Secure Access 700 管理ガイド Instant Virtual Extranet Platform Juniper Networks Secure Access 700 管理ガイド リリース 5.2 Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000 www.juniper.net 品番 : 52A101705 This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright © 1986–1997, Epilogue Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no part of them is in the public domain. This product includes memory allocation software developed by Mark Moraes, copyright © 1988, 1989, 1993, University of Toronto. This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentation and software included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by The Regents of the University of California. Copyright © 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved. GateD software copyright © 1995, The Regents of the University. All rights reserved. Gate Daemon was originated and developed through release 3.0 by Cornell University and its collaborators. Gated is based on Kirton’s EGP, UC Berkeley’s routing daemon (routed), and DCN’s HELLO routing protocol. Development of Gated has been supported in part by the National Science Foundation. Portions of the GateD software copyright © 1988, Regents of the University of California. All rights reserved. Portions of the GateD software copyright © 1991, D. L. S. Associates. Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, the NetScreen logo, NetScreen-Global Pro, ScreenOS, and GigaScreen are registered trademarks of Juniper Networks, Inc. in the United States and other countries. The following are trademarks of Juniper Networks, Inc.: ERX, E-series, ESP, Instant Virtual Extranet, Internet Processor, J2300, J4300, J6300, J-Protect, J-series, J-Web, JUNOS, JUNOScope, JUNOScript, JUNOSe, M5, M7i, M10, M10i, M20, M40, M40e, M160, M320, M-series, MMD, NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-SA 1000 Series, NetScreen-SA 3000 Series, NetScreen-SA 5000 Series, NetScreen-SA Central Manager, NetScreen Secure Access, NetScreen-SM 3000, NetScreen-Security Manager, NMC-RX, SDX, Stateful Signature, T320, T640, T-series, and TX Matrix. All other trademarks, service marks, registered trademarks, or registered service marks are the property of their respective owners. All specifications are subject to change without notice. Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned by or licensed to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347, 6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785. Copyright © 2005, Juniper Networks, Inc. All rights reserved. Printed in USA. Juniper Networks NetScreen Secure Access 700 Administration Guide, Release 5.2 Writer: Bill Baker, Paul Battaglia, Claudette Hobbart, Mark Smallwood Editor: Claudette Hobbart Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice. Year 2000 Notice Juniper Networks hardware and software products are Year 2000 compliant. The JUNOS software has no known time-related limitations through the year 2038. However, the NTP application is known to have some difficulty in the year 2036. Software License The terms and conditions for using this software are described in the software license contained in the acknowledgment to your purchase order or, to the extent applicable, to any reseller agreement or end-user purchase agreement executed between you and Juniper Networks. By using this software, you indicate that you understand and agree to be bound by those terms and conditions. Generally speaking, the software license restricts the manner in which you are permitted to use the software and may contain prohibitions against certain uses. The software license may state conditions under which the license is automatically terminated. You should consult the license for further details. For complete product documentation, please see the Juniper Networks Web site at www.juniper.net/techpubs. End User License Agreement READ THIS END USER LICENSE AGREEMENT ("AGREEMENT") BEFORE DOWNLOADING, INSTALLING, OR USING THE SOFTWARE. BY DOWNLOADING, INSTALLING, OR USING THE SOFTWARE OR OTHERWISE EXPRESSING YOUR AGREEMENT TO THE TERMS CONTAINED HEREIN, YOU (AS CUSTOMER OR IF YOU ARE NOT THE CUSTOMER, AS A REPRESENTATIVE/AGENT AUTHORIZED TO BIND THE CUSTOMER) CONSENT TO BE BOUND BY THIS AGREEMENT. IF YOU DO NOT OR CANNOT AGREE TO THE TERMS CONTAINED HEREIN, THEN (A) DO NOT DOWNLOAD, INSTALL, OR USE THE SOFTWARE, AND (B) YOU MAY CONTACT JUNIPER NETWORKS REGARDING LICENSE TERMS. 1. The Parties. The parties to this Agreement are Juniper Networks, Inc. and its subsidiaries (collectively “Juniper”), and the person or organization that originally purchased from Juniper or an authorized Juniper reseller the applicable license(s) for use of the Software (“Customer”) (collectively, the “Parties”). 2. The Software. In this Agreement, “Software” means the program modules and features of the Juniper or Juniper-supplied software, and updates and releases of such software, for which Customer has paid the applicable license or support fees to Juniper or an authorized Juniper reseller. 3. License Grant. Subject to payment of the applicable fees and the limitations and restrictions set forth herein, Juniper grants to Customer a non-exclusive and non-transferable license, without right to sublicense, to use the Software, in executable form only, subject to the following use restrictions: a. Customer shall use the Software solely as embedded in, and for execution on, Juniper equipment originally purchased by Customer from Juniper or an authorized Juniper reseller, unless the applicable Juniper documentation expressly permits installation on non-Juniper equipment. b. Customer shall use the Software on a single hardware chassis having a single processing unit, or as many chassis or processing units for which Customer has paid the applicable license fees. c. Product purchase documents, paper or electronic user documentation, and/or the particular licenses purchased by Customer may specify limits to Customer’s use of the Software. Such limits may restrict use to a maximum number of seats, registered endpoints, concurrent users, sessions, calls, connections, subscribers, clusters, nodes, or transactions, or require the purchase of separate licenses to use particular features, functionalities, services, applications, operations, or capabilities, or provide throughput, performance, configuration, bandwidth, interface, processing, temporal, or geographical limits. Customer’s use of the Software shall be subject to all such limitations and purchase of all applicable licenses. The foregoing license is not transferable or assignable by Customer. No license is granted herein to any user who did not originally purchase the applicable license(s) for the Software from Juniper or an authorized Juniper reseller. 4. Use Prohibitions. Notwithstanding the foregoing, the license provided herein does not permit the Customer to, and Customer agrees not to and shall not: (a) modify, unbundle, reverse engineer, or create derivative works based on the Software; (b) make unauthorized copies of the Software (except as necessary for backup purposes); (c) rent, sell, transfer, or grant any rights in and to any copy of the Software, in any form, to any third party; (d) remove any proprietary notices, labels, or marks on or in any copy of the Software or any product in which the Software is embedded; (e) distribute any copy of the Software to any third party, including as may be embedded in Juniper equipment sold in the secondhand market; (f) use any ‘locked’ or key-restricted feature, function, service, application, operation, or capability without first purchasing the applicable license(s) and obtaining a valid key from Juniper, even if such feature, function, service, application, operation, or capability is enabled without a key; (g) distribute any key for the Software provided by Juniper to any third party; (h) use the Software in any manner that extends or is broader than the uses purchased by Customer from Juniper or an authorized Juniper reseller; (i) use the Software on non-Juniper equipment where the Juniper documentation does not expressly permit installation on non-Juniper equipment; (j) use the Software (or make it available for use) on Juniper equipment that the Customer did not originally purchase from Juniper or an authorized Juniper reseller; or (k) use the Software in any manner other than as expressly provided herein. 5. Audit. Customer shall maintain accurate records as necessary to verify compliance with this Agreement. Upon request by Juniper, Customer shall furnish such records to Juniper and certify its compliance with this Agreement. 6. Confidentiality. The Parties agree that aspects of the Software and associated documentation are the confidential property of Juniper. As such, Customer shall exercise all reasonable commercial efforts to maintain the Software and associated documentation in confidence, which at a minimum includes restricting access to the Software to Customer employees and contractors having a need to use the Software for Customer’s internal business purposes. 7. Ownership. Juniper and Juniper’s licensors, respectively, retain ownership of all right, title, and interest (including copyright) in and to the Software, associated documentation, and all copies of the Software. Nothing in this Agreement constitutes a transfer or conveyance of any right, title, or interest in the Software or associated documentation, or a sale of the Software, associated documentation, or copies of the Software. 8. Warranty, Limitation of Liability, Disclaimer of Warranty. The warranty applicable to the Software shall be as set forth in the warranty statement that accompanies the Software (the “Warranty Statement”). Nothing in this Agreement shall give rise to any obligation to support the Software. Support services may be purchased separately. Any such support shall be governed by a separate, written support services agreement. TO THE MAXIMUM EXTENT PERMITTED BY LAW, JUNIPER SHALL NOT BE LIABLE FOR ANY LOST PROFITS, LOSS OF DATA, OR COSTS OR PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES, OR FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES ARISING OUT OF THIS AGREEMENT, THE SOFTWARE, OR ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. IN NO EVENT SHALL JUNIPER BE LIABLE FOR DAMAGES ARISING FROM UNAUTHORIZED OR IMPROPER USE OF ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. EXCEPT AS EXPRESSLY PROVIDED IN THE WARRANTY STATEMENT TO THE EXTENT PERMITTED BY LAW, JUNIPER DISCLAIMS ANY AND ALL WARRANTIES IN AND TO THE SOFTWARE (WHETHER EXPRESS, IMPLIED, STATUTORY, OR OTHERWISE), INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. IN NO EVENT DOES JUNIPER WARRANT THAT THE SOFTWARE, OR ANY EQUIPMENT OR NETWORK RUNNING THE SOFTWARE, WILL OPERATE WITHOUT ERROR OR INTERRUPTION, OR WILL BE FREE OF VULNERABILITY TO INTRUSION OR ATTACK. In no event shall Juniper’s or its suppliers’ or licensors’ liability to Customer, whether in contract, tort (including negligence), breach of warranty, or otherwise, exceed the price paid by Customer for the Software that gave rise to the claim, or if the Software is embedded in another Juniper product, the price paid by Customer for such other product. Customer acknowledges and agrees that Juniper has set its prices and entered into this Agreement in reliance upon the disclaimers of warranty and the limitations of liability set forth herein, that the same reflect an allocation of risk between the Parties (including the risk that a contract remedy may fail of its essential purpose and cause consequential loss), and that the same form an essential basis of the bargain between the Parties. 9. Termination. Any breach of this Agreement or failure by Customer to pay any applicable fees due shall result in automatic termination of the license granted herein. Upon such termination, Customer shall destroy or return to Juniper all copies of the Software and related documentation in Customer’s possession or control. 10. Taxes. All license fees for the Software are exclusive of taxes, withholdings, duties, or levies (collectively “Taxes”). Customer shall be responsible for paying Taxes arising from the purchase of the license, or importation or use of the Software. 11. Export. Customer agrees to comply with all applicable export laws and restrictions and regulations of any United States and any applicable foreign agency or authority, and not to export or re-export the Software or any direct product thereof in violation of any such restrictions, laws or regulations, or without all necessary approvals. Customer shall be liable for any such violations. The version of the Software supplied to Customer may contain encryption or other capabilities restricting Customer’s ability to export the Software without an export license. 12. Commercial Computer Software. The Software is “commercial computer software” and is provided with restricted rights. Use, duplication, or disclosure by the United States government is subject to restrictions set forth in this Agreement and as provided in DFARS 227.7201 through 227.7202-4, FAR 12.212, FAR 27.405(b)(2), FAR 52.227-19, or FAR 52.227-14(ALT III) as applicable. 13. Interface Information. To the extent required by applicable law, and at Customer's written request, Juniper shall provide Customer with the interface information needed to achieve interoperability between the Software and another independently created program, on payment of applicable fee, if any. Customer shall observe strict obligations of confidentiality with respect to such information and shall use such information in compliance with any applicable terms and conditions upon which Juniper makes such information available. 14. Third Party Software. Any licensor of Juniper whose software is embedded in the Software and any supplier of Juniper whose products or technology are embedded in (or services are accessed by) the Software shall be a third party beneficiary with respect to this Agreement, and such licensor or vendor shall have the right to enforce this Agreement in its own name as if it were Juniper. In addition, certain third party software may be provided with the Software and is subject to the accompanying license(s), if any, of its respective owner(s). To the extent portions of the Software are distributed under and subject to open source licenses obligating Juniper to make the source code for such portions publicly available (such as the GNU General Public License (“GPL”) or the GNU Library General Public License (“LGPL”)), Juniper will make such source code portions (including Juniper modifications, as appropriate) available upon request for a period of up to three years from the date of distribution. Such request can be made in writing to Juniper Networks, Inc., 1194 N. Mathilda Ave., Sunnyvale, CA 94089, ATTN: General Counsel. You may obtain a copy of the GPL at http://www.gnu.org/licenses/gpl.html, and a copy of the LGPL at http://www.gnu.org/licenses/lgpl.html. 15. Miscellaneous. This Agreement shall be governed by the laws of the State of California without reference to its conflicts of laws principles. The provisions of the U.N. Convention for the International Sale of Goods shall not apply to this Agreement. For any disputes arising under this Agreement, the Parties hereby consent to the personal and exclusive jurisdiction of, and venue in, the state and federal courts within Santa Clara County, California. This Agreement constitutes the entire and sole agreement between Juniper and the Customer with respect to the Software, and supersedes all prior and contemporaneous agreements relating to the Software, whether oral or written (including any inconsistent terms contained in a purchase order), except that the terms of a separate written agreement executed by an authorized Juniper representative and Customer shall govern to the extent such terms are inconsistent or conflict with terms contained herein. No modification to this Agreement nor any waiver of any rights hereunder shall be effective unless expressly assented to in writing by the party to be charged. If any portion of this Agreement is held invalid, the Parties agree that such invalidity shall not affect the validity of the remainder of this Agreement. This Agreement and associated documentation has been written in the English language, and the Parties agree that the English version will govern. (For Canada: Les parties aux présentés confirment leur volonté que cette convention de même que tous les documents y compris tout avis qui s'y rattaché, soient redigés en langue anglaise. (Translation: The parties confirm that this Agreement and all related documentation is and will be in the English language)). 目次 このガイドについて 第1部 xi はじめに 第1章 初期確認とキーコンセプト 3 ユーザーのアクセス可能性の検証 .................................................................. 5 IVE の概念とベスト プラクティスを理解するための テスト シナリオの作成............................................................................. 8 ユーザー ロールを定義する...................................................................... 8 リソース ポリシーを定義する ................................................................ 11 認証サーバーを定義する ........................................................................ 13 認証領域を定義する ............................................................................... 16 サインイン ポリシーを定義する ............................................................ 19 テスト シナリオを使用する.................................................................... 22 管理者用のデフォルト設定 ........................................................................... 25 第2部 IVE 製品および機能 第2章 IVE シリーズ 29 Juniper Networks Instant Virtual Extranet プラットフォームの概要.............. 31 IVE プラットフォーム とは .................................................................... 31 IVE プラットフォーム 上に構築された製品はどのように作用するか.... 32 Access Series の概要...................................................................................... 35 アクセス管理の概要 ...................................................................................... 36 ポリシー、規則、制限、および条件 ...................................................... 36 アクセスと承認のフローチャート.......................................................... 37 動的ポリシー評価 ................................................................................... 40 セキュリティ要件の設定 ........................................................................ 42 認証領域の概要 ............................................................................................. 46 認証サーバー .......................................................................................... 46 認証ポリシー .......................................................................................... 48 ディレクトリ サーバー........................................................................... 48 ロール マッピング規則........................................................................... 48 サインイン ポリシーの概要 .......................................................................... 50 サインイン ページ .................................................................................. 50 目次 v Juniper Networks NetScreen Secure Access 700 管理ガイド ユーザー ロールの概要 ................................................................................. 51 ロール タイプ ......................................................................................... 51 ロール コンポーネント........................................................................... 51 ロール評価..............................................................................................52 リソース ポリシーの概要.............................................................................. 54 リソース ポリシー タイプ ...................................................................... 54 リソース ポリシー コンポーネント........................................................ 54 リソース ポリシーの評価 ....................................................................... 55 リソース ポリシー詳細規則.................................................................... 55 第3章 認証と承認 57 証明書の概要................................................................................................. 59 IVE サーバー証明書 ................................................................................ 59 トラステッド クライアント CA .............................................................. 60 トラステッド サーバー CA ..................................................................... 64 コード署名証明書 ................................................................................... 64 エンドポイント防御の概要 ........................................................................... 66 Host Checker の概要 ............................................................................... 67 Cache Cleaner の概要.............................................................................. 76 第4章 リモート アクセス 81 Network Connect の概要 ............................................................................... 83 GINA を使用した Network Connect の自動サインイン........................... 85 ネットワークを Network Connect 用にプロビジョニングする .............. 87 Network Connect リソース ポリシーのアクセス方法を定義する........... 88 クライアントサイド ロギング ................................................................ 89 Network Connect プロキシのサポート ................................................... 90 Network Connect Quality of Service ........................................................ 91 Network Connect マルチキャスト サポート ........................................... 91 E メール クライアントの概要 ....................................................................... 93 E メール クライアントの選択.................................................................93 標準ベースのメール サーバーを使用する .............................................. 94 Microsoft Exchange Server の使用 .......................................................... 94 Lotus Notes および Lotus Notes メール サーバーを使用する ................. 96 Java アプレット アップロードの概要 ........................................................... 97 IVE に Java アプレットをアップロードする ........................................... 97 アップロードした Java アプレットに署名する....................................... 98 アップロードした Java アプレットを参照する HTML ページの作成...... 99 Java アプレットのブックマークへアクセスする .................................... 99 使用例: Citrix JICA 8.0 Java アプレットのブックマークを作成する...... 99 データ転送プロキシの概要 .........................................................................102 第5章 システム管理とサービス 105 ネットワーク設定の概要.............................................................................107 一般的なネットワーク設定を指定する.................................................107 内部ポートと外部ポートを設定する ....................................................107 ネットワーク トラフィックの静的ルートを指定する ..........................108 ARP キャッシュを作成する ..................................................................108 IVE によってローカル解決されるホスト名を指定する ........................108 IP フィルタを指定する .........................................................................109 ログと監視の概要 .......................................................................................110 vi 目次 : 設定ファイルの概要 ....................................................................................112 IVE 設定ファイルをアーカイブする .....................................................112 IVE 設定ファイルのインポートとエクスポート ...................................113 XML 設定ファイルのインポートとエクスポート .................................113 XML インスタンスで作業するための方法 ............................................124 トラブルシューティングの概要 ..................................................................126 イベントのシミュレーションとトラッキング......................................126 IVE システム状態のスナップショットを作成する ...............................127 TCP ダンプ ファイルを作成する ..........................................................127 IVE ネットワークの接続状態をテストする ..........................................127 デバッグ ツールをリモートで実行する................................................128 デバッグ ログを作成する .....................................................................128 多言語サポートの概要 ................................................................................129 第3部 IVE 設定 第6章 タスクのサマリー 133 システム設定 135 Status ページの設定 ....................................................................................137 Overview タブ.......................................................................................137 Active Users タブ ..................................................................................138 Configuration ページの設定 ........................................................................140 Licensing タブ .......................................................................................140 Security ページ .....................................................................................146 Certificates タブ ....................................................................................147 NCP タブ ...............................................................................................159 Client Types タブ ..................................................................................160 Network ページの設定 ................................................................................163 Overview タブ.......................................................................................163 Internal Port タブ ..................................................................................164 External Port タブ .................................................................................165 Routes タブ ...........................................................................................166 Hosts タブ .............................................................................................166 Network Connect タブ ..........................................................................166 Log Monitoring ページの設定 ......................................................................168 Events、User Access、Admin Access、および NC Packet タブ ............168 SNMP タブ ............................................................................................170 Statistics タブ ........................................................................................176 Client-Side Log タブ ..............................................................................176 第7章 Signing In 設定 179 Sign-in ページの設定 ...................................................................................181 Sign-in Policies タブ ..............................................................................181 Sign-in Pages タブ .................................................................................182 End Point ページの設定 ..............................................................................184 Host Checker タブ.................................................................................184 Cache Cleaner タブ ...............................................................................202 目次 vii Juniper Networks NetScreen Secure Access 700 管理ガイド AAA Servers ページの設定 ..........................................................................204 認証サーバー インスタンスを定義する................................................205 認証サーバー インスタンスを変更する................................................205 ローカル認証サーバー インスタンスを構成する .................................206 LDAP サーバー インスタンスの設定 ....................................................211 NIS サーバー インスタンスの設定........................................................214 ACE/Server インスタンスの構成 ...........................................................215 RADIUS サーバー インスタンスの設定.................................................218 Active Directory または NT ドメイン インスタンスの設定...................226 匿名サーバー インスタンスを構成する................................................231 証明書サーバー インスタンスを設定する ............................................233 ユーザー セッションの表示と削除.......................................................235 第8章 管理者設定 237 Authentication ページの設定 .......................................................................239 General タブ..........................................................................................239 Authentication Policy タブ ....................................................................241 Role Mapping タブ ................................................................................242 Delegation ページの設定 .............................................................................248 管理者ロールを設定する ......................................................................248 General タブ..........................................................................................248 第9章 ユーザー設定 253 Authentication ページの設定 .......................................................................255 Roles ページの設定 .....................................................................................256 General ページの設定..................................................................................257 Overview タブ.......................................................................................257 Restrictions タブ ...................................................................................258 Source IP タブ .......................................................................................258 Session Options タブ.............................................................................259 UI Options タブ .....................................................................................261 Web ページの設定 ......................................................................................263 Bookmarks タブ ....................................................................................263 Options タブ .........................................................................................266 Files ページの設定.......................................................................................270 Windows Bookmarks タブ ....................................................................270 UNIX Bookmarks タブ...........................................................................271 Options タブ .........................................................................................272 Telnet/SSH ページの設定.............................................................................273 Sessions タブ ........................................................................................273 Options タブ .........................................................................................274 Network Connect ページの設定...................................................................275 New User ページの設定...............................................................................277 viii 目次 : 第 10 章 リソース ポリシー設定 279 リソース ポリシーのリソースの指定..........................................................281 正式フォーマットについての一般的注意事項......................................281 サーバー リソースの指定 .....................................................................281 詳細規則の記述.....................................................................................283 Web ページの設定 ......................................................................................285 Access タブ ...........................................................................................287 Caching タブ .........................................................................................288 Java タブ ...............................................................................................292 Rewriting タブ.......................................................................................296 Remote SSO タブ ..................................................................................303 Web Proxy タブ ....................................................................................305 Compression タブ .................................................................................307 Options タブ .........................................................................................308 Files ページの設定.......................................................................................309 Windows タブ .......................................................................................311 UNIX/NFS タブ ......................................................................................313 Compression タブ .................................................................................314 Encoding タブ .......................................................................................315 Options タブ .........................................................................................316 Telnet/SSH ページの設定.............................................................................317 Access タブ ...........................................................................................317 Options タブ .........................................................................................318 Network Connect ページの設定...................................................................320 Network Connect Access Control タブ...................................................320 Network Connect Logging タブ .............................................................321 Network Connect Connection Profiles タブ ...........................................322 Network Connect Split Tunneling タブ ..................................................326 使用例: Network Connect リソース ポリシーの設定...........................327 Email Client ページの設定...........................................................................329 第 11 章 メンテナンス設定 331 System ページの設定 ..................................................................................333 Platform タブ ........................................................................................333 Upgrade/Downgrade タブ .....................................................................334 Options タブ .........................................................................................335 Installers タブ........................................................................................335 Import/Export ページの設定........................................................................338 Configuration タブ ................................................................................338 User Accounts タブ ...............................................................................339 XML Import/Export タブ .......................................................................340 XML Import/Export の使用例 ................................................................343 Archiving ページの設定 ...............................................................................349 FTP Server タブ.....................................................................................349 Troubleshooting ページの設定 ....................................................................350 User Sessions タブ ................................................................................350 Session Recording タブ .........................................................................352 System Snapshot タブ ...........................................................................353 TCP Dump タブ.....................................................................................354 Commands タブ....................................................................................355 Remote Debugging タブ........................................................................356 Debug Log タブ .....................................................................................356 目次 ix Juniper Networks NetScreen Secure Access 700 管理ガイド 第4部 追補情報 付録 A IVE シリアル コンソールの使用 359 IVE アプライアンスのシリアル コンソールへの接続 .................................359 直前のシステム状態へのロールバック .......................................................360 IVE アプライアンスを出荷時設定に戻す ....................................................362 共通のリカバリ タスクの実行 ....................................................................365 付録 B カスタム式の記述 367 カスタム式 ..................................................................................................367 システム変数とその例 ................................................................................371 サポートされる RADIUS 属性 ...............................................................379 付録 C クライアント サイドのアプリケーション インストール 387 アプリケーションを実行、インストールするために必要な権利 ...............387 IVE アプリケーションによるクライアント サイドの変更 ..........................389 インストーラ サービス.........................................................................389 Host Checker .........................................................................................390 Cache Cleaner .......................................................................................392 Network Connect...................................................................................394 付録 D アクセス管理制限の設定 397 ソース IP の制限..........................................................................................398 ブラウザの制限 ...........................................................................................399 証明書の制限...............................................................................................401 パスワードの制限 .......................................................................................402 Host Checker の制限....................................................................................403 Cache Cleaner の制限 ..................................................................................405 Limits 制限...................................................................................................406 付録 E ユーザー エラー メッセージ 407 Network Connect エラー メッセージ ..........................................................407 Windows エラー メッセージ ................................................................407 Macintosh エラー メッセージ ...............................................................422 索引.....................................................................................................429 x 目次 Juniper Networks NetScreen Secure Access 700 管理ガイド このガイドについて このガイドは、Secure Access 700 アプライアンスを理解し、設定や保守において必要な 情報について説明しています。ガイドには以下の内容が含まれています。 Secure Access 700 アプライアンスおよび基盤となるアクセス管理システムの概要 Secure Access 700 アプライアンス機能の概要 Secure Access 700 アプライアンスの設定と管理についての説明 対象読者 このガイドは、Secure Access 700 アプライアンスの構成の責任者であるシステム管理者 を対象としています。 お問い合わせ インストールについてのヘルプは、製品に付属の Quick Start Guide を参照してくださ い。 最新ビルドの Secure Access 700 OS、対応する Administration Guide の PDF ファイル、 リリース ノートをダウンロードするには、Juniper Networks のサポートサイトをご覧 ください。 Secure Access 700 の安全に関する情報は、Juniper Networks のサポートサイトから入 手できる Juniper Networks Security Products Safety Guide をご覧ください。 表記上の規則 表 1 は本書の注意事項に関するマークの説明、表 2 は本書を通して使用される文章の書 体についての説明を記載しています。 表 1: 注意事項のマーク アイコン 意味 説明 参考情報 重要な機能あるいは説明を示します。 注意 データの損失やハードウェアの損傷のおそれがあること を示します。 警告 負傷する危険性について警告します。 対象読者 xi Juniper Networks NetScreen Secure Access 700 管理ガイド 表 2: 表記上の規則(コマンド構文を除く) スタイル 説明 例 太字体 ボタン、フィールド名、ダイアログ ボックス名など、ユーザー インター フェースの要素を指します。 Scheduling および Appointment タブを使用し て、会議の予定を立てます。 標準ゴシック体 意味 : 例: コード、コマンド、キーワード コード : URL、ファイル名、ディレクトリ certAttr.OU = 'Retail Products Group' URL: JRE アプリケーションのダウンロード : http://java.sun.com/j2se/ イタリック体 意味 : 例: 文章中で定義されている用語 定義されている用語 : 可変要素 ドキュメント名 RDP クライアントは Windows コンポーネン トで、Windows サーバーとユーザーのコン ピュータ間を接続します。 可変要素 : Users > Roles > ロールを選択 >Terminal Services ページの設定を使用して、ターミナ ル エミュレーション セッションを作成しま す。 ドキュメント : IVE Supported Platforms のドキュメントを参 照してください。 ドキュメント リリース ノート リリース ノートは製品ソフトウェアに付属されており、Web 上でご覧いただくことがで きます。 リリースノートでは、機能、変更、既知の問題、および解決された問題について最新情報 を知ることができます。リリース ノートの内容が付属資料の情報と異なる場合は、リリー ス ノートの内容に従ってください。 Web アクセス Web 上のドキュメントを表示するには、以下のサイトにアクセスしてください。 http://www.juniper.net/techpubs/ カスタマサポートへのお問い合わせ 技術サポートについては、Juniper Networks に電子メールで support@juniper.net 宛てに お問い合わせいただくか、1-888-314-JTAC(米国国内)または 408-745-9500(米国国外か ら)へ電話でご連絡ください。 xii ドキュメント 第1部 はじめに このセクションでは追加の IVE 設定タスクについて紹介しています。これらはネットワー ク上でユーザーアクセスを有効にしたり制御を行うのに必要な概念について理解を深める ことができるよう、設計されています。 目次 3 ページの「初期確認とキーコンセプト」 1 Juniper Networks NetScreen Secure Access 700 管理ガイド 2 第1章 初期確認とキーコンセプト ここでは、IVE の初期インストールと設定の後に行うタスクについて説明します。ここ での内容は、ソフトウェア イメージが管理者 Web コンソールで “Task Guide” に従って 更新され、Secure Access ライセンス キーが生成され適用されていることを前提として います。 目次 5 ページの「ユーザーのアクセス可能性の検証」 8 ページの「IVE の概念とベスト プラクティスを理解するためのテスト シナリオの 作成」 25 ページの「管理者用のデフォルト設定」 第 1 章 : 初期確認とキーコンセプト 3 Juniper Networks NetScreen Secure Access 700 管理ガイド 4 第 1 章 : 初期確認とキーコンセプト Juniper Networks NetScreen Secure Access 700 管理ガイド ユーザーのアクセス可能性の検証 ユーザーが IVE にアクセス可能かどうかを検証するため、システム認証サーバーに簡単に ユーザー アカウントを作成することができます。管理者の Web コンソールでアカウント を作成したら、IVE のユーザーのサインイン ページでそのユーザーでサインインします。 ユーザーのアクセス可能性を検証するには、次の操作を実行します。 1. 管理者の Web コンソールで、Users > New User を選択します。 2. New Local User ページで、ユーザー名 “testuser1” とパスワードを入力し、Save Changes をクリックします。IVE が testuser1 のアカウントを作成します。 3. 別のブラウザ ウィンドウにコンピュータの URL を入力し、ユーザーのサインイン ページにアクセスします。URL には https://a.b.c.d の形式で入力します。“a.b.c.d” は、IVE を最初に設定した際にシリアル コンソールに入力したコンピュータの IP ア ドレスです。セキュリティ警告が表示され、署名された証明書なしで処理を続行する かどうかを尋ねられた場合は、Yes をクリックします。ユーザーのサインイン ページ が表示されたら、IVE アプライアンスに正常に接続しています。 図 1: ユーザーのサインイン ページ 4. サインイン ページで、ユーザー アカウントに対して作成したユーザー名とパスワー ドを入力し、Sign In をクリックして、IVE のユーザー用ホーム ページにアクセスし ます。 ユーザーのアクセス可能性の検証 5 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 2: ユーザー ホーム ページ(デフォルト) 5. ブラウザの Address フィールドに内部 Web サーバーの URL を入力し、Browse をク リックします。同じブラウザのウィンドウに Web ページが表示されます。IVE のホー ム ページに戻るには、移動先の Web ページに表示されたブラウジング ツールバーの 中央にあるアイコンをクリックします。 図 3: ブラウジング ツールバーが表示された Web ページの例 6 ユーザーのアクセス可能性の検証 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. IVE のホーム ページで、外部企業サイトへの URL を入力し、Browse をクリックしま す。Web ページが同じブラウザのウィンドウに開きます。IVE のホーム ページに戻る には、ブラウジング ツールバーを使用します。 7. IVE のホーム ページで Browsing > Windows Files をクリックして、Windows の利用 可能なファイル共有を参照するか、Browsing > UNIX/NFS Files をクリックして、 UNIX/NFS の利用可能なファイル共有を参照します。 ユーザーのアクセス可能性を検証が済んだら管理者 Web コンソールに戻り、8 ページの 「IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成」に記述され ているキーコンセプトに関する説明をお読みください。 ユーザーのアクセス可能性の検証 7 Juniper Networks NetScreen Secure Access 700 管理ガイド IVE の概念とベスト プラクティスを理解するための テスト シナリオの作成 IVE は柔軟なアクセス管理システムを提供しています。ロール、リソース ポリシー、認証 サーバー、認証領域、およびサインイン ポリシーを使用して、ユーザーのリモート アク セスを容易にカスタマイズすることができます。これらのエンティティをすぐに使用でき るよう、それぞれのデフォルト値が IVE に設定されています。このセクションでは、これ らのデフォルト設定と、以下のタスクを使用して各アクセス管理エンティティを作成する 方法について説明します。 8 ページの「ユーザー ロールを定義する」 11 ページの「リソース ポリシーを定義する」 13 ページの「認証サーバーを定義する」 16 ページの「認証領域を定義する」 19 ページの「サインイン ポリシーを定義する」 メモ : IVE は、次の 2 種類のユーザーをサポートしています。 管理者 - 管理者は、IVE の構成設定を表示したり、修正を行います。最初の管理者ア カウントは、シリアル コンソールで作成します。 ユーザー - ユーザーは、管理者の設定に基づいて IVE を使用し、企業リソースに アクセスします。最初のユーザー アカウント “testuser1” は、5 ページの「ユーザー のアクセス可能性の検証」で作成します。 以下のテスト シナリオでは、IVE のアクセス管理要素を使用して、ユーザーのアクセス パラメータを設定することに重点を置いています。管理者用のシステム デフォルト設定 の詳細については、25 ページの「管理者用のデフォルト設定」を参照してください。 ユーザー ロールを定義する ユーザー ロール は、ユーザーのセッション パラメータ、個人設定、および有効なアクセ ス機能1 を定義するエンティティです。IVE は、認証されたユーザーに 1 つ以上のロール を割り当てます。そのロールに指定されたオプションによって、IVE のセッション中に ユーザーがアクセスできるリソースのタイプが定義されます。 IVE には、“Users” というユーザー ロールがあらかじめ設定されています。既定のこのロー ルは、Web のブラウズやファイルの参照のアクセス機能を有効にし、“Users” ロールが割り 当てられているすべてのユーザーに対し、インターネット、企業の Web サーバー、使用可 能な Windows および UNIX/NFS のファイル サーバーへのアクセスを可能にします。この ロールは、Users > Roles ページに表示することができます。 メモ : 任意のロールに対して 1 つ以上のアクセス機能を有効にした後は(Users > Roles > ロール名 ページで設定)、各アクセス機能の Configuration タブから対応するオ プションを設定します。 1. アクセス機能には、Web のブラウズ、ファイルのブラウズ、Telnet/SSH、Network Connect、および Secure Email Client があります。 8 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 Juniper Networks NetScreen Secure Access 700 管理ガイド ユーザー ロールを定義するには、次の操作を行います。 1. 管理者の Web コンソールで、Users > Roles を選択します。 2. Roles ページで New Role をクリックします。 3. New Role ページの Name フィールドに “Test Role” と入力し、Save Changes をク リックします。“Test Role” に対する General > Overview ページが表示されるのを待 ちます。 4. Overview ページで、Access features の下の Web チェックボックスをオンにして、 Save Changes をクリックします。 5. Web > Options を選択します。 6. Browsing で、User can type URLs in the IVE browser bar チェックボックスをオン にして、Save Changes をクリックします。 上記のステップを完了すると、ユーザー ロールが定義されます。リソース ポリシーを作 成するとき、それらをこのロールに適用することができます。また、認証領域に定義した ロール マッピング規則によって、ユーザーにこのロールを割り当てることが可能です。 メモ : Web のブラウズやファイル参照を有効にするユーザー ロールをすばやく作成す るには、“Users” ロールを複製し、必要に応じて追加のアクセス機能を有効にします。 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 9 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 4: Users > Roles > New Role ページ 図 5: Users > Roles > Test Role > General > Overview 10 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 Juniper Networks NetScreen Secure Access 700 管理ガイド リソース ポリシーを定義する リソース ポリシーとは、以下を定義するシステム規則です。 ポリシーを適用するリソース(URL、サーバー、ファイルなど) ポリシーを適用するユーザー(ロールなどのセッション変数によって指定) IVE がリソースへのアクセスを許可するかどうか、またはアクションを実行するかど うか IVE には、次の 2 種類のリソース ポリシーがあらかじめ設定されています。 Web Access - 既定のリソース ポリシー “Web Access” では、IVE を通じてすべての ユーザーがインターネットおよび企業のすべての Web サーバーにアクセスできます。 このリソース ポリシーは、デフォルトで “Users” ロールに適用されています。 Windows Access - 既定のリソース ポリシー “Windows Access” では、Users ロール が割り当てられたすべてのユーザーが、企業のすべての Windows ファイル サーバー にアクセスできます。このリソース ポリシーは、デフォルトで Users ロールに適用さ れています。 デフォルトの Web リソース ポリシーとファイル リソース ポリシーは、Resource Policies > Web > Access ページ、および Resource Policies > Files > Windows > Access ページで見ることができます。 メモ : Web およびファイルのすべてのコンテンツにユーザーがアクセスすることについ て問題がある場合は、デフォルトのリソース ポリシー “Web Access” と “Windows Access” を削除してください。 リソース ポリシーを定義するには、次の操作を行います。 1. 管理者の Web コンソールで、Resource Policies > Web > Access を選択します。 2. Web Access Policies ページで、New Policy をクリックします。 3. New Policy ページで、次の操作を行います。 4. a. Name フィールドに “Test Web Access” と入力します。 b. Resources フィールドに “http://www.google.com” と入力します。 c. Roles で Policy applies to SELECTED roles を選択し、Available Roles フィールド で “Test Role” を選択して Add をクリックします。これにより Test Role が Selected Roles フィールドに移動します。 d. Action で、Deny access を選択します。 e. Save Changes をクリックします。“Test Web Access” が Web Access Policies ペー ジに追加されます。 Web Access Policies ページの Policies リストで、“Test Web Access” の横のチェック ボックスをオンにします。その行が、表中に黄色で強調表示されます。 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 11 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. ページの上にある上向き矢印 をクリックして “Test Web Access” 行をビルトイン の “Initial Open Policy” 行の上に移動し、Save Changes をクリックします。 メモ : IVE は、リストの順番でリソース ポリシーの処理を行います。ユーザーに適切な リソース制限が適用されるようにするには、リソース ポリシー リストを、最も制限の 厳しいポリシーから最も制限の緩いポリシーの順序に並べ替えます。つまり、最も制限 の厳しいポリシーがリストの先頭にくるようにします。 上記のステップを完了すると、“Web Access” リソース ポリシーが設定されます。Web Access Policies リスト内の次のポリシーが、全ユーザーに対してすべての Web リソースへ のアクセスを許可している場合でも、“Test Role” が割り当てられたユーザーは http://www.google.com にアクセスすることができません。それは、“Test Role” が割り当て られたユーザーが、最初のポリシーである “Test Web Access” の条件を満たしているため 最初のポリシーが優先されるからです。 図 6: Resource Policies > Web > Access > New Policy 12 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 7: Resource Policies > Web > Access - ポリシーの順序の変更 認証サーバーを定義する 認証サーバー とは、ユーザーの資格情報(ユーザー名とパスワード)に加え、一般にグ ループや属性情報を保存するデータベースです。ユーザーは、IVE にサインインするとき に、認証サーバーに関連付けられた認証領域を指定します。IVE はユーザーの資格情報を この認証サーバーに転送して、ユーザーの身元を検証します。 IVE は、Windows NT Domain、Active Directory、RADIUS、LDAP、NIS、RSA ACE/ サー バー、SAML サーバー、および Netegrity SiteMinder など最も標準的な認証サーバーをサ ポートしており、IVE で認証するユーザーのローカル データベースを 1 つ以上作成する ことができます。IVE には、ユーザー用のローカル認証サーバー “System Local” があらか じめ設定されています。この既定のローカル認証サーバーは IVE のデータベースで、ユー ザー認証用のユーザー アカウントをすばやく作成することができます。これにより、外部 認証サーバーにユーザー アカウントを作成する必要がなくなるため、テストでの使用や サードパーティにアクセスを提供する際に便利です。 既定のローカル認証サーバーは、Signing In > AAA Servers ページで見ることができ ます。 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 13 Juniper Networks NetScreen Secure Access 700 管理ガイド メモ : IVE は、承認サーバーもサポートしています。承認サーバー(またはディレクト リ サーバー)とは、ユーザーの属性やグループ情報を保存するデータベースです。ディ レクトリ サーバーを使用して、ロール マッピング規則およびリソース ポリシーに必要 なユーザーの属性情報やグループ情報を取得するよう、認証領域を設定することができ ます。 認証サーバーを定義するには、次の操作を行います。 1. 管理者の Web コンソールで、Signing In > AAA Servers を選択します。 2. Authentication Servers ページで、New リストから IVE Authentication を選択し、 New Server をクリックします。 3. NewIVE Authentication ページで、Name フィールドに “Test Server” と入力し、Save Changes をクリックします。IVE から変更の保存が通知されるまで待ちます。その 後、Configuration タブが表示されます。 4. Users タブをクリックして、New をクリックします。 5. New Local User ページで Username フィールドに “testuser2” と入力し、パスワード を入力して、Save Changes をクリックします。認証サーバー “Test Server” にユー ザーのアカウントが作成されます。 上記のステップを完了すると、ユーザー アカウントを 1 つ含む認証サーバーが作成され ます。このユーザーは、認証サーバー “Test Server” を使用する認証領域にサインインする ことができます。 メモ : IVEWeb コンソールは、Last Sign-in Statistic 項目の Users タブに、各認証サー バーのそれぞれのユーザー アカウントに対する前回のアクセス統計情報を提供します。 提供される統計には、各ユーザーが前回正常にサインインした時の日時、ユーザーの IP アドレス、エージェントとブラウザの種類とバージョンが含まれます。 14 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 8: Signing In > AAA Servers > New Server 図 9: Signing In > AAA Servers > Test Server > Users > New IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 15 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 10: Signing In > AAA Servers > Test Server > Users 認証領域を定義する 認証領域とは認証リソースを分類するもので、次のようなものがあります。 16 認証サーバー。ユーザーを確認します。IVE は、サインイン ページで得た資格情報を 認証サーバーに転送します。 領域セキュリティの条件を定義する認証ポリシー。IVE が確認のために資格情報を認 証サーバーに送信する前に、この要件を満たしている必要があります。 ディレクトリ サーバー。ロール マッピング規則やリソース ポリシーで必要なユー ザーとグループの属性情報を IVE に提供する、LDAP サーバーです(オプション)。 ロール マッピング規則。ユーザーにロールを割り当てる場合に、ユーザーが満たす 必要のある条件です。この条件は、領域のディレクトリ サーバー、個人のユーザー 名、または証明書属性によって返される情報に基づいています。 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 Juniper Networks NetScreen Secure Access 700 管理ガイド IVE には、“Users” というユーザー領域があらかじめ設定されています。既定のこの領域 は、認証サーバー “System Local” と、最低 4 文字のパスワードが必要な認証ポリシーを 使用し、ディレクトリ サーバーは使用しません。また、“Users” 領域にサインインするす べてのユーザーに “Users” ロールを割り当てるロール マッピング規則を含んでいます。5 ページの「ユーザーのアクセス可能性の検証」で作成した “testuser1 “ アカウントは、認 証サーバー “System Local” に作成されるため、“Users” 領域に含まれます。13 ページの 「認証サーバーを定義する」で作成した “testuser2” アカウントは、“Users” 領域に含まれま せん。このアカウントは、“Users” 領域が使用していない新しい “Test Server” 認証サー バーに作成されているからです。 デフォルトのユーザー認証領域は、Users > Authentication ページで見ることができます。 認証領域を定義するには、次の操作を行います。 1. 管理者の Web コンソールで、Users - Authentication を選択します。 2. User Authentication Realms ページで New をクリックします。 3. New Authentication Realm ページで、次の操作を行います。 a. Name フィールドに、“Test Realm” と入力します。 b. Servers で、Authentication リストから “Test Server” を選択します。 c. Save Changes をクリックします。IVE から変更の保存が通知されるまで待ちま す。その後、領域の Configuration タブが表示されます。 4. Role Mapping タブで New Rule をクリックします。 5. Role Mapping Rule ページで次の操作を行います。 a. Rule: If username... で、値フィールドに “testuser2” と入力します。 b. ...then assign these roles の Available Roles フィールドで “Test Role” を選択し、 Add をクリックします。“Test Role” が Selected Roles フィールドに移動します。 c. Save Changes をクリックします。 上記のステップを完了すると、認証領域の作成が終了します。この領域は、Test Server を 使用してユーザーを認証し、ロール マッピング規則を使用して “testuser2” に “Test Role” を割り当てます。“Test Role” にはリソース ポリシー “Test Web Access” が適用されている ために、このロールが割り当てられたユーザーは http://www.google.com にアクセスする ことができません。 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 17 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 11: Users > Authentication > New Realm 18 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 12: Users > Authentication > Test Server > New Rule サインイン ポリシーを定義する サインイン ポリシーとは、以下を定義するシステム規則です。 ユーザーが IVE へサインインするときの URL ユーザーに表示するサインイン ページ IVE が資格情報を送信する認証領域を、ユーザーが入力または選択する必要があるか どうか サインイン ポリシーを適用する認証領域 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 19 Juniper Networks NetScreen Secure Access 700 管理ガイド すべての Access Series および Access Series FIPS IVE には、ユーザーに適用する “*/ “ とい うサインイン ポリシーがあらかじめ設定されています。このデフォルトのユーザー サイ ンイン ポリシー “*/” では、ユーザーが URL を入力するとユーザー用のデフォルトのサイ ンイン ページが表示され、複数の領域が存在する場合はユーザーに認証領域を選択する よう要求されます。サインイン ポリシー “*/” は、認証領域 “Users” に適用するように設定 されているため、16 ページの「認証領域を定義する」で作成した認証領域には適用され ません。 デフォルトのユーザー サインイン ポリシーは、Signing In > Sign-in > Sign-in Policies ページで見ることができます。 デフォルトのサインイン ポリシーは、すべてのユーザーに適用されます。IVE ユーザーのサ インイン ページへの URL は、“*/employees” などをパスに追加することで修正できますが、 サインイン ポリシーの追加は、IVE のアドバンスト ライセンスを購入しない限り、行うこ とはできません。 サインイン ポリシーを定義するには、次の操作を行います。 1. 管理者の Web コンソールで、Signing In > Sign-in > Sign-in Policies を選択します。 2. Sign-in Policies ページで */ をクリックします。 3. */ ページで、次の操作を行います。 a. Sign-in URL フィールドで、“*/” の後に “test” を入力します。 b. Authentication realm で、User picks from a list of authentication realms を選択 し、Available Roles フィールドで “Test Realm” を選択してから、Add をクリッ クします。“Test Realm” が Selected Realms フィールドに移動します ( “Users” ロールが Selected Realms フィールドに表示されない場合、“Users” ロールに対 してこの処理を繰り返します)。 c. Save Changes をクリックします。 上記のステップを完了すると、デフォルトのユーザー サインイン ポリシーの修正が終了 します。 オプション : 20 1. Signing In > Sign-in > Sign-in Pages を選択し、New Page をクリックします。 2. New Sign-In Page ページで、Name フィールドに “Test Sign-in Page” と入力し、 Background color フィールドに “#FF0000” (赤)と入力して Save Changes をクリッ クします。 3. Signing In > Sign-in > Sign-in Policies を選択し、New URL をクリックします。 4. New Sign-in Policy ページで、Name フィールドに “*/test/” と入力し、Sign-in Page フィールドで “Default Sign-in Page” を選択して、Save Changes をクリックします。 5. Signing In > Sign-in > Sign-in Policies を選択し、User URLs で */test/ をクリックし ます。 6. */test/ ページで、Sign-in page リストから “Test Sign-in Page” を選択し、Save Changes をクリックします。 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 Juniper Networks NetScreen Secure Access 700 管理ガイド このオプションのステップを完了すると、サインイン ポリシー “*/test/” に関連付けられ た新しいサインイン ページの定義が終了します。 図 13: Signing In > Sign-in > Sign-in Policies > */ IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 21 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 14: Signing In > Sign-in > Sign-in Policies > */test/ ― 新しいサインイン ページの使用 テスト シナリオを使用する テスト シナリオでは、次の操作を行うことができます。 変更されたデフォルトのサインイン ポリシーを使用して、ユーザーの Web コンソー ルにアクセスする。 Test Server に作成されたユーザーとして、Test Realm にサインインする。 Web ブラウズ機能をテストする。Test Role と Test Web Access が正しく設定されてい る場合に可能。 テスト シナリオを使用するには、次の操作を行います。 1. 22 ブラウザで、コンピュータの URL の後に “/test” と入力し、ユーザーのサインイン ページにアクセスします。URL には https://a.b.c.d/test の形式で入力します。 “a.b.c.d” は、初期の設定でシリアル コンソールに入力したコンピュータの IP アド レスです。セキュリティ警告が表示され、署名された証明書なしで処理を続行するか どうかを尋ねられた場合は、Yes をクリックします。ユーザーのサインイン ページが 表示されたら、IVE アプライアンスに正常に接続しています。 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 15: ユーザーのサインイン ページ メモ : 19 ページの「サインイン ポリシーを定義する」でオプションの設定手順を実行 した場合、ヘッダーの色は赤です。 2. サインイン ページで、Test Server に作成したユーザー アカウントのユーザー名とパ スワードを入力し、Realm フィールドに “Test Realm” と入力します。次に Sign In を クリックし、ユーザー用の IVE ホーム ページにアクセスします。 IVE は Test Realm に資格情報を転送します。Test Realm は、Test Server を使用するよ う設定されています。この認証サーバーによって検証が正しく行われると、IVE は、 Test Realm 用に定義されたロール マッピング規則を処理します。これにより、 “testuser2” に Test Role が割り当てられます。Test Role は、ユーザーに対して Web ブ ラウズ機能を有効にします。 図 16: ユーザー ホーム ページ IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 23 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. ブラウザの Address フィールドに、企業 Web サイトへの URL を入力し、Browse を クリックします。同じブラウザのウィンドウに Web ページが表示されます。IVE の ホーム ページに戻るには、移動先の Web ページに表示されたブラウザ ツールバーの 中央にあるアイコンをクリックします。 4. IVE のホーム ページで “www.google.com” と入力し、Browse をクリックします。リ ソース ポリシー “Test Web Access” は、Test Role が割り当てられたユーザーに対し、 このサイトへのアクセスを拒否するため、エラー メッセージが表示されます。 図 17: リソースの拒否によるエラー メッセージの例 5. IVE のホーム ページに戻り、Sign Out をクリックして、ユーザーのサインイン ペー ジに戻ります。 6. “testuser1” の資格情報を入力し、Users 領域を指定して、Sign In をクリックします。 7. IVE のホーム ページで “www.google.com” と入力し、Browse をクリックします。Web ページが同じブラウザ ウィンドウに開きます。 テスト シナリオでは、IVE の基本的なアクセス管理メカニズムを説明しています。領域の 認証ポリシーやユーザーのグループ メンバーシップなどの可変要因に基づいて、非常に 高度なロール マッピング規則やリソース ポリシーを作成し、ユーザーのアクセスを制御 することができます。オンライン ヘルプの内容を参照し、IVE のアクセス管理についてよ り理解されることをお勧めします。 メモ : 24 IVE を自社用に設定される場合、ユーザー アクセス設定を上記の順序で行うことを お勧めします。 詳細な設定についての情報は、オンライン ヘルプまたは管理ガイドの PDF を参照し てください。管理ガイドの PDF は、オンライン ヘルプからアクセスするか、サポー ト サイトから入手することができます。 外部から IVE へのアクセスを可能にする場合は、事前に信頼できる認証機関(CA)か ら署名されたデジタル証明書をインポートすることをお勧めします。 IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成 Juniper Networks NetScreen Secure Access 700 管理ガイド 管理者用のデフォルト設定 IVE は、管理者用のアカウントをすばやく設定するために、ユーザーと同様のデフォルト 設定を提供しています。以下は、管理者のシステム デフォルト設定について簡単に説明し ています。 管理者ロール .Administrators - このビルトイン ロールを使用して、管理者は IVE のすべての 面を管理することができます。シリアル コンソールで作成した管理者ユーザーに は、このロールが割り当てられます。 .Read-Only Administrators - このビルトイン ロールは、ロールが割り当てられ たユーザーに対し、IVE の設定すべてを参照することを許可します(ただし、設 定はできません)。管理者のアクセスを制限したい場合、このロールを割り当て る必要があります。 メモ : 管理者ロールを追加登録するには、アドバンスト ライセンスが必要です。 Administrators ローカル認証サーバー - 認証サーバー “Administrators” は、管理者 アカウントを保存する IVE のデータベースです。最初の管理者アカウントを、シリア ル コンソールを通じてこのサーバーに作成します (IVE は、シリアル コンソールを 通して作成した管理者アカウントをすべてこのサーバーに追加します)。このローカ ル サーバーを削除することはできません。 Admin Users 認証領域 - 認証領域 “Admin Users” は、デフォルトの認証サーバー “Administrators” と、最低 4 文字のパスワードを要求する認証ポリシーを使用し、 ディレクトリ サーバーを使用しません。また、“Admin Users” 領域にサインインする すべてのユーザーに “. Administrators” ロールを割り当てるロール マッピング規則を 含んでいます。シリアル コンソールで作成した管理者アカウントは、“Admin Users” 領域に含まれます。 */admin サインイン ポリシー - デフォルトの管理者サインイン ポリシー “*/admin” では、ユーザーが IVE の URL の後に “/admin” を入力した場合、管理者用のデフォル トのサインイン ページが表示されます。さらにこのポリシーでは、管理者は認証領域 を選択するよう要求されます(複数の領域が存在する場合)。サインイン ポリシー “*/admin” は “Admin Users” 認証領域に適用されるように設定されているため、シリ アル コンソールで作成した管理者アカウントに適用されます。 管理者用のデフォルト設定 25 Juniper Networks NetScreen Secure Access 700 管理ガイド 26 管理者用のデフォルト設定 第2部 IVE 製品および機能 このセクションでは IVE 製品とその機能の概要について説明しています。Secure Access 700 アプライアンスが構築される IVE プラットフォーム、IVE プラットフォーム上に構 築されたすべての製品で使用する標準的な機能、さらに IVE の個別の機能について説明 します。 目次 57 ページの「認証と承認」 81 ページの「リモート アクセス」 105 ページの「システム管理とサービス」 27 Juniper Networks NetScreen Secure Access 700 管理ガイド 28 第2章 IVE シリーズ このセクションでは、Juniper Networks Instant Virtual Extranet(IVE)プラットフォーム、 このプラットフォーム上に構築される Access Series 製品ライン、さらに IVE プラット フォーム上に構築される製品が使用するアクセス管理システムについて説明します。 目次 31 ページの「Juniper Networks Instant Virtual Extranet プラットフォームの概要」 35 ページの「Access Series の概要」 36 ページの「アクセス管理の概要」 46 ページの「認証領域の概要」 50 ページの「サインイン ポリシーの概要」 51 ページの「ユーザー ロールの概要」 54 ページの「リソース ポリシーの概要」 第 2 章 : IVE シリーズ 29 Juniper Networks NetScreen Secure Access 700 管理ガイド 30 第 2 章 : IVE シリーズ Juniper Networks NetScreen Secure Access 700 管理ガイド Juniper Networks Instant Virtual Extranet プラットフォームの概要 Juniper Networks Instant Virtual Extranet(IVE)プラットフォームは、Juniper Networks NetScreen SSL VPN アプライアンスの基盤となるハードウェアおよびソフトウェアとして 機能します。これらの製品を使用することにより、Web ブラウザのみを使用して、会社の リソースへの安全で制御されたアクセスを、どこからでも社員、パートナー、顧客に対し て提供することができます。 詳細については、以下を参照してください。 31 ページの「IVE プラットフォーム とは」 32 ページの「IVE プラットフォーム 上に構築された製品はどのように作用するか」 32 ページの「タスク サマリー:IVE プラットフォーム 上に構築された製品の設定」 IVE プラットフォーム とは IVE プラットフォーム は堅牢なネットワーク アプライアンスです。外部ユーザーと以下 に示すような内部リソース間のデータ ストリームを仲介することによって、強固なセ キュリティを提供します。 MS Terminal Server MS Exchange Server Lotus Notes Server インターネット E メール サーバー 端末ベースのアプリケーション ファイル サーバー上のドキュメント Web ベースのエンタープライズ アプリケーション イントラネットのホームページ IVE プラットフォーム 上で構築された製品は、従来の DMZ 内にエクストラネット ツール キットを配備したり、社員用にリモート アクセス VPN を設置する必要はありません。 IVE は、外部接続からセキュアな要求を受け取り、認証されたユーザーに代わって内部リ ソースに対して要求を行うことにより、外部接続と内部リソースの間を仲介します。 Juniper Networks Instant Virtual Extranet プラットフォームの概要 31 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 18: LAN における IVE の作用 IVE プラットフォーム 上に構築された製品はどのように作用するか IVE プラットフォーム はセキュアなアプリケーション レイヤーのゲートウェイとして動 作し、パブリック インターネットと企業の内部リソース間の要求すべてを仲介します。 IVE に入るすべての要求は、エンド ユーザーのブラウザで、SSL/HTTPS 128 ビットまたは 168 ビット暗号化を使用してすでに暗号化されています。暗号化されていない要求は除外 されます。内部リソースに転送されるまで、各要求は、2 要素認証またはクライアントサ イドのデジタル証明書など、管理用に定義されたアクセス コントロール ポリシーに従い ます。IVE プラットフォーム は、パブリック インターネットと内部リソース間に強固なセ キュリティ レイヤーを提供するため、管理者は、セキュリティ ポリシーを定期的に管理 したり、パブリックな DMZ に配置された多くの異なるアプリケーションおよび Web サー バーのセキュリティ上の弱点にパッチを当てる必要はありません。 IVE プラットフォーム は、単純な Web ブラウザ技術を使用して、各種のアプリケーショ ンおよびリソースへのアクセスを仲介します。ユーザーは、アプライアンスがホストとな るエクストラネット セッションを経由して、承認されたリソースに対する認証アクセス を取得できます。また、インターネットに接続したその Web ブラウザからでも、多彩な Web ベースのエンタープライズ アプリケーション、Java アプリケーション、共有ファイ ル、およびターミナル ホストにアクセスできます。さらに、このセキュアな Web セッ ションを通じて、Microsoft Outlook および Lotus Notes など、他のクライアント / サー バー アプリケーションにもアクセスできます。 タスク サマリー: IVE プラットフォーム 上に構築された製品の設定 IVE プラットフォーム 上に構築された製品を設定するには、管理者の Web コンソールか ら以下の 5 つの基本タスクを実行する必要があります。 1. ユーザー ロールと管理者ロールを定義する Web コンソールにおける場所:User > Roles および Administrators > Delegation 「ロール」では、ユーザー セッション パラメータ(セッション設定およびオプショ ン )、個人設定(ユーザー インターフェースのカスタマイズ )、および有効なアクセ ス機能を定義します。アクセス機能とは、Secure Access 700 が使用する Network Connect アクセス機能など、ネットワークへのアクセスを提供するメカニズムです。 32 Juniper Networks Instant Virtual Extranet プラットフォームの概要 Juniper Networks NetScreen Secure Access 700 管理ガイド IVE には、1 つのユーザー ロール “Users” と 2 つの管理者ロール “.Administrators” お よび “.Read-Only Administrators” があらかじめ設定されています。 2. リソース ポリシーを定義する Web コンソールにおける場所:Resource Policies リソース ポリシーは、ユーザーおよび管理者がアクセスできるリソースをさらに制 限します。たとえば、パートナーがネットワーク ファイル サーバーにアクセスする ことを拒否する Network Connect アクセス コントロール リソース ポリシーを定義で きます。リソース ポリシーを設定する場合は、そのリソース ポリシーを使用する ロールを指定する必要があります。 Secure Access 700 アプライアンスには、すべてのユーザーにネットワーク アクセス を許可するリソース ポリシーがあらかじめ定義されています。 3. 認証サーバーと承認サーバーを定義する Web コンソールにおける場所:Signing In > AAA Servers 認証サーバーおよび承認サーバーは、ユーザーの資格情報を認証し、システム内の ユーザーの権限を特定します。たとえば、証明書サーバーを使用してユーザーのクラ イアントサイドの証明書属性に基づいてユーザーを認証し、LDAP サーバーを使用し て証明書失効リスト(CRL)に含まれる値に基づいてユーザーを承認することができ ます。 IVE には、ユーザーを認証するローカル認証サーバー “System Local” と、管理者を認 証するローカル認証サーバー “Administrators” があらかじめ 1 つずつ定義されていま す。アプライアンスへのユーザー アクセスを許可するには、少なくともこれらのサー バーにユーザーを追加する必要があります。 4. 認証領域を定義する Web コンソールにおける場所:Users > Authentication および Administrators > Authentication 認証領域には、ユーザーまたは管理者が IVE にサインインする際の要件を指定するポ リシーが含まれています。たとえば、ユーザーが特定の IP アドレスまたは特定のブ ラウザからサインインする場合にのみ、アプライアンスへのアクセスを許可するよう に、認証ポリシーを指定できます。認証領域を設定する場合は、規則を作成する必要 があります。この規則により、ユーザーにロールを割り当て、アプライアンスで領域 メンバーの認証と承認に使用するサーバーを指定します。 IVE には、“System Local” サーバーを通して認証されたすべてのユーザーを、“Users” ロールに割り当てる “Users” 領域があらかじめ 1 つ定義されています。その他にも、 アプライアンスには、“Administrators” サーバーを通して認証されたすべてのユー ザーを “.Administrators” ロールに割り当てる、“Admin Users” 領域があらかじめ 1 つ 定義されています。 5. サインイン ポリシーを定義する Web コンソールにおける場所:Signing In > Sign-in > Sign-In Policies サインイン ポリシーでは、ユーザーおよび管理者が IVE へサインインする際に使用 する URL を指定します。サインイン ポリシーを設定する場合は、1 つ以上の領域と 関連付ける必要があります。指定された領域のメンバーのみ、ポリシーで定義されて いる URL を使用してアプライアンスにサインインできます。 Juniper Networks Instant Virtual Extranet プラットフォームの概要 33 Juniper Networks NetScreen Secure Access 700 管理ガイド IVE には、領域メンバー “Users” の “*/” URL からのサインインを許可するサインイン ポリシーと、領域メンバー “Admin Users” の “*/admin” URL からのサインインを許可 するサインイン ポリシーがあらかじめ 1 つずつ定義されています。 34 Juniper Networks Instant Virtual Extranet プラットフォームの概要 Juniper Networks NetScreen Secure Access 700 管理ガイド Access Series の概要 Juniper Networks Secure Access アプライアンスは、ネットワーク リソースへのセキュア なリモート アクセスを拡張する、セキュリティ機能を提供します。Secure Access 700 ア プライアンスはほんの数時間で設定でき、ユーザーに対して次のようなセキュアなアクセ スを提供します。 社員、パートナー、顧客は、アプライアンスの直感的なホームページにアクセスするため の Web ブラウザとインターネット接続以外必要ありません。Secure Access 700 のユー ザーは、このページからリモート セッションを管理できます。 また、SSL VPN アプライアンスのインストール、設定、管理は簡単に行うことができま す。堅牢なネットワーク アプライアンス Secure Access 700 は、短時間でラックに設置で き、付属のゴム足を取り付けることによって、平らな面に設置することもできます。ネッ トワークに接続したら、シリアル コンソールから初期のシステム設定とネットワーク設 定を入力するだけで、Web コンソール にアクセスできます。Web ベースのインター フェース、Web コンソール により、企業のニーズに合わせてアプライアンスを設定・管 理します。以下の機能により、導入をスムーズに行い、システムを効率的に管理すること ができます。 容易なサーバー統合 - IVE アプライアンスは、既存の企業の認証サーバー(LDAP、 RADIUS、NIS、Windows NT ドメイン、Active Directory、および RSA ACE/ サーバー) に接続することができます。社内の Web サーバー、ファイル サーバー、またはネッ トワークに変更を加える必要はありません。 証明書の認証 - 内部リソースに変更を加えることなくアプリケーションを保護しま す。領域の認証ポリシーの一部としてデジタル証明書の要件を指定するだけです。 シンプルなファイアウォール ポリシー - 外部からは IVE への SSL アクセスのみが必 要です。 IVE アクセス管理システム(認証領域、ユーザー ロール、およびリソース ポリシー) を使用したリソース アクセス管理 集中管理された、アプリケーション レベルのロギング。管理者およびユーザーのアク ション、接続、ファイル、Web 要求、およびシステム エラーを追跡します。 インターネットを介したシステム ソフトウェアのアップグレード SNMP と DMZ のサポート Access Series の概要 35 Juniper Networks NetScreen Secure Access 700 管理ガイド アクセス管理の概要 SSL VPN アプライアンスは、認証、ユーザー プロファイル、およびリソース ポリシーに 基づいた企業リソースのセキュリティ保護を実現します。これらの 3 つのレベルでコント ロールすることにより、拡張エンタープライズを提供する上で適切なアクセス管理が可能 になります。ユーザーが IVE にサインインするとき、IVE 機能にアクセスするとき、また 特定の リソースにアクセスするときにユーザーが満たすべきセキュリティ要件を、指定 することができます。IVE は、設定したポリシー、規則、制限、および条件を適用するこ とによって、ユーザーが許可されていないリソースやコンテンツにアクセスしたりダウン ロードできないようにします。 詳細については、以下を参照してください。 36 ページの「ポリシー、規則、制限、および条件」 37 ページの「アクセスと承認のフローチャート」 40 ページの「動的ポリシー評価」 42 ページの「セキュリティ要件の設定」 ポリシー、規則、制限、および条件 IVE は、認証領域、ユーザー ロール、およびリソース ポリシーを使用して、企業リソー スのセキュリティ保護を実現します。これらのアクセス レベルにより、アクセス管理を広 範囲なレベル(どのユーザーが IVE にサインインできるかを制御)から詳細なレベル(ど の認証済ユーザーが特定の URL やファイルにアクセスできるかを制御)に渡って可能に します。 認証領域へのアクセス リソースへのアクセス可能性の検証は認証領域から始まります。認証領域とは認証リソー スの分類で、次のようなものがあります。 36 アクセス管理の概要 認証サーバー:ユーザーが本人に間違いないかどうかを検証します。IVE は、ユー ザーがサインイン ページで提示する資格情報を認証サーバーに転送します。詳細につ いては、46 ページの「認証サーバー」を参照してください。 認証ポリシー:IVE アプライアンスがユーザーの資格情報を確認用に認証サーバーに 送る以前に満たす必要がある、領域セキュリティ要件を指定します。詳細について は、48 ページの「認証ポリシー」を参照してください。 ディレクトリ サーバー:IVE がユーザーに 1 つ以上のユーザー ロールを割り当てる 際に使用するユーザーとグループの情報を、IVE に提供する LDAP サーバー。詳細に ついては、48 ページの「ディレクトリ サーバー」を参照してください。 ロール マッピング規則:IVE がユーザーに 1 つ以上のロールを割り当てるために、 ユーザーが満たす必要のある条件。この条件は、領域のディレクトリ サーバーに返さ れたユーザー情報またはユーザー名に基づいています。詳細については、48 ページ の「ロール マッピング規則」を参照してください。 Juniper Networks NetScreen Secure Access 700 管理ガイド IVE のサインイン ページには、1 つ以上の認証領域が関連付けられています。サインイン ページに複数の領域が存在する場合、ユーザーは、資格情報を送信する前に領域を指定す る必要があります。ユーザーが資格情報を送信すると、IVE は選択した領域に定義されて いる認証ポリシーをチェックします。ユーザーが領域の認証ポリシーで指定されたセキュ リティ要件を満たしていない場合、IVE はユーザーの資格情報を認証サーバーに転送しま せん。 領域レベルでは、ユーザーのソース IP アドレスやクライアントサイドの証明書の有無な どの要素に基づいて、セキュリティ要件を指定できます。領域の認証ポリシーによって指 定された要件をユーザーが満たしている場合、IVE はユーザーの資格情報を適切な認証 サーバーに転送します。このサーバーでユーザーが無事認証されると、IVE は領域に定義 されたロール マッピング規則を確認して、ユーザーに割り当てるロールを決定します。 詳細については、46 ページの「認証領域の概要」を参照してください。 ユーザー ロールへのアクセス ロールとは、ロールに割り当てられたユーザーの IVE セッション プロパティを定義する エンティティです。これらのセッション プロパティには、セッション タイムアウト、利 用できるアクセス機能などの情報が含まれます。ロールの設定は、リソース アクセス管理 の第 2 レベルとして機能します。ロールには、ユーザーが利用できるアクセス メカニズ ムを指定するだけでなく、ロールに割り当てる際にユーザーが満たしていなければならな い条件も指定できます。ユーザーはこれらのセキュリティ要件を満たしている必要があ り、満たしていない場合には、IVE はユーザーをロールに割り当てません。 ロール レベルでは、ユーザーのソース IP アドレスやクライアントサイドの証明書の有無 などの要素に基づいて、セキュリティ要件を指定できます。ロール マッピング規則または ロールの制限のいずれかで指定された要件をユーザーが満たしている場合、IVE はユー ザーにロールを割り当てます。ユーザーが、そのロールで利用可能なバックエンド リソー スに要求を送信する場合には、IVE は、対応するアクセス機能のリソース ポリシーを確認 します。 ロールのセキュリティ要件は、ロール定義に制限を定義することで指定できます。IVE は、 ユーザーにロールを割り当てる前に指定した要件を評価し、ユーザーがそれらの要件を満 たしているかどうか確認します。 詳細については、51 ページの「ユーザー ロールの概要」を参照してください。 リソース ポリシーへのアクセス リソース ポリシー とは、アクセスの許可または拒否を設定するリソース名のセット(ホ スト名、IP アドレス / ネットマスクの組み合わせ等)です。リソース ポリシーはリソース アクセス管理の第 3 レベルとして機能します。ロールでは特定の種類のアクセス機能やリ ソースへのアクセスを許可しますが、ユーザーが個々のリソースにアクセスできるかどう かはリソース ポリシーによって管理されます。これらのポリシーでは、サーバー共有また はファイルに対するユーザー アクセスを許可または拒否する条件も指定できます。これら の条件は、指定したセキュリティ要件に基づくことも可能です。ユーザーはこれらのセ キュリティ要件を満たしている必要があり、満たしていない場合、IVE はユーザーの要求 を処理しません。 リソース レベルでは、ユーザーのソース IP アドレスやクライアント サイドの証明書の有 無などの要素に基づいて、セキュリティ要件を指定できます。ユーザーがリソース ポリ シーの条件で指定された要件を満たしている場合、IVE は要求されたリソースへのアクセ スを許可または拒否します。 詳細については、54 ページの「リソース ポリシーの概要」を参照してください。 アクセスと承認のフローチャート アクセス管理の概要 37 Juniper Networks NetScreen Secure Access 700 管理ガイド このフローチャートは、ユーザーと IVE アプライアンス、そして IVE と認証領域の間で生 じるトランザクションを示します。フローチャートは、ユーザーが IVE サインイン ページ への URL を入力するところから、そのユーザー セッションを終了するまでの流れを示し ています。 図 19: IVE は領域とプライマリ サーバーに対してユーザーを認証 38 アクセス管理の概要 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 20: IVE はユーザーを承認し、セカンダリ サーバーに対してユーザーを認証 アクセス管理の概要 39 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 21: IVE はユーザーに1つ以上のユーザー ロールを割り当て、 リソース ポリシーを評価 動的ポリシー評価を有効にすると、次のフロー チャートに示す処理が繰り返されます。 (詳細については、40 ページの「動的ポリシー評価」を参照してください)。 動的ポリシー評価 動的ポリシー評価を使用すると、領域の認証ポリシー、ロール マッピング、ロール制限、 およびリソース ポリシーを評価することによって、自動または手動によりユーザーに割 り当てられたロールを更新できます。 40 アクセス管理の概要 Juniper Networks NetScreen Secure Access 700 管理ガイド 動的ポリシー評価を使用しない場合、IVE は次のイベントが発生した場合のみ、ポリシー とロールを評価します。 ユーザーが IVE サインイン ページに初めてアクセスすると、IVE は領域の Host Checker ポリシー(存在する場合)を評価します。 ユーザーの初期認証の直後に、IVE は、認証ポリシー、ロール マッピング規則、およ びロール制限にあるユーザーの領域制限を評価します。 そのユーザーがリソースに対し要求を行った場合、IVE はリソース ポリシーを評価し ます。 ユーザーのコンピュータの Host Checker の状態が変わった場合、IVE はロールの Host Checker ポリシー(存在する場合)を評価します。 動的ポリシー評価を使用せず、認証ポリシー、ロール マッピング規則、ロール制限、ま たはリソース ポリシーを変更した場合は、上記のイベントが発生したときにのみ IVE は これらの変更を適用します。 動的ポリシー評価は、次のいずれかの方法で使用できます。 Evaluate all signed-in users in a realm - Administrators > Authentication > 領域を 選択 または Users > Authentication > 領域を選択 ページの General タブでこの機能 を使用すると、ある領域に現在サインインしているすべてのユーザーのロールを自動 または手動により更新できます。以下の機能により、IVE を領域レベルにおいて動的 ポリシー評価を実行するようトリガできます。 An automatic timer - IVE が現在領域にサインインしているすべてのユーザー の自動ポリシー評価を実行する頻度(30 分毎など)を決定する、更新間隔を指 定できます。更新間隔を指定する場合、ロールやリソース ポリシーに加え、認証 ポリシー、ロール マッピング規則、およびロール制限を更新するかどうかを指 定することにより、IVE のパフォーマンスを微調整することも可能です。 On-demand - 任意の時間に、現在領域にサインインしているすべてのユーザー の認証ポリシー、ロール マッピング規則、ロール制限、およびリソース ポリ シーを手動で評価できます。認証ポリシー、ロール マッピング規則、ロール制 限、またはリソース ポリシーを変更し、この領域のユーザーのロールを直ちに 更新する場合に、この方法は役立ちます。 領域レベルにおける動的ポリシー評価の使用方法については、239 ページの 「General タブ」を参照してください。 Evaluate all signed-in users in all realms - System > Status > Active Users ページ の Active Users タブでこの機能を使用すると、任意の時間に、すべての領域に現在サ インインしているすべてのユーザーのロールを手動で更新できます。詳細について は、138 ページの「Active Users タブ」を参照してください。 Evaluate individual users - Signing In > End Point > Host Checker ページで、Host Checker の動的ポリシー評価を有効にすると、個々のユーザーのロールを自動的に更 新できます。Host Checker は、ユーザーの Host Checker のステータスが変わるとリ ソース ポリシーを評価するように IVE をトリガできます。(Host Checker の動的ポリ シー評価を有効にしない場合、IVE はリソース ポリシーを評価しませんが、ユーザー の Host Checker の状態が変わると、認証ポリシー、ロール マッピング規則、ロール 制限を評価します。)詳細については、184 ページの「Host Checker タブ」を参照して ください。 動的ポリシー評価の際、IVE は次のリソース ポリシー タイプを評価します。 Network Connect アクセス管理の概要 41 Juniper Networks NetScreen Secure Access 700 管理ガイド Telnet/SSH Java アクセス コード署名(Java アプレット用) メモ : ユーザーがリソースに対して要求を行う場合に IVE は Web and Files リソース ポ リシーを評価するため、Web とファイルの動的ポリシー評価は不要です。IVE は、 Meetings リソース ポリシーと Email Client リソース ポリシーに動的ポリシー評価を使 用しません。 動的ポリシー評価の結果、IVE がユーザーはポリシーやロールのセキュリティ要件を満た していないと判断した場合は、IVE はそのユーザーとの接続を直ちに終了します。ユー ザーは、TCP やアプリケーション接続の終了、または Network Connect、Secure Application Manager、Terminal あるいは Telnet/SSH の終了を見ることができます。ユー ザーは、ポリシーやロールのセキュリティ要件を満たすために必要な手順を行ってから、 IVE に再びサインインします。 IVE は、ポリシー評価やロールの変更、イベント ログへのアクセスについての情報をログ に記録します。 セキュリティ要件の設定 以下のセクションで説明する IVE のオプションや機能を使用して、管理者およびユーザー のセキュリティ要件を簡単に指定することができます。 42 ページの「ソース IP のアクセス制限」 43 ページの「ブラウザのアクセス制限」 44 ページの「証明書のアクセス制限」 45 ページの「パスワードのアクセス制限」 45 ページの「Host Checker のアクセス制限」 45 ページの「Cache Cleaner のアクセス制限」 ソース IP のアクセス制限 ソース IP により、IVE およびリソースへのアクセスを制限できます。 When administrators or users try to sign in to the IVE - ユーザーは、IP アドレス / ネットマスクの組み合わせが、選択されている認証領域の指定ソース IP 要件と一致 するコンピュータからサインインする必要があります。領域が要求する IP アドレス / ネットマスクの組み合わせが、ユーザーのコンピュータに該当しない場合は、IVE は ユーザーの資格情報を認証サーバーに転送せず、ユーザーは IVE へのアクセスを拒否 されます。 領域レベルで IP 制限を実施するには、次の場所に移動します。 42 アクセス管理の概要 Administrators > Authentication > 領域を選択 > Authentication Policy > Source IP Users > Authentication > 領域を選択 > Authentication Policy > Source IP Juniper Networks NetScreen Secure Access 700 管理ガイド When administrators or users are mapped to a role - 認証されたユーザーは、IP ア ドレス / ネットマスクの組み合わせが、IVE がユーザーに割り当てるロールに指定し たソース IP 要件と一致するコンピュータから、サインインしている必要があります。 ロールが要求する IP アドレス / ネットマスクの組み合わせがユーザーのコンピュー タに該当しない場合、IVE はそのロールをユーザーに割り当てません。 ロール レベルで IP 制限を実施するには、次の場所に移動します。 Administrators > Authentication > 領域を選択 > Role Mapping > ルールを 選択 | 作成 > カスタム式 Administrators > Delegation > 領域を選択 > General > Restrictions > Source IP Users > Authentication > 領域を選択 > Role Mapping > ルールを選択|作成 > カスタム式 Users > Roles > ルールを選択 > General > Restrictions > Source IP When users request a resource - 認証および承認されたユーザーは、IP アドレス / ネットマスクの組み合わせが、ユーザーの要求に対応するリソース ポリシーの指定 ソース IP 要件と一致するコンピュータからリソースを要求する必要があります。リ ソースが要求する IP アドレス / ネットマスクの組み合わせがユーザーのコンピュー タに該当しない場合は、IVE はそのリソースへのユーザー アクセスを許可しません。 リソース ポリシー レベルで IP 制限を実施するには、次の場所に移動します。 Resource Policies > リソースを選択 > SelectPolicy > Detailed Rules > ルールを選択 | 作成 > フィールドに条件をつける ブラウザのアクセス制限 ブラウザの種類により、IVE やリソースへのアクセスを制限できます。 When administrators or users try to sign in to the IVE - ユーザーは、ユーザー エー ジェント文字列が、選択した認証領域の指定したユーザー エージェント文字列パ ターン要件を満たすブラウザから、サインインする必要があります。ブラウザのユー ザー エージェント文字列がその領域で「許可」されると、IVE はユーザーの資格情報 を認証サーバーに送信します。ブラウザのユーザー エージェント文字列がその領域で 「拒否」された場合は、IVE はユーザーの資格情報を認証サーバーに送信しません。 領域レベルでブラウザ制限を実施するには、次の場所に移動します。 Administrators > Authentication > 領域を選択 > Authentication Policy > Browser Users > Authentication > 領域を選択 > Authentication Policy > Browser When administrators or users are mapped to a role - 認証されたユーザーは、ユー ザー エージェント文字列が IVE のユーザーに割り当てたロールに指定したユーザー エージェント文字列パターン要件と一致するブラウザから、サインインしている必要 があります。ユーザー エージェント文字列がロールの「許可」または「拒否」要件を 満たしていない場合は、IVE はユーザーにそのロールを割り当てません。 ロール レベルでブラウザ制限を実施するには、次の場所に移動します。 Administrators > Delegation > 領域を選択 > General > Restrictions > Browser Users > Authentication > 領域を選択 > Role Mapping > ルールを選択|作成 > カスタム式 アクセス管理の概要 43 Juniper Networks NetScreen Secure Access 700 管理ガイド Users > Roles > 領域を選択 > General > Restrictions > Browser When users request a resource - 認証および承認されたユーザーは、ユーザー エー ジェント文字列が、ユーザーの要求に対応するリソース ポリシーの指定した「許可」 または「拒否」要件と一致するブラウザから、リソースを要求する必要があります。 ユーザー エージェント文字列がリソースの「許可」または「拒否」要件を満たして いない場合は、IVE はそのリソースへのユーザー アクセスを許可しません。 リソース ポリシー レベルでブラウザ制限を実施するには、次の場所に移動します。 Resource Policies > リソースを選択 > ポリシーを選択 > Detailed Rules > ルール を選択 | 作成 > フィールドに条件をつける 証明書のアクセス制限 Web コンソールの System > Configuration > Certificates > Trusted Client CAs ページか ら、クライアントサイド証明書を IVE にインストールすると、クライアントサイド証明書 を要求することにより、IVE やリソースアクセスを制限できます。 When administrators or users try to sign in to the IVE - ユーザーは、指定のクライ アントサイド証明書(適切な認証局(CA)から発行され、オプション指定のフィー ルド / 値の組要件を含む)を所有するコンピュータから、サインインしている必要が あります。領域が要求する証明書情報がユーザーのコンピュータ上に存在しない場 合、ユーザーはサインイン ページにアクセスできますが、ユーザーのブラウザに証 明書がないことを確認した IVE は、ユーザーの資格情報を認証サーバーに送信しな いため、ユーザーは IVE の機能にアクセスできません。 領域レベルで証明書制限を実施するには、次の場所に移動します。 Administrators > Authentication > 領域を選択 > Authentication Policy > Certificate Users > Authentication > 領域を選択 > Authentication Policy > Certificate When administrators or users are mapped to a role - 認証されたユーザーは、IVE がユーザーに割り当てたロールに指定したクライアントサイド証明書の要件(適切な 認証局(CA)から発行され、オプション指定のフィールド / 値の組要件を含む)を満 たしているコンピュータから、サインインしている必要があります。ロールが要求す る証明書情報がユーザーのコンピュータに存在しない場合、IVE はユーザーにその ロールを割り当てません。 ロール レベルで証明書制限を実施するには、次の場所に移動します。 Administrators > Delegation > 領域を選択 > General > Restrictions > Certificate Users > Authentication > 領域を選択 > Role Mapping > ルールを選択|作成 > カスタム式 Users > Roles > 領域を選択 > General > Restrictions > Certificate When users request a resource - 認証および承認されたユーザーは、ユーザーの要 求に対応するリソース ポリシーに指定したクライアントサイド証明書の要件(適切 な認証局(CA)から発行され、オプション指定のフィールド / 値の組要件を含む)を 満たすコンピュータから、リソースを要求する必要があります。リソースが要求する 証明書情報がユーザーのコンピュータに存在しない場合、IVE はユーザーにそのリ ソースへのアクセスを許可しません。 リソース ポリシー レベルで証明書制限を実施するには、次の場所に移動します。 Resource Policies > リソースを選択 > ポリシーを選択 > Detailed Rules > ルール を選択 | 作成 > フィールドに条件をつける 44 アクセス管理の概要 Juniper Networks NetScreen Secure Access 700 管理ガイド パスワードのアクセス制限 パスワードの文字数により、IVE およびリソースへのアクセスを制限できます。 When administrators or users try to sign in to an IVE - ユーザーは、領域に指定さ れている最低文字数の要件を満たすパスワードを入力する必要があります。ローカル ユーザーと管理者のレコードは IVE 認証サーバーに格納されます。このサーバーで は、領域の認証ポリシーに指定する値に関係なく、6 文字以上のパスワードが要求さ れます。 領域レベルでパスワード制限を実施するには、次の場所に移動します。 Administrators > Authentication > 領域を選択 > Authentication Policy > Password Users > Authentication > 領域を選択 > Authentication Policy > Password Host Checker のアクセス制限 Host Checker の状態に基づいて IVE、ロール、またはリソースへのユーザー アクセスを制 限するには、71 ページの「Host Checker ポリシーの実装」を参照してください。 Cache Cleaner のアクセス制限 Cache Cleaner の状態に基づいて IVE、ロール、またはリソースへのユーザー アクセスを 制限するには、77 ページの「Cache Cleaner の実装」を参照してください。 アクセス管理の概要 45 Juniper Networks NetScreen Secure Access 700 管理ガイド 認証領域の概要 認証領域とは認証リソースの分類で、以下が含まれます。 認証サーバー:ユーザーが本人に間違いないかどうかを検証します。IVE は、ユー ザーがサインイン ページで提示する資格情報を認証サーバーに転送します。