マ ッ プ またはポー ト マ ッ プ URL ア ク セス を使用する必要があ り ます。 エ イ リ ア ス ベースの変換に よ る ア ク セ スについて SonicWALL がサポー ト およびテ ス ト し ているのは、 こ のセ ク シ ョ ンに明記 さ れている ア プ リ ケー シ ョ ン だけです。 NTLM、 BASIC、 お よび フ ォ ーム ベースのシ ングル サイ ン オン (SSO) をサポー ト し ます。 カ ス タ ム ポー ト マ ッ プ / カ ス タ ム FQDN マ ッ プ • Domino Web Access 8.5 • Domino Web Access 7 • Firefox • カ ス タ ムのホス ト 名またはカ ス タ ムのポー ト のア ク セスの み • SSO (NTLM、 BASIC、 およ び フ ォ ーム ベース ) は DWA で サポー ト Web ア プ リ ケーシ ョ ン : 一般 ( 簡略 ) ブ ラ ウザ : Internet Explorer および Firefox メ モ : Java Applets、AJAX、その他の高度な Web テ ク ノ ロ ジーを使用する高度な Web ア プ リ ケー シ ョ ン向け と し て推奨 さ れます。 NTLM、 BASIC、 お よび フ ォ ーム ベースのシ ングル サイ ン オン (SSO) をサポー ト し ます。 モバ イル Web ア ク セス • iPhone/iPad OS v6.0 • iPhone/iPad OS v5.1 • iPhone/iPad OS v5.0 • Mobile Safari 6 • Mobile Safari 5 • Android 4.x • Android 3.x • Android 2.x • Gecko • Firefox • Windows Phone 8 • IE 10 Mobile • Windows Phone 7 • IE 9 Mobile • IE 8 Mobile • Windows RT • Internet Explorer 10 は じ めに | 21 Tunnel ク ラ イ アン ト 次の表は、 Tunnel ク ラ イ ア ン ト のシ ス テム要件を示 し てい ます。 オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 Connect Tunnel ク ラ イ ア ン ト • Windows 8.1 (32 ビ ッ ト /64 ビ ッ ト ) • N/A • Windows 8 (32 ビ ッ ト /64 ビ ッ ト ) • Windows 7 SP1 (32 ビ ッ ト /64 ビ ッ ト ) • Windows 7 (32 ビ ッ ト /64 ビ ッ ト ) • Windows Vista SP2 (32 ビ ッ ト /64 ビ ッ ト ) • Windows XP Pro SP3 • イ ン ス ト ールには管理者権 限が必要 • N/A Maverick 10.9 Mac OS X 10.8 (64 ビ ッ ト ) Mac OS X 10.7 (32 ビ ッ ト /64 ビ ッ ト • Java 1.7 Update 17 • Java 1.6 Update 43 • イ ン ス ト ールには管理者権 限が必要です • • • ) • ) Mac OS X 10.6 (32 ビ ッ ト /64 ビ ッ ト • Linux カ ーネル 2.4.20 以降 (32 ビ ッ ト • Firefox ) • Linux カ ーネル 2.6.0 以降 (64 ビ ッ ト ) Connect Tunnel サー ビ ス • Windows Server 2008 SP2 (32 ビ ッ ト /64 ビ ッ ト ) • Windows Server 2008 SP1 (32 ビ ッ ト /64 ビ ッ ト ) • Windows Server 2003 R2 SP2 (32 ビ ッ ト /64 ビ ッ ト ) 22 | Aventail E-Class SRA 10.7 管理者ガ イ ド • N/A • イ ン ス ト ールには管理者権 限が必要 • ブ ラ ウザはプ ロキシ検出で のみ必要 オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 • Windows 8.1 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 11.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使用 し ない場合は Java 1.7 が推奨 さ れます。 • イ ン ス ト ールには管理者権 限が必要です。 • Windows 8 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使用 し ない場合は Java 1.7 が推奨 さ れます。 • イ ン ス ト ールには管理者権 限が必要です。 • Windows 7 SP1 (32 ビ ッ ト /64 ビ ッ ト ) • Windows 7 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使用 し ない場合は Java 1.7 が推奨 さ れます。 • イ ン ス ト ールには管理者権 限が必要です。 • Windows Vista SP2 (32 ビ ッ ト /64 ビ ッ ト ) • Windows XP Pro SP3 • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使用 し ない場合は Java 1.7 が推奨 さ れます。 • イ ン ス ト ールには管理者権 限が必要です。 OnDemand Tunnel エージ ェ ン ト • • • ) • ) • Safari 7.0 Maverick 10.9 • Safari 6.0 Mac OS X 10.8 (64 ビ ッ ト ) Mac OS X 10.7 (32 ビ ッ ト /64 ビ ッ ト • Safari 5.1 • Safari 5.0 Mac OS X 10.6 (32 ビ ッ ト /64 ビ ッ ト • Java 1.7 Update 17 • Java 1.6 Update 43 • Mac OS X のサポー ト は、 最新の リ リ ース 2 件を完全に サポー ト する と い う Apple 社 のポ リ シーに基づき ます。 • イ ン ス ト ールには管理者権 限が必要です。 • Linux (32 ビ ッ ト /64 ビ ッ ト ) • Firefox • イ ン ス ト ールには管理者権 限が必要 • TurboLinux 7 • Mozilla 1.7 • Mozilla 0.94 • ブ ラ ウザはプ ロキシ検出で のみ必要 • イ ン ス ト ールには管理者権 限が必要 は じ めに | 23 プ ロキシ ク ラ イ ア ン ト 次の表は、 プ ロ キシ ク ラ イ ア ン ト のシ ス テム要件を示 し てい ます。 オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 メ モ : Web プ ロ キシ エージ ェ ン ト • Windows 8.1 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 11.0 • Windows 8 (32 ビ ッ ト /64 ビ ッ ト ) (32 ビ ッ ト のみ ) • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使用 し ない場合は JRE 1.7 が推奨 さ れます。 • Windows 7 SP1 (32 ビ ッ ト /64 ビ ッ ト ) • Windows 7 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使用 し ない場合は JRE 1.7 が推奨 さ れます。 • Windows Vista SP2 (32 ビ ッ ト /64 ビ ッ ト ) • Windows XP Pro SP3 • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使用 し ない場合は JRE 1.7 が推奨 さ れます。 • N/A • Pocket PC デバイ スお よび スマー ト フ ォ ン をサポー ト Connect Mobile ク ラ イ ア ン ト • Windows Mobile 6.5 OnDemand プ ロ キシ エージ ェ ン ト ( マ ッ プ モー ド ) • Windows 8.1 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 11.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX または Java • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使用 し ない場合は Java 1.7 が推奨 さ れます。 • Windows 8 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX または Java • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使用 し ない場合は Java 1.7 が推奨 さ れます。 • Windows 7 SP1 (32 ビ ッ ト /64 ビ ッ ト ) • Windows 7 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX または Java • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使用 し ない場合は JRE 1.7 が推奨 さ れます。 24 | Aventail E-Class SRA 10.7 管理者ガ イ ド オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 • Windows Vista SP2 (32 ビ ッ ト /64 ビ ッ ト ) • Windows XP Pro SP3 • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX または Java • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使用 し ない場合は JRE 1.7 が推奨 さ れます。 • • • ) • ) • Safari 7.0 Maverick 10.9 • Safari 6.0 Mac OS X 10.8 (64 ビ ッ ト ) Mac OS X 10.7 (32 ビ ッ ト /64 ビ ッ ト • Safari 5.1 • Safari 5.0 Mac OS X 10.6 (32 ビ ッ ト /64 ビ ッ ト • Linux (32 ビ ッ ト /64 ビ ッ ト ) • Firefox • Java 1.7 Update 17 • Java 1.6 Update 43 • Mac OS X のサポー ト は、 最 新の リ リ ース 2 件を完全にサ ポー ト する と い う Apple 社の ポ リ シーに基づき ます。 • Java 1.7 Update 17 • Java 1.6 Update 43 Virtual Assist ク ラ イ アン ト 次の表は、 Virtual Assist ク ラ イ ア ン ト ア プ リ ケーシ ョ ン お よ び技術者向け ア プ リ ケーシ ョ ンの シ ス テム要件を示 し ます。 オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 ク ラ イ ア ン ト ア プ リ ケーシ ョ ン • Windows 8.1 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 11.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX または Java • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 • Windows 8 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX または Java • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 • Windows 7 SP1 (32 ビ ッ ト /64 ビ ッ ト ) • Windows 7 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX または Java • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 • Windows Vista SP2 (32 ビ ッ ト /64 ビ ッ ト ) • Windows XP Pro SP3 • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX または Java • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 は じ めに | 25 オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 • Maverick 10.9 • Mac OS X 10.8 (64 ビ ッ ト ) • Mac OS X 10.7 (32 ビ ッ ト /64 ビ ッ ト ) • Mac OS X 10.6 (32 ビ ッ ト /64 ビ ッ ト ) • • • • • Java 1.7 Update 17 • Java 1.6 Update 43 • Mac OS X のサポー ト は、 最新の リ リ ース 2 件を完全 にサポー ト する と い う Apple 社のポ リ シーに基づ き ます。 • Linux (32 ビ ッ ト /64 ビ ッ ト ) • Firefox Safari 7.0 Safari 6.0 Safari 5.1 Safari 5.0 • Java 1.7 Update 17 • Java 1.6 Update 43 技術者向けア プ リ ケーシ ョ ン • Windows 8.1 (32 ビ ッ ト /64 ビ ッ ト ) • N/A • Windows 8 (32 ビ ッ ト /64 ビ ッ ト ) • Windows 7 SP1 (32 ビ ッ ト /64 ビ ッ ト ) • Windows 7 (32 ビ ッ ト /64 ビ ッ ト ) • Windows Vista SP2 (32 ビ ッ ト /64 ビ ッ ト ) • Windows XP Pro SP3 • ス タ ン ド アロン アプ リ ケーシ ョ ンのダウン ロー ド End Point Control 次の表は、 End Point Control ク ラ イ ア ン ト のシ ス テム要件を示 し てい ます。 オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 • Windows 8.1 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 11.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 • Windows 8 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 • Windows 7 SP1 (32 ビ ッ ト /64 ビ ッ ト ) • Windows 7 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 Interrogator お よ び Installer 26 | Aventail E-Class SRA 10.7 管理者ガ イ ド オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 • Windows Vista SP2 (32 ビ ッ ト /64 ビ ッ ト ) • Windows XP Pro SP3 • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 • • • ) • ) • Safari 7.0 Maverick 10.9 • Safari 6.0 Mac OS X 10.8 (64 ビ ッ ト ) Mac OS X 10.7 (32 ビ ッ ト /64 ビ ッ ト • Safari 5.1 • Safari 5.0 Mac OS X 10.6 (32 ビ ッ ト /64 ビ ッ ト • Linux (32 ビ ッ ト /64 ビ ッ ト ) • Mac OS X のサポー ト は、 最新の リ リ ース 2 件を完全 にサポー ト する と い う Apple 社のポ リ シーに基づき ます。 • Firefox サー ド パーテ ィ コ ン ポーネ ン ト (OESIS、 Secure Virtual Desktop、 Cache Cleaner) • Windows 8.1 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 11.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 • Windows 8 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 • Windows 7 SP1 (32 ビ ッ ト /64 ビ ッ ト ) • Windows 7 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 • Windows Vista SP2 (32 ビ ッ ト /64 ビ ッ ト ) • Windows XP Pro SP3 • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 • • • ) • ) • Safari 7.0 Maverick 10.9 • Safari 6.0 Mac OS X 10.8 (64 ビ ッ ト ) Mac OS X 10.7 (32 ビ ッ ト /64 ビ ッ ト • Safari 5.1 • Safari 5.0 Mac OS X 10.6 (32 ビ ッ ト /64 ビ ッ ト • Java 1.7 Update 17 • Java 1.6 Update 43 • Mac OS X のサポー ト は、 最新の リ リ ース 2 件を完全 にサポー ト する と い う Apple 社のポ リ シーに基づき ます。 は じ めに | 27 オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 • Linux (32 ビ ッ ト /64 ビ ッ ト ) • Firefox • SVD はサポー ト 対象外 • Cache Cleaner はサポー ト 対象外 ActiveSync ク ラ イ アン ト SonicWALL は、 Apple iPhone、 iPad、 Google Android モバ イ ル オペ レ ーテ ィ ン グ シ ス テム、 Windows Phone、 お よ び一般的な Symbian オペ レ ー テ ィ ン グ シ ス テム を実行す る デバ イ スへ の Exchange の 電 子 メ ー ル に つ い て、 ク ラ イ ア ン ト レ ス ActiveSync を サ ポ ー ト し ま す。 Symbian は、 企業電子 メ ールの一般的な選択肢 と な っ て い る多 く の Nokia お よ び Samsung デ バ イ ス に搭載 さ れて い ま す。 ま た、 ActiveSync のサポー ト はデバ イ スの ID 機能 を 活用 し 、 デ バ イ ス を単一のユーザーに リ ン ク す る こ と に よ っ て、 エ ン ド ポ イ ン ト 制御の第 1 層を提供 し ま す。 対応、 ま たは完全にサポー ト • Android スマー ト フ ォ ン / タ ブ レ ッ ト • Android 4.x • Android 3.x • Android 2.2 以降 • iPhone/iPad • iPhone/iPad OS バージ ョ ン 3.1.x • iPhone/iPad OS バージ ョ ン 4.0 • • • • • Symbian • S60 • Windows Phone 8 • Windows Phone 7 • Windows Phone 6.5 • 8x • 7.x • Windows RT • Windows 8 RT iOS v6.0 iOS v5.1 iOS v5.0 iOS V4.0 サーバー コ ンポーネン ト 管理者 コ ン ポーネ ン ト お よ び認証サーバーのシ ス テム要件は、 次の表に リ ス ト さ れて い ます。 サポー ト 状況については、 表に一覧 さ れた項目の フ ォ ン ト の種類で示 し ます。 完全にサポー ト 対応、 サポー ト 予定、 必要に応 じ て問題に対応 • 対応、 サポー ト 終了予定 「対応」 の構成で既知の問題はあ り ませんが、現行 リ リ ース では具体的に テ ス ト さ れて い ません。 こ のため、 SonicWALL では顕著な問題が発生 し ない こ と を保証せず、 こ のよ う な問題について のサポー ト の保証はあ り ません。 • • システム管理 オペ レ ーテ ィ ン グ シ ス テム Aventail 管理 コ ン ソ ール (AMC) 28 | Aventail E-Class SRA 10.7 管理者ガ イ ド ブ ラ ウザ その他の要件 オペ レ ーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 • Windows 8.1 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 11.0 (32 ビ ッ ト のみ ) • Firefox • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 • Windows 8 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 10.0 (32 ビ ッ ト のみ ) • Firefox • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 • Windows 7 SP1 (32 ビ ッ ト /64 ビ ッ ト • Internet Explorer 10.0 ) (32 ビ ッ ト のみ ) • Windows 7 (32 ビ ッ ト /64 ビ ッ ト ) • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 • Windows Vista SP2 (32 ビ ッ ト /64 ビ ッ ト ) • Windows XP Pro SP3 • Internet Explorer 9.0 (32 ビ ッ ト のみ ) • Internet Explorer 8.0 (32 ビ ッ ト のみ ) • Firefox • Chrome • Linux (32 ビ ッ ト /64 ビ ッ ト ) • Firefox • ActiveX • Java 1.7 Update 17 • Java 1.6 Update 43 • Windows で ActiveX を使 用 し ない場合は JRE 1.7 が 推奨 さ れます。 認証サーバー オペ レ ーテ ィ ン グ シ ス テム / バージ ョ ン その他の要件 Active Directory • Windows Server 2012 SP3 (64 • Windows Server 2008 SP2 (32 ト ) • Windows Server 2008 SP1 (32 ト ) • Windows Server 2008 SP1 (32 ト ) • Windows Server 2003 SP2 (32 ト ) ビッ ト ) ビ ッ ト /64 ビ ッ • 全般的なサポー ト ( パスワー ド 変更を含む ) ビ ッ ト /64 ビ ッ ビ ッ ト /64 ビ ッ ビ ッ ト /64 ビ ッ LDAP サーバー • LDAP バージ ョ ン 3 互換サーバー IBM Directory Server • IBM Tivoli Directory Server バージ ョ ン 6 • IBM Tivoli Directory Server バージ ョ ン 5 • IDS では LDAP のパスワー ド 変更をサポー ト は じ めに | 29 オペ レ ーテ ィ ン グ シ ス テム / バージ ョ ン その他の要件 Oracle Directory Server • Oracle Directory Server Enterprise Edition v11 • Oracle Directory Server Enterprise Edition v10 以前 Novell • Novell eDirectory v8.8 SP7 RADIUS プ ロ ト コ ル • Quest Defender 5.7 • 全般 • IP ア ド レ ス指定をサポー ト RSA Authentication Manager • • • • RSA Authentication Manager バージ ョ ン RSA Authentication Manager バージ ョ ン RSA Authentication Manager バージ ョ ン RSA Authentication Manager バージ ョ ン 8.0 7.1 6.1 5.2 • RADIUS 経由で もサポー ト シ ン グル サ イ ン オ ン サーバー • RSA Federated Identity Manager RSA Access Manager 6.2 • RSA Federated Identity Manager RSA Access Manager 6.1 SP4 • RSA Federated Identity Manager ClearTrust Agent 5.5 SAML サーバー / プ ロバ イ ダ • SiteMinder SAML IDP CA SiteMinder 12.x (SAML 経由 ) • Shibboleth SAML IDP 一般サポー ト • onelogin.com SAML IDP 一般サポー ト ActiveSync サーバー サーバー • • • • Microsoft Exchange 2013 Microsoft Exchange 2012 Microsoft Exchange 2010 Microsoft Exchange 2007 30 | Aventail E-Class SRA 10.7 管理者ガ イ ド その他の要件 Citrix サーバー フ ァ ーム サーバー • • • • その他の要件 Citrix XenDesktop 5.6 Citrix XenApp 6.5 Citrix XenApp 6.0 Citrix XenApp 5.0 Native Access Module (NAM) SonicWALL ア プ ラ イ ア ン スは、 い く つかの一般的なサー ド パー テ ィ エ ー ジ ェ ン ト と 統合 し ま す。 統合に必要な フ ァ イ ルは、 すで に ア プ リ ケーシ ョ ン上に用意 さ れて い る こ と も あ り ますが、 ア プ ラ イ ア ン スへの コ ピ ーが必要 と な る場合 も あ り ます。 説明 その他の要件 Terminal Services エージ ェ ン ト • • • • • • Windows Terminal Services Windows Terminal Services Windows Terminal Services Windows Terminal Services Windows Terminal Services Windows Terminal Services エージ ェ ン ト エージ ェ ン ト エージ ェ ン ト エージ ェ ン ト エージ ェ ン ト エージ ェ ン ト 8.1 8.0 7.1 7.0 6.1 6.0 • Mac/Linux Terminal Services エージ ェ ン ト 2.x • ActiveX コ ン ト ロール • Java ア プ レ ッ ト • Java 1.7 Update 17 • Java 1.6 Update 43 Citrix Receiver • Windows バージ ョ ン 3.x • ActiveX コ ン ト ロール • Mac/Linux エージ ェ ン ト バージ ョ ン 12.x • Mac/Linux エージ ェ ン ト バージ ョ ン 11.x • Java ア プ レ ッ ト • Java 1.7 Update 17 • Java 1.6 Update 43 VMware View ク ラ イ ア ン ト • Windows バージ ョ ン v5.x は じ めに | 31 このマニ ュ アルについて こ のマ ニ ュ アルでは、 ア プ ラ イ ア ン スの イ ン ス ト ール、 構成、 お よ び保守につい て詳細に説明 し てい ます。 ま た、 こ のマ ニ ュ アルの内容は AMC か ら コ ン テキス ト 対応ヘルプ を呼び出 し て参 照で き ます。 詳細については、 114 ページの 「ヘルプの利用」 を参照 し て く だ さ い。 お使いの E-Class SRA ア プ ラ イ ア ン ス には、 印刷版の 入門ガ イ ド が付属 し 、 VPN の重要な コ ン セ プ ト や コ ン ポーネ ン ト について説明 し て い る他、 VPN の展開を計画す る際に活用で き る よ う に な っ て い ま す。 すべての製品マ ニ ュ アルの電子版に ア ク セ ス す る には、 MySonicwall.com のア カ ウ ン ト に ロ グ イ ン し て、 ア プ ラ イ ア ン ス を登録 し て く だ さ い。 詳細につい ては、 336 ペー ジの 「E-Class SRA E-Class ア プ ラ イ ア ン スの登録」 を参照 し て く だ さ い。 このマニ ュ アルの規則 こ のマ ニ ュ アルで、 「外部」 と は イ ン タ ーネ ッ ト に接続す る ネ ッ ト ワー ク イ ン タ ー フ ェ ース を指 し ます。 ま た、 「内部」 と は企業の内部ネ ッ ト ワー ク に接続す る ネ ッ ト ワー ク イ ン タ ー フ ェ ース を示 し ます。 こ のマ ニ ュ アルでは、 次の表記規則を使用 し て い ます。 表記規則 用途 Bold ユーザー イ ン タ ー フ ェ ース コ ンポーネ ン ト (Web ページ上のテキ ス ト ボ ッ ク スやボ タ ン な ど )。 Monospace font ユーザーが入力する情報。 Italic フ ァ イ ル名やデ ィ レ ク ト リ 、 例、 ド ロ ッ プ ダウ ン リ ス ト の選択項 目。 commandname -x [-y] コ マ ン ド 構文で、 角かっ こ はオプ シ ョ ン パラ メ ー タ を表 し ます。 32 | Aventail E-Class SRA 10.7 管理者ガ イ ド 第2章 イ ン ス ト ール と 初期セ ッ ト ア ッ プ こ のセ ク シ ョ ン では、ネ ッ ト ワー ク 環境におけ る ア プ ラ イ ア ン スの位置付け を示 し 、 イ ン ス ト ー ル と 配線の手順 を 紹介 し ま す。 ま た、 Web ベースの Setup Wizard ( ま たは コ マ ン ド ラ イ ンの Setup Tool) に よ る ネ ッ ト ワー ク 基本構成につい て も 説明 し ます。 ネ ッ ト ワー クのアーキテ ク チ ャ すべての Dell SonicWALL E-Class SRA ア プ ラ イ ア ン スは、 デ ュ アル イ ン タ ー フ ェ ース ま たは シ ン グル イ ン タ ー フ ェ ースのいずれかの構成で セ ッ ト ア ッ プ で き ます。 ど ち ら の構成 も こ のセ ク シ ョ ン で説明 し ます。 • EX9000、EX7000、お よ び EX6000 ア プ ラ イ ア ン ス には、3 つの物理ネ ッ ト ワー ク イ ン タ ー フ ェ ースがあ り 、 ク ラ ス タ と し て セ ッ ト ア ッ プ す る こ と で高可用性 を 実現 し た り ( 詳細は 534 ページの 「 ク ラ ス タ の イ ン ス ト ール と 構成」 を参照 )、 外部ロ ー ド バ ラ ンサを使用 し た り ( 詳細は 607 ページの 「大規模 ク ラ ス タ の構成」 を参照 ) で き ます。 デ ュ アルホーム構成 ( 内部 イ ン タ ー フ ェ ース と 外部 イ ン タ ー フ ェ ース ) 外部 ト ラ フ ィ ッ ク ( イ ン タ ーネ ッ ト と の通信 ) 用にネ ッ ト ワー ク イ ン タ ー フ ェ ース を 1 つ使用 し 、 も う 1 つの イ ン タ ー フ ェ ースは内部 ト ラ フ ィ ッ ク ( 企業ネ ッ ト ワー ク と の通信 ) 用に使用 し ます。 ᴗࢿࢵࢺ࣮࣡ࢡ ෆ㒊 ࣥࢱࣇ࢙࣮ࢫ ࣥࢱ࣮ࢿࢵࢺ ࣇࣝ ࢧ࣮ࣂ࣮ እ㒊 ࣥࢱࣇ࢙࣮ࢫ ࣇ࢛࣮࢘ࣝ ࣇ࢛࣮࢘ࣝ ࣉࣜࢣ࣮ࢩࣙࣥ Web ࢧ࣮ࣂ࣮ ࢧ࣮ࣂ࣮ Dell SonicWALL Aventail ࣉࣛࣥࢫ イ ン ス ト ール と 初期セ ッ ト ア ッ プ | 33 シ ン グルホーム イ ン タ ー フ ェ ース構成 ( 内部 イ ン タ ー フ ェ ース ) 単一のネ ッ ト ワー ク イ ン タ ー フ ェ ースが、 内部 ト ラ フ ィ ッ ク と 外部 ト ラ フ ィ ッ ク の両方で使用 さ れます。 こ の構成の場合、 ア プ ラ イ ア ン スは通常、 非武装地帯 ( 略称 DMZ、 境界ネ ッ ト ワー ク と も 呼ばれる ) に イ ン ス ト ール さ れます。 ᴗࢿࢵࢺ࣮࣡ࢡ ࣥࢱ࣮ࢿࢵࢺ ෆ㒊ࣥࢱࣇ࢙࣮ࢫ ࣇ࢛࣮࢘ࣝ ࣇ࢛࣮࢘ࣝ ࣇࣝ ࢧ࣮ࣂ࣮ ࣉࣜࢣ࣮ࢩࣙࣥ ࢧ࣮ࣂ࣮ Web ࢧ࣮ࣂ࣮ Dell SonicWALL Aventail ࣉࣛࣥࢫ ど ち ら の構成で も 、 E-Class SRA サー ビ スが受け取る要求 (Web プ ロ キシ サー ビ スの HTTP/S ト ラ フ ィ ッ ク を含む ) は、 ポー ト 80 (HTTP) お よ びポー ト 443 (HTTPS) を通 っ て送信 さ れま す。 た だ し 、 OnDemand エージ ェ ン ト か ら の ト ラ フ ィ ッ ク は常にポー ト 443 経由で送信 さ れま す。 ほ と ん どのネ ッ ト ワー ク では、 ト ラ フ ィ ッ ク が こ れ ら のポー ト 経由で送 ら れ る よ う に構成 さ れてい る ため、 ネ ッ ト ワー ク の フ ァ イ ア ウ ォ ールを再構成す る必要はあ り ません。 ア プ ラ イ ア ン スは、 ネ ッ ト ワー ク 上の次の よ う な リ ソ ー ス に接続で き る 場所に イ ン ス ト ールす る必要があ り ます。 • • • • 注意 Web サーバー、 ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ン、Windows フ ァ イ ル サーバー を 含む、 ア プ リ ケーシ ョ ン サーバーお よ び フ ァ イ ル サーバー。 外部認証 リ ポジ ト リ (LDAP サーバー、 Microsoft Active Directory サーバー、 RADIUS サー バーな ど )。 1 つ ま たは複数の Domain Name System (DNS) サーバー。 ( オ プ シ ョ ン ) Windows Internet Name Service (WINS) サーバー。こ れは、WorkPlace を 使 用 し て Windows ネ ッ ト ワー ク を ブ ラ ウズす る ために必要です。 E-Class SRA ア プ ラ イ ア ン スは完全な フ ァ イ ア ウ ォ ール機能を提供 し な いため、 フ ァ イ ア ウ ォ ール内で セキ ュ リ テ ィ を確保 し な ければな り ません。 フ ァ イ ア ウ ォ ールな し で動作 さ せ る と 、 ア プ ラ イ ア ン スが攻撃に対 し て弱 く な り 、 セキ ュ リ テ ィ が脅か さ れた り パ フ ォ ーマ ン スが低下 し た り す る可能性があ り ます。 必須ではあ り ませんが、 ア プ ラ イ ア ン スが次の リ ソ ー ス と 通信で き る よ う にす る こ と で、 機能 と 使い勝手が向上 し ます。 ア プ ラ イ ア ン スの時刻を同期す る ための Network Time Protocol (NTP) サーバー。 • syslog 出力を保管 し てお く ための外部サーバー。 • Secure Shell (SSH) ア ク セ スのための管理者用ワー ク ス テ ーシ ョ ン。 ア プ ラ イ ア ン スは、 自己署名サーバー証明書を使用す る構成に で き る他、 商用認証局 (CA) か ら 証明書 を 取得 し て セ キ ュ リ テ ィ を 強化す る 構成にす る こ と も で き ま す。 詳細につい ては、 149 ページの 「商用 CA か ら の証明書の取得」 を参照 し て く だ さ い。 • 34 | Aventail E-Class SRA 10.7 管理者ガ イ ド イ ン ス ト ールの準備 イ ン ス ト ール を 始め る 前に、 ネ ッ ト ワーキ ン グ環境につい ての情報 を 収集 し 、 ア プ ラ イ ア ン ス と の間の ト ラ フ ィ ッ ク を 許可す る よ う に フ ァ イ ア ウ ォ ールが正 し く 構成 さ れて い る こ と を 確認 す る必要があ り ます。 情報の収集 ア プ ラ イ ア ン スの構成 を 始め る 前に、 次の情報 を 収集す る 必要があ り ま す。 こ の情報の一部に つい ては、 Setup Wizard (47 ページの 「Setup Wizard に よ る Web ベース での構成」 を参照 ) ま たは Setup Tool (544 ページの 「Setup Tool に よ る新 し い ア プ ラ イ ア ン スの構成」 を参照 ) を 実行す る と き に指定 し ますが、 ほ と ん どの情報は AMC (135 ページの 「ネ ッ ト ワー ク と 認証の 構成」 を参照 ) で ア プ ラ イ ア ン ス を構成す る と き に使用 し ます。 ク ラ ス タ を イ ン ス ト ールす る 場合は、 他に も 情報が必要に な り ま す。 534 ペー ジの 「 ク ラ ス タ の イ ン ス ト ール と 構成」 お よ び 607 ページの 「大規模 ク ラ ス タ の構成」 を参照 し て く だ さ い。 Aventail 管理 コ ン ソ ール (AMC) の起動に必要な設定 • • • • ア プ ラ イ ア ン ス を管理す る ための root パス ワー ド ア プ ラ イ ア ン スの名前 ( こ の名前はロ グ フ ァ イ ルのみで使用 さ れる ため、 DNS に追加す る 必要はあ り ません ) 内部 IP ア ド レ ス、 お よ び ( オ プ シ ョ ン で ) 外部 IP ア ド レ ス ルーテ ィ ン グ モー ド を選択 し 、 イ ン タ ーネ ッ ト と 企業ネ ッ ト ワー ク に接続す る ためのネ ッ ト ワー ク ゲー ト ウ ェ イ 用 IP ア ド レ ス を それぞれ指定 し ます。 証明書情報 サーバー証明書 と AMC 証明書を生成す る と き は、 次の情報が使用 さ れます。 • • ア プ ラ イ ア ン スの完全修飾 ド メ イ ン名 (FQDN)。 ま た、 固有名を使用す る WorkPlace サ イ ト があ る 場合は、 その FQDN。 こ れ ら の名前はパ ブ リ ッ ク DNS に追加す る 必要があ り ま す。 ま た、 こ れ ら の名前はユーザーが Web ベースの リ ソ ース に接続す る と き に も 参照で き ます。 Aventail 管理 コ ン ソ ール (AMC) サーバーの FQDN。 AMC サーバー名は、 ア プ ラ イ ア ン ス 管理用 Web ツ ールで あ る AMC へのア ク セ ス に使用 さ れます。 ネーム ル ッ ク ア ッ プ情報 • • • ア プ ラ イ ア ン スが接続す る ネ ッ ト ワー ク の内部 DNS ド メ イ ン名 プ ラ イ マ リ 内部 DNS サーバー ア ド レ ス ( 追加の DNS サーバーはオ プ シ ョ ン ) 内部 WINS サーバーの IP ア ド レ ス と Windows ド メ イ ンの名前 (WorkPlace を使用 し て Windows ネ ッ ト ワー ク の フ ァ イ ル を ブ ラ ウズす る場合は必要ですが、 それ以外はオ プ シ ョ ン) 認証情報 • 認証サーバー (LDAP、 Active Directory、 ま たは RADIUS) の名前 と ロ グ イ ン情報 仮想ア ド レ ス プ ールの情報 • ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト (Connect Tunnel ま たは OnDemand ト ン ネル ) を展開 す る場合は、1 つ ま たは複数のア ド レ ス プールに IP ア ド レ ス を割 り 当て る必要があ り ます。 詳細については、 470 ページの 「IP ア ド レ ス プールの構成」 を参照 し て く だ さ い。 イ ン ス ト ール と 初期セ ッ ト ア ッ プ | 35 オ プ シ ョ ンの構成情報 • • • リ モー ト マ シ ンか ら の SSH ア ク セ スのためには、 リ モー ト ホ ス ト の IP ア ド レ ス を知 っ て お く 必要があ り ます。 NTP サーバー と 同期 さ せる と き は、 1 つ ま たは複数の NTP サーバーの IP ア ド レ ス を知 っ てお く 必要があ り ます。 デー タ を syslog サーバーに送信す る と き は、 1 つ ま たは複数の syslog サーバーの IP ア ド レ ス と ポー ト 番号を知 っ て お く 必要があ り ます。 フ ァ イ アウ ォ ール ポ リ シーの確認 ア プ ラ イ ア ン スが正 し く 機能す る ためには、外部 ( イ ン タ ーネ ッ ト 側 ) と 内部の フ ァ イ ア ウ ォ ー ルでポー ト を開かな ければな り ません。 外部 フ ァ イ ア ウ ォ ール Web ブ ラ ウザ ま たは OnDemand か ら ア プ ラ イ ア ン ス へ安全に ア ク セ ス で き る よ う に す る に は、 サ イ ト の フ ァ イ ア ウ ォ ールで ポー ト 80 と ポー ト 443 を 開い て おかな ければな り ません。 SSH ア ク セ ス を許可す る ために フ ァ イ ア ウ ォ ールを開いて お く こ と は必須条件ではあ り ません が、 リ モー ト シ ス テムか ら 管理作業を す る上で便利です。 ト ラ フ ィ ッ ク の タ イ プ ポー ト / プ ロ ト コ ル 用途 必須 ? HTTP 80/tcp 非暗号化ネ ッ ト ワー ク ア ク セス ○ HTTPS 443/tcp 暗号化ネ ッ ト ワー ク ア ク セス ○ SSH 22/tcp ア プ ラ イ ア ン スへの管理ア ク セス 内部 フ ァ イ ア ウ ォ ール 内部ネ ッ ト ワー ク に フ ァ イ ア ウ ォ ールがあ る 場合、 ポ リ シ ー を 調整 し て、 ア プ ラ イ ア ン スが通 信す るバ ッ ク エ ン ド ア プ リ ケーシ ョ ン用にポー ト を開 く 必要があ り ます。場合に よ っ ては、DNS や電子 メ ールな どの標準ネ ッ ト ワー ク サー ビ ス用のポー ト を開 く 以外に、 ア プ ラ イ ア ン スが次 のサー ビ ス に ア ク セ ス で き る よ う に フ ァ イ ア ウ ォ ール ポ リ シー を変更す る必要があ り ます。 ト ラ フ ィ ッ クのタ イ プ ポー ト / プ ロ ト コ ル Microsoft ネ ッ ト ワーキ • 138/tcp および 138/udp ング • 137/tcp および 137/udp • 139/udp 用途 WorkPlace が WINS 名前解決、 要求のブ ラ ウズ、 フ ァ イル共有へのア ク セスのために 使用 • 162/snmp • 445/smb LDAP ( 非暗号化 ) 389/tcp LDAP デ ィ レ ク ト リ ま た は Active Directory と の通信 LDAP over SSL ( 暗号化 ) 636/tcp SSL を 介 し た LDAP デ ィ レ ク ト リ ま たは Microsoft Active Directory と の通信 RADIUS 1645/udp または 1812/udp RADIUS 認証サーバー と の通信 NTP 123/udp ア プ ラ イ ア ン ス の ク ロ ッ ク と NTP サ ー バー と の同期 Syslog 514/tcp シ ス テム ロ グ情報の syslog サーバーへの 送信 36 | Aventail E-Class SRA 10.7 管理者ガ イ ド Microsoft ト ラ フ ィ ッ クのタ イ プ ポー ト / プ ロ ト コ ル 用途 SNMP 161/udp SNMP 管理 ツ ールか ら のア プ ラ イ ア ン ス の監視 便利な管理ツール Microsoft Windows が動作す る リ モー ト シ ス テムか ら ア プ ラ イ ア ン ス を管理す る と き は、 次の 管理ツ ールを使用す る と 便利です。 ど ち ら のツ ール も 、 標準 FTP や Telnet ユー テ ィ リ テ ィ と 異 な り 、 暗号化に よ り 情報漏洩を防止 し ます。 Secure Shell (SSH) ク ラ イ ア ン ト 。 こ のツ ールを使用す る と 、 ア プ ラ イ ア ン ス に安全に ロ グ イ ン し て、 コ マ ン ド ラ イ ンか ら 構成を行 う こ と がで き ます。 シ ス テムのバ ッ ク ア ッ プ、 ロ グ フ ァ イ ルの表示、 高度 な ネ ッ ト ワ ー ク 設定の構成 な ど を 行 う 際に便利 で す。 一般的 な Windows 用 SSH ク ラ イ ア ン ト の 1 つに、 VanDyke Software の SecureCRT があ り ます。 http://www.vandyke.com/products/securecrt/ か ら 評価版 を ダ ウ ン ロ ー ド で き ま す。 ま た、 Telnet と SSH を Windows プ ラ ッ ト フ ォ ームに無料で実装で き る PuTTY も 広 く 使用 さ れ てい ます。 PuTTY は Cisco が推奨 し て い ます。 • SSH を使用 し て ア プ ラ イ ア ン ス に接続す る と き は、 ユーザー名に root と 入力 し 、 Setup Wizard で作成 し たパス ワー ド を入力 し ます。 • Secure Copy (SCP) ク ラ イ ア ン ト 。 こ のツ ールを使用す る と 、 Windows が動作す る PC か ら ア プ ラ イ ア ン スへ フ ァ イ ルを簡単かつ安全に転送で き ます。証明書な どのデー タ を ア プ ラ イ ア ン ス に コ ピ ーす る際に便利です。 Windows ク ラ イ ア ン ト と し ては WinSCP が広 く 使用 さ れてお り 、 http://winscp.sourceforge.net/eng/ で提供 さ れて い ます。 実行す る必要があ るほ と ん どの構成管理作業 ( ア プ ラ イ ア ン ス構成のバ ッ ク ア ッ プ と リ ス ト ア、 ア ッ プ グ レ ー ド の適用な ど ) は、 AMC の [Maintenance] ページか ら 実行で き ます (303 ページ の 「構成デー タ の管理」 を参照 )。 こ のよ う な作業を コ マ ン ド ラ イ ンか ら 実行 し たい場合は、 545 ページの 「構成デー タ の保存 と リ ス ト ア」 を参照 し て く だ さ い。 • イ ン ス ト ール と 展開のプ ロ セス こ のセ ク シ ョ ン では、 ア プ ラ イ ア ン スの イ ン ス ト ール、 構成、 テ ス ト 、 お よ び実稼働環境への 展開につい て概説 し ます。 手続 き の概要は次の と お り です。 イ ン ス ト ール手順 説明 ア プ ラ イ ア ン ス の シ リ ア ル 番 号 と 認 証 この情報は、MySonicwall で製品を登録する際に必要 コ ー ド を書き留める です。 シ リ アル番号 と 認証コ ー ド は、 ア プ ラ イ ア ン ス の ラ ベ ル に 印刷 さ れ て い る 他、 AMC の [General Settings] ページに も 表示 さ れます。 ア プ ラ イ ア ン ス を ラ ッ ク マウン ト し 、 ケー 38 ページの 「仕様お よ び ラ ッ ク の イ ン ス ト ール」 お ブルに接続する よび 44 ページの 「ア プ ラ イ ア ン スの接続」 を参照 し て く だ さ い。 ア プ ラ イ ア ン スの電源を オンに し て、 構成 内部ネ ッ ト ワー ク で ア プ ラ イ ア ン ス を接続する には、 を開始する 内部 IP ア ド レ ス と サブネ ッ ト マス ク を指定 し 、 また ア プ ラ イ ア ン スが ク ラ ス タ の一部かど う かを指定す る必要があ り ます。 ア プ ラ イ ア ン スの フ ロ ン ト パネ ルの操作ボ タ ン を使用 し ます。 45 ページの 「電源投 入 と ネ ッ ト ワー ク の基本設定」 を参照 し て く だ さ い。 イ ン ス ト ール と 初期セ ッ ト ア ッ プ | 37 イ ン ス ト ール手順 説明 Setup Wizard を実行する ウ ィ ザー ド の指示に従い、 E-Class SRA ア プ ラ イ ア ン スの初期セ ッ ト ア ッ プ操作を実行 し ます。 47 ペー ジの 「Setup Wizard に よ る Web ベ ー ス で の構成」 を参照 し て く だ さ い。 MySonicwall で ア プ ラ イ ア ン ス を登録する MySonicwall でア プ ラ イ ア ン ス を登録 し ます。製品登 録に よ り 、 ラ イ セ ン ス フ ァ イ ルやア ッ プデー ト な ど の重要 リ ソ ースにア ク セスで き る よ う にな り ます。登 録には、ア プ ラ イ ア ン スのシ リ アル番号 と 認証コ ー ド の両方が必要です。 E-Class SRA ア プ ラ イ ア ン スの ラ イ セ ン ス には、 い く つかの種類があ り ます。 すべての ラ イ セ ン ス フ ァ イ ルは、 www.MySonicwall.com か ら 取得 し て ア プ ラ イ ア ン ス に イ ン ポー ト す る 必要 があ り ます (332 ページの 「 ソ フ ト ウ ェ ア ラ イ セ ン ス」 を参照 )。 • • • • • • • • 管理テ ス ト ラ イ セ ン ス : E-Class SRA ア プ ラ イ ア ン スのセ ッ ト ア ッ プ を開始す る には、 MySonicwall に ロ グ イ ン し て初期ユーザー ラ イ セ ン ス を 取得 し ま す。 こ の ラ イ セ ン スは 1 ユーザー ( 管理者の他に エ ン ド ユーザー 1 名 ) につい て無期限に有効です。 AMC の使用に 慣れ、 ユーザー を 追加 し て環境で AMC を テ ス ト す る には、 ア プ ラ イ ア ン ス ラ イ セ ン ス を 取得す るか、 ま たは ラ ボ ラ イ セ ン ス を要求 し て、 さ ら にユーザー を数名追加 し ます。 ア プ ラ イ ア ン ス ラ イ セ ン ス : ア プ ラ イ ア ン ス ラ イ セ ン ス でサポー ト さ れる同時ユーザー数 は、 お使いのア プ ラ イ ア ン ス モデルに よ っ て異な り ます。 EX9000: 最大 20,000 ユーザー EX7000: 最大 5,000 ユーザー EX6000: 最大 250 ユーザー コ ン ポーネ ン ト ラ イ セ ン ス : ア プ ラ イ ア ン ス コ ン ポーネ ン ト (OnDemand な ど ) の ラ イ セ ン ス が 期 限 切 れ に な る と 、 そ の コ ン ポ ー ネ ン ト を 使 お う と す る ユ ー ザ ー に は Aventail WorkPlace で エ ラ ー メ ッ セージが表示 さ れま す。 Spike License の場合は、 有効化 さ れた 日付 と 残 り 日数が AMC に表示 さ れま す。 有効期限が近 く な る と 、AMC のス テ ー タ ス領域に ラ イ セ ン スの警告 メ ッ セージが表示 さ れ、 [Licensing] ページへの リ ン ク が示 さ れます。 Setup Wizard と AMC は、 いずれ も ア プ ラ イ ア ン ス を構成す る ための Web ア プ リ ケーシ ョ ン です。 こ れ ら のア プ リ ケーシ ョ ン を実行す る PC では、 JavaScript が有効に な っ て いな け ればな り ません。 JavaScript は、 WorkPlace へのア ク セ ス に使用す る ブ ラ ウザで も 有効に す る必要があ り ます。 ク ラ ス タ を イ ン ス ト ール し て い る場合は、 534 ページの 「 ク ラ ス タ の イ ン ス ト ール と 構成」 お よ び 607 ページの 「 ク ラ ス タ リ ン グの概要」 を参照 し て く だ さ い。 仕様および ラ ッ クのイ ン ス ト ール 製品パ ッ ケー ジ を 開い た ら 、 ネ ッ ト ワー ク へのア プ ラ イ ア ン スの イ ン ス ト ール を 開始 し 、 構成 プ ロ セ スの準備に取 り かか り ます。 ア プ ラ イ ア ン スは、 標準の 19 イ ン チ テ レ コ ム ラ ッ ク に収 容で き る よ う に設計 さ れて い ま す。 ア プ ラ イ ア ン ス を 接続す る 前に、 十分な ス ペー ス と 適切な 電力を使用で き る こ と を確認 し ます。 各ア プ ラ イ ア ン ス モデルの仕様は次の と お り です。 E-Class SRA EX-9000 のハー ド ウ ェ ア E-Class SRA EX9000 は次の付属品を含みま す。 • • レ ール ( キ ッ ト 内、 取 り 付け ら れて い ません ) IEC 60320 C13 コ ネ ク タ か ら NEMA 15 プ ラ グへの標準的な米国用電源 コ ー ド 38 | Aventail E-Class SRA 10.7 管理者ガ イ ド • • • • • • • ク ロ ス ケーブル ( 送信線 と 受信線が ク ロ スす る ネ ッ ト ワー ク ケーブル ) 1 GB Ethernet ポー ト 10 GB Ethernet ポー ト USB ポー ト × 2 DIAG ポー ト × 1 80 GB SATA ハー ド ド ラ イ ブ × 2 ア プ ラ イ ア ン スへのシ リ アル接続 (115,200 ボー レ ー ト ) E-Class SRA EX シ リ ーズのハー ド ウ ェ ア E-Class SRA EX7000 お よ び EX6000 には、 次の付属品を含みま す。 レ ール ( キ ッ ト 内、 取 り 付け ら れて い ません ) IEC 60320 C13 コ ネ ク タ か ら NEMA 15 プ ラ グへの標準的な米国用電源 コ ー ド • ク ロ ス ケーブル ( 送信線 と 受信線が ク ロ スす る ネ ッ ト ワー ク ケーブル ) • 1 GB Ethernet ポー ト • USB ポー ト × 2 • 80 GB SATA ハー ド ド ラ イ ブ • ア プ ラ イ ア ン スへのシ リ アル接続 (115,200 ボー レ ー ト ) プ ロ セ ッ サの性能、 RAM、 ネ ッ ト ワー ク ポー ト 、 お よ び電力供給は、 モデル間で異な り ます。 • • 規制モデル / タ イ プ SRA EX9000 SRA EX7000 SRA EX6000 2RK03-092 1RK15-059 1RK20-05A Core2 Duo 2.1GHz CPU Celeron 2.0GHz CPU 2 GB DDR533 1 GB DDR533 Intel プ ロ セ ッ サ RAM PCIe Gigabit ワー ク ポー ト 32 GB ネ ッ ト 12 (8 ポ ー ト 1GE + 4 ポ ー ト 6 (5 + 1 HA) 10GE) 電力供給 デ ュ アル ホ ッ ト スワ ッ プ可能 デ ュ アル ホ ッ ト スワ ッ プ可能 4 (3 + 1 HA) 固定 フ ロ ン ト パネル ( 図解 ) 40 ページの 「EX9000 ア プ ラ イ 41 ページの 「EX7000 ア プ ラ イ 42 ページの 「EX6000 ア プ ラ イ ア ン ス の フ ロ ン ト パ ネ ルの操 ア ン ス の フ ロ ン ト パ ネ ルの操 ア ン ス の フ ロ ン ト パ ネ ルの操 作ボ タ ン」 を参照 し て く だ さ い。 作ボ タ ン」 を参照 し て く だ さ い。 作ボ タ ン」 を参照 し て く だ さ い。 アプ ラ イ アンスのラ ッ ク設置時のベス ト プ ラ ク テ ィ ス ア プ ラ イ ア ン ス を機器 ラ ッ ク に マ ウ ン ト す る には、 ラ ッ ク ハー ド ウ ェ ア を設置す る必要があ り ます。 全モデルの製品パ ッ ケージ には、 ア プ ラ イ ア ン ス を 4 ポ ス ト キ ャ ビ ネ ッ ト に取 り 付け る ためのス ラ イ ド レ ール キ ッ ト が付属 し て い ま す。 • • • • 周辺動作温度が上昇す る場所は避け る : 閉ざ さ れた環境ま たはマルチユニ ッ ト ラ ッ ク ア セ ン ブ リ に設置す る場合、 ラ ッ ク 付近の周辺温度が室温よ り も 高 く な る こ と があ り ます。 その ため、 メ ー カ ーが指定 し て い る最大周辺温度 (Tma) に適合 し た環境に機器 を設置す る よ う 配慮 し な ければな り ません。 空気の流れがない場所は避け る : 機器を ラ ッ ク に設置す る場合、機器を安全に運転す る上で 必要な空気流を確保で き る場所を選びます。 均等な機械的荷重 : 機器を ラ ッ ク に取 り 付け る際は、機械的荷重が不均等に な る こ と で危険 な条件が発生 し な い よ う 注意 し ます。 回路の過負荷を避け る : 機器の電源回路への接続や、回路の過負荷が過電流保護や電源配線 に与え る影響について も 配慮が必要です。 こ の問題に対応す る際は、 機器のネームプ レ ー ト 定格を使用す る必要があ り ます。 イ ン ス ト ール と 初期セ ッ ト ア ッ プ | 39 • 信頼性の高い アース を維持す る : ラ ッ ク マ ウ ン ト の機器については信頼性の高い アース を維 持す る必要が あ り ます。 電源を分岐回路に直接接続 し な い場合 ( 例えばテ ー ブル タ ッ プ を 使用す る場合な ど ) は、 特に注意が必要です。 フ ロ ン ト パネルの操作ボ タ ン と イ ン ジケー タ ア プ ラ イ ア ン スの電源を投入す る前に、 フ ロ ン ト パネルの操作ボ タ ン を確認 し てお き ます。 EX9000 アプ ラ イ アンスのフ ロ ン ト パネルの操作ボ タ ン こ のセ ク シ ョ ン では、 EX9000 ア プ ラ イ ア ン スの フ ロ ン ト パネルの操作ボ タ ン につい て説明 し ます。 電源ス イ ッ チは、 背面パネルにあ り ます。 LCD ディスプレイ画面および操作ボタン 基本的なネットワーク構成の初期設定 ハード ドライブ D0 D0 2 TB 2 TB X11 シリアル コンソール ポート X10 USB ポート X9 10 ギガビット ポート X8 - 内部ネットワーク インターフェース X9 - 外部ネットワーク インターフェース X10 - 高可用性クラスタ インターフェース 診断ポート LED インジケータ (上から順) X8 X6 X4 X2 X0 X7 X5 X3 X1 X0 - X7 高速ギガビット Ethernet ポート X0 - 内部ネットワーク インターフェース X1 - 外部ネットワーク インターフェース X2 - 高可用性クラスタ インターフェース HDD - ハード ディスク ドライブのアクティビティ アラーム - アラームの状態 テスト - 速い点滅: 初期化中; 点灯: テスト モード PWR 1/2 - 青: 正常な稼働 黄色: 電源に接続していない、あるいは障害が発生 次の表は、 フ ロ ン ト パネルの操作ボ タ ン と イ ン ジ ケー タ を示 し てい ます。 項目 説明 ハー ド ド ラ イ ブ モ ジ ュ ール デ ュ アル ハー ド ド ラ イ ブ。 LCD デ ィ ス プ レ イ画面 および操作ボ タ ン ア プ ラ イ ア ン スのス テー タ ス と 構成を示 し ます。 キーパ ッ ド ボ タ ンはア プ ラ イ ア ン スのス テー タ ス表示 と 初期設定の構成に使用 し ます。 • ア プ ラ イ ア ン スのス テー タ ス表示、 およびキーパ ッ ド によ る ア プ ラ イ ア ン スの終了や再起動の詳細については、 43 ページの 「EX9000、 EX7000、 お よ び EX6000 の LCD 操作ボ タ ン」 を参 照 し て く だ さ い。 • 初期構成時の LCD 操作ボ タ ンの使用 (Setup Wizard を実行する ため ) の詳細については、 46 ページの 「EX9000、 EX7000、 お よ び EX6000 ア プ ラ イ ア ン スの構成」 を参照 し て く だ さ い。 コ ン ソ ール シ リ アル ポー ト DB-9 シ リ アル ケーブルを使用 し て ア プ ラ イ ア ン ス を PC に接続 し ます。 USB ポー ト 2 個の USB ポー ト があ り ます。 40 | Aventail E-Class SRA 10.7 管理者ガ イ ド 項目 説明 LED イ ン ジケー タ LED イ ン ジケー タ は、 上から 次の順に配置 さ れています。 • HDD ハー ド デ ィ ス ク ド ラ イ ブ ( 赤のラ イ ト はデ ィ ス ク稼働中 を示 し ます ) • ア ラ ーム • テス ト • 電源 2 および 1 DIAG ポー ト 診断ポー ト 。 X8: 10GigE ネ ッ ト ワー ク 内部 10GigE ネ ッ ト ワー ク にア プ ラ イ ア ン ス を接続 し ます。 X9: 10GigE ネ ッ ト ワー ク 外部 10GigE ネ ッ ト ワー ク にア プ ラ イ ア ン ス を接続 し ます。 X10: 10GigE ネ ッ ト ワー ク 高可用性 ク ラ ス タ 内の別のア プ ラ イ ア ン スにア プ ラ イ ア ン ス を接 続 し ます。 10GigE ネ ッ ト ワー ク を使用する際は X10 を使用 し ま す。 X11 使用 し ません。 X0: 内部ネ ッ ト ワー ク 内部ネ ッ ト ワー ク にア プ ラ イ ア ン ス を接続 し ます。 X1: 外部ネ ッ ト ワー ク 外部ネ ッ ト ワー ク にア プ ラ イ ア ン ス を接続 し ます。 X2: ク ラ ス タ イ ン タ ー フ ェ ー 高可用性 ク ラ ス タ 内の別のア プ ラ イ ア ン スにア プ ラ イ ア ン ス を接 続 し ます。 ス X3 ~ X7 使用 し ません。 EX7000 アプ ラ イ アンスのフ ロ ン ト パネルの操作ボ タ ン こ のセ ク シ ョ ン では、 EX7000 ア プ ラ イ ア ン スの フ ロ ン ト パネルの操作ボ タ ン につい て説明 し ます。 電源ス イ ッ チは、 背面パネルにあ り ます。 PW1 PW2 LCD ไᚚ USB ࣏࣮ࢺ ࢥࣥࢯ࣮ࣝ X5 X3 X1 X4 X2 X0 HD ࣮࣒ࣛ ࢸࢫࢺ イ ン ス ト ール と 初期セ ッ ト ア ッ プ | 41 次の表は、 フ ロ ン ト パネルの操作ボ タ ン と イ ン ジ ケー タ を示 し てい ます。 項目 説明 LCD デ ィ ス プ レ イ画面 および操作ボ タ ン ア プ ラ イ ア ン スのス テー タ ス と 構成を示 し ます。 キーパ ッ ド ボ タ ンはア プ ラ イ ア ン スのス テー タ ス表示 と 初期設定の構成に使用 し ます。 • ア プ ラ イ ア ン スのス テー タ ス表示、 およびキーパ ッ ド によ る ア プ ラ イ ア ン スの終了や再起動の詳細については、 43 ページの 「EX9000、 EX7000、 お よ び EX6000 の LCD 操作ボ タ ン」 を参 照 し て く だ さ い。 • 初期構成時の LCD 操作ボ タ ンの使用 (Setup Wizard を実行する ため ) の詳細については、 46 ページの 「EX9000、 EX7000、 お よ び EX6000 ア プ ラ イ ア ン スの構成」 を参照 し て く だ さ い。 コ ン ソ ール DB-9 シ リ アル ケーブルを使用 し て ア プ ラ イ ア ン ス を PC に接続 し ます。 USB ポー ト 2 個の USB ポー ト があ り ます。 LED イ ン ジケー タ LED イ ン ジケー タ は、 左から 次の順に配置 さ れています。 • 電源 1 および 2 • テス ト • ア ラ ーム • ハー ド デ ィ ス ク ド ラ イ ブ ( 赤のラ イ ト はデ ィ ス ク稼働中を示 し ます ) X0: 内部ネ ッ ト ワー ク 内部ネ ッ ト ワー ク にア プ ラ イ ア ン ス を接続 し ます。 X1: 外部ネ ッ ト ワー ク 外部ネ ッ ト ワー ク にア プ ラ イ ア ン ス を接続 し ます。 X2: ク ラ ス タ イ ン タ ー フ ェ ー 高可用性 ク ラ ス タ 内の別のア プ ラ イ ア ン スにア プ ラ イ ア ン ス を接 続 し ます。 ス X3 ~ X5 使用 し ません。 EX6000 アプ ラ イ アンスのフ ロ ン ト パネルの操作ボ タ ン こ のセ ク シ ョ ン では、 EX6000 ア プ ラ イ ア ン スの フ ロ ン ト パネルの操作ボ タ ン につい て説明 し ます。 電源ス イ ッ チは、 背面パネルにあ り ます。 PWR LCD ไᚚ USB ࣏࣮ࢺ ࢥࣥࢯ࣮ࣝ 42 | Aventail E-Class SRA 10.7 管理者ガ イ ド HD ࣮࣒ࣛ ࢸࢫࢺ X3 X1 X2 X0 次の表は、 フ ロ ン ト パネルの操作ボ タ ン と イ ン ジ ケー タ を示 し てい ます。 項目 説明 LCD デ ィ ス プ レ イ画面 および操作ボ タ ン ア プ ラ イ ア ン スのス テー タ ス と 構成を示 し ます。 キーパ ッ ド ボ タ ンはア プ ラ イ ア ン スのス テー タ ス表示 と 初期設定の構成に使用 し ます。 • ア プ ラ イ ア ン スのス テー タ ス表示、 およびキーパ ッ ド によ る ア プ ラ イ ア ン スの終了や再起動の詳細については、 43 ページの 「EX9000、 EX7000、 お よ び EX6000 の LCD 操作ボ タ ン」 を参 照 し て く だ さ い。 • 初期構成時の LCD 操作ボ タ ンの使用 (Setup Wizard を実行する ため ) の詳細については、 46 ページの 「EX9000、 EX7000、 お よ び EX6000 ア プ ラ イ ア ン スの構成」 を参照 し て く だ さ い。 コ ン ソ ール DB-9 シ リ アル ケーブルを使用 し て ア プ ラ イ ア ン ス を PC に接続 し ます。 USB ポー ト 2 個の USB ポー ト があ り ます。 LED イ ン ジケー タ LED イ ン ジケー タ は、 左から 次の順に配置 さ れています。 • • • • 電源 テス ト ア ラ ーム ハー ド デ ィ ス ク ド ラ イ ブ X0: 内部ネ ッ ト ワー ク 内部ネ ッ ト ワー ク にア プ ラ イ ア ン ス を接続 し ます。 X1: 外部ネ ッ ト ワー ク 外部ネ ッ ト ワー ク にア プ ラ イ ア ン ス を接続 し ます。 X2: ク ラ ス タ イ ン タ ー フ ェ ー 高可用性 ク ラ ス タ 内の別のア プ ラ イ ア ン スにア プ ラ イ ア ン ス を接 続 し ます。 ス X3 使用 し ません。 EX9000、 EX7000、 および EX6000 の LCD 操作ボ タ ン E-Class SRA EX シ リ ーズ ア プ ラ イ ア ン スの LCD デ ィ ス プ レ イ の右には 4 ボ タ ンのキーパ ッ ド があ り 、 ア プ ラ イ ア ン スのス テ ー タ スや構成情報 を 表示す る 場合や、 ア プ ラ イ ア ン ス を 終了 ま たは再起動す る場合に使用で き ます。 注意 EX9000、 EX7000、 お よ び EX6000 ア プ ラ イ ア ン ス : ア プ ラ イ ア ン ス を再起動す る前には、 USB デバ イ ス を ア プ ラ イ ア ン スか ら 取 り 外 し ます。 再起動時に USB デバ イ スがア プ ラ イ ア ン ス に接続 さ れて い る と 、 ア プ ラ イ ア ン スはそれ を 起動デバ イ ス と し て使用 し よ う と し ま す。 その結果、 ア プ ラ イ ア ン スの BIOS に保存 さ れる起動情報が上書 き さ れ、 デバ イ ス を使 用で き な く な り ます。 イ ン ス ト ール と 初期セ ッ ト ア ッ プ | 43 次の表はキーパ ッ ド の機能を示 し て い ます。 キーパ ッ ド の機能 説明 左ボ タ ン ア プ ラ イ ア ン ス を再起動するには、 左ボ タ ン を 1 回押 し ます。 こ の と き、 次の メ ッ セージが表示 さ れます。 Restart appliance? <Yes No> そのま ま ア プ ラ イ ア ン ス を再起動する場合は、左ボ タ ン を再び押 し ます。 再起動を中止する場合は、 右ボ タ ン を押 し ます。 上ボ タ ン ア プ ラ イ ア ン スのネ ッ ト ワー ク 設定の構成を表示するには、上ボ タ ン を 1 回押 し ます。 上ボ タ ン を 1 回押すたびに、 次のネ ッ ト ワー ク 設定が順に表示 さ れます。 • 内部ア ド レ ス • 外部ア ド レ ス • デ フ ォル ト デー ト ウ ェ イ • ホス ト 名 • ド メ イ ン名 • IP ア ド レ ス • ネ ッ ト マス ク 右ボ タ ン ア プ ラ イ ア ン ス を終了するには、 右ボ タ ン を 1 回押 し ます。 その 際、 次の メ ッ セージが表示 さ れます。 Shut down now? <Yes No> そのま ま ア プ ラ イ ア ン ス を終了す る場合は、 左ボ タ ン を 押 し ま す。 終了を中止する場合は、 右ボ タ ン を再び押 し ます。 下ボ タ ン デ フ ォル ト 表示に戻る場合や画面を リ フ レ ッ シ ュ する場合は、下 ボ タ ン を 1 回押 し ます。 ア プ ラ イ ア ン スの接続 ア プ ラ イ ア ン ス を ネ ッ ト ワー ク に接続す る場合、 それぞれのア プ ラ イ ア ン ス モデルに対応す る 手順に従い ます。 EX9000 アプ ラ イ アンスの接続 ア プ ラ イ ア ン スの図は、 40 ペー ジの 「EX9000 ア プ ラ イ ア ン スの フ ロ ン ト パネルの操作ボ タ ン」 を参照 し て く だ さ い。 EX9000 ア プ ラ イ ア ン ス を接続す る には 1. 内部ネ ッ ト ワー ク と ア プ ラ イ ア ン スの内部 イ ン タ ー フ ェ ース (X0) を ネ ッ ト ワー ク ケー ブル で接続 し ます。 2. 必要に応 じ て、 外部ネ ッ ト ワー ク と ア プ ラ イ ア ン スの外部 イ ン タ ー フ ェ ース (X1) を ケー ブ ルで接続 し ます。 3. ク ラ ス タ を セ ッ ト ア ッ プす る と き は、 付属のネ ッ ト ワー ク ク ロ ス ケー ブルの一方を ク ラ ス タ イ ン タ ー フ ェ ース ア ダ プ タ (X2) に接続 し ま す。 も う 一方 を、 ク ラ ス タ 内の別のア プ ラ イ ア ン スの X2 ポー ト に接続 し ます。 4. 標準 AC 電源 コ ー ド を電源端子に接続 し ま す。 EX7000 アプ ラ イ アンスの接続 44 | Aventail E-Class SRA 10.7 管理者ガ イ ド ア プ ラ イ ア ン スの図は、 41 ペー ジの 「EX7000 ア プ ラ イ ア ン スの フ ロ ン ト パネルの操作ボ タ ン」 を参照 し て く だ さ い。 EX7000 ア プ ラ イ ア ン ス を接続す る には 1. 内部ネ ッ ト ワー ク と ア プ ラ イ ア ン スの内部 イ ン タ ー フ ェ ース (X0) を ネ ッ ト ワー ク ケー ブル で接続 し ます。 2. 必要に応 じ て、 外部ネ ッ ト ワー ク と ア プ ラ イ ア ン スの外部 イ ン タ ー フ ェ ース (X1) を ケー ブ ルで接続 し ます。 3. ク ラ ス タ を セ ッ ト ア ッ プす る と き は、 付属のネ ッ ト ワー ク ク ロ ス ケー ブルの一方を ク ラ ス タ イ ン タ ー フ ェ ース ア ダ プ タ (X2) に接続 し ま す。 も う 一方 を、 ク ラ ス タ 内の別のア プ ラ イ ア ン スの X2 ポー ト に接続 し ます。 4. 標準 AC 電源 コ ー ド を電源端子に接続 し ま す。 EX6000 アプ ラ イ アンスの接続 ア プ ラ イ ア ン スの図は、 42 ペー ジの 「EX6000 ア プ ラ イ ア ン スの フ ロ ン ト パネルの操作ボ タ ン」 を参照 し て く だ さ い。 EX6000 ア プ ラ イ ア ン ス を接続す る には 1. 内部ネ ッ ト ワー ク と ア プ ラ イ ア ン スの内部 イ ン タ ー フ ェ ース (X0) を ネ ッ ト ワー ク ケー ブル で接続 し ます。 2. 必要に応 じ て、 外部ネ ッ ト ワー ク と ア プ ラ イ ア ン スの外部 イ ン タ ー フ ェ ース (X1) を ケー ブ ルで接続 し ます。 3. ク ラ ス タ を セ ッ ト ア ッ プす る と き は、 付属のネ ッ ト ワー ク ク ロ ス ケー ブルの一方を ク ラ ス タ イ ン タ ー フ ェ ース ア ダ プ タ (X2) に接続 し ま す。 も う 一方 を、 ク ラ ス タ 内の別のア プ ラ イ ア ン スの X2 ポー ト に接続 し ます。 4. 標準 AC 電源 コ ー ド を電源端子に接続 し ま す。 電源投入 と ネ ッ ト ワー クの基本設定 ア プ ラ イ ア ン スの接続が終わ っ た ら 、 こ こ で初めて電源を投入 し 、 構成プ ロ セ ス に移 り ます。 ア プ ラ イ ア ン スの運用 を 迅速に実現す る 上 で必要 な設定 を 構成す る には、 Web ベー スの Setup Wizard を 使用 し ま す。 し か し 、 ウ ィ ザー ド を開始す る には、 まず Web ブ ラ ウザを ア プ ラ イ ア ン ス に接続す る ための情報を指定す る必要があ り ます。 ア プ ラ イ ア ン スの構成が完了す る と 、構成 と 処理の制御を Aventail 管理 コ ン ソ ール (AMC) か ら 実行で き る よ う に な り ます。 ア プ ラ イ ア ン スの LCD 画面では、 ア プ ラ イ ア ン ス に関す る基本情 報 ( 名前や内部ア ド レ ス な ど ) を確認 し た り 、 再起動 し た り で き ます。 こ れは、 AMC の実行に 使用す る ブ ラ ウザ と 同 じ 領域に ア プ ラ イ ア ン スがな い場合に便利な機能です。 メモ ア プ ラ イ ア ン ス を工場出荷時のデ フ ォ ル ト 設定に戻す場合を除いて、すで に構成が終わ っ てい る ア プ ラ イ ア ン ス で Setup Wizard を実行す る こ と はで き ません。 こ れは、 ア プ ラ イ ア ン スの初期構成に Setup Wizard を使用 し た場合 も 、コ マ ン ド ラ イ ンか ら setup_tool を実行 し た場合 も 同 じ です。48 ページの 「Setup Wizard の再実行」 を参照 し て く だ さ い。 ネ ッ ト ワーク基本設定の構成 イ ン ス ト ール と 初期セ ッ ト ア ッ プ | 45 Setup Wizard を開始す る前に、Web ブ ラ ウザを ア プ ラ イ ア ン ス に接続す る ための情報を指定す る必要があ り ます。 初期セ ッ ト ア ッ プ では、 LCD 操作ボ タ ン を使用 し て最低限の設定を行 っ て か ら Setup Wizard を実行す る手順が推奨 さ れま す。 LCD 操作ボ タ ンは、 ア プ ラ イ ア ン ス前面 の LCD 画面の右手にあ り ます。 ま たは、 コ マ ン ド ラ イ ン で Setup Tool を使用す る操作 も 任意 に選択で き ます。 それぞれの手順については後述 し ます。 基本設定 を 入力 し たい ら 、 Web ベースの Setup Wizard を 実行で き ま す (47 ペー ジの 「Setup Wizard に よ る Web ベース での構成」 を参照 )。 EX9000、 EX7000、 および EX6000 アプ ラ イ ア ン スの構成 ア プ ラ イ ア ン ス前面の LCD 画面の右にあ る 4 つのボ タ ン を使用 し て、 設定項目を入力 し ます。 LCD 操作ボ タ ン に よ る ネ ッ ト ワー ク 基本設定の構成 1. 上ボ タ ン ま たは下ボ タ ン を押 し て初期画面を表示 さ せ、 右ボ タ ン を押 し て進めます。 2. 内部 イ ン タ ー フ ェ ース用 IP ア ド レ スの設定 : 表示 さ れる IP ア ド レ ス を変更す る には、左ボ タ ン と 右ボ タ ン を使用 し て変更す る数字に カ ー ソ ルを置 き 、上ボ タ ン と 下ボ タ ン を使用 し て 数字を変更 し ます。 右ボ タ ン を押 し て次の画面に進みます。 3. サブ ネ ッ ト マ ス ク の入力 : 再び 4 つのボ タ ン を使用 し て、LCD 画面に表示 さ れる IP ア ド レ ス を変更 し ます。 右ボ タ ン を押 し て次の画面に進みます。 4. ク ラ ス タ の構成 : 構成対象のア プ ラ イ ア ン スが ク ラ ス タ ( ア プ ラ イ ア ン スの高可用性ペ ア ) の一部で あ るかど う かを指定 し 、 ノ ー ド ( マ ス タ ー ノ ー ド は 「1」、 ス レ ー ブ ノ ー ド は 「2」 ) を指定 し ま す。 右ボ タ ン を押 し て次の画面に進みます。 5. 設定の確認 : 設定を見直 し て確定 し ます。し ば ら く す る と 設定が保存 さ れ、デス ク ト ッ プ PC で特定の URL に ブ ラ ウズす る よ う に指示が表示 さ れます。 こ れは、 Setup Wizard で ア プ ラ イ ア ン スの構成を続行す る ための URL です。 例えば、 LCD デ ィ ス プ レ イ には次のよ う に表 示 さ れます。 Please browse to: https://172.31.0.140:8443 Setup Wizard でのア プ ラ イ ア ン スの構成につい ては、 47 ページの 「Setup Wizard に よ る Web ベース での構成」 を参照 し て く だ さ い。 コ マ ン ド ラ イ ン での Setup Tool によ る ア プ ラ イ ア ン スの構成 Setup Wizard を実行す る ために必要な最低限の構成項目 を設定す る には、 Setup Tool を使用す る 必要があ り ま す。 手順の概要 を 次に示 し ま す。 詳細な手順につい ては 544 ページの 「Setup Tool に よ る新 し い ア プ ラ イ ア ン スの構成」 を参照 し て く だ さ い。 Setup Tool に よ る ネ ッ ト ワー ク 基本設定の概要 1. 端末エ ミ ュ レ ーシ ョ ン プ ロ グ ラ ム を使用 し て、 ノ ー ト 型 PC ま たは端末か ら ア プ ラ イ ア ン スへのシ リ アル接続を確立 し ます。 2. ア プ ラ イ ア ン スの電源 を オ ン に し ま す。 シ リ アル接続か ら 初めて シ ス テ ム を 起動す る と き は、 Setup Tool が自動的に実行 し ま す。 ロ グ イ ン 要求が表示 さ れた ら 、 ユーザー名 と し て root と 入力 し ます。 3. ア プ ラ イ ア ン ス を構成す る際は、 次の情報を指定す る よ う に求め ら れます。 – 内部 イ ン タ ー フ ェ ースの IP ア ド レ ス と サブ ネ ッ ト マ ス ク – 内部 イ ン タ ー フ ェ ースへのア ク セ ス に使用す る デ フ ォ ル ト ゲー ト ウ ェ イ ( オ プ シ ョ ン ) – ク ラ ス タ の場合は、ア プ ラ イ ア ン スがマ ス タ ー ノ ー ド (1) かス レ ーブ ノ ー ド (2) かを指 定 し ます。 ク ラ ス タ の展開はすべてのア プ ラ イ ア ン ス で可能です。 46 | Aventail E-Class SRA 10.7 管理者ガ イ ド Setup Wizard でのア プ ラ イ ア ン スの構成につい ては、 47 ページの 「Setup Wizard に よ る Web ベース での構成」 を参照 し て く だ さ い。 Setup Wizard によ る Web ベースでの構成 Setup Wizard を使用す る と 、 ア プ ラ イ ア ン スの構成で必須お よ びオ プ シ ョ ンの設定を順を追 っ て操作で き ます。 AMC のホーム ページ には、 指定済みの項目を示す [Setup Checklist] が表示 さ れます。 Setup Wizard を実行す る には、 AMC と 同 じ シ ス テム構成が必要 と な り ます ( 詳細は 19 ページ の 「シ ス テム要件」 を参照 )。 さ ら に、 ブ ラ ウザで JavaScript を有効に し てお く 必要があ り ます。 1. ラ イ セ ン ス契約 : 使用許諾契約の条件を読みます。 2. 基本設定 : – AMC へのア ク セ スに使用す るパスワー ド を指定 し ます。パス ワー ド は 8 文字以上 20 文 字以下で指定す る必要があ り ます。 – ( オ プ シ ョ ン ) 時間帯を選択 し て [Change] を ク リ ッ ク し 、現在時刻を設定 し ます。時刻 は、 後か ら AMC で NTP サーバーに同期で き ます。 詳細については、 269 ページの 「時 刻設定の構成」 を参照 し て く だ さ い。 ラ イ セ ン ス フ ァ イ ルを イ ン ポー ト す る前に、 適切 な時間帯で ア プ ラ イ ア ン スの日時設定が正 し い こ と を確認す る こ と が重要です。 3. ネ ッ ト ワー ク 設定 : – ア プ ラ イ ア ン スの名前を入力 し ます ( デ フ ォ ル ト は AventailSSLVPN)。 こ の名前はロ グ フ ァ イ ルでのみ使用 さ れる ため、 こ れを DNS に追加す る必要はあ り ません。 – 内部 イ ン タ ー フ ェ ース ( プ ラ イ ベー ト ネ ッ ト ワー ク に接続) の IP ア ド レ ス と サブ ネ ッ ト マ ス ク は、 こ こ に表示 さ れます。 デ ュ アルホーム構成では、 外部 イ ン タ ー フ ェ ースの IP ア ド レ ス と サブ ネ ッ ト マ ス ク を入力 し ます。 4. ルーテ ィ ン グ : 既存のルー タ を利用す る場合は、 リ ソ ースへのア ク セ スのためにデ ュ アル ゲー ト ウ ェ イ オ プ シ ョ ン を 選択 し ま す。 ア プ ラ イ ア ン スが受信す る ト ラ フ ィ ッ ク を 少数の ルー タ ま たはサブ ネ ッ ト に制限す る 場合は、 シ ン グル ゲー ト ウ ェ イ オ プ シ ョ ン を 選択 し 、 後で AMC でルー タ ま たはサブ ネ ッ ト を ス タ テ ィ ッ ク ルー ト と し て入力 し ます。 ア プ ラ イ ア ン スの場所が AMC に ア ク セ ス す る のに使用す る コ ン ピ ュ ー タ と は異な る ネ ッ ト ワー ク 上にあ る場合は、 ルーテ ィ ン グ を セ ッ ト ア ッ プ し て AMC へのア ク セ ス を保持す る 必要があ り ます。 5. 名前解決 : ア プ ラ イ ア ン ス では、内部ネ ッ ト ワー ク 上の リ ソ ース に ア ク セ スす る ために名前 解 決 を 実 行 で き な け れ ば な り ま せ ん。 ア プ ラ イ ア ン ス が 配 置 さ れ て い る ド メ イ ン (yourcompany.com な ど ) を デ フ ォ ル ト と し て入力 し ます。 6. ユーザー ア ク セ ス : OnDemand Tunnel ア ク セ ス エージ ェ ン ト のプ ロ ビ ジ ョ ニ ン グ を行 っ て、 ネ ッ ト ワー ク への フ ル ア ク セ ス を 実行で き る 権限 を ユーザーに付与で き ま す。 こ の場 合は、 さ ら に Source NAT ア ド レ ス を指定す る必要があ り ます。 こ のア ド レ スは、 ク ラ イ ア ン ト ト ラ フ ィ ッ ク の ソ ース と し てバ ッ ク エ ン ド サーバーに表示 さ れます。 こ れは、 内部 イ ン タ ー フ ェ ース と 同 じ サブ ネ ッ ト 上の IP ア ド レ ス で あ り 、 ま た他で使用 さ れて いな い も の で なければな り ません。 ユーザーの初期ア ク セ ス ポ リ シー を決定 し ます ( ポ リ シーは後か ら AMC で調整で き ます )。 こ こ では、 全面的な許可 を 与え る ポ リ シー (SSL VPN で保護 さ れる ネ ッ ト ワー ク 全体への ア ク セ ス を付与 )、 非常に限定的なポ リ シー ( すべてのア ク セ ス を拒否 )、 ま たはその中間の ポ リ シー (AMC で定義 し たすべての リ ソ ースに対す る ア ク セ ス を付与) のいずれかを指定で き ます。 イ ン ス ト ール と 初期セ ッ ト ア ッ プ | 47 Setup Wizard のプ ロ セ スの最後に設定内容が表示 さ れ、 続いて構成プ ロ セ スの最終手順 と し て 管理 コ ン ソ ールの AMC に進みます。 詳細については、 48 ページの 「管理 コ ン ソ ールでのア プ ラ イ ア ン スの構成」 を参照 し て く だ さ い。 Setup Wizard の再実行 最初に Setup Wizard を実行 し て ア プ ラ イ ア ン スの構成を完了 し た ら 、ア プ ラ イ ア ン ス を デ フ ォ ル ト 構成に戻 さ な い限 り 、 Setup Wizard を再実行す る こ と はで き ません Setup Wizard を再実 行す る には、 コ マ ン ド ラ イ ンか ら Config Reset Tool を実行 し な ければな り ません。 こ の操作に よ り 、 既存のシ ス テ ム構成デー タ がすべて削除 さ れま す。 詳細につい ては、 547 ペー ジの 「工 場出荷時のデ フ ォ ル ト 構成の リ ス ト ア」 を参照 し て く だ さ い。 管理コ ン ソ ールでのアプ ラ イ ア ン スの構成 最後の イ ン ス ト ール と 展開の設定は AMC で実行 し ま す。構成項目のチ ェ ッ ク リ ス ト と 詳細情報 の参照先は、 次の と お り です。 1. AMC に ロ グ イ ン し ます。 AMC ( ア プ ラ イ ア ン スの管理に使用 さ れる Web ア プ リ ケーシ ョ ン ) に ロ グ イ ン し 、 右側に 表示 さ れる セ ッ ト ア ッ プのチ ェ ッ ク リ ス ト を確認 し ます。 2. MySonicwall で ア プ ラ イ ア ン ス を登録 し 、 ラ イ セ ン ス フ ァ イ ルを取得 し ます。 www.MySonicwall.com で ア プ ラ イ ア ン ス を登録す る際は、 シ リ アル番号 と 認証 コ ー ド ( 購 入 し た ア プ ラ イ ア ン スのハー ド ウ ェ ア ID) の両方を入力す る必要があ り ま す。 – シ リ アル番号は、 ア プ ラ イ ア ン ス外面の ラ ベルに記載 さ れて い ます。 – 認証 コ ー ド は AMC に表示 さ れます ( メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [General Settings] を ク リ ッ ク し て、 [Licensing] エ リ ア を確認 し ます )。 E-Class SRA ア プ ラ イ ア ン ス を受け取る と き は、 無期限に有効な単一のユーザー ラ イ セ ン スが付与 さ れます。 AMC の使用に慣れ、 ユーザー を追加 し て環境で AMC を テ ス ト す る に は、 ラ ボ ラ イ セ ン ス を要求 し ます。初期セ ッ ト ア ッ プ と テ ス ト の後、www.MySonicwall.com か ら ラ イ セ ン ス フ ァ イ ルを ダウ ン ロ ー ド し て ア プ ラ イ ア ン ス に イ ン ポー ト し ます。 335 ページの 「 ラ イ セ ン スの管理」 を参照 し て く だ さ い。 3. 1 つ ま たは複数の認証サーバー を定義 し ます。 ユーザーの ID を検証す る ために、認証が使用 さ れます。認証サーバー を構成す る際は、デ ィ レ ク ト リ の タ イ プ (LDAP、 Microsoft Active Directory、 RADIUS、 ま たはロ ー カ ル ユーザー ) と ク レ デ ン シ ャ ルの タ イ プ ( ユーザー名 / パス ワー ド 、 ト ー ク ン、 ま たは電子証明書 ) を 指定す る必要があ り ます。 166 ページの 「ユーザー認証の管理」 を参照 し て く だ さ い。 4. サーバー証明書を構成 し ます。 ア プ ラ イ ア ン ス では、 Secure Sockets Layer (SSL) プ ロ ト コ ル を 使用 し て情報 を暗号化 し ます。AMC を使用 し て自己署名サーバー証明書 を作成で き る他、任意に商用認証局 (CA) か ら 証明書を取得す る こ と も 可能です。 147 ページの 「証明書」 を参照 し て く だ さ い。 5. ア プ リ ケーシ ョ ンの リ ソ ース と グルー プ を定義 し ます。 ア プ リ ケーシ ョ ンの リ ソ ース には、 TCP/IP ベースの リ ソ ース ( ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ン、 フ ァ イ ル サーバー、デー タ ベース な ど )、HTTP 上で実行 さ れる Web ベー スの リ ソ ース (Web ア プ リ ケーシ ョ ン、 Web サ イ ト な ど )、 お よ び Windows ネ ッ ト ワー ク 48 | Aventail E-Class SRA 10.7 管理者ガ イ ド 共有 リ ソ ース (WorkPlace か ら ア ク セ ス ) が含まれま す。 リ ソ ースの定義には変数を含め る こ と がで き ます。 こ れに よ り 、 単一の リ ソ ース でユーザーご と にネ ッ ト ワー ク の名前やア ド レ ス を抽出す る と い っ た こ と が可能に な り ます。 215 ページの 「 リ ソ ースの作成 と 管理」 を参照 し て く だ さ い。 6. ユーザー と グルー プ を定義 し ます。 ユーザー と グルー プの定義がア ク セ ス制御ルールで使用 さ れ る こ と で、 ア プ リ ケー シ ョ ン リ ソ ースへのア ク セ スが制御 さ れます。 83 ページの 「ユーザーお よ びグループの管理」 を参照 し て く だ さ い。 7. レルム と コ ミ ュ ニ テ ィ を定義 し ます。 レ ルムに よ り 、 ア プ ラ イ ア ン スは認証サーバー と 直接統合で き るので、 ネ ッ ト ワー ク に ア ク セ ス す る 必要のあ る 各ユーザーのア カ ウ ン ト を 作成 し て管理す る 必要がな く な り ま す。 コ ミ ュ ニ テ ィ に よ り 、 ア ク セ スの必要性 と End Point Control の要件が類似す る ユーザーが集 約 さ れます。 166 ページの 「ユーザー認証の管理」 を参照 し て く だ さ い。 8. ア ク セ ス制御ルールを作成 し ます。 ア ク セ ス制御ルールに よ り 、ユーザー と グルー プ に対 し て提供 さ れる リ ソ ースが決定 さ れま す。 251 ページの 「ア ク セ ス制御ルール」 を参照 し て く だ さ い。 9. WorkPlace のシ ョ ー ト カ ッ ト を構成 し ます。 WorkPlace に シ ョ ー ト カ ッ ト を作成す る こ と で、 ユーザーが WorkPlace 内か ら Web、 フ ァ イ ル シ ス テム、 ま たはグ ラ フ ィ カ ル タ ー ミ ナル リ ソ ース に簡単に ア ク セ ス で き る よ う に な り ます。 392 ページの 「WorkPlace シ ョ ー ト カ ッ ト につい ての作業」 を参照 し て く だ さ い。 10. ( オ プ シ ョ ン ) ネ ッ ト ワー ク ト ン ネル サー ビ ス を構成 し ます。 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト の展開を計画 し て い る場合は、 ネ ッ ト ワー ク ト ン ネル サー ビ ス を構成 し て IP ア ド レ ス プールを ク ラ イ ア ン ト に割 り 当て る必要があ り ます。 468 ページの 「ネ ッ ト ワー ク ト ン ネル サー ビ スの構成」 を参照 し て く だ さ い。 11. ( オ プ シ ョ ン ) End Point Control を有効に し て構成 し ま す。 End Point Control では、 重要デー タ を保護 し 、 信頼で き ない環境の PC か ら のア ク セ ス に よ り ネ ッ ト ワー ク の安全性が脅か さ れな い よ う に設計 さ れた、デー タ 保護 コ ン ポーネ ン ト の 展開を任意に選択で き ます。 End Point Control は コ ミ ュ ニ テ ィ を介 し て展開 さ れます。 339 ページの「End Point Control」お よ び 66 ページの「 コ ミ ュ ニ テ ィ での End Point Control 制約の使用」 を参照 し て く だ さ い。 12. 変更を適用 し ます。 構成の変更を有効にす る には、 適用す る必要があ り ます。 131 ページの 「構成変更の適用」 を参照 し て く だ さ い。 13. シ ス テムのア ク セ シ ビ リ テ ィ を テ ス ト し ます。 こ の段階で、 ア プ ラ イ ア ン スが外部ユーザー レ ポ ジ ト リ に ア ク セ ス で き る こ と を 検証 し 、 ネ ッ ト ワー ク 上の リ ソ ースへのア ク セ ス を確認で き ます。 551 ページの 「 ト ラ ブルシ ュ ーテ ィ ン グ」 を参照 し て く だ さ い。 イ ン ス ト ール と 初期セ ッ ト ア ッ プ | 49 ア プ ラ イ ア ン スの実稼動 ネ ッ ト ワー ク 環境で十分に ア プ ラ イ ア ン スのテ ス ト を 行い、 期待 さ れ る 稼動状態 を 見極めた と こ ろ で、 ア プ ラ イ ア ン ス を 恒久的な ホームに移す準備が整 っ た こ と に な り ま す。 こ のセ ク シ ョ ン では、 ア プ ラ イ ア ン ス を実稼動に移す際に必要 と な る手続 き について説明 し ます。 1. 新 し い ア ド レ ス情報を使用 し て ア プ ラ イ ア ン ス を再構成 し ます。 ア プ ラ イ ア ン ス を実稼動に移 し た と き ネ ッ ト ワー ク 環境が変更に な っ た場合は、ネ ッ ト ワー ク 基本設定を再構成 し 、 次の値の中で変更 さ れた も のを調整す る必要があ り ます。 – 内部 イ ン タ ー フ ェ ース と 外部 イ ン タ ー フ ェ ースの IP ア ド レ ス – デ フ ォ ル ト ゲー ト ウ ェ イ の IP ア ド レ ス – 静的ルー ト – デ フ ォ ル ト の DNS ド メ イ ン お よ び DNS サーバーの IP ア ド レ ス 変更す る構成項目が多い場合は、ア プ ラ イ ア ン ス を デ フ ォ ル ト 設定に戻 し て改めて構成 し 直 す方が簡単な こ と があ り ます。 こ の方法は、 Config Reset Tool を使用 し て実行 し ます ( 詳 細は 547 ページの 「工場出荷時のデ フ ォ ル ト 構成の リ ス ト ア」 を参照 )。 2. DNS に ア プ ラ イ ア ン ス を登録 し ます。 企業の DNS へのア プ ラ イ ア ン スの登録が済んで いな い場合は、 こ れを実行 し ます。 こ れに よ り 、 外部ユーザーは IP ア ド レ ス ではな く 完全修飾 ド メ イ ン名を使用 し て、 ネ ッ ト ワー ク リ ソ ース に ア ク セ ス で き ま す。 DNS サーバーのデー タ ベース を 編集 し て、 ア プ ラ イ ア ン ス の証明書お よ び WorkPlace サ イ ト に含まれる完全修飾 ド メ イ ン名を追加 し ます。 3. 商用 SSL 証明書を取得 し ます。 ユーザーの ID 確認のために、 ア プ ラ イ ア ン スの商用証明書を取得す る必要があ る場合があ り ます。 ( 一般的に、 AMC では自己署名証明書で十分です。 ) サーバー証明書生成の詳細に つい ては、 149 ページの 「商用 CA か ら の証明書の取得」 を参照 し て く だ さ い。 4. フ ァ イ ア ウ ォ ール ポ リ シー を調整 し ます。 内部ネ ッ ト ワー ク 側に フ ァ イ ア ウ ォ ールがあ る場合、 ポ リ シー を調整 し て、 ア プ ラ イ ア ン ス に必要 と さ れる ポー ト を開 く 必要があ り ます。 デ フ ォ ル ト では、 Web プ ロ キシ サー ビ スは ポー ト 443/tcp を使用 し て通信 し ま す ( ポー ト 443/tcp は HTTPS 向け、 ポー ト 80/tcp は HTTP 向け )。 SSH を使用 し て ネ ッ ト ワー ク の外部か ら ア プ ラ イ ア ン ス に接続す る場合は、 ポー ト 22/tcp を開 く 必要があ り ます。 内部ネ ッ ト ワー ク 側に フ ァ イ ア ウ ォ ールがあ る場合は、こ の フ ァ イ ア ウ ォ ールのポ リ シー を 調整 し て、 ア プ ラ イ ア ン スが通信す るバ ッ ク エ ン ド ア プ リ ケーシ ョ ン 用にポー ト を 開 く 必 要があ り ます ( ポー ト がま だ開かれて いな い場合 )。例えば、認証に LDAP ま たは Microsoft Active Directory サーバー を使用す る場合、 内部 フ ァ イ ア ウ ォ ールでポー ト 389/tcp を開 く 必要があ り ます。 RADIUS の場合は、 ポー ト 1645/ucp と ポー ト 1812/udp を開 き ます。 ま た、 WorkPlace を使用 し て Windows ネ ッ ト ワー ク 共有に ア ク セ スす る場合は、 内部 フ ァ イ ア ウ ォ ールの内部ポー ト を開 き 、 こ れに よ っ て WorkPlace が名前解決を実行 し た り 、 ブ ラ ウズの要求を行 っ た り 、 フ ァ イ ル共有に接続 し た り で き る よ う にす る必要があ り ます。 詳 細につい ては、 35 ページの 「情報の収集」 を参照 し て く だ さ い。 5. シ ョ ー ト カ ッ ト を作成 し て WorkPlace を展開 し ます。 Web ベー スの リ ソ ー スへの イ ン タ ー フ ェ ー ス と し て WorkPlace を 使用 し た り 、 Windows ネ ッ ト ワー ク 共有お よ びグ ラ フ ィ カ ル タ ー ミ ナル リ ソ ースへの Web ベースのア ク セ ス を 提供す る ために WorkPlace を使用 し た り す る場合は、 シ ョ ー ト カ ッ ト を作成す る必要があ り ま す (392 ペ ー ジ の 「WorkPlace シ ョ ー ト カ ッ ト に つ い て の 作 業」 を 参 照 )。 ま た、 WorkPlace URL を 公開 し て、 ユーザーが VPN を介 し て リ ソ ー ス に ア ク セ ス す る 方法 を 把 握で き る よ う にす る必要があ り ます。 50 | Aventail E-Class SRA 10.7 管理者ガ イ ド WorkPlace の表示は、 環境に合わせて カ ス タ マ イ ズ で き ま す。 詳細につい ては、 391 ペー ジの 「WorkPlace の一般設定の構成」 を参照 し て く だ さ い。 ア プ ラ イ ア ン スの電源停止 と 再起動 ア プ ラ イ ア ン スの電源 を 停止 し た り 再起動 し た り す る 際は、 必ず適切な手続 き に従 っ て操作 し て く だ さ い。 ア プ ラ イ ア ン スは、 実行中に重要デー タ を メ モ リ に格納 し ま す。 こ の よ う な デー タ を、 電源を停止す る前にデ ィ ス ク に書 き 込む必要があ り ます。 注意 不適切な方法で ア プ ラ イ ア ン スの電源を停止す る と 、 デー タ が失われた り 、 シ ス テムの フ ァ イ ルが一貫性のな い状態に な る こ と があ り ます。 EX9000、 EX7000、 お よ び EX6000 ア プ ラ イ ア ン ス : ア プ ラ イ ア ン ス を再起動す る前には、USB デバ イ ス を ア プ ラ イ ア ン スか ら 取 り 外 し ま す。 再起動時に USB デバ イ スがア プ ラ イ ア ン ス に接続 さ れて い る と 、 ア プ ラ イ ア ン ス はそれを起動デバ イ ス と し て使用 し よ う と し ます。 その結果、 ア プ ラ イ ア ン スの BIOS に保 存 さ れる起動情報が上書 き さ れ、 デバ イ ス を使用で き な く な り ます。 AMC で ア プ ラ イ ア ン スの電源を停止 し た り 再起動 し た り す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Maintenance] を ク リ ッ ク し ます。 2. [Maintenance] ページ で適切なボ タ ン を ク リ ッ ク し ます。 – ア プ ラ イ ア ン ス を再起動す る には、 [Restart] を ク リ ッ ク し ます。 AMC の応答が停止 し ます。 ア プ ラ イ ア ン スが再起動 し た後は、 AMC に再び ロ グ イ ン で き ます。 – ア プ ラ イ ア ン ス を終了す る には、 [Shutdown] を ク リ ッ ク し ます。 AMC が応答を停止 し 、 ア プ ラ イ ア ン スの電源が自動的に停止 し ます。 フ ロ ン ト パネルの電源ボ タ ン を押す 必要はあ り ません。 ア プ ラ イ ア ン スのすべてのモデルでは、 ア プ ラ イ ア ン ス で次の操作に よ り 終了 し た り 再 起動 し た り で き ます。 a. ア プ ラ イ ア ン スの フ ロ ン ト パネルで、 4 ボ タ ン キーパ ッ ド で下ボ タ ン を押 し 、 LCD の メ イ ン メ ニ ュ ーに ア ク セ ス し ます。 b. 目的のオ プ シ ョ ン ([Restart] ま たは [Shutdown]) ま で下方へス ク ロ ール し ま す。 c. いずれのオ プ シ ョ ン で も 確認 メ ッ セージが表示 さ れるので、 左ボ タ ン を押 し て続行 し ま す。 d. 結果的に起 こ る動作は、 AMC での再起動ま たは終了 と 同 じ です。 • AMC は応答を停止 し ます。 ア プ ラ イ ア ン スが再起動 し た後は、 AMC に再び ロ グ イ ン で き ます。 • AMC が応答を停止 し 、 ア プ ラ イ ア ン スの電源が自動的に停止 し ます。 フ ロ ン ト パ ネルの電源ボ タ ン を押す必要はあ り ません。 次のステ ッ プ 初期ネ ッ ト ワ ー ク 設定 を 完了 し た ら 、 AMC を 使用 し て ア プ ラ イ ア ン ス の構成 を 続行 し ま す。 AMC は、 Web ブ ラ ウザを使用 し て ア ク セ ス で き ます。 イ ン ス ト ール と 初期セ ッ ト ア ッ プ | 51 • AMC を初めて使用す る場合は、 105 ページの 「Aventail 管理 コ ン ソ ールの操作」 を参照 し て く だ さ い。 • ア プ ラ イ ア ン ス を構成す る準備が整 っ てい る場合は、 135 ページの 「ネ ッ ト ワー ク と 認証の構成」 を 参照 し て く だ さ い。 52 | Aventail E-Class SRA 10.7 管理者ガ イ ド 第3章 ユーザー管理 ア ク セ ス制御ルールでは、 ユーザーやユーザーのグルー プがどの リ ソ ース を 使用で き る か を 決 定 し ます。 そのために、 外部のユーザー デ ィ レ ク ト リ や、 ア プ ラ イ ア ン ス上のロ ー カ ルのユー ザー認証 リ ポ ジ ト リ に保管 さ れて い る ユーザーやグルー プ に マ ッ ピ ン グす る ユーザーやグルー プ を AMC で定義す る必要があ り ま す。 それ ら よ り も 高い コ ミ ュ ニ テ ィ のレ ベルで も 、 共通の特 性 ( 最 も よ く あ るのはア ク セ ス ポ リ シーやア ク セ ス方式な ど ) を共有す る ユーザーやユーザー グルー プ を編成で き ます。 ま た、 こ れ ら はア ク セ ス制御ルールで使用す る こ と も 可能です。 概要 : ユーザー、 グループ、 コ ミ ュ ニテ ィ 、 レルム ユーザー と は、 ネ ッ ト ワー ク 上の リ ソ ース に ア ク セ スす る必要があ る個人を指 し 、 ユーザー グ ルー プは、 ユーザーの集ま り を指 し ます。 ア プ ラ イ ア ン ス でユーザーやグルー プ を作成 し た ら 、 ア ク セ ス制御ルール内で参照 し 、 リ ソ ースへのア ク セ ス を許可ま たは拒否で き ます。 ユーザーお よ びグルー プ ユーザー と グルー プは、 外部の認証サーバー、 ま たはア プ ラ イ ア ン ス上の ロ ー カ ルのユーザー 認証 リ ポジ ト リ に保管で き ます。 LDAP や Microsoft Active Directory な どの外部認証サーバー が使用 さ れ る 場合は、 そのサーバーに保管 さ れて い る 既存のユーザーやグルー プへの参照 を 作 成 し ま す。 こ の よ う な ユーザーやグルー プ に加え、 ロ ー カ ルのユーザーやグルー プ も 、 許可 を 制御す る際にはア ク セ ス制御ルールで参照 さ れま す。 外部デ ィ レ ク ト リ を 照会 し ( 例えば特定 の属性を共有す る ユーザー を検索 し て )、 その結果を使用 し て、 ア ク セ ス制御ルールで使用す る グルー プ を 作成す る こ と も で き ま す。 こ れは、 ア プ ラ イ ア ン ス で直接ユーザー を 作成 し て管理 し た く ない場合に役立ち ます。 ア プ ラ イ ア ン ス で ロ ー カ ルのユーザー と グルー プ を 作成す る のは、 例えば内部シ ス テ ムの特別 な オーダー ス テ ー タ ス ページ に ア ク セ スす る必要があ る販売業者な ど、 外部ユーザーに対 し て 内部の企業 リ ソ ースへのア ク セ ス を 許可す る 際に便利で す。 企業全体 を カ バーす る 既存のデ ィ レ ク ト リ サーバー を使用 し な い導入環境の場合は、 ロ ー カ ルのユーザー認証 リ ポ ジ ト リ に よ っ て グルー プ ベー スのポ リ シ ーが使用で き ま す。 別のサーバー を 設置、 構成 し 、 メ ン テ ナ ン スす る必要はあ り ません。 ユーザーやグルー プ を 定義 し てか ら ア ク セ ス制御ルールで参照す る こ と も で き ま すが、 ア ク セ ス制御ルール イ ン タ ー フ ェ ー スか ら 新 し いユーザーやグルー プ を 直接定義す る こ と も 可能で す。 ユーザー管理 | 53 コ ミ ュニテ ィ コ ミ ュ ニ テ ィ はユーザーの集ま り で す。 こ れに よ っ て、 ユーザー集団の メ ン バーが レ ルムに ロ グ イ ン す る と き に、 どのア ク セ ス方法 と End Point Control エージ ェ ン ト が展開 さ れるかが決ま り ます。 例えば、 モバ イ ル従業員に対 し ては OnDemand を 有効に し 、 ビ ジ ネ ス パー ト ナーに は Web ア ク セ スのみを提供す る よ う に構成で き ます。End Point Control が有効な場合、 コ ミ ュ ニ テ ィ は、 コ ミ ュ ニ テ ィ 内のどの 「信頼ゾ ー ン」 に メ ン バーが所属す る か を 決定す る ために使 用す る こ と も 可能です。 レルム レ ルムは、認証サーバー を参照 し て、ユーザーに対 し て どのア ク セ ス エージ ェ ン ト を プ ロ ビ ジ ョ ニ ン グ し 、 どの End Point Control の制約を課すかを決定 し ま す。 レルムおよび コ ミ ュ ニテ ィ の使用 レ ルム と ユーザー コ ミ ュ ニ テ ィ を設定す る と 、 AMC におい て、 コ ミ ュ ニ テ ィ の メ ンバーに どの ア ク セ ス エージ ェ ン ト がプ ロ ビ ジ ョ ニ ン グ さ れる よ う にす るかを指定で き ます。 ま たオ プ シ ョ ン で、 コ ミ ュ ニ テ ィ メ ンバーのデバ イ ス を 「信頼ゾー ン」 に分類す る こ と も 可能です。 次の図 は、 レ ルムがユーザー を認証 し て、 それ ら ユーザー を コ ミ ュ ニ テ ィ に割 り 当て て ア ク セ ス エー ジ ェ ン ト を プ ロ ビ ジ ョ ニ ン グ し 、 End Point Control が有効で あれば、 コ ン ピ ュ ー タ の信頼性に 基づい て コ ミ ュ ニ テ ィ メ ンバー を異な る ゾ ー ン に割 り 当て る過程を示 し てい ます。 ㄆド ࣒ࣞࣝ CompanyXYZ ࣉࣟࣅࢪࣙࢽࣥࢢ End Point Control ࢥ࣑ࣗࢽࢸ Employees ࢢ࣮ࣝࣉ = “Employees” ㄆドࢧ࣮ࣂ࣮ ࢥ࣑ࣗࢽࢸ Partners ࢡࢭࢫ᪉ᘧ 2Q'HPDQG :HEࣉࣟ࢟ࢩ ࢚࣮ࢪ࢙ࣥࢺ ࡢࢡࢭࢫ᪉ᘧࢆ ⏝࡛ࡁࡿ㸽 ࢡࢭࢫ᪉ᘧ ኚ Web ࢰ࣮ࣥ ,7ᨭ⤥3& ࣮࣒࣍3& ࡢࡼ࠺࡞ࢹ࣮ࢱಖㆤ ࢥ࣏࣮ࣥࢿࣥࢺࡀᚲせ㸽 ࢰ࣮ࣥ ᮍ▱ࡢ3& AD.example.com ࢢ࣮ࣝࣉ = “Partners” ネ ッ ト ワー ク で 1 台の認証サーバーのみにユーザー情報を保管 し て い る場合、AMC で レ ルム を 1 つ だ け作成す る 必要があ り ま す。 ネ ッ ト ワ ー ク で複数の認証サーバー を 使用 し て い る 場合、 サーバーご と に、 レ ルム を 1 つ以上作成す る必要があ り ま す。 ま た、 1 つの外部 リ ポ ジ ト リ で 別々のユーザー グループ を参照す る複数のレ ルム を、 AMC で作成す る こ と も で き ます。 認証 レ ルム を 1 つ し か使用 し な い場合で も 、 ア ク セ ス要件やその他のセキ ュ リ テ ィ 条件に基づ い てユーザーのサブ セ ッ ト を 作成で き ま す。 こ れは、 レ ルム を ユーザーの コ ミ ュ ニ テ ィ と 対応 さ せ る 必要があ る ためで す。 コ ミ ュ ニ テ ィ は、 レ ルムのすべてのユーザー で も 、 選択 し たユー ザーだけ で も 構成で き ます。 ま た、 ア ク セ ス エージ ェ ン ト を展開 し た り 、 コ ミ ュ ニ テ ィ の メ ン バーに End Point Control の制約 を 適用 し た り す る ために使用す る こ と も 可能で す。 コ ミ ュ ニ テ ィ の詳細については、83 ページの 「 コ ミ ュ ニ テ ィ の編集、 コ ピ ー、削除」 を参照 し て く だ さ い。 54 | Aventail E-Class SRA 10.7 管理者ガ イ ド レルムの表示 構成 し た レ ルム を一覧表示で き ます。 ま た、 各レ ルムに対応す る 「構成要素」 と し て、 認証サー バー と コ ミ ュ ニ テ ィ も 表示 さ れま す。 コ ミ ュ ニ テ ィ は さ ら に、 誰がどの方法で ア ク セ ス で き る か、 プ ロ フ ァ イ ル に 基 づ き 、 ど の セ キ ュ リ テ ィ ゾ ー ン に デ バ イ ス を 配 置 す る か、 さ ら に WorkPlace の外観ま で決定 し ます。 構成 し た レルム を表示す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ま す。 2. 詳細が非表示の画面が表示 さ れ、 各レ ルムの概要を確認で き ます。 いずれかの項目を ク リ ッ ク す る と 、 それに対応す る AMC の構成ページ に直接移動で き ます。 a. 有効に な っ て い る レ ルムは青、 無効に な っ て い る レ ルムはグ レ ーで表示 さ れます。 レ ル ム を無効にす る と 、 そのレ ルムに対応す る ユーザー と グルー プはロ グ イ ン で き な く な り ます。 詳細については、 58 ページの 「レ ルムの有効化 と 無効化」 を参照 し て く だ さ い。 b. [Authentication server] エ リ ア には、 ユーザーの識別子を確認す る と き に レ ルムで使 用 さ れるサーバーの名前が表示 さ れます。 c. レ ルム を作成す る と き に入力 し たオ プ シ ョ ンの説明テ キス ト が右側に表示 さ れます。 上 下矢印のア イ コ ン を使用すれば、 レ ルムの リ ス ト を並べ替え た り 、 レ ルム を コ ピ ー し て 変更や削除を行 っ た り す る こ と も 可能です。 3. レ ルムの隣にあ る プ ラ ス記号 (+) を ク リ ッ ク す る と 詳細が表示 さ れます。 a. コ ミ ュ ニ テ ィ を 使用す る と 、 さ ま ざ ま な セ キ ュ リ テ ィ 要件に基づい て、 レ ルムの メ ン バー を グルー プ 化で き ま す。 コ ミ ュ ニ テ ィ に所属 し て い る メ ン バーは、 ポ イ ン タ を コ ミ ュ ニ テ ィ 名に重ねる と す ぐ に確認で き ます。 b. WorkPlace ポー タ ルの外観は、 設定可能な ス タ イ ル と レ イ ア ウ ト で制御 さ れます。 例え ば、 モバ イ ル デバ イ ス ユーザーの コ ミ ュ ニ テ ィ があ る場合は、 外観を コ ンパ ク ト に し 、 レ イ ア ウ ト を それに合わせたい と 考え る で し ょ う 。 c. デバ イ ス プ ロ フ ァ イ ルを使用 し て ア ク セ ス を許可/拒否で き る よ う セキ ュ リ テ ィ ゾー ン が使用 さ れます。 特定のゾー ン で使用 さ れて い る デバ イ ス プ ロ フ ァ イ ルは、 そのゾー ン 名にポ イ ン タ を重ねる と す ぐ に確認で き ます。 ユーザー管理 | 55 4. AMC の こ のページ では、 コ ミ ュ ニ テ ィ レ ベルの多数の構成変更を行え ます。 まず コ ミ ュ ニ テ ィ 名にポ イ ン タ を重ねます。 コ ミ ュ ニ テ ィ 名にポ イ ン タ を重ねた と き に表示 さ れる制御ア イ コ ン を使用 し て、以下を実行 で き ます。 – コ ミ ュ ニ テ ィ を追加ま たは削除す る。 – コ ミ ュ ニ テ ィ を左右に移動 さ せて、 ユーザーがグルー プ化 さ れて い る順序を変更す る。 – セ ッ シ ョ ンのワー ク フ ロ ー を表示す る ( コ ミ ュ ニ テ ィ 名にポ イ ン タ を重ねて右端のア イ コ ン を ク リ ッ ク す る )。 デ フ ォル ト 、 表示、 非表示のレルム ユーザー認証時には、 ユーザーが所属 し て い る レ ルム を ア プ ラ イ ア ン ス で認識 さ れて い る 必要 があ り ます。 有効な レ ルムが 1 つ し かな い場合、 ア プ ラ イ ア ン スは自動的にその レ ルム を使用 し ま す。 一方、 複数の レ ルムが有効に な っ て い る 場合は、 どの レ ルム を 使用す る かア プ ラ イ ア ン ス に認識 さ せる必要があ り ます。 ユーザーはロ グ イ ン す る と き に、 通常、 適切な レ ルム を リ ス ト か ら 選択 し ま す。 た だ し 、 AMC でデ フ ォ ル ト レ ルム を定義す る こ と で、 レ ルム を簡単に選択で き る よ う にす る こ と も 可能です ( 詳細については 58 ページの 「デ フ ォ ル ト レ ルムの指定」 を参照 )。 デ フ ォ ル ト レ ルムが定義 さ れてい る場合、 レ ルム選択ボ ッ ク ス に、 デ フ ォ ル ト レ ルムが自動的に表示 さ れます。 ア ク セ ス方式固有の動作については、 こ のセ ク シ ョ ン で概説 し ま す。 Dell SonicWALL ではデ フ ォ ル ト レルム を指定 し て お く こ と を強 く 推奨 し ています。 ま た、 ユーザーに提示 さ れ る レ ルム名 を 選択す る こ と も で き ま す。 レ ルムが表示 さ れて い な い 場合、 ユーザーはその レ ルム名 を 把握 し て お き 、 ロ グ イ ン の と き に手動で入力す る 必要があ り ま す。 例えば、 さ ま ざ ま なサプ ラ イ ヤー用の レ ルム を 作成 し て い る と し ま す。 サプ ラ イ ヤー同 士が互い を 知 ら な い状態が望ま し い場合、 こ の よ う な レ ルム名 を 非表示に し て お く こ と がで き ま す。 その際、 各サプ ラ イ ヤーは、 ア プ ラ イ ア ン ス に ロ グ イ ン す る と き に レ ルム名 を 入力す る 必要があ り ます。 次の表は、 さ ま ざ ま な レ ルム構成の場合に、 ユーザーに よ る 通常の ロ グ イ ン 時の操作がど う 変 動す るかを示 し て い ます。 デフ ォル ト レルムの構 有効な レルム 成 非表示レルム の構成 ユーザーのロ グ イ ン時の操作 1つ 該当な し 該当な し 56 | Aventail E-Class SRA 10.7 管理者ガ イ ド ユーザーは ロ グ イ ン プ ロ セ ス で レ ルム を 選択 する必要があ り ません。 認証の際には、 有効な レルムが自動的に使用 さ れます。 デフ ォル ト レルムの構 有効な レルム 成 非表示レルム の構成 ユーザーのロ グ イ ン時の操作 複数 あり なし ユーザーは リ ス ト から レルムを選択 し ます。 レ ルム テキス ト ボ ッ ク スにはデ フ ォ ル ト レルム が表示 さ れます。 複数 No なし ユーザーは リ ス ト から レルムを選択 し ます。 レ ルム テキス ト ボ ッ ク スには最初のレルム ( ア ルフ ァ ベ ッ ト 順に ソ ー ト さ れている ) が表示 さ れます。 複数 あり あり ユーザーは リ ス ト から レルムを選択 し ます。 レ ルム テキス ト ボ ッ ク スにはデ フ ォ ル ト レルム が表示 さ れます。 ログ イ ン時に非表示レルムが 使用 さ れる場合、 ユーザーは [ その他 ] を選択 し て、 2 番目のテキス ト ボ ッ ク スに レルム名を 入力 し ます。 ユーザーが初めて Aventail WorkPlace に ア ク セ スす る際には、 1 ページ ま たは複数のロ グ イ ン ペー ジが表示 さ れま す 1 つの レ ルムのみが有効な場合、 ユーザー ク レ デ ン シ ャ ル を 要求す る ページのみが表示 さ れます。 複数のレ ルムが有効な場合、 ユーザーはロ グ イ ン ページ で ド ロ ッ プ ダウ ン リ ス ト か ら 適切な レ ルム を選択 し ます。 非表示 レルムが 1 つ以上あ る場合、 ユーザー はロ グ イ ン ページ で レ ルム名の入力を求め ら れます。 メモ ユーザーに よ る選択が可能な レ ルム と し て、 最大 110 個のレ ルム を定義で き ます。 ま た、 手動での選択 を 回避す る ために、 それぞれに一意の レ ルム を 構成 し た WorkPlace サ イ ト を最大 15 個セ ッ ト ア ッ プ で き ます。 [ 次へ ] を ク リ ッ ク す る と 、 ユーザー名 と パス ワー ド で認証す る ユーザーの場合、 ク レ デ ン シ ャ ルを入力す る ためのページが表示 さ れます。 ユーザー管理 | 57 デ フ ォル ト レルムの指定 複数の認証 レ ルム を 指定す る 場合は、 いずれかの レ ルム を デ フ ォ ル ト と し て指定す る 必要があ り ま す。 ユーザー認証時には、 ユーザーが所属 し て い る レ ルム を ア プ ラ イ ア ン ス で認識 さ れて い る必要があ り ます。 有効な レ ルムが 1 つ し かな い場合、 ア プ ラ イ ア ン スは自動的にそのレ ル ム を 使用 し ま す。 一方、 複数の レ ルムが有効に な っ て い る 場合は、 どの レ ルム を 使用す る かア プ ラ イ ア ン ス に認識 さ せ る 必要があ り ま す。 ユーザーは、 適切な レ ルム を リ ス ト か ら 選択で き ますが、 AMC でデ フ ォ ル ト レ ルム を指定 し て おけば、 ユーザーのプ ロ セ スが簡単に な り ます ( レ ルム を 1 つ し か構成 し て い な い場合で も それ を デ フ ォ ル ト と し て指定す る 必要があ り ま す。 指定 し ない と [Realms] ページ に 「There is no default realm selected ( レ ルムが選択 さ れて い ません )」 と い う 警告 メ ッ セージが表示 さ れま す )。 デ フ ォ ル ト レルム を 指定す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ま す。 2. AMC ページの下部にあ る [Default realm リ ス ト か ら 、デ フ ォ ル ト レ ルムにす る認証レ ルム を選択 し ます。 こ の リ ス ト には、 有効かつ表示対象 と し て構成 さ れて い る レ ルムのみが表示 さ れます。 レルムの有効化 と 無効化 ア プ ラ イ ア ン スは、 複数のレ ルムの同時使用をサポー ト し てい ます。 レルムの有効 / 無効を切 り 替え る こ と に よ り 、 ア ク テ ィ ブ にす る レ ルム を 制御で き ま す。 レ ルム を 無効にす る と 、 その レ ルムに対応す る ユーザー と グルー プは ロ グ イ ン で き な く な り ま す。 ま た、 有効な認証 レ ルムが ない場合、 ユーザーはネ ッ ト ワー ク に ア ク セ ス で き な く な り ます。 認証 レルム を有効化ま たは無効化す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し て、 定義 さ れて い る レ ルムの リ ス ト を 表示 し ま す有効化 さ れて い る レ ルムは、 [Enabled] 列の イ ン ジ ケー タ ア イ コ ン が 緑色に な っ て い ま す。 無効化 さ れて い る レ ルムは、 イ ン ジ ケー タ ア イ コ ン がグ レ ーに な っ てい ます。 2. 有効ま たは無効にす る レ ルムの名前を ク リ ッ ク し ます。 こ の操作に よ り 、 そのレ ルムに対す る [Configure Realm] ページが表示 さ れま す。 3. [General] エ リ ア で、 その レルムの [Status] について [Enabled] ま たは [Disabled] を選択 し 、 [Save] を ク リ ッ ク し ます。 レルム定義におけるベス ト プ ラ ク テ ィ ス レ ルム を定義す る際は、ユーザーのロ グ イ ン時の操作を軽減す る ため、以下のベ ス ト プ ラ ク テ ィ ス を実行 し ます。 • ユーザーがロ グ イ ン時に レルム名を選択する ため、 レルム名を定義する と きは、 ユーザー グ ルー プ を 明確 に 表す名前 に し ま す。 例 え ば、 すべ て の社内従業員 を 含む レ ルムの場合は 「employees」 な どの名前を使用 し 、 外部のサプ ラ イ ヤー を含む レ ルムの場合は 「suppliers」 な ど と し ます。 モバ イ ル デバ イ ス ユーザーか ら 参照 さ れる レルムの場合は、 モバ イ ル デバ イ ス で文字がす べて表示 さ れ る よ う に レ ルム名 を 短 く し ま す。 例えば、 標準的な テ キス ト サ イ ズ を 使用す る Pocket PC デバ イ スは、通常 30 文字程度の長 さ の名前を表示で き ますが、ス マー ト フ ォ ン では表示で き ません。 58 | Aventail E-Class SRA 10.7 管理者ガ イ ド • • 一部のユーザーが非表示のレルムに ロ グ イ ン する よ う な場合、 そのユーザーは、 レルム名 と 入力方法 ( レルムの リ ス ト か ら [ その他 ] を選択 し て テキス ト ボ ッ ク スに レルム名を入力 ) を 把握 し てお く 必要があ り ます。 複数のレルムを有効にするのは、 必要な場合だけに し ます。 有効な レルムが 1 つだけであれ ば、 ユーザーはロ グ イ ン プ ロ セス で レルムを選択する必要がな く な り ます。 テ ス ト 環境か ら 実稼働環境に移行する と きは、 テ ス ト レルムがすべて削除 さ れてい る こ と を確認 し て く だ さ い。 レルムおよび コ ミ ュ ニテ ィ の構成 こ のセ ク シ ョ ン では、 レ ルムお よ び コ ミ ュ ニ テ ィ を構成す る方法について説明 し ます。 レルムの作成 認証 レ ルム を 作成お よ び構成す る と き は、 次の手順 を 実行 し ま す。 複数の レ ルム を 作成す る 場 合は、 いずれかのレ ルム を デ フ ォ ル ト と し て指定す る必要があ り ます。 レ ルム を 作成 し 、 こ れ を 外部認証サーバー と 対応 さ せた ら 、 1 つ ま たは複数の コ ミ ュ ニ テ ィ を レ ルムに追加す るか、 構成済みのデ フ ォ ル ト コ ミ ュ ニ テ ィ を使用で き ます。 コ ミ ュ ニ テ ィ を割 り 当てずに レ ルム を作成 し 保存 し た場合、 そのレ ルムにはデ フ ォ ル ト コ ミ ュ ニ テ ィ が自動的に 割 り 当て ら れます。80 ページの 「デ フ ォ ル ト コ ミ ュ ニ テ ィ の使用」 に加え、112 ページの 「AMC でのオ ブ ジ ェ ク ト の追加、 編集、 コ ピ ー、 削除」 も 参照 し て く だ さ い。 レルム を作成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ま す。 2. [New] を ク リ ッ ク し ま す。 [Configure Realm] ページの [General] 設定が表示 さ れま す。 3. [Name] テ キス ト ボ ッ ク ス に、 わか り やすい レ ルム名を入力 し ます。 ユーザーが VPN への ロ グ イ ン 時に レ ルム名 を 選択 し な ければな ら な い場合は、 必ずユーザー グルー プ を 明確に 表す名前に し ます。 ユーザー管理 | 59 注意 4. [Description] テ キス ト ボ ッ ク スに、 レ ルムについ ての説明を入力 し ます。 コ メ ン ト を入れ る のは必須ではあ り ま せんが、 VPN で複数の認証 レ ルム を 使用す る 場合な ど に便利で す。 こ のボ ッ ク ス に入力 さ れた テ キス ト は、 レ ルムの リ ス ト に表示 さ れます。 5. 適切な [Status] を選択す る こ と に よ っ て、 レ ルム を有効ま たは無効に し ます。 詳細につい ては、 58 ページの 「レルムの有効化 と 無効化」 を参照 し て く だ さ い。 6. ユーザーに提示 さ れる リ ス ト に こ のレ ルム を含める場合は (ほ と ん どの場合 こ れが推奨 さ れ る )、 [Display this realm] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 7. [Authentication server] で、 ユーザーの識別子を確認す る ために レ ルムで使用す る認証 サーバー を選択 し ます。 こ の フ ィ ール ド は必須です。 ま た、 新 し い認証サーバー を構成 し て レ ルムで参照す る場合は、 [New] を ク リ ッ ク し ます。 詳細については、 167 ページの 「認証 サーバーの構成」 を参照 し て く だ さ い。 [Authentication server] を [None] に設定す る と 、 こ のレ ルムお よ びその リ ソ ース に対 し て、 認証 さ れてい な いオー プ ン な ア ク セ スが有効に な り ます。 こ のよ う な状況を望んで い る場 合以外は、 こ の設定に し な いで く だ さ い。 8. こ のレ ルムについてのア カ ウ ン テ ィ ン グ情報 ( 接続時刻、 接続時間な ど ) を RADIUS サー バーに送信 し た い場合、 [Enable RADIUS accounting] チ ェ ッ ク ボ ッ ク ス を 選択 し ま す。 RADIUS ア カ ウ ン テ ィ ン グ サーバーの構成方法 に つ い て は、 81 ペ ー ジ の 「レ ルム で の RADIUS ア カ ウ ン テ ィ ン グの構成」 を参照 し て く だ さ い。 60 | Aventail E-Class SRA 10.7 管理者ガ イ ド 9. [Advanced] を ク リ ッ ク し て、 詳細設定を表示 し ま す。 10. [Advanced] タ ブ で、 2 番目の認証サーバー を使用す る よ う ア プ ラ イ ア ン ス を セ ッ ト ア ッ プ で き ます。 ま た、 AUP (Acceptable Use Policy: 使用規定に同意す る ) の カ ス タ マ イ ズ も 可 能です。 2 番目の認証サーバー を セ ッ ト ア ッ プ す る場合には 2 通 り の方法があ り ます。 – [Chained authentication]:ユーザーは複数の ク レ デ ン シ ャ ル セ ッ ト が必須に な り ます。 207 ページの 「連鎖式認証の構成」 を参照 し て く だ さ い。 – [Enable group affinity checking]:2 番目の認証 リ ポ ジ ト リ に照会 し ます。 詳細につい ては、 211 ページの 「レ ルムでのグルー プ ア フ ィ ニ テ ィ チ ェ ッ ク の有効化」 を 参照 し て く だ さ い。 ユーザー管理 | 61 11. ユーザーがレ ルムに ロ グ イ ン す る際に [使用規定に同意す る ] に同意す る よ う 求め る場合は、 [Acceptable Use Policy] エ リ ア で、 [Users must acknowledge a message before connecting to this realm] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 12. [Title] ボ ッ ク ス に、 AUP の タ イ ト ルを 50 文字以下で入力 し ま す。 13. [Message] ボ ッ ク ス には、 ユーザーに同意を求め る使用規定の文章 を 64,000 文字以下で入 力 し ます。 14. [Style] 設定では、 以下の ラ ジ オ ボ タ ンのいずれかを選択 し ま す。 – [Use policy (Agree/Disagree)]: ユーザーに使用規定が表示 さ れ、 接続を続行す る には [ 同意す る ] ボ タ ンの ク リ ッ ク が必要に な り ます。 [ 同意 し な い ] ボ タ ンが ク リ ッ ク さ れ る と 、 セ ッ シ ョ ンは終了 し ます。 – [Message (Acknowledge)]: ユーザーに使用規定が表示 さ れ、接続を続行す る には [OK] ボ タ ンの ク リ ッ ク が必要に な り ます。 15. ユーザー コ ミ ュ ニ テ ィ を レ ルムに追加す る には [Next] を ク リ ッ ク す るか (62 ページの 「レ ルムへの コ ミ ュ ニ テ ィ の追加」 を参照 )、 [Finish] を ク リ ッ ク し ます。 コ ミ ュ ニ テ ィ を割 り 当て ずに レ ルム を 作成 し 保存 し た場合、 その レ ルムにはグ ロ ーバル デ フ ォ ル ト コ ミ ュ ニ テ ィ が自動的に割 り 当て ら れ ま す。 詳細に つい ては、 80 ペー ジの 「デ フ ォ ル ト コ ミ ュ ニ テ ィ の使用」 を参照 し て く だ さ い。 メモ コ ミ ュ ニ テ ィ の編集方法、 コ ピ ー方法、 削除方法の詳細については、 112 ページ の 「AMC でのオ ブ ジ ェ ク ト の追加、 編集、 コ ピ ー、 削除」 を参照 し て く だ さ い。 レルムへのコ ミ ュ ニテ ィ の追加 レ ルム を作成 し た ら 、 その レ ルムに 1 つ以上の コ ミ ュ ニ テ ィ を対応 さ せる必要があ り ます。 レ ルム内のすべてのユーザー を 同 じ よ う に扱 う ので あれば、 定義す る 必要があ る コ ミ ュ ニ テ ィ は 1 つだけ です。 ユーザー を細分化 し たい場合には、 追加の コ ミ ュ ニ テ ィ を作成 し ま す。 例えば、 リ モー ト 従業員に、 ロ ー カ ル従業員 と 異な る ア ク セ ス方式 と End Point Control 制約を割 り 当て たい場合な どが こ れに該当 し ます。 それぞれの コ ミ ュ ニ テ ィ について以下を定義 し ます。 レルム内のユーザーのサブ セ ッ ト レルムに ロ グ イ ンする と き にユーザーが使用で き る ア ク セス方式 そのエ ン ド ポ イ ン ト デバイ スに設定 さ れる制約 ( 存在する場合 ) ア プ ラ イ ア ン スの各 レ ルムでは、 1 つ以上の コ ミ ュ ニ テ ィ を 参照す る 必要があ り ま す。 複数の コ ミ ュ ニ テ ィ を使用す る と 、ユーザー グループ を効率的に分割で き ます。その結果、特定のユー ザーに個別のア ク セ ス エージ ェ ン ト を割 り 当て た り 、 コ ミ ュ ニ テ ィ の メ ンバーが使用す る特定 タ イ プのデバ イ ス について End Point Control の制約を設定 し た り す る こ と がで き ます。 • • • 構成済みのデ フ ォ ル ト コ ミ ュ ニ テ ィ を使用す るか (80 ページの 「デ フ ォ ル ト コ ミ ュ ニ テ ィ の使 用」 を 参照 )、 別の コ ミ ュ ニ テ ィ を レ ルムに対応 さ せ る こ と がで き ま す。 時間の経過 と と も に ユーザー ア ク セ ス要件やセ キ ュ リ テ ィ ポ リ シ ー要件が変化す る のに合わせて、 レ ルムへの コ ミ ュ ニ テ ィ の追加、 レ ルムが参照す る ユーザー コ ミ ュ ニ テ ィ の変更、 コ ミ ュ ニ テ ィ の削除を行 え ます。 62 | Aventail E-Class SRA 10.7 管理者ガ イ ド コ ミ ュ ニ テ ィ を レルムに追加す る には 1. [Configure Realm] ページの [General] タ ブ で レルム を作成 し た ら 、 [Communities] ペー ジ に移動 し ます。 [Communities] タ ブが選択 さ れた状態で、 [Configure Realm - <name> ] ページが表示 さ れます。 2. 既存の コ ミ ュ ニ テ ィ を変更せずにそのま ま使用す る場合は、 必要に応 じ て、 コ ミ ュ ニ テ ィ が リ ス ト で表示 さ れる順序を変更 し ま す。 81 ページの 「 レ ルムで コ ミ ュ ニ テ ィ が リ ス ト さ れ る順序の変更」 を参照 し て く だ さ い。 3. レ ルムに対 し て新 し い コ ミ ュ ニ テ ィ を作成す る場合は、 [New] を ク リ ッ ク し 、 既存の コ ミ ュ ニ テ ィ を編集す る場合は、 その リ ン ク を ク リ ッ ク し ます。 [Configure Community] ページ が表示 さ れま す。 63 ページの 「 コ ミ ュ ニ テ ィ の作成 と 構成」 で説明 さ れて い る手順に従い ます。 コ ミ ュ ニテ ィ の作成 と 構成 コ ミ ュ ニ テ ィ を作成す る と き は、 次の基本手順を実行 し ます。 • • • • コ ミ ュ ニ テ ィ への メ ンバーの割 り 当て コ ミ ュ ニ テ ィ に対する ア ク セス方式の選択 ( オプ シ ョ ン ) コ ミ ュ ニ テ ィ に対する End Point Control 制約の指定 WorkPlace ポー タ ルのス タ イル と レ イ アウ ト の指定 コ ミ ュ ニテ ィ への メ ンバーの割 り 当て コ ミ ュ ニ テ ィ 作成の最初の手順では、 どのユーザー を メ ン バーにす る か を 指定 し ま す。 デ フ ォ ル ト では、 コ ミ ュ ニ テ ィ は、 対応 し て い る 認証 レ ルムのすべてのユーザー を 含む よ う 構成 さ れ てい ます。 た だ し 、 レ ルム内の特定ユーザーま たは特定ユーザー グルー プのみに ア ク セ ス を限 定す る よ う 、 コ ミ ュ ニ テ ィ を構成す る こ と も で き ます。 こ れは例えば、 従業員用の コ ミ ュ ニ テ ィ と 、 ビ ジ ネ ス パー ト ナー用の コ ミ ュ ニ テ ィ に レ ルム を 分割 し た い場合な ど に使用す る と 便利です。 こ う し て お く と 、 それぞれの コ ミ ュ ニ テ ィ に適切 な ア ク セ ス エージ ェ ン ト を割 り 当て た り 、 セキ ュ ア で な い コ ン ピ ュ ー タ か ら ロ グ イ ン す る場合 に End Point Control 制約を課 し た り す る こ と がで き ま す。 コ ミ ュ ニ テ ィ は、 リ ソ ースへのア ク セ ス を許可ま たは拒否す る ために、 ア ク セ ス制御ルールか ら 参照す る こ と も で き ます。 既存の コ ミ ュ ニ テ ィ に メ ンバー を割 り 当て る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ま す。 2. レルム内で、 構成 し たい コ ミ ュ ニ テ ィ に対す る リ ン ク を ク リ ッ ク し ます。 [Members] タ ブ が選択 さ れた状態で、 [Configure Community] ページが表示 さ れま す。 ユーザー管理 | 63 3. [Members] ボ ッ ク ス で、 どのユーザーま たはグルー プが こ の コ ミ ュ ニ テ ィ に所属す るかを 指定 し ま す。 ユーザーやグルー プ を リ ス ト か ら 選択す る 場合は、 [Edit] を ク リ ッ ク し ま す。 ユーザーやグループが指定 さ れな い場合、 こ の フ ィ ール ド の値はデ フ ォ ル ト 値の 「Any」 に な り ま す。 こ れは、 こ の コ ミ ュ ニ テ ィ を 参照す る すべての認証 レ ルムのユーザーが こ の コ ミ ュ ニ テ ィ に属す る こ と を表 し て い ます。 4. [Maximum active sessions] ボ ッ ク ス では、 こ の コ ミ ュ ニ テ ィ の各 メ ンバーが一度に ア ク テ ィ ブ に で き る セ ッ シ ョ ン数を制限で き ます。 例えば、 モバ イ ル ユーザーの場合、 セ ッ シ ョ ン数を 1 に制限す る場合があ り ま す。 セ ッ シ ョ ン ご と にユーザー ラ イ セ ン スが 1 つ使用 さ れ、 モバ イ ル ユーザーが複数のア ク テ ィ ブ な セ ッ シ ョ ン を 利用す る こ と は不可能です。 自 宅 と 会社を行 き 来す る従業員な ど、 その他の コ ミ ュ ニ テ ィ の場合、 許可 さ れる セ ッ シ ョ ン数 は比較的多 く 設定 さ れる と 考え ら れます。 詳細につい ては、 333 ページの 「 ラ イ セ ン スの計 算方法」 を参照 し て く だ さ い。 5. コ ミ ュ ニ テ ィ の メ ンバーに提供す る ア ク セ ス方式を選択す る ため、[Access Methods] タ ブ を ク リ ッ ク し ま す。 詳細につい ては、 64 ページの 「 コ ミ ュ ニ テ ィ に対す る ア ク セ ス方式の 選択」 を参照 し て く だ さ い。 6. ク ラ イ ア ン ト デバ イ スのセキ ュ リ テ ィ に基づい てユーザー ア ク セ ス を制限す る ため、 [End Point Control restrictions] タ ブ を ク リ ッ ク し て、 こ の コ ミ ュ ニ テ ィ のユーザーに どのゾー ン を提供す るかを指定 し ます。 66 ページの 「 コ ミ ュ ニ テ ィ での End Point Control 制約の使 用」 を参照 し て く だ さ い。 7. [Save] を ク リ ッ ク し ます。 コ ミ ュ ニテ ィ に対する ア ク セス方式の選択 コ ミ ュ ニ テ ィ 作成の 2 番目の手順は、 コ ミ ュ ニ テ ィ の メ ン バーが ア プ ラ イ ア ン ス への接続 と ネ ッ ト ワー ク リ ソ ースへのア ク セ スの際に どのア ク セ ス方式を使用で き る よ う にす るか決定す る こ と です。 ユーザーの環境 と 互換性があ る ア ク セ ス方式については、 15 ページの 「ユーザー ア ク セ ス コ ン ポーネ ン ト 」 を参照 し て く だ さ い。 コ ミ ュ ニ テ ィ の メ ンバーが使用で き る ア ク セ ス方式を指定す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ま す。 64 | Aventail E-Class SRA 10.7 管理者ガ イ ド 2. 構成 し たい コ ミ ュ ニ テ ィ に対す る リ ン ク を ク リ ッ ク し 、[Access Methods] タ ブ を ク リ ッ ク し ます。 3. コ ミ ュ ニ テ ィ の メ ンバーが、ネ ッ ト ワー ク の リ ソ ース に接続す る際に ブ ラ ウザで使用で き る ア ク セ ス方式を選択 し ます。 ア プ ラ イ ア ン スは、 選択 さ れた ア ク セ ス エージ ェ ン ト を、 ユー ザーのシ ス テ ムの機能に基づい て有効に し ま す。 さ ま ざ ま な ア ク セ ス エージ ェ ン ト の機能 と シ ス テム要件については、 431 ページの 「ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサー ビ ス」 を参照 し て く だ さ い。 4. ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト のア ク セ ス権を コ ミ ュ ニ テ ィ の メ ンバーに付与 し たい 場合は、 次のよ う に選択 し ます。 – ト ン ネル ア ク セ ス エ リ ア で [Network tunnel client] を選択 し ます。 ユーザーが WorkPlace の リ ン ク か ら Connect Tunnel ク ラ イ ア ン ト を ダウ ン ロ ー ド し て ア ク テ ィ ブ 化す る よ う に し た い場合は、 組み込みの リ ソ ー ス ま たは シ ョ ー ト カ ッ ト を 使用で き ま す。 ユーザー管理 | 65 – Web ベースのプ ロ キシ ア ク セ スの場合は、 [Client/server proxy agent (OnDemand)] を選択 し てか ら 、 [Auto-activate from Aventail WorkPlace] を ク リ ッ ク し ます。 こ れ に よ っ て、ユーザーが WorkPlace に接続す る と き に、Web ベースの OnDemand Tunnel エージ ェ ン ト が自動的に プ ロ ビ ジ ョ ニ ン グ ま たはア ク テ ィ ブ化 さ れます。 – Windows ク ラ イ ア ン ト の大部分の Web ベース リ ソ ース に ク ラ イ ア ン ト レ ス ア ク セ ス で き る よ う にす る には、 Web ア ク セ ス (HTTP) エ リ ア で [Web proxy agent] を選択 し ま す。 ア プ リ ケー シ ョ ン の互換性 を 向上 さ せ る ために カ ス タ ム ポー ト ま たは カ ス タ ム FQDN に マ ッ ピ ン グ さ れ て い る か、 エ イ リ ア ス を 使用 し て 内部 ホ ス ト 名 を 遮蔽す る Web リ ソ ース に ク ラ イ ア ン ト レ ス ア ク セ ス で き る よ う にす る には、 [Translated Web access] を選択 し ます。[Translated Web access] は、 デ フ ォ ル ト の Web プ ロ キシ エー ジ ェ ン ト が実行で き な い場合の フ ォ ールバ ッ ク と し て使用で き ま す。 Web ア ク セ スの さ ま ざ ま な タ イ プ については、 438 ページの 「Web ア ク セ ス」 を参照 し て く だ さ い。 ま た、 Web ベー スの リ ソ ー スの追加につい ては、 219 ペー ジの 「 リ ソ ー スの追加」 を 参 照 し て く だ さ い。 メモ 5. ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト を ユーザーに展開す る には、 最初に、 コ ミ ュ ニ テ ィ で 使用で き る IP ア ド レ ス プールを 1 つ以上作成す る必要があ り ま す。 デ フ ォ ル ト の場合、 構 成 さ れて い る すべての IP ア ド レ ス プールが コ ミ ュ ニ テ ィ で使用可能に な っ て い ますが、 必 要で あれば特定の IP ア ド レ ス プールを選択す る こ と も で き ます。69 ページの 「ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト の構成」 を参照 し て く だ さ い。 6. ユーザーが WorkPlace に ロ グ イ ン す る と き 、 ネ ッ ト ワー ク リ ソ ース に対す る ア ク セ ス を許 可す る前に、 E-Class SRA エ ー ジ ェ ン ト ま たは ク ラ イ ア ン ト を イ ン ス ト ールす る よ う 求め る こ と も で き ます。 [Require agent in order to access network] を選択す る と 、 エージ ェ ン ト を 必要 と す る ア プ リ ケー シ ョ ン の互換性 を 向上 さ せ る こ と がで き ま す。 結果的にユー ザーのア ク セ スが広範囲に な り 、 ヘルプ デス ク の呼び出 し も 少な く な り ま す。 こ の設定 を 無効にす る と 、 WorkPlace に ロ グ イ ン す る ユーザーが、 エ ー ジ ェ ン ト を イ ン ス ト ールせず に、 変換 Web ア ク セ ス、 カ ス タ ム ポー ト がマ ッ ピ ン グ さ れた Web ア ク セ ス、 カ ス タ ム FQDN がマ ッ ピ ン グ さ れた Web ア ク セ スのいずれかに進む こ と がで き る よ う に な り ます。 こ の場合ユーザーは、 コ ミ ュ ニ テ ィ の構成方法に応 じ て、デ フ ォ ル ト ゾー ン ま たは隔離ゾー ン に割 り 当て ら れます。 7. コ ミ ュ ニ テ ィ に対す る ア ク セ ス方式を選択 し た ら 、 [Next] を ク リ ッ ク し ます。 [End Point Control restrictions] エ リ アが表示 さ れます。 こ こ で、 ク ラ イ ア ン ト デバ イ スのセキ ュ リ テ ィ に基づいて、 コ ミ ュ ニ テ ィ の メ ンバーのア ク セ ス権限を制約で き ます。66 ページの 「 コ ミ ュ ニ テ ィ での End Point Control 制約の使用」 を参照 し て く だ さ い。 こ の コ ミ ュ ニ テ ィ に 対 し て、 End Point Control を採用 し た く ない場合は、 [Finish] を ク リ ッ ク し ま す。 特定の コ ミ ュ ニ テ ィ で、ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト オ プ シ ョ ンが有効に な っ て い ない場合で も 、それま で Connect Tunnel ク ラ イ ア ン ト に ア ク セ ス し て い る ユーザーは、 こ れを使用 し て ア プ ラ イ ア ン ス に ア ク セ ス で き ます。 コ ミ ュ ニ テ ィ が、 変換 Web ア ク セ スのみ を 提供す る よ う 構成 さ れて い る 場合、 ク ラ イ ア ン ト PC は独自のア プ リ ケーシ ョ ン プ ロ ト コ ルに ア ク セ スす る ために必要な ネ ッ ト ワー ク 転送 を 使 用で き ないため、 タ ー ミ ナル リ ソ ースは使用で き な く な り ます。 グ ラ フ ィ カ ル タ ー ミ ナル エー ジ ェ ン ト の構成の詳細については、 465 ページの 「E-Class SRA ア ク セ ス サー ビ スの管理」 を 参照 し て く だ さ い。 コ ミ ュ ニテ ィ での End Point Control 制約の使用 コ ミ ュ ニ テ ィ を作成す る と き 、 ク ラ イ ア ン ト デバ イ スのセキ ュ リ テ ィ に基づいて、 ユーザーの ア ク セ ス を制約で き ます。そのために、 こ の コ ミ ュ ニ テ ィ のユーザーが、どの End Point Control ゾ ー ン を 使用で き る よ う にす る か指定 し ま す。 ゾ ー ン には、 拒否、 標準、 隔離、 デ フ ォ ル ト の 66 | Aventail E-Class SRA 10.7 管理者ガ イ ド 4 つの タ イ プがあ り ま す。 ゾ ー ン の作成方法 と 構成方法、 お よ び接続要求の分類のために使用 す る デバ イ ス プ ロ フ ァ イ ルについ ては、 346 ページの 「ゾ ー ン お よ びデバ イ ス プ ロ フ ァ イ ルに よ る EPC の管理」 を参照 し て く だ さ い。 ま た、 ユーザーが Connect Tunnel ク ラ イ ア ン ト を 使用 し て ア プ ラ イ ア ン ス に ア ク セ ス す る 場 合、 コ ミ ュ ニ テ ィ で End Point Control ゾ ー ン を 使用 し て い な く て も 、 非ア ク テ ィ ブ タ イ マー を設定で き ます。 コ ミ ュ ニ テ ィ に End Point Control 制約を適用す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ま す。 2. 構成 し たい コ ミ ュ ニ テ ィ に対す る リ ン ク を ク リ ッ ク し 、 [End Point Control restrictions] タ ブ を ク リ ッ ク し ます。 3. お使いの導入環境に受け入れ ら れな いデバ イ ス プ ロ フ ァ イ ルがあ る場合、 拒否ゾー ン を使 用 し ます。 例えば、 PC に Google Desktop を イ ン ス ト ール し たユーザーか ら の接続があ っ た場合、 そのユーザーのア ク セ ス を拒否 し たい状況が こ れに当た り ます。 [Deny zones] リ ス ト で エ ン ト リ を選択 ( ま たは作成 ) し 、 [>>] ボ タ ン を ク リ ッ ク し ます。 こ の操作に よ り 、 こ のゾ ー ンが [In use] リ ス ト に移動 し ます。 拒否ゾ ー ンが最初に評価 さ れま す ( 該当す る ユーザーはロ グオ フ さ れます )。 新 し い EPC ゾ ー ン を作成 し 、 それを リ ス ト に追加す る場合は、 [New] ボ タ ン を ク リ ッ ク し ます。 ゾー ンの作成方法については、 341 ページの 「ゾ ー ンの定義」 を参照 し て く だ さ い。 ユーザー管理 | 67 4. コ ミ ュ ニ テ ィ に End Point Control 標準ゾー ン を 1 つ ま たは複数割 り 当て る こ と がで き ま す。 こ のゾー ンは、 コ ミ ュ ニ テ ィ に ア ク セ ス で き る デバ イ ス を決定す る と き に使用 し ます。 ゾ ー ン を 選択 し な い場合、 コ ミ ュ ニ テ ィ の メ ン バーには、 デ フ ォ ル ト ゾ ー ン が割 り 当て ら れま す。 その場合、 ア ク セ ス ポ リ シ ーに基づい て、 リ ソ ース に対す る ア ク セ スの制限や拒 否が決定 さ れます。 [Standard zones] リ ス ト で、 ゾ ー ン に対す る チ ェ ッ ク ボ ッ ク ス を選択 し て、 [>>] ボ タ ン を ク リ ッ ク し ます。 こ の操作に よ り 、 こ のゾ ー ンが [In use] リ ス ト に移 動 し ます。 5. コ ミ ュ ニ テ ィ が複数のゾー ン を参照す る場合、 [Move Up] と [Move Down] を使用 し て、 リ ス ト 内のゾー ンの順序を変更 し ます。 ゾー ンは リ ス ト の順序で処理 さ れる ため、 それぞれの ゾ ー ン で どのデバ イ ス に許可 を 与え る か慎重に検討す る 必要があ り ま す。 最 も 狭い範囲の ゾー ン を リ ス ト の先頭に配置す る よ う に し ます。 6. ク ラ イ ア ン ト デバ イ スがゾ ー ン と 一致 し ない場合、 [Zone fallback options] エ リ アの設定 を使用 し て、 それを デ フ ォ ル ト ゾー ン に入れるか、 そのデバ イ ス を隔離 し て ( オ プ シ ョ ン で ) テキス ト と リ ン ク を含む カ ス タ マ イ ズ ページ を表示 し ます。詳細につい ては、353 ペー ジの 「隔離ゾー ンの作成」 を参照 し て く だ さ い。 7. コ ミ ュ ニ テ ィ メ ンバーに対 し て非ア ク テ ィ ブ タ イ マー ( キーボー ド やマ ウ スが動作 し て い ない場合に ト リ ガー さ れる ) を設定す る ため、 [End inactive user connections] リ ス ト か ら ([After 3 mins] か ら [After 10 hours] ま での ) 時間制限を選択 し ます。 こ れは、 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト で使用 さ れる Windows のみの設定です。 8. [Save] を ク リ ッ ク し て、 コ ミ ュ ニ テ ィ の構成を終了 し ます。 メモ ア プ ラ イ ア ン ス では、 EPC イ ン タ ロ ゲーシ ョ ン を使用 し て、 ク ラ イ ア ン ト 上の 特定のデバ イ ス プ ロ フ ァ イ ル属性につい て チ ェ ッ ク し 、 それに従 っ てデバ イ ス を分類 し ます。 隔離ゾー ンが フ ォ ールバ ッ ク オ プ シ ョ ンの場合、 EPC イ ン タ ロ ゲーシ ョ ン で何 ら かのエ ラ ーが発生す る と 通常で あれば隔離 さ れる デバ イ スがデ フ ォ ル ト ゾ ー ン に入れ ら れる可能性があ り ます。 WorkPlace の外観の構成 コ ミ ュ ニ テ ィ ご と に、 WorkPlace ポー タ ルの コ ン テ ン ツ ページ に適用す る ス タ イ ル と レ イ ア ウ ト を割 り 当て る こ と がで き ます。 WorkPlace のス タ イ ルはページ を 表示す る際に使用す る色、 フ ォ ン ト 、 画像 を決定 し 、 レ イ ア ウ ト はページ コ ン テ ン ツ、 コ ン テ ン ツの配置方法、 ポー タ ルでの移動方法を決定 し ます。 ロ グ イ ン、 エ ラ ー、 通知のページのス タ イ ルについては、 サ イ ト のセ ッ ト ア ッ プ時に指定 し ます。 コ ミ ュ ニ テ ィ のス タ イ ル と レ イ ア ウ ト を作成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ま す。 2. 構成 し たい コ ミ ュ ニ テ ィ に対す る リ ン ク を ク リ ッ ク し 、 [WorkPlace Appearance] タ ブ を ク リ ッ ク し ます。 3. 既存ス タ イ ルを選択 し ます。 ま たは、 [Manage styles] を ク リ ッ ク し て既存ス タ イ ルを変更 す るか、 ス タ イ ルを新たに作成 し ます。 WorkPlace のス タ イ ルの構成につい ては、 416 ペー ジの 「WorkPlace ス タ イ ルの作成ま たは編集」 を参照 し て く だ さ い。 4. 既存レ イ ア ウ ト を選択 し ます。 ま たは、 [Manage layouts] を ク リ ッ ク し て既存レ イ ア ウ ト を 変更す る か、 レ イ ア ウ ト を 新た に作成 し ま す。 WorkPlace の レ イ ア ウ ト の構成につい て は、 417 ページの 「WorkPlace レ イ ア ウ ト の作成ま たは編集」 を参照 し て く だ さ い。 5. こ の コ ミ ュ ニ テ ィ のレ イ ア ウ ト は、 自動的に小型のデバ イ ス に収ま る よ う 変更 さ れます。 例 えば、 [ イ ン ト ラ ネ ッ ト ア ド レ ス ボ ッ ク ス ] がレ イ ア ウ ト に含まれてい る場合、 上級モデル のモバ イ ル デバ イ ス には表示 さ れますが、 基本モデルには表示 さ れません。 68 | Aventail E-Class SRA 10.7 管理者ガ イ ド こ の表示方法を許容で き な い場合は、 [Small form factor devices] エ リ ア で、 さ ま ざ ま な デバ イ ス ク ラ スに合わせて異な る レ イ ア ウ ト を指定で き ます。 コ ミ ュ ニ テ ィ 作成時には、そ の コ ミ ュ ニ テ ィ の WorkPlace ポー タ ルがモバ イ ル デバ イ ス で どのよ う にデ フ ォ ル ト 表示 さ れるかを確認 し てか ら 、 必要に応 じ て新 し い レ イ ア ウ ト を作成す るか、 既存レ イ ア ウ ト を変 更す る こ と を お勧め し ます。 ネ ッ ト ワー ク ト ンネル ク ラ イ ア ン ト の構成 こ のセ ク シ ョ ン では、 Connect Tunnel ク ラ イ ア ン ト お よ び OnDemand Tunnel エージ ェ ン ト の 設定を構成す る方法について説明 し ます。 IP ア ド レスの割 り 当て ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト か ら の TCP/IP 接続 を 管理す る よ う ネ ッ ト ワー ク ト ン ネ ル サー ビ ス を構成す る には、 IP ア ド レ ス を ク ラ イ ア ン ト に割 り 当て る ための IP ア ド レ ス プー ルを セ ッ ト ア ッ プす る必要があ り ます。 ア ド レ ス プ ールの設定は、 通常、 ネ ッ ト ワー ク ト ン ネ ル サー ビ ス を構成す る と き に行い ま す。 IP ア ド レ ス プールを最初に設定す る方法については、 470 ページの 「IP ア ド レ ス プールの構成」 を参照 し て く だ さ い。 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト を ユーザーに展開す る コ ミ ュ ニ テ ィ を 作成す る と き 、 コ ミ ュ ニ テ ィ の メ ン バーがどの IP ア ド レ ス プ ール を 使用で き る よ う にす る か を 指定す る 必要が あ り ます。 デ フ ォ ル ト の場合、 構成 さ れて い る すべてのア ド レ ス プールが使用可能に な っ て い ますが、 必要で あれば特定の IP ア ド レ ス プールを選択す る こ と も で き ます。 セ ッ シ ョ ンの持続性 ト ン ネル ク ラ イ ア ン ト と Connect Mobile は、 ノ ー ト 型 PC の ド ッ キ ン グ を解除 し て会議に持 ち込む場合や、外出時にセル ラ ー ネ ッ ト ワー ク 境界を ま た ぐ 場合な ど、( 特に モバ イ ル ユーザー におい て ) 頻繁に発生す る接続の中断に自動的に対処 し ま す。 こ のよ う な一時的な中断が発生 し て も 、 ユーザーは再認証な し で セ ッ シ ョ ン を再開で き ます。 ユーザーの IP ア ド レ スが変わ っ て も ( オ フ ィ スか ら 自宅に移動 し た場合な ど ) セ ッ シ ョ ンが自 動的に再確立 さ れる よ う にす る には、 EPC ゾー ンの設定時に [Allow user to resume session from multiple IP addresses] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 詳細につい ては、 349 ページ の 「標準ゾ ー ンの作成」 ま たは 355 ページの 「デ フ ォ ル ト ゾー ンの構成」 を参照 し て く だ さ い。 こ の設定が無効に な っ て い る 場合や、 以下のいずれかに該当す る 場合は、 再認証が必要に な り ます。 • • ア プ ラ イ ア ン ス でのユーザーのセ ッ シ ョ ンの期限が切れている 提示 し た ク レデン シ ャ ル (SmartCard な ど ) が、 一時停止 / 再開時に持続 し ない リ ダ イ レ ク シ ョ ン モー ド ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト を 構成す る と き 、 リ ダ イ レ ク シ ョ ン モ ー ド を 指定 し 、 ク ラ イ ア ン ト ト ラ フ ィ ッ ク がア プ ラ イ ア ン ス に リ ダ イ レ ク ト さ れる方法を決定す る必要があ り ま す。ネ ッ ト ワー ク ト ン ネルサー ビ ス では、次の リ ダ イ レ ク シ ョ ン モー ド をサポー ト し てい ます。 スプ リ ッ ト ト ンネル モー ド (Split Tunnel Mode) ス プ リ ッ ト ト ン ネ ル モ ー ド で は、 AMC で 定義 さ れ て い る リ ソ ー ス に バ イ ン ド さ れ た ト ラ フ ィ ッ ク が ト ン ネル経由 で リ ダ イ レ ク ト さ れ、 他の ト ラ フ ィ ッ ク はすべ て 通常 ど お り にルー テ ィ ン グ さ れま す。 こ れは、 「 リ ダ イ レ ク ト オール モ ー ド 」 よ り も 安全性は低い ですが、 イ ン タ ーネ ッ ト ア ク セ ス を妨げないため、 ユーザーに と っ ては利便性が高 く な り ます。 ユーザー管理 | 69 イ ン タ ーネ ッ ト 接続 ( ト ン ネル分割 を 行 っ て再ルー テ ィ ン グす る こ と に よ り ネ ッ ト ワー ク リ ソ ース に到達す る可能性があ る ) を介 し て、 ユーザーの コ ン ピ ュ ー タ に対 し 許可 さ れて い な い ア ク セ ス が行われ る の を 防止す る た め に、 ユ ーザーの コ ン ピ ュ ー タ で パー ソ ナ ル フ ァ イ ア ウ ォ ールやウ イ ルス対策機能が動作す る よ う 求める End Point Control 制約の使用について も 考 慮 し ます。 ま た、 ユーザーが ロ ー カ ルの プ リ ン タ や フ ァ イ ル共有に も ア ク セ ス で き る よ う にす る 場合は、 [Split tunnel, with cacess to local network] を選択 し ます。 ア プ ラ イ ア ン スがス プ リ ッ ト ト ン ネル モー ド のいずれかに構成 さ れて い る場合は、 ロ ー カ ル と リ モー ト のネ ッ ト ワー ク ア ク セ スのど ち ら を優先す るかを ユーザーが決定で き る よ う に設定す る こ と が可能です。 例えば、 ア ド レ スが 192.168.230.1 のホ ス ト リ ソ ース (Web サーバー ) が あ る と し ます。 出張先にい る ユーザーの使いたい プ リ ン タ が会議場のロ ー カ ル ネ ッ ト ワー ク 上 にあ り 、 プ リ ン タ も 同 じ ア ド レ ス を 使用 し て い る こ と が判明 し た場合、 AMC で [Allow users to indicate which split tunnel redirection mode to use on the client] オ プ シ ョ ンが選択 さ れ ていれば、 ユーザーはネ ッ ト ワー ク 競合があ る場合に ロ ー カ ル リ ソ ース ( こ の場合はプ リ ン タ ) を優先 さ せる こ と がで き ます。こ の選択は、ク ラ イ ア ン ト 上で、Connect Tunnel の [Properties] ダ イ ア ロ グ ボ ッ ク スの [Advanced] タ ブ で行い ます。 リ ダ イ レ ク ト オール モー ド (Redirect All Mode) リ ダ イ レ ク ト オール モー ド では、 AMC で リ ソ ースがどのよ う に定義 さ れて い るかにかかわ ら ず、 ト ラ フ ィ ッ ク が ト ン ネル経由で リ ダ イ レ ク ト さ れま す。 こ のオ プ シ ョ ン は、 セキ ュ リ テ ィ を強化 し ますが、 ユーザーは ト ン ネル セ ッ シ ョ ン時にネ ッ ト ワー ク デバ イ ス に ア ク セ ス で き な く な り ます。 し か も ネ ッ ト ワー ク の構成に よ っ ては、 イ ン タ ーネ ッ ト ア ク セ ス も 阻害 さ れます。 「 リ ダ イ レ ク ト オール モ ー ド 」 は、 「ス プ リ ッ ト ト ン ネル モー ド 」 よ り も 安全です。 Connect Tunnel を 「 リ ダ イ レ ク ト オール モー ド 」 で開始 し た後で も 、 ユーザーはルーテ ィ ン グ テー ブ ルを変更で き ますが、 ア プ ラ イ ア ン スか ら ク ラ イ ア ン ト に送信 さ れた リ ダ イ レ ク シ ョ ン リ ス ト に一致 し な い ト ラ フ ィ ッ ク はすべて即座に ド ロ ッ プ さ れま す。 こ れに よ っ て ユーザーは、 ア プ ラ イ ア ン ス を バ イ パス し ネ ッ ト ワー ク に戻 る 独自の ト ン ネル分割接続 を 作成す る ために、 コ ン ピ ュ ー タ 上 のル ー テ ィ ン グ テ ー ブ ル を 変更 で き な く な り ま す。 ル ー テ ィ ン グ テ ー ブ ルが Connect Tunnel ク ラ イ ア ン ト に よ っ て変更 さ れた後にルー テ ィ ン グ テ ー ブル を 変更 し て も 効 果はあ り ません。 詳細につい ては、 468 ページの 「ネ ッ ト ワー ク ト ン ネル サー ビ スの構成」 を 参照 し て く だ さ い。 すべての ト ラ フ ィ ッ ク を ア プ ラ イ ア ン ス経由で リ ダ イ レ ク ト し つつ、 ユーザーが ロ ー カ ルのプ リ ン タ や フ ァ イ ル共有に も ア ク セ ス で き る よ う にす る には、[Redirect all, with access to local network] を選択 し ます。 例えば、 在宅勤務す る リ モー ト 従業員の コ ミ ュ ニ テ ィ があ る場合、 こ の リ ダ イ レ ク シ ョ ン モー ド を使用すれば、 セキ ュ リ テ ィ を最大限に高めなが ら 、 プ リ ン タ な ど 自宅のネ ッ ト ワー ク の リ ソ ース も 利用で き る よ う にす る こ と が可能です。 プ ロキシ サーバー リ ダ イ レ ク シ ョ ン オ プ シ ョ ン で、 VPN 接続がア ク テ ィ ブ な場合に、 イ ン タ ーネ ッ ト への ト ラ フ ィ ッ ク を内部プ ロ キシ サーバー経由で リ ダ イ レ ク ト す る よ う 構成す る こ と も で き ます。 こ れは、 HTTP プ ロ キシ サーバー を使用 し て、 イ ン タ ーネ ッ ト リ ソ ースへの リ モー ト ユーザーのア ク セ ス を制御 し たい 場合に使用す る と 便利です。 こ のオ プ シ ョ ンは、 「 リ ダ イ レ ク ト オール モ ー ド 」 が有効な場合 に限 り 使用で き ます。 こ の設定の構成方法につい ては、 74 ページの 「 ト ン ネル ク ラ イ ア ン ト 設 定の構成」 を参照 し て く だ さ い。 メモ リ ダ イ レ ク シ ョ ン モー ド と し て [Redirect all, with access to local network] を選択 し た場合、 ユーザーはロ ー カ ルの フ ァ イ ル共有 と プ リ ン タ に ア ク セ ス で き ま す。 た だ し 、 リ モ ー ト プ ロ キ シ に .pac フ ァ イ ル を 使用 し て い る 場合は、 その リ ダ イ レ ク シ ョ ン ルール 70 | Aventail E-Class SRA 10.7 管理者ガ イ ド が、 WinINet ネ ッ ト ワ ー キ ン グ ラ イ ブ ラ リ (Internet Explorer、 Media Player、 Instant Messenger な ど ) 経由でルーテ ィ ン グ さ れる すべての ト ラ フ ィ ッ ク で優先 さ れます。 例 えば、 ユーザーは、 ロ ー カ ル ネ ッ ト ワー ク にあ るサーバーであればその Web ア プ リ ケー シ ョ ン に ア ク セ ス で き る と 考え る 可能性があ り ま すが、 実際には リ モ ー ト プ ロ キシ経由 で要求が リ ダ イ レ ク ト さ れます。 ト ンネル ク ラ イ ア ン ト と プ ロキシ自動構成フ ァ イル (Linux プ ラ ッ ト フ ォ ーム ) プ ロ キ シ サーバーが イ ン タ ーネ ッ ト へのア ウ ト バ ン ド ア ク セ ス に使用 さ れて い る 環境におい て、 OnDemand Tunnel ま たは Connect Tunnel が Linux プ ラ ッ ト フ ォ ームで開始 さ れる と 、 EClass SRA ア プ ラ イ ア ン ス ではブ ラ ウザのプ ロ キシ自動設定 (.pac) フ ァ イ ルに リ ダ イ レ ク シ ョ ン 設定が追加 さ れま す。 こ の よ う な変更が有効なのはセ ッ シ ョ ン の間だけ で あ り 、 ユーザーが ロ グ ア ウ ト し て い る と き は元のブ ラ ウザ設定が使用 さ れま す。 こ のプ ラ ッ ト フ ォ ーム と ク ラ イ ア ン ト の組み合わせに関 し ては、 次のよ う な既知の問題があ り ます。 • • • ユーザーのセ ッ シ ョ ンの間に、 ブ ラ ウザの .pac フ ァ イルへの変更許可を求める確認 メ ッ セー ジが 1 つ以上表示 さ れる場合があ り ます。 WorkPlace に ロ グ イ ン し て適切な機能を使用する ためには、 こ の .pac フ ァ イルへの変更を受け入れる必要があ り ます。 サーバーの .pac フ ァ イルが更新 さ れた ら、 ユーザーは OnDemand Tunnel または Connect Tunnel ク ラ イ ア ン ト で接続 し て変更を取 り 込むか、 手動で元のプ ロキシ設定に戻す必要があ り ます。 Connect Tunnel の起動時にユーザーの Firefox ブ ラ ウザのウ ィ ン ド ウが開いている と 、 その 開いている ブ ラ ウザ ウ ィ ン ド ウには、( 適切に接続を リ ダ イ レ ク ト する ために ) ア プ ラ イ ア ン ス で ブ ラ ウザの .pac フ ァ イルに加え る必要があ る変更内容が適用 さ れません。 ユーザーはウ ィ ン ド ウ を閉 じ てか ら Firefox を も う 一度開 く か、 ブ ラ ウザのプ ロ キシ設定を 手動で リ ロ ー ド す る必要があ り ます。 UDP ト ンネル モー ド ネ ッ ト ワー ク ア ド レ ス変換 (NAT) に よ り 、 複数のプ ラ イ ベー ト ネ ッ ト ワー ク ア ド レ ス で 1 つ のパブ リ ッ ク IPv4 ア ド レ ス を 共有で き ま す。 た だ し 、 ア ド レ ス変換が実行 さ れ る と い う こ と は、VoIP やテ レ ビ会議 と い っ た ク ラ イ ア ン ト 間のネ ッ ト ワー ク ア プ リ ケーシ ョ ンが適切に動作 し ない と い う こ と も 意味 し ます。 こ のよ う な ネ ッ ト ワー ク ア プ リ ケーシ ョ ン において信頼で き る接続を確立 し て維持す る には、 ユーザーの IP ア ド レ スが必要に な り ま す。 ESP (Encapsulating Security Payload) と は、 UDP ラ ッ パー ( ポー ト 4500) 内部でパケ ッ ト の カ プ セル化お よ び カ プ セル化解除 を 行 っ て NAT を ト ラ バー ス さ せ る た めの プ ロ ト コ ル で す。 ESP を使用す る と 、 VoIP な どの UDP ス ト リ ー ミ ン グ用ア プ リ ケーシ ョ ンのパ フ ォ ーマ ン ス を 向上 さ せる こ と がで き ます。 ESP の詳細につい ては、 RFC 2406 お よ び 3948 を参照 し て く だ さ い。 http://www.ietf.org/rfc/rfc2406.txt http://www.ietf.org/rfc/rfc3948.txt ESP に よ る カ プ セル化は、 新規定義 さ れ る コ ミ ュ ニ テ ィ のデ フ ォ ル ト 設定に な り ま す。 UDP ポー ト 4500 は、 ア プ ラ イ ア ン スの外部 IP ア ド レ ス と 仮想 IP ア ド レ ス に対 し て送受信 さ れる ト ラ フ ィ ッ ク 向けにネ ッ ト ワー ク フ ァ イ ア ウ ォ ールで開放 さ れて い る必要があ り ます。 外部の ア プ ラ イ ア ン ス ト ラ フ ィ ッ ク が NAT の対象 と な る場合は、UDP ポー ト 4500 用に NAT を構成 す る必要があ り ます。 ま た、 まれですが、 PMTU 検出が適切に実装 さ れてい ない (RFC 1191 を 参照 ) ネ ッ ト ワー ク 環境では、 特定のア プ リ ケーシ ョ ンが非効率的に実行 さ れるか、 ESP カ プ セル化使用時にはま っ た く 実行 さ れな い可能性があ り ます。 ユーザー管理 | 71 ESP が有効な と き は、 ク ラ イ ア ン ト と EX-Series ア プ ラ イ ア ン ス間で自動的に ESP の使用に つい て ネ ゴ シ エーシ ョ ン さ れます。 ESP を すべての ト ラ フ ィ ッ ク で使用す る こ と も 、 UDP ト ラ フ ィ ッ ク に限定 し て使用す る こ と も で き ます。 ESP が失敗 し た場合や ク ラ イ ア ン ト でサポー ト し てい ない場合は、 代わ り に SSL ト ン ネルが自動的に使用 さ れます。 AMC の [User Sessions] ページ には、 使用 さ れて い る ト ン ネルの タ イ プが示 さ れます。 ロ グ フ ァ イ ルに も 、 使用 さ れた ト ン ネルが示 さ れます。 ロ グ メ ッ セージの場合は、 UDP ポー ト 4500 パケ ッ ト が ESP ト ラ フ ィ ッ ク に使用 さ れ、 TCP ポー ト 443 パケ ッ ト が SSL ト ン ネル パケ ッ ト に使用 さ れる こ と が示 さ れます。 安全なネ ッ ト ワークの検出 安全な ネ ッ ト ワー ク の検出 (SND) に よ り 、 ユーザーは安全性の低い場所か ら ロ グ イ ン す る と き で も 自動的に ト ン ネル接続 を 確立で き ま す。 ク ラ イ ア ン ト は、 接続 さ れた イ ン タ ー フ ェ ー ス に 対 し て、 ク ラ イ ア ン ト の DNS サ フ ィ ッ ク ス と サーバー を比較す る こ と で、 安全な ネ ッ ト ワー ク にデバ イ スが接続 し て い る かど う か を 判断 し ま す。 こ の比較に応 じ て発生す る こ と は、 次の と お り です。 接続 さ れた場合 ... 接続 さ れなか っ た場合 ... DNS エ ン ト リ が検出 さ 切断 し 、 SND 状態で再接続 れた SND 状態で接続 DNS エ ン ト リ が検出 さ 接続状態を維持 れなか っ た ダ イ ヤラ ーを使用 し て接続 安全な ネ ッ ト ワー ク の検出 (SND) は、 Connect Tunnel お よ び Mobile Connect に よ り 提供 さ れ ます。 SND は、 ク ラ イ ア ン ト のエ ン ド ポ イ ン ト デバ イ スか ら SRA E-Class ア プ ラ イ ア ン スへ の安全な 「常時接続」 SSL VPN セ ッ シ ョ ン を可能に し ます。 SND が有効に な っ て い る と き に、 ユーザーが安全ではな いネ ッ ト ワー ク を 使用す る と 、 Connect Tunnel お よ び Mobile Connect ク ラ イ ア ン ト で検出 さ れ、 自動的に ト ン ネル接続が確立 さ れま す。 接続ス テ ー タ スは、 シ ス テ ム ト レ イ 上のア イ コ ン で示 さ れます。 シ ス テム ト レ イ ア イ コン 説明 接続中 切断中 ス タ ンバイ SND を使用す る際には、 次の点に注意 し て く だ さ い。 • • SDN を機能 さ せる には、EPC ゾーンのレ ベルで [Allow session to resume from multiple IP addresses] チ ェ ッ ク ボ ッ ク ス を選択 し てお く 必要があ り ます。 バージ ョ ン 10.7.0 では、 ユーザーが Connect Tunnel を起動 し 、 SND が有効にな っ ている ア プ ラ イ ア ン スに接続 し て も PC 上の Connect Tunnel ク ラ イ ア ン ト が待機状態に移行する と 、 VPN サービ ス を効果的に使用 し てお ら ず、 オ フ ィ スで安全なネ ッ ト ワー ク に接続 さ れていて 72 | Aventail E-Class SRA 10.7 管理者ガ イ ド • • も 、 ユーザーはア プ ラ イ ア ン スで ラ イ セ ン ス を最大 20 分間使用 し 続けます。 限 られた数の ラ イ セ ン ス を複数のユーザーが共有 し ている一部の導入環境では、 ラ イ セ ン スの上限に達 し て し まい、 それ以上ユーザーがロ グ イ ン で き な く な り ます。 特に、 ほ と んどのユーザーがロ グ イ ン し てい る場合は、 状態の変更直後に ラ イ セ ン スの制限がかか り ます。 AMC デ フ ォル ト ゾーンのチーム ソ ース チ ェ ッ クのプ ロパテ ィ は、EPC が無効にな っ てい る と き にア プ ラ イ ア ン スに影響 し ます。 10.7 よ り も以前のバージ ョ ン を実行 し 、 End Point Control が無効にな っ てい る ア プ ラ イ ア ン スの場合、 ユーザーは複数の異な る IP ア ド レ スか ら ロ グ イ ン で き ます。 こ れは、 End Point Control が無効にな っ てい る と きはデ フ ォ ル ト ゾーンの値が使用 さ れる ため、 [Allow user to resume session from multiple IP addresses] のデ フ ォ ル ト 値が true ( チ ェ ッ ク あ り ) に変更 さ れたか ら です。 接続後ス ク リ プテ ィ ング ネ ッ ト ワ ー ク ト ン ネル接続が確立 さ れた後、 ク ラ イ ア ン ト の Windows、 Mac OS X、 ま たは Linux コ ン ピ ュ ー タ 上で実行可能 フ ァ イ ルやス ク リ プ ト を 起動す る よ う 構成す る こ と も で き ま す。 例 え ば、 ネ ッ ト ワ ー ク ド ラ イ ブ を マ ッ プ す る た め の コ マ ン ド ス ク リ プ ト を 実 行 す る Windows .bat フ ァ イ ルを指定で き ます。 ま た、 ス ク リ プ ト が起動す る と き に動作す る コ マ ン ド ラ イ ン オ プ シ ョ ン も 指定で き ます。 た だ し 、 ク ラ イ ア ン ト で単に、 指定 さ れて い る コ マ ン ド ラ イ ン オ プ シ ョ ン を使用 し て ス ク リ プ ト を 実行す る に過ぎず、 ア プ ラ イ ア ン ス におい て ス ク リ プ ト を ユーザーに プ ロ ビ ジ ョ ニ ン グす る わけ ではあ り ません。 そのため、 ク ラ イ ア ン ト で ス ク リ プ ト を 実行す る ためには、 指定 さ れ てい る ス ク リ プ ト がユーザーの コ ン ピ ュ ー タ 上にすで に存在 し て い る必要があ り ます。ま た、指 定 さ れてい る ス ク リ プ ト は個別に展開 し て管理す る必要 も あ り ます。 こ の設定の構成方法については、 74 ページの 「 ト ン ネル ク ラ イ ア ン ト 設定の構成」 お よ び 74 ページの 「 ト ン ネル ク ラ イ ア ン ト 設定の構成」 を参照 し て く だ さ い。 Windows Tunnel ク ラ イ ア ン ト の自動ク ラ イ アン ト 更新 Connect Tunnel ま たは OnDemand Tunnel ク ラ イ ア ン ト の Windows バージ ョ ン ( バージ ョ ン 8.7 以降 ) が動作 し て い る場合、 自動 ソ フ ト ウ ェ ア更新を有効にす る こ と で、 最新バージ ョ ンの ク ラ イ ア ン ト が イ ン ス ト ール さ れる よ う に な り ます。 ユーザーが Windows ト ン ネル ク ラ イ ア ン ト を 起動 し 認証す る たびに、 現在のバージ ョ ンの ク ラ イ ア ン ト ソ フ ト ウ ェ アがチ ェ ッ ク さ れ、 ア プ ラ イ ア ン ス で利用で き る最新バージ ョ ンかど う かが確認 さ れま す。 それ よ り も 新 し いバー ジ ョ ン があ る 場合は、 ア ッ プ デー ト を ダ ウ ン ロ ー ド で き る こ と がユーザーに通知 さ れます。 ク ラ イ ア ン ト ア ッ プデー ト を イ ン ス ト ールす る場合に ユーザーが選択で き る オ プ シ ョ ン を ( コ ミ ュ ニ テ ィ 単位で ) 構成す る こ と も 可能です。 ユーザーがア ッ プデー ト プ ロ セス を開始する時期を選択で き る よ う に し ます。 ア ッ プデー ト は無期限に延期する こ と も で き ます。 ただ し 、 ア ッ プデー ト が イ ン ス ト ール さ れない と 、 ト ン ネル ク ラ イ ア ン ト が起動する たびに、 ユーザーにア ッ プデー ト のア ラ ー ト が表示 さ れます (1 日に 1 回 )。 • 必要条件にする ( ユーザーが VPN リ ソ ースにア ク セスする際、 ア ッ プデー ト を受け入れなけ ればな ら ないよ う にする ) か、 強制する ( す ぐ に イ ン ス ト ール プ ロ セスが始ま り ユーザーが それをキ ャ ン セルで き ないよ う にする ) こ と に よ り 、 ア ッ プデー ト を必須条件に し ます。 ユーザーが、ソ フ ト ウ ェ ア ア ッ プデー ト のダ イ ア ロ グ ボ ッ ク ス で [Install] を ク リ ッ ク す る こ と に よ り 、 ト ン ネル ク ラ イ ア ン ト ソ フ ト ウ ェ アのア ッ プデー ト を受け入れる と 、 ク ラ イ ア ン ト ソ フ ト ウ ェ ア ア ッ プデー ト が自動的にダウ ン ロ ー ド さ れ、 ユーザーの コ ン ピ ュ ー タ に イ ン ス ト ー ル さ れるか (Connect Tunnel の場合 )、 ア ク テ ィ ブ に な り ます (OnDemand Tunnel の場合 )。 イ ン ス ト ールが終わ っ た ら 、 ト ン ネル ク ラ イ ア ン ト が自動的に再起動 し ます。 ア ッ プデー ト を イ ン ス ト ール し た後、 ユーザーが コ ン ピ ュ ー タ を再起動す る必要はあ り ません。 • ユーザー管理 | 73 ソ フ ト ウ ェ ア ア ッ プ デー ト の構成につい ては、 74 ページの 「 ト ン ネル ク ラ イ ア ン ト 設定の構 成」 を参照 し て く だ さ い。 セ ッ シ ョ ンの終了 デ フ ォ ル ト の場合、 ト ン ネル ク ラ イ ア ン ト のセ ッ シ ョ ンが確立 し た ら 、 ア プ ラ イ ア ン ス で その セ ッ シ ョ ン を 終了 さ せ る こ と はあ り ません。 ユーザーはセ ッ シ ョ ン を 待機状態に し 、 再認証な し で復帰 さ せる こ と がで き ます。 こ れがセキ ュ リ テ ィ リ ス ク と 判断 さ れる環境の場合は、 セ ッ シ ョ ン を終了 さ せて、 ユーザーに再認証を要求で き ます。 • • 手動設定 :AMC の メ イ ン ナ ビゲーシ ョ ン メ ニ ュ ーか ら [User Sessions] を ク リ ッ ク し てセ ッ シ ョ ンの リ ス ト を確認 し てか ら、 利用可能な終了オ プ シ ョ ンのいずれかを選択 し ます。 詳細 については、 288 ページの 「ユーザー セ ッ シ ョ ンの終了」 を参照 し て く だ さ い。 自動設定:ユーザーの ク レデン シ ャ ルが期限切れにな っ た ら す ぐ に再認証を求める メ ッ セージ をユーザーに表示する よ う ト ン ネル ク ラ イ ア ン ト を構成で き ます。 ト ン ネル ク ラ イ ア ン ト の 構成時に [Limit session length to credential lifetime] を選択する と 、 特定の コ ミ ュ ニ テ ィ の セ ッ シ ョ ン は終了 し 、 [Credential lifetime] ([Configure General Appliance Options] ページ ) で指定 し た時間の経過後に再認証が要求 さ れます。 こ のオ プ シ ョ ン の構成方法につい ては、 74 ページの 「 ト ン ネル ク ラ イ ア ン ト 設定の構成」 を参照 し て く だ さ い。 ト ンネル ク ラ イ ア ン ト 設定の構成 Connect Tunnel はユーザーのデバ イ ス に イ ン ス ト ール さ れ る ク ラ イ ア ン ト ア プ リ ケー シ ョ ン で あ り 、 OnDemand Tunnel はユーザーが ActiveX ま たは Java 対応デバ イ スか ら WorkPlace に ロ グ イ ン す る たびに ア ク テ ィ ブ化 さ れる軽量の Web ベースのエージ ェ ン ト です。こ れ ら 2 つ のア ク セ ス方法は、 イ ン ス ト ール さ れ る かア ク テ ィ ブ化 さ れ る かで異な り ま すが、 ど ち ら も 同 じ 構成設定を使用 し ます。 こ のセ ク シ ョ ン では、 ト ン ネル ク ラ イ ア ン ト 設定の構成方法について説明 し ます。 こ の設定の 詳細につい ては、 69 ページの 「ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト の構成」 を 参照 し て く だ さ い。 ト ン ネル ク ラ イ ア ン ト ま たはエージ ェ ン ト の設定を構成す る には 1. 選択 し た コ ミ ュ ニ テ ィ の [Access Methods] ページ で、 次のア ク セ ス方法のいずれかま た は両方を選択 し ます。 – [Network tunnel client (OnDemand)] – [Client/server proxy agent (OnDemand)] 74 | Aventail E-Class SRA 10.7 管理者ガ イ ド 2. [Smart tunnel Access] エ リ ア で [Configure] を ク リ ッ ク し ます。[Network Tunnel Client Settings] ページが表示 さ れます。 3. デ フ ォ ル ト では、 構成済みの IP ア ド レ ス プ ールがあれば、 選択 し た コ ミ ュ ニ テ ィ にそれが 提供 さ れま す。 個別の IP ア ド レ ス プ ール を 選択す る には、 [IP address pools] エ リ アの [Edit] を ク リ ッ ク し て、 リ ス ト か ら 構成済みのア ド レ ス プ ールを選択 し ます。 4. ク ラ イ ア ン ト ト ラ フ ィ ッ ク を ア プ ラ イ ア ン ス にルー テ ィ ン グす る際に使用す る リ ダ イ レ ク シ ョ ン モー ド を [Redirection mode] か ら 選択 し ます。 ネ ッ ト ワー ク ト ン ネル サー ビ ス で は、 複数の リ ダ イ レ ク シ ョ ン モ ー ド を サポー ト し て い ま す。 サポー ト さ れて い る リ ダ イ レ ク シ ョ ン モー ド の詳細につい ては、 69 ページの 「 リ ダ イ レ ク シ ョ ン モー ド 」 を参照 し て く だ さ い。 – [Split tunnel] : AMC で定義 さ れて い る リ ソ ース にバ イ ン ド さ れた ト ラ フ ィ ッ ク が ト ン ネル経由で リ ダ イ レ ク ト さ れ、 他の ト ラ フ ィ ッ ク はすべて通常ど お り にルー テ ィ ン グ さ れます。 – [Split tunnel, with access to local network] : ユーザーがロ ー カ ルのプ リ ン タ や フ ァ イ ル共有に ア ク セ ス で き る よ う に し ます。 – [Redirect all] :AMC で リ ソ ースがどのよ う に定義 さ れて い るかにかかわ ら ず、 ト ラ フ ィ ッ ク が ト ン ネル経由で リ ダ イ レ ク ト さ れます。 – すべての ト ラ フ ィ ッ ク を ア プ ラ イ ア ン ス経由で リ ダ イ レ ク ト し つつ、 ユーザーがロ ー カ ルのプ リ ン タ や フ ァ イ ル共有に も ア ク セ ス で き る よ う にす る には、 [Redirect all, with access to local network] を選択 し ます。 ユーザー管理 | 75 5. ( オ プ シ ョ ン ) ア プ ラ イ ア ン スがス プ リ ッ ト ト ン ネル モー ド のいずれかに構成 さ れて い る場 合は、[Allow users to indicate which split tunnel redirection mode to use on the client] を 選択すれば、 ロ ー カ ル と リ モ ー ト のネ ッ ト ワー ク ア ク セ スのど ち ら を 優先す る か を ユー ザーが決定で き る よ う に な り ま す。 詳細 と 例につい ては、 69 ページの 「 リ ダ イ レ ク シ ョ ン モー ド 」 を参照 し て く だ さ い。 6. ( オ プ シ ョ ン ) [Connect Tunnel options] を ク リ ッ ク し て拡大 し 、 次の項目に入力 し ます。 – [Caption for start menu and icon] ボ ッ ク ス には、ユーザーのデス ク ト ッ プの Connect ア イ コ ンの メ ニ ュ ーお よ び下部に表示 さ せたい Connect Tunnel ク ラ イ ア ン ト 用の カ ス タ マ イ ズ テキス ト を入力 し ます。 – [Create icon on desktop] : デス ク ト ッ プ に Connect Tunnel ク ラ イ ア ン ト のア イ コ ン を置 き ます。 – [Run at system startup] : オペ レ ーテ ィ ン グ シ ス テムがユーザーの コ ン ピ ュ ー タ で起 動 し た と き に Connect Tunnel ク ラ イ ア ン ト を自動的に実行 し ます (Windows のみ )。 7. シ ン グル サ イ ン オ ン を使用す る には、 キ ャ ッ シ ュ さ れた ク レ デ ン シ ャ ルを使用す る タ イ ミ ン グ を選択 し ます。 – [Always] : 利用可能で あれば、 キ ャ ッ シ ュ さ れた ク レ デ ン シ ャ ルを常に使用 し ま す。 76 | Aventail E-Class SRA 10.7 管理者ガ イ ド – [At user’s discretion] : キ ャ ッ シ ュ さ れた ク レ デ ン シ ャ ルを使用す る タ イ ミ ン グはユー ザーが決定 し ます。 – [Never] : ユーザーは、 キ ャ ッ シ ュ さ れた ク レ デ ン シ ャ ルを使用で き ません。 Windows シ ス テムでは、 キ ャ ッ シ ュ さ れた シ ス テム ク レ デン シ ャルが Connect Tunnel で使 用 さ れる こ と に注意 し て く だ さ い。他のシ ス テムで も、入力 さ れた ク レ デン シ ャルは Connect Tunnel で記憶 さ れ、 以降の接続で使用 さ れます。 8. ク ラ イ ア ン ト ア ッ プデー ト が利用で き る と き にユーザーに通知す る場合や、 ソ フ ト ウ ェ ア を自動的に更新す る場合は、 [Software updates] オ プ シ ョ ンのいずれかを 使用 し ます。 こ の設定は、ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト が Aventail WorkPlace か ら ク ラ イ ア ン ト を プ ロ ビ ジ ョ ニ ン グす る構成に な っ て お り 、 バージ ョ ン 8.7 以降の場合にのみ選択で き ます。 – [Manual] : ユーザーがア ッ プデー ト を手動で開始す る必要があ り ます。 – [At user's discretion] : ユーザーが ソ フ ト ウ ェ ア ア ッ プデー ト の イ ン ス ト ール時期を 決定で き ます。 ア ッ プデー ト は無期限に延期す る こ と も で き ます。 た だ し 、 ア ッ プデー ト が イ ン ス ト ール さ れな い と 、 ト ン ネル ク ラ イ ア ン ト が起動す る際に、 ユーザーに ソ フ ト ウ ェ ア ア ッ プ デー ト のア ラ ー ト が表示 さ れます (1 日に 1 回 )。 – [Required] : ユーザーが ト ン ネル ク ラ イ ア ン ト 経由で VPN リ ソ ース に ア ク セ スす る た めには、 ア ッ プデー ト を受け入れる必要があ り ます。 – [Forced] : 接続す る ためにはア ッ プ デー ト が必要に な り ます。ア ッ プ デー ト プ ロ グ ラ ム が開始 さ れ、 イ ン ス ト ールの間は進捗バーが表示 さ れますが、 プ ロ セ スの間、 ユーザー に プ ロ ン プ ト が示 さ れる こ と はあ り ません。 9. ( オ プ シ ョ ン ) 安全ではな い場所か ら ユーザーがロ グ イ ン し よ う と す る際に ト ン ネル接続を 自 動 的 に 確 立 す る に は、 [Secure Network Detection] セ ク シ ョ ン の [Enable secure network detection] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 詳細につい ては、 72 ページの 「安全 な ネ ッ ト ワー ク の検出」 を参照 し て く だ さ い。 10. ( オ プ シ ョ ン ) デ フ ォ ル ト の場合、ク ラ イ ア ン ト は、ク ラ イ ア ン ト がダウ ン ロ ー ド さ れた レ ル ム と ア プ ラ イ ア ン ス名に ア ク セ スす る よ う 構成 さ れます。 た だ し 、 こ のデ フ ォ ル ト 動作を上 書 き し 、ク ラ イ ア ン ト が異な る レ ルムやア プ ラ イ ア ン ス に ア ク セ スす る よ う 構成す る こ と も 可能 で す。 [Custom connection] エ リ ア で、 [Configure client with custom realm and appliance FQDN] チ ェ ッ ク ボ ッ ク ス を選択 し 、必要に応 じ て次のオ プ シ ョ ン を指定 し ます。 – [Realm name] リ ス ト か ら デ フ ォ ル ト レルムの名前を ク リ ッ ク し ます。 – [Appliance FQDN] ボ ッ ク ス に、デ フ ォ ル ト ア プ ラ イ ア ン スの完全修飾 ド メ イ ン名を入 力 し ます。 11. ( オ プ シ ョ ン ) デ フ ォ ル ト の場合、 ト ン ネル ク ラ イ ア ン ト のセ ッ シ ョ ンが確立 し た ら 、 ア プ ラ イ ア ン ス で そのセ ッ シ ョ ン を終了 さ せる こ と はあ り ません。ユーザーはセ ッ シ ョ ン を待機 状態に し 、 再認証な し で復帰 さ せる こ と がで き ます。 一定時間が経過 し た ら ユーザーの再認 証が必要に な る よ う にす る場合は、[Limit session length to credential lifetime] を選択 し ます。 こ れで、 [Credential lifetime] ([Configure General Appliance Options] ページ ) で 指定 し た時間が経過 し た ら 、 ユーザーの再認証が求め ら れる よ う に な り ます。 こ のオ プ シ ョ ン が選択 さ れ る と 、 セ ッ シ ョ ン が非ア ク テ ィ ブ化の し き い値に近づ く と ユーザーに通知 さ れ、 ユーザーはマ ウ スやキーボー ド で何 ら かの操作を行 う こ と で切断を回避で き ます。 有効時間を 8 時間よ り も 長 く す る ために、 2 つの同一ア ド レ ス / ポー ト の タ プル間で TCP 接続ま たは コ ン シ ス テ ン ト UDP ト ラ フ ィ ッ ク フ ロ ー を必要 と す る場合は、こ のオ プ シ ョ ン がチ ェ ッ ク さ れて いな い コ ミ ュ ニ テ ィ にユーザー を加え る必要があ り ます。 [Limit session length to credential lifetime] ボ ッ ク スがチ ェ ッ ク さ れて いな い場合 も 、 ク レ デ ン シ ャ ルの 期限が切れる と ユーザーは ト ン ネル内で新 し い フ ロ ー を認証で き な く な り ます。 ユーザー管理 | 77 12. ( オ プ シ ョ ン ) [Redirection mode] エ リ ア で [Redirect all] を有効に し て い る場合、VPN 接 続がア ク テ ィ ブ な と き に、 イ ン タ ーネ ッ ト ト ラ フ ィ ッ ク が内部プ ロ キシ サーバー経由で送 信 さ れる よ う 構成で き ます。その場合、[Proxy options] エ リ ア で [Redirect Internet traffic through internal proxy server] チ ェ ッ ク ボ ッ ク ス を 選択 し て、 プ ロ キ シ サーバー オ プ シ ョ ン を 1 つ選択 し ます。 – プ ロ キシ自動構成 (.pac) フ ァ イ ルを指定す る には、 [Proxy auto-configuration file] を ク リ ッ ク し て、 「http://」 プ ロ ト コ ル識別子で始ま る .pac フ ァ イ ルの URL を入力 し ま す。 .pac フ ァ イ ルでは、 ユーザーの Web ブ ラ ウザが、 手動で指定 し た情報か ら ではな く JavaScript フ ァ イ ルか ら プ ロ キシ構成設定を ロ ー ド す る よ う 構成 し ま す。 JavaScript フ ァ イ ルでは、 どのプ ロ キシ サーバーが使用可能で、 特定の URL を特定の プ ロ キシ サーバーに リ ダ イ レ ク ト で き るか指定 し ます。 .pac フ ァ イ ルの書式について は、 http://wp.netscape.com/eng/mozilla/2.0/relnotes/demo/proxy-live.html を参照 し て く だ さ い。 – プ ロ キシ サーバー を手動で指定す る には、 [Proxy server] を ク リ ッ ク し て、 サーバー のホ ス ト 名 と ポー ト 番号 を 「host:port」 の書式で入力 し ま す ( 例 : myhost:80)。 オ プ シ ョ ン で、 [Exclusion list] ボ ッ ク ス に、 プ ロ キシ サーバー を介 し た リ ダ イ レ ク ト の対 象か ら 除外 し たいホ ス ト 名、 IP ア ド レ ス、 ド メ イ ン を入力す る こ と も で き ます。 こ のよ う な リ ソ ース を定義す る と き は、 ワ イ ル ド カ ー ド を使用で き ます。 ま た、 複数のエ ン ト リ を セ ミ コ ロ ン で区切 っ て入力す る こ と も 可能です。 78 | Aventail E-Class SRA 10.7 管理者ガ イ ド 13. ( オ プ シ ョ ン ) 接続が確立 し た ら 実行可能 フ ァ イ ルやス ク リ プ ト を起動す る よ う 構成す る に は、 [Post-connection scripts] エ リ ア を拡大 し 、 お使いのオペ レ ーテ ィ ン グ シ ス テムに対 応す る [Run a post-connection script] チ ェ ッ ク ボ ッ ク ス を選択 し て、設定を指定 し ます。 詳細については、 72 ページの 「安全な ネ ッ ト ワー ク の検出」 を参照 し て く だ さ い。 a. [Run this file] ボ ッ ク スに、 ス ク リ プ ト フ ァ イ ルのパス と 名前を入力 し ま す ( 例 : %Program Files%\ACME\remote_access.bat)。 b. ( オ プ シ ョ ン ) [Command line arguments] ボ ッ ク ス に、ス ク リ プ ト 実行時に使用す る コ マ ン ド ラ イ ン引数を入力 し ます ( 例 : -user=%USERNAME% -system=%OS%)。 c. ( オ プ シ ョ ン ) [Working directory] ボ ッ ク ス に、 ス ク リ プ ト が実行 さ れる デ ィ レ ク ト リ を入力 し ます。 作業デ ィ レ ク ト リ を定義す る と き は、 %VariableName% と い う 書式で 環境変数を指定で き ます。 「VariableName」 には実際の環境変数名を入力 し ます ( 例 : %USERPROFILE%\ACME)。 14. [Advanced] エ リ ア では、 すべてのネ ッ ト ワー ク ト ラ フ ィ ッ ク ( すべての ト ン ネル ト ラ フ ィ ッ ク ) に対 し て、デ フ ォ ル ト で [Enable ESP encapsulation of tunnel network traffic] が選択 さ れて い ます。 ESP (Encapsulating Security Payload) と は、 UDP パケ ッ ト の内部で カ プ セル化お よ び カ プ セル化解除を行 っ て NAT ( ネ ッ ト ワー ク ア ド レ ス変換 ) を ト ラ バー ス さ せる ためのプ ロ ト コ ルです。 ESP を使用す る と 、 特に VoIP な どの UDP ス ト リ ー ミ ン グ用ア プ リ ケーシ ョ ンのパ フ ォ ーマ ン ス を向上 さ せる こ と がで き ます。 ESP ト ン ネルを機能 さ せる には、 UDP ポー ト 4500 が、 EX-Series ア プ ラ イ ア ン スの外部 IP ア ド レ ス と 仮想 IP ア ド レ ス に対 し て送受信 さ れる ト ラ フ ィ ッ ク 向けに フ ァ イ ア ウ ォ ール で開放 さ れて い る必要があ り ます。 ユーザー管理 | 79 ESP が有効に な っ て い る と 、 ト ン ネル ク ラ イ ア ン ト は ESP ト ン ネル を確立 し よ う と し ま すが、 ESP ト ン ネルの確立で問題が発生 し た場合は、 レ ガ シー SSL ト ン ネルに戻 り ます。 こ の問題は、 ネ ッ ト ワー ク フ ァ イ ア ウ ォ ールで UDP ポー ト 4500 が開放 さ れて いな い と き に よ く 起 こ り ます。 何 ら かの理由で UDP ポー ト 4500 を フ ァ イ ア ウ ォ ールで開放 し た く な いために ESP を使 用 し ない場合は、[Enable ESP encapsulation of tunnel network traffic] チ ェ ッ ク ボ ッ ク ス を ク リ ア し ます。コ ミ ュ ニ テ ィ での ESP の使用を デ フ ォ ル ト で無効にす る には、[Realms] > [ お使いの ト ン ネル レ ルム ] > [Communities] > [ お使いの ト ン ネル コ ミ ュ ニ テ ィ ] > [Access Methods] > [Configure under Smart Tunnel Access] > [Advanced] で、 チ ェ ッ ク ボ ッ ク ス を ク リ ア し ます。 15. [OK] を ク リ ッ ク し ま す。 メモ • • • ユーザーが 「 リ ダ イ レ ク ト オール モー ド 」 で OnDemand Tunnel を実行す る と 、 変換 さ れた Web リ ソ ースへの接続が失敗 し 、 「ページ を表示で き ない」 と い う エ ラ ーが表示 さ れます。 こ の問題を回避す る には、 A ( ア ド レ ス ) レ コ ー ド を内部 DNS サーバーに追 加 し て、 ア プ ラ イ ア ン ス VIP ま たは外部 IP を ア プ ラ イ ア ン ス FQDN に割 り 当て ます。 [Software updates] エ リ アの [Client software updates] で [At user’s discretion] が有効に な っ ている場合、 ユーザーにはア ッ プグ レ ー ド の通知が表示 さ れ、 Connect Tunnel ク ラ イ ア ン ト はユーザーの応答を 24 時間キ ャ ッ シ ュ に保存 し ます。 それか ら設定を [Required] また は [Forced] に変更する と 、 前回の応答がまだキ ャ ッ シ ュ に保存 さ れている ため、 ア ッ プデー ト を遅 ら せたユーザーには、 翌日にな る ま で メ ッ セージが表示 さ れない こ と があ り ます。 接続が確立 さ れた後に VB ス ク リ プ ト を実行する場合、 .vbs ス ク リ プ ト フ ァ イルのパス と 名 前を入力する だけでは実行 さ れません。そのス ク リ プ ト フ ァ イルを起動する ために、Windows Script Host ユーテ ィ リ テ ィ を使用する必要があ り ます。 こ れに対応する には、 次のよ う に接 続後オプ シ ョ ン を構成 し ます。 – [Run this file] :< ド ラ イ ブ >:\windows\system32\cscript.exe – [Command line arguments] :< ス ク リ プ ト ま でのパス >。例 : c:\path\to\script.vbs or \\path\to\script.vbs [Working directory] は空白のま ま に し て お き ます。 • .pac フ ァ イルの場所を指定する際には、 必ず ト ン ネル ユーザーがア ク セス で き る よ う に し ま す。 こ れは、 リ ソ ース を定義 し て、 ア ク セス ルールを作成する こ と で行え る よ う にな り ます。 241 ページの 「 リ ソ ース グルー プの作成 と 管理」 お よ び 251 ページの 「ア ク セ ス制御ルー ルの構成」 を参照 し て く だ さ い。 デ フ ォル ト コ ミ ュ ニテ ィ の使用 レ ルム を作成 し た ら 、 その レ ルムに 1 つ以上の コ ミ ュ ニ テ ィ を対応 さ せる必要があ り ます。 こ れは、ア プ ラ イ ア ン スがア ク セ ス エージ ェ ン ト お よ び End Point Control コ ン ポーネ ン ト を ユー ザーに展開す る メ カ ニズム と し て、 コ ミ ュ ニ テ ィ が使用 さ れる ためです。 コ ミ ュ ニ テ ィ を認証レ ルム と 対応 さ せる ための最 も 簡単な方法は、 AMC ですで に構成 さ れて い る グ ロ ーバル デ フ ォ ル ト コ ミ ュ ニ テ ィ を使用す る こ と です。 デ フ ォ ル ト コ ミ ュ ニ テ ィ には、次 のよ う な特性が自動的に割 り 当て ら れて い ます。 • • • • コ ミ ュ ニ テ ィ の メ ンバーシ ッ プは [Any] に設定 さ れています。 つま り 、 認証レルムのすべての ユーザーが こ の コ ミ ュ ニ テ ィ に割 り 当て ら れます。 コ ミ ュ ニ テ ィ の メ ンバー 1 人につ き、 最大 5 個のア ク テ ィ ブ セ ッ シ ョ ン を利用で き ます。 コ ミ ュ ニ テ ィ の メ ンバーは、Web ベースのプ ロキシ ア ク セス (TCP プ ロ ト コ ル ) と Web ア ク セス (HTTP) の 2 つの方法を利用で き ます。 ユーザーの コ ン ピ ュ ー タ には、 End Point Control 制約が課せ られません。 80 | Aventail E-Class SRA 10.7 管理者ガ イ ド メモ • • レ ルムのデ フ ォ ル ト コ ミ ュ ニ テ ィ につい て も 、 他の コ ミ ュ ニ テ ィ と 同様の方法で、 設 定を変更で き ます。 83 ページの 「 コ ミ ュ ニ テ ィ の編集、 コ ピ ー、 削除」 を参照 し て く だ さ い。 また、新 し く コ ミ ュ ニ テ ィ を追加 し て、 レルムに対応 さ せる こ と も で き ます。62 ページの 「レ ルムへの コ ミ ュ ニ テ ィ の追加」 を参照 し て く だ さ い。 レルムで コ ミ ュ ニテ ィ が リ ス ト さ れる順序の変更 ユーザーが認証レ ルムに ロ グ イ ン す る と き 、 ア プ ラ イ ア ン スは、 ア ク セ ス エージ ェ ン ト お よ び EPC ポ リ シー を展開で き る よ う にす る ため、そのユーザーが所属す る コ ミ ュ ニ テ ィ を調べます。 1 つの レルムで コ ミ ュ ニ テ ィ を 1 つ し か使用 し な い場合、 ま たはそれぞれのユーザーに 1 つの コ ミ ュ ニ テ ィ し か割 り 当て て いな い場合、 ロ グ イ ン し 適切な ア ク セ ス エージ ェ ン ト を受け取る プ ロ セ スは単純な も のに な り ます。 た だ し 、 あ る ユーザーが複数の コ ミ ュ ニ テ ィ に所属 し て い る 場合、 そのユーザーに割 り 当て ら れる コ ミ ュ ニ テ ィ は、 [Configure Realm] ページの [Communities] タ ブ に リ ス ト さ れる コ ミ ュ ニ テ ィ の順序で決ま り ま す。 ア プ ラ イ ア ン スは、 ユーザー を リ ス ト の最初の コ ミ ュ ニ テ ィ と 一 致 さ せ よ う と し ま す。 ユーザーは、 一致す る リ ス ト の最初の コ ミ ュ ニ テ ィ に割 り 当て ら れ る こ と に な り ま す。 そのため、 こ の よ う な場合は、 最 も 範囲が狭い コ ミ ュ ニ テ ィ を リ ス ト の先頭に 配置す る こ と を お勧め し ます。 レルムに対す る コ ミ ュ ニ テ ィ の順序を変更す る には メモ 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ま す。 2. コ ミ ュ ニ テ ィ の順序を変更す る認証レ ルムの名前を ク リ ッ ク し ます。 [Configure ページの [General] タ ブが表示 さ れます。 3. [Communities] タ ブ を ク リ ッ ク し ます。こ の レルムの部分に な っ てい る コ ミ ュ ニ テ ィ が、 こ こ で リ ス ト さ れて い る順序で処理 さ れます。 4. 選択 し て い る コ ミ ュ ニ テ ィ を上下に移動す る場合は、[Move Up] ま たは [Move Down] の リ ン ク を使用 し ます。 5. コ ミ ュ ニ テ ィ が所定の場所ま で移動 し た ら 、 [Save] を ク リ ッ ク し ま す。 Realm] ユーザーに割 り 当て ら れて い る コ ミ ュ ニ テ ィ は、 Aventail WorkPlace ホーム ページ に表 示 さ れます ([Connection Status] エ リ アの [Details] を ク リ ッ ク )。 レルムでの RADIUS ア カ ウン テ ィ ングの構成 ア カ ウ ン テ ィ ン グ情報を収集す る ために RADIUS サーバー を使用す る場合、 AMC で RADIUS ア カ ウ ン テ ィ ン グ サーバー を構成 し て、 レ ルム単位で ア カ ウ ン テ ィ ン グ を有効に で き ます。 ア プ ラ イ ア ン ス では、 ユーザー セ ッ シ ョ ン、 接続の時刻 と 時間、 接続元 IP ア ド レ ス な ど を 示す RADIUS ア カ ウ ン テ ィ ン グ メ ッ セージ をサーバーに送信 し ます。 ア プ ラ イ ア ン スは、 一度に 1 台の RADIUS サーバーに接続で き ます。 AMC で 2 台の RADIUS サーバーが構成 さ れて い る場合、 ア プ ラ イ ア ン スはプ ラ イ マ リ サーバーのみに メ ッ セージ を送 信 し 、プ ラ イ マ リ サーバー と の接続が失敗 し た場合に限 り 、セ カ ン ダ リ サーバー と 通信 し ます。 ユーザー管理 | 81 RADIUS ア カ ウ ン テ ィ ン グ サーバー を構成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Servers] を ク リ ッ ク し ます。 2. こ のページの [Other servers] エ リ ア で、 [RADIUS Accounting] の横にあ る [Edit] リ ン ク を ク リ ッ ク し ます。 3. ア プ ラ イ ア ン スが RADIUS ア カ ウ ン テ ィ ン グ メ ッ セージ をサーバーに送信で き る よ う にす る には、 [Enable RADIUS accounting] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 4. [Primary RADIUS server] ボ ッ ク スに プ ラ イ マ リ ア カ ウ ン テ ィ ン グ サーバーの IP ア ド レ ス を入力 し ます。 [Accounting port] ボ ッ ク ス には、 サーバー と の通信で使用す る ポー ト 番 号を入力 し ます。 こ こ を空白のま ま にす る と 、 デ フ ォ ル ト のサーバー ポー ト (1646) が使用 さ れます。 5. ア プ ラ イ ア ン ス と サーバー間の通信に障害が発生 し た場合のバ ッ ク ア ッ プ と し て、2 台目の RADIUS ア カ ウ ン テ ィ ン グ サーバー を使用す る場合は、[Secondary RADIUS server] ボ ッ ク ス にサーバーの IP ア ド レ ス を入力 し 、 [Accounting port] ボ ッ ク スにポー ト 番号を入力 し ます。 6. [Shared secret] ボ ッ ク ス に、 ア プ ラ イ ア ン スが RADIUS ア カ ウ ン テ ィ ン グ サーバー と 通 信す る上で必要な、 事前に設定 さ れた秘密情報を入力 し ます。 7. [Advanced] エ リ アの [Retry interval] ボ ッ ク ス に、 RADIUS サーバーか ら の返信を待つ時 間を秒単位で入力 し ます。 こ の時間が経過す る と 、 サーバー と の接続が再試行 さ れます。 8. デ フ ォ ル ト の場合、 ア プ ラ イ ア ン スは、 そのア プ ラ イ ア ン ス名 ([Configure Network Interfaces] ページ で設定 ) を使用 し て、 RADIUS ア カ ウ ン テ ィ ン グ サーバーで認証を受け ます。た だ し 、[NAS-Identifier] ボ ッ ク スや [NAS-IP-Address] ボ ッ ク ス を使用す る こ と で、 ア プ ラ イ ア ン スが異な る ID 情報 を送信す る よ う 設定す る こ と も で き ます。 9. [Locale encoding] エ リ ア で次のよ う に設定 し ま す。 – [Selected] リ ス ト ボ ッ ク スか ら 文字セ ッ ト を選択 し ます。 選択可能な文字セ ッ ト の リ ス ト については、604 ページの 「選択可能な RADIUS 文字セ ッ ト 」 を参照 し て く だ さ い。 82 | Aventail E-Class SRA 10.7 管理者ガ イ ド – [Other] を ク リ ッ ク し 、 テキス ト ボ ッ ク ス に文字セ ッ ト の名前を入力 し ます。 入力で き る 文 字 セ ッ ト の リ ス ト に つ い て は、 605 ペ ー ジ の 「サ ポ ー ト さ れ て い る そ の 他 の RADIUS 文字セ ッ ト 」 を参照 し て く だ さ い。 10. [Save] を ク リ ッ ク し ます。 コ ミ ュ ニテ ィ の編集、 コ ピー、 削除 コ ミ ュ ニ テ ィ の編集方法、 コ ピ ー方法、 削除方法の詳細につい ては、 112 ページの 「AMC での オ ブ ジ ェ ク ト の追加、 編集、 コ ピ ー、 削除」 を参照 し て く だ さ い。 ユーザーおよびグループの管理 ユーザーお よ びグルー プの管理は、 継続的な作業に な り ま す。 ほ と ん どのユーザー管理は、 外 部ユーザー リ ポジ ト リ を介 し て行われますが ( ユーザー と グルー プが直接ア プ ラ イ ア ン ス に保 管 さ れる こ と はな いが参照は さ れる )、 信頼で き る ア ク セ ス を提供す る ためには、 AMC リ ス ト で最新の状態が保持 さ れる よ う にす る こ と が必要 と な り ます。 AMC で定義 さ れてい る ユーザー と グループは、 ア プ ラ イ ア ン ス で現在構成 さ れて い る デ ィ レ ク ト リ と 対応 し て い ます。 ユーザーおよびグループの表示 AMC で構成 さ れてい る ユーザー と グループは、 [Mapped Accounts] お よ び [Local Accounts] のページ に表示 さ れます。 ユーザー と グルー プ を表示す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Users & Groups] を選択 し ます。 ユーザー管理 | 83 2. 表示す る ユーザー オ ブ ジ ェ ク ト に対応す る タ ブ を選択 し ます。 タブ 説明 [Mapped Accounts] 外部認証サーバー に保管 さ れ た グルー プ 情報に マ ッ ピ ン グ さ れ て い る ユーザー グループ と 個別ユーザーを管理するか、デ ィ レ ク ト リ 情報に基づ いて新 し いグループ を作成 し ます。 [Local Accounts] ア プ ラ イ ア ン スのロ ー カ ル認証 リ ポ ジ ト リ に保管 さ れて い る ユーザー を 管理 し ます。 3. オ プ シ ョ ンの [Filters] 設定を使用すれば、 表示 さ せる オ ブ ジ ェ ク ト を絞 り 込む こ と がで き ます。 フ ィ ル タ ーの使用方法につい ては、 107 ページの 「AMC イ ン タ ー フ ェ ース ク イ ッ ク ツ アー」 に記載 さ れて い る 「 フ ィ ル タ ー」 セ ク シ ョ ン を参照 し て く だ さ い。 4. 管理対象ア カ ウ ン ト 、 ロ ー カ ル ア カ ウ ン ト の各 リ ス ト に表示 さ れたデー タ を確認 し ます。 – チ ェ ッ ク ボ ッ ク ス列は、 削除す る リ ス ト 項目を 1 つ ま たは複数選択す る と き に使用 し ます。 – プ ラ ス記号 (+) の列 を ク リ ッ ク す る と 、 ユーザー、 グループ、 ロ ー カ ル ア カ ウ ン ト の情 報欄が拡大 さ れます。 – [Type] 列には、 オ ブ ジ ェ ク ト が ユーザーか グルー プかを示すア イ コ ンが表示 さ れます。 – [Name] 列には、 ユーザー、 グループ、 ロ ー カ ル ユーザー ア カ ウ ン ト を作成す る と き に 割 り 当て た名前が表示 さ れます。 – [Description] 列には、 ア カ ウ ン ト を作成す る と き に入力 し た テ キス ト が表示 さ れます。 – [Realm] 列には、 ユーザー、 グルー プ、 ロ ー カ ル ユーザー ア カ ウ ン ト に対応す る レ ル ムが表示 さ れます。 – [Used] 列には、 ユーザーま たはグループが現在使用中かど う かが示 さ れます。 5. あ る列に基づいて リ ス ト を ソ ー ト す る場合は、 列の見出 し を ク リ ッ ク し ます。 外部 リ ポジ ト リ にマ ッ ピ ング さ れているユーザーおよびグループの管 理 ロ ー カ ル ユーザー認証ス ト アの メ ンバー と し て定義 さ れて いな いユーザー と グルー プは、 直接 ア プ ラ イ ア ン ス に保管 さ れるわけで な く 、 外部ユーザー デ ィ レ ク ト リ か ら 参照 さ れます。 個別 のユーザー を管理す るのは、 ほ と ん どの場合、 グルー プ メ ンバーシ ッ プ で認め ら れて い る も の と 異な る 権限 を 割 り 当て る 場合に限 ら れま す。 外部デ ィ レ ク ト リ に保管 さ れて い る 情報 を 使用 し て、 AMC でユーザーのグループ を作成す る場合、 次の 2 種類の方法があ り ます。 • • 外部デ ィ レ ク ト リ と 同 じ グループ名を使用 し ます。ほ と んどのデ ィ レ ク ト リ では、同様のユー ザー ア カ ウ ン ト を ま と める ため、 同様の権利や権限を与え ています。 デ ィ レ ク ト リ を こ のよ う に管理する場合、 ア プ ラ イ ア ン ス でのユーザー管理は通常、 ユーザー単位ではな く 、 グルー プ中心に行われる こ と にな り ます。 デ ィ レ ク ト リ に保管 さ れてい るユーザー グループ を参照 す る よ う ア プ ラ イ ア ン ス を セ ッ ト ア ッ プ し て、 その後、 ア ク セ ス制御ルールでそのグループ を参照 し ます。 共通の属性を使用 し て、 外部デ ィ レ ク ト リ を照会 し ます。 その結果を使用 し て、 ア ク セ ス制 御ルールで使用で き る新 し いグループ ( 外部デ ィ レ ク ト リ で参照 さ れないグループ ) を作成で き ます。 例えば、 一定範囲の郵便番号の住所に居住す る すべての従業員のデ ィ レ ク ト リ を照 会する こ と に よ り 、 「Local employees」 と い う 名前の新 し いグループ を作成で き ます。 84 | Aventail E-Class SRA 10.7 管理者ガ イ ド Microsoft Active Directory お よ び LDAP デ ィ レ ク ト リ の場合、 い く つかの方法で グルー プ を追 加で き ます (た だ し こ の機能は、RADIUS レ ルムで参照 さ れてい る ユーザーま たはロ ー カ ル ユー ザー ス ト アのユーザー を追加す る場合は使用で き ません )。 識別名 (DN) を手動で入力する デ ィ レ ク ト リ の内容を検索 し て、 リ ス ト か ら グループ を選択する 動的なグループ式を作成する テ ス ト や評価のために、 ア プ ラ イ ア ン ス で ロ ー カ ル ユーザー を 作成す る こ と も で き ま す。 94 ページの 「ロ ー カ ル ユーザー ア カ ウ ン ト の管理」 を参照 し て く だ さ い。 • • • 手動でのユーザーまたはグループの追加 ア ク セ ス制御ルール を 作成す る と き 、 特定のルールが適用 さ れ る ユーザー と グルー プ を 指定 し ま す。 た だ し ア ク セ ス制御ルールで指定で き る よ う にす る には、 事前にユーザー を 追加 し て お く 必要があ り ます。 ユーザーは手動で追加す る こ と も 、 Active Directory や LDAP デ ィ レ ク ト リ を使用 し て追加す る こ と も で き ます。 デ ィ レ ク ト リ を使用す る場合は、 [Browse] を ク リ ッ ク し て、 デ ィ レ ク ト リ を探 し ます。 詳細については、 86 ページの 「デ ィ レ ク ト リ の検索に よ る ユー ザーやグルー プの追加」 を参照 し て く だ さ い。 手動でユーザー を追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を選択 し ます。 2. [Mapped Accounts] タ ブ を ク リ ッ ク し て、 [New] を ク リ ッ ク し ます。 3. [Manual entry] を選択 し ま す。 [Add Mapped Account] ページが表示 さ れます。 4. [Select realm] リ ス ト か ら 、 ユーザーが所属す る レルム を選択 し ま す。 ユーザーが複数の レ ルムに所属 し て お り 、 レ ルム を問わずに検索 し たい場合は、 レ ルム リ ス ト か ら [Any] を選 択 し ます。 5. [User type] フ ィ ール ド では、 追加す る ア カ ウ ン ト の タ イ プ を、 [Group] と [User] か ら 選択 し ます。 ユーザー管理 | 85 6. [Group] を選択 し た場合は、 [Group name] ボ ッ ク ス に、 外部 リ ポ ジ ト リ に表示 さ れるの と ま っ た く 同 じ グルー プ名を入力 し ます ( グループ名は大文字 と 小文字が区別 さ れます )。 こ の名前は、 マ ッ ピ ン グ先のデ ィ レ ク ト リ の タ イ プ に よ っ て変動 し ます。 ディ レク ト リ タ イプ 入力事項 LDAP 識別名 (DN) を入力 し ます。 例えば、 「cn=Sales,cn=Users,dc=example,dc=com」 のよ う に入力 し ます。 Active Directory 共通名 (CN) または識別名 (DN) を入力 し ます。 CN は DN よ り も 簡単に入力で き ま す が ( 例 え ば 「cn=Sales,cn=Users,dc=example,dc=com」 で は な く 、 「Sales」 と 入力で き る )、 CN の場合、 完全一致が保証 さ れません。 疑わ し い場 合は、 DN を使用する方が確実です。 RADIUS グループ名を入力 し ます。 例えば、 「Sales」 と 入力 し ます。 Active Directory ま たは LDAP グルー プ を指定す る と 、 そのサブ グルー プ ( あ る場合 ) も そ れに含まれます。 グルー プ メ ンバーシ ッ プの評価の対象 と な る ネ ス ト レ ベルの数は、 認証 サーバーのセ ッ ト ア ッ プの際に構成 し ます。 詳細につい ては、 186 ページの 「ユーザー名 と パス ワー ド を使用す る LDAP の構成」 お よ び 171 ページの 「ユーザー名 と パス ワー ド を使 用す る Active Directory の構成」 を参照 し て く だ さ い。 メモ 認証に外部デ ィ レ ク ト リ を使用 し て い る場合、 AMC でユーザー グループ を追加 す る と き に、 ユーザー を実際にグルー プ化 し て い るわけではあ り ません。 外部 ユーザー リ ポジ ト リ で定義 さ れてい る ユーザー グループの名前を追加 し てい る だけです。 こ のア プ ラ イ ア ン ス では、 ロ ー カ ルのユーザー と グルー プ も サポー ト し て い ます。 94 ペー ジの 「ロ ー カ ル ユーザー ア カ ウ ン ト の管理」 を参照 し て く だ さ い。 7. [User] を選択 し た場合は、 [User name] ボ ッ ク ス に、 外部 リ ポ ジ ト リ に表示 さ れるの と ま っ た く 同 じ ユーザー名を入力 し ます ( ユーザー名は大文字 と 小文字が区別 さ れます )。 次の表 は、 ユーザー を定義す るのに使用 さ れる構文を示 し て い ます。 デ ィ レク ト リ タ イプ 入力事項 Active Directory または RADIUS ユーザー名を入力 し ます。 例えば、 「jsmith」 と 入力 し ま す。 LDAP 識別名 (DN) を入力 し ます。 例えば、 「cn=jsmith,cn=Users,dc=example,dc=com」 のよ う に入力 し ます。 8. ( オ プ シ ョ ン ) [Display name] ボ ッ ク ス に、AMC のページ でのグルー プ ま たはユーザーの表 示名を入力 し ます。 9. ( オ プ シ ョ ン ) [Description] ボ ッ ク ス に、 グルー プ ま たはユーザーの説明を入力 し ます。 10. [Save] ま たは [Save and Add Another] を ク リ ッ ク し ます。 メモ 名前を間違 っ て入力す る と 、 そのユーザーはどの リ ソ ース に も ア ク セ ス で き な く な り ます。 デ ィ レ ク ト リ の検索によ るユーザーやグループの追加 AMC で グループ を追加す る場合の最 も 一般的な方法は、 外部デ ィ レ ク ト リ を ブ ラ ウズ し て、 一 致す る グルー プ を追加す る と い う も のです。 86 | Aventail E-Class SRA 10.7 管理者ガ イ ド デ ィ レ ク ト リ の検索に よ り ユーザーやグループ を追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を選択 し ます。 2. [Mapped Accounts] タ ブ で [New] を ク リ ッ ク し て、 [Directory search] を選択 し ます。 [Search Directory] ページが表示 さ れま す。 3. 検索す る レ ルム を選択 し ます (Active Directory、 Active Directory Tree、 ま たは LDAP 認証 サーバー を使用す る レ ルムのみ選択で き ます )。 グ ル ー プ チ ェ ッ ク が 無 効 に な っ て い る 認 証サ ー バ ー を 使 用 す る レ ル ム を 選 択 す る と 、 [Search] ボ ッ ク ス は ク リ ッ ク 不 可 と な り 、 「Group checking has been disabled for this realm」 ( こ の レルムではグループ チ ェ ッ ク が無効です ) と い う メ ッ セージが表示 さ れます。 詳細については、 169 ページの 「認証チ ェ ッ ク の無効化」 を参照 し て く だ さ い。 4. Active Directory Tree 認証サーバー を使用 し てい る レルム を選択 し た場合は、 検索す る ド メ イ ン も 選択 し ます。 5. 検索基準を定義 し ます。 – [Search directory] ボ ッ ク ス に、 ユーザー名ま たはグルー プ名のすべて ま たは一部を入 力 し ま す。 デ フ ォ ル ト は 「*」 で、 こ の場合、 レ ルム内のすべての レ コ ー ド が返 さ れま す。 ワ イ ル ド カ ー ド 文字 (*) は、 検索文字列のどの部分に も 使用で き ます。 例えば、 「j」 で 始 ま る グ ル ー プ 名 を 検索 す る 場合は、 「j*」 と 入力 し ま す。 ま た、 「Mary」 ま た は 「Marty」 と い う 名前のユーザー ( た だ し 「Max」 は除外 ) を検索す る と き は、 「m*y」 と 入力で き ます。 – 検索範囲を絞 り 込む と き は、 ド ロ ッ プ ダウ ン リ ス ト か ら [Groups only] ま たは [Users only] を選択 し ます。 例えば、 ユーザーの姓を検索す る場合は 「sn」、 共通名を検索す る 場合は 「cn」 と 入力で き ます。 – 詳細な検索基準を指定す る場合は [Advanced] タ ブ を ク リ ッ ク し ます。 詳細について は、 88 ページの 「高度な検索方法」 を参照 し て く だ さ い。 6. [Search] を ク リ ッ ク し ま す。検索基準に一致 し た も のが 2 番目の列にすべて表示 さ れます。 7. 追加す る オ ブ ジ ェ ク ト を指定 し ます。 ユーザー管理 | 87 – 結果表示ページ を切 り 替え る と き は、左下のペ イ ン にあ る矢印ボ タ ン ([<] お よ び [>]) を 使用 し ま す。 [<<] お よ び [>>] を 使用す る と 、 最初のページ お よ び最後のページがそれ ぞれ表示 さ れます。 – ユーザーま たはグルー プ についての詳細な情報を参照す る と き は、 その名前を ク リ ッ ク し ます。 詳細な属性の リ ス ト が右側のペ イ ン に表示 さ れます。 グルー プがネ ス ト さ れて い る場合、 サブ グルー プ を ク リ ッ ク す る と 詳細が表示 さ れます。 表示可能な ネ ス ト レ ベルの数は、 認証サーバーのセ ッ ト ア ッ プの際に構成 し ます。 詳細 については、 186 ページの 「ユーザー名 と パス ワー ド を使用す る LDAP の構成」 お よ び 171 ページの 「ユーザー名 と パス ワー ド を使用す る Active Directory の構成」 を参照 し て く だ さ い。 – ア プ ラ イ ア ン ス に追加す る ユーザーま たはグルー プの左側にあ る チ ェ ッ ク ボッ クスを 選択 し ます。 8. 選択 し て い る ユーザーま たはグルー プ を ア プ ラ イ ア ン ス に追加す る には、 [Add Selected] ボ タ ン を ク リ ッ ク し ま す。 それぞれの項目は、 該当す る ページ ([Groups] ま たは [Users]) の リ ス ト に アル フ ァ ベ ッ ト 順で追加 さ れます。 9. 設定が終わ っ た ら 、 右上の [Close] ボ タ ン を ク リ ッ ク し ます。 こ の操作に よ り 、 [Search Directory] ウ ィ ン ド ウが閉 じ ます。 デ フ ォ ル ト の場合、 基本 ([basic]) 検索は、 sAMAccountName、 cn、 uid、 userid の各属性 を照会す る こ と に よ っ て、 ユーザーお よ びグループ を検索す る よ う 構成 さ れて い ます。 メモ ほ と ん どの連鎖式認証環境では、 LDAP サーバーま たは AD サーバー を (RADIUS な ど の ) 他の認証サーバー と 組み合わせて使用 し ます。 LDAP サーバー と AD サーバー を組 み合わせた連鎖式認証のよ う な特殊な ケース では、 次の点について考慮 し て お く 必要が あ り ます。 • ユーザー を検索 し て い る場合、 チ ェ ー ン内の最初の LDAP ま たは AD 認証サーバー の検索結果のみが表示 さ れます。 た だ し 、 ポ リ シー サーバーの場合は、 チ ェ ー ン 内の両方のサーバーの結果が表示 さ れます。 • グルー プの検索で も 同 じ こ と が当てはま り ます ( た だ し 、 レ ルムで ア フ ィ ニ テ ィ サーバーが構成 さ れて い る場合は除 き ます。 その場合は認証サーバーの代わ り に こ のサーバーが検索 さ れます )。 例えば、 連鎖式認証内の両方の LDAP サーバーま たは AD サーバーに 「Accounting」 と い う 名前のグルー プがあ る場合、 「Accounting」 グルー プ に限定 し て い る作成済みのア ク セ ス 制御ルールは、 両方のサーバーのグルー プ メ ン バー に適用 さ れ ま すが、 [Search Directory] ページ には、 チ ェ ー ン内の最初のサーバーの結果のみが表示 さ れます。 高度な検索方法 88 | Aventail E-Class SRA 10.7 管理者ガ イ ド LDAP 構文に慣れて い る 場合は、 高度な検索 を 行 う こ と で、 照会の範囲 を さ ら に絞 り 込む こ と がで き ます。 こ れは、 特に大規模なデ ィ レ ク ト リ を照会す る場合な ど に使用す る と 便利です。 状 況に よ っ ては、 非標準ス キー マ を 使用 し て デ ィ レ ク ト リ を 照会す る ために、 高度な検索 を 実行 す る必要があ り ます。 高度な検索を実行す る には、 [Advanced search] タ ブ を ク リ ッ ク し ます。 次の表では、 高度な検索基準を指定す る ための フ ィ ール ド について説明 し ます。 属性 説明 [Search for value] 検索の範囲を絞 り 込む LDAP 検索 フ ィ ル タ を指定 し ます。 ユーザーまたは グループの名前の全体または一部を入力 し ます。 デ フ ォル ト は 「*」 で、 こ の場合、 レルム内のすべてのレ コ ー ド が返 さ れます。 ワ イル ド カ ー ド 文字 (*) は、 検索文字列のどの部分に も 使用で き ます。 例えば、 「j」 で始ま るグ ループ名を検索す る場合は、 「j*」 と 入力 し ま す。 ま た、 「Mary」 ま たは 「Marty」 と い う 名前のユーザー ( ただ し 「Max」 は除外 ) を検索する と き は、 「m*y」 と 入力で き ます。 [Attributes] [Attribute] ボ ッ ク スに LDAP 属性を入力 し ます。 例えば、 ユーザーの姓 を検索する場合は 「sn」、 共通名を検索する場合は 「cn」 と 入力で き ます。 [Object classes] ユーザーまたはグループ を含むオブ ジ ェ ク ト ク ラ ス を指定 し ます。 ユー ザーの場合、 こ れは通常 「user」 または 「inetOrgPerson」 にな り ま す。 グループ場合は、 通常 「group」、 「groupOfNames」、 「groupOfUniqueNames」 のいずれかにな り ます。 [Search base] 検索を始める LDAP デ ィ レ ク ト リ 内のポ イ ン ト を指定 し ま す。 通常 こ れ は、ユーザーまたはグループが含まれるデ ィ レ ク ト リ ツ リ ーの最下層にな り ます。 LDAP の場合、 「ou=Users,o=example.com」 のよ う に入力 し ます。 Microsoft Active Directory を検索する と きは、 「CN=users,DC=example,DC=corp,DC=com」 と 指定 し ます。 ユーザー管理 | 89 属性 説明 [Search scope] 検索する コ ン テナ を指定 し ます。 one 検索ベース よ り 1 レ ベル下か ら 情報を 検索 し ま す。 こ の範囲には、 検索 ベース自体は含まれません。 sub ( デ フ ォル ト ) 検索ベースおよび検索ベースの下のすべてのレ ベルから 情 報を検索 し ます。 base 検索ベースから のみ情報を検索 し ます。 検索ベース よ り 下のコ ン テナは検 索 さ れません。 [Additional filter] 検索の範囲を絞 り 込む LDAP 検索フ ィ ル タ を指定 し ます。 構文 : filter=(operator(LDAP attribute=value)(..)) 演算子 : • OR = “|” • AND = “&” • NOT = “!” 例: (cn=Sandy Cane) (!(cn=Tim Howes)) (&(objectClass=Person)(|(sn=Cane)(cn=Sandy C*))) メモ LDAP 検索 フ ィ ル タ の詳細については、RFC 2254 (http://www.ietf.org/rfc/rfc2254.txt) を参照 し て く だ さ い。 LDAP 検索構文は柔軟が高 く 、複数の方法を使用 し て同 じ 結果を引 き 出せる よ う に な っ て い ま す。 例えば、 あ る デ ィ レ ク ト リ のすべてのグルー プ を 検索す る と き 、 オ ブ ジ ェ ク ト ク ラ ス を使用で き ます。 objectclass=group;groupOfNames ま た、 検索 フ ィ ル タ を使用 し て も 、 同 じ 結果を引 き 出す こ と がで き ます。 (|(objectclass=group)(objectclass=groupOfNames)) デ ィ レ ク ト リ を使用し た動的グループの作成 外部の Microsoft Active Directory ま たは LDAP デ ィ レ ク ト リ を使用 し てい る場合、 独自のデ ィ レ ク ト リ ク エ リ ー を構築 し て、 AMC グルー プ を構成で き ます。 ま た LDAP 構文に慣れて い る 場合は、 独自のデ ィ レ ク ト リ 構文 を 記述す る こ と も 可能で す。 ア ク セ ス制御ルールで こ の動的 グルー プが参照 さ れる と 、 外部デ ィ レ ク ト リ が照会 さ れ、 結果が 30 分間キ ャ ッ シ ュ さ れま す。 90 | Aventail E-Class SRA 10.7 管理者ガ イ ド 動的グルー プは、 外部デ ィ レ ク ト リ で定義 さ れて い な いグルー プ に適用 さ れ る ポ リ シ ー を 作成 し たい場合に使用す る と 便利です。 例えば、 「Operations (Seattle)」 と い う 名前のグルー プ を作成 で き ま す。 外部デ ィ レ ク ト リ には 「Operations」 と い う 名前のグルー プが存在 し て い る 可能性 も あ り ま すが、 こ う す る こ と で、 シ ア ト ルに拠点 を 置 く メ ン バーのみに範囲 を 絞 る こ と がで き ます。 外部デ ィ レ ク ト リ を使用 し て動的グループ を追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を選択 し ます。 2. [Mapped Accounts] タ ブ で [New] を ク リ ッ ク し て、 [Dynamic group] を選択 し ます。 [Add/Edit Dynamic Group] ページが別途開 き ます。 こ のペー ジ で作成ま たは記述す る 式 と 一致す る ユーザーが動的に こ のグルー プ に入れ ら れ ます。 後で追加 し たユーザーが こ の式 と 一致 し た場合 も 、 自動的に こ のグルー プ に入れ ら れ ます。 3. こ の新 し いグルー プが所属す る レ ルム を [Realm] リ ス ト か ら 選択 し ます。 Active Directory ま たは LDAP サーバー ( シ ン グルま たは連鎖式認証 ) で構成 さ れて い る レ ルムのみ選択で き ます。 4. ( オ プ シ ョ ン ) こ の動的グルー プの名前を [Name] に、 説明を [Description] に入力 し ます。 こ れ ら は、 特定のグルー プ にのみ適用す る ア ク セ ス ルールを作成す る際に使用で き ます。 5. [Simple] ま たは [LDAP] のいずれかの構文を選択 し ます。 [Expression] テ キス ト ボ ッ ク ス で ( 必要に応 じ て ) ク エ リ ー を編集で き る よ う 、 よ く 理解 し て い る方の構文を使用 し ます。 ユーザー管理 | 91 6. [Expression] エ リ アの各 フ ィ ール ド を使用 し て、 ク エ リ ー を作成 し ます (LDAP ク エ リ ーの 構文については、 88 ページの 「高度な検索方法」 を参照 し て く だ さ い )。 設定 説明 [Expression] こ こ には、以降のフ ィ ール ド を使用 し て作成する ク エ リ ーが表示 さ れ、 必要に応 じ て編集で き ます。 [Attribute] 定義 さ れている属性の リ ス ト を取得する ため、 最初のク エ リ ーが外部 デ ィ レ ク ト リ サーバーに送信 さ れます ( この リ ス ト が正 し く ない場合 は、 [Realm] リ ス ト で選択 し た レルムの名前を確認 し て く だ さ い )。 [Filter operators] LDAP ま たは Active Directory サーバーか ら 返 さ れた値を フ ィ ル タ リ ン グする ための、 一般的に使用 さ れる LDAP 検索演算子 (=、 !=、 >=、 <=) の リ ス ト 。 [Value] ユーザーが入力す る値。 ワ イ ル ド カ ー ド を使用す る こ と も で き ます。 例えば、 [Attribute] で [ZipCode] を使用す る場合、 [Value] に 「98*」 と 入力する こ と で、 ワシ ン ト ン州に居住するすべての従業員を照会で き ます。 [Operator] 一般的な論理演算子 (AND、 OR)。 [Add to Expression] 現在の属性、 値、 演算子を [Expression] テキス ト エ リ アに追加 し ま す。 ク エ リ ー を 調整す る ため、 ( 必要な だ け何度で も ) [Attribute]、 [Value]、 [Operator] に戻っ て、 追加の属性、 値、 演算子を定義で き ま す。 追加 し た ら そのたびに [Add to Expression] を ク リ ッ ク し ます。 [Base] ( オ プ シ ョ ン ) AD/LDAP 認証サーバーのベース。 ク エ リ ー を始める LDAP デ ィ レ ク ト リ 内のポ イ ン ト を 指定 し ま す。 例え ば、 Microsoft Active Directory 内の ユ ー ザ ー を 検索 す る 場合は、 「CN=users, DC=engineering, DC=sonicwall, DC=com」 と 入力 し ます。 ベース を入力 し ない と 、 認証サーバーを検索ベースに し て ク エ リ ーが 実行 さ れます。 [Scope] ク エ リ ーのレ ベルの深 さ 。[All levels below base] ( デ フ ォル ト ) を選 択する と 、 ベースの下のすべてのレ ベルから 情報を検索 し ます。 検索 ベース自体から 情報を検索するには、 [One level below base] を選択 し ます。 検索ベース よ り 下のコ ン テナは検索 さ れません。 ク エ リ ー を直接 [Expression] テ キス ト ボ ッ ク スに入力す る こ と も で き ます。 7. 作成 し た式を テ ス ト し ます。 結果は [Members] セ ク シ ョ ン に表示 さ れ、 検索範囲を広げた り 絞 っ た り す る 必要があ る か ど う かがわか り ま す。 表示す る メ ン バー数 を 制限す る には、 [Display] チ ェ ッ ク ボ ッ ク ス を チ ェ ッ ク し 、 [Display] フ ィ ール ド に最大項目数を 入力 し ま す。 式 を テ ス ト す る と 、 [Expression] エ リ ア に表示 さ れ て い る LDAP 検索 ク エ リ ーが LDAP サーバーま たは AD サーバーに送信 さ れ、 その結果 ( ユーザーの リ ス ト ) が右側のペ イ ン に 表示 さ れま す。 結果が期待 し た も の と 異な る 場合は、 ク エ リ ー を 変更 し て再度テ ス ト し ま す。 ク エ リ ー を変更す る には、 式 を構築す るか、 [Expression] テ キス ト ボ ッ ク ス で直接 ク エ リ ー を編集 し ます。 式のテ ス ト が終わる ま で、 新 し いグルー プ を保存 し な いで く だ さ い。 8. ページの右下にあ る [Show attributes as] ド ロ ッ プ ダウ ン リ ス ト を使用 し て、 [Members] セ ク シ ョ ン で 選 択 し た メ ン バ ー に つ い て [Details] セ ク シ ョ ン に 詳 細 を 表 示 し ま す。 [Summary] を選択す る と メ ンバーの概要情報が表示 さ れ、 [All attributes] を選択す る と メ ンバーのすべての属性が表示 さ れます。 92 | Aventail E-Class SRA 10.7 管理者ガ イ ド ほ と ん どの連鎖式認証環境では、 LDAP サーバーま たは AD サーバー を (RADIUS な どの ) 他の認証サーバー と 組み合わせて使用 し ます。 LDAP サーバー と AD サーバー を組み合 わせた連鎖式認証のよ う な特殊な ケース では、次の点について考慮 し て お く 必要があ り ま す。 メモ ユーザーを検索 し ている場合、 チ ェ ーン内の最初の LDAP または AD 認証サーバーの検索結 果のみが表示 さ れます。 ただ し 、 ポ リ シー サーバーの場合は、 チ ェ ーン内の両方のサーバー の結果が表示 さ れます。 • グループの検索で も同 じ こ と が当てはま り ます ( ただ し 、レルムで ア フ ィ ニ テ ィ サーバーが構 成 さ れてい る場合は除き ます。 その場合は認証サーバーの代わ り に こ のサーバーが検索 さ れ ます )。 例えば、 連鎖式認証内の両方の LDAP サーバーま たは AD サーバーに 「Accounting」 と い う 名前 のグルー プがあ る 場合、 「Accounting」 グルー プ に限定 し て い る 作成済みのア ク セ ス制御ルール は、 両方のサーバーのグルー プ メ ン バー に適用 さ れ ま すが、 [Search Directory] ペ ー ジ には、 チ ェ ー ン内の最初のサーバーの結果のみが表示 さ れます。 • LDAP ま たは AD デ ィ レ ク ト リ に対 し て複数値の ク エ リ ー を実行す る と き 、ク エ リ ー対象グルー プの完全修飾 ド メ イ ン名を指定す る必要があ り ます。 ユーザーまたはグループの編集 外部デ ィ レ ク ト リ で、 ユーザー ま たはグルー プの名前、 識別名な どが変更 さ れた場合、 ア プ ラ イ ア ン ス で ア カ ウ ン ト を修正す る必要があ り ます。 ま た、 ロ ー カ ルのユーザー ア カ ウ ン ト やグ ルー プ名 も ア プ ラ イ ア ン ス で変更で き ます。 ロ ー カ ル ア カ ウ ン ト の編集については、 94 ページ の 「ロ ー カ ル ユーザー ア カ ウ ン ト の管理」 を参照 し て く だ さ い。 ユーザーま たはグルー プ を編集す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を選択 し ます。 2. [Mapped Accounts] タ ブ を ク リ ッ ク し 、 編集す る グルー プ ま たはユーザーの名前を ク リ ッ ク し ます。 [Add/Edit Mapped Account] ページが表示 さ れます。 3. 必要に応 じ て編集を行い ます。ユーザーやグループが Active Directory ま たは LDAP レ ルム に所属 し て い る場合は、 [Browse] を ク リ ッ ク し てユーザー を検索で き ます。 4. [Save] を ク リ ッ ク し ます。 ユーザーまたはグループの削除 外部のユーザー デ ィ レ ク ト リ に マ ッ ピ ン グ さ れて い る ユーザー ま たはグルー プ を 削除す る と 、 そのマ ッ ピ ン グがシ ス テムか ら 削除 さ れます。 ユーザーやグルー プのマ ッ ピ ン グ を削除 し て も 、 外部ユ ーザー デ ィ レ ク ト リ か ら そ のユ ーザーやグルー プ が削除 さ れ る わけ で はあ り ま せん。 ロ ー カ ルのユーザーやグルー プの削除につい ては、 94 ページの 「ロ ー カ ル ユーザー ア カ ウ ン ト の管理」 を参照 し て く だ さ い。 ユーザーま たはグルー プ を削除す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を選択 し ます。 2. [Mapped Accounts] タ ブ を ク リ ッ ク し 、 削除す る グルー プ ま たはユーザーの左側にあ る チ ェ ッ ク ボ ッ ク ス を選択 し ます。 3. [Delete] を ク リ ッ ク し ます。 ユーザー管理 | 93 メモ 他のオ ブ ジ ェ ク ト か ら 参照 さ れて い る ユーザーま たはグルー プの場合は、 削除で き ません。 例えば、 ア ク セ ス制御ルールで参照 さ れて い る ユーザーま たはグルー プ を削除 し よ う と す る と 、 エ ラ ー メ ッ セージが表示 さ れます。 削除す る前に、 あ ら か じ め、 ユーザーま たはグルー プへのすべての参照を削除 し て お く 必要があ り ます。 詳細については、 134 ページの 「参照 さ れてい る オ ブ ジ ェ ク ト の削除」 を参照 し て く だ さ い。 ローカル ユーザー ア カ ウン ト の管理 次のいずれかの方法 を 使用 し て、 ア プ ラ イ ア ン ス で ロ ー カ ル ユーザー ア カ ウ ン ト を 作成 し ま す。 • • AMC で ロー カル ユーザー ア カ ウ ン ト を手動で作成 し 、 ロー カル ユーザー認証 リ ポジ ト リ に 保管 し ます。 カ ン マ区切 り (CSV) テキス ト フ ァ イルか ら ロー カル ユーザー ア カ ウ ン ト を イ ンポー ト し 、 ロー カル ユーザー認証 リ ポジ ト リ に保管 し ます。 98 ページの 「新規ロ ー カ ル ユーザーお よ びグルー プの イ ン ポー ト 」 を参照 し て く だ さ い。 どの方法を使用 し て も 、 ロ ー カ ル ユーザーはア プ ラ イ ア ン スに保管 さ れます。 こ れは、 外部認証 リ ポジ ト リ に保管 さ れて AMC か ら 参照 さ れる他のすべてのユーザーの場合 と 異な り ます。 AMC で は、 ア プ ラ イ ア ン ス上の個別のユーザーに対す る ロ ー カ ル ア カ ウ ン ト を作成、 変更、 削除で き、 さ ら にユーザーのグループ に対す る ロ ー カ ル ア カ ウ ン ト も サポー ト し ます。 ローカル ユーザーの追加 ロ ー カ ル ユーザー を追加す る場合、 あ ら か じ め、 ア プ ラ イ ア ン スに ロ ー カ ル ユーザー認証 リ ポ ジ ト リ を作成 し て お く 必要があ り ます。 作成方法については 204 ページの 「ロ ー カ ル ユーザー ス ト レ ー ジの構成」 を 参照 し て く だ さ い。 ロ ー カ ル認証 レ ルムについ ては、 ユーザー を 追加す る前に構成 し て お く 必要はあ り ません。 ロ ー カ ル ユーザー認証 リ ポジ ト リ を作成 し た ら 、 ロ ー カ ル ユーザー を ア プ ラ イ ア ン ス に追加で き る よ う に な り ます。 ロ ー カ ル ユーザー を ア プ ラ イ ア ン ス に追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Users & Groups] を選択 し ます。 2. [Local Accounts] タ ブ を ク リ ッ ク し ます。 94 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. [New] を ク リ ッ ク し 、 [User] を選択 し ます。 [Add Local User] ページが表示 さ れます。 4. [Username] ボ ッ ク ス に、 ロ ー カ ル ユーザー認証 リ ポ ジ ト リ に追加す る ロ ー カ ル ユーザー の名前を入力 し ます。 ユーザー名は、 1 ~ 255 文字の長 さ に し ます。 5. [Description] ボ ッ ク ス に、 ロ ー カ ル ユーザーについ ての説明を入力 し ます。 6. ユーザーがロ グ イ ン で き る よ う にす る には、 [User is enabled] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 7. [Password] ボ ッ ク ス に、 ロ ー カ ル ユーザーのパス ワー ド を入力 し 、 [Confirm Password] ボ ッ ク ス に再入力 し ます。 パス ワー ド は、 ロ ー カ ル認証サーバー向けに構成 し たパス ワー ド ポ リ シーに従 う 必要があ り ます。 詳細については、 204 ページの 「ロ ー カ ル ユーザー ス ト レ ージの構成」 を参照 し て く だ さ い。 8. ユーザーの初回ロ グ イ ン時にパス ワー ド 変更を必要 と す る場合は、 [User password at next login] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 must change Virtual Assist では技術担当者にパス ワー ド 変更が要求 さ れな いため、 Virtual Assist を使用 す る場合、 ユーザーにパス ワー ド 変更を要求す る こ と はお勧め し ません。 9. [User Group] セ ク シ ョ ン で、[Add this user to group] ド ロ ッ プ ダウ ン リ ス ト か ら ユーザー の ロ ー カ ル グルー プ を 選択 し ま す。 ユーザー を ロ ー カ ル グルー プ に追加 し な い場合は、 [None] を選択 し ま す。 こ のユーザー用に新規グループ を作成す る には、 [(New)] を選択 し 、 [New group name] フ ィ ール ド にグループ名を入力 し ます。 10. [Advanced] セ ク シ ョ ン を展開 し 、ユーザーの電子 メ ール ア ド レ ス ま たはデバ イ ス識別子を 入力 し ます。 11. [Email Address] フ ィ ール ド で、 ユーザーの電子 メ ール ア ド レ ス を構成 し ます。 こ のア ド レ スは、ユーザーにワ ン タ イ ム パス ワー ド を送信す る際に使用 さ れ、デ フ ォ ル ト の電子 メ ー ル ア ド レ ス (username@domain) を上書 き し ま す。 こ の電子 メ ール ア ド レ スは、 ユーザー の 「mail」 属性に割 り 当て ら れます。 ユーザー管理 | 95 12. [Device identifier(s)] フ ィ ール ド には、こ のユーザーに関連付け ら れて い る コ ン ピ ュ ー タ や 他のデバ イ スのデバ イ ス識別子を 1 つ ま たは複数 ( カ ン マ で区切る ) 入力 し ます。 こ の値 は、 ユーザー と デバ イ スのア フ ィ ニ テ ィ を適用す る ために、 デバ イ ス識別子の終点制御機能 で使用 さ れます。 