Aventail SSL VPN ® イ ン ス ト ールおよび管理ガ イ ド バージ ョ ン 8.6 ©1996-2005 Aventail Corporation。 すべての権利は保有 さ れています。 Aventail、 Aventail Cache Control、 Aventail Connect、 Aventail Connect Tunnel、 Aventail End Point Control、 Aventail Management Console、 Aventail Connect Mobile、 Aventail OnDemand、 Aventail OnDemand Tunnel、 Aventail Secure Desktop、 Aventail Smart Access、 Aventail Smart Policy、 Aventail Smart SSL VPN、 Aventail Smart Tunneling、 Aventail ST、 Aventail Unified Policy、 Aventail WorkPlace、 Aventail WorkPlace Mobile、 Aventail EX-750、 Aventail EX-1500、 Aventail EX-2500、 お よびそれに対応する ロ ゴは、 trademarks, registered trademarks, or service marks of Aventail Corporation の商標、 登録商標、 ま たはサービ ス マー ク です。 ま た、 このマ ニ ュ アルに記載 さ れてい る その他の製品名お よび会社名は、 各社の商標です。 Last modified 1/12/06 18:11 Part number 0850-000011-03 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | i 目次 第1 章 は じ めに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Aventail ア プ ラ イ ア ン スの機能 . . . . Aventail ア プ ラ イ ア ン ス モデル . 管理者コ ンポーネ ン ト . . . . . . . ユーザー コ ンポーネン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2 .2 .2 .3 こ の リ リ ースの新機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 こ の リ リ ースでのユーザー イ ン タ フ ェ ースの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 シス テム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 管理者コ ンポーネ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 ク ラ イ ア ン ト コ ンポーネン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 こ のマニ ュ アルについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 こ のマニ ュ アルの規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 第2 章 イ ン ス ト ール と 初期セ ッ ト ア ッ プ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 ネ ッ ト ワー ク アーキテ ク チ ャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 イ ン ス ト ールの準備. . . . . . . . . . . . . イ ン ス ト ールチ ェ ッ ク リ ス ト . . . . フ ァ イ アウ ォ ール ポ リ シーの確認 . 便利な管理ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 . 15 . 16 . 17 イ ン ス ト ールおよび設定プ ロ セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 イ ン ス ト ール と 構成の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 ア プ ラ イ ア ン スの実稼働環境への移行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 ア プ ラ イ ア ン スのイ ン ス ト ール. . . . . . . . . . . . ラ ッ ク のイ ン ス ト ール . . . . . . . . . . . . . . フ ロ ン ト パネルの操作ボ タ ン と イ ン ジケー タ ア プ ラ イ ア ン スの接続 . . . . . . . . . . . . . . 電源投入 . . . . . . . . . . . . . . . . . . . . . . . ア プ ラ イ ア ン スの電源停止 と 再起動 . . . . . . ... ... .. ... ... ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. .. . . 20 . . 20 . . 21 . . 24 . . 26 . . 26 初期ネ ッ ト ワー ク セ ッ ト ア ッ プの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Setup Wizard を使用 し た Web ベースの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Setup Tool を使用 し た コ マ ン ド ラ イ ンによ る構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 次のス テ ッ プ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 ii | 目次 第3 章 AMC の操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 AMC へのア ク セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 AMC へのログ イ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 ログアウ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 AMC の基礎 . . . . . . . . . . . . . . . . . . . . . . . . . . . . AMC イ ン タ フ ェ ース ク イ ッ ク ツ アー . . . . . . . . . AMC でのオブ ジ ェ ク ト の追加、 編集、 コ ピー、 削除 ヘルプの利用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 . 32 . 35 . 36 管理者ア カ ウン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 管理者ア カ ウン ト と 役割の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 複数管理者の構成フ ァ イルの衝突回避. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 構成デー タ の操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 構成変更のデ ィ ス ク への保存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 構成変更の適用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 参照 さ れているオブ ジ ェ ク ト の削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 第4 章 ネ ッ ト ワー ク と 認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 基本ネ ッ ト ワー ク 設定の構成 . . . . . . . . シス テム ID の識別 . . . . . . . . . . . ネ ッ ト ワー ク イ ン タ フ ェ ースの構成 IP ルー ト の構成 . . . . . . . . . . . . . 名前解決の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SSL 証明書の構成. . . . . . . . . . . . . . . . . . . . . . . . 概要 : SSL 証明書. . . . . . . . . . . . . . . . . . . . . 自己署名証明書の使用 . . . . . . . . . . . . . . . . . . 商用 CA から の証明書の取得 . . . . . . . . . . . . . . 他のコ ン ピ ュ ー タ から の既存の証明書のイ ンポー ト 証明書の管理 . . . . . . . . . . . . . . . . . . . . . . . . 証明書の FAQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. .. .. . . 53 . . 53 . . 54 . . 56 . . 61 . . 61 . . 65 ユーザー認証の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 認証サーバーの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . レルムでのグループ ア フ ィ ニテ ィ チ ェ ッ ク の有効化 . . . . . Microsoft Active Directory サーバーの構成 . . . . . . . . . . LDAP および LDAPS 認証の構成 . . . . . . . . . . . . . . . . . RADIUS 認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . Netegrity SiteMinder または RSA ClearTrust 認証の構成. ロー カル ユーザー認証の構成 . . . . . . . . . . . . . . . . . . . . 認証構成のテス ト . . . . . . . . . . . . . . . . . . . . . . . . . . . シ ングル サイ ン オンの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 . 46 . 46 . 48 . 51 . 66 . 66 . 69 . 69 . 74 . 80 . 83 . 86 . 86 . 86 次のス テ ッ プ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | iii 第5 章 セキ ュ リ テ ィ 管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 リ ソ ースの作成 と 管理 . . . . . . . . . . . . . . . . . リ ソ ースの タ イ プ . . . . . . . . . . . . . . . . . リ ソ ースおよび リ ソ ース グループの表示 . . . リ ソ ースの追加. . . . . . . . . . . . . . . . . . . リ ソ ースの編集. . . . . . . . . . . . . . . . . . . リ ソ ースの削除. . . . . . . . . . . . . . . . . . . リ ソ ース排除 リ ス ト の使用. . . . . . . . . . . . リ ソ ース グループの作成 と 管理 . . . . . . . . Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルの表示 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 . 89 . 91 . 92 . 94 . 94 . 95 . 96 . 97 . 97 ア ク セス制御ルール. . . . . . . . . . . . . . . . . . . . . . . . . . . ア ク セス制御ルールの構成. . . . . . . . . . . . . . . . . . . . ア ク セス方式 と リ ソ ース と の間の拒否ルール非互換の解決 不正な接続先 リ ソ ースの解決 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 100 111 112 第6 章 ユーザー管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 概要 : ユーザー、 グループ、 レルム、 コ ミ ュ ニ テ ィ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 レルムおよび コ ミ ュ ニ テ ィ の使用 . . . . . . . . . . レルムの表示 . . . . . . . . . . . . . . . . . . . . デ フ ォル ト 、 表示、 非表示レルム . . . . . . . デ フ ォル ト レルムの選択 . . . . . . . . . . . . レルムの有効化 と 無効化 . . . . . . . . . . . . . レルムを定義する場合のベス ト プ ラ ク テ ィ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 116 117 118 119 119 レルムの作成 と 構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . レルムへのコ ミ ュ ニ テ ィ の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . コ ミ ュ ニ テ ィ の作成 と 構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . デ フ ォル ト コ ミ ュ ニテ ィ の使用 . . . . . . . . . . . . . . . . . . . . . . . . . レルムで コ ミ ュ ニ テ ィ が リ ス ト さ れる順序の変更. . . . . . . . . . . . . . . レルムでの RADIUS ア カ ウン テ ィ ングの構成 . . . . . . . . . . . . . . . . コ ミ ュ ニ テ ィ の編集、 コ ピー、 削除 . . . . . . . . . . . . . . . . . . . . . . . ユーザーまたはグループの メ ンバーシ ッ プの特定コ ミ ュ ニ テ ィ への制限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 121 122 128 129 129 131 131 ユーザーおよびグループの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . ユーザーおよびグループの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . 外部 リ ポジ ト リ にマ ッ ピ ング さ れているユーザーおよびグループの管理. ロー カル ユーザー ア カ ウン ト の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 131 132 138 iv | 目次 第7 章 シス テム管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 オプ シ ョ ン ネ ッ ト ワー ク 構成 . . . . . . . . . . . . . . リ モー ト ホス ト から の SSH ア ク セスの有効化 . ICMP の有効化 . . . . . . . . . . . . . . . . . . . . . 時刻設定の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 141 142 143 シス テム ロギングおよびモ ニ タ リ ング . . . . . . . . 概要 : シ ス テム ロギングおよびモニ タ リ ング . ログ フ ァ イル形式. . . . . . . . . . . . . . . . . . ログの表示 . . . . . . . . . . . . . . . . . . . . . . ログ設定の構成. . . . . . . . . . . . . . . . . . . . ログ フ ァ イルのロ ケーシ ョ ン . . . . . . . . . . . シス テム メ ッ セージ ログ . . . . . . . . . . . . . ネ ッ ト ワー ク プ ロキシ / ト ンネル監査ログ . . Web プ ロキシ監査ログ. . . . . . . . . . . . . . . Management Console 監査ログ . . . . . . . . ア プ ラ イ ア ン スの監視 . . . . . . . . . . . . . . . SNMP の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 144 145 145 148 149 150 151 152 153 153 157 . . . . . . . . . . . . バ ッ ク ア ッ プ、 リ ス ト ア、 シス テム更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 構成フ ァ イルのバ ッ ク ア ッ プ と リ ス ト ア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 シス テムへのパ ッ チ当て、 ア ッ プグレー ド 、 ロールバ ッ ク 、 リ セ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 SSL 暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 SSL 暗号化の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 ソ フ ト ウ ェ ア ラ イ セ ン ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 ラ イ セ ン スの詳細の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 ラ イ セ ン スの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 第8 章 End Point Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 概要 : End Point Control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 End Point Control のシナ リ オ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 ゾーンおよびデバイ ス プ ロ フ ァ イルによ る EPC の管理 . . End Point Control の有効化 と 無効化 . . . . . . . . . . ゾーンおよびデバイ ス プ ロ フ ァ イルの表示 . . . . . . . ゾーンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . 定義済みのゾーンおよびデバイ ス プ ロ フ ァ イルの使用 特定の状況に対する ゾーンの作成 . . . . . . . . . . . . . ク ラ イ ア ン ト に残 さ れたデー タ の削除 Aventail Cache Control の構成 . Aventail Secure Desktop . . . . Sygate On-Demand . . . . . . . ク ラ イ ア ン ト の整合性の検証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 184 185 186 191 191 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. . . . . . 194 194 196 197 198 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | v 第9 章 ASAP WorkPlace ポー タ ル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 ASAP WorkPlace のク イ ッ ク ツ アー [Home] ページ . . . . . . . . . . . [Intranet Address] ボ ッ ク ス . . [Network Explorer] ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 202 203 204 ASAP WorkPlace のク ラ イ ア ン ト の要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 ASAP WorkPlace の一般設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 ASAP WorkPlace のカ ス タ マ イ ズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 シ ョ ー ト カ ッ ト の利用 . . . . . . . . . . . . . . . . . . . . . . . . . シ ョ ー ト カ ッ ト の表示 . . . . . . . . . . . . . . . . . . . . . . Web シ ョ ー ト カ ッ ト の追加 . . . . . . . . . . . . . . . . . . . ネ ッ ト ワー ク シ ョ ー ト カ ッ ト の追加 . . . . . . . . . . . . . グ ラ フ ィ カル タ ー ミ ナル シ ョ ー ト カ ッ ト の追加 . . . . . . 個人フ ォルダ を示すネ ッ ト ワー ク シ ョ ー ト カ ッ ト の作成 . シ ョ ー ト カ ッ ト の編集 . . . . . . . . . . . . . . . . . . . . . . シ ョ ー ト カ ッ ト の削除 . . . . . . . . . . . . . . . . . . . . . . シ ョ ー ト カ ッ ト の移動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 207 208 209 210 212 213 213 213 WorkPlace サイ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 WorkPlace サイ ト の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 WorkPlace お よび小型携帯端末 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 ASAP WorkPlace のログ イ ン ページ、 エ ラ ー ページ、 通知ページのカ ス タ マ イ ズ 概要 : WorkPlace テ ン プ レー ト のカ ス タ マ イズ . . . . . . . . . . . . . . . . . . . テ ン プ レー ト フ ァ イルを一致 さ せる方法 . . . . . . . . . . . . . . . . . . . . . . . . WorkPlace テ ン プ レー ト のカ ス タ マ イ ズ . . . . . . . . . . . . . . . . . . . . . . . WorkPlace カ ス タ ム テ ン プ レー ト のア ッ プ ロー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 221 222 223 224 ユーザーによ る ASAP WorkPlace へのア ク セスの許可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 End Point Control と ユーザーのログ イ ン プ ロ セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 Aventail Secure Desktop の動作方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 Aventail Cache Control の動作方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 vi | 目次 第 10 章 ユーザー ア ク セス コ ンポーネン ト およびサービ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 概要 : ユーザー ア ク セス エージ ェ ン ト ASAP WorkPlace . . . . . . . . . . . Network Explorer . . . . . . . . . . Aventail ト ン ネル ク ラ イ ア ン ト . . Aventail プ ロキシ ク ラ イ ア ン ト . . Aventail Web エージ ェ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 229 229 230 231 231 Aventail ク ラ イ ア ン ト のイ ン ス ト ール パ ッ ケージ . . . . . . . . . . . . . Aventail ク ラ イ ア ン ト のイ ン ス ト ール パ ッ ケージのダウン ロー ド . Aventail Connect ト ンネル ク ラ イ ア ン ト 用構成のカ ス タ マ イ ズ. . Aventail Connect Mobile ク ラ イ ア ン ト 用構成のカ ス タ マ イ ズ . . . Aventail Client セ ッ ト ア ッ プ パ ッ ケージのデプ ロ イ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 232 233 234 235 Aventail OnDemand プ ロキシ エージ ェ ン ト . . . . . . . . . . . . . . . . 概要 : OnDemand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OnDemand ク ラ イ ア ン ト 要件 . . . . . . . . . . . . . . . . . . . . . . . OnDemand がネ ッ ト ワー ク ト ラ フ ィ ッ ク を リ ダ イ レ ク ト する方法 特定ア プ リ ケーシ ョ ンにア ク セスする ための OnDemand の構成 . 高度な OnDemand オプ シ ョ ンの構成 . . . . . . . . . . . . . . . . . . ク ラ イ ア ン ト の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 236 238 239 240 243 244 Aventail Connect プ ロキシ ク ラ イ ア ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 グ ラ フ ィ カル タ ー ミ ナル エージ ェ ン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 Windows Terminal Services エージ ェ ン ト の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 Citrix エージ ェ ン ト の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 Aventail ア ク セス サービ スの管理 . . . . . . . 概要 : ア ク セス サービ ス . . . . . . . . . . Aventail ア ク セス サービ スの停止 と 開始 ネ ッ ト ワー ク ト ン ネル サービ スの構成. . IP ア ド レ ス プールの構成 . . . . . . . . . . ネ ッ ト ワー ク プ ロキシ サービ スの構成. . Web プ ロキシ サービ スの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 250 251 252 253 256 258 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | vii 第 11 章 2 ノ ー ド ク ラ ス タ のイ ン ス ト ール と 管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 概要 : Aventail ク ラ ス タ . . . . . . . ク ラ ス タ アーキテ ク チ ャ . . . . 負荷分散サービ ス . . . . . . . . . ス テー ト フ ル フ ェ イルオーバー 同期ク ラ ス タ 管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ク ラ ス タ のイ ン ス ト ール と 構成. . . . . . . . . . . . . . . . . . ス テ ッ プ 1: ク ラ ス タ ネ ッ ト ワー ク の接続. . . . . . . . ス テ ッ プ 2: ク ラ ス タ のすべての ノ ー ド で Setup Tool ス テ ッ プ 3: マス タ ー ノ ー ド の割 り 当て . . . . . . . . . ス テ ッ プ 4: ク ラ ス タ の外部仮想 IP ア ド レ スの構成 . ス テ ッ プ 5: 残 り の構成作業の実行 . . . . . . . . . . . . ス テ ッ プ 6: 管理ス イ ッ チ接続の構成 ( 適切な場合 ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 259 260 261 261 ..... ..... を実行 ..... ..... ..... ..... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 262 263 264 265 266 266 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 267 268 268 268 269 269 269 270 270 ク ラ ス タ の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 各 ノ ー ド のネ ッ ト ワー ク 構成の表示 と 構成 . . . . . . . . . ク ラ ス タ の起動. . . . . . . . . . . . . . . . . . . . . . . . . . サービ スの開始 と 停止 . . . . . . . . . . . . . . . . . . . . . ク ラ ス タ の監視. . . . . . . . . . . . . . . . . . . . . . . . . . ク ラ ス タ のバ ッ ク ア ッ プ . . . . . . . . . . . . . . . . . . . . ク ラ ス タ での保守の実行 . . . . . . . . . . . . . . . . . . . . ク ラ ス タ のア ッ プグレー ド . . . . . . . . . . . . . . . . . . . 