詳細につ いては、46 ページの「認証サーバー」を参照してください。 認証ポリシー:IVE アプライアンスがユーザーの資格情報を確認用に認証サーバーに 送る以前に満たす必要がある、領域セキュリティ要件を指定します。詳細について は、48 ページの「認証ポリシー」を参照してください。 ディレクトリ サーバー:IVE がユーザーに 1 つ以上のユーザー ロールを割り当てる 際に使用するユーザーとグループの情報を、IVE に提供する LDAP サーバー。詳細に ついては、48 ページの「ディレクトリ サーバー」を参照してください。 ロール マッピング規則:IVE がユーザーに 1 つ以上のロールを割り当てるために、 ユーザーが満たす必要のある条件。この条件は、領域のディレクトリ サーバーに返さ れたユーザー情報またはユーザー名に基づいています。詳細については、48 ページ の「ロール マッピング規則」を参照してください。 認証サーバー 認証サーバーとは、ユーザーの資格情報(ユーザ名とパスワード)に加え、一般にグルー プや属性情報を保存するデータベースです。ユーザーは、IVE にサインインするときに、 認証サーバーに関連付けられている認証領域を指定します。ユーザーがその領域の認証ポ リシーに準じている場合は、IVE はユーザーの資格情報を関連する認証サーバーに転送し ます。認証サーバーの役割は、そのユーザーが存在し、本人であることを検証することで す。ユーザーの確認後、認証サーバーは IVE に承認を送信します。さらにそのサーバーが 領域でディレクトリ / 属性サーバーとして機能している場合には、ユーザーのグループ情 報などの属性情報も送信します。次に IVE は領域のロール マッピング規則を確認し、ユー ザーに割り当てるユーザー ロールを決定します。 メモ : オプションで、セカンダリ認証サーバーを領域に関連付けることができます。そ の場合 IVE は、ユーザーにロールを割り当てる前に、セカンダリ サーバーにユーザーの 資格情報を送信します。 領域で使用可能な認証サーバーを指定するには、最初に Signing In > AAA Servers ページ で、サーバー インスタンスを設定しておく必要があります。サーバーの設定を保存する と、Authentication ドロップダウン リストの General タブにサーバー名(インスタンス に割り当てられた名前)が表示されます。サーバーによって、以下が表示されます。 46 認証領域の概要 LDAP または Active Directory サーバー - インスタンス名が、領域の General タブの Directory/Attribute ドロップダウン リストにも表示されます。領域での認証と承認を 行うのに、同じ LDAP サーバーまたは Active Directory サーバーを使用できます。ま た、異なる認証サーバーを使用している複数の領域に対して承認を行うときも、これ らのサーバーを使用できます。 RADIUS サーバー - インスタンス名が、領域の General タブの Accounting ドロップダウン リストにも表示されます。また、異なる認証サーバーを使用してい る複数の領域に対してアカウンティングを行うときも、これらのサーバーを使用でき ます。 Juniper Networks NetScreen Secure Access 700 管理ガイド Secure Access 700 は、Windows NT Domain、Active Directory、RADIUS、LDAP、NIS、 RSA ACE/ サーバー などの最も標準的な認証サーバーをサポートしており、IVE で認証す るユーザーのローカル データベースを 1 つ以上作成することができます。サーバーの概 要と設定についての情報は、次を参照してください。 215 ページの「ACE/Server インスタンスの構成」 226 ページの「Active Directory または NT ドメイン インスタンスの設定」 231 ページの「匿名サーバー インスタンスを構成する」 233 ページの「証明書サーバー インスタンスを設定する」 211 ページの「LDAP サーバー インスタンスの設定」 206 ページの「ローカル認証サーバー インスタンスを構成する」 214 ページの「NIS サーバー インスタンスの設定」 218 ページの「RADIUS サーバー インスタンスの設定」 メモ : 認証サーバーは、IVE にアクセスできる必要があります。RSA ACE/ サーバーなど の認証サーバーがエージェント ホストに対して IP アドレスを使用しない場合は、認証 サーバーは、DNS エントリまたは認証サーバーのホスト ファイルのエントリから IVE ホスト名を解決できる必要があります。 認証領域の概要 47 Juniper Networks NetScreen Secure Access 700 管理ガイド 認証ポリシー 認証ポリシーとは、アクセス管理の一面、領域のサインイン ページをユーザーに表示す るかどうかを制御する一連の規則です。認証ポリシーは認証領域の設定に含まれるもの で、サインイン ページをユーザーに表示する前に IVE で検討する規則を指定します。ユー ザーが領域の認証ポリシーで指定されている要件を満たしている場合は、IVE は該当する サインイン ページをユーザーに表示し、その後ユーザーの資格情報を適切な認証サー バーに転送します。このサーバーでユーザー認証が正常に行われると、次に IVE はロール 評価プロセスを行います。 ディレクトリ サーバー ディレクトリ サーバーとは、ユーザーに加え、一般にグループ情報を保存するデータ ベースです。認証領域の設定では、ディレクトリ サーバーを使用して、ロール マッピン グ規則およびリソース ポリシーに必要なユーザー情報やグループ情報を取得するように 指定できます。これを可能にするために、現在 IVE は LDAP サーバーをサポートしていま す。これにより、認証と承認の両方を LDAP サーバーで行うことができます。サーバー イ ンスタンスを 1 つ定義するだけで、領域の General タブの Authentication ドロップダウ ン リストと Directory/Attribute ドロップダウン リストに LDAP サーバーのインスタンス 名が表示されます。同じサーバーを複数の領域で使用できます。 ロール マッピング規則で使用するユーザー属性の取得には、LDAP サーバーだけでなく、 RADIUS サーバーも使用できます。ただし、LDAP サーバー インスタンスとは異なり、 RADIUS サーバー インスタンス名は領域の Directory/Attribute ドロップダウン リストに 表示されません。RADIUS サーバーを使用してユーザー情報を取得できるようにするには、 Authentication リストでインスタンス名を選択して、Directory/Attribute リストで Same as Above を選択します。次に、RADIUS サーバーから属性を使用するようにロール マッピ ング規則を設定します。属性は、Rule based on User attribute を選択すると、IVE により Role Mapping Rule ページの属性リストに表示されます。 ディレクトリ サーバーの指定方法については、239 ページの「認証領域の作成」を参照 してください。ロール マッピング規則で LDAP または RADIUS 属性を指定する方法につい ては、242 ページの「認証領域にロール マッピング規則を指定」を参照してください。 ロール マッピング規則 ロール マッピング規則とは、次の形式で指定する命令です。 指定した条件が true または true でない場合に、ユーザーを選択したロールにマップ します。 ロール マッピング規則は、認証領域の Role Mapping タブで作成します。(管理者のロー ル マッピング規則は Administrators > Authentication > [ 領域 ] > Role Mapping タブで 作成します。ユーザーのロール マッピング規則は Users > Authentication > [ 領域 ] > Role Mapping タブで作成します)。このタブで New Rule をクリックすると、規則を定義 するインライン エディタとともに Role Mapping Rule ページが表示されます。このエディ タを使用して、規則作成の以下の 3 つの手順を行います。 1. 2. 規則を設定する条件のタイプを指定します。オプションには以下のものがあります。 ユーザー名 証明書または証明書の属性 グループ メンバーシップ 評価する条件を、以下のように指定します。 a. 48 認証領域の概要 ステップ 1 で選択した条件のタイプに応じて、1 つ以上のユーザー名、ユーザー 属性、証明書属性、またはグループ(LDAP) を指定します。 Juniper Networks NetScreen Secure Access 700 管理ガイド b. 3. 評価する式の値を指定します。この場合、RADIUS または LDAP サーバーからの ユーザー名、ユーザー属性値、クライアントサイド証明書の値(静的な値または LDAP 属性との比較)、または LDAP グループのリストを含めることができます。 認証されたユーザーに割り当てるロールを指定します。 IVE は、ユーザー割り当てが可能な適格なロールのリストを編集します。ここに含まれる ロールは、ユーザーが従わなければならないロール マッピング規則で指定されている ロールです。その後、IVE は各ロールの定義を評価して、ユーザーがロール制限に違反し ていないかどうかを確認します。IVE はこの情報を使用して、有効なロールのリストを編 集します。ここに含まれるロールは、ユーザーがすべての追加要件を満たしているロール です。最後に、IVE は領域の Role Mapping タブで指定されている設定に応じて、有効な ロールのパーミッシブ マージを実行するか、または、ユーザーに有効なロールのリスト を表示します。 ロールの詳細については、51 ページの「ユーザー ロールの概要」を参照してください。 ロール マッピング規則の指定方法については、242 ページの「認証領域にロール マッピ ング規則を指定」を参照してください。 認証領域の概要 49 Juniper Networks NetScreen Secure Access 700 管理ガイド サインイン ポリシーの概要 サインイン ポリシー では、ユーザーおよび管理者が IVE にアクセスする際に使用し、サ インイン ページに表示される URL を定義します。IVE には事前に 2 つのサインイン ポリ シー(ユーザー用と管理者用)が用意されています。これらのポリシーを設定する場合 は、それぞれに適切な領域、サインイン ページ、URL を関連付けます。 たとえば、すべての管理者が IVE にサインインできるようにするには、すべてのユーザー 認証領域をユーザーのサインイン ポリシーに追加する必要があります。また、エンドユー ザーが IVE へのアクセスに使用し、サインイン ページに表示される標準の URL を変更す ることもできます。 このセクションには、サインイン ポリシーについての次の情報が含まれています。 50 ページの「サインイン ページ」 50 ページの「タスク サマリー:サインイン ポリシーの設定」 サインイン ページ サインイン ページ では、ウェルカム テキスト、ヘルプ テキスト、ロゴ、ヘッダー、およ びフッターなど、エンドユーザーの Welcome ページのプロパティをカスタマイズして定 義します。IVE の既定の標準サインイン ページは、Web コンソールの System > Signing In > Sign-in Pages ページで変更できます。 タスク サマリー: サインイン ポリシーの設定 サインイン ページを設定するには、次の操作を行います。 1. Web コンソールの Administrators > Authentication または Users > Authentication ページのいずれかから、認証領域を作成します。 2. (オプション)Web コンソールの System > Signing In > Sign-in Pages ページのオプ ションを使用して、既存のサインイン ページを変更するか、新規のページを作成し ます。 3. 50 サインイン ポリシーの概要 Web コンソールの System > Signing In > Sign-in Policies ページの設定を使用して、 領域、サインイン URL、およびサインイン ページに関連付けるサインイン ポリシー を指定します。 Juniper Networks NetScreen Secure Access 700 管理ガイド ユーザー ロールの概要 ユーザーロールは、ユーザー セッション パラメータ(セッション設定とオプション)、個 人設定(ユーザー インターフェースのカスタマイズ)、有効なアクセス機能(Secure Access 700 で有効なアクセス機能は、Network Connect のみ)を定義するエンティティで す。ユーザー ロールでは、個々の要求に対するリソース アクセス コントロールまたはそ の他のリソース関連のオプションは指定しません。たとえば、ユーザー ロールで Network Connect アクセス機能を有効にしても、ユーザーがアクセスできる個々のリソースは、 別々に設定する Network Connect アクセス コントロールのリソース ポリシーで定義され ます。 ここでは、以下の内容について説明します。 51 ページの「ロール タイプ」 51 ページの「ロール コンポーネント」 52 ページの「ロール評価」 ユーザー ロールの作成については、256 ページの「Roles ページの設定」を参照してくだ さい。 ロール タイプ IVE には、以下の 2 種類のユーザー ロールがあります。 管理者 - 管理者ロールは、IVE の管理機能とロールに割り当てられた管理者のセッ ション プロパティを指定するエンティティです。管理者ロールをカスタマイズするに は、その管理者ロールのメンバーが表示および管理可能な IVE 機能設定とユーザー ロールを選択します。管理者ロールは、Web コンソールの Administrators > Delegation ページで作成および設定できます。 ユーザー - ユーザー ロールは、ユーザー セッション パラメータ、個人設定および 有効なアクセス機能を定義するエンティティです。ユーザー ロールをカスタマイズす るには、IVE セッション オプション、ユーザー インターフェース設定、ロール制限、 および Network Connect のオプションを設定します。ユーザー ロールは、Web コン ソールの Users > Roles ページで作成および設定できます。 ロール コンポーネント ユーザー ロールには、以下の情報が含まれます。 ロールの制限 - ソース IP、ユーザーエージェント、クライアントサイド証明書、 Host Checker および Cache Cleaner 要件に基づいて、ユーザーがロールにアクセスで きるかどうか制限します。ユーザーにこのロールを割り当てる前に検証する要件で す。 ロール ベースのソース IP エイリアス - ユーザーが IVE の背後のネットワーク デバ イスにアクセス可能かどうかを、ロールに基づいて検証します。ロールに基づいて特 定のサイトにトラフィックをダイレクトする場合は、各ロールのソース IP エイリア スを定義できます。 セッション パラメータ - タイムアウト値(アイドル、最大、リマインダ) 、タイム アウト警告、ローミング セッション、固定セッション オプションなどのセッション 設定です。 ユーザー ロールの概要 51 Juniper Networks NetScreen Secure Access 700 管理ガイド ユーザー インターフェース オプション - サインイン ページ、ページ ヘッダー、 ページ フッター、ブラウザのツールバーの表示 / 非表示などの個人設定です。ユー ザーに複数のロールを割り当てた場合、IVE により、最初にユーザーに割り当てた ロールのユーザー インターフェースが表示されます。 Network Connect 設定 - ユーザーにローカル サブネットへのアクセスを許可するか どうかを指定する、Network Connect アクセス機能。 ロール評価 IVE のロール マッピング エンジンは、以下の順でユーザーのセッション ロールやユー ザー セッションで有効なすべての権限を確認します。 1. IVE は、ユーザーのサインインが正常に行われた認証領域の Role Mapping タブの最 初の規則から評価を開始します。 2. IVE は、ユーザーが規則に定義されている要件を満たしているかどうかを確認しま す。満たしている場合には、次の処理を行います。 a. IVE は、該当するロールをユーザーが利用できる「適格なロール」のリストに追 加します。 b. IVE は、 「一致したら停止」オプションが設定されているかどうかを確認します。 設定されている場合はステップ 5 に進みます。 3. IVE は、ステップ 2 のプロセスに応じて、認証領域の Role Mapping タブにある次の 規則を評価し、後続の各規則にこのプロセスを繰り返します。IVE は、すべてのロー ル マッピング規則を評価すると、適格なロールを包括するリストを作成します。 4. IVE は、適格リスト内の各ロールの定義を評価し、ユーザーがロール制限に違反して いないかどうか判断します。IVE はこの情報を使用して、有効なロールのリストを編 集します。ユーザーはこれらのロールの要件も満たしています。 有効なロールのリストにロールが 1 つのみ含まれている場合、IVE はそのロール にユーザーを割り当てます。それ以外の場合は、IVE は評価プロセスを続けて行 います。 5. ユーザーが複数のロールに割り当てられる場合、IVE は、Role Mapping タブで指定 されている以下の設定を評価します。 Merge settings for all assigned roles - このオプションを選択すると、IVE はす べての有効なユーザー ロールのパーミッシブ マージを実行し、ユーザー セッ ションの全般的な(ネット)セッション ロールを決定します。 User must select from among assigned roles - このオプションを選択すると、 IVE により認証されたユーザーに有効なロールのリストが表示されます。ユー ザーはこのリストからロールを選択する必要があります。IVE はユーザー セッ ションの間、ユーザーをそのロールに割り当てます。 User must select the sets of merged roles assigned by each rule - このオプショ ンを選択すると、IVE は認証されたユーザーに適格なロールのリスト(つまり、 ユーザーが条件を満たしている規則)を表示します。ユーザーはこのリストから 規則を選択する必要があり、IVE はその規則に割り当てられたすべてのロールの パーミッシブ マージを実行します。 メモ : 自動(時間ベース)動的ポリシー評価を使用するか、手動ポリシー評価を実行す る場合は、IVE はこのセクションで説明するロール評価プロセスを繰り返します。詳細 については、40 ページの「動的ポリシー評価」を参照してください。 52 ユーザー ロールの概要 Juniper Networks NetScreen Secure Access 700 管理ガイド パーミッシブ マージのガイドライン パーミッシブ マージ は、以下のガイドラインに従って有効な機能と設定をマージします。 ユーザー インターフェース オプションの場合、IVE は、ユーザーの最初のロールに 対応する設定を適用します。 セッション タイムアウトの場合、IVE は、全ロールから最大値をユーザー セッショ ンに適用します。 複数のロールで Roaming Session 機能が有効な場合、IVE はネットマスクをマージし て、そのセッションにより大きなネットマスクを作成します。 マージされたロールは、Roles > [ ロール ]> Web > Options ページの HTTP Connection Timeout にリスト表示された最高値を使用します。 ユーザー ロールの概要 53 Juniper Networks NetScreen Secure Access 700 管理ガイド リソース ポリシーの概要 リソース ポリシーとは、特定のアクセス機能に対してリソースおよびアクションを指定 するシステム規則です。Secure Access 700 は 1 つのアクセス機能(Network Connect)を 使用します。リソースは IVE アプライアンスからアクセス可能なサーバーまたはファイル を意味し、アクションはリソースの「許可」または「拒否」、あるいは機能の実行または 非実行のいずれかを意味します。各アクセス機能には、1 つまたは複数のポリシー タイプ があります。それぞれのタイプでは、ユーザーの要求に対する IVE アプライアンスの応答 を指定します。また、リソース ポリシーの詳細規則を定義すると、特定のユーザーの要求 に対する追加の要件を評価できます。 ここでは、以下の内容について説明します。 54 ページの「リソース ポリシー タイプ」 54 ページの「リソース ポリシー コンポーネント」 55 ページの「リソース ポリシーの評価」 リソース ポリシー タイプ IVE の Secure Access 700 Network Connect アクセス機能には、以下の 3 つのリソース ポ リシー タイプがあります。 Network Connect アクセス コントロール - このポリシー タイプは、Network Connect を使用してユーザーが接続するリソースを管理します。 IP アドレス プール - このポリシー タイプは、IVE アプライアンスがクライアントサ イド プロセスに Network Connect セッション用の IP アドレスを割り当てるための IP アドレス範囲を指定します。 スプリット トンネル ネットワーク - このポリシー タイプは、IVE アプライアンス がトラフィックを処理する内部ネットワークを指定します。 リソース ポリシー コンポーネント リソース ポリシーには、以下の情報が含まれます。 54 リソース ポリシーの概要 リソース:ポリシーの適用対象のリソースを指定するリソース名の集合(ホスト名ま たは IP アドレス / ネットマスクの組み合わせ)です。ホスト名を一致させるため、ワ イルドカードを接頭辞として前に入力してリソースを指定できます。ポリシーのデ フォルト リソースはアスタリスク(*)です。これは、関連するすべてのリソースに ポリシーが適用されることを意味します。詳細については、281 ページの「リソース ポリシーのリソースの指定」を参照してください。 ロール:このポリシーの適用対象のユーザー ロールのリスト(オプション)。デフォ ルト設定では、すべてのロールにポリシーが適用されます。 アクション:ユーザーから Resource リストに対応するリソースを要求されたときに IVE アプライアンスが実行するアクション。アクションでは、リソースの許可または 拒否、あるいは特定の IP アドレスの割り当てを指定できます。 Juniper Networks NetScreen Secure Access 700 管理ガイド リソース ポリシーの評価 IVE アプライアンスがユーザーからの要求を受信すると、要求のタイプに応じたリソース ポリシーが評価されます。IVE は要求されたリソースに対応するポリシーを処理する場合 に、その要求に対して指定のアクションを適用します。このアクションは、ポリシーの General タブで定義します。 IVE アプライアンスでは、アクセス機能のリソース ポリシーを上から下に順に評価しま す。つまり、ポリシー リストの 1 番から開始して一致するポリシーが見つかるまでリス トの下方向に進んでいきます。 リソース ポリシー詳細規則 Web、ファイル、Telnet/SSH、Network Connect などのアクセス機能では、個々の Web、 ファイル、telnet サーバーに対するリソース ポリシーを指定できます。Email Client のア クセス機能のポリシーは 1 つで、グローバルに適用されます。このポリシーの場合、この アクセス機能を有効化するすべてのロールで使用するサーバー設定を指定します。その他 のアクセス機能については、複数のリソース ポリシーを指定できます。さらに、各ポリ シーには 1 つ以上の詳細規則を定義できます。 詳細規則 とは、以下の内容を指定できるリソース ポリシーの拡張機能です。 General タブに表示されるリソースの追加1 情報(特定のパス、ディレクトリ、ファ イル、ファイル タイプなど) 。 General タブで指定したアクションとは異なるアクション(同じリソースに対して)。 詳細規則を適用するためには結果が true でなければならない条件。 ほとんどの場合、General タブで指定する基本リソース ポリシーにより、リソースに対す るアクセスを十分にコントロールできます。 “defined_roles” に属しているユーザーが “defined_resources” にアクセスを試みる場 合、指定されている “resource_action” が実行されます。 以下に示すその他の情報のセットに基づいてアクションを実行する場合は、ポリシーに 1 つ以上の詳細規則を定義できます。 ヘッダー、コンテンツ タイプ、ファイル タイプなどのリソース プロパティ ユーザー名やユーザーに割り当てるロールなどのユーザー プロパティ ユーザーのソース IP およびブラウザ タイプ、Host Checker または Cache Cleaner の 実行状態、時刻、証明書属性などのセッション プロパティ 詳細規則により、既存のリソース情報および権限情報を利用したより柔軟なリソース ア クセス コントロールが可能になり、基本リソース ポリシーを適用するそれぞれのユー ザーに異なる要件を効率的に指定できるようになります。 設定手順については、283 ページの「詳細規則の記述」を参照してください。 1. ユーザーの要求に対する条件を適用するためだけに詳細規則を使用する場合は、General タブと同じリソース リスト を指定することもできます。 リソース ポリシーの概要 55 Juniper Networks NetScreen Secure Access 700 管理ガイド 56 リソース ポリシーの概要 第3章 認証と承認 IVE プラットフォーム上に構築されるすべての製品では、領域、サーバー、リソースのポ リシーを使用して、29 ページの「IVE シリーズ」で説明されている IVE およびその機能へ のユーザーのアクセスを管理できます。さらに、IVE は、以下のセクションで説明する認 証、承認、セキュリティの各機能も提供します。 目次 59 ページの「証明書の概要」 66 ページの「エンドポイント防御の概要」 第 3 章 : 認証と承認 57 Juniper Networks NetScreen Secure Access 700 管理ガイド 58 第 3 章 : 認証と承認 Juniper Networks NetScreen Secure Access 700 管理ガイド 証明書の概要 IVE は、インターネットを通じてクライアントに送信したデータを、PKI で保護します。 PKI(公開鍵インフラストラクチャ)は、公開鍵と秘密鍵を使用して情報を暗号化および 解読するセキュリティ方式です。これらの鍵は、デジタル証明書を通じて有効にされ、保 存されます。デジタル証明書とは、クライアント / サーバー間でのトランザクション処理 について Web サーバーまたはユーザーの信用を確立するために発行される、暗号化され た電子ファイルです。 IVE 次の種類のデジタル証明書を使用して信用を確立し、IVE セッション トランザクショ ンを保護します。 IVE certificates - IVE サーバー証明書は、会社名、会社の公開鍵のコピー、証明書 を発行した認証局(CA)のデジタル署名、シリアル番号、および有効期限などの要 素を使用して、IVE との間のネットワーク トラフィックを保全します。詳細について は、59 ページの「IVE サーバー証明書」を参照してください。 Trusted client CAs - トラステッド クライアント CA は、証明書または証明書属性に 基づいて領域、ロール、リソース ポリシーへのアクセスを管理するために、認証局 (CA)によって発行されたクライアントサイド証明書です。たとえば、“Users” 認証領 域にサインインするユーザーには、OU 属性を “yourcompany.com” に設定した有効 なクライアントサイド証明書が必要であると指定します。詳細については、60 ペー ジの「トラステッド クライアント CA」を参照してください。 Trusted server CAs - トラステッド サーバー CA は、トラステッド Web サーバーの 証明書です。Web ブラウズのライセンスがある場合、ユーザーが IVE アプライアンス からアクセスする Web サイトの資格情報を有効にするために、IVE のトラステッド サーバー CA をインストールすることができます。詳細については、64 ページの「ト ラステッド サーバー CA」を参照してください。 Code-signing certificates - コード署名証明書(アプレット証明書とも呼ばれます) は、サーバーサイド証明書の一種で、IVE が仲介する Java アプレットの署名を書き直 します。IVE アプライアンスにあらかじめロードされている自己コード署名証明書を 使用することも、独自のコード署名証明書をインストールすることもできます。詳細 については、64 ページの「コード署名証明書」を参照してください。 IVE の基本設定では、IVE 証明書とコード署名証明書だけが要求されます。IVE アプライア ンスは、1 つのコード署名証明書を使用してすべての Java アプレットの署名を書き直す ことができ、1 つの IVE サーバー証明書を使用して他のすべての PKI ベースの通信を仲介 することができます。ただし、これらの基本的な証明書でニーズが満たされない場合は、 複数のサーバー証明書とアプレット証明書を IVE アプライアンスにインストールするか、 CA 証明書を使用して、ユーザーを検証することができます。 IVE サーバー証明書 IVE サーバー証明書は、会社名、会社の公開鍵のコピー、証明書を発行した認証局(CA) のデジタル署名、シリアル番号、有効期限をなどの要素を使用して、IVE アプライアンス との間のネットワーク トラフィックを保全します。 暗号化されたデータを IVE から受け取ったクライアント ブラウザは、IVE の証明書が有効 かどうか、IVE の証明書を発行した CA をユーザーが信頼済みかどうかを最初にチェック します。ユーザーがまだ IVE の証明書の発行者を信頼することを示していない場合、Web ブラウザは IVE アプライアンスの証明書を受け入れるか、インストールするようユーザー に要求します。 証明書の概要 59 Juniper Networks NetScreen Secure Access 700 管理ガイド IVE の初期化時に、一時 自己署名電子証明書がローカルに作成されます。すると、ユー ザーは直ちに IVE の使用を開始できるようになります。初期化時に作成され、自己署名さ れた証明書を暗号化すれば完璧なセキュリティが得られますが、IVE にサインインするた びにセキュリティ警告が表示されます。これは、証明書が信頼できる認証局(CA)から 発行されていないためです。本稼動する場合には、信頼できる CA からデジタル証明書を 取得することをお勧めします。 IVE アプライアンスも、60 ページの「中間サーバー CA 証明書」の説明のように、証明書 階層内の中間サーバー CA 証明書の使用をサポートしています。 IVE アプライアンスで自動的に作成される自己署名を使用しない場合は、Web コンソール の System > Configuration > Certificates > IVE Certificates ページでの設定を使用でき ます。 ルート証明書とその対応する秘密鍵を IVE アプライアンスにインポートします。 中間サーバー証明書とその対応する秘密鍵を IVE アプライアンスにインポートしま す。詳細については、60 ページの「中間サーバー CA 証明書」を参照してください。 手順については、148 ページの「IVE Certificates タブ」を参照してください。 中間サーバー CA 証明書 証明書階層 内では、1 つ以上の中間証明書が 1 つのルート証明書から分岐しています。 ルート証明書はルート認証局(CA)により発行され、自己署名されます。各中間証明書は チェーン内の上位の証明書によって発行されます。 チェーン証明書を使用してトラフィックを保全する場合は、IVE と Web ブラウザの両方 に完全な証明書チェーンが含まれるようにする必要があります。たとえば、Verisign ルー ト証明書から生じるチェーンを使用することによって、トラフィックを選択することがで きます。ユーザーのブラウザに Verisign ルート証明書が事前ロードされていると仮定した 場合は、IVE のチェーン内に低レベルの証明書をインストールすることだけが必要です。 その後、ユーザーが IVE にブラウズすると、IVE はトランザクションを保全するために、 チェーン内にある全証明書をブラウザに表示します。(IVE は、ルート証明書の IssuerDN を使用してチェーン内に適切なリンクを作成します)。IVE とブラウザの両方がチェーン全 体を有していない場合は、信頼済みの CA ではなく別の証明書によって発行されたもので あるため、ユーザーのブラウザは IVE の証明書を認識または信頼することができません。 チェーン クライアント証明書については、61 ページの「クライアント CA 階層」を参照 してください。 Web コンソールの System > Configuration > Certificates > IVE Certificates ページか ら、中間サーバー証明書をインストールすることができます。 トラステッド クライアント CA トラステッド クライアント CA とは、認証局(CA)によって発行されたクライアントサ イドの証明書です。クライアント CA 証明書を使用するには、適切な証明書を IVE にイン ストールして有効にするとともに、対応するクライアントサイド証明書をエンドユーザー の Web ブラウザにインストールする必要があります。CA 証明書でユーザーの正当性を検 証すると、IVE は、その証明書の期限が切れていたり壊れていないか、IVE が認めた CA によって署名されているかをチェックします。 証明書の値に基づいてユーザー アクセスを制限する IVE の設定方法については、44 ペー ジの「証明書のアクセス制限」を参照してください。 IVE は、CA 証明書を使用して以下の追加機能をサポートします。 60 証明書の概要 Juniper Networks NetScreen Secure Access 700 管理ガイド Certificate servers - 証明書サーバーは一種のローカル認証サーバーで、これを使用 すると、標準の認証サーバー (LDAP や SiteMinder など ) に照合してユーザーを認証 したり、特定の証明書や証明書属性を必要とすることなく、証明書属性だけに基づい て IVE ユーザーを認証できます。詳細については、233 ページの「証明書サーバー イ ンスタンスを設定する」を参照してください。 Certificate hierarchies - 証明書階層内では、1 つまたは複数の下位証明書(中間証 明書と呼ばれます)がルート証明書から分岐して、証明書チェーンを形成します。 IVE に証明書チェーンをインストールすると、アプライアンスはチェーンが有効であ ることを確認し、ユーザーはリーフ証明書(チェーンの最下位レベルの証明書)を使 用して認証することができます。詳細については、61 ページの「クライアント CA 階 層」を参照してください。 Certificate revocation lists - 証明書の取り消しとは、有効期限が切れる前に CA が証 明書を無効にするメカニズムです。証明書失効リスト(certificate revocation list: CRL) は、CA が発行した証明書のうち、取り消された証明書のリストです。CRL 内の各エ ントリには、取り消された証明書のシリアル番号、取り消された日付、取り消された 理由が含まれています。CA は、発行した証明書を所有する社員の退職、証明書の秘 密鍵の改ざん、クライアントサイド証明書の紛失や盗難など、さまざまな理由により 証明書を無効にします。CA が証明書を取り消すと、IVE は、取り消された証明書を提 示するユーザーのアクセスを的確に拒否することができます。詳細については、62 ページの「CRL」を参照してください。 証明書による領域、ロール、およびリソース ポリシーのチェックについては、401 ペー ジの「証明書の制限」を参照してください。 Web コンソールの System > Configuration > Certificates > Trusted Client CAs ページか ら信頼済みのクライアント CA をインストールすることができます。手順については、 151 ページの「トラステッド クライアント CA 証明書を IVE へアップロードする」を参照 してください。 メモ : Secure Access 700 アプライアンスでは、IVE に 1 つのルート CA 証明書をインス トールするだけで、対応する 1 つのクライアントサイド CA 証明書で複数のユーザーを 検証できます。 クライアント CA 階層 証明書階層内では、1 つ以上の中間証明書が 1 つのルート証明書から分岐しています。 ルート証明書はルート認証局(CA)により発行され、自己署名されます。各中間証明書は チェーン内の上位の証明書によって発行されます。 証明書チェーン環境での認証を有効にするには、適切なクライアントサイドの証明書を各 ユーザーの Web ブラウザにインストールし、対応する CA 証明書を IVE にアップロード する必要があります。 メモ : Secure Access 700 アプライアンスでは、異なる CA が発行した証明書のチェーン をインストールすることはできません。チェーンの最下位レベルの証明書に署名する CA は、チェーン内の他のすべての証明書にも署名しなければなりません。 IVE サーバーの証明書チェーンについては、60 ページの「中間サーバー CA 証明書」を参 照してください。 証明書の概要 61 Juniper Networks NetScreen Secure Access 700 管理ガイド Web コンソールの System > Configuration > Certificates > Trusted Client CAs ページ からクライアント CA をインストールすることができます。証明書チェーンを IVE にアッ プロードするには、以下のいずれかの方法を使用する必要があります。 Import the entire certificate chain at once - 1 つのファイルに含まれた証明書 チェーンをインストールする際に、IVE はルート証明書と、親がそのファイル内また は IVE 上にある下位証明書をすべてインポートします。インポート ファイルには、任 意の順序で証明書を入れることができます。 Import the certificates one at a time in descending order - 複数のファイルに含 まれる証明書チェーンをインストールする際に、IVE は、初めにルート証明書を インストールし、その後に残りの証明書チェーンを降順でインストールすること を要求します。 上記のいずれかの方法で証明書チェーンをインストールすると、IVE は証明書を自動的に 正しい順序でチェーンし、Web コンソールに階層構造で表示します。 手順については、151 ページの「トラステッド クライアント CA 証明書を IVE へアップ ロードする」を参照してください。 CRL 証明書失効リスト (certificate revocation list: CRL) は、クライアントサイド証明書を取り消 すためのメカニズムです。名前が示すとおり、CRL は取り消された証明書のリストであ り、CA または委任された CRL 発行者が発行します。IVE はベース CRL をサポートします。 ベース CRL には、社内で取り消されたすべての証明書が 1 つのリストにまとめられてい ます。 IVE は、クライアントの証明書をチェックすることで、どの CRL を使用するかを認識しま す。(証明書の発行する際に、CA はその証明書の CRL 情報を証明書内に含めます)。最新 の CRL 情報を受け取るようにするため、IVE は CRL 配布点に定期的にアクセスして、取 り消された証明書の更新リストを取得します。CRL 配布点(CRL distribution point: CDP) とは、CA が CRL を発行する、LDAP ディレクトリ サーバーまたは Web サーバーの場所で す。IVE は、CRL に指定された間隔と、CRL の設定時に管理者が指定した間隔で CDP から CRL 情報をダウンロードするほか、CRL を手動でダウンロードしたときにもダウンロード を行います。IVE は、CRL パーティションもサポートしています。CRL パーティションに より、特大 CRL や大規模 CRL の集合体へのアクセスおよび確認に時間や労力をかけずに、 特大 CRL の各部を確認することができます。CRL パーティションは、以下に記されている Specify the CDP(s) in the client certificates の方法を使用している際に、IVE でのみ有効 にできます。この場合、IVE はクライアント証明書に指定された CRL のみを確認して、 ユーザーを検証します。 CA は CRL 情報をクライアントサイド証明書に含めますが、CDP 情報を必ず含めるわけで はありません。CA は、以下のいずれかの方法で証明書の CDP の場所を IVE に通知するこ とができます。 62 証明書の概要 Specify the CDP(s) in the CA certificate - CA 証明書の発行時、CA は、IVE がアクセ スする必要のある CDP の場所を指定した属性を含めることができます。複数の CDP を指定すると、IVE は証明書にリストされた最初の CDP を選択し、そこでなければ 必要に応じて以降の CDP に順次切り替えていきます。 Juniper Networks NetScreen Secure Access 700 管理ガイド Specify the CDP(s) in the client certificates - クライアントサイド証明書の発行時、 CA は、IVE がアクセスする必要のある CDP の場所を指定した属性を含めることがで きます。複数の CDP を指定すると、IVE は証明書にリストされた最初の CDP を選択 し、そこでなければ必要に応じて以降の CDP に順次切り替えていきます。IVE が CRL パーティションを適用して、クライアント証明書が 1 つの CRL のみを指定した際、 IVE はその CRL のみ を使用して確認します。 メモ : この方法では、ユーザーは初めて IVE にサインインを試みたとき、使用可能な CRL 情報がないためにエラーを受け取ります。IVE がクライアントの証明書を認識し、 CRL の場所を取り出すと、IVE は CRL のダウンロードを開始し、これ以降にユーザーの 証明書を検証できるようになります。IVE に正常にサインインするには、ユーザーは数 秒間待ってから再接続する必要があります。 Require the administrator to manually enter the CDP location - CA がクライアント 証明書または CA 証明書に CDP の場所を含めない場合は、IVE の設定時に、CRL オブ ジェクト全体をダウンロードする方法を手動で指定する必要があります。プライマリ およびバックアップ CDP を指定できます。(CDP の場所を手動で入力すると、CDP の場所を変更した場合にも証明書を再発行する必要がないため、最大限の柔軟性が得 られます)。 IVE は、ユーザーの認証時に適切な CRL に照合して証明書をチェックします。ユーザーの 証明書が有効であると判断した場合は、IVE は証明書属性をキャッシュに格納し、ロール およびリソース ポリシーのチェック時に、必要に応じて適用します。ユーザーの証明書が 無効であると判断した場合や、適切な CRL にアクセスできなかった場合、または CRL が 期限切れの場合は、IVE はユーザー アクセスを拒否します。 Web コンソールの System > Configuration > Certificates > Trusted Client CAs ページ から、CRL チェックを設定することができます。 メモ : IVE がサポートするのは、PEM または DER フォーマットの CRL と、取り消しが適 用される CA によって署名された CRL だけです。 IVE は最初の CRL のみを PEM ファイルに保存します。 IVE は配布点発行(Issuing Distribution Point: IDP)という CRL の拡張機能をサポー トしません。 設定手順については、155 ページの「CDP オプションの指定」を参照してください。 OCSP オンライン証明書ステータスプロトコル (Online Certification Status Protocol: OCSP) に よって、リアルタイムでクライアント証明書を確認することができます。OCSP を使用す ると、IVE は OCSP レスポンダのクライアントとなり、クライアント証明書に基づいて ユーザー用の検証リクエストを転送します。OCSP レスポンダは CA が発行した CRL の保 管を維持し、有効および無効となっているクライアント証明書の最新のリストを維持しま す。OCSP レスポンダが IVE(通常は HTTP または HTTPS トランスミッション)から検証 リクエストを受信すると、OCSP レスポンダは独自の認証データベースを使用して証明書 のステータスを検証するか、最初に証明書を発行した OCSP レスポンダにリクエストを検 証するように要求します。応答が作成されると、OCSP レスポンダは署名された応答を IVE へと戻し、最初の証明書は OCSP レスポンダが証明書の正当性を確認するかに応じて 認可または拒否されます。OCSP オプションの有効化および設定については、151 ページ の「Trusted Client CAs タブ」を参照してください。 証明書の概要 63 Juniper Networks NetScreen Secure Access 700 管理ガイド トラステッド サーバー CA Web ブラウズのライセンスがある場合、ユーザーが IVE アプライアンスからアクセスす る Web サイト証明を有効にすることができます。IVE アプライアンスでトラステッド Web サーバーの CA 証明書のインストールが必要になるだけです。(Internet Explorer 6.0 と Windows XP service pack 2 にインストールされた Web 証明書のトラステッド ルート CA はすべて IVE アプライアンスで事前にインストールされていることに注意してくださ い。)次に、SSL 対応の Web サイトにユーザーがアクセスする場合、IVE は次を確認しま す。 Web サイト証明書は IVE アプライアンスにインストールされたトラステッド ルート CA チェーンの 1 つによって発行されます。 Web サイト証明書は有効です。 Web サイト証明書 Subject CN 値はアクセスした URL の実際のホストネームに一致 します。(IVE アプライアンスでは、Subject CN 値に “*.company.com” の形式でワ イルドカードを含めることができます。) どの条件も満たさない場合は、IVE はユーザー アクセス ログに主なイベントをログして、 Web コンソールの Users > Roles > ロール名 > Web > Options タブで設定したロール レベル設定に基づいて、Web サイトへのユーザーのアクセスを許可または拒否します。 (これらの設定を行っていない場合は、IVE アプライアンスはユーザーに、Web サイト証 明書は無効であるが、サイトにはアクセスできる旨の警告を行います。) Web コンソールの System > Configuration > Certificates > Trusted Server CAs ページ からトラステッド Web サーバーの CA 証明書をインストールすることができます。手順に ついては、157 ページの「トラステッド サーバー CA 証明書を IVE へアップロードする」 を参照してください。 コード署名証明書 署名付き Java アプレットを仲介する場合、IVE は非標準の信頼されるルート CA が発行し た自己署名証明書でアプレットの署名を書き直します。ユーザーがネットワーク サーバー へのアクセスなどの危険度の高いタスクの実行を要求すると、ルートがトラステッド ルートではない、というセキュリティ警告がユーザーのブラウザに表示されます。このよ うな警告が表示されないようにするには、IVE が仲介するアプレットの署名書き換えに使 用するコード署名証明書をインポートします。 IVE は以下のタイプのコード署名証明書をサポートしています。 Microsoft Authenticode Certificate - IVE は、MS JVM または SUN JVM で実行するア プレットの署名にはこの証明書を使用します。サポートされるのは、Verisign が発行 した Microsoft Authenticode 証明書のみであることに注意してください。以下の場所 で Microsoft Authenticode 証明書を購入できます。 http://www.verisign.com/products-services/security-services/codesigning/index.html JavaSoft Certificate - IVE は、SUN JVM で実行するアプレットの署名にはこの証明書 を使用します。サポートされるのは、Verisign と Thawte が発行した JavaSoft 証明書 のみであることにご注意ください。 どのコード署名証明書をインポートするかを判断するには、次のようなブラウザの依存性 を考慮します。 64 証明書の概要 Internet Explorer - Windows XP があらかじめインストールされた新しいコンピュー タの場合、Internet Explorer は通常、SUN JVM を実行します。つまり、IVE は JavaSoft 証明書を使用してアプレットの署名を書き直す必要があります。 Juniper Networks NetScreen Secure Access 700 管理ガイド Windows 98、2000、または Windows XP にアップグレードした PC の場合、Internet Explorer は通常、MS JVM を実行します。つまり、IVE は Authenticode 証明書を使用 してアプレットの署名を書き直す必要があります。 Netscape、Firefox、および Safari - これらのブラウザは、SUN JVM だけをサポート します。つまり、IVE は、JavaSoft 証明書を使用してアプレットの署名を書き直す必 要があります。 SUN JVM ユーザーへの注意事項 ユーザーがアプレットにアクセスすると、デフォルトで、Java プラグインはコード 署名証明書と共にアプレットをキャッシュに格納します。この処理は、コード署名証 明書を IVE にインポートした後でも、ブラウザによって元の証明書がアプレットに提 示されることを意味します。コード署名証明書をインポートする前にアクセスされた アプレットの信頼できない証明書が表示されないようにするには、SUN JVM ユー ザーは Java プラグインをキャッシュから消去する必要があります。または、キャッ シュを無効にするという方法もあります。ただし、この方法ではアクセスするたびに アプレットをフェッチする必要が生じるため、パフォーマンスが低下する可能性があ ります。 Java プラグインには、ブラウザの信頼できる証明書リストとは別に、信頼できる Web サーバー証明書の独自のリストが保持されます。ユーザーがアプレットにア クセスすると、(ブラウザによる接続とは別に)SUN JVM はアプレットがある Web サーバーに接続します。ユーザーは、コード署名証明書に加えて Web サー バー証明書も受け入れるかどうか尋ねられます。この場合には、ユーザーは Web サーバー証明書に AlwaysTrust ボタンを選択する必要があります。Java プラグイン にはタイムアウトが設定されているため、このボタンの選択が遅れるとアプレッ トはロードされません。 タスク サマリー: Java アプレットに署名または再署名するよう IVE を設定する コード署名証明書を使用して、IVE がアプレットに再署名するよう設定するには、次の操 作を行います。 1. Web コンソールの System > Configuration > Certificates > Code-Signing Certificates ページから Java コード署名証明書をインストールします。手順について は、159 ページの「コード署名証明書のインポート」を参照してください。 2. 次のいずれかの操作を行います。 Web コンソールの Resource Policies > Web > Java > Code Signing ページから、 IVE が再署名する必要のあるアプレットを指定するコード署名ポリシーを生成し ます。このポリシーでは、アプレットの発生元のホストネームを指定する必要が あります。手順については、293 ページの「Java Code Signing リソース ポリシー の作成」を参照してください。 独自の Java アプレットを IVE にアップロードし、IVE を設定して、署名または再 署名してください(101 ページの「タスク サマリー:Java アプレットのアップ ロードと有効化」を参照)。 証明書の概要 65 Juniper Networks NetScreen Secure Access 700 管理ガイド エンドポイント防御の概要 Juniper Networks は、セキュアアクセス エンドポイントの信頼性を評価する包括的な ソリューションを提供するために、Juniper Endpoint Defense Initiative (J.E.D.I.)を開 発しました。J.E.D.I. は、エンドポイントが企業ネットワークにもたらすあらゆる分野 のリスクに対処するために、階層化されたアプローチを取っています。J.E.D.I. コン ポーネントを使用すると、ネットワーク内外のユーザーが IVE アプライアンスにアク セスするときに、システムの安全性を確保できます。J.E.D.I. コンポーネントには次の ものが含まれています。 66 エンドポイント防御の概要 Host Checker - Host Checker(ネイティブ ホスト チェックとポリシー ベースの実施 ともいいます)は、IVE のネイティブのコンポーネントであり、これによって IVE に 接続したホストで、エンドポイント チェックを実行できます。Host Checker は、サー ドパーティのアプリケーション、ファイル、プロセス、ポート、レジストリ キー、 カスタム DLL 検証し、その結果に基づいてアクセスを許可あるいは拒否します。ライ センスを取得している場合は、Host Checker を使用して、高度な障害検出ソフトウェ アをユーザーのコンピュータに直接ダウンロードすることが可能です。ユーザーのコ ンピュータが指定した要件を満たしていない場合は、ユーザーがコンピュータを要件 に準拠させることができるよう、改善の指示を表示することができます。詳細につい ては、67 ページの「Host Checker の概要」を参照してください。 ホスト チェック クライアント インターフェース(Windows のみ)- ホスト チェッ ク クライアント インターフェースは、Host Checker を使用して独自の DLL を実行す るための API です。このインターフェースを介して、Host Checker に対し、ユーザー のシステムにインストール済みの DLL や、企業イメージ、アンチウィルス ソフト ウェア、およびパーソナル ファイアウォール クライアントとの適合をチェックする プログラムなど、企業 OS イメージの一部として配布済みの DLL を実行するように要 求することができます。ユーザーが IVE にサインインすると、Host Checker は指定の DLL を実行し、その DLL が返した成功または失敗の結果に基づき、その後の処理を 実行します。たとえば、クライアント チェック ソフトウェアが失敗した場合は、IVE へのユーザー アクセスを拒否できます。詳細は、Juniper Support サイトから入手でき る J.E.D.I. Solution Guide を参照してください。 Host Check Server Integration Interface (Windows only) - ホスト チェック サーバー 統合インターフェースは、J.E.D.I. 準拠システムと IVE を緊密に統合できる API です。 ホスト チェック クライアント インターフェースと同様に、ホスト チェック サー バー統合インターフェースを使用すると、管理者は、ホストの完全性スキャン、障害 検出ソフトウェア、および仮想環境など、クライアント上のサードパーティ ソフト ウェアを実行するよう Host Checker に命令できます。このインターフェースでは、 サードパーティ アプリケーションが実行したさまざまなポリシー チェックの結果に 基づき、Host Checker で実行する作業を詳細に指定できます。これらのポリシー チェックを実行し、ソフトウェア パッケージに含まれる個々のポリシーの結果に応 じて、ユーザーを領域、ロール、およびリソースに動的にマップすることができま す。詳細は、Juniper Support サイトから入手できる J.E.D.I. Solution Guide を参照して ください。 Juniper Networks NetScreen Secure Access 700 管理ガイド Cache Cleaner (Windows のみ) - Cache Cleaner はネイティブの IVE コンポーネント であり、これを使用すると、IVE セッション後にユーザーの OS からクッキー、一時 ファイル、アプリケーション キャッシュなどの残留データを削除できます。Cache Cleaner は、前のユーザーが表示していたファイルの一時コピーを次のユーザーが見 られないようにしたり、ユーザーが Web フォームに入力するユーザー名、パスワー ド、および Web アドレスを Web ブラウザが永久的に保存するのを防ぐなどして、 ユーザーのシステムを守ります。詳細については、76 ページの「Cache Cleaner の概 要」を参照してください。 これらのエンドポイント防御コンポーネントを使用すると、階層化された保護アプローチ によって、IVE 内から、さまざまなエンドポイント チェックの管理とプロビジョニングが 行えます。たとえば、IVE 領域へのユーザー アクセスを許可する前にウィルス検出チェッ クを選択し、必要に応じてユーザー システム上のソフトウェアを起動して、独自の DLL に定義された個別ポリシーに基づいてユーザーをロールにマップし、次にスパイウェア検 出ソフトウェアの有無に基づき個々のリソースへのアクセスを制限することができます。 また、Cache Cleaner を使用すれば、ユーザーが IVE セッションを終了すると同時に残留 ファイルを削除し、ユーザーのアプリケーション キャッシュを消去することができます。 Host Checker の概要 Host Checker は、IVE に接続したホストでエンドポイント チェックを実行するクライアン トサイドのエージェントです。IVE のサインイン ページをユーザーに表示する前や、ロー ル マッピング規則を評価する際に、Host Checker を起動できます。 IVE は、高度な障害保護をチェックしてインストールするルール、アンチウィルス ソフト ウェア、ファイアウォール、障害、スパイウェア、およびさまざまな業界リーダーが提供 する特定のオペレーティング システムをチェックする定義済みの規則、特定のサード パーティの DLL、ポート、プロセス、ファイル、レジストリ キー設定をチェックするカ スタム規則など、さまざまな規則タイプを使用してエンドポイントのプロパティについて ホストをチェックすることができます。 ユーザーのコンピュータがいずれの Host Checker のポリシー要件も満たさない場合は、 ユーザーに改善ページを表示できます。このページには、ユーザーのコンピュータが各 Host Checker ポリシーを満たすために必要な特定の指示やリソースへのリンクを含めるこ とができます。 詳細については、以下を参照してください。 68 ページの「Host Checker ポリシーの定義」 69 ページの「Host Checker 改善ページの使用」 71 ページの「Host Checker ポリシーの実装」 71 ページの「ポリシー サーバーを Host Checker クライアントに使用可能にする」 72 ページの「Host Checker のインストール」 73 ページの「Host Checker ポリシーの実行」 74 ページの「タスク サマリー:Host Checker の設定」 エンドポイント防御の概要 67 Juniper Networks NetScreen Secure Access 700 管理ガイド Host Checker ポリシーの定義 エンドポイントの管理のために、Host Checker をポリシー適用ツールとして使用するに は、システム レベルでグローバルな Host Checker ポリシーを作成し、領域およびロール レベルでポリシーを実装する必要があります。 IVE は、Host Checker ポリシーを有効化、作成、設定するのに使用するメカニズムに、次 のようなものを提供しています。 定義済みのポリシー(ネットワーク内の攻撃を防ぐ、あるいは障害検出ソリューショ ンをダウンロード)- IVE には、定義済みの 2 種類のクライアントサイド Host Checker ポリシーがあらかじめ装備されています。これらを使用するには単に有効化 するだけで、作成や設定は必要ありません。接続コントロール ポリシーは、同じネッ トワーク上にある感染したコンピュータから Windows クライアント コンピュータへ の攻撃を防ぎます。障害保護ポリシー Advanced Endpoint Defense は、ユーザーが IVE へサインインする前にクライアント コンピュータに障害保護ソフトウェアをダウ ンロードします。これらのポリシーは、Windows のシステム上でのみ作用します。詳 細については、186 ページの「既定のクライアントサイド ポリシーを有効にする (Windows のみ)」を参照してください。 定義済みのポリシー(サード パーティのアプリケーションをチェック)- Host Checker には、アンチウィルス ソフトウェア、ファイアウォール、障害、スパイウェ ア、およびさまざまな業界リーダーが提供する特定のオペレーティング システムを チェックするあらゆる定義済みの規則が、あらかじめ装備されています。これらの規 則を Host Checker のクライアント サイド ポリシー内で 1 つ以上有効化して、指定し ている統合されたサードパーティ製アプリケーションが、確実に仕様に従ってコン ピュータ上で実行されるようにできます。詳細については、190 ページの「既定の規 則を使用してサード パーティのアプリケーションをチェックする(Windows のみ)」 を参照してください。 カスタム規則(追加の要件をチェック)- IVE であらかじめ定義されたクライアント サイドのポリシーや規則がニーズに対応していない場合、Host Checker にカスタム規 則を作成して、ユーザーのコンピュータが満たすべき要件を定義することができま す。カスタム規則を使用して、以下を行うことができます。 カスタマイズされたクライアント サイドのチェックを実行する DLL をチェック するよう Host Checker を定義します。 ユーザーのコンピュータ上で特定のポートが開いているかどうかを確認します。 ユーザーのコンピュータ上で特定のプロセスが実行されているかどうかを確認し ます。 クライアント マシン上で特定のプロセスが実行されているかどうかを確認し ます。 MD5 チェックサムから必要なファイルの使用期間と内容を評価します。 クライアント マシン上でレジストリ キーが設定されているのを確認します。 詳細については、191 ページの「カスタム規則を使用して要件をカスタマイズする」 を参照してください。 68 エンドポイント防御の概要 Juniper Networks NetScreen Secure Access 700 管理ガイド カスタム統合アプリケーション(サーバー API から実装)- Window クライアントの 場合には、ホスト チェック サーバー統合インターフェース(API)を使用して、Host Checker のサーバー サイドのポリシーも定義し、それらのポリシーをサード パー ティの統合パッケージにジップアップできます。ポリシーは、IVE にサードパーティ の統合パッケージをアップロードしたときに、IVE によって認識されます。これらの ポリシーの作成についての詳細は、Juniper Support サイトから入手できる J.E.D.I. Solution Guide を参照してください。作成したサーバー サイドのポリシーを有効化す ることについての情報は、197 ページの「カスタマイズしたサーバー サイド ポリ シーを有効にする」を参照してください。 1 つのポリシーに、Windows、Macintosh、Linux に対してそれぞれ別の Host Checker の 要件を作成し、各オペレーティング システム上の異なるファイル、プロセス、製品を チェックすることができます。さらに、1 つのポリシー内で複数のホスト チェック タイ プを組み合わせて、規則の代替セットをチェックすることができます。 グローバル Host Checker ポリシーを作成するには、Web コンソールの Signing In > End Point > Host Checker の設定を使用します。手順については、184 ページの「Host Checker タブ」を参照してください。 Host Checker 改善ページの使用 Host Checker ポリシーを定義するときに、ユーザーのコンピュータがポリシーの要件を満 たさない場合に Host Checker に行わせる改善アクションを定義できます。たとえば、ユー ザーのコンピュータが Host Checker ポリシーの要件を満たすために必要な、特定の指示 やリソースへのリンクを含んだ改善ページをユーザーに表示するよう、IVE を設定するこ とができます。 たとえば、次のような指示やリンクを持った改善ページをユーザーに表示できます。 お使いのコンピュータのセキュリティは不十分です。 お使いのコンピュータは次のセキュリティ要件を満たしていません。問題を解決 するために、以下の指示に従ってください。完了したら、Try Again をクリック します。これらの問題を解決せずに Continue をクリックした場合は、一部のイ ントラネット サーバーにアクセスできない可能性があります。 1. TrendMicro 指示: 最新の署名ファイルがありません。ここをクリックして、最新の署名ファ イルをダウンロードしてください。 2. ManagedPC 指示: 仮想デスクトップから再びサインしてください。 各 Host Checker ポリシーには、次の 2 種類の改善アクションを設定できます。 User-driven - カスタム指示を使用して、ユーザーに失敗したポリシーとコンピュー タをポリシーに準拠させる方法についてユーザーに知らせることができます。ユー ザーは失敗したポリシーが正常に再評価されるように処置を行う必要があります。た とえば、ユーザーがコンピュータを要件に準拠させることができるポリシー サー バーあるいは Web ページへのリンクを有効化する、カスタム ページを作成すること ができます。 エンドポイント防御の概要 69 Juniper Networks NetScreen Secure Access 700 管理ガイド Automatic (system-driven) - Host Checker が自動的にユーザーのコンピュータを改 善するように設定できます。たとえば、プロセスの削除、ファイルの削除、最初のポ リシーが失敗したとき別のポリシーを起動などを行えます。Windows では、 HCIF_Module.Remediate () API 関数を J.E.D.I. DLL の一部として呼び出すことができ ます。 Host Checker は自動アクションを実行するときに、ユーザーに通知しません。 (ただし、カスタム指示に自動アクションについての情報を含めることができます。) これらの改善アクションは、クライアントサイドおよびサーバーサイドの両方のポリシー で有効にできます。設定手順については、187 ページの「アドバンスト マルウェア防止ポ リシーの有効化」または 197 ページの「カスタマイズしたサーバー サイド ポリシーを有 効にする」を参照してください。 Host Checker の改善表示 改善ページは、次の状態でユーザーに表示されます。 ユーザーがサインインする前: 失敗したポリシーのカスタム指示を有効にすると、IVE は改善ページをユーザー に表示します。このユーザーには 2 つの選択肢があります。 適切なアクションを行って、コンピュータをポリシーに準拠させ、改善ペー ジの Try Again ボタンをクリックします。Host Checker は、ユーザーのコン ピュータがポリシーに準拠しているかどうかを再びチェックします。 コンピュータをそのまま状態にして、Continue ボタンをクリックして IVE にサインインします。ユーザーは、失敗したポリシーに準拠する必要がある 領域、ロール、リソースにアクセスできません。 メモ : Host Checker ポリシーを実施せずにアクセスできる領域を IVE で 1 つ以上設定し ていない場合は、ユーザーは、IVE にサインインする前に、コンピュータをポリシーに 準拠させる必要があります。 失敗したポリシーのカスタム指示を有効にしないと、Host Checker は改善ページ をユーザーに表示しません。その代わりに、IVE はサインイン ページを表示しま すが、ユーザーは失敗した Host Checker ポリシーを持つ領域、ロール、リソー スのいずれにもアクセスできません。 ユーザーがサインインした後: (Windows のみ)セッション中に、ユーザーの Windows コンピュータが Host Checker ポリシーの要件に準拠しなくなった場合、ユーザーのシステム トレイに アイコンが現れ、要件を満たしていないことを示すポップアップ メッセージが 表示されます。ユーザーがこのポップアップ メッセージをクリックすると、改善 ページを表示することができます。 (Macintosh または Linux)セッション中に、ユーザーの Macintosh または Linux コンピュータが Host Checker ポリシーの要件に準拠しなくなった場合、IVE は ユーザーに改善ページを表示して要件を満たしていない旨を知らせます。 メモ : ユーザーが改善ページを非表示に設定しており、管理者が Host Checker ポリシー を実施しない他の領域やロールを設定している場合は、ユーザーはセキュア ゲートウェ イのみを引き続き使用できます。 70 エンドポイント防御の概要 Juniper Networks NetScreen Secure Access 700 管理ガイド Host Checker ポリシーの実装 Web コンソールの Signing In > End Point > Host Checker ページからグローバル ポリ シーを作成したら、以下で Host Checker を要求して、IVE とリソース アクセスを制限す ることができます。 領域認証ポリシー - 管理者またはユーザーが IVE にサインインを試みると、IVE は 指定の領域の認証ポリシーを評価して、認証の前提条件に Host Checker が含まれて いるかどうかを確認します。領域の認証ポリシーでは、Host Checker をダウンロード する、Host Checker をダウンロードして領域に指定されている Host Checker ポリ シーを適用する、または Host Checker を要求しない、という設定ができます。ユー ザーは、領域に指定されている Host Checker 要件を満たしているコンピュータを使 用してサインインする必要があります。ユーザーのコンピュータが要件を満たしてい ない場合は、ユーザーがコンピュータを要件に準拠させるために使用する改善アク ションが設定されていないと、IVE はユーザーのアクセスを拒否します。Web コン ソールの Administrators/Users > Authentication > 領域を選択 > Authentication Policy > Host Checker ページから、領域レベルの制限を設定できます。 ロール - IVE は、管理者またはユーザーを割り当てる適格なロールのリストを調べ るときに、各ロールの制限を評価して、ユーザーのコンピュータが特定の Host Checker ポリシーを満たすことを要求するロールかどうかを調べます。これにより、 ユーザーのコンピュータが指定した Host Checker ポリシーを満たしていない場合は、 ユーザーがコンピュータを要件に準拠させるために使用する改善アクションが設定さ れていないと、IVE はユーザーをロールに割り当てません。ロール レベルの制限の設 定は、Web コンソールの Administrators > Delegation > ロールを選択 > General > Restrictions > Host Checker ページ、または Users > Role > ロールを選択 > General > Restrictions > Host Checker ページから行えます。 ユーザーが、Host Checker ポリシーを参照する領域、ロール、リソースに初めてアクセス するときに限り、IVE が Host Checker ポリシーを評価するよう指定できます。または、 IVE が定期的にユーザー セッション全体のポリシーを再評価するよう指定できます。定期 的に Host Checker ポリシーを評価する場合、IVE は最新の評価に基づいて動的にユーザー をロールにマップし、新しいリソースへのユーザー アクセスを許可します。詳細について は、73 ページの「Host Checker ポリシーの実行」を参照してください。 ポリシー サーバーを Host Checker クライアントに使用可能にする ポリシー サーバー(あるいは別のリソース)にアクセスして、要件への準拠をチェック するために、ポリシーが Host Checker 規則またはサード パーティ J.E.D.I. DLL を要求する 場合は、次のいずれかのメソッドを使用すると、リソースを Host Checker Windows クラ イアントで使用可能にできます。 Host Checker 規則またはサードパーティ製の J.E.D.I. DLL が IVE を経由せずにサー バーに直接アクセスできる DMZ にポリシー サーバーを配備する - この配備は、 Host Checker の認証前アクセス トンネルをクライアントとポリシー サーバー間の IVE から定義する必要がないため、最も簡単なソリューションです。 IVE の背後の保護されたゾーンにポリシー サーバーを配備する(Windows のみ)- この配備では、認証前アクセス トンネルを定義する必要があります。認証前アクセ ス トンネルは、IVE がユーザーを認証する前に、Host Checker 規則またはサードパー ティ製の J.E.D.I. DLL を IVE 保護のポリシー サーバーまたはリソースにアクセスでき るようにします。認証前アクセス トンネルを定義するには、ループバック アドレス (またはホスト名)とクライアントのポートを IP アドレスとポリシー サーバーの ポートに関連付けます。1 つ以上のトンネル定義を、 MANIFEST.HCIF ファイルに追 エンドポイント防御の概要 71 Juniper Networks NetScreen Secure Access 700 管理ガイド 加し、このファイルを IVE にアップロードします。複数の MANIFEST.HCIF ファイル を IVE にアップロードできます。Host Checker は、領域で有効化されたすべてのサー ドパーティ ポリシーに、定義が一意的であるという仮定で、すべての MANIFEST.HCIF ファイルにあるすべてのトンネル定義のトンネルを作成します。設定 手順については、199 ページの「Host Checker ポリシー パッケージを IVE へアップ ロードする」を参照してください。 Windows クライアントで実行する間、Host Checker は、トンネル定義で指定する各 ループバック アドレスとポートの接続を待ち受けします。接続は統合した Host Checker 規則およびクライアント サイドまたはサーバー サイド J.E.D.I. DLL から始め ることができます。Host Checker は認証前アクセス トンネルを使用して、IVE を介し てポリシー サーバーまたは他のリソースに転送します。 図 22: Host Checker は、クライアントから IVE の背後のポリシー サーバーにトンネルを 作成 メモ : Host Checker 認証前アクセス トンネルがサポートされているのは Windows だけ です。 Host Checker のインストール Host Checker を必要とする領域またはロール レベルでポリシーを実装する場合は、IVE ま たはユーザーがクライアント マシンに Host Checker をインストールできるように、イン ストール メカニズムを提供する必要があります。これを行わないと、IVE が Host Checker ポリシーを評価しても、Host Checker クライアントを使用して成功の結果を返すことがで きないので、ユーザーのコンピュータでエラーが発生します。 ユーザーのシステムに Host Checker をインストールするには、以下の 2 つの方法があり ます。 72 エンドポイント防御の概要 IVE が Host Checker を自動的にインストールする - Web コンソールの User/Administrator > Authentication > [ 領域 ]> Authentication Policy > Host Checker ページで、自動インストールを有効にします。(設定手順については、403 ページの「Host Checker の制限の指定」を参照してください。)有効にした場合、ユー ザーが IVE サインイン ページにアクセスすると、IVE は領域レベルのオプションを評 価し、現バージョンの Host Checker がユーザーのコンピュータにインストールされ ているかどうかを確認します。Host Checker がインストールされていなければ、IVE は ActiveX または Java の配信メソッドのいずれかを使用してインストールしようとし ます。 Juniper Networks NetScreen Secure Access 700 管理ガイド Windows ユーザーが IVE にサインインすると、IVE はユーザーのシステムに ActiveX コントロールをインストールしようとします。IVE が ActiveX コントロール を正常にインストールすると、このコントロールは Host Checker プログラムのイ ンストールを管理します。 ユーザーに管理者またはパワー ユーザー権限がないため、または ActiveX がユーザー のシステムでオフにされているために、IVE が ActiveX コントロールをインストール できない場合は、IVE は、Java を使用して Host Checker をインストールしようとしま す。Macintosh および Linux ホストの場合は、IVE は常に Java 配布メソッドを使用し ます。Java 配布メソッドではユーザー権限のみが必要となりますが、Java はユーザー のシステムで有効になっている必要があります。Linux 上の Firefox ブラウザの場合 は、Java ランタイムおよびプラグインをインストールする必要があります。 Java がユーザーのシステムで無効になっているため、IVE が Java 配布メソッドを使用 できない場合は、IVE はアクセス エラー メッセージを表示しません。 ユーザーまたは管理者が手動で Host Checker をインストールする(Windows のみ) - Web コンソールの Maintenance > System > Installers ページから Host Checker インストーラをダウンロードし、これを使用して、ユーザーのシステムに手動で Host Checker をインストールします。(設定手順については、335 ページの 「Installers タブ」を参照してください。) メモ : Host Checker をインストールするには、ユーザーは、387 ページの「クライアン ト サイドのアプリケーション インストール」での説明のように、適切な権限を持ってい る必要があります。これらの権限がユーザーにない場合、Web コンソールの Maintenance > System > Installers ページで Juniper Installer サービスを使用して、こ の要求を回避します。 Host Checker ポリシーの実行 ユーザーが IVE にアクセスをしようとすると、Host Checker は以下の順序でポリシーを 評価します。 1. 初期評価 - ユーザーが IVE サインイン ページに初めてアクセスすると、Host Checker は最初の評価を実行します。ポリシーに指定する規則を使用して、Host Checker は、クライアントがエンドポイントの要件を満たして IVE に結果を返すかを 確認します。Host Checker は、Host Checker ポリシーを、領域またはロール レベル のいずれに実装した場合でも、初期評価を行います。 ユーザーが、Host Checker の実行後、IVE にサインインする前に、IVE のサインイン ページから移動すると、Host Checker がタイムアウトするまで、Host Checker はユー ザーのコンピュータで実行し続けます。 IVE が何らかの理由で(ユーザーが手動で Host Checker を終了した場合も含む)Host Checker から結果を受信しない場合、IVE はエラーを表示してユーザーをサインイン ページに戻します。 あるいは、Host Checker が結果を返す場合、IVE は領域レベル ポリシーの評価を続行 します。 エンドポイント防御の概要 73 Juniper Networks NetScreen Secure Access 700 管理ガイド 2. 領域レベル ポリシー - IVE は、Host Checker の初期評価で返された結果によって、 ユーザーがアクセスできる領域を判断します。次に IVE は、ユーザーに対して特定の 領域を表示または非表示にして、サインイン ページが関連付けられ、Host Checker の要件を満たす領域だけに、ユーザーがサインインできるようにします。利用可能な 領域が要求する Host Checker の条件をユーザーが満たせなかった場合は、IVE はサイ ンイン ページを表示しません。代わりに、ユーザーのコンピュータが要件を満たすの に役立つ改善アクションが設定されていない場合は、ユーザーはアクセスできない旨 のエラーを表示します。 ユーザーが初めて IVE にサインインするときは、Host Checker は、領域レベルの チェックのみを実行することに注意してください。セッション中にユーザーのシステ ムの状態が変わった場合、IVE は現在の領域からこのユーザーを削除しないか、新し いシステムの状態に基づいて新しい領域へのアクセスを許可します。 3. ロールレベル ポリシー - ユーザーが領域にサインインすると、IVE はロールレベル ポリシーを評価して、ユーザーがそのロールの Host Checker 要件を満たしている場 合は、ユーザーをロールに割り当てます。次に、IVE によって IVE ホームページが表 示され、マップされたロールが許可するオプションが有効になります。 定期的な評価で、Host Checker が異なるステータスを返した場合、IVE は新しい結果 に基づいて動的にユーザーをロールに再マップします。定期的な評価の際に、ユー ザーが利用できるすべてのロールの権限を失った場合、ユーザーのコンピュータが要 件を満たすのに役立つ改善アクションが設定されていないと、IVE はユーザーのセッ ションを切断します。 成功または失敗のいずれの場合でも、Host Checker はクライアントに残ります。Windows ユーザーは、Host Checker がインストールされたディレクトリにある uninstall.exe を実 行して、エージェントを手動でアンインストールできます。System > Log/Monitoring > Client-side Logs ページからクライアント サイドのロギングを有効にした場合は、この ディレクトリにもログ ファイルが含まれ、Host Checker が実行する度に IVE により書き 直されます。 Host Checker の動的ポリシー評価を有効にした場合(40 ページの「動的ポリシー評価」 を参照)、IVE は、ユーザーの Host Checker のステータスが変わるごとに、リソース ポリ シーを評価します。Host Checker の動的ポリシー評価を有効にしない場合は、IVE は、リ ソース ポリシーを評価しませんが、ユーザーの Host Checker のステータスが変わるごと に、認証ポリシー、ロール マッピング規則、ロール制限を評価します。設定手順について は、184 ページの「Host Checker の一般的なオプションを指定する」を参照してくださ い。 タスク サマリー: Host Checker の設定 Host Checker を設定するには、次のタスクを実行する必要があります。 74 エンドポイント防御の概要 1. Web コンソールの Signing In > End Point > Host Checker ページで、Host Checker ポリシーを作成し、改善オプションを設定します。手順については、184 ページの 「Host Checker タブ」を参照してください。 2. Windows クライアントの場合は、クライアントとポリシー サーバーまたはリソース の間に認証前アクセス トンネルを使用する必要があるかどうかを決定します。必要な 場合、Web コンソールの Signing In > End Point > Host Checker ページで、 manifest.hcif ファイルをトンネル定義で作成してアップロードします。手順について は、197 ページの「Host Checker 認証前アクセス トンネル定義を指定する」を参照し てください。 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. IVE フレームワーク内のどのレベルでポリシーを実施するかを次のように決定し ます。 ユーザーが初めてIVE にアクセスしたときに Host Checker ポリシーを実施するに は、Web コンソールの Users|Administrators > Authentication > 領域を選択 > Authentication Policy > Host Checker ページを使用して、領域レベルにポリ シーを実装します。 Host Checker ポリシーへの適合に基づいてユーザーのアクセスを許可または拒否 するには、Web コンソールの Users|Administrators > Roles|Delegation > ロー ルを選択 > General > Restrictions > Host Checker ページを使用して、ロール レベルでポリシーを実装します。 Host Checker ポリシーへの適合に基づいてユーザーをロールに割り当てるには、 Web コンソールの Users|Administrators > Authentication > 領域を選択 > Role Mapping ページで、カスタム式を使用します。 Host Checker ポリシーへの適合に基づいてユーザーに個々のリソースへのアクセ スを許可または拒否するには、Web コンソールの Resource Policies > リソース を選択 > ポリシーを選択 > Detailed Rules > ルールを選択 | 作成 ページの条件 を使用します。 設定手順については、403 ページの「Host Checker の制限」を参照してください。 4. 5. ユーザーが Host Checker クライアントにアクセスできる方法を指定します。Host Checker はクライアント サイド エージェントを使用して定義するポリシーを実施し ます。 すべてのプラットフォームで Host Checker クライアントの自動インストールを 有効にするには、Web コンソールの Users|Administrators > Authentication > 領域を選択 > Host Checker ページを使用します。設定手順については、403 ページの「Host Checker の制限の指定」を参照してください。 Host Checker インストーラをダウンロードして、ユーザーの Windows システム に手動でインストールするには、Web コンソールの Maintenance > System > Installers ページを使用します。設定手順については、335 ページの「Installers タブ」を参照してください。 クライアント サイド ログを作成するかどうかを決定します。Web コンソールの System > Log/Monitoring > Client-side Log ページからクライアントサイドのロギ ングを有効にすると、IVE アプライアンスはユーザーのシステムにログ ファイルを作 成し、Host Checker が実行する度にこのファイルに書き込みます。設定手順について は、176 ページの「Client-Side Log タブ」を参照してください。 エンドポイント防御の概要 75 Juniper Networks NetScreen Secure Access 700 管理ガイド Cache Cleaner の概要 Cache Cleaner は、Windows クライアント サイド エージェントであり、IVE セッションの 後にユーザーのコンピュータに残った一時ファイルやアプリケーション キャッシュなど の残留データをクリーンアップします。たとえば、ユーザーがインターネット キオスクか ら IVE にサインインし、ブラウザ プラグインを使用して Microsoft Word のドキュメント を開いた場合、Cache Cleaner は、セッション終了時にブラウザのキャッシュ(Windows フォルダ)に保存された Word ファイルの一時的なコピーを削除します。Cache Cleaner が コピーを削除すると、IVE ユーザーがセッションを終了した後に、別のユーザーがキオス クからその Word ドキュメントを検索して開くことはできなくなります。 Cache Cleaner はまた、ユーザーが Web フォームで入力するユーザー名、パスワード、 Web アドレスを Web ブラウザが永続的に保存されることを防ぎます。ブラウザがこの情 報を不適切にキャッシュすることを防ぐことによって、Cache Cleaner は、非公開のユー ザー情報が信頼されていないシステム上に保存されることを妨げます。 詳細については、以下を参照してください。 76 ページの「Cache Cleaner の定義」 77 ページの「Cache Cleaner の実装」 77 ページの「Cache Cleaner のインストール」 78 ページの「Cache Cleaner の実行」 Cache Cleaner の定義 Cache Cleaner を有効にすると、IVE の Content Intermediation Engine からダウンロードし たすべてのコンテンツをユーザーのシステムから消去します。Web コンソールの Signing In > End Point > Cache Cleaner ページの設定を使用すると、以下のコンテンツを消去で きます。 指定したホストとドメイン - ユーザーが IVE の外でインターネットをブラウズする 場合、インターネット ファイルはユーザーの一時インターネット ファイル フォルダ に表示されます。Cache Cleaner を使用してこのファイルを消去するには、適切なホ スト名(たとえば、www.yahoo.com など)を指定する必要があります。 指定したファイルとフォルダ - ユーザーに対してローカル システムでのクライアン ト サーバー アプリケーションへのアクセスを有効にする場合、アプリケーションが ユーザーのシステムで作成する一時ファイルおよびフォルダを消去するよう、Cache Cleaner を設定することができます。 メモ : ディレクトリからファイルを削除するよう Cache Cleaner を設定する場合、Cache Cleaner は、ユーザーが IVE セッションの前にディレクトリに存在したディレクトリと ファイルに保存したものを含む、すべてのファイルを消去します。 76 エンドポイント防御の概要 Juniper Networks NetScreen Secure Access 700 管理ガイド Cache Cleaner の実装 Web コンソールの Signing In > End Point > Cache Cleaner ページの設定を使用して、消 去するホスト、ドメイン、ファイル、フォルダを指定すると、Cache Cleaner を次の場所 で要求して IVE とリソース アクセスを制限することができます。 領域認証ポリシー - ユーザーが IVE にサインインしようとすると、IVE は指定の領 域の認証ポリシーを評価して、認証の前提条件に Cache Cleaner が含まれているかど うかを確認します。領域の認証ポリシーでは、Cache Cleaner をダウンロードする、 Cache Cleaner をダウンロードして開始する、または Cache Cleaner を要求しない、 という設定が可能です。ユーザーは、領域に指定されている Cache Cleaner 要件を満 たしているコンピュータを使用して、サインインする必要があります。ユーザーのコ ンピュータが要件を満たさない場合は、ユーザーは IVE へのアクセスを拒否されま す。Web コンソールの Users > Authentication > 領域 > Authentication Policy > Cache Cleaner ページから、領域レベルの制限を設定できます。 ロール - IVE は、管理者またはユーザーを割り当てる適格なロールのリストを調べ るときに、各ロールの制限を評価して、そのロールがユーザーのワークステーション で Cache Cleaner の実行を要求しているかどうかを調べます。実行を要求しており、 ユーザーのコンピュータで Cache Cleaner がまだ実行されていない場合、IVE はユー ザーをそのロールにマップしません。Web コンソールの Users > Role > [ ロール ] > General > Restrictions > Cache Cleaner ページから、ロール レベルの制限を設 定できます。 Cache Cleaner ポリシーの適用対象である領域、ロール、またはリソースにユーザーが初 めてアクセスするときに限り、IVE が Cache Cleaner ポリシーを評価するように指定でき ます。または、Signing In > End Point > Cache Cleaner タブの設定を使用して、ユー ザー セッションを通じて、IVE が定期的にポリシーを再評価するように指定できます。定 期的に Cache Cleaner ポリシーを評価する場合は、IVE は、最新の評価に基づいて、動的 にユーザーをロールにマップし、新しいリソースへのユーザー アクセスを許可します。 Cache Cleaner のインストール Cache Cleaner を必要とする領域、ロール、またはリソース ポリシー レベルでポリシーを 実装する場合は、IVE またはユーザーがクライアント マシンに Cache Cleaner をインス トールできるように、インストール メカニズムを提供する必要があります。 Cache Cleaner を必要とする領域またはロール レベルでポリシーを実装する場合は、IVE または ユーザーがクライアント マシンに Cache Cleaner をインストールできるように、インス トール メカニズムを提供する必要があります。これを行わないと、IVE が Cache Cleaner ポリシーを評価しても、Cache Cleaner クライアントが使用できないので、ユーザーのコ ンピュータでエラーが発生します。 Web コンソールの User > Authentication > 領域 > Authentication Policy > Cache Cleaner ページから自動インストールを有効にすることによって、IVE が Cache Cleaner をユーザーのシステムにインストールすることを許可します。有効にした場合、ユーザー が IVE サインイン ページにアクセスすると、IVE は領域レベルのオプションを評価し、現 バージョンの Cache Cleaner がユーザーのコンピュータにインストールされているかどう かを確認します。Cache Cleaner がインストールされていなければ、IVE は ActiveX または Java 配布メソッドのいずれかを使用してインストールしようとします。 ユーザーが IVE にサインインすると、IVE はユーザーのシステムに ActiveX コントロール をインストールしようとします。IVE が ActiveX コントロールを正常にインストールする と、この ActiveX コントロールは Cache Cleaner プログラムのインストールを管理します。 ユーザーに管理者権限またはパワー ユーザー権限がないため、または ActiveX がユーザー のシステムでオフになっているため、IVE が ActiveX コントロールをインストールできな い場合は、IVE は Java を使用して Cache Cleaner をインストールしようとします。Java 配 布メソッドではユーザー権限のみが必要となりますが、Java はユーザーのシステムで有 効になっている必要があります。 エンドポイント防御の概要 77 Juniper Networks NetScreen Secure Access 700 管理ガイド Java がユーザーのシステムで無効になっていて、IVE が Java 配布メソッドを使用できない 場合は、IVE は、ユーザー システムが ActiveX または Java アプリケーションのインストー ルを許可していない旨のエラー メッセージをユーザーに通知します。このため、アクセス セキュリティ機能の一部を実行できません。 メモ : Cache Cleaner をインストールするには、387 ページの「クライアント サイドの アプリケーション インストール」での説明のように、ユーザーには適切な権限が必要で す。これらの権限がユーザーにない場合、Web コンソールの Maintenance > System > Installers ページで Juniper Installer サービスを使用して、この要求を回避します。 Cache Cleaner の実行 ユーザーが IVE にアクセスしようとすると、IVE はクライアント システムの Cache Cleaner のステータスを調べ、以下のプロセスを使用して実行を開始するよう指示し ます。 1. 初期評価 - ユーザーが IVE サインイン ページに初めてアクセスすると、IVE は Cache Cleaner がユーザーのコンピュータで実行しているかどうか調べます。IVE は、 Cache Cleaner ポリシーを領域、ロール、またはリソース のどのポリシーレベルに実 装したかにかかわらず、初期評価を行います。 ユーザーが、Cache Cleaner の実行後、IVE にサインインする前に、IVE のサインイン ページから移動すると、Cache Cleaner がタイムアウトするまで、Cache Cleaner は ユーザーのコンピュータで実行し続けます。 IVE が何らかの理由(ユーザーがサインインページで認証情報を入力しなかった場合 も含む)で Cache Cleaner のステータスを受信しない場合、IVE はエラーを表示して ユーザーをサインインページに戻します。 あるいは、IVE Cache Cleaner プロセスがステータスを返す場合、IVE は領域レベル ポリシーの実行を継続します。 2. 領域レベル ポリシー - IVE は、初期評価で返された結果によって、ユーザーがアク セスできる領域を判断します。次に IVE は、ユーザーに対して特定の領域を表示また は非表示にして、サインイン ページが関連付けられ、Cache Cleaner の要件を満たす 領域だけに、ユーザーがサインインできるようにします。利用可能な領域が要求する Cache Cleaner の条件をユーザーが満たせなかった場合は、IVE はサインイン ページ を表示しません。代わりに、コンピュータがエンドポイント ポリシーに準拠していな いことを通知するエラーが表示されます。 ユーザーが IVE に初めてサインインするときは、IVE は、Cache Cleaner がチェック する領域レベルのみを実行することに注意してください。セッション中にユーザーの システムの状態が変わった場合、IVE は現在の領域からこのユーザーを削除しない か、新しいシステムの状態に基づいて新しい領域へのアクセスを許可します。 3. ロールレベル ポリシー - ユーザーが領域にサインインすると、IVE はロールレベル ポリシーを評価して、ユーザーがそのロールの Cache Cleaner 要件を満たしている場 合は、ユーザーをロールに割り当てます。次に、IVE によって IVE ホームページが表 示され、マップされたロールが許可するオプションが有効になります。 定期的な評価で、Cache Cleaner が異なるステータスを返した場合、IVE は新しい結 果に基づいて動的にユーザーをロールに再マップします。定期的な評価の際に、エン ド ユーザーが利用可能な全ロールの権限を失った場合、IVE はユーザー セッション の接続を切断します。 78 エンドポイント防御の概要 Juniper Networks NetScreen Secure Access 700 管理ガイド 4. 最終クリーンアップ - Cache Cleaner は、以下の場合に最終クリーンアップを実行 し、レジストリ設定を復元します。 ユーザーが明示的にユーザー セッションからサインアウトする - ユーザーが IVE ホームページで Sign Out をクリックすると、Cache Cleaner は最終クリーン アップを実行し、システムから自らをアンインストールします。 ユーザー セッション タイムアウト - ユーザー セッションがタイムアウトする と、Cache Cleaner は、クリーンアップを実行し、続いてユーザーが再びサイン インした場合は、Cache Cleaner は別のクリーンアップを実行します。Signing In > End Point > Cache Cleaner タブで指定した間隔で定期的にセッションの有効 性を確認するため、Cache Cleaner はセッション タイムアウトを認識します。 メモ : ユーザー セッションの有効性をチェックする際、Cache Cleaner は IVE に接続し ます。このアクションによって、個人用ファイアウォールで警告が発せられる可能性が あります。Cache Cleaner が正しく動作できるよう、ユーザーはこのトラフィックを許可 する必要があります。個人用ファイアウォールを備えたユーザーには、Cache Cleaner が キャッシュをクリアするたびにログ エントリが表示されることにも注意してください。 異常終了後のクライアント システムの再起動 - システム、セッション、または ネットワーク接続の問題で Cache Cleaner が異常終了した場合、Cache Cleaner は、最終クリーンアップを実行し、システムの再起動後、システムから自らをア ンインストールします。Cache Cleaner は、終了後にログを記録できないことに 注意してください。また、終了後および IVE にサインバックする前にユーザーの レジストリの設定に行われた変更はすべて失われます。 実行中でも実行中でない場合でも、Cache Cleaner はクライアントに残ります。ユーザー は、Cache Cleaner がインストールされたディレクトリにある uninstall.exe を実行して、 エージェントを手動でアンインストールできます。System > Log/Monitoring > Clientside Log ページからクライアント サイドのロギングを有効にした場合は、このディレク トリにもログ ファイルが含まれ、Cache Cleaner が実行する度に書き直されます。(Cache Cleaner は標準の IVE ログには記録しませんが、クライアント サイドの一時的なテキスト ファイルにログ データを記録します。この暗号化されたログは、Cache Cleaner が自らを アンインストールしたときに削除されます。) 詳細については、以下を参照してください。 管理オプションについては、36 ページの「アクセス管理の概要」を参照してくださ い。 領域、ロール、およびリソースの設定手順については、405 ページの「Cache Cleaner の制限」を参照してください。 Cache Cleaner のインストール、実行ファイル、ログ ファイルのディレクトリについ ては、387 ページの「クライアント サイドのアプリケーション インストール」を参 照してください。 エンドポイント防御の概要 79 Juniper Networks NetScreen Secure Access 700 管理ガイド 80 エンドポイント防御の概要 第4章 リモート アクセス Secure Access 700 アプライアンスの Network Connect アクセス機能により、ユーザーは 遠隔地から簡単に IVE にアクセスできます。 83 ページの「Network Connect の概要」 93 ページの「E メール クライアントの概要」 97 ページの「Java アプレット アップロードの概要」 102 ページの「データ転送プロキシの概要」 第 4 章 : リモート アクセス 81 Juniper Networks NetScreen Secure Access 700 管理ガイド 82 第 4 章 : リモート アクセス Juniper Networks NetScreen Secure Access 700 管理ガイド Network Connect の概要 Secure Access 700 が使用する Network Connect アクセス機能は、クライアントレスの VPN 機能を提供し、IVE アプライアンスを使用した企業リソースに対するリモート アク セス メカニズムの役割を果たします。この機能は、クライアント コンピュータからのダ イヤルアップ、ブロードバンド、LAN シナリオなど、あらゆるインターネット アクセス モードをサポートし、SSL トラフィックをサポートするクライアント サイドのプロキシ 機能やファイアウォール機能も備えています。 Secure Access 700 ユーザーがサインインして Network Connect セッションを起動すると、 クライアント端末間の全ての送受信は、セキュアな Network Connect トンネル上で行われ ます。(84 ページの図 23 を参照してください。) Network Connect が実行されていると、クライアントはリモート(企業)LAN のノードと して効果的に機能し、ユーザーのローカル LAN 上には表示されなくなります。IVE アプ ライアンスは、クライアントのドメイン ネーム サーバー(DNS)ゲートウェイとして機 能し、ユーザーのローカル LAN の情報は全く認識しません。ただし、PC 上に静的なルー トを定義すれば、ユーザーは引き続きローカル LAN にアクセスしながら同時にリモート LAN にも接続することができます。PC トラフィックは Network Connect トンネルを通過 して企業内部リソースに渡されるため、ユーザーのローカル ネットワーク内の他のホス トが、Network Connect を実行する PC に接続できないようにします。 ローカル サブネットへのユーザー アクセスを拒否することにより(Users > Roles > ロール > Network Connect タブで設定)、リモート ユーザーの LAN の他のホストが、 企業内部リソースに確実にアクセスできないようにします。ローカル サブネットへの アクセスを許可しない場合、IVE アプライアンスは、静的ルートが定義されているク ライアントが開始した Network Connect セッションを終了します。また、管理者は、 クライアントが個人用 ファイアウォールなどのエンドポイント セキュリティ ソ リューションを実行してからネットワークレベルのリモート アクセス セッションを 起動するよう要求することもできます。IVE アプライアンスに接続したホストでエン ドポイント セキュリティ チェックを実行する Host Checker は、クライアントがエン ドポイント セキュリティ ソフトウェアを使用しているかどうかを検証できます。詳細 については、67 ページの「Host Checker の概要」 を参照してください。 Network Connect の概要 83 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 23 は、Network Connect トンネルの確立に関する一般的な手順を示しています。 図 23: Network Connect トンネル確率の一般手順 User signs in to Windows and enters authentication credentials Is GINA installed on client? Yes User enters credentials into IVE sign-in page of specified URL/ Realm on client Credentials correct? No Does user choose to launch Network Connect? No User signs in to Windows using cached credentials and connected to LAN only Network Connect Yes tunnel established between remote client and IVE No Yes Network Connect client launches in embedded browser displaying IVE sign-in Repeat user credential verification twice. If unable to authenticate, display error message and connect to LAN only Network Connect access options displayed in the “Available Role Mappings” page User selects access type from list of available options Network Connect の実行 Network Connect エージェントは、以下の処理を実行します。 1. GINA(Graphical Identification and Authorization)がインストールされており、リ モート クライアント上で登録されている場合は、ユーザーが Windows にサインイン すると、クライアントは自動的に Network Connect トンネルを IVE に起動します。そ れ以外の場合は、ユーザーは Secure Access 700 にサインインする必要があります。 2. ユーザーが最新バージョンの Network Connect インストーラを持っていない場合は、 IVE アプライアンスは ActiveX コントロール(Windows)または Java アプレット (Mac および Linux)をクライアント マシンにダウンロードし、続いて Network Connect ソフトウェアをダウンロードして、インストール機能を実行します。IVE ア プライアンスが、アクセス権限やブラウザの制限により、ActiveX コントロールを Windows にダウンロードあるいは更新できなかった場合、IVE アプライアンスは、 Network Connect ソフトウェアをクライアントに配信するために Java アプレットを使 用します。IVE が ActiveX コントロールと Java アプレットのどちらをダウンロードし ても、両コンポーネントはクライアント上に存在する Network Connect ソフトウェア の有無とそのバージョンを特定して、以下のどちらのインストールを実行するかを決 定します。 a. クライアントのマシンに Network Connect ソフトウェアが存在しない場合、最新 バージョンをインストールします。 b. クライアントのマシンにインストールされた Network Connect ソフトウェアが、 最新バージョンでない場合は、旧バージョンのソフトウェアをアンインストール し、IVE から最新バージョンをインストールします。 メモ : 有効な Java アプレット、インストール ファイルとログ、および配信メカニズム を実行するオペレーティング システムのディレクトリについては、387 ページの「クラ イアント サイドのアプリケーション インストール」を参照してください。 3. 84 Network Connect の概要 インストールが完了したら、Network Connect エージェントは、要求を IVE アプライ アンス に送信し、事前に指定された IP プールから IP アドレスを取得して接続を開始 します(ユーザー ロールに適用した Network Connect 接続プロファイル リソース ポ リシーの定義に従います)。 Juniper Networks NetScreen Secure Access 700 管理ガイド 4. Network Connect システム トレイ アイコンが、Windows クライアントのタスクバー または Mac クライアントの Dock で実行を開始します。 5. IVE アプライアンスは、(Network Connect 接続プロファイル リソース ポリシーによ り)IP アドレスを割り当て、クライアントが実行している Network Connect サービ スに一意の IP アドレス を割り当てます。 6. クライアントサイドの Network Connect サービスは、割り当てられた IP アドレス を使用して、IVE アプライアンス上で実行する Network Connect プロセスと通信 します。 7. IVE が IP アドレスをクライアントに割り当た後で、IVE は、ユーザーのリソース ポ リシーがアクセスを許可するクライアントとすべての企業リソース間の直接通信チャ ンネルを開きます。内部アプリケーション サーバーは 通信元の IP アドレスをクライ アントの IP アドレスとして見ます。 図 24: Network Connect のクライアント / サーバーの通信 クライアントサイド Network Connect エージェントは、IVE アプライアンスと通信しま す。さらに、アプライアンスはクライアントの要求を企業リソースに転送します。 メモ : Host Checker を使用して IVE で定義されたポリシーに基づくすべてのクライアン トサイドのセキュリティ コンポーネントの有無を確認し、ネットワーク コネクション セッションの任意の時点でクライアントがそのセキュリティ ポリシーに準拠しない場合 は、Host Checker はそのセッションを終了します。 GINA を使用した Network Connect の自動サインイン GINA(Graphical Identification and Authorization)サインイン機能は自動化したサインイ ン メソッドで、Windows クライアント上にインストールして有効化することによって、 Windows NT ドメインにサインインできます。Network Connect に、クライアント マシ ンへ GINA をインストールするよう要求できます。または、ユーザーが Network Connect を起動するときに、GINA をインストールするかどうかユーザーに決定させる ことができます。 メモ : 複数の GINA 自動サインイン機能、クライアントのシステムにインストールする ことはできません。クライアントのシステムで別のアプリケーションが GINA 関数を使 用している場合は、Network Connect は GINA コンポーネントをインストールしてアク ティブにすることはできません。 Network Connect の概要 85 Juniper Networks NetScreen Secure Access 700 管理ガイド GINA がクライアントにインストールされている場合は、ユーザーは、Windows にサイン インするたびに、Network Connect を起動するかどうか選択するよう要求されます。GINA のインストールをオプションにした場合は、ユーザーは、Network Connect ウィンドウの Auto connect when login to Windows オプションを使用して、GINA をアクティブにでき ます。このオプションは、Network Connect セッションが開いている間のみ使用できます。 クライアント システムの GINA のインストールを有効にするオプションは、ロール属 性を定義するときに Users > Roles > ロール > Network Connect ページで使用でき ます。詳細については、275 ページの「Network Connect ページの設定」を参照してく ださい。 図 25 は、GINA インストール プロセスに関する一般的な手順を示しています。 図 25: GINA インストール プロセス User signs in to IVE via Network Connect Is GINA enabled on the user’s IVE role? No GINA automatic sign-in service installed Yes No Network Connect installed without GINA capability No Does user choose to enable GINA? Yes GINA installation completed and user asked whether or not to reboot at this time GINA インストール プロセスは一度だけ行います。GINA サインイン機能を有効にするた めに、ユーザーはシステムを再起動する必要があります そのセッションが完了と、GINA は、ユーザーが Windows のサインインを行うたびに、Network Connect を起動するかど うかを選択するようユーザーに要求します。ユーザーが Network Connect にサインインす ると、特に指定しない限り、Network Connect トンネルを確立する前に GINA がユーザー の Windows サインイン資格情報を認証用に IVE に渡します。 86 Network Connect の概要 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 26 は、自動 GINA トンネル確立プロセスに関する一般的な手順を示しています。 図 26: GINA 自動サインイン プロセス Windows credentials presented to IVE for authentication User launches Windows on client User connected to network Yes Does client have network connectivity? GINA Yes sign-in appears. Does user want to launch Network Connect? Yes No User signs in to Windows using cached credentials, no GINA sign-in displayed, and no network connectivity established Yes No User signs in to Windows using cached credentials and connected to LAN only Was the tunnel established? Yes No Is user signed in to Windows NT domain? No Attempt user credential verification three times only. If unable to authenticate, display error message and connect to LAN ネットワークを Network Connect 用にプロビジョニングする Network Connect と他の VPN クライアント アプリケーションとの非互 換性 サードパーティ ベンダーの VPN クライアント アプリケーションは、Network Connect と 互換性がない場合があります。表 3 に、VPN クライアント ベンダーおよびそのベンダー の VPN クライアント アプリケーションと Network Connect との相対的な互換性につい て、既知のものを示します。 表 3: Network Connect とサードパーティ VPN クライアントとの互換性 ベンダー 互換性 Cisco 有り Nortel 有り NS Remote 有り Intel 有り チェックポイント なし 互換性のない VPN クライアント アプリケーションを搭載したクライアントに Network Connect をインストールする場合は、Network Connect をクライアントにインストールし て起動する前に、クライアントから互換性のないアプリケーションをアンインストールす る必要があります。 Network Connect の概要 87 Juniper Networks NetScreen Secure Access 700 管理ガイド Linux クライアントの必要条件 Mozilla Firefox バージョン 1.6 から Network Connect にサインインする Linux クライアン トは、OpenSSL と OpenMotif ライブラリがクライアントにインストールされている必要 があります。OpenSSL および OpenMotif ライブラリを持たない Linux ユーザーの場合、そ れらを以下から無料で入手してインストールするよう、指示することができます。 OpenSSL - ほとんどの Linux バージョンは OpenSSL に付属しています。詳細は、 http://www.openssl.org/related/binaries.html を参照してください。(また、 http://www.openssl.org/source/ のソースにアクセスしてユーザーのバージョンをコン パイルするよう、ユーザーに通知することもできます。)要求されるバージョンは、 libssl.so.0.9.6b です。 OpenMotif - ftp://openmotif.opengroup.org/pub/openmotif/ のパスで、FTP から OpenMotif ライブラリを取得できます。参考として、このライブラリを配布するその 他のサイトについて、必ず Getting OpenMotif のドキュメントをお読みください。必 要なバージョンは、libXm.so.3.0.1 です。 Network Connect リソース ポリシーのアクセス方法を定義する Network Connect リソース ポリシーでは、リモート クライアントのアクセス方法を決 めるのに使用する、さまざまな Network Connect セッション パラメータを指定します。 IVE で次のタイプのリソース ポリシーを設定し、1 つ以上のユーザー ロールに適用で きます。 88 Network Connect の概要 アクセス リソース ポリシー - このポリシー タイプは、どのリソース ユーザーが、 いつ Network Connect を使用して 企業イントラネット上の Web、ファイル、サー バー マシンなどにアクセスできるかを指定できます。詳細については、320 ページの 「Network Connect Access Control タブ」を参照してください。 パケット ロギング リソース ポリシー - このポリシー タイプでは、接続問題を診断 および解決する目的で、IVE 上でクライアントサイド Network Connect パケット ログ をコンパイルします。詳細については、321 ページの「Network Connect Logging タ ブ」を参照してください。 接続プロファイル リソース ポリシー - このポリシー タイプは、IVE が IP アドレス をクライアントサイドの Network Connect エージェントに割り当てるために使用する オプション(DHCP または IVE 管理の IP アドレス プール)を指定します。また、こ の機能を使用して、Network Connect セッションの転送プロトコルや暗号化する方法 を指定できます。詳細については、322 ページの「Network Connect Connection Profiles タブ」を参照してください。 スプリット トンネリング リソース ポリシー - このポリシー タイプでは、IVE がリ モート クライアントと企業イントラネット間のトラフィックを処理すための 1 つ以 上のネットワーク IP アドレス / ネットマスクの組み合わせを指定できます。詳細につ いては、326 ページの「Network Connect Split Tunneling タブ」を参照してください。 Juniper Networks NetScreen Secure Access 700 管理ガイド 複数の DNS 設定をサポートする Network Connect 接続プロファイル リモート ユーザーが DNS 検索をできる限り効率的または安全に実行できるようにするた め、ユーザーのロール メンバーシップに基づいて、Network Connect セッション中に複 数の DNS 設定を許可するように IVE を設定できます。 IVE がユーザーの Network Connect セッションを起動するとき、IVE は、IP アドレス、 DNS、WINS 設定を含むユーザー ロール メンバーシップに基づいてマッチング プロファ イルを使用します。 スプリット トンネリングを有効にすると、DNS の検索順序設定により、優先する DNS 設 定を定義できます。たとえば、クライアント LAN の DNS サーバーの検索を、IVE の DNS サーバーの前に行ったり、その逆も可能です。Network Connect は、Network Connect 接 続を確立する前に、クライアントの DNS 設定 / 検索に対する優先順序のバックアップを 作成します。セッションが終了したら、Network Connect はクライアントを元の DNS 設定 に復元します。スプリット トンネリングを無効にすると、すべての DNS 要求は、IVE の DNS サーバーに送信され、DNS 検索優先順序の設定は適用されません。 IVE のマルチサイト クラスタを使用する場合、IP プールおよび DNS 設定 は、異なるサイ トに存在する各 IVE 固有である必要があります。このため、IVE は、ノードごとに異なる Network Connect 接続プロファイル ポリシーを可能にします。すなわち、リソース ポリ シーは、新しいセッションが確立されるごとに、クライアントがクラスタ内の同じ IVE に 接続できるようにします。 クライアントサイド ロギング Network Connect クライアントサイド ログは、Network Connect の潜在的な問題をトラブ ルシューティングするために使用するサインイン、デバッグ、その他の統計情報を含んだ リモート クライアント上に常駐するファイルです。Network Connect ユーザーのクライア ントサイド ロギングを有効にすると、クライアントは Network Connect イベントを一連 のログ ファイルに記録し、その後のユーザー セッション中に機能が起動されるごとに、 連続してエントリを追加します。結果のログ ファイルは、Network Connect の問題をサ ポート チームと協力してデバッグするときに役立ちます。詳細については、176 ページの 「クライアントサイド ロギング設定の指定」を参照してください。 メモ : Network Connect ユーザーがクライアントサイド ロギングをオフにすると、(IVE でロギングを有効にした場合でも)クライアントは新しいクライアントサイド ログ情報 を記録しません。ユーザーがロギング機能をオンにし、クライアントサイドのロギング を無効にするように IVE が設定されている場合、クライアントは新しいクライアントサ イドのログ情報を記録しません。 Network Connect の概要 89 Juniper Networks NetScreen Secure Access 700 管理ガイド Network Connect プロキシのサポート Network Connect は、プロキシ サーバーを使用してインターネット(およびインターネッ トを介した IVE)にアクセスするリモート クライアントをサポートします。さらに、イン ターネットにアクセスするためにプロキシを必要としないが、プロキシを通して内部ネッ トワークのリソースにアクセスするクライアントをサポートします。さらに Network Connect は、Web アプリケーションへのアクセスを可能にするクライアントおよび IVE プ ロキシ設定を指定する PAC(プロキシ自動設定)ファイルに、アクセスするクライアント にも対応しています。 これらさまざまなプロキシ実装方法を使用するために、Network Connect は、Network Connect セッションの対象となるトラフィックのみが一時プロキシ設定を使用するよう、 一時的にブラウザのプロキシ設定を変更します。Network Connect セッションを対象とし ないトラフィックはすべて、既存のプロキシ設定を使用します。 スプリット トンネリングの有効、無効に関わらず、IVE は次のプロキシ シナリオをサ ポートします。 IVE にアクセスするために明示プロキシを使用 Web アプリケーションにアクセスするために明示プロキシを使用 IVE にアクセスするために PAC ファイルを使用 Web アプリケーションにアクセスするために PAC ファイルを使用 IVE でスプリット トンネリングが有効にされると、プロキシが実装された方法に応じて、 Network Connect は次のいずれかの方法によりプロキシ設定を管理します。 90 Network Connect の概要 プロキシ サーバーを使用してインターネットに接続するリモート クライアントでは、 ブラウザで生成され、IVE(NCP トランスポート トラフィックを含む)を対象とする すべての HTTP 要求は、明示プロキシまたはリモート クライアントによりアクセス された PAC ファイルのいずれかを経由します。明示プロキシが存在しているか、クラ イアントサイドに既に供給された PAC ファイルへのアクセスのため、クライアント は、Network Connect セッションの確立を試みる前に、ローカルの一時プロキシを設 定します。 プロキシを使用して企業ネットワーク上の企業リソースにアクセスするリモート ク ライアントの場合は、プロキシなしにインターネットに直接接続できますが、 Network Connect が接続を確立するまでの間プロキシ サーバーに到達できない場合で も、Network Connect はクライアント上のプロキシ設定を識別します。Network Connect は接続を確立すると、ローカルの一時プロキシを作成します。 リモート クライアントが事前設定された HTTP ベースの PAC ファイルにアクセスす ると、クライアントは、Network Connect がセッション接続を確立するまで PAC ファ イルにアクセスできません。Network Connect が接続を確立すると、クライアントは PAC ファイルにアクセスし、PAC ファイルのコンテンツをローカルの一時プロキシに 含め、続いてブラウザのプロキシ設定を更新します。 Juniper Networks NetScreen Secure Access 700 管理ガイド Network Connect Quality of Service Network Connect を介して内部ネットワークの QoS(Quality of Service)をサポートする ために、IVE は内部 IP パケット ヘッダー(たとえばアプリケーション レイヤー パケット 暗号化)を外部パケット ヘッダーに変換して、ネットワークのレイヤー レベルのパケッ ト優先順位付けを可能にします。これにより、ネットワーク内のルータは、Network Connect IPSec パケットを識別し、優先順位付けして、適切にネットワーク全体に送信す ることができます。この機能は、IP ビデオ ストリームなど、時間制限のある IP パケット の送受信を確実にサポートするのに役立ちます。 メモ : Network Connect QoS は、UDP(IPSec)パケットのみに適用します。Network Connect QoS 機能を使用しても、SSL パケット暗号化や転送方法は変更されません。 Network Connect マルチキャスト サポート IP ビデオ ブロードキャストのストリーミングを内部ネットワークで有効にするために、 Network Connect は、IGMP(インターネット グループ管理プロトコル)ゲートウェイ マ ルチキャスト プロキシをサポートしています。 ユーザーがマルチキャスト グループへの参加要求を開始した場合、IVE はクライアントに 代わり、IGMP 参加メッセージをローカル マルチキャスト ルータあるいはスイッチに対 して送信します。さらに、IVE は、ネットワーク内のマルチキャスト ルータが IVE に対し て IGMP グループ情報をポールするたびに、IVE が現在のマルチキャスト ユーザーとグ ループ要求で応答できるよう、IGMP グループ要求クエリをキャッシュに保存します。 ルータあるいはスイッチが IVE からの応答を受信しない場合、IVE に対するマルチキャス ト グループ情報が、ルータあるいはスイッチの転送テーブルから削除されます。 タスク サマリー: Network Connect の設定 このセクションでは、高度な Network Connect 設定の手順を説明します。これらの手順で は、IVE のネットワーク ID の指定や、IVE へのユーザー ID の追加など、前段階の IVE 設 定手順は説明していません。 Network Connect 用に IVE を設定するには、次の操作を行います。 1. Web コンソールの Users > Role > ロール > General > Overview ページの設定を使 用して、ロール レベルでの Network Connect へのアクセスを有効にします。手順につ いては、257 ページの「General ページの設定」を参照してください。 2. Resource Policies > Network Connect タブの設定を使用して、Network Connect リ ソース ポリシーを作成します。 a. Web コントロールの Network Connect Access Control タブで、Network Connect の一般的なアクセス設定と詳細なアクセス規則を指定します。詳細につ いては、320 ページの「Network Connect Access Control タブ」を参照してくださ い。 b. Web コンソールの Network Connect Connection Profiles タブで、リモート ユー ザーに割り当てる Network Connect 接続プロファイルを指定します。詳細につい ては、322 ページの「Network Connect Connection Profiles タブ」を参照してく ださい。 c. (オプション)Web コンソールの Network Connect Logging タブで、フィルタリ ング パケット情報の Network Connect リソース ポリシーを指定します。詳細に ついては、321 ページの「Network Connect Logging タブ」を参照してください。 d. (オプション)Web コンソールの Network Connect Split Tunneling タブで、 Network Connect のスプリット トンネリング動作を指定します。詳細について は、326 ページの「Network Connect Split Tunneling タブ」を参照してください。 Network Connect の概要 91 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. Web コンソールの System > Network > Network Connect ページで、すべての Network Connect ユーザー セッションに使用する Network Connect のサーバーサイド のプロセス用に IP アドレスを指定します。詳細については、167 ページの「Network Connect サーバー IP アドレスの指定」を参照してください。 4. Web コンソールの Users > Role > ロール > Network Connect ページで、Network Connect の GINA のインストール、スプリット トンネリングの使用、または自動起動 動作を有効にするかどうかを指定します。手順については、275 ページの「Network Connect ページの設定」を参照してください。 メモ : このページで Network Connect のスプリット トンネリング動作を有効にした場合 は、上記の ステップ d の説明に従って、初めに少なくとも 1 つの Network Connect ス プリット トンネリング リソース プロファイルを作成する必要があります。 5. 335 ページの「Installers タブ」の指示に従って、リモート クライアントに適切な Network Connect のバージョンが使用可能であることを確認します。 6. (オプション)Web コンソールの System > Log/Monitoring > NC Packet Log ページ で、IVE が特定の Network Connect ユーザーに Network Connect パケット ログを作成 するかどうかを指定します。手順については、168 ページの「Events、User Access、 Admin Access、および NC Packet タブ」を参照してください。 7. 92 Network Connect の概要 Network Connect のクライアントサイド ロギングを有効または無効にするには、Web コンソールの System > Configuration > Security > Client-side Logs タブで該当す るオプションを設定します。手順については、176 ページの「クライアントサイド ロ ギング設定の指定」を参照してください。 Juniper Networks NetScreen Secure Access 700 管理ガイド E メール クライアントの概要 IVE は、ライセンスに応じて、次の E メール オプション機能をサポートしています。 Secure Email Client オプション - Secure Email Client オプションがある場合、IVE は、Internet Mail Application Protocol(IMAP4)、Post Office Protoco (POP3)および Simple Mail Transfer Protocol(SMTP)をサポートします。 Secure Application Manager オプション - Secure Application Manager オプションが ある場合、IVE は、Microsoft Exchange MAPI および Lotus Notes のネイティブ プロト コルをサポートします。 メモ : IVE ライセンスに、Microsoft Exchange MAPI および Lotus Notes のネイティブ プ ロトコルをサポートする Secure Application Manager オプションが含まれる場合には、 このセクションの内容は適用されません。 Secure Email Client オプションを使用すれば、ユーザーは VPN クライアントなどのソフト ウェアを追加することなく、標準ベースの E メール クライアントを使用して、リモート から企業の E メールに安全にアクセスできます。IVE は、Internet Mail Application Protocol (IMAP4)、Post Office Protocol(POP3)、および Simple Mail Transfer Protocol(SMTP)を サポートするどのメール サーバーにも対応しています。これには、IMAP4/POP3/SMTP イ ンターフェースを提供する Microsoft Exchange Server や Lotus Notes メール サーバーが含 まれます。 IVE は、リモート クライアントとメール サーバーの間でセキュア E メール プロキシとし ての役割を果たします。リモート クライアントは、IVE を(仮想)メール サーバーとして 使用し、SSL プロトコルを経由してメールを送信します。IVE はクライアントからの SSL 接続を終了し、LAN 内で暗号化されたメール トラフィックをメール サーバーに転送しま す。次に、メール サーバーから送られた暗号化されていないトラフィックを IVE が SIMAP(Secure IMAP)、S-POP(Secure POP)、および S-SMTP(Secure SMTP)トラフィッ クにそれぞれ変換し、SSL を通じて E メール クライアントに送信します。 詳細については、以下を参照してください。 93 ページの「E メール クライアントの選択」 94 ページの「標準ベースのメール サーバーを使用する」 94 ページの「Microsoft Exchange Server の使用」 96 ページの「Lotus Notes および Lotus Notes メール サーバーを使用する」 E メール クライアントの選択 IVE は次のような E メール クライアントをサポートしています。 Outlook 2000 および 2002 Outlook Express 5.5 および 6.x Netscape Messenger 4.7x および Netscape Mail 6.2 E メールへのリモート アクセスが必要なユーザーは、通常次のいずれかのカテゴリに該 当します。 企業のノートパソコン を使用する場合 - 通常これらのユーザーは、職場と社外で同 じノートパソコンを使用します。 E メール クライアントの概要 93 Juniper Networks NetScreen Secure Access 700 管理ガイド 家庭用コンピュータを使用する場合 - これらのユーザーは、職場と自宅で別のコ ンピュータを使用します。 ユーザーに E メール クライアントを推奨する前に、次のセクションを参照して、サポー トされる各クライアントの対話方法を確認してください。 Lotus Notes メール サーバーなどの標準ベースのメール サーバー。詳細については、 94 ページの「標準ベースのメール サーバーを使用する」を参照してください。 Microsoft Exchange Server。詳細については、94 ページの「Microsoft Exchange Server の使用」を参照してください。 メモ : サポートされている各 E メール クライアントの設定方法は、サポート サイトで 参照できます。 標準ベースのメール サーバーを使用する IVE は、IMAP4、POP3、および SMTP をサポートするメール サーバーに対応しています。 IMAP メール サーバー 会社のノートパソコンを使用するユーザー: サポートされる 6 種類の E メール クラ イアントのどれでも使用できます。使い慣れた環境をそのまま使用できるよう、職場 と社外で同じクライアント(IVE を参照するように設定)を使用することをお勧めし ます。 自宅のコンピュータを使用するユーザー:サポートされる 6 種類の E メール クライ アントのどれを使用しても、IVE を経由して IMAP サーバーにリモート アクセスでき ます。 POP メール サーバー 企業のノートパソコン ユーザー:サポートされる 4 種類の Outlook E メール クライ アントを使用できます。使い慣れた環境をそのまま使用できるよう、職場と社外で同 じクライアント *(IVE を参照するように設定)を使用することをお勧めします。 自宅のコンピュータを使用するユーザー: サポートされる 4 種類の Outlook E メール クライアント * のどれを使用しても、IVE を経由して POP サーバーにリモート アク セスできます。 * Netscape E メール クライアントは、IVE がセキュア データ通信に必要とする S-POP をサ ポートしていません。そのため POP モードではリモート アクセスに Netscape E メール クライアントを使用することはできません。 Microsoft Exchange Server の使用 Microsoft Exchange Server は次のクライアントをサポートしています。 94 E メール クライアントの概要 ネイティブ MAPI(Messaging Application Programming Interface)クライアント MAPI クライアント POP クライアント Outlook Web Access(OWA) Juniper Networks NetScreen Secure Access 700 管理ガイド IVE は、IMAP クライアントおよび POP クライアント経由の場合は Secure Email Client オ プションを、OWA 経由の場合はセキュア Web ブラウズ機能をそれぞれ使用して、 Microsoft Exchange Server へのアクセスを提供します。 ネイティブ MAPI プロトコルを通じて Microsoft Exchange Server にアクセスする場合に は、IVE に Secure Application Manager オプションのライセンスが必要になります。 Exchange Server と IMAP クライアント 会社でメール サーバーとして Exchange Server を使用している場合には、社員が職場で使 用する OS はネイティブ MAPI モードで Outlook 2000 または 2002 E メール クライアント を使用する構成が想定されています。 会社のノートパソコンを使用する場合: Outlook Express または Netscape クライアン トを使用して、IVE 経由で Exchange Server にリモート アクセスできます。1 自宅のコンピュータを使用する場合: MAPI アカウントがリモート コンピュータに設 定されていなければ、サポートされる 6 種類の E メール クライアントのどれを使用 しても、IVE 経由で Exchange Server にリモート アクセスできます。 IMAP モードで Outlook Express または Netscape クライアントを実行する場合には、フォ ルダ管理について以下に注意する必要があります。 Outlook Express メール クライアントを使用する場合 - Outlook Express では、削除 された E メールは受信ボックスに抹消線付きで表示されるだけで、Outlook 2000 や 2002 クライアントのように Exchange Server の Deleted Items フォルダに移動される ことはありません。Outlook Express クライアントで削除済みフォルダを空にすると、 E メールは完全に消去されます。Outlook Express を使用する場合には、次のいずれか の操作を行うことをお勧めします。 削除する E メールを Local Folders の Deleted Items フォルダにドラッグします (これらのフォルダはデフォルトで表示されます)。このフォルダは、Exchange Server の Deleted Items フォルダと同期しており、ユーザーは削除した E メール を後で復元することができます。 Outlook Express の受信箱にある削除済み E メールはそのまま残し、次回 Outlook 2000 または 2002 プログラムにログインすると、削除済み E メールが Deleted Items フォルダに移動します。 Netscape メール クライアントを使用する場合 - 削除された E メールは Netscape の Trash フォルダに移動し、Netscape の受信箱には表示されません。Outlook 2000 また は 2002 の場合、次の操作を行わない限り、受信箱からは消えることはありません。 a. 削除済みメッセージを Trash フォルダに移動するよう Netscape プログラムを設 定して、終了時に受信箱を空にするオプションをオンにします。 b. 他のプログラムの受信箱がサーバーと同期し、同じメッセージが表示されるのを 防ぐためには、同時に複数のプログラムを実行せず、作業を終えたプログラムは 終了するようにしてください。 また、送信済みの E メールは Netscape の Sent フォルダ(または他のユーザー定義 フォルダ)に移動します。送信済みメッセージを Microsoft Exchange Server の Sent Items フォルダにも表示するには、送信済みメールを Netscape の Sent フォルダから Sent Items フォルダにドラッグで移動する必要があります。 1. Outlook 2000 クライアントの場合は、複数のユーザーが同じクライアントを使用してリモート アクセスするのを防 止するために、サポートされるメール サーバー設定は 1 つだけ(この場合はネイティブ MAPI モード)です。 Outlook 2002 クライアントの場合、MAPI と IMAP のサーバー設定を同時にサポートしますが、リモート ユーザーに よって E メールが受信されるのを防止するために、MAPI アカウントがオフラインのときには IMAP 経由のアクセス はできないようになっています。 E メール クライアントの概要 95 Juniper Networks NetScreen Secure Access 700 管理ガイド Exchange Server と POP クライアント 会社でメール サーバーとして Exchange Server を使用している場合には、社員が職場で使 用する OS は、ネイティブ MAPI モードで Outlook 2000 または 2002 E メール クライアン トを使用する構成が想定されています。 企業のノートパソコン を使用する場合: サポートされるいずれかの Outlook Express クライアントを使用して、IVE 経由で Exchange Server にリモート アクセ スできます。 自宅のコンピュータを使用する場合:リモートコンピュータで MAPI アカウントが設 定されていない場合、IVE 経由で Exchange Server にリモート アクセスするのに、4 種類の Outlook クライアントのいずれも使用することができます。 メモ : Netscape E メール クライアントは IVE によるセキュア データ通信に必要な S-POP をサポートしていないため、POP モードではリモート アクセスに Netscape E メール クライアントを使用することはできません。 Exchange Server と Outlook Web Access OWA による Exchange Server へのアクセスを可能にし、ユーザーが IVE Web ブラウズ機 能を通じて Exchange Server にアクセスできるようにするには、Web ベースのアプリケー ションとしてイントラネットに OWA を展開します。OWA を実装するのに、ネットワーク 外部で別の手順を実行する必要はありません。 メモ : IVE を使用して Outlook Web Access にアクセスする方が、直接 Outlook Web Access をインターネットに接続するよりも安全です。これにより、Nimda などの攻撃か ら Outlook Web Access IIS Web サーバーを保護できます。 Lotus Notes および Lotus Notes メール サーバーを使用する Lotus Notes メール サーバーは、POP3 インターフェースと IMAP4 インターフェースを提 供し、ユーザーは IVE を通じて Lotus Notes メール構成からメールを取り出すことができ ます。Lotus メール サーバーへのリモート アクセスを必要とする、社内の E メール ユー ザーにどの E メール クライアントを推奨するかを検討する場合は、94 ページの「標準 ベースのメール サーバーを使用する」の標準ベースのメール サーバーの使用方法に関す るセクションを参照してください。 タスク サマリー: IVE での E メール クライアントの設定 次のアクセスを有効にするには: 96 E メール クライアントの概要 会社の IMAP/POP/SMTP メール サーバー - Web コンソールの Resource Policies > Email Settings ページで、メール サーバー、E メール セッション、および認証情報を 指定します。詳細については、329 ページの「Email Client ページの設定」を参照して ください。 Juniper Networks NetScreen Secure Access 700 管理ガイド Java アプレット アップロードの概要 IVE Java アプレット アップロード機能を使用すると、格納する別の Web サーバーを使わ ずに、希望する Java アプレットを直接 IVE に保存できます。この機能を使用する場合は、 アプレットを IVE にアップロードして、そのアプレットを参照する IVE から簡単な Web ページを作成します。これにより、IVE は、コンテンツ仲介エンジンを使用して Web ペー ジと Java アプレット コンテンツを仲介します。 たとえば、IVE を使用して、ネットワーク上の IBM AS/400 システムと、ユーザーのコン ピュータ上の個々の 5250 ターミナル エミュレータ間でトラフィックを仲介できます。こ のトラフィックを仲介するように IVE を設定するには、5250 ターミナル エミュレータの Java アプレットを取得します。このアプレットを IVE にアップロードして、そのアプレッ トを参照する簡単な Web ページを作成できます。IVE から Web ページを作成したら、IVE は、ユーザーが各自のホームページからアクセスできる対応するブックマークを作成しま す。 メモ : この機能を使用するには、Java アプレット、Java アプレット パラメータ、および HTML に精通している必要があります。 このセクションには、IVE からの Java アプレットのアップロード、有効化、アクセスに関 する次の情報が含まれています。 97 ページの「IVE に Java アプレットをアップロードする」 98 ページの「アップロードした Java アプレットに署名する」 99 ページの「アップロードした Java アプレットを参照する HTML ページの作成」 99 ページの「Java アプレットのブックマークへアクセスする」 99 ページの「使用例:Citrix JICA 8.0 Java アプレットのブックマークを作成する」 101 ページの「タスク サマリー:Java アプレットのアップロードと有効化」 IVE に Java アプレットをアップロードする IVE Java アプレット アップロード機能を使用すると、格納する別の Web サーバーを使わ ずに、希望する Java アプレットを直接 IVE に保存できます。これらのアプレットを使用す ると、IVE からトラフィックをさまざまなタイプのアプリケーションに仲介できます。た とえば、3270 アプレット、5250 アプレット、または Citrix Java アプレットを IVE にアッ プロードできます。これらのアプレットにより、ユーザーは ターミナル エミュレータか ら IBM メインフレーム、AS/400、および Citrix MetaFrame サーバーへのセッションを確 立できます。(IVE セッションにより Citrix java ICA クライアントを有効にするには、複 数の Citrix .jar および .cab ファイルを IVE にアップロードする必要があります。詳細につ いては、99 ページの「使用例:Citrix JICA 8.0 Java アプレットのブックマークを作成す る」を参照してください。 IVE により、 .jar、.cab、.zip、および .class の各ファイルを、Web コンソールの Resource Policies > Web > Java > Applets ページからアップロードできるようになりま す。合計ファイル サイズが 100 MB を超えず、各パッケージの名前が一意である限り、複 数の Java アプレットを IVE にアップロードできます。 Java アプレット アップロードの概要 97 Juniper Networks NetScreen Secure Access 700 管理ガイド Sun と Microsoft の Java Virtual Machines(JVMs)の互換性を確保するには、 .jar と .cab の両ファイルを IVE にアップロードする必要があります。 メモ : Java アプレットを IVE にアップロードする場合は、IVE は、アプレットのインス トールを完了する前に法的同意書を読むよう要求します。この同意書は注意深くお読み ください。これは、アップロードする Java アプレットの適法性、運用、およびサポート について全責任を負うことを義務付けています。 アップロードした Java アプレットに署名する IVE からユーザーがアクセスできる他の Java アプレットとは異なり、IVE にアップロード する Java アプレットに別途コード署名ポリシーを作成する必要はありません。IVE は、適 切なコード署名証明書を使用して、自動的にこれらの Java アプレットに署名 (または再 署名)を行います。コード署名証明書(「アプレット証明書」とも呼ばれます)は、サー バーサイド証明書の一種で、64 ページの「コード署名証明書」の説明のように、IVE が仲 介する Java アプレットの署名を書き換えます。 Web コンソールの Resource Policies > Web > Java > Applets ページからアプレットを アップロードする場合は、そのアプレットを信用するかどうかを指定します。信用すると 指定した場合は、IVE は、Web コンソールの System > Configuration > Certificates > Code-signing Certificates ページからインストールするコード署名証明書を使用して、ア プレットに署名(または再署名)します。 そのアプレットを信用することを示さない場合、または IVE にコード署名証明書をインス トールしない場合は、IVE は自己署名のアプレット証明書を使用して、そのアプレットに 署名または再署名します。この場合は、ユーザーが IVE からその Java アプレットにアクセ スするごとに、「信頼できない証明書発行者」の警告が表示されます。 図 27: Java アプレットに署名する際に使用する証明書の決定 98 Java アプレット アップロードの概要 Juniper Networks NetScreen Secure Access 700 管理ガイド アップロードした Java アプレットを参照する HTML ページの作成 Java アプレットを IVE にアップロードしたら、Web コンソールの Users > Roles > [ ロール ] > Web > Bookmarks ページの設定を使用して、そのアプレットを参照する 簡単な Web ページを作成する必要があります。ユーザーは、ユーザーの IVE ホーム ページのブックマークから、または外部 Web サーバーから、この Web ページにアク セスできます(99 ページの「Java アプレットのブックマークへアクセスする」を参照 してください)。 この Web ページには、アップロードした Java アプレットを参照する簡単な HTML ページ の定義が含まれている必要があります。また、Web ページには、追加の HTML や JavaScript を選んで含めることもできます。IVE は、HTML ページの定義や Java アプレッ トへの参照など、この Web ページの一部を生成できます。IVE はこの情報を生成する際 に、未定義の値のプレース ホルダも作成し、必要な値を入力するよう要求します。 Java アプレットのブックマークへアクセスする ユーザーが IVE にアップロードされたアプレットにアクセスするには、次の 2 つの方法 があります。 IVE エンド ユーザー コンソール上のブックマーク - アップロードした Java アプ レットを参照する Web ページを作成すると、IVE は Web ページに対応するリンクを 作成し、そのリンクを IVE エンドユーザー コンソールの Bookmarks セクションに表 示します。