こ れ ら の値は 「deviceId」 属性に割 り 当て ら れます。 13. [Save] を ク リ ッ ク す る と 、 ロ ー カ ル ユーザー ア カ ウ ン ト が作成 さ れ、 ア プ ラ イ ア ン スの ロ ー カ ル ユーザー認証 リ ポジ ト リ に保存 さ れます。 ロ ー カ ル ユーザー を保存 し 、 さ ら に別 のロ ー カ ル ユーザー を構成す る場合は、 [Save and Add Another] を ク リ ッ ク し ます。 ローカル ユーザーの編集 ロ ー カ ル ユーザーの設定を変更す る場合は、 次の手順を実行 し ます。 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を選択 し ます。 2. [Local Accounts] タ ブ を ク リ ッ ク し ます。 3. 編集す る ユーザーの名前を ク リ ッ ク し ます。[Add/Edit Local User] ページが表示 さ れます。 4. ユーザーの設定を編集 し て、 [Save] を ク リ ッ ク し ます。 ローカル ユーザーの削除 ロ ー カ ル ユーザー を削除す る場合は、 次の手順を実行 し ます。 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を選択 し ます。 2. [Local Accounts] タ ブ を ク リ ッ ク し ます。 3. 削除す る ユーザーのチ ェ ッ ク ボ ッ ク ス を選択 し 、 [Delete] を ク リ ッ ク し ます。 他のオ ブ ジ ェ ク ト か ら 参照 さ れて い る ロ ー カ ル ユーザーは削除で き ません。 例えば、 ア ク セ ス 制御ルールで参照 さ れて い る ロ ー カ ル ユーザー を削除 し よ う と す る と 、 エ ラ ー メ ッ セージが表 示 さ れます。 エ ラ ー メ ッ セージの リ ン ク を ク リ ッ ク す る と 、 こ のユーザーに対す る参照がすべ て示 さ れま す。 詳細につい ては、 134 ペー ジの 「参照 さ れて い る オ ブ ジ ェ ク ト の削除」 を 参照 し て く だ さ い。 ローカル グループの追加 ロ ー カ ル グループ を追加す る場合、 あ ら か じ め、 ア プ ラ イ ア ン スに ロ ー カ ル ユーザー認証 リ ポ ジ ト リ を作成 し て お く 必要があ り ます ( 作成方法については、204 ページの 「ロ ー カ ル ユーザー ス ト レ ージの構成」 を参照 し て く だ さ い )。 ロ ー カ ル認証レ ルムについ ては、 グルー プ を追加す る前に構成 し て お く 必要はあ り ません。 ロ ー カ ル ユーザー認証 リ ポジ ト リ を作成 し た ら 、 ロ ー カ ル グルー プ を ア プ ラ イ ア ン ス に追加で き る よ う に な り ま す。 ロ ー カ ル グルー プ を 手動で追加す る か、 グルー プ を イ ン ポー ト し ま す。 イ ン ポー ト の詳細につい ては、 98 ペー ジの 「ロ ー カ ル ア カ ウ ン ト の イ ン ポー ト お よ び エ ク ス ポー ト 」 を参照 し て く だ さ い。 ロ ー カ ル グルー プ を ア プ ラ イ ア ン ス に追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Users & Groups] を選択 し ます。 2. [Local Accounts] タ ブ を ク リ ッ ク し ます。 96 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. [New] を ク リ ッ ク し 、 [Group] を選択 し ます。 [Add Local User Group] ページが表示 さ れ ます。 4. [Name] ボ ッ ク スに、 ロ ー カ ル ユーザー認証 リ ポジ ト リ に追加す る ロ ー カ ル グルー プの名 前を入力 し ます。 5. [Description] ボ ッ ク ス に、 ロ ー カ ル グループ につい ての説明を入力 し ます。 6. ユーザー を グルー プ に追加す る には、[Add] ボ タ ン を ク リ ッ ク し ます。[Add User to Group] ウ ィ ン ド ウが開 き ます。 7. グルー プ に追加す る各ユーザーの横にあ る チ ェ ッ ク ボ ッ ク ス を選択 し て、 [Add] を ク リ ッ ク し ます。 選択 し たグルー プ に含まれて いな いユーザーのみが表示 さ れます。 ユーザー管理 | 97 8. 新規ユーザー を作成す る には、 [New] ボ タ ン を ク リ ッ ク し ます。 [Add User] ウ ィ ン ド ウが表 示 さ れます。 フ ィ ール ド の説明につい ては、 94 ページの 「ロ ー カ ル ユーザーの追加」 を参 照 し て く だ さ い。 9. [Save] を ク リ ッ ク す る と 、ロ ー カ ル ユーザーのグループが作成 さ れ、ア プ ラ イ ア ン スのロ ー カ ル ユーザー認証 リ ポジ ト リ に保存 さ れます。ロ ー カ ル グループ を保存 し 、さ ら に別のロ ー カ ル グループ を構成す る場合は、 [Save and Add Another] を ク リ ッ ク し ます。 ローカル グループの編集 ロ ー カ ル グループの設定を変更す る場合は、 次の手順を実行 し ます。 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を選択 し ます。 2. [Local Accounts] タ ブ を ク リ ッ ク し ます。 3. 編集す る グルー プの名前を ク リ ッ ク し ます。 [Add/Edit Local Group] ページが表示 さ れま す。 4. グルー プの設定を編集 し て、 [Save] を ク リ ッ ク し ます。 ローカル グループの削除 ロ ー カ ル グループ を削除す る場合は、 次の手順を実行 し ます。 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を選択 し ます。 2. [Local Accounts] タ ブ を ク リ ッ ク し ます。 3. 削除す る グルー プのチ ェ ッ ク ボ ッ ク ス を選択 し 、 [Delete] を ク リ ッ ク し ます。 他のオ ブ ジ ェ ク ト か ら 参照 さ れて い る ロ ー カ ル グルー プは削除で き ません。 例えば、 ア ク セ ス 制御ルールで参照 さ れて い る ロ ー カ ル グループ を削除 し よ う と す る と 、 エ ラ ー メ ッ セージが表 示 さ れます。 エ ラ ー メ ッ セージの リ ン ク を ク リ ッ ク す る と 、 こ のグルー プ に対す る参照がすべ て示 さ れま す。 詳細につい ては、 134 ペー ジの 「参照 さ れて い る オ ブ ジ ェ ク ト の削除」 を 参照 し て く だ さ い。 ローカル ア カ ウン ト のイ ンポー ト およびエ ク スポー ト E-Class SRA ア プ ラ イ ア ン ス では、 CSV フ ァ イ ルを使用 し て、 ユーザーお よ びグルー プの情報 を イ ン ポー ト / エ ク スポー ト で き ます。 ユーザーお よ びグループの情報は、 CSV フ ァ イ ルがガ イ ド ラ イ ン (100 ページの 「CSV フ ァ イ ルの作成」 を参照 ) に従 っ て いれば、 新規お よ び既存 のユーザー ア カ ウ ン ト に イ ン ポー ト で き ます。 イ ン ポー ト の詳細については、 98 ページの 「新 規ロ ー カ ル ユーザーお よ びグルー プの イ ン ポー ト 」 お よ び 102 ページの 「既存ロ ー カ ル ユー ザーのデー タ の イ ン ポー ト 」 を参照 し て く だ さ い。 エ ク スポー ト を実行す る と 、 ロ ー カ ル ユーザー認証 リ ポ ジ ト リ のすべてのロ ー カ ル ユーザー を 含む CSV フ ァ イ ルが LocalUsers.csv と い う 名前で作成 さ れます。ガ イ ド ラ イ ン (103 ページの 「ロ ー カ ル ユーザー ア カ ウ ン ト のエ ク スポー ト 」 を参照 ) に従 っ て、 エ ク スポー ト フ ァ イ ルを 作成 し て く だ さ い。 新規ローカル ユーザーおよびグループのイ ンポー ト ロ ー カ ル ユーザーお よ びグループ を容易に追加ま たは編集す る には、 ロ ー カ ル ユーザー情報を カ ン マ区切 り (CSV) テ キス ト フ ァ イ ルか ら ア プ ラ イ ア ン ス構成に イ ン ポー ト し ます。 こ れは、 時間を節約で き る ため、 特に大量のロ ー カ ル ユーザー を ア プ ラ イ ア ン ス に追加す る必要があ る 新規のお客様に役立つ機能です。 ユーザーの イ ン ポー ト は、 既存ユーザーの 1 つ ま たは複数の プ ロ パテ ィ を 更新す る 必要があ る 場合に も 非常に役立 ち ま す。 例えば、 新規グルー プ を 作成す る 際に、 新規グルー プ を 複数のユーザーにす ぐ に追加で き ま す。 詳細につい ては、 102 ペー ジ の 「既存ロ ー カ ル ユーザーのデー タ の イ ン ポー ト 」 を参照 し て く だ さ い。 98 | Aventail E-Class SRA 10.7 管理者ガ イ ド ロ ー カ ル ユーザーお よ びグルー プ を イ ン ポー ト す る場合は、 あ ら か じ めア プ ラ イ ア ン ス に ロ ー カ ル ユーザー認証 リ ポ ジ ト リ を作成 し て お く 必要があ り ます ( 作成方法につい ては 204 ページ の 「ロ ー カ ル ユーザー ス ト レ ージの構成」 を参照 し て く だ さ い )。 ロ ー カ ル ユーザー認証 リ ポ ジ ト リ を作成 し た ら 、 ロ ー カ ル ユーザーお よ びグルー プ を ア プ ラ イ ア ン ス に イ ン ポー ト で き る よ う に な り ます。 ロ ー カ ル認証レ ルムについては、 ロ ー カ ル ユーザーお よ びグルー プ を イ ン ポー ト す る前 に作成 し て お く 必要はあ り ません。 メモ ロ ー カ ル ユーザーお よ びグループ を ア プ ラ イ ア ン スに イ ン ポー ト す る には 1. イ ン ポー ト す る CSV フ ァ イ ルがロ ー カ ル コ ン ピ ュ ー タ にあ り 、 ガ イ ド ラ イ ン (100 ページ の 「CSV フ ァ イ ルの作成」 を参照 ) に従 っ て い る こ と を確認 し ます。 2. [Security Administration] の下の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Users & Groups] を選 択 し ます。 3. [Local Accounts] タ ブ を ク リ ッ ク し ます。 4. [Import] ボ タ ン を ク リ ッ ク し ます。 [Import Local Users] ページが表示 さ れ、 こ こ で ロ ー カ ル ユーザー を CSV フ ァ イ ルか ら ロ ー カ ル ユーザー認証 リ ポジ ト リ に イ ン ポー ト し ます。 管理者は [Local Accounts] ページ を変更で き る ア ク セ ス権を持ち、 ロ ー カ ル ユーザー認証 リ ポジ ト リ を利用で き る状態に な っ て い る必要があ り ます。 ユーザー管理 | 99 5. [Choose a file to import] ボ ッ ク ス で、 [Browse] を ク リ ッ ク し 、 イ ン ポー ト す る フ ァ イ ル を特定 し ま す。 フ ァ イ ル を イ ン ポー ト す る前に、 100 ページの 「CSV フ ァ イ ルの作成」 に 記載 さ れて い る要件を満た し て い る こ と を確認 し ます。 6. ローカル ユーザー認証 リ ポ ジ ト リ と 、 イ ン ポー ト さ れる フ ァ イ ルの両方に含まれる ユー ザー ア カ ウ ン ト があ っ た場合の処理方法を選択 し ます。 選択肢 処理方法 [Update the User] イ ン ポー ト さ れる CSV フ ァ イ ルのユーザー レ コ ー ド に一致 する よ う に、 ロー カル ユーザー認証 リ ポジ ト リ 内の重複ユー ザー デー タ を更新する [Do not update the user] CSV フ ァ イル内の重複ユーザー レ コ ー ド を無視 し 、 ロー カル ユーザー認証 リ ポジ ト リ 内のユーザー デー タ は変更 し ない こ の設定に関係な く 、 既存ユーザーのパス ワー ド は更新 さ れません。 た だ し 、 新規ユーザー のパス ワー ド は イ ン ポー ト さ れます。 7. [Default new user password] ボ ッ ク ス に、 CSV フ ァ イ ルでパス ワー ド が定義 さ れて いな い新規 ロ ー カ ル ユーザー を イ ン ポー ト す る 場合に共通 で 使用す る パ ス ワ ー ド を 入力 し ま す。 パス ワー ド は、 ロ ー カ ル認証サーバー向けに構成 し たパス ワー ド ポ リ シ ーに従 う 必要 があ り ます。 新規ユーザーは、 初回ロ グ イ ン時に こ のデ フ ォ ル ト パス ワー ド を使用 し ます。 8. デ フ ォ ル ト パスワー ド を [Confirm password] ボ ッ ク ス に再入力 し ます。 9. [Import] ボ タ ン を ク リ ッ ク し て、ロ ー カ ル ユーザー ア カ ウ ン ト を ロ ー カ ル ユーザー認証 リ ポジ ト リ に追加 し ます。 CSV フ ァ イ ルに何 ら かのエ ラ ーがあ っ た場合、 デー タ は イ ン ポー ト さ れません。 ハ イ ア ベ イ ラ ビ リ テ ィ (HA) を使用す る場合は、 すべてのロ ー カ ル ユーザー構成がマ ス タ ー ノ ー ド で実行 さ れてか ら 、 ス レ ー ブ ノ ー ド に コ ピ ー さ れます。 CSV フ ァ イルの作成 ア プ ラ イ ア ン スへのユーザー ア カ ウ ン ト の イ ン ポー ト に使用す る CSV フ ァ イ ルは、 次のガ イ ド ラ イ ン に従 っ て作成 し 、 フ ィ ール ド を こ の順序で並べる必要があ り ます。 必須 / フ ィ ール ド 任意 ガイ ド ラ イン 説明 Username 必須 1 ~ 255 文字 ( 大文字 と 小文字の ユーザーがロ グ イ ン時に入力す る 名前 区別あ り ) Description 任意 許可 さ れてい る文字数 と 文字の種 ユーザーについての詳細情報 類 Password 任意 ロ ー カ ル認証サーバー向けに構成 ユーザーがロ グ イ ン時に入力す る し たパスワー ド ポ リ シーに従 う 必 パスワー ド 要が あ る ( 新規 ユ ー ザ ー の イ ン ポー ト 時のみに使用 ) Enabled 必要 「True」 ま た は 「False」 を 含む必 ユーザーのロ グ イ ン を許可す るか 要があ る ( 大文字 と 小文字の区別 ど う かを指定する あり ) E-mail 任意 ロー カル ユーザー名 と ド メ イ ン名 ユーザーにワン タ イ ム パスワー ド を @ で区切る ( 最大 254 文字 ) を送信す る際に使用す る有効な電 子 メ ール ア ド レ ス 100 | Aventail E-Class SRA 10.7 管理者ガ イ ド 必須 / フ ィ ール ド 任意 ガイ ド ラ イン 説明 Devices 任意 カ ン マ区切 り リ ス ト ユーザーに関連付け ら れてい る デ バイ ス ID Groups 任意 カ ン マ区切 り リ ス ト ( 最大 255 文 ユーザーが所属 し てい る グループ のカ ン マ区切 り リ ス ト 字) メ モ:定義 さ れていないグループが イ ン ポー ト さ れる場合にグルー プ が作成 さ れます。 次の例は、 ユーザー を AMC に イ ン ポー ト す る際の フ ァ イ ル形式 を示 し てい ます。 前述の例で示 し て い る よ う に、 次のガ イ ド ラ イ ン に も 従 う 必要があ り ます。 CSV 形式では、 1 行目が列見出 し と し て使用 さ れ さ れる ため、 フ ァ イルの 1 行目は無視 し ま す。 • 文字列の値は、 通常二重引用符 (“) で囲みます。 • カ ン マ を含む文字列の値は囲む必要があ り ます。 • 文字列の値に引用符が含まれる場合は、 さ ら に二重引用符を使用する こ と で、 引用符を エ ス ケープする必要があ り ます ( 例 「“The group name is “”Team1””.”」 ) CSV フ ァ イ ルに何 ら かのエ ラ ーがあ っ た場合、 デー タ は イ ン ポー ト さ れず、 エ ラ ー メ ッ セージ が表示 さ れます。 エ ラ ー メ ッ セージ については、 104 ページの 「 イ ン ポー ト お よ びエ ク スポー ト に関す る エ ラ ー メ ッ セージ」 を参照 し て く だ さ い。 • CSV テ ン プ レー ト のダウン ロー ド ユーザー デー タ を含む CSV フ ァ イ ルを作成す る ためのテ ン プ レ ー ト を ダウ ン ロ ー ド す る には 1. [Security Administration] の下の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Users & Groups] を選 択 し ます。 2. [Local Accounts] タ ブ を ク リ ッ ク し ます。 3. [Import] ボ タ ン を ク リ ッ ク し ます。 ユーザー管理 | 101 4. [Import Local Users] ページ で、 [Click here] リ ン ク を ク リ ッ ク し ます。 5. [Windows File Download] ダ イ ア ロ グ ボ ッ ク スが表示 さ れた ら 、 [Save] ボ タ ン を ク リ ッ ク し ます。 6. [Windows Save As] ダ イ ア ロ グ ボ ッ ク スが表示 さ れた ら 、 [Save] ボ タ ン を ク リ ッ ク し てデ フ ォ ル ト 設定 を使用す るか、 CSV フ ァ イ ルに別の フ ァ イ ル名 と 保存場所を 選択 し ま す。 デ フ ォ ル ト の場合、 フ ァ イ ル名は LocalUsersTemplate.csv、 保存先は Downloads フ ォ ルダに な り ます。 7. フ ァ イ ルを ダウ ン ロ ー ド し た ら 、 ロ ー カ ル ユーザー認証 リ ポ ジ ト リ に イ ン ポー ト す る ユー ザー デー タ を追加す る ためのガ イ ド と し て使用 し ます。 既存ローカル ユーザーのデー タ のイ ンポー ト ロ ー カ ル ユーザー認証 リ ポ ジ ト リ にす で に含まれて い る 複数のユーザー ア カ ウ ン ト の プ ロ パ テ ィ を更新す る必要があ る場合、 ユーザー ア カ ウ ン ト を手動で編集す る代わ り に、 ユーザー を イ ン ポー ト で き ま す。 例えば、 新規グルー プ を 作成す る 際に、 複数のユーザー を グルー プ にす ぐ に追加で き ま す。 ユーザー ア カ ウ ン ト を 単純に CSV フ ァ イ ルに エ ク スポー ト し 、 必要な プ ロパテ ィ 変更を行い、 更新 さ れたユーザー ア カ ウ ン ト を ロ ー カ ル ユーザー認証 リ ポ ジ ト リ に イ ン ポー ト し て戻 し ます。 既存ロ ー カ ル ユーザーのデー タ を イ ン ポー ト す る には、 98 ページの 「新規ロ ー カ ル ユーザー お よ びグルー プの イ ン ポー ト 」 の説明に従 っ て く だ さ い。 た だ し 、 次の点に注意 し て く だ さ い。 102 | Aventail E-Class SRA 10.7 管理者ガ イ ド • ユーザーのデー タ を更新するかど う かを選択する際には、 [Update the User] を選択 し ます。 パス ワー ド は、 新規ユーザーの場合のみ イ ン ポー ト さ れま す。 こ の設定に関係な く 、 既存 ユーザーのパス ワー ド は更新 さ れません。 • 新規ユーザーを イ ンポー ト する際に使用する CSV フ ァ イル と 同 じ 形式を使用 し ます。 100 ページの 「CSV フ ァ イ ルの作成」 を参照 し て く だ さ い。 ただ し 、 イ ンポー ト さ れるのは、 次 のプ ロパテ ィ だけです。 – 説明 – 電子 メ ール ア ド レ ス – デバ イ ス ID – グルー プ • ユーザーを イ ン ポー ト する際には、 プ ロパテ ィ の追加は可能ですが、 削除は さ れません。 新規グループのイ ンポー ト 新規ま たは既存のロ ー カ ル ユーザー を イ ン ポー ト す る際には、 グループ メ ンバーシ ッ プ も イ ン ポー ト さ れます ( イ ン ポー ト さ れる CSV フ ァ イ ルで用意 さ れてい る場合 )。 AMC では、 明示的 に ロ ー カ ル グループ を イ ン ポー ト し ません。 た だ し 、 ユーザーが所属 し てい る グループが AMC で構成 さ れてい な い場合は、 新規ロ ー カ ル グルー プが作成 さ れ、 そのユーザーはグルー プの メ ンバー と し て追加 さ れます。 注意 CSV フ ァ イ ルに含める グルー プ名は間違え な い よ う に し て く だ さ い。 間違え る と 、 不要な グルー プが作成 さ れる こ と に な り ます。 ローカル ユーザー ア カウン ト のエ ク スポー ト AMC では、 ロ ー カ ル ユーザー認証 リ ポジ ト リ で現在定義 さ れてい る ロ ー カ ル ユーザー ア カ ウ ン ト お よ び関連す る グルー プ情報を エ ク スポー ト す る こ と で、CSV 形式のテ キス ト フ ァ イ ルを 作成で き ま す。 こ の CSV フ ァ イ ルは、 ユーザー デー タ を 任意のデー タ ベース に イ ン ポー ト す るのに使用で き ます。 ロ ー カ ル ユーザー ア カ ウ ン ト を エ ク スポー ト す る には 1. [Security Administration] の下の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Users & Groups] を選 択 し ます。 2. [Local Accounts] タ ブ を ク リ ッ ク し ます。 3. [Export] ボ タ ン スが表示 さ れます。 4. [Save] ボ タ ン を ク リ ッ ク し ます。 を ク リ ッ ク し ます。[Windows File Download] ダ イ ア ロ グ ボ ッ ク ユーザー管理 | 103 5. [Windows Save As] ダ イ ア ロ グ ボ ッ ク スが表示 さ れた ら 、 [Save] ボ タ ン を ク リ ッ ク し てデ フ ォ ル ト 設定 を使用す るか、 CSV フ ァ イ ルに別の フ ァ イ ル名 と 保存場所を 選択 し ま す。 デ フ ォ ル ト の場合、フ ァ イ ル名は LocalUsers.csv、保存先は Downloads フ ォ ルダに な り ます。 イ ンポー ト およびエ ク スポー ト に関するエ ラー メ ッ セージ CSV フ ァ イ ルの イ ン ポー ト ま たはエ ク スポー ト を実行す る際に、次のエ ラ ー メ ッ セージが表示 さ れる場合があ り ます。 イ ン ポー ト 時に エ ラ ーが発生す る と 、 デー タ は イ ン ポー ト さ れません。 こ のため、 フ ァ イ ルを イ ン ポー ト す る には、 エ ラ ー を解決す る必要があ り ます。 • • • • • • • • • • Duplicate user names - CSV フ ァ イルの複数のレ コ ー ド に同一ユーザー名 ( 大文字 と 小文 字の区別な し ) が存在する場合は、 そのユーザー名 と 、 重複するユーザー名があ る行番号がエ ラ ー メ ッ セージ で示 さ れます。 Wrong number of data columns - レ コ ー ド に無効な列数が含まれてい る と 、デー タ が無 効であ る こ と と 、 そのレ コ ー ド の行番号がエ ラ ー メ ッ セージ で示 さ れます。 Invalid email address - レ コ ー ド に含まれている電子 メ ール ア ド レ スが無効な ア ド レ ス の場合は ( 例 : 「useratdomain.com」 )、 ユーザー名、 無効な ア ド レ ス、 無効な ア ド レ スがあ る行番号がエ ラ ー メ ッ セージ で示 さ れます。 Invalid default password - デ フ ォ ル ト パスワー ド が、 ロー カル認証サーバーで構成 さ れてい るパスワー ド 基準を満た し ていない場合は、 その基準がエ ラ ー メ ッ セージ で示 さ れま す。 例えば、 パスワー ド には大文字 も 記号 も 含まれていないが、 そのいずれかま たは両方を 含める こ と が必須 と な っ てい る場合は、 ど ち ら も含まれていない こ と がエ ラ ー メ ッ セージ で 示 さ れます。 Invalid “enabled” value - Enabled 列の値が、 「true」 で も 「false」 で も ない場合は、 そ の問題の説明 と レ コ ー ド の行番号がエ ラ ー メ ッ セージ で示 さ れます。 Invalid user name - ユーザー名が無効の場合は (255 文字を超えている場合な ど )、 その 問題の説明 と レ コ ー ド の行番号がエ ラ ー メ ッ セージ で示 さ れます。 Invalid group name - グループ名が無効の場合は (255 文字を超え ている場合な ど )、その 問題の説明 と レ コ ー ド の行番号がエ ラ ー メ ッ セージ で示 さ れます。 Missing user name - ユーザー名が存在 し ないエ ン ト リ の場合、 その問題の説明 と レ コ ー ド の行番号がエ ラ ー メ ッ セージ で示 さ れます。 Missing password (新規ユーザーにデ フ ォル ト パスワー ド が設定 さ れない) - 新規ユーザー のエ ン ト リ にパスワー ド がな く 、 さ ら にデ フ ォ ル ト のパスワー ド が設定 さ れない場合は、 そ の問題の説明 と レ コ ー ド の行番号がエ ラ ー メ ッ セージ で示 さ れます。 Invalid user password - 新規ユーザーのエ ン ト リ に含まれてい るパスワー ド が、 ロー カ ル認証サーバーで構成 さ れたパスワー ド ポ リ シーに従 っ ていない場合は、 パスワー ド がポ リ シーに従 っ ていない こ と と 、 問題が生 じ てい る行番号がエ ラ ー メ ッ セージ で示 さ れます。 104 | Aventail E-Class SRA 10.7 管理者ガ イ ド 第4章 Aventail 管理コ ン ソ ールの操作 こ の節では、 ア プ ラ イ ア ン ス を管理す る ための Web ベースの イ ン タ ー フ ェ ース、 Aventail 管理 コ ン ソ ール (AMC) について説明 し ます。 AMC へのログ イ ン AMC に ロ グ イ ン す る 前に、 Setup Tool を 使用 し て初期セ ッ ト ア ッ プ を 行 っ た と き に内部 イ ン タ ー フ ェ ース で入力 し た ホ ス ト 名ま たは IP ア ド レ ス を用意 し てお く 必要があ り ます。 AMC に ロ グ イ ン す る には 1. Web ブ ラ ウザを起動 し 、 URL 「https://<ipaddress>:8443/」 を入力 し ます。 た だ し 、 「<ipaddress>」は、Setup Tool ま たは Setup Wizard の実行時に指定 し た内部 イ ン タ ー フ ェ ー スのア ド レ ス です。 2. [Username] テ キス ト フ ィ ール ド に 「admin」 と 入力 し ます。 3. [Password] テキス ト フ ィ ール ド に、 Setup Tool を使用 し て作成 し た root パス ワー ド を入 力 し ます。 4. [Log in using] ド ロ ッ プ ダウ ン リ ス ト を使用 し て、 [Management Console] を選択 し ま す。 Aventail 管理 コ ン ソ ールの操作 | 105 5. [Login] を ク リ ッ ク し ます。 AMC のホーム ページが表示 さ れま す。 6. シ ス テム統計を見直 し 、右側にあ る機能を使用 し て シ ス テムの構成お よ び メ ン テ ナ ン ス を実 行 し ます。 7. 上部にあ る [Help] ア イ コ ン を ク リ ッ ク す る と 、 ア プ ラ イ ア ン スの構成の詳細を確認で き ま す。 AMC パス ワー ド の変更方法につい ては、 117 ページの 「管理者ア カ ウ ン ト の編集」 を参照 し て く だ さ い。 複数の管理者が AMC で同時に変更 し な い よ う に し て く だ さ い。 詳細については、 127 ページの 「複数管理者の構成 フ ァ イ ルの衝突の回避」 を参照 し て く だ さ い。 メモ ログアウ ト AMC 管理者ア カ ウ ン ト のセキ ュ リ テ ィ を維持す る こ と が重要です。 AMC での作業が終了 し た ら 、 画面の右上にあ る [Log out] を ク リ ッ ク し ま す。 Web ブ ラ ウザを閉 じ て セ ッ シ ョ ン を終了 し た場合、 そのセ ッ シ ョ ンは、 タ イ ムア ウ ト す る ( 使用 し な い状態で 15 分経過す る ) ま で ア ク テ ィ ブ な状態で す。 こ のルールには、 重要な例外があ り ま す。 詳細につい ては、 583 ペー ジの 「ア プ ラ イ ア ン ス セ ッ シ ョ ン」 を参照 し て く だ さ い。 106 | Aventail E-Class SRA 10.7 管理者ガ イ ド AMC の基礎 こ のセ ク シ ョ ン では、 AMC の操作方法の基礎 を 説明 し ま す。 AMC と ブ ラ ウザの間でや り 取 り さ れる すべての構成デー タ は SSL を使用 し て暗号化 さ れる ため、 デー タ は安全な状態に保たれ ま す。 セキ ュ リ テ ィ を強化 し たい場合は、 信頼で き る ネ ッ ト ワー ク ( フ ァ イ ア ウ ォ ールの内側 の内部ネ ッ ト ワー ク ) で AMC を使用 し て く だ さ い。 詳細については、 164 ページの 「証明書の FAQ」 を参照 し て く だ さ い。 AMC イ ン タ ー フ ェ ース ク イ ッ ク ツ アー AMC イ ン タ ー フ ェ ースは、 同様の Web ベース セキ ュ リ テ ィ 管理ア プ リ ケーシ ョ ン を使用 し た こ と があれば、 容易に使い こ なす こ と がで き ます。 こ のセ ク シ ョ ン では、 AMC の操作に関す る 基本事項を説明 し ます。 サマ リ ー ページ AMC の最上位のページはサマ リ ー ページ で、 下位の構成ページ に こ こ か ら 迅速に ア ク セ ス し 、 主要な構成設定やス テ ー タ ス情報を表示で き ます。 次のサマ リ ー ページがあ り ます。 • • • • • • [Agent Configuration] [General Settings] [Network Settings] [SSL Settings] [Authentication Servers] [Services] Aventail 管理 コ ン ソ ールの操作 | 107 例えば、 [Agent Configuration] ページ には、 End Point Control エージ ェ ン ト 、 E-Class SRA ア ク セ ス エ ー ジ ェ ン ト 、 お よ びその他のエ ー ジ ェ ン ト を 構成す る ペー ジへの リ ン ク があ り ま す。 ま た、 こ のサマ リ ー ページ では、 それぞれのエージ ェ ン ト が有効ま たは無効のど ち ら に な っ て い るかがす ぐ にわか り ます。 表と タ ブ 多 く の AMC ページ では、 表形式のレ イ ア ウ ト を使用 し て、 管理対象のオ ブ ジ ェ ク ト が提示 さ れ ます。 表にはス ク ロ ール バーが付いて お り 、 長い リ ス ト で あ っ て も 、 ページの主要な要素 ( ナ ビ ゲーシ ョ ン バー、 ヘ ッ ダ、 フ ッ タ な ど も 含む ) を いつで も 簡単に表示で き ます。 一部の表で は、 下線付 き の列見出 し を ク リ ッ ク し て、 表示 さ れてい る デー タ を並べ替え る こ と も で き ます。 108 | Aventail E-Class SRA 10.7 管理者ガ イ ド 状況に よ っ ては、 タ ブ を 使用 し て モ ー ド を 切 り 替え る こ と がで き ま す。 例えば、 タ ブ を 使用 し て、 管理 リ ソ ー ス、 リ ソ ー スのグルー プ、 お よ び リ ソ ー スの定義で使用 さ れて い る 変数 を 切 り 替え ます。 フ ィ ルタ 大規模構成で何ページ に も な る項目の リ ス ト が含まれる AMC のページ では、フ ィ ル タ を使用す る と 、 探 し て い る項目を簡単に見つけ ら れます。 AMC の次のページ で、 フ ィ ル タ を使用で き ま す。 • • • • • • • • • [Resources] [Resource Groups] [Access Control] [Users] [Groups] [Shortcuts] [Shortcut Groups] [Browse for Users] ( ア ク セ ス ルールの作成 ) [Browse for Resources] ( ア ク セ ス ルールの作成 ) 実際の フ ィ ル タ はページ ご と に多少異な り ますが、 次の機能はどのページ で も 同 じ です。 • • • • [reset] リ ン ク は、 フ ィ ル タ フ ィ ール ド を デ フ ォ ル ト 値に リ セ ッ ト し ま す。 赤の [active] イ ン ジ ケー タ は、そのページが フ ィ ル タ を使用 し て ロ ー ド さ れた こ と を表 し ま す。すなわち、構成 さ れてい る すべての項目がページ に表示 さ れてい ない可能性があ り ます。 [Refresh] ボ タ ンは、 指定 し た フ ィ ル タ を適用 し てページ を リ ロ ー ド し ます。 フ ィ ル タ が保管 さ れ、 次回のページのロ ー ド では、 最後に適用 さ れたの と 同 じ フ ィ ル タ 使用 さ れます。 フ ィ ル タ はセ ッ シ ョ ン を ま たいで保管 さ れる ため、 ロ グ ア ウ ト し た後に ま た ロ グ イ ン し た と し て も 、 同 じ フ ィ ル タ が使用 さ れます。 Aventail 管理 コ ン ソ ールの操作 | 109 • リ ス ト に下にあ る フ ッ タ に、表示 さ れて い る項目の数 と リ ス ト 内の項目の合計数が表示 さ れ ます。 フ ィ ル タ がア ク テ ィ ブ で あ る場合、 (filtered) と い う イ ン ジ ケー タ と [Show all] リ ン ク が表示 さ れます。 こ の リ ン ク を ク リ ッ ク す る と 、 フ ィ ル タ がデ フ ォ ル ト に リ セ ッ ト さ れ、 ページが更新 さ れて リ ス ト にすべての項目が表示 さ れます。 一般的に、利用可能な フ ィ ル タ が リ ス ト に表示 さ れる列に マ ッ ピ ン グ さ れま す。リ ソ ース グルー プやシ ョ ー ト カ ッ ト グルー プ な どの場合は、 リ ス ト の列ではな いグルー プの メ ンバーに基づい て、 リ ス ト を フ ィ ル タ で き ます。 あ る いは、 [Resources] ページの場合で あれば、 列ではな く 、 リ ス ト 内の項目を展開す る と 表示 さ れる Value 属性の何 ら かの条件に基づいて、 リ ス ト を フ ィ ル タ で き ます。 こ の機能の カ ス タ ム フ ィ ル タ での 1 つの使用方法 と し て、関連す る項目の [Description] フ ィ ー ル ド に カ ス タ ム文字列 を 追加 し て独自の 「 タ グ」 を 作成す る 場合が考え ら れま す。 例えば、 い く つかの リ ソ ースがすべて 1 つのお客様の 1 つの部門に よ っ て使用 さ れて い る場合、 それ ら の リ ソ ースの [Description] にキーワー ド ま たは タ グ を追加す る と 、 フ ィ ル タ 機能を使用 し て、 そ のキーワー ド ま たは タ グが含まれる リ ソ ース だけ を迅速に表示で き ます。 ページ リ ン ク 一部の AMC ページ では、 スペース を節約す る ために、 複数ページの フ ォ ーマ ッ ト を使用 し 、 関 連 す る 項目設定 に ア ク セ ス す る た め の リ ン ク を ペ ー ジ の上部 に 設 け て い ま す。 [Configure Community] ページは、 こ のよ う なページの一例です。 オ ブ ジ ェ ク ト の編集 オ ブ ジ ェ ク ト の リ ス ト の表示に使用す るほ と ん どの表では、名前 フ ィ ール ド ([Access Control] ページの場合はルール番号 ) にハ イ パー リ ン ク が設定 さ れて い ま す。 オ ブ ジ ェ ク ト を編集す る には、 対応す るハ イ パー リ ン ク を ク リ ッ ク し ます。 110 | Aventail E-Class SRA 10.7 管理者ガ イ ド ページ ビ ュ ーの変更 AMC の長い複雑なページ では、 高度な機能の構成に使用す る編集 コ ン ト ロ ールが表示 さ れな い も の も あ り ま す。 こ う す る こ と で、 最 も 重要な構成オ プ シ ョ ン に集中で き る よ う に な っ て い ま す。 非表示のオ プ シ ョ ン を 表示す る には下矢印ボ タ ン を ク リ ッ ク し 、 上矢印 を ク リ ッ ク す る と 非表示に戻 り ます。 リ ス ト 詳細の展開 さ れた ビ ュ ー [Access Control] ページ な どのオ ブ ジ ェ ク ト の リ ス ト を表示す る AMC ページ では、 左側のプ ラ ス記号 (+) を ク リ ッ ク す る こ と で、 そのオ ブ ジ ェ ク ト の詳細を表示で き ます。 1 行表示に戻す には、 マ イ ナ ス記号 (-) を ク リ ッ ク し ます。 必須 フ ィ ール ド と エ ラ ー AMC では、 必須 フ ィ ール ド にはア ス タ リ ス ク が表示 さ れます。 必須 フ ィ ール ド に値を入力せず に [Save] を ク リ ッ ク す る と 、 その フ ィ ール ド の下に、 必須で あ る こ と を示す赤の メ ッ セージが 表示 さ れます。 エ ラ ー メ ッ セージ も 赤で表示 さ れます ( 例えば、 無効な値を入力 し た場合 )。 名前 と 説明の割 り 当て AMC での作業のほ と んどは、 次の 3 種類のオ ブ ジ ェ ク ト の管理に関連す る も のです。 ア ク セ ス制御ルール リ ソ ース • ユーザー と グルー プ AMC で こ れ ら のオ ブ ジ ェ ク ト を作成す る場合、 名前を必ず入力 し 、 オ プ シ ョ ン で説明を入力で き ます。 • • 必須ではあ り ませんが、 ア ク セ ス ルールの目的やサブ セ ッ ト 範囲に どの リ ソ ースがあ る と い っ たわか り やすい説明 を 付け る と 、 管理す る オ ブ ジ ェ ク ト の重要な情報 を 思い出すのに役立 ち ま す。 オ ブ ジ ェ ク ト のグループ を管理す る場合、 わか り やすい説明が特に便利です。 例えば、 AMC に後で戻 っ て大量のネ ッ ト ワー ク リ ソ ース を管理す る よ う な場合、 そのグルー プ に どのよ う な オ ブ ジ ェ ク ト があ るかを思い出せる よ う な説明があ る と 役に立ち ます。 ページの変更の保存 一部の AMC ページ では、変更を保存 ([Save]) す るかキ ャ ン セル ([Cancel]) で き ます。[Cancel] を ク リ ッ ク し た り 、 ブ ラ ウザの [ 戻る ] ボ タ ン を使用 し た り す る と 、 変更は保存 さ れません。 Aventail 管理 コ ン ソ ールの操作 | 111 AMC ス テ ー タ ス エ リ ア ス テ ー タ ス エ リ アは、 AMC ヘ ッ ダのす ぐ 下にあ り 、 重要な情報が表示 さ れます。 ス テー タ ス エ リ ア リンク 説明 ア プ ラ イ ア ン ス ラ イ セ ン ス ま たは コ ン ポーネ ン ト ラ イ セ ン スの有効期限 が切れてい る場合、 [License warning] を ク リ ッ ク す る と 、 ソ フ ト ウ ェ ア ラ イ セ ン ス を確認および管理で き ます。 AMC に ロ グ イ ン し て い る 場 合、 [Multiple administrators] を ク リ ッ ク する と 、 [Administrator Sessions] ペー 複 数 の管理者が ジの リ ス ト を チ ェ ッ ク で き ます。 こ のア プ ラ イ ア ン スがポ リ シー ア ッ プデー ト を受け取る よ う に構成 さ れて いる場合、 [Configuration recipient] を ク リ ッ ク する と 、 同期対象のア プ ラ イ ア ン ス を確認で き ます。 構成を変更 し た ものの、 適用 し ていない場合は、 [Pending changes] を ク リ ッ ク し ます。 [Apply Changes] ページ で、 保留にな っ ている変更を 有効、 スケジ ュ ール、 または破棄で き ます。 バージ ョ ン番号 と 製品シ リ アル番号 現在のシ ス テム ソ フ ト ウ ェ アのバージ ョ ン と 製品シ リ アル番号は、AMC の各ページの左側にあ る ナ ビ ゲーシ ョ ン バーの下部に表示 さ れます。 ア プ ラ イ ア ン スが構成デー タ を送受信す る構成 に な っ てい る と 、 その複製名が こ こ に表示 さ れます。 [System Status] ページ と [Maintenance] ページ には、バージ ョ ン番号以外に、適用 さ れた ホ ッ ト フ ィ ッ ク スの リ ス ト も 表示 さ れま す。 バー ジ ョ ン 番号 と ホ ッ ト フ ィ ッ ク ス情報は、 シ ス テ ム ア ッ プ デー ト を 計画す る 場合に利用で き る 他に、 Dell SonicWALL テ ク ニ カ ル サポー ト にお問 い合わせいた だ く 際に も 必要に な り ます。 AMC でのオブ ジ ェ ク ト の追加、 編集、 コ ピー、 削除 AMC には、 標準化 さ れた イ ン タ ー フ ェ ースが搭載 さ れてお り 、 リ ソ ース、 ア ク セ ス制御ルール、 ユーザー、 コ ミ ュ ニ テ ィ 、 End Point Control ゾー ン、 デバ イ ス プ ロ フ ァ イ ル、 お よ び VPN を 編成 し て動作 さ せる ためのその他のア イ テムな どのほ と ん どのオ ブ ジ ェ ク ト を管理で き ます。 AMC で オ ブ ジ ェ ク ト を追加、 編集、 コ ピ ー、 削除す る際の基本手順を以下に記載 し ます。 た だ し 、対象 と な る オ ブ ジ ェ ク ト や使用す る AMC ページ に よ っ ては手順が少 し 異な る こ と があ り ま す。 こ の例では、 [End Point Control Zones] ページ を使用 し てい ま す。 112 | Aventail E-Class SRA 10.7 管理者ガ イ ド AMC で新 し いオ ブ ジ ェ ク ト を追加す る には 1. 作成す る オ ブ ジ ェ ク ト タ イ プが表示 さ れてい る ページ で [New] を ク リ ッ ク し 、 作成のオ プ シ ョ ン を選択 し ます。 こ の例では [Standard zone...] を使用 し てい ます。 ゾー ン定義 - [Standard Zone] ページが表示 さ れます。 2. オ ブ ジ ェ ク ト に対応す る情報を入力 し 、 画面の下部にあ る [Save] を ク リ ッ ク し ます。 AMC で オ ブ ジ ェ ク ト を編集す る には 1. 編集す る オ ブ ジ ェ ク ト が表示 さ れて い る ページ で、 変更す る オ ブ ジ ェ ク ト の名前 ( 場合に よ っ ては数値 ) の リ ン ク を ク リ ッ ク し ま す。 オ ブ ジ ェ ク ト の簡単な説明 を 参照で き る 展開 (+) ボ タ ン を、 ほ と ん どの リ ス ト で使用で き ます。 2. オ ブ ジ ェ ク ト の情報を変更 し 、 [Save] を ク リ ッ ク し ます。 AMC で オ ブ ジ ェ ク ト を コ ピ ーす る には 1. コ ピ ー す る オ ブ ジ ェ ク ト が表示 さ れ て い る ペ ー ジ で、 オ ブ ジ ェ ク ト の左に あ る チ ェ ッ ク ボ ッ ク ス を選択 し 、 [Copy] を ク リ ッ ク し ます。 Aventail 管理 コ ン ソ ールの操作 | 113 2. コ ピ ー元のオ ブ ジ ェ ク ト の情報を変更 し 、 新 し い名前を割 り 当て てか ら 、 [Save] を ク リ ッ ク し ます。 AMC で オ ブ ジ ェ ク ト を削除す る には • 削除す る オ ブ ジ ェ ク ト が表示 さ れて い る ページ で、 オ ブ ジ ェ ク ト の左にあ る チ ェ ッ ク ボ ッ ク ス を選択 し 、 [Delete] を ク リ ッ ク し ます。 あ る オ ブ ジ ェ ク ト が他のオ ブ ジ ェ ク ト に ま だ関連付け ら れて い る 場合、 そのオ ブ ジ ェ ク ト は削 除で き ません。 詳細につい ては、 134 ペー ジの 「参照 さ れて い る オ ブ ジ ェ ク ト の削除」 を 参照 し て く だ さ い。 ヘルプの利用 どの AMC ページ に も [Help] ボ タ ンがあ り ( 画面の右上 )、 こ のボ タ ン を ク リ ッ ク す る と 、 コ ン テ キス ト に応 じ たオ ン ラ イ ン ヘルプが表示 さ れます。 ヘルプは新 し い ブ ラ ウザ ウ ィ ン ド ウに表示 さ れま す。 ヘルプ ナ ビ ゲーシ ョ ン バーには、 次の ボ タ ンがあ り ます。 ボタン 説明 [Contents]、 [Index]、 [Search] の各ボ タ ンがあるヘルプ ナビゲーシ ョ ン ペ イ ン を表示 し ます ( このボ タ ンは、 ヘルプ ナビゲーシ ョ ン ペ イ ン を閉 じ る と 表 示 さ れます。 ) 目次を同期 し て最新の ト ピ ッ ク を表示 し ます。( こ のボ タ ンは、ヘルプ ナビゲー シ ョ ン ペ イ ン を閉 じ る と 表示 さ れます。 ) 次または前のヘルプ ト ピ ッ ク を表示 し ます。 関連するヘルプ ト ピ ッ クの リ ス ト を表示 し ます。 現在のヘルプ ト ピ ッ ク を印刷 し ます。 114 | Aventail E-Class SRA 10.7 管理者ガ イ ド ヘルプ ナ ビ ゲーシ ョ ン には、 左側の フ レ ームの内容を変更す る次の タ ブがあ り ます。 • • • • [Contents] - ヘルプ ト ピ ッ ク の階層 リ ス ト を表示 し ます。 [Index] - ヘルプのキーワー ド を アル フ ァ ベ ッ ト 順に表示 し ます。 [Search] - ヘルプの全テ キス ト 検索エ ン ジ ン を表示 し ます。 ボ ッ ク ス に単語ま たは短い フ レ ーズ を入力 し て [Go!] を ク リ ッ ク し 、 結果の リ ス ト か ら ト ピ ッ ク を選択 し ます。 [Favorites] - 頻繁に参照す る ヘルプ ト ピ ッ ク の カ ス タ ム リ ス ト を作成で き ま す。 管理者ア カ ウン ト こ のセ ク シ ョ ン では、 AMC 管理者ア カ ウ ン ト を管理す る方法 と 、 複数の管理者がア プ ラ イ ア ン ス を管理す る場合の問題回避の方法を説明 し ます。 管理者ア カ ウン ト と 役割の管理 AMC では、 異な る ユーザー名 と パス ワー ド の複数の管理者を作成で き ます。 その上で、 役割を 管理者に割 り 当て、 使用で き る AMC の機能やア ク セ スの レ ベル を指定で き ます。 AMC にはデ フ ォ ル ト で、 AMC のすべての領域に フ ル ア ク セ ス で き る プ ラ イ マ リ 管理者の役割 が構成 さ れて い ま す。 プ ラ イ マ リ 管理者のみが、 他の管理者ア カ ウ ン ト を 追加、 編集、 削除で き ます。 管理者ア カウン ト の追加 ポ リ シー管理の管理者が複数いて、 それぞれの管理者に独自のロ グ イ ン ク レ デ ン シ ャ ルを与え る場合、 追加の管理者ア カ ウ ン ト を作成で き ます。 セ カ ン ダ リ 管理者ア カ ウ ン ト を作成、 変更、 削除で き るのは、 「プ ラ イ マ リ 」 管理者 ( デ フ ォ ル ト 名は 「admin」 で、 こ の名前は変更で き ま せん ) だけ です。 管理者ア カ ウ ン ト を追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [General Settings] を ク リ ッ ク し ま す。 Aventail 管理 コ ン ソ ールの操作 | 115 2. [Administrator accounts] エ リ アの [Edit] を ク リ ッ ク し ます。 [Manage Administrator Accounts] ページが表示 さ れま す。 3. [New > Administrator...] を ク リ ッ ク し ます。 [Add/Edit Administrator] ページが表示 さ れま す。 4. [User] ド ロ ッ プ ダウ ンか ら ユーザー を選択 し ます。 116 | Aventail E-Class SRA 10.7 管理者ガ イ ド 5. [Role] ド ロ ッ プ ダウ ンか ら 管理者の役割を選択 し ます。 AMC には次の役割が構成済みで、[Add/Edit Administrator Role] ページ で定義 さ れて い ま す。こ れ ら の構成済みの役割を変更す る こ と も 、新 し い役割を作成す る こ と も で き ます (120 ページの 「管理者の役割の定義」 を参照 し て く だ さ い )。 構成済みの役割 説明 Super Admin AMC のすべてのページに対 し て読み取 り / 書き 込みア ク セスが許可 さ れています Security Admin AMC の セ キ ュ リ テ ィ 管理 と モ ニ タ リ ン グ の ページに対する読み取 り / 書き込みア ク セス と 、 シ ス テム設定に対す る参照ア ク セ スが許可 さ れ ています System Admin AMC のシ ス テ ム と モ ニ タ リ ン グのペー ジ に対 する読み取 り / 書き込みア ク セス と 、 セキ ュ リ テ ィ ページに対する参照ア ク セスが許可 さ れて います 6. [Save] を ク リ ッ ク し 、 ページの上部にあ る [Pending Changes] を ク リ ッ ク し ます。 7. [Apply Changes] を ク リ ッ ク し ます。 メモ 管理者ア カ ウ ン ト の削除については、 112 ページの 「AMC でのオ ブ ジ ェ ク ト の 追加、 編集、 コ ピ ー、 削除」 を参照 し て く だ さ い。 デ フ ォ ル ト では、 構成済みの役割には、 あ ら ゆ る形式のセ ッ シ ョ ン デー タ の表示 と セ ッ シ ョ ンの終了が許可 さ れて い ます。 詳細については、 284 ページの 「ユーザー セ ッ シ ョ ンの表示」 と 288 ページの 「ユーザー セ ッ シ ョ ンの終了」 を参照 し て く だ さ い。 管理者ア カウン ト の編集 AMC パス ワー ド を安全な状態に保つためには、 パス ワー ド を随時変更す る必要があ り ます。 そ れぞれの管理者は、 自分のア カ ウ ン ト を 編集 し て、 パス ワー ド を 変更 し た り 、 説明 を 更新 し た り で き ます。 プ ラ イ マ リ AMC 管理者 ( ユーザー名が 「admin」 ) は、 他の管理者のア カ ウ ン ト 設定を編集で き ます。 パス ワー ド は 8 ~ 20 文字で指定 し 、 大文字 と 小文字 を 区別 し ま す。 大文字 と 小文字、 お よ び 数字 を 組み合わせて 「強力な」 パス ワー ド を 作成す る こ と が推奨 さ れま す。 ま た、 辞書に載 っ てい る よ う な単語は避けて く だ さ い。 パス ワー ド を 変更 し た ら 、 何 ら かの形で記録 し 、 安全な場所に保管 し ま す。 セ カ ン ダ リ 管理者 のパス ワー ド を変更 し た場合は、 該当す る管理者にそのパス ワー ド を忘れずに通知 し ます。 管理者ア カ ウ ン ト を編集す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [General Settings] を ク リ ッ ク し ま す。 Aventail 管理 コ ン ソ ールの操作 | 117 2. [General Settings] ページ で、 [Administrator accounts] エ リ アの [Edit] を ク リ ッ ク し ま す。 3. [Manage Administrator Accounts] ページの [Name] 列で、 編集す る ア カ ウ ン ト の管理者 の名前を ク リ ッ ク し ます。 118 | Aventail E-Class SRA 10.7 管理者ガ イ ド 4. [Add/Edit Administrator] ページ で、 説明テ キス ト 、 ロ グ イ ン パス ワー ド 、 ま たは役割を 変更 し ます。 メモ プ ラ イ マ リ 管理者やレ ガ シー ロ ー カ ル管理者のユーザー名や役割は変更で き ま せん。 プ ラ イ マ リ 管理者 ( ユーザー名が 「admin」 ) のパス ワー ド が変更 さ れる と 、 ア プ ラ イ ア ン ス に ( 「root」 と し て ) 直接ロ グ イ ン す る ためのパス ワー ド も 変更 さ れます。 レガシー ローカル管理者ア カウン ト の追加 / 編集 後方互換性のみの目的でサポー ト さ れて い る レ ガ シー ロ ー カ ル管理者ア カ ウ ン ト を、 作成ま た は変更で き ま す。 ロ ー カ ル管理者の構成には、 ロ ー カ ル認証サーバーにユーザー を 作成 し 、 そ のユーザー を 管理者の役割に マ ッ ピ ン グす る 方法 を 推奨 し ま す。 以前のバージ ョ ン では、 管理 者を認証サーバーには定義で き ず、 ア プ ラ イ ア ン ス にのみロ ー カ ルで定義で き て い ま し た。 レ ガ シー ロ ー カ ル管理者ア カ ウ ン ト を追加ま たは編集す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [General Settings] を ク リ ッ ク し ま す。 2. [Administrator accounts] エ リ アの [Edit] を ク リ ッ ク し ます。 [Manage Administrator Accounts] ページが表示 さ れま す。 3. レ ガ シー ロ ー カ ル管理者ア カ ウ ン ト を追加す る には、 [New] > [Legacy Local Administrator...] を ク リ ッ ク し ま す。 既存の レ ガ シ ー ロ ー カ ル管理者 ア カ ウ ン ト を 編集す る には、 編集す る 管理者の名前 を ク リ ッ ク し ます。 [Add/Edit Administrator] ページが表示 さ れます。 4. [Username] フ ィ ール ド に、 レ ガ シー ロ ー カ ル管理者のユーザー名を入力 し ます。 5. [Description] フ ィ ール ド に、 レ ガ シー ロ ー カ ル管理者ア カ ウ ン ト の説明を入力 し ます。 6. [Password] フ ィ ール ド に、 レ ガ シー ロ ー カ ル管理者のパス ワー ド を入力 し ます。 7. [Confirm password] フ ィ ール ド に、 レ ガ シー ロ ー カ ル管理者のパス ワー ド を も う 1 度入 力 し ます。 Aventail 管理 コ ン ソ ールの操作 | 119 8. [Role] ド ロ ッ プ ダウ ンか ら 管理者の役割を選択 し ます。 AMC には次の役割が構成済みで、[Add/Edit Administrator Role] ページ で定義 さ れて い ま す。こ れ ら の構成済みの役割を変更す る こ と も 、新 し い役割を作成す る こ と も で き ます (120 ページの 「管理者の役割の定義」 を参照 し て く だ さ い )。 構成済みの役割 説明 Super Admin AMC のすべてのページに対 し て読み取 り / 書き 込みア ク セスが許可 さ れています Security Admin AMC の セ キ ュ リ テ ィ 管理 と モ ニ タ リ ン グ の ページに対する読み取 り / 書き込みア ク セス と 、 シ ス テム設定に対す る参照ア ク セ スが許可 さ れ ています System Admin AMC のシ ス テ ム と モ ニ タ リ ン グのペー ジ に対 する読み取 り / 書き込みア ク セス と 、 セキ ュ リ テ ィ ページに対する参照ア ク セスが許可 さ れて います 9. [Save] を ク リ ッ ク し 、 ページの上部にあ る [Pending Changes] を ク リ ッ ク し ます。 10. [Apply Changes] を ク リ ッ ク し ます。 管理者ア カ ウ ン ト の削除については、 112 ページの 「AMC でのオ ブ ジ ェ ク ト の追加、 編集、 コ ピ ー、 削除」 を参照 し て く だ さ い。 デ フ ォ ル ト では、 構成済みの役割には、 あ ら ゆる形式のセ ッ シ ョ ン デー タ の表示 と セ ッ シ ョ ン の終了が許可 さ れて い ます。 詳細については、 284 ページの 「ユーザー セ ッ シ ョ ンの表示」 と 288 ページの 「ユーザー セ ッ シ ョ ンの終了」 を参照 し て く だ さ い。 管理者の役割の定義 役割ベースの管理に よ り 、 プ ラ イ マ リ 管理者は、 セ カ ン ダ リ AMC 管理者に対 し て、 一定の制約 付 き で管理制御権限を付与で き ます。 管理者の役割の定義では、 AMC の機能が 4 つに分類 さ れてい て、 カ テ ゴ リ ご と に、 役割に付与 す る権限を指定す る必要があ り ます。 AMC の管理者権限の 4 つの カ テ ゴ リ を、 次の表で説明 し ます。 カ テゴ リ 管理者権限 [Security administration] ア ク セ ス 制御ルール、 リ ソ ー ス、 ユ ーザー お よ び グ ルー プ、 WorkPlace、 OnDemand、 End Point Control の各ページに対す る管理者のア ク セス を制御 し ます。 [System configuration] ネ ッ ト ワー ク設定、 一般ア プ ラ イ ア ン ス設定、 SSL 設定、 ア ク セスおよびネ ッ ト ワー ク サービ ス、 認証サーバー、 レルムの各 ページに対する管理者のア ク セス を制御 し ます。 [System maintenance] ア プ ラ イ ア ン スの終了や再起動、 シ ス テム ソ フ ト ウ ェ アの更新 やロール バ ッ ク 、 構成デー タ のイ ンポー ト やエ ク スポー ト に対 する管理者の権限を制御 し ます。 120 | Aventail E-Class SRA 10.7 管理者ガ イ ド カ テゴ リ 管理者権限 [System monitoring] [View] ア ク セスでは、管理者がシ ス テム ロ グやグ ラ フ を表示 し た り 、 ア ク テ ィ ブ ユーザーを表示 し た り 、 ト ラ ブルシ ュ ーテ ィ ング ツールを実行 し た り で き ます (ネ ッ ト ワー ク ト レースの開 始、 停止、 ダウン ロー ド 、 削除な ど )。 [Modify] ア ク セスでは、 ユーザー セ ッ シ ョ ンの終了 と ロ グ設定の変更の権限が さ ら に 追加 さ れます。 それぞれの カ テ ゴ リ の権限レ ベルは、 次のよ う に設定で き ます。 権限レ ベル 説明 [Modify] カ テ ゴ リ 内の読み取 り / 書き込みア ク セス を許可 し ます。 [View] カ テ ゴ リ 内の読み取 り 専用ア ク セス を許可 し ます。 [None] カ テ ゴ リ 内の関連 AMC ページへのア ク セス を禁止 し ます。 あ る カ テ ゴ リ の権限レ ベルに [None] を選択する と 、 AMC では、 そのカ テ ゴ リ 内のページが表示 さ れず、 それらのページに リ ン ク する メ イ ン ナビゲーシ ョ ン メ ニ ュ ー コ マ ン ド も表示 さ れま せん。 管理者の役割を作成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [General Settings] を ク リ ッ ク し ま す。 2. [Administrators] エ リ ア で管理者ア カ ウ ン ト の [Edit] を ク リ ッ ク し ます。 [Manage Administrator Roles] ページが表示 さ れ、 管理者の役割 と 権限レ ベルの概要が表 示 さ れます。 Aventail 管理 コ ン ソ ールの操作 | 121 3. [Roles] タ ブ を ク リ ッ ク し ます。 4. [New] を ク リ ッ ク し ま す。 122 | Aventail E-Class SRA 10.7 管理者ガ イ ド [Add Administrator Role] ページが表示 さ れます。 5. [Name] テ キス ト フ ィ ール ド に、 管理者の役割の名前 を入力 し ます。 6. オ プ シ ョ ン。 [Description] テ キス ト フ ィ ール ド に、 役割の説明を入力 し ます。 7. [Administrator permissions] エ リ アか ら 、役割に付与す る権限の カ テ ゴ リ を 1 つ以上選択 し ます。 8. [Save] を ク リ ッ ク し ます。 認証サーバーの追加 E-Class SRA では、 ア プ ラ イ ア ン ス管理者を定義す る認証サーバー を選択で き ます。 ア カ ウ ン ト が外部デ ィ レ ク ト リ サーバーにす で に定義 さ れて い る 場合、 ロ ー カ ル認証ス ト ア を 作成 し 、 管理者の役割を ロ ー カ ルに定義 さ れたユーザーやグルー プ に割 り 当て る こ と がで き ます。 認証サーバー を追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Authentication Servers] を ク リ ッ ク し ます。 Aventail 管理 コ ン ソ ールの操作 | 123 2. [New...] を ク リ ッ ク し ます。 [New Authentication Server] ページが表示 さ れます。 3. 構成の設定を入力 し 、 [Continue...] を ク リ ッ ク し ま す。 [Configure Authentication Server] ページが表示 さ れます。 124 | Aventail E-Class SRA 10.7 管理者ガ イ ド 4. 構成の設定を入力 し 、 [Save] を ク リ ッ ク し ます。 5. [General Settings] に移動 し ます。 Aventail 管理 コ ン ソ ールの操作 | 125 6. [Administrators] エ リ ア で管理者ア カ ウ ン ト の [Edit] を ク リ ッ ク し ます。 [Manage Administrator Roles] ページが表示 さ れます。 7. [Authentication] タ ブ を ク リ ッ ク し ます。 126 | Aventail E-Class SRA 10.7 管理者ガ イ ド 8. [Authentication server:] ド ロ ッ プ ダウ ンか ら 、 追加 し た認証サーバー を選択 し ま す。 9. それ以外のオ プ シ ョ ンはすべて、 デ フ ォ ル ト のま ま に し ます。 10. [Save] を ク リ ッ ク し ます。 11. ページの右上にあ る [Pending Changes] を ク リ ッ ク し ます。 12. [Apply Changes] を ク リ ッ ク し ます。 管理者の役割の編集 プ ラ イ マ リ AMC 管理者は、 セ カ ン ダ リ 管理者の役割を変更 し て権限レ ベルを変更で き 、 セ カ ン ダ リ 管理者の役割 を 削除す る こ と も で き ま す。 詳細につい ては、 120 ペー ジの 「管理者の役割 の定義」 を参照 し て く だ さ い。 複数管理者の構成フ ァ イルの衝突の回避 複数の管理者がア プ ラ イ ア ン ス を管理す る場合、 AMC を同時に使用 し な い よ う にす る必要があ り ま す。 複数の管理者が同 じ オ ブ ジ ェ ク ト を 変更 し た場合、 AMC は最後の変更 を 保存 し ま す。 そのため、 意図 し な い結果に な る こ と があ り 、 ア ク セ ス制御ルールが矛盾 し て変更 さ れる と 、 セ キ ュ リ テ ィ の問題が発生す る可能性があ り ます。 複数の管理者が AMC に ロ グ イ ン し てい る場合、 AMC の右上の リ ン ク で警告が表示 さ れま す。 AMC に ロ グ イ ン し て い る すべ ての管理者のユーザー名 と IP ア ド レ スの リ ス ト を 参照す る に は、 こ の リ ン ク を ク リ ッ ク し ます。 [Administrator Sessions] ページが別ウ ィ ン ド ウに表示 さ れます。 管理者が Web ブ ラ ウザの複数の イ ン ス タ ン ス を使用 し て AMC に ロ グ イ ン し て い る場 合、 管理者のユーザー名 と IP ア ド レ スが複数表示 さ れま す。 他の管理者に連絡 し て お互いの活動 を 調整す る こ と で、 構成 フ ァ イ ルの衝突 を 回避す る 必要が あ り ます。 Aventail 管理 コ ン ソ ールの操作 | 127 AMC 管理者の全 リ ス ト を表示す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [General Settings] を ク リ ッ ク し ます。 2. [Administrator accounts] エ リ アの [Edit] を ク リ ッ ク し ます。 [Manage Administrator Accounts] ページ にすべての管理者の リ ス ト が表示 さ れ、 現在どの管理者が ロ グ イ ン し て い るか も 表示 さ れます。 管理 コ ン ソ ールの監査ロ グには、 管理者に よ る AMC 構成のあ ら ゆる変更が記録 さ れます。 277 ページの 「管理監査ロ グ」 を参照 し て く だ さ い。 AMC セ ッ シ ョ ン を終了す る場合は [Log Out] を ク リ ッ ク す る必要があ り ま す。 Web ブ ラ ウザ を閉 じ て セ ッ シ ョ ン を終了す る と 、 タ イ ムア ウ ト ( デ フ ォ ル ト では 15 分 ) す る ま での間、 ア ク テ ィ ブ セ ッ シ ョ ン と し て リ ス ト に表示 さ れます。 複数の Dell SonicWALL E-Class SRA デバイ スの管理 E-Class SRA ア プ ラ イ ア ン ス を構成す る こ と で、Global Management System (GMS) に よ っ て 管理 さ れる よ う に し た り 、 ViewPoint レ ポー ト の対象に な る よ う に し た り 、 その両方に し た り で き ます。 Global Management System (GMS) を使用す る と 、 単一の管理 イ ン タ ー フ ェ ース で一元管 理 し 、 E-Class SRA ア プ ラ イ ア ン ス と セキ ュ リ テ ィ ポ リ シーの構成を展開で き ま す。 GMS では、 リ アル タ イ ムの一元監視や、 ポ リ シーお よ び コ ン プ ラ イ ア ン スのレ ポー ト 作成 も 可能 です。 • ViewPoint Reporting Module は、 個別の E-Class SRA ア プ ラ イ ア ン スの詳細レ ポー ト を作 成で き る、Web ベースの個別のレ ポー ト 作成ツ ールです。カ ス タ マ イ ズ可能な ダ ッ シ ュ ボー ド や多様な履歴レ ポー ト を使用 し て、 ネ ッ ト ワー ク の使用状況を追跡 し た り 、 セキ ュ リ テ ィ 脅威、 不適切な Web 使用、 帯域幅の レ ベルな どのネ ッ ト ワー ク イ ベ ン ト やア ク テ ィ ビ テ ィ を監視 し た り で き ます。 AMC で一元管理 を 構成す る には、 こ れ ら のサーバーのア ド レ スやポー ト な どの設定 を 指定 し 、 GMS や ViewPoint サーバーが SRA EX-Series ア プ ラ イ ア ン スへの ア ク セ ス に使用す る パス ワー ド を指定 し ます。 • GMS のためのア プ ラ イ ア ン スの構成 Global Management System (GMS) を使用す る と 、単一の管理 イ ン タ ー フ ェ ース で一元管理 し 、 E-Class SRA ア プ ラ イ ア ン ス と セキ ュ リ テ ィ ポ リ シーの構成を展開で き ます。 GMS では、 リ アル タ イ ムの一元監視や、 ポ リ シ ーお よ び コ ン プ ラ イ ア ン スの レ ポー ト 作成 も 可能で す。 ア プ ラ イ ア ン ス レ ポー ト が定期的に電子 メ ールで自動送信 さ れる よ う に ス ケ ジ ュ ールで き ます。 現 在、 次の要素が こ れ ら のレ ポー ト の対象に な り ます。 128 | Aventail E-Class SRA 10.7 管理者ガ イ ド ユーザー認証関連 イ ベ ン ト 。 ユーザー ロ グ イ ン レ ポー ト には、 指定 し た日に ア プ ラ イ ア ン ス に ロ グ イ ン し たユーザーのユーザー名、 ソ ース ホ ス ト IP ア ド レ ス、 お よ び ロ グ イ ン時間 が出力 さ れま す。 失敗 し た ロ グ イ ン レ ポー ト には、 不成功の ロ グ イ ン 試行が表示 さ れ、 未 承認のア ク セ ス試行や悪意あ る ア ク テ ィ ビ テ ィ の可能性の特定に役立ち ます。 • ス テ ー タ ス情報。 GMS は、 E-Class SRA ア プ ラ イ ア ン スに自動的に ロ グ イ ン で き、 ア ッ プ / ダ ウ ン のス テ ー タ スやモ デルお よ び シ リ ア ル番号、 言語、 ア ッ プ 時間、 フ ァ ームウ ェ ア バージ ョ ン な どの詳細を要求 し ます。 • リ ソ ース ア ク セ ス イ ベ ン ト 。 GMS の集計デー タ がア ク セ ス方法やユーザー / レ ルム名に よ っ て集計 さ れ、 さ ら に、 詳細 を表示 し た り 、 個々のア ク セ ス項目を表示 し た り で き ます。 例えば、 ユーザーが WorkPlace に ロ グ イ ン し て いて、 さ ま ざ ま な リ ン ク を ク リ ッ ク し た場 合、 情報が GMS に中継 さ れ、 サマ リ ー レ ポー ト や詳細 レ ポー ト で確認で き ます。 E-Class SRA ア プ ラ イ ア ン ス を構成 し て、 ViewPoint の レ ポー ト に含まれる よ う にす る こ と も で き ます。 • GMS ま たは ViewPoint に合わせて SRA EX-Series ア プ ラ イ ア ン ス を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [General Settings] を ク リ ッ ク し ます。 2. [Centralized management] エ リ アの [Edit] を ク リ ッ ク し ま す。 3. [Enable GMS/ViewPoint] チ ェ ッ ク ボ ッ ク ス を選択 し 、GMS ま たは ViewPoint サーバーの ホ ス ト 名ま たは IP ア ド レ ス と 、 ポー ト 番号を入力 し ま す。 4. [Heartbeat interval] テ キス ト ボ ッ ク ス で、 ア プ ラ イ ア ン スがス テ ー タ ス情報 (status.xml) に加え て、 認証関連 イ ベ ン ト のレ ポー ト を送信で き る状態に な る イ ン タ ーバル ( 秒単位 ) を 設定 し ます。 60 秒の イ ン タ ーバルが一般的です。 5. ア プ ラ イ ア ン スの管理だけで レ ポー ト は何 も 生成 し な い よ う にす る場合は、 [Send heartbeat status messages] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 6. 必要で あれば、 [Additional ViewPoint server] エ リ ア で追加サーバー を有効に し ます。 only Aventail 管理 コ ン ソ ールの操作 | 129 7. [GMS/ViewPoint credentials] エ リ ア に、 SRA E-Class ア プ ラ イ ア ン スの追加に使用す る パス ワー ド を入力 し 、確認のためにパス ワー ド を再入力 し ます。GMS/ViewPoint [Add Unit] 画面で、 [GMS] を ロ グ イ ン名 と [Password] ボ ッ ク ス で指定 し た ク レ デ ン シ ャ ル と し て入力 し て、 こ の E-Class SRA ア プ ラ イ ア ン ス を追加 し ます。 8. Aventail 管理 コ ン ソ ール (AMC) を開い て GMS で構成を変更で き る よ う にす る場合は、 [Enable single sign-on for AMC configuration] を選択 し ます。 こ の選択を オ フ に し て も AMC を開 く こ と がで き ま すが、 その場合は、 AMC ロ グ イ ン ク レ デ ン シ ャ ル を最初に入力 す る必要があ り ます。 手順が増え ますが、 セキ ュ リ テ ィ は強化 さ れます。 9. [Save] を ク リ ッ ク し ます。 詳細につい ては、 Dell SonicWALL Global Management System (www.MySonicwall.com) を参 照 し て く だ さ い。 ViewPoint のためのアプ ラ イ ア ン スの構成 ViewPoint Reporting Module は、個別の E-Class SRA ア プ ラ イ ア ン スの詳細レ ポー ト を作成で き る、 Web ベースの個別のレ ポー ト 作成ツ ールです。 カ ス タ マ イ ズ可能な ダ ッ シ ュ ボー ド や多 様な履歴 レ ポー ト を 使用 し て、 ネ ッ ト ワー ク の使用状況 を 追跡 し た り 、 セキ ュ リ テ ィ 脅威、 不 適切な Web 使用、 帯域幅の レ ベルな どのネ ッ ト ワー ク イ ベ ン ト やア ク テ ィ ビ テ ィ を 監視 し た り で き ます。情報はア プ ラ イ ア ン スか ら syslog デー タ のス ト リ ーム と し て送信 さ れ、ViewPoint デー タ ベース ま たはハー ド デ ィ ス ク 上の フ ァ イ ルに保存 さ れます。 ViewPoint に合わせて SRA EX-Series ア プ ラ イ ア ン ス を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [General Settings] を ク リ ッ ク し ます。 2. [Centralized management] エ リ アの [Edit] を ク リ ッ ク し ま す。 130 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. [Enable GMS/ViewPoint] チ ェ ッ ク ボ ッ ク ス を選択 し 、ViewPoint サーバーのホ ス ト 名ま た は IP ア ド レ ス と 、 ポー ト 番号を入力 し ま す。 4. [GMS/ViewPoint credentials] エ リ ア に、 ViewPoint サーバーへの SRA E-Class ア プ ラ イ ア ン スの追加に使用す るパス ワー ド を入力 し 、確認のためにパス ワー ド を再入力 し ます ( ロ グ イ ン名は 「GMS」 )。 5. Aventail 管理 コ ン ソ ール (AMC) を開いて ViewPoint サーバーか ら 構成を変更で き る よ う に す る場合は、 [Enable single sign-on for AMC configuration] を選択 し ます。 こ の選択を オ フ に し て も AMC を開 く こ と がで き ま すが、 その場合は、 AMC ロ グ イ ン ク レ デ ン シ ャ ル を最初に入力す る必要があ り ます。 手順が増え ますが、 セキ ュ リ テ ィ は強化 さ れます。 6. [Save] を ク リ ッ ク し ます。 構成デー タ の操作 こ のセ ク シ ョ ン では、 構成の変更を AMC に保存 し て有効にす る方法につい て説明 し ます。 構成変更のデ ィ ス クへの保存 AMC での変更が終了 し て [Save] を ク リ ッ ク す る と 、変更がデ ィ ス ク に保存 さ れます。[Cancel] を ク リ ッ ク し た り 、 ブ ラ ウザの [ 戻る ] ボ タ ン を使用 し た り す る と 、 変更は保存 さ れません。 構成変更を デ ィ ス ク に保存す る には 1. AMC で構成を変更 し ます。 2. ページの下部にあ る [Save] ボ タ ン を ク リ ッ ク し ます。 構成変更はデ ィ ス ク に保存 さ れますが、 ア ク テ ィ ブ な構成には適用 さ れません。 AMC のス テー タ ス エ リ ア に、 変更が保留に な っ て いて ア プ ラ イ ア ン ス に適用す る必要があ る こ と を示す メ ッ セージが表示 さ れます。 詳細につい ては、 131 ページの 「構成変更の適用」 を参照 し て く だ さ い。 構成デー タ を管理す る方法には、 い く つかのオ プ シ ョ ンがあ り 、 例えば、 エ ク スポー ト す る、 ア プ ラ イ ア ン ス に保存す る、 リ ス ト ア す る な どの方法があ り ま す。 詳細につい ては、 303 ペー ジ の 「構成デー タ の管理」 を参照 し て く だ さ い。 構成変更の適用 ア プ ラ イ ア ン スの構成 を 変更す る と 、 デ ィ ス ク には保存 さ れま すが、 す ぐ に適用 さ れ る わけ で はあ り ません。 こ のよ う な変更は、 有効にす るか ( こ のセ ク シ ョ ン で説明 )、 破棄で き ます ( 詳 細につい ては、 133 ページの 「保留中の構成変更の破棄」 を参照 し て く だ さ い )。 構成変更を有効にす る には、 変更を適用す る必要があ り ま す。 ほ と ん どの構成変更は、 ユーザー へのサー ビ ス を 中断す る こ と な く 適用で き 、 新 し い接続では新 し い構成が使用 さ れま す。 低 レ ベルの構成変更 ( 例えば、 IP ア ド レ スの変更 ) はやや面倒で、 ネ ッ ト ワー ク サー ビ スが自動的 に再起動 し 、 ユーザー接続が停止 し 、 ユーザーには再認証が要求 さ れま す。 可能で あれば、 オ フ ピ ー ク 時 ( 保守期間な ど ) に こ のよ う な構成変更を適用 し 、ユーザーに事前に通知 し て お き ま す。 サー ビ ス を手動で再起動す る必要があ る場合は、 467 ページの 「E-Class SRA ア ク セ ス サー ビ スの停止 と 起動」 を参照 し て く だ さ い。 Aventail 管理 コ ン ソ ールの操作 | 131 変更を適用す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Maintenance] を ク リ ッ ク し ます。 2. [Maintenance] ページ で、 [Apply changes] を ク リ ッ ク し ます (AMC の右上に表示 さ れる [Pending changes] リ ン ク を ク リ ッ ク す る こ と も で き ます )。 3. [Apply Changes] ページの メ ッ セージ を参照 し て、 変更の適用の影響を評価 し ます。 警告 メ ッ セージ 説明 • Applying changes will restart all services and こ のよ う な変更 を 適用す る と 、 既存のユー terminate all user connections. ( 変更を適用する ザー接続が停止 し ます。 と 、 すべてのサービ スが再起動 し 、 すべての 注意 : ユーザーの再認証が必要にな る ユーザー接続が停止 し ます。 ) ため、 デー タ が失われる可能性があ り ます。 • Applying changes will terminate existing TCP/IP user connections. ( 変更を適用する と 、 既存の TCP/IP ユーザー接続が停止 し ます。 ) • Applying changes will terminate existing HTTP user connections. ( 変更を適用する と 、 既存の HTTP ユーザー接続が停止 し ます。 ) Your changes will require AMC to restart, which 現在のセ ッ シ ョ ンが終了する と 、 AMC を使 will end your current administrative 用 で き な く な り ま す。 ブ ラ ウ ザ を 閉 じ て session.When the request is complete, open a AMC に再ログ イ ン し て く だ さ い。 new browser and log in to AMC again. (変更する には、 AMC を再起動 し て現在の管理セ ッ シ ョ ン を終了する必要があ り ます。 要求が完了 し た ら、 新 し い ブ ラ ウザ を 開い て AMC に再ロ グ イ ン し て く だ さ い。 ) No authentication realms are enabled.This will prevent users from accessing any resources. (有 効な認証レルムがないため、 ユーザーが リ ソ ー スにア ク セスで き ません。 ) 4. ユーザーが リ ソ ース に ア ク セ ス で き る よ う にする には、1 つ以上の認証レルムが有効で ある必要があ り ます。認証レルムが有効でな い と 、ユーザーがア プ ラ イ ア ン スに対 し て認 証で き ません。 [Apply Changes] を ク リ ッ ク し て、 構成変更を適用 し ます。 構成変更 を WorkPlace に適用す る と 、 AMC がサー ビ ス の再起動 を 実行 し ま す。 ユ ーザーは WorkPlace に 再 認 証 す る 必 要 は あ り ま せ ん が、 ネ ッ ト ワ ー ク 共 有 に ア ク セ ス す る た め に Windows ロ グ イ ン ク レ デ ン シ ャ ル を 提供 し て い る 場合、 WorkPlace の再起動時に再入力が要 求 さ れます。 変更の適用時にすで に存在 し て い た接続では、 その接続が終了す る ま で、 古い構成が引 き 続 き 使用 さ れます。 Web 接続は短いため、 Web リ ソ ース に ア ク セ スす るほ と んどのユーザーには、 構成変更が短時間で適用 さ れます。 一方で、 ク ラ イ ア ン ト / サーバー接続は長時間継続す る可能 性があ り ます。 新 し い構成 を ロ ー ド で き な い場合、 既存の接続がそのま ま有効に な り ま すが、 新 し い接続の試 行は失敗 し ます。 こ のよ う な状況での対処の詳細については、 556 ページの 「AMC の問題」 を 参照 し て く だ さ い。 132 | Aventail E-Class SRA 10.7 管理者ガ イ ド 保留中の構成変更の破棄 AMC での構成変更はデ ィ ス ク に保存 さ れますが、 131 ページの 「構成変更の適用」 で説明 し た よ う に、 適用す る ま で有効に な り ません。 AMC ロ グ フ ァ イ ルを使用す る と 、 どの変更が保留に な っ て い るか を 確認で き 、 AMC の [Apply changes] ページ に移動 し て破棄で き ま す。 保留中 の変更はグルー プ単位でのみ破棄で き 、 個別には破棄で き ません。 保留中の変更を破棄す る には 1. ( オ プ シ ョ ン ) 管理 コ ン ソ ールの監査ロ グ フ ァ イ ルで、 保留中の変更の リ ス ト を確認で き ま す。 a. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Logging] を ク リ ッ ク し 、 [Log file] リ ス ト か ら 「Management Console audit log] を選択 し ます。 b. 「Applied configuration changes」 メ ッ セージが最後に表示 さ れた と き 以降に追加 さ れ た [Info] レ ベルの項目を、 破棄で き ます。 詳細については、 277 ページの 「管理監査ロ グ」 を参照 し て く だ さ い。 2. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Maintenance] を ク リ ッ ク し 、[Apply changes] を ク リ ッ ク し ます。 3. [Apply Changes] ページ で、[Discard] を ク リ ッ ク し ます保留中の変更を破棄で リ ス ト ア さ れる構成の タ イ ムス タ ン プ と 日付ス タ ン プが表示 さ れます。 4. [OK] を ク リ ッ ク し て、 変更の破棄 を確定 し ます。 保留中の変更のスケジ ュ ール 変更を スケジ ュ ールする には 1. AMC の右上にあ る [Pending changes] リ ン ク を ク リ ッ ク す るか、 [Maintenance] ページ の [Apply changes] ボ タ ン を ク リ ッ ク し て、 [Apply Pending Changes] ダ イ ア ロ グ を表示 し ます。 2. [Advanced] 見出 し の右にあ る ます。 3. 保留中の変更を後で適用す る よ う ス ケ ジ ュ ールす る には、 [At] ラ ジ オ ボ タ ン を ク リ ッ ク し 、 適用す る時刻 と 日付を選択 し ます。 下矢印を ク リ ッ ク し て、 [Advanced] セ ク シ ョ ン を展開 し [Now] ラ ジ オ ボ タ ン を選択す る と 保留中の変更が直ち に適用 さ れ、[Discard] を ク リ ッ ク す る と 保留中の変更が破棄 さ れます。 4. [Apply Changes] を ク リ ッ ク し ます。 次に [Pending Changes] を ク リ ッ ク す る と 、 ス ケ ジ ュ ール さ れた ア ク シ ョ ンが表示 さ れます。 Aventail 管理 コ ン ソ ールの操作 | 133 ス ケ ジ ュ ール さ れた時刻の前で あれば、 こ の同 じ ダ イ ア ロ グ で、 いつ で も ス ケ ジ ュ ール を 変更 し た り 、 破棄 し た り で き ます。 参照 さ れているオブジ ェ ク ト の削除 あ る オ ブ ジ ェ ク ト ( リ ソ ースやユーザーな ど ) が他のオ ブ ジ ェ ク ト に よ っ て参照 さ れて い る と 、 そのオ ブ ジ ェ ク ト は削除で き ません (AMC で そのオ ブ ジ ェ ク ト の隣のチ ェ ッ ク ボ ッ ク ス を選択 で き ません )。 次の例では、 リ ソ ース 「ahsiple」 は削除で き ません。 Web シ ョ ー ト カ ッ ト 、 WorkPlace レ イ ア ウ ト 、 ま たはア ク セ ス ルールな どの他のオ ブ ジ ェ ク ト が使用 し て い る オ ブ ジ ェ ク ト を 削除す る には、 使用 し て い る 側のオ ブ ジ ェ ク ト を 最初に特定す る 必要があ り ま す。 そのためには、 オ ブ ジ ェ ク ト の隣にあ る プ ラ ス (+) を ク リ ッ ク し て、 リ ス ト 項目 を 展開 し ま す。 こ の例では、 「DFS」 と い う 名前の WorkPlace シ ュ ー ト カ ッ ト が リ ソ ー ス を 使用 し て い る ため、 WorkPlace シ ョ ー ト カ ッ ト を 削除 し な い と 、 こ の リ ソ ース を 削除で き ません ( こ の リ ソ ースは 「Default Resources」 と い う 名前の リ ソ ース グルー プの一部で も あ り ますが、 それが唯一の参照で あ る場合には削除で き ます )。 次の表に、 他のオ ブ ジ ェ ク ト か ら 参照 さ れて い る と 削除で き な いオ ブ ジ ェ ク ト タ イ プ を記載 し ます。 オブジ ェ ク ト タ イ プ こ のオ ブ ジ ェ ク ト タ イ プが参照する オ ブ ジ ェ ク ト リ ソ ース ア ク セス制御ルール、 リ ソ ース グループ、 WorkPlace Web シ ョ ー ト カッ ト リ ソ ース グループ ア ク セス制御ルール ユーザー ア ク セス制御ルール ユーザー グループ ア ク セス制御ルール レルム ユーザー、 ユーザー グループ 認証サーバー レルム コ ミ ュ ニテ ィ レルム Web ア プ リ ケ ー シ ョ ン プ リ ソ ース ロ フ ァ イル End Point Control ゾーン ア ク セス制御ルール、 コ ミ ュ ニ テ ィ デバイ ス プ ロ フ ァ イル End Point Control ゾーン 134 | Aventail E-Class SRA 10.7 管理者ガ イ ド 第5章 ネ ッ ト ワー ク と 認証の構成 こ のセ ク シ ョ ン では、 基本的な ネ ッ ト ワー ク 構成作業、 つ ま り 、 ネ ッ ト ワー ク イ ン タ ー フ ェ ー スの構成、 ルーテ ィ ン グ モー ド の選択、 ネ ッ ト ワー ク ゲー ト ウ ェ イ の構成、 静的ルー ト の定義、 名前解決な ど について説明 し ます。 ま た、 SSL お よ び CA 証明書の管理やユーザー認証の構成 の方法につい て も 説明 し ます。 こ こ で説明す るのは、 ア プ ラ イ ア ン ス を動作 さ せる上で必要な最小限のネ ッ ト ワー ク 構成です。 NTP、 SSH、 ICMP、 syslog な どの こ れ以外のサー ビ スの構成につい ては、 267 ページの 「シ ス テム管理」 を参照 し て く だ さ い。 基本ネ ッ ト ワー ク設定の構成 IP イ ン タ ー フ ェ ース、 ルーテ ィ ン グ、 お よ び名前解決な どのすべての基本ネ ッ ト ワー ク 設定は、 AMC で 構成 で き ま す。 AMC で ネ ッ ト ワ ー ク オ プ シ ョ ン を 構成す る 場合、 最初に [Network Settings] ページ を使用 し ます。 ネ ッ ト ワー ク と 認証の構成 | 135 システム ID の指定 ア プ ラ イ ア ン ス を命名 し 、 そのア プ ラ イ ア ン ス を置 く ド メ イ ン名を指定す る必要があ り ます。 シ ス テム ID を指定す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Network Settings] を ク リ ッ ク し ます。 2. [Basic] エ リ アの [Edit] を ク リ ッ ク し ます。[Configure Basic Network Settings] ページが 表示 さ れます。 3. [Appliance name] のア プ ラ イ ア ン ス名は、 さ ま ざ ま な コ ン テキス ト ( 特に、 複数のア プ ラ イ ア ン スが実行中で あ る 場合 ) で ア プ ラ イ ア ン ス を 区別す る のに役立 ち ま す。 こ の名前は ユーザーに提示 さ れる こ と はあ り ません。 – E-Class SRA ア プ ラ イ ア ン スの コ マ ン ド プ ロ ン プ ト に表示 さ れます。 – ロ グ フ ァ イ ルに保存 さ れる ため、 どのロ グ メ ッ セージがどのア プ ラ イ ア ン ス に関す る も ので あ るのかを特定で き ます。 – ア プ ラ イ ア ン スの構成 フ ァ イ ルを (AMC の [Maintenance] ページ で ) エ ク スポー ト す る と 、 こ のア プ ラ イ ア ン ス名が フ ァ イ ル名の先頭に付加 さ れます。 4. [Default Domain] ボ ッ ク ス に、 ア プ ラ イ ア ン スが置かれてい る ド メ イ ンの名前 ( 例えば、 yourcompany.com) を入力 し ます 。 こ の名前で、 ア プ ラ イ ア ン スがア ク セ スす る ホ ス ト を 識別す るのに使用す る DNS ネームスペースが定義 さ れます。 ネ ッ ト ワー ク イ ン タ ー フ ェ ースの構成 ネ ッ ト ワー ク イ ン タ ー フ ェ ース を構成す る には、 IP ア ド レ ス、 サブ ネ ッ ト マ ス ク 、 お よ び イ ン タ ー フ ェ ース速度 を 指定 し ます。 内部 と 外部の両方の イ ン タ ー フ ェ ース を 使用す るか ( デ ュ ア ル ホーム構成 )、 ま たはオ プ シ ョ ン で内部の イ ン タ ー フ ェ ース だけ を使用 し て ( シ ン グル ホー ム構成 )、ア プ ラ イ ア ン ス を実行で き ます。イ ン タ ー フ ェ ース構成オ プ シ ョ ンの詳細については、 33 ページの 「ネ ッ ト ワー ク のアーキテ ク チ ャ 」 を参照 し て く だ さ い。 ネ ッ ト ワー ク イ ン タ ー フ ェ ース を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Network Settings] を ク リ ッ ク し ます。 2. [Basic] エ リ アの [Edit] を ク リ ッ ク し ます。[Configure Basic Network Settings] ページが 表示 さ れます。 3. [Network interfaces] エ リ ア で、 内部 ( ま たはプ ラ イ ベー ト ) ネ ッ ト ワー ク に接続す る内部 イ ン タ ー フ ェ ースの設定を構成 し ます。 [Internal] の リ ン ク を ク リ ッ ク し てか ら 、 次の設定 を構成 し ます。 a. イ ン タ ー フ ェ ースのア ド レ ス と ネ ッ ト ワー ク を それぞれ [Address] と [Netmask] を入 力 し ます。 b. [Speed] の リ ス ト か ら 該当す る イ ン タ ー フ ェ ース速度を選択 し ます [Auto])。 c. [OK] を ク リ ッ ク し ま す。 136 | Aventail E-Class SRA 10.7 管理者ガ イ ド ( デフ ォル ト は 4. 外部ネ ッ ト ワー ク ( ま たは イ ン タ ーネ ッ ト ) に接続 さ れて い る イ ン タ ー フ ェ ース を設定す る ために、 次の手順を実行 し ます。 a. [External] の リ ン ク を ク リ ッ ク し ます。 b. [Enabled] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 c. イ ン タ ーネ ッ ト か ら E-Class SRA ア プ ラ イ ア ン スへの接続に使用す る ア ド レ ス と ネ ッ ト マ ス ク の設定を それぞれ [Address] と [Netmask] に入力 し ます。外部の IPv4 ま たは IPv6 ア ド レ スは、 パブ リ ッ ク に ア ク セ ス で き る も ので あ る必要があ り ま す。 d. [Speed] の リ ス ト か ら 該当す る イ ン タ ー フ ェ ース速度を リ ス ト か ら 選択 し ま す ( デ フ ォ ル ト は [Auto])。 e. [OK] を ク リ ッ ク し ま す。 5. [Save] を ク リ ッ ク し ます。 6. [Pending changes] を ク リ ッ ク し て、 変更を適用 し ます。 ( 詳細については、 131 ページの 「構成変更の適用」 を参照 し て く だ さ い。 ) ア プ ラ イ ア ン ス を 内部 と 外部の両方の イ ン タ ー フ ェ ー ス を 使用す る よ う 構成す る 場合、 ルー テ ィ ン グ設定を確認 し て、 内部 イ ン タ ー フ ェ ースへのネ ッ ト ワー ク ルー ト が存在す る こ と を確 認 し ます。ア プ ラ イ ア ン スが AMC へのア ク セ ス に使用す る コ ン ピ ュ ー タ と 異な る ネ ッ ト ワー ク に存在す る場合は、 ルー テ ィ ン グ を セ ッ ト ア ッ プ し て ( ト ラ フ ィ ッ ク を内部ルー タ ーに渡す内 部デ フ ォ ル ト ネ ッ ト ワー ク ゲー ト ウ ェ イ を構成す るか、 ア プ ラ イ ア ン スが イ ン ス ト ール さ れて い る ネ ッ ト ワー ク への静的ルー ト を定義 し ます)、ネ ッ ト ワー ク 構成の変更を適用 し た後 も AMC へのア ク セ スが維持 さ れ る よ う にす る 必要があ り ま す。 詳細につい ては、 139 ペー ジの 「ルー テ ィ ン グの構成」 を参照 し て く だ さ い。 ICMP の構成 ICMP (Internet Control Messaging Protocol) を有効にす る と 、ping コ マ ン ド を使用 し て IPv4 ま たは IPv6 の イ ン タ ー フ ェ ースへのネ ッ ト ワー ク 接続を テ ス ト で き ます。 ping を有効にす る には、 [Enable ICMP pings] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 ping を無効に す る には、 チ ェ ッ ク ボ ッ ク ス を ク リ ア し ます。 完全修飾 ド メ イ ン名 と カ ス タ ム ポー ト の表示 ページの [Fully qualified domain names] セ ク シ ョ ン には、IPv4 ま たは IPv6 ア ド レ ス、FQDN、 お よ び WorkPlace サ イ ト と それ ら が使用す る URL リ ソ ースの表が表示 さ れます。 任意の列の 見出 し の リ ン ク を ク リ ッ ク す る と 、 その列の昇順ま たは降順に リ ス ト を 並べ替え る こ と がで き ます。 [Used by] の下に リ ン ク と し て表示 さ れる WorkPlace サ イ ト 名ま たは URL リ ソ ース名 を ク リ ッ ク す る と 、 AMC のそのページ に移動 し 、 設定を編集で き ます。 [Custom ports] セ ク シ ョ ン には、 カ ス タ ム ポー ト 番号 と 、 カ ス タ ム ポー ト を使用す る よ う 構 成 さ れてい る すべての URL リ ソ ース に対 し て そのポー ト を使用す る URL リ ソ ースの表が表示 さ れます。 [Used by resource] の下に リ ン ク と し て表示 さ れる URL リ ソ ース名を ク リ ッ ク す る と 、 [Resources] > [Edit Resource] ページ に移動 し 、 リ ソ ース設定を編集で き ます。 ネ ッ ト ワー ク と 認証の構成 | 137 Connect Tunnel のフ ォ ールバ ッ ク サーバーの設定 自然災害な どの計画外の停止に よ っ て、 プ ラ イ マ リ ア プ ラ イ ア ン ス を使用で き な く な っ た場合 に備え、 Connect Tunnel ユーザー向けに 1 つ以上の フ ォ ールバ ッ ク サーバー を設定で き ます。 設定す る フ ォ ールバ ッ ク サーバーの名前を ユーザーが知 っ て い る必要はな く 、 フ ォ ールバ ッ ク サーバーが指定 さ れて い る ア プ ラ イ ア ン ス にいつ で も ク ラ イ ア ン ト が正 し く 接続で き 、 フ ォ ー ルバ ッ ク サーバーの リ ス ト が ク ラ イ ア ン ト に転送 さ れて保存 さ れます。 Connect Tunnel ユーザーの フ ォ ールバ ッ ク サーバー を指定す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Network Settings] を ク リ ッ ク し ます。 2. [Tunnel service] エ リ アの [Edit] を ク リ ッ ク し ます。[Configure Network Tunnel Service] ページが表示 さ れます。 3. [Fallback servers] エ リ アの [New] を ク リ ッ ク し ます。 4. フ ォ ールバ ッ ク サーバー を ホ ス ト 名ま たは IP ア ド レ ス で指定 し ます。 5. [Realm] ボ ッ ク ス を次のいずれかに設定 し ます。 – 何 も 入力 し な い : プ ラ イ マ リ サーバーが利用可能に な る前にユーザーがロ グ イ ン し た レ ルムの場合、 同 じ レ ルム名が こ の フ ォ ールバ ッ ク サーバで使用 さ れます。 – レ ルム を指定す る :ユーザーが こ のサーバーに接続す る場合に、特定のレ ルムへのロ グ イ ン を強制 し ます。 フ ォ ールバ ッ ク サーバーの設定は、 ポ リ シ ー レ プ リ ケーシ ョ ンの一部 と し て複製 さ れません。 フ ォ ールバ ッ ク サーバーが指定 さ れて い るサーバーのグルー プ では、 ア プ ラ イ ア ン ス ご と に他 のサーバーに複製すべ き ではな い一意の リ ス ト が存在 し ます。 フ ォールバ ッ ク サーバー と ユーザー環境 プ ラ イ マ リ サーバーに接続 し よ う と し て失敗す る と 、 Connect Tunnel ク ラ イ ア ン ト が自動的 に、 指 定 さ れ た フ ォ ー ル バ ッ ク サ ー バ ー へ の 接 続 を 試 行 し ま す。 こ の 機 能 は、 Windows、 Macintosh、ま たは Linux オペ レ ーテ ィ ン グ シ ス テムで実行中の Connect Tunnel ク ラ イ ア ン ト で利用で き ます。 接続が試行 さ れる ために最初に 20 秒程度の一時停止が発生す る こ と と 、 バ ッ ク ア ッ プ ホ ス ト に接続 さ れ る こ と を 示す ス テ ー タ ス メ ッ セ ー ジ が出力 さ れ る こ と を 除けば、 フ ォ ールバ ッ ク サーバーに接続 さ れる こ と を ユーザーが認識す る こ と はあ り ません。 フ ォ ールバ ッ ク サーバーが使用 さ れるのは、 ユーザーが手動で ( ダウ ン し て い る ) プ ラ イ マ リ ア プ ラ イ ア ン スへの新た な接続を開始 し た と き だけです。 ア ク テ ィ ブ セ ッ シ ョ ン中に プ ラ イ マ リ サーバー を利用で き な く な っ た場合は、 セ ッ シ ョ ンが終了 し 、 ユーザーが新 し いセ ッ シ ョ ン を開始す る必要があ り ます。 セッシ ョ ン リ ミ ッ ト ユーザーのロ グ イ ン認証情報に一定期間だけ有効な PIN ま たはその他のパ ラ メ ー タ が含まれて い る 場合 は、 セ ッ シ ョ ン リ ミ ッ ト が ど の位 で あ る か を 認識 し て お い て く だ さ い。 例 え ば、 [Credential lifetime] が 30 秒 と 短 く 設定 さ れてい て、 ク ラ イ ア ン ト が接続 し よ う と し て何回か フ ォ ールバ ッ ク サーバー と や り 取 り す る と 、 サーバーの候補の リ ス ト を検査 し 終わる前にユー ザーの PIN ま たはその他のパ ラ メ ー タ ーが タ イ ムア ウ ト す る可能性があ り ます。 い く つかの設定に よ っ て、 再認証な し で セ ッ シ ョ ン を再開で き る時間が決定 さ れます。 • [Credential lifetime] は、 [Configure General Appliance Options] ページ ( メ イ ン ナ ビ ゲーシ ョ ン ページ で [General Settings] を ク リ ッ ク し てか ら 、 [Appliance options] エ リ アの [Edit] を ク リ ッ ク し ます ) で指定 さ れたグ ロ ーバル設定です。 138 | Aventail E-Class SRA 10.7 管理者ガ イ ド メモ • [Limit session length to credential lifetime] は、 コ ミ ュ ニ テ ィ ご と に設定 さ れる設定で す。 選択 し た コ ミ ュ ニ テ ィ の ト ン ネル ク ラ イ ア ン ト セ ッ シ ョ ンは、 [Credential lifetime で 指定 し た時間の経過後に終了 し 、 再認証が必要に な り ます。 • ク ラ イ ア ン ト が フ ォ ールバ ッ ク サーバーに接続 し 、 (AMC で設定 さ れた ) 要求 さ れた レ ルム を利用で き な い と 、 認証エ ラ ーで接続が失敗 し ます。 高可用性ペア に接続 し て い る ユーザーは、ペ アのどの メ ンバーが最初の接続先で あ るかにか かわ ら ず、 同 じ フ ォ ールバ ッ ク 情報で動作 し ます。 サーバーに 1 度 コ ン タ ク ト す る と 、 ロ グ イ ン試行が失敗 し た場合 も 、 フ ォ ールバ ッ ク は継 続 し ません。 サーバーの フ ォ ールバ ッ ク リ ス ト があ る ア プ ラ イ ア ン スか ら 別のア プ ラ イ ア ン ス に手動で 変更す る と 、 2 つ目のサーバーは、 ユーザーがそのホ ス ト に対 し て選択 し た最後の既知の レ ルムが表示 さ れます。 • • • ルーテ ィ ングの構成 E-Class SRA ア プ ラ イ ア ン ス を、 ネ ッ ト ワー ク ゲー ト ウ ェ イ ま たは静的ルー ト を使用 し て ト ラ フ ィ ッ ク を ルー テ ィ ン グす る よ う 構成で き ま す。 こ れ ら のルー テ ィ ン グ方法は、 別々に、 ま た は組み合わせて使用で き ます。 ネ ッ ト ワー ク ゲー ト ウ ェ イの構成 ネ ッ ト ワ ー ク ゲー ト ウ ェ イ と は、 他のネ ッ ト ワー ク へのア ク セ スのポ イ ン ト と し て機能す る ルー タ ーのア ド レ スの こ と です。 ネ ッ ト ワー ク ゲー ト ウ ェ イ のオ プ シ ョ ンは、 使用す る ネ ッ ト ワー ク アーキテ ク チ ャ に よ っ て異な り 、 ア プ ラ イ ア ン ス を デ ュ アルホーム ( 内部 と 外部の両方 の イ ン タ ー フ ェ ースが有効 ) ま たはシ ン グルホーム ( 内部 イ ン タ ー フ ェ ース だけが有効 ) のど ち ら で構成 し たかに よ っ て も 異な り ます。 詳細については、 33 ページの 「ネ ッ ト ワー ク のアーキ テ ク チ ャ 」 を参照 し て く だ さ い。 ネ ッ ト ワー ク ゲー ト ウ ェ イ オプシ ョ ンの選択 ネ ッ ト ワー ク ゲー ト ウ ェ イ を デ ュ アルホ ーム環境で設定す る 場合、 次の 4 つのルー テ ィ ン グ モー ド オ プ シ ョ ンか ら 選択で き ます。 • • • • [Dual gateway] [Single gateway, restricted] [Single gateway, unrestricted] [No gateway] 以下のシ ナ リ オ を 参考に し て、 どのオ プ シ ョ ン が使用環境に最適な オ プ シ ョ ン で あ る か を 判断 し ます。 シナ リ オ 1: 内部ルー タ ー と イ ン タ ーネ ッ ト ルー タ ーを使用する 内部ルー タ ー と イ ン タ ーネ ッ ト ルー タ ー を使用す る場合、 [Dual gateway] オ プ シ ョ ン を使用 し ます。 内部 リ ソ ースへのア ク セ ス には、 内部ルー タ ー を利用で き ます。 ネ ッ ト ワー ク と 認証の構成 | 139 シ ナ リ オ例 : A 社は、 内部ネ ッ ト ワー ク にい く つかの リ ソ ース と 複数のサブ ネ ッ ト があ り 、 堅牢 なルー テ ィ ン グ シ ス テ ムがす で に配備 さ れて い ま す。 ア プ ラ イ ア ン スが [Dual gateway] ルー テ ィ ン グ モー ド に設定 さ れて い る と 、 企業ネ ッ ト ワー ク の内部 リ ソ ース に対す る ク ラ イ ア ン ト 要求が内部ルー タ ーに送信 さ れる よ う に で き ます。 シナ リ オ 2: ク ラ イ ア ン ト 要求を静的ルー ト で管理する 内部ルー タ ー を 使用 し て い な い、 ま た は ア プ ラ イ ア ン ス のルー テ ィ ン グ を 管理 し た い 場合、 [Single gateway, restricted] オ プ シ ョ ン を使用 し ま す。 こ のシ ナ リ オ では、 すべての ク ラ イ ア ン ト 要求に静的ルー ト を 定義す る 必要があ り ま す。 静的ルー ト が定義 さ れて な い ク ラ イ ア ン ト 要 求は、 ア プ ラ イ ア ン ス に よ っ て破棄 さ れま す。 こ のオ プ シ ョ ン では、 必要な作業が多 く な り ま すが、 イ ンバン ド ト ラ フ ィ ッ ク を細か く 制御で き ます。 シ ナ リ オ例 : B 社は、 使用す る内部 リ ソ ースが多 く ないため、 ルー テ ィ ン グ情報を ア プ ラ イ ア ン ス で管理 し たい と 考え て い ます。 そのため、 VPN ユーザーがア ク セ スす る それぞれの リ ソ ース に静的ルー ト を作成 し ます。VPN ユーザーがア プ ラ イ ア ン スのルーテ ィ ン グ テー ブルに定義 さ れてい ない ア ド レ ス に ア ク セ ス し よ う と す る と 、 ト ラ フ ィ ッ ク は破棄 さ れます。 シナ リ オ 3: ク ラ イ ア ン ト 要求を指定し たゲー ト ウ ェ イに転送する [Single gateway, unrestricted] オ プ シ ョ ン を使用す る と 、 ア プ ラ イ ア ン スは、 静的ルー ト に一致 し な いすべての ク ラ イ ア ン ト 要求 を、 指定 し たゲー ト ウ ェ イ ( ア プ ラ イ ア ン スの内部ま たは外 部のいずれかの イ ン タ ー フ ェ ース ) に転送 し ます。 こ のオ プ シ ョ ン では、 イ ン フ ラ ス ト ラ ク チ ャ の フ ィ ル タ リ ン グやルー テ ィ ン グのポ リ シ ーに よ っ ては、 イ ン タ ー ネ ッ ト ルー タ ー と ネ ッ ト ワー ク の外部に ト ラ フ ィ ッ ク が渡 さ れ る 可能性があ る ため、 セキ ュ リ テ ィ が低下 し ま す。 こ の 設定は、 メ ン テ ナ ン ス も 難 し く な り ます。 140 | Aventail E-Class SRA 10.7 管理者ガ イ ド シ ナ リ オ例 : B 社 と 同様、 C 社 も 、 ルー テ ィ ン グ情報 を ア プ ラ イ ア ン ス で管理 し たい と 考え て い る ため、 VPN ユーザーがア ク セ スす る必要があ る それぞれの リ ソ ース に静的ルー ト を作成 し ま し た。 た だ し 、 同社の一部のユーザーは、 イ ン タ ーネ ッ ト リ ソ ース に も ア ク セ スす る必要が あ る ため、 こ の ト ラ フ ィ ッ ク がア プ ラ イ ア ン スか ら リ ダ イ レ ク ト さ れ る よ う にす る 必要があ り ます。 例えば、 あ る企業のユーザーが、 登録済みの IP ア ド レ スが必要なパブ リ ッ ク Web サー バーに ア ク セ ス す る 必要があ る と し ま す。 その場合、 ユーザーは最初に、 ア プ ラ イ ア ン ス と の VPN セ ッ シ ョ ン を確立す る必要があ り 、 その後に要求がア プ ラ イ ア ン スの外部ゲー ト ウ ェ イ へ と リ ダ イ レ ク ト さ れます。 シナ リ オ 4: テス ト 設定でアプ ラ イ アンスを評価する イ ン タ ー フ ェ ース を テ ス ト ネ ッ ト ワー ク に接続 し 、 ルー テ ィ ン グ を 必要 と し な い場合は、 [No gateway] オ プ シ ョ ン を使用 し て評価 し ます。 シナ リ オ 5: 「 リ ダ イ レ ク ト オール モー ド 」 でのネ ッ ト ワーク ト ンネル ク ラ イ ア ン ト の展開 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト を 「 リ ダ イ レ ク ト オール モー ド 」 で展開す る予定の場合、 ネ ッ ト ワー ク ト ン ネル ユーザーが内部ネ ッ ト ワー ク と イ ン タ ーネ ッ ト の両方に ア ク セ ス で き る よ う にす る必要があ り ます ( 詳細については、 69 ページの 「 リ ダ イ レ ク シ ョ ン モー ド 」 を参 照 し て く だ さ い )。 こ れには、 次のいずれかのオ プ シ ョ ン を使用 し ま す。 • [Dual gateway] オ プ シ ョ ン を使用 し 、 内部ゲー ト ウ ェ イ ルー タ ーに イ ン タ ーネ ッ ト への ルー ト が構成 さ れて い る こ と を確認 し ます。 ネ ッ ト ワー ク と 認証の構成 | 141 • [Single gateway, unrestricted] オ プ シ ョ ン を使用 し 、 イ ン タ ーネ ッ ト へのルー ト を使用す る よ う に ア プ ラ イ ア ン ス を構成 し ます。 手順につい ては、 143 ページの 「 イ ン タ ーネ ッ ト への ルー ト の有効化」 を参照 し て く だ さ い。 デ ュ アルホーム環境におけるネ ッ ト ワー ク ゲー ト ウ ェ イの構成 以下の手順で、 内部 と 外部の両方の イ ン タ ー フ ェ ースが有効なデ ュ アルホーム環境で、 ネ ッ ト ワー ク ゲー ト ウ ェ イ を セ ッ ト ア ッ プ し ます。 ネ ッ ト ワー ク ゲー ト ウ ェ イ を デ ュ アルホーム環境で構成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Network Settings] を ク リ ッ ク し ます。 2. [Routing] エ リ アの [Edit] を ク リ ッ ク し ます。[Configure Routing] ページが表示 さ れます。 3. ト ラ フ ィ ッ ク を ネ ッ ト ワー ク ゲー ト ウ ェ イ にルー テ ィ ン グす る には、 次のオ プ シ ョ ンか ら ルーテ ィ ン グ モー ド を選択 し ます。 – [Dual gateway] : 外部 と 内部の両方のゲー ト ウ ェ イ の IP ア ド レ ス を指定 し ます。ク ラ イ ア ン ト 要求に対 し て生成 さ れる ネ ッ ト ワー ク ト ラ フ ィ ッ ク は、外部ゲー ト ウ ェ イ に送信 さ れ ま す。 静的ルー ト が定義 さ れて い な い それ以外のすべての ト ラ フ ィ ッ ク は、 内部 ゲー ト ウ ェ イ に送信 さ れます。 – [Single gateway, restricted] : 外部ゲー ト ウ ェ イ に対す る IP ア ド レ スのみを指定 し ます。 静的ルー ト が定義 さ れて いな いそれ以外のすべての ト ラ フ ィ ッ ク は、 破棄 さ れます。 142 | Aventail E-Class SRA 10.7 管理者ガ イ ド – [Single gateway, unrestricted] : 外部 と 内部の両方のゲー ト ウ ェ イ と し て使用す る IP ア ド レ ス を指定 し ます。 静的ルー ト と 一致 し な いネ ッ ト ワー ク ト ラ フ ィ ッ ク は、 外部ゲー ト ウ ェ イ に送信 さ れます。 – [No gateway] : ア プ ラ イ ア ン スが受け取 っ た も のの、 静的ルー ト と 一致 し な いネ ッ ト ワー ク ト ラ フ ィ ッ ク は、 破棄 さ れます。 4. [Save] を ク リ ッ ク し ます。 シ ングルホーム環境におけるネ ッ ト ワー ク ゲー ト ウ ェ イの構成 以下の手順で、 内部 イ ン タ ー フ ェ ース だけが有効な シ ン グルホーム環境で ネ ッ ト ワー ク ゲー ト ウ ェ イ を セ ッ ト ア ッ プ し ます。 こ の設定は、 デ ュ アルホーム構成よ り も 一般的ではあ り ません。 ネ ッ ト ワー ク ゲー ト ウ ェ イ を シ ン グルホーム環境で構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Network Settings] を ク リ ッ ク し ます。 2. [Routing] エ リ アの [Edit] を ク リ ッ ク し ます。[Configure Routing] ページが表示 さ れます。 3. ト ラ フ ィ ッ ク を ネ ッ ト ワー ク ゲー ト ウ ェ イ にルー テ ィ ン グす る には、 次のいずれかのルー テ ィ ン グ モー ド を選択 し ます。 – [Default gateway] : デ フ ォ ル ト ゲー ト ウ ェ イ の IP ア ド レ ス を指定 し ます。 ア プ ラ イ ア ン スが受け取 っ た も のの、 静的ルー ト と 一致 し な いネ ッ ト ワー ク ト ラ フ ィ ッ ク は、 こ の ア ド レ ス に送信 さ れます。 – [No gateway] : ア プ ラ イ ア ン スが受け取 っ た も のの、 静的ルー ト と 一致 し な いネ ッ ト ワー ク ト ラ フ ィ ッ ク は、 破棄 さ れます。 4. [Save] を ク リ ッ ク し ます。 イ ン タ ーネ ッ ト へのルー ト の有効化 [Routing mode] が [Single gateway, unrestricted] に設定 さ れてい る場合 も 、 ア プ ラ イ ア ン スが デ ュ アルホーム ( 内部 と 外部の両方の イ ン タ ー フ ェ ースが有効 ) で構成 さ れて いれば、 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト での イ ン タ ーネ ッ ト へのルー ト が有効に な り ます。[Enable route to Internet] が設定 さ れて い る と 、 ク ラ イ ア ン ト を起点 と し 、 イ ン タ ーネ ッ ト を宛先 と す る すべ ての ト ン ネル ト ラ フ ィ ッ ク ( 「 リ ダ イ レ ク ト オール モー ド 」 で動作 ) は、 破棄 さ れずに、 指定 し た IP ア ド レ ス にルーテ ィ ン グ さ れま す。 イ ン タ ーネ ッ ト へのルー ト を有効にす る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Network Settings] を ク リ ッ ク し ます。 2. [Routing] エ リ アの [Edit] を ク リ ッ ク し ます。[Configure Routing] ページが表示 さ れます。 3. [Advanced] エ リ ア を展開 し ます。 [Connect Tunnel] エ リ アが表示 さ れます。 ネ ッ ト ワー ク と 認証の構成 | 143 4. [Enable route to Internet] チ ェ ッ ク ボ ッ ク ス を選択 し 、 イ ン タ ーネ ッ ト ルー タ ーの IP ア ド レ ス を入力 し ます。 5. [Save] を ク リ ッ ク し ます。 静的ルー ト の構成 静的ルー ト は、 イ ン タ ーネ ッ ト イ ン タ ー フ ェ ースか ら 到達で き る ネ ッ ト ワー ク のエ ン ト リ と し て、 ルーテ ィ ン グ テ ー ブルに追加 さ れます。 静的ルー ト テー ブルの管理は、 特に大規模サ イ ト におい ては面倒な作業を伴 う こ と があ り ます。 その場合は、 AMC を使用せずにルー テ ィ ン グ情 報を カ ン マ区切 り 値 (CSV) テ キス ト フ ァ イ ル と し て作成、 編集 し てか ら 、 AMC に イ ン ポー ト す る方法 も あ り ます。 AMC に イ ン ポー ト す る静的ルー ト 情報は、 ASCII テ キス ト フ ァ イ ルで作 成 し 、 各エ ン ト リ を新 し い行に記述 し ( 前のエ ン ト リ と の区切 り に CR/LF を使用 )、 3 つの値 :IP ア ド レ ス、 ネ ッ ト マ ス ク 、 お よ びゲー ト ウ ェ イ を カ ン マ で区切 り ます。 フ ァ イ ルを イ ン ポー ト す る と 、 AMC で現在指定 さ れてい る すべての静的 ルー ト が完全に置 き 換え ら れます。 静的ルー テ ィ ン グ情報を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Network Settings] を ク リ ッ ク し ます。 2. [Routing] エ リ アの [Edit] を ク リ ッ ク し ます。[Configure Routing] ページが表示 さ れます。 3. [Static routes] エ リ ア で、リ ス ト のエ ン ト リ を単独ま たはグルー プ と し て追加ま たは変更で き ます。 – [New] を ク リ ッ ク し 、 [IP address]、 [Netmask]、 お よ び [Gateway] にルー ト 情報を入 力す る と 、 単一のエ ン ト リ が追加 さ れます。 リ ス ト のエ ン ト リ を変更す る には、 リ ン ク を ク リ ッ ク し て変更 し ます。エ ン ト リ を追加ま たは変更 し た ら 、[OK] を ク リ ッ ク し ます。 – [Import] を ク リ ッ ク し て、 イ ン ポー ト す る静的ルー ト テ ーブル を選択 し ます。 静的ルー ト 情報は、 CSV 形式の ASCII テ キス ト フ ァ イ ルであ る必要があ り ます。 各エ ン ト リ を 新 し い行に記述 し ( 前のエ ン ト リ と の区切 り に CR/LF を使用 )、3 つの値 :IP ア ド レ ス、 ネ ッ ト マ ス ク 、 お よ びゲー ト ウ ェ イ を カ ン マ で区切 り ます。 フ ァ イ ルを イ ン ポー ト す る と 、 AMC で現在指定 さ れてい る すべての静的ルー ト が完全に置 き 換え ら れます。 – 既存のルー ト の リ ス ト を変更す る には、 変更 し たい リ ス ト 項目を ク リ ッ ク す るか、 リ ス ト 全体を エ ク スポー ト し 、 内容を変更 し て イ ン ポー ト す る必要があ り ます。 4. 変更が終了 し た ら 、 [Save] を ク リ ッ ク し ます。 静的ルー ト を削除す る には 1. [Configure Routing] ページ で、 削除す る静的ルー ト の左にあ る チ ェ ッ ク ボ ッ ク ス を選択 し 、 [Delete] を ク リ ッ ク し ます。 2. [Save] を ク リ ッ ク し ます。 144 | Aventail E-Class SRA 10.7 管理者ガ イ ド メモ • • ア プ ラ イ ア ン スが内部 と 外部の両方の イ ン タ ー フ ェ ース を使用す る よ う 構成す る場合 は、 ルーテ ィ ン グの設定に内部 イ ン タ ー フ ェ ース に対す る ネ ッ ト ワー ク ルー ト があ る こ と を確認 し ます。 ア プ ラ イ ア ン スが AMC へのア ク セ スに使用す る コ ン ピ ュ ー タ と 異 な る ネ ッ ト ワー ク に存在す る場合は、 ルーテ ィ ン グ を セ ッ ト ア ッ プ し て ( ト ラ フ ィ ッ ク を内部ルー タ ーに渡す内部デ フ ォ ル ト ネ ッ ト ワー ク ゲー ト ウ ェ イ を構成す るか、 ア プ ラ イ ア ン スが イ ン ス ト ール さ れて い る ネ ッ ト ワー ク への静的ルー ト を定義 し ます )、 ネ ッ ト ワー ク 構成の変更を適用 し た後 も AMC へのア ク セ スが維持 さ れる よ う にす る必 要があ り ます。 詳細については、 139 ページの 「ルーテ ィ ン グの構成」 を参照 し て く だ さ い。 AMC のルーテ ィ ン グ情報は、 次のよ う に ソ ー ト さ れてい ます。 – プ ラ イ マ リ キーは [Netmask] で、 エ ン ト リ は降順 ( 最大か ら 最小 ) に ソ ー ト さ れます – セ カ ン ダ リ キーは [IP address] で、エ ン ト リ は昇順 ( 最小か ら 最大 ) に ソ ー ト さ れます • 内部ネ ッ ト ワー ク に連続す る ア ド レ ス空間があ る 場合、 静的ルー ト の作成時に正 し いサ ブ ネ ッ ト マ ス ク を指定す る こ と で、 複数の静的ルー ト を 1 つのエ ン ト リ に ま と め る こ と がで き ま す。 次の表に、 サ ブ ネ ッ ト マ ス ク を 使用 し て 1 つの静的ルー ト エ ン ト リ か ら 複数の ネ ッ ト ワー ク へ と 内部 ト ラ フ ィ ッ ク をルーテ ィ ン グす る 2 つの例を示 し ま す。 ト ラ フ ィ ッ ク をルーテ ィ ン グす る ネ ッ ト ワー ク 指定するサブ ネ ッ ト 指定す る IP ア ド レ ス マ ス ク 192.168.0.0 192.168.1.0 192.168.2.0 192.168.3.0 192.168.0.0 192.168.*.* 192.168.0.0 (192.168 の範囲のすべてのネ ッ ト ワー ク ) 255.255.252.0 255.255.0.0 必要があれば、 他のサブ ネ ッ ト の静的ルー ト を明示的に追加 し て作成で き 、 その場合には、 ルー テ ィ ン グ テ ーブルで ネ ッ ト マ ス ク を広い範囲か ら 狭い範囲へ と 検索 さ れます。 名前解決の構成 ア プ ラ イ ア ン スは、 DNS サーバーに ア ク セ ス し て、 ホ ス ト 名 を IP ア ド レ ス に解決す る必要が あ り ます。 WorkPlace を使用 し て Windows ネ ッ ト ワー ク を参照す る場合は、 WINS (Windows Internet Name Service) サーバー と Windows ド メ イ ン名 も 指定す る必要があ り ます。 Domain Name Service の構成 DNS サーバー を 構成す る と 、 ア プ ラ イ ア ン スがホ ス ト 名 を 正 し く 解決で き る よ う に な り ま す。 DNS を正 し く 構成す る こ と で、ア プ ラ イ ア ン スがネ ッ ト ワー ク リ ソ ースへのア ク セ ス を提供で き る よ う に な り ます。 DNS 名前解決を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Network Settings] を ク リ ッ ク し ます。 ネ ッ ト ワー ク と 認証の構成 | 145 2. [Name resolution] エ リ アの [Edit] を ク リ ッ ク し ます。[Configure Name Resolution] ペー ジが表示 さ れます。 3. [Search domains] ボ ッ ク スに会社の DNS ド メ イ ン名 (example.com な ど ) を入力 し ます。 こ の ド メ イ ン 名が非修飾ホ ス ト 名に付加 さ れ、 解決 さ れま す。 最大 6 つの ド メ イ ン 名 を セ ミ コ ロ ン で区切 っ て入力で き ます。 4. [DNS servers] ボ ッ ク スに、 プ ラ イ マ リ と ( あ る場合は ) バ ッ ク ア ッ プの DNS サーバーの IP ア ド レ ス を入力 し ます。 プ ラ イ マ リ サーバー を使用で き な い場合に、 バ ッ ク ア ッ プ サー バーが使用 さ れます。 5. [Save] を ク リ ッ ク し ます。 Windows ネ ッ ト ワー ク名前解決の構成 WorkPlace を使用 し て Windows ネ ッ ト ワー ク の フ ァ イ ルを参照す る場合は、 WINS (Windows Internet Name Service) サ ー バ ー と Windows ド メ イ ン 名 を 指 定 す る 必 要 が あ り ま す。 WorkPlace は、 名前解決 を実行 し た り ユーザーが参照す る リ ソ ースの リ ス ト を構築 し た り す る 場合に、 こ の情報を使用 し ます。 Windows ネ ッ ト ワー ク 名前解決を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Network Settings] を ク リ ッ ク し ます。 2. [Name resolution] エ リ アの [Edit] を ク リ ッ ク し ます。[Configure Name Resolution] ペー ジが表示 さ れます。 3. [Windows networking] エ リ ア に次の情報を入力 し ま す。 – プ ラ イ マ リ と ( あ る場合は ) セ カ ン ダ リ の WINS サーバーの IP ア ド レ ス – NetBIOS 構文を使用 し た Windows ド メ イ ン名 ( 例えば mycompany) 4. [Save] を ク リ ッ ク し ます。 146 | Aventail E-Class SRA 10.7 管理者ガ イ ド 証明書 E-Class SRA ア プ ラ イ ア ン スは、 SSL 証明書 を使用 し て、 ク ラ イ ア ン ト コ ン ピ ュ ー タ か ら サー バーに送信 さ れる情報を保護 し た り 、 接続す る ユーザーに対 し て ア プ ラ イ ア ン スの ID を評価 し た り し ます。 少な く と も 2 つの SSL 証明書が必要です。 • • E-Class SRA サー ビ スは、 証明書を使用 し て、 Web ブ ラ ウザか ら WorkPlace へ、 お よ び Connect ク ラ イ ア ン ト か ら ア プ ラ イ ア ン スへのユーザー ト ラ フ ィ ッ ク を保護 し ます。( 複数 の WorkPlace サ イ ト を使用す る場合は、 複数のサ イ ト に 1 つのワ イ ル ド カ ー ド 証明書を使 用す るか、 サ イ ト ご と に異な る証明書を使用す る よ う に対応 さ せる こ と がで き ます。 ど ち ら の場合 も 、 サ イ ト で異な る ホ ス ト や ド メ イ ン名を使用で き ます。 詳細については、 413 ペー ジの 「WorkPlace サ イ ト の追加」 を参照 し て く だ さ い。 ) AMC は、 管理 ト ラ フ ィ ッ ク の保護に個別の証明書を使用 し ます。 こ れは一般的に、 自己署 名証明書です。 Workplace、 Workplace サ イ ト 、 お よ び Connect Tunnel での SAN (Subject Alternative Name) 証明書のサポー ト が E-Class SRA 10.7 に追加 さ れま し た。 こ れ ら の証明書は、 一連の ク ラ イ ア ン ト と 複数の異な る SSL ま たは TLS のサー ビ ス と の間の通信チ ャ ネル を安全に暗号化す る た めに使用 さ れます。 SAN 証明書は、 一般的な導入環境で必要 と さ れる、 IP ア ド レ ス / ホ ス ト 名 / 証明書のセ ッ ト を 簡素化 し ます。 1 つの SAN 証明書、 1 つの IP ア ド レ ス で、 複数の異な る SSL ま たは TLS で 保護 さ れた Web や ク ラ イ ア ン ト / サーバーのサー ビ ス を使用で き 、 追加の IP ア ド レ ス を構成 す る必要はあ り ません。 ま た、 SAN を同 じ IP ア ド レ スの異な る ホ ス ト 名に も 使用で き る ため、 SSL 証明書の共通名を 1 対 1 で FQDN に マ ッ ピ ン グす る必要はあ り ません。 SAN 証明書 と CSR ( 証明書署名要求 ) では、 IPv4 ア ド レ スのみをサポー ト し てい ます。 メモ 以下の点が改善 さ れま し た。 • SAN 関連の機能を、 ア プ ラ イ ア ン スの外部か ら ではな く 、 AMC で生成で き ます。 – SAN を使用す る CSR – SAN エ ン ト リ を使用す る自己署名証明書 • • WorkPlace サ イ ト 、 カ ス タ ム FQDN URL リ ソ ース、 お よ び ActiveSync リ ソ ース を、 既存 の SAN 証明書を使用 し て作成で き ます。 WorkPlace サ イ ト が専用の IP ア ド レ ス を使用 し て い るか、 ま たは Default Workplace サ イ ト と 1 つの IP ア ド レ ス を共有 し てい るかにかかわ ら ず、 ア プ ラ イ ア ン スは、 IP ア ド レ ス、 FQDN、ま たは SSL 証明書の組み合わせを使用す る WorkPlace サ イ ト への Web 接続を シー ム レ ス に処理 し ます。 ネ ッ ト ワー ク と 認証の構成 | 147 Workplace への Connect Tunnel ま たは Mobile Connect の接続を使用す る場合は、 Workplace サ イ ト が専用の IP ア ド レ ス で定義 さ れて お ら ず、 Default Workplace サ イ ト の IP ア ド レ ス を 共有 し て い る こ と を 確認 し て く だ さ い。 例 え ば、 vpn.mycompany.com の Default Workplace サ イ ト が 192.168.200.160 に バ イ ン ド さ れ て い て、 SSL 証 明 書 *.mycompany.com が 使 用 さ れ て い る 場 合 に、 新 し い Workplace サイ ト を contractors.mycompany.com に追加す る には、 [New Workplace Site] 構成ページ に完全修 飾 ド メ イ ン名 (FQDN) を追加す る だけですみ、 別の IP ア ド レ ス を指定す るわけではあ り ま せ ん。 こ れ に よ り 、 Web ま た は Tunnel の 接 続 が vpn.mycompany.com ま た は contractors.mycompany.com のいずれかに接続で き る よ う に な り 、 ア プ ラ イ ア ン ス での構 成は必要あ り ません。 Administrator は、SAN 証明書を生成、イ ン ポー ト 、処理 し た り 、その SSL 証明書を Workplace、 ActiveSync、 カ ス タ ム FQDN URL マ ッ ピ ン グ、 ま たは Tunnel ベースのア ク セ ス サー ビ ス に使 用 し た り で き ます。 • CA 証明書は、 バ ッ ク エ ン ド サーバーへの接続や ク ラ イ ア ン ト 証明書 を 使用す る 認証の保護に も 使用で き ます。詳細につい ては、158 ページの「CA 証明書の イ ン ポー ト 」 を参照 し て く だ さ い。 サーバー証明書 WorkPlace お よ び AMC へのア ク セ ス に使用す る SSL サーバー証明書 を 管理す る には、 AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し ま す。 こ のページ で、 SSL お よ び CA 証明書を表示、 イ ン ポー ト 、 削除 し ます。 証明書の計画 148 | Aventail E-Class SRA 10.7 管理者ガ イ ド 証明書には、 商用証明書 と 自己証明書の 2 種類があ り ます。 • • 商用 CA は、 会社の ID を保証 し 、 CA が署名す る証明書の提供す る こ と で、 その会社の ID を証明 し ます。 CA は、 商用認証局や第三者機関で あ る必要はな く 、 企業がその企業自身の CA に な る こ と も で き ま す。 商用証明書は、 VeriSign (http://www.verisign.com) な どの CA か ら 購入す る も ので、 通常は 1 年間有効です。 自己署名 SSL 証明書の場合は、 証明書の持ち主が自分自身で あ る こ と を証明 し ます。 対応 す る プ ラ イ ベー ト キー デー タ がパス ワー ド を使用 し て暗号化 さ れま す。自己署名証明書は、 ワ イ ル ド カ ー ド 証明書に も な る ため、 IP ア ド レ ス と 証明書が同 じ で あれば、 FQDN が違 っ てい て も 、 複数のサーバーで使用で き ます。 こ の種類の証明書は安全ですが、自己署名証明書はブ ラ ウザの CA リ ス ト に入 っ て いな いた め、 接続す る たびにユーザーに同意を要求す る メ ッ セージが表示 さ れます。 次のよ う な い く つかの方法で、 こ の要求 メ ッ セージが表示 さ れな い よ う に で き ます。 – E-Class SRA ク ラ イ ア ン ト を構成 し て、 証明書のルー ト フ ァ イ ルを使用す る よ う にす る。 – Web ブ ラ ウザで、 ユーザーの信頼で き るルー ト 認証局 リ ス ト に自己署名証明書を追加 す る。 – デ フ ォ ル ト で、 広 く 信頼 さ れて い る商用 CA を使用す る。 どの種類の証明書 を サーバーに使用す る か を 決定す る 場合は、 どの よ う な ユーザーがア プ ラ イ ア ン ス に接続 し 、 それ ら のユーザーがネ ッ ト ワー ク の リ ソ ー ス を どの よ う に使用す る か を 考慮 し ます。 注意 • ビ ジ ネ ス パー ト ナーがア プ ラ イ ア ン ス経由で Web リ ソ ースに接続す る場合は、取引を実行 し た り 、 機密情報を提供 し た り す る前に、 相手の ID があ る程度保証 さ れて い る こ と を期待 す る で し ょ う 。 こ のよ う な場合は、 ア プ ラ イ ア ン ス に商用 CA の証明書を取得す る と よ いで し ょ う。 こ れに対 し 、 Web リ ソ ー ス に接続す る 従業員で あれば、 自己署名証明書 を 信頼で き ま す。 その場合に も 、 サー ド パーテ ィ の証明書を取得すれば、 従業員が接続す る たびに自己署名証 明書を受け入れな く てすむよ う に な り ます。 • 小型携帯端末か ら ア プ ラ イ ア ン ス に接続す る ユーザーに対応す る には、 主要 CA (VeriSign な ど ) の証明書を使用す る よ う ア プ ラ イ ア ン ス を構成す るか、使用 し てい る CA のルー ト 証 明書を ユーザーの小型携帯端末に イ ン ポー ト し ます。 ア プ ラ イ ア ン スが無名の CA の証明書ま たは自己署名証明書を使用す る よ う 構成 さ れて い る 場合、 多 く の小型携帯端末では、 エ ラ ー メ ッ セージが表示 さ れるか、 ロ グ イ ン で き ません。 例えば、 Windows Mobile 対応デバ イ スの場合、 ルー ト フ ァ イ ルで、 VeriSign、 CyberTrust、 Thawte、 お よ び Entrust のみが構成 さ れてい ま す。 小型携帯端末の詳細につ い ては、 418 ページの 「WorkPlace と 小型携帯端末」 を参照 し て く だ さ い。 商用 CA からの証明書の取得 ネ ッ ト ワー ク と 認証の構成 | 149 商用 CA か ら 証明書 を 取得す る と 、 ア プ ラ イ ア ン ス経由で ネ ッ ト ワー ク に接続す る ユーザーの ID を確認で き る よ う にな り ます。 商用 CA か ら 証明書を取得 し て構成す る には、 い く つかの手 順を実行す る必要があ り ます。 &$&65ࢆ㏦ಙࡍࡿ &$ࡢ࣮ࣝࢺࣇࣝࢆ &65ᛂ⟅㏣ຍࡍࡿ ド᫂᭩⨫ྡせồ&65ࢆ సᡂࡍࡿ &65ࢆၟ⏝ㄆドᒁ &$ࠉ㏦ಙࡍࡿ ࢜ࣉࢩࣙࣥ&$ࡢ&65ᛂ⟅ ಙ㢗࡛ࡁࡿ࣮ࣝࢺࣇࣝࡀྵ ࡲࢀ࡚࠸࡞࠸ሙྜ㏣ຍࡍࡿ $YHQWDLOࢡࣛ ࣥࢺࡢᵓᡂࡍࡿ ኚ᭦ࢆ㐺⏝ࡍࡿ &65ᛂ⟅ࢆࣥ ࣏࣮ࢺࡍࡿ ࢧ࣮ࣅࢫࢆ㛤ࡋࠊド᫂᭩ࢆ ᭷ຠࡍࡿ &65ᛂ⟅ࢆ$0&࣏࣮ࣥࢺ ࡋ࡚ド᫂᭩ࢆసᡂࡍࡿ &65ࢆ⏕ᡂࡍࡿ ಙ㢗࡛ࡁࡿ࣮ࣝࢺࣇࣝࢆ ⏝࡛ࡁࡿࡼ࠺$YHQWDLO &RQQHFWࢡࣛࣥࢺࢆᵓᡂ 次の 6 つのス テ ッ プ で、 商用証明書を取得す る方法を説明 し ま す。 ステ ッ プ 1 証明書署名要求を生成す る AMC を 使用 し て、 証明書署名要求 (CSR) を 生成で き ま す。 こ のプ ロ セ ス では、 サーバー情報 や、 パブ リ ッ ク キーや ID 情報が含まれる CSR を保護す るのに使用 さ れる RSA キーのペ アが 作成 さ れま す。 こ こ で指定 し た情報は、 商用 CA が証明書 を 作成す る と き に使用 さ れ、 ア プ ラ イ ア ン ス に接続す る ユーザーに提示 さ れます。 CSR を生成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [SSL Settings] を ク リ ッ ク し ます。 2. [SSL certificates] エ リ アの [Edit] を ク リ ッ ク し ます。 150 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. [Certificate signing requests] リ ス ト で [New] を ク リ ッ ク し ます。 [Create Certificate Signing Request] ページが表示 さ れます。 4. こ こ で入力 し た証明書情報は、 CSR に保存 さ れ、 証明書の生成時に商用 CA に よ っ て使用 さ れ、 ア プ ラ イ ア ン ス に接続す る ユーザーに提示 さ れる こ と があ り ます。 a. [Fully qualified domain name] ボ ッ ク ス に、 証明書に記載す るサーバー名を入力 し ま す。 こ のサーバー名は、 「共通名 (CN)」 と も 呼ばれ、 一般的にはホ ス ト 名 と ド メ イ ン名 で構成 さ れ、 例えば、 「vpn.example.com」 と 入力 し ます。 Web ベー スの ク ラ イ ア ン ト を 使用す る ユーザーは、 こ の名前 を 使用 し て ア プ ラ イ ア ン ス に ア ク セ ス ( 言い換えれば、 WorkPlace に ア ク セ ス ) す る ため、 覚えやすい名前を使 用 し ます。TCP/IP リ ソ ース に ア ク セ ス で き る よ う に Connect や OnDemand の コ ン ポー ネ ン ト を構成す る場合 も 、 こ の名前を参照 し ます。 ユーザーがア プ ラ イ ア ン ス に ア ク セ ス で き る よ う にす る には、 こ の名前を外部 DNS に追加す る必要があ り ます。 証明書署名要求を、 複数の FQDN ま たは IP ア ド レ ス で作成で き ます。 [SSL Settings] > [SSL Certificate] > [Create Certificate Signing Request] ページ に、 複数の FQDN や IP ア ド レ ス を カ ン マ区切 り で入力 し ます。任意の数の SAN を証明書に追加で き ますが、 テ キス ト 入力 フ ィ ール ド の最大文字数は 1,000 です。 ワ イ ル ド カ ー ド を使用で き ます。 CSR 内で、入力 し た FQDN と IP ア ド レ スは証明書の SAN (Subject Alternative Name) 拡張領域で エ ン コ ー ド さ れ、証明書 FQDN は追加 SAN エ ン ト リ と し て エ ン コ ー ド さ れ ます。 b. [Alternative name] ボ ッ ク スに、証明書の SAN (Subject Alternative Name) 拡張領域を 使用 し て証明書に記載すべ き 追加の FQDN ま たは IP ア ド レ ス を入力 し ます。 複数の代 替名や IP ア ド レ スは、 カ ン マ区切 り で入力 し ま す。 c. [Organizational unit] ボ ッ ク ス に、 部門や部署 ( 例えば 「MIS Dept」 ) を入力 し ま す。 d. [Organization] ボ ッ ク ス に、 SSL 証明書に記載す る会社名ま たは組織名を入力 し ます。 e. [Locality] ボ ッ ク ス に、 市ま たは町の名前を入力 し ます。 省略形は使用 し な いで く だ さ い。 f. [State] ボ ッ ク ス に、 州ま たは県の名前を入力 し ま す。 省略形は使用 し ない で く だ さ い。 ネ ッ ト ワー ク と 認証の構成 | 151 g. [Country] ボ ッ ク ス に、 国を表す 2 文字の略語を入力 し ます。 有効な国 コ ー ド の リ ス ト については、 国際標準化機構 (ISO) の Web サ イ ト (http://www.iso.org) に ア ク セ ス し 、 ISO 3166-1 を検索 し て く だ さ い。 h. [Key length] リ ス ト か ら 、 512、 768、 1024 ( デ フ ォ ル ト )、 1280、 ま たは 1536 のいず れかを、 使用す る キーの長 さ と し て選択 し ます。 キーが長いほど セキ ュ リ テ ィ は向上 し ま すが、 ア プ ラ イ ア ン スの処理速度は遅 く な り ま す。 ほ と ん どの イ ン ス ト ール環境に、 1024 ま たは 1280 のキーの長 さ を推奨 し ます。 5. [Signature] リ ス ト か ら 、 証明書に使用 さ れて い る アルゴ リ ズム を選択 し ます。 6. 情報を見直 し て正 し く 入力 さ れて い る こ と を確認 し てか ら 、[Save] を ク リ ッ ク し て CSR を 生成 し ます。 [Create Certificate Signing Request] ページが表示 さ れます。 7. CSR テ キス ト の内容を AMC か ら ク リ ッ プ ボー ド ま たはテ キス ト フ ァ イ ルに コ ピ ー し 、 [OK] を ク リ ッ ク し ま す。 一部の商用 CSR では、 「&」 や 「!」 な どの SHIFT キー を押 し た と き に生成 さ れる文字が 含まれる CSR の読み取 り で、 問題が発生す る こ と があ り ます。 例えば、 会社名やその他 の情報を指定す る際に 「&」 を使用 し て いたので あれば、 それを 「and」 と し て記述 し ます。 メモ ステ ッ プ 2 CSR を商用 CA に送信す る CSR を送信す る プ ロ セ スは、 選択 し た商用 CA に よ っ て異な り ます。 VeriSign は、 Secure Site Services を使用 し て SSL 証明書を発行す る主要商用 CA です。 詳細につい ては、 http://www.verisign.com を参照 し て く だ さ い。 CSR を商用 CA に送信す る には 1. 証明書署名要求の内容を、AMC の [Create Certificate Signing Request] ページか ら コ ピ ー し ます。 2. こ れを指定 さ れた方法で CA に送信 し ます ( 通常は、CSR テ キス ト を コ ピ ー し て CA の Web サ イ ト にペース ト す るか、 電子 メ ールの メ ッ セージ に添付 し ます )。 152 | Aventail E-Class SRA 10.7 管理者ガ イ ド CA の指定に よ っ て、すべてのテ キス ト を ペース ト す る場合 と 、BEGIN NEW CERTIFICATE REQUEST と END NEW CERTIFICATE REQUEST のバナーの間のテ キス ト だけ ( バナーそ の も の も 含む ) を ペース ト す る場合があ り ます。 どの方法なのかがよ く わか ら な い場合は、 CA にお問い合わせ く だ さ い。 3. 商用 CA に よ る ID の確認が終了す るのを待ち ます。会社の ID を証明す る 1 つ以上の ド キ ュ メ ン ト を作成す る よ う 要求 さ れる こ と があ り ます ( 会社の営業許可や定款な ど )。 CSR を 1 度だけ送信 し ます。 2 回以上送信す る と 、 CA か ら 二重に課金 さ れる こ と があ り ます。 こ の操作で、 内部プ ラ イ ベー ト キー も 変更 さ れ、 CA か ら の応答を利用で き な く な り ます。 メモ ステ ッ プ 3:CSR 応答を確認 し 、 CA のルー ト 証明書を追加する CSR への送信後は、 CA が会社の ID を確認す るのを待つ必要があ り ます。 こ のプ ロ セ スの完了 後に、 CA か ら 証明書の返信が送信 さ れます。 返信は通常、 次のいずれかの形式です。 電子 メ ールの メ ッ セージの添付 フ ァ イ ル。 こ の場合は、 フ ァ イ ルを ロ ー カ ル フ ァ イ ル シ ス テム (AMC に ア ク セ スす る フ ァ イ ル シ ス テム ) に保存 し 、 AMC に イ ン ポー ト で き ます。 • 電子 メ ールの メ ッ セージ に埋め込まれた テ キス ト 。 こ の場合は、 テ キス ト を コ ピ ー し 、 AMC の テ キ ス ト ボ ッ ク ス に ペ ー ス ト し ま す。 必 ず、 BEGIN CERTIFICATE と END CERTIFICATE のバナーが含まれる よ う に し ます。 CA か ら CSR 応答で完全な証明書チ ェ ー ンが提供 さ れない場合 ( 一般的な方法 ) は、 CSR 応答 の イ ン ポー ト 時に AMC が証明書を完成 さ せよ う と し ま す。証明書チ ェ ー ン を完成 さ せる こ と が で き ない と 、 AMC はエ ラ ー メ ッ セージ を表示 し ま す。 その場合は、 CA のルー ト 証明書ま たは 中間公開証明書 を ア プ ラ イ ア ン ス に ア ッ プ ロ ー ド す る 必要があ り ま す。 自分の会社が CA の役 割 も 果たす場合は、 おそ ら く こ の手順を実行す る必要があ り ます。 • 証明書チ ェ ー ン を完成 さ せる には 1. 信頼で き るルー ト 証明書ま たは中間公開証明書を CA か ら 取得 し ま す。ほ と ん どの外部商用 CA は、 Web サ イ ト で こ の証明書を提供 し てい ます。 自分の会社が CA の役割 も 果た し て い る場合は、 サーバー管理者に確認 し て く だ さ い。 2. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [SSL Settings] を ク リ ッ ク し ます。 3. [SSL certificates] エ リ アの [Edit] を ク リ ッ ク し ます。 4. [Certificate signing requests] リ ス ト で、 該当す る証明書に対応す る [Process CSR response] リ ン ク を ク リ ッ ク し ます。 [Import CSR Certificate] ページが表示 さ れます。 5. 証明書を ア ッ プ ロ ー ド し ます。 – 証明書がバ イ ナ リ 形式の場合、[Browse] を ク リ ッ ク し て、証明書の返信を ロ ー カ ル フ ァ イ ル シ ス テム ( つ ま り 、AMC に ロ グ イ ン し た コ ン ピ ュ ー タ ) か ら ア ッ プ ロ ー ド し ます。 – 証明書が base-64 エ ン コ ー ド (PEM) テ キス ト 形式の場合は、[Certificate text] を ク リ ッ ク し て、 証明書を テ キス ト ボ ッ ク ス にペース ト し ます。 必ず、 BEGIN CERTIFICATE と END CERTIFICATE のバナーが含まれる よ う に し ます。 6. [Import] を ク リ ッ ク し て [CA Certificates] ページ に戻 り ます。 7. 証明書が正 し く ア ッ プ ロ ー ド さ れた こ と を確認す る には、 [CA Certificate] を ク リ ッ ク し ま す。 新 し い証明書が [CA Certificates] ページ に表示 さ れます。 ステ ッ プ 4:CSR 応答を AMC に イ ンポー ト する 証明書を作成す る には、 CSR 応答を AMC に イ ン ポー ト し ます。 ネ ッ ト ワー ク と 認証の構成 | 153 証明書の返信を イ ン ポー ト す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [SSL Settings] を ク リ ッ ク し ます。 2. [SSL certificates] エ リ アの [Edit] を ク リ ッ ク し ます。 3. [Certificate signing requests] リ ス ト で、 該当す る証明書に対応す る [Process CSR response] リ ン ク を ク リ ッ ク し ます。 4. [Import CSR Certificate] ページ で証明書を ア ッ プ ロ ー ド し ま す。 – 証明書がバ イ ナ リ 形式の場合、[Browse] を ク リ ッ ク し て、証明書の返信を ロ ー カ ル フ ァ イ ル シ ス テム ( つ ま り 、AMC に ロ グ イ ン し た コ ン ピ ュ ー タ ) か ら ア ッ プ ロ ー ド し ます。 – 証明書が base-64 エ ン コ ー ド (PEM) テ キス ト 形式の場合は、 [Certificate text] を選択 し て、 証明書を テ キス ト ボ ッ ク ス にペース ト し ます。 必ず、 BEGIN CERTIFICATE と END CERTIFICATE のバナーが含まれる よ う に し ます。 5. [Used by] リ ス ト で、 [AMC] ま たは [WorkPlace/access methods] を選択 し ま す ( 後で選択 す る証明書の リ ス ト を構築す る場合は [None] を選択 し ます )。 デ フ ォ ル ト の WorkPlace サ イ ト 以外に追加の WorkPlace サ イ ト を定義 し た場合は、 その名前が こ の リ ス ト に表示 さ れ ます。 6. [Save] を ク リ ッ ク し ます。 7. 証明書が正 し く ア ッ プ ロ ー ド さ れた こ と を確認す る には、 [SSL Certificates] ページ で、 そ の証明書の隣にあ る プ ラ ス記号 (+) を ク リ ッ ク し ます。 ステ ッ プ 5: 変更を適用する 新 し い証明書の使用を開始す る には、 構成の変更を適用す る必要があ り ます。 詳細については、 131 ページの 「構成変更の適用」 を参照 し て く だ さ い。 変更 を 適用す る と 、 ア プ ラ イ ア ン スが新 し い証明書 を 検査 し 、 すべての新 し い接続に その証明 書 を 使用 し ま す。 ア プ ラ イ ア ン スが証明書 を 正 し く 処理で き な い と 、 失敗 し た こ と を 示す メ ッ セージが表示 さ れ、 失敗に関す る情報が イ ベ ン ト ロ グに記録 さ れます。 一般的には、 証明書が ない、 証明書の有効期限が切れた ( ま たはま だ有効ではない )、 ま たは暗号化 さ れたパス ワー ド フ ァ イ ルにキ ャ ッ シ ュ さ れて い る パス ワー ド が正 し く な い場合に、 こ の よ う な状況が発生 し ま す。 ユーザーがデジ タ ル証明書を認証に使用す る場合は、サーバー と ク ラ イ ア ン ト の両方で信 頼で き るルー ト フ ァ イ ル を 構成す る必要があ り ます。 160 ページの 「 ク ラ イ ア ン ト 証明 書失効の構成」 を参照 し て く だ さ い。 メモ 自己署名証明書の作成 自己署名 SSL 証明書を ( 商用 CA か ら 証明書を取得せずに ) 使用す る場合、AMC を使用 し て作 成で き ます。 証明書 と ホ ス ト は 1 対 1 に マ ッ ピ ン グ さ れて いな いため、 証明書に対 し て ホ ス ト は選択 さ れません。 ワ イ ル ド カ ー ド 証明書 を 使用す る と 、 1 つの証明書 を 複数のホ ス ト に マ ッ ピ ン グ で き ます。また、自己署名 SSL 証明書を、複数の FQDN または IP ア ド レ スで作成で き ます。 自己署名証明書を作成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [SSL Settings] を ク リ ッ ク し ます。 2. [SSL certificates] エ リ アの [Edit] を ク リ ッ ク し ます。 3. [New] を ク リ ッ ク し 、 メ ニ ュ ーか ら [Create self-signed certificate] を選択 し ます。 4. [Fully qualified domain name] ボ ッ ク ス に *.E-Class SRA.com な どのワ イ ル ド カ ー ド ド メ イ ン名を入力す るか、 証明書に記載す る個々のサーバー名を入力 し ます。 154 | Aventail E-Class SRA 10.7 管理者ガ イ ド – メ イ ン の ア プ ラ イ ア ン ス 証 明 書 の 場 合、 ワ イ ル ド カ ー ド 証 明 書 を 使 用 す る か、 「vpn.example.com」 の よ う に入力 し ま す。 ユーザーがア プ ラ イ ア ン ス に ア ク セ ス で き る よ う にす る には、 こ の名前を外部 DNS に追加す る必要があ り ます。 こ れは、 ユーザーがネ ッ ト ワー ク 上の Web ベースの リ ソ ース に ア ク セ スす る際に入力 す る名前に な り ます。 ワ イ ル ド カ ー ド 証明書の場合、 「*」 は特定のサーバー名のよ う に、 ピ リ オ ド ま での任意の文字列 と 一致 し ま す。 TCP/IP リ ソ ース に ア ク セ ス で き る よ う に Connect ク ラ イ ア ン ト を構成す る場合 も 、 こ の名前を参照 し ま す。 – こ の証明書を (WorkPlace ではな く ) AMC で使用す る場合は、 amc.example.com の よ う に入力 し ます。 多 く の場合に、 こ の名前を内部 DNS に追加す る と 、 AMC に簡単に ア ク セ ス で き る よ う に な り ます。 – 任意の数の SAN を証明書に追加で き ますが、 テ キス ト 入力 フ ィ ール ド の最大文字数は 1,000 です。 複数の FQDN あ る いは IPv4 ま たは IPv6 のア ド レ スは、 カ ン マ区切 り で 入力 し ます。 SAN には、 ワ イ ル ド カ ー ド エ ン ト リ (*.dell.com、 *.access.dell.com)、 一 意の FQDN (access.dell.com、 vpn.dell.com)、 お よ び IP ア ド レ ス を使用で き ま す。 証明書内で、入力 し た FQDN と IP ア ド レ スは証明書の SAN (Subject Alternative Name) 拡張領域で エ ン コ ー ド さ れ、 FQDN は CSR の追加 SAN 名 と し て エ ン コ ー ド さ れます。 SAN が IP ア ド レ スの場合は、 SAN 拡張領域で、 DNSName ではな く 、 IPAddress と し て エ ン コ ー ド さ れます。 5. [Alternative name] ボ ッ ク ス に、 証明書の SAN (Subject Alternative Name) 拡張領域を使用 し て証明書に記載すべき追加の FQDN または IP ア ド レ ス を入力 し ます。 複数の代替名や IP ア ド レ スは、 カ ン マ区切 り で入力 し ます。 6. [Organization] ボ ッ ク ス に、 SSL 証明書に記載す る会社名ま たは組織名を入力 し ます。 7. [Country] ボ ッ ク ス に、 国を表す 2 文字の略語を入力 し ます。 有効な国 コ ー ド の リ ス ト につ い ては、国際標準化機構 (ISO) の Web サ イ ト (http://www.iso.org) に ア ク セ ス し 、ISO 31661 の情報を検索 し て く だ さ い。 8. [Key size] リ ス ト で、 キーに使用す る キー長を選択 し ます。 キーが長いほど セキ ュ リ テ ィ は 向上 し ますが、 ア プ ラ イ ア ン スの処理速度は遅 く な り ます。 ほ と んどのイ ン ス ト ール環境に、 1024 ビ ッ ト ま たは 2048 ビ ッ ト のキーの長 さ を推奨 し ます。 9. [Signature] リ ス ト か ら 、 証明書に使用 さ れてい る アルゴ リ ズム を選択 し ます。 10. [Save] を ク リ ッ ク し ます。 11. [Pending changes] を ク リ ッ ク し て、 変更を適用 し ます。 ( 詳細については、 131 ページの 「構成変更の適用」 を参照 し て く だ さ い。 ) 自己署名証明書に対する信頼で き るルー ト フ ァ イルの作成 自己署名証明書を使用す る場合は、 信頼で き るルー ト フ ァ イ ルを ユーザーに提供で き ます ( 提 供 し ない と 、 ロ グ イ ンのたびにセキ ュ リ テ ィ プ ロ ン プ ト が表示 さ れます )。 自己署名証明書に対す る信頼で き るルー ト フ ァ イ ルを作成す る には 1. ア プ ラ イ ア ン ス に ロ グ イ ン し ます。 2. /usr/local/extranet/etc にあ る backendca.cert フ ァ イ ルの コ ピ ー を作成 し ます。 ネ ッ ト ワー ク と 認証の構成 | 155 3. コ ピ ー し た フ ァ イ ルを テ キス ト エデ ィ タ で開 き 、 ルー ト 証明書以外のすべて を削除 し ます。 フ ァ イ ルに、 1 つ以上の証明書 と プ ラ イ ベー ト キーが含まれた状態に な り ま す。 ルー ト 証 明書は、 こ の フ ァ イ ルの、 バナー を含む最後の証明書ブ ロ ッ ク です。 次の例では、 最初の証 明書ブ ロ ッ ク と プ ラ イ ベー ト キー ブ ロ ッ ク を削除 し ま す。 証明書 1 ルー ト 証明書 プ ラ イ ベー ト キー 削除後の フ ァ イ ルは次のよ う に な り ます。 4. こ の フ ァ イ ルを ユーザーに配布 し ます。 こ う す る こ と で、 セキ ュ リ テ ィ が向上 し 、 ユーザー が接続す る たびに SSL 証明書を受け入れる よ う 要求 さ れる こ と も な く な り ます。 158 ペー ジの 「CA 証明書の イ ン ポー ト 」 を参照 し て く だ さ い。 – Web ベースのユーザーのセキ ュ リ テ ィ を向上 さ せる には、こ の フ ァ イ ルを こ れ ら のユー ザーのブ ラ ウザに イ ン ポー ト し ます。 メモ • • Setup Tool で、 AMC の自己署名証明書が作成 さ れます。 ほ と んどの導入環境では、 こ の 自己署名証明書で十分で あ り 、 商用 CA か ら 証明書を取得す る必要はあ り ません。 た だ し 、 信頼で き る ネ ッ ト ワー ク 内で AMC を使用す る こ と が重要です。 自己署名証明書は、 受動的な傍受の防止策にはな り ますが、 能動的な攻撃か ら の防止策にはな り ません。 Apple Macintosh シ ス テムで Microsoft Internet Explorer を使用す る ユーザー向けに OnDemand を 展開す る 場合は、 商用 SSL 証明書 を 取得す る 必要があ り ま す。 Macintosh Java Virtual Machine (JVM) は未知の CA か ら の署名証明書を受け付けな いため、 自己署名 証明書が機能 し ません。 サーバー証明書の管理 こ のセ ク シ ョ ン では、 AMC におけ る SSL 証明書の管理に関す る作業について説明 し ます。 他のコ ン ピ ュ ー タ からの既存の証明書のイ ンポー ト 商用 CA か ら 証明書を すで に取得 し て い る場合、 その証明書 と プ ラ イ ベー ト キー を ア プ ラ イ ア ン ス に転送す る こ と も で き ま す。 証明書 を イ ン ポー ト す る と 、 サーバーがその証明書 を 使用 し て、 ア プ ラ イ ア ン スのユーザー ト ラ フ ィ ッ ク を保護で き ます。 証明書 と ホ ス ト は 1 対 1 に マ ッ ピ ン グ さ れて いな いため、 証明書に対 し て ホ ス ト は選択 さ れま せん。ワ イ ル ド カ ー ド 証明書を使用す る と 、1 つの証明書を複数のホ ス ト に マ ッ ピ ン グ で き ます。 ア プ ラ イ ア ン スは証明書を PKCS #12 形式で保管 し ます。 証明書が異な る形式で保管 さ れて い る場合は、 イ ン ポー ト 前に PKCS #12 形式に変換 し ます。 変換の実行後に、 PKCS #12 フ ァ イ ルに完全な証明書チ ェ ー ンが含まれて い る こ と を確認 し て く だ さ い。 156 | Aventail E-Class SRA 10.7 管理者ガ イ ド 既存の証明書を ア プ ラ イ ア ン ス に転送す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [SSL Settings] を ク リ ッ ク し ます。 2. [SSL certificates] エ リ アの [Edit] を ク リ ッ ク し ます。 3. [New] を ク リ ッ ク し 、 メ ニ ュ ーか ら [Import certificate] を選択 し ます。 4. [Import Certificate] ページ で [Browse] を ク リ ッ ク し て、 証明書を ロ ー カ ル フ ァ イ ル シ ス テム ( つ ま り 、 AMC に ロ グ イ ン し た コ ン ピ ュ ー タ ) か ら ア ッ プ ロ ー ド し ます。 5. [Password] ボ ッ ク スに、 プ ラ イ ベー ト キーの暗号化に使用 し たパス ワー ド を入力 し ます。 6. [Save] を ク リ ッ ク し ます。 構成の変更を適用す る ま では、 ア プ ラ イ ア ン スは、 以前の証明書を使用 し ます。 SSL 証明書のエ ク スポー ト ア プ ラ イ ア ン スのユーザー ト ラ フ ィ ッ ク の保護に使用 し て い る SSL 証明書 を エ ク ス ポー ト で き ます。 こ の証明書にはプ ラ イ ベー ト キーが含まれ、 PKCS #12 形式で保存 さ れます。 SSL 証明書を ア プ ラ イ ア ン スか ら エ ク スポー ト す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [SSL Settings] を ク リ ッ ク し ます。 2. [SSL certificates] エ リ アの [Edit] を ク リ ッ ク し ます。 3. エ ク スポー ト す る証明書の隣にあ る チ ェ ッ ク ボ ッ ク ス を選択 し 、 [Export] を ク リ ッ ク し ま す。 [Export Certificate] ページが表示 さ れま す。 4. [Password] ボ ッ ク スに、 プ ラ イ ベー ト キーの暗号化に使用す るパス ワー ド を入力 し ます。 5. [Save] を ク リ ッ ク し 、 証明書を ロ ー カ ル フ ァ イ ル シ ス テム ( すなわち、 AMC に ロ グ イ ン し た コ ン ピ ュ ー タ ) にダウ ン ロ ー ド し ます。 6. [OK] を ク リ ッ ク し ま す。 CA 証明書 どの CA に も 、 デジ タ ル証明書を 要求す る エ ン テ ィ テ ィ がその CA を 「信頼」 で き る よ う にす る ための証明書が必要です。 ク ラ イ ア ン ト が CA 証明書を 信頼 し て い る 場合、 その CA か ら 発 行 さ れた他のすべての証明書 も 自動的に信用す る こ と に な り ま す。 こ の よ う に、 CA 証明書に よ っ て、 パブ リ ッ ク キー暗号化の基礎の 1 つが形成 さ れます。 CA 証明書は、 CA 自身 ( ルー ト 証明書 ) ま たはパブ リ ッ ク キー イ ン フ ラ ス ト ラ ク チ ャ の CA の階層で上位にあ る認証局 ( 中間 CA 証明書 ) のいずれかに よ っ て署名 さ れます。 ア プ ラ イ ア ン スは、 CA 証明書を使用 し て以下を保護 し ます。 • • バ ッ ク エ ン ド LDAP ま たは AD 認証サーバーへの接続 バ ッ ク エ ン ド HTTPS Web サーバーへの接続 ネ ッ ト ワー ク と 認証の構成 | 157 • デバ イ ス プ ロ フ ァ イ リ ン グ (End Point Control)。 ア プ ラ イ ア ン ス に接続す る ユーザーか ら 送信 さ れた証明書の有効性を検証す る ために使用 さ れます。 詳細につい ては、 359 ページの 「デバ イ ス プ ロ フ ァ イ ルの属性」 の 「 ク ラ イ ア ン ト 証明書」 を参照 し て く だ さ い。 ア プ ラ イ ア ン ス には、 主要商用 CA の 100 以上のパブ リ ッ ク ルー ト 証明書が含まれて い ます。 商用 CA か ら 証明書 を 取得 し て い る場合、 そのルー ト 証明書ま たは中間パブ リ ッ ク 証明書がア プ ラ イ ア ン ス にすで に イ ン ス ト ール さ れて い る 可能性があ り ま す。 た だ し 、 自分自身が CA と し ての役割 を 果たす場合は、 ルー ト 証明書ま たは中間パブ リ ッ ク 証明書 を ア プ ラ イ ア ン ス に イ ン ポー ト す る必要があ り ます。 証明書の リ ス ト を 表示 す る に は、 [SSL Settings] ペ ー ジ の [CA Certificates] エ リ ア に あ る [Edit] を ク リ ッ ク し ます。 CA 証明書の削除 も こ こ で実行 し ます。 CA 証明書のイ ンポー ト ア プ ラ イ ア ン ス に必要な CA 証明書が構成 さ れて いな い場合は、 コ ピ ー を取得 し 、 AMC を使用 し て ア プ ラ イ ア ン ス に イ ン ポー ト す る 必要があ り ま す。 こ の手順は、 証明書の使用目的がバ ッ ク エ ン ド リ ソ ースへの接続の保護ま たは ク ラ イ ア ン ト 証明書に よ る ユーザーの認証のど ち ら で あ っ て も 同 じ です。 CA 証明書を ア プ ラ イ ア ン スに イ ン ポー ト す る には 1. 信頼で き るルー ト 証明書ま たは中間公開証明書を CA か ら 取得 し ま す。ほ と ん どの外部商用 CA は、 Web サ イ ト で こ の証明書を提供 し てい ます。 自分の会社が CA の役割 も 果た し て い る場合は、 サーバー管理者に確認 し て く だ さ い。 2. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [SSL Settings] を ク リ ッ ク し ます。 3. [CA Certificates] エ リ ア で、 certificates 行の [Edit] を ク リ ッ ク し ます。 4. [New] を ク リ ッ ク し ま す。 [Import CA Certificate] ページが表示 さ れま す。 5. 次のいずれかの操作を実行 し ます。 – 証明書がバ イ ナ リ 形式の場合、 [Choose File] を ク リ ッ ク し て、 証明書 を ロ ー カ ル フ ァ イ ル シ ス テム ( つ ま り 、AMC に ロ グ イ ン し た コ ン ピ ュ ー タ ) か ら ア ッ プ ロ ー ド し ます。 – 証明書が base-64 エ ン コ ー ド (PEM) テ キス ト 形式の場合は、[Certificate text] を ク リ ッ ク し て、 証明書を テ キス ト ボ ッ ク ス にペース ト し ます。 必ず、 BEGIN CERTIFICATE と END CERTIFICATE のバナーが含まれる よ う に し ます。 158 | Aventail E-Class SRA 10.7 管理者ガ イ ド 6. こ の証明書を使用 し て保護す る接続 タ イ プ を指定 し ます。 接続 タ イ プ 説明 認証サーバー 接続 (LDAPS) LDAP または Active Directory (AD) 接続を SSL で保護する と 、LDAP サーバーま たは AD サーバー を装 う 試みを排除す る こ と で、 セキ ュ リ テ ィ を強化で き ます。LDAP または AD over SSL を構成する には、 LDAP ま たは AD 証明書 を 付与 し た CA に対す る ルー ト 証明書 を、 SSL の信頼で き るルー ト フ ァ イルに追加する必要があ り ます。 Web サーバー接続 (HTTPS) バ ッ ク エ ン ド Web リ ソ ース を SSL で保護 し て い る ( つ ま り 、 HTTP ではな く HTTPS を使用 し て い る ) 場合は、 Web プ ロ キシ サー ビ ス を構成 し て、 バ ッ ク エ ン ド サーバーが提 示 し たルー ト 証明書 を 確認す る よ う 設定す る 必要があ り ま す。 こ の重要な セ キ ュ リ テ ィ チ ェ ッ ク に よ っ て、 バ ッ ク エ ン ド サーバーの ID を信頼で き る よ う にな り ます。 詳細につ い ては、 478 ページの 「Web プ ロ キシ サー ビ スの構成」 を 参照 し て く だ さ い。 バ ッ ク エ ン ド サーバーのルー ト 証明書がア プ ラ イ ア ン ス に 予め イ ン ス ト ール さ れ て い な い場合は、 コ ピ ー を 取得 し て AMC に イ ン ポー ト す る必要があ り ます。 デバ イ ス プ ロ フ ァ イ リ EPC は、 ア プ ラ イ ア ン スに接続するユーザーから送信 さ れた証明書 ング の有効性を検証する ために使用 さ れます。ユーザーを EPC ゾーン に (End Point Control) 分類する ために ク ラ イ ア ン ト 証明書がデバイ ス プ ロ フ ァ イルで使用 さ れて い る場合は、 ク ラ イ ア ン ト 証明書を ユーザーに発行 し た CA に対するルー ト 証明書ま たは中間公開証明書を ア プ ラ イ ア ン スに構 成する必要があ り ます。 ア プ ラ イ ア ン スが指定 さ れた証明書の存在をユーザーのコ ン ピ ュ ー タ ーに照会する際にシ ス テム ス ト ア (HKLM\SOFTWARE\Microsoft\Sys-temCertificates) だけが検 索 さ れる よ う に構成する こ と も 、 ユーザー ス ト ア (HKCU\Software\Microsoft\SystemCertificates) も含める よ う にする こ と も で き ます。 OCSP 応答の- 検証 メモ OCSP 応答署名証明書は、 構成 さ れてい る OCSP レ スポン ダか らの 応答を検証する ために使用 さ れます。 OCSP 応答署名証明書のイ ン ポー ト 時に、 OCSP 応答の検証を有効に し ます。 こ れは、 PKI 認証 サーバーで使用 さ れる OCSP レ スポ ン ダやサーバーその も のの CA 証明書 と は異な る証明書です。 7. [Import] を ク リ ッ ク し ます。 [CA Certificates] ページ に確認 メ ッ セージが表示 さ れます。 8. 新 し い証明書が [CA Certificates] ページのアル フ ァ ベ ッ ト 順 リ ス ト に表示 さ れます。 ク ラ イ ア ン ト 証明書認証で使用す る ために CA 証明書を ア ッ プ ロ ー ド す る と ( そ し て、変更を適 用す る と )、 ネ ッ ト ワー ク サー ビ スは自動的に再起動 さ れ、 ユーザー接続は終了 し 、 ユー ザーの再認証が強制 さ れます。 変更を オ フ ピ ー ク 時に ス ケ ジ ュ ールす る と 良いで し ょ う 。 • 証明書を認証サーバー接続の保護に使用す る場合は、 AMC の [Configure Authentication Server] ページの該当す る [LDAP over SSL] ま たは [Active Directory over SSL] の設定が有効に な っ て い る こ と を確認 し ます。 デ フ ォ ル ト では、Web プ ロ キシ サー ビ スはバ ッ ク エ ン ド HTTPS Web サーバーが提示す る ルー ト 証明書 を 検証す る よ う 構成 さ れて い ま す。 こ の重要な セキ ュ リ テ ィ チ ェ ッ ク に よ っ て、 バ ッ ク エ ン ド サーバーの ID を信頼で き る よ う にな り ます。 478 ページの 「Web プ ロ キシ サー ビ スの構成」 を参照 し て く だ さ い。 • ネ ッ ト ワー ク と 認証の構成 | 159 • • [CA Certificates] ページ に表示 さ れる CA を信頼 し た く ない場合は、 該当す る CA の隣に あ る チ ェ ッ ク ボ ッ ク ス を選択 し 、 [Delete] を ク リ ッ ク し ます。 デバ イ スのプ ロ フ ァ イ ルを設定す る場合は、 同 じ ゾー ン内の ク ラ イ ア ン ト 証明書を 3 回を 超 え て チ ェ ッ ク し な い で く だ さ い。 同 じ ゾ ー ン 内の ク ラ イ ア ン ト 証明書に 対 し て 複数の EPC チ ェ ッ ク が 存 在 す る と 、 ユ ー ザ ー に 対 し て エ ラ ー メ ッ セ ー ジ ( 「An error was encountered encoding data to be sent to the Logon Server( ロ グオ ン サーバーに送信す る デー タ のエ ン コ ー ド 時に エ ラ ーが発生 し ま し た )」 ) が表示 さ れます。 ク ラ イ ア ン ト 証明書失効の構成 ク ラ イ ア ン ト デバ イ ス に イ ン ス ト ール さ れて い る証明書は、 ユーザーま たはデバ イ ス を認証 し て特定の レ ルムへのア ク セ ス を 許可す る ために使用で き ま す。 証明書は通常、 有効期限が切れ る ま で有効ですが、 期限が切れる前に無効にす る こ と も で き ま す。 例えば、 CA は、 証明書が正 し く 発行 さ れたかど う か、 あ る いは、 プ ラ イ ベー ト キーが無効に な っ て い るかど う かを判断 し た り し ます。 証明書失効 リ ス ト (CRL) を参照す る と 、 証明書の有効性を チ ェ ッ ク で き ます ( ロ ケーシ ョ ン CRL 配布ポ イ ン ト 、 つ ま り 、 CDP は通常、 X.509 証明書に含まれます )。 証明書が有効で な い と 、 そのユーザーはア ク セ スが拒否 さ れます。 CRL は各認証局に対 し て発行 さ れ、 その証明書 の認証局が発行 し た証明書のみのス テ ー タ ス を含む こ と がで き ます。 そのため、 信用 し たい CA ご と に別々の階層型 CRL サーバーが必要です。 ク ラ イ ア ン ト は、 それぞれの証明書 と チ ェ ー ン 内の各レ ベルの CA を確認す る ために、 チ ェ ー ン内の各 CA のパブ リ ッ ク キー を知 っ て い る必 要があ り ます。 OCSP (Online Certificate Status Protocol) と OCSP レ スポ ン ダ サーバー を CRL サーバーの代 わ り に使用 し て、 証明書のス テ ー タ ス を チ ェ ッ ク で き ま す。 OCSP は、 証明書 を ク ラ イ ア ン ト か ら 受け取 っ て評価 し 、 サーバーに対 し て、 「revoked」、 「unrevoked」、 ま たは 「unknown」 の 応答を返 し ます。 CRL サーバーの リ ス ト は極めて大 き く な る こ と があ る ため、 大規模の組織で は、 OCSP に よ っ て帯域幅を節約で き ます。 OCSP を構成 し て、 任意の数の CA と 証明書に動 作す る よ う に で き ます。 CA の関係にかかわ ら ず、 PKI イ ン フ ラ ス ト ラ ク チ ャ 全体に対 し て 1 つ の OCSP サーバー を構成で き ます。 メモ • • CA 証明書で CRL と OCSP の両方が有効な場合は、 OCSP だけが使用 さ れます。 CRL か ら OCSP へ、ま たは OCSP か ら CRL への フ ォ ールバ ッ ク はサポー ト し てい ません。 CRL と OCSP の構成の手順は、 以下の と お り です。 CRL を使用する証明書の管理 AMC の [Manage CA Certificate] ページ を使用 し て、 個別の証明書に対す る証明書失効チ ェ ッ ク を構成 し 、 こ の証明書で保護 さ れる接続 タ イ プ を判断 し ます。 ク ラ イ ア ン ト 証明書の有効性を検証 し 、 証明書失効を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [SSL Settings] を ク リ ッ ク し ます。 2. [CA Certificates] の certificates 行の [Edit] を ク リ ッ ク し ま す。 160 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. 証明書の詳細を表示す る には、 [Issued To] リ ス ト で プ ラ ス記号 (+) の隣にあ る プ ラ ス記号 (+) を ク リ ッ ク し ま す。 証明書 を 編集す る に は、 そ の リ ン ク を ク リ ッ ク し ま す。 例 え ば、 [Thawte Server CA] の隣にあ る プ ラ ス記号を ク リ ッ ク す る と 、Thawte Consulting の証明書 の詳細が表示 さ れ、 リ ン ク を ク リ ッ ク す る と 編集で き ます。 4. [Used for] エ リ ア で、 こ の証明書を使用 し て保護す る接続 タ イ プ を指定 し ま す。 – [Authentication server connections (LDAPS)] : 196 ページの 「PKI 認証サーバーの 構成」 を参照 し て く だ さ い。 – [Web server connections (HTTPS)] : 157 ページの「CA 証明書」 を参照 し て く だ さ い。 – [Device profiling (End Point Control)] : 359 ページの「デバ イ ス プ ロ フ ァ イ ルの属性」 の 「 ク ラ イ ア ン ト 証明書」 を参照 し て く だ さ い。 5. CRL 設定を指定す る には、 [Certificate revocation checking] エ リ アの [Certificate revocation list (CRL)] を ク リ ッ ク し ます。 CRL の形式は DER ベース (.crl) で あ る必要が あ り 、 ア プ ラ イ ア ン スは PEM 形式で作成 さ れた CRL は使用で き ません。 6. ア プ ラ イ ア ン スが (LDAP ま たは HTTP を使用 し て ) CRL 配布ポ イ ン ト (CDP) か ら 失効 し た証明書の リ ス ト を取得 し ます。 こ の CDP のロ ケーシ ョ ン を指定 し ます。 – CDP は通常、 証明書その も ので指定 さ れます。 こ の場合は、 [Use CDP from client certificate] を ク リ ッ ク し ます。 – URL を指定す る こ と も で き ます。 [Use remote CDP] を ク リ ッ ク し 、 ロ グ イ ンが必要で あれば、 ク レ デ ン シ ャ ルを入力 し ます。 ネ ッ ト ワー ク と 認証の構成 | 161 7. [Use remote CDP] を選択 し た場合は、[Download CRL every <n> hours] オ プ シ ョ ン を使 用 し て、 CRL を 検索す る 頻度 を 指定で き ま す。 ダ ウ ン ロ ー ド 間隔 を 指定 し な い場合は、 古 い CRL の有効期限が切れた と き に新 し い CRL が取得 さ れます (CRL は頻繁に更新 さ れる ため、 証明書が無効に な る と 、 その情報が タ イ ム リ ーに配布 さ れます。 ) 8. ア プ ラ イ ア ン スが、 ク ラ イ ア ン ト 証明書を こ の リ ス ト と 照会 し ます。 CA ルー ト 証明書か ら 開始 し て 証明書の チ ェ ー ン 全体の CRL チ ェ ッ ク を 実行 す る に は、 [Validate the entire chain] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 9. [Allow user access] ま たは [Block user access] を選択す る こ と で、 CDP に ア ク セ ス で き ない場合にユーザーに ア ク セ ス を許可す るか拒否す るかを指定 し ます。指定 し た リ モー ト CDP がオ フ ラ イ ンの可能性 も あ り 、証明書で指定 さ れて いな い場合 も あ り ま す (X.509 標準 では、 オ プ シ ョ ン項目で あ り 、 必須項目ではあ り ません )。 10. [Save] を ク リ ッ ク し ます。 OCSP レ スポンダの構成 AMC の [OCSP] ページ を使用 し て、 OCSP レ スポ ン ダのグ ロ ーバル設定を構成 し ます。 PKI 認 証サーバーの構成時に、 OCSP レ スポ ン ダ を参照で き ます。 OCSP レ スポ ン ダ を構成す る には メモ 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [SSL Settings] を ク リ ッ ク し ます。 2. [CA Certificates] の OCSP 行の [Edit] を ク リ ッ ク し ます。[OCSP] ページが表示 さ れます。 3. [Default responder URL] フ ィ ール ド に OCSP レ スポ ン ダ サーバーの URL を入力 し ます。 4. [Maximum clock skew] フ ィ ール ド に、 OCSP の応答時間 と ロ ー カ ル時間の許容 さ れる最 大時間差を秒数で入力 し ます。 デ フ ォ ル ト 値は 300 秒、 最小は 1 秒、 最大は 3600 秒です。 5. [Save] を ク リ ッ ク し ます。 CA 証明書を イ ン ポー ト し て OCSP を有効にす る だけ では、 OCSP は動作 し ません。 使 用す る CA 証明書の OCSP 応答署名証明書 を イ ン ポ ー ト し 、 イ ン ポ ー ト 時 に [OCSP response verification] を有効にす る必要があ り ます。 158 ページの 「CA 証明書の イ ン ポー ト 」 を参照 し て く だ さ い。 CA 証明書の管理 こ のセ ク シ ョ ン では、ア プ ラ イ ア ン ス での証明書の管理に関連す る作業について説明 し ます。証 明書の イ ン ポー ト については、 158 ページの 「CA 証明書の イ ン ポー ト 」 で説明 し て い ま す。 CA 証明書の詳細の表示 タ イ ト ル、 発行者、 開始日 と 終了日、 シ リ アル番号、 MD5 チ ェ ッ ク サムな どのア プ ラ イ ア ン ス 証明書の詳細デー タ を 表示で き ま す。 新 し く イ ン ポー ト し た証明書の詳細デー タ は、 構成の変 更を適用す る ま で表示 さ れません。 162 | Aventail E-Class SRA 10.7 管理者ガ イ ド CA 証明書の詳細を表示す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [SSL Settings] を ク リ ッ ク し ます。 2. [CA Certificates] エ リ アの [Edit] を ク リ ッ ク し ます。 3. 詳細を表示す る証明書の左にあ る プ ラ ス記号 (+) を ク リ ッ ク し ます。 証明書 と ホス ト のマ ッ ピ ング ア プ ラ イ ア ン スの複数のホ ス ト が 1 つのワ イ ル ド カ ー ド 証明書を使用で き る ため、 [Certificate usages] テ ー ブルで 1 つの証明書を複数のホ ス ト のセ ッ ト に マ ッ ピ ン グ し ます。 ホ ス ト のセ ッ ト は、同 じ IP ア ド レ スの リ ソ ース に マ ッ ピ ン グ さ れた 1 つ以上の WorkPlace サ イ ト 、Exchange ActiveSync サ イ ト 、 ま たは カ ス タ ム FQDN と し て定義 さ れます。 どのホ ス ト のセ ッ ト も 同 じ ワ イ ル ド カ ー ド 証明書 を 使用す る 必要があ る ため、 [Certificate usages] テ ー ブルでの証明書の マ ッ ピ ン グ では、 1 つの項目 と し て処理 さ れます。 AMC は、 シ ン グル ホーム ア プ ラ イ ア ン ス の他のホ ス ト と 同 じ IP ア ド レ ス で あ っ た と し て も 、 別のホ ス ト と し て処理 さ れます。 新 し い証明書を 1 つのホ ス ト ま たはホ ス ト のセ ッ ト に マ ッ ピ ン グす る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [SSL Settings] を ク リ ッ ク し ます。 2. [SSL Certificates] エ リ アの [Edit] を ク リ ッ ク し ま す。 3. [Certificate usages] テ ー ブルの [Certificates] 列で、 証明書を ク リ ッ ク し て ド ロ ッ プ ダウ ン で証明書を選択 し 、ド ロ ッ プ ダウ ン で証明書を選択で き る組み込みエデ ィ タ ー を ア ク テ ィ ブ に し ます。 4. 証明書を選択 し ます。 ホ ス ト を個別に選択す る場合は、 どの証明書で も 選択で き ます。 複数 のホ ス ト のセ ッ ト の場合は、 ワ イ ル ド カ ー ド 証明書のみを選択で き ます。 5. [OK] を ク リ ッ ク し ま す。 CA 証明書のエ ク スポー ト CA 証明書 と そのプ ラ イ ベー ト キー を ロ ー カ ル コ ン ピ ュ ー タ に エ ク スポー ト で き ます。 証明書 は PKCS #12 形式で保存 さ れます。 ネ ッ ト ワー ク と 認証の構成 | 163 CA 証明書を エ ク スポー ト す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [SSL Settings] を ク リ ッ ク し ます。 2. [CA Certificates] エ リ アの [Edit] を ク リ ッ ク し ます。 3. エ ク スポー ト す る証明書の左にあ る チ ェ ッ ク ボ ッ ク ス を選択 し ます。 4. [Export] を ク リ ッ ク し ま す。 5. [Password] テ キス ト ボ ッ ク ス に、 プ ラ イ ベー ト キーの暗号化に使用す るパス ワー ド を入 力 し ます。 6. [Save] を ク リ ッ ク し ます。 証明書は ( デ フ ォ ル ト では ) server_cert.p12 と い う 名前の フ ァ イ ルに保存 さ れます。 CA 証明書の削除 証明書の リ ス ト を管理 し やす く す る ために、 必要のな い証明書を削除で き ます。 CA 証明書を削除す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [SSL Settings] を ク リ ッ ク し ます。 2. [CA Certificates] エ リ アの [Edit] を ク リ ッ ク し ます。 3. 削除す る証明書の左にあ る チ ェ ッ ク ボ ッ ク ス を選択 し ます。 4. [Delete] を ク リ ッ ク し ます。 証明書の FAQ こ のセ ク シ ョ ン には、 証明書の使用に関す る よ く あ る質問 と その答え を記載 し ます。 証明書を非商用 CA か ら 取得す る にはど う すればよ いですか。 取 得 す る プ ロ セ ス は、 商 用 CA か ら 証 明 書 を 取 得 す る 場 合 と ほ ぼ 同 じ で す が、 非 商 用 CA (Microsoft Self-Signed Certificate Authority な ど ) の場合は CSR に送信す る必要があ り ます。 こ の手順につい ては、 152 ページの 「CSR を商用 CA に送信す る」 に概要が記載 さ れてい ます。 証明書 と CRL の有効期限はいつ切れますか。 自己署名証明書は 5 年間有効です。 サー ド パーテ ィ の証明書の場合は、 証明書の発行者に よ っ て有効期限が異な り ま す。 詳細につい ては、 CA に お問い合わせ く だ さ い。 証明書失効 リ ス ト (CRL) の有効期限は こ れよ り はるかに短 く 、 数日、 場合に よ っ ては数時間です。 証明書 と CRL を使用す る場合は、 ア プ ラ イ ア ン スの ク リ ッ ク が正確で あ る こ と が重要です。 ク ロ ッ ク は、 こ れ ら の有効期限が切れる時期を判断す る際に使用 さ れます。 Aventail は SAN 証明書をサポー ト し て い ますか。 Workplace、 Workplace サ イ ト 、 お よ び Connect Tunnel での SAN (Subject Alternative Name) 証明書のサポー ト が E-Class SRA 10.7 に追加 さ れま し た。証明書 (UCC-- ユニ フ ァ イ ド コ ミ ュ ニ ケーシ ョ ン証明書 と も 呼ばれます ) は、 一連の ク ラ イ ア ン ト と 複数の異な る SSL ま たは TLS のサー ビ ス と の間の通信チ ャ ネルを安全に暗号化す る ために使用 さ れます。 SAN 証明書は、 一般的な導入環境で必要 と さ れる、 IP ア ド レ ス / ホ ス ト 名 / 証明書のセ ッ ト を 簡素化 し ます。 1 つの SAN 証明書、 1 つの IP ア ド レ ス で、 複数の異な る SSL ま たは TLS で 保護 さ れた Web や ク ラ イ ア ン ト / サーバーのサー ビ ス を使用で き 、 追加の IP ア ド レ ス を構成 す る必要はあ り ません。 ま た、 SAN を同 じ IP ア ド レ スの異な る ホ ス ト 名に も 使用で き る ため、 SSL 証明書の共通名を 1 対 1 で FQDN に マ ッ ピ ン グす る必要はあ り ません。 164 | Aventail E-Class SRA 10.7 管理者ガ イ ド SAN 証明書 と CSR ( 証明書署名要求 ) では、 IPv4 ア ド レ スのみをサポー ト し てい ます。 メモ 以下の点が改善 さ れま し た。 • SAN 関連の機能を、 ア プ ラ イ ア ン スの外部か ら ではな く 、 AMC で生成で き ます。 – SAN を使用す る CSR – SAN エ ン ト リ を使用す る自己署名証明書 WorkPlace サ イ ト 、 カ ス タ ム FQDN URL リ ソ ース、 お よ び ActiveSync リ ソ ース を、 既存 の SAN 証明書を使用 し て作成で き ます。 • グ ロ ーバル ロ ー ド バ ラ ン シ ン グは、 元の Web 要求を使用 し て、 デ フ ォ ル ト の WorkPlace サ イ ト ではな く 、 ロ ー ド バ ラ ンサに ト ラ フ ィ ッ ク を渡 し ます。 • Connect Tunnel は、 WorkPlace サ イ ト への接続を シーム レ ス に処理 し 、 WorkPlace サ イ ト は、 関連付け ら れてい る IP ア ド レ スの数に関係な く 、 IP ア ド レ ス、 FQDN、 ま たは SSL 証 明書の組み合わせを使用 し ます。 Administrator は、SAN 証明書を生成、イ ン ポー ト 、処理 し た り 、その SSL 証明書を Workplace、 ActiveSync、 カ ス タ ム FQDN URL マ ッ ピ ン グ、 ま たは Tunnel ベースのア ク セ ス サー ビ ス に使 用 し た り で き ます。 • エ ン ド ユーザー証明書の検証で 中間証明書をサポー ト し て い ますか。 はい。 エ ン ド ユーザーの検証で中間証明書をサポー ト し てい ま す。 こ れには、PKI お よ び LDAP 証明書の方法が含まれま す。 こ れに よ り 、 ルー ト 認証局の信頼がな く て も 、 中間認証局 を イ ン ポー ト し て証明書チ ェ ー ン を評価で き ます。 ク ラ イ ア ン ト マ シ ンは、 中間認証局が発行 し た ク ラ イ ア ン ト 証明書を使用で き ます。 ク ラ イ ア ン ト 証明書が Windows 7 に直接 イ ン ポー ト さ れる場合、 ク ラ イ ア ン ト 証明書は個人ス ト ア に保 存 さ れ、 中間証明書は中間 CA ス ト ア に イ ン ポー ト さ れ、 ルー ト CA 証明書はルー ト CA ス ト ア に イ ン ポー ト さ れます。 こ れが推奨 さ れる方法で あ り 、 証明書が、 ト ン ネル ク ラ イ ア ン ト と PKI 認証を使用す る ExtraWeb ク ラ イ ア ン ト で動作 し ま す。3 つの証明書すべてが個人ス ト ア に 保存 さ れる と 、certmgr.msc を使用 し て ク ラ イ ア ン ト 証明書が イ ン ポー ト さ れ、Connect Tunnel に エ ラ ー メ ッ セージが表示 さ れ、 ア ク セ スが拒否 さ れます。 そのため、 こ の構成は推奨 さ れま せん。 ア プ ラ イ ア ン スの CA 証明書にはどのよ う な も のがあ り 、 それぞれがどのよ う に使用 さ れます か。 ア プ ラ イ ア ン スの CA 証明書の リ ス ト を 表示す る には、 メ イ ン ナ ビ ゲー シ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し 、 [CA Certificates] エ リ アの [Edit ] を ク リ ッ ク し ます。 デ フ ォ ル ト では、 リ ス ト の任意の証明書を最大 3 種類の接続 タ イ プ ( 認証サーバー、 セキ ュ ア Web サー バー、 ク ラ イ ア ン ト 証明書 ) の保護に使用で き ま す。 証明書 を ク リ ッ ク し て、 保護す る 接続 タ イ プ を設定 し ます。 ア プ ラ イ ア ン スの保管で き る CA 証明書の数はい く つ ですか。 ルー ト フ ァ イ ルには、必要な数の証明書を入れる こ と がで き ます。追加の CA 証明書の イ ン ポー ト 方法につい ては、 158 ページの 「CA 証明書の イ ン ポー ト 」 を参照 し て く だ さ い。 他のツ ールで生成 し た プ ラ イ ベー ト キーや CSR を ア プ ラ イ ア ン スに イ ン ポー ト で き ますか。 プ ラ イ ベー ト キー と CSR は、 Setup Tool ま たは証明書生成ツ ールを使用 し て、 ア プ ラ イ ア ン ス で生成す る必要があ り ます。 た だ し 、 プ ラ イ ベー ト キーや CSR を、 156 ページの 「サーバー 証明書の管理」 の手順で、 E-Class SRA ア プ ラ イ ア ン ス間で コ ピ ーで き ます。 コ ピ ー し た証明 書は、 AMC で変更す る と 上書 き さ れます。 ネ ッ ト ワー ク と 認証の構成 | 165 AMC 証明書はど こ に保管 さ れますか。 AMC の自己署名証明書は、 ア プ ラ イ ア ン スの /usr/local/extranet/etc に保存 さ れます。 AMC の場合、 ほ と ん どの環境では自己署名証明書で十分です。 た だ し 、 信頼で き る ネ ッ ト ワー ク 内で AMC を使用す る こ と が重要です。 自己署名証明書は、 受動的な傍受の防止策にはな り ま すが、 能動的な攻撃か ら の防止策にはな り ません。 すべての CA 証明書を ア プ ラ イ ア ン スに置い てお く べ き ですか。 ま たは、 必要な も のだけ を置 い てお く べ き ですか。 利便性のために、 ア プ ラ イ ア ン ス には 100 以上の CA 証明書が入 っ て い ます。 導入環境の安全 性 を 向上 さ せ る ために、 こ の リ ス ト を 削除 し 、 ク ラ イ ア ン ト 証明書、 LDAPS、 HTTPS に必要 な CA 証明書だけ を入れる こ と も で き ま す。 リ ス ト が短いほど、 管理が容易に な り ま す。 ユーザー認証の管理 認証 と は、 ユーザーの ID を検証 し 、 当人で あ る こ と を確認す る プ ロ セ ス です ( 認証は許可 と は 異な り ま す。 認証では ID を 検証 し 、 許可はア ク セ ス権 を 指定 し ま す )。 こ のセ ク シ ョ ン では、 外部認証サーバー を参照す る方法を説明 し ます。 ユーザー認証 を 管理す る には、 AMC に 1 台以上の外部認証サーバー を 定義 し 、 それ ら の認証 サーバー を 参照す る レ ルム を セ ッ ト ア ッ プ す る 必要があ り ま す。 そ し て、 ユーザーは こ れ ら の レ ルムに ロ グ イ ン す る こ と に な り ます。 レ ルムの詳細については、 54 ページの 「 レ ルムお よ び コ ミ ュ ニ テ ィ の使用」 を参照 し て く だ さ い。 テ ス ト 用に、 204 ページの 「ロ ー カ ル ユーザー ス ト レ ー ジの構成」 に記載 さ れて い る 方法で、 ア プ ラ イ ア ン ス に ロ ー カ ル認証 レ ポ ジ ト リ を 構成 す る こ と も で き ます。 中間証明書について 認証サーバー を 構成す る こ と で、 チ ェ ー ン全体 を 検証す る こ と な く 、 中間 CA を 信頼で き る よ う に な り ま す。 こ の方法には、 複数の署名認証局で何人かがルー ト CA サーバーか ら リ モ ー ト で あ る 場合の証明書配布の管理な どの利点があ り ま す。 その よ う な状況で こ の方法 を 使用 し な い と 、 証明書を発行で き ません。 ま た、 いずれかの署名認証局で セキ ュ リ テ ィ が侵害 さ れて も 、 ネ ッ ト ワー ク 全体のセキ ュ リ テ ィ は侵害 さ れな いため、 セキ ュ リ テ ィ が強化 さ れ る と い う 利点 も あ り ます。 信頼で き る中間証明書を構成す る方法については、 196 ページの 「PKI 認証サーバーの構成」 を 参照 し て く だ さ い。 例えば、 会社のネ ッ ト ワー ク に接続 さ れて い な い シ ス テ ムにルー ト 証明書署名認証局 を 作成 し た と し ます。 次に、 ネ ッ ト ワー ク の複数のセ ク タ ー ( 多 く の場合は、 組織や部門ご と ) に展開す る、 信頼で き る中間署名認証局証明書のセ ッ ト を発行 し ま す。 VPN の場合は、 マ シ ンや個人の 証明書を ク ラ イ ア ン ト シ ス テムに配布す る方法が一般的です。 あ る いは、 VeriSign や Thawte な どの認証局の署名証明書 を 取得す る 方法 も あ り ま す。 こ の場 合、 実際には メ イ ンの CA が中間 CA です。 SSL ルールに よ り 、 チ ェ ー ン全体を評価す る ためには、 ルー ト CA 証明書に ア ク セ ス可能で あ る必要があ り ます。 と こ ろ が、 ア プ ラ イ ア ン ス では、 CA 証明書の イ ン ポー ト の目的が CA 証明 書を信頼す る ためで あ っ て も 、CA 証明書を イ ン ポー ト し て中間 CA に対 し て証明書チ ェ ー ン を 評価 し 、 ア プ ラ イ ア ン ス を信頼す る ためで あ っ て も 、 区別 さ れません。 CA 証明書の イ ン ポー ト 時にオ プ シ ョ ン を選択 し な い と 、 CA は証明書チ ェ ー ンの評価のためだけに使用 さ れま す ( オ プ シ ョ ン では、 証明書 を 使用 し て保護す る 接続 タ イ プ : 認証サーバー接続 (LDAPS)、 Web サー 166 | Aventail E-Class SRA 10.7 管理者ガ イ ド バー接続 (HTTPS)、 お よ びデバ イ ス プ ロ フ ァ イ リ ン グ (End Point Control) を選択 し ます )。 証 明書チ ェ ー ンの評価のみに使用す る CA 証明書はすべて、 ク ラ イ ア ン ト 証明書の認証や EPC 証 明書の強制で、 信頼で き る署名者 と はな り ません。 中間 CA が署名 し た ク ラ イ ア ン ト 証明書を エ ン ド ユーザーが提示す る と 、 ア プ ラ イ ア ン スは署 名認証局 を 信頼で き る も ので あ る と 仮定 さ れ、 ユーザーは通常通 り に認証 さ れ、 リ ソ ー スへの ア ク セ スが許可 さ れます。 信頼で き る中間 CA のルー ト CA が発行 し た ク ラ イ ア ン ト 証明書を エ ン ド ユーザーが提示す る と 、 管理者が信頼す る 目的でルー ト CA も イ ン ポー ト し て い な い限 り 、 有効で信頼で き る 証明 書がないため、 エ ン ド ユーザーの認証の試行が失敗 し ます。 チ ェ ー ン評価のみに存在す る、 CA が署名 し た証明書を ク ラ イ ア ン ト が提示す る と 、 その証明書 は拒否 さ れ、 結果 と し て、 認証が失敗す るか、 証明書の認証が失敗 し て証明書 EPC のデバ イ ス プ ロ フ ァ イ ルが一致 し な く な り ます。 認証サーバーの構成 認証のセ ッ ト ア ッ プ では、 デ ィ レ ク ト リ (LDAP、 Microsoft Active Directory、 ま たはア プ ラ イ ア ン スのロ ー カ ルの認証ス ト ア な ど )、 認証方式 ( ユーザー名 / パス ワー ド 、 ト ー ク ン ま たはス マー ト カ ー ド 、 ま たはデジ タ ル証明書な ど )、 お よ び認証プ ロ セ スの独自の構成項目 ( 例えば、 LDAP 検索ベース、カ ス タ ム プ ロ ン プ ト や メ ッ セージの追加な ど ) を構成 し ます。E-Class SRA ア プ ラ イ ア ン スは、 主要な認証デ ィ レ ク ト リ や認証方式をサポー ト し て い ます。 あ る レ ルムの認証サーバー を参照 し 、ユーザー を レ ルムに対応 さ せる と 、ア プ ラ イ ア ン スがユー ザーの ク レ デ ン シ ャ ル を 指定 さ れた認証 レ ポ ジ ト リ に保管 さ れて い る ク レ デ ン シ ャ ル と 比較 し て チ ェ ッ ク し ます。 ま た、 連鎖式 (2 要素 ) 認証 も セ ッ ト ア ッ プ で き ます。 詳細については、 207 ページの 「連鎖式認証の構成」 を参照 し て く だ さ い。 ネ ッ ト ワー ク と 認証の構成 | 167 認証サーバー を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Authentication Servers] を ク リ ッ ク し 、[New] を ク リ ッ ク し ます。 2. [User store] エ リ ア で、 構成す る デ ィ レ ク ト リ タ イ プ ま たは認証方式を指定 し ます。 認証デ ィ レ ク ト リ ク レデンシ ャル タ イ プ 詳細な記述 Microsoft Active Directory • ユーザー名 / パスワー ド と Microsoft Active Directory ツ リ ー 170 ページの 「Microsoft Active Directory サーバーの構成」 LDAP • ユーザー名 / パスワー ド • デジ タ ル証明書 186 ペ ー ジ の 「LDAP LDAPS 認証の構成」 RADIUS • ユーザー名 / パスワー ド • ト ー ク ンベースの認証(SecurID や SoftID な ど ) 191 ページの 「RADIUS 認証の 構成」 RSA Authentication Server Manager • ト ー ク ンベースの認証(SecurID や SoftID な ど ) と 195 ページの「RSA サーバー認 証の構成」 パブ リ ッ ク キー イ ン フ ラ ス ト ラ • デジ タ ル証明書 ( 証明書 クチャ 失効チ ェ ッ ク を オプ シ ョ ン (PKI) で搭載 ) 196 ペ ー ジ の 「PKI 認 証 サ ー バーの構成」 CA SiteMinder • ユーザー名 / パスワー ド 198 ページの 「SAML ベースの 認証サーバーの構成」 RSA ClearTrust ( シ ングル サイ ン オン ) • 該当な し 201 ページの 「シ ン グル サ イ ン オ ン認証サーバー を設定す る」 168 | Aventail E-Class SRA 10.7 管理者ガ イ ド 認証デ ィ レ ク ト リ ク レデンシ ャル タ イ プ ロー カル ユーザー • ユーザー名 / パスワー ド ( ロー カル ユーザー ス ト レージ ) 詳細な記述 204 ペ ー ジ の 「ロ ー カ ル ユ ー ザー ス ト レ ージの構成」 3. [Credential type] で認証サーバーの ク レ デ ン シ ャ ル タ イ プ を選択 し ま す ( 選択で き る タ イ プは、 選択 し た [User store] に よ っ て異な り ます )。 4. [Continue] を ク リ ッ ク し ます。 構成プ ロ セ スの次の手順につい ては、 前の [User store] で 選択 し た項目に対応す る リ ン ク の手順に従 っ て く だ さ い。 複数の認証サーバーの定義 E-Class SRA ア プ ラ イ ア ン スは、 複数の認証サーバーの定義 と 使用をサポー ト し て い ます。 レ ルム は、 1 つ ま たは 2 つの認証サーバー を参照 し 、 ユーザーに対 し て どのア ク セ ス エージ ェ ン ト がプ ロ ビ ジ ョ ン さ れて いて、 どの End Point Control 制約 ( あ る場合 ) が課 さ れて い るかを判 断 し ます。 レ ルムの詳細につい ては、 53 ページの 「概要 : ユーザー、 グループ、 コ ミ ュ ニ テ ィ 、 レ ルム」 参照 し て く だ さ い。 次に、 レ ルムが参照す る複数の認証サーバー を使用す る例を示 し ます。 • 連鎖式認証 (2 台の認証サーバー ) 例 : ト ー ク ン /SecurID を使用す る RADIUS と 、 ユーザー名 / パス ワー ド を使用す る LDAP レ ルムに ロ グ イ ン す る ユーザーが 2 台のサーバーで認証 さ れま す。 AMC を構成 し て、 ユー ザーに プ ロ ン プ ト が 1 回だけ提示 さ れる よ う にす る こ と がで き ま す。 詳細につい ては、 207 ページの 「連鎖式認証の構成」 を参照 し て く だ さ い。 • 認証 と 許可の処理に異な るサーバー を使用す る 例 : ト ー ク ン /SecurID を使用す る RADIUS と 、 Active Directory ( グループ情報 ) ユーザーが 1 つのレ ポジ ト リ で認証 さ れ、 ユーザーのグルー プ情報は 2 番目のレ ポ ジ ト リ か ら 渡 さ れます。詳細につい ては、211 ページの 「レ ルムでのグルー プ ア フ ィ ニ テ ィ チ ェ ッ ク の有効化」 を参照 し て く だ さ い。 • 複数の ク レ デ ン シ ャ ル タ イ プ と 1 つの認証サーバー 例 : ユーザー名 / パス ワー ド を使用す る RADIUS と 、ト ー ク ン /SecurID を使用す る RADIUS 社員はユーザー名 と パス ワー ド で ロ グ イ ン し 、 コ ールセ ン タ ーの従業員は SecurID ト ー ク ン で ロ グ イ ン す る場合な どが考え ら れます。 こ の場合、 employee レ ルム と callcenter レ ル ム を作成 し 、 それぞれが適切な ク レ デ ン シ ャ ル タ イ プ と RADIUS サーバー を参照す る よ う に し ます。 • 同 じ デ ィ レ ク ト リ /認証方式の複数の イ ン ス タ ン スが異な るバ ッ ク エ ン ド サーバー を使用す る 例 : 異な る RADIUS サーバー を使用す る 2 つの RADIUS/ パス ワー ド イ ン ス タ ン ス こ の場合、 それぞれの適切なサーバー情報で 2 つの認証サーバー を定義 し ま す。 • 同 じ デ ィ レ ク ト リ / 認証方式の複数の イ ン ス タ ン スが同 じ サーバーに存在 し 、 異な る方法で 構成 さ れてい る 例 : ユーザー名 / パス ワー ド を使用す る LDAP の 2 つの イ ン ス タ ン スが同 じ サーバーに存在 し 、 異な る検索ベース を使用す る こ の場合、 レ ルムご と にデ ィ レ ク ト リ 内の異な るサブ ツ リ ー を検索 し ます。 例えば、 Partner A が特定の LDAP サ ブ ツ リ ー に あ り 、 Partner B が別のサ ブ ツ リ ー に あ る と 仮定 し ま す。 partnerA レ ルム と partnerB レ ルム を定義 し 、 それぞれに適切な検索ベース を構成 し ます。 認証チ ェ ッ クの無効化 ネ ッ ト ワー ク と 認証の構成 | 169 認証サーバーの構成時に、 認証に使用す る グルー プ情報の ク エ リ ー を オ プ シ ョ ン で無効に で き ま す。 Active Directory、 Active Directory Tree、 お よ び LDAP サーバーな どの、 認証に使用す る グルー プ 情報 を 含め る こ と が で き る サーバー ご と に、 [Use this authentication server to check group membership] チ ェ ッ ク ボ ッ ク ス を使用で き ます。 通常、 デ ィ レ ク ト リ サーバー を認証の一部 と し て使用す る場合は、 グルー プ情報 も こ こ に置い て、 ポ リ シー許可で使用す る よ う に し たい と 考え る も のです。 と こ ろ が、 場合に よ っ ては、 デ ィ レ ク ト リ サーバーはセ カ ン ダ リ 認証に使用 さ れて いて、 グルー プ情報が含まれて いな い こ と が あ り ます。 あ る いは、 セ カ ン ダ リ 認証サーバーがユーザー と 同 じ ID を使用 し て いな い こ と も あ り ます。 グルー プの ク エ リ ー を プ ラ イ マ リ と セ カ ン ダ リ の両方のサーバー で実行す る と 、 認証プ ロ セ ス に時間がかか り ま す。 けれ ど も 、 ユーザー名が 2 つのサーバー で異な る と 、 プ ラ イ マ リ サー バーの名前を使用す る グルー プの ク エ リ ーが、 セ カ ン ダ リ サーバーではエ ラ ーに な り ます。 ア プ ラ イ ア ン スのポ リ シーではデ フ ォ ル ト が常に closed で あ る ため、 こ のよ う な エ ラ ーに よ っ て エ ン ド ユーザーに対 し て拒否のルールが提供 さ れる こ と に な り ます。 グルー プ許可チ ェ ッ ク を セ カ ン ダ リ サーバーで無効にす る こ と で、 こ れ ら の問題を回避で き ます。 グルー プ チ ェ ッ ク が認証サーバーで無効に な っ て い る と 、 そのサーバーはレ ルム構成ページの 利用可能な ア フ ィ ニ テ ィ サーバーの リ ス ト か ら 選択で き ません。 こ れに対 し 、 認証サーバーが いずれかの レ ルム で ア フ ィ ニ テ ィ サーバー と し て使用 さ れて い る と 、 その認証サーバー で グ ルー プ チ ェ ッ ク を無効に で き ません。 詳細につい ては、 211 ページの 「レルムでのグループ ア フ ィ ニ テ ィ チ ェ ッ ク の有効化」 を参照 し て く だ さ い。 Microsoft Active Directory サーバーの構成 ア プ ラ イ ア ン スは、 シ ン グル ルー ト ド メ イ ン ま たは複数の下位 ( 子 ) の ド メ イ ンのいずれかで 構成 さ れてい る Microsoft Active Directory (AD) でユーザー名 / パスワー ド ク レ デ ン シ ャ ルを検 証で き ます。 次の図は、 一般的な Active Directory 構成オ プ シ ョ ンの例です。 ア プ ラ イ ア ン スが AD サーバー と 通信で き る よ う にす る ために、 フ ァ イ ア ウ ォ ールま たはルー タ ー を変更す る必要があ り ます。 ア プ ラ イ ア ン スは、 標準の LDAP ポー ト と LDAPS ポー ト を 使用 し て、 Active Directory と 通信 し ます。 • • LDAP (389/tcp) LDAP over SSL (636/tcp) Microsoft Active Directory ツ リ ーには、 検索 と ロ グオ ン に利用 さ れる追加ポー ト があ り ます。 170 | Aventail E-Class SRA 10.7 管理者ガ イ ド • • • グ ロ ーバル カ タ ロ グ (3268/tcp) SSL を使用す る グ ロ ーバル カ タ ロ グ (3269/tcp) Kerberos (88/tcp) AD サーバーの構成後に、 テ ス ト 接続を確立す る こ と で、 レルム構成の設定を検証で き ます。 詳細 については、 207 ページの 「LDAP お よ び AD 認証構成のテ ス ト 」 を参照 し て く だ さ い。 ユーザー名と パスワー ド を使用する Active Directory の構成 ユーザー名 / パスワー ド 検証を使用す る Active Directory 認証サーバー を構成す る場合、 次の手 順を実行 し ます。 メモ • • Active Directory でデジ タ ル証明書を使用 し て い る場合、 AD を LDAP レ ルム と し て構成 す る必要があ り ます。 184 ページの 「Active Directory 認証を行 う ための LDAP の構成」 を参照 し て く だ さ い。 AD 認証サーバーに下位 ( 子 ) の ド メ イ ンがあ る場合、 詳細につい ては、 177 ページの 「複 数の Active Directory ツ リ ーの構成」 を参照 し て く だ さ い。 Active Directory を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Authentication Servers] を ク リ ッ ク し 、[New] を ク リ ッ ク し ます。 2. [User store] の [Microsoft Active Directory] を ク リ ッ ク し ます。 ネ ッ ト ワー ク と 認証の構成 | 171 3. AD で選択で き る唯一の ク レ デ ン シ ャ ル タ イ プは [Username/Password] です。[Continue] を ク リ ッ ク し ます。 [Configure Authentication Server] ページが表示 さ れます。 4. [Name] ボ ッ ク ス に認証サーバーの名前を入力 し ます。 5. [Primary domain controller] ボ ッ ク スに AD ド メ イ ン コ ン ト ロ ー ラ の IP ア ド レ ス ま たは ホ ス ト 名 を 入力 し ま す。 フ ェ イ ルオーバー サーバー を 使用 し て い る 場合 ( オ プ シ ョ ン )、 [Secondary domain controller] ボ ッ ク ス で そのア ド レ ス を指定 し ます。 AD サーバーが一般的なポー ト ( 非暗号化接続の場合は 389、 SSL 接続の場合は 636) 以外 で リ ッ ス ン す る 場合、 コ ロ ン の後 に 接尾辞 と し て ポ ー ト 番号 を 指定 で き ま す ( 例 え ば、 ad.example.com:1300)。 6. 特定の AD ド メ イ ン を指定す る場合は、 [Active Directory domain name] ボ ッ ク ス に入力 し ます。 こ こ では、 検索ベース と し て使用す る ド メ イ ン ( つ ま り 、 適切な cn=users コ ン テ ナが含まれる ド メ イ ン ) を指定す る必要があ り ます。 例えば、 marketing な どの単一の ド メ イ ン を 検索 し た い場合は、 「marketing.example.com」 と 入力 し ま す。 会社の ド メ イ ン 全体を検索 し たい場合は、 「example.com」 と 入力 し ます。 ド メ イ ン を指定 し ない と 、 ア プ ラ イ ア ン スは、 ド メ イ ン コ ン ト ロ ー ラ で最初に見つか っ たデ フ ォ ル ト ネー ミ ン グ コ ン テキ ス ト を検索 し ます。 7. AD 検索 を実行す る には、 ア プ ラ イ ア ン スが Active Directory に ロ グ イ ン す る必要があ り ま す ( ア ノ ニ マ ス検索を許可す る よ う AD を構成 し て い る場合を除 く )。[Login name] ボ ッ ク ス に、 Windows ド メ イ ンへのロ グ イ ン に使用す る ユーザー名ま たは sAMAccountname 属 性を入力 し ます ( 例えば、 「jdoe」 や 「jdoe@example.com」 )。 172 | Aventail E-Class SRA 10.7 管理者ガ イ ド ロ グ イ ン名は、 その ド メ イ ン コ ン ト ロ ー ラ の管理者な どの、 検索の実行 と ユーザー レ コ ー ド の参照の権限があ る ユーザーの も ので あ る必要があ り ます。 こ れ ら の権限があれば、 管理 者ではな いユーザー を指定す る こ と も で き ます。 AD ド メ イ ン を指定す る と 、 ア プ ラ イ ア ン スはその ド メ イ ン でユーザー を検索 し ます。 ド メ イ ン を指定 し な い と 、ア プ ラ イ ア ン スは、 ド メ イ ン コ ン ト ロ ー ラ で最初に見つか っ たデ フ ォ ル ト ネー ミ ン グ コ ン テ キス ト を検索 し ます。 ユーザー情報が こ れ ら のロ ケーシ ョ ンのいず れに も 保存 さ れて い な い場合は、 こ の レ ルム を LDAP レ ルム と し て構成す る 必要があ り ま す。 184 ページの 「Active Directory 認証を行 う ための LDAP の構成」 を参照 し て く だ さ い。 8. ロ グ イ ン名に対応す るパス ワー ド を [Password] に入力 し ます。ク レ デ ン シ ャ ルを入力 し た 後に、 指定 し た それぞれのサーバーで [Test] ボ タ ン を ク リ ッ ク し て、 接続を テ ス ト し ます。 9. [Group lookup] の下に表示 さ れる情報を入力 し ます。 – こ のサーバーのグルー プ チ ェ ッ ク を有効にす る には、[Use this authentication server to check group membership] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ のボ ッ ク ス を選択 解除す る と 、 グルー プ チ ェ ッ ク の動作だけに適用 さ れる ため、 ネ ス ト さ れた コ ン ト ロ ー ルは無効に な り ま す。 こ のチ ェ ッ ク ボ ッ ク ス を 選択解除す る と 、 LDAP、 AD、 ま たは AD のツ リ ーの認証サーバー を、 許可チ ェ ッ ク を有効にせずに構成で き ます。 こ れに よ り 、 ス タ ッ ク ド / ア フ ィ ニ テ ィ 認証のサポー ト が向上 し 、 効率が向上 し ます。 – 検索の深度 ( 検索対象にい く つのサブ グループ を入れるか ) を指定す る には、 [Nested group lookup] チ ェ ッ ク ボ ッ ク ス に数値 を入力 し ま す。 こ の タ イ プの検索では Active Directory ツ リ ー全体の検索が必要に な る ため、時間がかかる可能性があ り ます。[Cache group checking] を オ ン にす る こ と を強 く 推奨 し ま す。 – デ ィ レ ク ト リ の負荷を軽減 し 、 パ フ ォ ーマ ン ス を向上 さ せる には、 属性グルー プや静的 グルー プの検索結果を キ ャ ッ シ ュ し ます。 [Cache group checking] チ ェ ッ ク ボ ッ ク ス を選択 し て、[Cache lifetime] ボ ッ ク ス にキ ャ ッ シ ュ の持続時間を秒単位で入力 し ます。 デ フ ォ ル ト 値は 1800 秒 (30 分 ) です。 10. AD 接続を SSL で保護す る には、 [Active Directory over SSL] エ リ ア を展開 し 、 次の設定 を構成 し ます。 a. [Use SSL to secure Active Directory connection] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 b. 証明書の詳細を表示 し 、 ア プ ラ イ ア ン スがルー ト 証明書を使用で き る こ と を確認す る に は、 [SSL Settings] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 ク ラ イ ア ン ト 証明書 と SSL 証明書を発行 し た CA の名前 (1 つ ま たは複数 ) が リ ス ト さ れます。AD サーバーの CA が こ の フ ァ イ ルに リ ス ト さ れて い ない場合や自己署名証明書を使用す る場合は、 証 明書 を こ の フ ァ イ ルに追加す る 必要があ り ま す。 詳細につい ては、 158 ペー ジの 「CA 証明書の イ ン ポー ト 」 を参照 し て く だ さ い。 c. AD ド メ イ ン コ ン ト ロ ー ラ のホ ス ト 名が Active Directory サーバーで提示 さ れた証明書 の 名 前 と 同 じ で あ る こ と を 確 認 す る に は、 [Match certificate CN against Active Directory domain controller] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 通常、 サーバー名はデ ジ タ ル証明書で指定 さ れて い る名前 と 一致 し ます。 こ れが当てはま る場合は、 実稼働環 境で こ のオ プ シ ョ ン を有効にす る こ と を推奨 し ます。 こ う し て お く と 、 デジ タ ル証明書 ま たは DNS サーバーが危険に さ ら さ れた場合で も 、 許可 さ れて い な いサーバーが AD サーバー を マ ス カ レ ー ド す る こ と は困難に な り ます。 ネ ッ ト ワー ク と 認証の構成 | 173 11. [Advanced] エ リ ア では、 ユーザー名属性の指定や カ ス タ ム プ ロ ン プ ト の設定が可能で、 Active Directory パ ス ワ ー ド の有効期限が切れ る 前 に ユ ーザー に 通知す る よ う に し た り 、 NTLM 認証転送オ プ シ ョ ン を 構成 し た り 、 ワ ン タ イ ム パス ワー ド を セ ッ ト ア ッ プ し た り で き ます。 174 | Aventail E-Class SRA 10.7 管理者ガ イ ド ネ ッ ト ワー ク と 認証の構成 | 175 12. ユーザー名 と の一致に使用す る [Username attribute] を入力 し ま す。 ほ と んどの AD イ ン プ リ メ ン テ ーシ ョ ン では、 sAMAccountName がユーザー ID ( 例えば 「jdoe」 ) と 一致 し ま す。 cn を 代わ り に使用で き ま すが、 その場合は、 ユーザー ID ( 「jdoe」 ) ではな く 、 フ ル ネーム ( 「John Doe」 ) で認証 し なければな ら な く な り ます。 13. 認証サーバーへのロ グ イ ン時に Windows ユーザーに表示 さ れる プ ロ ン プ ト やその他のテキ ス ト を変更す る には、 [Customize authentication server prompts] チ ェ ッ ク ボ ッ ク ス を 選択 し ま す。 例えば、 ユーザーが従業員 ID を 使用 し て ロ グ イ ン す る 場合、 [Identity] プ ロ ン プ ト を [Username:] か ら [Employee ID:] に変更で き ます。 ( 連鎖式認証を使用す る場合 は、 ユーザーが区別 し やすいため、 カ ス タ マ イ ズ し たパス ワー ド プ ロ ン プ ト が特に便利で す。 ) 14. ア プ ラ イ ア ン ス と 認証サーバーの間の接続が SSL で保護 さ れて い る ([Use SSL to secure Active Directory connection] が有効であ る ) 場合は、 ユーザーが [Enable user-initiated password change] を選択す る こ と で、 WorkPlace で自分のパス ワー ド を変更で き る よ う にす る こ と がで き ます。 15. Active Directory サーバーがユーザーにパス ワー ド の有効期限が切れる こ と を通知で き る よ う にす る には、 [Notify user before password expires] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 事前通知を開始す る時期を指定 し ます ( デ フ ォ ル ト は 14 日、 最長は 30 日です )。 こ れに よ り 、 ユーザーに表示 さ れるパス ワー ド プ ロ ン プ ト が AD サーバーに よ っ て制御 さ れる よ う に な り ます。 ユ ー ザ ー が 自 分 の パ ス ワ ー ド を 管 理 で き る よ う に す る に は、 [Allow user to change password when notified] チ ェ ッ ク ボ ッ ク ス を 選択 し ま す。 こ の設定 を 変更で き る のは、 [Active Directory over SSL] エ リ アの [Use SSL to secure Active Directory connection] チ ェ ッ ク ボ ッ ク スが選択 さ れてい る場合だけ です。 パス ワー ド 管理は、 Web ア ク セ ス を使 用す る ユーザー と Connect Tunnel を使用す る ユーザーだけが使用で き ます。 16. NTLM 認証転送を有効にす る には、 [NTLM authentication forwarding] オ プ シ ョ ンのいず れかを ク リ ッ ク し ます。 詳細につい ては、 202 ページの 「NTLM 認証転送」 を参照 し て く だ さ い。 17. OTP を含む認証 を構成す る には、 [Use one-time passwords with this authentication server] を有効に し ま す。 メ ール サーバー も 構成す る必要があ り 、 OTP が外部 ド メ イ ン に 配信 さ れる場合 ( 例えば、 SMS ア ド レ スや外部 Web メ ール ア ド レ ス )、 SMTP サーバー を 構成 し て ア プ ラ イ ア ン スか ら 外部 ド メ イ ン にパス ワー ド を 送信で き る よ う にす る 必要があ り ます。 – OTP の文字数を [Password contains] フ ィ ール ド に入力 し ます。 デ フ ォ ル ト の長 さ は 8、 最小は 4、 最大は 20 です。 – OTP の文字の タ イ プ を ド ロ ッ プ ダウ ン リ ス ト か ら 選択 し ます。 [Alphabetic]、 [Alphabetic and numeric]、 ま たは [Numeric] を選択 し ま す。 – [From address] フ ィ ール ド に、 OTP の送信元の電子 メ ール ア ド レ ス を入力 し ま す。 – [Primary email address attribute] ボ ッ ク ス に、 ワ ン タ イ ム パス ワー ド を送信す る電 子 メ ール ア ド レ スのデ ィ レ ク ト リ 属性を入力 し ます。プ ラ イ マ リ 属性が認証サーバーに 存在す る場合は、 その属性が使用 さ れます。 – [Secondary email address attribute] を指定す る と 、 プ ラ イ マ リ 電子 メ ール ア ド レ ス に加え て使用 さ れます。 OTP が両方のア ド レ ス に送信 さ れます。 OTP が ( 電子 メ ール メ ッ セージ ではな く ) テ キス ト メ ッ セージ と し て送信 さ れる よ う にす る には、 対応す る属性名を入力 し ます ( 例えば、 [Mail] ま たは [primaryEmail] の代わ り に [SMSphone])。 詳細については、 213 ページの 「AD ま たは LDAP デ ィ レ ク ト リ サーバーの構成」 を参照 し て く だ さ い。 – [Subject] フ ィ ール ド で、 OTP 電子 メ ールの件名を カ ス タ マ イ ズ し ます。 置換変数 {password} を使用す る と 、 件名で実際のパス ワー ド を表示す る場所を指定で き ます。 176 | Aventail E-Class SRA 10.7 管理者ガ イ ド – [Body] フ ィ ール ド で、 OTP メ ッ セージの本文を カ ス タ マ イ ズ し ます。 置換変数 {username} を使用す る と 、 メ ッ セージ でユーザーのア カ ウ ン ト 名を表示す る場所を指 定で き ます。 置換変数 {password} を使用す る と 、 メ ッ セージ で実際のパス ワー ド を表 示す る場所を指定で き ます。 – ユーザーへの OTP の配信を テ ス ト す る には、OTP を受け取る ユーザーの電子 メ ール ア ド レ ス を [Email address] フ ィ ール ド に入力 し 、[Send test message] ボ タ ン を ク リ ッ ク し ます。 ア プ ラ イ ア ン スが メ ッ セージ を送信で き る場合は、 ボ タ ンの下に [Message successfully sent] と い う ス テ ー タ スが表示 さ れます。 SMTP サーバーへの接続エ ラ ー、 AD/LDAP サーバー と の通信エ ラ ー、 指定 し たユーザーの AD/LDAP サーバーでの検索 エ ラ ーな どの メ ッ セージ も 、 こ のボ タ ンの下に表示 さ れます。 18. [Save] を ク リ ッ ク し ます。 メモ • • • 注意 [Login name] と [Password] は、 Active Directory サーバーへの接続の必須の フ ィ ール ド ではあ り ませんが、 入力 し な い と ( ま たは、 パス ワー ド を指定 し な い と )、 ア プ ラ イ ア ン スは匿名でバ イ ン ド し ます。 こ の場合、 Active Directory がア ノ ニ マ ス検索を許可 す る よ う に構成 さ れて いな い と 、 検索が失敗 し ます。 パス ワー ド 通知期間内は、 AD サーバーでユーザーが自分のパス ワー ド を変更で き る権限を 与え て お く 必要があ り 、 有効期限が切れた後は、 管理者にユーザー パス ワー ド を 変更す る 権限が必要に な り ます。 こ れ ら の両方の操作では、 セキ ュ リ テ ィ 上の理由か ら 、 パス ワー ド が リ セ ッ ト さ れるのではな く 、 置換 さ れる よ う に な っ て い ます。 複数の Active Directory with SSL サーバー を定義す る場合は、 それぞれのサーバーで同 じ [Match certificate CN against Active Directory domain controller] 設定を指定 し ます ( 実稼働環境では、 こ のオ プ シ ョ ン を 有効にす る こ と を 推奨 し ます )。 AMC では、 こ の設定 を レ ルム単位で構成で き ますが、 ア プ ラ イ ア ン スは実際には、 最後に ロ ー ド さ れた ADS レ ルムで指定 さ れた設定 を 使用 し ま す。 例えば、 3 つの レ ルムで こ のチ ェ ッ ク ボ ッ ク ス を 選 択 し 、4 つ目のレ ルムで選択解除す る と 、4 つのレ ルムすべて で こ の機能が無効に な り ます。 [Active Directory over SSL] が有効ではな い場合、パス ワー ド が暗号化 さ れない状態で AD サーバーに転送 さ れます。 内部ネ ッ ト ワー ク が信用 さ れて いな い場合は、 SSL を有効に し て く だ さ い。 AD サーバーで も SSL の使用を有効にす る必要があ り ます。 詳細につい ては、 Microsoft AD のマ ニ ュ アルを参照 し て く だ さ い。 複数の Active Directory ツ リ ーの構成 こ の機能 を 利用す る と 、 信頼で き る フ ォ レ ス ト と AD の フ ェ デ レ ーシ ョ ン 型 フ ォ レ ス ト 内での ユーザーの認証 と 許可が 1 つの Active Directory (AD) ツ リ ーか ら 複数の AD ツ リ ーへ と 拡大 し ます。 AD の複数の フ ォ レ ス ト / 複数の レルムのサポー ト を構成す る には、 次の手順を実行 し ま す。 1. AD フ ォ レ ス ト 認証サーバー を構成 し 、 現在の AD フ ォ レ ス ト と 信頼で き る フ ォ レ ス ト を有 効に し ます。 2. 複数のツ リ ー を使用 し て グルー プ を構成 し ます。 3. 信頼で き る フ ォ レ ス ト のツ リ ー を使用 し て グルー プ を構成 し ます。 AD の複数 フ ォ レ ス ト / 複数 レルムのサポー ト を構成す る と 、 指定 さ れた フ ォ レ ス ト のユーザー の WorkPlace と Connect Tunnel での認証 と ロ グ イ ンが可能に な り ます。 メモ 信頼で き る ド メ イ ン と は、 ロ グ イ ン時にユーザー を認証す る ド メ イ ンの こ と です。 ネ ッ ト ワー ク と 認証の構成 | 177 AD フ ォ レ ス ト 認証サーバー を構成す る AD フ ォ レ ス ト 認証サーバー を構成 し 、現在の AD フ ォ レ ス ト と 信頼で き る フ ォ レ ス ト の AD ド メ イ ン を有効に し ます。 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Authentication Servers] を選択 し 、認証サーバーのセ ク シ ョ ンの [New...] を ク リ ッ ク し ます。 2. [New Authentication Server] ページの [User Store] セ ク シ ョ ン で、 [Microsoft Active Directory (Advanced)] を選択 し ます。 3. 『Aventail 管理者ガ イ ド 』 の説明に従 っ て、 ア プ ラ イ ア ン スのその他の該当す る オ プ シ ョ ン を選択 し 、 [Continue...] を ク リ ッ ク し て [Configure Authentication Server] ページ に進みま す。 4. [Name] フ ィ ール ド に、Active Directory のツ リ ーま たは フ ォ レ ス ト の識別に使用す る名前を 入力 し ます。 178 | Aventail E-Class SRA 10.7 管理者ガ イ ド 5. [Root Domain] フ ィ ール ド に、 フ ォ レ ス ト の AD ルー ト ド メ イ ン を入力 し ます。 6. [Enable cross-forest trust] チ ェ ッ ク ボ ッ ク ス を選択 し て、 ア プ ラ イ ア ン スが他の信頼で き る フ ォ レ ス ト に ア ク セ ス で き る よ う に し ます。 有効に な っ て いな い場合、 ア プ ラ イ ア ン ス は、 構成 し た フ ォ レ ス ト と 直接信頼関係があ る フ ォ レ ス ト だけに ア ク セ ス で き ます。 7. [Login name] と [Password] フ ィ ール ド に、 フ ォ レ ス ト 全体に読み取 り ア ク セ ス で き る ユーザーのユーザー名 と パス ワー ド を入力 し ます。 8. [Active Directory DNS] セ ク シ ョ ン で、 DNS と Key Distribution Center (KDC) を正 し く 構 成 し ます。 – [Use DNS to lookup Active Directory domains] を選択 し て、 KDC/Kerberos レ ルム の DNS 検索を有効に し てか ら 、 WorkPlace に表示 さ れる よ う にす る ド メ イ ン を選択 し ます。[Enable cross-forest trust] が無効に な っ てい る と ( チ ェ ッ ク ボ ッ ク スが選択解 除 さ れて い る と )、 構成 し た フ ォ レ ス ト か ら 取得 さ れた ド メ イ ン だけが表示 さ れま す。 – [Use these Active Directory domains and KDCs] を選択 し て KDC も 使用す る よ う に し 、 [New] を ク リ ッ ク し て KDC を構成 し ま す。 複数のツ リ ー を使用 し てグルー プ を構成す る フ ォ レ ス ト の AD ド メ イ ン か ら イ ン ポー ト し た ユーザーのグルー プ と グルー プ を 作成 し ま す。 [Enable cross-forest trust] が選択解除 さ れた場合、 構成 し た フ ォ レ ス ト のユーザー と グルー プ だけが含まれます。 信頼で き る フ ォ レ ス ト のツ リ ー を使用 し てグループ を構成す る 構成 し た フ ォ レ ス ト と 信頼で き る フ ォ レ ス ト の AD ド メ イ ンか ら イ ン ポー ト し たユーザーのグ ルー プ と グルー プ を 作成 し ま す。 [Enable cross-forest trust] が選択 さ れた場合、 構成 し た フ ォ レ ス ト と すべての信頼で き る フ ォ レ ス ト のユーザー と グルー プが含まれます。 ユーザー ロ グ イ ン AD の複数 フ ォ レ ス ト / 複数 レルムのサポー ト を構成す る と 、 指定 さ れた フ ォ レ ス ト のユーザー の WorkPlace と Connect Tunnel での認証 と ロ グ イ ンが可能に な り ます。 ユーザーは、 次のいずれかを使用 し て、 WorkPlace ま たは Connect Tunnel に ロ グ イ ン し ます。 • • • UPN 形式のユーザー名 ( 例えば、 <username>@KERBEROS_REALM) と パスワー ド ユーザー名、 パス ワー ド 、 お よ び ド メ イ ン - [Domain Selection] オ プ シ ョ ンが構成 さ れて い る場合 ユーザー名 と パス ワー ド - デ フ ォ ル ト ド メ イ ンが構成 さ れてい る場合 下位 ド メ イ ンがある Active Directory の構成 以下の手順で、 1 つのルー ト ド メ イ ン と 1 つ以上の子 ド メ イ ンが AD ツ リ ーにあ る Microsoft Active Directory の認証設定を構成 し ま す。 どの導入環境で も 、 下位 ド メ イ ンがあ る 1 つの AD 認証サーバーのみを指定で き ます。 ま た、 ド メ イ ン ネーム サーバー を構成 し な い と 、 ア プ ラ イ ア ン ス が AD ツ リ ー 認証サ ー バ ー を サ ポ ー ト で き ま せ ん。 詳細 に つ い て は、 145 ペ ー ジ の 「Domain Name Service の構成」 を参照 し て く だ さ い。 Active Directory でデジ タ ル証明書を使用 し て い る場合、 AD を LDAP レ ルム と し て構成す る必 要があ り ます。 184 ページの 「Active Directory 認証 を行 う ための LDAP の構成」 を参照 し て く だ さ い。 AD 認証サーバーに下位 ( 子 ) ド メ イ ンがない場合は、 171 ページの 「ユーザー名 と パス ワー ド を使用す る Active Directory の構成」 に記載 さ れてい る、 AMC での構成に関す る情報を参照 し て く だ さ い。 ネ ッ ト ワー ク と 認証の構成 | 179 Active Directory ツ リ ー を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Authentication Servers] を ク リ ッ ク し 、[New] を ク リ ッ ク し ます。 2. [User store] の [Microsoft Active Directory Tree] を ク リ ッ ク し ま す。 3. AD ツ リ ーで選択で き る唯一の ク レ デ ン シ ャ ル タ イ プは [Username/Password] です。 [Continue] を ク リ ッ ク し ます。[Configure Authentication Server] ページが表示 さ れます。 4. [Name] ボ ッ ク ス に認証サーバーの名前を入力 し ます。 5. [Root domain] ボ ッ ク スに、 AD ルー ト ド メ イ ンの完全修飾名 ( 例えば、 「company.com」 ) を入力 し ま す。 6. [Login name] ボ ッ ク ス に、 完全修飾 Windows ド メ イ ン ユーザー名 ( 例えば、 「vpn_admin@company.com」 ) を 入力 し ま す。 その ド メ イ ン コ ン ト ロ ー ラ の管理者な ど の、 ド メ イ ン ツ リ ー全体に読み取 り ア ク セ ス で き る ユーザーの ロ グ イ ン を 指定 し ま す。 こ れ ら の権限があれば、 管理者ではな いユーザー を指定す る こ と も で き ます。 7. ロ グ イ ン名に対応す るパス ワー ド を [Password] に入力 し ます。ク レ デ ン シ ャ ルを入力 し た 後に、ルー ト ド メ イ ン コ ン ト ロ ー ラ の [Test] ボ タ ン を ク リ ッ ク し て、接続を テ ス ト し ます。 8. ユーザー認証オ プ シ ョ ンの組み合わせを指定 し ます。 180 | Aventail E-Class SRA 10.7 管理者ガ イ ド – [Users can enter a domain name] こ のオ プ シ ョ ン だけ を指定 し た場合、 ユーザーは認証時に ド メ イ ン名を入力す る必要が あ り ます ( 例えば、 「username@domain」 )。 – [Specify a default domain] ユーザーが ド メ イ ン を入力ま たは指定す る こ と な く ロ グ イ ン で き る よ う にす る には、 こ のオ プ シ ョ ン を 選択 し ま す。 VPN は、 こ こ で指定 し た ド メ イ ン で あ る と い う 前提 で、 ユーザー を認証 し よ う と し ます。 – [Users can choose from a list of domains] こ の ル ー ト ド メ イ ン に 属 し て い る す べ て の ド メ イ ン を 表 示 す る に は、 [Load all domains] を ク リ ッ ク し ます。 すべて ま たは一部の ド メ イ ン を選択 し てユーザーが選択 で き る よ う に し 、 リ ス ト 内での順序を並べ替え る こ と がで き ます。 9. [Group lookup] の下に表示 さ れる情報を入力 し ます。 – こ のサーバーのグルー プ チ ェ ッ ク を有効にす る には、[Use this authentication server to check group membership] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ のボ ッ ク ス を選択 解除す る と 、 グルー プ チ ェ ッ ク の動作だけに適用 さ れる ため、 ネ ス ト さ れた コ ン ト ロ ー ルは無効に な り ま す。 こ のチ ェ ッ ク ボ ッ ク ス を 選択解除す る と 、 LDAP、 AD、 ま たは AD のツ リ ーの認証サーバー を、 許可チ ェ ッ ク を有効にせずに構成で き ます。 こ れに よ り 、 ス タ ッ ク ド / ア フ ィ ニ テ ィ 認証のサポー ト が向上 し 、 効率が向上 し ます。 – デ ィ レ ク ト リ の負荷を軽減 し 、 パ フ ォ ーマ ン ス を向上 さ せる には、 属性グルー プや静的 グルー プの検索結果を キ ャ ッ シ ュ し ます。 [Cache group checking] チ ェ ッ ク ボ ッ ク ス を選択 し て、[Cache lifetime] ボ ッ ク ス にキ ャ ッ シ ュ の持続時間を秒単位で入力 し ます。 デ フ ォ ル ト 値は 1800 秒 (30 分 ) です。 10. AD 接続を SSL で保護す る には、 [Active Directory over SSL] エ リ ア を展開 し 、 次の設定 を構成 し ます。 a. [Use SSL to secure Active Directory connection] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 11. AD ツ リ ー内の各 ド メ イ ン に証明書が必要です。 証明書の詳細を表示 し 、 ア プ ラ イ ア ン スが ルー ト 証明書を使用で き る こ と を確認す る には、 [SSL Settings] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、ク ラ イ ア ン ト 証明書 と SSL 証明書を発行 し た CA の名前 (1 つ ま たは複数 ) が リ ス ト さ れます。 AD サーバーの CA が こ の フ ァ イ ルに リ ス ト さ れて いな い場合や自己 署名証明書を使用す る場合は、 証明書を こ の フ ァ イ ルに追加す る必要があ り ます。 詳細につ い ては、 158 ページの 「CA 証明書の イ ン ポー ト 」 を参照 し て く だ さ い。 12. AD ド メ イ ン コ ン ト ロ ー ラ のホ ス ト 名が Active Directory サーバーで提示 さ れた証明書の名 前 と 同 じ で あ る こ と を 確 認 す る に は、 [Match certificate CN against Active Directory domain controller] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 通常、 サーバー名はデジ タ ル証明書 で指定 さ れて い る名前 と 一致 し ます。 こ れが当てはま る場合は、 実稼働環境で こ のオ プ シ ョ ン を有効にす る こ と を推奨 し ます。 こ う し てお く と 、 デジ タ ル証明書ま たは DNS サーバー が危険に さ ら さ れた場合で も 、許可 さ れてい ないサーバーが AD サーバー を マ ス カ レ ー ド す る こ と は困難に な り ます。 ネ ッ ト ワー ク と 認証の構成 | 181 13. [Advanced] エ リ ア では、 ユーザー名属性の指定や カ ス タ ム プ ロ ン プ ト の設定が可能で、 Active Directory パ ス ワ ー ド の有効期限が切れ る 前 に ユ ーザー に 通知す る よ う に し た り 、 NTLM 認証転送オ プ シ ョ ン を 構成 し た り 、 ワ ン タ イ ム パス ワー ド を セ ッ ト ア ッ プ し た り で き ます。 182 | Aventail E-Class SRA 10.7 管理者ガ イ ド 14. ユーザー名 と の一致に使用す る [Username attribute] を入力 し ま す。 ほ と んどの AD イ ン プ リ メ ン テ ーシ ョ ン では、 sAMAccountName がユーザー ID ( 例えば 「jdoe」 ) と 一致 し ま す。 cn を 代わ り に使用で き ま すが、 その場合は、 ユーザー ID ( 「jdoe」 ) ではな く 、 フ ル ネーム ( 「John Doe」 ) で認証 し なければな ら な く な り ます。 15. 認証サーバーへのロ グ イ ン時に Windows ユーザーに表示 さ れる プ ロ ン プ ト やその他のテキ ス ト を変更す る には、 [Customize authentication server prompts] チ ェ ッ ク ボ ッ ク ス を 選択 し ま す。 例えば、 ユーザーが従業員 ID を 使用 し て ロ グ イ ン す る 場合、 [Identity] プ ロ ン プ ト を [Username:] か ら [Employee ID:] に変更で き ます。 ( 連鎖式認証を使用す る場合 は、 ユーザーが区別 し やすいため、 カ ス タ マ イ ズ し たパス ワー ド プ ロ ン プ ト が特に便利で す。 ) 16. ユーザーが WorkPlace で自分のパスワー ド を変更で き る よ う にす る場合は、[Enable user- initiated password change] を選択 し ます。 17. Active Directory サーバーがユーザーにパス ワー ド の有効期限が切れる こ と を通知で き る よ う にす る には、 [Notify user before password expires] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 事前通知を開始す る時期を指定 し ます ( デ フ ォ ル ト は 14 日、 最長は 30 日です )。 こ れに よ り 、 ユーザーに表示 さ れるパス ワー ド プ ロ ン プ ト が AD サーバーに よ っ て制御 さ れる よ う に な り ます。 パス ワー ド 管理は、 Web ア ク セ ス を使用す る ユーザー と Connect Tunnel を使 用す る ユーザーだけが使用で き ます。 18. NTLM 認証転送を有効にす る には、 [NTLM authentication forwarding] オ プ シ ョ ンのいず れかを ク リ ッ ク し ます。 詳細につい ては、 202 ページの 「NTLM 認証転送」 を参照 し て く だ さ い。 19. OTP を含む認証 を構成す る には、 [Use one-time passwords with this authentication server] を有効に し ま す。 メ ール サーバー も 構成す る必要があ り 、 OTP が外部 ド メ イ ン に 配信 さ れる場合 ( 例えば、 SMS ア ド レ スや外部 Web メ ール ア ド レ ス )、 SMTP サーバー を 構成 し て ア プ ラ イ ア ン スか ら 外部 ド メ イ ン にパス ワー ド を 送信で き る よ う にす る 必要があ り ます。 – OTP の文字数を [Password contains] フ ィ ール ド に入力 し ます。 デ フ ォ ル ト の長 さ は 8、 最小は 4、 最大は 20 です。 – OTP の文字の タ イ プ を ド ロ ッ プ ダウ ン リ ス ト か ら 選択 し ます。 [Alphabetic]、 [Alphabetic and numeric]、 ま たは [Numeric] を選択 し ま す。 – [From address] フ ィ ール ド に、 OTP の送信元の電子 メ ール ア ド レ ス を入力 し ま す。 – [Primary email address attribute] ボ ッ ク ス に、 ワ ン タ イ ム パス ワー ド を送信す る電 子 メ ール ア ド レ スのデ ィ レ ク ト リ 属性を入力 し ます。プ ラ イ マ リ 属性が認証サーバーに 存在す る場合は、 その属性が使用 さ れます。 – [Secondary email address attribute] を指定す る と 、 プ ラ イ マ リ 電子 メ ール ア ド レ ス に加え て使用 さ れます。 OTP が両方のア ド レ ス に送信 さ れます。 OTP が ( 電子 メ ール メ ッ セージ ではな く ) テ キス ト メ ッ セージ と し て送信 さ れる よ う にす る には、 対応す る属性名を入力 し ます ( 例えば、 [Mail] ま たは [primaryEmail] の代わ り に [SMSphone])。 