単一ア プ ラ イ ア ン スのク ラ ス タ 構成へのア ッ プグレー ド ク ラ ス タ の ト ラ ブルシ ュ ーテ ィ ング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ク ラ ス タ のシナ リ オ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 正常な フ ローまたは ト ラ フ ィ ッ ク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 ノ ー ド の障害 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 付録 A ト ラ ブルシ ュ ーテ ィ ング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 一般的なネ ッ ト ワーキングの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 AMC の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 認証の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Aventail サービ スの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Aventail ト ン ネルの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Aventail OnDemand プ ロキシの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 一般的な OnDemand プ ロキシの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 個別の OnDemand の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 AMC の ト ラ ブルシ ュ ーテ ィ ング ツール . . . . . . . . ping コ マ ン ド . . . . . . . . . . . . . . . . . . . . . traceroute コ マ ン ド . . . . . . . . . . . . . . . . . DNS ル ッ ク ア ッ プ . . . . . . . . . . . . . . . . . . 現在のルーテ ィ ング テーブルの表示 . . . . . . . ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト のロギング ..... ..... ..... ..... ..... ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 281 282 282 283 283 viii | 目次 付録 B ア プ ラ イ ア ン ス保護のためのベス ト プ ラ ク テ ィ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 ネ ッ ト ワー ク 構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 ア プ ラ イ ア ン スの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 管理者ア カ ウン ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 ア ク セス ポ リ シー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 SSL サイ フ ァ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 ク ラ イ ア ン ト ア ク セス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 付録 C 国際化サポー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 ネ イ テ ィ ブ文字セ ッ ト のサポー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 RADIUS ポ リ シー サーバーの文字セ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 選択可能な RADIUS 文字セ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 サポー ト さ れている その他の RADIUS 文字セ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 付録 D FIPS ハー ド ウ ェ ア セキ ュ リ テ ィ モ ジ ュ ール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 は じ めに. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ハー ド ウ ェ ア セキ ュ リ テ ィ モ ジ ュ ールおよびセキ ュ リ テ ィ ベス ト プ ラ ク テ ィ ス . . . . . . . . . . . . . . . . . . . . . . . . FIPS 対応ア プ ラ イ ア ン スに対する その他のマニ ュ アル . . . 環境仕様 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ........... ワール ド の概要 . ........... ........... ........... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. . . . . . .. .. .. .. .. . . . . . 293 293 294 294 294 セ ッ ト ア ッ プ と 構成. . . . . . . . . . . . . . . . . . . FIPS ア プ ラ イ ア ン ス を初めて起動する場合 . ラ イ セ ン ス要件. . . . . . . . . . . . . . . . . . . スマー ト カ ー ド リ ーダーの接続 . . . . . . . . ク ラ イ ア ン ト 構成の要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 295 296 296 296 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 操作手順. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 AMC での FIPS 暗号の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 セキ ュ リ テ ィ ワール ド の置換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 スマー ト カ ー ド の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理者カ ー ド セ ッ ト に対するパス フ レーズ保護の追加または変更 . 管理者カ ー ド セ ッ ト の置換 . . . . . . . . . . . . . . . . . . . . . . . . . 管理者カ ー ド セ ッ ト の定足数の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 302 303 303 セキ ュ リ テ ィ ワール ド のバ ッ ク ア ッ プ と 復旧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 フ ァ ームウ ェ ア ア ッ プデー ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 ト ラ ブルシ ュ ーテ ィ ング . . . . . . . . . . . . FIPS ログの表示. . . . . . . . . . . . . . 異常終了後の hardserver の再起動 . . SNMP を使用 し た FIPS デー タ の取得 コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 304 305 305 306 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | ix 付録 E マルチ ノ ー ド EX-2500 ク ラ ス タ の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 EX-2500 ア プ ラ イ ア ン スの ク ラ ス タ リ ングの概要 ク ラ ス タ の管理. . . . . . . . . . . . . . . . . . . . ア プ ラ イ ア ン ス初期設定の実行 . . . . . . . . . . ア プ ラ イ ア ン スの構成 . . . . . . . . . . . . . . . ス イ ッ チへのア プ ラ イ ア ン スの接続 . . . . . . . ロー ド バラ ンサの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 307 307 307 308 308 用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 x | 目次 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 1 第1章 は じ めに Aventail SSL VPN アプ ラ イ ア ン ス は、 従業員、 ビ ジネ ス パー ト ナー、 顧客に対 し て、 セ キ ュ ア な ア ク セ ス (Web アプ リ ケーシ ョ ンへの ク ラ イ ア ン ト レ ス ア ク セ ス 、 ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ンへのア ク セ ス 、 フ ァ イ ル共有な ど を含む ) を提供す る ための機器です。 すべての ト ラ フ ィ ッ ク は、 Secure Sockets Layer (SSL) に よ っ て暗号化 さ れてお り 、 こ れに よ っ て、 許可を受け ていないユーザーのア ク セ ス を防止 し ま す。 Aventail アプ ラ イ ア ン ス を使用す る と 、 Windows、 Macintosh、 Linux な ど の広範なプ ラ ッ ト フ ォ ーム か ら 、 広範な ア ク セ ス方式 ( 標準 Web ブ ラ ウ ザ、 Windows ク ラ イ ア ン ト 、 モバ イ ル デバ イ ス な ど ) でアプ リ ケー シ ョ ン を利用す る こ と がで き ます。 こ のアプ ラ イ ア ン ス を使用す る と 、 次の こ と がで き る よ う にな り ま す。 • リ モー ト ア ク セ ス VPN の作成。 こ れに よ り 、 リ モー ト の従業員が、 電子 メ ールな ど のプ ラ イ ベー ト な企 業アプ リ ケーシ ョ ン に、 イ ン タ ーネ ッ ト 経由で安全にア ク セ ス で き る よ う にな り ま す。 • ビ ジネ ス パー ト ナー VPN の作成。 こ れに よ り 、 指定 さ れたサプ ラ イ ヤーが、 内部のサプ ラ イ チ ェ ーン アプ リ ケーシ ョ ン に、 イ ン タ ーネ ッ ト 経由でア ク セ ス で き る よ う にな り ま す。 こ のアプ ラ イ ア ン ス では、 細かいア ク セ ス 制御が可能で、 こ の機能を利用す る こ と に よ り 、 ユーザー レベルや リ ソ ー ス レベルでポ リ シーを定義 し ア ク セ ス を制御す る こ と がで き ます。 ま た、 効率を向上 さ せ る ために、 こ のアプ ラ イ ア ン ス は Web ベー ス の管理 コ ン ソ ールか ら 管理す る よ う にな っ てい ます。 こ れに よ り 、 標準 Web ブ ラ ウ ザを使用 し て、 ポ リ シーを素早 く 簡単に管理で き る 他、 アプ ラ イ ア ン ス の構成 も 行 う こ と がで き ま す。 2 | 第 1 章 - は じ めに Aventail アプ ラ イアンスの機能 こ の節では、 こ のアプ ラ イ ア ン ス の主な コ ン ポーネ ン ト について説明 し ま す。 Aventail アプラ イアンス モデル Aventail では、 次の SSL VPN アプ ラ イ ア ン ス モデルを提供 し てい ます。 それぞれの詳細については、 こ のマ ニ ュ アルで説明 し ま す。 • Aventail EX-2500。 最大 2,000 ユーザーの同時利用を サポー ト し 、 内部負荷分散機能を使用 し て、 2 台 の同 じ アプ ラ イ ア ン ス を ク ラ ス タ 化 し 、 1 つの仮想 IP ア ド レ ス にす る こ と がで き ま す。 ま た、 1 台の外 部 ロ ー ド バ ラ ン サを使用す る こ と で、 最大 8 台のアプ ラ イ ア ン ス に よ る ク ラ ス タ も サポー ト し ま す。 • Aventail EX-2500 FIPS。 EX-2500 の FIPS 対応バージ ョ ン で、 内部ハー ド ウ ェ ア セ キ ュ リ テ ィ モ ジ ュ ール (HSM) を搭載 し て、 アプ ラ イ ア ン ス が使用す る 暗号化秘密鍵を保護で き る 他、 HSM のア ク セ ス に使用 さ れ る ス マー ト カー ド を管理 し て、 その他の運用機能や ト ラ ブルシ ュ ーテ ィ ン グ機能を実行す る こ と がで き ます。 こ のハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールは FIPS 140-2 の レベル 2 に準拠 し てい ます。 • Aventail EX-1500。 最大 1,000 ユーザーの同時利用を サポー ト し 、 内部負荷分散機能を使用 し て、 2 台 の同 じ アプ ラ イ ア ン ス を ク ラ ス タ 化 し 、 1 つの仮想 IP ア ド レ ス にす る こ と がで き ま す。 ま た、 1 台の外 部 ロ ー ド バ ラ ン サを使用す る こ と で、 最大 8 台のアプ ラ イ ア ン ス に よ る ク ラ ス タ も サポー ト し ま す。 • Aventail EX-750。 最大 50 ユーザーの同時利用を サポー ト 。 管理者コ ンポーネン ト • Aventail Web プ ロキシ サービ ス。 こ のサービ ス は、 ユーザーが、 Web ベース のアプ リ ケーシ ョ ン、 Web サーバー、 ネ ッ ト ワ ー ク フ ァ イ ル サーバーな ど に、 Web ブ ラ ウ ザか ら 安全にア ク セ ス で き る よ う にす る ための も のです。 Web プ ロ キ シ サービ ス は、 Web ベース の リ ソ ー ス に対す る ア ク セ ス を中継 し 暗 号化す る セ キ ュ ア な HTTP リ バー ス プ ロ キ シです。 こ のサービ ス は、 Connect Mobile ク ラ イ ア ン ト の場 合は、 OnDemand プ ロ キ シ エージ ェ ン ト か ら の TCP/IP 接続の管理 も 行い ます。 • Aventail ネ ッ ト ワー ク ト ン ネル サービ ス。 こ の コ ン ポーネ ン ト は、 広範囲のアプ リ ケーシ ョ ン にセ キ ュ ア なネ ッ ト ワ ー ク ト ン ネル ア ク セ ス を提供す る ネ ッ ト ワ ー ク ルーテ ィ ン グ テ ク ノ ロ ジーです。 対象 と な る アプ リ ケーシ ョ ン には、 Voice Over IP (VoIP) や ICMP な ど の非 TCP プ ロ ト コ ル、 逆方向接続プ ロ ト コ ル、 FTP な ど の双方向プ ロ ト コ ルを使用す る も の も 含ま れ ます。 こ のサービ ス は、 Aventail Connect ト ン ネル ク ラ イ ア ン ト や Aventail OnDemand ト ン ネル エージ ェ ン ト と 共同で動作 し て、 認 証 さ れ暗号化 さ れた ア ク セ ス を可能に し ま す。 ネ ッ ト ワ ー ク ト ン ネル サービ ス では、 フ ァ イ ア ウ ォ ール や NAT デバ イ ス の他、 従来型の VPN デバ イ ス と 干渉す る 可能性があ る プ ロ キ シ サーバー も ト ラ バー ス す る こ と がで き ます。 • Aventail ネ ッ ト ワー ク プ ロキシ サービ ス。 こ のサービ ス は、 標準 ク ラ イ ア ン ト / サーバー アプ リ ケー シ ョ ン にア ク セ スす る ためのセ キ ュ ア なプ ロ キ シ を提供 し ます。 Aventail Connect プ ロ キ シ と 共同で動 作 し て、 イ ン タ ーネ ッ ト 経由で認証 さ れ暗号化 さ れた ア ク セ ス を可能に し ま す。 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス は、 SOCKS v5 プ ロ ト コ ルをベース に し てい ま す。 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス は、 内部の アプ リ ケーシ ョ ン と ネ ッ ト ワ ー ク に対す る ア ク セ ス を中継 し 暗号化 し ま す。 ネ ッ ト ワ ー ク プ ロ キ シ サー ビ ス は、 こ のプ ロ キ シベー ス のアーキ テ ク チ ャ と SSL を使用す る こ と に よ り 、 フ ァ イ ア ウ ォ ールや NAT デバ イ ス の他、 従来型の VPN デバ イ ス と 干渉す る 可能性があ る プ ロ キ シ サーバー も ト ラ バー ス す る こ と がで き ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 3 • Aventail® ASAP™ Management Console (AMC)。 Aventail アプ ラ イ ア ン ス を管理す る ための Web ベース の管理ツールです。 こ の ツールを使用す る と 、 セ キ ュ リ テ ィ ポ リ シーの管理、 シ ス テ ムの構 成 ( ネ ッ ト ワ ーキ ン グお よ び証明書の構成を含む )、 モニ タ リ ン グ について集中的に管理で き る よ う にな り ま す。 AMC は、 Web ブ ラ ウ ザでア ク セ ス す る こ と がで き ま す。 ユーザー コ ンポーネン ト こ のアプ ラ イ ア ン ス には、 ユーザーに対 し て、 ネ ッ ト ワ ー ク 上の リ ソ ース へのア ク セ ス を提供す る コ ン ポーネ ン ト も い く つか用意 さ れてい ま す。 • Aventail® ASAP™ WorkPlace。 こ の コ ン ポーネ ン ト は、 Web プ ロ キ シ サービ ス で保護 さ れた Web ベー ス の リ ソ ー ス に対 し てユーザーがア ク セ ス で き る よ う に し ま す。 ユーザーが ASAP WorkPlace に ロ グ イ ンす る と ホーム ページが現れ、 管理者が定義 し た シ ョ ー ト カ ッ ト の リ ス ト が表示 さ れ ます。 こ の リ ス ト は、 ア ク セ ス ポ リ シーに基づいて動的に変動 し ます。 こ れ ら のシ ョ ー ト カ ッ ト は、 ユーザーがア ク セ ス 権限を持つ、 Web ベー ス の リ ソ ー ス 、 Windows フ ァ イ ル シ ス テ ム の リ ソ ー ス 、 タ ー ミ ナル サー バーを ポ イ ン ト し てい ま す。 ASAP WorkPlace は、 標準 Web ブ ラ ウ ザか ら ア ク セ スす る こ と がで き ま す。 こ の Web リ ソ ース と フ ァ イ ル シ ス テ ム リ ソ ー ス は、 SSL を サポー ト す る 任意の Web ブ ラ ウ ザか ら ア ク セ ス す る こ と がで き ま す。 こ のアプ ラ イ ア ン ス では、 Internet Explorer が動作す る 比較的新 し いバー ジ ョ ン の Microsoft Windows シ ス テ ム に対 し て、 デフ ォ ル ト で Microsoft ActiveX コ ン ト ロ ール ( 「標 準 Web エージ ェ ン ト 」 ) を イ ン ス ト ールす る よ う にな っ てい ま す。 こ の標準 Web エージ ェ ン ト は、 ア プ ラ イ ア ン ス か ら Web コ ン テ ン ツ を直接取 り 込みます。 他のブ ラ ウ ザを使用す る ユーザーに対 し ては、 ト ラ ン ス レーテ ッ ド Web ア ク セ ス が自動的に提供 さ れ ます。 4 | 第 1 章 - は じ めに こ のエージ ェ ン ト を ユーザーのシ ス テ ム に イ ン ス ト ール し た く ない場合は、 ユーザーが ど のブ ラ ウ ザを使 用 し てい る かに関係な く 、 ト ラ ン ス レーテ ッ ド Web ア ク セ ス がすべてのユーザーに提供 さ れ る よ う 構成 す る こ と がで き ます。 • Aventail® OnDemand™ proxy エージ ェ ン ト 。 こ の コ ン ポーネ ン ト は、 Aventail Web プ ロ キ シ サービ ス で保護 さ れたネ ッ ト ワ ー ク リ ソ ー ス にア ク セ ス で き る よ う にす る セ キ ュ ア なエージ ェ ン ト です。 Aventail OnDemand は、ユーザーに ク ラ イ ア ン ト レ ス な VPN ア ク セ ス を提供す る も ので、任意の Web サーバーか ら 「オ ンデマ ン ド で」 ダ ウ ン ロ ー ド で き る よ う にな っ てい ま す。 ネ ッ ト ワ ー ク に対 し て標準 VPN ア ク セ ス で き ないパー ト ナーやベン ダーや、 キオ ス ク 端末な ど、 仕事用でない コ ン ピ ュ ー タ か ら ネ ッ ト ワ ー ク リ ソ ース にモバ イ ルで ア ク セ ス す る 従業員が使用す る と 便利です。 • Aventail® Connect™ プ ロ キシ ク ラ イ ア ン ト 。 こ の コ ン ポーネ ン ト は、 Aventail ネ ッ ト ワ ー ク プ ロ キ シ サービ ス で保護 さ れたネ ッ ト ワ ー ク リ ソ ー ス にア ク セ ス で き る よ う にす る Windows アプ リ ケーシ ョ ン です。 Aventail Connect を ユーザーの コ ン ピ ュ ー タ に イ ン ス ト ールす る と 、 パー ソ ナル フ ァ イ ア ウ ォ ールやア ン チ ウ イ ル ス アプ リ ケーシ ョ ン も サポー ト さ れ、 セ キ ュ リ テ ィ の レベルが向上 し ま す。 ほ と ん ど の場合ユーザーは、 認証 ク レ デン シ ャ ルの入力を求め ら れ る と き や、 ロ ーカルお よ び リ モー ト の ネ ッ ト ワ ー ク を選択す る よ う 求め ら れ る と き に限っ て、 Aventail Connect と 通信 し ます。 • Aventail® Connect™ お よ び Aventail® OnDemand ク ラ イ ア ン ト を Smart Tunneling と 併用 す る と 、 すべての リ ソ ース に対 し てネ ッ ト ワ ー ク レベルでア ク セ ス で き る よ う にな り 、 それぞれのエ ン ド ユーザー デバ イ ス を、 効率的にネ ッ ト ワ ー ク の仮想 ノ ー ド にす る こ と がで き ま す。 • • Connect ト ン ネル ク ラ イ ア ン ト に よ り 、 Web で イ ン ス ト ール さ れ る Windows ク ラ イ ア ン ト (Windows XP お よ び Windows 2000 が動作す る コ ン ピ ュ ー タ ) か ら 、 ネ ッ ト ワ ー ク お よ びアプ リ ケーシ ョ ン に対 し て フル ア ク セ ス で き る よ う にな り ます。 こ の ク ラ イ ア ン ト は、 ASAP WorkPlace ポー タ ルの リ ン ク 、 ま たは標準 Windows イ ン ス ト ー ラ の実行可能パ ッ ケージか ら 透過的に イ ン ス ト ール さ れ ま す。 Connect ト ン ネル ク ラ イ ア ン ト では他に も 、 ス プ リ ッ ト ト ン ネ リ ン グ制御、 細か いア ク セ ス制御、 自動プ ロ キ シ検出 と 認証な ど の機能 も 提供 さ れ ます。 • OnDemand ト ン ネル エージ ェ ン ト には、 Connect ト ン ネル と ほぼ同 じ 機能があ り ま す。 ただ し 、 ド メ イ ン ロ グ イ ンの際にダ イ ヤルア ッ プ ア ダプ タ と し て使用す る こ と はで き ま せん。 ま た、 ASAP WorkPlace に統合 さ れてい る と い う 点で も 異な り ます。 OnDemand の場合、 ス プ リ ッ ト ト ン ネ リ ン グ モー ド ま たは リ ダ イ レ ク ト オール ト ラ フ ィ ッ ク モー ド のいずれかで動作す る こ と がで き ま す。 Aventail® Connect™ Mobile ク ラ イ ア ン ト 。 こ の コ ン ポーネ ン ト は、 Windows CE が動作す る Pocket PC デバ イ ス に対 し て、 リ モー ト TCP/IP ア ク セ ス を提供 し ま す。 Connect Mobile ク ラ イ ア ン ト は、 ス タ ン ド ア ロ ン の イ ン ス ト ー ラ パ ッ ケージか ら イ ン ス ト ール さ れ、 Aventail Web プ ロ キ シ サービ ス で管理 さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 5 • End Point Control™ コ ン ポーネ ン ト コ ン ポーネ ン ト 。 ネ ッ ト ワ ー ク が、 信頼 さ れていない環境の PC か ら ア ク セ ス さ れた場合に危険に さ ら さ れ る こ と のない よ う に し ます。 Aventail アプ ラ イ ア ン ス には、 重要なデー タ やネ ッ ト ワ ー ク を保護す る ための、 複数の End Point Control (EPC) コ ン ポーネ ン ト をサ ポー ト す る 機能があ り ま す。 Aventail のデー タ 保護エージ ェ ン ト Aventail Secure Desktop お よ び Aventail Cache Control は、 セ ッ シ ョ ン デー タ を PC か ら 自動的に削除 し ます。 ま た、 こ のアプ ラ イ ア ン ス では、 ア ク セ ス を許可す る 前に ク ラ イ ア ン ト シ ス テ ム上のマル ウ ェ ア を自動的にチ ェ ッ ク す る 、 サー ド パーテ ィ の ク ラ イ ア ン ト イ ン テ グ リ テ ィ コ ン ト ロ ール と も 統合で き る よ う にな っ てい ま す。 Aventail Connect プ ロ キ シ を除 く 、 Aventail のすべてのア ク セ ス 方法で、 EPC がサポー ト さ れてい ま す。 このリ リ ースの新機能 Aventail ASAP プ ラ ッ ト フ ォ ーム のバージ ョ ン 8.6 では、 次の よ う な機能が追加 ま たは強化 さ れてい ま す。 • 新 し いア プ ラ イ ア ン ス モデル : Aventail は、 こ の リ リ ー ス で 2 つの新 し いアプ ラ イ ア ン ス モデルを加え ま し た。 1 つは Aventail EX-2500 で、 最大 2,000 ユーザーの同時利用をサポー ト し 、 外部 ロ ー ド バ ラ ン サ を使用す る こ と で、 最大 8 台のアプ ラ イ ア ン ス に よ る ク ラ ス タ 構成をサポー ト し てい ます。 も う 1 つは FIPS 対応の EX-2500 で、 ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールを搭載 し てお り 、 アプ ラ イ ア ン ス が使用す る 暗号化秘密鍵を保護で き る よ う にな っ てい ます。 • ネ ッ ト ワー ク ト ン ネル サービ スの強化 : Aventail ネ ッ ト ワ ー ク ト ン ネル サービ ス を構成 し 、ネ ッ ト ワ ー ク ト ン ネル ト ラ フ ィ ッ ク を イ ン タ ーネ ッ ト にルーテ ィ ン グす る ためのデフ ォ ル ト IP ア ド レ ス を指定で き る よ う にな っ てい ます。 ま た、 外部 DHCP (Dynamic Host Configuration Protocol) サーバーを使用す る こ と に よ っ て、 IP ア ド レ ス を ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト に割 り 当て る 際に使用 さ れ る IP ア ド レ ス プールを、 動的に割 り 当て ら れ る よ う にな り ます。 • Connect ト ン ネル ク ラ イ ア ン ト の強化 : すべての Connect ト ン ネル ク ラ イ ア ン ト を単一のゾーンに限 定す る のではな く 、 Connect ト ン ネル ク ラ イ ア ン ト に よ っ て、 エ ン ド ポ イ ン ト イ ン ト ロ ゲーシ ョ ン を実 行 し 、 任意の End Point Control ゾーンに分類で き る よ う にな っ てい ま す。 ま た、 Connect ト ン ネル ク ラ イ ア ン ト は、 エ ン ド ユーザーに配布す る ために、 イ ン ス ト ール パ ッ ケージ と し て ダ ウ ン ロ ー ド す る こ と も で き ま す。 • 統合 さ れた リ ソ ース排除 リ ス ト : こ の排除 リ ス ト を使用す る こ と で、 アプ ラ イ ア ン ス を介 し て リ ダ イ レ ク ト す る リ ソ ー ス のホ ス ト 名 ま たは IP ア ド レ ス を管理す る こ と がで き ま す。 ま た、 排除 リ ソ ー ス を定義す る と き は、 「?」 と 「*」 の ワ イ ル ド カー ド を使用す る こ と がで き ます。 • パスワー ド 管理 : Web ア ク セ ス サービ ス を介 し て アプ ラ イ ア ン ス に接続す る ユーザー、 お よ び Active Directory サーバーや LDAP サーバーを介 し て認証す る ユーザーは、 自身のパ ス ワ ー ド を リ モー ト に変更 で き る よ う にな っ てい ま す。 • ク ラ ス タ リ ン グ と ハ イ アベ イ ラ ビ リ テ ィ : 新 し い Aventail EX-2500 アプ ラ イ ア ン ス では、 統合 さ れた 負荷分散機能を使用す る こ と で 2 台のアプ ラ イ ア ン ス、 外部 ロ ー ド バ ラ ン サを使用す る こ と で最大 8 台 のアプ ラ イ ア ン ス を ク ラ ス タ リ ン グ で き る よ う にな っ てい ま す。 • Aventail Connect Mobile ク ラ イ ア ン ト : Connect Mobile ク ラ イ ア ン ト は、 Windows CE が動作す る Pocket PC デバ イ ス に対 し て、 リ モー ト TCP/IP ア ク セ ス を提供 し ま す。 Connect Mobile ク ラ イ ア ン ト は、 ス タ ン ド ア ロ ン の イ ン ス ト ー ラ パ ッ ケージか ら イ ン ス ト ール さ れ、 Aventail Web プ ロ キ シ サービ ス で管理 さ れ ます。 • End Point Control の強化 : デバ イ ス プ ロ フ ァ イ ルで、 Windows ド メ イ ン名、 フ ァ イ ル名、 レ ジ ス ト リ 値を指定す る と き 、 ワ イ ル ド カー ド 文字がサポー ト さ れ る よ う にな り ま し た。 ま た、 フ ァ イ ルがその古 さ に よ っ てチ ェ ッ ク さ れ る 他、MD5 ま たは SHA-1 ハ ッ シ ュ や Windows カ タ ロ グ フ ァ イ ルを使用 し て、 フ ァ イ ルの整合性が検証 さ れ る よ う にな り ま し た。 さ ら に、 デバ イ ス プ ロ フ ァ イ ルで使用 さ れ る 比較演 算子に、 「否定」 演算子が含まれ る よ う にな り ま し た。 • 役割ベースの管理 : プ ラ イ マ リ VPN 管理者は、 こ の新 し い機能を使用す る こ と に よ り 、 割 り 当て ら れて い る 役割やア ク セ ス 権限に基づいて、 指定 し た他の AMC ユーザーに対 し 、 特定の管理作業を委任す る こ と がで き ます。 • ロ ギン グの改善 : 新 し い AMC 構成の監査 ロ グ では、 管理者が AMC を使用 し アプ ラ イ ア ン ス に対 し て実 行 し た構成変更に関す る 情報が記録 さ れ ます。 • 小型携帯端末のサポー ト : ユーザーは、 ス マー ト フ ォ ン、 特定の携帯電話、 Pocket PC、 パー ソ ナル デジ タ ル ア シ ス タ ン ト な ど、 さ ま ざ ま な小型携帯端末を使用 し て ASAP WorkPlace に接続 し 、 Web リ ソ ー ス にア ク セ ス で き る よ う にな っ てい ま す。 AMC では、 ブ ラ ウ ザ プ ロ フ ァ イ ルを使用す る こ と で、 デバ イ ス固有の表示機能を構成す る こ と がで き 、 小型携帯端末で End Point Control を使用す る よ う 構成す る こ と も で き ま す。 • WorkPlace シ ョ ー ト カ ッ ト の拡張 : Windows Terminal Services エージ ェ ン ト お よ び Citrix エージ ェ ン ト で、 WorkPlace シ ョ ー ト カ ッ ト を使用で き る よ う にな っ てい ま す。 ま た、 WorkPlace シ ョ ー ト カ ッ ト は、 小型携帯端末で も 使用す る こ と がで き ます。 6 | 第 1 章 - は じ めに • 認証サポー ト の拡張 : AMC で、Netegrity SiteMinder お よ び RSA ClearTrust 認証サーバー、RADIUS ア カ ウ ン テ ィ ン グ サーバー と の統合がサポー ト さ れてい ます。 • AMC の利用 し やす さ の改善 : [General Settings]、 [Network Settings]、 [SSL Settings]、 [Agent Configuration] な ど の新 し いサマ リ ー ページに よ り 、 主要な構成設定に簡単にア ク セ ス で き る よ う にな り ま し た。 レルムや コ ミ ュ ニ テ ィ な ど のオブジ ェ ク ト 同士の関係が簡略化 さ れてい ます。 管理者は、 AMC の [Home] ページか ら 直接、 ASAP WorkPlace の主要なサ イ ト にア ク セ ス す る こ と がで き ます。 [Configure Realm] ページの [Communities] セ ク シ ョ ン では、 ロ グ イ ン、 デバ イ ス プ ロ フ ァ イ リ ン グ、 EPC ゾーン の分類、 エージ ェ ン ト プ ロ ビ ジ ョ ニ ン グ、 デー タ 保護な ど、 特定の コ ミ ュ ニ テ ィ に対す る セ ッ シ ョ ン フ ロ ー イ ベン ト が ビ ジ ュ アルに表示 さ れ ま す。 このリ リ ースでのユーザー イン タ フ ェースの変更 バージ ョ ン 8.6 では、 AMC ユーザー イ ン タ フ ェ ー ス のデザ イ ン が大幅に改善 さ れてお り 、 一部のページ、 コ マ ン ド 、 オプシ ョ ンは新 し い ロ ケーシ ョ ン に移動 し た り 名前が変わ っ た り し てい ま す。 旧バージ ョ ン の AMC にな じ んでい る 管理者のために、 こ の よ う な機能の以前の ロ ケーシ ョ ン と 新 し い ロ ケーシ ョ ン を次の図で示 し ます。 ロ ケーシ ョ ン の先頭が コ マ ン ド 名にな っ てい る 場合、 その コ マ ン ド は、 メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーの コ マ ン ド です。 機能名 以前のロ ケーシ ョ ン 新 し い ロ ケーシ ョ ン / 名前 [Communities] ページ [Communities] コ マ ン ド [Realms] コ マ ン ド > [New] ボ タ ン > [Configure Realm] ページ > [Next] ボ タ ン > [Create new] ボ タ ン > [Configure Community] ページ ま たは [Realms] コ マ ン ド > [realm name] リ ン ク > [Communities] リ ン ク > [community name] [Configure Client Integrity] ページ (WholeSecurity Confidence [End Point Control] コ マ ン ド > [Configure data protection] [Agent Configuration] コ マ ン ド > [Client integrity (pre-authentication) リンク Edit] リ ン ク Online お よ び Zone Labs Integrity Clientless Security) [Configure Community [Community] コ マ ン ド > Access Methods] セ ク シ ョ ン [New] ボ タ ン >[Configure Communities] ページ > [Access Methods] セ ク シ ョ ン [Realms] コ マ ン ド > [New] ボ タ ン > [Configure RealmGeneral] ページ > [Next] ボ タ ン > [Configure RealmCommunities] ページ > [expand community] ボ タ ン (+)> [Access Methods] リ ン ク ま たは [Realms] コ マ ン ド > [expand realm] ボ タ ン (+)> [Communities] リ ン ク > [Access Methods] リ ン ク [Configure Community End Point Controls] セクシ ョ ン [Community] コ マ ン ド > [New] ボ タ ン > [Configure Communities] ページ >[End Point Control Restrictions] セ ク シ ョ ン [Realms] コ マ ン ド >[New] ボ タ ン > [Configure RealmGeneral] ページ > [Next] ボ タ ン > [Configure RealmCommunities] ページ > [expand community] ボ タ ン (+)> [End Point Control Restrictions] リ ン ク ま たは [Realms] コ マ ン ド > [expand realm] ボ タ ン (+)> [Communities] リ ン ク > [End Point Control Restrictions] リ ン ク Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 7 新 し い ロ ケーシ ョ ン / 名前 機能名 以前のロ ケーシ ョ ン [Configure Community [Community] コ マ ン ド > [Realms] コ マ ン ド > [New] ボ タ ン > [New] ボ タ ン > [Configure Communities] ページ [Configure RealmGeneral] ページ > >[Members] セ ク シ ョ ン [Next] ボ タ ン > [Configure RealmCommunities] ページ >[expand community] ボ タ ン (+)> [General] リ ン ク Members] セ ク シ ョ ン ま たは [Realms] コ マ ン ド > [expand realm] ボ タ ン (+)> [Communities] リ ン ク > [Members] リンク [Configure Data Protection] ページ [Configure OnDemand] [End Point Control] コ マ ン ド > [Configure data protection] [Agent Configuration] コ マ ン ド > [Data protection (post-authentication) リンク Edit] リ ン ク [Aventail OnDemand] コ マ ン ド [Agent Configuration] コ マ ン ド > [Aventail OnDemand Edit] リ ン ク [End Point Control] コ マ ン ド > [Configure data protection] [Agent Configuration] コ マ ン ド > [Data protection (post-authentication) リ ン ク >[Configure Data Protection] ページ Edit] リ ン ク > [Configure Data Protection] ページ [End Point Control] コ マ ン ド > [Configure data protection] [Agent Configuration] コ マ ン ド > [Data protection (post-authentication) リ ン ク >[Configure Data Protection] ページ Edit] リ ン ク > [Configure Data Protection] ページ [Configure OnDemand] コ マ ン ド >[Show network redirection [Agent Configuration] コ マ ン ド > [Aventail OnDemandEdit] リ ン ク > [Show network redirection list] リ ン ク ページ [Enable Aventail Cache Control] お よび [Enable Aventail Secure Desktop] [Enable Sygate OnDemand Protection] [Redirection List] ページ list] リ ン ク ま たは [Resources] コ マ ン ド > [Show network redirection list] リ ン ク システム要件 こ の節では、 Aventail SSL VPN の管理者 コ ン ポーネ ン ト お よ び ク ラ イ ア ン ト コ ン ポーネ ン ト のシ ス テ ム要件 について説明 し ま す。 管理者コ ンポーネン ト 管理者 コ ン ポーネ ン ト のシ ス テ ム要件は、 次の表に リ ス ト さ れてい ます。 標準フ ォ ン ト の項目は、 サポー ト さ れてい る プ ラ ッ ト フ ォ ーム を表 し てお り 、 イ タ リ ッ ク の項目は互換プ ラ ッ ト フ ォ ーム を表 し てい ま す。 管理者 コ ン ポーネ ン ト オペ レーテ ィ ン グ シ ス テム ブ ラ ウザ ASAP Management Console (AMC) • Windows XP Professional、 Service • Internet Explorer 6.0、 • Windows XP Professional、 Service • Internet Explorer 6.0、 • Windows XP Home、 Service Pack 2 • Mozilla Firefox 1.0.6 Pack 2 Pack 1 Service Pack 2 Service Pack 1 • Windows XP Home、 Service Pack 1 • Windows 2000 Professional、 Service Pack 4 • Linux (Fedora Core 4) • Mozilla Firefox 1.0.7 8 | 第 1 章 - は じ めに ク ラ イアン ト コ ンポーネン ト ク ラ イ ア ン ト コ ン ポーネ ン ト のシ ス テ ム要件は、 次の表に リ ス ト さ れてい ま す。 標準フ ォ ン ト の項目は、 サ ポー ト さ れてい る プ ラ ッ ト フ ォ ーム を表 し てお り 、 イ タ リ ッ ク の項目は互換プ ラ ッ ト フ ォ ーム を表 し てい ま す。 ク ラ イアン ト コ ン ポーネ ン ト オペ レーテ ィ ン グ シ ス テム ブ ラ ウザ ASAP WorkPlace ポー タ ル • Windows XP Pro、 • Internet Explorer 6.0、 • Windows XP Pro、 • Internet Explorer 6.0、 • Windows XP Home、 • Mozilla Firefox 1.0.6 Service Pack 2 Service Pack 1 Service Pack 2 その他の要件 Service Pack 2 Service Pack 1 • Windows XP Home、 Service Pack 1 • Windows 2000 Pro、 Service Pack 4 • Macintosh OS X v 10.4 • Macintosh Safari 2.0 • Macintosh OS X v 10.3 • Macintosh Safari 1.3 • Mozilla Firefox 1.0.7 Connect ト ン ネル ク ラ イアン ト • Linux (Fedora Core 4) • Mozilla Firefox 1.0.7 • Windows XP Pro、 • なし • イ ン ス ト ール時に • Internet Explorer 6.0、 • Sun JVM 1.5.1 ま たは • Internet Explorer 6.0、 • Sun JVM 1.4.2 Service Pack 2 • Windows XP Pro、 Service Pack 1 Windows の Administrator 権限 が必要 • Windows XP Home、 Service Pack 2 • Windows XP Home、 Service Pack 1 • Windows 2000 Pro、 Service Pack 4 OnDemand ト ン ネル エージ ェ ン ト • Windows XP Pro、 Service Pack 2 • Windows XP Pro、 Service Pack 1 Service Pack 2 Service Pack 1 • Windows XP Home、 ActiveX プラグイン • イ ン ス ト ール時に Service Pack 2 Windows の Administrator 権限 が必要 • Windows XP Home、 Service Pack 1 • Windows 2000 Pro、 Service Pack 4 Connect プ ロキシ ク ラ イアン ト • Windows XP Pro、 • なし • イ ン ス ト ール時に • Windows XP Pro、 • Internet Explorer 6.0、 • Sun JVM 1.5.1 ま たは • Windows XP Pro、 • Internet Explorer 6.0、 • Sun JVM 1.4.2 • Windows XP Home、 • Mozilla Firefox 1.0.6 • 動的 リ ダ イ レ ク シ ョ ン Service Pack 2 • Windows XP Pro、 Service Pack 1 Windows の Administrator 権限 が必要 • Windows XP Home、 Service Pack 2 • Windows XP Home、 Service Pack 1 • Windows 2000 Pro、 Service Pack 4 OnDemand プ ロキシ エージ ェ ン ト Service Pack 2 Service Pack 1 Service Pack 2 • Windows XP Home、 Service Pack 1 • Windows 2000 Pro、 Service Pack 4 Service Pack 2 Service Pack 1 ActiveX プラグイン モー ド では Windows の Administrator 権限 が必要 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 9 ク ラ イアン ト コ ン ポーネ ン ト オペ レーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 • Macintosh OS X v 10.4 • Macintosh Safari 2.0 • Sun JVM 1.4.2 • Macintosh OS X v 10.3 • Macintosh Safari 1.3 • Linux • Mozilla Firefox 1.0.7 プラグイン • Sun JVM 1.4.2 プラグイン Connect Mobile ク ラ イアン ト • Windows Pocket PC 4.2.1 Web プ ロ キシ エージ ェ ン ト • Windows XP Pro、 • Internet Explorer 6.0、 • Windows XP Pro、 • Internet Explorer 6.0、 • Windows Pocket PC 4.2 Service Pack 2 Service Pack 1 • Pocket Internet Explorer 4.01 Service Pack 2 • ActiveX Service Pack 1 • Windows XP Home、 Service Pack 2 • Windows XP Home、 Service Pack 1 • Windows 2000 Pro、 Service Pack 4 ト ラ ン ス レーテ ッ ド Web ア ク セ ス • Windows XP Pro、 • Internet Explorer 6.0、 • Windows XP Pro、 • Internet Explorer 6.0、 • Windows XP Home、 • Mozilla Firefox 1.0.6 Service Pack 2 Service Pack 1 Service Pack 2 Service Pack 2 Service Pack 1 • Windows XP Home、 Service Pack 1 • Windows 2000 Pro、 Service Pack 4 • Macintosh OS X v 10.4 • Macintosh Safari 2.0 • Macintosh OS X v 10.3 • Macintosh Safari 1.3 • Mozilla Firefox 1.0.7 • Linux • Mozilla Firefox 1.0.7 • Sun JVM 1.4.2 プラグイン End Point Control (Interrogator およ び Installer) • Windows XP Pro、 • Internet Explorer 6.0、 • Sun JVM 1.5.1 ま たは • Windows XP Pro、 • Internet Explorer 6.0、 • Sun JVM 1.4.2 • Windows XP Home、 • Mozilla Firefox 1.0.6 Service Pack 2 Service Pack 1 Service Pack 2 Service Pack 2 Service Pack 1 ActiveX プラグイン • Windows XP Home、 Service Pack 1 • Windows 2000 Pro、 Service Pack 4 • Macintosh OS X v 10.4 • Macintosh Safari 2.0 • Macintosh OS X v 10.3 • Macintosh Safari 1.3 • Linux • Mozilla Firefox 1.0.7 • Sun JVM 1.4.2 プラグイン • Sun JVM 1.4.2 プラグイン Aventail Cache Control • Windows XP Pro、 • Internet Explorer 6.0、 • Windows XP Pro、 • Internet Explorer 6.0、 • Windows XP Home、 • Mozilla Firefox 1.0.6 Service Pack 2 Service Pack 1 Service Pack 2 • Windows XP Home、 Service Pack 1 • Windows 2000 Pro、 Service Pack 4 Service Pack 2 Service Pack 1 • Sun JVM 1.5.1 • Sun JVM 1.4.2 プラグイン 10 | 第 1 章 - は じ めに ク ラ イアン ト コ ン ポーネ ン ト オペ レーテ ィ ン グ シ ス テム ブ ラ ウザ その他の要件 • Macintosh OS X v 10.4 • Macintosh Safari 2.0 • Sun JVM 1.4.2 • Macintosh OS X v 10.3 • Macintosh Safari 1.3 • Linux • Mozilla Firefox 1.0.7 プラグイン • Sun JVM 1.4.2 プラグイン Aventail Secure Desktop • Service Pack 1 ま たは 2 が イ ン ス ト ール さ れた Windows XP Pro • Service Pack 1 ま たは 2 が イ ン ス ト ール さ れた Windows XP Home • Internet Explorer 6.0、 Service Pack 2 • Internet Explorer 6.0、 Service Pack 1 • Sun JVM 1.5.1 • Sun JVM 1.4.2 プラグイン • Mozilla Firefox 1.0.7 • Windows 2000 Pro、 Service Pack 4 サポー ト されている小型携帯端末 Aventail WorkPlace のモバ イ ル バージ ョ ン では、 ス マー ト フ ォ ンや PDA な ど、 次の メ ーカー製の小型携帯 端末をサポー ト し てい ま す。 • Audiovox • Blackberry • Danger • Dell • Ericsson • Hewlett-Packard • Motorola • NEC • Nokia • 02 • Palm • Panasonic • Samsung ど の よ う な小型携帯端末がサポー ト さ れてい る かについては、 『Aventail Assurance』 Web サ イ ト (http://aventailassurance.aventail.com) を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 11 このマニュ アルについて こ のマ ニ ュ アルでは、 こ のアプ ラ イ ア ン ス の イ ン ス ト ール、 構成、 保守について詳細に説明 し てい ま す。 ま た、 こ のマ ニ ュ アルの内容は、 AMC か ら コ ン テ キ ス ト 対応ヘルプ を呼び出 し て も 参照で き ます。 詳細については 36 ページの 「ヘルプの利用」 を参照 し て く だ さ い。 Aventail アプ ラ イ ア ン ス には、 『入門ガ イ ド 』 プ リ ン ト マ ニ ュ アルが付属 し てい ま す。 こ のマニ ュ アルでは、 VPN の重要な コ ン セプ ト や コ ン ポーネ ン ト について説明 し てお り 、 VPN の配備計画を作成す る 際に活用で き る よ う にな っ てい ます。 このマニュアルの規則 こ のマ ニ ュ アルで、 「外部」 と い う 用語を使用 し てい る 場合は、 イ ン タ ーネ ッ ト に接続 し てい る ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス を示 し ま す。 ま た、 「内部」 と 記述 し てい る 場合は、 内部の企業ネ ッ ト ワ ー ク に接続 し てい る ネ ッ ト ワ ー ク イ ン タ フ ェ ース を示 し ます。 こ のマニ ュ アルでは、 次の表記規則を使用 し てい ます。 表記規則 用途 Bold ユーザー イ ン タ フ ェ ース コ ンポーネ ン ト 。 (Web ページ上のテキス ト ボ ッ ク スやボ タ ン ) Monospace font ユーザー側が入力す るデー タ 。 Italic フ ァ イ ル名やデ ィ レ ク ト リ な ど。 commandname -x [-y] コ マ ン ド 構文の場合、 角か っ こはオプ シ ョ ン パ ラ メ ー タ を表 し ます。 ALL CAPS ENTER や BACKSPACE な どのキー名、 CTRL+Q な どのキー コ ン ビ ネーシ ョ ン。 12 | 第 1 章 - は じ めに Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 13 第2章 イ ン ス ト ール と 初期セ ッ ト ア ッ プ こ の節では、 こ のアプ ラ イ ア ン ス が、 ネ ッ ト ワ ー ク 環境の ど の部分で機能す る か示 し 、 同時に イ ン ス ト ール と 配線の手順を紹介 し ます。 ま た、 Web ベー ス の Setup Wizard ( ま たは コ マ ン ド ラ イ ンに よ る Setup Tool) を使用 し て、 基本ネ ッ ト ワ ー ク 構成を行 う 方法について も 説明 し ます。 ネ ッ ト ワーク アーキテ クチ ャ EX-2500 アプ ラ イ ア ン ス は、 デ ュ アル イ ン タ フ ェ ース 、 シ ン グル イ ン タ フ ェ ー ス 、 ク ラ ス タ 化のいずれかの 方法でセ ッ ト ア ッ プす る こ と がで き ます。 デ ュ アル イ ン タ フ ェ ー ス と シ ン グル イ ン タ フ ェ ー ス については こ の節で説明 し ます。 付録 E の 「マルチ ノ ー ド EX-2500 ク ラ ス タ の構成」 (307 ページ ) を参照 し て く だ さ い。 EX-1500 アプ ラ イ ア ン ス には、 3 つの物理ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス があ り 、 デ ュ アル イ ン タ フ ェ ース 、 シ ン グル イ ン タ フ ェ ー ス 、 ク ラ ス タ 化のいずれかの方法でセ ッ ト ア ッ プす る こ と がで き ま す。 デ ュ アル イ ン タ フ ェ ース と シ ン グル イ ン タ フ ェ ー ス については こ の節で説明 し ます。 ク ラ ス タ 構成の詳細については、 261 ページの 「 ク ラ ス タ の イ ン ス ト ール と 構成」 の節を参照 し て く だ さ い。 EX-750 アプ ラ イ ア ン ス には、 2 つの物理ネ ッ ト ワ ー ク イ ン タ フ ェ ース があ り 、 デ ュ アル イ ン タ フ ェ ー ス と シ ン グル イ ン タ フ ェ ース のいずれかの方法でセ ッ ト ア ッ プす る こ と がで き ます。 • デ ュ アル イ ン タ フ ェ ース構成。 外部 ト ラ フ ィ ッ ク ( つま り イ ン タ ーネ ッ ト と の通信 ) 用にネ ッ ト ワ ー ク イ ン タ フ ェ ー ス を 1 つ使用 し 、 も う 1 つの イ ン タ フ ェ ー ス は内部 ト ラ フ ィ ッ ク ( 企業ネ ッ ト ワ ー ク と の 通信 ) 用に使用 し ます。 ડᬺ䮔䮊䮏䮶䯃䭶 ౝㇱ 䭫䮺䮆䮜䭮䯃䮀 䭫䮺䮆䯃䮔䮊䮏 䮜䭨䭫䭩䭭䭰䯃䮲 ᄖㇱ 䭫䮺䮆䮜䭮䯃䮀 Aventail 䭩䮞䮰䭫䭩䮺䮀 䮜䭨䭫䭩䭭䭰䯃䮲 䮜䭨䭫䮲 䭼䯃䮗䯃 䭩䮞䮱䭸䯃䭾䮮䮺 䎺䏈䏅 䭼䯃䮗䯃 䭼䯃䮗䯃 14 | 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ • シ ン グル イ ン タ フ ェ ース構成。 単一のネ ッ ト ワ ー ク イ ン タ フ ェ ース が、 内部 ト ラ フ ィ ッ ク と 外部 ト ラ フ ィ ッ ク の両方で使用 さ れ ま す。 こ の構成の場合、 アプ ラ イ ア ン ス は通常、 非武装地帯 ( 略称 DMZ、 境 界ネ ッ ト ワ ー ク と も 呼ばれ る ) に設置 し ま す。 DMZ ડᬺ䮔䮊䮏䮶䯃䭶 䭫䮺䮆䯃䮔䮊䮏 ౝㇱ䭫䮺䮆䮜䭮䯃䮀 䮜䭨䭫䭩䭭䭰䯃䮲 䮜䭨䭫䭩䭭䭰䯃䮲 䮜䭨䭫䮲 䭼䯃䮗䯃 䭩䮞䮱䭸䯃䭾䮮䮺 Web 䭼䯃䮗䯃 䭼䯃䮗䯃 Aventail 䭩䮞䮰䭫䭩䮺䮀 ど ち ら の構成の場合 も 、 Aventail サービ ス に送 ら れて く る 要求 ( ネ ッ ト ワ ー ク プ ロ キ シ サービ ス の TCP/IP ト ラ フ ィ ッ ク や Web プ ロ キ シ サービ ス の HTTP/S ト ラ フ ィ ッ ク な ど ) は、ポー ト 80 (HTTP) お よ びポー ト 443 (HTTPS) を通っ て送信 さ れ ます。 ただ し 、 Aventail Connect ク ラ イ ア ン ト お よ び OnDemand エージ ェ ン ト か ら の ト ラ フ ィ ッ ク は常にポー ト 443 経由で送信 さ れ ます。 ほ と ん ど のネ ッ ト ワ ー ク では、 ト ラ フ ィ ッ ク が こ れ ら のポー ト 経由で送 ら れ る よ う に構成 さ れてい る ため、 ネ ッ ト ワ ー ク の フ ァ イ ア ウ ォ ールを構成 し 直す 必要はあ り ま せん。 アプ ラ イ ア ン ス は、 ネ ッ ト ワ ー ク 上にあ る 、 次の よ う な リ ソ ー ス に接続で き る 場所に イ ン ス ト ールす る 必要が あ り ま す。 • Web サーバー、 ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン、 Windows フ ァ イ ル サーバーな ど を含む、 アプ リ ケーシ ョ ン サーバーお よ びフ ァ イ ル サーバー。 • 外部認証 リ ポジ ト リ (LDAP サーバー、 Microsoft Active Directory サーバー、 RADIUS サーバーな ど )。 • 1 つま たは複数の Domain Name System (DNS) サーバー。 • ( オプシ ョ ン ) Windows Internet Name Service (WINS) サーバー。 こ れは、 ASAP WorkPlace を使 用 し て Windows ネ ッ ト ワ ー ク を ブ ラ ウ ズす る と き に必要にな り ます。 ! 注意 Aventail では、 ア プ ラ イ ア ン ス を フ ァ イ アウ ォ ールの内側に入れて安全を確保 し てお く こ と を強 く 推奨 し ます。 特に必要ない と 思われ る 場合で も 、 アプ ラ イ ア ン ス が次の リ ソ ース と 通信で き る よ う に し ておけば、 機能 と 使 い勝手が向上 し ま す。 • アプ ラ イ ア ン ス の時刻を合わせ る ための Network Time Protocol (NTP) サーバー。 • syslog 出力を保管 し てお く ための外部サーバー。 • Secure Shell (SSH) ア ク セ ス のための管理者の ワ ー ク ス テーシ ョ ン。 アプ ラ イ ア ン ス は、 自己署名サーバー証明書を使用す る 構成にで き る 他、 商用認証局 (CA) か ら 証明書を得 る こ と でセ キ ュ リ テ ィ を強化す る 構成にす る こ と も で き ます。 詳細については、 56 ページの 「商用 CA か ら の証 明書の取得」 を参照 し て く だ さ い。 イ ンス ト ールの準備 イ ン ス ト ールを始め る 前に、 ネ ッ ト ワ ーキ ン グ環境についての情報を収集 し 、 アプ ラ イ ア ン ス と の間で ト ラ フ ィ ッ ク が行 き 来で き る よ う フ ァ イ ア ウ ォ ールが正 し く 構成 さ れてい る こ と を確認す る 必要があ り ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 15 インス ト ールチ ェ ッ ク リ ス ト アプ ラ イ ア ン ス の構成を始め る 前に、 次の情報を収集す る 必要があ り ます。 こ の情報の一部については、 Setup Wizard (27 ページの 「Setup Wizard の実行」 を参照 ) ま たは Setup Tool (29 ページの 「Setup Tool の実行」 を参照 ) を実行す る と き に指定 し ますが、 ほ と ん ど の情報については、 AMC (45 ページの 「ネ ッ ト ワ ー ク と 認証の構成」 を参照 ) で アプ ラ イ ア ン ス を構成す る と き に使用す る こ と にな り ます。 • アプ ラ イ ア ン ス の管理の際に使用す る root パ ス ワ ー ド • 内部 IP ア ド レ ス お よ び ( オプシ ョ ン で ) 外部 IP ア ド レ ス • 一方 ま たは両方のネ ッ ト ワ ー ク ア ダプ タ の イ ン タ フ ェ ー ス 速度 • アプ ラ イ ア ン ス の名前 ( こ の名前は ロ グ フ ァ イ ルでのみ使用 さ れ る ため、 DNS に追加す る 必要はない ) メモ • ク ラ ス タ を イ ン ス ト ールす る と き は、 他に も 情報が必要にな り ます。 261 ページの 「 ク ラ ス タ の イ ン ス ト ール と 構成」 お よ び 307 ページの 「マルチ ノ ー ド EX-2500 ク ラ ス タ の構成」 を参照 し て く だ さ い。 証明書情報 サーバー証明書お よ び AMC 証明書を生成す る と き は、 次の情報が使用 さ れ ます。 • アプ ラ イ ア ン ス の完全修飾 ド メ イ ン名 (FQDN)。 こ の名前をパブ リ ッ ク DNS に追加す る と 、 ユーザーが Web ベース の リ ソ ー ス に接続す る と き に、 こ の名前を参照で き る よ う にな り ま す。 • ASAP Management Console (AMC) サーバーの FQDN。 アプ ラ イ ア ン ス を管理す る ために AMC にア ク セ ス す る と き は、 AMC サーバー名を使用 し ます。 