適切なロールに割り当てられたユーザーは、このリンクをクリックするだ けで Java アプレットにアクセスできます。 外部 Web サーバー上のリンク - ユーザーは、正しい URL を使用するだけで、外部 Web サーバーから Java アプレットのブックマークにリンクできます。ユーザーが ブックマークの URL を入力(または URL を含む外部リンクをクリック)すると、 IVE はユーザーに IVE ユーザー名とパスワードを入力するよう要求します。ユーザー が正常に認証されると、IVE はそのブックマークへのアクセスを許可します。次の行 で説明する構文のいずれかを使用すると、URL を Java アプレットのブックマークに 構成できます。 https://<IVE>/dana/home/launchwebapplet.cgi?id=bmname=<bookmarkName> https://<IVE>/dana/home/launchwebapplet.cgi?id=<bookmarkID> (Java アプレットのブックマークの ID を調べるには、IVE ホームページからブック マークにアクセスし、Web ブラウザのアドレス バーから ID を抽出します。) メモ : Java アプレットのブックマークにアクセスするために IVE にサインインする場合 は、ユーザーは、Web コンソールの System > Network > Overview ページで指定した IVE ホスト名を使用する必要があります。ユーザーが IP アドレスを使用して IVE にサイ ンインすると、ブックマークまたは URL にアクセスできません。 使用例: Citrix JICA 8.0 Java アプレットのブックマークを作成する このセクションでは、Citrix ICA クライアント(JICA)の 8.0 Java バージョンを使用して、 IVE からの Citrix Metaframe サーバーへのアクセスを有効にする方法を説明します。 Java アプレット アップロード機能を使用して、Citrix JICA 8.0 クライアントを有効にする には、次の操作を行います。 1. 101 ページの「タスク サマリー:Java アプレットのアップロードと有効化」で説明さ れているように、IVE のホストネームを指定して、コード署名証明書をインポートし ます。 Java アプレット アップロードの概要 99 Juniper Networks NetScreen Secure Access 700 管理ガイド 2. 3. 次の .jar と .cab ファイルを、Web コンソールの Resource Policies > Web > Java > Applets ページにより、IVE にアップロードします。(これらのファイルは、Citrix Web サイトにあります。)これらのファイルをアップロードするときに、次のそれぞ れに対して同じ名前を指定します ( “Citrix JICA 8” など)。 JICA-configN.jar JICA-coreN.jar JICA-configM.cab JICA-coreM.cab Web コンソールの Users > Roles > [ ロール ] > Web > Bookmarks ページから、 Java アプレットのブックマークを作成します。ブックマークの Web ページを生成す る場合は、ステップ 2 で指定した名前( “Citrix JICA 8” など)をアプレットのリスト から選択します。選択すると、IVE はすべての .jar と .cab ファイルを対応する Web ページに自動的に挿入します。続いて、次の例に従って、Citrix クライアントのパラ メータを指定します。 <html> <head> <title>CitrixJICA Applet.</title> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> </head> <body> <applet code="com.citrix.JICA" codebase="<< CODEBASE >>" archive="JICA-configN.jar,JICA-coreN.jar" width="640" height="480" name="CitrixJICA" align="top"> <param name="code" value="com.citrix.JICA"> <param name="codebase" value="<< CODEBASE >>"> <param name="archive" value="JICA-configN.jar,JICA-coreN.jar"> <param name="cabbase" value="JICA-configM.cab,JICA-coreM.cab"> <param name="name" value="CitrixJICA"> <param name="width" value="640"> <param name="height" value="480"> <param name="align" value="top"> <!-ここに、コメント後に追加のパラメータを指定してください。 <param name="paramname" value="paramvalue"> --> <param name="Address" value="YourMetaFrameServer.YourCompany.net"> <param name="Username" value="<<USERNAME>>"> <param name="password" value="<<PASSWORD>>"> <param name="initialprogram" value="#notepad"> <param name="EncryptionLevel" value="1"> <param name="BrowserProtocol" value="HTTPonTCP"> <param name="End" value="end.html"> </applet> </body> </html> 100 Java アプレット アップロードの概要 Juniper Networks NetScreen Secure Access 700 管理ガイド タスク サマリー: Java アプレットのアップロードと有効化 IVE で Java アプレットのブックマークを作成し、有効化するには、次の操作を行います。 1. Web コンソールの System > Network > Overview で、IVE のホスト名を指定しま す。Java アプレットを IVE にアップロードしたときに、IVE が Java アプレットを書き 換えられるようにホスト名を指定する必要があります。手順については、163 ページ の「一般的なネットワーク構成の設定」を参照してください。 2. Web コンソールの Resource Policies > Web > Java > Applets ページの設定を使用 して、1 つ以上のアプレットを IVE にアップロードします。アプレットをアップロー ドするときに、アプレットの署名に IVE がコード署名証明書を使用するかどうかを指 定します。手順については、294 ページの「Java アプレットの IVE へのアップロー ド」を参照してください。 3. Web コンソールの以下のページで適切なアクセス設定を行います。 a. Web コンソールの Users > Roles > [ ロール ] > Overview ページで、ユーザー が Web リソースにアクセスできるようにします。 b. Web コンソールの Users > Roles > [ ロール ] > Web > Options ページにより、 ユーザーが Web リソースにアクセスできるようにします。 c. 外部リソース(Metaframe サーバーなど)にアクセスする必要がある場合は、 Resource Policies > Web > Java > Access Control ページより、そのリソースに アクセスできるようにします。 4. Web コンソールの Users > Roles > [ ロール ] > Web > Bookmarks ページの設定を 使用して、アップロードしたアプレットを参照する Web ブックマークを作成します。 ブックマークを作成するときに、HTML を使用して Web ページを作成し、必要な属 性とパラメータを Java アプレットに渡します。さらに、JavaScript や IVE 変数を使用 することもできます。手順については、263 ページの「Web URL へのブックマーク作 成」を参照してください。 5. ステップ 2 でアプレットに署名する場合は、Web コンソールの System > Configuration > Certificates > Code-Signing Certificates ページの設定を使用して、 IVE に Java 証明書をアップロードします(オプション)。このステップを省略するこ とを選択した場合は、ユーザーが対応するブックマークにアクセスするごとに、証明 書に信頼性がないことを示す警告が表示されます。手順については、159 ページの 「コード署名証明書のインポート」を参照してください。 Java アプレット アップロードの概要 101 Juniper Networks NetScreen Secure Access 700 管理ガイド データ転送プロキシの概要 データ転送プロキシ機能を使用すると、IVE によって最小限のデータ送受信を実行する Web アプリケーションを指定できます。従来型のリバース プロキシ機能の場合、選択し たサーバー レスポンスの一部を再書き込みするだけで、ネットワークの変更や複雑な設 定が必要とされました。しかし、この機能では、アプリケーション サーバーと、アプリ ケーション サーバーへのクライアント要求を IVE で受信する方法を指定するだけで済み ます。 Via an IVE port - データ転送プロキシが仲介するアプリケーションを指定するとき に、IVE がアプリケーション サーバーへのクライアント要求をリスンするポートを指 定します。IVE は、アプリケーション サーバーへのクライアント要求を受信すると、 指定されたアプリケーション サーバー ポートにこの要求を転送します。このオプ ションを選択する場合、企業ファイアウォール上にある指定の IVE ポートに対して、 トラフィックを開く必要があります。 Via virtual host name - データ転送プロキシが仲介するアプリケーションを指定す るときに、アプリケーション サーバーのホスト名のエイリアスを指定します。IVE に 解決されるこのエイリアスのエントリを外部 DNS に追加する必要があります。IVE は、エイリアスに対するクライアント要求を受信すると、アプリケーション サー バー用に指定したポートにこの要求を転送します。 このオプションが役立つのは、企業が IVE にアクセスするファイアウォール ポート を開くのに厳格なポリシーを設定している場合です。このオプションを使用する場 合、各ホスト名のエイリアスに IVE ホスト名と同じドメインの部分文字列を含め、 IVE に *.domain.com という形式でワイルド カードのサーバー証明書をアップロー ドすることをお勧めします。 たとえば、IVE が iveserver.yourcompany.com である場合、ホスト名のエイリアスは appserver.yourcompany.com の形式にする必要があり、ワイルド カード証明書の形 式は *.yourcompany.com のようになります。ワイルド カード証明書を使用しない と、ユーザーがアプリケーション サーバーを参照するときに、証明書の名前を チェックするように、クライアント ブラウザに警告が表示されます。これは、アプリ ケーション サーバーのホスト名のエイリアスが、証明書のドメイン名に一致しない からです。ただし、このような状況でも、アプリケーション サーバーに対するユー ザーのアクセスは阻止されません。 ホスト名のエイリアスに基づいてクライアント要求を IVE にルートすることを選択し た場合、外部 DNS サーバーに IVE を追加する必要もあります。このオプションが役 立つのは、内部サーバーと DMZ にあるサーバーのどちらにファイアウォール ポート を開くのか、制限的なポリシーがある場合です。 メモ : 仮想ホスト名モードで動作するようにデータ転送プロキシを設定する場合は、 ユーザーは、IVE にサインインするときに、Web コンソールの System > Network > Overview ページから指定した IVE ホスト名を使用する必要があります。ユーザーが IP アドレスを使用して IVE にサインインすると、データ転送プロキシにアクセスできま せん。 102 データ転送プロキシの概要 Juniper Networks NetScreen Secure Access 700 管理ガイド コアの仲介エンジンとして、データ転送プロキシ オプションは、Secure Application Manager に応じて、高いセキュリティを提供します。アプリケーションに対してこの機能 を有効にすると、IVE は、クライアントが企業ネットワークの固定されたアプリケーショ ン ポートにレイヤー 7 トラフィックだけを送信できるようにします。このオプションを 使用すると、IVE は、Oracle e-business スイート アプリケーションにある Java アプレッ トまたはサポートされていない Java Virtual Machine で実行するアプレットなど、コンテ ンツ仲介エンジンと互換性のないコンポーネントでもアプリケーションをサポートできる ようにします。 メモ : データ転送プロキシ オプションが機能するのは、固定ポートでリスンしている アプリケーションの場合だけです。クライアントは、直接的なソケット接続を確立し ません。 詳細については、以下を参照してください。 103 ページの「データ転送プロキシの使用例」 103 ページの「タスク サマリー:データ転送プロキシの設定」 データ転送プロキシの使用例 IVE が iveserver.yourcompany.com であり、oracle.companynetwork.net:8000 で Oracle サーバーを使用している場合、IVE ポートを指定するときに、次のようにアプリケーショ ン パラメータを指定できます。 Server: oracle.companynetwork.net Port: 8000 IVE port: 11000 IVE は、 iveserver.yourcompany.com:11000 に送られた Oracle クライアント トラフィッ クを受信すると、このトラフィックを oracle.companynetwork.net:8000 に転送します。 また、ホスト名にエイリアスを指定したい場合は、次のパラメータでアプリケーションを 設定できます。 Server: oracle.companynetwork.net Port: 8000 IVE alias: oracle.yourcompany.com IVE は、 oracle.yourcompany.com に送られた Oracle クライアント トラフィックを受信す ると、このトラフィックを oracle.companynetwork.net:8000 に転送します。 タスク サマリー: データ転送プロキシの設定 データ転送プロキシを設定するには、次の操作を行います。 1. 仲介したい Web アプリケーションにアクセスするユーザー ロールを決定し、これら のロールの Web アクセスを、Web コンソールの Users > Roles > [ ロール ] > General > Overview ページで有効にします。手順については、257 ページの「一般 的なロール設定とオプションの管理」を参照してください。 2. IVE が最小の仲介を行うアプリケーションを、Web コンソールの Resource Policies > Web > Rewriting > Passthrough Proxy ページで指定します。手順については、 298 ページの「データ転送プロキシ リソース ポリシーの作成」を参照してください。 データ転送プロキシの概要 103 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. 104 データ転送プロキシの概要 データ転送プロキシのリソース ポリシーで IVE がクライアントの要求を IVE ポート から受信できるようにした場合は、企業ファイアウォールの指定したポートへのトラ フィックを開きます。ポリシーが仮想ホスト名からの要求を有効にする場合は、次を 行います。 a. IVE に解決される各アプリケーション サーバー ホスト名のエイリアスを外部 DNS に追加します。 b. Web コンソールの System > Network > Internal Port ページで、IVE 名とホス ト名を定義します。手順については、163 ページの「一般的なネットワーク構成 の設定」を参照してください。 c. Web コンソールの System > Configuration > Certificates > IVE Certificates ページから、ワイルドカード証明書を IVE にアップロードします。手順について は、148 ページの「既存のルート証明書と秘密鍵のインポート」を参照してくだ さい。 第5章 システム管理とサービス IVE には、システムを管理し、製品のローカライズ バージョンなどの個別サービスを活用 できる様々なインフラストラクチャ サービスが用意されています。 目次 システム管理機能: 107 ページの「ネットワーク設定の概要」 110 ページの「ログと監視の概要」 112 ページの「設定ファイルの概要」 126 ページの「トラブルシューティングの概要」 システム サービス機能: 129 ページの「多言語サポートの概要」 第 5 章 : システム管理とサービス 105 Juniper Networks NetScreen Secure Access 700 管理ガイド 106 第 5 章 : システム管理とサービス Juniper Networks NetScreen Secure Access 700 管理ガイド ネットワーク設定の概要 IVE では、IVE の初期設定の際にシリアル コンソールから入力するネットワーク設定を変 更し、他の IVE 機能を有効にするために、IP フィルタなどの追加のネットワーク設定を 行うことができます。このセクションでは、以下の、IVE の Web コンソールから指定でき るネットワーク設定の概要について説明します。 107 ページの「一般的なネットワーク設定を指定する」 107 ページの「内部ポートと外部ポートを設定する」 108 ページの「ネットワーク トラフィックの静的ルートを指定する」 108 ページの「ARP キャッシュを作成する」 108 ページの「IVE によってローカル解決されるホスト名を指定する」 109 ページの「IP フィルタを指定する」 一般的なネットワーク設定を指定する IVE では、内部ポートと外部ポートの状態の表示、IVE のホスト名の指定、IVE の DNS 名 の解決、Windows Internet Naming Service(WINS)サーバー、マスター ブラウザ設定を、 Web コンソールの System > Network > Overview ページで設定できます。また、この ページの設定を使用して、初期設定の際にシリアル コンソールから入力する DNS と WINS 設定を表示できます。 Windows のワークグループを削除すると、IVE ワークグループのリストから削除される までは、数時間そのリストに表示される場合があります。これは、IVE が、ワークグ ループの情報を接続できるすべてのシステムから得ているからです。ワークグループの 名前は、1 つ以上の Windows システム上に数時間キャッシュされる場合があります。 その場合、IVE がシステムに問い合わせたときにワークグループ名が見つかります。こ れは IVE 以外でもシステム上で一般に起きる現象で、完全性の問題をもたらすものでは ありません。 内部ポートと外部ポートを設定する 内部ポートは、内部インターフェイスとも呼ばれ、あらゆるリソースに対するすべての WAN および LAN 要求を処理し、認証要求をリスンします。内部ポートの設定は、IVE の 初期設定の際に IP アドレス、ゲートウェイ、DNS サーバーとドメイン、MTU の各設定を 行います。また、これらは、System > Network > Internal Port > Settings タブでも変更 できます。詳細については、164 ページの「Internal Port タブ」を参照してください。ま た、アプライアンスをデュアルポート モードに配置し、外部ポートで着信接続をリスン することもできます(165 ページの「External Port タブ」を参照)。 外部ポートは、外部インターフェースとも呼ばれ、インターネットなど、顧客 LAN の外 部から IVE にサインインしたユーザーのすべての要求を処理します。IVE は、受信したパ ケットが外部インターフェースを通じてユーザーから送信された TCP 接続に関連するか どうかを判断してから、パケットを送信します。パケットが TCP 接続に関連する場合、 IVE は外部インターフェースにパケットを送信します。その他のパケットは、すべて内部 インターフェースに送信されます。 ネットワーク設定の概要 107 Juniper Networks NetScreen Secure Access 700 管理ガイド 各インターフェースに指定したルートは、IVE が内部インターフェースまたは外部イン ターフェースのどちらを使用するかを判断した後で適用されます。IVE が外部インター フェースからの要求を送信することはなく、外部インターフェースが他の接続を受信する こともありません(ping と traceroute 接続を除く)。リソースの種類に関係なく、すべて の要求は内部インターフェースから発信されます。(詳細については、107 ページの「一 般的なネットワーク設定を指定する」を参照してください。) メモ : 外部ポートを有効にすると、デフォルトで管理者は外部からサインインできなく なります。管理者が外部ポートからアクセスできるようにするには、Administrators > Authentication > 領域名 > Authentication Policy > Source IP タブを使用します。詳細 については、42 ページの「ソース IP のアクセス制限」を参照してください。 ネットワーク トラフィックの静的ルートを指定する IVE では、System > Network > Routes タブの設定を使用して、ルーティング テーブル エントリを追加できます。ルート設定に関係なく、内部リソースへの接続要求はすべて、 IVE の内部ポートから送信されます。外部ポートのルート設定は、リモート クライアント からの接続に関係するパケットのルーティングにのみ使用されます。 ルーティング要求の際に、IVE が使用する特定のルートを指定したい場合は、静的ルート を追加できます。有効な IP アドレス、ゲートウェイ、DNS アドレスを指定する必要があ ります。メトリックにより、複数のルートを比較して優先度が確立されます。通常は、1 から 15 までの小さい数値の場合、優先度が高くなります。従って、メトリック 2 のルー トは、メトリック 14 のルートより優先して選択されます。メトリック ゼロ (0)は使用 しないルートとして識別されます。 ARP キャッシュを作成する IVE に接続するルータやバックエンド アプリケーション サーバーなどのネットワーク デ バイスの物理(MAC)アドレスは、ARP キャッシングを使用して調べることができます。 System > Network > Internal Port > ARP Cache タブでは、次のようなタイプの ARP (Address Resolution Protocol)エントリを管理できます。 静的エントリ - IP アドレスと MAC アドレスに関連付けられたキャッシュに静的 ARP エントリを追加できます。IVE は、再起動時に静的エントリを保存し、再起動後 にエントリを再アクティブ化します。静的エントリは IVE に常駐しています。 動的エントリ - ネットワークは通常の動作時や、ネットワーク デバイスとの対話時 に動的 ARP を「知り」ます。IVE 動的エントリは最大 20 分間キャッシュに保存され、 再起動時に自動的に削除されます。エントリは手動でも削除できます。 静的エントリと動的エントリは ARP から表示または削除でき、静的エントリは追加する ことも可能です。IVE をクラスタ構成で実行している場合には、ARP のキャッシュ情報は ノードごとに異なります。ARP のキャッシュ情報が同期されるのは、非マルチ サイトク ラスタのみです。 IVE によってローカル解決されるホスト名を指定する Hosts タブを使用して、IVE がローカルで IP アドレスに解決できるホスト名を指定しま す。この機能は、次のような場合に便利です。 108 ネットワーク設定の概要 DNS サーバーが IVE にアクセスできない場合 WINS を使用して LAN 内のサーバーにアクセスする場合 会社の規定により、内部サーバーを外部の DNS に公開できない場合、または内部ホ スト名を非表示にする必要がある場合 Juniper Networks NetScreen Secure Access 700 管理ガイド IP フィルタを指定する IVE が Network Connect IP プールに適用する IP フィルタは、Network Connect タブで指 定できます。IP プールとは、Network Connect 要求に使用できる IP アドレスの特定の範囲 です。詳細については、83 ページの「Network Connect の概要」を参照してください。 ネットワーク設定の概要 109 Juniper Networks NetScreen Secure Access 700 管理ガイド ログと監視の概要 IVE ログ ファイルは、システム イベントを追跡するテキスト ファイルで、IVE アプライ アンスに格納されています。IVE アプライアンスには、以下の 4 つの主要ログ ファイルが あります。 イベント ログ - このログ ファイルには、セッション タイムアウト(アイドル セッ ションのタイムアウトやタイムアウトまでの最長時間など)、システム エラーおよび 警告、サーバーの接続状態チェックの要求、および IVE サービス再起動通知が含まれ ます。(IVE ウォッチドッグ プロセスは、定期的に IVE サーバーをチェックし、応答 がない場合には IVE を再起動します。) ユーザー アクセス ログ - このログ ファイルには、1 時間ごとの同時ユーザー数 (正時に記録)、ユーザーのサインインおよびサインアウト、ユーザーのファイル要 求など、ユーザーがアプライアンスにアクセスしたときのさまざまな情報が記録さ れます。 管理者アクセス ログ - このログ ファイルには、セッションのタイムアウト、コン ピュータ情報およびサーバー情報など、管理者によるユーザー、システム、ネット ワーク設定の変更が記録されます。また、管理者によるサインイン、サインアウト、 アプライアンスのライセンス変更なども記録されます。 Network Connect パケット ログ -このログ ファイルには、ユーザー アクセス ログ のすべての情報に加えて、ソースおよび送信先 IP アドレス、ソースおよび送信先 ポート、UDP カプセル化 ESP トランスポート プロトコルのネゴシエーション イベン トなどの追加情報、さらに、アプリケーションが Network Connect クライアント- IVE トンネルを介してアクセスされたときに使用される送信先プロトコルが記録され ます。 メモ : これは、クライアントサイド Network Connect パケットのログがポリシー駆動型 であるため、パケット情報は、ログ機能を自動的に動作させるのに必要なすべての条件 を満たすユーザー プロファイルに対してのみログされるためです。 System > Log/Monitoring ページでは、ログに記録するイベントやシステム ログ ファイ ルの最大サイズを指定できるほか、ローカル ログに加えて syslog サーバーでもイベント を記録するかどうかを指定できます。System > Log/Monitoring ページでは、イベントの 数を指定して表示したり、ネットワークにログ ファイルを保存したりできるほか、ログ を削除することもできます。 ログの 1 つが設定された最大ログ ファイル サイズ(デフォルトでは 200MB)に達する と、現在のデータがバックアップ ログ ファイルに移されます。その後、以降の(新しい) ログ メッセージのための空のファイルが新しく作成されます。管理者はログ ビューアを 使用して、最近の 5000 個のログ メッセージ(ビューアの表示制限)を参照できます。現 在のログ ファイルのログ メッセージが 5000 個未満の場合、バックアップ ログ ファイル の古いログ メッセージが、合計で 5000 個に達するまで表示されます。設定された最大ロ グ ファイル サイズによって異なりますが、これにより、別々に保存されたログ ファイル が一覧で表示されます。 メモ : ログ メッセージの保存または Maintenance > Archiving ページで FTP アーカイ ブ関数の使用を選択した場合、バックアップ ログ ファイルは現在のログ ファイルに追 加され、1 個のログ ファイルとしてダウンロードされます。ログ ファイルがアーカイブ されていないか、もう一度移されるときまでに保存されていない場合は、最も古いログ メッセージ(バックアップ ログ ファイルに保存されたメッセージ)が失われます。 110 ログと監視の概要 Juniper Networks NetScreen Secure Access 700 管理ガイド また、HP OpenView などのネットワーク管理ツールを使用して、SNMP エージェント として IVE アプライアンスを監視することができます。IVE プラットフォームは、 SNMP v2 をサポートし、プライベート MIB(管理情報ベース)を実装して、独自のト ラップを定義します。ネットワーク管理ステーションでこれらのトラップを処理でき るようにするには、Juniper Networks MIB ファイルをダウンロードし、トラップを受 信するための適切な情報を指定する必要があります。トラップの一部は必要に合わせ て設定することができます。トラップしきい値の設定については、170 ページの 「SNMP タブ」を参照してください。 メモ : CPU の使用状況など、重要なシステム統計情報を監視するには、UC-Davis MIB ファイルを SNMP 管理アプリケーションにロードします。MIB ファイルは、次の URL か らダウンロードできます。http://net-snmp.sourceforge.net/docs/mibs/UCD-SNMP-MIB.txt イベント、ユーザー アクセス、および管理者アクセスのログ ファイルでは、イベントを、 以下のガイドラインに従って重要度レベルごとに分類しています。 Critical(重要度レベル 10)- IVE がユーザーおよび管理者の要求を処理できない場 合や、サブシステムのほとんどの機能が使用できない場合には、クリティカル イベ ントがログに記録されます。 Major(重要度レベル 8-9)- IVE で 1 つまたは複数のサブシステムの機能が使用で きなくなっている一方で、ユーザーが他のアクセス メカニズムのアプライアンスに アクセスできる場合は、IVE はメジャー イベントをログに記録します。 Minor(重要度レベル 5-7)- IVE でエラーを検出し、そのエラーがサブシステムの 大きな障害にならない場合は、マイナー イベントがログに記録されます。マイナー イベントは通常、個々の要求の失敗に適用します。 Info(重要度レベル 1-4)- IVE により通知メッセージが表示される際、エンドユー ザが要求を行う際、または管理者が変更を行う際に、IVE はインフォメーション イベ ントをログに記録します。 ログと監視の概要 111 Juniper Networks NetScreen Secure Access 700 管理ガイド 設定ファイルの概要 IVE は、ユーザーとシステム データを格納した設定ファイルをバックアップし復元するす るために、いくつかの方法を提供しています。データのバックアップおよび復元に使用で きる IVE のユーティリティは、設定データをバイナリと XML の 2 つの形式で保存します。 選択する方法は、必要に応じて異なります。 IVE 設定ファイルの管理機能を使用すると、以降のセクションでの説明に従って、設定 ファイルをインポート、エクスポート、保存、およびアーカイブできます。 112 ページの「IVE 設定ファイルをアーカイブする」 113 ページの「IVE 設定ファイルのインポートとエクスポート」 113 ページの「XML 設定ファイルのインポートとエクスポート」 124 ページの「XML インスタンスで作業するための方法」 IVE 設定ファイルをアーカイブする IVE では、SCP ( セキュア コピー ) や FTP を使用して、システム ログ、設定ファイル、お よびユーザー アカウントのバイナリ コピーを、毎日または週単位で自動的にアーカイブ できます。IVE は、他のサーバー上においてセキュアな送信と保管を実現するために、設 定ファイルやユーザー アカウントを暗号化し、そのファイルを指定した日時に指定した サーバーやディレクトリにアーカイブします。 SCP は、FTP に類似したファイル転送ユーティリティです。SCP は転送の際にすべての データを暗号化します。そのデータが送信先に到着すると、元のフォーマットに復元しま す。SCP はほとんどの SSH 配布に含まれており、すべての主要オペレーティング システ ムのプラットフォームで使用できます。 アーカイブ ファイルの名前には、次のようにアーカイブの日時が含まれます。 112 設定ファイルの概要 システム イベント:JuniperAccessLog- ホスト名 - 日 - 時 ユーザー イベント:JuniperEventsLog- ホスト名 - 日 - 時 管理者イベント:JuniperAdminLog- ホスト名 - 日 - 時 システム設定ファイル:JuniperConf- ホスト名 - 日 - 時 ユーザー アカウント:JuniperUserAccounts- ホスト名 - 日 - 時 Juniper Networks NetScreen Secure Access 700 管理ガイド Web コンソールの Maintenance > Archiving > FTP Archiving ページから、アーカイブ を有効にできます。手順については、349 ページの「FTP Server タブ」を参照してくだ さい。 IVE 設定ファイルのインポートとエクスポート IVE では、バイナリの IVE 設定ファイルを使用して、IVE システム設定とネットワーク設 定をインポートおよびエクスポートできます。システム設定ファイルをインポートする際 に、サーバー証明書と IVE サーバーの IP アドレスまたはネットワーク設定を、インポー トする情報から除外できます。たとえば、ロード バランサの後部に複数の IVE をセット アップする場合は、IP アドレス以外のすべての情報をインポートします。IVE をバック アップ サーバーとしてセットアップする場合には、デジタル証明書とネットワーク設定 以外のすべての情報をインポートします。 メモ : ライセンスを含む設定ファイルをインポートする際に、IVE は、IVE に現在インス トールされている既存のライセンスを優先させます。現在 IVE にライセンスがなけ れば、アーカイブされたライセンスのみがインポートされます。 証明書をインポートするときは、サーバー証明書またはトラステッド クライアント CA に対応するチェーンではなく、IVE サーバー証明書のみが IVE によってインポー トされます。 また、IVE では、任意のローカル認証サーバーに定義したすべてのローカル ユーザー ア カウントをインポートおよびエクスポートできます。 メモ : リソース ポリシーをエクスポートしたい場合は、システム設定ではなく、ユー ザー設定をエクスポートする必要があります。リソース ポリシーのエクスポートは、 Maintenance > Import/Export > Import/Export Users タブで行えます。 タスク サマリー: 設定ファイルとユーザー アカウントのインポートとエ クスポート 1. システム設定とネットワーク設定をインポートおよびエクスポートするには、Web コンソールの Maintenance > Import/Export > Configuration ページの設定を使用し ます。手順については、338 ページの「Configuration タブ」を参照してください。 2. ローカル ユーザー アカウントをインポートおよびエクスポートするには、Web コン ソールの Maintenance > Import/Export > User Accounts ページの設定を使用しま す。手順については、339 ページの「User Accounts タブ」を参照してください。 XML 設定ファイルのインポートとエクスポート XML Import/Export 機能を使用すると、システム設定に大幅な変更を加えることができ、 いくつかの利点があります。特に、大量の変更を繰り返したり、設定データの追加、更 新、削除を一度に行う場合に有効です。 以下は、エクスポートした XML 設定ファイルを使用して行うタスクの一例です。 多数のユーザーを追加する。 認証サーバー、ユーザー、その他の IVE オブジェクトを、すべてまたは多数削除 する。 週単位のエクスポートの実行により設定変更を追跡する。 設定ファイルの概要 113 Juniper Networks NetScreen Secure Access 700 管理ガイド 認証サーバー名など、1 つの設定の複数インスタンスを変更する。 新しい IVE アプライアンスをセットアップする際に使用する、設定テンプレートを作 成する。 メモ : XML インスタンス ファイルは、同じバージョンの IVE システム ソフトウェアを 搭載する IVE 間でのみ、エクスポートおよびインポートできます。古い製品リリースを、 新しい製品リリースからエクスポートした設定ファイルによりアップグレードするため に、XML Import/Export 機能を使用することはできません。また、旧リリースの製品か らエクスポートした設定ファイルを使用して、より新しい製品リリースをダウングレー ドすることもできません。 IVE では、ネットワーク設定、サインイン設定、認証サーバー、領域、ロール、リソース ポリシー、ユーザーなど、複数のタイプの設定データをエクスポートできます。さらに、 これらの設定を同じ IVE、または別の IVE にインポートできます。 以下の設定を含む XML 設定ファイルを、エクスポートすることができます。また、その 他の設定も使用できます。 ネットワーク設定 - Network Connect サーバー IP アドレス、DNS サーバー、DNS ド メイン、ホスト、NIC、NIC 識別子、ソース IP エイリアス、ARP キャッシュ、ARP Ping タイムアウト、デフォルト ゲートウェイ、IP アドレス、MTU、NIC 名、ネット マスク、静的ルート、リンク スピード、NIC タイプ、ホスト名、WINS アドレス。 メモ : XML インスタンス ファイル内の 2 つの NIC 識別子を変更してはなりません。IVE は、各アプライアンスに 2 つのインターフェース カード(NIC0 と NIC1)が存在するこ とを前提としています。 これらの識別子は、NIC 要素 <sys:NICIdentifier>0</sys:NICIdentifier> と <sys:NICIdentifier>1</sys:NICIdentifier> に表示されます。 サインイン設定 - 認証サーバー、パスワード オプション、パスワード管理オプショ ン、標準サインイン ページ、カスタム テキスト、ヘッダー オプション、カスタム エ ラー メッセージ、ヘルプ オプション、ページ名、ページ タイプ。 メモ : 標準サインイン ページのみをエクスポートできます。カスタム サインイン ペー ジはエクスポートできません。 114 設定ファイルの概要 認証領域 - ユーザー領域と管理領域、領域名、領域タイプ、プライマリおよびセカ ンダリ サーバーの設定、動的ポリシー評価設定、認証ポリシー、限界、パスワード ポリシー、ロール マッピング設定、ロール処理オプション。 ロール - ユーザー ロール、管理ロール、ロール名、有効化された機能、制限、セッ ション オプション、UI オプション、Windows および UNIX ファイル設定、Web オプ ション、Network Connect オプション、Telnet オプション、Admin システム オプショ ン、リソース ポリシー設定、認証領域設定。 リソース ポリシー - Network Connect アクセス ポリシー リスト、Web 選択再書き 込みポリシー リスト、Web 選択再書き込みポリシー、Web オプション、Web ActiveX 再書き込みポリシー リスト、ActiveX 再書き込みポリシー、ファイル アクセス ポリ シー リスト、ファイル アクセス ポリシー、Windows および UNIX ファイル オプ ション、ファイル エンコーディング、Web アクセス ポリシー。 Juniper Networks NetScreen Secure Access 700 管理ガイド ローカル ユーザー アカウント - ユーザー、認証サーバー名、E メール アドレス、 フルネーム、ログイン名、パスワード、パスワード変更オプション。 ログ / 監視- SNMP 設定(トラップ設定および限界を含む)。 ミーティング ポリシー - ミーティング ポリシーの設定。 メモ : 上記のリストに記載された設定以外にも使用できる設定があります。サポートさ れる設定の完全なリストについては、Web コンソールの XML Import/Export ページと Push Config ページを参照してください。 XML 設定ファイルのエクスポートおよびインポートの基本操作は、次のとおりです。 1. 変更する設定を選択します。 2. IVE からファイルをエクスポートします。 3. テキスト エディタでファイルを開いて、設定データを編集します。 4. ファイルを保存して、閉じます。 5. ファイルを IVE にインポートします。 XML 設定ファイルとその使用方法については、以下のセクションでさらに説明してい ます。 116 ページの「XML インスタンスの作成と修正」 124 ページの「XML インスタンスで作業するための方法」 340 ページの「XML 設定データのエクスポート」 342 ページの「XML 設定データのインポート」 343 ページの「XML Import/Export の使用例」 設定ファイルの概要 115 Juniper Networks NetScreen Secure Access 700 管理ガイド XML インスタンスの作成と修正 設定ファイルをエクスポートすると、IVE はそのファイルを XML インスタンスとして保 存します。このインスタンスが修正するファイルになります。 XML インスタンス エクスポートを行うと、インスタンス ファイルに IVE 設定の現在の状態が示されます。 XML インスタンスは、XML スキーマに基づきます。このスキーマは、メタデータを定義 する独立した 1 つまたは一組のファイルで、インスタンス ファイルのモデルやテンプ レートとして機能します。スキーマ ファイルは参照の目的にのみ使用します。 インスタンス ファイルのデータは、エクスポート処理を実行する際に、Web コンソール の XML Import/Export タブで行った選択に基づきます。 インスタンス ファイルには通常、ファイル拡張子 .xml が付きます。 インスタンス ファイルの作成 インスタンス ファイルは、IVE から XML 設定ファイルをエクスポートすることにより作 成できます。あるオブジェクトついて、既存の設定ファイルの設定をすべて置き換える場 合でも、インスタンス ファイルのエクスポートから始める必要があります。エクスポート したインスタンス ファイルには、必要な XML 処理命令とネームスペース宣言がすべて含 まれており、それらは定義されたものと全く同じでなければなりません。 XML 設定ファイルをエクスポートするには、340 ページの「XML 設定データのエクス ポート」を参照してください。 インスタンス ファイルの編集 IVE の XML インスタンス ファイルはすべて同じ構造を持っています。基本的な構造を知 れば、このファイルのナビゲートは簡単に行えるようになります。このファイルはサイズ が大きくなるため、市販のエディタや公開されている XML エディタを使用すれば、効率 的な作業が行えます。XML エディタは、構造表示と編集可能なデータを分離できる場合が あります。これにより、単なるテキスト エディタを使用した場合に起こりがちな、XML 要素を誤って変更してしまう危険性を減らすことができます。 XML エディタにはこうした利点がありますが、単なるテキスト エディタを使用しても、 設定データの編集を適切に行うことができます。 インスタンス要素 要素とは、IVE オブジェクトまたはオブジェクトの一部を定義する、個々の XML 単位で す。要素は一般的に一対のタグ で構成されており、文字列を囲む場合と、囲まない場合が あります。タグは山括弧(< >)で区切られます。次の説明に、タグのいくつかの例を示 します。 すべてのタグは、次の 4 種類のタグのいずれかに該当します。 116 設定ファイルの概要 XML 処理命令 - タグの特殊な形で、山括弧とクエスチョン マーク(<?)で始まり、 各 XML 文書の開始部分に配置されます。XML 処理命令を変更してはなりません。 開始タグ - 要素の先頭を表します。開始タグは左山括弧(<)、名前、0 個または 1 個以上の属性、右山括弧(>)で構成されます。すべての開始タグには、ドキュメン トのある箇所において、終了タグが必要です。 終了タグ - 要素の末尾を表します。終了タグは、左形括弧とスラッシュ(</)に続 き、対応する開始タグで指定された同じ名前、右山形括弧(>)で構成されます。 Juniper Networks NetScreen Secure Access 700 管理ガイド 空タグ - 空タグ は 2 つの形式で表されます。タグのペアの中にデータがない場合 は、このタグのペアは 空 タグと見なされます。XML の仕様に従うと、空タグは次の ようになります。 <empty tag example/> この形式では、空タグは左形括弧(<)、要素名、スラッシュおよび右山形括弧 (/>)で構成されます。設定ファイル内に空タグがある場合は、スキーマがインスタ ンス ファイルに含めることを要求している要素で、そのデータはオプションである ことを表しています。 開始タグには属性を含めることができ、タグ ペア(要素)には追加の要素を含めること ができます。次の例は、Users オブジェクトの XML インスタンス ファイルを示していま す。この例では、IVE Platform Administrator 設定のみが示されます。例の太字のコメント は、タグの詳細を説明しています。斜体の項目は、ユーザー データを表します。 <!-- ファイルは XML 処理命令で始まります。次の 2 行は名前空間宣言の例です。 XML 処理命令や名前空間宣言を削除または変更してはなりません。--> <?xml version="1.0" encoding="UTF-8" standalone="no" ?> <IVE xmlns="http://xml.juniper.net/iveos/5.0R1/ive"> <AAA xmlns:aaa="http://xml.juniper.net/iveos/5.0R1/aaa"> <aaa:Users> <!-- 開始タグ --> <aaa:User> <aaa:AuthServerName>Administrators</aaa:AuthServerName> <aaa:Email></aaa:Email> <!-- 空タグ --> <aaa:FullName>IVE Platform Administrator</aaa:FullName> <aaa:LoginName>admin</aaa:LoginName> <aaa:Password PasswordFormat="Encrypted">fEm3Qs6qBwA </aaa:Password> <!-- 開始タグで指定された属性 --> <aaa:ChangePasswordAtNextLogin>false </aaa:ChangePasswordAtNextLogin> </aaa:User> </aaa:Users> <!-- 終了タグ --> </AAA> <!-- 名前空間宣言の終了タグ --> </IVE> <!-- 名前空間宣言の終了タグ --> 文字列データに変更を加えると、開始タグと終了タグの間に表示されます。たとえば、前 の例から、次の要素を追加または変更できます。 <aaa:AuthServerName>Administrators</aaa:AuthServerName> <aaa:Email></aaa:Email> <aaa:FullName>IVEPlatform Administrator</aaa:FullName> <aaa:LoginName>admin</aaa:LoginName> <aaa:Password PasswordFormat="Plaintext">password</aaa:Password> <aaa:ChangePasswordAtNextLogin>false</aaa:ChangePasswordAtNextLogin> 設定ファイルの概要 117 Juniper Networks NetScreen Secure Access 700 管理ガイド メモ : 指定の認証サーバーのユーザーを変更する場合、または指定のユーザーの認証 サーバーを変更する場合は、既存のユーザーまたは認証サーバーを更新せず、別のユー ザーを作成します。ユーザーと認証サーバーは、ともに論理的に一意のユーザーを定義 します。 Email 要素は空白です。これは、スキーマがインスタンス ファイルに Email 要素を含め ることを要求しているが、その値はオプションであることを意味しています。E メール ア ドレスを追加するか、空白のままにしておくことができます。 前述のサンプルでは PasswordFormat は Encrypted に設定され、インスタンス ファイルは Password 要素のデータを暗号化データとして表示しています。これは、パスワードの値 を変更できないことを意味しています。デフォルトでは、XML エクスポート処理では PasswordFormat は Encrypted に設定され、パスワードは暗号化されます。 PasswordFormat を Plaintext に設定すると、パスワードを変更することができます。イン スタンス ファイルでパスワードを変更した場合、パスワード値は、IVE にインポートされ るまで読むことが可能です。インポートされると、IVE はパスワードを暗号化します。 新しいユーザーにプレーン テキスト形式でパスワードを入力する場合は、そのパス ワードはインスタンス ファイルで読むことができます。このため、Change Password at Next Login(次回のログインでパスワードを変更)オプションを true に設定するこ ともできます。 メモ : パスワードはデフォルトで暗号化されるため、システム間の移動を完全に実行でき ます。 XML ファイルでは絶対にパスワードを手動で暗号化しないでください。IVE はいか なる試行も拒否します。XML ファイルでパスワードを変更する際は、プレーン テキ ストの PasswordFormat を使用してプレーン テキストのパスワードを入力してくだ さい。 属性 属性とは、要素の定義をより詳細に指定する情報です。要素の開始タグには属性を含める ことができます。属性の値は、二重引用符により区切られます。次の例は、Users インス タンス ファイルのパスワード要素を示しています。パスワードの形式は、要素の属性とし て定義されます。 <aaa:Password PasswordFormat="Encrypted">fEm3Qs6qBwBQ</aaa:Password> Encrypted の値を、他の許可された値に変更できます。Web コンソールで属性で使用でき る値を見つけることもできますが、この例では、users.xsd スキーマ ファイルを見て、使 用できる値を Plaintext、Encrypted、および Base64 として指定する必要があります。 メモ : スキーマ(.xsd)ファイルは、XML Import/Export ページからダウンロードでき ます。詳細については、340 ページの「XML Import/Export タブ」を参照してください。 118 設定ファイルの概要 Juniper Networks NetScreen Secure Access 700 管理ガイド 名前空間 名前空間では、異なるコンテキストまたは XML 用語のコードに、同じ語句またはラベル を使用できます。要素の先頭に名前空間の修飾子を付けると、インスタンス ファイルに、 異なる XML 用語に基づく異なるオブジェクトへの参照や、同じ名前を共有する異なるオ ブジェクトへの参照を含めることができます。 名前空間宣言は次のようになります。 <AAA xmlns:aaa="http://xml.juniper.net/iveos/5.0R1/aaa"> この例では、名前空間識別子は aaa です。IVE は、要素 <aaa:example> と <xs:example> を全く別の要素と見なします。インスタンス ファイルに名前空間識別 子がある場合は、その識別子を削除または変更しない限り、それらを気にする必要は ありません。 要素の順序 可能な限り、インスタンス ファイル内の要素の順序を変更しないでください。スキーマは 常に順序を強制しませんが、エクスポートされたインスタンス ファイルに表示される要 素の順序を変更しても、何の利点もありません。また、場合によっては、要素の順序を変 更することにより、インスタンス ドキュメントが無効になることがあります。 参照整合性制約 IVE 設定オブジェクトは、参照整合性制約の使用により実施されるデータ モデルの一部で す。これらの制約を変更することはできませんが、他のオブジェクトへの依存性を維持す るオブジェクトを削除しようとしないように、これらの制約について理解しておく必要が あります。 IVE の参照整合性制約に違反すると、インポート操作は失敗します。以下の図は、いくつ かの IVE オブジェクト間の関係を示しています。 図 28: IVE オブジェクトの参照整合性制約 図 28 では、ボックスは IVE オブジェクトのタイプを示し、矢印はオブジェクト タイプ間 の従属関係を示しています。矢印は依存オブジェクトからオブジェクトに向かって指して います。 システムは、別のオブジェクトが依存しているオブジェクトの削除を許可しません。逆 に、オブジェクトを追加する場合は、そのオブジェクトが依存する別のオブジェクトを追 加する必要があります 図 28 では、サインイン URL は領域およびサインイン ページに応じて異なります。領域 は、認証サーバーとロールの両方に依存します。ポリシーはロールに依存します。ユー ザーは認証サーバーに依存します。 設定ファイルの概要 119 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 28 に基づいて、以下のシナリオについて考えます。 サインイン URL を追加する場合は、領域、サインイン ページ、ロール、および認証 サーバーを追加する必要があります。領域をサポートするには、認証サーバーと少な くとも 1 つのロールを追加する必要があり、新しいサインイン URL をサポートする には、領域とサインイン ページを追加する必要があります。 ユーザーを追加する場合は、そのユーザーを認証サーバーに割り当てることができな ければなりません。ターゲットの IVE にまだ認証サーバーが存在しない場合は、イン スタンス ファイルに認証サーバーを追加する必要があります。 ポリシーを追加する場合は、そのポリシーをロールに割り当てることができなければ なりません。ターゲットの IVE にまだロールが存在しない場合は、インスタンス ファ イルにロールを追加する必要があります。 認証サーバーを削除する場合、領域やユーザーが残ることがあるのため、認証サー バーを削除する前に、領域やユーザーが認証サーバーに依存していないことを確認す る必要があります。 ロールを削除する場合、ポリシーや領域が残ることがあります。ロールを削除するに は、前もってそのロールに依存するポリシーを削除するか、関連するポリシーを別の ロールに割り当て直す必要があります。また、ロールを削除するには、前もってその ロールに依存する領域を削除するか、割り当て直す必要があります。 サインイン ページを削除する場合は、1 つ以上のサインイン URL が残ることがあり ます。サインイン ページを削除するには、前もって関連するサインイン URL を削除 するか、別のサインイン ページに割り当て直す必要があります。 XML インスタンスを UI コンポーネントへマップする Web コンソールで表示されるように、XML インスタンス内の要素は、オブジェクトとそ のオプションと密接に関連しています。XML インスタンス ファイル内の要素名は、表示 されるオブジェクトやオプション名と密接な相関関係があります。 たとえば、Web コンソールで、Roles > Users > General > Session Options に移動しま す。Web コンソールは、ローミング セッションの可能な値を、次の値で構成されるラジ オ ボタン グループとして表します。 Enabled(有効) Limit to subnet(サブネットに制限) Disabled(無効) ロールのエクスポートされた設定ファイルからの、以下の抜粋は、Users ロールのセッ ション オプションを示しています。6 行目(以下の太字部分)では、ローミング セッ ション オプションは Enable に設定されています。 <aaa:SessionOptions> <aaa:IdleTimeout>10</aaa:IdleTimeout> <aaa:MaxTimeout>60</aaa:MaxTimeout> <aaa:ReminderTime>5</aaa:ReminderTime> <aaa:RoamingNetmask></aaa:RoamingNetmask> <aaa:Roaming>Enable</aaa:Roaming> <aaa:PersistentPassword>false</aaa:PersistentPassword> <aaa:RequestFollowThrough>true</aaa:RequestFollowThrough> <aaa:PersistentSession>false</aaa:PersistentSession> <aaa:SessionTimeoutWarning>false</aaa:SessionTimeoutWarning> <aaa:IgnoreApplicationActivity>false</aaa:IgnoreApplicationActivity> </aaa:SessionOptions> 120 設定ファイルの概要 Juniper Networks NetScreen Secure Access 700 管理ガイド roles.xsd スキーマ ファイルで、ローミング セッション オプションの許可される値を次の ように見つけることができます。 <xs:simpleType name="EnableRoamingType"> <xs:restriction base="xs:token"> <xs:enumeration value="Enable"/> <xs:enumeration value="Limited"/> <xs:enumeration value="Disable"/> </xs:restriction> </xs:simpleType> ローミング セッションの値を、有効からサブネットに制限するように変更する場合は、 Enable を Limited に置き換えます。 この例で Web コンソールは、許可されるすべての値を、ラジオ ボタン グループ、チェッ クボックス、ドロップダウン リストボックス、またはその他のユーザー インターフェー ス コンポーネントとして表示し、提供しています。このインスタンス ファイルは IVE 設 定の現在の状態のみを表示します。スキーマ ファイルは、XML インポート / エクスポート 機能でサポートされている設定オプションの実際値のすべてを表示します。 特定の要素の詳細は、スキーマ ファイルを直接調べてください。 XML インポート モード IVE は、XML 設定ファイルのインポートにおいて、3 つのインポート モードを提供してい ます。使用するモードを変更することにより、インポート操作の際により複雑なタスクを 実行できるようになります。 Quick Import 設定にオブジェクトを追加する場合は、クイック インポート モードを使用します。ク イック インポート モードでは 1、既存の設定を変更することはできません。XML インス タンス ファイル内のデータを変更しても、IVE はこれらの変更を設定に適用しません。 Standard Import 他の設定データに影響を与えずに、オブジェクトを変更したり設定に追加する場合は、標 準インポート モードを使用します。標準インポート モードでは、新しいオブジェクトを 設定に追加し、既存のオブジェクトを更新できます。オブジェクトをインスタンス ファイ ルから削除する場合に、標準インポート モードを使用すると、IVE は削除を行いません。 IVE では、デフォルトのインポート モードを標準モードに設定してします。 Full Import フルインポート モードは、XML インスタンス ファイルを使用して実行するインポートの 中で、最もパワフルなインポート操作です。フルインポートは、IVE の設定を完全に置き 換えることができます。フルインポート モードを使用すると、IVE からオブジェクトを追 加、変更、削除することができます。 フル インポート モードでは、意図的か不注意にかかわらず、設定に大幅な変更を行うこ とができるため、その使用の意味を理解することは重要です。 設定ファイルの概要 121 Juniper Networks NetScreen Secure Access 700 管理ガイド フルインポートでは、既存の設定が、インスタンス ファイルにある内容に完全に置き換 えられます。このモードでは、既存の設定から多くのオブジェクトを効率よく削除できま す。IVE は、除外によって削除を行います。インスタンス ファイルと既存の設定との比較 において、IVE は、既存の設定にありインスタンス ファイルにないものを削除します。 メモ : フルインポート操作を正しく行わなかった場合、設定の多くの部分、または設定 のすべてを誤って削除してしまうことがあります。エクスポートしたインスタンス ファ イルには、IVE の最上位コンポーネントの現在の状態が含まれます。 次のシナリオでは、フルインポート モードを使用して IVE 設定から一部のユーザーを削 除する場合の、間違った方法と正しい方法について説明します。 フルインポート モードの間違った使用方法 IVE から数人のユーザーを削除したいとします。 メモ : この手順は実行しないでください。フルインポート モードの間違った使用例を記 述していますが、これを、トレーニングの目的以外に使用しないでください。 次の手順を実行します。 1. 認証サーバーの 1 つに関連付けられたローカル ユーザーをエクスポートします。 2. XML インスタンス ファイルから数人のユーザーを削除します。 3. Full Import を選択して、残りのユーザーを IVE にインポートし直します。 これにより、XML インスタンス ファイルに残ったユーザーを除いて、すべてのユーザー が削除されました。特定の認証サーバーに関連付けられたユーザーだけをエクスポートし たことは、正しくありません。フルインポート モードでは設定が完全に置き換わるため、 インポートしたファイルの内容が、対応する IVE 設定データをすべて上書きしてしましま す。 フルインポート モードの正しい使用方法 IVE から数人のユーザーを削除したいとします。次の手順を実行します。 1. すべてのローカル ユーザーを、IVE で定義されたすべての認証サーバーからエクス ポートします。 2. XML インスタンス ファイルから数人のユーザーを削除します。 3. Full Import を選択して、残りのユーザーを IVE にインポートし直します。 これにより、選択したユーザーのみが IVE から削除され、他のユーザーはそのまま残りま した。 122 設定ファイルの概要 Juniper Networks NetScreen Secure Access 700 管理ガイド インスタンス ファイルの確認 XML スキーマは、アプリケーション構造や、許容値、デフォルト値、データ タイプ、範 囲、リスト値、必須値とオプション値、構文、その他のデータ構造を定義します。XML イ ンスタンスを IVE にインポートしようとすると、そのインスタンスはスキーマと照合さ れ、有効な IVE 設定の要件に適合するようにします。 スキーマで設定された規則に何らかの形で違反するインスタンス ファイルに変更や追加 を行った場合は、それらが参照整合性規則や、許容値、範囲、またはその他の制限タイプ のいずれであっても、IVE はインポート処理を完了しないで、エラー メッセージを与えま す。 IVE オブジェクトにスキーマ(.xsd)ファイルをダウンロードすることができます。オブ ジェクトのデータはエクスポートとインポートが可能です。スキーマ ファイルは、オブ ジェクトのエクスポート、修正、インポートに関連しているため、IVE オブジェクトに適 用する規則を決定する際に役に立ちます。 スキーマ ファイルのダウンロード オブジェクトに適用する構造や規則を確認したい場合は、IVE オブジェクトにスキーマ (.xsd)ファイルをダウンロードすることができます。 スキーマ ファイルは、オブジェクト タイプごとに別のファイルに整理されています。た とえば、ローカル ユーザー アカウントのスキーマ ファイルは users.xsd にあります。す べてのファイルは 1 つの Zip ファイルに含まれています。 Zip ファイルをダウンロードする方法は 2 通りあります。 XML Import/Export ページで、ハイパーリンクをクリックする。 システム上でファイルが保存されている URL に直接アクセスする。 XML Import/Export ページからのスキーマ ファイルのダウンロードについての詳細は、 340 ページの「XML Import/Export タブ」を参照してください。 .xsd ファイルを含む Zip ファイルにアクセスするには、以下の URL に直接アクセスする か、またはスクリプトを使用してアクセスしてください。 https://<ive-ip-or-hostname>/dana-na/xml/schema.zip ive-ip-or-hostname は IVE の IP address またはホストネームです。この方法を使用すれば、 IVE にサインインする必要はありません。 メモ : この機能は将来的に変更する可能性があります。スクリプトを使用して URL で zip ファイルにアクセスする場合は、注意が必要です。変更の可能性がある項目: URL ファイル名 ファイルの拡張子 - たとえば形式が .xsd に変更される可能性があります。 ファイル数 - オブジェクト固有のスキーマ ファイルではなく、複数のファイルが 1 つの .xsd ファイルにまとめられる可能性もあります。 設定ファイルの概要 123 Juniper Networks NetScreen Secure Access 700 管理ガイド XML インスタンスで作業するための方法 XML インスタンス ファイルをエクスポートおよびインポートする際に、次の方法が役に 立つ場合があります。 XML Import/Export 操作の目的を明確にします。 どの IVE オブジェクトを追加、更新、または削除する必要がありますか ? 1 回の操作ですべての変更を完了する必要がありますか ? あるいは、設定の変更 を何度かに分けて行うことができますか ? 処理は一回限りのものですか ? あるいは、同じ処理を数回行う必要がありま すか ? 既存の IVE を更新しますか ? あるいは、ある IVE 設定をテンプレートにして、他 の IVE を設定しますか ? 修正する IVE オブジェクトへの変更内容を記録します。 追加、更新、削除するオブジェクトのリストを作成します。 追加または更新するオブジェクトには、特定の属性データのリストを作成し ます。 変更しようとするオブジェクトや属性に対応する、Web コンソールのページや タブのリストを作成します。 インポートを行う直前に、バイナリ システムのスナップショットまたはバイナリ設 定のバックアップを作成します。 121 ページの「XML インポート モード」で説明されているインポート モードの意味 を必ず理解してください。 完成した設定が目的を満たしていることを確認する計画を立てます。 Admin Access ログを調べて、エクスポートとインポートの処理が正常に行われ たことを確認します。 変更した項目を無作為にチェックします。項目が、予定通りに追加、更新、また は削除されたことを確認します。 ほとんどの場合、XML インスタンス ファイルと Web コンソールを組み合わせて使用する 必要があります。特に、XML インスタンス ファイルを初めに変更する場合は必要です。ま た、XML スキーマ ファイルの表示が必要な場合もあります。 XML インスタンス ファイルを使用して、次の操作を行います。 XML 要素として表す設定オブジェクトを識別します。 設定データを見つけ、変更します。 Web コンソールを使用して、次の操作を行います。 ビジュアル コンポーネントを XML スキーマとインスタンスの要素に関連付けます。 特定のオブジェクトへの変更が正確であるかを確認します。 XML スキーマ ファイルを使用して、次の操作を行います。 124 設定ファイルの概要 構造と設定オブジェクトの順序を確認します。 Juniper Networks NetScreen Secure Access 700 管理ガイド オプション要素と必須要素、許容値、デフォルト値、および設定オブジェクトのその 他の属性を確認します。詳細については、340 ページの「XML Import/Export タブ」を 参照してください。 タスク サマリー: XML 設定ファイルのインポートとエクスポート 1. XML 設定ファイルのエクスポートは、Web コンソールの Maintenance > Import/Export > Export ページから行えます。手順については、340 ページの「XML 設定データのエクスポート」を参照してください。 2. XML 設定ファイルのインポートは、Web コンソールの Maintenance > Import/Export > Import ページから行えます。手順については、342 ページの「XML 設定データのインポート」を参照してください。 設定ファイルの概要 125 Juniper Networks NetScreen Secure Access 700 管理ガイド トラブルシューティングの概要 このセクションでは、IVE で実行できるさまざまなトラブルシューティング タスクの概要 を示します。 126 ページの「イベントのシミュレーションとトラッキング」 127 ページの「IVE システム状態のスナップショットを作成する」 127 ページの「TCP ダンプ ファイルを作成する」 127 ページの「IVE ネットワークの接続状態をテストする」 128 ページの「デバッグ ツールをリモートで実行する」 128 ページの「デバッグ ログを作成する」 イベントのシミュレーションとトラッキング IVE でタスクを実行できない理由を調べるために、問題のある IVE のイベントのシミュ レーションやトラッキングを行うには、Web コンソールの Maintenance > Troubleshooting > User Sessions ページの設定を使用します。ここでは、現在 IVE で設定 されているすべての領域、ロール、ポリシーに進み、認証、承認、およびアクセス プロ セスのさまざまなステップにおいて、ログ メッセージを出力します。 問題のイベントは、特定のユーザーの認証、承認、アクセスに関連しています。これらは すべて、ユーザー セッション中に生じたことに左右されます。それは、シミュレーション とポリシー トレーシングの両方に適用します。 メモ : キャプチャされたイベントに、システムに関連する他のイベントは含まれませ ん。IVE は、ログの数を減らして問題を明らかにするために、イベントを単にフィルタ リング メカニズムとして使用します。 問題を引き起こすイベントのシミュレーション IVE では、問題を引き起こすイベントをシミュレーションすることにより、問題のトラブ ルシューティングを行うことができます。Maintenance > Troubleshooting > User Sessions> Simulation ページを使用して、仮想ユーザー セッションを作成し、エンド ユーザーが実際に IVE にサインインすることなく、問題を再現することができます。ま た、Simulation タブを使用して、本番環境で使用する前に、新しい認証ポリシーや承認 ポリシーをテストすることもできます。 シミュレーション機能を使用するには、シミュレーションの対象イベントを指定する必要 があります(たとえば、“John Doe” が午前 6 時に Internet Explorer ブラウザから “Users” 領域にサインインする仮想セッションを作成します)。次に、シミュレーションでログに 記録するイベントを、指定する必要があります。シミュレーション ログには主要な 3 種 類のイベントを記録できます。 126 認証前 - キャプチャされた IVE イベントには、システムに関連する他のイベントは 含まれません。イベントは、ログの数を減らして問題を明らかにするために、単に フィルタリング メカニズムとして使用されます。 ロール マッピング - キャプチャされた IVE イベントには、システムに関連する他の イベントは含まれません。イベントは、ログの数を減らして問題を明らかにするため に、単にフィルタリング メカニズムとして使用されます。 トラブルシューティングの概要 Juniper Networks NetScreen Secure Access 700 管理ガイド リソース ポリシー - キャプチャされた IVE イベントには、システムに関連する他の イベントは含まれません。イベントは、ログの数を減らして問題を明らかにするため に、単にフィルタリング メカニズムとして使用されます。 ポリシー トレースを使用したイベントのトラッキング IVE を使用すると、ユーザーが領域にサインインした際、イベントをトラッキングして、 問題のトラブルシューティングを行うことができます。Maintenance > Troubleshooting > User Sessions > Policy Tracing ページでは、個々のユーザーについてポリシー トレー ス ファイルを記録できます。IVE は、ユーザーのアクションを示すログ エントリを表示 し、ユーザーの Web またはファイル サーバーへのアクセスなどさまざまな機能へのアク セスについて、許可または拒否された理由を示します。 IVE システム状態のスナップショットを作成する Maintenance > Troubleshooting > System Snapshot タブを使用すると、IVE システム状 態のスナップショットを作成できます。このオプションを使用すると、IVE はさまざまな ユーティリティを実行して、使用中のメモリー、ページジング パフォーマンス、実行中 のプロセスの数、システムの稼動時間、開いているファイル記述子の数、使用中のポート など、IVE システムの状態に関する詳細情報を収集します。IVE は、最大 10 のスナップ ショットを保持します。暗号化された「ダンプ」ファイルにまとめられたこれらのスナッ プショットをいったんネットワーク コンピュータにダウンロードしてから、Juniper Networks サポートにメールで送信します。 TCP ダンプ ファイルを作成する Maintenance > Troubleshooting > TCP Dump タブを使用すると、ネットワーク パケッ ト ヘッダーをスニッフィングして、結果を暗号化された「ダンプ」ファイルに保存でき ます。このファイルをいったんネットワーク コンピュータにダウンロードして、Juniper Networks サポートにメールで送信します。 この機能は、TCP/IP ネットワーク スタックを使用して、TCP レイヤでパケットをキャプ チャします。これは、IVE を通過するすべての通信をキャプチャします。ただし、一部の 暗号化されたより高いレベルのプロトコルは復号化できません。この機能は、顧客の共通 の問題のトラブルシューティングに役立ちます。TCP ダンプ ファイルは、Juniper Networks サポート チームが IVE と他のイントラネット サーバー間で使用される通信プロ トコルや、イントラネット サーバーが IVE からの要求にどのように応答したかを観察す る上で役立ちます。 Web コンソールでは、パケットをキャプチャするインターフェースを外部か内部で選択 し、ダンプ ファイルの詳細レベルを高める無作為検出モードを選択し、さらにフィルタ の指定を行うことができます。 IVE ネットワークの接続状態をテストする Maintenance > Troubleshooting > Commands タブを使用して、arp、ping、traceroute、 NSlookup などの UNIX コマンドを実行し、IVE ネットワークの接続状態をテストを行うこ とができます。これらの接続ツールを使用すると、IVE から特定のサーバーへのネット ワーク パスを調べることができます。IVE に ping または traceroute を実行でき、IVE が ターゲット サーバーを ping できる場合は、リモート ユーザーは IVE からそのサーバーに アクセスできるはずです。 トラブルシューティングの概要 127 Juniper Networks NetScreen Secure Access 700 管理ガイド アドレス解決プロトコル(ARP) arp コマンドを使用して、IP ネットワーク アドレスをハードウェア アドレスにマップし ます。アドレス解決プロトコル(ARP)を使用すると、ハードウェア アドレスを解決でき ます。 ネットワーク内のサーバーのアドレスを解決するために、IVE 上のクライアント プロセス は固有の ID についての情報を、イントラネット内のサーバーで実行されるサーバー プロ セスに送信します。これにより、サーバー プロセスは要求されるアドレスをクライアント プロセスに返します。 Ping ping コマンドを使用して、IVE がネットワーク上の他のシステムに接続できることを確認 します。ローカル ノードとリモート ノード間のネットワーク障害の場合は、ping したデ バイスから応答を受信できません。その場合は、LAN 管理者に連絡して指示を求めてくだ さい。 ping コマンドはパケットをサーバーに送信し、サーバーの応答を返します。一般的にこの 応答は、ターゲット サーバーの IP アドレス、パケットの送信や応答の受信にかかった時 間などのデータを含む統計情報のセットです。ユニキャスト アドレスやマルチキャスト アドレスを ping できます。要求には、ターゲット サーバー名を含める必要があります。 Traceroute traceroute コマンドを使用すると、パケットがたどる IVE から別のホストへのパスを 見つけることができます。traceroute はパケットを宛先サーバーに送信して、各ゲート ウェイとそのパスから、ICMP TIME_EXCEEDED レスポンスを受信します。 TIME_EXCEEDED レスポンスなどのデータは記録され、出力に表示されて、パケット の往復のパスを示します。 NSlookup Nslookup を使用すると、ネットワーク上のネーム サーバーの詳細情報を取得できます。 複数の異なるタイプの情報をクエリできます。これには、サーバーの IP アドレス、エイ リアス IP アドレス、start-of-authority の記録、メール交換記録、ユーザー情報、よく知ら れたサービス情報、およびその他のタイプの情報が含まれます。 デバッグ ツールをリモートで実行する Juniper Networks サポート チームは、デバッグ ツールをユーザーの本番環境の IVE 上で 実行できます。これを行うには、Maintenance > Troubleshooting > Remote Debugging ページで設定します。このオプションを有効にするには、Juniper Networks サポートに連 絡して、デバッグ コードと IVE の接続先ホストの情報を取得する必要があります。 デバッグ ログを作成する 問題が生じた場合、Juniper Networks サポートの担当者が、IVE の内部問題をデバックす るために、デバック ログの作成を依頼することがあります。ロギングを有効にすると、 Web コンソールの Maintenance > Troubleshooting > Debug Log タブで入力するイベン ト コードに基づいて、IVE が特定のイベントやメッセージを記録します。作成されたデ バッグ ログを使用して、サポート チームは矛盾するコードの流れを特定します。サポー ト担当者は、デバッグ詳細ログ レベルやイベント コードなど、ログ ファイルの作成に必 要な情報を提供します。 128 トラブルシューティングの概要 Juniper Networks NetScreen Secure Access 700 管理ガイド 多言語サポートの概要 SSL VPN アプライアンスはファイルのエンコード、ユーザー インターフェースの表示、 カスタム サインインとシステム ページに対して、多言語サポートを提供しています。SSL VPN アプライアンスは以下の言語をサポートしています。 英語(米国) 中国語(簡体) 中国語(繁体) フランス語 ドイツ語 日本語 韓国語 スペイン語 IVE では、エンドユーザー インターフェースを、サポートされている言語のいずれかで表 示することができます この機能を、(カスタム)サインイン ページ、システム ページ、 ローカライズされたオペレーション システムと組み合わせることによって、ユーザーは、 完全にローカライズされた環境で操作することができます。 言語を指定すると、IVE は、すべてのメニュー項目、IVE が生成するダイアログ、ヘルプ ファイルなどのユーザー インターフェースを、サインインした領域に左右されず指定し た言語で表示します。ローカライズのオプションを設定するには、Maintenance > System > Options タブの設定を使用します。手順については、335 ページの「Options タ ブ」を参照してください。 多言語サポートの概要 129 Juniper Networks NetScreen Secure Access 700 管理ガイド 130 多言語サポートの概要 第3部 IVE 設定 このセクションでは、Web コンソールによって IVE を構成、維持するための IVE に関す る指示を示します。このセクションの構成は Web コンソールに一致しているため、ユー ザーインターフェースの特定のページに対応する指示を簡単に見つけることができます。 目次 135 ページの「システム設定」 179 ページの「Signing In 設定」 237 ページの「管理者設定」 253 ページの「ユーザー設定」 279 ページの「リソース ポリシー設定」 331 ページの「メンテナンス設定」 131 Juniper Networks NetScreen Secure Access 700 管理ガイド 132 タスクのサマリー 目次 タスク サマリー:IVE プラットフォーム 上に構築された製品の設定 32 タスク サマリー:サインイン ポリシーの設定 50 タスク サマリー:Java アプレットに署名または再署名するよう IVE を設定する 65 タスク サマリー:Host Checker の設定 74 タスク サマリー:Network Connect の設定 91 タスク サマリー:IVE での E メール クライアントの設定 96 タスク サマリー:Java アプレットのアップロードと有効化 101 タスク サマリー:データ転送プロキシの設定 103 タスク サマリー:設定ファイルとユーザー アカウントのインポートとエクスポート 113 タスク サマリー:XML 設定ファイルのインポートとエクスポート 125 133 Juniper Networks NetScreen Secure Access 700 管理ガイド 134 第6章 システム設定 Web コンソールの System セクションの設定を使用して、IVE やユーザーのアクティビ ティの監視、システムおよびネットワークの全般的な設定、システム ログの表示などが 行えます。 目次 137 ページの「Status ページの設定」 140 ページの「Configuration ページの設定」 163 ページの「Network ページの設定」 168 ページの「Log Monitoring ページの設定」 第 6 章 : システム設定 135 Juniper Networks NetScreen Secure Access 700 管理ガイド 136 第 6 章 : システム設定 Juniper Networks NetScreen Secure Access 700 管理ガイド Status ページの設定 Status ページには、以下のタブがあります。 137 ページの「Overview タブ」- このタブを使用して、現在のサービス パッケージ のダウンロードとシステムの日付と時間の編集を行います。 138 ページの「Active Users タブ」- このタブを使用して、IVE にサインインしたユー ザーを監視します。 Overview タブ Web コンソールにサインインして System > Status ページを選択すると、Overview タブ が表示されます。このタブには、IVE サーバーやシステム ユーザーに関する詳細情報が表 示されます。他の Web コンソール ページで変更を行うと、Overview タブの対応する情報 が更新されます。 現在のサービス パッケージのダウンロード System > Status > Overview タブで、IVE に現在インストールされているサービス パッ ケージをダウンロードできます。これにより、保存したものを別の IVE に簡単にインス トールできます。 現在のサービス パッケージをダウンロードするには、次の操作を行います。 1. Web コンソールで、System > Status > Overview を選択します。 2. System Software Pkg Version の隣にあるリンクをクリックします。 3. Save をクリックします。 4. サービス パッケージの名前と場所を指定します。 5. Save をクリックします。 システムの日付と時刻の変更 システム イベントやユーザー ファイルの転送を正確に記録するために、サーバーの時 刻を設定する必要があります。Network Time Protocol(NTP)サーバーを使用して、IVE を一連のコンピュータと同期できます。また、IVE の時刻を手動で設定することもでき ます。 システムの日付と時刻を変更するには、次の操作を行います。 1. Web コンソールで、System > Status > Overview を選択します。 2. System Date & Time セクションで、Edit をクリックします。 3. Time Zone メニューからタイムゾーンを選択します。サマータイムに該当する場合、 時刻は自動的に調整されます。 4. 次のいずれかの方法でシステム時刻を設定します。 Use NTP server - Use NTP Server オプションを選択して、サーバーの IP アドレ スまたは名前を入力し、更新間隔(Update Interval)を指定します。 Status ページの設定 137 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. Set Time Manually - Set Time Manually オプションを選択し、日時の値を入力 します。または、Get from Browser をクリックし、Date フィールドと Time フィールドに値を自動的に入力することもできます。 Save Changes をクリックします。 Active Users タブ Active Users ページを使用して IVE にサインインしたユーザーを監視します。各ユーザー の名前、認証領域、ロール、サインイン時間などがリストに表示されます。 IVE にサインインしたユーザーを監視するには、次の操作を行います。 1. Web コンソールで、System > Status > Active Users を選択します。 2. 次のタスクを実行します(オプション)。 IVE セッションからのユーザーのサインアウト 1 人以上のエンドユーザーまたは管理者を強制的にサインアウトさせるに は、該当する名前の横にあるチェックボックスをオンにして、Delete Session をクリックします。 現在サインインしているすべてのエンド ユーザーを強制的にサインアウト させるには、Delete All Sessions をクリックします。 メモ : 管理者をサインアウトさせるには、管理者を個別に選択して、Delete Session ボ タンを使用します。 138 Status ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド サインインした全ユーザーの動的ポリシー評価の実行 認証ポリシー、ロール マッピング規則、ロール制限、ユーザー ロール、リ ソース ポリシーを、現在サインインしているすべてのユーザーについてす べて手動で評価するには、Refresh Roles をクリックします。認証ポリシー、 ロール マッピング規則、ロール制限、またはリソース ポリシーを変更した 場合で、すべてのユーザーのロールをすぐに更新したいとき、このボタンを 使用します。詳細については、40 ページの「動的ポリシー評価」を参照して ください。 表示するデータと順序の設定: 特定のユーザーを表示するには、Show Users Named フィールドにユーザー 名を入力し、Update をクリックします。ユーザーの正確なユーザー名が分 からない場合は、ワイルドカード文字の “* “ を使用します。たとえば、 “Joseph Jones” という名前のユーザーがいて、そのユーザー名が “Joe” か “Joseph” のどちらであったか思い出せない場合、Show Users Named フィー ルドに “Jo*” と入力します。これでユーザー名が “jo” で始まるすべてのユー ザーが表示されます。 Active Users ページに表示するユーザーと管理者の数を設定するには、 Show N users フィールドに人数を入力し、Update をクリックします。 現在サインインしているユーザーおよび管理者の表を並び替えるには、列の ヘッダーをクリックします。 ページの内容を更新するには、Update をクリックします。 関連タブのリンク: ユーザーの認証領域を編集するには、名前の横にある Realm リンクをク リックし、239 ページの「認証領域の作成」の説明に従ってください。 ユーザーのロールを編集するには、名前の横にある Role リンクをクリック し、248 ページの「Delegation ページの設定」(管理者の場合)または 256 ページの「Roles ページの設定」(エンドユーザーの場合)の手順を実行し てください。 Status ページの設定 139 Juniper Networks NetScreen Secure Access 700 管理ガイド Configuration ページの設定 Configuration ページには、次のタブがあります。 140 ページの「Licensing タブ」- IVE のライセンス情報を入力または更新するには、 このタブを使用します。 146 ページの「Security ページ」- デフォルトのセキュリティ設定を指定するには、 このページを使用します。 147 ページの「Certificates タブ」- サーバー、クライアント、およびコード署名の証 明書を IVE へアップロード、IVE から証明書をダウンロード、証明書の更新、証明書 の削除、新規証明書用の証明書署名要求(CSR)の作成、CSR から署名済み証明書を インポート、CRL チェックの有効化、証明書の詳細表示などを行う場合に、これらの タブを使用します。 159 ページの「NCP タブ」- Windows および Java クライアント用に NCP オプション を設定するにはこのタブを使用します。 Licensing タブ Secure Access 700 アプライアンスは、あらかじめ IVE への基本的なアクセスを許可する ライセンスが提供されています。ただし、アプライアンスの機能をフルに活用するには、 Juniper Networks License Management System にアクセスし、Licensing Hardware ID およ び Authorization Code を示してライセンス キーを取得し、管理者 Web console にサインイ ンして、Juniper Networks から取得したライセンス キーを入力する必要があります。 Licensing Hardware ID は一意の 16 文字のコードで、Juniper Networks は、ライセンス キーを生成する際にこれを使ってユーザーの IVE を識別します。IVE の Licensing Hardware ID は、シリアル コンソールのメニュー オプションの上、および管理者 Web コ ンソールの下部にあります。 Authorization Code は、ユーザーまたはユーザーの会社が IVE 用に購入した Secure Access ライセンス キーを、生成およびアクティブ化するのに必要な合鍵です。IVE およ び関連する製品や機能ライセンスを購入した後に、IVE とは別に Authorization Code を受 け取ります。 140 Configuration ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 29: ライセンス キーの生成とアクティベーション Obtain your Juniper Networks Secure Access Authorization Code Obtain your Juniper Networks Secure Access Licensing Hardware ID Sign in to Juniper Networks License Management System at http://www.juniper.net/ generate_license Supply your Juniper Networks Secure Access Appliance Serial Number (when upgrading SA 1000, SA 3000, and SA 5000 license keys only) Receive Juniper Networks Secure Access license keys Enter Juniper Networks Secure Access license keys in Secure Access administrator Web console Juniper Networks License Management System からダウンロードするパッケージまたは、 Juniper Networks から受け取る E メールには、以下の異なるタイプのライセンスが含まれ ています。 Configuration ページの設定 141 Juniper Networks NetScreen Secure Access 700 管理ガイド Seure Access 700 標準アクセス ライセンス キー - Secure Access 700 標準アクセス ライセンス キーでは、10 ユーザー、15 ユーザー、または 25 ユーザーをホストし て、Network Connect を介した IVE へのアクセスを提供します。さらに、Network Connect へのアクセスや、ターミナル セッションや Web ブックマークなどのコア ア クセス メソッドへのアクセスが可能なライセンス キーを購入できます。SA 700 標準 ライセンス キーは「追加型」のライセンスで、ライセンス キーを追加で取得して、 構成に加えることにより、IVE にアクセスできるユーザーの数を増やすことができま す。たとえば、最初に SA700-ADD-10U ライセンスを購入し、将来別の SA700-ADD-10U ライセンスを購入した場合、IVE は最大 20 ユーザーに対応できるよ うになります。 SA 700 コア アクセス アップグレード ライセンス キー - Secure Access 700 コア ア クセス アップグレード ライセンス キーは、Remote Access 500 のユーザーにアップ グレード オプションを提供します。新規の Secure Access 700 アクセス ライセンス キーを購入することなく、ターミナル セッションや Web ブックマークなどのコア ア クセス機能を有効にできます。 System > Configuration > Licensing タブを使用して、サイトのライセンス キーの入力、 有効期限の表示、あるいは必要に応じて削除を行います。 メモ : Licensing タブからアクセス可能な使用許諾条件を読み、その後、ライセンスを 送信してください。Licensing タブに表示される使用許諾条件は、初期のセットアップ時 にシリアル コンソールに表示された内容と同じです。 新規 IVE ライセンス キーを作成、またはライセンス キーを交換する IVE に転送する 新規 IVE ライセンス キーを作成して入力したり、あるいは交換する IVE へライセンス キーを転送するには、次の操作を行います。 1. Licensing Hardware ID と Authorization Code が使用可能であることを確認してく ださい。 IVE の Licensing Hardware ID は、シリアル コンソールのメニュー オプションの上、 および管理者 Web コンソールの下部にあります。 IVE および関連する製品や機能ライセンスを購入した後に、IVE とは別に Authorization Code を受け取ります。 2. Juniper Networks License Management System に https://www.juniper.net/generate_license からアクセスします。 メモ : Juniper Networks License Management System では、Juniper Networks ライセンス についての詳細情報へのアクセス ポイントを提供しています。この情報には、ユーザー またはユーザーの会社に登録されているすべてのライセンスや、現在特定の Licensing Hardware ID に関連付けられているライセンスが含まれます。 この場所の情報にアクセスするには、Juniper Networks カスタマ サポート センターの有 効なユーザー ID とパスワードが必要です。Juniper Networks カスタマ サポート セン ターのユーザー ID とパスワードを入手するには、 https://www.juniper.net/customers/support/ から Customer Support Center サイトにアクセ スします。 142 Configuration ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. Secure Access SSL VPN リンクをクリックして、新しい IVE ライセンス キーを生成す るか、Generate Replacement License for RMA Device をクリックして、交換する IVE の既存のライセンスに基づいてライセンス キーを作成します。 メモ : Generate Replacement License for RMA Device オプションは、RMA ハードウェ アの交換のみを目的としています。これは、間違って作成されたライセンス キーの交換 には使用できません(たとえば、最初にライセンスを購入した IVE 以外の IVE に、 Authorization Code を使用してライセンスを作成した場合など)。 4. 5. Generate Licenses ページで、次の操作を行います。 1 台の IVE のみにライセンス キーを作成する場合は、Licensing Hardware ID と、 1 つ以上の Authorization Code を該当するフィールドに入力します。 複数の IVE のライセンス キーを一度に作成するには、Generate License Keys for Multiple SSL VPN Devices をクリックし、画面の手順に従ってライセンス キーの 生成に必要な Excel ファイルを作成します。 Generate をクリックします。 Confirm License Information ページが表示され、License Management System に送 信した情報の概要が表示されます。 6. この情報を見直して、すべての情報が正しいことを確認し、Generate License をク リックします。 Generate License SSL VPN ページが表示され、新しいライセンス キーの詳細を表示 するリンクを含む、ライセンス キーの概要が表示されます。 7. Download/Email をクリックし、ファイル形式と、新しいライセンス キーの入手する 際の配信方法を指定します。 ライセンス キーをダウンロードするか、E メールで受信した後、以下を行います。 1. Web コンソールで、System > Configuration > Licensing を選択します。 2. license agreement リンクをクリックします。使用許諾条件を読み、同意する場合、 次の手順に進みます。 3. ライセンス キーを入力し、Save Changes をクリックします。 Configuration ページの設定 143 Juniper Networks NetScreen Secure Access 700 管理ガイド IVE ライセンス キーのアップグレード Remote Access 500、Secure Access 1000、Secure Access 3000、Secure Access 5000、また は Secure Access FIPS アプライアンスを使用している場合で、上のイメージを 5.1 以降に アップグレードした後にライセンス キーをアップグレードしたい場合は、次の手順を 行って、新しいライセンス キーを作成し、入力する必要があります。アップグレードの際 に IVE は既存のライセンス情報を保持するため、購入するライセンス アップグレードの 新しいライセンス キーを確認して作成するだけで済みます。141 ページの図 29 にライセ ンス生成プロセスの主な手順を示します。 メモ : ライセンス キーのアップグレードを古い に対して行う場合は、Juniper Networks License Management System は、作成する新しいライセンス キーについての情報や、購 入して に入力する将来のライセンス キーの情報を保持します。古いライセンス キーの 詳細にはアクセスできません。Juniper Networks では、バージョン 5.1 より古いソフト ウェアのライセンス キー情報を確認することはできません . 間違ってライセンス情報を 削除した場合は、カスタマ サポート センター Case Manager 経由で Juniper Customer Care までお問い合わせください。 1-800-638-8296(米国およびカナダ) 1-408-745-9500(インターナショナル) Juniper Customer Care では、申請者に代わって手続きを行い、紛失したライセンス キー の記録を提供します。 IVE ライセンス キーをアップグレードするには、次の操作を行います。 1. Licensing Hardware ID と Authorization Code が使用可能であることを確認してくだ さい。 IVE の Licensing Hardware ID は、シリアル コンソールのメニュー オプションの上、 および管理者 Web コンソールの下部にあります。 IVE のソフトウェアとライセンス キーをアップグレードするには、IVE を最初に購入 したベンダーから、追加機能に対するライセンスの Authorization Code を受け取りま す。 2. Juniper Networks License Management System に https://www.juniper.net/generate_license からアクセスします。 メモ : Juniper Networks License Management System では、Juniper Networks ライセンス についての詳細情報へのアクセス ポイントを提供しています。この情報には、ユーザー またはユーザーの会社に登録されているすべてのライセンスや、現在特定の Licensing Hardware ID に関連付けられているライセンスが含まれます。 この場所の情報にアクセスするには、Juniper Networks カスタマ サポート センターの有 効なユーザー ID とパスワードが必要です。Juniper Networks カスタマ サポート セン ターのユーザー ID とパスワードを入手するには、 https://www.juniper.net/customers/support/ から Customer Support Center サイトにアクセ スします。 144 Configuration ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. Secure Access SSL VPN リンクをクリックして、新しい IVE ライセンス キーを生成す るか、Generate Replacement License for RMA Device をクリックして、交換する IVE の既存のライセンスに基づいてライセンス キーを作成します。 メモ : Generate Replacement License for RMA Device オプションは、RMA ハードウェ アの交換のみを目的としています。これは、間違って作成されたライセンス キーの交換 には使用できません(たとえば、最初にライセンスを購入した IVE 以外の IVE に、 Authorization Code を使用してライセンスを作成した場合など)。 4. Generate Licenses ページで、次の操作を行います。 1 台の IVE のみにライセンス キーを作成する場合は、Licensing Hardware ID と、 1 つ以上の Authorization Code を該当するフィールドに入力します。 複数の IVE のライセンス キーを一度に作成するには、Generate License Keys for Multiple SSL VPN Devices をクリックし、画面の手順に従ってライセンス キーの 生成に必要な Excel ファイルを作成します。 5. Generate をクリックします。 6. IVE のシリアル番号を Serial Number フィールドに入力します。IVE のシリアル番号 の入力を要求されたときに入力しなかった場合は、ライセンス生成ポータルは、自動 的に ステップ 4 で入力された Licensing Hardware ID を使用します。 7. Generate を再度クリックします。 Confirm License Information ページが表示され、License Management System に送 信した情報の概要が表示されます。 8. この情報を見直して、すべての情報が正しいことを確認し、Generate License をク リックします。 Generate License SSL VPN ページが表示され、新しいライセンス キーの詳細を表示 するリンクを含む、ライセンス キーの概要が表示されます。 9. Download/Email をクリックし、ファイル形式と、新しいライセンス キーの入手する 際の配信方法を指定します。 ライセンス キーをダウンロードするか、E メールで受信した後、以下を行います。 1. Web コンソールで、System > Configuration > Licensing を選択します。 2. license agreement リンクをクリックします。使用許諾条件を読み、同意する場合、 次の手順に進みます。 3. ライセンス キーを入力し、Save Changes をクリックします。 Configuration ページの設定 145 Juniper Networks NetScreen Secure Access 700 管理ガイド Security ページ IVE のデフォルトのセキュリティ設定を変更するには、System > Configuration > Security ページを使用します。デフォルトのセキュリティ設定は、最大限のセキュリティ を提供するように配慮されているため、変更しないことをお勧めします。ただし、ユーザ が特定のブラウザを使用できない場合や、特定の Web ページにアクセスできない場合に は、デフォルト設定を変更する必要があります。さらに、同じ IP アドレスからの DOS/DDOS/ パスワード解読攻撃から IVE とバックエンド システムを保護する、ロックア ウト オプションを設定することもできます。 システム全体のセキュリティ オプションの設定 特定の Web ページにアクセスするときにブラウザで問題が発生した場合には、次の設定 を調整してみてください。 Allowed SSL and TLS Version - IVE ユーザーへの暗号化要求を指定します。(IVE の デフォルト設定では、SSL バージョン 3 と TLS を使用するよう設定されています。) SSL バージョン 2 を使用する旧バージョンのブラウザを使用している場合、ブラウザ をアップデートするか、SSL のバージョン 2、バージョン 3、TLS に対応できるよう IVE の設定を変更する必要があります。 Allowed Encryption Strength - デフォルトでは、IVE が要求する暗号化の長さは 128 ビットです。また、IVE が 168 ビット暗号化を要求するように指定することも できます。米国輸出規制法が改定される前までは海外輸出用に 40 ビット サイ ファー暗号化の使用が許されていたため、2000 年以前のブラウザでは、40 ビット 暗号化を使用できます。ユーザーは 128 ビット暗号化に対応するブラウザにアップ デートするか、40 ビット暗号化にも対応するように暗号化強度の設定を変更する 必要があります。 メモ : IVE で 168 ビット暗号化を使用すると、一部の Web ブラウザでは、接続が 168 ビットでも、128 ビット暗号化(ブラウザのステータス バーのゴールド鍵)で表示され る場合があります。これはブラウザの機能上の制限の可能性があります。 Delete all cookies at session termination - IVE は、利便性を向上させる目的で、 ユーザーのコンピュータに固定 Cookie をセットして、複数のサインイン、最後に関 連付けられた領域、最後にサインインした URL などをサポートします。セキュリ ティまたはプライバシー保護を高めたい場合は、これらを設定しないようにします。 Include IVE session cookie in URL - Mozilla 1.6 および Safari は、Java Virtual Machine に Cookie を渡さないため、ユーザーは J-SAM および Java アプレットを実行 できません。これらのブラウザをサポートするために、IVE は、J-SAM または Java ア プレットを起動する URL にユーザー セッション Cookie を含めることができます。デ フォルトでこのオプションは有効になっていますが、URL で Cookie を有効にするこ とに不安がある場合は、この機能を無効にします。 Lockout オプションの設定 以下の Lockout オプションを設定して、同一 IP アドレスからのサービス拒否攻撃 (DoS)、分散サービス拒否攻撃(DDoS)、およびパスワード解読攻撃から IVE および他の システムを保護します。 メモ : Lockout オプションは、IVS システムでは利用できません。他のすべてのセキュリ ティ オプションについては、IVS システムで利用可能です。 146 Configuration ページの設定 Rate - 1 分間に許可するサインインの失敗回数を指定します。 Juniper Networks NetScreen Secure Access 700 管理ガイド Attempts - 最初のロックアウトをトリガする前に許可する、サインインの失敗回数 を指定します。IVE は、指定された試行回数をレートで除算して、サインインの失敗 を許可する初期の最大時間を分単位で決定します。たとえば、180 回の試行をレート 3 で除算すると、60 分という初期時間が得られます。60 分以内に 180 回以上のサイ ンインが試行された場合、IVE は失敗したサインイン試行で使用されている IP アド レスをロックアウトします。 Lockout period - IVE が IP アドレスをロックアウトする時間を分単位で指定しま す。 IVE は持続する攻撃にすばやく反応し、攻撃が弱まると徐々に制限を緩和します。ロック アウトが発生したあと、IVE は Rate を維持しながら徐々に回復します。前回のロックアウ ト以降に発生した失敗率が、指定された Rate を超えた場合、IVE は IP アドレスを再度 ロックアウトします。失敗率が Attempts/Rate の期間で指定された Rate を超えない場合 は、IVE が初期の監視状態に戻ります。 たとえば、Lockout オプションで以下のように設定した場合、IVE は次のようなシナリオ で、その期間 IP アドレスをロックアウトします。 Rate=3 回の失敗したサインイン / 分 Attempts=180 回、初期の 60 分間における最大許可数(180/3) Lockout period=2 分 1. 同じ IP アドレスから 3 分間に 180 回のサインインの失敗が発生します。Attempts で 指定した値が許可された 60 分間(180/3)内で発生しているため、IVE はその IP ア ドレスを 2 分間ロックアウトします(4 分と 5 分目)。 2. 6 分目に、IVE は IP アドレスのロックオンを解除して、レート 3(失敗サインイン試 行数 / 分)を維持します。6 分目と 7 分目では失敗試行数が 1 分間に 2 回となり、IVE はアドレスをロックしません。ただし、8 分目に失敗したサインイン試行回数が 5 回 に増えた場合、3 分間の失敗サインイン試行回数が合計 9 回のとなり、IVE は再度 IP アドレスを 2 分間ロックアウトします(9 分 と 10 分目)。 3. 11 分目で、IVE は IP アドレスのロックオンを解除して、レート 3(失敗サインイン 試行数 / 分)を再度維持します。平均レートが 3 回 / 60 分の以下の状態が続くと、 IVE は初期の監視状態に戻ります。 メモ : 新しいシステムでは、すべてのオプションがデフォルトで「無効」になって います。 Certificates タブ サーバー、クライアント、およびコード署名の証明書を IVE へアップロード、IVE から証 明書をダウンロード、証明書の更新、証明書の削除、新規証明書用の証明書署名要求 (CSR)の作成、CSR から署名付き証明書をインポート、CRL チェックの有効化、証明書 の詳細表示などを行う場合に、以下の Certificates サブタブを使用します。 148 ページの「IVE Certificates タブ」 151 ページの「Trusted Client CAs タブ」 157 ページの「Trusted Server CAs タブ」 159 ページの「Code-Signing Certificates タブ」 Configuration ページの設定 147 Juniper Networks NetScreen Secure Access 700 管理ガイド IVE Certificates タブ IVE は、PKCS #12 (ファイル拡張子 .pfx および .p12 を含む)とともに、DER および PEM エンコード形式(ファイル拡張子 .cer、.crt、.der、および .pem)の X.509 サー バー証明書をサポートします。 System > Configuration > Certificates > IVE Certificates タブを使用して、ルート証明 書および秘密鍵のインポート、中間証明書のインポート、証明書署名要求(CSR)の作 成、および CSR により作成された証明書のインポートを行うことができます。 既存のルート証明書と秘密鍵のインポート Apache、IIS、Sun ONE(旧 iPlanet)、または Netscape などのサーバーから Web サーバー 証明書を作成して、それらの証明書を IVE にインポートすることができます。デジタル サーバー証明書と鍵をエクスポートするには、Web サーバーの証明書でエクスポートの 手順を参照し、その説明に従ってください。次に、Server Certificates タブを使用して、 これらのファイルをインポートします。 既存のルート サーバー証明書と秘密鍵をインポートするには、次の操作を行います。 1. Web コンソールで、System > Configuration > Certificates > IVE Certificates を選 択します。 2. Import Certificate & Key をクリックします。 3. 証明書をインポートするためのフォームを次の中から選択します。 証明書と鍵が 1 つのファイルに入っている場合は、If certificate file includes private key フォームを使用します。 証明書と鍵が別のファイルに入っている場合は、If certificate and private key are separate files フォームを使用します。 証明書と鍵が 1 つの IVE 設定ファイルに入っている場合は、Import via IVE configuration file フォームを使用します。このオプションを選ぶ場合、IVE は、 構成ファイルで指定したすべての証明書を IVE Certificates ページにインポート します(秘密鍵と申請中の CSR を含むが、対応するポート マッピングは含まな い)。 4. 該当するフォームで、証明書と鍵が入ったファイルを参照します。ファイルが暗号化 されている場合は、パスワード鍵を入力します。 5. Import をクリックします。 既存の中間証明書のインポート トラステッド CA によって発行された証明書チェーンを使用してトラフィックをセキュリ ティ保護するよう選択することもできます。その場合、IVE と Web ブラウザの両方に、完 全な証明書チェーンが含まれている必要があります(60 ページの「中間サーバー CA 証 明書」を参照)。 IVE を通じて証明書をインストールする場合、どの順番でインストールしてもかまいませ ん。IVE は、PEM ファイルの 1 つ以上の中間 CA のアップロードをサポートします。 中間サーバー証明書と秘密鍵をインポートするには、次の操作を行います。 148 Configuration ページの設定 1. Web コンソールで、System > Configuration > Certificates > IVE Certificates を選 択します。 2. ページ最上部の Intermediate IVE CAs リンクをクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. Import CA certificate をクリックします。 4. IVE にアップロードしたい CA 証明書を参照し、Import Certificate をクリックし ます。 既存の秘密鍵を使用する更新された証明書をインポートする サーバー証明書を更新するには、2 つの方法があります。 Submit a new CSR to a CA - CA によって新しい証明書と秘密鍵が保証され、古い秘 密鍵が廃棄されるため、このプロセスは証明書を更新する方法としては安全です。こ の更新方法を使用するには、まず Web コンソールを通じて CSR を作成する必要があ ります。詳細については、150 ページの「新しい証明書の証明書署名要求(CSR)を 作成する」を参照してください。 Request renewal based on the CSR previously submitted to the CA - CA では既存の 秘密鍵を使用する証明書を発行するため、このプロセスは上記の方法よりも安全性は 劣ります。 メモ : 更新された証明書を要求するときには、元の CSR を再提出するか、現在の証明書 用に提出した CSR のレコードを CA が保有していることを確認する必要があります。 既存の秘密鍵を使用する、更新されたサーバー証明書をインポートするには、次の操作を 行います。 1. 以前に証明書を購入した CA の指示に従って、証明書を更新します。 メモ : 必ず、元の CSR と同じ情報を指定してください。CA では、この情報をもとに既 存の鍵に対応する新しい証明書を作成します。 2. Web コンソールで、System > Configuration > Certificates > IVE Certificates を選 択します。 3. 中間証明書を更新する場合は、ページ最上部の Intermediate IVE CAs リンクをク リックします。 4. 更新したい証明書に対応するリンクをクリックします。 5. Renew Certificate をクリックします。 6. Renew Certificate フォームで、更新された証明書ファイルを参照し、証明書鍵のパ スワードを入力して、Import をクリックします。 IVE からサーバー証明書をダウンロードする Server Certificates ページで、IVE アプライアンスの証明書を簡単にダウンロードでき ます。 IVE からサーバー証明書をダウンロードするには、次の操作を行います。 1. Web コンソールで、System > Configuration > Certificates > IVE Certificates を選 択します。 2. 保存したい証明書に対応するリンクをクリックします。 3. Download をクリックします。 4. 証明書を保存する場所を参照し、Save をクリックします。 Configuration ページの設定 149 Juniper Networks NetScreen Secure Access 700 管理ガイド 新しい証明書の証明書署名要求(CSR)を作成する Web サーバーのデジタル証明書がない場合には、Web コンソールを通じて CSR(証明書 署名要求)を作成し、CA に送信します。Web コンソールを通じて CSR を作成すると、そ の CSR に対応する秘密鍵がローカルで作成されます。CSR を削除すると、このファイル も削除されるため、その CSR から生成され署名付き証明書をインストールできなくなり ます。 メモ : 複数の CSR を同時に CA に送信しないでください。変更が重複する恐れがありま す。Server Certificates タブにある Certificate Signing Request Details リンクをクリック して、以前に提出した保留中の要求に関する詳細を表示できます。 証明書署名要求を作成するには、次の操作を行います。 1. Web コンソールで、System > Configuration > Certificates > IVE Certificates を選 択します。 2. New CSR をクリックします。 3. 必要な情報を入力して、Create CSR をクリックします。 4. 画面には、CA に送る必要がある情報とその送信方法の説明が表示されます。これら の指示に従ってください。 5. CA から署名付き証明書が返送されたら、以下の説明に従って、証明書ファイルをイ ンポートします。 メモ : CSR を CA に送信するときに、証明書を作成した Web サーバーの種類、または証 明書を使用する Web サーバーの種類を指定するよう求められる場合があります。この場 合には、apache を選択してください(apache に複数の選択肢がある場合は、どれか 1 つを選択してください)。また、証明書形式のダウンロードを指示された場合には、標準 形式を選択してください。 CSR により作成された署名付き証明書をインポートする Web コンソールを使用して CSR を作成すると、IVE の Server Certificates タブに、その CSR の Pending CSR リンクが表示されます。これは、認証機関(CA)が配布する署名付 きサーバー証明書をインポートすると、表示されなくなります。 CSR から作成された署名付きサーバー証明書をインポートするには、次の操作を行い ます。 150 Configuration ページの設定 1. Web コンソールで、System > Configuration > Certificates > IVE Certificates を選 択します。 2. Certificate Signing Requests で、署名付き証明書に対応する Pending CSR リンクをク リックします。 3. Import signed certificate で、CA から受け取った証明書ファイルを参照し、Import をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド Trusted Client CAs タブ System > Configuration > Certificates > Trusted Client CAs タブで、IVE 上のクライア ント CA 証明書のインポート、設定、および維持に関連するいくつかのタスクを実行しま す。このセクションは次のトピックから成ります。 151 ページの「トラステッド クライアント CA 証明書を IVE へアップロードする」 153 ページの「トラステッド クライアント CA 証明書属性を指定する」 154 ページの「OCSP オプションの指定」 155 ページの「OCSP レスポンダ オプションの指定」 155 ページの「CDP オプションの指定」 157 ページの「ユーザー領域のクライアント証明書を有効にする」 メモ : IVE は、DER および PEM エンコード形式の X.509 CA 証明書をサポートして います。 トラステッド クライアント CA 証明書を IVE へアップロードする ユーザーの IVE へのサインインに、クライアント サイド証明書を要求する場合は、対応 する CA 証明書を IVE にアップロードする必要があります。CA 証明書を手動でアップロー ドするか、CA 証明書を自動的にアップロードするよう IVE を設定できます。IVE は、アッ プロードされた証明書を使用して、ブラウザが送信した証明書の有効性を検証します。さ らに、検証用の CA 証明書のインポートを自動的に行うかどうかを指定でき、また CA 証 明書を自動的にインポートするときに IVE が使用する CRL/OCSP 取得メソッドを指定でき ます。CRL および OCSP の詳細については、60 ページの「トラステッド クライアント CA」を参照してください。 メモ : クライアントサイド証明書を使用する場合は、ユーザーに対し、IVE からサインア ウトした後に Web ブラウザを閉じるよう指導することを、強くお勧めします。Web ブラウザを閉じなかった場合、他のユーザーが開いたままのブラウザ セッションを 使用し、再認証を行うことなく、IVE 上の証明書で保護されたリソースにアクセス できる可能性があります。(クライアントサイド証明書をロードした後、Internet Explorer は証明書の識別情報と秘密鍵をキャッシュに保存します。ブラウザは、 ユーザーがブラウザを閉じるまで(場合によっては、ユーザーがワークステーショ ンを再起動するまで)、これらの情報をキャッシュに保存します。詳細については、 http://support.microsoft.com/?kbid=290345 を参照してください。)ブラウザを 閉じる指示をメッセージで表示するには、System > Signing In > Sign-in Pages タ ブでサインアウト メッセージを変更します。 CA 証明書を IVE にアップロードしても、クライアントサイド SSL 認証は有効にな りません。クライアントサイド SSL 認証を有効にするには、証明書サーバーを使用 するか、Web コンソールの Administrators/Users > Authentication > [ 領域 ] > Authentication Policy > Certificate ページで、証明書の制限を有効にする必要があ ります。 Secure Access 700 アプライアンスでは、IVE に CA 証明書を 1 つしかインポートで きません。 証明書チェーンを IVE にアップロードする場合、証明書を 1 度に 1 つずつ、ルート 証明書(DER または PEM ファイル)から降順にインストールするか、1 つのファ イル(PEM ファイルのみ)を、証明書チェーン全体を格納する IVE にインストール する必要があります。いずれかの方法をとることにより、IVE は証明書を正しい順 序でリンクすることができます。 Configuration ページの設定 151 Juniper Networks NetScreen Secure Access 700 管理ガイド IVE 上のトラステッド クライアント CA 証明書を自動的にインポートしてオプションを指 定するには、次の操作を行います。 1. Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を 選択します。 2. Auto-import options をクリックします。Auto-import options ページが表示され ます。 3. Auto-import Trusted CAs をクリックします。 4. Client certificate status checking で、IVE がクライアント証明書のステータスを確認 するために使用するメソッドを指定します。 5. None - IVE はこのトラステッド クライアント証明書を検証しません。 Use OCSP - IVE は OCSP メソッドを使用して、クライアント証明書を必要に応 じてリアルタイムに検証します。このオプションを選択すると、154 ページの 「OCSP オプションの指定」の説明に従って OCSP のオプションを指定できます。 Use CRLs - IVE はクライアント証明書を検証するために CRL を使用します。こ のオプションを選択すると、155 ページの「CDP オプションの指定」の説明に 従って OCSP のオプションを指定できます。 Use OCSP with CRL fallback - IVE は可能な場合 OCSP 検証メソッドを使用しま すが、OCSP メソッドが失敗した場合(たとえば、OCSP レスポンダへのリンク が失敗するなど)は、CRL を使用してクライアント証明書の検証を試みます。こ のオプションを選択すると、OCSP のオプション(154 ページの「OCSP オプ ションの指定」を参照)および CDP のオプション(155 ページの「CDP オプ ションの指定」を参照)を指定できます。 CDP(s)/OCSP responder で、関連するドロップダウン リストから次の CRL/OCSP 取得 メソッドを指定します。 None - IVE は CRL/OCSP 取得メソッドを使用しません。 From client certificate - IVE はクライアント証明書にある CRL/OCSP 取得メ ソッドを使用します。 From trusted CA certificates - IVE はトラステッド クライアント CA 証明書にあ る CRL/OCSP 取得メソッドを使用します。 6. IVE に証明書を発行した CRL を検証させたい場合は、Verify imported CA certificates オプションを有効にします。 7. Save をクリックします。 CA 証明書を手動で IVE にアップロードするには、次の操作を実行します。 152 Configuration ページの設定 1. ユーザーのブラウザを通じてクライアントサイド証明書をインストールします。詳細 については、ブラウザのヘルプを参照してください。 2. Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を 選択します。 3. Import CA Certificate をクリックします。Import Trusted Client CA ページが表示さ れます。 Juniper Networks NetScreen Secure Access 700 管理ガイド 4. IVE にアップロードしたい CA 証明書を参照し、Import Certificate をクリックしま す。Trusted Client CA ページが開き、証明書属性を表示します。証明書属性には、証 明書に有効化された証明書ステータス チェックのタイプや、IVE がトラステッド ク ライアント CA を確認するよう設定されているかどうかを示すものが含まれます。 5. Save をクリックします。 手動で CA 証明書をインポートした後に、CA 証明書属性を指定できます(153 ペー ジの「トラステッド クライアント CA 証明書属性を指定する」を参照)。 トラステッド クライアント CA 証明書属性を指定する トラステッド クライアント CA 証明書属性を指定するには 1. Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を 選択します。 2. 表示したい証明書をクリックします。Trusted Client CA ページが開き、選択した証明 書の全情報が表示されます。 3. Certificate で、以下のフィールド名の横にある矢印をクリックすると、証明書の詳細 が表示されます。 Issued To - 証明書の発行対象エンティティの名前と属性。 Issued By - 証明書を発行したエンティティの名前と属性。このフィールド の値は、Issued To フィールド(ルート証明書の場合) 、または、チェーン内 にある次の証明書の Issued To フィールド(中間証明書の場合)と一致する 必要があります。 4. 5. Valid Dates - 証明書が有効な期間。証明書が期限切れの場合は、149 ページの 「既存の秘密鍵を使用する更新された証明書をインポートする」の手順を参照し てください。 Details - バージョン、シリアル番号、署名アルゴリズム、CRL 配布点、公開鍵 アルゴリズムの種類、公開鍵など、証明書の各種詳細情報が記載されています。 IVE の Details フィールドに CRL 配布点が表示される場合もありますが、有効に しない限り CDP がチェックされないので、注意してください。詳細については、 62 ページの「CRL」を参照してください。 証明書を更新するには、次の操作を行います。 a. Renew Certificate をクリックします。 b. IVE にアップロードする更新済み CA 証明書を参照し、Import Certificate をク リックします。 CRL checking for client certificates で、この証明書に対して有効な CRL の詳細を表 示します。 Enable - IVE がこの CDP の CRL を使用するように設定されている場合は、 チェックマークが表示されます。 CRL Distribution Points - クライアント証明書が有効である CRL 配布点の場 所。このフィールドは、CDP から実行した最後の CRL ダウンロードの成否も 表します。 Status - CRL の状態(OK、No CRL、Expired、Download in progress)、CRL サイ ズ、および CRL 内にある失効の数を表します。 Configuration ページの設定 153 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. Last Updated - IVE が CRL 配布点から最後に CRL をダウンロードした時期を表 します。また、IVE の現行 CRL バージョンを保存できるリンクもあります。 Next Update - CRL 配布点で指定した間隔に基づいて、次のダウンロード時期 を示します。ダウンロード間隔は、CRL および IVE CRL 設定ページ(CRL Download Frequency)の両方で指定されます。Next Update 列の表示に関わらず、 この 2 つの値のうち小さい方が実際のダウンロード時間となります。 Client Certificate Status Checking セクションで、IVE がクライアント証明書を検証 するために使用するメソッドを、次から指定します。 None - IVE はこのトラステッド クライアント証明書を検証しません。 Use OCSP - IVE は OCSP メソッドを使用して、クライアント証明書を必要に応 じてリアルタイムに検証します。このオプションを選択すると、154 ページの 「OCSP オプションの指定」の説明に従って OCSP のオプションを指定できます。 Use CRLs - IVE はクライアント証明書を検証するために CRL を使用します。こ のオプションを選択すると、155 ページの「CDP オプションの指定」の説明に 従って OCSP のオプションを指定できます。 Use OCSP with CRL fallback - IVE は可能な場合 OCSP 検証メソッドを使用しま すが、OCSP メソッドが失敗した場合(たとえば、OCSP レスポンダへのリンク が失敗するなど)は、CRL を使用してクライアント証明書の検証を試みます。こ のオプションを選択すると、OCSP のオプション(154 ページの「OCSP オプ ションの指定」を参照)および CDP のオプション(155 ページの「CDP オプ ションの指定」を参照)を指定できます。 7. IVE にトラステッド クライアント CA を検証させるには、Verify Trusted Client CA オ プションを有効にします。 8. Save Changes をクリックします。 OCSP オプションの指定 153 ページの「トラステッド クライアント CA 証明書属性を指定する」の ステップ 6 で、 Use OCSP または Use OCSP with CRL fallback を選択すると、IVE は既知の OCSP レスポ ンダのリストを表示して、OCSP レスポンダの次のオプションの設定を可能にします。 154 Configuration ページの設定 1. OCSP レスポンダ設定を削除、有効化、または無効化するには、それぞれ Delete、 Enable、または Disable のボタンを使用します。 2. OCSP オプションを設定する場合は、OCSP Options をクリックします。OCSP Options ページが表示されます。 3. IVE がトラステッド クライアント CA の検証に使用する OCSP レスポンダのタイプ を、Use ドロップダウン リストで以下から選びます。 None - IVE はこの CA が発行した証明書のステータスの確認に OCSP を使用し ません。 Responder(s) specified in the CA certificate - IVE はインポートされたクライア ント CA で指定されている OCSP レスポンダを使用して検証を行います。このオ プションを選択すると、IVE はインポートされた CA(存在する場合)で指定さ れている OCSP レスポンダのリストと前回使用された時期を表示します。 Responder(s) specified in the client certificates - IVE はクライアント認証の際 に指定されたレスポンダを使用して、検証を実行します。このオプションを選択 すると、IVE は既知の OCSP レスポンダ(存在する場合)のリストと前回使用さ れた時期を表示します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 4. Manually configured responders - IVE は指定したアドレスでプライマリおよび セカンダリ OCSP レスポンダを使用します。 Options セクションで、IVE が証明書検証要求に識別子で署名するかどうかを指定 し、また IVE が検証の際に Nonce を使用するかどうかを指定します。 メモ : “Nonce” は、IVE が OCSP 要求に含めるランダムなデータで、OCSP レスポンダ は OCSP 応答で返します。IVE は要求と応答の Nonce を比較して、その応答が OCSP レスポンダにより生成されたことを確認します。両者が一致しない場合は、IVE は応答 を無視して、新しい要求を送信します。Nonces はリプレイ攻撃を防ぐための一般的な 方法です。 5. Save Changes をクリックします。 OCSP レスポンダ オプションの指定 1 つ以上の OCSP レスポンダに OCSP レスポンダ署名者証明書のオプションを指定するに は、次の操作を行います。 1. 設定する OCSP レスポンダの名前を OCSP responders リストでクリックします。 OCSP レスポンダのオプション指定ページが表示されます。 2. Responder Signer Certificate のネットワーク パスまたはローカル ディレクトリの場 所を参照します。これは、OCSP レスポンダが応答の署名に使用する証明書です。署 名者証明書が応答に含まれていない場合は、Responder Signer Certificate (レスポン ダ署名者証明書)を指定する必要があります。 3. レスポンダ署名者証明書に一致する OCSP レスポンダ証明書を許可したい場合は、 Trust Responder Certificate チェックボックスをオンにします。 4. IVE および OCSP レスポンダが使用している証明書が、最近失効されていないこと を確認するために、Revocation Checking オプションを有効にします。このオプ ションは、153 ページの「トラステッド クライアント CA 証明書属性を指定する」 の ステップ 6 で Use OCSP with CRL fallback オプションを指定した場合のみ、意 味があります。 5. クロック差を Allow clock discrepancy フィールドで指定して、IVE と OCSP レスポン ダ間のタイムスタンプの不一致を補正します。差が大きい場合は、IVE は OCSP レス ポンダからの応答を、古いまたは有効期限の切れたものとして無視します。 6. Save Changes をクリックします。 CDP オプションの指定 153 ページの「トラステッド クライアント CA 証明書属性を指定する」の ステップ 6 で、 Use CRLs または Use OCSP with CRL fallback を選択した場合は、クライアントサイド証 明書の継続的な有効性を確認するために、証明書失効リスト(CRL)を有効にして、CRL 配布点(CDPs)から定期的にダウンロードすることができます。 1. Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を 選択します。 2. CRL チェックを有効にしたい証明書に対応するリンクをクリックします。 メモ : IVE は CRL パーティションをサポートしているため、CRL distribution points に 複数の CRL が表示される場合があります。これは、失効リストのパーティション部分が 個別に識別されず、派生元の CDP として参照されるためです。 Configuration ページの設定 155 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. CRL Checking Options をクリックします。OCSP Checking Options ページが表示さ れます。 4. CRL Distribution Points で、IVE が CDP のアクセス情報を探す場所を指定します。オ プションには以下のものがあります。 No CDP (no CRL Checking) - このオプションを選択すると、IVE は、CA が発行 した CRL をチェックしないため、CRL を発行した CDP にアクセスするのに、パ ラメータを入力する必要がありません。 CDP(s) specified in the Trusted CA Client - このオプションを選択すると、IVE は、証明書内の CRL 配布点属性をチェックし、CRL Checking Options ページ内 で見つけた CDP の URI を表示します。CDP へのアクセスに必要なすべての情報 がその CA 証明書に含まれていない場合は、必要な追加情報を指定します。 CRL Attribute:(LDAP のみ)- CRL を含むオブジェクト上で LDAP 属性 (CertificateRevocationList など)を入力します。 Admin DN, Password:(LDAP のみ)- CDP サーバーが CRL の匿名検索を許 可していない場合は、CDP サーバーへの認証に必要な管理者 DN とパス ワードを入力します。 CDP(s) specified in client certificates - CDP へのアクセスに必要なすべての情 報がそのクライアント証明書に含まれていない場合は、必要な追加情報を指定し ます。 CDP Server: (LDAP のみ)- CDP サーバーの場所を入力します。LDAP プ ロトコルを使用する場合は、IP アドレスまたはホスト名(例 : ldap.domain.com)を入力します。 CDP Server(LDAP のみ)- CDP サーバーの場所を入力します。 LDAP プロ トコルを使用する場合は、IP アドレスまたはホスト名(例 : ldap.domain.com)を入力します。 CRL Attribute(LDAP のみ)- CRL を含むオブジェクト上で LDAP 属性 (例 : CertificateRevocationList)を入力します。 Admin DN, Password(LDAP のみ)- CDP サーバーが CRL の匿名検索を許 可していない場合は、CDP サーバーへの認証に必要な管理者 DN とパス ワードを入力します。 Manually configured CDP - このオプションを選択すると、指定した CDP に IVE がアクセスします。プライマリ CDP の URL を入力し、オプションでバック アップ CDP の URL を入力します。LDAP サーバーの場合は、 ldap://Server/BaseDN?attribute?Scope?Filter という構文を使用します。Web サーバーの場合は、CRL オブジェクトの完全パスを入力します。例: http://domain.com/CertEnroll/CompanyName%20CA%20Server.crl また、CDP サーバーが CRL の匿名検索を許可していない場合は、CDP サーバー への認証に必要な管理者 DN とパスワードを入力します(LDAP のみ)。 メモ : ある方法で CDP をダウンロードしてから別の方法を選択すると、IVE は、前の方 法でダウンロードされた CDP を削除します。 156 Configuration ページの設定 5. CRL Download Frequency フィールドで、IVE が CDP から CRL をダウンロードする 頻度を指定します。許容される範囲は 1 から 9999 時間です。 6. Save Changes をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド 7. クライアントサイド証明書に加えて、CA 証明書の有効性を、前の手順で指定した CRL でチェックしたい場合は、Trusted Client CA ページの Verify Trusted Client CA を選択します。 メモ : 中間証明書を検証するときには、チェーン内の中間証明書の上位にあるすべての CA 証明書に対して CRL が利用できるようにしておきます。CA 証明書を検証すると きに、IVE はチェーン内の証明書の上位にあるすべての発行 CA も検証します。 このオプションを選択しても、CRL チェックを有効にしないと、IVE は、CA の発行 者の CDP に対して CA 証明書をチェックします。発行元に対して有効な CRL がない 場合は、ユーザー認証に失敗します。 8. Save Changes をクリックします。IVE は、適当な場合、指定された方法で CRL をダ ウンロードし、CRL チェックの詳細情報を表示します(次のセクションを参照) 。 9. CDP から CRL を手動でダウンロードするには、Trusted Client CA ページの Update Now をクリックします(オプション)。 ユーザー領域のクライアント証明書を有効にする 1. Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を 選択します。 2. どの領域が証明書を使用してユーザーを認証するかを決め、Users> Authentication > [ 領域 ] > Authentication Policy > Certificate タブの設定を使 用して、それらの領域に対して証明書を有効にします。 3. ユーザーが認証、ロール アクセス、またはリソース ポリシー アクセスを行う場合に 提示する必要がある X.509 識別名(DN)属性を指定します。あるいは、ユーザー領 域に加え、管理者領域に対しても証明書認証を有効にするよう、X.509 識別名(DN) 属性を指定します(オプション)。 Trusted Server CAs タブ トラステッド サーバー CA 証明書を IVE へアップロード、トラステッド サーバー CA 証明 書の更新、証明書の削除、証明書の詳細の表示を行うには、Trusted Server CAs タブを使 用します。 トラステッド サーバー CA 証明書を IVE へアップロードする System > Configuration > Certificates > Trusted Server CAs タブを使用して、トラス テッド Web サイトの CA 証明書を IVE にインポートします。IVE は、X.509 CA 証明書を PEM(ベース 64)および DER(バイナリ)エンコード形式でサポートしています。IVE は、ユーザーがアントラステッド Web サイトにアクセスしようとした場合、どのように 対処するかを指定する必要があります。詳細については、401 ページの「証明書の制限」 を参照してください。 CA 証明書を IVE にアップロードするには、次の操作を行います。 1. Web コンソールで、System > Configuration > Certificates > Trusted Server CAs を 選択します。 2. Import Trusted Server CA をクリックします。 3. IVE にアップロードしたい CA 証明書を参照し、Import Certificate をクリックし ます。 Configuration ページの設定 157 Juniper Networks NetScreen Secure Access 700 管理ガイド トラステッド サーバー CA 証明書の更新 任意のトラステッド Web サイトが証明書を更新する場合、更新された証明書を IVE にも アップロードする必要があります。 更新された CA 証明書を IVE にインポートするには、次の操作を行います。 1. Web コンソールで、System > Configuration > Certificates > Trusted Server CAs を 選択します。 2. 更新したい証明書に対応するリンクをクリックします。 3. Renew Certificate をクリックします。 4. IVE にアップロードする更新済み CA 証明書を参照し、Import Certificate をクリック します。 トラステッド サーバー CA 証明書の削除 Internet Explorer 6 および Windows XP service pack 2 用に事前インストールされた証明書 を含め、IVE にインストールされた任意のトラステッド サーバー CA 証明書を削除する ことができます。 IVE からトラステッド サーバー CA 証明書を削除するには、次の操作を行います。 1. Web コンソールで、System > Configuration > Certificates > Trusted Server CAs を 選択します。 2. 削除したい証明書の横にあるチェックボックスをオンにします。 3. Delete をクリックして、証明書を削除してよいか確認します。 トラステッド サーバー CA 証明書の詳細を表示する IVE にインストールされている各 CA 証明書に関して、さまざまな詳細情報を表示でき ます。 トラステッド サーバー CA 証明書の詳細を表示するには、以下の操作を行います。 1. Web コンソールで、System > Configuration > Certificates > Trusted Server CAs を 選択します。 2. 表示したい証明書をクリックします。 3. Certificate で、以下のフィールド名の横にある矢印をクリックすると、証明書の詳細 が表示されます。 Issued To - 証明書の発行対象エンティティの名前と属性。 Issued By - 証明書を発行したエンティティの名前と属性。このフィールド の値は、Issued To フィールド(ルート証明書の場合) 、または、チェーン内 にある次の証明書の Issued To フィールド(中間証明書の場合)と一致する 必要があります。 158 Configuration ページの設定 Valid Dates - 証明書が有効な期間。証明書が期限切れの場合は、149 ページの 「既存の秘密鍵を使用する更新された証明書をインポートする」の手順を参照し てください。 Juniper Networks NetScreen Secure Access 700 管理ガイド Details - バージョン、シリアル番号、署名アルゴリズム、CRL 配布点、公 開鍵アルゴリズムの種類、公開鍵など、証明書の各種詳細情報が記載されて います。(IVE は、トラステッド サーバー CA 証明書の CRL チェックをサ ポートしません。) Code-Signing Certificates タブ 64 ページの「コード署名証明書」の説明にしたがって、System > Configuration > Certificates > Code-Signing Certificates タブを使用し、ユーザーに対するコード署名証 明書をインポートします。 コード署名証明書のインポート コード署名証明書をインポートするには、次の操作を行います。 1. Web コンソールで、System > Configuration > Certificates > Code-Signing Certificates を選択します。 2. Applet Signing Certificates で、Import Certificates をクリックします。 3. Import Certificates ページで、該当するコード署名証明書ファイルを参照し、パス ワード キー情報を入力して、Import をクリックします。 4. 証明書を正常にインポートすると、Sign Juniper Web Controls With ダイアログ ペイ ンが表示され、IVE の署名オプションを次のように指定できます。 5. Default Juniper Certificate - デフォルトの Juniper Networks 証明書を使用して IVE からの ActiveX と Java アプレットすべてに IVE が署名するよう指定するに は、このオプションを選択します。インポートしたコード署名証明書を前に選択 していて、このオプションに戻す場合は、Save をクリックした後に、IVE が要求 を処理しており、関連するコードすべてに再署名していることを示すプロセス アイコンが表示されます。このプロセスには数分かかる場合があります。 Imported Certificate - IVE が、ステップ 3 でインポートされた証明書を使用し て、すべての ActiveX と Java アプレットに署名するよう指定するには、このオプ ションを選択します。Save をクリックすると、IVE が要求を処理しており、関連 するコードすべてに再署名していることを示すプロセス アイコンが表示されま す。このプロセスには数分かかる場合があります。 以下のタブの設定を使用して、アプレット証明書でどのリソースを署名または再署名 するかを指定します。 Resource Policies > Web > Java > Code Signing(293 ページの「Code Signing タブ」を参照) Resource Policies > Web > Java > Applets(294 ページの「アプレット」を 参照) NCP タブ Instant Virtual Extranet は、次の内部プロトコルを使用して、IVE サーバーとクライアント アプリケーション間の通信を行います。 Network Communications Protocol (NCP) - IVE は、SSL を介した Network Connect との通信に NCP を使用します。 Optimized NCP (oNCP) - Optimized NCP (oNCP)は、プロトコル効率、接続処理、 およびデータの圧縮性能を向上させることにより、NCP を介したクライアント アプ リケーションのスループットを大幅に高めます。 Configuration ページの設定 159 Juniper Networks NetScreen Secure Access 700 管理ガイド NCP オプションをリモート クライアント用に設定する NCP オプションを設定するには、次の操作を行います。 1. Web コンソールで、System > Configuration > NCP を選択します。 2. NCP Auto-Select で、以下を選択します。 Auto-Select Enabled(推奨)- デフォルトで oNCP を使用します。このオプショ ンを選択すると、IVE が、ほとんどのクライアント / サーバー通信で oNCP を使 用し、必要に応じて標準 NCP に切り替わります。ユーザーがサポートされてい ないオペレーティング システムまたはブラウザ、あるいはそれらの両方を実行 している場合、またはクライアント アプリケーションが何らかの理由 (プロキ シの存在、タイムアウト、切断など)で IVE との TCP 接続を直接開くことがで きない場合には、IVE が NCP に戻します。 Auto-Select Disabled -常に標準 NCP を使用します。このオプションは、下位互 換性の確保を主な目的として提供されています。 メモ : Network Connect を使用してクライアント アクセスを提供する場合、Auto-select Disabled オプションの使用時には注意が必要です。Mac および Linux のクライアントは 従来の NCP プロトコルを使用して接続することができないためです。oNCP/NCP 自動選 択機能を無効した場合、UDP-to-oNCP/NCP のフェールオーバーが発生すると、IVE は UDP から NCP(oNCP ではない)にフェールオーバーするため、IVE は Macintosh と Linux はクライアントとの接続を切断します。 3. (Java クライアントの場合)Read Connection Timeout で、Java クライアントのタイ ムアウト間隔(15 ~ 120 秒)を設定します。クライアントサイド セキュア アクセス 方法で、IVE からデータが指定間隔で受信されない場合は、IVE との接続の再確立を 試みます。この値は、クライアント アプリケーションにおけるユーザーの無操作には 適用されません。 4. (Windows クライアントの場合)Idle Connection Timeout で、アイドル接続間隔を 設定します。このタイムアウト間隔により、クライアントサイド Windows セキュア アクセス方法において、IVE がアイドル接続を維持する時間が決定されます。 5. Save Changes をクリックします。 Client Types タブ Client Types タブを使用して、ユーザーがサインインする元のシステムの種類、およ び IVE ユーザーがサインインするときに IVE が表示する HTML ページの種類を指定で きます。 ユーザー エージェントの管理 ユーザー エージェントを管理するには、次の操作を行います。 160 Configuration ページの設定 1. Web コンソールで、System > Configuration > Client Types を選択します。 2. サポートするオペレーティング システムに対応するユーザー エージェント文字列を 入力します。必要に応じて、一般的あるいは具体的に指定にすることができます。た とえば、IVE のデフォルト設定である *DoCoMo* をすべての DoCoMo オペレーティ ング システムに適用したり、DoCoMo/1.0/P502i/c10 などの文字列を作成して、1 種 類の DoCoMo オペレーティング システムに適用することができます。