詳細については、 213 ページの 「AD ま たは LDAP デ ィ レ ク ト リ サーバーの構成」 を参照 し て く だ さ い。 – [Subject] フ ィ ール ド で、 OTP 電子 メ ールの件名を カ ス タ マ イ ズ し ます。 置換変数 {password} を使用す る と 、 件名で実際のパス ワー ド を表示す る場所を指定で き ます。 – [Body] フ ィ ール ド で、 OTP メ ッ セージの本文を カ ス タ マ イ ズ し ます。 置換変数 {username} を 使用す る と 、 メ ッ セー ジ で ユーザーのア カ ウ ン ト 名 を 表示す る 場所 を 指 定で き ます。 置換変数 {password} を使用す る と 、 メ ッ セージ で実際のパス ワー ド を表 示す る場所を指定で き ます。 – ユーザーへの OTP の配信を テ ス ト す る には、OTP を受け取る ユーザーの電子 メ ール ア ド レ ス を [Email address] フ ィ ール ド に入力 し 、[Send test message] ボ タ ン を ク リ ッ ク し ます。 ア プ ラ イ ア ン スが メ ッ セージ を送信で き る場合は、 ボ タ ンの下に [Message ネ ッ ト ワー ク と 認証の構成 | 183 successfully sent] と い う ス テ ー タ スが表示 さ れます。 SMTP サーバーへの接続エ ラ ー、 AD/LDAP サーバー と の通信エ ラ ー、 指定 し たユーザーの AD/LDAP サーバーでの検索 エ ラ ーな どの メ ッ セージ も 、 こ のボ タ ンの下に表示 さ れます。 20. [Save] を ク リ ッ ク し ます。 メモ • • • [Login name] と [Password] は、 Active Directory サーバーへの接続の必須の フ ィ ール ド ではあ り ませんが、 入力 し な い と ( ま たは、 パス ワー ド を指定 し な い と )、 ア プ ラ イ ア ン スは匿名でバ イ ン ド し ます。 こ の場合、 Active Directory がア ノ ニ マ ス検索を許可 す る よ う に構成 さ れて いな い と 、 検索が失敗 し ます。 パス ワー ド 通知期間内は、 AD サーバーでユーザーが自分のパス ワー ド を変更で き る権限を 与え て お く 必要があ り 、 有効期限が切れた後は、 管理者にユーザー パス ワー ド を 変更す る 権限が必要に な り ます。 こ れ ら の両方の操作では、 セキ ュ リ テ ィ 上の理由か ら 、 パス ワー ド が リ セ ッ ト さ れるのではな く 、 置換 さ れる よ う に な っ て い ます。 複数の Active Directory with SSL サーバー を定義す る場合は、 それぞれのサーバーで同 じ [Match certificate CN against Active Directory domain controller] 設定を指定 し ます ( 実稼働環境では、 こ のオ プ シ ョ ン を 有効にす る こ と を 推奨 し ます )。 AMC では、 こ の設定 を レ ルム単位で構成で き ますが、 ア プ ラ イ ア ン スは実際には、 最後に ロ ー ド さ れた ADS レ ルムで指定 さ れた設定 を 使用 し ま す。 例えば、 3 つの レ ルムで こ のチ ェ ッ ク ボ ッ ク ス を 選 択 し 、4 つ目のレ ルムで選択解除す る と 、4 つのレ ルムすべて で こ の機能が無効に な り ます。 Active Directory 認証を行 う ための LDAP の構成 ( 例えば、AD のデ フ ォ ル ト を使用せずに検索ベース を指定す る こ と で ) Active Directory を カ ス タ マ イ ズ し てい る場合、 LDAP を使用 し て Active Directory を認証す る必要があ り ます。 LDAP サーバー を構成す る手順については、 186 ページの 「LDAP と LDAPS 認証の構成」 に記載 さ れ て い ま す。 LDAP を 構成す る 場合は、 デ ィ レ ク ト リ の照会時に使用す る 属性につい て、 特に注 意 し て く だ さ い。 AD の イ ン プ リ メ ン テ ーシ ョ ン ご と に異な る ため、 実際の Active Directory ス キーマ で オ ブ ジ ェ ク ト ク ラ ス と 関連す る属性がどのよ う に構成 さ れて い るかを知 っ て お く 必要 があ り ます。 次の表は、 ユーザー名 / パス ワー ド ク レ デ ン シ ャ ルを検証す る と き に使用 さ れる、 主要な AD 属性を示 し てい ます。 属性では大文字 と 小文字が区別 さ れません。 フ ィ ール ド 説明 Login DN Active Directory サ ー バ ー と の接続 を 確立 す る と き に 使用 さ れ る DN。 example.com ド メ イ ン に あ る 汎用の AD 構成 で は、 ユ ーザー名 「John Doe」 の DN は次のよ う にな り ます。 cn=John Doe,cn=users,dc=example,dc=com Search base ユーザー情報の検索を始める AD デ ィ レ ク ト リ 内のポ イ ン ト 。 通常こ れは、 ユーザー情報が含まれるデ ィ レ ク ト リ ツ リ ーの最下層にな り ます。AD にバ イ ン ド す る ユーザーには、 こ のレ ベルでデ ィ レ ク ト リ を表示する権限が必 要です。 一般的な イ ン ス ト ールの場合、 検索ベースが 「cn=users,dc=exam-ple,dc=com」 にな っ ている と 、 ほ と んどのユー ザーが検索 さ れます。 一部のユーザーが異な る ブ ラ ン チに保管 さ れている 場合、 高い レ ベルから 検索する こ と も で き ます ( 例えば、 「dc=example,dc=com」 )。 184 | Aventail E-Class SRA 10.7 管理者ガ イ ド フ ィ ール ド 説明 Username attribute ユーザー名 と の一致に使用 さ れる属性。 ほ と んどの AD イ ン プ リ メ ン テー シ ョ ン では、 sAMAccountName がユーザー ID ( 例えば 「jdoe」 ) と 一 致 し ます。cn を代わ り に使用で き ますが、その場合は、ユーザー ID (「jdoe」 ) ではな く 、 フルネーム ( 「John Doe」 ) で認証 し なければな ら な く な り ま す。 グルー プ を 参照す る ア ク セ ス制御ルール を 作成す る 場合、 ユーザーは、 ルール と の一致 を 要求 す る 際に、 グルー プの明示的な メ ン バーで あ る 必要があ り ま す。 ネ ス ト さ れた グルー プの メ ン バー を入れる 場合は、 AMC で認証サーバー を 構成す る と き に [Nested group lookup] を設定 し てお く 必要があ り ます。 例えば、 SeattleCampus グルー プ に Marketing と い う 名前のグルー プが含まれて い る と 仮定 し ます。 従業員の John Doe は Marketing グルー プの メ ンバーですが、 SeattleCampus の明示的 な メ ンバーではあ り ません。 こ の状態で [Nested group lookup] が 「0」 に設定 さ れて い る と 、 John Doe は SeattleCampus グルー プの メ ンバー と し て認識 さ れませんが、 「1」 に設定 さ れて い る と 、 メ ンバー と し て認識 さ れます。 Microsoft か ら 、 デ ィ レ ク ト リ の接続、 参照、 変更な どの LDAP 操作 を 簡単に実行で き る グ ラ フ ィ カ ル ツ ールが提供 さ れ て い ま す。 LDP (ldp.exe) と い う 名前の こ の ツ ールは、 Windows Server プ ラ ッ ト フ ォ ームのサポー ト ツ ールか ら 利用で き ま す。 詳細につい ては、 Microsoft の 製品サポー ト サ イ ト を参照 し て く だ さ い。 Active Directory 認証のための LDAP の例 LDAP 構成の例を い く つか紹介 し ます。 例 1 : Active Directory Login DN CN=AVtest,CN=Users,DC=testusrs,DC=example,DC=com Search base DC=testusrs,DC=example,DC=com Username attribute sAMAccountName 例 2 : Active Directory Login DN CN=johnDoe,CN=Users,DC=na,DC=example,DC=com Search base CN=Users,DC=na,DC=example,DC=com Username attribute sAMAccountname 例 3 : Domino サーバー を使用す る LDAP Login DN CN=E-Class SRA,O=peoplesoft Search base o=peoplesoft Username attribute cn ネ ッ ト ワー ク と 認証の構成 | 185 LDAP と LDAPS 認証の構成 E-Class SRA ア プ ラ イ ア ン スは、 LDAP ま たは LDAPS (LDAP over SSL) プ ロ ト コ ルを使用 し た認証 を サポー ト し て い ま す。 ど ち ら かのプ ロ ト コ ル を 使用 し て、 ユーザー名 と パス ワー ド の ク レ デ ン シ ャ ルを認証で き ます。 次の図は、 一般的な LDAP 構成オ プ シ ョ ンの例です。 LDAP 接続を SSL で保護す る には、 追加の構成が必要です。 LDAP 証明書を与え た CA のルー ト 証明書 を、 SSL の信頼で き る ルー ト フ ァ イ ルに追加す る 必要があ り ま す。 こ う し て LDAP サーバーの成 り すま し を防 ぐ こ と で、 セキ ュ リ テ ィ が強化 さ れます。 詳細につい ては、 158 ペー ジの 「CA 証明書の イ ン ポー ト 」 を参照 し て く だ さ い。 LDAP ま たは LDAPS サーバーの構成後に、 テ ス ト 接続を確立す る こ と で、 レ ルム構成の設定を 検証で き ま す。 詳細につい ては、 207 ページの 「LDAP お よ び AD 認証構成のテ ス ト 」 を 参照 し て く だ さ い。 メモ • • ア プ ラ イ ア ン スが LDAP サーバー と 通信で き る よ う にす る ために、 フ ァ イ ア ウ ォ ールま たはルー タ を構成す る必要があ り ます。標準 LDAP はポー ト 389/tcp を使用 し 、LDAPS はポー ト 636/tcp 経由で通信 し ます。 デジ タ ル証明書の検証を使用す る LDAP 認証サーバーの構成は、 レ ガ シー環境のお客様向 けの方法です。 新 し いユーザーは、 196 ページの 「PKI 認証サーバーの構成」 に記載 さ れて い る標準の方法を使用 し て く だ さ い。 構成ページ では、 [LDAP with Digital Certificate] オ プ シ ョ ン と [Public key infrastructure (PKI)] オ プ シ ョ ン の ど ち ら で も 、 [Trust intermediate CAs without verifying the entire chain] オ プ シ ョ ン を使用で き ます。 ユーザー名と パスワー ド を使用する LDAP の構成 ユーザー名 / パスワー ド 検証を使用す る LDAP 認証サーバー を構成す る場合、 次の手順を実行 し ます。 ユーザー名 / パスワー ド 検証を使用す る LDAP を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Authentication Servers] を ク リ ッ ク し 、[New] を ク リ ッ ク し ます。 2. [Authentication directory] で [LDAP] を ク リ ッ ク し ま す。 3. [Credential type] で [Username/Password] を ク リ ッ ク し 、[Continue] を ク リ ッ ク し ます。 [Configure Authentication Server] ページが表示 さ れます。 4. [Name] ボ ッ ク ス に認証サーバーの名前を入力 し ます。 5. [General] の下に表示 さ れる情報を入力 し ます。 186 | Aventail E-Class SRA 10.7 管理者ガ イ ド – [Primary LDAP server] ボ ッ ク ス に、 LDAP サーバーのホ ス ト 名ま たは IP ア ド レ ス を 入力 し ます。フ ェ イ ルオーバー サーバー を使用 し て い る場合 ( オ プ シ ョ ン )、[Secondary LDAP server] ボ ッ ク ス で そのア ド レ ス を指定 し ます。 LDAP サーバーが一般的なポー ト ( 非暗号化 LDAP 接続の場合は 389、SSL 接続の場合 は 636) 以外で リ ッ ス ン す る場合、 コ ロ ンの後に接尾辞 と し てポー ト 番号 を指定で き ま す ( 例えば、 myldap.example.com:1300)。 – [Login DN] ボ ッ ク スに、 LDAP サーバー と の接続を確立す る と き に使用す る識別名 (DN) を入力 し ま す。 – [Password] ボ ッ ク ス に、 LDAP サーバー と の接続を確立す る と き に使用す るパス ワー ド を入力 し ます。 – [Search base] ボ ッ ク ス に、 ユーザー情報の検索を始め る LDAP デ ィ レ ク ト リ 内のポ イ ン ト を入力 し ます。 通常 こ れは、 ユーザー情報が含まれる デ ィ レ ク ト リ ツ リ ーの最下層 に な り ま す。 例えば、 「ou=Users,o=xyz.com」 と 入力 し ま す。 LDAP デ ィ レ ク ト リ にバ イ ン ド す る ユーザーには、 こ のレ ベルでデ ィ レ ク ト リ を表示す る権限が必要です。 – [Username attribute] ボ ッ ク ス に、 ユーザー名の一致に使用す る属性を入力 し ます。 通 常 こ れは、 「cn」 ま たは 「uid」 です。 – 指定 し た それぞれのサーバーで [Test] ボ タ ン を ク リ ッ ク し て、 接続を テ ス ト し ます。 6. [Group lookup] の下に表示 さ れる情報を入力 し ます。 – こ のサーバーのグルー プ チ ェ ッ ク を有効にす る には、[Use this authentication server to check group membership] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ のボ ッ ク ス を選択 解除す る と 、 グルー プ チ ェ ッ ク の動作だけに適用 さ れる ため、 ネ ス ト さ れた コ ン ト ロ ー ルは無効に な り ま す。 こ のチ ェ ッ ク ボ ッ ク ス を 選択解除す る と 、 LDAP、 AD、 ま たは AD のツ リ ーの認証サーバー を、 許可チ ェ ッ ク を有効にせずに構成で き ます。 こ れに よ り 、 ス タ ッ ク ド / ア フ ィ ニ テ ィ 認証のサポー ト が向上 し 、 効率が向上 し ます。 – LDAP 検索の と き に、ユーザー コ ン テ ナのグルー プ属性を検索す る こ と でユーザーのグ ルー プ メ ンバーシ ッ プ を判断す る よ う に し たい場合、[Find groups in which a user is a member] チ ェ ッ ク ボ ッ ク ス を選択 し 、 [Group attribute] にグルー プ属性を入力 し ま す。 こ の属性は通常、 「memberOf」 です。 LDAP サーバーが属性ベースのグルー プ をサ ポー ト し て いて、 有効に な っ て い る場合を除 き 、 こ のチ ェ ッ ク ボ ッ ク ス を選択 し な いで く だ さ い。 – LDAP サーバーが属性ベースのグルー プ をサポー ト し て いな いか、 こ の機能を有効に し てい な い場合、 [Look in static groups for user members] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 検索の深度 ( 検索対象 と す る サ ブ グルー プ の数 ) を 指定す る には、 [Nested group lookup] チ ェ ッ ク ボ ッ ク ス に数値 を 入力 し ま す。 こ の タ イ プの検索では LDAP ツ リ ー全体の検索が必要に な る ため、 時間がかか る 可能性があ り ま す。 [Cache group checking] を オ ン にす る こ と を強 く 推奨 し ます。 ネ ッ ト ワー ク と 認証の構成 | 187 – デ ィ レ ク ト リ の負荷を軽減 し 、 パ フ ォ ーマ ン ス を向上 さ せる には、 属性グルー プや静的 グルー プの検索結果を キ ャ ッ シ ュ し ます。 [Cache group checking] チ ェ ッ ク ボ ッ ク ス を選択 し て、[Cache lifetime] ボ ッ ク ス にキ ャ ッ シ ュ の持続時間を秒単位で入力 し ます。 デ フ ォ ル ト 値は 1800 秒 (30 分 ) です。 7. LDAP 接続を SSL で保護す る には、[LDAP over SSL] の下に表示 さ れる情報を入力 し ます。 – LDAP 接続を SSL で保護す る には、 [Use SSL to secure LDAP connection] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 – 証明書の詳細 を 表示 し 、 ア プ ラ イ ア ン スがルー ト 証明書 を 使用で き る こ と を 確認 し ま す。 詳細については、 158 ページの 「CA 証明書の イ ン ポー ト 」 を参照 し て く だ さ い。 – LDAP ホ ス ト 名が LDAP サーバーで提示 さ れた証明書の名前 と 同 じ で あ る こ と を確認 す る よ う に ア プ ラ イ ア ン ス を 構 成 す る に は、 [Match certificate CN against LDAP server name] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 通常、 サーバー名はデジ タ ル証明書で 指定 さ れて い る 名前 と 一致 し ま す。 こ れが当 ては ま る 場合は、 実稼働環境で こ のオ プ シ ョ ン を 有効にす る こ と を 推奨 し ま す。 こ う し て お く と 、 デ ジ タ ル証明書ま たは DNS サーバーが危険に さ ら さ れた場合で も 、許可 さ れてい ないサーバーが LDAP サーバー を マ ス カ レ ー ド す る こ と は困難に な り ます。 188 | Aventail E-Class SRA 10.7 管理者ガ イ ド 8. オ プ シ ョ ン で、 [Advanced] の下に表示 さ れる情報を入力 し ます。 ネ ッ ト ワー ク と 認証の構成 | 189 – [Enable LDAP referrals] チ ェ ッ ク ボ ッ ク ス を選択す る と 、 LDAP サーバーが ク ラ イ ア ン ト の照会に回答で き な い場合、 他の LDAP サーバー を照会で き ます。 こ の機能を使用 す る 場 合 は、 認 証 プ ロ セ ス の 速 度 が低 下 す る こ と が あ る た め、 注 意 し て く だ さ い。 Microsoft Active Directory に照会 し て認証す る よ う LDAP を構成 し て い る場合は、 こ の 機能を無効にす る と 良いで し ょ う 。 – [Server timeout] ボ ッ ク ス に、 LDAP サーバーか ら の応答を待つ時間を秒単位で入力 し ます。 デ フ ォ ル ト 値は 60 (1 分 ) です。 – 認証サーバーへのロ グ イ ン時に Windows ユーザーに表示 さ れる プ ロ ン プ ト やその他の テキス ト を変更す る には、[Customize authentication server prompts] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 ページ タ イ ト ル、 メ ッ セージ、 ロ グ イ ン プ ロ ン プ ト な ど を すべて カ ス タ マ イ ズで き ます。 例えば、 ユーザーが PIN をパス ワー ド と し て使用 し て い る場合 は、 [Proof] プ ロ ン プ ト のテキス ト を 「Password:」 か ら 「PIN:」 に変更 し ます ( カ ス タ マ イ ズ し た [Message] に PIN を忘れた場合の取得方法 を表示す る こ と も で き ます )。 – ユーザーが (WorkPlace のみで ) 自分のパス ワー ド を変更で き る よ う にす る場合は、 [Enable user-initiated password change] を選択 し ます。 レ ルムがス タ ッ ク ド 認証で 構成 さ れて お り 、2 セ ッ ト のユーザー名 / パスワー ド ク レ デ ン シ ャ ルが必要な場合、ユー ザーが自分のパ ス ワー ド を 変更す る と き に、 2 つの認証サーバーの う ち の最初のサー バーに対す る ク レ デ ン シ ャ ルだけ を変更す る こ と に な り ます。 – LDAP サーバーがユーザーにパス ワー ド の有効期限が切れる こ と を通知で き る よ う に す る には、 [Notify user before password expires] チ ェ ッ ク ボ ッ ク ス を 選択 し ま す。 LDAP サーバーの プ ロ ン プ ト が表示 さ れた と き に も ユーザーがパス ワー ド を 変更で き る よ う にす る には、[Allow user to change password when notified] チ ェ ッ ク ボ ッ ク ス を 選択 し ま す。 こ れに よ り 、 ユーザーに表示 さ れ る パス ワー ド プ ロ ン プ ト が LDAP サーバーに よ っ て制御 さ れる よ う に な り ます。 – NTLM 認証転送を有効にす る には、 [NTLM authentication forwarding] オ プ シ ョ ンの いずれかを ク リ ッ ク し ます。 詳細につい ては、 202 ページの 「NTLM 認証転送」 を参照 し て く だ さ い。 9. OTP を含む認証 を構成す る には、 [Use one-time passwords with this authentication server] を有効に し ま す。 メ ール サーバー も 構成す る必要があ り 、 OTP が外部 ド メ イ ン に 配信 さ れる場合 ( 例えば、 SMS ア ド レ スや外部 Web メ ール ア ド レ ス )、 SMTP サーバー を 構成 し て ア プ ラ イ ア ン スか ら 外部 ド メ イ ン にパス ワー ド を 送信で き る よ う にす る 必要があ り ます。 – OTP の文字数を [Password contains] フ ィ ール ド に入力 し ます。 デ フ ォ ル ト の長 さ は 8、 最小は 4、 最大は 20 です。 – OTP の文字の タ イ プ を ド ロ ッ プ ダウ ン リ ス ト か ら 選択 し ます。 [Alphabetic]、 [Alphabetic and numeric]、 ま たは [Numeric] を選択 し ま す。 – [From address] フ ィ ール ド に、 OTP の送信元の電子 メ ール ア ド レ ス を入力 し ま す。 – [Primary email address attribute] ボ ッ ク ス に、 ワ ン タ イ ム パス ワー ド を送信す る電 子 メ ール ア ド レ スのデ ィ レ ク ト リ 属性を入力 し ます。プ ラ イ マ リ 属性が認証サーバーに 存在す る場合は、 その属性が使用 さ れます。 – [Secondary email address attribute] を指定す る と 、 プ ラ イ マ リ 電子 メ ール ア ド レ ス に加え て使用 さ れます。 OTP が両方のア ド レ ス に送信 さ れます。 OTP が ( 電子 メ ール メ ッ セージ ではな く ) テ キス ト メ ッ セージ と し て送信 さ れる よ う にす る には、 対応す る属性名を入力 し ます ( 例えば、 [Mail] ま たは [primaryEmail] の代わ り に [SMSphone])。 詳細については、 213 ページの 「AD ま たは LDAP デ ィ レ ク ト リ サーバーの構成」 を参照 し て く だ さ い。 – [Subject] フ ィ ール ド で、 OTP 電子 メ ールの件名を カ ス タ マ イ ズ し ます。 置換変数 {password} を使用す る と 、 件名で実際のパス ワー ド を表示す る場所を指定で き ます。 190 | Aventail E-Class SRA 10.7 管理者ガ イ ド – [Body] フ ィ ール ド で、 OTP メ ッ セージの本文を カ ス タ マ イ ズ し ます。 置換変数 {username} を 使用す る と 、 メ ッ セー ジ で ユーザーのア カ ウ ン ト 名 を 表示す る 場所 を 指 定で き ます。 置換変数 {password} を使用す る と 、 メ ッ セージ で実際のパス ワー ド を表 示す る場所を指定で き ます。 – ユーザーへの OTP の配信を テ ス ト す る には、OTP を受け取る ユーザーの電子 メ ール ア ド レ ス を [Email address] フ ィ ール ド に入力 し 、[Send test message] ボ タ ン を ク リ ッ ク し ます。 ア プ ラ イ ア ン スが メ ッ セージ を送信で き る場合は、 ボ タ ンの下に [Message successfully sent] と い う ス テ ー タ スが表示 さ れます。 SMTP サーバーへの接続エ ラ ー、 AD/LDAP サーバー と の通信エ ラ ー、 指定 し たユーザーの AD/LDAP サーバーでの検索 エ ラ ーな どの メ ッ セージ も 、 こ のボ タ ンの下に表示 さ れます。 10. [Save] を ク リ ッ ク し ます。 LDAP を構成す る場合は、 以下の点に注意 し て く だ さ い。 • [Password management] エ リ アの [Notify user before password expires] と [Allow user to change password when notified] の設定には、 い く つかの制限があ り ま す。 – こ れ ら の設定は IBM Directory Server でのみサポー ト さ れてお り 、 – Web ア ク セ ス (Web プ ロ キシ エージ ェ ン ト 、 ま たは変換 さ れマ ッ ピ ン グ さ れた カ ス タ ム ポ ー ト 、 ま た は Web ア ク セ ス に マ ッ ピ ン グ さ れ て い る カ ス タ ム FQDN) ま た は Connect Tunnel を使用 し て ア プ ラ イ ア ン ス に接続す る ユーザーだけが利用で き ます。 – パス ワー ド を変更す る ユーザーには、 LDAP サーバーに対す る権限が必要です。 • • • [Login DN] と [Password] は、 LDAP サーバーに接続す る ための必須の フ ィ ール ド ではあ り ませんが、入力 し な い と ( ま たは、パスワー ド を指定 し ない と )、 ア プ ラ イ ア ン スが LDAP に匿名でバ イ ン ド す る こ と に な り 、 一般的には、 ユーザーやグルー プの情報の検索を実行す る正 し い権限が設定 さ れません。 複数の LDAPS サーバー を定義す る場合は、 [Match certificate CN against LDAP server name] 設定 も 各レ ルムで同 じ に な る よ う に構成 し て く だ さ い ( 実稼働環境では、 こ のオ プ シ ョ ン を 有効にす る こ と を 推奨 し ま す )。 AMC では、 こ の設定 を レ ルム単位で構成で き ま すが、 ア プ ラ イ ア ン スは実際には、 最後に ロ ー ド さ れた LDAPS レルムで構成 さ れた設定を 使用 し ます。 つ ま り 、 3 つの LDAPS サーバーで こ のチ ェ ッ ク ボ ッ ク ス を選択 し 、 4 つ目の LDAPS レルムで選択解除す る と 、 4 つのサーバーすべて で こ の機能が無効に な り ます。 デジ タ ル証明書の検証を使用す る LDAP 認証サーバーの構成は、 レ ガ シー環境のお客様向 けの方法です。 新 し いユーザーは、 196 ページの 「PKI 認証サーバーの構成」 に記載 さ れて い る標準の方法を使用 し て く だ さ い。 RADIUS 認証の構成 ア プ ラ イ ア ン スは、ユーザー名 / パス ワー ド ま たは ト ー ク ン ベースの ク レ デ ン シ ャ ルを RADIUS デー タ ベース と 対照 さ せて検証で き ます。 次の図は、 一般的な RADIUS 構成オ プ シ ョ ンの例で す。 ネ ッ ト ワー ク と 認証の構成 | 191 ア プ ラ イ ア ン スが RADIUS サーバー と 通信で き る よ う にす る ために、 フ ァ イ ア ウ ォ ールま たは ルー タ を 変更す る 必要があ り ま す。 RADIUS 認証プ ロ ト コ ルでは通常、 ポー ト 1645/udp を 使 用 し ます。 ま た、 RADIUS ク ラ イ ア ン ト ( 一般的に ネ ッ ト ワー ク ア ク セ ス サーバー と 呼ばれま す ) と し て ア プ ラ イ ア ン スの IP ア ド レ ス を含め る よ う 、 RADIUS サーバー を構成す る必要があ り ます。 ユーザーまたは ト ーク ン ベースのク レデンシ ャルを使用する RADIUS の構成 こ のア プ ラ イ ア ン ス では、RADIUS で、ユーザー名 / パス ワー ド ク レ デ ン シ ャ ルの他に、SecurID や SoftID な どの、RADIUS サーバーのデー タ ベース と 照会 し て検証す る ト ー ク ン ベースの ク レ デ ン シ ャ ル も サポー ト し て い ます。 いずれかの タ イ プの ク レ デ ン シ ャ ルを使用す る RADIUS 認 証方式を構成す る には、 次の手順を実行 し ます。 RADIUS を使用す る PhoneFactor 認証 も 展開で き ま す。 ユーザーが会社の VPN に ロ グ イ ン す る と 、RADIUS プ ロ キシ サーバー と し て動作す る PhoneFactor エージ ェ ン ト に対 し て RADIUS 要求が発生 し ます。 PhoneFactor 認証の開始前に、 タ ーゲ ッ ト RADIUS サーバーでユーザー名 と パス ワー ド を最初に検証 し ます。 PhoneFactor を使用す る 2 要素認証には、 2 つの方法があ り ます。 • • ユーザーがユーザー名 と パス ワー ド を入力 し 、PhoneFactor がユーザーに発信 し ます。 ユー ザーが電話に出て # を押 し 、 PIN を入力 し ます。 ユーザーがユーザー名 と パス ワー ド を入力す る と 、 PhoneFactor か ら ワ ン タ イ ム パス コ ー ド を 含むテ キス ト メ ッ セージが送信 さ れま す。 ユーザーが認証のためにパス コ ー ド ま たは パス コ ー ド と PIN で テ キス ト メ ッ セージ に返信 し ます。 ユーザーベース ま たは ト ー ク ン ベースの ク レ デ ン シ ャ ルを使用す る RADIUS を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Authentication Servers] を ク リ ッ ク し 、[New] を ク リ ッ ク し ます。 2. [Authentication directory] で [RADIUS] を ク リ ッ ク し ます。 3. [Credential type] で [Username/Password] ま たは [Token/SecurID] を ク リ ッ ク し 、 [Continue] を ク リ ッ ク し ま す。 PhoneFactor の場合は、 [Token/SecurID] を選択 し ます。 4. [Name] ボ ッ ク ス に認証サーバーの名前を入力 し ます。 192 | Aventail E-Class SRA 10.7 管理者ガ イ ド 5. [Primary RADIUS server] ボ ッ ク スに、 プ ラ イ マ リ RADIUS サーバーのホ ス ト 名ま たは IP ア ド レ ス を入力 し ます。RADIUS サーバーが 1645 (RADIUS の一般的なポー ト ) 以外のポー ト で リ ッ ス ン す る場合、 コ ロ ンの後に接尾辞 と し てポー ト 番号を指定で き ます。 6. [Secondary RADIUS server] ボ ッ ク スに、セ カ ン ダ リ RADIUS サーバーのホ ス ト 名ま たは IP ア ド レ ス を入力 し ます。必要に応 じ て、ポー ト 番号 (:<port number>) も 追加で き ます。 7. [Shared secret] ボ ッ ク ス に、 RADIUS サーバー と の通信の保護に使用す るパス ワー ド を入 力 し ま す。 こ れは、 RADIUS サーバーで指定 さ れたの と 同 じ シー ク レ ッ ト パス ワー ド で あ る必要があ り ます。 8. [Match RADIUS groups by] リ ス ト か ら 、 ユーザーが所属す る グルー プの属性を選択 し ま す。 RADIUS か ら 返 さ れる値が、 ア プ ラ イ ア ン ス ア ク セ ス ルールのグルー プ部分で使用 さ れます。 次の 3 種類の値があ り ます。 9. Match RADIUS groups by 説明 None グループ属性を無視 し ます filterid attribute (11) FilterID 属性 と 一致 し ます class attribute (25) Class 属性 と 一致 し ます [Connection timeout] ボ ッ ク ス に、 認証の試行が タ イ ムア ウ ト に な る ま でに RADIUS サー バーか ら の応答を待つ時間を秒単位で入力 し ます。 デ フ ォ ル ト は 5 秒で、 5 ~ 300 秒の範 囲で指定 し ま す。 PhoneFactor を 使用す る 場合は、 こ の値 を 大 き く し て、 ユーザーが確認 の着信を受け取る こ と がで き る よ う に し ます。 10. [Advanced] ボ タ ン を展開す る と 、 追加のオ プ シ ョ ンが表示 さ れます。 こ れ ら のオ プ シ ョ ン につい ては、 193 ページの 「高度な RADIUS 設定の構成」 を参照 し て く だ さ い。 11. [Save] を ク リ ッ ク し ます。 高度な RADIUS 設定の構成 カ ス タ マ イ ズや構成を さ ら に詳細に行 う 場合は、 こ れ ら の高度な RADIUS 設定を使用 し ます。 ネ ッ ト ワー ク と 認証の構成 | 193 追加 ( オ プ シ ョ ン ) RADIUS 設定を構成す る には 1. [Advanced] ボ タ ン を ク リ ッ ク し て、 追加 ( オ プ シ ョ ン ) RADIUS 設定を表示 し ます。 2. [Service type] ボ ッ ク ス に、 RADIUS Service-Type の整数を入力 し ます。 こ の値は、 要求 す るサー ビ スの タ イ プ を示 し ます。 ほ と ん どの RADIUS サーバーでは、 「1」 ( ロ グ イ ン ) ま たは 「8」 ( 認証のみ ) を入力 し ます。 3. ユーザーの ク レ デ ン シ ャ ルが承認 さ れる と 、 RADIUS サーバーは通常、 確認 メ ッ セージ を 送信 し ます ( 例えば、 「Passcode accepted」 )。 こ の メ ッ セージが表示 さ れな い よ う にす る には、 [Suppress RADIUS success message] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 4. ア プ ラ イ ア ン スは通常、 ホ ス ト 名を使用 し て自分自身を識別 し ます。 RADIUS サーバーが その名前を承認で き な い場合は、 [NAS-Identifier] ま たは [NAS-IP-Address] を指定 し ます ( 両方を指定す る こ と も で き ま すが、 通常はその必要はあ り ません )。 5. 認証サーバーへのロ グ イ ン時に Windows ユーザーに表示 さ れる プ ロ ン プ ト やその他のテキ ス ト を変更す る には、 [Customize authentication server prompts] を選択 し ます。 ページ タ イ ト ル、 メ ッ セージ、 ロ グ イ ン プ ロ ン プ ト な ど を すべて カ ス タ マ イ ズで き ます。 例えば、 ユーザーが従業員 ID を 使用 し て ロ グ イ ン す る 場合、 [Identity] プ ロ ン プ ト を [Username:] か ら [Employee ID:] に変更で き ま す。 194 | Aventail E-Class SRA 10.7 管理者ガ イ ド 6. RADIUS サーバーが UTF-8 文字エ ン コ ーデ ィ ン グ をサポー ト し て いな い古いバージ ョ ンの RADIUS プ ロ ト コ ルを 使用す る場合は、 [Local encoding] スキーム を [Selected] リ ス ト か ら 選択す るか、 [Other] ボ ッ ク ス に入力 し ます。 詳細については、 603 ページの 「RADIUS ポ リ シー サーバーの文 字セ ッ ト 」 を参照 し て く だ さ い。 7. ( ク レ デ ン シ ャ ル タ イ プがユーザー名 / パス ワー ド の RADIUS のみ ) NTLM 認証転送を有効 にす る には、[NTLM authentication forwarding] オ プ シ ョ ンのいずれかを ク リ ッ ク し ます。 詳細については、 202 ページの 「NTLM 認証転送」 を参照 し て く だ さ い。 RSA サーバー認証の構成 こ のア プ ラ イ ア ン スは、 RSA Authentication Manager サーバーのデー タ ベース に対 し て検証 さ れる、 ト ー ク ン ベースのユーザー ク レ デ ン シ ャ ルであ る、 SecurID をサポー ト し て い ます。 こ の タ イ プの認証の構成では、 RSA サーバー と E-Class SRA ア プ ラ イ ア ン スの両方で変更が必 要に な り ます。 以下に概要を記載 し ますが、 RSA Authentication Manager 7.1 の詳細の手順に つい ては、 ナ レ ッ ジ ベースの記事 6571 を参照 し て く だ さ い。 http://www.E-Class SRA.com/us/support/kb.asp RSA Authentication Manager に ト ー ク ン ベースの ク レ デ ン シ ャ ルを構成す る には 1. E-Class SRA ア プ ラ イ ア ン スの内部 イ ン タ ー フ ェ ースの IP ア ド レ ス を使用 し て、RSA サー バーに エージ ェ ン ト ホ ス ト を作成 し ます。 2. 構成を変更 し て、RSA サーバー と E-Class SRA ア プ ラ イ ア ン スの両方の名前が解決 さ れる よ う に し ます。 – DNS が RSA サーバーの名前 を解決で き る必要があ り ます。 ア プ ラ イ ア ン ス と その IP ア ド レ ス を /etc/hosts フ ァ イ ルに追加す る だけ では、 正 し く 動作 し ません。 – (RSA サーバーに構成 さ れてい る ) ア プ ラ イ ア ン スの名前がア プ ラ イ ア ン スの内部 IP ア ド レ ス に解決 さ れる必要があ り ます。 3. DNS が RSA サーバーの名前を両方向で解決で き る必要があ り ます。 – (RSA サーバーに構成 さ れてい る ) ア プ ラ イ ア ン スの名前がア プ ラ イ ア ン スの内部 IP ア ド レ ス に解決 さ れ る 必要があ り ま す。 ア プ ラ イ ア ン ス と その IP ア ド レ ス を /etc/hosts フ ァ イ ルに追加す る だけでは、 正 し く 動作 し ません。 – RSA サーバーには、 E-Class SRA ア プ ラ イ ア ン スの内部 イ ン タ ー フ ェ ース に対す る リ バース DNS エ ン ト リ が必要です。 4. エージ ェ ン ト ホ ス ト を RSA サーバーに追加 し た後に、 正 し い エージ ェ ン ト ホ ス ト の構成 フ ァ イ ル (sdconf.rec) を生成 し ます。 ア プ ラ イ ア ン スが HA ペ アの一部で あ る場合は、両方のサーバーに対 し て 1 つの sdconf.rec を 生成 し ま す。 構成 フ ァ イ ルの生成時に、 エ ージ ェ ン ト ホ ス ト を 指定す る よ う 要求 さ れま す。 [all] ま たは [range] を選択 し ます ([range] には両方の HA ア プ ラ イ ア ン スが含まれて い るはずです )。 1 台のア プ ラ イ ア ン ス を セ ッ ト ア ッ プす る場合のみ、 [individual] を選択 し ま す。 5. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Authentication Servers] を ク リ ッ ク し 、[New] を ク リ ッ ク し ます。 ネ ッ ト ワー ク と 認証の構成 | 195 6. [Authentication directory] で RSA を選択す る と 、 [Credential type] が自動的に [Token/ SecurID] に設定 さ れます。 [Continue] を ク リ ッ ク し ます。 7. [Name] ボ ッ ク ス に認証サーバーの名前を入力 し ます。 8. RSA Authentication Manager サーバーの SecurID 構成 フ ァ イ ル、 sdconf.rec の場所を指定 し 、 [Save] を ク リ ッ ク し て ア プ ラ イ ア ン ス に ア ッ プ ロ ー ド し ます。 こ の構成 フ ァ イ ルはバ イ ナ リ 形式で、 RSA 認証サー ビ ス に関連す る ポー ト と プ ロ セ スが含 まれます。 こ の フ ァ イ ルがア ッ プ ロ ー ド さ れる と 、 RSA ラ イ ブ ラ リ に よ っ て RSA サーバー へのネ ッ ト ワー ク 経由の通信に使用 さ れます。 メモ 9. エージ ェ ン ト ホ ス ト か ら の最初の認証要求で、 ノ ー ド シー ク レ ッ ト がネ ゴ シ エーシ ョ ン さ れま す。 「node secret created」 フ ラ グが RSA サーバーで ク リ ア さ れて い る こ と を 確認 し ます。 • RSA サーバー を変更 し た場合 ( 例えば、 IP ア ド レ スやホ ス ト 名の変更や再 イ ン ス ト ー ルな ど )、 sdconf.rec フ ァ イ ルを ア プ ラ イ ア ン ス に再ア ッ プ ロ ー ド す る必要があ り ます。 一部の古いバージ ョ ンか ら のア ッ プ グ レ ー ド 後に、 ノ ー ド シー ク レ ッ ト が正 し く 移行 さ れ なか っ た ために、 ユーザーが RSA サーバーで認証で き な く な る こ と があ り ます。 こ の場合 には、 RSA サーバーの認証エージ ェ ン ト の ノ ー ド シー ク レ ッ ト を ク リ ア し ます。 • PKI 認証サーバーの構成 ユーザーが自分のデバ イ ス上の ク ラ イ ア ン ト 証明書 を 使用 し て認証す る よ う に認証サーバー を 設定す る こ と も で き ま す。 デジ タ ル証明書認証は、 単独で使用す る こ と も 、 RADIUS な どの他 の認証方法 と 組み合わせて使用す る こ と も で き ます ( 連鎖式認証を設定 し 、デジ タ ル証明書 も 1 つの方法 と し て使用す る 場合は、 デ ジ タ ル証明書認証が最初の方法で あ る 必要があ り ま す。 詳 細につい ては、 207 ページの 「連鎖式認証の構成」 を参照 し て く だ さ い )。 PKI 認証サーバー を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Authentication Servers] を ク リ ッ ク し 、[New] を ク リ ッ ク し ます。 2. [Authentication directory] で [Public key infrastructure (PKI)] を ク リ ッ ク し ます。 選択 で き る ク レ デ ン シ ャ ル タ イ プ ([Credential type]) は [Digital certificate] だけ です。 196 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. [Continue] を ク リ ッ ク し ます。[Configure Authentication Server] ページが表示 さ れます。 4. [Name] ボ ッ ク ス に認証サーバーの名前を入力 し ます。 5. [Trusted CA certificates] で、 オ プ シ ョ ン で [Trust intermediate CAs without verifying the entire chain] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ のチ ェ ッ ク ボ ッ ク ス を選択す る と 、 信頼で き る 中間署名認証局証明書のセ ッ ト を ネ ッ ト ワー ク の複数のセ ク タ ー ( 多 く の場合 は、 組織や部門ご と ) に展開で き ます。 詳細につい ては、 166 ページの 「中間証明書につい て」 を参照 し て く だ さ い。 6. 左側の [All CA certificates] リ ス ト に、ア プ ラ イ ア ン スが使用 し てい る すべての CA 証明書 が表示 さ れま す。 ク ラ イ ア ン ト デバ イ ス と の信頼関係 を 確立す る には、 証明書の左にあ る チ ェ ッ ク ボ ッ ク ス を選択 し て [>>] ボ タ ン を ク リ ッ ク す る こ と で、 1 つ以上のルー ト 証明書 を指定 し ます ( タ イ ト ル と 発行者が同 じ で あ るのがルー ト 証明書です )。 ク ラ イ ア ン ト の証 明書が [Trusted CA certificates] リ ス ト のルー ト 証明書 と 一致すれば、 信頼 さ れる こ と に な り ます。 7. [Advanced] の [Username attribute] ボ ッ ク ス に、 シ ン グル サ イ ン オ ン に使用す る属性 ( 例えば cn ま たは uid) を入力 し ます。 8. OCSP レ スポ ン ダ を使用 し て ク ラ イ ア ン ト 証明書のス テ ー タ ス を判断す る には、 [Use OCSP to verify client certificates] チ ェ ッ ク ボ ッ ク ス を選択 し ます。こ のチ ェ ッ ク ボ ッ ク ス を選択す る と 、 ユーザーが任意のア ク セ ス方法 (ExtraWeb ま たは Connect Tunnel) を使 用 し て、 こ の PKI 認証方法を使用す る レ ルムに認証で き ます。 9. [Use this OCSP responder] には、 次のいずれかのオ プ シ ョ ン を選択 し ます。 ネ ッ ト ワー ク と 認証の構成 | 197 – [System default] : 手動で構成 し た OCSP レ スポ ン ダが優先 さ れます。OCSP レ スポ ン ダが構成 さ れて い る場合、その OCSP レ スポ ン ダの URL が こ こ に表示 さ れます。[here] と い う リ ン ク を ク リ ッ ク す る と 、[SSL Settings] か ら ア ク セ ス で き る [OCSP] ページが 表示 さ れ、 OCSP レ スポ ン ダ を構成で き ます。 – [User certificate’s AIA extension] : ユーザー証明書が解析 さ れて、 OCSP レ スポ ン ダ の URL が抽出 さ れます。 証明書の AIA (Authority Information Access) 拡張領域には、 発行元の CA の証明書 を 提供す る URL が含まれま す。 AIA 拡張領域に含まれ る のは、 HTTP、 FTP、 LDAP、 ま たは FILE の URL です。 – [CA certificate’s AIA extension] : CA 証明書が解析 さ れて、OCSP レ スポ ン ダの URL が抽出 さ れます。 10. エ ラ ーが発生す るか、 「未知の」 ス テ ー タ スが返 さ れるか、 OCSP レ スポ ン ダに ア ク セ ス で き ない場合に認証を成功 さ せる場合は、[Allow certificate if responder is unavailable] を 選択 し ます。 11. [Trust signing certificates in response] チ ェ ッ ク ボ ッ ク ス を選択 し て、 OCSP レ スポ ン スの証明書を信頼 し ます。 こ れは、 デ フ ォ ル ト で有効に な っ て い ます。 使用す る CA 証明書の OCSP 応答署名証明書 を イ ン ポ ー ト し 、 イ ン ポ ー ト 時 に [OCSP response verification] を 有効にす る 必要があ り ま す。 OCSP レ ス ポ ン スの署名証明書 を OCSP レ スポ ン ダ ま たはサーバーか ら ロ ー カ ル管理マ シ ン に コ ピ ー し 、 AMC に ロ グ イ ン し た状態で、 [SSL Settings] ページか ら イ ン ポー ト で き ます。 12. 悪意あ る攻撃か ら 保護 し 、対象 と す る証明書の失効後に成功 し た レ スポ ン スが再生 さ れるの を防 ぐ には、[Send nonce in request] チ ェ ッ ク ボ ッ ク ス と [Require nonce in response] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 13. [Save] を ク リ ッ ク し ます。 メモ • • • • • こ のユーザー認証方法で信頼す る CA 証明書が リ ス ト に表示 さ れない場合、 追加す る必 要があ り ます。 158 ページの 「CA 証明書の イ ン ポー ト 」 を参照 し て く だ さ い。 CA 証明書で CRL と OCSP の両方が有効な場合は、 OCSP だけが使用 さ れます。 CRL か ら OCSP へ、ま たは OCSP か ら CRL への フ ォ ールバ ッ ク はサポー ト し てい ません。 Internet Explorer 8 以上で、WorkPlace の X.509 証明書付 き PKI を使用 し て認証す る場合、 証明書がエ ン ド ポ イ ン ト に見つか ら な い と 、 IE のエ ラ ー ページが表示 さ れます。 有効な証 明書が ク ラ イ ア ン ト エ ン ド ポ イ ン ト に存在す る 場合のみ、 証明書選択ダ イ ア ロ グが表示 さ れ、 それ以外の場合は、 IE か ら 証明書選択が要求 さ れません。 Connect Tunnel ユーザーのみ : ク ラ イ ア ン ト 証明書 を使用す る認証は、 Windows 2003 オ ペ レ ー テ ィ ン グ シ ス テムま たは Windows Server プ ラ ッ ト フ ォ ームではサポー ト さ れて い ません。 SAML ベースの認証サーバーの構成 SAML (Security Assertion Markup Language) は、 ユーザー認証、 権限、 お よ び属性の情報を交 換す る ための、 XML ベースの フ レ ームワー ク です。 SAML は、 ビ ジ ネ ス エ ン テ ィ テ ィ が対象者 ( 人で あ る ユーザーな ど ) の ID、 属性、 お よ び権限に関す る アサーシ ョ ン をパー ト ナー企業や他 のエ ン タ ー プ ラ イ ズ ア プ リ ケー シ ョ ン に対 し て作成す る こ と で、 Web ベースのシ ン グル サ イ ン オ ン (Web SSO) の基盤を提供 し ます。 Web SSO では、 ユーザーは、 サー ビ ス プ ロバ イ ダ (EX-Series ア プ ラ イ ア ン ス な ど ) 経由で リ ソ ース に ア ク セ スす るか、 サー ビ ス プ ロバ イ ダ と 必要な リ ソ ースが理解 さ れて い るか暗黙的で あ る ID プ ロバ イ ダ (IDP) に ア ク セ ス し ます。 ユーザーは IDP に対 し て認証 さ れ、 IDP が認証ア サーシ ョ ン を生成 し 、 サー ビ ス プ ロバ イ ダがアサーシ ョ ン を使用 し てユーザーのセキ ュ リ テ ィ 198 | Aventail E-Class SRA 10.7 管理者ガ イ ド コ ン テ キス ト を確立 し ます。 セキ ュ リ テ ィ コ ン テ キス ト が存在す る ユーザーは、 追加の認証な し に別のサ イ ト の リ ソ ース に ア ク セ ス で き ます。 SAML は、 シ ン グル ロ グ ア ウ ト (SLO) サー ビ ス も 提供 し ます。 本 リ リ ース では、 パブ リ ッ ク イ ン タ ーネ ッ ト に展開 さ れて い る外部 IDP がサポー ト さ れて い ま す。 ユーザーが標準ブ ラ ウザを使用 し 、 SAML のス コ ー プの外部の何 ら かの方法で IDP に対 し て認証で き る こ と を 前提 と し て い ま す。 ユーザーは、 SAML で認証 さ れた レ ルム経由で ア プ ラ イ ア ン ス に ア ク セ ス し ます。 CA SiteMinder IDP な どの SAML IDP を使用す る よ う に EX-Series ア プ ラ イ ア ン ス を構成す る 場合は、 以下の構成情報を参照 し て く だ さ い。 • • • ア プ ラ イ ア ン スは、 https://<appliance>/saml2ssoconsumer で SAML SSO サー ビ ス を ホ ス テ ィ ン グ し ます ア プ ラ イ ア ン スは、 https://<appliance>/saml2sloconsumer で SAML SLO サー ビ ス を ホ ス テ ィ ン グ し ます IDP で、 次のよ う に構成 し ま す。 – HTTP-POST と HTTP-Redirect バ イ ン デ ィ ン グ を有効に し 、 構成 し ます – SAML SSO と SLO サー ビ ス を有効に し 、 構成 し ます – nameID と アサーシ ョ ンの暗号化を無効に し ます CA SiteMinder 認証サーバーの構成 CA SiteMinder 12.0 が SAML 2.0 と の組み合わせでサポー ト さ れて い ま す。 CA SiteMinder は、 集中セキ ュ リ テ ィ 管理の基盤 と し て、 お客様、 パー ト ナー、 お よ び従業員向けの、 Web を使用 す る ア プ リ ケーシ ョ ンや ク ラ ウ ド サー ビ ス でのセキ ュ リ テ ィ を確立 し ます。 CA SiteMinder 認証サーバー を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Authentication Servers] を ク リ ッ ク し 、[New] を ク リ ッ ク し ます。 2. [Authentication directory] で [CA SiteMinder] を ク リ ッ ク し ま す。 [Username/Password] が自動的に選択 さ れま す。 こ れが、 [Credential type] の唯一のオ プ シ ョ ン です。 ネ ッ ト ワー ク と 認証の構成 | 199 3. [Continue] を ク リ ッ ク し ます。[Configure Authentication Server] ページが表示 さ れます。 4. [Name] フ ィ ール ド に認証サーバーの名前を入力 し ます。 5. [Appliance ID] フ ィ ール ド に ア プ ラ イ ア ン スの SAML エ ン テ ィ テ ィ ID を入力 し ます。長 さ が 1024 文字以下の URI を入力 し ます。 6. [Server ID] フ ィ ール ド に SiteMinder サーバーの SAML エ ン テ ィ テ ィ ID を入力 し ます。 ア プ ラ イ ア ン スは、 こ れ を 使用 し て、 SiteMinder 認証サーバーの ID を 判断 し ま す。 長 さ が 1024 文字以下の URI を入力 し ます。 7. [Authentication Service URL] に SiteMinder が SAML SSO サー ビ ス を ホ ス テ ィ ン グす る URL を入力 し ます。 8. [Logout service URL] に SiteMinder が SAML シ ン グル ロ グ ア ウ ト (SLO) サー ビ ス を ホ ス テ ィ ン グす る URL を入力 し ま す。 9. SiteMinder サーバーの CA 証明書を [Trust the following certificate] ド ロ ッ プ ダウ ン リ ス ト か ら 選択 し ます。 CA 証明書を構成す る には、 右側の説明文にあ る [here] リ ン ク を ク リ ッ ク し ます。こ の CA 証明書がア プ ラ イ ア ン スに ない場合は、イ ン ポー ト す る必要があ り ます。 10. [Sign AuthnRequest message using this certificate] チ ェ ッ ク ボ ッ ク ス を選択 し 、 署名 証明書を ド ロ ッ プ ダウ ン リ ス ト か ら 選択 し ます。 ア プ ラ イ ア ン スは こ の証明書を使用 し て、 SiteMinder サーバーへの送信前に認証要求 メ ッ セージ に署名 し ま す。 SSL 署名証明書 を構 成す る には、 右側の説明文にあ る [here] リ ン ク を ク リ ッ ク し ま す。 こ の署名証明書がア プ ラ イ ア ン ス に な い場合は、 イ ン ポー ト す る必要があ り ます。 11. [Save] を ク リ ッ ク し ます。 メモ • • Web ベースのア ク セ ス で CA SiteMinder Authentication Server がサポー ト さ れてい ま す。 Tunnel エ ージ ェ ン ト はサポー ト さ れて い ません。 CA SiteMinder Authentication Server は、 連鎖式認証には使用で き ません。 200 | Aventail E-Class SRA 10.7 管理者ガ イ ド シ ングル サイ ンオン認証サーバーを設定する シ ン グル サ イ ン オ ン (SSO) を使用す る と 、 ユーザー認証情報をバ ッ ク エ ン ド Web リ ソ ース に 転送す る よ う に ア プ ラ イ ア ン ス を 設定で き ま す。 つ ま り 、 ユーザーが何回 も ロ グ イ ン す る 必要 がな い と い う こ と に も な り ます ( ア プ ラ イ ア ン ス に ア ク セ ス で き る よ う に なれば、 ア プ リ ケー シ ョ ン リ ソ ースに ま た ア ク セ ス で き ます )。 ア プ ラ イ ア ン スは多 く の種類の Web SSO ( セキ ュ リ テ ィ 手段 と し て、 SSO はデ フ ォ ル ト では 無効 ) をサポー ト し てい ます。 メモ • • • ト ン ネル セ ッ シ ョ ン で Web ア プ リ ケーシ ョ ンへのア ク セ ス で SSO 機能を有効にす る には、 [Web resource filtering] を有効に し ます。 詳細については、 476 ページの 「Web リ ソ ースの フ ィ ル タ リ ン グの構成」 を参照 し て く だ さ い。 Web プ ロ キシ エージ ェ ン ト は、 SSL で保護 さ れたバ ッ ク エ ン ド Web サーバーへのシ ン グ ル サ イ ン オ ン をサポー ト し てい ません。Web プ ロ キシ エージ ェ ン ト 経由で ア ク セ ス さ れる こ れ ら の リ ソ ースへの リ ン ク では、 シ ン グル サ イ ン オ ン を使用で き ません。 HTTPS リ ソ ー スへの転送で基本認証ま たは NTLM 認証のいずれかを提供す る には、 Web リ ソ ースのエ イ リ ア ス を 作成 し て、 WorkPlace に リ ン ク と し て追加 し ま す。 こ れに よ り 、 ア プ ラ イ ア ン ス が変換、 カ ス タ ム ポー ト マ ッ ピ ン グ、 ま たは カ ス タ ム FQDN マ ッ ピ ン グの Web ア ク セ ス を提供す る よ う に な り ます。 デ フ ォ ル ト では、 OnDemand Tunnel を実行す る ユーザーの Web コ ン テ ン ツは、 ア プ ラ イ ア ン スが直接プ ロ キシ と な り ます。AMC の [Aventail WorkPlace] か ら [Settings] を ク リ ッ ク し 、[Web shortcut access] エ リ ア にあ る [Use Web content translation] を選択 し ます。 フ ォームベースのシングル サイ ンオン 多 く の Web ア プ リ ケーシ ョ ン では、 フ ォ ームベースの認証が使用 さ れてお り 、 その場合、 認証 のユーザー イ ン タ ー フ ェ ースは Web フ ォ ームです。 AMC を使用 し て シ ン グル サ イ ン オ ン プ ロ フ ァ イ ル を セ ッ ト ア ッ プ す る こ と で、 ユーザーのア プ ラ イ ア ン スの ク レ デ ン シ ャ ルが フ ォ ー ムベースの認証を使用す る Web ア プ リ ケーシ ョ ン に転送 さ れる よ う に で き ます。い く つかの組 み込みプ ロ フ ァ イ ルがあ り 、 環境に合わせて変更で き ます。 • • • OWA ( 複数のバージ ョ ン ) Citrix Nfuse 1.7 Citrix MetaFrame XP 詳細につい ては、 249 ページの 「 フ ォ ームベースのシ ン グル サ イ ン オ ン プ ロ フ ァ イ ルの作成」 を参照 し て く だ さ い。 メモ フ ォ ームベース SSO は、 変換のみでサポー ト さ れてい ます。 変換を必要 と す るバ ッ ク エ ン ド Web ア プ リ ケーシ ョ ン ク ッ キーへのその他のア ク セ ス エージ ェ ン ト (Web プ ロ キ シ お よ び OD ト ン ネル ) のア ク セ スは、 サーバーに プ ロ ビ ジ ョ ニ ン グ さ れません。 基本認証転送 こ の認証転送方式は、 広範囲のプ ラ ッ ト フ ォ ームでサポー ト さ れて い ま すが、 パス ワー ド を そ のま ま ネ ッ ト ワー ク で送信す る ため、 あ ま り 安全であ る と は言え ません。 ア プ ラ イ ア ン ス を、 そ れぞれのユーザーの認証 ク レ デ ン シ ャ ル、 ま たは 「静的」 ク レ デ ン シ ャ ル ( つ ま り 、 すべての ユーザーで同 じ ク レ デ ン シ ャ ル ) を送信す る よ う に構成で き ます。 基本認証転送 を構成す る には 1. Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルを SSO を使用す る よ う 構成 し 、 使用す る ユーザー ク レ デ ン シ ャ ルを指定 し ます。 ネ ッ ト ワー ク と 認証の構成 | 201 2. こ の Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルを、SSO を使用す る任意の Web リ ソ ース に添付 し ます。 基本認証転送は、 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ル内で構成 し ま す。 詳細については、 244 ページの 「Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルの追加」 を参照 し て く だ さ い。 NTLM 認証転送 NTLM (Windows NT LAN Manager) では、 ネ ッ ト ワー ク 経由でパス ワー ド を そのま ま送信せず に、 チ ャ レ ン ジ / レ スポ ン スの メ カ ニズム を使用 し て、 ユーザー を安全に認証 し ま す。 Windows ネ ッ ト ワー ク ク レ デ ン シ ャ ルを Microsoft IIS (Internet Information Services) Web サーバーに 安全に送信で き ます。 NTLM 認証転送では、 Windows ド メ イ ン名がユーザーの認証 ク レ デ ン シ ャ ル と 一緒に渡 さ れま す。 こ れに よ り 、 パス ワー ド がそのま ま送信 さ れる こ と な く 、 Windows ネ ッ ト ワー ク に安全に 認証 さ れ、 Web リ ソ ース に ア ク セ ス で き る よ う に な り ます。 NTLM 認証転送を構成す る には 1. Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルの SSO オ プ シ ョ ン を有効に し 、 ユーザー認証情報を 転送す る任意の Web リ ソ ース にそのプ ロ フ ァ イ ルを添付 し ます。 2. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Authentication Servers] を ク リ ッ ク し ます。 3. 構成す るサーバーに対応す る [Edit] リ ン ク を ク リ ッ ク し ます。 [Configure Authentication Server] ページが表示 さ れます。 4. [Advanced] 設定を展開 し ます。 [NTLM authentication forwarding] エ リ ア で、 転送す る ド メ イ ン名を指定 し ます。 – [Domain name] ボ ッ ク ス に カ ス タ ム名を入力で き ますが、 必須ではあ り ません。 ド メ イ ン名を指定 し な い と 、 空 ( ヌ ル ) の ド メ イ ン名がユーザー ク レ デ ン シ ャ ル と 一緒に転 送 さ れます。 – ( ページ上部の [Name] ボ ッ ク ス で指定 し た ) 認証サーバー名を ユーザー ク レ デ ン シ ャ ル と 一 緒 に 転 送 す る に は、 [Forward the authentication server name as domain name] を ク リ ッ ク し ます。 メモ • • ク レ デ ン シ ャ ルが一致 し な い状況で NTLM 認証転送を使用す る には、 NTLM をサポー ト す る Web ブ ラ ウザが実行中で あ る必要があ り ます。 シ ン グル サ イ ン オ ンが有効で あ る場合、 Web プ ロ キシ サー ビ ス と バ ッ ク エ ン ド サーバー が、使用 さ れて い る認証方式を判断 し ます。AMC で 1 つの認証方式 ( 基本認証ま たは NTLM 認証 ) だけが有効で あ る場合、 その認証方式が使用 さ れます。 AMC で両方の認証方式が有 効で あ る場合、 NTLM 認証の方が安全であ る ため、 こ ち ら が使用 さ れます。 RSA ClearTrust の使用 202 | Aventail E-Class SRA 10.7 管理者ガ イ ド シ ン グル サ イ ン オ ン では、 ユーザー認証 ク レ デ ン シ ャ ルが RSA ClearTrust サーバーか ら ア プ ラ イ ア ン ス に転送 さ れ、 ア プ ラ イ ア ン スか ら さ ら に、 認証で こ れを必要 と す るバ ッ ク エ ン ド リ ソ ース に転送 さ れます。 こ の認証環境でのア プ ラ イ ア ン スのセ ッ ト ア ッ プ につい ては、203 ペー ジの 「RSA ClearTrust 構成」 を参照 し て く だ さ い。 RSA ClearTrust 認証の使用 E-Class SRA ア プ ラ イ ア ン スは、 RSA ClearTrust 認証環境の認証情報を受け取る こ と で、 認証 をサポー ト し ます。 ユーザーは、 Web ブ ラ ウザを使用 し て接続す る場合のみ、 RSA ClearTrust サーバー経由で認証を受け る こ と がで き ます。 次の図は、ユーザーがロ グ イ ン し て RSA ClearTrust 環境で認証を受け る場合の一般的な イ ベ ン ト の流れを示 し て い ます。 ࣮ࣘࢨ࣮ࡀ:RUN3ODFH ࢡࢭࢫࡋࠊ56$&OHDU7UXVW ࣒ࣞࣝࢆ㑅ᢥࡍࡿ せồࡀ:HE࢚࣮ࢪ࢙ࣥࢺ㌿㏦ࡉࢀࡿ ࣉࣛࣥࢫ &OHDU7UXVWᑐᛂ :HEࢧ࣮ࣂ࣮ ClearTrust URL :HEࢧ࣮ࣂ࣮ࡣࣉࣛ ࣥࢫࡽࢡࢭࢫ࡛ࡁࡿ ࢿࢵࢺ࣮࣡ࢡୖ࡞ࡅࢀࡤ ࡞ࡽ࡞࠸ ࣮ࣘࢨ࣮ࢡࣞࢹࣥࢩࣕࣝ ࡀ㏦ಙࡉࢀࠊ᳨ドࡉࢀࡿ &OHDU7UXVW ࣟࢢ࣮ࣥ࣌ࢪࡀ࣮ࣘࢨ࣮ ᥦ♧ࡉࢀࡿ ࢡࣞࢹࣥࢩࣕࣝࡀ&RRNLHಖᏑࡉ ࢀࠊ931ࣜࢯ࣮ࢫᑐࡍࡿࢡࢭࢫ ࡀチྍࡉࢀࡿ 1. ユーザーが WorkPlace の URL を入力 し 、 ド ロ ッ プ ダウ ン リ ス ト か ら ClearTrust レ ルム を 選択 し ま す。 ユーザーに対 し て 1 つの レ ルムのみ を 構成 し て い る 場合、 自動的に それが選 択 さ れます。 2. E-Class SRA ア プ ラ イ ア ン スは、要求を適切な Web エージ ェ ン ト に転送 し ます。ClearTrust Web エージ ェ ン ト は、AMC で指定 し た別の ClearTrust 対応の Web サーバー上にあ り ます。 3. Web エージ ェ ン ト は、 ClearTrust ポ リ シー サーバー と のチ ェ ッ ク を実行 し 、 対応す る認証 ページ を表示 し て、 ユーザーに ク レ デ ン シ ャ ルを入力す る よ う 要求 し ます。 4. ユーザーの ク レ デ ン シ ャ ルが Web エージ ェ ン ト に転送 さ れ、そのポ リ シー サーバー と 比較 し て評価 さ れます。 5. ユ ーザーの ア ク セ ス が承認 ま た は拒否 さ れ ま す。 認証が成功す る と 、 ク レ デ ン シ ャ ルが Cookie に保存 さ れ、 WorkPlace セ ッ シ ョ ンの間、 ユーザーは VPN リ ソ ース に ア ク セ ス で き ます。 RSA ClearTrust 構成 RSA ClearTrust を構成 し てユーザー を認証す る よ う にす る には、 ア プ ラ イ ア ン スは ClearTrust エ ー ジ ェ ン ト を ホ ス テ ィ ン グ し て い な い ため、 外部サーバーの URL を 指定す る 必要があ り ま す。 構成では、 AMC を使用 し て プ ラ イ ベー ト キー を含む .zip フ ァ イ ル と CGI ス ク リ プ ト を エ ク スポー ト す る必要があ り 、 ど ち ら も 、 ClearTrust 対応の Web サーバーに イ ン ス ト ールす る必 要があ り ます。 RSA ClearTrust 認証を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Authentication Servers] を ク リ ッ ク し 、[New] を ク リ ッ ク し ます。 ネ ッ ト ワー ク と 認証の構成 | 203 2. [Single sign-on server] の下にあ る [RSA ClearTrust] を ク リ ッ ク し ます ( 指定で き るのは 1 つの ClearTrust サーバーだけ で、 すで に構成済みで あ る 場合、 こ のオ プ シ ョ ン はグ レ ー 表示 さ れます )。 3. [Continue] を ク リ ッ ク し ます。[Configure Authentication Server] ページが表示 さ れます。 4. [Name] ボ ッ ク ス に認証サーバーの名前を入力 し ます。 5. [ClearTrust server URL] ボ ッ ク スに ClearTrust エージ ェ ン ト を ホ ス テ ィ ン グす る Web サーバーの URL を入力 し ます。 ClearTrust 対応の Web サーバーがデ フ ォ ル ト で あ る 636 以外のポー ト で リ ッ ス ン す る場合、コ ロ ンの後に接尾辞 と し て続け る こ と でポー ト 番号を指 定で き ま す。 セキ ュ ア SSL 接続 を 使用す る場合、 こ のボ ッ ク ス に https:// プ ロ ト コ ル識別 子を含めます。 6. プ ラ イ ベー ト キー と CGI ス ク リ プ ト を、RSA ClearTrust サーバー、ま たは RSA ClearTrust Web エージ ェ ン ト が イ ン ス ト ール さ れて い る コ ン ピ ュ ー タ に イ ン ス ト ールす る必要があ り ます。 [Export] を ク リ ッ ク し て .zip フ ァ イ ル ( デ フ ォ ル ト の名前は ctAgent.zip) に こ れ ら を保存 し 、 次のよ う に イ ン ス ト ール し ます。 – プ ラ イ ベー ト キー フ ァ イ ル (「webagent.key」 と い う 名前 ) を RSA ClearTrust サーバー の /usr/local/webagent デ ィ レ ク ト リ に置 き ます 。 RSA ClearTrust Web エージ ェ ン ト が イ ン ス ト ール さ れる コ ン ピ ュ ー タ には、 /usr/lib デ ィ レ ク ト リ に openssl ラ イ ブ ラ リ が 含 ま れ て い る 必 要 が あ り ま す。 ま た は、 少 な く と も 、 libssl.so.0.9.7 ラ イ ブ ラ リ と libcrypto.so.0.9.7 ラ イ ブ ラ リ が同 じ デ ィ レ ク ト リ に含まれてい る必要があ り ます 。 – CGI ス ク リ プ ト が RSA ClearTrust サーバーの /cgi-bin デ ィ レ ク ト リ に置かれて い る必 要があ り ます。 7. メモ [Save] を ク リ ッ ク し ます。 CGI ス ク リ プ ト フ ァ イ ルを RSA ClearTrust 対応 Web サーバーに イ ン ス ト ールす る場 合、 その フ ァ イ ルの所有者、 グループ、 お よ び権限がそのサーバーで正 し く 設定 さ れて い る必要があ り ます。 ローカル ユーザー ス ト レージの構成 AMC で ロ ー カ ル ユーザー ア カ ウ ン ト を作成 し 、 ロ ー カ ル認証レ ポジ ト リ に対応 さ せる こ と が で き ま す。 ロ ー カ ル ユーザー ア カ ウ ン ト の作成に関す る詳細につい ては、 94 ページの 「ロ ー カ ル ユーザー ア カ ウ ン ト の管理」 を参照 し て く だ さ い。 ア プ ラ イ ア ン ス には、 ロ ー カ ル ユーザー ス ト ア を 1 つだけ作成で き ます。 204 | Aventail E-Class SRA 10.7 管理者ガ イ ド ロ ー カ ル ユーザー認証を 設定す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Authentication Servers] を ク リ ッ ク し 、[New] を ク リ ッ ク し ます。 2. [Local user storage] の下にあ る [Local users] を ク リ ッ ク し ます ( ロ ー カ ル ス ト アがすで に存在す る場合、 こ のオ プ シ ョ ンはグ レ ー表示 さ れます )。 3. [Continue] を ク リ ッ ク し ます。[Configure Authentication Server] ページが表示 さ れます。 4. [Name] ボ ッ ク ス に認証サーバーの名前を入力 し ます。 5. [Password policy] エ リ ア で、 パス ワー ド に許可す る最小文字数 と 最大文字数を指定 し ま す。 4 以上の最小文字数、 256 以下の最大文字数を指定で き ます。 6. ユーザーのパス ワー ド に 1 文字以上の小文字が含まれて い る必要があ る こ と を指定す る に は、 [Lowercase letters] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 7. ユーザーのパス ワー ド に 1 文字以上の大文字が含まれて い る必要があ る こ と を指定す る に は、 [Uppercase letters] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 8. ユーザーのパス ワー ド に 1 文字以上の数字 (0 ~ 9) が含まれて い る必要があ る こ と を指定 す る には、 [Numeric digits] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 9. ユーザーのパス ワー ド に 1 文字以上の記号 ( ~`!@#$%^&*()_-+={}[]|\:;"'<,>.?/ ) が含まれて い る必要があ る こ と を指定す る には、 [Symbols] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 メモ パス ワー ド では、 UTF-8 文字がサポー ト さ れて い ます。 10. [Password expiration] エ リ ア で、 [Passwords expire after] チ ェ ッ ク ボ ッ ク ス を選択 し 、 パス ワー ド が期限切れに な る 日数 を 入力 し ま す。 チ ェ ッ ク ボ ッ ク スの選択 を 解除す る と 、 ユーザー パス ワー ド は期限切れに な り ません。 チ ェ ッ ク ボ ッ ク ス を選択 し た場合、 デ フ ォ ル ト は 60 日、 最短は 1 日、 最長は 365 日です。 11. [Begin prompting user] チ ェ ッ ク ボ ッ ク ス を選択 し 、 ユーザーにパス ワー ド の変更を要求 す る ま での日数を入力 し ます。 デ フ ォ ル ト は 14 日です。 ネ ッ ト ワー ク と 認証の構成 | 205 12. ロ グ イ ン時に Windows ユーザーに表示 さ れる プ ロ ン プ ト やその他のテキス ト を変更す る に は、[Advanced] セ ク シ ョ ン を展開 し 、[Customize authentication server prompts] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 ペー ジ タ イ ト ル、 メ ッ セー ジ、 ロ グ イ ン プ ロ ン プ ト な ど を すべて カ ス タ マ イ ズ で き ま す。 例 え ば、 従 業 員 ID を 使 用 し て ユ ー ザ ー を 識 別 す る 場 合、 [Identity] プ ロ ン プ ト を [Username:] か ら [Employee ID:] に 変更 で き ま す。 こ の構成 を テ ス ト に 使 用 す る 場合、 [Message] を カ ス タ マ イ ズ し て、 テ ス ト の手順やその他の指示が表示 さ れ る よ う に で き ま す。 13. パス ワー ド ま たはその他の身元を証明す る も のを [Proof] フ ィ ール ド に入力 し ます。 14. ワ ン タ イ ム パスワー ド に よ る二要素認証 を構成す る には、 [One-Time Passwords] エ リ ア で [Use one-time passwords with this authentication server] を選択 し ます。 15. [Passwords contain] フ ィ ール ド にパス ワー ド の文字数 と 文字 タ イ プ を入力 し て、パス ワー ド の形式を定義 し ます。 16. [From address] フ ィ ール ド に、 ワ ン タ イ ム パス ワー ド の送信元の電子 メ ール ア ド レ ス を 入力 し ます。 17. オ プ シ ョ ン で、 [Default domain] フ ィ ール ド に、 ワ ン タ イ ム パス ワー ド を送信す る ロ ー カ ル ユーザーの電子 メ ール ア ド レ ス を作成す る ために、 それぞれのユーザー名に付加す る ド メ イ ン を入力 し ます。 18. [Email Address] フ ィ ール ド で それぞれのロ ー カ ル ユーザー名の電子 メ ール ア ド レ ス を構 成 す る こ と で、 デ フ ォ ル ト ド メ イ ン を 上 書 き で き ま す。 こ の電 子 メ ー ル ア ド レ ス は、 「primaryEmail」 と い う 名前の User 属性 タ イ プ ポ リ シー変数 と し て使用で き る よ う に な り ます。 ユーザーご と に 1 つの電子 メ ール ア ド レ スがサポー ト さ れて い ます。 206 | Aventail E-Class SRA 10.7 管理者ガ イ ド 19. [Send test message] ボ タ ン を ク リ ッ ク し て テ ス ト 用の電子 メ ール メ ッ セージ を送信 し 、 その メ ッ セージ、 パス ワー ド 、 お よ び SMTP の設定が正 し い こ と を確認 し ます。 20. [Subject] フ ィ ール ド に、 ワ ン タ イ ム パス ワー ド を電子 メ ールで送信す る と き の件名のテキ ス ト を入力 し ます。 21. [Body] フ ィ ール ド に、 ワ ン タ イ ム パス ワー ド を含む電子 メ ールの内容を入力 し ま す。 ワ ン タ イ ム パス ワー ド の詳細につい ては、 212 ページの 「ワ ン タ イ ム パス ワー ド の使用に よ る セキ ュ リ テ ィ の強化」 を参照 し て く だ さ い。 22. [Save] を ク リ ッ ク し ます。 LDAP および AD 認証構成のテス ト 認証構成の設定を検証す る ため、 Microsoft Active Directory サーバー と LDAP サーバーの構成 に使用す る AMC ページ には、 [Test Connection] ボ タ ンがあ り ます。 こ のボ タ ン を ク リ ッ ク す る と 、 外部ユーザー レ ポ ジ ト リ と の通信が確立 さ れ、 ス テ ー タ ス情報が提供 さ れます。 ア プ ラ イ ア ン スが正 し く 構成 さ れて いれば、 「Valid connection!」 と い う メ ッ セージが表示 さ れ ます。 構成の設定に問題があ る と 、 問題を説明す る メ ッ セージが表示 さ れます。 テ ス ト 接続機能は、あ く ま で も ア プ ラ イ ア ン スが外部デ ィ レ ク ト リ にバ イ ン ド で き るかど う か を テ ス ト す る ための も のです。 ロ グ イ ン ク レ デ ン シ ャ ル を入力す る と 、 ア プ ラ イ ア ン スはそれを使用 し ますが、 入力 し な い と 、 デ ィ レ ク ト リ に ア ノ ニ マ ス にバ イ ン ド し よ う と し ます。 実際にはデ ィ レ ク ト リ を検索 し ないため、 接続を テ ス ト し て も 、 こ のロ グ イ ン ク レ デ ン シ ャ ルで構成 さ れて い る ド メ イ ン に ア ク セ ス で き るかど う かは検証 さ れません。 メモ 連鎖式認証の構成 セキ ュ リ テ ィ を強化す る ために、 ユーザーが 2 つの異な る認証方法を使用 し て 1 つのレ ルムで 認証 さ れ る よ う にす る こ と も で き ま す。 例えば、 RADIUS ま たはデジ タ ル証明書 を 最初の認証 方法 と し て設定 し 、 LDAP ま たは Active Directory を 2 番目の認証方法 と し て設定で き ま す。 ロ ー カ ル認証ス ト ア を、 プ ラ イ マ リ ま たはセ カ ン ダ リ のいずれかの認証サーバー と し て使用で き ま す。 ユーザーの名前がプ ラ イ マ リ お よ びセ カ ン ダ リ の認証サーバーの名前 と 同 じ で な けれ ばな ら ない よ う に設定す る こ と も で き ます。 ユーザーのロ グオ ン時の作業を 1 ス テ ッ プ プ ロ セ ス にす る ためには、AMC を構成 し て 1 セ ッ ト のプ ロ ン プ ト だけがユーザーに表示 さ れる よ う に し ます。 連鎖式認証を設定す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Realms] を ク リ ッ ク し ます。 2. 変更す る レ ルムの名前を ク リ ッ ク す るか、 [New] を ク リ ッ ク し て [Authentication server] ド ロ ッ プ ダウ ン リ ス ト か ら エ ン ト リ を 選択 し ま す。 こ れがプ ラ イ マ リ 認証サーバーに な り ます。 ネ ッ ト ワー ク と 認証の構成 | 207 連鎖式認証のいずれかの ク レ デ ン シ ャ ル タ イ プがデジ タ ル証明書で あ る 場合、 対応す る認 証はプ ラ イ マ リ サーバーで あ る 必要があ り 、 PKI サーバー を セ カ ン ダ リ 認証サーバー と し て構成す る こ と はで き ません。 3. [Advanced] を ク リ ッ ク し て、 [Secondary authentication server] を選択 し ます ( 何 も 定 義 さ れて い な い場合は [New] を ク リ ッ ク し ま す。 認証サーバーの設定の手順につい ては、 167 ページの 「認証サーバーの構成」 を参照 し て く だ さ い )。 4. こ れ以外の ( オ プ シ ョ ンの ) 設定は、 セキ ュ リ テ ィ を強化 し た り 、 ト ラ ブルシ ュ ー テ ィ ン グ に利用 し た り 、 ロ グ イ ン プ ロ セ ス を簡略化 し た り す る ために使用 し ます。 設定 説明 Audit username from this server 監査ログ と ア カ ウ ン テ ィ ン グ ロ グに ( プ ラ イ マ リ 認証 サーバーのユーザー名ではな く ) セ カ ン ダ リ 認証サー バーのユーザー名を表示 し ます。 Forward credentials from this server シ ン グル サ イ ン オ ン では、 1 セ ッ ト の ク レ デ ン シ ャ ル を バ ッ ク エ ン ド Web リ ソ ー ス に転送す る 必要があ り ます。 こ のチ ェ ッ ク ボ ッ ク ス を選択する と 、 こ の ( セ カ ン ダ リ ) 認証サーバーか ら ク レ デ ン シ ャ ルが転送 さ れます。 Usernames must match こ のチ ェ ッ ク ボ ッ ク スが選択 さ れてい る場合、 最初の 認証手順で送信 さ れたユーザー ID が 2 番目の手順で 送信 さ れたユーザー ID が異な る と 、認証が失敗 し ます。 このオプ シ ョ ンは、認証方法でユーザー名 / パスワー ド または ト ー ク ン、または証明書のいずれかが使用 さ れる 場合に使用で き ます。 このオプ シ ョ ンの用途 と し て、プ ラ イ マ リ 認証サーバー は証明書を使用 し 、セ カ ン ダ リ 認証サーバーはユーザー 名 / パスワー ド を使用する例が考え られます。 こ のオプ シ ョ ン が有効に な っ て い な い と 、 エ ン ド ユーザーは、 最初のユーザーに有効な ク レ デ ン シ ャ ルがあ っ た場合 に、 別のユーザーの ク レ デ ン シ ャ ルで ロ グ イ ン で き ま す。 こ の設定を オ ン にす る と 、 証明書のユーザー名が ユーザー名 / パスワー ド ク レデン シ ャ ルのユーザー名 と 一致 し ないため、 その認証は失敗 し ます。 Combine authentication prompts on こ のチ ェ ッ ク ボ ッ ク ス を選択する と 、 ア プ ラ イ ア ン ス one screen は、ユーザー名が両方の認証サーバーで同 じ であるかど う かを確認 し ます。 ユーザー名が同 じ である場合、 ユー ザーの ク レ デ ン シ ャ ルを要求す る プ ロ ン プ ト が 1 つの 画面に組み合わせて表示 さ れます。ユーザー名が異な る 場合、 ログ イ ンが拒否 さ れ、 ( 安全上の理由から ) 理由 を説明する エ ラ ー メ ッ セージは表示 さ れません。 ユーザー ク レ デン シ ャ ルにデジ タ ル証明書が含まれて いる場合は、ユーザー名が両方のサーバーで同 じ であ っ て も、 認証プ ロ ン プ ト を組み合わせる こ と はで き ませ ん。 208 | Aventail E-Class SRA 10.7 管理者ガ イ ド 設定 Customize prompts 説明 authentication server ([Combine authentication prompts on one screen] が選択 さ れている場合に、 Win-dows ク ラ イ ア ン ト での み指定で き ます。 ) 認証サーバーの構成時に、ユーザーに表示 さ れる プ ロ ン プ ト を カ ス タ マ イ ズするオプ シ ョ ンがあ り ます。2 つの こ の よ う な サ ーバーが連鎖 さ れ て い る 場合、 [Title]、 [Message]、 [Identity] フ ィ ール ド を カ ス タ マ イ ズ し て 組み合わせた認証プ ロ ン プ ト を ユーザーに提示で き ま す。 パスワー ド フ ィ ール ド の名前は、 それぞれの認証 サーバーの構成から取 り 込まれます。 このカ ス タ マ イ ズ構成が選択 さ れていない場合、2 つの 認証サーバーで構成 さ れてい る プ ロ ン プ ト が表示 さ れ ます。 連鎖式認証ログイ ンの例 こ の例では、 シ ス テム管理者が 「Employees」 と い う 名前の レ ルムに対 し て 2 つの認証方法を 設定 し てい ます。 • • プ ラ イ マ リ 認証サーバーは RADIUS を使用 し てい ま す。 ([Configure Authentication Server] ページの [Advanced] 設定にあ る ) [Proof] プ ロ ン プ ト は 「Passcode」 に カ ス タ マ イ ズ さ れて い ます。 セ カ ン ダ リ 認証サーバーは LDAP を使用 し て い ます。[Proof] プ ロ ン プ ト は「Remote access password」 に カ ス タ マ イ ズ さ れてい ま す。 ネ ッ ト ワー ク と 認証の構成 | 209 [Configure Realm - Employees] ペ ー ジ の [Advanced] 設定は、 次の よ う に 表示 さ れ ま す。 [Title]、 [Message]、 [Identity] の フ ィ ール ド を カ ス タ マ イ ズで き ます。 AMC の設定に基づ き 、 次のよ う な ロ グ イ ン画面がユーザーに表示 さ れます。 両方の認証サーバーでユーザー名が同 じ で あ る ため、 ユーザーは自分のユーザー名を 1 度だけ 入力 し ます。 210 | Aventail E-Class SRA 10.7 管理者ガ イ ド メモ • • • ユーザーがユーザー名ま たはパス ワー ド の入力を間違え る と 、 エ ラ ー メ ッ セージ ( 「The credentials provided were invalid」 ) が表示 さ れ、 セ カ ン ダ リ 認証サーバーのプ ロ ン プ ト のみが表示 さ れます。 ク レ デ ン シ ャ ルを再入力す る には、 ブ ラ ウザの [Back] ボ タ ン を ク リ ッ ク し て最初のロ グ イ ン ページ に戻る必要があ り ます。 ユーザー名 と パス ワー ド が両方の認証方法で使用 さ れる場合、ユーザー名が同 じ で あ る必要 はあ り ません ( た だ し 、 一般的には同 じ です )。 プ ラ イ マ リ ユーザー名が AMC の AMC 管 理者な どの役割に マ ッ ピ ン グ さ れて い る場合、 セ カ ン ダ リ ユーザー名 を 同 じ 役割に割 り 当 て る必要はあ り ません。 両方のサーバーで両方のユーザー名の認証が成功す る と 、 プ ラ イ マ リ ユーザー名の役割に対応す る ア ク セ スが付与 さ れます。 Virtual Assist 技術担当者 ク ラ イ ア ン ト の起動に よ っ て ア プ ラ イ ア ン ス に接続す る場合の連 鎖式認証はサポー ト さ れて い ません。 Virtual Assist 技術担当者 ク ラ イ ア ン ト を起動 し て ア プ ラ イ ア ン ス に接続す る場合、 連鎖式認証が有効に な っ ていれば、 [Domains] の ド ロ ッ プ ダ ウ ン リ ス ト を使用で き ます。 [Management Console] ド メ イ ン ( レ ルム ) は、 連鎖式認証で の AMC へのロ グ イ ン に使用 さ れま す ( 連鎖式認証が有効で な い場合、 外部認証サーバーで AMC に ロ グ イ ン し ます )。 他の ド メ イ ンは [Management Console - Legacy] に表示 さ れま す。 Virtual Assist 技術担当者は、 レ ガ シ ー管理ア カ ウ ン ト に ロ グ イ ン で き ま す。 119 ペー ジの 「レ ガ シー ロ ー カ ル管理者ア カ ウ ン ト の追加 / 編集」 を参照 し て く だ さ い。 レルムでのグループ ア フ ィ ニテ ィ チ ェ ッ クの有効化 ア プ ラ イ ア ン スは、 「グルー プ ア フ ィ ニ テ ィ チ ェ ッ ク 」 を サポー ト し て い ます。 こ れは、 あ る サーバーでユーザー を認証 し 、 2 番目のデ ィ レ ク ト リ でユーザーが属す る グルー プ ( あ る場合 ) の情報を提供す る よ う な ネ ッ ト ワー ク 環境です。こ のよ う な状況は、認証には RADIUS SecurID ト ー ク ンが使用 さ れ、 ユーザーのグルー プ情報は LDAP サーバーま たは Active Directory サー バーか ら 送 ら れて く る よ う な場合に当てはま り ます ( こ れに対 し 、 連鎖式認証では、 2 つの認証 サーバーで ユーザー を 認証す る 必要があ り ま す。 詳細につい ては、 207 ペー ジの 「連鎖式認証 の構成」 を参照 し て く だ さ い )。 グルー プ メ ンバーシ ッ プは、 ア ク セ ス制御の重要な要素です。 デ ィ レ ク ト リ に保管 さ れて い る ユーザー グルー プ を参照 し 、 ア ク セ ス制御ルールで それ ら のグルー プ を参照す る よ う 、 ア プ ラ イ ア ン ス を構成で き ます。 グルー プ ア フ ィ ニ テ ィ チ ェ ッ ク を有効にす る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Realms] を ク リ ッ ク し ます。 2. 変更す る レ ルムの名前を ク リ ッ ク し ます。 3. [Advanced] を ク リ ッ ク し ます。 [Group authorization] エ リ ア で、 [Enable group affinity checking] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 4. [Server] リ ス ト で、 グループ情報 を保管す る LDAP サーバーま たは Active Directory サー バーの名前 を 選択 し ま す。 [New] を ク リ ッ ク し て 新 し い グルー プ ア フ ィ ニ テ ィ グルー プ サーバー を定義す る こ と も で き ます。 ネ ッ ト ワー ク と 認証の構成 | 211 認証サーバーのグルー プ承認チ ェ ッ ク が無効の場合、 サーバーは指定可能な ア フ ィ ニ テ ィ サーバーの リ ス ト に表示 さ れません。 詳細につい ては、 169 ページの 「認証チ ェ ッ ク の無効 化」 を参照 し て く だ さ い。 5. [Save] を ク リ ッ ク し ます。 レ ルムの作成のプ ロ セ ス で グルー プ ア フ ィ ニ テ ィ チ ェ ッ ク を有効にす る と 、 使用で き る ボ タ ン が異な り ます。 • • [Next] を ク リ ッ ク し て、 [Configure Realms] ページの [Communities] タ ブ を表示 し ます。 [Finish] を ク リ ッ ク し て、 [Authentication] ページ に戻 り ます。 ワン タ イム パスワー ド の使用によ る セキ ュ リ テ ィ の強化 ワ ン タ イ ム パス ワー ド (OTP) は、 ラ ン ダムに生成 さ れ、 1 度だけ使用 さ れるパス ワー ド です。 OTP を認証の 2 番目の要素 と し て使用す る と 、 ユーザーのセキ ュ リ テ ィ が強化 さ れます。 標準 のユーザー名 と パス ワー ド の ク レ デ ン シ ャ ルの送信後に、 シ ス テ ムに よ っ て生成 さ れた ワ ン タ イ ム パス ワー ド が、 事前に定義 さ れた SMS ま たは電子 メ ール ア ド レ スのユーザーに送信 さ れ ます。 ユーザーは次に、 その電子 メ ール ア カ ウ ン ト に ロ グ イ ン し て OLT を取得 し 、 プ ロ ン プ ト に入力 し ます。 ロ グ イ ンの成功、 取 り 消 し 、 ま たは失敗の後に新 し い OTP が毎回生成 さ れる た め、 パス ワー ド が危険に さ ら さ れる可能性が低 く な り ます。 OTP を含む認証を構成す る には、 以下の手順を実行す る必要があ り ます。 • • メ ール サーバー を構成 し ま す。 ワ ン タ イ ム パス ワー ド が外部 ド メ イ ン に配信 さ れる場合 ( 例えば、 SMS ア ド レ スや外部 Web メ ール ア ド レ ス )、 SMTP サーバー を構成 し て ア プ ラ イ ア ン スか ら 外部 ド メ イ ン にパス ワー ド を送信で き る よ う にす る必要があ り ます。 認証サーバーの構成の [Advanced] エ リ ア で、 OTP を構成 し ます。 OTP が送信 さ れる電子 メ ール ア ド レ ス を保管す る デ ィ レ ク ト リ 属性を指定 し ます。 ワン タ イム パスワー ド の配信のための SMTP の構成 ワ ン タ イ ム パス ワー ド を 配信す る 電子 メ ール ア ド レ スが外部 ド メ イ ン にあ る 場合 (SMS ア ド レ スや外部の Web メ ール ア ド レ ス な ど )、 SMTP サーバー を構成 し て、 ア プ ラ イ ア ン スか ら 外 部 ド メ イ ン にパス ワー ド を送信で き る よ う にす る必要があ り ます。 Microsoft Exchange を構成 し て ワ ン タ イ ム パス ワー ド をサポー ト す る よ う にす る には 1. Exchange シ ス テム マ ネージ ャ に移動 し 、 [ サーバー ] > [ プ ロ ト コ ル ] > [SMTP] を展開 し ます。 2. [ 既定の SMTP 仮想サーバー ] ま たは該当す る SMTP サーバー イ ン ス タ ン ス を右 ク リ ッ ク し ます。 3. [ プ ロパテ ィ ] を ク リ ッ ク し 、 [ ア ク セ ス ] タ ブ を選択 し ます。 4. [ 中継の制限 ] エ リ アの [ 中継 ] を ク リ ッ ク し ます。 5. [ 以下の リ ス ト に含まれる コ ン ピ ュ ー タ のみ ] を選択 し 、 [ 追加 ] を ク リ ッ ク し ます。 6. SRA E-Class ア プ ラ イ ア ン スの IP ア ド レ ス ( 例えば、 10.50.165.5) を入力 し 、 [OK] を ク リ ッ ク し ます。 ア プ ラ イ ア ン スが [ ア ク セ スが許可 さ れま し た ] のス テー タ ス で リ ス ト に 表示 さ れます。 7. [OK] を ク リ ッ ク し ま す。 ワン タ イム パスワー ド のための認証サーバーの構成 212 | Aventail E-Class SRA 10.7 管理者ガ イ ド ワ ン タ イ ム パス ワー ド を 配信す る 電子 メ ール ア ド レ スが外部 ド メ イ ン にあ る 場合 (SMS ア ド レ スや外部の Web メ ール ア ド レ ス な ど )、 212 ページの 「ワ ン タ イ ム パス ワー ド の配信のため の SMTP の構成」 に記載 さ れて い る方法で、 SMTP サーバー を構成 し て、 ア プ ラ イ ア ン スか ら 外部 ド メ イ ン にパス ワー ド を送信で き る よ う にす る必要があ り ます。 認証サーバーご と に、OTP が送信 さ れる電子 メ ール ア ド レ ス を保管す る デ ィ レ ク ト リ 属性 も 指 定す る 必要があ り ま す。 プ ラ イ マ リ 属性 を 指定す る 必要があ り 、 プ ラ イ マ リ が見つか ら なか っ た場合に問い合わせる セ カ ン ダ リ 属性 も 指定で き ます。 認証サーバー を構成 し てワ ン タ イ ム パス ワー ド をサポー ト す る よ う にす る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Servers] を ク リ ッ ク し 、 構 成を変更す る AD (Microsoft Active Directory ま たは Microsoft Active Directory Tree)、 LDAP、 ま たはロ ー カ ルの認証サーバーの隣にあ る [Edit] を ク リ ッ ク し ます。 2. 必要があれば [Credential type] を選択 し 、 [Continue] を ク リ ッ ク し ま す。 3. [Advanced] を展開 し 、 [Use one-time passwords with this authentication server] を選 択 し ます。 4. ワ ン タ イ ム パスワー ド を送信す る電子 メ ール ア ド レ スのデ ィ レ ク ト リ 属性を入力 し ます。 プ ラ イ マ リ 属性が認証サーバーに存在す る場合はそれが使用 さ れ、存在 し な い場合にセ カ ン ダ リ 属性が指定 さ れて いればそれが使用 さ れます。 AD または LDAP デ ィ レ ク ト リ サーバーの構成 AD ま たは LDAP デ ィ レ ク ト リ サーバーのスキーマ には、 ワ ン タ イ ム パス ワー ド を送信す る電 子 メ ー ル ア ド レ ス を 含 む 属 性 が 含 ま れ て い る 必 要 が あ り ま す。 ロ ー カ ル 認 証 ス ト ア は [primaryEmail] 属性 を使用 し ますが、 こ の属性は、 ロ ー カ ル ユーザー ア カ ウ ン ト を編集す る こ と で、 ユーザー単位で構成で き ま す。 94 ページの 「ロ ー カ ル ユーザー ア カ ウ ン ト の管理」 を 参照 し て く だ さ い。 こ のア ド レ スは、 ユーザーの会社の電子 メ ール ア ド レ ス で な く て も 構い ません。 認証を完了す る には、 OTP が含まれる電子 メ ールを ユーザーが開 く こ と がで き る必要があ り 、 会社のア ド レ ス に送信 さ れる と 、 ユーザーがそのア カ ウ ン ト に ま だ ア ク セ ス で き な い可能性があ り ます。 ワ ン タ イ ム パスワー ド を構成 し て、SMS 対応の携帯電話に電子 メ ールの メ ッ セージが直接送信 さ れる よ う に で き ます。 SMS 対応の詳細につい ては、 お使いの携帯電話のサー ビ ス プ ロバ イ ダ にお問い合わせ く だ さ い。 ユーザーの SMS ア ド レ スが含 まれ る 属性 ( 例えば、 SMSphone) に合わせて、 デ ィ レ ク ト リ サーバー (AD ま たは LDAP) のスキーマ を変更す る必要があ り ます。使用す る ア ド レ スは、 ユー ザーの電話番号やサー ビ ス プ ロバ イ ダに よ っ て異な り ます。例えば、米国の電話番号の Verizon の電話の属性値で あれば、 <10 桁の電話番号 >@vtext.com と い う よ う に な り ます。 次のステ ッ プ 基本的な セ ッ ト ア ッ プが終了 し 、 ア プ ラ イ ア ン スの SSL 証明書を取得 し 、 認証設定を構成 し た ら 、 ユーザー と ユーザー グルー プの管理、 リ ソ ースの定義、 ア ク セ ス制御ルールの構成に着手 で き ます。 ネ ッ ト ワー ク と 認証の構成 | 213 214 | Aventail E-Class SRA 10.7 管理者ガ イ ド 第6章 セキ ュ リ テ ィ 管理 セ キ ュ リ テ ィ の管理は、 管理者に と っ て 最 も 重要 な 役割 で し ょ う 。 Aventail 管理 コ ン ソ ール (AMC) を使用す る と 、 セキ ュ リ テ ィ 管理の基本要素 ( リ ソ ースやア ク セ ス制御 リ ス ト ) を簡単 に管理で き ます。 リ ソ ースの作成 と 管理 こ のセ ク シ ョ ン では、 個別の リ ソ ース、 リ ソ ース グルー プ、 リ ソ ースの構成設定の作成 と 管理 の方法 を 説明 し ま す。 リ ソ ー スは、 ア ク セ ス制御ルールで参照す る 前に定義す る こ と も 、 ア ク セ ス制御ルール イ ン タ ー フ ェ ース で直接定義す る こ と も で き ます ( 後者の方法につい ては、262 ページの 「ア ク セ ス制御ルールか ら のユーザー と リ ソ ースの追加」 を参照 し て く だ さ い )。 ア プ ラ イ ア ン スの コ マ ン ド ラ イ ン で使用で き る ツ ールで、 DNS で解決で き な いホ ス ト を参照 し て い る かど う か、 ア ク セ ス制御ルールに参照 さ れて い な い リ ソ ー スが含まれて い る かど う か を 確認で き ます。 詳細については、 550 ページの 「ホ ス ト の確認」 を参照 し て く だ さ い。 リ ソ ース タ イ プ E-Class SRA ア プ ラ イ ア ン ス では、広範囲の企業 リ ソ ース に ア ク セ ス で き ます。こ れ ら の リ ソ ー スは、 Web リ ソ ース、 ク ラ イ ア ン ト / サーバー リ ソ ース、 フ ァ イ ル共有 リ ソ ースの 3 つに分類 さ れます。 組み込み リ ソース ア プ ラ イ ア ン ス にはい く つかの リ ソ ースが組み込まれて お り 、 こ れ ら の リ ソ ース を使用す る と 、 WorkPlace ポー タ ルのセ ッ ト ア ッ プ で す ぐ に取得で き ま す。 こ れ ら の リ ソ ー スは削除で き ず、 一部の リ ソ ース には、 WorkPlace のシ ョ ー ト カ ッ ト か ら ア ク セ ス で き ます。 Aventail WorkPlace ( リ ソ ース タ イ プ : URL) WorkPlace ポー タ ルを使用す る と 、 ユーザーが Web ベースの リ ソ ースに ア ク セ ス で き ます。 こ の タ イ プの リ ソ ースは、 他の組み込み項目に よ っ て使用 さ れ、 あ ら ゆ る ゾ ー ン のあ ら ゆ る ユー ザーにデ フ ォ ル ト WorkPlace ポー タ ルへのア ク セ ス を許可す る、 「permit all」 ( すべて許可 ) の ルールを変更で き ます。 セキ ュ リ テ ィ 管理 | 215 値 :http://127.0.0.1:8085/workplace/ Connect Tunnel ( リ ソ ース タ イ プ : URL) Connect Tunnel は、 ネ ッ ト ワー ク リ ソ ースへのブ ロ ー ド ア ク セ ス を提供す る ア プ リ ケーシ ョ ン です。 Connect Tunnel ク ラ イ ア ン ト へのユーザーのア ク セ ス方法を管理者が決定 し ます。 ユーザーが WorkPlace の リ ン ク ( シ ョ ー ト カ ッ ト ) か ら Connect Tunnel ク ラ イ ア ン ト を ダ ウ ン ロ ー ド し て有効に で き る よ う に し ます。ユーザーに こ の リ ソ ースへのア ク セ ス を許可す る と 、 ク ラ イ ア ン ト の イ ン ス ト ール と 使用の両方を許可す る こ と に な り ます。 こ の リ ソ ース へのア ク セ スが許可 さ れて いな いユーザーは、 Connect Tunnel を使用 し て ネ ッ ト ワー ク リ ソ ー ス に ア ク セ ス で き ま せ ん。 WorkPlace の こ の リ ソ ー ス の シ ョ ー ト カ ッ ト (Install Connect Tunnel) は変更ま たは削除で き ますが、 リ ソ ース その も のは変更ま たは削除で き ま せん。 • Connect Tunnel ク ラ イ ア ン ト のセ ッ ト ア ッ プ パ ッ ケージ を展開 し ます。 ユーザーが Aventail WorkPlace に ロ グ イ ン す る必要はあ り ません。 値 :http://127.0.0.1:8085/ctdownload/ • Network Explorer ( リ ソ ース タ イ プ : ネ ッ ト ワー ク共有 ) Network Explorer は、 WorkPlace か ら ア ク セ ス で き る Web ベースの拡張機能で、 ユーザーに 使 用 が 許 可 さ れ て い る 任 意 の Windows フ ァ イ ル シ ス テ ム リ ソ ー ス に ア ク セ ス で き ま す (Windows 以外のプ ラ ッ ト フ ォ ームのデス ク ト ッ プ ブ ラ ウザか ら で あ っ て も )。該当す る リ ソ ー ス と し て は、 サ ー バ ー、 コ ン ピ ュ ー タ 、 ワ ー ク グ ル ー プ、 フ ォ ル ダ、 フ ァ イ ルが あ り ま す。 WorkPlace の こ の リ ソ ー ス の シ ョ ー ト カ ッ ト (Network Explorer) は変更 ま たは削除 で き ま す が、 リ ソ ース その も のは変更ま たは削除で き ません。 値 :\\127.0.0.1\networkexplorer\ Web リ ソ ース Web リ ソ ース には、 HTTP ま たは HTTPS を使用 し て ア ク セ スす る、 Web ベースのア プ リ ケー シ ョ ンやサー ビ スが含まれます。 例えば、 Microsoft Outlook Web Access な どの Web ベースの 電子 メ ール プ ロ グ ラ ム、 Web ポー タ ル、 企業の イ ン ト ラ ネ ッ ト 、 標準 Web サーバーな どが こ れに該当 し ます。 Web ト ラ フ ィ ッ ク は、 Web プ ロ キシ サー ビ ス に よ っ て プ ロ キ シ さ れま す。 ユーザーは、 こ の セキ ュ ア なゲー ト ウ ェ イ 経由で、 イ ン タ ーネ ッ ト か ら プ ラ イ ベー ト の Web リ ソ ース に ア ク セ ス で き ま す。 Web リ ソ ース を ア ク セ ス制御ルールの接続先 と し て定義す る場合、 その Web ブ ラ ウザが、 ルールで使用で き る ク ラ イ ア ン ト ソ フ ト ウ ェ ア エージ ェ ン ト に入 っ て い る こ と を確認 し て く だ さ い。 詳細につい ては、 265 ペー ジの 「無効な接続先 リ ソ ー スの解決」 を 参照 し て く だ さ い。 Web リ ソ ースは、 い く つかの方法で定義で き ます。 URL の タ イ プ 例 標準 URL http://host.example.com/index.html ポー ト 番号付きの標準 URL http://host.example.com:8445/index.html セキ ュ ア サイ ト の URL https://host.example.com/index.html IP ア ド レ ス を含む URL http://192.0.34.0/index.html マ ッ チ ング URL ワ イル ド カ ー ド を使用 し て、 Web リ ソ ースのグループ を参照 し ま す。 http://mailserver*.company.com/ 216 | Aventail E-Class SRA 10.7 管理者ガ イ ド URL の タ イ プ 例 パス と ク エ リ 文字列のマ ッ チ パス エ レ メ ン ト や ク エ リ 文字列値を特定の URL と 一致 さ せる こ ング URL と で、 電子 メ ールの添付フ ァ イルを ブ ロ ッ ク し た り 、 Web ベース のア プ リ ケーシ ョ ンが制限 さ れてい るデー タ を表示 し ない よ う に し ます。 http://www.patientrecords.com/reports.aspx?last_name= Web ベースのア プ リ ケーシ ョ ンの中には、HTTP 以外のプ ロ ト コ ルを使用す る Java ア プ レ ッ ト やその他のブ ラ ウザ エ ク ス テ ン シ ョ ン を使用す る も の も あ り ます。 こ れ ら のア プ リ ケーシ ョ ン に も Web ブ ラ ウザを使用 し て ア ク セ ス し ますが、 こ れ ら は、 Web リ ソ ース と し て ではな く 、 ク ラ イ ア ン ト / サーバー と し て定義 し 、 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト ま たは ク ラ イ ア ン ト / サーバー プ ロ キシ エージ ェ ン ト を使用 し て ア ク セ スす る必 要があ り ます。 こ のよ う な ア プ リ ケーシ ョ ン と し ては、 Citrix NFuse、 Oracle J-Initiator、 お よ び一部のバージ ョ ンの SAP お よ び PeopleSoft な どがあ り ます。 メモ ク ラ イ ア ン ト / サーバー リ ソ ース ク ラ イ ア ン ト / サーバー リ ソ ースは、 TCP/IP 経由で動作す る企業ア プ リ ケーシ ョ ン です (UDP を使用す る ア プ リ ケーシ ョ ン を含む )。 こ のよ う な ア プ リ ケーシ ョ ン と し ては、 Citrix のよ う な シ ン ク ラ イ ア ン ト ア プ リ ケーシ ョ ン、Microsoft Outlook のよ う な フ ル ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ン、 Lotus Notes、 SAP、 タ ー ミ ナル サーバーな どがあ り ます。 こ れ ら の タ イ プの ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ンは、 ホ ス ト 名、 IP ア ド レ ス ま たは IP 範囲、 サブ ネ ッ ト IP ア ド レ ス、 ま たは DNS ド メ イ ン を指定す る こ と で定義 し ます。 こ れ ら の リ ソ ースは、複数の Web リ ソ ース を含むネ ッ ト ワー ク オ ブ ジ ェ ク ト ( ド メ イ ン な ど ) の定義 や、 接続要求の送信元に よ っ て ア ク セ ス を制御で き る ネ ッ ト ワー ク オ ブ ジ ェ ク ト の定義に も 使 用で き ます。 次の表に、 こ れ ら の リ ソ ース タ イ プのそれぞれの定義で使用す る構文を記載 し ます。 ホ ス ト 名 は、 完全修飾ま たは修飾な し で記述で き ます。 リ ソ ース タ イ プ 例 ド メ イン private.example.com ホス ト 名 bart.private.example.com ホス ト の IP ア ド レ ス 192.0.34.72 IP 範囲 192.0.34.72 - 192.0.34.74 サブネ ッ ト 192.0.34.0 / 255.255.255.0 例 こ の例では、 Web 開発チームが 1 台の Web サーバー、 3 つの仮想 Web サーバー を使用 し て い て、 開発プ ロ セ スのス テ ージ ご と に 1 つの仮想 Web サーバー を使用 し て い ます。 それぞれの仮 想 Web サーバーは異な る ポー ト で リ ッ ス ン し ます。 Web 開発チームは、 3 つの異な る URL リ ソ ース を作成す るのではな く 、 Web サーバー を定義 す る こ と で、 すべてのポー ト の ト ラ フ ィ ッ ク を ホ ス ト 名ま たは IP ( 例えば、 webdev.yourcompany.com) の リ ソ ース タ イ プ と し て プ ロ キシす る よ う に で き ま す。 さ ら に、 シ ン グル サ イ ン オ ン Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルを追加 し 、 3 つの仮想 Web サー バーすべて を 1 度に定義 し 、 同 じ SSO プ ロ フ ァ イ ルを共有 し ま す。 webdev.yourcompany.com セキ ュ リ テ ィ 管理 | 217 webdev.yourcompany.com:8080 webdev.yourcompany.com:8443 Microsoft Outlook は、 非修飾ホ ス ト 名を使用 し て Microsoft Exchange に接続 し ます。 Microsoft Exchange サ ーバ ー を リ ソ ー ス と し て 定義 す る 場合は、 非修飾名 ( 例 え ば、 CorpMail) と し て定義 し ま す。 メモ Exchange を Symbian、 Android、 iPad、 iPhone で使用す る には、 タ イ プ ActiveSync の URL リ ソ ース を Exchange 用に作成 し ます。 フ ァ イル共有 リ ソ ース ユーザーが WorkPlace に ロ グ イ ン す る と 、 設定 し た フ ァ イ ル シ ス テム リ ソ ース に ア ク セ ス で き る よ う に な り ます。 こ れ ら の フ ァ イ ル シ ス テム リ ソ ース と し ては、 共有 フ ォ ルダや共有 フ ァ イ ル、 Windows ネ ッ ト ワー ク サーバーな どがあ り ます。 UNC パス を入力 し て特定の フ ァ イ ル シ ス テム共有を定義す る こ と も 、 Windows ド メ イ ン全体 を定義す る こ と も で き ます。 特定の フ ァ イ ル シ ス テム リ ソ ース と し て定義で き るのは、サーバー全体 ( 例えば、\\ginkgo)、 共有 フ ォ ルダ (\\john\public)、 ま たはネ ッ ト ワー ク フ ォ ルダ (\\ginkgo\news) です。 • Windows ド メ イ ン全体を定義す る と 、ド メ イ ン内のすべてのネ ッ ト ワー ク フ ァ イ ル リ ソ ー ス に対 し てユーザー ア ク セ ス を許可で き ます。 こ れ ら の リ ソ ースは、 Windows Explorer で ネ ッ ト ワー ク を閲覧す る と 表示 さ れる も の と 同 じ も のです ([ マ イ ネ ッ ト ワー ク ] > [ ネ ッ ト ワー ク 全体 ] > [Microsoft Windows Network])。 リ ソ ース変数を使用す る と 、 ネ ッ ト ワー ク 上の複数の フ ォ ルダ を動的に参照で き ます。 例えば、 各ユーザーが個人 フ ォ ルダ に ア ク セ ス で き る よ う にす る には、 ユーザー名の変数 を 使用 し て リ ソ ース を 作成 し 、 WorkPlace に シ ョ ー ト カ ッ ト を 作成す る と き にその変数を 使用 し ま す。 詳細 につい ては、 234 ページの 「セ ッ シ ョ ン プ ロパテ ィ 変数の使用」 の例を参照 し て く だ さ い。 • リ ソ ース と リ ソ ース グループ こ のセ ク シ ョ ン では、 リ ソ ース と リ ソ ース グループの使用方法を説明 し ます。 リ ソ ース と リ ソ ース グループ 個々の リ ソ ース ま たは リ ソ ースのグルー プ を AMC で表示お よ び定義で き ます。 利用可能な リ ソ ース と リ ソ ース グルー プの リ ス ト を表示す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Resources] を ク リ ッ ク し ます。 218 | Aventail E-Class SRA 10.7 管理者ガ イ ド 2. [Resources] タ ブ で、 利用可能な個々の リ ソ ースの リ ス ト を参照で き ます ([Resource Groups] タ ブ には、 リ ソ ースの集ま り が表示 さ れます )。 3. ページの上部にあ る [Filters] 設定を使用す る と 、 こ こ に表示 さ れる リ ソ ース を フ ィ ル タ リ ン グ で き ます。 フ ィ ル タ の使用の詳細については、 107 ページの 「AMC イ ン タ ー フ ェ ース ク イ ッ ク ツ アー」 の 「 フ ィ ル タ 」 の節を参照 し て く だ さ い。 [Type] 列 に は、 そ れ ぞ れの リ ソ ー ス の タ イ プ が表示 さ れ ま す ([Domain name] や [Host name] な ど )。 ク ラ イ ア ン ト / サーバー リ ソ ースには、 Web ア プ リ ケーシ ョ ン と ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ンの両方が含まれま す。 [Used] 列は、 リ ソ ースが WorkPlace のシ ョ ー ト カ ッ ト で指定 さ れて い るかど う かを表 し ま す。 4. 特定の リ ソ ースの概要を表示す る には、 リ ソ ースの隣にあ る プ ラ ス記号 (+) を ク リ ッ ク し ま す。 その リ ソ ースの タ イ プ、 値、 お よ び WorkPlace のシ ョ ー ト カ ッ ト やア ク セ ス ルールで 使用 さ れて い るかど う かが表示 さ れます。 5. リ ソ ース を編集す る には、 リ ソ ース リ ス ト で その リ ソ ースの リ ン ク を ク リ ッ ク し ます。 デ フ ォ ル ト では、ア プ ラ イ ア ン スには、Aventail WorkPlace や Connect Tunnel Download な どのい く つかの読み取 り 専用 リ ソ ース定義が付属 し て い ます。 こ れ ら の定義は、 ア プ ラ イ ア ン ス サー ビ ス に必要で あ り 、削除で き ません ( 読み取 り 専用 リ ソ ースの横にはチ ェ ッ ク ボ ッ ク スが表示 さ れません )。 メモ リ ソ ースの追加 ア プ リ ケーシ ョ ン リ ソ ース (Web、 ク ラ イ ア ン ト / サーバー、 フ ァ イ ル共有 リ ソ ース ) を作成す る こ と が、 ア ク セ ス ポ リ シー を構築す る最初の手順です。 リ ソ ース を追加す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Resources] を ク リ ッ ク し ます。 セキ ュ リ テ ィ 管理 | 219 2. [New] を ク リ ッ ク し 、 ド ロ ッ プ ダウ ン リ ス ト か ら リ ソ ース タ イ プ を選択 し ます。 3. [Add Resource] ページ に表示 さ れる オ プ シ ョ ンは、選択 し た リ ソ ース タ イ プ に よ っ て異な り ます。 次のオ プ シ ョ ンは、 指定す る リ ソ ース タ イ プ で共通です。 オプシ ョ ン 説明 リ ソ ース タ イ プ [Name] リ ソ ースの名前 [All] [Description] リ ソ ースの説明 [All] [Variable] 変数 を 使用 し て 動的 リ ソ ー ス を 定義 し ます。 詳細については、 234 ページ の 「 リ ソ ー ス と WorkPlace シ ョ ー ト カ ッ ト の定義での変数の使用」 を参照 し て く だ さ い。 • • • • • • [Create shortcut on Aventail WorkPlace] WorkPlace に Web リ ソ ー ス への • [Domain] シ ョ ー ト カ ッ ト を追加 し ます。 リ ソ ー • [Network share] ス に 割 り 当 て た 名 前 は、 [Aventail • [URL] WorkPlace] ペ ー ジ の [Shortcuts] の リ ス ト に表示 さ れます。 新規または既 存の シ ョ ー ト カ ッ ト グルー プ に シ ョ ー ト カ ッ ト を追加する と 、 用途が 似 て い る シ ョ ー ト カ ッ ト を WorkPlace ポー タ ル ペ ー ジ で ま と め る こ と がで き ます。 [Web application profile] こ の リ ス ト には、い く つかの主要 Web (Web プ ロ キ シ オ プ シ ョ ン、 ア プ リ ケ ー シ ョ ン で 推奨 さ れ る 構成 または [Advanced] エ リ ア ) 済みの Web プ ロ フ ァ イ ル、 カ ス タ ム Web プ ロ フ ァ イル、およびデ フ ォル ト Web プ ロ フ ァ イルが含まれます。選択 すべ き プ ロ フ ァ イ ルがわか ら な い場 合は、[Default] を選択 し ます。プ ロ フ ァ イ ル を 参 照 す る に は、 [View selected profile] を ク リ ッ ク し ま す。 244 ペ ー ジ の 「Web ア プ リ ケ ー シ ョ ン プ ロ フ ァ イ ルの追加」 も 参照 し て く だ さ い。 220 | Aventail E-Class SRA 10.7 管理者ガ イ ド • • • • • • [Citrix server farm] [Domain] [Host name or IP] [Matching URL] [Network share] [URL] [Domain] [Host name or IP] [IP range] [Matching URL] [Subnet] [URL] 次のオ プ シ ョ ンは、 [URL] リ ソ ース タ イ プ に固有の も のです。 オプシ ョ ン 説明 [URL] プ ロ ト コ ル識別子 を 入力 し な い と 、 AMC が URL の前 に 「http://」 を自動的に挿入 し ます。 セキ ュ ア サイ ト の URL の場 合は、 「https://」 プ ロ ト コ ル識別子を記述する必要があ り ます。 例えば、 「https://example.domain.com」 と 入力 し ます。 [Custom access area] [Translate this resource]、 [Access this resource on a (Web プ ロキシ オプ シ ョ ン ) custom port]、 [Access this resource using a custom FQDN] のいずれかを選択 し ます。 変換では URL 書き換えが使用 さ れますが、他の代替方法ではク ラ イ ア ン ト レ ス Web ア プ リ ケーシ ョ ン ア ク セスが提供 さ れる ため、 URL 書 き 換えの制限は発生 し ません。 URL 書 き 換え で は、 AJAX な どの Web プ ロ グ ラ ミ ン グ テ ク ノ ロ ジ で問題が発 生する可能性があ り ます。 以下のオプ シ ョ ンは、 選択 し た方法によ っ て異な り ます。 [Alias name] (Web プ ロキシ ) プ ラ イ ベ ー ト URL を 表すパ ブ リ ッ ク エ イ リ ア ス を 指定 し ま す。 こ のエ イ リ ア ス名はユーザーに提示 さ れる ため、 短 く て具 体的 な覚 え やすい名前に し ま す。 次の よ う な 場合に、 [Alias name] を使用 し て く だ さ い。 • リ ソ ースの内部ホス ト 名を隠 し たい場合。 • URL リ ソ ースが [Network Settings] ページの [Name resolution] で構成 さ れている検索 ド メ イ ン に含まれていない 場合。 • 通常はネ ッ ト ワー ク エージ ェ ン ト 経由で ト ラ フ ィ ッ ク を リ ダ イ レ ク ト するが、 変換 Web ア ク セス を使用 し て リ ソ ース を プ ロキシする よ う にする場合。 詳細については、 394 ページの 「Web シ ョ ー ト カ ッ ト の追加」 を参照 し て く だ さ い。 メモ • エ イ リ アスで示すプ ラ イ ベー ト URL は、 特定のフ ァ イルで はな く 、 バ ッ ク エ ン ド サーバーのデ ィ レ ク ト リ をポ イ ン ト す る必要があ り ます。 • エ イ リ アスの指定では、 ASCII 文字を使用 し ます。 ユーザー が変換 Web ア ク セス を使用 し て WorkPlace に接続する と 、 ASCII 以外の文字が使用 さ れている場合にエ ラ ー メ ッ セージが 表示 さ れます。 • URL ( 接頭辞 http または https が付 く ア ド レ ス ) にのみ対応 する エ イ リ ア ス を作成 し ます。 例えば、 UNC パスや FTP リ ソ ース (ftp://) に対する エ イ リ ア スは指定で き ません。 エ イ リ ア ス の使用方法の詳細に つ い ては、 226 ペ ー ジ の 「例 :URL エ イ リ ア スの指定」 を参照 し て く だ さ い。 [Port] (Web プ ロキシ ) [Custom access] の下 に あ る [Access this resource on a custom port] を選択する と 、[Port] オプ シ ョ ン を指定で き ます。 カ ス タ ム ポー ト 番号を入力 し ます。 それぞれの WorkPlace サ イ ト のそのポー ト で リ ソ ース を使用で き る よ う にな り ます。 そ のポー ト は、 すべての フ ァ イ アウ ォ ールで開いてい る必要があ り 、 ア プ ラ イ ア ン スの外側ですでに使用 さ れていない も のであ る必要があ り ます。 Web コ ン テ ン ツの実際の配信は、 ポ リ シー チ ェ ッ ク に よ っ て異な り 、 通常のア プ ラ イ ア ン スの処理に従 っ て実行 さ れます。 セキ ュ リ テ ィ 管理 | 221 オプシ ョ ン 説明 [Custom FQDN] (Web プ ロキシ ) [Custom access] の下 に あ る [Access this resource using a custom FQDN] を選択する と 、 [Custom FQDN] オ プ シ ョ ン を 指定 で き ま す。 ア プ ラ イ ア ン ス の 外 部 ア ク セ ス 可 能 な Web サーバーがホ ス テ ィ ン グす る カ ス タ ム FQDN の名 前を入力 し ます (custom.mydo-main.com な ど )。デ フ ォ ル ト では、 AMC は、 すべてのサー ビ スのすべての イ ン タ ー フ ェ ース を リ ッ ス ン し 、 要求 さ れた FQDN に基づいて、 要求を正 し いサー ビ ス に接続 し ます。 WorkPlace site サイ ト に対する相対的なホス ト 名は指定で き ま せん。 外部で定義 さ れたホ ス ト 名に対 し て最大 32 の IPv4 ま た は IPv6 ア ド レ ス を ホ ス テ ィ ン グ さ れ る Web ア プ リ ケ ー シ ョ ン名 と WorkPlace サイ ト の間で独立 し て指定で き る ため、 合計で最大 64 のホス ト 名をサポー ト し ます。 Web ア ク セ スにマ ッ ピ ン グ さ れた カ ス タ ム FQDN に よ り 、 シ ン グル サイ ン オンのサポー ト が提供 さ れます。 証明書のホ ス ト 名ま たは IP ア ド レ スが こ のサ イ ト に指定 し た [Custom FQDN ] または [IP address] と 一致 し ない と 、ユー ザーがサイ ト にア ク セス し た と き にセキ ュ リ テ ィ 警告が表示 さ れます。 カ ス タ ム FQDN は、 WorkPlace サ イ ト の構成 (413 ペ ー ジ の 「WorkPlace サ イ ト の追加」 を参照 ) と 同様に処理 さ れます。 [Listen on an additional IP address] [IP address] (Web プ ロキシ ) ( 移行 / イ ンポー ト さ れた構成のみ ) https://10.4.124.222/workplace/assets/help/index.html. AMC が 前バージ ョ ンから ア ッ プグレー ド さ れ、 WorkPlace サイ ト また は CEM を使用する仮想 IP ア ド レ スが構成 さ れてい る場合、 追加の リ ッ ス ンする ア ド レ ス を指定で き ます。 追加ア ド レ スで リ ッ ス ンする には、 [Listen on an additional IP address] チ ェ ッ ク ボ ッ ク ス を チ ェ ッ ク し 、 IP ア ド レ ス を入力 し ます。 新規 イ ン ス ト ー ル で は、 [Listen on an additional IP address] フ ィ ール ド は非表示にな り ます。 部分的な イ ンポー ト で仮想 IP ア ド レ ス情報が失われた状態で、 保留にな っ てい る変更を適用 す る と 、 異 な る IP ア ド レ ス を 使 用 す る よ う に 構 成 さ れ た WorkPlace サ イ ト や URL リ ソ ースに管理者が強制的に固定 さ れ ま す。 こ の場合、 チ ェ ッ ク ボ ッ ク ス が選択 さ れ た 状態 で [Listen on an addi-tional IP address] フ ィ ール ド が表示 さ れ、 追加ア ド レ スでの リ ッ ス ンが有効です。 IP ア ド レ ス を入力する か、 チ ェ ッ ク ボ ッ ク スの選択を解除 し ます。 既存の仮想ホス ト を使用 し て移行 / イ ンポー ト さ れた構成の場 合、 UI セ ク シ ョ ンは表示 さ れますが、 管理者は、 新 し い仮想ア ド レ ス を作成で き ません。 必要であれば、 CEM を使用 し て、 新 規または移行 / イ ンポー ト さ れた構成に仮想ホス ト ア ド レ ス を 作成 し ます。 証明書のホ ス ト 名ま たは IP ア ド レ スが こ のサ イ ト に指定 し た [IP address] と 一致 し ない と 、 ユーザーがサ イ ト に ア ク セ ス し た と き にセキ ュ リ テ ィ 警告が表示 さ れます。 [IP address] (Web プ ロキシ ) ( 移行 / イ ンポー ト さ れた構成のみ ) 既存の IP ア ド レ ス を選択するか、 [(New)] を選択 し て [New IP address] フ ィ ール ド に IP ア ド レ ス を追加 し ます。 [New IP address] (Web プ ロキシ ) リ ソ ースの IP ア ド レ ス を ド ッ ト 区切 り 形式 (w.x.y.z) で入力 し ます。 このア ド レ スは、 ア プ ラ イ ア ン ス イ ン タ ー フ ェ ース と 同 じ サブネ ッ ト である必要があ り ます。 222 | Aventail E-Class SRA 10.7 管理者ガ イ ド オプシ ョ ン 説明 [SSL certificate] (Web プ ロキシ ) 既存の SSL 証明書 を 選択す る か、 [(New)] を 選択 し て こ の リ ソ ースの新 し い SSL 証明書を追加 し ます。名前が一致する証明 書がア プ ラ イ ア ン スにすでにあ る場合、 その証明書が選択 さ れ ます。 ない場合は、 [SSL certificate ] リ ス ト か ら選択するか、 証明書を イ ンポー ト し ます。 [Organization] (Web プ ロキシ ) 会社または組織の名前を入力 し ます。 [Country] (Web プ ロキシ ) 国の 2 文字の省略形 (US や AU な ど ) を入力 し ます。 [Synonyms] URL リ ソ ース名の別名を定義 し ます。 こ れは、 ユーザーが異な る名前 ( 一般的には非修飾名や圧縮名 ) を使用 し てサーバーに ア ク セスする場合や、 Web ページに DNS エ イ リ ア ス を指す リ ン ク が含まれていて Web プ ロキシ サービ スがその名前を正 し く 変換で き ない場合に便利です。 複数のシ ノ ニムを指定する場 合はセ ミ コ ロ ン で区切 り ます。 ア プ ラ イ ア ン ス では、 リ ソ ースの短縮名を自動的にシ ノ ニム と し て 定義 し ま す。 例 え ば、 URL が 「http://mail.example.com」 の場合、 ア プ ラ イ ア ン ス は 「mail」 と い う シ ノ ニム を追加 し ま す。 た だ し 、 こ のシ ノ ニム は [Synonyms] ボ ッ ク スには表示 さ れません。 [Translate this resource] が選択 さ れ て い る 状態 で [Synonyms] を指定する場合、 [Alias name] フ ィ ール ド が指定 さ れている必要があ り ます。それ以外のカ ス タ ム ア ク セス オプ シ ョ ンの場合は、 [Synonyms] フ ィ ール ド は他の フ ィ ール ド と 関係な く 指定で き ます。 (Web プ ロキシ ) [Provide Exchange こ の リ ソ ー ス への Exchange ActiveSync ア ク セ ス を 許可す る ActiveSync access to this には、 こ のチ ェ ッ ク ボ ッ ク ス を選択 し ます。 resource] 詳細については、439 ページの 「Exchange ActiveSync Web ア (Exchange ActiveSync) ク セ ス」 を参照 し て く だ さ い。 使用例については、 229 ページ の 「例 :iPhone での Exchange のサポー ト 」 を参照 し て く だ さ い。 [Custom FQDN] (Exchange ActiveSync) ア プ ラ イ ア ン スの外部ア ク セ ス可能な Web サーバーが ホ ス テ ィ ン グ す る カ ス タ ム FQDN (IPv4 ま た は IPv6) の名前を入力 し ます (custom.mydomain.com な ど )。デ フ ォ ル ト では、 AMC は、 すべてのサー ビ スのすべての イ ン タ ー フ ェ ー ス を リ ッ ス ン し 、 要求 さ れた FQDN に基づ いて、 要求を正 し いサー ビ ス に接続 し ます。 セキ ュ リ テ ィ 管理 | 223 オプシ ョ ン 説明 [Listen on an additional IP address] [IP address] (Web プ ロキシ ) ( 移行 / イ ンポー ト さ れた構成のみ ) 前バージ ョ ンか ら AMC を ア ッ プ グ レ ー ド し 、 WorkPlace サイ ト の IP ア ド レ スが構成 さ れているか、 CEM が使用 さ れている 場合は、 追加の リ ッ ス ン ア ド レ ス を指定で き ます。 追加ア ド レ ス で リ ッ ス ン す る には、 [Listen on an additional IP address] チ ェ ッ ク ボ ッ ク ス を チ ェ ッ ク し 、 IP ア ド レ ス を入力 し ます。 新規 イ ン ス ト ー ル で は、 [Listen on an additional IP address] フ ィ ール ド は非表示にな り ます。 部分的な イ ンポー ト で仮想 IP ア ド レ ス情報が失われた状態で、 保留にな っ てい る変更を適用 す る と 、 異 な る IP ア ド レ ス を 使 用 す る よ う に 構 成 さ れ た WorkPlace サ イ ト や URL リ ソ ースに管理者が強制的に固定 さ れ ま す。 こ の場合、 チ ェ ッ ク ボ ッ ク ス が選択 さ れ た 状態 で [Listen on an addi-tional IP address] フ ィ ール ド が表示 さ れ、 追加ア ド レ スでの リ ッ ス ンが有効です。 IP ア ド レ ス を入力する か、 チ ェ ッ ク ボ ッ ク スの選択を解除 し ます。 既存の仮想ホス ト を使用 し て移行 / イ ンポー ト さ れた構成の場 合、 UI セ ク シ ョ ンは表示 さ れますが、 管理者は、 新 し い仮想ア ド レ ス を作成で き ません。 必要であれば、 CEM を使用 し て、 新 規または移行 / イ ンポー ト さ れた構成に仮想ホス ト ア ド レ ス を 作成 し ます。 証明書のホ ス ト 名ま たは IP ア ド レ スが こ のサ イ ト に指定 し た [IP address] と 一致 し ない と 、 ユーザーがサ イ ト に ア ク セ ス し た と き にセキ ュ リ テ ィ 警告が表示 さ れます。 [IP address] (Exchange ActiveSync) ( 移行 / イ ンポー ト さ れた構成のみ ) 既存の IP ア ド レ ス を選択するか、 [(New)] を選択 し て [New IP address] フ ィ ール ド に IP ア ド レ ス を追加 し ます。 [New IP address] (Exchange ActiveSync) リ ソ ースの IP ア ド レ ス を ド ッ ト 区切 り 形式 (w.x.y.z) で入力 し ます。 このア ド レ スは、 ア プ ラ イ ア ン ス イ ン タ ー フ ェ ース と 同 じ サブネ ッ ト である必要があ り ます。 [SSL certificate] (Exchange ActiveSync) 既存の SSL 証明書 を 選択す る か、 [(New)] を 選択 し て こ の リ ソ ースの新 し い SSL 証明書を イ ンポー ト し ます。 [Organization] (Exchange ActiveSync) 会社または組織の名前を入力 し ます。 [Country] (Exchange ActiveSync) 国の 2 文字の省略形 (US や AU な ど ) を入力 し ます。 [Realm] (Exchange ActiveSync) ド ロ ッ プダウン リ ス ト から レルムを選択 し ます。ActiveSync ア ク セスでは、単一の Active Directory 認証サーバーを使用する レ ルムを使用する必要があ り ます。 そのレルムはすでに構成済み である必要があ り ます。 [Fallback Exchange server URL] (Exchange ActiveSync) フ ォ ールバ ッ ク サーバー と し て使用す る Exchange Server の URL を入力 し ます。フ ォ ールバ ッ ク サーバーの構成の詳細につ いては、 478 ページの 「代替サーバーの構成」 を参照 し て く だ さ い。 224 | Aventail E-Class SRA 10.7 管理者ガ イ ド 次のオ プ シ ョ ンは、 [Matching URL] リ ソ ース タ イ プ に固有の も のです。 オプシ ョ ン 説明 [URL] プ ロ ト コ ル識別子 を 入力 し な い と 、 AMC が URL の前 に 「http://」 を自動的に挿入 し ます。 セキ ュ ア サイ ト の URL の 場合は、 「https://」 プ ロ ト コ ル識別子を記述する必要があ り ます。 例えば、 「https://example.domain.com」 と 入力 し ます。 マ ッ チ ン グ URL リ ソ ースのア ド レ ス セグ メ ン ト ( ピ リ オ ド の間 ) に、 ワ イル ド カ ー ド 文字 「*」 と 「?」 を使用で き ま す。 ド メ イ ン名の後に 「?」 文字 (URL ク エ リ 文字列を表 し ま す ) を使用 し ないで く だ さ い。 ワ イル ド カ ー ド 文字は、 次のよ う な場合に使用 し ます。 • 「www.yourcompany*.com」 と 入力する と 、 「yourcompany」 で開始 し て .com」 で終了する複数の ド メ イ ン を参照 し ます。 「www.yourcompany.*」 と 入力する と 、 「http://www.yourcompany.com」 と 「http://www.yourcompany.de」 の両方を参照 し ます。 • 「mail*.yourcompany.com」 な どのエ ン ト リ を作成す る と 、 「yourcompany」 ド メ イ ン内の 「mail」 で開始する ものに対するユーザー ア ク セス を許可 し ます。 こ の例では、 「mail.yourcompany.com」 と 「mail2.yourcompany.com」 へのア ク セスは許可 さ れます が、 「mail3.wemmet.yourcompany.com」 へのア ク セス は許可 さ れません。 URL では大文字 と 小文字が区別 さ れません。 [Path and query string matching] こ のオプ シ ョ ンは、 パス エ レ メ ン ト やク エ リ 文字列値を特定 の URL と 一致 さ せる こ と で、電子 メ ールの添付フ ァ イルを ブ ロ ッ ク し た り 、 Web ベースのア プ リ ケーシ ョ ンが制限 さ れて いるデー タ を表示 し ない よ う に し ます。詳細については、228 ページの 「例 : 電子 メ ール添付 フ ァ イ ルのブ ロ ッ ク 」 と 230 ページの 「例 : 機密デー タ へのア ク セ スの制限」 を参照 し て く だ さ い。 [Query string] 値では大文字 と 小文字が区別 さ れま すが、 [Path element] では区別 さ れません。 次のオ プ シ ョ ンは、 [Host name or IP] リ ソ ース タ イ プ に固有の も のです。 オプシ ョ ン 説明 [Host name or IP] ホス ト には、 ネ ッ ト ワー ク 上の任意のコ ン ピ ュ ー タ 、 例えば、 「bart.private.example.com」 や 「192.0.34.72」 を指 定で き ます。 ホス ト 名を指定する場合は、 ア ド レ ス セグ メ ン ト ( ピ リ オ ド と ピ リ オ ド の間 ) で、 ワ イル ド カ ー ド 文字 「*」 と 「?」 を使 用で き ます。 例えば、 エ ン ト リ 「mail*.yourcompany.com」 を指定する と 、 ユーザーは、 「yourcompany」 ド メ イ ン内の 「mail」 で始ま るすべての ア ド レ ス ( 例えば、 「mail.your-company.com」 や 「mail2.yourcompany.com」 ) にはア ク セスで き ますが、 「mail3.wemmet.yourcompany.com」 にはア ク セスで き ません。 ホス ト 名では大文字 と 小文字が区別 さ れません。 セキ ュ リ テ ィ 管理 | 225 次のオ プ シ ョ ンは、 [Network share] リ ソ ース タ イ プ に固有の も のです。 オプシ ョ ン 説明 [Network share] UNC パス を入力 し ます。 こ こ では、 サーバー全体 ( 例えば、 \\ginkgo)、 共有 フ ォ ルダ (\\john\public)、 ま たはネ ッ ト ワー ク フ ォルダ (\\ginkgo\news) を指定で き ます。 次のオ プ シ ョ ンは、 [IP range] リ ソ ース タ イ プ に固有の も のです。 オプシ ョ ン 説明 [IP range] IP 範囲は通常、 サブネ ッ ト 内のコ ン ピ ュ ー タ の部分範囲を識 別 し ます。 例えば、 「192.0.34.72-192.0.34.74」 と い う よ う に指定 し ます。 次のオ プ シ ョ ンは、 [Subnet] リ ソ ース タ イ プ に固有の も のです。 オプシ ョ ン 説明 [Subnet IP] サ ブ ネ ッ ト は、 共通のア ド レ ス コ ン ポーネ ン ト を 共有す る ネ ッ ト ワー ク の一部です。 例えば、 「192.26.34.0」 と い う よ う に指定 し ます。 [Subnet mask] 例えば、 「255.255.255.0」 と い う よ う に指定 し ます。 次のオ プ シ ョ ンは、 [Domain] リ ソ ース タ イ プ に固有の も のです。 オプシ ョ ン 説明 [Domain] ド メ イ ンは、 1 つ以上のホス ト を包含する領域です。 [Windows domain] チ ェ ッ ク ボ ッ ク スが ク リ ア さ れて い る場合、 ド メ イ ン名は DNS 構文であ る必要があ り ます。 例 えば、 「sampledo-main.com」 と い う よ う に指定 し ます。 [Windows domain] Windows ド メ イ ン 全体 を 定義 す る に は、 [Windows domain] チ ェ ッ ク ボ ッ ク ス を選択 し 、[Domain] に NetBIOS ま た は DNS の構文 で ド メ イ ン 名 を 入力 し ま す ( 例 え ば、 「example」 や 「example.com」 )。 ド メ イ ン を定義する と 、 その ド メ イ ン内のすべてのネ ッ ト ワー ク フ ァ イ ル リ ソ ース に対 し てユーザー ア ク セス を許可で き ます。 次のオ プ シ ョ ンは、 [Server farm] リ ソ ース タ イ プ に固有の も のです。 オプシ ョ ン 説明 [Citrix or VMware servers] [Host or IP address] を指定 し 、XML サービ スが動作 し て いる 最大 6 台の Citrix サーバー、 または XML サービ スが動 作 し ている VMware サーバー、またはブ ロー カ ー サービ スが 動作 し てい る WMware サーバーのサービ ス ポー ト を [Port] で指定 し ます。 詳細につい ては、 481 ページの 「Citrix サー バ ー フ ァ ー ム リ ソ ー ス の 追 加」 ま た は 483 ペ ー ジ の 「VMware View リ ソ ースの追加」 を参照 し て く だ さ い。 4. リ ソ ースの定義が終了 し た ら 、 [Save] を ク リ ッ ク し ます。 例 :URL エ イ リ アスの指定 226 | Aventail E-Class SRA 10.7 管理者ガ イ ド Web ア プ リ ケーシ ョ ン、 Web ポー タ ル、 Web サーバーな どの任意の Web リ ソ ース を、 「URL リ ソ ース」 と し て定義で き ま す。 Web リ ソ ース を URL と し て定義す る と 、 次のよ う な利点が あ り ます。 WorkPlace の Web シ ョ ー ト カ ッ ト を作成す る と 、 ユーザーが URL リ ソ ース にすばや く ア ク セ ス で き ます。 • 非常に詳細な ア ク セ ス ルールを定義す る と 、ユーザーがア ク セ ス で き る URL を細か く 制御 で き ます。 • 内部ホ ス ト 名を隠 し て ( ま たは 「エ イ リ ア ス に し て」 )、 一般に公開 さ れな い よ う に で き ま す。 ユーザーがエ イ リ ア ス に ア ク セ スす る と 、 要求がダウ ン ス ト リ ームの Web リ ソ ース に プ ロ キシ さ れ、 指定 さ れた エ イ リ ア スか ら プ ラ イ ベー ト URL に変換 さ れま す。 ユーザーに は、 パブ リ ッ ク ( 「エ イ リ ア ス」 ) の URL だけが提示 さ れま す。 次の図では、 イ ン ベ ン ト リ ア プ リ ケーシ ョ ンのプ ラ イ ベー ト ア ド レ スがパブ リ ッ ク URL に ど のよ う に変換 さ れるかを示 し て い ます。 • こ の リ ソ ースのプ ラ イ ベー ト URL は http://inventory.example.com で、管理者は こ の URL に対 し て 「supplier」 と い う 名前のエ イ リ ア ス を作成 し てい ます。 サプ ラ イ ヤーは、 ( 重要な ホ ス ト 名が一般公開 さ れる こ と に な る ) プ ラ イ ベー ト URL を使用す る代わ り に、 パブ リ ッ ク URL (https://vpn.example.com/supplier) に ア ク セ ス し ます。 パブ リ ッ ク URL は、 次の要素で構成 さ れま す。 • • • メモ • • • http:// ではな く 、 https:// 接頭辞 : こ れは、 E-Class SRA ア プ ラ イ ア ン ス と 送受信 さ れる す べての ト ラ フ ィ ッ ク が SSL を使用 し て保護 さ れる ためです。 ア プ ラ イ ア ン スの完全修飾 ド メ イ ン名 ( こ の例では 「vpn.example.com」 ) リ ソ ースのエ イ リ ア ス名 ( こ の例では 「supplier」 ) Web ベースのア プ リ ケーシ ョ ンの中には、 ト ラ フ ィ ッ ク の送信に HTTP 以外のプ ロ ト コ ルを使用す る Java ア プ レ ッ ト やその他のブ ラ ウザ エ ク ス テ ン シ ョ ン を使用す る も の も あ り ま す。 そのよ う な ア プ リ ケーシ ョ ン の例 と し ては、 Citrix NFuse や一部のバージ ョ ンの SAP な どがあ り ます。 こ れ ら のア プ リ ケーシ ョ ンは、 Web ブ ラ ウザを使用 し て ア ク セ ス さ れますが、 ク ラ イ ア ン ト / サーバー リ ソ ース と し て定義 し 、 OnDemand 経由で ク ラ イ ア ン ト / サーバー ア ク セ ス サー ビ ス を使用 し て プ ロ キシす る必要があ り ます。 作成す る エ イ リ ア ス に対応す る プ ラ イ ベー ト URL は、バ ッ ク エ ン ド サーバーのデ ィ レ ク ト リ で あ る必要があ り 、 フ ァ イ ルを指定す る こ と はで き ず、 http:// ま たは https:// のいずれか で開始す る必要があ り ます。 エ イ リ ア スの指定では、 ASCII 文字を使用 し ま す。 ユーザーが変換 Web ア ク セ ス を使用 し て WorkPlace に接続す る と 、 ASCII 以外の文字が使用 さ れてい る場合に エ ラ ー メ ッ セージ が表示 さ れます。 セキ ュ リ テ ィ 管理 | 227 • URL リ ソ ースの定義につい ては、 219 ページの 「 リ ソ ースの追加」 を参照 し て く だ さ い。 例 : 電子 メ ール添付フ ァ イルのブ ロ ッ ク 組織では、 管理対象外や信頼 さ れて い な い公共シ ス テ ムか ら ユーザーがア ク セ ス す る 際に機密 デー タ へのア ク セ ス を制限す る必要があ る場合があ り ます。例えば、ユーザーに電子 メ ール メ ッ セージの参照 を 許可 し つつ、 コ ン ピ ュ ー タ に ダ ウ ン ロ ー ド し た電子 メ ールの添付 フ ァ イ ルがそ のま ま残 り 、 許可 を 受け て い な いユーザーがその フ ァ イ ルに ア ク セ ス で き る と い う 状況は回避 し たい と い う 場合 も あ る で し ょ う 。 次の例は、 ア ク セ ス制御ルールを Matching URL リ ソ ースお よ び End Point Control ゾー ン と 併 用 し て、 信頼 さ れて い な いデバ イ ス に添付 フ ァ イ ルがダ ウ ン ロ ー ド さ れな い よ う にす る 方法 を 示 し てい ます。 • • ア ク セ ス制御の概要については、251 ページの 「ア ク セ ス制御ルール」 を参照 し て く だ さ い。 こ の例では、 IT 部門の管理対象外のデバ イ スが分類 さ れる EPC ゾー ン ( こ の例では、 「Untrusted」 と い う 名前 ) が構成 さ れて い る こ と を前提 と し て い ます。 ゾー ンの構成 と 使用 につい ては、 346 ページの 「ゾー ン お よ びデバ イ ス プ ロ フ ァ イ ルに よ る EPC の管理」 を参 照 し て く だ さ い。 Matching URL リ ソ ース を使用 し て電子 メ ール添付 フ ァ イ ルを ブ ロ ッ ク す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Access Control] を ク リ ッ ク し ます。 2. [New] を ク リ ッ ク し ま す。 [Add/Edit Access Rule] ページが表示 さ れます。 3. [Number] す。 4. [Action] ボ タ ン を使用 し て、[Deny] を指定 し ます。 こ れに よ り 、次の手順で指定す るパ タ ー ン と 一致す る リ ソ ース に対す る ユーザー ア ク セ スが拒否 さ れる よ う に な り ます。 5. [Basic settings] に、 次の情報を入力 し ます。 ボ ッ ク ス に、 ア ク セ ス制御 リ ス ト 内のルールの位置を指定す る数値を入力 し ま a. [User] は選択 さ れた ま ま に し ます ( リ ソ ース に ア ク セ ス し よ う と す る ユーザーにルール が適用 さ れる よ う に し ます )。 b. [From] ボ ッ ク ス では、ルールを適用す る ユーザー を指定 し ます。こ の例では、[Any user] のま ま に し ます。 c. [To] ボ ッ ク ス で [Edit] を ク リ ッ ク し 、 こ のルールの対象 と す る リ ソ ース を指定 し ます。 [Resources] ウ ィ ン ド ウが表示 さ れます。 d. [New] を ク リ ッ ク し 、[Matching URL] を選択 し ます。[Add Resource - Matching URL] ページが表示 さ れます。 e. リ ソ ースの名前を入力 し ます。例えば、「Block email attachments」 と 入力 し ます。 f. [URL] ボ ッ ク ス に、 メ ール サーバーの URL ア ド レ ス を入力 し ま す。 g. [Path and query string matching] エ リ ア で、 [Type of match] [Exchange/OWA attachments] を選択 し ます。 リ ス ト から h. [Save] を ク リ ッ ク し ます。 [Add Resource - Matching URL] ウ ィ ン ド ウが閉 じ ます。 6. [End Point Control zones] エ リ ア で [Edit] を ク リ ッ ク し て、 リ ソ ース に対す る ア ク セ ス を 拒否す る ゾー ン を選択 し ます ([Untrusted])。 7. [Matching URL] リ ソ ース タ イ プ を指定す るルールを作成す る場合は、 ユーザーがブ ラ ウザ を ア ク セ ス方法 と し て使用で き る 必要があ り ま す。 [Advanced] タ ブ の [Access method restrictions] エ リ ア で、 [Client software agents] が [Any] に設定 さ れてい るか、 選択 し た エージ ェ ン ト に [Web browser] が含まれて い る こ と を確認 し ます。 8. [Finish] を ク リ ッ ク し ます。 228 | Aventail E-Class SRA 10.7 管理者ガ イ ド メモ • • Web ベース ア プ リ ケーシ ョ ンの中には、 他の Web ページ にユーザー を自動的に リ ダ イ レ ク ト す る も の も あ り ま す。 電子 メ ールの添付 フ ァ イ ル を ブ ロ ッ ク す る よ う ア プ ラ イ ア ン ス を構成す る場合は、タ ーゲ ッ ト URL ア ド レ ス ( ユーザーが リ ダ イ レ ク ト さ れる Web ページ ) を使用す る よ う に し て く だ さ い。 詳細については、 242 ページの 「例 :URL リ ダ イ レ ク ト の操作」 を参照 し て く だ さ い。 [Matching URL] リ ソ ース では、OnDemand Tunnel ま たは Connect Tunnel を使用 し て ア プ ラ イ ア ン ス に接続す る ユーザーの添付 フ ァ イ ル を ブ ロ ッ ク す る よ う 構成す る こ と はで き ま せん。 例 :iPhone での Exchange のサポー ト Exchange ActiveSync は、 Symbian OS、 Android、 iPad、 お よ び iPhone でサポー ト さ れて い ま す。 Symbian は、 Nokia や Samsung な どのス マー ト フ ォ ンの主要プ ラ ッ ト フ ォ ームで、 電 子 メ ールの通知、 メ ール、 カ レ ン ダー、 連絡先、 タ ス ク 、 お よ び外出中の処理な どの機能 を 提 供 し ます。Google のモバ イ ル OS であ る Android と Apple の iPad お よ び iPhone も 、Exchange ActiveSync 経由での電子 メ ールや関連機能をサポー ト し てい ます。 次の例で、 URL リ ソ ース を構成 し て Microsoft Exchange に ア ク セ スす る iPhone ユーザー をサ ポー ト す る方法を説明 し ます。 こ の例では、 単一の Active Directory 認証を使用す る レ ルムがあ る こ と を前提 と し て い ま す。 メモ iPhone ユーザーが会社の Exchange サーバーに ア ク セ ス で き る よ う にす る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Resources] を ク リ ッ ク し ます。 2. [New] を ク リ ッ ク し ま す。 [URL] を選択 し ま す。 [Add Resource URL] ページが表示 さ れま す。 3. 名前、 説明、 お よ び外部か ら のア ク セ スに使用す る URL を入力 し ます。 先頭ページ ま たは 索 引 ペ ー ジ を 指 定 せ ず に、 サ ー バ ー 名 だ け を 入 力 し ま す。 こ の 例 で は、 「internalexchangeserver.E-Class SRA.com」 を使用 し ます。 4. こ の リ ソ ース を追加す る グルー プ を選択 し ます。 こ の例では、 デ フ ォ ル ト グルー プのま ま に し ます。 5. [Exchange ActiveSync Options] を ク リ ッ ク し ます。[Exchange ActiveSync Options] セ ク シ ョ ンが表示 さ れます。 6. [Provide Exchange ActiveSync access to this resource] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 7. [Host and domain name] フ ィ ール ド に、 外部ホ ス ト 名 と iPhone ユーザーがア ク セ スす る ド メ イ ン を入力 し ます。 8. [IP address] ド ロ ッ プ ダウ ン リ ス ト か ら ホ ス ト ア ド レ ス を選択す るか、 [(New)] を選択 し て [New IP address] フ ィ ール ド にホ ス ト ア ド レ ス を入力 し ます。 9. [SSL certificate] ド ロ ッ プ ダウ ン リ ス ト か ら 証明書を選択す るか、 [(New)] を選択 し て証 明書を [Organization] と [Country] フ ィ ール ド に入力 し ます。 こ の ド メ イ ン に固有のワ イ ル ド カ ー ド 証明書があ る場合は、 こ こ で それを使用で き ます。 例えば、 *.mycompany.com の証明書があ る場合は、 iPhone では iphonemail.mycompany.com で、 VPN では vpnaccess.mycompany.com で、 その証明書を使用 し て ア ク セ ス で き ます。 10. [Realm] ド ロ ッ プ ダウ ン リ ス ト か ら レ ルム を選択 し ます。 Active Directory を認証に使用す る レ ルムのみを選択で き ます。 セキ ュ リ テ ィ 管理 | 229 11. [Save] を ク リ ッ ク し ます。 12. iPhone の ActiveSync デバ イ ス プ ロ フ ァ イ ルを構成す る には、AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [End Point Control] を ク リ ッ ク し ます。 13. [Device Profiles] タ ブ で [New] を ク リ ッ ク し 、 [Exchange ActiveSync] を選択 し ます。 14. デバ イ ス プ ロ フ ァ イ ルの名前 と 説明を [Name] と [Description] フ ィ ール ド に入力 し ます。 15. [Add attribute(s)] セ ク シ ョ ン で、 [Type] に [Equipment ID] を選択 し ます。 16. [Device identifier] フ ィ ール ド に、 デバ イ ス識別子を含むユーザー属性変数を入力 し ます。 iPhone の場合、 識別子はデバ イ スのシ リ アル番号です。 詳細につい ては、 359 ページの 「デ バ イ ス プ ロ フ ァ イ ルの属性」 の 「機器 ID 表」 を参照 し て く だ さ い。 17. [Save] を ク リ ッ ク し ます。 18. iPhone ユーザーに外部か ら のア ク セ ス に使用す る URL を通知 し 、 自分の Active Directory ク レ デ ン シ ャ ル を 使 用 し て ロ グ イ ン す る よ う 指 示 し ま す。 ユ ー ザ ー は、 デ バ イ ス で Exchange の ActiveSync を構成す る必要があ り ます。 a. iPhone で、[ 設定 ] > [ メ ール / 連絡先 / カ レ ン ダー] > [ ア カ ウ ン ト を追加 ] を選択 し て、 ユーザーのア カ ウ ン ト 情報を入力す る画面を表示 し ます。 b. サーバー名を管理者か ら 指示 さ れた URL ( 外部ホ ス ト 名 と ド メ イ ン ) に設定 し ます。 Exchange サーバー を正 し く 構成 し て iPhone が動作す る よ う にす る には、 Exchange サーバーでの iPhone ア ク セ ス を テ ス ト す る こ と を 推奨 し ま す。 電子 メ ールへの iPhone ア ク セ ス を確認 し てか ら 、 iPhone と Exchange サーバーの間に SRA ア プ ラ イ ア ン ス を 追加 し ます。Exchange サーバーに イ ン タ ーネ ッ ト か ら ア ク セ ス で き ない場合は、WiFi ア ク セ ス ポ イ ン ト を セ ッ ト ア ッ プ し て、 iPhone ア ク セ ス を テ ス ト し ます。 メモ 例 : 機密デー タ へのア ク セスの制限 次の例は、 ア ク セ ス制御ルールを Matching URL リ ソ ースお よ び End Point Control ゾー ン と 併 用 し て、 Web ベースのア プ リ ケーシ ョ ン で信頼 さ れて いな いデバ イ ス に制限 さ れたデー タ が表 示 さ れない よ う にす る方法を示 し て い ます。 • • ア ク セ ス制御の概要については、251 ページの 「ア ク セ ス制御ルール」 を参照 し て く だ さ い。 こ の例では、 IT 部門の管理対象外のデバ イ スが分類 さ れる EPC ゾー ン ( こ の例では、 「Untrusted」 と い う 名前 ) が構成 さ れて い る こ と を前提 と し て い ます。 ゾー ンの構成 と 使用 につい ては、 346 ページの 「ゾー ン お よ びデバ イ ス プ ロ フ ァ イ ルに よ る EPC の管理」 を参 照 し て く だ さ い。 Web ベースのア プ リ ケーシ ョ ン で [Matching URL] リ ソ ース を使用 し てデー タ を取得で き ない よ う にす る 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Access Control] を ク リ ッ ク し ます。 2. [New] を ク リ ッ ク し ま す。 [Add/Edit Access Rule] ページが表示 さ れます。 3. [Number] す。 4. [Action] ボ タ ン を使用 し て、[Deny] を指定 し ます。 こ れに よ り 、次の手順で指定す るパ タ ー ン と 一致す る リ ソ ース に対す る ユーザー ア ク セ スが拒否 さ れる よ う に な り ます。 5. [Basic settings] に、 次の情報を入力 し ます。 ボ ッ ク ス に、 ア ク セ ス制御 リ ス ト 内のルールの位置を指定す る数値を入力 し ま a. [User] は選択 さ れた ま ま に し ます ( リ ソ ース に ア ク セ ス し よ う と す る ユーザーにルール が適用 さ れる よ う に し ます )。 b. [From] ボ ッ ク ス では、ルールを適用す る ユーザー を指定 し ます。こ の例では、[Any user] のま ま に し ます。 230 | Aventail E-Class SRA 10.7 管理者ガ イ ド c. [To] ボ ッ ク ス で [Edit] を ク リ ッ ク し 、 こ のルールの対象 と す る リ ソ ース を指定 し ます。 [Resources] ウ ィ ン ド ウが表示 さ れます。 d. [New] を ク リ ッ ク し 、[Matching URL] を選択 し ます。[Add Resource - Matching URL] ページが表示 さ れます。 e. リ ソ ースの名前を入力 し ます。 例えば、 「Patient Records」 と 入力 し ます。 f. [URL] ボ ッ ク ス に、 Web ベースのア プ リ ケーシ ョ ンの URL ア ド レ ス を入力 し ます。 例 えば、 「www.patient-records.com」 と 入力 し ま す。 g. [Path and query string matching] エ リ ア で、 [Type of match] リ ス ト か ら [Custom] を選択 し ます。 h. [New] を ク リ ッ ク し 、 [Path element] を選択 し ます。 「reports.aspx」 と 入力 し 、 [OK] を ク リ ッ ク し ます ( パス では大文字 と 小文字が区別 さ れません )。 i. [New] を も う 1 度 ク リ ッ ク し 、 [Query string] を選択 し ま す。 「last_name=」 と 入力 し 、 [OK] を ク リ ッ ク し ま す ( ク エ リ 文字列では大文字 と 小文字が区別 さ れます )。 j. [Save] を ク リ ッ ク し ます。 [Add Resource - Matching URL] ウ ィ ン ド ウが閉 じ ます。 6. [End Point Control zones] エ リ ア で [Edit] を ク リ ッ ク し て、 リ ソ ース に対す る ア ク セ ス を 拒否す る ゾー ン を選択 し ます ([Untrusted])。 7. [Matching URL] リ ソ ース タ イ プ を指定す るルールを作成す る場合は、 ユーザーがブ ラ ウザ を ア ク セ ス方法 と し て使用で き る 必要があ り ま す。 [Advanced] タ ブ の [Access method restrictions] エ リ ア で、 [Client software agents] が [Any] に設定 さ れてい るか、 選択 し た エージ ェ ン ト に [Web browser] が含まれて い る こ と を確認 し ます。 8. [Finish] を ク リ ッ ク し ます。 変 更 を 保 存 し て 適 用 す る と 、 [Patient Records] リ ソ ー ス を (http://www.patientrecords.com/reports.aspx?last_name= と 一致す る URL を 使用 し て ) 開 こ う と す る ユーザーや Untrusted ゾ ー ン に分類 さ れてい る ユーザーはア ク セ スが拒否 さ れます。 メモ • • Web ベース ア プ リ ケーシ ョ ンの中には、 他の Web ページ にユーザー を自動的に リ ダ イ レ ク ト す る も の も あ り ま す。 電子 メ ールの添付 フ ァ イ ル を ブ ロ ッ ク す る よ う ア プ ラ イ ア ン ス を構成す る場合は、タ ーゲ ッ ト URL ア ド レ ス ( ユーザーが リ ダ イ レ ク ト さ れる Web ページ ) を使用す る よ う に し て く だ さ い。 詳細については、 242 ページの 「例 :URL リ ダ イ レ ク ト の操作」 を参照 し て く だ さ い。 [Matching URL] リ ソ ース では、OnDemand Tunnel ま たは Connect Tunnel を使用 し て ア プ ラ イ ア ン ス に接続す る ユーザーの機密デー タ へのア ク セ ス を 制限す る よ う 構成す る こ と は で き ません。 リ ソ ースの編集 リ ソ ー ス を 変更す る 前に、 対応す る [Access Control] ルール を よ く 検討 し 、 変更がセ キ ュ リ テ ィ ポ リ シーに どのよ う に影響す るかを理解 し てお き ます。 リ ソ ース を編集す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Resources] を ク リ ッ ク し ます。 2. 編集す る リ ソ ースの名前を ク リ ッ ク し ます。 3. [Add/Edit Resource] ページ で、 必要な箇所を変更 し ます。 4. [Save] を ク リ ッ ク し ます。 セキ ュ リ テ ィ 管理 | 231 既存の ク ラ イ ア ン ト / サーバー リ ソ ースの定義設定は、 変更で き ません ( 例えば、 ホ ス ト 名か ら IP 範囲への変更 )。 変更す る場合は、 新 し い リ ソ ース を作成 し 、 該当す る定義設 定を適用す る必要があ り ます。 メモ リ ソ ースの削除 ア ク セ ス制御ルール、 リ ソ ース グルー プ、 ま たは WorkPlace シ ョ ー ト カ ッ ト で参照 さ れて い る リ ソ ースは、 削除で き ません。 リ ソ ース を 削除す る 前に、 その リ ソ ー ス を 参照 し て い る ルール か ら 削除す る 必要があ り ま す。 詳細につい ては、 134 ページの 「参照 さ れて い る オ ブ ジ ェ ク ト の削除」 を参照 し て く だ さ い。 リ ソ ース を削除す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Resources] を ク リ ッ ク し ます。 2. [Resources] ページ で、 削除す る リ ソ ースの左にあ る チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 3. [Delete] ボ タ ン を ク リ ッ ク し ます。 こ の リ ソ ースがア ク セ ス制御ルール、 リ ソ ース グルー プ、 ま たは WorkPlace シ ョ ー ト カ ッ ト か ら ま だ参照 さ れて い る と 、 AMC か ら エ ラ ー メ ッ セー ジが表示 さ れま す。 エ ラ ー メ ッ セージ を ク リ ッ ク す る と 、 こ の リ ソ ースのすべての参 照の リ ス ト を確認で き ます。 リ ソ ース排除 リ ス ト の使用 デ フ ォ ル ト では、 ア ク セ ス エ ー ジ ェ ン ト と Web ブ ラ ウザが、 AMC に定義 さ れて い る 対象 リ ソ ース に対 し て、 ア プ ラ イ ア ン ス経由で接続を リ ダ イ レ ク ト し ま す。 こ の リ ダ イ レ ク ト は、 ユー ザーのア ク セ ス方法に よ っ て少 し 異な り ます。 ト ン ネル ア ク セ ス エージ ェ ン ト は、 ユーザーに ア ク セ スが許可 さ れて い る すべての対象 リ ソ ース に対 し て、 ア プ ラ イ ア ン ス経由で接続を リ ダ イ レ ク ト し ます。 • Web ブ ラ ウザは、AMC で拒否 さ れて い る すべての対象 リ ソ ース を ア プ ラ イ ア ン ス に リ ダ イ レ ク ト し ます。 つ ま り 、 ユーザーに ア ク セ スが許可 さ れて いな い場合、 「permission denied」 と い う Web ページが表示 さ れます。 し か し なが ら 、場合に よ っ ては、ア プ ラ イ ア ン ス経由で リ ダ イ レ ク ト し な い よ う に し たい リ ソ ー ス も あ る で し ょ う 。 例えば、 ユーザーがア プ ラ イ ア ン ス経由で Outlook Web Access を起動 し 、 ア プ ラ イ ア ン ス に構成 さ れて い る ド メ イ ン リ ソ ー ス内のパ ブ リ ッ ク サ イ ト への リ ン ク が含ま れ た 電子 メ ール メ ッ セ ー ジ を 読む と し ま す。 そ の リ ン ク を 使用 す る こ と で 生成 さ れ る ト ラ フ ィ ッ ク は、 ア プ ラ イ ア ン ス経由で送信 さ れる こ と に な り ますが、 パブ リ ッ ク リ ソ ース を排除 リ ス ト で指定す る こ と で、 こ れを回避で き ます。 • リ ソ ース排除 リ ス ト を使用す る と 、 ア プ ラ イ ア ン ス経由で リ ダ イ レ ク ト さ れる リ ソ ース ( ホ ス ト 名、 IP ア ド レ ス、 ド メ イ ン な ど ) を指定で き ます。 W ド メ イ ンの指定では、 ワ イ ル ド カ ー ド 文字のア ス タ リ ス ク (*) と 疑問符 (?) も 使用で き ます。 こ の リ ス ト は、 すべてのア ク セ ス サー ビ ス にグ ロ ーバルで適用 さ れます。 リ ソ ー ス排除 リ ス ト は、 ア ク セ ス制御やセキ ュ リ テ ィ には影響 し ません。 特定の リ ソ ー ス に ア ク セ ス さ れない よ う にす る には、 拒否ルールを ア ク セ ス制御 リ ス ト に追加 し ます。 ア プ ラ イ ア ン ス経由で リ ダ イ レ ク ト す る よ う 構成 さ れて い る リ ソ ー ス を 確認す る には、 [Show network redirection list] リ ン ク を ク リ ッ ク し ます。[Redirection List] ページが表示 さ れます。 リ ソ ー ス を 排除 リ ス ト か ら 削除 す る に は、 そ の リ ソ ー ス の チ ェ ッ ク ボ ッ ク ス を 選択 し て、 [Delete] を ク リ ッ ク し ます。 完全修飾 ド メ イ ン名 (FQDN) を指定 し て リ ソ ース を除外 し た場合、変換 Web モー ド を使用 し て ア ク セ ス を 提 供 す る レ ル ム か ら WorkPlace に 接 続 す る ユ ー ザ ー は、 WorkPlace [Intranet Address] ボ ッ ク ス に非修飾 ド メ イ ン名を入力すれば、 リ ソ ース に ア ク セ ス で き ます。 232 | Aventail E-Class SRA 10.7 管理者ガ イ ド リ ソ ース排除 リ ス ト に リ ソ ース を追加す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Resources] を ク リ ッ ク し ます。 2. ページの下部にあ る [Resource exclusion list] リ ン ク を ク リ ッ ク し ます。 3. [Exclusion list] ボ ッ ク ス で、 [New] を ク リ ッ ク し て、 ア プ ラ イ ア ン ス経由の リ ダ イ レ ク ト か ら 除外す る ホ ス ト 名、 IP ア ド レ ス、 ま たは ド メ イ ン を 入力 し ま す。 ワ イ ル ド カ ー ド 文字 (* と ?) を使用で き ます。 例 え ば、 3 つのパ ブ リ ッ ク Web サーバー (www.YourCompany.com、 www2.YourCompany.com、 www3.YourCompany.com) があ る場合は、 対応す る ネ ッ ト ワー ク ト ラ フ ィ ッ ク がア プ ラ イ ア ン ス を 回避す る よ う に設定で き 、 それに よ っ て、 パ フ ォ ーマ ン スが向上 し ま す。 ワ イ ル ド カ ー ド 文字 「www*.YourCompany.com」 を 使用 し て、 3 つの パブ リ ッ ク サ イ ト すべて を [Exclusion list] に追加 し ます。 こ の リ ス ト の リ ソ ースには、 変 数 も 使用で き ます。 詳細については、 234 ページの 「 リ ソ ース と WorkPlace シ ョ ー ト カ ッ ト の定義での変数の使用」 を参照 し て く だ さ い。 注意 4. [Exclusion list] に追加 し た ら 、 そのたびに [OK] を ク リ ッ ク し ます。 5. [Save] を ク リ ッ ク し ます。 AMC で ド メ イ ン リ ソ ース ( 例えば、 「win.yourcompany.com」 ) を作成 し 、 IP ア ド レ ス (10.20.30.40) を使用 し て その ド メ イ ンか ら リ ソ ース を排除す る場合、 FQDN (server.win.yourcompany.com) を使用す る と 、 その リ ソ ース に ア ク セ ス で き ます。 こ れは、 Web プ ロ キシ サー ビ ス を使用す る エージ ェ ン ト のみに該当 し 、 ト ン ネル ク ラ イ ア ン ト を使 用す る エージ ェ ン ト には該当 し ません。 セキ ュ リ テ ィ 管理 | 233 リ ソ ース と WorkPlace シ ョ ー ト カ ッ ト の定義での変数の使用 変数を使用す る と 、 1 つの リ ソ ースや WorkPlace のシ ョ ー ト カ ッ ト を定義 し 、 ユーザーご と に 固有のプ ロ パテ ィ に その値 を 設定で き ま す。 変数は、 ユーザーが開始 し た セ ッ シ ョ ン に対応す る プ ロパテ ィ に よ っ て ( ユーザー名や、 例えば、 ユーザーに割 り 当て ら れた ゾー ンの名前 )、 ま たは、 外部 LDAP ス ト ア に対す る グルー プや コ ン ピ ュ ー タ 名な どの特定の属性セ ッ ト の ク エ リ に よ っ て、 定義で き ます。 変数は、 IP 範囲 と サブ ネ ッ ト を除 く すべての リ ソ ース タ イ プ に使用で き ます。 変数が何に も 解 決 さ れな い と 、 その変数 を 使用す る すべての構成項目が未定義に な り ま す。 例えば、 LDAP ス ト ア に対 し て IMEI 番号 ( モバ イ ル デバ イ ス に組み込まれて い る ID 番号 ) の ク エ リ を実行す る 場合、 IMEI 番号がないユーザーでは、 そのユーザーのセ ッ シ ョ ン中に変数が何に も 解決 さ れま せん。 変数を使用す る WorkPlace シ ョ ー ト カ ッ ト は表示 さ れず、 例えば、 その変数を使用す る ポ リ シー ルール も 失敗 し ます。 セ ッ シ ョ ン プ ロパテ ィ 変数の使用 ユーザーがロ グ イ ン し て WorkPlace セ ッ シ ョ ン を開始す る と 、 ユーザーに割 り 当て ら れて い る コ ミ ュ ニ テ ィ の名前な どのい く つかのセ ッ シ ョ ン プ ロパテ ィ が既知の状態に な り ます。 こ れ ら のプ ロパテ ィ を使用 し て、 動的 リ ソ ース を作成で き ます。 例えば、 モバ イ ル ユーザーがデス ク ト ッ プ コ ン ピ ュ ー タ のユーザー と は異な る ネ ッ ト ワー ク 共 有に ア ク セ ス で き る よ う に し たい場合 も あ る で し ょ う 。 その よ う な場合には、 次の よ う な手順 を実行 し ます。 2 つの コ ミ ュ ニ テ ィ (Mobile と Desktop) を定義 し ます。 • 2 つの フ ァ イ ル共有を ネ ッ ト ワー ク にセ ッ ト ア ッ プ し ます。 例えば、 \\company\Mobile と \\company\Desktop を セ ッ ト ア ッ プ し ます。 • WorkPlace の リ ソ ース : \\company\{Session.communityName} を定義 し ます。 こ の方法では、 1 つの リ ソ ー スがど ち ら のユーザーに も 提示 さ れ、 それぞれのデバ イ ス に正 し く リ ン ク が設定 さ れます。 • 組み込み変数 説明 {Session.activeDirectoryDomain} 検索ベース と し て使用す る AD ド メ イ ンの FQDN ま たは IP ア ド レ ス。 {Session.activeDirectoryDomain2} 検索 ベ ー ス と し て 使用 す る 2 つ 目 の AD ド メ イ ン の FQDN または IP ア ド レ ス ( 連鎖式認証を使用する場合 )。 {Session.communityName} ロ グ イ ン時にユーザーに割 り 当て ら れた コ ミ ュ ニ テ ィ の 名前。 コ ミ ュ ニ テ ィ に よ っ て、 使用で き る ア ク セ ス エー ジ ェ ン ト と エ ン ド ポ イ ン ト が制御 さ れます。 {Session.ntDomain} ログイ ン ド メ イ ン。 例 え ば、 こ の FQDN: server3.uk.company.com では server3 です。 {Session.password} 1 つ目の認証方法のパスワー ド 。 {Session.password2} 2 つ目の認証方法 ( 使用する場合 ) のパスワー ド 。 {Session.qualifiedName} 1 つ目 ( または唯一 ) の認証方法の場合、 こ れは、 完全修 飾 ユ ー ザ ー 名 (user-name@userdomain.company.com) です。 {Session.qualifiedName2} 2 つ目の認証方法の場合、 こ れは、 完全修飾ユーザー名で す。 {Session.realmName} ユーザーがログ イ ンする レルムの名前。 234 | Aventail E-Class SRA 10.7 管理者ガ イ ド 組み込み変数 説明 {Session.remoteAddress} ア プ ラ イ ア ン スか ら 認識 さ れる ユーザーのホ ス ト の IPv4 または IPv6 のア ド レ ス。 {Session.userName} 1 つ目の認証方法でのユーザーの短い名前。 短い名前は通 常、 ユーザーの電子 メ ール ア ド レ ス と ホーム フ ォルダの 両方に使用 さ れます。 {Session.userName2} 2 つ目の認証方法 ( 使用する場合 ) でのユーザーの短い名 前。 {Session.zoneName} ユーザーのデバ イ スのプ ロ フ ァ イ ルに基づい て ユーザー に割 り 当て ら れたゾーンの名前。 ユーザー名に基づ く ネ ッ ト ワー ク 共有への WorkPlace シ ョ ー ト カ ッ ト を作成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Resources] を ク リ ッ ク し ます。 2. [New] を ク リ ッ ク し 、 [Network share] を選択 し ま す。 3. こ の リ ソ ース に名前を付け ( 例えば、 「Personal Folder」 )、 ネ ッ ト ワー ク 上のユーザー フ ォ ル ダ の UNC パ ス を [Network share] ボ ッ ク ス に 入 力 し ま す。 例 え ば、 「\\marine_lab\users\」 と 入力 し ま す。 4. {variable} を ク リ ッ ク し 、 [Session.userName] を選択 し て、 ユーザーの短い ロ グ イ ン名を 表す変数を追加 し ます。 [Insert] を ク リ ッ ク す る と 、 ネ ッ ト ワー ク 共有のエ ン ト リ は次のよ う に な り ます。 \\marine_lab\users\{Session.userName} 5. [Create shortcut on Aventail WorkPlace] を選択 し 、 [Save] を ク リ ッ ク し ます。 作成 し た リ ソ ースは、 デ フ ォ ル ト では、 WorkPlace に Personal Folder と い う タ イ ト ルの リ ン ク と し て表示 さ れま す。 こ の リ ン ク テ キス ト を 変更す る 場合は、 AMC の [Aventail WorkPlace] ページ に移動 し 、 新 し いシ ョ ー ト カ ッ ト の リ ン ク を ク リ ッ ク し ます。 ユーザー jdoe が WorkPlace に接続す る と 、 変数は自動的に ロ グ イ ン時に入力 さ れた名前に置 き 換え ら れ、 \\marine_lab\users\jdoe と い う 名前の フ ォ ルダに ア ク セ ス で き る よ う に な り ます。 ユーザー rsmith の リ ン ク も 同様に な り ますが、 \\marine_lab\users\rsmith フ ォ ルダに ア ク セ ス で き る よ う に な り ます。 メモ • • LDAP ク エ リ に基づ く 新 し い変数の定義の手順については、 235 ページの 「 ク エ リ ベー ス変数の使用」 を参照 し て く だ さ い。 {URL_REF_VALUE} と い う 名前の追加の組み込み変数があ り 、シ ョ ー ト カ ッ ト の URL の最 初の変数の値が設定 さ れます。 こ の変数の使用方法につい ては、 238 ページの 「1 つの定義 を使用 し た複数のシ ョ ー ト カ ッ ト の表示」 を参照 し て く だ さ い。 ク エ リ ベース変数の使用 Active Directory ま たは LDAP の認証サーバー を使用す る よ う に レ ルム を構成 し た場合、 LDAP ス ト ア に対す る 特定の属性ま たは属性セ ッ ト の ク エ リ に よ っ て、 リ ソ ー ス を 定義で き ま す。 例 えば、 LDAP ク エ リ を使用 し てユーザーご と に 1 つの リ ソ ース を用意 し 、 ユーザーが自宅ま た はその他の場所か ら Windows に組み込まれた リ モー ト デス ク ト ッ プ プ ロ ト コ ル (RDP) を使用 し て、 WorkPlace リ ン ク か ら 個人のデス ク ト ッ プ に ア ク セ ス で き る よ う に し ます。 ユーザーの リ モー ト デス ク ト ッ プ を指す リ ソ ース変数を作成す る には 1. LDAP ス ト ア を変更 し て、 rdp と い う 名前の属性を追加 し ます。 2. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Resources] を ク リ ッ ク し ます。 セキ ュ リ テ ィ 管理 | 235 3. [Variables] タ ブ を ク リ ッ ク し 、 [New] を ク リ ッ ク し ます。 4. 変数の名前 ( 例えば、 Desktop) を入力 し 、 [User attribute] を [Type] と し て選択 し ます。 5. [Attribute] テキス ト ボ ッ ク ス に 「rdp」 と 入力 し ます。 6. [Output] リ ス ト で、 各ユーザーが LDAP ス ト ア で 1 台の コ ン ピ ュ ー タ だけに関連付け ら れ てい る場合は、 [Single result] が選択 さ れた ま ま に し ます。 7. こ の新 し い変数を適用す る レ ルム を選択 し 、そのレ ルムに ア ク セ ス で き る任意のユーザーの ユーザー名を [User] に入力 し ます。 8. [Test] を ク リ ッ ク し て、指定 し たユーザー属性か ら こ のユーザーの値が返 さ れる こ と を確認 し ます。 9. [Save] を ク リ ッ ク し ます。 10. [Resources] タ ブ で [New] を ク リ ッ ク し 、 [Host name or IP] を選択 し ます。 11. こ の リ ソ ース に名前を付け ます ( 例えば、 Personal computer)。 12. [Host name or IP address] テ キス ト ボ ッ ク ス で、 {variable} を ク リ ッ ク し 、 前に作成 し た 変数 {Desktop} を選択 し ます。 [Insert] を ク リ ッ ク し ます。 13. [Host name or IP address] のエ ン ト リ を編集 し て、 ネ ッ ト ワー ク 共有のパー ソ ナル コ ン ピ ュ ー タ のア ド レ スの部分を追加 し ます。 編集後のエ ン ト リ は、 次のよ う に な り ます。 {Desktop}.dept.company.com ユーザーが ロ グ イ ン す る た びに、 {Desktop} が、 rdp 属性 を 使用 し て LDAP ス ト ア で その ユーザーに関連付け ら れて い る マ シ ン名に置 き 換え ら れます。 14. [Save] を ク リ ッ ク し ます。 ユーザーが リ モー ト デス ク ト ッ プ に ア ク セ スす る ための WorkPlace リ ン ク を作成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Aventail WorkPlace] を ク リ ッ ク し ます。 2. [New] を ク リ ッ ク し 、 [Graphical terminal shortcut] を選択 し ます。 3. [Resource] リ ス ト で [Personal computer] を選択 し 、 WorkPlace での リ ン ク テキス ト を指 定 し ます。 例えば、 「My remote desktop」 と 指定 し ます。 4. [Save] を ク リ ッ ク し ます。作成 し た リ ソ ースは、デ フ ォ ル ト では、WorkPlace に My remote desktop と い う タ イ ト ルの リ ン ク と し て表示 さ れま す。 ユーザー John Doe が自宅ま たは外出先か ら WorkPlace に接続す る と 、 {Desktop} は LDAP ス ト ア で そのユーザー に関連付け ら れた rdp 属性の内容に置 き 換 え ら れ、 会社の コ ン ピ ュ ー タ (john_doe-340.dept.company.com) に ア ク セ ス す る た め の WorkPlace リ ン ク (My remote desktop) が 表 示 さ れ ま す。 ユ ー ザ ー Paula Smith の リ ン ク も 同 様 で す が、 ア ク セ ス 先 は paula_smith-452.dept.company.com に な り ます。ユーザーの rdp 属性に何 も 設定 さ れて いな い 場合、 そのユーザーがロ グ イ ン し て も 、 WorkPlace シ ョ ー ト カ ッ ト は表示 さ れません。 236 | Aventail E-Class SRA 10.7 管理者ガ イ ド 変数を含む変数を作成す る には 1 つ以上の変数 を 使用 し て別の変数 を 定義す る こ と で、 ユーザー ご と の リ ン ク やシ ョ ー ト カ ッ ト を 簡単に作成で き ま す。 例えば、 上記の手順では、 ホ ス ト 名ま たは IP ア ド レ ス リ ソ ー スが {Desktop} と い う 名前の変数 と それに続 く 文字列を使用 し て定義 さ れた ため、パスは次のよ う に な り ます。 {Desktop}.dept.company.com 上記のパス全体を解決す る、 {Desktop_path} と い う 名前の変数を代わ り に作成す る方法 も あ り ます。 複数の変数を使用 し て 1 つの変数を作成す る別の例 と し て、 上記のパスの dept を LDAP ス ト アのユーザーの ou (organizational unit) 属性に置 き 換え る方法 も 考え ら れま す。 次の表に、 こ れ ら の例で変数がどのよ う に解決 さ れるかを記載 し ます。 AMC 変数名 解決後の値 前提 {Desktop} john_doe-340 rdp (LDAP 属性 ) {dept} Sales ou (LDAP 属性 ) {Desktop_path} j o h n _ d o 340.dept.com-pany.com e {Desktop_by_dept} j o h n _ d o 340.Sales.com-pany.com e - AMC 変数の定義 {Desktop}.dept.com-pany. com - AMC 変数の定義 {Desktop}.{ou}.com-pany. com 変数 を 2 つ を超え て ネ ス ト す る こ と はで き ません。 変数が別の変数 を参照 し 、 その変数が さ ら に別の変数を参照す る こ と はで き ません。 ク エ リ 結果の変更 外部 l AD/LDAP ス ト ア に対す る特定の属性ま たは属性セ ッ ト の ク エ リ を実行す る こ と で、 変数 を 作成で き ま す。 ク エ リ 結果 を さ ら に便利に利用す る には、 ク エ リ 結果か ら 自動的にデー タ を 抽出 し 、 ク エ リ が送信 さ れて すべての変数文字列が確定 し た後に、 値の検索 と 置換の操作 を 実 行で き ます。 例えば、 複数の支社があ る会社で、 支社ご と に異な る Exchange サーバー を電子 メ ールに使用 し てい る と し ます。 い く つかの編集オ プ シ ョ ン を使用 し て、 場所に関係な く 、 両方の Exchange サーバー を表す 1 つの変数を定義 し ます。 ク エ リ 結果を自動編集に よ っ て変数を定義す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Resources] を ク リ ッ ク し ます。 2. [Variables] タ ブ を ク リ ッ ク し 、 [New] を ク リ ッ ク し ます。 3. 変数の名前を入力 し ます。 例えば、 「Exchange_server」 と 入力 し ます。 4. [Type] リ ス ト で、 [User attribute] を選択 し ます。 5. リ ス ト か ら 、 ク エ リ を実行す る、 AD/LDAP ス ト ア を指 し てい る レ ルム を選択 し ます。 6. [Attribute] リ ス ト で、 [msExchHomeServerName] を選択 し ます。 7. 2 つの異な る従業員 ( 例えば、1 人は London の本社で 1 人は California) のユーザー名を入 力 し 、 それぞれで [Test] を ク リ ッ ク し て、 デ ィ レ ク ト リ サーバーに対 し て ク エ リ を実行 し ます。 こ の例での唯一の相違点は、 結果の文字列の末尾のサーバー名です。 /o=Your Company, Inc./ou=UK/cn=Configuration/cn=Servers/cn=LN0EXL09 /o=Your Company, Inc./ou=UK/cn=Configuration/cn=Servers/cn=CA0EXV08 セキ ュ リ テ ィ 管理 | 237 8. 次に、 [Editing options] エ リ アの [New] を ク リ ッ ク し て、 ク エ リ 結果を変更 し ま す。 a. [Search] ボ ッ ク スに次のよ う に入力 し ます。 /o=Your Company, Inc./ou=UK/cn=Configuration/cn=Servers/cn= b. [Replace] ボ ッ ク ス には何 も 入力せずに、 [OK] を ク リ ッ ク し ます。 London と California の従業員の場合、 Exchange_server と い う 名前の変数には、 そのユーザー に対応す る LN0EXL09 ま たは CA0EXV08 のいずれかの名前が設定 さ れます。 同 じ ク エ リ を使用 し て、 従業員がい る場所を表す追加の変数を作成で き ま す。 例えば、 Location と い う 名前の新 し い変数を作成 し 、 それぞれのデ ィ レ ク ト リ サーバーの名前を場所に置 き 換え ます。 Location 変数は、 ユーザーに よ っ て、 London ま たは California のいずれかに解決 さ れま す。 例えば、 ロ ン ド ンの従業員の名前を [User] ボ ッ ク ス に入力 し 、 [Test] を ク リ ッ ク す る と 、 次の よ う な結果が表示 さ れます。 1 つの定義を使用し た複数のシ ョ ー ト カ ッ ト の表示 ユーザーのセ ッ シ ョ ンのプ ロパテ ィ ま たは ク エ リ 結果に基づいて変数を作成す る場合、 変数は、 ユーザー属性ご と に 1 つの値 ( 例えば、 sAMAccountName と lastLogon)、 ま たは複数の値 ( ユーザーが所属す る グルー プ の リ ス ト や、 ユーザーが ロ グ イ ン を 許可 さ れ て い る い く つかの ワー ク ス テ ーシ ョ ン ) に解決 さ れま す。 変数に複数の値が存在す る 可能性があ る 場合、 1 つの シ ョ ー ト カ ッ ト を作成 し て WorkPlace に一連のシ ョ ー ト カ ッ ト と し て自動的に表示 さ れる よ う にす る オ プ シ ョ ンがあ り ます。 238 | Aventail E-Class SRA 10.7 管理者ガ イ ド こ の例では、 1 つのシ ョ ー ト カ ッ ト を作成 し 、 結果 と し て、 WorkPlace の一連のシ ョ ー ト カ ッ ト が作成 さ れま す。 そ し て、 それ ら のシ ョ ー ト カ ッ ト のそれぞれが、 ユーザーに ア ク セ スが許 可 さ れて い る それぞれのワー ク ス テ ー シ ョ ン に対応 し ま す。 こ のプ ロ セ スの概要 を 以下に示 し ます。 ステ ッ プ 説明 A User_workstations と い う 名前の変数 を 作成 し ま す。 こ の変数は、 userWorkstations と い う 名前の AD ま たは LDAP サーバーの複数値属性 を 指 し ま す。 デ ィ レ ク ト リ ス ト ア では、 こ の属性は、 ユーザーに ア ク セ スが許可 さ れて い る ワー ク ス テーシ ョ ン を リ ス ト し ます。 例えば、 あるユーザーは、 パー ソ ナル ワー ク ス テーシ ョ ン を仕事に使用 し 、 別のワー ク ス テーシ ョ ン を注文の在庫管理に使用 し てい ます。 B User_workstations 変数を指す、Workstation_list と い う 名前のホス ト リ ソ ース を 作成 し ます。 こ の例のユーザーの場合、 リ ソ ースには 2 つの値の候補があ り ます。 C Workstation_list リ ソ ース を指す、WorkPlace グ ラ フ ィ カル端末シ ョ ー ト カ ッ ト を作 成 し ます。 こ のシ ョ ー ト カ ッ ト の リ ン ク は、 {URL_REF_VALUE} と い う 名前の特別 な組み込み変数を参照 し 、 ユーザーに使用が許可 さ れている ワー ク ス テーシ ョ ンのそ れぞれに対 し て、 WorkPlace で別々の リ ン ク が設定 さ れます。 D WorkPlace を テ ス ト し ます。 シ ョ ー ト カ ッ ト が表示 さ れない場合、 デ ィ レ ク ト リ ス ト アの ク エ リ で何 も 結果が返 さ れていないためであ る可能性があ り ます。 テ ス ト を実行 する こ と で、 WorkPlace のレ イ アウ ト のシ ョ ー ト カ ッ ト の位置を調整する必要がある かど う かも 確認で き ます。 A:AD サーバーのユーザー属性を指す変数を作成す る 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Resources] を ク リ ッ ク し 、 [Variables] ページ に移動 し ます。 2. [New] を ク リ ッ ク し 、 変数の名前 「User_workstations」 を入力 し ます。 3. [Type] リ ス ト で [User attribute] を選択 し 、 ク エ リ でデ ィ レ ク ト リ ス ト ア を使用す る レ ルム を指定 し ます。 4. AD ス ト アか ら 返 さ れた属性の ド ロ ッ プ ダウ ン リ ス ト で、[userWorkstations] を選択 し ます。 5. [Output] リ ス ト で、 [Multiple results] を選択 し ます。 6. [User] テ キス ト ボ ッ ク スに代表ユーザー ( こ のシ ョ ー ト カ ッ ト を使用す る可能性が高い ユ ー ザ ー ) の 名 前 を 入 力 し 、 [Test] を ク リ ッ ク し て、 AD/LDAP ス ト ア に 対 し て [userWorkstations] の値の ク エ リ を実行 し ます。 7. テ ス ト 結果か ら 、[Delimiter] ボ ッ ク ス に入力すべ き 文字 ( カ ン マやセ ミ コ ロ ン な ど ) がわか り ます。 8. [Save] を ク リ ッ ク し ます。 新 し い変数 ({User_workstations}) が リ ス ト に表示 さ れ、 他の変 数、 リ ソ ース、 ま たは WorkPlace シ ョ ー ト カ ッ ト の定義や記述に使用で き る よ う に な り ま し た。 B:{User_workstations} 変数を指すホ ス ト リ ソ ース を作成す る 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Resources] を ク リ ッ ク し ます。 2. [New] を ク リ ッ ク し 、 [Host Name or IP Address] を選択 し ます。 3. 「Workstation_list」 を リ ソ ース名 と し て入力 し ます。 4. [Host name or IP address] ボ ッ ク ス で、 {variable} を ク リ ッ ク し 、 ス テ ッ プ A で作成 し た 変数 {User_workstations} を選択 し ます。 5. [Insert] を ク リ ッ ク し 、 {variable} を も う 1 度 ク リ ッ ク し て リ ス ト を閉 じ ます。 セキ ュ リ テ ィ 管理 | 239 6. [Host name or IP address] のエ ン ト リ を編集 し て、 ネ ッ ト ワー ク 共有の コ ン ピ ュ ー タ のア ド レ スの部分を追加 し ます。 編集後のエ ン ト リ は、 次のよ う に な り ます。 {User_Workstations}.dept.company.com C:Workstation_list リ ソ ース を指す WorkPlace シ ョ ー ト カ ッ ト を作成す る 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Aventail WorkPlace] を ク リ ッ ク し ます。 2. [Shortcuts] ページ で [New] を ク リ ッ ク し 、 リ ス ト か ら [Graphical terminal shortcut] を選 択 し ます。 [Add Graphical Terminal Shortcut ] ページの [General] タ ブが表示 さ れます。 3. [Position] ボ ッ ク ス で、 リ ス ト 内でのシ ョ ー ト カ ッ ト の位置を指定 し ま す ( シ ョ ー ト カ ッ ト の位置は、 後で WorkPlace レ イ ア ウ ト で変更で き ます )。 4. [Resource] リ ス ト で、 こ のシ ョ ー ト カ ッ ト に リ ン ク さ れる リ ソ ース : [Workstation_list] を 選択 し ます。 5. [Link text] ボ ッ ク ス に、 ユーザーに提示 さ れるハ イ パー リ ン ク の最初の部分を入力 し ます。 例えば、 「My workstation(s):」 と その後に スペース を入力 し ます。 6. 変数を使用す る と 、 複数の値が存在す る場合に、 [Workstation_list] の後に続 く 値に リ ン ク の 終 了 を 設 定 し 、 複 数 の シ ョ ー ト カ ッ ト が WorkPlace に 表 示 さ れ る よ う に で き ま す。 {variable} を ク リ ッ ク し 、 リ ス ト か ら {URL_REF_VALUE} を選択 し ます。[Insert] を ク リ ッ ク し て、 変数を リ ン ク テ キス ト に追加 し 、 {variable} を も う 1 度 ク リ ッ ク し て リ ス ト を閉 じ ます。 Link のエ ン ト リ は次のよ う に な り ま し た。 My workstation(s): {URL_REF_VALUE} 7. [Finish] を ク リ ッ ク し て シ ョ ー ト カ ッ ト を保存 し ます ([Advanced] ページの設定の説明に つい ては、 487 ページの 「個別のホ ス ト に対す る グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト の追加」 を参照 し て く だ さ い )。 こ のシ ョ ー ト カ ッ ト に よ っ て、 ユーザーに使用が許可 さ れて い る それぞれのワー ク ス テ ー シ ョ ン に対す る 別々の WorkPlace リ ン ク が自動的に設定 さ れ ま す。 こ の例 で は、 2 つの WorkPlace リ ン ク (1 つはパー ソ ナル ワー ク ス テ ー シ ョ ン、 1 つは注文入力用のワー ク ス テ ーシ ョ ン ) が存在 し 、 ユーザー 「ageorge」 の場合は次のよ う に な り ます。 240 | Aventail E-Class SRA 10.7 管理者ガ イ ド D:WorkPlace の ト ラ ブルシ ュ ー テ ィ ン グ 1. ユーザーが WorkPlace に ロ グ イ ン し て も 作成 し た シ ョ ー ト カ ッ ト が表示 さ れな い場合は、 次の点を確認 し ます。 a. ユーザーが正 し い コ ミ ュ ニ テ ィ にい るかど う か。 AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [User Sessions] を ク リ ッ ク し 、ユーザーの名前を ク リ ッ ク し て セ ッ シ ョ ンの 詳細 を 取得 し ま す。 ユーザーが正 し い コ ミ ュ ニ テ ィ に割 り 当て ら れて い な い、 ま たは、 ユーザーが リ ソ ース に ア ク セ ス で き な く し て い るルールが存在す る可能性があ り ます。 b. 変数か ら こ のユーザーの結果が返 さ れるかど う か。 AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ューで [Resources] を ク リ ッ ク し 、 [Variables] ペ ー ジ に 移 動 し ま す。 User_workstations と い う 名前の変数 を ク リ ッ ク し 、 シ ョ ー ト カ ッ ト が表示 さ れ な い ユーザーの名前を入力 し て、 [Test] を ク リ ッ ク し ま す。 結果が返 さ れな ければ、 シ ョ ー ト カ ッ ト は表示 さ れません。 2. WorkPlace レ イ ア ウ ト を チ ェ ッ ク し ます。 シ ョ ー ト カ ッ ト を作成す る場合、 シ ョ ー ト カ ッ ト のグルー プ ま たはデ フ ォ ル ト のグルー プ ( ス タ ン ド ア ロ ンのシ ョ ー ト カ ッ ト ) に追加す る こ と も で き ます。 シ ョ ー ト カ ッ ト の位置を変更す る には、[Realms] を ク リ ッ ク し 、 こ のユー ザーが所属す る コ ミ ュ ニ テ ィ の名前を ク リ ッ ク し ます。[WorkPlace Appearance] ページ で、 使用 さ れる レ イ ア ウ ト を確認で き ます。 ページ内容を変更す る には、 [Manage layouts] を ク リ ッ ク し ます。 リ ソ ース グループの作成 と 管理 個々の リ ソ ース を定義す る方法だけで な く 、 個々の リ ソ ースの集ま り で あ る リ ソ ース グルー プ と し て リ ソ ー ス を 管理す る こ と も で き ま す。 リ ソ ース を グルー プ に ま と め る と 、 特長が似て い る リ ソ ー スのセ ッ ト を 簡単に管理で き ま す。 例えば、 リ モ ー ト の従業員に と っ て重要な ア プ リ ケーシ ョ ン を含む リ ソ ース グルー プ を定義す る と 、 それ ら の リ ソ ースへのア ク セ スの管理が容 易に な り ます。 リ ソ ース グループ に所属す る リ ソ ースの数に制限はあ り ません。 新 し い リ ソ ース グルー プ を作 成す る と 、 利用可能な リ ソ ー ス と グルー プの リ ス ト に追加 さ れ、 ア ク セ ス制御ルールで その リ ソ ース グループ を使用で き ます。 リ ソ ース グループの追加 新 し い リ ソ ース グルー プ を作成す る と 、 [Resources ] ページの [Resource Groups] タ ブの利 用可能な グルー プの リ ス ト に追加 さ れます。 リ ソ ース グルー プ を 追加す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Resources] を ク リ ッ ク し ます。 2. [Resource Groups] タ ブ を ク リ ッ ク し 、 [New] を ク リ ッ ク し ます。 3. リ ソ ース グループの名前を [Name ] に入力 し ます。 4. [Description] ボ ッ ク ス に、 グルー プの説明を入力 し ます。 セキ ュ リ テ ィ 管理 | 241 5. グルー プ に入れる リ ソ ースのチ ェ ッ ク ボ ッ ク ス を選択す るか、 グルー プ を空のま ま に し て 後で リ ソ ース を追加 し ます。 グルー プ に所属す る リ ソ ースの数に制限はあ り ません。 6. 終了 し た ら 、 [Save] を ク リ ッ ク し ます。 例 :URL リ ダ イ レ ク ト の操作 Web ベース ア プ リ ケーシ ョ ンの中には、 他の Web ページ にユーザー を自動的に リ ダ イ レ ク ト す る も の も あ り ま す。 ア プ リ ケー シ ョ ンへのユーザー ア ク セ ス では、 特定の Web ア ド レ ス を 参照 し ますが、 異な る ア ド レ ス に リ ダ イ レ ク ト さ れる こ と も あ り ます。 例えば、 あ る組織が次の URL の メ ール サーバー を使用 し て い る と し ます。 http://domino.example.com/dwa.nsf こ のサ イ ト に ア ク セ スす る ユーザーは、 自動的に異な る URL に リ ダ イ レ ク ト さ れます。 http://domino.example.com/mail/dwa1.nsf ユーザーが E-Class SRA ア プ ラ イ ア ン ス を使用 し て ア プ リ ケーシ ョ ン に ア ク セ ス で き る よ う に す る には、 元の URL と リ ダ イ レ ク ト さ れた URL の両方を リ ソ ース と し て追加す る必要があ り ます。 次の例では、Web ベース ア プ リ ケーシ ョ ン を URL リ ソ ースのペ ア と し て追加す る方法、リ ソ ー ス を グルー プ に ま と め る 方法、 お よ び、 ア ク セ ス制御ルール を 定義 し て ユーザーがア プ リ ケー シ ョ ン に ア ク セ ス で き る よ う にす る方法を説明 し ます。 Web ベース ア プ リ ケーシ ョ ンの URL リ ソ ース を構成す る 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Resources] を ク リ ッ ク し ます。 2. [New] を ク リ ッ ク し 、ド ロ ッ プ ダウ ン リ ス ト か ら [URL] を選択 し ます。[Add/Edit Resource - URL] ページが表示 さ れます。 3. [Name] ボ ッ ク ス に リ ソ ースの名前を入力 し ます。例えば、「Mail Web App」 と 入力 し ます。 4. [URL] ボ ッ ク ス に、 メ ール サーバーのア ド レ ス を入力 し ます。 例えば、 「http://domino.example.com/dwa.nsf」 と 入力 し ます。 5. [Save] を ク リ ッ ク し ます。 242 | Aventail E-Class SRA 10.7 管理者ガ イ ド 6. 上記の手順を繰 り 返 し て 2 つ目の Web リ ソ ース を作成 し 、 リ ダ イ レ ク ト さ れた URL ア ド レ ス を指定 し ます。ア プ リ ケーシ ョ ンが複数の リ ダ イ レ ク ト さ れた URL を使用す る場合は、 ア ド レ ス ご と に追加の URL リ ソ ース を作成 し ます。 こ の例では、 2 つの URL のみを使用 し ます。 両方の URL リ ソ ースの リ ソ ース グルー プ を作成す る 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Resources] を ク リ ッ ク し ます。 2. [Resource Group] タ ブ を ク リ ッ ク し 、 [New] を ク リ ッ ク し ま す。 [Add/Edit Resource Group] ページが表示 さ れます。 3. [Name] ボ ッ ク ス にグルー プ リ ソ ースの名前 を入力 し ます。 例えば、 「Mail Group」 と 入力 し ま す。 4. 以前に作成 し た Web リ ソ ースのそれぞれのチ ェ ッ ク ボ ッ ク ス を選択 し ます。 5. [Save] を ク リ ッ ク し ます。 Web App リ ソ ース グルー プのア ク セ ス制御ルールを定義す る 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Access Control] を ク リ ッ ク し ます。 2. [New] を ク リ ッ ク し ま す。 [Add/Edit Access Rule] ページが表示 さ れます。 3. [Number] す。 4. [Action] ボ タ ン を使用 し て、 [Permit] を指定 し ます。 こ れに よ り 、 次の手順で指定す る グ ルー プ リ ソ ースに対す る ユーザー ア ク セ スが許可 さ れま す。 5. [Basic settings] に、 次の情報を入力 し ます。 ボ ッ ク ス に、 ア ク セ ス制御 リ ス ト 内のルールの位置を指定す る数値を入力 し ま a. [User] は選択 さ れた ま ま に し ます ( リ ソ ース に ア ク セ ス し よ う と す る ユーザーにルール が適用 さ れる よ う に し ます )。 b. [From] ボ ッ ク ス では、ルールを適用す る ユーザー を指定 し ます。こ の例では、[Any user] のま ま に し ます。 c. [To] ボ ッ ク ス で [Edit] を ク リ ッ ク し 、 こ のルールの対象 と す る リ ソ ース を指定 し ます。 [Resources] ウ ィ ン ド ウが表示 さ れます。 d. 以前に作成 し た リ ソ ース グループ を選択 し ます。 こ の例では、 [Mail Web App Group] です。 6. [Save] を ク リ ッ ク し ます。 ア ク セ ス制御の概要については、 251 ページの 「ア ク セ ス制御ルール」 を参照 し て く だ さ い。 リ ソ ース グループの編集と削除 リ ソ ー ス グルー プ を 変更す る 前に、 関連す る ルール を よ く 検証 し 、 変更がセ キ ュ リ テ ィ ポ リ シーに どのよ う に影響す るかを把握 し ます。 ア ク セ ス制御ルールで参照 さ れて い る リ ソ ース グ ルー プは、 削除で き ません。 リ ソ ース グループ を削除す る前に、 その リ ソ ース グルー プ を参照 し て い る ルールか ら 削除す る 必要があ り ま す。 詳細につい ては、 134 ペー ジの 「参照 さ れて い る オ ブ ジ ェ ク ト の削除」 を参照 し て く だ さ い。 Web アプ リ ケーシ ョ ン プ ロ フ ァ イル Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルは、 Windows NTLM 認証 (v1 と v2 のど ち ら も サポー ト ) ま たは基本認証 を 使用す る Web ア プ リ ケーシ ョ ン のシ ン グル サ イ ン オ ン と 変換制御 を 可能に し ます。 セキ ュ リ テ ィ 管理 | 243 Windows NTLM 認証を使用す る Web ア プ リ ケーシ ョ ン では、 Windows ク レ デ ン シ ャ ルが 確認 さ れたユーザーに対 し てのみ、ア ク セ スが許可 さ れます。NTLM のサポー ト は Microsoft IIS (Windows マ シ ン用の イ ン タ ーネ ッ ト ベース サー ビ ス ) に組み込まれて お り 、 Internet Explorer でサポー ト さ れてい ます。 • 基本認証は、 多様な プ ラ ッ ト フ ォ ームでサポー ト さ れてい ます ( た だ し 、 ネ ッ ト ワー ク 上で パス ワー ド が平文で送信 さ れるので注意 し て く だ さ い )。 Web プ ロ キシ サー ビ ス を AMC で構成す る こ と で、 フ ォ ームベース認証をサポー ト す る よ う に も で き ます。 こ の場合、任意の組み合わせのブ ラ ウザ と Web サーバー を使用す る標準 HTML 形 式の Web にユーザー認証を組み込みます。 詳細につい ては、 249 ページの 「 フ ォ ームベースの シ ン グル サ イ ン オ ン プ ロ フ ァ イ ルの作成」 を参照 し て く だ さ い。 • Web アプ リ ケーシ ョ ン プ ロ フ ァ イルの表示 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルは、[Configure Web Proxy Service] ページ に表示 さ れま す。 利用可能な Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルの リ ス ト を表示す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Services] を ク リ ッ ク し ます。 2. [Access Services] エ リ ア で、 [Web proxy service] の [Configure] リ ン ク を ク リ ッ ク し ま す。 3. 利用可能な Web プ ロ フ ァ イ ルを表示す る には、 [Web Application Profiles] タ ブ を ク リ ッ ク し ます。 [Configure Web Proxy Service] ページが表示 さ れます。 4. こ の リ ス ト には、 い く つかの主要 Web ア プ リ ケーシ ョ ン で推奨 さ れる構成済みの Web ア プ リ ケー シ ョ ン プ ロ フ ァ イ ル、 作成 し た カ ス タ ム Web プ ロ フ ァ イ ル、 お よ びデ フ ォ ル ト Web プ ロ フ ァ イ ルが含まれます。Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルの設定を表示す る に は、 プ ロ フ ァ イ ルの名前を ク リ ッ ク し ます。 Web アプ リ ケーシ ョ ン プ ロ フ ァ イルの追加 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルは、 シ ン グル サ イ ン オ ンの特性や特定の Web リ ソ ースの コ ン テ ン ツ 変換オ プ シ ョ ン を 制御 し ま す。 Web リ ソ ー ス ご と に Web ア プ リ ケ ー シ ョ ン プ ロ フ ァ イ ルを作成 し 、 関連付け ます。 244 | Aventail E-Class SRA 10.7 管理者ガ イ ド • シ ン グル サ イ ン オ ン ([Single sign-on]) オ プ シ ョ ンは、ユーザーのロ グ イ ン ク レ デ ン シ ャ ルの下位の Web ア プ リ ケーシ ョ ンへの転送方法を制御 し ます。 こ れ ら のオ プ シ ョ ンは、 デ フ ォ ル ト では無効で す。 ま た、 シ ン グル サ イ ン オ ン を 構成す る ためには、 次のいずれかが 必要です。 • AMC の [Aventail WorkPlace] を ク リ ッ ク し 、 [Settings] タ ブ よ り [Use Web content translation] を ク リ ッ ク し ます。 • WorkPlace リ ン ク を エ イ リ ア スの URL と し て定義 し ます。 こ れは、 通常はネ ッ ト ワー ク エ ー ジ ェ ン ト に よ っ て ト ラ フ ィ ッ ク を リ ダ イ レ ク ト す る 場合に実行すべ き 方法で す が、 こ の場合、 リ ソ ースが変換 さ れ、 マ ッ ピ ン グ さ れた カ ス タ ム ポー ト ま たはシ ン グル サ イ ン オ ンのために Web ア ク セ ス に マ ッ ピ ン グ さ れた カ ス タ ム FQDN を使用 し て強制 的に プ ロ キシ さ れる よ う にす る こ と に な る で し ょ う 。 詳細 に つ い て は、 390 ペ ー ジ の 「Web シ ョ ー ト カ ッ ト ア ク セ ス」 と 391 ペ ー ジ の 「WorkPlace の一般設定の構成」 を参照 し て く だ さ い。 コ ン テ ン ツ変換 ([Content translation])] オ プ シ ョ ンは、 JavaScript コ ー ド 、 Cookie 本体、 お よ び Cookie パス を Web プ ロ キシ サー ビ ス で変換す るかど う かを制御 し ます。 こ れ ら の オ プ シ ョ ンは、 変換 Web ア ク セ ス エージ ェ ン ト だけで使用 さ れ、 標準の Web ア ク セ ス で は無視 さ れます。 Web ア プ リ ケ ー シ ョ ン プ ロ フ ァ イ ル は、 AMC の [Aventail WorkPlace] を ク リ ッ ク し 、 [Settings] タ ブ内の [Web shortcut access] が [Redirect through network agent] に設定 さ れ てい る と 、使用 さ れません。391 ページの 「WorkPlace の一般設定の構成」 を参照 し て く だ さ い。 • Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルを追加す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Services] を ク リ ッ ク し ます。 2. [Access Services] エ リ ア で、 [Web proxy service] の [Configure] リ ン ク を ク リ ッ ク し ま す。 [Configure Web Proxy Service] ページが表示 さ れます。 3. [Web Application Profiles] タ ブ を ク リ ッ ク し 、 [New] を ク リ ッ ク し ます。 [Add Web Application Profile] ページが表示 さ れま す。 4. [Name] ボ ッ ク ス に プ ロ フ ァ イ ルの名前を入力 し ます。 プ ロ フ ァ イ ルを作成 し て特定のア プ リ ケーシ ョ ン に関連付け る場合は、そのア プ リ ケーシ ョ ン に似た名前を付け る と よ いで し ょ う。 5. [Description] ボ ッ ク ス に、 プ ロ フ ァ イ ルの説明を入力 し ます。 セキ ュ リ テ ィ 管理 | 245 6. 7. [Single Sign-On] エ リ ア で、 ユーザー ク レ デ ン シ ャ ルを Web リ ソ ース に渡すかど う か、 ま た、 どの よ う に渡すのか を 指定 し ま す。 ユーザー ク レ デ ン シ ャ ル を 転送す る と 、 ユーザー が何回 も ロ グ イ ン す る 必要がな く な り ま す ( ア プ ラ イ ア ン ス に ア ク セ ス で き る よ う に なれ ば、 ア プ リ ケーシ ョ ン リ ソ ース に ま た ア ク セ ス で き ます )。 • [Forward each user’s individual username and password] チ ェ ッ ク ボ ッ ク ス を選 択す る と 、 WorkPlace への認証に使用 さ れた ユーザー名 と パス ワー ド がバ ッ ク エ ン ド Web サーバーに転送 さ れます。 • [Forward static credentials] チ ェ ッ ク ボ ッ ク ス を選択す る と 、 ア プ ラ イ ア ン スは、 す べてのユーザーに同 じ ユーザー名 と パス ワー ド を転送 し ます。 こ れは、 HTTP 基本認証 を必要 と す る も のの、 ロ グ イ ン名に基づいてユーザーご と に コ ン テ ン ツ を カ ス タ マ イ ズ す る必要がな い Web サ イ ト に有効です。 ま た、 ク ラ イ ア ン ト 証明書や ト ー ク ン で認証 す る ユーザーに も 有効です。 • いずれのオ プ シ ョ ン も 選択 し な い と 、 シ ン グル サ イ ン オ ン機能が無効に な り ます。 両方 のオ プ シ ョ ン を選択す る と 、 個々のユーザー名 と パス ワー ド のオ プ シ ョ ンが優先 さ れま す。 例えば、 ユーザーがユーザー名 / パス ワー ド のペ ア を指定す る と 、 それが転送 さ れ ますが、 指定 し ない と 、 Web プ ロ キシ サー ビ スが固定の ク レ デ ン シ ャ ルを転送 し ます。 • [Enable Kerberos single sign-on] チ ェ ッ ク ボ ッ ク ス を選択 し 、 リ ソ ースがホ ス テ ィ ン グ さ れる Kerberos レ ルム を指定す る と 、 WorkPlace と Connect Tunnel のユーザーが http リ ソ ースにア ク セス で き ます。 こ のレルムは、 Kerberos が推奨 さ れる認証 メ カ ニズ ム と し て構成 さ れている、Active Directory、Active Directory ツ リ ー、Active Directory フ ォ レ ス ト のよ う な環境の認証に使用 さ れます。 [Content translation] エ リ ア で、 Web プ ロ キシ サー ビ ス で変換す る項目を選択 し ます。 • Web プ ロ キシ サー ビ ス で Web リ ソ ースが使用す る JavaScript コ ー ド に埋め込まれた リ ン ク を変換す る場合は、 [Translate JavaScript code] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 こ れは、 絶対 URL ま たは絶対参照 (/to/path/xyz)、 ま たは動的に生成 さ れ る URL 246 | Aventail E-Class SRA 10.7 管理者ガ イ ド (location=“http://” + host name + “/index.html” な ど ) が含まれる JavaScript に有効です。 こ れに よ り 、 JavaScript を使用す る Microsoft Outlook Web Access やその他のア プ リ ケーシ ョ ン と の互換性が向上 し ます。 こ のオ プ シ ョ ンは、 デ フ ォ ル ト で有効です。 た だ し 、 Subject ( 件名 )、 From ( 差出人 )、 ま たは Sent To ( 宛先 ) フ ィ ール ド に基づ く 検索に問題があ っ た り 、WorkPlace シ ョ ー ト カ ッ ト を使用す る OWA へのア ク セ ス で ロ グ イ ン 後 に エ ラ ー が 表 示 さ れ た り し た 場 合 は、 OWA プ ロ フ ァ イ ル の [Translate JavaScript code] チ ェ ッ ク ボ ッ ク ス を ク リ ア し ます。 8. メモ • • • Web プ ロ キシ サー ビ スが フ ァ イ ルの拡張子で MIME タ イ プ で な い こ と を確認す る こ と で コ ン テ ン ツ タ イ プ を判断す る よ う にす る場合は、 [Translate content based on file extension] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 通常、 Web プ ロ キシ サー ビ スは、 一定の コ ン テ ン ツ タ イ プ ( テ キス ト と HTML を含む ) を変換 し ます。HTTP ヘ ッ ダーの MIME タ イ プ で コ ン テ ン ツ タ イ プ を判断 し ます。 Web リ ソ ースか ら 正 し く ない MIME タ イ プ が送信 さ れる場合は、 こ のオ プ シ ョ ン を選択 し て、 Web プ ロ キシ サー ビ スが フ ァ イ ル 拡張子に基づいて フ ァ イ ルを変換す るかど う かを判断す る よ う に し ます。 こ のオ プ シ ョ ンは、 デ フ ォ ル ト で無効です。 • Web プ ロ キシ サー ビ スが Cookie の本体に埋め込まれた URL を変換す る よ う にす る場 合は、 [Translate cookie body] チ ェ ッ ク ボ ッ ク ス を 選択 し ま す。 Web リ ソ ー ス が Cookie の本体に埋め込まれた URL を使用す る場合 ( 一般的な方法ではあ り ません ) に、 こ のオ プ シ ョ ンが有効に な っ て いな い と 、 ユーザーに問題が報告 さ れる可能性があ り ま す。一般的な現象 と し ては、予期せず別の URL に リ ダ イ レ ク ト さ れま す。 こ のオ プ シ ョ ンは、 デ フ ォ ル ト で有効です。 • Web プ ロ キシ サー ビ スがバ ッ ク エ ン ド リ ソ ースか ら 送信 さ れる Cookie の path 属性を 変換す る よ う にす る場合は、[Translate cookie path] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 ブ ラ ウザは、 Cookie のパス を使用 し て、 Cookie をサーバーに送信す る タ イ ミ ン グ を判 断 し ま す。 ア プ ラ イ ア ン スは、 ブ ラ ウザが認識す る パス を 変更す る ため、 Cookie のパ スが変換 さ れて いな い と 、 ブ ラ ウザか ら Cookie が送信 さ れません。 こ の状況の一般的 な現象 と し ては、有効な ロ グ イ ン ク レ デ ン シ ャ ルを入力 し た後に何回 も 入力が要求 さ れ ま す。 こ の よ う な現象が発生す る 場合は、 こ のオ プ シ ョ ン を 有効に し ま す。 こ のオ プ シ ョ ンは、 デ フ ォ ル ト で有効です。 [Save] を ク リ ッ ク し ます。 Windows タ ー ミ ナル サー ビ ス ま たは Citrix のホ ス ト に ア ク セ スす る ための WorkPlace シ ョ ー ト カ ッ ト を作成 し た場合は、 シ ン グル サ イ ン オ ン を構成で き ます。 487 ページの 「個別のホ ス ト に対す る グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト の追加」 を参照 し て く だ さ い。 新 し いバージ ョ ンのア プ ラ イ ア ン ス ソ フ ト ウ ェ ア では、 AMC が実行す る Web 変換の完全 性 と 堅牢性が強化 さ れま し た。 バージ ョ ン 10.x 以降で、 バージ ョ ン 8.6.x での Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルでの古い変換に戻す こ と はで き ません。 構成済みの Web アプ リ ケーシ ョ ン プ ロ フ ァ イル セキ ュ リ テ ィ 管理 | 247 い く つかの構成済みの Web ア プ リ ケー シ ョ ン プ ロ フ ァ イ ルがア プ ラ イ ア ン ス に付属 し て い ま す。 一般的に使用 さ れる一部の Web ア プ リ ケーシ ョ ン には、 こ れ ら のプ ロ フ ァ イ ルを使用す る こ と を推奨 し ます ( 追加の方法につい ては、 244 ページの 「Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルの追加」 を参照 し て く だ さ い )。 次の構成済みプ ロ フ ァ イ ルがあ り ま す。 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル 説明 Default NTLM ま たは基本認証のシ ン グル サイ ン オ ン を使用 し ない大部分 の Web ア プ リ ケーシ ョ ンやサイ ト に使用で き る、デ フ ォル ト プ ロ フ ァ イル Domino Web Access 8.x Lotus Domino Web Access のプ ロ フ ァ イル ( バージ ョ ン 8.x のみ ) iNotes 5.x Lotus iNotes のプ ロ フ ァ イル ( バージ ョ ン 5.x のみ ) SharePoint Microsoft SharePoint 2007/2010 のプ ロ フ ァ イル Outlook Web Access NTLM ま た は基本認証の シ ン グ ル サ イ ン オ ン を 使用 す る Microsoft Outlook Web Access やその他のサイ ト のプ ロ フ ァ イル WorkPlace WorkPlace の読み取 り 専用プ ロ フ ァ イル Web アプ リ ケーシ ョ ン プ ロ フ ァ イルの例 こ こ では、 ア プ ラ イ ア ン スが到着す る要求に適用す る Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ル を どの よ う に決定す る か を 説明 し 、 リ ソ ー スの指定で プ ロ フ ァ イ ル を どの よ う に柔軟に使用で き るかを解説 し ます。 Web リ ソ ースの要求の評価方法 Web リ ソ ースは定義が極めて広範で あ る ため、 ア プ ラ イ ア ン スは、 ルールに従 っ て、 到着す る 要求に適用す る Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ル を 決定 し 、 最 も 明確な リ ソ ース に関連付 け ら れてい る プ ロ フ ァ イ ルを選択 し ます。 例えば、 次の 2 つの リ ソ ースが定義 さ れて い る と し ます。 DNS ド メ イ ン (xyz.com) - Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ル A が添付 さ れてい る 特定の Web サーバー (web1.xyz.com) - Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ル B が添付 さ れ てい る https://web1.xyz.com/timesheet.html に対す る ユーザー要求が到着 し た場合、 ア プ ラ イ ア ン ス は、 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ル B を使用 し ます。 こ れは、 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ル A ( ド メ イ ン ) よ り も 限定的な リ ソ ース (Web サーバー) が こ のプ ロ フ ァ イ ルに関連 付け ら れてい る ためです。 ア プ ラ イ ア ン スが実際に使用す る順番は、 次のよ う に な り ます。 • • URL —> Host name —> IP address —> Subnet/IP range —> DNS domain 1 つのプ ロ フ ァ イ ル と ド メ イ ン全体の関連付け 1 つの ド メ イ ン内のすべての リ ソ ース に同 じ Web ア プ リ ケー シ ョ ン プ ロ フ ァ イ ル を 関連付け る 場合は、 その ド メ イ ン に プ ロ フ ァ イ ル を 関連付け てか ら 、 その ド メ イ ン 内に定義す る すべて の個々の リ ソ ース で、 [None] を プ ロ フ ァ イ ル と し て選択 し ます。 個々の リ ソ ースは、 ド メ イ ン のプ ロ フ ァ イ ル を 継承 し ま す。 特定の リ ソ ース に プ ロ フ ァ イ ルが関連付け ら れて お ら ず、 継承 す る プ ロ フ ァ イ ル も 存在 し な い場合、 ア プ ラ イ ア ン スは、 シ ス テム デ フ ォ ル ト を プ ロ フ ァ イ ル に使用 し ます。 Web アプ リ ケーシ ョ ン プ ロ フ ァ イルの編集と 削除 プ ロ フ ァ イ ルの変更前に、 関連付け ら れて い る ア プ リ ケーシ ョ ン と その変更に互換性があ る こ と を確認 し ます。 248 | Aventail E-Class SRA 10.7 管理者ガ イ ド プ ロ フ ァ イ ルに 1 つ以上の リ ソ ースが関連付け ら れて い る と 、AMC で プ ロ フ ァ イ ルを削除で き ません。 プ ロ フ ァ イ ル を 削除す る 前に、 すべての関連付け を 削除す る 必要があ り ま す。 詳細に つい ては、 134 ページの 「参照 さ れてい る オ ブ ジ ェ ク ト の削除」 を参照 し て く だ さ い。 フ ォ ームベースのシ ングル サイ ンオン プ ロ フ ァ イルの作成 多 く の Web ア プ リ ケーシ ョ ン で使用 さ れてい る、 フ ォ ームベース認証では、 ユーザーが HTML フ ォ ームの フ ィ ール ド に一連の ク レ デ ン シ ャ ル を 入力 し 、 セ ッ シ ョ ン ト ー ク ン が ブ ラ ウザの Cookie に保存 さ れます。 こ の タ イ プの認証は、 ブ ラ ウザ と Web サーバーの任意の組み合わせ で も サポー ト さ れて い る ため、 よ く 使用 さ れます。 それ以外に、 ロ グ イ ン ページ を カ ス タ マ イ ズで き る と い う メ リ ッ ト も あ り ます。 AMC を使用 し て シ ン グル サ イ ン オ ン プ ロ フ ァ イ ルを セ ッ ト ア ッ プす る こ と で、 ユーザーのア プ ラ イ ア ン スの ク レ デ ン シ ャ ルが フ ォ ームベー スの認証 を 使用す る Web ア プ リ ケー シ ョ ン に 転送 さ れる よ う に で き ます。 こ のプ ロ セ スは自動化 さ れて いな いため、 Dell SonicWALL テ ク ニ カ ル サポー ト の支援が必要に な る可能性があ り ます。 HTML コ ー ド に精通 し て いて、 フ ォ ーム の要素名やユーザー ク レ デ ン シ ャ ルが保存 さ れる Cookie の名前な どの情報を 知 っ てい る必要 があ り ます。 い く つかの組み込みプ ロ フ ァ イ ル も あ り 、 環境に合わせて変更で き ます。 • • • • • • OWA OWA OWA Citrix Citrix Citrix 2003 2007/2010 2013 Nfuse 1.7 XenApp XenDesktop Outlook Web Access の組み込みシ ン グル サ イ ン オ ン プ ロ フ ァ イ ルを変更す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Services] を ク リ ッ ク し ます。 2. [Access services] エ リ ア で、 [Web proxy service] の下にあ る [Configure] を ク リ ッ ク し ます。 3. [Single Sign-On Profiles] タ ブ を ク リ ッ ク し 、[New] を ク リ ッ ク し ます。[Configure Single Sign-On Profile] ページが表示 さ れます。 セキ ュ リ テ ィ 管理 | 249 4. [Name] と [Description] に入力 し 、[Application] リ ス ト か ら 該当す る OWA (Outlook Web Access) ア プ リ ケーシ ョ ン を選択 し ます ( 新規作成 し て カ ス タ ム フ ォ ームの要素を指定す る 場合は、 [Other] を選択 し ます )。 5. [Application URL] ボ ッ ク ス に、 ア プ リ ケーシ ョ ン タ イ プの URL ( 例えば、 Citrix XenApp/XenDesktop サ イ ト や Microsoft Exchange OWA の フ ォ ームベース認証 DLL) を入 力 し ま す。 OWA DLL の 場 合、 一 般 的 に は、 Exchange サ ー バ ー の FQDN の 後 ろ に /exchweb/bin/auth/owaauth.dll が続 き ます。 例えば、 次のよ う に な り ます。 https://owaserver.domain.com/exchweb/bin/auth/owaauth.dll 6. [Cookie name] テ キス ト ボ ッ ク ス に、 ユーザー ク レ デ ン シ ャ ルの保存に使用す る Cookie の フ ァ イ ル名を入力 し ます。 OWA 2013 の Cookie の名前は cadata です。 7. リ ン ク を ク リ ッ ク し て、 フ ォ ームの要素を変更 し ます ( 少な く と も 、 宛先の要素を変更 し て [Application URL] と 一致 さ せる必要があ り ます )。 8. [Save] を ク リ ッ ク し ます。 プ ロ フ ァ イ ル を セ ッ ト ア ッ プ す る と 、 WorkPlace リ ン ク が ク リ ッ ク さ れる かど う かにかかわ ら ず、 ユーザーがロ グ イ ン す る たびに、 ユーザーの ク レ デ ン シ ャ ルがバ ッ ク エ ン ド サーバーに自 動的に送信 さ れ る よ う に な り ま す。 許容 ラ イ セ ン ス数に制限があ る と 、 こ の動作が問題に な る 可能性があ り ます。 ユーザーがロ グ イ ン す る と 、 そのユーザーの ク レ デ ン シ ャ ルが、 シ ン グル サ イ ン オ ン プ ロ フ ァ イ ルが構成 さ れて い る すべての Web ア プ リ ケーシ ョ ン に送信 さ れま す。 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ル と は異な り 、シ ン グル サ イ ン オ ン プ ロ フ ァ イ ルは AMC では リ ソ ース に関連付 け ら れず、 ア プ リ ケーシ ョ ン リ ソ ースはプ ロ フ ァ イ ル内に定義 さ れます。 Windows NTLM ま たは基本認証 を使用す る Web ア プ リ ケーシ ョ ン での SSO の構成につい て は、 243 ページの 「Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ル」 を参照 し て く だ さ い。 250 | Aventail E-Class SRA 10.7 管理者ガ イ ド ア ク セス制御ルール ア ク セ ス制御ルールは、 ユーザー ま たはグルー プが使用で き る リ ソ ース を 決定 し ま す。 ルール の定義 を 広げて、 どの よ う な方法でのア ク セ ス も 可能す る こ と も で き ま すが、 ルールの定義 を 狭 く し て、Web ブ ラ ウザ、Connect と OnDemand、 ま たはネ ッ ト ワー ク エ ク ス プ ロ ー ラ と い っ た特定のア ク セ ス方法だけ を許可す る こ と も で き ます。 ユーザー ご と に リ ソ ースへのア ク セ ス を 許可す る かど う か を 評価す る こ と に加え て、 ア ク セ ス 制御ルールでは、 End Point Control ゾー ンやデバ イ スのプ ロ フ ァ イ ルを使用す る ユーザーのア ク セ ス ポ イ ン ト の信用度 も 判断要素 と し て使用で き ます。詳細については、346 ページの 「ゾー ン お よ びデバ イ ス プ ロ フ ァ イ ルに よ る EPC の管理」 を参照 し て く だ さ い。 ア ク セス制御ルールの構成 時間の経過に伴 っ て ネ ッ ト ワー ク が変化す る と 、 ア ク セ ス制御ルール を 構成 し て、 ユーザーや グルー プが使用で き る ア プ リ ケーシ ョ ン リ ソ ース を決定す る こ と が必要に な り ます。 ア ク セ ス制御ルール を 追加す る 前に、 既存のルール を よ く 検証 し 、 新 し いルール を 作成す る の ではな く 、 ルール を 変更で き な いか を 確認 し ま す。 既存のルール を コ ピ ー し 、 パ ラ メ ー タ を 変 更す る こ と も で き ます。 新 し いルール を 追加す る 場合は、 現在の構成 を 見直 し て、 新 し いルール を ルール順のど こ に置 く か を決定 し ます。 新 し いルールは、 デ フ ォ ル ト では リ ス ト の 1 番上に追加 さ れま すが、 正 し い位置に移動で き ます。 ア ク セス制御ルールの表示 ア ク セ ス制御ルールは、 [Access Control] ページ に番号順に表示 さ れま す。 ア プ ラ イ ア ン スは、 番号順にルール を 評価 し ま す。 デ フ ォ ル ト では、 すべてのア ク セ ス制御ルールが表示 さ れま す が、 [Filters] 設定を使用す る と 、 リ ソ ース タ イ プやその他の基準で フ ィ ル タ で き ます。 ア ク セ ス制御ルールを表示す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Access Control] を ク リ ッ ク し ます。 セキ ュ リ テ ィ 管理 | 251 2. デ フ ォ ル ト では、 リ ソ ース タ イ プ にかかわ ら ず、 作成 し たすべてのルールが表示 さ れます。 [Filters] セ ク シ ョ ン を使用す る と 、 ルールのサブ セ ッ ト を表示で き ます。 フ ィ ル タ の使用の 詳細については、 107 ページの 「AMC イ ン タ ー フ ェ ース ク イ ッ ク ツ アー」 の 「 フ ィ ル タ 」 の節 を 参照 し て く だ さ い。 特定のルール セ ッ ト を 表示す る には、 [Filters] の Method] ド ロ ッ プ ダウ ン リ ス ト か ら 次のいずれかを選択 し ます。 方法 説明 [Web browser] Web ベース (HTTP と HTTPS) リ ソ ースへのア ク セス を 制御するルールを表示 し ます。 [Aventail Connect/OnDemand] ク ラ イ ア ン ト / サーバー (TCP/IP) リ ソ ースへのア ク セス を制御するルールを表示 し ます。 [Network Explorer] WorkPlace を 使用す る Windows フ ァ イ ル シ ス テ ム リ ソ ースへのア ク セス を制御するルールを表示 し ます。 3. ア ク セ ス制御ルール リ ス ト に表示 さ れる デー タ を確認 し ます。 • チ ェ ッ ク ボ ッ ク スの列を使用 し て、 削除、 コ ピ ー、 ま たは並べ替え る 1 つ以上のルー ルを選択 し ます ([Move Up] ボ タ ン と [Move Down] ボ タ ン を使用 し ます )。 • 番号の列は、 ルールが評価 さ れる順番を表 し ます。 ルールを編集す る には、 対応す る番 号を ク リ ッ ク し ます。 • 構成の詳細やルールが参照す る オ ブ ジ ェ ク ト を表示す る には、 ルールの隣にあ る プ ラ ス 記号 (+) を ク リ ッ ク し ます。 • [Action] 列は、 ルールに よ っ て ア ク セ スが許可ま たは拒否 さ れるのか、 ま たは無視 さ れ るのかを表 し ます。 イ ン ジ ケー タ 説明 緑 ア ク セスは許可 さ れます。 赤 ア ク セスは拒否 さ れます。 グ レー ルールは評価 さ れません ( ルールを無効にする と 、ルールを削除せずに一 時的に使用を中止で き ます )。 • [Description] 列には、 ルール作成時に入力 し て説明テ キス ト が表示 さ れます。 • [From] 列は、 ルールが適用 さ れる ユーザー を表 し ます ([Any] はすべてのユーザーに適 用 さ れます )。 逆方向接続の場合、 こ の列は、 ユーザーま たはグルー プ に接続 さ れる リ ソ ース を表 し ます。 253 ページの 「双方向接続のア ク セ ス制御ルール」 を参照 し て く だ さ い。 • [To] 列には、ルールを適用す る対象 リ ソ ースが表示 さ れます ([Any] はすべてのユーザー に適用 さ れます )。 逆方向接続の場合、 こ の列は、 リ ソ ース に逆方向接続す る ユーザー ま たはグルー プ に接続 さ れる リ ソ ースが表示 さ れる こ と も あ り ます。 253 ページの 「双 方向接続のア ク セ ス制御ルール」 を参照 し て く だ さ い。 • [Method] 列は、 特定のア ク セ ス方法がルールに関連付け ら れて い るかど う かを表 し ま す。 地球のア イ コ ンは、 Web ブ ラ ウザベースの HTTP ア ク セ ス を表 し ま す。 フ ォ ルダ 付 き の地球のア イ コ ンは、 ネ ッ ト ワー ク エ ク ス プ ロ ー ラ を表 し 、 フ ァ イ ル シ ス テム リ ソ ースへの Web ア ク セ スが提供 さ れます。 E-Class SRA のロ ゴは、 Connect Tunnel ク ラ イ ア ン ト ま たはプ ロ キシ ク ラ イ ア ン ト 、 ま たは OnDemand Tunnel エージ ェ ン ト ま たはプ ロ キシ エージ ェ ン ト を使用す る ア ク セ ス を表 し ます。 [Any] は、 ルールがすべて のア ク セ ス方法に適用 さ れる こ と を表 し ます。 252 | Aventail E-Class SRA 10.7 管理者ガ イ ド • [Zone] 列は、ア ク セ ス ルールが特定の End Point Control ゾー ン に関連付け ら れて い る かど う かを表 し ます。 EPC ゾ ー ンは、 ク ラ イ ア ン ト デバ イ スの属性に基づい て接続要 求を分類す る ために使用 さ れます。 [Any] は、 ルールがすべての EPC ゾー ン に適用 さ れ る こ と を表 し 、 赤の 「制限付 き 」 ア イ コ ンは、 1 つ以上の特定のゾー ン に対す る ア ク セ スがルールに よ っ て制御 さ れる こ と を表 し ます。 双方向接続のア ク セス制御ルール VPN 接続では一般的に、 ユーザーが開始す る、 ク ラ イ ア ン ト / サーバー リ ソ ース に対す る 「順 方向接続」 が実行 さ れます。 こ れに対 し 、 Dell SonicWALL のユーザーに対す る ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト (Connect Tunnel ま たは OnDemand Tunnel) では、双方向接続が有効です。 Dell SonicWALL VPN では、 双方向接続が次のよ う に実行 さ れます。 VPN ユーザーか ら ク ラ イ ア ン ト / サーバー リ ソ ースへの順方向接続。 253 ページの 「順方 向接続のア ク セ ス制御ルールの追加」 を参照 し て く だ さ い。 • ク ラ イ ア ン ト / サーバー リ ソ ースか ら VPN ユーザーへの逆方向接続。 逆方向接続の一例 と し て、 ユーザーのマ シ ン に ソ フ ト ウ ェ アの更新 を 「送出す る」 SMS サーバーがあ り ま す。 258 ページの 「逆方向接続のア ク セ ス制御ルールの追加」 を参照 し て く だ さ い。 • 相互接続は VoIP (Voice over Internet Protocol) ア プ リ ケーシ ョ ン だけに使用 さ れ、 VPN ユーザー同士の通話を可能に し ます。 相互接続には、 1 つは順方向接続用、 も う 1 つは逆方 向接続用のペアのア ク セ ス制御ルールが必要です。 259 ページの 「相互接続のア ク セ ス制御 ルールのペアの追加」 を参照 し て く だ さ い。 双方向接続の こ れ以外の例 と し ては、 VPN ユーザーが フ ァ イ ルを ダウ ン ロ ー ド やア ッ プ ロ ー ド に使用す る FTP サーバーや、 リ モー ト のヘルプデス ク ア プ リ ケーシ ョ ン な どがあ り ます。 • 逆方向接続と 相互接続の要件 逆方向接続 と 相互接続のア ク セ ス制御ルール を 構成す る 前に、 次の要件 を 満足 し て い る 必要が あ り ます。 • • • ネ ッ ト ワー ク ト ン ネル サー ビ スがア プ ラ イ ア ン ス で実行中で あ る必要があ り ます。AMC の [Services] ページ で、[Network tunnel service] のス テ ー タ スが [Running] で あ る こ と を確 認 し ます。 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト の IP ア ド レ ス プールが構成 さ れて い る必要があ り ま す。 セ ッ ト ア ッ プ方法については、 470 ページの 「IP ア ド レ ス プールの構成」 を参照 し て く だ さ い。 VoIP ア プ リ ケーシ ョ ン に ア ク セ スす る ユーザーは、 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト (Connect Tunnel ま たは OnDemand Tunnel) を自分の コ ン ピ ュ ー タ に展開す る よ う 構成 さ れてい る コ ミ ュ ニ テ ィ に所属 し てい る必要があ り ま す。 63 ページの 「 コ ミ ュ ニ テ ィ の作成 と 構成」 を参照 し て く だ さ い。 逆方向接続のアプ リ ケーシ ョ ン ポー ト の保護 デ フ ォ ル ト では、 リ ソ ー スか ら ユーザーへの逆方向接続では、 ユーザーの コ ン ピ ュ ー タ のすべ てのポー ト に対 し て ア ク セ ス で き ま す。 セキ ュ リ テ ィ を 強化す る には、 逆方向接続に ア ク セ ス 制御ルール を 作成 し 、 ア プ リ ケー シ ョ ン が使用す る ポー ト だ けに ア ク セ ス を 限定 し ま す。 ア プ リ ケ ー シ ョ ン の ド キ ュ メ ン ト で、 ア プ リ ケ ー シ ョ ン を 使用す る た めに開い て い る 必要があ る フ ァ イ ア ウ ォ ール ポー ト を確認 し ます。 逆方向接続のア ク セ ス ルールを構成す る場合、 [Destination restrictions] オ プ シ ョ ン を使用 し て、 逆方向接続す る ア プ リ ケー シ ョ ン が必要 と す る ポー ト へのア ク セ ス を 限定 し ま す。 こ のオ プ シ ョ ン につい ては、 261 ペー ジの 「ア ク セ ス制御ルールの詳細属性の構成」 を 参照 し て く だ さ い。 順方向接続のア ク セス制御ルールの追加 セキ ュ リ テ ィ 管理 | 253 以下の手順で、 ユーザーか ら 対象 リ ソ ースへの順方向接続のア ク セ ス制御ルールを追加 し ます。 相互接続 (VoIP ア プ リ ケーシ ョ ン用な ど ) のア ク セ ス制御ルールの作成については、 259 ペー ジの 「相互接続のア ク セ ス制御ルールのペアの追加」 を参照 し て く だ さ い。 順方向接続のア ク セ ス制御ルールを追加す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Access Control] を ク リ ッ ク し ます。 2. [New] を ク リ ッ ク し ま す。 [Edit Access Rule] ページが表示 さ れま す。 3. [Number] ボ ッ ク ス に、 ア ク セ ス制御 リ ス ト 内のルールの位置を指定す る数値を入力 し ま す。 デ フ ォ ル ト では、 新 し いルールは リ ス ト の 1 番上に追加 さ れま すが、 こ のボ ッ ク ス を 使用す る と 、 ルールを どの位置に で も 移動で き ま す。 例えば、 番号 「3」 を新 し いルールに 割 り 当て る と 、 新 し いルールは、 現在のルール 「3」 ( ルール 「4」 に な り ます ) の前に挿入 さ れます。 こ れは、 必須 フ ィ ール ド です。 [Number] ボ ッ ク スの右側には、 ト ラ ブルシ ュ ー テ ィ ン グに使用で き る、 ルールの一意の識 別子が表示 さ れます。 ルールを追加ま たは変更す る と 、 例えば、 管理 コ ン ソ ールの監査ロ グ には、こ の ID を使用 し て変更の レ コ ー ド が表示 さ れま す。 ロ グの詳細については、270 ペー ジの 「シ ス テム ロ ギ ン グお よ びモ ニ タ リ ン グ」 を参照 し て く だ さ い。 4. [Description] ボ ッ ク ス に、 ルールの説明を入力 し ます。 こ の手順はオ プ シ ョ ン ですが、 わ か り やすい説明 を 入力す る と 、 ルールの リ ス ト を 後で表示す る場合に役立ち、 ロ グ フ ァ イ ルに も 表示 さ れる ため、 デバ ッ グに役立ち ます。 [ID] は、 AMC に よ っ て自動的に割 り 当て ら れる一意の識別子で、 削除で き ません。 5. [Action] ボ タ ン を使用 し て、 ルール を許可 ([Permit]) ま たは拒否 ([Deny]) のど ち ら のア ク セ ス に使用す るか、 ま たはルールを無効にす るのか ([Disabled]) を指定 し ます。 6. [Basic settings] に、 次の情報を入力 し ます。 • [User] を ク リ ッ ク し て、 ( ユーザーか ら リ ソ ースへの ) 順方向接続を構成 し ます。 • ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト を展開す る場合は、[Resource] ( リ ソ ースか ら ユー ザーへの ) 逆方向接続ま たは ( ユーザーか ら ユーザーへの ) 相互接続を制御す るルール を作成 し ます。 逆方向接続を使用す る前に、 ネ ッ ト ワー ク ト ン ネル サー ビ ス を IP ア ド レ ス プールで構成す る必要があ り ます (470 ページの 「IP ア ド レ ス プールの構成」 を 参照 )。 254 | Aventail E-Class SRA 10.7 管理者ガ イ ド • [From] ボ ッ ク ス では、 ルールを適用す る ユーザーま たはユーザー グループ を指定 し ます。 [Edit] を ク リ ッ ク し て、 ユーザー と グルー プの リ ス ト か ら 選択 し ます。 ユーザーま たはグルー プが指定 さ れな い と 、 こ の フ ィ ール ド の値は [Any user] に な り ます。 • [To] は、 ルールの対象 と な る リ ソ ース ま たは リ ソ ース グループ を指定 し ます。 [Edit] を ク リ ッ ク し て、 リ ソ ースの リ ス ト か ら 選択 し ます。 対象 と な る リ ソ ースが 選択 さ れな い と 、 こ の フ ィ ール ド の値は [Any resource] に な り ます。 7. [End Point Control zones] エ リ ア で、 リ ソ ースへのア ク セ ス を許可ま たは拒否す る ゾー ン を選択 し ます。 [Edit] を ク リ ッ ク し て、 リ ス ト か ら 選択 し ま す。 こ の フ ィ ール ド のデ フ ォ ル ト は [Any] ゾ ー ン です。 ゾー ンの構成 と 使用につい ては、 346 ページの 「ゾー ン お よ びデバ イ ス プ ロ フ ァ イ ルに よ る EPC の管理」 を参照 し て く だ さ い。 8. [Next] を ク リ ッ ク し て他の設定 も 構成す るか (255 ページの 「ア ク セ ス制御ルールの詳細属 性の指定」 を参照 )、 [Finish] を ク リ ッ ク し て現在の設定を保存 し ます。 ア ク セス制御ルールの詳細属性の指定 多 く のルールでは、 ユーザー ま たはグルー プ、 対象 リ ソ ー ス、 お よ び ア ク セ ス方法 を 含む基本 構成だけ で十分で すが、 ア ク セ ス を 厳格に制限す る ための追加オ プ シ ョ ン も 使用で き ま す。 例 えば、 ユーザーの場所に基づいて (IP ア ド レ ス で ) 接続を制御で き ます。 ソ ース ネ ッ ト ワー ク がア ク セ ス ルールで参照 さ れる と 、 要求元の場所に基づ き 、 対象 リ ソ ースへの接続が許可ま た は拒否 さ れる ため、 セキ ュ リ テ ィ が さ ら に強化 さ れます。 ア ク セ ス制御ルールの詳細設定を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Access Control] を ク リ ッ ク し ます。 2. [New] を ク リ ッ ク し ま す。 [Edit Access Rule] ページが表示 さ れま す。 3. [Advanced] タ ブ を ク リ ッ ク し ます。 4. [Access method restrictions] エ リ ア で、 リ ソ ースへの 1 つ以上のア ク セ ス方法を選択 し ま す。 リ ソ ース に対 し て特定のア ク セ ス方法 を 使用す る 必要があ る 環境で な い限 り 、 [Any] が推奨 さ れる設定です。 セキ ュ リ テ ィ 管理 | 255 ア ク セ ス方法を選択す る と 、 指定 し た方法に よ っ て、 該当す る詳細オ プ シ ョ ンが有効に な り ます。 [Selected] を ク リ ッ ク し て、 こ のルールで必要 と な る ア ク セ ス方法を選択 し ます。 ア ク セ ス方法 説明 [Web browser] Web ブ ラ ウ ザ を 使用 し て 接続 す る ユ ー ザ ー の HTTP ま た は HTTPS の リ ソ ースか らのア ク セス を管理 し ます。 以下の [Advanced] 設定を使用で き ます。 • [User’s network address] • [Time and date restrictions] [Network Explorer] ネ ッ ト ワ ー ク エ ク ス プ ロ ー ラ を 使用 し て 接続 す る WorkPlace ユーザーの Windows フ ァ イル シ ス テム リ ソ ースか ら のア ク セス を管理 し ます。 以下の [Advanced] 設定を使用で き ます。 • [User’s network address] • [Read/write permissions] • [Time and date restrictions] [Aventail Connect and/or Aventail OnDemand] 次のいずれかを使用 し て接続するユーザーの、 ク ラ イ ア ン ト / サー バー ア プ リ ケーシ ョ ン、 フ ァ イル サーバー、 デー タ ベースな どの TCP/IP リ ソ ースから のア ク セス を管理 し ます。 • Connect Tunnel またはプ ロキシ ク ラ イ ア ン ト • OnDemand Tunnel またはプ ロキシ エージ ェ ン ト 例えば、 Connect または OnDemand を使用するユーザーがネ ッ ト ワー ク ド メ イ ン にア ク セス で き る よ う に し 、 ただ し 、 その ド メ イ ン 内の Web リ ソ ー スへのブ ラ ウザのア ク セ ス を 許可 し な い よ う に し た い と し ま す。 そ の た め に は、 [Aventail Connect and/or Aventail OnDemand] を唯一のア ク セ ス方法 と し て指定す るルー ルを作成 し 、 [Client restrictions] エ リ アでネ ッ ト ワー ク ド メ イ ン を指定 し ます。 以下の [Advanced] 設定を使用で き ます。 • [Protocols] • [User’s network address] • [Destination restrictions] (ports) • [Time and date restrictions] [Selected] を ク リ ッ ク し て、 ネ ッ ト ワー ク ト ン ネルま たはプ ロ キシ サー ビ スが ク ラ イ ア ン ト か ら 受け付け る プ ロ ト コ ルを [Protocols] で指定 し ます。 それぞれの コ マ ン ド を こ こ で も 簡単に説明 し ますが、 詳細については、 http://www.ietf.org/rfc/rfc1928.txt を参照 し て く だ さ い。 プロ ト コル 説明 [TCP] 通常の TCP 接続 (SSH、 telnet、 SCP な ど ) を有効に し ます。 [UDP] ネ ッ ト ワー ク ト ン ネルまたはプ ロキシ サービ スに UDP デー タ 転送を 許可 し ます。 こ れは、 ス ト リ ー ミ ン グ オーデ ィ オや Microsoft Outlook の新着 メ ール通知な どの処理に必要です。 [ICMP] (Internet Control Message Protocol) ネ ッ ト ワー ク ト ラ ブルシ ュ ーテ ィ ン グ コ マ ン ド の ping と traceroute を有効に し ます。 こ のオ プ シ ョ ン を選択する と 、ネ ッ ト ワー ク ト ン ネルまたはプ ロキシ サービ スに こ れ ら の処理を許可する よ う に構成 さ れます。 こ のオ プ シ ョ ンは、 ネ ッ ト ワー ク ト ン ネルま たはプ ロ キシ サー ビ ス経由の ICMP パケ ッ ト の フ ロー も有効に し ます。 256 | Aventail E-Class SRA 10.7 管理者ガ イ ド 5. [Client restrictions] の下の [User’s network address] ボ ッ ク ス で、ルールで評価す る ソ ー ス ネ ッ ト ワー ク の名前を指定 し ます。 こ れは、 接続要求元に基づい て ア ク セ ス を制御す る場合に役立ち ます。 [Edit] を ク リ ッ ク し て、 リ ソ ースの リ ス ト か ら 選択 し ます。 ソ ース ネ ッ ト ワー ク が指定 さ れな い と 、 こ の フ ィ ー ル ド のデ フ ォ ル ト 値は [Any] です。 逆方向接続の場合、 こ のオ プ シ ョ ン を使用 し て、 特定の ポー ト ま たはア プ リ ケー シ ョ ン の リ ソ ー スが要求元で あ る ユーザーの コ ン ピ ュ ー タ へのア ク セ ス要求を ブ ロ ッ ク で き ます。 6. [Destination restrictions] を使用 し て、 個々のポー ト ([Ports]) ま たはポー ト の範囲に よ る ア ク セ ス を制限 し ます。 任意のポー ト でのア ク セ ス を有効にす る には、 [Any] を ク リ ッ ク し ます。 複数のポー ト を指定す る には、 [Selected] を ク リ ッ ク し 、 ポー ト 番号を セ ミ コ ロ ン で 区切 っ て入力 し ます。 ポー ト 範囲を指定す る には、 開始 と 終了の番号をハ イ フ ン で区切 っ て 入力 し ます。 例えば、 SMTP メ ール サーバーへのア ク セ ス を制御す る ポ リ シー を作成す る 場合に、ポー ト 25 (SMTP ト ラ フ ィ ッ ク の一般的なポー ト ) に よ る ア ク セ スのみを許可で き ま す。 最 新 の ポ ー ト 番 号 割 り 当 て の リ ス ト は、 http://www.iana.org/assignments/portnumbers に記載 さ れてい ます。 [Permissions] を使用 し て、 ルールで フ ァ イ ル シ ス テム リ ソ ースへの読み取 り ([Read]) ま たは読み取 り / 書 き 込み ([Read/Write]) ア ク セ スのど ち ら を許可す るかを指定 し ます。こ れ ら のア ク セ ス権限は、 Windows のア ク セ ス制御ルール と 併用 さ れま す。 ユーザーに特定の フ ァ イ ル権限を与え る には、 両方のエ ン テ ィ テ ィ ( すなわち、 Windows と ア プ ラ イ ア ン ス ) で許可す る必要があ り ま す。 フ ァ イ ルのア ッ プ ロ ー ド を無効にす る と 、 書 き 込みア ク セ ス の権限があ っ て フ ァ イ ルの移動や削除を実行で き る ユーザーで あ っ て も 、フ ァ イ ルへの書 き 込みを実行で き ません。 こ れ ら の設定は、 逆方向接続では無視 さ れます。 7. [Time and date restrictions] で、 ルールを有効にす る日時を指定 し ま す ( こ れ ら の日時制 限の フ ィ ール ド の タ イ ム ゾー ンは、 ロ ー カ ル時間です )。 [Shift] ま たは [Range] を指定す るか、 ルールを常に有効にす る よ う に指定 し ます。 8. [Save] を ク リ ッ ク す るか、 別のルールを定義す る場合は、 [Finish and Add Another] を ク リ ッ ク し ます。 AMC では複数のア ク セ ス方法を柔軟に リ ソ ース に割 り 当て ら れる ため、 ア ク セ ス方法 と リ ソ ー スの間に不一致が発生す る 可能性があ り ま す。 その よ う な状況は、 指定 さ れた リ ソ ース と 互換 性 の な い ア ク セ ス 方 法 を 割 り 当 て る ル ー ル を 作 成 し た 場 合 に 発 生 し ま す。 例 え ば、 [Web browser] を Windows ド メ イ ン リ ソ ースのア ク セ ス方法 と し て指定す る と 、 AMC で 「Invalid destination resources ( 無効な宛先 リ ソ ース )」 と い う エ ラ ー メ ッ セージが発生 し ます。 詳細に つい ては、 265 ページの 「無効な接続先 リ ソ ースの解決」 を参照 し て く だ さ い。 い く つかの リ ソ ース と ア ク セ ス方法が含まれる [Deny] ルールを作成 し 、 そのルールに よ っ て後 続のルールが評価で き な く な る可能性 も あ り ます。 こ の場合、 ア ク セ ス ポ リ シーで参照 さ れる 他の リ ソ ースへのユーザー ア ク セ スがブ ロ ッ ク さ れて し ま い ます。 ア ク セ ス方法 と リ ソ ースの 互換性の判断に使用す る ロ ジ ッ ク については、 264 ページの 「拒否ルールの非互換性の解決」 を 参照 し て く だ さ い。 セキ ュ リ テ ィ 管理 | 257 逆方向接続は、 IP ア ド レ ス プールがネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト に構成 さ れて い る場 合のみ使用で き ます。 順方向接続か ら 逆方向接続にルールを変更 し よ う と し た場合に IP ア ド レ ス プ ールが構成 さ れてい ない と 、 AMC か ら エ ラ ー メ ッ セージが表示 さ れます。 逆方向接続のア ク セス制御ルールの追加 以下の手順で、 対象 リ ソ ースか ら ユーザーへの逆方向接続のア ク セ ス制御ルールを追加 し ます。 逆 方 向 接 続 の 例 と し て は、 IBM の Tivoli プ ロ ビ ジ ョ ニ ン グ 製 品 や Microsoft の Systems Management Server (SMS) があ り ます。 詳細につい ては、 253 ページの 「逆方向接続 と 相互接 続の要件」 を参照 し て く だ さ い。 逆方向接続のア ク セ ス制御ルールを追加す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Access Control] を ク リ ッ ク し ます。 2. [New] を ク リ ッ ク し ま す。 [Edit Access Rule] ページが表示 さ れま す。 3. [Number] ボ ッ ク ス に、 ア ク セ ス制御 リ ス ト 内のルールの位置を指定す る数値を入力 し ま す。 デ フ ォ ル ト では、 新 し いルールは リ ス ト の 1 番上に追加 さ れま すが、 こ のボ ッ ク ス を 使用す る と 、 ルール を ど の位置に で も 移動で き ま す。 例えば、 4 つのルールがあ っ て番号 「3」 を新 し いルールに割 り 当て る と 、 現在のルール 3 ( 挿入後はルール 4 に な り ます ) の前 に挿入 さ れます。 こ れは、 必須 フ ィ ール ド です。 4. [Description] ボ ッ ク ス に、 ルールの説明を入力 し ます。 こ の手順はオ プ シ ョ ン ですが、 わ か り やすい説明 を 入力す る と 、 ルールの リ ス ト を 後で表示す る場合に役立ち、 ロ グ フ ァ イ ルに も 表示 さ れる ため、 デバ ッ グに役立ち ます。 [ID] は、 AMC に よ っ て自動的に割 り 当て ら れる一意の識別子で、 削除で き ません。 5. [Action] ボ タ ン を使用 し て、 ルール を許可 ([Permit]) ま たは拒否 ([Deny]) のど ち ら のア ク セ ス に使用す るか、 ま たはルールを無効にす るのか ([Disabled]) を指定 し ます。 6. [Basic settings] に、 次の情報を入力 し ます。 258 | Aventail E-Class SRA 10.7 管理者ガ イ ド • [Resource] ボ タ ン を選択 し て、 リ ソ ースか ら ユーザーへの逆方向接続を制御す るルー ルを作成 し ます。 [User] と [Resource] ボ タ ン で、 順方向接続ルール と 逆方向接続ルー ルを切 り 替え ます。 逆方向接続は、IP ア ド レ ス プールがネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト に構成 さ れて い る場合のみ使用で き ます。 逆方向接続を作成 し よ う と し た場合に IP ア ド レ ス プール が構成 さ れて いな い と 、 AMC か ら エ ラ ー メ ッ セージが表示 さ れま す。 詳細については、 253 ページの 「双方向接続のア ク セ ス制御ルール」 を参照 し て く だ さ い。 • [From] ボ ッ ク ス では、 ユーザーに接続す る リ ソ ース を指定 し ます。 [Edit] を ク リ ッ ク し て、 リ ソ ースの リ ス ト か ら 選択 し ます。 リ ソ ースが選択 さ れな い場合、 こ の フ ィ ール ド のデ フ ォ ル ト 値は [Any resource] です。 • [To] ボ ッ ク ス では、 リ ソ ースが接続す る ユーザー を指定 し ます。[Edit] を ク リ ッ ク し て、 リ ス ト か ら 選択 し ます。 ユーザーが選択 さ れな い場合、 こ の フ ィ ール ド のデ フ ォ ル ト 値 は [Any user] です。 7. [Access methods] エ リ ア で [Any] を選択 し 、 要求す る ア ク セ ス方法に関係な く 、 すべての リ ソ ースへのア ク セ ス をルールで自動的に管理す る よ う に し ます。 こ う す る と 、 逆方向接続 に必要で あ る Connect Tunnel ク ラ イ ア ン ト ま たは OnDemand Tunnel エージ ェ ン ト がルー ルに よ っ て確実に管理 さ れます。こ れ以外のア ク セ ス方法は逆方向接続をサポー ト し て お ら ず、 迂回 さ れます。 8. ルールの作成が終了 し た ら 、 [Save] を ク リ ッ ク し ます。 相互接続のア ク セス制御ルールのペアの追加 相互接続のア ク セ ス制御ルール を 作成す る 手順の多 く は、 順方向接続ま たは逆方向接続のルー ルを作成す る手順 と 同 じ です。 た だ し 、 重要な違い と 要件がい く つかあ り ます。 例えば、VPN ユーザー同士が VoIP ア プ リ ケーシ ョ ン を使用 し て通話で き る よ う にす る には、ア プ ラ イ ア ン ス にユーザーが IP ア ド レ ス プールに接続す る ためのルールを 1 つ作成 し 、 IP ア ド レ ス プ ールがユーザーに接続す る ための 2 つ目のルールを作成 し ます。 ま た、 こ の手順に従 っ て、 FTP サーバー と ユーザーの間の双方向接続を 許可す るルールのペ ア を作成す る必要 も あ り ます。 相互接続のア ク セ ス制御ルールを追加す る には 1. 逆方向接続を構成す る ための要件を満足 し て い る こ と を確認 し ます。 詳細については、 253 ページの 「逆方向接続 と 相互接続の要件」 を参照 し て く だ さ い。 2. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Access Control] を ク リ ッ ク し ます。 3. [New] を ク リ ッ ク し ま す。 [Add/Edit Access Rule] ページが表示 さ れます。 4. [Number] ボ ッ ク ス に、 ア ク セ ス制御 リ ス ト 内のルールの位置を指定す る数値を入力 し ま す。 デ フ ォ ル ト では、 新 し いルールは リ ス ト の 1 番上に追加 さ れま すが、 こ のボ ッ ク ス を 使用す る と 、 ルール を ど の位置に で も 移動で き ま す。 例えば、 4 つのルールがあ っ て番号 「3」 を新 し いルールに割 り 当て る と 、 現在のルール 3 ( 挿入後はルール 4 に な り ます ) の前 に挿入 さ れます。 こ れは、 必須 フ ィ ール ド です。 セキ ュ リ テ ィ 管理 | 259 5. [Description] ボ ッ ク ス に、ルールの説明を入力 し ま す。 こ の手順はオ プ シ ョ ン ですが、ルー ルの リ ス ト を後で表示す る場合に、 説明が役立ち ます。 ロ グ フ ァ イ ルに も 表示 さ れる ため、 ロ グ を 検証 し て 接続が特定のルールに一致 し な い理由 を 調べ る 場合に も 役立 ち ま す。 [ID] は、 AMC に よ っ て自動的に割 り 当て ら れる一意の識別子で、 削除で き ません。 相互接続には順方向接続 と 逆方向接続のルールのペ アが必要で あ る ため、2 つのルールに似 た名前を割 り 当て て、 ア ク セ ス制御ルールの リ ス ト で簡単に特定で き る よ う に し ます。 6. [Action] ボ タ ン を使用 し て、 ルール を許可 ([Permit]) ま たは拒否 ([Deny]) のど ち ら のア ク セ ス に使用す るか、 ま たはルールを無効にす るのか ([Disabled]) を指定 し ます。 7. [Basic settings] で、 [User] と [Resource] ボ タ ン を使用 し て、 順方向接続 と 逆方向接続の ルールを選択 し ます。 8. 9. • ユーザーか ら IP ア ド レ ス プ ールへの順方向接続ルール を作成す る には、 [User] を ク リ ッ ク し ます。 • IP ア ド レ ス プ ールか ら ユーザーへの逆方向接続ルールを作成す る には、 [Resource] を ク リ ッ ク し ます。 [Basic settings] の [From] ボ ッ ク ス で、 こ のルールを適用す る ユーザーま たは リ ソ ース を 指定 し ます。 • 順方向接続ルールの場合、ルールを適用す る ユーザーま たはユーザー グルー プ を指定 し ます。[Edit] を ク リ ッ ク し て、ユーザーま たはグループの リ ス ト か ら 選択 し ます。デ フ ォ ル ト 値は [Any user] です。 • 逆方向接続ルールについて、 VoIP ア プ リ ケーシ ョ ン に使用す る ア ド レ ス プールを指定 し ま す。 [Edit] を ク リ ッ ク し て、 リ ソ ースの リ ス ト か ら ア ド レ ス プ ール を選択 し ます。 デ フ ォ ル ト 値は [Any resource] です。 [Basic settings] の [To] ボ ッ ク ス で、 こ のルールを適用す る ユーザーま たは リ ソ ース を指 定 し ます。 • 順方向接続ルールについて、 VoIP ア プ リ ケーシ ョ ン に使用す る ア ド レ ス プールを指定 し ま す。 [Edit] を ク リ ッ ク し て、 リ ソ ースの リ ス ト か ら ア ド レ ス プ ール を選択 し ます。 デ フ ォ ル ト 値は [Any resource] です。 • 逆方向接続ルールについて、 ルールを適用す る ユーザー を指定 し ます。 [Edit] を ク リ ッ ク し て、 ユーザーま たはグループの リ ス ト か ら 選択 し ます。 デ フ ォ ル ト 値は [Any user] です。 10. [Access method restrictions] エ リ ア で、 [Any] を選択 し ます。 こ れに よ り 、 逆方向接続が Connect Tunnel ク ラ イ ア ン ト ま たは OnDemand Tunnel エ ー ジ ェ ン ト のいずれか で あ る ユーザーの エ ン ド ポ イ ン ト デバ イ スの正 し い ア ク セ ス方法 を、 ア プ ラ イ ア ン スの Smart Access 機能が判断で き る よ う に な り ます。 こ れ以外のア ク セ ス方法は相互接続ま たは双方 向接続をサポー ト し て お ら ず、 迂回 さ れます。 260 | Aventail E-Class SRA 10.7 管理者ガ イ ド 11. [Access method restrictions] エ リ ア で [Any] を選択 し 、 要求す る ア ク セ ス方法に関係な く 、 すべての リ ソ ー スへのア ク セ ス を ルールで自動的に管理す る よ う に し ま す。 こ う す る と 、逆方向接続に必要で あ る Connect Tunnel ク ラ イ ア ン ト ま たは OnDemand Tunnel エー ジ ェ ン ト がルールに よ っ て確実に管理 さ れます。こ れ以外のア ク セ ス方法は逆方向接続をサ ポー ト し て お ら ず、 迂回 さ れます。 12. 相互接続ルールのペアの 1 つ目のルールを作成 し 、 2 つ目のルールを作成 し て保存 し た ら 、 [Finish] を ク リ ッ ク し ます ( ま たは、 ペ アの 1 つ目のルールを保存 し 、 その コ ピ ー を作成 し てか ら 、 ユーザー と リ ソ ースの設定を逆にす る こ と も で き ます )。 相互接続ルールのペ ア を 構成す る 順方向接続ルール と 逆方向接続ルール を 構成 し た後に、 2 つ のルール を ア ク セ ス制御 リ ス ト で並べて配置 し ま す。 そ う す る こ と で、 関連す る ルール と し て 識別 し やす く な り ます。 相互接続 を 作成 し よ う と し た場合に IP ア ド レ ス プ ールが構成 さ れて い な い と 、 AMC か ら エ ラ ー メ ッ セージが表示 さ れます。 詳細については、 253 ページの 「双方向接続のア ク セ ス制御 ルール」 を参照 し て く だ さ い。 ア ク セス制御ルールの詳細属性の構成 多 く のルールでは、 ユーザー ま たはグルー プ、 対象 リ ソ ー ス、 お よ び ア ク セ ス方法 を 含む基本 構成だけ で十分ですが、 [Add/Edit Access Rule] の [Advanced] ページ では、 ア ク セ ス を さ ら に限定す る ための設定を使用で き ます。 例えば、 個別の IP ア ド レ スか ら の接続のみに制限す る 場合は、 [User’s network address] オ プ シ ョ ン を選択 し ます。 ソ ース ネ ッ ト ワー ク がア ク セ ス ルールで参照 さ れる と 、 要求元の場所 に基づ き 、 対象 リ ソ ースへの接続が許可ま たは拒否 さ れ る ため、 セキ ュ リ テ ィ が さ ら に強化 さ れます。 ア ク セ ス制御ルールの詳細設定を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Access Control] を ク リ ッ ク し ます。 2. 既存のルールの リ ン ク を ク リ ッ ク し ます。 3. [Edit Access Rule ] ページ で、 [Advanced] タ ブ を ク リ ッ ク し ます。 4. [Access method restrictions] で、 接続を初期化す る ソ フ ト ウ ェ ア エージ ェ ン ト ま たは ク ラ イ ア ン ト に基づいて、 ア ク セ ス を許可ま たは拒否 し ます。 ほ と んどの場合、 [Any] の設定 のま ま で構い ません。 5. ネ ッ ト ワー ク ト ン ネルま たはプ ロ キシ サー ビ スが ク ラ イ ア ン ト か ら 受け付け る プ ロ ト コ ル ([Protocols]) を 制限す る には、 [Selected] を ク リ ッ ク し ま す。 それぞれの コ マ ン ド を こ こ で も 簡単に説明 し ますが、 詳細については、 http://www.ietf.org/rfc/rfc1928.txt を参照 し て く だ さ い。 プロ ト コル 説明 TCP 通常の TCP 接続 (SSH、 telnet、 SCP な ど ) を有効に し ます。 UDP ネ ッ ト ワー ク ト ン ネルまたはプ ロキシ サービ スに UDP デー タ 転送を 許可 し ます。 こ れは、 ス ト リ ー ミ ン グ オーデ ィ オや Microsoft Outlook の新着 メ ール通知な どの処理に必要です。 ICMP (Internet Control Message Protocol) ネ ッ ト ワー ク ト ラ ブルシ ュ ーテ ィ ン グ コ マ ン ド の ping と traceroute を有効に し ます。 こ のオ プ シ ョ ン を選択する と 、ネ ッ ト ワー ク ト ン ネルまたはプ ロキシ サービ スに こ れ ら の処理を許可する よ う に構成 さ れます。 こ のオ プ シ ョ ンは、 ネ ッ ト ワー ク ト ン ネルま たはプ ロ キシ サー ビ ス経由の ICMP パケ ッ ト の フ ロー も有効に し ます。 セキ ュ リ テ ィ 管理 | 261 6. [User’s network address] オ プ シ ョ ン で、 ルールで評価す る接続元ネ ッ ト ワー ク の名前を 指定 し ま す。 こ れは、 接続要求元に基づい て ア ク セ ス を制御す る場合に役立ち ます。 [Edit] を ク リ ッ ク し て、 リ ソ ースの リ ス ト か ら 選択 し ま す。 ソ ース ネ ッ ト ワー ク が指定 さ れな い と 、 こ の フ ィ ール ド のデ フ ォ ル ト 値は [Any] です。 逆方向接続の場合、 こ のオ プ シ ョ ン を使 用 し て、 特定のポー ト ま たはア プ リ ケー シ ョ ン の リ ソ ー スが要求元で あ る ユーザーの コ ン ピ ュ ー タ へのア ク セ ス要求を ブ ロ ッ ク で き ます。 7. [Destination restrictions] を使用 し て、 個々のポー ト ([Ports]) ま たはポー ト の範囲に よ る ア ク セ ス を制限 し ま す。 例えば、 SMTP メ ール サーバーへのア ク セ ス を制御す る ポ リ シー を作成す る場合に、ポー ト 25 (SMTP ト ラ フ ィ ッ ク の一般的なポー ト ) に よ る ア ク セ スのみ を 許 可 で き ま す。 最 新 の ポ ー ト 番 号 割 り 当 て の リ ス ト は、 http://www.iana.org/assignments/port-numbers に記載 さ れてい ます。 任意のポー ト でのア ク セ ス を有効にす る には、 [Any] を ク リ ッ ク し ます。 複数のポー ト を指 定す る には、 [Selected] を ク リ ッ ク し 、 ポ ー ト 番号 を セ ミ コ ロ ン で 区切 っ て 入力 し ま す。 ポー ト 範囲を指定す る には、 開始 と 終了の番号をハ イ フ ン で区切 っ て入力 し ます。 8. [Permissions] を使用 し て、 ルールで フ ァ イ ル シ ス テム リ ソ ースへの読み取 り ([Read]) ま たは読み取 り / 書 き 込み ([Read/Write]) ア ク セ スのど ち ら を許可す るかを指定 し ます。こ れ ら のア ク セ ス権限は、 Windows のア ク セ ス制御ルール と 併用 さ れま す。 ユーザーに特定の フ ァ イ ル権限を与え る には、 両方のエ ン テ ィ テ ィ ( すなわち、 Windows と ア プ ラ イ ア ン ス ) で許可す る必要があ り ま す。 フ ァ イ ルのア ッ プ ロ ー ド を無効にす る と 、 書 き 込みア ク セ ス の権限があ っ て フ ァ イ ルの移動や削除を実行で き る ユーザーで あ っ て も 、フ ァ イ ルへの書 き 込みを実行で き ません。 こ れ ら の設定は、 逆方向接続では無視 さ れます。 9. [Time and date restrictions] で、 ルールを有効にす る日時を指定 し ま す ( こ れ ら の日時制 限の フ ィ ール ド の タ イ ム ゾー ンは、 ロ ー カ ル時間です )。 [Shift] ま たは [Range] を指定す るか、 ルールを常に有効にす る よ う に指定 し ます。 10. ルールの作成が終了 し た ら 、 [Save] を ク リ ッ ク し ます。 ア ク セス方法と 詳細オプシ ョ ン ア ク セ ス方法 を 制限す る 場合は、 選択 さ れて い る ア ク セ ス方法に よ っ て詳細オ プ シ ョ ン が有効 ま たは無効に な り ます ([Any] を ア ク セ ス方法 と し て選択す る と 、 すべての詳細オ プ シ ョ ン を使 用で き ます )。 AMC がルールを評価す る段階で、 そのア ク セ ス方法に関係 し な いルール属性は 選択で き な く な り ま す。 次の表は、 それぞれのア ク セ ス方法に該当す る 詳細オ プ シ ョ ン を 示 し てい ます。 ア ク セ ス方法 該当す る詳細オ プ シ ョ ン [Web browser] (HTTP/HTTPS) • [User’s network address] • [Time and date restrictions] [Network Explorer] • [User’s network address] ( フ ァ イル シ ス テム リ ソ ースへの Web • [Read/write permissions] ア ク セス ) • [Time and date restrictions] [Aventail Connect and/or Aventail OnDemand] (TCP/IP) • • • • [Protocols] [User’s network address] [Destination restrictions] (ports) [Time and date restrictions] ア ク セス制御ルールからのユーザー と リ ソ ースの追加 管理者に よ っ ては、 すべてのポ リ シー オ ブ ジ ェ ク ト ( ユーザー、 グルー プ、 リ ソ ース ) を定義 し てか ら ア ク セ ス制御ルール を 作成 し たい と 考え る こ と も あ り ま す。 こ の構造型のア プ ロ ーチ は、 初期構成には特に有効で すが、 継続的な管理におい ては不便で あ る こ と も あ り ま す。 その よ う な場合は、 ア ク セ ス制御ルールの作成に使用す る イ ン タ ー フ ェ ー スか ら 新 し い リ ソ ー ス を 直接定義で き ます。 262 | Aventail E-Class SRA 10.7 管理者ガ イ ド ユーザーま たは リ ソ ース を既存のア ク セ ス制御ルールに追加す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Access Control] を ク リ ッ ク し ます。 2. 既存のルールの リ ン ク を ク リ ッ ク し ます。 [Edit Access Rule] ページが表示 さ れます。 3. [Basic settings] エ リ アの [From] ま たは [To] の隣にあ る [Edit] を ク リ ッ ク し ます。 現在の ユーザー と グルー プ、 ま たは リ ソ ースが別ウ ィ ン ド ウに表示 さ れます。 4. [New] を ク リ ッ ク し ま す。 次に表示 さ れる ページは、 作成 し て い る オ ブ ジ ェ ク ト の タ イ プ に よ っ て異な り ます。 5. 新 し いユーザー、 グルー プ、 ま たは リ ソ ースの設定を定義 し ます。 6. オ ブ ジ ェ ク ト の作成が終了 し た ら 、 [Save] を ク リ ッ ク し ます。 7. ア ク セ ス ルールに追加す る オ ブ ジ ェ ク ト の隣にあ る チ ェ ッ ク ボ ッ ク ス を選択 し 、 [Save] を ク リ ッ ク し ます。 ア ク セス制御ルールの編集、 コ ピー、 削除 ア ク セ ス制御ルール を 変更ま たは削除す る 前に、 既存のルール を よ く 検証 し 、 変更がセキ ュ リ テ ィ ポ リ シーに どのよ う に影響す るかを理解 し ます。 ルールの削除では確認が求め ら れる こ と がないため、 注意 し て く だ さ い。 • • ア ク セ ス制御 リ ス ト 内でのルールの並び順を変更で き ます。 並び順を変更す る前に、 並び替 え る こ と で セキ ュ リ テ ィ ポ リ シーに どのよ う に影響す るかを よ く 確認 し て く だ さ い。 新 し い ア ク セ ス制御ルールを ゼロか ら 作成す るのではな く 、既存のルールの コ ピ ー を作成 し て一部のパ ラ メ ー タ を新 し いルールに合わせて変更す る と 、 時間を短縮で き ます。 その際に は、 作成 し よ う と す るルール と 特長が似て い るルールを選択 し ます。 ルールの コ ピ ーは、新 し い ア ク セ ス ルールを テ ス ト す る際に も 役立ち ます。 コ ピ ー し たルー ル を 編集 し 、 テ ス ト 中は元のルール を 無効に し ま す。 こ う す る こ と で、 必要があれば元の ルールに戻す こ と がで き ます。 ア ク セ ス制御ルールの編集、 削除、 コ ピ ーについては、 134 ページの 「参照 さ れて い る オ ブ ジ ェ ク ト の削除」 を参照 し て く だ さ い。 [Filters] 設定を使用 し て、 表示 さ れる ア ク セ ス ルールを特定のア ク セ ス方法やその他の基準で フ ィ ル タ リ ン グ し て い る場合、 [Move Up] ボ タ ンや [Move Down] ボ タ ン で リ ス ト を並べ替え る こ と はで き ません。 [Method] が [All] に設定 さ れてい る場合のみ、 ア ク セ ス制御ルールを移動 で き ます。 複数のルールを リ ス ト 内で移動す る場合は、 [Add/Edit Access Rule] ページの [Number] ボ ッ ク ス を変更す る方が一般的に速 く 移動で き ます。 セキ ュ リ テ ィ 管理 | 263 拒否ルールの非互換性の解決 許可ルールの場合は、 リ ソ ース と ア ク セ ス方法の任意の組み合わせで問題な く 使用で き ますが、 拒否ルールに特定の組み合わせの リ ソ ー ス と ア ク セ ス方法が含まれて い る と 、 後続のルール を 評価で き な く な る こ と があ り ます。 こ の場合、 ア ク セ ス ポ リ シーで参照 さ れる他の リ ソ ースへ のユーザー ア ク セ スがブ ロ ッ ク さ れて し ま う 可能性があ り ます。 ポ リ シ ーの評価で、 拒否ルールが到着す る 接続要求 と 一致 し て い る かど う か を ア プ ラ イ ア ン ス が判断で き な く な る こ と があ り ま す。 こ の よ う な場合、 ア プ ラ イ ア ン スは、 セキ ュ リ テ ィ 上の 予防措置 と し て、 ルール セ ッ ト の処理を停止 し 、 ユーザー ア ク セ ス を ブ ロ ッ ク し ま す。 次の表に示す 3 つの組み合わせのいずれかを参照す る拒否ルールを定義 し よ う と す る と 、 AMC か ら 次の警告 メ ッ セージが表示 さ れます。 「Some of the resources in this rule are not supported by the selected access method(s), which could inadvertently deny access to some resources.」 ( こ のルールの一部の リ ソ ース は、 選択 さ れた ア ク セ ス方法ではサポー ト さ れて いな いため、 一部の リ ソ ースへのア ク セ ス が誤 っ て拒否 さ れる可能性があ り ます。 ) 次の表に、 こ の警告が表示 さ れるルールの組み合わせを示 し ます。 ルールの動作 リ ソ ース タ イ プ ア ク セ ス方法 Deny ( 拒否 ) [Windows domain] • [Any] • [Connect and OnDemand] • [WorkPlace] Deny ( 拒否 ) [URL] • [Any] • [Connect and OnDemand] Deny ( 拒否 ) [File share] • [Any] • [Connect and OnDemand] 例 Windows ド メ イ ンへのア ク セ ス を ブ ロ ッ ク し 、 ア ク セ ス方法 を [Any] に設定す る拒否ルールを 作成す る と 仮定 し ま す。 Windows ド メ イ ン には WorkPlace か ら ア ク セ ス で き る ため、 ア プ ラ イ ア ン スが WorkPlace か ら 接続要求 を受け取る と 、 ルール と 一致す る ため、 ア ク セ スが拒否 さ れます。 こ れに対 し 、 ユーザーが Connect ま たは OnDemand か ら 接続を要求す る と 、 ア プ ラ イ ア ン ス は、 ( どの リ ソ ースが要求 さ れて いて も ) Windows ド メ イ ン ルールがその要求 と 一致 し て い る かど う か を 判断で き ません。 そのため、 ア プ ラ イ ア ン スはポ リ シ ー内の後続のルールの評価 を 停止 し 、 ア ク セ ス を直ち に拒否 し ま す。 Windows ド メ イ ン ルールがア ク セ ス制御ルール リ ス ト の先頭にあ る と 、 ユーザーが VPN リ ソ ースに ア ク セ ス で き な く な り ます。 ま た、 リ ス ト の次 のルールが VPN リ ソ ー スへのア ク セ ス を ユーザーに許可す る 許可のルールで あ っ て も 、 その ルールは評価 さ れません。 問題の解決 ルールの非互換性 を 解決す る には、 ルール を 変更 し て、 確定で き な い ア ク セ ス方法 を 参照 し な い よ う に し ます。 Windows ド メ イ ンやネ ッ ト ワー ク 共有の場合は、 [Network Explorer] を唯一 のア ク セ ス方法 と し て選択 し ます。 URL の場合は、 [Web browser] ま たは [Aventail Connect and/or Aventail OnDemand] のみを選択 し ます。 264 | Aventail E-Class SRA 10.7 管理者ガ イ ド 無効な接続先 リ ソ ースの解決 ア ク セ ス方法を 互換性のな い接続先 リ ソ ース に割 り 当て るルールを 作成 し よ う と す る と 、 AMC は不適合を回避 し 、 「Invalid resources」 と い う 警告を表示 し ます。 次の表に、 こ の警告が表示 さ れる ア ク セ ス方法 / 接続先 リ ソ ースの組み合わせを示 し ます。 ア ク セ ス方法 無効な接続先 リ ソ ース [Web browser] • [Windows domain] • [Network share] [Network Explorer] • [URL] ( および [Matching URL]) [Connect or OnDemand] • [URL] ( および [Matching URL]) • [Windows domain] 「無効な リ ソ ース」 の例 AMC では、 ア ク セ ス方法 / リ ソ ースの不適合が含まれるルールを保存で き ません。 [Save] を ク リ ッ ク す る と 、 AMC が無効な リ ソ ー ス を ルールか ら 削除 し ま す。 ルールに含ま れ る 不適合 リ ソ ースが 1 つだけで あ る場合、 [Any] に置 き 換え ら れま す。 ア ク セ ス方法 / リ ソ ースの不適合の 例を以下に示 し ます。 ルールで [Web browser] が唯一の使用で き る ア ク セ ス方法 と し て指定 さ れて い る場合、 Windows ド メ イ ン リ ソ ース を参照で き ません (Windows ド メ イ ン リ ソ ースは [Domain] が タ イ プ と し て設定 さ れて お り 、 [Windows domain] チ ェ ッ ク ボ ッ ク スが選択 さ れて い ます )。 • [Matching URL] リ ソ ース を指定す るルールでは、 [Web browser] がア ク セ ス方法で あ る必 要 が あ り 、 ル ー ル で 許 可 さ れ る ア ク セ ス 方 法 に [Web browser] が 含 ま れ て い な い と 、 「Invalid resource」 と い う 警告が表示 さ れます。 接続先 リ ソ ー スのエ ラ ー を 解決す る には、 ルール を 変更 し て、 接続先 リ ソ ー ス と 互換性のあ る ア ク セ ス方法の タ イ プ に し ます。ア ク セ ス方法 / 接続先 リ ソ ースの不整合を回避す る最 も 簡単な 方 法 は、 [Client software agents] と [Protocols] の 両 方 を [Any] の ま ま に す る こ と で、 [Add/Edit Access Rule] ページの [Advanced] タ ブ ですべての [Access method restrictions] を削除す る こ と です。 • セキ ュ リ テ ィ 管理 | 265 266 | Aventail E-Class SRA 10.7 管理者ガ イ ド 第7章 システム管理 こ のセ ク シ ョ ン では、 シ ス テム ロ ギ ン グ と モ ニ タ リ ン グの構成方法 と 使用方法、 お よ び Secure Sockets Layer (SSL) 暗号化オ プ シ ョ ン の構成方法につい て説明 し ま す。 ま た、 ソ フ ト ウ ェ ア バー ジ ョ ン のア ッ プ グ レ ー ド 、 ロ ール バ ッ ク 、 リ セ ッ ト の他、 構成 フ ァ イ ル を バ ッ ク ア ッ プ、 リ セ ッ ト す る ための さ ま ざ ま な ツ ールの使用方法について も 説明 し ます。 オプ シ ョ ン ネ ッ ト ワー ク構成 こ のセ ク シ ョ ン では、 さ ま ざ ま な ネ ッ ト ワー ク サー ビ ス お よ び ツ ールを構成す る方法について 説明 し ます。 ホ ス ト か ら の SSH ア ク セ ス を有効にす る方法や、 ア プ ラ イ ア ン ス を ping で き る よ う Internet Control Message Protocol (ICMP) を有効にす る方法について説明 し ます。 ま た、 ア プ ラ イ ア ン ス で時刻設定を構成す る方法について も 説明 し ます。 SNMP の構成方法お よ び使用方法については、 292 ページの 「SNMP の構成」 を参照 し て く だ さ い。 リ モー ト ホス ト からの SSH ア ク セスの有効化 SSH を有効にす る と 、 他のシ ス テムか ら ア プ ラ イ ア ン スの コ ン ソ ールに簡単に ア ク セ ス で き ま す。 内部ネ ッ ト ワー ク ま たは外部ネ ッ ト ワー ク か ら の SSH ア ク セ ス を有効に で き ます。 ロ ー カ ル SSH サーバー ド メ イ ン (sshd) はポー ト 22 (SSH で一般的なポー ト 番号) で リ ッ ス ン し ます。 SSH ア ク セ ス を有効にす る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Services] を ク リ ッ ク し ます。 2. [Network Services] エ リ アの [SSH] に対応す る [Configure] リ ン ク を ク リ ッ ク し ます。 シ ス テム管理 | 267 3. SSH を有効にす る には、 [Enable SSH] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 4. SSH ア ク セ ス を許可す る ホ ス ト を追加す る には、 [New] を ク リ ッ ク し 、 追加す る ホ ス ト の IP ア ド レ ス と サブ ネ ッ ト マ ス ク を入力 し て、 [OK] を ク リ ッ ク し ます。 5. [Save] を ク リ ッ ク し ます。 ホ ス ト を削除す る には 1. 削除す る ホ ス ト の左側にあ る チ ェ ッ ク ボ ッ ク ス を選択 し ます。 2. [Delete] を ク リ ッ ク し て、 [Save] を ク リ ッ ク し ます。 IP ア ド レ ス と サブ ネ ッ ト マ ス ク の両方に 「0.0.0.0」 と 入力す る こ と で、 任意のホ ス ト か ら の SSH ア ク セ ス を 有効に で き ま す。 た だ し その場合、 ア プ ラ イ ア ン スのセ キ ュ リ テ ィ が低下す る と い う 欠点 も あ り ます。 メモ ICMP の有効化 ICMP を 有効にす る と 、 同 じ サブ ネ ッ ト 上の他の コ ン ピ ュ ー タ か ら ア プ ラ イ ア ン スへのネ ッ ト ワー ク 接続を テ ス ト す る ために ping コ マ ン ド を使用で き る よ う に な り ます。 た だ し こ れは、 ブ ロ ー ド キ ャ ス ト ping を有効にす る も のではあ り ません。 注意 ICMP を有効にす る と 、 両方のネ ッ ト ワー ク イ ン タ ー フ ェ ース ( 外部お よ び内部 ) か ら ア プ ラ イ ア ン ス を ping で き る よ う に な り ま す。 そのため、 フ ァ イ ア ウ ォ ールやその他のネ ッ ト ワー ク デバ イ ス を使用 し て ICMP Echo Request ト ラ フ ィ ッ ク を禁止 し ない限 り 、 ア プ ラ イ ア ン ス を イ ン タ ーネ ッ ト か ら 検出で き る状態に な り ます。 ICMP を有効にす る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Network Settings] を ク リ ッ ク し ます。 2. [Basic] エ リ アの [Edit] リ ン ク を ク リ ッ ク し ま す。 [Configure Basic Network Settings] ページが表示 さ れます。 268 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. [ICMP] エ リ ア で、 [Enable ICMP pings] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 4. [Save] を ク リ ッ ク し ます。 時刻設定の構成 ア プ ラ イ ア ン スやシ ス テム ロ グ で参照 さ れる日付や時刻を設定す る場合、 タ イ ムゾー ン を選択 し 、 必要に応 じ て現地時間を設定 し ます。 現在時刻を設定す る方法には、 手動で行 う 方法 と 、 1 つ ま たは複数の Network Time Protocol (NTP) サーバー と 同期す る方法の 2 種類があ り ま す。 タ イ ムゾー ン を変更す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [General Settings] を ク リ ッ ク し ま す。 2. [Appliance options] エ リ アの [Edit] を ク リ ッ ク し ます。 3. [Date/time] エ リ ア で、 [Time zone] リ ス ト か ら 現在のロ ー カ ル タ イ ムゾー ン を選択 し て、 [Save] を ク リ ッ ク し ます。 デ フ ォ ル ト の場合、 ア プ ラ イ ア ン スはグ リ ニ ッ チ標準時 (GMT) に設定 さ れて い ます。 4. [Save] を ク リ ッ ク し 、 ページの上部にあ る [Pending Changes] を ク リ ッ ク し ます。 [Apply Changes] を ク リ ッ ク し ます。 シ ス テム時刻を手動で構成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [General Settings] を ク リ ッ ク し ま す。 2. [Appliance options] エ リ アの [Edit] を ク リ ッ ク し ます。 3. [Date/time] エ リ アの [Change] を ク リ ッ ク し て、 現在の日時を入力 し ます。 変更を す ぐ に 適用す る には、 [Set] を ク リ ッ ク し ます。 Dell SonicWALL が提供 し た評価版 ラ イ セ ン ス を使用 し てい る場合は、 シ ス テム時刻を現 在時刻か ら 前に戻 さ な いで く だ さ い。 時刻を前に戻す と 、 ラ イ セ ン ス上の理由か ら 、 ア プ ラ イ ア ン スのすべてのサー ビ スが無効に な り ます。 メモ NTP を使用 し て シ ス テム時刻を構成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Services] を ク リ ッ ク し ます。 シ ス テム管理 | 269 メモ 2. [Network Services] エ リ ア で [NTP] の隣にあ る [Configure] リ ン ク を ク リ ッ ク し ます。 3. NTP を有効にす る には、 [Enable NTP] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 4. NTP を構成す る ため、 [Primary server] お よ び [Backup server] ボ ッ ク ス に 1 つ ま たは複 数の NTP サーバーの IP ア ド レ ス を入力 し ます。 ア プ ラ イ ア ン スは、 プ ラ イ マ リ サーバー と 同期 し よ う と し ま すが、 プ ラ イ マ リ サーバーが使用で き な い と き は、 必要に応 じ て セ カ ン ダ リ サーバーが使用 さ れます。 5. [Save] を ク リ ッ ク し ます。 ア プ ラ イ ア ン ス では NTP 認証鍵を使用 し て いな いため、 何者かが NTP サーバーに な り す ま し て、 ア プ ラ イ ア ン ス に偽の時刻設定 を 提供す る こ と も で き ま す。 そのため、 NTP サーバー を同期す る と き は、 内部ネ ッ ト ワー ク の も のだけ を使用す る と 良いで し ょ う 。 システム ロギングおよびモニ タ リ ング E-Class SRA ア プ ラ イ ア ン スは、 ユーザー ア ク セ スやシ ス テ ム イ ベ ン ト 、 AMC の変更な ど、 さ ま ざ ま な有用な情報を ロ ギ ン グ し ます。 こ のセ ク シ ョ ン では、 AMC でのロ グの構成方法 と 表 示方法の他、 外部 syslog サーバーへの メ ッ セー ジの送信方法な ど につい て説明 し ま す。 ま た、 AMC で表示 さ れる シ ス テム ス テ ー タ ス情報につい て も 説明 し ます。 中央管理 syslog サーバーが使用で き な い場合は、 ア プ ラ イ ア ン ス自体の コ マ ン ド ラ イ ン イ ン タ ー フ ェ ースか ら 標準 UNIX コ マ ン ド を使用 し て、 ロ グ フ ァ イ ルを参照で き ま す。 生ロ グ デー タ の手動での参照方法や解釈の方法については、587 ページの「ロ グ フ ァ イ ルの出力 フ ォ ーマ ッ ト 」 を参照 し て く だ さ い。 概要 : システム ロギングおよびモニ タ リ ング ア プ ラ イ ア ン ス では、 AMC の動作お よ びア プ ラ イ ア ン ス上のサー ビ スのデー タ を ロ ギ ン グ し ま す。 ま た、 管理者がシ ス テ ム を どの よ う に使用 し 変更 し たか と い う デー タ も 収集 し ま す。 シ ス テム ロ グは、 収集 さ れた ら 、 すべて syslog 形式で保管 さ れます。 ロ グ メ ッ セージは、 更新バー ジ ョ ンの標準 syslog 形式を使用 し て処理 さ れま す。 270 | Aventail E-Class SRA 10.7 管理者ガ イ ド ア プ ラ イ ア ン ス は最初は、 ロ グ フ ァ イ ル を ロ ー カ ルに保管す る よ う 構成 さ れ て い ま す。 ロ グ フ ァ イ ルを中央管理 syslog サーバーに送信す る よ う ア プ ラ イ ア ン ス を構成す る と 、 シ ス テム レ ベルの イ ベ ン ト を ほぼ リ アル タ イ ムに監視で き る よ う に な り 、 重要な イ ベ ン ト につい て通知 を 受け る こ と がで き ます。 ま た、 ロ グ メ ッ セージ デー タ を カ ン マ区切 り 形式 (.csv) の フ ァ イ ルに エ ク スポー ト す る こ と に よ り 、 他のア プ リ ケーシ ョ ン で表示 と 分析を行 う こ と も で き ます。 ログ フ ァ イル ア プ ラ イ ア ン スは、 さ ま ざ ま な タ イ プのロ グ フ ァ イ ル を生成 し ます。 こ の フ ァ イ ルは AMC の [Logging] ページ で表示お よ び エ ク ス ポー ト で き ま す。 ま た、 Aventail WorkPlace に関連す る ロ グ フ ァ イ ルで、 AMC で表示で き ない も のが 2 つあ り ます。 こ れ ら については 600 ページの 「WorkPlace ロ グ」 で説明 し てい ます。 ログの表示 E-Class SRA ア プ ラ イ ア ン ス では、 さ ま ざ ま な ロ グ フ ァ イ ルが生成 さ れます。 AMC では、 こ れ ら のロ グ フ ァ イ ルについ て、 ソ ー ト 、 検索、 フ ィ ル タ リ ン グ で き ます。 ロ グ を表示す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Logging] を ク リ ッ ク し ま す。 [View Log] ページが 表示 さ れます。 シ ス テム管理 | 271 2. [Log file] リ ス ト か ら 、 表示す る シ ス テムま たはサー ビ ス ロ グ フ ァ イ ルを選択 し ます表示 さ れる情報の列は、 それぞれのロ グ フ ァ イ ルの種類ご と に異な り ます。 ロ グ フ ァ イル 説明 シス テム メ ッ セージ ログ ネ ッ ト ワー ク ト ン ネル サー ビ ス、 お よ び Web プ ロ キ シ サー ビ ス につい てのサーバー処理情報お よ び診断情報が 表示 さ れます。 また、 すべてのア ク セス制御決定に関する 詳細な メ ッ セージ も記述 さ れます。 ユーザーの要求がポ リ シー ルール と 合致する と き には毎回、その と き に実行 さ れ た動作を示すログ フ ァ イル エ ン ト リ が記録 さ れます。 詳細については、 275 ページの 「シ ス テム メ ッ セージ ロ グ」 を参照 し て く だ さ い。 ネ ッ ト ワー ク プ ロキシ / ト ン ネル 2 種類のア ク セ ス サー ビ ス監査 ロ グがあ り ま す。 1 つは 監査ログ Web プ ロキシ サービ ス を記録 し た も の ( ログ フ ァ イルで Web プ ロキシ監査ログ は 「ExtraWeb」 と 表記 さ れる ) で、 も う 1 つは、 ネ ッ ト ワー ク プ ロ キシ サー ビ ス と ネ ッ ト ワー ク ト ン ネル サー ビ スの両方の メ ッ セージ を組み合わせた もの ( ログ フ ァ イ ルでは 「Anywhere VPN」 と 表記 さ れる ) です。 こ れらの 2 つのロ グには、 ユーザーの リ ス ト や転送 さ れたデー タ の 量な ど、 接続動作に関する詳細な情報が記録 さ れます。 詳細については、278 ページの 「ネ ッ ト ワー ク ト ン ネル監 査 ロ グ」 お よ び 280 ページの 「Web プ ロ キ シ監査 ロ グ」 を参照 し て く だ さ い。 3. [Show last] ボ ッ ク ス を使用 し て、 表示す る ロ グ メ ッ セージの数を選択 し ます。 [50]、 [100]、 [250]、 [500]、 ま たは [1000] のいずれかを選択で き ます。 4. 最新のロ グ メ ッ セージが含まれる よ う ページ を更新す る と き や、 実行 し たばか り の フ ィ ル タ リ ン グの結果を表示す る と き は、 [Refresh] を ク リ ッ ク し ます。 デ フ ォ ル ト の場合、 ロ グ ビ ュ ーアの [Auto-refresh] オ プ シ ョ ンは [1 min.] に設定 さ れて い ます。 更新時間は、 オ プ シ ョ ン で [30 sec.]、 [1 min.]、 [5 min.]、 [10 min.]、 [15 min.] のいず れかを選択で き ます。 ま た、 AMC セ ッ シ ョ ンの際に [Off] を選択す る こ と も で き ます。 メモ 5. オ プ シ ョ ン で [Search for]、 [Level]、 [Source]、 [Status] な どの ソ ー ト オ プ シ ョ ン を使用 で き ま す。 273 ページの 「ロ グ メ ッ セージの ソ ー ト 、 検索、 フ ィ ル タ リ ン グ」 を 参照 し て く だ さ い。 6. ロ グ エ ン ト リ が数行以上に な る場合は、[Message] 列に プ ラ ス記号 (+) が表示 さ れます。 こ の記号を ク リ ッ ク す る と 、 エ ン ト リ が展開 さ れます。 [Auto-refresh] が [Off] 以外に設定 さ れてお り [View Logs] ページが表示 さ れて い る場 合、 更新動作が持続的に行われる ため、 デ フ ォ ル ト の非ア ク テ ィ ブ期間 (15 分 ) が経過 し て も 、 AMC セ ッ シ ョ ン が自動的に タ イ ムア ウ ト し な く な り ま す。 こ れは、 AMC を 実行 し 、 オー ト リ フ レ ッ シ ュ モー ド を有効に し た状態で [View Logs] ページ を表示 し た ま ま 席を外す と 、 AMC が タ イ ムア ウ ト し な く な る こ と を示 し て い ます。 セキ ュ リ テ ィ を向上 さ せる ための習慣 と し て、 ロ グ メ ッ セージ を表示 し 終わ っ た ら 、 AMC の他のページ に必 ず移る よ う に し て お き ま す。 詳細につい ては、 583 ページの 「ア プ ラ イ ア ン ス セ ッ シ ョ ン」 を参照 し て く だ さ い。 272 | Aventail E-Class SRA 10.7 管理者ガ イ ド ログ メ ッ セージのソー ト 、 検索、 フ ィ ルタ リ ング AMC ロ グ ビ ュ ー ア では、 ソ ー ト 、 検索、 フ ィ ル タ リ ン グ な どのオ プ シ ョ ン を 使用 し て、 ロ グ メ ッ セージ デー タ の表示を カ ス タ マ イ ズで き ます。 こ れ ら のオ プ シ ョ ンは、 単独で使用で き る 他、 組み合わせて使用す る こ と も で き ます。 ソー ト 表示 さ れてい る デー タ は、 ロ グ テ ー ブルの列の見出 し を ク リ ッ ク し 、 列ご と に昇順ま たは降順 に ソ ー ト で き ます。 デ フ ォ ル ト の場合、 ロ グ メ ッ セージは、 [Time] 列で ソ ー ト さ れて お り 、 最 新の メ ッ セージが先頭に表示 さ れる よ う に な っ て い ます。 検索 IP ア ド レ スやユーザー ID な ど、 ロ グ フ ァ イ ル内のテ キス ト 文字列 を検索す る場合は、 [Search for] ボ ッ ク ス に ( 大文字 と 小文字 を区別 し て ) 検索基準を入力 し て [Refresh] を ク リ ッ ク す る と 、 検索結果が表示 さ れます。 検索基準では、 「*」 や 「?」 な どのワ イ ル ド カ ー ド 文字を使用す る こ と も で き ます。 検索基準を消去す る と き は、 [reset] リ ン ク を ク リ ッ ク し ます。 シ ス テム メ ッ セージ ロ グの場合、[ID] 列のセ ッ シ ョ ン ID 番号を ク リ ッ ク す る と 、同 じ セ ッ シ ョ ン ID 番号 を共有す る すべてのロ グ メ ッ セージが自動的に検索 さ れます。 セ ッ シ ョ ン ID の詳細 につい ては、 275 ページの 「シ ス テム メ ッ セージ ロ グ」 に記載 さ れた フ ィ ール ド について説明 し た表を参照 し て く だ さ い。 Web プ ロ キシ監査ロ グお よ びネ ッ ト ワー ク プ ロ キシ / ト ン ネル監査ロ グの場合は、[Username] 列のユーザー ID を ク リ ッ ク す る と 、 特定のユーザーについ てのすべての ロ グ メ ッ セージが自 動的に検索 さ れます。 フ ィ ルタ リ ング フ ィ ル タ リ ン グ オ プ シ ョ ン を使用す る こ と で、 それぞれのロ グ フ ァ イ ルに特定 タ イ プのロ ギ ン グ デー タ を包含ま たは除外で き ます。 例えば、 AMC 関連で ない管理 メ ッ セージ ロ グ エ ン ト リ ( シ ス テム管理権限 メ ッ セージ な ど ) を参照 し たい場合、 すべての [Level] チ ェ ッ ク ボ ッ ク ス を 選択 し て、 [Source] の下にあ る [AMC] チ ェ ッ ク ボ ッ ク ス を選択解除 し ます。 選択可能な オ プ シ ョ ンは、 参照 し て い る ロ グ フ ァ イ ルの タ イ プ に よ っ て変動 し ます。 ログ フ ァ イルのエ ク スポー ト ロ グ メ ッ セージ デー タ を さ ら に分析す る必要があ る場合、 ま たはデー タ を異な る方法で表示す る必要があ る場合は、 選択 し たデー タ を フ ァ イ ルに エ ク スポー ト し て、 Microsoft Excel な どの 別のア プ リ ケーシ ョ ン ( カ ン マ区切 り 形式の値のロ グの場合 ) や XML エデ ィ タ ( 未登録のデバ イ スのロ グの場合 ) で使用で き ます。 最初に フ ィ ル タ や検索条件 を 使用す る こ と で、 エ ク ス ポー ト し た フ ァ イ ルのサ イ ズ を 削減で き ます。[Show last <n> messages] 設定で、エ ク スポー ト す る ロ グ フ ァ イ ルに含まれる最大 メ ッ セージ数が決定 さ れます。 ロ グ フ ァ イ ルを エ ク スポー ト す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Logging] を ク リ ッ ク し ま す。 [View Log] ページが 表示 さ れます。 2. [Log file] リ ス ト を使用 し て、 表示す る シ ス テムま たはサー ビ ス ロ グ フ ァ イ ルを選択 し ま す。 3. ロ グ デー タ に フ ィ ル タ リ ン グや検索基準を適用 し ます。 273 ページの 「ロ グ メ ッ セージの ソ ー ト 、 検索、 フ ィ ル タ リ ン グ」 を参照 し て く だ さ い。 4. [Export] を ク リ ッ ク し ま す。 5. フ ァ イ ルを保存ま たはオー プ ン す る よ う 求め ら れます。 [Save] を ク リ ッ ク し ま す。 シ ス テム管理 | 273 6. [Save As] ダ イ ア ロ グ ボ ッ ク ス で、 フ ァ イ ルを保存す る ロ ケーシ ョ ン を ブ ラ ウズ し 、 オ プ シ ョ ン で名前を変更 し て、[Save] を ク リ ッ ク し ます。デ フ ォ ル ト の場合、エ ク スポー ト フ ァ イ ルには次の フ ァ イ ル名が割 り 当て ら れます。 フ ァ イ ル名 説明 sysmessage.csv シス テム メ ッ セージ ログ management.csv 管理 メ ッ セージ ログ consoleaudit.csv 管理監査ログ netaudit.csv ネ ッ ト ワー ク プ ロキシ / ト ン ネル監査ログ webaudit.csv Web プ ロキシ監査ログ UnregisteredDevices.xml 認識 さ れない機器 ID のデバイ スのロ グ。 こ のログでデバ イ ス ID を 収集す る た めに必要 な 手順に つ い て は、 372 ページの 「未登録デバ イ スか ら の機器 ID の収集」 を参 照 し て く だ さ い。 ログ設定の構成 シ ス テム を デバ ッ グ し て い る場合、 AMC で、 サー ビ ス ご と に メ ッ セージ ロ グ レ ベルを設定で き ます。 ま た、 ロ グ フ ァ イ ルを外部 syslog サーバーに送信す る よ う 、 ア プ ラ イ ア ン ス を構成す る こ と も で き ます。 ログ レベルの設定 各サー ビ ス で メ ッ セージ ロ グの詳細レ ベルを指定で き ます。 メ ッ セージ ロ グの詳細レ ベルを上 げる と 、 必要なデ ィ ス ク 容量が増加 し 、 シ ス テムのパ フ ォ ーマ ン ス に も 大 き く 影響 し ます。 ロ ギ ン グ レ ベルを設定す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Logging] を ク リ ッ ク し ま す。 [View Log] ページが 表示 さ れます。 2. [Configure Logging] タ ブ を ク リ ッ ク し ま す。 274 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. ア プ ラ イ ア ン ス でサー ビ スの適切な メ ッ セージ詳細レ ベルを選択 し ます。詳細レ ベルが高い 順に表示 さ れます。 最 も 詳細な ロ グ レ ベル ([Verbose] お よ び [Debug]) は、 ト ラ ブルシ ュ ー テ ィ ン グの目的に利用で き ますが、 必要なデ ィ ス ク 容量が増加 し 、 シ ス テムのパ フ ォ ーマ ン ス に も 大 き く 影響す る場合があ り ます。 通常は使用 し な いで く だ さ い。 4. ア プ ラ イ ア ン ス を構成 し て、シ ス テム ロ グ を 1 台ま たは複数の syslog サーバーに送信で き ます。[Syslog configuration] エ リ ア で syslog サーバーの IP ア ド レ ス と ポー ト 番号を入力 し ます。 ポー ト 514 が標準の syslog-ng ポー ト ですが、 必要に応 じ て、 サーバー構成に一致 す る 別のポー ト を 使用で き ま す。 syslog を 構成す る かど う かに関わ ら ず、 すべてのシ ス テ ム イ ベ ン ト はロ ー カ ルで ロ ギ ン グ さ れます。 5. 変更を すべて破棄す る には、 [Cancel] を ク リ ッ ク し ます。 変更を保存す る には [Save] を ク リ ッ ク し ます。 syslog サーバーへのログ フ ァ イルの送信 E-Class SRA ア プ ラ イ ア ン ス では、 シ ス テ ム ロ グ を syslog サーバーに送信で き ま す。 syslog を 構成す る かど う かに関わ ら ず、 すべてのシ ス テ ム イ ベ ン ト は ロ ー カ ルで ロ ギ ン グ さ れま す。 ネ ッ ト ワ ー ク に ロ グ情報が氾濫す る 状況 を 避け る た め、 上位 3 段階の重大度 レ ベル ([Fatal]、 [Error]、 [Warning]) のロ グ メ ッ セージのみが転送 さ れます。 syslog プ ロ ト コ ルの詳細につい ては、RFC 3164 (http://www.ietf.org/rfc/rfc3164.txt) を参照 し て く だ さ い。 syslog サーバーへロ グ フ ァ イ ルを送信す る には メモ 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Logging] を ク リ ッ ク し ま す。 [View Log] ページが 表示 さ れます。 2. [Configure Logging] タ ブ を ク リ ッ ク し ま す。 3. [Syslog configuration] で、1 つ ま たは複数の syslog サーバーに対す る IP ア ド レ ス と ポー ト 番号を入力 し ます。 デ フ ォ ル ト の syslog-ng ポー ト は、 514 ですが、 サーバー構成に合わ せて他のポー ト を使用す る こ と も で き ます。ア プ ラ イ ア ン スが syslog と 通信す る と き 、TCP プ ロ ト コ ル と UDP プ ロ ト コ ルのど ち ら を使用す るか指定す る と き は、 [Protocol] リ ス ト を 使用 し ます。 4. 変更を すべて破棄す る には、 [Cancel] を ク リ ッ ク し ます。 変更を保存す る には [Save] を ク リ ッ ク し ます。 syslog デー タ は暗号化 さ れないため、 ロ グ メ ッ セージ を外部サーバーに送信す る場合、 セキ ュ リ テ ィ 上の問題が存在す る こ と に な り ます。 システム メ ッ セージ ログ シ ス テ ム メ ッ セ ー ジ ロ グ には、 Web プ ロ キ シ サー ビ ス、 ネ ッ ト ワー ク プ ロ キ シ サー ビ ス、 ネ ッ ト ワー ク ト ン ネル サー ビ ス につい てのサーバー処理情報お よ び診断情報が記録 さ れます。 ま た、 すべてのア ク セ ス制御決定に関す る詳細な メ ッ セージ も 記述 さ れま す。 つ ま り 、 ユーザー シ ス テム管理 | 275 の要求がポ リ シ ー ルール と 合致す る と 、 その と き に実行 さ れた動作 を 示す ロ グ フ ァ イ ル エ ン ト リ が記録 さ れます。こ のロ グ を表示す る と き は、AMC の [View Logs] ページ にあ る [Log file] リ ス ト か ら [System message log] を選択 し ます。 [View Logs] ページ には、 シ ス テム メ ッ セージ ロ グ フ ァ イ ルに含まれる、 次のよ う な情報が表 示 さ れます。 メモ 列 説明 [Level] ログ メ ッ セージの詳細レ ベル ([Fatal]、 [Error]、 [Warning]、 [Info]、 [Verbose]) が表示 さ れます。 [Time] サービ スによ っ て メ ッ セージが生成 さ れた日付 と 時刻が表示 さ れます。 [Source] メ ッ セ ー ジ を 生成 し た サ ー ビ ス ([Network proxy]、 [Network tunel]、 [Web proxy]、 [Policy] の各サーバー ) が表示 さ れます。 [ID] 各ユーザー セ ッ シ ョ ンに割 り 当て ら れた固有の ID 番号が表示 さ れます。 セ ッ シ ョ ン ID 番号を ク リ ッ ク する と 、 それに対応するすべてのログ メ ッ セージが 自動的に検索 さ れます。 セ ッ シ ョ ン ID 番号の詳細については、 588 ページの 「シ ス テム メ ッ セージ ロ グ」 を参照 し て く だ さ い。 [Message] メ ッ セージ テキス ト が表示 さ れます。 ア プ ラ イ ア ン スの コ マ ン ド ラ イ ン イ ン タ ー フ ェ ースか ら 手動で ロ グ フ ァ イ ルを表示す る 方法につい ては、 588 ページの 「シ ス テム メ ッ セージ ロ グ」 を参照 し て く だ さ い。 管理 メ ッ セージ ログ 276 | Aventail E-Class SRA 10.7 管理者ガ イ ド 管理 メ ッ セージ ロ グには、 AMC の動作に関連す る エ ン ト リ が記録 さ れます。 コ ン ソ ールが開始 お よ び停止 さ れた時間、 ア プ ラ イ ア ン スの管理中に どの よ う な エ ラ ーが発生 し たかな どが記録 さ れます。例えば構成デー タ の複製が失敗 し た場合、問題の診断のために利用で き る詳細な メ ッ セージがロ グに追加 さ れます。 こ のロ グ を表示す る と き は、 AMC の [View Logs] ページ にあ る [Log file] リ ス ト か ら [Management message log] を選択 し ます。 [View Logs] ページ には、 管理 メ ッ セージ ロ グに関す る次のよ う な情報が表示 さ れます。 列 説明 [Level] ログ メ ッ セージの詳細レ ベル ([Error]、[Warning]、[Info]、[Verbose]、[Debug]) が表示 さ れます。 [Time] ログ さ れた日付 と 時刻が表示 さ れます。 [Source] 変更元 と し て [AMC] ま たは [Other] が表示 さ れます。 WEEK-PRUN お よび sysctrl が含まれます。 [Message] ログ エ ン ト リ が詳細に記述 さ れます。 管理監査ログ 管理監査ロ グには、 AMC で管理者が実施 し た構成変更の監査履歴が記録 さ れます。 いつ どの管 理者が変更 し たかが記述 さ れます。 構成変更は、 ア ク テ ィ ブ と 保留中のいずれかに な り ます。 • • [Active configuration] : 「Applied configuration changes」 ( 構成変更が適用 さ れま し た ) と い う ロ グ メ ッ セージの前にあ る構成項目は、 適用済みで現在ア ク テ ィ ブ に な っ て い る も のです。 [Pending changes] : 変更が行われる と 、 デ ィ ス ク に保存 さ れますが、 す ぐ には適用 さ れま せん。 管理監査 ロ グ では、 「Applied configuration changes」 メ ッ セー ジの後に あ る こ の よ う な保留中の変更は、 破棄で き ます。 破棄す る方法については、 133 ページの 「保留中の構 成変更の破棄」 を参照 し て く だ さ い。 シ ス テム管理 | 277 こ の ロ グ を 表 示 す る と き は、 AMC の [View Logs] ペ ー ジ に あ る [Log file] リ ス ト か ら [Management audit log] を選択 し ます。 [View Logs] ページ には、 管理監査ロ グに関す る次のよ う な情報が表示 さ れます。 メモ 列 説明 [Level] ログ メ ッ セージの詳細レ ベル ([Fatal, Error]、 [Warning]、 または [Info] が表示 さ れます。 [Time] AMC 構成変更の日付 と 時刻が表示 さ れます。 [Username] [Manage Administrator Accounts] ページ で構成 さ れて い る 管理者の名前が 表示 さ れます。 メ ッ セージ AMC で行われた構成変更が表示 さ れます。 ア プ ラ イ ア ン スの コ マ ン ド ラ イ ン イ ン タ ー フ ェ ースか ら 手動で ロ グ フ ァ イ ルを表示す る 方法につい ては、 600 ページの 「管理 コ ン ソ ールの監査ロ グ」 を参照 し て く だ さ い。 ネ ッ ト ワーク ト ンネル監査ログ 278 | Aventail E-Class SRA 10.7 管理者ガ イ ド ネ ッ ト ワー ク プ ロ キシ / ト ン ネル監査ロ グには、 ユーザーの リ ス ト や転送 さ れたデー タ の量な ど、 Connect Tunnel や OnDemand Tunnel を使用 し て リ ソ ース に ア ク セ ス し て い る ユーザーの 接続活動に関す る詳細な情報が記録 さ れます。こ のロ グ を表示す る と き は、AMC の [View Logs ] ページ にあ る [Log file] リ ス ト か ら [Network tunnel audit log] を選択 し ます。 [View Logs] ページ には、 ネ ッ ト ワー ク プ ロ キシ / ト ン ネル監査ロ グに関す る次のよ う な情報 が表示 さ れます。 メモ 列 説明 [Status] それぞれの接続要求に対する ス テー タ スが色分け さ れて表示 さ れます。 • 赤 : エラー • オ レ ン ジ : 情報 • 緑 : 成功 ポ イ ン タ を 特定の ロ グ メ ッ セ ー ジ の接続ス テ ー タ ス コ ー ド の上に置 く と 、 メ ッ セージの下に説明テキス ト が表示 さ れます。 [Time] 接続の日付 と 時刻が表示 さ れます。 [Source] メ ッ セージ を生成 し たサー ビ ス ([Network proxy]、 [Network Tunnel]、 [Web proxy]、 [Policy] の各サーバー ) が表示 さ れます。 [Source IP] ネ ッ ト ワー ク プ ロキシ または ト ン ネル サービ ス を使用する コ ン ピ ュ ー タ の IP ア ド レ ス と ポー ト 番号が表示 さ れます。 [Destination IP] ア ク セス さ れる リ ソ ースの IP ア ド レ ス と ポー ト 番号が表示 さ れます。 [Bytes] 次の 3 つの値のセ ッ ト が表示 さ れます。 • 送信 さ れたバイ ト 数 • 受信 さ れたバイ ト 数 • 接続期間 ( 秒単位 ) [Username] リ ソ ース を要求 し たユーザーが表示 さ れます。 [Username] リ ン ク を ク リ ッ ク する と 、 特定のユーザーに対するすべてのロ グ メ ッ セージ を検索で き ます。 ア プ ラ イ ア ン スの コ マ ン ド ラ イ ン イ ン タ ー フ ェ ースか ら 手動で ロ グ フ ァ イ ルを表示す る 方法につい ては、 594 ページの 「ネ ッ ト ワー ク ト ン ネル監査ロ グ」 を参照 し て く だ さ い。 シ ス テム管理 | 279 Web プ ロキシ監査ログ Web プ ロ キシ / ト ン ネル監査ロ グには、 ユーザーの リ ス ト や転送 さ れたデー タ の量な ど、 Web Proxy Access や Translated Access を使用 し て リ ソ ース に ア ク セ ス し て い る ユーザーの接続活 動に関す る詳細な情報が記録 さ れます。 こ のロ グ を表示す る と き は、AMC の [View Logs ] ペー ジ にあ る [Log file] リ ス ト か ら [Web proxy audit log] を選択 し ます。 [View Logs] ページ には、 Web プ ロ キシ監査ロ グに関す る次のよ う な情報が表示 さ れます。 メモ 列 説明 ス テー タ ス それぞれの HTTP 要求に対する戻 り コ ー ド が色分け さ れて表示 さ れます。ポ イ ン タ を HTTP 戻 り コ ー ド 番号の上に置 く と 、 説明 テ キ ス ト が表示 さ れま す。 コ ー ド 番号は、 次のよ う な範囲および色にな っ ています。 • 500: サーバー エ ラ ー ( 赤 ) • 400: ク ラ イ ア ン ト エ ラ ー ( オ レ ン ジ ) • 300: リ ダ イ レ ク シ ョ ン ( 緑 ) • 200: 成功 ( 緑 ) [Time] ア プ ラ イ ア ン スが要求を受け取っ た日付 と 時刻が表示 さ れます。 [Source IP] Web プ ロ キシ サー ビ ス を使用 し た コ ン ピ ュ ー タ の IP ア ド レ ス と ポー ト 番号 が表示 さ れます。 [Bytes] 応答の本文で送信 さ れたバイ ト 数が表示 さ れます。ただ し HTTP ヘ ッ ダは除外 さ れます。 [Username] Web プ ロ キ シ サー ビ ス で 認証 さ れて い る ユーザーの名前が表示 さ れ ま す。 [Username] リ ン ク を ク リ ッ ク する と 、 特定のユーザーに関連する すべてのロ グ メ ッ セージ を検索で き ます。 [Request] HTTP 要求の 1 行目が表示 さ れます。 こ れには HTTP コ マ ン ド (GET や POST な ど )、 要求 さ れた リ ソ ース、 HTTP バージ ョ ン番号な どが含まれます。 ア プ ラ イ ア ン スの コ マ ン ド ラ イ ン イ ン タ ー フ ェ ースか ら 手動で ロ グ フ ァ イ ルを表示す る 方法につい ては、 598 ページの 「Web プ ロ キシ監査ロ グ」 を参照 し て く だ さ い。 ク ラ イ ア ン ト イ ンス ト ール ログ (Windows) 280 | Aventail E-Class SRA 10.7 管理者ガ イ ド ユーザーが レ ルムに ロ グ イ ン す る と き 、 利用で き る ア ク セ ス方式は、 次の よ う な条件に よ っ て 変動 し ます。 特定の コ ミ ュ ニ テ ィ で許可 さ れて い る ネ ッ ト ワー ク ア ク セ ス エージ ェ ン ト ま たは ク ラ イ ア ン ト ( レ ルム を設定す る と き に指定す る も の ) • ユーザーの環境 : オペ レ ーテ ィ ン グ シ ス テム、 ブ ラ ウザ、 ActiveX や Java が利用で き るか ど う か、 ク ラ イ ア ン ト やエージ ェ ン ト がすで に存在す るかど う か Windows が動作す る コ ン ピ ュ ー タ へ ク ラ イ ア ン ト ま たはエージ ェ ン ト を イ ン ス ト ール し て い る と き に問題が起 こ っ た場合、 ク ラ イ ア ン ト イ ン ス ト ール ロ グに エ ラ ーが記録 さ れます。 こ れ ら の ロ グ は、 ア プ ラ イ ア ン ス に 自動的 に ア ッ プ ロ ー ド さ れ、 ユ ーザー に E-Class SRA Access Manager が イ ン ス ト ール さ れ て い る 場合は AMC に リ ス ト さ れ ま す。 E-Class SRA Access Manager の詳細については、 433 ページの 「 ク ラ イ ア ン ト お よ びエージ ェ ン ト プ ロ ビ ジ ョ ニ ン グ (Windows)」 を参照 し て く だ さ い。 • すべてのユーザーに対す る ク ラ イ ア ン ト ロ グの リ ス ト を表示す る と き は、AMC の [View Logs] タ ブ にあ る [Log file] リ ス ト か ら [Client installation logs] を選択 し ます。 ク ラ イ ア ン ト イ ン ス ト ール ロ グは、 時刻ま たはユーザー名で ソ ー ト で き ま す。 ロ グ フ ァ イ ル を ダウ ン ロ ー ド す る と き は、 その フ ァ イ ルを ク リ ッ ク し ます。 ロ グには、 プ ロ ビ ジ ョ ニ ン グ プ ロ セ ス におけ る それぞれの手順に関す る情報が追加 さ れま す ( ブ ー ト ス ト ラ ッ ピ ン グ、 新 し い コ ン ポーネ ン ト のプ ロ ビ ジ ョ ニ ン グ、( デバ イ ス プ ロ フ ァ イ ルの一致を調べる ための ) デバ イ ス の イ ン タ ロ ゲーシ ョ ン )。 最後の情報は、 多 く の場合、 イ ン ス ト ールで問題が発生 し た場所を示 し ます。 ト ラ ブルシ ュ ーテ ィ ン グの と き 、 まず AMC でユーザーの ク ラ イ ア ン ト イ ン ス ト ール ロ グ を確 認 し て、 ( 必要で あれば ) ロ グ フ ァ イ ル、 epiBootstrapper.log を チ ェ ッ ク し ます。 こ の フ ァ イ ル は、 ユーザーのロ ー カ ル マ シ ンの 「\Documents and Settings\<username>\Application Data\E-Class SRA\LogFiles」 フ ォ ルダに保管 さ れてい ます。 ア プ ラ イ ア ン スの監視 AMC では、 基本シ ス テム設定、 デ ィ ス ク お よ び メ モ リ 使用量、 現在の接続、 ネ ッ ト ワー ク 帯域 幅利用な ど を監視す る上で役に立つ さ ま ざ ま な情報が表示 さ れます。 こ のセ ク シ ョ ン では、 シ ス テム ス テ ー タ ス と ア ク テ ィ ブ ユーザー を監視す る方法や、 選択 し た ユーザーの VPN 接続を停止す る方法につい て説明 し ます。 全体の活動の監視 シ ス テム管理 | 281 AMC ホーム ページ ( 別名、 ダ ッ シ ュ ボー ド ) では、 シ ス テム ス テー タ ス を監視す る上で役に 立つ さ ま ざ ま な情報がグ ラ フ ィ カ ルに表示 さ れま す。 こ のグ ラ フ は、 選択 し た期間におけ る 平 均利用度を示 し 、 オ プ シ ョ ン で、 自動 リ フ レ ッ シ ュ で選択 し た間隔で更新で き ます。 警告は、 選択 さ れた時間間隔を基準に表示 さ れま す。 時間の間隔を変更 し て、 表示 さ れる 警告数を増加ま たは減少 さ せます。 メモ If you are set up to share configuration data with other appliances (policy replication), the appliance name is shown here. AMC ページの右上にあ る [Home] ページ を ク リ ッ ク し て、 AMC ホーム ページ を 表示 し ま す。 シ ス テム ス テ ー タ ス グ ラ フ の他に も 、 こ のページか ら 簡単に次の情報や機能に ア ク セ ス で き ま す。 • • • サー ビ スの開始や停止、 ロ グの表示な どの、 頻繁に使用 さ れる機能。 ハー ド ウ ェ ア お よ び ラ イ セ ン ス情報。 デ フ ォ ル ト の WorkPlace、 mySonicWALL.com、 オ ン ラ イ ン ヘルプ、 サポー ト オ プ シ ョ ン への リ ン ク 。 システム ステー タ スの監視 282 | Aventail E-Class SRA 10.7 管理者ガ イ ド 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [System Status] を ク リ ッ ク し ます。 メ モ リ の利用 率な どのア プ ラ イ ア ン スの現在のス テ ー タ ス を表示す る [System Status ] ページが表示 さ れます。 2. [Show] ド ロ ッ プ ダウ ン リ ス ト で、 表示す る デー タ の タ イ プ を指定 し ます。 デー タ の タ イ プ 説明 [Active users] 指定 さ れた時間間隔におけ る ア ク テ ィ ブ ユーザー セ ッ シ ョ ンの数を表示 し ます。 表示 さ れる グ ラ フ では、 水平軸が、 ラ イ セ ン ス で 許可 さ れ て い る 同時ユーザーの最大数 を 示 し ま す。 注: • ク ラ ス タ 環境の場合、 こ の リ ス ト には、両方の ノ ー ド のユー ザーではな く 、 AMC にア ク セス し てい る ノ ー ド 上のア ク テ ィ ブ ユーザーだけが表示 さ れます。 • 「ア ク テ ィ ブ」 ユーザー セ ッ シ ョ ンの数は、 ラ イ セ ン ス を 消費するユーザー数 と 同 じ ではあ り ません。詳細は、287 ペー ジの 「オープ ン セ ッ シ ョ ン と ラ イ セ ン ス を消費す る セ ッ シ ョ ンの違い」 を参照 し て く だ さ い。 3. [CPU utilization] 指定 さ れた時間間隔における CPU 利用率を表示 し ます。 [Memory utilization] 指定 さ れた時間間隔におけ る メ モ リ 利用率を表示 し ます。 こ の利用率は、 ア プ ラ イ ア ン スの meminfo ユーテ ィ リ テ ィ で返 さ れた情報から計算 さ れます。 ((MemTotal - Cached - MemFree) / MemTotal) * 100 [Network bandwidth] 指定 さ れた時間間隔におけ る ネ ッ ト ワー ク 帯域幅を Mbps 単 位 で 表 示 し ま す。 内 部 イ ン タ ー フ ェ ー ス と 外 部 イ ン タ ー フ ェ ー ス の両方が有効 な 場合、 グ ラ フ で は、 内部 イ ン タ ー フ ェ ースのデー タ が緑の線、 外部 イ ン タ ー フ ェ ースのデー タ が青の線で表 さ れます。 こ のグ ラ フ のスケールは、 ト ラ フ ィ ッ クの量に応 じ て自動的に調整 さ れます ( 例えば、ト ラ フ ィ ッ ク 量に応 じ て 1Mbps ま たは 100Mbps のスケールが使用 さ れま す )。 [Swap utilization] 指定 さ れた時間間隔に お け る 空 き ス ワ ッ プ 容量 を 表示 し ま す。 2 番目の [Show] ボ ッ ク ス で、 表示す る時間間隔を指定 し ます。 間隔 説明 [Hourly] ( デ フ ォル ト ) 20 秒ご と に収集 さ れたサン プルに基づ く 最新 1 時間分の平均活動を表示 し ます。 シ ス テム管理 | 283 メモ 間隔 説明 [Daily] 10 分ご と に収集 さ れたサ ン プルに基づ く 最新 1 日分の平均 活動を表示 し ます。 [Weekly] 60 分ご と に収集 さ れたサ ン プルに基づ く 最新 1 週間分の平 均ア ク テ ィ ビ テ ィ を表示 し ます。 [Monthly] 4 時間ご と に収集 さ れたサン プル (1 日に 6 サン プル ) に基づ く 最新 32 日分の平均ア ク テ ィ ビ テ ィ を表示 し ます。 4. [Auto-refresh] ボ ッ ク ス では、 AMC が選択 し て い る デー タ の表示を自動的に更新 さ れる頻 度を選択 し ます。 5. オ プ シ ョ ン と し て、[Also show] ボ ッ ク ス で他の タ イ プのデー タ グ ラ フ を選択で き ます。 こ れは、 一定の時間間隔に対す る 2 種類のデー タ を比較す る場合に使用す る と 便利です。 6. [Refresh] を ク リ ッ ク す る と 、 ページ を いつ で も 更新で き ます。 [Auto-refresh] が [Off] 以外に設定 さ れてお り [System Status] ページが表示 さ れて い る 場合、 更新動作が持続的に行われる ため、 デ フ ォ ル ト の非ア ク テ ィ ブ期間 (15 分 ) が経過 し て も 、 AMC セ ッ シ ョ ン が自動的に タ イ ムア ウ ト し な く な り ま す。 こ れは、 AMC を 実 行 し 、 オー ト リ フ レ ッ シ ュ モ ー ド を 有効に し た状態で こ のページ を 表示 し た ま ま席を 外 す と 、 AMC が タ イ ムア ウ ト し な く な る と い う こ と を表 し て い ます。 セキ ュ リ テ ィ を向上 さ せる ための習慣 と し て、 ス テ ー タ ス を表示 し 終わ っ た ら 、 AMC の他のページ に必ず移 る よ う に し て お き ま す。 詳細は、 583 ページの 「ア プ ラ イ ア ン ス セ ッ シ ョ ン」 を 参照 し て く だ さ い。 ユーザー セ ッ シ ョ ンの表示 AMC で、 ア プ ラ イ ア ン ス ま たはア プ ラ イ ア ン スの HA ペ アのユーザー セ ッ シ ョ ン を監視、 ト ラ ブルシ ュ ー テ ィ ン グ、 ま たは終了で き ま す。 リ ス ト で ソ ー ト し た り 、 ユーザー名、 レ ルム ( 認 証サーバー )、 コ ミ ュ ニ テ ィ 、 ア ク セ ス エージ ェ ン ト 、 ト ラ フ ィ ッ ク ロ ー ド な ど で セ ッ シ ョ ン を フ ィ ル タ リ ン グ し て、 絞 り 検索 を 行い、 特定のセ ッ シ ョ ン を 検索 し て、 それ ら のセ ッ シ ョ ン の詳細を表示で き ます。 2 つの フ ィ ル タ リ ン グの例を こ こ に示 し ます。 284 | Aventail E-Class SRA 10.7 管理者ガ イ ド すべてのオー プ ン ユーザー セ ッ シ ョ ン を表示す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [User Sessions] を ク リ ッ ク し ます。 ア イ コ ン か ら セ ッ シ ョ ン の状態 を 素早 く 確認 で き ま す。 各状態の詳細 な 説明に つ い て は、 287 ページの 「オー プ ン セ ッ シ ョ ン と ラ イ セ ン ス を消費す る セ ッ シ ョ ンの違い」 を参照 し て く だ さ い。 セ ッ シ ョ ンの 状態 2. [View] リ ス ト で、 [All open] セ ッ シ ョ ン を選択 し ます。 こ れに よ り 、 ラ イ セ ン ス を消費す る ま たは待機状態に あ る セ ッ シ ョ ン が表示 さ れま す。 待機状態のセ ッ シ ョ ン は、 再開で き ま す。 接続が 15 分間以上利用 さ れてい ない と 、 その ラ イ セ ン スは解放 さ れます。 し か し 、 15 分が経過す る ま では、 セ ッ シ ョ ン を再開で き ます。 どのよ う な セ ッ シ ョ ンが 「オープ ン」 と 見な さ れ るかの詳細につい ては、 287 ページの 「オー プ ン セ ッ シ ョ ン と ラ イ セ ン ス を消費 す る セ ッ シ ョ ンの違い」 を参照 し て く だ さ い。 3. セ ッ シ ョ ン リ ス ト は、 レ ルムやゾー ン な どの他のプ ロパテ ィ を組み合わせて使用 し て さ ら に フ ィ ル タ リ ン グ で き ます。 [Refresh] を ク リ ッ ク し て、 フ ィ ル タ を基準 と し て セ ッ シ ョ ン リ ス ト を更新 し ます。 4. セ ッ シ ョ ン リ ス ト を確認 し ます。 リ ス ト を再度 ソ ー ト す る には、 列の上にあ る見出 し を ク リ ッ ク し ます。 5. 特定のセ ッ シ ョ ンの概要を素早 く 確認す る には、 セ ッ シ ョ ン リ ス ト にあ る項目を展開 し ま す。 シ ス テム管理 | 285 ユーザーがア ク セ ス し よ う と し た リ ソ ースや、 プ ロ セ ス で適用 さ れて いたポ リ シ ー ルール な どのセ ッ シ ョ ンの完全な詳細情報については、 [Username] リ ン ク を ク リ ッ ク し ます。 こ の ト ラ ブルシ ュ ーテ ィ ン グ ツ ールの詳細につい ては、 288 ページの 「ユーザー ア ク セ ス と ポ リ シー詳細の表示」 を参照 し て く だ さ い。 ト ラ フ ィ ッ ク の負荷が高いセ ッ シ ョ ン を検索す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [User Sessions] を ク リ ッ ク し ます。 2. [View] リ ス ト で、 [All] セ ッ シ ョ ン を選択 し ます。 3. 帯域幅を非常に多 く 利用 し て い る セ ッ シ ョ ン を終了す る こ と を計画 し て い る場合、ラ イ セ ン ス を 消費す る セ ッ シ ョ ン だけが リ ス ト に表示 さ れる よ う に制限 し ま す。 [Filters] エ リ ア で、 [Status] リ ス ト か ら [Licensed] を選択 し 、 [Refresh] を ク リ ッ ク し ます。 4. 特定の期間を指定す る には、 [Time period] リ ス ト ボ ッ ク ス で期間を選択 し ます。 • [All] を選択 し て、 最大 1 週間前のセ ッ シ ョ ンのデー タ を表示で き ます。 [Last 24 hours] を選択す る と 、 前日のユーザー ア ク テ ィ ビ テ ィ を表示で き ます。 • [Custom] を選択 し て、 日付 と 時間の特定の範囲を指定 し ます。 [Refresh] を ク リ ッ ク し て、 更新 さ れた結果を表示 し ます。 5. どのセ ッ シ ョ ン に最 も 多 く の ト ラ フ ィ ッ ク があ るか確認す る には、 列の上部にあ る [Avg data] ( こ の 1 時間におけ る ト ラ フ ィ ッ ク の総量 ) を ク リ ッ ク す るか、[Total data] ( セ ッ シ ョ ン におけ る ト ラ フ ィ ッ ク の総量 ) を ク リ ッ ク し て、 リ ス ト を ソ ー ト し ます。 286 | Aventail E-Class SRA 10.7 管理者ガ イ ド オープ ン セ ッ シ ョ ン と ラ イ センスを消費するセ ッ シ ョ ンの違い AMC でユーザー セ ッ シ ョ ン を見る と き には、セ ッ シ ョ ンの各 タ イ プの違い を把握 し て お く こ と が重要で す。 例えば、 あ る ユーザーに リ ソ ー スへのア ク セ ス につい ての疑念があ る 場合、 ラ イ セ ン ス さ れて い る セ ッ シ ョ ン だけ ではな く 、 そのユーザーに関連す る すべてのセ ッ シ ョ ン ( 失 敗 し た セ ッ シ ョ ン を含め ) を表示 し たい場合があ り ます。 セ ッ シ ョ ンの タ イ プ ラ イ セ ン ス を消費す る セ ッ シ ョ ン ラ イ セ ン ス を消費す る セ ッ シ ョ ンは、 ユーザーではな く 、 ユーザー認証が単位 と な り ます。 例えば、 2 台のデバ イ ス に ロ グ イ ン し て い る ユーザーは、 ア プ ラ イ ア ン ス に よ っ て保護 さ れて い る リ ソ ース に ア ク セ スす る と す ぐ に、2 つ の ラ イ セ ン ス を消費 し ます。 ユーザーがセ ッ シ ョ ン か ら 明示的に ロ グ ア ウ ト す る、 あ る いは、セ ッ シ ョ ンが タ イ ムア ウ ト す る ま で ( 操作がない 状態が 15 分経過す る ま で )、 ラ イ セ ン スは消費 さ れま す ( 例えば、 WorkPlace で ブ ラ ウザ ウ ィ ン ド ウ を終了 し て も 、 ラ イ セ ン スは解放 さ れません )。 すべてのオー プ ン セ ッ シ ョ ン オー プ ン セ ッ シ ョ ンは、 ラ イ セ ン ス を 消費す る、 あ る い は再開可能な セ ッ シ ョ ン と し て定義 さ れ ま す。 待機中で 「再開が可能 な」 こ の状態は、 ブ ラ ウ ザ お よ び ト ン ネ ル セ ッ シ ョ ン で異な り ます。 • ブ ラ ウザ セ ッ シ ョ ンは、15 分以上接続処理が行われない と 、ラ イ セ ン スが解放 さ れます。 • Connect Tunnel セ ッ シ ョ ンは、 例えば、 モバイ ル ユーザーが 範囲外に移動 し た場合や、 ラ ッ プ ト ッ プ を閉 じ た場合な ど、 ネ ッ ト ワー ク イ ベ ン ト に よ っ て ト ン ネルが切断 さ れてか ら、 15 分後 に ラ イ セ ン スが解放 さ れます (ユーザーが ト ン ネル セ ッ シ ョ ン を 使用 し て停止 し た場合で も、 keep-alive パケ ッ ト な ど のネ ッ ト ワー ク ト ラ フ ィ ッ クのためにア ク テ ィ ブのま まにな り ます )。 認証 ト ー ク ンが有効である限 り 、 また、 セ ッ シ ョ ンが再開 さ れた と き に ラ イ セ ン スが利用で き る限 り 、 このオープ ン状態のラ イ セ ン ス を消費 し ないセ ッ シ ョ ンは再開で き ます。 デ フ ォ ル ト では、 認証 ト ー ク ンはセ ッ シ ョ ン が開始 し てか ら 数時間有効に な り ま す。 すべてのセ ッ シ ョ ン こ の カ テ ゴ リ には、 すべてのオー プ ン セ ッ シ ョ ン と 、 終 了 し た セ ッ シ ョ ン、 ま たは後続の再試行後に ロ グ イ ン が 失敗 し た セ ッ シ ョ ン が含 ま れ ま す。 最終的 な 失敗 メ ッ セ ー ジ を 受信す る 前に、 ユーザーが ロ グ イ ン 試行 を 中止 し た場合、 こ れ ら の試行に関す る 情報は、 リ ス ト には表 示 さ れ ま せん。 7 日以前に終了 し た セ ッ シ ョ ン に関す る デー タ は破棄 さ れます。 メモ 詳細につい ては、 333 ページの 「 ラ イ セ ン スの計算方法」 を参照 し て く だ さ い。 シ ス テム管理 | 287 ユーザー セ ッ シ ョ ンの終了 ユーザーが異な るサー ビ スや ノ ー ド で複数の接続を持 っ て い る場合で も 、 ユーザー セ ッ シ ョ ン を即座に終了で き ます。 ま た、 10 分間ユーザーのネ ッ ト ワー ク ア ク セ ス を一時的に無効に で き ます ( ア ク セ ス ポ リ シーで許可 し て い る場合、 ユーザーは、 こ の時間が経過す る と 再度ネ ッ ト ワー ク に ロ グ イ ン で き ま す )。 VPN へのロ グ イ ン を 永久にユーザーに許可 し ない場合、 次のい ずれかの操作を実行す る必要があ り ます。 • 適用 さ れる ア ク セ ス制御ルールの変更 • • 適用 さ れる ユーザーお よ びグルー プの定義の修正ま たは削除 ユーザー デ ィ レ ク ト リ か ら のユーザーの削除 オー プ ン ユーザー セ ッ シ ョ ン を終了す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [User Sessions] を ク リ ッ ク し ます。 2. [View] リ ス ト か ら 、 表示す る セ ッ シ ョ ン数を選択 し て、 [All open] を選択 し ます ( オー プ ン のセ ッ シ ョ ン だけ を終了で き ます )。 3. その他のプ ロパテ ィ を組み合わせて、 セ ッ シ ョ ン リ ス ト を フ ィ ル タ リ ン グ で き ます。 4. • [User] : ユーザー名のすべて ま たは一部を入力 し ます。 検索文字列の任意の場所にワ イ ル ド カ ー ド 文字 (* ま たは ?) を使用で き ま す。 • [Realm] :1 つのレ ルムま たはすべてのレ ルム を選択 し ます。 • [Community] :1 つの コ ミ ュ ニ テ ィ ま たはすべての コ ミ ュ ニ テ ィ を選択 し ます。 レ ルム を選択 し て い る場合、 リ ス ト で表示 さ れる コ ミ ュ ニ テ ィ は、 レ ルムに関連す る コ ミ ュ ニ テ ィ のみに制限 さ れます。 • [Zone] :1 つのゾ ー ン ま たはすべてのゾ ー ン を選択 し ます。 • [Agent] :1 つ以上のア ク セ ス エージ ェ ン ト を選択す るか、エージ ェ ン ト を有効に し ない こ と ( 変換のみ ) を指定 し ます。 AMC で手動で セ ッ シ ョ ン を終了す る方法は 2 つあ り ます。 ラ イ セ ン ス さ れてい る、 ま たは 再開が可能な オー プ ン セ ッ シ ョ ン だけ を 終了で き ま す。 終了す る セ ッ シ ョ ン の横のチ ェ ッ ク ボ ッ ク ス を選択す るか、 上部にあ る チ ェ ッ ク ボ ッ ク ス を選択 し て リ ス ト にあ る すべての ユーザー を選択 し 、 セ ッ シ ョ ン終了ボ タ ンの 1 つ を ク リ ッ ク し ま す。 セ ッ シ ョ ンの終了 [Terminate session] を ク リ ッ ク す る と 、 選択 し た セ ッ シ ョ ン に関連す る すべての接続が終 了 し ます。 こ れは例えば、 待機中のセ ッ シ ョ ンか ら ラ イ セ ン ス を 解放す る場合に便利です。 セ ッ シ ョ ンは個別に終了で き る ため、 ユーザーがい く つかのセ ッ シ ョ ン を 持 っ て い る場合、 終了す る セ ッ シ ョ ン を選択で き ます。 セ ッ シ ョ ンが終了 さ れたユーザーは、 す ぐ に再認証 し て、 ア プ ラ イ ア ン ス に ロ グ イ ン で き ます。 セ ッ シ ョ ンの終了 - ロ グ イ ンの制限 こ の終了の タ イ プは、上記 と 同 じ ですが、10 分が経過 し な い と 、ユーザーは新 し いセ ッ シ ョ ン を作成で き ません。 既存のセ ッ シ ョ ンがあ り 使用で き る場合で も 、 10 分が経過 し な い と 、 新 し い セ ッ シ ョ ン を 作成で き ません。 例えば、 すべてのユーザー セ ッ シ ョ ン を 終了 し 、 認 証ス ト アか ら ユーザーの ク レ デ ン シ ャ ルを削除す る間、新 し いセ ッ シ ョ ン を確立で き な い よ う にす る場合な ど に、 こ の タ イ プの終了を使用 し ます。 ユーザー ア ク セス と ポ リ シー詳細の表示 288 | Aventail E-Class SRA 10.7 管理者ガ イ ド 例えば、 ロ グ イ ン し たのに接続 を 確立で き な い、 あ る いは リ ソ ー スへのア ク セ ス を 拒否 さ れ る 場合、 [Session Details] ページ を使用 し て、 問題 を診断で き ます。 こ のページ ではセ ッ シ ョ ン を ト ラ ブルシ ュ ーテ ィ ン グ で き 、 そのス テ ー タ ス を評価 し て セ ッ シ ョ ンがア ク テ ィ ブ で あ るか、 ユーザーのデバ イ スが特定のゾ ー ン に分類 さ れて い る 理由、 そ し て どのポ リ シ ールールが適用 さ れてい るかを確認で き 、 必要に応 じ て編集で き ます。 ユーザー セ ッ シ ョ ンの詳細を表示す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [User Sessions] を ク リ ッ ク し ます。 2. 詳細を表示す る セ ッ シ ョ ンの [username] リ ン ク を ク リ ッ ク し ます。 必要に応 じ て、 フ ィ ル タ を設定 し て、 表示す る リ ス ト を絞 り 込み、 [Refresh] を ク リ ッ ク し ます。 • リ ソ ースへのア ク セ ス を ト ラ ブルシ ュ ーテ ィ ン グす る には、 [Access requests] リ ス ト を確認 し ます。 リ ス ト の項目を展開 し て、 特定の接続要求を許可ま たは拒否す るかど う かを決定す る ア ク セ ス制御ルールを表示で き ます。 ルールが存在 し て い る場合、 リ ン ク を ク リ ッ ク し て、 編集す る こ と も で き ます。 シ ス テム管理 | 289 • End Point Control ゾ ー ンは、 デバ イ ス プ ロ フ ァ イ ルの存在の有無を基準 と し て接続要 求を分類 し ます。 [Zone classification] ページ では、 どの EPC ゾー ン ( 存在す る場合 ) がセ ッ シ ョ ン中に評価 さ れたのか、 そ し て、 各評価の結果 を表示で き ま す。 こ の例で は、 モバ イ ル デバ イ スが Pocket PC ゾー ン に配置 さ れま し たが、 Equipment ID デバ イ ス プ ロ フ ァ イ ル と 一致 し ませんで し た。 • ユーザー セ ッ シ ョ ン に、現在、Connect Tunnel 接続があ る場合、[Active connections] ページ に IP ア ド レ ス ご と にセ ッ シ ョ ンが表示 さ れま す。 その他のア ク セ ス エージ ェ ン ト は、 VPN 接続を オー プ ンのま ま に し な いため、 こ こ には表示 さ れません。 ユーザー セ ッ シ ョ ン デー タ のエ ク スポー ト 290 | Aventail E-Class SRA 10.7 管理者ガ イ ド ユーザー セ ッ シ ョ ン デー タ は、AMC か ら カ ン マ区切 り の フ ァ イ ル (CSV) に エ ク スポー ト し て、 Microsoft Excel で表示お よ び編集で き ます。 ユーザー セ ッ シ ョ ン デー タ を CSV フ ァ イ ルに エ ク ス ポ ー ト す る と 、 ユ ーザ ー セ ッ シ ョ ン デ ー タ を 無期限 に ア ー カ イ ブ し て、 E-Class SRA Advanced Reporting (AAR) を 使用 し な く て も カ ス タ ム レ ポー ト を 作成 し た り 、 その他の特別 な目的に フ ァ イ ルを使用で き ます。 ユーザー セ ッ シ ョ ン デー タ を CSV フ ァ イ ルに エ ク スポー ト す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [User Sessions] を ク リ ッ ク し ます。 2. オ プ シ ョ ン で、 表示す る ユーザー デー タ を フ ィ ル タ リ ン グ し て、 エ ク スポー ト し たいデー タ だけ を表示で き ま す。 フ ィ ル タ リ ン グの詳細につい ては、 284 ページの 「ユーザー セ ッ シ ョ ンの表示」 を参照 し て く だ さ い。 3. ユーザー セ ッ シ ョ ン デー タ の上にあ る [Export] ボ タ ン を ク リ ッ ク し ます。 メモ 管理者が [User Sessions] ページ を表示す る ア ク セ ス権限があ る場合にのみ、 [Export] ボ タ ンが表示 さ れます。 4. Windows の フ ァ イ ルのダウ ン ロ ー ド ダ イ ア ロ グが表示 さ れた ら 、[ 保存 ] ボ タ ン を ク リ ッ ク し ます。 5. ユーザー デー タ を保存す る ロ ー カ ル コ ン ピ ュ ー タ の場所 と フ ァ イ ル名を選択す るか、 デ フ ォ ル ト の設定 を使用 し ま す。 デ フ ォ ル ト の フ ァ イ ル名は、 UserSessions.csv で、 デ フ ォ ル ト の場所はユーザーの 「ダウ ン ロ ー ド 」 フ ォ ルダ です。 6. [Save] ボ タ ン を ク リ ッ ク し て、ユーザー セ ッ シ ョ ン デー タ を csv フ ァ イ ルに エ ク スポー ト し ま す。 現在の フ ィ ル タ 条件に一致す る すべてのユーザー セ ッ シ ョ ン がエ ク ス ポー ト さ れ ます。 使用す る フ ィ ル タ に よ っ て、 CSV フ ァ イ ルには、 各セ ッ シ ョ ンの次の情報が含まれる場合があ り ます。 デー タ の タ イ プ 説明 [System Version] E-Class SRA のバージ ョ ン番号 [Session ID] セ ッ シ ョ ン を内部的に特定する一意の数字の ID [State] ユーザー セ ッ シ ョ ンの状態 : [Login Failed]、[Licensed]、[Idle]、 または [Ended] があ り ます。 [Username] 簡単なユーザー名 [Long Username] 完全な ユーザー名 と レ ルム、 AD/LDAP セ ッ シ ョ ン の共通名 (CN) が含まれます。 [Start Time] MM/DD/YYYY HH:MM:SS の形式のセ ッ シ ョ ンの開始時間。ア プ ラ イ ア ン スのロー カル時間が使用 さ れます。 [End Time] MM/DD/YYYY HH:MM:SS 形式のセ ッ シ ョ ンの終了時間。セ ッ シ ョ ンが待機中ま たは ラ イ セ ン ス さ れてい る場合は空欄にな り ます。 [Elapsed Seconds] セ ッ シ ョ ンが開始 し てか ら 終了する ま での秒数、 ま たはア ク テ ィ ブおよび待機中のセ ッ シ ョ ンが開始 さ れてからの秒数 [Average Bytes Minute (Last Hour)] per こ の 1 時間でセ ッ シ ョ ンに よ っ て使用 さ れた 1 分あた り の平 均バイ ト 数 ( ア ッ プ ロー ド およびダウン ロー ド )。 これは利用 率の高いユーザー と セ ッ シ ョ ン を決定する ために使用 さ れま す。 シ ス テム管理 | 291 デー タ の タ イ プ 説明 [Total bytes] セ ッ シ ョ ン に よ っ て ア ッ プ ロ ー ド お よ びダウ ン ロ ー ド さ れた バイ ト 数 [Realm] ユーザーの認証に使用 さ れた レルム名 [Community] ユーザーが配置 さ れた コ ミ ュ ニ テ ィ 名 [Zone] ユーザー / デバイ スが配置 さ れたゾーン [EPC Agent] 使用 さ れた End Point Control エージ ェ ン ト : キ ャ ッ シ ュ ク リ ーナーまたは Secure Virtual Desktop [Access Agents] 使用 さ れたア ク セス エージ ェ ン ト : Web のみ、Tunnel、Tunnel (ESP)、OnDemand、Web Proxy、または Exchange ActiveSync [Remote Address] ク ラ イ ア ン ト コ ン ピ ュ ー タ の IP ア ド レ ス [Local Address] ク ラ イ ア ン ト 接続に割 り 当て ら れた ロー カル ア ド レ ス。 ト ン ネル セ ッ シ ョ ン ではない場合は空欄にな り ます。 次は、 AMC に よ っ て生成 さ れる ユーザー セ ッ シ ョ ン csv フ ァ イ ルの例です。 Version,SessionID,State,Username,LongUsername,StartTime,EndTime,ElapsedSeconds,Ave rageBytesPerMinuteLastHour,TotalBytes,Realm,Community,Zone,EPCAgent,AccessAgents,R emoteAddress,LocalAddress 10.6.1-auto404320,7,Ended,"ljones@am.us.sonicwall.com","(ljones)@(snwl) (CN=Laura Jones,OU=Users,OU=Engineering,OU=AM Domain Users,DC=am,DC=us,DC=sonicwall,DC=com)",03/09/2012 03:35:05,03/09/2012 03:36:41,96,120750,205276,"snwl","Default community","Default Zone","","Web only",10.10.10.1, SNMP の構成 Dell SonicWALL GMS Net Monitor、 Hewlett-Packard OpenView、 ま た は IBM Tivoli な ど の SNMP (Simple Network Management Protocol) ツ ールがあ る場合、 こ れ ら のツ ールを使用す る こ と に よ り 、 ア プ ラ イ ア ン ス を SNMP エージ ェ ン ト と し て監視で き ます。 こ のア プ ラ イ ア ン ス では、SNMP バージ ョ ン 2 お よ び 3 をサポー ト し て お り 、さ ま ざ ま な管理デー タ を Management Information Base (MIB) II 形式で提供 し ま す。 SNMPv2 ま たは SNMPv3 を 有効に で き ま すが、 同時に両方 を 有効に す る こ と はで き ま せん。 SNMPv2 を有効にす る と 、SNMPv3 の要求は無視 さ れます。SNMPv3 を有効にす る と 、SNMPv2 の要求は無視 さ れま す。 SNMP サポー ト を 完全に無効にす る こ と も で き ま す。 こ の場合は、 シ ス テムか ら 指示 さ れる すべての SNMP 要求が無視 さ れ、 ト ラ ッ プは生成 さ れません。 SNMPv3 は、 SNMPv1 と SNMPv2 の両方で発生 し た セキ ュ リ テ ィ の問題 を 解決 し て い ま す。 SNMPv3 は、 バージ ョ ン 1 と 2 で定義 さ れて い る すべてのオペ レ ーシ ョ ン をサポー ト し ます。 SNMPv3 で提供 さ れる こ の新 し いセキ ュ リ テ ィ 機能は、 認証、 プ ラ イ バシー ( 暗号化 )、 お よ び ア ク セ ス制御の 3 つのエ リ ア に一般的に分け ら れます。 SNMPv2 での認証は、 テ キス ト 形式の 「 コ ミ ュ ニ テ ィ 文字列」 で安全ではない方法で提供 さ れ てい ますが、 SNMPv3 での認証では、 SHA アルゴ リ ズムが使用 さ れ、 安全な認証が提供 さ れま す。 各 SNMP 「ユーザー」 につい て、 ユーザー名 と パス コ ー ド の両方、 お よ び使用す る アルゴ 292 | Aventail E-Class SRA 10.7 管理者ガ イ ド リ ズムがエージ ェ ン ト で構成 さ れ ( こ の場合、 SRA ア プ ラ イ ア ン ス )、 ア プ ラ イ ア ン ス と 通信す る 管理 ソ フ ト ウ ェ ア に対 し て提供 さ れ る ユーザー名、 パス コ ー ド 、 お よ び アルゴ リ ズム選択 と 一致す る必要があ り ます。 SNMPv3 の前は、 すべての通信が暗号化 さ れて い ません で し た。 SNMPv3 では、 AES アルゴ リ ズムが使用 さ れ、 SNMP メ ッ セージが暗号化お よ び復号化 さ れます。 認証では、 ユーザー名、 パス ワー ド 、 お よ び暗号化アルゴ リ ズムが、 暗号のシ ー ド 作成に使用 さ れ、 エ ー ジ ェ ン ト と 管 理ス テ ーシ ョ ンの両方で構成 さ れる必要があ り ます。 E-Class SRA で SNMPv3 でサポー ト さ れる認証お よ び暗号化レ ベルの組み合わせは、次の と お り です。 レ ベル 認証 暗号化 効果 noAuthNoPriv ユーザー名 なし 認証の一致に ユーザー名 を 使用 し ま す。 authNoPriv SHA なし HMAC-SHA アルゴ リ ズム を基準 と す る認証を行います。 authPriv SHA AES HMAC-SHA アルゴ リ ズム を基準 と す る 認証 を 行い ま す。 認証の他に AES 暗号化を提供 し ます。 SRA EX シ リ ーズは、 管理上の複雑 さ を 最小化 し なが ら 、 プ ロ ト コ ルのセキ ュ リ テ ィ の利点 を 活用す る よ う に設計 さ れた SNMPv3 機能のサブ セ ッ ト をサポー ト し ます。現時点では、SNMPv3 の仕様で定義 さ れて い る ア ク セ ス制御はサポー ト さ れません。 SNMPv3 機能が追加 さ れて も 、 ア プ ラ イ ア ン ス に よ っ て管理情報が報告 さ れ る 方法は変更 さ れません。 前の リ リ ース と 同 じ 方 法で報告 さ れます。 SNMP の構成 こ のセ ク シ ョ ン では、 AMC で SNMP を設定す る方法につい て説明 し ます。 SNMP を構成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Services] を ク リ ッ ク し ます。 シ ス テム管理 | 293 2. [Network Services] の [SNMP] に対応す る [Configure] リ ン ク を ク リ ッ ク し ま す。 3. SNMP を有効にす る には、[Enable SNMPv2] ま たは [Enable SNMPv3] ラ ジ オ ボ タ ンのい ずれか を 選択 し ま す ([Save] を ク リ ッ ク し な い ま ま、 SNMP ホ ス ト を 構成す る ために こ の ページ を離れた場合、 こ の設定のス テ ー タ スは保存 さ れません )。SNMP を無効にす る には、 [Disable SNMP] ラ ジ オ ボ タ ン を選択 し てか ら 、 [Save] を ク リ ッ ク し ます。 4. [Interface selection] リ ス ト か ら 適切な オ プ シ ョ ン ([Internal]、 [External]、 [Both]) を選択 し て、 SNMP で使用す る ネ ッ ト ワー ク イ ン タ ー フ ェ ース を選択 し ます。 5. [Agent properties] の [System location] お よ び [System contact] ボ ッ ク ス で ア プ ラ イ ア ン ス エージ ェ ン ト を記述 し ます。 例えば、 ア プ ラ イ ア ン スの物理的な場所 ( 「Server lab」 な ど ) やシ ス テム管理者の連絡先 ( 「Jim Jamerson, 206-555-1212」 な ど ) を指定で き ま す。 294 | Aventail E-Class SRA 10.7 管理者ガ イ ド 6. SNMPv2 を使用 し てい る場合、 [SNMPv2 Agent properties] で、 ネ ッ ト ワー ク 管理ツ ール が E-Class SRA ア プ ラ イ ア ン ス を 照会す る と き に使用す る 文字列 を [Community string] ボ ッ ク ス に入力 し ま す。 こ の フ ィ ール ド は必須で、 デ フ ォ ル ト では 「public」 に設定 さ れま す。 「public」 は安全ではな いため、 セキ ュ リ テ ィ を向上 さ せる ための習慣 と し て、 コ ミ ュ ニ テ ィ 文字列に異な るパス フ レ ーズ を設定す る よ う に し ます。 7. SNMPv3 を使用 し てい る場合、 [SNMPv3 Agent properties] で、 ネ ッ ト ワー ク 管理ツ ール が E-Class SRA ア プ ラ イ ア ン ス を照会す る と き に使用す る文字列を [Username] ボ ッ ク ス に入力 し ます。 8. 安全な認証を有効にす る には、 [Enable authentication (SHA-1)] チ ェ ッ ク ボ ッ ク ス を選択 し て、 [Password] お よ び [Confirm password] フ ィ ール ド に パ ス ワ ー ド を 入力 し ま す。 SHA-1 がよ り 安全で あ る ため、 MD5 はサポー ト さ れて い ません。 9. プ ラ イ バシーのための暗号化を有効にす る には、 [Enable privacy (AES)] チ ェ ッ ク ボ ッ ク ス を選択 し て、 [Password] お よ び [Confirm password] フ ィ ール ド にパス ワー ド を入力 し ます。 AES がよ り 安全で あ る ため、 DES はサポー ト さ れて い ません。 10. [SNMP Hosts] で、 ア プ ラ イ ア ン スが SNMP 要求を許可す る管理シ ス テム を定義 し ます。 IP ア ド レ ス と サブ ネ ッ ト マ ス ク の両方に 「0.0.0.0」 と 入力す る こ と で、 任意のホ ス ト か ら の要求を許可で き ます。 た だ し その場合、 ア プ ラ イ ア ン スのセキ ュ リ テ ィ が低下す る と い う 欠点 も あ り ます。 a. [SNMP hosts] エ リ ア で [New] を ク リ ッ ク し ます。 b. ホ ス ト の [IP address] と [Netmask] を入力 し て、 [OK] を ク リ ッ ク し ます。 11. [Trap receivers] で、 [Enable support for SNMP traps] チ ェ ッ ク ボ ッ ク ス を選択 し て、 ト ラ ッ プの送信を有効に し ます。 チ ェ ッ ク ボ ッ ク ス を オ フ にす る と 、 ト ラ ッ プが送信 さ れな く な り ます。 ト ラ ッ プが有効な場合、すべての ト ラ ッ プは リ ス ト で定義 さ れて い る すべてのホ ス ト に送信 さ れます。 ト ラ ッ プが無効で あ る場合、 ホ ス ト の リ ス ト は無視 さ れます。 12. SNMP ト ラ ッ プ を送信す る管理シ ス テム を定義 し ます。 a. [Trap receivers] エ リ アの [New] を ク リ ッ ク し ま す。 b. ホ ス ト の [IP address] と [Netmask] を入力 し て、 [OK] を ク リ ッ ク し ます。 13. [Save] を ク リ ッ ク し ます。 シ ス テム管理 | 295 メモ • • ア プ ラ イ ア ン ス に よ っ て使用 さ れる管理情報ベース (MIB) を使用 し て SNMP マ ネー ジ ャ を構成す る必要があ り ます。ア プ ラ イ ア ン ス では、カ リ フ ォ ルニ ア大学、Davis (UCD) MIB のバージ ョ ン 4.2.3 お よ び MIB II がサポー ト さ れます。 SNMPv2 については、 ア プ ラ イ ア ン ス を 照会す る ために必要な コ ミ ュ ニ テ ィ 文字列 を 使用 し て SNMP マ ネー ジ ャ を構成す る必要 も あ り ます。 SNMPv3 につい ては、 ア プ ラ イ ア ン ス で構成 さ れて い るの と 同 じ ユーザー名、 パス コ ー ド 、 アルゴ リ ズム選択を使用 し て、 SNMP マ ネージ ャ を構 成 し ます。 内部の フ ァ イ ア ウ ォ ールがポー ト 161/udp ト ラ フ ィ ッ ク を許可す る よ う に構成 さ れて い る こ と を確認 し て く だ さ い。 Dell SonicWALL MIB フ ァ イルのダウン ロー ド AMC を使用 し て、 Dell SonicWALL E-Class SRA MIB フ ァ イ ルを ダウ ン ロ ー ド で き ます。 こ れ に よ り 、 すで にサポー ト さ れて い る MIB に VPN 固有のデー タ が追加 さ れます。 MIB に よ っ て 提供 さ れる情報の詳細は、 298 ページの 「Dell SonicWALL MIB デー タ 」 を参照 し て く だ さ い。 Dell SonicWALL MIB を ダウ ン ロ ー ド す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Services] を ク リ ッ ク し ます。 2. [Network Services] の [SNMP] に対応す る [Configure] リ ン ク を ク リ ッ ク し ま す。 3. [Download E-Class SRA MIB] ボ タ ン を ク リ ッ ク し ます。 フ ァ イ ル ダウ ン ロ ー ド の メ ッ セージが表示 さ れます。 4. [Save] を ク リ ッ ク し て、 正 し いデ ィ レ ク ト リ を参照 し てか ら 、 E-Class SRACustomMibs.tar フ ァ イ ルを保存 し ます。 アプ ラ イ アンスの SNMP 監視のための GMS の構成 Dell SonicWALL Global Management System (Dell SonicWALL GMS) は Web ベースのア プ リ ケーシ ョ ン ( 別売 ) で あ り 、 Dell SonicWALL お よ び Dell SonicWALL 以外の イ ン タ ーネ ッ ト セ キ ュ リ テ ィ ア プ ラ イ ア ン ス を一元的に構成お よ び管理で き る よ う に な り ます。 すべての管理対 象の Dell SonicWALL ア プ ラ イ ア ン スの状態を監視で き 、 構成を適用で き る よ う に な り ます。 E-Class SRA MIB フ ァ イ ルを分析す る ために使用で き 、GMS Net Monitor に統合 さ れる MIB コ ンパ イ ラ ー / イ ン ポー タ ーがあ り ます。 Net Monitor を構成す る と 、 E-Class SRA OID ツ リ ー を ブ ラ ウズで き 、 自身のモ ニ タ ー を作成 し 、 ア ラ ー ト を作成す る ための OID を含む数式を使用 し た り で き ます。 Net Monitor の構成に関す る詳細は、 GMS の ド キ ュ メ ン ト で参照で き ます。 概 要を以下に説明 し ます。 GMS Net Monitor を構成 し て E-Class SRA MIB を表示す る には 1. 296 ページの 「Dell SonicWALL MIB フ ァ イ ルのダウ ン ロ ー ド 」 の説明に従 っ て、 E-Class SRA MIB フ ァ イ ル アー カ イ ブ を (E-Class SRACustomMibs.tar) ダウ ン ロ ー ド し ます。 2. アー カ イ ブ を展開 し て、 .mib 拡張子を フ ァ イ ルに追加 し ます。 3. E-Class SRA MIB フ ァ イ ルを <GMS-Install-Folder>/etc/mibs フ ォ ルダに コ ピ ー し ま す。 4. Net Monitor でユニ ッ ト を追加 し ます。 必ず [SNMP] を選択 し ます。 5. [Advanced] を ク リ ッ ク し て、 [E-Class SRA MIBs] を選択 し ま す。 6. ユニ ッ ト を取得 し た ら 、 今追加 し たデバ イ スの [SNMP Options/SNMP Manage Realtime Monitors] メ ニ ュ ー を選択 し ます。 296 | Aventail E-Class SRA 10.7 管理者ガ イ ド 詳細につい ては、 Dell SonicWALL GMS Net Monitor の ド キ ュ メ ン ト (www.mysonicwall.com) を参照 し て く だ さ い。 メモ SNMP を使用し た管理デー タ の取得 SNMP デー タ は、 標準化 さ れた階層構造に編成 さ れ、 それ を構成す る構造化テ キス ト フ ァ イ ル に、 価値のあ る管理デー タ が記述 さ れてい ます。 こ れ ら のテ キス ト フ ァ イ ル (MIB と 呼ばれる ) には、 シ ス テム情報やス テ ー タ ス な どの固有のデー タ 変数が記述 さ れて い ます。 SNMP を介 し て情報を取得す る場合、 シ ス テムで 「オ ブ ジ ェ ク ト 識別子」 (OID) を照会 し ます。 それぞれの OID には、 テ キス ト 名 も 含まれますが、 通常は番号で参照 さ れます。 例えば、 シ ス テム ア ッ プ タ イ ム (sysUpTime) の OID は 1.3.6.1.2.1.1.3 に な り ます。 SNMP 管 理 パ ッ ケ ー ジ が な い 場 合 は、 ア プ ラ イ ア ン ス に 接 続 し て root と し て ロ グ イ ン し snmpwalk ま たは snmpget コ マ ン ド を実行す る こ と に よ っ て、SNMP デー タ を取得で き ます。 例えば、 デ ィ ス ク 容量についての情報を取得す る場合、 次の snmpwalk コ マ ン ド を入力す る こ と で、 OID 1.3.6.1.4.1.2021.9: を照会 し ます。 snmpwalk -v 1 localhost -c public 1.3.6.1.4.1.2021.9 すべての MIB 変数の リ ス ト を表示す る と き は、 次の コ マ ン ド を入力 し ます。 snmpwalk -v 1 -O n localhost -c public |more こ の コ マ ン ド に よ り 、 次のよ う な リ ス ト が表示 さ れます。 .1.3.6.1.2.1.1.1.0 = Linux E-Class SRAvpn 2.4.20_004 #1 SMP Thu Apr 10 14:35:50 PDT 2003 i686 .1.3.6.1.2.1.1.2.0 = OID:.1.3.6.1.4.1.2021.250.10 .1.3.6.1.2.1.1.3.0 = Timeticks:(1707979) 4:44:39.79 .1.3.6.1.2.1.1.4.0 = Root < root@localhost> (configure /etc/snmp/snmp.local.conf) .1.3.6.1.2.1.1.5.0 = E-Class SRAvpn .1.3.6.1.2.1.1.6.0 = Unknown (configure /etc/snmp/snmp.local.conf) .1.3.6.1.2.1.10.8.0 = Timeticks:(7) 0:00:00.07 .1.3.6.1.2.1.1.9.1.2.1 = OID:.1.3.6.1.2.1.31 .. すべての MIB 名の リ ス ト を表示す る と き (snmpget コ マ ン ド を使用す る と き に便利です ) は、 次の コ マ ン ド を入力 し ます。 snmpwalk -O S localhost -c public |more こ の コ マ ン ド に よ り 、 次のよ う な リ ス ト が表示 さ れます。 SNMPv2-MIB::sysDescr.0 = Linux E-Class SRAvpn 2.4.20_004 #1 SMP Thu Apr 10 14:35:50 PDT 2003 i686 SNMPv2-MIB::sysObjectID.0 = OID :SNMPv2-SMI::enterprises.2021.250.10 SNMPv2-MIB::sysUpTime.0 = Timeticks:(1712451) 4:45:24.51 SNMPv2-MIB::sysContact.0 = Root (configure /etc/snmp/snmp.local.conf) SNMPv2-MIB::sysName.0 = E-Class SRAvpn SNMPv2-MIB::sysLocation.0 = Unknown (configure /etc/snmp/snmp.local.conf) SNMPv2-MIB::sysORLastChange.0 = Timeticks:(7) 0:00:00.07 SNMPv2-MIB::sysORID.1 = OID:IF-MIB::ifMIB .. メモ • • UCD MIB SNMP エージ ェ ン ト の詳細につい ては、http://www.ece.ucdavis.edu/ucd-snmp/ を 参照 し て く だ さ い。 MIB II の詳細 (MIB II 変数名の説明 も 含まれる ) につい ては、 http://www.ietf.org/rfc/rfc1213.txt を参照 し て く だ さ い。 シ ス テム管理 | 297 Dell SonicWALL MIB デー タ Dell SonicWALL MIB モ ジ ュ ールは、 E-Class SRA ア プ ラ イ ア ン ス に関す る次の情報 を提供す る、 オ ブ ジ ェ ク ト 識別子 (OID) やテ キス ト 名を参照 し ます。 MIB デー タ 詳細情報 シス テム情報 298 ページの 「MIB デー タ : シ ス テム情報モ ジ ュ ール」 シス テム ヘルス 298 ページの 「MIB デー タ : シ ス テム ヘルス モ ジ ュ ール」 サービ ス ヘルス 299 ページの 「MIB デー タ : サー ビ ス ヘルス」 セキ ュ リ テ ィ 履歴 300 ページの 「MIB デー タ : セキ ュ リ テ ィ 履歴モ ジ ュ ール」 ネ ッ ト ワー ク サービ ス ト ン ネ ル 301 ページの 「MIB デー タ : ネ ッ ト ワー ク ト ン ネル サー ビ ス モ ジ ュ ール」 シス テム ト ラ ッ プ 301 ページの 「MIB デー タ : ト ラ ッ プ」 その他の SNMP デー タ 303 ページの 「MIB デー タ : その他の SNMP デー タ 」 MIB デー タ : システム情報モジ ュ ール Dell SonicWALL のシ ス テム情報モ ジ ュ ールの OID では、 ア プ ラ イ ア ン ス に関す る基本情報が 提供 さ れます。 項目 OID 説明 バージ ョ ン 1.3.6.1.4.1.4331.1.1.0 こ の ノ ー ド 上で動作する Dell SonicWALL E-Class SRA フ ァ ームウ ェ アのバージ ョ ン で、 major.minor.micro-hot-fix-build の形式 ( 例えば 「10.0-145」 ) にな り ます。 ハ ー ド ウ ェ ア モ デ 1.3.6.1.4.1.4331.1.2.0 ル ア プ ラ イ ア ン スのモデル番号です ( 例えば EX9000、 EX7000、 または EX6000)。 今後新 し いモデル番号が 追加 さ れる場合があ り ます。 MIB デー タ : システム ヘルス モジ ュ ール Dell SonicWALL のシ ス テム ヘルス モ ジ ュ ールの OID では、 ア プ ラ イ ア ン スの動作ス テー タ ス に関す る情報が提供 さ れます。 項目 OID 説明 現在のログ イ ン 1.3.6.1.4.1.4331.2.1.1.0 現在認証 さ れて い る ア ク テ ィ ブ ユーザー セ ッ シ ョ ンの数。 最大 ラ イ セ ン ス ユー 1.3.6.1.4.1.4331.2.1.3.0 ザー こ のア プ ラ イ ア ン ス ( ア プ ラ イ ア ン スのク ラ ス タ ) で ラ イ セ ン ス さ れ て い る ア ク テ ィ ブ ユ ー ザー セ ッ シ ョ ンの最大数。 現在の接続 1.3.6.1.4.1.4331.2.2.1.0 こ のア プ ラ イ ア ン ス ( ア プ ラ イ ア ン スのク ラ ス タ ) に よ っ て 現在サー ビ ス が提供 さ れ て い る 同時接続の 数。 CPU 利用 1.3.6.1.4.1.4331.2.3.0 5 秒間におけ る、 単一のア プ ラ イ ア ン ス ノ ー ド での CPU の利用率 ( デ ュ アルプ ロ セ ッ サ マシ ンの場合、 CPU の合計利用率 )。 RAM 利用 1.3.6.1.4.1.4331.2.4.1.0 現在使用中の仮想 メ モ リ (RAM) の利用率。 298 | Aventail E-Class SRA 10.7 管理者ガ イ ド 項目 OID 説明 スワ ッ プ利用 1.3.6.1.4.1.4331.2.4.2.0 現在使用中の仮想 メ モ リ ( スワ ッ プ ) の利用率。 ログ利用率 1.3.6.1.4.1.4331.2.9.0 使用 さ れてい る ロ グ フ ァ イル デ ィ ス ク パーテ ィ シ ョ ンの割合。 ピー ク ログ イ ン 1.3.6.1.4.1.4331.2.1.2.0 前回の リ セ ッ ト 以降、 認証 さ れたア ク テ ィ ブ ユーザー セ ッ シ ョ ンの最大数。 リ セ ッ ト 間隔は 24 時間です。 ピー ク接続 1.3.6.1.4.1.4331.2.2.2.0 前回の リ セ ッ ト 以降のア プ ラ イ ア ン スへの同時接続の 最大数。 リ セ ッ ト 間隔は 24 時間です。 内部 イ ン タ ー フ ェ ー 1.3.6.1.4.1.4331.2.5.1.0 スの現在のスルー プッ ト 5 秒間における、 現在の VPN スループ ッ ト ( イ ンバウ ン ト およびアウ ト バン ド ) で、 内部イ ン タ ー フ ェ ース で計測 さ れた値であ り 、 秒あた り の メ ガ ビ ッ ト 数単位 にな り ます。 内部 イ ン タ ー フ ェ ー 1.3.6.1.4.1.4331.2.5.2.0 ス の ピ ー ク ス ルー プッ ト 前回の リ セ ッ ト 以降の、 ピ ー ク VPN 内部 イ ン タ ー フ ェ ース スループ ッ ト ( イ ンバン ド およびアウ ト バン ド )。 秒あた り の メ ガ ビ ッ ト 数単位にな り ます。 外部 イ ン タ ー フ ェ ー 1.3.6.1.4.1.4331.2.5.3.0 スの現在のスルー プッ ト 5 秒間におけ る、 ノ ー ド の外部 イ ン タ ー フ ェ ース で計 測 さ れた、現在の VPN スループ ッ ト ( イ ンバン ド およ びアウ ト バン ド )。秒あた り の メ ガ ビ ッ ト 数単位にな り ます。 外部 イ ン タ ー フ ェ ー 1.3.6.1.4.1.4331.2.5.4.0 ス の ピ ー ク ス ルー プッ ト 前回の リ セ ッ ト 以降の、 ピ ー ク VPN 外部 イ ン タ ー フ ェ ース スループ ッ ト ( イ ンバン ド およびアウ ト バン ド )。 秒あた り の メ ガ ビ ッ ト 数単位にな り ます。 ク ラ ス タ イ ン タ ー 1.3.6.1.4.1.4331.2.5.5.0 フ ェ ー スの現在のス ループ ッ ト 5 秒間 に お け る、 現在の平均 VPN ク ラ ス タ イ ン タ フ ェ ース スループ ッ ト ( イ ンバン ド およびアウ ト バン ド )。 秒あた り の メ ガ ビ ッ ト 数単位にな り ます。 リ セ ッ ト 間隔は 24 時間です。 ク ラ ス タ イ ン タ ー 1.3.6.1.4.1.4331.2.5.6.0 フ ェ ースのピー ク ス ループ ッ ト 前回の リ セ ッ ト 以降の、 ピ ー ク VPN ク ラ ス タ イ ン タ ー フ ェ ース スループ ッ ト ( イ ンバン ド およびアウ ト バン ド )。 秒あた り の メ ガ ビ ッ ト 数単位にな り ます。 リ セ ッ ト 間隔は 24 時間です。 MIB デー タ : サービ ス ヘルス Dell SonicWALL のサー ビ ス ヘルス モ ジ ュ ールの OID では、 ア プ ラ イ ア ン ス で動作す る各サー ビ スのス テ ー タ ス に関す る情報が提供 さ れます。MIB では、サー ビ ス ご と に、サー ビ ス ID、サー ビ スの記述、 サー ビ スの状態 ( 「up」 ま たは 「down」 ) につい て通知 し ます。 項目 OID 説明 サービ ス ID 1.3.6.1.4.1.4331.3.1.1.1.1 AMC のサービ ス ID は 1 です。 1.3.6.1.4.1.4331.3.1.1.1.3 Dell SonicWALL Web プ ロ キ シ サー ビ ス のサー ビ ス ID は 3 です。 1.3.6.1.4.1.4331.3.1.1.1.4 Aventail WorkPlaceAventail WorkPlace のサー ビ ス ID は 4 です。 1.3.6.1.4.1.4331.3.1.1.1.5 syslog-ng (E-Class SRA ア プ ラ イ ア ン ス ロ グ フ ァ イ ルに書き込むプ ロ セス ) のサービ ス ID は 5 です。 シ ス テム管理 | 299 項目 OID 説明 サービ スの記述 1.3.6.1.4.1.4331.3.1.1.2.1 Aventail 管理コ ン ソ ール (AMC) 1.3.6.1.4.1.4331.3.1.1.2.2 ( 廃止 ) ク ラ イ ア ン ト / サーバー ア ク セス サービ ス (AVPN) 1.3.6.1.4.1.4331.3.1.1.2.3 セキ ュ ア Web ア ク セ ス サー ビ ス (ExtraWeb)。 「Web プ ロキシ サービ ス」 と も呼ばれます。 1.3.6.1.4.1.4331.3.1.1.2.4 ASAP WorkPlace。 Aventail Work Place と 同 じ です。 1.3.6.1.4.1.4331.3.1.1.2.5 Syslog-ng (E-Class SRA ア プ ラ イ ア ン ス ロ グ フ ァ イ ルに書き込むプ ロ セス ) 1.3.6.1.4.1.4331.3.1.1.3.1 AMC の現在の状態 : 1 ( ア ッ プ ) または 2 ( ダウン )。 1.3.6.1.4.1.4331.3.1.1.3.3 Web プ ロキシ サービ スの現在の状態 : 1 ( ア ッ プ ) ま たは 2 ( ダウン )。 1.3.6.1.4.1.4331.3.1.1.3.4 Aventail WorkPlace の現在の状態 : 1 ( ア ッ プ ) または 2 ( ダウン )。 1.3.6.1.4.1.4331.3.1.1.3.5 syslog-ng の現在の状態 : 1 ( ア ッ プ ) または 2 ( ダウン )。 サービ スの状態 MIB デー タ : セキ ュ リ テ ィ 履歴モジ ュ ール Dell SonicWALL のセキ ュ リ テ ィ 履歴モ ジ ュ ールの OID では、 ロ グ イ ン お よ びア ク セ ス拒否に 関す る情報が提供 さ れ ます。 項目 OID 説明 ログ イ ン拒否の回数 1.3.6.1.4.1.4331.4.1.0 最近の 24 時間におけ る ログ イ ン拒否の回数。 前回 ロ グ イ ン が拒否 1.3.6.1.4.1.4331.4.2.1.0 さ れたユーザー 前回認証が拒否 さ れたユーザー。 「user@realm」 の形 式にな り ます。 前回 ロ グ イ ン が拒否 1.3.6.1.4.1.4331.4.2.2.0 さ れた時刻 前回ユーザーのア ク セスが拒否 さ れた日付 と 時刻。 こ の文字列の形式は、 Wed Jun 30 21:49:08 2008 と な り 、 ア プ ラ イ ア ン スが構成 さ れてい るの と 同 じ タ イ ム ゾーンにな り ます。 ア ク セス拒否の回数 1.3.6.1.4.1.4331.4.3.0 最近の 24 時間におけ る ア ク セス拒否の回数。 前回ア ク セ スが拒否 1.3.6.1.4.1.4331.4.4.1.0 さ れたユーザー 前回ア ク セ スが拒否 さ れた ユーザー。 「user@realm」 の形式にな り ます。 前回ア ク セ スが拒否 1.3.6.1.4.1.4331.4.4.2.0 さ れた リ ソ ース 前回ア ク セスが拒否 さ れた リ ソ ースの URL、 ホ ス ト : ポー ト 、 または ホ ス ト 前回ア ク セ スが拒否 1.3.6.1.4.1.4331.4.4.3.0 さ れた時刻 前回ユーザーのア ク セスが拒否 さ れた日付 と 時刻。 こ の文字列の形式は、 Wed Jun 30 21:49:08 2008 と な り 、 ア プ ラ イ ア ン スが構成 さ れてい るの と 同 じ タ イ ム ゾーンにな り ます。 300 | Aventail E-Class SRA 10.7 管理者ガ イ ド MIB デー タ : ネ ッ ト ワー ク ト ンネル サービ ス モジ ュ ール Dell SonicWALL NG サーバー モ ジ ュ ールの OID では、 ネ ッ ト ワー ク ト ン ネル サー ビ スのス テ ー タ ス に関す る情報が提供 さ れます。 項目 OID 説明 NG サーバーの状態 1.3.6.1.4.1.4331.5.1.0 ネ ッ ト ワ ー ク ト ン ネ ル サ ー ビ ス の現在の状態 : 「Active」、 「Down」、 「Crashed」 のいずれか。 ク ラ イ ア ン ト ア ド レ 1.3.6.1.4.1.4331.5.2.0 ス プールの数 ネ ッ ト ワー ク ト ン ネル サー ビ ス に割 り 当て ら れてい る ク ラ イ ア ン ト ア ド レ ス プールの数。 ク ラ イ ア ン ト ア ド レ 1.3.6.1.4.1.4331.5.3 ス プール範囲テーブ ル 現在 ア ク テ ィ ブ な IP ア ド レ ス プ ールの数 と その IP ア ド レ ス範囲を示すテーブル。 ク ラ イ ア ン ト ア ド レ 1.3.6.1.4.1.4331.5.3.1 ス プール エ ン ト リ 現在ア ク テ ィ ブ な IP ア ド レ ス プールの数。 ク ラ イ ア ン ト ア ド レ 1.3.6.1.4.1.4331.5.3.1.1.0 ス プール ID IP ア ド レ ス プールに割 り 当て られている ID 番号。 ク ラ イ ア ン ト ア ド レ 1.3.6.1.4.1.4331.5.3.1.2.0 ス プール利用率 ク ラ イ ア ン ト ア ド レ ス プ ールか ら 発行 さ れてい る仮 想 IP ア ド レ ス (VIP) の割合。 ク ラ イ ア ン ト IP ア 1.3.6.1.4.1.4331.5.3.1.3.0 ド レ ス プール開始範 囲 ク ラ イ ア ン ト IP ア ド レ ス プ ール範囲の最初の IP ア ド レ ス。 ク ラ イ ア ン ト ア ド レ 1.3.6.1.4.1.4331.5.3.1.4.0 ス プール終了範囲 ク ラ イ ア ン ト IP ア ド レ ス プ ール範囲の最後の IP ア ド レ ス。 NG SLL ト ン ネ ル の 1.3.6.1.4.1.4331.5.4.0 数 ア ク テ ィ ブ ネ ッ ト ワー ク ト ン ネルの総数。 SSL ト ン ネ ル テ ー 1.3.6.1.4.1.4331.5.5 ブル ネ ッ ト ワー ク ト ン ネル統計を示すテーブル。 1.3.6.1.4.1.4331.5.5.1.1.0 ネ ッ ト ワー ク ト ン ネル セ ッ シ ョ ン に割 り 当て ら れて いる ID 番号。 SSL ト ン ネ ル ユ ー 1.3.6.1.4.1.4331.5.5.1.2.0 ザー ネ ッ ト ワ ー ク ト ン ネ ル セ ッ シ ョ ン に 対応す る ユ ー ザー名。 1.3.6.1.4.1.4331.5.5.1.3.0 ネ ッ ト ワー ク ト ン ネル セ ッ シ ョ ン に対応する仮想 IP ア ド レ ス (VIP)。 ト ン ネルあ た り の フ 1.3.6.1.4.1.4331.5.5.1.4.0 ロー数 ネ ッ ト ワー ク ト ン ネル セ ッ シ ョ ンのデー タ フ ロ ーの 数。 SSL ト ン ネ ル ア ッ 1.3.6.1.4.1.4331.5.5.1.5.0 プ タ イム ネ ッ ト ワー ク ト ン ネル セ ッ シ ョ ンのア ッ プ タ イ ム統 計。 SSL ト ン ネル ID SSL ト ン ネル VIP MIB デー タ : ト ラ ッ プ ト ラ ッ プは、 重要な イ ベ ン ト が発生 し た場合に、 管理者に注意を促すために SNMP エージ ェ ン ト が送信す る メ ッ セ ー ジ で す。 E-Class SRA の MIB を ダ ウ ン ロ ー ド す る には、 メ イ ン のナ ビ ゲー シ ョ ン メ ニ ュ ー で [Services] を ク リ ッ ク し てか ら 、 [SNMP] エ リ ア で [Configure] を ク リ ッ ク し ま す。 [Download E-Class SRA MIB] を ク リ ッ ク し て、 フ ァ イ ル (E-Class シ ス テム管理 | 301 SRACustomMibs.tar) の コ ピ ー を保存 し ます。 項目 MIB フ ァ イル名 ngServerStateChange E - C l a s SRANG-Server s サーバーのコ ア機能は、 ユーザー スペースのプ ロ セス (avssld お よ び avpsd) お よ び 2 つの avevent カ ーネ ル ス レ ッ ド によ っ て変わ り ます。SNMP エージ ェ ン ト は、 こ れ ら のプ ロ セス を監視 し てお り 、 こ れ ら のプ ロ セスのいずれかがダウンする と 、 ト ラ ッ プが ト リ ガー さ れます。 ト ラ ッ プの説明で、 avssld(0) な ど、 影響を 受ける コ ンポーネ ン ト を確認で き ます。 ngclientAddrPoolUtiliza-ti E - C l a s onWarning SRANG-Server s こ の ト ラ ッ プは、ク ラ イ ア ン ト ア ド レ ス プールの使用 量が し き い値を超えた と き に ト リ ガー さ れます。 説明 asapServiceUp E-Class SRAService-Health 単一 ノ ー ド シス テムのサービ ス ( ト ラ ッ プの送信元の IP ア ド レ スで識別 ) が動作 し ています。 こ の ト ラ ッ プ と 一緒に service-Description OID が送信 さ れます。 asapServiceDown E-Class SRAService-Health 単一 ノ ー ド シス テムのサービ ス ( ト ラ ッ プの送信元の IP ア ド レ スで識別 ) がダウン し ています。 こ の ト ラ ッ プ と 一緒に serviceDescription OID が送信 さ れます。 cpuCapacityWarning E-Class SRASystem-Health ヒ ュ ー リ ス テ ィ ッ ク に判定 さ れた、 単一 ノ ー ド シ ス テ ム に 対す る CPU 容量の割合が、 単一 ノ ー ド の容量 (cpuCapacityUtilization) を超え ま し た。 こ の ト ラ ッ プ と 一緒に cpuCapacityUtilization OID が送信 さ れます。 memoryCapacityWarning E-Class SRASystem-Health ヒ ュ ー リ ス テ ィ ッ ク に判定 さ れた、 単一 ノ ー ド シ ス テ ム に 対 す る メ モ リ 容 量 の 割 合 が 容 量 (memoryCapacityUtilization) の 90% を 超 え ま し た。 こ の ト ラ ッ プ と 一緒に memoryCapacityUtilization OID が送信 さ れます。 logCapacityWarning E-Class SRASystem-Health 単一 ノ ー ド シ ス テムで使用 さ れる ロ グ フ ァ イル デ ィ ス ク スペースが、 総容量の 90% を超え ま し た。 こ の ト ラ ッ プ と 一緒に logUtilization OID が送信 さ れます。 userLimitWarning E-Class SRASystem-Health 単一 ノ ー ド シ ス テ ムにおけ る 認証ユーザーの同時接 続数 (currentlyLoggedIn) が ラ イ セ ン ス数制限の 90% を超えた場合に、 通知が生成 さ れます。 userLimitReached E-Class SRASystem-Health 単一 ノ ー ド シ ス テ ム で現在認証 さ れて い る ア ク テ ィ ブ ユーザー セ ッ シ ョ ン数が、 現在の ラ イ セ ン ス制限 (currentlyLoggedIn) に達 し ま し た。 こ の ト ラ ッ プ と 一 緒に currentlyLoggedIn OID が送信 さ れます。 userLimitExceeded E-Class SRASystem-Health 単一 ノ ー ド シ ス テ ムにおけ る 認証ユーザーの同時接 続数が、現在のラ イ セ ン ス制限 (currentlyLoggedIn) と グ レース カ ウン ト の合計に達 し ま し た。 こ の ト ラ ッ プ と 一緒に currentlyLoggedIn OID が送信 さ れます。 asapSystemUp E - C l a s SRASystem-Info s HA ペ ア ではな く 単一のア プ ラ イ ア ン ス : ア プ ラ イ ア ン ス ( ト ラ ッ プの送信元の IP ア ド レ スで識別 ) が再び オン ラ イ ンにな り ま し た。 asapSystemDown E - C l a s SRASystem-Info s HA ペ ア ではな く 単一のア プ ラ イ ア ン ス : ア プ ラ イ ア ン ス ( ト ラ ッ プの送信元の IP ア ド レ スで識別 ) がオ フ ラ イ ンにな り ま し た。 302 | Aventail E-Class SRA 10.7 管理者ガ イ ド MIB デー タ : その他の SNMP デー タ SNMP を 使用 し て標準 MIB フ ァ イ ルか ら 取得可能な、 ア プ ラ イ ア ン ス に関す る その他の情報 を、 次に示 し ます。 項目 OID 説明 サ ー ビ ス ス テ ー タ 1.3.6.1.4.1.2021.2 ス テーブル 次のいずれかのサー ビ ス の ス テ ー タ ス を チ ェ ッ ク し ま す。 戻 り デー タ は、 次のプ ロ セ ス名にな り ます。 プ ロ セ ス ス テー タ スが 「非動作」 と し て リ ス ト さ れている場合、 エ ラ ーが出 さ れます。 • apache2 (Web プ ロキシ サービ ス ) • logserver ( ログ サーバー ) • syslog-ng (syslog) • policyserver ( ポ リ シー サーバー ) ア プ ラ イ ア ン スのバージ ョ ン 8.9.0 以降では、 srvcmond ( ク ラ ス タ マネージ ャ ) が、 AVFM (E-Class SRA フ ロー マ ネージ ャ ) に置 き 換わ り ま し た。 AVFM は、 カ ーネル モ ジ ュ ール と し て実行 さ れる ため、 ア プ ラ イ ア ン スのプ ロ セス リ ス ト には表示 さ れません。 利用可能なデ ィ ス ク 1.3.6.1.4.1.2021.9 容量テーブル 「/」 、 「/var/log」 、 「/upgrade」 の各パーテ ィ シ ョ ンについ て、 デ ィ ス ク 容量の可用性を チ ェ ッ ク し ます。 いずれか のパーテ ィ シ ョ ンのデ ィ ス ク 容量が 10MB 以下にな っ て いる場合、 エ ラ ーが出 さ れます。 負 荷 平 均 チ ェ ッ ク 1.3.6.1.4.1.2021.10 テーブル 1 分、 5 分、 15 分間隔で負荷平均を チ ェ ッ ク し ます。 負 荷平均が 1 分間隔で 12 以上、 5 分間隔および 15 分間隔 で 14 以上の場合、 エ ラ ーが出 さ れます。 ソ フ ト ウ ェ ア バ ー 1.3.6.1.4.1.2021.50 ジ ョ ン番号テーブル Dell SonicWALL シ ス テ ム ソ フ ト ウ ェ ア の現在のバ ー ジ ョ ン を チ ェ ッ ク し ます。 シス テム名 1.3.6.1.2.1.1.1.0 シ ス テムの名前を チ ェ ッ ク し ます。 構成デー タ の管理 ア プ ラ イ ア ン スの構成デー タ は、 単一のエ ク スポー ト アー カ イ ブ (.aea) フ ァ イ ルに保管 さ れま す。 こ の フ ァ イ ルには、 次の構成デー タ が含まれて い ます。 構成デー タ の タ イ プ 説明 ア ク セス ポ リ シー ル ー ル、 リ ソ ー ス、 ユ ー ザ ー と グ ル ー プ、 Aventail WorkPlace シ ョ ー ト カ ッ ト 、 EPC 署名、 ゾーンが含まれ ます。 証明書 証明書、 プ ラ イ ベー ト キー、 証明書パスワー ド が含まれ ます。 Aventail WorkPlace のカ ス タ マ イ ズ デー タ 一般的な表示設定、 カ ス タ ム コ ン テ ン ツ、 カ ス タ ム テ ン プ レー ト が含まれます。 ノ ー ド 固有およびネ ッ ト ワー ク固有の設定 ホス ト 名、 IP ア ド レ ス、 デ フ ォル ト ルー ト 情報、 DNS 設 定、 ク ラ ス タ 設定が含まれます。 シ ス テム管理 | 303 特に、 シ ス テ ム変更 を 行 っ た後、 前の構成に戻す必要があ る よ う な場合、 ア プ ラ イ ア ン スの構 成デー タ を 定期的にバ ッ ク ア ッ プ す る こ と が推奨 さ れま す。 例えば、 新 し い ア ク セ ス制御ルー ル を 追加す る 場合、 最初に構成 を 保存 し て お き 、 変更す る よ う に し ま す。 こ う し て お く と 、 新 し いルールが予定通 り 動作 し な い場合で も 、保存 し て い る ( 動作中の ) 構成に戻す こ と がで き ま す。 構成デー タ を保存、 復旧す る場合、 次のよ う にい く つかの方法があ り ます。 • • • • 注意 構成デー タ を ロ ー カ ル マ シ ン に エ ク スポー ト し て、 その後それを イ ン ポー ト し ます。 エ ク スポー ト では、 構成デー タ 全体が対象に な り ますが、 イ ン ポー ト は部分的に実行す る こ と も で き ま す。 詳細につい ては、 304 ページの 「ロ ー カ ル マ シ ン への現在の構成のエ ク ス ポー ト 」 と 306 ページの 「構成デー タ の イ ン ポー ト 」 を参照 し て く だ さ い。 構成デー タ フ ァ イ ルを ア プ ラ イ ア ン ス に保存 し て リ ス ト ア し ます。 こ の場合、 構成デー タ 全体が対象に な り ま す。 部分的に構成を 保存 し た り リ ス ト ア し た り す る こ と はで き ません。 詳細については、 305 ページの 「現在の構成のア プ ラ イ ア ン スへの保存」 お よ び 307 ペー ジの 「ア プ ラ イ ア ン ス に保管 さ れた構成デー タ の リ ス ト ア ま たはエ ク スポー ト 」 を参照 し て く だ さ い。 構成デー タ を ア プ ラ イ ア ン スのグルー プ に配布 し ます。あ る ア プ ラ イ ア ン スの構成を他のア プ ラ イ ア ン ス に プ ッ シ ュ す る前に、受け取 り 側のア プ ラ イ ア ン スの構成デー タ が自動的に保 存 さ れます。 詳細については、 307 ページの 「構成デー タ の複製」 を参照 し て く だ さ い。 古い Dell SonicWALL ア プ ラ イ ア ン スか ら ポ リ シー を エ ク スポー ト し 、新 し い ア プ ラ イ ア ン ス に イ ン ポー ト で き ます。 た だ し 古い ア プ ラ イ ア ン スのバージ ョ ンが、 新 し い ア プ ラ イ ア ン ス よ り 3 バー ジ ョ ン 以上下まわ る こ と はで き ません。 例えば、 所有す る ア プ ラ イ ア ン スの バージ ョ ンが 9.0.0 で、 新 し い ア プ ラ イ ア ン ス を展開す る場合、 v9.0.0 ア プ ラ イ ア ン スのポ リ シ ー構成 を 新 し いバージ ョ ンのア プ ラ イ ア ン ス に イ ン ポー ト で き ま す。 Dell SonicWALL が使用す るバージ ョ ン番号の規則については、 317 ページの 「シ ス テムのア ッ プ デー ト 」 を 参照 し て く だ さ い。 AMC で生成 さ れた構成デー タ のみが保存ま たはエ ク スポー ト さ れます。 ( ア プ ラ イ ア ン ス内 デ レ ク ト リ にあ る Dell Sonicwall の フ ァ イ ル群を直接編集す る こ と に よ り ) 手動で構成 フ ァ イ ルを編集 し た場合、 その変更は対象に な り ません。 手動に よ る変更は通常あ ま り 行 う こ と はな く 、 Dell SonicWALL テ ク ニ カ ル サポー ト が指示 し た場合に限 っ て行い ます。 ローカル マシ ンへの現在の構成のエ ク スポー ト ア プ ラ イ ア ン スの構成デー タ 全体を ロ ー カ ル マ シ ン に エ ク スポー ト で き ます ( 構成を部分的に エ ク スポー ト す る こ と はで き ません )。 その場合は、 保存 し た変更のみが対象 と な り ます。 構成 を エ ク スポー ト す る時点で保留中だ っ た変更は破棄 さ れます。 現在の構成を エ ク スポー ト す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Maintenance] を ク リ ッ ク し ます。 304 | Aventail E-Class SRA 10.7 管理者ガ イ ド 2. [System configuration] エ リ ア で [Import/Export] を ク リ ッ ク し ます。 3. [Export] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Export Configuration] ページが表示 さ れ ます。 [File Download] ダ イ ア ロ グ ボ ッ ク ス で、 E-Class SRASSLVPN-<date>-<nnn>.aea フ ァ イ ルを開 く か こ れをハー ド デ ィ ス ク に保存す る よ う 求め ら れます。 4. [Save] を ク リ ッ ク し て、 正 し いデ ィ レ ク ト リ を ブ ラ ウズ し ます。 こ こ で設定 し たデ ィ レ ク ト リ に .aea フ ァ イ ルが保存 さ れます。 5. [Export] ページ で [OK] を ク リ ッ ク し ます。 現在の構成のア プ ラ イ ア ン スへの保存 構成デー タ の保存の場合、 エ ク スポー ト と 異な り 、 ア プ ラ イ ア ン ス上にデー タ が保管 さ れます ( 最大で 20 の構成を保管で き ます )。 構成を部分的に エ ク スポー ト す る こ と はで き ず、 適用済み の変更のみがエ ク スポー ト の対象に な り ます。 構成デー タ を ア プ ラ イ ア ン スに保存す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Maintenance] を ク リ ッ ク し ます。 2. [System configuration] エ リ ア で [Import/Export] を ク リ ッ ク し ます。 3. [Saved Configurations] リ ス ト で [New を ク リ ッ ク し ます。 4. [Description] ボ ッ ク ス に こ の構成につい ての説明を記述 し ます。( 複数の管理者がい る場合 ) 保存 し た管理者を識別 し て お く と 良い で し ょ う 。 例えば、 こ のエ ン ト リ に 「Saved by MIS before adding access control rules for mobile devices」 な ど と 記述で き ます。 5. [Save] を ク リ ッ ク し ます。 現在の構成デー タ がア プ ラ イ ア ン ス に保管 さ れ、 [Saved Configurations] リ ス ト に追加 さ れます。 他のア プ ラ イ ア ン スか ら 構成デー タ を 受け取 る よ う ア プ ラ イ ア ン スが設定 さ れて い る 場合、 そ の構成デー タ は、 複製 さ れ る 前に自動的に保存 さ れま す。 詳細につい ては、 307 ペー ジの 「構 成デー タ の複製」 を参照 し て く だ さ い。 シ ス テム管理 | 305 構成デー タ のイ ンポー ト エ ク ス ポー ト では、 常に構成デー タ 全体がその対象に な り ま すが、 イ ン ポー ト は部分的に実行 す る こ と も で き ます ( 例えばポ リ シーお よ び WorkPlace 設定のみの イ ン ポー ト も 可能 )。 次の表では、 既存の AMC 構成に イ ン ポー ト で き る デー タ の タ イ プ を ま と めてい ます。 構成デー タ の タ イ プ 説明 構成の一部 • ア ク セ ス ポ リ シー : ルール、 リ ソ ース、ユーザー と グルー プ、 EPC デバイ ス プ ロ フ ァ イル、 ゾーンが含まれます。 • Aventail WorkPlace の カ ス タ マ イ ズ デー タ : 一般的 な表示設定、 カ ス タ ム コ ン テ ン ツ、 シ ョ ー ト カ ッ ト 、 カ ス タ ム テ ン プ レー ト が含まれます。 • CA 証明書 : SSL で、 認証サーバー接続またはバ ッ ク エ ン ド Web リ ソ ー ス を 保護す る ために使用 さ れる CA 証明書が含ま れます。 • End Point Control : デバ イ ス プ ロ フ ァ イ ルで ク ラ イ ア ン ト 証明書を使用する場合、 部分的な構成には、 ユーザーに証 明書を発行 し た CA が含まれます。 構成のすべて • 部分構成デー タ ( 上記参照 )。 • SSL 証明書 : プ ラ イ ベ ー ト キー お よ びパ ス ワ ー ド を 伴 う AMC お よびア プ ラ イ ア ン ス証明書が含まれます。 • ノ ー ド 固有 お よ び ネ ッ ト ワ ー ク 固有の設定 : ホ ス ト 名、 IP ア ド レ ス、 デ フ ォル ト ルー ト 情報、 DNS 設定、 管理者 のア カ ウン ト 、 ク ラ ス タ 設定が含まれます。 構成のすべて ま たは一部を イ ン ポー ト す る には メモ 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Maintenance] を ク リ ッ ク し ます。 2. [System configuration] エ リ ア で [Import/Export] を ク リ ッ ク し ます。 3. [File name] ボ ッ ク ス で、 適切な フ ァ イ ル (E-Class SRASSLVPN-<date>-<nnn> .aea) のパ ス を指定す るか、 [Browse] を ク リ ッ ク し て こ の フ ァ イ ルを指定 し ます。 4. 上記の表に リ ス ト さ れて い る項目のみを イ ン ポー ト す る場合は、 [Partial configuration] を ク リ ッ ク し ます。 5. [Import] を ク リ ッ ク し ます。 イ ン ポー ト し た構成を有効にす る には、 変更を適用 し な ければ な り ません。 詳細については、 131 ページの 「構成変更の適用」 を参照 し て く だ さ い。 • イ ン ポー ト が失敗 し た場合、管理 メ ッ セージ ロ グ フ ァ イ ルで詳細について調べる こ と がで き ます。 AMC で他の構成変更を保留 し て い る状態で、 構成を イ ン ポー ト す る と 、 保留中の変更が上 書 き さ れて し ま い ます。 古い Dell SonicWALL ア プ ラ イ ア ン スか ら ポ リ シー を イ ン ポー ト で き ます。た だ し 古い ア プ ラ イ ア ン スのバー ジ ョ ン が、 新 し い ア プ ラ イ ア ン ス よ り 3 バージ ョ ン 以上下まわる こ と は で き ません。 例えば、 10.0.0 よ り 前のバージ ョ ンのポ リ シー構成を 10.6.x のア プ ラ イ ア ン ス に イ ン ポー ト す る こ と はで き ません。 構成を単一 ノ ー ド か ら ハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ へ イ ン ポー ト す る こ と はで き ませ ん。 ま た ク ラ ス タ 構成か ら 単一 ノ ー ド へ イ ン ポー ト す る こ と も で き ません。 • • • 306 | Aventail E-Class SRA 10.7 管理者ガ イ ド ア プ ラ イ ア ン スに保管 さ れた構成デー タ の リ ス ト アまたはエ ク スポー ト ア プ ラ イ ア ン ス に保管 さ れて い る 構成 フ ァ イ ル を リ ス ト ア す る 場合は、 以下の手順 を 実行 し ま す。 ( ア プ ラ イ ア ン ス ではな く ロ ー カ ル マ シ ン に保管 さ れた構成デー タ を指定す る 場合は イ ン ポー ト 機能 を 使用 し ま す。 詳細につい ては、 306 ペー ジの 「構成デー タ の イ ン ポー ト 」 を 参照 し て く だ さ い )。 リ ス ト ア で き るのは構成デー タ 全体のみです。 構成を部分的に リ ス ト アす る こ と はで き ません。 ア プ ラ イ ア ン スに保管 さ れてい る構成デー タ を リ ス ト ア ま たはエ ク スポー ト す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Maintenance] を ク リ ッ ク し ます。 2. [System configuration] エ リ ア で [Import/Export] を ク リ ッ ク し ます。 3. [Saved Configurations] リ ス ト か ら 構成デー タ を選択 し ます。 4. 構成デー タ を リ ス ト アす るか、 ロ ー カ ル マ シ ン に エ ク スポー ト し ます。 • [Restore] を ク リ ッ ク し ます。 選択 し た構成の リ ス ト アがす ぐ に始ま り ます。 リ ス ト ア が終わ っ た ら 、 [Pending changes] を ク リ ッ ク し て、 新 し い構成を適用 し ます。 リ ス ト ア さ れた構成は リ ス ト にそのま ま残 さ れます。 • 構成の コ ピ ー を ロ ー カ ル マ シ ン に保存す る と き は、 [Export] を ク リ ッ ク し ます。 構成デー タ の複製 複製は、 設定 を 各ア プ ラ イ ア ン ス で一致 さ せ る ため、 構成デー タ を ア プ ラ イ ア ン スのグルー プ に配布す る プ ロ セ ス です。 複製 を 行 う と き 、 送 り 側のア プ ラ イ ア ン スが構成デー タ を 「 コ レ ク シ ョ ン」 の メ ン バーに配布 し ま す。 例えば、 数千のユーザー を サポー ト す る 外部 ロ ー ド バ ラ ン サの後 ろ に ア プ ラ イ ア ン ス を 構成 し た り 、 構成 を 共有す る 必要があ る 異な る ロ ケーシ ョ ン に ア プ ラ イ ア ン ス を 構成 し た り す る こ と がで き ま す。 た だ し こ れは、 デー タ のマ ー ジ ではあ り ませ ん。 つ ま り 、受け取 り 側のア プ ラ イ ア ン スの設定の一部だけが上書 き さ れ ( 例えばセキ ュ リ テ ィ ポ リ シーお よ び CA 証明書 )、 他の設定は上書 き さ れません ( ネ ッ ト ワー ク 設定 )。 複製 さ れた 構成デー タ に含まれ る 設定の リ ス ト につい ては、 308 ページの 「複製 さ れ る 設定」 を 参照 し て く だ さ い。 設定を共有す る ア プ ラ イ ア ン スの コ レ ク シ ョ ン を定義す る と 、 コ レ ク シ ョ ン内の ノ ー ド は、SSL を 使用 し て内部 イ ン タ ー フ ェ ー ス経由で通信 し ま す。 複製は、 コ レ ク シ ョ ン で共有 さ れた秘密 を知 っ てい る任意のシ ス テムか ら 開始で き ます。 常に、 1 台の送 り 側のア プ ラ イ ア ン ス と 、 1 台 以上の受け取 り 側のア プ ラ イ ア ン スが存在 し ま すが、 受け取 り 側のア プ ラ イ ア ン ス で も 、 共有 さ れてい る秘密を知 っ て いれば送 り 側に な る こ と がで き ます。 こ れは、 E-Class SRA ア プ ラ イ ア ン スのハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ で実行 さ れる同期 と 対照的です。 同期の場合は、 あ る ノ ー ド がマ ス タ ー と し て指定 さ れます。 詳細については、 531 ページの 「ハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ の概要」 を参照 し て く だ さ い。 シ ス テム管理 | 307 複製の要件 E-Class SRA ア プ ラ イ ア ン スの コ レ ク シ ョ ン内の ノ ー ド が構成デー タ を共有す る には、 一定の 要件 を 満た し た上、 特定の構成要素に合致 し て い な ければな り ません。 例えば送 り 側の ノ ー ド には、 受け取 り 側の ノ ー ド と 同 じ 数の WorkPlace サ イ ト がなければな ら ず、 すべてのア プ ラ イ ア ン ス で同 じ WorkPlace サ イ ト 名 を使用 し てい なければな り ません。 構成要素 システム バージ ョ ン 説明 ソ フ ト ウ ェ ア コ レ ク シ ョ ン内のすべての ノ ー ド で同 じ バージ ョ ンのシ ス テム ソ フ ト ウ ェ アが動作 し ていなければな り ません。 メ ジ ャ ー リ リ ース番号 お よびマ イ ナー リ リ ース番号 ( 最初の 2 つの番号 ) が一致 し ていな ければな り ません。 バージ ョ ン番号は、 AMC 画面の左下に表示 さ れ ています。 管理者の役割 プ ラ イ マ リ 管理者のみが、 複製を開始 し て他のア プ ラ イ ア ン スに構 成デー タ を配布で き ます。管理者の役割の詳細については、115 ペー ジの 「管理者ア カ ウ ン ト と 役割の管理」 を参照 し て く だ さ い。 WorkPlace サイ ト 送 り 側の ノ ー ド には、 受け取 り 側の ノ ー ド と 同 じ 数の WorkPlace サ イ ト が な け れ ば な ら ず、 そ れ ぞ れ の ア プ ラ イ ア ン ス が、 同 じ WorkPlace サイ ト 名を共有 し ていなければな り ません。 受け取 り 側 のア プ ラ イ ア ン スのほ と んどの WorkPlace 設定は上書き さ れます ( 例えばレルムお よ び説明な ど ) が、 完全修飾 ド メ イ ン名設定、 SSL 証明書、 およびユーザーが作成 し た カ ス タ ム テ ン プ レー ト は維持 さ れま す。 サ イ ト 設定 を 表示す る 場合は、 メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ー の [Aventail WorkPlace] を ク リ ッ ク し ます。 認証サーバー設定 送 り 側の ノ ー ド で、 受け取 り 側 ノ ー ド の認証サーバー設定を上書き するか保持するか選択で き ます。 • すべてのア プ ラ イ ア ン ス ユーザーが単一のデ ィ レ ク ト リ サーバー を使用する場合は上書き を選択 し ます。 こ う する こ と で、 コ レ ク シ ョ ン内のすべての ノ ー ド が同 じ 設定を共有する よ う にな り ます。 • 認証サーバー設定が上書き さ れない よ う に し たい場合は、 それぞ れの受け取 り 側 ノ ー ド で認証設定を保持する よ う に し ます。 メ モ : 送 り 側の ノ ー ド で PKI 認証サーバーが構成 さ れてい る場合、 デジ タ ル証明書を使用す る認証は例外にな り 、 信頼 さ れる CA 証明 書はコ レ ク シ ョ ンにある他の ノ ー ド では保持で き ません。 IP ア ド レ ス プール 送 り 側の ノ ー ド には、 受け取 り 側の ノ ー ド と 同 じ 数の IP ア ド レ ス プールがなければな ら ず、 送 り 側 ノ ー ド のそれぞれのプールに、 受 け取 り 側の ノ ー ド と 同 じ 名前のプールがなければな り ません。 ただ し こ れらのプール内のデー タ は、 複製の間維持 さ れます。 つま り 、 送 り 側の ノ ー ド が受け取 り 側の ノ ー ド の IP ア ド レ ス プール デー タ を 上書 き す る こ と は あ り ま せ ん。 ア ド レ ス プ ー ル は、 AMC の [Configure Network Tunnel Service] ページ で構成 し ます ( メ イ ン ナビゲーシ ョ ン メ ニ ュ ーの [Services] を ク リ ッ ク し ます )。 コ レ ク シ ョ ン サイ ズ 複製で構成デー タ を共有する E-Class SRA ア プ ラ イ ア ン スのグルー プ内の ノ ー ド 数は最大で 10 です(ハイ アベ イ ラ ビ リ テ ィ ク ラ ス タ の ア プ ラ イ ア ン スのペアは 1 つの ノ ー ド と し て扱います )。 複製さ れる設定 308 | Aventail E-Class SRA 10.7 管理者ガ イ ド 送 り 先 ( 「受け取 り 側」 ) ノ ー ド のほ と ん どの構成デー タ は、 複製の際、 送 り 側の ノ ー ド の設定 で上書 き さ れま す。 こ こ では、 構成デー タ が複製 さ れ る と き に包含お よ び除外 さ れ る 項目につ い て ま と めて い ま す。 受け取 り 側のア プ ラ イ ア ン ス に と っ ては、 複製は他のア プ ラ イ ア ン スの 構成の部分的な イ ン ポー ト と ほぼ同 じ で す。 詳細につい ては、 306 ペー ジの 「構成デー タ の イ ン ポー ト 」 を参照 し て く だ さ い。 複製 さ れる構成デー タ に含まれる項目 • • • • • • • • • • • ア ク セ ス制御ルールお よ び EPC 構成を含む、 セキ ュ リ テ ィ ポ リ シー ネ ッ ト ワー ク リ ソ ース ユーザー と グルー プ レ ルム 認証サーバー (IP ア ド レ スが送 り 側の ノ ー ド と 一致 し な い場合で も 、認証サーバー名は一致 し なければな ら な い ) ア プ ラ イ ア ン スの コ レ ク シ ョ ン を定義す る と き 、 認証サーバー設定を上書 き で き る他、 複製 の際に上書 き さ れな い よ う サーバー設定を対象か ら 排除す る こ と も で き ます (共有 さ れて い る中央サーバーがあ る場合は こ ち ら が一般的 )。詳細については、311 ページの 「 コ レ ク シ ョ ンの定義 -- 高度な設定」 を参照 し て く だ さ い。 WorkPlace シ ョ ー ト カ ッ ト CA 証明書 リ モー ト CDP (CRL 配布ポ イ ン ト ) か ら ダウ ン ロ ー ド し た証明書失効 リ ス ト グ ラ フ ィ カ ル タ ー ミ ナル エージ ェ ン ト (Citrix お よ び Windows Terminal Server) お よ び Web ブ ラ ウザ プ ロ フ ァ イ ルを含む、 エージ ェ ン ト 構成 ロ ー カ ル ユーザー ア カ ウ ン ト シ ン グル サ イ ン オ ン プ ロ フ ァ イ ル 複製 さ れる構成デー タ に含まれない項目 • • • • • • • IP ア ド レ ス、 ルー テ ィ ン グ情報、 名前解決設定 (DNS お よ び WINS)、 ネ ッ ト ワー ク サー ビ スの設定 (NTP、 SSH、 SNMP) な ど を含む、 ネ ッ ト ワー ク 設定 Connect Tunnel ユーザー向けに フ ォ ールバ ッ ク サーバー を構成 し てい る場合、 各ア プ ラ イ ア ン ス には、 別のサーバーで複製 さ れな い一意の リ ス ト が関連付け ら れます。 ラ イ センス フ ァ イル SSL 証明書 WorkPlace 構成デー タ ( カ ス タ マ イ ズ さ れた テ ン プ レ ー ト ) 管理者のユーザー ア カ ウ ン ト お よ び役割の定義 ( オ プ シ ョ ン ) 認証サーバー設定を、 複製の際に上書 き さ れな い よ う 対象か ら 排除す る こ と も で き ます (それぞれのア プ ラ イ ア ン ス に独自の認証サーバーがあ る場合は こ の設定が一般 的です )。 詳細については、 311 ページの 「 コ レ ク シ ョ ンの定義 -- 高度な設定」 を参照 し て く だ さ い。 作業の開始 構成デー タ を 他のア プ ラ イ ア ン ス に送信す る には、 受け取 り 側のア プ ラ イ ア ン ス に、 送 り 側 と 共通す る 特定の設定がな ければな り ません。 受け取 り 側のア プ ラ イ ア ン スの設定は、 複製時に 一部が上書 き さ れ ( 例えばセキ ュ リ テ ィ ポ リ シーお よ び CA 証明書 )、その他の設定は上書 き さ れません ( 例えばネ ッ ト ワー ク 設定 )。 複製を成功 さ せる には、 1 つの方法 と し て、 送 り 側のア プ ラ イ ア ン スの構成デー タ を 取 り 出 し 、 受け取 り 側の各ア プ ラ イ ア ン ス に対 し て部分的な イ ン ポー ト を 行い ま す。 こ の作業は、 ア プ ラ イ ア ン スがす で に十分な構成デー タ を 共有 し て い る 場 合は不要ですが、 こ の方法 を 使用すれば、 受け取 り 側の構成が送 り 側の構成 と 互換性があ る こ と を簡単に保証で き ます。 シ ス テム管理 | 309 ア プ ラ イ ア ン スが一定の設定 を 共有 し て い る こ と が確認で き た ら 、 コ レ ク シ ョ ン の メ ン バー を 定義 し 、 複製を それぞれの メ ンバーで有効に し ます。 ア プ ラ イ ア ン スのグルー プ で構成デー タ 共有を準備す る には 1. 送 り 側のア プ ラ イ ア ン ス と 、 最大 10 台の受け取 り 側のア プ ラ イ ア ン ス を識別 し ます。 ハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ のア プ ラ イ ア ン スのペ アは 1 つの ノ ー ド と し て扱い ます。 2. 送 り 側のア プ ラ イ ア ン ス で、 保留中の変更を適用 し て、 ア プ ラ イ ア ン スの構成デー タ (.aea) の コ ピ ー を エ ク ス ポー ト し 、 ロ ー カ ルに保存 し ま す ( こ の方法に つい ては 304 ペー ジの 「ロ ー カ ル マ シ ンへの現在の構成のエ ク スポー ト 」 を参照 )。 3. 構成デー タ を受け取る各ア プ ラ イ ア ン ス で、ア プ ラ イ ア ン スの構成デー タ の コ ピ ー を エ ク ス ポー ト し 、 バ ッ ク ア ッ プ と し て ロ ー カ ルに保存 し ます。 4. それぞれの受け取 り 側のア プ ラ イ ア ン ス で、送 り 側の構成デー タ の部分 イ ン ポー ト を実行 し ます ( こ の方法につい ては 306 ページの 「構成デー タ の イ ン ポー ト 」 を参照 )。 5. 変更を保存 し て、 受け取 り 側のア プ ラ イ ア ン ス に適用 し ます。 こ れに よ り 、 ア プ ラ イ ア ン ス のすべてが、 複製の成功のために必要な構成デー タ を共有 し て い る状態に な っ て い ます。 すべてのア プ ラ イ ア ン ス で複製を有効にす る には 1. 共有 さ れて い る秘密を使用 し て、受け取 り 側のそれぞれのア プ ラ イ ア ン ス で複製を有効に し ます。 a. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Maintenance] [Replicate] の下にあ る [Configure] ボ タ ン を ク リ ッ ク し ます。 を ク リ ッ ク し て、 b. [Enable replication] を選択 し て、 [Receive configuration data] を ク リ ッ ク し ます。 c. [Shared secret] に、 共有 さ れて い る秘密を入力 し て確認 し ます。 こ の秘密デー タ は、 構成デー タ を送受信す る、 コ レ ク シ ョ ンの各 メ ンバーで必要に な り ます。 d. [ 保存 ] を ク リ ッ ク し て、 変更を適用 し ます。 2. 送 り 側で複製を有効に し ます。 3. 送 り 側のア プ ラ イ ア ン ス で、 コ レ ク シ ョ ンの メ ンバー を定義 し て、 その メ ンバーに対す る接 続 を テ ス ト し ま す (Configure Replication] ペ ー ジ で そ れぞれの対象 ノ ー ド の名前 を ク リ ッ ク し て、 その AMC に接続 し ます )。 手順を追 っ た説明については、 310 ページの 「構 成デー タ を受け取る ア プ ラ イ ア ン スの コ レ ク シ ョ ンの定義」 を参照 し て く だ さ い。 4. [ 保存 ] を ク リ ッ ク し て、 変更を適用 し ます。 構成デー タ を受け取る ア プ ラ イ ア ン スのコ レ ク シ ョ ンの定義 共通の構成デー タ を 受け取 る ア プ ラ イ ア ン スの コ レ ク シ ョ ン を 定義す る 場合、 プ ラ イ マ リ 管理 者が、 構成デー タ を 他のア プ ラ イ ア ン ス に 「プ ッ シ ュ 」 す る ノ ー ド に ロ グ イ ン し 、 コ レ ク シ ョ ンのそれぞれの受け取 り 側 ノ ー ド に対す る名前 と IP ア ド レ ス を指定 し ま す。 ハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ のア プ ラ イ ア ン スのペ アが構成デー タ を受け取る構成に し て い る場合、 こ のペ ア を 1 つの ノ ー ド と し て扱い ます。 構成を共有す る ノ ー ド の コ レ ク シ ョ ン を定義す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Maintenance] を ク リ ッ ク し て、 [Replicate] の下にあ る [Configure] ボ タ ン を ク リ ッ ク し ます。 310 | Aventail E-Class SRA 10.7 管理者ガ イ ド 2. [Enable replication] を選択 し て、 [Send configuration data] を ク リ ッ ク し ます。 3. [Shared secret] に、 共有 さ れて い る秘密を入力 し て確認 し ます。 構成デー タ を送受信す る には、 コ レ ク シ ョ ンのそれぞれの メ ンバーで こ の秘密デー タ が必要に な り ます。 4. コ レ ク シ ョ ンのそれぞれの メ ンバー を定義す る には、 [New] を ク リ ッ ク し て、 [Name] お よ び [Host or IP address] に名前 と ア ド レ ス を それぞれ入力 し ま す。 ア プ ラ イ ア ン スのハ イ ア ベ イ ラ ビ リ テ ィ ペ ア では、 マ ス タ ー ノ ー ド の [Host or IP address] を使用 し ます。 5. それぞれの メ ンバーが正 し く 構成 さ れて い るか確認す る には、 [Test connection] リ ン ク を 使用 し ます。ポ リ シーの複製が成功す る には、次の条件が満た さ れてい なければな り ません。 • 対象 ( 受け取 り 側 ) ノ ー ド が、 送 り 側 ノ ー ド か ら ア ク セ ス で き る こ と 。 • 共有 さ れて い る秘密が正 し く 入力 さ れて い る こ と 。 • すべての ノ ー ド で、 同 じ バージ ョ ンの E-Class SRA ソ フ ト ウ ェ アが動作 し てい る こ と 。 接続 テ ス ト を キ ャ ン セルす る ( 例えば設定 を ア ッ プ デー ト し た い ア プ ラ イ ア ン ス に対 し 、 誤 っ た IP ア ド レ ス を入力 し て い る こ と がわか っ た場合な ど ) 場合は、 [Cancel] を ク リ ッ ク す るか、 [Test connection] リ ン ク を再度 ク リ ッ ク し ます。 6. [ 保存 ] を ク リ ッ ク し て、 変更を適用 し ます。 コ レ ク シ ョ ンの定義 -- 高度な設定 デ フ ォ ル ト の場合、 複製の際、 対象 ノ ー ド の構成デー タ が上書 き さ れま す ( 除外 さ れ る設定の リ ス ト につい ては、 308 ページの 「複製 さ れる設定」 を参照 )。 た だ し 、 認証設定で選択が可能 な場合、 対象 ノ ー ド の認証サーバー設定を上書 き す るか保持す るか選択で き ます。 複製のための認証サーバー設定を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Maintenance] を ク リ ッ ク し て、 [Replicate] の下にあ る [Configure] ボ タ ン を ク リ ッ ク し ます。 2. [Enable replication] と [Send configuration data] が選択 さ れてい る こ と を確認 し ます。 シ ス テム管理 | 311 3. 注意 [Advanced] エ リ ア で、 対象 ノ ー ド の認証サーバー設定を上書 き す るか保持す るか指定 し ま す。 • コ レ ク シ ョ ン内のすべての ノ ー ド で同 じ 設定が共有 さ れる よ う にす る には、 [Nodes in the collection share centralized authentication servers] を ク リ ッ ク し ます。例えば、 支社の所在地に関係な く 、 すべての従業員に対 し て単一の Active Directory サーバー を 保持す る場合、 こ の設定を使用 し ます。 • それぞれの対象 ノ ー ド の認証設定を維持す る には、 [Each node has its own authentication server] を ク リ ッ ク し ます。 例えば、 あ る企業のシ カ ゴ支社 と ロ ン ド ン 支社で独自のデ ィ レ ク ト リ サーバー を保持す る場合、 こ のオ プ シ ョ ン を選択 し て、 送 り 側の ノ ー ド が、 受け取 り 側 ノ ー ド の認証サーバー設定を上書 き し な い よ う に し ます。 複製を成功 さ せる ためには、 別々の認証サーバーがあ る導入環境では、 両方のア プ ラ イ ア ン ス で同 じ 名前の認証サーバー を維持す る必要があ り ます。 実際の認証情報を複製せずに使用 す る認証サーバー を複製す る には、 送 り 側のすべての認証サーバーについて同 じ 名前の認証 サーバーが受け取 り 側で必要があ り ます。 4. メモ [Save] を ク リ ッ ク し ます。 ([Advanced] エ リ ア ) で、対象 ノ ー ド の認証サーバーの設定を上書 き す るか保持す るかを 指定で き ます。 た だ し 、 デジ タ ル証明書を使用 し て認証 し て い る場合は例外に な り ます。 送 り 側に PKI 認証サーバーがあ る場合、信頼 さ れる CA 証明書は コ レ ク シ ョ ンの他の ノ ー ド では保持で き ません。 複製の開始 複製は手動で実行す る こ と も 、 ス ケ ジ ュ ール さ れた日時に自動的に実行す る こ と も で き ます。 即時複製 構成デー タ を 他のア プ ラ イ ア ン ス に配布す る 場合、 プ ラ イ マ リ 管理者が、 構成デー タ を 「プ ッ シ ュ 」 す る ノ ー ド に ロ グ イ ン し ま す。 送 り 側のア プ ラ イ ア ン スの構成変更は、 複製 を 開始す る 前に適用 し てい な ければな り ません。 312 | Aventail E-Class SRA 10.7 管理者ガ イ ド 複製を開始す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Maintenance] を ク リ ッ ク し 、 [Replicate] を ク リ ッ ク し ます。 2. [Replicate Configuration] ページ には、 こ のア プ ラ イ ア ン スか ら 構成デー タ を受け取る よ う 構成 さ れた ア プ ラ イ ア ン スが リ ス ト さ れ、 ([Status] 列に ) 前回の複製がいつ行われたか あ わせ て 表示 さ れ ま す。 設定 を 受 け取 る そ れぞれの ア プ ラ イ ア ン ス に つ い て、 そ の横の チ ェ ッ ク ボ ッ ク ス を選択 し ます ( ハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ のア プ ラ イ ア ン スのペ ア は 1 つの ノ ー ド と し て扱い ます )。 3. [Replicate] を ク リ ッ ク し ます。 • 複製を停止す る場合は、構成が適用 さ れた こ と を示すス テ ー タ ス メ ッ セージが出る前に [Cancel] を ク リ ッ ク し ます。 • 複製が失敗 し た場合は、 [View log] リ ン ク を ク リ ッ ク す る こ と で、 対応す る ア プ ラ イ ア ン スの管理ロ グ を開 く こ と がで き ます。 • 複製が終わ っ た ら 、 対象 ノ ー ド に変更を適用す る必要はあ り ません。 適用は複製プ ロ セ スの一環 と し て自動的に実行 さ れます。 構成デー タ を受け取る ア プ ラ イ ア ン ス では、ア プ ラ イ ア ン スの構成デー タ のバ ッ ク ア ッ プ が ( 複製の前に ) 自動的に作成 さ れま す。 その場合、 受け取 り 側の ノ ー ド で、 AMC の [Import/Export] ページ に移 り 、 複製の日時の他、 送 り 側のア プ ラ イ ア ン スの名前を確認 し ます。 保存 し た構成デー タ を リ ス ト アす る必要があ る場合は、 307 ページの 「ア プ ラ イ ア ン ス に保管 さ れた構成デー タ の リ ス ト ア ま たはエ ク スポー ト 」 を参照 し て く だ さ い。 メモ 複製のスケジ ュール 他の ア プ ラ イ ア ン ス に 構成デ ー タ を プ ッ シ ュ す る た め に 使用 さ れ る ス ケ ジ ュ ール に よ っ て、 デー タ を ア プ ラ イ ア ン ス に送信す る 時間 を 選択で き 、 各ア プ ラ イ ア ン ス に変更 を 適用す る タ イ ミ ン グ を選択で き ます。 直ち に構成デー タ を複製す る よ う に選択す る こ と も で き ます。 複製を ス ケ ジ ュ ールす る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで、 [Maintenance] を ク リ ッ ク し 、 [Maintenance] タ ブの [Replicate] セ ク シ ョ ン で [Replicate...] ボ タ ン を ク リ ッ ク し ま す。[Replicate Configuration] ウ ィ ン ド ウが表示 さ れます。 シ ス テム管理 | 313 メモ [Replicate...] ボ タ ンは、 ア プ ラ イ ア ン スが構成デー タ を送信す る よ う に構成 さ れて い る場合のみ表示 さ れます。 複製の構成に関す る操作については、 『Aventail E-Class SRA 管理者ガ イ ド 』 を参照 し て く だ さ い。 メモ 構成 さ れて い る複製レ シーバーに到達で き な い場合は、 こ のページが表示 さ れる ま で長い時間がかかる場合があ り ます。 現在の時間 と タ イ ムゾー ンがレ シーバー か ら 受信 さ れて い る ため、 現在の時間は不正に な り 、 タ イ ムゾー ンは表示 さ れま せん。 2. [Advanced] 見出 し の右にあ る ます。 下矢印を ク リ ッ ク し て、 [Advanced] セ ク シ ョ ン を展開 し 3. ア プ ラ イ ア ン ス にデー タ を直ち に複製す る には、 [Advanced] セ ク シ ョ ン で [Now] を選択 し ます。 4. 後で ア プ ラ イ ア ン ス にデー タ を複製す る には、 [Advanced] セ ク シ ョ ンの ド ロ ッ プ ダウ ン リ ス ト で日時を選択 し ます。 5. 受け取 り 側のア プ ラ イ ア ン スの リ ス ト で、ア プ ラ イ ア ン スの横のチ ェ ッ ク ボ ッ ク ス を ク リ ッ ク し て、 6. [Delay apply changes on receiver] 例にあ る ド ロ ッ プ ダウ ン リ ス ト か ら 日時を選択 し て、 複製 さ れたデー タ を各ア プ ラ イ ア ン ス にいつ適用す るか選択 し ます。 こ の時間は、 受け取 り 側のア プ ラ イ ア ン スがあ る ロ ー カ ル時間が基準に な り ます。 各 ア プ ラ イ ア ン ス に は、 複 製 し た デ ー タ を 異 な る 時 間 に 適 用 で き ま す が、 こ の 時 間 は [Advanced] セ ク シ ョ ン で指定 さ れた複製時間よ り も 後であ る必要があ り ま す。 314 | Aventail E-Class SRA 10.7 管理者ガ イ ド 7. [Replicate] を ク リ ッ ク し ます。 複製ステー タ ス メ ッ セージ 複製の間、 コ レ ク シ ョ ンの各 ノ ー ド の変更ス テ ー タ スが [Replicate Configuration] ページ に表 示 さ れます。 複製が進行す る割合は、 ネ ッ ト ワー ク レ イ テ ン シ な どの要因に よ り 、 ア プ ラ イ ア ン ス間で異な り ま す。 例えば、 送 り 側のア プ ラ イ ア ン スが、 あ る ア プ ラ イ ア ン ス で複製 を 開始 し た状態で、 他のア プ ラ イ ア ン ス ではすで に確認の状態に な っ て い る と い う こ と も あ り ます。 次の表では、 複製の際に表示 さ れるの と ほぼ同 じ 順序で、 それぞれのス テ ー タ ス メ ッ セージ を 示 し てい ます。 メモ ス テー タ ス メ ッ セージ 説明 「Contacting appliance」 送 り 側のア プ ラ イ ア ン スが、 ア ク セ ス可能か調べ る ため、 コ レ ク シ ョ ンの各 ノ ー ド と 通信 し ています。 「Starting replication」 送 り 側のア プ ラ イ ア ン スが、 共有 さ れて い る 秘密 を 確認 し 、 同時 に、 シ ス テム ソ フ ト ウ ェ アのバージ ョ ンが受け取 り 側のア プ ラ イ ア ン ス と 互換性があ るか確認 し てい ます。 メ ジ ャ ー リ リ ース番号 およびマ イ ナー リ リ ース番号 ( 最初の 2 つの番号 ) が一致 し ていな ければな り ません。 「Comparing configurations」 送信 さ れた構成変更が、 それぞれの対象 ノ ー ド の設定 と 比較 さ れて います。 「Validating configuration」 ア プ ラ イ ア ン スは、 それぞれの対象 ノ ー ド が変更を適用で き る と 判 断 し て い ま す。 複製が先に 進む に は、 一部の構成要素 ( 例 え ば WorkPlace サイ ト およびその名前 ) が一致 し なければな り ません。 こ の構成要素の詳細な リ ス ト については、 308 ページの 「複製の要 件」 を参照 し て く だ さ い。 「Applying configuration」 それぞれの受け取 り 側 ア プ ラ イ ア ン ス の構成デー タ が自動的に バ ッ ク ア ッ プ さ れ、 対象 ノ ー ド に保管 さ れて、 新 し い構成が適用 さ れます。 「Canceling replication」 複製は、新 し い構成デー タ が適用 さ れる前であればいつで も キ ャ ン セルで き ます。 「Replication finished」 複製が正常に完了 し た こ と を示 し ています。 「Replication failed」 複製が失敗 し た こ と を示 し ています。 「Replication canceled」 複製が正常にキ ャ ン セル さ れた こ と を示 し ています。 • • 複製は、 1 つの ノ ー ド で失敗 し て も 、 他のすべて で継続で き ます。 言い換え る と 、 コ レ ク シ ョ ン 内の ノ ー ド は、 他の対象 ノ ー ド で何が起 こ っ て も 、 それに関係な く 、 検査 さ れ 変更が適用 さ れます。 複製プ ロ セ スは、 構成デー タ が適用 さ れる ([Status] 列に 「Applying configuration...」 と い う メ ッ セージが表示 さ れる ) ま ではキ ャ ン セルで き ます。 シ ス テム管理 | 315 構成デー タ 受信者の表示 構成デー タ を受け取る には、310 ページの 「構成デー タ を受け取る ア プ ラ イ ア ン スの コ レ ク シ ョ ン の定義」 で説明 し た よ う に、 最初に 「送 り 側」 のア プ ラ イ ア ン ス で特定のア プ ラ イ ア ン スが コ レ ク シ ョ ン の メ ン バー と し て追加 さ れな ければな り ません。 ア プ ラ イ ア ン スが構成デー タ を 送受信す る よ う 構成 さ れて い るかど う かに関係な く 、 いつで も 他の コ レ ク シ ョ ン メ ンバーの リ ス ト を参照で き ます。 構成デー タ を受け取る よ う 設定 さ れてい る、 ア プ ラ イ ア ン ス上の コ レ ク シ ョ ン メ ンバー を表示す る には AMC のいずれかのページ で、右上隅にあ る [Configuration recipient] リ ン ク を ク リ ッ ク し ます。 [Configure Replication] ページが表示 さ れ、 コ レ ク シ ョ ンのア プ ラ イ ア ン スが リ ス ト さ れます。 構成デー タ を送る よ う 設定 さ れてい る、 ア プ ラ イ ア ン ス上の コ レ ク シ ョ ン メ ンバー を表示す る には AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Maintenance] を ク リ ッ ク し て、 [Replicate] にあ る [Configure] ボ タ ン を ク リ ッ ク し ます。 コ レ ク シ ョ ン に ア プ ラ イ ア ン スのハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ が存在す る場合、 こ の ペ ア を 1 つの ノ ー ド と し て扱い、 単一の名前で参照 し ま す。 メモ システムのア ッ プグレー ド 、 リ セ ッ ト 、 またはロール バッ ク Dell SonicWALL では、 サーバーに新 し い機能 を 追加 し た り 既存の問題に対応 し た り す る 目的 で、 ソ フ ト ウ ェ ア ア ッ プ デー ト を定期的に提供 し ます。 ア ッ プ デー ト は圧縮済みの .bin フ ァ イ ルで提供 さ れ、 ホ ッ ト フ ィ ッ ク ス ま た はア ッ プ グ レ ー ド の形式に な り ます。 • ホ ッ ト フ ィ ッ ク ス は、 ア プ ラ イ ア ン ス ソ フ ト ウ ェ アの特定バージ ョ ン に存在す る問題に対応 す る も ので、 通常は、 元のバージ ョ ンか ら 変更 さ れた フ ァ イ ルのみが含まれます。 316 | Aventail E-Class SRA 10.7 管理者ガ イ ド ア ッ プグ レ ー ド は、 新 し いバージ ョ ンの ソ フ ト ウ ェ ア です ( ア プ ラ イ ア ン スのバージ ョ ン番 号が増加 し ます )。 ア ッ プ グ レ ー ド の イ ン ス ト ールや前バージ ョ ンへのロ ールバ ッ ク は、 AMC を使用 し ます。 • シ ス テムの現在のバージ ョ ン を表示す る と き は、メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [System Status] ま たは [Maintenance] を ク リ ッ ク し ます。 ホ ッ ト フ ィ ッ ク スが適用 さ れて い る場合は、 [hotfixes] リ ン ク を ク リ ッ ク す る こ と で、 リ ス ト を参照で き ま す。 システムのア ッ プデー ト シ ス テム ア ッ プデー ト ( ホ ッ ト フ ィ ッ ク スお よ びア ッ プ グ レ ー ド ) は、 MySonicWALL Web サ イ ト のサポ ー ト ペ ー ジ に置かれ て い ま す。 www.mysonicwall.com に ア ク セ ス す る には、 336 ペー ジの 「MySonicWALL ア カ ウ ン ト の作成」 の説明に従 っ て、 最初に ア カ ウ ン ト を 作成す る 必要があ り ま す。 ア カ ウ ン ト を 作成 し た ら 、 新 し い シ ス テ ム ア ッ プ デー ト と ド キ ュ メ ン ト が Web サ イ ト の [Download Center] で入手で き る よ う に な り ます。 ア ッ プグレー ド の命名規則 Dell SonicWALL では、 ア ッ プ グ レ ー ド フ ァ イ ルのバー ジ ョ ン 番号 を 記述す る と き 、 次の構文 を使用 し てい ます。 upgrade-<major>.<minor>.<micro>-<build>.bin AMC ( すべての AMC ページの左下隅に表示 ) お よ び ク ラ イ ア ン ト ソ フ ト ウ ェ アのバージ ョ ン 番号 も 、 同様のパ タ ー ン を踏襲 し て い ます。 <major>.<minor>-<micro>-<build> 名前 説明 major メ ジ ャ ー リ リ ース番号。 こ の番号のみが存在す る場合、 こ の リ リ ースには、 重要な新 し い機能 と バグ フ ィ ッ ク スが含まれてい る こ と にな り ます。 ま た同時に、 シ ス テム全 体の フル イ メ ージが含まれている こ と にな り ます。 minor マ イ ナー リ リ ース番号。 こ のア ッ プデー ト のマ イ ナー リ リ ース番号。 バージ ョ ン番号 に メ ジ ャ ー番号 と マ イ ナー番号のみが含まれている場合、 こ の リ リ ースには、 追加機能 と バグ フ ィ ッ ク スが含まれてい る こ と にな り ます。 ま た同時に、 シ ス テム全体の フ ル イ メ ージが含まれている こ と にな り ます。 micro マ イ ク ロ リ リ ース番号。 バージ ョ ン番号に メ ジ ャ ー番号、 マ イ ナー番号、 マ イ ク ロ番 号が含まれてい る場合、 こ の リ リ ースには、 ご く わずかの追加機能 と バグ フ ィ ッ ク ス が含まれてい る こ と にな り ます。 ま た同時に、 シ ス テム全体の フ ル イ メ ージが含まれ ている こ と にな り ます。 build Aventail で使用 さ れる内部ビル ド 番号。 すべての リ リ ース にはビ ル ド 番号が含まれま す。 Major Minor Micro Build upgrade-10.6.1-130.bin メモ 適用 さ れて い る ホ ッ ト フ ィ ッ ク ス を確認す る には、 メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [System Status] ま たは [Maintenance] を ク リ ッ ク し ま す。 シ ス テム管理 | 317 ホ ッ ト フ ィ ッ ク スの命名規則 Dell SonicWALL では、 リ リ ース と リ リ ー スの間に、 E-Class SRA ア プ ラ イ ア ン ス上の ソ フ ト ウ ェ ア フ ァ イ ルの一部を置換す る ホ ッ ト フ ィ ッ ク ス を発表す る こ と があ り ます。 ホ ッ ト フ ィ ッ ク スの フ ァ イ ル名では、 次の命名規則を使用 し て い ます。 <component>-hotfix-<version>-<hotfix number>.gz 例えば、 admin-hotfix-10__x-001.gz は、 バージ ョ ン 9.0.0 以降で Aventail 管理 コ ン ソ ール (AMC) の 問題を修正す る ホ ッ ト フ ィ ッ ク ス 001 です。 <component> は次のいずれかに な り ます。 メモ コ ン ポーネ ン ト 説明 admin Aventail 管理コ ン ソ ール (AMC) clt ク ラ イアン ト ソ フ ト ウ ェ ア evpn ト ン ネル サービ ス (Connect Tunnel、 Connect Mobile、 Connect Tunnel サービ ス ) ew 変換、カ ス タ ム ポー ト マ ッ プ、カ ス タ ム FQDN マ ッ プ Web ア ク セス (「extraweb」 ) pform プ ラ ッ ト フ ォ ーム / オペ レーテ ィ ング シ ス テム ps ポ リ シー サーバー ( ア ク セス制御 ) wp Aventail WorkPlace どのホ ッ ト フ ィ ッ ク スが適用 さ れて い るか確認す る には、 メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [System Status] ま たは [Maintenance] を ク リ ッ ク し ます。 ホ ッ ト フ ィ ッ ク スが適用 さ れてい る場合には、 バージ ョ ン番号の横の [hotfixes] リ ン クが表示 さ れます。 こ の リ ン ク を ク リ ッ ク する と 、 適用 さ れてい る ホ ッ ト フ ィ ッ ク スの詳細が表示 さ れます。 システム ア ッ プデー ト のイ ンス ト ール 318 | Aventail E-Class SRA 10.7 管理者ガ イ ド バージ ョ ン ア ッ プ グ レ ー ド お よ びホ ッ ト フ ィ ッ ク ス を手動ま たは決め ら れた日時に自動的に イ ン ス ト ールす る場合は、 AMC を使用で き ます。 ク ラ ス タ の ソ フ ト ウ ェ ア を ア ッ プデー ト す る方 法につい ては、 539 ページの 「 ク ラ ス タ のア ッ プ グ レ ー ド 」 を参照 し て く だ さ い。 手動でのシステム ア ッ プデー ト シ ス テム ア ッ プ デー ト お よ びホ ッ ト フ ィ ッ ク ス を ダウ ン ロ ー ド し て イ ン ス ト ールす る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Maintenance] を ク リ ッ ク し ます。 2. [System software updates] エ リ ア で、 [Update] を ク リ ッ ク し ます。 3. ア ッ プ グ レ ー ド ま たはホ ッ ト フ ィ ッ ク ス フ ァ イ ル を ま だ ダ ウ ン ロ ー ド し て い な い場合は、 Web サ イ ト の リ ン ク を ク リ ッ ク し て、 www.mysonicwall.com か ら 対応す る フ ァ イ ルを ロ ー カ ル フ ァ イ ル シ ス テムにダウ ン ロ ー ド し ま す。 4. ア ッ プデー ト フ ァ イ ルのパス を入力す るか、 [Browse] を ク リ ッ ク し て、 適切な フ ァ イ ルを ブ ラ ウズ し ます。 シ ス テム管理 | 319 5. [Install Update] を ク リ ッ ク し ます。 フ ァ イ ル ア ッ プ ロ ー ド ス テ ー タ ス イ ン ジ ケー タ が表 示 さ れます。 必要で あれば、 [Cancel] を ク リ ッ ク し て ア ッ プ ロ ー ド プ ロ セ ス を停止で き ま す。 フ ァ イ ル ア ッ プ ロ ー ド プ ロ セ スが完了 し た ら 、 ア ッ プデー ト がア プ ラ イ ア ン ス に自動的に イ ン ス ト ール さ れます。 イ ン ス ト ール プ ロ セ スはキ ャ ン セルで き ません。 イ ン ス ト ール プ ロ セ スが完了 し た ら 、 ア プ ラ イ ア ン スが自動的に再起動 し ます。 6. ア プ ラ イ ア ン スが再起動 し た ら 、 AMC に ロ グ イ ン し て、 AMC ホーム ページの左下隅に表 示 さ れて い る新 し いバージ ョ ン番号を確認 し ます。 ア ッ プ グ レ ー ド フ ァ イ ルが不正ま たは破損 し て い る と い う エ ラ ー メ ッ セージが表示 さ れ た ら 、 553 ページの 「ダウ ン ロ ー ド 済みのア ッ プ グ レ ー ド フ ァ イ ルの確認」 の手順に従 っ て、 フ ァ イ ルのチ ェ ッ ク サムが正 し いか確認 し て く だ さ い。 メモ システム ア ッ プデー ト のスケジ ュ ール ソ フ ト ウ ェ アの複製を ス ケ ジ ュ ールす る には 1. MySonicWALL.com か ら ソ フ ト ウ ェ ア フ ァ イ ルを ダウ ン ロ ー ド し ま す。 2. メ イ ン ナ ビゲーシ ョ ン メ ニ ュ ーで、 [Maintenance] を ク リ ッ ク し て、 [Maintenance] タ ブ に あ る [Update] セ ク シ ョ ンの [Update...] ボ タ ン を ク リ ッ ク し ます。 320 | Aventail E-Class SRA 10.7 管理者ガ イ ド a. [Update] ページ で、 [Browse] ボ タ ン を ク リ ッ ク し て、 イ ン ス ト ールす る ソ フ ト ウ ェ ア を選択 し ます。 b. [Advanced] 見出 し の右にあ る 下矢印を ク リ ッ ク し て、 [Advanced] セ ク シ ョ ン を展 開 し ます。 3. 後で ソ フ ト ウ ェ ア フ ァ イ ルを複製す る には、 [At] ラ ジ オ ボ タ ン を ク リ ッ ク し 、 適用す る時 刻 と 日付を選択 し ます。 [Now] ラ ジ オ ボ タ ン を選択 し て、 保留中の変更を即座に適用す る こ と も で き ま す。 4. [Install Update] を ク リ ッ ク し て、 ソ フ ト ウ ェ ア ア ッ プデー ト を選択 し た時間に複製 し ま す。 以前のバージ ョ ンへのロールバ ッ ク AMC か ら も 、 シ ス テ ムに イ ン ス ト ール し た 最新の ア ッ プ デー ト を 取 り 消す こ と が で き ま す。 ア ッ プ デー ト の完了後、 問題が発生 し た場合は、 こ の機能 を 使用 し て、 問題がなか っ た状態ま で ロ ールバ ッ ク で き ます。 ソ フ ト ウ ェ ア イ メ ージのロ ールバ ッ ク を行 う たびに、 最新のシ ス テ ム ア ッ プ デー ト が削除 さ れます。 シ ス テム管理 | 321 注意 シ ス テム を ア ッ プデー ト し た後なん ら かの構成変更を行 っ て い る場合、 ソ フ ト ウ ェ ア イ メ ー ジ を前にバージ ョ ン に リ ス ト アす る と 、 こ のよ う な構成変更 も 消去 さ れます。 一方で、 ホ ッ ト フ ィ ッ ク ス を削除す る と き には、 構成変更は保存 さ れます。 以前のバージ ョ ン に ロ ールバ ッ ク す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Maintenance] を ク リ ッ ク し ます。 2. [System configuration] エ リ ア で [Rollback] を ク リ ッ ク し ます。 3. [Rollback] ページ に表示 さ れて い るバージ ョ ン に ロ ールバ ッ ク す る と き は [OK] を ク リ ッ ク し ま す。 ロ ールバ ッ ク プ ロ セ スが完了 し た ら 、 ア プ ラ イ ア ン スが自動的に再起動 し 、 変更 が適用 さ れます。 4. ア プ ラ イ ア ン スが再起動 し た ら 、 AMC ホーム ページの左下隅に表示 さ れて い る新 し いバー ジ ョ ン番号を確認 し ます。 ア プ ラ イ ア ン スの リ セ ッ ト AMC か ら 、 3 つの リ セ ッ ト レ ベルのいずれかを使用 し て ア プ ラ イ ア ン ス を リ セ ッ ト で き ます。 最 も 簡易な リ セ ッ ト レ ベルでは、 構成情報、 ロ グ フ ァ イ ル、 現在の フ ァ ームウ ェ アが消去 さ れ ますが、前のバージ ョ ン に ロ ールバ ッ ク す る オ プ シ ョ ン を利用で き ます ( 前のバージ ョ ンがロ ー ド さ れてい る場合 )。 2 番目のレ ベルでは、 すべての構成、 ロ グ フ ァ イ ル、 お よ び フ ァ ームウ ェ アがア プ ラ イ ア ン ス か ら 削除 さ れます。 こ のオ プ シ ョ ン では、 前のバージ ョ ン にはロ ールバ ッ ク で き ません。 3 番目のレ ベルで も 、 すべての構成、 ロ グ フ ァ イ ル、 お よ び フ ァ ームウ ェ アが削除 さ れ、 ハー ド ド ラ イ ブが安全な方法で消去 さ れます。 こ の操作には最大で 45 分かかる場合があ り ます。 こ のオ プ シ ョ ン を選択す る場合、 前のバージ ョ ン にはロ ールバ ッ ク で き ません。 次のよ う に リ セ ッ ト が必要 と な る シ ナ リ オがい く つかあ り ます。 マ シ ン を完全に き れいな状態に し て、 別の場所で再利用 し たい場合。 ア プ ラ イ ア ン スが、 取 り 返 し の付かな い状態に な っ た場合。 こ の場合は、 Dell SonicWALL のテ ク ニ カ ル サポー ト にお問い合わせいた だ き 、 他に問題 を 解決す る 方法がな いか を 確認 し て く だ さ い。 ア プ ラ イ ア ン ス を 稼働で き る 状態に復旧す る ための最後の手段 と し て、 リ セ ッ ト は使用す る必要があ り ます。 リ セ ッ ト の後に ア プ ラ イ ア ン ス を構成す る には、 LCD パネルま たはシ リ アル コ ン ソ ールを使用 す る必要があ り ます。 • • ア プ ラ イ ア ン ス を リ セ ッ ト す る には 1. ア プ ラ イ ア ン スの構成デー タ をバ ッ ク ア ッ プ し ます。AMC で こ の操作を実行で き ます (304 ページの 「ロ ー カ ル マ シ ンへの現在の構成のエ ク スポー ト 」 を参照 )。 ま た、 バ ッ ク ア ッ プ ツ ール を 使用 し て こ の操作 を 実行す る こ と も で き ま す (546 ペー ジの 「構成デー タ の保存」 を参照 )。 2. AMC の メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Maintenance] を ク リ ッ ク し ます。 3. ページの上の部分で、 [Reset] を ク リ ッ ク し ます。 4. [Maintenance] > [Reset] ページ で、 [Reset Options] の下にあ る次の 3 つの ラ ジ オ ボ タ ン のいずれかを選択 し ます。 • [Reset the current configuration] - こ のオ プ シ ョ ン に よ っ て現在の構成が消去 さ れま す。 前のバー ジ ョ ン か ら ア ッ プ グ レ ー ド し て い る 場合、 こ のオ プ シ ョ ン を 選択す る と 、 前のバージ ョ ン に ロ ールバ ッ ク で き ます。 322 | Aventail E-Class SRA 10.7 管理者ガ イ ド • [Reset the entire appliance] - こ のオ プ シ ョ ン に よ っ て、 構成が消去 さ れ、 ア プ ラ イ ア ン スのすべての フ ァ ームウ ェ ア バージ ョ ンが削除 さ れます。こ のオ プ シ ョ ン を選択す る 場合、 前のバージ ョ ン にはロ ールバ ッ ク で き ません。 • [Securely erase the hard drive and reset the entire appliance] - こ のオ プ シ ョ ン に よ っ て、 構成が消去 さ れ、 すべての フ ァ ームウ ェ ア バージ ョ ンが削除 さ れ、 ハー ド ド ラ イ ブ が安全に消去 さ れ ま す。 こ のオ プ シ ョ ン を 選択す る 場合、 前のバー ジ ョ ン には ロ ールバ ッ ク で き ません。 ハー ド ド ラ イ ブ を安全に消去す る には、 最大で 45 分ほどかか り ます。 メモ 5. こ のページの下にあ る [Reset] を ク リ ッ ク し て、 リ セ ッ ト 操作を続行 し ます。 リ セ ッ ト を キ ャ ン セルす る には、 [Cancel] を ク リ ッ ク し ます。 スケジ ュ ールの管理 [Maintenance] ページの [Scheduler] タ ブ にはス ケ ジ ュ ール さ れて い る すべてのア ク テ ィ ビ テ ィ が表示 さ れます。 こ れは、 ス ケ ジ ュ ール さ れて い る ア ク テ ィ ビ テ ィ を削除、 再ス ケ ジ ュ ール、 ま たは直ち に実行す る ために使用で き ます。 メモ ス ケ ジ ュ ール さ れて い る ア ク テ ィ ビ テ ィ は、 監査お よ び管理ロ グに も 表示 さ れます。 [Start Date] お よ び [End Date] フ ィ ール ド を使用 し て、 特定の日付範囲で作成ま たは変更 さ れ た ア ク テ ィ ビ テ ィ だ け を 表示で き ま す。 ア ク テ ィ ビ テ ィ は、 列の コ ン テ ン ツ を 基準に昇順ま た は降順で ソ ー ト す る こ と も で き ます。 ア ク テ ィ ビ テ ィ を 削除す る には、 ア ク テ ィ ビ テ ィ を 選択 し て、 [Delete] ボ タ ン を ク リ ッ ク し ま す。 シ ス テム管理 | 323 ア ク テ ィ ビ テ ィ を直ち に実行す る には、 ア ク テ ィ ビ テ ィ を選択 し て、 [Execute Now] ボ タ ン を ク リ ッ ク し ます。 ア ク テ ィ ビ テ ィ を再ス ケ ジ ュ ールす る には、 ア ク テ ィ ビ テ ィ を選択 し て、 [Reschedule] ボ タ ン を ク リ ッ ク し ま す。 カ レ ン ダーが表示 さ れた ら 、 デー タ を 複製す る日付を選択 し 、 [Hour] お よ び [Minute] ス ラ イ ダー を使用 し て、 5 分単位で時刻を選択 し 、 [Done] を ク リ ッ ク し ます。 SSL 暗号化 ア プ ラ イ ア ン ス上のすべての ト ラ フ ィ ッ ク で デー タ のセキ ュ リ テ ィ を 保証す る ため、 暗号が使 用 さ れます。 ア プ ラ イ ア ン スは SSL で使用す る すべてのデー タ を暗号化 し ます。 ネ ッ ト ワー ク ト ラ フ ィ ッ ク を SSL で保護す る には、最低で も 1 つの暗号を使用す る よ う 構成 し な ければな り ません。 セキ ュ リ テ ィ 効果 と パ フ ォ ーマ ン スのバ ラ ン ス を よ く 考え、 使用可能な も のの中か ら 「最上の」 暗号を選択 し ます ( パ フ ォ ーマ ン ス よ り セキ ュ リ テ ィ に重点 を置 く こ と が必要です )。 SSL では軽度の攻撃につい て あ る程度保護で き ま すが、 一般的には、 ユーザーの必要性に合 っ た強力な暗号 を 許可す る よ う サーバー を 構成す る 必要があ り ま す。 暗号には次の よ う な も のが あ り ます。 最 も 優れた も のか ら 順に並んで い ます。 • • • • • 256 ビ ッ ト AES、 SHA-1 128 ビ ッ ト AES、 SHA-1 128 ビ ッ ト RC4、 MD5 128 ビ ッ ト RC4、 SHA-1 ト リ プル DES、 SHA-1 324 | Aventail E-Class SRA 10.7 管理者ガ イ ド SSL 暗号化の構成 こ のア プ ラ イ ア ン ス では、SSL 暗号化な どの暗号アルゴ リ ズム ( つ ま り 暗号 ) を使用 し て、デー タ 転送を保護 し ます。ア プ ラ イ ア ン スの暗号化設定を構成す る と き は、ネ ッ ト ワー ク ト ラ フ ィ ッ ク を 保護す る ため、 最低で も 1 つの暗号 を SSL と 組み合わせて使用で き る よ う に し ま す。 通 常、 ほ と ん どの イ ン ス ト ールの場合、 デ フ ォ ル ト 設定で間に合い ます。 シ ス テム管理 | 325 SSL 暗号化設定を構成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し て、 [SSL Encryption] にあ る [Edit] リ ン ク を ク リ ッ ク し ます。 [Configure SSL Encryption] ページが表示 さ れま す。 2. [Use only government-recommended encryption] チ ェ ッ ク ボ ッ ク ス を選択 し て、 FIPS 1402 と 互換性のあ る暗号化設定を有効に し ます。 こ れに よ り 、 TLS プ ロ ト コ ルのみを使用 し て FIPS 互換の暗号だけ を有効にする よ う にア プ ラ イ ア ン スが構成 さ れます。 こ のオ プ シ ョ ンは、 SSL お よ び CA 証明書が TLS 1.0 か ら ア ッ プ グ レ ー ド さ れて いな い と き に、TLS 1.1 お よ び 1.2 と 対応す る証明書通知を無効にす る ために使用 さ れる こ と が多 く あ り ます。 326 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. FIPS 140-2 互換の暗号化を有効にす る には、 ト ラ フ ィ ッ ク を暗号化す る ために使用す る転 送プ ロ ト コ ルを チ ェ ッ ク し ます。 こ れに よ り 、 TLS プ ロ ト コ ルのみを使用 し て FIPS 互換の 暗号だけ を有効にす る よ う に ア プ ラ イ ア ン スが構成 さ れます。 4. ア プ ラ イ ア ン スが使用す る TLS 転送プ ロ ト コ ルのバージ ョ ン を選択 し ます。 5. ア プ ラ イ ア ン スのア ク セ ス サー ビ ス (Web プ ロ キシ、 ネ ッ ト ワー ク プ ロ キシ、 お よ びネ ッ ト ワー ク ト ン ネル ) が SSL 接続を受け入れる暗号を選択 し ます。 6. LXS 圧縮 を使用 し て暗号化 さ れた SSL デー タ を圧縮す る には、 [Enable compression] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 7. [SSL handshake timeout] ボ ッ ク ス で、 SSL ハン ド シ ェ ー ク が タ イ ムア ウ ト す る ま での秒 数を入力 し ます。 デ フ ォ ル ト は 300 です。 8. [Save] を ク リ ッ ク し ます。 cipher FIPS 認定 こ のセ ク シ ョ ン では、 FIPS モー ド を使用す る よ う に E-Class SRA ア プ ラ イ ア ン ス を構成す る 方法につい て説明 し ます。 FIPS (Federal Information Processing Standard) 140-2 Level 2 は、暗号モ ジ ュ ールを評価す る ための検証標準で あ り 、 暗号セキ ュ リ テ ィ 製品に関す る ソ ース コ ー ド 、 アルゴ リ ズム、 物理的 な セキ ュ リ テ ィ 、 お よ び運用テ ス ト が含まれます。 米国連邦政府は、 FIPS 140-2 標準に対 し て 検証 を 受け て い る 暗号製品 を 購入す る こ と を 求めて い ま す。 国際的な市場では、 ISO19790 が 標準 と し て採用 さ れて い ますが、 こ れは FIPS 140-2 と 同 じ も のです。 E-Class SRA E-Class SRA EX9000、 EX7000、 お よ び EX6000 ア プ ラ イ ア ン スは FIPS 140-2 Level 2 認定を NIST (National Institute of Standards and Technology、United States FIPS 1402 Cryptographic Module Validation Authority) と CSE (Communications Security Establishment、 Canadian FIPS 140-2 Cryptographic Module Authority) か ら 受け てい ます。 FIPS モー ド は、 エ ン ド ユーザーに透過的 と な っ てい ます。 内部的には、 FIPS モー ド に よ っ て、 安全な通信 と シ ス テムの整合性が強制 さ れます。 FIPS の要件 次の項目は、 完全準拠の FIPS を適切に構成す る ために必要です。 • 注意 EX9000、 EX7000、 ま たは EX6000 ア プ ラ イ ア ン ス。 その他のア プ ラ イ ア ン スは、 FIPS の 認定を受けて い ません。 140-2 Level 2 FIPS 認定を受けた E-Class SRA E-Class SRA EX9000、 EX7000、 ま たは EX6000 ア プ ラ イ ア ン ス を購入 し て い る場合は、 改変防止のス テ ィ ッ カ ーがそのま ま張 り 付 け ら れた ま ま に な っ て い る必要があ り ます。 • • • • FIPS を実行す る ラ イ セ ン ス 認証サーバーへの安全な接続 少な く と も 14 文字以上で、 句読文字、 数字、 お よ び大文字 と 小文字か ら な る文字が含まれ る強力な管理者パス ワー ド さ ら に、レ ルム を セ ッ ト ア ッ プす る と き に認証サーバー を指定す る必要があ り ます。 「null auth」 は許可 さ れません。 FIPS モー ド の場合、 Grub シ ェ ルへユーザーが不正に ア ク セ ス で き ない よ う に、 Grub シ ェ ルを無効す る必要があ り ます。 シ ス テム管理 | 327 注意 Grub 構成 フ ァ イ ルの変更は許可 さ れません。 変更す る と 、 デバ イ スが FIPS 互換ではな く な り 、 デバ イ スが稼働 し な く な り ます。 次の状態に な っ て い る と 、 FIPS を有効ま たは完全互換に で き ません。 • • • • • • • • 認証サーバー と の安全ではな い接続 RADIUS 認証サーバーの使用 FIPS で承認 さ れて いな い暗号を使用す る SSL 接続を使用す る LDAP 認証サーバーの使用 FIPS で承認 さ れて いな い暗号を使用す る SSL 接続を使用す る Active Directory 単一 ド メ イ ン認証サーバーの使用 FIPS で承認 さ れてい ない暗号を使用す る SSL 接続を使用す る RSA ClearTrust 認証サー バーの使用 共有シー ク レ ッ ト と し て強力なパス ワー ド を使用 し な い RSA Authentication Manager 認証 サーバーの使用 任意の目的での USB デバ イ スの使用 ク ラ ス タ の使用 ( ハ イ ア ベ イ ラ ビ リ テ ィ ) ク ラ ス タ (HA) は FIPS モー ド ではサポー ト さ れません。 Dell SonicWALL GMS ま たは Viewpoint サーバーの使用 • シ ェ ル コ マ ン ド ラ イ ンか ら の カ ーネル モ ジ ュ ールのロ ー ド ま たはア ン ロ ー ド • シ ェ ル コ マ ン ド ラ イ ンか ら のサー ド パーテ ィ ソ フ ト ウ ェ アの イ ン ス ト ール • シ ェ ル コ マ ン ド ラ イ ンか ら の フ ァ ームウ ェ ア ア ッ プ グ レ ー ド • デバ ッ グ 1、 デバ ッ グ 2、 デバ ッ グ 3 ま たはテ キス ト 形式のロ ギ ン グの使用 • FIPS と 互換性のない シ ス テムに よ っ て生成 さ れる プ ラ イ ベー ト / パブ リ ッ ク のキー ペ アが あ る証明書の使用 • 秘密情報の消去手順の使用 ( 手順が完了す る ま で、物理的に存在 し て い る プ ラ イ マ リ 管理者 がい ない ) FIPS モー ド は、 ラ イ セ ン ス を イ ン ポー ト し た後に自動的に有効にはな り ません。 329 ページの 「FIPS の有効化」 の説明に従 っ て セ ッ ト ア ッ プす る必要があ り ます。 • FIPS 互換の証明書の管理 FIPS モー ド で実行 し て い る EX9000、 EX7000、 ま たは EX6000 ア プ ラ イ ア ン ス で生成 さ れる 鍵は、 FIPS 互換に な り ます。 証明書 ( お よ び関連す るパブ リ ッ ク キー と プ ラ イ ベー ト キー ) を ア プ ラ イ ア ン ス に イ ン ポー ト す る場合、 ユーザーが責任を持 っ て、 こ れ ら も FIPS 互換で あ る こ と を確認す る必要があ り ます。 FIPS モー ド を オ ン ま たはオ フ にす る と き には、 証明書はエ ク ス ポー ト し て、 再 イ ン ポー ト す る必要があ り ます。 エ ク スポー ト と イ ン ポー ト の手順については、 330 ページの 「FIPS 互換の証明書のエ ク スポー ト と イ ン ポー ト 」 を参照 し て く だ さ い。 使用 し てい る証明書が FIPS 互換で あ る こ と を確認す る最良の方法は、 FIPS が有効な ア プ ラ イ ア ン ス ですべての CSR ( 証明書署名要求 ) を生成す る こ と です。 FIPS の違反 ア プ ラ イ ア ン スの整合性はい く つかの方法で検証で き ます。 • すべての FIPS 認定の暗号アルゴ リ ズムが正 し く 稼働 し て い る こ と を検証す る ために、 セル フ テ ス ト が各パワーオ ン サ イ ク ルの段階で実行 さ れます。 いずれかのセル フ テ ス ト が失敗 す る場合、 前面パネルのア ラ ーム LED は点灯 し た ま ま に な り ま す。 特定のエ ラ ーの詳細を 328 | Aventail E-Class SRA 10.7 管理者ガ イ ド • • • • 説明す る メ ッ セージが、 シ リ アル コ ン ソ ールに表示 さ れ、 /var/log/E-Class SRA/fips.log に 記録 さ れ、 ア プ ラ イ ア ン スは停止 し ます。 復旧 し たかど う かを確認す る ためには、 ア プ ラ イ ア ン ス を 一度パワーサ イ ク ルす る必要があ り ま す。 復旧 し て い な い場合、 Dell SonicWALL の カ ス タ マ サポー ト にお問い合わせいた だ き 、 詳細な指示を得る必要があ り ます。 連続す る セル フ テ ス ト が乱数生成器お よ び新 し い認証鍵の生成時に実行 さ れ、 暗号操作の 整合性が検証 さ れま す。 こ れ ら のセル フ テ ス ト が失敗す る 場合、 特定のエ ラ ーの詳細 を 示 す メ ッ セージがシ リ アル コ ン ソ ールに表示 さ れ、/var/log/E-Class SRA/fips.log に記録 さ れ、 シ ス テ ムの整合性 を 確認す る ための厳格な セル フ テ ス ト を 実施す る ために、 ア プ ラ イ ア ン スは再起動 さ れ直ち にパワーサ イ ク ル さ れます。 最重要のすべてのセキ ュ リ テ ィ バ イ ナ リ が署名 さ れハ ッ シ ュ さ れます。 こ れ ら のバ イ ナ リ への改変は、 実行中のシ ス テ ムの各再起動時に直ち に検出 さ れま す。 パワーサ イ ク ル テ ス ト で こ の問題が発生す る場合、 前面パネルのア ラ ーム LED は点灯 し た ま ま に な り ま す。 特 定の改変の詳細を説明す る メ ッ セージが、シ リ アル コ ン ソ ールに表示 さ れ、/var/log/E-Class SRA/fips.log に記録 さ れ、 シ ス テムは停止 し ます。 こ の場合は、 Dell SonicWALL カ ス タ マ サポー ト にお問い合わせいた だ き 、 詳細な指示を得る必要があ り ます。 実行中のシ ス テムで こ の改変が検出 さ れ る と 、 シ ス テムの整合性 を 検証す る 厳格な セル フ テ ス ト を 実行す る た めに、 ア プ ラ イ ア ン スは直ち に再起動 し てパワーサ イ ク ル さ れます。 最重要のすべてのセキ ュ リ テ ィ 構成 フ ァ イ ルが署名 さ れハ ッ シ ュ さ れます。構成 フ ァ イ ルの いずれかを手動で変更す る と (AMC を使用 し て変更す るのではな く )、 ア プ ラ イ ア ン スが直 ち に エ ラ ー状態に移行 し ます。 実行中のシ ス テムで こ の改変が検出 さ れる と 、 シ ス テムの整 合性 を 検証す る厳格な セル フ テ ス ト を 実行す る ために、 ア プ ラ イ ア ン スは直ち に再起動 し てパワーサ イ ク ル さ れま す。 ま た、 パワーサ イ ク ル セル フ テ ス ト 中に改変が検出 さ れた場 合、特定の改変の詳細を示す メ ッ セージがシ リ アル コ ン ソ ールに表示 さ れ、/var/log/E-Class SRA/fips.log に記録 さ れま す。 前面パネルのテ ス ト LED が点灯 し た ま ま に な り 、 シ ス テム のネ ッ ト ワー ク が無効に な り シ ン グル ユーザー モ ー ド に な り ま す。 プ ラ イ マ リ 管理者が、 シ リ アル コ ン ソ ール経由で ロ グ イ ン し て、 有効なバ ッ ク ア ッ プ コ ピ ー を使用 し て改変 さ れ た フ ァ イ ルを リ ス ト アす るか、ア プ ラ イ ア ン ス をパワーサ イ ク ルす る前に構成 リ セ ッ ト を実 行 し ます。 フ ァ ームウ ェ ア ア ッ プ グ レ ー ド フ ァ イ ルは署名 さ れハ ッ シ ュ さ れます。 ア ッ プ グ レ ー ド フ ァ イ ルの整合性チ ェ ッ ク に失敗す る場合、 ア プ ラ イ ア ン スの状態は変更せずに、 ア ッ プ グ レ ー ド プ ロ セ スは中断 さ れます。 エ ラ ーの詳細を示す メ ッ セージが AMC Web ページ に表 示 さ れ、 ア プ ラ イ ア ン スは完全に機能 し た状態のま ま に な り ます。 FIPS の有効化 FIPS モー ド を有効にす る前に、 強力なパス ワー ド 、 認証サーバーへの安全な接続、 お よ び有効 な ラ イ セ ン スが必要 と な り ます。 332 ページの 「 ソ フ ト ウ ェ ア ラ イ セ ン ス」 の説明に従 っ て FIPS ラ イ セ ン ス を取得 し ます。 FIPS 互換にす る ためには、 パス ワー ド の長 さ を 少な く と も 8 文字以上にす る 必要があ り ま す が、 少な く と も 14 文字を使用す る こ と を推奨 し ます。 こ の要件は ソ フ ト ウ ェ ア に よ っ て強制 さ れませんが、 強度の低い管理者パス ワー ド にす る と 攻撃に対 し て脆弱な ま ま に な り ま す。 強力 なパス ワー ド にす る には、 文字、 数字、 お よ び記号 を 含めま す。 こ れは単な る パス ワー ド では な く 、 フ レ ーズ と し て考え ます。 例えば、 「I never saw @ purple cow, I never hope 2C1.」 に は、 こ れ ら 3 つのすべての文字の組み合わせがあ り ます。 シ ス テム権限を持つ管理者だけが FIPS モー ド を変更で き ます。FIPS モー ド に な っ て い る場合、 SSL と 互換性のない アルゴ リ ズム を選択す る こ と はで き ません。 FIPS モー ド で既存の FIPS 互換の証明書を 使用す る には、 FIPS を有効にす る前に証明書 を エ ク スポー ト し て、 FIPS を有効に し た後に再度 イ ン ポー ト し ま す。 330 ページの 「FIPS 互換の 証明書のエ ク スポー ト と イ ン ポー ト 」 を参照 し て く だ さ い。 シ ス テム管理 | 329 FIPS を有効にす る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで、 [General Settings] を ク リ ッ ク し 、 [FIPS Security] を ク リ ッ ク し ます。 2. [Edit] を ク リ ッ ク し ます。 3. ラ イ セ ン ス を イ ン ポー ト し て い る場合には、[Enable FIPS mode] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 メモ 4. 注意 既存の証明書は、 次の手順で シ ス テムか ら 削除 さ れます。 FIPS 互換の証明書を 保持す る には、 必ずエ ク スポー ト し て おいて く だ さ い。 [ 保存 ] を ク リ ッ ク し て、 保留中の変更を適用 し ます。 FIPS モー ド に一度す る と 、 シ ス テム構成 フ ァ イ ルを編集で き な く な り ま す。 ア プ ラ イ ア ン スの構成が FIPS 互換ではない場合、 FIPS 互換に関す る警告を表示す る ア ラ ー ト リ ン ク が上右隅に表示 さ れます。 リ ン ク を ク リ ッ ク す る と 、 ア プ ラ イ ア ン スの構成を FIPS 互換 にす る ための詳細を確認で き ます。 注意 こ のア ラ ー ト が表示 さ れて いな い場合で も 、 ユーザーの環境が FIPS 互換で あ る こ と を意味 し ません。 FIPS 互換にす る ためには、 ユーザーが責任を持 っ てすべての FIPS 前提条件を確 認 し て く だ さ い。 FIPS 互換の証明書のエ ク スポー ト と イ ンポー ト 既存の証明書鍵が FIPS 互換のシ ス テムで生成 さ れてい る こ と が分か っ て お り 、 FIPS が有効化 さ れた後に こ の証明書鍵 を 使用す る 場合には、 こ の証明書鍵 を FIPS を 有効にす る 前に エ ク ス ポー ト し て、 FIPS が有効化 さ れた後に イ ン ポー ト す る必要す る必要があ り ま す。 同 じ よ う に、 シ ス テムで FIPS モ ー ド を 無効にす る計画があ り 、 FIPS を無効に し た後で FIPS 互換の証明書を使用す る には、 FIPS を無効化す る前に証明書を エ ク スポー ト し て FIPS を無効 に し た後で イ ン ポー ト す る必要があ り ます。 FIPS モー ド に移行す る前に証明書を エ ク スポー ト す る には 1. AMC で、 [SSL Setting] > [SSL Certificates] に移動 し ます。 2. エ ク スポー ト す る各証明書について、 次の操作を実行 し ます。 a. [Certificates] の表で、 証明書を選択 し て [Export] ボ タ ン を ク リ ッ ク し ま す。 b. エ ク スポー ト さ れる .p12 フ ァ イ ルを暗号化す る ためのパス ワー ド を入力 し ます。 c. [Save] ボ タ ン を ク リ ッ ク し ます。 FIPS モー ド に移行 し た後に証明書を イ ン ポー ト す る には 1. AMC で、 [SSL Settings] > [SSL Certificates] に移動 し ま す。 2. イ ン ポー ト す る各証明書について、 次の操作を実行 し ます。 a. [Certificates] の表で、 [New] > [Import certificate...] を選択 し ま す。 b. イ ン ポー ト す る証明書 フ ァ イ ルを選択 し ます。 c. .p12 フ ァ イ ルを暗号化 し た と き に使用 し たパス ワー ド を入力 し ま す。 330 | Aventail E-Class SRA 10.7 管理者ガ イ ド d. [Import] ボ タ ン を ク リ ッ ク し ます。 FIPS の無効化 FIPS を オ フ にす る と 、 FIPS の機能が無効に な り 、 FIPS モー ド の前提条件に よ っ て強制 さ れる すべての制約が取 り 除かれます。 注意 警告 : 完全に FIPS 互換にす る ためには、FIPS の重要な セキ ュ リ テ ィ パ ラ メ ー タ を FIPS で 承認 さ れ る 操作 モ ー ド 以外で使用す る こ と は で き ま せん。 こ れ ら のパ ラ メ ー タ のい く つか は、 フ ァ ームウ ェ ア自身に焼 き 付け ら れてい る ため、 完全互換にす る ためには、 秘密情報の 消去を実行す る必要があ り ます。 秘密情報消去のためにハー ド ウ ェ ア を Dell SonicWALL に 返却す るのではな く 、 シ ス テムの使用を継続 し たい場合には、 秘密情報消去の手順を意図的 に省略 し て、 FIPS モー ド を AMC で無効に で き ます。 こ れに よ っ て、 論理的にはすべての構 成可能なパ ラ メ ー タ が破壊 さ れます。 FIPS モー ド を 無効に し た後で既存の FIPS 互換の証明書 を使用す る には、 FIPS を 無効にす る 前に証明書を エ ク スポー ト し て、 FIPS を無効に し た後に再度 イ ン ポー ト し ます。 330 ページの 「FIPS 互換の証明書のエ ク スポー ト と イ ン ポー ト 」 を参照 し て く だ さ い。 FIPS を無効にす る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで、 [General Settings] を ク リ ッ ク し 、 [FIPS Security] を ク リ ッ ク し ます。 2. [Edit] を ク リ ッ ク し ます。 3. [Enable FIPS mode] の横のボ ッ ク ス を ク リ ア し ます。 メモ 4. 注意 既存の証明書は、 次の手順で シ ス テムか ら 削除 さ れます。 FIPS 互換の証明書を 保持す る には、 必ずエ ク スポー ト し て おいて く だ さ い。 [Save] を ク リ ッ ク し て、 保留中の変更を適用 し ます。 ア プ ラ イ ア ン スが再起動 し て、 こ れ ら の変更が適用 さ れます。 すべての接続は終了 し ます。 秘密情報の消去 秘密情報の消去は、 重要なすべてのセキ ュ リ テ ィ パ ラ メ ー タ を永久に破壊す る操作です。 こ れ は、 デ ィ ス ク 全体 を 完全に消去す る こ と で実行 さ れま す。 秘密情報の消去に よ り 、 ア プ ラ イ ア ン スか ら 機密情報 を 取得す る こ と が極めて困難に な り ま す。 ハー ド ウ ェ ア を リ サ イ ク ルす る 前 や、 デー タ の保持 よ り も デー タ のセキ ュ リ テ ィ が重要 と な る ほかの場合に、 こ の操作 を 実行 し ま す。 こ の操作が完了す る と 、 ア プ ラ イ ア ン スはユーザー環境では使用す る こ と はで き な く な り ま す。 サー ビ ス を リ ス ト ア す る た め には、 Dell SonicWALL に ア プ ラ イ ア ン ス を 返却 し て、 ハー ド ウ ェ ア を交換す る必要があ り ます。 ア プ ラ イ ア ン スの秘密情報を消去す る には 1. 管理 コ ン ソ ールの メ イ ン ナ ビ ゲーシ ョ ン ペ イ ンか ら [Maintenance] を選択 し ます。 2. [Reset] を選択 し ます。 シ ス テム管理 | 331 注意 3. [Reset] ページ で、 322 ページの 「ア プ ラ イ ア ン ス を リ セ ッ ト す る には」 の説明にあ る よ う に実行す る リ セ ッ ト の タ イ プ を選択 し ます。 4. リ セ ッ ト 操作が開始 し た ら 、 ア プ ラ イ ア ン スが停止す る ま で、 ア プ ラ イ ア ン スの前で物理的 に待機 し て く だ さ い。 ア プ ラ イ ア ン スが、 秘密情報の消去プ ロ セ ス を完了す る ま で には最大で 45 分かかる場合が あ り ます。 