ネーム ル ッ ク ア ッ プ情報 • アプ ラ イ ア ン ス を接続す る ネ ッ ト ワ ー ク の内部 DNS ド メ イ ン名 • プ ラ イ マ リ 内部 DNS サーバー ア ド レ ス ( 追加 DNS サーバーはオプシ ョ ン ) • 内部 WINS サーバーの IP ア ド レ ス と Windows ド メ イ ン の名前 (Aventail ASAP WorkPlace を使用 し て Windows ネ ッ ト ワ ー ク の フ ァ イ ルを ブ ラ ウ ズす る 場合は必要ですが、 それ以外はオプシ ョ ン ) 認証情報 • 認証サーバー (LDAP、 Active Directory、 RADIUS な ど ) のサーバー名 と ロ グ イ ン情報 ルーテ ィ ング情報 • デフ ォ ル ト ゲー ト ウ ェ イ ア ド レ ス 。 AMC にア ク セ ス す る 際、 ア ク セ ス 元の コ ン ピ ュ ー タ がアプ ラ イ ア ン ス と 異な る ネ ッ ト ワ ー ク 上にあ る 場合、 Setup Tool の実行時にゲー ト ウ ェ イ を指定す る 必要があ り ま す。 AMC では、 イ ン タ ーネ ッ ト に接続す る 際のデフ ォ ル ト ゲー ト ウ ェ イ を指定 し ます。 • 内部 リ ソ ー ス へのルーテ ィ ン グ情報。 こ れには、 静的ルー ト や動的ルー ト を入れ る こ と がで き ま す。 動的 ルーテ ィ ン グ を使用す る 場合は、 サ イ ト がルーテ ィ ン グ情報プ ロ ト コ ル (RIP) をサポー ト し ていなければ な り ません。 仮想ア ド レス プール情報 • ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト (Connect ト ン ネル ま たは OnDemand ト ン ネルのいずれか ) を イ ン ス ト ールす る 場合、 1 つ ま たは複数のア ド レ ス プールに IP ア ド レ ス を割 り 当て る 必要があ り ま す。 253 ページの 「IP ア ド レ ス プールの構成」 を参照 し て く だ さ い。 オプシ ョ ンの構成情報 • リ モー ト マ シ ン か ら SSH ア ク セ ス で き る よ う にす る と き は、 リ モー ト ホ ス ト の IP ア ド レ ス が必要にな り ま す。 • NTP サーバー と 同期 さ せ る と き は、 1 つま たは複数の NTP サーバーの IP ア ド レ ス が必要にな り ま す。 • デー タ を syslog サーバーに送信す る と き は、 1 つ ま たは複数の syslog サーバーの IP ア ド レ ス と ポー ト 番号が必要にな り ま す。 16 | 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ フ ァ イアウォール ポリ シーの確認 アプ ラ イ ア ン ス が正 し く 機能す る ためには、 外部 ( イ ン タ ーネ ッ ト 側 ) フ ァ イ ア ウ ォ ールお よ び内部フ ァ イ ア ウ ォ ールのポー ト を開かな ければな り ま せん。 外部 フ ァ イ アウ ォ ール Web ブ ラ ウ ザ、 Aventail Connect、 Aventail OnDemand か ら アプ ラ イ ア ン ス へア ク セ ス で き る よ う にす る には、 サ イ ト の フ ァ イ ア ウ ォ ールでポー ト 80 と ポー ト 443 を開いておかなければな り ま せん。 SSH ア ク セ ス を許可す る ために フ ァ イ ア ウ ォ ールを開いてお く と い う のは必須条件ではあ り ませんが、 リ モー ト シ ス テ ム か ら 管理作業がで き る よ う にな る ため便利です。 ト ラフ ィ ッ ク タイプ ポー ト / プ ロ ト コ ル 用途 必須 ? HTTP 80/tcp 非暗号化ネ ッ ト ワー ク ア ク セス x HTTPS 443/tcp 暗号化ネ ッ ト ワー ク ア ク セ ス x SSH 22/tcp ア プ ラ イ ア ン スへの管理ア ク セ ス 内部 フ ァ イ アウ ォ ール 内部ネ ッ ト ワ ー ク に フ ァ イ ア ウ ォ ールがあ る 場合、 ポ リ シーを調整 し て、 アプ ラ イ ア ン ス が通信す る バ ッ ク エ ン ド アプ リ ケーシ ョ ン のためにポー ト を開 く 必要があ り ます。 場合に よ っ ては、 DNS や電子 メ ールな ど の標 準ネ ッ ト ワ ー ク サービ ス 用のポー ト を開 く 以外に、 アプ ラ イ ア ン ス が次のサービ ス にア ク セ ス で き る よ う にす る ため、 フ ァ イ ア ウ ォ ール ポ リ シーを修正す る 必要があ り ます。 ト ラフ ィ ッ ク タイプ ポー ト / プ ロ ト コル 用途 Microsoft ネ ッ ト ワーキン グ • 138/tcp お よび 138/udp ASAP WorkPlace に よ る WINS 名前解決、 要求のブ ラ ウズ、 フ ァ イル共有へのア ク セス の際に使用 • 137/tcp お よび 137/udp • 139/udp • 162/snmp • 445/smb LDAP ( 非暗号化 ) 389/tcp LDAP デ ィ レ ク ト リ または Microsoft Active Directory と の通信 LDAP over SSL ( 暗号化 ) 636/tcp SSL を介 し た LDAP デ ィ レ ク ト リ または Microsoft Active Directory と の通信 RADIUS 1645/udp ま たは 1812/udp RADIUS 認証サーバー と の通信 NTP 123/udp ア プ ラ イ ア ン スの ク ロ ッ ク と NTP サーバー と の同期 Syslog 514/tcp シ ス テム ロ グ情報の syslog サーバーへの送信 SNMP 161/udp SNMP 管理ツールか らのア プ ラ イ ア ン スの監視 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 17 便利な管理ツール Microsoft Windows が動作す る リ モー ト シ ス テ ム か ら アプ ラ イ ア ン ス を管理す る と き は、 次の管理ツールを 使用す る と 便利です。 ど ち ら の ツール も 、 標準 FTP や Telnet ユーテ ィ リ テ ィ と 異な り 、 暗号を使用す る こ と で情報漏洩を防止 し てい ます。 • Secure Shell (SSH) ク ラ イ ア ン ト 。 こ の ツールを使用す る と 、 アプ ラ イ ア ン ス に安全に ロ グ イ ン し て、 コ マ ン ド ラ イ ン か ら 構成を行 う こ と がで き ます。 シ ス テ ムのバ ッ ク ア ッ プ、 ロ グ フ ァ イ ルの表示、 高度 なネ ッ ト ワ ー ク 設定の構成な ど を行 う 際に使用す る と 便利です。 ポ ピ ュ ラ ーな Windows SSH ク ラ イ ア ン ト に、 VanDyke Software の SecureCRT があ り ま す http://www.vandyke.com/products/securecrt/ か ら 評価版を ダ ウ ン ロ ー ド で き る よ う にな っ てい ま す。 ま た他に も PuTTY が有名です。 こ れは、 Telnet と SSH を Windows プ ラ ッ ト フ ォ ーム に実装す る フ リ ー ソ フ ト です。 SSH を使用 し て アプ ラ イ ア ン ス に接続す る と き は、 ユーザー名に 「root」 と 入力 し 、 Setup Tool で作成 し たパ ス ワ ー ド を あわせて入力 し ま す。 • Secure Copy (scp) ク ラ イ ア ン ト 。 こ の ツールを使用す る と 、 Windows が動作す る PC か ら フ ァ イ ル を安全かつ容易に転送で き る よ う にな り ま す。 証明書な ど のデー タ を アプ ラ イ ア ン ス に コ ピーす る と き に 使用す る と 便利です。 ポ ピ ュ ラ ーな Windows ク ラ イ ア ン ト は WinSCP で、 http://winscp.sourceforge.net/eng/ で提供 さ れてい ます。 イ ンス ト ールおよび設定プロセス こ の節では、 アプ ラ イ ア ン ス の イ ン ス ト ール、 構成、 テ ス ト の他、 実稼働環境への設定について概説 し ま す。 メモ • Aventail アプ ラ イ ア ン ス には、 評価版 と し て、 1,000 人のユーザーの同時使用を 3 日間サポー ト す る デ フ ォ ル ト ラ イ セ ン ス が付属 し てい ます。 こ の 3 日間を過ぎ て も アプ ラ イ ア ン ス を使い続け る 場合は、 有 効な ラ イ セ ン ス フ ァ イ ルを ア ッ プ ロ ー ド し な ければな り ま せん。 ラ イ セ ン ス 手続 き が完了 し ていない場 合、 Aventail ASAP Management Console (AMC) の ス テー タ ス 領域に黄色の 「 ラ イ セ ン ス 警告」 メ ッ セージが表示 さ れ ま す。 こ の リ ン ク を ク リ ッ ク す る と 、 [Licensing] ページに移 る こ と がで き ま す。 • ラ イ セ ン ス フ ァ イ ルを イ ン ポー ト す る 前に、 アプ ラ イ ア ン ス の日時が正 し く 構成 さ れてい る こ と を確認 し て く だ さ い。 詳細については、 143 ページの 「時刻設定の構成」 を参照 し て く だ さ い。 • ク ラ ス タ を イ ン ス ト ールす る 場合は、 261 ページの 「 ク ラ ス タ の イ ン ス ト ール と 構成」 お よ び 307 ペー ジの 「マルチ ノ ー ド EX-2500 ク ラ ス タ の構成」 を参照 し て く だ さ い。 • FIPS アプ ラ イ ア ン ス の イ ン ス ト ール と 構成を行 う 場合は、 アプ ラ イ ア ン ス で、 異な る セ ッ ト ア ッ プ手順 が必要にな り ます。 295 ページの 「FIPS アプ ラ イ ア ン ス を初めて起動す る 場合」 を参照 し て く だ さ い。 インス ト ールと構成の概要 イ ン ス ト ール プ ロ セ ス は、 い く つかの手順で構成 さ れてい ます。 以下のチ ェ ッ ク リ ス ト を参考に し て く だ さ い。 1. ア プ ラ イ ア ン ス を ラ ッ ク マウ ン ト し 、 ケーブルを接続 し ます。 20 ページの 「 ラ ッ ク の イ ン ス ト ール」 お よ び 24 ページの 「アプ ラ イ ア ン ス の接続」 を参照 し て く だ さ い。 2. Setup Wizard ( または コ マ ン ド ラ イ ン に よ る Setup Tool) を使用 し て基本的なネ ッ ト ワー ク 情報を 構成 し ます。 Setup Wizard ( ま たは Setup Tool) を使用す る と き 、 次の情報を入力す る よ う 求め ら れ ま す。 • 管理者パ ス ワ ー ド • 内部ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス の IP ア ド レ ス • ( オプシ ョ ン ) 内部 イ ン タ フ ェ ー ス にア ク セ ス す る と き に使用す る ゲー ト ウ ェ イ 27 ページの 「Setup Wizard を使用 し た Web ベー ス の構成」 ま たは 29 ページの 「Setup Tool を使用 し た コ マ ン ド ラ イ ン に よ る 構成」 を参照 し て く だ さ い。 18 | 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ 3. AMC に ロ グ イ ン し 、 ネ ッ ト ワー ク 構成を行います。 アプ ラ イ ア ン ス の管理のための Web ベース のアプ リ ケーシ ョ ン、 AMC に ロ グ イ ン し て、 次の項目を構 成 し ま す (Setup Wizard ですでに設定 し てい る 場合は不要 )。 • シ ス テ ム ID • 外部ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス ( オプシ ョ ン ) • ルーテ ィ ン グ情報 • 名前解決の設定 45 ページの 「基本ネ ッ ト ワ ー ク 設定の構成」 を参照 し て く だ さ い。 4. サーバー証明書を構成 し ます。 アプ ラ イ ア ン ス は、 Secure Sockets Layer (SSL) プ ロ ト コ ルを使用 し て情報を暗号化 し ます。 AMC を 使用 し て自己署名サーバー証明書を作成で き る 他、 オプシ ョ ン で商用認証局 (CA) か ら 証明書を得 る こ と も で き ます。 53 ページの 「SSL 証明書の構成」 を参照 し て く だ さ い。 5. 1 つま たは複数の認証サーバー を定義 し ます。 認証は、 ユーザーの身分を識別す る ために使用 し ます。 認証サーバーを構成す る と き 、 デ ィ レ ク ト リ タ イ プ (LDAP、 Microsoft Active Directory、 RADIUS、 ロ ーカル ユーザーのいずれか ) と ク レデン シ ャ ル タ イ プ ( ユーザー名 / パ ス ワ ー ド 、 ト ー ク ン、 デジ タ ル証明書のいずれか ) を指定す る よ う 求め ら れ ます。 66 ページの 「ユーザー認証の管理」 を参照 し て く だ さ い。 6. ア プ リ ケーシ ョ ン リ ソ ースお よびグループ を定義 し ます。 アプ リ ケーシ ョ ン リ ソ ー ス には、 TCP/IP ベー ス の リ ソ ース ( ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン、 フ ァ イ ル サーバー、 デー タ ベー ス な ど )、 HTTP を介 し て動作す る Web ベー ス の リ ソ ー ス (Web ア プ リ ケーシ ョ ンや Web サ イ ト )、 Windows ネ ッ ト ワ ー ク 共有 リ ソ ー ス (ASAP WorkPlace か ら ア ク セ スす る も の ) があ り ま す。 89 ページの 「 リ ソ ー ス の作成 と 管理」 を参照 し て く だ さ い。 7. ユーザー、 グループ、 レルム、 コ ミ ュ ニ テ ィ を定義 し ます。 ユーザーお よ びグループの定義は、 アプ リ ケーシ ョ ン リ ソ ース へのア ク セ ス を制御す る ために、 ア ク セ ス制御ルールで使用 し ま す。 レ ルム を定義す る と 、 アプ ラ イ ア ン ス が認証サーバー と 直接統合で き る よ う にな る ため、 ネ ッ ト ワ ー ク にア ク セ スす る 必要があ る それぞれのユーザーご と に、 ア カ ウ ン ト を作成 し 管 理す る 必要がな く な り ま す。 ま た、 コ ミ ュ ニテ ィ では、 同様のア ク セ ス要件 と End Point Control 要件 を持つユーザーを統合 し ます。 115 ページの 「概要 : ユーザー、 グループ、 レ ルム、 コ ミ ュ ニ テ ィ 」 お よ び 66 ページの 「ユーザー認証 の管理」 を参照 し て く だ さ い。 8. ア ク セ ス制御ルールを作成 し ます。 ア ク セ ス制御ルールは、 ユーザー ま たはグループが ど の リ ソ ー ス を使用で き る か定義す る も のです。 9. ASAP WorkPlace で Web シ ョ ー ト カ ッ ト お よ びネ ッ ト ワー ク シ ョ ー ト カ ッ ト を構成 し ます。 ユーザーが ASAP WorkPlace で Web リ ソ ー スやフ ァ イ ル シ ス テ ム リ ソ ース に簡単にア ク セ ス で き る よ う にす る ため、 こ れ ら の リ ソ ース に対す る シ ョ ー ト カ ッ ト を作成す る こ と がで き ます。 100 ページの 「ア ク セ ス 制御ルール」 を参照 し て く だ さ い。 207 ページの 「シ ョ ー ト カ ッ ト の利用」 を参照 し て く だ さ い。 10. 必要に応 じ て、 ネ ッ ト ワー ク ト ン ネル サービ ス を構成 し ます。 ネ ッ ト ワ ー ク ト ン ネル サービ ス を イ ン ス ト ールす る 場合、 ネ ッ ト ワ ー ク ト ン ネル サービ ス を構成 し て、 ク ラ イ ア ン ト に IP ア ド レ ス プールを割 り 当て る 必要があ り ま す。 252 ページの 「ネ ッ ト ワ ー ク ト ン ネル サービ ス の構成」 を参照 し て く だ さ い。 11. 必要に応 じ て、 End Point Control を有効に し 構成 し ます。 End Point Control は、 重要なデー タ を保護 し 、 信頼 さ れていない環境の PC か ら ア ク セ ス さ れた場合に ネ ッ ト ワ ー ク が危険に さ ら さ れ る こ と のない よ う 、 オプシ ョ ン でデー タ 保護 コ ン ポーネ ン ト を設定 し ま す。 End Point Control は、 コ ミ ュ ニ テ ィ を介 し て設定 し ま す。 179 ページの 「End Point Control」 お よ び 127 ページの 「 コ ミ ュ ニ テ ィ での End Point Control の使 用」 を参照 し て く だ さ い。 12. 変更を適用 し ます。 構成の変更を有効にす る には、 変更を適用す る 必要があ り ます。 41 ページの 「構成変更の適用」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 19 13. シ ス テムのア ク セ ス性能を テ ス ト し ます。 アプ ラ イ ア ン ス が外部ユーザー リ ポジ ト リ にア ク セ ス で き る か確認 し ま す。 ま た、 ネ ッ ト ワ ー ク 上の リ ソ ー ス にア ク セ ス で き る かについて も チ ェ ッ ク し ま す。 273 ページの 「 ト ラ ブルシ ュ ーテ ィ ン グ」 を参照 し て く だ さ い。 アプラ イアンスの実稼働環境への移行 アプ ラ イ ア ン ス についてネ ッ ト ワ ー ク 環境で十分テ ス ト し 動作を確認 し た ら 、 実稼働環境に移行 さ せ ま す。 こ の節では、 アプ ラ イ ア ン ス を実稼働環境に移行す る ための手順について説明 し ま す。 • 新 し いア ド レ ス情報を使用 し て、 ア プ ラ イ ア ン ス を再構成 し ます。 アプ ラ イ ア ン ス を実稼働環境に移行 し た と き にネ ッ ト ワ ー ク 環境が変動す る 場合、 基本ネ ッ ト ワ ー ク 設定 を再構成 し 、 次の値が変動 し てい る 場合は こ れを調整す る 必要があ り ます。 • 内部 イ ン タ フ ェ ース お よ び外部 イ ン タ フ ェ ース の IP ア ド レ ス • デフ ォ ル ト ゲー ト ウ ェ イ IP ア ド レ ス • 静的ルー ト • デフ ォ ル ト DNS ド メ イ ンお よ び DNS サーバーの IP ア ド レ ス 構成の変更が非常に多い場合は、 アプ ラ イ ア ン ス をデフ ォ ル ト 設定に戻 し て、 最初か ら や り 直す方が楽な こ と も あ り ま す。 その場合、 Config Reset Tool を使用 し ます。 詳細については、 169 ページの 「工場出 荷時デフ ォ ル ト 構成への復帰」 を参照 し て く だ さ い。 • DNS にア プ ラ イ ア ン ス を登録 し ます。 企業の DNS にアプ ラ イ ア ン ス を ま だ登録 し ていない場合、 こ こ で登録 し ます。 こ う す る こ と に よ り 、 外 部ユーザーが、 IP ア ド レ ス の代わ り に完全修飾 ド メ イ ン名を使用 し て、 ネ ッ ト ワ ー ク リ ソ ー ス にア ク セ ス で き る よ う にな り ます。 DNS サーバーのデー タ ベー ス を編集 し て、 アプ ラ イ ア ン ス の証明書お よ び任 意の WorkPlace サ イ ト に含ま れ る 完全修飾 ド メ イ ン名を登録 し ます。 • 商用 SSL 証明書を取得 し ます。 ユーザーの身分を保証す る ため、 アプ ラ イ ア ン ス の商用証明書を取得す る こ と がで き ます (AMC の場合、 一般的に自己署名証明書が適 し てい る )。 サーバー証明書の生成については、 53 ページの 「SSL 証明書 の構成」 を参照 し て く だ さ い。 • フ ァ イ アウ ォ ール ポ リ シーを調整 し ます。 イ ン タ ーネ ッ ト 側に フ ァ イ ア ウ ォ ールがあ る 場合、 場合に よ っ ては、 ポ リ シーを調整 し て、 アプ ラ イ ア ン ス で必要なポー ト を開 く 必要があ り ます。 デフ ォ ル ト の場合、 Web プ ロ キ シ サービ ス と ネ ッ ト ワ ー ク プ ロ キ シ サービ ス の両方がポー ト 443/tcp を使用 し て通信 し ます。 (Web プ ロ キ シ サービ ス は HTTPS の 場合ポー ト 443/tcp、 HTTP の場合ポー ト 80/tcp を使用 ) ネ ッ ト ワ ー ク の外部か ら SSH を使用 し て ア プ ラ イ ア ン ス に接続で き る よ う に し たい場合、 ポー ト 22/tcp を開いてお き ま す。 内部ネ ッ ト ワ ー ク 側に フ ァ イ ア ウ ォ ールがあ る 場合、 場合に よ っ ては、 ポ リ シーを調整 し て、 アプ ラ イ ア ン ス が通信す る バ ッ ク エ ン ド アプ リ ケーシ ョ ン のためにポー ト を開 く 必要があ り ます ( 対応す る ポー ト が開いていない場合 )。 た と えば、 認証のために LDAP サーバー ま たは Microsoft Active Directory サーバーを使用 し てい る 場合、 内部フ ァ イ ア ウ ォ ールでポー ト 389/tcp を開いてお く 必要があ り ます。 RADIUS サーバーの場合は、 1645/ucp も し く は 1812/udp の ど ち ら かのポー ト を開いてお く 必要があ り ま す。 Aventail ASAP WorkPlace を使用 し て Windows ネ ッ ト ワ ー ク 共有 リ ソ ー ス にア ク セ ス す る 場合、 WorkPlace が名前解決、 要求のブ ラ ウ ズ、 フ ァ イ ル共有へのア ク セ ス を実行で き る よ う 、 内部フ ァ イ ア ウ ォ ールで も 内部ポー ト を開いてお く 必要があ り ま す。 詳細については、 15 ページの 「 イ ン ス ト ール チ ェ ッ ク リ ス ト 」 を参照 し て く だ さ い。 • Aventail Connect ク ラ イ ア ン ト を設定 し ます。 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス を使用す る 場合、 ユーザーには、 ネ ッ ト ワ ー ク リ ソ ー ス にア ク セ ス す る ための ソ フ ト ウ ェ ア コ ン ポーネ ン ト が必要にな り ます。 • • Windows ベー ス の PC の場合、 デス ク ト ッ プに Aventail Connect ト ン ネル ま たはプ ロ キ シ ク ラ イ ア ン ト を イ ン ス ト ールす る こ と がで き ま す。 246 ページの 「Aventail Connect プ ロ キ シ ク ラ イ ア ン ト 」、 ま たは 『Aventail Connect Administrator's Guide』 の第 3 章を参照 し て く だ さ い。 Web シ ョ ー ト カ ッ ト お よびネ ッ ト ワー ク シ ョ ー ト カ ッ ト を作成 し 、 ASAP WorkPlace を設定 し ます。 ASAP WorkPlace を、 Web ベー ス の リ ソ ー ス に対す る イ ン タ フ ェ ース と し て使用 し 、 Windows ネ ッ ト ワ ー ク 共有 リ ソ ー ス に Web ベー ス で ア ク セ ス で き る よ う にす る 場合、 こ れ ら の リ ソ ー ス に対す る シ ョ ー ト カ ッ ト を作成す る 必要があ り ま す (207 ページの 「シ ョ ー ト カ ッ ト の利用」 を参照 )。 ま た、 VPN を介 し て リ ソ ー ス にア ク セ スす る 方法を ユーザーが理解で き る よ う に、 ASAP WorkPlace の URL をパブ リ ッ シ ュ す る こ と も で き ま す。 現在の環境に合わせて ASAP WorkPlace の外観を カ ス タ マ イ ズす る こ と も で き ます。 詳細については、 206 ページの 「ASAP WorkPlace のカ ス タ マ イ ズ」 を参照 し て く だ さ い。 20 | 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ アプ ラ イアンスのイ ンス ト ール 製品パ ッ ケージ を開いた ら 、 ネ ッ ト ワ ー ク へのアプ ラ イ ア ン ス の イ ン ス ト ールを開始 し 、 構成プ ロ セ ス の準備 に取 り かか り ます。 ラ ッ クのイ ンス ト ール アプ ラ イ ア ン ス を接続す る 前に、 十分な ス ペー ス と 適切な電力があ る こ と を確認 し ます。 それぞれのアプ ラ イ ア ン ス モデルの仕様は次の よ う にな っ てい ます。 EX-2500 ア プ ラ イ ア ン ス • 1U ラ ッ ク マ ウ ン ト コ ン ポーネ ン ト 、 幅 17.0" ×奥行 19.6" • AC 電源 : 300W PFC • AC 電圧 : 120V 時 6.0A、 220V 時 3.0A EX-1500 ア プ ラ イ ア ン ス • 1U ラ ッ ク マ ウ ン ト コ ン ポーネ ン ト 、 幅 16.9" ×奥行 23.9" • AC 電源 : 350W PFC • AC 電圧 : 115V 時 4.96A、 220V 時 2.48A EX-750 ア プ ラ イ ア ン ス • 1U ラ ッ ク マ ウ ン ト コ ン ポーネ ン ト 、 幅 16.9" ×奥行 15" • AC 電源 : 200W PFC • AC 電圧 : 100V 時 5A、 240V 時 3A アプ ラ イ ア ン ス を機器 ラ ッ ク にマ ウ ン ト す る 場合、 ラ ッ ク ハー ド ウ ェ ア を イ ン ス ト ールす る 必要があ り ま す。 EX-1500 お よ び EX-2500 アプ ラ イ ア ン ス の製品パ ッ ケージには、 アプ ラ イ ア ン ス を 4 ポ ス ト キ ャ ビ ネ ッ ト に取 り 付け る ための ス ラ イ ド レール キ ッ ト が付属 し てい ま す。 詳細な取 り 付け方法については、 レール キ ッ ト に付属す る 説明書を参照 し て く だ さ い。 ま た、 2 ポ ス ト ラ ッ ク に ミ ッ ド マ ウ ン ト 取 り 付けす る ためのブ ラ ケ ッ ト も 付属 し てい ます。 EX-750 ア プ ラ イ ア ン スの ラ ッ ク イ ン ス ト ールのベス ト プ ラ ク テ ィ ス • 周辺動作温度が上昇する場所は避け る : 閉 じ た環境ま たはマルチユニ ッ ト ラ ッ ク アセ ン ブ リ に イ ン ス ト ールす る 場合、 ラ ッ ク 付近の周辺温度は室温 よ り も 高 く な り ます。 そのため、 メ ーカーが指定 し てい る 最大周辺温度 (Tma) に適合 し た環境に機器を イ ン ス ト ールす る よ う 配慮 し なければな り ません。 • 空気の流れがない場所は避け る : 機器を ラ ッ ク に イ ン ス ト ールす る 場合、 機器を安全に運転す る 上で必要 な空気流を確保で き る 場所を選び ま す。 • 均等な機械的荷重 : 機器を ラ ッ ク に取 り 付け る と き 、 機械的荷重が不均等にな る こ と で危険な条件が発生 し ない よ う 注意 し ま す。 • 回路の過負荷を避け る : 機器の電源回路への接続や、 回路の過負荷が過電流保護や電源配線に与え る 影響 について も 配慮が必要です。 こ の よ う な問題に対応す る 場合、 機器のネーム プ レー ト の定格に も 配慮す る 必要があ り ま す。 • 信頼性の高いアース を維持する : ラ ッ ク マ ウ ン ト の機器については信頼性の高いアー ス を維持す る 必要が あ り ま す。 電源を分岐回路に直接接続 し ない場合 ( た と えばテーブル タ ッ プ を使用す る 場合な ど ) は、 特 に注意が必要です。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 21 フ ロン ト パネルの操作ボタ ン と イ ンジケータ アプ ラ イ ア ン ス の電源を投入す る 前に、 フ ロ ン ト パネルの操作ボ タ ン を確認 し てお き ます。 EX-2500 アプラ イアンスのフ ロン ト パネルの操作ボタ ン 次に、 EX-2500 アプ ラ イ ア ン ス の フ ロ ン ト パネルの操作ボ タ ン を示 し ます。 こ のアプ ラ イ ア ン ス の電源 ス イ ッ チは、 背面パネル上にあ り ます。 次の表は、 フ ロ ン ト パネルの操作ボ タ ン と イ ン ジ ケー タ を示 し てい ま す。 文字 名前 説明 A LCD デ ィ ス プ レ イ画面 ア プ ラ イ ア ン スのス テー タ スお よ び構成を示 し ます。 22 ページの 「EX-2500 LCD デ ィ スプ レ イ およ びキーパ ッ ド 」 を参照 し て く だ さ い。 B コ ン ソ ール シ リ アル ポー ト DB-9 シ リ アル ケーブルを介 し てア プ ラ イ ア ン ス を PC に接続 し ます。 C USB ポー ト こ の USB ポー ト は、 お客 さ まが使用する ための も のではあ り ません。 D LED イ ン ジケー タ LED イ ン ジケー タ は、 左か ら 右へ次の順に配置 さ れています。 • • • ス テー タ ス ( このア プ ラ イ ア ン ス では不使用 ) 固定デ ィ ス ク ド ラ イ ブ ( 赤の ラ イ ト がデ ィ ス クの動作に対応 ) 電源 LED ( 電源投入時に緑の ラ イ ト が点灯 ) E LCD キーパ ッ ド LCD デ ィ ス プ レ イ画面のオ プ シ ョ ン を操作 し 選択する と き、 キーパ ッ ド ボ タ ン を使用 し ます。 22 ページの 「EX-2500 LCD デ ィ ス プ レ イ お よ びキーパ ッ ド 」 を参照 し て く だ さ い。 F 内部ネ ッ ト ワー ク ア プ ラ イ ア ン ス を内部ネ ッ ト ワー ク に接続 し ます。 G 外部ネ ッ ト ワー ク ア プ ラ イ ア ン ス を外部ネ ッ ト ワー ク に接続 し ます。 H 予約済みの コ ネ ク タ 最初の 3 つのイ ーサネ ッ ト コ ネ ク タ は、 このア プ ラ イ ア ン ス では使用 し ません。 I ク ラ ス タ イ ン タ フ ェ ース ハ イ アベ イ ラ ビ リ テ ィ ク ラ ス タ で、 このア プ ラ イ ア ン ス を他のア プ ラ イ ア ン スに接続 し ます。 22 | 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ EX-2500 LCD デ ィ スプ レ イおよびキーパ ッ ド EX-2500 の LCD デ ィ ス プ レ イ の右に 4 ボ タ ン のキーパ ッ ド があ り 、 アプ ラ イ ア ン ス の ス テー タ ス や構成情報 を表示す る 場合や、 アプ ラ イ ア ン ス を終了 し た り 再起動 し た り す る 場合に使用で き る よ う にな っ てい ま す。 次の表は、 キーパ ッ ド の機能を示 し てい ま す。 文字 キーパ ッ ド の機能 説明 A 左ボ タ ン ア プ ラ イ ア ン ス を再起動 し たい と きは、 左ボ タ ン を 1 回押 し ます。 その際、 次の メ ッ セージが表示 さ れます。 Restart appliance? <Yes No> そのま ま ア プ ラ イ ア ン ス を再起動する場合は、 左ボ タ ン を も う 一度押 し ます。 再起動を中止する場合は、 右ボ タ ン を押 し ます。 B 上ボ タ ン ア プ ラ イ ア ン スのネ ッ ト ワー ク設定の構成を表示する と きは、 上ボ タ ン を 1 回押 し ます。 そのま ま続けて上ボ タ ン を押す と 、 次のネ ッ ト ワー ク 設定へス ク ロ ール し ます。 • • • • • • • • C 右ボ タ ン 内部ア ド レ ス 外部ア ド レ ス ク ラスタ ア ド レス デ フ ォル ト ゲー ト ウ ェ イ ホス ト 名 ド メ イ ン名 IP ア ド レ ス ネ ッ ト マス ク ア プ ラ イ ア ン ス を終了 し たい と きは、 右ボ タ ン を 1 回押 し ます。 その際、 次の メ ッ セージが表示 さ れます。 Shut down now? <Yes No> そのま ま ア プ ラ イ ア ン ス を終了する場合は、 左ボ タ ン を も う 一度押 し ま す。 終了を中止する場合は、 右ボ タ ン を押 し ます。 