文字列に、ワ イルドカード文字 “*” と “?” を使用できます。IVE では、ユーザー エージェント文字 列において大文字と小文字が区別されないので、注意してしてください。 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. 前の手順で指定したオペレーティング システムからサインインしたユーザーに対 して、IVE が表示する HTML の種類を指定します。オプションには以下のものが あります。 Standard HTML - IVE は、表、最大サイズのグラフィック、ActiveX コン ポーネント、JavaScript、Java、フレーム、Cookie など、すべての標準 HTML 機能を表示します。Firefox、Mozilla、Internet Explorer など、標準的なブラウ ザに最適です。 Compact HTML (imode) - IVE は小画面の HTML と互換性があるページを表示し ます。このモードでは、Cookie がサポートされません。さらに、表やグラフィッ クス、ActiveX コンポーネント、JavaScript、Java、VB スクリプト、フレームのレ ンダリングがサポートされません。(このオプションと Smart Phone HTML Basic オプションの唯一の違いは、ユーザー インターフェースです。)iMode ブ ラウザに最適です。 Mobile HTML (Pocket PC) - IVE は、表、小さなグラフィック、JavaScript、フ レーム、および Cookie が含まれる小画面の HTML と互換性のあるページを表示 しますが、このモードでは Java アプレットや ActiveX コンポーネントのレンダリ ングがサポートされません。Pocket PC のブラウザに最適です。 Smart Phone HTML Advanced - IVE は、表、小さなグラフィック、JavaScript、 フレーム、Cookie、および一部の JavaScript が含まれる小画面の HTML と互換性 のあるページを表示しますが、このモードでは Java アプレット、ActiveX コン ポーネント、VB スクリプトのレンダリングがサポートされません。Treo および Blazer ブラウザに最適です。 Smart Phone HTML Basic - IVE は小画面の HTML と互換性があるページを表示 します。このモードでは、Cookie がサポートされません。さらに、表やグラ フィックス、ActiveX コンポーネント、JavaScript、Java、VB スクリプト、フレー ムのレンダリングがサポートされません。(このオプションと Compact HTML オプションの唯一の違いは、ユーザー インターフェースです。)Symbian での Opera ブラウザに最適です。 メモ : IVE は、セッション ID を URL に含めるのに、Cookie を使用せず、ハイパーリン クを書き換えます。 4. IVE がユーザー エージェントを評価する順序を指定します。IVE は、リストで最初に ユーザーのシステムに一致する規則を適用します。たとえば、以下のユーザー エー ジェント文字列 /HTML タイプ マッピングを、次のような順序で作成できます。 a. ユーザー エージェント文字列:*DoCoMo* マッピング先:Compact HTML b. ユーザー エージェント文字列:DoCoMo/1.0/P502i/c10 マッピング先: Mobile HTML ユーザーが、2 行目で指定されているオペレーティング システムからサインインす ると、より強固なモバイル HTML ではなく、コンパクトな HTML ページが表示され ます。これは、そのユーザーのユーザー エージェント文字列が、リスト内の最初の 項目と一致するからです。 リスト内のマッピングを並び替えるには、項目の横のチェックボックスをオンにし、 上下矢印を使用して、リスト内の正しい場所に移動させます。 Configuration ページの設定 161 Juniper Networks NetScreen Secure Access 700 管理ガイド 162 Configuration ページの設定 5. コンパクト HTML を使用する iMode などのデバイスで入力されたパスワードをマス クするには、Enable password masking for Compact HTML チェックボックスをオン にします (このチェックボックスをオンにするかどうかに関係なく、コンパクト HTML マスク パスワードを使用しないデバイス)。iMode デバイスは、標準パスワー ド フィールドに数字データだけを許可しているため、iMode ユーザーのパスワード に数字以外の文字が含まれている場合は、パスワード マスクを無効にする必要があ ります。マスクを無効にしても、パスワードは安全に送信されますが、ユーザーの画 面上で非表示になりません。 6. Save Changes をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド Network ページの設定 Network ページには、以下のタブがあります。 163 ページの「Overview タブ」- 一般的なネットワーク設定を行うには、このタブ の設定を使用します。 164 ページの「Internal Port タブ」- 内部ポート用のネットワーク設定の修正、静的 ルートの指定、静的エントリの追加を行うには、これらのタブの設定を使用します。 165 ページの「External Port タブ」- 外部ポート用のネットワーク設定の修正、静的 ルートの指定、静的エントリの追加を行うには、これらのタブの設定を使用します。 166 ページの「Routes タブ」- 静的ルートを指定するには、このタブの設定を使用 します。 166 ページの「Hosts タブ」- IVE がローカルに解決するためにホスト名を指定する には、このタブの設定を使用します。 166 ページの「Network Connect タブ」- Network Connect インストーラのダウン ロード、Network Connect IP プールに適用する IP フィルタの指定、Network Connect サーバー IP アドレスの指定を行うには、このタブの設定を使用します。 Overview タブ 107 ページの「一般的なネットワーク設定を指定する」で説明されているように、一般的 なネットワーク設定を行うにはこのタブの設定を使用します。Status エリアには、以下の 項目の読み込み専用のステータスが表示されます。 Internal Port - 内部ポートのステータスと速度。 External Port - 外部ポートが使用されている場合、そのステータスと速度。 一般的なネットワーク構成の設定 一般的なネットワーク構成を設定するには、次の操作を行います。 1. Web コンソールで、System > Network > Overview を選択します。 2. Network Identity で、IVE の完全修飾ホスト名を入力します。 メモ : このフィールドで入力するホスト名は、30 文字を超えることはできません。 3. DNS Name Resolution セクションでは、IVE アプライアンスごとに、プライマリ DNS アドレス、セカンダリ DNS アドレス、およびデフォルト DNS ドメイン名を更新しま す。 これらのフィールドには、カンマ区切りのリスト形式で DNS ドメインを入力できま す。この場合、ドメインはリストに表示された順に検索されます。 4. Windows Networking で次の操作を行います。 ワークステーションの名前と場所を IP アドレス(該当する場合)に関連付けて いる、ローカルまたはリモートの Windows Internet Naming Service(WINS) サーバーについて、名前または IP アドレスを入力します。 Network ページの設定 163 Juniper Networks NetScreen Secure Access 700 管理ガイド IVE ドメインの中で、NETBIOS の呼び出しに応答し、ワークステーションの名前 と場所を IP アドレス ( 該当する場合 ) に関連付けている WINS サーバー、ドメイ ン コントローラ、または他のサーバーを選択するには、Master Browser(s) をク リックします。次に、Windows Networking > Specify Master Browser ページを 通じてマスター ブラウザを追加します。 5. IVE で Windows 共有フォルダを検索できるようにするには、Enable network discovery チェックボックスをオンにします。 6. Save Changes をクリックします。 Internal Port タブ 内部ポートのネットワーク設定を変更するには、以下の Internal Port サブタブを使用し ます。 164 ページの「Settings タブ」 164 ページの「ARP Cache タブ」 メモ : このページのほとんどのフィールドには、IVE のインストール時に指定した値が 事前に読み込まれています。 Settings タブ 内部ポート(LAN インターフェース)のネットワーク設定を変更するには、次の操作を 実行します。 1. Web コンソールで、System > Network > Internal Port > Settings を選択します。 2. Port Information セクションで、個々の IVE アプライアンスごとに IP アドレス、 ネットマスク、デフォルト ゲートウェイ設定を更新します。デフォルトでは、これら のフィールドには、IVE の設定時に指定した値が事前に入力されています。 3. Link Speed フィールドでは、内部ポートに使用する速度と二重通信の組み合わせを 指定します。 4. ARP Ping Timeout フィールドで、タイムアウトするまでに Address Resolution Protocol(ARP)要求に対する応答を IVE が待つ時間を指定します。 5. MTU フィールドに、IVE の内部インターフェースの最大送信単位を指定します。 メモ : トラブルシューティングのために設定を変更する必要がある場合を除き、デフォ ルトの MTU 設定(1500)を使用します。 6. Save Changes をクリックします。 ARP Cache タブ 静的エントリの追加 静的エントリを追加するには、次の操作を行います。 1. 164 Network ページの設定 Web コンソールで、System > Network > Internal Port > ARP Cache を選択します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 2. 表の上部にある IP Address フィールドと Physical Address フィールドに、IP アドレ スと物理アドレスをそれぞれ入力します。 メモ : 既存の IP アドレスが含まれるエントリを追加すると、既存のエントリが新しい エントリで上書きされます。また、MAC アドレスの有効性は検証されないので注意して ください。 3. Add をクリックします。 External Port タブ 外部ポートのネットワーク設定を変更するには、以下の External Port サブタブを使用し ます。 165 ページの「Settings タブ」 165 ページの「ARP Cache タブ」 Settings タブ 外部ポート(DMZ インターフェース)の有効化 外部ポートを有効にするには、次の操作を実行します。 1. Web コンソールで、System > Network > External Port > Settings を選択します。 2. Use External Port で Enable を選択します。 3. Port Information セクションで、IVE の外部ポートの IP アドレス、ネットマスク、 デフォルト ゲートウェイ情報を入力します。通常は、Internal Port > Settings ページ の設定をそのまま使用し、内部ポート情報をローカル IP アドレス、ネットマスク、 およびゲートウェイ情報に変更します。 4. Link Speed フィールドでは、外部ポートに使用する速度と二重通信の組み合わせを 指定します。 5. ARP Ping Timeout フィールドで、タイムアウトするまでに Address Resolution Protocol(ARP)要求に対する応答を IVE が待つ時間を指定します。 6. MTU フィールドに、IVE の外部インターフェースの最大送信単位を指定します。 メモ : トラブルシューティングのために設定を変更する必要がある場合を除き、デフォ ルトの MTU 設定(1500)を使用します。 7. Save Changes をクリックします。 ARP Cache タブ 静的エントリの追加 静的エントリを追加するには、次の操作を行います。 1. Web コンソールで、System > Network > External Port > ARP Cache を選択し ます。 Network ページの設定 165 Juniper Networks NetScreen Secure Access 700 管理ガイド 2. 表の上部にある IP Address フィールドと Physical Address フィールドに、IP アドレ スと物理アドレスをそれぞれ入力します。 メモ : 既存の IP アドレスが含まれるエントリを追加すると、既存のエントリが新しい エントリで上書きされます。また、MAC アドレスの有効性は検証されないので注意して ください。 3. Add をクリックします。 Routes タブ ネットワーク トラフィックの静的ルートを指定する 静的ルートを指定するには、次の操作を行います。 1. Web コンソールで、System > Network > Routes を選択します。 2. 宛先ルート テーブルを View route table for: ドロップダウン メニューから選択しま す。 3. New Route をクリックします。 4. 必要な情報を入力します。 5. Add to [ 宛先 ] route table をクリックします。 宛先ルート テーブルが、内部ポートあるいは外部ポートで使用できる場合があります。 Hosts タブ IVE によってローカルに解決されるホスト名を指定する IVE によってローカルに解決されるホスト名を指定するには、次の操作を行います。 1. Web コンソールで、System > Network > Hosts タブを選択します。 2. IP アドレス、IP アドレスに解決されるホスト名のカンマ区切りのリスト、および 200 語以下のコメント(オプション)を入力して、Add をクリックします。 Network Connect タブ Network Connect IP プールに適用する IVE の IP フィルタを指定するには、Network Connect タブを使用します。詳細については、83 ページの「Network Connect の概要」を 参照してください。 Network Connect インストーラのダウンロード Network Connect アプリケーションを Windows の実行可能ファイルとしてダウンロード するには、Maintenance > System > Installers を選択します。詳細については、336 ページの「アプリケーションまたはサービスをダウンロードする」を参照してください。 Network Connect IP プールに適用する IP フィルタを指定する Network Connect フィルタ リストに IP アドレスを追加するには、次の操作を行います。 1. 166 Network ページの設定 Web コンソールで、System > Network > Network Connect を選択します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 2. IP アドレスとネットマスクの組み合わせを指定して、Add をクリックします。この ページで指定したフィルタが、ユーザーの要求に対応する Network Connect IP プー ルのリソース ポリシーに適用されます。 Network Connect サーバー IP アドレスの指定 サーバーサイドの Network Connect プロセスは、サーバー IP アドレスを使用して、企業 リソースと通信します。このフィールドは、事前ロードされていますが、アドレスが NC Connection Profile として指定された IP アドレス プールに含まれないものである限り、そ のアドレスに変更することができます(322 ページの「Network Connect 接続プロファイ ルの作成」を参照)。 Network ページの設定 167 Juniper Networks NetScreen Secure Access 700 管理ガイド Log Monitoring ページの設定 Log Monitoring ページには、次のタブがあります。 168 ページの「Events、User Access、Admin Access、および NC Packet タブ」- ログ ファイルの保存や、ログ ファイルに保存するイベントの指定を行う場合に、これら のタブを使用します。 170 ページの「SNMP タブ」- SNMP エージェントとしての IVE を監視するには、こ のタブを使用します。 176 ページの「Statistics タブ」- システムの統計情報を表示するには、このタブを使 用します。 176 ページの「Client-Side Log タブ」- Host Checker、Cache Cleaner および Network Connect 機能について、クライアントサイド ログを有効にするには、このタブを使 用します。 IVE ログおよび監視機能については、110 ページの「ログと監視の概要」を参照してくだ さい。 Events、User Access、Admin Access、および NC Packet タブ System > Log/Monitoring > Events ページ、User Access ページ、Admin Access ページ、 NC Packet ページを使用して、ログ ファイルの保存、動的ログ クエリーの作成、ログ ファイルに保存するイベントの指定、カスタムのフィルタとフォーマットの作成を実行し ます。 Events Log、User Access Log、Admin Access Log、NC Packet Log の各ページには、次の タブがあります。 168 ページの「Log タブ」 169 ページの「Settings タブ」 メモ : イベント ログ、ユーザー アクセス ログ、および管理者アクセス ログは、3 つの 異なるファイルです。基本的な設定手順は同じですが、1 つのファイルの設定を変更し ても、他のファイルの設定は変更されません。各ファイルの内容については、110 ペー ジの「ログと監視の概要」を参照してください。 Log タブ ログ ファイルの保存、表示、またはクリア イベント ログ ファイルを保存、表示、またはクリアするには、次の操作を行います。 168 Log Monitoring ページの設定 1. Web コンソールで、System > Log/Monitoring を選択します。 2. Events Log、User Access Log、Admin Access Log、または NC Packet Log タブをク リックし、Log をクリックします。 3. IVE が一度に表示するログ エントリの数を変更する場合は、Show フィールドに数値 を入力して、Update をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド 4. ログ ファイルを手動で保存するには、Save Log As をクリックし、目的のネットワー ク ディレクトリに移動して、ファイル名を入力し、Save をクリックします。 メモ : 4 つのログ ファイル Events Log、User Access Log、Admin Access Log、NC Packet Log をすべて保存するには Save All Logs をクリックします。IVE が圧縮したログ ファイルを保存する場所を指定するよう、要求します。Save All Logs ボタンには、4 つ のログ タブのいずれからもアクセスすることが可能です。 5. ローカル ログと log.old ファイルをクリアするには、Clear Log をクリックします。 メモ : ローカル ログをクリアしても、syslog サーバーによって記録されたイベントには 影響はありません。以降のイベントは新しいローカル ログ ファイルに記録されます。 Settings タブ ログ ファイルに保存するイベントの指定 Settings タブのオプションを使用して、IVE によってログ ファイルに書き込まれるデー タ、ログ ファイルを格納するのに使用する syslog サーバー、および最大ファイル サイズ を指定します。 メモ : Archiving ページを使用して、FTP でアクセス可能な場所にログを自動的に保存 することもできます。詳細については、349 ページの「Archiving ページの設定」を参照 してください。 イベント ログ設定を指定するには、次の操作を行います。 1. Web コンソールで、System > Log/Monitoring を選択します。 2. Events Log、User Access Log、Admin Access Log、または NC Packet Log タブをク リックし、Settings をクリックします。 3. Maxium Log Size リストから、ローカル ログ ファイルの最大ファイル サイズを指 定します(上限は 500MB)。システム ログには、指定した最大量のデータが表示さ れます。 4. Select Events to Log で、ローカル ログ ファイルに取り込むイベントの種類をチェッ クボックスで選択します。 メモ : Events Log タブで Statistics チェックボックスを無効にした場合、IVE は統計情報 をログ ファイルには書き込みませんが、引き続き System > Log/Monitoring > Statistics タブに表示します。詳細については、176 ページの「Statistics タブ」を参照し てください。 メモ : Settings タブの Select Events to Log 部分は NC Packet ページには適用されませ ん。これは、Network Connect パケットのロギングが、管理目的のロギングではなく、 クライアントサイドのパケット アクティビティに重点を置いたロギングのためです。 Log Monitoring ページの設定 169 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. Syslog Servers で、ログ ファイルを格納する syslog サーバーの情報を入力します(オ プション)。 a. syslog サーバーの名前または IP アドレスを入力します。 b. サーバーのファシリティを入力します。IVE には、8 つのファシリティ(LOCAL0 ~ LOCAL7)が用意されています。これらのファシリティは、syslog サーバー上 のファシリティにマッピングできます。 c. Add をクリックします。 d. 必要に応じて、異なるフォーマットやフィルタを使用して、他のサーバーについ て上記の操作を繰り返します。 メモ : syslog サーバーが次のような設定でメッセージを受け入れるようになっているこ とを確認してください。facility = LOG_USER および level = LOG_INFO。 6. Save Changes をクリックします。 SNMP タブ SNMP エージェントとしての IVE の監視 HP OpenView などのネットワーク管理ツールを使用して、SNMP エージェントとして IVE を監視するには、このタブを使用します。IVE は、SNMP(Simple Network Management Protocol)v2 をサポートし、プライベート MIB(管理情報ベース)を実装して、独自のト ラップを定義します。ネットワーク管理ステーションでこれらのトラップを処理できるよ うにするには、Juniper Networks MIB ファイルをダウンロードし、トラップを受信するた めの適切な情報を指定する必要があります。 メモ : CPU の使用状況など、IVE に関する重要なシステム統計情報を監視するには、UCDavis MIB ファイルを SNMP 管理アプリケーションにロードします。MIB ファイル は、次の URL からダウンロードできます。 http://net-snmp.sourceforge.net/docs/mibs/UCD-SNMP-MIB.txt IVE は、システム アップタイム オブジェクトを含む、標準 MIB オブジェクトをサ ポートします。 SNMP 設定を指定するには、次の操作を行います。 1. Web コンソールで、System > Log/Monitoring > SNMP を選択します。 2. Juniper Networks MIB file リンクをクリックして MIB ファイルにアクセスし、ブラウ ザからネットワークにファイルを保存します。MIB ファイルの Get オブジェクトと Trap オブジェクトの説明は、172 ページの「構成オブジェクト」および 174 ページの 「ステータス / エラー オブジェクト」を参照してください。 3. Agent Properties で以下のフィールドに情報を入力して、Save Changes をクリック します。 170 Log Monitoring ページの設定 System Name、System Location、および System Contact の各フィールドに、 IVE エージェントに関する情報を入力します(オプション) 。 Juniper Networks NetScreen Secure Access 700 管理ガイド Community フィールドに文字列を入力します(必須)。 メモ : IVE を照会するには、ネットワーク管理ステーションからこの文字列を IVE に送 信する必要があります。 メモ : SNMP システムを停止するには、Community フィールドをクリアします。 4. Trap Thresholds で、次のトラップに値を設定します(オプション)。 Check Frequency Log Capacity Users Memory Swap Memory Disk Meeting Users CPU トラップの閾値については、172 ページの「構成オブジェクト」および 174 ページの 「ステータス / エラー オブジェクト」を参照してください。 5. Optional traps で、次のいずれか、あるいは両方のオプションを選択します。 Critical Log Events Major Log Events これらのイベント タイプについての詳細は、110 ページの「ログと監視の概要」を参 照してください。 6. SNMP Servers で以下のフィールドに情報を入力し、IVE が生成するトラップの送信先 となるサーバーを指定して、Add をクリックします。 サーバーのホスト名または IP アドレス サーバーがリスンするポート ( 通常はポート 162) ネットワーク管理ステーションで必要なコミュニティ文字列(該当する場合) 7. Save Changes をクリックします。 8. ネットワーク管理ステーションで、次の操作を行います。 a. Juniper Networks MIB ファイルをダウンロードします。 b. IVE の照会時に必要なコミュニティ文字列を指定します(ステップ 3 を参照) 。 c. IVE トラップを受信するようにネットワーク管理ソフトウェアを設定します。 Log Monitoring ページの設定 171 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 4: 構成オブジェクト オブジェクト 説明 logFullPercent 利用可能なファイル サイズのうち現在のログが使用し ている割合を logNearlyFull トラップのパラメータとして 返します。 signedInWebUsers Web ブラウザで IVE にサインインしているユーザー数 を返します。 signedInMailUsers E メール クライアントにサインインしているユーザー 数を返します。 blockedIP iveToomanyFailedLoginAttempts トラップによって送信さ れた(ログインに連続失敗したためにブロックされた) IP アドレスを返します。システムは、ブロックされた IP アドレスを blockedIPList テーブルに追加します。 authServerName externalAuthServerUnreachable トラップによって送信さ れた外部認証サーバーの名前を返します。 ProductName ライセンス登録している IVE 製品の名前を返します。 ProductVersion IVE システム ソフトウェアのバージョンを返します。 fileName archiveFileTransferFailed トラップによって送信された ファイル名を返します。 172 Log Monitoring ページの設定 meetingUserCount meetingUserLimit トラップによって送信された同時ミー ティング ユーザーの数を返します。 iveCpuUtil 2 つの SNMP ポールの間に発生した CPU 使用率を返し ます。この値は、CPU 使用量を現在および以前の SNMP ポール間に利用可能な CPU 容量で割った値です。以前 のポールがない場合は、現在のポールとシステム ブー トの間隔に基づいて計算されます。 iveMemoryUtil SNMP ポール時の IVE によって使用されたメモリーの 使用率を返します。システムはこの値を、使用されたメ モリー ページの数を使用可能なメモリー ページの数で 除算して求めます。 iveConcurrentUsers IVE ノードにログインしたユーザーの合計数を返し ます。 clusterConcurrentUsers クラスタにログインしたユーザーの合計数を返します。 iveTotalHits 最後にリブートしてから IVE にヒットした合計数を返 します。 iveFileHits 前回の再起動からの IVE へのファイル ヒットの合計数 を返します。 iveWebHits 前回の再起動からの Web インターフェースを経由した ヒットの合計数を返します。 iveAppletHits 前回の再起動からの IVE へのアプレット ヒットの合計 数を返します。 ivetermHits 前回の再起動からの IVE へのターミナル ヒットの合計 数を返します。 iveSAMHits 前回の再起動からの IVE への Secure Application Manager ヒットの合計数を返します。 iveNCHits 前回の再起動からの IVE への Network Connect ヒット の合計数を返します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 4: 構成オブジェクト ( 続き ) オブジェクト 説明 meetingHits 前回の再起動からの IVE へのミーティング ヒットの合 計数を返します。 meetingCount meetingLimit トラップによって送信された同時ミーティ ングの数を返します。 logName logNearlyFull および iveLogFull トラップのログ (admin/user/event)の名前を返します。 iveSwapUtil SNMP ポール時の IVE によって使用されたスワップ メ モリー ページの使用率を返します。この値は、スワッ プ メモリー ページの数を使用可能なスワップ メモリー ページの数で割った値です。 diskFullPercent iveDiskNearlyFull トラップの IVE で使用されたディスク 容量の使用率を返します。この値は、使用したディスク 容量ブロック数を、ディスク容量ブロックの合計数で 割った値です。 blockedIPList 最近ブロックされた IP アドレス 10 個を含んだテーブ ルを返します。blockedIP MIB は、ブロックされた IP ア ドレスをこのテーブルに追加します。 ipEntry ブロックされた IP アドレスとそのインデックスを含む blockedListIP テーブルのエントリ(IPEntry を参照) 。 IPEntry ipIndex ipValue blockedIPList テーブルのエントリのインデックス 。 (ipIndex)および IP アドレス(ipValue) blockedIPList テーブルのインデックスを返します。 blockedIPList テーブルのブロックされた IP アドレスの エントリ。 logID logMessageTrap トラップによって送信されたログ メッ セージの固有 ID を返します。 logType logMessageTrap トラップによって送信された文字列に、 ログ メッセージがメジャーかクリティカルなものかを 記述して返します。 logDescription logMessageTrap トラップによって送信された文字列に、 ログ メッセージがメジャーかクリティカルなものかを 記述して返します。 ivsName 仮想システムの名前を返します。 ocspResponderURL OCSP システムのレスポンダ名を返します。 fanDescription IVE のファンの状態を返します。 psDescription IVE の電源の状態を返します。 raidDescription IVE RAID デバイスの状態を返します。 Log Monitoring ページの設定 173 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 5: ステータス / エラー オブジェクト オブジェクト 説明 iveLogNearlyFull logName パラメータによって指定されたログ ファイル (システム、ユーザー アクセス、または管理者アクセ ス)は、ほぼ 100 % 使用されています。このトラップ が送信されると、logFullPercent(ログ ファイルの使用 率 %)パラメータも送信されます。任意のパーセント でこのトラップが送信されるよう、設定できます。ト ラップを無効にするには、iveLogNearlyFull を 0% に設 定します。トラップのデフォルト値は 90% です。 iveLogFull logName パラメータによって指定されたログ ファイル (システム、ユーザー アクセス、または管理者アクセ ス)は 100% 使用されています。 iveMaxConcurrentUsersSignedIn 最大ユーザー数または許可された数の同時ユーザーが、 現在サインインしています。任意のパーセントでこのト ラップが送信されるよう、設定できます。トラップを無 効にするには、iveMaxConcurrentUsersSignedIn を 0% に 設定します。トラップのデフォルト値は 100% です。 iveTooManyFailedLoginAttempts 特定の IP アドレスを持つユーザーが何度もサインイン に失敗しています。ユーザーが認証に失敗すると、 Security Options タブの Lockout options の設定に従っ て、トリガーされます。(146 ページの「Lockout オプ ションの設定」を参照してください。) システムがこのトラップをトリガーする場合、 blockedIP(ログインを試行している送信元の IP)パラ メータもトリガーします。 externalAuthServerUnreachable 外部認証サーバーが認証要求に応答していません。 システムがこのトラップを送信する場合、 authServerName(ログ ファイルの使用率 %) (アクセ ス不能なサーバーの名前)パラメータも送信します。 174 Log Monitoring ページの設定 iveStart IVE が起動されました。 iveShutdown IVE がシャットダウンされました。 iveReboot IVE が再起動されました。 archiveServerUnreachable IVE が設定された FTP アーカイブ サーバーまたは SCP アーカイブ サーバーにアクセスできません。 archiveServerLoginFailed IVE が設定された FTP アーカイブ サーバーまたは SCP アーカイブ サーバーにログインできません。 archiveFileTransferFailed IVE が設定された FTP アーカイブ サーバーまたは SCP アーカイブ サーバーに正常にアーカイブ ファイルを転 送できません。システムがこのトラップを送信するとき は、fileName パラメータも送信します。 meetingUserLimit ユーザー数がライセンスの制限を越えている旨の通知 を送ります。システムがこのトラップを送信するとき は、meetingUserCount パラメータも送信します。 iveRestart 管理者の指示に従って IVE が再起動した旨の通知を送 ります。 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 5: ステータス / エラー オブジェクト ( 続き ) オブジェクト 説明 meetingLimit 同時ミーティング数がライセンスの制限を越えてい る旨の通知を送ります。システムがこのトラップを送 信するときは、meetingCount パラメータも送信しま す。任意のパーセントでこのトラップが送信されるよ う、設定できます。トラップを無効にするには、 meetingLimit を 0% に設定します。トラップのデフォ ルト値は 100% です。 iveDiskNearlyFull IVE のディスク ドライブ容量のほとんどが使用されて いる旨の通知を送ります。システムがこのトラップを送 信するときは、diskFullPercent パラメータも送信しま す。任意のパーセントでこのトラップが送信されるよ う、設定できます。トラップを無効にするには、 iveDiskNearlyFull を 0% に設定します。このトラップの デフォルト値は 80% です。 iveDiskFull IVE のディスク ドライブ容量のほとんどが使用されて いる旨の通知を送ります。 logMessageTrap ログメッセージから生成したトラップ システムがこの トラップを送信するときは、logID、logType、および logDescription パラメータも送信します。 memUtilNotify システムが設定されたメモリー使用率のしきい値に達 した旨の通知を送ります。トラップを無効にするには、 memUtilNotify を 0 に設定します。デフォルトのしきい値 は 0% です。 cpuUtilNotify システムが設定された CPU 使用率のしきい値に達した 旨の通知を送ります。トラップを無効にするには、 cpuUtilNotify を 0 に設定します。デフォルトのしきい値 は 0% です。 swapUtilNotify システムが設定されたスワップ ファイル メモリー使用 率のしきい値に達した旨の通知を送ります。トラップを 無効にするには、swapUtilNotify を 0 に設定します。デ フォルトのしきい値は 0% です。 iveMaxConcurrentUsersVirtualSystem 仮想システムに許可される最大数の同時ユーザーが IVS にサインインしている旨の通知を送ります。 ocspResponderUnreachable OCSP レスポンダが応答していない旨の通知を送り ます。 iveFanNotify ファンの状態が変更した旨の通知が送信されました。 ivePowerSupplyNotify 電源の状態が変更した旨の通知を送ります。 iveRaidNotify RAID デバイスの状態が変更した旨の通知を送ります。 Log Monitoring ページの設定 175 Juniper Networks NetScreen Secure Access 700 管理ガイド Statistics タブ システム統計情報の表示 Statistics ページには、過去 7 日間にサインインしたユーザーの数が表示されます。この 情報は、1 週間に 1 度システム ログに書き込まれます。IVE をアップグレードすると、す べての統計情報がクリアされます。1 時間ごとに統計情報を記録するようシステムを設定 した場合、アップグレード後も以前の統計情報をログ ファイルから呼び出すことができ ます。 システム統計を表示するには、次の操作を行います。 1. Web コンソールで、System > Log/Monitoring > Statistics を選択します。 2. すべてのデータを表示するには、ページをスクロールしてください。 Client-Side Log タブ Host Checker、Cache Cleaner、Network Connect 機能について、クライアントサイドのロ ギングを有効にするには、System > Log/Monitoring > Client-side Log タブを使用しま す。ある機能に対してこのオプションを有効にすると、IVE はその機能を使用するクライ アントにクライアントサイド ログを作成します。IVE は、以降のユーザー セッションで機 能が呼び出されるたびに、ログ ファイルに記述します。この機能は、サポート チームと 協力して各機能の問題をデバッグするときに有用です。 メモ : これらの設定はグローバルなので、IVE は、クライアントサイド ロギングを有効に した機能を使用するすべてのクライアントに、ログ ファイルを作成します。また、 IVE は、クライアントサイド ログを削除しません。ユーザーは、クライアントから ログ ファイルを手動で削除する必要があります。IVE がログ ファイルをインストー ルする場所については、387 ページの「クライアント サイドのアプリケーション インストール」を参照してください。 Network Connect ユーザーがクライアントサイドのロギングをオフにする場合 (以下の手順で IVE のロギングを有効にした場合でも)、クライアントは新しいク ライアントサイドのログ情報を記録することはありません。ユーザーがロギング 機能をオンにし、その後 IVE がクライアントサイドのロギングを無効にするよう に設定されている場合、クライアントは新しいクライアントサイドのログ情報を 記録しません。 クライアントサイド ロギング設定の指定 グローバルなクライアントサイド ロギングの設定を指定するには、次の操作を行います。 1. Web コンソールで、System > Log/Monitoring > Client-side Log を選択します。 2. IVE にクライアントサイド ログを作成させたい機能を選択します。 3. これらの設定をグローバルに保存するには、Save Changes をクリックします。 メモ : 新しいシステムでは、すべてのオプションがデフォルトで無効 になっています。 176 Log Monitoring ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド Log Monitoring ページの設定 177 Juniper Networks NetScreen Secure Access 700 管理ガイド 178 Log Monitoring ページの設定 第7章 Signing In 設定 Web コンソールの Signing In セクションの設定を使用して、サインイン ポリシーおよび ページの設定、エンドポイント検証オプションの設定、認証サーバーのセットアップを行 うことができます。 目次 181 ページの「Sign-in ページの設定」 184 ページの「End Point ページの設定」 204 ページの「AAA Servers ページの設定」 第 7 章 : Signing In 設定 179 Juniper Networks NetScreen Secure Access 700 管理ガイド 180 第 7 章 : Signing In 設定 Juniper Networks NetScreen Secure Access 700 管理ガイド Sign-in ページの設定 Sign-in ページには、次のタブがあります。 181 ページの「Sign-in Policies タブ」- サインイン ポリシーを作成、設定するには、 このタブを使用します。 182 ページの「Sign-in Pages タブ」- 標準サインイン ページを作成または変更する には、このタブを使用します。 Sign-in Policies タブ サインイン ポリシーを作成、設定するには、このタブを使用します。サインイン ポリ シーでは、50 ページの「サインイン ポリシーの概要」の説明のように、ユーザーおよび 管理者が IVE にアクセスする際に使用する URL を定義します。 管理者およびユーザーのサインイン ポリシーを設定する 管理者およびユーザーのサインイン ポリシーを設定するには、次の操作を行います。 1. Web コンソールで、Signing In > Sign-in > Sign-in Policies を選択します。 2. Administrator URLs または User URLs 列の URL をクリックします。 3. このポリシーに関連付けられた URL を変更します(オプション) 。 4. ポリシーの Description を入力します(オプション)。 5. Sign-in Page を選択します。IVE に付属のデフォルトのページか、標準サインイン ページに変更を加えたページを選択することができます。詳細については、182 ペー ジの「Sign-in Pages タブ」を参照してください。 6. Authentication realm で、ポリシーにマッピングする領域を指定し、ユーザーと管理 者が領域から選択する方法を指定します。以下の選択肢があります。 User types the realm name - サインイン ポリシーはすべての認証領域にマッピ ングされますが、IVE は、ユーザーまたは管理者が選択可能な領域のリストを提 供しません。そのためユーザーまたは管理者は、領域の名前を手動でサインイン ページに入力する必要があります。 User picks from a list of authentication realms - IVE は選択された認証領域にの みサインイン ポリシーをマッピングします。IVE は、ユーザーまたは管理者が IVE にサインインするときに、この領域のリストを提示し、ユーザーまたは管理 者はこのリストから領域を選択することができます。(URL が 1 つの領域だけに マッピングされている場合には、IVE が認証領域のドロップダウン リストを表示 ので注意してください。指定された領域が、自動的に使用されます。) メモ : ユーザーが複数の領域から選択できるよう設定し、それらの領域の 1 つが匿名の 認証サーバーを使用している場合は、IVE はドロップダウン領域リストでその領域を表 示しません。サインイン ポリシーを匿名領域に有効にマッピングするには、 Authentication realm リストにその領域だけを加える必要があります。 7. Save Changes をクリックします。 Sign-in Policies タブ 181 Juniper Networks NetScreen Secure Access 700 管理ガイド メモ : ユーザーがサインインを試みたときに、同じログイン資格情報を持つ別のユー ザー セッションがアクティブである場合、IVE は既存のセッションの IP アドレスを含 む警告を、2 つのボタン Continue と Cancel とともに表示します。Cancel ボタンをク リックすると、現在のサインイン プロセスを終了して、Sign-in ページにリダイレクト されます。Continue ボタンをクリックすると、IVE は新しいユーザー セッションを作成 し、既存のセッションを終了します。 サインイン ポリシーの有効化と無効化 サインイン ポリシーの有効あるいは無効にするには、次の操作を行います。 1. Web コンソールで、Signing In > Sign-in > Sign-in Policies を選択します。 2. 有効化または無効化を行うには、次の操作を行います。 An individual policy - 変更するポリシーの横にあるチェックボックスを選択し て、Enable または Disable をクリックします。 All user and meeting policies - ページの上部にある Restrict access to administrators only チェックボックスをオンまたはオフにします。 Sign-in Pages タブ 標準サインイン ページを作成または変更するには、このタブを使用します。「サインイン ページ」では、50 ページの「サインイン ページ」の説明にあるように、Welcome テキス ト、ヘルプ テキスト、ロゴ、ヘッダー、およびフッターなど、エンドユーザーの Welcome ページをカスタマイズするプロパティを定義します。 標準サインイン ページの作成または変更 標準サインイン ページを作成または変更するには、次の操作を行います。 1. Web コンソールで、Signing In > Sign-in > Sign-in Pages を選択します。 2. 次のいずれかの操作を実行します。 新しいページを作成する場合 - New Page をクリックします。 既存のページを変更する場合 - 変更するページに対応するリンクを選択します。 3. ページを識別する名前を入力します。 4. Custom Text セクションで、画面ラベルとして表示されるデフォルトのテキストを変 更します。Instructions フィールドにテキストを追加する場合は、以下の HTML タグ を使用してテキストをフォーマットし、リンクを追加することができます。<i>、 <b>、<br>、<font>、および <a href>。ただし、IVE はサインイン ページのリンクを 再書き込みしないので(ユーザーがまだ認証されていないため)、外部にあるサイト をポイントするだけにしてください。ファイアウォールの後方にあるサイトへのリン クは失敗します。 メモ : サポートされていない HTML タグをカスタム メッセージで使用する場合、IVE は エンドユーザーの IVE ホームページを正しく表示できない場合があります。 5. 182 Sign-in Pages タブ Header appearance セクションで、ヘッダーのカスタム ロゴ イメージ ファイルと ヘッダーの色を指定します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. Custom error messages セクションで、証明書エラーが発生したときにユーザーに表 示されるデフォルトのテキストを変更します。 7. ユーザーに対してカスタム ヘルプまたは追加の指示を表示するには、Show Help button を選択して、ボタンのラベルを入力し、IVE にアップロードする HTML ファ イルを指定します。この HTML ページで参照されるイメージやその他のコンテンツは IVE には表示されません。 8. Save Changes をクリックします。変更はすぐに反映されますが、アクティブ セッ ション中のユーザーはその Web ブラウザを最新の情報に更新する必要があります。 メモ : Restore Factory Defaults をクリックすると、サインイン ページ、IVE ユーザー ホームページ、および Web コンソールの外観が元の状態にリセットされます。 Sign-in Pages タブ 183 Juniper Networks NetScreen Secure Access 700 管理ガイド End Point ページの設定 End Point ページには、次のタブがあります。 184 ページの「Host Checker タブ」- Host Checker オプションの指定および Host Checker ポリシーの作成には、このタブを使用します。 202 ページの「Cache Cleaner タブ」- Cache Cleaner オプションを指定するには、こ のタブを使用します。 Host Checker タブ Signing In > End Point > Host Checker タブのオプションで以下を行うことができます。 184 ページの「Host Checker の一般的なオプションを指定する」 186 ページの「既定のクライアントサイド ポリシーを有効にする(Windows のみ)」 189 ページの「新しいクライアントサイド ポリシーの作成と設定」 197 ページの「カスタマイズしたサーバー サイド ポリシーを有効にする」 200 ページの「改善オプションの指定」 メモ : Host Checker のインストールや、領域およびロール レベルにおける Host Checker の有効化など、Host Checker の追加のオプションを設定する方法については、74 ペー ジの「タスク サマリー:Host Checker の設定」を参照してください。 Host Checker の一般的なオプションを指定する 認証ポリシーまたはロール マッピング規則に Host Checker を必要とするユーザーに適用 するための、Host Checker のグローバル オプションを指定できます。 Host Checker の一般的な オプションを指定するには、以下を行います。 1. Web コンソールで、Signing In > End Point > Host Checker を選択します。 2. Options で、次の操作を行います。 184 Host Checker タブ Perform check every X minutes フィールドで、クライアント マシンで Host Checker を実行する間隔を指定します。クライアント マシンが、ロールまたはリ ソース ポリシーの要求される Host Checker ポリシーの条件を満たさない場合、 IVE は、関連ユーザーからの要求を拒否します。 Juniper Networks NetScreen Secure Access 700 管理ガイド たとえば、ロール A にマッピングして、外部からネットワークに接続するには、 ユーザーが特定のサードパーティ ウイルス駆除 アプリケーションを実行する必 要があるように設定できます。ユーザが IVE にサインインしたときに、ユーザの クライアント マシンが必須のアンチウィルス アプリケーションを実行している 場合は、そのユーザがロール A にマッピングされ、ロール A に対して有効なす べてのアクセス機能が与えられます。ただし、ユーザー セッション中にアンチ ウィルス アプリケーションが動作を停止した場合は、次回 Host Checker が実行 されたときに、ユーザーはロール A のセキュリティ要件を満たしておらず、 ロール A に対して付与されているすべてのアクセス権限を失います。 メモ : ゼロ値を入力すると、ユーザーが初めて IVE にサインインしたときにのみ Host Checker がクライアント マシンで実行されます。 Client-side process, login inactivity timeout フィールドでタイムアウト間隔を指 定します。Host Checker の起動後 IVE にサインインする前に、IVE サインイン ページから移動した場合、Host Checker は指定した間隔でユーザー マシンで引 き続き実行します。 IVE の Host Checker のバージョンが、クライアントにインストールされている バージョンよりも新しいときに、IVE に Host Checker アプリケーションを自動的 にクライアント マシンへダウンロードさせたい場合は、Auto-upgrade Host Checker をオンにします。このオプションを有効にする場合には、次の点に注意 する必要があります。 3. IVE がクライアントで Host Checker アプリケーションを自動インストールす るには、ユーザーに管理者権限が必要となります。詳細については、387 ページの「アプリケーションを実行、インストールするために必要な権利」 を参照してください。 Host Checker をアンインストールした後で IVE にサインインする場合、この IVE で Auto-upgrade Host Checker オプションが有効でない限り Host Checker にアクセスすることはできません。 Host Checker の動的ポリシー評価を有効にして個別ユーザーのロールを自動的に 更新するには、Perform dynamic policy reevaluation をオンにします。ユーザー の Host Checker の状態が変更された場合は、Host Checker は IVE をトリガーし て、リソース ポリシーを評価させることができます。(このオプションを選択し ない場合、IVE は リソース ポリシーを評価しませんが、Host Checker ステータ スが変わる場合には常に認証ポリシー、ロール マッピング規則、ロール制限を 評価します。)詳細については、40 ページの「動的ポリシー評価」を参照してく ださい。 Save Changes をクリックします。 Host Checker タブ 185 Juniper Networks NetScreen Secure Access 700 管理ガイド 既定のクライアントサイド ポリシーを有効にする(Windows のみ) IVE には、定義済みの 2 種類のクライアントサイド Host Checker ポリシーがあらかじめ 装備されています。これらを使用するには単に有効化するだけで、作成や設定は必要あり ません。接続コントロール ポリシーは、同じネットワークにある感染したコンピュータか らの Windows クライアント コンピュータへの攻撃を防ぎます。アドバンスト エンドポイ ント防御 マルウェア防止ポリシーは、クライアントのコンピュータに Whole Security 社 の Confidence Online ソフトウェアをダウンロードします。このソフトウェアは、ワーム、 ウィルス、キーロガー ソフトウェア、画面キャプチャ ソフトウェア、トロイの木馬など の不正なソフトウェアから、ユーザーを保護します。 メモ : 接続コントロール ポリシーとアドバンスト エンドポイント防御 マルウェア検出 ポリシーは、Windows システムでのみ利用できます。 接続コントロール ポリシーの有効化 あらかじめ定義されている Host Checker 接続コントロール ポリシーは、同じ物理ネット ワーク上にある感染したコンピュータからの Windows クライアント コンピュータへの攻 撃を防ぎます。Host Checker 接続コントロール ポリシーはすべての着信 TCP 接続と、す べての着信および送信 UDP パケットをブロックします。このポリシーは、すべての送信 TCP と Network Connect トラフィック、および DNS サーバー、WINS サーバー、DHCP サーバー、プロキシ サーバー、IVE へのすべての接続を許可します。 メモ : クライアント コンピュータで Host Checker が接続コントロール ポリシーを実行 するには、ユーザーに管理者権限が必要です。 既定の Host Checker 接続コントロール ポリシーを有効にするには、以下を行います。 1. Web コンソールで、Signing In > End Point > Host Checker を選択します。 2. Options で、Create Host Checker Connection Control Policy チェックボックスを選 びます。 3. Save Changes をクリックします。IVE が Host Checker 接続コントロールポリシーを 有効にします。 メモ : このポリシーを変更することはできません。有効あるいは無効に設定することの み可能です。また、このポリシーは変更できないため、Signing In > End Point > Host Checker ページの Policies セクションで、他の設定可能なポリシーと一緒に表示される ことはありません。 4. 403 ページの「Host Checker の制限」に記載されたオプションを使用して、ポリシー を領域あるいはロール レベルで適用します。(クライアント コンピュータ上で接続 コントロール ポリシーを有効にするには、少なくとも領域レベルで評価あるいは実 行する必要があります。) メモ : (クライアント コンピュータ上で接続コントロール ポリシーを有効にするには、 領域レベルで評価あるいは実行する必要があります。) 186 Host Checker タブ Juniper Networks NetScreen Secure Access 700 管理ガイド アドバンスト マルウェア防止ポリシーの有効化 ライセンスを取得している場合は、Host Checker からアドバンスト エンドポイント防御 マルウェア防止ポリシーを有効にすることができます。これらのポリシーは、ユーザーの コンピュータに Whole Security 社の Confidence Online ソフトウェアをダウンロードして 起動します。このソフトウェアは、以下のような悪質なプログラムをスキャンします。 トロイの木馬 - ハッカーは「トロイの木馬」によって、感染したマシンをリモート で操作します。トロイの木馬は、ほとんどの場合、承認されたユーザーに気づかれず に自らをユーザーのコンピュータにインストールします。 キーロガー ソフトウェア - ハッカーは「キーロガー ソフトウェア」を使用して、 ユーザーが入力するキーストロークをキャプチャしてログすることによって、盗みま す。キーロガー ソフトウェアは、承認されたユーザーに気づかれずに自らをユーザー のコンピュータにインストールします。 監視アプリケーション - 「監視アプリケーション」は、ユーザーのアクティビティ を監視して記録するエンドユーザー ソフトウェアです。通常は、子供、配偶者、コン ピュータを共有している別のユーザーを監視するために、ユーザーが自らこのソフト ウェアをインストールします。 リモート コントロール - 「リモート コントロール アプリケーション」は商用アプ リケーションで、承認されたユーザーのコンピュータ管理において容易なリモート アクセスを提供する VNC などがあります。 Whole Security マルウェア防止ソフトウェアを使用するには、Advanced Endpoint Defense malware Detection オプションをシステム レベルで有効化し、領域およびロール レベルで実行、あるいはそのいずれかのレベルで実行する必要があります。 アドバンスト エンドポイント防御マルウェア検出ポリシーを、作成あるいは設定する必 要はありません。このオプションをシステム レベルで有効にすると、Host Checker に よって作成されます。アドバンスト エンドポイント防御 マルウェア検出ポリシーは、領 域レベルで要求し、実施することをお勧めします。そうすることにより、Host Checker が Confidence Online ソフトウェアをユーザーのコンピュータにダウンロードして、潜在的 な脅威が IVE にサインインするのをチェックすることが可能になります。Confidence Online がいったん起動すると、ユーザーの IVE セッション全体を通して脅威をスキャン し、ブロックし続けます。 アドバンスト エンドポイント防御マルウェア防止ポリシーを有効化し、設定するには、 以下を行います。 1. Web コンソールで、Signing In > End Point > Host Checker を選択します。 2. Options で、Advanced Endpoint Defense: Malware Protection チェックボックスを選 びます。 3. Confidence Online がトロイの木馬、キーロガー ソフトウェア、およびその他の不正 と思われるアプリケーションをブロックしたときに、ユーザーに通知しないようにす るには、Silent Scan チェックボックスを選択します。(Confidence Online は Whole Security サーバーに毎日アクセスして、不正なアプリケーションのリストを最新の状 態に維持します。) Host Checker タブ 187 Juniper Networks NetScreen Secure Access 700 管理ガイド 4. 監視アプリケーション、リモート コントロール ソフトウェア、その他の潜在的に正 当なアプリケーションをブロックするかどうかをユーザーが選択できるようにするに は、User Unblock チェックボックスを選択します。このオプションを選択すると、 ユーザーは、システム トレイにある Confidence Online アイコンから、ブロックされ たアプリケーションを表示し、コントロールすることができます。(詳細について は、Confidence Online のエンドユーザー ヘルプ システムを参照してください。)こ のオプションを選択しない場合、Confidence Online は、ユーザーの操作なしにこれ らのアプリケーションをブロックします。 メモ : ユーザーがこの機能を使用するには、管理者の権限が必要です。管理者権限を持 たない場合は、Confidence Online は、ユーザーの操作なしにこれらのアプリケーション をブロックします。この機能は、Windows 2000 および Windows XP システムでのみサ ポートされています。 5. Save Changes をクリックします。IVE が、以下のアドバンスト エンドポイント防御 マルウェア防止ポリシーを有効化します。 Advanced Endpoint Defense: Malware Protection - このポリシーは、Host Checker によって作成されます。Whole Security が作成した J.E.D.I. パッケージが 正常にインストールされているかをチェックします。 Advanced Endpoint Defense: Malware Protection.BehaviorBlockerRunning - このポ リシーは、Whole Security によって作成されます。Confidence Online 動作ブロッ ク ソフトウェアによる、キーストローク ロガー ソフトウェア、画面キャプチャ ソフトウェア、その他ユーザー セッションの傍受を試みるアプリケーションの ブロックを、可能にします。 Advanced Endpoint Defense: Malware Protection.Category1 - このポリシーは、 Whole Security によって作成されます。Confidence Online ソフトウェアによる、 トロイの木馬プログラム、スパイウェア、マルウェア、その他の不正なアプリ ケーションのブロックを、可能にします。 Advanced Endpoint Defense: Malware Protection.Category2 - このポリシーは、 Whole Security によって作成されます。Confidence Online ソフトウェアによる、 監視アプリケーション、リモート コントロール ソフトウェア、その他潜在的に 正当なアプリケーションのブロックを、可能にします。 これらの各ポリシーには、ユーザーがポリシーにパスしない場合にユーザーに対して 表示する改善の指示が含まれています。このメッセージは、ポップアップ ウィンドウ の手順に従ってマシンを改善するよう、ユーザーに指示します。 6. 188 Host Checker タブ 403 ページの「Host Checker の制限」に記載したオプションを使用して、アドバンス ト エンドポイント防御マルウェア防止ポリシーを、領域あるいはロールレベルで実 装します。(クライアント コンピュータ上でアドバンスト エンドポイント防御マル ウェア防止ポリシーを有効にするには、少なくとも領域レベルで評価あるいは実行す る必要があります。) Juniper Networks NetScreen Secure Access 700 管理ガイド メモ : アドバンスト エンドポイント防御マルウェア防止ポリシーを実施するする場合、 以下に留意してください。 これらのポリシーを変更することはできません。有効あるいは無効に設定すること のみ可能です。また、これらのポリシーは変更できないため、Signing In > End Point > Host Checker ページの Policies セクションで、他の設定可能なポリシーと 一緒に表示されることはありません。 IVE の同時ユーザーライセンスが Whole Security と一致しない場合、両者のうち ユーザー数の少ない方に制限されます。たとえば IVE のライセンスで 100 人の同時 ユーザーが許可され、Whole Security のライセンスで 50 人の同時ユーザーが許可 されている場合、アドバンスト エンドポイント防御マルウェア防止ポリシーを有効 にした IVE へのアクセスを許可されるのは、50 人のユーザーに制限されます。 新しいクライアントサイド ポリシーの作成と設定 アンチウィルス ソフトウェア、ファイアウォール、マルウェア、スパイウェア、および さまざまな業界リーダーが提供する特定のオペレーティング システムをチェックする、 さまざまな種類のポリシーを、Host Checker クライアントから作成することができます。 カスタムのサードパーティ DLL、ポート、プロセス、ファイル、レジストリ キーに対す るチェックも作成することができます。ポリシーを作成する際、ポリシー名を定義して、 既定の規則を有効にするか、あるいは特定のチェックを実行するカスタム規則を作成する 必要があります。オプションで、Host Checker が 1 つのポリシー内で複数の規則をどのよ うに評価するかを指定することも可能です。 標準のクライアントサイド ポリシーを作成するには、以下を行います。 1. Web コンソールで、Signing In > End Point > Host Checker を選択します。 2. Policies で New をクリックします。 3. Policy Name フィールドに名前を入力し、Continue をクリックします。(このポリ シーに対してカスタム指示を有効にした場合、Host Checker 改善ページでユーザーに この名前が表示されます。) 4. 以下のセクションの指示に従って、ポリシーと関連付ける規則を 1 つ以上作成し ます。 5. 190 ページの「既定の規則を使用してサード パーティのアプリケーションを チェックする(Windows のみ)」 191 ページの「カスタム規則を使用して要件をカスタマイズする」 195 ページの「1 つの Host Checker ポリシー内で複数の規則を評価する」の指示 に従って、Host Checker がポリシー内で複数の規則をどのように評価するかを指 定します。 6. (推奨)コンピュータがポリシーの指定する要件を満たさないユーザーに対して、改 善オプションを指定します。手順については、200 ページの「改善オプションの指 定」を参照してください。(改善指示を作成せず、ポリシーが失敗した場合は、ユー ザーはリソースにアクセスできない理由を知ることができません。) 7. 403 ページの「Host Checker の制限」に記載されたオプションを使用して、ポリシー を領域あるいはロール レベルで適用します。 Host Checker タブ 189 Juniper Networks NetScreen Secure Access 700 管理ガイド 既定の規則を使用してサード パーティのアプリケーションをチェックする (Windows のみ) Host Checker には、アンチウィルス ソフトウェア、ファイアウォール、マルウェア、ス パイウェア、およびさまざまな業界リーダーが提供する特定のオペレーティング システ ムをチェックするあらゆる定義済みの規則が、あらかじめ装備されています。これらの規 則を Host Checker のクライアント サイド ポリシー内で 1 つ以上有効化することにより、 指定の統合されたサードパーティ製アプリケーションを、ユーザーのコンピュータ上で確 実に仕様に従って実行されるようにできます。 既定の規則を使用して統合されたサード パーティのアプリケーション作成するには、以 下を行います。 1. Web コンソールで、Signing In > End Point > Host Checker を選択します。 2. 189 ページの「新しいクライアントサイド ポリシーの作成と設定」の指示に従って新 しいポリシーを作成するか、ページの Policies セクションにある既存のポリシーをク リックします。 3. Rule Settings で以下のオプションのいずれかを選択し、Add をクリックします。 4. Predefined: AntiVirus - 指定のアンチウィルス ソフトウェアをチェックする規 則を作成する場合は、このオプションを選択します。 Predefined: Firewall - 指定のファイアウォール ソフトウェアをチェックする規 則を作成する場合は、このオプションを選択します。 Predefined: Malware - 指定のマルウェア防止ソフトウェアをチェックする規則 を作成する場合は、このオプションを選択します。 Predefined: Spyware - 指定のスパイウェア防止ソフトウェアをチェックする規 則を作成する場合は、このオプションを選択します。 Predefined: OS Checks - 指定の Windows オペレーティング システムと最小の サービス パック バージョンをチェックする規則を作成する場合は、このオプ ションを選択します。(サービス パックのバージョンが、指定したバージョンと 同じかそれ以降の場合は、ポリシーの条件を満たします。) Add Predefined Rule ページで以下を行います。 Rule Name フィールドで、規則の ID を入力します。 Criteria で、チェックの対象となる特定のアプリケーション バージョンあるいは オペレーティング システムを選び、Add をクリックします。(オペレーティン グ システムをチェックする場合、サービスパックのバージョンも指定すること ができます。) メモ : チェックの対象となるアプリケーションを指定する際、以下に留意します。 既定の規則内でソフトウェアの種類を 1 つ以上選択した場合、Host Checker は、選 択したソフトウェア アプリケーションのいずれかがユーザーのマシン上に存在する と、規則が満たされたと判断します。 Host Checker は、アプリケーションや Windows オペレーティング システムの種類 によって、異なるレベルのサポートを提供します。詳細については、このセクショ ンの最後にある表を参照してください。 190 Host Checker タブ (アンチウィルス ポリシーのみ)Maximum age of definition files フィールドに、 ウィルス定義ファイルの有効期間(日)を指定します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. Save Changes をクリックします。 オプションで、189 ページの「新しいクライアントサイド ポリシーの作成と設定」の 指示に従って、ポリシーに規則を追加し、Host Checker がポリシー内で複数の規則を どのように評価するかを指定し、改善オプションを指定します。 メモ : 現在サポートされているアプリケーションを見るには、Signing In > End Point > Host Checker に進み、新しいポリシーを作成します。Select Rule Type ド ロップダウン リストから既定の規則タイプを選択して、そのカテゴリ内でサポート されているアプリケーションの一覧を表示します。アプリケーションの一覧は非常 に広範囲に及ぶことがあります。また、各サポート リリースで更新されるため、定 期的に確認すると便利です。 カスタム規則を使用して要件をカスタマイズする IVE であらかじめ定義されたクライアント サイドのポリシーや規則がニーズに対応し ていない場合、Host Checker にカスタム規則を作成して、ユーザーのコンピュータが 満たすべき要件を定義することができます。カスタム規則を使用して、以下を行うこ とができます。 カスタマイズされたクライアント サイドのチェックを実行する DLL をチェックする よう Host Checker を定義します。 ユーザーのコンピュータ上で特定のポートが開いているかどうかを確認します。 ユーザーのコンピュータ上で特定のプロセスが実行されているかどうかを確認し ます。 クライアント マシン上で特定のプロセスが実行されているかどうかを確認します。 MD5 チェックサムから必要なファイルの使用期間と内容を評価します。 クライアント マシン上でレジストリ キーが設定されているのを確認します。 メモ : Windows コンピュータ上では、レジストリ キーとカスタム サード パーティ DLL のみチェックすることができます。 クライアントサイド Host Checker ポリシーを作成するには、以下を行います。 1. Web コンソールで、Signing In > End Point > Host Checker を選択します。 2. 189 ページの「新しいクライアントサイド ポリシーの作成と設定」の指示に従って新 しいポリシーを作成するか、ページの Policies セクションにある既存のポリシーをク リックします。 3. Host Checker のオプションを指定したいオペレーティング システム(Windows、 Mac、または Linux)に対応するタブをクリックします。同じポリシーで、各オペ レーティング システムに異なる Host Checker 要件を指定できます。たとえば、各オ ペレーティング システムで異なるファイルやプロセスをチェックする 1 つのポリ シーを作成できます。 Host Checker タブ 191 Juniper Networks NetScreen Secure Access 700 管理ガイド 4. Rule Settings で以下のオプションのいずれかを選択し、Add をクリックします。規則 タイプに対する Add Custom Rule ページが表示されます。 3rd Party NHC Check(Windows のみ)- この規則タイプを使用して、ホスト チェック クライアント インターフェイスで書き込むカスタム DLL の場所を指定 します。Host Checker は DLL を呼び出して、カスタマイズされたクライアントサ イドのチェックを実行します。DLL が Host Checker に成功の結果を返した場合、 IVE は規則が満たされたとみなします。(ホスト チェック クライアント イン ターフェースを使用してカスタム DLL を作成する方法については、Juniper Support サイトで入手できる J.E.D.I. Solution Guide を参照してください。 )3rd Party NHC Check 設定ページで以下を行います。 i. 3rd Party NHC Check 規則の名前とベンダーを入力します。 ii. クライアント マシンでの DLL の場所(パスおよびファイル名)を入力 します。 iii. Save Changes をクリックします。 Ports - この規則タイプを使用して、セッション中にクライアントが確立できる ネットワーク接続を制御します。この規則タイプは、ユーザーが IVE にアクセス する前に、クライアント マシンの特定のポートを開いた状態あるいは閉じた状 態にします。Ports 設定ページでは、以下を行います。 i. ポート規則の名前を入力します。 ii. ポートまたはポートの範囲を、1234,11000-11999,1235 のように、カン マ区切り(スペースを入れない)で入力します。 iii. これらのポートがクライアント マシン上で開いていることを要求するには Required を選択し、閉じておくことを要求するには Deny を選択します。 iv. Save Changes をクリックします。 Process - この規則タイプを使用して、セッション中にクライアントが実行でき るソフトウェアを制御します。この規則タイプは、ユーザーが IVE によって保護 されたリソースにアクセスする前に、クライアント マシン上で特定のプロセス を実行した状態、あるいは実行していない状態にします。Processes 設定ページ では、以下を行います。 i. プロセス規則の名前を入力します。 ii. プロセス(実行可能ファイル)の名前を good-app.exe のように入力し ます。 プロセス名の指定には、ワイルドカード文字を使用できます。 例: good*.exe 192 Host Checker タブ Juniper Networks NetScreen Secure Access 700 管理ガイド 詳細については、195 ページの「Host Checker 規則でワイルドカードあるい は環境変数を使用する」を参照してください。 iii. このプロセスが実行されることを要求するには Required を選択し、実行さ れないことを要求するには Deny を選択します。 iv. ポリシーを適用したい実行可能ファイルの MD5 チェックサム値をそれぞれ 指定します(オプション)。たとえば、デスクトップ、ノートパソコン、ま たは異なるオペレーティング システムで、実行可能ファイルの MD5 チェッ クサム値を変えることができます。Macintosh および Linux では、以下のコ マンドを使用して MD5 チェックサムを調べることができます。 openssl md5 <processFilePath> v. Save Changes をクリックします。 File - この規則タイプは、ユーザーが IVE にアクセスする前に、クライアント マシン上に特定のファイルが存在している状態あるいは存在していない状態にし ます。またファイル チェックを使用して、必要なファイルの使用期間と内容を (MD5 チェックサムから)評価し、これに応じてアクセスの許可または拒否を決 定できます。Files 設定ページでは、以下を行います。 i. フィルタの名前を入力します。 ii. ファイル(任意のファイル タイプ)の名前を c:\temp\bad-file.txt または /temp/bad-file.txt のように入力します。 ファイル名を指定するのに、ワイルドカード文字を使用できます。例: *.txt また、環境変数を使用してファイルにディレクトリ パスを指定することも できます。 (ディレクトリ パスにはワイルドカード文字を使用できません。) <% と %> 文字で変数を囲みます。例: <%windir%>\bad-file.txt 詳細については、195 ページの「Host Checker 規則でワイルドカードあるい は環境変数を使用する」を参照してください。 iii. このファイルがクライアント マシンに存在することを要求するには Required を選択し、存在しないことを要求するには Deny を選択します。 iv. ファイルの有効期間(日数)を指定します(オプション)。ファイルが指定 した日数よりも古い場合は、クライアントが属性チェック要件を満たしてい ないことになります。 メモ : この有効期間のオプションを使用して、ウィルス署名の経過日数をチェックしま す。ウィルス署名データベースや、データベースが更新されるたびに更新されるログ ファイルなど、ウィルス署名が最後に更新された時期をタイムスタンプが示している ファイルへのパスを、File Name フィールドに必ず指定してください。たとえば TrendMicro を使用する場合、次のように指定します。 C:\Program Files\Trend Micro\OfficeScan Client\TmUpdate.ini. Host Checker タブ 193 Juniper Networks NetScreen Secure Access 700 管理ガイド v. ポリシーを適用したい各ファイルに MD5 チェックサム値を指定します(オ プション)。Macintosh および Linux では、以下のコマンドを使用して MD5 チェックサムを調べることができます。 openssl md5 <filePath> vi. Save Changes をクリックします。 Registry Setting (Windows のみ)- この規則タイプを使用して、IVE へのアク セスにクライアントが必要とする、企業 PC イメージ、システム設定、およびソ フトウェア設定を制御します。この規則タイプは、ユーザーが IVE にアクセスす る前に、特定のクライアント レジストリ キーがクライアント マシン上で設定さ れているようにします。またレジストリ チェックを使用して、必要なファイルの 経過日数を評価し、これに応じてアクスの許可または拒否を決定できます。 Registry Settings 設定ページでは、以下を行います。 i. レジストリ設定規則の名前を入力します。 ii. ドロップダウン リストからルート キーを選択します。 iii. レジストリ サブキー用のアプリケーション フォルダのパスを入力します。 iv. 要求したい鍵の値の名前を入力します(オプション)。この名前は、Registry Editor の Name 列に表示されます。 v. 鍵の値の種類(String、Binary、または DWORD)をドロップダウン リスト から選択します(オプション)。この種類は、Registry Editor の Type 列に表 示されます。 vi. 必要なレジストリキー値を指定します ( オプション )。この情報は、Registry Editor の Data 列に表示されます。 鍵の値がアプリケーションのバージョンを表す場合、指定したバージョン以 降のアプリケーション バージョンを許可するには、Minimum version をオ ンにします。たとえば、このオプションを使用して、アンチウィルス アプリ ケーションのバージョン情報を指定し、クライアントのアンチウィルス ソ フトウェアが最新版かどうかを確認します。IVE は、語彙ソートを使用して、 指定したバージョン以降がクライアントで使用されているかどうかを判断し ます。例: 3.3.3 は 3.3 より新しい 4.0 は 3.3 より新しい 4.0a は 4.0b より新しい 4.1 は 3.3.1 より新しい vii. Save Changes をクリックします。 メモ : キーとサブキーのみを指定した場合、Host Checker は、レジストリで Subkey フォルダが存在するかどうかだけを検証します。 5. 194 Host Checker タブ オプションで、189 ページの「新しいクライアントサイド ポリシーの作成と設定」の 指示に従って、ポリシーに規則を追加し、Host Checker がポリシー内で複数の規則を どのように評価するかを指定し、改善オプションを指定します。 Juniper Networks NetScreen Secure Access 700 管理ガイド Host Checker 規則でワイルドカードあるいは環境変数を使用する 以下のワイルドカードを使用して、Custom File 規則でファイル名を指定したり、 Custom Process 規則でプロセス名を指定することができます。 表 6: ファイル名またはプロセス名に使用するワイルドカード文字 ワイルドカード文字 説明 例 * 任意の文字と一致 *.txt ? 正確に 1 文字と一致 app-?.exe Windows 用の Custom File 規則で、次の環境変数を使用してファイルへのディレクトリ パスを指定できます。 表 7: Windows でディレクトリ パスを指定するための環境変数 環境変数 Windows の値の例 <%APPDATA%> C:\Documents and Settings\jdoe\Application Data <%windir%> C:\WINDOWS <%ProgramFiles%> C:\Program Files <%CommonProgramFiles%> C:\Program Files\Common Files <%USERPROFILE%> C:\Documents and Settings\jdoe <%HOMEDRIVE%> C: <%Temp%> C:\Documents and Settings \<user name>\Local Settings\Temp Macintosh および Linux 用の Custom File 規則で、次の環境変数を使用してファイルへの ディレクトリ パスを指定できます。 表 8: Macintosh と Linux でディレクトリ パスを指定するための環境変数 環境変数 Macintosh の値の例 Linux の値の例 <%java.home%> /System/Library/Frameworks/JavaVM. /local/local/java/j2sdk1.4.1_02/jre framework/ Versions/1.4.2/Home <%java.io.tmpdir%> /tmp /tmp <%user.dir%> /Users/admin /home-shared/cknouse <%user.home%> /Users/admin /home/cknouse メモ : 環境変数はテンプレート ツールキットのディレクティブと同じ方法でフォーマッ トされていますが、置き換えることができないため、両者を混同しないようにしてくだ さい。 1 つの Host Checker ポリシー内で複数の規則を評価する 1 つのクライアントサイド ポリシーに複数の規則を含める場合、Host Checker がそれら をどのように評価するかを指定する必要があります。 1 つの Host Checker ポリシー内の複数の規則に対して要件を指定するには、以下を行い ます。 1. Web コンソールで、Signing In > End Point > Host Checker を選択します。 Host Checker タブ 195 Juniper Networks NetScreen Secure Access 700 管理ガイド 2. 189 ページの「新しいクライアントサイド ポリシーの作成と設定」の Policies セ クションで、複数の規則を含む既存のポリシーをクリックします。 3. Require セクションで、次のオプションのいずれかを選択します。 All of the above rules - ユーザーのコンピュータがアクセスを取得するために は、すべてのポリシー規則に対し成功の結果を返す必要があることを指定する場 合に、このオプションを選択します。 All of the above rules - ユーザーのコンピュータがアクセスを取得するために は、いかなるポリシー規則に対しても成功の結果を返す必要があることを指定す る場合に、このオプションを選択します。 Custom - ユーザーのコンピュータがアクセスを取得するために満たす必要があ る規則をカスタマイズする場合に、このオプションを選択します。次に、以下の 手順に従ってカスタム規則を作成します。 4. (カスタム式のみ)ポリシーで代わりの規則セットを使用したい場合は、以下のガイ ドラインにそって、規則をブール演算子(AND、 OR)と組み合わせます。 規則の名前を Rules expression テキストボックスに入力します。 2 つの規則または規則のセットが真を返す必要がある場合には、AND を使用し ます。 2 つの規則または規則のセットのいずれかが真を返す必要がある場合には、OR を使用します。 規則のセットを組み合わせるには、括弧を使用します。 たとえば、個人的なファイアウォールを実行し、2 つの利用可能なアンチウィルス製 品のどちらかを実行する必要がある場合には、以下のような式を使用します。 ZoneLabsFirewall AND (McAfeeAntivirus OR NortonAntivirus) 5. Save Changes をクリックします。 既定の Host Checker ポリシーを改善する 既定の Host Checker ポリシーを割り当てる際に、簡単な改善ルールを設定することが可 能です。 既定の Host Checker ポリシーに対して改善ルールを指定するには、以下を行います。 196 Host Checker タブ 1. Web コンソールで、Signing In > End Point > Host Checker を選択します。 2. ページの Policies セクションで、既定の規則を含む既存のポリシーをクリックし ます。 3. Remediation で、Enable Custom Instructions チェックボックスを選択し、HTML な どテキストを入力できるテキスト ボックスを表示します。 4. Evaluate Other Policies チェックボックスを選択し、ポリシー評価に加えることがで きる Host Checker ポリシーの一覧を表示します。 5. Kill Processes チェックボックスを選択してテキスト ボックスを表示します。このテ キスト ボックスには、停止したいアプリケーションと、そのアプリケーションに関 連する MD5 チェックサムをリスト表示することができます。 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. Delete Files チェックボックスを選択してテキスト ボックスを表示します。このテキ スト ボックスには、削除したいファイルをリスト表示することができます。各行に ファイル名を 1 つ入力します。 7. Save Changes をクリックします。 カスタマイズしたサーバー サイド ポリシーを有効にする Windows クライアントの場合、IVE にアップロードしてクライアント マシン上で実行す る J.E.D.I. DLL が必要となるグローバルな Host Checker ポリシーを作成することができま す。これらのポリシーの作成についての詳細は、Juniper Support サイトから入手できる J.E.D.I. Solution Guide を参照してください。 カスタマイズしたサーバー サイド Host Checker ポリシーを有効にするには、次の操作を 行います。 1. Web コンソールで、Signing In > End Point > Host Checker を選択します。 2. Policies で、New 3rd Party Policy をクリックします。 3. zip ファイルを識別する名前を IVE に入力します。 4. zip ファイルが格納されているローカル ディレクトリを参照します。 5. (オプション)コンピュータがポリシーの指定する要件を満たさないユーザーに対し て、改善の指示や措置を指定します。手順については、200 ページの「改善オプショ ンの指定」を参照してください。 6. Save Changes をクリックします。IVE は、zip ファイルに定義されているポリシーを、 Host Checker ページのポリシーのリストに追加します。 7. 403 ページの「Host Checker の制限」に記載されたオプションを使用して、ポリシー を領域、ロール、あるいはリソース レベルで実装します。 Host Checker 認証前アクセス トンネル定義を指定する Windows クライアントに対して、ユーザーが認証される前に Host Checker メソッド またはサードパーティ J.E.D.I. DLL が IVE に保護されたポリシー サーバー ( または他 のリソース ) にアクセスできるようにする、認証前アクセス トンネルを定義すること ができます。(詳細については、71 ページの「ポリシー サーバーを Host Checker ク ライアントに使用可能にする」を参照してください。) Host Checker 認証前アクセス トンネル用の定義は、1 つのポリシー サーバーまたは他の リソースへのアクセスを設定します。各トンネル定義は、IP アドレスとポートのペアで構 成されています。クライアントでは 1 つのループバック IP アドレスとポート、ポリシー サーバーでは 1 つの IP アドレスとポートです。 Host Checker ポリシー パッケージ定義ファイルで 1 つ以上のトンネル定義を指定します。 パッケージ定義ファイルの名前は MANIFEST.HCIF とする必要があり、インターフェース DLL の名前、DLL で定義された Host Checker ポリシー、および認証前アクセス トンネル 定義を定義します。パッケージにポリシーを含めない場合、Host Checker は、そのパッ ケージがクライアント上で実行されるように強制します。この点に注意してください。こ のファイルでポリシーを宣言すると、そのポリシーは、IVE Web コンソールを通して利用 できるようになり、そこで領域、ロール、およびリソース ポリシー レベルで実装できる ようになります。 Host Checker タブ 197 Juniper Networks NetScreen Secure Access 700 管理ガイド MANIFEST.HCIF ファイルは、1 行に定義 1 つを含め、定義間に空の行を 1 行入れ、以下の 形式を使用します。 HCIF-Main : <DLLName> HCIF-Policy : <PolicyName> HCIF-IVE-Tunnel: <client-loopback>:port <policy-server>:port ここでは、 <DLLName> は、myPestPatrol.dll などインターフェース DLL の名前です。インター フェース DLL を使用していない場合でも、このとおりの名前をもつ、プレースホルダー ファイルとしてのダミー DLL を含める必要があります。 <PolicyName> は、myFileCheck など DLL で定義されたポリシーの名前です。各ポリシー に HCIF-Policy ステートメントを使用して、複数のポリシーを定義することができます。 インターフェース DLL を使用していない場合、任意のポリシー名をプレスホルダーとし て使用することができます。 Host Checker トンネル定義の構文は次のとおりです。 HCIF-IVE-Tunnel: <client-loopback>:port <policy-server>:port ここでは、 <client-loopback> は 127. で始まるループバック アドレスであり、以下のいずれかの形 式を使用します。 127 で開始するループバック アドレスに解決するホスト名。各クライアント コン ピュータまたは DNS サーバーでそれぞれローカル ホスト ファイルを使用して、ルー プバック アドレスを解決することができます。 ループバック アドレスに解決しない、または非ループバック アドレスに解決するホ スト名。こうした場合、Host Checker はループバック アドレスを割り当てて、その マッピングを持つクライアントのローカル Host ファイルを更新します。Host Checker がローカル Host ファイルを変更するためには、ユーザーは管理者権限が必 要になります。ユーザーに管理者権限がない場合、Host Checker は Host ファイルを 更新することができず、認証前アクセス トンネルを開くことができません。この場 合、Host Checker はエラーをログに記録します。 <policy-server> はバックエンド ポリシー サーバーの IP アドレスまたはホスト名です。 IVE は指定されたホスト名を解決します。 たとえば、以下のようなトンネル定義では、127.0.0.1:3220 はクライアント ループ バック アドレスとポートであり、mysygate.company.com:5500 はポリシー サーバー ホ スト名とポートです。 HCIF-IVE-Tunnel: 127.0.0.1:3220 mysygate.company.com:5500 または、この例のようにクライアントのホスト名を使用することができます。 HCIF-IVE-Tunnel: mysygate.company.com:3220 198 Host Checker タブ mysygate.company.com:5500 Juniper Networks NetScreen Secure Access 700 管理ガイド トンネル定義を指定するときは、次の点を考慮してください。 MANIFEST.HCIF ファイル内の各行の間に空行を追加する必要があります。行の先頭に セミコロンを使用して、コメントを指示することができます。例: HCIF-Main : myPestPatrol.dll HCIF-Policy : myFileCheck HCIF-Policy : myPortCheck ; Tunnel definitions HCIF-IVE-Tunnel: 127.0.0.1:3220 mysygate.company.com:5500 HCIF-IVE-Tunnel: 127.1.1.1:3220 mysygate2.company.com:5500 HCIF-IVE-Tunnel: mysygate.company.com:3220 mysygate3.company.com:5500 Host Checker 認証前アクセス トンネルがサポートされているのは Windows だけ です。 <client-loopback> が非ループバック アドレスの場合、Host Checker は認証前アクセ ス トンネルを開くことができず、その代わりにエラーをログに記録します。 127.0.0.1 以外のループバック アドレス(127.0.0.2 およびそれ以上)を使用する 場合、Windows XP Service Pack 2 を使用しているクライアントは XP SP2 Hot Fix を インストールする必要があります。参照: http://support.microsoft.com/default.aspx?scid=kb;en-us;884020 メモ : クライアントサイドまたはサーバー サイドのサードパーティ DLL を配置してい る場合、次の点を配慮します。 サーバー サイド サードパーティ DLL パッケージを unzip して、サードパーティ DLL 用のポリシーを含む MANIFEST.HCIF ファイルにトンネル定義を追加します。 (DLL は MANIFEST.HCIF ファイルで定義する、同じ <client-loopback> アドレス、 およびポートまたはホスト名を使用する必要があります。) 認証前アクセス トンネルが開くのは、Host Checker が実行している間だけであるた め、サードパーティ DLL がその IVE が保護するポリシー サーバーにアクセスでき るのは、Host Checker が実行している間だけです。 サードパーティ DLL が HTTPS を使用して、ループバック アドレスに正しく解決 するホスト名によってそのポリシー サーバーに接続する場合、サーバー証明書 の警告は表示されません。ただし、サードパーティ DLL がループバック アドレ スによって明示的に接続する場合、サーバー証明書の警告が表示されます。こ れは、証明書内のホスト名がループバック アドレスに一致しないためです。 (サードパーティ DLL のデベロッパーはこれらの警告を無視するように DLL を 設定することができます。) サードパーティ DLL の詳細については、Juniper Support サイトで入手できる J.E.D.I. Solution Guide を参照してください。 Host Checker ポリシー パッケージを IVE へアップロードする IVE がパッケージの定義ファイルを認識できるようにするには、以下を行う必要があ ります。 1. パッケージ定義ファイルの名前を MANIFEST.HCIF として、META-INF という名前の フォルダに含めます。 Host Checker タブ 199 Juniper Networks NetScreen Secure Access 700 管理ガイド 2. Host Checker ポリシー パッケージを zip アーカイブ形式で作成します。アーカイブに は、META-INF フォルダを含める必要があります。このフォルダには、 MANIFEST.HCIF ファイルに加え、インターフェイス DLL やその他の初期化ファイル を格納します。たとえば、Host Checker ポリシー パッケージに以下を含めます。 META-INF/MANIFEST.HCIF hcif-myPestPatrol.dll hcif-myPestPatrol.ini 3. 197 ページの「カスタマイズしたサーバー サイド ポリシーを有効にする」の指示に 従って、IVE に Host Checker パッケージをアップロードします。異なる MANIFEST.HCIF ファイルを格納した複数のポリシー パッケージを、IVE にアップ ロードすることができます。 メモ : 一度 Host Checker ポリシー パッケージを IVE にアップロードすると、サーバー 上ではパッケージの内容を修正できません。修正する場合は、パッケージをローカル シ ステムで修正し、修正したバージョンを IVE にアップロードする必要があります。 Host Checker は定義が一意的であるという仮定で、すべての MANIFEST.HCIF ファイ ルにあるトンネル定義すべてに対して、トンネルを作成します。ポリシー パッケージ の認証前アクセス トンネル定義のリストを表示するには、Host Checker Configuration ページの 3rd Party Policy でポリシー パッケージの名前をクリックし ます。3rd Party Policy ページの Host Checker Preauth Access Tunnels にトンネル定 義がリストアップされます。 4. 403 ページの「Host Checker の制限」に記載されたオプションを使用して、ポリシー を領域あるいはロール レベルで適用します。パッケージそのものがクライアント コ ンピュータにインストールされ、実行されているかどうかを確認する場合 (パッ ケージの特定のポリシーの通過または失敗でなく)、ポリシー パッケージをアップ ロードしたときに指定した名前を使用できます(myPestPatrol など)。パッケージの 特定のポリシーを実行するには、構文 <PackageName>.<PolicyName> を使用しま す。たとえば、myPestPatrol パッケージの FileCheck ポリシーを実行するには、 myPestPatrol.FileCheck を使用します。手順については、403 ページの「Host Checker の制限」を参照してください。 改善オプションの指定 Host Checker ポリシーを定義するときに、ユーザーのコンピュータがポリシーの要件を満 たさない場合に Host Checker に行わせる改善措置を定義できます。たとえば、ユーザーの コンピュータが Host Checker ポリシーの要件を満たすために必要な、特定の指示やリ ソースへのリンクを含んだ改善ページをユーザーに表示するよう、IVE を設定することが できます。詳細については、69 ページの「Host Checker 改善ページの使用」を参照してく ださい。 Host Checker ポリシーに対して改善措置を指定するには、以下を行います。 200 Host Checker タブ 1. Web コンソールで、Signing In > End Point > Host Checker を選択します。 2. 以下のいずれかのセクションの手順に従って、Host Checker ポリシーを作成あるいは 有効にします。 189 ページの「新しいクライアントサイド ポリシーの作成と設定」 197 ページの「カスタマイズしたサーバー サイド ポリシーを有効にする」 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. ユーザーのコンピュータが現在のポリシーの要件を満たしていない場合、 Host Checker に実行させる修正措置を指定します。 Enable Custom Instructions - Host Checker 改善ページでユーザーに表示する指 示を入力します。テキストをフォーマットして、ポリシー サーバーや Web サイ トなどのリソースへのリンクを追加するには、HTML タグ : <i>、<b>, <br>、 <font>、および <a href> を使用します。例: 最新の署名ファイルがありません。 <a href="www.company.com"> ここをクリックして、最新の署名ファイルをダウ ンロードします。</a> メモ : Windows クライアントの場合には、IVE が保護しているポリシー サーバーへのリ ンクを指示に記載する場合は、認証前アクセス トンネルを定義します。詳細について は、197 ページの「Host Checker 認証前アクセス トンネル定義を指定する」を参照して ください。 Evaluate other policies - ユーザーのコンピュータが現在のポリシー要件を満た さない場合に、Host Checker に評価させる代替のポリシーを、1 つ以上選択でき ます。たとえば、ユーザーがキオスクなど、クライアント コンピュータの外部か ら IVE にアクセスしようとする場合、このオプションを使用して、ユーザーが Sygate Virtual Desktop 環境で IVE にアクセスすることを要求する代替のポリシー を、評価することができます。HC Policies リストで代替のポリシーを選択し、 Add をクリックします。 メモ : 代替ポリシーを自らの代替ポリシーを使用するよう設定した場合には、Host Checker は現在のポリシーの代わりに「第二レベル」の代替ポリシーを評価することは ありません。つまり、Host Checker はトランザクションごとに 1 つの代替ポリシーのみ を評価します。 Remediate - (サード パーティ DLL のみ)このオプションを選択して、サード パーティ J.E.D.I. DLL の Remediate () API 関数により指定した改善措置を実行す ることができます。 詳細は、Juniper Support サイトから入手できる J.E.D.I. Solution Guide を参照してください。 Kill Processes - ユーザーのコンピュータがポリシー要件を満たさない場合に は、中止したい 1 つ以上のプロセスの名前を、各行に入力します。プロセスにオ プションで MD5 チェックサムを含めることができます。(プロセス名にワイル ドカードを使用することはできません。)例: keylogger.exe MD5: 6A7DFAF12C3183B56C44E89B12DBEF56 Delete Files - ユーザーのコンピュータがポリシー要件を満たさない場合に、削 除したいファイル名を入力します。(ファイル名にワイルドカードを使用するこ とはできません。)各行にファイル名を 1 つ入力します。例: c:\temp\bad-file.txt /temp/bad-file.txt 4. Save Changes をクリックします。 Host Checker タブ 201 Juniper Networks NetScreen Secure Access 700 管理ガイド Cache Cleaner タブ Signing In > End Point > Cache Cleaner タブを使用して、Cache Cleaner を実行し IVE の ステータスを更新する頻度、および消去するブラウザ キャッシュとディレクトリを指定 します。この機能の詳細については、76 ページの「Cache Cleaner の概要」を参照してく ださい。 グローバルな Cache Cleaner の設定 グローバルな Cache Cleaner の設定行うには、次の操作を行います。 1. Web コンソールで、Signing In > End Point > Cache Cleaner を選択します。 2. Options で、次の操作を行います。 a. Cleaner Frequency フィールドに、Cache Cleaner を実行する頻度を指定します。 有効な値の範囲は 1 ~ 60 分です。Cache Cleaner が実行されるたびに、IVE の Content Intermediation Engine を通してダウンロードしたすべての情報と、以下 の Browser Cache および Files and Folders セクションで指定したブラウザ キャッシュ、ファイル、およびフォルダが消去されます。 b. Status Update Frequency フィールドで、IVE が Cache Cleaner の更新を要求する 頻度を指定します。有効な値の範囲は 1 ~ 60 分です。 c. Client-side process, login inactivity timeout フィールドでタイムアウト間隔を指 定します。Cache Cleaner の起動後 IVE にサインインする前に、IVE サインイン ページから移動した場合、Cache Cleaner は指定した間隔でユーザー マシンで引 き続き実行します。 d. Disable AutoComplete of web addresses チェックボックスを選択して、ユー ザーの IVE セッション中に、ブラウザがキャッシュ値を使用して自動的に Web アドレスを入力しないように設定します。 このオプションを選択すると、IVE は、ユーザーの IVE セッション中に Windows レジストリ値: HKEY_CURRENT_USER\Software\\Microsoft\\Windows\\CurrentVersion\\Ex plorer\ AutoComplete を 0 に設定します。この後、セッションが終了したら、 IVE は、レジストリ値を元の設定値に戻します。 e. f. Disable AutoComplete of usernames and passwords のチェックボックスをオン にして、Internet Explorer が、キャッシュ値を使用して自動的に Web フォーム のユーザー証明書に入力しないように設定します。このオプションを選択する と、Windows システム上で表示される「パスワードを保存しますか?」のプロ ンプトも無効にします。このオプションを選択すると、IVE は、以下の Windows レジストリ値を 0 に設定します。 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FormSuggest Passwords HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FormSuggest Passwords\FormSuggest PW Ask HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Internet Settings\ DisablePasswordCaching Flush all existing AutoComplete Passwords のチェックボックスをオンにして、 Internet Explorer がユーザーのシステム上でキャッシュしたパスワードを消去し ます。このオプションを選択すると、IVE は、Windows レジストリ値: HKEY_CURRENT_USER \Software\\Microsoft\\Internet Explorer\\IntelliForms\\SPW を 0 に設定します。 202 Cache Cleaner タブ Juniper Networks NetScreen Secure Access 700 管理ガイド この後、次のいずれかのオプションを選択します。 g. For IVE session only を選択して、IVE セッションが終了したら IVE がユー ザーのキャッシュされたパスワードを復元するように指定します。 キャッシュされたパスワードを完全にに削除するには、Permanently を選択 します。 ユーザーのセッションが終了したときに IVE がクライアント マシンから Cache Cleaner をアンインストールするよう設定する場合は、Uninstall Cache Cleaner at logout チェックボックスをオンにします。 3. Browser Cache で、1 つ以上のホスト名またはドメインを入力します(ワイルドカー ドを使用できます)。ユーザー セッションが終了すると、Cache Cleaner は、これらの サーバーを起点とするブラウザ キャッシュの内容を削除します。Cache Cleaner も、 指定されたクリーナ実行間隔で実行されたときに、この内容を削除します。IVE はホ スト名を解決しないため、ホスト名、FQDN、IP アドレスなど、サーバーに関する情 報をすべて入力します。この点に注意してください。 4. Files and Folders で、次の操作を行います。 a. b. 5. 次のいずれかを指定します。 Cache Cleaner が削除するファイルの名前、または Cache Cleaner が削除するコンテンツのフォルダの完全なパス。ディレクト リを指定する場合、このディレクトリ内のすべてのサブディレクトリの内容 も消去するには、Clear Subfolders をオンにします。 ユーザー セッション終了時にのみ、Cache Cleaner にディレクトリ内容を消去さ せたい場合は、Clear folders only at the end of session チェックボックスをオン にします。このチェックボックスをオフした場合、Cache Cleaner は、指定され た消去実行間隔でファイルとフォルダを削除します。 これらの設定をグローバルに保存するには、Save Changes をクリックします。 メモ : Internet Explorer ブラウザの場合、Files and Folders で指定したディレクトリに 関わらず、Cache Cleaner は Internet Explorer のキャッシュをすべて 自動的に消去しま す。Firefox ブラウザの場合、Cache Cleaner が消去するのは Files and Folders で指定さ れたディレクトリだけです。 Cache Cleaner タブ 203 Juniper Networks NetScreen Secure Access 700 管理ガイド AAA Servers ページの設定 AAA Servers ページを使用して、認証サーバーを設定することができます。詳細は、以下 を参照してください。 205 ページの「認証サーバー インスタンスを定義する」 205 ページの「認証サーバー インスタンスを変更する」 206 ページの「ローカル認証サーバー インスタンスを構成する」 211 ページの「LDAP サーバー インスタンスの設定」 214 ページの「NIS サーバー インスタンスの設定」 215 ページの「ACE/Server インスタンスの構成」 218 ページの「RADIUS サーバー インスタンスの設定」 226 ページの「Active Directory または NT ドメイン インスタンスの設定」 231 ページの「匿名サーバー インスタンスを構成する」 233 ページの「証明書サーバー インスタンスを設定する」 235 ページの「ユーザー セッションの表示と削除」 メモ : 選択するサーバーの種類を決定するときは、次の点にご注意ください。 ACE および Radius サーバー インスタンスは、IVE ごとにそれぞれ 1 つだけ作成で きます。 Active Directory サーバーを次のプロトコルで認証します。 204 AAA Servers ページの設定 NTLM protocol - Active Directory/Windows NT Domain を選択します。詳細に ついては、226 ページの「Active Directory または NT ドメイン インスタンスの 設定」を参照してください。 LDAP protocol - LDAP Server を選択します。詳細については、211 ページの 「LDAP サーバー インスタンスの設定」を参照してください。 ユーザー管理者を認証するためにローカル IVE サーバー インスタンスを作成する場 合、IVEAuthentication を選択する必要があります。詳細については、206 ページの 「ローカル認証サーバー インスタンスを構成する」を参照してください。 Juniper Networks NetScreen Secure Access 700 管理ガイド 認証サーバー インスタンスを定義する 認証サーバー インスタンスを定義するには、このページを使用します。認証サーバーは ユーザーの資格情報を認証し、承認サーバーは、IVE がシステムにおけるユーザー権限を 判別するために使用するユーザー情報を提供します。たとえば、証明書サーバー インスタ ンスを指定して、ユーザーのクライアントサイド証明書属性に基づいてユーザーを認証 し、次に LDAP サーバー インスタンスを作成して、CRL(証明書失効リスト)の値に基づ いてユーザーを承認することができます。認証サーバーの詳細については、46 ページの 「認証サーバー」を参照してください。 認証サーバー インスタンスを定義するには、次の操作を行います。 1. New ドロップダウン メニューから、サーバー タイプを選択します。 2. Go をクリックします。 3. 選択したサーバーに応じて、個々のサーバー インスタンスを設定します。 4. 管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定し ます 。詳細については、241 ページの「認証領域ポリシーの指定」を参照してくだ さい。 5. ローカル IVE 認証サーバーを設定している場合は、ローカル ユーザー アカウントを 定義します。手順については、206 ページの「ローカル認証サーバー インスタンスを 構成する」を参照してください。 認証サーバー インスタンスを変更する 認証サーバー インスタンスを変更するには、次の操作を行います。 1. Signing In > AAA Servers を選択します。 2. 変更するサーバーへのリンクをクリックします。 3. 該当するサーバー ページで変更を行います。 4. Save Changes をクリックします。 AAA Servers ページの設定 205 Juniper Networks NetScreen Secure Access 700 管理ガイド ローカル認証サーバー インスタンスを構成する 次のトピックについて説明します。 206 ページの「ローカル認証サーバーの概要」 206 ページの「ローカル認証サーバー インスタンスを定義する」 208 ページの「ローカル ユーザーの作成」 208 ページの「ユーザー アカウントの管理」 209 ページの「ユーザー管理権限のエンドユーザーへの委任」 ローカル認証サーバーの概要 IVE では、IVE で認証されるユーザーのローカル データベースを 1 つ以上作成できます。 通常は外部の認証サーバーでユーザーを認証するが、この外部認証サーバーを無効にする 予定がある場合や、一時的なユーザーのグループを作成する場合には、ローカル ユー ザー レコードを作成すると便利です。すべての管理者アカウントはローカル レコードと して保存されますが、241 ページの「認証領域ポリシーの指定」で説明する手順に従っ て、外部サーバーで管理者を認証することもできます。 ローカル認証サーバー インスタンスを定義する 新しい IVE サーバー インスタンスを定義するときには、一意なサーバー名を指定し、パ スワード オプションとパスワード管理を設定する必要があります。パスワード オプショ ンでは、パスワードの長さ、文字の構成、および一意性を設定できます。必要に応じて、 自分のパスワードを変更する権限をユーザーに与えて、指定した日数が経過した後、ユー ザーにパスワードの変更を強制することができます。また、有効期限が到来する数日前 (日数を指定)に、パスワードを変更するよう、ユーザーに要求することもできます。 ローカル認証サーバー インスタンスを定義するには、以下の操作を行います。 1. Web コンソールで、Signing In > AAA Servers を選択します。 2. 次のいずれかの操作を行います。 新しいサーバー インスタンスを IVE 上で作成するには、New リストから IVEAuthentication を選択して、New Server をクリックします。 既存のサーバー インスタンスを更新するには、Authentication/Authorization Servers リストから該当するリンクをクリックします。 3. 新しいサーバー インスタンスを識別する名前を指定するか、既存のサーバーの現在 の名前を編集します。 4. パスワード オプションを指定します。 a. Password options で、パスワードの最低文字数を設定します。 b. パスワードの最大文字数を構成します ( オプション )。最大文字数は最低文字数 以下に設定できません。最大文字数に上限はありません。 メモ : すべてのパスワードを同じ文字数にする場合は、最低文字数と最大文字数を同じ 値にします。 c. 206 Password must have at least_digits チェックボックスをオンにして、パスワード に必要な桁数を指定します(オプション)。Maximum length オプションの値以 上の桁数を要求しないでください。 ローカル認証サーバー インスタンスを構成する Juniper Networks NetScreen Secure Access 700 管理ガイド d. Password must have at least_letters チェックボックスをオンにして、パスワー ド必要な文字数を指定します(オプション)。Maximum length オプションの値 以上の文字数を要求しないでください。前のオプションをオンにした場合は、こ の 2 つのオプションの合計が Maximum length オプションに指定した値を超え ることはできません。 e. すべてのパスワードに大文字と小文字を混在させる場合は、Password must have mix of UPPERCASE and lowercase letters チェックボックスをオンにします (オプション)。 メモ : 大文字小文字の混在も要求した場合、パスワードには少なくとも 2 文字を含める 必要があります。 5. f. パスワードをユーザー名と同じにできないようにするには、Password must be different from username チェックボックスをオンにします(オプション) 。 g. 新しいパスワードを前のパスワードと同じにできないようにするには、New passwords must be different from previous password チェックボックスをオンに します(オプション)。 パスワード管理オプションを指定するには、次の操作を行います。 a. ユーザーが自分のパスワードを変更できるようにする場合は、Password management で Allow users to change their passwords チェックボックスをオン にします(オプション)。 b. パスワードの期限切れまでの日数を指定するには、Force password change after _ days チェックボックスをオンにします(オプション)。 メモ : デフォルトは 64 日間ですが、この値は任意の数値に設定できます。 c. Prompt users to change their password _ days before current password expires チェックボックスをオンにして、パスワードの有効期限が到来する何日前にユー ザーにパスワードの入力を要求するかを指定します(オプション)。 メモ : デフォルト値は 14 日ですが、この値は、前のオプションで指定した数字の範囲 内で設定することが可能です。 6. Save Changes をクリックします。初めてサーバー インスタンスを作成する場合は、 Users タブと Admin Users タブが表示されます。 メモ : パスワード オプションとパスワード管理オプションの設定後、管理者とユーザー を認証および承認するためにサーバーが使用する領域も指定する必要があります。 Administrators/Users > Authentication > 領域 > Authentication Policy > Password ページの Enable Password Management オプションを使用して、領域がローカル認証 サーバー インスタンスからパスワード管理設定を継承するかどうかを指定します。パス ワード管理を有効にする方法については、402 ページの「パスワード文字数制限の指 定」を参照してください。 ローカル認証サーバー インスタンスを構成する 207 Juniper Networks NetScreen Secure Access 700 管理ガイド ローカル ユーザーの作成 ローカル認証サーバー インスタンスを作成する場合は、そのデータベースにローカル ユーザー レコードを定義する必要があります。ローカル ユーザー レコードは、ユーザー 名、ユーザーの氏名、ユーザーのパスワードで構成されています。通常は外部の認証サー バーでユーザー認証を行いますが、この外部の認証サーバーを無効にすることがある場合 や、一時的なユーザーのグループを作成する場合は、ローカル ユーザー レコードを作成 します。 ローカル認証サーバー用にローカル ユーザー レコードを作成するには、次の操作を行い ます。 1. Web コンソールで、次のいずれかを実行します。 Signing In > AAA Servers を選択して、ユーザー アカウントを追加する IVE デー タベースをクリックします。次に、Users タブを選択して、New をクリックしま す。 メモ : Last Access Statistics 列の Users タブで、すべてのユーザー アカウントに対する いくつかのアクセス統計情報を見ることができます。これらの列は、IVEWeb console に 表示される Users タブのすべてに表示されます。統計には、ユーザーが前回正常にサイ ンインした時の日時と、ブラウザの種類とバージョンが含まれます。 2. Users > New User を選択します。 ユーザー名を入力します。 メモ : ユーザー名に "~~" は使えません。 アカウントの作成後にユーザー名を変更する場合、新規アカウントを作成する必要 があります。 3. ユーザーの氏名を入力します。 4. パスワードを入力してから確認のため再入力します。 メモ : 入力するパスワードは、関連するローカル認証サーバー インスタンスに指定した パスワード オプションの指定を満たすものにします。 5. 初回のサインイン時にユーザーに自分のパスワードを変更させる場合は、Require user to change password at next sign in チェックボックスをオンにします。 6. (Users > New User ページのみ)Authenticate Using リストから、ユーザー アカウン トを追加したい IVE データベースを選択します。 7. Save Changes をクリックします。ユーザー レコードが IVE データベースに追加され ます。 ユーザー アカウントの管理 ローカル ユーザー アカウントを管理するには、次の操作を行います。 1. 208 Web コンソールで、Signing In > AAA Servers を選択します。 ローカル認証サーバー インスタンスを構成する Juniper Networks NetScreen Secure Access 700 管理ガイド 2. Authentication/Authorization Servers リストの適切なサーバー リンクをクリックし ます。 3. Users タブを選択します。 4. 次のいずれかのタスクを実行します。 特定のユーザーを検索するには、Show users named フィールドにユーザー名を 入力して、Update をクリックします。 また、ワイルドカードとしてアスタリスク “*” を使用できます。“*” は 0 を含む 任意の文字数の文字を表します。たとえば、jo という文字を含むユーザー名をす べて検索するには、Show users named フィールドに “*jo*” と入力します。 検索 では大文字と小文字が区別されます。アカウントのリスト全体を再び表示する場 合は、“*“ を入力するか、フィールドに指定した文字を削除して、Update をク リックします。 ページに表示するユーザーの数を制限するには、Show N users フィールドに数 字を入力し、Update をクリックします。 個々のユーザーの IVE セッションを終了するには、ユーザーの横にあるチェック ボックスをクリックし、Delete をクリックします。 ユーザー管理権限のエンドユーザーへの委任 ユーザー管理者はローカル IVE 認証サーバーを管理できます。ユーザー管理者は領域や ロールのマッピングを管理できません。したがって、管理者が介入しなくてもユーザー管 理者が新しいユーザーを追加できるように、認証領域のロール マッピング規則に「一致 しない」ユーザー (*) にも IVE へのサインインを許可している場合にのみ、User Admin 機 能を有効にすることをお勧めします。(ロール マッピングが自動になっている場合、ユー ザー管理者は、手動で新しいユーザーをロールにマッピングするように管理者に依頼する 必要はありません。) ユーザー管理の権限をエンドユーザーに委任するには、次の操作を行います。 1. Web コンソールで、Signing In > AAA Servers を選択します。 2. ユーザー管理者に管理を任せたいローカル認証サーバー インスタンスを選択し、 Admin Users タブをクリックします。 メモ : ユーザー管理者が管理できるのは、ローカル認証サーバーだけです。 3. 選択した認証サーバーに対するアカウントを管理したいユーザーの Username を入 力します。このユーザーが、管理対象のサーバーにローカル ユーザーとして追加され ている必要はありません。 メモ : ユーザー管理者のユーザー名は厳密に一致する必要があるので、入力するときは 十分に注意してください。 4. ユーザー管理者が IVE へのサインイン時にマッピングする Authentication Realm を 選択します。 5. Add をクリックします。新しいユーザー管理者は username@servername という形 式で、User Admins リストに追加されます。 ローカル認証サーバー インスタンスを構成する 209 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. 指定したユーザー管理者が複数の領域にマッピングする場合、IVE へのサインインに 使用するアカウントに関係なくサーバーを管理できるように、各領域に対して、必要 に応じてステップ 3 ~ 5 を繰り返してください。 7. ユーザーの管理権限を取り消す場合は、User Admins リストから名前を選択して、 Remove をクリックします。 メモ : セキュア ゲートウェイ ホームページからユーザーを管理する方法については、 エンドユーザー ヘルプの「ユーザーの追加および変更」を参照してください。このヘル プは、エンドユーザーとして IVE にサインインすると呼び出すことができます。 210 ローカル認証サーバー インスタンスを構成する Juniper Networks NetScreen Secure Access 700 管理ガイド LDAP サーバー インスタンスの設定 LDAP Server ページには、次のタブがあります。 211 ページの「Settings タブ」- LDAP サーバー インスタンスを定義するには、このタ ブを使用します。 213 ページの「Users タブ」- アクティブなユーザー セッションの監視および削除に は、このタブを使用します。 Settings タブ IVE は LDAP 固有の 2 つの認証オプションをサポートします。 Unencrypted:ユーザー名とパスワードは、明瞭でシンプルなテキストとして、 LDAP ディレクトリ サービスに送信されます。 LDAPS:LDAP ディレクトリ サービスに送信される前に、LDAP 認証セッションの データは、Secure Socket Layer(SSL)プロトコルを使用して暗号化されます。 LDAP サーバー インスタンスの定義 LDAP サーバー インスタンスを定義するには、次の操作を行います。 1. Web コンソールで、Signing In > AAA Servers を選択します。 2. 次のいずれかの操作を行います。 新しいサーバー インスタンスを IVE 上で作成するには、New リストから LDAP Server を選択して、New Server をクリックします。 既存のサーバー インスタンスを更新するには、Authentication/Authorization Servers リストから該当するリンクをクリックします。 3. サーバー インスタンスを特定する名前を指定します。 4. IVE がユーザーの検証に使用する LDAP サーバーの名前または IP アドレスを指定しま す。 5. LDAP サーバーがリスンするポートを指定します。このポートは通常、非暗号化接続 のときは 389、SSL 使用のときは 636 になります。 6. バックアップ LDAP サーバーのパラメータを指定します(オプション) 。IVE は障害迂 回時に指定されたサーバーを使用します。各認証リクエストはまずプライマリ LDAP サーバーに送られ、プライマリ サーバーにアクセスできない場合には、指定された バックアップ サーバーに送られます。 メモ : バックアップ LDAP サーバーは、プライマリ LDAP サーバーと同じバージョンで ある必要があります。また、バックアップ LDAP サーバーを指定した場合、ホスト名で はなく、IP アドレスを指定するようにお勧めします。ホスト名を IP アドレスに解決する 必要がなくなるので、フェイルオーバーの処理を高速化できます。 7. 8. 9. ユーザーを認証する LDAP サーバーの種類を指定します。 IVE と LDAP ディレクトリ サービス間の接続で、暗号化するのか、または SSL (LDAP)を使用するのかを指定します。 IVE がプライマリ LDAP サーバーとの接続に待機できる時間と、その後に各バック アップ LDAP サーバーとの接続に待機できる時間を指定します。 LDAP サーバー インスタンスの設定 211 Juniper Networks NetScreen Secure Access 700 管理ガイド 10. 接続した LDAP サーバーから IVE が検索結果を得るまでに待機できる時間を指定しま す。 11. IVE アプライアンスと指定した LDAP サーバー間の接続を検証するには、Test Connection をクリックします。(オプション) 12. 検索を実行するために IVE が LDAP ディレクトリから認証を受ける必要がある場合 は、Authentication required to search LDAP チェックボックスをオンにします。次 に、管理者 DN およびパスワードを入力します。例: CN=Administrator,CN=Users,DC=eng,DC=Juniper,DC=com 13. Finding user entries で、以下を指定します。 Base DN ユーザー エントリの検索を開始する位置です。例: DC=eng,DC=Juniper,DC=com Filter 検索の微調整を行う場合に指定します。例: samAccountname=<username> or cn=<username> サインイン ページで入力したユーザー名を検索に使用するには、フィルタ に <username> を含めます。 ユーザーごとに 0 または 1 つの DN を返すフィルタを指定します。複数の DN が返された場合、IVE は最初に返された DN を使用します。 14. IVE は静的グループと動的グループの両方をサポートします。グループ参照を有効に するには、IVE が LDAP サーバーからグループを検索する方法を指定する必要があり ます。Determining group membership で、以下を指定します。 Base DN を ユーザー グループの検索を開始する位置に指定します。 Filter をユーザー グループの検索を微調整する場合に指定します。 Member Attribute で静的グループのすべてのメンバーを識別します。例: member uniquemember (iPlanet-specific) Query Attribute で動的グループのメンバーを返す LDAP クエリを指定します。 例: memberURL 212 LDAP サーバー インスタンスの設定 Nested Group Level で 1 つのグループ内でユーザーを検索するレベル数を指定し ます。レベル数が多くなればなるほど検索に時間がかかるため、検索は 2 レベル を限度に実行することをお勧めします。 Juniper Networks NetScreen Secure Access 700 管理ガイド Nested Group Search で検索: Nested groups in the LDAP Server Catalog - このオプションは、ネスト化 したグループの暗黙的な境界内で検索できるため、高速です。 Search all nested groups - このオプションでは、IVE がまずサーバー カタ ログを検索します。IVE がカタログ内で一致するもの見つけなかった場合、 LDAP に検索要求して、グループ メンバーがサブグループであるかどうかを 判断します。 メモ : 親グループのメンバーがユーザー オブジェクトであるかグループ オブジェクト であるかを判断するため IVE がサーバー カタログ内を見るため、サーバー カタログ内 に親グループと子グループ(ネスト化されたグループ)の両方を加える必要がありま す。 15. Bind Options で、以下を選択します。 Simple bind ユーザーの資格情報を暗号化せずに LDAP ディレクトリ サービスに 送信します。 StartTLS bind ユーザーの資格情報を Transport Layer Security(TLS)プロトコル を使用して暗号化してから、IVE がデータを LDAP ディレクトリ サービスに送信 します。 16. Save Changes をクリックします。初めてサーバー インスタンスを作成する場合には、 Settings タブと Users タブが表示されます。 17. 管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定し ます 。詳細については、241 ページの「認証領域ポリシーの指定」を参照してくだ さい。 ユーザーの LDAP ホーム ディレクトリにマップする Windows ファイル ブックマークを作 成するには、271 ページの「LDAP サーバーにマップする Windows ブックマークの作成」 を参照してください。 メモ : IVE は、LDAP サーバー上で有効な場合、参照追跡をサポートします。 Users タブ アクティブなユーザー セッションの監視および削除 サーバーを通じて現在サインインしているユーザーのセッションを監視および削除するこ とについての詳細は、235 ページの「ユーザー セッションの表示と削除」を参照してくだ さい。 メモ : IVE Web コンソールは、コンソール全体のさまざまな ユーザー タブに各ユー ザー アカウントが前回アクセスした統計情報を、Last Sign-in Statistic 項目に提供しま す。提供される統計には、各ユーザーが前回正常にサインインした時の日時、ユーザー の IP アドレス、エージェントとブラウザの種類とバージョンが含まれます。 LDAP サーバー インスタンスの設定 213 Juniper Networks NetScreen Secure Access 700 管理ガイド NIS サーバー インスタンスの設定 次のトピックについて説明します。 214 ページの「NIS サーバーでユーザーを認証する」 214 ページの「NIS サーバー インスタンスの定義」 NIS サーバーでユーザーを認証する UNIX/NIS サーバーでユーザーを認証する場合、IVE は、サインイン ページに入力された ユーザー名とパスワードと、NIS サーバーにある有効なユーザー ID とパスワードを照合 して、一致しているかどうか確認します。IVE に送信するユーザー名には、2 つの連続し たチルダ(~~)は使用できません。 メモ : IVE で NIS 認証を使用できるのは、パスワードが Crypt または MD5 フォーマット を使用して NIS サーバー上に格納されている場合のみです。また、IVE に追加できる NIS サーバー設定は 1 つだけです。ただし、その設定を使用して領域の任意のメンバーを認 証できます。 NIS サーバー インスタンスの定義 NIS サーバー インスタンスを定義するには、次の操作を行います。 1. Web コンソールで、Signing In > AAA Servers を選択します。 2. 次のいずれかの操作を行います。 新しいサーバー インスタンスを IVE 上で作成するには、New リストから NIS Server を選択して、New Server をクリックします。 既存のサーバー インスタンスを更新するには、Authentication/Authorization Servers リストから該当するリンクをクリックします。 3. サーバー インスタンスを特定する名前を指定します。 4. NIS サーバーの名前または IP アドレスを指定します。 5. NIS サーバーのドメイン名を指定します。 6. Save Changes をクリックします。初めてサーバー インスタンスを作成する場合には、 Settings タブと Users タブが表示されます。 7. 管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定し ます 。詳細については、241 ページの「認証領域ポリシーの指定」を参照してくだ さい。 メモ : サーバーを通じて現在サインインしているユーザーのセッションを監視および削 除することについての詳細は、235 ページの「ユーザー セッションの表示と削除」を参 照してください。 214 NIS サーバー インスタンスの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド ACE/Server インスタンスの構成 次のトピックについて説明します。 215 ページの「ACE/Server の概要」 216 ページの「ACE/Server インスタンスを定義する」 216 ページの「ACE/Agent 構成ファイルの生成」 ACE/Server の概要 RSA ACE/Server でユーザーを認証する場合、ユーザーは標準 IVE サインイン ページを表 示して、ユーザー名とパスワード(PIN と RSA SecurID ハードウェアまたはソフトウェア トークンの現在値を結合した値)を入力します。次に、IVE は、ユーザーの資格情報を ACE/Server に転送します。 ACE/Server によって認証されると、ユーザーは IVE へのアクセスが許可されます。認証で きなかった場合は、ACE/Server は以下の処理を行います。 ユーザーの資格情報が認められなかった場合は、ユーザー アクセスを拒否します。 ユーザーが IVE に初めてサインインする場合は、ユーザーは新しい PIN(New PIN モード)を生成するよう要求されます。(サインインの方法によって異なるメッセー ジが表示されます。ユーザーが SoftID プラグインを使用してサインインした場合は、 新しい PIN の作成を求める RSA プロンプトが表示されます。それ以外の場合は、IVE プロンプトが表示されます。) ユーザーが入力したトークンが ACE/Server が予期するトークンと同期していない場 合、ユーザーに次のトークン(Next Token モード)を入力するよう要求します。 (Next Token モードで、SoftID トークンを使用してもユーザーは速やかにサインイン できます。RSA SecurID ソフトウェアは、ユーザーの操作なしで、IVE を通じてトー クンを ACE/Server に渡します)。 ユーザーを標準 IVE サインイン ページにリダイレクトする(SoftID のみ)のは、 SecurID ソフトウェアがインストールされていないコンピュータで、ユーザーが RSA SecurID Authentication ページにサインインしようとした場合です。 ユーザーが New PIN または Next Token モードに入った場合、必要な情報を 3 分以内に入 力する必要があります。時間が過ぎると、IVE はトランザクションをキャンセルし、資格 情報を再び入力するように指示してきます。 IVE は、最大 200 の ACE/Server トランザクションを同時に制御できます。1 つのトランザ クションは、ACE/Server に対する認証に必要な時間のみ持続します。たとえば、ユーザー が IVE にサインインすると、ユーザーが認証要求を送信したときに ACE/Server のトラン ザクションが開始し、ACE/Server が要求処理を完了したときにトランザクションが終了 します。ACE/Server のトランザクションが閉じた後でも、ユーザーは自分の IVE セッショ ンを開いたままにすることができます。 IVE は、以下の ACE/Server 機能をサポートします。New PIN モード、Next Token モード、 DES/SDI 暗号化、AES 暗号化、スレーブ ACE/Server のサポート、ネーム ロッキング、ク ラスタ化がサポートされる機能です。また IVE では、RADIUS プロトコルを使用して、 RSA SecurID の New PIN モードと Next Token モードもサポートされます。 メモ : ACE/Server ライブラリには UNIX 固有の制限事項があるため、ACE/Server 構成を 1 つしか定義できません。ACE サーバー上で IVE の ACE/Agent 構成ファイルを生成する 方法については、216 ページの「ACE/Agent 構成ファイルの生成」を参照してください。 ACE/Server インスタンスの構成 215 Juniper Networks NetScreen Secure Access 700 管理ガイド ACE/Server インスタンスを定義する メモ : ACE/Server インスタンスは 1 つだけ追加することができます。 ACE/Server を定義するには、次の操作を行います。 1. IVE のために ACE サーバー上で ACE/Agent 設定ファイル(sdconf.rec)を生成する必 要があります。詳細については、216 ページの「ACE/Agent 構成ファイルの生成」を 参照してください。 2. Web コンソールで、Signing In > AAA Servers を選択します。 3. 次のいずれかの操作を行います。 新しいサーバー インスタンスを IVE で作成するには、New リストから ACE Server を選択して、New Server をクリックします。 既存のサーバー インスタンスを更新するには、Authentication/Authorization Servers リストから該当するリンクをクリックします。 4. サーバー インスタンスを特定する名前を指定します。 5. デフォルト ポートを ACE Port フィールドに指定します。IVE は、sdconf.rec ファイ ルにポートが指定されていない場合にのみ、この構成を使用します。 6. RSA ACE/Agent 構成ファイルをインポートします。ソース ファイルに変更を加えた場 合は、必ず IVE でこのファイルを更新してください。同様に、IVE からインスタンス ファイルを削除する場合は、216 ページの「ACE/Agent 構成ファイルの生成」の説明 に従って ACE Server Configuration Management アプリケーションを起動し、Sent Node Secret チェックボックスをオフにします。 7. Save Changes をクリックします。初めてサーバー インスタンスを作成する場合には、 Settings タブと Users タブが表示されます。 8. 管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定 します 。詳細については、241 ページの「認証領域ポリシーの指定」を参照して ください。 メモ : サーバーを通じて現在サインインしているユーザーのセッションを監視および削 除することについての詳細は、235 ページの「ユーザー セッションの表示と削除」を参 照してください。 ACE/Agent 構成ファイルの生成 認証のために ACE/Server を使用する場合、IVE 用に ACE サーバー上で ACE/Agent 設定 ファイル(sdconf.rec)を生成する必要があります。 ACE/Agent 構成ファイルを生成するには、次の操作を行います。 216 1. ACE Server Configuration Management アプリケーションを起動して、Agent Host を クリックします。 2. Add Agent Host をクリックします。 3. Name には、IVE エージェントの名前を入力します。 4. Network Address には、IVE の IP アドレスを入力します。 ACE/Server インスタンスの構成 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. ACE サーバーで構成されるサイトを Site に入力します。 6. Agent Type で、Communication Server を選択します。 7. Encryption Type で、DES を選択します。 8. Sent Node Secret が選択されていないことを確認します(新しいエージェントの 作成時)。 IVE が送信した要求を ACE サーバーが初めて正常に認証すると、ACE サーバーは Sent Node Secret を選択します。これ以降、次の認証要求で ACE サーバーから新しい ノード シークレットを IVE に送信したい場合は、次の手順を行います。 9. a. Sent Node Secret チェックボックスをクリックして、チェックを解除します。 b. IVE Web コンソールにサインインして、Signing In > AAA Servers を選択し ます。 c. Authentication/Authorization Servers リストの ACE サーバーの名前をクリック します。 d. Node Verification File で、適切なチェックボックスを選択して、Delete をク リックします。これらのステップで、IVE と ACE サーバーの同期が確実に行われ ます。同様に、IVE から検証ファイルを削除した場合は、ACE サーバーで Sent Node Secret チェックボックスのチェックを外す必要があります。 Assign Acting Servers をクリックして、適切な ACE サーバーを選択します。 10. Generate Config File をクリックします。ACE サーバーを IVE に追加する場合、この 設定ファイルをインポートすることになります。 ACE/Server インスタンスの構成 217 Juniper Networks NetScreen Secure Access 700 管理ガイド RADIUS サーバー インスタンスの設定 次のトピックについて説明します。 218 ページの「RADIUS サーバーの概要」 218 ページの「サポートされる認証方式」 218 ページの「RADIUS ユーザーのためのユーザー機能」 220 ページの「RADIUS アカウンティングの有効化」 223 ページの「IVE を RADIUS サーバーと連動するよう設定する」 RADIUS サーバーの概要 RADIUS(リモート認証ダイヤルイン ユーザー サービス)は、遠隔ユーザーに対する認証 とアカウンティングを集中管理できるサーバーの一種です。RADIUS サーバーで IVE ユー ザーを認証する場合は、IVE をクライアントとして認識するように RADIUS サーバーを設 定し、クライアント要求の認証に使用する RADIUS サーバーの共有シークレットを指定す る必要があります。 サポートされる認証方式 IVE は、以下の標準の RADIUS 認証方式をサポートします。 Access-Request Access-Accept Access-Reject Access-Challenge また IVE は、RADIUS プロトコルや SecurID トークン(Security Dynamics から入手可能) を使用して、RSA ACE/Server をサポートします。ユーザーの認証に SecurID を使用する場 合、ユーザーはユーザー ID とともに、PIN とトークン値を結合した値を指定する必要が あります。 RADIUS サーバーを定義するときに、管理者は、Defender 4.0 と一部の RADIUS サーバー の実装(Steelbelted-RADIUS および RSA RADIUS など)をサポートするハードコードされ たチャレンジ式を使用するか(デフォルト)、カスタム チャレンジ式を入力して、IVE で さまざまな RADIUS の実装と Defender 5.0 などの新バージョンの RADIUS サーバーを使 用可能にすることができます。IVE はサーバーから受け取った Access-Challenge パケット 内でレスポンスを探し、適切な Next Token、New Pin、または Generic Passcode チャレン ジをユーザーに発行します。 RADIUS ユーザーのためのユーザー機能 ユーザーの操作は、PassGo Defender RADIUS サーバーや CASQUE 認証を使用するかどう かにより異なります。 PassGo Defender RADIUS サーバーを使用する PassGo Defender RADIUS Server を使用している場合、ユーザーは次の手順でサインイン を行います。 1. 218 ユーザーは、ユーザー名とパスワードを入力して IVE にサインインします。IVE は、 これらの資格情報を Defender に転送します。 RADIUS サーバー インスタンスの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 2. Defender は固有のチャレンジ文字列を IVE に送信し、IVE はこのチャレンジ文字列を ユーザーに表示します。 3. ユーザーは、Defender トークンにチャレンジ文字列を入力し、トークンはレスポン ス文字列を生成します。 4. ユーザーは IVE にレスポンス文字列を入力し、Sign In をクリックします。 CASQUE 認証の使用 CASQUE 認証は、クライアント システムにインストールされた CASQUE プレイヤーを用 いたトークンベースのチャレンジ / レスポンス認証メカニズムを使用します。CASQUE 認 証が設定されると、RADIUS サーバーはカスタム チャレンジ式(:([0-9a-zA-Z/+=]+):)に 一致するレスポンスを持つチャレンジを発行します。次に IVE は中間ページを生成し、そ こでユーザーの システムにインストールされた CASQUE プレイヤーを自動起動します。 メモ : CASQUE プレイヤーが自動的に起動しない場合は、Launch CASQUE Player リン クをクリックします。 ユーザーは、自分の CASQUE Optical Responder トークンを使用して対応するパスコード を生成し、そのパスコードを Response フィールドに入力して Sign In をクリックする必 要があります。 図 30: CASQUE プレイヤーを備えた CASQUE 認証チャレンジ / レスポンス ページ RADIUS サーバー インスタンスの設定 219 Juniper Networks NetScreen Secure Access 700 管理ガイド RADIUS アカウンティングの有効化 Secure Access 700 を設定して、セッションの開始および停止のメッセージを RADIUS ア カウンティング サーバーに送信することができます。IVE は、Network Connect セッショ ンの 2 つのカテゴリ(ユーザー セッションとサブ セッション)を認識します。ユーザー セッションには複数のサブセッションが含まれます。 ユーザーがサインインに成功し、IVE によってユーザーがロールにマッピングされると、 IVE はユーザー セッションの開始メッセージを送信します。サブセッションがアクティブ になると、IVE はサブセッションの開始メッセージを送信します。ユーザーからサブセッ ション終了の明示的な要求がある場合、またはユーザー セッションが終了する場合、IVE はサブセッション停止のメッセージを送信します。 ユーザー セッションが終了すると、IVE はアカウンティング サーバーにユーザー セッ ション停止メッセージを送信します。ユーザーが以下の状況の場合に、ユーザー セッショ ンは常に終了します。 IVE を手動でサインアウトした場合 無通信状態か、最大セッション長さを超過したため、IVE がタイムアウトした場合 Host Checker または Cache Cleaner のロール レベルの制限のためにアクセスを拒否さ れた場合 管理者により、または動的ポリシー評価によって、IVE から手動で退出させられ た場合 さらに、IVE はすべてのアクティブなサブセッションの停止メッセージを送信します。 サブセッションの停止メッセージは、ユーザー セッションの停止メッセージに先立ち ます。 メモ : ユーザーが IVE クラスタにサインインしていると、RADIUS アカウンティング メッセージはユーザーが 1 つのノードにサインインし、別のノードからサインアウトし ているように表示する場合があります。 220 RADIUS サーバー インスタンスの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 以下の 3 つの表は開始メッセージと停止メッセージに共通する属性、開始メッセージに 固有の属性、停止メッセージに固有の属性について説明しています。 表 9: 開始メッセージと停止メッセージの両方に共通する属性 属性 説明 User-Name (1) RADIUS サーバーの設定時に、IVE 管理者によって指定される文 字列。 