ソ フ ト ウ ェ ア ラ イセンス こ のセ ク シ ョ ン では、 ア プ ラ イ ア ン ス コ ン ポーネ ン ト の ソ フ ト ウ ェ ア ラ イ セ ン ス を管理す る方 法につい て説明 し ます。 E-Class SRA ア プ ラ イ ア ン スは、 次の異な る ラ イ セ ン ス タ イ プ を使用 し ます。 • • 管理テ ス ト ラ イ セ ン ス : E-Class SRA ア プ ラ イ ア ン ス を受け取 っ た ら 、 MySonicWALL に ロ グ イ ン し て、 初期のユーザー ラ イ セ ン ス を 取得す る 必要があ り ま す。 こ の ラ イ セ ン スは 無期限で 1 ユーザー ( 管理者 と 1 人のエ ン ド ユーザー ) が利用で き ます。 こ の ラ イ セ ン ス を使用 し て、 AMC の操作に習熟で き ます。 ま た、 ユーザー数やその他の コ ン ポーネ ン ト を 追加す る ためのア プ ラ イ ア ン ス ラ イ セ ン ス フ ァ イ ルを ア ッ プ ロ ー ド す る ために使用で き ま す。 ア プ ラ イ ア ン ス ラ イ セ ン ス : こ のア プ ラ イ ア ン スは、 同時実行ユーザー数を監視お よ び強 制す る ために使用 さ れま す。 ア ク テ ィ ブ な同時実行ユーザー数の上限 を 超過す る と 、 ア ク テ ィ ブ なユーザー数が ラ イ セ ン ス さ れて い る ユーザー数の上限 を 下回る ま で、 ユーザー ア ク セ スが制限 さ れます。 E-Class SRA ア プ ラ イ ア ン ス では次の環境がサポー ト さ れます。 • EX9000 ア プ ラ イ ア ン ス で最大で 20,000 の同時実行ユーザー数 • EX7000 ア プ ラ イ ア ン ス で最大で 5,000 の同時実行ユーザー数 し か し 、 ラ イ セ ン ス契約に よ っ ては、 特定のユーザー セ ッ シ ョ ン数ま で こ の上限 を 超過す る こ と が許可 さ れる場合があ り ます。 こ の場合には、 ユーザー ア ク セ スは許可 さ れますが、 超過 し た利用につい て記録 さ れま す。 し か し 、 ア ク テ ィ ブ ユーザー数が、 許可 さ れて い る 猶予上限を超過す る と 、 ア ク テ ィ ブ ユーザー数が こ の上限数を下回る ま で、 ユーザー ア ク セ スが制限 さ れます。 ユーザー ア ク セ スが制限 さ れる と 、 VPN へのロ グ イ ン を試行す る ユーザーには、 ラ イ セ ン スの上限数 を 超過 し て い る可能性があ る こ と を 示すエ ラ ー メ ッ セージが表示 さ れ、 ネ ッ ト ワー ク へのア ク セ スが拒否 さ れます。 コ ン ポーネ ン ト ラ イ セ ン ス : ア プ ラ イ ア ン スの コ ン ポーネ ン ト (OnDemand な ど ) の ラ イ セ ン スが失効 し て い る場合、 こ の コ ン ポーネ ン ト の使用を試行す る ユーザーには、 Aventail WorkPlace で エ ラ ー メ ッ セージが表示 さ れます。 Spike ラ イ セ ン スの場合には、 残 り 日数 と 、 こ の ラ イ セ ン ス で対応可能なユーザー数が AMC に表示 さ れます。 335 ペ ー ジ の 「 ラ イ セ ン ス の 管 理」 の 説 明 に 従 っ て、 す べ て の ラ イ セ ン ス フ ァ イ ル を www.mysonicwall.com か ら 取得 し て、 ア プ ラ イ ア ン スに イ ン ポー ト す る必要があ り ます。 • 332 | Aventail E-Class SRA 10.7 管理者ガ イ ド ラ イ セ ン スの計算方法 ア プ ラ イ ア ン スのユーザー ラ イ セ ン スは、 ユーザーではな く 、 ユーザー認証が単位 と な り ます。 例えば、 ユーザーがデス ク ト ッ プ コ ン ピ ュ ー タ で WorkPlace に ロ グ イ ン し 、 モバ イ ル デバ イ スか ら も ロ グ イ ン す る 場合、 ユーザーがア プ ラ イ ア ン ス に よ っ て保護 さ れて い る リ ソ ース に ア ク セ スす る と す ぐ に、 2 つの ラ イ セ ン スが消費 さ れます。 接続が 15 分間ア ク テ ィ ブ ではな い状態が継続す る と 、 ラ イ セ ン スは解放 さ れます。 ア ク テ ィ ブ ではない時間の計算方法は、 ユーザーのア ク セ ス方法に よ っ て異な り ます。 変換、 カ ス タ ム ポー ト マ ッ ピ ン グ、 ま たは カ ス タ ム FQDN マ ッ ピ ン グ Web ア ク セ スの場 合には、 リ ソ ースがア ク セ ス さ れな く な っ てか ら 15 分後に ラ イ セ ン スが解放 さ れま す。 • Connect Tunnel が実行中の場合には、 ア プ ラ イ ア ン スへの接続は開いた ま ま に な り 、 ト ン ネルが稼働 し て い る 限 り は ラ イ セ ン スは使用中に な り ま す。 ト ン ネルが切断 さ れ る と 、 15 分後に ラ イ セ ン スが解放 さ れます。 セ ッ シ ョ ン を制限ま たは終了す る方法はい く つかあ り ます。 • • • • メモ ユーザーが コ ミ ュ ニ テ ィ ベース で利用で き る ラ イ セ ン ス数を制限 し ます。 上限に達す る と 、 それ以上はア プ ラ イ ア ン スのセ ッ シ ョ ン ( お よ び リ ソ ースへのア ク セ ス ) は許可 さ れませ ん。 既存のすべてのセ ッ シ ョ ン を終了 し な い限 り 、 新 し いセ ッ シ ョ ン を ユーザーは開始で き ません。 [Maximum active sessions] 設定の説明につい ては、 63 ページの 「 コ ミ ュ ニ テ ィ への メ ンバーの割 り 当て」 を参照 し て く だ さ い。 [Credential lifetime] ([Configure General Appliance Options] ページの ) に設定 さ れて い る期間に達 し た と き に、 コ ミ ュ ニ テ ィ ベース で ト ン ネル ク ラ イ ア ン ト セ ッ シ ョ ン を終了す る。 [Limit session length to credential lifetime] 設定の説明につい ては、 288 ページの 「ユーザー セ ッ シ ョ ンの終了」 を参照 し て く だ さ い。 ユーザー セ ッ シ ョ ン を手動で終了す る。 AMC でユーザー セ ッ シ ョ ン を終了す る方法につ い ては、 284 ページの 「ユーザー セ ッ シ ョ ン の表示」 を 参照 し て く だ さ い。 ま た、 各セ ッ シ ョ ン タ イ プの詳細につい ては、 287 ページの 「オープ ン セ ッ シ ョ ン と ラ イ セ ン ス を消費 す る セ ッ シ ョ ンの違い」 を参照 し て く だ さ い。 ア プ ラ イ ア ン ス ラ イ セ ン スの上限に達 し たユーザーが、 ク ラ イ ア ン ト 証明書のみを使用 し て認証を試行す る と 、 既存のすべてのセ ッ シ ョ ン を終了す る よ う に求め ら れません。 こ のよ う なユーザーが ラ イ セ ン ス を開放 し て新 し いセ ッ シ ョ ン を開始す る には、既存のセ ッ シ ョ ン を終了す る必要があ り ます。セ ッ シ ョ ン を終了す る ための最良の方法はロ グ ア ウ ト す る こ と です。 そ う し な い場合は、 セ ッ シ ョ ンが タ イ ムア ウ ト し て ラ イ セ ン スが解放 さ れ る ま で 15 分間待機す る必要があ り ます。 ラ イ セ ン ス詳細の表示 AMC では、 ベース ア プ ラ イ ア ン ス ラ イ セ ン ス と 、 OnDemand や Spike ラ イ セ ン ス な どの購入 し し てい る可能性があ る その他のア プ ラ イ ア ン ス コ ン ポーネ ン ト の ラ イ セ ン スの状態を表示で き ます。 こ のセ ク シ ョ ン では、 ラ イ セ ン スの状態の詳細を表示す る方法について説明 し ます。 シ ス テム管理 | 333 ラ イ セ ン スの詳細を表示す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [General Settings] を ク リ ッ ク し て、 [Licensing] に あ る [Edit] リ ン ク を ク リ ッ ク し ます。 [Manage Licenses] ページが表示 さ れます。 334 | Aventail E-Class SRA 10.7 管理者ガ イ ド 2. 表示 さ れる情報を確認 し ます。 ラ イ セ ン ス情報 説明 [Product] ラ イ セ ン スが適用 さ れる Dell SonicWALL ア プ ラ イ ア ン スの タ イ プ。 [License holder] ア プ ラ イ ア ン スの ラ イ セ ン ス を 受け て い る エ ン テ ィ テ ィ の 名前。 最大同時実行ユーザー ベース ア プ ラ イ ア ン ス ラ イ セ ン スに よ っ て許可 さ れる最大 同時実行ユーザー セ ッ シ ョ ンの数。 同時実行ユーザー と は、 1 つの IP ア ド レ スからの 1 回のログ イ ン です。一度ログオ フ し た り 、 ク レデン シ ャルが失効する と 、 ユーザーはカ ウン ト さ れません。 Spike ラ イ セ ン スが有効な場合、 許可 さ れるユーザーの合計 数、 ラ イ セ ン スの残 り 日数、 お よび次の日が開始する時刻が 表示 さ れます。 例えば、 次のよ う に表示 さ れます。 Spike license:100 users, 60 days Active:Currently on day 2 of 60. Day 3 will begin at 10:15 PM on 9/23/09. 必要に応 じ て Spike ラ イ セ ン ス を一時停止で き ます。 詳細に ついては、 338 ページの 「Spike ラ イ セ ン スの管理」 を参照 し て く だ さ い。 [Appliance serial number] ア プ ラ イ ア ン ス に イ ン ポー ト さ れた ラ イ セ ン ス フ ァ イ ルに ある シ リ アル番号。この番号は、AMC の メ イ ン ナビゲーシ ョ ン メ ニ ュ ーの下部に表示 さ れます。 シ リ アル番号は、 テ ク ニ カル サポー ト に問い合わせる と き に必要 と な り ます。 [Authentication code] こ れは ア プ ラ イ ア ン ス ハー ド ウ ェ ア ID で す。 www.mysonicwall.com から 取得 し た ラ イ セ ン スは、 この認証 コ ー ド がある ア プ ラ イ ア ン スでのみ有効にな り ます。 ラ イ セ ン ス フ ァ イルの取得については、 335 ページの 「 ラ イ セ ン ス の管理」 を参照 し て く だ さ い。 [Component and license type] 個々の ソ フ ト ウ ェ ア コ ン ポーネ ン ト ラ イ セ ン スの詳細。 ラ イ セ ン スが一時または評価ラ イ セ ン スである場合は、 失効日 が表示 さ れます。 ラ イ セ ン スの失効日が近づいてい る場合、 またはラ イ セ ン スが失効 し た場合、 こ のエ リ ア と AMC の状 態エ リ アに警告 メ ッ セージが表示 さ れます。 ラ イ セ ン スの管理 こ のセ ク シ ョ ン では、ア プ ラ イ ア ン スの ラ イ セ ン ス を www.mysonicwall.com か ら 入手す る方法 を 説明 し ま す。 例えば、 ア プ ラ イ ア ン ス を 購入す る こ と を 決定 し た後に評価 ラ イ セ ン ス を 永久 ラ イ セ ン ス に置換す る 場合な ど は、 ベー ス ア プ ラ イ ア ン ス ラ イ セ ン ス フ ァ イ ルが必要で す。 Connect お よ び Spike ラ イ セ ン ス な ど別途購入 と ラ イ セ ン スが必要 と な る コ ン ポーネ ン ト がい く つかあ り ます。 別途購入ま たは ラ イ セ ン スが必要な ア プ ラ イ ア ン スや コ ン ポーネ ン ト を 有効にす る 前に、 次の 手順を実行 し な ければな り ません。 1. MySonicWALL ア カ ウ ン ト を作成 し てい ない場合には、 作成 し ま す。 ア プ ラ イ ア ン ス を登録 す る ために ア カ ウ ン ト が必要です (MySonicWALL の登録情報が、 別の企業に販売 さ れた り 共有 さ れた り す る こ と はあ り ません )。 詳細については、 336 ページの 「MySonicWALL ア カ ウ ン ト の作成」 を参照 し て く だ さ い。 シ ス テム管理 | 335 注意 2. デバ イ ス を MySonicWALL で登録 し ます。登録す る と 、 ラ イ セ ン ス フ ァ イ ル、 フ ァ ームウ ェ ア ア ッ プデー ト 、 テ ク ニ カ ル サポー ト 情報な どの重要な リ ソ ース に ア ク セ ス で き ます。 詳 細につい ては、 336 ページの 「E-Class SRA E-Class ア プ ラ イ ア ン スの登録」 を参照 し て く だ さ い。 3. mySonicWALL ア カ ウ ン ト を使用 し て、 ア プ ラ イ ア ン ス に ラ イ セ ン ス を適用 し ま す。 ハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ 環境の場合、 各ア プ ラ イ ア ン ス に別々の ラ イ セ ン ス を 適用す る必 要があ り ます。 詳細については、 337 ページの 「E-Class SRA E-Class ラ イ セ ン スの取得」 を参照 し て く だ さ い。 4. AMC で ラ イ セ ン ス フ ァ イ ルを適用 し ま す。 詳細については、 337 ページの 「E-Class ラ イ セ ン スの適用」 を参照 し て く だ さ い。 ラ イセンス フ ァ イ ルを イ ン ポー ト す る前に、 ア プ ラ イ ア ン スの日付 と 時刻の設定が タ イ ム ゾ ー ン に合わせて正 し く 構成 さ れて い る こ と を あ ら か じ め確認 し て く だ さ い。 シ ス テ ム ク ロ ッ ク 設定の構成の詳細については、 269 ページの 「時刻設定の構成」 を参照 し て く だ さ い。 MySonicWALL ア カウン ト の作成 MySonicWALL ア カ ウ ン ト を 作成す る には、 簡単な オ ン ラ イ ン の登録 フ ォ ームに情報 を 入力 し ます。 登録情報が、 別の企業に販売 さ れた り 共有 さ れた り す る こ と はあ り ません。 mySonicWALL ア カ ウ ン ト を作成す る には 1. Web ブ ラ ウザで、 次の Web サ イ ト に ア ク セ ス し ます。 https://www.mysonicwall.com/ 2. [User Login] セ ク シ ョ ン で、 登録 し て いな いユーザーの方のための リ ン ク を ク リ ッ ク し ま す。 3. ア カ ウ ン ト 情報、 個人情報、 各種の設定情報を入力 し て、 [Submit] を ク リ ッ ク し ます。 有効 な電子 メ ール ア ド レ ス を使用 し て く だ さ い。 4. 画面の指示に従 っ て ア カ ウ ン ト の作成を完了 さ せます。 Dell SonicWALL は、 ス テ ッ プ 3 で 入力 し た電子 メ ール ア ド レ ス にサブ ス ク リ プ シ ョ ン コ ー ド を送信 し ま す。 5. ロ グ イ ン画面に戻 っ て、 新 し いユーザー名 と パス ワー ド で ロ グ イ ン し ます。 6. 電子 メ ールで受け取 っ たサブ ス ク リ プ シ ョ ン コ ー ド を入力 し て、 ア カ ウ ン ト を確認 し ます。 E-Class SRA E-Class アプ ラ イ ア ンスの登録 登録す る と 、 ラ イ セ ン ス フ ァ イ ル、 フ ァ ームウ ェ ア ア ッ プ デー ト 、 ド キ ュ メ ン ト 、 テ ク ニ カ ル サポー ト 情報な どの重要な リ ソ ース に ア ク セ ス で き ます。 MySonicWALL ア カ ウ ン ト に ロ グ イ ン し て、 ア プ ラ イ ア ン ス を登録す る には 1. Web ブ ラ ウザで次の Web サ イ ト に ア ク セ ス し て、ユーザー名 と パス ワー ド を入力 し て ロ グ イ ン し ます。 https://www.mysonicwall.com/ 2. ソ フ ト ウ ェ アのシ リ アル番号を確認 し ます。 シ リ アル番号は、 E-Class SRA E-Class ア プ ラ イ ア ン スの背面に印字 さ れて い ます。 3. シ リ アル番号を入力 し 、 [Next] を ク リ ッ ク し ます。 画面の指示に従い ま す。 4. シ リ アル番号を確認 し ます。 5. こ のア プ ラ イ ア ン スの名前を入力 し ます。 6. こ のア プ ラ イ ア ン スの認証 コ ー ド を入力 し ます。 こ れは、 購入 し た ア プ ラ イ ア ン スのハー ド ウ ェ ア ID に相当 し ま す。 認証 コ ー ド は AMC に表示 さ れま す。 メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーの [General Settings] を ク リ ッ ク し て、 [Licensing] エ リ ア を確認 し ます。 336 | Aventail E-Class SRA 10.7 管理者ガ イ ド 7. [Register] を ク リ ッ ク し て、 続行 し ます。 オ ン ラ イ ン プ ロ ン プ ト に従 っ て、 ア ン ケー ト に情報を入力 し て、 登録プ ロ セ ス を完了 さ せます。 E-Class SRA E-Class ラ イ センスの取得 ア プ ラ イ ア ン スの ラ イ セ ン ス フ ァ イ ルを取得す る には、 MySonicWALL ア カ ウ ン ト に ロ グ イ ン し ます。 ハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ 環境の場合、 各ア プ ラ イ ア ン ス に別々の ラ イ セ ン ス を ダウ ン ロ ー ド す る必要があ り ます。 ア プ ラ イ ア ン スの ラ イ セ ン ス フ ァ イ ルを取得す る には 1. Web ブ ラ ウザで次の Web サ イ ト に ア ク セ ス し て、ユーザー名 と パス ワー ド を入力 し て ロ グ イ ン し ます。 https://www.mysonicwall.com/ 2. ラ イ セ ン スが必要な ア プ ラ イ ア ン スの リ ン ク を ク リ ッ ク し ます。 3. [Service Management] ページ で、 取得す る ラ イ セ ン スのア プ ラ イ ア ン ス ソ フ ト ウ ェ ア バージ ョ ン を ド ロ ッ プ ダウ ン リ ス ト か ら 選択 し ます。 4. ラ イ セ ン ス フ ァ イ ル (.xml) の リ ン ク を ク リ ッ ク し て、 コ ン ピ ュ ー タ に保存 し ます。 ア プ ラ イ ア ン ス を 稼働 し て実行 し た ら 、 こ の ラ イ セ ン ス フ ァ イ ル を AMC を 使用 し て イ ン ポー ト す る必要があ り ます。 E-Class ラ イ センスの適用 E-Class SRA ア プ ラ イ ア ン スは、 1 ユーザー を無期限でサポー ト す る 1 つの管理テ ス ト ラ イ セ ン スが付属 し て出荷 さ れて い ま す。 こ れは、 複数ユーザー環境で ア プ ラ イ ア ン ス を テ ス ト お よ び展開 し た り 、 Spike ラ イ セ ン ス な ど別の コ ン ポーネ ン ト を有効に し た り す る場合は、 有効な ラ イ セ ン ス フ ァ イ ルを適用す る必要があ り ます。 MySonicWALL ア カ ウ ン ト に ロ グ イ ン し て、 ラ イ セ ン ス フ ァ イ ルを取得 し て、 AMC で イ ン ポー ト し ま す。 MySonicWALL か ら ラ イ セ ン ス フ ァ イ ルを取得 し て イ ン ポー ト す る には 1. Web ブ ラ ウザで次の Web サ イ ト に ア ク セ ス し て、ユーザー名 と パス ワー ド を入力 し て ロ グ イ ン し ます。 https://www.mysonicwall.com/ 2. ラ イ セ ン スが必要な ア プ ラ イ ア ン スの リ ン ク を ク リ ッ ク し ます。 3. [Service Management] ページ で、 取得す る ラ イ セ ン スのア プ ラ イ ア ン ス ソ フ ト ウ ェ ア バージ ョ ン を ド ロ ッ プ ダウ ン リ ス ト か ら 選択 し ます。 4. ラ イ セ ン ス フ ァ イ ル (.xml) の リ ン ク を ク リ ッ ク し て、 コ ン ピ ュ ー タ に保存 し ます。 5. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [General Settings] を ク リ ッ ク し て、 [Licensing] にあ る [Edit] リ ン ク を ク リ ッ ク し ます。[Manage Licenses] ページが表示 さ れ ます。 6. [Import License] を ク リ ッ ク し ま す。 シ ス テム管理 | 337 7. [License file] ボ ッ ク ス で、 ラ イ セ ン ス フ ァ イ ルのパス を入力す るか、 [Browse] を ク リ ッ ク し て フ ァ イ ルを指定 し ます。 8. [Upload] を ク リ ッ ク し てか ら 、 右上隅にあ る [Pending changes] リ ン ク を ク リ ッ ク し て、 変更を適用 し ます。 Spike ラ イ センスの管理 Spike License に よ っ て、 災害発生時やその他の ビ ジ ネ ス中断 イ ベ ン ト が発生 し た と き に、 サ ポー ト で き る リ モー ト ユーザー数を一時的に増加 さ せる こ と がで き ます。 こ の機能は別途 ラ イ セ ン ス が提供 さ れ、 予定 し て い る ま た は予定外の イ ベ ン ト に お け る リ モ ー ト ア ク セ ス ト ラ フ ィ ッ ク の急増に対応で き る よ う に し ます。 Spike ラ イ セ ン ス を購入いた だ く と 、指定 さ れたユーザー数お よ び日数について ラ イ セ ン スが有 効に な り ます ( こ れは、Spike ラ イ セ ン ス を有効化 し た と き にサポー ト さ れる ユーザー数の合計 で あ り 、 ベース ラ イ セ ン ス数への追加ではあ り ません )。 必要に応 じ て、 ラ イ セ ン スの仕様 を 一時停止お よ び再開で き ます。 Spike ラ イ セ ン スの有効化、 一時停止、 お よ び再開 メモ 1. mySonicWALL か ら Spike ラ イ セ ン ス を取得 し て、 337 ページの 「E-Class ラ イ セ ン スの適 用」 で説明 さ れて い る よ う に、 ア プ ラ イ ア ン ス に イ ン ポー ト し ます。 2. Spike ラ イ セ ン スが、 AMC の [Manage Licenses] ページ で Available と 表示 さ れます。 さ ら に多 く のユーザーに対応す る必要があ る場合には、 [Activate] を ク リ ッ ク し ます。 対応が 可能なユーザーの最大数が更新 さ れ、 Spike ラ イ セ ン スの タ イ ム ラ イ ンが表示 さ れます。 3. [Pause] を ク リ ッ ク し て、 Spike ラ イ セ ン スの使用を一時停止 し ます。 ま た、 [Resume] を ク リ ッ ク し て使用を再開で き ます。 • ア プ ラ イ ア ン ス には 1 つ以上の Spike ラ イ セ ン ス を ア ッ プ ロ ー ド で き ますが、 有効に で き る ラ イ セ ン スは 1 つのみです。 Spike ラ イ セ ン ス を有効化ま たは一時停止す る と 、 毎回、 24 時間が経過 し てい な く て も 、 有 効な日数が 1 日分減る こ と に な り ます。 • 338 | Aventail E-Class SRA 10.7 管理者ガ イ ド 第8章 End Point Control E-Class SRA ア プ ラ イ ア ン ス では、End Point Control がサポー ト さ れてい ます。 こ れに よ っ て、 重要な デー タ を 保護 し 、 ネ ッ ト ワー ク が信頼 さ れな い環境のデバ イ スか ら ア ク セ ス を 受け て も セキ ュ リ テ ィ が脅か さ れる こ と がな い よ う に対応で き ます。 End Point Control は、 次のよ う に 機能 し ます。 • • • ユーザーの環境が安全で あ る こ と を確認 セ ッ シ ョ ン後、 ユーザー デー タ を PC か ら 削除 重要な リ ソ ースへのア ク セ ス を制御 概要 : End Point Control 従来の VPN ソ リ ュ ーシ ョ ン では通常、企業の ノ ー ト 型 PC か ら の比較的安全な ア ク セ スのみを 許可 し て い ま す。 こ の よ う な環境で、 セキ ュ リ テ ィ 上大 き な懸念に な る のが、 許可 さ れて い な いネ ッ ト ワー ク ア ク セ ス です。 一方 SSL VPN は、 信頼 さ れて いな い環境のデバ イ ス を含むあ ら ゆる Web 対応シ ス テムか ら のア ク セ ス を可能に し ます。 空港やホ テルのキオ ス ク 端末、 従業 員が所有す る PC な どか ら のア ク セ ス に よ り 、 ネ ッ ト ワー ク リ ソ ース に対す る危険性は増大 し ます。 End Point Control では、 次の 3 つの方法で、 信頼 さ れて いな い環境か ら のア ク セ ス を防止 し ま す。 ユーザーの環境が安全で あ る こ と を確認 企業の IT 部門では、 ア ン チウ イ ルス ソ フ ト ウ ェ アや フ ァ イ ア ウ ォ ールや、 その他の不正 ソ フ ト ウ ェ ア ( マルウ ェ ア ) か ら 保護す る ためのセー フ ガー ド を使用 し て、コ ン ピ ュ ー タ を管理下に置 い てい ます。 一方、 管理 さ れて いな い コ ン ピ ュ ー タ の場合、 キース ト ロ ー ク レ コ ーダー、 ウ イ ルス、 ト ロ イ の木馬な ど、 ネ ッ ト ワー ク を危険に陥れる因子が簡単に入 っ て き ます。 E-Class SRA では、ユーザーのエ ン ド ポ イ ン ト で信頼 レ ベルに応 じ て異な る ア ク セ ス レ ベルを 割 り 当て る 「信頼ゾ ー ン」 を定義で き ます。 接続要求は AMC で設定 さ れたデバ イ ス プ ロ フ ァ イ ル と 比較 さ れ、 適切な ゾー ン に割 り 当て ら れます。 End Point Control | 339 セ ッ シ ョ ン後、 ユーザー デー タ を PC か ら 削除 重要なデー タ を、 信頼 さ れて いな い PC に不用意に残 し て し ま う 可能性があ り ます。 例えば、 キ オ ス ク 端末か ら ロ グ イ ン し たユーザーは、 ロ グ ア ウ ト し た後 も 、 PC のキ ャ ッ シ ュ にパス ワー ド 、 ブ ラ ウザの ク ッ キー、 ブ ッ ク マー ク し た URL な どの さ ま ざ ま なデー タ を 残 し ま す。 ま た、 フ ァ イ ルや電子 メ ールの添付 フ ァ イ ルをハー ド デ ィ ス ク 上に う っ か り と 残 し て し ま う こ と も あ り ます。 E-Class SRA のデー タ 保護エージ ェ ン ト は、 PC か ら セ ッ シ ョ ン デー タ を自動的に削 除 し ます。 重要な リ ソ ースへのア ク セ ス を制御 End Point Control ゾ ー ンは、 ア ク セ ス制御ルールで参照で き ます。 例えば、 信頼性の低い EPC ゾー ンか ら 接続が試み ら れた場合は、 重要な リ ソ ースへのア ク セ ス を拒否で き ます。 ア プ ラ イ ア ン スが End Point Control でゾーン と デバイ ス プ ロ フ ァ イ ルを使用する方法 ア プ ラ イ ア ン ス では、 End Point Control が コ ミ ュ ニ テ ィ レ ベルで管理お よ び展開 さ れます。 認 証レルム ( ユーザーがア プ ラ イ ア ン スに入る と き の入口 ) は、 1 つ ま たは複数の コ ミ ュ ニ テ ィ ( 同様のア ク セ ス要件 を持つユーザーま たはグルー プの集ま り ) を 参照 し ます。 一方で コ ミ ュ ニ テ ィ は、 1 つ ま たは複数の EPC ゾ ー ン を参照 し ます。 EPC ゾー ンは、 1 つ ま たは複数のデバ イ ス プ ロ フ ァ イ ル を 参照で き ま す。 デバ イ ス プ ロ フ ァ イ ルは、 ク ラ イ ア ン ト コ ン ピ ュ ー タ 上に 存在す る属性を定義す る も のです。 EPC プ ロ セ スは次のよ う に機能 し ます。 1. ユーザーがア プ ラ イ ア ン ス に接続 し ます。 a. ユーザーが認証レ ルムに ロ グ イ ン し ます。 b. ア プ ラ イ ア ン スが、 そのレ ルムに所属す る コ ミ ュ ニ テ ィ にユーザー を割 り 当て ます。 2. ア プ ラ イ ア ン スは、 ユーザーの コ ン ピ ュ ー タ に照会す る こ と に よ り 、 コ ミ ュ ニ テ ィ のいずれ かの EPC ゾ ー ン で定義 さ れてい る属性 と 一致す る属性 ( デバ イ ス プ ロ フ ァ イ ルに含まれて い る ) があ るかを判定 し ます。 3. デバ イ スが プ ロ フ ァ イ ル と 一致す る 場合、 ア プ ラ イ ア ン スは、 その コ ン ピ ュ ー タ を 特定の EPC ゾ ー ン に分類 し 、 そのゾ ー ン に構成 さ れて い る EPC ツ ールを展開 し ます。 次の図は、 こ のプ ロ セ ス を示 し てい ます。 こ こ では、 ユーザーのデバ イ ス プ ロ フ ァ イ ルが、 ITmanaged と い う End Point Control ゾー ン と 一致 し てい ます。 こ のプ ロ セ スの詳細については、 342 ページの 「End Point Control のシ ナ リ オ」 の最初のシ ナ リ オ を参照 し て く だ さ い。 ࢡࣛࣥࢺࡽ ࣉࣛࣥࢫ᥋⥆ ࡍࡿ ࣭ࣞࢪࢫࢺ࣮ࣜ࢟ ࣭ࣥࢳ࢘ࣝࢫࢯࣇࢺ࢙࢘ ࣭ࣉࣜࢣ࣮ࢩࣙࣥ ࢰ࣮ࣥ ,7PDQDJHG 340 | Aventail E-Class SRA 10.7 管理者ガ イ ド ࢹࣂࢫࣉࣟࣇࣝ ࡢᒓᛶࢆࢳ࢙ࢵࢡࡍࡿ ࢡࣛࣥࢺࢆ(QG 3RLQW&RQWUROࢰ࣮ࣥ 㓄⨨ࡍࡿ ࢡࣛࣥࢺ ࣥࢱࣟࢤ࣮ࢩࣙࣥࢆ ᐇ⾜ࡍࡿ ࢰ࣮ࣥ ศ㢮ࡍࡿ メモ • • End Point Control では、特定の Web ブ ラ ウザ要件があ り ます (Macintosh シ ス テムでは Mozilla Firefox よ り も Safari が推奨 さ れる な ど )。 詳細な要件につい ては、 19 ページの 「 ク ラ イ ア ン ト コ ン ポーネ ン ト 」 を参照 し て く だ さ い。 ロ グ レ ベルが verbose に設定 さ れてい る場合、 ク ラ イ ア ン ト イ ン タ ロ ゲーシ ョ ンの間、 ア プ ラ イ ア ン スがチ ェ ッ ク し て い る デバ イ ス プ ロ フ ァ イ ル属性の他、 それが見つか っ たかど う かが シ ス テ ム メ ッ セ ー ジ ロ グ に記録 さ れ ま す。 詳細に つ い て は、 592 ペ ー ジ の 「End Point Control イ ン タ ロ ゲーシ ョ ン」 を参照 し て く だ さ い。 ゾーンの定義 カ ス タ マ イ ズ可能な 3 種類のゾー ン に加え て、組み込みのゾ ー ン ( デ フ ォ ル ト ) があ り ます。 コ ミ ュ ニ テ ィ には、 拒否、 標準、 隔離の各ゾー ン を入れる こ と がで き ま す。 一方、 デ フ ォ ル ト ゾー ンはグ ロ ーバルです。 コ ミ ュ ニ テ ィ の詳細については、 62 ページの 「レ ルムへの コ ミ ュ ニ テ ィ の追加」 を参照 し て く だ さ い。 ゾー ン タ イ プ 説明 拒否 拒否ゾーンは最初に評価 さ れます。ア プ ラ イ ア ン スは、拒否ゾーンの リ ス ト で、 上か ら順に一致を見つけよ う と し ます。いずれかのデバイ ス プ ロ フ ァ イルが一 致 し た場合 ( 例えばデバイ ス上に特定のフ ァ イルがあ っ た場合 )、そのユーザー は、 ネ ッ ト ワー ク へのア ク セスが拒否 さ れます。 詳細については、 351 ページ の 「拒否ゾー ンの作成」 を参照 し て く だ さ い。 標準 デバイ スが拒否ゾーンの基準 と 一致 し ない場合、 ア プ ラ イ ア ン スは標準ゾーン の リ ス ト で、上から 順に一致を見つけよ う と し ます。一致が見つから ない場合、 デバイ スはデ フ ォル ト ゾーン または隔離ゾーン ( 定義 さ れている場合 ) に入れ られます。 詳細については、 349 ページの 「標準ゾー ンの作成」 を参照 し て く だ さ い。 隔離 プ ロ フ ァ イルが一致 し ないデバイ スは、デ フ ォル ト ゾーン または隔離ゾーンに 入れ られます。 ユーザーに提示 さ れる メ ッ セージ を カ ス タ マ イ ズする こ と も 可 能です。 例えば、 ユーザーのシス テムを セキ ュ リ テ ィ ポ リ シーに準拠 さ せる上 での必要事項を説明で き ます。 コ ミ ュ ニ テ ィ には、 隔離ゾーン を 1 つだけ入れ る こ と がで き ます。 詳細については、 353 ページの 「隔離ゾー ンの作成」 を参 照 し て く だ さ い。 デ フ ォル ト こ のゾーンはグ ロ ーバルであ り 、 AMC で構成 さ れたあ ら ゆる コ ミ ュ ニ テ ィ に 暗黙的に存在 し ます。 デバイ スが他のプ ロ フ ァ イル と 一致 し ない場合、 そのデ バイ ス をデ フ ォル ト ゾーンに 「送 り 込む」 か、 隔離ゾーンに入れるかを選択 し ます。 デ フ ォル ト ゾーンは、 ある程度カ ス タ マ イ ズで き ますが、 削除で き ませ ん。 詳細については、 355 ページの 「デ フ ォ ル ト ゾ ー ン の構成」 を参照 し て く だ さ い。 End Point Control | 341 次の図は、 ゾー ンが評価 さ れる順序を示 し て い ます。 デ フ ォ ル ト ゾー ンのみが必須に な り ます。 ᥋⥆せồ ࣮ࣘࢨ࣮ࢆᣄྰ ࢰ࣮ࣥ㓄⨨ࡍࡿ ࡣ࠸ ࠸࠸࠼ ࠸࠸࠼ ᣄྰࢰ୍࣮ࣥ⮴ ࡍࡿ㸽 ࣮ࣘࢨ࣮ࢆᶆ‽ ࢰ࣮ࣥ㓄⨨ࡍࡿ ࡣ࠸ ᶆ‽ࢰ୍࣮ࣥ⮴ ࡍࡿ㸽 ࣮ࣘࢨ࣮ࢆ㝸㞳ࢰ࣮ࣥࡲࡓࡣ ࢹࣇ࢛ࣝࢺࢰ࣮ࣥ㓄⨨ࡍࡿ End Point Control のシナ リ オ こ のセ ク シ ョ ン では、ゾー ン と デバ イ ス プ ロ フ ァ イ ルを使用 し て、接続要求を分類 し End Point Control ツ ールを ク ラ イ ア ン ト に イ ン ス ト ールす る、 一般的な End Point Control シ ナ リ オにつ い て説明 し ます。 シナ リ オ 1: IT の管理下にある ノ ー ト 型 PC から従業員が接続する場合 こ のシ ナ リ オ では、 最初に従業員が、 IT の管理下にあ る ノ ー ト 型 PC か ら ア プ ラ イ ア ン ス に接 続 し ます。 ࣮ࣘࢨ࣮ㄆド ,7㒊㛛ࡢ⟶⌮ୗ࠶ࡿ ࣀ࣮ࢺᆺ3&ࢆ⏝ࡍࡿ ᚑᴗဨ ࢡࣛࣥࢺࡢࣥࢱࣟࢤ࣮ࢩࣙࣥ ࢹࣂࢫࣉࣟࣇࣝ㐺ྜࡍࡿ㸽 ᳨ฟ ࣞࢪࢫࢺ࣮ࣜ࢟ ࣥࢳ࢘ࣝࢫࢯࣇࢺ࢙࢘ ࣉࣜࢣ࣮ࢩࣙࣥ ࣒ࣞࣝ 「(PSOR\HHVࠖ ࢥ࣑ࣗࢽࢸ ࠕ)XOOWLPH HPSOR\HHVࠖ ㄆドࢧ࣮ࣂ࣮ ࢰ࣮ࣥ ࢹࣂࢫࣉࣟࣇࣝ %ORFNDFFHVV ࢡࣛࣥࢺࡀࠕ7UXVWHG ODSWRSࠖ࠸࠺ྡ๓ࡢࢹࣂ ࢫࣉࣟࣇ୍ࣝ⮴ ࡍࡿ ,7PDQDJHG 6HPLWUXVWHG 8QWUXVWHG ࢡࣛࣥࢺ࡛ࡢ ࢹ࣮ࢱಖㆤࡣせ ユーザーがロ グ イ ン す る と き 、 次のよ う に イ ベ ン ト が発生 し ます。 342 | Aventail E-Class SRA 10.7 管理者ガ イ ド ࢡࣛࣥࢺࡀ ࠕ,7PDQDJHGࠖ࠸࠺ྡ๓ࡢ ᶆ‽ࢰ࣮ࣥศ㢮ࡉࢀࡿ 1. ユーザーがア プ ラ イ ア ン ス に接続 し て Employees employees コ ミ ュ ニ テ ィ に割 り 当て ら れます。 レ ルムに ロ グ イ ン し 、 Full-time 2. ユーザーが認証 さ れる と 、 ク ラ イ ア ン ト デバ イ スの イ ン タ ロ ゲーシ ョ ンが行われ、Full-time employees コ ミ ュ ニ テ ィ が参照す る ゾ ー ン に属す る いずれかのデバ イ ス プ ロ フ ァ イ ルに一 致す る かが判定 さ れま す。 デバ イ ス プ ロ フ ァ イ ルはゾ ー ン ご と に評価 さ れ、 拒否ゾ ー ン か ら 開始 し て、 コ ミ ュ ニ テ ィ に リ ス ト さ れて い る ゾー ンが順に チ ェ ッ ク さ れます。 3. ア プ ラ イ ア ン スは、 ク ラ イ ア ン ト が拒否ゾー ン (Block-access) のデバ イ ス プ ロ フ ァ イ ル と 一致 し な い こ と を 検出 し 、 IT-managed ゾ ー ン の プ ロ フ ァ イ ルのチ ェ ッ ク に進み ま す。 ITmanaged ゾ ー ンは、 Trusted laptop と い う 名前のデバ イ ス プ ロ フ ァ イ ルを参照 し ます。 ア プ ラ イ ア ン スは、ユーザーのデバ イ ス属性が、こ のデバ イ ス プ ロ フ ァ イ ル ( レ ジ ス ト リ キー エ ン ト リ 、ア ン チ ウ イ ルス ソ フ ト ウ ェ ア、ア プ リ ケーシ ョ ン ) と 一致 し てい る と 判定 し ます。 4. ア プ ラ イ ア ン スは、 その一致に基づいて、 こ のデバ イ ス を IT-managed ゾー ン に分類 し 、 こ の コ ミ ュ ニ テ ィ で リ ス ト さ れて い る それ以降のゾー ン については評価 し ません。 5. IT-managed ゾー ンの場合は、 ク ラ イ ア ン ト 側にデー タ 保護ツ ールがな く て も かま い ませ ん。 次に ア プ ラ イ ア ン スは、 Full-time employees コ ミ ュ ニ テ ィ 用に構成 さ れてい る ア ク セ ス エージ ェ ン ト のプ ロ ビ ジ ョ ニ ン グ を行い ます。 こ れに よ り 、ユーザーは適切な ネ ッ ト ワー ク リ ソ ースに ア ク セ ス で き る よ う に な り ます。 シナ リ オ 2: ホーム PC から従業員が接続する場合 こ のシ ナ リ オ では、 最初に従業員が、 ホーム PC か ら ア プ ラ イ ア ン スに接続 し ま す。 ࣮ࣘࢨ࣮ㄆド ࣮࣒࣍3&ࢆ⏝ ࡍࡿᚑᴗဨ ࢡࣛࣥࢺࡢࣥࢱࣟࢤ࣮ࢩࣙࣥ ࢹࣂࢫࣉࣟࣇࣝ㐺ྜࡍࡿ㸽 ᳨ฟ ࣞࢪࢫࢺ࣮ࣜ࢟ ࣥࢳ࢘ࣝࢫࢯࣇࢺ࢙࢘ ࣉࣜࢣ࣮ࢩࣙࣥࣃ࣮ࢯࢼࣝ ࣇ࢛࣮࢘ࣝ ࢡࣛࣥࢺࡀࠕ+RPH GHYLFHࠖ࠸࠺ྡ๓ࡢࢹ ࣂࢫ ࣉࣟࣇࣝ ୍⮴ࡍࡿ ࢹࣂࢫࣉࣟࣇࣝ ࣒ࣞࣝ 「Employeesࠖ ࢥ࣑ࣗࢽࢸ ࠕFull-time employeesࠖ ㄆドࢧ࣮ࣂ࣮ ࢰ࣮ࣥ Block-access IT-managed ࢡࣛࣥࢺࡀ ࠕ6HPLWUXVWHGࠖ࠸࠺ྡ๓ࡢ ᶆ‽ࢰ࣮ࣥศ㢮ࡉࢀࡿ Semi-trusted Untrusted &DFKH&OHDQHUࡀࢡࣛ ࣥࢺ࡛ᒎ㛤ࡉࢀࡿ ユーザーがロ グ イ ン す る と き 、 次のよ う に イ ベ ン ト が発生 し ます。 1. ユーザーがア プ ラ イ ア ン ス に接続 し て Employees employees コ ミ ュ ニ テ ィ に割 り 当て ら れます。 レ ルムに ロ グ イ ン し 、 Full-time 2. ユーザーが認証 さ れる と 、 ク ラ イ ア ン ト デバ イ スの イ ン タ ロ ゲーシ ョ ンが行われ、Full-time employees コ ミ ュ ニ テ ィ が参照す る ゾ ー ン に属す る いずれかのデバ イ ス プ ロ フ ァ イ ルに一 致す る かが判定 さ れま す。 デバ イ ス プ ロ フ ァ イ ルはゾ ー ン ご と に評価 さ れ、 拒否ゾ ー ン か ら 開始 し て、 コ ミ ュ ニ テ ィ に リ ス ト さ れて い る ゾー ンが順に チ ェ ッ ク さ れます。 End Point Control | 343 3. こ のシ ナ リ オ では、 ク ラ イ ア ン ト が拒否ゾー ン (Block-access) お よ び標準ゾ ー ン (ITmanaged) のデバ イ ス プ ロ フ ァ イ ル と 一致 し な い こ と が検出 さ れ、リ ス ト 内の次のプ ロ フ ァ イ ル (Semi-Trusted) のチ ェ ッ ク に進みます。 4. Semi-managed ゾ ー ンは、Home device と い う 名前のデバ イ ス プ ロ フ ァ イ ルを参照 し ます。 ア プ ラ イ ア ン スは、 ユーザーのデバ イ ス属性 ( レ ジ ス ト リ キー エ ン ト リ 、 ア ン チウ イ ルス ソ フ ト ウ ェ ア、 ア プ リ ケーシ ョ ン ) が、 こ のデバ イ ス プ ロ フ ァ イ ル と 一致 し てい る と 判定 し ます。 5. ア プ ラ イ ア ン スは、 その一致に基づいて、 こ のデバ イ ス を Semi-trusted ゾー ン に分類 し 、 こ の コ ミ ュ ニ テ ィ のそれ以降のゾー ン については評価 し ません。 6. Semi-trusted ゾ ー ンの場合は、 ク ラ イ ア ン ト 側にデー タ 保護ツ ールが必要 と な る ため、 ア プ ラ イ ア ン スは ク ラ イ ア ン ト に Cache Cleaner を展開 し ます。 次にア プ ラ イ ア ン スは、 Fulltime employees コ ミ ュ ニ テ ィ 用に構成 さ れてい る ア ク セ ス エージ ェ ン ト のプ ロ ビ ジ ョ ニ ン グ を 行い ま す。 こ れに よ り 、 ユーザーは適切な ネ ッ ト ワー ク リ ソ ース に ア ク セ ス で き る よ う に な り ます。 シナ リ オ 3: キオス ク端末から従業員が接続する場合 こ のシ ナ リ オ では、 最初に従業員がキオ ス ク 端末か ら ア プ ラ イ ア ン ス に接続 し ます。 ࣮ࣘࢨ࣮ㄆド ࢟࢜ࢫࢡ➃ᮎࢆ ⏝ࡍࡿᚑᴗဨ ࢡࣛࣥࢺࡢࣥࢱࣟࢤ࣮ࢩࣙࣥ ࢹࣂࢫࣉࣟࣇࣝ㐺ྜࡍࡿ㸽 ᳨ฟ ࡞ࡋ ࢹࣂࢫࣉࣟࣇࣝ ࣒ࣞࣝ 「(PSOR\HHVࠖ ࢥ࣑ࣗࢽࢸ ࠕ)XOOWLPH HPSOR\HHVࠖ ㄆドࢧ࣮ࣂ࣮ ࢰ࣮ࣥ Block-access IT-managed ୍⮴ࡍࡿࢹࣂࢫ ࣉࣟࣇࣝࡀ࡞࠸ Semi-trusted Untrusted ࢡࣛࣥࢺࡀ ࠕ8QWUXVWHGࠖ࠸࠺ྡ๓ࡢ㝸 㞳ࢰ࣮ࣥศ㢮ࡉࢀࡿ ࢜ࣉࢩ࡛ࣙࣥࠊࢹࣇ࢛ࣝࢺ ࢰ࣮ࣥࢆ⏝ࡋ࡚ࠕ㏦ࡾ㎸ࡴࠖ ࡇࡶྍ⬟ ユーザーがロ グ イ ン す る と き 、 次のよ う に イ ベ ン ト が発生 し ます。 1. ユーザーがア プ ラ イ ア ン ス に接続 し て Employees employees コ ミ ュ ニ テ ィ に割 り 当て ら れます。 2. ユーザーが認証 さ れる と 、 ク ラ イ ア ン ト デバ イ スの イ ン タ ロ ゲーシ ョ ンが行われ、Full-time employees コ ミ ュ ニ テ ィ が参照す る ゾ ー ン に属す る いずれかのデバ イ ス プ ロ フ ァ イ ルに一 致す るかが判定 さ れます。 拒否ゾー ンか ら 開始 し て、 コ ミ ュ ニ テ ィ に リ ス ト さ れて い る ゾー ンが順にチ ェ ッ ク さ れます。 3. こ のシ ナ リ オ では、ク ラ イ ア ン ト が構成 さ れて い る どのゾー ン と も 一致 し な い こ と が検出 さ れます。 こ のよ う な状況の場合の処理す る方法 と し ては、 ク ラ イ ア ン ト を隔離ゾー ン に分類 す る か、 デ フ ォ ル ト ゾ ー ン に分類す る かの 2 種類があ り ま す。 こ の例 で は、 隔離 ゾ ー ン Untrusted が使用 さ れます。 こ の場合にユーザーがア ク セ ス で き る リ ソ ースは、 ユーザーが 344 | Aventail E-Class SRA 10.7 管理者ガ イ ド レ ルムに ロ グ イ ン し 、 Full-time 設定 し た リ ソ ース だけ です。 例えば、 シ ス テムがセキ ュ リ テ ィ ポ リ シ ーに準拠す る 上で必 要な Web リ ソ ース に対す る リ ン ク を含む カ ス タ マ イ ズ さ れたページ を表示す る こ と も で き ます。 デバ イ ス を デ フ ォ ル ト ゾ ー ン に分類す る場合、 OPSWAT Secure Virtual Desktop (SVD) を ク ラ イ ア ン ト に展開で き るので あれば、 AMC がユーザーに VPN ア ク セ ス を 提供す る よ う に構成す る こ と も で き ます。 SVD は Windows ユーザーに強化 さ れたデー タ 保護を提供 し 、 個別に ラ イ セ ン ス さ れます。 a. 信頼 さ れて いな いデバ イ ス ( キオ ス ク 端末の PC な ど ) で Windows 7、Windows Vista、 Windows XP、 ま たは Windows 2008 Server が動作 し 、 サポー ト さ れて い る ブ ラ ウザが 使用 さ れて い る場合、ユーザーは ク ラ イ ア ン ト コ ン ポーネ ン ト マ ネージ ャ ーの E-Class SRA Access Manager を ダウ ン ロ ー ド し て イ ン ス ト ールす る必要があ り ます。ク ラ イ ア ン ト コ ン ポーネ ン ト マ ネージ ャ に よ り 、 ユーザー向けに SVD が自動展開 さ れます。 次 に ア プ ラ イ ア ン スは、 Full-time employees コ ミ ュ ニ テ ィ 用に構成 さ れて い る ア ク セ ス エ ー ジ ェ ン ト の プ ロ ビ ジ ョ ニ ン グ を 行い ま す。 こ れに よ り 、 ユーザーは適切 な ネ ッ ト ワー ク リ ソ ース に ア ク セ ス で き る よ う に な り ます。 b. デバ イ スのオペ レ ーテ ィ ン グ シ ス テムお よ びブ ラ ウザが SVD と 互換性を持た な い場合 は、 メ ッ セージが表示 さ れます。 c. SVD を ク ラ イ ア ン ト に展開で き な い場合、 ユーザーの接続要求は拒否 さ れます。 こ のゾー ンの設定オ プ シ ョ ン については、 355 ページの 「デ フ ォ ル ト ゾー ンの構成」 を参照 し て く だ さ い。 シナ リ オ 4: Google Desktop が動作し ている PC から従業員が接続する場合 従業員が、 企業のオ フ ィ ス外の PC か ら ア プ ラ イ ア ン ス に接続 し ま す。 ಙ㢗ࡉࢀ࡚࠸࡞࠸ 3&ࢆ⏝ࡍࡿ ᚑᴗဨ ࣮ࣘࢨ࣮ㄆド ࢡࣛࣥࢺࡢࣥࢱࣟࢤ࣮ࢩࣙࣥ ࢹࣂࢫࣉࣟࣇࣝ㐺ྜࡍࡿ㸽 ᳨ฟ ࣒ࣞࣝ 「Employeesࠖ ࢥ࣑ࣗࢽࢸ ࠕFull-time employeesࠖ ㄆドࢧ࣮ࣂ࣮ Google Desktop ࢹࣂࢫࣉࣟࣇࣝ ࢰ࣮ࣥ Block-access ࢡࣛࣥࢺࡀࠕ*RRJOH 'HVNWRS SUHVHQWࠖ࠸ ࠺ྡ๓ࡢࢹࣂࢫࣉࣟ ࣇ୍ࣝ⮴ࡍࡿ ࢡࣛࣥࢺࡀ ࠕ%ORFNDFFHVVࠖ࠸࠺ྡ๓ ࡢᣄྰࢰ࣮ࣥศ㢮ࡉࢀࡿ IT-managed Semi-trusted Untrusted ࣮ࣘࢨ࣮ࡀࣟࢢ࢘ࢺ ユーザーがロ グ イ ン す る と き 、 次のよ う に イ ベ ン ト が発生 し ます。 1. ユーザーがア プ ラ イ ア ン ス に接続 し て Employees employees コ ミ ュ ニ テ ィ に割 り 当て ら れます。 レ ルムに ロ グ イ ン し 、 Full-time 2. ユーザーが認証 さ れる と 、 ク ラ イ ア ン ト デバ イ スの イ ン タ ロ ゲーシ ョ ンが行われ、Full-time employees コ ミ ュ ニ テ ィ が参照す る ゾ ー ン に属す る いずれかのデバ イ ス プ ロ フ ァ イ ルに一 致す るかが、 拒否ゾー ンか ら 順に判定 さ れます。 End Point Control | 345 3. 4. 5. こ のシ ナ リ オ では、PC で Google Desktop が動作 し てい る こ と が判定 さ れ、Google Desktop present デバ イ ス プ ロ フ ァ イ ルに一致 し ます。 デバ イ スは Block-access と い う 拒否ゾー ン に分類 さ れます。 他のゾ ー ンは評価 さ れず、 ユーザーのア ク セ ス要求は拒否 さ れます。 ユーザーはロ グ ア ウ ト さ せ ら れます。 シナ リ オ 5: 従業員がモバイル デバイ スから接続する場合 こ のシ ナ リ オ では、 従業員が企業のオ フ ィ ス外のモバ イ ル デバ イ スか ら ア プ ラ イ ア ン ス に接続 し ます。 特定のユーザー と 使用デバ イ スの間の関連付け を確立す る ために ( デバ イ ス を 置 き 忘 れた り 失 っ た り し た場合に備え て )、 管理者はユーザー名 と 各デバ イ スの IMEI (International Mobile Equipment Identity) 番号 を 収集 し 、 ユ ー ザ ー ア カ ウ ン ト 向 け の IMEI 番号 を Active Directory サーバーに追加 し て い ます。 ま た管理者は、 ユーザー と IMEI の関連付け を検証す る ための Mobile resources と い う デバ イ ス プ ロ フ ァ イ ルを作成 し てい ま す。 ユーザーがロ グ イ ン す る と き 、 次のよ う に イ ベ ン ト が発生 し ます。 1. ユーザーがア プ ラ イ ア ン ス に接続 し て、 ユーザー名 と パス ワー ド を入力 し て Employees レ ルムに ロ グ イ ン し 、 Mobile employees コ ミ ュ ニ テ ィ に割 り 当て ら れま す。 2. ユーザーの認証後、 ク ラ イ ア ン ト デバ イ スの イ ン タ ロ ゲーシ ョ ンが行われ (Mobile employees コ ミ ュ ニ テ ィ に よ り 参照 さ れる ゾ ー ン向けのデバ イ ス プ ロ フ ァ イ ルを使用 し て )、 IMEI 番号が判定 さ れます。 3. IMEI 番号は、 AD デ ィ レ ク ト リ のユーザーに関連付け ら れてい る番号 と 比較 さ れます。 番号 が一致す る場合、ユーザーはモバ イ ル デバ イ ス専用 リ ン ク へのア ク セ ス を許可 さ れます。一 致 し ない場合は、 ア ク セ スが拒否 さ れます。 IMEI 番号のチ ェ ッ ク は、 WiFi ではな く WAN (Wide Area Network) でのみ機能 し ます。 ま た、認証後プ ロ セ ス で モバ イ ル デバ イ ス上の IMEI 番号を識別す る ために WAN サー ビ スがオ ン に な っ て いな ければな り ません。 メモ モバ イ ル デバ イ ス と ユーザー別にサー ビ ス を 追跡す る ため、 ネ ッ ト ワー ク プ ロ キシ、 Web プ ロ キシ、 ま たは ト ン ネル ク ラ イ ア ン ト 向けの監査ロ グ フ ァ イ ルを処理で き ま す。 ゾーンおよびデバイ ス プ ロ フ ァ イルによ る EPC の管理 デバ イ ス プ ロ フ ァ イ ルは、次の属性を任意の組み合わせで含めて、 ク ラ イ ア ン ト を識別 し て 「信 頼ゾー ン」 に割 り 当て た り 、 隔離 し た り 、 ア ク セ ス を完全に拒否 し た り す る こ と がで き ます。 ア プ リ ケーシ ョ ン ク ラ イ ア ン ト 証明書 • デ ィ レク ト リ名 • 機器 ID ( モバ イ ル デバ イ スの IMEI 番号な どのデバ イ スの識別子 ) • フ ァ イ ル名、 サ イ ズ、 ま たは タ イ ムス タ ン プ • Windows ド メ イ ン • Windows レ ジ ス ト リ エ ン ト リ • Windows バージ ョ ン Advanced EPC を使用す る場合は、ク ラ イ ア ン ト デバ イ スのセキ ュ リ テ ィ プ ロ グ ラ ム を識別す る ために次の属性 も 使用で き ます。 • • • • ア ン チ ウ イ ルス プ ロ グ ラ ム ア ン チ スパ イ ウ ェ ア プ ロ グ ラ ム 346 | Aventail E-Class SRA 10.7 管理者ガ イ ド パー ソ ナル フ ァ イ ア ウ ォ ール プ ロ グ ラ ム ま た、 EPC ラ イ ブ ラ リ を 使用す る と 、 こ れ ら の タ イ プ の セ キ ュ リ テ ィ プ ロ グ ラ ム に つ い て フ ォ ールバ ッ ク 検出 を 定義 で き ま す。 構成方法に つ い て は、 366 ペ ー ジ の 「Advanced EPC: フ ォ ールバ ッ ク 検出の使用」 を参照 し て く だ さ い。 • 1 つの EPC ゾ ー ン か ら は、 1 つ ま たは複数のデバ イ ス プ ロ フ ァ イ ル を 参照で き ま す。 同様の VPN ア ク セ ス要件 を 持 ち、 異な る コ ン ピ ュ ー タ プ ラ ッ ト フ ォ ーム を 利用 し て い る 複数のユー ザーが存在す る場合に、複数のデバ イ ス プ ロ フ ァ イ ルを使用す る と 便利です。例えば、Windows コ ン ピ ュ ー タ のデバ イ ス プ ロ フ ァ イ ル を 参照す る EPC ゾ ー ン と 、 Macintosh コ ン ピ ュ ー タ 向 けのゾー ン を構成で き ます。 AMC は、 Windows、 Macintosh、 Linux、 Windows Mobile 搭載デ バ イ ス、 その他のモバ イ ル デバ イ ス (PDA やス マー ト フ ォ ン な ど ) のデバ イ ス プ ロ ア イ ルをサ ポー ト し ます。 ゾ ー ン と デバ イ ス プ ロ フ ァ イ ルは、 さ ま ざ ま な ア ク セ ス シ ナ リ オ と 信頼レ ベル に対応す る ために、 必要に応 じ て い く ら で も 作成で き ます ( 従業員、 ビ ジ ネ ス パー ト ナー、 請 負業者向けの個別ゾー ン な ど )。 AMC には、 定義済みのゾ ー ン と い く つかのデバ イ ス プ ロ フ ァ イ ルが用意 さ れてい ます。 デ フ ォ ル ト ゾー ンは、 あ る程度 カ ス タ マ イ ズで き ますが、 削除で き ません。 構成 し た ゾー ン に分類で き な いデバ イ スは、デ フ ォ ル ト ゾー ン ま たは隔離ゾー ン に入れ ら れます ( コ ミ ュ ニ テ ィ を構成す る際に 「 フ ォ ールバ ッ ク 」 ゾ ー ン を指定で き ます。 方法については 66 ペー ジの 「 コ ミ ュ ニ テ ィ での End Point Control 制約の使用」 を参照 し て く だ さ い )。 詳細につ い ては、 355 ページの 「デ フ ォ ル ト ゾー ンの構成」 を参照 し て く だ さ い。 • ア プ ラ イ ア ン ス では、 Advanced EPC の使用開始を支援す る ため、 一般的な ア ク セ ス シ ナ リ オ向けのデバ イ ス プ ロ フ ァ イ ルがい く つか事前定義 さ れて い ま す。 こ れ ら のプ ロ フ ァ イ ルはそのま ま使用で き るほか、 必要性に合わせて カ ス タ マ イ ズで き ます ( 詳細は 367 ペー ジの 「Advanced EPC: 構成済みのデバ イ ス プ ロ フ ァ イ ルの使用」 を参照 )。 ユーザーの認証後、 そのユーザーが使用で き る ゾ ー ン を 指定す る 場合は、 コ ミ ュ ニ テ ィ を 使用 し ます。 ゾ ー ン を コ ミ ュ ニ テ ィ に リ ン ク す る方法については、 66 ページの 「 コ ミ ュ ニ テ ィ での End Point Control 制約の使用」 を参照 し て く だ さ い。 ま た、 ユーザー、 グルー プ、 リ ソ ース と 同 じ よ う に、 ゾー ン を ア ク セ ス ポ リ シー と 連携 さ せる こ と も 可能です。 • End Point Control の有効化 と 無効化 AMC では End Point Control を グ ロ ーバルに有効化ま たは無効化で き ま す。こ こ では、End Point Control を一時的に無効にす る例を 2 つ示 し ます。 会社全体で ア ン チ ウ イ ルス ソ フ ト ウ ェ ア をバージ ョ ン 2.x か ら 3.x に ア ッ プ グ レ ー ド し た 場合。 ア ン チ ウ イ ルス ソ フ ト ウ ェ ア を 指定 し たデバ イ ス プ ロ フ ァ イ ル を 変更す る ために、 End Point Control を一時的に無効化 し ます。 • ユーザーの作業を中断 さ せる こ と な く 、 実稼働ア プ ラ イ ア ン ス で新 し いデバ イ ス プ ロ フ ァ イ ル と ゾー ン を作成で き ます。 End Point Control が無効 ( デ フ ォ ル ト 設定 ) に な っ てい る と き 、ア プ ラ イ ア ン スは次の EPC ア ク シ ョ ン を実行 し ません。 • • • • ク ラ イ ア ン ト デバ イ スの属性の評価 ゾー ンへの接続要求の分類 ア ク セ ス制御ルールのゾー ン制約の強制 End Point Control を有効にす る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 2. [General] セ ク シ ョ ンの [Edit] リ ン ク を ク リ ッ ク し ます。 [Configure End Point Control] ページが表示 さ れます。 3. [Enable End Point Control] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 End Point Control | 347 4. [Save] を ク リ ッ ク し ます。 EPC が有効に な っ て い る場合は、ゾ ー ン ご と に EPC のチ ェ ッ ク 頻度 を 1 度だけ ( ロ グ イ ン時 ) 実行す るか、 ま たはロ グ イ ン時 と その後のセ ッ シ ョ ン で <n> 分お き に実行す る よ う に指定で き ます。 詳細につい ては、 349 ページの 「標準ゾ ー ンの作成」 ま たは 355 ペー ジの 「デ フ ォ ル ト ゾ ー ンの構成」 を参照 し て く だ さ い。 メモ ゾーンおよびデバイ ス プ ロ フ ァ イル こ のセ ク シ ョ ン では、 ゾー ン お よ びデバ イ ス プ ロ フ ァ イ ルを構成 し 、 使用す る方法について説 明 し ます。 ゾーンおよびデバイ ス プ ロ フ ァ イルの表示 AMC で End Point Control ゾー ンの リ ス ト を参照 し 、どのよ う な タ イ プ で関連す る コ ミ ュ ニ テ ィ があ るかど う かを迅速に判定で き ます。 構成済みのゾー ン を表示す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Zones and Device Profiles] セ ク シ ョ ンの [Edit] を ク リ ッ ク し ます。 [Configure Zones and Devices] ページが表示 さ れます。 2. [Configure Zones and Devices] ページ には、 AMC で構成 さ れてい る ゾ ー ンのサマ リ 、 お よ び EPC エージ ェ ン ト のス テ ー タ ス サマ リ も 表示 さ れます。 E-Class SRA ア プ ラ イ ア ン ス では、 Default と い う ゾー ンがあ ら か じ め構成 さ れて い ます。 ゾー ンの設定を表示ま たは編 集す る と き は、 ゾー ンの名前を ク リ ッ ク し ます。 3. リ ス ト 内のそれぞれのゾー ン に関す る情報を参照で き ます。 • プ ラ ス記号 (+) の列を ク リ ッ ク す る と 、 選択 し た ゾー ンが拡大 さ れ、 関連す る デバ イ ス プ ロ フ ァ イ ル と コ ミ ュ ニ テ ィ が表示 さ れます。 348 | Aventail E-Class SRA 10.7 管理者ガ イ ド [Name] 列には、 ゾー ン を作成す る と き に割 り 当て た名前が表示 さ れます。 ゾー ン を編集す る と き は、 名前を ク リ ッ ク し ます。 • [Description] 列には、 ゾー ン に対す る説明テ キス ト が リ ス ト さ れます。 • [Type] 列には、 そのゾ ー ンがデ フ ォ ル ト ゾー ン、 標準ゾー ン、 拒否ゾー ン、 隔離ゾー ンの いずれかが示 さ れます ( こ れ ら のゾー ン タ イ プ については 341 ページの 「ゾー ンの定義」 を参照 )。 • [Used] 列には、 ゾー ンが コ ミ ュ ニ テ ィ に よ っ て参照 さ れて い るかど う かが示 さ れます。 青 い ド ッ ト は、 ゾ ー ン が 1 つ ま たは複数の コ ミ ュ ニ テ ィ に よ っ て使用 さ れて い る こ と を 示 し ます。 ゾー ンが参照 さ れて いな い場合、 こ の フ ィ ール ド は空白です。 デバ イ ス プ ロ フ ァ イ ルは、 ク ラ イ ア ン ト を識別す る と き に使用 さ れる属性 ( レ ジ ス ト リ キーや ソ フ ト ウ ェ ア プ ロ グ ラ ムの存在な ど ) を指定 し 、End Point Control ゾー ン に よ り 参照 さ れます。 • 構成済みのデバ イ ス プ ロ フ ァ イ ルを表示す る には 1. [Device Profiles] タ ブ で、 構成済みのプ ロ フ ァ イ ルの リ ス ト を確認 し ます。 Advanced EPC を 使用 し て い る場合は、 こ の リ ス ト には構成済みのデバ イ ス プ ロ フ ァ イ ルがい く つか含ま れます。 2. それぞれのプ ロ フ ァ イ ルに関す る情報は参照で き ます。 • [Name] 列には、 デバ イ ス プ ロ フ ァ イ ルを作成す る と き に割 り 当て た名前が表示 さ れま す。 デバ イ ス プ ロ フ ァ イ ルを編集す る には名前を ク リ ッ ク し ます。 • [Description] 列には、デバ イ ス プ ロ フ ァ イ ルに冠す る説明テ キス ト が リ ス ト さ れます。 • [Type] 列には、 デバ イ ス プ ロ フ ァ イ ルがサポー ト す る プ ラ ッ ト フ ォ ーム (Microsoft Windows、 Mac OS X、 Linux、 Windows Mobile、 お よ び その他のモバ イ ル デバ イ ス ) を示すア イ コ ンが表示 さ れます。 • [Used] 列には、 プ ロ フ ァ イ ルが ク ラ イ ア ン ト に よ っ て参照 さ れて い るかど う かが示 さ れます。 青い ド ッ ト は、 ゾー ンが 1 つ ま たは複数の ク ラ イ ア ン ト に よ っ て使用 さ れて い る こ と を示 し ます。 ゾー ンが参照 さ れて いな い場合、 こ の フ ィ ール ド は空白です。 標準ゾーンの作成 標準ゾー ンは、 拒否ゾ ー ンの後に評価 さ れます。 例えば、 Windows firewall と い う 名前で、 パー ソ ナル フ ァ イ ア ウ ォ ールの動作 を 求め る デバ イ ス プ ロ フ ァ イ ル を 作成 で き ま す。 こ の End Point Control ポ リ シーが存在す る場合、 こ の条件 と 一致す る デバ イ スは 「信頼ゾー ン」 に入れ ら れます。 標準ゾー ン を定義す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。[End Point Control Settings] ページが表示 さ れます。 2. [Zones and Device Profiles] セ ク シ ョ ンの [Edit] を ク リ ッ ク す る と 、 [Configure Zones and Devices] ページが表示 さ れます。 3. [New] を ク リ ッ ク し て、 メ ニ ュ ーか ら Standard zone を選択 し ま す。 [Zone Definition Standard Zone] ページが表示 さ れます。 4. [Name] ボ ッ ク ス に、ゾ ー ン名を分か り やすい名前で入力 し ま す (Windows firewall required な ど )。 ゾー ンがモバ イ ル デバ イ ス ユーザーに よ り 参照 さ れる場合は、 モバ イ ル デバ イ ス 上で全体が表示 さ れる よ う に短い名前を指定 し ます。 5. ( オ プ シ ョ ン ) [Description] ボ ッ ク ス に、 ゾー ン について説明す る コ メ ン ト を入力 し ます。 End Point Control | 349 6. [All Profiles] リ ス ト で、 ゾ ー ン に入れたいデバ イ ス プ ロ フ ァ イ ルに対応す る チ ェ ッ ク ボ ッ ク ス を選択 し て、 右矢印 ([>>]) ボ タ ン を ク リ ッ ク し ます。 デバ イ スが作成中のゾー ン に入る ために一致す る必要があ るのは、 [In Use] リ ス ト のプ ロ フ ァ イ ルのいずれか 1 つだけ です。 7. こ のゾー ン にデバ イ ス プ ロ フ ァ イ ルが存在 し な い場合は、 [New] を ク リ ッ ク し て 1 つ追加 し ま す。 プ ロ フ ァ イ ル作成の詳細につい ては、 357 ページの 「ゾ ー ン に対す る デバ イ ス プ ロ フ ァ イ ルの定義」 を参照 し て く だ さ い。 8. [Access method restrictions] エ リ ア で、 こ のゾー ン に分類 さ れる ク ラ イ ア ン ト に許可 さ れる ア ク セ ス方法を指定 し ます ( あ る場合 )。 9. [Data protection] エージ ェ ン ト が必要かど う か指定 し ます。 OPSWAT Secure Virtual Desktop (SVD) は、 Windows ユ ー ザ ー に 強 化 さ れ た 保 護 機 能 を 提 供 し ま す。 こ れ は Advanced EPC の一部で あ り 、 個別に ラ イ セ ン ス供与 さ れます。 Linux プ ラ ッ ト フ ォ ーム以 外のサポー ト さ れて いな い プ ラ ッ ト フ ォ ームでは、 代わ り に Cache Cleaner を使用で き ま す。Cache Cleaner は Linux プ ラ ッ ト フ ォ ームではサポー ト さ れて い ません。Cache Cleaner への自動 フ ォ ールバ ッ ク は、 次の状況でサポー ト さ れます。 • ユーザーが Windows プ ラ ッ ト フ ォ ームで SVD の イ ン ス ト ールを拒否す る場合 350 | Aventail E-Class SRA 10.7 管理者ガ イ ド • ユーザーが Mac OS X プ ラ ッ ト フ ォ ームか ら SVD の使用を試みる場合 10. [Recurring EPC] エ リ ア では、 EPC のチ ェ ッ ク 頻度を 1 度だけ ( ロ グ イ ン時 ) 実行す るか、 ま たはロ グ イ ン時 と その後のセ ッ シ ョ ン で <n> 分お き に実行す る よ う に指定で き ます。 小 型携帯端末では、 反復 EPC は Connect Mobile でのみサポー ト さ れます。 369 ページの 「反 復 EPC チ ェ ッ ク の実行 : 例」 で は、 ア プ ラ イ ア ン スが USB デバ イ ス の存在 を 繰 り 返 し チ ェ ッ ク し 、 チ ェ ッ ク が失敗す る と セ ッ シ ョ ン が終了す る シ ナ リ オ につい て説明 し て い ま す。 11. デバ イ ス と ア プ ラ イ ア ン スの間の接続は、 デバ イ スが同一の IPv4 ま たは IPv6 IP ア ド レ ス を使用 し て い る限 り は、 中断 ( セ ッ シ ョ ンの一時停止 と 再開、 一時的な接続の喪失な ど ) が 発生 し て も ユーザーの再認証を要求せずに処理で き ます。 ユーザーが別の IP ア ド レ スか ら セ ッ シ ョ ン を再開で き る よ う に許可す る には ( 例えば、ネ ッ ト ワ ー ク の 異 な る 部 分 に 接 続 し て、 異 な る IP サ ブ ネ ッ ト 間 で ロ ー ミ ン グ す る 場 合 )、 [Advanced] エ リ ア の [Allow user to resume session from multiple IP addresses] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 12. ゾー ンの構成が終わ っ た ら 、 [Save] を ク リ ッ ク し ます。 メモ • • Connect Tunnel ク ラ イ ア ン ト を使用す る場合、 OPSWAT Cache Cleaner と OPSWAT Secure Virtual Desktop はサポー ト さ れません。 EPC ゾー ン を コ ピ ーま たは削除す る方法については、 112 ページの 「AMC でのオ ブ ジ ェ ク ト の追加、 編集、 コ ピ ー、 削除」 を参照 し て く だ さ い。 拒否ゾーンの作成 End Point Control | 351 拒否ゾー ンは最初に評価 さ れます。いずれかのデバ イ ス プ ロ フ ァ イ ルが一致 し た場合 ( 例えば、 デバ イ ス上に特定の フ ァ イ ルま たは レ ジ ス ト リ キーがあ る 場合 )、 そのユーザーはア ク セ スが 拒否 さ れ、 ロ グ ア ウ ト さ せ ら れます。 拒否ゾー ン を定義す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。[End Point Control Zones] ページが表示 さ れます。 2. [New] を ク リ ッ ク し て、 メ ニ ュ ーか ら [Deny zone] を選択 し ます。 [Zone Definition - Deny Zone] ページが表示 さ れます。 3. [Name] ボ ッ ク ス に、 ゾー ン名を分か り やすい名前で入力 し ます (Google Desktop present な ど )。 4. ( オ プ シ ョ ン ) [Description] ボ ッ ク ス に、 ゾー ン について説明す る コ メ ン ト を入力 し ます。 5. [All Profiles] リ ス ト で、 ゾ ー ン に入れたいデバ イ ス プ ロ フ ァ イ ルに対応す る チ ェ ッ ク ボ ッ ク ス を選択 し て、右矢印 ([>>]) ボ タ ン を ク リ ッ ク し ます ( デバ イ スが作成中の拒否ゾー ン に 入る ために一致す る必要があ るのは、[In Use] リ ス ト のプ ロ フ ァ イ ルのいずれか 1 つだけで す )。 例えば、 デバ イ ス プ ロ フ ァ イ ルの定義で、 GoogleDesktop.exe ア プ リ ケーシ ョ ンの実行を 求める よ う に設定 し て い る と 仮定 し ます。 デバ イ ス に GoogleDesktop.exe が見つか っ た場 合、 そのデバ イ スは Google Desktop present と い う 名前の拒否ゾー ン と 一致 し 、 ユーザー はア ク セ ス を拒否 さ れ、 ロ グ ア ウ ト さ せ ら れます。 352 | Aventail E-Class SRA 10.7 管理者ガ イ ド 6. こ のゾー ン に適切なデバ イ ス プ ロ フ ァ イ ルが存在 し ない場合は、 [New] を ク リ ッ ク し て 1 つ追加 し ます。 プ ロ フ ァ イ ル作成の詳細につい ては、 357 ページの 「ゾー ン に対す る デバ イ ス プ ロ フ ァ イ ルの定義」 を参照 し て く だ さ い。 7. [Zone Definition] ページ下部の [Customization] セ ク シ ョ ン では、 拒否 さ れたユーザーがロ グ ア ウ ト さ せ ら れる と き に表示 さ れる メ ッ セージ を カ ス タ マ イ ズで き ます ( 例えば、 「Your system is running Google Desktop, which poses a security risk ( シ ス テ ム で Google Desktop が動作 し てい ます。 セキ ュ リ テ ィ 上危険です。 )」 )。 8. ゾー ンの構成が終わ っ た ら 、 [Save] を ク リ ッ ク し ます。 EPC ゾー ン を コ ピ ーま たは削除す る方法については、 112 ページの 「AMC でのオ ブ ジ ェ ク ト の 追加、 編集、 コ ピ ー、 削除」 を参照 し て く だ さ い。 隔離ゾーンの作成 分類で き ない ( 拒否ゾー ンや標準ゾー ンのプ ロ フ ァ イ ルに一致 し な い ) デバ イ ス を入れる ため に、 隔離ゾー ン を作成で き ます。 こ のゾー ン に分類 さ れる デバ イ スのユーザーには、 Web リ ン ク と 説明を提供で き ます ( 例えば、 デバ イ ス を セキ ュ リ テ ィ ポ リ シーに準拠 さ せる ための方法 や、 シ ス テム を EPC イ ン タ ロ ゲーシ ョ ン向けに構成す る方法な ど )。 隔離ゾー ンは、 コ ミ ュ ニ テ ィ あた り 1 つだけ定義で き ます ( 拒否ゾー ン と 標準ゾー ンは複数作 成で き ます )。 コ ミ ュ ニ テ ィ を構成す る と き は、 分類で き ないデバ イ ス を入れる ための 「 フ ォ ールバ ッ ク 」 ゾー ン を選択 し ます。 こ のよ う なデバ イ スは、 デ フ ォ ル ト ゾー ン ま たは隔離ゾー ン に入れ ら れます。 詳細につい ては、 66 ページの 「 コ ミ ュ ニ テ ィ での End Point Control 制約の使用」 を参照 し て く だ さ い。 隔離ゾー ン を定義す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。[End Point Control Settings] ページが表示 さ れます。 End Point Control | 353 2. [Zones and Device Profiles] セ ク シ ョ ンか ら [Edit] を ク リ ッ ク し 、 [Configure Zones and Devices] ページ で [New] を選択 し て、 メ ニ ュ ーか ら [Quarantine zone] ページ を選択 し ま す。 [Zone Definition - Quarantine Zone] ページが表示 さ れます。 3. [Name] ボ ッ ク ス で、 ゾー ン名を分か り やすい名前で入力 し ます。 4. ( オ プ シ ョ ン ) [Description] ボ ッ ク ス に、 ゾー ン について説明す る コ メ ン ト を入力 し ます。 5. [Customization] エ リ ア に、 隔離 さ れたユーザーに提示す る メ ッ セージ を入力 し ます。 デバ イ スが隔離ゾ ー ン に入れ ら れた理由や、 セキ ュ リ テ ィ ポ リ シ ーに準拠す る 上での要件な ど を記述で き ます。 隔離ゾー ン に入れ ら れたデバ イ スの矯正方法 と し ては、 シ ス テム を EPC イ ン タ ロ ゲーシ ョ ン向けに構成す る方法についての情報を含める こ と が考え ら れます。ほ と ん どのユーザーの 場合、 こ れはブ ラ ウザで Java を有効にす る、 ActiveX を有効にす る、 ま たは Java Runtime Environment (JRE) を ダ ウ ン ロ ー ド す る こ と を 意味 し ま す。 ユーザー向けの メ ッ セ ー ジ に は、 次のいずれか、 ま たはすべて を入れる こ と がで き ます。 • Verify that Java or JavaScript is enabled in the Web browser on the computer (in most browsers, Java is enabled by default). End point interrogation can’t take place if ActiveX and Java are both disabled in the user’s browser. ( コ ン ピ ュ ー タ の Web ブ ラ ウザで Java ま たは JavaScript が有効で あ る こ と を確認 し て く だ さ い ( ほ と ん どのブ ラ ウザでは Java はデ フ ォ ル ト で有効 )。ユーザーのブ ラ ウザで ActiveX お よ び Java の両 方が無効に な っ て い る 場合は、 エ ン ド ポ イ ン ト イ ン タ ロ ゲーシ ョ ンが動作す る こ と は あ り ません。 ) • If you are using Microsoft Windows and Internet Explorer, verify that ActiveX is enabled: start Internet Explorer, and then click Internet Options on the Tools menu. On the Security tab, click the Internet logo at the top of the tab, and then click Custom Level to configure ActiveX controls and plug-ins. (Microsoft Windows お よ び Internet Explorer を お使いの場合は、 ActiveX が有効で あ る こ と を 確認 し て く だ さ い。 Internet Explorer を起動 し 、 [ ツ ール ] メ ニ ュ ーの [ イ ン タ ーネ ッ ト オ プ シ ョ ン ] を ク リ ッ ク し ます。 [ セ 354 | Aventail E-Class SRA 10.7 管理者ガ イ ド キ ュ リ テ ィ ] タ ブ で、 こ の タ ブの上部にあ る [ イ ン タ ーネ ッ ト ] のロ ゴ を ク リ ッ ク し て、 [ レ ベルの カ ス タ マ イ ズ ] を ク リ ッ ク し 、ActiveX コ ン ト ロ ール と プ ラ グ イ ン を構成 し ま す。 ) • 6. 7. JRE allows Java applications or Java applets to run on personal computers. To see if it is running on your machine, type java -server at the command prompt. (JRE は、 Java ア プ リ ケーシ ョ ン ま たは Java ア プ レ ッ ト が PC 上で動作で き る よ う にす る ソ フ ト ウ ェ ア です。 マ シ ン上で JRE が動作 し て い るか確認す る には、 コ マ ン ド プ ロ ン プ ト で java -server と 入力 し ます。 ) ユーザーが、 使用中のデバ イ ス を準拠 さ せる上で利用で き る Web リ ン ク を追加 し ます。 こ の場合、 パブ リ ッ ク URL と プ ラ イ ベー ト URL を混在 さ せる こ と がで き ます。 • パブ リ ッ ク ア ド レ スは、ユーザーが Java Virtual Machine な どの ソ フ ト ウ ェ ア コ ン ポー ネ ン ト を ダ ウ ン ロ ー ド で き る イ ン タ ーネ ッ ト URL な ど を 参照 し ま す。 パ ブ リ ッ ク リ ソ ースは、 通常ア プ ラ イ ア ン ス を 介 し て リ ダ イ レ ク ト さ れま す。 こ の リ ダ イ レ ク ト は、 リ ソ ース を排除 リ ス ト に追加す る こ と で禁止で き ます。 方法につい ては、 232 ページの 「 リ ソ ース排除 リ ス ト の使用」 を参照 し て く だ さ い。 • プ ラ イ ベー ト ア ド レ スは、 最新のウ イ ルス定義を含む イ ン ト ラ ネ ッ ト URL な ど を参照 し ま す。 こ の場合、 指定 し た URL にユーザーがア ク セ ス で き 、 他の リ ソ ース に ア ク セ ス で き な い よ う にす る ためのルールが自動的に作成 さ れます。 [Save] ま たは [Save and Add Another] を ク リ ッ ク し ます。 コ ミ ュ ニ テ ィ を構成す る と き は、 分類で き ないデバ イ ス を入れる ための 「 フ ォ ールバ ッ ク 」 ゾー ン を選択 し ます。 こ のよ う なデバ イ スは、 デ フ ォ ル ト ゾー ン ま たは隔離ゾー ン に入れ ら れます。 詳細につい ては、 66 ページの 「 コ ミ ュ ニ テ ィ での End Point Control 制約の使用」 を参照 し て く だ さ い。 隔離ゾー ンは、 コ ミ ュ ニ テ ィ あた り 1 つだけ定義で き ます ( 拒否ゾー ン と 標準ゾー ンは複数作 成で き ます )。 デフ ォル ト ゾーンの構成 AMC には、 グ ロ ーバルのデ フ ォ ル ト ゾ ー ンがあ り 、 他の設定済みのゾー ン に一致 し な い接続要 求の VPN ア ク セ ス を許可ま たはブ ロ ッ ク す る ための安全装置 と し て機能 し ます。 ア プ ラ イ ア ン スが、 ゾー ン に分類で き ない ( つ ま り ク ラ イ ア ン ト デバ イ スのオペ レ ーテ ィ ン グ シ ス テム、 ブ ラ ウザ、 その他の属性な ど を識別で き な い ) 接続要求 を 受け取 っ た場合、 デバ イ スは自動的に デ フ ォ ル ト ゾ ー ン に入れ ら れます。 デバ イ スがデ フ ォ ル ト ゾー ン に割 り 当て ら れたユーザーに つい ては、 VPN ア ク セ ス を許可す るか拒否す るかを選択で き ます。 デ フ ォ ル ト ゾ ー ンは、 他のゾー ン と 違 っ てデバ イ ス プ ロ フ ァ イ ルを含みませんが、 デー タ 保護 エージ ェ ン ト の存在を求める よ う に構成で き ます。 デ フ ォ ル ト ゾー ンは、 AMC で構成 さ れたす べての コ ミ ュ ニ テ ィ に暗黙的に存在 し ます。 デ フ ォ ル ト ゾ ー ン を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 End Point Control | 355 2. [Configure Zones and Devices] ページの [Zones] セ ク シ ョ ン で、 [Edit] リ ン ク を ク リ ッ ク し ます。 [Zone Definition - Default Zone] ページが表示 さ れま す。 [Name] ボ ッ ク ス には、 Default zone と 自動的に表示 さ れます ( こ のゾ ー ンの名前は変更で き ません )。 3. [Access restrictions] セ ク シ ョ ン で、 デ フ ォ ル ト ゾ ー ン に入れ ら れて い る デバ イ ス に VPN ア ク セ ス を 許 可 す る か ([Allow VPN access])、 ま た は ブ ロ ッ ク す る か ([Block VPN access]) を指定 し ます。 [Block VPN access] を選択す る と 、 デ フ ォ ル ト ゾー ン に割 り 当 て ら れたユーザーはア プ ラ イ ア ン スか ら ロ グ ア ウ ト さ せ ら れます。 4. [Access method restrictions] セ ク シ ョ ン で、 こ のゾー ン に分類 さ れる ク ラ イ ア ン ト に許 可 さ れる ア ク セ ス方法を指定 し ます ( あ る場合 )。 5. [Data protection] セ ク シ ョ ン で、 デ フ ォ ル ト ゾ ー ン に入れ ら れた ク ラ イ ア ン ト デバ イ スが Secure Virtual Desktop ま たは Cache Cleaner を使用 し て接続す る必要があ るかど う かを 指定 し ます。 OPSWAT Secure Virtual Desktop は、 Windows ユーザーに強化 さ れたデー タ 保護機能を提供 し ます。 こ れは Advanced EPC の一部で あ り 、 個別に ラ イ セ ン ス供与 さ れ ます。 Linux プ ラ ッ ト フ ォ ーム以外のサポー ト さ れて いな い プ ラ ッ ト フ ォ ームでは、 代わ り に Cache Cleaner を使用で き ます (Linux で Cache Cleaner はサポー ト さ れません )。 Cache Cleaner への自動 フ ォ ールバ ッ ク は、 次の状況でサポー ト さ れます。 • ユーザーが Windows プ ラ ッ ト フ ォ ームで SVD の イ ン ス ト ールを拒否す る場合 • ユーザーが Mac OS X プ ラ ッ ト フ ォ ームか ら SVD の使用を試みる場合 6. [Recurring EPC] セ ク シ ョ ン では、 EPC のチ ェ ッ ク 頻度を指定で き ます。 [Check endpoint at login] を選択す る と 、 EPC のチ ェ ッ ク 頻度を 1 度だけ ( ロ グ イ ン時 ) 実行 し 、 [Check endpoint at login and every <n> minutes thereafter] を選択す る と 、ロ グ イ ン時 と その後 のセ ッ シ ョ ン で <n> 分お き に実行 し ます。 7. デバ イ ス と ア プ ラ イ ア ン スの間の接続は、 デバ イ スが同一の IPv4 ま たは IPv6 IP ア ド レ ス を使用 し て い る限 り は、 中断 ( セ ッ シ ョ ンの一時停止 と 再開、 一時的な接続の喪失な ど ) が 発生 し て も ユーザーの再認証を要求せずに処理で き ます。 ユーザーが別の IP ア ド レ スか ら セ ッ シ ョ ン を再開で き る よ う に許可す る には ( 例えば、ネ ッ ト ワ ー ク の 異 な る 部 分 に 接 続 し て、 異 な る IP サ ブ ネ ッ ト 間 で ロ ー ミ ン グ す る 場 合 )、 [Advanced] エ リ ア の [Allow user to resume session from multiple IP addresses] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 356 | Aventail E-Class SRA 10.7 管理者ガ イ ド メモ 8. Secure Network Detection が機能す る には、 こ のチ ェ ッ ク ボ ッ ク ス を選択 し て、 ユーザーが複数の IP ア ド レ スか ら セ ッ シ ョ ン を再開で き る よ う にす る必要があ り ます。 [Save] を ク リ ッ ク し ます。 例 接続要求が信頼関係の基準 と 合致 し な いユーザーのア ク セ ス を制限す る場合、 デ フ ォ ル ト ゾー ン を制約のあ る ア ク セ ス制御ルールに入れる こ と がで き ます。 例えば、 Outlook Web Access に 接続す る Web ブ ラ ウザに限定 さ れた 「permit」 ア ク セ ス制御ルールにデ フ ォ ル ト ゾー ン を入れ る こ と で、 こ れ ら のユーザーが自分の電子 メ ールに ア ク セ ス で き る よ う に な り ます。 高レ ベルの信頼性に基づ く 制約のあ る ア ク セ ス ポ リ シー を設け、 明示的に定義 さ れて い る も の を除い て接続要求を認めな い よ う にす る場合は、 デ フ ォ ル ト ゾ ー ン を [Block VPN access] に 設定す る こ と が最善策 と な り ま す。 た だ し 、 他のゾ ー ン やア ク セ ス制御ルールで、 正当な ユー ザーが誤 っ て排除 さ れる場合、 デ フ ォ ル ト ゾー ンが例外な く こ れ ら のユーザー を ブ ロ ッ ク す る こ と に注意 し て く だ さ い。 ゾーンに対するデバイ ス プ ロ フ ァ イルの定義 デバ イ ス プ ロ フ ァ イ ルは、 ア ン チ ウ イ ルス プ ロ グ ラ ム、 ア プ リ ケー シ ョ ン、 Windows レ ジ ス ト リ エ ン ト リ な ど、 1 つ ま たは複数の属性を検索す る こ と に よ り 、 ク ラ イ ア ン ト デバ イ ス と の 間に信頼関係を確立 し ます。 デバ イ ス プ ロ フ ァ イ ルは 1 つ ま たは複数のゾー ンか ら 参照 さ れま す。 デバ イ ス プ ロ フ ァ イ ルは、ク ラ イ ア ン ト コ ン ピ ュ ー タ 上の 1 つの属性のみを検出す る よ う に定 義 し た り 、 複 数の属性を必要 と す る よ う に設定 し た り で き ます。 デバ イ ス プ ロ フ ァ イ ルが複数 の属性を参照す る と き 、 一致す る ためには ク ラ イ ア ン ト コ ン ピ ュ ー タ 上にすべての属性が存在 し なければな り ません。 デバ イ ス プ ロ フ ァ イ ルは、 次の属性をサポー ト す る ために使用で き ます • • • • • • • Microsoft Windows Apple Macintosh Linux オペ レ ーテ ィ ン グ シ ス テム Apple iOS モバ イ ル オペ レ ー テ ィ ン グ シ ス テム Android モバ イ ル オペ レ ーテ ィ ン グ シ ス テム Windows Mobile 搭載デバ イ ス その他のモバ イ ル デバ イ ス (PDA、 ス マー ト フ ォ ン な ど ) デバ イ ス プ ロ フ ァ イ ル を ゾ ー ン に定義す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 End Point Control | 357 2. [Zones and Device Profiles] セ ク シ ョ ン で [Edit] リ ン ク を ク リ ッ ク し 、 [Device Profiles] セ ク シ ョ ン で [New] を ク リ ッ ク し ま す。 続い て、 リ ス ト さ れて い る プ ラ ッ ト フ ォ ームのいず れかを選択 し ます。 [Device Profile Definition] ウ ィ ン ド ウが表示 さ れま す。 3. [Device Profile Definition] ページの [Name] テ キス ト ボ ッ ク ス に、 デバ イ ス プ ロ フ ァ イ ル 名を分か り やすい名前で入力 し ます。 4. ( オ プ シ ョ ン ) [Description] ボ ッ ク ス に、 デバ イ ス プ ロ フ ァ イ ルについて説明す る コ メ ン ト を入力 し ます。 5. デバ イ ス プ ロ フ ァ イ ルの属性を選択 し ま す。 各属性を選択 し た ら 、 [Add to Current Attributes] を ク リ ッ ク し ます。属性は [Current attributes] リ ス ト ( ページ下部 ) に追加 さ れます。 • 利用可能な属性は、 選択 し たデバ イ ス プ ロ フ ァ イ ルに応 じ て異な り ます。 例えば、 ク ラ イ ア ン ト 証明書は Linux プ ロ フ ァ イ ルの属性 と し ては使用で き ず、 ア ン チ スパ イ ウ ェ ア プ ロ グ ラ ム は Advanced EPC を使用す る ユーザーのみが使用で き ます。 • 1 つの属性に複数のエ ン ト リ が許可 さ れる場合、デバ イ ス プ ロ フ ァ イ ルはデバ イ スの す べて (and) の項目に一致す る か、 ま たは いずれか (or) の項目に一致す る 必要があ り ま す。 属性、 お よ び属性が提供 さ れる プ ラ ッ ト フ ォ ームの詳細につい ては、 359 ページの 「デバ イ ス プ ロ フ ァ イ ルの属性」 を参照 し て く だ さ い。 358 | Aventail E-Class SRA 10.7 管理者ガ イ ド 6. [Save] を ク リ ッ ク し ます。 デバ イ ス プ ロ フ ァ イ ルを コ ピ ーま たは削除す る方法につい ては、 112 ページの 「AMC でのオ ブ ジ ェ ク ト の追加、 編集、 コ ピ ー、 削除」 を参照 し て く だ さ い。 デバイ ス プ ロ フ ァ イルの属性 デバ イ ス プ ロ フ ァ イ ルは、 複数の属性を含む こ と がで き ます。 こ のセ ク シ ョ ン ではすべての属 性につい て説明 し ま す。 た だ し こ の リ ス ト につい ては、 い く つか留意 し な ければな ら な い点が あ り ます。 • • • • 選択で き る属性は、 デバ イ ス プ ロ フ ァ イ ルに選択 し た プ ラ ッ ト フ ォ ームに よ っ て異な り ま す。 Advanced EPC を所有 し て い る ユーザーは、 広範囲のセキ ュ リ テ ィ プ ロ グ ラ ムか ら 選択で き ます。 Advanced EPC は EX9000 と EX7000 に付属 し て い ますが、 他のア プ ラ イ ア ン ス モデルで も 個別に購入で き ます。 1 つの属性に複数のエ ン ト リ が可能な場合、 デバ イ ス プ ロ フ ァ イ ルがデバ イ スの すべて (and) の項目に一致す る か、 いずれか (or) の項目に一致す る か を 指定 し な ければな り ませ ん。 次の例の場合、 一致す る には 2 つの ア ン チウ イ ルス プ ロ グ ラ ムのいずれか一方だけが 必要ですが、 両方の Windows レ ジ ス ト リ キーが必要に な り ます。 リ ス ト 内の項目を削除す る には、左の列のチ ェ ッ ク ボ ッ ク ス を選択 し て、[Delete] を ク リ ッ ク し ます。 単一 (or) の項目を削除す る には ( 例えば、 Norton AntiVirus を削除 し て eTrust EZ Antivirus を削除 し な い場合 )、 削除対象の左にポ イ ン タ を移動 し て、 削除対象に表示 さ れる赤い 「X」 ([Value] 列 ) を ク リ ッ ク し ます。 End Point Control | 359 次の節では、 それぞれの属性、 使用で き る プ ラ ッ ト フ ォ ーム、 同 じ タ イ プの複数の属性 ( 可能 な場合 ) が OR に な るか AND に な るかについ て紹介 し てい ます。 Android ア プ リ ケーシ ョ ン プラ ッ ト フ ォ ーム こ の プ ロ フ ァ イ ルについ て EPC がチ ェ ッ ク す る 1 つ ま たは複数の Android Android ア プ リ ケーシ ョ ン を選択 し ます。 そのためには、 [Vendor] リ ス ト か ら ベン ダーを選択 し ます。 こ れによ り 、 ベン ダーのモバイル セ キ ュ リ テ ィ 製品 と 現行バージ ョ ンの番号が表示 さ れます。 ベ ン ダーが 複数のモバイル セキ ュ リ テ ィ 製品を提供 し ている場合は、すべてのモ バ イ ル セキ ュ リ テ ィ 製品が [Product name] リ ス ト に リ ス ト さ れま す。 こ のア プ リ ケーシ ョ ン で EPC がチ ェ ッ ク する モバイル セキ ュ リ テ ィ 製品を選択 し ます。 次に、 選択 し た製品の最新バージ ョ ンが表示 さ れます。製品バージ ョ ン番号の比較に使用する [Operator] を選択 し ます。 デ フ ォル ト は、 最新バージ ョ ン よ り 後のすべてのバージ ョ ン です。 現 行 バ ー ジ ョ ン と 将 来 の す べ て の バ ー ジ ョ ン を 指 定 す る に は、 [Operator] ド ロ ッ プ ダウン リ ス ト から >= ( 以上 ) を選択 し ます。 詳 細については、 368 ページの 「デバ イ ス プ ロ フ ァ イ ル属性での比較 演算子の使用」 を参照 し て く だ さ い。 一致 ( いずれかに 一致 ) ( すべてに一 致) プラ ッ ト フ ォ ーム Android バージ ョ ン オペ レーテ ィ ング シス テムの メ ジ ャ ー バージ ョ ン、 マ イ ナー バージ ョ ン、 および Android ビル ド 番号を入力 し ます。 [Operator] の比較演算子は、 3 つの値すべてに適用 さ れます。 すべてのバージ ョ ン を指定するには、 [Operator] に >= ( 以上 ) と 入力 し 、 [Major] テキス ト ボ ッ ク ス に メ ジ ャ ー バージ ョ ン番号、 お よ び [Minor] テキス ト ボ ッ ク スに マ イ ナー バー ジ ョ ン番号を入力 し ます。 詳細については、 368 ページの 「デバ イ ス プ ロ フ ァ イ ル属性での比較演算子の使用」 を参照 し て く だ さ い。 ア ン チウ イ ルス プ ロ グ ラ ム プラ ッ ト フ ォ ーム ( こ の属性は Advanced EPC を使用 し てい る場合のみ使用で き ます。 Windows )EPC が こ のプ ロ フ ァ イルでチ ェ ッ ク する ア ン チウ イルス プ ログ ラ ム Mac OS を選択 し ます。 詳細については、 365 ページの 「Advanced EPC: セ Linux キ ュ リ テ ィ プ ロ グ ラ ムの拡張 リ ス ト 」 を参照 し て く だ さ い。 Advanced EPC を使用 し ていない場合、 またはユーザーが必要 と する セキ ュ リ テ ィ プ ログ ラ ムが表示 さ れない場合は、ア プ リ ケーシ ョ ン や Windows レ ジス ト リ エ ン ト リ な どの別の属性を使用 し てデバイ ス プ ロ フ ァ イルに追加する こ と で、 プ ログ ラ ムを指定で き ます。 360 | Aventail E-Class SRA 10.7 管理者ガ イ ド 一致 ( いずれかに 一致 ) ア ン チ スパ イ ウ ェ ア プ ロ グ ラ ム プラ ッ ト フ ォ ーム ( こ の属性は Advanced EPC を使用 し ている場合のみ使用で Windows き ます。 ) 左側で ア ン チスパイ ウ ェ ア ベン ダー、 右側で プ ロ Mac OS X グ ラ ムの名前 と パラ メ ー タ を選択 し ます。 Advanced EPC を使用 し ていない場合、 またはユーザーが必 要 と する セキ ュ リ テ ィ プ ログ ラ ムが表示 さ れない場合は、 ア プ リ ケーシ ョ ン や Windows レ ジス ト リ エ ン ト リ な どの別の 属性を使用 し てデバイ ス プ ロ フ ァ イルに追加する こ と で、 プ ログ ラ ムを指定で き ます。 ア プ リ ケーシ ョ ン デバイ ス プ ロ フ ァ イルは、 ク ラ イ ア ン ト デバイ ス で動作 し てい る ア プ リ ケーシ ョ ン プ ロ セスの名前を チ ェ ッ ク で き ます。ア プ リ ケーシ ョ ンの名前を入力 し ます。 名前にはワ イル ド カ ー ド 文字 (* お よび ?) を 使用で き ます。 Mac OS X、 Apple iOS、 Linux、 および Androids 向け の Linux ア プ リ ケ ー シ ョ ン で は大文字 と 小文字が区別 さ れ ま すが、 Windows では区別 さ れません。 ジ ェ イ ルブ レ イ ク ま たはルー ト 化 さ れたデバ イ ス に よ り 使用 さ れる ア プ リ ケーシ ョ ン プ ロ セスの名前を チ ェ ッ ク するデバイ ス プ ロ フ ァ イルには、 次の ものが含まれます。 • ジ ェ イ ルブ レ イ ク さ れた Apple iOS デバ イ スの場合、 ア プ リ ケー シ ョ ンは 「sbsettingsd」 にな り ます。 • ル ー ト 化 さ れ た Android デ バ イ ス の場合、 ア プ リ ケ ー シ ョ ン は 「com.noshufou.android.su」 にな り ます。 メ モ : ジ ェ イ ルブ レ イ ク さ れた iOS デバ イ ス ま たはルー ト 化 さ れた Android デバイ スのデバイ ス プ ロ フ ァ イルを作成する場合は、 各プ ロ フ ァ イルに拒否 EPC ゾーン を必ず構成 し 、 こ れ ら のゾーン を それぞ れ少な く と も 1 つの コ ミ ュ ニ テ ィ に関連付けます。 一致 複数のア ン チ スパ イ ウェ ア プログラム を 追加 す る 場合は、 リ ス ト 内の い ず れ かの項目に一致すべ き か (or) か、 す べ て の項目に一致すべ き か (and) を 指定 し ます。 プ ラ ッ ト フ ォー ム 一致 Windows Mac OS X Linux Windows Mobile Apple iOS Android ( すべてに一 致) End Point Control | 361 ク ラ イ ア ン ト 証明書 [CA certificate] エ リ アの ド ロ ッ プ ダウ ン リ ス ト か ら 認証局を選択 し ま す ( 希望す る CA が リ ス ト さ れて い な い場合は、 158 ペー ジの 「CA 証明書の イ ン ポー ト 」 を参照 )。 ク ラ イ ア ン ト 証明書をユーザー に発行 し た CA のルー ト 証明書によ り ア プ ラ イ ア ン スが構成 さ れてい る限 り 、 ク ラ イ ア ン ト デバイ スはこ のプ ロ フ ァ イルに一致 し ます ( 中 間証明書は機能 し ません )。 検索対象の証明書ス ト ア を選択 し ます。 • [System store only] は、 シ ス テム ス ト ア (HKLM\SOFTWARE\Microsoft\SystemCertificates) のみを検索 する よ う に指定 し ます。 • [System store and user store] は、 シス テム ス ト ア を最初に 検索 し 、 次にユーザー ス ト ア (HKCU\Soft-ware\Microsoft\SystemCertificates ) を検索する よ う に指定 し ます。 プ ラ ッ ト フ ォー ム 一致 Windows Mac OS X Windows Mobile Apple iOS Android ( いずれかに 一致 ) 注: • デバ イ ス プ ロ フ ァ イ ルに含める こ と がで き る ク ラ イ ア ン ト 証明書 は 1 つだけです。 • Windows Mobile 搭載デバイ スには、1 ユーザー し か入れる こ と がで き ません。 つま り 、 ロー カ ル ユーザー ス ト アの ク ラ イ ア ン ト 証明書 は常に同 じ にな り ます (デス ク ト ッ プ またはラ ッ プ ト ッ プ デバイ スに は複数のユーザーを設定で き ます )。 • ユーザーが ク ラ イ ア ン ト デバ イ ス上で管理権限を持 っ ていない限 り 、 シス テム ス ト アは検索で き ません。 デ ィ レ ク ト リ名 デバ イ スのハー ド デ ィ ス ク 上に存在 し なければな ら ないデ ィ レ ク ト リ の名前を入力 し ます。 デ ィ レ ク ト リ 名で大文字 と 小文字は区別 さ れ ません。 • ジ ェ イルブ レ イ ク さ れた Apple iOS デバイ スの場合、 デ ィ レ ク ト リ 名は 「/Applications/Cydia.app」 にな り ます。 メ モ : ジ ェ イルブ レ イ ク さ れた iOS デバイ スのデバイ ス プ ロ フ ァ イ ルを作成する場合は、 プ ロ フ ァ イルに拒否 EPC ゾーン を必ず構成 し 、 こ のゾーン を少な く と も 1 つのコ ミ ュ ニ テ ィ に関連付けます。 362 | Aventail E-Class SRA 10.7 管理者ガ イ ド プ ラ ッ ト フ ォー ム 一致 Windows Mac OS X Linux Windows Mobile Apple iOS Android ( すべてに一 致) フ ァ イ ル名 デバイ スのハー ド デ ィ ス ク 上に存在 し なければな ら ない フ ァ イルの 名前 ( 拡張子 と 完全なパス を含む ) を入力 し ます。 フ ァ イル名で大文 字 と 小文字は区別 さ れません。 環境変数 (%windir%、 %userprofile% な ど ) やワ イル ド カ ー ド 文字 (* および ?) を使用で き ます。 オ プ シ ョ ン で、 [File size] に フ ァ イ ル サ イ ズ を 指定 で き、 [Last modified] に フ ァ イ ルが最後に変更 さ れた日時 (GMT) を指定で き ま す。両方のオプ シ ョ ン と も 、[Operator] に比較演算子を指定で き ます。 詳細お よ び例については、 368 ページの 「デバ イ ス プ ロ フ ァ イ ル属 性での比較演算子の使用」 を参照 し て く だ さ い。 フ ァ イルの変更日時 は、[Absolute] または [Relative] を選択 し て絶対値または相対値で 指定で き ます。 フ ァ イルの整合性の検証に MD5 または SHA-1 ハ ッ シ ュ を使用 ( すべ てのプ ラ ッ ト フ ォ ームで有効 ) し た り 、 Windows シ ス テム フ ァ イル の検証に Windows カ タ ログ フ ァ イルを使用 し た り する よ う に、 デバ イ ス プ ロ フ ァ イルを構成で き ます。 ジ ェ イ ルブ レ イ ク ま たはルー ト 化 さ れたデバ イ ス に よ り 使用 さ れる フ ァ イルの名前を チ ェ ッ ク するデバイ ス プ ロ フ ァ イルには、次の もの が含まれます。 • ジ ェ イルブ レ イ ク さ れた Apple iOS デバイ スの場合、 フ ァ イル名は 「cydia」 にな り ます。 • ルー ト 化 さ れた Android デバイ スの場合、 フ ァ イル名は 「/system/bin/su」 と 「/system/xbin/su」 にな り ます。 メ モ : ジ ェ イ ルブ レ イ ク さ れた iOS デバ イ ス ま たはルー ト 化 さ れた Android デバイ スのデバイ ス プ ロ フ ァ イルを作成する場合は、 各プ ロ フ ァ イルに拒否 EPC ゾーン を必ず構成 し 、 こ れ ら のゾーン を それぞ れ少な く と も 1 つの コ ミ ュ ニ テ ィ に関連付けます。 iOS バージ ョ ン プ ラ ッ ト フ ォー ム 一致 Windows Mac OS X Linux Windows Mobile Apple iOS Android ( すべてに一 致) プ ラ ッ ト フ ォー ム オペ レーテ ィ ング シス テムの メ ジ ャ ー バージ ョ ン、 マ イ ナー バージ ョ ン、 および Apple iOS ビル ド 番号を入力 し ます。 例えば、 iOS 5.0.1 build 9A405 については、 [Major] に 5、 [Minor] に 0、 [Build] に 9A405 と 指定 し ます。 [Operator] の比較演算子は、 3 つの値すべてに適用 さ れます。 例えば、 5.0 のすべ てのバージ ョ ン を指定するには、 [Operator] に >= ( 以上 ) と 入力 し 、 [Major] テ キス ト ボ ッ ク スに 5、 [Minor] テキス ト ボ ッ ク スに 0 と 入力 し ます。 詳細につい ては、 368 ページの 「デバ イ ス プ ロ フ ァ イ ル属性での比較演算子の使用」 を参照 し て く だ さ い。 End Point Control | 363 プ ラ ッ ト フ ォー ム Mac OS X バージ ョ ン オペ レーテ ィ ング シス テムの メ ジ ャ ー バージ ョ ン、 マ イ ナー バージ ョ ン、 および Mac OS X ビル ド 番号を入力 し ます。 Mac OS のバージ ョ ンの例を次に示 し ます。 • v10.2 (Jaguar) • v10.3 (Panther) • v10.4.4 (Tiger) • v10.5.6 (Leopard) [Operator] の比較演算子は、 3 つの値すべてに適用 さ れます。 例えば、 Leopard の すべてのバージ ョ ン を指定するには、[Operator] に >= ( 以上 ) と 入力 し 、[Major] テキス ト ボ ッ ク スに 10、 [Minor] テキス ト ボ ッ ク スに 5 と 入力 し ます。 詳細につ いては、 368 ページの 「デバ イ ス プ ロ フ ァ イ ル属性での比較演算子の使用」 を参 照 し て く だ さ い。 パー ソ ナル フ ァ イ アウ ォ ール プ ロ グ ラ ム プ ラ ッ ト フ ォー ム 一致 ( こ の属性は Advanced EPC を使用 し てい る場合のみ使用で き ます。 Windows )EPC が こ のプ ロ フ ァ イルでチ ェ ッ ク する フ ァ イ アウ ォ ール プ ログ ラ Mac OS X ム を 選択 し ま す。 詳細につい ては、 365 ペー ジの 「Advanced EPC: Linux セキ ュ リ テ ィ プ ロ グ ラ ムの拡張 リ ス ト 」 を参照 し て く だ さ い。 Advanced EPC を使用 し ていない場合、 またはユーザーが必要 と する セキ ュ リ テ ィ プ ログ ラ ムが表示 さ れない場合は、ア プ リ ケーシ ョ ン や フ ァ イ ル名 な どの別の属性を使用 し てデバ イ ス プ ロ フ ァ イ ルに追加 する こ と で、 プ ログ ラ ムを指定で き ます。 Windows ド メ イ ン プ ラ ッ ト フ ォー ム 一致 コ ン ピ ュ ー タ が 属 す る ド メ イ ン 名 を、 DNS 接尾辞 を 付 け ず に Windows NetBIOS 構文で入力 し ます (mycompany な ど )。 複数のエ ン ト リ は、 セ ミ コ ロ ン を使用 し て区切 り ます。 ド メ イ ン ではワ イル ド カ ー ド 文字 (* および ?) を使用で き ます。 Windows レ ジ ス ト リ エ ン ト リ ( いずれかに 一致 ) プ ラ ッ ト フ ォー ム 一致 [Key name] にキー名を入力 し ます。また、オプ シ ョ ン で [Value name] Windows に 値、 [Data] に デ ー タ を 入力 で き ま す。 [Data] フ ィ ー ル ド で は Windows Mobile [Operator] に比較演算子を選択で き ます。 詳細については、 368 ペー ジの 「デバ イ ス プ ロ フ ァ イ ル属性での比較演算子の使用」 を参照 し て く だ さ い。 ワ イル ド カ ー ド は値 と デー タ の指定に使用で き ますが、 キーには使用 で き ません。 特殊文字 ( ワ イル ド カ ー ド やバ ッ ク ス ラ ッ シ ュ な ど ) を 使用す る 場合は、 その前にバ ッ ク ス ラ ッ シ ュ を 付け る必要があ り ま す。 364 | Aventail E-Class SRA 10.7 管理者ガ イ ド ( いずれかに 一致 ) ( すべてに一 致) Windows バージ ョ ン プ ラ ッ ト フ ォー ム オペ レーテ ィ ング シス テムの メ ジ ャ ー バージ ョ ン、 マ イ ナー バージ ョ ン、 および Windows ビル ド 番号を入力 し ます。 Windows の メ ジ ャ ー / マ イ ナー バージ ョ ンの例を次に Windows Mobile 示 し ます。 • Windows Vista: 6/0 • Windows XP: 5/1 • Windows 2000: 5/0 [Operator] の比較演算子は、 3 つの値すべてに適用 さ れます。 詳細については、 368 ページの 「デバ イ ス プ ロ フ ァ イ ル属性での比較演算子の使用」 を参照 し て く だ さ い。 Advanced EPC: セキュ リ テ ィ プ ログ ラムの拡張 リ ス ト Advanced EPC は、 セキ ュ リ テ ィ プ ロ グ ラ ムの詳細な拡張 リ ス ト を 提供す る オ プ シ ョ ン コ ン ポ ー ネ ン ト ( 別途の ラ イ セ ン ス ) で す。 EPC デバ イ ス プ ロ フ ァ イ ル を 構成 し て、 Microsoft Windows や Mac OS X を実行す る ク ラ イ ア ン ト でパー ソ ナル フ ァ イ ア ウ ォ ール、 ア ン チ ウ イ ルス お よ びスパ イ ウ ェ ア プ ロ グ ラ ム を チ ェ ッ ク し た り 、 Linux を 実行す る ク ラ イ ア ン ト でパー ソ ナル フ ァ イ ア ウ ォ ールやア ン チ ウ イ ルス プ ロ グ ラ ム を チ ェ ッ ク し た り で き ま す。 Advanced EPC には組み込みデバ イ ス プ ロ フ ァ イ ル リ ス ト が含まれ、 そのま ま で、 ま たは変更 し て使用で き ます ( 詳細は 367 ページの 「Advanced EPC: 構成済みのデバ イ ス プ ロ フ ァ イ ル の使用」 を参照 )。 Advanced EPC を使用 し て属性を追加す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 2. [Zones and Device Profiles] セ ク シ ョ ンの [Edit] リ ン ク を ク リ ッ ク し ま す。 [Configure Zones and Devices] ページが表示 さ れます。 3. [Device Profiles] タ ブ で [New] を ク リ ッ ク し て、 リ ス ト か ら 任意のオペ レ ーテ ィ ン グ シ ス テム を選択 し ます 4. [Name] に プ ロ フ ァ イ ル名を指定 し た ら ([Description] はオ プ シ ョ ン )、 [Type] に EPC が チ ェ ッ ク す る プ ロ グ ラ ムの タ イ プ (Antivirus program な ど ) を選択 し ます (Linux プ ラ ッ ト フ ォ ームでは Antispyware program を選択で き ません )。 5. [Vendor] と [Product name] にベ ン ダー と 製品名を それぞれ選択 し ます。 Windows デバ イ ス プ ロ フ ァ イ ルでは、 ア ン チ ウ イ ルス、 ア ン チ スパ イ ウ ェ ア、 お よ びパー ソ ナル フ ァ イ ア ウ ォ ール ベ ン ダーについ て [Any product from this vendor] チ ェ ッ ク ボ ッ ク ス を選択 し 、 すべての製品名を選択 し て、ベ ン ダーが新バージ ョ ン を リ リ ースす る たびに更新す る必要が ない プ ロ フ ァ イ ルを作成 し ます。 こ のオ プ シ ョ ン を選択す る場合で も 、 リ ス ト 内のすべての 製品のすべてのバージ ョ ンが当該機能をサポー ト す る限 り 、 更新 さ れた シ グネ チ ャ 、 スキ ャ ン さ れた フ ァ イ ル シ ス テム、 有効な リ アル タ イ ムの保護な どの追加条件 を 指定す る 必要が あ り ます。 6. [Product version] に製品バージ ョ ン を絶対値ま たは相対値で指定 し ます。 一部 の製 品は い く つ か の異 な る 名称 で 知 ら れ て い ま す。 例 え ば、 McAfee 社は McAfee VirusScan と い う コ ア 製品 を 提供 し て い ま すが、 こ れは McAfee VirusScan 2004 お よ び McAfee VirusScan 2005 と い う 名称で も 知 ら れて い ま す ( ア ス タ リ ス ク が付いた製品名を選 択す る と 、 その 「 コ ア」 製品名を示す補足情報が表示 さ れます )。 補足情報に示 さ れた名前 を使用す る こ と が推奨 さ れま す。 こ れに よ り 、 コ ア製品が新 し い名称で販売 さ れる たびに、 デバ イ ス プ ロ フ ァ イ ルを更新す る必要がな く な り ます。 End Point Control | 365 7. 8. デバ イ ス プ ロ フ ァ イ ルで必要な セキ ュ リ テ ィ プ ロ グ ラ ム設定を よ り 細か く 定義で き る よ う に、 次のよ う な オ プ シ ョ ン パ ラ メ ー タ が提供 さ れま す ( 各プ ロ グ ラ ムですべてのパ ラ メ ー タ が選択可能なわけではあ り ません。選択で き な いパ ラ メ ー タ はグ レ ー表示 さ れて い ます )。 • Signatures updated: ク ラ イ ア ン ト デバ イ ス で、 ア ン チ スパ イ ウ ェ ア ま たはア ン チウ イ ルスのシ グネ チ ャ の リ ス ト がどの程度最近更新 さ れたかを定義 し ます。 • File system scanned: こ のア ン チ スパ イ ウ ェ ア ま たはア ン チ ウ イ ルス プ ロ グ ラ ム を使 用 し て、ク ラ イ ア ン ト デバ イ スのデ ィ ス ク がどの程度最近スキ ャ ン さ れたかを定義 し ま す。 • Realtime protection required: デバ イ ス プ ロ フ ァ イ ルで ウ イ ルスやスパ イ ウ ェ アの リ アル タ イ ム スキ ャ ン を 有効にす る こ と を要求す る場合は、 こ のチ ェ ッ ク ボ ッ ク ス を選 択 し ます。 [Add to Current Attributes] ボ タ ン を ク リ ッ ク し て、エ ン ト リ を リ ス ト ( ページ下部 ) に追 加 し ます。 他のプ ロ グ ラ ム を追加す る場合 ( 例えばデバ イ ス プ ロ フ ァ イ ルが複数のプ ロ グ ラ ム を チ ェ ッ ク す る よ う に指定す る 場合 )、 デバ イ ス プ ロ フ ァ イ ルはデバ イ ス上の すべて (and) ま たは いずれか (or) の項目に一致 し なければな り ません。 • 追加のア ン チ ウ イ ルス プ ロ グ ラ ムはグルー プ化 さ れますが、 デバ イ ス プ ロ フ ァ イ ルで はいずれか 1 つのプ ロ グ ラ ムに一致す る こ と だけが求め ら れま す。 • 複数のア ン チ スパ イ ウ ェ ア プ ロ グ ラ ム を指定す る場合は、 すべてが必須か (and) 、 い ずれか 1 つだけが必要か (or) を指定で き ま す。 例えば、 次のデバ イ ス プ ロ フ ァ イ ルは、 2 つのア ン チウ イ ルス プ ロ グ ラ ムの う ち いずれか が存在 し 、 同時に 2 つのア ン チ スパ イ ウ ェ ア プ ロ グ ラ ムの う ち いずれかが存在す る場合に 一致 し ます。 9. メモ [Save] を ク リ ッ ク し ます。 選択で き る製品名には、 極東言語の文字を使用 し て い る も の も 含まれます。 オペ レ ー テ ィ ン グ シ ス テム で イ ン タ ーナ シ ョ ナル サポー ト が有効に な っ て いな い場合、 こ れ ら の文字 はボ ッ ク スや疑問符で表示 さ れ る こ と があ り ま す。 例えば Symantec 製品の中には、 適 切な フ ォ ン ト がサポー ト さ れて いな い場合に次のよ う に表示 さ れる製品名があ り ます。 イ ン タ ーナ シ ョ ナル サポー ト が有効な場合は、 次のよ う に表示 さ れます。 Advanced EPC: フ ォールバ ッ ク検出の使用 フ ォ ールバ ッ ク 検出は、 Advanced EPC を 使用 し て、 OESIS で識別 さ れ る よ り も 新 し いベ ン ダー ソ フ ト ウ ェ ア バージ ョ ン を検出 し ま す。こ れに よ り 、ゾー ンの分類が継承 さ れます。フ ォ ー ルバ ッ ク 検出は、 すべて検出 し たいバージ ョ ン について、 EPC 定義を使用 し て完全に信頼す る 366 | Aventail E-Class SRA 10.7 管理者ガ イ ド プ ロ フ ァ イ ル を 補完 し ま す ( 例 え ば、 Microsoft Security Essentials バー ジ ョ ン 4.x 以降 )。 Windows Security Center (WSC) を使用す る フ ォ ールバ ッ ク 検出は、 Windows ベースのア ン チ ウ イ ルス、 ア ン チ スパ イ ウ ェ ア、 お よ びパー ソ ナル フ ァ イ ア ウ ォ ール製品向けに構成で き ます。 例えば、ユーザーは McAfee Antivirus を使用 し て ロ グ イ ン す る際に信頼ゾー ン に入れ ら れます。 よ り 新 し いバージ ョ ンの McAfee に更新 し て ロ グ イ ン す る と 、WSC の フ ォ ールバ ッ ク 機能に よ り 信頼 フ ォ ールバ ッ ク ゾ ー ン に一致 し 、 ア ク セ スが許可 さ れます。 Dell SonicWALL SRA が McAfee の新 し いバージ ョ ン をサポー ト す る よ う に な る と 、 管理者は 信頼ゾ ー ン のポ リ シ ー を 更新す る だけ で新 し いバー ジ ョ ン を 含め る こ と がで き ま す。 こ れに よ り 、 管理者はア ン チ ウ イ ルスの特定バージ ョ ン に一致す る デバ イ ス と 、 特定バージ ョ ン に一致 せずに フ ォ ールバ ッ ク ロ ジ ッ ク に一致す る デバ イ ス を簡単に区別で き ます。 フ ォ ールバ ッ ク 検出を使用す る には、プ ラ イ マ リ EPC ゾ ー ンのデバ イ ス プ ロ フ ァ イ ルの 構成で [Any product from this vendor] オ プ シ ョ ン を 「非選択」 に し て、 ア ン チウ イ ル ス、 ア ン チ スパ イ ウ ェ ア、 お よ び フ ァ イ ア ウ ォ ール製品の特定バージ ョ ン を含め る必要が あ り ます。 メモ フ ォ ールバ ッ ク 検出を構成す る には、 次の手順を実行 し ます。 1. 次の値を使用 し て、 信頼 さ れる フ ォ ールバ ッ ク 用に新 し いデバ イ ス プ ロ フ ァ イ ルを作成 し ます。 a. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 b. [Zones and Device Profiles] セ ク シ ョ ンの [Edit] リ ン ク を ク リ ッ ク し ま す。 [Configure Zones and Devices] ページが表示 さ れます。 c. [Device Profiles] セ ク シ ョ ン で、 [New] を ク リ ッ ク し て [Microsoft Windows] を選択 し ます。 d. [Name] に新 し いデバ イ ス プ ロ フ ァ イ ルの名前 を入力 し ます。 e. [Type] ド ロ ッ プ ダウ ン リ ス ト か ら 、 [Antivirus program]、 [Antispyware program]、 ま たは [Personal firewall program] を選択 し ます。 f. [Vendor] ド ロ ッ プ ダウ ン リ ス ト か ら 、 その製品を提供す る ベ ン ダー を選択 し ま す。 g. [Product] ド ロ ッ プ ダウ ン リ ス ト か ら 、 [Other <vendor> <type>] ( 「Other Aliant Firewall」 な ど ) を選択 し ま す。 [Any product from this vendor] チ ェ ッ ク ボ ッ ク スは非選択に し ます。 h. [Product version] を >= x に設定 し ます。 i. [Signatures updated] と [Realtime protection required] を有効に し ま す ( 該当す る場 合 )。 j. [Save] を ク リ ッ ク し ます。 2. 信頼 フ ォ ールバ ッ ク ゾー ン を作成 し て、 こ のゾー ン に信頼 フ ォ ールバ ッ ク プ ロ フ ァ イ ルを 追加 し ます。 オ プ シ ョ ン で、 セキ ュ リ テ ィ 要件に応 じ て、 信頼お よ び信頼 フ ォ ールバ ッ ク のプ ロ フ ァ イ ル を 1 つのゾー ン に組み合わせる こ と がで き ます。 た だ し 、 個別の信頼 フ ォ ールバ ッ ク ゾー ン を使用す る こ と で、ユーザーが信頼ゾー ン に一致 し な い ソ フ ト ウ ェ ア を更新す る と き に簡 単に把握で き るので、 信頼ゾー ン に新バージ ョ ン を追加す る タ イ ミ ン グが分か り ます。 3. コ ミ ュ ニ テ ィ で、 信頼ゾー ンのす ぐ 下にあ る レ ルム リ ス ト に信頼 フ ォ ールバ ッ ク ゾー ン を 追加 し ます。 Advanced EPC: 構成済みのデバイ ス プ ロ フ ァ イルの使用 End Point Control | 367 End Point Control の導入を支援す る ため、 構成済みのデバ イ ス プ ロ フ ァ イ ルがい く つか用意 さ れ、 オペ レ ーテ ィ ン グ シ ス テムご と にグルー プ化 さ れて い ます。 こ れ ら のデバ イ ス プ ロ フ ァ イ ルは そ の ま ま、 ま た は ア ク セ ス ポ リ シ ーや リ ソ ー ス 要件に合わせ て 変更 し て 使用 で き ま す。 AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し て、[Zones and Device Profiles] セ ク シ ョ ン で [Edit] を ク リ ッ ク し ま す。 こ れに よ り 、 次の リ ス ト が表示 さ れま す。 • • • • • Home Users McAfee Corporate Norton Corporate Sophos Corporate Trend Micro Corporate 例 え ば Windows - McAfee Corporate と い う 名 前 の デ バ イ ス プ ロ フ ァ イ ル は、 McAfee VirusScan Enterprise ( バージ ョ ン 7.50.0 以降 ) の他、 指定 さ れたパー ソ ナル フ ァ イ ア ウ ォ ー ル製品のいずれかが必要 と な る よ う に、 あ ら か じ め構成 さ れて い ます。 属性 タ イ プ 製品名 ア ン チウ イルス プ ログ McAfee VirusScan Enterprise バージ ョ ン 7.5.0.x 以 ラム 降 および パ ー ソ ナ ル フ ァ イ ア McAfee Personal Firewall Express バ ー ジ ョ ン 5.x ウ ォ ール 以降 または McAfee Personal Firewall Plus バージ ョ ン 5.x 以降 こ れ ら の構成済みプ ロ フ ァ イ ル を 元に し て、 独自のプ ロ フ ァ イ ル を 作成で き ま す。 環境に も っ と も 近い プ ロ フ ァ イ ル を コ ピ ー し て変更 し ま す。 例えば、 承認で き る 製品バー ジ ョ ン や、 ク ラ イ ア ン ト デバ イ ス で ア ン チ スパ イ ウ ェ ア ま たはア ン チウ イ ルスのシ グネ チ ャ の リ ス ト がどの程 度最近更新 さ れて い な ければな ら な いか と い う 要件な ど を 変更で き ま す。 現在の属性 リ ス ト 内 の行全体を削除す る には、 その行に対応す る チ ェ ッ ク ボ ッ ク ス を選択 し て、 [Delete] を ク リ ッ ク し ます。 OR リ ス ト の項目 ( 例えば、 McAfee Corporate プ ロ フ ァ イ ルのパー ソ ナル フ ァ イ ア ウ ォ ール製品の 1 つ ) を削除す る場合は、 マ ウ スの カ ー ソ ルを 「or」 の上に動か し て、 表示 さ れる赤の 「X」 を ク リ ッ ク し ま す。 デバイ ス プ ロ フ ァ イル属性での比較演算子の使用 一部のデバ イ ス プ ロ フ ァ イ ル属性は、 比較演算子を使用 し て変更で き るので、 次のよ う な状況 で使用す る と 便利です。 ク ラ イ ア ン ト デバ イ ス上の ソ フ ト ウ ェ アが自動的に更新 さ れる場合、 その ソ フ ト ウ ェ ア に 合わせてデバ イ ス プ ロ フ ァ イ ルが更新 さ れる よ う にす る 場合。 ソ フ ト ウ ェ アが更新 さ れ る たびに手動で プ ロ フ ァ イ ルを変更す る必要があ り ません。 • 特定の日時よ り も 新 し い タ イ ムス タ ン プ を持つ フ ァ イ ルのみが ク ラ イ ア ン ト マ シ ン上で検 出 さ れる よ う 指定す る場合。 • 特定のバージ ョ ン以降の Windows オペ レ ーテ ィ ン グ シ ス テムが ク ラ イ ア ン ト デバ イ ス上 で検出 さ れる よ う 指定す る場合。 次の比較演算子を使用で き ます。 • 演算子 説明 < よ り小さい 368 | Aventail E-Class SRA 10.7 管理者ガ イ ド 演算子 説明 <= 以下 = 等しい >= 以上 > よ り 大き い != 等 し く ない 比較演算子は、 次のデバ イ ス プ ロ フ ァ イ ル属性 と 組み合わせて使用で き ます。 • • • • 特定 フ ァ イ ルの日付 も し く は タ イ ムス タ ン プ 特定 フ ァ イ ルのサ イ ズ レ ジ ス ト リ エ ン ト リ ( レ ジ ス ト リ キーに値デー タ が選択 さ れて い る場合 ) Windows バージ ョ ン 例 Microsoft Windows が動作す るパ ソ コ ン で、 最近更新 さ れた フ ァ イ ルを検出す る には、 次の手順 で操作 し ます。 相対ま たは絶対 フ ァ イ ル日付を指定す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 2. [Zones and Device Profiles] セ ク シ ョ ン で [Edit] リ ン ク を ク リ ッ ク し 、 [Device Profiles] セ ク シ ョ ン で [New] を ク リ ッ ク し ます。 3. メ ニ ュ ーか ら [Microsoft Windows] を選択 し ます。 4. [Name] テ キス ト ボ ッ ク スにデバ イ ス プ ロ フ ァ イ ル名を分か り やすい名前で入力 し ます。 5. ( オ プ シ ョ ン ) [Description] ボ ッ ク ス に、 デバ イ ス プ ロ フ ァ イ ルについて説明す る コ メ ン ト を入力 し ます。 6. [Add attribute(s)] エ リ ア で、 [Type] リ ス ト か ら [File name] を選択 し ます。 7. [File name] フ ィ ール ド に weekly_timesheet.xls と 入力 し ます。 フ ァ イ ルの タ イ ムス タ ン プ を指定す る場合、 例えば次のよ う な方法を使用 し ます。 8. • weekly_timesheet.xls が過去 5 日以内に更新 さ れてい る こ と を指定す る場合、 [Last modified] リ ス ト か ら <= を選択 し 、 [Relative] を ク リ ッ ク し て テ キス ト ボ ッ ク ス に 5 と 入力 し ます。 • こ の フ ァ イ ルが 2006 年 6 月 1 日以降に更新 さ れた こ と を指定す る場合、 [Last modified] リ ス ト か ら >= を選択 し 、 [Absolute] を ク リ ッ ク し て テ キス ト ボ ッ ク ス に 06/01/2006 と 入力 し ま す。 [Add to Current Attributes] を ク リ ッ ク し 、 [Save] を ク リ ッ ク し ます。 Connect Tunnel ク ラ イ ア ン ト での End Point Control の使用 Connect Tunnel ク ラ イ ア ン ト を 使用 し て ア プ ラ イ ア ン ス に 接続す る デバ イ ス で、 End Point Control を使用で き ます。 Connect Tunnel ク ラ イ ア ン ト の EPC の場合 も 、 他の方式の場合 と 同 様にデバ イ ス プ ロ フ ァ イ ル と EPC ゾ ー ン の使用がサポー ト さ れて い ま す。 た だ し 、 Connect Tunnel ク ラ イ ア ン ト では、 OPSWAT Secure Virtual Desktop や Cache Cleaner がサポー ト さ れません。 こ れ ら のデー タ 保護オ プ シ ョ ンは、Connect Tunnel ク ラ イ ア ン ト では無視 さ れます。 反復 EPC チ ェ ッ クの実行 : 例 End Point Control | 369 接続要求は、 デバ イ ス プ ロ フ ァ イ ルに定義 さ れた属性に基づい て EPC ゾー ン に分類 さ れます。 こ のチ ェ ッ ク は、 ユーザーの ロ グ イ ン 時に常に実行 さ れま す。 さ ら に、 特定のゾ ー ン につい て デバ イ スがプ ロ フ ァ イ ルに一致 し 続け て い る かど う か を 一定間隔で チ ェ ッ ク す る オ プ シ ョ ン も 使用で き ます。 こ の設定の使用方法 を、 例で説明 し ま す。 こ のシ ナ リ オ では、 シ ス テ ム管理者が組織内の各シ ス テム エ ン ジ ニ ア に USB デバ イ ス を提供 し てい ます。 こ のデバ イ スは、 E-Class SRA ア プ ラ イ ア ン ス に よ り 保護 さ れ る リ ソ ー スへのア ク セ ス を 提供 し ま す。 こ れに よ り 、 2 要素認証が提 供 さ れます。 ユーザーのセ ッ シ ョ ン中に、 ア プ ラ イ ア ン スは USB デバ イ ス に関連付け ら れて い る ク ラ イ ア ン ト 証明書の存在 を 繰 り 返 し チ ェ ッ ク し ま す。 チ ェ ッ ク が失敗す る と セ ッ シ ョ ン が 終了 し ます。 ユーザーの認証の基本部分 ( ク ラ イ ア ン ト 証明書 ) は USB デバ イ ス上に存在す る ため、 シ ス テム エ ン ジ ニ アがキー を取 り 外す と 認証デー タ はシ ス テムに残 り ません。 シ ス テム エ ン ジ ニ アか ら 見た場合は、 次のよ う に認識 さ れます。 1. 自分の USB デバ イ ス を任意のデス ク ト ッ プや ラ ッ プ ト ッ プ デバ イ ス ( 信頼 さ れるか信頼 さ れないかを問わず ) に挿入 し ます。 デバ イ ス で Windows Vista と Internet Explorer 7 が実 行 さ れて い る場合は、 保護モー ド を オ フ にす る必要があ り ます。 2. 自分の PIN を入力 し ます。 3. VPN に ア ク セ スす る ために ロ グ イ ン し 、 認証 し ます。 ロ グ イ ン時、 お よ びその後定期的な 間隔 で、 E-Class SRA ア プ ラ イ ア ン ス が自分の ク ラ イ ア ン ト 証明書 を チ ェ ッ ク し ま す ( チ ェ ッ ク 間隔は E-Class SRA ア プ ラ イ ア ン スの管理者が設定 し ます )。 USB デバ イ ス を取 り 外す と 、 チ ェ ッ ク が失敗 し て接続が終了 し ます。 管理者が実行す る必要のあ る構成手続 き の概要は、 次の と お り です。 1. USB デバ イ ス と ア プ ラ イ ア ン スの間の信頼関係を確立す る には、EPC デバ イ ス プ ロ フ ァ イ ルのルー ト CA の証明書を参照す る必要があ り ま す。 証明書がすで に存在 し ない場合は、 ア プ ラ イ ア ン ス に 証明書 を イ ン ポ ー ト し ま す ( メ イ ン ナ ビ ゲ ー シ ョ ン メ ニ ュ ー の [SSL Settings] を ク リ ッ ク し て、 [CA Certificates] エ リ ア で [Edit] を ク リ ッ ク し ます )。 2. Aventail 管理 コ ン ソ ール (AMC) を使用 し て、 Windows、 Mac、 ま たは Linux デバ イ ス向け デバ イ ス プ ロ フ ァ イ ルを作成 し ます。 こ れに よ り 、 配布予定の USB デバ イ ス で ク ラ イ ア ン ト 証明書の存在がチ ェ ッ ク さ れま す。 証明書は、 手順 1 のルー ト 証明書に由来す る も ので な ければ な り ま せん。 Windows 向けデバ イ ス プ ロ フ ァ イ ル を 作成す る 際は、 シ ス テ ム と ユーザー証明書の両方のス ト ア を必ず検索対象 と し ます。 3. 前の手順か ら のデバ イ ス プ ロ フ ァ イ ルを必要 と す る EPC 標準ゾ ー ン を作成 し ます。 4. ゾー ン を定義す る際に、 こ のゾー ン に分類 さ れる ク ラ イ ア ン ト シ ス テムに対す る EPC の チ ェ ッ ク 間隔を、 [Recurring EPC] エ リ ア で指定 し ます。 こ のケース では、 頻繁な チ ェ ッ ク ( 例えば、 毎分のチ ェ ッ ク ) を実行す る よ う に指定 し ま す。 メモ 5. EPC の反復チ ェ ッ ク 間隔を 10 分未満に設定す る と 、 予期 し な い結果が生 じ る こ と があ り ます。 一致す る プ ロ フ ァ イ ルがな いデバ イ ス ( ク ラ イ ア ン ト 証明書が手順 1 で特定 さ れたルー ト CA 証明書に由来 し ない、 ま たは USB デバ イ スに証明書がない ) は、 デ フ ォ ル ト ゾー ン ま たは隔離ゾー ンのいずれかに 「送 り 込まれる」 こ と に な り ます。 • 設定 し た条件を満た さ な い接続要求に対 し て ア ク セ ス を拒否す る には、デ フ ォ ル ト ゾー ンが単純に ア ク セ ス を拒否す る よ う に構成 し ます。[Zone Definition] ページの [Access restrictions] エ リ ア で、 [Block VPN access] を選択 し ます。 • 必要に応 じ て、 隔離ゾー ン を作成 し 、 ユーザーに提示 さ れる メ ッ セージ を カ ス タ マ イ ズ す る こ と も 可能です。 例えば、 ユーザーのシ ス テム を セキ ュ リ テ ィ ポ リ シーに準拠 さ せ る上での必要事項を説明で き ます。 370 | Aventail E-Class SRA 10.7 管理者ガ イ ド 接続に USB デバ イ スの存在が必要で あ る こ と を、 ユーザーが理解す る こ と が重要です。 こ のため、 USB デバ イ ス を挿入 し た ま ま放置 し てはな り ません。 メモ 特殊な状況向けのゾーンの作成 大部分の接続要求 (Microsoft Windows と Internet Explorer、 Google Chrome ま た は Mozilla Firefox を使用す る要求 ) は、 標準のゾ ー ン構成で対応で き ますが、 他のオペ レ ーテ ィ ン グ シ ス テ ムやブ ラ ウザ、 ま たは定義済みのゾ ー ン のいずれに も 一致 し な い接続要求 と い っ た特殊な状 況に対応 し な ければな ら な い場合 も あ り ま す。 ゾ ー ン と デバ イ ス プ ロ フ ァ イ ル を 使用す る と 、 次のよ う な状況に対応で き ます。 定義 さ れて い る ゾー ンやデバ イ ス プ ロ フ ァ イ ルの基準に一致 し ない ク ラ イ ア ン ト 。 • ク ラ イ ア ン ト を EPC ゾー ン に分類す る上で必要な EPC イ ン タ ロ ゲーシ ョ ン をサポー ト し てい ない ク ラ イ ア ン ト 。 • Windows で特定の Web ブ ラ ウザ (Internet Explorer、 Google Chrome、 お よ び Firefox 以 外 ) を実行す る ク ラ イ ア ン ト 、 ま たは以前のバージ ョ ンの Windows (Windows XP よ り 前 ) を実行す る ユーザー。 • 実行す る ク ラ イ ア ン ト デバ イ ス に関係な く ア ク セ ス を必要 と す る特殊な ク ラ スのユー ザー。 ま た、 グ ロ ーバルのデ フ ォ ル ト ゾー ン を構成 し 、 AMC で構成 さ れて い る すべての コ ミ ュ ニ テ ィ に暗黙的に存在す る よ う に し ます。 • 特定のブ ラ ウザまたは以前のバージ ョ ンの Windows に対する ゾーンの定義 ユーザーが E-Class SRA ア プ ラ イ ア ン ス に接続す る 場合、 ア プ ラ イ ア ン スはユーザーの コ ン ピ ュ ー タ の イ ン タ ロ ゲーシ ョ ン を実行 し 、( 例えば ) 動作中のオペ レ ーテ ィ ン グ シ ス テムお よ び 使用中の Web ブ ラ ウ ザ を 判定 し ま す。 EPC で は、 Windows XP 以降 と 、 Internet Explorer、 Google Chrome ま たは Firefox のいずれかが必要 で すが、 こ の よ う な 要件に一致 し な い ユー ザー向けに特殊な ゾー ン を定義で き ます。 こ れに よ り 、 ユーザーがデ フ ォ ル ト ゾー ン に配置 さ れ、 ア ク セ スがブ ロ ッ ク さ れ る こ と がな い よ う に対処で き ま す。 こ のゾ ー ン の タ イ プ を 区別す る ための唯一の属性は、 Windows シ ス テムの存在です。 こ の構成は、 Windows XP よ り も 前のバージ ョ ンの Microsoft Windows を実行す る ユーザー向 けに ゾー ン を定義す る と き に も 使用で き ます。 非標準ブ ラ ウザを使用す る ク ラ イ ア ン ト 向けのゾー ン を定義す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 2. [End Point Control Settings] ページの [Zones and Device Profiles] セ ク シ ョ ン で、 [Edit] リ ン ク を ク リ ッ ク し ます。 [Configure Zones and Devices] ページが表示 さ れます。 3. [Zones] セ ク シ ョ ン で [New] を ク リ ッ ク し て、 メ ニ ュ ーか ら [Standard zone] を選択 し ま す。 [Zone Definition] ページが表示 さ れます。 4. [Name] ボ ッ ク ス で、 ゾー ン名を分か り やすい名前で入力 し ます。 5. [Description] ボ ッ ク ス に、特殊ブ ラ ウザのゾ ー ン につい て説明す る コ メ ン ト を入力 し ます。 6. [Device Profiles] セ ク シ ョ ン で [New] を ク リ ッ ク し 、 メ ニ ュ ーか ら [Microsoft Windows] を選択 し ます。 [Device Profile Definition] ページが表示 さ れま す。 7. [Name] ボ ッ ク ス で、 デバ イ ス プ ロ フ ァ イ ル名 を分か り やすい名前で入力 し ます。 8. [Description] ボ ッ ク ス に、 デバ イ ス プ ロ フ ァ イ ルについて説明す る コ メ ン ト を入力 し ま す。 End Point Control | 371 9. [Add attribute] エ リ ア で、 [Type] リ ス ト か ら [Windows version] を選択 し て、 [Add to current attributes] を ク リ ッ ク し ま す。 他の属性設定は指定 し ない で く だ さ い。 10. [Save] を ク リ ッ ク し ます。 11. こ のゾー ン に入れたい ブ ラ ウザのデバ イ ス プ ロ フ ァ イ ルに対応す る チ ェ ッ ク ボ ッ ク ス を選 択 し ます。 12. >> ボ タ ン を使用 し て、 項目を [In use] リ ス ト に移動 さ せます。 13. こ のデバ イ ス プ ロ フ ァ イ ルでデー タ 保護 コ ン ポーネ ン ト の存在を要求す る場合は、 [Required data protection tool] リ ス ト か ら 、 [Secure Virtual Desktop] ま たは [Cache Cleaner] を選択 し ます。 Cache Cleaner は Linux プ ラ ッ ト フ ォ ームではサポー ト さ れて い ません。SVD は Windows でのみサポー ト さ れて い ます。 14. ゾー ンの構成が終わ っ た ら 、 [Save] を ク リ ッ ク し ます。 未登録デバイ スからの機器 ID の収集 Windows デス ク ト ッ プ お よ びモバ イ ル デバ イ スは、 それぞれ一意の識別子を持ち ます。 こ の識 別子を デバ イ ス プ ロ フ ァ イ ルで使用す る こ と に よ り 、 特定デバ イ ス だけが保護 さ れた リ ソ ース に ア ク セ ス で き る よ う に保証で き ます。 た だ し 、機器 ID デー タ を デ ィ レ ク ト リ サーバーにユー ザー属性 と し て追加す る には、 まずデー タ を 収集す る 必要があ り ま す。 こ れには、 い く つかの 方法があ り ます。 • • • • • メモ 未登録デバ イ スのデバ イ ス プ ロ フ ァ イ ルを作成 し 、 ユーザーのロ グ イ ン を実行す る。 こ れ に よ り 、 デバ イ ス ID が Unregistered device log に収集 さ れます。 374 ページの 「未登録デ バ イ ス を許可す る デバ イ ス プ ロ フ ァ イ ルの作成」 を参照 し て く だ さ い。 デバ イ ス ID を使用す るが [Match Profile if user has no registered devices] オ プ シ ョ ン が有効化 さ れて いな いデバ イ ス プ ロ フ ァ イ ルを作成す る。375 ページの「デバ イ ス プ ロ フ ァ イ ルでの [Match Profile if user has no registered devices] の無効化」 を参照 し て く だ さ い。 未登録デバ イ ス を使用 し て ロ グ イ ン す る ユーザーに一致す る デバ イ ス プ ロ フ ァ イ ルに関連 付け ら れた隔離ゾー ン を作成す る。 376 ページの 「未登録デバ イ スの隔離」 を参照 し て く だ さ い。 未登録デバ イ ス を使用 し て ロ グ イ ン す る ユーザーに一致す る デバ イ ス プ ロ フ ァ イ ルに関連 付け ら れた拒否ゾ ー ン を 作成す る。 376 ページの 「未登録デバ イ スのロ ッ ク ア ウ ト 」 を 参 照 し て く だ さ い。 未登録デバ イ ス に よ る ロ グ イ ンの試行についてのロ グ メ ッ セージ を、 外部マ シ ン に エ ク ス ポー ト す る。 外部マ シ ン では、 IT 管理者が リ ス ト を 表示 し て デバ イ ス を 登録す る か、 ま た はデバ イ スが自動的に登録 さ れます。 376 ページの 「外部処理向け と し ての未登録デバ イ ス ロ グのエ ク スポー ト 」 を参照 し て く だ さ い。 バ ッ ク エ ン ド AD ま たは LDAP サーバーに登録 さ れて い る デバ イ ス を ユーザーが使用 し て いず、 ま たデバ イ ス プ ロ フ ァ イ ルにハー ド コ ーデ ィ ン グ さ れたデバ イ スがな い場合、 [Match profile if user has no registered devices] チ ェ ッ ク ボ ッ ク スが選択 さ れて いれ ば適用可能に な り ます。 例えば、 AD/LDAP サーバーでユーザー test 向けに 2 つの属性が作成 さ れて い る場合、 こ れ ら の属性は 2 つのポ リ シー変数に マ ッ ピ ン グ さ れます。 デバ イ ス プ ロ フ ァ イ ルが作成 さ れ、 こ れ ら 2 つの変数 と 機器 ID の 4JV5DQH1 が含まれます。 チ ェ ッ ク ボ ッ ク スが選択 さ れます。 デバ イ ス プ ロ フ ァ イ ルは、 std_desc と い う ゾ ー ンの一部です。 ユーザー test と は異な り 、 ユーザー test1 はバ ッ ク エ ン ド の LDAP/AD サーバーに設定 さ れてい ません。 372 | Aventail E-Class SRA 10.7 管理者ガ イ ド ユーザー test は、バ ッ ク エ ン ド サーバーに登録 さ れて い る デバ イ ス を使用 し て ロ グ イ ン し ます。 ゾ ー ン の分類は std_desc で す。 一方、 ユーザー test1 は同 じ デバ イ ス で ロ グ イ ン し て も 、 デ フ ォ ル ト ゾ ー ン に分類 さ れます。 こ の場合、 ユーザー test1 に対 し て チ ェ ッ ク ボ ッ ク スは適用 さ れません。 た だ し 、 デバ イ ス プ ロ フ ァ イ ルか ら デバ イ ス ID であ る 4JV5DQH1 を削除 し 、 2 つのポ リ シー 変数のみ を 残す と 、 ユーザー test1 に異な る ゾ ー ン 分類が適用 さ れま す。 こ の場合、 ユーザー test は登録デバ イ ス を 使用 し て ロ グ イ ン し 、 std_desc ゾ ー ン に分類 さ れま す。 ユーザー test1 がロ グ イ ン す る と 、 やは り std_desc ゾー ン に分類 さ れます。 こ こ では、 ユーザー test1 が登録 デバ イ ス を持たず、 ゾー ンのデバ イ ス プ ロ フ ァ イ ルに含まれる 2 つのポ リ シー変数が NULL 値 を戻 し 、デバ イ ス プ ロ フ ァ イ ルにはハー ド コ ーデ ィ ン グ さ れた第 3 のデバ イ スが存在す る ため に、 チ ェ ッ ク ボ ッ ク スが適用 さ れます。 モバ イ ル デバ イ ス を使用 し てい る場合、デバ イ ス ID がすで にデー タ ベース に入力 さ れて い る可 能性があ り ま す。 こ の場合は、 プ ロ フ ァ イ ル内で参照で き ま す。 こ れ ら のデバ イ スのいずれか か ら ロ グ イ ン す る ユーザーは、 こ のプ ロ フ ァ イ ルに一致 し 、 関連ゾー ンの条件を満た し ます。 通 常、 デ バ イ ス 識 別 子 は、 認 証 デ ィ レ ク ト リ に 含 ま れ る 属 性 で あ り 、 変 数 で 表 さ れ ま す ({device_identity} な ど )。識別子の形式は、使用 さ れる デバ イ スの種類に応 じ て異な り ます。 Microsoft Windows デバ イ スの場合、 識別子はハー ド ド ラ イ ブの一意のシ リ アル番号です (WD-WMAM9SK79685 な ど )。 • Mac OS X デバ イ スの場合、 Universal Unique Identifier (UUID) が使用 さ れます。 UUID は、 UUID を生成 し た ホ ス ト のネ ッ ト ワー ク ア ド レ ス、 タ イ ムス タ ン プ、 お よ び ラ ン ダムな数字 への参照を組み合わせた 128 ビ ッ ト の数値です。 UUID は、 951A240E-F502-5632-BDABD1ECA43FA371 のよ う に な り ます。 • Linux デバ イ スの場合、 UUID がデバ イ ス識別子に な り ます。 • 仮想マ シ ンの場合、 UUID がデバ イ ス識別子に な り ます。 • Windows Mobile 6 デバ イ スの場合、識別子はデバ イ スの一意の 15 桁の IMEI (International Mobile Equipment Identity) コ ー ド です。 例えば、 350077-52-323751-3 のよ う に な り ます。 • Nokia Symbian デバ イ スの場合、 識別子は一意の 15 桁の IMEI です。 • Google Android デバ イ スの場合、 デバ イ スのシ リ アル番号が識別子に な り ます。 • Apple iPhone/iPad の場合、 デバ イ スのシ リ アル番号が識別子に な り ます。 • Apple iPhone の場合、 Exchange サーバー と 通信す る際に、 デバ イ スはそのデバ イ ス ID や シ リ アル番号の先頭に 「Appl」 を付け ま す。 例えば、 Appl828315FLY7H と な り ます。 ナ レ ッ ジ ベース #8901 の手続 き を使用す る と 、 Windows、 Mac、 ま たは Linux デバ イ スの一意 の ID を判断で き ます。 ナ レ ッ ジ ベースの場所は次の と お り です。 • http://www.E-Class SRA.com/us/support/2213.html ス マー ト フ ォ ンの正 し いデバ イ ス ID を取得す る別の方法 と し ては、 デバ イ スがア プ ラ イ ア ン ス への接続を試みた後に、 AMC ロ グの POST メ ッ セージ を表示す る操作があ り ま す。 [Logging] ページ に移動 し て、 [View Logs] タ ブの [Log file] ド ロ ッ プ ダウ ン リ ス ト で [Web proxy audit log] を選択 し ま す。 POST メ ッ セージは次のよ う に表示 さ れます。 http://10.10.11.12/Microsoft-ServerActiveSync?User=jt&DeviceId=Appl828315FLY7H&DeviceType=iPhone&Cmd=Sync デー タ ベース内の DeviceId の値を、 プ ロ フ ァ イ ルの参照用 と し て使用 し ます。 デ ィ レ ク ト リ サーバーは、 こ れ ら の タ イ プの ID に異な る属性を使用 し て セ ッ ト ア ッ プ し た り 、 単一の属性にデー タ を 格納 し た り で き ま す。 こ の例では、 単一の属性 と 変数が使用 さ れて い ま す。 End Point Control | 373 未登録デバ イ ス を許可す る デバ イ ス プ ロ フ ァ イ ルの作成 未登録デバ イ スか ら 機器 ID を収集す る には、 デバ イ ス プ ロ フ ァ イ ル と と も にデバ イ ス ID 変数 を使用 し ます。 1. 未登録デバ イ ス を使用す る ユーザーがロ グ イ ン す る AD ま たは LDAP 認証サーバー と レ ル ム を、 識別ま たはセ ッ ト ア ッ プ し ま す。 ゼ ロか ら 開始す る場合の詳細につい ては、 59 ペー ジの 「レ ルムの作成」 を参照 し て く だ さ い。 こ の例では、 レ ルムの名前は Employees です。 2. 手順 1 で指定 し たデ ィ レ ク ト リ サーバーの属性を指す device_identity と い う 変数を作成 し ます ( 指定先の属性がま だ存在 し な い場合で も 、変数を作成 し てデー タ を キ ャ プ チ ャ で き ま す )。 a. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Resources] を ク リ ッ ク し ま す。 b. [Variables] タ ブ で [New] を ク リ ッ ク し て、 変数名 (device_identity な ど ) を入力 し ます。 c. [Type] リ ス ト か ら [User attribute] を選択 し 、 [Realm] リ ス ト で [Employees] が選択 さ れて い る こ と を確認 し ます。 d. デバ イ ス ID のデー タ を保持す る ユーザー属性がすでに存在す る場合は、 [User] テキス ト ボ ッ ク スに有効なユーザー名を入力 し て、 [Attribute] リ ス ト か ら 属性を選択 し ます。 ま だ存在 し な い場合は、 [Attribute] テ キス ト ボ ッ ク スに属性名を入力 し ます。 e. 複数のデバ イ ス ( デス ク ト ッ プや ラ ッ プ ト ッ プ な ど ) に関連付け ら れる ユーザーがい る 可能性があ る場合は、 [Output] リ ス ト で [Multiple results] を選択 し ます。 3. 未登録デバ イ ス向けのデバ イ ス プ ロ フ ァ イ ル と ゾー ン を作成 し ます。 3 種類のデバ イ スす べてか ら デー タ を収集 し て い る場合は、 各デバ イ ス に 1 つのデバ イ ス プ ロ フ ァ イ ルが必要 と な り ます。 a. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し 、 EPC が有効に な っ て い る こ と を確認 し ます。 b. [Device Profiles] ページの [Zones and Device Profiles] セ ク シ ョ ン で [Edit] リ ン ク を ク リ ッ ク し 、[Device Profiles] セ ク シ ョ ン で [New] を ク リ ッ ク し 、 [Microsoft Windows]、 [Windows Mobile]、 ま たは [ActiveSync] を選択 し ま す。 c. デバ イ ス プ ロ フ ァ イ ルに名前 (Unregistered - Windows な ど ) を指定 し 、属性の [Type] リ ス ト で [Equipment ID] を選択 し ます。 d. [Value] と し て [Matches] を選択 し ます。 標準ゾー ンは、 後ほど こ の手順の中で作成 し ます。 e. [Device identifier] テキス ト ボ ッ ク スの横の [{variable}] ボ タ ン を ク リ ッ ク し 、 手順 2 で作成 し た変数を 選択 し 、 [Insert] を ク リ ッ ク し ま す。 再び [{variable}] を ク リ ッ ク し て、 リ ス ト を閉 じ ます。 f. [Unregistered devices] エ リ ア で、[Match profile if user has no registered devices] チ ェ ッ ク ボ ッ ク ス を選択 し ます。外部 AD/LDAP サーバーに ま だ登録 さ れて いな いデバ イ スは こ のプ ロ フ ァ イ ルに一致 し 、 識別子が Unregistered device log に記録 さ れます。 変数を ま だ定義 し て いな い場合は、 警告 (Undefined: {device_identity}) が表示 さ れます が、 こ の時点では無視 し てかま い ません。 g. [Add to Current Attributes] ボ タ ン を ク リ ッ ク し 、 [Save] を ク リ ッ ク し ます。 h. 対応す る他の タ イ プのデバ イ ス について、それぞれデバ イ ス プ ロ フ ァ イ ルを追加 し ます (Unregistered - WinMobile、 Unregistered - ActiveSync な ど )。 4. 作成 し たデバ イ ス プ ロ フ ァ イ ルを使用す る、 Data collection と い う 名前の標準ゾー ン を作 成 し ます。 詳細については、 349 ページの 「標準ゾ ー ンの作成」 を参照 し て く だ さ い。 374 | Aventail E-Class SRA 10.7 管理者ガ イ ド 5. Employees レルムに New devices と い う 名前の コ ミ ュ ニ テ ィ を作成 し ます。 その コ ミ ュ ニ テ ィ の [End Point Control Restrictions] ページ で、 Data collection ゾ ー ン を [In use] リ ス ト に移動 し ま す。 コ ミ ュ ニ テ ィ のセ ッ ト ア ッ プ方法の詳細につい ては、 63 ページの 「 コ ミ ュ ニ テ ィ の作成 と 構成」 を参照 し て く だ さ い。 6. 変更を適用 し て保存 し た ら 、 メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [End Point Control] を ク リ ッ ク し ます。 デー タ 収集ゾー ンは次のよ う に表示 さ れます。 7. ロ グ イ ン中に未登録デバ イ スが検出 さ れる と 、 デバ イ スが Unregistered プ ロ フ ァ イ ルに一 致す る ため、 ユーザーは Data collection ゾ ー ン に入れ ら れます。 デバ イ ス ID の詳細を表示 す る には、 AMC の [Logging] ページ で [Unregistered device log ] を選択 し ます。 8. [Device count] リ ス ト で [No devices] を選択 し 、 [Refresh] を ク リ ッ ク し ます。 こ れに よ り 、 すべての新 し いユーザー を キ ャ プ チ ャ で き ます。 エ ン ト リ を展開す る と 、 次のよ う に表 示 さ れます。 9. ロ ギ ン グ さ れたデー タ を さ ら に分析す る必要があ る場合は、 XML フ ァ イ ルに エ ク スポー ト し ま す。 最初に フ ィ ル タ や検索条件 を 適用す る こ と で、 エ ク ス ポー ト フ ァ イ ルのサ イ ズ を 小 さ く す る こ と がで き ます。 [Show last <n> messages] の設定では、 エ ク スポー ト さ れた ロ グ フ ァ イ ルに含まれる メ ッ セージの最大数が指定 さ れます。 デバ イ ス プ ロ フ ァ イ ルでの [Match Profile if user has no registered devices] の無効化 デ バ イ ス ID を 使 用 す る デ バ イ ス プ ロ フ ァ イ ル を 作 成 し 、 [Match Profile if user has no registered devices] オ プ シ ョ ン を無効にす る場合、 新 し いデバ イ ス を使用す る ユーザーは ( 一 部のデバ イ スがそのユーザーに登録 さ れて い る場合で も ) こ のプ ロ フ ァ イ ルに一致せず、 こ の ゾー ン に入れ ら れません。ユーザーがプ ロ フ ァ イ ルに一致す る ための他 ( デバ イ ス以外 ) の条件 を すべて満た し て い る 場合、 未登録のデバ イ ス ID は収集 さ れ、 未登録デバ イ ス リ ス ト に入れ ら れます。 管理者は、 未登録デバ イ ス リ ス ト か ら デバ イ ス情報を収集 し て、 半自動的にデバ イ ス を 登録で き ま す。 こ の よ う に、 ユーザーの操作 を 伴わずに、 ユーザーが次回デバ イ ス を 使用 し て ロ グ イ ン を試みた際に、 こ のゾー ン に分類 さ れる よ う に な り ます。 End Point Control | 375 未登録デバ イ スの隔離 ユーザーが現在登録 さ れて い る デバ イ ス ID のいずれに も 一致 し な い こ と を 指定す る デバ イ ス プ ロ フ ァ イ ルを作成で き ます。 こ のプ ロ フ ァ イ ルは、 隔離ゾー ン に関連付け る こ と がで き ます。 新 し いデバ イ ス を使用す る ユーザーは こ のプ ロ フ ァ イ ルに一致 し 、 隔離ゾー ン に入れ ら れます。 ユーザー向けの メ ッ セー ジ を 構成 し て、 現在のデバ イ スが未登録で あ る が、 ロ グ イ ン 試行か ら デバ イ ス情報が収集 さ れて ユーザー向けにデバ イ スが登録 さ れ る ため、 次回の ロ グ イ ン で通常 の ( 隔離で ない ) ゾー ン に入れ ら れる こ と を通知で き ます。 未登録デバ イ スのロ ッ ク ア ウ ト 拒否ゾ ー ン を 使用 し て、 特定のデバ イ ス を ロ ッ ク ア ウ ト で き ま す。 そのためには、 機器 ID の 属性を含むデバ イ ス プ ロ フ ァ イ ルを作成 し 、デバ イ ス識別子を追加す る際に [Does not match] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ の機能に よ り 、 デバ イ ス を所有す る ユーザー を完全に ロ ッ ク ア ウ ト せずに、 セキ ュ リ テ ィ の リ ス ク があ る と 疑われる デバ イ ス な ど を ロ ッ ク ア ウ ト す る こ と が可能に な り ます。 デバ イ ス情報は、 ロ グ イ ンの試行か ら 収集 さ れます。 外部処理向け と し ての未登録デバ イ ス ロ グのエ ク スポー ト 未登録デバ イ ス で ロ グ イ ンが試行 さ れる たびに、 未登録デバ イ スのロ グ メ ッ セージが作成 さ れ ま す。 こ の よ う な メ ッ セー ジは、 XML 形式で外部マ シ ン に エ ク ス ポー ト で き ま す。 こ の と き 、 AMC の [Logging] ページか ら 操作 し た り 、 外部マ シ ンか ら curl ま たは wget コ マ ン ド を使用 し た り す る こ と で、 エ ク ス ポー ト を 実行 し ま す。 詳細につい ては、 593 ペー ジの 「未登録デバ イ スのロ グ メ ッ セージ」 を参照 し て く だ さ い。 こ のエ ク スポー ト 機能で メ ッ セージ を収集す る こ と に よ り 、 各デバ イ ス を 自動的に登録 し た り 、 各ユーザーが新規に使用 し た未登録デバ イ ス に つい てヘルプ デス ク に通知 し た り で き ます。 上級設定 : 未登録デバ イ ス を使用 し てユーザーがロ グ イ ン を試行す る と き に、即座に通知を受け る必要があ る場合は、 AMC の [Configure Logging] ページ で Syslog サーバー を構成 し ます。 ロ グ イ ン ま たはロ グ イ ン試行が行われる と 、 ア プ ラ イ ア ン スは次の形式で ロ グ メ ッ セージ を生成 し ます。 New Equipment: user '#1', platform '#2', device '#3', existing Devices '#4' メ ッ セージ内の要素は次の と お り です。 #1 は、 ユーザー名 #2 は、 プ ラ ッ ト フ ォ ーム名 #3 は、 こ のデバ イ ス ま たはユーザー機器の ID 376 | Aventail E-Class SRA 10.7 管理者ガ イ ド #4 は、 こ のユーザーに対 し て登録済みのデバ イ スの番号 特殊な ク ラ スのユーザーに対する ゾーンの定義 信頼 さ れてい る特殊な ク ラ スのユーザーがデ フ ォ ル ト ゾー ン に割 り 当て ら れ ( ア ク セ スが拒否 さ れ ) な い よ う にす る ために、 デバ イ ス プ ロ フ ァ イ ルが含まれな い ゾー ン を作成 し 、 そのゾー ン を 信頼 さ れ て い る ユーザーのみが所属す る コ ミ ュ ニ テ ィ に割 り 当 て る と い う 方法 も あ り ま す。 例えば、 使用す る ク ラ イ ア ン ト デバ イ スに関係な く シ ス テム管理者がネ ッ ト ワー ク リ ソ ース に ア ク セ ス で き る よ う に し た い場合に、 シ ス テ ム管理者 を プ ロ フ ァ イ ルが な い ゾ ー ン を 含む コ ミ ュ ニ テ ィ に割 り 当て ま す。 その後、 シ ス テ ム管理者がその コ ミ ュ ニ テ ィ を 参照す る レ ルム を 選択 し て ロ グ イ ン す る と 、 プ ロ フ ァ イ ルがな い こ のゾ ー ン に入れ ら れま す。 こ れに よ り 、 承認 さ れない ク ラ イ ア ン ト を ブ ロ ッ ク す る ためのグ ロ ーバルのデ フ ォ ル ト ゾー ン に入れ ら れる こ と を回避で き ます。 プ ロ フ ァ イ ルがない ゾー ン を作成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。[End Point Control Settings] ページが表示 さ れます。 2. [Zones and Device Profiles] セ ク シ ョ ン で、 [Edit] を ク リ ッ ク し ま す。 3. [Zones] セ ク シ ョ ン で [New] を ク リ ッ ク し 、作成対象 と し て [Standard zone] を選択 し ます。 [Zone Definition] ページが表示 さ れます。 4. [Name] ボ ッ ク ス で、 ゾー ン名を分か り やすい名前で入力 し ます。 5. [Description] ボ ッ ク ス に、 ゾー ン につい て説明す る コ メ ン ト を入力 し ます。 6. オ プ シ ョ ン で、 こ のゾー ン に対 し て [Required data protection tool] を選択で き ます。 た だ し 、 こ のよ う な信頼 さ れて い る特殊 ク ラ スのユーザーに、 接続で使用す る デバ イ スの タ イ プ につい て柔軟性を持たせたい場合は、 こ の フ ィ ール ド を None のま ま に し てお き ます。 7. [Save] を ク リ ッ ク し ます。 プ ロ フ ァ イ ルがな い ゾ ー ン を 定義 し た ら 、 こ の よ う な信頼 さ れて い る ユーザーの特殊 ク ラ ス に 特化 し た レ ルム を 作成 し ま す。 その上で、 こ の特殊 ク ラ スのみが ロ グ イ ン で き る よ う に、 レ ル ムに専用 コ ミ ュ ニ テ ィ を 構成 し ま す。 詳細に つ い ては、 63 ペー ジの 「 コ ミ ュ ニ テ ィ への メ ン バーの割 り 当て」 を参照 し て く だ さ い。 End Point Control エージ ェ ン ト の使用 End Point Control エージ ェ ン ト を使用 し て、 一般的な EPC タ ス ク ( 仮想キーボー ド の有効化 / 無効化、 各ユーザー セ ッ シ ョ ン後に ク ラ イ ア ン ト シ ス テムか ら の リ モー ト デー タ の消去な ど ) を実行で き ます。 項目 説明 Enable virtual keyboard Require use of keyboard End inactive user connections 接続が非ア ク テ ィ ブ にな っ てか ら 切断 さ れる ま での時間を選択 し ます。 3 分から切断な し の範囲で選択で き、 デ フ ォル ト 設定は 10 分です。 End Point Control | 377 項目 説明 Enable Cache Cleaner こ のチ ェ ッ ク ボ ッ ク ス を 選択 し て Cache Cleaner を 有効に し 、 各ユーザー セ ッ シ ョ ン 後に ブ ラ ウザのキ ャ ッ シ ュ を 消去 し ま す。 Cache Cleaner は、 End Point Control が有効にな っ ている場 合に限 り 、 Windows および Mac プ ラ ッ ト フ ォ ームのみで使用で き ます。 Allow user to disable Cache Cleaner こ の チ ェ ッ ク ボ ッ ク ス を 選択 す る こ と に よ り 、 ユ ー ザ ー は Cache Cleaner を 終了 し て、 キ ャ ッ シ ュ 消去機能 を 迂回で き ま す。 Clean session items only Clean all items すべてのブ ラ ウザ項目を消去するか、または現在のセ ッ シ ョ ンに 関連する項目のみを消去するかを指定 し ます。 Enable Desktop Secure Virtual こ のチ ェ ッ ク ボ ッ ク ス を 選択す る と 、 OPSWAT Secure Virtual Desktop (SVD) を 有効化 で き ま す。 SVD は ブ ラ ウ ザの キ ャ ッ シ ュ を消去 し て、 各ユーザー セ ッ シ ョ ン後にロー カル フ ァ イル シス テムからのすべてのフ ァ イルを削除 し ます。 こ の機能は、 一 部の Windows 環境でのみ使用で き ます。 Allow user to switch between こ の チ ェ ッ ク ボ ッ ク ス を 選択 す る と 、 ユ ー ザ ー は通 常の desktops Windows セ ッ シ ョ ン と SSD に よ り 作成 さ れた仮想セ ッ シ ョ ン の間で切 り 替え る こ と がで き ます。 こ のオプ シ ョ ン を有効にする と 、SVD によ る提供 さ れるデー タ 保護機能が若干弱 く な り ます ( つま り 、 ユーザーが ク リ ッ プ ボー ド を使用 し て セ ッ シ ョ ン間で デー タ を コ ピ ー し た り 、 リ ムーバ ブ ル メ デ ィ ア に デー タ を コ ピー し た り で き る よ う にな り ます )。 仮想キーボー ド を使用し た ク レデン シ ャルの入力 ク レ デ ン シ ャ ルが盗 ま れ る 懸念があ る 場合、 WorkPlace に ロ グ イ ン す る ユーザーが ク レ デ ン シ ャ ル を 入力す る す る 際に、 タ イ プ す る のではな く 画面に表示 さ れたキーボー ド で文字 を ポ イ ン ト す る オ プ シ ョ ン を提示 ( ま たは強制 ) で き ます。 仮想キーボー ド は、 ユーザーが認証 さ れる前 ( レ ルムが選択 さ れる前 ) に使用 さ れる ため、 その 構成はすべてのレ ルムに適用 さ れます。 特定のユーザー グルー プのみに仮想キーボー ド を提供 し た り 、 特定の状況に限 っ て要求す る こ と は で き ま せん。 仮想キーボー ド を 使用す る ために、 End Point Control を有効にす る必要はあ り ません。 仮想キーボー ド 設定は、 小型携帯端末 ( ス マー ト フ ォ ン な ど ) には適用 さ れません。 こ れ ら のデ バ イ ス 向 け の WorkPlace の最適化 に つ い て は、 419 ペ ー ジ の 「小型携帯端末 で の表示用 に WorkPlace を最適化す る」 を参照 し て く だ さ い。 Aventail WorkPlace で仮想キーボー ド を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。[End Point Control Settings] ページが表示 さ れます。 378 | Aventail E-Class SRA 10.7 管理者ガ イ ド 2. [End Point Control agents] セ ク シ ョ ン で、 [Edit] を ク リ ッ ク し ます。 [Configure End Point Control Agents] ページが表示 さ れます。 3. ユーザーが、 WorkPlace ロ グ イ ン ページ で ク レ デ ン シ ャ ルを入力す る と き に仮想キーボー ド を使用で き る よ う にす る には、 [Enable virtual keyboard] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 こ れに よ り 、 ク レ デ ン シ ャ ルが盗まれる リ ス ク を低減で き ます。 こ の設定を有効にす る と 、 ロ グ イ ン レ ルムに関係な く 、 すべての WorkPlace ユーザーに こ のオ プ シ ョ ンが割 り 当 て ら れます。 4. 仮想キーボー ド が有効化 さ れて い る場合、 [Require use of keyboard] チ ェ ッ ク ボ ッ ク ス を 選択す る と 、 ユーザーが WorkPlace ロ グ イ ン ク レ デ ン シ ャ ルを入力す る際に仮想キーボー ド を強制的に使用 さ せる こ と がで き ます。 5. [Save] を ク リ ッ ク し ます。 デー タ 保護の構成 OPSWAT Secure Virtual Desktop (SVD) は Advanced EPC の一部で あ り 、 EX7000 と EX9000 に搭載 さ れてい ます。 他のア プ ラ イ ア ン ス モデルでは、 別途購入 し て ラ イ セ ン ス供与 さ れる オ プ シ ョ ン コ ン ポーネ ン ト と な っ てい ます。 Cache Cleaner は、 ア プ ラ イ ア ン スの ラ イ セ ン ス に含まれます。 Secure Virtual Desktop について SVD が有効に な っ て い る と き 、 SVD デス ク ト ッ プはユーザーが WorkPlace に ロ グ イ ン し た後 に表示 さ れます。 SVD ア イ コ ンは タ ス ク バーの通知領域に表示 さ れ、 SVD デス ク ト ッ プの新 し い ブ ラ ウザ ウ ィ ン ド ウに WorkPlace ロ グ イ ン ページが開 き ます。 SVD デス ク ト ッ プ には特有 の背景色 と 画像が使用 さ れ、 SVD に よ っ て作成 さ れた仮想セ ッ シ ョ ン と 他のセ ッ シ ョ ン と を区 別 し やす く な っ て い ます。 必要に応 じ て、 ユーザーがネ ッ ト ワー ク リ ソ ース に ア ク セ ス し ます。 ユーザーは、 新 し い ブ ラ ウザ ウ ィ ン ド ウやブ ラ ウザ プ ラ グ イ ン を起動で き るほか、 フ ァ イ ルの関連付け を介 し て、 ロ ー カ ルに イ ン ス ト ール さ れて い る ア プ リ ケー シ ョ ン を 起動で き ま す。 ユーザーはア ッ プ ロ ー ド 目 的で、 SVD のセ ッ シ ョ ン内でデー タ を フ ァ イ ルに保存で き ます。 ユーザーは、 デス ク ト ッ プ エ ミ ュ レ ー タ の コ ン テ キス ト で、 新 し い プ ロ グ ラ ム を ダウ ン ロ ー ド し て イ ン ス ト ールで き ます。 こ のよ う に イ ン ス ト ール さ れた プ ロ グ ラ ムには、 デス ク ト ッ プ エ ミ ュ レ ー タ のウ ィ ン ド ウ内でのみア ク セ ス で き ます。 WorkPlace ポー タ ル セ ッ シ ョ ン経由で ク End Point Control | 379 ラ イ ア ン ト の フ ァ イ ル シ ス テムに転送 さ れたすべてのデー タ は、SVD セ ッ シ ョ ンの外で実行 し てい る ア プ リ ケーシ ョ ンか ら はア ク セ ス で き な い よ う に保護 さ れます。 こ れに よ り 、デス ク ト ッ プ エ ミ ュ レ ー タ の コ ン テ キス ト 外で フ ァ イ ルが開かれる こ と がな く な り ます。 管理者に よ り 有効化 さ れ て い る 場合、 ユーザーはデ ス ク ト ッ プ エ ミ ュ レ ー タ と 通常のデ ス ク ト ッ プ と の間を切 り 替え る こ と がで き ます。 ユーザーが WorkPlace セ ッ シ ョ ン を終え る場合は、 ポー タ ル ページの [ ロ グ ア ウ ト ] リ ン ク を ク リ ッ ク す る、 ポー タ ル ページが表示 さ れてい る ブ ラ ウザ ウ ィ ン ド ウ を閉 じ る、 ま たは、 デス ク ト ッ プ エ ミ ュ レ ー タ プ ロ グ ラ ム を終了す るのいずれかの方法で、WorkPlace セ ッ シ ョ ン を終 了 し ます。 マ ウ ス と キーボー ド の非ア ク テ ィ ブ状態に よ る タ イ ムア ウ ト が起 こ っ た場合に も 、 セ ッ シ ョ ン が終了 し ます。 セ ッ シ ョ ン が終了す る 際、 SVD は、 セ ッ シ ョ ン 関連のデー タ フ ァ イ ル ( ダ ウ ン ロ ー ド さ れて ロ ー カ ルのハー ド デ ィ ス ク に保存 さ れて い る も の) な ど VPN か ら ダウ ン ロ ー ド さ れたすべての デー タ と 、 Web ブ ラ ウザに関連付け ら れて い る すべての一時デー タ を完全に削除 し ます。 ラ ン ダムま たは 「ゼロ」 のデー タ を書 き 込む こ と で、 デー タ は難読化 さ れま す。 デス ク ト ッ プ エ ミ ュ レ ー タ 内で開い て い る すべてのア プ リ ケーシ ョ ンは終了 し ます。 SVD 経由で イ ン ス ト ール さ れ たすべてのプ ロ グ ラ ムは、 エ ン ド ポ イ ン ト シ ス テムか ら 削除 さ れま す。 SVD に よ っ て セ ッ シ ョ ン 関連のすべてのデー タ フ ァ イ ルがロ ー カ ルのハー ド デ ィ ス ク か ら 完 全に削除 さ れる ため、 ユーザーに対 し ては、 SVD での作業中はいかな る デー タ も ロ ー カ ル デ ィ ス ク に保存 し な い よ う 指示す る必要があ り ます。 次に例を示 し ます。 • • フ ァ イ ルを ロ ー カ ル デ ィ ス ク に保存 し ない で く だ さ い。例えば、ユーザーが フ ァ イ ルを ネ ッ ト ワー ク か ら ダウ ン ロ ー ド し て ロ ー カ ルのハー ド デ ィ ス ク に保存す る と 、 フ ァ イ ルはセ ッ シ ョ ン終了時に削除 さ れて し ま い ます。 ア プ リ ケーシ ョ ン を ロ ー カ ル デ ィ ス ク に保存 し ない で く だ さ い。一部の ク ラ イ ア ン ト / サー バー ア プ リ ケーシ ョ ン (Microsoft Outlook な ど ) では、ユーザーがデー タ を ロ ー カ ルに保存 で き ます。 ユーザーは、 こ れ ら のア プ リ ケーシ ョ ン と SVD の間の相互干渉について認識す る 必要があ り ま す。 例えば、 SVD の実行中に、 Outlook のユーザーがデー タ を ロ ー カ ルで (.pst フ ァ イ ル と し て ) 保存 し 、 電子 メ ール メ ッ セージ を シ ス テムの受信ボ ッ ク スか ら ロ ー カ ルの メ ール フ ォ ルダに移す と 、 メ ッ セージはセ ッ シ ョ ン終了時に ロ ー カ ル デ ィ ス ク か ら 削除 さ れます。 Cache Cleaner について Cache Cleaner が有効化 さ れ、 ユーザーが WorkPlace に ロ グ イ ン す る と 、 Cache Cleaner ア イ コ ンが タ ス ク バーの通知領域に表示 さ れます。 ユーザーは、 必要に応 じ て ネ ッ ト ワー ク リ ソ ー ス に ア ク セ ス で き ます。 ユーザーが Cache Cleaner セ ッ シ ョ ン を終了す る際、 Cache Cleaner に よ っ て、 セ ッ シ ョ ン に 関連付け ら れて い る すべてのデー タ が削除 さ れます。 ロ グ ア ウ ト 時に、 すべてのブ ラ ウザ ウ ィ ン ド ウが Cache Cleaner に よ っ て閉 じ ら れます。 ロ グ ア ウ ト 時に、 すべてのブ ラ ウザ ウ ィ ン ド ウが閉 じ ら れる こ と を警告す る ダ イ ア ロ グ ボ ッ ク スが表示 さ れます。 メモ Cache Cleaner はロ グ ア ウ ト 時にすべてのブ ラ ウザ ウ ィ ン ド ウ を閉 じ る ため、 ブ ラ ウザ ウ ィ ン ド ウが閉 じ る と き に送信 さ れて いな いデー タ ( 入力中の伝票な ど ) はすべて失われ る こ と について、 ユーザーが認識 し て い る こ と を確認 し て く だ さ い。 デー タ 保護設定の構成 380 | Aventail E-Class SRA 10.7 管理者ガ イ ド Aventail WorkPlace でデー タ 保護を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。[End Point Control Settings] ページが表示 さ れます。 2. [End Point Control agents] セ ク シ ョ ン で、 [Edit] を ク リ ッ ク し ます。 [Configure End Point Control Agents] ページが表示 さ れます。 3. [End inactive user connections] ド ロ ッ プ ダウ ン リ ス ト で、非ア ク テ ィ ブ なユーザー接続 を自動的に終了 し て ク ラ イ ア ン ト か ら デー タ を削除す る ための タ イ ムア ウ ト を 選択 し ます。 こ の設定に よ り 、ユーザーがキオ ス ク 端末な どの共有 コ ン ピ ュ ー タ か ら ロ グ ア ウ ト し 忘れた 場合のセキ ュ リ テ ィ の リ ス ク を最小限に抑え る こ と がで き ます。 4. [Enable Cache Cleaner] チ ェ ッ ク ボ ッ ク ス を選択 し て、各セ ッ シ ョ ン後にユーザーのブ ラ ウザ キ ャ ッ シ ュ を消去 し ます。 Cache Cleaner は Linux プ ラ ッ ト フ ォ ームではサポー ト さ れてい ません。 5. ユーザーが Cache Cleaner を終了 し てキ ャ ッ シ ュ 消去機能を迂回で き る よ う にす る には、 [Allow user to disable Cache Cleaner] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 6. すべてのブ ラ ウザ項目を消去す るか、ま たは現在のセ ッ シ ョ ン に関連す る項目のみを消去す るかを指定 し ます ([Clean session items only] ま たは [Clean all items])。 7. OPSWAT Secure Virtual Desktop (SVD) を有効化す る には、 [Enable Secure Virtual Desktop ] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 SVD はブ ラ ウザのキ ャ ッ シ ュ を消去 し て、 各 ユーザー セ ッ シ ョ ン 後に ロ ー カ ル フ ァ イ ル シ ス テ ムか ら のすべての フ ァ イ ル を 削除 し ま す。 こ の機能は、 一部の Windows 環境でのみ使用で き ま す。 End Point Control | 381 8. ユーザーが通常の Windows セ ッ シ ョ ン と SSD に よ り 作成 さ れる仮想セ ッ シ ョ ンの間で切 り 替え る こ と がで き る よ う にす る には、 [Allow user to switch between desktops] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ のオ プ シ ョ ン を有効にす る と 、 SVD に よ る提供 さ れる デー タ 保護機能が若干弱 く な り ます ( つ ま り 、ユーザーが ク リ ッ プ ボー ド を 使用 し て セ ッ シ ョ ン間 でデー タ を コ ピ ー し た り 、 リ ムーバブル メ デ ィ ア にデー タ を コ ピ ー し た り で き る よ う に な り ます )。 9. [Save] を ク リ ッ ク し ます。 382 | Aventail E-Class SRA 10.7 管理者ガ イ ド 第9章 Aventail WorkPlace ポー タ ル Aventail WorkPlace ポー タ ルは、 Web ベース (HTTP) の リ ソ ース に対す る、 動的にパー ソ ナ ラ イ ズ さ れた ア ク セ ス を ユーザーに提供 し ます。ま た、Web ブ ラ ウザか ら Windows フ ァ イ ル サー バー上の フ ァ イ ルや フ ォ ル ダ への ア ク セ ス や、 WorkPlace か ら イ ン ス ト ール可能 な E-Class SRA エージ ェ ン ト を介 し ての TCP/IP リ ソ ースへのア ク セ ス も 提供 し ま す。 E-Class SRA ア プ ラ イ ア ン ス にはデ フ ォ ル ト の WorkPlace ポー タ ルが含まれて い ま す ( こ れは 変更す る こ と がで き ます )。 各ユーザー向けに、 独自の外観を備え たサ イ ト を追加で設定で き ま す。 詳細につい ては、 412 ページの 「WorkPlace サ イ ト 」 を参照 し て く だ さ い。 WorkPlace 用 ク ラ イ ア ン ト のシ ス テム要件については、 19 ページの 「シ ス テム要件」 を参照 し て く だ さ い。 Aventail WorkPlace の概要 以降のセ ク シ ョ ン で、ユーザーの観点か ら みた Aventail WorkPlace の概要につい て説明 し ます。 ユーザーがブ ラ ウザで WorkPlace のア ド レ スに ア ク セ スす る と 、 認証ページが表示 さ れます。 認証ペー ジ に、 ユーザー名 と パス ワー ド を 使用 し て ロ グ イ ン し ま す。 こ のペー ジ ではパス ワー ド を変更す る こ と も で き ます。 ク ラ イ ア ン ト 証明書を使用 し て認証す る ユーザーには、 こ のページは表示 さ れません。 Aventail WorkPlace ポー タ ル | 383 認証ページが表示 さ れる代わ り に、 ワ ン タ イ ム パス ワー ド が要求 さ れる場合があ り ます。 パス ワー ド はシ ス テムが電子 メ ールで送信 し ます。 ワ ン タ イ ム パス ワー ド の要求画面は次の と お り です。 シ ス テムで End Point Control を使用す る よ う 構成 し てい る場合、 シ ス テムへのユーザー ア ク セ ス方法に End Point Control が ど の よ う に影響す る かにつ い て は、 427 ペー ジの 「End Point Control と ユーザー エ ク スペ リ エ ン ス」 を参照 し て く だ さ い。 メモ ユーザーが認証 ク レ デ ン シ ャ ル を 入力す る と 、 WorkPlace に よ っ て 現在の ラ イ セ ン ス 契約が チ ェ ッ ク さ れま す。 ラ イ セ ン ス に問題があ る 場合は メ ッ セー ジが表示 さ れま す。 メ ッ セー ジ で は、他の種類の認証エ ラ ー ( パス ワー ド の誤 り な ど ) ではな く ラ イ セ ン ス関連のエ ラ ーで あ る こ と が示 さ れます。 その場合、 ユーザーは管理者に連絡す る必要があ り ます。 シ ス テムの構成に よ っ ては、 ユーザーは使用規定 (AUP) や他の ラ イ セ ン ス契約への同意を求め ら れる場合があ り ます。 AUP では、 ユーザーが同意す る必要のあ る特定の メ ッ セージや指示が表示 さ れる こ と があ り ま す。 ラ イ セ ン ス契約に同意 し な い と 、 ユーザーは WorkPlace に ア ク セ ス で き ません。 レ ルムに AUP が構成 さ れて い る場合、 ユーザーが古い ク ラ イ ア ン ト (10.5.x、 10.0.x な ど ) で ロ グ イ ン し よ う と す る と ロ グ イ ンは失敗 し ます。 同様に、 ユーザーが AUP 対応の レ ルム を使用 し て Index ア プ ラ イ ア ン スに接続す る場合は、Index ク ラ イ ア ン ト を ア ッ プ グ レ ー ド す る必要があ り ます。 管理者は、 AUP な し のレ ルム を構成 し て、 ク ラ イ ア ン ト を ア ッ プ グ レ ー ド す る必要があ り ます。 メモ ホーム ページ ユーザーが認証情報を 入力 し た後、 ラ イ セ ン スが最新で あれば、 Aventail WorkPlace のホーム ページが表示 さ れます。 WorkPlace には、 他の関連 リ ソ ースへの リ ン ク を含んだ個人用ブ ッ ク マー ク エ リ ア を追加で き ます。 こ のエ リ ア には、 管理者が事前に構成 し た ブ ッ ク マー ク を含め る こ と がで き るほか、 ユーザーが リ ソ ースや Web サ イ ト への リ ン ク を独自に追加で き ます。 構成可能な WorkPlace 要素 384 | Aventail E-Class SRA 10.7 管理者ガ イ ド ホーム ページの機能のほ と んどが構成可能です。 WorkPlace 要素 説明 レ イ アウ ト WorkPlace ページの コ ン テ ン ツ と レ イ アウ ト は、 コ ミ ュ ニ テ ィ ベース で カ ス タ マ イ ズで き ます。 こ れら のレ イ アウ ト 要素に含まれる も のは以下の と お り です。 • コ ン テ ン ツ (表示 さ れる シ ョ ー ト カ ッ ト お よびシ ョ ー ト カ ッ ト グループ ) • ページ ( 単一または複数 ) • 列 ( 単一または複数 ) • ナビゲーシ ョ ン ( 左または上部 ) 詳細については、 416 ページの 「WorkPlace の外観の変更」 を参照 し て く だ さ い。 ショートカッ ト ショートカッ ト ループ ユーザーにア ク セスが許可 さ れている Web リ ソ ース、 フ ァ イル シ ス テム グ リ ソ ース、 お よび タ ー ミ ナル サーバー リ ソ ースへの、 管理者が定義する シ ョ ー ト カ ッ ト です。 シ ョ ー ト カ ッ ト は、 ユーザーのア ク セ ス ポ リ シー に基づいて動的に表示 さ れます。 各ユーザーには、 自身が利用権限を持つ リ ソ ースのみが表示 さ れます。 シ ョ ー ト カ ッ ト の動作は各 タ イ プによ り 異な り ます。 • Web リ ソ ース : 新 し いブ ラ ウザ ウ ィ ン ド ウで開き ます。 • タ ー ミ ナル サーバー リ ソ ース : 新 し いブ ラ ウザ ウ ィ ン ド ウで開き、 適 切なグ ラ フ ィ カル タ ー ミ ナル エージ ェ ン ト が自動的に開始 さ れるか、 必 要な場合はイ ン ス ト ール さ れます。 • 共有フ ォルダまたはフ ァ イル :WorkPlace ネ ッ ト ワー ク エ ク ス プ ロー ラ ページ を開き ます ( 新 し いブ ラ ウザ ウ ィ ン ド ウで表示 さ れます )。 フ ァ イ ル シ ス テム リ ソ ース に対す る すべてのア ク セ ス を無効に し てい る場合、 フ ァ イ ル シ ス テム リ ソ ース を ポ イ ン ト し て い る ネ ッ ト ワー ク シ ョ ー ト カ ッ ト は表示 さ れません ( フ ァ イル シ ス テム リ ソ ースへのア ク セスの無 効化については、 391 ページの 「WorkPlace の一般設定の構成」 を参照 し て く だ さ い )。 • ブ ッ ク マー ク :Workplace のユーザー定義ブ ッ ク マー ク の基本的な機能 (RDP、 Citrix、 VNC、 Telnet、 および SSHv2) をすべて提供 し ます。 • カ ス タ ム シ ョ ー ト カ ッ ト : カ ス タ ム構成に応 じ て動作 し ます。 シ ョ ー ト カ ッ ト の作成については、 392 ページの 「WorkPlace シ ョ ー ト カ ッ ト についての作業」 を参照 し て く だ さ い。 Connect Tunnel WorkPlace ポー タ ルか らの Connect Tunnel ク ラ イ ア ン ト のカ ス タ ム接続 を定義で き ます。 [ ヘルプ ] ボ タ ン WorkPlace に付属のヘルプ シ ス テムには、 ユーザーに必要なすべての基 本情報が含まれています。 カ ス タ ムの HTML ヘルプ フ ァ イルを作成 し て ユーザーに提供する場合は、WorkPlace ス タ イルの構成時に フ ァ イルを指 定で き ます。 カ ス タ ム ヘルプの利用は、 環境固有の情報 (VPN 上の利用可 能な リ ソ ースについての情報や、テ ク ニ カル サポー ト の詳細な ど ) を追加 する場合に役立ち ます。 こ のフ ァ イルは、適切な規格の単一の HTML フ ァ イルである必要があ り ます。 組み込みの WorkPlace 要素 Aventail WorkPlace ポー タ ル | 385 ユーザー向けの WorkPlace ポー タ ル を セ ッ ト ア ッ プ す る際、組み込みの リ ソ ースや WorkPlace 要素を選択 し てポー タ ルに含める こ と がで き ます。 こ れ ら の リ ソ ース を提供す るかど う かは、 コ ミ ュ ニ テ ィ ベース で構成で き ます。 WorkPlace 要素 説明 イ ン ト ラ ネ ッ ト ア こ のボ ッ ク ス を表示するかど う かを指定で き ます。 また、 こ のボ ッ ク ス を 使用 し て Web リ ソ ース (URL を入力 )、フ ァ イル シス テム リ ソ ース (UNC ド レス パス名を入力 )、 またはその両方にア ク セスで き る よ う にするかど う かを 構成で き ます。 詳細については、 387 ページの 「[ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス」 を参照 し て く だ さ い。 Personal Bookmarks ユーザーに対 し て、E-Class SRA ア プ ラ イ ア ン スによ っ て保護 さ れた他の リ ソ ース (SMB ホス ト な ど ) や URL への個人用 リ ン ク ( ブ ッ ク マー ク に 類似 ) の作成 と 管理を許可する こ と がで き ます。 個人用 リ ン ク はア プ ラ イ ア ン ス上に保存 さ れます。 ユーザーは、 WorkPlace にログ イ ンすればどの コ ン ピ ュ ー タ から で も 個人用 リ ン ク にア ク セスで き ます。 詳細については、 388 ページの 「ブ ッ ク マー ク 」 を参照 し て く だ さ い。 Connect Tunnel 組み込みの [Install Connect Tunnel] シ ョ ー ト カ ッ ト を有効化 し て、 ユー ザーが WorkPlace ポー タ ルか ら Connect Tunnel ク ラ イ ア ン ト を ダ ウ ン ロー ド し て イ ン ス ト ールで き る よ う にする こ と がで き ます。 ネ ッ ト ワ ー ク エ ク 共有 フ ォルダおよび フ ァ イルを含む Windows ネ ッ ト ワー ク の参照を可能 にする こ と がで き ます。 スプ ローラ 詳細については、 389 ページの 「ネ ッ ト ワー ク エ ク ス プ ロ ー ラ ページ」 を参照 し て く だ さ い。 WorkPlace ステー タ ス バー WorkPlace ページ には、 以下の情報を示すス テ ー タ ス バーがあ り ます。 WorkPlace 要素 説明 ア ク セス ユーザーが現在実行中のア ク セス方法を示 し ます。 ユーザー ア ク セス エージ ェ ン ト については、 431 ページの 「ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサー ビ ス」 を参照 し て く だ さ い。 ゾー ン 分類 さ れたゾーン。 ユーザー ログ イ ンに使用 さ れたユーザー名。 セ ッ シ ョ ン開始 現在のセ ッ シ ョ ンの開始時刻 (24 時間形式 )。 [ ロ グ ア ウ ト ] ボ タ ン ユーザーは こ のボ タ ン を 使用 し て WorkPlace か ら ロ グ ア ウ ト で き ま す。 た だ し 、 こ のボ タ ン で ロ グ ア ウ ト し て も、 実行中のすべてのア プ リ ケー シ ョ ンか ら ロ グアウ ト する と は限 り ません ( 使用 し てい る ユーザー ア ク セス エージ ェ ン ト によ り 異な り ます )。セキ ュ リ テ ィ を高める ために、ユー ザーはア プ リ ケーシ ョ ン での作業完了時 ( 特に、 他のユーザー と 共用 し て いる コ ン ピ ュ ー タ で作業 し ている場合 ) に、 ア プ リ ケーシ ョ ンから ログア ウ ト するか、 ア プ リ ケーシ ョ ン を終了する必要があ り ます。 386 | Aventail E-Class SRA 10.7 管理者ガ イ ド WorkPlace 要素 説明 詳細 ユーザーはこ のボ タ ン を ク リ ッ ク する と 、 次のシ ス テム ス テー タ ス情報 ( 全ユーザーに表示 さ れる項目ではない ) を表示で き ます。 セ ッ シ ョ ン情報 • ゾ ー ン : セキ ュ リ テ ィ ゾーン を使用 し て、 各コ ミ ュ ニテ ィ の メ ンバー に対 し てア ク セス を許可または拒否 し ます。 • レルム : レルムを使用する と 、ユーザーは外部認証サーバーに保存 さ れ ている ク レデン シ ャ ルを使用 し て認証を行 う こ と がで き ます。 • コ ミ ュ ニ テ ィ : コ ミ ュ ニ テ ィ を使用する と 、 さ ま ざ ま なセキ ュ リ テ ィ ニーズに基づいて レルムの メ ンバーをグループ化で き ます。 • デ ー タ 保 護 : Advanced EPC の一部 で あ る Cache Cleaner ま た は Secure Virtual Desktop です。 Aventail エージ ェ ン ト • エージ ェ ン ト のバージ ョ ン、 動作状況を確認で き ます。 Aventail イ ン ス ト ー ラ • イ ン ス ト ー ラのバージ ョ ン を確認で き ます。 メモ • • • ユーザーが小型携帯端末で WorkPlace に ア ク セ スす る場合、 デバ イ スの機能に応 じ て WorkPlace の外観が変わ り ます。 詳細につい ては、 427 ページの 「End Point Control と ユーザー エ ク スペ リ エ ン ス」 を参照 し て く だ さ い。 Windows シ ス テムでは、ポ ッ プ ア ッ プ ブ ロ ッ ク 機能が有効化 さ れた状態で ブ ラ ウザ ツ ール バー を使用す る と 、 メ イ ンの WorkPlace ウ ィ ン ド ウ を閉 じ る際に、 開いて い る ネ ッ ト ワー ク エ ク ス プ ロ ー ラ やグ ラ フ ィ カ ル タ ー ミ ナル セ ッ シ ョ ンのウ ィ ン ド ウ を WorkPlace が閉 じ ら れな い場合があ り ます。 WorkPlace セ ッ シ ョ ン中に Outlook Web Access (OWA) か ら ロ グ ア ウ ト す る と 、 ユーザー は WorkPlace か ら も ロ グ ア ウ ト し ま す。 こ れは、 OWA の ロ グ オ フ ス ク リ プ ト に よ っ て、 ブ ラ ウザの ク ッ キーがすべて (WorkPlace で使用 し て い る も の も 含む ) ク リ ア さ れる ためで す。 OWA か ら ロ グ ア ウ ト す る代わ り に、 単に ブ ラ ウザのウ ィ ン ド ウ を閉 じ る こ と で、 こ の 問題を回避で き ます。 [ イ ン ト ラネ ッ ト ア ド レス ] ボ ッ クス 有効化 さ れてい る場合、 WorkPlace ページの下部に [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク スが表 示 さ れ ( 小型携帯端末の場合 を 除 く )、 ユーザーは こ のボ ッ ク ス を 使用 し て Web リ ソ ー ス、 Windows ネ ッ ト ワー ク リ ソ ース、 お よ び タ ー ミ ナル サーバーに ア ク セ ス で き ます。 レ ルム内に コ ミ ュ ニ テ ィ ( 例えば、 自社従業員の コ ミ ュ ニ テ ィ と 、 パー ト ナー向けの コ ミ ュ ニ テ ィ ) を設定す る際、 WorkPlace のス タ イ ル と レ イ ア ウ ト を 使用 し て、 各 コ ミ ュ ニ テ ィ ご と に 固有の外観を表示で き ます。 WorkPlace レ イ ア ウ ト に よ っ て、 当該 コ ミ ュ ニ テ ィ で [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス を表示す るかど う かを制御 し ます。 詳細については、 417 ページの 「WorkPlace レ イ ア ウ ト の作成ま たは編集」 を参照 し て く だ さ い。 Aventail WorkPlace ポー タ ル | 387 [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク スの機能の構成は、 グ ロ ーバルな構成設定です。 構成に応 じ て、ユーザーは WorkPlace が変換モー ド で実行 さ れてい る場合に URL を入力 し て Web リ ソ ー ス に ア ク セ ス し た り 、 UNC パス を入力 し て フ ァ イ ル シ ス テム リ ソ ース に ア ク セ ス し た り す る こ と が で き ま す (WorkPlace が変換 モ ー ド で 実行 さ れ て い な い 場合は、 ユ ーザー は Internet Explorer の [ ア ド レ ス ] ボ ッ ク スに直接 URL を入力で き ます )。 DNS や Windows ド メ イ ン全 体 を 単一の リ ソ ース と し て定義 し て い て、 ユーザーのグルー プ に その ド メ イ ン 内の全 リ ソ ース への直接ア ク セ ス権を付与 し たい場合は、 こ の方法が特に役立ち ます。 WorkPlace が変換モー ド で実行 さ れてい る際に Web リ ソ ースや タ ー ミ ナル サーバーに ア ク セ スす る には、 ユーザーは [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス に URL を入力 し て [ 移動 ] を ク リ ッ ク し ます。ユーザーが適切な ア ク セ ス権限を有 し て いれば、リ ソ ースが新 し い ブ ラ ウザ ウ ィ ン ド ウ で開 き ます。 [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス では、 Web リ ソ ースや タ ー ミ ナル サーバーに ア ク セ スす る ための さ ま ざ ま な入力を受け入れます。 以下にガ イ ド ラ イ ン を示 し ます。 要素 説明 リ ソ ース ア ド レ ス ユーザーは、 完全な URL ( ド メ イ ンおよびホス ト 名 ) またはホス ト 名のみを 入力 し て、 リ ソ ースにア ク セスで き ます。 例えば、 ユーザーは、 「fred」 と い う ホス ト 上にある 「CRM」 と い う リ ソ ースに、 完全な URL (http://fred.example.com/CRM/ な ど ) またはホス ト 名 (http://fred/CRM/ や fred/CRM/ な ど ) を使用 し て ア ク セスで き ます。 UNC パス フ ァ イ ル シ ス テム リ ソ ース に ア ク セ スす る場合、 ユーザーは [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク スに UNC パス ( 例えば、\\jax\software\download) を入力 し て [ 移動 ] を ク リ ッ ク し ます。 ユーザーが適切な ア ク セス権限を有 し ていれば、 ネ ッ ト ワー ク エ ク ス プ ロ ー ラ ページが開き、 要求 し た フ ァ イ ル シ ス テム リ ソ ースの内容が表示 さ れます。 プロ ト コル 通常の Web リ ソ ースにア ク セスする場合、 ユーザーは http:// プ ロ ト コ ル識 別子を入力す る必要はあ り ません。 ただ し 、 安全な Web サイ ト にア ク セス する場合は、 https:// プ ロ ト コ ル識別子を入力する必要があ り ます。 タ ー ミ ナル サーバーの リ ソ ース名を指定する と き、 ユーザーは URL に適切 な プ ロ ト コ ル識別子を加えなければな り ません。 サポー ト さ れている タ ー ミ ナル サーバーの種類は、rdp:// 識別子を使用する Windows Terminal Services および citrix:// 識別子を使用する Citrix です。 ポー ト 番号 非標準ポー ト ( ポー ト 番号 80 以外) で Web リ ソ ースにア ク セスする場合は、 ユーザーはホス ト 名の後にポー ト 番号を入力す る必要があ り ます。 例えば、 fred:8080/SAP と https://fred:443/SAP はいずれも 有効な入力です。 UNC パス名、 URL、 ま たはその両方に ア ク セ ス で き る よ う に [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス を構成す る方法については、 391 ページの 「WorkPlace の一般設定の構成」 を参照 し て く だ さ い。 ブ ッ ク マー ク ユーザーは、 利用権限 を持つあ ら ゆ る リ ソ ースへすばや く ア ク セ スす る ために、 WorkPlace に 自分用の リ ン ク を作成で き ます。 こ れには、WorkPlace のユーザー定義 Web URL、RDP、VNC、 Citrix、 FTP、 SSH、 お よ び Telnet ブ ッ ク マー ク が含まれます。 ま た、 ユーザーは、 自分のブ ッ ク マー ク リ ス ト の最小化、 ブ ッ ク マー ク リ ス ト の編集、 お よ び、 個々の RDP ブ ッ ク マー ク の 編集を行 う こ と がで き ます。 388 | Aventail E-Class SRA 10.7 管理者ガ イ ド WorkPlace の個人用 リ ン ク は、一般的な Web ブ ラ ウザのブ ッ ク マー ク やお気に入 り リ ス ト に似 て い ま すが、 一般的な ブ ラ ウザの ブ ッ ク マ ー ク は特定の コ ン ピ ュ ー タ に保存 さ れ る のに対 し 、 WorkPlace の自分用の リ ン ク は E-Class SRA ア プ ラ イ ア ン ス に保存 さ れ る と い う 点が異な り ま す。 ユーザーは、 WorkPlace に ロ グ イ ン す る と 、 どの コ ン ピ ュ ー タ を 使用 し て い て も 自分の WorkPlace 個人用 リ ン ク に ア ク セ ス し て管理で き ます。 レ ルム内に コ ミ ュ ニ テ ィ ( 例えば、 自社従業員の コ ミ ュ ニ テ ィ と 、 パー ト ナー向けの コ ミ ュ ニ テ ィ ) を設定す る際、 WorkPlace のス タ イ ル と レ イ ア ウ ト を 使用 し て、 各 コ ミ ュ ニ テ ィ ご と に 固有の外観 を 表示 で き ま す。 WorkPlace レ イ ア ウ ト に よ っ て、 当該 コ ミ ュ ニ テ ィ で [Personal Bookmarks] グ ル ー プ を 表 示 す る か ど う か を 制 御 し ま す。 詳 細 に つ い て は、 417 ペ ー ジ の 「WorkPlace レ イ ア ウ ト の作成ま たは編集」 を参照 し て く だ さ い。 メモ WorkPlace ブ ッ ク マー ク 経由で HTTP 以外の リ ソ ース (SMB ホ ス ト な ど ) に ア ク セ スす る場合、 ユーザーは、 ア ク セ ス エージ ェ ン ト ( いずれかの ト ン ネル ク ラ イ ア ン ト な ど ) を実行 し て い る必要があ り ます。詳細については、431 ページの 「ユーザー ア ク セ ス エー ジ ェ ン ト 」 を参照 し て く だ さ い。 カ ス タ ム RDP ブ ッ ク マー ク ユーザーの リ モー ト デス ク ト ッ プ リ ン ク 用の カ ス タ ム設定は、 [Custom RDP Link] ウ ィ ン ド ウ で管理 し ま す。 ユーザー ま たは管理者のど ち ら かが、 画面解像度 と 色深度 を 管理で き ま す。 シ ン グル サ イ ン オ ン では、 管理者がユーザーのサ イ ン オ ン を カ ス タ マ イ ズ し て、 特定の ク レ デ ン シ ャ ルを要求 し た り 、 特定の ド メ イ ン を有効化す る こ と がで き ます。 ネ ッ ト ワー ク エ ク スプ ロー ラ ページ ユーザーが フ ァ イ ル シ ス テム リ ソ ースに ア ク セ ス ( ネ ッ ト ワー ク シ ョ ー ト カ ッ ト を ク リ ッ ク す る、 [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス に UNC パス を入力す る、 ま たは WorkPlace ホーム ページ で [Network Explorer] リ ン ク を ク リ ッ ク す るのいずれかの方法を使用 ) す る と 、 ネ ッ ト ワー ク エ ク ス プ ロ ー ラ ペー ジが表示 さ れま す。 ネ ッ ト ワー ク エ ク ス プ ロ ー ラ の機能は、 Sun JRE Version 1.6 Update 34 以降が イ ン ス ト ール さ れて い るかど う かに よ っ て異な り ま す。 こ の バージ ョ ンの Java が イ ン ス ト ール さ れてい る場合、 高機能の フ ォ ームが表示 さ れま す。 こ れ ら のア ッ プデー ト が イ ン ス ト ール さ れて いな い場合は、 HTML バージ ョ ンのネ ッ ト ワー ク エ ク ス プ ロ ー ラ が表示 さ れます。 こ の HTML バージ ョ ン では機能が制限 さ れます。 高機能版のネ ッ ト ワー ク エ ク ス プ ロ ー ラ の メ リ ッ ト を最大限に活用す る には、 最新の Java ア ッ プ デー ト を ダウ ン ロ ー ド し て く だ さ い。 ネ ッ ト ワー ク エ ク ス プ ロ ー ラ ページは、 小型携帯端末では利用で き ま せん。 メモ 最新バージ ョ ンの Java お よ び JRE は、http://www.java.com か ら ダウ ン ロ ー ド で き ます。 高機能版のネ ッ ト ワーク エ ク スプ ローラ 最新の WorkPlace エ ク ス プ ロ ー ラ を 使用す る と 、 リ ン ク を ク リ ッ ク し た り 、 ド ラ ッ グ ア ン ド ド ロ ッ プや複数の フ ァ イ ル選択機能 を 使用 し て、 ド メ イ ン、 サーバー、 共有、 フ ォ ルダ、 お よ び フ ァ イ ルを参照で き ます。 ブ ッ ク マー ク を使用すれば、 ポー タ ル レ ベルか ら ネ ッ ト ワー ク を す ぐ に移動で き ま す。 こ の機能 を 使用す る と 、 ネ ッ ト ワー ク やサーバーのパス を 時間 を かけず に移動で き ます。 ネ ッ ト ワー ク エ ク ス プ ロ ー ラ ウ ィ ン ド ウは右ペ イ ン と 左ペ イ ン に分かれて お り 、 ユーザーの コ ン ピ ュ ー タ と ロ ー カ ル ネ ッ ト ワー ク と の間で リ ソ ース を移動で き ます。 Aventail WorkPlace ポー タ ル | 389 デ ィ レ ク ト リ を リ ソ ース間で ド ラ ッ グ ア ン ド ド ロ ッ プ す る と 、 そのデ ィ レ ク ト リ の下のすべて の リ ソ ース も 再帰的に移動 さ れます。 操作の進捗を示すス テ ー タ ス バーが表示 さ れます。 左側のウ ィ ン ド ウには、 ロ ー カ ル マ シ ンの フ ァ イ ル シ ス テムが表示 さ れます。 右側のウ ィ ン ド ウ を使用す る と 、 ネ ッ ト ワー ク ド メ イ ンや コ ン ピ ュ ー タ 、 お よ びそれ ら に関連す る フ ァ イ ル共 有を参照で き ます。 こ れ ら のウ ィ ン ド ウ を使用す る と 、 フ ァ イ ルを操作 し た り 、 リ モー ト と ロ ー カ ルの フ ァ イ ル シ ス テム間で コ ピ ー し た り で き ます。 こ れ ら のウ ィ ン ド ウの上部にあ る ツ ール バー を使用 し て、 ウ ィ ン ド ウ内の項目間を簡単に移動で き ます。 リ ソ ース を移動す る と 、 その リ ソ ースの下のすべての リ ソ ース も 再帰的に転送 さ れます。 HTML 版のネ ッ ト ワーク エ ク スプ ローラ 必要な Java が イ ン ス ト ール さ れて いな い場合は、こ のバージ ョ ンのネ ッ ト ワー ク エ ク ス プ ロ ー ラ がデ フ ォ ル ト に な り ます。 HTML バージ ョ ン では、 要求 さ れた フ ァ イ ル シ ス テム リ ソ ースの 内容がペー ジ に表示 さ れ、 ユーザーは自身のア ク セ ス権限に応 じ て フ ァ イ ルに関す る 次の作業 を実行で き ます。 • • • 内容 と プ ロパテ ィ の表示、 名前変更、 コ ピ ー、 移動、 ダウ ン ロ ー ド 、 お よ び削除。 新規 フ ォ ルダの作成。 管理者がア ッ プ ロ ー ド 機能 を有効化 し て お り 、 ユーザーが書 き 込み権限を 有 し て い る場合、 ユーザーは フ ァ イ ルを ア ッ プ ロ ー ド で き ます。 詳細につい ては、 391 ページの 「WorkPlace の一般設定の構成」 を参照 し て く だ さ い。 Web シ ョ ー ト カ ッ ト ア ク セス E-Class SRA ア プ ラ イ ア ン ス では、 OnDemand Tunnel エージ ェ ン ト を実行 し てい る ユーザー への、 WorkPlace シ ョ ー ト カ ッ ト を介 し た一般的な Web (HTTP) リ ソ ースへのア ク セ ス方法 と し て、 次の 2 つのオ プ シ ョ ン を提供 し て い ます。 • [Redirect through network agent]: こ の方法が有効に な っ てい る と 、 OnDemand Tunnel エージ ェ ン ト を実行 し て い る ユーザーの場合、 OnDemand Tunnel エージ ェ ン ト がロ ー ド さ れて いれば、 ア プ ラ イ ア ン ス を 介 し て Web コ ン テ ン ツ がプ ロ キシ さ れ る よ う に な り ま す。 こ の方法では、 WorkPlace リ ン ク か ら の Web ト ラ フ ィ ッ ク で変換が使用 さ れず、 シ ン グル 390 | Aventail E-Class SRA 10.7 管理者ガ イ ド サ イ ン オ ン も サポー ト さ れません。 ま た、 ア ク セ ス制御のために URL ベースのルールが使 用 さ れる こ と も あ り ません。 た だ し 、 こ の方法は通常、[Web content translation] オ プ シ ョ ン よ り も ア プ リ ケーシ ョ ンの互換性が向上 し ます。 こ の設定を有効に し た場合は、 オ プ シ ョ ン で、 選択 し た WorkPlace リ ソ ース に エ イ リ ア ス を定義す る こ と に よ っ て、 それ ら の リ ソ ース を変換す る よ う 構成で き ます。 ま た、 こ の方法 を使用 し てポ リ シー を URL レ ベルで適用 し 、 シ ン グル サ イ ン オ ン をサポー ト す る こ と も で き ます。 詳細につい ては、 244 ページの 「Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルの追加」 を 参照 し て く だ さ い。 [Web content translation ]: Web コ ン テ ン ツは E-Class SRA Web 変換エ ン ジ ン ( シ ン グ ル サ イ ン オ ン と 詳細な ア ク セ ス制御を提供す る リ バース プ ロ キシ ) を使用 し て変換 さ れま す。 こ の方法 を 有効にす る と 、 シ ン グル サ イ ン オ ン が可能に な り 、 ア ク セ ス制御のために URL ベ ー ス のル ー ル を 使用 で き る よ う に な り ま す。 た だ し 、 こ の方法 で は、 [Redirect through network agent] オ プ シ ョ ンの場合 と 比較 し て、 ア プ リ ケーシ ョ ンの互換性が制限 さ れま す。 シ ン グル サ イ ン オ ン を 有効にす る には、 リ ソ ース に対 し て エ イ リ ア ス を 指定す る必要があ り ます。 詳細については、 219 ページの 「 リ ソ ースの追加」 を参照 し て く だ さ い。 Web シ ョ ー ト カ ッ ト のア ク セ ス方式に ど ち ら を選択す るかは、 ア プ リ ケーシ ョ ン で使用 さ れる ネ ッ ト ワー ク プ ロ ト コ ル、セキ ュ リ テ ィ 要件、エ ン ド ユーザーの利便性、対象のプ ラ ッ ト フ ォ ー ム な ど の さ ま ざ ま な 要 素 に 応 じ て 変 わ り ま す。 こ の オ プ シ ョ ン は、 Aventail WorkPlace の [Settings] ページ で構成 し ます。 • WorkPlace の一般設定の構成 こ のセ ク シ ョ ン では、 作成す る すべての WorkPlace サ イ ト に適用 さ れる、 Aventail WorkPlace の一般設定の指定方法について説明 し ます。 [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク スか ら の UNC パス名、 URL、 ま たはその両方へのア ク セ ス を 有効にす る かど う か を、 こ の一般設定で指定 し ます。 た だ し 、 各 コ ミ ュ ニ テ ィ に対 し て [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス を表示す るかど う かは WorkPlace レ イ ア ウ ト に よ っ て制御 さ れます。 WorkPlace は、 次のよ う に さ ま ざ ま な度合い で カ ス タ マ イ ズで き ます。 • • 特定のロ ゴ、 色スキーム、 メ ッ セージ テキス ト を使用す る ス タ イ ルを セ ッ ト ア ッ プす る こ と で、 WorkPlace の外観 を 変更で き ま す。 外観の一貫性 を 保つために、 こ の同 じ ス タ イ ル を、 サ イ ト のロ グ イ ン、 エ ラ ー、 お よ び通知の各ページ に指定で き ます。 詳細につい ては、 412 ページの 「WorkPlace サ イ ト 」 を参照 し て く だ さ い。 WorkPlace のル ッ ク ア ン ド フ ィ ールを よ り 細か く 制御す る必要があ るサ イ ト の場合は、 422 ページの 「WorkPlace ページの全面的な カ ス タ マ イ ズ」 を参照 し て く だ さ い。 Aventail WorkPlace の一般設定を構成す る には 1. メ イ ンのナ ビ ゲーシ ョ ン メ ニ ュ ーで [Services] を ク リ ッ ク し 、 次に [Access services] セ ク シ ョ ン で、 [Aventail WorkPlace] の下にあ る [Configure] を ク リ ッ ク し ま す。 Aventail WorkPlace の [Settings] タ ブが表示 さ れます。 2. [Web shortcut access] オ プ シ ョ ンのいずれかを選択 し ます。 こ の設定に よ っ て、 WorkPlace が ト ン ネル エー ジ ェ ン ト を ア ク テ ィ ブ に し た場合の URL リ ソ ー スへのア ク セ ス方法が決ま り ま す。 こ れ ら のオ プ シ ョ ン につい ては、 390 ページの 「Web シ ョ ー ト カ ッ ト ア ク セ ス」 を参照 し て く だ さ い。 • [Redirect through network agent]: Web コ ン テ ン ツは、 OnDemand Tunnel エージ ェ ン ト を実行 し て い る ユーザーに代わ り ア プ ラ イ ア ン ス に よ っ て プ ロ キシ さ れます。 • [Use Web content translation]: Web コ ン テ ン ツは E-Class SRA Web 変換エ ン ジ ン を 使用 し て変換 さ れます。 Aventail WorkPlace ポー タ ル | 391 3. WorkPlace サ イ ト に指定 し た レ イ ア ウ ト にネ ッ ト ワー ク エ ク ス プ ロ ー ラ リ ソ ースが含まれ てい る場合、 ユーザーは、 WorkPlace のネ ッ ト ワー ク エ ク ス プ ロ ー ラ ページか ら フ ァ イ ル シ ス テム リ ソ ースに ア ク セ ス で き ます。[Enable file uploads to < > megabytes] を選択す る と 、 ユーザーが Windows フ ァ イ ル シ ス テム リ ソ ース に フ ァ イ ルを ア ッ プ ロ ー ド で き る よ う に な り ま す。 こ の設定は、 フ ァ イ ル シ ス テムのア ク セ ス制御ルールに設定 し た あ ら ゆ る許可よ り も 優先 さ れます。 ア ク セ ス ルールにおいて フ ァ イ ル シ ス テムへの書 き 込みア ク セ スがユーザーに許可 さ れて い て も 、 WorkPlace サー ビ ス で フ ァ イ ルのア ッ プ ロ ー ド が無 効化 さ れ て い る 場合、 そのユーザーが実行 で き る のは フ ァ イ ルの移動 と 削除のみ と な り 、 フ ァ イ ルへの書 き 込みはで き ません。 1 回の フ ァ イ ル ア ッ プ ロ ー ド におい て、 指定 さ れた メ ガバ イ ト 数 を 超え る こ と はで き ませ ん。 ユーザーに対 し て大容量 フ ァ イ ルのア ッ プ ロ ー ド を 許可す る と 、 ア プ ラ イ ア ン スのパ フ ォ ーマ ン スが低下す る こ と があ り ます。 4. [Intranet Address box] エ リ ア で各項目を設定 し ます。 こ の設定は、 WorkPlace の [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク スの機能を制御 し ま す ([ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク スが 表示 さ れ る かど う かは、 WorkPlace レ イ ア ウ ト での指定に よ り 制御 さ れ る ほか、 使用す る デバ イ ス に よ っ て も 変わ り ます。 モバ イ ル デバ イ ス では表示で き ません )。 ユーザーが WorkPlace の [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス に UNC パス名ま たは URL を入 力 し て Web リ ソ ース に ア ク セ ス で き る よ う にす る には、 [Enable access to UNC pathnames] と [Enable access to URLs] を選択 し ます。 こ の方法は、 例えば、 DNS ド メ イ ン全体を 1 つ の リ ソ ース と し て定義 し て い る場合に、 その ド メ イ ン内の個々の Web リ ソ ース を定義す る こ と な く 、 ド メ イ ン内のすべての Web サーバーへのア ク セ ス を 提供 し たい と き な ど に役立ち ます。 こ の設定は、 WorkPlace が変換モー ド で実行 さ れてい る場合にのみ適用 さ れます。 Web リ ソ ースの定義については、 219 ページの 「 リ ソ ースの追加」 を参照 し て く だ さ い。 メモ • • [Intranet Address box] で指定 し た設定は、 ア ク セ ス制御ポ リ シーには影響 し ません。 こ の機能の詳細については、 387 ページの 「[ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス」 を参 照 し て く だ さ い。 ユーザー ク レ デ ン シ ャ ルが盗まれる こ と が懸念 さ れる場合は、 WorkPlace に ロ グ イ ン す る ユーザーに、 キーボー ド か ら の入力ではな く 、 画面上の仮想キーボー ド で文字を指定す る こ と に よ っ て ク レ デ ン シ ャ ルを入力で き る よ う にす る ( ま たは こ の方法を必須 と す る ) こ と が で き ます。 詳細につい ては、 378 ページの 「仮想キーボー ド を使用 し た ク レ デ ン シ ャ ルの入 力」 を参照 し て く だ さ い。 WorkPlace シ ョ ー ト カ ッ ト についての作業 Aventail WorkPlace では、 適切な ア ク セ ス権限 を 持つユーザーが、 Web ブ ラ ウザ を 使用 し て、 Web リ ソ ース、 タ ー ミ ナル サーバー、 お よ び Windows フ ァ イ ル サーバー上の フ ァ イ ルや フ ォ ルダに ア ク セ ス で き ます。 AMC に リ ソ ースが定義 さ れて いて も 、 対応す る シ ョ ー ト カ ッ ト を作 成 す る ま で は、 そ れ ら の リ ソ ー ス は WorkPlace に 表 示 さ れ ま せ ん。 こ の セ ク シ ョ ン で は、 Aventail WorkPlace に シ ョ ー ト カ ッ ト お よ びシ ョ ー ト カ ッ ト グルー プ を作成 し て管理す る方法 につい て説明 し ます。 フ ァ イ ル シ ス テム リ ソ ースへのア ク セ ス、 フ ァ イ ル ア ッ プ ロ ー ド 、 お よ び [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク スの有効化につい ては、 391 ページの 「WorkPlace の一般設定の構成」 を参 照 し て く だ さ い。 392 | Aventail E-Class SRA 10.7 管理者ガ イ ド シ ョ ー ト カ ッ ト の表示 管理者には、 AMC で構成 し た シ ョ ー ト カ ッ ト の全 リ ス ト が表示 さ れます。 た だ し 、 ユーザーが Aventail WorkPlace に ロ グ イ ン す る と 、 こ の リ ス ト は、 シ ョ ー ト カ ッ ト が有効に な っ て い る デ バ イ スの種類やポ リ シ ーに基づい て フ ィ ル タ さ れ、 そのユーザーに利用権限があ る リ ソ ー スの みが表示 さ れま す。 すべての種類のシ ョ ー ト カ ッ ト (Web、 ネ ッ ト ワー ク 、 グ ラ フ ィ カ ル タ ー ミ ナル ) と シ ョ ー ト カ ッ ト グルー プが、 AMC と WorkPlace に表示 さ れます。 表示レ イ ア ウ ト は、 その コ ミ ュ ニ テ ィ で使用 さ れて い る WorkPlace レ イ ア ウ ト に よ っ て決ま り ます。 AMC で シ ョ ー ト カ ッ ト を表示す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 2. オ プ シ ョ ン で、 [Filters] 設定を使用 し て、 必要な オ ブ ジ ェ ク ト のみを表示す る こ と も で き ま す。 フ ィ ル タ の使用につい ては、 107 ページの 「AMC イ ン タ ー フ ェ ース ク イ ッ ク ツ アー」 の 「 フ ィ ル タ 」 セ ク シ ョ ン を参照 し て く だ さ い。 3. [Shortcuts] リ ス ト のデー タ を確認 し ま す。 4. チ ェ ッ ク ボ ッ ク ス を使用 し て、 移動ま たは削除す る シ ョ ー ト カ ッ ト を選択 し ます。 • シ ョ ー ト カ ッ ト の構成の詳細を表示す る には、 横にあ る プ ラ ス記号 (+) を ク リ ッ ク し ま す。 説明、 所属す る シ ョ ー ト カ ッ ト グループ ( 該当す る場合 )、 デバ イ スの種類に よ る 制約の有無、 お よ び、 所属す る WorkPlace レ イ ア ウ ト 名が表示 さ れます。 • 番号は、 そのシ ョ ー ト カ ッ ト の Aventail WorkPlace での表示順序を示 し ます。 こ の画 面で順序を変更で き るほか、 [Configure WorkPlace Layout] ページ で レ イ ア ウ ト に関 連付け ら れて い る シ ョ ー ト カ ッ ト の リ ス ト を編集す る こ と も で き ます。 レ イ ア ウ ト の変 更については、 417 ページの 「WorkPlace レ イ ア ウ ト の作成ま たは編集」 を参照 し て く だ さ い。 • [Link text] 列には、 ユーザーに表示 さ れるハ イ パー リ ン ク テキス ト が示 さ れます。 • [Resource] 列には、 AMC の [Resources] ページ で定義 さ れて い る リ ソ ース名が示 さ れます。 リ ソ ースの構成については、 215 ページの 「 リ ソ ースの作成 と 管理」 を参照 し て く だ さ い。 • [Type] 列には、 シ ョ ー ト カ ッ ト の種類が示 さ れま す。 サポー ト さ れて い る シ ョ ー ト カ ッ ト の種類は、 Web、 ネ ッ ト ワー ク 、 お よ びグ ラ フ ィ カ ル タ ー ミ ナルです。 • [Used] 列には、 シ ョ ー ト カ ッ ト がグループや WorkPlace レ イ ア ウ ト に含まれて い るか ど う かが示 さ れます。 AMC で シ ョ ー ト カ ッ ト グループ を表示す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 2. [Shortcut Groups] タ ブ を ク リ ッ ク し ま す。 3. オ プ シ ョ ン で、 [Filters] 設定を使用 し て、 必要な オ ブ ジ ェ ク ト のみを表示す る こ と も で き ま す。 フ ィ ル タ の使用につい ては、 107 ページの 「AMC イ ン タ ー フ ェ ース ク イ ッ ク ツ アー」 の 「 フ ィ ル タ 」 セ ク シ ョ ン を参照 し て く だ さ い。 4. グルー プの リ ス ト のデー タ を確認 し ます。 5. チ ェ ッ ク ボ ッ ク ス を使用 し て、 移動ま たは削除す る グループ を選択 し ます。 • シ ョ ー ト カ ッ ト グルー プの構成の詳細を表示す る には、 横にあ る プ ラ ス記号 (+) を ク リ ッ ク し ま す。 グルー プ に含 まれ る シ ョ ー ト カ ッ ト と 、 グルー プ が属す る WorkPlace レ イ ア ウ ト の名前が表示 さ れます。 • 番号は、 シ ョ ー ト カ ッ ト グループの Aventail WorkPlace 内での表示順序を示 し て い ま す。 こ の画面で順序を変更で き るほか、 [Configure WorkPlace Layout] ページ で レ イ ア ウ ト に関連付け ら れて い る グルー プの リ ス ト を編集で き ます。 Aventail WorkPlace ポー タ ル | 393 • [Name] 列には、 ユーザーに表示す る グルー プの見出 し が示 さ れます。 • [Description] 列には、こ のグルー プ についての説明が表示 さ れます ( 指定 さ れて い る場 合 )。 • [Used] 列には、 シ ョ ー ト カ ッ ト グループが WorkPlace レ イ ア ウ ト に含まれて い るかど う かが示 さ れます。 Web シ ョ ー ト カ ッ ト の追加 Web シ ョ ー ト カ ッ ト を 使用す る と 、 ユーザーは Web リ ソ ー ス にすばや く ア ク セ ス で き ま す。 Web リ ソ ースへのシ ョ ー ト カ ッ ト を作成す る には、 まず、 その リ ソ ース を定義す る必要があ り ます。 詳細については、 219 ページの 「 リ ソ ースの追加」 を参照 し て く だ さ い。 Web シ ョ ー ト カ ッ ト を追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 2. [Shortcuts] ページ で、 [New] を ク リ ッ ク し ます。 ド ロ ッ プ ダウ ン リ ス ト が表示 さ れます。 3. リ ス ト か ら [Web shortcut] を選択 し ます。 [Add Web Shortcut] ページが表示 さ れます。 4. [Position] ボ ッ ク ス に、 リ ス ト 内でのシ ョ ー ト カ ッ ト の順序を指定す る番号を入力 し ます。 5. [Resource] ド ロ ッ プ ダウ ン リ ス ト で、 こ のシ ョ ー ト カ ッ ト に リ ン ク す る リ ソ ース を選択 し ま す。 こ の リ ス ト には、 AMC の [Resources] ページ で定義 さ れて い る、 利用可能な URL リ ソ ースが表示 さ れます。 例えば、 SharePoint へのシ ョ ー ト カ ッ ト を追加す る際は、 リ ソ ー ス名に 「SharePoint」、 リ ソ ースの URL に 「http://intranet.sharepoint.com」 と 指定 し て URL リ ソ ース を定義 し ます。 その う え で、 [Resource] ド ロ ッ プ ダウ ン リ ス ト で [SharePoint] を 選択 し ます。 リ ソ ースの定義については、 215 ページの 「 リ ソ ースの作成 と 管理」 を参照 し て く だ さ い。 6. WorkPlace でユーザーに表示 さ れる、 リ ン ク お よ び説明テキス ト を指定 し ます。 こ れ ら の 入力内容に変数を使用 し て、各ユーザーやセ ッ シ ョ ン に固有の リ ン ク や説明テキス ト を表示 す る こ と がで き ます。詳細につい ては、234 ページの 「 リ ソ ース と WorkPlace シ ョ ー ト カ ッ ト の定義での変数の使用」 を参照 し て く だ さ い。 • [Link text] ボ ッ ク ス に、 ハ イ パー リ ン ク テ キス ト を入力 し ます。 ユーザーは こ のハ イ パー リ ン ク テ キス ト を ク リ ッ ク し て Web リ ソ ースに ア ク セ ス し ます。 [Link text] に指 定で き るのは最大 25 文字です。 • [Description] ボ ッ ク ス に、 シ ョ ー ト カ ッ ト についての分か り やすい コ メ ン ト を入力 し ます。 説明の入力はオ プ シ ョ ン ですが、 入力 し てお く と ユーザーが Web リ ソ ース を識 別 し やす く な り ます。 こ の コ メ ン ト は リ ン ク の横に表示 さ れます。 394 | Aventail E-Class SRA 10.7 管理者ガ イ ド 7. [Shortcut group] エ リ ア を使用 し て、 既存グルー プ ま たは新 し いグルー プ に こ のシ ョ ー ト カ ッ ト を追加 し ます。 グルー プは、 WorkPlace レ イ ア ウ ト の構成要素の 1 つです。 例えば、 ユーザー向けのすべての ク ラ イ ア ン ト のダ ウ ン ロ ー ド を 1 つのグルー プ に含めた う え で、 ([Configure WorkPlace Layout] ページ で ) 列にグルー プ を含めた り 、 独自の WorkPlace ページ に含める こ と がで き ます。 8. その他のオ プ シ ョ ン を指定す る には、 [Next] を ク リ ッ ク し ます。 [Add Web Shortcut] ペー ジの [Advanced] タ ブが表示 さ れま す。 9. [Make link available to these devices] の下で、WorkPlace シ ョ ー ト カ ッ ト と 、そのシ ョ ー ト カ ッ ト へのア ク セ ス を利用可能にす る デバ イ スの種類 と を関連付け ます。 • [All devices] を選択 し た場合は、 リ ン ク 先の Web リ ソ ース自体がすべての種類のデバ イ ス でサポー ト さ れて い るかど う かに関係な く 、 すべての種類のデバ イ ス で そのシ ョ ー ト カ ッ ト が表示 さ れます。 • 特定の種類のデバ イ ス で のみ シ ョ ー ト カ ッ ト が表示 さ れ る よ う に制限す る には、 [All devices] チ ェ ッ ク ボ ッ ク ス を オ フ に し てか ら 、 サポー ト さ れてい る種類のデバ イ スの みを選択 し ます。 例えば、 WorkPlace では さ ま ざ ま な小型携帯端末をサポー ト し てい ますが、 すべての Web リ ソ ースがすべてのデバ イ ス に対応 し て い るわけではあ り ません。 Outlook Web Access は 一般的な ブ ラ ウザでのみ利用で き 、 ま た、 Outlook Mobile は小型携帯端末でのみ利用で き ま す。 こ のため、 Outlook Mobile を リ ソ ー ス と し て設定 し て い る 場合は、 一般的な モバ イ ル デバ イ ス と 高機能のモバ イ ル デバ イ スの両方を選択す る必要があ り ま す。 10. 必要な場合は、 [Start page] ボ ッ ク ス を使用 し て、 選択 し た URL に、 よ り 詳細な情報を追 加 し ます。 例えば、 その リ ン ク でルー ト 以外のデ ィ レ ク ト リ や フ ァ イ ルを ポ イ ン ト し たい場 合は、 [Start page] ボ ッ ク ス に相対パス を入力 し ます。 こ れは、 コ ン テ ン ツ をルー ト 以外の場所に保存す る Web ア プ リ ケーシ ョ ン な どの場合に役 立ち ます。 例えば、 選択 し た URL が Outlook Web Access の URL で、 mail.example.com を ポ イ ン ト し て い る 場合は、 ス タ ー ト ペー ジ を /exchange/root.asp と 設定 し ま す。 最終的な URL は、 https://mail.example.com/exchange/root.asp と な り ます。 SharePoint の場合は、 ス タ ー ト ペー ジ に、 Pages/Default.aspx や SitePages/Home.aspx な どの拡張パス を指定 し ます。 SharePoint のシ ョ ー ト カ ッ ト の場合、 SharePoint サーバー の基本ホ ス ト 名 /<IP ア ド レ ス > は AMC の [Resources] ページ で定義 さ れます。 拡張パス は [Start Page] と し て構成 さ れます。 シ ョ ー ト カ ッ ト グループの作成 Web シ ョ ー ト カ ッ ト やネ ッ ト ワー ク シ ョ ー ト カ ッ ト を グループ化 し て WorkPlace を整理す る と 、 よ り 合理的な外観 と す る こ と がで き ま す。 WorkPlace ユーザーは、 フ ァ イ ル共有のグルー プ を ま と める こ と がで き ます。 ま と め ら れたグルー プの例を以下に示 し ます。 展開 さ れたグルー プの例を以下に示 し ます。 Aventail WorkPlace ポー タ ル | 395 ユーザーには、 自身がア ク セ ス権限 を 持つグルー プのみが表示 さ れま す。 グルー プ を 作成す る には、 既存の WorkPlace シ ョ ー ト カ ッ ト ( リ ソ ース ではな い ) のなかか ら 、 シ ョ ー ト カ ッ ト を 選択 し ます。 シ ョ ー ト カ ッ ト は、 複数のグルー プ に含める こ と がで き ます。 シ ョ ー ト カ ッ ト のグルー プ を作成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 2. [Shortcut Groups] タ ブ で、 [New] を ク リ ッ ク し ます。 3. 名前を入力 し 、 オ プ シ ョ ン で、 グルー プの説明を入力 し ます。 説明は、 WorkPlace で グルー プ名の下に表示 さ れます。上記の例では、「Domain and stand-alone shares」が説明に な り ます。 4. [Position] ボ ッ ク スに、 リ ス ト 内でのシ ョ ー ト カ ッ ト グルー プの順序を指定す る番号を入 力 し ます。 シ ョ ー ト カ ッ ト お よ びグループの順序は、 [Configure WorkPlace Layout] ペー ジ を使用 し て、 こ の WorkPlace サ イ ト 用に選択す る レ イ ア ウ ト 内で後か ら 変更で き ます。 5. 既存のシ ョ ー ト カ ッ ト が リ ス ト さ れます。こ のグルー プ に追加す る シ ョ ー ト カ ッ ト を選択 し て、 [Save] を ク リ ッ ク し ま す。 各シ ョ ー ト カ ッ ト は複数のグルー プ に含め る こ と がで き ま す。 空のグルー プ ( シ ョ ー ト カ ッ ト を選択 し て いな い も の ) を保存 し て、 後で編集す る こ と も で き ます。 ネ ッ ト ワー ク シ ョ ー ト カ ッ ト の追加 ネ ッ ト ワー ク シ ョ ー ト カ ッ ト を 使用す る と 、 ユーザーは フ ァ イ ル シ ス テ ム リ ソ ース にすばや く ア ク セ ス で き ま す。 フ ァ イ ル シ ス テム リ ソ ースへのシ ョ ー ト カ ッ ト を 作成す る には、 まず、 その リ ソ ース を定義す る必要があ り ます ( 詳細については、 219 ページの 「 リ ソ ースの追加」 を 参照 し て く だ さ い )。 ネ ッ ト ワー ク シ ョ ー ト カ ッ ト を追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 2. [Shortcuts] ページ で、 [New] を ク リ ッ ク し ます。 ド ロ ッ プ ダウ ン リ ス ト が表示 さ れます。 3. リ ス ト か ら [Network shortcut] を選択 し ます。[Add Network Shortcut] ページが表示 さ れます。 4. [Position] ボ ッ ク ス に、 リ ス ト 内でのシ ョ ー ト カ ッ ト の順序を指定す る番号を入力 し ます。 5. [Resource] リ ス ト で、こ のシ ョ ー ト カ ッ ト に リ ン ク す る フ ァ イ ル シ ス テム リ ソ ース を選択 し ま す。 こ の リ ス ト には、 AMC の [Resources] ページ に定義 さ れて い る フ ァ イ ル シ ス テ ム リ ソ ースが表示 さ れま す。 例えば、 ネ ッ ト ワー ク エ ク ス プ ロ ー ラ は組み込みの リ ソ ース で あ り 、 こ こ で シ ョ ー ト カ ッ ト を 構成で き ま す。 リ ソ ー スの定義につい ては、 215 ペー ジの 「 リ ソ ースの作成 と 管理」 を参照 し て く だ さ い。 396 | Aventail E-Class SRA 10.7 管理者ガ イ ド 6. 7. WorkPlace でユーザーに表示 さ れる、 リ ン ク お よ び説明テキス ト を指定 し ます。 こ れ ら の 入力内容に変数を使用 し て、各ユーザーやセ ッ シ ョ ン に固有の リ ン ク や説明テキス ト を表示 す る こ と がで き ます。 • [Link text] ボ ッ ク ス に、 ハ イ パー リ ン ク テ キス ト を入力 し ます。 ユーザーは こ のハ イ パー リ ン ク テ キ ス ト を ク リ ッ ク し て フ ァ イ ル シ ス テ ム リ ソ ー ス に ア ク セ ス し ま す。 [Link text] に指定で き るのは最大 25 文字です。 • [Description] ボ ッ ク ス に、 シ ョ ー ト カ ッ ト についての分か り やすい コ メ ン ト を入力 し ま す。 説明の入力はオ プ シ ョ ン で すが、 入力 し て お く と ユーザーが フ ァ イ ル シ ス テ ム リ ソ ース を識別 し やす く な り ます。 こ の コ メ ン ト は、 Aventail WorkPlace で リ ン ク の横 に表示 さ れます。 グルー プは、 WorkPlace レ イ ア ウ ト の構成要素の 1 つです。 [Shortcut group] エ リ ア を使 用 し て、 既存グルー プ ま たは新 し いグルー プ に こ のシ ョ ー ト カ ッ ト を 追加 し ま す。 例えば、 フ ァ イ ル シ ス テ ム 関連の す べ て の シ ョ ー ト カ ッ ト を 1 つ の グ ル ー プ に 含 め た う え で、 ([Configure WorkPlace Layout] ペ ー ジ で ) 列 に そ の グ ル ー プ を 含 め た り 、 独 自 の WorkPlace ページ に含め る こ と がで き ます。 グ ラ フ ィ カル タ ー ミ ナル シ ョ ー ト カ ッ ト の追加 グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト を使用す る と 、 ユーザーは、 転送方法 ( プ ロ キシ ま た は ト ン ネル ) に関係な く 、 バ ッ ク エ ン ド サーバー (Microsoft RDP、 Citrix、 VNC、 Telnet、 SSH) にすばや く 簡単に ア ク セ ス で き ます。 ほ と ん どの場合、 いずれかの種類のシ ン グル サ イ ン オ ン (SSO) ク レ デ ン シ ャ ルが有効化 さ れる ため、 エ ン ド ユーザーは GTS の起動後にユーザー名 と パス ワー ド を再入力 し な く て済みま す。 グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト のなかには、 AMC 管理者に よ っ て構成 さ れる ご く 基本的な機能 (IP/ ホ ス ト 名お よ びポー ト な ど ) のみを持つ も のや、 非常に複雑な構成 ( カ ス タ ム構成 フ ァ イ ルのア ッ プ ロ ー ド (.RDP/.ICA)、 複数モ ニ タ の サポー ト 、 高解像度デ ィ ス プ レ イ のサポー ト な ど ) を持つ も のな どがあ り ます。 フ ァ イ ル シ ス テム リ ソ ースへのシ ョ ー ト カ ッ ト を作成す る には、 まず、 その リ ソ ース を定義す る必要があ り ます ( 詳細につい ては、 219 ページの 「 リ ソ ースの追加」 を参照 し て く だ さ い )。 グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト を追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 2. [Shortcuts] ページ で、 [New] を ク リ ッ ク し ます。 ド ロ ッ プ ダウ ン リ ス ト が表示 さ れます。 Aventail WorkPlace ポー タ ル | 397 3. [Graphical terminal shortcut] を ク リ ッ ク し ます。 [Add Graphical Terminal Shortcut] ペー ジが表示 さ れます。 4. [General] タ ブ で、 [Resources] リ ス ト か ら リ ソ ース を選択 し ます。 5. [Link Text] フ ィ ール ド に、 ハ イ パー リ ン ク テキス ト を入力 し ます。 こ のハ イ パー リ ン ク テ キス ト は、 Windows Terminal Services ま たは Citrix ホ ス ト のシ ョ ー ト カ ッ ト と し て表示 さ れます。 6. シ ョ ー ト カ ッ ト の説明を [Description] フ ィ ール ド に入力 し ます。 7. こ のシ ョ ー ト カ ッ ト を グルー プ に含めな い場合は、 [Add this shortcut to group] リ ス ト で [Standalone shortcuts] を 選択 し ま す。 それ以外の場合は、 リ ス ト か ら 既存のグルー プ を 選択 し ます。 新 し いグルー プ を作成す る には、 [New] を選択 し ます。 8. [New] を選択 し た場合は、[New group name] フ ィ ール ド に新 し いグルー プの名前を入力 し ます。 398 | Aventail E-Class SRA 10.7 管理者ガ イ ド 9. [Next] を ク リ ッ ク し ます。 [Advanced] タ ブが表示 さ れます。 [Session Type] は次のいずれかです。 • • Windows Terminal Services (RDP) Citrix こ の ド ロ ッ プ ダ ウ ン フ ィ ール ド を 選択す る と、 指定 さ れ た セ ッ シ ョ ン の種類に応 じ て [Advanced] タ ブ内で所定のオ プ シ ョ ン セ ク シ ョ ンの内容が変更 さ れ、そのセ ク シ ョ ン にデ フ ォ ル ト 設定が示 さ れます ( デ フ ォ ル ト : [Windows Terminal Server (RDP)])。 [Port] は、 RDP 通信に使用す る ポー ト を 定義 し ま す ( デ フ ォ ル ト : Windows の場合は 3389、 Citrix の場合は 1494)。 Windows Terminal Services の構成 [Use native RDP client on user's PC] オ プ シ ョ ン を選択す る と 、 こ の RDP GTS シ ョ ー ト カ ッ ト では、 ユーザーの PC 上にあ る ネ イ テ ィ ブ RDP ク ラ イ ア ン ト を使用 し ます。 利用可能な ク ラ イ ア ン ト がない場合は、 Java ク ラ イ ア ン ト が使用 さ れます ( デ フ ォ ル ト : オ ン )。 Windows タ ー ミ ナル :[Use custom RDP file] オ プ シ ョ ンは、 GTS セ ッ シ ョ ン におい て、 接続を 確立す る際に RDP フ ァ イ ルのみを使用す るかど う かを指定 し ます。こ の設定が有効に な っ て い る場合、 [Advanced] タ ブ内の他のすべてのセ ッ シ ョ ン オ プ シ ョ ンは無効 / 非表示 と な り ま す ( デ フ ォ ル ト : オ フ )。 Aventail WorkPlace ポー タ ル | 399 [RDP File] には、 こ の GTS 用に ア ッ プ ロ ー ド す る .RDP フ ァ イ ルの場所を指定 し ます ( デ フ ォ ル ト : 空白 )。 [Force Java client] オ プ シ ョ ン を選択す る と 、 AMC 管理者は、 すべてのエ ン ド ポ イ ン ト デバ イ ス (Windows/Mac/Linux) に対 し て、 機能が制限 さ れた Java ク ラ イ ア ン ト の使用を強制で き ま す。[Advanced] タ ブ内のセ ッ シ ョ ン オ プ シ ョ ンの下にあ る すべてのオ プ シ ョ ンは適用 さ れな い ため、 非表示ま たは削除 さ れます。 こ のオ プ シ ョ ン を選択す る と 、 タ ー ミ ナル サーバー フ ァ ー ムのサポー ト が暗黙的に有効化 さ れます ( デ フ ォ ル ト : 未選択 )。 [Single sign-on] [None (prompt user)] を選択す る と 、 こ の GTS で エ ン ド ユーザーに ク レ デ ン シ ャ ルの入力を求 める プ ロ ン プ ト を表示 し ます ( デ フ ォ ル ト : 未選択 )。 [Forward user's session credentials] を選択す る と 、GTS はユーザーのセ ッ シ ョ ン ク レ デ ン シ ャ ル ( ユーザー名 / パスワー ド ) を使用 し ます ( デ フ ォ ル ト : オ ン )。 [Domain] には、ロ グ イ ン試行時にバ ッ ク エ ン ド RDP マ シ ン に転送す る必要のあ る Windows ド メ イ ン を指定 し ます ( デ フ ォ ル ト : 空白 )。 [Forward static credentials] を選択す る と 、AMC 管理者は、ロ グオ ン要求時にバ ッ ク エ ン ド サー バーに送信す る ス タ テ ィ ッ ク ク レ デ ン シ ャ ルを ( 手動ま たはポ リ シー変数に よ る設定のいずれ かの方法で ) 定義で き ます ( デ フ ォ ル ト : 未選択 )。 [Username] には、 使用す る ユーザー名を入力 し ます ( デ フ ォ ル ト : 空白 )。 [Password] には、 使用す るパス ワー ド を入力 し ます ( デ フ ォ ル ト : 空白 )。 [Domain] には、 使用す る ド メ イ ン を入力 し ます ( デ フ ォ ル ト : 空白 )。 [Resource redirection] [Allow access to local drives] チ ェ ッ ク ボ ッ ク ス を 選択す る と 、 ユーザーはセ ッ シ ョ ン 中に ロ ー カ ル ド ラ イ ブ に ア ク セ ス で き る よ う に な り ます。 [Allow access to local printers] チ ェ ッ ク ボ ッ ク ス を選択す る と 、 ユーザーはセ ッ シ ョ ン中に ロ ー カ ル プ リ ン タ に ア ク セ ス で き る よ う に な り ます。 [Allow access to SmartCards] チ ェ ッ ク ボ ッ ク ス を選択す る と 、 GTS が認証に ス マー ト カ ー ド を使用で き る よ う に な り ます ( デ フ ォ ル ト : オ フ )。 [Allow access to plug-and-play devices] を選択す る と 、GTS がプ ラ グ ア ン ド プ レ イ デバ イ ス に ア ク セ ス で き る よ う に な り ます。 [Allow access to ports] を選択す る と 、 ロ ー カ ル コ ン ピ ュ ー タ か ら リ モー ト コ ン ピ ュ ー タ へ のポー ト リ ダ イ レ ク シ ョ ンが可能に な り ます。 [Bring remote audio to local computer] チ ェ ッ ク ボ ッ ク ス を選択す る と 、ユーザーがセ ッ シ ョ ン 中に リ モ ー ト の音声に ア ク セ ス で き る よ う に な り ま す。 音声の リ ダ イ レ ク シ ョ ン はネ ッ ト ワー ク リ ソ ース を多 く 消費す る ため、 パ フ ォ ーマ ン スが低下す る可能性があ る こ と に注意 し て く だ さ い。 デ フ ォ ル ト ではオ フ に な っ て い ます。 [Share clipboard between local and remote computers] チ ェ ッ ク ボ ッ ク ス を 選択す る と 、 ユーザーは双方向 で ク リ ッ プ ボ ー ド の内容の コ ピ ー と 貼 り 付けが で き る よ う に な り ま す。 デ フ ォ ル ト では、 こ の機能が有効に な っ て い ます。 [Connection properties] [Connection properties] には、 GTS のプ ロ ト コ ルや実際の RDP 接続に関連す る すべてのオ プ シ ョ ンが表示 さ れます。 400 | Aventail E-Class SRA 10.7 管理者ガ イ ド [Automatically reconnect if session is interrupted] を選択す る と 、接続が切断 さ れた場合に、RDP ク ラ イ ア ン ト はプ ロ ン プ ト を表示す る こ と な く 再接続を行い ます ( デ フ ォ ル ト : オ ン )。 [Connect to admin/console session] を選択す る と 、AMC 管理者は、接続の確立に管理 コ ン ソ ー ル セ ッ シ ョ ン を使用す るかど う かを定義で き ます ( デ フ ォ ル ト : オ フ )。 [Enable Wake-on-LAN (WoL)] は、 対応す る MAC ア ド レ スや リ ソ ースのホ ス ト 名 /IP ア ド レ ス に WoL パケ ッ ト を 送信す る かど う か を 制御 し ま す。 こ のチ ェ ッ ク ボ ッ ク ス を 選択す る と 、 点 線で囲まれた セ ク シ ョ ンが表示 さ れ、 詳細な WoL パ ラ メ ー タ を指定で き ま す ( デ フ ォ ル ト : オ フ )。 [Mac/Ethernet address] には、 WoL パケ ッ ト の送信先の、 対応す るハー ド ウ ェ ア ア ド レ ス を指 定 し ます。 ポ リ シー変数を指定で き ます ( デ フ ォ ル ト : 空白 )。 [Wait time for boot-up] には、 WoL パケ ッ ト の送信後に、 ク ラ イ ア ン ト マ シ ンが起動 し たかど う かを確認す る ま での待機時間 ( 秒 ) を指定 し ます ( デ フ ォ ル ト : 90)。 [Send WoL packet to hostname or IP address] は、 WoL パケ ッ ト を こ の リ ソ ース に関連付け ら れてい る ホ ス ト 名 /IP ア ド レ ス に も 送信す るかど う かを制御 し ます ( デ フ ォ ル ト : オ フ )。 Aventail WorkPlace ポー タ ル | 401 [Display properties] [Display properties] は、 GTS の画面の動作を制御 し ます。 [Screen resolution] ド ロ ッ プ ダウ ン リ ス ト で、 GTS で使用す る画面解像度を選択で き ます。 管 理者は、 Workplace ユーザーに解像度を選択 さ せる こ と も で き ま す。 オプシ ョ ン : • 640 x 480 ピ ク セル • 800 x 480 ピ ク セル • 800 x 600 ピ ク セル • 1024 x 600 ピ ク セル • 1024 x 768 ピ ク セル • 1280 x 720 ピ ク セル • 1280 x 800 ピ ク セル • 1280 x 1024 ピ ク セル • 1400 x 1050 ピ ク セル • 1440 x 900 ピ ク セル • 1600 x 1200 ピ ク セル • 1680 x 1050 ピ ク セル • 1900 x 1080 ピ ク セル • 2560 x 1600 ピ ク セル • 全画面 • カ ス タ ム ... • デ フ ォ ル ト は 1024 x 768 です。 [Color Depth] は、 画面の色深度を設定 し ます ( デ フ ォ ル ト : 8 ビ ッ ト )。 [Allow user to change GTS settings] を選択す る と 、 エ ン ド ユーザーが GTS のプ ロパテ ィ の一 部を調整で き る よ う に な り ます ( デ フ ォ ル ト : オ フ )。 [Display connection bar] では、AMC 管理者が、GTS セ ッ シ ョ ンの確立後に画面上部に接続バー を表示す るかど う かを定義で き ます ( デ フ ォ ル ト : オ ン )。 [Enable multi-monitor support] は、 RDP7 の複数モ ニ タ サポー ト を有効にす るかど う かを制御 し ます。 RDP7 が利用不可の場合、 複数モ ニ タ が有効化 さ れてい る と 、 GTS は RDP6 のデ ュ ア ル モ ニ タ モー ド に フ ォ ールバ ッ ク し ま す ( デ フ ォ ル ト : オ フ )。 [Enable remote application] を使用す る と 、 AMC 管理者は ( 実際に タ ー ミ ナルを起動す る こ と な く ) GTS セ ッ シ ョ ン を介 し て ア プ リ ケーシ ョ ン を リ モー ト で起動 さ せる こ と がで き ます。 こ の項目 を 有効 に し た 場合は、 [Startup options] セ ク シ ョ ン で [Start application]、 [Application Arguments]、お よ び [Working directory] を定義す る必要があ る こ と に注意 し て く だ さ い ( デ フ ォ ル ト : オ フ )。 [1024x768 pixels] は、[Screen resolution] で [Custom...] が選択 さ れた場合に表示 さ れる フ ィ ー ル ド です ( デ フ ォ ル ト : 1024x768 ピ ク セル )。 [Third-party plugin DLLs] [Third-party plugin DLLs] は、RDP GTS セ ッ シ ョ ンの開始時に どの DLL を読み込む必要があ る かを制御 し ます。 DLL は ク ラ イ ア ン ト マ シ ン にあ ら か じ め イ ン ス ト ール さ れて い る必要があ り ます。 GTS では DLL の イ ン ス ト ールは行い ません。 402 | Aventail E-Class SRA 10.7 管理者ガ イ ド [Enable third-party plugin DLLs] で、他の DLL のサポー ト を有効化す る こ と がで き ます ( デ フ ォ ル ト : オ フ )。 [DLL list] は、 GTS RDP セ ッ シ ョ ンの開始時に WorkPlace に読み込み を試行 さ せる DLL の リ ス ト ( カ ン マ区切 り 形式 ) です。 ポ リ シー変数を指定で き ます ( デ フ ォ ル ト : 空白 )。 [Startup options] [Start application] には、 GTS RDP セ ッ シ ョ ンの開始時に起動 さ せる、 ク ラ イ ア ン ト マ シ ン上 のア プ リ ケーシ ョ ンの完全なパス を指定 し ます。ポ リ シー変数を指定で き ま す ( デ フ ォ ル ト : 空 白 )。 [Application arguments] には、 指定 し た ア プ リ ケーシ ョ ン を正 し く 起動す る ために必要 と な る、 そのア プ リ ケーシ ョ ンの引数を入力 し ます。ポ リ シー変数を指定で き ます ( デ フ ォ ル ト : 空白 )。 [Working directory] には、 ア プ リ ケーシ ョ ン を起動す る デ ィ レ ク ト リ を指定 し ま す。 ポ リ シー変 数を指定で き ます ( デ フ ォ ル ト : 空白 )。 [General] メ ニ ュ ー に 戻 る に は、 [Back] を ク リ ッ ク し ま す。 新 し い 設定 を 有効 に す る に は、 [Finish] を ク リ ッ ク し ま す。 Citrix の構成 Aventail WorkPlace ポー タ ル | 403 ド ロ ッ プ ダウ ン リ ス ト で [Citrix] を選択す る と 、 [Advanced] タ ブのオ プ シ ョ ン メ ニ ュ ーが変更 さ れ、 セ ク シ ョ ンの各項目にデ フ ォ ル ト 設定が入力 さ れます。 [Use Custom ICA file] オ プ シ ョ ンは、GTS セ ッ シ ョ ン におい て、接続を確立す る際に .ICA フ ァ イ ルのみを使用す るかど う かを制御 し ます。 選択 し た場合、 [Advanced] タ ブ内の他のすべての セ ッ シ ョ ン オ プ シ ョ ンは無効 / 非表示 と な り ま す ( デ フ ォ ル ト : オ フ )。 [ICA File] には、 こ の GTS 用に ア ッ プ ロ ー ド す る .ICA フ ァ イ ルの場所を指定 し ます ( デ フ ォ ル ト : 空白 )。 [Upload ICA file] を選択す る と 、 AMC 管理者は、 こ の GTS 定義用にパ ラ メ ー タ を設定 し た特 定の .ica フ ァ イ ルを ア ッ プ ロ ー ド で き ます。 .ica フ ァ イ ルに定義 さ れて い る オ プ シ ョ ンの う ち、 AMC の UI にあ る も のはすべて更新 さ れま す。 .ica フ ァ イ ルに定義 さ れて いて も AMC の UI に ないオ プ シ ョ ンは更新 さ れませんが、 起動時に GTS に よ っ て適用 さ れます。 [Single sign-on] [None (prompt user)] を選択す る と 、 こ の GTS で エ ン ド ユーザーに ク レ デ ン シ ャ ルの入力を求 める プ ロ ン プ ト を表示 し ます ( デ フ ォ ル ト : 未選択 )。 404 | Aventail E-Class SRA 10.7 管理者ガ イ ド [Forward user's session credentials] を選択す る と 、GTS はユーザーのセ ッ シ ョ ン ク レ デ ン シ ャ ル ( ユーザー名 / パスワー ド ) を使用 し ます ( デ フ ォ ル ト : オ ン )。 [Domain] には、ロ グ イ ン試行時にバ ッ ク エ ン ド RDP マ シ ン に転送す る必要のあ る Windows ド メ イ ン を指定 し ます ( デ フ ォ ル ト : 空白 )。 [Forward static credentials] を選択す る と 、AMC 管理者は、ロ グオ ン要求時にバ ッ ク エ ン ド サー バーに送信す る ス タ テ ィ ッ ク ク レ デ ン シ ャ ルを ( 手動ま たはポ リ シー変数に よ る設定のいずれ かの方法で ) 定義で き ます ( デ フ ォ ル ト : 未選択 )。 [Username] には、 使用す る ユーザー名を入力 し ます ( デ フ ォ ル ト : 空白 )。 [Password] には、 使用す るパス ワー ド を入力 し ます ( デ フ ォ ル ト : 空白 )。 [Domain] には、 使用す る ド メ イ ン を入力 し ます ( デ フ ォ ル ト : 空白 )。 [Resource redirection] [Allow access to local drives] チ ェ ッ ク ボ ッ ク ス を 選択す る と 、 ユーザーはセ ッ シ ョ ン 中に ロ ー カ ル ド ラ イ ブ に ア ク セ ス で き る よ う に な り ます。 [Allow access to local printers] チ ェ ッ ク ボ ッ ク ス を選択す る と 、 ユーザーはセ ッ シ ョ ン中に ロ ー カ ル プ リ ン タ に ア ク セ ス で き る よ う に な り ます。 [Allow access to SmartCards] チ ェ ッ ク ボ ッ ク ス を選択す る と 、 GTS が認証に ス マー ト カ ー ド を使用で き る よ う に な り ます ( デ フ ォ ル ト : オ フ )。 [Allow access to plug-and-play devices] を選択す る と 、GTS がプ ラ グ ア ン ド プ レ イ デバ イ ス に ア ク セ ス で き る よ う に な り ます。 [Allow access to ports] を選択す る と 、 ロ ー カ ル コ ン ピ ュ ー タ か ら リ モー ト コ ン ピ ュ ー タ へ のポー ト リ ダ イ レ ク シ ョ ンが可能に な り ます。 [Bring remote audio to local computer] チ ェ ッ ク ボ ッ ク ス を選択す る と 、ユーザーがセ ッ シ ョ ン 中に リ モ ー ト の音声に ア ク セ ス で き る よ う に な り ま す。 音声の リ ダ イ レ ク シ ョ ン はネ ッ ト ワー ク リ ソ ース を多 く 消費す る ため、 パ フ ォ ーマ ン スが低下す る可能性があ る こ と に注意 し て く だ さ い。 デ フ ォ ル ト ではオ フ に な っ て い ます。 [Share clipboard between local and remote computers] チ ェ ッ ク ボ ッ ク ス を 選択す る と 、 ユーザーは双方向 で ク リ ッ プ ボ ー ド の内容の コ ピ ー と 貼 り 付けが で き る よ う に な り ま す。 デ フ ォ ル ト では、 こ の機能が有効に な っ て い ます。 [Display properties] [Display properties] は、 GTS の画面の動作を制御 し ます。 [Screen resolution] ド ロ ッ プ ダウ ン リ ス ト で、 GTS で使用す る画面解像度を選択で き ます。 管 理者は、 Workplace ユーザーに解像度を選択 さ せる こ と も で き ま す。 オプシ ョ ン : • 640 x 480 ピ ク セル • 800 x 480 ピ ク セル • 800 x 600 ピ ク セル • 1024 x 600 ピ ク セル • 1024 x 768 ピ ク セル • 1280 x 720 ピ ク セル • 1280 x 800 ピ ク セル • 1280 x 1024 ピ ク セル 1400 x 1050 ピ ク セル • Aventail WorkPlace ポー タ ル | 405 • 1440 x 900 ピ ク セル • 1600 x 1200 ピ ク セル • 1680 x 1050 ピ ク セル • 1900 x 1080 ピ ク セル • 2560 x 1600 ピ ク セル • 全画面 • カ ス タ ム ... デ フ ォ ル ト は 1024 x 768 です。 • [Color Depth] は、 画面の色深度を設定 し ます ( デ フ ォ ル ト : 8 ビ ッ ト )。 [Allow user to change GTS settings] を選択す る と 、 エ ン ド ユーザーが GTS のプ ロパテ ィ の一 部を調整で き る よ う に な り ます ( デ フ ォ ル ト : オ フ )。 [Display connection bar] では、AMC 管理者が、GTS セ ッ シ ョ ンの確立後に画面上部に接続バー を表示す るかど う かを定義で き ます ( デ フ ォ ル ト : オ ン )。 [Enable multi-monitor support] は、 RDP7 の複数モ ニ タ サポー ト を有効にす るかど う かを制御 し ます。 RDP7 が利用不可の場合、 複数モ ニ タ が有効化 さ れてい る と 、 GTS は RDP6 のデ ュ ア ル モ ニ タ モー ド に フ ォ ールバ ッ ク し ま す ( デ フ ォ ル ト : オ フ )。 [Enable remote application] を使用す る と 、 AMC 管理者は ( 実際に タ ー ミ ナルを起動す る こ と な く ) GTS セ ッ シ ョ ン を介 し て ア プ リ ケーシ ョ ン を リ モー ト で起動 さ せる こ と がで き ます。 こ の項目 を 有効 に し た 場合は、 [Startup options] セ ク シ ョ ン で [Start application]、 [Application Arguments]、お よ び [Working directory] を定義す る必要があ る こ と に注意 し て く だ さ い ( デ フ ォ ル ト : オ フ )。 [1024x768 pixels] は、[Screen resolution] で [Custom...] が選択 さ れた場合に表示 さ れる フ ィ ー ル ド です ( デ フ ォ ル ト : 1024x768 ピ ク セル )。 [Startup options] [Start application] には、 GTS RDP セ ッ シ ョ ンの開始時に起動 さ せる、 ク ラ イ ア ン ト マ シ ン上 のア プ リ ケーシ ョ ンの完全なパス を指定 し ます。ポ リ シー変数を指定で き ま す ( デ フ ォ ル ト : 空 白 )。 [Application arguments] には、 指定 し た ア プ リ ケーシ ョ ン を正 し く 起動す る ために必要 と な る、 そのア プ リ ケーシ ョ ンの引数を入力 し ます。ポ リ シー変数を指定で き ます ( デ フ ォ ル ト : 空白 )。 [Working directory] には、 ア プ リ ケーシ ョ ン を起動す る デ ィ レ ク ト リ を指定 し ま す。 ポ リ シー変 数を指定で き ます ( デ フ ォ ル ト : 空白 )。 [General] メ ニ ュ ー に 戻 る に は、 [Back] を ク リ ッ ク し ま す。 新 し い 設定 を 有効 に す る に は、 [Finish] を ク リ ッ ク し ま す。 1. [General] タ ブ で、 [Resources] リ ス ト か ら リ ソ ース を選択 し ます。 2. [Link Text] フ ィ ール ド に、 ハ イ パー リ ン ク テキス ト を入力 し ます。 こ のハ イ パー リ ン ク テ キス ト は、 Windows Terminal Services ま たは Citrix ホ ス ト のシ ョ ー ト カ ッ ト と し て表示 さ れます。 3. シ ョ ー ト カ ッ ト の説明を [Description] フ ィ ール ド に入力 し ます。 4. こ のシ ョ ー ト カ ッ ト を グルー プ に含めな い場合は、 [Add this shortcut to group] リ ス ト で [Standalone shortcuts] を 選択 し ま す。 それ以外の場合は、 リ ス ト か ら 既存のグルー プ を 選択 し ます。 新 し いグルー プ を作成す る には、 [New] を選択 し ます。 5. [New] を選択 し た場合は、[New group name] フ ィ ール ド に新 し いグルー プの名前を入力 し ます。 406 | Aventail E-Class SRA 10.7 管理者ガ イ ド 6. [Next] を ク リ ッ ク し ます。 [Advanced] タ ブが表示 さ れます。 7. [General] タ ブ で、 [Resources] リ ス ト か ら リ ソ ース を選択 し ます。 8. [Link Text] フ ィ ール ド に、 ハ イ パー リ ン ク テキス ト を入力 し ます。 こ のハ イ パー リ ン ク テ キス ト は、 Windows Terminal Services ま たは Citrix ホ ス ト のシ ョ ー ト カ ッ ト と し て表示 さ れます。 9. シ ョ ー ト カ ッ ト の説明を [Description] フ ィ ール ド に入力 し ます。 10. こ のシ ョ ー ト カ ッ ト を グルー プ に含めな い場合は、 [Add this shortcut to group] リ ス ト で [Standalone shortcuts] を 選択 し ま す。 それ以外の場合は、 リ ス ト か ら 既存のグルー プ を 選択 し ます。 新 し いグルー プ を作成す る には、 [New] を選択 し ます。 11. [New] を選択 し た場合は、[New group name] フ ィ ール ド に新 し いグルー プの名前を入力 し ます。 12. [Next] を ク リ ッ ク し ます。 [Advanced] タ ブが表示 さ れます。 仮想デス ク ト ッ プ シ ョ ー ト カ ッ ト の追加 こ のページ を使用 し て、 Aventail WorkPlace に表示 さ れる仮想デス ク ト ッ プ シ ョ ー ト カ ッ ト を 作成ま たは編集 し ます。 こ れ ら のシ ョ ー ト カ ッ ト を使用 し て、 ユーザーは VMware View リ ソ ー ス に簡単に接続で き ます。 仮想デス ク ト ッ プ シ ョ ー ト カ ッ ト を追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 2. [Shortcuts] ページ で、 [New] を ク リ ッ ク し ます。 ド ロ ッ プ ダウ ン リ ス ト が表示 さ れます。 3. [Virtual Desktop Shortcut] を選択 し ます。 [Add Virtual Desktop Shortcut] ページが表示 さ れます。 Aventail WorkPlace ポー タ ル | 407 4. [General] タ ブ で、 [Resources] リ ス ト か ら リ ソ ース を選択 し ます。 5. [Link text] フ ィ ール ド に、 ハ イ パー リ ン ク テキス ト を入力 し ます。 こ のハ イ パー リ ン ク テ キス ト は、 VMware View ホ ス ト のシ ョ ー ト カ ッ ト と し て表示 さ れます。 6. シ ョ ー ト カ ッ ト の説明を [Description] フ ィ ール ド に入力 し ます。 7. こ のシ ョ ー ト カ ッ ト を グルー プ に含めな い場合は、 [Add this shortcut to group] リ ス ト で [Standalone shortcuts] を 選択 し ま す。 それ以外の場合は、 リ ス ト か ら 既存のグルー プ を 選択 し ます。 新 し いグルー プ を作成す る には、 [New] を選択 し ます。 8. [New] を選択 し た場合は、[New group name] フ ィ ール ド に新 し いグルー プの名前を入力 し ます。 408 | Aventail E-Class SRA 10.7 管理者ガ イ ド 9. [Next] を ク リ ッ ク し ます。 [Advanced] タ ブが表示 さ れます。 10. セ ッ シ ョ ンの タ イ プ (Citrix XenDesktop や VMware View な ど ) を選択 し ます。 11. [Single sign-on] エ リ ア で、 どのよ う にホ ス ト へユーザー ク レ デ ン シ ャ ルを転送す るかを指 定 し ます。 • [None] を ク リ ッ ク す る と 、シ ン グル サ イ ン オ ンが無効化 さ れ、ユーザーに ク レ デ ン シ ャ ルの入力を求める プ ロ ン プ ト が表示 さ れる よ う に な り ます。 • [Forward user’s session credentials] を ク リ ッ ク す る と 、WorkPlace での認証に使用 し たユーザー名 と パス ワー ド がホ ス ト に も 送信 さ れます。 • すべ て のユ ーザー に つ い て 同 じ ユ ーザー名 と パ ス ワ ー ド を 転送す る に は、 [Forward static credentials] を ク リ ッ ク し ます。 すべてのユーザーで送信す る、 ス タ テ ィ ッ ク な [Username]、 [Password]、 [Domain] を入力 し ます。 • 横の [{variable}] ボ タ ン を ク リ ッ ク す る と 変数の リ ス ト が表示 さ れ、 こ れ ら の各 フ ィ ー ル ド に変数を挿入で き ます。 12. [Resource redirection] エ リ ア で、 仮想デス ク ト ッ プ と ホ ス ト と の間で どのよ う にデー タ を や り と り す るかを指定 し ます。 a. リ モー ト デバ イ スの音声 を ロ ー カ ル コ ン ピ ュ ー タ 上で再生す る には、 [Bring remote audio to local computer] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 b. コ ン ピ ュ ー タ 間で ク リ ッ プ ボー ド の内容を コ ピ ーす る には、[Share clipboard between local and remote computers] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 デバ イ ス上の ド ラ イ ブやプ リ ン タ に ア ク セ スす る には、 [Drives] ボ ッ ク スや [Printers] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 c. リ モー ト チェ ック Aventail WorkPlace ポー タ ル | 409 13. [Display properties] エ リ ア で、 仮想デス ク ト ッ プの画面の外観を指定 し ます。 a. [Screen resolution] ド ロ ッ プ ダウ ン リ ス ト を使用 し て、 仮想デス ク ト ッ プの画面の解 像度を選択 し ます。 b. [Color depth] ド ロ ッ プダウ ン リ ス ト を使用 し て、 仮想デス ク ト ッ プの画面の色深度を選 択 し ます。 14. [Finish] を ク リ ッ ク し ます。 テキス ト タ ー ミ ナル シ ョ ー ト カ ッ ト の追加 こ のページ を使用 し て、Aventail WorkPlace に表示 さ れる テ キス ト タ ー ミ ナル シ ョ ー ト カ ッ ト を 作成ま たは編集 し ま す。 こ れ ら のシ ョ ー ト カ ッ ト を 使用 し て、 ユーザーは SSH リ ソ ー スや Telnet リ ソ ース に簡単に接続で き ます。 テ キス ト タ ー ミ ナル シ ョ ー ト カ ッ ト を追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 2. [Shortcuts] ページ で、 [New] を ク リ ッ ク し ます。 ド ロ ッ プ ダウ ン リ ス ト が表示 さ れます。 3. [Text Terminal Shortcut] を選択 し ます。[Add Text Terminal Shortcut] ページが表示 さ れま す。 4. [General] タ ブ で、 [Resource] リ ス ト か ら リ ソ ース を選択 し ま す。 5. [Link text] フ ィ ール ド に、 ハ イ パー リ ン ク テキス ト を入力 し ます。 こ のハ イ パー リ ン ク テ キス ト は、 SSH ま たは Telnet ホ ス ト のシ ョ ー ト カ ッ ト と し て表示 さ れます。 6. シ ョ ー ト カ ッ ト の説明を [Description] フ ィ ール ド に入力 し ます。 7. こ のシ ョ ー ト カ ッ ト を グルー プ に含めな い場合は、 [Add this shortcut to group] リ ス ト で [Standalone shortcuts] を 選択 し ま す。 それ以外の場合は、 リ ス ト か ら 既存のグルー プ を 選択 し ます。 新 し いグルー プ を作成す る には、 [New] を選択 し ます。 8. [New] を選択 し た場合は、[New group name] フ ィ ール ド に新 し いグルー プの名前を入力 し ます。 9. [Next] を ク リ ッ ク し ます。 [Advanced] タ ブが表示 さ れます。 SSHv2 の構成 410 | Aventail E-Class SRA 10.7 管理者ガ イ ド [Secure Shell (SSH)] セ ッ シ ョ ン タ イ プ を 選択す る と 、 [Advanced] タ ブのオ プ シ ョ ン のセ ク シ ョ ンが変更 さ れ、 こ のセ ク シ ョ ン に適切なデ フ ォ ル ト 設定が入力 さ れます。 [Port] には、 FTP 通信に使用す る ポー ト を定義 し ます ( デ フ ォ ル ト : 22)。 [Advanced] タ ブのセ ッ シ ョ ン関連オ プ シ ョ ン [Automatically accept host key] を選択す る と 、 管理者は、 ホ ス ト キーが一致 し な い場合に接 続 を 受け入れる かど う かのプ ロ ン プ ト を、 Workplace ユーザーに対 し て表示す るかど う か を 制 御で き ます ( デ フ ォ ル ト : オ ン )。 [Bypass username for SSHv2 only] は、 ロ グ イ ン時にユーザー名 フ ィ ール ド を無視す る / 空 白にす る必要があ るかど う かを制御 し ます。 E-Class SRA フ ァ イ ア ウ ォ ールの場合のみ有効で す ( デ フ ォ ル ト : 未選択 )。 [General] メ ニ ュ ー に 戻 る に は、 [Back] を ク リ ッ ク し ま す。 新 し い 設定 を 有効 に す る に は、 [Finish] を ク リ ッ ク し ま す。 Telnet の構成 [Telnet] セ ッ シ ョ ン タ イ プ を選択す る と 、 オ プ シ ョ ンのセ ク シ ョ ンが変更 さ れ、 デ フ ォ ル ト 設 定が事前に入力 さ れます。 [Port] オ プ シ ョ ン には、 Telnet 通信に使用す る ポー ト を定義 し ます ( デ フ ォ ル ト : 23)。 [General] メ ニ ュ ー に 戻 る に は、 [Back] を ク リ ッ ク し ま す。 新 し い 設定 を 有効 に す る に は、 [Finish] を ク リ ッ ク し ま す。 シ ョ ー ト カ ッ ト の編集 リ ソ ース を定義す る際に新 し い WorkPlace シ ョ ー ト カ ッ ト を作成で き ますが、 シ ョ ー ト カ ッ ト の編集や削除には [ シ ョ ー ト カ ッ ト ] ページ を使用す る必要があ り ます。 シ ョ ー ト カ ッ ト を編集す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 2. 編集す る シ ョ ー ト カ ッ ト の番号ま たは リ ン ク テキス ト を ク リ ッ ク し ます。 3. 必要な編集を加え てか ら 、 [Save] を ク リ ッ ク し ます。 シ ョ ー ト カ ッ ト を削除す る と 、 そのシ ョ ー ト カ ッ ト はユーザーの Aventail WorkPlace に表示 さ れな く な り ます。 シ ョ ー ト カ ッ ト を削除す る には、 [Shortcuts] ページ を使用す る必要があ り ま す。 シ ョ ー ト カ ッ ト を削除す る には 4. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 5. 削除す る シ ョ ー ト カ ッ ト の左にあ る チ ェ ッ ク ボ ッ ク ス を選択 し 、 [Delete] を ク リ ッ ク し ま す。 シ ョ ー ト カ ッ ト を削除 し て も 、 そのシ ョ ー ト カ ッ ト が参照 し て い る リ ソ ースは削除 さ れ ません。 Aventail WorkPlace で表示 さ れる シ ョ ー ト カ ッ ト の リ ス ト の順序は、[Shortcuts] ページ での順 序 と 同 じ です。 一度に複数のシ ョ ー ト カ ッ ト を 移動で き ます。 シ ョ ー ト カ ッ ト ( お よ びシ ョ ー ト カ ッ ト グ ル ー プ ) の 順 序 は、 後 で [Configure WorkPlace Layout] ペ ー ジ を 使 用 し て、 WorkPlace サ イ ト 用に選択す る レ イ ア ウ ト 内で変更で き ます。 1 つ以上のシ ョ ー ト カ ッ ト を移動す る には 6. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 Aventail WorkPlace ポー タ ル | 411 7. 移動す る シ ョ ー ト カ ッ ト の左にあ る チ ェ ッ ク ボ ッ ク ス を選択 し ます。 8. [Move Up] ま たは [Move Down] を適宜 ク リ ッ ク し ます。 ボ タ ン を ク リ ッ ク す る たびに、 選 択 し た シ ョ ー ト カ ッ ト が リ ス ト の 1 つ上ま たは下に移動 し ま す。 個々の WorkPlace シ ョ ー ト カ ッ ト の順序 を変更す る別の方法 と し ては、 シ ョ ー ト カ ッ ト の番号 ま たは リ ン ク テ キス ト を ク リ ッ ク し て、 リ ス ト 内での新た な順序を [Position] ボ ッ ク ス に入力 し ます。 WorkPlace サイ ト 従業員、 ビ ジ ネ ス パー ト ナー、 供給業者な ど、 異な る ユーザー向けに複数の WorkPlace サ イ ト を作成で き ます。 各サ イ ト に一意の外部 URL と 固有の外観を設定で き るほか、 WorkPlace ポー タ ルを迂回 し てユーザー を別のス タ ー ト ページ に リ ダ イ レ ク ト す る こ と も で き ます。 例えば、 従業員向け と し て タ イ ト ル と ロ ゴ の カ ス タ マ イ ズ さ れた WorkPlace サ イ ト (URL は http://employees.headquarters.com) を作成 し 、 パー ト ナー向け と し て http://partners.subsidiary.com に別のサ イ ト を作成す る こ と がで き ます。 一意の外部 URL を持つ複数の WorkPlace サ イ ト を 作成す る場合は、 ア プ ラ イ ア ン ス にワ イ ル ド カ ー ド 証明書を 1 つ イ ン ポー ト し て その証明書を 複数の WorkPlace サ イ ト のサーバー証明書 と し て指定す る こ と がで き ます。 ま たは、 FQDN が ア プ ラ イ ア ン スの ド メ イ ン名 と 異な る各サ イ ト ご と に個別の SSL 証明書を取得す る こ と も で き ます。 詳細については、 147 ページの 「証明書」 を参照 し て く だ さ い。 オ プ シ ョ ン で、 複数のレ ルム を構成 し てい る場合は、 1 つの WorkPlace サ イ ト を 1 つのレ ルム に関連付け る こ と がで き ま す。 こ れに よ り 、 ユーザーは、 認証プ ロ セ スの一部 ( 通常で あれば ロ グ イ ン す る レ ルム を指定す る部分 ) を迂回で き ます。 WorkPlace サ イ ト を レ ルムに関連付け て い る 場合、 ユーザーは ロ グ イ ン 先 と し て別の レ ルム を 選択す る こ と はで き ません。 指定 し た レ ルムに属 し て いな いユーザーは、 そのレ ルムに関連付け ら れた WorkPlace サ イ ト にはロ グ イ ン で き ません。 以下の Aventail WorkPlace コ ン ポーネ ン ト を カ ス タ マ イ ズで き ま す。 企業ロ ゴ • WorkPlace の タ イ ト ル • ページ上部の メ ッ セージ テ キス ト • 色スキーム • ヘルプ フ ァ イ ル • フォン ト フ ァ ミ リ ユーザーの ロ グ イ ン す る レ ルムに お い て、 変換 Web ア ク セ ス、 カ ス タ ム ポー ト マ ッ ピ ン グ Web ア ク セ ス、 ま たは カ ス タ ム FQDN マ ッ ピ ン グ Web ア ク セ スが排他的に許可 さ れて い る場 合は、ユーザーに WorkPlace ポー タ ルを経由せずに別のス タ ー ト ページへ直接ア ク セ ス さ せる こ と がで き ます。 詳細については、 413 ページの 「WorkPlace サ イ ト の追加」 を参照 し て く だ さ い。 • ま た、 カ ス タ ムの ラ イ セ ン ス契約 を 設定 し 、 ユーザーが こ れ を 承認 し な ければ使用 を 開始で き ない よ う にす る こ と も お勧め し ます。 Aventail WorkPlace へロ グ イ ン す る際にユーザーが入力す る URL の先頭に、 http:// と い う プ ロ ト コ ル識別子が追加 さ れます。 その後、 Web セ ッ シ ョ ンは、 安全な HTTP (HTTPS) と https:// プ ロ ト コ ル識別子を使用す るサ イ ト に リ ダ イ レ ク ト さ れます。 メモ • カ ス タ ムの WorkPlace サ イ ト を指定 し ない場合や、ユーザーがデ フ ォ ル ト の名前を使用 し て ア プ ラ イ ア ン ス に ア ク セ スす る場合は、デ フ ォ ル ト の WorkPlace サ イ ト が自動的に 使用 さ れます。 412 | Aventail E-Class SRA 10.7 管理者ガ イ ド • • 新 し い WorkPlace サ イ ト を ゼロか ら 作成す るのではな く 、 既存のサ イ ト を コ ピ ー し て新 し いサ イ ト 用に一部のパ ラ メ ー タ を 変更す る と 、 時間 を 節約で き ま す。 WorkPlace サ イ ト の コ ピ ーについ ては、 112 ペー ジの 「AMC でのオ ブ ジ ェ ク ト の追加、 編集、 コ ピ ー、 削除」 を参照 し て く だ さ い。 不要 と な っ た WorkPlace サ イ ト は削除で き ます。 た だ し 、 デ フ ォ ル ト の WorkPlace サ イ ト は削除 で き ま せん。 WorkPlace サ イ ト の削除に つ い て は、 112 ペー ジ の 「AMC でのオ ブ ジ ェ ク ト の追加、 編集、 コ ピ ー、 削除」 を参照 し て く だ さ い。 WorkPlace サイ ト の追加 AMC に は、 構 成 済 み の デ フ ォ ル ト WorkPlace サ イ ト が 含 ま れ て い ま す。 必 要 に 応 じ て、 WorkPlace サ イ ト を追加で作成で き ます。 こ のセ ク シ ョ ン ではその作成方法につい て説明 し ま す。 異な る ス タ イ ル と レ イ ア ウ ト を設定す る と 、 コ ミ ュ ニ テ ィ ご と に WorkPlace の外観を変え る こ と がで き ます。 詳細につい ては、 416 ページの 「WorkPlace の外観の変更」 を参照 し て く だ さ い。 小 型 携 帯 端 末 向 け に WorkPlace サ イ ト を 構 成 す る 方 法 に つ い て は、 418 ペ ー ジ の 「WorkPlace と 小型携帯端末」 を参照 し て く だ さ い。 WorkPlace サ イ ト の完全修飾 ド メ イ ン名 (FQDN) には、次のいずれかを含め る こ と がで き ます。 E-Class SRA ア プ ラ イ ア ン ス と 同 じ ド メ イ ン名のホ ス ト 。 こ の タ イ プのサ イ ト には、 オ プ シ ョ ン で、 個別の SSL 証明書を構成で き ます。 • カ ス タ ム FQDN。 こ のオ プ シ ョ ン では、 ワ イ ル ド カ ー ド SSL 証明書を使用で き ます ( その ワ イ ル ド カ ー ド 証明書を使用す る他の WorkPlace サ イ ト と IP ア ド レ スが同一の場合 )。 ま たは、 サ イ ト 用に個別の SSL 証明書 を 使用す る こ と も で き ま す。 サ イ ト を 作成す る 前に、 証明書を取得す る必要があ り ます。 詳細については、 147 ページの 「証明書」 を参照 し て く だ さ い。 いずれの場合で も 、 ユーザーが WorkPlace に ア ク セ ス で き る よ う 、 ユーザーに外部 FQDN を 伝え る必要があ り ます。 ま た、 こ の FQDN をパブ リ ッ ク DNS に追加す る必要があ り ます。 • WorkPlace サ イ ト を追加す る には 1. メ イ ンのナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail [WorkPlace Sites] タ ブ を ク リ ッ ク し ます。 WorkPlace] を ク リ ッ ク し 、 次に Aventail WorkPlace ポー タ ル | 413 2. [New] を ク リ ッ ク し ま す。 [Configure WorkPlace Site] ページが開 き 、 [General] 設定が表 示 さ れます。 3. [Name] ボ ッ ク ス に、 WorkPlace サ イ ト に付け る一意の名前を入力 し ます。 4. ( オ プ シ ョ ン ) [Description] ボ ッ ク ス に、 WorkPlace サ イ ト についての分か り やすい コ メ ン ト を入力 し ます。 5. [Custom FQDN] に IPv4 ま たは IPv6 の カ ス タ ム FQDN 名を入力 し ます。デ フ ォ ル ト では、 AMC はすべてのサー ビ ス につい てすべての イ ン タ ー フ ェ ース を監視 し 、 要求 さ れる FQDN に基づい て、 要求を正 し いサー ビ ス に接続 し ます。 6. ( 移行 / イ ン ポー ト し た構成のみ ) AMC に WorkPlace サ イ ト の仮想 IP ア ド レ スが構成 さ れて い るか、AMC で CEM が使用 さ れてお り 、 その AMC を以前のバージ ョ ンか ら ア ッ プ グ レ ー ド し た場合は、 追加の監視ア ド レ ス を指定で き ます。 監視ア ド レ ス を追加す る には、 [Listen on an additional IP address] チ ェ ッ ク ボ ッ ク ス を選択 し て IP ア ド レ ス を入力 し ます。 新規 イ ン ス ト ールの場合、 [Listen on an additional IP address] フ ィ ール ド は表示 さ れませ ん。 部分的 イ ン ポー ト を行 う と 仮想 IP ア ド レ スの情報は失われ、 未解決の変更を適用す る と 、 管理者は、 別の IP ア ド レ ス を使用す る よ う 構成 し た WorkPlace サ イ ト や URL リ ソ ー ス を 修正 す る こ と が必要 に な り ま す。 そ の場合、 [Listen on an additional IP address] フ ィ ール ド が、 追加のア ド レ スの監視 を 有効化す る チ ェ ッ ク ボ ッ ク スが選択 さ れた状態で 表示 さ れます。 IP ア ド レ ス を入力す るか、 チ ェ ッ ク ボ ッ ク スの選択を解除 し ます。 既存の仮想ホ ス ト を使用 し て移行 / イ ン ポー ト さ れた構成の場合、 UI セ ク シ ョ ンは表示 さ れますが、 管理者は、 新 し い仮想ア ド レ ス を作成で き ません。 必要で あれば、 CEM を使用 し て、 新規ま たは移行 / イ ン ポー ト さ れた構成に仮想ホ ス ト ア ド レ ス を作成 し ま す。 部分的 イ ン ポー ト を 行 う と 仮想 IP ア ド レ スの情報は失われ、 未解決の変更 を 適用す る と 、 管理者は、 別の IP ア ド レ ス を使用す る よ う 構成 し た WorkPlace サ イ ト や URL リ ソ ース を 修正す る こ と が必要に な り ます。 その場合、 こ の UI は、 追加のア ド レ スの監視を有効化す る チ ェ ッ ク ボ ッ ク スが選択 さ れた状態で表示 さ れま す。 ア ド レ ス ボ ッ ク ス には IP ア ド レ ス と し て [(New)] が選択 さ れ、 IP ア ド レ スは未入力 と な っ て い ます。 管理者は、 IP ア ド レ ス を入力す るか、 チ ェ ッ ク ボ ッ ク スの選択を解除で き ます。 414 | Aventail E-Class SRA 10.7 管理者ガ イ ド 証明書に含まれて い る ホ ス ト 名ま たは IP ア ド レ ス と 、 こ のサ イ ト 用に指定 し た [Custom FQDN] ま たは [IP address] が一致 し な い場合、 ユーザーがサ イ ト に ア ク セ スす る と セキ ュ リ テ ィ 警告が表示 さ れます。 7. WorkPlace ロ グ イ ン ページ用のス タ イ ル ( ロ ゴ、 色スキーム、 お よ び テキス ト が含まれま す ) を選択 し ます。 他の WorkPlace ポー タ ル ページのス タ イ ル と レ イ ア ウ ト は、 コ ミ ュ ニ テ ィ の設定時に指定 し ます。 ス タ イ ルの変更や作成につい ては、 416 ページの 「WorkPlace の外観の変更」 を参照 し て く だ さ い。 8. [Next] を ク リ ッ ク し て [Advanced] ページ を開 き ます。 9. [Realm] エ リ ア で、 次のいずれかのオ プ シ ョ ン を選択 し ます。 • [Log in using this realm]: ユーザーに レ ルムの選択を求め る プ ロ ン プ ト は表示 さ れませ ん。 指定 さ れた レ ルムの メ ンバーのみが こ の WorkPlace サ イ ト に ア ク セ ス で き ます。 • [Prompt user for realm]: ユーザーに レ ルムの リ ス ト を表示 し 、選択す る よ う 求めます。 リ ス ト には、 構成 さ れてい る すべてのレ ルム を表示で き ます。 ま た、 [All realms] の選択 を解除 し て、 リ ス ト に表示す る レ ルム を選択す る こ と も で き ます。 ロ グ イ ン時に レ ルム を 選択 し た後、 認証済みのすべてのユーザーが こ の WorkPlace サ イ ト に ア ク セ ス で き ます。 10. 認証後のユーザーにデ フ ォ ル ト の WorkPlace ホーム ページ を表示 さ せない場合は、 [Start page] エ リ ア で [Display this page after authentication] を選択 し ます。例えば、Web ベー スの コ ン テ ン ツ管理シ ス テム (CMS) を使用 し て コ ン テ ン ツ を投稿す る ユーザーがい る場合 は、 こ の設定を利用 し て、 その投稿者に ロ グ イ ン後す ぐ に CMS の イ ン タ ー フ ェ ース を表示 す る こ と がで き ます。 こ の設定は、 [Realm] エ リ ア で指定 し た レ ルムが、 変換 Web ア ク セ ス、 カ ス タ ム ポー ト マ ッ ピ ン グ Web ア ク セ ス、 ま たは カ ス タ ム FQDN マ ッ ピ ン グ Web ア ク セ ス を排他的に提 供 し てい る場合にのみ、 利用で き ます。 こ のテ キス ト ボ ッ ク ス に入力す る URL には、 自動 的に http:// と い う 接頭辞が付け ら れます。 安全なサ イ ト の URL の場合は、 https:// プ ロ ト コ ル識別子を含める必要があ り ます。 ユーザー向けに代替ページ を指定 し 、 ユーザーがデ フ ォ ル ト の WorkPlace ポー タ ルを迂回 す る場合、 ユーザーのセ ッ シ ョ ンの有効期間は、 ブ ラ ウザのウ ィ ン ド ウ を 開い てい る間か、 セ ッ シ ョ ン が タ イ ム ア ウ ト に な る ま での間 と な り ま す。 WorkPlace と は異な り 、 代替ペー ジ には [Log out] オ プ シ ョ ンは表示 さ れません。 11. [Finish] を ク リ ッ ク し て、 WorkPlace サ イ ト の設定を保存 し ま す。 メモ URL リ ソ ース を作成 し ていれば、 [Start page] エ リ ア に URL エ イ リ ア ス を入力で き ます ( ユーザーに WorkPlace で完全な URL を表示 し た く な い場合 )。 例えば、 URL リ ソ ース を http://intranet.mycompany.com、 そのエ イ リ ア ス を intranet と 定義 し て い る場合は、 こ こ で WorkPlace のス タ ー ト ページ を intranet ( ま たは、 よ り 具体的なパ ス (intranet/some/path な ど )) と 指 定 で き ま す。 ユ ー ザ ー は、 認 証 時 に https://<appliance>/intranet ま たは https://<appliance>/intranet/some/path に リ ダ イ レ ク ト さ れ ます。 Aventail WorkPlace ポー タ ル | 415 WorkPlace の外観の変更 新 し い WorkPlace サ イ ト を 作成す る 際に、 ペ ー ジ のル ッ ク ア ン ド フ ィ ール と 、 リ ソ ー ス の シ ョ ー ト カ ッ ト や他の要素 ( イ ン ト ラ ネ ッ ト の参照やネ ッ ト ワー ク エ ク ス プ ロ ー ラ な ど ) の配 置を 制御で き ま す。 WorkPlace の外観は、 次のデザ イ ン要素に よ っ て制御 さ れま す。 こ れ ら は 作成 し て再利用す る こ と がで き ます。 • WorkPlace ス タ イル に よ っ て、 WorkPlace で使用す る色スキーム、 フ ォ ン ト 、 お よ び画像を 指定 し ます。 ス タ イ ルは、 ユーザー リ ソ ース を含んでい る ページ と 、 ロ グ イ ン、 エ ラ ー、 お よ び通知ページ と い う 、 2 つのページ群に適用で き ます。 WorkPlace のロ グ イ ン、 エ ラ ー、 お よ び通知ページ に ス タ イ ルを割 り 当て るのは WorkPlace サ イ ト の構成時ですが ( 詳細は 413 ページの 「WorkPlace サ イ ト の追加」 を参照 )、 ポー タ ル ページ に ス タ イ ルを割 り 当て るのは コ ミ ュ ニ テ ィ の構成時 ( 詳細は 63 ページの 「 コ ミ ュ ニ テ ィ の作成 と 構成」 を参照 ) で あ る こ と に注意 し て く だ さ い。 • WorkPlace レ イ アウ ト は、 WorkPlace のナ ビ ゲーシ ョ ン な どの要素、 ページ に表示す る列の 数、 ユーザーに [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス を表示す るかど う か、 お よ び表示す る シ ョ ー ト カ ッ ト と その配置な ど を指定 し ます。 レ イ ア ウ ト は、 WorkPlace リ ソ ース ページ にのみ適用 さ れます。 サ イ ト におい て WorkPlace の外観 を 全面的に変え る 必要があ る場合、 管理者が Web コ ン テ ン ツ と ス タ イ ル シ ー ト (.css) の作成に習熟 し て いれば、 独自に作成 し た ス タ イ ル を ア プ ラ イ ア ン ス に ア ッ プ ロ ー ド し て、サ イ ト の作成時にそのス タ イ ルを選択 し て割 り 当て る こ と がで き ます。 詳細については、 422 ページの 「WorkPlace ページの全面的な カ ス タ マ イ ズ」 を参照 し て く だ さ い。 さ ら に詳細な カ ス タ マ イ ズ ( ロ グ イ ン プ ロ セ ス に使用許諾契約書を 挿入す る な ど ) を行 う 方法については、 423 ページの 「概要 : カ ス タ ム WorkPlace テ ン プ レ ー ト 」 を参照 し て く だ さ い。 WorkPlace の デ フ ォ ル ト ス タ イ ル と デ フ ォ ル ト レ イ アウ ト は削除で き ません。 メモ WorkPlace ス タ イルの作成または編集 新 し い WorkPlace ス タ イ ルを作成す る には [Aventail WorkPlace] 1. メ イ ンのナ ビ ゲーシ ョ ン メ ニ ュ ーで [Appearance] タ ブ を ク リ ッ ク し ます。 2. [Styles] エ リ ア で、新 し い ス タ イ ルのベースにす る既存のス タ イ ルを選択 ( チ ェ ッ ク ボ ッ ク ス を選択 し てか ら [Copy] を ク リ ッ ク ) す るか、 [New] を ク リ ッ ク し ます。 3. [Name] ボ ッ ク ス に、 WorkPlace ス タ イ ルに付け る一意の名前を入力 し ます。 4. ( オ プ シ ョ ン ) [Description] ボ ッ ク ス に、こ のス タ イ ルについての分か り やすい コ メ ン ト を 入力 し ます。 5. [Font family] リ ス ト で、使用す る フ ォ ン ト の タ イ プ を選択 し ま す ( セ リ フ ま たはサン セ リ フ )。 6. [Color scheme] リ ス ト で、 使用す る色スキームの名前を ク リ ッ ク し ます。 [Custom] を選択 す る と 、 WorkPlace のペー ジ背景、 小見出 し 、 お よ び見出 し に カ ス タ ムの色 を 設定で き ま す。 適切な RGB 値 (16 進数値 ) を入力す るか、 色見本を ク リ ッ ク し て [Please choose a color] ダ イ ア ロ グ ボ ッ ク ス で色を選択す る こ と に よ っ て、 色の設定を指定 し ます。 7. WorkPlace に表示 さ れる E-Class SRA ロ ゴ を他の画像に変更す る には、 [Replace with] ボ ッ ク ス で、 使用す る .gif ま たは .jpg フ ァ イ ルを入力 ( ま たは参照 し て指定 ) し ます。 最適 の結果を得る には、 幅 200 ピ ク セル、 高 さ 50 ピ ク セル以内の画像を使用 し て く だ さ い。 8. [Display gradient background behind logo] が選択 さ れてい る場合、 各 WorkPlace ペー ジの上部に [Color scheme] のア ク セ ン ト 色が表示 さ れ、 濃い色 ( ページ上部 ) か ら 薄い色 へ と グ ラ デーシ ョ ン表示 さ れます。 見出 し は白で表示 さ れます。 416 | Aventail E-Class SRA 10.7 管理者ガ イ ド を ク リ ッ ク し 、 次に 9. 小型携帯端末では、 デ フ ォ ル ト で、 [Images] エ リ ア で指定 し た ロ ゴがサ イ ズ変更 さ れます が、 最適の結果 を 得る には、 40 x 100 ピ ク セル以内の代替画像 を 指定す る こ と を お勧め し ます。画像 フ ァ イ ルのパス を入力す るか、[Browse] ボ タ ン を ク リ ッ ク し て使用す る画像 フ ァ イ ルを選択 し ます。 WAP お よ び i モー ド デバ イ ス ではロ ゴは自動的に省略 さ れる ため、 こ の設定は こ れ ら のデバ イ ス での表示には影響 し ません。 10. [Title] ボ ッ ク ス に タ イ ト ルのテ キス ト を入力 し ます。こ のテキス ト はページの タ イ ト ル と し て表示 さ れ、 ま た ブ ラ ウザの タ イ ト ル バーに表示 さ れます。 タ イ ト ルは最長 25 文字です。 11. [Greeting] ボ ッ ク スに、 サ イ ト の紹介テ キス ト を入力 し ま す。 こ のテキス ト は タ イ ト ルの下 に表示 さ れま す。 こ のテ キス ト は最長 250 文字です。 た だ し 、 特に小型携帯端末に表示す る場合は、 短い テ キス ト にす る こ と を お勧め し ます。 12. ユーザーへの支援を向上す る ために、 VPN 上で利用可能な リ ソ ースの詳細情報やテ ク ニ カ ル サポー ト の要請方法 を 記載 し た カ ス タ ムのヘルプ フ ァ イ ル を 指定す る こ と も で き ま す。 [Browse] を ク リ ッ ク し て、 カ ス タ ムのヘルプ情報が含まれて い る適切な規格の HTML フ ァ イ ルを指定 し ます。 カ ス タ ムのヘルプ コ ン テ ン ツは、 デ フ ォ ル ト の WorkPlace ヘルプ シ ス テムに統合 さ れます。カ ス タ ムのヘルプ コ ン テ ン ツ に変更を加え る場合は、フ ァ イ ルを ロ ー カ ルで編集 し てか ら 、 ア プ ラ イ ア ン ス に再度ア ッ プ ロ ー ド し ます。 13. [Save] を ク リ ッ ク し て WorkPlace サ イ ト の設定を保存 し ます。 [Reset Defaults] を ク リ ッ ク す る と 工場出荷時のデ フ ォ ル ト 設定に リ セ ッ ト さ れます。 WorkPlace レ イ アウ ト の作成または編集 新 し い WorkPlace レ イ ア ウ ト を作成す る には [Aventail WorkPlace] 1. メ イ ンのナ ビ ゲーシ ョ ン メ ニ ュ ーで [Appearance] タ ブ を ク リ ッ ク し ます。 を ク リ ッ ク し 、 次に 2. [Layouts] エ リ ア で、 [New] を ク リ ッ ク し ま す。 3. [Name] ボ ッ ク ス に、 WorkPlace レ イ ア ウ ト に付け る一意の名前を入力 し ます。 4. ( オ プ シ ョ ン ) [Description] ボ ッ ク ス に、こ のレ イ ア ウ ト についての分か り やすい コ メ ン ト を入力 し ます。 5. [Initial content] エ リ ア で、現在の WorkPlace コ ン テ ン ツのレ イ ア ウ ト ( 定義済みのシ ョ ー ト カ ッ ト お よ びシ ョ ー ト カ ッ ト グルー プ ) を選択 し ま す。 ま たは、 コ ン テ ン ツの初期構成 の設定を選択 し て、 後で WorkPlace リ ソ ース を追加 し ます。 こ こ で初期 コ ン テ ン ツのレ イ ア ウ ト を指定 し て も 、 後で ページやページ コ ン テ ン ツ を追加、 削除、 再配置す る こ と に よ っ て レ イ ア ウ ト を変更で き ます。 6. [Page navigation] エ リ ア で、 コ ン テ ン ツが複数ページの場合に表示 さ れる ナ ビ ゲーシ ョ ン コ ン ト ロ ールの種類を指定 し ます。 7. こ のレ イ ア ウ ト が使用 さ れる際に [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス を表示す るかど う か を指定 し ます。 ユーザーは こ のボ ッ ク ス に リ ソ ース名 (UNC パス、 URL、 ま たはその両方 ) を入力 し て、 リ ソ ース にア ク セ ス で き ます。 [Next] を ク リ ッ ク し ま す。 8. [Edit page properties] リ ン ク を ク リ ッ ク し て、 こ の WorkPlace ページの基本的な プ ロパ テ ィ ( 名前 ( ホーム な ど ) や簡単な説明 ) を変更 し ます。 9. ページ、 列、 お よ びシ ョ ー ト カ ッ ト の コ ン ト ロ ールを使用 し て、 ページや コ ン テ ン ツ を追加 し た り 、 各ページの要素を再配置 し ます。 レ イ ア ウ ト 内で項目を再配置 し た り 、 レ イ ア ウ ト か ら 項目 を 削除 し て も 、 実際の リ ソ ー スへの影響はあ り ません。 WorkPlace 内でのそれ ら の表示が変更 さ れる だけです。 10. [Next] を ク リ ッ ク し て [Device Preview] ページ に移動 し ます。 こ のページ を使用 し て、 表 示機能が異な る各種のデバ イ ス で レ イ ア ウ ト がどのよ う に表示 さ れるかを確認で き ます。例 えば、 レ イ ア ウ ト で [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス を表示す る よ う 構成 し て いて も 、 モバ イ ル デバ イ ス では こ のボ ッ ク スは表示で き ません。 Aventail WorkPlace ポー タ ル | 417 WorkPlace と 小型携帯端末 WorkPlace では、 PDA、 ポケ ッ ト PC、 ス マ ー ト フ ォ ン、 WAP 2.0 対応の携帯電話、 お よ び i モー ド 携帯電話な ど、 さ ま ざ ま な小型携帯端末をサポー ト し てい ま す。 こ のセ ク シ ョ ン では、 こ れ ら のデバ イ ス をサポー ト す る ためのア プ ラ イ ア ン スの構成方法について説明 し ます。 概要 :WorkPlace と 小型携帯端末 ユーザーが小型携帯端末か ら WorkPlace に ロ グ イ ン す る と 、WorkPlace はデバ イ スの タ イ プ を 検出 し て、 ク ラ イ ア ン ト デバ イ スの機能に合わせて自動的に変換を行い ま す。 こ の変換に よ り 、 ユーザー エ ク スペ リ エ ン スの一部に影響が及びます。 • WorkPlace の機能 : 次に示す、一般的なデス ク ト ッ プ ブ ラ ウザで利用可能な WorkPlace 機 能の一部は、 小型携帯端末では除外 さ れます。 • ネ ッ ト ワー ク 共有に ア ク セ スす る ためのネ ッ ト ワー ク エ ク ス プ ロ ー ラ ページは利用で き ません。 • URL や UNC パス名を入力す る [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク スは利用で き ません。 WorkPlace の http お よ び https のブ ッ ク マー ク はサポー ト さ れます。 • Dell SonicWALL ア ク セ ス エージ ェ ン ト (OnDemand ア ク セ ス エージ ェ ン ト 、 EPC デー タ 保護エージ ェ ン ト 、 お よ び タ ー ミ ナル サーバー エージ ェ ン ト な ど ) はサポー ト さ れません (Windows Mobile デバ イ ス では Connect Mobile を利用で き ます。ま た、iOS お よ び Android デバ イ ス では Mobile Connect を利用で き ます )。 • カ ス タ ムのオ ン ラ イ ン ヘルプ フ ァ イ ルは利用で き ません。 • WorkPlace のル ッ ク ア ン ド フ ィ ール : 標準の WorkPlace の外観 ( 管理者が加え た カ ス タ マ イ ズ を含む ) は、 小型携帯端末での表示に最適化 さ れる よ う 自動的に変更 さ れます。 小型携帯端末での WorkPlace の外観の構成につい ては、 419 ページの 「小型携帯端末での表示 用に WorkPlace を最適化す る」 を参照 し て く だ さ い。 • • 利用で き る リ ソ ース : 小型携帯端末で どの WorkPlace シ ョ ー ト カ ッ ト を表示す るかを制御 で き ます。 こ れに よ り 、 特定の タ イ プのデバ イ ス と 互換性のない Web リ ソ ース を除外で き ます。 例えば、 Outlook Web Access の リ ン ク は非表示に し て、 代わ り に Outlook Mobile Access への リ ン ク を表示す る こ と を お勧め し ます。 こ の設定は WorkPlace シ ョ ー ト カ ッ ト の作成 時に行い ます。 詳細につい ては、 394 ページの 「Web シ ョ ー ト カ ッ ト の追加」 を参照 し て く だ さ い。 End Point Control の分類 : デバ イ スの種類に基づいて ア ク セ ス を制限す る ために、 特定の 種類の Windows Mobile デバ イ ス用に EPC ゾ ー ン を 作成 し 、 ア ク セ ス制御ルールで その ゾー ン を指定す る こ と がで き ます。 詳細については、 341 ページの 「ゾー ンの定義」 を参照 し て く だ さ い。 ア プ ラ イ ア ン スは、 最 も 一般的な小型携帯端末を、 複数の カ テ ゴ リ のいずれかに分類す る よ う 、 事前に構成 さ れて い ま す。 ほ と ん どの導入環境ではデ フ ォ ル ト 設定で問題あ り ませんが、 必要 に応 じ て こ の構成を変更 し て、 分類を変更 し た り 、 他のデバ イ ス を認識 さ せる こ と がで き ます。 デバ イ スがどのよ う に分類 さ れるかについては、 420 ページの 「概要 : ブ ラ ウザ プ ロ フ ァ イ ル」 を参照 し て く だ さ い。 • メモ • • 一部の小型携帯端末ではエ ラ ー ページが表示 さ れず、 Web サーバーか ら 、 エ ラ ー内容を 説明 し た テ キス ト を伴わずに エ ラ ー コ ー ド ( 「500」 エ ラ ーな ど ) が返 さ れます。 サポー ト さ れて いな いデバ イ スか ら WorkPlace へのロ グ イ ン を試行す る と 、 エ ラ ー メ ッ セージが表示 さ れます。 418 | Aventail E-Class SRA 10.7 管理者ガ イ ド • 小型携帯端末か ら ア プ ラ イ ア ン ス に接続す る ユーザーがい る場合は、 主要な CA (VeriSign な ど ) の証明書を使用 し て ア プ ラ イ ア ン ス を構成す るか、ユーザーの使用す る小型携帯端末 のデバ イ ス に CA 証明書 を イ ン ポー ト す る 必要があ り ま す。 多 く のデバ イ ス では、 不明な CA の証明書が提示 さ れる と 接続に失敗 し 、 いかな る エ ラ ー メ ッ セージ も 表示 さ れません。 詳細については、 157 ページの 「CA 証明書」 を参照 し て く だ さ い。 小型携帯端末での表示用に WorkPlace を最適化する 一般的な WorkPlace の外観 ( 管理者が加え た カ ス タ マ イ ズ を含む ) は、 小型携帯端末での表示 に最適化 さ れ る よ う 自動的に変更 さ れま す。 変更結果はほ と ん どの導入環境で問題な く 機能 し ま すが、 表示 を 改善す る ために、 い く つかの設定 を 手動で変更す る こ と を お勧め し ま す。 ほ と ん どの設定は、 WorkPlace ス タ イ ルの一部 と し て構成 さ れます。 WorkPlace レ イ アウ ト を構成す る際に、 各モバ イ ル デバ イ ス上で ページのナ ビ ゲーシ ョ ンや他の要素がどのよ う に機能す るか を確認で き ます。 小型携帯端末での表示用に WorkPlace サ イ ト を最適化す る には [Aventail WorkPlace] 1. メ イ ンのナ ビ ゲーシ ョ ン メ ニ ュ ーで [Appearance] タ ブ を ク リ ッ ク し ます。 を ク リ ッ ク し 、 次に 2. [Styles] リ ス ト で、 変更す る ス タ イ ルを選択 し ます。 ま たは、 [New] を ク リ ッ ク し てゼ ロか ら 作成 し ます。 3. [Images] エ リ ア で、 WorkPlace のロ ゴ を指定 し ます。 サ イ ズの小 さ いデバ イ ス で も 表示が 最適化 さ れる よ う 、 画像サ イ ズは 100 x 40 ピ ク セル以内 と し て く だ さ い。 デ フ ォ ル ト では、 [Standard logo image file] ボ ッ ク スに指定 さ れた ロ ゴが使用 さ れます。 別の画像を指定す る には、 [Replace with] ボ ッ ク ス に .gif、 .jpg、 ま たは .png フ ァ イ ルのパス を 入力す る か、 [Browse] を ク リ ッ ク し て フ ァ イ ルを指定 し ます。 WAP お よ び i モー ド デバ イ ス では、 画 像は自動的に省略 さ れます。 こ の設定は、 こ れ ら のデバ イ ス での表示には影響 し ません。 4. 必要 と な る縦ス ク ロ ールの量を減 ら すために、[Text and Files] エ リ アの [Display greeting on small form factor devices] チ ェ ッ ク ボ ッ ク ス を オ フ に し ます。 5. [Save] ま たは [Finish] を ク リ ッ ク し て WorkPlace サ イ ト の設定を保存 し ま す。 [Reset Defaults] を ク リ ッ ク す る と 、 WorkPlace サ イ ト の設定が工場出荷時のデ フ ォ ル ト に リ セ ッ ト さ れます。 UTF-8 をサポー ト し てい ない モバ イ ル デバ イ ス (SANYO W32SA 携帯電話な ど ) を使用 し た場合、 ロ ー カ ラ イ ズ さ れた コ ン テ ン ツは表示の際に文字化け し ます。 ユーザーがロ グ イ ン す る ためには、 ク レ デ ン シ ャ ルを ASCII 形式で入力す る必要があ り ます。 メモ 小型携帯端末での WorkPlace のレ イ ア ウ ト を プ レ ビ ュ ーす る には [Aventail WorkPlace] 1. メ イ ンのナ ビ ゲーシ ョ ン メ ニ ュ ーで [Appearance] タ ブ を ク リ ッ ク し ます。 を ク リ ッ ク し 、 次に 2. [Layouts] リ ス ト で、 使用す る予定のレ イ ア ウ ト を選択す るか、 [New] を ク リ ッ ク し て新 し い レ イ ア ウ ト を構成 し ます。 3. 全般設定 : レ イ ア ウ ト に複数のページが含まれてい る場合は、表示す る ナ ビ ゲーシ ョ ン コ ン ト ロ ールの種類 を 指定で き ま す。 複数ページ を サポー ト す る のは、 高機能のモバ イ ル デバ イ ス (JavaScript を サ ポ ー ト す る ブ ラ ウ ザ を 備 え て い る デ バ イ ス ) の み で す。 例 え ば、 Windows Mobile Professional を搭載 し たポケ ッ ト PC な どが該当 し ま す。 4. デバ イ スのプ レ ビ ュ ー : サ イ ズの小 さ いデバ イ ス での コ ミ ュ ニ テ ィ の レ イ ア ウ ト には、 2 つ の方法があ り ます。 Aventail WorkPlace ポー タ ル | 419 • ア プ ラ イ ア ン ス に、 サ イ ズの小 さ いデバ イ スへ自動的に対応 さ せる こ と がで き ます。 例 えば、 [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス ( レ イ ア ウ ト に含まれて い る場合 ) はモバ イ ル デバ イ ス では自動的に非表示 と な り 、 指定 さ れてい る ロ ゴは縮小表示 さ れます。 • こ の自動対応では不適切な結果 と な る場合は、モバ イ ル デバ イ ス専用の別のレ イ ア ウ ト を作成 し て、 コ ミ ュ ニ テ ィ の構成時にそのレ イ ア ウ ト を指定す る こ と がで き ます。 詳細 については、 68 ページの 「WorkPlace の外観の構成」 を参照 し て く だ さ い。 概要 : ブ ラ ウザ プ ロ フ ァ イル ア プ ラ イ ア ン スは、 ほ と ん どの一般的なデス ク ト ッ プ ブ ラ ウザ と 、 多 く の一般的な小型携帯端 末を認識す る よ う 、事前に構成 さ れて い ます。ユーザーが WorkPlace に接続す る と 、WorkPlace は こ のプ ロ フ ァ イ ル情報を使用 し て、デバ イ ス を複数あ る カ テ ゴ リ のいずれかに分類 し ます。 こ れに よ り 、 WorkPlace の外観、 デバ イ ス上に表示 さ れる シ ョ ー ト カ ッ ト 、 お よ び、 EPC で使用 す る デバ イ スの分類が決ま り ます。 ブ ラ ウザ プ ロ フ ァ イ ルは、 Web ブ ラ ウザのユーザーエ ージ ェ ン ト 文字列や HTTP ヘ ッ ダ な ど の、 ク ラ イ ア ン ト か ら 送信 さ れ る さ ま ざ ま な情報 を 調べ る こ と に よ り 判別 さ れま す。 分類の詳 細は次の と お り です。 ク ラ イ ア ン ト デバ イ スの例 WorkPlace での分類 • Windows、 Mac、 または Linux デス ク ト ッ プ (JavaScript 有効 ) • Apple iPhone デス ク ト ッ プ (JavaScript 無効 ) JavaScript が無効化 さ れてい る ため、 ア プ ラ イ ア ン スは、どの EPC ゾーンに所属するかを 判別す る ための情報を iPhone か ら 取得で き ません。 • • • • Windows ポケ ッ ト PC Windows Smartphone Professional 多 く の Windows CE デバイ ス 多 く の Palm OS デバイ ス 高機能モバ イ ル端末 ( タ ッ チ ス ク リ ー ン お よ び JavaScript 有効 ) • Windows Smartphone Standard 一般的な モバ イ ル端末 (JavaScript 有効 ) • JavaScript 非対応のスマー ト フ ォ ン • 一部の Palm OS デバイ ス 一般的な モバ イ ル端末 (JavaScript な し ) • WAP 2.0 対応携帯電話 ( 多 く の Symbian ベースの携帯電話を含む ) WAP Phone v2.0 • cHTML を使用する携帯電話ブ ラ ウザ (Cookie 非サポー ト ) i モー ド 携帯電話 (cHTML) 携帯電話お よ びハン ド ヘル ド デバ イ スの市場は急速に発展 し て い る ため、 ア プ ラ イ ア ン スのデ フ ォ ル ト 設定の変更が必要 と な る 場合があ り ま す。 例えば、 自社のセールス組織に導入 さ れた 新型のス マ ー ト フ ォ ン を サポー ト す る ために、 ア プ ラ イ ア ン ス を 構成す る こ と が必要 と な る 場 合があ り ます。 ま た、 PDA のベ ン ダーがユーザーエージ ェ ン ト 文字列を変更 し た場合には、 そ れに対応す る ために ア プ ラ イ ア ン スのデ フ ォ ル ト プ ロ フ ァ イ ル を 上書 き す る 必要 と な り ま す。 ブ ラ ウザ プ ロ フ ァ イ ルを定義す る と 、 そのプ ロ フ ァ イ ルが、 ア プ ラ イ ア ン ス に構成 さ れて い る 組み込みのプ ロ フ ァ イ ルよ り も 優先 さ れます。 420 | Aventail E-Class SRA 10.7 管理者ガ イ ド AMC のブ ラ ウザ プ ロ フ ァ イ ルを使用 し て、最新の小型携帯端末をサポー ト す る よ う ア プ ラ イ ア ン ス を構成で き ます。 ブ ラ ウザ プ ロ フ ァ イ ルは、 特定のユーザーエージ ェ ン ト 文字列を デバ イ スの種類に マ ッ プ し ます。 418 ページの 「概要 :WorkPlace と 小型携帯端末」 に記載の と お り 、 プ ロ フ ァ イ ルは次の項目の判別に使用 さ れます。 ブ ラ ウザ プ ロ フ ァ イ ルに指定 さ れてい る 機能 詳細情報 デバイ スで WorkPlace がどのよ う に表示 さ れる 418 ページの 「概要 :WorkPlace と 小型携帯端 か 末」 を参照 し て く だ さ い。 WorkPlace にどの リ ン クが表示 さ れるか 394 ページの 「Web シ ョ ー ト カ ッ ト の追加」 を 参照 し て く だ さ い。 デバイ スがどのよ う に End Point Control ゾーン 340 ペ ー ジ の 「ア プ ラ イ ア ン ス が End Point に分類 さ れるか Control で ゾー ン と デバ イ ス プ ロ フ ァ イ ルを使 用す る方法」 を参照 し て く だ さ い。 ア プ ラ イ ア ン スは、 一致す る も のが見つかる ま で、 リ ス ト さ れて い る順に ブ ラ ウザ プ ロ フ ァ イ ル を 評価 し ま す。 定義 さ れて い る ユーザー エ ー ジ ェ ン ト 文字列に一致す る も のがな い場合、 ア プ ラ イ ア ン スは組み込みのプ ロ フ ァ イ ルの リ ス ト を チ ェ ッ ク し ま す。 ど ち ら の リ ス ト に も 一致 す る も のがない場合、 デバ イ スは デス ク ト ッ プ (JavaScript 有効 ) と 分類 さ れ、 すべてのブ ラ ウザ 機能が含まれます。 ブ ラ ウザ プ ロ フ ァ イルの追加 ア プ ラ イ ア ン スは、 多 く の一般的な小型携帯端末を認識す る よ う 、 事前に構成 さ れてい ます。 こ の情報を上書 き し た り 、 情報を補足す る目的で、 WorkPlace の変換方法 を指定 し た ブ ラ ウザ プ ロ フ ァ イ ル を 作成で き ま す。 プ ロ フ ァ イ ルは、 ブ ラ ウザか ら 送信 さ れ る ユーザー エ ー ジ ェ ン ト 文字列 と 、 AMC に定義 さ れて い る いずれかのデバ イ ス タ イ プ と の間のマ ッ ピ ン グ です。 プ ロ フ ァ イ ル を 定義す る と 、 そのプ ロ フ ァ イ ルが、 ア プ ラ イ ア ン ス に構成 さ れて い る 組み込みのプ ロ フ ァ イ ルよ り も 優先 さ れます。 ブ ラ ウザ プ ロ フ ァ イ ル を追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Agent Configuration] を ク リ ッ ク し ま す。 2. [Other Agents] エ リ ア で、 [Web browser profiles] の下にあ る [Edit] を ク リ ッ ク し ます。 [Browser Profiles] ページが表示 さ れます。 3. [New] を ク リ ッ ク し 、[User-agent string] ボ ッ ク ス に、デバ イ ス で使用 さ れて い る ユーザー エージ ェ ン ト 文字列内の特徴的な部分を入力 し ます。ユーザーエージ ェ ン ト 文字列を定義す る際は、 一般的な ワ イ ル ド カ ー ド 文字の 「*」 お よ び 「?」 を使用で き ます。 例えば、 do* と い う ユーザーエージ ェ ン ト 文字列は DoCoMo と 一致 し 、 MSI? と い う 文字列は MSIE のいず れ か と 一 致 し ま す。 一 般 的 な ユ ー ザ ー エ ー ジ ェ ン ト 文 字 列 の リ ス ト に つ い て は、 http://www.pgts.com.au/download/data/browser_list.txt を参照 し て く だ さ い。 4. [Device type] リ ス ト で、 ユーザーエージ ェ ン ト 文字列で識別 さ れたデバ イ スの ク ラ イ ア ン ト 情報に最 も よ く 一致す る エ ン ト リ を選択 し ます。 デバ イ スの分類につい ては、 420 ページ の 「概要 : ブ ラ ウザ プ ロ フ ァ イ ル」 を参照 し て く だ さ い。 5. ( オ プ シ ョ ン ) [Description] ボ ッ ク ス に、 こ のブ ラ ウザ プ ロ フ ァ イ ルについての分か り や すい コ メ ン ト を入力 し ます。 6. [OK] を ク リ ッ ク し ま す。 新 し い プ ロ フ ァ イ ルが リ ス ト の末尾に追加 さ れます。 7. [Save] を ク リ ッ ク し ます。 Aventail WorkPlace ポー タ ル | 421 ア プ ラ イ ア ン スは、 一致す る も のが見つかる ま で、 リ ス ト さ れて い る順に ブ ラ ウザ プ ロ フ ァ イ ルを評価 し ます。 詳細については、 422 ページの 「ブ ラ ウザ プ ロ フ ァ イ ルの移動」 を参照 し て く だ さ い。 メモ ブ ラ ウザ プ ロ フ ァ イルの移動 ブ ラ ウザ プ ロ フ ァ イ ルは、 リ ス ト さ れて い る順に照合 さ れます。 ア プ ラ イ ア ン スは、 一致す る プ ロ フ ァ イ ル を検出す る と 、 リ ス ト の評価を ス ト ッ プ し ます。 必要に応 じ て、 リ ス ト 内で 1 つ ま たは複数のプ ロ フ ァ イ ルの順序 を 変更す る こ と で、 特定の小型携帯端末 を 正 し く 認識 さ せる こ と がで き ます。 ブ ラ ウザ プ ロ フ ァ イ ル を移動す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Agent Configuration] を ク リ ッ ク し ま す。 2. [Other Agents] エ リ ア で、 [Web browser profiles] の下にあ る [Edit] を ク リ ッ ク し ます。 [Browser Profiles] ページが表示 さ れます。 3. 移動す る プ ロ フ ァ イ ルのチ ェ ッ ク ボ ッ ク ス を選択 し ます。 4. 必要に応 じ て [Move Up] ま たは [Move Down] を ク リ ッ ク し ます。 ボ タ ン を ク リ ッ ク す る たびに、 選択 し た プ ロ フ ァ イ ルが リ ス ト の 1 つ上ま たは下に移動 し ま す。 5. [Save] を ク リ ッ ク し ます。 WorkPlace ページの全面的な カ ス タ マ イズ AMC で実行で き る WorkPlace の カ ス タ マ イ ズ (391 ページの 「WorkPlace の一般設定の構成」 を参照 ) は WorkPlace の全般的なル ッ ク ア ン ド フ ィ ールを変更す る う え で便利ですが、 一部 の導入環境では十分な制御を行え な い こ と があ り ます。 こ のセ ク シ ョ ン では、 次の 2 つの レ ベルの カ ス タ マ イ ズについて説明 し ま す。 • • WorkPlace のス タ イ ル と レ イ ア ウ ト は AMC で構成で き ま す (416 ページの 「WorkPlace の 外観の変更」 を参照 )。 こ の カ ス タ マ イ ズ を さ ら に進めて、 例えば、 WorkPlace ページ に背 景画像を使用 し た り 、 見出 し 部分のサ イ ズ を変更す る には、 既存のス タ イ ルを ダウ ン ロ ー ド し 、 ロ ー カ ルで編集 し てか ら 、 ア プ ラ イ ア ン スへ再度ア ッ プ ロ ー ド し ま す。 詳細につい て は、422 ページの「WorkPlace ス タ イ ルの カ ス タ マ イ ズ : 手動での編集」を参照 し て く だ さ い。 ロ グ イ ン処理への使用契約書やエ ン ド ユーザー ラ イ セ ン ス契約の追加な ど、 さ ら に高度な カ ス タ マ イ ズが必要な場合は、 WorkPlace 内の特定のページ ( 認証ページ、 エ ラ ー ページ、 通知ページ な ど ) を カ ス タ マ イ ズで き ます。 詳細につい ては、 423 ページの 「概要 : カ ス タ ム WorkPlace テ ン プ レ ー ト 」 を参照 し て く だ さ い。 WorkPlace ス タ イルのカ ス タ マ イズ : 手動での編集 WorkPlace のス タ イ ル と レ イ ア ウ ト は AMC で構成で き ま す (416 ページの「WorkPlace の外観 の変更」 を参照 )。 Web コ ン テ ン ツ と ス タ イ ル シー ト (.css) の作成に習熟 し て い る場合は、 こ の カ ス タ マ イ ズの レ ベル を さ ら に進めて、 例えば、 ロ グ イ ン と ロ グ オ フ のペー ジ を 企業の標準 に合わせて視覚的な一貫性を持たせた り 、エ ラ ー ページ ( リ ソ ースが利用不可の場合やユーザー が無効 な ク レ デ ン シ ャ ル を 入力 し た場合 な ど に表示 さ れ る ) を 変更 し て サポー ト や ト ラ ブ ル シ ュ ーテ ィ ン グの詳細情報を加え る こ と がで き ます。 新 し い ス タ イ ルを作成す る際は、 既存のス タ イ ルを ダウ ン ロ ー ド し 、 ロ ー カ ルで編集 し てか ら 、 ア プ ラ イ ア ン ス に再度ア ッ プ ロ ー ド す る と い う 方法が最 も 効率的です。 422 | Aventail E-Class SRA 10.7 管理者ガ イ ド WorkPlace ス タ イ ルを全面的に カ ス タ マ イ ズす る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 2. [Appearance] ページの [Styles] リ ス ト で、 ベース と し て使用す る ス タ イ ルを選択 し て、 [Download] を ク リ ッ ク し ます ( ス タ イ ルは 1 度に 1 つのみダウ ン ロ ー ド で き ます )。 3. ス タ イ ルは圧縮 (.zip) フ ァ イ ル と し て ダウ ン ロ ー ド さ れます。 フ ァ イ ル名は、 WorkPlace_Style の後に現在のス タ イ ル名が続 く 形式 と な っ て い ます。 • 新 し いス タ イ ルを作成す る場合は、 保存時に こ の .zip フ ァ イ ルの名前を変更 し て く だ さ い。 • 既存のス タ イ ルに変更内容を上書 き す る場合は、 現在の フ ァ イ ル名のま ま に し ます。 4. カ ス ケー ド ス タ イ ル シー ト ( デス ク ト ッ プ デバ イ ス用 と モバ イ ル デバ イ ス用に 1 つずつ ) と 画像に編集を加え ます。 サン プルの WorkPlace ページ と ロ グ イ ン HTML ページ を使用 し て、 ページ要素がどのよ う に分類 さ れるかを確認で き ます。 5. 編集 し た フ ァ イ ルを WorkPlace_Style_< ス タ イ ル名 >.zip と い う 名前の単一の .zip フ ァ イ ルに ま と め、 WorkPlace の [Appearance] ページ で [Upload] を ク リ ッ ク し ま す。 6. [Upload Style] ページ で、 変更内容を既存のス タ イ ルに ア ッ プ ロ ー ド す るのか、 新 し い WorkPlace ス タ イ ル を 追加す る のか を 選択 し ま す。 .zip フ ァ イ ル形式で ス タ イ ル を ア ッ プ ロ ー ド す る と 、 すべてのス タ イ ル フ ァ イ ルが上書 き さ れます。 7. 新 し い WorkPlace ス タ イ ルを ア ッ プ ロ ー ド す る場合は、 ス タ イ ルに名前を つけ ま す ( 例 : Corporate Branding)。 8. [Style zip file] ボ ッ ク ス に、 編集ま たは作成 し た .zip フ ァ イ ルの名前を入力 し ます。 例え ば、 新 し い ス タ イ ル の 名 前 が Corporate Branding の 場 合、 対 応 す る フ ァ イ ル の 名 前 は WorkPlace_Style_Corporate_Branding.zip と す る必要があ り ます。 9. [Upload] を ク リ ッ ク し て、 ス タ イ ル関連の フ ァ イ ル を ア プ ラ イ ア ン スに転送 し ます。 概要 : カ ス タ ム WorkPlace テ ン プ レー ト WorkPlace の外観やロ グ イ ン処理に含まれる ス テ ッ プの全面的な カ ス タ マ イ ズが必要 と な る場 合 も あ り ます。 例えば、 次のよ う な場合があ り ます。 WorkPlace の代わ り に既存の企業ポー タ ル ( そのポー タ ル ア プ リ ケーシ ョ ン を リ ソ ース と し て定義済み ) を使用す る必要があ る場合。 こ の場合は、 ロ グ イ ン、 ロ グオ フ 、 通知、 お よ びエ ラ ーの各ページ を、 既存のポー タ ルのル ッ ク ア ン ド フ ィ ールに合わせて カ ス タ マ イ ズ し ます。 • ビ ジ ネ ス パー ト ナーに特定のア プ リ ケーシ ョ ン ( リ ソ ース と し て定義済み ) へのア ク セ ス を 提供す る必要があ る場合。 こ の場合は、 ロ グ イ ン、 ロ グオ フ 、 通知、 お よ びエ ラ ーの各ペー ジ を、 ア プ リ ケーシ ョ ンのル ッ ク ア ン ド フ ィ ールに合わせて カ ス タ マ イ ズ し ま す。 カ ス タ マ イ ズ可能な テ ン プ レ ー ト は、 3 つの カ テ ゴ リ に分かれま す。 あ る 1 つの カ テ ゴ リ のテ ン プ レ ー ト を 変更す る 場合、 一貫性 を 保つためには、 他の カ テ ゴ リ のテ ン プ レ ー ト も 変更す る こ と が必要 と な り ます。 • テ ンプ レー ト の タ イプ 認証 説明 ユーザーのク レデン シ ャルの収集 ( レルムの選択や、 ユーザー名、 パスワー ド 、 またはパス コ ー ド の入力な ど ) に使用 さ れるページです。 こ れら のテ ン プ レー ト を使用 し て、 ユーザーに、 ネ ッ ト ワー クへのロ グ イ ン 方法についての情報を画面上で提供 し ます。 Aventail WorkPlace ポー タ ル | 423 テ ンプ レー ト の タ イプ 説明 エラー エ ラ ーの発生時 ( 無効なユーザー入力 ( 認証拒否 メ ッ セージやロ グ イ ンの失 敗 )、 またはア プ ラ イ ア ン ス内でのエ ラ ーな ど ) に表示 さ れるページ です。 こ れら のテ ン プ レー ト を使用 し て、 ユーザーにサポー ト 情報 ( 管理者の連絡 先やユーザー ガ イ ド の場所な ど ) を提供で き ます。 通知 シ ス テムを利用する う えで必要な基本情報 ( ログアウ ト ページ ( 正常にロ グ ア ウ ト し た こ と を示す ) を含む ) を ユーザーに提供す る ページや、 認証モ ジ ュ ールから の メ ッ セージ ( パスワー ド の期限切れの警告な ど ) が表示 さ れ るページ です。 こ れ ら のペー ジ で レ イ ア ウ ト のデザ イ ン を 変更 し た り 、 画像やテ キス ト を 追加す る こ と は可能 ですが、 既存の要素を変更ま たは削除す る こ と はで き ません。 例えば、 認証ページ で [ ロ グ イ ン ] ボ タ ンの名前を変更す る こ と はで き ません。 こ れ ら の要素は WorkPlace に よ っ て動的に生成 さ れます。 メモ • • ロ グ イ ン後にユーザーに表示 さ れる WorkPlace ページは、手動では カ ス タ マ イ ズで き ま せん。 こ れ ら のページは AMC か ら 制御 さ れま す。 カ ス タ マ イ ズ さ れた テ ン プ レ ー ト は、複製時に他のア プ ラ イ ア ン ス に配布 さ れる構成デー タ には含まれません。 構成デー タ の複製については、 308 ページの 「複製 さ れる設定」 を参照 し て く だ さ い。 テ ン プ レー ト フ ァ イルはどのよ う に選択 さ れるか テ ン プ レ ー ト の カ ス タ マ イ ズは、 全体的に行 う こ と も 、 ま た、 WorkPlace サ イ ト ご と に行 う こ と も で き ます。 例えば、 単一のデザ イ ン を使用す る よ う グ ロ ーバル テ ン プ レ ー ト を カ ス タ マ イ ズ し 、 その う え で、 サ イ ト ご と に テ ン プ レ ー ト を変更す る こ と に よ っ て、 サ イ ト ベース でデザ イ ン を上書 き で き ます。 ユーザーが WorkPlace サ イ ト に接続す る と 、 ア プ ラ イ ア ン スはまず、 最 も 限定的な テ ン プ レ ー ト を探 し ま す。 該当す る も のが見つか ら な い場合、 ア プ ラ イ ア ン スはその カ テ ゴ リ ( 認証、 エ ラ ー、 ま たは通知 ) 向けの汎用テ ン プ レ ー ト を チ ェ ッ ク し ます。 ど ち ら も 見つか ら な い場合は、 デ フ ォ ル ト の WorkPlace テ ン プ レ ー ト (AMC の制御下にあ る も の ) が使用 さ れます。 以下の表に、フ ルス ク リ ー ンのデバ イ ス ( デス ク ト ッ プ お よ び ラ ッ プ ト ッ プ ) で利用可能な テ ン プ レ ー ト と 、 対応す る フ ァ イ ル名 を 示 し ま す。 小型携帯端末向けの フ ァ イ ルには、 次の よ う に フ ァ イ ル名に接頭辞が付 き ます。 ス マー ト フ ォ ン お よ び PDA デバ イ スの場合は、 フ ァ イ ル名に compact- と い う 接頭辞が 付 き ます。 • WAP デバ イ スの場合は、 フ ァ イ ル名に micro- と い う 接頭辞が付 き ます。 例 え ば、 レ ル ム の 選 択 時 に ユ ー ザ ー に 表 示 さ れ る ペ ー ジ を カ ス タ マ イ ズ す る に は、 realmselect.tmpl を 編集 し ま す。 サ イ ズの小 さ な デバ イ ス 向 けの こ れ に 相当す る ペ ー ジ は compactrealm-select.tmpl ( ス マー ト フ ォ ン お よ び PDA 向け ) お よ び micro-realm-select.tmpl (WAP デバ イ ス向け ) に な り ます。 • 424 | Aventail E-Class SRA 10.7 管理者ガ イ ド 認証 説明 フ ァ イル名 ユーザーがレルムを選択 realm-select.tmpl ユーザーがログ イ ン ク レデン シ ャ ルを入力 authentication-request.tmpl エラー 説明 フ ァ イ ル名 レルムの選択に失敗 realm-error.tmpl 入力 さ れた ク レデン シ ャルが無効 authentication-error.tmpl リ ソ ースへのア ク セスが拒否 さ れた authorization-error.tmpl ア プ ラ イ ア ン スのラ イ セ ン ス許容数を超過 licensing-error.tmpl EPC エ ラ ー epc-error.tmpl ステー タ ス 説明 フ ァ イ ル名 認証の通知 ( パスワー ド の期限切れな ど ) authentication-status.tmpl ログオ フ完了ページ logoff-status.tmpl EPC のログオ フ 完了ページ epc-logoff.tmpl 汎用 説明 フ ァ イル名 EPC ダウン ロー ド ページ epc-launch.tmpl ユーザーがログ イ ン ク レデン シ ャ ルを入力 authentication.tmpl 一般的な エ ラ ー error.tmpl 一般的なス テー タ ス status.tmpl 一般的なページ ( 他の特定のテ ン プ レ ー ト が見つから なかっ custom.tmpl た場合に適用 ) メモ デ フ ォ ル ト の WorkPlace テ ン プ レ ー ト フ ァ イ ル (extraweb.tmpl、 compact-extraweb.tmpl、 お よ び micro-extraweb.tmpl) は、 編集 し な い で く だ さ い。 変更 し た内容は、 次回 AMC で WorkPlace を カ ス タ マ イ ズす る際に上書 き さ れます。 Aventail WorkPlace ポー タ ル | 425 WorkPlace テ ン プ レー ト のカ ス タ マ イズ Aventail WorkPlace の外観は、 複数のテ ン プ レ ー ト を 使用 し て制御 さ れま す。 テ ン プ レ ー ト を カ ス タ マ イ ズす る には、 一般的な Web デザ イ ン ツ ールやテ キス ト エデ ィ タ を使用 し て HTML フ ァ イ ル ( 小型携帯端末の場合は XHTML や cHTML フ ァ イ ル ) を作成 し ます。 カ ス タ マ イ ズ に 画 像 が 含 ま れ る 場 合 は、 画 像 を /usr/local/extranet/htdocs/__extraweb__/images フ ォ ルダに ア ッ プ ロ ー ド し ま す。 images デ ィ レ ク ト リ がま だ な い場合は、 次の コ マ ン ド を 実行 す る こ と で作成で き ます。 mkdir -p /usr/local/extranet/htdocs/__extraweb__/images 使用す る必要のあ る フ ァ イ ル名については、 424 ページの 「テ ン プ レ ー ト フ ァ イ ルはどのよ う に選択 さ れ る か」 を 参照 し て く だ さ い。 小型携帯端末の場合は、 次の よ う に接頭辞が追加 さ れ ます。 • • ス マー ト フ ォ ン お よ び PDA デバ イ スの場合は、 フ ァ イ ル名に compact- と い う 接頭辞が 付 き ます。 WAP デバ イ スの場合は、 フ ァ イ ル名に micro- と い う 接頭辞が付 き ます。 デス ク ト ッ プ デバ イ ス向けの WorkPlace テ ン プ レ ー ト を カ ス タ マ イ ズす る には 1. 必要な レ イ ア ウ ト を含んだ HTML フ ァ イ ルを作成 し 、 WorkPlace 固有の タ グ を次のよ う に 追加 し ます。 • BODY タ グ内に、 次のよ う な 「EXTRAWEB」 と い う 語を含んだ HTML コ メ ン ト タ グ を追加 し ます。 <!-- EXTRAWEB --> こ の タ グは必須です。 こ の タ グに よ り 、 ア プ ラ イ ア ン ス に よ っ て動的に生成 さ れる コ ン テ ン ツ の配置場所が決定 さ れま す。 こ の タ グがな い と 、 ユーザーは WorkPlace に ロ グ イ ン し よ う と し て も 、 認証プ ロ セ スの最初へ と 繰 り 返 し 戻 さ れます。 • 次のよ う に、 外部 JavaScript フ ァ イ ルへの参照を追加 し ます。 <script language="javascript" src="/__extraweb__/template.js"></script> • テ ン プ レ ー ト に WorkPlace の コ ン テ ン ツ (AMC で構成 し た カ ス タ ムのロ ゴや .css フ ァ イ ルを含む ) を表示す る ために、 HTML の コ ー ド を変更 し てパス /__extraweb__/images/ への参照を追加 し ます。 例を以下に示 し ます。 <img src="/__extraweb__/images/mylogo.gif"> 2. 適切な フ ァ イ ル名を付け、 フ ァ イ ル拡張子に .tmpl を使用 し て フ ァ イ ルを保存 し ます。 小型携帯端末向けの WorkPlace テ ン プ レ ー ト を カ ス タ マ イ ズす る には 1. 必要な レ イ ア ウ ト を含んだ フ ァ イ ルを XHTML ( ス マー ト フ ォ ン ま たは PDA 向け ) ま たは cHTML (WAP デバ イ ス向け ) 形式で作成 し 、 WorkPlace 固有の タ グ を追加 し ます。 • BODY タ グ内に、 次のよ う な 「EXTRAWEB」 と い う 語 を含んだ コ メ ン ト タ グ を追加 し ます。 <!-- EXTRAWEB --> こ の タ グは必須です。 こ の タ グに よ り 、 ア プ ラ イ ア ン ス に よ っ て動的に生成 さ れる コ ン テ ン ツ の配置場所が決定 さ れま す。 こ の タ グがな い と 、 ユーザーは WorkPlace に ロ グ イ ン し よ う と し て も 、 認証プ ロ セ スの最初へ と 繰 り 返 し 戻 さ れます。 • テ ン プ レ ー ト に WorkPlace の コ ン テ ン ツ (AMC で構成 し た カ ス タ ムのロ ゴや .css フ ァ イ ルを含む ) を表示す る ために、 コ ー ド を変更 し てパス /__extraweb__/images/ への参照 を追加 し ます。 例を以下に示 し ます。 426 | Aventail E-Class SRA 10.7 管理者ガ イ ド <img src="/__extraweb__/images/mylogo.gif"> 2. 適切な フ ァ イ ル名を付け、 フ ァ イ ル拡張子に .tmpl を使用 し て フ ァ イ ルを保存 し ます。 ユーザーに Aventail WorkPlace へのア ク セス を提供す る Aventail WorkPlace は Web ア プ リ ケーシ ョ ン であ る ため、 ユーザーは一般的な Web ブ ラ ウザ を使用 し て ア ク セ ス で き ます。自社のネ ッ ト ワー ク 上で ホ ス ト さ れてい る Web ページやポー タ ルに WorkPlace の リ ン ク を含め る こ と も で き ます。 WorkPlace へのア ク セ ス に使用す る URL を、 ユーザーに伝え る 必要があ り ま す。 ユーザーに は、 デ フ ォ ル ト の WorkPlace URL のほか、 カ ス タ マ イ ズ し た WorkPlace サ イ ト の URL を伝 え る こ と も で き ます。 WorkPlace サ イ ト の タ イプ URL 説明 デ フ ォ ル ト の WorkPlace https://<server_name> サイ ト <server_name> は、ア プ ラ イ ア ン スの SSL 証明書に含まれてい る完全修飾 ド メ イ ン名 (FQDN) です。 詳細については、 147 ページ の 「証明書」 を参照 し て く だ さ い。 カ ス タ ム WorkPlace サ イ http://<custom_fqdn> ト <custom_fqdn> は、 WorkPlace サイ ト に関 連付け られている外部 FQDN です。 詳細に ついては、 412 ページの 「WorkPlace サ イ ト 」 を参照 し て く だ さ い。 自社のネ ッ ト ワー ク 上で ホ ス ト さ れて い る Web ペー ジやポー タ ルか ら ユーザーが WorkPlace に ア ク セ スす る場合は、 ユーザー ア カ ウ ン ト のセキ ュ リ テ ィ 保護のために、 [ ロ グ ア ウ ト ] ボ タ ン を用意す る こ と を お勧め し ます。 こ れを行 う には、 ユーザーに次の WorkPlace サ イ ト の URL を提供 し ます。 https://<server_name>/__extraweb__logoff <server_name> はア プ ラ イ ア ン スの SSL 証明書に含まれてい る実際の FQDN です。 End Point Control と ユーザー エ ク スペ リ エ ン ス E-Class SRA End Point Control コ ン ポーネ ン ト が有効化 さ れてい る場合、WorkPlace のロ グ イ ン処理にい く つかのス テ ッ プが追加 さ れます。追加 さ れる ス テ ッ プは、OPSWAT Secure Virtual Desktop や Cache Cleaner が使用 さ れてい るかど う かに応 じ て変わ り ます。 OPSWAT Secure Virtual Desktop は Advanced EPC の一部です。 EX7000 と EX9000 に付 属 し てお り 、 他のア プ ラ イ ア ン ス モデルではオ プ シ ョ ン コ ン ポーネ ン ト ( 別途購入に よ り ラ イ セ ン ス を提供 ) と な っ てい ます。 • Cache Cleaner は、 ア プ ラ イ ア ン スの ラ イ セ ン ス に含まれます。 詳細につい ては、 339 ページの 「概要 : End Point Control」 を参照 し て く だ さ い。 • Aventail WorkPlace ポー タ ル | 427 OPSWAT Secure Virtual Desktop の仕組み OPSWAT Secure Virtual Desktop (SVD) を使用す る と 、一般的な WorkPlace セ ッ シ ョ ン には次 のス テ ッ プが含まれます。 1. Web ブ ラ ウザで、 ユーザーが適切な WorkPlace の URL を入力 し ます。 2. ユーザーが WorkPlace に ロ グ イ ン し ます。 3. ユーザーは、表示 さ れる E-Class SRA セキ ュ リ テ ィ 警告を受け入れる必要があ り ます。SVD デス ク ト ッ プが表示 さ れ、 SVD ア イ コ ンが タ ス ク バー通知エ リ ア に表示 さ れて、 SVD デス ク ト ッ プ内に新 し い ブ ラ ウザ ウ ィ ン ド ウ で WorkPlace のロ グ イ ン ページが開 き ます。SVD デス ク ト ッ プ には特有の背景色 と 画像が使用 さ れ、 SVD に よ っ て作成 さ れた仮想セ ッ シ ョ ン と 他のセ ッ シ ョ ン と を区別 し やす く な っ て い ます。 4. 必要に応 じ て、 ユーザーがネ ッ ト ワー ク リ ソ ース に ア ク セ ス し ます。 ユーザーは、 新 し い ブ ラ ウザ ウ ィ ン ド ウ と ブ ラ ウザ プ ラ グ イ ン を起動 し 、 ま た ロ ー カ ルで イ ン ス ト ール さ れた ア プ リ ケーシ ョ ン を フ ァ イ ルの関連付けに よ り 起動で き ます。ユーザーはア ッ プ ロ ー ド 目的 で、 SVD セ ッ シ ョ ン内のデー タ を フ ァ イ ルに保存で き ます。 ユーザーは、デス ク ト ッ プ エ ミ ュ レ ー タ の コ ン テ キス ト で、新 し い プ ロ グ ラ ム を ダウ ン ロ ー ド し て イ ン ス ト ールで き ます。 こ のよ う に イ ン ス ト ール さ れた プ ロ グ ラ ムには、 デス ク ト ッ プ エ ミ ュ レ ー タ のウ ィ ン ド ウ内でのみア ク セ ス で き ます。 WorkPlace ポー タ ル セ ッ シ ョ ン 経由で ク ラ イ ア ン ト の フ ァ イ ル シ ス テムに転送 さ れたすべてのデー タ は、 SVD セ ッ シ ョ ン の外で実行 し て い る ア プ リ ケーシ ョ ンか ら はア ク セ ス で き な い よ う に保護 さ れます。こ れに よ り 、 デス ク ト ッ プ エ ミ ュ レ ー タ の コ ン テ キス ト 外で フ ァ イ ルが開かれる こ と がな く な り ます。 管理者に よ り 有効化 さ れて い る場合、 ユーザーはデス ク ト ッ プ エ ミ ュ レ ー タ と 通常のデス ク ト ッ プ と の間を切 り 替え る こ と がで き ます。 5. ユーザーが WorkPlace セ ッ シ ョ ン を終え る場合は、 ポー タ ル ページの [ ロ グ ア ウ ト ] リ ン ク を ク リ ッ ク す る、 ポー タ ル ページが表示 さ れて い る ブ ラ ウザ ウ ィ ン ド ウ を閉 じ る、 ま た は、 デ ス ク ト ッ プ エ ミ ュ レ ー タ プ ロ グ ラ ム を 終了す る のいずれかの方法 で、 WorkPlace セ ッ シ ョ ン を終了 し ます。 マ ウ ス と キーボー ド の非ア ク テ ィ ブ状態に よ る タ イ ムア ウ ト が起 こ っ た場合に も 、セ ッ シ ョ ンが終了 し ます。 セ ッ シ ョ ンが終了す る際、 SVD は、 セ ッ シ ョ ン関連のデー タ フ ァ イ ル ( ダウ ン ロ ー ド さ れ て ロ ー カ ルのハー ド デ ィ ス ク に保存 さ れて い る も の ) な ど VPN か ら ダウ ン ロ ー ド さ れたす べてのデー タ と 、 Web ブ ラ ウザに関連付け ら れて い る すべての一時デー タ を 完全に削除 し ます。 ラ ン ダムま たは 「ゼロ」 のデー タ を書 き 込む こ と で、 デー タ は難読化 さ れます。 デス ク ト ッ プ エ ミ ュ レ ー タ 内で開い てい る すべてのア プ リ ケーシ ョ ンは終了 し ます。 SVD 経由 で イ ン ス ト ール さ れたすべてのプ ロ グ ラ ムは、エ ン ド ポ イ ン ト シ ス テムか ら 削除 さ れます。 SVD に よ っ て セ ッ シ ョ ン 関連のすべてのデー タ フ ァ イ ルがロ ー カ ルのハー ド デ ィ ス ク か ら 完 全に削除 さ れる ため、 ユーザーに対 し ては、 SVD での作業中はいかな る デー タ も ロ ー カ ル デ ィ ス ク に保存 し な い よ う 指示す る必要があ り ます。 次に例を示 し ます。 • • フ ァ イ ルを ロ ー カ ル デ ィ ス ク に保存 し ない で く だ さ い。例えば、ユーザーが フ ァ イ ルを ネ ッ ト ワー ク か ら ダウ ン ロ ー ド し て ロ ー カ ルのハー ド デ ィ ス ク に保存す る と 、 フ ァ イ ルはセ ッ シ ョ ン終了時に削除 さ れて し ま い ます。 ロ ー カ ル デ ィ ス ク に ア プ リ ケーシ ョ ン デー タ を保存 し ない。一部の ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ン (Microsoft Outlook な ど ) では、 ユーザーがデー タ を ロ ー カ ルに保存で き ます。 ユーザーは、 こ れ ら のア プ リ ケーシ ョ ン と SVD の間の相互干渉について認識す る必 要があ り ます。 例えば、 SVD の実行中に、 Outlook のユーザーがデー タ を ロ ー カ ルで (.pst フ ァ イ ル と し て ) 保存 し 、 電子 メ ール メ ッ セージ を シ ス テムの受信ボ ッ ク スか ら ロ ー カ ル の メ ール フ ォ ルダに移す と 、 メ ッ セージはセ ッ シ ョ ン終了時に ロ ー カ ル デ ィ ス ク か ら 削除 さ れます。 428 | Aventail E-Class SRA 10.7 管理者ガ イ ド Cache Cleaner の仕組み Cache Cleaner を使用 し てい る場合、 一般的な WorkPlace セ ッ シ ョ ンは次のよ う に な り ます。 メモ 1. Web ブ ラ ウザで、 ユーザーが適切な WorkPlace の URL を入力 し ます。 2. ユーザーが WorkPlace に ロ グ イ ン し ます。 3. ユーザーは、 表示 さ れる E-Class SRA セキ ュ リ テ ィ 警告を受け入れる必要があ り ます。 Cache Cleaner ア イ コ ンが タ ス ク バー通知エ リ ア に表示 さ れます。 4. 必要に応 じ て、 ユーザーがネ ッ ト ワー ク リ ソ ース に ア ク セ ス し ます。 5. ユーザーが Cache Cleaner セ ッ シ ョ ン を終了す る際、 Cache Cleaner に よ っ て、 セ ッ シ ョ ン に関連付け ら れて い る すべてのデー タ が削除 さ れます。 ロ グ ア ウ ト 時に、 すべてのブ ラ ウ ザ ウ ィ ン ド ウが Cache Cleaner に よ っ て閉 じ ら れます。 ロ グ ア ウ ト 時に、 すべてのブ ラ ウ ザ ウ ィ ン ド ウが閉 じ ら れる こ と を警告す る ダ イ ア ロ グ ボ ッ ク スが表示 さ れま す。 Cache Cleaner に よ っ て ロ グ ア ウ ト 時にすべてのブ ラ ウザ ウ ィ ン ド ウが閉 じ ら れるほ か、 Cache Cleaner の起動時に他のブ ラ ウザ ウ ィ ン ド ウ を閉 じ る よ う 構成 し て い る場合 には、 ユーザーに対 し て注意を促 し て お く 必要があ り ま す。 例えば、 ユーザーが フ ォ ーム を 入力中の場合、 ブ ラ ウザ ウ ィ ン ド ウが閉 じ ら れた時点で未送信の内容はすべて失われ ます。 Aventail WorkPlace ポー タ ル | 429 430 | Aventail E-Class SRA 10.7 管理者ガ イ ド 第 10 章 ユーザー ア ク セス コ ンポーネン ト および サービ ス E-Class SRA ア プ ラ イ ア ン ス には、 ネ ッ ト ワー ク 上の リ ソ ースに対す る ユーザー ア ク セ ス を可 能にす る コ ン ポーネ ン ト が含まれて い ま す。 こ のセ ク シ ョ ン では、 各ユーザー ア ク セ ス コ ン ポーネ ン ト と 、 それ ら を制御す るサー ビ ス について説明 し ます。 ユーザー ア ク セ ス コ ン ポーネ ン ト の多 く は、Aventail WorkPlace ポー タ ルか ら プ ロ ビ ジ ョ ニ ン グ し 有効に し ます。 Aventail WorkPlace の詳細につい ては、 383 ページの 「Aventail WorkPlace ポー タ ル」 を参照 し て く だ さ い。 ユーザー ア ク セス エージ ェ ン ト ユーザー ア ク セ ス エージ ェ ン ト は、 ユーザーの所属す る コ ミ ュ ニ テ ィ に基づいて ク ラ イ ア ン ト デバ イ ス に展開 さ れます。ほ と ん どのエージ ェ ン ト は、ユーザーがブ ラ ウザを使用 し て Aventail WorkPlace ポ ー タ ルに ロ グ イ ン す る 際 に自動的に 展開 さ れ ま す。 主 な 例外 と し て、 Connect Tunnel エージ ェ ン ト と Connect Mobile エージ ェ ン ト は、 ユーザーが WorkPlace ポー タ ルの リ ン ク か ら 手動で ダ ウ ン ロ ー ド し イ ン ス ト ールで き る よ う に用意す る こ と が可能で す。 ま た、 こ れ ら の 2 つのア ク セ ス エージ ェ ン ト の イ ン ス ト ール パ ッ ケージは、ネ ッ ト ワー ク 上の フ ァ イ ル 共有か ら ダ ウ ン ロ ー ド で き る よ う に用意す る こ と も 、 Microsoft Systems Management Server (SMS) や IBM Tivoli な どのア プ リ ケーシ ョ ン を介 し て展開す る こ と も で き ます。 詳細について は、 64 ページの 「 コ ミ ュ ニ テ ィ に対す る ア ク セ ス方式の選択」 を参照 し て く だ さ い。 ユーザーがブ ラ ウザを使用 し て ロ グ イ ン す る際に ア ク セ ス エージ ェ ン ト を自動的に展開す る場 合、 ア ク セ ス エ ー ジ ェ ン ト の展開 と ア ク テ ィ ブ化はいずれ も 初回ア ク セ ス時に実行 さ れま す。 こ の方式では通常、 ユーザーが E-Class SRA Access Manager (AAM) のダウ ン ロ ー ド を受け入 れる必要があ り ます。 AAM に よ っ て、 ア ク セ ス エージ ェ ン ト の イ ン ス ト ールやその後のア ク セ ス エージ ェ ン ト の更新が管理 さ れます。 2 回目以降の WorkPlace ポー タ ルへのア ク セ ス で、 同 じ ク ラ イ ア ン ト デバ イ スか ら 同 じ ブ ラ ウザを使用す る と 、 ア ク セ ス エージ ェ ン ト はユーザーの 操作な し で自動的に ア ク テ ィ ブ化 さ れま す。 詳細につい ては、 433 ペー ジの 「 ク ラ イ ア ン ト お よ びエージ ェ ン ト プ ロ ビ ジ ョ ニ ン グ (Windows)」 を参照 し て く だ さ い。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 431 次の表では、 ア ク セ ス エージ ェ ン ト の機能を比較 し 、 その要件を示 し て い ます。 他のシ ス テム 要件につい ては、 19 ページの 「 ク ラ イ ア ン ト コ ン ポーネ ン ト 」 を参照 し て く だ さ い。 変換、 カ ス タ ム ポー ト マ ッ ピ ン グ、 カ ス タ ム FQDN マ ッ ピ ン グ Web ア ク セ ス Web プ ロ キシ エージ ェ ン ト OnDemand マ ッ プ モー ド Connect Mobile ク ラ イアン ト OnDemand Tunnel エージ ェ ント Connect Tunnel ク ラ イアン ト ネ ッ ト ワー ク ト ン ネル ア プ ロキシ ア ク セ ス Web ア ク セ ス ク セ ス (IP プ ロ ト コ ル ) (TCP プ ロ ト コ ル ) (HTTP プ ロ ト コ ル ) ア プ リ ケーシ ョ ン サポー ト TCP ベ ー ス の ク ラ イ ア ン ト / ○ サーバー ア プ リ ケーシ ョ ン ○ TCP ま たは UDP ベースの ク ラ ○ イ ア ン ト / サーバー ア プ リ ケー ション ○ URL お よ び Web ア プ リ ケ ー ○ ション ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Windows ネ ッ ト ワー ク Web ベ ー ス の フ ァ イ ル ア ク セ ○ ス ネ イ テ ィ ブ Windows フ ァ イ ル ○ ア ク セ ス ([ ネ ッ ト ワー ク コ ン ピ ュ ー タ ]) ○ マ ッ ピ ン グ さ れたネ ッ ト ワー ク ○ ド ライブ ○ Windows ド メ イ ン ログオ ン ○ 接続 タ イ プ ○ ○ 逆方向接続 (FTP や SMS な ど ) ○ ○ ○ ○ Windows ○ ○ ○ Linux または Macintosh ○ ○ ○ 順方向接続 相互接続 (VoIP な ど ) ○ オペ レ ーテ ィ ン グ シ ス テム Windows Mobile ○ ○ ク ラ イ ア ン ト /エージ ェ ン ト のイ ○ ン ス ト ールで必要な管理者権限 ○ ○ 展開 WorkPlace から の自動起動 ○ WorkPlace か ら のプ ロ ビ ジ ョ ニ ○ ング ○ (2) WorkPlace 以 外 か ら の プ ロ ビ ジ ョ ニ ング ○ ○ (1) ○ ○ (1) ○ ○ ポー ト マ ッ プ モー ド では ActiveX ま たは Java が必要です。管理者権限がな く ActiveX を実 行で き ないユーザーの場合は、 Java Runtime Environment (JRE) が使用 さ れます。 432 | Aventail E-Class SRA 10.7 管理者ガ イ ド (2) Pocket PC ユーザーが ActiveSync を使用せず Connect Mobile CAB フ ァ イ ルを直接ダウ ン ロ ー ド し て イ ン ス ト ールで き る よ う WorkPlace を構成す る方法につい ては、 ナ レ ッ ジ ベースの 記事 2803 を参照 し て く だ さ い。 Connect Tunnel サー ビ スは こ の表には記載 さ れて い ません。こ のア ド オ ン コ ン ポーネ ン ト を イ ン ス ト ール し て構成す る と 、 ユーザーの操作な し で VPN 接続を自動的に開始で き ます。 詳細に つい ては、 451 ページの 「Connect をサー ビ ス と し て実行す る」 を参照 し て く だ さ い。 E-Class SRA Connect for Android も 、 WorkPlace か ら はプ ロ ビ ジ ョ ニ ン グ さ れません。 こ の Android ク ラ イ ア ン ト は Android マーケ ッ ト か ら ダウ ン ロ ー ド し て イ ン ス ト ールで き ま す。 詳 細につい ては、 492 ページの 「E-Class SRA Connect for Android」 を参照 し て く だ さ い。 ク ラ イ ア ン ト およびエージ ェ ン ト プ ロ ビ ジ ョ ニ ング (Windows) E-Class SRA Access Manager は、 Windows ユーザーが WorkPlace に ロ グ イ ン す る と き 、 信 頼で き る方法で、EPC と ア ク セ ス エージ ェ ン ト を プ ロ ビ ジ ョ ニ ン グ で き る よ う にす る コ ン ポー ネ ン ト で す。 こ の コ ン ポーネ ン ト では、 エ ージ ェ ン ト を 必要 と す る ア プ リ ケー シ ョ ン の互換性 が向上す る上、 EPC の信頼性が向上 し 、 ほ と んどの ク ラ イ ア ン ト ア ッ プデー ト で管理者権限が 不要に な り ます。 プ ロ ビ ジ ョ ニ ン グの際に問題が発生 し た場合は、 AMC で表示で き る ク ラ イ ア ン ト イ ン ス ト ール ロ グ ( ユーザー名で識別 ) に エ ラ ーが自動的に記録 さ れます。 E-Class SRA Access Manager の イ ン ス ト ールは 1 段階の手順で行い ます。 その際、 ユーザー に管理者権限は不要です。 イ ン ス ト ール時を除 く と 、 ユーザーが Access Manager を ( 一時的 に ) 意識す るのは、 ア ク セ ス エージ ェ ン ト ま たは Access Manager 自体を更新す る必要があ る 場合に限 ら れます。E-Class SRA Access Manager の イ ン ス ト ールは必須ではあ り ませんが、EClass SRA Access Manager を イ ン ス ト ール し てい ないユーザーは WorkPlace で リ ソ ース に ア ク セ スす る際 Web ア ク セ スのみが認め ら れ、 コ ミ ュ ニ テ ィ の構成方法に よ っ てはロ グ ア ウ ト を 強要 さ れる こ と も あ り ます。 E-Class SRA Access Manager のイ ンス ト ール ユーザーが WorkPlace に ロ グ イ ン す る と き 、ネ ッ ト ワー ク リ ソ ース に対す る ア ク セ ス を許可す る前に、 E-Class SRA エージ ェ ン ト ま たは ク ラ イ ア ン ト を イ ン ス ト ールす る よ う ユーザーに要 求で き ま す。 こ れは推奨設定で す。 こ の よ う に設定す る と 、 エ ー ジ ェ ン ト を 必要 と す る ア プ リ ケー シ ョ ン と の互換性が向上す る ため、 ユーザーが広範囲に ア ク セ ス で き る よ う に な り 、 ヘル プ デス ク で呼び出 さ れる回数 も 減 り ます ( こ の要件を除外す る には、 特定の コ ミ ュ ニ テ ィ に対 す る ア ク セ ス 方式 を 構成す る と き に [Require agent in order to access network] チ ェ ッ ク ボ ッ ク ス を ク リ ア し ます )。 こ の設定が有効に な っ て い る場合、 ユーザーが WorkPlace に ロ グ イ ン す る際に、 次のよ う な選 択項目が表示 さ れる よ う に な り ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 433 [ イ ン ス ト ール ]: E-Class SRA Access Manager がユーザーの コ ン ピ ュ ー タ に イ ン ス ト ール さ れます。 ユーザーは こ れを 1 回だけ行 う 必要があ り ま す。 • [ ロ グ ア ウ ト ]: ユーザーのセ ッ シ ョ ンが終了 し ます。 エ ージ ェ ン ト ま たは ク ラ イ ア ン ト が 必要な い コ ミ ュ ニ テ ィ を 構成す る 場合、 ユーザーが ロ グ イ ン す る と き 、 次のよ う な選択項目が表示 さ れます。 • • • • 注意 [ イ ン ス ト ール ]: E-Class SRA Access Manager がユーザーの コ ン ピ ュ ー タ に イ ン ス ト ール さ れます。 ユーザーは こ れを 1 回だけ行 う 必要があ り ま す。 [ 後で通知す る ]: ユーザーが次に ロ グ イ ン す る と き に、 E-Class SRA Access Manager を イ ン ス ト ールす るか尋ねる メ ッ セージが表示 さ れます。 [ 次回か ら 表示 し な い :]: ユーザーがそれ以降 こ の コ ン ピ ュ ー タ に ロ グ イ ン し て も 、 E-Class SRA Access Manager のプ ロ ン プ ト は表示 さ れません。 エージ ェ ン ト のプ ロ ビ ジ ョ ニ ン グ をバ イ パス し たい ( 空港な ど での ) ユーザーで、Web ア ク セ スのみで十分なユーザーに と っ ては最適な選択です。 こ のシ ナ リ オ (EPC が有効で あ る こ と が前提 ) では、 ユーザーは、 コ ミ ュ ニ テ ィ がどのよ う に構成 さ れて い る かに よ っ て、 デ フ ォ ル ト ゾ ー ン ま たは隔離 ゾ ー ン に入れ ら れま す。 隔離 ゾー ンは、 場合に よ っ ては制約が多すぎ、 デ フ ォ ル ト ゾー ンは他の多 く の タ イ プのユーザー に対応す る必要があ り ま す。 エージ ェ ン ト を必要 と し な いユーザー向けに、 固有の Web 専 用ゾー ン を作成す る こ と も で き ます。 こ の種のゾ ー ン を設定す る方法につい ては、 344 ペー ジの 「シ ナ リ オ 3: キオ ス ク 端末か ら 従業員が接続す る場合」 を参照 し て く だ さ い。 プ ロ ビジ ョ ニング と パーソ ナル フ ァ イ アウ ォール サー ド パーテ ィ 製の フ ァ イ ア ウ ォ ール製品には、 ( ポー ト やプ ロ ト コ ルに加え ) プ ロ セ ス に よ っ て ア ウ ト バ ン ド 接続 を 制限す る も のがあ り ま す。 こ れ ら の フ ァ イ ア ウ ォ ールでは、 エ ー ジ ェ ン ト や EPC コ ン ポーネ ン ト のプ ロ ビ ジ ョ ニ ン グの際に、E-Class SRA Access Manager について のセキ ュ リ テ ィ 警告ダ イ ア ロ グが表示 さ れ る こ と があ り ま す。 ほ と ん どの場合、 ユーザーはア ウ ト バン ド 接続を 「ブ ロ ッ ク し な い」 ま たは 「許可」 す る よ う 求め ら れます。 ま た、 Trend Micro 製品のよ う に、 権利に制約があ る ユーザーが、 フ ァ イ ア ウ ォ ール設定を上書 き す る の を 認めな い フ ァ イ ア ウ ォ ール も あ り ま す。 ユーザーに限定 さ れた ア ク セ ス権限 し か与 え てい ない企業シ ス テムの場合、 ユーザーが こ のよ う な セキ ュ リ テ ィ ダ イ ア ロ グ プ ロ ン プ ト に 応答 し な く ていい よ う にす る ため、 E-Class SRA VPN を展開す る前に フ ァ イ ア ウ ォ ール設定を 更新す る こ と も で き ます。詳細につい ては、557 ページの 「E-Class SRA エージ ェ ン ト でのパー ソ ナル フ ァ イ ア ウ ォ ールの使用」 を参照 し て く だ さ い。 ク ラ イ ア ン ト イ ンス ト ール ログ 434 | Aventail E-Class SRA 10.7 管理者ガ イ ド Windows 搭載の コ ン ピ ュ ー タ へ ク ラ イ ア ン ト ま たはエージ ェ ン ト を イ ン ス ト ール し て い る と き に問題が起 こ っ た場合、 ユーザーの ロ ー カ ル コ ン ピ ュ ー タ の ク ラ イ ア ン ト イ ン ス ト ール ロ グ に エ ラ ーが記録 さ れます。 こ れ ら のロ グは、 ア プ ラ イ ア ン ス に自動的に ア ッ プ ロ ー ド さ れ、 ユー ザーに E-Class SRA Access Manager が イ ン ス ト ール さ れて い る場合は、 AMC に表示 さ れま す。 詳細につい ては、 280 ページの 「 ク ラ イ ア ン ト イ ン ス ト ール ロ グ (Windows)」 を参照 し て く だ さ い。 Aventail WorkPlace Aventail WorkPlace は、 Web ベースのポー タ ルで、 Web プ ロ キシ サー ビ ス で保護 さ れた Web リ ソ ース に対す る ア ク セ ス を、 動的にパー ソ ナ ラ イ ズで き ま す。 ユーザーが WorkPlace に ロ グ イ ン す る と ホーム ペー ジが現れ、 管理者が定義 し た シ ョ ー ト カ ッ ト の リ ス ト が表示 さ れま す。 こ れ ら の シ ョ ー ト カ ッ ト は、 ユ ーザーが ア ク セ ス 権限 を 持つ、 Web ベ ー ス の フ ァ イ ル共有、 Windows ベースのア プ リ ケーシ ョ ン、 タ ー ミ ナル サーバー リ ソ ース な ど に リ ン ク し てい ます。 個別に展開 さ れる Connect Mobile ク ラ イ ア ン ト を除 き 、 E-Class SRA のすべてのユーザー ア ク セ ス コ ン ポーネ ン ト は、 Aventail WorkPlace ポー タ ル経由で プ ロ ビ ジ ョ ニ ン グ し 有効に し ま す。 Aventail WorkPlace には、 あ ら ゆ る一般的な Web ブ ラ ウザか ら ア ク セ ス で き ま す。 詳細につい ては、 383 ページの 「Aventail WorkPlace ポー タ ル」 を参照 し て く だ さ い。 ネ ッ ト ワーク エ ク スプ ローラ ネ ッ ト ワー ク エ ク ス プ ロ ー ラ は、 Aventail WorkPlace で使用す る Web ベースのユーザー イ ン タ ー フ ェ ース です。 ユーザーに ア ク セ ス権限があ る場合、 こ れを使用す る こ と で、 (Windows を 搭載 し てい ない コ ン ピ ュ ー タ か ら で も ) 共有 さ れて い る Windows フ ァ イ ル シ ス テム リ ソ ース に ア ク セ ス で き ま す。 こ れ ら の リ ソ ー ス には、 ド メ イ ン、 サーバー、 コ ン ピ ュ ー タ 、 ワー ク グ ルー プ、 フ ォ ルダ、 フ ァ イ ルな どが含まれます。 ネ ッ ト ワー ク エ ク ス プ ロ ー ラ は、 オ プ シ ョ ンの コ ン ポーネ ン ト で あ り 、 ポ リ シーで制御で き る ほか、 完全に無効にす る こ と も で き ます。 WorkPlace がサポー ト す る任意のブ ラ ウザがサポー ト さ れて い ます。 詳細につい ては、 383 ページの 「Aventail WorkPlace ポー タ ル」 を参照 し て く だ さ い。 ト ンネル ク ラ イ ア ン ト E-Class SRA ト ン ネル ク ラ イ ア ン ト は、 TCP お よ び UDP ト ラ フ ィ ッ ク 、 双方向 ト ラ フ ィ ッ ク ( リ モー ト ヘルプ デス ク ア プ リ ケーシ ョ ン な ど )、 相互接続 (VoIP ア プ リ ケーシ ョ ン な ど )、 逆 方向接続 (SMS な ど ) につい て セキ ュ ア な ア ク セ ス を提供 し ます。 ト ン ネル ク ラ イ ア ン ト はい ずれ も 、あ ら ゆ る リ ソ ース に対 し て ネ ッ ト ワー ク レ ベルのア ク セ ス を提供す る こ と で、ユーザー の コ ン ピ ュ ー タ を効率的にネ ッ ト ワー ク 上の ノ ー ド に し ます。 • • OnDemand Tunnel エージ ェ ン ト は、 Web 起動 さ れる ブ ラ ウザベースのエージ ェ ン ト です。 Connect Tunnel ク ラ イ ア ン ト は、 Web イ ン ス ト ール型 ク ラ イ ア ン ト です。 ト ン ネル ク ラ イ ア ン ト は、AMC か ら ネ ッ ト ワー ク ト ン ネル サー ビ ス を使用 し て管理 さ れます。 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト か ら TCP/IP 接続 を管理す る よ う 、 こ のサー ビ ス を構成す る場合、 ク ラ イ ア ン ト に IP ア ド レ ス を割 り 当て る ための IP ア ド レ ス プールを設定す る必要があ り ます。 OnDemand Tunnel エージ ェ ン ト ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 435 OnDemand Tunnel エージ ェ ン ト を使用す る と 、 Web ブ ラ ウザを使用 し て、 ネ ッ ト ワー ク ト ン ネル サー ビ ス で保護 さ れた リ ソ ース に対 し 、 完全な ネ ッ ト ワー ク お よ びア プ リ ケーシ ョ ン ア ク セ スが可能に な り ます。 OnDemand Tunnel エージ ェ ン ト は、 Connect Tunnel ク ラ イ ア ン ト と 同様、 広範な ア プ リ ケーシ ョ ン お よ び プ ロ ト コ ル ア ク セ ス を提供す る軽量な エージ ェ ン ト です が、 Aventail WorkPlace ポー タ ルに統合 さ れて お り 、 ユーザーが WorkPlace に ロ グ イ ン す る た びに自動的に起動 し ます。 OnDemand Tunnel エージ ェ ン ト は Windows、Linux、Macintosh でサポー ト さ れて お り 、ActiveX ま たは Java を有効に し た Internet Explorer か、Java Runtime Environment (JRE) が イ ン ス ト ー ル さ れた Mozilla Firefox ま たは Safari が必要に な り ます。 Connect Tunnel ク ラ イ ア ン ト Connect Tunnel ク ラ イ ア ン ト は、 ネ ッ ト ワー ク ト ン ネル サー ビ ス で保護 さ れた リ ソ ース に対 し て、 フ ル ア ク セ ス で き る よ う に し ま す。 ま た、 TCP を 使用す る ア プ リ ケー シ ョ ン や、 VoIP や ICMP と い っ た非 TCP プ ロ ト コ ル を使用す る ア プ リ ケーシ ョ ン な ど、あ ら ゆ る種類のア プ リ ケーシ ョ ン に も ア ク セ ス で き る よ う に な り ます。 ま た、 Connect Tunnel は、 ト ン ネル分割制御、 細かい ア ク セ ス制御、 プ ロ キシ検出、 認証な どの機能 も 備え て い ます。 Connect Tunnel ク ラ イ ア ン ト は、 さ ま ざ ま な方法で展開で き ます ( 詳細については、 441 ペー ジの 「 ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージ」 を参照 し て く だ さ い )。 WorkPlace 内で、 ユーザーに ク ラ イ ア ン ト を ダウ ン ロ ー ド し て イ ン ス ト ールす る ための シ ョ ー ト カ ッ ト を 提供 し ま す。 こ の リ ン ク は Connect Tunnel リ ソ ー ス を ポ イ ン ト し ま す (215 ページの 「組み込み リ ソ ース」 を参照 )。 • ユーザーが Aventail WorkPlace に ロ グ イ ン す るのを望ま な い場合、 ユーザーにネ ッ ト ワー ク 上 (Web サーバー、 FTP サーバー、 フ ァ イ ル サーバーな ど ) か ら Connect Tunnel ク ラ イ ア ン ト コ ン ポーネ ン ト を ダ ウ ン ロ ー ド し て イ ン ス ト ールで き る よ う にす る こ と も で き ま す。 • SMS や Tivoli な どのア プ リ ケーシ ョ ン を使用 し て、 イ ン ス ト ール パ ッ ケージ を配布す る こ と も で き ます。 • サー ド パーテ ィ 製のデ ィ ス ク イ メ ージ コ ピ ー ユーテ ィ リ テ ィ (Norton Ghost な ど ) を使用 し て、 Connect Tunnel イ ン ス ト ールのマ ス タ ー イ メ ージ を作成 し 、 それを ユーザーのシ ス テムに コ ピ ーす る と い う 方法 も あ り ます。 Connect Tunnel ク ラ イ ア ン ト は、 Windows、 Linux、 Macintosh オペ レ ーテ ィ ン グ シ ス テムで サポー ト さ れて い ますが、 Connect Tunnel ク ラ イ ア ン ト を イ ン ス ト ールす る にはユーザーに管 理者権限が必要です。 Connect Tunnel のすべての構成 と 管理は AMC で実行 し ます。 • Connect Tunnel ク ラ イ ア ン ト では 「ngdial」 な どの コ マ ン ド ラ イ ン ユー テ ィ リ テ ィ をサポー ト し てお り 、 標準のグ ラ フ ィ カ ル ユーザー イ ン タ ー フ ェ ース を使用せずに、 ク ラ イ ア ン ト の通常 実行時の動作を変更で き るほか、 ト ラ ブルシ ュ ーテ ィ ン グお よ び診断 タ ス ク を実行で き ます。詳 細につい ては、 445 ページの 「Connect Tunnel への コ マ ン ド ラ イ ン でのア ク セ ス (NGDIAL を 使用 )」 を参照 し て く だ さ い。 436 | Aventail E-Class SRA 10.7 管理者ガ イ ド Connect Tunnel がア ク テ ィ ブ に な っ てい る と 、 シ ス テムの タ ス ク バーに Connect Tunnel ア イ コ ン が表示 さ れ ま す。 こ の ア イ コ ン に マ ウ ス カ ー ソ ル を 重ね る と 、 次の よ う な ポ ッ プ ア ッ プ ウ ィ ン ド ウが表示 さ れます。 Windows バージ ョ ンの Connect Tunnel ク ラ イ ア ン ト ソ フ ト ウ ェ ア では、 新バージ ョ ンが利用 可能 と な っ た場合にユーザーの コ ン ピ ュ ー タ で自動的に更新 さ れ る よ う 構成す る こ と も で き ま す。 詳細につい ては、 73 ペー ジの 「Windows Tunnel ク ラ イ ア ン ト の自動 ク ラ イ ア ン ト 更新」 を参照 し て く だ さ い。 Windows Vista オペ レ ーテ ィ ン グ シ ス テム を搭載 し た コ ン ピ ュ ー タ に 「ゲス ト 」 と し て ロ グ イ ン し た場合、 Connect Tunnel を実行で き ません。 ゲス ト ア カ ウ ン ト は、 その コ ン ピ ュ ー タ ま たは ド メ イ ン に永続的な ア カ ウ ン ト を持た な いユーザー用で あ り 、個人 フ ァ イ ルへのア ク セ ス を認めな い ま ま コ ン ピ ュ ー タ を使用で き る よ う にす る ための も のです。 メモ プ ロキシ ク ラ イ ア ン ト こ のセ ク シ ョ ン では、 Connect Mobile ク ラ イ ア ン ト の概要を説明 し ます。 Connect Mobile ク ラ イ アン ト Connect Mobile ク ラ イ ア ン ト は、 Windows Mobile 対応デバ イ ス で動作す る軽量な ア プ リ ケー シ ョ ン です。 従来型の ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ン、 シ ン ク ラ イ ア ン ト ア プ リ ケーシ ョ ン、 Web リ ソ ース な ど、 Web プ ロ キシ サー ビ ス で保護 さ れた広範囲の リ ソ ース に対 す る ア ク セ ス を提供 し ます。 Connect Mobile ク ラ イ ア ン ト は Windows のセ ッ ト ア ッ プ プ ロ グ ラ ム を使用 し て イ ン ス ト ール さ れ ま す。 こ の セ ッ ト ア ッ プ プ ロ グ ラ ム に よ っ て ア プ リ ケ ー シ ョ ン フ ァ イ ルが解凍 さ れ、 Microsoft ActiveSync を介 し て、 ユーザーのデバ イ スへ フ ァ イ ルが コ ピ ー さ れます。 ユーザーへ のセ ッ ト ア ッ プ フ ァ イ ルの展開につい ては、 441 ページの 「 ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージ」 を参照 し て く だ さ い。 一部の レ ガ シ ー デバ イ ス では、 Windows Mobile と い う 商標が表示 さ れて も 、 実際にはそれ よ り 古いバー ジ ョ ン のオ ペ レ ー テ ィ ン グ シ ス テ ムが搭載 さ れ て い る 場合があ り ま す。 例 え ば、 Connect Mobile ク ラ イ ア ン ト は、 次の Smartphone 2003 デバ イ ス をサポー ト し て い ません。 • • • • • Audiovox SMT5600 Motorola MPx220 Sierra Wireless Voq Samsung i600 iMate SP2 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 437 た だ し 、 こ れ ら の小型携帯端末 で は、 他の Web 対応デバ イ ス と 同様に、 Aventail WorkPlace ポー タ ルを使用 し て、 E-Class SRA SSL VPN ア プ ラ イ ア ン スに Web ベース で ア ク セ ス で き ま す。 詳細につい ては、 418 ページの 「WorkPlace と 小型携帯端末」 を参照 し て く だ さ い。 Web ア ク セス こ のセ ク シ ョ ン では、 Web プ ロ キシ エージ ェ ン ト の概要 と 、 ク ラ イ ア ン ト を 使用 し な い Web ア ク セ ス方法 ( 変換 Web ア ク セ ス、 カ ス タ ム ポー ト マ ッ ピ ン グ Web ア ク セ ス、 お よ び カ ス タ ム FQDN マ ッ ピ ン グ Web ア ク セ ス ) の概要を説明 し ます。 ま た、 Exchange ActiveSync Web ア ク セ ス につい て説明す る セ ク シ ョ ン も 含まれて い ます。 Web プ ロキシ エージ ェ ン ト Web プ ロ キシ エージ ェ ン ト を使用す る と 、 Aventail WorkPlace ポー タ ルか ら 、 Windows ネ ッ ト ワー ク 共有へのア ク セ ス だけで な く 、 Web ベースのア プ リ ケーシ ョ ン、 Web ポー タ ル、 Web サーバーな ど、あ ら ゆ る Web リ ソ ース に も ア ク セ ス で き る よ う に な り ます。Web プ ロ キシ エー ジ ェ ン ト では、変換 Web ア ク セ スが間に入る こ と で互換性は向上 し ますが、Web プ ロ キシ エー ジ ェ ン ト を プ ロ ビ ジ ョ ニ ン グす る と 、 場合に よ っ ては、 ユーザーが Aventail WorkPlace に最初 に ロ グ イ ン す る と き に若干余分の時間がかかる よ う に な り ます。Web プ ロ キシ エージ ェ ン ト を 使用す る には、 ActiveX が有効に な っ てい る Internet Explorer が必要です。 変換 Web ア ク セス デ フ ォ ル ト では、 ア プ ラ イ ア ン スは Internet Explorer が動作す る Microsoft Windows シ ス テム に対 し て、 Microsoft ActiveX コ ン ト ロ ール ( 「Web プ ロ キシ エージ ェ ン ト 」 ) を展開す る よ う に構成 さ れて い ま す。 た だ し Web プ ロ キシ エージ ェ ン ト が動作不可能な場合は、 代替シ ス テ ム と し て変換 Web ア ク セ スが使用 さ れます。 変換 Web ア ク セ ス では、 Web リ ソ ース に対す る 基本ア ク セ スが可能に な る と 同時に、 内部ホ ス ト 名 を 隠す エ イ リ ア ス も 作成で き る よ う に な り ま す。 変換 Web ア ク セ スは、 Web コ ン テ ン ツ を ア プ ラ イ ア ン スか ら 直接プ ロ キシ し ま す。 こ れを使用す る と 、 Windows ネ ッ ト ワー ク 共有へのア ク セ ス だけ で な く 、 WorkPlace で実行す る よ う 個別に構成 さ れて い る任意の Web リ ソ ースに も ア ク セ ス で き る よ う に な り ます。変換 Web ア ク セ スは、 SSL をサポー ト し JavaScript が有効化 さ れたあ ら ゆ る Web ブ ラ ウザで機能 し ま す。 URL リ ラ イ ト を使用す る ため、 一部の Web ア プ リ ケーシ ョ ン (AJAX な ど ) は制限 さ れる 場合があ り ます。 カ ス タ ム ポー ト マ ッ ピ ン グ ま たは カ ス タ ム FQDN マ ッ ピ ン グ を、 URL 変換 の代替 と し て使用で き ます。 カ ス タ ム ポー ト マ ッ ピ ング Web ア ク セス カ ス タ ム ポー ト マ ッ ピ ン グ では、 バ ッ ク エ ン ド の リ ソ ース ま たはサーバー と 、 EX-Series ア プ ラ イ ア ン スのポー ト 番号 と のマ ッ ピ ン グが行われます。 Apache が こ のポー ト を リ ッ ス ン し 、 こ のポー ト で受信 し たすべての HTTP ト ラ フ ィ ッ ク はア プ ラ イ ア ン ス で切断 さ れます。 マ ッ ピ ン グ さ れたバ ッ ク エ ン ド リ ソ ース を取得す る ための新 し い HTTP 要求が作成 さ れま す。絶対 URL の変換を容易にす る ために、 HTTP 応答はプ レ ー ン テ キス ト を使用 し て送信 さ れます。 URL リ ラ イ ト は使用 さ れません。 カ ス タ ム ポー ト マ ッ ピ ン グ を使用す る際は、 ネ ッ ト ワー ク 内のすべ ての フ ァ イ ア ウ ォ ールにおい て、 特定のポー ト を 開け て お く よ う 構成す る 必要があ り ま す。 カ ス タ ム ポー ト マ ッ ピ ン グ では ク ラ イ ア ン ト エー ジ ェ ン ト の イ ン ス ト ールは不要で あ り 、 あ ら ゆる Web ブ ラ ウザで機能 し ます。 カ ス タ ム FQDN マ ッ ピ ング Web ア ク セス カ ス タ ム FQDN マ ッ ピ ン グ では、 バ ッ ク エ ン ド の リ ソ ース ま たはサーバーが外部の完全修飾 ド メ イ ン名 ( ホ ス ト お よ び ド メ イ ン ) に マ ッ ピ ン グ さ れま す。 リ ソ ース には、 IP ア ド レ ス ではな く 、 こ の FQDN 名 を 使用 し て ア ク セ ス す る必要があ り ま す。 FQDN 名は、 パブ リ ッ ク ド メ イ 438 | Aventail E-Class SRA 10.7 管理者ガ イ ド ン内の IP ア ド レ ス に解決で き る必要があ り ま す。 Apache は こ の IP ア ド レ ス でポー ト 443 を リ ッ ス ン し ま す。 すべての HTTPS ト ラ フ ィ ッ ク は こ の ソ ケ ッ ト で切断 さ れま す。 マ ッ ピ ン グ さ れたバ ッ ク エ ン ド リ ソ ース を 取得す る ための新 し い HTTP 要求が作成 さ れま す。 絶対 URL の変換を容易にす る ために、 HTTP 応答はプ レ ー ン テ キス ト を使用 し て送信 さ れます。 URL リ ラ イ ト は使用 さ れません。 カ ス タ ム ポー ト マ ッ ピ ングまたはカ ス タ ム FQDN マ ッ ピ ング Web ア ク セスに関する注意事 項 カ ス タ ム ポー ト マ ッ ピ ン グ ま たは カ ス タ ム FQDN マ ッ ピ ン グの リ ソ ース を使用 し て い る 場合、 Internet Explorer ブ ラ ウザで OWA、 DWA、 SharePoint な どのア プ リ ケーシ ョ ン か ら ロ グ ア ウ ト す る と 、 WorkPlace か ら も ロ グ ア ウ ト す る場合があ り ます。 • それぞれの リ ソ ースは、 いずれか 1 つのア ク セ ス方法のみを使用 し て構成す る必要があ り ます。 変換モー ド 、 カ ス タ ム ポー ト マ ッ ピ ン グ モー ド 、 カ ス タ ム FQDN マ ッ ピ ン グ モー ド を混在 さ せな いで く だ さ い。 • カ ス タ ム FQDN マ ッ ピ ン グ ま たは カ ス タ ム ポー ト マ ッ ピ ン グの リ ソ ースの URL には、 パ ス を含める こ と はで き ません。 リ ソ ースのパスは [Start] ページ で指定で き ます。 • カ ス タ ム FQDN マ ッ ピ ン グの リ ソ ースの構成お よ びア ク セ ス には、 IP ア ド レ ス ではな く 、 ホ ス ト 名 と ド メ イ ン名のみを使用す る必要があ り ます。 • Domino Web Access (DWA) に カ ス タ ム ポー ト マ ッ ピ ン グ ま たは カ ス タ ム FQDN マ ッ ピ ン グ ア ク セ ス を使用す る際、 ページのレ イ ア ウ ト を編集 し て も ページは自動更新 さ れません。 新 し い レ イ ア ウ ト を有効にす る には、 [Refresh] ボ タ ン を ク リ ッ ク し ます。 • 無効な証明書を持つ カ ス タ ム FQDN マ ッ ピ ン グの リ ソ ースに WorkPlace か ら ア ク セ ス し た場合、 Internet Explorer ではア プ ラ イ ア ン スのシ ン グル サ イ ン オ ン が機能 し な い こ と が あ り ます。 例えば、 ユーザーが WorkPlace に ロ グ イ ン し て カ ス タ ム FQDN マ ッ ピ ン グの リ ソ ース を ク リ ッ ク し た際に、 その リ ソ ースが自己署名証明書を使用 し て い るか、 ま たはア プ ラ イ ア ン ス上で有効な証明書を持 っ て いな い と 、こ のよ う な ケースが発生す る こ と があ り ま す。 JavaScript に よ る証明書の警告が、 Internet Explorer のユーザーにポ ッ プ ア ッ プ で表示 さ れます。 ユーザーが証明書を受け入れた後、 Internet Explorer は初期ページ に 「referrer」 HTTP ヘ ッ ダー を送信 し ません。 シ ン グル サ イ ン オ ン機能では こ の referrer の値が必要で す。 こ の Internet Explorer の問題は、 以下のページ で説明 さ れて い ま す。 http://connect.microsoft.com/IE/feedback/ViewFeedback.aspx?FeedbackID=379975 こ の問題は、 Internet Explorer 以外のブ ラ ウザ を 使用 し て い る 場合や、 証明書に関す る 警告が ない場合、 ま たはワ イ ル ド カ ー ド 証明書が使用 さ れて い る場合には、 発生 し ません。 • Exchange ActiveSync Web ア ク セス E-Class SRA 10.6 では、 Apple iPhone/iPad、 お よ び Android 2.1/2.2/2.3 以降ま たは Symbian 9.x オペ レ ーテ ィ ン グ シ ス テム搭載のス マー ト フ ォ ンや タ ブ レ ッ ト での Exchange ActiveSync をサポー ト し ます。 Symbian は、数多 く のデバ イ スのホ ス ト と し て利用 さ れて い る オー プ ン OS です。最新バージ ョ ンの Symbian OS を搭載 し 、 Exchange ActiveSync (Nokia デバ イ ス でのブ ラ ン ド は 「Mail for Exchange」 ) をサポー ト し てい る一般的なデバ イ スの例は次の と お り です。 • • Symbian OS 9.1 : Nokia E65、 N71 Symbian OS 9.3 : Nokia E72 • Symbian OS 9.4 : Nokia X6、 Samsung Omnia HD 管理者が E-Class SRA ア プ ラ イ ア ン ス を構成 し た ら 、 サポー ト さ れて い る ス マー ト フ ォ ン ま た は タ ブ レ ッ ト を 持つユーザーは、 Exchange ActiveSync を使用 し て電子 メ ールに ア ク セ スす る よ う デバ イ ス を構成で き ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 439 こ れを行 う 場合、 ユーザーは電子 メ ールのア カ ウ ン ト 名、 サーバー、 ド メ イ ン、 ユーザー名、 パ ス ワー ド を入力 し ます。 ユーザーは こ のア カ ウ ン ト につい て ActiveSync を オ ン に し ま す。 その 結果、 新 し い電子 メ ール ア カ ウ ン ト と し てデバ イ ス上に保存 さ れます。 ActiveSync がオ ン に な っ てい る場合、 新着 メ ールがあ る と デバ イ スはユーザーに通知 し ます。 ユ ー ザ ー が、 iPhone ま た は Symbian デ バ イ ス を、 E-Class SRA ア プ ラ イ ア ン ス 経 由 で Exchange サーバーに接続 さ れて い る コ ン ピ ュ ー タ と 同期す る と 、 メ ール、 ア ド レ ス帳、 お よ び カ レ ン ダーが更新 さ れます。 Symbian では、 [Tasks] お よ び [Out Of Office] の設定 も サポー ト さ れます。 ア プ ラ イ ア ン ス での Exchange ActiveSync ア ク セ スの有効化 管理者は、 iPhone ま た は Symbian デバ イ ス のユ ーザーの コ ミ ュ ニ テ ィ に 対 し て Exchange ActiveSync のア ク セ ス を有効化で き ます。 こ れには、 次の タ ス ク が含まれます。 • • Active Directory 認証サーバー を使用す る レ ルム を作成 し ます。 連鎖式認証を使用す る レ ル ムは、 Exchange ActiveSync ではサポー ト さ れません。 URL リ ソ ースの [Resources Add/Edit] ページの [Exchange ActiveSync options] セ ク シ ョ ン を使用 し て、 Exchange ActiveSync 用 リ ソ ース を作成 し ます。 管理者は [Exchange ActiveSync options] セ ク シ ョ ン を使用 し て、 Exchange ActiveSync の ア ク セ スの提供に使用す る カ ス タ ム FQDN、 IP ア ド レ ス、 SSL 証明書、 レ ルム を指定で き ます。 カ ス タ ム FQDN、 IP ア ド レ ス、 SSL 証明書の各オ プ シ ョ ンは、 こ れ ら のオ プ シ ョ ン を使用 す る WorkPlace サ イ ト の場合 と 同 じ よ う に機能 し ます。 カ ス タ ム FQDN で提供 さ れる ホ ス ト / ド メ イ ン名を使用 し て、 ActiveSync の接続ま たはセ ッ シ ョ ン を確立で き ます。 IP ア ド レ スはア プ ラ イ ア ン スに よ っ て ホ ス ト さ れる仮想 IP ア ド レ ス です。こ のア ド レ スは、 E-Class SRA ア プ ラ イ ア ン スの公開 イ ン タ ー フ ェ ース を 介 し て ア ク セ ス で き る よ う 、 ア プ ラ イ ア ン スの外部 イ ン タ ー フ ェ ース ( シ ン グルホーム構成の場合は内部 イ ン タ ー フ ェ ース ) と 同 じ サブ ネ ッ ト 上で あ る必要があ り ます。 SSL 証明書にはワ イ ル ド カ ー ド 証明書 を 使用で き る ほか、 ホ ス ト 名 と 一致す る サーバー証 明書を構成す る こ と も で き ます。 [Realm] ド ロ ッ プ ダウ ン リ ス ト には、 Active Directory 認証サーバー を使用す る レ ルムのみ が表示 さ れ ま す。 連鎖式認証 を 使用す る レ ルムは、 リ ス ト に表示 さ れ ま せん。 Exchange ActiveSync に使用す る レ ルムは、 連鎖式認証を提供す る よ う 変更 し た り 、 Active Directory 以外の認証サーバー を使用す る よ う 変更す る こ と はで き ません。 • AMC の [EPC] ページ で、Exchange ActiveSync デバ イ スの終点制御用のデバ イ ス プ ロ フ ァ イ ルを定義 し ます。 デバ イ ス プ ロ フ ァ イ ルの タ イ プ と し て Exchange ActiveSync を選択で き ます。 こ のデバ イ ス プ ロ フ ァ イ ルで構成可能な属性は、 「機器 ID」 のみで す。 デバ イ スのシ リ ア ル番号が識別子 と し て使用 さ れます。 「機器 ID」 の取得には、 ベース と な る オペ レ ー テ ィ ン グ シ ス テムのハー ド デ ィ ス ク ド ラ イ バが使用 さ れます。 「機器 ID」 の取得が確実に機能す る よ う 、 ド ラ イ バの更新を すべて適用 し て お く 必要があ り ます。 Exchange ActiveSync のデバ イ ス プ ロ フ ァ イ ルは、 評価用にあ ら ゆ る ゾー ン に含め る こ と がで き ます。 • [Network Settings] ページ を参照 し て、仮想ホ ス テ ィ ン グに使用す る すべての カ ス タ ム IP ア ド レ ス、 こ れ ら の ア ド レ ス で 監 視 す る FQDN、 お よ び 関 連 す る [Resources] ま た は [WorkPlace Sites] を確認 し ます。 簡単に移動 し て編集で き る よ う 、[Resources] お よ び [WorkPlace Site] の項目は構成ページ に リ ン ク さ れて い ます。 • [User Sessions] ページ を参照 し ます。 [Exchange ActiveSync] ア ク セ ス エージ ェ ン ト に属 し て い る Exchange ActiveSync セ ッ シ ョ ン が表示 さ れ ま す。 [Exchange ActiveSync] は、 [Filters] の下にあ る [Agent] リ ス ト のオ プ シ ョ ン です。 440 | Aventail E-Class SRA 10.7 管理者ガ イ ド Exchange ActiveSync セ ッ シ ョ ン ActiveSync の カ ス タ ム FQDN 名に初めて接続す る と 、 ア プ ラ イ ア ン ス に よ っ て、 ユーザー名 と パス ワー ド の入力が求め ら れます。 ユ ー ザ ー の認証が成功 す る と 、 そ れ以上の ユ ー ザ ー の操作 な し で Exchange サ ー バ ー と の ActiveSync セ ッ シ ョ ンが確立 さ れます。 ユーザーが Exchange 2007 に接続す る場合、 セ ッ シ ョ ンの初期化時に、 デバ イ スの IMEI シ リ アル番号が ActiveSync ス ト リ ーム外で解析 さ れます。 Exchange シ ス テムの管理者は、 デバ イ ス識別子を送信す る よ う に構成の変更が必要 と な る場合があ り ます。 ア プ ラ イ ア ン スか ら Exchange サーバーに対す る認証の方式には、 ベーシ ッ ク 認証が使用 さ れ ます。 Exchange ActiveSync のデバ イ ス プ ロ フ ァ イ ルについ ての注意事項 • • • こ のプ ロ フ ァ イ ルは、 ActiveSync ス ト リ ームでのみ機能 し ま す ( デバ イ スの値を取得す る 唯一の方法で あ る ため )。 こ のプ ロ フ ァ イ ルは、Exchange 2007 サーバー と 通信す る ActiveSync ス ト リ ームでのみ機 能 し ます。 こ の リ リ ース では、 Exchange の ActiveSync のみがサポー ト さ れてい ます。 ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージ Connect Tunnel ク ラ イ ア ン ト コ ン ポーネ ン ト お よ び Connect Mobile ク ラ イ ア ン ト コ ン ポーネ ン ト を ネ ッ ト ワー ク 上の別の場所 (Web サーバー、 FTP サーバー、 フ ァ イ ル サーバーな ど ) に 配置 し て、 ユーザーが Aventail WorkPlace に ロ グ イ ンせずに こ れ ら の コ ン ポーネ ン ト を ダウ ン ロ ー ド お よ び イ ン ス ト ールで き る よ う にす る こ と が可能です。 ま た、 Tivoli や SMS な どのア プ リ ケーシ ョ ン を使用 し てユーザーに Connect Tunnel ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージ を 送信す る こ と も 、 サー ド パー テ ィ 製のデ ィ ス ク イ メ ー ジ コ ピ ー ユー テ ィ リ テ ィ を 使用 し て、 ク ラ イ ア ン ト イ ン ス ト ールのマ ス タ ー イ メ ー ジ を 作成 し て ユーザーのシ ス テ ムに コ ピ ーす る こ と も で き ます。 ク ラ イ ア ン ト のセ ッ ト ア ッ プ パ ッ ケージは、 AMC か ら ダウ ン ロ ー ド で き ます。 ま た、 Windows ベースのパ ッ ケージ (Connect Tunnel for Windows お よ び Connect Mobile) では、 ク ラ イ ア ン ト を ユーザーに配布す る前に、.ini 構成 フ ァ イ ルで さ ま ざ ま な ク ラ イ ア ン ト の設定を指定す る こ と も で き ます。 ユーザーに確実に最新バージ ョ ン を実行 さ せる ためには、ク ラ イ ア ン ト を自動更新にす る こ と が最 も 簡単な方法です。 詳細につい ては、 73 ページの 「Windows Tunnel ク ラ イ ア ン ト の自動 ク ラ イ ア ン ト 更新」 を参照 し て く だ さ い。 メモ E-Class SRA ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージのダウン ロー ド こ のセ ク シ ョ ン では、 Connect Tunnel ク ラ イ ア ン ト ま たは Connect Mobile ク ラ イ ア ン ト の イ ン ス ト ール パ ッ ケージ を、 ロ ー カ ルのワー ク ス テ ーシ ョ ンへダウ ン ロ ー ド す る方法について説 明 し ます。 ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージ を ダウ ン ロ ー ド す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Agent Configuration] を ク リ ッ ク し ま す。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 441 2. [E-Class SRA access agents] エ リ アの [Client installation packages] で、 [Download] を ク リ ッ ク し ます。 [Client Installation Packages] ページが表示 さ れます 3. イ ン ス ト ール パ ッ ケージの言語を選択 し ます。 各パ ッ ケージ には、 翻訳 さ れたユーザー イ ン タ ー フ ェ ース要素 と オ ン ラ イ ン ヘルプが含まれてい ます。 4. サポー ト す る プ ラ ッ ト フ ォ ームに対す る ク ラ イ ア ン ト イ ン ス ト ール フ ァ イ ルを ダウ ン ロ ー ド し ます (<xx> には選択 し た言語が示 さ れます )。 ダウ ン ロ ー ド の リ ン ク イ ン ス ト ール パ ッ ケージ Windows ngsetup_<xx>.exe Linux x86 E-Class SRAConnect-Linux.tar Mac OS X 10.5.x E-Class SRAConnect-OSX.dmg Windows Mobile cmsetup.exe Windows サービ ス (Connect Tunnel サービ ス ) ctssetup_<xx>.exe 5. [Download Client Package] ページが表示 さ れます。 [File Download] ダ イ ア ロ グ ボ ッ ク ス で、 ロ ー カ ル コ ン ピ ュ ー タ に フ ァ イ ルを保存す る よ う 求め ら れます。 6. [Save] を ク リ ッ ク し 、 適切なデ ィ レ ク ト リ を参照 し て選択 し てか ら 、 再度 [Save] を ク リ ッ ク し ます。 7. [Download Client Package] ページ で [OK] を ク リ ッ ク し ます。 [Client Installation Packages] ページ に戻 り ます。 Connect Tunnel ク ラ イ ア ン ト 用構成のカ ス タ マ イズ ア プ ラ イ ア ン スか ら ダウ ン ロ ー ド し た Connect Tunnel ク ラ イ ア ン ト セ ッ ト ア ッ プ パ ッ ケージ は、 そのま ま ではま だ構成 さ れて い ません。 セ ッ ト ア ッ プ パ ッ ケージ を ユーザーに展開す る前 に、 Connect Tunnel 構成 フ ァ イ ル (.ini フ ァ イ ル ) を カ ス タ マ イ ズで き ます。 こ う す る こ と で、 それぞれの ク ラ イ ア ン ト について、 ア プ ラ イ ア ン スのホ ス ト 名や IP ア ド レ ス、 ロ グ イ ン時に使 用す る レ ルム名な どの ク ラ イ ア ン ト オ プ シ ョ ン を あ ら か じ め構成す る こ と に よ り 、 作業を迅速 に行え る よ う に な り ま す。 こ の手順 を ス キ ッ プ す る と 、 パ ッ ケー ジ ではデ フ ォ ル ト のア プ ラ イ ア ン ス設定が使用 さ れます。 Connect Tunnel の構成 フ ァ イ ル を カ ス タ マ イ ズす る には 1. Connect Tunnel イ ン ス ト ール フ ァ イ ルを Windows コ ン ピ ュ ー タ にダウ ン ロ ー ド し ます (441 ページの 「E-Class SRA ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージのダウ ン ロ ー ド 」 を 参照 )。 2. [ ス タ ー ト ] > [ フ ァ イ ル名を指定 し て実行 ] で cmd と 入力 し て、 Windows の コ マ ン ド プ ロ ン プ ト を開 き ます。 442 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. ngsetup_<xx>.exe を保存 し たデ ィ レ ク ト リ ま で移動 し 、 以下の コ マ ン ド を実行 し て イ ン ス ト ール フ ァ イ ル を 解凍 し ま す。 フ ァ イ ルの解凍先は現在の作業デ ィ レ ク ト リ に な り ま す (expand パ ラ メ ー タ で 「<path>」 を指定 し た場合を除 く )。 ngsetup_<xx>.exe -expand=<path> 4. テ キス ト エデ ィ タ で ngsetup.ini フ ァ イ ルを開 き 、 適切な構成設定を指定 し ます。 5. 変更 し た ngsetup.ini フ ァ イ ルを保存 し て閉 じ ま す。ngsetup_<xx>.exe の保存先 と 同 じ デ ィ レ ク ト リ に こ の フ ァ イ ルを コ ピ ーす る と 、 .ini に対 し て行 っ た カ ス タ マ イ ズはセ ッ ト ア ッ プ 時に取 り 込まれます。.ini フ ァ イ ルに別の場所を指定す る には、次の コ マ ン ド を使用 し ます。 ngsetup_<xx>.exe -f=<path>\<configuration file name> ま た、 イ ン ス ト ールのデー タ は、 %ALLUSERSPROFILE%\Documents お よ び Settings\All Users\Application Data\E-Class SRA フ ォ ルダの ngmsi.log と い う フ ァ イ ルに記録で き ま す。 指定可能なパ ラ メ ー タ の全 リ ス ト を表示す る には、 次の コ マ ン ド を実行 し て く だ さ い。 ngsetup_<xx>.exe -? 6. 次の表では、 構成オ プ シ ョ ン を示 し て お り 、 それに続い てサン プル .ini フ ァ イ ルを紹介 し て い ます。 こ れ ら のオ プ シ ョ ンの一部は、 WorkPlace か ら Connect Tunnel が イ ン ス ト ール さ れた場合に限 っ て使用で き ます。指定 し な いオ プ シ ョ ン コ ン ポーネ ン ト については、デ フ ォ ル ト 値が使用 さ れます。 オプシ ョ ン 説明 [Connectoid number] セ ク シ ョ ン ア プ ラ イ ア ン ス に ア ク セ ス す る た めの基本設定 を 制御 し ま す。 ユーザーが複数のア プ ラ イ ア ン スにア ク セ ス で き る よ う にするには、 こ の構成ブ ロ ッ ク を コ ピー し て、 ([Connectoid 1]、[Connectoid 2] のよ う に ) number の値を 1 ずつ増や し てい き ます。 このセ ク シ ョ ンは必須です。 ConnectionName=name ク ラ イ ア ン ト のユーザー イ ン タ ー フ ェ ースに表示 さ れる接続 の名前。 値 を 指定 し な い 場合は、 デ フ ォ ル ト の接続名 (EClass SRA VPN Connection) が使用 さ れます。 こ の設定 はオプ シ ョ ン です。 VpnServer=host name | IP address ア プ ラ イ ア ン スのホス ト 名または IP ア ド レ ス。 値を指定 し な い場合は、 ア プ ラ イ ア ン スのホ ス ト 名や IP ア ド レ ス を ユー ザーが手動で入力する必要があ り ます。 こ の設定はオ プ シ ョ ン です。 StartMenuIcon=[0 | 1] [E-Class SRA] ス タ ー ト メ ニ ュ ー フ ォ ルダに、 [E-Class SRA VPN Connection] と い う 名前のシ ョ ー ト カ ッ ト を追 加す るかど う かを指定 し ます。 デ フ ォ ル ト 値は 1 ( シ ョ ー ト カ ッ ト を追加する ) です。 この設定はオプ シ ョ ン です。 DesktopIcon=[0 | 1] デス ク ト ッ プにシ ョ ー ト カ ッ ト を追加するかど う かを指定 し ます。 デ フ ォル ト 値は 1 ( シ ョ ー ト カ ッ ト を追加する ) です。 この設定はオプ シ ョ ン です。 UserRealm=name ユーザーが ロ グ イ ン す る デ フ ォ ル ト の レ ルム を 指定 し ま す。 レルム名は、 AMC で表示 さ れているの と 同 じ も のを正確に指 定 し ます。 この設定はオプ シ ョ ン です。 DefaultAuthType= [ADUNPW | LDAPUNPW | RADIU-SUNPW | RADIUSCRAM | UNIX] ( 廃止 ) こ の設定は、 実行するユーザー認証の タ イ プ を指定 し ます。 v8.7.0 よ り 前の E-Class SRA ア プ ラ イ ア ン スにア ク セ スする場合にのみ適用 さ れます。 StatusDlg=[0 | 1] ア プ ラ イ ア ン スへの接続時に ス テー タ ス ダ イ ア ロ グ ボ ッ ク ス を表示す るかど う かを指定 し ます。 デ フ ォ ル ト 値は 1 ( ス テー タ ス表示が有効 ) です。 この設定はオプ シ ョ ン です。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 443 オプシ ョ ン 説明 Taskbar=[0 | 1] ア プ ラ イ ア ン スに接続す る と き、 タ ス ク バー通知エ リ アにア イ コ ン を表示するかど う か指定 し ます。デ フ ォル ト 値は 1 ( ア イ コ ンの表示が有効 ) です。 この設定はオプ シ ョ ン です。 RunAtStartup=[0 | 1] Windows の起動時に接続を自動的に開始するかど う かを指定 し ます。 デ フ ォル ト 値は 1 ( 自動起動が有効 ) です。 こ の設定 はオプ シ ョ ン です。 [Install Settings] セ ク シ ョ ン このセ ク シ ョ ン では、 実行する MSI イ ン ス ト ールの タ イ プに ついての情報を指定 し ます。 各 .ini フ ァ イルには [Install Settings] セ ク シ ョ ン を 1 つのみ含める こ と がで き ます。こ のセ ク シ ョ ンはオプ シ ョ ン です。 UILevel=[FULL | REDUCED | BASIC | NONE] イ ン ス ト ール時に含めるユーザー イ ン タ ー フ ェ ースのレ ベル を指定 し ます。 デ フ ォ ル ト 値は NONE です。 こ の設定はオ プ シ ョ ン です。 ProductCode=key PackageCode=key FileSize=bytecount ProductVersion=x.yy.zzz こ れ ら は事前に指定 さ れてい る必須の設定です。 変更 し ない で く だ さ い。 サン プル ngsetup.ini フ ァ イ ル [Install Settings] UILevel=FULL ProductCode={A814B50B-B392-458A-8C31-51697E1EBB7A} PackageCode={A77CB50B-0384-5D8A-DE3D-61099E9EB37C} [Connectoid 1] ConnectionName="XYZ Company Network" VpnServer=64.94.142.134 [Connectoid 2] ConnectionName="Test Network" VpnServer=64.94.142.134 StartMenuIcon=1 DesktopIcon=1 UserRealm="employees" StatusDlg=1 Taskbar=1 RunAtStartup=1 メモ • • Windows オペ レ ーテ ィ ン グ シ ス テム搭載の コ ン ピ ュ ー タ には、 プ ロ グ ラ ム を 1 回だけ 起動 さ せる レ ジ ス ト リ キーがあ り ます。 プ ロ グ ラ ムが 1 回起動 し た後は、 その リ フ ァ レ ン スが削除 さ れ、 そのプ ロ グ ラ ムが動作 し な く な り ます。 Connect Tunnel の イ ン ス ト ー ル後、 HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\RunOnce に あ る すべてのプ ロ グ ラ ムが実行 さ れます。 こ の フ ァ イ ルには、 VPN ア プ ラ イ ア ン ス と の接続が確立 さ れる ま で、 ( 認証の タ イ プや カ ス タ ム プ ロ ン プ ト な ど ) 特定の項目を含める こ と はで き ません。 つ ま り 、 ユーザーの初回ア ク セ ス時には認証プ ロ ン プ ト がグ レ ーで表示 さ れます。 こ れを回避す る ための方法には、 次 のよ う な も のがあ り ます。 • ユーザーに WorkPlace か ら イ ン ス ト ール さ せる。 • ユーザーに [Connect] ダ イ ア ロ グ ボ ッ ク スの [Properties] を ク リ ッ ク さ せ、 レ ルム を 選択 さ せる。 444 | Aventail E-Class SRA 10.7 管理者ガ イ ド • WorkPlace の イ ン ス ト ールか ら 完全な構成 フ ァ イ ルを取得 し 、こ れを ユーザーに合わせ て変更 し ます。 方法につい ては、 E-Class SRA ナ レ ッ ジ ベースの記事 2831 を参照 し て く だ さ い。 Connect Tunnel へのコ マ ン ド ラ イ ン でのア ク セス (NGDIAL を使用 ) NGDIAL コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ は、 Connect Tunnel を使用 し て リ モー ト ネ ッ ト ワー ク への接続 を 確立 し ま す (Windows RASDIAL が他のネ ッ ト ワー ク 接続で行 う 方法 と 非常に似 てい ます )。 ま た、 NGDIAL コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ を使用 し て、 ネ ッ ト ワー ク 接続の電話帳のエ ン ト リ を 作成、 削除、 変更で き ま す。 NGDIAL コ マ ン ド を パ ラ メ ー タ な し で実行す る と 、 すべて の RAS 接続が リ ス ト さ れます。 E-Class SRA ソ フ ト ウ ェ アのバー ジ ョ ン 10.6.1 以降では、 Linux お よ び Macintosh の構成で Connect Tunnel と Connect Tunnel Extensibility Toolkit がサポー ト さ れる よ う に な り ま し た。 Windows Remote Access Service (RAS) を使用 し て、E-Class SRA ア プ ラ イ ア ン ス で保護 さ れ た ネ ッ ト ワー ク リ ソ ースに E-Class SRA Connect Tunnel ク ラ イ ア ン ト 経由で ア ク セ スす る ク ラ イ ア ン ト ア プ リ ケーシ ョ ン を作成す る方法の詳細につい ては、E-Class SRA Connect Tunnel Extensibility Toolkit を参照 し て く だ さ い (www.E-Class SRA.com か ら ダウ ン ロ ー ド で き ます )。 コ マ ン ド 構文 ngdial <connection name> <public> [<private>|* [<auth type>]] [-phonebook=<phonebook>] [-server=<server name>|<server IP>] [-login=<login group>] [-proxycredential=<username>[,<password>|*]] [-status[=enable|disable]] [-icon[=enable|disable]] [-gui] ngdial <connection name> <public> [<private>|* [<auth type>]] [-phonebook=<phonebook>] [-connection=<connection name>|<Connection list friendly name>] [-proxycredential=<username>[,<password>|*]] [-status[=enable|disable]] [-icon[=enable|disable]] [-gui] [-nocerterrors] ngdial <connection name> -disconnect|-d ngdial <connection name> -prompt [-phonebook=<phonebook>] ngdial <connection name> [-list= <connection name>] ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 445 ngdial <connection name> [-editserver= <server name>] ngdial <connection name> [-editrealm= <realm name>] ngdial <connection name> -create [-phonebook=<phonebook>] [-server=<server name>|<server IP>] [-login=<login group>] [-status[=enable|disable]] [-icon[=enable|disable]] ngdial -help | -? オプシ ョ ン 説明 <connection name> ネ ッ ト ワー ク 接続の名前。 名前にスペースが含まれる場合は、 引用符 で囲みます。 <public> ユーザーの認証用パブ リ ッ ク ク レデン シ ャル ( ユーザー名 )。名前にス ペースが含まれる場合は、 引用符で囲みます。 例を以下に示 し ます。 ngdial report_server "Jen Bates" ク レデン シ ャ ルの public および <private> の部分は、 E-Class SRA ア プ ラ イ ア ン ス上の認証レルムで指定 さ れてい る認証 タ イ プ と 正 し く 対 応する必要があ り ます。 [<private>|* type>]] [<auth ユーザー認証時に使用する プ ラ イ ベー ト ク レデン シ ャ ル ( パスワー ド ) と 認証 タ イ プ (<auth type> パラ メ ー タ は、 v8.7.0 よ り 前のア プ ラ イ ア ン スにログ イ ンする場合のみ必須です )。 ク レデン シ ャ ルの <private> の部分が指定 さ れていないか、 またはア ス タ リ ス ク (*) が指定 さ れてい る場合は、 NGDIAL コ マ ン ド か ら ユー ザーにパスワー ド の入力を求める プ ロ ン プ ト が表示 さ れます。 v8.7.0 よ り 前のア プ ラ イ ア ン スへ ロ グ イ ン す る 際に <auth type> を 指定 し ていない場合は、 レルムのデ フ ォ ル ト の認証 タ イ プが使用 さ れ ます。 <auth type> の値は以下の と お り です。 • NULL: 認証は不要です • LDAPUNPW:LDAP ユーザー名 / パスワー ド ク レデン シ ャ ル • LDAPCERTIFICATE:LDAP 証明書ク レデン シ ャル • RADIUSCRAM:RADIUS ト ー ク ン /SecurID ク レデン シ ャル • RADIUSUNPW:RADIUS ユーザー名 / パスワー ド ク レデン シ ャル • UNIX:UNIX ユーザー名 / パスワー ド ク レデン シ ャル • TEAM:E-Class SRA TEAM ク レデン シ ャ ル • ADUNPW:Active Directory ユーザー名 / パスワー ド ク レデン シ ャル -create コ マ ン ド ラ イ ン で指定 し た情報を使用 し て、新 し いネ ッ ト ワー ク 接続を生成す るか、ま たは既存のネ ッ ト ワー ク 接続を更新 し ます。 -delete 指定 し たネ ッ ト ワー ク 接続エ ン ト リ を、指定 し た電話帳か ら 削 除 し ます。 こ の操作を実行す る にはシ ス テム管理者権限が必要 です。 [-connection=<connection name> | <connection list friendly name>] ダ イ ヤルす る接続エ ン ト リ を接続 リ ス ト か ら 読み込みます。 446 | Aventail E-Class SRA 10.7 管理者ガ イ ド オプシ ョ ン 説明 -disconnect | -d VPN を <connection name> リ モー ト ネ ッ ト ワー ク か ら 切断 し ます。 [-gui] VPN ネ ッ ト ワー ク 接続 を 確立す る ために追加の情報が必要な 場合は、こ のパ ラ メ ー タ を使用 し て、RAS で グ ラ フ ィ カ ル ユー ザー イ ン タ ー フ ェ ース (GUI) のプ ロ ン プ ト を ユーザーに表示 で き ます。 例えば、 こ れを使用 し て、 証明書に問題があ る場合に ア プ ラ イ ア ン スのサーバー証明書 を 受け入れ る よ う 求め る プ ロ ン プ ト を ユーザーに表示で き るほか、ユーザーにパス ワー ド の期限切 れや変更要求を通知す る こ と が必要な場合に対応で き ます。 こ の よ う な 場 合 に -gui オ プ シ ョ ン が 指 定 さ れ て い な い と 、 NGDIAL ユー テ ィ リ テ ィ は失敗 し 、 呼び出 し 元に エ ラ ー コ ー ド を返 し ます。 -help | -? NGDIAL コ マ ン ド の コ マ ン ド ラ イ ン 構文 を 表示 し ま す。 -gui オ プ シ ョ ン と 一緒に使用 し た場合、 オ ン ラ イ ン ヘルプ を 表示 し ます。 [-icon[=enable|disable]] タ ス ク バー通知エ リ アへのア イ コ ンの表示を制御 し ます。ユー ザーは こ のア イ コ ン を 使用 し て、 VPN ネ ッ ト ワー ク 接続 を 管 理 し た り 、 接続に関す る通知を受け取る こ と がで き ます。 注意 事項を参照 し て く だ さ い。 [-login=<login group>] ユーザーの認証に使用す る ロ グ イ ン グルー プ ( 認証 レルム ) の 名前。 (v8.7.0 よ り 前のア プ ラ イ ア ン ス に接続す る際に ) ク レ デ ン シ ャ ルの <auth type> な し で ロ グ イ ンが指定 さ れた場 合、 NGDIAL では <auth type> に ADUNPW を使用 し ます。 [ - <connection name> が定義 さ れて い る 電話帳の フ ァ イ ル名 を phonebook=<phonebook> 指定 し ます。 フ ァ イ ル名には、 電話帳 フ ァ イ ルの完全修飾パス ] を 含 め る 必 要 が あ り ま す。 パ ス が 指 定 さ れ て い な い 場 合、 NGDIAL はシ ス テムの電話帳 (rasphone.pbk) が含まれて い る デ ィ レ ク ト リ で、 指定 さ れた電話帳 フ ァ イ ルを検索 し ます。 [-list=<connection name>] 引数な し で使用 し た場合は、 リ ス ト 内のすべての接続を表示 し ます。 引数を指定 し て使用 し た場合は、 接続 リ ス ト を詳細表示 し ます。 -prompt NGDIAL コ マ ン ド がユーザーに、 <connection name> リ モ ー ト ネ ッ ト ワー ク への接続のプ ロ ン プ ト を表示 し ま す。 [-proxycredential= <username> [,<password>|*]] ア プ ラ イ ア ン スへのア ク セ ス に プ ロ キ シ サーバーが必要な場 合、 こ の オ プ シ ョ ン を 使用 し て プ ロ キ シ サ ー バ ー 用のユ ー ザー名 と パスワー ド の ク レ デ ン シ ャ ルを指定 し ます。 パスワー ド が指定 さ れてい ないか、 ア ス タ リ ス ク (*) が入力 さ れた場合、 NGDIAL コ マ ン ド か ら ユーザーに プ ロ キ シ のパ ス ワー ド の入力を求め る プ ロ ン プ ト が表示 さ れます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 447 オプシ ョ ン 説明 [-server=<server name>| <server IP>] ア プ ラ イ ア ン ス名ま たは IP ア ド レ ス を指定 し ます。 サーバー を指定 し 、そのサーバーが電話帳のエ ン ト リ に定義 さ れてい る サーバー と 異な る場合、 サーバー と ロ グ イ ン グルー プ ( 指定 さ れてい る場合 ) が電話帳のエ ン ト リ に保存 さ れます。 [ - e d i t s e r v e r = < s e r v e r カ ス タ ム接続 リ ス ト のサーバー名を編集 し ます。 name>] [-editrealm=<realm name>] カ ス タ ム接続 リ ス ト のレ ルム名を編集 し ます。 [-status[=enable|disable]] VPN ネ ッ ト ワー ク への接続に 2 秒以上 を 要 し て い る 場合に、 接続ス テ ー タ ス ダ イ ア ロ グ ボ ッ ク ス を表示す るかど う かを制 御 し ます。 [-nocerterrors] サーバー証明書のエ ラ ー を抑制 し ます。 例: NGDIAL "ACME Corp" -create -server=remote.acme.com -icon -status NGDIAL "ACME Corp" "Jen Bates" * -login="Business Partners" -icon -gui NGDIAL "ACME Corp" jdoe password NGDIAL "ACME Corp" -disconnect ngdial -help で表示 さ れる使用方法では、 -icon=disable フ ラ グは -create フ ラ グ不要のオ プ シ ョ ン と 記載 さ れて い ますが、一部のケース では、ア イ コ ン を無効化す る ために -create フ ラ グが必要に な り ます。 メモ ア イ コ ン を 無効化 し て タ ス ク バーに表示 さ れな い よ う にす る には、 次のいずれかの方法 を 使用 で き ます。 • ngsetup.ini フ ァ イ ルに taskbar=0 を設定 し てか ら 、 次のよ う な コ マ ン ド を実行 し ま す。 ngdial "E-Class SRA VPN Connection" -server=<server IP address> login="Realm name" username password -icon=disable -gui • -icon=disable オ プ シ ョ ン と と も に -create オ プ シ ョ ン を用いた コ マ ン ド を実行 し て icon パ ラ メ ー タ を保存 し てか ら 、 次のよ う な コ マ ン ド を実行 し て接続 し ます。 ngdial "E-Class SRA VPN Connection" -create -server=<server IP address> -icon=disable -gui ngdial "E-Class SRA VPN Connection" -server=<server IP address> login="Realm name" username password -icon=disable -gui Connect Mobile ク ラ イ ア ン ト 構成のカ ス タ マ イズ ア プ ラ イ ア ン スか ら ダウ ン ロ ー ド す る Connect Mobile ク ラ イ ア ン ト のセ ッ ト ア ッ プ パ ッ ケー ジは、 そのま ま ではま だ構成 さ れて い ません。 ユーザー側の手順 を 簡略化す る ために、 セ ッ ト ア ッ プ パ ッ ケージ を ユーザーに配布す る前に、cmsetup.ini のい く つかのオ プ シ ョ ン ( ア プ ラ イ ア ン スのホ ス ト 名や IP ア ド レ ス、 レルム名な ど ) を あ ら か じ め構成す る こ と がで き ま す。 こ の .ini フ ァ イ ルを カ ス タ マ イ ズ し ない場合は、 デ フ ォ ル ト のア プ ラ イ ア ン ス設定が使用 さ れます。 448 | Aventail E-Class SRA 10.7 管理者ガ イ ド Connect Mobile 構成 フ ァ イ ルを カ ス タ マ イ ズす る には 1. Connect Mobile イ ン ス ト ール フ ァ イ ルを Windows コ ン ピ ュ ー タ にダウ ン ロ ー ド し ます (441 ページの 「E-Class SRA ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージのダウ ン ロ ー ド 」 を 参照 )。 cmsetup.ini 構成 フ ァ イ ルを解凍 し て カ ス タ マ イ ズで き る よ う 、 こ の コ ン ピ ュ ー タ に は Microsoft ActiveSync が イ ン ス ト ール さ れてい る必要があ り ます。 2. コ マ ン ド プ ロ ン プ ト に移動 し ます。[ ス タ ー ト ] > [ フ ァ イ ル名を指定 し て実行 ] を ク リ ッ ク し 、[ 名前 ] ボ ッ ク ス に cmd と 入力 し て実行 し ます。Windows Vista を使用 し て い る場合は、 [ ス タ ー ト ] を ク リ ッ ク し てか ら [ 検索の開始 ] ボ ッ ク スに cmd と 入力 し て実行 し ます。 3. cmsetup.exe フ ァ イ ルを保存 し たデ ィ レ ク ト リ ま で移動 し 、以下の コ マ ン ド を実行 し て イ ン ス ト ール フ ァ イ ル を 解凍 し ま す。 フ ァ イ ルの解凍先は現在の作業デ ィ レ ク ト リ に な り ま す (<path> を指定 し た場合を除 く )。 cmsetup.exe -extract=<path> 4. テ キス ト エデ ィ タ で cmsetup.ini フ ァ イ ルを開 き 、 適切な構成設定を指定 し ます。 5. 変更 し た cmsetup.ini フ ァ イ ルを保存 し て閉 じ ま す。 こ の フ ァ イ ルの保存先は cmsetup.exe フ ァ イ ルの保存先 と 同 じ デ ィ レ ク ト リ に し て く だ さ い。 6. 変更 し た cmsetup.ini フ ァ イ ルを保存 し て閉 じ ま す。 cmsetup.exe の保存先 と 同 じ デ ィ レ ク ト リ に こ の フ ァ イ ルを コ ピ ーす る と 、 .ini に対 し て行 っ た カ ス タ マ イ ズはセ ッ ト ア ッ プ時に 取 り 込まれます。 .ini フ ァ イ ルに別の場所を指定す る には、 次の コ マ ン ド を使用 し ます。 cmsetup.exe -install=<path>\cmsetup.ini ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 449 次の表で構成オ プ シ ョ ン を説明 し ます。 指定 し な いオ プ シ ョ ン コ ン ポーネ ン ト については、 デ フ ォ ル ト 値が使用 さ れます。 オプシ ョ ン 説明 [Connectoid number] セ ク ション こ のセ ク シ ョ ンは、 ア プ ラ イ ア ン スにア ク セ スす る ための基 本設定を制御 し ます。 1 つのセ ク シ ョ ンのみを指定で き ます ( ハン ド ヘル ド デバ イ ス では Connect Mobile に対す る複数の 接続ア イ コ ン を構成で き ません )。こ のセ ク シ ョ ンは必須です。 ConnectionName=name ク ラ イ ア ン ト のユーザー イ ン タ ー フ ェ ースに表示 さ れる接続 の名前。 値 を 指定 し な い 場合は、 デ フ ォ ル ト の接続名 (EClass SRA Connect Mobile) が使用 さ れま す。 こ の設定 はオプ シ ョ ン です。 VpnServer=host name | IP ア プ ラ イ ア ン スのホス ト 名または IP ア ド レ ス。 値を指定 し な い場合は、 ア プ ラ イ ア ン スのホ ス ト 名や IP ア ド レ ス を ユー ザーが手動で入力す る必要があ り ます。 こ の設定はオ プ シ ョ ン です。 LogonGroup=name ログ イ ンする レルムの名前。 Locale=[AUTOMATIC | English | Japanese | Korean] AUTOMATIC (デ フ ォル ト ) に設定 し た場合、ク ラ イ ア ン ト ア プ リ ケーシ ョ ンは表示言語を デバ イ スのロ ケール構成に基づい て決定 し ます。 言語を指定する と こ の検出は上書き さ れます。 Locale の値がサポー ト さ れてい な い場合や認識で き ない場 合は、 English が使用 さ れます。 こ の値では大文字 と 小文字 は区別 さ れません。 AutoStart=[0 | 1] 起動時に接続を自動的に開始す るかど う かを指定 し ます。 デ フ ォル ト 値は 0 ( 自動起動が無効 ) です。 こ の設定はオプ シ ョ ン です。 Logging=[0 | 1] ク ラ イ ア ン ト の ロ グ記録 を 有効に す る か ど う か を 指定 し ま す。 デ フ ォル ト 値は 0 ( ログ記録が無効 ) です。 こ の設定はオ プ シ ョ ン です。 ReAuthPrompt=[0 | 1] セ ッ シ ョ ン が タ イ ム ア ウ ト し た 場合、 ユ ーザー に ク レ デ ン シ ャ ルを自動的に再度要求す るか指定 し ます。 デ フ ォ ル ト 値 は 1 ( 有効 ) です。 SilentIcon=[0 | 1] サイ レ ン ト モー ド の場合に、 デバイ スの [Today] ページの タ ス ク バー通知エ リ ア にア イ コ ン を表示す るかど う かを指定 し ま す。 デ フ ォ ル ト 値は 0 ( 無効 ) で す。 こ の設定は、 Dell SonicWALL テ ク ニ カ ル サポー ト に問い合わせた う え で使用 する こ と をお勧め し ます。 SilentTrust=[0 | 1] サイ レ ン ト モー ド の場合に、 有効だが信頼 さ れていない証明 書を受け付け るかど う かを指定 し ます。デ フ ォル ト 値は 0 ( 無 効 ) です。 こ の設定は、 Dell SonicWALL テ ク ニ カル サポー ト に問い合わせた う えで使用する こ と をお勧め し ます。 LogonRetries=number サイ レ ン ト モー ド の場合に、 ロ グオ ン失敗時の再試行回数の 上限を指定 し ます。 「-1」 を指定する と 、 再試行を無制限に続 行 し ま す。 デ フ ォ ル ト 値 は 3 で す。 こ の設定は、 Dell SonicWALL テ ク ニ カ ル サポー ト に問い合わせた う え で使用 する こ と をお勧め し ます。 LogonRetrySeconds=number サイ レ ン ト モー ド の場合に、 ロ グオ ン再試行の間隔を ( 秒単 位で ) 指定 し ます。 デ フ ォル ト 値は 5 です。 この設定は、 Dell SonicWALL テ ク ニ カ ル サポー ト に問い合わせた う え で使用 する こ と をお勧め し ます。 address 450 | Aventail E-Class SRA 10.7 管理者ガ イ ド サン プル cmsetup.ini フ ァ イ ル [Connectoid 1] ConnectionName="XYZ Company Network" VpnServer=64.94.142.134 LogonGroup=Partners Locale=AUTOMATIC AutoStart=0 Logging=0 SilentIcon=0 SilentTrust=0 ReAuthPrompt=1 LogonRetries=3 LogonRetrySeconds=5 Connect をサービ ス と し て実行する Connect Tunnel ク ラ イ ア ン ト は、 E-Class SRA の VPN ソ リ ュ ーシ ョ ンの Windows ク ラ イ ア ン ト コ ン ポー ネ ン ト で、 Web ベー ス と ク ラ イ ア ン ト / サーバー ア プ リ ケ ー シ ョ ン、 さ ら に Windows フ ァ イ ル共有に対 し て、 安全かつ認証済みア ク セ スが可能に な り ます。 サーバー環境では、 ア ド オ ン コ ン ポーネ ン ト の 「Connect Tunnel サー ビ ス」 を イ ン ス ト ール し て構成 し 、 ユーザーの操作な し で VPN 接続を自動的に開始で き ます。 ユーザーのロ グ イ ンは必 要な く 、 ユーザー イ ン タ ー フ ェ ースやア イ コ ン も 表示 さ れません。 例えば、 現場の リ モー ト シ ス テ ム と 本社の VPN で保護 さ れた フ ァ イ ル サーバー を 同期す る必要があ る と し ま す。 リ モー ト シ ス テム (Windows Server プ ラ ッ ト フ ォ ーム を実行 ) で、 Connect Tunnel サー ビ ス を特定 の時刻に実行 し 、 会社の フ ァ イ ル サーバーに接続 し て、 リ モー ト のデー タ ベース を本社のマ ス タ ー デー タ ベース と 同期す る よ う に構成で き ます。 Connect Tunnel は、 E-Class SRA ア プ ラ イ ア ン ス に接続す る前にダ イ ヤルア ッ プ接続を 確立す る機能を備え て い ます。 一方、 Connect Tunnel サー ビ ス では こ のオ プ シ ョ ン をサ ポー ト し て い ません。常時接続の非ダ イ ヤルア ッ プ ネ ッ ト ワー ク 接続が必要に な り ます。 メモ Connect Tunnel サービスのイ ンス ト ール Connect Tunnel サー ビ ス を使用す る場合は、Connect Tunnel と Connect Tunnel サー ビ スの両 方を イ ン ス ト ール し ます。 Connect Tunnel サー ビ ス を イ ン ス ト ール し て構成す る には 1. AMC の [Client Installation Packages] ページ ([Agent Configuration] > [Download]) で、 言 語 を 選 択 し て か ら Connect Tunnel (ngsetup_<xx>.exe) と Connect Tunnel サ ー ビ ス (ctssetup_<xx>.exe) の両方の イ ン ス ト ール パ ッ ケージ を ダウ ン ロ ー ド し ます。 2. 最初に Connect Tunnel (ngsetup_<xx>.exe) を イ ン ス ト ール し ま す。 [Aventail VPN Connection] と い う 名前のシ ョ ー ト カ ッ ト がデス ク ト ッ プ に作成 さ れます。 3. Connect Tunnel サー ビ ス (ctssetup_<xx>.exe) を イ ン ス ト ール し ます。 [Aventail VPN Service Options] と い う 名前のシ ョ ー ト カ ッ ト がデス ク ト ッ プ に作成 さ れます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 451 4. デス ク ト ッ プ で、[Aventail VPN Service Options] シ ョ ー ト カ ッ ト を ダ ブル ク リ ッ ク し ます。 ま た は、 コ ン ト ロ ー ル パ ネ ル の [Aventail VPN サ ー ビ ス ] を ダ ブ ル ク リ ッ ク し ま す。 [Aventail VPN サー ビ スのプ ロパテ ィ ] ダ イ ア ロ グ ボ ッ ク スが表示 さ れま す。 5. [VPN] タ ブ で、 次の設定を行い ま す。 設定 説明 [VPN 接続名 ] Connect ク ラ イ ア ン ト 接続オブ ジ ェ ク ト の名前を Windows の [ ネ ッ ト ワー ク 接続 ] ウ ィ ン ド ウ ([ ス タ ー ト | 接続 | すべての 接続の表示 ]) に表示 さ れる と お り に入力 し ます。 デ フ ォル ト で は、 この名前は E-Class SRA VPN Connection です。 [ ホス ト 名または IP ア ド レ ログ イ ンする E-Class SRA ア プ ラ イ ア ン スのホス ト 名または IP ス] ア ド レ ス を入力 し ます。 [ ロ グ イ ン グループ ] ログ イ ンする レルムの名前を入力 し ます。 [ ユーザー名 と パスワー ド ] こ の ロ グ イ ン グルー プ ( レルム ) 内のユーザーのク レデン シ ャ ルを入力 し ます。 6. [ サー ビ ス ] タ ブ で、 次の設定を行い ます。 設定 説明 [ 失敗 し た接続を再開する と 最初の接続に失敗 し た場合に再起動を試行する回数を指定 し ま す。 きの試行回数 ] [ 再試行する間隔 ] 452 | Aventail E-Class SRA 10.7 管理者ガ イ ド 再起動を試行する間隔を分単位で指定 し ます。 7. サー ビ ス を制御す る には、 [ 起動 ] お よ び [ 停止 ] ボ タ ン を ク リ ッ ク し ます。 8. Connect Tunnel が起動 し て い るかど う かを確認す る には、 デス ク ト ッ プの [E-Class SRA VPN Connection] シ ョ ー ト カ ッ ト を 開 き ま す。 確立 さ れて い る 接続が表示 さ れま す。 ま た は、 コ マ ン ド ラ イ ン で ipconfig コ マ ン ド を実行 し て、 VPN 接続の仮想 IP ア ド レ ス を取 得 し てい るか確認で き ます。 Windows サー ビ ス と ス ク リ プ ト のオ プ シ ョ ン Windows サー ビ ス を 使用 し て、 ロ ー カ ル ま た は リ モ ー ト の コ ン ピ ュ ー タ で Connect Tunnel サー ビ ス を管理で き ます。 Windows サー ビ ス を使 っ て Connect Tunnel サー ビ ス を構成お よ び実行す る には 1. Windows Server プ ラ ッ ト フ ォ ーム と Connect Tunnel サー ビ ス を実行 し て い る コ ン ピ ュ ー タ で、 Windows サー ビ ス を実行 し 、 [Aventail VPN サー ビ スのプ ロパテ ィ ] ダ イ ア ロ グ ボ ッ ク ス を開 き ます ([ コ ン ト ロ ール パネル ] > [ 管理ツ ール ] > [ サー ビ ス ] > [Aventail VPN サー ビ ス ])。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 453 2. こ れ ら の設定を使用 し て、 サー ビ ス を制御 ( 開始、 停止、 一時停止、 再開、 無効化 ) し た り 、 サー ビ ス で 障害が発生 し た場合の修復作業 を 設定 し た り 、 ハー ド ウ ェ ア プ ロ フ ァ イ ルの サー ビ ス を無効化 し ます。 コ マ ン ド ま たはス ク リ プ ト を使 っ て Connect Tunnel サー ビ ス を実行す る Windows の sc.exe ユー テ ィ リ テ ィ を使用す る と 、 コ マ ン ド プ ロ ン プ ト ま たはバ ッ チ フ ァ イ ル でサー ビ ス コ ン ト ロ ー ラ (services.exe) と 通信で き ます。 こ れに よ り 、 例えば、 VPN サー ビ ス の起動 と シ ャ ッ ト ダウ ン を自動化で き ます。 ま た、 ユーザーがシ ョ ー ト カ ッ ト を ク リ ッ ク し て ( ク レ デ ン シ ャ ルを意識 し な いで ) VPN 接続を開始で き る よ う に、 コ マ ン ド ま たはバ ッ チ フ ァ イ ルを起動す る シ ョ ー ト カ ッ ト を デス ク ト ッ プ に作成で き ます。 例えば、 次の コ マ ン ド は、 リ モー ト コ ン ピ ュ ー タ のサー ビ ス を起動ま たは停止 し ます。 sc \\SERVERNAME start ctssrv sc \\SERVERNAME stop ctssrv コ マ ン ド ラ イ ン ま たはサー ド パー テ ィ 製のア プ リ ケーシ ョ ンか ら Connect Tunnel サー ビ ス を 起動ま たは停止す る には、 次の コ マ ン ド を実行 し ます。 %windir%\system32\sc.exe start ctssrv %windir%\system32\sc.exe stop ctssrv ト ラ ブルシ ュ ーテ ィ ン グ Connect Tunnel サー ビ ス の実行に関連す る 情報、 警告、 エ ラ ー メ ッ セ ー ジ を 表示す る には、 Windows イ ベ ン ト ビ ュ ーア ([ コ ン ト ロ ール パネル ] > [ 管理ツ ール ] > [ イ ベ ン ト ビ ュ ーア ] > [ ア プ リ ケーシ ョ ン ] > [CTS]) を使用 し ます。 詳細な メ ッ セージは、 サー ビ スのロ グ で確認 し ま す。 こ のロ グのデ フ ォ ル ト の場所は次の と お り です。 %ALLUSERSPROFILE%\Application Data\E-Class SRA メモ ア ウ ト バン ド HTTP プ ロ キシ を使 っ て イ ン タ ーネ ッ ト に ア ク セ スす る環境では、 認証を 必要 と し な い プ ロ キシ を使用す る必要があ り ます。 そ う し な い と 、 Connect Tunnel サー ビ ス ロ グ フ ァ イ ル (ctssrv.log) に、 「Direct internet access is not available.」 ( イ ン タ ー ネ ッ ト に直接ア ク セ ス で き ません。 ) と い う エ ラ ー メ ッ セージが表示 さ れます。 ま た、 管 理者権限を持つ Windows ユーザー ア カ ウ ン ト で実行 さ れる よ う Connect Tunnel サー ビ ス を構成す る必要があ り ます。 詳 し く は 441 ページの 「 ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージ」 お よ びそれに続 く 項目に てサー ビ スの構成を行 っ て く だ さ い。 ユーザーに Aventail WorkPlace へのロ グ イ ン を求め る こ と な く 、Connect Tunnel ク ラ イ ア ン ト お よ び Connect Mobile のセ ッ ト ア ッ プ パ ッ ケージ を ネ ッ ト ワー ク 上 (Web サーバー、FTP サー バー、 フ ァ イ ル サーバーな ど ) か ら ユーザーに展開で き ます。 ま た、 Connect Tunnel ク ラ イ ア ン ト は、 Microsoft Systems Management Server (SMS) や IBM Tivoli Configuration Manager な どの構成管理ア プ リ ケーシ ョ ン を介 し てユーザーに イ ン ス ト ー ル パ ッ ケージ を送信で き るほか、 事前設定済みの Connect Tunnel の イ ン ス ト ールが含まれて い る デ ィ ス ク イ メ ージ を配布す る こ と も で き ます。 ク ラ イ ア ン ト の .ini フ ァ イ ルを構成 し た場合は、 フ ァ イ ルを セ ッ ト ア ッ プ プ ロ グ ラ ム と と も に 配布す る必要があ り ます ( セ ッ ト ア ッ プ プ ロ グ ラ ムのみを配布 し た場合、 ク ラ イ ア ン ト ではデ フ ォ ル ト の設定が使用 さ れます )。 Connect Tunnel のク ラ イ ア ン ト イ ンス ト ール パ ッ ケージの展開 454 | Aventail E-Class SRA 10.7 管理者ガ イ ド Connect Tunnel ク ラ イ ア ン ト は、 .exe フ ァ イ ル と し て イ ン ス ト ール で き る ほか、 Microsoft Installer (.msi) フ ァ イ ル と し ての配布や、 デ ィ ス ク イ メ ージの一部 と し ての配布が可能です。 Connect Tunnel ク ラ イ ア ン ト を .exe フ ァ イ ル と し て展開す る には ngsetup_<xx>.exe フ ァ イ ル を ユ ー ザ ー に 配 布 し ま す (<xx> は 選 択 し た 言 語 を 示 し ま す )。 ngsetup.ini フ ァ イ ルを変更 し た場合 (442 ページの 「Connect Tunnel ク ラ イ ア ン ト 用構成の カ ス タ マ イ ズ」 を参照 ) は、 こ の フ ァ イ ル も 一緒に配布 し ます。 こ の .ini フ ァ イ ル を読み込むに は、 次の コ マ ン ド を実行 し て、 コ マ ン ド ラ イ ン パ ラ メ ー タ と し て セ ッ ト ア ッ プ プ ロ グ ラ ムに渡 し ます。 ngsetup_<xx>.exe -f=<path>\<configuration file name> ユーザー側の手順を簡略化す る ために、 こ のパ ラ メ ー タ を指定 し て セ ッ ト ア ッ プ プ ロ グ ラ ム を 呼び出すバ ッ チ フ ァ イ ルを作成す る こ と も で き ます。 .msi フ ァ イ ルを使用 し て Connect Tunnel ク ラ イ ア ン ト を展開す る には .msi イ ン ス ト ール パ ッ ケージ と 変更 し た ngsetup.ini フ ァ イ ル ( こ の フ ァ イ ルを作成 し た場合 ) を展開す る よ う 、構成管理 ソ フ ト ウ ェ ア プ ロ グ ラ ム (Microsoft SMS や IBM Tivoli な ど ) を設定 し ます。 Connect Tunnel ク ラ イ ア ン ト を こ の方法で イ ン ス ト ールす る ( つ ま り 、 ngsetup_<xx>.exe を 実 行 し な い ) 場 合 は、 イ ン ス ト ー ル を ユ ー ザ ー ご と で は な く マ シ ン ご と に 実 行 す る よ う Windows Installer を設定す る必要があ り ます ( ユーザーご と の イ ン ス ト ールでは、 後に更新で 必要 と な る レ ジ ス ト リ エ ン ト リ が作成 さ れません )。 マ シ ン ご と に イ ン ス ト ールが実行 さ れる指定 し て、 イ ン ス ト ール後の MSI の更新がサポー ト さ れる よ う にす る には、 以下の手順を実行 し ます。 1. AMC の [Client Installation Packages] ページか ら ngsetup_<xx>.exe を ダウ ン ロ ー ド し 、 次の コ マ ン ド を 実行 し て イ ン ス ト ール フ ァ イ ル を 解凍 し ま す。 フ ァ イ ルの解凍先は現在の 作業デ ィ レ ク ト リ に な り ます (expand パ ラ メ ー タ で 「<path>」 を指定 し た場合を除 く )。 ngsetup_<xx>.exe -expand=<path> 2. 必要に応 じ て ngsetup.ini フ ァ イ ル を変更 し ます (442 ページの 「Connect Tunnel ク ラ イ ア ン ト 用構成の カ ス タ マ イ ズ」 を参照 )。 3. Windows Installer を実行す る ために、 以下の コ マ ン ド を入力 し ます。 msiexec.exe /i ngvpn.msi ALLUSERS=1 NGSETUP=1 CONFIGURATIONFILE=<path>\<.ini file name> Connect Tunnel ク ラ イ ア ン ト を デ ィ ス ク イ メ ージ と し て展開す る には デ ィ ス ク の ク ロ ー ンは、Windows オペ レ ーテ ィ ン グ シ ス テム と ア プ リ ケーシ ョ ン を配布す る た め の 一般 的 な 方 法 で す。 こ の 方法 で Connect Tunnel を 配 布 す る 場合 は、 Windows System Preparation Tool (Sysprep.exe) を 実行 し て複製用のデ ィ ス ク イ メ ー ジ を 作成す る 必要があ り ます。 Sysprep を使用 し な い と 、 コ ン ピ ュ ー タ のセキ ュ リ テ ィ ID (SID) が変更 さ れず、 Connect Tunnel の固有 ID が複製 さ れる ため、 IP ア ド レ スが競合 し ます。 デ ィ ス ク イ メ ージ を作成 し て 配布す る方法の概要を以下に示 し ます。 1. 参照元 と な る シ ス テムに Connect Tunnel for Windows を イ ン ス ト ール し 、 必要に応 じ た構 成を行い ます。 2. Windows System Preparation Tool を実行 し 、 コ ン ピ ュ ー タ を シ ャ ッ ト ダウ ン し ます。 3. サー ド パーテ ィ 製のア プ リ ケーシ ョ ン ま たはデ ィ ス ク 複製ツ ールを使用 し て、 マ ス タ ー デ ィ ス ク を複製 し ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 455 4. こ のデ ィ ス ク を配布先の コ ン ピ ュ ー タ に挿入す る と 、 ミ ニ セ ッ ト ア ッ プ に よ っ て、ユーザー に情報 ( コ ン ピ ュ ー タ 名な ど ) の入力を求める プ ロ ン プ ト が表示 さ れます。 こ の手順は 「応 答 フ ァ イ ル」 (sysprep.inf) を作成す る こ と で自動化で き ま す。 System Preparation Tool の 使用については、 以下の Microsoft の Web サ イ ト を参照 し て く だ さ い。 http://support.microsoft.com/kb/302577 Connect Mobile のク ラ イ アン ト イ ンス ト ール パ ッ ケージの展開 Connect Mobile ク ラ イ ア ン ト は、 Windows Mobile 搭載のデバ イ ス上で稼働 し ます。 ク ラ イ ア ン ト を イ ン ス ト ールす る には、 ActiveSync を使用 し て、 シ リ アル接続、 USB 接続、 ま たはネ ッ ト ワー ク 接続のいずれかを介 し て モバ イ ル デバ イ ス を Windows デス ク ト ッ プ コ ン ピ ュ ー タ と 同期 し ます。 ActiveSync が イ ン ス ト ール さ れてい る状態で モバ イ ル デバ イ ス を接続す る と 、 デ ス ク ト ッ プの イ ン ス ト ール プ ロ グ ラ ムがア プ リ ケ ー シ ョ ン フ ァ イ ル を コ ピ ー し て初期設定 を 行い ます。 イ ン ス ト ールの完了後、 モバ イ ル デバ イ ス を取 り 外 し 、 イ ン タ ーネ ッ ト サー ビ ス プ ロバ イ ダに接続 し て VPN を使用で き ます。 Connect Mobile を .exe フ ァ イ ル と し て展開す る には cmsetup.exe フ ァ イ ル を ユ ーザー に 配布 し ま す。 cmsetup.ini フ ァ イ ル を 変更 し た 場合 (448 ページの 「Connect Mobile ク ラ イ ア ン ト 構成の カ ス タ マ イ ズ」 を参照 ) は、 こ の フ ァ イ ル も 一 緒に配布 し ま す。 .ini フ ァ イ ル を 読み込みには、 フ ァ イ ル を .exe フ ァ イ ル プ ロ グ ラ ム と 同 じ フ ォ ルダに配置 し て、 ユーザーに実行 フ ァ イ ルを実行 さ せます。 .ini フ ァ イ ルが別の フ ォ ルダに 保存 さ れてい る場合は、 次のよ う に、 コ マ ン ド ラ イ ン パ ラ メ ー タ と し て セ ッ ト ア ッ プ プ ロ グ ラ ムに渡 し ます。 cmsetup.exe -install=z:\yourcompany.com\E-Class SRA_apps\ini\cmsetup.ini メモ ActiveSync イ ン ス ト ー ラ では通常、 外部ス ト レ ージ カ ー ド 上に プ ロ グ ラ ム を イ ン ス ト ー ルす る オ プ シ ョ ンが表示 さ れます。 Connect Mobile では こ のオ プ シ ョ ン を選択 し な いで く だ さ い。 外部ス ト レ ージ カ ー ド 上に イ ン ス ト ールす る と 、 デバ イ スの起動時に フ ァ イ ル シ ス テム ア ク セ ス エ ラ ーが発生 し ます。 ネ ッ ト ワー ク ト ンネル ク ラ イ ア ン ト のブ ラ ン ド Connect Tunnel のユーザー イ ン タ ー フ ェ ース では、 カ ス タ ム ブ ラ ン ド を利用で き ます。 こ の 機能 を 利用 し て、 企業は Connect Tunnel のウ ィ ン ド ウに表示 さ れ る Dell SonicWALL お よ び Aventail E-Class SRA のブ ラ ン ド を、 独自の企業名 と ロ ゴ に変更で き ます。 Connect Tunnel の ブ ラ ン ド は、 Windows、 Mac OS X、 お よ び Linux プ ラ ッ ト フ ォ ーム上で利用で き 、 ア プ ラ イ ア ン ス ご と に設定で き ます。 カ ス タ マ イ ズ し た ブ ラ ン ド 用画像 と ガ イ ド ラ イ ン を ア ッ プ ロ ー ド す る には 456 | Aventail E-Class SRA 10.7 管理者ガ イ ド 1. メ イ ンのナ ビ ゲーシ ョ ン メ ニ ュ ーで [Agent Configuration] を選択 し 、 [Network Tunnel client branding] の横にあ る [Configure] を ク リ ッ ク し ます。 2. [Default branding package] の横にあ る [Download] を ク リ ッ ク し 、 ダウ ン ロ ー ド 先を選択 し ます。 3. [OK] を ク リ ッ ク し て [Configure custom branding package] ページ に戻 り ます。 4. ダ ウ ン ロ ー ド し た フ ァ イ ル を 解 凍 し ま す。 こ の フ ァ イ ル に は、 各 プ ラ ッ ト フ ォ ー ム (Windows、 Linux、 お よ び Mac) 用の ブ ラ ン ド フ ァ イ ル の フ ォ ル ダ が 含 ま れ て い ま す。 README.txt を 参照 し て デ フ ォ ル ト の フ ァ イ ル を カ ス タ ムのブ ラ ン ド フ ァ イ ルで置 き 換え てか ら 、 フ ァ イ ルを ZIP 形式で圧縮 し ます。 5. [Configure custom branding package] ページ で、 [Browse] ボ タ ン を ク リ ッ ク し て カ ス タ ム のブ ラ ン ド フ ァ イ ルが含まれてい る ZIP フ ァ イ ルを選択 し ます。 6. フ ァ イ ルを保存 し た後で、 [Save] を ク リ ッ ク し ます。 すべての Connect Tunnel ウ ィ ン ド ウ と ア イ コ ンが、 カ ス タ ムのブ ラ ン ド に更新 さ れます。 OnDemand プ ロキシ エージ ェ ン ト OnDemand プ ロ キシ エージ ェ ン ト は、 TCP/IP リ ソ ースへのア ク セ ス を提供す る、 安全で軽量 な エージ ェ ン ト です。 ロ ー カ ルのループバ ッ ク プ ロ キシ を使用 し 、 AMC に定義 さ れたルー テ ィ ン グ デ ィ レ ク テ ィ ブ に従 っ て、 保護 さ れたネ ッ ト ワー ク リ ソ ース に通信を リ ダ イ レ ク ト し ます (UDP ア プ リ ケーシ ョ ンはサポー ト さ れて い ません )。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 457 OnDemand プ ロ キシ エージ ェ ン ト は、 OnDemand Tunnel エージ ェ ン ト ほど効果的にはス ケー ル し ない こ と に注意 し て く だ さ い。 OnDemand プ ロ キシ エージ ェ ン ト を広範な VPN エージ ェ ン ト と し て使用す る こ と はお勧め し ま せん。 そのため WorkPlace 経由での特定の ア プ リ ケ ー シ ョ ンへのア ク セ ス用 と し て く だ さ い。 WorkPlace ポー タ ル経由で ア プ リ ケーシ ョ ンへの広範 な ア ク セ ス ( 同時接続ユーザー数 500 超 ) を提供す る よ う な ケース では、 OnDemand Tunnel エージ ェ ン ト を展開す る こ と を お勧め し ます。OnDemand Tunnel を イ ン ス ト ールで き な い場合 ( 管理者権限関連の問題が原因の場合な ど ) は、 OnDemand プ ロ キシ を OnDemand Tunnel の 代替 と し て使用で き ます。 そのよ う な シ ナ リ オ では、 単一の コ ミ ュ ニ テ ィ に OnDemand Tunnel と OnDemand プ ロ キシの両方を構成 し ます。 こ のセ ク シ ョ ン では、 OnDemand の概要 と その構成お よ び展開方法について説明 し ます。 概要 :OnDemand プ ロキシ OnDemand プ ロ キシはループバ ッ ク ベースのプ ロ キシ ソ リ ュ ーシ ョ ン で、 ク ラ イ ア ン ト ア プ リ ケーシ ョ ン と ア プ リ ケーシ ョ ン サーバー と の間の通信を保護 し ます。 以下の図に接続シーケ ン ス を示 し ます。 1. ユーザーが WorkPlace に ロ グ イ ン す る と 自動的に OnDemand が起動。 2. OnDemand は WorkPlace ウ ィ ン ド ウ内で実行。 3. OnDemand がロ ー カ ルのループバ ッ ク ア ド レ ス (127.0.0.1) で ア プ リ ケーシ ョ ンの要求を 待機 し 、 ト ラ フ ィ ッ ク を Web プ ロ キシ サー ビ スに リ ダ イ レ ク ト 。 4. Web プ ロ キシ サー ビ スが、 ア プ リ ケーシ ョ ンの求め る ポー ト を使用 し て、 ア プ リ ケーシ ョ ン サーバーへの ト ラ フ ィ ッ ク を プ ロ キシ。 5. ア プ リ ケーシ ョ ン サーバーがア プ リ ケーシ ョ ンの ト ラ フ ィ ッ ク を Web プ ロ キシ サー ビ ス に送信。 6. Web プ ロ キシ サー ビ スがア プ リ ケーシ ョ ンの ト ラ フ ィ ッ ク を OnDemand OnDemand は こ の ト ラ フ ィ ッ ク を ク ラ イ ア ン ト ア プ リ ケーシ ョ ン に渡す。 458 | Aventail E-Class SRA 10.7 管理者ガ イ ド に送信。 OnDemand では、 動的にポー ト を定義す る ア プ リ ケーシ ョ ン を含め、 1 つ ま たは複数のポー ト を 使用す る TCP ア プ リ ケー シ ョ ン を サポー ト し て い ま す (UDP ベー スのア プ リ ケー シ ョ ン は サポー ト し てい ません )。 OnDemand を使用 し て一般的に ア ク セ ス さ れる ア プ リ ケーシ ョ ン を 以下に示 し ます。 ア プ リ ケーシ ョ ン 例 常駐 ク ラ イ ア ン ト / サーバー イ ン タ ーネ ッ ト メ ール ア プ リ ケーシ ョ ン : • Microsoft Outlook 通常、こ れ らの ク ラ イ ア ン ト ア プ リ • Outlook Express ケ ー シ ョ ン は ロ ー カ ルの ク ラ イ ア ン ト コ ン ピ ュ ー タ 上に イ ン ス ト ー • Lotus Notes ル さ れます。 • Netscape Mail • Eudora タ ー ミ ナル エ ミ ュ レーシ ョ ン ア プ リ ケーシ ョ ン : • WRQ Reflection • NetManage RUMBA PC-to-Host リ モー ト オ フ ィ ス接続ア プ リ ケーシ ョ ン : • Citrix ICA/XenApp • Microsoft Windows Terminal Services デ フ ォ ル ト では、 OnDemand はユーザーが WorkPlace へ接続す る と 自動的に起動す る よ う 構 成 さ れて い ま す。 パ フ ォ ー マ ン ス を 最適化す る た めに、 OnDemand は初回 ア ク セ ス時に ユー ザーの コ ン ピ ュ ー タ に イ ン ス ト ール さ れま す。 こ れに よ り 、 ユーザーが繰 り 返 し 使用す る 場合 で も ダウ ン ロ ー ド を最小限に抑え ら れます。 OnDemand マ ッ プ モー ド デ フ ォ ル ト では、 OnDemand はユーザーが WorkPlace に ロ グ イ ン す る と 自動的に起動 し ます。 マ ッ プ モー ド を使用す る と 、 ユーザーは特定のア プ リ ケーシ ョ ン用に構成 さ れた シ ョ ー ト カ ッ ト を ク リ ッ ク で き ま す。 オ プ シ ョ ン で、 ユーザーがシ ョ ー ト カ ッ ト を ク リ ッ ク し た際に特定の Web URL を自動的に開 く よ う 、 OnDemand を構成で き ま す。 こ れは、 OnDemand の実行時に ア プ リ ケーシ ョ ン ( シ ン ク ラ イ ア ン ト ア プ リ ケーシ ョ ン な ど ) を起動す る場合に便利です。 特 定のア プ リ ケーシ ョ ンへのシ ョ ー ト カ ッ ト は手動で作成す る必要があ り ます。マ ッ プ モー ド は、 Windows、 Macintosh、 お よ び Linux プ ラ ッ ト フ ォ ームでサポー ト さ れて い ます。 Windows PC では、 ユーザーが初めて WorkPlace に ロ グ イ ン す る と 、 WorkPlace が自動的にそ のユーザーの コ ン ピ ュ ー タ に OnDemand を ダ ウ ン ロ ー ド し て イ ン ス ト ール し 、 起動 し ま す ( ユーザーの属す る コ ミ ュ ニ テ ィ がその よ う に処理 を 行 う よ う 構成 さ れて い る こ と が前提 と な り ます )。 WorkPlace へのそれ以降のロ グ イ ン時には、 WorkPlace が自動的に OnDemand を起動 し ます。 OnDemand のア ク テ ィ ブ化 デ フ ォ ル ト では、 OnDemand が有効に な っ て い る場合、 OnDemand はユーザーが WorkPlace に ロ グ イ ン す る と 自動的に起動 し 、 WorkPlace ウ ィ ン ド ウ内で稼働 し ま す。 こ の組み込みモー ド で OnDemand を使用 し て い る間、 ユーザーは WorkPlace ウ ィ ン ド ウ を開いた ま ま に し て お く 必要があ り ます。 メモ • ユーザーは OnDemand ウ ィ ン ド ウか ら ア プ リ ケーシ ョ ン を起動す る こ と はで き ません。 ユーザーの OnDemand 起動時に自動的に開 く URL が構成 さ れて い る場合を除 き 、 ユー ザーは通常 と 同 じ よ う に ア プ リ ケーシ ョ ン を手動で起動す る必要があ り ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 459 • ユーザーは、パー ソ ナル フ ァ イ ア ウ ォ ール を構成 し て OnDemand の ト ラ フ ィ ッ ク を許可す る こ と が必要 と な る場合があ り ます。 OnDemand によ るネ ッ ト ワー ク ト ラ フ ィ ッ クの リ ダ イ レ ク ト の仕組 み OnDemand で は ロ ー カ ルのルー プ バ ッ ク ア ド レ ス を 使用 し て、 ア プ ラ イ ア ン ス 経由 で ト ラ フ ィ ッ ク を リ ダ イ レ ク ト し て保護 し ます。 こ のセ ク シ ョ ン では、 ルー プバ ッ ク プ ロ キシの概要 と さ ま ざ ま な リ ダ イ レ ク ト 方法について説明 し ます。 概要 : ループバ ッ ク プ ロキシ OnDemand ではロ ー カ ルのルー プバ ッ ク プ ロ キシ を使用 し て、 Web プ ロ キシ サー ビ ス経由で ア プ リ ケ ー シ ョ ン の ト ラ フ ィ ッ ク を 安全に送信 し ま す。 例 え ば、 ア プ ラ イ ア ン ス に接続 し て Citrix ア プ リ ケーシ ョ ン を実行 し たい Windows ユーザーがい る と し ます。 1. ユーザーが WorkPlace に ロ グ イ ン し 、 自動的に OnDemand が起動 し ます。 2. OnDemand がロ ー カ ルのルー プバ ッ ク ア ド レ ス を Citrix サーバーのホ ス ト 名に動的に マ ッ プ し ます。 3. ユーザーが Citrix ア プ リ ケーシ ョ ン を起動 し ます。 こ のア プ リ ケーシ ョ ンは citrix.example.com への接続を試行 し ます。OnDemand が Citrix のホ ス ト 名を 127.0.0.1 に 解決 し 、 ト ラ フ ィ ッ ク を Web プ ロ キシ サー ビ スにルーテ ィ ン グ し ます。 4. OnDemand が SSL を使用 し て Citrix の ト ラ フ ィ ッ ク を暗号化 し 、 E-Class SRA ア プ ラ イ ア ン スへ安全にルー テ ィ ン グ し ま す。 ト ラ フ ィ ッ ク は こ のア プ ラ イ ア ン ス に よ っ て Citrix サーバーに転送 さ れます。 5. Citrix サーバーが応答 し 、 E-Class SRA ア プ ラ イ ア ン ス経由でデー タ を戻 し ます。 6. ア プ ラ イ ア ン スが応答を OnDemand に転送 し ます (SSL を使用 )。 7. OnDemand が情報を Citrix ア プ リ ケーシ ョ ン に転送 し ます。 hosts フ ァ イルによ る リ ダ イ レ ク ト ト ラ フ ィ ッ ク を送信先のサーバーに リ ダ イ レ ク ト す る には、ユーザーの コ ン ピ ュ ー タ 上の hosts フ ァ イ ルを変更 し ます。 こ の リ ダ イ レ ク ト 方法は、 Windows、 Macintosh、 お よ び Linux プ ラ ッ ト フ ォ ームでサポー ト さ れます ( ユーザーがロ ー カ ル コ ン ピ ュ ー タ の管理者権限を有 し て い る 場合 )。 ユーザーの シ ス テ ム上の hosts フ ァ イ ル を 変更 し て、 送信先のサーバー を ロ ー カ ルのルー プ バ ッ ク ア ド レ スに マ ッ プ し ます。ア プ リ ケーシ ョ ンがホ ス ト 名の解決を試行す る と 、ト ラ フ ィ ッ ク は OnDemand が監視 し てい るループバ ッ ク ア ド レ ス に リ ダ イ レ ク ト さ れま す。 以下に、一般的な hosts フ ァ イ ル ( ホ ス ト 名が IP ア ド レ スに マ ッ プ さ れてい る ) と 、OnDemand 用に変更 さ れた hosts フ ァ イ ルの例を示 し ます。 OnDemand 用の hosts フ ァ イ ルでは、 ホ ス ト 名が、 ホ ス ト の IP ア ド レ ス ではな く 、 ロ ー カ ルのループバ ッ ク ア ド レ ス に マ ッ プ さ れて い る こ と に注目 し て く だ さ い。 ア プ リ ケーシ ョ ン固有の構成では、 こ れ ら のループバ ッ ク ア ド レ ス を、 AMC での OnDemand の構成時に指定 し た ア ド レ スに対応付け ます。詳細については、461 ペー ジの 「特定のア プ リ ケーシ ョ ン に ア ク セ スす る よ う OnDemand を構成す る」 を参照 し て く だ さ い。 一般的な Hosts フ ァ イル 192.168.1.135 telnet.example.com telnet 192.168.1.140 mailhost.example.com mail 192.168.1.143 citrix.example.com citrix 460 | Aventail E-Class SRA 10.7 管理者ガ イ ド OnDemand 用の Hosts フ ァ イル 127.0.0.1 telnet.example.com telnet 127.0.0.1 mailhost.example.com mail 127.0.0.1 citrix.example.com citrix 特定のアプ リ ケーシ ョ ンにア ク セスする よ う OnDemand を構成する Windows 以外の プ ラ ッ ト フ ォ ームのユーザー に OnDemand を 展開す る 場合や、 ユーザーが OnDemand を立ち上げた際に自動的に URL 起動機能を使用 し て シ ン ク ラ イ ア ン ト ア プ リ ケー シ ョ ン を起動 さ せたい場合には、 AMC で ア プ リ ケーシ ョ ン固有の構成を定義す る必要があ り ま す。 こ の作業には、 「ポー ト マ ッ ピ ン グ」 と 呼ばれる、 ク ラ イ ア ン ト と サーバーのポー ト 番号の マ ッ ピ ン グが含まれます。 概要 : ポー ト マ ッ ピ ング 特定のア プ リ ケーシ ョ ンの ト ラ フ ィ ッ ク を リ ダ イ レ ク ト す る よ う OnDemand を構成す る には、 そのア プ リ ケーシ ョ ンが ク ラ イ ア ン ト と サーバーで使用 し て い る ポー ト 番号を調べて、 AMC で それ ら のポー ト を マ ッ ピ ン グす る必要があ り ます。 OnDemand は ク ラ イ ア ン ト 上で特定のポー ト の要求の受信 を 監視 し て それ ら を ア プ ラ イ ア ン ス に プ ロ キ シ し 、 こ のア プ ラ イ ア ン スが情報 を ア プ リ ケーシ ョ ン サーバーの IP ア ド レ ス と ポー ト に転送 し ます。 例えば、 ク ラ イ ア ン ト の IP ア ド レ ス と ポー ト (127.0.1.1:23 な ど ) を、 送信先サーバーのホ ス ト ま たは IP ア ド レ ス と ポー ト (telneta.example.com:23) に対 し て構成 し ます。 一部のア プ リ ケーシ ョ ン ( 電子 メ ールな ど ) では、異な る複数のプ ロ ト コ ル用に複数のポー ト を 使用 し ます。 こ の場合は、 該当す る複数のポー ト を監視す る よ う OnDemand を構成す る必要が あ り ます。 こ の構成は、 異な る複数のア プ リ ケーシ ョ ン を使用す る よ う OnDemand を構成す る 場合に も 便利です。 以下の例では、 異な る 5 個のポー ト を使用す る 3 つのア プ リ ケーシ ョ ンが 構成 さ れた OnDemand を示 し てい ます。 こ の例では、 OnDemand はポー ト 23 で telnet を監視 し 、 ポー ト 1494 で Citrix を監視す る よ う 構成 さ れてい ます。 電子 メ ールについては、 ポー ト 25 (SMTP)、 ポー ト 110 (POP3)、 お よ び ポー ト 143 (IMAP) で要求を監視 し て い ます。 OnDemand で使用する アプ リ ケーシ ョ ンの構成 ア プ リ ケー シ ョ ン を 構成す る には、 そのア プ リ ケー シ ョ ン がそれぞれのサー ビ ス ご と に使用 し てい る プ ロ ト コ ルを調べて、 ク ラ イ ア ン ト の ソ ース ア ド レ ス と ポー ト を、 送信先ホ ス ト のア ド レ ス と ポー ト に マ ッ ピ ン グす る必要があ り ま す。 ま た、 URL を 指定 し て Web ページ を 開 く こ と も で き ます。 こ れは、 ユーザーが OnDemand を起動 し た際に自動的に ア プ リ ケーシ ョ ン を起 動 さ せる場合に便利です。 OnDemand で使用す る ア プ リ ケーシ ョ ン を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Agent Configuration] を ク リ ッ ク し ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 461 2. [E-Class SRA OnDemand] エ リ アの [E-Class SRA access agents] で、[Edit] を ク リ ッ ク し ます。 [Configure OnDemand] ページが表示 さ れま す。 3. [Mapped mode] エ リ ア で、 [New] を ク リ ッ ク し ます。 4. [Application name] ボ ッ ク ス に、 ア プ リ ケーシ ョ ン に用い る名前を入力 し ます。 こ の名前 は Aventail WorkPlace でユーザーに表示 さ れます。 短 く 分か り やすい名前を使用 し て く だ さ い。 5. [Description] ボ ッ ク ス に、 ア プ リ ケーシ ョ ン についての分か り やすい コ メ ン ト を入力 し ま す。 6. [Add mapping] エ リ ア で、 ア プ リ ケーシ ョ ン で使用す る各サー ビ ス を構成 し ます。 a. [Destination resource] ボ ッ ク スの横の [Edit] ボ タ ン を ク リ ッ ク し 、 構成す る ネ ッ ト ワー ク リ ソ ース を選択 し てか ら 、 [Save] を ク リ ッ ク し ます。 ま たは、 [Resources] ダ イ ア ロ グ ボ ッ ク スの [New Resource] ボ タ ン を ク リ ッ ク し て、 新 し いネ ッ ト ワー ク リ ソ ース を作成す る こ と も で き ます。 b. IP ア ド レ ス / ポー ト の組み合わせが他のサー ビ ス と 競合す る場合は、 [Local host] ボ ッ ク ス に表示 さ れて い る IP ア ド レ ス を 変更す るか、 後出の説明に従 っ てポー ト を マ ッ プ す る こ と がで き ます。 [Local host] の値は、 ア ド レ ス空間 127.x.y.z 内の任意の IP ア ド レ ス に変更で き ます。 c. [Service type] リ ス ト で、ア プ リ ケーシ ョ ンが使用す るサー ビ スの タ イ プ を選択 し ます。 こ れに よ り 、 [Destination/local ports] ボ ッ ク ス に、 そのサー ビ ス用の一般的なポー ト が自動的に入力 さ れます。 サー ビ スの使用す る ポー ト が送信先 と ロ ー カ ル と で異な る場 合は、必要に応 じ て [Destination/local ports] ボ ッ ク スの情報を編集 し てポー ト を互い に マ ッ ピ ン グ し ます。 d. [Add to Current Mapping] を ク リ ッ ク し ます。 [Current mapping] リ ス ト に マ ッ ピ ン グが追加 さ れます。 462 | Aventail E-Class SRA 10.7 管理者ガ イ ド 7. ア プ リ ケーシ ョ ンが複数のサー ビ ス を使用す る場合は、 手順 6 を繰 り 返 し て各サー ビ ス を 構成 し ま す。 ほ と ん どのア プ リ ケー シ ョ ン では使用す る サー ビ スは 1 つのみですが、 一部 のア プ リ ケーシ ョ ン ( 電子 メ ールな ど ) では複数のプ ロ ト コ ルを使用す る ため、 複数のサー ビ ス を必要 と し ます。 8. [Create shortcut on Aventail WorkPlace] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 • OnDemand で Web ページ を自動的に開 く ( シ ン ク ラ イ ア ン ト ア プ リ ケーシ ョ ン を自 動的に起動す る場合に便利です ) 場合は、 そのページの URL を [Start an application by launching this URL] ボ ッ ク ス に入力 し ます。 http:// ま たは https:// のいずれかのプ ロ ト コ ル識別子を指定す る必要があ り ます。 指定 し た URL は、 OnDemand が読み込ま れた後に新 し い ブ ラ ウザ ウ ィ ン ド ウ で自動的に開 き ます。 • WorkPlace におい て、グルー プ を設定 し てユーザー向けの リ ソ ース を ま と め る こ と がで き るほか、 各シ ョ ー ト カ ッ ト を個別に表示す る こ と も で き ます。 [Add this shortcut to group] リ ス ト で、 シ ョ ー ト カ ッ ト の追加先にす る 新規ま たは既存のグルー プ を 選択 し ます。 シ ョ ー ト カ ッ ト を個別に表示す る場合は、 [Standalone shortcuts] を選択 し ます ( シ ョ ー ト カ ッ ト の表示順序は [Configure WorkPlace Layout] ページ で変更で き ます。 詳細については、 417 ページの 「WorkPlace レ イ ア ウ ト の作成ま たは編集」 を参照 し て く だ さ い )。 メモ [Create shortcut on Aventail WorkPlace] オ プ シ ョ ンは、 最初の構成時以降は [Mapped Mode] ページ でのみ表示で き ます。 こ のページ で オ プ シ ョ ン を編集す る こ と はで き ません。 こ の設定 を最初に構成 し た後、 シ ョ ー ト カ ッ ト は AMC の [Shortcuts] ページ で管理 し ます。 詳細につい ては、 392 ページの 「WorkPlace シ ョ ー ト カ ッ ト についての作業」 を参照 し て く だ さ い。 OnDemand の詳細オプシ ョ ンの構成 こ のセ ク シ ョ ン では、 ア プ ラ イ ア ン スの外部 IP ア ド レ ス を使用 し て ア プ ラ イ ア ン ス に ア ク セ ス す る方法、 お よ び OnDemand ロ グにデバ ッ グ メ ッ セージ を追加す る方法につい て説明 し ます。 アプ ラ イ アンスの外部 IP ア ド レス を使用し てアプ ラ イ アンスにア ク セスする デ フ ォ ル ト では、 OnDemand はア プ ラ イ ア ン スの SSL 証明書に含まれてい る FQDN を使用 し て ア プ ラ イ ア ン ス に ア ク セ ス し ます。 こ れは実稼働環境 (FQDN がパブ リ ッ ク DNS に追加 さ れ る ) では機能 し ますが、 テ ス ト 環境では次のよ う な理由か ら 問題が生 じ る可能性があ り ます。 ア プ ラ イ ア ン スの FQDN が DNS に追加 さ れてい ない。 環境で ネ ッ ト ワー ク ア ド レ ス変換 (NAT) を使用 し てい る ため、外部 IP ア ド レ スがア プ ラ イ ア ン ス上の外部ネ ッ ト ワー ク ア ド レ ス と 一致 し ない。 い ず れ の 場 合 も 、 外 部 ネ ッ ト ワ ー ク イ ン タ ー フ ェ ー ス の IP ア ド レ ス を 使 用 す る よ う OnDemand を構成す る必要があ り ます。 • • ア プ ラ イ ア ン スの外部 IP ア ド レ ス を使用す る よ う OnDemand を構成す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Agent Configuration] を ク リ ッ ク し ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 463 2. [E-Class SRA access agents] エ リ ア で、 [E-Class SRA OnDemand] の右の [Edit] を ク リ ッ ク し ます。 [Configure OnDemand] ページが表示 さ れま す。 3. [Advanced] エ リ ア を ク リ ッ ク し て展開 し 、[Appliance FQDN or IP address] ボ ッ ク ス に、 外部ネ ッ ト ワー ク イ ン タ ー フ ェ ースの IP ア ド レ ス を入力 し ます。 ア プ ラ イ ア ン ス を実稼働へ移行す る 前に、 こ の値に ア プ ラ イ ア ン スの SSL 証明書の FQDN が 含まれてい る こ と を確認 し ます。ア プ ラ イ ア ン スの SSL 証明書を更新す る たびに、AMC に よ っ て こ の フ ィ ール ド に FQDN が自動的に挿入 さ れます ( 以前に指定 さ れた値はすべて上書 き さ れ ます )。 ユーザーが初めて OnDemand を起動す る と 、 OnDemand の実行許可を求め る セキ ュ リ テ ィ 警 告が Web ブ ラ ウザに表示 さ れます。 ブ ラ ウザの構成については、 464 ページの 「Java セキ ュ リ テ ィ 警告の抑制」 を参照 し て く だ さ い。 OnDemand ログへのデバ ッ グ メ ッ セージの追加 通常、 OnDemand のロ グには、 情報 メ ッ セージ と 警告 メ ッ セージのみが記録 さ れます。 デバ ッ グ メ ッ セ ー ジ も ロ グ に記録で き ま す。 た だ し 、 デバ ッ グ メ ッ セ ー ジの記録は ト ラ ブルシ ュ ー テ ィ ン グ時のみ と し て く だ さ い ( そのよ う に し な い場合、 ロ グ フ ァ イ ルのサ イ ズが非常に大 き く な り ます )。 OnDemand ロ グにデバ ッ グ メ ッ セージ を追加す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Agent Configuration] を ク リ ッ ク し ます。 2. [E-Class SRA access agents] エ リ ア で、 [E-Class SRA OnDemand] の右の [Edit] を ク リ ッ ク し ます。 [Configure OnDemand] ページが表示 さ れま す。 3. [Advanced] エ リ ア を ク リ ッ ク し て展開 し 、 [Enable debug OnDemand log messages] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 ク ラ イ ア ン ト の構成 こ のセ ク シ ョ ン では、 OnDemand の利用において役立つ ク ラ イ ア ン ト 側の構成について説明 し ます。 Java セキュ リ テ ィ 警告の抑制 OnDemand の起動時に、 OnDemand の実行許可を求め る セキ ュ リ テ ィ 警告が Web ブ ラ ウザに 表示 さ れます。 オペ レ ーテ ィ ン グ シ ス テム と ブ ラ ウザに応 じ て、 さ ま ざ ま な警告が表示 さ れま す。 ユーザーは、 OnDemand を起動す る には こ の証明書を受け入れる必要があ り ます。 OnDemand には、 ア プ レ ッ ト の有効性を保証す る Java コ ー ド サ イ ニ ン グ証明書が含まれて い ます。 Windows お よ び Mac OS X の場合、 こ の証明書には Thawte の Class 3 Digital ID が含 まれてい ます。 こ の ID は商用 ソ フ ト ウ ェ アの発行者に よ り 広 く 利用 さ れてい ます。 OnDemand の起動時に毎回セキ ュ リ テ ィ のプ ロ ン プ ト が表示 さ れな い よ う にす る ために、 ユー ザーは自身のシ ス テムで E-Class SRA の証明書を信頼す る よ う 構成で き ます。 一度 こ の構成を 行えば、 ブ ラ ウザはそれ以降 E-Class SRA か ら ダウ ン ロ ー ド さ れる すべての ソ フ ト ウ ェ ア を信 頼 し ます。 Web ブ ラ ウザでのプ ロキシ サーバーの構成 プ ロ キシ サーバー を介 し て ア ウ ト バン ド 接続を渡す際、 OnDemand では Web ブ ラ ウザの設定 を使用 し て プ ロ キシ サーバーのア ド レ ス と ポー ト を判別 し ます。 こ の構成を行 う には、 ア ウ ト バン ド プ ロ キシ サーバーのア ド レ ス と ポー ト を指定す るか、 プ ロ キシの自動検出を有効にす る かのいずれかの方法で、 ユーザーが自身の Web ブ ラ ウザを構成す る必要があ り ます。 464 | Aventail E-Class SRA 10.7 管理者ガ イ ド ユ ー ザ ー が 自 動 プ ロ キ シ 検 出 と 手 動 で の プ ロ キ シ 識 別 の 両 方 を 有 効 に し て い る 場 合、 OnDemand は次の順序で プ ロ キシ サーバーの設定を チ ェ ッ ク し ます。 1. [ 設定 を自動的に検出す る ] オ プ シ ョ ンが有効に な っ てい る場合、 OnDemand はプ ロ キシ サーバーの設定の自動検出を試行 し ます。 2. プ ロ キシ サーバーの設定 を自動検出で き ない場合、 OnDemand は [ 自動構成ス ク リ プ ト を 使用す る ] オ プ シ ョ ンが有効に な っ てい るかど う かを チ ェ ッ ク し ます。 3. 構成ス ク リ プ ト に よ る プ ロ キシ サーバーの設定を検出で き ない場合、 OnDemand はユー ザーが手動で指定 し た プ ロ キシ サーバーの設定を使用 し ます。 Windows 版 Internet Explorer で プ ロ キシの自動検出を構成す る には 1. [ ツ ール ] メ ニ ュ ーの [ イ ン タ ーネ ッ ト オ プ シ ョ ン ] を ク リ ッ ク し ます。 2. [ 接続 ] タ ブ で [LAN の設定 ] を ク リ ッ ク し ます。 3. [ 自動構成 ] 内で、 次のいずれかま たは両方のオ プ シ ョ ン を有効に し ます。 • プ ロ キシ サーバーの設定を自動検出す る には、[設定を自動的に検出す る ] チ ェ ッ ク ボ ッ ク ス を選択 し ます ( こ のオ プ シ ョ ンは、 Microsoft Virtual Machine が含まれた Internet Explorer を実行 し てい る ユーザーでのみサポー ト さ れます )。 • 構成 フ ァ イ ルに含まれて い る構成情報を使用す る には、[自動構成ス ク リ プ ト を使用す る ] チ ェ ッ ク ボ ッ ク ス を選択 し 、 [ ア ド レ ス ] ボ ッ ク ス に構成 フ ァ イ ルの URL ま たはパス を入力 し ます。 Windows 版 Internet Explorer で プ ロ キシ サーバーの設定を手動で指定す る には 1. [ ツ ール ] メ ニ ュ ーの [ イ ン タ ーネ ッ ト オ プ シ ョ ン ] を ク リ ッ ク し ます。 2. [ 接続 ] タ ブ で [LAN の設定 ] を ク リ ッ ク し ます。 3. [ プ ロ キシ サーバー ] 内で、[ プ ロ キシ サーバー を使用す る ] チ ェ ッ ク ボ ッ ク ス を選択 し て、 IP ア ド レ ス と ポー ト を指定 し ます。 プ ロ ト コ ルご と に異な る プ ロ キシ サーバー を使用す る場合は、 [ 詳細設定 ] を ク リ ッ ク し て 必要な情報を指定 し ます。 必ず、 [HTTP] と [Secure] の両方に プ ロ キシ サーバー を指定 し て く だ さ い。 注意 [ ロ ー カ ル エ リ ア ネ ッ ト ワー ク (LAN) の設定 ] ダ イ ア ロ グ ボ ッ ク ス で、 自動設定のいずれ か ([ 設定を自動的に検出す る ] ま たは [ 自動構成ス ク リ プ ト を使用す る ]) を有効にす る と 、 プ ロ キシ サーバーの設定が上書 き さ れる可能性があ り ます。 こ れ ら 2 つのチ ェ ッ ク ボ ッ ク ス を オ フ に し て、 プ ロ キシの検出が正常に機能す る よ う に し て く だ さ い。 E-Class SRA ア ク セス サービ スの管理 こ のセ ク シ ョ ン では、 E-Class SRA ア ク セ ス サー ビ スの概要 と 、 サー ビ ス を起動、 停止、 構成 す る方法につい て説明 し ます。 概要 : ア ク セス サービ ス ユーザーは、 E-Class SRA ア プ ラ イ ア ン スに よ っ て保護 さ れてい る VPN リ ソ ース に、 3 つの主 な方法 ( ア ク セ ス サー ビ ス ) を使用 し て ア ク セ ス で き ます。 こ のセ ク シ ョ ン では、 各ア ク セ ス サー ビ ス と 、 それ ら がア ク セ ス を提供す る リ ソ ースの タ イ プ について説明 し ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 465 • ネ ッ ト ワー ク ト ン ネル サー ビ スはネ ッ ト ワー ク ルーテ ィ ン グ技術の 1 つで、 非 TCP プ ロ ト コ ル (VoIP や ICMP、逆方向接続プ ロ ト コ ル、双方向プ ロ ト コ ル ( 例 : リ モー ト ヘルプ デ ス ク ア プ リ ケーシ ョ ン で使用 ) な ど ) を使用す る ア プ リ ケーシ ョ ン な どの、広範な ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ン に安全な ネ ッ ト ワー ク ト ン ネル ア ク セ ス を提供 し ます。 こ のサー ビ スは、 Connect Tunnel ク ラ イ ア ン ト や OnDemand Tunnel エージ ェ ン ト と 連動 し て、 ア ク セ スの認証 と 暗号化を提供 し ます。 ネ ッ ト ワー ク ト ン ネル サー ビ ス では、 フ ァ イ ア ウ ォ ールや NAT デバ イ スの他、 従来型の VPN デバ イ ス と 干渉す る可能性があ る プ ロ キシ サーバー も ト ラ バース で き ます。 ネ ッ ト ワー ク ト ン ネル サー ビ ス で Web リ ソ ースの フ ィ ル タ リ ン グが有効に な っ て い る場 合、 ト ン ネル セ ッ シ ョ ンのポ リ シーでは、 IP ベースのルールに加え て URL ベースのルー ルを使用で き ます。 • Web プ ロ キシ サー ビ スは、 ユーザーに対 し て、 Web ブ ラ ウザか ら Web ベースのア プ リ ケーシ ョ ン、 Web サーバー、 お よ びネ ッ ト ワー ク フ ァ イ ル サーバーへの、 ま たは Windows Mobile 搭載デバ イ ス (Connect Mobile ク ラ イ ア ン ト を使用 ) か ら Web ベースのア プ リ ケー シ ョ ン や Web サーバーへの安全な ア ク セ ス を提供 し ます。Web プ ロ キシ サー ビ スは、Web ベースの リ ソ ース に対す る ア ク セ ス を中継お よ び暗号化す る安全な HTTP リ バース プ ロ キ シ です。 Aventail WorkPlace サー ビ スは、 Web ブ ラ ウザか ら のネ ッ ト ワー ク フ ァ イ ル共有へのア ク セ ス を制御 し ます。 Aventail WorkPlace サー ビ スは、 Server Message Block (SMB) フ ァ イ ル共有 プ ロ ト コ ル を 使用 し て、 Windows フ ァ イ ル サ ー バー お よ び ネ ッ ト ワ ー ク 共有 (Microsoft 分 散 フ ァ イ ル シ ス テ ム (DFS) リ ソ ー ス を 含 む ) と 通 信 し ま す。 Aventail WorkPlace サー ビ スの構成につい ては、 391 ページの 「WorkPlace の一般設定の構成」 を 参照 し て く だ さ い。 • ࢡࢭࢫࢧ࣮ࣅࢫ :HEࣈࣛ࢘ࢨ 2Q'HPDQG ࣉࣟ࢟ࢩ࢚࣮ࢪ࢙ࣥࢺ +773ࣉࣟࢺࢥࣝ 2Q'HPDQG 7XQQHO࢚࣮ࢪ࢙ࣥࢺ &RQQHFW7XQQHOࢡࣛࣥࢺ ,3ࣉࣟࢺࢥࣝ $YHQWDLO&RQQHFW 0RELOHࢡࣛࣥࢺ 7&3ࣉࣟࢺࢥࣝ 466 | Aventail E-Class SRA 10.7 管理者ガ イ ド :HEࣉࣟ࢟ࢩ ࢿࢵࢺ࣮࣡ࢡ ࢺࣥࢿࣝ ࢿࢵࢺ࣮࣡ࢡ ࣉࣟ࢟ࢩ ࣂࢵࢡ࢚ࣥࢻ ࣜࢯ࣮ࢫ 以下の表に、 E-Class SRA ア ク セ ス サー ビ ス と 、 各サー ビ スに よ り 制御 さ れる ユーザー ア ク セ ス コ ン ポーネ ン ト と の関係を示 し ます。 