D 下ボ タ ン ネ ッ ト ワー ク設定の表示を終了する と きは、 下ボ タ ン を押 し ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 23 EX-1500 アプラ イアンスのフ ロン ト パネルの操作ボタ ン EX-1500 アプ ラ イ ア ン ス の フ ロ ン ト パネルの操作ボ タ ンは次の よ う にな っ てい ま す。 次の表は、 フ ロ ン ト パネルの操作ボ タ ン と イ ン ジ ケー タ を示 し てい ま す。 文字 名前 説明 A 外部ネ ッ ト ワー ク イ ン タ フ ェ ース ( アダ プ タ 1) 動作 LED ネ ッ ト ワー クが動作 し ている と き、 緑色の ラ イ ト が点灯または 点滅 し ます。 B 内部ネ ッ ト ワー ク イ ン タ フ ェ ース ( アダ プ タ 2) 動作 LED ネ ッ ト ワー クが動作 し ている と き、 緑色の ラ イ ト が点灯または 点滅 し ます。 C 電源 LED • • D 電源ボ タ ン シ ステム電源のオ ン / オ フ を切 り 替え ます。 E システム ス テー タ ス LED • • • F 固定デ ィ ス ク ド ラ イ ブ ス テー タ ス LED • • シ ステムがオ ンの と きは緑色の ラ イ ト が点灯 し ます。 シ ステムがオ フ の と きは ラ イ ト が消えています。 シ ステムが正常に動作 し てい る と き、 緑色の ラ イ ト が点灯 し ます。 シ ステムが重大な状況または回復不能な状況にな っ てい る と き、 オ レ ン ジの ラ イ ト が点灯 し ます。 シ ステムが停止 し てい る と き、 ラ イ ト が消えています。 デ ィ ス ク が動作 し てい る と き、 緑色の ラ イ ト が ラ ン ダムに点滅 し ます。 デ ィ ス ク ド ラ イ ブに障害が発生 し た と き、 オ レ ン ジの ラ イ ト が 点灯 し ます。 G ID LED ID ボ タ ン を押 し てい る と き、 青の ラ イ ト が点灯 し ます。 ID LED は シ ャ ーシの背面か ら確認で き る ため、 サーバー を ラ ッ ク に差 し 込む と き に、 ア プ ラ イ ア ン ス を簡単に識別で き る よ う にな っ ています。 H ID ボ タ ン ID LED のオ ン / オ フ を切 り 替えます。 I リセッ ト ボタン シ ステムを再起動 し ます。 24 | 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ EX-750 アプラ イアンスのフ ロン ト パネルの操作ボタ ン EX-750 アプ ラ イ ア ン ス の フ ロ ン ト パネルの操作ボ タ ンは次の よ う にな っ てい ま す。 次の表は、 EX-750 アプ ラ イ ア ン ス の フ ロ ン ト パネルの操作ボ タ ン と イ ン ジ ケー タ を示 し てい ます。 文字 名前 説明 A 電源 LED • • B 電源ボ タ ン シ ステム電源のオ ン / オ フ を切 り 替え ます。 C 固定デ ィ ス ク ド ラ イ ブ ス テー タ ス LED • リセッ ト ボタン シ ステムを再起動 し ます。 D • シ ステムがオ ンの と きは緑色の ラ イ ト が点灯 し ます。 シ ステムがオ フ の と きは ラ イ ト が消えています。 デ ィ ス ク が動作 し てい る と き、 緑色の ラ イ ト が ラ ン ダムに点滅 し ます。 デ ィ ス ク ド ラ イ ブに障害が発生 し た と き、 ア ンバー色 ( 琥珀色 ) の ラ イ ト が点灯 し ます。 アプラ イアンスの接続 アプ ラ イ ア ン ス を ネ ッ ト ワ ー ク に接続す る 場合、 それぞれのアプ ラ イ ア ン ス モデルに対応す る 手順に従い ま す。 EX-2500 アプラ イアンスの接続 図の よ う に、 EX-2500 アプ ラ イ ア ン ス には最大 5 箇所の接続端子があ り ます。 X EX-2500 ア プ ラ イ ア ン ス を接続する には 1. 内部のネ ッ ト ワ ー ク と 左の Ethernet ア ダプ タ を ネ ッ ト ワ ー ク ケーブルで接続 し ます。 2. 必要に応 じ て、 外部のネ ッ ト ワ ー ク と 右の Ethernet ア ダプ タ を ケーブルで接続 し ま す。 3. ク ラ ス タ を セ ッ ト ア ッ プす る と き は、 付属のネ ッ ト ワ ー ク ク ロ ス ケーブルの一方を ク ラ ス タ イ ン タ フ ェ ー ス ア ダプ タ に接続 し ま す。 も う 一方を、 ク ラ ス タ 内の別のアプ ラ イ ア ン ス の ク ラ ス タ イ ン タ フ ェ ー ス ア ダプ タ に接続 し ま す。 4. ノ ー ト 型 PC ま たは端末 と シ リ アル ポー ト を、 付属の DB9 ケーブルで接続 し ま す。 こ れに よ り 、 アプ ラ イ ア ン ス に対 し て フ ル コ ン ソ ール ア ク セ ス で き る よ う にな り ます。 詳細については、 26 ページの 「電源 投入」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 25 5. 標準 AC 電源 コ ー ド を電源端子に接続 し ます。 4 䭺䮺䮄䯃䮲 1 ౝㇱ䮔䮊䮏䮶䯃䭶 2 ᄖㇱ䮔䮊䮏䮶䯃䭶 5 㔚Ḯ䎃䎋⢛㕙䎌 㪊 䭶䮰䮀䮆䎃䭫䮺䮆䮜䭮䯃䮀 EX-1500 アプラ イアンスの接続 図の よ う に、 EX-1500 アプ ラ イ ア ン ス には最大 5 箇所の接続端子があ り ます。 o 内部ネ ッ ト ワー ク (INT 2) n 外部ネ ッ ト ワー ク (EXT 1) p ク ラ ス タ イ ン タ フ ェ ース (HA 3) q コ ン ソ ール r 電源 X EX-1500 ア プ ラ イ ア ン ス を接続する には 1. 上の Ethernet ア ダプ タ (INT 2 のマー ク が付いた も の ) を ネ ッ ト ワ ー ク ケーブルで接続 し ます。 2. 必要に応 じ て、 外部のネ ッ ト ワ ー ク と 下の Ethernet ア ダプ タ (EXT 1 のマー ク が付いた も の ) を ケーブ ルで接続 し ま す。 3. ク ラ ス タ を セ ッ ト ア ッ プす る と き は、 付属のネ ッ ト ワ ー ク ク ロ ス ケーブルの一方を ク ラ ス タ イ ン タ フ ェ ー ス ア ダプ タ (HA 3 のマー ク が付いた も の ) に接続 し ま す。 も う 一方を、 ク ラ ス タ 内の別のアプ ラ イ ア ン ス の ク ラ ス タ イ ン タ フ ェ ース ア ダプ タ に接続 し ます。 4. ノ ー ト 型 PC ま たは端末 と 背面のシ リ アル ポー ト を、 付属の RJ45 ケーブル と DB9-RJ45 変換ア ダプ タ で接続 し ます。 こ れに よ り 、 アプ ラ イ ア ン ス に対 し て フル コ ン ソ ール ア ク セ ス で き る よ う にな り ます。 詳細については、 26 ページの 「電源投入」 を参照 し て く だ さ い。 5. 標準 AC 電源 コ ー ド を電源端子に接続 し ます。 EX-750 アプラ イアンスの接続 図の よ う に、 アプ ラ イ ア ン ス には最大 3 箇所の接続端子があ り ます。 n 外部ネ ッ ト ワー ク (EXT 1) p コ ン ソ ール o 内部ネ ッ ト ワー ク (INT 2) 26 | 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ X EX-750 ア プ ラ イ ア ン ス を接続する には 1. 内部のネ ッ ト ワ ー ク と Ethernet ア ダプ タ (INT 2 のマー ク が付いた も の ) を ネ ッ ト ワ ー ク ケーブルで 接続 し ます。 2. 必要に応 じ て、 外部のネ ッ ト ワ ー ク と Ethernet ア ダプ タ (EXT 1 のマー ク が付いた も の ) を ケーブルで 接続 し ます。 3. ノ ー ト 型 PC ま たは端末 と 背面のシ リ アル ポー ト を、 付属の DB9 ケーブルで接続 し ま す。 こ れに よ り 、 アプ ラ イ ア ン ス に対 し て フ ル コ ン ソ ール ア ク セ ス で き る よ う にな り ます。 詳細については、 26 ページの 「電源投入」 を参照 し て く だ さ い。 4. 標準 AC 電源 コ ー ド を電源端子に接続 し ます。 電源投入 アプ ラ イ ア ン ス の接続が終わ っ た ら 、 電源を投入 し 、 構成プ ロ セ ス に移 り ます。 背面パネルにあ る シ リ アル コ ネ ク タ には、 ノ ー ト 型 PC ま たは端末か ら アプ ラ イ ア ン ス を構成す る ための イ ン タ フ ェ ー ス が用意 さ れてい ま す。 X ア プ ラ イ ア ン スの電源を投入する には 1. ノ ー ト 型 PC ま たは端末 l の電源を オ ン に し ま す。 2. 端末エ ミ ュ レーシ ョ ン プ ロ グ ラ ム を使用 し て、 アプ ラ イ ア ン ス と の間でシ リ アル接続を確立 し ま す。 端 末の設定は次の よ う にな り ま す。 3. • モー ド : VT100 • 接続速度 : 9600 ボー • ハン ド シ ェ ー ク CTS/RTS • デー タ ビ ッ ト : 8 • パリ テ ィ : なし • ス ト ップ ビッ ト : 1 フ ロ ン ト パネルの電源ボ タ ン を押 し て、 アプ ラ イ ア ン ス の電源を オ ン に し ます。 アプラ イアンスの電源停止と再起動 アプ ラ イ ア ン ス の電源を停止す る 場合ま たは再起動す る 場合は、 正 し い手順で行い ます。 アプ ラ イ ア ン ス が動 作 し てい る と き 、 メ モ リ 内に重要なデー タ が保管 さ れてい ます。 そのため、 電源を停止す る 前にデー タ をハー ド デ ィ ス ク に書 き 込む必要があ り ます。 ! 注意 ア プ ラ イ ア ン スの電源を不適切な方法で停止する と 、 デー タ が失われ、 シ ス テムの フ ァ イルに不整 合が生 じ る可能性があ り ます。 X ア プ ラ イ ア ン ス を電源停止ま たは再起動する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Maintenance] を ク リ ッ ク し ます。 2. [Maintenance] ページで、 適切なボ タ ン を ク リ ッ ク し ます。 • アプ ラ イ ア ン ス を再起動す る と き は、 [Restart] を ク リ ッ ク し ます。 こ れに伴い AMC が応答 し な く な り ます。 アプ ラ イ ア ン ス が再起動す る と 、 AMC に再び ロ グ イ ンす る こ と がで き ま す。 • アプ ラ イ ア ン ス を停止す る と き は、 [Shutdown] を ク リ ッ ク し ます。 こ れに伴い AMC が応答 し な く な り 、 アプ ラ イ ア ン ス が自動的に停止 し ます。 フ ロ ン ト パネルの電源ボ タ ン を押す必要はあ り ま せん。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 27 初期ネ ッ ト ワーク セ ッ ト ア ッ プの実行 次のいずれかの方法でアプ ラ イ ア ン ス を セ ッ ト ア ッ プす る こ と がで き ます。 • Web ベース の Setup Wizard を使用す る と 、 アプ ラ イ ア ン ス をす ぐ に動作 さ せ る 上で必要な基本設定を 簡単に構成す る こ と がで き ます。 Setup Wizard については、 アプ ラ イ ア ン ス の既定の IP ア ド レ ス (192.168.0.10) を使用 し て、 Web ブ ラ ウ ザか ら ア ク セ ス す る こ と がで き ます。 こ の IP ア ド レ ス が、 ネ ッ ト ワ ー ク 上の他のデバ イ ス に よ っ て使用 さ れてい る 場合は、 プ ラ イ ベー ト ネ ッ ト ワ ー ク か ら Setup Wizard にア ク セ ス し なければな り ません ( た と えば ロ ーカル ハブ を使用 し て アプ ラ イ ア ン ス に接続す る な ど )。 27 ページの 「Setup Wizard を使用 し た Web ベース の構成」 を参照 し て く だ さ い。 • コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ を使用 し たい場合は、シ リ アル接続を介 し て Setup Tool にア ク セ ス す る こ と がで き ま す。 ま た、 アプ ラ イ ア ン ス のデフ ォ ル ト IP ア ド レ ス がネ ッ ト ワ ー ク ですでに使用 さ れてい る 場合 も 、 こ の方法を選択す る こ と がで き ま す。 Setup Tool を使用す る 場合、 ノ ー ト 型 PC ま たは端末 を使用 し て、 アプ ラ イ ア ン ス と の間でシ リ アル接続を確立 し なければな り ま せん。 29 ページの 「Setup Tool を使用 し た コ マ ン ド ラ イ ン に よ る 構成」 を参照 し て く だ さ い。 Setup Wizard を使用し た Web ベースの構成 Setup Wizard では、 リ ン ク さ れてい る Web ページで一連の必須手順やオプシ ョ ン手順を ガ イ ド に従っ て実 行す る こ と で、 アプ ラ イ ア ン ス を簡単に構成す る こ と がで き ま す。 Setup Wizard を開始 し た ら 、 ま ず最初に、 必要な構成手順のみを実行す る か、 オプシ ョ ン設定 も 構成す る か選択 し ます。 Setup Wizard の最初の フ ェ ーズは [Network Settings] です。 こ れは必須の作業で、 次の手順で構成 さ れ ます。 • アプ ラ イ ア ン ス の管理者パ ス ワ ー ド の設定 • ネ ッ ト ワ ー ク イ ン タ フ ェ ース の構成 • ルーテ ィ ン グ の構成 • ハ イ アベ イ ラ ビ リ テ ィ ク ラ ス タ での ノ ー ド の構成 ( オプシ ョ ン ) 2 番目の フ ェ ーズは [System Configuration] です。 こ れはオプ シ ョ ン の作業で、 次の手順で構成 さ れ ま す。 • 名前解決の設定 • 日付 と 時刻の設定 • アプ ラ イ ア ン ス ラ イ セ ン ス フ ァ イ ルの イ ン ポー ト • SSL 証明書の構成 ま たは イ ン ポー ト • ICMP ping と Secure Shell (SSH) ア ク セ ス の有効化 Setup Wizard の 3 番目の フ ェ ーズは [Basic Security Policy] です。 こ れはオプシ ョ ン の作業で、 次の手 順で構成 さ れ ます。 アプ ラ イ ア ン ス の構成を テ ス ト す る 上で役に立ち ま す。 • ロ ーカル テ ス ト ユーザーの作成 • リ ソ ー ス の定義。 ( ただ し AMC で Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルを作成 し な ければな ら ない ) • 基本セ キ ュ リ テ ィ ポ リ シーの作成。 (Setup Wizard が基本的な許可 / 拒否ア ク セ ス ルールを作成す る が、 高度なポ リ シー設定については、 End Point Control と あ わせて AMC で構成 し なければな ら ない ) Setup Wizard は、 最初か ら 最後ま ですべての フ ェ ーズ を完了す る ために実行で き ますが、 3 つのいずれかの フ ェ ーズが終わ っ た後、 つ ま り [Finish] ボ タ ン を選択で き る 状態で あれば終了す る こ と がで き ま す。 Setup Wizard の実行 Setup Wizard を実行す る 場合、 AMC と 同 じ シ ス テ ム構成が必要にな り ます。 7 ページの 「シ ス テ ム要件」 を 参照 し て く だ さ い。 ! 注意 こ のア プ ラ イ ア ン スは、 内部 イ ン タ フ ェ ースについては、 ルー タ ブルで ない静的 IP ア ド レ ス であ ら か じ め構成 さ れています。 こ の IP ア ド レ ス (192.168.0.10) が、 ネ ッ ト ワー ク 上の既存の リ ソ ース と 衝突する場合、 ネ ッ ト ワー ク ハブ を使用 し て こ のア プ ラ イ ア ン スに接続 し 、 ア プ ラ イ ア ン ス を ネ ッ ト ワー ク 上に設定する前に Setup Wizard を実行するか、 ア プ ラ イ ア ン ス と シ リ アル接続 し て、 コ マ ン ド ラ イ ンか ら Setup Tool を実行 し ます。 28 | 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ X Setup Wizard を起動する には 1. アプ ラ イ ア ン ス で予約 さ れてい る 静的 IP ア ド レ ス が、 ネ ッ ト ワ ー ク 上の既存の リ ソ ー ス と 衝突 し ない こ と を確認 し ま す。 2. ネ ッ ト ワ ー ク 上の リ ソ ース に接続で き る 場所にアプ ラ イ ア ン ス を イ ン ス ト ール し ま す。 3. アプ ラ イ ア ン ス の電源を オ ン に し ま す。 4. ブ ラ ウ ザで次の静的 IP ア ド レ ス を指定 し 、 Setup Wizard を呼び出 し ます。 https://192.168.0.10:8443/websetup Setup Wizard の イ ン タ フ ェ ー ス は、 ASAP Management Console (AMC) と 似てい ます。 ただ し AMC では、 ページの左側に メ イ ン ナ ビ ゲーシ ョ ン バーがあ り ま すが、 Setup Wizard では、 こ の部分が構成 セ ッ ト ア ッ プの リ ス ト にな っ てお り 、 ク リ ッ ク で き な く な っ てい ま す。 5. Setup Wizard の各ページの指示に従い、 それぞれのページで設定が終わ っ た ら [Next] を ク リ ッ ク し ま す。 6. Setup Wizard の最後のページで、 こ れ ま で行っ たネ ッ ト ワ ー ク 設定を確認 し てか ら 、 [Finish] を ク リ ッ ク し 変更を適用 し ます。 変更を アプ ラ イ ア ン ス に適用す る と 、 アプ ラ イ ア ン ス が自動的に再起動 し 、 AMC と の接続が切断 さ れ ます。 7. 数分間待っ てか ら 、 次のいずれかの作業を行い ます。 • 「https://<ipaddress>:8443/console」 と 入力 し て AMC に ロ グ イ ン し ま す。 ただ し 「<ipaddress>」 は、 Setup Wizard を実行 し た と き に指定 し た内部 イ ン タ フ ェ ー ス のア ド レ ス にな り ま す。 • 「http://<fqdn>」 と 入力 し て ASAP WorkPlace に ロ グ イ ン し ま す。 ただ し 「FQDN」 は、 アプ ラ イ ア ン ス の SSL 証明書の完全修飾 ド メ イ ン名 ま たは IP ア ド レ ス にな り ます。 こ の状態で、 基本テ ス ト を実行 し ま す。 メモ • すでにアプ ラ イ ア ン ス の構成が終わ っ てい る 場合は、 アプ ラ イ ア ン ス を工場出荷時デフ ォ ル ト 構成に戻 し た場合を除 き 、 Setup Wizard を実行す る こ と はで き ません。 こ れは、 最初に Setup Wizard を使用 し て アプ ラ イ ア ン ス を構成 し た場合だけでな く 、 コ マ ン ド ラ イ ン か ら setup_tool を実行 し た場合に も 当て は ま り ます。 29 ページの 「Setup Wizard の再実行」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 29 Setup Wizard の再実行 最初に Setup Wizard を実行 し て アプ ラ イ ア ン ス の構成を完了 し た ら 、 アプ ラ イ ア ン ス を工場出荷時デフ ォ ル ト 構成に戻 し ていない限 り 、 Setup Wizard を再実行す る こ と はで き ません。 Setup Wizard を再実行す る に は、 コ マ ン ド ラ イ ン か ら Config Reset Tool を実行 し なければな り ま せん。 こ の操作を行 う と 、 既存のシ ス テ ム構成デー タ がすべて削除 さ れ、 アプ ラ イ ア ン ス のデフ ォ ル ト 静的 IP ア ド レ ス に戻 さ れ ま す。 169 ページの 「工場出荷時デフ ォ ル ト 構成への復帰」 を参照 し て く だ さ い。 Setup Tool を使用し たコマン ド ラ インによる構成 コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ を使用 し たい場合や、 アプ ラ イ ア ン ス のデフ ォ ル ト IP ア ド レ ス がすでにネ ッ ト ワ ー ク で使用 さ れてい る 場合は、 ノ ー ト 型 PC ま たは端末を使用 し 、 シ リ アル接続を介 し て Setup Tool を 実行 し 、 アプ ラ イ ア ン ス を構成す る こ と がで き ます。 Setup Tool の使用についてのヒ ン ト Setup Tool で作業す る 際の ヒ ン ト をい く つか紹介 し ま す。 • イ エ ス か ノ ーで答え る 設問の場合、 プ ロ ン プ ト の最後に [y] ま たは [n] が付いてい ます。 対応す る 文字 を入力 し て ENTER を押す と 、 その次の設問が表示 さ れ ま す。 • 文字を消す と き は、 BACKSPACE を押 し ます。 (Windows ベース の PC の場合、 DELETE キーで文字を 削除す る こ と も で き る ) • IP ア ド レ ス ま たはネ ッ ト マ ス ク を入力す る と き 、 4 桁のオ ク テ ッ ト (w.x.y.z) に よ る 標準 IP ア ド レ ス形 式を使用 し ま す。 Setup Tool では、 基本エ ラ ー チ ェ ッ ク が行われ ま す ( た と えば、 指定 し たゲー ト ウ ェ イ がアプ ラ イ ア ン ス と 同 じ サブネ ッ ト にあ る か ど う かの確認な ど )。 • Setup Tool を終了 し て変更事項を破棄す る と き は 「q」 を押 し ま す。 Setup Tool の実行 コ マ ン ド ラ イ ン か ら Setup Tool を実行す る と き 、 Aventail End User License Agreement (EULA) を承認 す る よ う 求め ら れ ま す。 ま たその他に、 root パ ス ワ ー ド を作成 し 、 IP ア ド レ ス 、 サブネ ッ ト マ ス ク 、 デフ ォ ル ト ゲー ト ウ ェ イ を指定す る よ う 求め ら れ ます。 ク ラ ス タ を イ ン ス ト ールす る と き は、 こ の手順で行 う こ と はで き ま せん。 その場合の イ ン ス ト ール手順につい ては、 261 ページの 「 ク ラ ス タ の イ ン ス ト ール と 構成」 ま たは 307 ページの 「マルチ ノ ー ド EX-2500 ク ラ ス タ の構成」 を参照 し て く だ さ い。 X Setup Tool を実行する には 1. アプ ラ イ ア ン ス と の間でシ リ アル接続を確立 し (26 ページの 「電源投入」 を参照 )、 フ ロ ン ト パネルの 電源ボ タ ン を押 し て アプ ラ イ ア ン ス を オ ン に し ます。 2. Setup Tool が自動的に動作を始め ます ( 「setup_tool」 と 入力 し て ENTER を押 し て も 実行可能 )。 3. ロ グ イ ンす る よ う 求め ら れた ら 、 ユーザー名に 「root」 と 入力 し ます。 ENTER を押 し て次の画面に移 り ます。 4. Aventail EULA が表示 さ れ ま す。 画面を ス ク ロ ール し て内容を確認 し 、 ENTER を押 し て次の画面に移 り ます。 Do you accept the terms of the license agreement? [n]: • 5. ラ イ セ ン ス契約を承認す る のであれば、 「y」 と 入力 し て ENTER を押 し ま す。 シ ス テ ム の新 し い root パ ス ワ ー ド を作成す る よ う 求め ら れ ま す。 こ のパ ス ワ ー ド は、 AMC にア ク セ スす る と き も 必要にな り ます。 Password: • パ ス ワ ー ド は、 8 文字か ら 20 文字で指定 し 、 大文字 と 小文字を区別 し ます大文字 と 小文字、 数字な ど を組み合わせて 「強力な」 パ ス ワ ー ド を作成す る こ と が推奨 さ れ ま す。 その際、 辞書に載っ てい る よ う な単語は避け る よ う に し ま す。 パ ス ワ ー ド はなん ら かの形で記録 し 、 安全な場所に保管 し てお き ます。 ENTER を押 し て次に進み ます。 Confirm password: • 前に入力 し たの と ま っ た く 同 じ ( 大文字小文字を区別 し た ) root パ ス ワ ー ド を再入力 し 、 ENTER を押 し て次に進みます。 30 | 第 2 章 - イ ン ス ト ール と 初期セ ッ ト ア ッ プ 6. 次に、 内部 イ ン タ フ ェ ース の IP ア ド レ ス、 サブネ ッ ト マ ス ク 、 ( オプシ ョ ン で ) ゲー ト ウ ェ イ を入力す る よ う 求め ら れ ます。 こ の イ ン タ フ ェ ー ス は、 Web ブ ラ ウ ザか ら アプ ラ イ ア ン ス に接続 し 、 AMC を使用 し てセ ッ ト ア ッ プ を継続す る と き に使用 し ます。 IP address: • 内部 ( プ ラ イ ベー ト ) ネ ッ ト ワ ー ク に接続す る 内部 イ ン タ フ ェ ー ス の IP ア ド レ ス を入力 し て、 ENTER を押 し ます。 Subnet mask: • 内部ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス のネ ッ ト マ ス ク を入力 し て、 ENTER を押 し ま す。 Gateway: • AMC にア ク セ ス す る 際、 ア ク セ ス元の コ ン ピ ュ ー タ がアプ ラ イ ア ン ス と 異な る ネ ッ ト ワ ー ク 上にあ る 場合、 ゲー ト ウ ェ イ を指定す る 必要があ り ま す。 ト ラ フ ィ ッ ク を アプ ラ イ ア ン ス にルーテ ィ ン グす る ゲー ト ウ ェ イ の IP ア ド レ ス を入力 し て、 ENTER を押 し ま す。 アプ ラ イ ア ン ス と 同 じ ネ ッ ト ワ ー ク か ら AMC にア ク セ ス し てい る 場合は、 その ま ま ENTER を押 し ます。 7. 次に、 こ こ ま で入力 し た情報を確認す る よ う 求め ら れ ま す。 現在の値で良ければその ま ま ENTER を押 し 、 値を変更 し たい場合は新 し い値を入力 し てか ら ENTER を押 し ま す。 8. 次に、 こ の ノ ー ド を ク ラ ス タ の一部にす る か ど う か尋ね ら れ ま す ( ただ し こ の手順は、 EX-750 には適用 さ れ ま せん )。 Install node in a cluster? [n]: • 9. こ の場合、 単一 ノ ー ド イ ン ス ト ールで あ る ため、 ENTER を押 し てデフ ォ ル ト を その ま ま 使用 し ま す。 ク ラ ス タ の イ ン ス ト ールの詳細については、 261 ページの 「 ク ラ ス タ の イ ン ス ト ール と 構成」 お よ び 307 ページの 「マルチ ノ ー ド EX-2500 ク ラ ス タ の構成」 を参照 し て く だ さ い。 最後に、 変更を保存 し て適用す る よ う 求め ら れ ます。 Do you want to save and apply configuration changes [y]: • ENTER を押 し て、 変更を保存 し ます。 こ の時点で、 Setup Tool が変更を保存 し 、 必要なサービ ス を再起動 し ます。 ま た、 こ れ ま で指定 し た情報を基 に (SSH ア ク セ ス に対す る ) SSL 鍵を生成 し ます。 こ の間、 フ ィ ー ド バ ッ ク はほ と ん ど あ り ま せん。 Setup Tool が反応 し な く な っ たな ど と 早合点せずに、 その ま ま し ば ら く お待ち く だ さ い。 Setup Tool が終了 し た ら 、 初期セ ッ ト ア ッ プが完了 し た こ と を示す メ ッ セージが表示 さ れ ま す。 こ の メ ッ セー ジには、 AMC にア ク セ ス す る ための URL も 示 さ れ ます。 次のステ ッ プ ネ ッ ト ワ ー ク の初期セ ッ ト ア ッ プが完了 し た ら 、 次に AMC を使用 し て アプ ラ イ ア ン ス の構成を行い ま す。 AMC は、 Web ブ ラ ウ ザ を使用 し て ア ク セ ス す る こ と がで き ま す。 AMC について あ ま り 詳 し く ない場合は、 31 ページの 「AMC の操作」 に進んで く だ さ い。 アプ ラ イ ア ン ス の構 成をす ぐ に始め ら れ る 場合は、 45 ページの 「ネ ッ ト ワ ー ク と 認証の構成」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 31 第3章 AMC の操作 こ の節では、 アプ ラ イ ア ン ス を管理す る ための Web ベー ス の イ ン タ フ ェ ース 、 ASAP Management Console (AMC) について説明 し ます。 AMC では、 Microsoft Internet Explorer バージ ョ ン 6.0 以降お よ び Mozilla Firefox 1.0 以降を サポー ト し てい ます。 AMC へのア クセス こ の節では、 Web ブ ラ ウ ザ を使用 し て AMC にア ク セ ス す る 方法 と ロ グ ア ウ ト す る 方法について説明 し ます。 AMC へのログイ ン AMC に ロ グ イ ンす る 前に、 Setup Tool を使用 し て初期セ ッ ト ア ッ プ を行っ た と き に内部 イ ン タ フ ェ ー ス で入 力 し た ホ ス ト 名や IP ア ド レ ス を用意 し てお く 必要があ り ま す。 X AMC に ロ グ イ ンする には 1. Web ブ ラ ウ ザを起動 し 、 ア ド レ ス ボ ッ ク ス に 「https://<ipaddress>:8443/console」 と 入力 し ま す。 ただ し 「<ipaddress>」 は、 Setup Tool を実行 し た と き に指定 し た内部 イ ン タ フ ェ ー ス のア ド レ ス にな り ます。 こ の状態で ENTER を押す と 、 ロ グ イ ン画面が表示 さ れ ます。 2. [Username] ボ ッ ク ス に 「admin」 と 入力 し ます。 3. [Password] ボ ッ ク ス に、 Setup Tool を使用 し て作成 し た root パス ワ ー ド を入力 し ます。 4. [Login] を ク リ ッ ク し ます。 AMC のホーム ページが表示 さ れ ます。 AMC パ ス ワ ー ド の変更方法については、 38 ページの 「管理者ア カ ウ ン ト の編集」 を参照 し て く だ さ い。 メモ • AMC セ ッ シ ョ ンは、 使用 し ない状態で 15 分経過す る と 自動的に タ イ ム ア ウ ト し ます。 セ ッ シ ョ ン が タ イ ム ア ウ ト し た ら 、 再び ロ グ イ ンす る よ う 求め ら れ ま す。 32 | 第 3 章 - AMC の操作 ログアウ ト AMC 管理者ア カ ウ ン ト は、 セ キ ュ リ テ ィ を保つ こ と が重要にな り ます。 AMC での作業が終わ っ た ら 、 画面上 部にあ る [Log out] ボ タ ン を ク リ ッ ク し て ロ グ ア ウ ト す る 必要があ り ます。 Web ブ ラ ウ ザ を閉 じ てセ ッ シ ョ ン を終了 し た場合、 そのセ ッ シ ョ ンは、 タ イ ム ア ウ ト す る ( 使用 し ない状態で 15 分経過す る ) ま での間ア ク テ ィ ブな状態にな っ てい ます。 それ ま での間、 [Administrator Sessions] ページが表示 さ れ ます。 詳細については、 40 ページの 「複数管理者の構成フ ァ イ ルの衝突回避」 を参照 し て く だ さ い。 AMC の基礎 こ の節では、 AMC の操作法の基本について説明 し ま す。 