NAS-IP-Address (4) IVE の IP アドレス NAS-Port (5) IVE は、ユーザーが内部ポートを使用してサインインするとこの 属性を 0 に設定し、外部ポートを使用してサインインすると 1 に設定します。 Framed-IP-Address (8) ユーザーのソース IP アドレス NAS-Identifier (32) RADIUS サーバーの構成における IVE クライアントの設定名。 Acct-Status-Type (40) IVE はユーザー セッションまたはサブセッションで、開始メッ セージに対してこの属性を 1 に設定し、停止メッセージに対し てこの属性を 2 に設定します。 Acct-Session-Id (44) ユーザーセッションまたはサブセッションに対応する、開始 メッセージと停止メッセージに一致する一意のアカウンティン グ ID Acct-Multi-Session-Id (50) 関連する複数のセッションをリンクするのに使用できる一意の アカウンティング ID。リンクされたセッションには、それぞれ 一意の Acct-Session-Id と同一の Acct-Multi-Session-Id を保持して いる必要があります。 Acct-Link-Count (51) IVE が アカウンティング 記録を作成する時点での、マルチ リン ク セッションにおけるリンク数。 表 10: 開始の属性 属性 説明 Acct-Authentic (45) IVE はこの属性を以下のように設定します。 RADIUS - ユーザーが RADIUS サーバーに認証された場合 Local - ユーザーが IVE Local Authentication Server に認証さ れた場合 Remote - それ以外の場合 RADIUS サーバー インスタンスの設定 221 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 11: 停止の属性 属性 説明 Acct-Session-Time (46) ユーザー セッションまたはサブセッションの持続時間 Acct-Terminate-Cause (49) IVE は以下の値を使用して、ユーザー セッションまたはサブ セッションの終了の原因となったイベントを指定します。 User Request (1) - ユーザーが手動でサインアウト Idle Timeout (4) - ユーザーのアイドリングによるタイム アウト Session Timeout (5) - ユーザーのセッション制限時間超過に よるタイムアウト Admin Reset (6) - ユーザーの Active Users ページからの強制 退出 Acct-Input-Octets セッションが終了したときは JSAM/WSAM/NC セッション レベル のオクテット ベースのカウント、セッションが終了して中間更 新時間が到達したときはユーザー セッションレベルの Octet ベースのカウント。IVE からクライアントに送られます。 Acct-Output-Octets セッションが終了したときは JSAM/WSAM/NC セッション レベル のオクテット ベースのカウント、セッションが終了して中間更 新時間が到達したときはユーザー セッションレベルの Octet ベースのカウント。クライアントから IVE に送られます。 ユーザーセッションとサブセッションを見分けるには、Acct-Session-Id と Acct-MultiSession-Id を調べます。ユーザーセッションでは、これらの属性は両方とも同じです。サ ブセッションでは、Acct-Multi-Session-Id はペアレント ユーザーセッションの Acct-MultiSession-Id と同じであり、Secure Access 700 は Acct-Session-Id の “NC” のサフィックスの いずれかを使用してサブセッションを表します。 クラスタリングの問題について理解する アカウンティング メッセージは、各クラスタ ノードによって併合なしに RADIUS に送ら れます。IVE の RADIUS アカウンティングには以下の前提条件があります。 クラスタがアクティブ / パッシブの場合、すべてのユーザーが 1 度に 1 つのノードに 接続されます。 クラスタがアクティブ / アクティブの場合で、バランサを使用しない場合は、ユー ザーがそれぞれ別の静的ノードに接続されます。 クラスタがアクティブ / アクティブの場合で、バランサを使用する場合は、通常バラ ンスが固定ソース IP を強制します。この場合、ユーザーは常に同じノードに接続し ます。 IVE は、RADIUS に対してロード バランサをサポートしません。 222 RADIUS サーバー インスタンスの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 中間更新機能について理解する サーバーが中間アカウンティング メッセージを受信できるよう、クライアント上で中間 値を静的に設定することができます。この場合、RADIUS Access-Accept メッセージにこの 値が含まれていると、ローカルで設定された値が優先されます。 アカウンティング メッセージ内で報告されたオクテット値は、ユーザー セッションの開 始時からの累計です。 中間更新バイト数はユーザー セッションにのみ基づいてサポートされ、SAM あるいは NC セッションに基づいてサポートされません。 IVE を RADIUS サーバーと連動するよう設定する このセクションでは、IVE と RADIUS を連動するように設定する手順を説明します。 223 ページの「IVE RADIUS サーバー インスタンスの定義」 225 ページの「IVE を認識するよう RADIUS サーバーを設定する」 IVE RADIUS サーバー インスタンスの定義 IVE で RADIUS サーバーとの接続を設定するには、次の操作を行います。 1. Web コンソールで、Signing In > AAA Servers を選択します。 2. 次のいずれかの操作を行います。 3. 新しいサーバー インスタンスを IVE 上で作成するには、New リストから Radius Server を選択して、New Server をクリックします。 既存のサーバー インスタンスを更新するには、Authentication/Authorization Servers リストから該当するリンクをクリックします。 Radius Server ページの上部で、次の操作を行います。 a. サーバー インスタンスを特定する名前を指定します。 b. RADIUS サーバーの名前または IP アドレスを指定します。 c. RADIUS サーバーの認証ポート値を入力します。通常、このポートは 1812 です が、一部のレガシー サーバーは 1645 を使用することがあります。 d. 共有シークレットの文字列を入力します。RADIUS サーバーが IVE マシンをクラ イアントとして認識するように設定する場合は、この文字列も入力する必要があ ります。 e. RADIUS サーバーのアカウンティング ポート値を入力します。通常、このポート は 1813 ですが、一部のレガシー サーバーは 1646 を使用することがあります。 f. IVE が RADIUS サーバーからの応答をどれだけの時間待ってから、タイムアウト して接続を切るかを指定します。 g. 最初の試行が失敗した後に、IVE が接続を試みる回数を入力します。 h. ユーザーによって入力されたパスワードを他の SSO 対応のアプリケーションに 送信したくない場合は、Users authenticate using tokens or one-time passwords チェックボックスをオンにします。ユーザーが 1 回限りのパスワードを IVE に送 信する場合、通常、このオプションを選択する必要があります。 RADIUS サーバー インスタンスの設定 223 Juniper Networks NetScreen Secure Access 700 管理ガイド 4. 5. Backup Server のセクションで、事例に定義されたプライマリ サーバーにアクセスで きなかった場合に、IVE が使用するセカンダリ RADIUS サーバーを入力します。セカ ンダリサーバーに、以下のサーバー情報を入力します。 a. 名前または IP アドレス b. 認証ポート c. 共有シークレット d. アカウンティング ポート この RADIUS サーバーの事例を使用して、ユーザーの IVE 使用状況を調べる場合は、 次の情報を Radius Accounting セクションに入力します。 a. NAS-Identifier フィールドに、RADIUS サーバーと通信を行う IVENetwork Access Server(NAS)クライアントを特定する名前を入力します。このフィールドが空 白の場合、IVE は、Web コンソールの System > Network > Overview ページに ある Hostname フィールドで指定された値を使用します。Hostname フィールド に値が指定されていない場合、IVE は、“Juniper IVE” の値を使用します。 b. User-Name フィールドで、IVE が RADIUS アカウンティング サーバーに送信す るユーザー情報を指定します。該当する変数には、ユーザーのサインインとロー ルへの割り当て後に設定されるものが含まれます。このフィールドのデフォルト 変数には以下のものがあります。 <username> はユーザーの IVE ユーザー名をアカウンティング サーバーに 記録します。 <REALM> は、ユーザーの IVE 領域をアカウンティング サーバーに記録しま す。 <ROLE> は、ユーザーの IVE ロールをアカウンティング サーバーに記録し ます。ユーザーが複数のロールに割り当てられている場合、IVE はカンマで 区切ります。 6. 中間更新レベルを追加します(分単位)。中間更新レベルでは、長期性のセッション クライアントに対して、またネットワークにエラーが生じた場合に、より正確な請求 を行うことができます。詳細については、223 ページの「中間更新機能について理解 する」を参照してください。 7. カスタム チャレンジ式を追加します(オプション)。チャレンジ式は 3 種類あり、そ れぞれが、事前入力されたデフォルトに自動的に設定されています。管理者はカスタ ム オプションを使用して、3 つのいずれかのモードに一致する実際の文字列パター ンを設定できます。カスタム式を追加するには、該当する種類のチャレンジ式で Custom ラジオ ボタンを選択し、関連するテキスト ボックスにカスタム式を追加し ます。 メモ : CASQUE 認証を使用するときには、:([0-9a-zA-Z/+=]+): を Generic Login Challenge Expression のカスタム式として指定します。 8. 224 Save Changes をクリックします。初めてサーバー インスタンスを作成する場合には、 Settings タブと Users タブが表示されます。 RADIUS サーバー インスタンスの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 9. 管理者とユーザーを認証、承認、アカウント処理するために、サーバーが使用する領 域を指定します。詳細については、241 ページの「認証領域ポリシーの指定」を参照 してください。 メモ : このサーバーから現在サインインしているユーザーのセッションを監視および削 除する方法については、235 ページの「ユーザー セッションの表示と削除」を参照して ください。 IVE を認識するよう RADIUS サーバーを設定する 以下を指定して、RADIUS サーバーが IVE サーバーを認識するように設定する必要があり ます。 IVE のホスト名。 IVE のネットワーク IP アドレス。 IVE のクライアントの種類(指定可能な場合)。このオプションを利用できる場合は、 Single Transaction Server または類似の値を選択します。 クライアント通信の認証に使用する暗号化の種類。この選択は、クライアントの種類 に対応した値でなければなりません。 Web コンソールの Signing In > AAA Servers > Radius Server ページで RADIUS サー バーに入力した共有シークレット。 RADIUS サーバー インスタンスの設定 225 Juniper Networks NetScreen Secure Access 700 管理ガイド Active Directory または NT ドメイン インスタンスの設定 次のトピックについて説明します。 226 ページの「Active Directory/Windows NT Server の概要」 227 ページの「マルチドメイン ユーザーの認証」 228 ページの「Active Directory および NT のグループの検索サポート」 229 ページの「Active Directory または Windows NT ドメイン サーバー インスタンス の定義」 Active Directory/Windows NT Server の概要 NT プライマリ ドメイン コントローラ(PDC)または Active Directory でユーザーを認証 する場合、ユーザーは Windows デスクトップのアクセスに使用する同じユーザー名とパ スワードで IVE にサインインします。IVE は Windows NT 認証と、NTLM または Kerberos 認証を使用する Active Directory をサポートしています。 ネイティブ Active Directory サーバーを構成すると、サーバーからグループ情報を取得し て領域のロール マッピング規則に使用できます。この場合には、領域の認証サーバーとし て Active Directory サーバーを指定してから、グループのメンバーシップに基づいてロー ル マッピング規則を作成します。IVE には設定されたドメイン コントローラとその信頼さ れる側のドメインに属するすべてのグループが表示されます。詳細については、242 ペー ジの「認証領域にロール マッピング規則を指定」を参照してください。 メモ : 226 IVE では、Active Directory 環境と Windows NT 環境の信頼関係が維持されます。 IVE は、Active Directory フォレストで定義された ドメイン ローカル グループ、ド メイン グローバル グループ、ユニバーサル グループをサポートします。さらに、 NT4 サーバーのドメイン ローカル グループとドメイン グローバル グループもサ ポートします。 IVE は、Active Directory のセキュリティ グループのみをサポートし、配布グループ はサポートしません。セキュリティ グループは、権利や許可を割り当てるだけでは なく E メールの配布リストとして利用することができるグループです。 Active Directory または NT ドメイン インスタンスの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド マルチドメイン ユーザーの認証 IVE はマルチドメインの Active Directory と Windows NT の認証を許可します。IVE は、 Signing In > AAA Servers > New Active Directory / Windows NT ページで設定されたド メインのユーザー、子ドメインのユーザー、構成されたドメインが信頼するすべてのドメ インのユーザーを認証します。 IVE の Active Directory サーバー構成でドメイン コントローラとデフォルト ドメインのア ドレスを指定した後、デフォルト ドメインのユーザーはユーザー名だけを使用するか、 あるいは defaultdomain\username 形式でのデフォルト ドメインとユーザー名を使用し て IVE の認証を受けます。 信頼される側のドメインの認証を有効にすると、信頼される側のドメインまたは子ドメイ ンのユーザーは、信頼される側のドメインまたは子ドメインの名前とユーザー名を使用し た trusteddomain\username 形式で IVE の認証を受けます。信頼される側のドメインの 認証を有効にすることにより、サーバーの応答時間が増えることに留意してください。 Windows 2000 および Windows 2003 のマルチドメイン認証 IVE は、Kerberos ベースの Active Directory の認証を Windows 2000 および Windows 2003 ドメイン コントローラでサポートしています。ユーザーが IVE にログインすると、IVE は Kerberos 認証を実行し、LDAP を呼び出してドメイン コントローラに使用する Kerberos の領域名とすべての子領域名および信頼される側の領域名の取得を試みます。 Active Directory の認証サーバーを構成する際に Kerberos 領域名を指定することもできま すが、以下にあげる 2 つの理由からこの方法はお勧めしません。 複数の領域名は指定できません。そのために、IVE は指定した領域の子領域または信 頼される側の領域への認証ができません。 領域名の文字を誤って入力すると、IVE は該当する領域にユーザーを認証できなくな ります。 Windows NT4 のマルチドメインの認証 IVE は Windows NT4 ドメイン コントローラでの Kerberos ベース認証をサポートしませ ん。IVE は、Kerberos 認証の代わりに、NTLM 認証を利用します。 メモ : IVE は、ユーザー認証のために <IVE-IPaddress> 形式のマシン名を使用してデ フォルトのドメイン コントローラ サーバーに加わります。 メモ : Windows NT4 ドメイン コントローラの DNS 構成が変わった場合は、IVE が、構 成が変わる前に名前を解決できた WINS、DNS、あるいは ホストファイルを使用し、引 き続き名前(子ドメインと信頼される側のドメイン)の解決が可能であることを確認し てください。 Active Directory または NT ドメイン インスタンスの設定 227 Juniper Networks NetScreen Secure Access 700 管理ガイド NT ユーザーの正規化 IVE はマルチドメインの認証をサポートするために、認証プロセスにおいて Active Directory または NT4 ドメイン コントローラを連動するときに「正規化した」NT 資格証 明を使用します。正規化した NT 資格証明にはドメイン名とユーザー名 (domain\username) が含まれます。IVE へのサインイン方法が、ユーザー名だけを使用 するものであっても、domain\username 形式を使用するものであっても、IVE は常に domain\username 形式のユーザー名を使用します。 ユーザーがユーザー名だけを使用して認証を試みた場合、IVE は常に NT 資格情報を defaultdomain\username として正規化します。ユーザーがデフォルト ドメインのメン バーである場合のみ、認証が成功します。 IVE は、 domain\username 形式を使用して IVE にサインインするユーザーには、常に ユーザーが指定したドメインのメンバーとして、そのユーザーの認証を試行します。ユー ザーが指定したドメインがデフォルト ドメインの信頼される側のドメインあるいは子ド メインである場合にのみ、認証が成功します。ユーザーが無効ドメインあるいは信頼され ていないドメインを指定すると、認証に失敗します。 <NTUser> および <NTDomain> の 2 つの変数によって、ドメインと NT ユーザーの値を 個々に参照することができます。IVE は、この 2 つの変数を、ドメインと NT ユーザー名 の情報で設定します。 メモ : USER = someusername で Active Directory の認証用に既存のロール マッピング 規則を使用する、あるいは新規ロール マッピング規則を作成する場合、IVE はこの規則 を意味的に NTUser = someusername AND NTDomain = defaultdomain として扱いま す。これにより、IVE に既存のロール マッピング規則が問題なく適用されます。 Active Directory および NT のグループの検索サポート IVE は、Active Directory フォレストのドメイン ローカル グループ、ドメイン グローバル グループ、ユニバーサル グループ、および NT4 サーバーのドメイン ローカル グループ、 ドメイン グローバル グループにおけるユーザー グループの検索をサポートします。 メモ : NT あるいは Active Directory のグループ検索を実行するために、IVE はまず、コ ンピュータ名 neoterisive$ でドメイン コントローラへの参加を試みます。これに成功す ると、有効なドメイン管理者の資格情報を IVE 上の Active Directory サーバー構成に指定 する必要があります。 Active Directory 検索要件 IVE は、デフォルト ドメイン、子ドメイン、およびすべての信頼される側のドメインにお いて、ドメイン ローカル グループ、ドメイン グローバル グループ、ユニバーサル グ ループの検索をサポートします。IVE は、グループ メンバーを取得するのに、異なる機能 を持った 3 つの方法のいずれかを使用します。 228 ユーザーのセキュリティ コンテキストのグループ情報 - ユーザーのドメイン グ ローバル グループに関する情報を返します。 LDAP 検索コールを使用して取得するグループ情報 - ユーザーのドメイン グローバ ル グループに関する情報と、IVE がグローバル カタログ サーバーを検索する場合に はユーザーのユニバーサル グループに関する情報を返します。 ネイティブ RPC コールを使用したグループ情報 - ユーザーのドメイン ローカル グ ループに関する情報を返します。 Active Directory または NT ドメイン インスタンスの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド ロールのマッピング規則に従い、IVE は以下の順でグループの検索を試行します。 IVE は、ユーザーのセキュリティ コンテキストを使用して、すべてのドメイン グ ローバル グループをチェックします。 ユーザーがこのロール マッピング規則で参照されたグループのメンバーではない場 合、IVE は LDAP クエリを実行して、ユーザーのグループ メンバーシップを確認しま す。 ユーザーがドメイン ローカル グループのメンバーではない場合、IVE は RPC 検索 コールを実行してユーザーの情報を確認します。 NT4 グループ検索の要件 IVE は、デフォルト ドメインに加え、すべての子ドメインとその他の信頼される側のドメ インで作成された、ドメイン ローカル グループとドメイン グローバル グループにおい て、グループ 検索をサポートします。IVE は、ユーザーのセキュリティ コンテキストから ドメイン グローバル グループ情報を、また RPC コールを使用してドメイン ローカル情 報を取得します。IVE は、NT4 環境では LDAP ベースの検索コールを使用しません。 Active Directory または Windows NT ドメイン サーバー インスタンスの定義 Active Directory または Windows NT ドメイン サーバーを定義するには、次の操作を行い ます。 1. Web コンソールで、Signing In > AAA Servers を選択します。 2. 次のいずれかの操作を行います。 新しいサーバー インスタンスを IVE で作成するには、New リストから Active Directory/Windows NT を選択して、New Server をクリックします。 既存のサーバー インスタンスを更新するには、Authentication/Authorization Servers リストから該当するリンクをクリックします。 3. サーバー インスタンスを特定する名前を指定します。 4. プライマリ ドメイン コントローラまたは Active Directory の名前または IP アドレス を指定します。 5. バックアップ ドメイン コントローラまたは Active Directory の IP アドレスを指定し ます。(オプション) 6. アクセス権を与えるユーザーのドメイン名を入力します。 7. ユーザーが domain\username という形式で IVE サインイン ページの Username フィールドにドメイン名を入力できるようにするには、Allow domain to be specified as part of username チェックボックスをオンにします。 8. Allow trusted domains のチェックボックスをオンにして、フォレスト内の信頼され る側のすべてのドメインからグループ情報を取得します。 9. サーバーの管理者ユーザー名とパスワードを入力します。Active Directory/Windows NT の認証では、指定した管理者がドメイン管理者になっていることを確認してくだ さい。 メモ : 変更を保存すると、パスワードの文字数に関係なくパスワードが隠され、アスタ リスク文字で表示されます。 Active Directory または NT ドメイン インスタンスの設定 229 Juniper Networks NetScreen Secure Access 700 管理ガイド 10. Authentication Protocol で、認証中に IVE が使用するプロトコルを指定します。 11. Kerberos Realm Name で、次の操作を行います。 指定された管理者資格情報を使用して Active Directory サーバーから Kerberos 領 域名を取得するよう IVE を設定するには、Use LDAP to get Kerberos realm name をオンにします。 領域名がわかっている場合は、Specify Kerberos realm name フィールドに Kerberos 領域名を入力します。 12. Save Changes をクリックします。初めてサーバー インスタンスを作成する場合には、 Settings タブと Users タブが表示されます。 13. 管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定しま す 。詳細については、239 ページの「認証領域の作成」を参照してください。 メモ : サーバーを通じて現在サインインしているユーザーのセッションを監視および削 除することについての詳細は、235 ページの「ユーザー セッションの表示と削除」を参 照してください。 メモ : IVE Web コンソールは、コンソール全体のさまざまな Users タブに各ユーザー ア カウントが前回アクセスした統計情報を、Last Sign-in Statistic 項目に提供します。提供 される統計には、各ユーザーが前回正常にサインインした時の日時、ユーザーの IP ア ドレス、エージェントとブラウザの種類とバージョンが含まれます。 230 Active Directory または NT ドメイン インスタンスの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 匿名サーバー インスタンスを構成する 次のトピックについて説明します。 231 ページの「匿名サーバーの概要」 231 ページの「匿名サーバー インスタンスの定義」 匿名サーバーの概要 匿名サーバー機能を使用すると、ユーザー名またはパスワードを入力せずに IVE にアクセ スできます。匿名サーバーに対して認証するよう設定されているサインイン ページの URL を入力すると、標準の IVE サインイン ページは表示されずに、IVE Welcome ページ が表示されます。 IVE のリソースに厳しいセキュリティが必要ない場合、または IVE を通じて提供される他 のセキュリティ対策で十分である場合には、匿名認証を使用しても構いません。たとえ ば、内部リソースへのアクセスを制限するユーザー ロールを作成し、内部ネットワーク に存在する IP アドレスからサインインすることだけを指定したポリシーでロールを認証 します。この方法では、内部ネットワークにアクセスできるユーザーには、そのユーザー ロールで指定された特定のリソースを表示する権限も与えられていることを前提としてい ます。 匿名サーバー インスタンスを定義および監視する場合は、次の点にご注意ください。 1 つの匿名サーバーだけを構成に追加することができます。 匿名サーバーを使用して管理者を認証することができません。 構成時に、Users > Authentication > General タブで、匿名サーバーを、認証サー バーおよびディレクトリ / 属性サーバーの両方として選択する必要があります。詳細 については、239 ページの「General タブ」を参照してください。 Users > Authentication > Role Mapping タブを使用して(242 ページの「Role Mapping タブ」で説明)ロール マッピング規則を作成する場合、匿名サーバーは ユーザー名情報を取得しないため、IVE では特定のユーザー(Joe など)に適用する ロール マッピング規則を作成することができません。ロール マッピング規則は、デ フォルト ユーザー名 (*) または証明書属性に基づいてのみ作成できます。 セキュリティ上の理由で、指定された時間匿名サーバーを通じてサインインするユー ザー数を制限する必要がある場合もあります。この場合には、Users > Authentication > [ 領域 ] > Authentication Policy > Limits タブのオプションを使 用します([ 領域 ] は、ユーザー認証に匿名サーバーを使用するよう設定された領 域)。詳細については、242 ページの「同時ユーザーの制限」を参照してください。 IVE はユーザー名を収集せずに個別のセッション データを表示することができないた め、Users タブを通じて匿名ユーザーのセッションを表示および削除することはでき ません(他の認証サーバーを使用した場合は可能)。 匿名サーバー インスタンスの定義 匿名サーバーを定義するには、次の操作を行います。 1. Web コンソールで、Signing In > AAA Servers を選択します。 2. 次のいずれかの操作を行います。 新しいサーバー インスタンスを IVE 上で作成するには、New リストから Anonymous Server を選択して、New Server をクリックします。 匿名サーバー インスタンスを構成する 231 Juniper Networks NetScreen Secure Access 700 管理ガイド 232 既存のサーバー インスタンスを更新するには、Authentication/Authorization Servers リストから該当するリンクをクリックします。 3. サーバー インスタンスを特定する名前を指定します。 4. Save Changes をクリックします。 5. ユーザーを認証するために、サーバーが使用する領域を指定します 。詳細について は、241 ページの「認証領域ポリシーの指定」を参照してください。 匿名サーバー インスタンスを構成する Juniper Networks NetScreen Secure Access 700 管理ガイド 証明書サーバー インスタンスを設定する ここでは以下について説明します。 233 ページの「Certificate Server の概要」 233 ページの「証明書サーバー設定の定義」 Certificate Server の概要 証明書サーバー機能により、ユーザーは、クライアントサイド証明書に含まれる属性に基 づいて認証することができます。ユーザーを認証してロールにマッピングするために、証 明書サーバーを単独で使用することも、または他のサーバーと一緒に使用することもでき ます。 たとえば、証明書属性のみに基づいてユーザーを認証できます。IVE によって、ユーザー の証明書が有効であると判断されると、ユーザーは指定された証明書属性に基づいてサイ ンインされるため、ユーザー名やパスワードの入力は求められません。 クライアントサイドの証明書属性を 2 次認証サーバー(LDAP など)に渡してユーザーを 認証する方法もあります。この場合、認証サーバーはまず、ユーザーの証明書の有効性を 確認します。このあと、IVE は領域レベルのロール マッピング規則を使用して、証明書属 性とユーザーの LDAP 属性を照合します。適切な一致が見つからない場合、IVE は指定に 従ってユーザーのアクセスを拒否するか、アクセスを制限します。 メモ : クライアントサイド証明書を使用する場合は、IVE をサインアウトした後、必ず ブラウザを閉じるよう、エンドユーザーに徹底してください。Web ブラウザを閉じな かった場合、他のユーザーが開いたままのブラウザ セッションを使用して、再認証を行 うことなく IVE にある証明書保護されたリソースにアクセスすることが可能になりま す。(クライアントサイド証明書をロードした後、Internet Explorer は証明書の識別情 報と秘密鍵をキャッシュに保存します。ブラウザは、ユーザーがブラウザを閉じるまで (場合によっては、ユーザーがワークステーションを再起動するまで)、これらの情報を 保持します。詳細については、http://support.microsoft.com/?kbid=290345 を参照し てください。)ブラウザを閉じる指示を、メッセージで表示するには、System > Signing In > Sign-in Pages タブでサインアウト メッセージを変更します。 証明書サーバー設定の定義 IVE で証明書サーバーを定義するときは、次のステップを実行する必要があります。 1. System > Configuration > Certificates > CA Certificates タブの設定を使用して、ク ライアントサイド証明書の署名に使用する CA 証明書をインポートします。 2. 証明書サーバー インスタンスを作成するには、次の操作を行います。 a. Signing In > AAA Servers に移動します。 b. New リストから Certificate Server を選択して、New Server をクリックします。 c. サーバー インスタンスを特定する名前を指定します。 d. User Name Template フィールドで、IVE でユーザー名を作成する方法を指定し ます。任意の証明書変数の組み合わせを山括弧 >、< で囲むか、プレーン テキ ストで指定できます。 証明書サーバー インスタンスを設定する 233 Juniper Networks NetScreen Secure Access 700 管理ガイド e. Save Changes をクリックします。初めてサーバー インスタンスを作成する場合 には、Settings タブと Users タブが表示されます。 メモ : サーバーを通じて現在サインインしているユーザーのセッションを監視および削 除することについての詳細は、235 ページの「ユーザー セッションの表示と削除」を参 照してください。 234 3. LDAP サーバーに対して証明書属性を照合するには、Signing In > AAA Servers ペー ジの設定を使用して、LDAP サーバー インスタンスを作成します。証明書を通じて検 証するユーザー固有の属性を検索するには、LDAP 設定ページの Finding user entries の項目を使用する必要があります。 4. ユーザー認証に認証サーバーを使用する領域を指定するには、Users > Authentication > Authentication > General タブまたは Administrators > Authentication > General タブの設定を使用します。(この設定を使用して、証明書 属性の検証に LDAP サーバーを使用する領域を指定することもできます。) 5. 前の手順で設定した領域をサインイン URL にそれぞれ関連付けるには、Signing In > Sign-in > Sign-in Policies ページの設定を使用します。 6. 個々の証明書属性に基づいて領域、ロール、またはリソース ポリシーへのユーザー アクセスを制限するには、401 ページの「証明書の制限」で説明している設定を使用 します。 証明書サーバー インスタンスを設定する Juniper Networks NetScreen Secure Access 700 管理ガイド ユーザー セッションの表示と削除 ほとんどの IVE 認証サーバーの設定ページには、Users タブがあります。このタブを使用 して、アクティブな IVE ユーザー セッションを表示および削除することができます。この タブが表示されない認証サーバーのタイプは次のとおりです。 匿名サーバー- IVE は、匿名サーバーを通じてサインインするユーザーのユーザー名 または他の資格情報を収集しないため、匿名サーバーを通じてサインインするユー ザーに関する個別のセッション データを表示できません。 ローカル認証サーバー - IVE は、ローカル認証サーバーに Users タブの代わりに、 Local Users タブを表示します。このタブを使用して、ユーザー セッションの代わり にユーザー アカウントを追加および削除できます。 その他のすべての認証サーバーの場合、以下の説明に従って、アクティブ ユーザー セッ ションの表示または削除ができます。 アクティブなユーザー セッションを表示または削除するには、次の操作を行います。 1. Web コンソールで、Signing In > AAA Servers を選択します。 2. Authentication/Authorization Servers リストから適切なリンクをクリックします。 3. Users タブを選択します。 4. 次のいずれかのタスクを実行します。 特定のユーザーを検索するには、Show users named フィールドにユーザー名を 入力して、Update をクリックします。 また、ワイルドカードとして “*“ 文字を使用できます。“*“ は 0 を含む任意の文 字数の文字を表します。たとえば、jo という文字を含むユーザー名をすべて検索 するには、Show users named フィールドに “*jo*” と入力します。 検索では大文 字と小文字が区別されます。アカウントのリスト全体を再び表示する場合は、“*” 文字を入力するか、フィールドに指定した文字を削除し、Update をクリックし ます。 ページに表示するユーザーの数を制限するには、Show N users フィールドに数 字を入力し、Update をクリックします。 個々のユーザーの IVE セッションを終了するには、ユーザーの横にあるチェック ボックスをクリックし、Delete をクリックします。 メモ : Last Access Statistics 列の Users タブで、すべてのユーザー アカウントに対する いくつかのアクセス統計情報を見ることができます。これらの列は、IVEWeb console に 表示される Users タブのすべてに表示されます。統計には、ユーザーが前回正常にサイ ンインした時の日時と、ブラウザの種類とバージョンが含まれます。 ユーザー セッションの表示と削除 235 Juniper Networks NetScreen Secure Access 700 管理ガイド 236 ユーザー セッションの表示と削除 第8章 管理者設定 Web コンソールの Administrators セクションにある設定を使用すると、管理者認証領域 と委任管理者ロールの作成と設定が行えます。 目次 239 ページの「Authentication ページの設定」 248 ページの「Delegation ページの設定」 第 8 章 : 管理者設定 237 Juniper Networks NetScreen Secure Access 700 管理ガイド 238 第 8 章 : 管理者設定 Juniper Networks NetScreen Secure Access 700 管理ガイド Authentication ページの設定 Administrators > Authentication および Users > Authentication メニューは各ユーザー の Authentication Realms ページにリンクされます。このページを使用して、システム認 証領域を作成して管理します。 Authentication Realms ページには、次のタブがあります。 239 ページの「General タブ」- このタブを使用して、認証領域を作成します。 241 ページの「Authentication Policy タブ」- このタブを使用して、認証領域ポリシー を指定します。 242 ページの「Role Mapping タブ」- このタブを使用して、ロール マッピング規則 を指定し、サーバー カタログを使用します。 General タブ General タブを使用して、認証領域を作成します。認証領域については、46 ページの「認 証領域の概要」を参照してください。 認証領域の作成 認証領域を作成するには、次の操作を実行します。 1. Web コンソールで、Administrators > Authentication または Users > Authentication を選択します。 2. それぞれの Authentication Realm ページで、New をクリックします。 3. New Authentication Realm ページで、次の操作を実行します。 4. a. この領域のラベルにする名前を入力します。 b. 領域の説明を入力します。(オプション) c. 領域を開いて編集するときに、Role Mapping タブを選択し、When editing, start on the Role Mapping page をチェックします。 Servers で、以下の内容を指定します。 この領域にサインインするユーザーを認証する認証サーバー。 ロール マッピング規則やリソース ポリシー用に、ユーザー属性やグループ情報 を抽出するディレクトリ / 属性サーバー。(オプション) ユーザーが IVE (オプション)にサインインおよびサインアウトする際に、追跡 できる RADIUS 会計サーバー。 メモ : LDAP サーバーがダウンしていると、ユーザー認証は失敗します。イベント ログ ファイルにはメッセージおよび警告が記録されています。属性サーバーがダウンしてい ても、ユーザー認証は失敗しません。ただし、ロール マッピングおよびポリシー評価用 のグループ / 属性リストは空になります。 Authentication ページの設定 239 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. 6. Additional authentication server で、IVE にアクセスするために 2 要素認証を有 効にするかどうかを指定します。2 次認証サーバーを有効にするには次の操作を 実行します。 a. 2 次認証サーバーの名前を選択します。匿名サーバーまたは認証サーバーは選択 できないことに注意してください。 b. IVE サインイン プロセスの際に、2 次サーバーに手動でユーザー名を提出するよ うユーザーに促す場合は、Username is specified by user on sign-in page を選択 します。2 次サーバーに自動的にユーザー名を提出する場合は、predefined as フィールドに静的テキストまたは有効な変数を入力します。デフォルトでは、 IVE は <username> セッション変数を送信します。この変数には、1 次認証サー バーのサインインに使用されるのと同じユーザー名が格納されます。 c. IVE サインイン プロセスの際に、2 次サーバーにパスワードを手動で提出するよ うにユーザーに促すには、Password is specified by user on sign-in page を選択 します。2 次サーバーにパスワードを自動的に送信するには、predefined as フィールドに静的テキストまたは有効な変数を入力します。 d. IVE へのアクセスの管理を、ユーザーの 2 つ目の証明書の成功した認証に基づい て行う場合は、End session if authentication against this server fails を選択しま す。 この領域にダイナミック ポリシー評価を使用する場合は、Dynamic policy evaluation で、次のようにオプションを選択します(40 ページの「動的ポリシー評 価」を参照してください )。 a. Enable dynamic policy evaluation を選択して、この領域の認証ポリシー、ロー ル マッピング規則、ロール制限のダイナミック ポリシー評価用の自動タイマー を有効にします。このオプションを有効にしたら、Refresh interval オプション を使用して、IVE が領域に現在サインインしているすべてのユーザーの自動ポリ シー評価を実行する頻度を指定します。Refresh interval、Refresh roles、および Refresh resource policies の設定を有効にするには、Enable dynamic policy evaluation オプションを有効にする必要があります。 b. Refresh interval には、IVE が時間に基づく各自動ポリシー評価を実行するまで の待ち時間を分(5 から 1440)で指定します。 c. Refresh roles を選択して、この領域にいるすべてのユーザーのロールも更新す るために、Enable dynamic policy evaluation オプションの範囲を広げます。 (このオプションは Refresh Now ボタンの範囲はコントロールしません。) d. Refresh resource policies を選択して、この領域にいるすべてのユーザーのリ ソース ポリシー(ミーティングおよび E メール クライアントは含まない)も更 新するために、Enable dynamic policy evaluation オプションの範囲を広げます。 (このオプションは Refresh Now ボタンの範囲はコントロールしません。 ) メモ : Enable dynamic policy evaluation を選択し、Refresh roles および Refresh resource policies を選択しない場合は、IVE はこの領域の認証ポリシー、ロール マッピ ング規則、およびロール制限「のみ」を評価します。 240 Authentication ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド e. この領域の認証ポリシー、ロール マッピング規則、ロール制限、ユーザー ロー ル、および領域に現在サインインしているすべてのユーザーのリソース ポリ シーを手動で評価するには、Refresh Now をクリックします。認証ポリシー、 ロール マッピング規則、ロール制限、またはリソース ポリシーを変更し、この 領域のユーザーのロールを直ちに更新する場合は、このボタンを使用します。 メモ : ダイナミック ポリシー評価はシステム パフォーマンスに影響を与える可能性が あるため、次のガイドラインに留意してください。 ユーザー ロールとリソース ポリシーの自動(時間ベースの)更新は、システムの パフォーマンスに影響を与えるため、Refresh roles および Refresh resource policies オプションの一方または両方を無効にして更新範囲を減らすと、パフォー マンスを向上できます。 パフォーマンスを向上するには、Refresh interval オプションをより長い時間に設 定します。 ユーザーが影響を受けないときに、Refresh Now ボタンを使用します。 7. Save Changes をクリックして、IVE 上で領域を作成します。認証領域のために、 General、Authentication Policy、および Role Mapping タブが表示されます。 8. 次の設定手順を実行してください。 a. 242 ページの「Role Mapping タブ」で説明するように、1 つまたは複数のロール マッピング規則を設定します。 b. 241 ページの「Authentication Policy タブ」で説明するように、領域の認証ポリ シーを設定します。 Authentication Policy タブ Authentication Policy タブを使用して、認証領域ポリシーを作成します。認証領域につい ては、46 ページの「認証領域の概要」を参照してください。 認証領域ポリシーの指定 認証領域ポリシーを指定するには、次の操作を実行します。 1. Web コンソールで、Administrators > Authentication または Users > Authentication を選択します。 2. それぞれの Authentication Realms ページで、領域をクリックして Authentication Policy タブをクリックします。 3. Authentication Policy ページで、以下のセクションで説明するアクセス管理オプショ ンを 1 つまたは複数設定します。 398 ページの「ソース IP の指定」 399 ページの「ブラウザ制限の指定」 401 ページの「クライアントサイド証明書の制限の指定」 402 ページの「パスワード文字数制限の指定」 403 ページの「Host Checker の制限の指定」 405 ページの「Cache Cleaner の制限の指定」1 Authentication ページの設定 241 Juniper Networks NetScreen Secure Access 700 管理ガイド 406 ページの「Limits 制限の指定」 同時ユーザーの制限 認証ポリシーに指定できるアクセス管理オプションに加えて、同時ユーザーに対しても制 限を指定できます。これは以下のページで設定します。 Administrators > Authentication > 領域を選択 > Authentication Policy > Limits Users > Authentication > 領域を選択 > Authentication Policy > Limits この領域のサインイン ページに URL を入力するユーザーは、認証ポリシーに指定された あらゆるアクセス管理要件と同時ユーザー要件を満たさないと、IVE にサインイン ページ を表示させることができません。 Role Mapping タブ 認証領域のロール マッピング規則を指定するには、Role Mapping タブを使用します。詳 細については、以下を参照してください。 領域については、46 ページの「認証領域の概要」を参照してください。 ロールについては、51 ページの「ユーザー ロールの概要」を参照してください。 認証領域にロール マッピング規則を指定 LDAP ユーザー属性またはグループ情報を使用する新しい規則を作成する場合は、サー バー カタログを使用する必要があります。このカタログについては、243 ページの 「LDAP サーバー カタログの使用」を参照してください。 認証領域にロール マッピング規則を指定するには、次の操作を実行します。 1. Web コンソールで、Administrators > Authentication または Users > Authentication を選択します。 2. それぞれの Authentication Realms ページで、領域を選択して Role Mapping タブを クリックします。 3. New Rule をクリックして Role Mapping Rule ページにアクセスします。このページ では、規則を定義するためのインライン エディターが使用できます。 4. Rule based on リストでは、以下のいずれかを選択します。 Username - Username は、サインイン ページで入力された IVE ユーザー名で す。IVE ユーザー名に基づいてユーザーをロールにマップするには、このオプ ションを選択します。このタイプの規則はすべての領域で使用できます。 User attribute - User attribute は、RADIUS または LDAP サーバーから取得する ユーザー属性です。対応するサーバーの属性に基づいて、ユーザーをロールに マップするときに、このオプションを選択します。この種類の規則を利用できる のは、認証サーバーに RADIUS サーバーを使用する領域、あるいは認証サーバー またはディレクトリ サーバーに LDAP サーバーを使用する領域だけです。User attribute オプションを選択したら、Update をクリックして Attribute リストと Attributes ボタンを表示します。Attributes ボタンをクリックして、サーバー カ タログを表示します。サーバー カタログを使用して LDAP ユーザー属性を追加す るには、243 ページの「LDAP サーバー カタログの使用」を参照してください。 1. 管理者領域では使えません。 242 Authentication ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. 6. 7. Certificate or Certificate attribute - Certificate または Certificate attribute は、 ユーザーのクライアント側の証明書によりサポートされる属性です。認証属性に 基づいて、ユーザーをロールにマップする場合は、このオプションを選択しま す。Certificate オプションはすべての領域で使用できます。Certificate attribute オ プションは、認証サーバーまたはディレクトリ サーバーに LDAP を使用する領 域のみに使用できます。このオプションを選択したら、Update をクリックして Attribute テキスト ボックスを表示します。 Group membership - Group membership は、サーバー カタログの Groups タブ に追加する LDAP サーバーまたはネイティブの Active Directory サーバーのグ ループ情報です。LDAP または Active Directory グループ情報に基づいてユーザー をロールにマップする場合は、このオプションを選択します。このタイプの規則 を使用できるのは、認証サーバーまたはディレクトリサーバーに LDAP サーバー を使用している領域か、認証に Active Directory サーバーを使用している領域だ けです。(Active Directory サーバーは、領域の認証サーバーとして指定できない ことにご注意ください)。 Rule で、評価する条件を指定します。これは、選択した規則の種類に対応しており、 以下の内容で構成されます。 a. 1 つまたは複数のユーザー、RADIUS または LDAP ユーザー属性、証明書属性、 または LDAP グループを指定します。 b. 式で使用する値。この値には、IVE ユーザーのリスト、RADIUS または LDAP サーバーのユーザー属性値、クライアント側の証明書の値(静的属性値または LDAP 属性値)、または LDAP グループなどがあります。 ...then assign these roles では、以下の内容を指定します。 a. Selected Roles リストにロールを追加し、認証ユーザーに割り当てるロールを指 定します。 b. Stop processing rules when this rule matches にチェックを入れるのは、ユー ザーがこの規則に指定された条件を満たした場合に、IVE によるロール マッピン グ規則の評価を停止したい場合です。 Save Changes をクリックして、Role Mapping タブで規則を作成します。規則の作成 が完了したら、次の操作を実行します。 規則は必ず IVE に評価してほしい順序に並べます。この作業はロール マッピング 規則の処理を停止したい場合に特に重要です。 割り当てられた全ロールの設定を結合させるかどうかを指定します。53 ページの 「パーミッシブ マージのガイドライン」を参照してください。 LDAP サーバー カタログの使用 LDAP server catalog は、IVE がユーザーをロールにマップするときに使用する、追加の LDAP 情報を指定する第 2 のウィンドウであり、次の情報が含まれます。 Attributes - Server Catalog Attributes タブでは、cn、uid、uniquemember、および memberof などの一般的な LDAP 属性リストが表示されます。LDAP サーバーのサー バー カタログにアクセスするときだけ、このタブを使用できます。このタブを使用す ると、IVE サーバー カタログにカスタム値を加えたり、カタログから値を削除したり することによって、LDAP サーバー属性を管理できます。IVE は LDAP サーバーの値の ローカル コピーを維持します。つまり、属性は、LDAP サーバーのディクショナリー に追加されたり、ディクショナリーから削除されません。 Authentication ページの設定 243 Juniper Networks NetScreen Secure Access 700 管理ガイド Groups - Server Catalog Groups タブは、LDAP サーバーからグループ情報を簡単に 取り出し、サーバーの IVE サーバー カタログに追加するメカニズムを提供します。グ ループの BaseDN とオプションのフィルタを指定して、検索を開始します。グループ の正確な内容がわからない場合は、dc=juniper, dc=com などの BaseDN としてドメ イン ルートを指定できます。検索ページにはサーバーからのグループリストが返さ れ、そこから Groups リストに入力するグループを選択できます。 メモ : LDAP サーバーの設定ページにある Finding user entries で指定する BaseDN 値は、 デフォルトの BaseDN 値になります。フィルタ値のデフォルトは、(cn=*)になります。 Groups タブでもグループを指定できます。cn=GoodManagers、ou=HQ、 ou=Juniper、o=com、c=US などグループの完全修飾識別名(Fully Qualified Distinguished Name: FQDN)を指定する必要がありますが、このグループにラベ ルを割り当てて、Groups リストに表示することができます。LDAP サーバーの サーバー カタログにアクセスする場合にだけ、このタブを使用できることに注意 してください。 LDAP サーバー カタログを表示するには、次の操作を行います。 1. Role Mapping Rule ページ(242 ページの「認証領域にロール マッピング規則を指 定」を参照)で User attribute オプションを選択したら、Update をクリックして Attribute リストと Attributes ボタンを表示します。 2. Attributes ボタンをクリックして、LDAP サーバー カタログを表示します。 図 31: Server Catalog > Attributes タブ - LDAP の属性の追加 244 Authentication ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 32: サーバー カタログに追加された属性はロール マッピング規則で使用可能 Authentication ページの設定 245 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 33: Server Catalog > Groups タブ - LDAP グループの追加 246 Authentication ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 34: Server Catalog > Groups タブ - Active Directory グループの追加 Authentication ページの設定 247 Juniper Networks NetScreen Secure Access 700 管理ガイド Delegation ページの設定 管理者ロール は、IVE の管理機能とロールにマップされた管理者のセッション プロパ ティを指定する、定義済みのエンティティです。 Delegation ページには、次のタブがあります。 248 ページの「General タブ」- これらのタブを使用して、一般ロール プロパティ、 アクセス管理制限、セッション オプション、UI 設定を指定します。 管理者ロールを設定する Administrators > Delegation を選択すると、Delegated Admin Roles ページが表示されま す。このページから、管理者ロールにデフォルト セッションやユーザー インターフェー ス オプションを設定できます。 管理者ロールの修正 既存の管理ロールを修正するには、次の操作を実行します。 1. Web コンソールで、Administrators > Delegation を選択します。 2. 修正したい管理者ロールの名前をクリックします。 3. 248 ページの「General タブ」の手順を実行して、ロールの設定を修正します。 General タブ General のサブタブを使用して、一般ロール プロパティ、アクセス管理制限、セッション オプション、および UI 設定を指定します。 Overview タブ 一般的なロール設定とオプションの管理 General > Overview タブで、ロール名や内容の編集、スイッチやユーザ インターフェー ス オプションのオン、オフ切り替えを行います。 一般的なロール設定とオプションを管理するには、次の操作を実行します。 1. Web コンソールで、Administrators > Delegation > ロール名 > General > Overview を選択します。 2. Name フィールドと Description フィールドで、委任管理者ロールのラベルを作成し ます(オプション)。 3. Options で、以下の項目にチェックを入れます。 4. 248 Delegation ページの設定 Session Options では、General > Session Options タブで指定した設定をロール に適用します。 UI Options では、General > UI Options タブで指定した設定をロールに適用し ます。 Save Changes をクリックし、設定をロールに適用します。 Juniper Networks NetScreen Secure Access 700 管理ガイド Restrictions タブ ロールのアクセス管理オプションを指定するには、General > Restrictions タブを使用し ます。IVE は、指定した制限が満たされない場合には、このロールに管理者をマップしま せん。アクセス管理の詳細については、36 ページの「アクセス管理の概要」を参照して ください。 ロールに対するアクセス管理オプションの指定 ロールにアクセス管理オプションを指定するには、次の操作を実行します。 1. Web コンソールで、Administrators > Delegation > ロール名 > General> Restrictions を選択します。 2. ロールに設定するオプションのタブをクリックし、次のセクションの指示に従ってオ プションを設定します。 398 ページの「ソース IP の指定」 399 ページの「ブラウザ制限の指定」 401 ページの「クライアントサイド証明書の制限の指定」 403 ページの「Host Checker の制限の指定」 ロールには、複数のアクセス管理オプションを設定できます。管理者がすべての制限 を満たしていない場合、IVE は管理者をロールにマップしません。 3. Save Changes をクリックして、設定をロールに適用します。 Session Options タブ セッション時間の制限とローミング機能を指定するには、General > Session Options タ ブを使用します。ロールに対するこれらの設定を有効にするには、General > Overview タブの Session Options チェックボックスをオンにします。 ユーザー セッション時間とローミング設定の指定 一般的なセッション オプションを指定するには、次の操作を実行します。 1. Web コンソールで、Administrators > Delegation > ロール名 > General > Session Options を選択します。 2. Session Lifetime で、以下の項目の値を指定します。 Idle Timeout - 無処理の状態で、管理者セッションが終了を待つ時間を分単位 で指定します。最小値は 3 分です。デフォルトのアイドル セッション制限は 10 分です。つまり、管理者のセッションで 10 分間、何も操作がなかった場合、 IVE はセッションを終了させて、システム ログにイベントを記録します(以下で 説明するセッション タイムアウト警告が有効な場合を除く)。 Max. Session Length - オープンの状態で、アクティブな管理者セッションの終 了を待つ時間を分単位で指定します。最小値は 3 分です。管理セッションのデ フォルトの時間制限は 60 分です。60 分を経過すると、IVE はセッションを終了 させて、システム ログにイベントを記録します。 Delegation ページの設定 249 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. 4. Roaming session では、以下の項目を指定します。 Enabled - このグループにマップされているユーザーのローミング ユーザー セッションを有効にします。ローミング ユーザー セッションは複数のソース IP アドレスにまたがって機能します。この場合、動的 IP アドレスで特定の場所か ら IVE にサインインしたモバイル管理者(ラップトップ ユーザー)は、別の場 所に移っても作業を続行できます。ただし、一部のブラウザに欠陥があり、悪質 なコードがユーザーのクッキーを傍受する可能性もあります。このような場合、 悪質なユーザーは、傍受した IVE セッション クッキーで、IVE にサインインでき ることになります。 Limit to subnet - ローミング セッションを Netmask フィールドに指定した ローカル サブネットに制限します。特定の IP アドレスでサインインした管理者 は、IP アドレスが同じサブネットに含まれている限り、その別の IP アドレスで セッションを継続して使用できます。 Disabled - このロールにマップされている管理者のローミング セッションを無 効にします。特定の IP アドレスでサインインした管理者は、別の IP アドレスか らアクティブな IVE セッションを続けることができません。管理者セッション は、最初のソース IP アドレスに束縛されます。 Save Changes をクリックし、設定値をロールに適用します。 UI Options タブ Administrators> Delegation> ロール名 > General > UI Options タブを使用して、コン ソールの色、ロゴ、階層型ナビゲーション メニューなどの、このロールに割り当てられ る管理者の Web コンソール設定をカスタマイズします。(Web コンソールのサインイン ページのロゴおよび色のカスタマイズについての詳細は、182 ページの「Sign-in Pages タ ブ」を参照してください。) 「階層型ナビゲーション メニュー」とは、Web コンソールの左パネルにあるメニュー の上にマウス カーソルを置くと表示される動的なメニューです。たとえば、階層ナビ ゲーション メニューを有効にした場合、Web コンソールの System > Signing In メ ニューにマウス カーソルを置くと、Sign-In Policies、Sign-In Pages、および Authentication/Authorization Servers のサブメニューが表示されます。これらのメ ニューを使用すると、メニュー階層を順にクリックしなくてもシステム内をすばやく 移動できます。 メモ : 階層型メニューをサポートする環境については、Juniper Networks サポート サイト の IVE Supported Platforms ドキュメントを参照してください。 Administrators または Users で、10 以上の認証領域またはロールを定義した場合、 Web コンソールは、最近アクセスした 10 件までのロールまたは領域のみをコン ソールの階層型ナビゲーション メニューで表示します。IVE は、現在の管理者が最 近アクセスした 10 件のロールと領域を表示するのではなく、この IVE にサインイ ンしたすべての管理者がアクセスした 10 件のロールおよび領域を表示するので、 注意してください。 ロール ユーザーの IVE welcome ページのカスタマイズ ロール ユーザーの IVE welcome ページをカスタマイズするには、次の操作を実行しま す。 1. 250 Delegation ページの設定 Web コンソールで、Administrators > Delegation > ロール名 を選択します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 2. このロールの設定を有効にするには、General > Overview タブで UI Options を選択 します。 3. General > UI Options を選択して、ロール設定をカスタマイズします。 4. Header セクションで、ヘッダのカスタム ロゴ イメージ ファイルとヘッダの色を指 定します。 5. Navigation Menus セクションで、階層型ナビゲーション メニューを表示するかどう かを選択します。オプションには以下のものがあります。 6. Auto-enabled - IVE は、管理者がサポートされているプラットフォームからサ インインしているかどうかを判別し、それに従って階層型のメニューを有効また は無効にします。 Enabled - IVE は、プラットフォームに関係なく、階層型メニューを有効にしま す。管理者がサポートされないプラットフォームからサインインしている場合 は、階層型メニューが有効になっていても使用できないことがあります。 Disabled - IVE は、ロールの全メンバに対して階層型メニューを無効にします。 Save Changes をクリックします。変更はただちに有効になりますが、変更を表示す るには、現在のユーザー ブラウザ セッションを更新する必要があります。または、 Restore Factory Defaults をクリックして、Web コンソールの外観をデフォルト設定 にリセットします。 Delegation ページの設定 251 Juniper Networks NetScreen Secure Access 700 管理ガイド 252 Delegation ページの設定 第9章 ユーザー設定 Web コンソールの Users セクション内の設定を使用すると、ユーザー認証領域とロール の作成や設定、およびユーザーのローカル認証サーバーへの追加が行えます。 目次 255 ページの「Authentication ページの設定」 256 ページの「Roles ページの設定」 277 ページの「New User ページの設定」 第 9 章 : ユーザー設定 253 Juniper Networks NetScreen Secure Access 700 管理ガイド 254 第 9 章 : ユーザー設定 Juniper Networks NetScreen Secure Access 700 管理ガイド Authentication ページの設定 Users > Authentication ページを使用して、ユーザー認証領域の作成と設定、およびロー ル マッピング規則の作成を実行できます。詳細については、239 ページの 「Authentication ページの設定」を参照してください。管理者認証領域およびユーザー認証 領域の設定についての指示が記載されています。 Authentication ページの設定 255 Juniper Networks NetScreen Secure Access 700 管理ガイド Roles ページの設定 Users > Roles メニューは、ユーザーの Roles ページにリンクします。このページを使用 してシステム ユーザー ロールを作成、管理します。ロールを作成するには、New Role を クリックし、ロールの名前と説明(オプション)を入力します。ここに入力した名前は Roles ページの Roles リストに表示されます。ロール名をクリックし、Roles タブで設定 を開始します。 メモ : ロールを削除しても、パーソナル ブックマーク、SAM 設定などの設定は削除さ れない場合があります。したがって、同じ名前で新しいロールを追加する場合、その新 しいロールに追加されるユーザーは、古いブックマークおよび設定を使用する場合があ ります。一般に、IVE は参照整合性規則を実行しているため、ユーザーは他の場所を参 照しているオブジェクトを削除できません。たとえば、ロールが、領域のロール マッピ ング規則のいずれかで使用されている場合、マッピング ルールを変更または削除しない 限り、IVE はロールの削除を拒絶します。 このセクションには、Roles サブタブの設定方法に関する以下のような説明が記載されて います。 256 Roles ページの設定 257 ページの「General ページの設定」- ここでは、一般的なロール設定、アクセス 管理オプション、ユーザー セッション オプション、およびカスタム IVE welcome ページを指定する方法を説明しています。 Juniper Networks NetScreen Secure Access 700 管理ガイド General ページの設定 General ページには、以下のタブがあります。 257 ページの「Overview タブ」- ロール名や説明の編集をしたり、セッションや ユーザー インターフェース オプションのオンやオフの切り替えをするには、このタ ブを使用します。 258 ページの「Restrictions タブ」- ロールに対してアクセス管理オプションを指定す るには、このタブを使用します。 258 ページの「Source IP タブ」- ロール ベースのソース IP エイリアスを指定するに は、このタブを使用します。 259 ページの「Session Options タブ」- セッションの時間制限、ローミング機能、 セッションとパスワードの持続性、リクエストのフォロースルー オプション、アプ リケーション操作のタイムアウトを指定するには、このタブを使用します。 261 ページの「UI Options タブ」- このロールにマップされたユーザーの IVE welcome ページの設定をカスタマイズするには、このタブを使用します。 Overview タブ Overview タブでは、ロール名や説明を編集したり、セッションやユーザー インター フェース オプションのオンやオフを切り替えたりします。アクセス機能を有効にするに は、対応するリソース ポリシーを作成する必要があります。 一般的なロール設定とオプションの管理 一般的なロール設定とオプションを管理するには、次の操作を実行します。 1. Web コンソール で、Users > Roles > ロール名 > General > Overview を選択しま す。 2. 名前と説明を変更して、Save Changes をクリックします。(オプション) 3. Options で、以下の項目にチェックを入れます。 Source IP では、General > Source IP タブで指定した設定をロールに適用し ます。 Session Options では、General > Session Options タブで指定した設定をロール に適用します。 UI Options では、General > UI Options タブで指定した設定をロールに適用し ます。 4. Access features では、ロールに対して有効にする機能にチェックを入れます。 5. Save Changes をクリックして、ロールに設定を適用します。 General ページの設定 257 Juniper Networks NetScreen Secure Access 700 管理ガイド Restrictions タブ ロールに対してアクセス管理オプションを指定するには、Restrictions タブを使用しま す。IVE は、ユーザーをロールにマップするかどうかを判断するときにこれらの制限を考 慮します。IVE は、指定した制限が満たされない場合には、このロールにユーザーをマッ プしません。アクセス管理の詳細については、36 ページの「アクセス管理の概要」を参照 してください。 ロールに対するアクセス管理オプションの指定 ロールに対してアクセス管理オプションを指定するには、次の操作を実行します。 1. Web コンソールで、Users > Roles > ロール名 > General > Restrictions を選択し ます。 2. ロールについて設定するオプションに対応するタブをクリックして、以下のセクショ ンの指示に従って設定します。 398 ページの「ソース IP の指定」 399 ページの「ブラウザ制限の指定」 401 ページの「クライアントサイド証明書の制限の指定」 403 ページの「Host Checker の制限の指定」 405 ページの「Cache Cleaner の制限の指定」 ロールには、複数のアクセス管理オプションを設定できます。ユーザーが 1 つでも制 限に適合していない場合、IVE はユーザーをロールにマップしません。 Source IP タブ ロールに対するソース IP エイリアスの指定 ロールに対してソース IP エイリアスを指定するには、以下の操作を実行します。 1. Web コンソールで、Users > Roles > ロール名 > General > Source IP を選択しま す。 2. ドロップダウン メニューからソース IP アドレスを選択します。 3. Save Changes をクリックし、ロールに設定を適用します。 メモ : 258 General ページの設定 エンドユーザーが複数のロールにマップされ、IVE がロールをマージする場合、IVE は、リストの最初のロールに設定されたソース IP アドレスをマージされたロール と関連付けます。 複数のロールに同じソース IP アドレスを指定することができます。1 つのロールに 対して複数のソース IP アドレスを指定することはできません。 Juniper Networks NetScreen Secure Access 700 管理ガイド Session Options タブ セッションの時間制限、ローミング機能、セッションとパスワードの持続性、リクエスト のフォロースルー オプション、アプリケーション操作のタイムアウトを指定するには、 Session タブを使用します。ロールに対するこれらの設定を有効にするには、Overview タ ブの Session Options チェックボックスにチェックを入れます。 ユーザー セッションのオプション指定 一般的なセッション オプションを指定するには、次の操作を実行します。 1. Web コンソールで、Users > Roles > ロール名 > General > Session Options を選択 します。 2. Session Lifetime で、以下の項目の値を指定します。 3. Idle Timeout - 非管理者ユーザーのセッションが終了するまでアイドルの状 態が持続する時間を分単位で指定します。最小値は 3 分です。アイドル セッ ション制限のデフォルト値は 10 分です。つまり、管理者のセッションで 10 分間何も操作がなかった場合、IVE はユーザー セッションを終了し、システ ム ログにイベントを記録します(以下で説明するセッション タイムアウト 警告が無効の場合)。 Max. Session Length - アクティブな非管理者ユーザー セッションが終了するま でオープンな状態が継続する時間を分単位で指定します。最小値は 3 分です。 ユーザー セッションの時間制限のデフォルト値は 60 分です。60 分が経過する と、IVE はセッションを終了し、システム ログにイベントを記録します。 Reminder Time - IVE が、セッション タイムアウトまたはアイドル タイムアウ トが迫っていることを非管理者ユーザーに警告するタイミングを指定します。タ イムアウトまでの時間を分単位で指定します。 セッション制限時間またはアイドル タイムアウトが迫っていることを非管理者ユー ザーに通知するには、enable Session timeout warning で Enabled を選択します。 これらの警告は、セッション制限時間またはアイドル タイムアウトが迫っていると きに、ユーザーに適切な対応を取るよう促します。これにより、作業中のフォーム データを保存してデータを失うのを防止することができます。アイドル タイムアウト が迫っている場合には、セッションの再開が指示されます。セッション時間が迫って いる場合には、データの保存が指示されます。 4. セッションがタイムアウトしたら、エンドユーザーに新しいブラウザ サインイン ページを表示したい場合、Display sign-in page on max session time out をチェック します。セッション タイムアウト警告を有効にしている場合だけ、このオプションは 表示されます。 メモ : このオプションは、W-SAM やネットワーク コネクトのような他のクライアント ではなく、エンドユーザーのブラウザーによって表示される期限切れメッセージにだけ 適用されます。 General ページの設定 259 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. 6. Roaming session で、以下の項目を指定します。 Enabled - このロールにマップされているユーザーのローミング ユーザー セッ ションを有効にします。ローミング ユーザー セッションは複数のソース IP アド レスにまたがって機能します。この場合、動的 IP アドレスで特定の場所から IVE にサインインしたモバイル ユーザー(ラップトップ ユーザー)は、別の場 所に移っても作業を続行できます。ただし、一部のブラウザに欠陥があり、悪質 なコードがユーザーのクッキーを傍受する可能性もあります。このような場合、 悪質なユーザーは、傍受した IVE セッション クッキーで、IVE にサインインでき ることになります。 Limit to subnet - ローミング セッションを Netmask フィールドに指定した ローカル サブネットに制限します。特定の IP アドレスでサインインしたユー ザーは、別の IP アドレスでも同じサブネットに含まれている限り、その新しい IP アドレスでセッションを継続して使用できます。 Disabled - このロールにマップされているユーザーのローミング ユーザー セッ ションを無効にします。特定の IP アドレスでサインインしたユーザーは、別の IP アドレスからアクティブな IVE セッションを続けることができません。ユー ザー セッションは、最初のソース IP アドレスに制約されます。 Persistent session で、Enabled を選択すると、IVE セッション クッキーがクライア ントのハード ディスクに書き込まれて、IVE セッションが終了するまで、ユーザーの IVE 認証情報が保存されます。 デフォルトでは、IVE セッション クッキーはブラウザを閉じた時点でブラウザのメモ リから消去されます。IVE のセッションの長さは、ロールに指定したアイドル タイム アウトの値と最大セッション長の値で決まります。ユーザーがブラウザを閉じても、 IVE セッションは終了しません。IVE セッションが終了するのは、ユーザーが IVE か らサインアウトしたときだけです。ユーザーがサインアウトしないでブラウザ ウィン ドウを閉じた場合、有効な証明書を送信しなくとも、任意のユーザーが同じブラウザ の別のインスタンスを開いて IVE にアクセスできてしまいます。 メモ : ロールのメンバが IVE 証明書を要求するアプリケーションにアクセスする必要が ある場合に限り、この機能を有効にすることをお勧めします。また、操作を終えた後、 必ず IVE からサインアウトするようにユーザーに徹底させることも重要です。 7. キャッシュしたパスワードをロールの複数のセッションで使用できるようにするに は、Persistent password caching で Enabled を選択します。 IVE は、NTLM と HTTP Basic Authentication をサポートし、NTLM と匿名サインイン の両方を受け入れるように設定したサーバーをサポートします。IVE サーバーまたは NT ドメインにある別のリソースへのサインインに同じ証明書を入力するよう、繰り 返し指示されることがないように、IVE は、ユーザーが提供した NTLM と HTTP Basic Authentication のパスワードをキャッシュに保持します。デフォルトでは、IVE サー バーは、ユーザーがサインアウトした時点でキャッシュにあるパスワードを消去しま す。ユーザーは、Advanced Preferences ページでキャッシュにあるパスワードを消去 できます。 260 General ページの設定 8. ユーザーが再認証を受けた後、ユーザー セッションがタイムアウトした後に送信さ れたユーザー リクエストを IVE が処理できるようにするには、Browser request follow-through で Enabled を選択します。 9. セッションの状態がアクティブかどうかを判断する際に、Web アプリケーションに よって実行されたアクティビティ(E メールのポーリングなど)を無視するには、 Idle timeout application activity の Enabled を選択します。このオプションをオフに すると、定期的な ping 送信などのアプリケーション動作が実行されるとアイドル タ イムアウトになりません。 Juniper Networks NetScreen Secure Access 700 管理ガイド 10. Save Changes をクリックし、設定値をロールに適用します。 UI Options タブ このロールにマップされたユーザーの IVE welcome ページとブラウジング ツールバーの 設定をカスタマイズするには、UI Options タブを使用します。IVE welcome ページ(また はホーム ページ)は、認証された IVE ユーザーに表示される Web インターフェースで す。このロールの設定を有効にするには、Overview タブで UI Options チェックボックス にチェックを入れます。チェックを入れないと IVE はデフォルトの設定に従います。 ロール ユーザーの IVE welcome ページのカスタマイズ ロール ユーザーの IVE welcome ページをカスタマイズするには、次の操作を実行しま す。 1. Users > Roles > ロール名 > General > UI Options を選択します。 2. Header セクションで、IVE welcome ページのヘッダー エリアのカスタム ロゴ イ メージ ファイルとヘッダーの色を指定します(オプション)。 Browse ボタンをクリックし、カスタム画像ファイルを参照します。変更を保存 してからしか、Current appearance は新しいロゴを表示しません。 メモ : カスタム ロゴ画像には JPEG または GIF ファイルしか指定できません。他のグラ フィックス形式は、OS プラットフォームによっては JSAM ステータス ウィンドウで正 しく表示されません。 3. 4. 背景色に対応する 16 ビット値を入力するか、Color Palette アイコンをクリック して、希望の色を選択してください。Current appearance によってすぐに更新さ れます。 Sub-headers セクションで、新しい背景色とテキストの色を選択します (オプション) 。 Background color に 16 ビット値を入力するか、Color Palette アイコンをクリッ クして希望の色を選択してください。Current appearance によってすぐに更新さ れます。 Text color に 16 ビット値を入力するか、Color Palette アイコンをクリックして、 希望の色を選択します。Current appearance によってすぐに更新されます。 Bookmarks Panel Arrangement で、ユーザーのブックマーク ページで好きな表示が できるようにパネルを配置します。 a. Left Column または Right Column リストでパネル名を選びます。 b. パネルを別のパネルの上または下に移動するには、Move Up または Move Down をクリックします。 c. パネルをユーザーのブックマーク ページの反対側に移動するには、Move > ま たは <Move をクリックします。 d. デフォルトの配置を使用するには、Reset to default をクリックします。 メモ : ロールの対応する機能を有効にしているかどうかにかかわらず、IVE は Bookmarks Panel Arrangement で、ライセンスを受けたすべての機能のパネルをすべて 表示します。 General ページの設定 261 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. 6. User toolbar で、IVE の IVE Bookmarks ページと他のセキュア ゲートウェイ ページ 上のツールバーのオプションを選択します。 Preferences - Preferences ボタンを表示するには、このオプションを選択し ます。 Session Counter - ユーザーの現在のセッションで許可された最大残り時間を示 す時間の値をユーザー ツールバーで表示するには、このオプションを選択しま す。ユーザーが一定時間操作を行わなかった場合、残り時間がなくなる前に現在 のセッションが終了する可能性があります。 Client Application Sessions - ユーザー ツールバーに Client Apps ボタンを表示 するには、このオプションを選択します。ユーザーはこのボタンをクリックし て、Client Application Sessions を表示することができます。このページでは、 Network Connect または Secure Application Manager などのクライアント アプリ ケーションを起動することができます。このオプションを選択しない場合、IVE は IVE Bookmarks ページで Client Application Sessions パネルを表示します。 Personalized greeting で、IVE Bookmarks ページの挨拶と通知のメッセージを指定し ます(オプション)。 Enabled - カスタム化した挨拶を表示するには、このオプションを選択します。 The 氏名が設定されていない場合、IVE はユーザー名を表示します。 Show notification message を選択し、関連したテキスト ボックス内にメッセー ジを入力します(オプション)。変更が保存され、ユーザーがページを更新する と、IVE Bookmarks ページの上部に変更したメッセージが表示されます。以下の HTML タグを使用してテキストをフォーマットし、リンクを追加できます。<i>、 <b>、<br>、<font>、および <a href> です。ただし、IVE はサインイン ページ のリンクを再書き込みしないので(ユーザーがまだ認証されていないため)、外 部にあるサイトを指し示すだけにしてください。ファイアウォールの内側にある サイトへのリンクは失敗します。 メモ : サポートされていない HTML タグをカスタム メッセージで使用する場合、IVE は エンドユーザーの IVE ホームページを正しく表示できない場合があります。 262 General ページの設定 7. Save Changes をクリックします。変更はただちに有効になりますが、変更を表示す るには、現在のユーザー ブラウザ セッションを更新する必要があります。 8. すべてのユーザー インターフェース オプションを出荷時のデフォルトに戻すには Restore Factory Defaults をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド Web ページの設定 Web ページには、以下のタブがあります。 263 ページの「Bookmarks タブ」- Web リソースへのブックマークを作成するには、 このタブを使用します。 266 ページの「Options タブ」- 汎用 Web ブラウジング オプションを指定するには、 このタブを使用します。 Bookmarks タブ このロールにマップされたユーザーの welcome ページに表示されるブックマークを作成 するには、Bookmarks タブを使用します。このページでは 2 種類のブックマークを作成 できます。 Web URL bookmarks - このブックマークはワールド ワイド ウェブ(World Wide Web)または企業イントラネット上の Web URL に、ユーザーをリンクします。ブッ クマークの作成時に、ユーザーの IVE ユーザー名を URL パスにインプットすること で、バックエンドの Web アプリケーションにシングル サインオンでアクセスできま す。Web ブックマークの設定手順については、263 ページの「Web URL へのブック マーク作成」を参照してください。 Java applet bookmarks - このブックマークにより、Web コンソールの Resource Policies > Web > Java > Applets ページから IVE にアップロードする Java アプ レット(複数可)にユーザーをリンクできます。Java アプレットのブックマーク設 定については、264 ページの「Java アプレットへのブックマーク作成」を参照して ください。 これらのブックマーク タイプのいずれかを作成すると、このロールにマップされたユー ザーの welcome ページに対応するリンクが表示されます。 Web URL へのブックマーク作成 Web リソースへのブックマークを作成するには、次の操作を実行します。 1. Web コンソール で、Users > Roles > ロール名 > Web > Bookmarks を選択し ます。 2. New Bookmark をクリックします。 3. ブックマークの名前と内容を入力します(オプション)。ここで入力した情報は URL ではなく IVE のホームページ に表示されます。 4. Web URL を選択します。 5. ブックマークする URL を入力します。ユーザーのユーザー名を挿入するには、URL の正しい場所に <username> を入力します。 6. 対応する Web アクセス リソース ポリシーを IVE で自動作成するには、Auto-allow の Auto-allow Bookmark をクリックします。この機能は、ユーザー ブックマークでは なく、ロール ブックマークにのみ適用されます。次に、以下の選択を行います。 URL だけへのアクセスをユーザーに許可するには、Only this URL を選択し ます。 この URL のパスへもアクセスを許可するには、Everything under this URL を選 択します。 Web ページの設定 263 Juniper Networks NetScreen Secure Access 700 管理ガイド 7. 8. Display options で Open bookmark in a new window をクリックし、IVE が新しいブ ラウザ ウィンドウで自動的に Web リソースを開くようにします。この機能は、ユー ザー ブックマークではなく、ロール ブックマークにのみ適用されます。次に、以下 の選択を行います。 ブラウザ ウィンドウからアドレス バーを削除したい場合には、Do not display the URL address bar を選択します。この機能により、特定ロールのユーザーが 新しい URL をアドレスバーにタイプすることができなくなり、すべてのウェブ アクセスが IVE を通して行われるようになります。 ブラウザからメニューとツールバーを削除する場合には、Do not display the menu and the toolbar を選択します。この機能により、ブラウザ ウィンドウか らメニュー、ブラウズ ボタン、およびブックマークが削除されます。そのため IVE を通じてのみブラウズを行うことになります。 追加するには、Save Changes または Save + New をクリックします。 Java アプレットへのブックマーク作成 IVE で Java アプレットへのブックマークを作成するには、次の操作を実行します。 1. Web コンソール で、Users > Roles > ロール名 > Web > Bookmarks を選択しま す。 2. New Bookmark をクリックします。 3. ブックマークの名前(必須)と内容(オプション)を入力します。ここで入力した情 報は、IVE home page に表示されます。 4. Java Applet を選択します。 5. Applet/Code リストで、この Web ページで参照する Java アプレット(複数可)を選 択します。Web コンソールの Resource Policies > Web > Java > Applets ページか らアップロードする Java アプレットを使用して、IVE はこのリストを作成します。 6. Java アプレットへの参照が記述されている HTML ページ定義を作成するには、 Generate HTML をクリックします。このあと、次のセクションのガイドラインを使用 して、必要な属性とパラメータを入力します。 265 ページの「アップロードされた Java アプレットに必要な属性」 265 ページの「アップロードされた Java アプレットに必要なパラメータ」 この Web ページ定義に、その他の HTML や JavaScript を選択して追加することもで きます。IVE は、このフィールドに入力するコードをすべて再書き込みします。 メモ : このフィールドに URL やドキュメントへの相対リンクを追加しないでください。 追加すると、ユーザーが IVE エンド ユーザー コンソールから URL やドキュメントにア クセスしようとしたとき、リンクが切断されます。 7. Display options で Open bookmark in a new window をクリックし、IVE が新しいブ ラウザ ウィンドウで自動的に Web リソースを開くようにします。この機能は、ユー ザー ブックマークではなく、ロール ブックマークにのみ適用されます。次に、以下 の選択を行います。 264 Web ページの設定 ブラウザ ウィンドウからアドレス バーを削除したい場合には、Do not display the URL address bar を選択します。この機能により、特定ロールのユーザーが 新しい URL をアドレスバーにタイプすることができなくなり、すべてのウェブ アクセスが IVE を通して行われるようになります。 Juniper Networks NetScreen Secure Access 700 管理ガイド 8. ブラウザからメニューとツールバーを削除する場合には、Do not display the menu and the toolbar を選択します。この機能により、ブラウザ ウィンドウか らメニュー、ブラウズ ボタン、およびブックマークが削除されます。そのため IVE を通じてのみブラウズを行うことになります。 追加するには、Save Changes または Save + New をクリックします。 アップロードされた Java アプレットに必要な属性 IVE から Java アプレット ブックマークを作成するときには、次の属性と対応する値を定 義する必要があります。Generate HTML 機能を使用する場合、IVE はこの情報の一部を読 み込んで、指定する必要がある属性に PLEASE_SPECIFY を追加します。属性とその対応 する値を指定する場合は、attribute=”value” 書式を使用します。必要な属性には以下のも のがあります。 code - どのクラス ファイルを Java アプレットで呼び出すかを指示します。この値を 使用して、Java アプレットのメイン関数を指定します。例: applet code="com.citrix.JICA" codebase - Web ブラウザがアプレットをフェッチできる場所を指示します。 <<CODEBASE>> 変数を使用します。この変数は Java アプレットが保存される IVE 内の場所を指定します。例: codebase="<< CODEBASE >>" archive - これは、Web ブラウザがどのアーカイブ ファイル(すなわち、 jar、.cab、 または zip ファイル)をフェッチする必要があるかを指示します。この属性に 1 つ以 上の値を入力する場合には、値をコンマで区切ります。例: archive="JICAEngN.jar,JICA-sicaN.jar,cryptojN.jar,JICA-configN.jar,JICA-coreN.jar" width and height - Java アプレット ウィンドウのサイズを指示します(オプショ ン)。例: width="640" height="480" name - Java アプレットのラベルを指定します(オプション)。例: name="CitrixJICA" align - ブラウザ ウィンドウ内の Java アプレット ウィンドウの配置を指示します (オプション)。例: align="top" アップロードされた Java アプレットに必要なパラメータ IVE から Java アプレット ブックマークを作成するときには、IVE が Java アプレットに渡 すパラメータと値を指定する必要があります。これらのパラメータはアプレットにより全 く異なります。パラメータとその対応する値を指定する場合は、次の書式を使用します。 <param name=”parameterName” value=”valueName”> Web ページの設定 265 Juniper Networks NetScreen Secure Access 700 管理ガイド ここで、parameterName と valueName を除いたすべてのテキストがリテラルです。 IVE 変数を使用して、二重括弧で変数名を囲んで Java アプレットに変数を渡すことができ ます。例えば、<<username>> と <<password>> 値を Java アプレットに渡すことができ ます。使用できる IVE 変数のリストについては、371 ページの「システム変数とその例」 を参照してください。 使用したいデモ用のアプレットが含まれている Web ページを探す場合は、デモ用のサイ トに移動して Java アプレットを実行するページでソースを表示します。ソース内で、 applet タグを見つけます。ソース内の code 属性を選択して、ブラウザに渡す必要がある 特別なパラメータが含まれているかどうかを調べます。ほとんどの場合、code 属性とそ の対応するパラメータを IVE ブックマークの HTML フィールドに直接コピー / 貼り付けで きるはずです。ただし、パラメータがローカルの Web サーバーのリソースを参照する場 合には、参照を IVE ブックマークにコピー / 貼り付けできません。これは、IVE は他の Web サーバーのローカル リソースにアクセスできないためです。別のソースからパラ メータをコピー / 貼り付けするときには、常にパラメータの値を確認します。 Options タブ 一般的な Web ブラウジング オプションを指定するには、Options タブを使用します。 一般的な Web ブラウジング オプションの指定 一般的な Web ブランジング オプションを指定するには、次の操作を実行します。 1. Web コンソールで、Users > Roles > ロール名 > Web > Options を選択します。 2. Browsing で、ユーザーが使用できるオプションを指定します。 User can type URLs in IVE browse bar - これを有効にすると、ユーザーは welcome ページに URL を入力し、インターネット サイトをブラウズできます。 Allow Java applets - これを有効にすると、ユーザーはクライアント側の Java ア プレットが置かれたウェブページをブラウズすることができます。IVE サーバー が SSL のブラウザとしてアプリケーション サーバーに表示されます。IVE は Java アプレットによって起動されるすべての HTTP リクエストと TCP 接続、また、 署名された Java アプレットをすばやく処理できます。 この機能を有効にすると、ユーザーは Java アプレットを起動して、Virtual Computing (VNC)Java クライアント、Citrix NFuse Java クライアント、WRQ Reflections Web クライアント、Lotus WebMail などを、クライアント側 の Java アプレットとして実装したアプリケーションを実行できます。この機能は Java Code Signing リソース ポリシーと共同で動作します。詳細については、293 ペー ジの「Code Signing タブ」を参照してください。 266 Web ページの設定 Allow Flash content - これを有効にすると、IVE は Content Intermediation Engine により Flash コンテンツを仲介します。ActionScript 2.0 および Flash Remoting に対する IVE のサポートは限定されており、XMLSocket 接続はサポー トしていません。 Juniper Networks NetScreen Secure Access 700 管理ガイド Mask hostnames while browsing - これを有効にすると、ユーザーがブラウズ する URL の指定リソース名が非表示になります。このオプションを選択すると、 ユーザーの以下の場所で、IP アドレスとホスト名が非表示にされます。 Web ブラウザのアドレス バー(ユーザーがページに移動したとき) Web ブラウザのステータス バー(ユーザーがハイパーリンク上にいるとき) HTML ソース ファイル(ユーザーが View Source を選択したとき) ホスト名のコード化機能(ホスト名の不明化または URL 不明化とも呼びます) は、パス名、ターゲットファイル、ポート番号を完全に非表示にせず、指定の サーバーが不明瞭化され、他のユーザーが内部リソースの URL を偶然発見する のを防げます。たとえば、ユーザーが選択的再書き込みや使用可能なホスト名の コード化を用いずに www.msn.com に移動した場合、 http://www.msn.com/ URL が Web ブラウザのアドレスバーに表示されます。 選択的な再書き込みを有効にすると、IVE は次のような URL を表示します。 https://10.10.9.1/,DanaInfo=www.msn.com+ 次にホスト名のエンコードを有効にして同じユーザーが同じサイトに移動する と、表示される URL ではホスト名(www.msn.com)が表示されません。 https://10.10.9.1/,DanaInfo=.awxyCqxtGkxw+ ホスト名のコード化は軽量のリバーシブル アルゴリズムを使用しているため、 ユーザーはコード化された URL をブックマークに加えることができます。(IVE はコード化された URL を変換し、元の URL に解決し直すことができます。)互換 性のために、非表示になっていない URL に対してすでに作成されたブックマー クは、ホスト名のコード化が使用可能後も続けて使用できます。 この機能を使用可能にするとき、選択的再書き込みおよびホスト名コード化を有 効にしてください。IVE は選択的再書き込み機能を使って書き直したサーバーの ホスト名と IP アドレスのみを隠します。ホスト名エンコーディングのログ エン トリを含め、ログ エントリではホスト名と IP アドレスは表示されます。 Unrewritten pages open in new window - これを有効にすると、書き直されて いないページにユーザーがアクセスしたときに(296 ページの「選択的な再書き 込みリソース ポリシーの作成」を参照) 、強制的に新しいウィンドウが開いてコ ンテンツが表示されます。これにより、セキュア セッションがまだ有効であるこ とをユーザーに知らせることができます。このオプションが適用されるリソース が要求されると、IVE は要求されたリソースへのリンクを組み込んだページを表 示し、ユーザーにはこのリンクをクリックするように指示します。このリンクを クリックすると、新しいブラウザ ウィンドウでリソースが表示され、リクエス トを最初に出したページはそのまま IVE の中に表示されます。 このボックスのチェックを外すと、ユーザーは、IVE セッションがまだ有効であ り、IVE に戻るためにブラウザの Back ボタンを使用する必要があることに気づ かなくなる場合があります。ユーザーはサインアウトするために IVE に戻る必要 があります。ブラウザ ウィンドウを閉じただけでは、時間制限となるまでセッ ションがアクティブなままです。 Web ページの設定 267 Juniper Networks NetScreen Secure Access 700 管理ガイド Allow browsing untrusted SSL web servers - これを有効にすると、ユーザーは IVE を通して、アントラステッド Web サイトにアクセスすることができます。ア ントラステッド Web サイトとは、サーバー証明書が Web コンソールの System > Configuration > Certificates > Trusted Servers CAs タブを通してインストー ルされていない Web サイトのことです。詳細については、157 ページの 「Trusted Server CAs タブ」を参照してください。このオプションを有効にする と、ユーザーがアントラステッド Web サイトをナビゲートしたときに IVE が ユーザーに与える選択肢を指定できます。 Warn users about the certificate problems - これを有効にすると、ユー ザーが初めてアントラステッド Web サイトにアクセスする際に、IVE は ユーザーに警告し、そのサイトの証明書が信用できない理由を示します。 ユーザーは続行することもキャンセルすることもできます。IVE が警告を表 示した後にユーザーが続行することを選択した場合は、現行の IVE セッショ ン中に、IVE がそのサイトに対して警告をさらに表示することはありませ ん。 メモ : Warn users about the certificate problems オプションを選択すると、ユーザー は、HTML ページとは異なる SSL サーバーから送信される非 HTML コンテンツ(画像、 js、css など)にアクセスし、リンクを含むページは正しく表示されない場合がありま す。この問題を回避するには、このオプションを選択解除するか、有効な本稼働用 SSL 証明書を非 HTML コンテンツを送信するサーバーにアップロードします。 Allow users to bypass warnings on a server-by-server basis - これを有効に すると、IVE によってユーザーは特定のアントラステッド Web サイトに対 するそれ以上の警告を抑制することができます。ユーザーがこのオプション を選択した場合、IVE またはクラスタからアクセスする限り、現行のこのサ イトに対する警告が再び表示されることはありません。 メモ : ユーザーが警告を見ることなくアントラステッド Web サイトにアクセスできる よう選択した場合、IVE はユーザーがアントラステッド サイトに移動するたびに、メッ セージをユーザー アクセス ログに記録します。また、ユーザーが警告を抑制するよう選 択した場合、エンドユーザー コンソールの System > Preferences > Advanced タブで Delete Passwords オプションを用いて、アントラステッド Web サイトの永続的な設定 を消去することができます。 268 Web ページの設定 Rewrite file:// URLs - これを有効にすると、IVE が file:// を書き直し、CGI をブ ラウズする IVE ファイルを通してルーティングするようになります。 3. ユーザーが自分用の Web ブックマークを IVE welcome ページに作成できるようにす るには、Bookmarks で User can add bookmarks をオンにします。 4. Cookies で、Persistent cookies を有効にすると、このロールに属するユーザーは、 永続クッキーを保持できるようにして、ブラウジングをカスタマイズできます。デ フォルトでは、IVE はユーザー セッションの間に保存された Web クッキーをフラッ シュします。このオプションを使用可能にすると、ユーザーは Advanced Preferences ページによりクッキーを消去できます。 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. Web Applications で、デフォルト値を受け入れるか、HTTP Connection Timeout 期 間を設定し、HTTP サーバーからの返答をどれだけの時間待ってからタイムアウトし 接続を終了するかを IVE に指定してください。30 ~ 1800 秒の範囲で指定できます。 メモ : タイムアウト値を高く設定すると、アプリケーションが適切に接続を閉じない場 合や閉じるのに長くかかりすぎた場合に、IVE リソースを使い切る可能性があります。 アプリケーションが高いタイムアウト値を要求しない場合は、デフォルト値を受け入れ ることをお勧めします。 6. Save Changes をクリックします。 Web ページの設定 269 Juniper Networks NetScreen Secure Access 700 管理ガイド Files ページの設定 Files ページには、次のタブがあります。 270 ページの「Windows Bookmarks タブ」- このロールにマップされたユーザー の welcome ページに表示される Windows ブックマークを作成するには、このタ ブを使用します。 271 ページの「UNIX Bookmarks タブ」- IVE ホーム ページに表示される UNIX/NFS ブックマークを作成するには、このタブを使用します。 272 ページの「Options タブ」- リソースの表示機能、フォルダ ブックマークの作成 機能など、Windows および UNIX/NFS ネットワーク ブラウジング オプションを指定 するにはこのタブを使用します。 Windows Bookmarks タブ このロールにマップされたユーザーの welcome ページに表示される Windows ブックマー クを作成するには、Windows Bookmarks タブを使用します。ユーザーのネットワーク ディレクトリにすばくアクセスするには、URL パスにユーザーの IVE ユーザー名を挿入 します。 IVE ユーザーが Dfs サーバー上でファイルを参照している場合、Dfs サーバーは Active Directory に保存されているサイト設定データを使用して、IVE に正しい順序で Dfs 参照を 返します。近くにあるサーバーの参照は、遠いサーバーの参照よりもリストの上位に配置 されます。クライアントは、受信した順序で参照を処理しようとします。このリストにな いサブネットのクライアントからリクエストが送信された場合、サーバーはクライアント の場所が分からず、任意の順序で利用者に参照リストを返すことになります。この状況で は、IVE (この場合、クライアントとして動作)の Dfs リクエストが、はるか遠くにある サーバーにアクセスする可能性があります。これでは、IVE があるサブネットからアクセ スできないサーバーに、IVE がアクセスしようとして、深刻な遅延が発生する恐れがあり ます。IVE が Dfs サーバーのリストにないサブネットにインストールされている場合、 Dfs 管理者はドメイン コントローラの “Active Directory Sites and Services” ツールを使用し て、IVE のサブネットを適切なサイトに追加できます。 Windows リソースへのブックマークの作成 Windows リソースへのブックマークを作成するには、次の操作を実行します。 1. Web コンソール で、Users > Roles > ロール名 > Files > Windows Bookmarks を 選択します。 2. New Bookmark をクリックし、サーバーおよび共有の名前を参照するか、入力しま す。アクセスをさらに制限するには、パスを指定します。ユーザーのユーザー名を挿 入したい場合は、パスの適切な場所に < ユーザー名 > を入力します。ブックマーク の名前と説明を指定すると、この情報は、server/share ではなく、IVE ホームページ に表示されます。 メモ : Windows サーバーにはブックマークすることはできません。サーバーと共有の名 前の両方を指定する必要があります。 3. Appearance に、以下のいずれかを選択します。 270 Files ページの設定 Appear as bookmark on homepage and in file browsing - ユーザーの welcome ページとネットワーク ファイルの参照時の両方にブックマークを表 示したい場合。 Juniper Networks NetScreen Secure Access 700 管理ガイド 4. 5. Appear in file browsing only - ネットワーク ファイルの参照時にだけ、ブック マークを表示したい場合。 Access で、対応する Windows アクセス リソース ポリシーが IVE で自動作成される ようにするには、Enable auto-allow access to this bookmark をオンにします。この 機能は、ユーザー ブックマークではなく、ロール ブックマークにのみ適用されます。 次に、以下の選択を行います。 Read-write access - サーバーでユーザーがファイルを保存できるようにしま す。ユーザーは 500 MB 以上のファイルをサーバーにアップロードできません。 Include sub-folders - 指定したブックマーク パスの下にあるディレクトリで、 ユーザーがファイルを表示できるようにします。 追加するには、Save Changes または Save + New をクリックします。 LDAP サーバーにマップする Windows ブックマークの作成 ユーザーの LDAP ホーム ディレクトリに自動的にマップするブックマークを作成でき ます。 1. 211 ページの「LDAP サーバー インスタンスの設定」で説明されていように、LDAP サーバー インスタンスを作成します。 2. サーバー カタログに LDAP の属性 homeDirectory を追加します。 3. 211 ページの「LDAP サーバー インスタンスの定義」で説明されているように、領域 を設定し、認証サーバーとして LDAP をバインドします。 4. 必要に応じて、ロール マッピング規則を設定します。 5. Users > Roles > ロール名 > Files > Windows Bookmarks を選択します。 6. ファイル ブックマークを定義し、そのブックマークで <userAttr.homeDirectory> を 指定します。 7. Save Changes をクリックします。 UNIX Bookmarks タブ UNIX Bookmarks タブを使用すると、IVE ホーム ページに表示する UNIX/NFS ブックマー クを作成できます。ユーザーのネットワーク ディレクトリにすばくアクセスするには、 URL パスにユーザーの IVE ユーザー名を挿入します。 UNIX リソースへのブックマークの作成 UNIX/NFS リソースへのブックマークを作成するには、次の操作を実行します。 1. Web コンソール で、Users > Roles > ロール名 > Files > UNIX Bookmarks を選択 します。 2. New Bookmark をクリックし、サーバーのホスト名または IP アドレスとともに、共 有するパスを入力します。ユーザーのユーザー名を挿入したい場合は、パスの適切な 場所に < ユーザー名 > を入力します。この情報はブックマークの名前と説明を入力 すると、server/path ではなく、IVE ホームページ に表示されます。 Files ページの設定 271 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. 4. 5. Appearance に、以下のいずれかを選択します。 Appear as bookmark on homepage and in file browsing - ユーザーの welcome ページとネットワーク ファイルの参照時の両方にブックマークを表 示したい場合。 Appear in file browsing only - ネットワーク ファイルの参照時にだけ、ブック マークを表示したい場合。 対応する UNIX/NFS アクセス リソース ポリシーが IVE で自動作成されるようにする には、Access で Enable auto-allow access to this bookmark をオンにします。この機 能は、ユーザー ブックマークではなく、ロール ブックマークにのみ適用されます。 次に、以下の選択を行います。 Read-write access - サーバーでユーザーがファイルを保存できるようにしま す。ユーザーは 500 MB 以上のファイルをサーバーにアップロードできません。 Include sub-folders - 指定したブックマーク パスの下にあるディレクトリで、 ユーザーがファイルを表示できるようにします。 追加するには、Save Changes または Save + New をクリックします。 Options タブ Options タブを使用すると、リソースの表示機能、フォルダ ブックマークの作成機能な ど、Windows および UNIX/NFS ネットワーク ブラウジング オプションを指定できます。 これらのオプションは、ファイル リソース ポリシーと協調して動作します。 一般的なファイル ブラウジング オプションの指定 一般的なファイルのブラウジング オプションを指定するには、次の操作を実行します。 1. Web コンソールで、Users > Roles > ロール名 > Web > Options を選択します。 2. Windows Network Files で、ユーザー用に有効にするオプションを指定します。 3. 4. 272 Files ページの設定 User can browse network file shares - 有効にすると、ユーザーは利用可能な Windows ファイル共有にあるリソースを表示したり、ブックマークを作成した りできます。 User can add bookmarks - 有効にすると、ユーザーは利用可能な Windows ファイル共有にあるリソースを表示したり、ブックマークを作成したりでき ます。 UNIX Network Files で、ユーザーのために有効にするオプションを指定します。 User can browse network file shares - 有効にすると、ユーザーは利用可能な UNIX ファイル共有にあるリソースを表示したり、ブックマークを作成したりで きます。 User can add bookmarks - 有効にすると、ユーザーは利用可能な UNIX ファイ ル共有にあるリソースへのブックマークを表示したり、作成したりできます。 Allow automount shares - 有効にすると、ユーザーは NIS サーバーで指定され た自動マウント共有にアクセスできます。 Save Changes をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド Telnet/SSH ページの設定 Telnet/SSH ページには、次のタブがあります。 273 ページの「Sessions タブ」- このロールにマップされたユーザーの welcome ペー ジに表示されるセキュア ターミナル セッション ブックマークを作成するには、この タブを使用します。 274 ページの「Options タブ」- ユーザーが自分で Telnet/SSH ブックマークを作成し たり、ターミナル セッションを参照したり、IVE を設定してセッション ブックマー クに指定されたサーバーへのアクセスを許可する Telnet/SSH リソース ポリシーを作 成できるようにするには、このタブを使用します。 Sessions タブ このロールにマップされたユーザーの welcome ページに表示されるセキュア ターミナル セッション ブックマークを作成するには、Sessions タブを使用します。ターミナル セッ ション ブックマークは、ユーザーが起動できる Telnet または SSH セッションのターミナ ル セッション情報を定義します。これらのセッションを通じて、ユーザーは UNIX サー バーやネットワーク デバイス、ターミナル サービスを使用するその他のレガシ アプリ ケーションなど、さまざまなネットワーク デバイスにアクセスできます。IVE は SSH バー ジョン V1 と V2 をサポートしており、OpenSSH_2.9.9p1、SSH プロトコル 1.5/2.0、およ び OpenSSL 0x0090607f の SSH バージョンを使用しています。 Secure Terminal Access upgrade オプション(Telnet/SSH)を有効にしていながら、独自の ブックマーク(274 ページの「Options タブ」で説明されているように)を作成する権限 がユーザーに与えられない場合は、ユーザーのセッション ブックマークが設定されてい ることを確認してください。ブックマークを設定しないと、ユーザーはこの機能を使用で きません。 セキュア ターミナル セッションのブックマークの作成 セキュア ターミナル セッションのブックマークを作成するには、次の操作を実行します。 1. Web コンソールで、Users > Roles > ロール名 > Telnet/SSH > Sessions を選択し ます。 2. Add Session をクリックします。New Telnet/SSH Session ページが表示されます。 3. 新規 Telnet/SSH セッションのブックマークの名前と説明を入力します(オプショ ン)。ブックマークの名前と説明を指定すると、Terminal Sessions ページにこの情報 が表示されます。 4. Host フィールドにリモート ホストの名前または IP アドレスを入力します。 5. Session Type で、Telnet か SSH Secure Shell のいずれかを選択し、ポートが事前入力 されたポートの割り当てと異なる場合は、ポートを指定します。 6. ユーザー名を入力するか、<username>、あるいはその他の IVE 対応のセッション変 数を使用します。 7. 次のいずれかを選択して、Font Size を指定します。 8. Fixed size of _ pixels - 8 ~ 36 ピクセルの範囲でサイズを入力します。 Resize to fit window - ウィンドウ サイズに合わせてフォント サイズが動的に 変わります。このオプションには Internet Explorer が必要です。 ドロップダウン リストから Screen Size を選択します。 Telnet/SSH ページの設定 273 Juniper Networks NetScreen Secure Access 700 管理ガイド 9. Screen Buffer サイズを指定します。 10. Save Changes または Save + New をクリックします。 メモ : セキュア ターミナル セッションのブックマークを作成することに加え、ロール の Telnet/SSH セッションを許可するリソース ポリシーを作成します。または、 Telnet/SSH > Options タブで Auto-allow role Telnet/SSH sessions セッションを有効に して、セッション ブックマークで定義されたリソースに自動的にアクセスできるように します。 Options タブ ユーザーが自分で Telnet/SSH ブックマークを作成したり、ターミナル セッションを参照 したり、IVE を設定してセッション ブックマークに指定されたサーバーへのアクセスを許 可する Telnet/SSH リソース ポリシーを作成できるようにするには、Options タブを使用 します。 ユーザーにターミナル セッションのブラウズを許可する場合、ユーザーは次の 2 つの方 法を使用できます。 Use the IVE homepage - IVE ホームページの Address フィールドに、アクセスする サーバーおよびポートを入力できます。URL の有効なフォーマットには、次のものが あります。 Telnet://host:port SSH://host:port 例:Telnet://terminalserver.yourcompany.com:3389 Use the Web browser’s address bar - ユーザーは各自の Web ブラウザのアドレス バーに、標準の Web プロトコルを使用してアクセスするサーバーとポート(および、 フォントやウィンドウ サイズなどのセッション パラメータ)を入力できます。 例: https://iveserver/dana/term/newlaunchterm.cgi?protocol=telnet&host=termsrv.y ourcompany.com&port=23&username=jdoe&fontsize=12&buffer=800&size=80x2 5 一般的な Telnet/SSH オプションの指定 一般的な Telnet/SSH オプションを指定するには、次の操作を実行します。 274 Telnet/SSH ページの設定 1. Web コンソールで、Users > Roles > ロール名 > Telnet/SSH > Options を選択しま す。 2. ユーザーが独自のセッション ブックマークを定義できるようにし、また telnet:// および ssh:// 構文、および /dana/term/newlaunchterm.cgi 構文 を使用してター ミナル セッションのブラウズを可能にするために User can add sessions を有効に します。このオプションを有効にした場合、次回からユーザーが IVE welcome ペー ジ を更新すると、Terminal Sessions ページに Add Terminal Session ボタンが表示 されます。 3. リソース ポリシーを作成するのではなく、セッション ブックマークに定義されたリ ソースへのアクセスを IVE に自動的に許可するには、Auto-allow role Telnet/SSH sessions を有効にします。このオプションは、ユーザー ブックマークではなく、ロー ル ブックマークに適用されます。 4. Save Changes をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド Network Connect ページの設定 ロールに対して、スプリットトンネル、自動アンインストール、および GINA (Graphical Identification and Authentication)オプションを指定するには、Network Connect タブを 使用します。GINA の詳細については、85 ページの「GINA を使用した Network Connect の自動サインイン」を参照してください。 Network Connect のスプリットトンネル、自動起動、自動アンインストール、および GINA インストールの各オプションを指定するには、次の操作を実行します。 1. Web コンソールで、Users > Roles > ロール > Network Connect を選択します。 2. Split Tunneling Options で、次のオプションのいずれかを選択します。 Disable Split Tunneling - クライアントからのネットワーク トラフィックはす べて Network Connect トンネル経由で送信されます。Network Connect と IVE と の接続が確立されると、IVE はスプリットトンネルを起こす可能性のある事前定 義されたローカル サブネットとホスト間のルートをすべて削除します。Network Connect のアクティブ セッション中にローカル ルート テーブルに変更が加えら れると、IVE によってそのセッションは中断されます。 Allow access to local subnet - IVE はクライアントのローカル サブネット ルー トを保持するので、プリンタなどのローカル リソースへのアクセスは維持され ます。ローカル ルート テーブルは Network Connect セッション中に変更される 可能性があります。 Enable Split Tunneling - このオプションでは、スプリットトンネルがアクティ ブになり、326 ページの「Network Connect スプリットトンネル ネットワーク リソース ポリシーの作成」の説明に従って、IVE がリモート クライアントと企 業イントラネット間で渡されたトラフィックを処理するネットワーク IP アドレ ス / ネットマスクの組み合わせを指定する必要があります。 スプリット トンネルが使用されると、Network Connect はクライアントでルー ティングを修正し、企業イントラネット ネットワーク用のトラフィックは Network Connect に向かい、その他すべてのトラフィックはローカルの物理アダ プタを経由するようにします。IVE はまず、物理アダプタ経由で送信されたすべ ての DNS リクエストの解決を試みてから、送信できなかったリクエストを Network Connect アダプタにルーティングします。 Enable Split Tunneling with route change monitor - Network Connect セッショ ンが開始した後でローカル ルート テーブルが変更されると、セッションは終了 します。このオプションをオンにすると、プリンタなどのローカル リソースへの アクセスは維持されます。 3. Auto Launch Options では、Network Connect セッションを有効にする 1 つ以上の ロールに認証されたユーザーがマップするときに、Network Connect が自動的に起動 するかしないかを指定します。 4. Auto Uninstall Options で、ユーザーが Network Connect セッションからサインアウ トしたときに Network Connect をリモート クライアントからアンインストールする かどうかを指定します。 Network Connect ページの設定 275 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. TOS Options では、このオプションを有効または無効にすることにより、IP TOS ビッ トコピー サービス品質(QoS)機能を有効にするかしないかを指定します。このオプ ションが有効なとき、Network Connect は、内部の IP パケット ヘッダーから外部の IP パケット ヘッダーに IP TOS ビットをコピーします。 メモ : このオプションを有効にするには、Network Connect がはじめて Windows OS にイ ンストールされたときに、コンピュータの再起動が必要になる場合があります。 IVE でこのオプションを有効にする場合、322 ページの「Network Connect 接続プロ ファイルの作成」で説明されているように、Repeat Protection オプションを無効に していることを確認してください。 6. Multicast Option では、Network Connect をマルチキャスト モードで動作させたいか どうかを指定します。 7. GINA Options で、ロールの GINA インストールを有効にするかどうかを指定し、以 下のオプションのいずれかを選択して GINA のサインイン動作を指定します。 8. 276 Network Connect ページの設定 Require NC to start when logging into Windows - GINA がインストールされる と、このオプションにより、Windows ユーザーがサインインするたびに、 Network Connect サインイン機能を自動的に起動します。 Allow user to decide whether to start NC when logging into Windows - GINA が インストールされると、このオプションにより、ユーザーは GINA のインストー ル後に Network Connect を起動するかどうかを、Windows の起動時に選択でき ます。 Save Changes をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド New User ページの設定 ローカル ユーザーの作成 認証サーバーのタイプとして “IVE” を選択した場合は、そのデータベースにローカル ユーザー レコードを定義する必要があります。ローカル ユーザー レコードは、ユーザー 名、ユーザーの氏名、ユーザーのパスワードで構成されています。通常は外部の認証サー バーでユーザー認証を行いますが、この外部の認証サーバーを無効にすることがある場合 や、一時的なユーザーのグループを作成する場合は、ローカル ユーザー レコードを作成 します。 IVE ローカル認証のためにローカル ユーザー レコードを作成するには、次の操作を実行 します。 1. 2. Web コンソールで、次のいずれかを実行します。 Signing In > AAA Servers を選択して、ユーザー アカウントを追加する IVE デー タベースをクリックします。それから、Users タブを選択して、New をクリック します。 Users > New User を選択します。 ユーザー名、ユーザーの氏名、ユーザーのパスワードを入力します。注意: ユーザー名に “~~” は使えません。 アカウントの作成後にユーザー名を変更する場合、新規アカウントを作成する必 要があります。 3. (Users > New User ページのみ)Authenticate Using リストから、ユーザー アカウ ントを追加したい IVE データベースを選択します。 4. そのユーザーのログインを 1 回に制限したい場合は、One-time use(disable account after the next successful sign-in)を選択します。1 回ログインに成功すると、 そのユーザーのログイン状態は Disabled に設定され、その後で再びログインしよう とするとエラー メッセージが表示されます。しかし、Web コンソール でこのオプ ションを手動でリセットして、同じユーザーが再びログインできるようにすることが 可能です。このオプションのチェックを外しておく場合、パーマネント ユーザーを作 成していることになります。 5. すでに選択されていない場合は、Enabled を選択します。選択的に任意のユーザー (1 回でも永続的でも)を有効または無効にするため、このオプションは admin が使 用します。デフォルトでは選択されています。One-time use オプションがチェックさ れている場合、このオプションは、ユーザーがログインに成功すると、Disabled に 変わります。パーマネントまたは 1 回ユーザーがログインしているときに、このオプ ションを無効にすると、ユーザーはすぐにシステムからログアウトさせられて、エ ラー メッセージを受け取ります。 6. 次のサインイン時にユーザーに自分のパスワードを変更させる場合は、Require user to change password at next sign in チェックボックスをオンにします。 メモ : ユーザーのパスワード変更を強制するには、Allow users to change their passwords オプションを有効にすることも必要です。Administrators/Users > Authentication > [ 領域 ] > Authentication Policy >Password ページで、どの領域が サーバーのパスワード管理機能を継承するか指定します。 New User ページの設定 277 Juniper Networks NetScreen Secure Access 700 管理ガイド 7. Save Changes をクリックします。ユーザー レコードが IVE データベースに追加され ます。 メモ : IVE Web コンソールは、Last Sign-in Statistic という名前のコラムにある Users タ ブに、各ユーザー アカウントに対する前回のアクセス統計情報を提供します。提供され る統計には、各ユーザーが前回正常にサインインした時の日時、ユーザーの IP アドレ ス、エージェントとブラウザの種類とバージョンが含まれます。 278 New User ページの設定 第 10 章 リソース ポリシー設定 Web コンソールの Resource Policies セクションにある設定を使用すると、個々のリソー ス ポリシーの作成と設定が行えます。 目次 281 ページの「リソース ポリシーのリソースの指定」 283 ページの「詳細規則の記述」 285 ページの「Web ページの設定」 309 ページの「Files ページの設定」 317 ページの「Telnet/SSH ページの設定」 320 ページの「Network Connect ページの設定」 329 ページの「Email Client ページの設定」 第 10 章 : リソース ポリシー設定 279 Juniper Networks NetScreen Secure Access 700 管理ガイド 280 第 10 章 : リソース ポリシー設定 Juniper Networks NetScreen Secure Access 700 管理ガイド リソース ポリシーのリソースの指定 リソース ポリシーを評価する IVE プラットフォームのエンジンでは、ポリシーの Resources リストに表示されるリソースが正式フォーマットに従っている必要がありま す。ユーザーが特定のリソースにアクセスしようとすると、IVE アプライアンスは、要求 されたリソースと対応するポリシーに指定されているリソースを比較します。これは、ポ リシー リストの最初のポリシーから順に行われます。要求されたリソースとポリシーの Resources リストに指定されているリソースが一致すると、さらに詳細にポリシーの制約 が評価され、適切なアクションがアプライアンスに返されます(それ以上、ポリシーの評 価は行われません)。ポリシーが適用されない場合は、そのポリシーのデフォルトのアク ションが返されます。 正式フォーマットについての一般的注意事項 リソースのホスト名と IP アドレスは、ポリシー エンジンに同時に渡されます。ポリ シーの Resources リストにあるサーバーが IP アドレスで指定されている場合は、評 価は IP アドレスに基づいて行われます。それ以外の場合は、2 つのホスト名を一致さ せます。つまり、IP を特定するための DNS 逆引き参照は実行されません。 ポリシーの Resources リストにあるホスト名が、“intranet.juniper.net” ではなく、 “juniper” のように完全修飾名で表示されていない場合は、その表示のまま評価が実 行されます。ホスト名の詳細な修飾部分は評価されません。 サーバー リソースの指定 Telnet/SSH または Network Connect のリソース ポリシーにサーバー リソースを指定する 場合は、次のガイドラインに注意してください。 正式フォーマット: [protocol://]host[:ports] 以下の 3 つのコンポーネントがあります。 Protocol (オプション)- 可能な大文字と小文字を区別しない値: tcp udp icmp プロトコルを指定しない場合、3 種類のプロトコルがすべて想定されます。プロトコ ルを指定する場合、区切り文字 “://” を使用する必要があります。特殊文字は使用で きません。 メモ : ネットワーク コネクト ポリシーにのみ指定できます。Secure Application Manager や Telnet/SSH など、その他のアクセス機能のリソース ポリシーについては、このコン ポーネントの指定は無効です。 リソース ポリシーのリソースの指定 281 Juniper Networks NetScreen Secure Access 700 管理ガイド Host (必須)- 可能な値: IP address/Netmask - IP アドレスは次の形式に従う必要があります:a.b.c.d ネットマスクは以下の 2 つのどちらかの形式で指定できます。 接頭辞:先頭からのビット数 IP: a.b.c.d 例:10.11.149.2/24 または 10.11.149.2/255.255.255.0 特殊文字は使用できません。 DNS Hostname - 例:www.juniper.com メモ : Network Connect のリソース ポリシーにホスト名を指定することはできません。 指定できるのは IP アドレスだけです。 以下の特殊文字を使用できます。 表 12: DNS ホスト名の特殊文字 * すべての文字と一致 % ドット(.)以外の任意の文字と一致 ? 1 文字だけに一致 Ports (オプション)- 可能な値: 表 13: ポートで使用できる値 * すべてのポートに一致、その他の特殊文字は使用不可 port[,port]* カンマで区切れらた単一ポートのリスト。有効なポート番号は [1 ~ 65535] です。 [port1]-[port2] ポート 1 からポート 2 を含むポートの範囲 メモ : 80,443,8080-8090 などのように、ポート リストおよびポート範囲を一緒に使用 することができます。 ポートがない場合は、https には 80、 https には 443 のデフォルト ポートが割り当 てられます。ポートを指定する場合、区切り文字 “://” を使用する必要があります。 例: <username>.danastreet.net:5901-5910 10.10.149.149:22,23 tcp://10.11.0.10:80 udp://10.11.0.10:* 282 リソース ポリシーのリソースの指定 Juniper Networks NetScreen Secure Access 700 管理ガイド 詳細規則の記述 詳細規則により、既存のリソース情報および権限情報を利用したより柔軟なリソース ア クセス コントロールが可能になり、基本リソース ポリシーを適用するそれぞれのユー ザーに異なる要件を効率的に指定できるようになります。詳細については、55 ページの 「リソース ポリシー詳細規則」を参照してください。 リソース ポリシーに詳細規則を記述するには、次の操作を実行します。 1. リソース ポリシーの New Policy ページで、必要なリソースとロールの情報を入力し ます。 2. Action セクションで、Use Detailed Rules を選択し、Save Changes をクリックし ます。 3. Detailed Rules タブで、New Rule をクリックします。 4. Detailed Rules ページで、以下を実行します。 a. ユーザーの要求が Resource リストのリソースと一致する場合は、Action セク ションで、実行するアクションを設定します(オプション)。デフォルトでは、 General タブで指定したアクションが継承されます。 b. Resources セクションで、次のいずれかを指定します(必須)。 c. General タブで指定されているリソースと完全に一致または部分的に一致す るリソース リスト。 General タブで指定されているサーバーの特定のパスまたはファイル(適切 な場合はワイルドカードを使用)。Resources リスト内でのワイルドカード の使用方法については、該当するリソース ポリシーのドキュメントを参照 してください。 適切なパスとその後に続くファイル タイプ、または General タブで指定さ れているサーバーの任意のパス内で指定拡張子を使用するファイルを示す、 */*.file_extension を指定。 Conditions セクションで、アクションを実行するために評価する以下のいずれ かの式を必要な数だけ指定します(オプション)。 ブール演算式:システム変数を使用し、NOT、OR、AND 演算子を使用した 任意の数のブール演算式を記述します。リソース ポリシーで利用可能な変数 のリストについては、371 ページの「システム変数とその例」を参照してく ださい。 カスタム式:カスタム式の構文を使用し、任意の数のカスタム式を記述 します。構文および変数の詳細は、367 ページの「カスタム式の記述」 を参照してください。カスタム式は、アドバンスト ライセンスの場合の み利用可能です。 メモ : Web ページ、telnet、ファイル、および SAM の ACL では、<USER> 代入変数を 使用できます。Network Connect ACL では変数を使用できません。 d. 5. Save Changes をクリックします。 Detailed Rules タブで、IVE に評価させたい順序のとおりに規則を指定します。ユー ザーから要求されたリソースが Resource リストのリソースと一致すると、IVE は指 定されているアクションを実行し、処理中の規則(およびその他のリソース ポリ シー)を停止することに注意してください。 リソース ポリシーのリソースの指定 283 Juniper Networks NetScreen Secure Access 700 管理ガイド 284 リソース ポリシーのリソースの指定 Juniper Networks NetScreen Secure Access 700 管理ガイド Web ページの設定 Resource Policies > Web ページには、次のタブがあります。 287 ページの「Access タブ」- インターネット、イントラネット、またはエクストラ ネットに接続するためにユーザーがアクセスできる Web リソースを指定する Web リ ソース ポリシーを作成するには、Access タブを使用します。 288 ページの「Caching タブ」- Caching タブを使用して、Web Access リソース ポリ シーを作成し、一般的なキャッシュのオプションを指定します。 292 ページの「Java タブ」- Java タブを使用して Java アプレットがどのサーバーおよ びポートと接続できるかを制御するリソース ポリシーを作成し、IVE が Java アプ レットを再書き込みする方法を指定します。 296 ページの「Rewriting タブ」- Rewriting タブを使用して、選択的な再書き込みリ ソース ポリシー、パススルー プロキシ リソース ポリシー、および ActiveX パラメー タ再書き込みリソース ポリシーを作成します。 303 ページの「Remote SSO タブ」- Remote SSO タブを使用して、Basic Authentication または NTLM 仲介方法を有効にします。 305 ページの「Web Proxy タブ」- Web Proxy タブを使用して、Web proxy リソース ポリシーを作成し、Web proxy サーバーを指定します。 307 ページの「Compression タブ」- Compression タブを使用して、Web 圧縮リソー ス ポリシーを作成します。 308 ページの「Options タブ」- Options タブを使用して、説明されているように Web リソース オプションを指定します。 Web プロキシ リソース ポリシーの作成 ロールに対して Web アクセス機能を有効にする場合は、ユーザーにどのリソースへのア クセスを許可するか、ユーザーから要求されたコンテンツを IVE が書き直す必要があるか どうかに加え、キャッシングやアプレットの要件を指定するリソース ポリシーを作成す る必要があります。IVE は Web 要求ごとに、まず設定された書き直しポリシーを評価しま す1。選択された再書き込みまたはデータ転送プロキシ リソース ポリシーにより、「再書 き込みしない」と指定されたリソースが要求された場合、IVE はユーザー要求を適切な バックエンド リソースに転送します。それ以外の場合、IVE は Java アプレットのフェッチ を要求する Java リソース ポリシーなど、要求に対応するリソース ポリシーを評価しま す。IVE は、ユーザーの要求を該当するポリシーにリストアップされたリソースと照合し た後、そのリソースに指定されたアクションを実行します。 Web リソース ポリシーを作成するとき、以下の情報を入力する必要があります。 Resources - リソース ポリシーでは、ポリシーを適用する 1 つ以上のリソースを指 定する必要があります。Web ポリシーの作成時には、以下のセクションで説明されて いるように、Web サーバーまたは特定の URL を指定する必要があります。 Roles - リソース ポリシーでは、適用対象となるロールを指定する必要があります。 ユーザーから要求があると、IVE はそのロールに適用されるポリシーを決めて、要求 に対応するポリシーを評価します。 1.「再書き込み」リソース ポリシーを設定しない場合、 IVE はユーザー要求に適用するポリシーを使用して評価プロ セスを続行します。 Web ページの設定 285 Juniper Networks NetScreen Secure Access 700 管理ガイド Actions - 各タイプのリソース ポリシーは、リソースを許可または拒否するかどう か、コンテンツの書き換え、アプレットの再署名、Web データの投稿など、特定の 機能を実行するかどうかといった、特定のアクションを実行します。ユーザー要求に 対してさらに条件を適用する詳細な規則を作成することもできます。283 ページの 「詳細規則の記述」を参照してください。 IVE プラットフォームのエンジンが、リソース ポリシーを評価する際に、ポリシーの Resources リスト内に表示されるリソースは、281 ページの「リソース ポリシーのリソー スの指定」で説明されているように、標準書式に従っていなければなりません。 このセクションでは、正式フォーマットを使用して Web リソースを指定するときに考慮 すべき点について概説します。 正式フォーマット: [protocol://]host[:ports][/path] 以下の 4 つのコンポーネントがあります。 Protocol(オプション)- 使用できる値 : http および https (大文字と小文字が区別 されます) プロトコルを指定しない場合、http および https の両方が想定されます。プロトコル を指定する場合、区切り文字 “://” を使用する必要があります。特殊文字は使用でき ません。 Host(必要)- 使用できる値 : DNS Hostname - 例:www.juniper.com 使用できる特殊文字については以下の表で説明しています。 表 14: DNS ホスト名の特殊文字 * すべての文字と一致 % ドット(.)以外の任意の文字と一致 ? 1 文字だけに一致 IP address/Netmask - IP アドレスは、a.b.c.d のように指定する必要があり ます。 ネットマスクは以下の 2 つの内、どちらかの形式で指定できます。 接頭辞:先頭からのビット数 IP: a.b.c.d 例:10.11.149.2/24 または 10.11.149.2/255.255.255.0 特殊文字は使用できません。 Ports - IP/ ネットマスクをリソースとして指定する場合に、ポートを指定する必要が あります。DNS ホスト名を指定する場合は、ポートはオプションです。ポートを指定 する場合、区切り文字 “://” を使用する必要があります。例: 10.11.149.2/255.255.255.0:* 286 Web ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 15: ポートで使用できる値 * すべてのポートに一致、その他の特殊文字は使用不可 port[,port]* カンマで区切れらた単一ポートのリスト。有効なポート番号は [1 ~ 65535] です。 [port1]-[port2] ポート 1 からポート 2 を含むポートの範囲 メモ : 80,443,8080-8090 などのように、ポート リストおよびポート範囲を一緒に使 用することができます。 ポートがない場合は、https には 80、 https には 443 のデフォルト ポートが割り当 てられます。 Path (オプション)- パスを指定しない場合はアスタリスク(*)が想定され、すべ てのパスが一致します。パスを指定する場合、区切り文字 “/” を使用する必要があり ます。その他の特殊文字はサポートされません。例: http://www.juniper.com:80/* https://www.juniper.com:443/intranet/* *.yahoo.com:80,443/* %.danastreet.net:80/share/users/<username>/* Access タブ インターネット、イントラネット、またはエクストラネットに接続するためにユーザーが どの Web リソースにアクセスできるかを制御する Web リソース ポリシーを作成するに は、Access タブを使用します。Web リソースへのアクセスは、URL または IP アドレスの 範囲を指定して拒否または許可できます。URL の場合、“*” や “?” などのワイルドカード を使って複数のホスト名やパスを効率的に指定できます。ホスト名でリソースを指定する 場合も、HTTP や HTTPS、またはその両方のプロトコルを選択できます。 Web Access リソース ポリシーの作成 Web Access リソース ポリシーを作成するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Web > Access を選択します。 2. Web Access Policies ページで、New Policy をクリックします。 3. New Policy ページで、以下を入力します。 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) 4. Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ いては、281 ページの「リソース ポリシーのリソースの指定」を参照してください。 IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について は、308 ページの「Web リソース オプションの指定」を参照してください。 5. Roles セクションで、以下を指定します。 Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Web ページの設定 287 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみこのポリシーを適用します。Available roles リストから このリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポリ シーを適用します。Available roles リストからこのリストにロールを追加してく ださい。 Action セクションで、以下を指定します。 Allow access - Resources リストで指定したリソースへのアクセスを許可し ます。 Deny access- Resources リストで指定したリソースへのアクセスを拒否します。 Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま す。詳細については、283 ページの「詳細規則の記述」を参照してください。 7. Save Changes をクリックします。 8. Web Access Policies ページで、IVE での評価方法に応じてポリシーに順序を設定し ます。IVE は、ユーザーから要求されたリソースをポリシー(または詳細規則)の Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー の処理を停止します。 Web リソース ポリシーの例については、285 ページの「Web プロキシ リソース ポリシー の作成」の図を参照してください。 Caching タブ Caching タブを使用して、Web Access リソース ポリシーを作成し、一般的なキャッシュ のオプションを指定します。 Policies タブ Caching > Policies タブを使用して、Web リソース ポリシーを作成します。これにより、 どの Web コンテンツをユーザーのマシンにキャッシュするかを制御します。デフォルト では、ブラウザのキャッシングは無効に設定されます。この場合、IVE は、リモート ユー ザーに送信されるすべてのページをキャッシング不可とマークします。この設定により、 ユーザーがブラウザを終了した後に機密情報が含まれたページがリモート マシンに残る のを防止できます。