サー ビ ス ユーザー ア ク セ ス コ ン ポー ネン ト 説明 ネ ッ ト ワー ク ト ン ネル サー ビス • OnDemand Tunnel エ ー ジ ェ ン • ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト ト か ら の TCP/IP お よ び非 TCP (VoIP • Connect Tunnel ク ラ イ ア ン ト や ICMP な ど ) 接続を管理 し ます。 • あ ら ゆる リ ソ ースへのネ ッ ト ワー ク レ ベルのア ク セ ス を 提供す る こ と で、 事実上、 ユ ー ザ ーの コ ン ピ ュ ー タ を ネ ッ ト ワー ク上の ノ ー ド に し ます。 • マ ッ ピ ン グ さ れた ネ ッ ト ワ ー ク ド ラ イ ブ、 ネ イ テ ィ ブの電子 メ ール ク ラ イ ア ン ト 、 および逆方向接続 (VoIP な ど ) を行 う ア プ リ ケーシ ョ ンのサポー ト を含みます。 Web プ ロキシ サービ ス • Web ブ ラ ウ ザ お よ び Connect • Connect Mobile ク ラ イ ア ン ト Mobile ク ラ イ ア ン ト か ら の HTTP お • Web プ ロキシ エージ ェ ン ト よび TCP/IP 接続を管理 し ます。 • 変換 Web ア ク セス • カ ス タ ム ポー ト マ ッ ピ ン グ Web ア ク セス • カ ス タ ム FQDN マ ッ ピ ン グ Web ア ク セス Aventail WorkPlace サービ ス • WorkPlace ポー タ ル • あ ら ゆ る Web ブ ラ ウザか ら 利用で き る Web ベースのポー タ ル を 提供 し ます。 • フ ァ イ ル シ ス テ ム リ ソ ースへのア ク セス を提供 し ます。 • あ ら ゆ る ユーザー ア ク セ ス コ ン ポーネ ン ト を イ ン ス ト ールお よび展開 し ます。 E-Class SRA ア ク セス サービ スの停止 と 起動 E-Class SRA サー ビ スのいずれかを一時的に停止す る こ と が必要 と な る場合があ り ます。 注意 E-Class SRA のサー ビ スの停止は、 計画的な保守期間中ま たはオ フ ピ ー ク 時にのみ行 う よ う お勧め し ます。 ま た、 ユーザーに対 し て、 サー ビ スの停止を事前に警告す る必要があ り ま す。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 467 サー ビ ス を起動ま たは停止す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Services] を ク リ ッ ク し ます。 2. [Access Services] の下で、 該当す る リ ン ク を ク リ ッ ク し ます。 • [Stop] を ク リ ッ ク す る と サー ビ ス を停止 し ま す。既存のユーザー接続はすべて切断 さ れ ます。 • [Start] を ク リ ッ ク す る と サー ビ ス を起動 し ます。 ネ ッ ト ワー ク ト ンネル サービ スの構成 ネ ッ ト ワー ク ト ン ネル サー ビ スは、 Connect Tunnel ク ラ イ ア ン ト お よ び OnDemand Tunnel エージ ェ ン ト か ら のア ク セ ス を制御 し ます。 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト を ユーザーに 展開す る には、 まず、 コ ミ ュ ニ テ ィ に対 し て 1 つ以上の IP ア ド レ ス プールを用意す る必要が あ り ます。 ネ ッ ト ワー ク ト ン ネル サー ビ スの構成には、 ク ラ イ ア ン ト への IP ア ド レ スの割 り 当て に使用す る IP ア ド レ ス プ ールのセ ッ ト ア ッ プが必要です。 こ れ ら の IP ア ド レ スは VPN 接続での ク ラ イ ア ン ト のエ ン ド ポ イ ン ト と な り ます。 ま た、 ネ ッ ト ワー ク ト ン ネル サー ビ スの構成では、 Web リ ソ ースの フ ィ ル タ リ ン グ を 有効に し て、 管理者が ExtraWeb に定義 し た も の と 同 じ URL ベースのルール を ト ン ネル セ ッ シ ョ ン に適用す る こ と も で き ます。 Web リ ソ ースの フ ィ ル タ リ ン グ を使用 し て、 Web ア プ リ ケーシ ョ ンのア ク セ ス時に シ ン グル サ イ ン オ ン機能を利用す る こ と も で き ます。 カ ス タ ム接続 を 追加 し て、 別のデ フ ォ ル ト ア プ ラ イ ア ン ス ま たは レ ルムに ア ク セ ス す る よ う Connect Tunnel を構成 し た り 、 当該 ク ラ イ ア ン ト か ら 接続可能な他のア プ ラ イ ア ン スやレ ルム の リ ス ト を表示す る よ う Connect Tunnel を構成す る こ と がで き ます。デ フ ォ ル ト では、Connect Tunnel は、自身のダウ ン ロ ー ド 元のレ ルム と ア プ ラ イ ア ン ス に ア ク セ スす る よ う 構成 さ れます。 ま た、 代替サーバー を 設定 し て お き 、 接続障害時に接続す る サーバーの リ ス ト を ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト に提示で き ます。 468 | Aventail E-Class SRA 10.7 管理者ガ イ ド ネ ッ ト ワー ク ト ン ネル サー ビ ス を構成す る には メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Services] を ク リ ッ ク し ます。 3. [Access services] の [Network tunnel service] エ リ ア で、[Configure] を ク リ ッ ク し ます。 [Configure Network Tunnel Service] ページが表示 さ れます。 4. [IP address pools] エ リ ア で、IP ア ド レ ス プ ールを 1 つ以上作成 し ます。詳細については、 470 ページの 「IP ア ド レ ス プールの構成」 を参照 し て く だ さ い。 5. Web リ ソ ースの フ ィ ル タ リ ン グ を有効に し て構成す る には、[Web resource filtering] エ リ アの [Edit] を ク リ ッ ク し ます。 詳細については、 476 ページの 「Web リ ソ ースの フ ィ ル タ リ ン グの構成」 を参照 し て く だ さ い。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 469 6. カ ス タ ム接続を構成 し て、 Connect Tunnel が現在ま たは別のデ フ ォ ル ト ア プ ラ イ ア ン スや レ ルムに ア ク セ ス で き る よ う に し た り 、ク ラ イ ア ン ト か ら 接続可能な他のア プ ラ イ ア ン ス と レ ルムの リ ス ト を表示で き る よ う にす る には、 [Custom Connections] エ リ アの [New] ボ タ ン を ク リ ッ ク し ます。 詳細については、 477 ページの 「 カ ス タ ム接続の構成」 を参照 し て く だ さ い。 7. 接続障害時にネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト が接続で き る代替サーバー を構成す る に は、 [Fallback servers] エ リ ア の [New] ボ タ ン を ク リ ッ ク し ま す。 詳細に つ い ては、 478 ページの 「代替サーバーの構成」 を参照 し て く だ さ い。 IP ア ド レ ス プールの構成 IP ア ド レ ス プ ールは、ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト への IP ア ド レ スの割 り 当て に使用 さ れます。 ユーザーが Connect Tunnel ク ラ イ ア ン ト ま たは OnDemand Tunnel エージ ェ ン ト を使用 し て接続す る際、 E-Class SRA ア プ ラ イ ア ン ス に よ っ て、 構成 さ れて い る いずれかのア ド レ ス プ ールか ら ク ラ イ ア ン ト に IP ア ド レ スが割 り 当て ら れます。 割 り 当て には、 ク ラ イ ア ン ト の コ ミ ュ ニ テ ィ で許可 さ れて い る プ ールのみが使用 さ れます。 コ ミ ュ ニ テ ィ へどのよ う に IP ア ド レ スが割 り 当て ら れるかについては、 69 ページの 「IP ア ド レ スの割 り 当て」 を参照 し て く だ さ い。 IP ア ド レ ス プールの編集お よ び削除につい ては、 112 ページの 「AMC でのオ ブ ジ ェ ク ト の追 加、 編集、 コ ピ ー、 削除」 を参照 し て く だ さ い。 ア ド レ ス プールの割 り 当て方法 IP ア ド レ スは、 次のいずれかの方法で割 り 当て ら れる よ う 構成で き ます。 変換ア ド レ ス プ ール (Secure NAT) 変換ア ド レ ス プ ールでは、ア プ ラ イ ア ン スがルー タ ブルで ない IP ア ド レ ス を ク ラ イ ア ン ト に割 り 当て、 安全な ネ ッ ト ワー ク ア ド レ ス変換 (Secure NAT) を使用 し て、 こ れを、 バ ッ ク エ ン ド ト ラ フ ィ ッ ク 用に構成 さ れて い る単一ア ド レ ス に変換 し ます。ア プ ラ イ ア ン スは AMC で指定 さ れた ネーム サーバー を使用 し て、ク ラ イ ア ン ト 上に DNS と WINS の設定 を定義 し ます。Secure NAT では、 ク ラ イ ア ン ト のルー タ ブルで ない ソ ース ア ド レ ス を、 内部ネ ッ ト ワー ク のルー タ ブ ルで ない固定のシーケ ン ス (2.0.0.2 ~ 2.255.254.254) か ら 単一の構成済みのア ド レ ス に変換 し ます。 変換ア ド レ ス プ ールを利用す る メ リ ッ ト は次の と お り です。 Secure NAT ア ド レ ス プ ールで必要 と な るのは、 バ ッ ク エ ン ド ア ド レ ス 1 つのみです。 こ のア ド レ スがすべての リ モー ト 接続で共有 さ れます。 • ト ン ネル ク ラ イ ア ン ト 用に必要な IP ア ド レ スが少な く て済みます。 こ の タ イ プのプールにおけ る制限は次の と お り です。 • • • • すべてのネ ッ ト ワー ク 動作を ク ラ イ ア ン ト 側か ら 始動す る必要があ り ます。 そのため、 こ の IP ア ド レ ス割 り 当て方法では、逆方向接続や相互接続を行 う ア プ リ ケーシ ョ ン (SMS、VoIP、 FTP な ど ) がサポー ト さ れません。 Windows ド メ イ ンの参照はサポー ト さ れません。 ユーザーがネ ッ ト ワー ク エ ク ス プ ロ ー ラ ま たはネ ッ ト ワー ク 全体か ら Windows ド メ イ ン を参照 し よ う と す る と 、 リ ソ ースへのア ク セ スが認め ら れて いな い こ と を示すエ ラ ー メ ッ セージが表示 さ れます。 ク ラ イ ア ン ト 間の相互接続はサポー ト さ れません。 470 | Aventail E-Class SRA 10.7 管理者ガ イ ド ルーテ ッ ド ア ド レ ス プール (DHCP) ルーテ ッ ド ア ド レ ス プールでは、 IP ア ド レ スが DHCP サーバーか ら ト ン ネル ク ラ イ ア ン ト に 動的に割 り 当て ら れます。 DHCP ア ド レ ス プ ールの特徴は次の と お り です。 • • 新 し い リ モー ト ク ラ イ ア ン ト をサポー ト す る ための十分な予備ア ド レ スの容量を持つ外部 サーバー を必要 と し ます。 こ れ ら のプールは簡単に設定 し て維持す る こ と がで き 、 ま た ク ラ イ ア ン ト のア ク テ ィ ビ テ ィ にほ と ん ど制約を与え ません。 逆接続お よ び相互接続 も サポー ト さ れますが、 ク ラ イ ア ン ト の IP ア ド レ スが既知で あ る必 要があ り ます。 必要な場合は、 DHCP サーバー上で DHCP ク ラ イ ア ン ト ID を構成す る こ と に よ っ て、 特定の ク ラ イ ア ン ト に固定の DHCP ア ド レ ス を 割 り 当て る こ と も で き ま す。 ク ラ イ ア ン ト ID は ク ラ イ ア ン ト の構成時 に 生成 さ れ ま す。 個別の ID を 確認す る に は、 DHCP サーバーのロ グ を参照 し て く だ さ い。 RADIUS 割 り 当て ア ド レ ス プ ール 一部のア プ リ ケーシ ョ ン では、割 り 当て ら れた IP ア ド レ ス と ユーザー と の間に 1 対 1 の関係を 必要 と し ま す。 こ れは RADIUS サーバーに よ っ てサポー ト す る のが最善で す。 RADIUS サー バーでは、 認証の一環 と し て、 許可プ ロ セ ス中に IP ア ド レ スの割 り 当てが行われます。 こ の厳格な 1 対 1 の関連付けに よ り 、 次のよ う な意図 し ない影響が生 じ る場合があ り ます。 • • 例えば、 従業員が職場で ア プ ラ イ ア ン ス に ロ グ イ ン し 、 ロ グ ア ウ ト し 忘れてい る場合、 自宅 か ら ロ グ イ ン し よ う と す る と 失敗 し ま す。 IP ア ド レ スは職場での最初の ト ン ネル接続に関 連付け ら れた ま ま と な っ て い ま す。 オ プ シ ョ ン で、 RADIUS サーバー を 参照す る コ ミ ュ ニ テ ィ と レ ルム を AMC で構成 し て、 RADIUS プ ールが枯渇 し てい る場合は他の IP ア ド レ ス プールを使用 さ せる こ と がで き ます。 同 じ RADIUS サーバーに対 し て認証を行 う ア プ ラ イ ア ン スが 2 台あ り 、 その両方が RADIUS プールを使用 し てい る場合、 重複す る ア ド レ スの割 り 当てが行われて、 その結果、 複数のネ ッ ト ワー ク 競合が発生 し ます。 ス タ テ ィ ッ ク ア ド レ ス プール ス タ テ ィ ッ ク ア ド レ ス プ ールを使用す る と 、 1 つ ま たは複数の静的 IP ア ド レ ス プールを指定 す る こ と で、 そ こ か ら IP ア ド レ スが ト ン ネル ク ラ イ ア ン ト に割 り 当て ら れる よ う に な り ます。 ス タ テ ィ ッ ク IP ア ド レ ス プ ール を サブ ネ ッ ト ま たはア ド レ ス範囲 と し て構成す る こ と も で き ます。 ス タ テ ィ ッ ク ア ド レ ス プールの特徴は次の と お り です。 • • • • ス タ テ ィ ッ ク ア ド レ ス プールでは、 ア プ ラ イ ア ン スの外部で構成作業を行 う 必要がな く 、 逆接続お よ び相互接続 も サポー ト さ れます。 ス タ テ ィ ッ ク プ ールでは、 同時 リ モー ト 接続に対 し て 1 つずつバ ッ ク エ ン ド ア ド レ ス を識 別す る必要があ り ます。 ( 同時接続だけ で な く ) すべての リ モー ト ク ラ イ ア ン ト を まかな え る だけの十分な ア ド レ スがあ り 、 ア ド レ ス衝突が発生 し て いな い場合、 同 じ ク ラ イ ア ン ト に 通常同 じ ア ド レ スが割 り 当て ら れる ため、 こ の方法は最 も 安定 し た方法に な り ます。 ス タ テ ィ ッ ク プ ールでは、 ト ン ネル接続が確立 さ れてい る限 り IP ア ド レ ス を割 り 当て た ま ま に し ま す。 ト ン ネルが切断 さ れた場合、 切断か ら 2 分間、 そのア ド レ スは同 じ ク ラ イ ア ン ト にのみ再割 り 当て可能な状態に置かれます。 2 分の経過後、 そのア ド レ スはあ ら ゆ る ク ラ イ ア ン ト に 割 り 当 て 可能 に な り ま す。 ア ド レ ス の再割 り 当 て は LRU (Least Recently Used) 方式で実行 さ れます。 Windows ド メ イ ンの参照がサポー ト さ れます。 IP ア ド レス プールの構成のためのベス ト プ ラ ク テ ィ ス IP ア ド レ ス プ ールを構成す る と き 、 次の点に留意す る必要があ り ま す。 • ア ド レ スが重複 し な い よ う に し ます。 • ス タ テ ィ ッ ク IP ア ド レ ス プールを構成す る と き は、他のネ ッ ト ワー ク リ ソ ース にすで に割 り 当て ら れて い る IP ア ド レ スは指定 し ない で く だ さ い。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 471 • • ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト が使用す る よ う 構成 し て い る IP ア ド レ スは、 ク ラ イ ア ン ト ネ ッ ト ワー ク ですで に使用 さ れてい る IP ア ド レ ス と 競合す る可能性があ り ま す。 可能な限 り 、 ユーザーのネ ッ ト ワー ク で使用 さ れて い る こ と がわか っ て い る IP ア ド レ スは構成 し な いで く だ さ い。 • 変換 (Secure NAT) IP ア ド レ ス プールを構成す る と き 、 内部 イ ン タ ー フ ェ ースのサブ ネ ッ ト で未使用のア ド レ ス を必ず指定す る よ う に し て く だ さ い。 • 複数のア プ ラ イ ア ン ス で RADIUS プールを使用 し て お り 、 かつ、 それ ら のア プ ラ イ ア ン スが同一の RADIUS サーバーに対 し て認証 を 行 う 場合は、 重複す る ア ド レ スの割 り 当てが発生 し ます。 ダ イ ナ ミ ッ ク DHCP ま たはス タ テ ィ ッ ク IP ア ド レ ス プールを構成す る と き 、 最大数の同 時ユーザーに対応で き る だけの、 十分な IP ア ド レ スがあ る こ と を確認 し ます。 例えば、 同 時ユーザーの最大数が 100 の場合、 100 以上の IP ア ド レ スが使用可能で な ければな り ませ ん。 変換 IP ア ド レ ス プールの追加 こ のセ ク シ ョ ン では、 セキ ュ ア ネ ッ ト ワー ク ア ド レ ス変換 (Secure NAT) を使用 し て、 変換 IP ア ド レ ス プ ールを作成す る方法につい て説明 し ます。 変換 IP ア ド レ ス プールを追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Services] を ク リ ッ ク し ます。 2. [Access services] の [Network tunnel service] エ リ ア で、[Configure] を ク リ ッ ク し ます。 [Configure Network Tunnel Service] ページが表示 さ れます。 3. [IP address pools] エ リ ア で、 [New] を ク リ ッ ク し ます。 [Configure IP Address Pool] ページが表示 さ れます。 4. [Name] ボ ッ ク ス に、 ア ド レ ス プ ールの名前 を入力 し ます。 5. [Description] ボ ッ ク ス に、 ア ド レ ス プールについての コ メ ン ト をわか り やす く 入力 し ま す。 6. [Translated address pool (Source NAT)] を ク リ ッ ク し ます。 7. [IP address] ボ ッ ク ス に、 すべての ク ラ イ ア ン ト ト ラ フ ィ ッ ク の ソ ース と し てバ ッ ク エ ン ド サーバーに提示 さ れる Secure NAT ア ド レ ス を入力 し ます。 こ の IP ア ド レ スが他の場所 で使用 さ れて いな い こ と を確認 し ます。 8. [Save] を ク リ ッ ク し ます。 ダ イ ナ ミ ッ ク IP ア ド レ ス プールの追加 こ のセ ク シ ョ ン では、 ダ イ ナ ミ ッ ク IP ア ド レ ス プールを作成す る方法について説明 し ます。 ダ イ ナ ミ ッ ク IP ア ド レ ス プールを追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Services] を ク リ ッ ク し ます。 472 | Aventail E-Class SRA 10.7 管理者ガ イ ド 2. [Access services] の [Network tunnel service] エ リ ア で、[Configure] を ク リ ッ ク し ます。 [Configure Network Tunnel Service] ページが表示 さ れます。 3. [IP address pools] エ リ ア で、 [New] を ク リ ッ ク し ます。 [Configure IP Address Pool] ページが表示 さ れます。 4. [Name] ボ ッ ク ス に、 ア ド レ ス プ ールの名前 を入力 し ます。 5. [Description] ボ ッ ク ス に、 ア ド レ ス プールについての コ メ ン ト をわか り やす く 入力 し ま す。 6. [Routed address pool - dynamic] を ク リ ッ ク し ます。 7. [DHCP server] ボ ッ ク スはデ フ ォ ル ト で空欄 と な っ て い ます。 その場合、 ア プ ラ イ ア ン ス が、 DHCP サーバー を 探すためのブ ロ ー ド キ ャ ス ト 要求 を 送信 し 、 見つか っ たサーバー を 使用 し て ア ド レ ス を割 り 当て ま す。 こ のボ ッ ク スは、 特定の DHCP サーバー を構成す る必 要があ る場合を除 き 、 空欄のま ま に し て お き ます。 8. [Save] を ク リ ッ ク し ます (DHCP ア ド レ ス プールは、 こ の AMC ページの [Advanced] 設 定を無視 し ます )。 RADIUS 割 り 当て IP ア ド レ ス プールの追加 こ のセ ク シ ョ ン では、 ダ イ ナ ミ ッ ク RADIUS 割 り 当て IP ア ド レ ス プールの作成方法を説明 し ます。 RADIUS 割 り 当て IP ア ド レ ス プールを追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Services] を ク リ ッ ク し ます。 2. [Access services] の [Network tunnel service] エ リ ア で、[Configure] を ク リ ッ ク し ます。 [Configure Network Tunnel Service] ページが表示 さ れます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 473 3. [IP address pools] エ リ ア で、 [New] を ク リ ッ ク し ます。 [Configure IP Address Pool] ページが表示 さ れます。 4. [Name] ボ ッ ク ス に、 ア ド レ ス プ ールの名前 を入力 し ます。 5. [Description] ボ ッ ク ス に、 ア ド レ ス プールについての コ メ ン ト をわか り やす く 入力 し ま す。 6. [RADIUS-assigned - dynamic] を ク リ ッ ク し て プールを構成 し ます。 RADIUS サーバーで は、 認証の一環 と し て、 許可プ ロ セ ス中に IP ア ド レ スの割 り 当てが行われます。 こ の設定 は、割 り 当て ら れた IP ア ド レ ス と ユーザー と の間に 1 対 1 の関係を必要 と す る ア プ リ ケー シ ョ ンがあ る場合な ど に選択 し ます。 7. ( オ プ シ ョ ン ) ク ラ イ ア ン ト イ ン タ ー フ ェ ース を構成す る ために仮想 イ ン タ ー フ ェ ースの設 定 を 変更す る 場合は、 [Advanced] エ リ ア を ク リ ッ ク し て 展開 し ま す。 [Virtual interface settings] では、[DNS server]、[WINS server]、[Search domains] が、[Network Settings] ページ で定義 さ れて い るの と 同 じ 値で あ ら か じ め構成 さ れて い ます ( 詳細については、 135 ページの 「基本ネ ッ ト ワー ク 設定の構成」 を参照 し て く だ さ い )。 こ れ ら の設定を変更す る には、 [Customize default settings] チ ェ ッ ク ボ ッ ク ス を 選択 し てか ら 、 変更 し たい設定 に対 し て適切な値を指定 し ます。 8. [Save] を ク リ ッ ク し ます。 ス タ テ ィ ッ ク IP ア ド レ ス プールの追加 こ のセ ク シ ョ ン では、 ス タ テ ィ ッ ク IP ア ド レ ス プールの作成方法を説明 し ます。 ス タ テ ィ ッ ク IP ア ド レ ス プールを追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Services] を ク リ ッ ク し ます。 2. [Access services] の [Network tunnel service] エ リ ア で、[Configure] を ク リ ッ ク し ます。 474 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. [IP address pools] エ リ ア で、 [New] を ク リ ッ ク し ます。 [Configure IP Address Pool] ページが表示 さ れます。 4. [Name] ボ ッ ク ス に、 ア ド レ ス プ ールの名前 を入力 し ます。 5. [Description] ボ ッ ク ス に、 ア ド レ ス プールについての コ メ ン ト をわか り やす く 入力 し ま す。 6. [Routed address pool - static] を ク リ ッ ク し 、 [New] を ク リ ッ ク し ます。 7. ト ン ネル ク ラ イ ア ン ト が使用で き る IP ア ド レ ス を指定 し ます。 IP ア ド レ ス と サブ ネ ッ ト マ ス ク を、 ド ッ ト 区切 り の 10 進数形式 (n.n.n.n) で入力 し ます。 • 単一のホ ス ト を定義す る と き は、 [IP address] にその IP ア ド レ ス を入力 し 、 [Subnet mask] に 「255.255.255.255」 を指定 し ます。 • P ア ド レ ス を範囲で指定す る と き は、 [IP address] ボ ッ ク ス に開始ア ド レ ス を入力 し 、 [IP range end] ボ ッ ク ス に終了ア ド レ ス を入力 し て、 [Subnet mask] を指定 し ます。 • 完全なサブ ネ ッ ト を定義す る には、[IP address] ボ ッ ク スにネ ッ ト ワー ク ア ド レ ス を入 力 し て、 [Subnet mask] ボ ッ ク スにサブ ネ ッ ト マ ス ク を入力 し ま す。 サブ ネ ッ ト マ ス ク は、 あ る範囲に変換 さ れ、 対応す る値が入れ ら れま す。 サブ ネ ッ ト の IP ア ド レ スが 入力 さ れて い る場合、 それがネ ッ ト ワー ク 内の最初の使用可能ア ド レ ス に変換 さ れます が、 サブ ネ ッ ト の真ん中のア ド レ スがそのま ま使用 さ れます。 終了ア ド レ ス には、 サブ ネ ッ ト の最大の使用可能ア ド レ スが入 り ます。 8. [OK] を ク リ ッ ク し ます。 こ のプールが、 使用可能な IP ア ド レ ス プールの リ ス ト に追加 さ れます。 9. ( オ プ シ ョ ン ) ク ラ イ ア ン ト イ ン タ ー フ ェ ース を構成す る ために仮想 イ ン タ ー フ ェ ースの設 定 を 変更す る 場合は、 [Advanced] エ リ ア を ク リ ッ ク し て 展開 し ま す。 [Virtual interface settings] では、[DNS server]、[WINS server]、[Search domains] が、[Network Settings] ページ で定義 さ れて い るの と 同 じ 値で あ ら か じ め構成 さ れて い ます ( 詳細については、 135 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 475 ページの 「基本ネ ッ ト ワー ク 設定の構成」 を参照 し て く だ さ い )。 こ れ ら の設定を変更す る には、 [Customize default settings] チ ェ ッ ク ボ ッ ク ス を 選択 し てか ら 、 変更 し たい設定 に対 し て適切な値を指定 し ます。 10. [Save] を ク リ ッ ク し ます。 Web リ ソ ースのフ ィ ル タ リ ングの構成 Web リ ソ ースの フ ィ ル タ リ ン グ を 使用す る と 、 定義 さ れた IP ア ド レ ス と ポー ト に対 し て追加 処理を実行 し て、 HTTP ト ラ フ ィ ッ ク を検出で き ま す。 HTTP 要求が検出 さ れる と 、 Web サー バーの接続に対 し てポ リ シー と シ ン グル サ イ ン オ ン ロ ジ ッ ク が適用 さ れま す。 Web リ ソ ースの フ ィ ル タ リ ン グ を使用す る と 、管理者が ExtraWeb に定義 し た も の と 同 じ URL ベースのルールを ト ン ネル セ ッ シ ョ ン に適用で き ます。 ま た、 Web ア プ リ ケーシ ョ ンへのア ク セ ス時に シ ン グル サ イ ン オ ン機能を利用す る こ と も で き ます。 Web リ ソ ースの フ ィ ル タ リ ン グが有効に な っ て い な い場合、 Web ア ク セ ス と ト ン ネル ア ク セ ス で利用で き る ポ リ シーは同 じ ではあ り ません。 Web ア ク セ スの場合は、 Web プ ロ キシ お よ び ポー ト マ ッ プ ク ラ イ ア ン ト のすべての変換ア ク セ ス と HTTP ア ク セ ス について、URL ポ リ シー を評価で き ます。 ト ン ネル経由で接続 し てい る ユーザーの場合、 IP レ イ ヤの リ ダ イ レ ク シ ョ ン は IP ア ド レ ス に基づ く ポ リ シーのみを許可 し ま す。 複数の Web ア ド レ ス ま たは名前空間が単 一の Web サーバーで ホ ス ト さ れてい る導入環境では、 すべての Web コ ン テ ン ツが、 単一の IP ア ド レ ス ま たはア ド レ ス プ ールで ア ク セ ス可能です。 IP レ イ ヤのみを ベース と し たポ リ シーで は、管理者が複数の名前空間の間でポ リ シー を区別す る こ と はで き ません。Web リ ソ ースの フ ィ ル タ リ ン グ を有効にす る と 、 ト ン ネル セ ッ シ ョ ン に対 し て、 ポ リ シーで IP ベースのルールに加 え て URL ベースのルール も 使用で き る よ う に な り ます。 Web リ ソ ースの フ ィ ル タ リ ン グ を構成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Services] を ク リ ッ ク し ます。 2. [Access services] エ リ ア で、 [Network tunnel service] の下の [Configure] を ク リ ッ ク し ます。 476 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. [Web resource filtering] エ リ ア で、 [Edit] を ク リ ッ ク し ます。 [Configure Tunnel Web Policy] ページが表示 さ れます。 4. [Enable web resource filtering] チ ェ ッ ク ボ ッ ク ス を選択 し て、 ト ン ネル サー ビ ス におい て、 Web ネ ッ ト ワー ク の ト ラ フ ィ ッ ク を含んで い る可能性のあ る ポー ト ですべての ク ラ イ ア ン ト ト ラ フ ィ ッ ク を チ ェ ッ ク さ せます。 5. [Save] を ク リ ッ ク し ます。 カ ス タ ム接続の構成 デ フ ォ ル ト では、 Connect Tunnel は、 自身のダウ ン ロ ー ド 元のレ ルム と ア プ ラ イ ア ン ス に ア ク セ スす る よ う 構成 さ れま す。 カ ス タ ム接続のオ プ シ ョ ン を 追加す る こ と に よ り 、 別のデ フ ォ ル ト ア プ ラ イ ア ン ス ま たはレ ルムに ア ク セ スす る よ う Connect Tunnel を構成で き るほか、 ク ラ イ ア ン ト か ら 接続可能な他のア プ ラ イ ア ン スやレ ルムの リ ス ト を表示す る よ う Connect Tunnel を構成す る こ と も で き ます。 カ ス タ ム接続を構成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Services] を ク リ ッ ク し ます。 2. [Access services] エ リ ア で、 [Network tunnel service] の下の [Configure] を ク リ ッ ク し ます。 3. [Custom Connections] エ リ ア で、 [New] を ク リ ッ ク し て カ ス タ ム接続を追加 し ます。 [Custom connections] テ ー ブルに、 名前、 ア プ ラ イ ア ン ス、 お よ び レルムの フ ィ ール ド ( 編 集可能 ) が表示 さ れます。 4. [Connection name] フ ィ ール ド に、 こ の カ ス タ ム接続に付け る分か り やすい名前を入力 し ます。 5. [Appliance] フ ィ ール ド に、 ア プ ラ イ ア ン スの FQDN ま たは IP ア ド レ ス を入力 し ます。 6. [Realm] フ ィ ール ド に、 レルム名 を入力 し ます。 7. こ の カ ス タ ム接続の使用時に通知を表示す る場合は、[Display notifications] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 8. 切断時にユーザーに こ の カ ス タ ム接続への再接続のプ ロ ン プ ト を表示す る場合は、 [Prompt for reconnect] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 477 9. [OK] を ク リ ッ ク し ま す。 10. 複数の カ ス タ ム接続が リ ス ト さ れて い る場合に、 接続の順序を変更す る には、 カ ス タ ム接続 の横にあ る チ ェ ッ ク ボ ッ ク ス を選択 し てか ら [Move Up] ま たは [Move Down] を ク リ ッ ク し ます。 新 し い順序で リ ス ト が更新 さ れます。 11. カ ス タ ム接続を削除す る には、 その接続の横にあ る チ ェ ッ ク ボ ッ ク ス を選択 し てか ら [Delete] を ク リ ッ ク し ます。 代替サーバーの構成 代替サーバーは、 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト に、 接続障害時に接続す るサーバーの リ ス ト を提供 し ます。 代替サーバー を構成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Services] を ク リ ッ ク し ます。 2. [Access services] エ リ ア で、 [Network tunnel service] の下の [Configure] を ク リ ッ ク し ます。 3. [Fallback servers] エ リ ア で、[New] を ク リ ッ ク し て代替サーバー を追加 し ま す。[Fallback servers] テー ブルに、 サーバーお よ び レルムの フ ィ ール ド ( 編集可能 ) が表示 さ れま す。 4. [Server] フ ィ ール ド に、 代替サーバーの IP ア ド レ ス を入力 し ます。 5. 代替サーバーで使用す る レ ルム を指定す る には、[Realm] フ ィ ール ド に レ ルム名を入力 し ま す。 レ ルムの指定はオ プ シ ョ ン です。 指定 さ れてい ない場合は、 プ ラ イ マ リ のレ ルムが使用 さ れます。 6. [OK] を ク リ ッ ク し ま す。 7. 複数の代替サーバーが リ ス ト さ れて い る場合に、 サーバーの順序を変更す る には、 サーバー の横にあ る チ ェ ッ ク ボ ッ ク ス を選択 し てか ら [Move Up] ま たは [Move Down] を ク リ ッ ク し ます。 新 し い順序で リ ス ト が更新 さ れます。 8. 代替サーバー を削除す る には、 その代替サーバーの横にあ る チ ェ ッ ク ボ ッ ク ス を選択 し て か ら [Delete] を ク リ ッ ク し ま す。 Web プ ロキシ サービ スの構成 こ のセ ク シ ョ ン では、 Web リ ソ ースへのア ク セ ス を管理す るサー ビ スの構成方法について説明 し ます。 Web プ ロ キシ サー ビ スは、 Web プ ロ キシ ア ク セ ス、 変換 Web ア ク セ ス、 カ ス タ ム ポー ト マ ッ ピ ン グ Web ア ク セ ス、 お よ び カ ス タ ム FQDN マ ッ ピ ン グ Web ア ク セ ス を提供 し ます。 478 | Aventail E-Class SRA 10.7 管理者ガ イ ド Web プ ロ キシ サー ビ ス を構成す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Services] を ク リ ッ ク し ます。 2. [Access services] エ リ ア で、 [Web proxy service] に対す る [Configure] を ク リ ッ ク し ま す。 3. HTML、 XML、 CSS フ ァ イ ルがア プ ラ イ ア ン スか ら ク ラ イ ア ン ト に送 ら れる と き 、 あ ら か じ め こ れ ら の フ ァ イ ルを圧縮 し たい場合、 [General] タ ブ で [Enable HTTP compression] を 選択 し ま す。 圧縮 を 行 う と 、 ア プ ラ イ ア ン ス 経由で ア ク セ ス す る Web ペー ジのダ ウ ン ロ ー ド サ イ ズは小 さ く な り ま すが、 シ ス テムのパ フ ォ ーマ ン スが低下す る 可能性があ り ま す。 圧縮を有効にす る と 、 シ ス テムのパ フ ォ ーマ ン ス に影響す る可能性があ り ます。 4. メモ [Downstream Web resources] を構成 し ます。 • Web プ ロ キシ サー ビ ス で、バ ッ ク エ ン ド Web サーバーの証明書の妥当性を チ ェ ッ ク す る よ う に し たい場合は、 [Validate SSL server certificates] を選択 し ます。 こ の設定を 有効にす る と 、 証明書の CN がホ ス ト 名 と 合致 し 証明書が有効で あ る こ と を、 ア プ ラ イ ア ン スが確認す る よ う に な り ま す。 ダ ウ ン ス ト リ ーム HTTPS を 使用 し て い る 場合は、 こ の機能を で き る限 り 有効に し て く だ さ い。 • 証明書をバ ッ ク エ ン ド Web サーバーに発行 し た CA を リ ス ト す る ア プ ラ イ ア ン スの ル ー ト 証 明 書 の 詳 細 を 表 示 す る 場 合 ま た は 証 明 書 を イ ン ポ ー ト す る 場 合 は、 [SSL Settings] リ ン ク を ク リ ッ ク し ます。 CA 証明書の管理につい ては、 157 ページの 「CA 証明書」 を参照 し て く だ さ い。 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルの構成方法につい ては、 244 ページの 「Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルの追加」 を参照 し て く だ さ い。 タ ー ミ ナル サーバー ア ク セス E-Class SRA ア プ ラ イ ア ン スは、 個別の Windows Terminal Services ま たは Citrix サーバー、 Citrix サーバー フ ァ ーム に対す る Web ベ ー ス ア ク セ ス を ネ イ テ ィ ブ サポ ー ト し て い ま す。 Native Access Module には別途 ラ イ セ ン スが必要です。 ラ イ セ ン スの購入については、 チ ャ ネ ル パー ト ナーま たは E-Class SRA の販売担当者ま でお問い合わせ く だ さ い。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 479 タ ー ミ ナル サーバー リ ソ ースへのア ク セスの提供 Web ベース グ ラ フ ィ カ ル タ ー ミ ナル エージ ェ ン ト を使用す る と 、 ネ イ テ ィ ブ ア プ リ ケーシ ョ ン プ ロ ト コ ルを使用 し て タ ー ミ ナル サーバーに ア ク セ ス で き る よ う に な り ま す。例えば、Citrix サーバーに ア ク セ スす る際、 ク ラ イ ア ン ト は固有の (HTTP で な い ) Citrix プ ロ ト コ ルを使用 し て、 ク ラ イ ア ン ト か ら サーバーへ ト ラ フ ィ ッ ク を送信 し ます。 し たが っ て、 タ ー ミ ナル サーバー リ ソ ース に対す る ア ク セ ス を提供す る と き 、 E-Class SRA のいずれかのア ク セ ス方式 (Web プ ロ キシ エージ ェ ン ト 、 OnDemand プ ロ キシ エージ ェ ン ト 、 いずれかの ト ン ネル ク ラ イ ア ン ト ) を プ ロ ビ ジ ョ ニ ン グす る よ う WorkPlace を構成す る必要があ り ます。変換 Web ア ク セ スのみ を提供す る よ う WorkPlace を構成 し てい る場合、固有のア プ リ ケーシ ョ ン プ ロ ト コ ルに ア ク セ スす る上で必要な ネ ッ ト ワー ク ト ラ ン スポー ト が ク ラ イ ア ン ト PC に な いため、 タ ー ミ ナル リ ソ ースが使用で き な く な り ます。 ア ク セ ス方式の構成の詳細については、 64 ページの 「 コ ミ ュ ニ テ ィ に対す る ア ク セ ス方式の選択」 を参照 し て く だ さ い。 Windows Terminal Services ま たは Citrix サーバーで ホ ス ト さ れて い る ア プ リ ケーシ ョ ン では、 シ ン グ ル サ イ ン オ ン を 有効 に す る こ と が で き ま す。 こ の よ う な 構成 に す る と 、 ユ ー ザ ーの WorkPlace ロ グ イ ン ク レ デ ン シ ャ ルが、 サーバー でパ ブ リ ッ シ ュ さ れて い る すべてのア プ リ ケーシ ョ ン に渡 さ れる こ と に な り ます。 シ ン グル サ イ ン オ ン を無効に し た場合、 別のロ グ イ ン ページが表示 さ れ、 タ ー ミ ナル サーバーで ホ ス ト さ れて い る ア プ リ ケーシ ョ ン に ア ク セ スす る 前に、 必要な ク レ デ ン シ ャ ルを指定 し な ければな ら な く な り ます。 タ ー ミ ナル サーバー リ ソ ースへのア ク セ ス を有効にす る場合は、 次のよ う な基本手順を実行 し ます。 1. タ ー ミ ナル サーバー リ ソ ース お よ びア ク セ ス ポ リ シーの定義 最初に、 個別の Windows Terminal Services ま たは Citrix サーバー、 あ る いは Citrix サー バー フ ァ ーム を定義 し 、 こ れ ら の リ ソ ース を ア ク セ ス制御ルールに追加 し ます。 • 各ホ ス ト ま たは Citrix サーバー フ ァ ーム オ ブ ジ ェ ク ト を AMC で リ ソ ース と し て定義 す る必要があ り ます。 ネ ッ ト ワー ク に、 同様の名前を持つ Citrix サーバーのセ ッ ト が含 まれて い る場合、 ワ イ ル ド カ ー ド 文字を使用 し 、 複数のサーバー を含む 1 つの リ ソ ース オ ブ ジ ェ ク ト を定義す る こ と で、 作業時間を短縮で き ます。 Citrix サーバー フ ァ ーム を構成 し てい る場合、 ア プ リ ケーシ ョ ン を リ ソ ース と し て ホ ス ト し て い る個別の Citrix サーバーについ て も 定義す る必要があ り ます。 Citrix サーバー フ ァ ームの定義については、 481 ページの 「Citrix サーバー フ ァ ーム リ ソ ースの追加」 を参照 し て く だ さ い。 • 2. 他の リ ソ ー ス と 同様の方法で、 ア ク セ ス制御ルールで リ ソ ー ス を 参照 し ま す。 個別の Windows Terminal Services ま たは Citrix サーバーに タ ー ミ ナル サーバー ア ク セ ス を提 供す る方法につい ては、 484 ページの 「 タ ー ミ ナル サーバー ア ク セ スのア ク セ ス制御 ルールお よ び リ ソ ースの定義」 を参照 し て く だ さ い。 適切な グ ラ フ ィ カ ル タ ー ミ ナル エージ ェ ン ト の イ ン ス ト ールま たは更新 ユーザーが、Aventail WorkPlace か ら Citrix ま たは Windows Terminal Services リ ソ ースへ の接続 を 開始す る と き 、 ア プ ラ イ ア ン スは、 ア プ ラ イ ア ン ス で提供 さ れて い る 適切なバー ジ ョ ン のエ ー ジ ェ ン ト がユーザーの コ ン ピ ュ ー タ 上に イ ン ス ト ール さ れて い る かど う か判 定 し 、 必要に応 じ て、 エージ ェ ン ト を自動的に イ ン ス ト ールま たは更新 し ます。 適切な グ ラ フ ィ カ ル タ ー ミ ナル エージ ェ ン ト が AMC で構成 さ れて い る必要があ り ます。 エージ ェ ン ト の管理については、 484 ページの 「グ ラ フ ィ カ ル タ ー ミ ナル エージ ェ ン ト の管理」 を参 照 し て く だ さ い。 3. タ ー ミ ナル サーバー リ ソ ース を参照す る WorkPlace シ ョ ー ト カ ッ ト の作成 480 | Aventail E-Class SRA 10.7 管理者ガ イ ド Windows Terminal Services ま たは Citrix ホ ス ト には、 ユーザーが Aventail WorkPlace の シ ョ ー ト カ ッ ト を ク リ ッ ク し た と き に展開 さ れる Web ベースのエージ ェ ン ト か ら ア ク セ ス し ま す。 グ ラ フ ィ カ ル タ ー ミ ナルの WorkPlace シ ョ ー ト カ ッ ト の構成に つ い て は、 486 ページの 「グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト 」 を参照 し て く だ さ い。 サーバー フ ァ ーム リ ソ ース E-Class SRA ア プ ラ イ ア ン ス では、 個々の Citrix サーバー、 ロ ー ド バ ラ ン シ ン グ さ れた 1 つ ま たは複数の Citrix サーバー フ ァ ーム、 ま たは VMware サーバー を指定で き ま す。 Citrix サーバー フ ァ ーム リ ソ ースの追加 こ のセ ク シ ョ ン では、 Citrix サーバー フ ァ ーム を リ ソ ース と し て定義す る 方法につい て説明 し ます。Citrix サーバーへの タ ー ミ ナル サーバー ア ク セ スの提供につい ては、484 ページの 「 タ ー ミ ナル サーバー ア ク セ スのア ク セ ス制御ルールお よ び リ ソ ースの定義」 を参照 し て く だ さ い。 ユーザーが Citrix リ ソ ース に ア ク セ ス で き る よ う にす る には、 最初に、 ア プ ラ イ ア ン ス に 2 つ の Citrix エ ー ジ ェ ン ト (Windows で 動作す る ActiveX コ ン ト ロ ール、 お よ び ク ロ ス プ ラ ッ ト フ ォ ームの Java ア プ レ ッ ト ) を構成 し ま す。 エージ ェ ン ト の フ ァ イ ルがア プ ラ イ ア ン ス に ア ッ プ ロ ー ド さ れる と 、 ユーザーが Aventail WorkPlace か ら 初めて Citrix リ ソ ース に ア ク セ スす る 際に、 適切な Citrix ク ラ イ ア ン ト が自動的に プ ロ ビ ジ ョ ニ ン グ さ れ る よ う に な り ま す。 詳細に つい ては、 484 ページの 「グ ラ フ ィ カ ル タ ー ミ ナル エージ ェ ン ト の管理」 を参照 し て く だ さ い。 ア プ ラ イ ア ン ス では、 Citrix ク ラ イ ア ン ト がサポー ト す る すべてのデ ス ク ト ッ プ オペ レ ー テ ィ ン グ シ ス テムお よ びア プ リ ケーシ ョ ンがサポー ト さ れて い ます。 小型携帯端末はサポー ト し て い ません。 個別の Citrix サーバーご と に、 カ ス タ ム ICA フ ァ イ ルを指定で き ま す。 こ れ ら の フ ァ イ ルには、 Citrix ホ ス ト に対す る追加の構成が含まれてい ます。 Citrix サーバー フ ァ ームは、 次のシ ス テム要件を満た し てい る必要があ り ます。 • Citrix XenApp • Citrix XML サー ビ スが動作 し て い る こ と ユーザーが、 Citrix サーバー フ ァ ームに対す る WorkPlace シ ョ ー ト カ ッ ト を ク リ ッ ク す る と 、 独立 し た WorkPlace ウ ィ ン ド ウが現れ、サーバーで ホ ス ト さ れて い る リ ソ ースが表示 さ れます。 WorkPlace Web イ ン タ ー フ ェ ース では、 ユーザーが フ ァ ーム内の Citrix サーバーで ホ ス ト さ れ てい る ア プ リ ケーシ ョ ン を参照 し て作業す る う え で必要なサー ビ ス を提供 し ます。他の Web イ ン タ ー フ ェ ース を 展開す る 必要はあ り ません。 ユーザーは こ れ ら の リ ソ ー ス を 参照 し て リ ン ク を ク リ ッ ク す る こ と で、 ア プ リ ケ ー シ ョ ン を 自動的に起動で き ま す。 Citrix ア プ リ ケ ー シ ョ ン は、 Citrix ク ラ イ ア ン ト のウ ィ ン ド ウに表示 さ れます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 481 Citrix サーバー フ ァ ーム リ ソ ース を追加す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Resources] を ク リ ッ ク し ま す。 2. [Resources] ページ で [New] を ク リ ッ ク し て、 リ ス ト か ら [Server farm] を選択 し ます。 [Add Resource - Server Farm] ページが表示 さ れます。 3. [Name] ボ ッ ク ス に、 サーバー フ ァ ームの名前 を入力 し ます。 4. [Description] ボ ッ ク ス に、 サーバー フ ァ ームについての コ メ ン ト をわか り やす く 入力 し ま す。 こ の手順はオ プ シ ョ ン ですが、 説明を入力 し て お く と 後で リ ソ ースの リ ス ト を参照す る 際に役立ち ます。 5. [Citrix or VMware servers] の下にあ る [New] を ク リ ッ ク し 、 サーバー フ ァ ームに入れる サーバー を指定 し ます。 各サーバー フ ァ ームには、 Citrix XenApp サーバー を 1 つ以上入れ る必要があ り ます。 a. [Host or IP address] ボ ッ ク ス に、 Citrix XenApp サーバーのホ ス ト 名ま たは IP ア ド レ ス を入力 し ます。 b. [Port] ボ ッ ク スに、 ア プ ラ イ ア ン スが Citrix XenApp サーバー上の XML ブ ラ ウザ サー ビ ス に接続す る 際に使用 さ れ る ポー ト 番号 を 入力 し ま す。 デ フ ォ ル ト のポー ト 番号は 「80」 です。 c. [OK] を ク リ ッ ク し ま す。 サーバーが、 フ ァ ームのサーバー リ ス ト に追加 さ れます。 6. [Save] を ク リ ッ ク し ます。 482 | Aventail E-Class SRA 10.7 管理者ガ イ ド VMware View リ ソースの追加 VMware View リ ソ ース を追加す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Resources] を ク リ ッ ク し ま す。 2. [Resources] ページ で [New] を ク リ ッ ク し て、 リ ス ト か ら [Server farm] を選択 し ます。 [Add Resource - Server Farm] ページが表示 さ れます。 3. [Name] ボ ッ ク ス に、 VMware View の名前を入力 し ま す。 4. ( オ プ シ ョ ン ) [Description] ボ ッ ク スに、 VMware View についての コ メ ン ト をわか り やす く 入力 し ます。 5. [Citrix or VMware servers] の下の [New] を ク リ ッ ク し 、 VMware View に含まれて い る VMware サーバー を指定 し ます。各 View には 1 台以上のサーバーが含まれて い る必要があ り ます。 a. [Host or IP address] ボ ッ ク ス に、 VMware サーバーのホ ス ト 名ま たは IP ア ド レ ス を 入力 し ます。 b. [Port] ボ ッ ク スに、ア プ ラ イ ア ン スが VMware サーバーのサー ビ ス に接続す る際に使用 さ れる ポー ト 番号を入力 し ます。 デ フ ォ ル ト のポー ト 番号は 「80」 です。 c. [OK] を ク リ ッ ク し ま す。 6. [Save] を ク リ ッ ク し ます。 VMware View ク ラ イ ア ン ト を追加す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Agent Configuration] を ク リ ッ ク し ます。 2. [Other agents] エ リ ア > [Graphical terminal agents] で、 [Configure] を ク リ ッ ク し ま す。 3. [VMware View clients] エ リ ア で、 [Browse...] を ク リ ッ ク し て エージ ェ ン ト フ ァ イ ルに移 動 し ます。 それぞれのエージ ェ ン ト フ ァ イ ルを選択 し ます。 4. [Save] を ク リ ッ ク し ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 483 タ ー ミ ナル サーバー ア ク セスのア ク セス制御ルールおよび リ ソ ース の定義 こ のセ ク シ ョ ン では、 ア ク セ ス制御ルールを定義 し て タ ー ミ ナル サーバー リ ソ ース を作成す る こ と に よ り 、 ユーザーに タ ー ミ ナル サーバー ア ク セ ス を提供す る方法につい て説明 し ます。 詳 細につい ては、 251 ペー ジの 「ア ク セ ス制御ルール」 お よ び 219 ペー ジの 「 リ ソ ー スの追加」 を参照 し て く だ さ い。 タ ー ミ ナル サーバー リ ソ ース を定義す る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Access Control] を ク リ ッ ク し ます。 2. [New] を ク リ ッ ク し ま す。 [Add/Edit Access Rule] ページが表示 さ れます。 3. [Number] ボ ッ ク ス に、 ア ク セ ス ルール リ ス ト 内でのルールの位置を示す番号を入力 し ま す。 4. [Action] ボ タ ン を使用 し て [Permit] を指定 し ます。 5. [Basic settings] で、 次のよ う に情報を指定 し ます。 a. [User] が選択 さ れてい ますが、 そのま ま に し てお き ます ( こ れに よ り 、 リ ソ ースへのア ク セ ス を試行す る ユーザーにルールが適用 さ れます )。 b. [From] ボ ッ ク ス では、 ルールを適用す る対象ユーザー を指定 し ます。 こ の例では、 値 を 「Any user」 のま ま と し て い ます。 c. [To] ボ ッ ク ス で、[Edit] を ク リ ッ ク し 、 こ のルールに対す る対象 リ ソ ース を指定 し ます。 [Resources] ウ ィ ン ド ウが表示 さ れます。 d. [New] を ク リ ッ ク し て、 リ ス ト か ら 「Host name or IP」 を選択 し ます。 同 じ IP サブ ネ ッ ト に複数の タ ー ミ ナル サーバーがあ る場合は、 [IP range] ま たは [Subnet] を選択 で き ます。 [Add/Edit Resource] ページが表示 さ れます。 e. リ ソ ースの名前を入力 し ます。 例えば、 「terminal server」 と 入力 し ます。 f. [Host name or IP address] ボ ッ ク スに、 タ ー ミ ナル サーバーのホ ス ト 名ま たは IP ア ド レ ス を入力 し ます。 g. [Save] を ク リ ッ ク し ます。 [Add/Edit Resource] ウ ィ ン ド ウが閉 じ ます。 6. [Finish] を ク リ ッ ク し ます。 グ ラ フ ィ カル タ ー ミ ナル エージ ェ ン ト の管理 こ のセ ク シ ョ ン では、E-Class SRA ア プ ラ イ ア ン ス経由で タ ー ミ ナル サーバー リ ソ ース に対 し てユーザー ア ク セ ス を 提供す る グ ラ フ ィ カ ル タ ー ミ ナル エ ージ ェ ン ト を 構成す る 方法につい て説明 し ます。 Aventail WorkPlace 経由で タ ー ミ ナル サーバーへのア ク セ ス を提供す る方法に つい ては、 486 ページの 「グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト 」 を参照 し て く だ さ い。 Windows Terminal Services エージ ェ ン ト の管理 [Configure Graphical Terminal Agents] ページの [Windows Terminal Services agents] セ ク シ ョ ン で示 さ れて い る よ う に、 E-Class SRA ア プ ラ イ ア ン ス では、 Windows ク ラ イ ア ン ト マ シ ン に イ ン ス ト ール さ れて い る ネ イ テ ィ ブの RDP ク ラ イ ア ン ト か、ア プ ラ イ ア ン ス にあ ら か じ め イ ン ス ト ール さ れて い る ク ロ ス プ ラ ッ ト フ ォ ームの Java ベース Windows Terminal Services エー 484 | Aventail E-Class SRA 10.7 管理者ガ イ ド ジ ェ ン ト のいずれか を、 自動的に使用 し ま す。 ク ロ ス プ ラ ッ ト フ ォ ームのエ ー ジ ェ ン ト はア プ ラ イ ア ン ス で使用す る よ う に カ ス タ マ イ ズ さ れて お り 、更新で き ません。ネ イ テ ィ ブの Windows RDP ク ラ イ ア ン ト は、 Microsoft の自動更新に よ り ク ラ イ ア ン ト マ シ ン で更新 さ れま す。 Citrix エージ ェ ン ト の管理 ユーザーが Citrix リ ソ ー ス に ア ク セ ス で き る よ う にす る には、 ア プ ラ イ ア ン ス に 2 つの Citrix エ ー ジ ェ ン ト (Windows 上 で 稼働す る ActiveX コ ン ト ロ ール と 、 ク ロ ス プ ラ ッ ト フ ォ ームの Java ア プ レ ッ ト ) を構成す る必要があ り ます。 ア プ ラ イ ア ン ス で それぞれの Citrix エージ ェ ン ト を構成す る場合、 エージ ェ ン ト フ ァ イ ルを ア プ ラ イ ア ン ス に ア ッ プ ロ ー ド し ま す。 E-Class SRA ア プ ラ イ ア ン ス は、 ユ ー ザ ー が初 め て Aventail WorkPlace か ら Citrix リ ソ ース に ア ク セ スす る際に、Citrix エージ ェ ン ト を プ ロ ビ ジ ョ ニ ン グ し ます。 Citrix エージ ェ ン ト を イ ン ス ト ールす る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Agent Configuration] を ク リ ッ ク し ます。 2. [Other agents] エ リ アの [Graphical terminal agents] で [Configure] を ク リ ッ ク し ます。 [Configure Graphical Terminal Agents] ページが表示 さ れます。 3. ActiveX エージ ェ ン ト を指定す る には、 [Citrix agents] の下にあ る [Windows (ActiveX control)] を次のよ う に構成 し ます。 a. [Agent file] ボ ッ ク スに、 エージ ェ ン ト フ ァ イ ルのパス を入力す るか、 [Browse] を ク リ ッ ク し て フ ァ イ ルの場所を指定 し ます。 b. [Save] を ク リ ッ ク し て、 フ ァ イ ルを E-Class SRA ア プ ラ イ ア ン ス に転送 し ます。 4. Mac OS X エージ ェ ン ト を指定す る には、 [Citrix agents] の下にあ る [Mac OS X] を次のよ う に構成 し ます。 a. [Agent file] ボ ッ ク スに、 エージ ェ ン ト フ ァ イ ルのパス を入力す るか、 [Browse] を ク リ ッ ク し て フ ァ イ ルの場所を指定 し ます。 b. [Save] を ク リ ッ ク し て、 フ ァ イ ルを E-Class SRA ア プ ラ イ ア ン ス に転送 し ます。 5. Java エージ ェ ン ト を指定す る には、 [Citrix agents] の下にあ る [Cross-platform (Java applet)] エ リ ア を次のよ う に構成 し ます。 a. [Agent file] ボ ッ ク スに、 エージ ェ ン ト フ ァ イ ルのパス を入力す るか、 [Browse] を ク リ ッ ク し て フ ァ イ ルの場所を指定 し ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 485 b. [Save] を ク リ ッ ク し て、 フ ァ イ ルを E-Class SRA ア プ ラ イ ア ン ス に転送 し ます。 VMware View ク ラ イ アン ト の管理 32 ビ ッ ト 版お よ び 64 ビ ッ ト 版 Windows のユーザーが VMware リ ソ ース に ア ク セ ス で き る よ う にす る には、ア プ ラ イ ア ン スに 2 つの VMware View ク ラ イ ア ン ト (32 ビ ッ ト Windows ク ラ イ ア ン ト と 64 ビ ッ ト Windows ク ラ イ ア ン ト ) を構成す る必要があ り ま す。 ア プ ラ イ ア ン ス で それぞれの VMware View ク ラ イ ア ン ト を構成す る には、 エージ ェ ン ト フ ァ イ ルを ア プ ラ イ ア ン ス に ア ッ プ ロ ー ド し ます。 E-Class SRA ア プ ラ イ ア ン スは、 ユーザーが初 めて Aventail WorkPlace か ら VMware View リ ソ ースに ア ク セ スす る際に、VMware View エー ジ ェ ン ト を プ ロ ビ ジ ョ ニ ン グ し ます。 VMware エージ ェ ン ト を イ ン ス ト ールす る には 1. AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Agent Configuration] を ク リ ッ ク し ます。 2. [Other agents] エ リ アの [Graphical terminal agents] で [Configure] を ク リ ッ ク し ます。 [Configure Graphical Terminal Agents] ページが表示 さ れます。 3. 32 ビ ッ ト 版 Windows 向け VMware View ク ラ イ ア ン ト 用のエージ ェ ン ト を指定す る には、 [VMWare View clients] の下にあ る [Windows (32-bit)] を次のよ う に構成 し ます。 a. [Agent file] ボ ッ ク スに、 エージ ェ ン ト フ ァ イ ルのパス を入力す るか、 [Browse] を ク リ ッ ク し て フ ァ イ ルの場所を指定 し ます。 b. [Save] を ク リ ッ ク し て、 フ ァ イ ルを E-Class SRA ア プ ラ イ ア ン ス に転送 し ます。 4. 64 ビ ッ ト 版 Windows 向け VMware View ク ラ イ ア ン ト 用のエージ ェ ン ト を指定す る には、 [VMWare View clients] の下にあ る [Windows (64-bit)] エ リ ア を次のよ う に構成 し ます。 a. [Agent file] ボ ッ ク スに、 エージ ェ ン ト フ ァ イ ルのパス を入力す るか、 [Browse] を ク リ ッ ク し て フ ァ イ ルの場所を指定 し ます。 b. [Save] を ク リ ッ ク し て、 フ ァ イ ルを E-Class SRA ア プ ラ イ ア ン ス に転送 し ます。 5. Mac OS X 向け VMware View ク ラ イ ア ン ト 用のエージ ェ ン ト を指定す る には、 [VMWare View clients] の下にあ る [Mac OS X] エ リ ア を次のよ う に構成 し ます。 a. [Agent file] ボ ッ ク スに、 エージ ェ ン ト フ ァ イ ルのパス を入力す るか、 [Browse] を ク リ ッ ク し て フ ァ イ ルの場所を指定 し ます。 b. [Save] を ク リ ッ ク し て、 フ ァ イ ルを E-Class SRA ア プ ラ イ ア ン ス に転送 し ます。 グ ラ フ ィ カル タ ー ミ ナル シ ョ ー ト カ ッ ト グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト を作成す る と 、 Windows Terminal Services ホ ス ト ま たは Citrix ホ ス ト で提供 さ れる リ ソ ースに対 し て、 ユーザーが Web ベース で ア ク セ ス で き る よ う に な り ま す。 タ ー ミ ナル リ ソ ース に対す る シ ョ ー ト カ ッ ト を 作成す る と き は、 あ ら か じ めそ 486 | Aventail E-Class SRA 10.7 管理者ガ イ ド の リ ソ ース を 定義す る必要があ り ます ( 詳細につい ては、 219 ページの 「 リ ソ ースの追加」 お よ び 481 ページの 「Citrix サーバー フ ァ ーム リ ソ ースの追加」 を参照 し て く だ さ い )。 ま た、 適 切な グ ラ フ ィ カ ル タ ー ミ ナル エージ ェ ン ト が AMC で指定 さ れてい る必要 も あ り ます。 詳細に つい ては、 484 ページの 「グ ラ フ ィ カ ル タ ー ミ ナル エージ ェ ン ト の管理」 を参照 し て く だ さ い。 こ のセ ク シ ョ ン では、 個別の Citrix ま たは Windows Terminal Services ホ ス ト 、 お よ び Citrix サーバー フ ァ ームに対す る グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト を 構成す る 方法につい て 説明 し ます。 個別のホス ト に対するグ ラ フ ィ カル タ ー ミ ナル シ ョ ー ト カ ッ ト の追加 こ のセ ク シ ョ ン では、個別の Windows Terminal Services ま たは Citrix ホ ス ト に対す る グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト を構成す る方法を説明 し ま す。 Citrix サーバー フ ァ ームに対す る グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト の構成については、 490 ページの 「サーバー フ ァ ー ムへのグ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト の追加」 を参照 し て く だ さ い。 個別のホ ス ト に対す る グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト を追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 2. [Shortcuts] タ ブ で [New] を ク リ ッ ク し 、 リ ス ト か ら [Graphical terminal shortcut] を選択 し ます。 [Add Graphical Terminal Shortcut] ページの [General] タ ブが表示 さ れます。 3. [Position] ボ ッ ク ス に、 リ ス ト 内でのシ ョ ー ト カ ッ ト の位置を指定 し ます。 4. [Resource] リ ス ト で、 こ のシ ョ ー ト カ ッ ト が リ ン ク し て い る ホ ス ト ま たは IP ア ド レ ス リ ソ ース を選択 し ます。こ の リ ス ト には、定義済みの利用可能な リ ソ ースが表示 さ れます (URL リ ソ ース お よ び ネ ッ ト ワー ク 共有 リ ソ ースは、 グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト を 関連付け る こ と がで き な いため、 表示 さ れません )。 5. ハ イ パー リ ン ク (ユーザーは こ のハ イ パー リ ン ク を ク リ ッ ク し て リ ソ ース に ア ク セ ス し ます ) を入力 し 、 オ プ シ ョ ン で、 その リ ン ク の説明 ( リ ン ク の横に表示 さ れます ) を入力 し ます。 こ れ ら のエ ン ト リ には変数を含める こ と がで き ます。 a. [Link text] ボ ッ ク ス に、ユーザーに表示す るハ イ パー リ ン ク テキス ト を入力 し ます。例 えば、 選択 し た リ ソ ースがユーザーのホーム デ ィ レ ク ト リ の Windows ド メ イ ンの場合 は、 「Home directory」 と 入力 し ます。 変数を使用す る と 、 リ ン ク の後 ろ に実際のパ ス を表示で き ます。 [{variable}] を ク リ ッ ク し 、 リ ス ト か ら [{URL_REF_VALUE}] を選 択 し ま す。 [Insert] を ク リ ッ ク す る と 変数が リ ン ク テ キ ス ト に 追加 さ れ ま す。 再度 [{variable}] を ク リ ッ ク す る と リ ス ト が閉 じ ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 487 b. [Description] ボ ッ ク ス に、 そのシ ョ ー ト カ ッ ト についての コ メ ン ト をわか り やす く 入 力 し ます。 説明の入力はオ プ シ ョ ン ですが、 入力 し て お く と ユーザーが リ ソ ース を識別 し やす く な り ます。 例えば、 変数を使用 し て、 そのユーザーに固有の内容にす る こ と が で き ま す。 [Description] の エ ン ト リ の 例 と 、 WorkPlace で ユ ー ザ ー ( こ の 例 で は LGeorge) に表示 さ れる説明のテ キス ト を以下に示 し ます。 {Session.userName}’s user directory —> LGeorge’s user directory 6. シ ョ ー ト カ ッ ト を現在の設定で保存す る と き は [Finish] を ク リ ッ ク し 、 他の構成設定を表 示 す る と き は [Next] を ク リ ッ ク し ま す。 [Add Graphical Terminal Shortcut] ペ ー ジ の [Advanced] タ ブが表示 さ れます。 7. [Session type] で、 開始す る セ ッ シ ョ ンの タ イ プ を指定 し ます。 488 | Aventail E-Class SRA 10.7 管理者ガ イ ド 8. 9. • Windows Terminal Services ホ ス ト と の接続を開始す る場合は、 [Windows Terminal Services] を ク リ ッ ク し ます。 [Port] ボ ッ ク ス には、 Windows Terminal Services 接続 のポ ー ト 番号 を 入力 し ま す。 シ ーム レ ス に再接続 を 試行す る 場合は、 [Automatically reconnect if session is interrupted] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 • 個別の Citrix ホ ス ト への接続を開始す る場合は、[Citrix] を ク リ ッ ク し ます。[Port] ボ ッ ク ス に、 接続のポー ト 番号 を 入力 し ま す。 オ プ シ ョ ン で、 [Custom ICA file] を 指定で き ます ( こ の フ ァ イ ルのパス を入力す るか、 [Browse] を ク リ ッ ク し て フ ァ イ ルの場所 を指定 し ます )。 カ ス タ ム ICA フ ァ イ ルには、 Citrix ホ ス ト に対す る追加の構成設定が 含まれて い ます。 [Single sign-on] で、ユーザー ク レ デ ン シ ャ ルがホ ス ト に渡 さ れる方法を指定 し ます。ユー ザー ク レ デ ン シ ャ ル を転送す る と 、 ユーザーが複数回ロ グ イ ン す る ( ア プ ラ イ ア ン スへア ク セ スす る ために ロ グ イ ン し 、ホ ス ト へア ク セ スす る ために再度ロ グ イ ン す る ) 必要がな く な り ます。 • シ ン グル サ イ ン オ ン を オ フ に し 、その代わ り にユーザーに ク レ デ ン シ ャ ルを要求す る と き は、 [None] を ク リ ッ ク し ます。 • WorkPlace で認証に使用 さ れる ユーザー名 と パス ワー ド を ホ ス ト に渡す と き は、 [Forward user’s session credentials] を ク リ ッ ク し ます。 • すべ て のユ ーザー に つ い て 同 じ ユ ーザー名 と パ ス ワ ー ド を 転送す る に は、 [Forward static credentials] を ク リ ッ ク し ます。 すべてのユーザーに転送す る には、 静的なユー ザー名、 パス ワー ド 、 ド メ イ ン を [Username]、 [Password]、 [Domain] に入力 し ます。 ユーザーがグ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト を ク リ ッ ク し た と き に ア プ リ ケーシ ョ ン を自動的に起動 さ せる場合は、 [Startup options] を指定 し ます。 • [Start application] ボ ッ ク ス に、 起動す る ア プ リ ケーシ ョ ンのパス を入力 し ま。 • ア プ リ ケーシ ョ ン で作業デ ィ レ ク ト リ が必要な場合は、 [Working directory] ボ ッ ク ス にそのパス を入力 し ます。 10. [Display properties] を次のよ う に指定 し ま す。 • [Screen resolution] リ ス ト で、 そのア プ リ ケーシ ョ ン に対す る適切な解像度を選択 し ます。 デ フ ォ ル ト 解像度は 「1024 x 768 pixels」 です。 カ ス タ ム解像度を設定す る には、 [Custom...] を選択 し て、右側に表示 さ れる フ ィ ール ド に希望のピ ク セル値 ( 幅 x 高 さ ) を 入 力 し ま す。 サ ポ ー ト さ れ る 解 像 度 の 最 小 値 は 640x480 ピ ク セ ル、 最 大 値 は 4096x2048 ピ ク セルです。 • Terminal Services に対す る シ ョ ー ト カ ッ ト の場合、 ユーザーが画面解像度を変更で き る よ う にす る には [Allow users to select a different resolution] チ ェ ッ ク ボ ッ ク ス を 選択 し ま す。 ユーザーは、 Workplace で シ ョ ー ト カ ッ ト 自体の リ ス ト ボ ッ ク スか ら 解 像度を選択で き る よ う に な り ます。 Citrix シ ョ ー ト カ ッ ト の場合、 こ のチ ェ ッ ク ボ ッ ク スは無効に な っ て い ます。 • [Color depth] リ ス ト で、 色深度を選択 し ます。 デ フ ォ ル ト 設定は 「Lowest (8-bit)」 で す。 色深度の設定を高 く す る と パ フ ォ ーマ ン スが低下す る可能性があ り ます。 11. 必要に応 じ て、 [Resource redirection] を設定 し ます。 • [Allow access to local drives] チ ェ ッ ク ボ ッ ク ス を選択す る と 、 ユーザーはセ ッ シ ョ ン中に ロ ー カ ル ド ラ イ ブ に ア ク セ ス で き る よ う に な り ます。 • [Allow access to local printers] チ ェ ッ ク ボ ッ ク ス を選択す る と 、ユーザーはセ ッ シ ョ ン中に ロ ー カ ル プ リ ン タ に ア ク セ ス で き る よ う に な り ます。 • [Bring remote audio to local computer] チ ェ ッ ク ボ ッ ク ス を選択す る と 、ユーザーは セ ッ シ ョ ン 中に リ モ ー ト の音声に ア ク セ ス で き る よ う に な り ま す。 音声の リ ダ イ レ ク シ ョ ンはネ ッ ト ワー ク リ ソ ース を多 く 消費す る ため、パ フ ォ ーマ ン スが低下す る可能性 があ る こ と に注意 し て く だ さ い。 デ フ ォ ル ト ではオ フ に な っ て い ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 489 • [Share clipboard between local and remote computers] チ ェ ッ ク ボ ッ ク ス を選択す る と 、 ユーザーは双方向で ク リ ッ プ ボー ド の内容の コ ピ ー と 貼 り 付けがで き る よ う に な り ます。 デ フ ォ ル ト では、 こ の機能が有効に な っ て い ます。 12. [Finish] を ク リ ッ ク し ます。 メモ • • • Citrix ホ ス ト に対す る シ ョ ー ト カ ッ ト で シ ン グル サ イ ン オ ン を有効にす る と 、 ユーザー の認証 ク レ デ ン シ ャ ルが ク ラ イ ア ン ト に転送 さ れ る よ う に な る ため、 セ キ ュ リ テ ィ 上、 危険に さ ら さ れる可能性があ り ます。 Windows Terminal Services エージ ェ ン ト の Java オープ ン ソ ース版では、 [Resource redirection] オ プ シ ョ ンはサポー ト さ れてい ません。 ア プ リ ケ ー シ ョ ン お よ び デ ー タ の セ ッ ト への読み取 り 専用 ア ク セ ス を 提供す る シ ョ ー ト カ ッ ト では、 ク リ ッ プ ボー ド の共有を有効にす る こ と は適切ではあ り ません。 サーバー フ ァ ームへのグ ラ フ ィ カル タ ー ミ ナル シ ョ ー ト カ ッ ト の追加 こ のセ ク シ ョ ン では、 Citrix サーバー フ ァ ームに対す る グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト を構成す る方法について説明 し ます。 個別の Citrix ま たは Windows Terminal Services ホ ス ト に対す る グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト の構成については、 487 ページの 「個別の ホ ス ト に対す る グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト の追加」 を参照 し て く だ さ い。 サーバー フ ァ ームに対す る グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト を追加す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Aventail WorkPlace] を ク リ ッ ク し ます。 2. [New] を ク リ ッ ク し 、 リ ス ト か ら [Graphical terminal shortcut] を選択 し ます。 [Add Graphical Terminal Shortcut] ページの [General] タ ブが表示 さ れま す。 3. [Position] ボ ッ ク ス に、 リ ス ト 内でのシ ョ ー ト カ ッ ト の位置を指定 し ます。 4. [Resource] リ ス ト で、 こ のシ ョ ー ト カ ッ ト が リ ン ク し て い る リ ソ ース を選択 し ます。 こ の リ ス ト には、 定義済みの利用可能な リ ソ ー スが表示 さ れま す (URL リ ソ ース お よ び ネ ッ ト ワー ク 共有 リ ソ ースは、 グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト を関連付け る こ と がで き ないため、 表示 さ れません )。 5. [Link text] ボ ッ ク ス に、 ハ イ パー リ ン ク テ キス ト を入力 し ます。 ユーザーは こ のハ イ パー リ ン ク テ キス ト を ク リ ッ ク し て グ ラ フ ィ カ ル タ ー ミ ナル リ ソ ース に ア ク セ ス し ます。 490 | Aventail E-Class SRA 10.7 管理者ガ イ ド 6. ハ イ パー リ ン ク (ユーザーは こ のハ イ パー リ ン ク を ク リ ッ ク し て リ ソ ース に ア ク セ ス し ます ) を入力 し 、 オ プ シ ョ ン で、 その リ ン ク の説明 ( リ ン ク の横に表示 さ れます ) を入力 し ます。 こ れ ら のエ ン ト リ には変数を含める こ と がで き ます。 a. [Link text] ボ ッ ク ス に、 ユーザーに表示す るハ イ パー リ ン ク テキス ト を入力 し ます。 b. [Description] ボ ッ ク ス に、 そのシ ョ ー ト カ ッ ト についての コ メ ン ト をわか り やす く 入 力 し ます。 説明の入力はオ プ シ ョ ン ですが、 入力 し て お く と ユーザーが リ ソ ース を識別 し やす く な り ます。 例えば、 変数を使用 し て、 そのユーザーに固有の内容にす る こ と が で き ま す。 [Description] の エ ン ト リ の 例 と 、 WorkPlace で ユ ー ザ ー ( こ の 例 で は LGeorge) に表示 さ れる説明のテ キス ト を以下に示 し ます。 {Session.userName}’s user directory —> LGeorge’s user directory 7. WorkPlace において、 グルー プ を設定 し てユーザー向けの リ ソ ース を ま と め る こ と がで き るほか、 各シ ョ ー ト カ ッ ト を個別に表示す る こ と も で き ま す。 [Shortcut group] エ リ ア で、 新 し い シ ョ ー ト カ ッ ト を新規ま たは既存のグルー プ に追加 し ます。こ のシ ョ ー ト カ ッ ト を単 独で WorkPlace に表示す る には、 [Standalone shortcuts] グルー プ に追加 し ます ( シ ョ ー ト カ ッ ト の表示順序は [Configure WorkPlace Layout] ページ で変更で き ます。詳細について は、 417 ページの 「WorkPlace レ イ ア ウ ト の作成ま たは編集」 を参照 し て く だ さ い )。 8. シ ョ ー ト カ ッ ト を現在の設定で保存す る と き は [Finish] を ク リ ッ ク し 、 他の構成設定を表 示 す る と き は [Next] を ク リ ッ ク し ま す。 [Add Graphical Terminal Shortcut] ペ ー ジ の [Advanced] タ ブが表示 さ れます。 9. 必要な場合は、 [Port] に別の値を指定 し て、 Citrix ク ラ イ ア ン ト と Aventail WorkPlace と の 間での ICA ト ラ フ ィ ッ ク の送信に使用す る ポー ト を 変更で き ま す。 デ フ ォ ル ト ポー ト は 1494 です。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 491 10. [Single sign-on] で、ユーザー ク レ デ ン シ ャ ルがホ ス ト に渡 さ れる方法を指定 し ます。ユー ザー ク レ デ ン シ ャ ル を転送す る と 、 ユーザーが複数回ロ グ イ ン す る ( ア プ ラ イ ア ン スへア ク セ スす る ために ロ グ イ ン し 、ホ ス ト へア ク セ スす る ために再度ロ グ イ ン す る ) 必要がな く な り ます。 • シ ン グル サ イ ン オ ン を オ フ に し 、その代わ り にユーザーに ク レ デ ン シ ャ ルを要求す る と き は、 [None] を ク リ ッ ク し ます。 • WorkPlace で認証に使用 さ れる ユーザー名 と パス ワー ド を ホ ス ト に渡す と き は、 [Forward user’s session credentials] を ク リ ッ ク し ます。 • すべ て のユ ーザー に つ い て 同 じ ユ ーザー名 と パ ス ワ ー ド を 転送す る に は、 [Forward static credentials] を ク リ ッ ク し ます。 すべてのユーザーに転送す る には、 静的なユー ザー名、 パス ワー ド 、 ド メ イ ン を [Username]、 [Password]、 [Domain] に入力 し ます。 11. ユーザーの WorkPlace ロ グ イ ン ク レ デ ン シ ャ ルを、 Citrix サーバー フ ァ ームで ホ ス ト さ れ てい る、すべてのパブ リ ッ シ ュ ア プ リ ケーシ ョ ン に転送す る と き は、[Enable SSO to Citrix applications] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 Citrix ア プ リ ケーシ ョ ン で シ ン グル サ イ ン オ ン を有効にす る と 、 ユーザーの利便性は向上 し ますが、 ユーザーのパス ワー ド が ク ラ イ ア ン ト コ ン ピ ュ ー タ に一時的に ク リ ア テ キス ト で保存 さ れる よ う に な る ため、 セキ ュ リ テ ィ が危険に さ ら さ れる可能性があ り ます。 12. [Display properties] を次のよ う に指定 し ま す。 • [Screen resolution] リ ス ト で、 ア プ リ ケーシ ョ ン に対す る適切な解像度を選択 し ます。 デ フ ォ ル ト 設定は [1024 x 768 pixels] です。 • [Color depth] リ ス ト で、 色深度を選択 し ます。 デ フ ォ ル ト 設定は [16-bit] です。 色深 度設定を高 く す る と ダウ ン ロ ー ド 速度が低下す る可能性があ り ます。 13. [Save] を ク リ ッ ク し ます。 メモ Citrix ホ ス ト に対す る シ ョ ー ト カ ッ ト で シ ン グル サ イ ン オ ン を有効にす る と 、ユーザーの 認証 ク レ デ ン シ ャ ルが ク ラ イ ア ン ト に転送 さ れる よ う に な る ため、 セキ ュ リ テ ィ 上、 危険 に さ ら さ れる可能性があ り ます。 E-Class SRA Connect for Android E-Class SRA Connect for Android を使用す る と 、ス マー ト フ ォ ン な どの Android デバ イ ス で利 用可能な ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ン に安全にネ ッ ト ワー ク ア ク セ ス で き る よ う に な り ます。 Android ク ラ イ ア ン ト は、 OnDemand マ ッ プ モー ド に似た ア プ リ ケーシ ョ ン層の プ ロ キシ リ ダ イ レ ク シ ョ ン を提供 し ます。 Android ク ラ イ ア ン ト では、 複数の VPN プ ロ フ ァ イ ルの作成、 ク ラ イ ア ン ト 証明書の イ ン ポー ト 、 利用可能なすべての認証方法、 お よ び基本的な End Point Control (EPC) をサポー ト し て い ます。 認証の成功後、 ク ラ イ ア ン ト は、 管理者に よ っ て指定 さ れた、 あ ら か じ め定義 さ れたポー ト マ ッ プの読み込み と 開始 を試行 し ま す。 エ ン ド ユーザー も ポー ト マ ッ プ を 定義で き ま すが、 その場合で も ア ク セ スはア プ ラ イ ア ン ス でのポ リ シ ー評価に基づい て処理 さ れ ま す。 一般に、 ポー ト マ ッ プは、企業ネ ッ ト ワー ク 内の E-Class SRA ア プ ラ イ ア ン ス で保護 さ れたバ ッ ク エ ン ド サーバーへの RDP、 VNC、 ま たは SSH ア ク セ ス に使用 さ れま す。 E-Class SRA Connect for Android のイ ン ス ト ール E-Class SRA Connect for Android ク ラ イ ア ン ト は、 Android マーケ ッ ト か ら 無料で ダウ ン ロ ー ド し て イ ン ス ト ールで き ます。 492 | Aventail E-Class SRA 10.7 管理者ガ イ ド E-Class SRA Connect for Android は、 Android 2.1 以降を搭載 し たデバ イ ス をサポー ト し て い ます。 E-Class SRA Connect for Android の構成および使用 こ のセ ク シ ョ ン では、 プ ロ フ ァ イ ル管理、 認証、 ポー ト マ ッ プの作成 と 管理、 通知、 設定、 お よ び証明書ス ト ア について説明 し ます。 プ ロ フ ァ イル管理 初めて起動 し た際、 ア プ リ ケーシ ョ ン には VPN プ ロ フ ァ イ ルが設定 さ れてい ません。 VPN プ ロ フ ァ イ ルを作成す る には、 以下の手順を実行 し ます。 1. メ イ ン画面で [Add VPN] を選択す るか、 デバ イ スの MENU キー を押 し て オ プ シ ョ ン メ ニ ュ ーで [Add] を選択 し ま す。 2. [VPN Configurations] 画面で、[VPN Configuration Name] フ ィ ール ド を空欄のま ま と し て、 他の フ ィ ール ド で値 を 選択 し た後に自動的に入力で き る よ う に し て お き ま す。 オ プ シ ョ ン で、 [VPN Configuration Name] フ ィ ール ド に、 こ の VPN プ ロ フ ァ イ ルの名前を入力で き ます。 3. [Host name or IP address of your VPN] フ ィ ール ド に、 VPN のホ ス ト 名ま たは IP ア ド レ ス を入力 し ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 493 4. [Change] ボ タ ン を押 し て ロ グ イ ン グループ / レ ルム を読み込み、 使用す る レ ルム を選択 し ます。 5. ダ イ ア ロ グ で レ ルム を選択す る と 、 選択 し た レ ルムが [Login Group] フ ィ ール ド に入力 さ れ、 [VPN Configuration Name] が 「Realm@VPN」 に設定 さ れます ( ま だ名前が入力 さ れ てい ない場合 )。 [Save] ボ タ ン を押 し て VPN プ ロ フ ァ イ ルを保存 し ま す。 追加 さ れた VPN プ ロ フ ァ イ ルは、 ホーム画面に表示 さ れます。 ホーム画面には、 構成 さ れ てい る VPN プ ロ フ ァ イ ルがすべて表示 さ れます。 6. ホーム画面で、 リ ス ト 内のプ ロ フ ァ イ ルを長押 し す るか、 オ プ シ ョ ン メ ニ ュ ーの [Edit] を 選択す る と 、 VPN プ ロ フ ァ イ ルを管理で き ます。 494 | Aventail E-Class SRA 10.7 管理者ガ イ ド プ ロ フ ァ イ ル を し ば ら く 押 し た ま ま にす る と 、 ダ イ ア ロ グ ボ ッ ク スが表示 さ れ、 プ ロ フ ァ イ ルを直接編集ま たは削除で き ます。 7. [Delete VPN Configuration] を選択す る と 、 プ ロ フ ァ イ ルが削除 さ れます。 8. [Edit VPN Configuration] を選択す る と 、 プ ロ フ ァ イ ルを編集で き ます。 オ プ シ ョ ン メ ニ ュ ー を使用す る と 、 複数のプ ロ フ ァ イ ルを一度に管理で き ます。 認証 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 495 ホーム画面で ロ グ イ ン す る VPN プ ロ フ ァ イ ルを選択す る と 、 ロ グ イ ン画面が表示 さ れます。 ロ グ イ ン 画面の タ イ プ は、 管理者の設定 し た認証方式に よ っ て異な り ま す。 ロ グ イ ン 画面では、 ユーザー名 と パス ワー ド に よ る 認証が要求 さ れ る 場合のほか、 証明書認証 を 使用 し て い る 場合 も あ り ます。 SD カ ー ド に保存 さ れた証明書 (*.pfx) を、 認証用に イ ン ポー ト で き ます。 ク レ デ ン シ ャ ルを指定 し て [Connect] を押 し た後、 SSL 証明書に問題があ る場合は、 証明書に 関す る プ ロ ン プ ト のダ イ ア ロ グが表示 さ れ る こ と があ り ま す。 [Show Certificate] を 押 し て詳 細を確認 し ます。 [Accept] を押す と 、 証明書を受け入れて ロ グ イ ン処理 を続行 し ます。 証明書に問題があ る と 考 え ら れる場合は、 [Reject] を押 し ます。 指定 し た ク レ デ ン シ ャ ルが無効な場合、 再認証の画面が表示 さ れます。 認証サーバーが Active Directory を使用 し てい る場合、パス ワー ド 変更の通知画面が表示 さ れる 場合があ り ます。 管理者がス タ ッ ク 認証 を 構成 し て い る 場合、 2 つ目の認証 ク レ デ ン シ ャ ル を 入力す る ための追 加の画面が表示 さ れます。 ポー ト マ ッ プの管理 認証の成功後、管理者が定義 し たサー ビ スのポー ト マ ッ プ ( シ ョ ー ト カ ッ ト ) の リ ス ト と 、ユー ザーが定義 し たサー ビ スへのポー ト マ ッ プが表示 さ れます。 496 | Aventail E-Class SRA 10.7 管理者ガ イ ド メモ OnDemand が有効に な っ て い る レ ルムに接続 し た場合は、 管理者の作成 し た ア プ リ ケー シ ョ ンのポー ト マ ッ プのみが表示 さ れます。 リ ス ト 内の項目 を し ば ら く 押 し た ま ま にす る と 、 サー ビ スの詳細の表示や ク リ ッ プ ボー ド への ア ド レ スの コ ピ ー を実行で き ます。 [View Portmap] を選択す る と 詳細が表示 さ れ、 [Copy Portmap] を ク リ ッ ク す る と ア ド レ スが コ ピ ー さ れます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 497 管理者の定義 し た ポー ト マ ッ プ に加え て、 ユーザーがポー ト マ ッ プ を 作成で き ま す。 新 し い ポー ト マ ッ プ を作成す る には、 [Services] の横のプ ラ ス (+) ボ タ ン を押 し ます。 ユーザーの定義 し たポー ト マ ッ プはいつで も 削除で き ます。 後で再使用で き る よ う 、 ユーザーの定義 し たポー ト マ ッ プはすべて、 VPN セ ッ シ ョ ンの終了時 にデバ イ ス上に保存 さ れます。 ユーザーの定義 し たポー ト マ ッ プは、 管理者が定義 し た ア ク セ ス制御 リ ス ト (ACL) に従 っ て機能 し ます。 特定の リ ソ ースへのア ク セ ス権がな い場合、 ポー ト マ ッ プは、 表示 さ れて いて も 機能 し ません。 通知エ リ ア [Home] ボ タ ン を押す と 、 いつ で も VPN セ ッ シ ョ ン をバ ッ ク グ ラ ウ ン ド で実行で き ま す。 VPN セ ッ シ ョ ンが確立 さ れる と 、 通知バー と プルダウ ン画面で E-Class SRA Connect の通知が表示 さ れます。 498 | Aventail E-Class SRA 10.7 管理者ガ イ ド VPN のス テ ー タ ス画面にセ ッ シ ョ ンの詳細を表示す る には、 通知を選択 し ます。 設定および証明書ス ト ア ホーム画面か ら 、 [Preferences] 画面や証明書ス ト ア に移動で き ます。 [Preferences] 画面では、 必要に応 じ て、 デバ ッ グ ロ グ を有効化 し た り 、 E-Class SRA のサポー ト 部門へ送信す る ために ロ グ を外部 SD カ ー ド に コ ピ ーで き ま す。 [Preferences] 画面か ら 証明書 ス ト ア に移動す る こ と も で き ま す。 証明書 ス ト ア で は、 ア プ リ ケーシ ョ ン ま たはユーザーに よ っ て保存 さ れた、 ユーザー証明書 と パブ リ ッ ク 証明書の両方が 表示 さ れます。 証明書認証が構成 さ れて い る レ ルムに ロ グ イ ン す る ために、 E-Class SRA ア プ ラ イ ア ン スの管理者か ら 提供 さ れたユーザー証明書を証明書ス ト ア に イ ン ポー ト で き ます。 デバ ッ グ ログの有効化と 保存 E-Class SRA Connect では、 デバ ッ グ ロ グ を設定 し て、 ロ グ を指定の場所に保存で き ます。 ロ グ イ ン 画面下部の [Properties] ボ タ ン を ク リ ッ ク し ま す。 [Settings] タ ブ で [Clear Logs] と [Apply] を ク リ ッ ク し て現在のロ グのセ ッ ト を消去 し てか ら 、[Enable Debug Logging] のチ ェ ッ ク ボ ッ ク ス を選択 し ます。 [OK] を ク リ ッ ク し ます。 ユーザー ア ク セス コ ンポーネ ン ト お よびサービ ス | 499 E-Class SRA のサポー ト 部門へロ グ を送信す る ために、 選択 し たサ イ ト に ロ グ を ダウ ン ロ ー ド す る には、 [Export Logs] を ク リ ッ ク し ま す。 ポ ッ プ ア ッ プ す る ブ ラ ウザ で 場所 を 選択 し て、 [Save] を ク リ ッ ク し ます。 500 | Aventail E-Class SRA 10.7 管理者ガ イ ド 第 11 章 Virtual Assist E-Class SRA の Virtual Assist は、 リ モー ト か ら サポー ト を行 う ためのツ ールです。 こ のツ ール に よ り 、 管理者やヘルプ デス ク 技術担当者は顧客の コ ン ピ ュ ー タ の制御を引 き 受けて、 リ モー ト か ら 技術的な支援を提供で き ます。 Virtual Assist のセ ッ シ ョ ンは、 技術担当者ま たは顧客の いずれかが開始で き ま す。 技術担当者が招待電子 メ ール を 送信 し 、 顧客は メ ールに含まれ る リ ン ク を ク リ ッ ク し て Virtual Assist セ ッ シ ョ ン を開始 し ます。 ま たは、 顧客が Virtual Assist を 使用 し て支援を要求 し ます。 Virtual Assist と は ? Virtual Assist は、 従来の顧客サポー ト よ り も はるかに少な い費用で、 展開が簡素で使いやすい リ モー ト サポー ト ソ リ ュ ーシ ョ ン を提供 し ま す。 Virtual Assist は次の メ リ ッ ト を実現 し ま す。 簡素で効果的な顧客サポー ト - サポー ト ス タ ッ フ は、 問題解決のために Virtual Assist を使 用 し て顧客の コ ン ピ ュ ー タ に直接ア ク セ ス で き ます。 こ れに よ っ て、 ユーザーが問題や コ ン ピ ュ ー タ の動作に つ い て電話 で 説明す る 必要が な く な り ま す。 ま た顧客 と 技術担当者は、 Virtual Assist のセ ッ シ ョ ンの間、 フ ァ イ ルを簡単にや り と り で き ます。 • 時間 と 費用の削減 - Virtual Assist に よ り 、 サポー ト ス タ ッ フ が問題解決のために顧客のサ イ ト を 訪問す る必要がな く な り 、 サポー ト コ ールの問題解決に要す る 平均時間が削減 さ れ ます。 • 教育ツ ール - 訓練担当者やサポー ト ス タ ッ フ は、 プ ロ グ ラ ムやツ ールの使用方法を、Virtual Assist を使用 し て リ モー ト でユーザーに示す こ と がで き ます。 • 既存の認証シ ス テム と のシーム レ ス な統合 - ユーザー を確実に認証 し ます。 • 安全な接続 - SSL VPN ア プ ラ イ ア ン スに よ る デー タ の 256 ビ ッ ト AES SSL 暗号化に よ り 、 デー タ に安全な環境 を 提供 し 、 Sarbanes-Oxley 法や HIPAA 法の よ う な規制への準拠 を 支 援 し ます。 Virtual Assist は、Aventail 管理 コ ン ソ ール (AMC) か ら 実行可能 フ ァ イ ルを ダウ ン ロ ー ド し て イ ン ス ト ール さ れま す。 ま た、 技術担当者か ら の電子 メ ールに含まれ る リ ン ク を ク リ ッ ク し て イ ン ス ト ールす る こ と も 可能です。 Virtual Assist は顧客の コ ン ピ ュ ー タ に イ ン ス ト ール さ れ、 顧 客が権限 を 付与 し ま す。 こ れに よ り 、 技術担当者は コ ン ピ ュ ー タ に ア ク セ ス し て、 問題の診断 と 解決 を リ モ ー ト か ら 実行で き ま す。 さ ら に Virtual Assist に よ り 、 技術担当者は顧客の コ ン ピ ュ ー タ か ら フ ァ イ ル ( ロ グ フ ァ イ ルな ど ) を送信 し た り 、 顧客 と オ ン ラ イ ン で チ ャ ッ ト し た り で き ます。 • Virtual Assist | 501 Virtual Assist の仕組み Virtual Assist のセ ッ シ ョ ン には、 顧客のビ ュ ー と 技術担当者のビ ュ ーの 2 種類があ り ます。 顧 客 と は、 自分の コ ン ピ ュ ー タ に対す る サポー ト を 要求す る 人の こ と で す。 技術担当者 と は、 サ ポー ト を提供す る人の こ と です。Virtual Assist セ ッ シ ョ ン を誰が開始す るかに応 じ て、セ ッ シ ョ ンは次の一連の イ ベ ン ト で構成 さ れます (Virtual Assist の イ ン ス ト ール後 )。 技術担当者が Virtual Assist セ ッ シ ョ ン を起動する場合 1. 技術担当者が Virtual Assist を起動す る際は、Windows の [ ス タ ー ト ] メ ニ ュ ーか ら [ ス タ ー ト ] > [ す べ て の プ ロ グ ラ ム ] > [E-Class SRA Virtual Assist] を 選 択 す る か、 ま た は VASAC.exe フ ァ イ ルを開 き ます。 メモ 使用す る Windows のバージ ョ ン に応 じ て、 Windows シ ョ ー ト カ ッ ト を作成 し た り タ ス ク バーに追加 し た り す る こ と に よ り 、 迅速に ア ク セ ス で き ます。 2. 技術担当者は、 顧客に招待電子 メ ールを送信 し て、 顧客の コ ン ピ ュ ー タ へのア ク セ ス を要求 し ます。 3. 続い て技術担当者は、 Virtual Assist の招待電子 メ ールに応答 ( ま たはサポー ト を要求 ) し て い る ユーザーに つ い て、 チ ケ ッ ト のキ ュ ー を 監視 し ま す。 チ ケ ッ ト のキ ュ ーは、 Virtual Assist コ ン ソ ールの [Service] ウ ィ ン ド ウ、 ま たは管理 コ ン ソ ールの [Virtual Assist] ページ (Aventail 管理 コ ン ソ ールに ア ク セ ス で き る場合 ) に表示 さ れます。 4. 顧客は、 電子 メ ール内の リ ン ク を ク リ ッ ク し て、 Virtual Assist セ ッ シ ョ ン を開始 し ます。 5. 顧客の要求は、 Virtual Assist のチ ケ ッ ト キ ュ ーに表示 さ れます。 6. 技術担当者は、 顧客名を選択 し て Virtual Assist セ ッ シ ョ ン を開始 し ます。 7. 技術担当者の Virtual Assist ウ ィ ン ド ウに、 ユーザーのデ ィ ス プ レ イ 全体が表示 さ れます。 技術担当者は、 顧客のマ ウ ス と キーボー ド を完全に制御で き る よ う に な り ます。 8. 顧客は、 技術担当者が実行す る すべてのア ク シ ョ ン を見る こ と がで き ます。 顧客は、 画面の 右上にあ る [End Virtual Assist] ボ タ ン を押す こ と に よ り 、いつで も セ ッ シ ョ ン を終了 さ せ て制御を戻す こ と がで き ます。 9. セ ッ シ ョ ンが終了す る と 、 顧客は再び単独で コ ン ピ ュ ー タ を制御で き る よ う に な り 、 技術担 当者は顧客の画面を表示で き な く な り ます。 顧客が Virtual Assist セ ッ シ ョ ン を起動する場合 1. 顧客が Virtual Assist を起動す る際は、 Windows の [ ス タ ー ト ] メ ニ ュ ーか ら [ ス タ ー ト ] > [ すべてのプ ロ グ ラ ム ] > [E-Class SRA Virtual Assist] を選択す るか、 ま たは VASAC.exe フ ァ イ ルを開 き ます。 2. 技術担当者は、 サポー ト を要求 ( ま たは Virtual Assist の招待電子 メ ールに応答 ) し て い る ユーザーについて、 チ ケ ッ ト のキ ュ ー を監視 し ます。 3. 顧客は、 以下のいずれかの方法でサポー ト を要求 し ます。 • Virtual Assist コ ン ソ ールの [Request Support] ボ タ ン を ク リ ッ ク す る。 • 技術担当者か ら 招待電子 メ ール を 受け取 り 、 メ ールに含 ま れ る リ ン ク を ク リ ッ ク し て Virtual Assist セ ッ シ ョ ン を起動す る。 502 | Aventail E-Class SRA 10.7 管理者ガ イ ド 4. 顧客の要求は、 技術担当者の Virtual Assist コ ン ソ ールの [Service] ウ ィ ン ド ウ、 ま たは管理 コ ン ソ ールの [Virtual Assist] ページ (Aventail 管理 コ ン ソ ールに ア ク セ ス で き る場合 ) で、 チ ケ ッ ト キ ュ ーに表示 さ れます。 5. 技術担当者は、 顧客名を選択 し て Virtual Assist セ ッ シ ョ ン を開始 し ます。 6. 技術担当者の Virtual Assist ウ ィ ン ド ウに、 ユーザーのデ ィ ス プ レ イ 全体が表示 さ れます。 技術担当者は、 顧客のマ ウ ス と キーボー ド を完全に制御で き る よ う に な り ます。 7. 顧客は、 技術担当者が実行す る すべてのア ク シ ョ ン を見る こ と がで き ます。 顧客は、 画面の 右上にあ る [End Virtual Assist] ボ タ ン を押す こ と に よ り 、いつで も セ ッ シ ョ ン を終了 さ せ て制御を戻す こ と がで き ます。 8. セ ッ シ ョ ンが終了す る と 、 顧客は再び単独で コ ン ピ ュ ー タ を制御で き る よ う に な り 、 技術担 当者は顧客の画面を表示で き な く な り ます。 Virtual Assist の構成 次の節では、 E-Class SRA セキ ュ リ テ ィ ア プ ラ イ ア ン ス での Virtual Assist の構成方法につい て説明 し ます。 Virtual Assist を構成で き るのは、 管理権限を持つユーザーだけです。 Virtual Assist サービ スの有効化 Virtual Assist を構成す る前に、 Virtual Assist サー ビ ス を有効にす る必要があ り ます。 1. Aventail 管理 コ ン ソ ール (AMC) の左ナ ビ ゲーシ ョ ン ペ イ ン で [Virtual Assist] を ク リ ッ ク し ます。 2. [General] タ ブが表示 さ れた ら 、[Virtual Assist Service] セ ク シ ョ ンの [Configure] リ ン ク を ク リ ッ ク し ます。 3. [Enable the Virtual Assist service] チ ェ ッ ク ボ ッ ク ス を選択 し て、 Virtual Assist を有効 に し ます。 Virtual Assist が有効に な る と 、 ページの他の フ ィ ール ド がア ク テ ィ ブ に な り 、 こ こ で チ ケ ッ ト のキ ュ ー、 顧客の要求、 招待電子 メ ールを構成で き ます。 Virtual Assist | 503 Virtual Assist チケ ッ ト キ ュ ーの構成 顧客がサポー ト を要求す るか、 ま たは Virtual Assist セ ッ シ ョ ンの招待に応答す る と 、 ヘルプ チ ケ ッ ト が作成 さ れ、 チ ケ ッ ト のキ ュ ーに リ ス ト さ れま す。 Virtual Assist 要求のチ ケ ッ ト キ ュ ー を構成す る には、[Virtual Assist] > [General] > [Configure] ページの [Ticket queue] セ ク シ ョ ン を使用 し ます。 1. [To Address] フ ィ ール ド に、Virtual Assist 要求の送信先 と な る電子 メ ール ア ド レ ス を入力 し ます。 複数の電子 メ ール ア ド レ ス を指定す る場合は、 カ ン マ で区切 り ます。 2. [Maximum queue size] フ ィ ール ド に、 ア プ ラ イ ア ン スが同時に受け入れる Virtual Assist 要求の最大数を入力 し ます。 デ フ ォ ル ト は 10 です。 3. [Queue full message] フ ィ ール ド に、 キ ュ ーの要求数が最大値に達 し た場合に、 サポー ト を要求す る ユーザーに対 し て表示 さ れる メ ッ セージ を入力 し ます。 4. [Time limit] フ ィ ール ド に、 Virtual Assist 要求がキ ュ ー内でサポー ト を待機 し 始めてか ら 廃 棄 さ れる ま での時間を入力 し ます。 デ フ ォ ル ト は 60 分で、 最短で 1 分 を指定で き ます。 Virtual Assist 要求の構成 顧客が要求す る仮想サポー ト を構成す る には、 [Virtual Assist] > [General] > [Configure] ペー ジ の [Requests] セ ク シ ョ ン を 使用 し ま す。 ユ ー ザ ーがサ ポ ー ト を 要求 す る 場合は、 Virtual Assist コ ン ソ ールの [Request Support] ボ タ ン を ク リ ッ ク す るか、 ま たは招待電子 メ ールに含 まれる リ ン ク を ク リ ッ ク し ます。 Virtual Assist 要求を構成す る には、 次のよ う に操作 し ます。 1. ユーザーが仮想サポー ト を要求で き る よ う に設定す る には、 [Allow users to request assistance] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 2. オ プ シ ョ ン で、 ユーザーが Virtual Assist か ら サポー ト を要求す る前に ア シ ス タ ン ス コ ー ド の入力が必要 と な る よ う に設定す る 場合は、 [Assistance code] に コ ー ド を 指定 し ま す。 コ ー ド は最長 8 文字で指定で き ます。 504 | Aventail E-Class SRA 10.7 管理者ガ イ ド Virtual Assist の招待の構成 技術担当者がユーザーに招待電子 メ ール を 送信 し 、 招待の内容 を カ ス タ マ イ ズ で き る よ う に許 可す る には、 [Invitations] セ ク シ ョ ン を使用 し ます。 招待電子 メ ールを送信す る には、 [Services] > [SMTP] ページ で SSL VPN ア プ ラ イ ア ン ス向けに SMTP サーバーが構成 さ れてい なければな り ません。 メモ 1. [Allow technicians to send invitations for Virtual Assist] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 2. [From address] フ ィ ール ド に、 Virtual Assist の招待の送信元 と な る電子 メ ール ア ド レ ス を入力 し ます。 3. [Subject] フ ィ ール ド に、 招待電子 メ ールの件名を入力 し ます。 4. [Body] フ ィ ール ド に、 招待電子 メ ールの本文を入力 し ます。 次の変数を使用で き ます。 変数 説明 {ticket.InvitationURL} ユーザーが Virtual Assist にア ク セ スす る ための リ ン ク を作成 し ます。 {ticket.description} Virtual Assist コ ン ソ ー ルの技術担当者 ビ ュ ー で、 招待状の [Description] フ ィ ール ド に技術担当者が入力す る テキス ト を含 みます。 5. [Time Limit] フ ィ ール ド に、 ユーザーが招待を受け入れる こ と がで き る時間 ( 分単位 ) を入 力 し ます。設定可能な時間は最短 15 分です。 こ の時間内に顧客が招待を受け入れな い場合、 チ ケ ッ ト は ク ロ ーズ さ れ、 顧客は招待を受け入れる こ と がで き な く な り ます。 6. [Save] を ク リ ッ ク し て設定を確定 し ます。 WorkPlace のレ イ アウ ト での Virtual Assist の有効化 WorkPlace のレ イ ア ウ ト で Virtual Assist を有効にす る と 、 WorkPlace に [ ア シ ス タ ン ス ] ボ タ ンが表示 さ れます。 ユーザー と 技術担当者は [ ア シ ス タ ン ス ] ボ タ ン を使用 し て、 WorkPlace か ら Virtual Assist ソ フ ト ウ ェ ア を ダウ ン ロ ー ド で き ます。 こ のボ タ ン を有効にす る には、 次のよ う に操作 し ます。 Virtual Assist | 505 1. Aventail 管理 コ ン ソ ール (AMC) の [Aventail WorkPlace] ページ に移動 し て、[Appearance] タ ブ を選択 し ます。 2. [Layouts] セ ク シ ョ ン ま で下に ス ク ロ ール し て、 編集す る レ イ ア ウ ト 名を選択 し ます。 3. [Configure WorkPlace Layout] ページが表示 さ れた ら 、 [General] タ ブ を選択 し ます。 4. [Display the Virtual Assist button] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 5. [Save] を ク リ ッ ク し ます。 ユーザーのビ ュ ーで、WorkPlace の右上に [ ア シ ス タ ン ス ] ボ タ ンが表示 さ れる よ う に な り ます。 506 | Aventail E-Class SRA 10.7 管理者ガ イ ド ヘルプ デス ク技術担当者の AMC ログ イ ンの構成 ヘルプ デス ク 技術担当者の AMC ロ グ イ ン を構成 し て、AMC への表示のみのア ク セ ス を許可す る よ う に設定 し ます。 通常、 ヘルプ デス ク 技術担当者のロ グ イ ン では、 次のよ う な コ ン ソ ール の特定エ リ アの表示が技術担当者に許可 さ れます。 • Virtual Assist。 技術担当者は次の操作を実行で き ま す。 • Virtual Assist の構成を表示す る • • Virtual Assist ト ラ フ ィ ッ ク のキ ュ ー を表示す る シ ス テム監視。 技術担当者は次の操作を実行で き ます。 • シ ス テムのロ グ と グ ラ フ を表示す る • ア ク テ ィ ブ なユーザー を表示す る • ト ラ ブルシ ュ ーテ ィ ン グ ツ ールを実行す る AMC の [Virtual Assist] ページの [Tickets] タ ブ に表示 さ れる チ ケ ッ ト キ ュ ーは、 ヘルプ デス ク 技術担当者に と っ て特に便利です。 こ の タ ブ には、 すべてのオープ ン な Virtual Assist チ ケ ッ ト 、 ア ク テ ィ ブ な セ ッ シ ョ ン、 保留中の招待が表示 さ れます。 ヘルプ デス ク 技術担当者ロ グ イ ン を作成す る には、 次のよ う に操作 し ます。 1. Aventail 管理 コ ン ソ ール (AMC) に管理者 と し て ロ グ イ ン し ます。 2. AMC ロ グ イ ン を作成す る技術担当者がロ ー カ ルの認証サーバーにユーザー と し て構成 さ れ て い な い場合は、 こ の技術担当者のユーザー ア カ ウ ン ト を 作成 し ま す。 ユーザーの構成方 法につい ては、 83 ページの 「ユーザーお よ びグループの管理」 を参照 し て く だ さ い。 3. [General Settings] ページ に移動 し て、[Administrators] セ ク シ ョ ンの [Edit] リ ン ク を ク リ ッ ク し ます。 Virtual Assist | 507 4. 技術担当者に指定す る権限を持つ Administrator ロ ールが作成済みで あ る こ と を確認す る か、 ま たは新 し い ロ ールを作成 し ます。 事前定義済みの Help Desk Technician ロ ールでは、 シ ス テムの監視 と Virtual Assist の表示が可能です。 5. 技術担当者に新 し い管理者ア カ ウ ン ト を作成す る には、 [Administrators] [New] ボ タ ン を ク リ ッ ク し ま す。 508 | Aventail E-Class SRA 10.7 管理者ガ イ ド タ ブ を選択 し て 6. 技術担当者に割 り 当て る ロ ールを持つ管理者ロ グ イ ン を作成 し て、 [Save] を ク リ ッ ク し ま す。 Virtual Assist の Technician モー ド 技術担当者は、ポー ト 443 を使用 し て外部 イ ン タ ー フ ェ ースか ら E-Class SRA ア プ ラ イ ア ン ス に接続 し ま す。 次の節では、 Virtual Assist コ ン ソ ールを イ ン ス ト ール し 、 ユーザーのサポー ト に使用す る方法について説明 し ます。 • • • • • • • • メモ • • 510 512 514 517 520 520 521 522 ページの ページの ページの ページの ページの ページの ページの ページの 「Virtual Assist 技術担当者向け コ ン ソ ールの イ ン ス ト ール」 「技術担当者 コ ン ソ ールへのア ク セ ス」 「Virtual Assist 設定の構成」 「Virtual Assist チ ケ ッ ト の使用」 「顧客への招待電子 メ ールの送信」 「顧客の支援」 「技術担当者 コ ン ソ ール ツ ールの使用」 「Virtual Assist でのチ ャ ッ ト 」 Technician モー ド で Virtual Assist を起動す る こ と に よ り ア プ ラ イ ア ン ス に接続す る際 は、 連鎖式認証はサポー ト さ れません。 Technician モー ド で Virtual Assist を開始 し て ア プ ラ イ ア ン ス に接続す る際、 連鎖式認証が有効に な っ て い る 場合は ド メ イ ン の ド ロ ッ プ ダ ウ ン リ ス ト を 使用 で き ま す。 連鎖式認証 に よ り AMC に ロ グ イ ン す る に は、 Mgmt Console ド メ イ ン ( レ ルム ) が使用 さ れます ( 連鎖式認証が有効で な い場合は、 外部認 証サーバー を 使用 し て AMC に ロ グ イ ン し ま す )。 他方の ド メ イ ン は Mgmt Console Legacy と 表示 さ れます。 技術担当者は こ の ド メ イ ン を使用 し て、 レ ガ シーの管理者ア カ ウ ン ト に ロ グ イ ン で き ます。 119 ページの 「レ ガ シー ロ ー カ ル管理者ア カ ウ ン ト の追加 / 編集」 を参照 し て く だ さ い。 Virtual Assist がすで に イ ン ス ト ール さ れて い る場合は、 こ れを起動 し て、 イ ン タ ー フ ェ イ スか ら ロ グ イ ン し ます。 た だ し 、 技術担当者が初めて ロ グ イ ン す る際は、 パス ワー ド を変更 す る必要があ り ます。 Virtual Assist | 509 注意 Virtual Assist ではパス ワー ド 変更のプ ロ ン プ ト が表示 さ れません。 し たが っ て、 管理 コ ン ソ ールで 「User must change password at next login」 が有効に な っ て い る と き は、 新 し い 技術担当者ユーザー ア カ ウ ン ト で こ の方法を使用 し ない で く だ さ い。 Virtual Assist 技術担当者向け コ ン ソ ールのイ ン ス ト ール Virtual Assist ソ フ ト ウ ェ アは、 Workplace か ら ダウ ン ロ ー ド す るか、 ま たは Aventail 管理 コ ン ソ ール (AMC) か ら ダウ ン ロ ー ド ( 技術担当者がア ク セ ス権を持 っ てい る場合 ) し ます。 イ ン ス ト ールが完了す る と 、Virtual Assist コ ン ソ ールを使用 し てユーザーにサポー ト を提供で き ます。 WorkPlace からのイ ンス ト ール [ ア シ ス タ ン ス ] ボ タ ンが有効に な っ て い る場合 (505 ページの 「WorkPlace のレ イ ア ウ ト での Virtual Assist の有効化」 を参照 ) は、 WorkPlace か ら Virtual Assist を ダウ ン ロ ー ド で き ま す。 1. Aventail WorkPlace に ロ グ イ ン し ます。 2. WorkPlace の右上にあ る [ ア シ ス タ ン ス ] ボ タ ン を ク リ ッ ク し ます。 メモ [ ア シ ス タ ン ス ] ボ タ ン を表示す る には、 WorkPlace のレ イ ア ウ ト で有効化 さ れ て い る必要があ り ます (505 ページの 「WorkPlace のレ イ ア ウ ト での Virtual Assist の有効化」 を参照 )。 510 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. [File Download] ダ イ ア ロ グ ボ ッ ク スが表示 さ れた ら 、 [Save] を ク リ ッ ク し ま す。 4. ダウ ン ロ ー ド 画面に、 進捗状況が表示 さ れます。 VASAC.exe フ ァ イ ルがダウ ン ロ ー ド さ れ た ら 、 [Run] を ク リ ッ ク し ます。 5. セキ ュ リ テ ィ 警告が表示 さ れた ら 、 [Run] を ク リ ッ ク し ます。 こ れに よ り 、 Virtual Assist の ロ グ イ ン ウ ィ ン ド ウが開 き ます。 管理コ ン ソールからのイ ンス ト ール Virtual Assist | 511 Aventail 管理 コ ン ソ ール (AMC) か ら Virtual Assist を ダウ ン ロ ー ド し て イ ン ス ト ールす る には、 次のよ う に操作 し ます。 1. Aventail 管理 コ ン ソ ール (AMC) に ロ グ イ ン し て、 メ イ ンのナ ビ ゲーシ ョ ン ペ イ ンか ら [Virtual Assist] を選択 し ます。 2. [Downloads] の見出 し の下にあ る、 技術担当者お よ び ク ラ イ ア ン ト 用ア プ リ ケーシ ョ ンの [Download] リ ン ク を ク リ ッ ク し ます。 3. Virtual Assist ソ フ ト ウ ェ ア を ダウ ン ロ ー ド し て イ ン ス ト ールす る ためのプ ロ ン プ ト が表示 さ れます。 510 ページの 「WorkPlace か ら の イ ン ス ト ール」 の手順 3 以降の説明に従 っ て 操作 し ます。 技術担当者コ ン ソ ールへのア ク セス 1. Virtual Assist の イ ン ス ト ールが完了 し た ら 、Windows の [ ス タ ー ト ] メ ニ ュ ーか ら [ すべて のプ ロ グ ラ ム ] > [E-Class SRA Virtual Assist] > [E-Class SRA Virtual Assist] を選択 し ます。 こ れに よ り 、 Virtual Assist が Customer モー ド で表示 さ れます。 512 | Aventail E-Class SRA 10.7 管理者ガ イ ド メモ 使用す る Windows のバージ ョ ン に応 じ て、 技術担当者は Windows シ ョ ー ト カ ッ ト を作成 し た り タ ス ク バーに追加 し た り す る こ と に よ り 、 迅速に ア ク セ ス で き ます。 2. [Change Mode] を ク リ ッ ク し て モー ド を表示 し 、 Technician モー ド を選択 し ます。 3. [Virtual Assist Login] 画面が表示 さ れた ら 、 ア プ ラ イ ア ン ス と 認証サーバーに定義 さ れて い る技術担当者のユーザー名 と パス ワー ド を [Username] と [Password] に入力 し ます。 4. [Login] を ク リ ッ ク し ます。 ド メ イ ン選択ウ ィ ン ド ウが表示 さ れます。 Virtual Assist | 513 5. ユーザー名が認証 さ れて い る ド メ イ ン を [Domain] に選択 し 、 [OK] を ク リ ッ ク し ます。 ス タ ン ド ア ロ ンの Virtual Assist ア プ リ ケーシ ョ ンが起動 し 、 技術担当者ツ ールバーが表示 さ れます。 6. [Viewer] ア イ コ ン を ク リ ッ ク し て、 Virtual Assist デス ク ト ッ プ を拡張 し ます。 Virtual Assist 設定の構成 Virtual Assist コ ン ソ ー ルの左上 に あ る [Settings] ボ タ ン を ク リ ッ ク す る か、 タ ス ク バ ー の [Virtual Assist] ア イ コ ン を右 ク リ ッ ク し て [Settings] を選択す る と 、 Virtual Assist 設定ウ ィ ン ド ウに ア ク セ ス で き ます。 Virtual Assist 設定ウ ィ ン ド ウには、 以下の 3 つのペ イ ンがあ り ます。 514 | Aventail E-Class SRA 10.7 管理者ガ イ ド • Proxy Settings - ユーザーがプ ロ キシ サーバー を構成 し て SRA ア プ ラ イ ア ン ス に ア ク セ ス で き る よ う に許可 し ます。 プ ロ キシ設定は次のよ う に構成で き ます。 • • • • Automatically detect settings - こ の設定を使用す る には、 プ ロ キシ サーバーが Web Proxy Auto Discovery Protocol (WPAD) を サポー ト し て い る 必要があ り ま す。 こ の方法で は、 プ ロ キシ設定ス ク リ プ ト を自動的に顧客に送信で き ます。 Use automatic configuration script - プ ロ キシ設定ス ク リ プ ト の場所がわか っ て い る場合 は、 こ のオ プ シ ョ ン を選択 し 、 [Address] フ ィ ール ド に ス ク リ プ ト の URL を入力 し ます。 Use proxy server - こ のオ プ シ ョ ン を選択 し 、 次のよ う に指定 し ます。 • プ ロ キシ サーバーのア ド レ ス と ポー ト を [Address] と [Port] に入力 し ます。 • オ プ シ ョ ン で、 [Bypass Proxy] フ ィ ール ド に IP ア ド レ ス ま たは ド メ イ ン を入力す る と 、 プ ロ キシ サーバー を迂回す る ア ド レ ス に直接接続で き ます。 • 必要に応 じ て、 プ ロ キシ サーバー用のユーザー名 と パス ワー ド を [User name] と [Password] に入力 し ます。 プ ロ キシ サーバーがユーザー名 と パス ワー ド を必要 と す る に も かかわ ら ず [Properties] ウ ィ ン ド ウにユーザー名 と パス ワー ド を指定 し ない と 、初 回の接続時 に ユ ーザー名 と パ ス ワ ー ド の入力 を 要求す る NetExtender ポ ッ プ ア ッ プ ウ ィ ン ド ウが表示 さ れます。 [Internet Explorer proxy settings] ボ タ ン を ク リ ッ ク し て Internet Explorer のプ ロ キシ設 定ページ を開 く こ と に よ り 、 Internet Explorer のプ ロ キシ設定を使用で き ます。 Virtual Assist | 515 • Connection Profiles - こ の コ ン ピ ュ ー タ で使用 さ れたすべての Virtual Assist 接続プ ロ フ ァ イ ル が 表 示 さ れ ま す。 プ ロ フ ァ イ ル を 削 除 す る に は、 プ ロ フ ァ イ ル を 選 択 し て [Remove] ボ タ ン を ク リ ッ ク し ます。 • Connection Settings - Virtual Assist での識別方法や Virtual Assist 顧客セ ッ シ ョ ンのデ フ ォ ル ト 接続設定を カ ス タ マ イ ズで き ます。 Virtual Assist での接続の識別方法を カ ス タ マ イ ズす る には、 次の設定を使用 し ます。 • Display Name - 管理 コ ン ソ ールの [Tickets] タ ブ と Virtual Assist の [Service] ウ ィ ン ド ウに表示 さ れる名前。デ フ ォ ル ト では、顧客の E-Class SRA ユーザー名が表示 さ れます。 • Additional Information - 追加情報を入力す る ためのオ プ シ ョ ンの フ ィ ール ド 。 516 | Aventail E-Class SRA 10.7 管理者ガ イ ド • 自動ビ ュ ーのみ - Virtual Assist セ ッ シ ョ ンは、デ フ ォ ル ト で あ る Trusted モー ド ではな く 、 View-Only モー ド で最初に起動 し ます。 • Active Mode - Virtual Assist セ ッ シ ョ ンは、 デ フ ォ ル ト であ る Trusted モー ド ではな く 、 Active モー ド で最初に起動 し ます。 Virtual Assist チケ ッ ト の使用 Virtual Assist チ ケ ッ ト は、 顧客がサポー ト を要求す る と き 、 お よ び技術担当者が招待電子 メ ー ルを送信す る と き に、 常に作成 さ れます。 こ れ ら のチ ケ ッ ト は、 変更が生 じ た と き に更新 さ れ、 Aventail 管理 コ ン ソ ール (AMC) の [Virtual Assist] ペー ジの [Tickets] ペー ジ、 お よ び Virtual Assist コ ン ソ ールの [Service] ウ ィ ン ド ウに表示 さ れます。 [Tickets] タ ブの表示 すべてのオー プ ン な チ ケ ッ ト 、 ア ク テ ィ ブ な セ ッ シ ョ ン、 保留中の招待は、 Aventail 管理 コ ン ソ ール (AMC) の [Virtual Assist] ページの [Tickets] タ ブ に表示で き ま す。 [Tickets] タ ブ を表示 す る には、 次のよ う に操作 し ます。 1. Aventail 管理 コ ン ソ ール (AMC) に ロ グ イ ン し ます。 Virtual Assist | 517 2. ナ ビ ゲーシ ョ ン ペ イ ンか ら [Virtual Assist] を選択 し 、 [Tickets] タ ブ を選択す る と 、 すべて のチ ケ ッ ト が表示 さ れます。 [Tickets] タ ブ には、 次の列に情報が表示 さ れま す。 列 説明 Status Virtual Assist セ ッ シ ョ ンのス テー タ ス User 顧客のユーザー名 技術担当者 セ ッ シ ョ ン を担当する技術担当者名 Opened チケ ッ ト がオープ ン さ れた日時 Closed チケ ッ ト が ク ローズ さ れた日時 Elapsed チケ ッ ト がオープ ン さ れてからの経過時間 多様な フ ィ ル タ と 表示オ プ シ ョ ン に よ り 、表示す る チ ケ ッ ト や招待を カ ス タ マ イ ズ し て更新 で き ます。 条件に一致す る チ ケ ッ ト を表示 し た り 非表示に し た り す る には、1 つ ま たは複数のビ ュ ー と フ ィ ル タ を使用 し ます。 [View]: ド ロ ッ プ ダ ウ ン メ ニ ュ ー を 使用 し て、 一度に表示す る チ ケ ッ ト 数 (25、 50、 100、 250、 500、 ま たは 1000) と 、 表示す る チ ケ ッ ト の タ イ プ (All、 Open、 ま たは Closed) を選 択 し ます。 [Filters]: • Status - 表示す る チ ケ ッ ト を、 [All]、 [Invited]、 [In Service]、 ま たは [Pending] で フ ィ ル タ リ ン グ し ます。 • User - 顧客別にチ ケ ッ ト を フ ィ ル タ リ ン グ し ます。 • Technician - チ ケ ッ ト が割 り 当て ら れて い る技術担当者別に フ ィ ル タ リ ン グ し ま す。 • Notes - 選択 し た メ モ別にチ ケ ッ ト を フ ィ ル タ リ ン グ し ます。 518 | Aventail E-Class SRA 10.7 管理者ガ イ ド [Tickets] タ ブでのチケ ッ ト の処理 [Tickets] タ ブ では、 次の機能を使用 し て チ ケ ッ ト を管理 し ます。 1. 顧客 と のセ ッ シ ョ ン を開始す る には、 [Customer] 列に表示 さ れる顧客のユーザー名を ク リ ッ ク し ます。 セ ッ シ ョ ンが開始 さ れる と 、 キ ュ ーの情報が更新 さ れます。 2. 招待を削除す る には、 削除対象エ ン ト リ の横のチ ェ ッ ク Invitation] ボ タ ン を ク リ ッ ク し ます。 3. [Tickets] タ ブ に現在表示 さ れてい る チ ケ ッ ト を エ ク スポー ト す る には、 [Export] ボ タ ン を ク リ ッ ク し ます。 4. サポー ト を要求 し て い る顧客に ア ク セ ス コ ー ド を送信で き る よ う にす る には、 [General] タ ブ を 選 択 し 、 [Virtual Assist Service] エ リ ア の [Configure] リ ン ク を ク リ ッ ク し ま す。 [Configure] ページが表示 さ れた ら 、 顧客への招待 コ ー ド 送信 を 有効に し ま す。 メ ッ セー ジ リ ン ク を送信す る こ と も 可能です。 設定を保存 し ます。 ボ ッ ク ス を選択 し 、 [Cancel Virtual Assist コ ン ソールの [Service] ウ ィ ン ド ウの表示 技術担当者は、Virtual Assist コ ン ソ ールの [Service] ウ ィ ン ド ウ を使用 し て、Virtual Assist セ ッ シ ョ ンの要求を管理 し ます。 [Service] ウ ィ ン ド ウ を表示す る には、 次のよ う に操作 し ます。 1. Virtual Assist コ ン ソ ールを開 き 、 技術担当者 と し て ロ グ イ ン し ます。 2. ツ ールバーの [Service] ボ タ ン を ク リ ッ ク し ます。 [Service] ウ ィ ン ド ウ には、 すべてのア ク テ ィ ブ な Virtual Assist 要求 と ア ク テ ィ ブ な セ ッ シ ョ ンが リ ス ト さ れます。 [Service] ウ ィ ン ド ウには次の列が含まれます。 列 説明 Ticket ID サポー ト を要求 し てい る顧客のチケ ッ ト 番号。 Customer 支援を要求 し てい る顧客のユーザー名。 Technician 顧客 と の VA セ ッ シ ョ ンが開始 さ れる と 、 技術担当者のユーザー 名が表示 さ れます。 Status 顧客の Virtual Assist セ ッ シ ョ ンのス テー タ ス。 Time Elapsed サポー ト のセ ッ シ ョ ンにかかっ た時間、 または顧客がキ ュ ーで待 機 し てい る時間。 Issue Description Comments / 顧客が入力 し た コ メ ン ト 。 [Service] ウ ィ ン ド ウでのチケ ッ ト の処理 Virtual Assist | 519 Virtual Assist コ ン ソ ールの [Service] ウ ィ ン ド ウ を使用 し て、 Virtual Assist の機能を実行 し ま す。 1. 顧客 と のセ ッ シ ョ ン を開始す る には、 [Customer] 列に表示 さ れる顧客のユーザー名を ク リ ッ ク し ます。 セ ッ シ ョ ンが開始 さ れる と 、 キ ュ ーの情報が更新 さ れます。 2. 招待を削除す る には、 削除対象エ ン ト リ の横のチ ェ ッ ク Invitation] ボ タ ン を ク リ ッ ク し ます。 ボ ッ ク ス を選択 し 、 [Cancel ま た、 チ ケ ッ ト を Aventail 管理 コ ン ソ ール (AMC) か ら エ ク スポー ト で き ます。 顧客への招待電子 メ ールの送信 技術担当者は、 ユーザーに招待電子 メ ールを送信す る こ と に よ り 、 Virtual Assist セ ッ シ ョ ン を 要求で き ます。 招待電子 メ ールを送信す る には、 Aventail 管理 コ ン ソ ール (AMC) の [Services] > [SMTP] ページ で SSL VPN ア プ ラ イ ア ン ス向けに SMTP サーバーが構成 さ れて いな ければな り ません。 メモ 招待電子 メ ールを送信す る には、 次の手順で操作 し ます。 1. Virtual Assist ツ ールバーで [Invite] ボ タ ン を ク リ ッ ク し ま す。 こ れに よ り 、 [Invite] ダ イ ア ロ グ ボ ッ ク スが表示 さ れます。 2. 顧客の電子 メ ール ア ド レ ス を [Customer E-mail] フ ィ ール ド に入力 し ます。 3. 技術担当者自身の電子 メ ール ア ド レ ス を [Technician E-mail] フ ィ ール ド に入力 し ます。ま たは、 こ の フ ィ ール ド を空白のま ま に し て、 管理 コ ン ソ ールの [Virtual Assist] > [Configure] ページ に構成 さ れて い る電子 メ ール ア ド レ ス を使用 し ます。 4. オ プ シ ョ ン で、 [Additional Message] フ ィ ール ド に カ ス タ ムの メ ッ セージ を入力 し ま す。 5. [Invite] を ク リ ッ ク し て、 顧客に招待を送信 し ます。 キ ュ ーが更新 さ れ、 こ の未処理のセ ッ シ ョ ンの招待が反映 さ れます。 1. 顧客を支援す る には、 チ ケ ッ ト キ ュ ー内の顧客のユーザー名を ク リ ッ ク し ます。 2. コ ン ソ ールに開 く ダ イ ア ロ グ ボ ッ ク ス を使用 し て、 顧客 と の接続のス テー タ ス を監視 し ま す。 顧客の支援 520 | Aventail E-Class SRA 10.7 管理者ガ イ ド 接続が確立 さ れた ら 、 技術担当者の画面には顧客の画面が表示 さ れます。 ま た、顧客の画面には コ ン ト ロ ール パネルが表示 さ れ、顧客は こ れを使用 し て いつで も セ ッ シ ョ ン を終了で き ます。 技術担当者コ ン ソ ール ツールの使用 顧客 と のセ ッ シ ョ ン が完全に確立 さ れ る と 、 技術者は各種の ツ ール を 使用 し て支援 を 提供 し ま す。 コ ン ソ ール画面の左上には、 3 つの ド ロ ッ プ ダウ ン メ ニ ュ ーが配置 さ れて い ま す。 [View] メ ニ ュー [View] メ ニ ュ ー を使用す る と 、 コ ン ソ ールの表示を カ ス タ マ イ ズで き ま す。 • • • • Request Screen Refresh - 技術担当者に表示 さ れる顧客画面の表示を更新 し ます。 Scaling - [Full Screen]、 [Auto-Scale]、 ま たは [Normal] を選択 し て、 コ ン ソ ールの画面 サ イ ズ を調整 し ます。 Color Depth - 技術担当者の表示色を [Full] ま たは [256 colors] に調整で き ます。 Layout - コ ン ソ ールの上部 と 横のバーの表示 / 非表示を切 り 替え ます。 [ ツール ] メ ニ ュー [Tools] メ ニ ュ ー を使用す る と 、 技術担当者の タ ス ク を実行で き ま す。 • • • File Transfer - 顧客のシ ス テムに フ ァ イ ルを転送 し ます。 ア プ ラ イ ア ン ス に接続す るサー バーは、 フ ァ イ ル転送をサポー ト す る よ う に構成 さ れて い る必要があ り ます。 Chat - 横のバーに チ ャ ッ ト ウ ィ ン ド ウが開いて いな い場合、 技術担当者がセ ッ シ ョ ン中に 顧客 と の通信に使用す る チ ャ ッ ト ウ ィ ン ド ウ を表示 し ます。 Reboot - 顧客の コ ン ピ ュ ー タ を再起動 し ます。 [Commands] メ ニ ュー Virtual Assist | 521 [Commands] メ ニ ュ ー を使用す る と 、 他の リ モー ト セ ッ シ ョ ン で通常は利用で き な い コ マ ン ド を実行で き ます。 • • • • • • • • Get PC Control - 顧客のデス ク ト ッ プの制御を要求 し ます。 Request Full Control - フ ァ イ ル転送やシ ス テムの再起動な ど、顧客のシ ス テム を完全に制 御す る よ う に要求 し ます。 Switch Customer Screen - 顧客がシ ス テムで別のモ ニ タ を設定 し てい る場合、 顧客の第 2 モ ニ タ に切 り 替え ます。 System Info - 顧客のシ ス テムに関す る詳細情報を表示 し ます。 Task Manager - 顧客の タ ス ク マ ネージ ャ ー を表示 し ま す。 Start Menu - 顧客の [ ス タ ー ト ] メ ニ ュ ー を表示 し ます。 Alt+Tab - 全画面モー ド を終了 し て、 別のア プ リ ケーシ ョ ン を選択 し ます。 [Ctrl Key Up]、 [Ctrl Key Down]、 [Alt Key Up]、 お よ び [Alt Key Down] - 選択 し たキー シーケ ン ス を顧客の コ ン ピ ュ ー タ に送信 し ます。 Virtual Assist でのチ ャ ッ ト 技術担当者 と 顧客は、 Virtual Assist セ ッ シ ョ ン中に チ ャ ッ ト ツ ールを使用 し てや り と り で き ま す。 チ ャ ッ ト ウ ィ ン ド ウは、 Virtual Assist コ ン ソ ールの横のバーに表示 さ れます。 チ ャ ッ ト ウ ィ ン ド ウの上のセ ク シ ョ ン には、 技術担当者 と 顧客の間でや り と り さ れる会話が表 示 さ れま す。 チ ャ ッ ト ウ ィ ン ド ウの下のセ ク シ ョ ン に応答 を 入力 し て、 [Send] を ク リ ッ ク し て、 会話を進めます。 Virtual Assist の Customer モー ド Virtual Assist は、 Windows、 Mac、 ま たは Linux コ ン ピ ュ ー タ で使用で き ます。 顧客は、 最初 に WorkPlace ま たは招待電子 メ ールの リ ン ク か ら Virtual Assist vasac.exe フ ァ イ ルを ダウ ン ロ ー ド し て イ ン ス ト ールす る必要があ り ます。 522 | Aventail E-Class SRA 10.7 管理者ガ イ ド Windows ユーザー向け Virtual Assist の使用 Windows は、 Aventail 管理 コ ン ソ ール (AMC) の設定に応 じ て 2 種類の方法で Virtual Assist を ダウ ン ロ ー ド で き ます。 • • WorkPlace か ら - Aventail WorkPlace に ロ グ イ ン し 、 [ ア シ ス タ ン ス ] ボ タ ン を ク リ ッ ク し ます。 招待電子 メ ールか ら - 電子 メ ールの リ ン ク を ク リ ッ ク し ます。 WorkPlace からのダウン ロー ド [ ア シ ス タ ン ス ] ボ タ ンが有効に な っ てい る場合に Virtual Assist を WorkPlace か ら ダウ ン ロ ー ド す る には、 次のよ う に操作 し ます。 1. Aventail WorkPlace に ロ グ イ ン し ます。 2. WorkPlace の右上にあ る [ ア シ ス タ ン ス ] ボ タ ン を ク リ ッ ク し ます。 メモ 3. [ ア シ ス タ ン ス ] ボ タ ン を表示す る には、 WorkPlace のレ イ ア ウ ト で有効化 さ れ て い る必要があ り ます (505 ページの 「WorkPlace のレ イ ア ウ ト での Virtual Assist の有効化」 を参照 )。 Virtual Assist ソ フ ト ウ ェ ア を ダウ ン ロ ー ド し て イ ン ス ト ールす る ためのプ ロ ン プ ト が表示 さ れます。 510 ページの 「WorkPlace か ら の イ ン ス ト ール」 の手順 3 以降の説明に従 っ て 操作 し ます。 招待電子 メ ールからのダウン ロー ド 技術担当者は、 ユーザーに招待電子 メ ールを送信す る こ と に よ っ て、 Virtual Assist セ ッ シ ョ ン を要求で き ます。 招待電子 メ ールか ら ダウ ン ロ ー ド す る には、 次のよ う に操作 し ます。 1. 招待電子 メ ールを開 き ます。 2. 電子 メ ールの リ ン ク を ク リ ッ ク し ます。 Virtual Assist | 523 3. Virtual Assist ソ フ ト ウ ェ ア を ダウ ン ロ ー ド し て イ ン ス ト ールす る ためのプ ロ ン プ ト が表示 さ れます。 510 ページの 「WorkPlace か ら の イ ン ス ト ール」 の手順 3 以降の説明に従 っ て 操作 し ます。 Virtual Assist を イ ン ス ト ール し て開始す る と 、 管理 コ ン ソ ールの [Tickets] タ ブ、 お よ び技術担 当者の Virtual Assist の [Service] ウ ィ ン ド ウに、 ユーザーの名前が表示 さ れます。 こ れで、 技 術担当者はユーザー と のセ ッ シ ョ ン を開始で き ます。 支援の要求 Virtual Assist の イ ン ス ト ールが完了す る と 、 Windows の [ ス タ ー ト ] ボ タ ンか ら [ すべてのプ ロ グ ラ ム ] を選択 し て表示 さ れる リ ス ト のシ ョ ー ト カ ッ ト か ら Virtual Assist を起動で き ます。 1. Windows の [ス タ ー ト ] メ ニ ュ ーか ら [すべてのプ ロ グ ラ ム] > [E-Class SRA Virtual Assist] > [E-Class SRA Virtual Assist] を 選択 し ま す。 こ れに よ り 、 Virtual Assist が Customer モー ド で表示 さ れます。 メモ 使用す る Windows のバージ ョ ン に応 じ て、 技術担当者は Windows シ ョ ー ト カ ッ ト を作成 し た り タ ス ク バーに追加 し た り す る こ と に よ り 、 迅速に ア ク セ ス で き ます。 2. E-Class SRA サーバー ア プ ラ イ ア ン スのホ ス ト 名ま たはア ド レ ス を入力 し ます。 3. [Request Support] を ク リ ッ ク し て、 技術担当者のサポー ト を待機 し ます。 4. 状況に よ っ ては、追加の認証のために ア シ ス タ ン ス コ ー ド が必要に な る こ と があ り ます。そ のよ う な場合には、 技術担当者か ら コ ー ド が提供 さ れま す。 ポ ッ プ ア ッ プ メ ニ ュ ーの入力 領域に ア シ ス タ ン ス コ ー ド を入力 し ます。 5. 要求がキ ュ ーに登録 さ れる と 、 チ ケ ッ ト ID が割 り 当て ら れま す。 チ ケ ッ ト ID は、 [Waiting] ダ イ ア ロ グ ボ ッ ク スの左下に表示 さ れま す。 ま た、 チ ケ ッ ト がキ ュ ーに入れ ら れてか ら の 経過時間 も 表示 さ れます。 524 | Aventail E-Class SRA 10.7 管理者ガ イ ド 6. オ プ シ ョ ン で、 [Add Information] ボ タ ン を ク リ ッ ク し て、 問題の説明な ど、 技術担当者に と っ て役に立つ情報を入力 し ます。 7. 技術担当者がセ ッ シ ョ ン を開始す る と 、 Virtual Assist ツ ールバーがユーザー画面の右下に 表示 さ れます。 こ れで、 技術担当者がユーザーの コ ン ピ ュ ー タ を制御で き る よ う に な り ま し た。 MacOS コ ン ピ ュ ー タ での Virtual Assist の起動 Virtual Assist には 2 種類の方法で ア ク セ ス で き ます。 電子 メ ール招待を技術担当者か ら 受け取 り ます。 ク リ ッ ク し て、 Virtual Assist ソ フ ト ウ ェ ア を イ ン ス ト ール し ます。 • [ ア シ ス タ ン ス ] ボ タ ン を ク リ ッ ク し ます。 ソ フ ト ウ ェ アが圧縮 さ れた tgz ア ー カ イ ブ と し て ダ ウ ン ロ ー ド さ れま す。 こ のアー カ イ ブ を 解 凍す る必要があ り ます。 アー カ イ ブ を解凍す る と 、 Virtual Assist App フ ォ ルダが表示 さ れます。 こ の フ ォ ルダ を Applications フ ォ ルダに ド ラ ッ グす る と 、 Virtual Assist ソ フ ト ウ ェ ア を イ ン ス ト ールで き ます。 • Virtual Assist 顧客セ ッ シ ョ ン を 開始 し て、 MacOS コ ン ピ ュ ー タ で ヘルプ を 要求す る には、 以 下の手順を実行 し ます。 1. Aventail 管理 コ ン ソ ール (AMC) に ア ク セ ス し て い る場合は、 左ナ ビ ゲーシ ョ ン バーの [Virtual Assist] を ク リ ッ ク し ます。 Virtual Assist | 525 2. Aventail WorkPlace に ア ク セ ス し てい る場合は、[ ア シ ス タ ン ス ] ボ タ ン を ク リ ッ ク し て ダウ ン ロ ー ド メ ニ ュ ーに ア ク セ ス し ます。 3. [Allow] ボ タ ン を ク リ ッ ク し ます。 プ ラ グ イ ン イ ン ス ト ール ウ ィ ン ド ウが表示 さ れます。 [Install Now] を ク リ ッ ク し ます。 Virtual Assist プ ラ グ イ ン と ク ラ イ ア ン ト が イ ン ス ト ール さ れます。 ブ ラ ウザを再起動す る よ う に要求 さ れます。 4. WorkPlace ウ ィ ン ド ウ、ま たはプ ロ グ ラ ム リ ス ト に追加 さ れた シ ョ ー ト カ ッ ト か ら 、Virtual Assist を起動で き る よ う にな り ま し た。 5. サーバー ア ド レ スがロ グ イ ン ウ ィ ン ド ウに自動的に反映 さ れな い場合は、サーバー ア ド レ ス を入力 し 、 [Request Support] を ク リ ッ ク し ます。 サーバー ア ド レ スは、 E-Class SRA SSL-VPN ア プ ラ イ ア ン スの IP ア ド レ ス、 IPv6 ア ド レ ス、 ま たはホ ス ト 名のいずれかです。 6. E-Class SRA サーバー ア プ ラ イ ア ン スのホ ス ト 名ま たはア ド レ ス を入力 し ます。 7. [Request Support] を ク リ ッ ク す る と 、チ ケ ッ ト キ ュ ーに登録 さ れます。ユーザー名がデ フ ォ ル ト 名に な り ます。 [Assistance Code] を入力す る よ う に要求 さ れる こ と があ り ます。 8. 免責事項を読んで同意す る よ う に求める プ ロ ン プ ト が表示 さ れた場合は、 [OK] を ク リ ッ ク し ます。 9. ポ ッ プ ア ッ プ ウ ィ ン ド ウか ら 、自分が Virtual Assist のチ ケ ッ ト キ ュ ーに登録 さ れて い る こ と が分か り ま す。 技術担当者には、 ユーザーが準備完了の状態に な っ た こ と を 知 ら せ る ア ラ ー ト が送 ら れます。 チ ケ ッ ト ID 番号が画面の下に表示 さ れます。 [Cancel] を ク リ ッ ク す る と 、 Virtual Assist 要求がキ ャ ン セル さ れます。 526 | Aventail E-Class SRA 10.7 管理者ガ イ ド 10. [Add information] を ク リ ッ ク し て、 問題に関 し て技術担当者に知 ら せる追加情報を入力 し ます。 技術担当者がセ ッ シ ョ ン を 開始す る と 、 Virtual Assist ツ ールバーが画面の右下に表示 さ れ ます。 こ れで、 技術担当者がユーザーの コ ン ピ ュ ー タ を制御で き る よ う に な り ま し た。 セ ッ シ ョ ン が ア ク テ ィ ブ に な っ て か ら の Virtual Assist の使用に つ い ては、 509 ペー ジの 「Virtual Assist の Technician モー ド 」 を参照 し て く だ さ い。 Linux コ ン ピ ュ ー タ での Virtual Assist の起動 E-Class SRA Virtual Assist は、Linux の Ubuntu デ ィ ス ト リ ビ ュ ーシ ョ ン で全面的に テ ス ト が完了 し て い ます。それ以外の Linux デ ィ ス ト リ ビ ュ ーシ ョ ン ではテ ス ト さ れて い ませ ん。 メモ Linux コ ン ピ ュ ー タ で Virtual Assist 顧客セ ッ シ ョ ン を起動す る には、 技術担当者か ら の招待に 応答す るか、 ま たは支援を要求 し ます。 支援を要求す る には、 次の手順を実行 し ます。 1. Aventail WorkPlace に ロ グ イ ン し 、[ ア シ ス タ ン ス ] ボ タ ン を ク リ ッ ク し て Virtual Assist ソ フ ト ウ ェ ア を ダウ ン ロ ー ド し ます。ソ フ ト ウ ェ アが圧縮 さ れた tgz アー カ イ ブ と し て ダウ ン ロ ー ド さ れます。 フ ァ イ ルを解凍 し ます。 Virtual Assist フ ォ ルダが作成 さ れます。 2. コ マ ン ド ラ イ ン シ ェ ルに移動 し ます。 フ ォ ルダに対 し て sudo /install を実行 し ます。 3. さ ら に、 コ マ ン ド ラ イ ン に VirtualAssistGUI と 入力 し ます。 ア プ リ ケーシ ョ ンが開 き ます。 Virtual Assist | 527 4. サーバー ア ド レ スがロ グ イ ン ウ ィ ン ド ウに自動的に反映 さ れな い場合は、サーバー ア ド レ ス を入力 し 、 [Request Support] を ク リ ッ ク し ます。 サーバー ア ド レ スは、 E-Class SRA SSL-VPN ア プ ラ イ ア ン スの IP ア ド レ ス、 IPv6 ア ド レ ス、 ま たはホ ス ト 名のいずれかです。 IPv6 ア ド レ ス を入力す る際は、 カ ッ コ ( [ と ]) で囲む必要があ り ます。 5. E-Class SRA サーバー ア プ ラ イ ア ン スのホ ス ト 名ま たはア ド レ ス を入力 し ます。 6. ユーザー名 と ア シ ス タ ン ス コ ー ド を入力す る よ う に要求 さ れます。 7. 免責事項を読み、 同意 し ます。 [OK] を ク リ ッ ク し ます。 8. ポ ッ プ ア ッ プ ウ ィ ン ド ウか ら 、自分が Virtual Assist のチ ケ ッ ト キ ュ ーに登録 さ れて い る こ と が分か り ま す。 技術担当者には、 ユーザーが準備完了の状態に な っ た こ と を 知 ら せ る ア ラ ー ト が送 ら れます。 [Cancel] を ク リ ッ ク す る と 、 Virtual Assist 要求がキ ャ ン セル さ れま す。 528 | Aventail E-Class SRA 10.7 管理者ガ イ ド 9. [Add information] を ク リ ッ ク し て、 問題に関 し て技術担当者に知 ら せる情報を入力 し ま す。 10. 技術担当者がセ ッ シ ョ ン を開始す る と 、 Virtual Assist ツ ールバーが画面の右下に表示 さ れ ます。 こ れで、 技術担当者がユーザーの コ ン ピ ュ ー タ を制御で き る よ う に な り ま し た。 11. セ ッ シ ョ ンがア ク テ ィ ブ に な っ てか ら の Virtual Assist の使用につい ては、 509 ページの 「Virtual Assist の Technician モー ド 」 を参照 し て く だ さ い。 Virtual Assist | 529 530 | Aventail E-Class SRA 10.7 管理者ガ イ ド 第 12 章 ハイ アベ イ ラ ビ リ テ ィ ク ラ ス タ の管理 一部の E-Class SRA ア プ ラ イ ア ン ス (EX9000、 EX7000、 お よ び EX6000) では、 2 台の同 じ ア プ ラ イ ア ン ス を ク ラ ス タ 化 し て、 1 つの仮想 IP ア ド レ ス にす る こ と がで き ます。 E-Class SRA ク ラ ス タ では、 ス テ ー ト フ ル ユーザー認証、 フ ェ イ ルオーバー、 集中管理な どの機能を搭載す る こ と で高可用性 を 実現 し て い ま す。 こ の よ う な シ ス テ ムの冗長性に よ り 、 ノ ー ド のいずれか に障害が発生 し て も 、 ア プ ラ イ ア ン ス を利用 し 続け る こ と がで き ます。 こ のセ ク シ ョ ン では、 E-Class SRA ク ラ ス タ の機能を紹介 し 、 ク ラ ス タ の イ ン ス ト ール、 構成、 保守な どの手順につい て説明 し ま す。 複数のア プ ラ イ ア ン ス に関連す る その他の ト ピ ッ ク につ い ては、 以下の節で説明 し ます。 • • 規模を拡張 し た り サポー ト す る ユーザー を増や し た り す る ために、 外部ロ ー ド バ ラ ンサを 使用す る こ と で最大 8 台のア プ ラ イ ア ン ス を ク ラ ス タ リ ン グ で き ま す。 詳細につ い ては、 607 ページの 「大規模 ク ラ ス タ の構成」 を参照 し て く だ さ い。 複数の E-Class SRA ア プ ラ イ ア ン ス に設定を配布で き ます。 こ れは、 それぞれのア プ ラ イ ア ン スが地理的に離れた場所に配置 さ れて い る 場合で も 、 外部ロ ー ド バ ラ ン サで ク ラ ス タ リ ン グ し て い る場合で も 可能です。 詳細については、 307 ページの 「構成デー タ の複製」 を 参照 し て く だ さ い。 ハイ アベ イ ラ ビ リ テ ィ ク ラ ス タ の概要 ハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ は、 シ ン グル ポ イ ン ト 障害を防止す る ための も のです。 ク ラ ス タ を 展開す る と 、 ア プ リ ケー シ ョ ン を 複数の コ ン ピ ュ ー タ に分散で き る ため、 障害が発生 し て も 不必要な ダウ ン タ イ ム を避け る こ と がで き ます。2 ノ ー ド ク ラ ス タ は、 ユーザー、 ア プ リ ケー シ ョ ン、 ネ ッ ト ワー ク には単一のシ ス テム と し て提示 さ れ、 管理者に と っ てはシ ン グル ポ イ ン ト 管理が可能に な り ます。 E-Class SRA EX9000 ア プ ラ イ ア ン スは 2 ノ ー ド ク ラ ス タ をサポー ト し 、 高可用性の構成で最 大 20,000 人のユーザー をサポー ト し ます。 E-Class SRA EX7000 ア プ ラ イ ア ン スは 2 ノ ー ド ク ラ ス タ に よ り 最大 5,000 人のユーザー をサポー ト し ます。 ま た、 E-Class SRA EX6000 ア プ ラ イ ア ン スのペアは、 最大 250 人のユーザー をサポー ト し ます。 ハイ アベ イ ラ ビ リ テ ィ ク ラ ス タ の管理 | 531 ク ラ ス タ のアーキテ ク チ ャ E-Class SRA ク ラ ス タ は、 デ ュ アルホーム構成 と シ ン グルホーム構成の 2 種類の構成で構築で き ます ( こ れ ら の構成の詳細につい ては 33 ページの 「ネ ッ ト ワー ク のアーキテ ク チ ャ 」 を参照 )。 ど ち ら の構成で ク ラ ス タ を構築す る場合で も 、 2 台のア プ ラ イ ア ン ス を ク ラ ス タ ネ ッ ト ワー ク ( バ ッ ク プ レ ー ン ) で互いに接続 し な ければな り ません。 両方のア プ ラ イ ア ン スの ク ラ ス タ イ ン タ ー フ ェ ース同士を接続す る と 、 2 つの ク ラ ス タ ノ ー ド が ( ス テー ト 同期 と ク レ デ ン シ ャ ル共有のために ) 通信可能な プ ラ イ ベー ト ネ ッ ト ワー ク が形成 さ れます。 構築のシ ナ リ オがどのよ う な も ので あ っ て も 、 次の接続要件が適用 さ れます。 内部 リ ソ ース と 通信す る には、 ク ラ ス タ の両方の ノ ー ド が、 イ ン ト ラ ネ ッ ト 側のネ ッ ト ワー ク ス イ ッ チに接続 し なければな り ません ( シ ン グルホーム構成での外部ス イ ッ チ と 同様 )。 • 冗長性を実現す る には、 ク ラ ス タ の両方の ノ ー ド が イ ン タ ーネ ッ ト 側のネ ッ ト ワー ク ス イ ッ チ に接続 し な ければな り ません。 • 両方の ク ラ ス タ ノ ー ド は、 ク ラ ス タ イ ン タ ー フ ェ ース を介 し て互いに接続 し て いな ければ な り ません。 デ ュ アルホーム構成の場合、 ク ラ ス タ アーキテ ク チ ャ は次の図のよ う に な り ます。 • ࣀ࣮ࢻ ෆ㒊 እ㒊 ᴗ ࢿࢵࢺ࣮࣡ࢡ ࢡࣛࢫࢱ ࣥࢱ࣮ࢿࢵࢺ ࢫࢵࢳ ෆ㒊 ࢫࢵࢳ ࣇ࢛࣮࢘ࣝ ࣇ࢛࣮࢘ࣝ እ㒊 ࣀ࣮ࢻ シ ン グルホーム構成の場合、 ク ラ ス タ アーキテ ク チ ャ は次の図のよ う に な り ます。 ࣀ࣮ࢻ ෆ㒊 ࢫࢵࢳ ࢡࣛࢫࢱ ᴗ ࢿࢵࢺ࣮࣡ࢡ ࣥࢱ࣮ࢿࢵࢺ ෆ㒊 ࣇ࢛࣮࢘ࣝ ࣇ࢛࣮࢘ࣝ ࣀ࣮ࢻ メモ シ ン グル イ ン タ ー フ ェ ース構成では、ネ ッ ト ワー ク ト ン ネル サー ビ ス を使用で き ません。 障害の検出 内部監視サー ビ スが ノ ー ド の障害を検出 し 、 ス タ ンバ イ ノ ー ド への フ ェ イ ルオーバー を実行 し ます。 その後の ト ラ フ ィ ッ ク は、 新 し く 指定 さ れた ア ク テ ィ ブ ノ ー ド で処理 さ れます。 532 | Aventail E-Class SRA 10.7 管理者ガ イ ド ステー ト フル フ ェ イルオーバー ク ラ ス タ は、 ス テ ー ト フ ル ユーザー認証 フ ェ イ ルオーバー機能 ( すべての ノ ー ド が共有す る メ モ リ キ ャ ッ シ ュ での認証 ク レ デ ン シ ャ ルの リ アル タ イ ム共有 ) を提供 し ます。 両方の ノ ー ド は 同期 さ れる ため、 ア ク テ ィ ブ ノ ー ド が開始 し た接続について フ ェ イ ルオーバーが処理 さ れる と き も 、 ユーザーが再認証を求め ら れる こ と はあ り ません。 ク ラ ス タ は、 ス テ ー ト フ ル ア プ リ ケ ー シ ョ ン セ ッ シ ョ ン フ ェ イ ルオーバー を 提供 し ま せん。 ユーザーが受け る中断は、 フ ェ イ ルオーバー発生時に使用 し ていた ア プ リ ケーシ ョ ンの TCP/IP 切断許容度に よ っ て異な り ます。 同期ク ラ ス タ 管理 E-Class SRA ク ラ ス タ の ノ ー ド は、 一方のマ ス タ ー AMC か ら 管理 し ま す。 ア プ ラ イ ア ン スの 初期セ ッ ト ア ッ プ (LCD 画面 と ア プ ラ イ ア ン ス前面の操作ボ タ ン を使用 ) では、一方のア プ ラ イ ア ン ス を マ ス タ ー ノ ー ド ( ア ク テ ィ ブ ) に指定 し 、 他方を ス レ ー ブ ノ ー ド ( ス タ ンバ イ ) に指 定 し ます。 ソ フ ト ウ ェ ア を両方の ノ ー ド に イ ン ス ト ール し た ら 、 マ ス タ ー ノ ー ド の AMC に ロ グ イ ン ます。 こ れ以降、 両方の ノ ー ド のポ リ シー と 構成の伝送 と 同期は、 こ の ノ ー ド か ら 制御 し ます。 ス レ ー ブ ノ ー ド の AMC に ロ グ イ ン す る と 、 [Node Administration] ページが表示 さ れ、 マ ス タ ー ノ ー ド で な い こ と を 知 ら せ る メ ッ セ ー ジが表示 さ れま す ( ス レ ー ブ ノ ー ド のサー ビ ス に関す る ス テ ー タ ス情報 も 表示 さ れます )。 ク ラ ス タ の各 ノ ー ド には、 構成お よ びポ リ シ ーのデー タ が格納 さ れま す。 マ ス タ ー ノ ー ド は、 ク ラ ス タ イ ン タ ー フ ェ ース を介 し て ス レ ーブ ノ ー ド と 通信 し ま すが、 こ のデー タ を次の方法で 同期 し ます。 • • メモ 注意 2 番目の ノ ー ド を ク ラ ス タ に追加す る と き 、 マ ス タ ー ノ ー ド は新 し い ノ ー ド に構成デー タ を提供 し ます。 その後、 新 し い ノ ー ド がア ク セ ス サー ビ ス を開始 し ます。 マ ス タ ー ノ ー ド に構成の変更を適用す る と 、 AMC はその変更 を ス レ ーブ ノ ー ド に伝送 し ます。 こ れは、複製を使用 し て構成を多 く のア プ ラ イ ア ン ス に配布す る場合 も 同様です。HA ク ラ ス タ は、 ロ グお よ び AMC の UI では ク ラ ス タ 名に よ り 識別 さ れます。 ス レ ー ブ ノ ー ド ( ス タ ンバ イ ) では冗長 AMC を提供 し 、元のマ ス タ ー ノ ー ド に障害が発 生 し た場合に自 ら を マ ス タ ー ( ア ク テ ィ ブ ) に昇格 さ せます。 ア ク テ ィ ブ に な っ た ノ ー ド は、 手動での役割の切 り 替え ( ま たは再起動 ) が行われる ま で マ ス タ ー と し ての役割を保 持 し ます。 マ ス タ ー ノ ー ド の ソ フ ト ウ ェ ア を ア ッ プ グ レ ー ド し て い る場合、 元のマ ス タ ー ノ ー ド がダ ウ ン し てい る間に ス レ ー ブ ノ ー ド を マ ス タ ー と し て指定 し ない で く だ さ い。 こ のよ う な操作 を行 う と 、 ア ッ プ グ レ ー ド さ れた ノ ー ド がバージ ョ ン不適合のために他方の ノ ー ド に拒否 さ れ、 動作 し な く な り ま す。 ク ラ ス タ 全体を復旧す る場合は、 2 番目の ノ ー ド を ア ッ プ グ レ ー ド す る間にユーザーにダウ ン タ イ ムが発生す る こ と に な り ます。 マ ス タ ー ノ ー ド に障害が発生 し た場合の詳細につい ては、 541 ページの 「マ ス タ ー (AMC) ノ ー ド の障害」 を 参照 し て く だ さ い。 マ ス タ ー AMC を 使用 し て ク ラ ス タ を 管理す る 方法につい て は、 537 ページの 「 ク ラ ス タ の管理」 を参照 し て く だ さ い。 ハイ アベ イ ラ ビ リ テ ィ ク ラ ス タ の管理 | 533 ハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ の管理は、 複製の場合 と 異な り ます。 複製の場合は、 共 通の設定を持ち ピ ア ツ ー ピ ア モー ド で動作す る ア プ ラ イ ア ン スの 「 コ レ ク シ ョ ン」 を定 義 し ます。 詳細については、 307 ページの 「構成デー タ の複製」 を参照 し て く だ さ い。 メモ ク ラ ス タ のイ ン ス ト ール と 構成 E-Class SRA ク ラ ス タ の イ ン ス ト ールは、 次の手順で行い ます。 両方のア プ ラ イ ア ン ス を ラ ッ ク マ ウ ン ト す る 2 台のア プ ラ イ ア ン スの ク ラ ス タ イ ン タ ー フ ェ ース を接続す る • 各ア プ ラ イ ア ン ス で Setup Tool を実行す る • ク ラ ス タ の仮想 IP ア ド レ ス (VIP) を構成す る 次の図は、 作業の流れを示 し て い ます。 • • ࣀ࣮ࢻࢆ᥋⥆ࡍࡿ ྎࡢࣉࣛࣥࢫࡑ ࢀࡒࢀ࡛ࠊࢡࣟࢫࢣ࣮ ࣈࣝࢆࢡࣛࢫࢱࣥ ࢱ࣮ࣇ࢙࣮ࢫ᥋⥆ࡍࡿ ྛࣀ࣮ࢻ࡛6HWXS 7RROࢆᐇ⾜ࡍࡿ ࣐ࢫࢱ࣮ࣀ࣮ࢻࢆ ࠕࠖࠊࢫ࣮ࣞࣈࣀ࣮ࢻ ࢆࠕࠖࡋ࡚ᣦᐃࡍࡿ ࢡࣛࢫࢱタᐃࢆ ᵓᡂࡍࡿ 9,3ࢆᵓᡂࡋࠊእ㒊 ࣥࢱ࣮ࣇ࢙࣮ࢫࢆ᭷ຠ ࡍࡿ࢜ࣉࢩࣙࣥ ᭱⤊ࢫࢸࢵࣉ ṧࡾࡢࢿࢵࢺ࣮࣡ࢡタᐃࢆᵓᡂࡋࠊࣛࢭࣥࢫ ࢆྲྀᚓࡋ࡚ࢵࣉ࣮ࣟࢻࡍࡿ E-Class SRA ク ラ ス タ を イ ン ス ト ール し て構成す る前に、次の情報を収集 し てお く と 便利です。 デ ュ アルホーム構成の IP ア ド レ ス • • • 同 じ サブ ネ ッ ト 上にあ る合計 4 つの IP ア ド レ ス で、 それぞれ、 各 ノ ー ド の内部 イ ン タ ー フ ェ ース お よ び外部 イ ン タ ー フ ェ ース に対応す る も の。 内部ア ド レ ス と 外部ア ド レ スは、 別 のサブ ネ ッ ト 上に存在す る必要があ り ます。 ク ラ ス タ に対す る 1 つの仮想 IP ア ド レ ス (VIP)。 こ の VIP は、 ク ラ ス タ 全体に対す る単一 の外部ア ド レ ス と し て機能 し 、外部 イ ン タ ー フ ェ ース と 同 じ サブ ネ ッ ト 上に存在 し な ければ な り ません。 ク ラ ス タ 環境で ネ ッ ト ワー ク ト ン ネル サー ビ ス を使用す る場合、 ネ ッ ト ワー ク ト ン ネル サー ビ ス について内部 IP ア ド レ スが必要に な り ま す。こ のア ド レ スは、ク ラ ス タ 全体のバ ッ ク コ ネ ク ト ア ド レ ス と し て機能 し 、 内部 イ ン タ ー フ ェ ース と 同 じ サブ ネ ッ ト 上に存在 し な ければな り ません。 シ ン グルホーム構成の IP ア ド レ ス • • 同 じ サブ ネ ッ ト 上にあ る 2 つの IP ア ド レ ス で、 それぞれ、 各 ノ ー ド の内部 イ ン タ ー フ ェ ー ス に対応す る も の。 ク ラ ス タ に対す る 1 つの仮想 IP ア ド レ ス (VIP)。 こ の VIP は、 ク ラ ス タ 全体に対す る単一 の外部ア ド レ ス と し て機能 し 、内部 イ ン タ ー フ ェ ース と 同 じ サブ ネ ッ ト 上に存在 し な ければ な り ません。 ステ ッ プ 1: ク ラ ス タ ネ ッ ト ワー クの接続 Setup Tool を実行す る前に、ク ラ ス タ の 2 つの ノ ー ド 間で ク ラ ス タ ネ ッ ト ワー ク を接続 し ます。 534 | Aventail E-Class SRA 10.7 管理者ガ イ ド 注意 1. ア プ ラ イ ア ン ス に付属す る ネ ッ ト ワー ク ク ロ ス ケーブルを取 り 出 し ま す。 2. こ のケー ブルを使用 し て、 両方のア プ ラ イ ア ン スの ク ラ ス タ イ ン タ ー フ ェ ース同士を接続 し ます。 44 ページの 「ア プ ラ イ ア ン スの接続」 を参照 し て く だ さ い。 ク ラ ス タ ネ ッ ト ワー ク の 2 つの ノ ー ド を接続す る と き は、ア プ ラ イ ア ン ス に付属す る ク ロ ス ケー ブルを使用す る必要があ り ます。 他のケー ブルで代用 し ない で く だ さ い。 ま た、 2 つの ノ ー ド の間に他のネ ッ ト ワー ク ハー ド ウ ェ ア デバ イ ス ( ルー タ やス イ ッ チ な ど ) を入れる こ と はで き ません。 ステ ッ プ 2: ク ラ ス タ のすべての ノ ー ド で Setup Tool を実行 Setup Tool は、 ア プ ラ イ ア ン スの初期ネ ッ ト ワー ク 設定 を実行す る ための コ マ ン ド ラ イ ン ユー テ ィ リ テ ィ です。 単一 ノ ー ド 環境で こ のツ ールを実行す る場合の詳細については、 51 ページの 「次のス テ ッ プ」 で説明 し てい ます。 ク ラ ス タ を イ ン ス ト ールす る と き 、 一方のア プ ラ イ ア ン ス で Setup Tool を実行 し て、 2 番目のア プ ラ イ ア ン ス で こ のプ ロ セ ス を繰 り 返 し ます。 544 ペー ジの 「Setup Tool の使用についての ヒ ン ト 」 を参照 し た上で、 続行 し て く だ さ い。 1. ク ラ ス タ 内の一方のア プ ラ イ ア ン ス に シ リ アル接続 し 、 2 つの ノ ー ド 間で ク ラ ス タ ネ ッ ト ワー ク が接続 さ れて い る こ と を 確認 し ま す。 次に、 フ ロ ン ト パネルの電源ボ タ ン を 押 し て ア プ ラ イ ア ン ス を オ ン に し ま す。 こ の操作に よ り 、 Setup Tool が自動的に動作 を 始めま す (setup_tool と 入力 し て呼び出す こ と も 可能 )。 2. ロ グ イ ン要求が表示 さ れた ら 、 ユーザー名 と し て 「root」 と 入力 し ま す。 3. 内部 イ ン タ ー フ ェ ースの IP ア ド レ ス、 サブ ネ ッ ト マ ス ク 、 ( オ プ シ ョ ン で ) ゲー ト ウ ェ イ を 入力す る よ う 求め ら れま す。 こ の イ ン タ ー フ ェ ー ス を使用 し て、 Web ブ ラ ウザか ら ア プ ラ イ ア ン ス に接続 し 、 AMC で セ ッ ト ア ッ プ を継続 し ます。 a. 内部 ( プ ラ イ ベー ト ) ネ ッ ト ワー ク に接続す る内部 イ ン タ ー フ ェ ースの IP ア ド レ ス を 入力 し て、 ENTER を押 し ます。 b. 内部ネ ッ ト ワー ク イ ン タ ー フ ェ ースのサブ ネ ッ ト マ ス ク を入力 し て、 ENTER を押 し ます。 c. AMC に ア ク セ スす る際、 ア ク セ ス元の コ ン ピ ュ ー タ がア プ ラ イ ア ン ス と 異な る ネ ッ ト ワー ク 上にあ る場合は、 ゲー ト ウ ェ イ を指定す る必要があ り ます。 ト ラ フ ィ ッ ク を ア プ ラ イ ア ン ス にルーテ ィ ン グす る ゲー ト ウ ェ イ の IP ア ド レ ス を入力 し て、 ENTER を 押 し ます。 ア プ ラ イ ア ン ス と 同 じ ネ ッ ト ワ ー ク か ら AMC に ア ク セ ス し て い る 場 合 は、 そ の ま ま ENTER を押 し ます。 4. こ こ ま で入力 し た情報を確認す る よ う 求め ら れます。 現在の値で良ければそのま ま ENTER を押 し 、 値を変更 し たい場合は新 し い値を入力 し ます。 5. こ の ノ ー ド を ク ラ ス タ の一部にす るかど う か指定す る よ う 求め ら れます。 y ENTER を押 し ます。 6. 現在のア プ ラ イ ア ン ス を マ ス タ ー ノ ー ド ( 「1」 ) ま たはス レ ー ブ ノ ー ド ( 「2」 ) のいずれ かに指定 し て、 Enter を押 し ま す。 と 入力 し て ク ラ ス タ サブ ネ ッ ト と IP ア ド レ スは自動的に指定 さ れます。 7. こ こ ま で入力 し た情報を確認す る よ う 求め ら れます。 現在の値で良ければそのま ま ENTER を押 し 、 値を変更 し たい場合は新 し い値を入力 し ます。 8. 変更を保存 し て適用す る よ う 求め ら れます。 Enter を押 し て、 変更 を保存 し ます。 ハイ アベ イ ラ ビ リ テ ィ ク ラ ス タ の管理 | 535 Setup Tool が変更 を 保存 し 、 必要なサー ビ ス を 再起動 し ま す。 ま た、 こ れま で指定 し た情 報を基に Secure Shell (SSH) キー を生成 し ます。 こ の間、 フ ィ ー ド バ ッ ク はほ と ん ど あ り ません。Setup Tool が反応 し な く な っ た と 早合点せずに、そのま ま し ば ら く お待ち く だ さ い。 変更が保存 さ れた ら 、 初期セ ッ ト ア ッ プが完了 し た こ と を示す メ ッ セージが表示 さ れます。 9. 最初の ノ ー ド で Setup Tool を実行 し 終わ っ た ら 、 次の ノ ー ド で も 同 じ プ ロ セ ス を繰 り 返 し ます。 ステ ッ プ 3: ク ラ ス タ の外部仮想 IP ア ド レ スの構成 ク ラ ス タ の仮想 IP ア ド レ スは、 ク ラ ス タ 全体に対す る単一の外部ア ド レ ス と し て機能 し ます。 1. マ ス タ ーにす る ノ ー ド の AMC に ロ グ イ ン し ま す。 2. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Network Settings] を ク リ ッ ク し ま す。 3. [Basic] エ リ アの [Edit] リ ン ク を ク リ ッ ク し ます。 [Configure Basic Network Settings] ペー ジが表示 さ れます。 4. [Cluster configuration] エ リ アの [Virtual IP address] に、 ク ラ ス タ の仮想 IP ア ド レ ス を入力 し ます こ れは、 イ ン タ ーネ ッ ト に接続 し て い る イ ン タ ー フ ェ ース ( シ ン グルホーム構成の場 合は内部 イ ン タ ー フ ェ ース、 デ ュ アルホーム構成の場合は外部 イ ン タ ー フ ェ ース ) の IP ア ド レ ス と 同 じ サブ ネ ッ ト 上に な ければな り ません。 5. ク ラ ス タ 環境で ネ ッ ト ワー ク ト ン ネル サー ビ ス を使用 し てい る場合、 [Network tunnel service virtual IP address] ボ ッ ク ス に仮想 IP ア ド レ ス を入力 し ます。 こ の IP ア ド レ スは、 ク ラ ス タ 全体に対す る ネ ッ ト ワー ク ト ン ネル サー ビ スの単一の内部 ア ド レ ス と し て機能 し ま す。 こ の VIP は、 内部 イ ン タ ー フ ェ ース と 同 じ サブ ネ ッ ト 上に な ければな り ません。 こ の設定は、 デ ュ アルホーム ク ラ ス タ のみに適用 さ れます。 最終ステ ッ プ : ネ ッ ト ワー クの構成 と ラ イ セ ン ス ソ フ ト ウ ェ ア を両方の ノ ー ド に イ ン ス ト ール し 、一方の AMC がマ ス タ ー管理 コ ン ソ ール と し て 機能 し 始めた ら 、 残 り の構成作業に取 り かか り ます。 単一 ノ ー ド ア プ ラ イ ア ン スの構成 と ク ラ ス タ の構成にはほ と ん ど差はあ り ません。 次に示すのは、 ク ラ ス タ を 構成す る 場合の主な違い です。 AMC の [Network Settings] ページ に、 ク ラ ス タ の両方の ノ ー ド が表示 さ れます。 単一 ノ ー ド 環境の場合は 1 つの ノ ー ド し か表示 さ れません。 • 前のス テ ッ プ で使用 し た [Cluster interface settings] エ リ アが表示 さ れます。 こ のエ リ アは 単一 ノ ー ド の場合は表示 さ れません。 • [Network Interface Configuration] ページ では、 ア プ ラ イ ア ン スの名前 ( 実際は ノ ー ド ID) を 編集で き ません。 単一 ノ ー ド の場合は、 ア プ ラ イ ア ン スの名前を編集で き ます。 • 外部 イ ン タ ー フ ェ ース を有効にす る場合、両方の ノ ー ド で同時に有効に し な ければな り ませ ん。 AMC では、 両方の ノ ー ド で イ ン タ ー フ ェ ース を有効に し な い限 り 構成の変更を適用で き ません。 ク ラ ス タ の構成を続行 し ます。 • 536 | Aventail E-Class SRA 10.7 管理者ガ イ ド 1. MySonicwall.com か ら ラ イ セ ン ス フ ァ イ ルを取得 し て ア プ ラ イ ア ン ス に イ ン ポー ト す る手 順につい ては、 335 ページの 「 ラ イ セ ン スの管理」 を参照 し て く だ さ い。 ラ イ セ ン スはア プ ラ イ ア ン ス ご と に個別にダウ ン ロ ー ド す る必要があ り ます。 2. ネ ッ ト ワー ク イ ン タ ー フ ェ ース、 ルーテ ィ ン グ モー ド 、 ゲー ト ウ ェ イ な どの設定について は、 531 ページの 「ハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ の管理」 を参照 し て く だ さ い。 ク ラ ス タ の管理 ほ と ん どの ク ラ ス タ 管理作業は、単一の AMC ( マ ス タ ーに指定 さ れてい る AMC) か ら 実行で き ます。 こ のセ ク シ ョ ン では、 ク ラ ス タ の管理方法について詳細に説明 し ます。 各 ノ ー ド のネ ッ ト ワー ク情報の表示 と 構成 マ ス タ ー AMC か ら 、 ク ラ ス タ 内の両方の ノ ー ド に対す る ネ ッ ト ワー ク イ ン タ ー フ ェ ース設定 を表示 し 、 構成で き ます。 ネ ッ ト ワー ク イ ン タ ー フ ェ ース構成設定を表示す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Network Settings] を ク リ ッ ク し ま す。 [Basic] エ リ ア では、 ク ラ ス タ の概要 ( ノ ー ド 名、 デ フ ォ ル ト ド メ イ ン、 ア ド レ ス ) を確認で き ます。 2. [Basic] エ リ アの [Edit] リ ン ク を ク リ ッ ク し ます。 [Configure Basic Network Settings] ペー ジが表示 さ れます。 3. [Cluster nodes] エ リ アのテ ーブルには、 2 つの ノ ー ド それぞれに関す る情報が表示 さ れま す。 情報は、 こ のペ ー ジ で 編集 で き ま す。 こ れ ら のネ ッ ト ワ ー ク 設定の詳細に つ い て は、 136 ページの 「ネ ッ ト ワー ク イ ン タ ー フ ェ ースの構成」 を参照 し て く だ さ い。 ク ラ ス タ の起動 ク ラ ス タ 内の両方の ノ ー ド を起動す る と き は、 ど ち ら の ノ ー ド を先に起動 し て も かま い ません。 ハイ アベ イ ラ ビ リ テ ィ ク ラ ス タ の管理 | 537 サービ スの開始 と 停止 ク ラ ス タ 環境のサー ビ ス を 開始 し た り 停止 し た り す る と き は、 マ ス タ ー ノ ー ド を 使用 し ま す。 手順につい ては、 467 ページの 「E-Class SRA ア ク セ ス サー ビ スの停止 と 起動」 を参照 し て く だ さ い。 た だ し 、 ク ラ ス タ の単一 ノ ー ド につい てサー ビ ス を 制御す る こ と はで き ません。 サー ビ ス を開始ま たは停止す る と き 、 サー ビ スは ク ラ ス タ の両方の ノ ー ド で開始ま たは停止 し ます。 ク ラ ス タ の単一 ノ ー ド でサー ビ ス を 停止す る と き は、 ア プ ラ イ ア ン ス自体の電源 を オ フ に し な ければな り ません。 マ ス タ ーの [Services] ページの [Status] 列には、 マ ス タ ー ノ ー ド のサー ビ スのス テー タ ス だけが表示 さ れます。 ス レ ー ブ ノ ー ド の監視方法につい ては、 538 ページの 「 ク ラ ス タ の監視」 を参照 し て く だ さ い。 メモ ク ラ ス タ の監視 マ ス タ ー ノ ー ド か ら は、 マ ス タ ー ノ ー ド で動作す るサー ビ スのみを監視で き ま す。 マ ス タ ー ノ ー ド のサー ビ スのス テ ー タ ス を表示す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ます。 2. [Access services] エ リ ア で、それぞれのサー ビ ス に対す る [Status] イ ン ジ ケー タ を参照 し ま す。 [Stop]/[Start] の値は、 マ ス タ ー ノ ー ド のサー ビ スのス テ ー タ ス を示 し ます。 ス レ ー ブ ノ ー ド のサー ビ スのス テ ー タ ス を表示す る と き は、 そのス レ ー ブ ノ ー ド の AMC に ロ グ イ ン す る必要があ り ます。 ス レ ー ブ ノ ー ド のサー ビ スのス テ ー タ ス を表示す る には 1. AMC に ロ グ イ ン し ます。 [Slave Node Administration] ページが表示 さ れます。 2. [Node status] エ リ ア で、 [Services]、 [System information]、 お よ び [Current connections] を 参照 し ます。 こ のページ には、 前回 ク ラ ス タ を同期 し た と き の タ イ ムス タ ン プ も 表示 さ れま す。 3. 最新の統計デー タ を参照す る には、 [Refresh] ボ タ ン を ク リ ッ ク し ます。 4. [Slave Node Administration] ページか ら は、 メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ー を使用 し て 次の AMC ページ に ア ク セ ス で き ま す。 5. メモ • [System Status] • [View Logs] • [Maintenance] ク ラ ス タ を管理す る必要があ る場合は、AMC のホーム ページの [Cluster Management] で マ ス タ ーに対応す る リ ン ク を ク リ ッ ク し ます。 ク ラ ス タ 環境の場合、AMC ホーム ページ お よ び [System Status] ページ に表示 さ れる ア ク テ ィ ブ ユーザー数は現在の ノ ー ド のユーザーに限定 さ れてい ますが、[User Sessions] ページ に表示 さ れる ユーザー数は、 全 ク ラ ス タ のア ク テ ィ ブ ユーザー を含みます。 538 | Aventail E-Class SRA 10.7 管理者ガ イ ド ク ラ ス タ のバ ッ ク ア ッ プ ク ラ ス タ の構成デー タ をバ ッ ク ア ッ プす る と き は、 マ ス タ ー ノ ー ド のみで Backup Tool を実行 し ます。 こ れに よ り 、 両方の ノ ー ド の構成デー タ がバ ッ ク ア ッ プ さ れま す。 Backup Tool の実行 方法につい ては、 545 ページの 「構成デー タ の保存 と リ ス ト ア」 を参照 し て く だ さ い。 ク ラ ス タ での保守の実行 ク ラ ス タ の一方ま たは両方の ノ ー ド で保守作業 を 行 う と き は、 両方の ノ ー ド でサー ビ ス を 停止 し ます。 すべての保守活動は、 ユーザーの妨げに な ら ない時間内に計画す る必要があ り ます。 詳 細につい ては、 538 ページの 「サー ビ スの開始 と 停止」 を参照 し て く だ さ い。 ク ラ ス タ のア ッ プグレー ド バージ ョ ンのア ッ プ グ レ ー ド やホ ッ ト フ ィ ッ ク ス を イ ン ス ト ールす る ために、 AMC を使用で き ます。 ク ラ ス タ 環境で E-Class SRA ソ フ ト ウ ェ ア を ア ッ プデー ト す る には、 シ ス テム ア ッ プ グ レ ー ド ま たはホ ッ ト フ ィ ッ ク ス を イ ン ス ト ール し て、 ク ラ ス タ のそれぞれの ノ ー ド に ラ イ セ ン ス フ ァ イ ルを イ ン ポー ト す る必要があ り ます。ク ラ ス タ 内の ノ ー ド を ア ッ プデー ト す る順序は、 非常に重要です。 マ ス タ ー ノ ー ド を最初に ア ッ プデー ト し 、 次に ス レ ーブ ノ ー ド を ア ッ プデー ト し ま す。 ア ッ プ デー ト を 実施す る と き は、 サー ビ ス を 極力中断 し な い よ う にす る ため、 保守 の時間帯に行 う よ う 計画 し ます。 ア ッ プ グ レ ー ド を 実行す る 前に、 現在の構成デー タ を バ ッ ク ア ッ プ し ま す。 詳細に つ い ては、 303 ページの 「構成デー タ の管理」 を参照 し て く だ さ い。 ク ラ ス タ を ア ッ プ グ レ ー ド す る には メモ 1. ア ッ プ グ レ ー ド 中は両方の ノ ー ド を無効に し ます。 2. ス レ ー ブ ノ ー ド と マ ス タ ー ノ ー ド の両方の AMC に ロ グ イ ン し ます。 こ の操作は一方の コ ン ピ ュ ー タ か ら 実行で き ます。 ま た、 同時に両方の AMC ウ ィ ン ド ウ を並べて開いて お く こ と がで き ます。 3. 最初の ノ ー ド で AMC に ロ グ イ ン し 、 AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Maintenance] を ク リ ッ ク し ま す。 318 ページの 「シ ス テム ア ッ プ デー ト の イ ン ス ト ール」 の手順に従 っ て ア ッ プ グ レ ー ド を イ ン ス ト ール し ます。 4. 同 じ イ ン ス ト ール手順で、 2 番目の ノ ー ド で ア ッ プ グ レ ー ド を イ ン ス ト ール し ます。 5. 両方の ノ ー ド の AMC でバージ ョ ン番号が正 し い こ と を検証 し て、 ア ッ プデー ト が成功 し た こ と を確認 し ます。 • ア ッ プ グ レ ー ド を 実行す る と 、 再認証が必要 と な る こ と があ り ま す。 新 し く 確立 し た接 続は影響を受け ません。 ク ラ ス タ のバージ ョ ン を ロ ール バ ッ ク す る場合は、 マ ス タ ー ノ ー ド か ら 始め、 321 ページ の 「以前のバージ ョ ンへのロ ールバ ッ ク 」 の手順に従 っ て操作す る必要があ り ます。 • ク ラ ス タ の ト ラ ブルシ ュ ーテ ィ ング こ のセ ク シ ョ ン では、 ク ラ ス タ 環境で発生す る さ ま ざ ま な問題に対す る ト ラ ブルシ ュ ー テ ィ ン グについ て説明 し ます。 ハイ アベ イ ラ ビ リ テ ィ ク ラ ス タ の管理 | 539 フ ェ イルオーバーが発生し た場合のサービス遅延の回避 ノ ー ド がス タ ン バ イ と ア ク テ ィ ブの間で切 り 替わ る 際、 ポー ト が他のス イ ッ チ に接続 し て い る かど う か を ス イ ッ チがチ ェ ッ ク す る ため、 イ ン タ ー フ ェ ースが短時間だ け使用で き な く な り ま す。 スパニ ン グ ツ リ ーの高速ポー ト ネ ゴ シ エーシ ョ ン を有効にす る こ と に よ り 、 ス イ ッ チが こ の よ う な チ ェ ッ ク を ス キ ッ プ す る よ う に 構成 で き ま す。 Cisco ス イ ッ チ の場合、 こ の機能は PortFast と 呼ばれます。 ク ラ ス タ のエ ラー メ ッ セージ ク ラ ス タ を構成 し て い る と き 、 AMC に次の メ ッ セージが表示 さ れる こ と があ り ます。 エ ラ ー メ ッ セージ 説明 You are trying to cluster too many nodes (your system supports a maximum of two nodes). ( ク ラ ス タ リ ン グ し よ う と し て い る ノ ー ド が多す ぎ ます ( こ のシ ス テムでは最大 2 ノ ー ド をサ ポー ト )。 ) ク ラ ス タ には 2 つの ノ ー ド し か含め る こ と がで き ま せん。 複数の ク ラ ス タ を 構成 し て い る 場合 は、 それぞれのク ラ ス タ 名が一意である こ と を確 認 し て く だ さ い。 Invalid configuration. Each node in the cluster must use the same number of network interfaces. ( 構成が不正です。 ク ラ ス タ 内のそ れぞれの ノ ー ド では同 じ 数のネ ッ ト ワー ク イ ン タ ー フ ェ ース を使用 し なければな り ません。 ) ク ラ ス タ 内の両方の ノ ー ド は、 同 じ 構成にな っ て いなければな り ません。 一方の ノ ー ド がデ ュ アル ホームで、 も う 一方がシ ングルホームにな っ てい る 場合、 [Network Settings] ペ ー ジ に こ の メ ッ セージが表示 さ れます。デ ュ アルホーム ノ ー ド と シ ングルホーム ノ ー ド と の比較については、 532 ページの 「ク ラ ス タ のアーキテ ク チ ャ 」 を参照 し て く だ さ い。 こ の問題 を 解消せずに変更 を 適用 し よ う と す る と 、[Apply Changes] ページ で も 同 じ メ ッ セージ が表示 さ れ、 変更を適用するボ タ ンが使用で き な い状態にな り ます。 You have specified a duplicate cluster IP ノ ー ド の ク ラ ス タ イ ン タ ー フ ェ ースの IP ア ド レ address. Rerun Setup Tool and assign a スは、 一意でなければな り ません。 different one. ( 指定 し た ク ラ ス タ IP ア ド レ ス が重複 し ています。Setup Tool を再び実行 し て 別のア ド レ ス を割 り 当てて く だ さ い。 ) The version of the software running on this node is incompatible with the master. Compare the version numbers and upgrade the appropriate node. ( こ の ノ ー ド で動作 し ている ソ フ ト ウ ェ アのバージ ョ ンには、マス タ ー と の 間で互換性があ り ません。バージ ョ ン番号を比 較 し て、該当する ノ ー ド を ア ッ プグ レー ド し て く だ さ い。 ) ク ラ ス タ が正常に動作するには、 それぞれの ノ ー ド で同 じ バー ジ ョ ン の ソ フ ト ウ ェ ア が動作 し て いなければな り ません。詳細については、539 ペー ジの 「ク ラ ス タ のア ッ プ グ レ ー ド 」 を参照 し て く だ さ い。 ク ラ ス タ のシナ リ オ こ のセ ク シ ョ ン では、 ク ラ ス タ が さ ま ざ ま な状況に どの よ う に対応す る かについ て詳細に説明 し ます。 540 | Aventail E-Class SRA 10.7 管理者ガ イ ド ト ラ フ ィ ッ クの正常な流れ 両方の ノ ー ド が正常に動作 し て い る 場合、 ク ラ ス タ 内での ト ラ フ ィ ッ ク の流れは次の よ う に な り ます。 1. 受け取 っ た要求が ク ラ ス タ の仮想 IP ア ド レ スにルーテ ィ ン グ さ れま す。 ノ ー ド の障害 次のシ ナ リ オは、 ク ラ ス タ ノ ー ド に障害が発生 し て い る場合に ど う な るかについて示 し て い ま す。 ほ と ん どの障害の場合、 ユーザーが再認証 を 求め ら れ る こ と はな く 、 現在のユーザー接続 は正常に動作 を 続け ま す。 た だ し 、 特定のア プ リ ケー シ ョ ン がユーザーに再認証 を 求め る 場合 は、 サー ビ スが中断 さ れる可能性 も あ り ます。 マス タ ー (AMC) ノ ー ド の障害 こ のシ ナ リ オは、マ ス タ ー ノ ー ド に障害が発生 し た場合に、AMC で ど う な るかを示 し てい ます。 1. マ ス タ ー ノ ー ド に障害が発生 し ます。 2. ス レ ー ブ ノ ー ド が自 ら マ ス タ ー ノ ー ド に昇格 し ま す。 3. 元のマ ス タ ーがオ ン ラ イ ン に戻 り 、他方の ノ ー ド と 通信 し て他方がマ ス タ ーで あ る こ と を識 別 し ます。 元のマ ス タ ーは自 ら ス レ ー ブ に降格 し ます。 4. 新 し い マ ス タ ーは、 そのス テ ー ト を新 し いス レ ー ブ ノ ー ド のス テ ー ト に同期 さ せます。 ク ラ ス タ ネ ッ ト ワークの障害 ク ラ ス タ ネ ッ ト ワー ク に障害が発生す る と 、 ク ラ ス タ の 2 つの ノ ー ド が相互に通信で き な く な り ます。 1. メモ マ ス タ ー AMC が、 ク ラ ス タ ネ ッ ト ワー ク がダウ ン し て い る こ と を検出 し ますス レ ー ブ ノ ー ド と は通信で き な く な り ます。 ス レ ー ブ ノ ー ド が動作 し てい て も マ ス タ ー ノ ー ド がス レ ーブ と 通信で き ない場合は、 ク ラ ス タ ネ ッ ト ワー ク に障害があ る可能性が高い と 考え ら れます。 ハイ アベ イ ラ ビ リ テ ィ ク ラ ス タ の管理 | 541 542 | Aventail E-Class SRA 10.7 管理者ガ イ ド 付録 A アプ ラ イ ア ン スのコ マ ン ド ラ イ ン ツール 実行 し な ければな ら な いほ と ん どの構成管理作業 ( ア プ ラ イ ア ン ス構成のバ ッ ク ア ッ プ と リ ス ト ア、 ア ッ プ グ レ ー ド の適用 な ど ) は、 Web ベ ー ス の Aventail 管理 コ ン ソ ー ル (AMC) の [Maintenance] ページ を使用 し て行 う こ と がで き ます。 こ のセ ク シ ョ ン では、 コ マ ン ド ラ イ ン で の作業を好む管理者向けに、 同様の作業を行 う ためのア プ ラ イ ア ン ス ツ ールについて説明 し ま す。 ツ ール 目的 Setup Tool (setup_tool) ノ ー ト 型 PC または端末を使用 し 、シ リ アル接続を介 し て Setup Tool を実行する こ と で、 ア プ ラ イ ア ン ス を構成 し ます。 • 544 ページの 「Setup Tool に よ る 新 し い ア プ ラ イ ア ン スの構成」 を参照 し て く だ さ い。 Backup Tool (config_backup) 現在の構成フ ァ イルを保存 し ます。 • 546 ページの 「構成デー タ の保存」 を参照 し て く だ さ い。 Config Reset (config_reset) 工場出荷時のデ フ ォル ト 構成を リ ス ト ア し ます。 • 547 ページの 「工場出荷時のデ フ ォ ル ト 構成の リ ス ト ア」 を参照 し て く だ さ い。 Update Tool ソ フ ト ウ ェ ア ア ッ プデー ト を イ ン ス ト ール し ます。 (upgrade_<ver-sion>. • 548 ページの 「シ ス テム ア ッ プ グ レ ー ド の イ ン ス ト ール ( コ マ ン bin) ド ラ イ ン ツ ール )」 を参照 し て く だ さ い。 Rollback Tool (rollback_tool) シ ス テム ソ フ ト ウ ェ ア を、 ア ッ プグ レ ー ド 直前の状態に ロールバ ッ ク し ます。 • 549 ページの 「以前のバージ ョ ンへの復帰」 を参照 し て く だ さ い。 Factory Reset Tool (factory_reset_tool) ア プ ラ イ ア ン ス を、 ベ ン ダーか ら 納品 さ れた と きの状態に リ ス ト ア し ます。 このツールは最後の手段 と し て使用 し ます。 AMC には、 こ の機能に該当する機能はあ り ません。 • 549 ページの 「 リ セ ッ ト の実行」 を参照 し て く だ さ い。 Cluster Tool (cluster_tool) 単一 ノ ー ド を ア ッ プグレー ド し て ク ラ ス タ の一部に し ます。 AMC に は、 この機能に該当する機能はあ り ません。 • 539 ページの 「ク ラ ス タ の ト ラ ブルシ ュ ー テ ィ ン グ」 を参照 し て く だ さ い。 ア プ ラ イ ア ン スの コ マ ン ド ラ イ ン ツール | 543 ツ ール 目的 Host Validation Tool (checkhosts) ア プ ラ イ ア ン ス リ ソ ース で参照 さ れる ホス ト の リ ス ト を表示 し 、 そ れらがア ク セス可能かど う か、 および DNS で解決で き るかど う かを 示 し ます。 • 550 ページの 「ホ ス ト の確認」 を参照 し て く だ さ い。 構成デー タ フ ァ イ ルの詳細お よ び AMC での管理方法につい ては、 303 ページの 「構成デー タ の 管理」 お よ び 316 ページの 「シ ス テムのア ッ プ グ レ ー ド 、 リ セ ッ ト 、 ま たはロ ールバ ッ ク 」 を 参照 し て く だ さ い。 Setup Tool によ る新 し いアプ ラ イ ア ン スの構成 新 し い ア プ ラ イ ア ン ス を セ ッ ト ア ッ プす る方法 と し ては、 ア プ ラ イ ア ン スの前面にあ る LCD 制 御を使用 し て情報を入力す る こ と を推奨 し て い ます。 こ れに よ り 、 Web ブ ラ ウザで ア プ ラ イ ア ン ス に接続 し 、 Aventail 管理 コ ン ソ ール (AMC) に ア ク セ ス し て Setup Wizard を実行で き ます。 詳細につい ては、 45 ページの 「電源投入 と ネ ッ ト ワー ク の基本設定」 を参照 し て く だ さ い。 コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ を使用 し たい場合は、 ノ ー ト 型 PC ま たは端末を使用 し 、 シ リ アル接続か ら Setup Tool を実行 し 、 ア プ ラ イ ア ン ス を構成で き ます。 Setup Tool の使用についての ヒ ン ト Setup Tool で作業す る際の ヒ ン ト を い く つか紹介 し ます。 • • • • イ エ スか ノ ーで答え る設問の場合、 プ ロ ン プ ト の最後に [y] ま たは [n] が付いて い ます。 対 応す る文字を入力 し て Enter を押す と 、 その次の設問が表示 さ れます。 文字を消す と き は、 Backspace を押 し ま す (OWindows ベースの PC の場合、 Delete キー で文字を削除す る こ と も で き ます )。 IP ア ド レ ス ま たはネ ッ ト マ ス ク を入力す る と き 、 4 桁のオ ク テ ッ ト (w.x.y.z) に よ る標準 IP ア ド レ ス形式を使用 し ます。 Setup Tool では、 基本エ ラ ー チ ェ ッ ク が行われます ( 例えば、 指定 し たゲー ト ウ ェ イ がア プ ラ イ ア ン ス と 同 じ サブ ネ ッ ト にあ るかど う かの確認な ど )。 Setup Tool を終了 し て変更事項を破棄す る と き は 「q」 を押 し ま す。 Setup Tool の使用 コ マ ン ド ラ イ ンか ら Setup Tool を実行す る と き 、Aventail EULA (End User License Agreement) を承認す る よ う 求め ら れます。 ま た、 root パス ワー ド を作成 し 、 IP ア ド レ ス、 サブ ネ ッ ト マ ス ク 、 内部デ フ ォ ル ト ゲー ト ウ ェ イ を指定す る こ と も 求め ら れます。 ハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ ( ア プ ラ イ ア ン スのペ ア ) を イ ン ス ト ールす る場合は、534 ペー ジの 「 ク ラ ス タ の イ ン ス ト ール と 構成」 を 参照 し て く だ さ い。 多数のア プ ラ イ ア ン ス で構成 さ れ る グルー プ を イ ン ス ト ールす る 場合の イ ン ス ト ール手順につい ては、 607 ページの 「大規模 ク ラ ス タ の構成」 を参照 し て く だ さ い。 Setup Tool を実行す る には 1. ア プ ラ イ ア ン ス と の間で シ リ アル接続を確立 し (45 ページの「電源投入 と ネ ッ ト ワー ク の基 本設定」 を参照 )、 電源ボ タ ン を押 し て ア プ ラ イ ア ン ス を オ ン に し ま す。 544 | Aventail E-Class SRA 10.7 管理者ガ イ ド 2. ア プ ラ イ ア ン スが構成 さ れて いな い場合、 ま たは Factory Reset Tool や Config Reset を使 用 し て リ セ ッ ト し た直後の場合、 Setup Tool が自動的に動作 を 開始 し ま す。 自動的に動作 を開始 し な い場合は、 「setup_tool」 と 入力 し て Enter を押す こ と で起動で き ます。 3. ロ グ イ ン す る よ う 求め ら れた ら 、 ユーザー名に 「root」 と 入力 し ます。 Enter を押 し て次 の画面に移 り ます。 4. 内部 イ ン タ ー フ ェ ースの IP ア ド レ ス、 サブ ネ ッ ト マ ス ク 、 ( オ プ シ ョ ン で ) ゲー ト ウ ェ イ を 入力す る よ う 求め ら れま す。 こ の イ ン タ ー フ ェ ー スは、 Web ブ ラ ウザか ら ア プ ラ イ ア ン ス に接続 し 、 AMC を使用 し て セ ッ ト ア ッ プ を継続す る と き に使用 し ます。 IP address: • 内部 ( プ ラ イ ベー ト ) ネ ッ ト ワー ク に接続す る内部 イ ン タ ー フ ェ ースの IP ア ド レ ス を入 力 し て、 Enter を押 し ま す。 Subnet mask: • 内部ネ ッ ト ワー ク イ ン タ ー フ ェ ースのネ ッ ト マ ス ク を入力 し て、 Enter を押 し ます。 Gateway: • AMC に ア ク セ スす る際、 ア ク セ ス元の コ ン ピ ュ ー タ がア プ ラ イ ア ン ス と 異な る ネ ッ ト ワー ク 上にあ る場合は、 ゲー ト ウ ェ イ を指定す る必要があ り ます。 ト ラ フ ィ ッ ク を ア プ ラ イ ア ン ス にルーテ ィ ン グす る ゲー ト ウ ェ イ の IP ア ド レ ス を入力 し て、Enter を押 し ま す。 ア プ ラ イ ア ン ス と 同 じ ネ ッ ト ワ ー ク か ら AMC に ア ク セ ス し て い る 場合は、 その ま ま Enter を押 し ま す。 5. 次に、 こ こ ま で入力 し た情報 を 確認す る よ う 求め ら れま す。 現在の値で良ければそのま ま Enter を押 し ま す。 値を変更 し たい場合は新 し い値 を入力 し てか ら Enter を押 し ます。 6. 次に、 こ の ノ ー ド を ク ラ ス タ の一部にす るかど う か尋ね ら れます。 • 7. 今回は単一 ノ ー ド イ ン ス ト ールで あ る ため、 Enter を押 し てデ フ ォ ル ト を そのま ま使用 し ます。 ク ラ ス タ の イ ン ス ト ールの詳細につい ては、 534 ページの 「 ク ラ ス タ の イ ン ス ト ール と 構成」 お よ び 607 ページの 「大規模 ク ラ ス タ の構成」 を参照 し て く だ さ い。 最後に、 変更を保存 し て適用す る よ う 求め ら れます。 • Enter を押 し て、 変更を保存 し ま す。 こ の時点で、 Setup Tool が変更 を 保存 し 、 必要なサー ビ ス を 再起動 し ま す。 ま た、 こ れま で指 定 し た情報を使用 し て SSL 鍵を生成 し ます (SSH では、リ モー ト SSH ク ラ イ ア ン ト お よ びサー バー と 交換す る セキ ュ リ テ ィ 鍵が必要です )。 Setup Tool を使用 し て SSH を構成 し た ら 、 こ れ ら の鍵を生成 し て い る こ と を示す メ ッ セージが表示 さ れます。 こ の間、 フ ィ ー ド バ ッ ク はほ と ん ど あ り ません。 Setup Tool が反応 し な く な っ た と 思い込まず に、 そのま ま し ば ら く お待ち く だ さ い。 Setup Tool が終了 し た ら 、 初期セ ッ ト ア ッ プが完了 し た こ と を 示す メ ッ セ ー ジが表示 さ れま す。 こ の メ ッ セ ー ジ には、 AMC に ア ク セ ス す る ための URL も 示 さ れます。 構成デー タ の保存 と リ ス ト ア ア プ ラ イ ア ン ス には、 構成デー タ を 保存 し リ ス ト ア す る ための コ マ ン ド ラ イ ン 管理 ツ ールが多 数用意 さ れてい ます。 • • Config Backup Tool - 現在の構成 フ ァ イ ルを保存 し ます。 Config Restore Tool - 保存 さ れて い る構成 フ ァ イ ルを リ ス ト ア し ます。 ア プ ラ イ ア ン スの コ マ ン ド ラ イ ン ツール | 545 AMC を 使用 し て 構成デー タ を 保存お よ び リ ス ト ア す る 方が簡単 で 便利 で すが、 AMC で イ ン ポー ト お よ びエ ク スポー ト で き る デー タ は、コ マ ン ド ラ イ ン ツ ールで保存、リ ス ト ア で き る デー タ の一部だけ です。 次の表では、 こ の 2 つの方法を比較 し て い ま す。 構成項目 AMC コ マン ド ラ イ ン ツー ル ア ク セス ポ リ シー ○ ○ 証明書 ○ ○ Aventail WorkPlace のカ ス タ マ イ ズ ○ ○ ノ ー ド 固有のネ ッ ト ワー ク設定 ○ ○ 構成デー タ の保存 バ ッ ク ア ッ プ フ ァ イ ルは、圧縮 さ れた tar フ ァ イ ル ( デ フ ォ ル ト : /var/backups/cfgback.tgz) に 保存 さ れます。特に シ ス テム を何度 も カ ス タ マ イ ズす る よ う な場合は、シ ス テム を定期的にバ ッ ク ア ッ プす る こ と が推奨 さ れます。 Backup Tool を使用 し て構成 をバ ッ ク ア ッ プ す る には 1. SSH ま たはシ リ アル接続を使用 し て ア プ ラ イ ア ン ス に接続 し 、 「root」 と し て ロ グ イ ン し ま す。 2. 「config_backup」 と 入力 し 、 次のオ プ シ ョ ン パ ラ メ ー タ のいずれかを指定 し ま す。 config_backup [-t <tarfile>] [-q] [-d <debuglevel>] [-h] パラ メ ー タ 説明 -t <tarfile> 構成をバ ッ ク ア ッ プす る フ ァ イ ルを指定 し ます。 こ のパ ラ メ ー タ は、 デ フ ォル ト フ ァ イル (/var/backups/cfgback.aea) と 異な るバ ッ ク ア ッ プ フ ァ イルにバ ッ ク ア ッ プする場合にのみ必要 と な り ます。 リ ス ト ア プ ログ ラ ムは、 リ ス ト ア時に通常デ フ ォル ト フ ァ イルを検索す る ため、 こ のパラ メ ー タ を設定する こ と は推奨 さ れません。 -q 確認プ ロ ン プ ト を オ フ に し ます ( バ ッ ク ア ッ プ を 「静かに (quiet)」 行いま す )。 通常、 既存のバ ッ ク ア ッ プ フ ァ イルを上書きするか尋ねられます。 -d <debuglevel> バ ッ ク ア ッ プ操作の際に表示する情報の量を指定 し ます。<debuglevel> には 「0」 ( 情報を表示 し ない ) から 「10」 ( すべての情報を表示する ) ま での整数を指定 し ます。 デ フ ォル ト は 「1」 ( 標準的な情報量 ) です。 -h 使用可能なパラ メ ー タ を示すヘルプ リ ス ト を表示 し ます。 Config Backup Tool を実行 し た ら 、 シ ス テムの構成 フ ァ イ ルが、 上記で指定 し た名前 と 場所の バ ッ ク ア ッ プ フ ァ イ ルに保存 さ れます。 同 じ 場所にバ ッ ク ア ッ プ フ ァ イ ルがすで に存在す る場 合は、 上書 き し て も 良いか尋ね ら れます (-q パ ラ メ ー タ を使用 し てい ない場合 )。 メモ Update Tool を使用 し て新 し い シ ス テム ア ッ プデー ト を イ ン ス ト ール し た場合、構成が自 動的にバ ッ ク ア ッ プ さ れます。 その場合、 管理者が手動で作成 し たバ ッ ク ア ッ プは上書 き さ れません。 安全性を高めたい場合は、 SCP な どのプ ロ グ ラ ム を使用 し て .tgz フ ァ イ ルを ア プ ラ イ ア ン スか ら 別の場所 ( ネ ッ ト ワー ク 上の ド ラ イ ブや リ ムーバブル デ ィ ス ク な ど ) に コ ピ ー し ます。 546 | Aventail E-Class SRA 10.7 管理者ガ イ ド Backup Tool を ス ク リ プ ト に追加す る こ と に よ り 、 バ ッ ク ア ッ プ を自動化で き ます。 その場合、 -q パ ラ メ ー タ を使用 し て、 確認プ ロ ン プ ト が出な い よ う に し ます。 構成デー タ の リ ス ト ア Dell SonicWALL では、 AMC の [Maintenance] ページ で Import/Export 機能 を使用 し て、 構成 デー タ の保存や リ ス ト ア を実行す る こ と を推奨 し て い ます。 た だ し 、 デー タ を手動で保存す る と 、 .aea フ ァ イ ルか ら 構成デー タ を リ ス ト ア で き ます。 デ フ ォ ル ト の フ ァ イ ル名は、 /var/backups/cfgback.aea です。 工場出荷時のデ フ ォル ト 構成の リ ス ト ア 場合に よ っ ては、 工場出荷時のデ フ ォ ル ト 構成へ リ ス ト ア し たい場合 も 出て き ます。 例えば、 ア プ ラ イ ア ン ス を 異 な る 環境に移動 し 構成変更 を 何度 も 行 う よ う な 場合、 ア プ ラ イ ア ン ス を デ フ ォ ル ト 設定に戻 し て、 ゼ ロ か ら や り 直す方が便利な こ と も あ り ま す。 工場出荷時のデ フ ォ ル ト 構成を リ ス ト アす る場合は、Config Reset Tool と い う コ マ ン ド ラ イ ン ユー テ ィ リ テ ィ を使用 し ます。 注意 Config Reset Tool を実行す る と 、 既存のシ ス テム構成デー タ がすべて削除 さ れます。 構成を バ ッ ク ア ッ プか ら リ ス ト アす る場合は必ず、バ ッ ク ア ッ プ フ ァ イ ルを あ ら か じ め他のシ ス テ ムに コ ピ ーす る よ う に し て く だ さ い。 工場出荷時のデ フ ォ ル ト 構成を リ ス ト アす る には 注意 1. ア プ ラ イ ア ン ス と の間で シ リ アル接続を確立 し (45 ページの「電源投入 と ネ ッ ト ワー ク の基 本設定」 を参照 )、 「root」 と し て ロ グ イ ン し ま す。 2. 「config_reset」 と 入力 し 、 Config Reset Tool を実行 し ま す。 3. デ フ ォ ル ト 設定への リ ス ト ア を確認す る プ ロ ン プ ト ( 「Reset the appliance configuration to factory defaults? ( ア プ ラ イ ア ン スの構成を工場出荷時のデ フ ォ ル ト に戻 し ますか。 )」 ) が 表示 さ れます。 「y」 と 入力 し て、 Enter キー を押 し ます。 4. ア プ ラ イ ア ン ス を再起動す るかシ ャ ッ ト ダウ ン ( 停止 ) す るかを尋ねる プ ロ ン プ ト が表示 さ れます。 再起動す る と き は 「r」、 停止す る と き は 「h」 を入力 し ます。 シ ス テム を再起動す る と 、 起動時に ロ グ イ ン プ ロ ン プ ト が表示 さ れます。 EX9000、 EX7000、 EX6000 ア プ ラ イ ア ン スの場合は、 ア プ ラ イ ア ン スか ら USB デバ イ ス を すべて取 り 外 し てか ら 再起動 し て く だ さ い。 再起動時に USB デバ イ スがア プ ラ イ ア ン ス に接続 さ れてい る と 、 ア プ ラ イ ア ン スはそれを起動デバ イ ス と し て使用 し よ う と し ます。 そ の 結 果、 ア プ ラ イ ア ン ス の BIOS に 保 存 さ れ て い る 起 動 情 報 が 上 書 き さ れ、 EX9000、 EX7000、 ま たは EX6000 は使用で き ない状態に な り ます。 5. メモ Setup Tool を も う 一度実行 し て ネ ッ ト ワー ク を構成 し ます。 544 ページの 「Setup Tool に よ る新 し いア プ ラ イ ア ン スの構成」 を参照 し て く だ さ い。 ア プ ラ イ ア ン ス での工場出荷時のデ フ ォ ル ト 構成の リ ス ト アは、リ セ ッ ト の実行 と は異な り ます。 リ セ ッ ト は、 最後の手段 と し て使用 し ます。 詳細につい ては、 549 ページの 「 リ セ ッ ト の実行」 を参照 し て く だ さ い。 ア プ ラ イ ア ン スの コ マ ン ド ラ イ ン ツール | 547 システム ソ フ ト ウ ェ アのア ッ プグレー ド またはロール バッ ク ア プ ラ イ ア ン スのシ ス テム ソ フ ト ウ ェ ア を更新す る と き は次のツ ールを使用 し ます。 ツ ール 目的 Update Tool シ ス テム ソ フ ト ウ ェ ア を新 し いバージ ョ ン にア ッ プグレー ド し ます。 Rollback Tool シ ス テム ソ フ ト ウ ェ ア を、 ア ッ プグレー ド 直前の状態にロール バ ッ ク し ます。 イ ン ス ト ール し たホ ッ ト フ ィ ッ ク スは、 Rollback Tool では削除 で き ませんが、AMC を使用 し て削除で き ます。詳細については、 321 ページの 「以前のバージ ョ ンへのロ ールバ ッ ク 」 を参照 し て く だ さ い。 Factory Reset Tool ア プ ラ イ ア ン ス を、 ベ ン ダーか ら 納品 さ れた と きの状態に リ ス ト ア し ます。 こ のツールは最後の手段 と し て使用 し ます。 システム ア ッ プグレー ド のイ ン ス ト ール ( コ マ ン ド ラ イ ン ツール ) シ ス テム ア ッ プ グ レ ー ド ま たはホ ッ ト フ ィ ッ ク ス を ダウ ン ロ ー ド し て ア プ ラ イ ア ン ス に コ ピ ー し た ら 、 Aventail 管理 コ ン ソ ール (AMC) を 使用 し て イ ン ス ト ールで き ま す。 詳細につい ては、 318 ページの 「シ ス テム ア ッ プデー ト の イ ン ス ト ール」 を参照 し て く だ さ い。 コ マ ン ド ラ イ ン を使用 し て処理す る場合は、 次の手順に従 っ て く だ さ い。 ク ラ ス タ の ソ フ ト ウ ェ ア を 更新す る 方法につい ては、 539 ページの 「 ク ラ ス タ のア ッ プ グ レ ー ド 」 を参照 し て く だ さ い。 シ ス テム ア ッ プ グ レ ー ド を イ ン ス ト ールす る には 1. SSH ま たはシ リ アル接続を使用 し て ア プ ラ イ ア ン ス に接続 し 、 「root」 と し て ロ グ イ ン し ま す。 2. ア ッ プ グ レ ー ド フ ァ イ ルを ア プ ラ イ ア ン スの /upgrade デ ィ レ ク ト リ に コ ピ ー し ます。 3. SCP プ ロ グ ラ ムに よ っ ては、転送後に元の フ ァ イ ル権限が引 き 継がれな い も の も あ り ます。 次の コ マ ン ド を 入力 し て、 ア ッ プ グ レ ー ド フ ァ イ ルが実行可能で あ る こ と を 確認 し て く だ さ い。 chmod +x upgrade_<version>.bin 注意 4. 適切な ア ッ プ グ レ ー ド バージ ョ ン番号を指定 し 、 「/upgrade/upgrade_<version>.bin」 と 入力 し ま す。 5. ア プ ラ イ ア ン ス を再起動 し ます。 EX9000、 EX7000、 EX6000 ア プ ラ イ ア ン スの場合は、 ア プ ラ イ ア ン スか ら USB デバ イ ス を すべて取 り 外 し てか ら 再起動 し て く だ さ い。 再起動時に USB デバ イ スがア プ ラ イ ア ン ス に接続 さ れてい る と 、 ア プ ラ イ ア ン スはそれを起動デバ イ ス と し て使用 し よ う と し ます。 そ の 結 果、 ア プ ラ イ ア ン ス の BIOS に 保 存 さ れ て い る 起 動 情 報 が 上 書 き さ れ、 EX9000、 EX7000、 ま たは EX6000 は使用で き ない状態に な り ます。 548 | Aventail E-Class SRA 10.7 管理者ガ イ ド 「Update failed」 と い う エ ラ ー メ ッ セージが表示 さ れた場合は、 次のロ グ フ ァ イ ルを確 認 し て原因を究明 し て く だ さ い。 /var/log/migrate_[VERSION_BEING_MIGRATED_FROM].log 例えば、 v8.9.0 で構成 さ れて い る CA eTrust SiteMinder サーバー を使用 し て い る場合に v10.x に ア ッ プ グ レ ー ド す る と 、 認証 タ イ プがサポー ト さ れな く な る ため、 ア ッ プ グ レ ー ド が失敗 し 、 理由が /var/log/migrate_8_9_0.log に記録 さ れます。 メモ 以前のバージ ョ ンへの復帰 Rollback Tool を使用す る と 、シ ス テムに イ ン ス ト ール し た シ ス テム ア ッ プデー ト を最大 2 つ ま で取 り 消す こ と がで き ま す。 ア ッ プ デー ト の完了後、 問題が発生 し た場合は、 こ の ツ ール を 使 用 し て、 問題がなか っ た状態ま で ロ ールバ ッ ク で き ます。 Rollback Tool を実行す る たびに、 最 新のシ ス テム ア ッ プ デー ト が削除 さ れ、 その更新前のバージ ョ ン に復帰 し ます。 注意 シ ス テム を更新 し た後で何 ら かの構成変更を行 っ てか ら Rollback Tool を使用す る と 、 その 構成変更 も 消去 さ れます。 直前のシ ス テム更新を取 り 消すには 注意 1. SSH ま たはシ リ アル接続を使用 し て ア プ ラ イ ア ン ス に接続 し 、 「root」 と し て ロ グ イ ン し ま す。 2. 「rollback_tool」 と 入力 し ます。 3. コ マ ン ド プ ロ ン プ ト が再び表示 さ れた ら 、 「reboot」 と 入力 し て ア プ ラ イ ア ン ス を再起動 し ます。 EX9000、 EX7000、 EX6000 ア プ ラ イ ア ン スの場合は、 ア プ ラ イ ア ン スか ら USB デバ イ ス を すべて取 り 外 し てか ら 再起動 し て く だ さ い。 再起動時に USB デバ イ スがア プ ラ イ ア ン ス に接続 さ れてい る と 、 ア プ ラ イ ア ン スはそれを起動デバ イ ス と し て使用 し よ う と し ます。 そ の 結 果、 ア プ ラ イ ア ン ス の BIOS に 保 存 さ れ て い る 起 動 情 報 が 上 書 き さ れ、 EX9000、 EX7000、 ま たは EX6000 は使用で き ない状態に な り ます。 イ ン ス ト ール し た ホ ッ ト フ ィ ッ ク スは、 Rollback Tool では削除で き ませんが、 AMC を使 用 し て削除で き ます。 詳細については、 321 ページの 「以前のバージ ョ ンへのロ ールバ ッ ク 」 を参照 し て く だ さ い。 メモ リ セ ッ ト の実行 リ セ ッ ト を 実行す る と 、 ア プ ラ イ ア ン ス が、 最初の納品時の状態に戻 り ま す。 Factory Reset Tool を 実行す る と 、 ア プ ラ イ ア ン ス で作成ま たは イ ン ス ト ール し た ア ッ プ デー ト 、 構成 フ ァ イ ル、 ロ グ フ ァ イ ルな どがすべて消去 さ れます。 こ のツ ールが使用 さ れる状況 と し て、 次の 2 つ の場合が考え ら れます。 • マ シ ン を完全に き れいな状態に し て、 別の場所で再利用 し たい場合。 ア プ ラ イ ア ン スの コ マ ン ド ラ イ ン ツール | 549 • ア プ ラ イ ア ン スが、 取 り 返 し の付かな い状態に な っ た場合。 こ の場合は、 Dell SonicWALL のテ ク ニ カ ル サポー ト に問い合わせて、 こ の問題 を 解決す る ための方法が他に な いか確認 し て く だ さ い。リ セ ッ ト はア プ ラ イ ア ン ス を動作可能な状態に戻すための最後の手段 と し て 使用 し ます。 ア プ ラ イ ア ン ス を工場出荷時の状態に戻すには 注意 1. ア プ ラ イ ア ン スの構成デー タ をバ ッ ク ア ッ プ し ます。 こ れは AMC で行え ます (304 ページ の 「ロ ー カ ル マ シ ンへの現在の構成のエ ク スポー ト 」 を参照 )。 ま た、 Backup Tool を使用 し て行 う こ と も で き ます (546 ページの 「構成デー タ の保存」 を参照 )。 2. シ リ アル コ ン ソ ールで、 「root」 と し て ア プ ラ イ ア ン ス に ロ グ イ ン し ます。 3. 「factory_reset_tool」 と 入力 し ま す。 ア プ ラ イ ア ン ス を 再起動す る よ う 促す メ ッ セー ジが表示 さ れます。 EX9000、 EX7000、 EX6000 ア プ ラ イ ア ン スの場合は、 ア プ ラ イ ア ン スか ら USB デバ イ ス を すべて取 り 外 し てか ら 再起動 し て く だ さ い。 再起動時に USB デバ イ スがア プ ラ イ ア ン ス に接続 さ れてい る と 、 ア プ ラ イ ア ン スはそれを起動デバ イ ス と し て使用 し よ う と し ます。 そ の 結 果、 ア プ ラ イ ア ン ス の BIOS に 保 存 さ れ て い る 起 動 情 報 が 上 書 き さ れ、 EX9000、 EX7000、 ま たは EX6000 は使用で き ない状態に な り ます。 4. 「reboot」 と 入力 し て、 ア プ ラ イ ア ン ス を 再起動 し ま す。 再起動が完了 し た ら 、 次の よ う な プ ロ ン プ ト が表示 さ れます。 Debian GNU/Linux 3.0 SSL-VPN ttyS1 SSL-VPN login: 5. メモ 「root」 と し て ア プ ラ イ ア ン スに ロ グ イ ン す る と 、 Setup Tool が自動的に動作を開始 し ます。 ア プ ラ イ ア ン ス での リ セ ッ ト の実行は、工場出荷時のデ フ ォ ル ト 構成の リ ス ト ア と は異な り ます。 詳細につい ては、 547 ページの 「工場出荷時のデ フ ォ ル ト 構成の リ ス ト ア」 を参 照 し て く だ さ い。 ホス ト の確認 AMC で作成 さ れる ア ク セ ス制御ルールの多 く で ホ ス ト リ ソ ース を ポ イ ン ト し てい ます。ルール が評価 さ れる たびに、 ア プ ラ イ ア ン ス ではそのよ う な ホ ス ト を DNS で解決 し よ う と し ます。 ア プ ラ イ ア ン ス で リ ソ ースの追加、 削除、 変更が行われる と 、 一部の リ ソ ースが不要に な っ た り 、 完全に ア ク セ ス で き な く な っ た り す る こ と があ り ます。解決で き な いホ ス ト があ る と 、パ フ ォ ー マ ン ス低下 も 生 じ る可能性があ り ます。 ア プ ラ イ ア ン ス で (SSH を使用 し て ) コ マ ン ド ラ イ ンか ら 実行で き る 「checkhosts」 と い う ス ク リ プ ト が /usr/local/extranet/bin にあ り ます。 こ のツ ールは、 機能 し な いホ ス ト やア ク セ ス で き な い ホ ス ト につい て レ ポー ト す る ため、 ポ リ シ ー評価が最 も 効率的に な る よ う に リ ソ ース やア ク セ ス制御 リ ス ト を更新す るのに役立ち ます。 コ マ ン ド 構文のヘルプ を表示す る には、 次のよ う に入力 し て く だ さ い。 <appliance prompt>:/usr/local/extranet/bin/checkhosts -h checkhosts の詳細情報や使用例につい ては、 MySonicwall.com Web サ イ ト の [Support] エ リ ア で、 E-Class SRA のナ レ ッ ジ ベースの記事 3010 を参照 し て く だ さ い。 550 | Aventail E-Class SRA 10.7 管理者ガ イ ド 付録 B ト ラ ブルシ ュ ーテ ィ ング こ のセ ク シ ョ ン では、一般的な ト ラ ブルシ ュ ー テ ィ ン グの方法を紹介 し 、Aventail 管理 コ ン ソ ー ル (AMC) で使用で き る ト ラ ブルシ ュ ーテ ィ ン グ ツ ールについ て説明 し ます。 コ ア ネ ッ ト ワー キ ン グ サー ビ ス (DHCP、 DNS、 WINS な ど ) の障害は予測不能な障害に発展 し ます。 AMC の [User Sessions] ページ を使用す る と 、 ア プ ラ イ ア ン スやア プ ラ イ ア ン スの HA ペ アの セ ッ シ ョ ン を 監視、 ト ラ ブルシ ュ ー テ ィ ン グ、 終了で き ま す。 セ ッ シ ョ ン の詳細 を ま と めて分 類で き ますが、 必要があれば、 デバ イ スの分類方法や理由の詳細を表示で き ま す。 約 24 時間分 のデー タ が保存 さ れ、 削除ま たは変更 さ れた項目で あ っ て も 表示 さ れます。 288 ページの 「ユー ザー ア ク セ ス と ポ リ シー詳細の表示」 を参照 し て く だ さ い。 一般的なネ ッ ト ワーキングの問題 ネ ッ ト ワーキ ン グの問題の ト ラ ブルシ ュ ー テ ィ ン グの ヒ ン ト は、 解決方法ご と に分類 さ れて い ま す。 ping ユーテ ィ リ テ ィ を使用する場合は、 [Configure Basic Network Settings] ページ で [Enable ICMP pings] が 有効にな っ ている こ と を事前に確認 し て く だ さ い。 ユーテ ィ リ テ ィ ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト 外 部 イ ン タ ー フ ェ ー ス の 外部 イ ン タ ー フ ェ ー ス に ping し て、 ネ ッ ト ワー ク 接続 を 確認 し ま ping す。 ホ ス ト の IPv4 ま た は IPv6 ア ド レ ス には ping で き る のに、 FQDN ド メ イ ン 名にはで き な い場合、 名前解決に問題があ り ま す。 ping コ マ ン ド は、 コ マ ン ド ラ イ ン ま たは AMC 内か ら 発行で き ます (576 ページの 「ping コ マ ン ド 」 を参照 )。 外部 イ ン タ ー フ ェ ース での 外部イ ン タ ー フ ェ ースがア プ ラ イ ア ン スに到着 し 返 さ れる こ と を確 ネ ッ ト ワー ク ト ラ フ ィ ッ ク 認す る ために、 tcpdump を ベース と す る、 AMC のネ ッ ト ワー ク ト のキ ャ プ チ ャ ラ フ ィ ッ ク ユー テ ィ リ テ ィ を使用 し ま す。 こ のネ ッ ト ワー ク ト ラ フ ィ ッ ク デ ー タ を テ ク ニ カ ル サ ポ ー ト に 送信 す る こ と も、 Wireshark のよ う なネ ッ ト ワー ク プ ロ ト コ ル アナ ラ イザを使用 し て 検証す る こ と も で き ます。 詳細については、 573 ページの 「ネ ッ ト ワー ク ト ラ フ ィ ッ ク のキ ャ プ チ ャ 」 を参照 し て く だ さ い。 ネ ッ ト ワー ク ゲー ト ウ ェ イ 外部イ ン タ ー フ ェ ースや内部ゲー ト ウ ェ イ を ping し ます。ping コ マ の ping ン ド は、 コ マ ン ド ラ イ ン または AMC 内から発行で き ます。 詳細につ いては、 576 ページの 「ping コ マ ン ド 」 を参照 し て く だ さ い。 ト ラ ブルシ ュ ーテ ィ ン グ | 551 ユーテ ィ リ テ ィ ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト ping を 使用 し た DNS の テ DNS で問題が発生 し た場合は、 最初に ク ラ イ ア ン ト の DNS 解決が スト 動作 し ているかど う かを確認 し ます。 1. ク ラ イ ア ン ト マ シ ンが イ ン タ ーネ ッ ト に ア ク セ ス で き る こ と を確認 し ま す。 2. DOS コ マ ン ド プ ロ ン プ ト に 「ping google.com」 と 入力 し ま す。 次のよ う な応答が表示 さ れま す。 Pinging google.com [nnn.nnn.nnn.nnn] 基本的な DNS 機能が動作 し て い る と 、 角括弧内の IP ア ド レ スが DNS ル ッ ク ア ッ プ に よ っ て解決 さ れ、 基本的な DNS が ク ラ イ ア ン ト で動作 し てい る こ と を確認で き ます。 DNS が動作 し ていない と 、 ping プ ロ グ ラ ムが数秒間一時停止 し てか ら、 ホス ト google.com が 見つから なかっ た と い う メ ッ セージが表示 さ れます。 DNS を 使用 し た ア プ ラ イ DNS の問題がま だ発生する場合、 DNS がア プ ラ イ ア ン ス ホス ト 名 ア ン ス ホス ト 名の解決 を解決で き るかど う かを確認 し ます。 上記の ping の手順を繰 り 返 し ますが、 「google.com」 を ア プ ラ イ ア ン スのホス ト 名に置き換え ます。 ping がホス ト 名のア ド レ ス を見つけ ら れない場合、 そのホス ト 名を 処理するはずの DNS サーバーを ト ラ ブルシ ュ ーテ ィ ング し ます。ホ ス ト 名 を ア プ ラ イ ア ン スの外部 イ ン タ ー フ ェ ースの IP ア ド レ ス に 置き換えて、 ク ラ イ ア ン ト 接続に問題がないか確認 し ます。 ping が ホ ス ト 名の ア ド レ ス を 見つ け たのに応答が表示 さ れ な い ( 「Request timed out」 ( 要求が タ イムアウ ト し ま し た )) 場合、ICMP エ コ ーが ク ラ イ ア ン ト と ア プ ラ イ ア ン スの間のいずれかのホ ッ プ で ブ ロ ッ ク さ れている可能性があ り ます。 ARP の消去 新 し い IP ア ド レ ス を最近割 り 当てた場合、 ロー カルのア ド レ ス解決 プ ロ ト コ ル (ARP) キ ャ ッ シ ュ が フ ァ イ ア ウ ォ ールやルー タ な ど の ネ ッ ト ワー ク デバイ スから 消去 さ れてい る こ と を確認 し ます。 こ う する こ と で、 これ らのネ ッ ト ワー ク デバイ スが古い IP-MAC ア ド レ ス マ ッ ピ ング を使用 し な く な り ます。 ハー ド ウ ェ ア ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト ケーブル すべてのネ ッ ト ワー ク ケーブルを チ ェ ッ ク し て、 破損 し てい る ケー ブルがない こ と を確認 し ます。 フ ァ イ ア ウ ォ ールのバ イ パ ネ ッ ト ワー ク ア ド レ ス変換 (NAT) を 使用 し て い る 場合、 フ ァ イ ア ス ウ ォ ールに よ っ て ブ ロ ッ ク さ れる可能性があ り ます。 ク ロ ス ケーブ ルを使用 し て物理 イ ン タ ー フ ェ ース で ノ ー ト 型 PC を ア プ ラ イ ア ン ス に接続す る こ と で、 フ ァ イ ア ウ ォ ール を 一時的にバ イ パス し て、 ネ ッ ト ワー ク 接続を確認 し ます。 このよ う に接続で き ない場合は、ノ ー ト 型 PC を ア プ ラ イ ア ン スの外 部イ ン タ ー フ ェ ース と 同 じ ネ ッ ト ワー ク セグ メ ン ト に ( で き る だけ ア プ ラ イ ア ン スに近い位置に ) 置き ます。 552 | Aventail E-Class SRA 10.7 管理者ガ イ ド ハー ド ウ ェ ア ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト ス イ ッ チ ポー ト の構成 SCP フ ァ イルのコ ピーが遅かっ た り 、 Web プ ロキシやネ ッ ト ワー ク ト ン ネル サービ スのパ フ ォ ーマ ン スが遅かっ た り する場合、 ア プ ラ イ ア ン スの イ ン タ ー フ ェ ース設定 と ア プ ラ イ ア ン スが接続 さ れてい る ス イ ッ チ ポー ト の構成が異な る ために問題が発生 し てい る可能性 があ り ます。 ス イ ッ チが誤 っ てデ ュ プ レ ッ ク ス モー ド を検出 し てい る可能性があ り ます ( 例えば、 ア プ ラ イ ア ン スがフ ル デ ュ プ レ ッ ク スに構成 さ れてい るのにス イ ッ チがハー フ デ ュ プ レ ッ ク ス を検出 し ている な ど )。 Cisco の ド キ ュ メ ン ト には、 同社製のス イ ッ チのこ の よ う な問題について記載 さ れています。 この問題を解決するには、オー ト ネゴ シ エーシ ョ ン を無効に し ます。 その代わ り に、 ス イ ッ チ ポー ト を構成 し て、 ア プ ラ イ ア ン ス と 一致 する設定を静的に割 り 当て ます。 両方のス イ ッ チ ポー ト と 両方のア プ ラ イ ア ン ス イ ン タ ー フ ェ ースの設定 ( 必要であれば、内部 と 外部 ) を チ ェ ッ ク する必要があ り ます。 1 つのイ ン タ ー フ ェ ース / ス イ ッ チ ポー ト が一致 し ていないだけで も、 パフ ォ ーマ ン スに影響 し ます。 ネ ッ ト ワー ク レ イ テ ン シが発生 し ていて、 ア プ ラ イ ア ン ス / ス イ ッ チ ポー ト の構成は正 し い場合、 ネ ッ ト ワー ク の他の場所に問題があ り ま す。 ア プ リ ケー シ ョ ン レ ベルの問題で あ る 可能性 も あ り ま す (Web プ ロ キ シやネ ッ ト ワー ク ト ン ネル サー ビ スが ア ク セ ス す る DNS サーバーの名前解決が遅いな ど )。 サー ド パーテ ィ の解決 策 ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト ト ラ フ ィ ッ ク が フ ィ ル タ リ 接続失敗時のログ フ ァ イル /var/log/kern.iptables の内容を確認 し ま ン グ で除外 さ れて い ない こ す。 パケ ッ ト がア プ ラ イ ア ン スに到着 し ているのに iptables ( ア プ と の確認 ラ イ ア ン ス で動作する フ ァ イ アウ ォ ール ) に よ っ て ド ロ ッ プ ま たは 拒否 さ れてい る場合は、 次の コ マ ン ド を実行 し て、 iptables ルール セ ッ ト を確認 し ます。 iptables -L -n -v iptables に よ っ て フ ィ ル タ リ ン グ さ れてい る ト ラ フ ィ ッ ク は、 ロギ ング さ れますが、 外部 syslog サーバーには転送 さ れません。 ダウン ロー ド 済みのア ッ プグレー ド フ ァ イルの確認 316 ペー ジの 「シ ス テ ムのア ッ プ グ レ ー ド 、 リ セ ッ ト 、 ま たは ロ ールバ ッ ク 」 に記載 さ れて い る よ う に、 AMC を使用 し て、 更新バージ ョ ン を イ ン ス ト ールで き ます。 ア ッ プデー ト がロ ー カ ル コ ン ピ ュ ー タ に正 し く 転送 さ れた こ と を確認す る には、 .zip フ ァ イ ルか ら 抽出 し た .md5 フ ァ イ ル内のチ ェ ッ ク サム と 比較 し ます。 PC の MD5 チ ェ ッ ク サム を 確認す る には、 Windows ベー ス ま たは Java ベー スのユー テ ィ リ テ ィ を使用 し ます。 例えば、 Microsoft の場合は、 File Checksum Integrity Verifier (FCIV) と い う 名前のサポー ト 対象外の コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ を同社のサ イ ト で提供 し てい ます。 PC 上のダウ ン ロ ー ド 済み フ ァ イ ルを確認す る には 1. DOS コ マ ン ド プ ロ ン プ ト か ら 次の コ マ ン ド を入力す る と 、 ダウ ン ロ ー ド 済み フ ァ イ ルの チ ェ ッ ク サムが返 さ れます。 fciv <upgrade_filename>.bin ト ラ ブルシ ュ ーテ ィ ング | 553 2. メ モ帳な どのテ キス ト エデ ィ タ を使用 し て、対応す る .md5 フ ァ イ ル (MySonicwall Web サ イ ト か ら ダウ ン ロ ー ド し た フ ァ イ ル ) を開 き ます。 notepad <upgrade_filename>.bin.md5 3. 2 つのチ ェ ッ ク サム を比較 し ます。 一致すれば、 ア ッ プ デー ト を正 し く 続行で き ま す。 一致 し ない場合は、 ダウ ン ロ ー ド し 直 し て結果のチ ェ ッ ク サム を比較 し ます。 それで も 一致 し な い場合は、 Dell SonicWALL のテ ク ニ カ ル サポー ト にお問い合わせ く だ さ い。 ア プ ラ イ ア ン ス上のダウ ン ロ ー ド 済み フ ァ イ ルを確認す る には 1. 次の コ マ ン ド を入力す る と 、 ダウ ン ロ ー ド 済みの フ ァ イ ルのチ ェ ッ ク サムが返 さ れます。 md5sum <upgrade_filename>.bin 2. 対応す る .md5 フ ァ イ ルを開 き ます。 cat <upgrade_filename>.md5 3. 2 つのチ ェ ッ ク サム を比較 し ます。 エージ ェ ン ト プ ロ ビ ジ ョ ニ ングの ト ラ ブルシ ュ ーテ ィ ン グ (Windows) E-Class SRA Access Manager (AAM) は、 Windows ユーザーに よ る WorkPlace へのロ グ イ ン 時に EPC と ア ク セ ス エ ージ ェ ン ト を プ ロ ビ ジ ョ ニ ン グす る コ ン ポーネ ン ト です。 プ ロ ビ ジ ョ ニ ン グ時に問題があれば、 ク ラ イ ア ン ト イ ン ス ト ール ロ グ ( ユーザー名で識別 ) に エ ラ ーが記 録 さ れ、 こ れを AMC で確認で き ま す。 2.2 ODIS (Secure Virtual Desktop) のロ グ フ ァ イ ルは、 App デー タ フ ォ ルダの VirtualDesktop フ ォ ルダに置かれて い ます。 App デー タ フ ォ ルダに ア ク セ スす る には、 [ ス タ ー ト ] -> [ フ ァ イ ル名を指定 し て実行 ] を ク リ ッ ク し 、 「%appdata%」 と 入力 し て Enter を押 し ます。 554 | Aventail E-Class SRA 10.7 管理者ガ イ ド こ こ では、 プ ロ ビ ジ ョ ニ ング プ ロ セスの概要を紹介 し ます。 ス テ ッ プ 2 ~ 6 では、 epiBoostrapper.log と い う 名前の フ ァ イ ル (\Documents and Settings\<username>\Application Data\E-Class SRA\LogFiles\ に保 存 さ れています ) に情報が追加 さ れます。 1. Micro-interrogation: JavaScript が使用 さ れ、 プ ラ ッ ト フ ォ ーム と ブ ラ ウザの基本情報が取 得 さ れます。 Microsoft の OS か、 ActiveX が有効か、 そ う で ない場合は Java が有効か ( ど ち ら も 使用で き ない場合、 エ ラ ー メ ッ セージがユーザーに提示 さ れます ) と い っ た情報が 取得 さ れます。 2. MSI (Microsoft Windows Installer) 形式の自己解凍実行可能 フ ァ イ ルで あ る epiBootstrapper.exe を取得 し ます。 こ の実行可能 フ ァ イ ルには、 ス テ ッ プ 5 で使用 さ れる Macro-interrogator も 含まれます。 3. Advanced EPC エージ ェ ン ト の リ ス ト を取得 し 、 イ ン ス ト ール し ます。 最小で も 、 OPSWAT.msi が イ ン ス ト ール さ れます。 4. コ ミ ュ ニ テ ィ で必要で あれば、 追加の Advanced EPC エージ ェ ン ト を取得 し ます。 5. Macro-interrogation: Advanced EPC と その他のデバ イ ス プ ロ フ ァ イ ルの属性 ( 特定の フ ァ イ ル名や Windows レ ジ ス ト リ キーな ど ) の両方を検索 し ます。 6. エージ ェ ン ト ( 例えば、 デー タ 保護や OnDemand ト ン ネルな ど ) を プ ロ ビ ジ ョ ニ ン グ し ま す。 ト ラ ブルシ ュ ーテ ィ ング | 555 AMC の問題 AMC で最 も よ く あ る エ ラ ーの 1 つは、 構成 を 変更 し た後に適用す る の を 忘れ る と い う 問題で す。 変更後に適用 さ れて いな い状態の場合は常に、 AMC の右上に [Pending changes] リ ン ク が表示 さ れます。 こ の リ ン ク を ク リ ッ ク し て [Apply Changes] を ク リ ッ ク す る と 、 サー ビ スが自 動的に再起動 し ます。 問題 解決策 AMC にア ク セスで き ない AMC にア ク セスで き ない場合は、 ア プ ラ イ ア ン スの内部ネ ッ ト ワー ク イ ン タ ー フ ェ ースに ク ロ ス ケーブルを接続 し 、 ネ ッ ト ワー ク を経 由せずに AMC にア ク セスで き る こ と を確認 し ます。こ のよ う に接続 で き ない場合は、 ノ ー ト 型 PC を内部 イ ン タ ー フ ェ ース と 同 じ ネ ッ ト ワー ク セグ メ ン ト に ( で き る だけア プ ラ イ ア ン スに近い位置に ) 置き ます。 それで も AMC にア ク セスで き ない場合は、URL に https:// プ ロ ト コ ル識別子が付いている こ と を確認 し ます。 また、 ポー ト 番号 8443 が URL に含まれている こ と を確認 し ます。 内 部 ネ ッ ト ワ ー ク で AMC ブ ラ ウザから 内部ネ ッ ト ワー クの AMC に ロ グ イ ン で き ない場合は、 にログ イ ン で き ない ク ラ イ ア ン ト か ら ア プ ラ イ ア ン スの内部 イ ン タ ー フ ェ ー スの IP ア ド レ スへの ト ラ フ ィ ッ ク が実際に内部 イ ン タ ー フ ェ ースに到着 し て いる こ と を確認 し ます。tcpdump をベース と する AMC のネ ッ ト ワー ク ト ラ フ ィ ッ ク ユーテ ィ リ テ ィ を使用する と 、 内部イ ン タ ー フ ェ ー ス (eth0) の ト ラ フ ィ ッ ク を キ ャ プ チ ャ で き ま す。 ク ラ イ ア ン ト が AMC へのア ク セ ス を試行す る と 、 ク ラ イ ア ン ト の IP ア ド レ スか ら の ト ラ フ ィ ッ ク TCP SYN パケ ッ ト はポー ト 8443 に渡 さ れます。詳 細については、 573 ページの 「ネ ッ ト ワー ク ト ラ フ ィ ッ ク のキ ャ プ チ ャ 」 を参照 し て く だ さ い。 ログ イ ン で き ない 「Invalid Login Credentials ( 無効な ログ イ ン ク レデン シ ャル )」 と い う エ ラ ーで AMC ログ イ ンが失敗する場合は、ユーザー名 と パスワー ド の綴 り が正 し い こ と を確認 し ます。 パスワー ド では大文字 と 小文 字が区別 さ れます。 Caps Lock や Num Lock が押 さ れていない こ と を確認 し ます。 CPU 使 用 率 の ス パ イ ク が LDAP ま たは AD 認証サーバー で、 ネ ス ト さ れた グルー プ ル ッ ク 発生 し ている ア ッ プ を使用 し てい る場合、 ル ッ ク ア ッ プ結果を必ずキ ャ ッ シ ュ す る よ う に し て く だ さ い。 デ ィ レ ク ト リ ツ リ ー全体を検索する と 、 時 間がかか り 、 ア プ ラ イ ア ン ス と 認証サーバーの両方で CPU 使用率が 増加 し ます。 556 | Aventail E-Class SRA 10.7 管理者ガ イ ド 認証の問題 認証サーバーは、 レ ルムで参照 さ れます。 問題 解決策 外部認証サーバーへのア ク tcpdump を ベー ス と す る AMC のネ ッ ト ワー ク ト ラ フ ィ ッ ク ユー セス テ ィ リ テ ィ を使用 し て、 外部認証サーバーにア ク セ ス で き る こ と を 確認 し ます。こ のネ ッ ト ワー ク ト ラ フ ィ ッ ク デー タ を テ ク ニ カル サ ポー ト に送信す る こ と も 、 Wireshark のよ う なネ ッ ト ワー ク プ ロ ト コ ル アナ ラ イザを使用 し て検証する こ と も で き ます。 詳細について は、 573 ページの 「ネ ッ ト ワー ク ト ラ フ ィ ッ ク のキ ャ プ チ ャ 」 を参 照 し て く だ さ い。 認 証 サ ー バ ー の ク レ デ ン 外部サーバーに ア ク セ ス す る ための正 し い ク レ デ ン シ ャ ルが AMC シ ャル に含まれて い る こ と を 確認 し ま す。 