AMC と ブ ラ ウ ザの間を行 き 来す る すべての構成デー タ は SSL で暗号化 さ れ る ため、 デー タ は安全な状態に保たれ ます。 セ キ ュ リ テ ィ を さ ら に向上 さ せたい場合、 信頼で き る ネ ッ ト ワ ー ク 内 ( フ ァ イ ア ウ ォ ールの内側の内部ネ ッ ト ワ ー ク ) で AMC を使用す る と 良いで し ょ う 。 詳細については、 65 ページの 「証明書の FAQ」 を参照 し て く だ さ い。 AMC イ ン タ フ ェ ース ク イ ッ ク ツアー AMC イ ン タ フ ェ ー ス は、 同様の Web ベー ス セ キ ュ リ テ ィ 管理アプ リ ケーシ ョ ン を使用 し た こ と があれば、 容 易に使い こ なす こ と がで き ま す。 こ の節では、 AMC の操作に関す る 基本事項について説明 し ます。 • サマ リ ー ページ AMC の最上位ページはサマ リ ー ページで、 こ こ か ら 下位の構成ページに速やかにア ク セ ス し 、 主要な構 成設定や ス テー タ ス 情報を表示で き る よ う にな っ てい ます。 こ のサマ リ ー ページには、 [General Settings] ページ、 [Network Settings] ページ、 [SSL Settings] ページ、 [Services] ページ、 [Agent Configuration] ページ、 [Servers page] ページがあ り ます。 次に示 し てい る のは [Agent Configuration] ページで、 こ のページには、 End Point Control エージ ェ ン ト 、 Aventail エージ ェ ン ト 、 その他のエージ ェ ン ト を構成す る ためのページに対す る リ ン ク があ り 、 それぞれのエージ ェ ン ト が有効にな っ てい る か無効にな っ てい る かがあ わせて示 さ れ ま す。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 33 • 表と タ ブ 多 く の AMC ページでは、 表形式 レ イ ア ウ ト を使用 し て、 管理対象のオブジ ェ ク ト を提示 し ま す。 表には ス ク ロ ール バーが付いてお り 、 長い リ ス ト の場合 も 、 ページの主要な要素 ( ナビ ゲーシ ョ ン バー、 ヘ ッ ダ、 フ ッ タ な ど も 含む ) を容易に表示 し 続け る こ と がで き ます。 ま た、 ア ン ダー ラ イ ンが付いた列見出 し を ク リ ッ ク すれば、 表のデー タ を ソ ー ト す る こ と がで き ます。 状況に よ っ ては、 タ ブ を使用 し てモー ド を切 り 替え る こ と がで き ま す。 た と えば、 管理 リ ソ ー ス と その リ ソ ー ス が含 ま れ る 管理グループ と を切 り 替え る と き に、 タ ブ を使用 し ます。 • ページ リ ン ク 一部の AMC ページでは、 ス ペース を節約す る ため、 マルチページ フ ォ ーマ ッ ト を使用 し て、 関連す る 構 成設定にア ク セ スす る ための リ ン ク をページ上部に設け てい ます。 ページ リ ン ク の一例 と し て、 [Configure Communities] ページ を次に示 し てい ます。 • オブ ジ ェ ク ト の編集 オブジ ェ ク ト の リ ス ト を表示す る ほ と ん ど の表では、 名前フ ィ ール ド ([Access Control] ページの場合 はルール番号 ) にハ イ パー リ ン ク が付いてい ます。 オブ ジ ェ ク ト を編集す る と き は、 対応す る ハ イ パー リ ン ク を ク リ ッ ク し ま す。 • ページ ビ ュ ーの変更 AMC の、 比較的長 く 複雑なページでは、 高度な機能を構成す る ための編集 コ ン ト ロ ールが表示 さ れない も の も あ り ま す。 こ う す る こ と で、 最 も 重要な構成オプシ ョ ン に集中で き る よ う にな っ てい ま す。 非表示 のオプシ ョ ン を表示す る と き は下矢印ボ タ ン を ク リ ッ ク し 、 オプ シ ョ ン のセ ッ ト を非表示にす る と き は上 矢印ボ タ ン を ク リ ッ ク し ます。 34 | 第 3 章 - AMC の操作 • リ ス ト 詳細の拡張ビ ュ ー 次の図の [Access Control] ページの よ う に、 オブ ジ ェ ク ト の リ ス ト を表示す る AMC ページでは、 左 側のプ ラ ス ( 「+」 ) 記号を ク リ ッ ク す る こ と で、 そのオブジ ェ ク ト に関す る 詳細事項を表示す る こ と が で き ます。 1 行表示に戻 し たい と き は、 マ イ ナ ス ( 「-」 ) 記号を ク リ ッ ク し ます。 • 必須 フ ィ ール ド と エ ラ ー AMC では、 必須フ ィ ール ド は、 ア ス タ リ ス ク で示 さ れ ま す。 必須フ ィ ール ド に値を入力 し ないで [Save] を ク リ ッ ク す る と 、 その フ ィ ール ド の下に、 必須であ る こ と を示す赤い メ ッ セージが表示 さ れ ま す。 赤い メ ッ セージは、 エ ラ ー ( た と えば不正な値を入力 し た場合な ど ) を示す場合に も 使用 さ れ ます。 • 名前 と 説明の割 り 当て AMC では、 そのほ と ん ど を通 し て、 ア ク セ ス 制御ルール、 リ ソ ー ス、 ユーザー と グループの 3 種類のオ ブジ ェ ク ト を管理す る こ と にな り ます。 AMC で こ れ ら のオブ ジ ェ ク ト を作成す る と 、 その名前を入力す る よ う 求め ら れ ます。 ま た AMC では、 オプシ ョ ン で説明を追加す る こ と も で き ます。 必須ではあ り ませんが、 わか り やすい説明を付け る と 、 管理対象のオブ ジ ェ ク ト を参照 し た と き に、 ア ク セ ス ルールの目的やサブネ ッ ト 範囲に ど の リ ソ ー ス があ る かな ど、 重要な詳細デー タ を思い起 こ す こ と がで き ます。 特にオブジ ェ ク ト のグループ を管理す る と き な ど、 わか り やすい説明があ る と 非常に便利で す。 今か ら 何カ月 も 経っ てか ら 、 AMC でネ ッ ト ワ ー ク リ ソ ー ス の大規模な グループ を管理す る よ う な こ と にな っ た場合、 そのグループに何があ る か想起 さ せ る よ う な説明があれば非常に役に立ち ま す。 • ページの変更の保存 デー タ の入力や修正を行 う AMC ページには、 変更を保存す る ための 2 つのボ タ ン ([Save] と [Cancel]) があ り ます。 変更を行っ た後 [Save] を ク リ ッ ク す る と 、 その変更がデ ィ ス ク に保存 さ れ ま す。 [Cancel] を ク リ ッ ク す る か、 ブ ラ ウ ザの [Back] ボ タ ン を押 し た場合は、 変更が保存 さ れ ま せん。 • AMC ス テー タ ス エ リ ア ス テー タ ス エ リ アは、 AMC ヘ ッ ダのす ぐ 下にあ り 、 重要な情報を表示 し ます。 • 構成を変更 し てい る に も かかわ ら ずま だ適用 し ていない場合、 ス テー タ ス エ リ アに 「Pending changes」 と 表示 さ れ ま す。 こ の メ ッ セージ テ キ ス ト を ク リ ッ ク す る と 、 [Apply Changes] ペー ジが表示 さ れ、 こ のページか ら 構成を変更す る こ と がで き ます。 • 複数の管理者が AMC に ロ グ イ ン し てい る 場合、 ス テー タ ス エ リ アに 「Multiple administrator」 と 表示 さ れ ま す。 こ の メ ッ セージ テ キ ス ト を ク リ ッ ク す る と 、 [Administrator Sessions] ペー ジが表示 さ れ ま す。 • ベー ス アプ ラ イ ア ン ス ラ イ セ ン ス ま たは コ ン ポーネ ン ト ラ イ セ ン ス の有効期限が切れてい る 場合、 ス テー タ ス エ リ アに 「License expired」 と 表示 さ れ ま す。 こ の メ ッ セージ テ キ ス ト を ク リ ッ ク す る と 、 [Licensing] ページが表示 さ れ、 こ のページか ら ソ フ ト ウ ェ ア ラ イ セ ン ス を参照お よ び管理 す る こ と がで き ます。 ソ フ ト ウ ェ ア ラ イ セ ン ス の有効期限が近づいてい る 場合は、 ス テー タ ス エ リ アに 「License warning」 と 表示 さ れ ま す。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 35 • 現在の ASAP バージ ョ ン番号 と 製品シ リ アル番号 現在のシ ス テ ム ソ フ ト ウ ェ アのバージ ョ ン と 製品シ リ アル番号は、 AMC の各ページの左側のナ ビ ゲー シ ョ ン バー と [System Status] ページに表示 さ れ ます。 バージ ョ ン番号は、 シ ス テ ム ア ッ プデー ト の 計画を行 う 上で有用です。 ま た、 技術サポー ト に連絡す る 際 も 、 バージ ョ ン番号をお手元に用意 し てお く 必要があ り ま す。 AMC でのオブジ ェ ク ト の追加、 編集、 コ ピー、 削除 AMC には、 標準化 さ れた イ ン タ フ ェ ー ス が搭載 さ れてお り 、 リ ソ ース 、 ア ク セ ス制御ルール、 ユーザー、 コ ミ ュ ニ テ ィ 、 End Point Control ゾーン、 デバ イ ス プ ロ フ ァ イ ル、 VPN を編成 し 動作 さ せ る ためのその他のア イ テ ム な ど、 ほ と ん ど のオブジ ェ ク ト を管理で き る よ う にな っ てい ま す。 次に、 AMC でオブジ ェ ク ト を追加、 編集、 コ ピー、 削除す る 際の基本手順を示 し ます。 ただ し 、 対象 と な る オ ブジ ェ ク ト や使用す る AMC ページに よ っ て多少手順が異な る こ と も あ り ます。 こ の例では、 [Realms] ペー ジ を使用 し てい ま す。 36 | 第 3 章 - AMC の操作 X AMC で新 し いオブ ジ ェ ク ト を追加する には 1. 作成 し たいオブジ ェ ク ト タ イ プが リ ス ト さ れてい る ページで、 [New] ボ タ ン を ク リ ッ ク し ま す。 2. AMC で、 [Add/Edit...] で始 ま る タ イ ト ルのページが表示 さ れ ま す。 そのオブジ ェ ク ト に対応す る 情報を 入力 し て、 [Save] ボ タ ン を ク リ ッ ク し ま す。 X AMC でオブ ジ ェ ク ト を編集する には 1. 編集 し たいオブジ ェ ク ト が リ ス ト さ れてい る ページで、 修正す る オブジ ェ ク ト の名前 ( 場合に よ っ ては数 値 ) の リ ン ク を ク リ ッ ク し ま す。 2. AMC で、 [Add/Edit...] で始 ま る タ イ ト ルのページが表示 さ れ ま す。 そのオブジ ェ ク ト に対応す る 情報を 変更 し て、 [Save] ボ タ ン を ク リ ッ ク し ま す。 X AMC でオブ ジ ェ ク ト を コ ピ ーする には 1. コ ピー し たいオブジ ェ ク ト が リ ス ト さ れてい る ページで、 オブジ ェ ク ト の左にあ る チ ェ ッ ク ボ ッ ク ス を ク リ ッ ク し て、 [Copy] ボ タ ン を ク リ ッ ク し ます。 2. AMC で、 [Add/Edit...] で始 ま る タ イ ト ルのページが表示 さ れ ま す。 コ ピー元のオブジ ェ ク ト に対応す る 情報を変更 し 、 必ず新 し い名前を指定 し てか ら 、 [Save] ボ タ ン を ク リ ッ ク し ま す。 X AMC でオブ ジ ェ ク ト を削除する には 1. 削除 し たいオブジ ェ ク ト が リ ス ト さ れてい る ページで、 オブジ ェ ク ト の左にあ る チ ェ ッ ク ボ ッ ク ス を ク リ ッ ク し て、 [Delete] ボ タ ン を ク リ ッ ク し ま す。 メモ • あ る オブジ ェ ク ト が他のオブジ ェ ク ト に関連付け ら れてい る 場合、 そのオブジ ェ ク ト は削除す る こ と がで き ません。 詳細については、 43 ページの 「参照 さ れてい る オブ ジ ェ ク ト の削除」 を参照 し て く だ さ い。 ヘルプの利用 それぞれの AMC ページには [Help] ボ タ ン があ り 、 こ のボ タ ン を ク リ ッ ク す る と 、 コ ン テ キ ス ト に応 じ たオ ン ラ イ ン ヘルプが表示 さ れ ます。 ヘルプ を開 く と き は、 画面の右上にあ る [Help] ボ タ ン を ク リ ッ ク し ま す。 こ れを ク リ ッ ク す る と 、 ヘルプが新 し いブ ラ ウ ザ ウ ィ ン ド ウ に表示 さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 37 ヘルプ ナ ビ ゲーシ ョ ン バーには、 次のボ タ ン が付いてい ま す。 ボタ ン 説明 [Contents]、 [Index]、 [Search] の各ボ タ ン を持つヘルプ ナビ ゲーシ ョ ン ペ イ ン を表示 し ます。 ( このボ タ ンはヘルプ ナ ビゲーシ ョ ン ペ イ ン を閉 じ た と き に現れます。 ) 目次を同期 し 、 最新の ト ピ ッ ク を表示 し ます。 ( このボ タ ンは、 ヘルプ ナビ ゲーシ ョ ン ペ イ ンが表示 さ れてい る と き に現れます。 ) 次ま たは前のヘルプ ト ピ ッ ク を表示 し ます。 関連する ヘルプ ト ピ ッ ク の リ ス ト を表示 し ます。 現在のヘルプ ト ピ ッ ク を プ リ ン ト し ます。 ヘルプ ナ ビ ゲーシ ョ ン には、 左側の フ レームの内容を変更す る 3 つのボ タ ンがあ り ます。 • [Contents]。 ヘルプ ト ピ ッ ク の階層 リ ス ト を表示 し ま す。 • [Index]。 ヘルプのキー ワ ー ド を アルフ ァ ベ ッ ト 順で表示 し ま す。 • [Search]。 ヘルプの全テ キ ス ト 検索エ ン ジ ン を表示 し ま す。 ボ ッ ク ス に単語ま たは短い フ レーズ を入力 し て [Go!] を ク リ ッ ク し 、 表示 さ れ る リ ス ト か ら ト ピ ッ ク を選択 し ま す。 管理者アカウン ト こ の節では、 AMC 管理者ア カ ウ ン ト を管理す る 方法の他、 複数の管理者がアプ ラ イ ア ン ス を管理 し てい る 場合 の問題回避の方法について も 説明 し ます。 管理者アカウン ト と役割の管理 AMC では、 異な る ユーザー名 と パ ス ワ ー ド を持つ複数の管理者ア カ ウ ン ト を作成す る こ と がで き ます。 その上 で、 AMC でア ク セ ス で き る 機能やア ク セ ス の レベルを指定 し た役割を、 管理者に割 り 当て る こ と がで き ま す。 AMC では、 デフ ォ ル ト で、 AMC のすべての領域に フル ア ク セ ス で き る プ ラ イ マ リ 管理者の役割が構成 さ れて い ま す。 ただ し 、 他の管理者を追加、 編集、 削除で き る のは 「プ ラ イ マ リ 」 管理者のみです。 管理者アカウン ト の追加 ポ リ シー管理の担当者が複数いて、 それぞれの管理者に独自の ロ グ イ ン ク レデン シ ャ ルを与え たい場合、 他の 管理者ア カ ウ ン ト を追加す る こ と がで き ます。 ただ し 、 セ カ ン ダ リ 管理者を追加、 編集、 削除で き る のは 「プ ラ イ マ リ 」 管理者のみです。 ま た 「プ ラ イ マ リ 」 管理者のデフ ォ ル ト 名 「admin」 は変更す る こ と がで き ま せ ん。 X 管理者ア カ ウ ン ト を追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [General Settings] を ク リ ッ ク し ます。 2. [General Settings] ページで、 [Administrator Accounts] セ ク シ ョ ン の [Edit] リ ン ク を ク リ ッ ク し ま す。 3. [Manage Administrator Accounts] ページで [New] ボ タ ン を ク リ ッ ク し ま す。 4. [Add/Edit Administrator] ページの [Username] ボ ッ ク ス に、 セ カ ン ダ リ 管理者のユーザー名を 入力 し ます。 5. [Description] ボ ッ ク ス に、 その管理者に関す る わか り やすい コ メ ン ト を入力 し ま す。 This might be the administrator’s full name or title. こ の フ ィ ール ド はオプシ ョ ン ですが、 説明を入れてお く と 、 後 で管理者の リ ス ト を参照す る と き にわか り やす く な る ため便利です。 38 | 第 3 章 - AMC の操作 6. [Password] ボ ッ ク ス に、 その管理者のパ ス ワ ー ド を入力 し ま す。 こ のパ ス ワ ー ド は、 必ず管理者に通 知す る よ う に し ま す。 管理者は、 いつで も こ のパ ス ワ ー ド を変更す る こ と がで き ます。 パス ワ ー ド は、 8 文字以上に し なければな ら ず、 大文字 と 小文字 も 区別 し ます。 大文字 と 小文字、 数字な ど を組み合わせて 「強力な」 パ ス ワ ー ド を作成す る こ と が推奨 さ れ ま す。 その際、 辞書に載っ てい る よ う な単語は避け る よ う に し ま す。 7. 確認のため、 [Confirm Password] ボ ッ ク ス にパ ス ワ ー ド を再入力 し ます。 8. [Role] リ ス ト で、 セ カ ン ダ リ 管理者の役割を選択 し ます。 AMC では、 あ ら か じ め次の役割が定義 さ れて い ま す。 • 「Super Admin」。 AMC のすべてのページに対 し て読み取 り / 書 き 込みア ク セ ス が許可 さ れてい ま す。 • 「Security Admin」。 AMC のセ キ ュ リ テ ィ 管理ページお よ びシ ス テ ム モニ タ リ ン グ ページに対 し て読み取 り / 書 き 込みア ク セ ス が許可 さ れてい ま す。 • 「System Admin」。 AMC のシ ス テ ム モニ タ リ ン グ ページに対 し て読み取 り / 書 き 込みア ク セ ス が許可 さ れてい ます。 ま た、 セ キ ュ リ テ ィ ページの表示ア ク セ ス が許可 さ れてい ま す。 こ れ ら の構成済みの役割は、 [Add/Edit Administrator Role] ページで定義 さ れてお り 、 こ のページ で修正す る こ と も で き ます。 39 ページの 「管理者の役割の定義」 を参照 し て く だ さ い。 9. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [General Settings] ページに戻 り ま す。 メモ • 管理者ア カ ウ ン ト の削除方法については、 35 ページの 「AMC でのオブジ ェ ク ト の追加、 編集、 コ ピー、 削除」 を参照 し て く だ さ い。 管理者アカウン ト の編集 AMC パ ス ワ ー ド を安全な状態に保つためには、 パス ワ ー ド を随時変更す る 必要があ り ます。 それぞれの管理者 は、 自身のア カ ウ ン ト を編集 し て、 パ ス ワ ー ド を変更 し た り 説明を更新 し た り す る こ と がで き ます。 プ ラ イ マ リ AMC 管理者 ( ユーザー名が 「admin」 ) は、 他の管理者のア カ ウ ン ト 設定について も 編集す る こ と がで き ます。 パス ワ ー ド は、 8 文字か ら 20 文字で指定 し 、 大文字 と 小文字を区別 し ます。 大文字 と 小文字、 数字な ど を組 み合わせて 「強力な」 パ ス ワ ー ド を作成す る こ と が推奨 さ れ ます。 その際、 辞書に載っ てい る よ う な単語は避 け る よ う に し ます。 パス ワ ー ド を変更 し た ら 、 なん ら かの形で記録 し 、 安全な場所に保管 し てお き ま す。 セ カ ン ダ リ 管理者のパ ス ワ ー ド を変更 し た場合、 該当す る 管理者にそのパ ス ワ ー ド を必ず通知 し なければな り ま せん。 X 管理者ア カ ウ ン ト を編集する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [General Settings] を ク リ ッ ク し ます。 2. [General Settings] ページで、 [Administrator Accounts] セ ク シ ョ ン の [Edit] リ ン ク を ク リ ッ ク し ま す。 3. [Manage Administrator Accounts] ページの [Username] 列で、 編集 し たいア カ ウ ン ト を持つ 管理者の名前を ク リ ッ ク し ます。 4. [Add/Edit Administrator] ページで、 説明テ キ ス ト 、 ロ グ イ ン パ ス ワ ー ド ま たは役割を変更 し ま す。 メモ • プ ラ イ マ リ 管理者のユーザー名 と 役割は変更す る こ と がで き ません。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 39 管理者の役割の定義 AMC の役割ベー ス の管理に よ り 、 プ ラ イ マ リ 管理者は、 セ カ ン ダ リ AMC 管理者に対 し て、 一定の制約付 き で 管理制御権限を与え る こ と がで き ます。 AMC の機能は 4 つのカ テ ゴ リ に分類 さ れてお り 、 こ れを使用 し て管理者の役割を定義 し ます。 それぞれのカ テ ゴ リ ご と に、 役割に与え たい権限を指定 し な ければな り ません。 権限の レベルは [Modify]、 [View]、 [None] の 3 つです。 [Modify] では、 そのカ テ ゴ リ 内の読み取 り / 書 き 込みア ク セ ス を許可 し 、 [View] で は、 そのカ テ ゴ リ 内の読み取 り 専用ア ク セ ス を与え ま す。 [None] の場合は、 そのカ テ ゴ リ 内の関連 AMC ページへのア ク セ ス を禁止 し ます。 あ る カ テ ゴ リ の権限の レベルに [None] を選択 し た場合、 AMC では、 そのカ テ ゴ リ 内のページが表示 さ れな く な り ます。 ま た、 そのページに リ ン ク す る メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ー コ マ ン ド も 表示 さ れな く な り ま す。 AMC 内の管理者権限の 4 つのカ テ ゴ リ には、 次の よ う な も のがあ り ま す。 • [Security administration] 。 ア ク セ ス 制御ルール、 リ ソ ー ス 、 ユーザーお よ びグループ、 ASAP WorkPlace、 Aventail OnDemand、 End Point Control の各ページに対す る 管理者のア ク セ ス を制御 し ます。 • [System configuration]。 ネ ッ ト ワ ー ク 設定、 一般アプ ラ イ ア ン ス設定、 SSL 設定、 ア ク セ ス お よ び ネ ッ ト ワ ー ク サービ ス 、 認証サーバー、 レ ルム の各ページに対す る 管理者のア ク セ ス を制御 し ま す。 • [System maintenance]。 アプ ラ イ ア ン ス の終了や再起動、 シ ス テ ム ソ フ ト ウ ェ アの更新や ロ ール バ ッ ク 、 構成デー タ の イ ン ポー ト やエ ク ス ポー ト な ど に対す る 管理者の権限を制御 し ます。 • [System monitoring]。 [View] ア ク セ ス では、 管理者がシ ス テ ム ロ グお よ びグ ラ フ を表示 し 、 ア ク テ ィ ブ ユーザーを表示 し て、 ト ラ ブルシ ュ ーテ ィ ン グ ツールを実行で き る よ う にな り ま す。 [Modify] ア ク セ ス では、 その他にユーザー セ ッ シ ョ ン終了お よ び ロ グ設定変更の権限を与え ます。 X 管理者の役割を作成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [General Settings] を ク リ ッ ク し ます。 2. [General Settings] ページで、 [Administrator roles] セ ク シ ョ ン の [Edit] リ ン ク を ク リ ッ ク し ます。 [Manage Administrator Roles] ページが表示 さ れ ます。 3. [New] ボ タ ン を ク リ ッ ク し ます。 [Add/Edit Administrator Role] ページが表示 さ れ ま す。 4. [Name] ボ ッ ク ス に、 管理者の役割名をわか り やすい名前で入力 し ます。 40 | 第 3 章 - AMC の操作 5. [Description] ボ ッ ク ス に、 役割についての コ メ ン ト を入力 し ま す。 6. [Administrator permissions] セ ク シ ョ ン で、 役割に与え る 権限のカ テ ゴ リ を 1 つ ま たは複数選択 し ます。 7. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [General Settings] ページに戻 り ま す。 管理者の役割の編集 プ ラ イ マ リ AMC 管理者は、 セ カ ン ダ リ 管理者の役割を修正 し て、 権限の レベルを変更す る こ と がで き ます。 ま た、 セ カ ン ダ リ 管理者の役割を削除す る こ と も で き ます。 詳細については、 43 ページの 「参照 さ れてい る オブジ ェ ク ト の削除」 を参照 し て く だ さ い。 複数管理者の構成フ ァ イルの衝突回避 複数の管理者がアプ ラ イ ア ン ス を管理 し てい る 場合、 AMC を同時に使用す る よ う な事態は避け なければな り ま せん。 複数の管理者が同 じ オブジ ェ ク ト を変更 し た場合、 AMC は最後の変更を保存 し ます。 そのため、 意図 し ない結果にな る こ と があ る 他、 ア ク セ ス 制御ルールに対 し て相互に矛盾す る 変更が行われた場合な ど、 セ キ ュ リ テ ィ 上の問題の原因にな る こ と も あ り ま す。 複数の管理者が AMC に ロ グ イ ン し てい る 場合、 ス テー タ ス エ リ アに 「Multiple administrator」 警告 メ ッ セージが表示 さ れ ま す。 こ の メ ッ セージ を ク リ ッ ク す る と 、 AMC に ロ グ イ ン し てい る すべての管理者のユー ザー名 と IP ア ド レ ス が表示 さ れ ます。 X AMC に ロ グ イ ン し てい る他の管理者を表示する には • 警告 メ ッ セージが表示 さ れた ら 、 メ ッ セージ テ キ ス ト のハ イ パー リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [Administrator Sessions] ページが表示 さ れ ます。 こ のページには、 AMC に ロ グ イ ン し てい る すべての管理者のユーザー名 と IP ア ド レ ス が リ ス ト さ れ ま す。 他の管理者に連絡 し て互いの活動を調整す る こ と で、 構成フ ァ イ ルの衝突を避け る 必要があ り ま す。 メモ • 管理 コ ン ソ ール監査 ロ グ では、 管理者が行っ た、 AMC のあ ら ゆ る 構成変更が記録 さ れ ます。 153 ページ の 「Management Console 監査 ロ グ」 を参照 し て く だ さ い。 • 管理者が、 Web ブ ラ ウ ザの複数の イ ン ス タ ン ス を使用 し て AMC に ロ グ イ ン し てい る 場合、 [Administrator Sessions] ページに、 その管理者のユーザー名 と IP ア ド レ ス が複数回表示 さ れ る こ と があ り ます。 ま た、 AMC セ ッ シ ョ ン を終了 さ せ る と き は、 必ず [Log Out] を ク リ ッ ク し なければな り ません。 Web ブ ラ ウ ザを閉 じ てセ ッ シ ョ ン を終了 し た場合、 そのセ ッ シ ョ ン は、 タ イ ム ア ウ ト す る ま で の間 ( デフ ォ ル ト で 15 分 ) ア ク テ ィ ブ セ ッ シ ョ ン と し て リ ス ト に表示 さ れた ま ま にな り ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 41 構成データの操作 こ の節では、 構成の変更を AMC に保存 し て有効にす る 方法について説明 し ます。 構成変更のデ ィ スクへの保存 AMC のページで変更を行っ た後 [Save] を ク リ ッ ク す る と 、 その変更がデ ィ ス ク に保存 さ れ ます。 [Cancel] を ク リ ッ ク す る か、 ブ ラ ウ ザの [Back] ボ タ ン を押 し た場合は、 変更が保存 さ れ ま せん。 X 構成変更をデ ィ ス ク に保存する には 1. AMC のページでデー タ を変更 し ま す。 2. ページの下部にあ る [Save] を ク リ ッ ク し ます。 構成の変更はデ ィ ス ク に保存 さ れ ますが、 ア ク テ ィ ブな構成には適用 さ れ ま せん。 AMC の ス テー タ ス エ リ アに、 変更が保留 さ れてお り アプ ラ イ ア ン ス に適用す る 必要があ る こ と を示す メ ッ セージが表示 さ れ ま す。 詳細については、 41 ページの 「構成変更の適用」 を参照 し て く だ さ い。 メモ • AMC の [Administrators] ページで行っ た変更は、 す ぐ に有効にな り ます。 構成変更の適用 アプ ラ イ ア ン ス の構成変更を行 う と き 、 デ ィ ス ク に保存 し て も 、 その変更がす ぐ に適用 さ れ る こ と はあ り ま せ ん。 変更を有効にす る には、 [Apply Changes] ページ を使用 し て変更を適用 し な ければな り ま せん。 ほ と ん ど の構成変更は、 ユーザーへのサービ ス を阻害せずに適用す る こ と がで き ま す。 変更を適用 し た後は、 すべて の新 し い接続で新 し い構成が使用 さ れ る よ う にな り ま す。 新 し い構成変更をすべてのユーザーにす ぐ に適用 し たい場合、 適切なサービ ス を手動で再起動 し なければな り ません。 こ の操作に よ り 、 既存のユーザー接続が停止 し 、 ユーザーに再認証を強制 し ます。 サービ ス の再起動 方法の詳細については、 251 ページの 「Aventail ア ク セ ス サービ ス の停止 と 開始」 を参照 し て く だ さ い。 低レベルの構成変更 ( た と えば IP ア ド レ ス の変更な ど ) の場合、 ネ ッ ト ワ ー ク サービ ス を再起動 し 、 既存の ユーザー接続を停止 し て、 既存ユーザーに対 し 再認証を強制 し なければな り ません。 可能であれば、 オ フ ピー ク の時間 ( 保守期間な ど ) に こ れ ら の構成変更を適用 し 、 サーバーを再起動す る 前にユーザーに通知す る よ う に し ま す。 構成変更で こ の よ う な再起動が必要な場合は、 [Apply Changes] ページに警告が表示 さ れ ま す。 X 変更を適用する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Maintenance] を ク リ ッ ク し ます。 2. [Maintenance] ページで、 [Apply changes] ボ タ ン を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Apply Changes] ページが表示 さ れ ます。 (AMC の右上隅に表示 さ れ る 「Pending changes」 メ ッ セージ を ク リ ッ ク す る こ と も で き ま す。 ) 3. [Apply Changes] ページの メ ッ セージ を参照 し て、 変更を適用 し た場合の影響について評価 し ま す。 こ の手順の後の表に記述 さ れてい る メ ッ セージの う ち、 いずれかが表示 さ れ ま す。 