このオプションを有効にすると、コンテンツを何度もフェッチする必 要があるため、ブラウジングが遅くなり、通信速度の低い接続回線を使用している場合に はパフォーマンスの問題が生じる場合があります。もう 1 つの方法として、指定したサイ ズの上限を超えないイメージなど、特定の種類のコンテンツのみをキャッシュに格納する ようなポリシーを指定することもできます。 このセクションには、キャッシング ポリシーについての次の情報があります。 288 ページの「Web Caching リソース ポリシーの作成」 291 ページの「OWA および Lotus Notes キャッシング リソース ポリシーの作成」 Web Caching リソース ポリシーの作成 Web Caching リソース ポリシーを作成するには、次の操作を実行します。 288 Web ページの設定 1. Web コンソールで、Resource Policies > Web > Caching > Policies を選択します。 2. Web Caching Policies ページで、New Policy をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. 4. 5. 6. New Policy ページで、以下を入力します。 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ いては、283 ページの「詳細規則の記述」を参照してください。IP アドレスまたは大 文字、小文字の区別によるリソースの照合を行う方法については、308 ページの 「Web リソース オプションの指定」を参照してください。 Roles セクションで、以下を指定します。 Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポリ シーを適用します。Available roles リストからこのリストにロールを追加してく ださい。 Action で、次のオプションのいずれかを選択します。 Smart Caching (send headers appropriate for content and browser) - このオプ ションを選択すると、IVE はユーザーの Web ブラウザおよびコンテンツの種類 に基づいて、cache-control:no-store ヘッダーまたは cache-control:no-cache ヘッダーを送信します。 このオプションを選択した場合、メディア ファイルと zip ファイルの発信元 サーバーの cache-control ヘッダーを削除して正しく機能させてください。たと えば、以下のロジックは、cache または cache-control:no-store 応答ヘッダーを 削除してファイルをキャッシュ可能にするために、user-agent ヘッダーで “msie” または “windows-media-player” を検索します。 (if content type has "audio/x-pn-realaudio" OR if content type begins with "video/" OR if content type begins with "audio/" OR if content type is "application/octet-stream" and the file extension begins with "rm" or "ram" ) user-agent ヘッダーに “msie” または “windows-media-player” が含まれ、さらに 次の条件が適合する場合: Flash、.xls、.pps、.ppt ファイルが要求された場合、 指定された content-type が application/、text/rtf、text/xml、model/ の場合、 または 発信元サーバーから content-disposition ヘッダーが送信された場合 この場合、IVE は cache-control:no-store ヘッダーを送信し、発信元サーバーの cache-control ヘッダーを削除します。 Web ページの設定 289 Juniper Networks NetScreen Secure Access 700 管理ガイド その他の場合、IVE は pragma:no-cache 応答ヘッダーまたは cache-control:nostore 応答ヘッダーを追加します。 メモ : Citrix .ica ファイルと QuickPlace ファイルには特殊な処理が適用されます。Citrix .ica ファイルは常にキャッシング可能で、cache-control-private ヘッダーも追加されま す。QuickPlace ファイルについては指定の規則が優先されますが、規則に適合しない QuickPlace ファイルには、CCNS および cache-control:private ヘッダーが追加されます。 このオプションを選択し、GZIP 圧縮を有効にして、Internet Explorer から Domino Web Access 6.5 を使用してテキスト添付ファイルにアクセスしようとしても、添付ファイル を開くことはできません。テキスト添付ファイルを有効にするには、Internet Explorer 323308 パッチをインストールするか、Don't Cache (send "Cache Control: No Store") オプションを有効にします。 Don't Cache (send "Cache Control: No Store") - このオプションを選択し て、添付ファイルをディスクに保存せずに Internet Explorer に配信します。 ( ブラウザは一時的にファイルをディスクに書き込みますが、ブラウザで ファイルを開くとすぐに削除します。)このオプションを選択すると、IVE は、ブラウザから送信された user-agent 文字列に “msie” または “windowsmedia-player” が含まれている場合には、発信元サーバーのキャッシュ管理 ヘッダーを削除し、cache-control:no-store 応答ヘッダーを追加します。 Don't Cache (send "Pragma: No Cache") - このオプションを選択すると、ユー ザーのブラウザがファイルをディスクにキャッシングするのを防ぎます。このオ プションを選択すると、IVE によって標準 HTTP pragma:no-cache ヘッダーと cache-control:no-cache (CCNC)ヘッダー(HTTP 1.1)が応答ファイルに追加 されます。また、age や date、etag、last-modified、expires などの発信元サー バーのキャッシング ヘッダーは転送されません。 メモ : 多くの種類の添付ファイル(PDF、PPT、ストリーミング ファイル)用の nocache ヘッダーを送信すると、Internet Explorer はドキュメントをレンダリングしない ようにさせます。これは、レンダリングするためにブラウザがこれらのドキュメントを キャッシュに一時的に書き込む必要があるからです。 290 Web ページの設定 Cache (do not add/modify caching headers) - IVE は、 pragma:no-cache 応答 ヘッダーまたは cache-control:no-store 応答ヘッダーを追加せずに、発信元サー バーのキャッシング ヘッダーを転送します。 Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま す。詳細については、283 ページの「詳細規則の記述」を参照してください。 7. Save Changes をクリックします。 8. Web Caching Policies ページで、IVE での評価方法に応じてポリシーに順序を設定し ます。IVE は、ユーザーから要求されたリソースをポリシー(または詳細規則)の Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー の処理を停止します。 Juniper Networks NetScreen Secure Access 700 管理ガイド Web リソース ポリシーの例については、285 ページの「Web プロキシ リソース ポリシー の作成」の図を参照してください。 OWA および Lotus Notes キャッシング リソース ポリシーの作成 次の表に、IVE が Outlook Web Access (OWA) および Lotus iNotes アプリケーションでサ ポートするいくつかのコンテンツ タイプの例を示します。さらに、指定したコンテンツ タイプを開いたり保存するために実装する必要があるキャッシュ管理ディレクティブを示 します。 パフォーマンス上の理由から、iNotes ディレクトリ内のすべてにキャッシュ ポリシーを 作成することをお勧めします。 表 16: OWA キャッシング リソース ポリシー 添付ファイルのタイプ 添付ファイルを開くために使用 : 添付ファイルを保存するために 使用 : zip キャッシュ Smart caching ppt Smart caching Smart caching doc Smart caching Smart caching xls Smart caching Smart caching pdf Smart caching Smart caching txt キャッシュ Cache-Control: No-Store html Smart caching Cache-Control: No-Store 表 17: iNotes キャッシング リソース ポリシー 添付ファイルのタイプ 添付ファイルを開くために使用 : 添付ファイルを保存するために 使用 : zip Cache-Control: No-Store Cache-Control: No-Store ppt Cache-Control: No-Store Cache-Control: No-Store doc Smart caching Smart caching xls Cache-Control: No-Store Cache-Control: No-Store pdf Cache-Control: No-Store Cache-Control: No-Store txt Cache-Control: No-Store Cache-Control: No-Store html Cache-Control: No-Store Cache-Control: No-Store その他のファイル タイプ Cache-Control: No-Store Cache-Control: No-Store Web ページの設定 291 Juniper Networks NetScreen Secure Access 700 管理ガイド Options タブ Caching > Options タブを使用して、クライアント上のキャッシュに格納されるイメー ジ ファイルの最大サイズを指定します。発信元サーバーから送られた content-type ヘッ ダーが "image/" で始まり、content-length ヘッダーに指定されたサイズがこのオプ ションに設定された最大サイズを超えない場合、IVE は発信元サーバーのキャッシング ヘッダーを転送します。それ以外の場合、IVE は、その要求のキャッシングが無効であ ると扱います。 一般的なキャッシング オプションの指定 キャッシング オプションを指定するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Web > Caching > Options を選択します。 2. Caching Options ページで、Clients should cache all images less than フィールド に 許可する最大イメージ サイズを指定します。 3. Save Changes をクリックします。 Java タブ Java タブを使用して、Java アプレットがどのサーバーおよびポートと接続できるかを制 御するリソース ポリシーを作成し、IVE が Java アプレットを書き直す方法を指定します。 Java タブを使用して、IVE に Java アプレットをアップロードすることもできます。 アクセス コントロール Java > Access Control タブを使用して、Java アプレットが接続できるサーバーとポート をコントロールする Web リソース ポリシーを作成します。 Java Access Control リソース ポリシーの作成 Java Access Control リソース ポリシーを作成するには、次の操作を実行します。 292 Web ページの設定 1. Web コンソールで、Resource Policies > Web > Java > Access Control を選択し ます。 2. Java Access Policies ページで、New Policy をクリックします。 3. New Policy ページで、以下を入力します。 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) 4. Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ いては、281 ページの「リソース ポリシーのリソースの指定」を参照してください。 IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について は、308 ページの「Web リソース オプションの指定」を参照してください。 5. Roles セクションで、以下を指定します。 Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. Policy applies to all roles OTHER THAN those selected below - Selected roles リストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポ リシーを適用します。Available roles リストからこのリストにロールを追加して ください。 Action セクションで、以下を指定します。 Allow socket access - Java アプレットが Resources リストのサーバー(および オプションのポート)に接続できるようにします。 Deny socket access - Java アプレットが Resources リストのサーバー(およびオ プションのポート)に接続することを防ぎます。 Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま す。詳細については、283 ページの「詳細規則の記述」を参照してください。 7. Save Changes をクリックします。 8. Java Access Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま す。IVE は、ユーザーから要求されたリソースをポリシー(または詳細規則)の Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー の処理を停止します。 Web リソース ポリシーの例については、285 ページの「Web プロキシ リソース ポリシー の作成」の図を参照してください。 Code Signing タブ Java > Code Signing タブを使用して、IVE が Java アプレットを書き直す方法を指定する Web リソース ポリシーを作成します。デフォルトでは、署名付き Java アプレットを仲介 する場合、IVE は標準のルート証明書にチェーンされていない IVE 自身の証明書でアプ レットの署名を書き直します。ユーザーがネットワーク サーバーへのアクセスなどの危険 度の高いタスクの実行を要求すると、ルートがトラステッドルートではない、というセ キュリティ警告がユーザーのブラウザに表示されます。このような警告が表示されないよ うにするには、IVE が仲介するアプレットの署名書き換えに使用するコード署名証明書を インポートします。コード署名証明書の詳細については、64 ページの「コード署名証明 書」を参照してください。 Java > Code Signing タブで設定するときに、アプレットの送信元として信頼するサー バーを Resources フィールドに入力します。サーバーの IP アドレスまたはドメイン名を 入力します。IVE が署名を書き直すのは、トラステッド サーバーから送信されたアプレッ トのみです。ユーザーがリストにないサーバーからアプレットを要求した場合、IVE はア プレットの署名にインポートされた証明書を使用しません。この場合、ブラウザにはセ キュリティ警告が表示されます。Sun JVM ユーザーの場合、IVE は元のアプレット証明書 のルート CA が信頼されるルート証明書認証局のリストに含まれているかどうかも確認し ます。 Java Code Signing リソース ポリシーの作成 Java Code Signing リソース ポリシーを作成するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Web > Java > Access Control を選択し ます。 2. Java Signing Policies ページで、New Policy をクリックします。 3. New Policy ページで、以下を入力します。 a. このポリシーに付ける名前 Web ページの設定 293 Juniper Networks NetScreen Secure Access 700 管理ガイド b. ポリシーの説明(オプション) 4. Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ いては、281 ページの「リソース ポリシーのリソースの指定」を参照してください。 IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について は、308 ページの「Web リソース オプションの指定」を参照してください。 5. Roles セクションで、以下を指定します。 6. Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポリ シーを適用します。Available roles リストからこのリストにロールを追加してく ださい。 Action セクションで、以下を指定します。 Resign applets using applet certificate - Java アプレットが Resources リストの サーバー(およびオプションのポート)に接続できるようにします。 Resign applets using default certificate - Java アプレットが Resources リストの サーバー(およびオプションのポート)に接続できないようにします。 Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま す。詳細については、283 ページの「詳細規則の記述」を参照してください。 7. Save Changes をクリックします。 8. Java Signing Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま す。IVE は、ユーザーから要求されたリソースをポリシー(または詳細規則)の Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー の処理を停止します。 Web リソース ポリシーの例については、285 ページの「Web プロキシ リソース ポリシー の作成」の図を参照してください。 アプレット Java > Applets タブを使用して、97 ページの「Java アプレット アップロードの概要」で 説明されているように、Java アプレットを IVE にアップロードします。 メモ : IVE にアップロードできる Java アプレットは 100MB だけです。IVE は Java Applets ページで IVE にアップロードされる各アプレットのサイズを表示します。これ により、必要に応じてどのアプレットを削除するかを決めることができます。 Java アプレットの IVE へのアップロード Java アプレットを IVE にアップロードするには、以下の操作を実行します。 294 Web ページの設定 1. Web コンソールで、Resource Policies > Web > Java > Applets を選択します。 2. New Applet をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. New Java Applet ページで、以下を入力します。 a. この Java アプレットに付ける名前。(同じ Web ブックマークに追加するアプ レットが複数ある場合には、それぞれのアプレットに同じ名前を使用するようお 勧めします。これにより、Users > Roles > 「ロール」> Web > Bookmarks ページで HTML を作成するときに、その名前を 1 つ選択するだけで済みます。) b. アプレットの説明(オプション)。 4. Upload Applet セクションで、IVE にアップロードするアプレットをブラウズします。 以下の拡張子が付いているアプレットをすべてアップロードできます。.jar, .cab, .zip, and .class. 5. IVE にインストールされているコード署名証明書を使用してアプレットを署名し直す 場合には、Trusted Applet チェックボックスを選択します(98 ページの「アップ ロードした Java アプレットに署名する」を参照) 。 メモ : System > Configuration > Certificates > Code-Signing Certificates ページのオ プションを使用してアプレット証明書を IVE にインポートしない場合には、IVE はこの オプションを無効にします。 6. 追加するには、Save Changes または Save + New をクリックします。 7. 以下のアップロード同意書が表示されたら、それをお読みの上で条件を受諾する場合 には OK をクリックします。 あなたは Juniper 社の製品にサードパーティのソフトウェアをロードしようとしてい ます。これを実行する前に、適用される Juniper 社の製品を購入した(装置の購入者 としての)お客様自身または組織の代理として、以下の条件をお読よみになり、同意 する必要があります。 Juniper 社の製品にサードパーティのソフトウェアを読み込んだ場合、そのようなソ フトウェアを Juniper 社の製品で、またはそれと一緒に使用、コピー、または配布す るときに必要なすべての権利を取得する責任を負うことになります。Juniper は、そ のようなサードパーティのソフトウェアの使用から発生する責任を一切負いません。 またそのようなソフトウェアをサポートしません。サードパーティのソフトウェアの 使用は Juniper 社製品またはソフトウェアの正しい操作を妨げる場合があり、Juniper 社製品またはソフトウェアの保証が無効になる可能性があります。 同意して続行する場合には、OK ボタンをクリックします。 8. Upload Status ダイアログボックスで詳細をお読みの上、OK をクリックします。 9. 266 ページの「一般的な Web ブラウジング オプションの指定」の説明に従って、 Users > Roles > 「ロール」> Web > Bookmarks ページで、対応する Web ブック マークを作成します。 Web ページの設定 295 Juniper Networks NetScreen Secure Access 700 管理ガイド Rewriting タブ Rewriting タブを使用して、選択的な再書き込み、データ転送プロキシ、および ActiveX パラメータの再書き込みリソース ポリシーを作成するか、Juniper Networks Support から メッセージがあった場合に再書き込みフィルターを追加します。 Selective Rewriting タブ Rewriting > Selective Rewriting タブを使用して、IVE でコンテンツを仲介するホストの リストと、このリストの例外を定義できる Web リソース ポリシーを作成します。デフォ ルトでは、IVE はすべてのユーザー要求を Web ホストに仲介します。これは、セキュア アプリケーション マネージャなど、別のメカニズムで特定のホストにリクエストを送る ように IVE を設定していない場合です。 yahoo.com など、企業ネットワークの外にある Web サイトのトラフィックを IVE で仲介 したくない場合、あるいは、Microsoft OWA(Outlook Web Access)など、Web リソース として配置したクライアント / サーバー アプリケーションに対して、IVE でトラフィック を仲介したくない場合に、任意の再書き込みポリシーを作成します。任意の再書き込みリ ソース ポリシーを作成するには、次の操作を実行します。 選択的な再書き込みリソース ポリシーの作成 任意の再書き込みリソース ポリシーを作成するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Web > Rewriting > Selective Rewriting を 選択します。 2. Web Rewriting Policies ページで、New Policy をクリックします。 3. New Policy ページで、以下を入力します。 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) 4. Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ いては、281 ページの「リソース ポリシーのリソースの指定」を参照してください。 IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について は、308 ページの「Web リソース オプションの指定」を参照してください。 5. Roles セクションで、以下を指定します。 6. Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポリ シーを適用します。Available roles リストからこのリストにロールを追加してく ださい。 Action セクションで、以下を指定します。 Rewrite content - IVE は、Resources リストで指定したリソースの全 Web コン テンツを仲介します。1 1. 新規の IVE アプライアンスには、すべてのロールですべてのコンテンツを再書き込みする初期書き込みポリシーが付 いています。 296 Web ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド Rewrite content as... - IVE は、Resources リストで指定したリソースの全 Web コンテンツを仲介し、そのコンテンツがドロップダウン リストで指定された ファイル タイプであるかのように、再書き込みします。1 利用可能なオプション は次の通りです。 HTML -コンテンツを Hypertext Markup Language (HTML) として再書き込み します。 XML -コンテンツを Extensible Markup Language (XML) として再書き込みし ます。 Javascript -コンテンツを Java スクリプト言語として再書き込みします。 VBScript -コンテンツを Virtual Basic スクリプト言語として再書き込み します。 CSS -コンテンツを重ねて表示されたスタイル シートとして再書き込み します。 XSLT -コンテンツを XML スタイル シートとして再書き込みします。 Flash -コンテンツを Shockwave Flash として再書き込みします。 DTD -コンテンツをドキュメント タイプ定義(DTD)として再書き込みし ます。 HTC -コンテンツを HTML コンポーネントとして再書き込みします。 Don’t rewrite content: Redirect to target Web server - IVE は、Resources リスト で指定したリソースの Web コンテンツを仲介しません。自動的に送信先サー バーへ要求をリダイレクトします。これは、作成するすべての再書き込みリソー ス ポリシーに対するデフォルトのオプションです。このオプションを選択した場 合、IVE が 308 ページの「Options タブ」のオプションを使用して、新しいウィ ンドウで再書き込みしていないページを開くように指定することができます。 メモ : 指定されたコンテンツが企業ネットワーク内のリソースにアクセスする必要があ る場合、このオプションを選択しないでください。例えば、IVE が特定のファイルを書 き直さず、ファイルがネットワーク内の別のファイルを呼び出すように指定すると、エ ラーが発生します。 Don’t rewrite content: Do not redirect to target Web server - IVE 元の Web サー バーからコンテンツを検索しますが、そのコンテンツは変更しません。これは、 ユーザーが元のサーバーに到達できないかもしれないので、リダイレクションを 無効にする場合に役立ちます。(たとえば、ファイアウォールの後ろに存在する ので、Web サーバーが一般のインターネットからアクセス可能でない場合。) メモ : Don’t rewrite content: Do not redirect to target Web server オプションでは、 ユーザーは IVE を通じてネットワーク リソースからダウンロードできます。しかし、そ のプロセスで IVE の再書き込みエンジンをバイパスします。他のコンテンツ・タイプで はなく、署名された Java アプレットを書き換えるときだけ、この機能を使用することを お勧めします。HTML や Javascript のような他のコンテンツでは、Don’t rewrite content: Redirect to target Web server オプションを使用して、IVE を通じてアプレットをダウン ロードし、ネットワーク リソースへの直接の接続を有効にします。 Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま す。詳細については、283 ページの「詳細規則の記述」を参照してください。 Web ページの設定 297 Juniper Networks NetScreen Secure Access 700 管理ガイド 7. Save Changes をクリックします。 8. Web Rewriting Policies ページで、IVE での評価方法に応じてポリシーに順序を設定 します。IVE は、ユーザーから要求されたリソースをポリシー(または詳細規則)の Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー の処理を停止します。 Web リソース ポリシーの例については、285 ページの「Web プロキシ リソース ポリシー の作成」の図を参照してください。 Pass-through Proxy タブ Rewriting > Pass-through Proxy タブを使用して、IVE が最小限の仲介を実行する Web ア プリケーションを指定する Web リソース ポリシーを作成します。データ転送プロキシ リ ソース ポリシーを作成するには、2 つの項目を指定する必要があります。 データ転送プロキシで仲介する Web アプリケーション IVE がアプリケーション サーバーへのクライアント リクエストを待ち受けするとき の方法 この機能の詳細については、102 ページの「データ転送プロキシの概要」を参照してくだ さい。 データ転送プロキシ リソース ポリシーの作成 データ転送プロキシ リソース ポリシーを作成するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Web > Rewriting > Pass-through Proxy を 選択します。 2. Pass-through Proxy Policies ページで、New Application をクリックします。 3. New Pass-through Application ページで、以下を入力します。 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) 4. URL フィールドで、アプリケーションに内的にアクセスするために使用するアプリ ケーション サーバー ホスト名およびポートを指定します。このフィールドで URL を 入力することはできません。 5. データ転送プロキシ機能を有効にする方法を指定します。 Use virtual hostname -このオプションを選択する場合、アプリケーション サー バー ホスト名のエイリアスを指定します。IVE は、アプリケーション サーバー ホスト名の別名に対するクライアント要求を受信すると、URL フィールドに指 定されたアプリケーション サーバー ポートに要求を転送します。 メモ : このオプションを選択した場合、System > Network > Internal Port タブの Network Identity セクションで IVE 名とホスト名も定義する必要があります。 298 Web ページの設定 Use IVE port - このオプションを選択した場合、11000 ~ 11099 の範囲にある固 有の IVE ポートを指定します。IVE は、指定した IVE ポートのアプリケーション サーバーへのクライアント リクエストを待ち受け、そのリクエストを URL フィールドで指定されたアプリケーション サーバー ポートに転送します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. Action セクションで、IVE がトラフィックを仲介する方法を指定します。 Rewrite XML -このオプションは、XML コンテンツ内に含まれる URL を書き換 えるように IVE を指示します。このオプションが無効な場合、IVE は XML コンテ ンツを「そのまま」サーバーに渡します。 Rewrite external links -このオプションは、プロキシに提示された URL をすべ て書き換えます。このオプションが無効な場合、IVE は、転送プロキシの一部と してホスト名が指定された URL だけを書き換えます。 Block cookies from being sent to the browser -このオプションは、クライアン トのブラウザ宛てのクッキーをブロックします。IVE は、クッキーをローカルに 格納し、要求された場合は必ず、アプリケーションにクッキーを送信します。 Host-Header forwarding -このオプションは、実際のホスト識別子の代わりに、 ホスト ヘッダーの一部としてのホスト名を渡します。 メモ : Host-Header forwarding オプションは、転送プロキシ仮想ホストモードでだけ有 効です。 7. Save Changes をクリックします。 8. Pass-through Proxy Policies ページで、IVE での評価方法に応じてポリシーに順序を 設定します。IVE は、ユーザーから要求されたアプリケーションをポリシー(または 詳細規則)の Resource リスト内のアプリケーションと照合し、指定されたアクショ ンを実行して、ポリシーの処理を停止します。 9. 以下の選択肢があります。 Use virtual hostname は次の操作を行います。 i. IVE に解決される各アプリケーション サーバー ホスト名の別名エントリを 外部 DNS に追加する。 ii. ワイルドカードのサーバー証明書を IVE にアップロードする(推奨)。 Use IVE port で企業のファイアウォール内にあるアプリケーション サーバー用 に指定した IVE ポートに対してトラフィックを開きます。 メモ : アプリケーションが複数のポートで待ち受けをする場合、個別の IVE ポートで、 別々のデータ転送プロキシ エントリとして各アプリケーション ポートを設定します。 異なるホスト名または IP アドレスを使用してサーバーにアクセスする場合、これらの オプションは個別に設定します。このような場合、同じ IVE ポートを使用してもかま いません。 Web ページの設定 299 Juniper Networks NetScreen Secure Access 700 管理ガイド Web リソース ポリシーの例については、285 ページの「Web プロキシ リソース ポリシー の作成」の図を参照してください。 ActiveX Parameter Rewriting タブ IVE が Web ページを再書き込みするときには、Web ページに組み込まれている ActiveX コントロールを再書き込みしません。ただしリソース ポリシーを作成して、Web ページ から ActiveX コントロールに渡される URL およびホスト名パラメータを IVE に再書き込 みさせるよう指定することができます。リソース ポリシーを設定するには、以下の情報を 取得する必要があります。 Class ID - Web ページは一般に、ActiveX コントロールを組み込むためにクラス ID を 使用します。クラス ID は固有であり、ActiveX コントロールを固有に識別する定記号 列です。 Internet Explorer 6 を使用して、ActiveX オブジェクトのクラス ID が何であるかを判 定することができます。Tools > Internet Options を選択して、Settings をクリック してから View Objects をクリックします。ActiveX オブジェクトを選択して右クリッ クし、Properties を選択します。ActiveX オブジェクトの ID がハイライトされます。 Language - Web ページは、静的または動的 HTML を使用して(すなわち、Javascript を使用して)、ActiveX コントロールを組み込むことができます。Web ページが静的 HTML を使用する場合、IVE は指定された ActiveX パラメータを IVE 自体で再書き込 みし、同時にトラフィックを仲介します。これは、必要な情報がすべてユーザーのブ ラウザとアプリケーションの Web サーバーの間を通過するからです。ただし、Web ページが動的 HTML を使用して ActiveX コントロールを組み込む場合には、ページは 頻繁に情報をクライアントからプルして、HTML を生成して ActiveX コントロールを 組み込みます。このため、指定された ActiveX パラメータの再書き込みに必要な情報 を取得するために、IVE はスクリプトを実行する必要があります。 Parameter type - IVE を設定してパラメータを再書き込みするときには、パラメータ が URL かホスト名かを決定する必要があります。IVE は他のパラメータのタイプには 対応していません。 Parameter name- IVE に再書き込みさせるパラメータ名を指定する必要があります。 オブジェクト タグ内でパラメータ タグを検索すれば、パラメータを見つけることが できます。たとえば、次のコードを使用しているページに組み込まれているフラッ シュ ムービーを見つけることができます。 <object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" > <param name="movie" value="mymovie.swf" /> <param name="quality" value="high" /> </object> 対応するリソース ポリシーを設定するときに、Parameter name フィールドで movie を入力する必要があります。これは、movie が再書き込みを必要とする URL を指し ているためです。しばしばページには複数のパラメータ タグが含まれていますが、そ れらすべてに再書き込みが必要となるわけではありません。この例では、quality パ ラメータでは再書き込みが必要ではありません。 ActiveX パラメータの再書き込みリソース ポリシーの作成 ActiveX パラメータの再書き込みリソース ポリシーを作成するには、次の操作を実行 します。 1. 300 Web ページの設定 Web コンソールで、Resource Policies > Web > Rewriting > ActiveX Parameter Rewriting を選択します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 2. ActiveX Parameter Rewriting Policies ページで、New Policy をクリックします。 3. New Policy ページで、以下を入力します。 4. 5. a. ポリシーとともにコントロールする ActiveX コントロールのクラス ID b. ポリシーの説明(オプション) Parameters セクションで、ポリシーおよび対応するアクションとともにコントロー ルする ActiveX パラメータを指定します。実行できるアクションとしては、次のもの があります。 Rewrite URL and response (Static HTML のみ ) - IVE は指定された URL パラメー タを IVE に再書き込みします。この点に注意してください。さらに、IVE は URL を要求している Web サーバーからのすべての応答を再書き込みします。Web ページが静的 HTML だけを使用して ActiveX コントロールを組み込む場合には、 このオプションを選択する必要があります。この点に注意してください。 Rewrite URL and response (静的および動的 HTML)- IVE は指定された URL パラメータを IVE に再書き込みし、さらにクライアントにも再書き込みします。 さらに、IVE は URL を要求している Web サーバーからのすべての応答を再書き 込みします。Web ページが動的 HTML を使用して ActiveX コントロールを組み込 む場合には、このオプションを選択する必要があります。この点に注意してくだ さい。 Rewrite URL (静的 HTML のみ)- IVE は指定された URL パラメータを IVE に 再書き込みします。Web ページが静的 HTML だけを使用して ActiveX コントロー ルを組み込む場合には、このオプションを選択する必要があります。この点に注 意してください。 Rewrite URL (静的および動的 HTML)- IVE は指定された URL パラメータを IVE に再書き込みし、さらにクライアントにも再書き込みします。Web ページが 動的 HTML を使用して ActiveX コントロールを組み込む場合には、このオプショ ンを選択する必要があります。この点に注意してください。 Rewrite hostname (静的 HTML のみ)- IVE は指定されたホスト名のパラメー タを IVE に再書き込みします。Web ページが静的 HTML だけを使用して ActiveX コントロールを組み込む場合には、このオプションを選択する必要があります。 この点に注意してください。 Rewrite hostname (静的および動的 HTML)- IVE は指定されたホスト名を IVE に再書き込みし、さらにクライアントにも再書き込みします。Web ページが 動的 HTML を使用して ActiveX コントロールを組み込む場合には、このオプショ ンを選択する必要があります。この点に注意してください。 Do not rewrite - IVE は ActiveX コンポーネントのパラメータを再書き込みする ことはありません。この点に注意してください。 Save Changes をクリックします。 Web ページの設定 301 Juniper Networks NetScreen Secure Access 700 管理ガイド Web リソース ポリシーの例については、285 ページの「Web プロキシ リソース ポリシー の作成」の図を参照してください。 デフォルトの IVE ActiveX リソース ポリシーを元に戻す IVE は、通常使用される ActiveX オブジェクトのパラメータを再書き込みするために事 前に定義された複数のリソース ポリシーに必要です。これらのポリシーのどれかを削除 してからあとで元に戻す場合には、以下の表をガイドラインとして使用して再作成して ください。 表 18: 事前に定義されたリソース ポリシー 説明 クラス ID パラメータ Citrix NFuse xginen_EmbeddedApp object 238f6f83-b8b4-11cf-877100a024541ee3 ICAFile OrgPlus OrgViewer DCB98BE9-88EE-4AD0-9790- URL 2B169E8D5BBB URL の再書き込みと応答 (静的 HTML のみ) Quickplace 05D96F71-87C6-11D3-9BE400902742D6E0 GeneralURL URL の再書き込みと応答 (静的および動的 HTML) General_ServerName ホスト名の再書き込み (静的および動的 HTML) FullURL URL の再書き込みと応答 (静的および動的 HTML) iNotes Discussion 5BDBA960-6534-11D3-97C700500422B550 B20D9D6A-0DEC-4d76-9BEF- B20D9D6A-0DEC-4d76-9BEF- ServerURL 175896006B4A 175896006B4A Error URL アクション URL の再書き込みと応答 (静的 HTML のみ) URL の再書き込みと応答 (静的 HTML のみ) URL の再書き込みと応答 (静的 HTML のみ) Citrix NFuse Elite 2E687AA8-B276-4910-BBFB4E412F685379 ServerURL URL の再書き込みと応答 (静的 HTML のみ) WebPhotos LEAD 00120000-B1BA-11CE-ABC6F5B2E79D9E3F BitmapDataPath URL の再書き込みと応答 (静的および動的 HTML) Shockwave Flash D27CDB6E-AE6D-11cf-96B8444553540000 Src URL の再書き込みと応答 (静的および動的 HTML) Movie URL の再書き込みと応答 (静的および動的 HTML) iNotes Blue 302 3BFFE033-BF43-11d5-A27100A024A51325 General_URL URL の再書き込みと応答 (静的および動的 HTML) General_ServerName ホスト名の再書き込み (静的および動的 HTML) URL の再書き込み(静的 HTML のみ) Tabular Data Control 333C7BC4-460F-11D0-BC040080C7055A83 DataURL Windows Media Player 6BF52A52-394A-11D3-B15300C04F79FAA6 URL URL の再書き込みと応答 (静的 HTML のみ) FlowPartPlace 4A266B8B-2BB9-47db-9B0E6226AF6E46FC URL URL の再書き込みと応答 (静的 HTML のみ) HTML Help adb880a6-d8ff-11cf-937700aa003b7a11 Item1 URL の再書き込みと応答 (静的および動的 HTML) MS Media Player 22d6f312-b0f6-11d0-94ab0080c74c7e95 FileName URL の再書き込みと応答 (静的 HTML のみ) Web ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 18: 事前に定義されたリソース ポリシー ( 続き ) 説明 クラス ID パラメータ CSV Files Handler 333c7bc4-460f-11d0-bc040080c7055a83 DataURL URL の再書き込みと応答 (静的 HTML のみ) Microsoft OWA 用特別 ActiveX コントロール D801B381-B81D-47a7-8EC4EFC111666AC0 mailboxUrl URL の再書き込みと応答 (静的 HTML のみ) FlowPartPlace1 639325C9-76C7-4d6c-9B4A523BAA5B30A8 Url URL の再書き込みと応答 (静的 HTML のみ) scriptx print control 5445be81-b796-11d2-b931002018654e2e Path URL の再書き込みと応答 (静的 HTML のみ) 94F40343-2CFD-42A1-A7744E7E48217AD4 94F40343-2CFD-42A1-A7744E7E48217AD4 HomeViewURL URL の再書き込みと応答 (静的 HTML のみ) Microsoft License Manager 5220cb21-c88d-11cf-b34700aa00a28331 LPKPath URL の再書き込みと応答 (静的 HTML のみ) Domino 7 beta 2 UploadControl E008A543-CEFB-4559-912FC27C2B89F13B General_URL URL の再書き込みと応答 (静的および動的 HTML) General_ServerName ホスト名の再書き込み (静的および動的 HTML) General_URL URL の再書き込みと応答 (静的および動的 HTML) General_ServerName ホスト名の再書き込み (静的および動的 HTML) iNotes 1E2941E3-8E63-11D4-9D5A00902742D6E0 アクション ActiveCGM F5D98C43-DB16-11CF-8ECA0000C0FD59C7 FileName URL の再書き込みと応答 (静的 HTML のみ) 00130000-B1BA-11CE-ABC6F5B2E79D9E3F 00130000-B1BA-11CE-ABC6F5B2E79D9E3F BitmapDataPath URL の再書き込みと応答 (静的および動的 HTML) Rewriting Filters タブ このタブは、Juniper Networks Support チームから指示があった場合にのみ使用してくだ さい。 Remote SSO タブ Remote SSO タブを使用して、Basic Authentication または NTLM 仲介方法を有効にし ます。 Basic Auth/NTLM タブ Remote SSO > Basic Auth/NTLM タブを使用して、IVE 上の NTLM 仲介をコントロールで きるリソース ポリシーを作成します。ユーザーが、基本的な認証のチャレンジを送信する Web リソースにアクセスする場合、IVE はそのチャレンジを傍受して、中間サインイン ページを表示し、Web リソースの証明書を収集してからチャレンジ / 応答のシーケンスと ともに証明書を再書き込みします。 基本認証または NTLM 仲介リソース ポリシーの作成 基本認証または NTLM 仲介リソース ポリシーを作成するには、次の操作を行います。 1. Web コンソールで、Resource Policies > Web > Remote SSO > Basic Auth/NTLM を 選択します。 2. Basic Auth and NTLM policies ページで、New Policy をクリックします。 Web ページの設定 303 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. New Policy ページで、このポリシーに付ける名前(必須)と、ポリシーの説明(オ プション)を入力します。 4. Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ いては、281 ページの「リソース ポリシーのリソースの指定」を参照してください。 IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について は、308 ページの「Web リソース オプションの指定」を参照してください。 メモ : エンドユーザーが IVE ブックマークをクリックしたときに、特定の URL に値を自 動的に転送するように IVE を設定したい場合、ここで入力したリソースは、Web コン ソールの Users > Roles > ロール > Web > Bookmarks ページで指定する URL と正確 に一致する必要があります。 5. 6. Roles セクションで、以下を指定します。 Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポリ シーを適用します。Available roles リストからこのリストにロールを追加してく ださい。 Action セクションで、以下を指定します。 Basic - このオプションは、IVE が、SSO の動作を制御する Basic Authentication Intermediation 方法を使用することを指定します。 Enable Intermediation - このオプションを選択したら、Basic Authentication Intermediation のタイプも選択する必要があります。Use System Credentials for SSO、Use Specified Credentials for SSO、または Disable SSO から選択します。これらの 3 つのオプションは、下の NTLM 項 目で説明します。 Disable Intermediation - このオプションを選択した場合、IVE はチャレン ジ / 応答のシーケンスを仲介しません。IVE は、基本認証を必要とする Web プロキシにリクエストを常に仲介します。Disable intermediation を選択し た場合でも同じです。 メモ : Basic Authentication Intermediation を無効にする選択もできますが、非常に危険 な認証方法であり、クリアな(暗号化されていない)テキストでネットワーク上にユー ザーの信用情報を送信できる場合もあるので、このオプションをお勧めしません。 304 Web ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド NTLM -このオプションは、IVE が、SSO の動作を制御する のに Microsoft NTLM Intermediation 方法を使用することを指定します。 Use System Credentials for SSO - IVE はチャレンジ / 応答シーケンスを仲介 し、収集する証明書をキャッシュに保存し、それを使用して、先に IVE で指 定したシステム証明書をベースに、シングル サインオンを有効にします。 Use Specified Credentials for SSO - IVE はチャレンジ / 応答シーケンスを仲 介し、収集する証明書をキャッシュに保存し、それを使用して、シングル サインオンを有効にします。このオプションを選択するとき、以下の仲介信 用書パラメータも指定しなければなりません。 Username -サインイン証明書を検証するために IVE が使用する SSO ユー ザー名を指定します。 Variable password-サインイン証明書を検証するために IVE が使用する SSO 変数パスワードを指定します。変数パスワードは、テキスト “<PASSWORD>” であり、IVE が SSO 用の証明書を提示するときに、認 証方法としてユーザーのサインイン パスワードをしようすることを意味 します。 Password -サインイン証明書サインインを確認するのに IVE が使用する静 的な SSO パスワードを指定します。たとえば、ユーザー証明書を仲介する とき、IVE が認証サーバーに自動的に提示する “open_sesame” のようなパス ワードを指定できます。 Disable SSO - IVE は、このユーザー ロール用の自動 SSO 認証を無効にし、 代わりに、サインイン証明書を入力するようユーザーに要求します。 Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま す。詳細については、283 ページの「詳細規則の記述」を参照してください。 7. Save Changes をクリックします。 8. Basic Auth and NTLM policies ページで、IVE での評価方法に応じてポリシーに順序 を設定します。IVE は、ユーザーから要求されたリソースをポリシー(または詳細規 則)の Resource リスト内のリソースと照合し、指定されたアクションを実行してポ リシーの処理を停止します。 Web リソース ポリシーの例については、285 ページの「Web プロキシ リソース ポリシー の作成」の図を参照してください。 Web Proxy タブ Web Proxy タブを使用して、Web プロキシ リソース ポリシーを作成し、Web プロキシ サーバーを指定します。IVE はフォワード プロキシとバックワード プロキシの両方を仲介 します。 Policies タブ Web Proxy > Policies タブを使用して、Web プロキシ リソース ポリシーを作成し、プロ キシが保護する必要がある Web サーバーを指定します。 Web プロキシ リソース ポリシーの作成 Web プロキシ リソース ポリシーを作成するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Web > Web Proxy > Policies を選択し ます。 Web ページの設定 305 Juniper Networks NetScreen Secure Access 700 管理ガイド 2. Web Proxy Policies ページで、New Policy をクリックします。 3. New Policy ページで、以下を入力します。 Web ページの設定 このポリシーに付ける名前 b. ポリシーの説明(オプション) 4. Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ いては、281 ページの「リソース ポリシーのリソースの指定」を参照してください。 IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について は、308 ページの「Web リソース オプションの指定」を参照してください。 5. Roles セクションで、以下を指定します。 6. 306 a. Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポリ シーを適用します。Available roles リストからこのリストにロールを追加してく ださい。 Action セクションで、以下を指定します。 Access web resources directly - IVE は、ユーザーの要求をバックエンド サー バーに仲介し、サーバーの応答を Resources リストで指定されたリソースに要 求を行ったユーザーに仲介します。 Access web resources through a web proxy - Resource Policies > Web > Web Proxy > Servers タブで定義したドロップダウンリストの Web プロキシ サー バーを指定します。Web プロキシ サーバーを定義する方法については、307 ページの「Servers タブ」を参照してください。 Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま す。詳細については、283 ページの「詳細規則の記述」を参照してください。 7. Save Changes をクリックします。 8. Web Proxy Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま す。IVE は、ユーザーから要求されたリソースをポリシー(または詳細規則)の Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー の処理を停止します。 Juniper Networks NetScreen Secure Access 700 管理ガイド Web リソース ポリシーの例については、285 ページの「Web プロキシ リソース ポリシー の作成」の図を参照してください。 Servers タブ IVE を使用して直接 Web サーバーに接続するのではなく、IVE を経由して送信されるすべ ての Web 要求を Web プロキシに転送することができます。ネットワークのセキュリティ ポリシーでこのような設定が規定されている場合や、キャッシング Web プロキシを使用 してパフォーマンスを向上させる場合には、この機能を利用すると便利です。 Web プロキシ サーバーの指定 Web Proxy タブでは、Web プロキシ リソース ポリシー用のサーバーを指定します。 Web プロキシ サーバーを指定するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Web > Web Proxy > Servers を選択し ます。 2. Web Proxy Server に、Web プロキシ サーバーの名前または IP アドレス、およびプロ キシ サーバーがリスンするポートの番号を入力して、Add をクリックします。 3. さらに Web プロキシ サーバーを指定するには、この手順を繰り返します。 Compression タブ Compression タブを使用して、Web コンソールの Maintenance > System > Options ページで GZIP 圧縮を有効にした場合に、どの種類のファイル データを IVE が圧縮する必 要があるかを指定します。 メモ : IVE は、すべての適用可能な Web データを圧縮する 1 つのファイル圧縮ポリシー (*:*/*)を事前に備えています。Web コンソールの Resource Policies > Web > Compression ページでこのポリシーを有効にすることができます。 Web 圧縮リソース ポリシーの作成 1. Web コンソールで、Resource Policies > Web > Compression を選択します。 2. Web Compression Policies ページで、New Policy をクリックします。 3. New Policy ページで、以下を入力します。 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) 4. Resources セクションで、このポリシーを適用する URL を指定します。詳細について は、281 ページの「リソース ポリシーのリソースの指定」を参照してください。IP ア ドレスまたは大文字、小文字の区別によるリソースの照合を行う方法については、 308 ページの「Web リソース オプションの指定」を参照してください。 5. Roles セクションで、以下を指定します。 Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Web ページの設定 307 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. 7. Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポリ シーを適用します。Available roles リストからこのリストにロールを追加してく ださい。 Action セクションで、以下を指定します。 Compress - IVE は指定されたリソースから、対応しているコンテンツ タイプを 圧縮します。 Do not compress - IVE は指定されたリソースから、対応しているコンテンツ タ イプを圧縮しません。 Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま す。詳細については、283 ページの「詳細規則の記述」 を参照してください。 Save Changes をクリックします。 Options タブ Options タブを使用して、Web リソース ポリシーに適用する Web リソース オプションを 指定します。オプションには以下のものがあります。 IP based matching for Hostname based policy resources - IVE は、Web リソース ポ リシーに指定された各ホスト名に対応する IP アドレスを参照します。ユーザーがホ スト名ではなく IP アドレスを指定してサーバーにアクセスしようとすると、IVE は IP をキャッシュ内の IP アドレスのリストに照合して、ホスト名と IP が一致するかど うかを判断します。一致する IP が見つかった場合、IVE はポリシーの一致としてこれ を受け入れ、リソース ポリシーに指定されたアクションが適用されます。 メモ : このオプションは、ワイルドカードやパラメータが含まれるホスト名には適用さ れません。 Case sensitive matching for the Path and Query string components in Web resources - リソースへの URL で大文字と小文字を区別する場合には、このオプションを選択 します。たとえば、URL でユーザー名やパスワード データを渡す場合に使用します。 Web リソース ポリシー オプションを有効にすると、Web リソース ポリシーごとに Resources フィールドに指定されたホスト名のリストが作成され、このホスト名のリスト 全体に対してオプションが適用されます。このホスト名のリスト全体に対してオプション が適用されます。 Web リソース オプションの指定 Web リソース オプションを指定するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Web > Options を選択します。 2. 次のオプションを選択します。 3. 308 Web ページの設定 IP based matching for Hostname based policy resources Case sensitive matching for the Path and Query string components in Web resources Save Changes をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド Files ページの設定 Resource Policies > Files ページには Files リソース ポリシーの作成に使用できるタブが 表示されています。 311 ページの「Windows タブ」- このタブを使用して、ウィンドウズ アクセス リ ソース ポリシーなどの Windows リソース ポリシーを作成します。または Windows 認証情報リソース ポリシーを作成します。 313 ページの「UNIX/NFS タブ」- このタブを使用して UNIX/NFS リソース ポリシー を作成します。 314 ページの「Compression タブ」- このタブを使用して、圧縮ポリシーを作成 します。 315 ページの「Encoding タブ」- このタブを使用して、IVE トラフィックの国際化 コードを指定します。 316 ページの「Options タブ」- このタブを使用して、File リソース オプションを指 定します。 Files リソース ポリシーの作成 ロールに対してファイル アクセス機能を有効にする場合には、Windows および NFS ファイル共有と通信するときに使用するエンコードに加え、ユーザーがアクセスでき る Windows および UNIX/NFS リソースを指定するリソース ポリシーも作成する必要 があります。ユーザーがファイルを要求すると、IVE は、MS Word ドキュメント (.doc ファイル)フェッチ要求用の Windows アクセス リソース ポリシーなど、その 要求に対応するリソース ポリシーを評価します。IVE は、ユーザーの要求を該当する ポリシーにリストアップされたリソースと照合した後、そのリソースに指定されたア クションを実行します。 File リソース ポリシーを作成するとき、以下の情報を入力する必要があります。 Resources - リソース ポリシーでは、ポリシーを適用する 1 つ以上のリソースを指 定する必要があります。ファイル ポリシーの作成時には、ファイル サーバーまたは 特定のファイル共有を指定する必要があります。詳細については、310 ページの 「Windows ファイル リソースの指定」および 310 ページの「UNIX/NFS ファイル リ ソースの指定」を参照してください。 Roles - リソース ポリシーでは、適用対象となるロールを指定する必要があります。 ユーザーから要求があると、IVE はそのロールに適用されるポリシーを決めて、要求 に対応するポリシーを評価します。 Actions - 各タイプのリソース ポリシーは、リソースを許可または拒否するかどう か、またはユーザーにディレクトリへの書き込みを許可するといった特定の機能の実 行など、特定のアクションを実行します。ユーザー要求に対してさらに条件を適用す る詳細な規則を作成することもできます。283 ページの「詳細規則の記述」を参照し てください。 Files ページの設定 309 Juniper Networks NetScreen Secure Access 700 管理ガイド IVE エンジンは、リソース ポリシーを評価するときには、281 ページの「リソース ポリ シーのリソースの指定」で説明されているように、ポリシーの Resources リスト内に表示 されるリソースが標準書式に従う必要があります。以下のセクションでは、標準書式を使 用してファイル リソースを指定する場合に配慮しなければならない特別な問題について 概説しています。 Windows ファイル リソースの指定 標準書式 \\server[\share[\path]] 以下の 3 つのコンポーネントがあります。 サーバー(必須)- 使用できる値: Hostname - システム変数 <username> を使用できます。 IP address - IP アドレスは a.b.c.d のようなフォーマットで指定する必要があり ます。 先頭に 2 つのバックスラッシュを使用する必要があります。 Share (オプション)- シェアがない場合はアスタリスク(*)が想定され、すべて のパスと一致します。システム変数 <username> を使用できます。 Path (オプション)- 以下の特殊文字を使用できます。 表 19: パス特殊文字 * 任意の文字と一致 % スラッシュ(/)以外の任意の文字と一致 ? 1 文字だけに一致 パスがない場合はバックスラッシュ(/)が想定され、最上位レベルのフォルダと一 致すると見なされます。例: \\%.danastreet.net\share\<username>\* \\*.juniper.com\dana\* \\10.11.0.10\share\web\* \\10.11.254.227\public\%.doc UNIX/NFS ファイル リソースの指定 標準書式: server[/path] 以下の 2 つのコンポーネントがあります。 310 Files ページの設定 サーバー(必須)- 使用できる値: Hostname - システム変数 <username> を使用できます。 IP address - IP アドレスは a.b.c.d のようなフォーマットで指定する必要があり ます。 Juniper Networks NetScreen Secure Access 700 管理ガイド 先頭に 2 つのバックスラッシュを使用する必要があります。 Path (オプション)- 以下の特殊文字を使用できます。 表 20: パス特殊文字 * 任意の文字と一致 % バックスラッシュ(\)以外の任意の文字と一致 ? 1 文字だけに一致 パスがない場合はバックスラッシュ(\)が想定され、最上位レベルのフォルダと一 致すると見なされます。例: %.danastreet.net/share/users/<username>/* *.juniper.com/dana/* 10.11.0.10/web/* 10.11.254.227/public/%.txt Windows タブ Access タブ ユーザーがアクセスできる Windows リソースを制御する File リソース ポリシーを作成す るには、Windows > Access タブを使用します。また、オプションで特定のフォルダへの パスを指定できます。 Windows アクセス リソース ポリシーの作成 Windows アクセス リソース ポリシーを作成するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > File > Windows > Access を選択します。 2. Windows File Access Policies ページで、New Policy をクリックします。 3. New Policy ページで、以下を入力します。 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) 4. Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ いては、281 ページの「リソース ポリシーのリソースの指定」を参照してください。 5. Roles セクションで、以下を指定します。 Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポリ シーを適用します。Available roles リストからこのリストにロールを追加してく ださい。 Files ページの設定 311 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. Action セクションで、以下を指定します。 Allow access - Resources リストで指定したリソースへのアクセスを許可しま す。ユーザーがサーバーにファイルを保存することを禁止する場合は、Readonly をオンにします。 Deny access- Resources リストで指定したリソースへのアクセスを拒否します。 Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま す。詳細については、283 ページの「詳細規則の記述」を参照してください。 7. Save Changes をクリックします。 8. Windows File Access Policies ページで、IVE での評価方法に応じてポリシーに順序 を設定します。IVE は、ユーザーから要求されたリソースをポリシー(または詳細規 則)の Resource リスト内のリソースと照合し、指定されたアクションを実行してポ リシーの処理を停止します。 Credentials タブ Windows > Credentials タブを使用して File リソース ポリシーを作成すると、ユーザー 要求が Resource リスト内のリソースと一致したときに IVE がファイル サーバーに送信す るための証明書を指定することができます。IVE がユーザーに証明書の入力を求めるよう に設定することもできます。 Windows 証明書リソース ポリシーの作成 Windows 証明書リソース ポリシーを作成するには、次の操作を実行します。 312 Files ページの設定 1. Web コンソールで、Resource Policies > File > Windows > Credentials を選択 します。 2. Windows Credentials Policies ページで、New Policy をクリックします。 3. New Policy ページで、以下を入力します。 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) 4. Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ いては、281 ページの「リソース ポリシーのリソースの指定」を参照してください。 5. Roles セクションで、以下を指定します。 Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストにあるロールにマッピングされたユーザーを除くすべてのユーザーにこのポ リシーを適用します。Available roles リストからこのリストにロールを追加して ください。 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. Action セクションで、以下を指定します。 Use static credentials - このオプションでは、フォルダ レベルおよびファイル レベルで Resources リストに指定されたリソースに IVE が送信する管理者証明書 を指定できます。IVE ファイル ブラウジング サーバーは server\share に対して接 続を維持しますが、同じファイル共有の別のフォルダに別のアカウントを使用し て接続しようとすると、接続できないことがあります。IVE はここで入力された パスワードをアスタリスク(*)で非表示にします。 Use variable credentials - このオプションにより、フォルダおよびファイル レ ベルで Resources リストに指定されたリソースに IVE が送信する、可変的な管理 者証明書を指定できます。これらのフィールドやドメインには <USERNAME> や <PASSWORD> などのような IVE 変数を入力できます。この点に注意してくださ い。例:yourcompany.net\<USERNAME>. Prompt for user credentials - Resources リストで指定したリソースの共有ファ イルで証明書が必要な場合、IVE は IVE の認証チャレンジを提示することによっ て、チャレンジを仲介します。ユーザーは、アクセスしようとしているファイル 共有の証明書を入力する必要があります。指定された証明書が失敗した場合に、 IVE はリソースへのユーザー アクセスを拒否します。 Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま す。詳細については、283 ページの「詳細規則の記述」を参照してください。 7. Save Changes をクリックします。 8. Windows File Access Policies ページで、IVE での評価方法に応じてポリシーに順序 を設定します。IVE は、ユーザーから要求されたリソースをポリシー(または詳細規 則)の Resource リスト内のリソースと照合し、指定されたアクションを実行してポ リシーの処理を停止します。 UNIX/NFS タブ ユーザーがアクセスできる UNIX/NFS リソースを制御する File リソース ポリシーを作成 するには、UNIX/NFS タブを使用します。UNIX/NFS リソースを指定するには、サーバー ホスト名と IP アドレスを入力します。また、オプションで特定の共有へのパスを指定で きます。 UNIX/NFS リソース ポリシーの作成 UNIX/NFS リソース ポリシーを作成するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > File > UNIX/NFS を選択します。 2. Unix/NFS File Access Policies ページで、New Policy をクリックします。 3. New Policy ページで、以下を入力します。 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) 4. Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ いては、281 ページの「リソース ポリシーのリソースの指定」を参照してください。 5. Roles セクションで、以下を指定します。 Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Files ページの設定 313 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポリ シーを適用します。Available roles リストからこのリストにロールを追加してく ださい。 Action セクションで、以下を指定します。 Allow access - Resources リストで指定したリソースへのアクセスを許可しま す。ユーザーがサーバーにファイルを保存することを禁止する場合は、Readonly をオンにします。 Deny access- Resources リストで指定したリソースへのアクセスを拒否します。 Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま す。詳細については、283 ページの「詳細規則の記述」を参照してください。 7. Save Changes をクリックします。 8. Unix/NFS File Access Policies ページで、IVE での評価方法に応じてポリシーに順序を 設定します。IVE は、ユーザーから要求されたリソースをポリシー(または詳細規則) の Resource リスト内のリソースと照合し、指定されたアクションを実行してポリ シーの処理を停止します。 Compression タブ Compression タブを使用して、Web コンソールの Maintenance > System > Options ページで GZIP 圧縮を有効にした場合に、どの種類のファイル データを IVE が圧縮する必 要があるかを指定します。 メモ : IVE は、すべての適用可能なファイルデータを圧縮する 2 つのファイル圧縮ポリ シー(*:*/*)を事前に備えています。Web コンソールの Resource Policies > Files > Compression ページでこれらのポリシーを有効にすることができます。 Web 圧縮リソース ポリシーの作成 1. Web コンソールで、Resource Policies > Files > Compression を選択します。 2. Windows または Unix/NFS タブを選択して、圧縮したいファイル データの種類を指 定します。 3. New Policy をクリックします。 4. New Policy ページで、以下を入力します。 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) 5. Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ いては、281 ページの「リソース ポリシーのリソースの指定」を参照してください。 6. Roles セクションで、以下を指定します。 314 Files ページの設定 Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 7. 8. Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポリ シーを適用します。Available roles リストからこのリストにロールを追加してく ださい。 Action セクションで、以下を指定します。 Compress - IVE は指定されたリソースから、対応しているコンテンツ タイプを 圧縮します。 Do not compress - IVE は指定されたリソースから、対応しているコンテンツ タ イプを圧縮しません。 Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま す。詳細については、283 ページの「詳細規則の記述」を参照してください。 Save Changes をクリックします。 Encoding タブ ファイル サーバーとの対話時に IVE がデータをコード化する方法を指定するには、Files > Encoding タブを使用します。詳細については、129 ページの「IVE では、エンドユー ザー インターフェースを、サポートされている言語のいずれかで表示することができま す この機能を、(カスタム)サインイン ページ、システム ページ、ローカライズされた オペレーション システムと組み合わせることによって、ユーザーは、完全にローカライ ズされた環境で操作することができます。」を参照してください。 IVE トラフィックの国際化コードの指定 IVE トラフィックの国際化コードを指定するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > File > Encoding を選択します。 2. 適切なオプションを選択します。 3. Western European (ISO-8859-1) Simplified Chinese (CP936) Simplified Chinese (GB2312) Traditional Chinese (CP950) Traditional Chinese (Big5) Japanese (Shift-JIS) Korean Save Changes をクリックします。 Files ページの設定 315 Juniper Networks NetScreen Secure Access 700 管理ガイド Options タブ Options タブを使用して、File リソース ポリシーに適用する File リソース オプションを 指定します。File リソース ポリシー オプションを有効にすると、File リソース ポリシー ごとに Resources フィールドで指定されたホスト名のリストが作成されます。このホスト 名のリスト全体に対してオプションが適用されます。 File リソース オプションの指定 File リソース オプションを指定するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Files > Options を選択します。 2. 次のオプションを選択します。 IP based matching for Hostname based policy resources - IVE は、File リソー ス ポリシーに指定されたホスト名にそれぞれ対応する IP アドレスを参照しま す。ユーザーがホスト名ではなく IP アドレスを指定してサーバーにアクセスし ようとすると、IVE は IP をキャッシュ内の IP アドレスのリストに照合して、 ホスト名と IP が一致するかどうかを判断します。一致する IP が見つかった場 合、IVE はポリシーの一致としてこれを受け入れ、リソース ポリシーに指定さ れたアクションが適用されます。 メモ : このオプションは、ワイルドカードやパラメータが含まれるホスト名には適用さ れません。 Case sensitive matching for the Path component in File resources - NFS リソー スへの URL で大文字と小文字を区別する場合には、このオプションを選択しま す。URL でユーザー名やパスワード データを渡す場合には、このオプションを 使用します。 メモ : このオプションは、Windows サーバーには適用されません。 3. 316 Files ページの設定 Allow NTLM V1 - このオプションを選択すると、管理者証明書の Kerberos 認証 が失敗した場合に、NTLM バージョン 1 認証に戻ります。 Save Changes をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド Telnet/SSH ページの設定 Secure Terminal Access オプションを使用すれば、Telnet プロトコルを使用して内部サー バー ホストに接続したり、Web ベースの端末セッション エミュレーションによって暗号 化された Secure Shell (SSH)セッションを介して通信することができます。この機能は、 次のアプリケーションとプロトコルをサポートします。 Network Protocols - サポートされているネットワーク プロトコルです(Telnet と SSH を含む)。 Terminal Settings - サポートされているターミナル設定(VT100、VT320、その派生 とスクリーン バッファを含む)。 Security - サポートされているセキュリティ機構で、SSL およびホスト セキュリ ティ(必要に応じて SSH など)を使用した Web/ クライアント セキュリティを含み ます。 Resource Policies > Telnet/SSH ページには、次のタブがあります。 317 ページの「Access タブ」- Telnet/SSH リソース ポリシーを作成するには、このタ ブを使用します。 318 ページの「Options タブ」- このタブを使用して、Telnet/SSH リソース オプショ ンを指定します。 Access タブ ロールに対して Telnet/SSH アクセス機能を有効にする場合には、ユーザーがアクセスで きるリモート サーバーを指定するリソース ポリシーを作成する必要があります。IVE は ユーザー要求を Telnet/SSH ポリシーでリストアップされたリソースと照合して、リソー スに対して指定されたアクションを実行します。 Telnet/SSH リソース ポリシーを作成するときに、次の情報を入力する必要があります。 Resources - リソース ポリシーでは、ポリシーを適用する 1 つ以上のリソースを指 定する必要があります。Telnet/SSH ポリシーの作成時には、ユーザーが接続できるリ モート サーバーを指定する必要があります。 Roles - リソース ポリシーでは、適用対象となるロールを指定する必要があります。 ユーザーから要求があると、IVE はそのロールに適用されるポリシーを決めて、要求 に対応するポリシーを評価します。 Actions - Telnet/SSH リソース ポリシーは、サーバーに対するアクセスを許可または 拒否します。 IVE エンジンは、リソース ポリシーを評価するときには、217 ページの「リソース ポリ シーのリソースの指定」で説明されているように、ポリシーの Resources リスト内に表 示されるリソースが正式フォーマットに従う必要があります。 Telnet/SSH リソース ポリシーの作成 Telnet/SSH リソース ポリシーを作成するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Telnet/SSH > Access を選択します。 2. Telnet/SSH Policies ページで、New Policy をクリックします。 Telnet/SSH ページの設定 317 Juniper Networks NetScreen Secure Access 700 管理ガイド 3. New Policy ページで、以下を入力します。 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) 4. Resources セクションでは、218 ページの「サーバー リソースの指定」で説明されて いるガイドラインに従って、このポリシーが適用されるサーバーを指定します。 5. Roles セクションで、以下を指定します。 6. Policy applies to ALL roles - このフィールドを使用して、このポリシーをすべ てのユーザーに適用します。 Policy applies to SELECTED roles - このフィールドを使用して、Selected roles リストでロールにマッピングされたユーザーのみにこのポリシーを適用します。 Available roles リストからこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - このフィールド を使用して、Selected roles リストでロールにマッピングされたユーザーを除い た すべてのユーザーにこのポリシーを適用します。Available roles リストからこ のリストに必ずロールを追加してください。 Action セクションで、以下を指定します。 Allow access - このフィールドを使用して、Resources リストで指定したサー バーに対するアクセスを許可します。 Deny access - このフィールドを使用して、Resources リストで指定したサー バーに対するアクセスを拒否します。 Use Detailed Rules - このフィールドを使用して、このポリシーのために 1 つま たはそれ以上の詳細な規則を指定します。詳細については、220 ページの「詳細 規則の記述」を参照してください。 7. Save Changes をクリックします。 8. Telnet/SSH Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま す。IVE は、ユーザーから要求されたリソースをポリシー(または詳細規則)の Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー の処理を停止します。 Options タブ Options タブでは、Telnet/SSH リソース オプションを指定して、Telnet/SSH リソース ポ リシーでリソースとして指定されたホスト名と IP アドレスを照合します。このオプショ ンを有効にすると、IVE は Telnet/SSH リソース ポリシーに指定された各ホスト名に対応 する IP アドレスを参照します。ユーザーがホスト名ではなく IP アドレスを指定してサー バーにアクセスしようとすると、IVE は IP をキャッシュ内の IP アドレスのリストに照合 して、ホスト名と IP が一致するかどうかを判断します。一致する IP が見つかった場合、 IVE はポリシーの一致としてこれを受け入れ、リソース ポリシーに指定されたアクション が適用されます。 このオプションを有効にすると、Telnet/SSH リソース ポリシーごとに Resources フィー ルドで指定されたホスト名のリストが作成されます。このホスト名のリスト全体に対して オプションが適用されます。 メモ : このオプションは、ワイルドカードやパラメータが含まれるホスト名には適用さ れません。 318 Telnet/SSH ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド Telnet/SSH リソース オプションの指定 Telnet/SSH リソース オプションを指定するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Telnet/SSH > Options を選択します。 2. IP based matching for Hostname based policy resources を選択します。IVE は Telnet/SSH リソース ポリシーで指定されたホスト名にそれぞれ対応する IP アドレス を参照します。ユーザーがホスト名ではなく IP アドレスを指定してサーバーにアク セスしようとすると、IVE は IP をキャッシュ内の IP アドレスのリストに照合して、 ホスト名と IP が一致するかどうかを判断します。一致する IP が見つかった場合、IVE はポリシーの一致としてこれを受け入れ、リソース ポリシーに指定されたアクショ ンが適用されます。 3. Save Changes をクリックします。 Telnet/SSH ページの設定 319 Juniper Networks NetScreen Secure Access 700 管理ガイド Network Connect ページの設定 Network Connect オプションにより、IVE ポート 443 を使用して、安全かつ SSL- ベースの ネットワーク レベルで、すべての 企業アプリケーション リソースにリモート アクセスで きます。 メモ : Network Connect をインストールするには、387 ページの「クライアント サイド のアプリケーション インストール」で説明されているように、ユーザーに適切な特権が 必要となります。これらの権限がユーザーにない場合、Web コンソールの Maintenance > System > Installers ページで Juniper Installer サービスを使用して、この要求を回避 します。 Resource Policies > Network Connect ページには、次のタブがあります。 320 ページの「Network Connect Access Control タブ」- このタブを使用して、 Network Connect アクセス リソース ポリシーを作成します。 321 ページの「Network Connect Logging タブ」- このタブを使用して、Network Connect ロギング ポリシーを作成します。 322 ページの「Network Connect Connection Profiles タブ」- このタブを使用して、 Network Connect 接続プロファイルを作成します。 326 ページの「Network Connect Split Tunneling タブ」- このタブを使用して、 Network Connect スプリットトンネル ネットワーク リソース ポリシーを作成します。 IVE プラットフォームのエンジンが、リソース ポリシーを評価する際に、ポリシーの Resources リスト内に表示されるリソースは、281 ページの「リソース ポリシーのリソー スの指定」で説明されているように、標準書式に従っていなければなりません。 Network Connect Access Control タブ Network Connect Access Control タブを使用して、Network Connect の使用中にコン トロール リソースのユーザーが接続できる Network Connect リソース ポリシーを作 成します。 Network Connect アクセス リソース ポリシーの作成 Network Connect アクセス リソース ポリシーを作成するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Network Connect > Network Connect Access Control を選択します。 2. Network Connect の Network Connect Access Control ページで、New Policy をク リックします。 3. New Policy ページで、以下を入力します。 4. 320 Network Connect ページの設定 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ いては、281 ページの「リソース ポリシーのリソースの指定」を参照してください。 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. 6. Roles セクションで、以下を指定します。 Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポリ シーを適用します。Available roles リストからこのリストにロールを追加してく ださい。 Action セクションで、以下を指定します。 Allow access - このオプションを選択して、Resources リストで指定したリソー スに対するアクセスを許可します。 Deny access - このオプションを選択して、Resources リストで指定したリソー スに対するアクセスを拒否します。 Use Detailed Rules - このオプションを選択して、指定されたリソースに制限を 追加するリソース ポリシー規則を定義します。 7. Save Changes をクリックします。 8. Network Connect Access Policies ページで、IVE での評価方法に応じてポリシーに順 序を設定します。IVE は、ユーザーから要求されたリソースをポリシー(または詳細 規則)の Resource リスト内のリソースと照合し、指定されたアクションを実行して ポリシーの処理を停止します。 Network Connect Logging タブ Network Connect Logging タブを使用して、1 人以上の Network Connect ユーザーのパ ケット情報をまとめて表示します。クライアントサイドの Network Connect パケット情報 を作成すると、セッションの障害やユーザーの定期的なパケットの損失などの Network Connect の問題をよりよくサポートし、トラブルシューティングに役立ちます。ユーザー の認証、承認、IP 割り当て情報、ソースおよび送信先 IP アドレス、ソースおよび送信先 ポート割り当て、セッション トランスポート プロトコルに基づいて、特定タイプのパ ケットのログ記録をとったり、検索することもできます。 Network Connect ロギング ポリシーの作成 Network Connect ロギング ポリシーを作成するには、以下のような操作を実行します。 1. Web コンソールで、Resource Policies > Network Connect > Network Connect Logging を選択します。 2. Network Connect Logging ページで、New Policy をクリックします。 3. New Policy ページで、以下を入力します。 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) 4. Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ いては、281 ページの「リソース ポリシーのリソースの指定」を参照してください。 5. Roles セクションで、次のオプションのいずれかを選択します。 Network Connect ページの設定 321 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. 7. Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポリシーを適用します。Available roles リストからこの リストにロールを追加してください。 Action セクションで、次のオプションのいずれかを選択します。 Log Packets - このオプションを選択して、ロギング ポリシーで指定されている 基準に一致したすべての接続に対して自動的にパケットのログ記録をとるよう IVE に指示を出します。 Use Detailed Rules - このオプションを選択して、指定されたリソースに制限を 追加するリソース ポリシー規則を定義します。 Save Changes をクリックします。 Network Connect Connection Profiles タブ Network Connect Connection Profiles タブを使用して、Network Connect リソース プロ ファイルを作成します。IVE が、Network Connect セッションの開始を求めるクライアン ト要求を受信すると、IVE は、クライアントサイドの Network Connect エージェントに IP アドレスを割り当てます。IVE は、ユーザーのロールに適用する IP Address Pool ポリシー に基づいてこの IP アドレスを割り当てます。さらに、この機能によって Network Connect セッションでのトランスポート プロトコルや暗号化方法、データ圧縮を使用するかどう かなどを指定できます。 Network Connect 接続プロファイルの作成 Network Connect 接続プロファイルを作成するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Network Connect > Network Connect Connection Profiles を選択します。 2. Network Connect Connection Profiles ページで、New Profile をクリックします。 3. New Profile ページで、以下の情報を入力します。 4. 322 Network Connect ページの設定 a. このポリシーに付ける名前 b. ポリシーの説明(オプション) IP address assignment セクションで、以下のいずれかを選択してクライアントサイ ド IP アドレスの割り当てを指定します。 DHCP server - このオプションでは、クライアントサイド IP アドレスの割り当 てを担当するネットワーク DHCP (Dynamic Host Configuration Protocol)サー バーのホスト名または IP アドレスを指定することができます。 IP address pool - このオプションでは、Network Connect サービスを実行する クライアントに IVE が割り当てる IP アドレスまたは IP アドレスの範囲を指定す ることができます。使用する標準書式: ip_range Juniper Networks NetScreen Secure Access 700 管理ガイド ip_range は "a.b.c.d-e" のような書式で指定することができます。ここで、IP ア ドレスの最後のコンポーネントはハイフン(-)で区切られた範囲を意味します。 特殊文字は使用できません。例:10.10.10.1-100. メモ : Network Connect クライアントサイド IP アドレス プール、または Network Connect 接続プロファイルで指定された DHCP サーバーが IVE と同じサブネットに存在 するように、ネットワークを設定することをお勧めします。 ネットワーク トポロジーによって、IVE の内部 IP インターフェースと IP アドレス プー ル、または DHCP サーバーが異なるサブネットに存在することになった場合、静的 ルートをイントラネットのゲートウェイ ルーターに追加して、企業リソースと IVE が内 部ネットワークで相互アクセス可能にする必要があります。 5. Connection settings セクションで、この接続プロファイルの転送、暗号化、圧縮設 定を指定します。 a. 以下の中から 1 つ選択して、カプセル化と転送の方法を指定します。 ESP (パフォーマンスを最大化)- このオプションを選択して、UDP カプ セル化 ESP 転送方法でクライアントと IVE 間でデータを安全に転送します。 UDP ポート、ESP-to-NCP 代替システム タイムアウト値、ESP 暗号化キー寿 命値を定義してデータ転送 パラメータをさらにカスタマイズできます。 oNCP/NCP (互換性を最大化)- このオプションを選択して、この接続プロ ファイルに標準の oNCP/NCP 転送方法を使用します。oNCP および NCP に関 する基礎的な情報、および IVE での NCP 使用のためのオプションについて は、159 ページの「NCP タブ」を参照してください。 メモ : oNCP 転送プロトコルは NCP に対してさらに向上したフレキシビリティを提供 し、Macintosh と Linux クライアントに対応しています。(従来の NCP 転送プロトコル は Windows クライアント環境だけで機能します)。Web コンソールの System > Configuration > NCP ページで oNCP/NCP 自動選択機能が無効にされて、UDP-tooNCP/NCP のフェイルオーバーが発生する場合、IVE は Macintosh と Linux はクライア ントとの接続を切ります。IVE が UDP から NCP (oNCP の代わりに)にフェイルオー バーするためです。 b. NCP はこうしたユーザーをサポートしません。ESP 転送方法について IVE のデ フォルト値を使用する場合には、ステップ c に進みます。デフォルト値を使用し ない場合は、次の値を使用できます。 UDP port - UDP 接続トラフィック用の IVE ポートを指定します。デフォル トのポート番号は 4500 です。 メモ : カスタムのポート番号を指定しても、または IVE で設定されたデフォルトの ポート番号(4500)を使用しても、他のデバイスおよび暗号化されたトンネルは、 UDP トラフィックが IVE と Network Connect クライアント間でやり取りできるよう にする必要があります。たとえば、インターネットと企業イントラネットの間で エッジ ルーターとファイアウォールを使用する場合、ルーターとファイアウォール の両方でポート 4500 を有効にし、ポート 4500 が UDP トラフィックを渡せるよう に設定する必要があります。 Network Connect ページの設定 323 Juniper Networks NetScreen Secure Access 700 管理ガイド ESP to NCP fallback timeout - IVE が UDP の接続エラーの後に標準の oNCP/NCP 接続を自動的に確立するまで待機する時間を秒単位で指定しま す。デフォルトの時間は 15 秒です。0 秒の値を指定すると、IVE は oNCP/NCP 接続に対して決してフェイルオーバーしません。 Key lifetime - IVE がこの接続プロファイルに同じ ESP 暗号化キーを連続し て使用する時間を分単位で指定します。ローカルサイドとリモートサイドの 両方の暗号化転送トンネルが同一の暗号化キーを使用するのは限られた時間 だけであり、これによって許可されていないアクセスを防ぎます。デフォル トの時間は 20 秒です。 メモ : 頻繁に暗号化キーを変更すると、IVE の CPU の負担を増加させます。 Replay Protection - IVE での再生保護を有効にするには、このオプションを 選択します。このオプションを有効にすると、ネットワークからの悪意があ る「繰り返し攻撃」に対する防御に役立ちます。クライアントからパケット が到着すると、IVE は IP ヘッダー情報をチェックし、同じ IP ヘッダー情報 を持つパケットが到着していないか確認します。すでに到着している場合、 そのパケットは拒否されます。このオプションは、Network Connect リソー ス ポリシーではデフォルトで有効です。 275 ページの「Network Connect ページの設定」で説明してあるように、 Enable TOS Bits Copy オプションを有効にすると、TOS ビットが異なる IP パケットは、ネットワークのゲートウェイ ルーターを通過するときに、順 序が変更される場合があります。IVE に到着したとき、不正な順序で受信し たパケットが自動的に廃棄されるように、このリソース ポリシーでは Replay Protection オプションを無効にできます。 メモ : (例えば、1 つのアプリケーションだけが送信しており、Network Connect トン ネル上でトラフィックを受信している場合など)、クライアントの複数のソースからパ ケットが来ることを予期していない場合、再生保護を有効のままにしておくことをお勧 めします。 c. 以下のいずれかを選択して、暗号化の方法を指定します。 d. AES/SHA1(セキュリティを最大化)- このオプションでは、データ 1 暗号化を使用し、 チャネルで Advanced Encryption Standard (AES) 2 Network Connect セッション時に SHA1 認証方法を使用するように IVE に指示します。 AES/MD5(パフォーマンスの最大化)- このオプションでは、AES1 暗号化 をデータ チャネルで使用し、Network Connect セッション中に MD53 認証方 法を使用するように IVE に指示を出します。 安全な接続のために圧縮を使用するかどうか指定します。 1. AES 暗号化方法は、128 ビット暗号化キーを使用した暗号アルゴリズムで IP パケットをコード化し、IP パケットを 保護します。 2. SHA1 認証法は、ユーザー ID とパスワード情報をコード化するときに使用が簡単で、効果的です。SHA1 アルゴリズ ムはユーザー ID またはパスワード文字列から成る文字を判読不能なテキストに変換し、IVE から、または IVE にそ のテキストを転送します。同じアルゴリズムを使用して変換を逆転させてから、認証サーバーに提示します。 3. MD5 認証アルゴリズムはデジタル署名を作成します。MD5 認証方法は入力文字列(たとえばユーザーの ID やサイン イン パスワードなど)を一定の 128 ビットの指紋(「メッセージ ダイジェスト」とも呼ばれる)に変換してから、 IVE から、または IVE に転送します。 324 Network Connect ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. Roles セクションで、以下を指定します。 Policy applies to ALL roles - このオプションを選択すると、このポリシーをす べてのユーザーに適用します。 Policy applies to SELECTED roles - このオプションを選択すると、Selected roles リストでロールにマッピングされたユーザーのみにこのポリシーを適用し ます。Available roles リストからこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - このオプション を選択すると、Selected roles リストでロールにマッピングされたユーザーを除 いた すべてのユーザーにこのポリシーを適用します。Available roles リストから このリストにロールを追加してください。 7. New Profile ページで、DNS タブをクリックします。 8. Custom DNS Settings チェックボックスを選択すると、指定した設定で標準の DNS 設定を上書きします。 9. a. Primary DNS - プライマリ DNS 用に IP アドレスを指定します。 b. Secondary DNS - セカンダリ DNS 用に IP アドレスを指定します。 c. DNS Domain(s) - “yourcompany.com, yourcompany.net” など DNS ドメインを指 定します。 DNS search order セクションで、スプリット トンネルが有効化されている場合にの み、次のように DNS サーバー検索順序を選択します。 Search IVE DNS servers first, then client Search client DNS first, then IVE 10. New Profile ページで、Proxy タブをクリックします。. 11. Network Connect proxy server configuration ページで、次のオプションの中なら 1 つ選択します。 No proxy server - 新規プロファイルにプロキシ サーバーが必要ないことを指定 します。 Automatic (PAC file on IVE) - PAC ファイルが存在するサーバーの IP アドレスを 指定するか、ローカル ホスト上で PAC ファイルの場所を参照して、IVE にアッ プロードします。 Automatic (PAC file on another server) - PAC ファイルが存在するサーバーの IP アドレスを指定します。 Manual configuration - サーバーの IP アドレスを指定して、ポートを割り当て ます。 12. Save Changes をクリックします。 13. NC Connection Profiles ページで、IVE での評価方法に応じてプロファイルに順序を 設定します。IVE は、ユーザーから要求されたリソースとプロファイル(または詳細 規則)の Resource リスト内のリソースを照合して一致するものを見つけると、指定 されたアクションを実行してポリシーの処理を停止します。 Network Connect ページの設定 325 Juniper Networks NetScreen Secure Access 700 管理ガイド Network Connect Split Tunneling タブ Network Connect Split Tunneling タブを使用して、Network Connect リソース ポリシー を作成します。このリソース ポリシーでは、リモート クライアントと企業イントラネッ ト間で渡されるトラフィックを IVE が処理するためのネットワーク IP アドレス / ネット マスクの組み合わせを 1 つまたは複数指定します。 スプリット トンネルが使用されると、Network Connect はクライアントでルーティングを 修正し、企業イントラネット ネットワーク用のトラフィックは Network Connect に向か い、その他すべてのトラフィックはローカルの物理アダプタを経由するようにします。 IVE はまず、物理アダプタ経由で送信されたすべての DNS リクエストの解決を試みてか ら、送信できなかったリクエストを Network Connect アダプタにルーティングします。 Network Connect スプリットトンネル ネットワーク リソース ポリシーの作成 Network Connect スプリット トンネル ネットワーク リソース ポリシーを作成するには、 次の操作を実行します。 1. Web コンソールで、Resource Policies > Network Connect > Network Connect Split Tunneling を選択します。 2. Network Connect Network Connect Split Tunneling ページで、New Policy をクリッ クします。 3. New Policy ページで、以下を入力します。 このポリシーに付ける名前 b. ポリシーの説明(オプション) 4. Resources セクションで、リモート クライアントと企業イントラネット間で渡され るトラフィックを IVE が処理するためのネットワーク IP アドレス / ネットマスクの 組み合わせを 1 つまたは複数指定します。“/”(スラッシュ)表記を使用してネット ワークを指定することもできます。 5. Roles セクションで、以下を指定します。 6. 7. 326 a. Network Connect ページの設定 Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。 Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当 てられたユーザーにのみ、このポリシーを適用します。Available roles リストか らこのリストにロールを追加してください。 Policy applies to all roles OTHER THAN those selected below - Selected roles リ ストのロールに割り当てられたユーザーを除いた すべてのユーザーにこのポリ シーを適用します。Available roles リストからこのリストにロールを追加してく ださい。 Action セクションで、以下を指定します。 Allow access - このオプションを選択して、Resources リストで指定したリソー スに対するアクセスを許可します。 Use Detailed Rules ( 'Save Changes' をクリックすると利用可)- このオプショ ンを選択して、指定されたリソースに制限を追加するリソース ポリシー規則を 定義します。 Save Changes をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド 8. Network Connect Split Tunneling Policies ページで、IVE での評価方法に応じてポリ シーに順序を設定します。IVE は、ユーザーから要求されたリソースをポリシー(ま たは詳細規則)の Resource リスト内のリソースと照合し、指定されたアクションを 実行してポリシーの処理を停止します。 使用例: Network Connect リソース ポリシーの設定 このセクションでは、実際の Network Connect アプリケーション、およびネットワークの リモート ユーザーへのアクセスを提供する正しいリソース ポリシーを設定するために必 要な手順について説明します。 大規模な金融機関(または「フォーチュン企業」)では、Network Connect のような強固 なクライアント サインイン アプリケーションが必要です。これにより、遠隔地の社員は、 本社にある広範囲な企業リソースをシームレスなネットワーク接続により利用できます。 リモート ユーザーは通常、単なる E メールやミーティング予定表アプリケーション以外 に、ラップトップやクライアントのコンピュータで複数のアプリケーションにアクセスで きる必要があります。これらリモートの「スーパー ユーザー」または「パワー ユーザー」 には、Microsoft OutlookTM、OracleTM および RemedyTM ケース マネジメント システムな どのパワフルなサーバー アプリケーションに対して、安全で暗号化されたアクセスが必 要となります。 このシナリオでは、以下の点を想定しています。 同じ IVE を経由して金融機関の企業リソースにアクセスする、小グループのリモート ユーザーが存在する すべてのユーザーは、そのユーザー ID に割り当てられた同じ “user_role_remote” ロールを所有している Host Checker および Cache Cleaner を設定して、IVE へのログイン時と Network Connect セッションの起動時にユーザーのコンピュータが確認される すべてのユーザーは、以下の属性で本社の 3 つの大型サーバーにアクセスできる必 要がある IP アドレス 10.2.3.201 で “outlook.acme.com”にアクセス IP アドレス 10.2.3.202 で “oracle.financial.acme.com”にアクセス IP アドレス 10.2.3.99 で “case.remedy.acme.com”にアクセス この企業はその IP アドレス プールを厳重に管理したいため、各 IVE は IP アドレスを リモート ユーザーに供給します(特定の IVE は 10.2.3.128 ~ 10.2.3.192 間の IP アド レスを制御します)。 この企業は考えられる最も安全なアクセスとともに、クライアントのダウンタイムを 最小限にすることに関心があります。 このフォーチュン企業のリモート ユーザーに適切なアクセスを提供するには、Network Connect リソース ポリシーを以下のように設定します。 1. 320 ページの「Network Connect アクセス リソース ポリシーの作成」に記載された手 順に従って、新しい Network Connect リソース ポリシーを作成し、これに、リモー ト ユーザーにアクセスを許可する 3 台のサーバーを指定します。 Network Connect ページの設定 327 Juniper Networks NetScreen Secure Access 700 管理ガイド a. Resources セクションで、3 台のサーバー(“outlook.acme.com”、 “Oracle.financial.acme.com”、および “case.remedy.acme.com”にアクセス を許可するために必要な IP アドレス範囲をキャリッジ リターンで区切って 指定します。 udp://10.2.3.64-127:80,443 udp://10.2.3.192-255:80,443 2. 328 Network Connect ページの設定 b. Roles セクションで Policy applies to SELECTED roles オプションを選択して、 Selected roles リストで “user_role_remote” ロールだけが表示されるようにし ます。 c. Action で、Allow access オプションを選択します。 322 ページの「Network Connect 接続プロファイルの作成」で説明されている指示に 従って、クライアントと IVE 間のデータ トンネルの転送と暗号化の方法を定義する、 Network Connect 接続プロファイルを新規作成します。 a. IP address assignment セクションで IP address pool オプションを選択し、関連 するテキスト フィールドで 10.2.3.128-192 を入力します。 b. Connection Settings セクションで、ESP 転送オプションと AES/SHA1 暗号化オ プションを選択します。 c. Roles セクションで Policy applies to SELECTED roles オプションを選択して、 Selected roles リストで “user_role_remote” ロールだけが表示されるようにし ます。 Juniper Networks NetScreen Secure Access 700 管理ガイド Email Client ページの設定 Secure Email Client オプションを使用すれば、リモート ユーザーは、標準の Web ブラウ ザとインターネット接続を使用して、Outlook Express、Netscape Communicator、 Qualcomm の Eudora などの標準ベースの E メールに、アクセスできるようになります。 詳細については、93 ページの「E メール クライアントの概要」を参照してください。 ロールの Email Client アクセス機能を有効にする場合には、メール サーバーの構成を指定 するリソース ポリシーを作成する必要があります。他の機能とは異なり、Secure Email Client の場合には、この機能が有効なロールに対して 1 つのリソース ポリシーが適用さ れます。ユーザーに対して E メール クライアント サービスを有効にするには、 IMAP/POP/SMTP メール サーバーの情報とユーザー認証構成を指定する必要があります。 IVE は、指定されたサーバーの E メール プロキシとしての役割を果たします。 IVE は、複数のメール サーバーをサポートしています。すべてのユーザーがデフォルトの メール サーバーを使用するように構成することができます。また、ユーザーがカスタム SMTP、IMAP、または POP メール サーバーを指定できるように構成することも可能です。 ユーザーがカスタム メール サーバーを指定できるようにした場合、ユーザーは IVE に よってサーバー設定を指定する必要があります。IVE は、E メール ユーザー名を管理し て、ユーザー名の重複を避けます。 Email Client メール サーバー リソース ポリシーの作成 Email Client メール サーバー リソース ポリシーを作成するには、次の操作を実行します。 1. Web コンソールで、Resource Policies > Email Client を選択します。 2. Email Client Support で、Enabled をクリックします。 3. Email Authentication Mode で、オプションを選択します。 Web-based email session - ユーザーは IVE の E メール セットアップを 1 度だけ 実行する必要があります。次に、IVE の E メール セットアップで生成されたユー ザー名とパスワードを使用するように、ユーザーが E メール クライアントをそ れぞれ設定します。ユーザーは IVE にサインインして、E メール セッションを開 始することをお勧めします。(デフォルト) Combined IVE and mail server authentication - ユーザーは次の認証情報を使用 して、E メール クライアントを構成します。 Username - ユーザーの標準のメール サーバー ユーザー名。次のいずれか の条件に適合する場合には、IVE によって生成されたユーザー名。 - 複数のメール サーバー ユーザー名がある場合 - IVE のユーザー名とメール サーバーのユーザー名が異なる場合 Password - ユーザーの IVE パスワード、カスタマイズできる証明書の区切 り文字、ユーザーのメール サーバー パスワードの順で構成されます。 ユーザーは IVE にサインインしなくても、E メールを使用できます。 Mail server authentication only - ユーザーは標準のメール サーバー ユーザー名 とパスワードを使用するように各自の E メール クライアントを構成します。 ユーザーは IVE にサインインしなくても、E メールを設定および使用できます。 メモ : Email Setup ページを参照すれば、簡単にユーザー名とパスワードを確認でき ます。 Email Client ページの設定 329 Juniper Networks NetScreen Secure Access 700 管理ガイド 4. Default Server Information で、メール サーバー情報を指定します。IVE は、このサー バーの E メール プロキシとしての役割を果たします。 メモ : 指定できるデフォルト メール サーバーは 1 つだけです。ユーザーが複数の SMTP サーバー、POP サーバー、または IMAP サーバーから E メールを取り出す必要がある場 合には、該当するチェックボックスをオンにして、追加のメール サーバーを構成できる ようにします。ユーザーがカスタム サーバーを指定できるように設定した場合、ユー ザーは IVE の Email Setup ページで 1 度だけサーバーに関する情報を入力する必要があ ります。 5. 6. 330 Email Client ページの設定 Email Session Information で、以下を指定します。 IVE が E メール クライアント セッションを終了するまでユーザーの E メール セッションがアイドル状態のままとなる時間を制御する、Idle Timeout 値。 IVE が E メール クライアント セッションを終了するまでユーザーの E メール セッションがアクティブ状態のままとなる時間を制御する、Max. Session Length 値。 Save Changes をクリックします。 第 11 章 メンテナンス設定 Web コンソールの Maintenance セクションにある設定を使用すると、IVE の管理とトラ ブルシューティングが行えます。 目次 333 ページの「System ページの設定」 338 ページの「Import/Export ページの設定」 349 ページの「Archiving ページの設定」 350 ページの「Troubleshooting ページの設定」 第 11 章 : メンテナンス設定 331 Juniper Networks NetScreen Secure Access 700 管理ガイド 332 第 11 章 : メンテナンス設定 Juniper Networks NetScreen Secure Access 700 管理ガイド System ページの設定 System ページには、次のタブがあります。 333 ページの「Platform タブ」- 再起動、リブート、シャットダウン、またはサー バー接続状態のテストを行うには、このタブを使用します。 334 ページの「Upgrade/Downgrade タブ」- このタブは、サービス パッケージのイ ンストールに使用します。 335 ページの「Options タブ」- このタブは、バージョン モニタリングの有効化に使 用します。 335 ページの「Installers タブ」- このタブを使用して、アプリケーションやサービス のダウンロードを行います。 Platform タブ Platform ページには、Secure Access 700 システム データがリストされ、Secure Access 700 を再起動、リブート、またはシャット ダウンするコントロールが含まれます。また、 サーバーの接続性をテストするコントロールが含まれます。 再起動、リブート、シャットダウン、またはサーバー接続状態のテスト Platform ページでは IVE のために以下のシステム データを一覧表示します。 Model - IVE のモデルを表示します。 Version - IVE のソフトウェア バージョンを表示します。 Rollback - インストールしたイメージをロールバックするとき、IVE が戻るソフト ウェア バージョンを表示します。 Last Reboot - IVE の最後のリブートからの時間を表示します。 Platform ページには以下のコントロールが含まれます。 Restart Services ― すべてのプロセスを削除して Secure Access 700 を再起動します。 Reboot ― Secure Access 700 の電源を入れ直して、リブートします。 Shut down ― Secure Access 700 をシャットダウンします。サーバーを再起動するに はリセット ボタンを押す必要があります。サーバーをシャットダウンしても、マシン の電源はオンの状態になっているので注意してください。 Rollback - ソフトウェアイメージをロールバックして、IVE をリブートします。をリ ブートすると、IVE のイメージは上の Rollback フィールドに表示されたイメージに 自動的にロールバックされます。 Test Connectivity - IVE で使用するように設定されているすべてのサーバーに IVE か ら ICMP Ping を送信して、サーバーの接続状態を調べます。各サーバーのステータス は Server Connectivity Results の下に表示されます。 メモ : 工場出荷状態へのリセットまたは直前の状態にシステムを戻す操作についてに は、359 ページの「IVE シリアル コンソールの使用」を参照してください。 System ページの設定 333 Juniper Networks NetScreen Secure Access 700 管理ガイド Upgrade/Downgrade タブ 別のサービス パッケージをインストールするには、Juniper サポートの Web サイトからソ フトウェアを取得して、それを Web コンソールからアップロードします。サーバーが、 Juniper Networks によって発行された有効なパッケージのみを受け入れるようにするた め、パッケージ ファイルは暗号化され署名されています。これにより、トロイの木馬プロ グラムが IVE サーバーに侵入するのを防ぐことができます。 この機能は通常、システム ソフトウェアのより新しいバージョンへのアップグレードに 使用されますが、このプロセスを旧バージョンへのダウングレードや、現在のすべての設 定を削除して「クリーン スレート」から始める場合にも使用できます。シリアル コン ソールを通じて直前のシステム状態にロールバックすることもできます。詳細は、360 ページの「直前のシステム状態へのロールバック」を参照してください。 メモ : サービス パッケージをインストールする場合は、処理に数分かかる場合がありま す。また、インストール完了後に IVE を再起動する必要があります。既存のシステム データはこのときにバックアップされるため、サービス パッケージをインストールする 前にシステム ログをクリアしておくとインストール時間を短縮できます。 Juniper ソフトウェア サービス パッケージのインストール 新しいサービス パッケージをインストールする前に、現在のシステム設定、ローカル ユーザー アカウント、カスタマイズしたユーザー設定、ロールおよびポリシー情報をエ クスポートしてください。このタスクについては、338 ページの「Import/Export ページ の設定」で説明しています。 サービス パッケージをインストールするには、次の操作を実行します。 1. Juniper サポートの Web サイトにアクセスして、希望のサービス パッケージを取得し ます。 2. Web コンソールで、Maintenance > System > Upgrade/Downgrade を選択します。 3. Browse をクリックして、サポート サイトから取得したハード ドライブ上のサービス パッケージを参照します。IVE の同じバージョンを引き続き使用しながら、現在の設 定を削除するには、アプライアンスに現在インストールされているサービス パッ ケージを選択します。 4. 古いサービス パッケージに戻すか、設定を削除する場合には、Delete all system and user data を選択します。 メモ : このオプションを使用して、アプライアンスからすべてのシステム データとユー ザー データを削除した場合には、システムの再設定を行う前に、ネットワーク接続を再 確立する必要があります。 5. 334 System ページの設定 サービス パッケージ ファイルを選択して、Install Now をクリックします。 Juniper Networks NetScreen Secure Access 700 管理ガイド Options タブ IVE では重要なソフトウェア パッチやアップデートの自動通知を設定することで、システ ムを常に最新の状態に保ち、安全性を確保することができます。これを行うには、以下の データを Juniper Networks に送ります。会社名、ライセンス設定の MD5 ハッシュ、現在 のソフトウェア バージョン情報。 バージョン監視の有効化 自動アップデートおよびアクセレータ カードを有効化するには、次の操作を実行します。 1. Web コンソールで、Maintenance > System > Options を選択します。 2. 重要なソフトウェア パッチやアップデートを自動的に受け取るには、Automatic Version Monitoring チェックボックスをオンにします。 メモ : 安全の確保のために、この自動サービスを有効にすることを強く推奨しますが、 必要に応じて無効にできます。 3. エンドユーザー インターフェースに表示される言語を指定するには、End-user Localization ドロップダウン リストを使用します(オプション)。言語を指定しな い場合は、エンドユーザー インターフェースはブラウザの設定に基づいて表示さ れます。 4. Save Changes をクリックします。 Installers タブ Installers タブには、ダウンロード可能なアプリケーションやサービスが表示されます。 アプリケーションまたはサービスは、Windows の実行ファイルとしてダウンロードでき ます。これにより、次のことが可能になります。 Active Directory や SMS など、ソフトウェア配布ツールを使用して、クライアント マ シンへファイルを配布すること。このオプションにより、アプリケーションやサービ スをインストールするために必要な管理者権限をユーザーが持っていない場合でも、 クライアント マシンのアプリケーションまたはサービスが有効になります。 実行ファイルをセキュア リポジトリに転送して、適切な権限を持つユーザーが該当 するバージョンをダウンロードしてインストールできるようすること。 FTP サーバーからインストーラの適切なバージョンを自動的に検索するスクリプトを ダウンロードし、実行します。 System ページの設定 335 Juniper Networks NetScreen Secure Access 700 管理ガイド これらのオプションを使用すれば、クライアント マシンで実行するアプリケーションま たはサービスのバージョンをコントロールできます。 アプリケーションまたはサービスをダウンロードする Installers ページには以下のコントロールが含まれます。 Juniper Installer Service - 管理者権限がなくても、クライアントサイド アプリケー ションのダウンロード、インストール、アップグレード、実行が可能になります。こ れらのタスクを実行するには管理者権限が必要なので、Juniper Installer Service は、 クライアントのローカル システム アカウント(システムへの完全アクセス権を持つ 強力なアカウント)の下で実行し、Windows の サービス コントロール マネージャ (SCM)に登録します。ユーザーの Web ブラウザ内で実行されている ActiveX コント ロールや Java アプレットは、IVE とクライアント システム間の安全なチャンネルを 通じて、実行されるインストール処理の詳細を通信します。 メモ : Juniper インストーラ サービスをクライアント システムにインストールする場合 は、次の事項に注意してください。 Juniper インストーラ サービスのインストールには管理者権限が必要です。 Juniper インストーラ サービスをインストールする前に、クライアント システムに Microsoft Windows インストーラが存在することを確認します。 Juniper インストーラ サービスは Microsoft Windows インストーラを使用するた め、SMS やインストール ラッパーなどの自動化されたプッシュ システムを活用 できます。 サービスは、インストール時とクライアント システム起動時に自動的に開始され ます。 このサービスは、サービス(ローカル)リストに、Neoteris Setup Service という名 前で表示されます。 Host Checker - IVE に接続しているホストでエンドポイントのセキュリティ チェッ クを実行するクライアントサイドのエージェントです。 メモ : Host Checker を配布する場合は、Signing In > End Point > Host Checker ページ (184 ページの「Host Checker の一般的なオプションを指定する」を参照)で Autoupgrade Host Checker オプションを必ずオフにしてください。これを行わないと、IVE は、配布するバージョンとは異なるバージョンの Host Checker アプリケーションをユー ザーのマシンにダウンロードする場合があります。 Network Connect - このオプションは、クライアントレスの VPN を提供し、IVE を使用した企業内リソースへの追加的なリモート アクセス メカニズムとして機 能します。 アプリケーションまたはサービスをダウンロードするには、次の操作を実行します。 336 System ページの設定 1. Web コンソールで、Maintenance > System > Installers を選択します。 2. ダウンロードするアプリケーションやサービスの右にある Download リンクをク リックします。File Download ダイアログ ボックスが表示されます。 3. File Download ダイアログ ボックスの Save ボタンをクリックします。Save As ダイア ログ ボックスが表示されます。 Juniper Networks NetScreen Secure Access 700 管理ガイド 4. Save As ダイアログ ボックスで適切な場所を選択します。 5. Save As ダイアログ ボックスの Save ボタンをクリックします。 System ページの設定 337 Juniper Networks NetScreen Secure Access 700 管理ガイド Import/Export ページの設定 Import/Export ページには、次のタブがあります。 338 ページの「Configuration タブ」- システムとネットワークの設定を持った IVE 設 定ファイルをエクスポートまたはインポートするには、このタブを使用します。 339 ページの「User Accounts タブ」- ローカル ユーザー アカウントをエクスポート またはインポートするには、このタブを使用します。 340 ページの「XML Import/Export タブ」- システム設定を持った XML ファイルをイ ンポートまたはエクスポートするには、このタブを使用します。 343 ページの「XML Import/Export の使用例」- これらの使用例を交えながら、XML Import/Export の使用法について詳しく説明します。 Configuration タブ システムとネットワークの設定を持った IVE 設定ファイルをエクスポートまたはインポー トするには、113 ページの「IVE 設定ファイルのインポートとエクスポート」の説明に 従って、このタブを使用します。 メモ : リソース ポリシーをエクスポートする場合は、ユーザー アカウントをエクス ポートします。詳細については、339 ページの「User Accounts タブ」を参照してく ださい。 システム設定ファイルのエクスポート システム設定ファイルをエクスポートするには、次の操作を実行します。 1. Web コンソールで、Maintenance > Import/Export > Configuration を選択します。 2. 設定ファイルをパスワードで保護する場合は、Export でパスワードを入力します。 3. Save Config As をクリックしてファイルを保存します。 システム設定ファイルのインポート システム 設定ファイルをインポートするには、次の操作を実行します。 338 Import/Export ページの設定 1. Web コンソールで、Maintenance > Import/Export > Configuration を選択します。 2. IVE サーバー証明書をインポートするかどうかを指定します。Import IVE Certificate(s)? のチェックボックスをオンにしない限り、証明書はインポートされま せん。 3. 次のインポート オプションのいずれかを選択します。 Import everything (except IVE Certificate(s)) - IVE サーバー証明書以外のすべ ての設定がインポートされます。 Import everything but the IP address - IP アドレスのみを除外して設定ファイ ルをインポートします。IP アドレスを除外すると、ファイルをインポートしても サーバーの IP アドレスは変わりません。このオプションを選択すると、定義さ れた SNMP 設定もインポートされます。 Juniper Networks NetScreen Secure Access 700 管理ガイド Import everything except network settings - ネットワーク設定以外のすべての 設定がインポートされます。ネットワーク設定を除外すると、ファイルをイン ポートしても、System > Network ページの情報(内部ポート、外部ポート、静 的ルート設定)は変わりません。このオプションを選択すると、定義された SNMP 設定はインポートされません。 Import only Server Certificate(s) - IVE サーバー証明書のみをインポートしま す。このオプションを指定する場合は、必ず Import IVE Certificate(s)? チェック ボックスをオンにしてください。 4. 設定ファイルを参照します。設定ファイルにはデフォルトで system.cfg という名前 が付けられています。 5. 設定ファイルに指定したパスワードを入力します。ファイルをエクスポートする前に パスワードを指定しなかった場合は、空白のままにしておきます。 6. Import Config User Accounts タブ ローカル ユーザー アカウントとリソース ポリシーをエクスポートまたはインポートする には、113 ページの「IVE 設定ファイルのインポートとエクスポート」の説明に従って、 このタブを使用します。 ローカル ユーザー アカウントまたはリソース ポリシーのエクスポート ローカル ユーザー アカウントまたはリソース ポリシーをエクスポートするには、次の操 作を実行します。 1. Web コンソールで、Maintenance > Import/Export > User Accounts を選択します。 2. 設定ファイルをパスワードで保護する場合は、Export でパスワードを入力します。 3. Save Config As をクリックしてファイルを保存します。 ローカル ユーザー アカウントまたはリソース ポリシーのインポート ローカル ユーザー アカウントまたはリソース ポリシーをインポートするには、次の操作 を実行します。 1. Web コンソールで、Maintenance > Import/Export > User Accounts を選択します。 2. 設定ファイルにはデフォルトで user.cfg という名前が付けられています。 3. 設定ファイルに指定したパスワードを入力します。ファイルをエクスポートする前に パスワードを指定しなかった場合は、空白のままにしておきます。 4. Import Config をクリックします。 Import/Export ページの設定 339 Juniper Networks NetScreen Secure Access 700 管理ガイド XML Import/Export タブ Maintenance> Import/Export > XML Import/Export ページでは、113 ページの「XML 設定ファイルのインポートとエクスポート」の説明に従って、IVE から選択した設定を格 納している XML 設定ファイルをエクスポートして、それらの設定を同じまたは別の IVE にインポートできます。 XML 設定データのエクスポート XML 設定データをエクスポートするには、次の操作を実行します。 1. Web コンソールで、Maintenance > Import/Export > XML Import/Export > Export を選択します。 2. Schema Files で、リンクをクリックして IVE オブジェクト(オプション)を記述し た XML スキーマ(.xsd)ファイルをダウンロードします。スキーマ ファイルの詳 細については、123 ページの「スキーマ ファイルのダウンロード」を参照してくだ さい。 3. ページで指定したすべての設定をエクスポートするには、Select All ボタンをク リックします。それ以外の場合は、エクスポートする特定の情報を次のように選 択します。 内部ポート設定、外部ポート設定、ライセンス情報を含むネットワーク設定をエ クスポートするには、Export Network Settings and Licenses チェックボックス をオンにします。 メモ : 以下の規則は、エクスポートおよびインポートされたライセンスに適用さ れます。 エクスポートされたライセンス データは暗号化されているため、編集することはで きません。 ライセンスの XML インポートは、ライセンスをインポートするマシンに現時点で ライセンスがインストールされていない場合にのみ有効となります。すでにライセ ンスがインストールされていると、インポートされたライセンスはすべて破棄され ます。それでもライセンスをインポートしたい場合は、IVE に対して出荷時リセッ トを行ってからインポート作業を実行してください。 一時ライセンスを IVE から消去した後にライセンスをインポートした場合、イン ポートされたライセンスは破棄されます。これは、削除したライセンスを復元する 可能性があり、インポート処理が現在 IVE にあるすべてのライセンス データを保存 しようとするためです。 サインイン URL、標準サインイン ページ、認証サーバーをエクスポートするに は、Sign-in Settings チェックボックスをオンにします。 Sign-in URLs で、次のオプションのいずれかを選択します。 340 Import/Export ページの設定 すべてのサインイン URL をエクスポートするには、ALL sign-in URLs を選 択します。 一部の URL のみをエクスポートする場合は、SELECTED sign-in URLs を選 択し、Available Sign-in URLs リストから URL を選択して、Add をクリック します。 Juniper Networks NetScreen Secure Access 700 管理ガイド Sign-in Pages で、次のオプションのいずれかを選択します。 すべてのサインイン ページをエクスポートするには、ALL Pages を選択 します。 エクスポートするページを、選択したサインイン URL に有効なページに限 定するには、ONLY pages used by URLs selected above を選択します。 一部のページのみをエクスポートする場合は、SELECTED pages... を選択 し、Available Pages リストからページを選択して、Add をクリックします。 Authentication servers で、次のオプションのいずれかを選択します。 すべての認証サーバーをエクスポートするには、ALL auth servers を選択し ます。 一部のサーバーのみをエクスポートする場合は、SELECTED auth servers... を選択し、Available Servers リストからサーバーを選択して、Add をクリッ クします。 認証領域をエクスポートするには、Export Authentication Realms のチェック ボックスをオンにします。 Administrator Realms で、次のオプションのいずれかを選択します。 すべての管理者領域をエクスポートするには、ALL admin realms を選択し ます。 一部の領域のみをエクスポートする場合は、SELECTED admin realms... を選択し、Available Realms リストから領域を選択して、Add をクリッ クします。 User Realms で、次のオプションのいずれかを選択します。 すべてのユーザー領域をエクスポートするには、ALL user realms を選択し ます。 一部の領域のみをエクスポートする場合は、SELECTED user realms... を 選択し、Available Realms リストから領域を選択して、Add をクリック します。 ロール マッピング規則をエクスポートするには、Export Roles を選択します。 Delegated Admin Roles で、次のオプションのいずれかを選択します。 すべての認証領域からロール マッピング規則をエクスポートするには、ALL delegated admin roles を選択します。 一部のロールのみをエクスポートする場合は、SELECTED delegated admin roles... を選択し、Available Roles リストからロールを選択して、Add をク リックします。 Import/Export ページの設定 341 Juniper Networks NetScreen Secure Access 700 管理ガイド User Roles で、次のオプションのいずれかを選択します。 すべてのローカル ユーザー ロールをエクスポートするには、ALL user roles を選択します。 選択したユーザー ロールをエクスポートする場合は、SELECTED user roles... を選択し、Available Roles リストからロールを選択して、Add をク リックします。 リソース ポリシーをエクスポートするには、Export Resource Policies のチェッ クボックスをオンにします。次に、エクスポートするリソース ポリシーのタイプ (アクセス コントロール ポリシーなど)に対応するチェックボックスをオンにし ます。 すべてのローカル ユーザー アカウントをエクスポートするには、Export Local User Accounts チェックボックスを選択します。続いて、次のオプションのいず れかを選択します。 すべてのローカル認証サーバーからすべてのローカル ユーザー アカウント をエクスポートするには、From ALL local auth servers を選択します。 一部の認証サーバーのみからローカル ユーザーをエクスポートする場合は、 From SELECTED local auth servers... を選択し、Available Servers リストか らサーバーを選択して、Add をクリックします。 Log/Monitoring のチェックボックスをオンにして、ログ / モニタリング データ の一部をエクスポートします。 4. SNMP を選択して、トラップ設定および制限を含む SNMP データをエクス ポートします。 Export... をクリックしてこの情報を XML ファイルに保存します。 XML 設定データのインポート XML 設定データをインポートするには、次の操作を実行します。 342 Import/Export ページの設定 1. Web コンソールで、Maintenance > Import/Export > XML Import/Export > Import を選択します。 2. Schema Files で、リンクをクリックして IVE オブジェクト(オプション)を記述し た XML スキーマ(.xsd)ファイルをダウンロードします。スキーマ ファイルの詳 細については、123 ページの「スキーマ ファイルのダウンロード」を参照してくだ さい。 3. インポートする XML データ ファイルを参照して選択します。一部の設定のみをイン ポートしたい場合は、有効な XML 断片ファイルをインポートできます。 4. 次の操作により、Import mode を選択します。 Juniper Networks NetScreen Secure Access 700 管理ガイド Full Import (追加、更新、削除)- インポートした XML ファイルに現れる新し いデータ要素を、IVE 設定に追加し、インポートした XML ファイルで値が変更 された既存の要素を更新し、インポートした XML ファイルで定義されていない 既存の要素を削除します。 メモ : 注意 : Full Import モードの使用は、危険性のある操作です。注意深く行わない と、IVE 設定の多くの部分やすべてを削除していまうことがあります。Full Import に設 定すると、IVE は IVE アプライアンス上の設定をインスタンス ファイルにあるもので置 き換えます。インスタンス ファイルで定義されていないものは、IVE アプライアンスか ら削除されます。 5. Standard Import (追加、更新)- インポートした XML ファイルに現れる新し いデータ要素を、IVE 設定に追加し、インポートした XML ファイルで値が変更 された既存の要素を更新します。要素は削除されません。 Quick Import (追加)- インポートした XML ファイルに現れる新しいデータ要 素を、IVE 設定に追加します。既存の要素への変更は無視されます。 Import をクリックします。Import XML Results ページに、インポートされたネット ワーク設定、ロールおよびリソース ポリシーについての情報が表示されます。 XML にエラーがあった場合は、インポート処理は停止し、設定は以前の状態に戻さ れます。Import XML Results ページにはエラー メッセージが表示されます。 6. OK をクリックして、Import ページに戻ります。 XML Import/Export の使用例 次の使用例では、XML Import/Export 機能を使用できる一般的な例を説明しています。各 使用例は、簡単な説明と、使用例を完成する手順により構成されています。これらの使用 例は簡略化されており、全手順を実行するための複雑な部分や詳細は説明していません。 使用例には、XML Import/Export 機能の考えられる使用法の説明だけが含まれています。 使用例: 複数の新規ユーザーを IVE に追加する あなたは、新しい IVE アプライアンスをネットワークに追加したところであり、2,000 人 のユーザーをそのシステムに追加したいと考えています。IVE の Web コンソールに、これ らのユーザーを一度に 1 人ずつ追加するのではなく、集団インポートを行って、ユー ザーが初めてシステムにログインしたときに、各自のパスワードをユーザー自身に変更さ せたいと考えています。あなたはユーザー アカウントをエクスポートし、ユーザーを定義 する適切な XML を抽出して、必要に応じて各要素を複製し、それらを IVE にインポート できます。 この手順では、User 1、User 2、および User 2000 の例のみが示されています。その他す べてのユーザーは、インポート ファイルに含まれているものとします。パスワードを、語 句のパスワードの番号付きインスタンス(password1、password2 など)として設定しま す。この例のすべてのユーザーは同じ認証サーバーに割り当てられますが、システムで有 効な認証サーバーであれば、それらの任意の組み合わせを指定できます。 複数の新規ユーザーの IVE への追加 1. Web コンソールで、Maintenance > Import/Export > Export XML を選択します。 2. 340 ページの「XML 設定データのエクスポート」の説明に従って、ローカル ユー ザー アカウントをエクスポートします。 3. エクスポートしたファイルを users.xml として保存します。 Import/Export ページの設定 343 Juniper Networks NetScreen Secure Access 700 管理ガイド 4. users.xml ファイルを開きます。 5. 必要な数のユーザーを追加するまで、User container 要素をコピー & ペーストしま す。例では 3 人の新規ユーザーのみが示されていますが、数百人の新規ユーザーを ファイルに追加できます。 6. 次の例に示すように、各 User container 要素内の該当するデータを更新します。 メモ : 次の例のフォーマットは、読みやすくするために、元の状態を変更しています。実 際の XML コードは異なっている場合があります。 PasswordFormat を Plaintext に設定する必要があります。これを行わないと、IVE はデフォルトの Encrypted であると見なします。 <?xml version="1.0" encoding="UTF-8" standalone="no"?> <IVE xmlns="http://xml.juniper.net/iveos/5.0R1/ive"> <AAA xmlns:aaa="http://xml.juniper.net/iveos/5.0R1/aaa"> <aaa:Users> <aaa:User> <aaa:AuthServerName>System Local</aaa:AuthServerName> <aaa:Email>user1@company.com</aaa:Email> <aaa:FullName>User1</aaa:FullName> <aaa:LoginName>user1</aaa:LoginName> <aaa:Password PasswordFormat="Plaintext">password1 </aaa:Password> <aaa:ChangePasswordAtNextLogin>true </aaa:ChangePasswordAtNextLogin> </aaa:User> <aaa:User> <aaa:AuthServerName>System Local</aaa:AuthServerName> <aaa:Email>user2@company.com</aaa:Email> <aaa:FullName>User2</aaa:FullName> <aaa:LoginName>user2</aaa:LoginName> <aaa:Password PasswordFormat="Plaintext">password2 </aaa:Password> <aaa:ChangePasswordAtNextLogin>true </aaa:ChangePasswordAtNextLogin> </aaa:User> <aaa:User> <aaa:AuthServerName>System Local</aaa:AuthServerName> <aaa:Email>user2000@company.com</aaa:Email> <aaa:FullName>User 2000</aaa:FullName> <aaa:LoginName>user2000</aaa:LoginName> <aaa:Password PasswordFormat="Plaintext">password2000 </aaa:Password> <aaa:ChangePasswordAtNextLogin>true </aaa:ChangePasswordAtNextLogin> </aaa:User> </aaa:Users> </AAA> <SYS xmlns:sys="http://xml.juniper.net/iveos/5.0R1/sys"/> 344 Import/Export ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド </IVE> 7. users.xml ファイルを保存します。 8. Web コンソールで、Maintenance > Import/Export > Import XML を選択します。 9. Standard Import または Quick Import のいずれかを選択します。 10. 342 ページの「XML 設定データのインポート」の説明に従って、ファイルをイン ポートします。 使用例: ポリシーの更新 すべての ActiveX を変更して、ポリシーを RewriteURLResponseForDynamicStaticHTML の アクションから別のアクションに変更したいとします。ただし、Web コンソールで個々の ポリシーを入力したくはありません。その場合は、インスタンス ファイルをエクスポート して、変更を行い、そのファイルを IVE インポートし直すことができます。 IVE でポリシーを更新するには Web コンソールで、Maintenance > Import/Export > Export XML を選択します。 1. 340 ページの「XML 設定データのエクスポート」の説明に従って、ローカル ユー ザー アカウントをエクスポートします。 2. エクスポートしたファイルを policy.xml として保存します。 3. エクスポートしたファイルを開きます。 4. テキスト エディタまたは XML エディタを使用して、システムの policy.xsd スキーマ ファイルを開きます。スキーマ ファイルで、 RewriteURLResponseForDynamicStaticHTML というアクションの値を検索します。 ActiveXActionType のスキーマ定義には、次の例に示すように、現在のポリシーのア クション値とともに、その他の可能な値が含まれています。 <xs:simpleType name="ActiveXActionType"> <xs:restriction base="xs:token"> <xs:enumeration value="RewriteURLResponseForStaticHTML"/> <xs:enumeration value="RewriteURLResponseForDynamicStaticHTML"/> <xs:enumeration value="RewriteURLForStaticHTML"/> <xs:enumeration value="RewriteURLForDynamicStaticHTML"/> <xs:enumeration value="RewriteHostForStaticHTML"/> <xs:enumeration value="RewriteHostForDynamicStaticHTML"/> <xs:enumeration value="DoNotRewrite"/> </xs:restriction> </xs:simpleType> 5. エクスポートした policy.xml ファイルで、RewriteURLResponseForDynamicStaticHTML を検索して、RewriteURLForDynamicStaticHTML というアクション値に置き換えます。 メモ : 次の例には、実際の policy.xml ファイルの一部のみが示されています。また、 フォーマットは、読みやすくするために、元の状態を変更しています。実際の XML コー ドは異なっている場合があります。 <!-- DO NOT MODIFY OR DELETE THE FIRST THREE LINES --> <IVE xmlns="http://xml.juniper.net/iveos/5.0R1/ive"> Import/Export ページの設定 345 Juniper Networks NetScreen Secure Access 700 管理ガイド <AAA xmlns:aaa="http://xml.juniper.net/iveos/5.0R1/aaa"> <aaa:ResourcePolicyList> <aaa:WebActiveXRewritingPolicyList> <aaa:ActiveXRewritingPolicy> <aaa:ParameterList> <aaa:Parameter> <aaa:Name>URL</aaa:Name> <!-- Change the following data --> <aaa:Action>RewriteURLResponseForDynamicStaticHTML </aaa:Action> </aaa:Parameter> </aaa:ParameterList> <aaa:Description>OrgPlus Orgviewer</aaa:Description> <aaa:ClassID>DCB98BE9-88EE-4AD0-9790-2B169E8D5BBB </aaa:ClassID> </aaa:ActiveXRewritingPolicy> </aaa:ResourcePolicyList> <!-- DO NOT MODIFY OR DELETE THE LAST THREE LINES --> </AAA> <SYS xmlns:sys="http://xml.juniper.net/iveos/5.0R1/sys"/> </IVE> 6. policy.xml ファイルを保存します。 7. Web コンソールで、Maintenance > Import/Export > Import XML を選択します。 8. Standard Import を選択します。このインポート モードを選択すると、XML インスタ ンス ファイルで変更された IVE のデータを更新できます。 9. 342 ページの「XML 設定データのインポート」の説明に従って、ファイルをイン ポートします。 使用例: IVE からのユーザーの削除 会社に在籍していないユーザーを毎月 IVE から削除するとします。大規模な組織に勤務し ていると、毎月数十人から数百人のユーザーを削除しなければならない場合があります。 これは煩雑な作業であり、あなたはこのタスクを簡単に行う方法を見つけたいと思うで しょう。 メモ : 注意 : Full Import モードの使用は、危険性のある操作です。注意深く行わない と、IVE 設定の多くの部分やすべてを削除していまうことがあります。Full Import に設 定すると、IVE は IVE アプライアンス上の設定をインスタンス ファイルにあるもので置 き換えます。インスタンス ファイルで定義されていないものは、IVE アプライアンスか ら削除されます。 IVE からユーザーを削除するには 346 Import/Export ページの設定 1. Web コンソールで、Maintenance > Import/Export > Export XML を選択します。 2. 340 ページの「XML 設定データのエクスポート」の説明に従って、ローカル ユー ザー アカウントをエクスポートします。 3. エクスポートしたファイルを remusers.xml として保存します。 4. remusers.xml ファイルを開きます。 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. 削除したいユーザーのリストがある場合は、そのファイルで各ユーザー名を検索し、 そのユーザー名を格納する User container 要素全体を削除します。次の例では、User container と子要素が示されています。 <aaa:User> <aaa:AuthServerName>System Local</aaa:AuthServerName> <aaa:Email>deleteuser@company.com</aaa:Email> <aaa:FullName>DeleteUser</aaa:FullName> <aaa:LoginName>deleteuser</aaa:LoginName> <aaa:Password PasswordFormat="Encrypted">oU63QjnZCgABAAAA91aVaD </aaa:Password> <aaa:ChangePasswordAtNextLogin>false </aaa:ChangePasswordAtNextLogin> </aaa:User> メモ : XML ファイルでは絶対にパスワードを手動で暗号化しないでください。IVE は、 そうしようとしても拒否します。プレーン テキストの PasswordFormat を使用し、XML ファイルを介してパスワードを変更する際はプレーン テキストのパスワードを入力して ください。 6. remusers.xml ファイルを保存します。 7. Web コンソールで、Maintenance > Import/Export > Import XML を選択します。 8. Full Import を選択します。このインポート モードにより、IVE のすべてのユーザー データを、XML インスタンス ファイルのユーザー データで置き換えます。 9. 342 ページの「XML 設定データのインポート」の説明に従って、ファイルをイン ポートします。 使用例: クラスタ環境での XML Import/Export の使用 XML Import/Export 機能をクラスタ環境で使用できます。ただし、いくつかの規則に従う 必要があり、特定の手順に従って操作を正しく完了する必要があります。 インポートする XML インスタンスは、元のクラスタと同じノード セットを含んでい る必要があります。ノードが再有効化されるときにクラスタの同期に使用する署名 は、クラスタ ノードの IP アドレスから抽出されるため、インポートした設定が異な る署名を生成すると、残りのノードはクラスタを再結合できなくなります。 インスタンス ファイル内のノード名、IP アドレス、または IP ネットマスクは変更し ないでください。 Full Import モードは使用しないでください。Standard Import モードのみを使用して ください。 インスタンス ファイルのネットワーク設定を変更しないでください。変更すると、1 次ノードに到達できなくなります。たとえば、マルチサイト クラスタのデフォルトの ゲートウェイ設定を変更しないでください。 インポートでは、インスタンス ファイルは、残りのノードのノード固有のクラスタ 構成のネットワーク設定を上書きします。これらのノード固有のネットワーク設定を 変更する場合は、必ず残りのノードが到達不可能にならないようにしてください。 Import/Export ページの設定 347 Juniper Networks NetScreen Secure Access 700 管理ガイド クラスタ環境で XML Import/Export を使用するには 348 Import/Export ページの設定 1. System > Clustering > Status ページで、1 次 IVE からその他のクラスタ ノードを無 効にします。 2. Maintenance > Import/Export > Export XML により XML インスタンスをエクス ポートします。 3. 116 ページの「XML インスタンスの作成と修正」の指示に従って、XML インスタン スを変更します。 4. 113 ページの「XML 設定ファイルのインポートとエクスポート」の指示に従って、 XML インスタンスをインポートします。 5. Web コンソールの System > Clustering > Status ページで、クラスタ ノードを有効 にします。 Juniper Networks NetScreen Secure Access 700 管理ガイド Archiving ページの設定 Archiving ページには、次のタブがあります。 349 ページの「FTP Server タブ」- 外部 FTP または SCP サーバーにシステム データ をアーカイブするスケジューリングには、このタブを使用します。 FTP Server タブ このタブの使用による、外部 FTP または SCP サーバーへのシステム データのアーカイブ スケジューリングは、112 ページの「IVE 設定ファイルをアーカイブする」で説明してい ます。 外部 FTP または SCP サーバーへのシステム データのアーカイブ スケジューリング アーカイブ パラメータを指定するには、次の操作を実行します。 1. Web コンソールで、Maintenance > Archiving > FTP Server を選択します。 2. Archive Settings で、送信先サーバー、ディレクトリ、およびそのサーバーの証明書 を指定します。juniper/log のような送信先ディレクトリのドライブ指定を組み込ま ないでください。 UNIX コンピュータの場合には、ユーザーのホーム ディレクトリに応じて、絶対 パスまたは相対パスを指定できますが、フル パスの使用を推奨します。 Windows コンピュータの場合には、 ftproot フォルダの相対パスを指定します。 フォルダのフル パスの使用を推奨します。 3. Method で、SCP または FTP を指定します。SCP はデフォルトのメソッドです。 4. Archive Schedule で、アーカイブの対象となる 1 または複数のコンポーネントを指 定します。各コンポーネントの対応するチェックボックスをオンにしてください。 5. Archive events log (詳細については、110 ページの「ログと監視の概要」を 参照)。 Archive user access log (詳細については、110 ページの「ログと監視の概要」 を参照)。 Archive admin access log (詳細については、110 ページの「ログと監視の概要」 を参照)。 Archive NC packet log (詳細については、110 ページの「ログと監視の概要」を 参照)。 Archive system configuration (詳細については、338 ページの「Configuration タブ」を参照)。 Archive user accounts (詳細については、339 ページの「User Accounts タブ」 を参照)。 Save Changes をクリックします。 Archiving ページの設定 349 Juniper Networks NetScreen Secure Access 700 管理ガイド Troubleshooting ページの設定 Troubleshooting ページには、次のタブがあります。 350 ページの「User Sessions タブ」- ユーザー セッションをシミュレーションし、 ポリシー トレース ファイルを記録するユーザー セッション オプションを指定するに は、このタブを使用します。 352 ページの「Session Recording タブ」- デバッグ用のトレース ファイルを記録する には、このタブを使用します。 353 ページの「System Snapshot タブ」- IVE システムの状態のスナップショットを 作成するには、このタブを使用します。 354 ページの「TCP Dump タブ」- ネットワーク パケット ヘッダをスニッフィング するには、このタブを使用します。 355 ページの「Commands タブ」- ARP、PING、traceroute、または nslookup コマンドを実行するには、このタブを使用します。 356 ページの「Remote Debugging タブ」- Juniper Networks Support のリモート デ バッグを有効にするには、このタブを使用します。 356 ページの「Debug Log タブ」- デバッグ ログを有効にするには、このタブを使用 します。 User Sessions タブ Policy Tracing タブ このタブを使用すると、ユーザーが領域にサインインしたときにイベントをトレースし て、問題のトラブルシューティングを行うことができます。 ポリシー トレース ファイルの記録 ユーザーが自分のロールで使用を認められている機能にアクセスしたときに問題が発生し た場合には、このタブを使用します。ポリシー トレース ファイルに記録されたイベント が、この問題を診断する際に役立ちます。ユーザー アクセス ログは、Events to Log で チェックしたポリシーについてのみ表示されることに注意してください。 ポリシー トレース ファイルを作成するには、次の操作を実行します。 350 1. Web コンソールで、Maintenance > Troubleshooting > User Sessions > Policy Tracing を選択します。 2. User フィールドに、トレースする IVE ユーザーの名前を入力します。ユーザー名に はワイルドカード文字(*)を使用できます。たとえば、ユーザーが匿名サーバーに サインインしている場合は、IVE がユーザーに割り当てる内部的なユーザー名がわか りません。そのような場合に、ワイルドカード文字(*)を使用できます。 3. Realm フィールドで、ユーザーの領域を選択します。この場合、IVE では匿名認証 サーバーに割り当てられる領域を選択できません。 4. Events to log で、ポリシー トレース ログ ファイルに書き込むイベントの種類を選択 します。 Troubleshooting ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 5. Start Recording をクリックします。記録を開始したら、ユーザーに IVE にサインイン するように要求します。 6. View Log をクリックしてログ エントリを確認します。 7. 十分な情報を取得したら Stop Recording をクリックします。 8. ログ ファイルのメッセージを確認し、予期しない動作が発生した原因を特定します。 問題を特定できない場合は、Save Log As をクリックしてログ ファイルのコピーを ネットワーク上に保存します。次に、確認のためファイルを Juniper Networks サポー トに送信します。 9. ログ ファイルの内容をクリアするには、Clear Log をクリックするか、Delete Trace をクリックしてユーザー名および領域フィールドからデフォルト エントリを削除し ます。 Simulation タブ このタブを使用すると、問題を発生させるイベントのシミュレーションが可能になり、問 題のトラブルシューティングを行うことができます。 ユーザー セッションのシミュレーション ユーザー セッションをシミュレーションするには、次の操作を実行します。 1. Web コンソールで Maintenance > Troubleshooting > User Sessions> Simulation を 選択します。 2. Query Name フィールドに、クエリー名を入力します。 3. Username フィールドに、シミュレーションする IVE ユーザーのユーザー名を入力し ます。ユーザー名にはワイルドカード文字(*)を使用できます。たとえば、ユー ザーが匿名サーバーにサインインしている場合は、IVE がユーザーに割り当てる内部 的なユーザー名がわかりません。そのような場合に、ワイルドカード文字(*)を使 用できます。 4. Realm ドロップ ダウン メニューから、シミュレーションする IVE ユーザーの領域を 選択します。 5. IVE が特定タイプのリソース ポリシーをユーザーのセッションに適用するかどうかを 判別するには、Resource フィールドにシミュレーションしたい特定のリソースを入 力して、Resource ドロップダウン リストからポリシー タイプを選択します。次に以 下の操作を実行します。 ユーザーが IVE に正常にサインインしたかどうかを判別するには、 Pre-Authentication チェックボックスをオンにします。 ユーザーが特定のロールに正常にマップされたかどうかを判別するには、Role Mapping チェックボックスを選択します。このオプションは、ロール マッピン グの結果がシミュレーション ログに記録されるかどうかは制御しますが、IVE が ロール マッピング規則を実行するかどうかは制御しないことに注意してくださ い。このチェックボックスを選択しなくても、IVE は常にロール マッピング規則 を実行します。 Events to Log セッションのチェックボックスを使用して、ログに記録するポリ シー タイプを指定します。 Troubleshooting ページの設定 351 Juniper Networks NetScreen Secure Access 700 管理ガイド たとえば、ユーザーが Yahoo Web サイトにアクセスできるかどうかをテストする場 合は、Resource フィールドに “http://www.yahoo.com” と入力し、ドロップダウン リ ストから Web を選択します。次に、Events to Log セクションの Access チェック ボックスを選択します。 6. Variables セクションで、問題が発生した実際のユーザー セッションと全く同じ値を 反映するように、テキストと変数を組み合わせてカスタム式を作成します。たとえ ば、ユーザーが午前 6:00 に IVE にサインインするセッションを作成する場合は、 Variables フィールドに “time = 06:00 AM” と入力します。カスタム式の作成方法の 詳細は、367 ページの「カスタム式の記述」を参照してください。また、Variables Dictionary の横にある矢印をクリックすると、指定した変数の構文が表示されます。 メモ : 仮想ユーザーの IP アドレスを含んだカスタム式を作成できない場合は、IVE は現 在の IP アドレスを代わりに使用します。また、ロール変数を使用して仮想ユーザーの ロールを指定すると(たとえば、ロール = “Users” )、IVE はロール マッピング規則の 結果を無視し、指定したロールには仮想ユーザーが割り当てられることに注意してくだ さい。 7. 8. 以下のオプションのいずれかを選択します。 Run Simulation - 指定したシミュレーションを実行し、画面上にログ ファイル を表示します。 Save Query - クエリーを保存します。 Save Query and Run Simulation - 指定したシミュレーションを実行し、後で使 用するためにそのシミュレーションを保存します。 シミュレーションの実行後に、Save Log As を選択してシミュレーションの結果をテ キスト ファイルに保存します。 Session Recording タブ IVE により適切に表示されない Web サイトを閲覧する場合や、IVE により予定した動作を 行わないクライアント / サーバー アプリケーションに接続する場合に、ユーザーのアク ションをリストするトレース ファイルを記録するには、このタブを使用します。 デバッグ用のトレース ファイルの記録 トレース ファイルを記録するには、次の操作を実行します。 352 1. Web コンソールで、Maintenance > Troubleshooting > Session Recording を選択し ます。 2. セッションを記録したいユーザーのユーザー名を入力します。 3. ユーザーの Web セッションを記録するには、Web (DSRecord) チェックボックスを選 択します。次に問題の Web サイトのキャッシュされた内容を無視する場合は、 Ignore browser cache チェックボックスを選択します。これにより、IVE はトレース ファイルに記録しません(オプション)。 4. Java Communication Protocol および Network Communication Protocol クライアント / サーバー アプリケーション セッションを記録するには、Client/Server (JCP+NCP) チェックボックスを選択します(オプション)。 5. Start Recording をクリックします。IVE はユーザーをサインアウトさせます。 Troubleshooting ページの設定 Juniper Networks NetScreen Secure Access 700 管理ガイド 6. 再びサインインして、問題の Web サイトをブラウズするか、IVE からクライアント / サーバー アプリケーションに接続するようにユーザーに指示します。 7. Stop Recording をクリックします。 8. Current Trace File セクションからトレース ファイルをダウンロードします。 9. a. DSRecord Log リンクをクリックして Web トレース ファイルをダウンロードし ます。 b. JCP または NCP Client-Side Log リンクをクリックして、クライアント / サーバー アプリケーション トレース ファイルをダウンロードします。 確認のためにファイルを Juniper Networks サポートに送信します。 10. Delete ボタンを選択して、作成したトレース ファイルを削除します(オプション)。 System Snapshot タブ IVE システム状態のスナップショットを作成するには、このタブを使用します。スナップ ショットの詳細は、127 ページの「IVE システム状態のスナップショットを作成する」を 参照してください。 IVE システム状態のスナップショットの作成 IVE システム状態のスナップショットを作成するには、次の操作を実行します。 1. Web コンソールで、Maintenance > Troubleshooting > System Snapshot を選択し ます。 2. システム設定情報をスナップショットに含めるには、Include system config チェッ クボックスを選択します(オプション)。 3. Debug Log タブで作成したログ ファイルをシステム スナップショットに含めるには、 Include debug log チェックボックスを選択します。詳細については、356 ページの 「Debug Log タブ」を参照してください。 4. Take Snapshot をクリックします。 5. スナップショットの作成が完了したら、Download をクリックして、ネットワーク マシンにファイルをダウンロードします。 6. 確認のためにファイルを Juniper Networks サポートにメールで送信します。 7. 送信したら、Delete をクリックしてスナップショットを削除します。 メモ : システムのスナップショットはシリアル コンソールからも作成できます。この方 法は、Web コンソールに入ることができず、システム設定を保存する必要がある場合に 役立ちます。詳細については、365 ページの「共通のリカバリ タスクの実行」を参照し てください。 Troubleshooting ページの設定 353 Juniper Networks NetScreen Secure Access 700 管理ガイド TCP Dump タブ このタブを使用して、ネットワーク パケット ヘッダをスニッフィングし、結果を暗号化 された「ダンプ」ファイルに保存します。このファイルをいったんネットワーク マシン にダウンロードして、Juniper Networks サポートにメールで送信します。TCP Dump の使 用方法の詳細については、127 ページの「TCP ダンプ ファイルを作成する」を参照してく ださい。 ネットワーク パケット ヘッダのスニッフィング ネットワーク パケット ヘッダをスニッフィングするには、次の操作を実行します。 1. Web コンソールで、Maintenance > Troubleshooting > TCP Dump を選択します。 2. ネットワーク パケット ヘッダのスニッフィングを行う IVE ポートを選択します。 3. IVE 宛に送信されたパケットのみを対象にスニッフィングするには、Promiscuous mode をオフにします。 4. TCPDump Filter Expressions を使用してカスタム フィルタを作成します(オプショ ン)。このオプションは、生成されるダンプ ファイルに必要な情報のみが含まれるよ うにスニッフィング ネットワーク パケットをフィルタする能力を提供します。例に ついては、下記の 表 21 を参照してください。 5. Start Sniffing をクリックします。 6. Stop Sniffing をクリックしてスニッフィング プロセスを停止し、暗号化ファイルを 作成します。 7. Download をクリックして、ネットワーク マシンにファイルをダウンロードします。 8. 確認のためにファイルを Juniper Networks サポートにメールで送信します。 表 21: TCPDump フィルタ式の例 354 Troubleshooting ページの設定 例 結果 tcp port 80 TCP ポート 80 のパケットをスニッフィングし ます。 port 80 TCP または UDP ポート 80 のパケットをスニッ フィングします。 ip IP プロトコルをスニッフィングします。 tcp IP プロトコルをスニッフィングします。 dst #.#.#.# 指定された送信先 IP アドレスをスニッフィングし ます。ここで、#.#.#.# は有効な IP アドレスです。 src #.#.#.# 指定された送信元 IP アドレスをスニッフィングし ます。ここで、#.#.#.# は有効な IP アドレスです。 port 80 または port 443 ポート 80 または ポート 443 をスニッフィングし ます。 src #.#.#.# および dst #.#.#.# 送信元および送信先 IP アドレスまたは指定された ホストをスニッフィングします。各 #.#.#.# は有効 な IP アドレスを表示します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 21: TCPDump フィルタ式の例 ( 続き ) 例 結果 tcp port 80 または port 443 および dst #.#.#.# and src #.#.#.# この例は複数のパラメタを指定して、TCP のポー ト 80 上、もしくは TCP または UDP のポート 443 上、および送信先と送信元ポート上をスニッフィ ングするフィルタを作成します。各 #.#.#.# は有効 な IP アドレスを表示します。 TCPDump フィルタ式の詳細については、以下の Web サイトを参照してください。 http://www.tcpdump.org/tcpdump_man.html Commands タブ UNIX コマンドを実行して IVE ネットワークの接続をテストするには、このタブを使用し ます。 ARP、ping、または traceroute コマンドの実行 IVE ネットワークの接続をテストする UNIX コマンドを実行するには、次の操作を実行し ます。 1. Web コンソールで、Maintenance > Troubleshooting > Commands を選択します。 2. Command リストから、実行するコマンドを選択します。 3. Target Server フィールドに、対象サーバーの IP アドレスを入力します。 4. 他の引数またはオプションを入力します。 5. OK をクリックして、コマンドを実行します。 NSLookup コマンドの実行 NSLookup を実行してネーム サーバーの接続性をテストするには以下を行います。 1. Web コンソールで、Maintenance > Troubleshooting > Commands を選択します。 2. Command リストから、NSLookup を選択します。 3. ドロップダウンメニューから Query Type を選択します。 4. ホストネーム、IP アドレスといった情報(クエリータイプの選択によって異なる) をクエリーとして入力します。 5. DNS サーバー ネームまたは IP アドレスを入力します。 6. 他のオプションを入力します。 7. OK をクリックして、コマンドを実行します。 Troubleshooting ページの設定 355 Juniper Networks NetScreen Secure Access 700 管理ガイド Remote Debugging タブ Juniper Networks サポート チームが本番環境で稼動中の IVE でデバッグ ツールを実行で きるようにするには、このタブを使用します。 Juniper Networks サポートによるリモート デバッグを可能にする リモート デバッグを有効にするには、次の操作を実行します。 1. Juniper Networks サポートに連絡して、リモート デバッグ セッションを実行するた めの条件をセットアップします。 2. Web コンソールで、Maintenance > Troubleshooting > Remote Debugging を選択 します。 3. Juniper Networks サポートから取得したデバッグ コードを入力します。 4. Juniper Networks サポートから取得したホスト名を入力します。 5. Enable Debugging をクリックして、Juniper Networks サポート チームが IVE にアク セスできるように設定します。 6. IVE へのアクセスが可能になったことを Juniper Networks サポートに連絡します。 7. Juniper Networks サポートからリモート デバッグ セッションが終了したという通知 を受け取ったら、Disable Debugging をクリックします。 Debug Log タブ Juniper Networks サポートに送信するデバッグ ログを作成するには、Debug Log タブを使 用します。 デバッグ ログを有効にする デバッグ ログを有効にするには、次の操作を実行します。 356 1. Web コンソールで、Maintenance > Troubleshooting > Debug Log を選択します。 2. Debug Logging On チェックボックスを選択します。 3. Juniper Networks サポートから指定されたログ サイズ、詳細レベル、およびイベント コードを入力します。 4. Maintenance > Troubleshooting > System Snapshot タブを選択します。 5. Include debug log チェックボックスにチェックを入れます。 6. Take snapshot をクリックすると、デバッグ ログを含むファイルが作成されます。 7. Download をクリックします。 8. E メール メッセージにスナップショット ファイルを添付して、Juniper Networks サ ポートに送信します。 Troubleshooting ページの設定 第4部 追補情報 このセクションには、IVE の設定についての追加情報が含まれます。 目次 359 ページの「IVE シリアル コンソールの使用」 367 ページの「カスタム式の記述」 387 ページの「クライアント サイドのアプリケーション インストール」 397 ページの「アクセス管理制限の設定」 407 ページの「ユーザー エラー メッセージ」 357 Juniper Networks NetScreen Secure Access 700 管理ガイド 358 付録 A IVE シリアル コンソールの使用 このセクションでは、IVE アプライアンスのシリアル コンソールに接続し、サポートされ ているタスクを実行する方法について説明します。次のようなトピックがあります。 359 ページの「IVE アプライアンスのシリアル コンソールへの接続」 360 ページの「直前のシステム状態へのロールバック」 362 ページの「IVE アプライアンスを出荷時設定に戻す」 365 ページの「共通のリカバリ タスクの実行」 IVE アプライアンスのシリアル コンソールへの接続 IVE アプライアンスのシリアル コンソールを通じて作業を行うには、その前にターミナル コンソールまたはラップトップを接続する必要があります。 IVE アプライアンスのシリアル コンソールに接続するには、次の操作を実行します。 1. コンソール ターミナルまたはラップトップのヌル モデム クロスオーバー ケーブルを IVE アプライアンスに差し込みます。このケーブルは製品に同梱されています。スト レート シリアル ケーブルは使用しないでください。 2. HyperTerminal などのターミナル エミュレーション ユーティリティを、以下のシリ アル接続パラメータを使用するように設定します。 3. 9600 ビット / 秒 8 ビット、パリティなし(8N1) 1 ストップ ビット フロー制御なし IVE シリアル コンソールが表示されるまで、Enter キーを押します。 IVE アプライアンスのシリアル コンソールへの接続 359 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 35: IVE シリアル コンソール 直前のシステム状態へのロールバック IVE には、現在のシステム設定情報と以前の状態のシステム設定情報が格納されてい ます。 メモ : Web コンソールを通じて直前のシステム状態にロールバックすることもできま す。詳細については、334 ページの「Juniper ソフトウェア サービス パッケージのイン ストール」を参照してください。 Web コンソールによる前のシステム状態へのロールバック サーバー パッケージをアップグレードした後で以前の状態に戻すには、次の手順を実行 することをお勧めします。 360 1. 目的の状態データが格納されているエクスポート済みのシステム構成ファイルとユー ザー構成ファイルを探します。(この手順は、Web コンソールの Maintenance > Import/Export メニューでファイルをエクスポートし、システムとユーザー データを バックアップしておくことを前提とします) 2. Juniper サポート サイトから目的の IVE OS サービス パッケージをダウンロードしま す。http://www.juniper.net/support/ 3. Web コンソールの Maintenance > System > Upgrade/Downgrade メニューから、選 択した IVE OS サービス パッケージをインポートします。 4. ステップ 1 で指定したシステム構成ファイルとユーザー構成ファイルをインポート します。 直前のシステム状態へのロールバック Juniper Networks NetScreen Secure Access 700 管理ガイド シリアル コンソールによる前のシステム状態へのロールバック Web コンソールにアクセスできない場合は、シリアル コンソールに接続してシステムの ロールバックを実行し、以前のシステム状態を復元してください。 メモ : まだ IVE OS サービス パッケージのアップグレードを実行していない場合には、 ロールバック先の状態が存在しないため、このオプションは選択できません。以前に IVE OS サービス パッケージのアップグレードを実行した場合には、すべてのシステム およびユーザー アップグレード後に作成された設定データは、システムをロールバック する前に最新の構成ファイルをエクスポートして、そのあとインポートします。 直前の IVE OS サービス パッケージにロールバックするには、次の操作を実行します。 1. IVE アプライアンスのシリアル コンソールに接続します 。手順については、359 ページの「IVE アプライアンスのシリアル コンソールへの接続」を参照してくだ さい。 2. ブラウザのウィンドウで、Web コンソールにサインインします。 3. Maintenance > System > Platform を選択します。 4. Reboot Now をクリックして、コンソール ユーティリティ ウィンドウに戻りま す。ウィンドウに、システムが再起動中であることを知らせるメッセージが表示 されます。 5. 数分後に、Tab キーを押してオプションを選択するように求められます。Tab キーを 押し、設定をロードするように指示されたら、“rollback” と入力して Enter キーを押 します。 図 36: IVE シリアル コンソール Maintenance > System > Platform ページで Reboot Now をクリックすると、サーバー のロールバック ステータスが画面に出力され、これが完了すると Return (Enter)キー を押して、システム設定を変更するようにメッセージで指示が出ます。これにより最初の セットアップ オプションに戻れます。データの入力が済んだら、ユーティリティ ウィン ドウを閉じます。 直前のシステム状態へのロールバック 361 Juniper Networks NetScreen Secure Access 700 管理ガイド メモ : 5 秒以内に入力しないと、現在のシステム設定が自動的にロードされます。この 場合には、Web コンソールに戻り、Reboot Now をクリックして、この手順をやり直す 必要があります。すでにシステムのロールバックが済んでいる場合、再び IVE OS サービ ス パッケージのアップグレードを実行するまでは、ロールバック オプションは選択で きません。 IVE アプライアンスを出荷時設定に戻す ごくまれに、IVE アプライアンスを出荷時の状態に戻す必要が生じる場合があります。こ の高度なシステム リカバリ オプションを実行する前に、Juniper (http://www.juniper.net/support/) までご連絡ください。)可能であれば、出荷時リセッ トを実行する前に、最新のシステム設定データとユーザー設定データをエクスポートして ください。 出荷時リセットを行うには、次の操作を実行します。 1. シリアル コンソールに接続します 。手順については、359 ページの「IVE アプライア ンスのシリアル コンソールへの接続」を参照してください。 2. ブラウザのウィンドウで、Web コンソールにサインインします。 3. Maintenance > System > Platform を選択します。 4. Reboot IVE をクリックして、コンソール ユーティリティ ウィンドウに戻りま す。ウィンドウに、システムが再起動中であることを知らせるメッセージが表示 されます。 5. 数分後に、Tab キーを押してオプションを選択するように求められます。Tab キーを 押し、設定をロードするように指示されたら、“factory-reset” と入力して Enter キー を押します。 図 37: Maintenance > System > Platform ページで Reboot IVE をクリックした後の IVE 362 IVE アプライアンスを出荷時設定に戻す Juniper Networks NetScreen Secure Access 700 管理ガイド シリアル コンソール メモ : 5 秒以内に入力しないと、現在のシステム設定が自動的にロードされます。この 場合には、Web コンソールに戻り、Reboot Now をクリックして、この手順をやり直す 必要があります。 6. 出荷時リセットを実行するかどうか確認を求められたら、“proceed” と入力して Enter キーを押します。 図 38: 出荷時リセットを選択した後の IVE シリアル コンソール コンピュータを元の設定にリセットするプロセスが開始され、複数のデータ画面が表 示されます。数分後に、Tab キーを押して設定を選択するように求められます。 IVE アプライアンスを出荷時設定に戻す 363 Juniper Networks NetScreen Secure Access 700 管理ガイド 図 39: 出荷時リセットを実行した後の IVE シリアル コンソール 7. Tab キーを押すように求められたら、次のいずれかの操作を実行します。 デフォルトの選択(current)が自動的に開始されるまで待ちます。または Tab キーを押して、“current” と入力し、Enter キーを押します。 コンピュータの初期設定を入力するよう求められます。以降の手順の詳細について は、製品に付属の Getting Started Guide を参照してください。このガイドは、Juniper サポート サイト (http://www.juniper.net/support/)からも PDF 形式でダウンロー ドできます。 初期化プロセスが完了したら、最新の IVE OS サービス パッケージにアップグレード し、保存してあるシステム構成ファイルとユーザー構成ファイルをインポートすれ ば、以前の作業環境を復元することができます。 メモ : 初期設定中や工場出荷時のリセット中に IVE でエラーが発生する場合がありま す。IVE がサービスを開始する前に、最大 120 秒間ネットワーク ポートをモニターしま す。IVE はリンクのステータスを確認し、デフォルトのゲートウェイで ARPing を実行し ます。問題がある場合には、5 秒後に IVE がシリアル コンソールで NIC:..... で始まる メッセージを表示します。リンクが 120 秒以内に回復する場合には、起動プロセスが続 行します。リンクが回復しない場合には、次のメッセージが表示されます。 Internal NIC: ................[Down code=0x1] 2 つのコードが表示されます。 0x1 は、NIC がレポートしたインターフェース リンク ステータスが続行しているこ とを意味します(たとえば、ケーブルの接続が切れたか、ケーブルが間違ったポー トにある)。 364 0x2 はゲートウェイにアクセスできないことを意味します。IVE は再起動しますが、 そのネットワークポートに関連付けられた IP アドレスからはアクセスできません。 IVE アプライアンスを出荷時設定に戻す Juniper Networks NetScreen Secure Access 700 管理ガイド 共通のリカバリ タスクの実行 IVE 管理者ユーザー名またはパスワード(あるいはその両方)を忘れた場合、設定エラー のためにコンピュータからロックアウトされた場合、または IVE アプライアンスの IP ア ドレスを変更したためにコンピュータにアクセスできなくなった場合には、シリアル コ ンソールを通じてコンピュータ設定を変更できます。359 ページの「IVE アプライアンス のシリアル コンソールへの接続」の説明に従って手順を実行し、適切な設定タスクを選択 してください。 Network Settings and Tools -標準ネットワーク設定の変更、ルーティング テーブル の印刷、ARP キャッシュの印刷またはクリア、他のサーバーへの ping 送信、サー バーまでのルートのトレース、静的なルートの削除、ARP エントリの追加などを実 行できます。 Create admin username and password - 新規のスーパー管理者アカウントを作成す ることができます。 Display log - システム設定、ユーザー ログ、管理者アクセス ログを、シリアル コン ソールから表示できるようにします。ログを表示した後にシリアル コンソール オプ ションに戻るには “q” と入力する必要があります。 System Operations - Web コンソールを使用せずに IVE アプライアンスをリブート、 シャットダウン、再起動、ロールバック、工場出荷時リセットすることができます。 Toggle password protection for the console - シリアル コンソールをパスワード保護 することができます。このオプションを “on” に切り替えると、スーパー管理者だけ にアクセスが許可されます。 Create a Super Admin session -すべての管理者へのアクセスをブロックするように IVE アプライアンスを設定した場合でも、Web コンソールに対するリカバリ セッ ションを作成できるようにします。このオプションを選択すると、アプライアンスは 3 分間有効な一時トークンを生成します。次の URL をブラウザのウィンドウに入力し ます。https://<ive-host>/dana-na/auth/recover.cgi. プロンプトが表示されたら、 Web コンソールにサインインするための一時トークンを入力します。 メモ : このオプションを選択すると、指定された URL にサインインし、トークンを使用 してセッションを開始するまで、IVE アプライアンスは他の管理者による Web コンソー ルへのサインインをブロックします。アプライアンスがほかの管理者のサインインをブ ロックするため、IVE で設定上の問題が発生している場合は、別のセッションと競合す ることなく修復できます。 System Snapshot-Web コンソールを使用せずにシステム スナップショットをとるこ とができます。このオプションを選択すると、IVE はすぐにスナップショットをとる ことができます。これで、SCP を経由してスナップショット ファイルをリモート シ ステムに送信することができます。システムは、送信先のサーバー ポート、ユーザー ID、パスワード、リモート ディレクトリへの送信先パスを要求します。 メモ : リモート システムにスナップショット ファイルを送信しないことを選択した場 合、IVE はファイルをローカルに保存します。次回 Web コンソールにログインすると、 System Snapshot タブにはスナップショット ファイルへのリンクが入っています。Web コンソールからスナップショットをとる方法については、353 ページの「System Snapshot タブ」を参照します。 共通のリカバリ タスクの実行 365 Juniper Networks NetScreen Secure Access 700 管理ガイド 366 共通のリカバリ タスクの実行 付録 B カスタム式の記述 このセクションは次のトピックから成ります。 367 ページの「カスタム式」 371 ページの「システム変数とその例」 カスタム式 IVE では、ロール マッピング規則、リソース ポリシーおよびログ フィルタ クエリー内で の評価に使用可能なカスタム式を記述できます。カスタム式 とは、ブール型オブジェクト として、IVE によって true、false、error のいずれかに演算される変数の組み合わせです。 カスタム式を使用することによりポリシー検証およびログ クエリーに複雑な式を指定で きるようになり、より優れたリソース アクセス コントロール管理が可能になります。 カスタム式は、以下のフォーマットで記述できます。 variable comparisonOperator variable variable comparisonOperator simpleValue variable comparisonOperator (simpleValue) variable comparisonOperator (ORValues) variable comparisonOperator (ANDValues) variable comparisonOperator (time TO time) variable comparisonOperator (day TO day) isEmpty (variable) isUnknown (variable) (customExpr) NOT customExpr ! customExpr customExpr OR customExpr customExpr || customExpr customExpr AND customExpr customExpr && customExpr カスタム式 367 Juniper Networks NetScreen Secure Access 700 管理ガイド これらのカスタム式で使用されるエレメントについては次の表で説明します。 表 22: カスタム式のエレメント variable システム変数を表します。変数名はドットで区切られる文字列であり、 各コンポーネントには [a-z A-Z 0-9_ ] のセットからの文字が含まれますが、 [0-9] の数字から始めることはできません。変数名では大文字と小文字が区別さ れます。ロール マッピング規則およびリソース ポリシーで使用可能なシステム 変数については、371 ページの「システム変数とその例」を参照してください。 カスタム式をログ クエリー フィールドで記述する場合は、システム ログ変数を 使用する必要があります。これらの変数は、Filter ページの Filter Variables Dictionary で説明されています (System > Log/Monitoring > Events | User Access | Admin Access > Filters タブ)。 変数に対する構文の引用 IVE は、ユーザー属性名に "."(ピリオド)以外の文字を使用できるカスタム式 変数用の引用構文をサポートしています。属性名の中で文字をエスケープするに は、{ }(中括弧)を使用して変数名の一部または全体を囲みます。たとえば、 次の式は等価です。 userAttr.{Login-Name} = 'xyz' userAttr.Login{-}Name = 'xyz' {userAttr.Login-Name} = 'xyz' userA{ttr.L}{ogin-}Name = 'xyz' 引用符内でサポートされているエスケープ文字: \\ \(バックスラッシュ) \{ {(左中括弧) \} }(右中括弧) \hh 16 進数値。hh は [0-9A-Fa-f] 内の 2 文字 例: userAttr.{Tree Frog} = 'kermit' userAttr.{Tree\20Frog} = 'kermit' 注意: 変数名の中で使用できる引用符の数に制限はありません。 userAttr.* 変数に限らず、どの変数にも引用構文を使用できます。 カスタム式を記述するときに限り、中括弧を使用する必要があります。 comparisonOperator 368 カスタム式 は以下のいずれかです。 = 等しい―文字列、数値、DN で使用し ます。 != 等しくない―文字列、数値、DN で使用 します。 < より小さい ―数値で使用します。 <= 以下―数値で使用します。 > より大きい ― 数値で使用します。 >= 以上―数値で使用します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 22: カスタム式のエレメント ( 続き ) simpleValue は以下のいずれかです。 文字列 ― ワイルドカードを含む引用符で囲まれた文字列 IP アドレス ― a.b.c.d サブネット ― a.b.c.d/subnetBitCount または a.b.c.d/netmask 数 ― 正または負の整数 曜日 ― SUN MON TUE WED THU FRI SAT 文字列についての注意: 文字列には、<nl> (新規行)および <cr> (キャリッジ リターン)以外の すべての文字を含めることができます。 文字列の長さは任意です。 文字列の比較では、大文字と小文字が区別されます。 文字列は、一重引用符または二重引用符で囲むことができます。引用符で囲ま れた文字列には、アスタリスク(*)、クエスチョン マーク(?)およびスクエ ア ブラケット([ ])を含むワイルドカードを使用できます。370 ページの「ワ イルドカード マッチング」を参照してください。 variable comparisonOperator の比較式では、ワイルドカード マッチングを含ま ない評価を行います。 以下の文字をエスケープするには、バックスラッシュを使用します。 一重引用符(')― \' 二重引用符(")― \" バックスラッシュ(\)― \\ 16 進数表記 ― \hh [0-9a-fA-F] 曜日についての注意 : 日付と時刻の比較は、IVE のタイム ゾーンで行われます。デイ レンジ(day TO day)の演算では、最初の日付から開始され次の日付になるまで行われます。タ イム レンジ(time TO time)の演算では、最初の値は次の値より時間的に早くな ければなりません。日付および時刻の値と比較できるには時刻の変数だけです。 時刻の変数には以下のものが含まれます。time.* および loginTime.* time 以下のいずれかの形式で表す時刻です。 HH:MM ― 24 時間制 HH:MMam ― 12 時間制 HH:MMpm ― 12 時間制 H:MM ― 24 時間制 H:MMam ― 12 時間制 H:MMpm ― 12 時間制 日付と時刻の比較は、IVE のタイム ゾーンで行われます。デイ レンジ(day TO day)の演算では、最初の日付から開始され次の日付になるまで行われます。タ イム レンジ(time TO time)の演算では、最初の値は次の値より時間的に早くな ければなりません。日付および時刻の値と比較できるには時刻の変数だけです。 時刻の変数には以下のものが含まれます。time.* および loginTime.* ORValue 1 つまたは複数の OR 演算を含む文字列です。 variable comparisonOperator (number OR number ...) variable comparisonOperator (string OR string ...) ANDValue 1 つまたは複数の AND 演算を含む文字列です。 variable comparisonOperator (number AND number ...) variable comparisonOperator (string AND string ...) カスタム式 369 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 22: カスタム式のエレメント ( 続き ) 単一の変数名(variable)を引数とし、ブール値を返す関数です。isEmpty() は、 変数が未知の場合や空白値、空白文字列および空のリストを含む場合に true を 返します。 isEmpty 例 : isEmpty(userAttr.terminationDate) 単一の変数名(variable)を引数とし、ブール値を返す関数です。isUnknown() は、変数が定義されていない場合に true を返します。ユーザー属性(userAttr.*) は、属性が LDAP で定義されていない場合や属性を参照できない場合(LDAP サーバーが停止しているなどの場合)は未知の属性として処理されます。 isUnknown 例:isUnknown(userAttr.bonusProgram) NOT, ! 論理否定の比較演算子です。否定演算式では、customExpr が false のときに true、true のときに false が返されます。演算子 NOT、AND および OR は優先順 位の高いものから実行されます。優先順位は以下のとおりです。NOT (右か ら) 、AND (左から)、OR (左から)。 OR, || 論理演算子 OR または || です。これらは同じ意味を表します。演算子 NOT、AND および OR は優先順位の高いものから実行されます。優先順位は以下のとおりで す。NOT (右から)、AND (左から) 、OR (左から)。 論理演算子 AND または && です。演算子 NOT、AND および OR は優先順位の高 いものから実行されます。優先順位は以下のとおりです。NOT (右から)、AND (左から)、OR (左から) 。 AND, && カスタム式の構文(上記を参照)で記述された式です。 customExpr ワイルドカード マッチング 引用符で囲んだ文字列内には、ワイルドカードを使用できます。以下のワイルドカードが サポートされています。 アスタリスク(*)― アスタリスクは、空白文字または任意の数の文字の代わりに使 用します。 疑問符(?)―疑問符は任意の 1 文字と一致します。 スクエア ブラケット([ ])―ブラケット間で指定された文字範囲に当てはまる 1 文 字の代わりに使用します。ダッシュ(-)で区切られた 2 文字は、指定された範囲内 で、辞書表記的にその間に入る 2 文字の代わりに使用します。たとえば、'dept[0-9]' は、"dept0" 、"dept1" から "dept9" までの文字列とマッチします。 ワイルドカードをエスケープするには、スクエア ブラケット内にワイルドカードを配置 します。たとえば、式を ' userAttr.x = "value*" ' とすると、属性 x が実際に "value[*]" で ある場合は true であると評価されます。 DN 変数 識別名(DN)を別の DN や文字列と比較できます。ただし、ワイルドカードやスペース、 大文字小文字の区別は無視されます。ただし、IVE は DN キーの順番を考慮に入れます。 IVE が DN への式を文字列と比較する場合、式を評価する前に文字列を識別名に変換しま す。IVE が文字列を変換できない場合には、比較は実行されません。DN 変数には以下のも のが含まれます。 370 カスタム式 userDN certDN certIssuerDN Juniper Networks NetScreen Secure Access 700 管理ガイド システム変数とその例 以下の表は、システム変数をリストアップして説明し、システム変数の例をそれぞれ示し ます。さらにシステム変数を使用するべき場所を指示します。 メモ : このリストには、フィルタ クエリーまたはシステム ログ用のエクスポート フォーマットで使用される変数は含まれていません。 表 23: システム変数とその例 変数 説明 例 authMethod ユーザー認証のために使用される認証方法の タイプ authMethod = ‘CE Server’ cacheCleanerStatus Cache Cleaner の状態。使用できる値: cacheCleanerStatus = 1 以下で利用可能です。 1 - 実行中の場合 cacheCleanerStatus = 0 ロール マッピング規則 0 - その他の場合 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 リソース ポリシー規則 certAttr.<cert-attr> 以下で利用可能です。 クライアントサイド証明書の属性。certAttr 属 certAttr.OU = 'Retail Products Group' 性の例には次のようなものがあります。 ロール マッピング規則 C-国 リソース ポリシー規則 CN - 通称 LDAP 設定 description - 説明 SSO パラメータ フィールド emailAddress - E メール アドレス GN - 名(姓に対する) initials - イニシャル L - 地域名 O - 組織 OU - 組織単位 SN - 姓 serialNumber - シリアル番号 ST - 州または県 title - タイトル UI - 固有の識別子 この変数を使用して、指定された値を持つク ライアント サイド証明書がユーザーのクライ アント コンピュータにあるかどうかチェック します。 システム変数とその例 371 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 23: システム変数とその例 ( 続き ) 変数 説明 certAttr.altName.<Alt-attr> クライアントサイド証明書の代替サブジェク certAttr.altName.email = ト名。ここで、<Alt-attr> は以下のいずれか "joe@company.com" になります。 certAttr.altName.dirNameText = .Email "cn=joe, ou=company, o=com" 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 LDAP 設定 SSO パラメータ フィールド .dirNameText .DNS 例 certAttr.altName.ipAddress = 10.10.83.2 .URI .ipAddress .registeredId certAttr.serialNumber クライアント証明書のシリアル番号。 以下で利用可能です。 [0-9 a-f A-F] 以外の文字列は certAttr.SN との 比較を実行する前にすべて除外されます。 ワイルドカードはサポートされません。 ロール マッピング規則 リソース ポリシー規則 certAttr.SerialNumber = userAttr.certSerial certAttr.SerialNumber = "6f:05:45:ab" LDAP 設定 SSO パラメータ フィールド certDN 以下で利用可能です。 ロール マッピング規則 クライアント証明書のサブジェクト(認証 対象)DN。ワイルドカードは許可されてい ません。 リソース ポリシー規則 certDN = 'cn=John Harding,ou=eng,c=Company' certDN = userDN (LDAP ユーザー DN をもつ証明書のサブジェクトに 一致します) certDN = userAttr.x509SubjectName certDN = ('cn=John Harding,ou=eng,c=Company' また は 'cn=Julia Yount,ou=eng,c=Company') certDN.<subject-attr> 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 LDAP 設定 クライアント証明書のサブジェクト DN の任 意の変数。ここで、subject-attr は RDN キー の名前になります。 標準 x.509 形式の証明書のさまざまなサブ ジェクト DN 属性をテストする際に使用しま す。 certDN.OU = 'company' certDN.E = 'joe@company.com' certDN.ST = 'CA' SSO パラメータ フィールド certDNText 以下で利用可能です。 ロール マッピング規則 文字列として格納されているクライアント証 certDNText = 'cn=John 明書のユーザー DN。この値との文字列の比較 Harding,ou=eng,c=Company' のみ許可されます。 リソース ポリシー規則 SSO パラメータ フィールド certIssuerDN 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 372 システム変数とその例 certIssuerDN = 'cn=John クライアント証明書発行者の DN。この変数 は、CertDN などの標準的な DN 属性と同様に Harding,ou=eng,c=Company' 機能します。ワイルドカードは許可されてい certIssuerDN = userAttr.x509Issuer ません。 certIssuerDN = ('ou=eng,c=Company' または 'ou=operations,c=Company') Juniper Networks NetScreen Secure Access 700 管理ガイド 表 23: システム変数とその例 ( 続き ) 変数 説明 例 certIssuerDN.<issuer-attr> クライアント証明書発行者の DN の任意の変 数。ここで、issuer-attr は RDN キーの名前に なります。 certIssuerDN.OU = 'company' 以下で利用可能です。 ロール マッピング規則 certIssuerDN.ST = 'CA' リソース ポリシー規則 SSO パラメータ フィールド certIssuerDNText 以下で利用可能です。 ロール マッピング規則 文字列として格納されているクライアント証 certIssuerDNText = 'cn=John 明書発行者の DN。この値との文字列の比較の Harding,ou=eng,c=Company' み許可されます。 リソース ポリシー規則 SSO パラメータ フィールド group.<group-name> 以下で利用可能です。 ロール マッピング規則 領域認証またはディレクトリ サーバーによっ group.preferredPartner て提供されるユーザーのグループ メンバー group.goldPartner または シップ。 group.silverPartner group.employees and time.month = 9 リソース ポリシー規則 注意:ロール マッピング規則で評 価されるグループのみは、リソース ポリシー内の詳細な規則(条件)で 利用できます。group.<groupname> ではなく、groups 変数を使 用することをお勧めします。 group.group-name は下位互換性のた めだけにサポートされています。 組み合わせ例 : 月曜日から金曜日まではすべてのア クティブなパートナを許可し、月曜 日から土曜日までは優先パートナを 許可する場合には、以下のようにし ます。 ((group.partners and time = (Mon ~ Fri)) または (group.preferredPartners and time = (Mon ~ Sat))) および userAttr.partnerStatus = 'active' 注意: group.sales managers のよ うなスペースはサポートされてい ません。 groups 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 領域認証またはディレクトリ サーバーによっ groups=('sales managers') て提供されるグループのリスト。 注意:ワイルドカード文字はサポートされて いませんが、グループ名に任意の文字を入力 することができます。 SSO パラメータ フィールド hostCheckerPolicy 以下で利用可能です。 ロール マッピング規則 クライアントに要求する Host Checker のポリ hostCheckerPolicy = ('Norton' およ シーです。 び 'Sygate') および cacheCleanerStatus = 1 リソース ポリシー規則 SSO パラメータ フィールド システム変数とその例 373 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 23: システム変数とその例 ( 続き ) 変数 説明 例 loginHost IVE に接続するために使用されるブラウザの ホスト名または IP アドレスです。 loginHost = 10.10.10.10 ユーザーが IVE に証明書を送信する時刻で す。時間は IVE のタイムゾーンに基づいてい ます。 loginTime = (8:00am ~ 5:00pm) 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 LDAP 設定 SSO パラメータ フィールド loginTime 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 SSO パラメータ フィールド loginTime.day 以下で利用可能です。 ロール マッピング規則 loginTime= (Mon ~ Fri) 注意:この変数を SSO パラメータ フィール ドで使用した場合、UNIX 時間の文字列が返 されます。 ユーザーが IVE に証明書を送信する日付を示 す 1 ~ 31 の数値です。時間は IVE の時間に 基づいています。 loginTime.day = 3 リソース ポリシー規則 loginTime.dayOfWeek 以下で利用可能です。 ロール マッピング規則 ユーザーが IVE に証明書を送信する曜日を示 loginTime.dayOfWeek = (0 または 6) す [0-6] の数値です。ここで、0 は日曜日を意 loginTime.dayOfWeek = (1 から 5) 味します。 loginTime.dayOfWeek = 5 リソース ポリシー規則 loginTime.dayOfYear 以下で利用可能です。 ユーザーが IVE へ証明書を送信する日を示す [0-365] の数値です。 loginTime.dayOfYear = 100 ロール マッピング規則 リソース ポリシー規則 loginTime.month 以下で利用可能です。 ロール マッピング規則 ユーザーが IVE へ証明書を送信する年で、[1- loginTime.month >= 4 および loginTime.month <=9 12] に設定できます。 ここで 1 = 1 月です。 リソース ポリシー規則 loginTime.year 以下で利用可能です。 ユーザーが IVE へ証明書を送信する年で、 [1900-2999] に設定できます。 loginTime.year = 2005 ロール マッピング規則 リソース ポリシー規則 loginURL 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 LDAP 設定 SSO パラメータ フィールド 374 システム変数とその例 ユーザーが IVE にサインインするためにアク loginURL = */admin セスしたページの URL です。IVE はこの値 を、Web コンソールの System > Signing In > Sign-in Policies ページの Administrator URLs/User URLs 列から取得しま す。 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 23: システム変数とその例 ( 続き ) 変数 説明 networkIf ユーザーの要求を受信するネットワーク イン sourceIp = 192.168.1.0/24 および ターフェースです。使用できる値:internal、 networkIf = internal external 以下で利用可能です。 ロール マッピング規則 例 リソース ポリシー規則 SSO パラメータ フィールド ntdomain 以下で利用可能です。 NT4 および Active Directory 認証で使用される ntdomain = jnpr NetBIOS NT ドメインです。 ロール マッピング規則 SSO パラメータ フィールド ntuser 以下で利用可能です。 Active Directory 認証で使用される NT ユー ザー名です。 ntuser = jdoe ロール マッピング規則 SSO パラメータ フィールド password password[1] password[2] 1 次認証サーバー(password と password[1]) password = A1defo2z または 2 次認証サーバー(password[2])用に ユーザーが入力するパスワードです。 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 SSO パラメータ フィールド realm 以下で利用可能です。 ユーザーがサインインする先の認証領域の名 前です。 Realm = ('GoldPartners' または 'SilverPartners') ロール マッピング規則 リソース ポリシー規則 SSO パラメータ フィールド role 以下で利用可能です。 リソース ポリシー規則 SSO パラメータ フィールド sourceIP 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 SSO パラメータ フィールド 注意 : ユーザーはセッション内の単 一領域でのみサインインを許可され るため、AND 演算を使用した条件は 評価されません。 セッションのすべてのユーザー ロールのリス Role = ('sales' および 'engineering') ト。 Role = ('Sales' および 'Support') SSO では、すべてのロールをバックエンド ア プリケーションに送信する場合には、<role sep = ";"> を使用します。ここで、sep は複 数の変数の区切り文字列を意味します。IVE は および > 以外のすべての区切り文字をサ ポートしています。 ユーザーを認証するコンピュータの IP アドレ sourceIP = 192.168.10.20 ス。ビット数またはネットマスク フォーマッ sourceIP = 192.168.1.0/24 および ト “255.255.0.0” を使用してネットマスクを networkIf internal 指定できます。 userAttr.dept = ('eng' および 'it') お よび sourceIP = 10.11.0.0/16 sourceIP = 192.168.10.0/24 (Class C) は以下と同じです。 sourceIP = 192.168.10.0/255.255.255.0 システム変数とその例 375 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 23: システム変数とその例 ( 続き ) 変数 説明 time ロール マッピング規則またはリソース ポリ time = (9:00am から 5:00pm) シー規則を評価する時刻です。時刻は 12 時間 time = (09:00 から 17:00) 形式または 24 時間形式で記述できます。 time = (Mon ~ Fri) 以下で利用可能です。 ロール マッピング規則 例 リソース ポリシー規則 組み合わせ例 : エグゼクティブ マネージャとそのア シスタントのアクセスを月曜日から 金曜日まで許可するには、次のよう にします。 userAttr.employeeType = ('*manager*' または '*assistant*') および group.executiveStaff および time = (Mon ~ Fri) time.day 以下で利用可能です。 ロール マッピング規則 ユーザーが IVE に証明書を送信する日付を示 す 1 ~ 31 の数値です。時間は IVE の時間に 基づいています。 loginTime.day = 3 リソース ポリシー規則 time.dayOfWeek 以下で利用可能です。 ロール マッピング規則 ロール マッピング規則またはリソース ポリ loginTime.dayOfWeek = (0 または 6) シー規則が評価される曜日を示す dayOfWeek loginTime.dayOfWeek = (1 ~ 5) は [0-6] の数値です。ここで 0 は日曜日を意味 loginTime.dayOfWeek = 5 します。 リソース ポリシー規則 time.dayOfYear 以下で利用可能です。 ロール マッピング規則 ロール マッピング規則またはリソース ポリ シー規則を評価する日です。考えられる値: 1-365。 time.dayOfYear = 100 ロール マッピング規則またはリソース ポリ シー規則を評価する月です。考えられる値: 1-12 time.month >= 9 および time.month <= 12 および time.year = 2004 リソース ポリシー規則 time.month 以下で利用可能です。 ロール マッピング規則 group.employees and time.month = 9 リソース ポリシー規則 time.year 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 376 システム変数とその例 ロール マッピング規則またはリソース ポリ シー規則を評価する年で、[1900-2999] に設 定できます。 time.year = 2005 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 23: システム変数とその例 ( 続き ) 変数 説明 例 user IVE 1 次認証サーバー(user と user[1])また は 2 次認証サーバー(user[2])用のユーザー 名。Active Directory サーバーに対して認証を 行う場合、user/user[1]/user[2] 変数は domain\username を表します。 user = 'steve' user[1] user[2] 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 SSO パラメータ フィールド user = 'domain\\steve' 変数 user と user[1] は同じ意味です。変数 user[2] は、2 次認証サーバーのユーザー証明 書を確認するために使用します。 注意: ユーザー名の一部にドメインを入れる ときに、ドメインとユーザーの間に 2 つのス ラッシュを入れる必要があります。例: user=’ourcompany.net\\joeuser.’ 注意:ログイン ID はすべて正規化されてお り、ユーザー名にドメイン名が付いている かいないかの区別を解決します。ログイン は、ドメイン名を付けても付けなくても可 能です。 username username[1] username[2] 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 SSO パラメータ フィールド IVE 1 次認証サーバー(username と username [1])または 2 次認証サーバー (username[2])用のユーザー名。ユーザーが 証明書認証サーバーにサインインする場合、 ユーザーの IVE ユーザー名は CertDN.cn と同 じになります。 username = 'steve' および time = mon username = 'steve' username = 'steve*' username = ('steve' または 変数 username と username[1] は同じ意味で '*jankowski') す。変数 user と username は、Active Directory 使用時には意味が異なりますが、そ れ以外の場合は、同じ意味です。 注意:ログイン ID はすべて正規化されてお り、ユーザー名にドメイン名が付いている かいないかの区別を解決します。ログイン は、ドメイン名を付けても付けなくても可 能です。 NTUser Windows NT を使用するときの、ユーザーの 1 次認証サーバー用の IVE ユーザー名。 NTDomain NTUser で指定されたユーザーのドメイン名。 NTDomain = ‘domain’ userAgent ブラウザのユーザー エージェント文字列 です。 以下で利用可能です。 NTUser = ‘steve’ ブラウザのユーザー エージェント 文字列です。 ロール マッピング規則 リソース ポリシー規則 SSO パラメータ フィールド システム変数とその例 377 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 23: システム変数とその例 ( 続き ) 変数 説明 例 userAttr.<auth-attr> LDAP または RADIUS 認証またはディレク トリ サーバーから検索されるユーザー属 性です。 userAttr.building = ('HQ*' または 'MtView[1-3]') 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 SSO パラメータ フィールド userAttr.dept = ('sales' および 'eng') userAttr.dept = ('eng' 、'it' または 'custsupport') userAttr.division = 'sales' userAttr.employeeType != 'contractor' userAttr.salaryGrade > 10 userAttr.salesConfirmed >= userAttr.salesQuota 否定の例: userAttr.company != "Acme Inc" ま たは not group.contractors not (user = 'guest' または group.demo) 組み合わせ例 : エグゼクティブ マネージャとそのア シスタントのアクセスを月曜日から 金曜日まで許可するには、次のよう にします。 userAttr.employeeType = ('*manager*' または '*assistant*') および group.executiveStaff and time = (Mon ~ Fri) 月曜日から金曜日まではすべてのア クティブなパートナを許可し、月曜 日から土曜日までは優先パートナを 許可する場合には、以下のようにし ます。 ((group.partners and time = (Mon ~ Fri)) または (group.preferredPartners および time = (Mon to Sat))) および userAttr.partnerStatus = 'active' 378 システム変数とその例 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 23: システム変数とその例 ( 続き ) 変数 説明 userDN LDAP サーバーからのユーザー DN です。ユー userDN = 'cn=John ザーが LDAP サーバーによって認証される場 Harding,ou=eng,c=Company' 合、この DN は認証サーバーから取得されま userDN = certDN す。それ以外の場合は、DN は領域のディレ クトリ / 属性 サーバーから取得されます。ワ イルドカードは許可されていません。 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 userDN.<user-attr> 以下で利用可能です。 例 ユーザー DN の任意の変数。ここで、 user-attr は RDN キーの名前になります。 ユーザー DN の任意の変数。ここ で、user-attr は RDN キーの名前に なります。 文字列として格納されているユーザー DN です。この値との文字列の比較のみ許可さ れます。 userDNText = 'cn=John Harding,ou=eng,c=Company' ロール マッピング規則 リソース ポリシー規則 SSO パラメータ フィールド userDNText 以下で利用可能です。 ロール マッピング規則 リソース ポリシー規則 SSO パラメータ フィールド サポートされる RADIUS 属性 次の RADIUS 属性は、RADIUS ロール マッピングでサポートされています。詳細は、 FreeRADIUS の Web サイト http://www.freeradius.org/rfc/attributes.html にある説明を 参照してください。(ここの説明は、そこからの引用です) 表 24: RADIUS ロール マッピング属性 属性 説明 ARAP-Challenge-Response ARAP の Framed-Protocol を使用して Access-Accept パケットで送信され、ダイアルイン クライアントの チャレンジへの応答が含まれます。 ARAP-Features ARAP の Framed-Protocol を使用して Access-Accept パケットで送信されます。NAS が ARP 特徴フラッグ パケットでユーザーに送信する必要があるパスワー ド情報を含みます。 ARAP-Password ARAP の Framed-Protocol を含む Access-Request パ ケットにあります。1 つの Access-Request または 1 つ以上の EAP-Messages には、User-Password、 CHAP-Password、または ARAP-Password を 1 つだけ しか含めてはいけません。 ARAP-Security Access-Challenge パケットで使用する ARAP Security Module を示します。 ARAP-Security-Data セキュリティ モジュール チャレンジまたは応答を含 み、Access-Challenge および Access-Request パケッ トにあります。 ARAP-Zone-Access ユーザー用の ARAP ゾーン リストの使用法を示し ます。 Access-Accept ユーザーへのサービスの提供を始めるのに必要な、 具体的な設定情報を提供します。 システム変数とその例 379 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 24: RADIUS ロール マッピング属性 属性 説明 Access-Challenge ユーザーに、応答が必要なチャレンジを送信するた め、Code フィールドを 11 (Access-Challenge)に設 定したパケットを送信して、RADIUS サーバーは Access-Request に応答する必要があります。 Access-Reject 受信した Attributes の値が受け入れ不可能な場合、 RADIUS サーバーは Code フィールドを 3(AccessReject)に設定したパケットを送信する必要があり ます。 Access-Request 特定の NAS へのユーザー アクセスおよびそのユー ザーについて要求されている特別なサービスを指定 する情報を提供します。 Accounting-Request ユーザーに提供されるサービスの会計を提供するた め使用する情報を提供します。 Accounting-Response Accounting-Request が受信され、無事記録されたこ とを確認します。 Acct-Authentic ユーザーが認証された方法、RADIUS か、NAS 自 体か、他のリモートの認証プロトコルなのかを 示します。 Acct-Delay-Time クライアントが何秒間この記録の送信を試みたかを 示します。 Acct-Input-Gigawords このサービスが提供される間に、カウンターが何回 2^32 を折り返したかを示します。 Acct-Input-Octets 現在のセッションの間に、ポートからいくつのオク タットを受信したかを示します。 Acct-Input-Packets Framed User に提供されたセッションの間に、ポー トからいくつのパケットを受信したかを示します。 Acct-Interim-Interval この特定のセッションでの各一時更新の間の秒数を 示します。 Acct-Link-Count 会計記録を作成する時点での、マルチ リンク セッ ションにおいて存在したリンクの数。 Acct-Multi-Session-Id ログ ファイルで関連する複数のセッションをリンク するのを簡単にするための、他と重複しない Accounting ID。 Acct-Output-Gigawords 現在のセッションの間に、Acct-Output-Octets カウン ターが何回 2^32 を折り返したかを示します。 Acct-Output-Octets 現在のセッションの間に、ポートへいくつのオク タットを送信したかを示します。 Acct-Output-Packets Framed User へのこのセッションの間に、ポートへ いくつのパケットを送信したかを示します。 Acct-Session-Id ログ ファイルで開始レコードと終了レコードを一致 させるのを簡単にするための、他と重複しない Accounting ID。 Acct-Session-Time ユーザーがサービスを受けた秒数を示します。 Acct-Status-Type 380 システム変数とその例 この Accounting-Request がユーザー サービスの開始 (Start)あるいは終了(Stop)のいずれを表すのかを 示します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 24: RADIUS ロール マッピング属性 属性 説明 Acct-Terminate-Cause セッションの終了方法を示します。 Acct-Tunnel-Connection トンネル セッションに割り当てられた識別子を示し ます。 Acct-Tunnel-Packets-Lost リンクで失われたパケットの数を示します。 CHAP-Challenge PPP チャレンジ ハンドシェーク認証プロトコル (CHAP)ユーザーに、NAS によって送信された CHAP チャレンジを含んでいます。 CHAP-Password チャレンジに応じて、PPP チャレンジ ハンドシェー ク認証プロトコル(CHAP)ユーザーによって提供 された応答値。 Callback-Id NAS によって解釈されるため、コールされる場所の 名前。 Callback-Number コールバックに使用されるダイヤル文字列。 Called-Station-Id NAS は、DNIS (Dialed Number Identification)また は類似するテクノロジーを使用して、ユーザーが コールした電話番号を送信できます。 Calling-Station-Id NAS は、ANI (Automatic Number Identification)ま たは類似するテクノロジーを使用して、コールが発 生した電話番号を送信できます。 Class 会計がサポートされている場合、AccountingRequest パケットの一部として、Access-Accept でク ライアントへサーバーが送信し、次に、変更せずに クライアントが会計サーバーに送信します。 Configuration-Token プロキシをベースにした、大きな分散型認証ネット ワークで使用するため。 Connect-Info ユーザーの接続の性質を示すために NAS から送信さ れます。 EAP-Message EAP プロトコルを理解する必要なしに、NAS が EAP によってダイヤルイン ユーザーを認証できるよう に、Extended Access Protocol [3] パケットをカプセ ル化します。 Event-Timestamp 1970 年 1 月 1 日 00:00 UTC 以来の秒数で、このイ ベントが NAS で発生した時刻を記録します。 Filter-Id このユーザー用のフィルタ リスト名。 Framed-AppleTalk-Link ユーザーへのシリアル リンクに使用される AppleTalk ネットワーク番号。別の AppleTalk ルータ になります。 Framed-AppleTalk-Network ユーザーの AppleTalk ノードを割り当てるため、NAS が調査できる AppleTalk Network 番号。 Framed-AppleTalk-Zone このユーザーのために使用される AppleTalk Default Zone。 Framed-Compression リンクで使用される圧縮プロトコル。 Framed-IP-Address ユーザーに設定されるアドレス。 Framed-IP-Netmask ユーザーがネットワークへのルータであるときに、 ユーザーに設定される IP ネットマスク。 システム変数とその例 381 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 24: RADIUS ロール マッピング属性 属性 説明 Framed-IPv6-Pool ユーザーの IPv6 プレフィックスを割り当てるために 使用される、割り当てられたプールの名前を含んで います。 Framed-IPv6-Prefix ユーザーに設定される IPv6 プレフィックス(および 対応する経路)。 Framed-IPv6-Route NAS 上のユーザーに設定されるルーティング情報。 Framed-Interface-Id ユーザーに設定される IPv6 インターフェース 識別子。 Framed-IPX-Network ユーザーに設定される IPX Network 番号。 Framed-MTU 382 システム変数とその例 (PPP のような)他の手段でネゴシエートされないと きの、ユーザーに設定される最大伝送単位。 Framed-Pool ユーザーにアドレスを割り当てるために使用される、 割り当てられたプールの名前。 Framed-Protocol フレーム アクセスに使用されるフレーミング。 Framed-Route NAS 上のユーザーに設定されるルーティング情報。 Framed-Routing ユーザーがネットワークへのルータであるときの、 ユーザーのルーティング方法。 Idle-Timeout セッションまたはプロンプトが終了するまで、ユー ザーに許可されるアイドル状態の接続の、連続最大 秒数を設定します。 Keep-Alives キープアライブの代わりに SNMP を使用します。 Login-IP-Host Login-Service Attribute が含められているとき、ユー ザーを接続するシステムを示します。 Login-IPv6-Host Login-Service Attribute が含められているとき、ユー ザーを接続するシステムを示します。 Login-LAT-Group このユーザーが使用を認められている LAT グループ コードを示す文字列を含んでいます。 Login-LAT-Node ユーザーが LAT によって自動的に接続されるノード を示します。 Login-LAT-Port ユーザーが LAT によって接続されるポートを示 します。 Login-LAT-Service ユーザーが LAT によって接続されるシステムを示し ます。 Login-Service ログイン ホストにユーザーを接続するために利用す るサービスを示します。 Login-TCP-Port Login-Service Attribute も存在するとき、ユーザーが 接続される TCP ポートを示します。 MS-ARAP-Challenge 値が 3 (ARAP)の Framed-Protocol Attribute を含 む、Access-Request パケットにだけ存在します。 MS-ARAP-Password-Change-Reason サーバーが開始したパスワード変更の理由を示 します。 MS-Acct-Auth-Type ダイアルアップ ユーザーを認証するために使用され る方法を示します。 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 24: RADIUS ロール マッピング属性 属性 説明 MS-Acct-EAP-Type ダイアルアップ ユーザーを認証するため使用する EAP (Extensible Authentication Protocol)[15] タイ プを示します。 MS-BAP-Usage 新しいマルチリンク通話で、BAP の使用が許可、却 下、または要求されているかを示します。 MS-CHAP-CPW-1 パスワードの期限が切れたときに、ユーザーはパス ワードを変更できます。 MS-CHAP-CPW-2 パスワードの期限が切れたときに、ユーザーはパス ワードを変更できます。 MS-CHAP-Challenge マイクロソフト チャレンジ ハンドシェーク認証プロ トコル(MS CHAP)ユーザーに、NAS によって送信 されたチャレンジを含んでいます。 MS-CHAP-Domain ユーザーが認証された Windows NT ドメインを示し ます。 MS-CHAP-Error 前の MS-CHAP 交換と関係するエラー データを含ん でいます。 MS-CHAP-LM-Enc-PW 古い LAN Manager パスワード ハッシュで暗号化さ れた新しい Windows NT パスワードを含んでいます。 MS-CHAP-MPPE-Keys マイクロソフト ポイントツーポイント暗号化プロト コル(MPPE)により使用するための 2 つのセッ ション キーを含んでいます。 MS-CHAP-NT-Enc-PW 古い Windows NT パスワード ハッシュで暗号化され た新しい Windows NT パスワードを含んでいます。 MS-CHAP-Response チャレンジに応じて、PPP マイクロソフト チャレン ジ ハンドシェーク認証プロトコル(MS CHAP)ユー ザーによって提供された応答値を含んでいます。 MS-CHAP2-CPW パスワードの期限が切れたときに、ユーザーはパス ワードを変更できます。 MS-CHAP2-Response チャレンジに応じて、MS-CHAP-V2 ピアによって提 供された応答値を含んでいます。 MS-CHAP2-Success 42 オクテットの認証側応答文字列を含んでいます。 MS-Filter トラフィック フィルタを送信するのに使用します。 MS-Link-Drop-Time-Limit リンクがドロップされる前に利用が少なければなら ない時間の長さ(秒で)を示します。 MS-Link-Utilization-Threshold リンクを終了できる前に、リンクが下回る必要があ る利用可能な帯域幅パーセントを示します。 MS-MPPE-Encryption-Policy 暗号化の使用が許可または要求されるかを示します。 MS-MPPE-Encryption-Types MPPE と使用可能な暗号化のタイプを示します。 MS-MPPE-Recv-Key マイクロソフト ポイントツーポイント暗号化プロト コル(MPPE)により使用するための 1 つのセッ ション キーを含んでいます。 MS-MPPE-Send-Key マイクロソフト ポイントツーポイント暗号化プロト コル(MPPE)により使用するための 1 つのセッ ション キーを含んでいます。 システム変数とその例 383 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 24: RADIUS ロール マッピング属性 384 システム変数とその例 属性 説明 MS-New-ARAP-Password ARAP パスワード変更操作の間に、新しい ARAP パ スワードを送信します。 MS-Old-ARAP-Password ARAP パスワード変更操作の間に、古い ARAP パス ワードを送信します。 MS-Primary-DNS-Server PPP ピアによって使用される、1 次ドメイン ネーム サーバー(DNS)[16、17] のアドレスを示します。 MS-Primary-NBNS-Server PPP ピアによって使用される、1 次 NetBIOS ネーム サーバー(NBNS)[18] のアドレスを示します。 MS-RAS-Vendor RADIUS クライアント マシンのメーカーを示します。 MS-RAS-Version RADIUS クライアント ソフトウェアのバージョンを 示します。 MS-Secondary-DNS-Server PPP ピアによって使用される、2 次 DNS サーバーの アドレスを示します。 MS-Secondary-NBNS-Server PPP ピアによって使用される、2 次 DNS サーバーの アドレスを示します。 Message-Authenticator CHAP、ARAP、または EAP 認証方法を使用して、 Access-Requests を偽装するのを防止するため、 Access-Requests に署名するのに使用します。 Message-Authenticator CHAP、ARAP、または EAP 認証方法を使用して、 Access-Requests を偽装するのを防止するため、 Access-Requests に署名するのに使用します。 NAS-IP-Address ユーザーの認証を要求しており、RADIUS サーバー の範囲内の NAS に特有でなければならない、NAS を 識別する IP アドレスを示します。 NAS-IPv6-Address ユーザーの認証を要求しており、RADIUS サーバー の範囲内の NAS に特有でなければならない、NAS を 識別する IPv6 アドレスを示します。 NAS-Identifier Access-Request を生成した NAS を示す文字列を含ん でいます。 NAS-Port ユーザーを認証している NAS の物理ポート番号を示 します。 NAS-Port-Id ユーザーを認証している NAS のポートを示すテキス ト文字列を含んでいます。 NAS-Port-Type ユーザーを認証している NAS の物理ポートのタイプ を示します。 Password-Retry 切断される前に、いくつの認証の試行がユーザーに 認められるか示します。 Port-Limit NAS によってユーザーに提供されるポートの最大数 を設定します。 Prompt ユーザーの応答を入力時にエコーするかしないかを NAS に示します。 Proxy-State Access-Request を転送するとき、プロキシ サー バーは別のサーバーへこの属性を送信できます。 属性は Access-Accept、Access-Reject または Access-Challenge で未変更のまま返されなければ なりません。 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 24: RADIUS ロール マッピング属性 属性 説明 Reply-Message ユーザーに表示できるテキスト。 Service-Type ユーザーが要求したサービスのタイプ、または提供 されるサービスのタイプ。 Session-Timeout セッションまたはプロンプトが終了するまで、ユー ザーに提供されるサービスの連続最大秒数を設定し ます。 State パケットの State Attribute は 0 か 1 でなければな りません。State Attribute の使用法は実装に依存 しません。 Telephone-number Calling-Station-Id および Called-Station-Id RADIUS 属 性を使用して承認および後続のトンネル属性は、通 話を生成した電話番号、またはコールされている番 号に基づくことができます。 Termination-Action 指定されたサービスが完了したとき、NAS が取 る動作。 Tunnel-Assignment-ID セッションが割り当てられる特定のトンネルのトン ネル イニシエータを示します。 Tunnel-Client-Auth-ID トンネル設立の認証フェーズの間に、トンネル イニ シエータによって使用される名前を指定します。 Tunnel-Client-Endpoint トンネルのイニシエータ側のアドレスを含んで います。 Tunnel-Link-Reject 既存のトンネルにおける新しいリンクの確立の拒否 を示します。 Tunnel-Link-Start トンネル リンクの作成を示します。 Tunnel-Link-Stop トンネル リンクの廃棄を示します。 Tunnel-Medium-Type 複数の転送上で動作できる(L2TP のような)プ ロトコル用にトンネルを作成するときに使用す る転送媒体。 Tunnel-Medium-Type 複数の転送上で動作できる(L2TP のような)プ ロトコル用にトンネルを作成するときに使用す る転送媒体。 Tunnel-Password リモート サーバーの認証に使用されるパスワード。 Tunnel-Preference RADIUS サーバーがトンネル イニシエータにトンネ リング属性の複数のセットを返す場合、各トンネル に割り当てられる相対的な優先度を示すために、各 セットにこの属性を含めます。 Tunnel-Private-Group-ID トンネルが作成された特定のセッションの グループ ID。 Tunnel-Reject 別のノードとのトンネルの確立の拒否を示します。 Tunnel-Server-Auth-ID トンネル設立の認証フェーズの間に、トンネル ター ミネータによって使用される名前を指定します。 Tunnel-Server-Endpoint トンネルのサーバー側のアドレス。 Tunnel-Start 別のノードとのトンネルの確立を示します。 Tunnel-Stop 別のノードからのトンネルの廃棄を示します。 システム変数とその例 385 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 24: RADIUS ロール マッピング属性 属性 Tunnel-Type 説明 (トンネル イニシエータの場合には)使用される トンネリング プロトコル、または(トンネル ター ミネータの場合には)使用中のトンネリング プロ トコル。 User-Name 認証されるユーザーの名前。 User-Password 認証されるユーザーのパスワード、または Access-Challenge に続くユーザーの入力。 Vendor-Specific ベンダーは、一般的な使用のためにふさわしくない 独自の拡張属性をサポートできます。 メモ : Web ページ、telnet、ファイル、および SAM の ACL では、<USER> 代入変数を 使用できます。Network Connect ACL では変数を使用できません。 386 システム変数とその例 付録 C クライアント サイドのアプリケーション インストール この付録では、さまざまな IVE クライアント サイド コンポーネントをインストール、実 行するために必要な権利について説明します。さらに、クライアント サイド コンポーネ ントをインストールするために IVE が使用するパッケージのファイル名や、パッケージが インストールおよびインストール解除するファイル、ユーザーのシステムが実施するレジ ストリの変更がリストアップされます。ここでは以下のトピックについて説明します。 387 ページの「アプリケーションを実行、インストールするために必要な権利」 389 ページの「IVE アプリケーションによるクライアント サイドの変更」 アプリケーションを実行、インストールするために必要な権利 以下の表では、IVE の ActiveX、ActiveX インストーラ サービス、Java メカニズムを使用し て以下の IVE クライアント サイド コンポーネントをインストール、実行するために必要 な権利の要点を説明しています。 388 ページの「Network Connect」 388 ページの「Host Checker」 388 ページの「Cache Cleaner」 クライアント サイドのアプリケーションをインストール、実行するために IVE が使用す るコンポーネントについて、詳細に説明するリンクがある場合、こうしたリンクが示され ます。 アプリケーションを実行、インストールするために必要な権利 387 Juniper Networks NetScreen Secure Access 700 管理ガイド 表 25: Network Connect ActiveX ActiveX: インス トーラ サービス Java Java アクション Windows Windows Windows Mac/Linux 詳細 インストール Admin 制限、パワー ユーザー、また は Admin Admin 該当なし 394 ページ の「Network Connect」を 参照してく ださい。 実行 パワー ユーザー または Admin 制限、パワー ユーザー、また は Admin パワー ユーザーまたは Admin 該当なし 394 ページ の「Network Connect」を 参照してく ださい。 Java Windows Java Mac/Linux 表 26: Host Checker ActiveX: インストーラ サービス Windows アクション ActiveX Windows インストール Admin 制限、パワー ユーザー、また は Admin 制限、パワー ユーザー、 該当なし または Admin 390 ページ の「Host Checker」を 参照してく ださい。 実行 制限、パワー ユーザー、また は Admin 制限、パワー ユーザー、また は Admin 制限、パワー ユーザー、 該当なし または Admin 390 ページ の「Host Checker」を 参照してく ださい。 詳細 表 27: Cache Cleaner 388 ActiveX: インストーラ サービス Windows アクション ActiveX Windows Java Windows インストール Admin 制限、パワー ユーザー、また は Admin 制限、パワー ユーザー、 該当なし または Admin 392 ページ の「Cache Cleaner」を 参照してく ださい。 実行 制限、パワー ユーザー、また は Admin 制限、パワー ユーザー、また は Admin 制限、パワー ユーザー、 該当なし または Admin 392 ページ の「Cache Cleaner」を 参照してく ださい。 アプリケーションを実行、インストールするために必要な権利 Java Mac/Linux 詳細 Juniper Networks NetScreen Secure Access 700 管理ガイド IVE アプリケーションによるクライアント サイドの変更 ここでは、IVE がクライアント サイド コンポーネントをインストールして、実行するた めに必要なコンポーネントを説明します。以下の説明では、コンポーネントの名称、イン ストーラの場所、ログのディレクトリ、インストール中にコンポーネントが実行したレジ ストリの変更について触れます。 389 ページの「インストーラ サービス」 390 ページの「Host Checker」 392 ページの「Cache Cleaner」 394 ページの「Network Connect」 インストーラ サービス Windows ベースの IVE クライアント アプリケーションをユーザーの Windows システム にインストールするときに、IVE は ActiveX インストーラ サービスを使用して、クライア ント アプリケーションのインストーラをユーザーのシステムにダウンロードし、インス トールのプロセスを管理します。 パッケージ ファイルおよびファイルの場所 IVE は、インストーラ パッケージを次の場所にロードします。 Windows 2000: C:\WINNT\Downloaded Program Files\JuniperSetup.ocx Windows XP: C:\Windows\Downloaded Program Files\JuniperSetup.ocx Windows 98: C:\WINDOWS\Downloaded Program Files\JuniperSetup.ocx パッケージでインストールされる追加ファイルとファイルの場所 インストーラ サービスは、クライアントに次の追加ファイルをインストールします。 JuniperSetup.inf JuniperSetup.log1 JuniperSetupDll.dll setupResource_de.dll setupResource_en.dll setupResource_fr.dll setupResource_ja.dll setupResource_zh.dll setupResource_zn_cn.dll 1. JuniperSetup.log ファイルは、インストーラ サービスの一部ではありません。インストール プロセスが始まったら、 作成されます。 IVE アプリケーションによるクライアント サイドの変更 389 Juniper Networks NetScreen Secure Access 700 管理ガイド インストーラ サービスは、次の場所に追加ファイルをインストールします。 C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\Setup C:\WINNT\Downloaded Program Files C:\WINDOWS\Downloaded Program Files アンインストール後に残るファイル : IE 内で ActiveX コントロールが削除されると、以下のファイルが残されます。 JuniperSetup.log JuniperSetup.ocx setupResource_es.dll setupResource_ko.dll レジストリの変更 なし ログ ファイルの場所 C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\Setup Host Checker Host Checker を実行するため、IVE は neoHCSetup.exe.cab パッケージをユーザーのクラ イアントにダウンロードします。このパッケージは、Host Checker を実行するため、追加 ファイルをユーザーのシステムにダウンロードします。 パッケージ ファイルおよびファイルの場所 C:\Documents and Settings\< ユーザー名 >\Local Settings\Temp\neoHCSetup.exe.cab パッケージでインストールされる追加ファイルとファイルの場所 Host Checker は、クライアントに次の追加ファイルをインストールします。 390 dsHostChecker.exe dsHostCheckerProxy.exe dsHostCheckerResource_de.dll dsHostCheckerResource_en.dll dsHostCheckerResource_es.dll dsHostCheckerResource_fr.dll dsHostCheckerResource_ja.dll dsHostCheckerResource_ko.dll dsHostCheckerResource_zh.dll IVE アプリケーションによるクライアント サイドの変更 Juniper Networks NetScreen Secure Access 700 管理ガイド dsHostCheckerResource_zh_cn.dll dsnsisdll.dll dsWinClient.dll EPCheck.dll psapi.dll restore_win2k.txt restore_win98.txt uninstall.exe versionInfo.ini Host Checker は、追加ファイルを次の場所にインストールします。C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\HostChecker メモ : サードパーティ製ソフトウェアをダウンロードするか確認するポリシーを実装す る場合、Host Checker は、次のサブフォルダにさらに DLL をインストールする場合があ ります。C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\HostChecker. 例えば、Advanced Endpoint Defense Malware Protection ポリシーを実装する場合、Host Checker は、このディレクトリに policy_12 というサブフォルダを作成し、このフォル ダに Whole Security DLL をインストールします。前もって定義されたルールを実装する 場合、Host Checker は AV というサブフォルダを作成し、統合サードパーティ製ソフト ウェアを確認するために必要な DLL をインストールします。インストールする DLL は、 Host Checker がクライアント マシンでどのようなソフトウェアをチェックしているかに より、動的に変わります。 アンインストール後に残るファイル : なし レジストリの変更 Host Checker は以下のレジストリ値を設定します。 文字列:LogFile および level が HKEY_CURRENT_USER\SOFTWARE\Juniper\Host Checker\Debug\dsHostChecker で設定されます。 文字列:Language および InstallPath が HKEY_CURRENT_USER\SOFTWARE\Juniper\Host Checker で設定されます。 さらに、Host Checker は、次の値を HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Neote ris_Host_Checker で設定します。 文字列 : DisplayName。“juniper Networks Host Checker” に設定します。 文字列 : DisplayVersion。現在の製品バージョン番号に設定します。 文字列 : Publisher。"Juniper Networks" に設定します。 IVE アプリケーションによるクライアント サイドの変更 391 Juniper Networks NetScreen Secure Access 700 管理ガイド 文字列 : QuietUninstallString。"C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\Cache Cleaner <バージョン番号>\uninstall.exe" /S” に設定し ます。 文字列 : StartupApp。“C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\Host Checker\dsHostChecker.exe” に設定します。 文字列 : StopApp。“C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\Host Checker\dsHostChecker.exe” -stop” に設定します。 文字列 : UninstallString。“C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\Host Checker\uninstall.exe” に設定します。 文字列 : URLInfoAbout。“http://www.juniper.net” に設定します。 ログ ファイルの場所 クライアントサイドのロギングは、Web コンソールの System > Log/Monitoring > Client-side Log タブで有効または無効にできます。(詳細については、176 ページの 「Client-Side Log タブ」を参照してください)。ロギングを有効にすると、Host Checker は 次の場所にログ ファイルを追加します。 C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\Host Checker\dsHostChecker.log C:\Documents and Settings\All Users\Application Data\Juniper Networks\hcsetup.log C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\EPCheck\EPCheck.log C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\Host Checker\dsHostCheckerProxy.log Cache Cleaner Cache Cleaner を実行するため、IVE は neoCacheCleanerSetup.exe.cab パッケージをユー ザーのクライアントにダウンロードします。このパッケージは、Cache Cleaner を実行す るため、追加ファイルをユーザーのシステムにダウンロードします。 パッケージ ファイルおよびファイルの場所 C:\Documents and Settings\< ユーザー名 >\Local Settings\Temp\neoCacheCleanerSetup.exe.cab パッケージでインストールされる追加ファイルとファイルの場所 Cache Cleaner は、クライアントに次の追加ファイルをインストールします。 392 dsCacheCleaner.exe neodbg.dll uninstall.exe versionInfo.ini IVE アプリケーションによるクライアント サイドの変更 Juniper Networks NetScreen Secure Access 700 管理ガイド Cache Cleaner は、追加ファイルを次の場所にインストールします。C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\CacheCleaner < バー ジョン番号 > アンインストール後に残るファイル : なし レジストリの変更 Cache Cleaner は、HKEY_CURRENT_USER\SOFTWARE\Juniper Networks\ Cache Cleaner\Debug\dsCacheCleaner: で次のレジストリ値を設定します。 文字列 : LogFile 文字列 : level さらに、Cache Cleaner は、 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Neoteris_ Cache_Cleaner < バージョン番号 > で次の文字列レジストリ値を設定します。 文字列 : DisplayName 文字列 : DisplayVersion 現在のソフトウェア バージョンに設定します。 文字列 : folders 終了時に、Cache Cleaner がクリアしなければならないフォルダに設 定します。 文字列 : IVEHost IVE の URL に設定します。 文字列 : Publisher “Juniper Networks” に設定します。 文字列 : QuietUninstallString. “C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\Cache Cleaner\uninstall.exe" /S” に設定します。 文字列 : StartupApp. “C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\Cache Cleaner\dsCacheCleaner.exe” に設定します。 文字列 : StopApp. “C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\Cache Cleaner\dsCacheCleaner.exe_ -action stop nodelete 1” に設定します。 文字列 : UninstallString. “C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper Networks\Cache Cleaner\uninstall.exe” に設定します。 文字列 : URLInfoAbout “http://www.juniper.net” に設定します。 IVE アプリケーションによるクライアント サイドの変更 393 Juniper Networks NetScreen Secure Access 700 管理ガイド 詳細については、202 ページの「Cache Cleaner タブ」を参照してください。 ログ ファイルの場所 クライアントサイドのロギングは、Web コンソールの System > Log/Monitoring > Client-side Log タブで有効または無効にできます。(詳細については、176 ページの 「Client-Side Log タブ」を参照してください)。ロギングを有効にすると、Host Checker は 次の場所にログ ファイルを追加します。C:\Documents and Settings\< ユーザー名 >\ Application Data\Juniper Networks\CacheCleaner < バージョン番号 >\ dsCacheCleaner.log. Network Connect Network Connect を実行するため、IVE は NcSetup.exe.cab パッケージをユーザーのクラ イアントにダウンロードします。このパッケージは、Network Connect を実行するため、 追加ファイルをユーザーのシステムにダウンロードします。 パッケージ ファイルおよびファイルの場所 C:\Documents and Settings\< ユーザー名 >\Local Settings\Temp\neoNCsetup.exe.cab パッケージでインストールされる追加ファイルとファイルの場所 Network Connect は、クライアントに次の追加ファイルをインストールします。 394 ncp.dll ncResource_de.dll ncResource_en.dll ncResource_es.dll ncResource_fr.dll ncResource_ja.dll ncResource_ko.dll ncResource_zh.dll ncResource_zh_cn.dll ncsetup.exe ncsvc.exe (C:\<WINDIR>\system32) ncsvc.log ncui.exe neoconn.txt neodbg.dll neosetup.txt nsvcp.sys (C:\<WINDIR>\system32\drivers) IVE アプリケーションによるクライアント サイドの変更 Juniper Networks NetScreen Secure Access 700 管理ガイド uninstall.exe versionInfo.ini Network Connect は、次の場所に追加ファイルをインストールします。 C:\Program Files\Neoteris\Network Connect C:\<WINDIR>\system32 C:\<WINDIR>\system32\drivers アンインストール後に残るファイル : Network Connect のアンインストール後に、クライアントには次のファイルが残ります。 ncsvc.log neosetup.txt レジストリの変更 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce は クライアント上で「現状のまま」にしておく必要があります。そうでない場合は、 Network Connect のインストールと起動は失敗します。 ログ ファイルの場所 クライアントサイドのロギングは、Web コンソールの System > Log/Monitoring > Client-Side Log タブで有効または無効にできます。(詳細については、176 ページの 「Client-Side Log タブ」を参照してください)。ロギングを有効にすると、Network Connect は次の場所にログ ファイルを追加します。C:\Program Files\Neoteris\Network Connect. IVE アプリケーションによるクライアント サイドの変更 395 Juniper Networks NetScreen Secure Access 700 管理ガイド 396 IVE アプリケーションによるクライアント サイドの変更 付録 D アクセス管理制限の設定 IVE アプライアンスにより、次の 3 つのレベルで企業リソースのセキュリティ保護を実現 できます。 Realm―領域レベルでは、認証ポリシーでアクセス管理要件を設定します。 Role―ロール レベルでは、認証ポリシーのロール マッピング規則またはロールの制 限オプションでアクセス管理要件を設定します。 Resource policy―リソース ポリシーレベルでは、規則の条件を作成することにより アクセス管理要件を設定します。 アクセス管理のオプションの設定手順については、以下を参照してください。 398 ページの「ソース IP の指定」 399 ページの「ブラウザ制限の指定」 401 ページの「クライアントサイド証明書の制限の指定」 402 ページの「パスワード文字数制限の指定」 403 ページの「Host Checker の制限の指定」 405 ページの「Cache Cleaner の制限の指定」 概要については、36 ページの「アクセス管理の概要」を参照してください。 397 Juniper Networks NetScreen Secure Access 700 管理ガイド ソース IP の制限 特定の IP アドレスを使用するユーザーに対して IVE サインイン ページへのアクセス、 ロールへの割り当て、またはリソースへのアクセスを許可するには、ソース IP 制限を使 用します。 ソース IP の指定 ソース IP の制限を指定するには、以下の操作を実行します。 1. IP 制限を実装するレベルを選択します。 Role level ― 以下の場所に移動します。 Administrators > Authentication > 領域を選択 > Authentication Policy > Source IP Administrators > Delegation > 領域を選択 > General > Restrictions > Source IP Users > Authentication > 領域を選択 > Role Mapping > ルールを選択 | 作 成 > カスタム式 Users > Roles > ルールを選択 > General > Restrictions > Source IP Resource policy level ― 以下の場所に移動します。Resource Policies > リソース を選択 > ポリシーを選択 > Detailed Rules > ルールを選択 | 作成 > フィール ドに条件をつける 2. 3. 398 ソース IP の制限 以下のオプションのいずれかを選択します。 Users can sign in from any IP address ― アクセス管理の要件を満たすために、 ユーザーが任意の IP アドレスから IVE にサインインできるようにします。 Users can only sign in from the following IP addresses ― アクセス管理の要件を 満たすために、サインインできるユーザーの IP アドレスを制限します。このオ プションを選択する場合は、1 つ以上の IP アドレスを指定してください。 Enable administrators to sign in on the external port ― 外部インターフェース から管理者が IVE にサインインできるようにします。外部ポートを有効にしてか らこのオプションを設定する必要があります。 Save Changes をクリックして設定を保存します。 Juniper Networks NetScreen Secure Access 700 管理ガイド ブラウザの制限 特定の Web ブラウザを使用するユーザーに対して IVE サインイン ページへのアクセス、 ロールへの割り当て、またはリソースへのアクセスを許可するには、ブラウザ制限を使用 します。ユーザーが、サポートされていないブラウザを使用して IVE へのサインインを試 行すると、そのサインインはエラーになり、サポートされていないブラウザが使用されて いることを通知するメッセージが表示されます。この機能は、企業のアプリケーションと 互換性があるブラウザ、またはセキュリティ ポリシーで承認されているブラウザから IVE へのサインインが行われるようにするためにも使用できます。ブラウザ制限機能の目的 は、アクセス コントロールの厳格化ではありません。 メモ : 技術力のあるユーザーは、ブラウザのユーザー エージェント文字列を変更できる からです。この機能は、通常の運用環境で、アクセス時のアドバイスとして役立ちます。 ブラウザ制限を実行するレベルを選択します。 ブラウザ制限の指定 ブラウザの制限を指定するには、以下の操作を実行します。 1. ブラウザ制限を実行するレベルを選択します。 2. Realm level ― 以下の場所に移動します。 Administrators > Authentication > 領域を選択 > Authentication Policy > Browser Users > Authentication > 領域を選択 > Authentication Policy > Browser Role level ― 以下の場所に移動します。 Administrators > Delegation > 領域を選択 > General > Restrictions > Browser Users > Authentication > 領域を選択 > Role Mapping > ルールを選択 | 作 成 > カスタム式 Users > Roles > 領域を選択 > General > Restrictions > Browser Resource policy level ― 以下の場所に移動します。Resource Policies > リソース を選択 > ポリシーを選択 > Detailed Rules > ルールを選択 | 作成 > フィール ドに条件をつける 以下のオプションのいずれかを選択します。 Allow all users matching any user-agent string sent by the browser ― サポート されている任意の Web ブラウザから IVE またはリソースにアクセスできるよう にします。 ブラウザの制限 399 Juniper Networks NetScreen Secure Access 700 管理ガイド Only allow users matching based on the user-agent string sent by the browser ― ブラウザ アクセスの制限規則を定義できます。規則を作成するには、以下の 操作を実行します。 i. User-agent string pattern には、以下の形式で文字列を入力します。 *<browser_string>* この場合、* (アスタリスク)は、あらゆる文字を表すオプションの文字で す。大文字と小文字が区別される <browser_string> は、ブラウザが送信し たユーザー エージェント ヘッダにある部分文字列と一致する必要がありま す。エスケープ文字(\)をブラウザ制限に含めることはできないことに注 意してください。 3. ii. 次のいずれかを選択します。 Allow ― ユーザーは、ユーザー エージェント ヘッダに部分文字列 <browser_string> が含まれるブラウザを使用できます。 Deny ― ユーザーは、ユーザー エージェント ヘッダに部分文字列 <browser_string> が含まれるブラウザを使用できません。 Save Changes をクリックして設定を保存します。 メモ : 規則は順番に適用されます。つまり最初に一致した規則が適用されます。 規則に指定する文字は、大文字と小文字で区別されます。また指定する文字には、 スペースを含めることができません。 また指定する文字には、スペースを含めることができません。たとえば、文字列 *Netscape* は、部分文字列 Netscape を含むすべてのユーザー エージェント文字列と一 致します。 以下の規則では、ユーザーが Internet Explorer 5.5x または Internet Explorer 6.x を使用し てサインインする場合のみ、リソースへのアクセスが許可されます。この例の場合、ユー ザー エージェント ヘッダの部分文字列として "MSIE" を送信する汎用の非 IE ブラウザも 含まれます。 *Opera*Deny *AOL*Deny *MSIE 5.5*Allow *MSIE 6.*Allow *Deny 400 ブラウザの制限 Juniper Networks NetScreen Secure Access 700 管理ガイド 証明書の制限 クライアント コンピュータに対して、有効なクライアントサイド証明書の所有を要求し て IVE サインイン ページへのアクセス、ロールへの割り当て、またはリソースへのアク セスを許可するには、証明書の制限を使用します。この機能を使用する場合、クライアン トサイド証明書を検証するために、CA 証明書をインポートしたかどうかを確認します (詳細については、151 ページの「Trusted Client CAs タブ」を参照してください)。この機 能のセキュリティを最高レベルにするには、ユーザーがサインインするたびに、ユーザー にパスワードの入力を要求するなど、クライアントを設定したかどうかを確認してきま す。特定のブラウザバージョンのデフォルト設定では、証明書のパスワードが記録される ようになっています。 クライアントサイド証明書の制限の指定 証明書の制限を指定するには、以下の操作を実行します。 1. 以下のように選択します。System > Configuration > Certificates > Trusted Client CAs の順で移動し、ルート証明書認証局を指定します。これでは、領域およびロー ル、リソース ポリシーのレベルで有効にするクライアント側証明書の制限が検証で きます。詳細については、151 ページの「Trusted Client CAs タブ」を参照してくださ い。 2. 証明書の制限を実行するレベルを選択します。 Realm level ― 以下の場所に移動します。 Administrators > Authentication > 領域を選択 > Authentication Policy > Certificate Users > Authentication > 領域を選択 > Authentication Policy> Certificate Role level ― 以下の場所に移動します。 Administrators > Delegation > 領域を選択 > General > Restrictions > Certificate Users > Authentication > 領域を選択 > Role Mapping > ルールを選択 | 作 成 > カスタム式 Users > Roles > 領域を選択 > General > Restrictions > Certificate Resource policy level ― 以下の場所に移動します。Resource Policies > リソース を選択 > ポリシーを選択 > Detailed Rules > ルールを選択 | 作成 > フィール ドに条件をつける 3. 以下のオプションのいずれかを選択します。 Allow all users (クライアント側の証明書は必要なし) ― ユーザーのクライア ント コンピュータにクライアントサイド証明書の所有を要求しません。 Allow all users and remember certificate information while user is signed in ― ユーザーのクライアントがクライアントサイド証明書を保有していることを要求 しませんが、クライアントが証明書を所有している場合、IVE は全ユーザー セッション間の証明書情報を記憶しています。 証明書の制限 401 Juniper Networks NetScreen Secure Access 700 管理ガイド 4. Only allow users with a client-side certificate signed by Trusted Client CAs to sign in ― アクセス管理要件を満たすため、ユーザーのクライアント コンピュー タにクライアントサイド証明書の所有を要求します。アクセス イベントをさらに 制限する場合は、独自の証明書属性 / 値ペアを定義できます。ユーザーの証明書 には、定義した属性がすべて含まれている必要があります。 オプションでクライアント証明書の具体的な値を要求するには、証明書フィールド 名および期待される値を追加します。 フィールドの値は、指定することができま す。たとえば、値を uid を Certificate フィールド追加し、値 <userAttr.uid> を Expected Value フィールドに追加できます。 メモ : ユーザー属性は、属性をサポートするすべての認証サーバーから来る場合があり ます。値が認証の間に収集され、セッション コンテキスト データに追加されるよう、証 明書制限で指定された属性名は、サーバー カタログに含めなければなりません。 5. Save Changes をクリックして設定を保存します。 メモ : すべての X.509 Distinguished Name(DN)属性 (C、CN、L、O、OU など)がサ ポートされています。 属性と値のフィールドでは、大文字と小文字が区別されません。 各属性に値を 1 つだけ定義してください。複数の値を指定すると、クライアン トサイド証明書が、CA 証明書に対して正常に認証されません。 パスワードの制限 パスワード制限を使用して、領域のパスワード最低文字数を指定します。 パスワード文字数制限の指定 パスワードの制限を指定するには、以下の操作を実行します。 1. パスワード制限を実行したい管理者領域またはユーザー領域を選択します。 以下のように選択します。 2. 3. 402 パスワードの制限 Administrators > Authentication > 領域を選択 > Authentication Policy > Password Users > Authentication > 領域を選択 > Authentication Policy > Password 以下のオプションのいずれかを選択します。 Allow all users (パスワードの長さに制限なし)― IVE にサインインするユー ザーに対してパスワード文字数の制限を適用しません。 Only allow users that have passwords of a minimum length ― ユーザーは、指 定されている最低文字数でパスワードを入力する必要があります。 パスワード管理を有効にする場合に、Enable Password Management チェックボック スを選択します。また、IVE 認証サーバー設定ページでパスワード管理の設定を行う こともできます(ローカル認証サーバー) Juniper Networks NetScreen Secure Access 700 管理ガイド 4. 2 つめの認証サーバーを有効にした場合には、ステップ 2 をガイドラインとして使用 して、パスワードの長さの制限を指定してください。 5. Save Changes をクリックして設定を保存します。 メモ : IVE のデフォルト設定では、サインイン ページに入力するユーザー パスワードは 最低 4 文字と指定されています。ユーザーの証明書の正当性を検証する認証サーバーに よっては、最低文字数が異なる場合があります。たとえば、IVE ローカル認証データ ベースでは、ユーザー パスワードは最低 6 文字です。 Host Checker の制限 クライアント コンピュータに対して、指定の Host Checker ポリシーの適用を要求して IVE サインイン ページへのアクセス、ロールへの割り当て、またはリソース ポリシーへ のアクセスを許可するには、67 ページの「Host Checker の概要」で説明されているよう に、Host Checker の制限を使用します。 Host Checker の制限の指定 Host Checker の制限を指定するには、次の操作を実行します。 1. 以下のように選択します。Signing In > End Point > Host Checker に移動して、認証 ポリシーまたはロール マッピング規則に、Host Checker を必要とするユーザーに適 用する Host Checker 用のグローバル オプションを指定してください。詳細について は、184 ページの「Host Checker タブ」を参照してください。 2. 領域レベルで Host Checker を実装するには、以下の操作を実行します。 a. b. 以下のように選択します。 Administrators > Authentication > 領域を選択 > Authentication Policy > Host Checker Users > Authentication > 領域を選択 > Authentication Policy > Host Checker Available Policies 列にリストアップされている、利用可能なポリシーまたは個別 のポリシーに対して、以下のオプションをどれか 1 つ選択します。 Evaluate Policies ― クライアント上以外でポリシーを評価し、ユーザー ア クセスを許可します。このオプションでは、ユーザーがアクセス要件を満た すために Host Checker をインストールする必要はありません。 Require and Enforce ― ユーザーが指定された領域にログインするためにク ライアントでのポリシーを要求し、実行します。ユーザーがアクセス要件を 満たすために、Host Checker は指定された Host Checker ポリシーを実行す る必要があります。IVE がクライアント コンピュータに Host Checker をダウ ンロードする必要があります。領域認証ポリシーに対してこのオプションを 選択した場合は、ユーザー認証後、およびユーザーのシステムでのロール マッピング前に、IVE が Host Checker をクライアント コンピュータにダウ ンロードします。このオプションを選択すると、自動的に Evaluate Policies オプションが有効になります。 Host Checker の制限 403 Juniper Networks NetScreen Secure Access 700 管理ガイド c. 3. ロール レベルで Host Checker を実装するには、以下の操作を実行します。 a. b. 404 Host Checker の制限 選択したポリシーすべての全要件にユーザーが合致する必要がない場合、Allow access to realm if any ONE of the selected “require and Enforce” policies is passed チェックボックスを選択します。ただし、選択した Host Checker ポリ シーのいずれかの要件を満たす場合、ユーザーは領域にアクセスできます。 以下のように選択します。 Administrators > Delegation > ロールを選択 > General > Restrictions > Host Checker Users > Roles > ロールを選択 > General > Restrictions > Host Checker 以下のオプションのいずれかを選択します。 Allow all users ― ユーザーがアクセス要件を満たすために Host Checker を インストールする必要はありません。 Allow only users whose workstations meet the requirements specified by these Host Checker policies ― ユーザーがアクセス要件を満たすために、 Host Checker が指定された Host Checker ポリシーを実行している必要があ ります。 c. 選択したポリシーすべての全要件にユーザーが合致する必要がない場合、Allow access to role if any ONE of the selected “Require and Enforce” policies is passed チェックボックスを選択します。ただし、選択した Host Checker ポリ シーのいずれかの要件を満たす場合、ユーザーはロールにアクセスできます。 d. New Rule をクリックして、Rule based on リストから Custom Expressions を選 択し、Update をクリックします。または、既存のルールを更新するには、When users meet these conditions リストから選択します。 e. Expressions をクリックします。 f. ...then assign these roles セクションで、IVE が、カスタム式で指定された要件 にユーザーが合致したとき、そのユーザーにマッピングするロールを選択し、 Add をクリックします。 g. Stop processing rules when this rule matches にチェックを入れるのは、ユー ザーがこの規則で定義された要件を完全に満たした場合に、IVE によるロール マッピング規則の評価を停止したい場合です。 h. New Rule をクリックするか、Detailed Rules リストから既存の規則を選択 します。 Juniper Networks NetScreen Secure Access 700 管理ガイド Cache Cleaner の制限 クライアント マシンに対して、指定の Cache Cleaner 要件の適用を要求して IVE サインイ ン ページへのアクセス、ロールへの割り当て、またはリソース ポリシーへのアクセスを 許可するには、76 ページの「Cache Cleaner の概要」で説明されているように Cache Cleaner の制限を使用します。 Cache Cleaner の制限の指定 Cache Cleaner の制限を指定するには、次の操作を実行します。 1. 以下のように選択します。System > Signing In > End Point > Cache Cleaner に移動 して、認証ポリシー、ロール マッピング規則、またはリソース ポリシーに Cache Cleaner を必要とするユーザーに対して適用する Cache Cleaner 用のグローバル オプ ションを指定してください。詳細については、202 ページの「Cache Cleaner タブ」 を参照してください。 2. 領域レベルで Cache Cleaner を実装するには、以下の操作を実行します。 3. a. 以下のように選択します。Users > Authentication > 領域を選択 > Authentication Policy > Cache Cleaner b. 以下のオプションのいずれかを選択します。 Disable Cache Cleaner ― ユーザーはアクセス要件を満たすために、Cache Cleaner をインストールまたは実行する必要がありません。 Just load Cache Cleaner ― ユーザーはアクセス要件を満たすために、Cache Cleaner を実行する必要はありません。ただし、今後のために Cache Cleaner をインストールしておきます。領域の承認ポリシーに対してこのオプション を選択した場合は、ユーザーが認証された後、およびユーザーがシステム内 のロールにマッピングされる前に、IVE が Cache Cleaner をクライアント コ ンピュータにダウンロードします。 Load and enforce Cache ― ユーザーはアクセス要件を満たすために、IVE で Cache Cleaner をダウンロードし、実行する必要があります。領域の承認ポ リシーに対してこのオプションを選択した場合は、ユーザーが IVE サインイ ン ページにアクセスする前に、IVE が Cache Cleaner をクライアント コン ピュータにダウンロードします。 ロール レベルで Cache Cleaner を実装するには、以下の操作を実行します。 a. b. 以下のように選択します。 Administrators > Delegation > ロールを選択 > General > Restrictions > Cache Cleaner Users > Roles > ロールを選択 > General > Restrictions > Cache Cleaner Enable Cache Cleaner オプションをチェックします。ユーザーがアクセス要件を 満たすために、Cache Cleaner を実行する必要があります。 Cache Cleaner の制限 405 Juniper Networks NetScreen Secure Access 700 管理ガイド Limits 制限 領域の最小および最大同時ユーザー数を設定するには、Limits 制限を使用します。詳細に ついては、242 ページの「同時ユーザーの制限」を参照してください。 Limits 制限の指定 Limits 制限を指定するには、以下の操作を実行します。 406 Limits 制限 1. 領域の同時ユーザーの数を制限したい場合、Limit the number of concurrent users チェックボックスを選択します。 2. 同時ユーザーの数を制限することに決めている場合、保証最小数を設定します。ゼロ (0)と領域に定義された同時ユーザー最大数の間の、任意のユーザー数を指定でき ます。あるいは、領域の最大数がない場合、ライセンスによって許可された最大数ま での数を設定できます。 3. 同時ユーザーの数を制限することに決めている場合、保証最大数(オプション)を設 定します。指定した最小数からライセンスされたユーザーの最大数まで、同時ユー ザーの数を指定できます。フィールドにゼロ(0)を入力すると、ユーザーは領域に ログインできません。 4. Save Changes をクリックします。 付録 E ユーザー エラー メッセージ このセクションにはエンドユーザー エラー メッセージの付属資料が含まれています。 Network Connect エラー メッセージ このセクションは、以下のような環境における Network Connect エラー メッセージにつ いて説明しています。 407 ページの「Windows エラー メッセージ」 422 ページの「Macintosh エラー メッセージ」 Windows エラー メッセージ このセクションは、Windows 環境の Network Connect エラー メッセージについて説明し ています。 nc.windows.app.23660 システム ログ メッセージ 原因 アクション リソース < リソース名 > をダウンロードできません。代わりに英語版のリソース ライブ ラリをロードしています。 指定したリソース ライブラリが見つかりませんでした。 Network Connect クライアントを再インストールしてください。使用したいリソースにま だアクセスできない場合は、システム管理者に問い合わせてください。 Network Connect エラー メッセージ 407 Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.app.23661 システム ログ メッセージ 原因 アクション リソース < リソース名 > をロードできません。 指定したリソース ライブラリが見つかりませんでした。 Network Connect クライアントを再インストールしてください。指定したリソース ライブ ラリにまだアクセスできない場合は、システム管理者に連絡してください。 nc.windows.app.23662 システム ログ メッセージ コンポーネントが不足しているために Network Connect クライアントを起動できません。 原因 Network Connect スタンドアロン クライアント認証情報が有効ですが、必要なコンポーネ ントが不足しています。Network Connect はセッションを終了する必要があります。 アクション Network Connect スタンドアロン クライアントをアンインストールして再度インストール してから、Network Connect をもう一度起動します。 nc.windows.app.23663 システム ログ メッセージ 原因 アクション Network Connect はクライアント上ですでに実行中です。既存のセッションを終了してか ら、新しいセッションを開始します。 Network Connect はこのコンピュータですでに実行中です。 OK をクリックして新規 Network Connect アプリケーションを終了し、既存の Network Connect セッションを手動で終了して、もう一度 Network Connect を起動します。 nc.windows.app.23664 システム ログ メッセージ 原因 アクション Network Connect 仮想アダプタ ドライバが正常にインストールされていません。Network Connect を再インストールしてください。 Network Connect ドライバが正しくインストールされていません。 Network Connect をアンインストールして再度インストールし、再びセキュア ゲートウェ イにサインインします。Network Connect のインストールが再び正常に行われなかった場 合は、システム管理者に連絡してください。 nc.windows.app.23677 システム ログ メッセージ 原因 アクション 408 GINA (Graphical Identification and Authentication)自動サインイン機能を有効にして、 Windows の起動時に Network Connect を起動しますか ? システム管理者は、このロールに対して GINA 自動サインイン機能を有効にしました。