LDAP の場合は [Login DN] と [Password] の設定を チ ェ ッ ク し 、 [Test Connection] を ク リ ッ ク し ます。 RADIUS の場合は [Shared secret] の設定を チ ェ ッ ク し ます。 認証サーバーのログ 認証サーバーのロ グ を確認 し ます。 無効な ク レ デ ン シ ャ ルを入力 し ていた り 、 接続に問題があ っ た り し ない こ と を確認 し ます。 LDAP ま たは AD 認証サー バー を使用 し たユーザー認 証 で 時間がかか り す ぎ る、 または タ イ ムアウ ト する LDAP ま たは AD サーバーでネス ト さ れたグループ ル ッ ク ア ッ プ を 使用 し てい る場合は、 ル ッ ク ア ッ プの結果を キ ャ ッ シ ュ す る よ う に し て く だ さ い。 デ ィ レ ク ト リ ツ リ ー全体を検索する と 、 時間がかか り ます。 デ ィ レ ク ト リ の負荷を軽減 し 、 パ フ ォ ーマ ン ス を向上 さ せ る には、 [Cache group checking] チ ェ ッ ク ボ ッ ク ス を 選択 し て、 属性グループや静的グループの検索結果をキ ャ ッ シ ュ し ます。 E-Class SRA エージ ェ ン ト でのパー ソ ナル フ ァ イ ア ウ ォ ールの使用 フ ァ イ ア ウ ォ ール製品に よ っ ては、 E-Class SRA エ ージ ェ ン ト や EPC コ ン ポーネ ン ト のプ ロ ビ ジ ョ ニ ン グ時にセキ ュ リ テ ィ ア ラ ー ト が表示 さ れる も の も あ り ます。 こ れは、 その フ ァ イ ア ウ ォ ールが ( ポー ト と プ ロ ト コ ルに加え て ) プ ロ セ ス に よ っ て ア ウ ト バン ド 接続を制限 し て い る ためで す。 ほ と ん どの場合に、 ユーザーは、 ア ウ ト バ ン ド 接続 を 単純に 「ブ ロ ッ ク 解除」 ま た は 「許可」 で き ます。 ト ラ ブルシ ュ ーテ ィ ング | 557 Connect Tunnel ユーザーは、パー ソ ナル フ ァ イ ア ウ ォ ールを構成 し て、E-Class SRA VPN サー ビ ス (ngvpnmgr.exe) と E-Class SRA Access Manager (E-Class SRAComponents.exe) が イ ン タ ー ネ ッ ト に ア ク セ ス で き る よ う に し 、 E-Class SRA ア プ ラ イ ア ン ス を ホ ス ト 名 と IP ア ド レ ス に よ っ て 信頼 さ れ る ホ ス ト ま た は ゾ ー ン と し て 追加 で き る よ う に す る 必要が あ り ま す。 ま た、 Windows Vista ユーザーは、 epiVista.exe につい て例外を作成す る必要があ り ます。 Trend Micro 製品のよ う に、権限が限定 さ れて い る ユーザーに よ る フ ァ イ ア ウ ォ ール設定の上書 き を 許可 し な い フ ァ イ ア ウ ォ ール も あ り ま す。 ユーザーのア ク セ ス権限が制限 さ れて い る 企業 シ ス テ ムの場合、 E-Class SRA VPN の イ ン ス ト ール前に フ ァ イ ア ウ ォ ールの設定 を 更新 し 、 ユーザーがセ キ ュ リ テ ィ ダ イ ア ロ グ プ ロ ン プ ト に応答 し な く て すむ よ う にす る 必要があ る 場 合があ り ます。 企業レ ベルのパー ソ ナル フ ァ イ ア ウ ォ ールの ド キ ュ メ ン ト を よ く 読んで、 フ ァ イ ア ウ ォ ールの ポ リ シー を判断 し て く だ さ い。 フ ァ イ ア ウ ォ ールの更新が必要な場合、すべてのプ ロ セ スがポー ト 443 で ア プ ラ イ ア ン ス と 通信で き るルールが推奨 さ れます。 E-Class SRA サービ スの問題 実 行 中 の サ ー ビ ス の 簡 単 な 要 約 を 参 照 す る に は、 メ イ ン ナ ビ ゲ ー シ ョ ン メ ニ ュ ー か ら [Services] を ク リ ッ ク し ます。 Web プ ロ キシ サー ビ スの問題 • • • AMC のサーバー ロ グ レ ベルを一時的に [Verbose] に上げます ( 任意の AMC ページの右上 にあ る [Pending changes] を必ず ク リ ッ ク し てか ら 、[Apply Changes] を ク リ ッ ク し てサー ビ ス を自動的に再起動 し て く だ さ い )。 Web プ ロ キシ サー ビ ス ロ グ を参照す る には、メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーの [Logging] を ク リ ッ ク し 、 [Log file] リ ス ト か ら [Web proxy audit log] を選択 し ます。 接続要求がロ グに 記述 さ れて い る こ と を確認 し ます。 DNS サーバーが AMC の Web プ ロ キシ サー ビ ス [Server name] を Web プ ロ キシ サー ビ ス イ ン タ ー フ ェ ース に解決で き る こ と を確認 し ます。 AMC でル ッ ク ア ッ プ ツ ール (572 ペー ジの 「DNS ル ッ ク ア ッ プの使用」 を参照 ) す る こ と も 、 nslookup ま たは dig コ マ ン ド を コ マ ン ド プ ロ ン プ ト か ら 実行す る こ と も で き ます。 558 | Aventail E-Class SRA 10.7 管理者ガ イ ド • ネ ッ ト ワー ク で NAT を使用 し て IP ア ド レ ス を変換 し てい る場合は、 Web プ ロ キシ サー ビ ス [Server name] 設定に、NAT を使用 し て置換 さ れる外部 ( ま たはパブ リ ッ ク ) IP ア ド レ ス が含まれて い る こ と を確認 し ます。 Web プ ロ キシ エージ ェ ン ト の問題 Web プ ロ キシ エージ ェ ン ト は、 Internet Explorer 7.0 以降に よ る Windows シ ス テム上の URL リ ソ ース に対す る ア ク セ ス を提供 し ます。 Aventail WorkPlace の [Connection Status] エ リ ア に 「E-Class SRA Web proxy」 と 表示 さ れていれば、 ク ラ イ ア ン ト で Web プ ロ キシ モー ド が ア ク テ ィ ブ で あ る こ と を表 し ます。 Web プ ロ キシ エージ ェ ン ト が ク ラ イ ア ン ト マ シ ン で正常に実行中で あ るかど う か を チ ェ ッ ク す る には、 次の手順を実行 し ます。 1. ク ラ イ ア ン ト マ シ ン で Ctrl+Alt+Delete を押 し て、[ タ ス ク マ ネージ ャ ] を ク リ ッ ク し ます。 2. Windows の タ ス ク マ ネージ ャ の [Processes] リ ス ト に プ ロ セ ス ewpca.exe がな いかを調べ ま す。 こ の フ ァ イ ルが存在すれば、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク を 受信中で な く て も 、 標準 Web モー ド ア ク セ ス エージ ェ ン ト が実行中です。 3. Web プ ロ キシ エージ ェ ン ト が ト ラ フ ィ ッ ク を受け取 っ てい る こ と を確認す る には、Internet Explorer を起動 し 、[ ツ ール ] > [ イ ン タ ーネ ッ ト オ プ シ ョ ン ] を選択 し ま す。[Connections] タ ブ で、 [LAN Settings] ま た は ア プ ラ イ ア ン ス への接続に使用 し て い る ダ イ ア ル ア ッ プ /VPN 接続の [Settings] を ク リ ッ ク し ます。 4. 接続 タ イ プ に対応す る [Settings] ダ イ ア ロ グ ボ ッ ク ス で、 [Use automatic configuration script] チ ェ ッ ク ボ ッ ク スが選択 さ れてい て、 [Address] ボ ッ ク ス に次のア ド レ スが設定 さ れてい る こ と を確認 し ます。 http://127.0.0.1:<portnumber>/redirect.pac Internet Explorer は、 redirect.pac フ ァ イ ル を使用 し て、 Web プ ロ キシ エージ ェ ン ト への 送信の接続を判断 し ます。 5. redirect.pac フ ァ イ ルに よ っ て リ ダ イ レ ク ト さ れる リ ソ ース ア ド レ ス を表示す る には、 こ の フ ァ イ ル を エ デ ィ タ で開 き ま す。 こ の フ ァ イ ルは、 ク ラ イ ア ン ト マ シ ンの次の フ ォ ルダに 置かれて い ます。 \Documents and Settings\<username>\Application Data\E-Class SRA\ewpca redirect.pac フ ァ イ ルの 「//Redirection Rules//」 セ ク シ ョ ン には、 標準 Web プ ロ キシ エージ ェ ン ト に よ っ て送信 さ れ る 接続先 と し て定義 さ れて い る ア ド レ スが リ ス ト さ れて い ま す。 こ れ ら の ア ド レ スは、 AMC で定義 さ れて い る ネ ッ ト ワー ク リ ソ ース と URL リ ソ ースの リ ス ト か ら 取得 さ れた も のです。 ト ンネルの問題 こ のセ ク シ ョ ン では、 ネ ッ ト ワー ク ト ン ネル サー ビ ス と ト ン ネル ク ラ イ ア ン ト の問題の ト ラ ブルシ ュ ーテ ィ ン グ方法を説明 し ます。 ト ラ ブルシ ュ ーテ ィ ング | 559 イ ン ス ト ール 問題 ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト Connect Tunnel ク プ ロ ビ ジ ョ ニ ン グ さ れる ク ラ イ ア ン ト は、 ク ラ イ ア ン ト コ ン ピ ュ ー タ に イ ラ イ ア ン ト がイ ン ス ン ス ト ール パ ッ ケージ と し て配備 さ れます。 イ ン ス ト ール手順が失敗 し た ト ール さ れない 場合、 次のよ う な問題がある可能性があ り 、 それぞれに記載する方法で解決 で き ます。 • シ ス テムがサポー ト 対象外であ る。 ク ラ イ ア ン ト コ ン ピ ュ ー タ のシ ス テ ム ソ フ ト ウ ェ アが Connect Tunnel ク ラ イ ア ン ト でサポー ト さ れて い る こ と を確認 し ます。 • ク ラ イ ア ン ト ソ フ ト ウ ェ アがシ ス テム要件 と 一致 し ていない。 ユーザー が WorkPlace にア ク セス で き る場合、 WorkPlace で使用で き る ク ラ イ ア ン ト を イ ン ス ト ール し ます。 • ユーザーに ロ ー カ ルの管理者権限がない。 Connect Tunnel ク ラ イ ア ン ト を イ ン ス ト ールするには、 管理者権限が必要です。 • Connect Tunnel ク ラ イ ア ン ト の イ ン ス ト ー ル ロ グ フ ァ イ ル (ngsetup.log) には、 イ ン ス ト ールの問題の ト ラ ブルシ ュ ーテ ィ ン グに役立 つ情報が記述 さ れて い ま す。 Windows XP の場合、 こ の フ ァ イ ルは、 ユー ザーのコ ン ピ ュ ー タ の次のフ ォルダに置かれています。 [drive:]\Documents and Settings\All Users\Application Data\E-Class SRA\ngsetup.log Windows Vista の場合、 このフ ァ イルは、 デ フ ォル ト では非表示である ProgramData フ ォルダに置かれています。 [drive:]\ProgramData\E-Class SRA\ngsetup.log OnDemand Tunnel OnDemand Tunnel ク ラ イ ア ン ト は、 ユーザーが正 し く 構成 さ れた レルムで エージ ェ ン ト が イ ン 認証 さ れた後に WorkPlace を閲覧する と 、 自動的に イ ン ス ト ール さ れ、 有 ス ト ール さ れない 効にな り ます。 通常、 OnDemand Tunnel エージ ェ ン ト は、 ユーザーの介入 な し で動作する ため、 WorkPlace が実行中であれば、 構成 さ れている リ ソ ー スに ト ン ネル経由で安全にア ク セスで き ます。 OnDemand Tunnel エージ ェ ン ト のイ ン ス ト ールまたは有効化が失敗 し た場合、次のよ う な問題がある可 能性があ り 、 それぞれに記載する方法で解決で き ます。 • OnDemand Tunnel のイ ン ス ト ールには、 管理者権限が必要である。 • OnDemand Tunnel が こ の Workplace レルムで有効にな ら ない。 AMC の メ イ ン ナ ビ ゲーシ ョ ン ページ で、 [Realms] を ク リ ッ ク し ます。 [Realms] ページに、ア プ ラ イ ア ン スに定義 さ れているすべてのレルムの リ ス ト が表示 さ れます。 特定のレルムのネ ッ ト ワー ク ト ン ネル サービ スに影響する設定 を確認するには、 レルムの名前を ク リ ッ ク し ます。 [Configure Realm] ペー ジの [Communities] タ ブ で、 [Access Methods] エ リ アの [Edit] を ク リ ッ ク し ます。 [Network tunnel client] チ ェ ッ ク ボ ッ ク スが選択 さ れている こ と を確認 し ます。 • シ ス テムがサポー ト 対象外であ る。 ク ラ イ ア ン ト コ ン ピ ュ ー タ のシ ス テ ム ソ フ ト ウ ェ アが OnDemand Tunnel エージ ェ ン ト でサポー ト さ れてい る こ と を確認 し ます。 • ブ ラ ウザがサポー ト 対象外である。 ユーザーが使用 し ている Web ブ ラ ウ ザが OnDemand Tunnel エージ ェ ン ト でサポー ト さ れて い る こ と を 確認 し ます。 シ ス テム要件については、 19 ページの 「 ク ラ イ ア ン ト コ ン ポーネ ン ト 」 を参照 し て く だ さ い。 560 | Aventail E-Class SRA 10.7 管理者ガ イ ド 接続 問題 ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト ク ラ イ ア ン ト が接続 コ ミ ュ ニ テ ィ が OnDemand Tunnel エ ー ジ ェ ン ト を サポー ト し て いれば、 で き ない OnDemand Tunnel エージ ェ ン ト は、ユーザーが WorkPlace で正常に認証 さ れた後に、 自動的に起動 し ます。 プ ロ ビ ジ ョ ニ ング さ れる Connect Tunnel は、 ト ン ネル セ ッ シ ョ ン を開始す る たびに有効にす る必要があ り ます。 ト ン ネル セ ッ シ ョ ンは何時間 も ア ク テ ィ ブ な状態を維持で き ます。 ネ ッ ト ワー ク 接続が数秒以上中断 さ れる と 、 ト ン ネル セ ッ シ ョ ンが終了 し ます。 例えば、 ネ ッ ト ワー ク ケーブルが外れ た り 、 ノ ー ト 型 PC がス リ ープ状態にな っ た り 、 ネ ッ ト ワー ク リ ン ク のビ ジ ー率が高 く て レ イ テ ン シやパケ ッ ト ド ロ ッ プ率が高 く な っ た り す る と 、 中断が発生 し ます。 Connect Tunnel ク ラ イ ア ン ト や OnDemand Tunnel エージ ェ ン ト の接続が 失敗する一般的な障害を、 以下に説明 し ます。 • ア プ ラ イ ア ン スに到達で き ない。 E-Class SRA Connect ロ グ イ ン ダ イ ア ロ グ ボ ッ ク ス で、 [Properties] を ク リ ッ ク し ます。 [Properties] ダ イ ア ロ グ ボ ッ ク スで、 [Change] の下にある [Login group] を ク リ ッ ク し ます。 ア プ ラ イ ア ン スにネ ッ ト ワー ク 経由で到達で き る場合、使用で き る レルムの リ ス ト が [Select or enter your login] に表示 さ れます。 ア プ ラ イ ア ン スに到 着で き ない場合、 少 し し てから 、 「The remote network connection has timed out ( リ モー ト ネ ッ ト ワー ク 接続が タ イムアウ ト し ま し た )」 と い う エ ラ ー メ ッ セージが表示 さ れます。 • 指定 さ れたア プ ラ イ ア ン ス ア ド レ スが正 し く ない。E-Class SRA Connect ロ グ イ ン ダ イ ア ロ グ ボ ッ ク ス で、 [Properties] を ク リ ッ ク し ま す。 [Properties] ダ イ ア ログ ボ ッ ク スで、 [Host name or IP address of your VPN] が正 し い こ と を確認 し ます。 IP ア ド レ スではな く ホス ト 名が入力 さ れ ている場合、 ク ラ イ ア ン ト がホス ト 名を解決で き、 ホス ト 名がア プ ラ イ ア ン スの外部 イ ン タ ー フ ェ ー スの IP ア ド レ ス に対応 し て い る こ と を 確認 し ま す。 • ア プ ラ イ ア ン スが実行中ではない。 ア プ ラ イ ア ン スが実行中である こ と を 確認 し ます。 • ユーザー名のレルムが無効である。有効な レルムがユーザーに構成 さ れて いる こ と を確認 し ます。 • 認証の失敗。 ユーザーが正 し い認証ク レデン シ ャ ルを指定 し ている こ と を 確認 し ます。 • ク ラ イ ア ン ト サー ビ スの障害。 ク ラ イ ア ン ト ロ グ (ngsetup.log) を取得 し 、 状況の説明 と 一緒にそのログ フ ァ イルを E-Class SRA に送信 し て、 分 析を依頼 し ます。 • パー ソ ナル フ ァ イ ア ウ ォ ールが ト ン ネル ト ラ フ ィ ッ ク を 許可 し な い。 ユーザーの フ ァ イ ア ウ ォ ールがア プ ラ イ ア ン スの FQDN ま たは IP ア ド レ スへの接続を許可する よ う に構成 さ れている こ と を確認 し ます。 ト ラ ブルシ ュ ーテ ィ ング | 561 問題 ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト ク ラ イ ア ン ト は接続 ト ン ネルが確立 さ れる と 、 ト ン ネルを示すア イ コ ンが タ ス ク バーの通知領域 す る が、 リ ソ ー ス に に表示 さ れます。 こ の段階で、 ク ラ イ ア ン ト コ ン ピ ュ ー タ は、 ア プ ラ イ ア ア ク セスで き ない ン スが到達で き、 そのユーザーに許可 さ れてい る、 構成済みのすべての リ ソ ースにア ク セスで き る よ う にな り ます。ク ラ イ ア ン ト が リ ソ ースに到達で き ない場合、 次のよ う な問題がある可能性があ り 、 それぞれに記載する方法 で解決で き ます。 • リ ソ ースが定義 さ れていない。 AMC で正 し い リ ソ ースが定義 さ れてい る こ と を確認 し ます。 • ユーザーに リ ソ ースのア ク セスが許可 さ れていない。 AMC で、 ア ク セス 制御ルールやレルムおよび コ ミ ュ ニテ ィ の割 り 当て を見直 し て、ユーザーに リ ソ ースへのア ク セスが許可 さ れている こ と を確認 し ます。 • ア プ ラ イ ア ン スのルーテ ィ ングが リ ソ ースに到達で き ない。 ア プ ラ イ ア ン ス と バ ッ ク エ ン ド リ ソ ース と の間に一般的なネ ッ ト ワー ク の問題がない こ と を確認 し ます。 • サーバー ソ フ ト ウ ェ アの障害。 障害の時間を記録 し 、 ネ ッ ト ワー ク ト ン ネル サービ スが正 し く 機能 し てい るかど う かを判断 し 、 必要があれば詳細 な ト ラ ブルシ ュ ーテ ィ ングの情報を収集 し ます。 562 | Aventail E-Class SRA 10.7 管理者ガ イ ド 問題 ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト ク ラ イ ア ン ト は接続 Connect Tunnel や OnDemand Tunnel の接続は、 確立 さ れる と 、 何時間 も す る が、 突然切断 さ ア ク テ ィ ブ な状態が維持 さ れます。 ただ し 、 い く つかの理由で、 ト ン ネルが れる それよ り 早 く 終了す る こ と があ り ます。 ト ン ネル接続が突然切断 さ れた場 合、 次のよ う な問題がある可能性があ り 、 それぞれに記載する方法で解決で き ます。 • ト ン ネルがア イ ド ル状態であ っ たために タ イムアウ ト し た。 ア プ ラ イ ア ン スの リ ソ ース を無駄に し ないために、 一定時間ア イ ド ル状態にな る と 、 ト ン ネルが切断 さ れる こ と があ り ます。 • 管理者がネ ッ ト ワー ク ト ンネル サービ ス を停止または再起動 し た。 AMC を使用する一般的な構成での処理であれば、確立 さ れている ト ン ネルには影 響 し ません。 確立時に有効だ っ た構成で処理が継続 し ます。 ただ し 、 ア プ ラ イ ア ン スの基本的なネ ッ ト ワーキングに影響する構成変更の場合は、既存の ト ン ネルが ド ロ ッ プ またはハングする ため、ク ラ イ ア ン ト 側で切断 し て復旧 さ せる必要があ り ます。 • ネ ッ ト ワー ク ト ン ネル サー ビ ス ロ グが Info レ ベル以上に設定 さ れてい る と 、ネ ッ ト ワー ク サービ スが停止する たびに「Reset Internal Interface and Addressing Information ( 内部 イ ン タ ー フ ェ ース と ア ド レ ッ シ ン グ情報の リ セ ッ ト )」 と い う メ ッ セージがログに記述 さ れます。 また、 サービ スが停止 状 態 か ら 起動 さ れ る た び に、 「Internal Interface eth0 Address n.n.n.n Netmask n.n.n.n BCastAddr n.n.n.n Subnet n.n.n.n ( 内部イ ン タ ー フ ェ ース eth0、 ア ド レ ス n.n.n.n、 ネ ッ ト マ ス ク n.n.n.n、 BCastAddr n.n.n.n、 サ ブ ネ ッ ト n.n.n.n)」 ( 実際の IP ア ド レ ス値が設定 さ れます ) と い う メ ッ セージ がロ グに記述 さ れます。 ngutil ログの場合は、 こ の同 じ 状況で 「The server is shutting down ( サーバーが停止 し ます )」 と い う テキス ト が記述 さ れます。 • ネ ッ ト ワー ク 間 ト ン ネルが応答 し ない、 または安定 し ていない ト ラ フ ィ ッ ク が ク ラ イ ア ン ト と ア プ ラ イ ア ン スの間のいずれかのホ ッ プ で使用可能な 帯域幅を占有する と 、 パケ ッ ト は、 エ ン ド ポ イ ン ト の TCP ス タ ッ ク または 中間ルー タ の待ち行列で待機する こ と にな り ます。待ち行列が一杯である場 合、 パケ ッ ト は破棄 さ れます。 • ネ ッ ト ワー ク ト ン ネル サービ スは、 TCP SSL 接続経由で ト ラ フ ィ ッ ク を 送受信 し ます。 TCP は、 検証可能で使用可能であ る場合のみ、 ト ラ フ ィ ッ ク を順番に転送する こ と で、不安定なネ ッ ト ワー ク に対応で き る よ う に設計 さ れています。 TCP 実装では、 ACK 応答がす ぐ に返 さ れない と 接続が破棄 さ れる こ と があ り 、 こ れは、 Windows の TCP 実装に も当てはま り ます。 接 続が破棄 さ れる と 、 ト ン ネル ク ラ イ ア ン ト は一般的に、 20 秒間は接続を透 過的に再開 し よ う と し ます。 輻輳によ っ て破棄 さ れた場合は、 一般的に再開 も 失敗する ため、 ユーザーには ト ン ネルが終了 し た よ う に見え ます。 • ク ラ ス タ のフ ェ イルオーバが発生 し 、 ク ラ イ ア ン ト の再開が失敗 し た。 ク ラ イ ア ン ト の構成では、 ア ク テ ィ ブ ノ ー ド がス タ ンバイ ノ ー ド に フ ェ イル オーバ し た場合、 ク ラ イ ア ン ト の ト ン ネル再開 メ カ ニズムによ っ て、 ク ラ イ ア ン ト 接続が維持 さ れます。 ク ラ イ ア ン ト は、 ト ン ネルの再開を 20 秒間試 行 し た後に、 試行を中止 し ます。 こ の時間内に フ ェ イルオーバが完了 し ない と 、 ト ン ネル接続が破棄 さ れます。 正常な終了では、 ク ラ イ ア ン ト は再開を 試行 し ないため、 すべての ト ン ネル接続が破棄 さ れます。 • ま た、 フ ェ イ ルオーバ後の ト ン ネル ク ラ イ ア ン ト が再開を試行 し てい る 間に開始 し た新 し い ク ラ イ ア ン ト 接続には、既存のク ラ イ ア ン ト が使用を再 開 し よ う と する ア ド レ スが割 り 当て られます。ア ド レ ス割 り 当ての さ ま ざ ま な特性によ っ て状況は異な り ますが、 こ のよ う な場合は、 そのク ラ イ ア ン ト の ト ン ネルの再開が破棄 さ れます。 ト ラ ブルシ ュ ーテ ィ ング | 563 問題 ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト ク ラ イ ア ン ト は接続 • ク ラ イ ア ン ト サービ スの障害。 ク ラ イ ア ン ト サービ ス ソ フ ト ウ ェ アに障 す る が、 突然切断 さ 害が発生する と 、 ト ン ネルが破棄 さ れ、 エ ラ ー ダ イ ア ログ ボ ッ ク スが表示 れる ( つづ き ) さ れます。 ク ラ イ ア ン ト ログ を取得 し 、 状況の説明 と 一緒にそのロ グ フ ァ イルを E-Class SRA に送信 し て分析を依頼 し てか ら 、 サービ ス を再起動 し ます。 • サーバー ソ フ ト ウ ェ アの障害。 ア プ ラ イ ア ン ス ト ン ネル ソ フ ト ウ ェ ア で 障害が発生する と 、 ア プ ラ イ ア ン スは自動的に リ ブー ト するか、 無限にハン グする可能性も あ り ます。 • リ ブ ー ト し た場合は、 /var/log/dump 内の番号付 き のデ ィ レ ク ト リ に ク ラ ッ シ ュ ダ ン プが出力 さ れる ため、 こ の情報を取得 し て分析 し ます。 • ア プ ラ イ ア ン スが リ ブー ト せずにハン グ し た場合は、 ハン グす る前に ク ラ ッ シ ュ ダ ン プが成功 し てい る可能性があ り ます。ア プ ラ イ ア ン ス を リ ブ ー ト し て、 /var/log/dump を チ ェ ッ ク し て新 し い ク ラ ッ シ ュ ダ ン プ を 探 し 、 こ の情報 を 取得 し て分析 し ま す。 場合に よ っ ては、 ク ラ ッ シ ュ が発生 し た状況を再現す る必 要があ り ます。 一般的なサーバーの ト ン ネルの問題は通常、 最初に ク ラ イ ア ン ト 側で発生 し ます。 発生する可能 問題 性がある多 く の問題は、 AMC で、 時には SSH コ ン ソ ールやシ ス テムのシ リ アル コ ン ソ ールで、 管理者のみが識別で き ます。 詳細については、 551 ペー ジの 「一般的な ネ ッ ト ワーキ ン グの問題」 を参照 し て く だ さ い。 ネ ッ ト ワ ー ク ト ン シ リ アル コ ン ソ ールまたは SSH セ ッ シ ョ ン で、 次のよ う に入力 し ます。 uscat /var/avt/vpn/status ネ ル サー ビ ス が動 作中でない ネ ッ ト ワー ク ト ン ネル サービ スが構成 さ れ、 動作中であれば、 ク ラ イ ア ン ト の仮想ア ド レ ス範囲の情報が表示 さ れます。 動作中で ない と 、 シ ェ ル プ ロ ン プ ト 以外に何も表示 さ れません。 ネ ッ ト ワー ク ト ン ネル サービ スが動 作中でない理由を判断する場合、 次の項目が役立ち ます。 • ラ イ セ ン スが無効または期限切れである。 ア プ ラ イ ア ン スのラ イ セ ン スが 無効である場合、 ログ イ ン後に、 すべての AMC ページの右上に ラ イ セ ン ス 警告が表示 さ れます。 E-Class SRA に問い合わせて、 ラ イ セ ン スの問題を解 決する必要がある可能性も あ り ます。 • AMC ま たは コ ン ソ ール プ ロ ン プ ト か ら 停止 さ れた。 AMC の [Services] ページの [Network Tunnel Service] で、 ネ ッ ト ワー ク ト ン ネル サービ ス を無期限に停止で き、サービ スが停止 し ているかど う かを示す情報を表示で き ます。 • サー ビ スが構成 さ れて い ない、 ま たは正 し く 構成 さ れて い ない。 ネ ッ ト ワー ク ト ン ネル サービ スには、 仮想ア ド レ スや ク ラ イ ア ン ト への割 り 当て に関連する情報を構成する必要があ り ます。 ト ン ネル サービ スの構成が完 全でない と 、 サービ スは動作 し ません。 • サーバー ソ フ ト ウ ェ アの障害。 ユーザー スペースのネ ッ ト ワー ク ト ン ネ ル サービ ス コ ンポーネ ン ト で障害が発生する と 、 一般的には、 障害が発生 し た コ ンポーネ ン ト が再起動 し ます。 ログまたは /var/log/core のコ ア フ ァ イ ルの情報を利用で き ます。 カ ーネル コ ン ポーネ ン ト の重大な障害が発生 する と 、 一般的に ク ラ ッ シ ュ ダ ン プが記録 さ れます。 • ク ラ ス タ の問題。 ク ラ ス タ 化 さ れたア プ ラ イ ア ン スは、 ク ラ ス タ イ ン タ ー フ ェ ース経由での通信が可能である必要があ り ます。安定 し た通信が可能で ない場合、ペアの両方の ノ ー ド がサービ ス を提供 し よ う と する ために障害が 発生 し た り 、両方がス タ ンバイ状態にな っ て ど ち ら も サービ ス を提供 し な く な っ た り する可能性があ り ます。 564 | Aventail E-Class SRA 10.7 管理者ガ イ ド OnDemand の問題 こ のセ ク シ ョ ン では、 OnDemand ( ポー ト マ ッ ピ ン グ ) での問題の ト ラ ブルシ ュ ー テ ィ ン グ方 法を説明 し ます。 OnDemand の一般的な問題 OnDemand が正常に動作 し な い場合、 次の診断を実行 し ます。 OnDemand のテス ト OnDemand を テ ス ト す る ために、 適切な URL に接続 し て ア プ レ ッ ト を起動 し 、 サポー ト さ れ てい る ア プ リ ケーシ ョ ン を実行 し ます。 テ ス ト では、 次の点を確認 し ます。 • • • • • OnDemand が必要な ネ ッ ト ワー ク ア ク セ ス サー ビ ス と 通信で き る こ と 。 Web プ ロ キシ サー ビ スの認証 と ア ク セ ス制御が動作 し てい る こ と 。 OnDemand が自動的に接続を正 し く リ ダ イ レ ク ト す る こ と 。 OnDemand が構成 さ れて い る それぞれのア プ リ ケーシ ョ ン に接続を作成す る こ と 。 自動的に起動す る よ う に構成 さ れて い る シン ク ラ イアン ト ア プ リ ケーシ ョ ン を OnDemand が起動す る こ と 。 OnDemand ログ フ ァ イルの表示 Windows を 使用す る ユーザーの場合、 OnDemand の起動時に ト ラ ブ ル シ ュ ー テ ィ ン グ メ ッ セージ を含むロ グ フ ァ イ ルが作成 さ れます。 ロ グ フ ァ イ ルは、 次の場所に保存 さ れま す。 %SystemRoot%\Documents and Settings\AllUsers\Application Data\E-Class SRA\Logfiles\ %SystemRoot%\Documents and Settings\<username>\Application Data\E-Class SRA\Logfiles\ JRE バージ ョ ンの検出 OnDemand が正 し く 動作 し な い場合、 OnDemand でサポー ト さ れて い る バー ジ ョ ン の Java Runtime Environment (JRE) が動作 し てい る こ と を 確認 し ま す。 シ ス テム要件につい ては、 19 ページの 「 ク ラ イ ア ン ト コ ン ポーネ ン ト 」 を参照 し て く だ さ い。 ま た、 ユーザーのブ ラ ウザで Java が有効に な っ て い る こ と も 確認 し ます。 566 ページの 「ブ ラ ウザでの Java の有効化」 を 参照 し て く だ さ い。 ク ラ イ ア ン ト コ ン ピ ュ ー タ で動作中の JRE バージ ョ ン を検出す る には • • メモ Windows 版 Internet Explorer: ブ ラ ウザの Java コ ン ソ ールを開い て、 JRE の情報を表示 し ます。 566 ページの 「Java コ ン ソ ールの表示」 を参照 し て く だ さ い。 Mac OS X のブ ラ ウザ : 「Applications」 フ ォ ルダの 「Utilities」 フ ォ ルダ を開 き 、 「Java」 フ ォ ルダ を開 き ます。Java Plugin Settings プ ロ グ ラ ム を実行 し 、 メ ニ ュ ーか ら [About] を ク リ ッ ク し て、 動作中のバージ ョ ンの情報を確認 し ます。 Windows の一部のバージ ョ ン には、 JRE が含まれな い こ と があ り 、 こ の場合には、 エ ラ ー メ ッ セ ー ジ ( 「jview.exe must exist in \path or you need to set JAVA_HOME (jview.exe が \path に存在す るか、 JAVA_HOME に設定す る必要があ り ます )」 ) が表示 さ れます。 こ の メ ッ セージが表示 さ れたに も かかわ ら ず、 JRE が Windows コ ン ピ ュ ー タ に存在す る こ と がわか っ て い る 場合は、 [Environment Variables] ダ イ ア ロ グ ボ ッ ク ス で 「JAVA_HOME」 に JRE デ ィ レ ク ト リ へのパス を設定 し ます。詳細につい ては、Windows のヘルプ を参照 し て く だ さ い。 存在 し ない場合は、 JRE を Windows コ ン ピ ュ ー タ に イ ン ス ト ールす るか、 他の コ ン ピ ュ ー タ を使用す る必要があ り ます。 ト ラ ブルシ ュ ーテ ィ ング | 565 ブ ラ ウザでの Java の有効化 OnDemand ア プ レ ッ ト が動作す る ためには、 ユーザーのブ ラ ウザで Java が有効に な っ て い る 必要があ り ます。 Internet Explorer の場合、 Java はデ フ ォ ル ト で有効です。 OnDemand が動作 し て い な い状態でデ フ ォ ル ト が変更 さ れて い る 可能性があ る 場合は、 ブ ラ ウザのマ ニ ュ アルに 記載 さ れてい る方法で有効に し ます。 Java コ ン ソ ールの表示 OnDemand ア プ レ ッ ト が起動 し な い場合、 Java コ ン ソ ールで その理由 を 確認で き ま す。 ユー ザーのマ シ ン で、 使用 し て い る環境に合わせて、 次の手順を実行 し ます。 Java コ ン ソ ールの表示 :Windows—Sun JRE ユーザー 1. Sun Java Runtime Environment を実行 し てい る ユーザーは、 タ ス ク バー通知領域の [Sun Java] ア イ コ ン を右 ク リ ッ ク す る と 、 Java コ ン ソ ールに ア ク セ ス で き ま す。 2. [Open Console] を ク リ ッ ク し ま す。 Java コ ン ソ ールの表示 :Windows 版 Internet Explorer 1. [ ツ ール ] > [ イ ン タ ーネ ッ ト オ プ シ ョ ン ] を ク リ ッ ク し 、 [ 詳細設定 ] タ ブ を ク リ ッ ク し ます。 2. [Microsoft VM] の下で [Java コ ン ソ ールを使用す る ] と [Java のロ グの使用 ] チ ェ ッ ク ボ ッ ク ス を選択 し 、 [OK] を ク リ ッ ク し ます。 3. ブ ラ ウザを閉 じ て、 も う 1 度開 き ます。 4. [View] メ ニ ュ ーの [Java Console] を ク リ ッ ク し ます。 Java コ ン ソ ールの表示 :Mac OS X 1. [ ア プ リ ケーシ ョ ン ] フ ォ ルダの [ ユーテ ィ リ テ ィ ] フ ォ ルダ を開 き ます。 2. [Java] フ ォ ルダにあ る Java Plugin Settings プ ロ グ ラ ム を実行 し ま す。 3. [Java Plug-in] コ ン ト ロ ール パネルで、[General] ページの [Use Java console] を ク リ ッ ク し ます。 OnDemand の個別の問題 こ の セ ク シ ョ ン で は、 OnDemand の使用中 に 発生 す る 可能性が あ る 個別の問題の ト ラ ブ ル シ ュ ーテ ィ ン グの ヒ ン ト を説明 し ます。 問題 ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト OnDemand が起動 し ない OnDemand を起動 し よ う と し ている コ ン ピ ュ ー タ ーで、 Java また は JavaScript が Web ブ ラ ウザで有効に な っ て い る こ と を 確認 し ます。 Java がブ ラ ウザで有効である場合、 OnDemand でサポー ト さ れて い るバージ ョ ンの Java Runtime Environment (JRE) を使用 し てい る こ と も 確認 し ます。 シ ス テム要件については、 19 ページの 「 ク ラ イ ア ン ト コ ン ポーネ ン ト 」 を参照 し て く だ さ い。 こ れ ら のオ プ シ ョ ン の両方が有効で あ っ て も OnDemand が起動 し ない場合、 ユーザーの コ ン ピ ュ ー タ で Java コ ン ソ ールを開き、 Java メ ッ セ ー ジ を 参照 し ま す。 問題の解決 に あ た っ て Dell SonicWALL テ ク ニ カル サポー ト への問い合わせが必要な場合、 こ れ ら の メ ッ セ ー ジ を 確認す る よ う 依頼 さ れ ま す。 566 ペ ー ジ の 「Java コ ン ソ ールの表示」 を参照 し て く だ さ い。 566 | Aventail E-Class SRA 10.7 管理者ガ イ ド 問題 ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト OnDemand で ア プ リ ケ ー ユーザーに、 OnDemand [Details] ページ を チ ェ ッ ク し て、 ア プ リ シ ョ ンが正 し く 動作 し ない ケーシ ョ ン名がア ク テ ィ ブ ま たは非ア ク テ ィ ブのど ち ら にな っ て いるかを確認する よ う に依頼 し ます。複数のア プ リ ケーシ ョ ンが同 じ ロー カル IP ア ド レ スおよびポー ト を使用する よ う 構成 さ れてい る と 、 問題が発生する可能性があ り ます。 問題の詳細を参照するに は、OnDemand [Details] ページから ログ メ ッ セージ を コ ピー し て 電子 メ ールで送信する よ う に、 ユーザーに依頼 し ます。 OnDemand が イ ン ス ト ー ル Vista SP1 が動作 す る ク ラ イ ア ン ト コ ン ピ ュ ー タ で ActiveX と さ れてい るが、 ア ク テ ィ ブ に UAC ( ユーザー ア カ ウン ト 制御 ) の両方が無効である と 、 Java が な ら ない ロー カル コ ン ピ ュ ー タ に一時 フ ァ イルのキ ャ ッ シ ュ を保存する よ う に構成 さ れてい る場合を除き、 OnDemand を イ ン ス ト ールで き ますが、 ア ク テ ィ ブ にで き ません。 キ ャ ッ シ ュ 設定を選択す る に は、 コ ン ト ロール パネルに移動 し て、 Java コ ン ト ロール パネルを 開 き ま す。 [Temporary Internet Files] エ リ ア で [Settings] を ク リ ッ ク し 、 [Keep temporary files on my computer] を選択 し ま す。 サ ー バ ー 証 明 書 の [Accept] 状況に よ っ ては、 ユーザーが受け入れ ら れないサーバー証明書を ボ タ ン を使用で き ない OnDemand がユーザーに提示する こ と があ り ます。 証明書ページ の [Accept] ボ タ ン を使用で き ない場合、 OnDemand は、 サーバー 証明書に問題がある こ と を検出 し ます。こ の問題の一般的な原因 と し ては、 次のよ う な ものがあ り ます。 • ク ラ イ ア ン ト コ ン ピ ュ ー タ と サーバーの間の日付 / 時刻の不一 致。 ク ラ イ ア ン ト コ ン ピ ュ ー タ と Web プ ロキシ サーバーの日付 と 時刻が正 し い こ と を確認 し ます。 • 証明書の有効期限が切れているか、 まだ有効にな っ ていない。 • 証明書情報がサーバー情報 と 一致 し ていない。 • 証明書チ ェ ーンが無効である。 ク ラ イ ア ン ト の ト ラ ブルシ ュ ーテ ィ ング こ のセ ク シ ョ ン では、 Windows、 Mac、 Linux の ク ラ イ ア ン ト での ト ラ ブルシ ュ ー テ ィ ン グにつ い て説明 し ます。 Windows ク ラ イ ア ン ト の ト ラ ブルシ ュ ーテ ィ ング E-Class SRA イ ン ス ト ー ラ ソ フ ト ウ ェ アは、 Java ま たは ActiveX に よ っ て、 ユーザーの コ ン ピ ュ ー タ に ロ ー ド で き ます。こ の イ ン ス ト ー ラ を他のすべての E-Class SRA ソ フ ト ウ ェ ア コ ン ポーネ ン ト と 一緒に削除す る には、 次の手順を実行 し ます。 ブ ラ ウザと Java の設定の リ セ ッ ト 次の手順で、 ブ ラ ウザ と Java の設定 を リ セ ッ ト し ます。 Internet Explorer、 Google Chrome、 お よ び Firefox Mozilla のそれぞれの手順に従い ます。 Cookie と キ ャ ッ シ ュ の消去 Internet Explorer で ブ ラ ウザの Cookie と キ ャ ッ シ ュ を消去す る には、 次の手順を実行 し ま す。 1. [ ツ ール ] > [ イ ン タ ーネ ッ ト オ プ シ ョ ン ] を ク リ ッ ク し ま す。 2. [ フ ァ イ ルの削除 ] と [Cookie の削除 ] を ク リ ッ ク し ます。 ト ラ ブルシ ュ ーテ ィ ング | 567 Mozilla Firefox で ブ ラ ウザの Cookie と キ ャ ッ シ ュ を消去す る には、 次の手順を実行 し ます。 1. [ ツ ール ] > [ プ ラ イ バシー情報の消去 ] を ク リ ッ ク し ます。 2. 少な く と も 次の 3 つのチ ェ ッ ク ボ ッ ク ス を選択 し ます。 3. • [Cookies] • [ キャ ッ シュ ] • [ 認証済みのセ ッ シ ョ ン ] [ 今す ぐ 消去 ] を ク リ ッ ク し ます。 Google Chrome で ブ ラ ウザの Cookie と キ ャ ッ シ ュ を消去す る には、 次の手順を実行 し ま す。 1. [ ツ ール ] > [ 閲覧履歴を消去 ] を ク リ ッ ク し ます。 2. 少な く と も 次のチ ェ ッ ク ボ ッ ク ス を選択 し ます。 3. • [Cookie と 他のサ イ ト やプ ラ グ イ ンのデー タ を削除す る ] • [ キャ ッ シュ ] [ 閲覧履歴を消去す る ] を ク リ ッ ク し ます。 セキ ュ リ テ ィ ゾ ー ンのデ フ ォ ル ト への リ セ ッ ト Internet Explorer ですべての Web コ ン テ ン ツ ゾー ンのセキ ュ リ テ ィ レ ベルを リ セ ッ ト す る に は、 次の手順を実行 し ます。 1. [ ツ ール ] > [ イ ン タ ーネ ッ ト オ プ シ ョ ン ] > [ セキ ュ リ テ ィ ] タ ブ を ク リ ッ ク し ます。 2. Web コ ン テ ン ツ ゾー ン ( 例えば、 [ イ ン タ ーネ ッ ト ]) を強調表示 し 、 [ 既定のレ ベル ] ボ タ ン を ク リ ッ ク し ます。 こ の手順を、 それぞれのゾー ン について実行 し ます。 詳細設定のデ フ ォ ル ト への リ セ ッ ト Internet Explorer の詳細設定を リ セ ッ ト す る には、 次の手順を実行 し ます。 1. [ ツ ール ] > [ イ ン タ ーネ ッ ト オ プ シ ョ ン ] > [ 詳細設定 ] タ ブ を ク リ ッ ク し ます。 2. [ 詳細設定を復元 ] ボ タ ン を ク リ ッ ク し ます。 プ ラ イ バシー設定のデ フ ォ ル ト への リ セ ッ ト Internet Explorer のプ ラ イ バシー設定を リ セ ッ ト す る には、 次の手順を実行 し ます。 1. [ ツ ール ] > [ イ ン タ ーネ ッ ト オ プ シ ョ ン ] > [ プ ラ イ バシー ] タ ブ を ク リ ッ ク し ます。 2. [ 既定 ] ボ タ ン を ク リ ッ ク し ます。 Java キ ャ ッ シ ュ の消去 Windows シ ス テムで Java キ ャ ッ シ ュ を消去す る には、 次の手順を実行 し ます。 1. コ ン ト ロ ール パネルで、 [Java] を ダ ブル ク リ ッ ク し ます。 2. [ フ ァ イ ルの削除 ] ボ タ ン を ク リ ッ ク し ます。 3. 3 つのすべての タ イ プの一時 フ ァ イ ルが削除対象 と し て選択 さ れてい る こ と を確認 し 、 [OK] を ク リ ッ ク し ます。 Java キ ャ ッ シ ュ の有効化 デ フ ォ ル ト では、一時 フ ァ イ ルのキ ャ ッ シ ュ がロ ー カ ル コ ン ピ ュ ー タ に保持 さ れる よ う に Java が構成 さ れてい ます。 E-Class SRA ア プ ラ イ ア ン ス経由の リ モー ト ア ク セ ス で Java を使用 し てい る場合、 こ のキ ャ ッ シ ュ が有効で あ る こ と を確認 し ます。 1. Windows コ ン ト ロ ール パネルで、 [Java] を開 き ま す。 2. Java コ ン ト ロ ール パネルで、[ イ ン タ ーネ ッ ト 一時 フ ァ イ ル ] 領域の [ 設定 ] を ク リ ッ ク し ます。 568 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. [ コ ン ピ ュ ー タ に一時 フ ァ イ ルを保持 し ます ] を選択 し ます。 E-Class SRA コ ンポーネン ト のアン イ ンス ト ール すべての E-Class SRA フ ァ イ ルを ア ン イ ン ス ト ールす る には、 次の手順を実行 し ます。 1. コ ン ピ ュ ー タ を再起動 し ます。 こ の操作に よ っ て、 フ ァ イ ルが メ モ リ に ロ ー ド さ れて いな い 状態に な り 、 ア ン イ ン ス ト ールが容易に な り ます。 2. すべての E-Class SRA コ ン ポーネ ン ト を削除 し ます。 a. Windows エ ク ス プ ロ ー ラ で、 %WINDIR%\Downloaded Program Files\ を参照 し ます。 b. E-Class SRA Installer フ ァ イ ルを右 ク リ ッ ク し て、 [ 削除 ] を選択 し ま す。 c. E-Class SRA VPN Software を ア ン イ ン ス ト ール し ます。 コ ン ピ ュ ー タ を再起動す る よ う 要求 さ れますが、 こ の手順の最後のス テ ッ プ ま で、 再起動す る必要はあ り ません。 d. コ ン ト ロ ール パネルで、 [ プ ロ グ ラ ムの追加 と 削除 ] を開 き ま す。 e. それぞれの E-Class SRA コ ン ポーネ ン ト を削除 し ます。 3. E-Class SRA ソ フ ト ウ ェ アが ActiveX ま たは Java を使用 し て イ ン ス ト ール さ れて い る可能 性 も あ り ます ( わか ら ない場合は、 両方の手順を実行 し て く だ さ い )。 ActiveX 上記のス テ ッ プ 2b ですで に実行 し た場合は、 こ こ を飛ば し て Java の手順に進みます。 a. Windows エ ク ス プ ロ ー ラ で、 %WINDIR%\Downloaded Program Files\ を参照 し ます。 b. E-Class SRA Installer フ ァ イ ル を右 ク リ ッ ク し て、[ 削除 ] を選択 し 、[OK] を ク リ ッ ク ます。 c. E-Class SRA VPN Software を ア ン イ ン ス ト ール し ます。 コ ン ピ ュ ー タ を再起動す る よ う 要求 さ れますが、 こ の手順の最後のス テ ッ プ ま で、 再起動す る必要はあ り ません。 Java a. Windows エ ク ス プ ロ ー ラ で、 %HOMEPATH%\Application Data\E-Class SRA\EP\ を参照 し ます。 b. uninstall_ep.exe を ダ ブル ク リ ッ ク し ます。 c. E-Class SRA VPN Software を ア ン イ ン ス ト ール し ます。 コ ン ピ ュ ー タ を再起動す る よ う 要求 さ れますが、 こ の手順の最後のス テ ッ プ ま で、 再起動す る必要はあ り ません。 4. Windows エ ク ス プ ロ ー ラ で %HOMEPATH%\Application Data\ を参照 し 、 E-Class SRA フ ォ ル ダ を右 ク リ ッ ク し て [ 削除 ] を選択 し ま す。 5. コ ン ピ ュ ー タ を再起動 し ます。 WorkPlace への再ログイ ン WorkPlace に再ロ グ イ ン し 、E-Class SRA Access Manager を イ ン ス ト ール し て、E-Class SRA コ ン ポーネ ン ト がロ ー ド さ れる よ う に し ます。 ク ラ イ ア ン ト ま たはエージ ェ ン ト の イ ン ス ト ール時に問題が発生す る と 、 ク ラ イ ア ン ト イ ン ス ト ール ロ グに エ ラ ーが記録 さ れます。 E-Class SRA Access Manager が イ ン ス ト ール さ れて い る と 、 こ の ロ グがア プ ラ イ ア ン ス に自動的に ア ッ プ ロ ー ド さ れ、 AMC に リ ス ト さ れ ま す。 EClass SRA Access Manager が イ ン ス ト ール さ れてい ない場合、 イ ン ス ト ール エ ラ ーが発生す る と 、 ロ グ フ ァ イ ルを ア プ ラ イ ア ン ス に ア ッ プ ロ ー ド す る よ う 要求 さ れます。 次の手順で、 追加のロ グ フ ァ イ ルを取得 し ます。 1. %HOMEPATH%\Application Data\ を参照 し ます。 2. 「E-Class SRA」 と い う 名前の フ ォ ルダがあ り ます。 こ の フ ァ イ ルの内容を圧縮 し 、 電子 メ ー ルで Dell SonicWALL テ ク ニ カ ル サポー ト に送信 し ます。 3. %ALLUSERSPROFILE%\Application Data\ を参照 し ま す。 ト ラ ブルシ ュ ーテ ィ ング | 569 4. 「E-Class SRA」 と い う 名前の フ ォ ルダがあ り ます。 こ の フ ァ イ ルの内容を圧縮 し 、 電子 メ ー ルで Dell SonicWALL テ ク ニ カ ル サポー ト に送信 し ます。 5. DOS ボ ッ ク ス を開 き ます ([ ス タ ー ト ] > [ フ ァ イ ル名を指定 し て実行 ] を ク リ ッ ク し 、 「cmd」 と 入力 し て Enter を押 し ます )。 6. コ マ ン ド プ ロ ン プ ト ウ ィ ン ド ウに 「ngutil -all > ngutil.txt」 と 入力 し ます。 7. ngutil.txt フ ァ イ ルを Dell SonicWALL テ ク ニ カ ル サポー ト に電子 メ ールで送信 し ま す。 8. [ ス タ ー ト ] > [ フ ァ イ ル名を指定 し て実行 ] を ク リ ッ ク し 、 「msinfo32」 と 入力 し て Enter を 押 し ます。 9. [ シ ス テムの概要 ] を強調表示 し 、 [ フ ァ イ ル ] > [ エ ク スポー ト ] を選択 し ます。 エ ク スポー ト し た フ ァ イ ルを Dell SonicWALL テ ク ニ カ ル サポー ト に電子 メ ールで送信 し ます。 Macintosh と Linux の Tunnel Client の ト ラ ブルシ ュ ーテ ィ ング Macintosh と Linux の ト ン ネル ク ラ イ ア ン ト の問題を ト ラ ブルシ ュ ー テ ィ ン グす る場合は、 こ の セ ク シ ョ ン で 説明す る シ ス テ ムお よ びバー ジ ョ ン の情報 を ユーザーか ら 入手 し ま す。 ユー ザーは、 こ れ ら の情報 を 収集す る 前に、 ソ フ ト ウ ェ ア を ア ン イ ン ス ト ール し て再 イ ン ス ト ール す る必要があ り ます。 Macintosh のシステム と アプ リ ケーシ ョ ンの情報 ユーザーか ら 次の情報を入手 し ます。 シ ス テム情報 調べる方法 オ ペ レ ー テ ィ ン グ シ ス Apple メ ニ ュ ーから [ こ の Mac について ] を選択 し ます。 テム hostfino コ マ ン ド タ ー ミ ナル ア プ リ ケーシ ョ ン ([ ア プ リ ケーシ ョ ン ] > [ ユーテ ィ リ テ ィ ] フ ォルダの ) を開いて、 「hostfino」 と 入力 し ます。 こ の操作によ っ て、 プ ロ セ ッ サ と カ ーネルの情報や、 使用可能 メ モ リ の大き さ が表示 さ れます。 OpenSSL タ ー ミ ナル ア プ リ ケーシ ョ ン ([ ア プ リ ケーシ ョ ン ] > [ ユーテ ィ リ テ ィ ] フ ォルダの ) を開き、 次のよ う に入力 し て、 OpenSSL に関する情報を 表示 し ます。 openssl version Safari ブ ラ ウザ Saferi メ ニ ュ ーから [Safari について ] を選択 し ます。 Java Virtual (JVM) Machine 1. [ ア プ リ ケーシ ョ ン ] フ ォ ルダの [ ユーテ ィ リ テ ィ ] フ ォ ルダ を 開 き ます。 2. [Java] フ ォ ルダにあ る Java Plugin Settings プ ロ グ ラ ム を実 行 し ます。 3. [Java Plug-in] コ ン ト ロ ール パネルで、 [General] ページの [Use Java console] を ク リ ッ ク し ます。 1. Apple メ ニ ュ ーか ら [ こ の Mac につい て ] を選択 し ます。 2. [ 詳 し い情報 ] を ク リ ッ ク し て シ ス テム プ ロ フ ァ イ ル を開 き ま す。 プ ロ フ ァ イ ラ には、 コ ン ピ ュ ー タ のハー ド ウ ェ アや イ ン ス ト ール さ れて い る ソ フ ト ウ ェ アの詳細情報が表示 さ れます。 ( 印刷す る よ う に選択 し て ) レ ポー ト を すべて出力 す る と 、 100 ページ を優に超え る可能性があ り ま す。 シス テム プ ロ フ ァ イ ラ 570 | Aventail E-Class SRA 10.7 管理者ガ イ ド Connect Tunnel を 起 動 す る 場 合 は、 ロ グ フ ァ イル /var/log/AvConnect.log と /var/log/AvConnectUI.log にデバ ッ グ情報が収集 さ れ る よ う に設定 さ れて い る こ と を 確認 し ま す。 デバ ッ グ モー ド を 有効にす る には、 E-Class SRA Connect ク ラ イ ア ン ト でデバ ッ グ モー ド を 有効にす るか、 コ マ ン ド プ ロ ン プ ト に移動 し て次のよ う に入力 し ます。 /Applications/E-Class SRA Connect.app/Contents/MacOS/startct.sh -d Linux のシステム と アプ リ ケーシ ョ ンの情報 問題を再現す る前に、 デバ ッ グ ロ グ を有効に し 、 現在のロ グ を消去す る よ う に、 ユーザーに依 頼 し ます。 問題が再現 さ れた ら 、 ロ グ を Dell SonicWALL サポー ト に エ ク スポー ト し ます。 [General] タ ブの [Enable Debug Logging] チ ェ ッ ク ボ ッ ク ス、 [Clear Logs] ボ タ ン、 お よ び [Export Logs] ボ タ ン を使用 し て、 こ れ ら の機能を実行 し ま す。 AMC の ト ラ ブルシ ュ ーテ ィ ング ツール ア プ ラ イ ア ン ス でのセ ッ シ ョ ンの監視、 ト ラ ブルシ ュ ーテ ィ ン グ、 終了 を実行で き ます。 ま た、 ユーザー名、 レ ルム ( 認証サーバー )、 コ ミ ュ ニ テ ィ 、 ア ク セ ス エー ジ ェ ン ト 、 ト ラ フ ィ ッ ク ロ ー ド な ど で セ ッ シ ョ ン を フ ィ ル タ リ ン グ で き る ため、 特定のセ ッ シ ョ ン の要約 を 簡単に取得 で き ます。 ping、 traceroute、 DNS ル ッ ク ア ッ プ な どの基本ネ ッ ト ワー ク ツ ールやネ ッ ト ワー ク ト レ ースの取得や フ ィ ル タ リ ン グ も 、 バ ッ ク エ ン ド 接続の ト ラ ブルシ ュ ー テ ィ ン グに利用で き ます。 ト ラ ブルシ ュ ーテ ィ ング | 571 DNS ル ッ ク ア ッ プの使用 AMC のル ッ ク ア ッ プ ツ ールを使用す る と 、DNS に よ る IP ア ド レ ス ま たはホ ス ト 名の解決方法 を確認で き ます。 こ のツ ールは、 DNS の さ ま ざ ま な問題の ト ラ ブルシ ュ ー テ ィ ン グに利用で き ます ( 例えば、 DNS サーバーが動作中で あ るかど う かを確認で き ま す )。 ル ッ ク ア ッ プ ツ ールでは、 完全修飾 ド メ イ ン名ま たは IP ア ド レ ス を使用 し て、 ホ ス ト を指定 し ます。 た だ し 、 [Configure Name Resolution] ページ (AMC の [Network Settings] ページか ら ア ク セ ス で き ます ) でデ フ ォ ル ト 検索 ド メ イ ン を 1 つ以上定義 し て いれば、 非完全修飾ホ ス ト 名を 入力で き ま す。 名前解決の詳細につい ては、 145 ペー ジの 「名前解決の構成」 を 参照 し て く だ さ い。 DNS に よ る IP ア ド レ ス ま たはホ ス ト 名の解決方法を確認す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Troubleshooting] を ク リ ッ ク し ます。 2. [Lookup] タ ブ を ク リ ッ ク し ます。 3. [Address] ボ ッ ク ス に、コ マ ン ド を発行す る マ シ ンの IP ア ド レ ス ま たはホ ス ト 名を入力 し ま す。 4. [Go] を ク リ ッ ク し ます。 現在のルーテ ィ ング テーブルの表示 現在のルーテ ィ ン グ テーブルを、 AMC で表示で き ま す。 現在のルーテ ィ ン グ テーブルを表示す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Troubleshooting] を ク リ ッ ク し ます。 2. [Routes] タ ブ を ク リ ッ ク し ます。 3. [Go] を ク リ ッ ク し ます。 ルーテ ィ ン グ テ ーブルが表示 さ れます。 572 | Aventail E-Class SRA 10.7 管理者ガ イ ド ネ ッ ト ワー ク ト ラ フ ィ ッ クのキ ャ プチ ャ tcpdump を ベース と す る こ のネ ッ ト ワー ク ト ラ フ ィ ッ ク ユー テ ィ リ テ ィ を使用す る と 、ア プ ラ イ ア ン ス に出入 り す る デー タ のパケ ッ ト 単位の リ ス ト を キ ャ プ チ ャ で き ま す。 ト ラ ブルシ ュ ー テ ィ ン グの経験がな い場合は、 こ のユーテ ィ リ テ ィ で ネ ッ ト ワー ク ト ラ フ ィ ッ ク デー タ の フ ァ イ ルを生成 し 、 テ ク ニ カ ル サポー ト に送信 し て ネ ッ ト ワー ク の問題の ト ラ ブルシ ュ ー テ ィ ン グ を 依頼で き ま す。 ト レ ー ス フ ァ イ ルの ト ラ ブルシ ュ ー テ ィ ン グや解読に精通 し て い る 場合は、 Wireshark な どのネ ッ ト ワー ク プ ロ ト コ ル ア ナ ラ イ ザを使用 し て、 ト ラ フ ィ ッ ク を分析で き ま す。 ア プ ラ イ ア ン スのすべてのネ ッ ト ワー ク ト ラ フ ィ ッ ク を キ ャ プ チ ャ す る と 、 分析が困難に な る ほどの大量のデー タ が フ ァ イ ルに出力 さ れま す。 可能で あれば、 フ ィ ル タ を 使用 し て、 ト ラ ブ ルシ ュ ーテ ィ ン グに使用す る ト ラ フ ィ ッ ク だけに制限 し ます。 次の例では、 ホ ス ト と ポー ト ( こ の例では、 Exchange サーバー と Web ト ラ フ ィ ッ ク ) で フ ィ ル タ リ ン グす る方法を紹介 し ます。 ア プ ラ イ ア ン スの フ ァ イ ルにネ ッ ト ワー ク ト ラ フ ィ ッ ク を フ ィ ル タ リ ン グ し 、 キ ャ プ チ ャ す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Troubleshooting] を ク リ ッ ク し ます。 2. [Network Traffic] タ ブ を ク リ ッ ク し ます。 3. Exchange サーバーが送受信す る ト ラ フ ィ ッ ク だけにキ ャ プ チ ャ を制限す る には、 サーバー の完全修飾名あ る いは IPv4 ま たは IPv6 ア ド レ ス を [These hosts] テキス ト ボ ッ ク ス に入力 し ます。 例えば、 「exchange.mycompany.com」 と 入力 し ます。 ト ラ ブルシ ュ ーテ ィ ング | 573 4. HTTP ト ラ フ ィ ッ ク だけ を キ ャ プ チ ャ す る よ う にす る には、 [Web (HTTP or HTTP/S)] を [Common ports] リ ス ト か ら 選択 し ま す。 こ れ で、 HTTP と HTTPS の ポ ー ト (80、 443、 8080、 お よ び 8443) だけがキ ャ プ チ ャ さ れます。 5. [Start] を ク リ ッ ク し て、 ト ラ フ ィ ッ ク のキ ャ プ チ ャ を開始 し ます。 1 回のキ ャ プ チ ャ のサ イ ズの上限は、 未加工デー タ で 500 MB です。 キ ャ プ チ ャ フ ァ イ ルのサ イ ズが 100 MB に な る と 別 フ ァ イ ルに 「ロ ール オーバ」 し ます ( フ ァ イ ルが大 き い と 、 Wireshark な どのパケ ッ ト 分析ツ ールでの処理が難 し く な り ます )。 1 つのキ ャ プ チ ャ の合計サ イ ズが 500 MB に な る と ( それぞれが 100 MB の 5 つの フ ァ イ ル )、 キ ャ プ チ ャ が自動的に停止 し ます。 キ ャ プ チ ャ の実行中、 [Size] 列は上限に どれ位近づい てい るかを表 し ます。 6. [Stop] を ク リ ッ ク し て、 ト ラ フ ィ ッ ク のキ ャ プ チ ャ を停止 し ます。 キ ャ プ チ ャ フ ァ イ ルは、 ア プ ラ イ ア ン ス に .zip フ ァ イ ル と し て保存 さ れ、 こ こ に表示 さ れます ( 図の [Size] 列では、 ア プ ラ イ ア ン ス で フ ァ イ ルが使用 し て い る大 き さ を表 し ます。こ れは圧縮 さ れた .zip フ ァ イ ルのサ イ ズで あ り 、 未加工デー タ のサ イ ズではあ り ません )。 保存で き る フ ァ イ ルの最大数 は 10 で、 キ ャ プ チ ャ フ ァ イ ルが さ ら に追加 さ れる と 、 最 も 古い フ ァ イ ルが リ ス ト か ら 削除 さ れます。 7. キ ャ プ チ ャ し たデー タ を ダウ ン ロ ー ド す る には、 分析ま たはテ ク ニ カ ル サポー ト に送信す る フ ァ イ ルに対応す る ボ タ ン を ク リ ッ ク し 、[Download] を ク リ ッ ク し ま す。それぞれのキ ャ プ チ ャ フ ァ イ ルは .zip フ ァ イ ル ( 例えば、 eth0.cap) で、 キ ャ プ チ ャ さ れたネ ッ ト ワー ク ト ラ フ ィ ッ ク の概要 と 、使用 さ れた フ ィ ル タ と デー タ がキ ャ プ チ ャ さ れた日時の概要が記述 さ れた readme テ キス ト フ ァ イ ルが含まれます。 Comment:Internal interface, hosts:exchange.mycompany.com, selected ports 574 | Aventail E-Class SRA 10.7 管理者ガ イ ド Internal interface (eth0):enabled External interface (eth1):disabled Protocol:<All> Hosts:exchange.mycompany.com Ports: 80,443, 8080, 8443 Start time:Wed Aug 15 2007 17:56:52 GMT Stop time:Wed Aug 15 2007 17:58:31 GMT キ ャ プ チ ャ さ れた ネ ッ ト ワー ク ト ラ フ ィ ッ ク は暗号化 さ れて お ら ず、 パス ワー ド やその 他の機密情報が含まれて い る可能性があ り ます。ダウ ン ロ ー ド し たキ ャ プ チ ャ の保存やセ キ ュ ア で は な い イ ン タ ー ネ ッ ト 接続経由 で の送信 で セ キ ュ リ テ ィ が心配 で あ る 場合は、 AMC のス ナ ッ プ シ ョ ッ ト ツ ール を 代わ り に使用 し ま す。 ネ ッ ト ワー ク キ ャ プ チ ャ だけ が含まれる部分的な ス ナ ッ プ シ ョ ッ ト を作成 し 、 結果の暗号化を選択で き ます。 詳細につ い ては、 578 ページの 「スナ ッ プ シ ョ ッ ト ツ ール」 を参照 し て く だ さ い。 メモ 高可用性ペ アの片方 ( マ ス タ ノ ー ド ま たはス レ ー ブ ノ ー ド ) のア プ ラ イ ア ン スのネ ッ ト ワー ク ト ラ フ ィ ッ ク を キ ャ プデ ャ で き ます。 ネ ッ ト ワー ク ト ンネル ク ラ イ ア ン ト のロギング ツール ユーザーがいずれかのネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト を 実行 し て い る セ ッ シ ョ ン を キ ャ プ チ ャ す る には、 以下の手順 を 実行 し て結果 を 電子 メ ールで送信す る よ う に、 ユーザーに依頼 し ます。 Windows の手順は、 Macintosh や Linux のユーザーの手順 と は異な り ます。 Windows ク ラ イ ア ン ト コ ン ピ ュ ー タ で ngutil を実行す る には 1. コ マ ン ド プ ロ ン プ ト に移動 し ます。 [ ス タ ー ト ] > [ フ ァ イ ル名を指定 し て実行 ] を ク リ ッ ク し 、 [ 名前 ] ボ ッ ク ス に 「cmd」 と 入力 し ます。 Windows Vista を使用 し て い る場合は、 [ ス タ ー ト ] を ク リ ッ ク し 、 [ 検索の開始 ] ボ ッ ク スに 「cmd」 と 入力 し ま す。 2. コ マ ン ド プ ロ ン プ ト で、 次の コ マ ン ド を入力 し て、 イ ベ ン ト ロ グ を消去 し 、 重大度レ ベル を設定 し ます。 ngutil -reset -severity=debug 3. ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト を起動 し 、 シ ス テム管理者がロ グにキ ャ プ チ ャ を し た い ア ク シ ョ ン を実行 し ます。 4. コ マ ン ド プ ロ ン プ ト に 「ngutil > log.txt」 と 入力 し て、 バ ッ フ ァ さ れた ロ グ メ ッ セー ジ を現在のデ ィ レ ク ト リ の log.txt と い う 名前の フ ァ イ ルに書 き 込みます。 5. log.txt フ ァ イ ルを管理者に送信 し ま す。 6. ま たは、 ngutil -poll を実行す る と 、 ク ラ イ ア ン ト コ ン ピ ュ ー タ の リ アル タ イ ムのロ グ を参照で き ます (Ctrl-C を押 し て ロ グ を停止 し ます )。 「ngutil -tail=1000>client-log.txt」 コ マ ン ド を入力す る よ う にユーザーに依頼 す る こ と も で き ま す。 こ の コ マ ン ド を 実行す る と 、 ク ラ イ ア ン ト ロ グの最新の 1000 行 が client-log.txt と い う 名前の フ ァ イ ルに プ レ ー ン テ キス ト で送信 さ れます。 メモ ngutil コ マ ン ド の構文の詳細を参照す る には、 コ マ ン ド プ ロ ン プ ト に 「ngutil -help」 と 入力 し ます。 ク ラ イ ア ン ト コ ン ピ ュ ー タ に セ ッ シ ョ ン情報を保存す る には (Macintosh ま たは Linux) 1. ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト を起動 し 、 シ ス テム管理者がロ グにキ ャ プ チ ャ を し た い ア ク シ ョ ン を実行 し ます。 ト ラ ブルシ ュ ーテ ィ ング | 575 2. ク ラ イ ア ン ト デバ イ ス で、 AvConnect.log と AvConnectUI.log と い う フ ァ イ ルを探 し て、 管理 者に送信 し ます。 CEM 拡張機能の使用 Dell SonicWALL テ ク ニ カ ル サ ポ ー ト か ら 、 Aventail E-Class SRA CEM (Configuration Extension Mechanism) の高度な URL 拡張機能 を使用す る よ う 依頼 さ れる こ と があ り ます。 こ れ ら の CEM 拡張機能は、 高度な AMC ページへのア ク セ スに使用す る も のです。 テ ク ニ カ ル サポー ト か ら 指示 さ れた場合のみ使用 し て く だ さ い。 詳細につい ては、 以下のナ レ ッ ジ ベース の記事 10061 を参照 し て く だ さ い。 http://www.sonicwall.com/us/en/support/2213.html CEM の高度な機能 CEM (Configuration Extension Mechanism) は、 メ ン テ ナ ン ス リ リ ースやホ ッ ト フ ィ ッ ク ス で 登場す る機能を シ ン プルな構成で使用で き る よ う にす る ための汎用的な メ カ ニズムです。 CEM ペー ジ では、 任意のキー値ペ ア を 構成 し て、 高度な機能 を 有効に で き ま す。 こ れ ら のキー値ペ アは、 パ ッ チが生成 さ れた それぞれのサー ビ ス に よ っ て、 拡張機能の構成 フ ァ イ ルか ら 読み取 ら れます ( カ ス タ ム ド ロ ッ プ、 ホ ッ ト フ ィ ッ ク ス、 ま たは メ ン テ ナ ン ス リ リ ース )。 高度な機能は、 Dell SonicWALL サポー ト の指示に従 っ て使用 し て く だ さ い。 追加の指示につい ては、 以下に記載 さ れて い る Dell SonicWALL サポー ト にお問い合わせ く だ さ い。 サポー ト のお問い合わせ先ページ - http://www.sonicwall.com/us/support/contact.html Dell SonicWALL のお問い合わせ先ページ - http://www.sonicwall.com/us/company/286.html ping コ マ ン ド ping コ マ ン ド を使用 し て、 ネ ッ ト ワー ク 接続を検証 し ます。 ping コ マ ン ド を実行す る と 、 ICMP ECHO_REQUEST パケ ッ ト が タ ーゲ ッ ト ホ ス ト に送信 さ れ、 ホ ス ト か ら 応答を待機 し ます。 ping コ マ ン ド を実行す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Troubleshooting] を ク リ ッ ク し ます。 2. [Ping] ページの [Address] ボ ッ ク ス に、 ping の宛先で あ る マ シ ンの IPv4 ま たは IPv6 のア ド レ ス ま たはホ ス ト 名を入力 し ます。 576 | Aventail E-Class SRA 10.7 管理者ガ イ ド 3. [Go] を ク リ ッ ク し ま す。 AMC が ping コ マ ン ド を実行 し ます。 約 5 秒後に、 ページの一番 下の大 き いボ ッ ク ス に結果が表示 さ れます。ping コ マ ン ド がホ ス ト に到達で き な い場合、次 のよ う な結果が表示 さ れます。 traceroute コ マ ン ド traceroute コ マ ン ド を使用 し て、 IP パケ ッ ト が宛先に到着す る ま で に通過す る ゲー ト ウ ェ イ を 表示 し ます。 こ の情報は、 ネ ッ ト ワー ク の障害ポ イ ン ト の特定に役立ち ます。 traceroute を実行す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Troubleshooting] を ク リ ッ ク し ます。 2. [Ping] ページの [Address] ボ ッ ク ス に、 traceroute コ マ ン ド を発行す る マ シ ンの IP ア ド レ ス ま たはホ ス ト 名を入力 し ます。 3. [Use traceroute] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 ト ラ ブルシ ュ ーテ ィ ング | 577 4. [Go] を ク リ ッ ク し ます。 traceroute か ら 、 最初のゲー ト ウ ェ イ が始ま っ て宛先で終了す る ホ ス ト の リ ス ト が返 さ れます。 スナ ッ プシ ョ ッ ト ツール 構成の 「ス ナ ッ プ シ ョ ッ ト 」 は、 ア プ ラ イ ア ン ス で発生 し た問題につい て Dell SonicWALL テ ク ニ カ ル サポー ト やその他の IT 専門家に診断を依頼す る際に役立ち ます。 こ の フ ァ イ ルは、 コ ア ダ ン プ フ ァ イ ルが含まれる場合は特に、 と て も 大 き く な る こ と があ り ます ( 最後のス テ ッ プ の [File Download] ダ イ ア ロ グ ボ ッ ク ス で大 き さ を確認で き ます )。 構成のス ナ ッ プ シ ョ ッ ト を保存す る には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら 、 [Troubleshooting] を ク リ ッ ク し ます。 578 | Aventail E-Class SRA 10.7 管理者ガ イ ド 2. [Snapshot] タ ブ を ク リ ッ ク し ま す。 3. フ ル スナ ッ プ シ ョ ッ ト ま たは部分ス ナ ッ プ シ ョ ッ ト を選択 し ます。 4. すべてのシ ス テム ロ グ ま たは最新の 4 つのシ ス テム ロ グだけのど ち ら を保存す るかを指定 し ます。 5. [Save snapshot] を ク リ ッ ク し ます。 「snapshot.tgz」 と い う 名前の zip アー カ イ ブ に フ ァ イ ル が保存 さ れます。 6. Dell SonicWALL テ ク ニ カ ル サポー ト に送信す る予定があ る場合は、機密情報を保護す る た めに、 [Encrypt file] を 選択 し て く だ さ い。 テ ク ニ カ ル サポー ト が フ ァ イ ル を 復号で き る よ う にす る ために、 こ のア ー カ イ ブ に割 り 当て たパス ワー ド を 通知す る 必要があ り ま す。 必 ず、 社内のセキ ュ リ テ ィ 要件を満足す る方法 ( 例えば、 電話やセキ ュ ア な電子 メ ールな ど ) で送信 し て く だ さ い。 7. [Download] リ ン ク を ク リ ッ ク し て、 圧縮 フ ァ イ ルを ロ ー カ ルに保存 し ます。 ト ラ ブルシ ュ ーテ ィ ング | 579 580 | Aventail E-Class SRA 10.7 管理者ガ イ ド 付録 C アプ ラ イ ア ン ス保護のための ベス ト プ ラ ク テ ィ ス こ のセ ク シ ョ ン では、E-Class SRA SSL VPN ア プ ラ イ ア ン スのセキ ュ リ テ ィ を最大限に高め る ための ヒ ン ト を紹介 し ます。 ネ ッ ト ワー ク構成 次のベ ス ト プ ラ ク テ ィ ス リ ス ト におけ る設定のほ と んどは、AMC の [Network Settings] ページ お よ び [Services] ページ で構成で き ます。 デ ュ アル イ ン タ ー フ ェ ース を使用す る よ う に ア プ ラ イ ア ン ス を構成す る ア プ ラ イ ア ン ス では、 外部 イ ン タ ー フ ェ ース と 内部 イ ン タ ー フ ェ ースの両方が構成 さ れて い る 場合、 最適な フ ァ イ ア ウ ォ ール設定が可能に な り ま す。 サー ビ スは両方の イ ン タ ー フ ェ ー ス に 分割 さ れる ため、 AMC な どの管理サー ビ スはサー ビ ス を内部でのみ リ ッ ス ン し 、 E-Class SRA ア ク セ ス サー ビ ス な どのパブ リ ッ ク サー ビ スは、 外部でのみ リ ッ ス ン し ま す。 デ ュ アル ネ ッ ト ワー ク ゲー ト ウ ェ イ を使用す る よ う に ア プ ラ イ ア ン ス を構成す る デ ュ アル ネ ッ ト ワー ク ゲー ト ウ ェ イ を 使用す る と 、 既存のネ ッ ト ワー ク ルー タ を 利用で き ま す。 そのため、 ア プ ラ イ ア ン スの管理者の負担が減 り 、 ネ ッ ト ワー ク が拡大、 発展 し て も 、 ネ ッ ト ワー ク 構成の管理が容易に な り ます。 両方のア プ ラ イ ア ン ス イ ン タ ー フ ェ ース を フ ァ イ ア ウ ォ ールで保護す る • • • イ ン タ ーネ ッ ト か ら の ト ラ フ ィ ッ ク は、 ポー ト 80 と ポー ト 443 でのみ許可 し ま す。 ア プ ラ イ ア ン スは、顧客ネ ッ ト ワー ク 上の必要な リ ソ ース にのみア ク セ ス で き る よ う に し ま す。 顧客ネ ッ ト ワー ク か ら は、 信頼で き る IP ア ド レ スのみが AMC に ア ク セ ス で き る よ う に し ます。 SSH サー ビ ス では、 厳格な IP ア ド レ ス制約を実施す る 両方のネ ッ ト ワー ク イ ン タ ー フ ェ ー スが有効な場合、 Secure Shell (SSH) は両方の イ ン タ ー フ ェ ース で リ ッ ス ン し ます。 SSH サー ビ スのア ク セ スは、 信頼で き る管理ワー ク ス テーシ ョ ン の IP ア ド レ ス に制限す るか、 少な く と も 内部ネ ッ ト ワー ク のア ド レ ス範囲に制限 し ます。 ア プ ラ イ ア ン ス保護のためのベス ト プ ラ ク テ ィ ス | 581 SNMP サー ビ ス では、 厳格な IP ア ド レ ス制約 を実施す る 両方のネ ッ ト ワー ク イ ン タ ー フ ェ ースが有効な場合、 Network Management Protocol (SNMP) は両方の イ ン タ ー フ ェ ース で リ ッ ス ン し ま す。 SNMP サー ビ スのア ク セ スは、 信頼で き る管理 ワー ク ス テ ーシ ョ ンの IP ア ド レ ス に制限す るか、 少な く と も 内部ネ ッ ト ワー ク のア ド レ ス範囲 に制限 し ます。 SNMP コ ミ ュ ニ テ ィ 文字列には、 安全なパス フ レ ーズ を使用す る AMC の SNMP 構成では、 ネ ッ ト ワー ク 管理ツ ールが E-Class SRA ア プ ラ イ ア ン ス に照会す る ために使用す る文字列を、 [Community string] ボ ッ ク ス で設定 し ます。 こ の値は、 デ フ ォ ル ト で 「public」 に設定 さ れて い ま す。 こ の文字列は、 必ず安全なパス フ レ ーズに変更す る よ う に し て く だ さ い。 ICMP ト ラ フ ィ ッ ク は無効にす るか禁止す る 両 方 の ネ ッ ト ワ ー ク イ ン タ ー フ ェ ー ス が 有 効 な 場 合、 Internet Control Message Protocol (ICMP) を有効にす る と 、 他ユーザーが イ ン タ ーネ ッ ト か ら ア プ ラ イ ア ン ス を検出で き る よ う に な り ます。 最 も 安全性の高い ア プ ロ ーチは、 ICMP を無効にす る こ と です。 ICMP を有効にす る 場合は、 フ ァ イ ア ウ ォ ールやその他のネ ッ ト ワー ク デバ イ ス を 使用 し て ICMP Echo Request ト ラ フ ィ ッ ク を禁止す る必要があ り ます。 NTP サーバー を使用す る ク ロ ッ ク を外部 Network Time Protocol (NTP) サーバーに合わせ、 シ ス テム ロ グに正確な タ イ ムス タ ン プが記録 さ れる よ う に し ます。 ま た、 タ イ ムベースのセキ ュ リ テ ィ チ ェ ッ ク サム ( パ ス ワー ド や証明書の有効期限な ど ) が正常に動作す る よ う に し て お き ます。 ア プ ラ イ ア ン スが使用す る こ と に な っ てい るサーバー証明書を保護す る ア プ ラ イ ア ン スのサーバー証明書を、他ユーザーがア ク セ ス で き る場所に残 さ な い よ う に し 、必 ず強固なパス ワー ド を 使用 し て鍵が暗号化 さ れ る よ う に し ま す。 攻撃者が こ の証明書 を 入手 し て し ま う と 、 どのホ ス ト の も ので あ る か把握 さ れて し ま い、 機密デー タ も 解読 さ れて し ま い ま す。 ア プ ラ イ ア ン スの構成 次のベ ス ト プ ラ ク テ ィ ス リ ス ト におけ る設定のほ と んどは、AMC の [Maintenance] ページ で構 成で き ます。 ア プ ラ イ ア ン スの ソ フ ト ウ ェ ア イ メ ージ を最新の状態にす る ホ ッ ト フ ィ ッ ク スやア ッ プ グ レ ー ド フ ァ イ ルには、 セキ ュ リ テ ィ 関連の修正 フ ァ イ ルが含まれ てい る こ と が多いため、 [Update] ページ を使用 し て速やかに適用す る よ う に し ます。 定期的に構成をバ ッ ク ア ッ プす る AMC で次のいずれかの方法を使用 し て、 現在の構成を定期的にバ ッ ク ア ッ プ し ます。 • • [Import/Export] ページの [Export] オ プ シ ョ ン。 詳細については、 304 ページの 「ロ ー カ ル マ シ ンへの現在の構成のエ ク スポー ト 」 を参照 し て く だ さ い。 必要で あればバ ッ ク ア ッ プ を ア プ ラ イ ア ン ス に保存で き ます。 詳細につい ては、 305 ページ の 「現在の構成のア プ ラ イ ア ン スへの保存」 を参照 し て く だ さ い。 582 | Aventail E-Class SRA 10.7 管理者ガ イ ド アプ ラ イアンス セ ッ シ ョ ン AMC セ ッ シ ョ ンは、 使用 し な い状態で 15 分経過す る と 自動的に タ イ ムア ウ ト し ます ( タ イ ム ア ウ ト ま での時間は変更で き ません )。 AMC セ ッ シ ョ ン を終了 さ せる と き は、 AMC の右上隅に あ る [Log out] を ク リ ッ ク し ます (Web ブ ラ ウザを閉 じ て セ ッ シ ョ ン を終了 し た場合、 そのセ ッ シ ョ ンは、 15 分後に タ イ ムア ウ ト す る ま での間ロ グ イ ン し た状態で リ ス ト に表示 さ れます )。 た だ し 、 次のページ については、 ど ち ら も [Auto-refresh] が設定 さ れてい る ため、 こ れが当ては ま り ません。 AMC ページ デ フ ォ ル ト [Auto-refresh] 設 定 System Status 1分 Logging > View Logs 1分 [Auto-refresh] が 「Off」 以外の時間間隔に設定 さ れて い る場合、 いずれかのページが表示 さ れ てい る と き に更新動作が持続的に行われる ため、 15 分経過 し て も AMC セ ッ シ ョ ンが自動的に タ イ ムア ウ ト し な く な り ます。 こ れは、 オー ト リ フ レ ッ シ ュ モー ド を有効に し た状態で、 こ れ ら AMC のいずれかのページ を表示 さ せた ま ま席を外す と 、 AMC が タ イ ムア ウ ト し な く な る と い う こ と を表 し て い ます。 セキ ュ リ テ ィ を向上 さ せる ために、 シ ス テム ス テー タ スやロ グ を表 示 し 終わ っ た ら 、 AMC の他のページ に必ず移る よ う にす る こ と を推奨 し てい ます。 管理者ア カ ウン ト 管 理 者 ア カ ウ ン ト を 構 成 す る 場 合、 AMC の メ イ ン ナ ビ ゲ ー シ ョ ン メ ニ ュ ー で [General Settings] を ク リ ッ ク し て、 [Administrators] エ リ アの [Edit] を ク リ ッ ク し ます。 強固なパス ワー ド を使用す る パス ワー ド は、 8 文字以上に し 、 句読文字、 大文字 と 小文字、 数字な ど を 組み合わせ る よ う に し ます。 AMC 管理者パス ワー ド を変更す る AMC 管理者パス ワー ド は、初期 イ ン ス ト ールの際、root のパス ワー ド と 同 じ 値に設定 さ れます。 AMC 管理者パス ワー ド は、 Web ブ ラ ウザ と AMC サーバー と の間の SSL ト ン ネルで送信 さ れ る ため、 変更す る こ と を推奨 し て い ます。 プ ラ イ マ リ 管理者 ( ユーザー名が 「admin」 ) のパス ワー ド が変更 さ れる と 、 ア プ ラ イ ア ン ス に ( 「root」 と し て ) 直接ロ グ イ ン す る ためのパス ワー ド も 変更 さ れます。 管理者パス ワー ド は頻繁に変更 し 、 他人 と 共有 し な い よ う にす る 特に必要で な い限 り 、 管理者パス ワー ド を 他人 と 共有 し な い よ う に し ま す。 他の管理者に ア ク セ ス を 許可す る 必要があ る 場合は、 個別の管理ア カ ウ ン ト を 作成 し ま す。 1 人のユーザーが管 理者ア カ ウ ン ト を 持つ よ う に し 、 パス ワー ド はエ ス ク ロ ー と し て預け る か、 安全な場所に保管 し てお き ます。 管理ア カ ウ ン ト の数を制限 し 、 管理権限は、 信頼で き る個人にのみ割 り 当て る セ カ ン ダ リ 管理者のア ク セ ス を制限 し ます。 役割ベースの管理に よ り 、 プ ラ イ マ リ 管理者は、 セ カ ン ダ リ AMC 管理者に対 し て、 一定の制約付 き で管理制御権限を付与で き ます。 詳細について は、 120 ページの 「管理者の役割の定義」 を参照 し て く だ さ い。 ア プ ラ イ ア ン ス保護のためのベス ト プ ラ ク テ ィ ス | 583 ア ク セス ポ リ シー ア ク セ ス ルールを作成、 編集、 順序変更す る と き は、 AMC の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ー で [Access Control] を ク リ ッ ク し ま す。 ルール を 作成す る と き は、 次のガ イ ド ラ イ ン を 使用 し ます。 「最小限の権限」 の原則に従 う ポ リ シ ー設計におけ る 最 も 安全な ア プ ロ ーチは、 ア ク セ ス を 許可 し たい リ ソ ース を 個別に リ ス ト す る と い う も のです。 「許可」 ルールで指定 さ れて いな い も のはすべて ア プ ラ イ ア ン ス で拒否 さ れます。 こ のア プ ロ ーチは、 「ア ク セ ス権は、 ユーザーにデ フ ォ ル ト で与え るのではな く 、 明 示的に与え なければな ら な い」 と い う 、 コ ン ピ ュ ー タ セキ ュ リ テ ィ の基本設計原理に基づ く も のです。 も う 1 つのア プ ロ ーチは、 制限 さ れて い る リ ソ ース に対 し て 「拒否」 ルール を作成 し 、 それ以 外のすべての リ ソ ー ス にはデ フ ォ ル ト で ア ク セ ス を 許可す る と い う も ので す。 こ の場合、 最終 的に 「拒否」 ルールが処理 さ れる ま で、 「拒否」 ルールで指定 さ れて いな い も のはすべて ア ク セ ス可能に な り ま す。 こ の方法の場合セ ッ ト ア ッ プは簡単で すが、 間違いが生 じ やすい ためあ ま り 安全 と は言え ません。 も ち ろ ん、 許可ルール と 拒否ルール を 組み合わせて使用す る こ と も で き ま す。 その場合、 ユー ザーに対 し て、 一部の リ ソ ー ス に対す る ア ク セ ス許可 を 与え ま すが、 他の リ ソ ース につい ては ア ク セ ス を拒否 し ます。 ルールの順序には特に注意を払 う ア プ ラ イ ア ン スは、 ア ク セ ス制御ルール を 順番に処理す る ため、 ア ク セ ス を 許可す る か拒否す る か と い う 点でルールの順序が非常に重要に な り ま す。 ア プ ラ イ ア ン スは、 一致す る も のが見 つかればその時点でルールの読み込みをやめます。 セキ ュ リ テ ィ ポ リ シーの設定を慎重に検討 し 、 ルールを誤 っ た順序で指定 し な い よ う 気を付けて く だ さ い。 最 も 範囲が狭いルールを リ ス ト の最初に配置す る リ ス ト の最初に権限 を 付与す る 範囲の広いルール を 配置す る と 、 ア プ ラ イ ア ン スは、 範囲が狭 いルールを処理す る前に一致を見つけて し ま う 可能性があ り ます。一般に、最 も 範囲が狭いルー ルを リ ス ト の最初に配置す るのがベス ト です。 「any」 を含むルールは慎重に監査す る ア ク セ ス を 特定のユーザーや特定の リ ソ ース に制限 し な いルール を作成す る 場合、 「any」 と い う 言葉がア ク セ ス制御 リ ス ト で使用 さ れます。 「any」 がポ リ シー ルールで持つ意味について慎重に検討 し ます。 「許可」 ルールの場合、 「any」 に適用 さ れる基準が多すぎ る と 、 セキ ュ リ テ ィ ホールを さ ら す こ と に も な り かねません。 一方、 「any」 で 「拒否」 ルールが多すぎ る場合は、 ネ ッ ト ワー ク ア ク セ ス を不必要に制限 し て し ま う 可能性があ り ます。 信頼ゾーンの設定 ユーザーのエ ン ド ポ イ ン ト で信頼のレ ベルに応 じ て異な る ア ク セ ス レ ベルを割 り 当て る 「信頼 ゾー ン」 を定義で き ます。 接続要求が、 AMC で設定 さ れたデバ イ ス プ ロ フ ァ イ ル と 比較 さ れ、 適切な ゾー ン に割 り 当て ら れます。 詳細については、 339 ページの 「概要 : End Point Control」 を参照 し て く だ さ い。 584 | Aventail E-Class SRA 10.7 管理者ガ イ ド 拒否ゾー ンの設定 拒否ゾー ンは最初に評価 さ れます。 デバ イ ス プ ロ フ ァ イ ル と の一致があ る場合 ( デバ イ ス で特 定の フ ァ イ ルや レ ジ ス ト リ キーが見つか っ た場合な ど )、 ユーザーはア ク セ ス を 拒否 さ れ、 ロ グ ア ウ ト し ます。 詳細については、 351 ページの 「拒否ゾ ー ンの作成」 を参照 し て く だ さ い。 隔離ゾー ンの設定 プ ロ フ ァ イ ル と の一致がな いデバ イ スは、 隔離ゾー ン に入れ ら れます ( 定義 さ れてい る場合 )。 ユーザーに提示 さ れ る メ ッ セー ジ を カ ス タ マ イ ズ で き ま す。 例えば、 そのユーザーが隔離 さ れ る理由や、 ユーザーのシ ス テム を セキ ュ リ テ ィ ポ リ シーに準拠 さ せる上で何が必要かを示す こ と がで き ます。 詳細については、 353 ページの 「隔離ゾ ー ンの作成」 を参照 し て く だ さ い。 SSL Ciphers 暗号化 ト ラ フ ィ ッ ク のプ ロ ト コ ルや圧縮設定を構成す る際には、最低で も 1 つの Cipher を選択 す る必要があ り ます。 ア プ ラ イ ア ン ス では、 ユーザーの Web ブ ラ ウザでサポー ト さ れて い る も のの う ち、 セキ ュ リ テ ィ と パ フ ォ ー マ ン スのバ ラ ン スが最 も 優れたサ イ フ ァ の組み合わせ を 使 用 し ます。セキ ュ リ テ ィ のレ ベルを最大にす る ため、弱い Cipher を無効にす る こ と がで き ます。 ク ラ イ ア ン ト ア ク セス WorkPlace お よ び リ ソ ースへのユーザー ア ク セ ス を制御す る には、 以下の機能を使用 し ます。 タ イ ムア ウ ト 設定を変更す る 一定時間内に再認証す る よ う ユーザーに求める には、 [Credential lifetime] を設定 し ます。 AMC の メ イ ン ナ ビゲーシ ョ ン メ ニ ュ ーで [General Settings] を ク リ ッ ク し 、 [Appliance options] エ リ ア で [Edit] を ク リ ッ ク し ま す。 こ の設定は、 すべ て の SSL セ ッ シ ョ ン に適用 さ れ ま す。 ト ン ネル ク ラ イ ア ン ト お よ び OnDemand プ ロキシのセ ッ シ ョ ンに も 適用 さ せるには、[Network Tunnel Client Settings] ページで [Limit session length to credential lifetime] を選択 し ます。 End Point Control コ ン ポーネ ン ト を展開す る E-Class SRA の End Point Control コ ン ポーネ ン ト を使用す る と 、 機密デー タ が保護 さ れ、 信頼 さ れて い な い環境の PC か ら のア ク セ ス を 受け て も ネ ッ ト ワー ク が危険に さ ら さ れ る こ と がな く な り ます。ま た、OPSWAT Secure Virtual Desktop (Advanced EPC の一部 ) と Cache Cleaner の両方に非ア ク テ ィ ブ タ イ マーが搭載 さ れて お り 、 一定時間 カ ー ソ ルやポ イ ン タ が動かず非ア ク テ ィ ブ な状態が続 く と 、 そのユーザー接続が停止 し ます。 EPC はユーザー認証を補足す る も のあ り 、 ユーザー認証の代わ り に使用 さ れる こ と はあ り ません。 連鎖式認証を使用す る セ キ ュ リ テ ィ を 向上 さ せ る ため、 Connect Tunnel ユーザーお よ び Web ベー ス ア ク セ ス す る ユーザーに対 し て、 単一の レ ルムに ロ グ イ ン す る際に 2 種類の認証方式 を使用す る よ う 求め る こ と がで き ます。例えば、RADIUS ま たはデジ タ ル証明書を最初の認証方法 と し て設定 し 、LDAP ま たは Active Directory を 2 番目の認証方法 と し て設定で き ま す。 設定方法につい ては、 207 ページの 「連鎖式認証の構成」 を参照 し て く だ さ い。 ア プ ラ イ ア ン ス保護のためのベス ト プ ラ ク テ ィ ス | 585 SecurID のよ う な、 強力な二要素認証方式を使用す る 二要素認証では、 ユーザーの身元や権限を確立す る ために 2 種類の独立 し た手段 ( 通常はユー ザーが持 っ て い る も の と ユーザーが知 っ て い る も の ) を使用 し ま す。 例えば、 SecurID ト ー ク ン コ ー ド ( ユーザーが持 っ てい る も の ) と パス ワー ド ま たは PIN ( ユーザーが知 っ てい る も の ) を要求す る こ と に よ っ て認証を行 う こ と がで き ます。 586 | Aventail E-Class SRA 10.7 管理者ガ イ ド 付録 D ログ フ ァ イルの出力フ ォ ーマ ッ ト E-Class SRA ア プ ラ イ ア ン ス では、 シ ス テム イ ベ ン ト お よ びユーザー イ ベ ン ト を 一連のロ グ フ ァ イ ルに記録 し ま す。 ロ グ フ ァ イ ルは、 AMC を使用 し て参照で き ま す。 ま た、 外部 syslog サーバーに メ ッ セージ を送信 し て参照す る こ と も で き ます ( こ のプ ロ セ ス につい ては、270 ペー ジの 「シ ス テム ロ ギ ン グお よ びモ ニ タ リ ン グ」 を参照 し て く だ さ い )。 こ のセ ク シ ョ ン では、 ア プ ラ イ ア ン スの コ マ ン ド ラ イ ン イ ン タ ー フ ェ ース を使用 し て、 ロ グ フ ァ イ ルを手動で参照す る 方法、 お よ びそれを解釈す る方法について説明 し ます。 フ ァ イルの場所 次の表は、 ア プ ラ イ ア ン ス内での ロ グ フ ァ イ ル名の リ ス ト を 示 し て い ま す。 最初の段階では、 ロ ー カ ル (/var/log/E-Class SRA/) に保管 さ れます。 E-Class SRA サービ ス フ ァ イ ル形 式 フ ァ イ ル名 シ ス テム メ ッ セージ syslog access_servers.log SOCKS5LF extranet_access.log W3C CLF extraweb_access.log Web プ ロ キ シ サー ビ ス、 ネ ッ ト ワ ー ク ト ン ネ ル サービ ス、ポ リ シー サーバーに対する メ ッ セージ ロ グが記録 さ れます。 未登録デバ イ スの メ ッ セージ も こ のログに記録 さ れます。 588 ページの 「シ ス テム メ ッ セージ ロ グ」 を参照 し て く だ さ い。 ネ ッ ト ワー ク ト ン ネル サー ビ ス 接続活動についての情報、 ネ ッ ト ワー ク にア ク セ ス し たユーザーの リ ス ト 、ネ ッ ト ワー ク ト ン ネル サー ビ スで転送 さ れたデー タ の量が記録 さ れます。 594 ページの 「ネ ッ ト ワー ク ト ン ネル監査ロ グ」 を 参照 し て く だ さ い。 Web プ ロ キシ サー ビ ス 598 ページの 「Web プ ロ キシ監査ロ グ」 を参照 し て く だ さ い。 ロ グ フ ァ イ ルの出力 フ ォ ーマ ッ ト | 587 E-Class SRA サービ ス フ ァ イ ル形 式 Aventail 管理 コ ン ソ ール (AMC) syslog policy_audit.log management.log syslog <user-name >@<realm >.l og syslog workplace.log wp_init.log テキス ト upgrade.log syslog migrate_<n.n.n>.log 600 ページの 「管理 コ ン ソ ールの監査ロ グ」 を参照 し て く だ さ い。 ク ラ イ ア ン ト イ ン ス ト ール 280 ペ ー ジ の 「 ク ラ イ ア ン ト イ ン ス ト ー ル ロ グ (Windows)」 を参照 し て く だ さ い。 Aventail WorkPlace 600 ページの 「WorkPlace ロ グ」 を参照 し て く だ さ い。 ア ッ プグレー ド ログ フ ァ イ ル名 ア プ ラ イ ア ン スに加えたア ッ プ グ レ ー ド がすべて記 録 さ れます。 移行ロ グ バー ジ ョ ン <n.n.n> か ら の移行時に記録 さ れ る ロ グ メ ッ セージ であ り 、 /var/log/ に保管 さ れます。 ロ グ フ ァ イ ルのス ト レ ージ要件を最小限に抑え る ために、フ ァ イ ルがロ ー テーシ ョ ン さ れます。 ロ グ ロ ーテ ーシ ョ ンの手順は、 指定 し た頻度に よ っ て変動 し ます。 頻度 手順 15 分お き • • • • • 毎日 • すべてのログ フ ァ イルが強制的にローテーシ ョ ン さ れます。 • 7 日を経過 し た ログ フ ァ イルはすべて削除 さ れます。 750MB 以上のログ フ ァ イルがローテーシ ョ ン さ れます。 syslog ログ フ ァ イルが強制的にローテーシ ョ ン さ れます。 ローテーシ ョ ン さ れる フ ァ イルは圧縮が有効にな り ます。 圧縮率は、 実際のフ ァ イル サイ ズの 0.10 % に設定 さ れます。 各フ ァ イルは、 ローテーシ ョ ン後に圧縮 さ れます。 1 日以上前のロ グ フ ァ イ ルは、 非圧縮形式で保管 さ れます。 ロ グ フ ァ イ ル名には、 1 か ら 7 ま での数値が割 り 振 ら れた接尾辞が付け ら れます。 こ う す る と 、 ロ グ ロ ー テーシ ョ ンが毎日発生 し た場合、 「7」 の接尾辞が付 く ロ グ フ ァ イ ルは一週間経過 し た こ と に な り ます。 例 : • • extraweb_access.log が、 Web プ ロ キシ サー ビ スの現在のロ グ フ ァ イ ルです。 extraweb_access.log1 か ら extraweb_access.log.7 が、 それ以前のロ ー テーシ ョ ンのロ グ に な り ます。 システム メ ッ セージ ログ シ ス テ ム メ ッ セ ー ジ ロ グ (/var/log/E-Class SRA/access_servers.log) は、 syslog 形式 (RFC 3164 を参照 ) で生成 さ れ、 Web プ ロ キシ サー ビ ス、 ネ ッ ト ワー ク ト ン ネル サー ビ ス、 ポ リ シー サーバー ( 他のサー ビ スのポ リ シー を制御す る内部サー ビ ス ) の メ ッ セージ ロ グ を含んで い ます。 ま た、 すべてのア ク セ ス制御決定に関す る詳細な メ ッ セージ も 記述 さ れます。 つ ま り 、 ユーザーの要求がポ リ シー ルール と 合致す る と 、 その と き に実行 さ れた動作 を示す ロ グ フ ァ イ ル エ ン ト リ が記録 さ れます。 次に メ ッ セージ ロ グ エ ン ト リ の例を示 し ま す。 その後、 各要素について説明 し てい ま す。 588 | Aventail E-Class SRA 10.7 管理者ガ イ ド [08/Nov/2009:07:16:24.312477 +0000] E-Class SRASSLVPN 002764 up 00000001 Info System CFG Pool Init STATIC/NAT id=1 name='HQ-pool2' gid='AV1160554493976A' ndns=2 nwins=2 nsuffix=0 フ ィ ール ド 説明 [08/Nov/2009:07:16:24.312477 +0000] 正確な タ イ ムス タ ン プ こ の タ イ ムス タ ン プは、 サー ビ ス (Web プ ロ キシ、 ネ ッ ト ワー ク ト ン ネル、 ネ ッ ト ワー ク プ ロキシ、ポ リ シー ) によ っ て メ ッ セージが生成 さ れた日時を示 し ていま す。 こ の タ イ ムス タ ン プは syslog で生成 さ れる ものよ り 正確にな り ます。 こ れは、 ロギング シ ス テムが メ ッ セージ を syslog に送信する と き、 あ ら か じ めバ ッ フ ァ リ ングする ためです。 E-Class SRASSLVPN ア プ ラ イ ア ン ス名 こ の名前は、 AMC の ([Configure Basic Network Settings] ペ ー ジ の ) [Network Settings] ページ で変更で き ます。 002764 プ ロ セス ID (PID) 動作 し ているすべてのア プ ラ イ ア ン スには、プ ロ セス ID (PID) が割 り 当て ら れてい ます。 この PID は、 ログ エ ン ト リ を生成 し たア プ リ ケーシ ョ ン を識別 し ます。 up ア プ リ ケーシ ョ ン ID メ ッ セージ を生成 し たサーバー プ ロ セス を識別 し ます。 次の ID があ り ます。 • ap (API サーバー ) • cp (E-Class SRA が配布するキ ャ ッ シ ュ ク ラ イ ア ン ト : ポ リ シー サーバー、 ク ラ イ ア ン ト ク レデン シ ャル ス ト レージ ) • dc (E-Class SRA が配布するキ ャ ッ シ ュ サーバー : ポ リ シー サーバー、 ク ラ イ ア ン ト ク レデン シ ャル ス ト レージ ) • ev ( ネ ッ ト ワー ク ト ン ネル サービ ス - カ ーネル コ ンポーネ ン ト ) • ew (Web プ ロキシ サービ ス ) • fm ( フ ェ イルオーバー モニ タ ー ) • kp ( ネ ッ ト ワー ク ト ン ネル カ ーネル モー ド ポ リ シー サーバー イ ン タ ー フ ェ ー ス) • ks (SSL デー モ ン に対す る ネ ッ ト ワ ー ク ト ン ネル カ ー ネル モ ー ド イ ン タ ー フ ェ ース ) • kt ( カ ーネル ト ン ネル コ ンポーネ ン ト ) • ls ( ログ サーバー ) • ps ( ポ リ シー サービ ス ) (590 ページの 「ア ク セ ス ポ リ シー決定の監査」 も 参照 ) • pt (ping/traceroute ツール ) • uk ( 不明 ) • up ( ネ ッ ト ワー ク ト ン ネル ポ リ シー サーバー デーモ ン ) • us ( ネ ッ ト ワー ク ト ン ネル ユーザー スペース SSL デーモ ン ) 00000001 コ ン テキス ト ID コ ン テキス ト ID は、 4 つのすべてのサービ ス (Web プ ロキシ、 ネ ッ ト ワー ク ト ン ネル、 ネ ッ ト ワー ク プ ロキシ、 ポ リ シー、 WorkPlace) の関連ログを結合する ため に使用 さ れる一意の値です。 単一のユーザー セ ッ シ ョ ン に関連する すべての メ ッ セージ を検索する と き、コ ン テキス ト ID を使用で き ます。メ ッ セージが特定のユー ザー セ ッ シ ョ ン に結合 し ていない場合、 00000010 未満の値が割 り 当て ら れます。 この ID の最初の数値は、 そのセ ッ シ ョ ン を生成 し たサービ ス を表 し ます。 • 0 ( ポ リ シー サービ ス ) • 1 (Web プ ロキシ サービ ス ) • 3 (WorkPlace サービ ス ) ロ グ フ ァ イ ルの出力 フ ォ ーマ ッ ト | 589 フ ィ ール ド 説明 Info 重要度 メ ッ セージの重要度レ ベルは、 次のいずれかにな り ます。 • Error - サーバーのシ ャ ッ ト ダウ ンや、 他の コ ン ポーネ ン ト と の通信障害を引き 起 こ す問題。 ス タ ー ト ア ッ プ時の名前解決の問題は、 こ のレ ベルで ログに記録 さ れ ます。 • Warning - サーバーの動作には悪影響を与えない突発的な事象。例えば、RADIUS サーバーへのア ク セスが一度だけ失敗 し た場合は、Info レ ベルで ログに記録 さ れま すが、 すべての試行が失敗 し た場合、 そのエ ン ト リ は Warning レ ベルで ロ グ フ ァ イルに追加 さ れます。 • Info - 場合によ っ ては記録する必要がない通常のイ ベン ト 。 例えば、 特定のユー ザーのログ イ ンや、 特定のア ク セス制御ルール と の一致な どが該当 し ます。 • Verbose - Info メ ッ セージ と 同様に、こ のレ ベルでは正常な動作を識別 し ますが、 プ ロ セスのス テ ッ プがこ れに含まれます。 例えば、 ア ク セス制御ルールを処理 し て い る場合、 それぞれの不一致に対する メ ッ セージは Verbose レ ベルにな り 、 一致 は Info と し て識別 さ れます。 System メ ッ セージ タ イ プ サーバーのどの部分で メ ッ セージがログに記録 さ れたかを示 し ます。 CFG Pool Init STATIC/NAT id=1 name='HQ-pool2' gid='AV1160554493976A' ndns=2 nwins=2 nsuffix=0 メ ッ セージ テキス ト すべての識別情報の後に続 く テキス ト が、 メ ッ セージ です。 ア ク セス ポ リ シー決定のための メ ッ セージ テキス ト については、590 ページの「ア ク セ ス ポ リ シー決定の監査」 を参照 し て く だ さ い。 ア ク セス ポ リ シー決定の監査 シ ス テム メ ッ セージ ロ グの主な用途に、ア ク セ ス ポ リ シー 決定の監査に利用す る と い う も のが あ り ます。 ユーザーの要求がポ リ シー ルール と 一致す る たびに、 ア プ ラ イ ア ン スは、 実行 し た ア ク シ ョ ン に関す る エ ン ト リ を メ ッ セ ー ジ テ キ ス ト フ ィ ール ド ( メ ッ セ ー ジ ロ グの最後の フ ィ ール ド ) に書 き 込みます。 ア ク セ ス ポ リ シー決定のサン プル メ ッ セージは次のよ う に な り ま す。 [09/Nov/2009:02:45:32.282637 +0000] E-Class SRASSLVPN 002421 ps 100004b3 Info EWACL User '(192.168.136.70 (Dominique Daba)@(Students)' connecting from '192.168.136.70:37975' matched rule 'accessRule(AV1091719670706:preauth access rule)', access to '127.0.0.1:455' is permitted. 接続要求がルール と 一致す る と 、 そのたびに、 ロ グ メ ッ セージが Info レ ベルで生成 さ れます。 ルール と 一致 し な い要求は、 Verbose レ ベルで ロ グに記録 さ れ、 一致す る ルールがな い場合の 要求は Warning レ ベルで ロ グに記録 さ れます。 ポ リ シー決定の場合、ロ グ メ ッ セージ テ キス ト フ ィ ール ド ( 前の例の Info よ り 後のすべての 部分 ) には、 次の情報が含まれます。 フ ィ ール ド EWACL 590 | Aventail E-Class SRA 10.7 管理者ガ イ ド 説明 フ ィ ール ド 説明 ログ タ イ プ 評価 さ れている ア ク セス ポ リ シー。 ログ タ イ プには次のものがあ り ます。 • CSACL - ク ラ イ ア ン ト / サーバー ア ク セス ポ リ シー • EWACL - Web ア ク セス ポ リ シー • WPACL - WorkPlace ア ク セス ポ リ シー • NEACL - フ ァ イ ル シ ス テ ム ア ク セ ス ポ リ シ ー (Aventail WorkPlace の [Network Explorer] ページから ア ク セスする フ ァ イル共有 ) User '(192.168.136.70 (Dominique Daba)@(Students)' ユーザー名 要求を出すユーザー。ア プ ラ イ ア ン スが複数のレルムを使用する よ う 構成 さ れている場合、 ユーザー名は 「(user)@(realm)」 の形式で記述 さ れます。 connecting from '192.168.136.70:37975' 要求の発信元 要求を出 し たユーザーのア ド レ ス。 matched rule 'accessRule(AV1091719670706:preauth access rule)' 一致ス テー タ ス ルール一致ス テー タ ス ( 「Matched」 ま たは 「No Match」 ) お よ びルール の ID。 access to '127.0.0.1:455' is permitted ルールの結果 詳細 ルールが一致 し た場合、 このフ ィ ール ド は空にな り ます。 ルールが一致 し な かっ た場合、 次のいずれかの メ ッ セージが記述 さ れます。 • Source Network is <network> ( 送信元ネ ッ ト ワー ク は <network> です ) • Date/time specification <time> ( 日時の仕様 <time>) • User <username> not in User/Group List ( ユ ー ザー <username> が ユーザー / グループの リ ス ト にあ り ません ) • Destination network is <dest> ( 送信先ネ ッ ト ワー ク は <dest> です ) • Virtual Host is <vhost> ( 仮想ホス ト は <vhost> です ) • Destination services dest is <dest> ( 対象サービ スは <dest> です ) • Command is <command> ( コ マ ン ド は <command> です ) • UDPEncrypt is <true or false> (UDPEncrypt は <true ま た は false> です ) • Key Length <length from the policy rule> requires a stronger cipher ( 鍵の長 さ <length from the policy rule> では強力なサイ フ ァ が必要です ) ルールが一致 し な い場合、 一致す る ルールが見つか ら なか っ た こ と を 示す Info レ ベルの メ ッ セージが生成 さ れます。 例 こ のセ ク シ ョ ン では、 ア ク セ ス制御監査のためのロ グ メ ッ セージの例を示 し ます。 例 1 - Info レ ベルでの成功 [09/Nov/2009:02:45:32.712860 +0000] E-Class SRASSLVPN 002421 ps 10000531 Info Session Authentication for user '(192.168.136.70 (Guest))@(Students)' SUCCESS for realm 'Visitors' 例 2 - Info レ ベルでの失敗 [09/Nov/2009:04:27:40.965127 +0000] E-Class SRASSLVPN 002873 ps 00000003 Info WPACL User '(kevin figment)@(Students)' connecting from '192.168.136.70:0' found no matching access rule, access to 'www.seattletimes.com:80' is denied. ロ グ フ ァ イ ルの出力 フ ォ ーマ ッ ト | 591 ログにおける ク ラ イ ア ン ト 証明書エ ラ ーの表示 ア プ ラ イ ア ン スが証明書チ ェ ー ン を 確認で き な い場合、 シ ス テ ム メ ッ セージ ロ グ フ ァ イ ルに 次のよ う な メ ッ セージが記述 さ れます。 [09/Nov/2009:21:28:14.610949 +0000] E-Class SRASSLVPN 001539 ps 10000042 Info System Auth:CRL-CERT:Cert verification status = 0, err = 20 'unable to get local issuer certificate' こ の メ ッ セージ には、 証明書チ ェ ッ ク が失敗 し た理由を示すエ ラ ー コ ー ド ( こ の場合 「20」 ) が 含まれます。 次の表では、 こ のエ ラ ー コ ー ド につい て説明 し てい ます。 コー ド エ ラ ー メ ッ セージ 説明 2 Unable to get issuer certificate 信頼 さ れていない証明書の発行者証明書が見つか り ませ ん。 7 Certificate signature failure 証明書の署名が不正です。 9 Certificate is not yet valid 証明書が有効にな っ ていません。 10 Certificate has expired 証明書の有効期限が切れています。 18 Self-signed certificate パスワー ド 証明書が自己署名証明書であ り 、 信頼 さ れて いる証明書の リ ス ト にあ り ません。 19 Self-signed certificate in certificate 信頼 さ れていない証明書を使用 し て証明書チ ェ ーン を構 chain 築で き ますが、 ルー ト 証明書がロ ー カ ルで見つか り ませ ん。 20 Unable to get local issuer certificate 通常、 信頼 さ れてい る証明書の リ ス ト が不完全であ る こ と を示 し てい ます。 こ のエ ラ ーは、 認証で中間証明書が 使用 さ れる場合も発生 し ます ( ルー ト 証明書が必要 )。 21 Unable to verify the first certificate チ ェ ーン に証明書が 1 つ し か含まれずそれが自己署名証 明書でないため、 署名が確認で き ませんで し た。 22 Certificate chain too long 証明書チ ェ ーンの長 さ が、 指定 さ れてい る最大深度を超 えています。 23 Certificate revoked 証明書が失効済みです。 24 Invalid CA certificate CA 証明書が無効です。 CA でないか、 拡張子が指定の目 的 と 合致 し ていません。 End Point Control イ ン タ ロゲーシ ョ ン シ ス テム メ ッ セージ ロ グ では、 ロ グ レ ベルが verbose に設定 さ れて い る と き 、 ク ラ イ ア ン ト EPC イ ン タ ロ ゲーシ ョ ンの際に情報が収集 さ れます。 ア プ ラ イ ア ン スは、 ク ラ イ ア ン ト で特定 のデバ イ ス プ ロ フ ァ イ ル属性の存在を チ ェ ッ ク し 、 ロ グ フ ァ イ ルにその照会お よ び結果が記録 さ れます。 次の例では、 EPC が特定のア ン チ ウ イ ルス ア プ リ ケーシ ョ ン (Symantec Client Security、 バー ジ ョ ン 9.x 以降 ) につい て チ ェ ッ ク し てい ま す。 ア プ リ ケーシ ョ ンが見つか ら な い場合は、 こ の 特定デバ イ スがデ フ ォ ル ト ゾ ー ン に入れ ら れます。 [04/Oct/2009:22:29:23.867093 +0000] E-Class SRASSLVPN 027186 uk 00000001 Verbose System ::API::QAABA145dFYNZimCKNWHB7p2q2Y=::(timwillis)@(Students)::CLIENT::Interro gation:Evaluation of OPSWATAV AV1128462569762A [NortonAV.dll,Symantec Corp.,Symantec Client Security,>=,9.x,,,,,FALSE] results:FALSE 592 | Aventail E-Class SRA 10.7 管理者ガ イ ド 04/Oct/2009:22:29:23.875781 +0000] E-Class SRASSLVPN 027186 uk 00000001 Verbose System ::API::QAABA145dFYNZimCKNWHB7p2q2Y=::(timwillis)@(Students)::Classified into zone:Default zone 未登録デバイ スのログ メ ッ セージ 未登録デバ イ スのロ グ メ ッ セージ には、 登録 さ れて いな いデバ イ ス について、 ユーザーに よ る ロ グ イ ン試行か ら デバ イ ス ID が記録 さ れます。 AMC では、 未登録デバ イ スのロ グ メ ッ セージ を XML 形式で エ ク スポー ト で き ます。 [Logging] ページ で、 [Log file] ド ロ ッ プ ダウ ン リ ス ト か ら [Unregistered device log] を選択 し て、 [Export] を ク リ ッ ク し ます。 最初に フ ィ ル タ や検 索条件を適用す る こ と で、 エ ク スポー ト フ ァ イ ルのサ イ ズ を小 さ く す る こ と がで き ます。 ま た、 別のシ ス テムで、 未登録デバ イ スの リ ス ト に ア ク セ ス し 、 XML 形式で エ ク スポー ト す る こ と も で き ます。 リ ス ト には、 Web ブ ラ ウザで以下の URL を指定 し て直接ア ク セ ス で き ます。 https://(internal IP address)/UnregisteredDevices.xml こ の URL で は BASIC HTTP 認証が求め ら れ る た め、 少 な く と も [Monitoring] カ テ ゴ リ への 「View」 ア ク セ ス権を持つ AMC ユーザーの ク レ デ ン シ ャ ルが必要です。 curl ま たは wget コ マ ン ド を使用 し て、外部マ シ ンか ら プ ロ グ ラ ムで リ ス ト を取得で き ます。curl コ マ ン ド の構文は次の と お り です。 curl -k3u (user):(password) https://(internal IP):8443/UnregisteredDevices.xml wget コ マ ン ド の構文は次の と お り です。 wget --no-check-certificate --http-user=(user) --http-password=(password) https://(internal IP address):8443/UnregisteredDevices.xml 上述の コ マ ン ド はど ち ら も SSL 証明書のチ ェ ッ ク を オ フ にす る ため、 自己署名証明書を使用 し てい る場合に便利です。 未登録デバ イ スのレ ポー ト を XML 形式で取得す る際に使用 さ れる URL での定義内容は、 次の と お り です。 <!-HTTP GET コ マ ン ド ラ イ ンの使用方法 URL: https://<internal address>:8443/UnregisteredDevices.xml?parameter=value¶meter=value 認証 : BASIC HTTP 認証。 少な く と も [Monitoring] カ テ ゴ リ への 「View」 ア ク セ ス権 を 持つ AMC ユーザーの ク レ デ ン シ ャ ルが必要です。 パ ラ メ ー タ ( 全オ プ シ ョ ン ): username - 文字列、 大文字 と 小文字の区別な し 、 デ フ ォ ル ト * ( 全ユーザー ) こ の値がユーザー名に含まれる ユーザーか ら のロ グ イ ン を検索 し ま す。 例 :username=li と 指定す る と 、 Linda や Melinda のエ ン ト リ が返 さ れます。 realm - 文字列、 大文字 と 小文字の区別な し 、 デ フ ォ ル ト * ( 全レルム ) こ の値が レルム名に含まれる レルムへのロ グ イ ン を検索 し ま す。 例 :realm=Corp と 指定す る と 、 Corporate や Non-Corporate のエ ン ト リ が返 さ れます。 platform - 文字列、 以下に列挙 し た値 特定のプ ラ ッ ト フ ォ ームのみを実行 し て い る デバ イ スか ら のロ グ イ ン を検索 し ま す。 ロ グ フ ァ イ ルの出力 フ ォ ーマ ッ ト | 593 all - 全プ ラ ッ ト フ ォ ーム ( デ フ ォ ル ト ) windows - Windows デバ イ スのみ (XP、 Vista な ど ) mac - Mac デバ イ スのみ linux - Linux デバ イ スのみ activeSyncMobile - Exchange ActiveSync デバ イ スのみ mobilePhone - 携帯電話のみ pda - PDA デバ イ スのみ unknown - プ ラ ッ ト フ ォ ームが判断で き ないデバ イ スのみ exported - 文字列、 以下に列挙 し た値 AMC ま たは HTTP GET コ マ ン ド で エ ク スポー ト さ れたか、 ま だ エ ク スポー ト さ れて いな い エ ン ト リ を検索 し ま す。 all - エ ク スポー ト さ れたかど う かを問わず、 全エ ン ト リ が対象 ( デ フ ォ ル ト ) exported - すでに エ ク スポー ト さ れた エ ン ト リ のみ unexported - ま だ エ ク スポー ト さ れて いな い エ ン ト リ のみ limit - 件数、 デ フ ォ ル ト は 1000 こ のエ ン ト リ 件数に検索を制限 し ま す。 deviceCount - 番号、 0-3、 デ フ ォ ル ト は全エ ン ト リ 外部の AD/LDAP ス ト ア で登録 さ れて い る デバ イ スの特定の番号を使用す る ユーザー を検索 し ます。 0 - 登録 さ れてい る デバ イ スがないユーザー 1 - 登録 さ れてい る デバ イ スが 1 つのユーザー 2 - 登録 さ れてい る デバ イ スが 2 つのユーザー 3 - 登録 さ れてい る デバ イ スが 3 つ以上のユーザー lastLoginTime - 文字列、 以下に列挙 し た値、 デ フ ォ ル ト は all 現在の時刻に対 し て、 特定の期間内に ロ グ イ ン試行があ っ たユーザー を検索 し ま す。 all - すべてのロ グ イ ン試行 hour - 過去 1 時間以内のロ グ イ ン試行 day - 過去 1 日以内 (24 時間以内 ) のロ グ イ ン試行 week - 過去 1 週間以内 (7 日以内 ) のロ グ イ ン試行 --> ネ ッ ト ワー ク ト ンネル監査ログ ネ ッ ト ワー ク ト ン ネル監査ロ グには、 ト ン ネル接続全体のス テー タ スや ト ン ネル内での フ ロ ー 全体のス テ ー タ ス な ど、 接続活動に関す る詳細な情報が記録 さ れます。 メモ 2 種類のレ コ ー ド タ イ プは、メ ッ セージの 6 番目の フ ィ ール ド に記述 さ れる言葉が「flow」 か 「tunnel」 かで区別で き ます。 メ ッ セージは、 デ ィ ス ク 上の /var/log/E-Class SRA/extranet_access.log フ ァ イ ルに保存 さ れま す。 ま た、 次のパ ラ メ ー タ を含みます。 594 | Aventail E-Class SRA 10.7 管理者ガ イ ド [source-ip:port] [authentication] "[username@realm]" "[date/time]" [version] [command] [destination-ip:port] [status code] [bytes-received] [bytes-sent] [connection duration] [imei] 次の例は、 ネ ッ ト ワー ク ト ン ネル サー ビ ス監査ロ グ フ ァ イ ルのエ ン ト リ を示 し て い ます。 12.230.158.210:1110 ssl:LDAP "fred figment" "13/Sep/2009:19:18:28 -0700" v1.1 flow:tcp 192.168.136.254:22 0 21722 60631 263 490236207159217 こ のロ グ エ ン ト リ には、 次の フ ィ ール ド ( スペース で区切 ら れる ) が含まれてい ます。 フ ィ ール ド 説明 source-ip:port ト ン ネル レ コ ー ド の場合、 こ のフ ィ ール ド にはアウ タ ー ト ン ネル接 続の接続元ア ド レ スが記述 さ れます。 フ ロー レ コ ー ド の場合、 こ の フ ィ ール ド には イ ン ナー フ ロ ーの接続元ア ド レ スが記述 さ れま す。 こ れは ト ン ネルが確立 さ れる と き に ト ン ネル プールか ら 割 り 当て ら れる仮想 IP ア ド レ スです。 例 :12.230.158.210:1110 authentication ハ イ フ ン (-) は、 TEAM ク レ デ ン シ ャ ル経由の再認証 を 示 し ま す。 TEAM ク レ デ ン シ ャ ルのネ ゴ シ エーシ ョ ン で使用 さ れる認証方式が ト ン ネルでは認識 さ れないため、値を明示で き ない こ と に注意 し て く だ さ い。 "username@realm" リ ソ ースにア ク セス し ているユーザー と 、そのユーザーにログ イ ン さ れた レルム。 こ のフ ィ ール ド の形式は、 使用 さ れる認証方式によ っ て 異な り ます。 例 :"mfigment@employees" "date/time" 接続開始の日付 ( 「日 / 月 / 年」 形式 ) および時刻 (24 時間形式の時 間、 分、 秒、 ミ リ 秒、 GMT と の時差で表 さ れた タ イ ム ゾーン )。 日 付 / 時刻を含むレ コ ー ド は、 ログに記述 さ れる ま で時間がかかる こ と があ り ます。 例 :"13/Sep/2009:19:18:28 -0700" version Connect ま たは OnDemand Tunnel プ ロ ト コ ル バージ ョ ン を示 し ま す。 「1.1」 は現在サポー ト さ れているバージ ョ ン です。 command 実行 さ れた コ マ ン ド の タ イ プ。 ネ ッ ト ワー ク ト ン ネル サービ スのロ グ フ ァ イル エ ン ト リ には、 次のコ マ ン ド が記述 さ れます。 tunnel flow:tcp flow:udp flow:icmp destination-ip:port ア ク セス対象の リ ソ ースの IP ア ド レ スおよびポー ト 番号。 フ ロー レ コ ー ド の場合、 こ れは TCP、 UDP、 または ICMP フ ローの接続先に な り ます。 ト ン ネル レ コ ー ド の場合、 こ れはア プ ラ イ ア ン スの外部 ア ド レ スにな り ます ( ポー ト 番号は常に 0)。 例 :192.168.136.254:22 status code 「0」 は成功を表 し ます。 ス テー タ ス コ ー ド の詳細については、 597 ページの 「接続ス テー タ ス メ ッ セージの監査」 を参照 し て く だ さ い。 bytes-received 接続元から 読み取ら れるバイ ト 数。 bytes-sent 接続先に書き込まれるバイ ト 数。 connection duration 接続時間 ( 秒 )。 ト ン ネ ルが閉 じ ら れ た 時間、 TCP フ ロ ー が TIME_WAIT 状態にな っ た時間、 UDP ま たは ICMP フ ロ ーが タ イ ム アウ ト にな っ た時間のいずれかに基づ き ます。 ロ グ フ ァ イ ルの出力 フ ォ ーマ ッ ト | 595 フ ィ ール ド 説明 imei すべての携帯電話に、 メ ー カ ー、 モデル タ イ プ、 承認国な どの情報 を示す一意の 15 桁の IMEI コ ー ド ( デバイ ス ID) が割 り 当て られま す。 IMEI は、 ほ と んどの電話で *#06# にかけ る と 表示 さ れます。 ま た、バ ッ テ リ 底面のコ ン プ ラ イ ア ン ス プ レー ト に も示 さ れています。 例 :352711-01-521146-5 IMEI コ ー ド が提供 さ れないデバイ スの場合は、 プ ラ ッ ト フ ォ ーム識 別子が示 さ れます。 プ ラ ッ ト フ ォ ーム識別子 ( 最初の文字 ) には次の も のがあ り ます。 W Windows M Mac L Linux P PDA A AcitveSync Mobile X 不明 ( 空欄 ) 携帯電話 596 | Aventail E-Class SRA 10.7 管理者ガ イ ド 接続ステー タ ス メ ッ セージの監査 ネ ッ ト ワー ク プ ロ キシ / ト ン ネル監査ロ グには接続ス テー タ ス コ ー ド が含まれますが、こ れは、 ク ラ イ ア ン ト / サーバー接続の問題を デバ ッ グす る際に役に立ち ます。ス テ ー タ ス コ ー ド は、ロ グ フ ァ イ ルの destination-ip:port フ ィ ール ド の直後の フ ィ ール ド です ( ロ グ フ ァ イ ルのエ ン ト リ 全体につい ては、 594 ページの 「ネ ッ ト ワー ク ト ン ネル監査ロ グ」 を参照 し て く だ さ い )。 次の表では、 それぞれの コ ー ド について説明 し て い ます。 接続ス テー タ ス コ ー ド 説明 0 エ ラ ーが発生する こ と な く 、 接続の試行が成功 し ま し た。 1 ク ラ イ ア ン ト で無効な TEAM ク レデン シ ャルが提示 さ れま し た。 2 TEAM 要求を ク ラ イ ア ン ト に送信で き ません。 ト ン ネル認証の交 換、 または PS 認証の交換で エ ラ ーが発生 し ま し た。 3 ク ラ イ ア ン ト での ト ン ネル プ ロ ト コ ルが、 ア プ ラ イ ア ン ス でサ ポー ト さ れている最小要件を満た し ていません。 4 TP エ ラ ーが発生 し たか、 サポー ト さ れていない機能が要求 さ れま し た。 5 セ ッ シ ョ ンのア イ ド ル時間が、 構成やデ フ ォ ル ト での許容時間を 超えています。 6 使用で き る ア ド レ スが ト ン ネル プールにあ り ません。 9 ト ン ネルの内部ア ド レ スがないか (bad cfg)、 realm_list (shouldn't happen) の問題が発生 し たか、 ク ラ イ ア ン ト が リ ソ ース リ ス ト を 拒否 し ま し た。 10 ク ラ イ ア ン ト のバージ ョ ンが合致 し ません。 11 利用で き る ト ン ネル プ ール ア ド レ スがすべて、 ク ラ イ ア ン ト の ネ ッ ト 作業環境 と 競合 し てお り 、 回避で き ません。 12 ク ラ イ ア ン ト に対す る特別な 「エ ラ ー」 であ り 、 即座の再開を必 要 と し ます。 65535 ア ク セス権が拒否 さ れま し た。 65524 メ モ リ 不足です。 65520 シ ス テムがビ ジーであ り 、 セ ッ シ ョ ンが ド ロ ッ プ さ れま し た。 65514 内部で矛盾が生 じ てお り 、 予期 し ない状態が生 じ ま し た。 65504 ト ン ネル サービ スが中止 さ れま し た。 65432 ピ アによ っ て接続が リ セ ッ ト さ れま し た。 65429 接続 さ れませんで し た ( 内部エ ラ ー )。 65428 ト ン ネル サービ スがシ ャ ッ ト ダウン し ま し た。 65426 タ イ ムアウ ト (UDP フ ロ ーの場合は特に、 エ ラ ー と し て考慮す る 必要はあ り ません )。 65279 認証方式があ り ません。 65278 認証が失敗 し ま し た ( ユーザーが不正なユーザー名 / パスワー ド を 入力 し た場合な ど )。 65277 認証 I/O が失敗 し ま し た。 65276 quiet モー ド で認証が失敗 し ま し た。 65275 ク ラ イ ア ン ト 接続が失われま し た。 65274 モ ジ ュ ールを ロー ド で き ません。 65273 許可 さ れていません (ポ リ シーによ り ア ク セスが拒否 さ れたな ど)。 ロ グ フ ァ イ ルの出力 フ ォ ーマ ッ ト | 597 接続ス テー タ ス コ ー ド 説明 65272 暗号化障害。 65271 未知の障害。 例 ユーザーが不正なユーザー名 / パス ワー ド を入力 し た場合、 ロ グに エ ラ ー番号 65535 が記述 さ れます。 192.168.2.69:3127 ssl "testing" "26/Feb/2009:21:31:51.947 +0000" none -:65535 385 0 14 352711-01-521146-5 タ イ ムア ウ ト が発生 し た場合、 メ ッ セージ に エ ラ ー番号 65426 が含まれます。 192.168.2.69:3127 ssl "testing" "26/Feb/2009:21:31:51.947 +0000" none -:65426 385 0 1 352711-01-521146-5 ク ラ イ ア ン ト か ら イ ン タ ーネ ッ ト へのすべての ト ン ネル ト ラ フ ィ ッ ク はすべて ( 「 リ ダ イ レ ク ト オール モー ド 」で動作 し て い る場合 )、AMC の [Configure Network Tunnel Service] ペー ジ ([Enable route to Internet]) で指定 し た IP ア ド レ ス を介 し てルー テ ィ ン グ さ れます。 こ の イ ン タ ーネ ッ ト へのルー ト が使用で き な い場合は、 接続ス テ ー タ ス コ ー ド と し て 「65504」 が記述 さ れます。 151.219.76.85:4827 - "(l248411)@(Radius)" "26/Jun/2009:17:54:14.916 +0000" 1.1 Flow:TCP 165.170.0.1:1503 65504 0 0 60 352711-01-521146-5 Web プ ロキシ監査ログ Web プ ロ キシ監査ロ グには、 ネ ッ ト ワー ク に ア ク セ ス し たユーザーの リ ス ト や転送 さ れたデー タ の量な ど、 接続活動に関す る詳細な情報が記録 さ れます。 /var/log/E-Class SRA/extraweb_access.log フ ァ イ ル メ ッ セ ー ジ は、 World Wide Web Consortium (W3C) Common Log Format (CLF) で保管 さ れます。 CLF ロ グの詳細については、 http://httpd.apache.org/docs/logs.html を 参照 し て く だ さ い。 ロ グ メ ッ セ ー ジ には、 次のパ ラ メ ー タ があ り ます。 [source-ip] [identity] [shortname@realm] [longname] [date/time] "[request]" [HTTP return code] [bytes-sent] [imei] 次の例は、ネ ッ ト ワー ク プ ロ キシ / ト ン ネル サー ビ ス監査ロ グ フ ァ イ ルのエ ン ト リ を示 し て い ます。 192.168.200.162 - (extranetuser)@(Translation) (uid=extranetuser,ou=Users,dc=indigo,dc=com) [31/Mar/2009:09:08:09 -0700] "GET http:/ /127.0.0.1:455/postauth/interrogator/E-Class SRAComponents.exe HTTP/1.1" 200 536016 "-" こ のロ グ エ ン ト リ には、 次の フ ィ ール ド ( スペース で区切 ら れる ) が含まれてい ます。 フ ィ ール ド 説明 source-IP Web プ ロキシ サービ スにア ク セスする コ ン ピ ュ ー タ の IP ア ド レ ス (NAT が使用中の場合は、 こ のフ ィ ール ド に変換ア ド レ スが含まれる こ と があ り ます )。 例 :192.168.200.162 598 | Aventail E-Class SRA 10.7 管理者ガ イ ド フ ィ ール ド 説明 identity こ の フ ィ ール ド は、Web プ ロキシ サービ スでは使用 さ れません。常にダ ッ シ ュ ( 「-」 ) が入 り ます。 shortname@realm ユーザーがロ グ イ ン し た ら、 こ のフ ィ ール ド にはユーザー名 と ログ イ ン レ ルムが (username@realm) の形式で示 さ れます。 ユーザーがま だ認証 さ れて い な い場合、 ま たは認証が不要な コ ン テ ン ツ (WorkPlace ロ グ イ ン ページ ) にア ク セス し てい る場合、 こ のフ ィ ール ド にはダ ッ シ ュ ( 「-」 ) が入 り ます。 認証が使用 さ れていない ( つま り AMC で レ ルムに対す る [Authentication server] が [None] に設定 さ れて いる ) 場合、 こ のフ ィ ール ド には [anonymous-user] が入 り ます。 例 :(extranetuser)@(Translation) longname ユーザーがロ グ イ ン し た ら、 こ のフ ィ ール ド にはユーザーのロ ング ネーム が示 さ れます。LDAP および Active Directory のユーザー名が DN を使用 し て示 さ れます。 他のユーザー名は CN を使用 し て示 さ れます。 ユーザーがま だ認証 さ れて い な い場合、 ま たは認証が不要な コ ン テ ン ツ (WorkPlace ロ グ イ ン ページ ) にア ク セス し てい る場合、 こ のフ ィ ール ド にはダ ッ シ ュ ( 「-」 ) が入 り ます。 例 :(uid=extranetuser,ou=Users,dc=indigo,dc=com) date/time ア プ ラ イ ア ン スで要求を受け取っ た日付お よび時刻。 例 :[16/Apr/2009:21:36:37 +0000] request HTTP 要求の 1 行目で、 HTTP コ マ ン ド (GET や POST な ど )、 要求 さ れた リ ソ ース、 HTTP バージ ョ ン番号が含まれます。 例 :"GET /alias1/foo.gif HTTP/1.1" HTTP-return-code サーバーは、 次のいずれかの戻 り コ ー ド を返 し ます。 • 2xx コ ー ド は、 要求の成功を示 し ます。 • 3xx コ ー ド は、 ある種の リ ダ イ レ ク シ ョ ン またはキ ャ ッ シ ュ さ れた応答 を示 し ます。 • 4xx コ ー ド は、 エ ラ ーを示 し ます ( リ ソ ースが見つから ない、 要求が認 証 さ れていないな ど )。 • 5xx コ ー ド は、 サーバー エ ラ ーを示 し ます。 こ れ ら の コ ー ド の詳細につい ては、 http://www.ietf.org/rfc/rfc2616.txt を参照 し て く だ さ い。 bytes-sent 応答の本文で送信 さ れたバ イ ト の数 (HTTP ヘ ッ ダのサ イ ズは含まれませ ん )。 imei すべての携帯電話に、 メ ー カ ー、 モデル タ イ プ、 承認国な どの情報を示す 一意の 15 桁の IMEI コ ー ド が割 り 当て ら れます。 IMEI は、 ほ と んどの電 話で *#06# にかけ る と 表示 さ れます。 ま た、 バ ッ テ リ 底面の コ ン プ ラ イ ア ン ス プ レ ー ト に も 示 さ れ て い ま す。 ユーザー に関連付け ら れ て い る IMEI がない場合は、 ダ ッ シ ュ (‘-’) がログ フ ァ イルに記述 さ れます。 例 :352711-01-521146-5 例 • 認証が失敗 し た場合 ( ユーザーが不正なユーザー名やパス ワー ド を入力す る な ど し た ため )、 戻 り コ ー ド 200 ( 「OK」、 ク ラ イ ア ン ト 要求が理解 さ れた こ と を示す ) が付いた単一の メ ッ セージがロ グに記述 さ れます。 要求を出 し たユーザー を唯一識別で き るのは、 メ ッ セージ に 記録 さ れて い る接続元 IP ア ド レ ス です。 ロ グ フ ァ イ ルの出力 フ ォ ーマ ッ ト | 599 192.168.2.69 - - [26/Feb/2009:21:43:30 +0000] "POST /__extraweb__authen HTTP/1.1" 200 3610 352711-01-521146-5 認証が成功 し た場合 も 同様の メ ッ セージが記述 さ れますが、 戻 り コ ー ド が 302 ( 「検出」 ) に な り ま す。 その直後に、 ユーザーの認証 ク レ デ ン シ ャ ルお よ び戻 り コ ー ド 200 を含 む別の メ ッ セージが続 き ます。 192.168.2.69 - - [26/Feb/2009:21:44:25 +0000] "POST /__extraweb__authen HTTP/1.1" 302 206 352711-01-521146-5 192.168.2.69 - (jsmith)@(AD) [26/Feb/2009:21:44:25 +0000] "GET /workplace/access/home HTTP/1.1" 200 15424 • ユーザーが正常に認証 さ れたに も かかわ ら ず、ア ク セ ス ルールに よ っ て Web リ ソ ースへの ア ク セ スが拒否 さ れた場合、 戻 り コ ー ド 403 ( 「禁止」 ) を含む メ ッ セージがロ グに記録 さ れます。 192.168.2.69 - (jsmith)@(AD) [26/Feb/2009:21:52:25 +0000] "GET /dukes HTTP/1.1" 403 3358 352711-01-521146-5 • ユーザーが正常に認証 さ れ、URL へのア ク セ スが許可 さ れた場合は、認証失敗時 ( 戻 り コ ー ド 200) と ほぼ同 じ メ ッ セージが記述 さ れ、さ ら にユーザーの ク レ デ ン シ ャ ルが含まれます。 192.168.2.69 - (jdoe)@(AD) [26/Feb/2009:21:51:03 +0000] "GET /dukes HTTP/1.1" 200 262 352711-01-521146-5 管理コ ン ソ ールの監査ログ 管理権限を持つユーザーは、 AMC 監査ロ グ を表示す る こ と に よ り 、 ア プ ラ イ ア ン ス に対 し て実 行 さ れた構成変更の履歴を確認で き ます。 こ のロ グには、 管理者が AMC で実行 し た構成変更の 監査履歴 も 記録 さ れます。AMC で こ のロ グ (/var/log/E-Class SRA/policy_audit.log) を表示す る 場合は、 277 ページの 「管理監査ロ グ」 の手順に従 っ て く だ さ い。 ま た、 AMC 関連の syslog 形式のロ グ フ ァ イ ル (/var/log/E-Class SRA/management.log) も あ り ます。 WorkPlace ログ Aventail WorkPlace ロ グ (/var/log/E-Class SRA/workplace.log) は、 Network Explorer に よ る フ ァ イ ル共有へのア ク セ ス を ト ラ ブ ルシ ュ ー テ ィ ン グす る 場合に使用す る と 便利で す。 ま た、 Web シ ョ ー ト カ ッ ト と ネ ッ ト ワー ク シ ョ ー ト カ ッ ト が WorkPlace ポー タ ル ページ で どのよ う に表示 さ れ る かについ て も 確認で き ま す。 フ ァ イ ル リ ソ ー スへのア ク セ ス も 、 Web プ ロ キ シ サー ビ ス ロ グ (extraweb_access.log) に記録 さ れます。 WorkPlace シ ョ ー ト カ ッ ト の例 ユーザーが WorkPlace に ロ グ イ ン し 、 シ ョ ー ト カ ッ ト が正常に表示 さ れた と き 、 ロ グ フ ァ イ ル エ ン ト リ は次のよ う に な り ます。 1. ユーザー名 ク レ デ ン シ ャ ルが、 セ ッ シ ョ ン ID と あわせて ロ グに記録 さ れます ( ト ラ ブル シ ュ ーテ ィ ン グの際は、 ユーザー名のみが検索 さ れます )。 Feb 26 22:03:03 127.0.0.1/127.0.0.1 local7.debug DEBUG [22:03:03,612] GOT:CredentialsManager[teamSessionId=+kMs+1fJYyVOxJ8f/YO0gg==,teamcredentials={usernam e=jdoe} ,credentials={}] 2. 次に、 シ ョ ー ト カ ッ ト ( こ の場合 Web シ ョ ー ト カ ッ ト ) の正常な ロ ー ド を示す メ ッ セージ が記録 さ れます。 600 | Aventail E-Class SRA 10.7 管理者ガ イ ド Feb 26 22:03:03 127.0.0.1/127.0.0.1 local7.debug DEBUG [22:03:03,615] pcsession:<authorize:exit> uri=http://wemmet.internal.net status=SUCCESS 3. ネ ッ ト ワー ク シ ョ ー ト カ ッ ト の正常な ロ ー ド は、 次のよ う に記録 さ れます。 Feb 26 22:03:03 127.0.0.1/127.0.0.1 local7.debug DEBUG [22:03:03,617] pcsession:<authorize:exit> uri=smb://marshare01/marketing status=SUCCESS ( 設定 し た ア ク セ ス ルールな どのために ) ユーザーに シ ョ ー ト カ ッ ト が表示 さ れな い場合、ア ク セ スの拒否は次のよ う に処理 さ れて い ます。 1. ロ グ イ ン時にユーザー名を検索 し ます。 Feb 26 22:12:15 127.0.0.1/127.0.0.1 local7.debug DEBUG [22:12:15,027] GOT:CredentialsManager[teamSessionId=hZ98BEZxdyARJCtjkGl3lA==,teamcredentials={usernam e=dsmith} ,credentials={}] 2. ロ ー ド で き な いシ ョ ー ト カ ッ ト 情報を ユーザーの WorkPlace ポー タ ル ページ で探 し ます。 次に Web シ ョ ー ト カ ッ ト での失敗 し た例を示 し ます。 Feb 26 22:12:15 127.0.0.1/127.0.0.1 local7.debug DEBUG [22:12:15,043] pcsession:<authorize:exit> uri=http://wemmet.internal.net status=FAILURE メモ • リ ソ ース共有へのア ク セ ス ( 許可 / 拒否 ) も extaweb_access.log に記録 さ れます。 192.168.2.69 - (jdoe)@(AD) [26/Feb/2009:22:19:21 +0000] "GET /workplace/access/exec/file/view?path=smb://marshare01/marketing/reports.doc/ HTTP/1.1" 200 4608 • ま た、WorkPlace 関連の syslog 形式のロ グ フ ァ イ ル (/var/log/E-Class SRA/wp_init.log) も あ り ます。 ロ グ フ ァ イ ルの出力 フ ォ ーマ ッ ト | 601 602 | Aventail E-Class SRA 10.7 管理者ガ イ ド 付録 E 多言語サポー ト こ のセ ク シ ョ ン では、 こ のア プ ラ イ ア ン ス でサポー ト さ れて い る 多言語機能につい て説明 し ま す。 ネ イ テ ィ ブ文字セ ッ ト のサポー ト こ のア プ ラ イ ア ン ス では、 拡張文字セ ッ ト 、 つ ま り 2 バ イ ト 文字セ ッ ト をサポー ト し て い ます。 そのため、 ユーザー名、 パス ワー ド 、 リ ソ ース名、 WorkPlace シ ョ ー ト カ ッ ト 、 ア ク セ ス制御 ルールについ ては、 AMC で、 拡張文字ま たは 2 バ イ ト 文字を含むネ イ テ ィ ブ文字セ ッ ト で入力 お よ び表示 で き ま す。 ま た、 こ の ア プ ラ イ ア ン ス で は、 ユ ーザー名 フ ィ ール ド やパ ス ワ ー ド フ ィ ール ド な どのユーザー認証プ ロ ン プ ト につい て も 、 拡張文字ま たは 2 バ イ ト 文字を サポー ト し てい ます。 RADIUS ポ リ シー サーバーの文字セ ッ ト こ のア プ ラ イ ア ン ス では、非英語文字セ ッ ト を使用す る RADIUS ポ リ シー サーバーに よ る文字 エ ン コ ーデ ィ ン グ をサポー ト し て い ます。 RADIUS 仕様の最新バージ ョ ン (RFC2865) では、 す べてのテ キス ト フ ィ ール ド で UTF-8 エ ン コ ー ド 文字に対応す る こ と が求め ら れてい ます。た だ し 古いバージ ョ ンの RADIUS プ ロ ト コ ルでは、テ キス ト フ ィ ール ド を 7 ビ ッ ト US-ASCII で定 義 し てい ます。AMC では、古いバージ ョ ンのプ ロ ト コ ル を使用す る RADIUS サーバー も サポー ト す る ため、 最 も 一般的に使用す る 文字セ ッ ト の リ ス ト を 選択で き る よ う に な っ て い ま す。 ま た、 他の文字セ ッ ト で入力す る こ と も 可能です。 RADIUS サーバーの言語設定を変更す る には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Authentication Servers] を ク リ ッ ク し ます。 2. 構成 し たい RADIUS サーバーの横にあ る [Edit] を ク リ ッ ク し ます ( 初めて AMC で RADIUS サーバー を構成す る場合は、195 ページの「RSA サーバー認証の構成」を参照 し て く だ さ い)。 3. [Configure Authentication Server] ページ で、 [Advanced] エ リ ア を展開 し ます。 4. [Locale encoding] で次のよ う に設定 し ま す。 • [Selected] リ ス ト ボ ッ ク スか ら 文字セ ッ ト を選択 し ます (選択可能な文字セ ッ ト につい ては、 604 ページの 「選択可能な RADIUS 文字セ ッ ト 」 を参照 し て く だ さ い )。 多言語サポー ト | 603 • 5. [Other] を ク リ ッ ク し 、 テキス ト ボ ッ ク ス に文字セ ッ ト の名前を入力 し ます。 入力で き る 文 字 セ ッ ト の リ ス ト に つ い て は、 605 ペ ー ジ の 「サ ポ ー ト さ れ て い る そ の 他 の RADIUS 文字セ ッ ト 」 を参照 し て く だ さ い。 [Save] を ク リ ッ ク し ます。 選択可能な RADIUS 文字セ ッ ト [Configure Authentication Server] ページの [Selected] リ ス ト ([Advanced] 設定の下 ) では、 次の文字セ ッ ト を選択で き ます。 文字セ ッ ト コ ー ド ページ Arabic ( ア ラ ビ ア語 ) 1256 Baltic ( バル ト 語 ) 1257 Central European ( 中央 ヨ ーロ ッ パ語 ) 1250 Chinese Simplified (GBK) ( 簡体中国語 ) 936 Chinese Traditional (Big5) ( 繁体中国語 ) 950 Cyrillic ( キ リ ル文字 ) 1251 Greek ( ギ リ シ ャ 語 ) 1253 Hebrew ( ヘブ ラ イ語 ) 1255 Japanese (Shift-JIS) ( 日本語 ) 932 Korean ( 韓国語 ) 949 Turkish ( ト ル コ語 ) 1254 Unicode (UTF-8) 65001 Vietnamese ( ヴ ェ ト ナム語 ) 1258 Western ( 西欧語 ) 1252 604 | Aventail E-Class SRA 10.7 管理者ガ イ ド サポー ト さ れているその他の RADIUS 文字セ ッ ト RADIUS サ ー バ ー で 使用 さ れ る エ ン コ ー デ ィ ン グ ス キ ー ム を 設定 す る と き は、 [Configure Authentication Server] ページの [Locale encoding] エ リ ア で、 次の文字セ ッ ト のいずれかを 入力 し ます。 言語 タ イ プ サポー ト さ れてい る文字セ ッ ト ヨ ーロ ッ パ語 ASCII ISO-8859-1 ISO-8859-2 ISO-8859-3 ISO-8859-4 ISO-8859-5 ISO-8859-7 ISO-8859-9 ISO-8859-10 ISO-8859-13 ISO-8859-14 ISO-8859-15 ISO-8859-16 KOI8-R KOI8-U KOI8-RU CP850 CP866 MacRoman MacCentralEurope MacIceland MacCroatian MacRomania MacCyrillic MacUkraine MacGreek MacTurkish Macintosh セム語 ISO-8859-6 ISO-8859-8 CP862 MacHebrew MacArabic 日本語 EUC-JP ISO-2022-JP ISO-2022-JP-2 ISO-2022-JP-1 中国語 EUC-CN HZ GB18030 EUC-TW CP950 BIG5-HKSCS ISO-2022-CN ISO-2022-CN-EXT 韓国語 CP949 ISO-2022-KR JOHAB 多言語サポー ト | 605 言語 タ イ プ サポー ト さ れてい る文字セ ッ ト アル メ ニア語 ARMSCII-8 グルジ ア語 Georgian-Academy Georgian-PS タ ジ ク語 KOI8-T タ イ語 TIS-620 CP874 MacThai ラ オ語 MuleLao-1 CP1133 ヴ ェ ト ナム語 VISCII TCVN Unicode UCS-2 UCS-2BE UCS-2LE UCS-4 UCS-4BE UCS-4LE UTF-16 UTF-16BE UTF-16LE UTF-32 UTF-32BE UTF-32LE UTF-7 606 | Aventail E-Class SRA 10.7 管理者ガ イ ド 付録 F 大規模ク ラ ス タ の構成 E-Class SRA EX9000、 EX7000、 EX6000 ア プ ラ イ ア ン ス では、 規模を拡張 し た り サポー ト す る ユーザー を増や し た り す る ために、 外部ロ ー ド バ ラ ンサを使用す る こ と で最大 8 台のア プ ラ イ ア ン ス を ク ラ ス タ リ ン グ で き ます。 こ の付録では、E-Class SRA ア プ ラ イ ア ン スが、Radware な どの外部ロ ー ド バ ラ ンサ と 相互運用で き る よ う 構成す る ための手順につい て説明 し ます。 こ れ ら のア プ ラ イ ア ン ス では、 高可用性 と シ ス テ ムの冗長性のため、 2 台の同 じ ア プ ラ イ ア ン ス を ク ラ ス タ リ ン グ し 、 1 つの仮想 IP ア ド レ ス にす る こ と も で き ます。 詳細につい ては、 531 ページの 「ハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ の管理」 を参照 し て く だ さ い。 ク ラ ス タ リ ングの概要 ク ラ ス タ リ ン グ では、 1 台の外部ロ ー ド バ ラ ンサに最大 8 つの ノ ー ド を イ ン ス ト ールす る こ と で、E-Class SRA VPN ソ リ ュ ーシ ョ ンの能力を向上 さ せる こ と がで き ます。た だ し こ の機能は、 ア ベ イ ラ ビ リ テ ィ を向上 さ せる ための も のではあ り ません。 E-Class SRA ア プ ラ イ ア ン ス では、外部ロ ー ド バ ラ ンサか ら のヘルス チ ェ ッ ク も サポー ト さ れ てお り 、 ア プ ラ イ ア ン ス上で どのサー ビ スが動作 し て い るかロ ー ド バ ラ ンサか ら 確認で き る よ う に な っ て い ま す。 そのため、 保守や障害の際、 他のシ ス テ ムへ ト ラ フ ィ ッ ク を フ ェ イ ルオー バーす る こ と も で き ます。 メモ ハ イ ア ベ イ ラ ビ リ テ ィ と シ ス テムの冗長性のため、2 台の同 じ ア プ ラ イ ア ン ス を ク ラ ス タ リ ン グ し 、 1 つの仮想 IP ア ド レ ス にす る こ と がで き ます。 詳細につい ては、 531 ページ の 「ハ イ ア ベ イ ラ ビ リ テ ィ ク ラ ス タ の管理」 を参照 し て く だ さ い。 大規模 ク ラ ス タ の構成 | 607 ク ラ ス タ の管理 ア プ ラ イ ア ン ス を外部ロ ー ド バ ラ ンサ と 相互運用す る よ う 構成す る と き 、 ク ラ ス タ 内のすべて のア プ ラ イ ア ン ス ノ ー ド がピ ア に な る ため、 ク ラ ス タ 間で ノ ー ド 構成を同期す る ための集中管 理機能はあ り ません。 ク ラ ス タ 間で設定を同期す る ためには、 1 つの ノ ー ド で構成変更を行い、 その構成 を エ ク ス ポー ト し てか ら 、 ク ラ ス タ 内の他の ノ ー ド に それ を イ ン ポー ト す る 必要があ り ます。 ア プ ラ イ ア ン ス初期設定の実行 ア プ ラ イ ア ン スの設定は、 Setup Wizard (47 ページの 「Setup Wizard に よ る Web ベース での 構成」 を参照 ) ま たは Setup Tool (544 ページの 「Setup Tool に よ る新 し い ア プ ラ イ ア ン スの構 成」 を参照 ) を使用 し て行い ます。 ノ ー ド を ク ラ ス タ の一部にす るか尋ね ら れた ら [no] を選択 し ます。 E-Class SRA ア プ ラ イ ア ン スは、 ス タ ン ド ア ロ ン デバ イ ス と し て構成す る必要があ り ます。 ア プ ラ イ ア ン スの構成 名前解決、 日時、 SSL 証明書、 ソ フ ト ウ ェ ア ラ イ セ ン ス な ど を含む、 シ ス テム設定を構成 し ま す。 外部ロ ー ド バ ラ ンサ と 共同で動作 さ せる場合、 一部の設定で特別な注意が必要に な り ます。 E-Class SRA ア プ ラ イ ア ン スは、 シ ン グルホーム構成 と デ ュ アルホーム構成のいずれかを 使用す る よ う 構成で き ます。 • ロ ー ド バ ラ ンサの仮想 IP ア ド レ ス ま たは仮想ホ ス ト 名 ( 個別のア プ ラ イ ア ン スのホ ス ト 名 やア ド レ ス ではな い ) を含むよ う 、 SSL 証明書を構成 し ます。 • ア プ ラ イ ア ン スのデ フ ォ ル ト 外部ゲー ト ウ ェ イ を、 ロ ー ド バ ラ ンサ ス イ ッ チの IP ア ド レ ス に設定 し ます。 こ の時点で、 基本セキ ュ リ テ ィ ポ リ シー を構成で き ます。 た だ し こ の手順は、 ア プ ラ イ ア ン ス の ク ラ ス タ 化が終わ っ た後に行 う こ と も で き ます。 • E-Class SRA では、 ク ラ ス タ 内のそれぞれのア プ ラ イ ア ン ス を同 じ 構成にす る こ と を推奨 し て い ます。 こ のよ う な構成で あれば、 いずれかのア プ ラ イ ア ン ス を構成 し て、 AMC で その構成を エ ク ス ポー ト し てか ら 、 ク ラ ス タ 内の他のア プ ラ イ ア ン ス に それ を イ ン ポー ト すれば よ いため 非常に便利です。 ス イ ッ チへのアプ ラ イ ア ン スの接続 ア プ ラ イ ア ン スの外部 イ ン タ ー フ ェ ースは、 外部ロ ー ド バ ラ ンサに接続 し て い る ス イ ッ チに接 続す る (Radware ス イ ッ チ を使用す る場合に推奨 さ れる構成 ) か、 直接ロ ー ド バ ラ ンサに接続 し ます。 E-Class SRA ア プ ラ イ ア ン スの ク ラ ス タ イ ン タ ー フ ェ ースは、 シ ン グルホーム構成で も デ ュ ア ルホーム構成で も 使用 さ れません。 デ ュ アルホーム構成の場合、 内部 イ ン タ ー フ ェ ースがプ ラ イ ベー ト ネ ッ ト ワー ク に接続 さ れます。 608 | Aventail E-Class SRA 10.7 管理者ガ イ ド ロー ド バラ ンサの構成 ロ ー ド バ ラ ンサは、 通常の方法で構成 し ま す。 Radware ス イ ッ チ を構成 し てい る場合、 次の構 成事項につい て検討 し ます。 VIP ア ド レ ス を使用 し て WSD フ ァ ーム を作成す る。 1. ア プ ラ イ ア ン ス に対 し て個別のサーバー を作成す る ( つま り 、外部 イ ン タ ー フ ェ ース を使用 す る )。 2. WSD フ ァ ームにサーバー を追加す る。 3. ア プ ラ イ ア ン ス に対す る個別のヘルス モ ニ タ リ ン グ チ ェ ッ ク を、 次のよ う に作成す る。 Dest IP:Appliance External Interface IP address Dest Port:1888 Arguments:PATH=/__health_check__/| C1=200| MTCH=Excellent| MEXIST=Y| PRX=N| NOCACHE=N| 4. ヘルス モ ニ タ リ ン グ チ ェ ッ ク を個別のサーバーにバ イ ン ド す る。 上記の手順の詳細については、 外部ロ ー ド バ ラ ンサの製品マ ニ ュ アルを参照 し て く だ さ い。 大規模 ク ラ ス タ の構成 | 609 610 | Aventail E-Class SRA 10.7 管理者ガ イ ド 付録 G 保証および ラ イ セ ン ス 本付録には、 次の情報が含まれます。 • 611 ページの 「お問い合わせ先」 • 611 ページの 「ハー ド ウ ェ ア限定保証」 • 612 ページの 「GNU General Public License (GPL) の ソ ース コ ー ド 」 • 612 ページの 「エ ン ド ユーザー ラ イ セ ン ス契約」 • 620 ページの 「サー ド パーテ ィ パ ッ ケージ」 お問い合わせ先 テ ク ニ カル サポー ト に関する問題の迅速な解決、お よび最新のテ ク ニ カル サポー ト の電話番号に ついては、 イ ン タ ーネ ッ ト 上の Dell SonicWALL ページ を ご覧 く だ さ い。 サポー ト のお問い合わせ先 : サポー ト のお問い合わせ先ページ : http://www.sonicwall.com/us/support/contact.html Dell SonicWALL のお問い合わせ先ページ : http://www.sonicwall.com/us/company/286.html ハー ド ウ ェ ア限定保証 すべての Dell SonicWALL ア プ ラ イ ア ン ス製品には、1 年間のハー ド ウ ェ ア限定保証が付属 し てい ます。 保証期間内に部品が故障 し た場合は、 代替部品を提供いた し ます。 お使いの製品の保証の 詳細については、 次の保証情報のページ を ご覧 く だ さ い。 http://www.sonicwall.com/us/support/Services.html#tab=warranty Dell SonicWALL は、 お客様への納品日 (ただ し 、 Dell SonicWALL か ら 最初に出荷 さ れて 90 日を 超えない範囲) か ら 12 か月の期間にわた っ て、 通常の使用下で材料お よび出来栄えにおいて製品 に欠陥が生 じ ない こ と を保証 し ます。 こ の保証は、 製品の原エ ン ド ユーザにのみ適用 さ れ、 その 権利を他に譲渡する こ と はで き ません。 こ の限定保証に基づ き、 Dell SonicWALL お よびその製造 業者の法的責任 と お客様の唯一かつ排他的な賠償は、 代替製品の出荷に よ っ て全 う さ れる も の と し ます。 Dell SonicWALL の判断に よ り 、 代替製品は、 故障 し た製品 と 同等 も し く は同等以上の性 能 / 機能の製品 と な り ま す。 ま た、 未使用品に限定 さ れ ま せん。 こ の限定保証に基づ く Dell SonicWALL の責任は、Dell SonicWALL の当時最新のサポー ト サービ ス ポ リ シーの条項に従 っ て 欠陥製品を返却 し た と き生 じ ます。 製 品 に 異 常 な 電 気 的 ス ト レ ス を 加 え た 場 合、 事 故 や 誤 用 に よ り 製 品 を 破 損 し た 場 合、 Dell SonicWALL に正式の許可を受けずに製品に変更を加えた場合、 こ の保証は適用 さ れません。 保証に関する免責事項。 こ の保証で指定 さ れてい る行為、 明示的ま たは暗黙的に示 し たすべての 条件、 表現、 保証 (暗黙的保証や販売条件を無制限に含む) を例外 と し て、 特定の目的、 法遵守、 十分な品質、 または取引、 法律、 利用、 商習慣に よ る要件を満たすための行為は、 こ の条項に よ っ て該当する法律で最大限許容 さ れる程度に除外 さ れます。 暗黙の保証を超え ない範囲で、 保証は 当該保証期間の範囲に限定 さ れます。 関係国の法律や管轄裁判所が暗黙の保証への制限を認めて いない場合、 上記の制限が適用 さ れない こ と も あ り ます。 こ の保証は特定の法的権利を与え る も のであ っ て、 管轄裁判所に よ っ てはそれ以外の権利が与え られる こ と も あ り ます。 こ の権利放棄 ・ 免責条項は上記に明示 さ れた保証がその本来の目的を果たせない場合に も 適用 さ れる も の と し ま す。 保証お よび ラ イ セ ン ス | 611 責任に関する免責事項。 Dell SonicWALL では、 上記の限定保証に記載 さ れてい る と お り 、 交換用 製品の発送についてのみ責任を負います。 Dell SonicWALL お よびその製造業者は、 本製品を使用 し たため、 ま たは使用で き なか っ たために生 じ た損失、 業務の中断、 情報の消失、 あ る いはそれ に よ っ て直接または間接に生 じ た偶発的、 懲罰的損害について、 Dell SonicWALL またはその製造 業者が損害の可能性を忠告 し たかど う かに関係な く 、 本製品の使用ま たは不使用に よ っ て生 じ る 一切の法的責任を免れる もの と し ます。 Dell SonicWALL お よびその製造業者は、 いかな る場合に も お客様に対 し て、 契約上の不法行為や、 お客様が支払 っ た価格を超え る責任を負わない も の と し ます。 以上の制限は、 上記の保証書がその本来の目的を果たせない場合に も 適用 さ れる も の と し ます。 関係国の法律や管轄裁判所が間接ま たは偶発の損害に対する制限 ・ 免責を認めていない 場合、 上記の制限が適用 さ れない こ と も あ り ます。 GNU General Public License (GPL) のソ ース コ ー ド Dell SonicWALL は、 GPL オープ ン ソ ースの機械可読 コ ピーを CD で提供 し ます。 完全な機械可 読 コ ピーを取得する には、 「Dell SonicWALL, Inc.」 を受取人 と する 25 ド ル分の小切手または郵便 為替 と と も に依頼書を下記の宛先にお送 り く だ さ い。 General Public License Source Code Request Dell SonicWALL, Inc. Attn:Jennifer Anderson 2001 Logic Drive San Jose, CA 95124-3452 エ ン ド ユーザー ラ イ セ ン ス契約 DELL SonicWALL エ ン ド ユーザー使用許諾契約 バージ ョ ン 1.3 タ イプ A ソ フ ト ウェア 本契約は、 お客様 (個人または組織) と DELL INC. ? 並びにその世界各国の子会社および関連会 社を代表す る DELL PRODUCTS L.P. ま たは DELL GLOBAL B.V. (シ ン ガポール支店) (総称 し て 「デル」) と の法的契約であ り 、 お客様に よ る本 ソ フ ト ウ ェ アの使用を規定する も のです。 ソ フ ト ウ ェ ア と は、本契約書が添付 さ れている、 または関連付け られてい る ソ フ ト ウ ェ ア プ ロ グ ラ ム、 関連媒体、 印刷物、 オ ン ラ イ ン文書ま たは電子文書、 お よびそれ ら の コ ピー を総称する も のです (以下 「ソ フ ト ウ ェ ア」)。 本 ソ フ ト ウ ェ ア を ダウ ン ロー ド 、 イ ン ス ト ール、 起動、 またはその他の 方法で使用する前に、 本契約書にて エ ン ド ユーザー使用許諾契約の一部 と さ れる下記に記載また は参照 さ れる補足条件を含め (但 し 必ず し も こ れら に限定 さ れない) 本エ ン ド ユーザー使用許諾 契約 (以下、 総称 し て 「EULA」) の諸条件を よ く お読み く だ さ い。 こ れ らの契約条件に明示的に 同意、 ま たは本 ソ フ ト ウ ェ ア を ダウ ン ロ ー ド 、 イ ン ス ト ール、 起動、 も し く はその他の方法で使 用する こ と に よ り 、 お客様は、 本 EULA を読み、 本 EULA の諸条件お よびすべての法令の全体に 対 し 、 無制限かつ無条件に従い、 こ れ ら に拘束 さ れる こ と に同意 し た こ と に合意する も の と し ま す。 お客様が本 EULA の諸条件に よ る拘束に同意 さ れない場合は、 本 ソ フ ト ウ ェ ア を ダウ ン ロー ド 、 イ ン ス ト ール、 起動、 またはその他の方法で使用する こ と はで きず、 満額返金を受ける ため、 本 ソ フ ト ウ ェ アお よ び本 ソ フ ト ウ ェ アが付随する一切のハー ド ウ ェ ア を、 デルま たはデルの再販 業者 (該当する場合) の指示に従 っ て速やかに返却 し なければな り ません。 お客様が組織を代表 する個人の場合、 お客様は、 かかる組織を代表 し て こ れ ら 諸条件を承諾する ために適切な権限を 有 し てい る こ と を認める もの と し ます。 1. ラ イ セ ン ス。 本 EULA の諸条件お よ び制限、 お よ びお客様に よ る適宜な支払い を条件 と し て、 デルはお客様に対 し 、 明示的に認め ら れた台数の コ ン ピ ュ ー タ 、 機器ま た機器構成 (例 えば、 該当す る デルセールス見積 り に規定 さ れてい る と お り ) にのみ、 本 ソ フ ト ウ ェ ア (オ ブ ジ ェ ク ト コ ー ド のみ) を イ ン ス ト ールす る、 イ ン ス ト ール さ せ る、 表示す る、 お よ び使 用す る ための、 サブ ラ イ セ ン ス権 を有 さ ない限定的、 排他的、 移譲不可、 譲渡不可 ラ イ セ ン ス を 供与 し ま す。 本 EULA の諸条件は、 本 ソ フ ト ウ ェ ア、 お よ びデル独自の裁量でデルに 612 | Aventail E-Class SRA 10.7 管理者ガ イ ド よ っ て 提供 さ れ る 本 ソ フ ト ウ ェ ア の差 し 替 え お よ び / ま た は補足 と な る 一切の ア ッ プ グ レ ー ド 、 ア ッ プデー ト 、 パ ッ チ、 ホ ッ ト フ ィ ッ ク ス、 モ ジ ュ ール、 ルーテ ィ ン、 お よ び / ま たは本 ソ フ ト ウ ェ アの追加バージ ョ ン (以下、 総称 し て 「ア ッ プデー ト 」 ) の使用を規定す る も のです。 但 し 、 かかる ア ッ プ デー ト に個別の使用許諾契約が付随す る、 ま たは参照 さ れ る 場合は、 かかる 使用許諾契約の諸条件に従 う も の と し ま す。 本 EULA がア ッ プ デー ト の 使用 を 規定す る 場合、 本 EULA におい て、 かかる ア ッ プ デー ト は ソ フ ト ウ ェ ア と 見な さ れ る も の と し ま す。 本契約の規定に従い早期解除 さ れ る 場合 を 除 き、 本 EULA に基づい て供 与 さ れた個々の ラ イ セ ン ス期間は、 本 EULA が受理 さ れた日 を 開始日 と し 、 期間限定 ラ イ セ ン スの場合は購入 し た期間のみ、ま た期間が限定 さ れて いな い場合は恒久的に継続す る も の と し ます。 お客様は、 適用 さ れる ラ イ セ ン ス料を支払 っ た部分の ソ フ ト ウ ェ ア に限 り 、 使 用す る こ と で き ます。 2. ラ イ セ ン スの制限。バ ッ ク ア ッ プ も し く はアー カ イ ブの目的のために必要 と さ れる妥当な数 の コ ピ ー以外、 ま たは上記第 1 条 「 ラ イ セ ン ス」 におい て明示的に認め ら れて い る 場合 を 除 き 、 お客様は本 ソ フ ト ウ ェ ア を コ ピ ーす る こ と はで き ません。 お客様は、 ソ フ ト ウ ェ ア上 ま たは ソ フ ト ウ ェ ア内の表題、 商標、 商号、 著作権表示、 説明文、 その他の所有権通知あ る いは標示を、 修正ま たは削除す る こ と はで き ません。 本契約におい て供与 さ れる権利は、 本 ソ フ ト ウ ェ ア におけ る デルな ら びにデルの ラ イ セ ン サーお よ びサプ ラ イ ヤーの知的所有権 に限定 さ れて お り 、 その他の第三者の知的財産権は一切含まれません。 本 ソ フ ト ウ ェ アが 取 り 外 し 可能な媒体 (例えば、 CD、 DVD、 ま たは USB ド ラ イ ブ) 上に提供 さ れた場合、 本 ソ フ ト ウ ェ アが記録 さ れて い る媒体についてはお客様が所有す る こ と がで き ますが、本 ソ フ ト ウ ェ ア自体お よ び関連す る一切の知的財産権については、 デル、 デルの ラ イ セ ンサーお よ び / ま たはサプ ラ イ ヤーが保有 し ま す。 デルの商標ま たはサー ビ ス マー ク への権利は、 お 客様には一切供与 さ れません。 本 EULA は、 本 ソ フ ト ウ ェ アの一部 と し て含まれて い な い 第三者の ソ フ ト ウ ェ ア には一切適用 さ れません。デルま たは第三者に よ る別途の ラ イ セ ン ス 付与の如何 を 問わず、 ソ フ ト ウ ェ ア パ ッ ケージ ま たは フ ァ イ ル を 含むその他 ソ フ ト ウ ェ ア の使用は、 かかる ソ フ ト ウ ェ ア に付随す る、 ま たは関連す る諸条件が適用 さ れる も の と し ま す。 3. 留保 さ れ る 権利。 本 ソ フ ト ウ ェ アは許諾 さ れ る も ので あ り 、 販売 さ れ る も のではあ り ませ ん。 本 EULA におい て明示的に供与 さ れる ラ イ セ ン ス を 除 き 、 デルは、 デル自体、 お よ び デルの ラ イ セ ン サー と サプ ラ イ ヤー を 代表 し て、 本 ソ フ ト ウ ェ ア お よ び関連す る 内容、 素 材、 著作権、 企業秘密、 特許、 商標、 二次的著作物のすべて、 な ら びにかかる権利の登録、 申請、 更新、 延長を含むその他一切の知的財産権、 工業所有権、 お よ び所有権 (「著作物」) に含まれる、 ま たはそれ ら に対す る一切の権利、 権原、 利益を保有 し ます こ れ ら の著作物に 関わる権利は、 既存ま たは今後開発 さ れる すべての形態、 媒体、 テ ク ノ ノ ロ ジーにおいて も 有効で、 かつ保護 さ れてお り 、 本契約におい て明示的に認め ら れてい る場合 を除 き 、 著作物 の複製、 修正、 配布、 送信、 翻案、 翻訳、 表示、 再発行、 ま たは実行を含む、 本契約におい て考慮 さ れる以外の使用は厳格に禁 じ ら れて い ます。 デルは、 デル自体、 お よ びデルの ラ イ セ ンサー と サプ ラ イ ヤー を代表 し 、本契約において明示的に供与 さ れて いな いすべての権利 を保有す る も の と し ます。 4. 制限。 本契約に おい て別途定め ら れて い る 場合、 ま たはデルが明示的に合意 し た場合 を 除 き 、 お客様は以下 を 自 ら 行 う こ と も 、 第三者に行わせ る こ と も で き ません。 (A) 本 ソ フ ト ウ ェ アの全体ま たは一部について売却、 リ ース、 ラ イ セ ン ス供与、 サブ ラ イ セ ン ス供与、 譲 渡、 頒布、 ま たはその他の方法に よ る 移譲、 ま たは抵当権の付与 を 行な う こ と 。 (B) デル の書面に よ る 事前承諾 を 伴わずに請負業者 を 含む第三者に対 し て本 ソ フ ト ウ ェ アの全体ま たは一部を提供、 使用可能にす る、 も し く は使用を許可す る こ と 。 た だ し 、 第三者に よ るか かる 使用がお客様 を 代行す る目的でのみ行われ、 本 EULA の諸条件 を 厳密に順守 し た も の で あ り 、 かかる第三者 ( 「許可を受けた第三者」 ) に よ る本 EULA の違反について お客様が 一切の責任を負 う 場合を除 き ます。 (C) 形式の如何を問わず、 本 ソ フ ト ウ ェ ア を コ ピ ー、 複 製、 再発行、 ア ッ プ ロ ー ド 、 掲示、 ま たは転送す る こ と 。 (D) 本 ソ フ ト ウ ェ アの全体ま た は一部 を 逆 コ ン パ イ ル、 逆ア セ ン ブル、 リ バース エ ン ジ ニ ア リ ン グす る こ と 、 ま たはその 他の方法で ソ ース コ ー ド ( も し く はその基礎 と な る着想、 アルゴ リ ズム、 構造、 ま たは構 成) を 抽出 し よ う と 試み る こ と 。 (E) 本 ソ フ ト ウ ェ ア を 基に修正 を 加え た り 二次的著作物 を作る こ と (第 13 条 「開発ツ ール」 に規定 さ れる も のを除 く ) 。 (F) 本 ソ フ ト ウ ェ ア を出 力業者、 レ ン タ ル サー ビ ス、 も し く は管理サー ビ ス に用い る こ と 、 他の個人や組織に本 ソ 保証お よび ラ イ セ ン ス | 613 フ ト ウ ェ アへの 「 リ ン ク 」 を 設け る こ と を 許可す る こ と 、 ま たは他のサーバー、 ワ イ ヤ レ ス、 も し く は イ ン タ ーネ ッ ト 機器上に本 ソ フ ト ウ ェ アの 「 フ レ ーム」 ま たは 「 ミ ラ ー」 を設 け る こ と 。 (G) デルに よ っ て ソ フ ト ウ ェ アがロ ー ド さ れた特定のハー ド ウ ェ ア (「装置」) と は別の装置で本 ソ フ ト ウ ェ ア を使用す る こ と 。 ま たは (H) 本 ソ フ ト ウ ェ ア を用いて競合す る製品を作成す る こ と 。 お客様は、 許可を受けた第三者に対 し 、 デルに よ っ て明示的に許可 さ れた ラ イ セ ン ス数を超え る ソ フ ト ウ ェ アの使用を許可す る こ と はで き ません。 さ ら に、 お 客様は、デルの書面に よ る事前承諾を伴わずに本 ソ フ ト ウ ェ アのベ ン チ マーキ ン グ結果を他 者 と 共有す る こ と はで き ません。 5. 遵守。 デルか ら 合理的な要求があ っ た場合、 お客様は本 ソ フ ト ウ ェ アの使用のすべてが本 EULA の諸条件に準拠 し て い る こ と を、要求時に導入済みの ソ フ ト ウ ェ アの ラ イ セ ン ス数を 示 し た書面に て証明す る も の と し ま す。 お客様は、 デルあ る いはデルが選んだ代理人に対 し 、 通常の業務時間内に本 EULA の順守状況 を 確認す る 妥当な監査 を 行 う 権利 を 付与す る も の と し ま す。 お客様は、 監査に協力 し 、 本 EULA の順守状況に合理的に関連す る すべて の記録を デルに提供す る こ と に同意す る も の と し ます。 監査の結果、 支払済み ラ イ セ ン ス料 に 5 パーセ ン ト を 超え る 差異が見つか っ た場合、 お客様はその他の債務に加え、 監査費用 全額を負担す る も の と し ます。 6. 本契約に含まれないサポー ト お よ びサブ ス ク リ プ シ ョ ン サー ビ ス。 デルは、 本 EULA にお い て 保守 ま た はサポ ー ト のサー ビ ス を 一切提供 し ま せん。 保守サー ビ ス お よ びサポ ー ト サー ビ ス を提供す る場合は、Web サ イ ト www.Dell.com/servicecontracts に掲載 さ れる契約 を別途締結 し て提供す る も の と し ます。 さ ら に本 EULA は、 その内容お よ び EULA 自体に おい て も 、将来のいかな る時で も ア ッ プデー ト に対す る権利を お客様に付与す る も のではあ り ません。 7. 契約の終了。 お客様が本 EULA のいずれかの条件を順守 し な い場合、 ま たは本 ソ フ ト ウ ェ ア も し く は本 ソ フ ト ウ ェ アが付随す る ハー ド ウ ェ アの ラ イ セ ン ス料 を デルが適時に受領 し な い場合は、 デルは事前の通告な し に、 本 EULA を た だ ち に解除で き ま す。 さ ら に、 デル は無償で配布 さ れる ソ フ ト ウ ェ アのいかな る ラ イ セ ン ス について も 、デル独自の裁量で いつ で も 解除で き ます。 本契約のいずれの当事者 も 、 相手方に少な く と も 90 日前に書面で通達 す る こ と に よ り 、 いつで も 本 EULA を解除で き ます。 本 EULA が解除 さ れた場合、 本契約 に従 っ て供与 さ れたすべての ラ イ セ ン スは自動的に終了 し 、お客様はた だ ち に本 ソ フ ト ウ ェ アの使用を中止 し て、本 ソ フ ト ウ ェ アのすべての コ ピ ー を返却ま たは廃棄 し な ければな り ま せん。 本契約の当事者は、 本 EULA の第 3 条、 4 条、 7 条、 10 条、 11 条、 12 条、 17 条、 18 条、 19 条、 20 条、 22 条、 お よ び 23 条に定め ら れる義務の他、 支払に関わる義務につ い て、 本 EULA お よ び / ま たは 本 EULA に基づいて供与 さ れた ラ イ セ ン スがキ ャ ン セル、 終了、 お よ び / ま たは満期 と な っ た後 も 、 その効力が継続す る こ と を認識 し 、 こ れに合意す る も の と し ます。 8. 輸出入お よ び政府規制。 お客様は、 本 ソ フ ト ウ ェ アがア メ リ カ 合衆国の輸出に関す る法律お よ び本品の輸送先ま たは使用先 と な る国におけ る法律が適用 さ れる こ と を知る も の と し 、お 客様が こ れ ら の法律に従 う こ と に同意す る も の と し ます。 こ れ ら の法律下において、 禁止 さ れてい る国 (現時点ではキ ュ ーバ、 イ ラ ン、 北朝鮮、 スーダ ン、 お よ びシ リ ア) 、 禁止 さ れ てい る エ ン ド ユーザーへ、 ま たは禁止 さ れて い る エ ン ド ユーザーのために、 本 ソ フ ト ウ ェ ア を 販売、 リ ー ス、 ま たは転送す る こ と はで き ません。 お客様は、 本 ソ フ ト ウ ェ アが核物 質、 核施設、 核兵器、 ミ サ イ ル も し く は ミ サ イ ル計画の支援、 ま たは化学兵器 も し く は生物 兵器の設計、 開発、 製造、 使用に関わる活動な ど を含む (た だ し 、 必ず し も こ れ ら に限定 さ れない) 大量破壊兵器に関わる活動に使用 さ れな い こ と に特に合意す る も の と し ます。 お客 様は、 本 ソ フ ト ウ ェ ア を 受け渡 し 国か ら 輸送す る 場合、 暗号化ま たは認証な どの本 ソ フ ト ウ ェ アの特定機能が輸入規制の対象に な る可能性があ る こ と 、お よ び適用 さ れる輸入規制の 順守についてはお客様が責任を負 う こ と を理解す る も の と し ます。 ソ フ ト ウ ェ ア お よ びマ ニ ュ アルは、 48 C.F.R. 2.101 で定義 さ れて い る 「商品」 で あ り 、 48 C.F.R. 12.212 で使用 さ れる用語であ る 「商用 コ ン ピ ュ ー タ ー ソ フ ト ウ ェ ア」 お よ び 「商用 コ ン ピ ュ ー タ ー ソ フ ト ウ ェ ア マ ニ ュ アル」 で構成 さ れてい ます。 48 C.F.R. 12.212 お よ び 48 C.F.R. 227.7202-1 ~ 227.7202-4 に従い、 すべての米国政府のエ ン ド ユーザーは、 本契 約に定め る 権利のみ と と も に ソ フ ト ウ ェ ア お よ び マ ニ ュ アル を 取得 し ま す契約人 / 製造者 は Dell Products L.P. で あ り 、その所在地は One Dell Way, Round Rock, Texas 78682 です。 614 | Aventail E-Class SRA 10.7 管理者ガ イ ド 9. 限定保証 .http://www.Dell.com/Warranty に掲載 さ れて い る本 ソ フ ト ウ ェ アの限定保証に別 途定め ら れて い る場合を除 き 、 デルは、 デルが本 ソ フ ト ウ ェ アの使用許諾を供与す る権限を 有 し てい る こ と 、 ま た下記第 14 条お よ び第 16 条 に規定 さ れる場合を除 き 、 かかる ソ フ ト ウ ェ アが、デルが本 ソ フ ト ウ ェ ア と 共に提供す る機能仕様 と 現行マ ニ ュ アルに実質上適合 し てい る こ と のみを保証 し ます。www.Dell.com/Warranty において別途定め ら れて る場合を除 き 、 本限定保証は譲渡不可で、 本 ソ フ ト ウ ェ アの受け渡 し 日か ら 30 日間に限 り 有効です。 お客様、 ま たはお客様の代理人に よ る本 ソ フ ト ウ ェ ア に対す る無許可の変更、 お客様に よ る 乱用、 誤用、 も し く は過失行為、 お客様に よ る 本 ソ フ ト ウ ェ ア と 連動す る イ ン タ ー フ ェ ー ス、 ソ フ ト ウ ェ ア、 ハー ド ウ ェ アの変更、 ま たはお客様に よ る イ ン ス ト ール、 運用、 保守に 関わる デルか ら の指示の反故に起因す る損害、 瑕疵、 故障、 も し く は不具合は、 本限定保証 の保証対象外 と な り ます。 上記の限定保証を除 き 、 デルは、 明示的、 黙示的、 法的で あ るか を問わず、 本 ソ フ ト ウ ェ ア に関す る その他一切の保証を提供せず、 お客様は こ れ ら を受けな い も の と し ます。 ま たデルは特に、 商品性、 特定目的への適合性、 ま た非侵害性に対す る い かな る黙示的な保証 も 放棄 し ます。 デルは、 本 ソ フ ト ウ ェ アの機能がお客様の要求に適合 し てい る こ と 、 ま たは本 ソ フ ト ウ ェ アの動作が妨げ ら れな い こ と 、 エ ラ ーが無い こ と を保証す る も のではあ り ません。 本 ソ フ ト ウ ェ アの選択、 お よ び使用結果につい ては、 お客様が責任 を負 う も の と し ます。本契約に定め ら れた保証不履行に関わる お客様の唯一かつ排他的な救 済、 お よ びデルの全責任は、 デル独自の裁量におい て、 保証不履行を救済すべ く 商業的に妥 当な努力を払 う こ と 、ま たはお客様がデルに支払 っ た本 ソ フ ト ウ ェ アの ラ イ セ ン ス料の返金 と し ます。 こ の保証放棄は、 一部の司法管轄区域では無効の場合があ り 、 お客様は免除ま た は放棄不可な法律に基づ き 保証を受け る権利を保有す る場合があ り ます。かかる保証は本 ソ フ ト ウ ェ アの受け渡 し 日か ら 30 日間に限 り 有効です。 10. 責任の制限。 デルは、 本 EULA お よ び / ま たは本 ソ フ ト ウ ェ ア に起因す る、 ま たは こ れ ら に関連 し て生 じ る偶発的、 間接的、 懲罰的、 特別、 も し く は結果的な損害について、 一切責 任を負わな い も の と し ます。デルは、次の事項については責任を負わな い も の と し ます。(A) 収益、 収入、 利益、 ま たは預金の喪失、 (B) 損失 も し く は破損 し たデー タ や ソ フ ト ウ ェ ア、 シ ス テ ム も し く はネ ッ ト ワー ク の使用不能、 ま たは こ れ ら の回復、 (C) ビ ジ ネ ス機会の喪 失、 (D) 業務の中断ま たは停止、 (E) 業務上の信用ま たは評判の喪失、 ま たは (F) ソ フ ト ウ ェ アの使用不可、 ま たは代替 ソ フ ト ウ ェ ア も し く は物品の調達。 本 EULA の規定 と 矛盾す る いずれの規定に も かかわ ら ず、 本 EULA お よ び / ま たは本 ソ フ ト ウ ェ ア に起因す る、ま たは こ れ ら に関連 し て生 じ る すべての申 し 立て に対す る デルの賠償 責任は、かかる申 し 立ての原因 と な っ た特定の ソ フ ト ウ ェ ア に対 し てデルが受け取 っ た合計 金額を上限 と し ます。 上記の制限、 除外、 責任放棄は、 かかる損害に対す る申 し 立てが契約、 保証、 厳格責任、 過 失、 不法行為、 ま たはその他を根拠 と す る も のかど う かを問わず、 すべての賠償要求に適応 さ れ る も の と し ま す。 本契約に規定 さ れ る 責任の制限が適用法に よ っ て禁 じ ら れて い る 場 合、 本契約の当事者は、 かかる責任の制限が、 その制限が適用法に適合す る ま での範囲にお い てのみ、 自動的に修正 さ れる こ と に同意 し ます。 本契約の当事者は、 本契約に規定 さ れる 責任の制限が、 双方合意の リ ス ク 配分で あ り 、 いかな る限定的救済措置の本質的な目的の不 履行にかかわ ら ず、お よ びかかる責任が生 じ る可能性について当事者が事前に知 ら さ れて い た と し て も 、 該当す る制限が適用 さ れる こ と に合意 し ます。 デルは、 かかる申 し 立ての訴因が最初に発生 し た時点か ら 2 年 以上を経過 し て提訴 さ れた 申 し 立て について、 お客様に対 し て一切責任を負わな い も の と し ます。 11. 補償。 適用法に よ っ て禁 じ ら れて い る場合を除 き 、 デルは、 本 ソ フ ト ウ ェ ア (オープ ン ソ ー ス ソ フ ト ウ ェ アは明確に除外す る) が第三者の特許、 著作権、 企業秘密、 その他の知的財 産権を侵害ま たは悪用 し た と す る第三者か ら の申 し 立て ま たは法的措置について、お客様を 弁護 し 、 ま たお客様に補償す る も の と し ます (以下 「補償請求」)。 さ ら に、 デルの合理的な 意見におい て不利な判決 と な る 可能性が高い と 思われ る 補償請求の早急な通知 を デルが受 け た場合、 デルは独自の裁量におい て、 (A) お客様がかか る ソ フ ト ウ ェ ア を 継続使用で き る 権利 を 取得す る、 (B) 侵害のな い よ う にかかる ソ フ ト ウ ェ ア を 修正す る、 (C) かか る ソ フ ト ウ ェ ア を侵害のな い代替 ソ フ ト ウ ェ ア と 交換す る、 ま たは (D) 侵害す る と さ れる ソ フ ト ウ ェ ア に対 し 、 妥当に減価 し た返金を行 う も の と し ます。 上記にかかわ ら ず、 次の事由に 起因す る補償請求に対 し ては、デルは本条項に規定 さ れる義務を負わな い も の と し ます。(i) 保証お よび ラ イ セ ン ス | 615 デルま たはデルの代行者以外の者に よ っ て行われた本 ソ フ ト ウ ェ アの修正、 (ii) お客様に よ る本 ソ フ ト ウ ェ アの不正使用、 ま たは第三者の製品、 ソ フ ト ウ ェ ア、 も し く はサー ビ ス に関 連す る本 ソ フ ト ウ ェ アの組み合わせ も し く は操作 (申 し 立て ら れた侵害の原因 と な る組み合 わせ) 、 (iii) 申 し 立て ら れた侵害 を 避け る こ と がで き た と 思われ る 本 ソ フ ト ウ ェ アの無償 ア ッ プ デー ト も し く はア ッ プ グ レ ー ド のお客様に よ る 不履行、 ま たは (iv) お客様が提供、 も し く は要求 し た ソ フ ト ウ ェ ア、 その他の資料ま たはプ ロ セ スの組み込みを含む、 お客様の 書面に よ る仕様あ る いは指示に対す る デルの準拠 (総称 し て 「除外 さ れる補償請求」)。 お客 様を補償お よ び弁護す る デルの義務は、 (a) お客様が、 第三者の申 し 立て ま たは法的措置に つい て書面に てデルへ速やかに通知す る こ と 、 (b) デルが、 かかる申 し 立て ま たは法的措置 の弁護お よ び和解を 単独で管理す る権利 を保有す る こ と 、 お よ び (c) お客様が、 かかる申 し 立て ま たは法的措置の弁護お よ び解決でデルに協力す る こ と を条件 と し ます。 本条項は、 第三者の申 し 立て ま たは法的措置に対す る お客様の排他的救済を規定す る も ので、本 EULA ま たはその他に由来す る も のが、お客様に対 し て よ り 多 く の補償を提供す る こ と を デルに義 務付け る こ と はあ り ません。 除外 さ れる補償請求に起因す る、 ま たは何 ら かの形で こ れに関 連 し て生 じ る デルに対す る申 し 立て、 法的措置、 ま たは訴訟につい ては、 お客様が費用を負 担 し てデルを弁護お よ び補償す る も の と し ます。 12. 守秘義務。 お客様は、 (A) 本契約に定め る 権利 を 行使す る ために必要な場合 を 除 き 、 機密 情報を使用 し な い こ と 、 お よ び (B) 機密情報の機密性を維持お よ び保護す る ために最善の 努力 を 払 う こ と に同意 し ま す。 「機密情報」 と は、 デルが開示 し た口頭、 書面、 画像、 機械 可読な情報で、 (i) 機密 と 識別 さ れる も の、 (ii) 書面に よ っ て機密 も し く は専有 と し て指定 さ れる も の、 ま たは (iii) 機密で あ る こ と が合理的に理解 さ れるべ き も のを意味 し ま す。 機 密情報には、 ソ ース コ ー ド 、 本 ソ フ ト ウ ェ アの開発状況、 本 ソ フ ト ウ ェ アのユーザー イ ン タ ー フ ェ ースの外観、 内容、 お よ び流れ、 な ら びに本 ソ フ ト ウ ェ アの内容お よ びマ ニ ュ アル を含む (た だ し 、 必ず し も こ れ ら に限定 さ れな い) 、 本 ソ フ ト ウ ェ ア と その企業秘密が含ま れます。 機密情報には、 (a) 本 EULA の違反に よ ら ず公知 と な っ て い る情報、 (b) かかる 開示以前にお客様が知 っ て いた情報、 ま たは (c) 守秘義務を課せ ら れて い な い第三者か ら お客様が後日正当に入手 し た情報は含まれません。 お客様は、 デルの書面に よ る事前承諾が ない場合、 業務上、 デルの機密情報へのア ク セ ス を必要 と す る、 且つ本契約に定め る守秘義 務を課 さ れて い る お客様の社員お よ び代理人を除 き 、いかな る人物ま たは組織に対 し て も デ ル機密情報へのア ク セ ス を付与 し な い こ と に同意 し ます。こ れ ら の義務には終了期限があ り ません。 限定的な一部の状況におい て、 デルは本 EULA に基づ く お客様に対す る 義務 を 履 行す る ために第三者の関与を必要 と す る場合があ り ます。お客様は本 ソ フ ト ウ ェ ア を使用す る こ と に よ り 、こ の目的のためにデルがかかる第三者に対 し て お客様の情報を提供で き る こ と に同意 し ま す。 デルは本 ソ フ ト ウ ェ アの利用に関す る お客様の情報 を 取得で き る も の と し 、 お客様は、 デルがかかる情報を本 ソ フ ト ウ ェ ア に関連す る マーケ テ ィ ン グ活動を支援す る た め に 匿名 で の統計情報 と し て 用い る こ と が で き る こ と に 同意 し ま す。 お客様か ら の フ ィ ー ド バ ッ ク 、 付加価値を伴 う 変更、 も し く は提案、 ま たは本 ソ フ ト ウ ェ ア に関 し てデル に提供 さ れる その他の情報は、 デルが所有す る も の と し 、 ま たデル機密情報 と みな さ れる も の と し ます。 13. 開発ツ ール。 ソ フ ト ウ ェ ア に、 ス ク リ プ ト 用ツ ール、 API、 見本ス ク リ プ ト な どの開発ツ ー ル (総称 し て 「開発ツ ール」 ) が含まれて い る場合、 お客様はかかる開発ツ ール を用い て、 本 ソ フ ト ウ ェ アの利用 を (本 EULA に定め ら れた範囲内、 お よ び開発ツ ール自体に定め ら れた範囲内において) カ ス タ マ イ ズす る目的においてのみ、 新た な ス ク リ プ ト お よ び コ ー ド を 作成で き ま す。 本 EULA におけ る矛盾す る 規定の有無にかかわ ら ず、 かか る開発ツ ール に含まれる見本ス ク リ プ ト 、ま たはお客様 も し く は第三者に よ っ て作成 さ れた ス ク リ プ ト も し く は他の コ ー ド については、 いかな る保証 も テ ク ニ カ ルサポー ト も 提供 さ れません。 14. 評価 ラ イ セ ン ス。 お客様が評価用の ソ フ ト ウ ェ ア (以下 「評価 ソ フ ト ウ ェ ア」 ) を取得 し た 場合、 お客様は限定 さ れた評価期間のみ、 お よ び内部的な評価目的でのみ、 評価 ソ フ ト ウ ェ ア を使用で き ます。 お客様は、 デルが理由の如何を問わず、 お客様に通知次第即時に、 評価 ソ フ ト ウ ェ ア を評価す る ためのお客様の権利を終了で き る こ と を認識す る も の と し ます。さ ら に評価 ソ フ ト ウ ェ アは、 明示的、 黙示的、 法的、 ま たは他の方法の如何にかかわ ら ず、 い かな る 補償 も 保証 も な く 「現状のま ま」 お客様に提供 さ れま す。 本 EULA におけ る 矛盾す る 規定の有無にかかわ ら ず、 デルは評価期間中お よ び評価期間終了後に おけ る 評価 ソ フ ト 616 | Aventail E-Class SRA 10.7 管理者ガ イ ド ウ ェ アの使用 (あ る いは使用の試み) に起因す る いかな る 直接的、 間接的、 偶発的、 懲罰 的、 特別ま たは結果的な損害に対 し て も 一切責任を負わず、 お客様にサポー ト を提供す る義 務を負い ません。 15. ホ ス ト 型お よ び イ ン タ ーネ ッ ト ア ク セ スが可能な ソ フ ト ウ ェ ア。 本 ソ フ ト ウ ェ アの一部ま たはすべては、 リ モー ト でのホ ス ト 、 も し く は イ ン タ ーネ ッ ト を介 し た ア ク セ スが可能です (「ホ ス ト 型 ソ フ ト ウ ェ ア」)。 そのよ う な場合、 デルは、 召喚令状 も し く は法執行要請の受領 を も っ て、 ま たはデル独自の裁量で、 お客様が本 EULA の条件に違反 し た、 も し く はお客 様が不正、 虚偽的、 も し く は違法行為に関与 し て い る と 見な し た時に、 本ホ ス ト 型 ソ フ ト ウ ェ アの全体 も し く は一部、ま たは本ホ ス ト 型 ソ フ ト ウ ェ アへのお客様のア ク セ ス を一時停 止、 終結、 取 り 消 し 、 も し く は中断す る こ と があ り ます。 デルは、 お客様への事前通知の有 無にかかわ ら ず、 いつ何時で も 本ホ ス ト 型 ソ フ ト ウ ェ ア を変更で き ます。 デルは、 お使いの シ ス テムに イ ン ス ト ール さ れて い る本ホ ス ト 型 ソ フ ト ウ ェ ア に対 し て、 計画的な、 も し く は 計画外の修理ま たは保守、あ る いは リ モー ト でのパ ッ チ ま たはア ッ プ グ レ ー ド を行 う 場合が あ り 、 こ れに よ っ て本ホ ス ト 型 ソ フ ト ウ ェ アの品質が一時的に劣化 し た り 、 本ホ ス ト 型 ソ フ ト ウ ェ アの機能の一部 も し く は全てが停止す る 結果 と な る 可能性があ り ま す。 ア ッ プ デー ト 、 パ ッ チ、 ま たはア ラ ー ト は、 お住ま いの国以外に設置 さ れて い る デルのサーバーか ら 送 付 さ れる場合があ り ます。 デルは、 お客様がそのよ う な作業についての事前通知を受け取る こ と 、 ま たは本ホ ス ト 型 ソ フ ト ウ ェ アの使用が中断 さ れず、 エ ラ ーが発生 し な い こ と を一切 保証 し ません。 16. オー プ ン ソ ース ソ フ ト ウ ェ ア。 本 ソ フ ト ウ ェ アは、 オー プ ン ソ ース ソ フ ト ウ ェ アがバン ド ルな どの方法に よ り 一緒に配布 さ れる場合があ り ますが、 こ れにはオー プ ン ソ ース ソ フ ト ウ ェ アの配布に対す る特定 ラ イ セ ン スの諸条件が適用 さ れます。 こ のオー プ ン ソ ース ソ フ ト ウ ェ アは、 デルに よ っ て 「現状のま ま」 提供 さ れ、 明示的、 黙示的、 ま たは他の方法の 如何にかかわ ら ず、 商品性、 特定目的への適合性、 お よ び非侵害性の黙示的な保証 を 含む (た だ し 、 必ず し も こ れ ら に限定 さ れない) いかな る保証 も 供与 さ れません。 本 EULA にお け る矛盾す る規定の有無にかかわ ら ず、 オー プ ン ソ ース ソ フ ト ウ ェ ア に起因す る、 ま たは こ れに関連 し て生 じ る あ ら ゆ る 申 し 立て に関連 し 、 デルはいかな る 直接的、 間接的、 偶発 的、 懲罰的、 特別、 ま たは結果的な損害に対 し て も 一切責任を負わない も の と し ます。 お客 様は、特定のオープ ン ソ ース ソ フ ト ウ ェ ア ラ イ セ ン スの定めに従い、対応す る ソ ース フ ァ イ ル を 取得す る権利 を 保有す る場合があ り ま す。 本 ソ フ ト ウ ェ ア に対応す る ソ ー ス フ ァ イ ルは、 http://opensource.dell.com、 ま たはデルがお客様に指定す る他の場所か ら 取得で き ま す。 17. 予備的お よ び差止め救済の権利。 お客様は、 本 EULA に定め ら れる規定に対す る お客様の 違反、 ま たは違反す る恐れがあ る場合、 デルに と っ て金銭的な損害賠償が不十分な救済措置 と な る こ と に同意 し ます。 従 っ て、 お客様は、 かかる規定の違反、 ま たは違反の恐れがあ る 場合、 デルが権利を有す る その他の救済措置に加え、 デルの全権利を保守す る ために適切 と さ れる、 かかる予備的ま たは差止めに よ る救済 (お客様がかかる規定に違反す る行為を と る こ と を禁 じ る命令を含む) 、 お よ び特定履行を受け る権利を有す る こ と に同意 し ます。 法に よ っ てデルに付与 さ れる すべての権利お よ び共済措置は、排他的ではな く 累加的に運用 さ れ る も の と し ます。 18. 準拠法 と 言語の選択。 本 EULA は、 国際物品売買契約に関す る国際連合条約を除 き 、 ア メ リ カ 合衆国テ キサス州法に準拠 し ま す。 お客様は、 デル グルー プの本部がテ キサス州に所 在 し 、 本 EULA に基づい て ラ イ セ ン ス付与 さ れ る ソ フ ト ウ ェ ア お よ びかか る ソ フ ト ウ ェ ア に関連 し て販売 さ れる製品の多 く がテ キサス州のデル社員に よ っ て考案、 開発、 お よ び販売 さ れた こ と を 認識す る も の と し ま す。 さ ら にお客様は、 テ キサス州の法律 と 本 EULA には 重要な関係があ り 、 本 EULA お よ び本契約に基づ く 本 ソ フ ト ウ ェ アの ラ イ セ ン ス を 規定す る ためのテ キサス州法の選択が合理的かつ適切で あ る こ と を 認識 し 、 本 EULA お よ び本契 約の当事者間の関係を規定す る ためのかかる法律の選択を承諾す る も の と し ます。本 EULA は英語におい てのみ合意 さ れて お り 、 本 EULA の翻訳版が準備 さ れた、 ま たは交換 さ れた かど う かにかかわ ら ず、 英語版の EULA のみが拘束力 を 持つ も の と し ま す。 上記の例外 と し て、 デルが本 EULA を 英語以外の言語版のみで お客様に提示す る 場合は、 かか る 非英語 版が拘束力を持つ も の と し ます。 お客様は、 英語に堪能なお客様の社員、 顧問、 お よ び / ま たは弁護士の関与お よ び援助に よ り 本 EULA を注意深 く 読み、 お客様の所在地域の弁護士、 お よ び本 EULA に適用 さ れる 法律に規定 さ れ る取 り 引 き に関 し て助言 を 行 う 資格 を 持つ弁 保証お よび ラ イ セ ン ス | 617 護士 と 相談 し 、 本 EULA のいかな る契約条件の意味ま たは効力に関 し て も 一切疑問がな く 、 お客様、ま たは英語が堪能で な いお客様の社員全員のために本 EULA の高品質な翻訳を、か か る 翻訳か ら 生 じ る 可能性のあ る 誤認の リ ス ク を お客様が単独で負 う こ と を 理解 し た上で 取得 し た こ と を、 認識お よ び表明す る も の と し ま す。 本 EULA に関連す る すべての連絡通 信は英語で行 う も の と し ます。 Les parties ont demandé que cette convention ainsi que tous les documents qui s'y rattachent soient rédigés en anglais. (The parties have required that this agreement and all documents related hereto be prepared in English.) (本契約の当事者は、 本契約な ら び に本契約に関連す る すべての文書が英語で準備 さ れるべ き で あ る こ と を求めて い ます。) 19. 紛争の解決 と 仲裁。 本 EULA を起因 と す る、 も し く は本 EULA に関連 し て生 じ た、 ま たは 本 EULA の違反、 解除、 も し く は効力に関連 し て生 じ たお客様 と デル間のいかな る 申 し 立 て、 紛争、 も し く は論争 (それが契約、 不法行為、 ま たはその他に よ る も ので あ る こ と を問 わず、 過去、 現在、 ま たは将来的で あ る こ と を問わず、 制定法、 コ モ ン ロ ー、 故意の不法行 為、 衡平法上の申 し 立て を 含む) は、 最終的には 「国際商工会議所の仲裁規則」 (ICC) に 基づ き 、かかる規則に従 っ て任命 さ れた ソ フ ト ウ ェ アの ラ イ セ ン ス供与に精通 し た一人 も し く は複数の仲裁人に よ っ て解決 さ れる も の と し ます。仲裁は英語に よ っ て行われる も の と し ます。 仲裁に よ る裁定が国際性を有 し 、 ニ ュ ー ヨ ー ク 条約 (外国仲裁判断の承認及び執行に 関す る 条約) に従 っ て執行可能で あ る こ と を 保証す る ため、 仲裁場所は紛争処理委員会に よ っ て合理的に選択 さ れた第三国の商業地区 と し ます。 紛争処理委員会は、 予備的救済、 差 止め救済、 お よ び特定履行な ど を含む (た だ し 必ず し も こ れ ら に限定 さ れな い) 、 裁判所で 発令可能なすべての救済措置を供与で き る権限を持つ も の と し ます。紛争処理委員会のいか な る裁定 も 最終的で あ り 、 裁定後直ち に拘束力を有す る も の と し ます。 ま た、 管轄権を有す る すべての裁判所に、 仲裁判断を判決 と し て登録で き ます。 本契約に基づ く 仲裁におけ る第 三者に帰属す る申 し 立て、 第三者が主張す る申 し 立て、 ま たは第三者の代理が主張す る申 し 立て について、 お客様お よ びデルは結合、 統合、 ま たは包含す る権利を有 さ な い も の と し ま す。 本紛争解決条項の個人的 (非集団的) 性質は、 両当事者の紛争解決の合意の根底を成 し てお り 、 こ れが執行不可能 と な っ た場合は、 仲裁お よ び紛争解決条項の全体が無効 と な り ま す。 上記にかかわ ら ず、 デルは、 本 EULA に基づ く デルの権利 を 保持 し 、 デルが受け る 権 利を有す る差止め救済、 予備的救済、 ま たは特定履行の裁定を求め る ため、 お客様あ る いは 非当事者に対 し 、行政官庁ま たは管轄権を有す る裁判所に申 し 立て を行 う こ と がで き る も の と し ま す。 た だ し 、 本 EULA におけ る いずれかの当事者に起因す る、 ま たはいずれかの当 事者か ら 生 じ る 損害につい ては、 どの よ う な行政官庁ま たは裁判所 も 、 判定や裁定 を 下す (あ る いは仲裁判断宣告 を命 じ る) 権利ま たは権限は有 さ ず、 かかる権利お よ び権限は、 本 契約に準 じ 、 紛争処理委員会に よ っ て排他的に留保 さ れる も の と し ます。 20. 権利の非放棄。 いかな る場合におい て も 、 本 EULA の契約条件の違反、 ま たはオ プ シ ョ ン、 権利、 特権の執行の不履行に対す る 権利の放棄は、 いずれ も 、 その後の違反、 ま たはオ プ シ ョ ン、 権利、 特権の権利放棄 と 解釈 さ れる も のではあ り ません。 21. 不可抗力。 本 EULA のいかな る部分において も 、 履行遅延ま たは不履行が生 じ た場合、 か かる遅延ま たは不履行が火事、 洪水、 爆発、 戦争、 禁輸、 政府の要請、 民間ま たは軍部、 天 災、 運送業者に よ る行為 も し く は不作為、 イ ン タ ーネ ッ ト の不具合、 ま たは こ れ ら に類似す る不可抗力に起因す る限 り 、 デルは責任を一切負い ません。 22. 譲渡禁止。 本契約に規定す る場合を除 き 、 お客様は、 デルの正当な権限を有す る役員に よ る 書面に よ る事前承諾を伴わずに、 書面に よ る合意書、 合併、 統合、 法の運用、 ま たはその他 の方法 を も っ て、 本 EULA に基づ く お客様の利益、 権利、 も し く は義務 を 譲渡ま たは移譲 す る こ と はで き ません。 デルに よ る事前承諾を伴わずに行われた本 EULA の譲渡の試みは、 いずれ も 無効 と な り ます。 23. 完全合意。 お客様が本 ソ フ ト ウ ェ ア に関 し て本 EULA の条件に拮抗す る別の書面に よ る契 約を 締結 し 、 当該契約がお客様お よ びデルの正当な代表者に よ っ て署名 さ れた場合を 除 き 、 本 EULA が、 本 ソ フ ト ウ ェ ア に関 し て ク リ ッ ク ラ ッ プ ラ イ セ ン ス、 シ ュ リ ン ク ラ ッ プ ラ イ セ ン ス、 ま たは類似す る ラ イ セ ン ス ま たは契約を含め、 先行す る書面 も し く は口頭に よ る す べての契約、 保証、 ま たは表明に優先す る こ と を、 お客様は同意す る も の と し ます。 書面に よ り 、 両当事者の正当な代表者に よ っ て執行 さ れな い限 り 、 本 EULA の全体ま たは一部分 の修正ま たは変更が有効 と な り 拘束力 を 持つ こ と はあ り ません。 本 EULA のいずれかの条 618 | Aventail E-Class SRA 10.7 管理者ガ イ ド 項が無効、 ま たは法的強制力がな い こ と が明 ら かに な っ た場合で も 、 その他の条項は引 き 続 き 効力を持つ も の と し ます。契約の文言を起草者に と っ て不利に解釈すべ き と す る いかな る 法律ま たは規則 も 、 本 EULA には適用 さ れない も の と し ます。 24. 通知。 本 EULA に基づ く デルに対す る通知は、 書面を も っ て行い、 下記の住所、 ま たは書 面に よ り 指定 さ れた その他の住所 ( フ ァ ッ ク ス ま たは電子 メ ールを含む) 宛て に送付す る も の と し 、 デルが こ れを受け取 っ た時点で有効 と な り ます。 Dell Inc., Attn:Dell Legal One Dell Way, Round Rock, Texas 78682 Last rev. 021812 補足条件 : ド キ ュ メ ン ト の終了 保証お よび ラ イ セ ン ス | 619 サー ド パーテ ィ パ ッ ケージ Aventail E-Class SRA ソ フ ト ウ ェ アには、 次の第三者 ソ フ ト ウ ェ ア パ ッ ケージが含まれます。 DHCP ク ラ イ ア ン ト : http://roy.marples.name/projects/dhcpcd Heimdal kerberos ラ イ ブ ラ リ : http://www.h5l.org/ Cyrus SASL ラ イ ブ ラ リ : http://asg.web.cmu.edu/sasl/sasl-library.html SSH ラ イ ブ ラ リ : http://www.libssh2.org/ OpenLDAP ラ イ ブ ラ リ : http://www.openldap.org/ Apple ZeroConf レ スポ ン ダ : http://opensource.apple.com/source/mDNSResponder/ Balabit Syslog-NG サーバー : http://www.balabit.com/ SSH デーモ ン : http://www.openssh.org/ SSL ラ イ ブ ラ リ : http://www.openssl.org/ 正規表現 ラ イ ブ ラ リ : http://www.pcre.org/ リ カ バ リ 用 Tiny SSH デーモ ン : https://matt.ucc.asn.au/dropbear/dropbear.html MIT ラ イ セ ン ス : http://en.wikipedia.org/wiki/MIT_license URL 取得 ラ イ ブ ラ リ : http://curl.haxx.se/ Java ロ ギ ン グ ラ イ ブ ラ リ : http://www.slf4j.org/ XML/XSLT 構文解析 ラ イ ブ ラ リ : http://xmlsoft.org/ Java 暗号化 ラ イ ブ ラ リ : http://www.bouncycastle.org/ IINI 構文解析 ラ イ ブ ラ リ : http://ndevilla.free.fr/iniparser/ Java HTML ラ イ ブ ラ リ : http://jsoup.org/ RADVD 固有 ラ イ セ ン ス : http://cvs.litech.org/viewcvs/radvd/COPYRIGHT?rev=1.2&view=markup IPv6 ルー テ ィ ン グ デーモ ン : http://www.litech.org/radvd/ 620 | Aventail E-Class SRA 10.7 管理者ガ イ ド NTP 固有 ラ イ セ ン ス : http://www.eecis.udel.edu/~mills/ntp/html/copyright.html NTP デーモ ン : http://www.ntp.org/ SNMP 固有 ラ イ セ ン ス : http://www.net-snmp.org/about/license.html SNMP ラ イ ブ ラ リ お よ びデーモ ン : http://www.net-snmp.org/ LZ4 圧縮 : http://fastcompression.blogspot.com/p/lz4.html 保証お よび ラ イ セ ン ス | 621 622 | Aventail E-Class SRA 10.7 管理者ガ イ ド 索引 A Active Directory 171 LDAP の構成 184 Microsoft AD サーバーの構成 170 下位 ド メ イ ン 179 動的ユーザー グループの作成 90 AD ツ リ ー 179 Advanced EPC 構成済みのデバイ ス プ ロ フ ァ イル 368 AMC GMS ア ク セスの構成 128 status-Policy の受信者 307 ViewPoint ア ク セスの構成 130 ア カ ウ ン ト 115 イ ン タ ー フ ェ ース 107 概要 105 構成デー タ 131 構成変更の保存 131 ス テー タ ス - 保留中の変更 131 ス テー タ ス ラ イ セ ン スの警告 335 ス テー タ ス - 複数の管理者 127 タ イ ムアウ ト 127, 271, 281 ト ラ ブルシ ュ ーテ ィ ング 556 ページの変更の保存 111 ヘルプの利用 114, 116, 118, 119, 121, 122, 124, 125, 126, 127 ログアウ ト 106, 127 ログ イ ン先 105 AMC のロ グアウ ト 106 Android ク ラ イ ア ン ト 492 Aventail Access Manager イ ン ス ト ール 433 ク ラ イ ア ン ト のプ ロ ビ ジ ョ ニ ン グ 433 Aventail WorkPlace 57, 383 [ イ ン ト ラ ネ ッ ト ア ド レ ス ] ボ ッ ク ス 387 Web シ ョ ー ト カ ッ ト 394 概要 435 カ ス タ ム サイ ト の作成 412 サイ ト の追加 413 シ ョ ー ト カ ッ ト 392 シ ョ ー ト カ ッ ト グループ 395 フ ァ イル共有 リ ソ ース 218 ホーム ページ 384 モバイル デバイ ス 418 ユーザー ア ク セス 15 Aventail 管理 コ ン ソ ール。 AMC を参照 C CA 証明書 158 Cache Cleaner 380, 429 CDP (CRL 配布ポ イ ン ト 160 Citrix エージ ェ ン ト 479, 485, 486, 487 Citrix サーバー フ ァ ーム 479 Config Backup Tool 546 Config Reset Tool 547 Connect Mobile ク ラ イ ア ン ト 437 イ ン ス ト ールのカ ス タ マ イ ズ 448 Connect Tunnel 138, 436 イ ン ス ト ールのカ ス タ マ イ ズ 442 自動更新 73 Connect Tunnel ク ラ イ ア ン ト ト ラ ブルシ ュ ーテ ィ ング (Linux) 571 ト ラ ブルシ ュ ーテ ィ ング (Macintosh) 570 ト ラ ブルシ ュ ーテ ィ ング (Windows) 567 Cookie 変換 246 CRL ( 証明書失効 リ ス ト ) 160 配布ポ イ ン ト 160 D DHCP サーバー 472, 473 DNS 構成 145 E End Point Control Cache Cleaner 380, 429 概要 339 隔離ゾーン 353 拒否ゾーン 352 シナ リ オ 342 制約 66 ゾーン 340, 346 デバイ ス プ ロ フ ァ イル 340, 346 デ フ ォ ル ト ゾーン 355 標準ゾーン 349 有効化 347 EPC、 End Point Control を参照 ESP ESP によ る カ プ セル化を無効 80 概要 71 Exchange ActiveSync のサポー ト 229 F Factory Reset Tool 549 FIPS 違反 328 証明書の管理 328, 330 認定要件 327 秘密情報の消去 331 無効化 331 有効化 329 G Global Management System (GMS) AMC の構成 128 GMS Net Monitor SNMP 監視の構成 296 H Host Validation Tool 550 hosts フ ァ イルによ る リ ダ イ レ ク ト 460 I ICMP、 有効化 268 IP ア ド レ ス 仮想 ( ク ラ ス タ 内 ) 536 ネ ッ ト ワー ク イ ン タ ー フ ェ ース 136 IP ア ド レ ス プール 概要 470 ス タ テ ィ ッ ク 474 ダ イ ナ ミ ッ ク 472, 473 追加 472, 473, 474 iPhone Exchange のサポー ト 229 URL リ ソ ース 218 WorkPlace での分類 420 J Java コ ン ソ ール、 表示 566 | 623 セキ ュ リ テ ィ 警告、 抑制 464 ブ ラ ウザでの有効化 566 JVM、 バージ ョ ンの確認 565 L LDAP 認証 Active Directory 184 SSL と 186 概要 186 サーバー 186 動的ユーザー グループの作成 90 ユーザー名 / パスワー ド 186 Linux オペ レーテ ィ ング シ ス テム OnDemand と ポー ト マ ッ ピ ング 461 ア ク セス エージ ェ ン ト 431 M Macintosh オペ レーテ ィ ング シ ス テム OnDemand 461 ア ク セス エージ ェ ン ト 431 Management Console。 AMC を参照 mySonicWALL.com ア カ ウ ン ト の作成 336 ア プ ラ イ ア ン スの登録 336 製品マニ ュ アル 32 ラ イ セ ン ス管理 335 N Native Access Module 479 ngdial 概要 445 構文 445 ngutil ツール 575 NTP 269 O OnDemand hosts フ ァ イルによ る リ ダ イ レ ク ト 460 概要 457 ク ロ ス プ ラ ッ ト フ ォ ームのサポー ト 461 サポー ト さ れている ア プ リ ケーシ ョ ン 459 ス テー タ ス ウ ィ ン ド ウ 459 テ ス ト 565 デバ ッ グ メ ッ セージ 464 マ ッ プ モー ド 459 リ ダ イ レ ク ト 460 ループバ ッ ク ア ド レ ス 461 ログ 464 OnDemand Tunnel 436 OnDemand のテ ス ト 565 OnDemand ラ イ セ ン ス 表示 333 OWA エ ラ ー 247 P ping コ マ ン ド 268 Pocket PC 437 POST メ ッ セージ 373 R RADIUS ア カ ウン テ ィ ング 81 RADIUS 認証 概要 191 ス マー ト カ ー ド 192 ト ー ク ン 192 ユーザー名 / パスワー ド 192 Rollback Tool 549 624 | Aventail E-Class SRA 10.7 管理者ガ イ ド RSA ClearTrust 203 RSA ClearTrust 認証 203 RSA 認証 概要 195 S scp 37 Setup Tool 作業する際の ヒ ン ト 544 ハイ アベ イ ラ ビ リ テ ィ ク ラ ス タ 535 Setup Wizard 47 SharePoint リ ソ ースへの Web シ ョ ー ト カ ッ ト 394, 395 SNMP SonicWALL MIB デー タ 298 SonicWALL MIB のダウン ロー ド 296 概要 292 構成 293 デー タ の取得 297 SonicWALL Aventail EX6000 図解 42 接続する 45 SonicWALL Aventail EX7000 図解 41 接続する 45 SonicWALL Aventail EX9000 図解 40 接続する 44 SonicWALL Aventail EX-Series ク ラ ス タ リ ングする 531 SonicWALL Connect をサービ ス と し て実行する 451 SonicWALL ア ク セス エージ ェ ン ト Connect Mobile ク ラ イ ア ン ト 437 Web プ ロキシ エージ ェ ン ト 438 概要 15 変換 Web 438 SonicWALL ア プ ラ イ ア ン ス 33 ハイ アベ イ ラ ビ リ テ ィ (HA) ペア 531 ログ フ ァ イル 270 Spike ラ イ セ ン ス 管理 335 適用 337 表示 333 SSH ア ク セ ス 267 SSL 暗号化 LDAP 接続 と 186 Web プ ロキシサービ ス 325 概要 324 構成 325 ネ ッ ト ワー ク ア ク セ ス サービ ス 325 syslog サーバー 275 V ViewPoint Reporting Module AMC の構成 130 VPN から の リ ソ ースの排除 232 W Web ア ク セ ス カ ス タ ム FQDN マ ッ ピ ング 438 カ ス タ ム ポー ト マ ッ ピ ング 438 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル 削除 249 追加 244 表示 244 編集 248 Web サーバー、 ダウ ン ス ト リ ーム 421, 479 Web Web Web Web シ ョ ー ト カ ッ ト 394, 395 ブ ラ ウザ プ ロ フ ァ イル 420, 421 プ ロキシ エージ ェ ン ト 438 プ ロキシ サービ ス OnDemand 457 概要 465 構成 478 Web プ ロキシサービ ス SSL 暗号化 325 ア ク セス ロ グ 271 Web リ ソ ース 216 Web リ ソ ースの フ ィ ル タ リ ン グ 構成 476 Windows Mobile オペレ ーテ ィ ング シ ス テム Connect Mobile ク ラ イ ア ン ト 437 Connect Mobile ク ラ イ ア ン ト の展開 456 WorkPlace のル ッ ク ア ン ド フ ィ ール 418 ア ク セス エージ ェ ン ト 431 Windows Terminal Services エージ ェ ン ト 479, 484, 487 Windows オペ レーテ ィ ング シ ス テム ア ク セス エージ ェ ン ト 431 Windows 名前解決、 構成 146 WorkPlace ワ イル ド カ ー ド 証明書 413 WorkPlace サイ ト コ ピー 413 WorkPlace ス タ イル 定義 416 WorkPlace レ イ アウ ト 定義 416 あ アウ ト バン ド プ ロキシ サーバーのサポー ト 464 ア カ ウ ン ト 、 管理者 115, 583 ア ク セス カ ス タ ム FQDN マ ッ ピ ング 438 カ ス タ ム ポー ト マ ッ ピ ン グ 438 ア ク セス エージ ェ ン ト Connect for Android 492 Connect Mobile ク ラ イ ア ン ト 437 Web プ ロキシ 438 概要 432 パー ソ ナル フ ァ イ アウ ォ ール 557 プ ロ ビ ジ ョ ニ ング 433 変換 Web 438 ア ク セス サービ ス Web プ ロキシ 478 Web リ ソ ースの フ ィ ル タ リ ン グ 476 概要 465 ネ ッ ト ワー ク ト ン ネル 468 ア ク セス ロ グ 271 ア ク セス制御ルール 概要 251 管理 251 構成 251 追加 254, 258 表示 251 複数の URL 242 ベス ト プ ラ ク テ ィ ス 584 編集 263 有効化 252 例、 複数の URL 242 ア ク セス方式 構成 64 ア ク セス方法 概要 431, 432 ア ッ プデー ト フ ァ イル ア ッ プグ レー ド の命名規則 317 適用 316 ホ ッ ト フ ィ ッ ク スの命名規則 318 暗号 Web プ ロキシサービ ス 325 ネ ッ ト ワー ク ア ク セス サービ ス 325 暗号、 利用可能 324 移動 ア ク セ ス制御ルール 263 コ ミ ュ ニ テ ィ 81 ブ ラ ウザ プ ロ フ ァ イル 422 イ ン ス ト ール Aventail Access Manager 433 Aventail Access Manager ( エ ラ ー ロ グ ) 281, 435 Connect Mobile のカ ス タ マ イ ズ 448 ク ラ イ ア ン ト パ ッ ケージのダウ ン ロー ド 441 ク ラ ス タ 534 ハー ド ウ ェ ア 38 イ ン タ ー フ ェ ース 速度の構成 136 ネ ッ ト ワー ク 136 イ ンポー ト 構成 フ ァ イル 303 証明書 156, 158 エージ ェ ン ト ア ク セ ス 432 グ ラ フ ィ カル タ ー ミ ナル 479 エージ ェ ン ト のプ ロ ビ ジ ョ ニ ング (Windows) 433 エ イ リ ア ス、 URL リ ソ ースの 221 エ ク スポー ト 構成 フ ァ イル 303 証明書 157 ログ フ ァ イル 273 オープ ン セ ッ シ ョ ン 定義 287 オ ン ラ イ ン ヘルプ 114, 116, 118, 119, 121, 122, 124, 125, 126, 127 か 隔離ゾーン 353 カ ス タ ム FQDN マ ッ ピ ング Web ア ク セス 438 カ ス タ ム ポー ト マ ッ ピ ング 438 カ ス タ ム ポー ト マ ッ ピ ング Web ア ク セス 438 監査ログ、 管理 コ ン ソ ール 277 監視 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン 284 ア ク テ ィ ブ ユーザー セ ッ シ ョ ンの終了 288 ア プ ラ イ ア ン スの活動 281, 282 ユーザーの検索 284 管理 End Point Control 346 ア ク セ ス制御ルール 251 管理者ア カ ウン ト 115 ク ラ ス タ 537 証明書 157, 162 ユーザー グループ 83, 84 リ ソ ース 215, 550 リ ソ ース グループ 241 管理 コ ン ソ ール監査ログ 277 管理者ア カ ウン ト 概要 115 管理 115 ベス ト プ ラ ク テ ィ ス 583 管理者のセ ッ シ ョ ン 127 管理者の役割 概要 115 定義 120 プ ラ イ マ リ と セ カ ン ダ リ 120 | 625 編集 127 機器 ID 372 判断する 373 起動、 自動 451 逆方向接続 435, 465 ア ク セス制御ルールの追加 258 ア プ リ ケーシ ョ ン ポー ト の保護 253 要件 253 拒否ゾーン 352 ク ラ イ ア ン ト ア ク セス、 ベス ト プ ラ ク テ ィ ス 585 ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージ 概要 441 構成 448 展開 454 ク ラ イ ア ン ト イ ン ス ト ール ログ 281, 435 ク ラ イ ア ン ト / サーバー リ ソ ース 217 ク ラ イ ア ン ト のプ ロ ビ ジ ョ ニ ング (Windows) 433 ト ラ ブルシ ュ ーテ ィ ング 554 ク ラスタ SonicWALL Aventail EX-Series 607 アーキテ ク チ ャ 532 ア ッ プグ レー ド する 539 イ ン ス ト ール 534 仮想 IP ア ド レ ス 536 管理 537 構成 534, 537 ト ラ ブルシ ュ ーテ ィ ング 540 ネ ッ ト ワー ク情報を表示する 537 ネ ッ ト ワー ク を接続する 534 バ ッ ク ア ッ プ 539 フ ェ イルオーバー 533 マルチモー ド 607 ク ラ ス タ ネ ッ ト ワー ク を接続する 534 ク ラ ス タ を ア ッ プグ レー ド する 539 グ ラ フ ィ カル タ ー ミ ナル エージ ェ ン ト Citrix 485, 486 Windows Terminal Services 484 概要 479 グ ラ フ ィ カル タ ー ミ ナル シ ョ ー ト カ ッ ト 486 グループ 管理 241 動的、 LDAP ま たは AD デ ィ レ ク ト リ の使用 90 名前のマ ッ ピ ング 53 ユーザー 53 リ ソ ースの 218, 241 グループ ア フ ィ ニ テ ィ チ ェ ッ ク 211 無効化 170 ク レデン シ ャルの転送 244, 246 更新、 シ ス テム 545 構成 195 AMC のオブ ジ ェ ク ト 112 AMC のデー タ 131 DNS 145 IP ア ド レ ス 136 IP ア ド レ ス プール 470, 472, 473, 474 LDAP 認証 186 RADIUS ア カ ウ ン テ ィ ング 81 RADIUS 認証 191 Setup Wizard によ り 新 し いア プ ラ イ ア ン ス を構成 47 SNMP 293 SSH 267 SSL 暗号化 325 SSL 証明書 147 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル 248 Web プ ロキシ サービ スの設定 478 Web リ ソ ースの フ ィ ル タ リ ン グ 476 626 | Aventail E-Class SRA 10.7 管理者ガ イ ド ア ク セ ス制御ルール 251, 263 ア ク セ ス方式 64 新 し いア プ ラ イ ア ン ス、 概要 37 ア プ ラ イ ア ン スでの保存 305 イ ンポー ト およびエ ク スポー ト 303 管理 303 管理者の役割 127 ク ラ ス タ 534 ク ラ ス タ のネ ッ ト ワー ク 情報 537 更新 545 コ ミ ュ ニ テ ィ 63 時刻設定 269 シ ン グル サイ ン オ ン 201 静的ルー ト 144 認証 166 ネ ッ ト ワー ク ゲー ト ウ ェ イ 139 ネ ッ ト ワー ク ト ンネル サービ スの設定 468 ネ ッ ト ワー ク設定 135 バ ッ ク ア ッ プ 545, 546 フ ァ イルの衝突、 回避 127 複製 307 ブ ラ ウザ プ ロ フ ァ イル 421 ユーザー 93 ユーザー ア ク セス コ ンポーネ ン ト 15, 431 ユーザー グループ 93 ユーザー名 / パスワー ド 認証 186, 192 リ ス ト ア 545 リ セ ッ ト 547 リ ソ ース 231 リ ソ ース グループ 243 ルーテ ィ ン グ 139 レルム 59 ロー カル ユーザー認証 204 ロールバ ッ ク 316 ログ設定 274 構成変更の適用 131 構成変更の破棄 133 構成変更を適用 467 小型携帯端末 Connect Mobile ク ラ イ ア ン ト 437 概要 418 画面の最適化 419 証明書 149 分類方法 420 個人 フ ォルダ、 シ ョ ー ト カ ッ ト 235, 239 コ ピー AMC のオブ ジ ェ ク ト 112 WorkPlace サイ ト 413 ア ク セ ス制御ルール 263 コ マ ン ド ラ イ ン ツール ngdial 445 概要 543 コ ミ ュ ニテ ィ EPC 制約 66 ア ク セ ス方式 64 移動 81 構成 63 デ フ ォ ル ト 80 レルムに対応 62 コ ン ソ ール。 AMC を参照 コ ン テ ン ツ変換 246 さ サーバー syslog 275 タ ー ミ ナル 479, 487 ダウ ン ス ト リ ーム Web 421, 479 認証 167 サーバー証明書 186, 196 サービ ス 概要 465 起動 / 停止 467 サービ ス モー ド 451 サイ ト 、 WorkPlace 413 削除 AMC のオブ ジ ェ ク ト 112 ア ク セス制御ルール 263 参照 さ れている AMC オブ ジ ェ ク ト 134 シ ョ ー ト カ ッ ト 411 リ ソ ース 232 サポー ト マ ト リ ッ ク ス ActiveSync ク ラ イ ア ン ト 28 End Point Control 26 サーバー コ ンポーネ ン ト 28 ネ イ テ ィ ブ ア ク セス 31 参照 さ れている オブ ジ ェ ク ト 、 削除 134 時刻設定 269 自己署名証明書 154 シ ス テム ア ッ プデー ト 316 更新 545 ス テー タ ス 281, 282 バ ッ ク ア ッ プ 545 要件 19 リ ス ト ア 545 シ ス テム ア ッ プデー ト イ ン ス ト ール 319 シ ス テム更新の取 り 消 し 549 シ ス テム時刻 設定 269 自動起動 451 順序変更 コ ミ ュ ニ テ ィ 81 順方向接続 253, 465 ショート カッ ト OWA エ ラ ー 247 Web リ ソ ース 394, 395 グ ラ フ ィ カル タ ー ミ ナル 486 個人 フ ォルダ 235, 239 追加 235, 239, 487 ネ ッ ト ワー ク リ ソ ース 396 フ ァ イル シ ス テム リ ソ ース 396 証明書 Android デバイ スへのイ ンポー ト 495, 499 CRL 配布ポ イ ン ト 160 CSR 応答のイ ンポー ト 154 CSR の送信 152 CSR を生成する 150 FAQ 164 FIPS 互換 328, 330 SSL、 概要 147 WorkPlace 用のワ イル ド カ ー ド 413 ア プ ラ イ ア ン スへのイ ンポー ト 158 エ ク スポー ト 157 管理 157, 162 ク ラ イ ア ン ト (End Point Control) 158 ク ラ イ ア ン ト 証明書失効 160 小型携帯端末 149 サー ド パーテ ィ の取得 150 サーバー 186 自己署名 154 詳細の表示 162 中間 166 認証 196 認証サーバー 196 別の コ ン ピ ュ ー タ からのイ ンポー ト 156 証明書署名要求 応答のイ ンポー ト 154 概要 150 生成する 150 送信 152 商用 CA、 証明書の取得 150 シ ン グル サイ ン オ ン 201, 244, 246 証明書の警告に関する IE の問題 439 ト ン ネル 476 信頼で き るルー ト フ ァ イル 155, 186 ス タ テ ィ ッ ク IP ア ド レ ス プール 474 ス テー タ ス ウ ィ ン ド ウ、 OnDemand 459 ス テー ト フ ル フ ェ イルオーバー 533 スナ ッ プ シ ョ ッ ト ト ラ ブルシ ュ ーテ ィ ング ツール 578 ス プ リ ッ ト ト ン ネル 15, 69 スマー ト カ ー ド 認証 192 スマー ト フ ォ ンのデバイ ス ID 373 静的ルー ト テーブルのイ ンポー ト 144 セキ ュ ア LDAP 認証 186 セッシ ョ ン 管理者 127 終了 288 タ イ ムアウ ト 583 セ ッ シ ョ ン プ ロパテ ィ 変数 234 接続 逆方向 258, 435, 465 順方向 253, 465 相互接続 253, 435, 465 双方向 253, 435, 465 セ ッ ト ア ッ プ プ ロセス Connect Mobile のカ ス タ マ イ ズ 448 Windows でのク ラ イ ア ン ト およびエージ ェ ン ト のプ ロ ビ ジ ョ ニ ン グ 433 ク ラ イ ア ン ト イ ン ス ト ール ログ 435 ク ラ イ ア ン ト セ ッ ト ア ッ プ パ ッ ケージの配布 454 チ ェ ッ ク リ ス ト (AMC ホーム ) 106 ゾーン (End Point Control) 概要 340 隔離 353 拒否 352 定義 341, 371, 377 デバイ ス プ ロ フ ァ イル 346 デ フ ォ ル ト 355 特殊な状況向け 371 表示 348 標準 349 相互接続 253, 435, 465 要件 253 双方向接続 253, 435, 465 た タ ー ミ ナル サーバー 479, 487 ダイナ ミ ッ ク IP ア ド レ ス プール 472, 473 タ イ ムアウ ト AMC セ ッ シ ョ ン 583 SSL ハン ド シ ェ ー ク 327 ダウ ン ス ト リ ーム Web サーバー 421, 479 ダウ ン ロー ド SonicWALL MIB 296 ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージ 441 シ ス テム ア ッ プデー ト 317 | 627 チェ ッ ク リス ト ア プ ラ イ ア ン ス を実稼動に移す 50 初期セ ッ ト ア ッ プ 35 セ ッ ト ア ッ プ プ ロ セス 106 ツール Config Backup Tool 546 Config Reset Tool 547 Factory Reset 549 Host Validation Tool (checkhosts) 550 ngutil 575 Rollback Tool 549 Setup Tool 535, 544 追加 AMC のオブ ジ ェ ク ト 112 CA 証明書 158 IP ア ド レ ス プール 472, 473, 474 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル 244 Web シ ョ ー ト カ ッ ト 394, 395 ア ク セス制御ルール 254, 258 管理者ア カ ウ ン ト 115, 119 管理者の役割 120 シ ョ ー ト カ ッ ト 235, 239, 487 ゾーン 341, 371, 377 デバイ ス プ ロ フ ァ イル 357 認証サーバー 169 認証レルム 59 ネ ッ ト ワー ク シ ョ ー ト カ ッ ト 396 ブ ラ ウザ プ ロ フ ァ イル 421 ユーザー 85, 262 ユーザー グループ 85, 262 リ ソ ース 219, 262 リ ソ ース グループ 241 ルー ト 証明書 157 レルム 59 テ ク ニ カル サポー ト Web サイ ト 611 世界各地のお問い合わせ先 611 北米のお問い合わせ先 611 デバイ ス ID POST メ ッ セージ 373 判断する 373 デバイ ス プ ロ フ ァ イル 概要 340 構成済み (Advanced EPC) 368 定義 357 表示 348 デバ ッ グ メ ッ セージ OnDemand 内 464 ログ レ ベルの設定 274 デフ ォル ト 工場出荷時の設定 547 コ ミ ュ ニ テ ィ 80 ゾーン 355 レルム 56, 58 展開 ア プ ラ イ ア ン スのチ ェ ッ ク リ ス ト 35 ク ラ イ ア ン ト イ ン ス ト ール パ ッ ケージ 454 ト ー ク ン認証 192 動的 LDAP および AD ユーザー グループ 90 ド メ イ ン名、 指定 136 ト ラ ブルシ ュ ーテ ィ ング DNS ル ッ ク ア ッ プ 572 ping 576 traceroute の実行 577 ク ラ イ ア ン ト ト ン ネル セ ッ シ ョ ンのキ ャ プ チ ャ 575 628 | Aventail E-Class SRA 10.7 管理者ガ イ ド ク ラ ス タ 540 構成の 「スナ ッ プ シ ョ ッ ト 」 の取得 578 ツール、 要約 571 ネ ッ ト ワー ク ト ラ フ ィ ッ クのキ ャ プ チ ャ 573 ト ン ネル URL ベースのポ リ シー 476 シ ン グル サイ ン オ ン 476 ト ン ネル ク ラ イ ア ン ト 435 ト ン ネル、 ス プ リ ッ ト 15, 69 な 名前解決、 構成 145, 146 並び替え ア ク セ ス制御ルール 263 認証 Android ク ラ イ ア ン ト 495 RSA ClearTrust 203 概要 166 グループ ア フ ィ ニ テ ィ チ ェ ッ ク 211 構成 166 スマー ト カ ー ド 192 デジ タ ル証明書 196 ト ー ク ン 192 認証サーバー 196 ユーザー名 / パスワー ド 171, 179, 186, 192 レルム 53, 59, 166 連鎖式 207 連鎖式 ( 例 ) 209 ロー カル ユーザー 204 認証サーバー Active Directory 170 LDAP 186 RADIUS 191 RSA 195 RSA ClearTrust 203 概要 167 グループ チ ェ ッ ク の無効化 170 サーバー証明書 196 タ イ プ 167 定義 169 複数 169 認証の転送 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル 244 シ ン グル サイ ン オ ン 246 ネ ッ ト ワー ク ア ク セ ス サービ ス ア ク セ ス ログ 271 ネ ッ ト ワー ク イ ン タ ー フ ェ ース 136 ネ ッ ト ワー ク エ ク ス プ ロー ラ 389 ネ ッ ト ワー ク シ ョ ー ト カ ッ ト 396 ネ ッ ト ワー ク ト ンネル ク ラ イ ア ン ト 概要 435 ト ラ ブルシ ュ ーテ ィ ング ツール 575 ネ ッ ト ワー ク ト ンネル サービ ス 概要 465 構成 468 ト ラ ブルシ ュ ーテ ィ ング 559 ネ ッ ト ワー ク構成 581 ネ ッ ト ワー ク設定 DNS 145 ICMP 268 NTP 269 SSH 267 Windows 名前解決 146 概要 135 シ ス テム ID 136 ネ ッ ト ワー ク イ ン タ ー フ ェ ース 136 ノード マ ス タ ー 533 は ハー ド ウ ェ アのイ ン ス ト ール 38 パスワー ド ベス ト プ ラ ク テ ィ ス 583 変更 117 バッ クア ッ プ ア プ ラ イ ア ン ス構成フ ァ イル 545, 546 ク ラ ス タ の構成デー タ 539 非表示レルム 56, 58 秘密情報の消去 331 表示 ア ク セス制御ルール 251 ク ラ ス タ のネ ッ ト ワー ク 情報 537 シ ス テム ス テー タ ス 281, 282 シ ョ ー ト カ ッ ト 393 証明書の詳細 162 ゾーン 348 デバイ ス プ ロ フ ァ イル 348 リ ソ ース 218 リ ソ ース グループ 218 レルム 55 ログ メ ッ セージ 271 標準ゾーン 349 表示レルム 56, 58 フ ァ イ アウ ォ ール ポ リ シー 36 フ ァ イル ア ッ プデー ト 317 ク ラ イ ア ン ト のイ ン ス ト ール 441 構成 127, 545 信頼で き るルー ト 186 ログ 587 フ ァ イル シ ス テム リ ソ ース ネ ッ ト ワー ク エ ク ス プ ロー ラ 389 ネ ッ ト ワー ク シ ョ ー ト カ ッ ト 396 フ ェ イルオーバー、 ス テー ト フ ル 533 複製 構成デー タ 307 準備 309 要件 308 ブ ラ ウザ Java コ ン ソ ールの表示 566 Java の有効化 566 JVM バージ ョ ンの確認 565 ブ ラ ウザ プ ロ フ ァ イル 移動 422 概要 420 追加 421 プ ロキシ サーバーの識別 464 プ ロキシ自動構成 (.pac) フ ァ イル 78 プ ロ フ ァ イル Android VPN プ ロ フ ァ イル 493 Web ア プ リ ケーシ ョ ン 244 ブ ラ ウザ 420, 421 フ ロ ン ト パネルのイ ン ジケー タ EX6000 ア プ ラ イ ア ン ス 42 EX7000 ア プ ラ イ ア ン ス 41 EX9000 ア プ ラ イ ア ン ス 40 変換 Cookie 246 コ ン テ ン ツ 246 変換 Web エージ ェ ン ト 438 変更の保存 111, 131 変数 組み込み 234 ユーザー ス ト ア ク エ リ ベース 235 リ ソ ースの定義 234 ポー ト マ ッ ピ ング 461 Android デバイ ス上 496 ホッ ト フ ィ ッ クス イ ン ス ト ール 319 確認 318 命名規則 318 ポ リ シー ト ン ネルに対する URL ベース 476 保留中の変更、 適用 131 保留中の変更、 破棄 133 ま マス タ ー ノ ー ド 533 マ ッ ピ ング OnDemand のポー ト 461 グループ名 53 ユーザー名 53 無効化 End Point Control 347 ア ク セ ス制御ルール 252 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン 288 レルム 58 モバイル デバイ ス ID 373 や 役割、 管理者 120, 127 ユーザー ア ク テ ィ ブ セ ッ シ ョ ンの終了 288 概要 53 検索 284 追加 85, 262 名前のマ ッ ピ ング 53 編集 93 ロー カル 94 ユーザー ア ク セス コ ンポーネ ン ト 15, 431 ベス ト プ ラ ク テ ィ ス 585 ユーザー グループ 概要 53 管理 83, 84 追加 85, 262 名前のマ ッ ピ ング 53 編集 93 ユーザー セ ッ シ ョ ン ト ラ ブルシ ュ ーテ ィ ング と 監視 284 ユーザー セ ッ シ ョ ン デー タ エ ク スポー ト 290 ユーザー セ ッ シ ョ ン、 終了 288 ユーザー セ ッ シ ョ ンの終了 288 ユーザーの検索 284 ユーザー名 / パスワー ド 認証 171, 179, 186, 192 有効化 End Point Control 347 ア ク セ ス制御ルール 252 レルム 58 要件 ActiveSync ク ラ イ ア ン ト 28 AMC (Aventail 管理 コ ン ソ ール ) 28 Web プ ロキシ エージ ェ ン ト 438 オペ レーテ ィ ング シ ス テム ( ク ラ イ ア ン ト 上 ) 19 逆方向接続 と 相互接続 253 シ ス テム 19 ト ン ネル ク ラ イ ア ン ト 435 ネ イ テ ィ ブ ア ク セス 31 ブ ラ ウザ ( ク ラ イ ア ン ト 上 ) 19 プ ロキシ ク ラ イ ア ン ト 437 | 629 変換 Web ア ク セス 438 ら ラ イセンス 概要 332 ア ッ プ ロー ド 335 詳細の表示 333 ラ イ セ ン ス を消費する セ ッ シ ョ ン 定義 287 ラ ッ ク のイ ン ス ト ール 38 リストア 工場出荷時の設定 547 前のバージ ョ ン 321 リセッ ト Factory Reset Tool 549 AMC 322 構成 547 リ ソ ース URL、 リ ダ イ レ ク ト さ れた 242 Web 216 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル 244 管理 215 ク ラ イ ア ン ト / サーバー 217 高度なオプ シ ョ ン 220 削除 232 追加 219, 262 排除 リ ス ト 232 表示 218 フ ァ イル シ ス テム 389, 396 編集 231 マ ッ チ ング URL 225 ワ イル ド カ ー ド に よ る指定 219 リ ソ ース グループ 管理 241 削除 243 追加 241 表示 218 編集 243 リ ソ ース変数 234 ループバ ッ ク ア ド レ ス 461 レルム Active Directory 170 RADIUS ア カ ウ ン テ ィ ング 81 概要 53 グループ ア フ ィ ニ テ ィ チ ェ ッ ク 211 検索 85 630 | Aventail E-Class SRA 10.7 管理者ガ イ ド コ ミ ュ ニ テ ィ を参照 62 追加 59 デ フ ォ ル ト 56, 58 非表示 56, 58 表示 55, 56, 58 ベス ト プ ラ ク テ ィ ス 58 無効化 58 有効化 58 レルムの検索 85 連鎖式認証 169 構成 207 ログ イ ンの例 209 ロー カル ユーザー ア カ ウ ン ト CSV フ ァ イル 100 CSV フ ァ イルのテ ン プ レー ト 101 イ ンポー ト 98 エ ク スポー ト 103 既存ロー カル ユーザーのイ ンポー ト 102 ロー カル ユーザー認証 94, 204 ロギング syslog サーバー 275 管理 コ ン ソ ール監査ログ 277 ク ラ イ ア ン ト イ ン ス ト ール ログ 281 構成 274 フ ァ イル形式 271 フ ァ イルのエ ク スポー ト 273 メ ッ セージの表示 271 レ ベル 274 ログ OnDemand 464 ク ラ イ ア ン ト イ ン ス ト ール ログ 435 フ ァ イルの場所 587 ログ イ ン AMC への 105 わ ワ イル ド カ ー ド EPC デバイ ス プ ロ フ ァ イル内 363 ブ ラ ウザ プ ロ フ ァ イル内 421 リ ソ ース指定 219 リ ソ ース排除 リ ス ト 232 ログ メ ッ セージ検索 273 ワン タ イ ム パスワー ド SMTP 構成 212 ワン タ イ ム パスワー ド 二要素認証 212
© Copyright 2024 Paperzz