42 | 第 3 章 - AMC の操作 4. [Apply Changes] を ク リ ッ ク し て、 構成変更を適用 し ま す。 変更が適用 さ れ る ま では、 AMC の他のページ を ブ ラ ウ ズ し ないで く だ さ い。 ページが再表示 さ れて、 「Pending configuration changes」 メ ッ セージが AMC の ス テー タ ス エ リ アか ら 消え る と 、 他のページ も 安全に表示で き る よ う にな り ま す。 [Apply Changes] ページには、 次のいずれかの メ ッ セージが表示 さ れ ます。 警告 メ ッ セージ 説明 • Applying changes will restart all services and この変更を適用す る と 、 既存のユーザー接続が停止 し ます。 terminate all user connections. ( 変更を適用する と 、 すべてのサー ビ スが再始動 し 、 すべてのユーザー接続が 注意 ユーザーの再認証が必要にな る ため、 デー タ が失われる 可能性があ り ます。 停止 し ます。 ) • Applying changes will terminate existing TCP/IP user connections. ( 変更を適用す る と 、 既存の TCP/IP ユーザー接続が停止 し ます。 ) • Applying changes will terminate existing HTTP user connections. ( 変更を適用す る と 、 既存の HTTP ユーザー接続が停止 し ます。 ) Your changes will require AMC to restart, which will 現在のセ ッ シ ョ ンが終了する と 、 AMC を使用で き な く な り ま end your current administrative session. When the す。 ブ ラ ウザを閉 じ て、 AMC に再び ロ グ イ ン し て く だ さ い。 request is complete, open a new browser and log in to AMC again. ( 変更する には、 AMC を再起動 し て、 現在 の管理セ ッ シ ョ ン を終了 し なければな り ません。 要求が完 了 し た ら 、 新 し い ブ ラ ウザを開いて AMC に ロ グ イ ン し 直 し て く だ さ い。 ) No authentication realms are enabled. This will prevent users from accessing any resources. Click here to configure user authentication. ( 有効な認証レ ルムがないため、 ユーザーが リ ソ ースにア ク セス で き ませ ん。 ユーザー認証を構成す る には こ こ を ク リ ッ ク し ます。 ) ユーザーが リ ソ ースに対 し てア ク セ ス権を維持する には、 少な く と も 1 つ以上の認証レルムを有効に し なければな り ません。 認証レルムを有効に し なければ、 ユーザーがア プ ラ イ ア ン ス で 認証 さ れな く な り ます。 メモ • 構成変更を ASAP WorkPlace に適用す る と 、 AMC がサービ ス を再起動 し ま す。 ユーザーは、 WorkPlace で再認証す る 必要があ り ま すが、 ネ ッ ト ワ ー ク 共有 リ ソ ース にア ク セ スす る ために Windows ロ グ イ ン ク レデン シ ャ ルを提供 し てい る 場合、 WorkPlace の再起動時に再入力す る よ う 求め ら れ ます。 • 変更を適用す る と き 接続がすでに存在 し てい る 場合、 接続が停止 し ない限 り 、 その接続は古い構成を使用 し 続け ます。 Web 接続は短いので、 Web リ ソ ー ス にア ク セ ス す る ほ と ん ど のユーザーは、 構成変更が素 早 く 適用 さ れ ます。 一方、 ク ラ イ ア ン ト / サーバー接続の場合は、 長期間持続す る 可能性があ り ま す。 構 成変更の後、 既存の ク ラ イ ア ン ト / サーバー接続が ど の程度ア ク テ ィ ブな状態を持続す る か設定す る 場合 は、 [Maximum limbo life] 設定を使用 し ます (256 ページの 「ネ ッ ト ワ ー ク プ ロ キ シ サービ ス の構 成」 を参照 )。 こ の設定に よ り 、 構成変更が、 TCP/IP アプ リ ケーシ ョ ン にア ク セ スす る ユーザーに ど の 程度の頻度で伝播 さ れ る か を コ ン ト ロ ールす る こ と がで き ます。 • 新 し い構成が ロ ー ド で き ない場合、 既存の接続が有効な ま ま にな り ますが、 新 し い接続が試み ら れた場合 は失敗 し ます。 こ の よ う な状況で ど う 対処 し た ら よ いかについては、 274 ページの 「AMC の問題」 を参 照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 43 参照されているオブジ ェ ク ト の削除 あ る オブジ ェ ク ト ( リ ソ ー スやユーザーな ど ) が他のオブジ ェ ク ト に よ っ て参照 さ れてい る 場合、 そのオブ ジ ェ ク ト は削除す る こ と がで き ません。 それで も 削除 し よ う と す る と 、 エ ラ ー メ ッ セージが表示 さ れ ます。 た と えば、 ア ク セ ス制御ルールが参照 し てい る リ ソ ース を削除 し よ う と す る と 、 エ ラ ー メ ッ セージが表示 さ れ ま す。 エ ラ ー メ ッ セージの リ ン ク を ク リ ッ ク す る と 、 削除 し よ う と し てい る リ ソ ー ス に対す る 参照がすべて リ ス ト さ れ ま す。 オブジ ェ ク ト を削除す る 前に、 そのオブジ ェ ク ト に対す る すべての参照を削除 し なければな り ま せん。 次の表では、 他のオブジ ェ ク ト か ら 参照 さ れてい る 場合に削除で き ないオブジ ェ ク ト の タ イ プ を リ ス ト し てい ます。 オブジ ェ ク ト タ イ プ こ のオ ブ ジ ェ ク ト タ イ プ を参照する オ ブ ジ ェ ク リ ソ ース ア ク セ ス制御ルール、 リ ソ ース グループ、 WorkPlace Web シ ョ ー ト カ ッ ト リ ソ ース グループ ア ク セ ス制御ルール ユーザー ア ク セ ス制御ルール ユーザー グループ ア ク セ ス制御ルール レルム ユーザー、 ユーザー グループ 認証サーバー レルム コ ミ ュニテ ィ レルム Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル リ ソ ース End Point Control ゾーン ア ク セ ス制御ルール、 コ ミ ュ ニ テ ィ デバ イ ス プ ロ フ ァ イル End Point Control ゾーン 44 | 第 3 章 - AMC の操作 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 45 第4章 ネ ッ ト ワー ク と 認証の構成 こ の節では、 基本的なネ ッ ト ワ ー ク 構成作業、 つま り ネ ッ ト ワ ー ク イ ン タ フ ェ ース 、 ルーテ ィ ン グ、 名前解決 設定の構成方法や、 SSL 証明書の管理方法な ど について説明 し ます。 ま た、 ユーザー認証を構成す る 方法につ いて も 説明 し ます。 こ こ で説明す る のは、 アプ ラ イ ア ン ス を稼働 さ せ る 上での最小限のネ ッ ト ワ ー ク 構成です。 NTP、 SSH、 ICMP、 syslog な ど の付加的なサービ ス の構成方法については、 141 ページの 「シ ス テ ム管理」 を参照 し て く だ さ い。 基本ネ ッ ト ワーク設定の構成 IP イ ン タ フ ェ ー ス、 ルーテ ィ ン グ、 名前解決な ど のすべての基本ネ ッ ト ワ ー ク 設定は、 AMC で構成す る こ と がで き ます。 AMC でネ ッ ト ワ ー ク オプシ ョ ン を構成す る 場合、 最初に [Network Settings] ページ を使用 し ます。 46 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 システム ID の識別 アプ ラ イ ア ン ス の名前を設定 し て、 対応す る ド メ イ ン の名前を指定 し なければな り ません。 X シ ス テム ID を指定する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Network Settings] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Network Settings] ページが表示 さ れ ます。 2. [Basic] セ ク シ ョ ン で [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure General Network Settings] ページが表示 さ れ ます。 3. [Network interfaces] テーブルか ら 、 該当す る アプ ラ イ ア ン ス の名前を ク リ ッ ク し ます。 こ の操作に よ り 、 そのアプ ラ イ ア ン ス に対す る [Configure Network Interfaces] ページが開 き ま す。 4. [Domain name] ボ ッ ク ス に、 アプ ラ イ ア ン ス が属 し てい る ド メ イ ン の名前を入力 し ます。 た と えば、 「example.com」 の よ う に入力 し ま す。 こ の名前は、 アプ ラ イ ア ン ス がア ク セ スす る ホ ス ト を識別す る と き に使用 さ れ る DNS ネーム ス ペース を定義 し ま す。 5. [Appliance name] ボ ッ ク ス に、 アプ ラ イ ア ン ス の名前を入力 し ま す。 こ の名前はシ ス テ ム ロ グに表 示 さ れ る も ので、 ユーザーが目にす る こ と はあ り ません。 こ のボ ッ ク ス は、 ク ラ ス タ 環境の場合、 編集す る こ と がで き ません。 6. [Save] を ク リ ッ ク し て、 変更を保存 し ます。 ネッ ト ワーク イン タ フ ェースの構成 ネ ッ ト ワ ー ク イ ン タ フ ェ ース を構成す る には、 IP ア ド レ ス と サブネ ッ ト マ ス ク を入力 し 、 イ ン タ フ ェ ー ス速 度を指定 し ま す。 アプ ラ イ ア ン ス を実行す る 場合、 内部ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス のみを使用す る 構成にで き る 他、 2 イ ン タ フ ェ ース 構成に し たい と き は、 オプシ ョ ン で外部 イ ン タ フ ェ ー ス を使用す る こ と も で き ま す。 イ ン タ フ ェ ー ス構成オプシ ョ ン の詳細については、 13 ページの 「ネ ッ ト ワ ー ク アーキ テ ク チ ャ 」 を参照 し て く だ さ い。 X ネ ッ ト ワー ク イ ン タ フ ェ ース を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Network Settings] を ク リ ッ ク し ます。 2. [Network Settings] ページの、 [Basic] セ ク シ ョ ン で [Edit] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [Configure General Network Settings] ページが表示 さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 47 3. [Network interfaces] テーブルか ら 、 該当す る アプ ラ イ ア ン ス の名前を ク リ ッ ク し ます。 こ の操作に よ り 、 [Configure Network Interfaces] ページが開 き ます。 4. [Configure Network Interfaces] ページで、 内部 ( プ ラ イ ベー ト ) ネ ッ ト ワ ー ク に接続す る 内部 イ ン タ フ ェ ー ス の設定を行い ま す。 • イ ン タ フ ェ ー ス の IP ア ド レ ス と サブネ ッ ト マ ス ク を それぞれ [IP address] と [Subnet mask] に入力 し ま す。 • [Interface speed] の リ ス ト か ら 適切な イ ン タ フ ェ ース 速度を選択 し ます。 注意 : ア ダ プ タ がネ ッ ト ワー ク の速度を オー ト ネ ゴ シ エー ト する構成にする こ と も で き ます。 ただ し その場合、 一部のネ ッ ト ワー ク サービ ス と の間で互換性の問題が生 じ る可能性があ り ます。 一般的 な ス イ ッ チ ( た と えば Cisco) の多 く は、 こ のア プ ラ イ ア ン スの二重モー ド を正 し く 検出 し ません。 そのため、 オー ト ネゴ シ エー ト を使用する設定にせず、 ネ ッ ト ワー ク のイ ン タ フ ェ ース速度を手作業 で構成する こ と が強 く 推奨 さ れます。 ネ ッ ト ワー ク レ イ テ ン シがあ る場合は、 ア プ ラ イ ア ン スが接 続 し てい る ス イ ッ チのポー ト 設定を チ ェ ッ ク し 、 正 し い構成が使用 さ れてい るか調べます。 ア プ ラ イ ア ン スの設定は、 こ のイ ン タ フ ェ ースに接続 し てい る ア ク テ ィ ブ なネ ッ ト ワー ク デバ イ ス ( ハブ、 ス イ ッ チ、 ルー タ な ど ) の設定 と 一致 し てい る必要があ り ます。 5. 6. 両方のネ ッ ト ワ ー ク イ ン タ フ ェ ース を設定 し た アプ ラ イ ア ン ス を動作 さ せ る 場合は、 外部ネ ッ ト ワ ー ク ( ま たは イ ン タ ーネ ッ ト ) に接続 し た イ ン タ フ ェ ース について も 設定を行い ま す。 • 外部ネ ッ ト ワ ー ク を有効にす る ため、 [Enable external interface] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 • イ ン タ ーネ ッ ト か ら Aventail アプ ラ イ ア ン ス にア ク セ ス す る 際に使用 さ れ る IP ア ド レ ス と サブ ネ ッ ト マ ス ク を それぞれ [IP address] と [Subnet mask] に入力 し ま す。 外部 IP ア ド レ ス は、 パブ リ ッ ク にア ク セ ス で き る も のでなければな り ま せん。 • [Interface speed] の リ ス ト か ら 適切な イ ン タ フ ェ ース 速度を選択 し ます。 [Save] を ク リ ッ ク し て、 変更を保存 し ます。 AMC で変更が保存 さ れ る と 、 ブ ラ ウ ザ セ ッ シ ョ ン が タ イ ム ア ウ ト し ま す。 他のシ ス テ ム構成作業を続け たい場合は、 再び AMC に ロ グ イ ン し て く だ さ い。 メモ • アプ ラ イ ア ン ス が両方の イ ン タ フ ェ ース を使用す る 構成にな っ てい る 場合、 ルーテ ィ ン グ設定を調べ、 内 部 イ ン タ フ ェ ー スへのネ ッ ト ワ ー ク ルー ト が存在 し てい る か確認 し ま す。 アプ ラ イ ア ン ス が、 AMC にア ク セ ス す る コ ン ピ ュ ー タ と 異な る ネ ッ ト ワ ー ク 上にあ る 場合、 アプ ラ イ ア ン ス が設置 さ れてい る ネ ッ ト ワ ー ク への静的ルー ト を定義 し て、 ネ ッ ト ワ ー ク 構成の変更を適用 し た後 も AMC へのア ク セ ス が維持 さ れ る よ う に し なければな り ません。 詳細については、 48 ページの 「IP ルー ト の構成」 を参照 し て く だ さ い。 48 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 IP ルー ト の構成 ト ラ フ ィ ッ ク をルーテ ィ ン グす る には、 デフ ォ ル ト ゲー ト ウ ェ イ を指定 し なければな り ません。 ま た、 アプ ラ イ ア ン ス が内部ネ ッ ト ワ ー ク リ ソ ー ス に到達で き る よ う 、 アプ ラ イ ア ン ス に対 し てルーテ ィ ン グ情報を指定 し なければな り ません。 その場合、 動的ルーテ ィ ン グ を使用す る か、 静的ルー ト を定義す る こ と で こ れを行い ま す。 デフ ォル ト ゲー ト ウェ イの構成 デフ ォ ル ト ゲー ト ウ ェ イ は、 明示的にルー ト 指定 さ れていないパケ ッ ト が ど こ に送信 さ れ る か決定 し ま す。 そ のため こ れは、 イ ン タ ーネ ッ ト へのア ク セ ス を提供す る ルー タ のア ド レ ス にな り ます。 X ルーテ ィ ン グ情報を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Network Settings] を ク リ ッ ク し ます。 2. [Network Settings] ページで、 [Routing] エ リ アの [Edit] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [Configure Routing] ページが表示 さ れ ます。 3. [Default gateway IP address] ボ ッ ク ス に、 イ ン タ ーネ ッ ト へのア ク セ ス を提供す る ルー タ の IP ア ド レ ス を入力 し ます。 Setup Tool を実行 し た後初めて AMC を使用す る 場合、 すでに指定 し たゲー ト ウ ェ イ が こ こ に表示 さ れ ます。 こ の値が、 イ ン タ ーネ ッ ト へのア ク セ ス を提供す る ゲー ト ウ ェ イ と 異な る 場合 ( 両方のネ ッ ト ワ ー ク イ ン タ フ ェ ー ス を有効に し てい る 場合 こ れが該当す る ) は、 こ の設定を それに従っ て修正す る 必要が あ り ま す。 4. [Save] を ク リ ッ ク し ます。 注意 ! ア プ ラ イ ア ン スが両方のイ ン タ フ ェ ース を使用する構成にな っ てい る場合、 ルーテ ィ ン グ 設定を調べ、 内部イ ン タ フ ェ ースへのネ ッ ト ワー ク ルー ト が存在 し てい るか確認 し ます。 ア プ ラ イ ア ン スが、 AMC にア ク セ スする コ ン ピ ュ ー タ と 異な るサブ ネ ッ ト 上にあ る場合、 動的ルーテ ィ ン グ オ プ シ ョ ン を使用するか、 ア プ ラ イ ア ン スが設置 さ れてい る ネ ッ ト ワー ク への静的ルー ト を定義 し なければな り ません。 た と えば、 ア プ ラ イ ア ン スが両方の イ ン タ フ ェ ース を使用する よ う 構成 し てい る場合を考 え ます。 Setup Tool を実行する と き、 内部 イ ン タ フ ェ ースか ら AMC へア ク セ ス で き る よ う にするデ フ ォ ル ト ゲー ト ウ ェ イ を定義 し ます。 次に AMC に ロ グ イ ン し 、 外部 イ ン タ フ ェ ース を有効に し て、 こ の外部イ ン タ フ ェ ース を介 し て イ ン タ ーネ ッ ト にア ク セ ス で き る よ う にするルー タ を、 デ フ ォ ル ト ゲー ト ウ ェ イ と し て指定 し ます。 こ のよ う な変更を適 用する と 、 AMC を ブ ラ ウズする ために使用する コ ン ピ ュ ー タ が、 ア プ ラ イ ア ン ス と 異な る サブ ネ ッ ト 上にあ る場合、 AMC へのア ク セ スが途切れる こ と にな り ます。 こ のよ う な問題を回避する ため、 ネ ッ ト ワー ク 構成の設定を適用する前に次のいずれかを 実行 し ます。 • 動的ルーテ ィ ン グ オ プ シ ョ ン を有効に し ます。 • AMC が属 し てい るサブ ネ ッ ト への静的ルー ト を定義 し ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 49 動的ルーテ ィ ングの構成 動的ルーテ ィ ン グ を使用す る 場合、 内部ルー タ でルーテ ィ ン グ情報プ ロ ト コ ル (RIP) のバージ ョ ン 1 ま たは バージ ョ ン 2 を実行 し ていなければな り ま せん。 内部 イ ン タ フ ェ ー スや外部 イ ン タ フ ェ ース ( 使用す る アプ ラ イ ア ン ス を構成 し てい る 場合 )、 ま たはその両方で動的ルーテ ィ ン グ を有効にす る こ と がで き ます。 RIP の詳 細について知 り たい場合は、 http://www.ietf.org/rfc/ を訪れ、 RIPv1 については RFC 1058、 RIPv2 につ いては RFC 2453 を参照 し て く だ さ い。 X 動的ルーテ ィ ン グ を構成する には 1. サ イ ト が RIP をサポー ト し てい る こ と を確認 し ま す。 2. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Network Settings] を ク リ ッ ク し ます。 3. [Network Settings] ページで、 [Routing] エ リ アの [Edit] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [Configure Routing] ページが表示 さ れ ます。 4. [Dynamic Routing] エ リ アで、 適切な モー ド を ク リ ッ ク し ます。 • サ イ ト が RIP のバージ ョ ン 1 を サポー ト し てい る 場合、 [RIP v1] • サ イ ト が RIP のバージ ョ ン 2 を サポー ト し てい る 場合、 [RIP v2] 5. [RIP v2] を選択 し た場合、 適切な RIPv2 認証を選択 し ま す。 選択で き る オプシ ョ ンは [None] ま た は [Password] です。 6. RIPv2 認証で [Password] を選択 し た場合は、 [Password] ボ ッ ク ス に実際のパ ス ワ ー ド テ キ ス ト を入力 し ま す。 パ ス ワ ー ド は、 16 文字以内でなければな り ません。 7. [Interface selection] ボ ッ ク ス で、 動的ルーテ ィ ン グ を有効にす る イ ン タ フ ェ ー ス を選択 し ま す。 8. [Save] を ク リ ッ ク し ます。 メモ • アプ ラ イ ア ン ス の RIP ルー ト プ ロ セ ッ サは、 構成の変更を適用す る ま で始動 し ません。 詳細については、 41 ページの 「構成変更の適用」 を参照 し て く だ さ い。 • アプ ラ イ ア ン ス で動作す る RIP デーモ ンは、 パ ッ シブ モー ド でのみ動作 し ます。 言い換え る と 、 他の RIP ルー タ か ら ルー ト 情報を受信 し ま すが、 ルー ト 情報を ア ド バ タ イ ズす る こ と はあ り ません。 • AMC では、 現在のルーテ ィ ン グ テーブルの ス ナ ッ プシ ョ ッ ト ( 動的ルー ト と 静的ルー ト の両方を含む ) を表示す る こ と がで き ます。 詳細については、 283 ページの 「現在のルーテ ィ ン グ テーブルの表示」 を 参照 し て く だ さ い。 • 有効でない イ ン タ フ ェ ース を選択 し た場合、 AMC では、 構成変更を送信 し た時点でエ ラ ー メ ッ セージ ( 「Interface is not enabled」 ) が表示 さ れ ま す。 • 認証に RIPv2 を使用す る 場合を除 き 、 外部 イ ン タ フ ェ ー ス では RIP を有効に し ないのが得策です。 こ の よ う な状況で RIP を有効にす る と 、 セ キ ュ リ テ ィ が危険に さ ら さ れ る こ と にな り ま す。 50 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 静的ルー ト の構成 サ イ ト で RIP がサポー ト さ れていない場合や動的ルーテ ィ ン グ を使用 し た く ない場合は、 静的ルー ト を明示的 に定義 し なければな り ま せん。 その場合、 内部 イ ン タ フ ェ ー ス か ら 到達す る ネ ッ ト ワ ー ク のエ ン ト リ を、 ルー テ ィ ン グ テーブルに追加 し ま す。 静的ルー ト は、 必要なだけ追加す る こ と がで き ま す。 動的ルーテ ィ ン グ と 静的ルーテ ィ ン グ の ど ち ら を使用す る かは、 状況に応 じ て決定 し ます。 静的ルー ト テーブ ルの保守は、 特に大規模なサ イ ト の場合な ど、 と も すれば非常に面倒にな り ま す。 ただ し 動的ルーテ ィ ン グ の 場合は、 ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク が増大 し ます。 そのため、 周囲の状況に最 も 適 し たオプシ ョ ン を選択す る よ う に し ま す。 必要であれば、 両方のオプシ ョ ン を使用す る こ と も で き ます。 その場合、 検出 さ れ る すべての ルー ト が使用 さ れ る こ と にな り ま す。 X 静的ルーテ ィ ン グ情報を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Network Settings] を ク リ ッ ク し ます。 2. [Network Settings] ページで [Routing] エ リ アの [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Routing] ページが表示 さ れ ます。 3. 次の方法で静的ルー ト を定義 し ま す。 a. [Static routes] セ ク シ ョ ン の [IP address]、 [Subnet mask]、 [Gateway] の各ボ ッ ク ス に ルー ト 情報を入力 し ま す。 b. [Add] を ク リ ッ ク し ます。 追加 し たルー タ が、 静的ルー ト テーブルに表示 さ れ ま す。 4. [Save] を ク リ ッ ク し ます。 X 静的ルー ト を削除する には 1. [Configure Routing] ページで、 削除す る 静的ルー ト の右にあ る [Delete] ボ タ ン を ク リ ッ ク し ま す。 2. [Save] を ク リ ッ ク し ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 51 メモ • アプ ラ イ ア ン ス が両方の イ ン タ フ ェ ース を使用す る 構成にな っ てい る 場合、 ルーテ ィ ン グ設定を調べ、 内 部 イ ン タ フ ェ ー スへのネ ッ ト ワ ー ク ルー ト が存在 し てい る か確認 し ま す。 アプ ラ イ ア ン ス が、 AMC にア ク セ ス す る コ ン ピ ュ ー タ と 異な る ネ ッ ト ワ ー ク 上にあ る 場合、 アプ ラ イ ア ン ス が設置 さ れてい る ネ ッ ト ワ ー ク への静的ルー ト を定義 し て、 ネ ッ ト ワ ー ク 構成の変更を適用 し た後 も AMC へのア ク セ ス が維持 さ れ る よ う に し なければな り ません。 詳細については、 48 ページの 「IP ルー ト の構成」 を参照 し て く だ さ い。 • 内部ネ ッ ト ワ ー ク に、 連続す る ア ド レ ス空間があ る 場合、 静的ルー ト を作成す る と き に正 し いサブネ ッ ト マ ス ク を指定す る こ と に よ っ て、 複数の静的ルー ト を組み合わせて 1 つのエ ン ト リ にす る こ と がで き ま す。 次の表では、 サブネ ッ ト マ ス ク を使用す る こ と で、 内部 ト ラ フ ィ ッ ク を単一の静的ルー ト エ ン ト リ か ら 複数のネ ッ ト ワ ー ク にルー ト す る 例を 2 つ示 し てい ます。 ト ラ フ ィ ッ ク をルーテ ィ ン グする ネ ッ ト ワー ク : 指定する IP ア ド レ ス : 指定するサブ ネ ッ ト マス ク : 192.168.0.0 192.168.1.0 192.168.2.0 192.168.3.0 192.168.0.0 255.255.252.0 192.168.*.* ( すべてのネ ッ ト ワー ク が 192.168 の範囲内 ) 192.168.0.0 255.255.0.0 必要で あれば、 他のサブネ ッ ト の静的ルー ト を明示的に追加す る こ と も で き ま す。 こ れは、 ルーテ ィ ン グ テーブルでネ ッ ト マ ス ク が広い方か ら 狭い方へ検索 さ れ る ためです。 名前解決の設定 アプ ラ イ ア ン ス では、 ホ ス ト 名を IP ア ド レ ス に解決す る ため、 DNS サーバーにア ク セ スす る 必要があ り ま す。 ASAP WorkPlace を使用 し て Windows ネ ッ ト ワ ー ク を ブ ラ ウ ズす る と き 、 Windows Internet Name Service (WINS) サーバーお よ び Windows ド メ イ ン名を指定す る 必要があ り ます。 Domain Name Service の構成 DNS サーバーを構成す る と 、 アプ ラ イ ア ン ス がホ ス ト 名を正 し く 解決で き る よ う にな り ます。 DNS を正 し く 構成す る こ と で、 アプ ラ イ ア ン ス が、 ネ ッ ト ワ ー ク リ ソ ー スへのア ク セ ス を提供で き る よ う にな り ます。 X DNS に よ る名前解決を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Network Settings] を ク リ ッ ク し ます。 2. [Network Settings] ページで、 [Name Resolution] の [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操 作に よ り 、 [Configure Name Resolution] ページが表示 さ れ ます。 52 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 3. [Search domains] ボ ッ ク ス に、 企業のデフ ォ ル ト DNS ド メ イ ン名 ( 「example.com」 な ど ) を入 力 し ま す。 非修飾ホ ス ト 名が指定 さ れた場合は、 こ の ド メ イ ン名が追加 さ れて解決 さ れ ます。 最大で 6 つの ド メ イ ン名を、 セ ミ コ ロ ン で区切っ て入力す る こ と がで き ま す。 4. [DNS server] ボ ッ ク ス に、 プ ラ イ マ リ DNS サーバー と 、 2 つのバ ッ ク ア ッ プ DNS サーバーを入力 し ます。 バ ッ ク ア ッ プ サーバーは、 プ ラ イ マ リ サーバーが使用で き ない場合に使用 さ れ ま す。 5. [Save] を ク リ ッ ク し ます。 メモ • DNS 設定を変更す る 場合、 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス を再起動 し なければな ら ず、 その場合、 既存 の Aventail Connect プ ロ キ シ ク ラ イ ア ン ト の接続が停止 し ま す。 そのため こ の よ う な変更は、 オ フ ピー ク 時間 ま たは保守期間に行 う よ う にす る と 良いで し ょ う 。 Windows ネ ッ ト ワーク名前解決の設定 Aventail ASAP WorkPlace を使用 し て Windows ネ ッ ト ワ ー ク 上の フ ァ イ ルをブ ラ ウ ズす る と き 、Windows Internet Name Service (WINS) サーバーお よ び Windows ド メ イ ン名を指定す る 必要があ り ます。 WorkPlace では、 名前解決を行 う 場合お よ びユーザーがブ ラ ウ ズす る リ ソ ー ス の リ ス ト を構築す る 場合、 こ の 情報を使用 し ます。 X Windows ネ ッ ト ワー ク 名前解決を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Network Settings] を ク リ ッ ク し ます。 