現 時点で GINA を使用可能にしたり、あるいは GINA のインストールを延期することができ ます。(GINA により、Windows の起動時に Network Connect を起動することができま す。) Yes をクリックして、お使いのコンピュータで GINA 自動サインイン機能を有効にします。 No をクリックして、Network Connect に手動でサインインします。 Network Connect エラー メッセージ Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.app.23678 システム ログ メッセージ GINA (Graphical Identification and Authentication)自動サインイン機能がコンピュータで 有効になっています。 原因 システム管理者は、セキュア ゲートウェイで GINA 自動サインイン機能を有効にしまし た。これにより、Windows にサインインする際 Network Connect が自動的に起動します。 この機能は、次回コンピュータを起動して Windows を開始すると有効になります。 アクション これは情報メッセージです。OK をクリックして続行します。 nc.windows.app.23679 システム ログ メッセージ Network Connect は Windows の起動時に起動するように設定されますが、別の Windows アプリケーションとの競合のためにこの機能を有効にできません。 原因 システム管理者は、セキュア ゲートウェイでこのユーザー ロールのために GINA (Graphical Identification and Authentication)自動サインイン機能を有効にしました。しか し、コンピュータには別のアプリケーションからインストールした既存の GINA コンポー ネントがあります。 アクション OK をクリックして続行します。Windows にサインインしてからセキュア ゲートウェイに サインインし、セキュア ゲートウェイの Web コンソール ページから Network Connect を 起動します。 nc.windows.app.23680 システム ログ メッセージ 原因 アクション Network Connect システム管理者は GINA (Graphical Identification and Authentication)自 動サインイン機能を無効にしました。この変更は次回に Windows を起動するときに反映 されます。 GINA 自動サインイン機能は当初このユーザー用に有効になっていましたが、システム管 理者がセキュア ゲートウェイで機能を無効にしました。 OK をクリックして、Network Connect セッションを継続します。 nc.windows.app.23681 システム ログ メッセージ Network Connect は Graphical Identification and Authentication (GINA)自動サインイン機 能を初期化できませんでした。 原因 適切な管理者権限がないか、このコンピュータに Juniper Installer Service がインストール されていません。 アクション システム管理者に連絡して Juniper Installer Service または、GINA 対応の正しい Network Connect アプリケーションをコンピュータにインストールします。 Network Connect エラー メッセージ 409 Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.app.23682 システム ログ メッセージ Network Connect は、Graphical Identification and Authentication (GINA)自動サインイン 機能を無効にできませんでした。 原因 システム管理者はユーザー ロールの GINA を無効にしましたが、適切な管理者権限がない か、このコンピュータに Juniper Installer Service がインストールされていません。 アクション システム管理者に連絡して Juniper Installer Service または、正しい Network Connect アプ リケーションをコンピュータにインストールします。 nc.windows.app.23686 システム ログ メッセージ 自動接続機能を有効にするには、コンピュータを再起動する必要があります。自動接続機 能により、Windows の起動時に Network Connect トンネルを起動することができます。こ こで再起動しますか ? 原因 ユーザーが Network Connect オプション ダイアログボックスで “Auto connect” を選択し ました。この設定は、セキュア ゲートウェイ管理者が、クライアントでオプションの選択 を許可している場合のみ有効になります。 アクション OK をクリックしてコンピュータを再起動し、自動接続オプションを有効にします。後で コンピュータの再起動を行うには No を選択します。自動接続オプションを作動させずに ダイアログボックスを閉じる場合、Cancel をクリックします。 nc.windows.app.23687 システム ログ メッセージ Network Connect は Windows の起動時に起動するように設定されますが、別の Windows アプリケーションとの競合のためにこの機能を有効にできません。Network Connect のイ ンストールが終了しました。 原因 システム管理者は、セキュア ゲートウェイでこのユーザー ロールのために GINA (Graphical Identification and Authentication)自動サインイン機能を有効にしました。しか し、コンピュータには別のアプリケーションからインストールした既存の GINA コンポー ネントがあります。 アクション OK をクリックして、インストールを終了します。Windows にサインインしてからセキュ ア ゲートウェイにサインインし、セキュア ゲートウェイの Web コンソール ページから Network Connect を起動します。 nc.windows.app.23689 システム ログ メッセージ 原因 アクション 410 APPDATA フォルダを開くことができません。 フォルダは、アクセスに許可が必要か、削除あるいは移動されたか、壊れた可能性があり ます。 現在のユーザーのアクセス レベルや、ユーザーが自分のアプリケーションのデータ フォ ルダを開くことができるかどうか確認してください。(フォルダの場所は APPDATA\Juniper Networks\Network Connect < バージョン >\ です。)次に Network Connect をサインアウトして、Windows に再度サインインします。アプリケーション データ フォルダをまだ開くことができない場合、システム管理者に連絡してください。 Network Connect エラー メッセージ Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.app.23703 システム ログ メッセージ 原因 アクション 情報はログ ファイルへ正常にコピーされました。 これは、ログ ファイルが正常に更新されたことを確認するメッセージです。 これは情報メッセージです。何も実行する必要はありません。 nc.windows.app.23704 システム ログ メッセージ 接続試行がタイムアウトしました。 原因 セキュア ゲートウェイからの応答の待機中に Network Connect クライアントがタイムア ウトしました。 アクション Network Connect クライアントを閉じて、もう一度サインインしてください。それでもサ インインできない場合は、システム管理者に連絡してください。 nc.windows.app.23705 システム ログ メッセージ 連結情報を表示できません。 原因 Network Connect は、セキュア ゲートウェイの接続情報を取得して表示することができま せん。(接続情報には、送受信されたバイト数、暗号化プロトコル、圧縮情報、転送モー ド情報が入っています。)セキュア ゲートウェイへのネットワーク接続性がクライアント にあるかどうか、ファイアウォールまたはネットワーク設定を確認してください。 アクション セキュア ゲートウェイをサインアウトして、再接続します。それでも接続情報を表示する ことができない場合は、システム管理者に連絡してください。 nc.windows.app.23706 システム ログ メッセージ Network Connect 自動接続エラー。 原因 Network Connect が、Windows のサインイン時に確立された自動セキュア ゲートウェイ 接続を使用することができません。 アクション セキュア ゲートウェイに再度接続してみてください。それでも自動セキュア ゲートウェ イ接続に接続することができない場合、システム管理者に連絡してください。 Network Connect エラー メッセージ 411 Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.app.23707 システム ログ メッセージ NCService コンポーネントへの接続を開始できません。 原因 Network Connect は NCService コンポーネントへの接続を開くことができません。 Network Connect サービスが使用不可になったか、Network Connect のインストール中に エラーが発生した可能性があります。 アクション Network Connect クライアントを再起動します。接続できない場合、Network Connect を 一度アンインストールしてから再度インストールして、サインインします。それでも NCService コンポーネントへの接続を開くことができない場合、システム管理者に連絡 してください。 nc.windows.app.23708 システム ログ メッセージ セキュア ゲートウェイに接続できません。 原因 Network Connect はセキュア ゲートウェイに接続できません。これは、ネットワークまた はファイアウォールの問題か、セキュア ゲートウェイの設定の問題である可能性があり ます。 アクション ネットワーク接続、プロキシ設定(該当する場合)、ファイアウォールあるいはルーター の ACL 規則をシステム管理者に確認して、クライアントがセキュア ゲートウェイに接続 できることを確認してください。その後、セキュア ゲートウェイに再度接続してみてくだ さい。それでもセキュア ゲートウェイへの接続を開くことができない場合、システム管理 者に連絡してください。 nc.windows.app.23709 システム ログ メッセージ 原因 アクション 412 セキュア ゲートウェイへの接続を開始できません。 Network Connect はセキュア ゲートウェイへの接続を開くことができません。これは、 ネットワークまたはファイアウォールの問題か、セキュア ゲートウェイの設定の問題で ある可能性があります。 ネットワーク接続、プロキシ設定(該当する場合)、ファイアウォールあるいはルーター の ACL 規則をシステム管理者に確認して、クライアントがセキュア ゲートウェイに接続 できることを確認してください。その後、セキュア ゲートウェイに再度接続してみてくだ さい。それでもセキュア ゲートウェイへの接続を開くことができない場合、システム管理 者に連絡してください。 Network Connect エラー メッセージ Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.app.23710 システム ログ メッセージ 原因 アクション セキュア ゲートウェイからの接続情報を取得できません。 Network Connect は、セキュア ゲートウェイから接続設定情報を取得できません。IVE へ の接続が失われた可能性があります。 セキュア ゲートウェイをサインアウトして、再接続します。その後、ネットワーク接続、 プロキシ設定(該当する場合)、ファイアウォールあるいはルーターの ACL 規則をシステ ム管理者に確認して、クライアントがセキュア ゲートウェイに接続できることを確認し てください。それでもセキュア ゲートウェイへの接続を開くことができない場合、システ ム管理者に連絡してください。 nc.windows.app.23711 システム ログ メッセージ Network Connect セッションを終了しました。もう一度接続しますか ? 原因 クライアントのルーティング テーブルが変更されたため、Network Connect クライアント とセキュア ゲートウェイの接続が切れました。 アクション Yes をクリックして、セキュア ゲートウェイにサインインし、もう一度 Network Connect を起動します。Network Connect クライアントを終了するには、No をクリックします。 nc.windows.app.23712 システム ログ メッセージ 原因 アクション Network Connect セッションを終了しました。もう一度接続しますか ? クライアントの設定にエラーがあるため、Network Connect クライアントとセキュア ゲー トウェイの接続が切れました。ネットワーク アダプタなどのハードウェアの一部にエラー が生じた可能性があります。 セキュア ゲートウェイへの接続をもう一度確立するには、Yes をクリックします。 Network Connect クライアントを終了するには、No をクリックします。それでも問題 が解決されない場合には、システム管理者に連絡して、コンピュータのシステム設定 を確認してからセキュア ゲートウェイにサインインして、Network Connect をもう一 度起動します。または、Network Connect をアンインストールしてからもう一度イン ストールできます。 nc.windows.app.23713 システム ログ メッセージ 原因 アクション プロキシ認証はセキュア ゲートウェイに接続する必要があります。 クライアントとセキュア ゲートウェイ間でプロキシ サーバーが設定されています。プロ キシ サーバーは、セキュア ゲートウェイへの接続を許可する有効な認証証明書が必要で す。 有効な証明書情報をプロキシ認証ダイアログボックスに入力してください。 Network Connect エラー メッセージ 413 Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.app.23714 システム ログ メッセージ 原因 アクション セキュア ゲートウェイへの接続に失敗しました。 前回の Network Connect セッションがセキュア ゲートウェイからの切断に失敗しました。 前回のセッションが終了しているのを確認し、セキュア ゲートウェイに再度接続してみ てください。それでもセキュア ゲートウェイに接続できない場合、システム管理者に連絡 してください。 nc.windows.app.23715 システム ログ メッセージ 原因 アクション セキュア ゲートウェイからの接続情報を取得できません。 Network Connect が、セキュア ゲートウェイから接続情報を取得中にエラーを受信しまし た。セキュア ゲートウェイにアクセスできなくなったか、正しく動作していない可能性が あります。 セキュア ゲートウェイをサインアウトして、再接続します。(さらに、Network Connect クライアントをアンインストールして再度インストールすることを推奨します。)それで も接続情報を表示することができない場合は、システム管理者に連絡してください。 nc.windows.app.23786 システム ログ メッセージ 原因 アクション Network Connect NCService コンポーネントが実行されていません。 Network Connect サービスが実行されておらず、また、現在のユーザーはサービスの開始 に必要な管理者権限を持っていません。 Network Connect をもう一度インストールし、再びセキュア ゲートウェイにサインイ ンします。まだ Network Connect を起動できない場合は、システム管理者に連絡して ください。 nc.windows.app.23787 システム ログ メッセージ 414 Network Connect サービスを開始できません。Network Connect を再インストールしてく ださい。 原因 Network Connect NCService コンポーネントが実行されていないため、クライアントがこ れを開始できません。 アクション Network Connect をアンインストールして再度インストールし、再びセキュア ゲートウェ イにサインインします。まだ Network Connect を起動できない場合は、システム管理者に 連絡してください。 Network Connect エラー メッセージ Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.app.23790 システム ログ メッセージ 原因 アクション Network Connect セッションがタイムアウトしました。 セッションがタイムアウトしたため、Network Connect クライアントがセキュア ゲート ウェイから切断されました。セッションの時間が、管理者がセキュア ゲートウェイで設定 したセッション アイドル タイムアウト時間、あるいは最大セッション時間に到達した可 能性があります。 セキュア ゲートウェイにサインインして、もう一度 Network Connect を起動してくだ さい。 nc.windows.app.23791 システム ログ メッセージ 原因 アクション セキュア ゲートウェイは、このクライアントから接続要求を拒否しました。 セキュア ゲートウェイがこのコンピュータの接続要求を拒否しました。 セキュア ゲートウェイに再度接続してみてください。それでもセキュア ゲートウェイに 接続できない場合、システム管理者に連絡してください。 nc.windows.app.24044 システム ログ メッセージ 原因 アクション Network Connect は TOS (Type of Service)機能を初期化できませんでした。 システム管理者はユーザー ロール用に TOS 機能を起動しましたが、Network Connect ク ライアントは作動することができません。 システム管理者にお問い合わせください。 nc.windows.app.24045 システム ログ メッセージ 原因 アクション Network Connect は TOS (Type of Service)機能を無効にできませんでした。 システム管理者はユーザー ロール用に TOS 機能を無効にしましたが、Network Connect クライアントは無効にすることができません。 システム管理者にお問い合わせください。 nc.windows.app.24052 システム ログ メッセージ 原因 アクション Network Connect は、<x> 分 <y> 秒アイドル状態が続くと、タイムアウトします。 Network Connect セッションで、操作が行われないまま、自動終了で設定されているタイ ムアウト時間に達しました。この時間は、システム管理者によってセキュア ゲートウェイ で設定されています。 Network Connect セッションを続行するには Extend Session ボタンをクリックします。 Network Connect エラー メッセージ 415 Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.app.24054 システム ログ メッセージ 原因 アクション Network Connect セッションは、<x> 分 <y> 秒間アイドル状態が続くと、タイムアウ トします。 Network Connect セッションの実行時間が、システム管理者が設定した最大セッション時 間に近づいています。 セッションが終了したら、セキュア ゲートウェイにサインインして、再度 Network Connect を起動してください。 nc.windows.app.24058 システム ログ メッセージ TOS (Type of Service)機能を無効にするには、コンピュータを再起動する必要がありま す。ここで再起動しますか ? 原因 システム管理者はあなたのユーザー ロールに対して設定された TOS 機能を無効にしたの で、コンピュータを再起動して、ローカルで TOS を無効にしてください。 アクション Yes をクリックして今すぐ再起動するか No をクリックして、そのまま作業を続けて、あ とからコンピュータを再起動してください。 nc.windows.app.24059 システム ログ メッセージ TOS (Type of Service)機能を有効にするには、コンピュータを再起動する必要がありま す。ここで再起動しますか ? 原因 システム管理者はあなたのユーザー ロールに対して設定された TOS 機能を有効にしたの で、コンピュータを再起動して、ローカルで TOS を有効にしてください。 アクション Yes をクリックして今すぐ再起動するか No をクリックして、そのまま作業を続けて、あ とからコンピュータを再起動してください。 nc.windows.app.24062 システム ログ メッセージ 原因 アクション Network Connect を起動すると自動的に W-SAM セッションが終了し、それによりネット ワーク リソースの一部にアクセスできなくなる可能性があります。Network Connect を起 動しますか ? W-SAM セッション作動中に、Network Connect セッションを開始しました。 Yes をクリックして、自動的に W-SAM を終了し、Network Connect を起動します。No を クリックして、Network Connect を起動せずに W-SAM セッションに戻ります。(注意: No をクリックすると、Network Connect クライアント アプリケーションはコンピュータ にインストールされますが、起動されません。) nc.windows.gina.23806 システム ログ メッセージ 原因 アクション 416 GINA (Graphical Identification and Authentication)自動サインインを使用する Network Connect サインインはセキュア ゲートウェイで設定されていません。 ユーザーのサインイン認証情報が有効ですが、システム管理者はユーザー ロールに対し て GINA を有効にしていません。 システム管理者に連絡して、ユーザー ロールに対して GINA を有効にしてください。 Network Connect エラー メッセージ Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.gina.23807 システム ログ メッセージ GINA (Graphical Identification and Authentication)自動サインイン機能により、現在の バージョンの Network Connect を起動できません。セキュア ゲートウェイでのバージョン よりも古いバージョンを実行しています。Windows が起動した後で、セキュア ゲート ウェイにサインインして、Network Connect のバージョンをアップグレードします。 原因 セキュア ゲートウェイでのバージョンよりも古いバージョンの Network Connect を実行 しています。このため、GINA 自動サインイン機能は Windows の起動時に Network Connect を起動できません。 アクション Windows が起動した後で、セキュア ゲートウェイにサインインして、Network Connect のバージョンをアップグレードします。 nc.windows.gina.23808 システム ログ メッセージ Network Connect トンネルを確立できませんでした。GINA (Graphical Identification and Authentication)自動サインイン機能がセキュア ゲートウェイで有効になっていません。 原因 ユーザーのサインイン認証情報が有効ですが、ユーザー ロールに対して GINA が有効に なっていません。インストールの前に GINA がこのロールで有効にされており、システム 管理者が無効にした可能性があります。 アクション システム管理者に連絡して、ユーザー ロールに対して GINA を有効にしてください。 nc.windows.gina.23809 システム ログ メッセージ ユーザーが Windows NT または Windows Active Directory ドメインにログインしていない ため、Network Connect トンネルの接続が切れました。 原因 Windows NT または Windows Active Directory ドメイン認証情報に一致していない、 キャッシュされた認証情報を使用して Windows セッションにサインインした可能性があ ります。 アクション コンピュータが正しい Windows NT または Windows Active Directory ドメインのメンバー であり、Windows サインイン認証情報が有効であることを確認します。 nc.windows.gina.23810 システム ログ メッセージ 有効なプロキシ サーバー IP アドレスまたはホスト名を入力する必要があります。 原因 プロキシ サーバーのオプションが有効にされていますが、プロキシ IP アドレスまたはホ スト名が無効であるか、プロキシ サーバー情報が指定されていません。 アクション プロキシ サーバー情報が有効であることを確認し、セキュア ゲートウェイにもう一度サ インインしてください。 Network Connect エラー メッセージ 417 Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.gina.23811 システム ログ メッセージ 原因 アクション 完全な URL を https://www.server.yourcompany.com のフォーマットで入力します。 指定した URL が無効であるか、正しくフォーマットされていません。 https:// が先頭に付いており、セキュア ゲートウェイのホスト名が正しいことを確認 します。 nc.windows.gina.23812 システム ログ メッセージ 原因 アクション プロキシ サーバーとの通信に必要な HTTP ポートを入力します。 プロキシ サーバー用に指定されたポートが正しくないか、TCP ポートではありません。 システム管理者に問い合わせて、プロキシ サーバーのポート番号を確認します。 nc.windows.gina.23814 システム ログ メッセージ 原因 アクション セキュア サーバーが認識しているユーザー名を入力します。 ユーザー名フィールドが空のままです。 有効なユーザー名を指定して、もう一度接続します。 nc.windows.gina.23816 システム ログ メッセージ 原因 アクション セキュア ゲートウェイ認証が失敗しました。 入力した認証ユーザー名またはパスワードが無効であり、セキュア ゲートウェイに拒否 されました。 ユーザー名とパスワードを確認して、もう一度サインインします。指定したユーザー名と パスワードが正しいと思われる場合には、システム管理者にお問い合わせください。 nc.windows.gina.23817 システム ログ メッセージ 原因 アクション 418 Network Connect トンネルを確立できませんでした。 クライアントとセキュア ゲートウェイ間で Network Connect トンネルを確立できません でした。ネットワークで一時的な接続障害が発生した可能性があります。プロキシ設定に 問題があるか、GINA (Graphical Identification and Authentication)自動サインイン機能と Network Connect サービスの間で通信エラーが発生した可能性があります。 システム管理者に問い合わせてネットワークの接続、プロキシ設定、セキュア ゲート ウェイ設定を確認します。 Network Connect エラー メッセージ Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.gina.23818 システム ログ メッセージ 原因 アクション セキュア ゲートウェイへの接続が終了しました。 Network Connect サービスが認証中に予期せず終了しました。 Windows にサインインしたあとで Network Connect をアンインストールします。セキュア ゲートウェイにサインインして、Network Connect をもう一度インストールします。 nc.windows.gina.23819 システム ログ メッセージ Network Connect トンネルを確立できませんでした。セキュア ゲートウェイで複数のユー ザー ロールに関連付けられています。これは、GINA (Graphical Identification and Authentication)自動サインイン機能との互換性がありません。 原因 セキュア ゲートウェイはロール選択のページでユーザーにメッセージを表示するように 設定されています。このページは、GINA がユーザー ロールで有効になっている場合にサ ポートされません。 アクション システム管理者は ユーザーの GINA を無効にするか、ユーザーが単一のロールに関連付け られるようにする必要があります。 nc.windows.gina.23820 システム ログ メッセージ 原因 アクション 2 回連続で試しても、セキュア ゲートウェイはユーザー認証情報を認証できませんでし た。GINA (Graphical Identification and Authentication)自動サインイン機能は、現在の Windows サインイン セッション中に再度セキュア ゲートウェイにサインインしようとし ません。 2 回連続で試しても、セキュア ゲートウェイは指定されたユーザー認証情報を認証でき ませんでした。 ユーザー認証情報を確認して、Windows が起動したあとにセキュア ゲートウェイに接続 します。Windows サインイン中に使用した認証情報が正しいと思われる場合には、シス テム管理者にお問い合わせください。 nc.windows.setup.24046 システム ログ メッセージ このコンピュータに Network Connect をインストールするには、管理者権限が必要です。 Network Connect のインストールが終了しました。 原因 このコンピュータに現在サインインしたユーザーには管理者権限がありません。Network Connect クライアントをインストールして実行するためには管理者権限が必要です。 アクション システム管理者として Windows にサインインして、もう一度 Network Connect をインス トールします。 Network Connect エラー メッセージ 419 Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.setup.24047 システム ログ メッセージ 原因 アクション Network Connect は、このオペレーティング システムではサポートされていません。 Network Connect のインストールが終了しました。 このバージョンの Network Connect クライアントのインストールをサポートしているの は、Windows 2000 と Windows XP だけです。 OK をクリックして、Network Connect のインストールを終了します。 nc.windows.setup.24050 システム ログ メッセージ Network Connect のアップグレードが失敗しました。手動で Network Connect クライアン トをアンインストールし、もう一度インストールします。 原因 Network Connect アップグレードのプロセスで問題が発生しました。Network Connect は 部分的にインストールされているため、アップグレード プロセスのアンインストールが 失敗した可能性があります。 アクション OK をクリックしてこのメッセージ ボックスを閉じ、Network Connect を手動でアンイン ストールしてからアップグレード バージョンをインストールします。 nc.windows.setup.24051 システム ログ メッセージ Network Connect のインストールを完了するには、コンピュータを再起動する必要があり ます。このコンピュータを今すぐ再起動しますか ? 原因 Network Connect のインストールのプロセスで問題が発生しました。以前のバージョンの NCService コンポーネントが、Service Control マネージャ内で停止していない可能性があ ります。 アクション Yes をクリックしてアップグレードのプロセスを完了し、コンピュータを再起動します。 nc.windows.setup.24053 システム ログ メッセージ 原因 アクション 開いている Microsoft Internet Explorer ウィンドウをすべて閉じてください。Network Connect のインストールを中止しています ... Internet Explorer ウィンドウが開いていて、Juniper ActiveX コントロールが一時停止し、 Network Connect のインストールが無効になりました。 OK をクリックして、すべての Internet Explorer ウィンドウを閉じ、再度 Network Connect をインストールします。 nc.windows.setup.24055 420 システム ログ メッセージ Network Connect のセットアップを完了するには、コンピュータを再起動する必要があり ます。 原因 Network Connect をセットアップするプロセスのアンインストールの部分で、NCService コンポーネントを停止するときにエラーが発生しました。問題を訂正するには、コン ピュータを再起動する必要があります。 アクション OK をクリックしてコンピュータを再起動し、Network Connect のインストールを完了し ます。 Network Connect エラー メッセージ Juniper Networks NetScreen Secure Access 700 管理ガイド nc.windows.setup.24056 システム ログ メッセージ 原因 アクション このコンピュータで Network Connect をアンインストールするには、管理者権限が必要で す。Network Connect のセットアップが終了しました。 管理者権限がありません。 システム管理者にお問い合わせください。 nc.windows.setup.24057 システム ログ メッセージ Network Connect が、このコンピュータ上でプラグアンドプレイが無効になっていること を検出しました。現在、Network Connect の特定のコンポーネントをこのコンピュータに インストールできません。プラグアンドプレイを有効にするに方法については、セキュア ゲートウェイのオンライン文書を参照してください。 原因 このメッセージは、プラグアンドプレイがコンピュータ上の他のアプリケーションにより 無効にされている場合に、表示されます。このため、Network Connect ドライバのイン スールを完了できません。 アクション 次のレジストリ キーをクライアント システム上に作成する必要があります。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce これにより、クライアント システム上のプラグアンドプレイが有効になります。 nc.windows.setup.24058 システム ログ メッセージ インストールのプロセスを完了するには、コンピュータを再起動する必要があります。 ファイルを保存し、OK をクリックしてコンピュータを再起動します。 原因 Network Connect を Windows 98 システムにインストールしようとしています。インス トールのプロセスを完了するには、コンピュータを再起動する必要があります。 アクション ファイルを保存し、実行中のすべてのアプリケーションを閉じ、OK をクリックしてコン ピュータを再起動します。 nc.windows.setup.24059 システム ログ メッセージ アンインストールのプロセスを完了するには、コンピュータを再起動する必要がありま す。ファイルを保存し、OK をクリックしてコンピュータを再起動します。 原因 Network Connect を Windows 98 システムから削除しようとしています。インストールの プロセスを完了するには、コンピュータを再起動する必要があります。 アクション ファイルを保存し、実行中のすべてのアプリケーションを閉じ、OK をクリックしてコン ピュータを再起動します。 Network Connect エラー メッセージ 421 Juniper Networks NetScreen Secure Access 700 管理ガイド Macintosh エラー メッセージ このセクションは、Macintosh 環境の Network Connect エラー メッセージについて説明し ています。 nc.mac.app.1003 システム ログ メッセージ 原因 アクション Network Connect はセキュア ゲートウェイに接続できません。 スタンドアロンの Network Connect クライアントを使用してセキュア ゲートウェイを見 つけましたが、接続が拒否されたか、タイムアウトしました。 ホスト名または IP アドレスが正しく入力されているか確認して、セキュア ゲートウェイ にもう一度サインインしてください。 nc.mac.app.1004 システム ログ メッセージ Network Connect はセキュア ゲートウェイを見つけることができません。 原因 原因 スタンドアロンの Network Connect クライアントを使用してセキュア ゲートウェイ を見つけることができません。入力したホスト名が正しくないか、DNS 設定に問題がある 可能性があります。 アクション ホスト名または IP アドレスが正しく入力されているか確認して、セキュア ゲートウェイ にもう一度サインインします。それでもセキュア ゲートウェイへの接続を確立できない場 合、システム管理者に連絡してください。 nc.mac.app.1005 システム ログ メッセージ 原因 アクション Network Connect はセキュア ゲートウェイに接続できません。 Network Connect スタンドアロン クライアントは、セキュア ゲートウェイから必要な データを取得できませんでした。セキュア ゲートウェイは、フロント ページで “HTTPS GET” に 0 バイトのリソースを返した可能性があります。これは、正しく設定されていな い HTTPS プロキシの使用時に発生する場合があります、その結果、Safari が、プロキシ を通過するセッション情報に対して空のページを表示します。 セキュア ゲートウェイにもう一度サインインしてください。それでもセキュア ゲート ウェイへの接続を確立できない場合、システム管理者に連絡してください。 nc.mac.app.1100 システム ログ メッセージ 原因 アクション 422 Network Connect はすでに実行中です。 Network Connect の別のコピーが、このコンピュータで実行中です。このコンピュータで 一度に実行できる Network Connect セッションは 1 つだけです。 Network Connect を起動する前に別の Network Connect が実行していないことを確認 します。 Network Connect エラー メッセージ Juniper Networks NetScreen Secure Access 700 管理ガイド nc.mac.app.1104 システム ログ メッセージ 原因 アクション セッションがタイムアウトしました。 少なくとも 90 秒間、Network Connect がセキュア ゲートウェイからハートビートまたは 正常性の確認メッセージを受信しなかったため、このセッションは終了しました。(詳細 については Log Viewer を参照してください。) セキュア ゲートウェイにもう一度サインインします。セキュア ゲートウェイへの接続を 確立できない場合は、システム管理者に連絡してください。 nc.mac.app.1106 システム ログ メッセージ 原因 Network Connect をアップグレードしますか ? コンピュータのスタンドアロン Network Connect クライアントのバージョン(< バー ジョン >)は、セキュア ゲートウェイのバージョン(< バージョン >)と異なっていま す。 アクション Network Connect のバージョンをアップグレードするには Upgrade をクリックします。ま たは Cancel をクリックして接続を終了します。 nc.mac.app.1108 システム ログ メッセージ コンピュータのネットワーク インターフェースが変更されました。 原因 Network Connect セッションから独立して、コンピュータのネットワーク設定が変更され ました。セキュア ゲートウェイで設定されたセキュリティ ポリシーにより、接続が終了 しました。システム設定環境に変更が加えられたか、ネットワーク インターフェースが起 動あるいは終了したか(たとえば PPP、AirPort ワイヤレス)、DHCP リースが更新された か、あるいは不正なエージェントが使用された可能性があります。 アクション Network Connect セッションをもう一度確立するため、Reconnect をクリックするか、 Cancel をクリックします。スタンドアロン クライアントを使用している場合は、Network Connect サインイン ウィンドウにリダイレクトされます。Web 起動のクライアントを使用 している場合、プログラムは終了します。 nc.mac.app.1109 システム ログ メッセージ コンピュータのネットワーク インターフェースが変更されました。 原因 Network Connect セッションから独立して、コンピュータのネットワーク設定が変更され ました。セキュア ゲートウェイで設定されたセキュリティ ポリシーにより、接続が終了 しました。システム設定環境に変更が加えられたか、ネットワーク インターフェースが起 動あるいは終了したか(たとえば PPP、AirPort ワイヤレス)、DHCP リースが更新された か、あるいは不正なエージェントが使用された可能性があります。 アクション OK をクリックします。スタンドアロン クライアントを使用している場合は、Network Connect サインイン ウィンドウにリダイレクトされます。Web 起動のクライアントを使用 している場合、プログラムは終了します。 Network Connect エラー メッセージ 423 Juniper Networks NetScreen Secure Access 700 管理ガイド nc.mac.app.1200 システム ログ メッセージ Network Connect はセキュア セッションを確立できません。 原因 Network Connect はトンネリング サービスを開始できません。インストール時に問題が発 生した可能性があります。(詳細については Log Viewer を参照してください。) アクション Network Connect をもう一度インストールし、再びセキュア ゲートウェイにサインインし ます。それでもセキュア ゲートウェイへの接続を確立できない場合、システム管理者に連 絡してください。 nc.mac.app.1202 システム ログ メッセージ Network Connect はセキュア セッションを確立できません。 原因 Network Connect はセキュア ゲートウェイで通信を起動し開始できましたが、不明な理由 によりトンネリング サービスを開始することができませんでした。(詳細については Log Viewer を参照してください。) アクション Network Connect をもう一度インストールし、再びセキュア ゲートウェイにサインインし ます。それでもセキュア ゲートウェイへの接続を確立できない場合、システム管理者に連 絡してください。 nc.mac.app.1203 システム ログ メッセージ 原因 アクション セッションが予期せずに終了しました。 ソフトウェアのエラーにより Network Connect トンネリング サービスが終了しました。こ れは 0 以外の終了コードが原因である可能性があり、通常ソフトウェアのクラッシュを 示しています。(詳細については Log Viewer を参照してください。 ) セキュア ゲートウェイにもう一度サインインしてください。それでもセキュア ゲート ウェイへの接続を確立できない場合、システム管理者に連絡してください。 nc.mac.app.1204 システム ログ メッセージ 原因 アクション 424 コンピュータのルーティング テーブルが変更されました。 Network Connect から独立して、コンピュータのルーティング テーブルが変更されまし た。セキュア ゲートウェイで設定されたセキュリティ ポリシーにより、接続が終了しま した。 Network Connect セッションをもう一度確立するため、Reconnect をクリックするか、ま たは Cancel をクリックします。スタンドアロン クライアントを使用している場合は、 Network Connect サインイン ウィンドウにリダイレクトされます。Web 起動のクライアン トを使用している場合、プログラムは終了します。 Network Connect エラー メッセージ Juniper Networks NetScreen Secure Access 700 管理ガイド nc.mac.app.1205 システム ログ メッセージ 原因 アクション コンピュータのルーティング テーブルが変更されました。 Network Connect から独立して、コンピュータのルーティング テーブルが変更されまし た。セキュア ゲートウェイで設定されたセキュリティ ポリシーにより、接続が終了しま した。 OK をクリックします。スタンドアロン クライアントを使用している場合は、Network Connect サインイン ウィンドウにリダイレクトされます。Web 起動のクライアントを使用 している場合、プログラムは終了します。 nc.mac.app.1206 システム ログ メッセージ 原因 アクション Network Connect はセキュア セッションを確立できません。 Network Connect トンネリング サービスは、この HTTPS プロキシ サーバーで認証するこ とができません。(詳細については Log Viewer を参照してください。 ) セキュア ゲートウェイにもう一度サインインしてください。それでもセキュア ゲート ウェイへの接続を確立できない場合、システム管理者に連絡してください。 nc.mac.app.1207 システム ログ メッセージ 原因 アクション セッションがタイムアウトしました。 セキュア ゲートウェイで設定されたセッション時間の制限により、Network Connect セッ ションがタイムアウトしました。 セキュア ゲートウェイにもう一度サインインしてください。それでもセキュア ゲート ウェイへの接続を確立できない場合、システム管理者に連絡してください。 nc.mac.app.1400 システム ログ メッセージ 原因 アクション Network Connect は HTTPS プロキシを使用できませんでした。 System Preferences の Network ペインにある URL から 自動プロキシ構成(PAC)のスク リプトをロードできませんでした。System Preferences のテキスト フィールドに URL に使 うべきでない文字列を入力した可能性があります。 System Preferences の PAC スクリプト URL の文字列を確認して、再びセキュア ゲート ウェイにサインインします。それでもセキュア ゲートウェイへの接続を確立できない場 合、システム管理者に連絡してください。 Network Connect エラー メッセージ 425 Juniper Networks NetScreen Secure Access 700 管理ガイド nc.mac.app.1401 システム ログ メッセージ 原因 アクション Network Connect は HTTPS プロキシを使用できませんでした。 System Preferences の Network ペインにある URL から 自動プロキシ構成(PAC)のスク リプトをロードできませんでした。DNS (ドメイン名サービス)のエラー、あるいはネッ トワークの接続性に関連したエラーが原因である可能性があります。 System Preferences の PAC スクリプト URL の文字列を確認して、再びセキュア ゲート ウェイにサインインします。それでもセキュア ゲートウェイへの接続を確立できない場 合、システム管理者に連絡してください。 nc.mac.app.1402 システム ログ メッセージ 原因 アクション Network Connect は HTTPS プロキシを使用できませんでした。 System Preferences の Network ペインで指定した URL で、自動プロキシ構成(PAC)スク リプトにエラーがある可能性があります。あるいは、自動プロキシ構成ファイルがテキス ト ファイルでないか、UTF-8 として読み取れないエンコード方式を使用している可能性 があります。 ネットワーク管理者に確認して、再びセキュア ゲートウェイにサインインしてみます。 nc.mac.app.1403 システム ログ メッセージ 原因 アクション Network Connect は HTTPS プロキシを使用できませんでした。 System Preferences の Network ペインで指定した URL で、自動プロキシ構成(PAC)スク リプトにエラーがある可能性があります。自動プロキシ構成スクリプトが構文エラーを含 んでいる可能性があります。 ネットワーク管理者に確認して、再びセキュア ゲートウェイにサインインしてみます。 nc.mac.app.1700 システム ログ メッセージ 原因 アクション 426 Network Connect のアンインストールが失敗しました。 Network Connect のアンインストール中にエラーが発生しました。 セキュア ゲートウェイのアンインストールまたは再度サインインを行う前に、ネット ワーク管理者に確認してください。 Network Connect エラー メッセージ Juniper Networks NetScreen Secure Access 700 管理ガイド nc.mac.app.1701 システム ログ メッセージ 原因 アクション Network Connect のアップグレードが失敗しました。 ネットワーク エラーにより、スタンドアロン Network Connect アップグレード パッケー ジをダウンロードできませんでした。 Network Connect を再度インストールする前に、ネットワーク管理者に確認してくだ さい。 nc.mac.app.1804 システム ログ メッセージ セッションは間もなく終了します。 原因 セキュア ゲートウェイで設定されたセッションの時間制限により、残り時間が 0 になる とセッションが時間切れになります。 アクション OK をクリックします。セッションが終了したら、再度 Network Connect を起動するか、 セキュア ゲートウェイにサインインします。 nc.mac.app.1805 システム ログ メッセージ セッションを延長しますか ? 原因 セキュア ゲートウェイで設定されているセッション アイドル タイムアウト時間に近づい ています。Network Connect セッションを延長しない場合、一定時間アイドル状態が続い たことにより、残り時間 0 でセッションが終了します。 アクション セッションを延長する場合は、Extend Session をクリックします。セキュア ゲートウェ イへの接続を終了する場合は Sign Out をクリックします。または Do Nothing をクリック して、残り時間が 0 になった時点で接続を終了させます。 Network Connect エラー メッセージ 427 Juniper Networks NetScreen Secure Access 700 管理ガイド 428 Network Connect エラー メッセージ 索引 数字 128 ビット暗号化 ..........................................................146 168 ビット暗号化 ..........................................................146 A Access Series, 定義 ...........................................................35 Access-Accept 認証 .........................................................218 Access-Challenge 認証 ....................................................218 Access-Reject 認証 ..........................................................218 Access-Request 認証 .......................................................218 ACE、RSA ACE を参照 Active Directory 認証サーバー、Active Directory を参照 Advanced Preferences ユーザーを参照 AES 暗号化のサポート...................................................215 archiveFileTransferFailed MIB オブジェクト...................174 archiveServerLoginFailed MIB オブジェクト...................174 archiveServerUnreachable MIB オブジェクト.................174 ARP Ping Timeout、設定........................................164, 165 ARP キャッシュ、設定 ..................................108, 164, 165 ARP コマンド .................................................354, 355, 365 authServerName MIB オブジェクト ...............................172 B blockedIP MIB オブジェクト ..........................................172 blockedIPList MIB オブジェクト.....................................173 C Cache Cleaner ロギング、無効にする............................................176 概要 ..........................................................................76 Cache-Control No-Store ..................................................................290 CASQUE 認証 .................................................................224 CA 証明書 証明書、CA 証明書を参照 CDP CRL 配布点を参照 cHTML パスワード、マスク ...............................................162 ページ、有効にする ...............................................161 clusterConcurrentUsers MIB オブジェクト .....................172 Connection Control ポリシー , Host Checker オプションと して選択 .....................................................................186 cookie URL に含める..........................................................146 セッション終了時に削除 ........................................146 cpuUtilNotify MIB オブジェクト .....................................175 CRL...................................................................................33 証明書、失効リストを参照 CRL 配布点 CRL のダウンロード ...............................................155 説明...........................................................................62 CSR インポート..............................................................150 作成.........................................................................150 証明書のインポート ...............................................150 D DES/SDI 暗号化のサポート ............................................215 diskFullPercent MIB オブジェクト..................................173 DLL の用件、Host Checker Host Checker を参照 クライアント インターフェイス サーバー統合インターフェイス DMZ インターフェース ...........................................164, 165 DN 属性の指定 ...............................................................157 DNS ホスト名、リソース ポリシーでの定義..........282, 286 外部ポート......................................................164, 165 名前解決、設定.......................................................163 E Exchange サーバー サポート ...........................................96 externalAuthServerUnreachable MIB オブジェクト ........174 E メールクライアント....................................................329 MIB オブジェクト ...................................................172 概要...........................................................................93 設定.........................................................................329 リソースポリシー ...................................................329 F fanDescription MIB オブジェクト...................................173 fileName MIB オブジェクト ...........................................172 FTP アーカイブ、定義 ...................................................110 索引 429 Juniper Networks NetScreen Secure Access 700 管理ガイド H HMTL モバイル ページ 有効にする ............................................................. 161 Host Checker API、以下を 参照 Host Checker、サーバー統合インターフェース Connection Control ポリシー.................................. 186 アンインストール............................................... 74, 79 インストーラ ディレクトリ............................................... 74, 79 概要 ................................................................... 77 インストール 有効にする ...................................................... 404 改善 概要 ................................................................... 69 設定 ................................................................. 201 概要 .......................................................................... 67 クライアント インターフェース 概要 ................................................................... 66 サーバー統合インターフェース 概要 ................................................................... 66 有効にする ...................................................... 197 実行 .................................................................... 73, 78 自動アップグレード ............................................... 185 制限を指定 概要 ................................................................... 68 システム レベル .............................................. 184 リソース ポリシー レベル................................. 55 領域レベル ................................................ 71, 403 ロール レベル............................................ 71, 404 チェック頻度 .......................................................... 184 ポリシー ................................................................... 68 ロギング、無効にする ........................................... 176 HP OpenView サポート.................................................. 111 I IMAP サポート ....................................................... 93, 94, 96 IMAP サポート メール サーバー ..................................................... 329 Instant Virtual Extranet IVE を参照 Internet Explorer Internet Explorer を参照 JVM を実行 ............................................................... 64 Internet Explorer、JVM を実行......................................... 64 Internet Mail Application Protocol サポート ..................... 93 IP アドレス 解決 ................................................................ 108, 166 外部ポート ..................................................... 164, 165 制限 ................................ 398, 399, 401, 402, 403, 405 設定 ................................................................ 164, 165 ネットワークコネクトの割り当て ........................... 85 ユーザー サインインの制限 ........................... 398, 405 ユーザー要件の指定 ................................................. 42 リソース ポリシーでの定義 ........... 281, 282, 286, 310 IPEntry MIB オブジェクト ............................................. 173 ipEntry MIB オブジェクト.............................................. 173 ipIndex MIB オブジェクト ............................................. 173 430 索引 ipValue MIB オブジェクト ..............................................173 IVE CASQUE 認証 ..........................................................219 LAN 内、図 ...............................................................32 初期設定 ...................................................................35 設定(全般的な手順)...............................................32 定義 ..........................................................................31 認識のために RADIUS を設定する..........................225 パスワード オプション...........................................206 パスワード管理 ......................................................206 IVE のアップグレード....................................................334 IVE のシャットダウン....................................................333 IVE のリブート...............................................................333 IVE の再起動 ..................................................................333 IVE ローカル サーバー 認証サーバー、ローカル認証を参照 IVE 証明書........................................................................59 iveAppletHits MIB オブジェクト ....................................172 iveConcurrentUsers MIB オブジェクト...........................172 iveCpuUtil MIB オブジェクト .........................................172 iveDiskFull MIB オブジェクト ........................................175 iveDiskNearlyFull MIB オブジェクト ..............................175 iveFanNotify SNMP トラップ..........................................175 iveFileHits MIB オブジェクト .........................................172 iveLogFull MIB オブジェクト..........................................174 iveLogNearlyFull MIB オブジェクト ...............................174 iveMaxConcurrentUsersSignedIn MIB オブジェクト ......174 iveMaxConcurrentUsersVirtualSystem SNMP トラップ...175 iveMemoryUtil MIB オブジェクト ..................................172 iveNCHits MIB オブジェクト..........................................172 ivePowerSupplyNotify SNMP トラップ ...........................175 iveRaidNotify SNMP トラップ ........................................175 iveReboot MIB オブジェクト..........................................174 iveRestart MIB オブジェクト..........................................174 iveSAMHits MIB オブジェクト........................................172 iveShutdown MIB オブジェクト .....................................174 iveStart MIB オブジェクト .............................................174 iveSwapUtil MIB オブジェクト .......................................173 ivetermHits MIB オブジェクト .......................................172 iveTooManyFailedLoginAttempts MIB オブジェクト .......174 iveTotalHits MIB オブジェクト .......................................172 iveWebHits MIB オブジェクト........................................172 ivsName MIB オブジェクト............................................173 J J.E.D.I. エンドポイント セキュリティの概要を参照 Java アプレット アプレットを参照 接続性の指定 ..........................................292, 293, 294 Java キャッシング ポリシー ..................................292, 294 Java コード署名ポリシー ...............................................293 Java プラグインのキャッシュ ..........................................65 Java 仮想マシン JVM を参照 JavaSoft 証明書.................................................................64 Juniper Endpoint Defense Initiative エンドポイント防御を参照 Juniper Networks サポート................................................ xi : Juniper インストーラ サービス、説明 ...........................336 JVM アプレットの署名.....................................................64 サポートされていないバージョンの使用...............103 L LAN、ネットワーク設定の変更 .............................164, 165 LDAP サーバー 認証サーバー、LDAP を参照 logDescription MIB オブジェクト...................................173 logFullPercent MIB オブジェクト ...................................172 logID MIB オブジェクト .................................................173 logMessageTrap MIB オブジェクト.................................175 logName MIB オブジェクト ...........................................173 logType MIB オブジェクト .............................................173 Lotus Notes サポート .............................................................93, 96 M MAPI サポート ...........................................................93, 94 meetingCount MIB オブジェクト ...................................173 meetingHits MIB オブジェクト ......................................173 meetingLimit MIB オブジェクト ....................................175 meetingUserCount MIB オブジェクト ............................172 meetingUserLimit MIB オブジェクト .............................174 memUtilNotify MIB オブジェクト ..................................175 MIB の概要 .....................................................................111 Microsoft Authenticode Certificate ....................................64 Microsoft JVM、JVM を参照 Mozilla、サポート、Safari、サポート ...........................146 MS Exchange サポート ...................................................................94 プロトコル サポート ................................................93 MTU、設定.............................................................164, 165 N NCP、有効にする...........................................................159 Netscape JVM を実行................................................................65 Messenger サポート..................................................93 Web サーバー .........................................................148 メール サポート .......................................................95 Network Communications Protocol、有効にする...........159 Network Connect オプション、指定...................................................275 リソース ポリシー..................................................320 ロール .......................................................................52 概要 ..............................................................36, 42, 83 使用 ..........................................................................84 図 ..............................................................................85 Network Time Protocol、使用 ........................................137 New PIN モードのサポート............................................215 Next Token モードのサポート........................................215 nslookup コマンド .................................................354, 355 NT ドメイン 認証サーバー、Active Directory を参照 NTLM、設定 ...................................................................204 NTP、使用......................................................................137 O ocspResponderUnreachable SNMP トラップ ..................175 ocspResponderURL MIB オブジェクト ...........................173 Optimized NCP、有効にする .........................................159 Oracle サポート..............................................................103 Outlook Express サポート ................................................93 Outlook サポート .................................................93, 94, 95 OWA サポート ..................................................................96 P PassGo Defender RADIUS Server、設定..........................218 ping コマンド.................................................354, 355, 365 PKI、定義.........................................................................59 Policy Tracing サブタブ ..................................................127 POP クライアント ............................................................96 サポート .......................................................93, 94, 96 メール サーバー......................................................329 Post Office Protocol POP を参照 Pragma: No-Cache (PNC) ................................................290 productName MIB オブジェクト ....................................172 productVersion MIB オブジェクト ..................................172 psDescription MIB オブジェクト ....................................173 R Radius 認証サーバー、RADIUS を参照 raidDescription MIB オブジェクト .................................173 realm 設定.........................................................................397 role サインインの制限 IP による..........................................................398 設定.........................................................................397 Routes タブ ....................................................................166 RSA ACE/Server 認証サーバー、ACE/Server を参照 RSA ACE/ サーバー ホスト名の解決.........................................................47 S SCP, システム スナップショット ...................................365 sdconf.rec、生成 ............................................................216 Server Certificate タブ、Certificates メニュー................147 signedInMailUsers MIB オブジェクト .............................172 signedInWebUsers MIB オブジェクト.............................172 Simple Mail Transfer Protocol SMTP メール サーバーを参照 SMTP メール サーバー サポート ...................................................................93 有効にする..............................................................329 SNMP エージェントとしての IVE の監視..........................170 サポート .................................................................111 設定、指定..............................................................170 SSH ブックマーク、作成 ...............................................273 SSH オプション、指定 ...................................................274 索引 431 Juniper Networks NetScreen Secure Access 700 管理ガイド SSL 使用できる暗号化の強度 ........................................ 146 使用できるバージョン ........................................... 146 Sun JVM、JVM を参照 swapUtilNotify MIB オブジェクト .................................. 175 syslog サーバー、設定 ................................................... 170 T TCP ダンプ ファイル(デバッグ用).............................. 353 telnet ブックマーク、作成 ............................................... 273 telnet オプション、指定 ................................................ 274 TLS 使用できるバージョン ........................................... 146 traceroute コマンド........................................ 354, 355, 365 U UNIX リソース ブックマーク .......................................................... 271 UNIX/NFS ファイル リソース ポリシー.................................................. 313 定義 ................................................................. 310 URL アクセス統計情報................................................... 176 user ロール 定義 ................................................................... 51 USER 変数 UNIX ブックマーク................................................. 271 Web ブックマーク.................................................. 263 Windows ブックマーク .......................................... 270 W Web アクセス コントロール .......................... 287, 322, 326 サーバ ーアクセス コントロール ........................... 320 サーバー アクセス コントロール ........... 287, 322, 326 ピーク利用状況統計情報 ........................................ 176 ブックマーク、作成 ....... 263, 264, 270, 272, 273, 274 プロキシ、指定 ...................................................... 307 問題のブラウジング ............................................... 352 リソース ポリシー.......................................... 285, 286 Web コンソール 説明 .......................................................................... 35 Windows 証明書..................................................................... 312 Windows Internet Naming Service サーバー、設定 ....... 163 Windows サポート 証明書....................................................................... 64 Windows ファイル リソース ポリシー.......................................... 310, 311 Windows リソース ブックマーク .......................................................... 270 WINS 外部ポート ..................................................... 164, 165 サーバー、設定 ...................................................... 163 432 索引 X XML パスワード..............................................................118 名前空間 .................................................................119 XML Import/Export ユーザー ロール .....................................................341 XML インスタンス ファイル 検証 ........................................................................123 XML インポート / エクスポート XML インスタンスを UI へマップ ..........................120 インスタンス ファイル...........................................116 インスタンス要素...................................................116 インポート モード..................................................342 開始タグ .................................................................116 空タグ.....................................................................117 サインイン ページ..................................................340 参照整合性..............................................................119 終了タグ .................................................................116 委任管理ロール ......................................................341 処理命令 .................................................................116 ネットワーク設定...................................................340 要素の順序..............................................................119 領域 ........................................................................341 ローカル .................................................................342 ローカル ユーザー アカウント...............................342 XML コード サンプル.....................................................117 XML 属性........................................................................118 あ アーカイブ スケジュールリング ...............................................349 定義 ........................................................................110 アイコンの説明、注意事項............................................... xi アクション、リソース ポリシー コンポーネント ...........54 アクセス コントロール Web リソース .........................................287, 322, 326 リスト(ACL) エクスポート...................................................340 アクセストンネル 認証前アクセス トンネルを参照 アクセス管理 制限、指定..............................................................258 アクティブ ユーザー、監視...........................................138 アプリケーション キャッシュ、削除 ........................67, 76 アプレット ブラウジング オプション、設定 ............................266 暗号化 強度 ........................................................................146 説明 ..........................................................................32 パスワード..............................................................118 アンチウィルス ソフトウェア 要件の指定................................................................66 い 一時ファイル、削除 ..................................................67, 76 インストーラ、ダウンロード ........................................336 インストール サポートへの問い合わせ ........................................... xi インフォ ログ メッセージ、定義 ..................................111 : インポート クイック .................................................................121 フル ........................................................................121 標準 ........................................................................121 インポート モード .........................................................342 Full Import ..............................................................343 Quick Import ...........................................................343 Standard Import ......................................................343 フル ........................................................................121 標準 ........................................................................121 う ウィルス署名、経過日数のチェック .............................194 え エラー メッセージ、変更 ..............................................182 エンドポイント防御 以下も参照 Cache Cleaner Host Checker 概要 ..........................................................................66 か 開始タグ XML.........................................................................116 改善 設定 ........................................................................201 概要 ..........................................................................69 外部ポート .....................................................................107 設定 ........................................................................165 鍵 ...................................................................................148 秘密、秘密鍵を参照 カスタマサポート ............................................................ xii 仮想 仮想環境、要件の指定..............................................66 ホスト名 設定 .................................................................163 仮想ホスト名 設定 ........................................................................298 仮想 ユーザー セッションを有効にする.........................351 空タグ XML.........................................................................117 管理者 スーパー管理者アカウント、作成..........................365 ユーザー管理者 ......................................................204 管理情報ベースの概要...................................................111 管理者領域 .....................................................................341 管理者ロール 定義 ..........................................................................51 定義済み .................................................................248 ロールも参照 き 企業イメージ、要件の指定..............................................66 規則 キャッシュ管理 ......................................................288 設定 ..................................................................55, 243 基本的な認証の仲介、設定............................................304 キャッシュ Java プラグイン ........................................................65 規則.........................................................................288 クリア .................................................................67, 76 ヘッダー .................................................................290 キャッシング リソース ポリシー...................................288 く クイック インポート......................................................121 クッキー 永続、有効にする ...................................................268 クライアントサイド Java アプレット 接続性の指定 ..........................................292, 293, 294 クライアントレスの VPN、概要 ......................................83 クラスタ ACE/Server のサポート ...........................................215 クリティカル ログ メッセージ、定義 ...........................111 グループ メンバーシップ、LDAP ..................................243 け 携帯端末 有効にする..............................................................160 ゲートウェイ 外部ポート......................................................164, 165 設定.................................................................164, 165 検証................................................................................123 こ 公開鍵インフラストラクチャ、定義 ...............................59 コード署名証明書 証明書、アプレット証明書を参照 コマンド、UNIX.....................................................354, 355 コンソール シリアル シリアル コンソールを参照 管理者 Web コンソールを参照 コンテンツ キャッシング規則 .......................................288 コンパクト HTML パスワードのマスク ...............................................162 コンパクト HTML におけるパスワードのマスク ...........162 コンパクト HTML ページ 有効にする..............................................................161 さ サーバー リソース ポリシー ..................................................281 リソース ポリシーでの定義....................................310 認証サーバーも参照 認証に使用される種類........................................46, 47 サーバー カタログ、設定 ..............................................243 サービス パッケージ インストール ..........................................................334 ダウンロード ..........................................................137 再書き込み データ転送プロキシ オプション ....................102, 296 最小同時ユーザー数.......................................................406 最大送信単位、設定...............................................164, 165 最大同時ユーザー数.......................................................406 索引 433 Juniper Networks NetScreen Secure Access 700 管理ガイド サインイン オプション ユーザーの制限 ....... 398, 399, 401, 402, 403, 405 サインイン URL ............................................................. 340 サインイン ページ ......................................................... 340 サインイン ポリシーへのマッピング..................... 181 定義 .................................................................. 50, 182 サインイン ポリシー 設定 ........................................................................ 181 定義 ............................................................ 33, 50, 181 定義済みポリシー..................................................... 33 無効にする ............................................................. 182 有効にする ............................................................. 182 削除 設定 ........................................................................ 122 サポート 操作 ................................................................ 352, 356 参照整合性..................................................................... 119 し シェア リソース ポリシーでの定義 ................................... 310 資格情報 検証 .......................................................................... 33 識別名属性、指定 .......................................................... 157 時刻と日付、設定 .......................................................... 137 システム 設定 ........................................................................ 333 設定、インポート................................................... 338 設定、エクスポート ............................................... 338 ソフトウェア、インストール................................. 334 データ、アーカイブ ............................................... 349 デバッグ ................................. 352, 353, 354, 355, 356 統計情報、表示 ...................................................... 176 システム データ ............................................................ 333 自動起動 Network Connect .................................................... 275 自動許可 ブックマーク、Web ............................................... 263 ブックマーク、ファイル ........................................ 271 終了タグ XML ........................................................................ 116 順序 要素 ........................................................................ 119 委任管理ロール エクスポート .......................................................... 341 障害検出ソフトウェア、要件の指定 ............................... 66 証明書 CA 証明書 CRL チェックの有効化 .................................... 155 IVE へのアップロード ..................................... 151 検証 ................................................................. 157 更新 ................................................................. 153 詳細の表示 ...................................................... 158 定義 ................................................................... 59 CRL 詳細の表示 ...................................................... 153 有効にする ...................................................... 155 434 索引 JavaSoft .....................................................................64 MS Authenticode .......................................................64 Windows .................................................................312 アプレット証明書 インポート ......................................................159 定義 ...................................................................59 階層 説明 .............................................................60, 61 定義 ...................................................................61 鍵 既存のインポート............................................148 既存のエクスポート ........................................148 クライアントサイド証明書 定義 ...................................................................59 コード署名証明書 証明書、アプレット証明書を参照 サーバー 定義 ...................................................................61 認証サーバー、証明書サーバーを参照 サーバー証明書 CSR のインポート ...........................................150 CSR の作成 ......................................................150 既存のインポート............................................148 既存のエクスポート ........................................148 更新版のインポート ........................................149 定義 ...................................................................59 サインインの制限 ユーザー ..........................................................401 サポートされている形式 ........................148, 151, 157 自己署名 ...................................................................60 失効リスト................................................................33 説明 ...................................................................62 定義 ...................................................................61 署名要求 インポート ......................................................150 作成 .................................................................150 証明書のインポート ........................................150 制限、設定................................................................37 セキュリティ要件、定義 ..........................................44 属性、設定..............................................................243 取り消し 定義 ...................................................................61 証明書失効リスト 証明書、失効リストを参照 証明書 サーバー証明書 既存のインポート............................................148 シリアル コンソール システム タスクの使用....57, 135, 179, 237, 253, 279, 331, 359 す スーパー管理者アカウント、作成.................................365 スナップショット ..........................................................365 スナップショット ファイル(デバッグ用)...................353 スパイウェア、要件の指定..............................................67 スプリットトンネル オプション ...................................275 スマート キャッシング..................................................289 スレーブ ACE/Server のサポート ...................................215 : せ て 制限 ディレクトリ サーバー 定義...........................................................................48 認証サーバーも参照 データ転送プロキシ 説明.........................................................................102 データベース、認証用 ...............................................46, 47 データ転送プロキシ アプリケーションの指定 ........................................296 リソース ポリシー ..................................................298 適格なロール、定義.........................................................49 デジタル証明書 証明書を参照 定義...........................................................................59 デバッグ TCP ダンプ ファイル ..............................................353 UNIX コマンド ................................................354, 355 スナップショット ファイル....................................353 トレース ファイル ..................................................352 リモート .................................................................356 ユーザーのサインイン....................................401, 402 正式フォーマット 概要 ................................................................281, 286 静的ルート .....................................................................166 セキュリティ オプション 設定 ........................................................................146 セッション オプション、指定...................................................259 タイムアウトの警告 ...............................................259 タイムアウト、アイドル ................................259, 260 タイムアウト、最大長............................................259 タイムアウト残り時間............................................259 ローミング、設定...................................................260 永続、設定..............................................................260 セッション タイムアウト Cache Cleaner ヘの影響 ............................................79 設定 ..........................................................................37 セッション パラメータ、設定 .........................................51 セッション ロール、定義 ................................................52 セッション、終了 ..........................................................138 接続状態、テスト ..........................................................333 設定ファイル ACL とブックマーク、エクスポート ......................340 システム、インポート............................................338 システム、エクスポート ........................................338 ローカル ユーザー アカウント、インポート .........339 ローカル ユーザー アカウント、エクスポート......339 設定、システムのアップグレード.................................... xi 選択的な再書き込み ......................................................296 そ ソース IP の制限、設定 .............................................37, 42 属性 XML.........................................................................118 属性サーバー 認証サーバーを参照 属性、設定 .....................................................................242 ソフトウェア インストール ..........................................................334 ダウンロード ..........................................................137 た タイムアウト アイドル セッション ..............................................259 アイドル セッション、アプリケーション動作.......260 セッション タイムアウトを参照 警告、設定..............................................................259 最長セッション ......................................................259 残り時間、設定 ......................................................259 タブ ルート .....................................................................166 ち 注意事項のアイコンについての説明 ................................ xi 仲介 選択的な再書き込み ...............................................296 と 動的ポリシーの評価.........................................40, 185, 240 トラップ 設定.........................................................................171 定義.........................................................................111 トラブルシューティング 仮想セッションの使用............................................351 ポリシーのトレース .......................................127, 350 トレース ファイル(デバッグ用)..................................352 な 内部ポート .....................................................................107 内部ポート、設定 ..........................................................107 名前空間 XML.........................................................................119 に 認証 サポートされているサーバー .............................47, 46 認証サーバー ACE/Server ACE/Agent ファイルの生成..............................216 エージェント設定ファイル .............................216 概要 .................................................................215 設定 .................................................................216 RADIUS ACE/Server プロトコル ....................................215 Active Directory 設定 .........................................................204, 226 LDAP 設定 .........................................................204, 211 属性の設定.......................................................242 NIS サーバー 設定 .................................................................214 RADIUS ...................................................................218 属性の設定.......................................................242 索引 435 Juniper Networks NetScreen Secure Access 700 管理ガイド 証明書サーバー LDAP 認証 .......................................................... 234 設定 ................................................................. 233 定義 ................................................................... 61 匿名サーバー 概要 ................................................................. 231 設定 ......................................................... 231, 235 設定(全般的な手順)............................................. 205 定義 .............................................................. 33, 36, 46 定義済みサーバー..................................................... 33 ディレクトリ サーバー、定義.................................. 36 領域へのマッピング ............................................... 239 ローカル認証 .......................................................... 206 設定 ......................................................... 205, 235 認証設定 ユーザー ................................. 398, 401, 402, 403, 405 認証の仲介、設定 .......................................................... 304 認証ポリシー 設定 .................................................................. 48, 241 定義 .............................................................. 33, 36, 46 認証前アクセス トンネル 指定 ........................................................................ 197 説明 .......................................................................... 71 認証領域 領域を参照 ぬ ヌル サーバー 認証サーバー、匿名サーバーを参照 ね ネイティブ ホスト チェック Host Checker を参照 ネーム ロッキングのサポート....................................... 215 ネットマスク ユーザー要件の定義 ................................................. 42 リソース ポリシーでの定義 ........................... 282, 286 外部ポート ..................................................... 164, 165 設定 ................................................................ 164, 165 ネットワーク パケット、スニッフィング .................................... 353 ローカルで解決されるホスト名の指定 .................. 166 静的ルートの指定........................................... 108, 166 設定 ........................................................................ 107 初期 ......................................................... 107, 163 設定値 設定 ................................................................. 365 ネットワーク設定をエクスポート................................. 340 は パーソナル ファイアウォール Cache Cleaner との使用............................................ 79 ファイアウォールを参照 パーミッシブ マージ 概要 .......................................................................... 52 パス リソース ポリシーでの定義 ................... 287, 310, 311 436 索引 パスワード XML ファイル .........................................................118 新しいユーザー用...................................................118 暗号化.....................................................................118 キャッシング、設定 ...............................................260 サインインの制限 ユーザー ..........................................................402 セキュリティ要件、定義 ..........................................45 プレーン テキスト..................................................118 ひ 日付と時刻、設定 ..........................................................137 秘密鍵 インポート..............................................................148 標準インポート..............................................................121 標準インポート モード..................................................121 標準書式 概要 ........................................................310, 317, 320 ふ ファイアウォール Cache Cleaner との使用 ............................................79 要件 ..........................................................................66 ファイル アクセス統計情報...................................................176 サーバー、コード化 ...............................................315 チェック 設定 .................................................................193 ブックマーク、作成 .......................................270, 271 リソース ポリシー..................................................309 定義 .................................................................310 ファイルのクリーンアップ........................................67, 76 ブックマーク SSH、作成...............................................................273 telnet、作成 ............................................................273 Web の作成.....................................270, 272, 273, 274 Web、作成......................................................263, 264 エクスポート ..........................................................340 オプション、有効にする ........................................268 ファイル、作成 ..............................................270, 271 ブラウザ サインインの制限、ユーザー.................................399 リクエストのフォロースルー、設定 ......................260 制限、設定................................................................43 ブラウジング オプション、Web ブラウジングの指定 .................266 オプション、ファイル オプションの指定..............272 ページ、開..............................................................267 プラットフォーム、アップグレード .............................334 フルインポート..............................................................121 フルインポート モード..................................................121 プロキシ データ転送プロキシを参照 プロセス チェック 設定 ........................................................................192 プロトコル、リソース ポリシーでの定義 .............281, 286 文書の書体についての説明............................................... xi マーク........................................................................ xi : へ ベース CRL CRL も参照 定義 ..........................................................................62 ヘルプ サポートへの連絡先 .................................................. xi 変更 ........................................................................183 ほ ポート 外部ポートの変更...........................................164, 165 外部 ........................................................................107 内部 ........................................................................107 要件 設定 .................................................................192 リソース ポリシーでの定義 ...........................282, 286 ホームページ カスタマイズ ..........................................................261 保証最小数 .....................................................................406 保証最大数 .....................................................................406 ホスト、リソース ポリシーでの定義 ....................282, 286 ホスト名 解決 ................................................................108, 166 リソース ポリシーでの定義 ...........................281, 310 解決 ........................................................................166 非表示 .....................................................................267 ポリシー サインイン ポリシーサインイン ポリシーを参照 トレース .........................................................127, 350 リソース ポリシーリソース ポリシーを参照 サインインの制限 パスワード.......................................................402 ブラウザ ..........................................................399 証明書..............................................................401 作成.........................................................................208 属性、設定..............................................................242 データ インポート.......................................................342 エクスポート ...................................................340 ユーザー管理者 定義 .................................................................209 認証 .................................................................204 ユーザー数の制限 ...................................................242 ユーザー アカウント エクスポート ..........................................................342 ユーザー セッション セッションを参照 ユーザー セッションのシミュレーション .....................351 ユーザー セッションの記録...........................................350 ユーザー ロール ロールを参照 ユーザー領域 エクスポート ..........................................................341 よ 要素 インスタンス ..........................................................116 ら マイナー ログ メッセージ、定義 ..................................111 ライセンス 概要.........................................................................140 更新.........................................................................144 作成.........................................................................142 め り ま メール サーバー、設定 ......................................................329 ピーク利用状況統計情報 ........................................176 メジャー ログ メッセージ、定義 ..................................111 も 問題のブラウジング(Web)..........................................352 ゆ 有効なロール、定義 ..................................................49, 52 ユーザー Advanced Preferences ページ .................................268 アカウント インポート ......................................................339 エクスポート...................................................339 管理 .................................................................208 作成 .........................................................208, 277 アカウントの管理...................................................208 監視 ........................................................................138 強制的に終了させる ...............................................138 リソース ポリシー E メールクライアント ............................................329 Java .........................................................292, 293, 294 Network Connect.....................................................320 UNIX/NFS ファイル .........................................310, 313 Web.................................................................285, 286 Windows ファイル..........................................310, 311 インポート..............................................................342 エクスポート ..........................................................340 キャッシング ..........................................................288 コード化 .................................................................315 サーバー .................................................................281 設定.........................................................285, 317, 397 選択的な再書き込み ...............................................296 データ転送プロキシ ...............................................298 ファイル .................................................................309 概要...........................................................................54 定義.....................................................................33, 37 定義済みポリシー .....................................................33 評価...........................................................................55 リソース ポリシーのコード化 .......................................315 リソース、リソース ポリシー コンポーネント ...............54 索引 437 Juniper Networks NetScreen Secure Access 700 管理ガイド 領域 エクスポート .......................................................... 341 サインイン ポリシーへのマッピング..................... 181 セキュリティ要件..................................................... 37 設定 ........................................................................ 239 定義 .................................................................... 33, 36 定義済み領域 ............................................................ 33 リンク速度 設定 ................................................................ 164, 165 れ レジストリの設定 チェック 設定 ................................................................. 194 ろ ローカル認証サーバー 認証サーバー、ローカル認証を参照 ロール Web サーバー アクセス コントロール .. 287, 320, 322, 326 インポート ............................................................. 342 エクスポート .......................................................... 340 オプション、管理................................................... 257 サインインの制限 Host Checker ポリシーにより ......................... 403 IP による ......................................................... 405 パスワード ...................................................... 402 証明書 ............................................................. 401 制限 ........................................................................ 258 設定 ........................................................................ 256 設定、管理 ............................................................. 257 定義 .......................................................................... 37 評価 .......................................................................... 52 ブックマーク SSH ブックマークの作成................................. 273 telnet ブックマークの作成 .............................. 273 Web の作成 ............. 263, 264, 270, 272, 273, 274 ファイルの作成 ....................................... 270, 271 マージ....................................................................... 52 マッピング ..................................... 36, 46, 48, 52, 242 ユーザー セッションのオプション、指定.............. 259 リソース ポリシー コンポーネント ......................... 54 定義 .................................................................... 32, 51 定義済みロール ........................................................ 32 ロールベースのソース IP エイリアス.............................. 51 ロギング 記録するイベントの指定 ........................................ 169 クライアント ログ Cache Cleaner .................................................... 79 無効にする ...................................................... 176 セキュリティ レベル .............................................. 111 設定 ........................................................................ 168 ポリシーのトレース ............................................... 350 ログ ファイルの保存 .............................................. 168 438 索引 Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5". Juniper Networks, Inc. has sales offices worldwide. For contact information, refer to www.juniper.net. 50A051605 A book with .25" spine would cut here. A book with 2.5" spine would cut here. Juniper Networks, Inc. Printed on recycled paper Juniper Networks, Inc. A 1.25" spine would fold here. A 2.5" spine would fold here. NetScreen Secure Access NetScreen Secure Access FIPS Quick Start NetScreen Instant Virtual Extranet Platform Cover size is 8.3 x 10.75". This is the hardware version: has blue line and blue bar Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA Phone 408 745 2000 or 888 JUNIPER Fax 408 745 2100 ™ CORPORATE HEADQUARTERS M320 Internet Router Hardware Guide ™ M-series Routing Platforms www.juniper.net
© Copyright 2024 Paperzz