2. [Network Settings] ページで、 [Name Resolution] の [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操 作に よ り 、 [Configure Name Resolution] ページが表示 さ れ ます。 3. [Windows networking] エ リ アで、 次の情報を入力 し ます。 4. • WINS サーバーの IP ア ド レ ス を [WINS server IP address] ボ ッ ク ス に入力 し ます。 • NetBIOS の構文 ( た と えば 「mycompany」 ) を使用 し て、 Windows ド メ イ ン の名前を [Windows domain name] ボ ッ ク ス に入力 し ま す。 [Save] を ク リ ッ ク し ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 53 SSL 証明書の構成 アプ ラ イ ア ン ス は、 Secure Sockets Layer (SSL) プ ロ ト コ ルを使用 し て情報を暗号化 し ま す。 AMC を使用 し て自己署名サーバー証明書を作成で き る 他、 オプシ ョ ン で商用認証局 (CA) か ら 証明書を得 る こ と も で き ます。 ま た場合に よ っ ては、 証明書のルー ト フ ァ イ ルを使用す る よ う Aventail ク ラ イ ア ン ト を構成す る 必要があ り ます。 AMC で SSL 証明書お よ び CA 証明書、 SSL 暗号化を構成す る 場合、 最初に [SSL Settings] ページ を使用 し ます。 概要 : SSL 証明書 Aventail アプ ラ イ ア ン ス では、 接続ユーザーに対 し て アプ ラ イ ア ン ス の ID を証明す る 場合や、 ク ラ イ ア ン ト コ ン ピ ュ ー タ か ら サーバーに送信 さ れ る 情報を保護す る ための公開鍵を提供す る 場合に、 SSL 証明書を使用 し ます。 アプ ラ イ ア ン ス では、 2 種類の SSL 証明書が必要にな り ます。 • AMC は、 管理 ト ラ フ ィ ッ ク を保護す る ために証明書を使用 し ま す。 • Aventail サービ ス は、 エ ン ド ユーザーの ト ラ フ ィ ッ ク を保護す る ために証明書を使用 し ま す。 証明書には、 自己署名証明書 と 商用証明書の 2 種類があ り ます。 自己署名 SSL 証明書の場合、 自身の身元を 証明 し ます。 パ ス ワ ー ド を元に し て、 対応す る 秘密鍵デー タ が暗号化 さ れ ます。 AMC では自己署名証明書を使 用 し ま す。 自己署名 SSL 証明書 も 安全ですが、 アプ ラ イ ア ン ス で商用 CA の証明書を使用す る 構成にす る こ と も で き ま す。 商用証明書は、 VeriSign (http://www.verisign.com) な ど の CA か ら 購入す る も ので、 通常は 1 年間有 効です。 商用 CA では、 企業の身元を識別 し て、 CA が署名す る 証明書を提供す る こ と に よ り 、 その企業のユーザーの 身分を保証 し ます。 商用 CA の証明書は、 パ ス ポー ト にた と え る こ と がで き ます。 自身で作成 し た身分証明書 を提示 し て も 、 すでにその人の こ と がわか っ てい る 場合を除 き 、 往々に し てその身元は疑わ し い も の と 見な さ れ ま す。 一方、 信頼 さ れてい る 国が発行 し たパ ス ポー ト を提示すれば、 身元の信憑性は高 く な り ます。 こ れは、 パス ポー ト を発行 し た機関が、 その持ち主の身元をすでに確認 し てい る ためです。 54 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 サーバーで ど の タ イ プの証明書を使用す る か決定す る と き は、 そのアプ ラ イ ア ン ス に ど の よ う なユーザーが接 続 し 、 ネ ッ ト ワ ー ク 上の リ ソ ース を ど の よ う に使 う かについて考慮 し ま す。 • ビ ジネ ス パー ト ナーが、 アプ ラ イ ア ン ス を介 し て Web リ ソ ー ス に接続す る 場合、 取引を行っ た り 機密情 報を提供 し た り す る 前に、 相手の身分保証を必要 と し ます。 こ の よ う な場合、 そのアプ ラ イ ア ン ス で商用 CA か ら 証明書を取得す る よ う にす る と 良いで し ょ う 。 一方、 従業員が Web リ ソ ー ス に接続す る 場合は、 自己署名証明書を信用す る こ と がで き ます。 その場合 で も 、 エ ン ド ユーザーが接続す る たびに自己署名証明書を受け入れ る 手間を省 く ため、 サー ド パーテ ィ の証明書を取得す る こ と がで き ます。 • ユーザーが、 Aventail Connect プ ロ キ シ ク ラ イ ア ン ト を使用 し て、 アプ ラ イ ア ン ス か ら TCP/IP リ ソ ー ス にア ク セ ス す る 場合は、 自己署名証明書を信頼す る よ う ク ラ イ ア ン ト を構成す る こ と がで き る ため、 通 常で あれば自己署名証明書で十分です。 小型携帯端末での証明書の使用 小型携帯端末 ( ス マー ト フ ォ ン、 PDA、 その他の携帯電話な ど ) か ら アプ ラ イ ア ン ス に接続す る ユーザーに対 応す る ためには、 有名 CA ( た と えば VeriSign) の証明書を使用す る よ う アプ ラ イ ア ン ス を構成す る か、 ルー ト 証明書を CA か ら ユーザーの小型携帯端末に イ ン ポー ト す る 必要があ り ます。 アプ ラ イ ア ン ス が、 自己署名証明書ま たは無名の CA の証明書を使用す る よ う 構成 さ れてい る 場合、 ほ と ん ど の小型携帯端末では、 セ キ ュ リ テ ィ プ ロ ン プ ト を表示 さ せ る か、 その証明書を拒否 し ます。 た と えば、 Windows Mobile ス マー ト フ ォ ン の場合、 ルー ト フ ァ イ ルで VersiSign、 CyberTrust、 Thawte、 Entrust の みが構成 さ れてい ます。 小型携帯端末の詳細については、 217 ページの 「WorkPlace お よ び小型携帯端末」 を参照 し て く だ さ い。 自己署名証明書の使用 ( 証明書を商用 CA か ら 取得す る 代わ り に ) 自己署名 SSL 証明書を使用 し たい場合は、 AMC を使用 し て こ れ を作成す る こ と がで き ま す。 X 自己署名証明書を作成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し ます。 こ の操作に よ り 、 [SSL Settings] ページが表示 さ れ ます。 2. [SSL certificates] の [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure SSL Certificates] ページが表示 さ れ ます。 3. 作成す る 証明書に応 じ て、 適切なボ タ ン を ク リ ッ ク し ます。 • Aventail サービ ス の証明書を作成す る 場合、 [Self-Signed Certificate] エ リ アで [New Certificate] を ク リ ッ ク し ます。 • AMC の証明書を作成す る 場合、 [AMC certificate] エ リ アで [New Certificate] を ク リ ッ ク し ます。 [Create Self-Signed Certificate] ページ ま たは [Create AMC Self-Signed Certificate] ペー ジが表示 さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 55 4. [Fully qualified domain name] ボ ッ ク ス に、 証明書に記載す る サーバー名を入力 し ま す。 • アプ ラ イ ア ン ス の証明書の場合、 「vpn.example.com」 の よ う に入力 し ます。 ユーザーが こ のアプ ラ イ ア ン ス にア ク セ ス で き る よ う にす る には、 こ の名前を外部 DNS に追加 し なければな り ま せん。 エ ン ド ユーザーは、 こ の名前を使用 し て、 ネ ッ ト ワ ー ク 上の Web ベー ス の リ ソ ー ス にア ク セ ス し ます。 Aventail Connect ク ラ イ ア ン ト で、 TCP/IP リ ソ ー スへのア ク セ ス を許可す る よ う 構成す る と き は、 こ の名前を参照 し ま す。 • AMC の証明書の場合、 「amc.example.com」 の よ う に入力 し ます。 ほ と ん ど の場合、 AMC へのア ク セ ス を簡単にす る ために、 こ の名前を内部 DNS に追加す る 必要があ り ま す。 5. [Organization] ボ ッ ク ス に、 SSL 証明書に記載す る 企業名を入力 し ます。 6. [Country] ボ ッ ク ス に、 国を表す 2 文字の省略語を入力 し ます。 有効な国 コ ー ド の リ ス ト については、 国際標準化機構 (ISO) の Web サ イ ト (http://www.iso.org) を訪れて、 ISO 3166-1 の情報を参照 し て く だ さ い。 7. [Save] を ク リ ッ ク し ます。 8. 証明書を作成す る には、 変更を適用 し な ければな り ま せん (41 ページの 「構成変更の適用」 を参照 )。 自己署名証明書に対する信頼でき るルー ト フ ァ イルの作成 自己署名証明書を使用す る 場合、 信頼で き る ルー ト フ ァ イ ルを ユーザーに提供す る 必要があ り ま す。 X 自己署名証明書に対する信頼で き るルー ト フ ァ イルを作成する には 1. アプ ラ イ ア ン ス に ロ グ イ ン し ま す。 2. /usr/local/extranet/etc にあ る server.cert フ ァ イ ルを コ ピー し ま す。 3. コ ピー し た フ ァ イ ルを テ キ ス ト エデ ィ タ で開 き 、 ルー ト 証明書以外のすべての部分を削除 し ます。 こ の フ ァ イ ルには、 1 つ ま たは複数の証明書があ り 、 その他に秘密鍵 も 存在 し ます。 ルー ト 証明書は、 こ の フ ァ イ ルの最後の証明書ブ ロ ッ ク で、 バナーで識別で き ま す。 次の例では、 最初の証明書ブ ロ ッ ク と 秘密 鍵ブ ロ ッ ク を削除 し てい ます。 証明書 1 ルー ト 証明書 秘密鍵 その結果、 フ ァ イ ルは次の よ う にな り ます。 4. こ の フ ァ イ ルをエ ン ド ユーザーに配布 し ま す。 こ れに よ り セ キ ュ リ テ ィ が向上 し 、 ユーザーが接続す る たびに SSL 証明書を受け入れ る よ う 求め ら れ る こ と も な く な り ます。 64 ページの 「バ ッ ク エ ン ド HTTPS リ ソ ー ス に対す る 新 し いルー ト 証明書の追加」 を参照 し て く だ さ い。 • Aventail Connect ク ラ イ ア ン ト を介 し てネ ッ ト ワ ー ク プ ロ キ シ サービ ス に接続す る ユーザーの場 合、 それぞれのユーザーの コ ン ピ ュ ー タ 上で、 こ の信頼で き る ルー ト フ ァ イ ルを使用す る よ う 、 ク ラ イ ア ン ト を構成 し ます。 こ の フ ァ イ ルは、 Aventail Connect プ ロ ビ ジ ョ ニ ン グ パ ッ ケージに も 入れな ければな り ま せん。 • Web ベー ス のユーザーのセ キ ュ リ テ ィ を向上 さ せたい場合、 こ の フ ァ イ ルを、 それぞれのユーザー のブ ラ ウ ザに入れ ま す。 56 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 メモ • アプ ラ イ ア ン ス に付属す る Setup Tool を使用す る と 、 AMC に対す る 自己署名証明書を作成 し ます。 ほ と ん ど の設定については、 こ の自己署名証明書で十分で あ り 、 商用 CA か ら 証明書を得 る 必要はあ り ま せ ん。 ただ し 、 AMC は、 信頼 さ れ る ネ ッ ト ワ ー ク 内で使用 し なければな り ま せん。 自己署名証明書は、 受 動的な盗み見に対す る 防止策にはな り ますが、 能動的な攻撃に対す る 防衛策にな り ません。 • Apple Macintosh で Microsoft Internet Explorer を使用す る ユーザーに対 し て、Aventail OnDemand を設定 し てい る 場合、商用 SSL 証明書を取得す る 必要があ り ます。Macintosh の Java Virtual Machine (JVM) が未知の CA か ら 署名入 り の証明書を受け付け ないため、 自己署名証明書は機能 し ません。 商用 CA からの証明書の取得 商用 CA か ら 証明書を取得す る と 、 アプ ラ イ ア ン ス を介 し てネ ッ ト ワ ー ク に接続す る ユーザーの身元を確認で き る よ う にな り ま す。 商用 CA か ら 証明書を取得 し て構成す る 場合、 複数の手順を実行す る 必要があ り ま す。 こ のプ ロ セ ス の手順を次に示 し ま す。 CSR 䬽 ↢ ᚑ CA 䭇䬽 CSR 䬽 ㅍ ା CA 䬽䮲䯃䮏 䮜 䭨 䭫 䮲 䭡 CSR ᔕ╵䬺ㅊട n ⸽ᦠ⟑ฬⷐ᳞ (CSR) 䭡 o CSR 䭡↪⸽ዪ (CA) p(䭱䮞䭾䮮䮺) CA 䬽 CSR ᔕ╵䬺 ᚑ䬦䭍䬨䫻 Aventail 䭶䮰䭫䭩䮺䮏 䬽᭴ᚑ s ା㗬䬶䬜䭚䮲䯃䮏 䮜䭨䭫䮲䭡 ↪䬨䭚䭗䬕䫺 Aventail Connect 䮞䮴䭴䭾䭡᭴ᚑ䬦䭍䬨䫻 r 䬺ㅍା䬦䭍䬨䫻 ା㗬䬶䬜䭚䮲䯃䮏 䮜䭨䭫䮲䬛䭍䭛䬵 䬓䬹䬓䬚䬲䬮႐ว䫺ㅊട䬦䭍䬨䫻 ᄌᦝ䬽ㆡ↪ CSR ᔕ ╵ 䬽 䭫䮺 䮤 䯃 䮏 䭼䯃䮚䮀䭡ౣᆎേ䬦䫺 ⸽ᦠ䭡ല䬺䬦䭍䬨䫻 qCSR ᔕ╵䭡 AMC 䬺䭫䮺䮤䯃䮏䬦䬵 ⸽ᦠ䭡ᚑ䬦䭍䬨䫻 こ のプ ロ セ ス の手順については、 以下の節で説明 し ま す。 こ こ では、 Aventail サーバーで商用証明書を取得す る 状況を取 り 上げ ま す。 ( 自己署名証明書を使用す る よ う AMC を構成す る 。 ) ステ ッ プ 1: 証明書署名要求の生成 AMC を使用 し て、 証明書署名要求 (CSR) を生成す る こ と がで き ます。 こ のプ ロ セ ス では、 サーバー情報の他、 公開鍵 と 識別情報が含ま れ る CSR を保護す る ための RSA 鍵ペア を作成 し ます。 こ こ で指定 し た情報は、 商用 CA が証明書を作成す る と き に使用 し ま す。 ま た、 こ の情報は、 アプ ラ イ ア ン ス に接続す る エ ン ド ユーザーに 提示 さ れ ま す。 X CSR を生成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し ます。 2. [SSL Settings] ページで [SSL certificates] の [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作で、 [Configure SSL Certificates] ページが表示 さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 57 3. [Certificate signing request] エ リ アで [Create New CSR] ボ タ ン を ク リ ッ ク し ま す。 [Create Certificate Signing Request] ページが表示 さ れ ます 4. [Certificate information] エ リ アに情報を入力 し ま す。 こ の情報は、 CSR に保管 さ れ、 商用 CA が 証明書を生成す る と き に使用 し ます。 こ の情報は、 アプ ラ イ ア ン ス に接続す る エ ン ド ユーザーに提示 さ れ ま す。 a. [Fully qualified domain name] ボ ッ ク ス に、 証明書に記載す る サーバー名を入力 し ま す。 こ の サーバー名は、 「共通名」 (CN) と も 呼ばれ る も ので、 通常ホ ス ト 名 と ド メ イ ン名で構成 さ れ ま す。。 た と えば 「vpn.example.com」 の よ う に入力す る こ と がで き ます。 Web ベー ス のエ ン ド ユーザーは、 アプ ラ イ ア ン ス にア ク セ ス ( 言い換え る と ASAP WorkPlace に ア ク セ ス ) す る と き に こ の名前を使用す る ため、 憶えやすい名前を使用す る よ う に し ます。 ま た、 TCP/IP リ ソ ー ス にア ク セ ス で き る よ う にす る 目的で Aventail Connect や Aventail OnDemand コ ン ポーネ ン ト を構成す る と き も 、 こ の名前を参照 し ます。 ユーザーが こ のアプ ラ イ ア ン ス にア ク セ ス で き る よ う にす る には、 こ の名前を外部 DNS に追加 し なければな り ま せん。 b. [Organizational unit] ボ ッ ク ス に、 部署の名前 ( た と えば 「IT Department」 ) を入力 し ま す。 c. [Organization] ボ ッ ク ス に、 SSL 証明書に記載す る 企業名を入力 し ます。 d. [Locality] ボ ッ ク ス に、 市 ま たは町の名前を入力 し ま す。 名前は フルネーム で記述 し ま す ( 省略語 は使用 し ない )。 e. [State] ボ ッ ク ス に、 州ま たは県の名前を入力 し ます。 名前は フルネーム で記述 し ます ( 省略語は 使用 し ない )。 f. [Country] ボ ッ ク ス に、 国を表す 2 文字の省略語を入力 し ま す。 有効な国 コ ー ド の リ ス ト について は、 国際標準化機構 (ISO) の Web サ イ ト (http://www.iso.org) を訪れて、 ISO 3166-1 の情報 を検索 し て く だ さ い。 g. [Key length] リ ス ト か ら 、 使用す る 鍵の長 さ を選択 し ま す。 [512]、 [768]、 [1024] ( デフ ォ ル ト )、 [1280]、 [1536] のいずれか を選択 し ます。 鍵の長 さ が長いほ ど セ キ ュ リ テ ィ が向上 し ま す が、 アプ ラ イ ア ン ス の処理速度が遅 く な り ます。 ほ と ん ど の場合、 [1024] や [1280] が適 し てい ま す。 58 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 5. 情報が正 し く 入力 さ れてい る か見直 し てか ら 、 [Save] を ク リ ッ ク し ます。 こ の操作に よ り CSR が生成 さ れ ま す。 [Create Certificate Signing Request] ページが表示 さ れ ます。 6. CSR テ キ ス ト の内容を AMC か ら ク リ ッ プボー ド ま たはテ キ ス ト フ ァ イ ルに コ ピー し て、 [OK] を ク リ ッ ク し ま す。 メモ • [Certificate signing request] エ リ アの下にあ る [Status] エ リ アには、 CSR が保留 さ れてい る こ と が示 さ れ ま す。 その場合、 CSR を再送信 し ないで く だ さ い。 再送信す る と 二重にア カ ウ ン ト さ れて し ま い ます。 ま た、 こ れに よ っ て内部秘密鍵が変更 さ れ る ため、 CA か ら の応答を利用で き な く な り ま す。 • 商用 CA に よ っ ては、 「&」 や 「!」 の よ う な シ フ ト 文字 (SHIFT キーを押 し た と き に生成 さ れ る 文字 ) が 含ま れてい る CSR を読み込む際に、 問題が発生す る こ と があ り ます。 企業名な ど の情報を指定す る と き 、 「&」 を 「and」 と 記述す る な ど し て、 シ フ ト 文字を使用 し ない よ う に し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 59 ステ ッ プ 2: 商用 CA へ CSR を送信 CSR の送信のプ ロ セ ス は、 選択す る 商用 CA に よ っ て変動 し ます。 VeriSign は、 Secure Site Services を使 用 し て SSL 証明書を発行す る 商用 CA と し て有名です。 詳細については、 http://www.verisign.com を参照 し て く だ さ い。 X 商用 CA へ CSR を送信する には 1. AMC の [Create Certificate Signing Request] ページか ら 証明書署名要求の内容を コ ピー し ま す。 2. こ れを所定の方法で CA に送信 し ま す。 通常、 CSR テ キ ス ト を コ ピー し て CA の Web サ イ ト の フ ォ ーム にペー ス ト す る か、 電子 メ ールの メ ッ セージに添付 し ま す。 CA が指定 し てい る 方法に よ っ ては、 すべてのテ キ ス ト をペー ス ト す る 場合 と 、 「BEGIN NEW CERTIFICATE REQUEST」 と 「END NEW CERTIFICATE REQUEST」 の 2 つのバナーに挟ま れてい る テ キ ス ト ( バナー自体 も 含む ) のみをペース ト す る 場合 と があ り ます。 方法が よ く わか ら ない場合は、 CA に問い合わせて く だ さ い。 3. 商用 CA が身元を確認す る ま で待機 し ます。 企業の身元を証明す る ため、 他の ド キ ュ メ ン ト を作成す る よ う 求め ら れ る こ と も あ り ま す ( 営業許可や企業の定款な ど )。 ステ ッ プ 3: CSR 応答を確認し て CA のルー ト 証明書に追加 ( 必要な場合 ) CSR を送信 し た ら 、 CA が身元を確認す る ま で待機 し ます。 こ のプ ロ セ ス が終わ る と 、 CA が証明書を返信 し ます。 返信は、 次の 2 つのいずれかの形式で送 ら れて き ま す。 • 電子 メ ールの メ ッ セージに添付 さ れた フ ァ イル。 こ の場合、 フ ァ イ ルを ロ ーカル フ ァ イ ル シ ス テ ム (AMC にア ク セ ス す る も の ) に保存 し て、 AMC に イ ン ポー ト す る こ と がで き ま す。 • 電子 メ ールの メ ッ セージ内に埋め込まれた テキス ト 。 こ の場合、 テ キ ス ト を コ ピー し て、 AMC のテ キ ス ト ボ ッ ク ス にペー ス ト し ます。 こ の と き 、 「BEGIN CERTIFICATE」 と 「END CERTIFICATE」 の 2 つの バナーを必ず入れ る よ う に し ます。 CA が、 CSR 応答で完全な証明書チ ェ ーン を提供 し ない ( 一般的な方法 ) 場合、 CSR 応答を イ ン ポー ト す る と き に、 AMC が証明書チ ェ ーン を補完 し よ う と し ます。 チ ェ ーン を補完で き ない場合、 AMC で 「The certificate chain is not complete」 と い う エ ラ ー メ ッ セージが表示 さ れ ま す。 こ の場合は、 CA のルー ト 証 明書 ま たは中間公開証明書を アプ ラ イ ア ン ス にア ッ プ ロ ー ド し なければな り ま せん。 自身で CA の役割 も 果た し てい る 場合は、 おそ ら く こ の手順を実行す る 必要があ り ま す。 X 証明書チ ェ ーン を補完する には 1. 信頼で き る ルー ト 証明書ま たは中間公開証明書を CA か ら 取得 し ます。 ほ と ん ど の外部 CA は、 Web サ イ ト で こ の よ う な証明書を提供 し てい ます。 企業が CA の役割を果た し てい る 場合は、 サーバー管理者に 確認 し て く だ さ い。 2. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し ます。 3. [SSL Settings] ページで [CA certificates] の [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作で、 [Configure CA Certificates] ページが表示 さ れ ます。 4. [Appliance root certificates] セ ク シ ョ ン で [Import] ボ タ ン を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Import Root Certificate] ページが表示 さ れ ます。 5. 証明書を ア ッ プ ロ ー ド し ます。 • 証明書がバ イ ナ リ 形式の場合は、 [Browse] ボ タ ン を ク リ ッ ク し て、 ロ ーカル フ ァ イ ル シ ス テ ム ( つま り AMC に ロ グ イ ン し た コ ン ピ ュ ー タ ) か ら 証明書の返信を ア ッ プ ロ ー ド し ます。 • 証明書が base-64 エ ン コ ー ド (PEM) テ キ ス ト 形式の場合は、 [Certificate text] ボ タ ン を ク リ ッ ク し て、 証明書を テ キ ス ト ボ ッ ク ス にペー ス ト し ま す。 こ の と き 、 「BEGIN CERTIFICATE」 と 「END CERTIFICATE」 の 2 つのバナーを必ず入れ る よ う に し ます。 6. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [CA Certificates] ページに戻 り ます。 7. 証明書が正 し く ア ッ プ ロ ー ド さ れた こ と を確認す る ため、 ページ上部にあ る [Manage CA Certificate] ボ タ ン を ク リ ッ ク し ます。 新 し い証明書が [Manage Root Certificates] ページの上部 に表示 さ れ ま す。 60 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 ステ ッ プ 4: CSR 応答を AMC にイ ンポー ト X 証明書の返信を イ ンポー ト する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し ます。 2. [SSL Settings] ページで [SSL certificates] の [Edit] リ ン ク を ク リ ッ ク し ま す。 [Configure SSL Certificates] ページが表示 さ れ ます。 3. [Certificate Signing Request] エ リ アで、 [Import CSR Response] を ク リ ッ ク し ま す。 [Import CSR Certificate] ページが表示 さ れ ます。 4. 証明書を ア ッ プ ロ ー ド し ます。 • 証明書がバ イ ナ リ 形式の場合は、 [Browse] ボ タ ン を ク リ ッ ク し て、 ロ ーカル フ ァ イ ル シ ス テ ム ( つま り AMC に ロ グ イ ン し た コ ン ピ ュ ー タ ) か ら 証明書の返信を ア ッ プ ロ ー ド し ます。 • 証明書が base-64 エ ン コ ー ド (PEM) テ キ ス ト 形式の場合は、 [Certificate text] ボ タ ン を ク リ ッ ク し て、 証明書を テ キ ス ト ボ ッ ク ス にペー ス ト し ま す。 こ の と き 、 「BEGIN CERTIFICATE」 と 「END CERTIFICATE」 の 2 つのバナーを必ず入れ る よ う に し ます。 5. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [SSL Certificates] ページに戻 り ます。 6. 明書が正 し く ア ッ プ ロ ー ド さ れた こ と を確認す る ため、 [View details] ボ タ ン を ク リ ッ ク し ま す。 証明 書が [Certificate Details] ページの上部に表示 さ れ ます。 ステ ッ プ 5: 変更の適用 新 し い証明書を使用 し は じ め る には、 構成の変更を適用す る 必要があ り ま す。 詳細については、 41 ページの 「構成変更の適用」 を参照 し て く だ さ い。 変更を適用 し た ら 、 アプ ラ イ ア ン ス が新 し い証明書を検査 し 、 すべての新 し い接続でそれを使用す る よ う にな り ま す。 アプ ラ イ ア ン ス が証明書を正 し く 処理で き なか っ た場合、 エ ラ ー メ ッ セージが表示 さ れ、 そのエ ラ ー についての情報が イ ベン ト ロ グに記載 さ れ ます。 こ の よ う な状況は通常、 証明書がない場合、 証明書の有効期 限が切れてい る 場合 ( ま たは ま だ有効にな っ ていない場合 )、 暗号化パ ス ワ ー ド フ ァ イ ルにキ ャ ッ シ ュ さ れて い る パ ス ワ ー ド が不正な場合な ど に発生 し ま す。 ステ ッ プ 6: ルー ト フ ァ イルを使用するよ う Aventail Connect を構成 ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ンは、 Aventail Connect プ ロ キ シ ク ラ イ ア ン ト を使用 し て ア ク セ ス し ま す。 ク ラ イ ア ン ト がアプ ラ イ ア ン ス か ら 証明書を受け取 る と 、 証明書チ ェ ーン のルー ト を検査 し 、 自身の 信頼で き る ルー ト の リ ス ト と 照会 し ま す。 ルー ト が一致す る と 、 ク ラ イ ア ン ト はアプ ラ イ ア ン ス の身元が正 し い こ と を認識す る ため、 ユーザーに証明書を確認す る よ う 求め ません。 ユーザーが証明書を確認す る よ う 求め ら れない よ う にす る には、 こ のルー ト フ ァ イ ルを使用す る よ う Aventail Connect を構成 し ま す。 Aventail Connect でルー ト フ ァ イ ルを構成す る 方法については、 『Aventail Connect Administrator's Guide』 の 「Configuring Server Validation Options」 を参照 し て く だ さ い。 メモ • ユーザーがデジ タ ル証明書を使用 し て認証す る よ う に し たい場合、 ク ラ イ ア ン ト だけでな く サーバー上で も 、 信頼で き る ルー ト フ ァ イ ルを構成す る 必要があ り ます。 65 ページの 「 ク ラ イ ア ン ト 証明書の構成」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 61 他のコ ンピ ュータからの既存の証明書のインポー ト 商用 CA か ら すでに証明書を受け取っ てい る 場合、 その証明書 と 秘密鍵を アプ ラ イ ア ン ス に転送す る こ と も で き ま す。 証明書を イ ン ポー ト し た ら 、 アプ ラ イ ア ン ス でエ ン ド ユーザーの ト ラ フ ィ ッ ク を保護す る ために、 サーバーがその証明書を使用す る よ う にな り ます。 こ のアプ ラ イ ア ン ス では、 証明書を PKCS#12 形式で保管 し ます。 異な る 形式で証明書が保管 さ れてい る 場 合、 イ ン ポー ト す る 前に、 OpenSSL ( 詳細については 17 ページの 「便利な管理ツール」 を参照 ) な ど の ツー ルを使用 し て PKCS#12 に変換す る 必要があ り ます。 変換を行っ た ら 、 PKCS#12 フ ァ イ ルに完全な証明書 チ ェ ーン が含 まれてい る か確認 し て く だ さ い。 X 既存の証明書を ア プ ラ イ ア ン スに転送する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し ます。 2. [SSL Settings] ページで [SSL certificates] の [Edit] リ ン ク を ク リ ッ ク し ま す。 [Configure SSL Certificates] ページが表示 さ れ ます。 3. [Appliance certificate] エ リ アで、 [Import] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Import Certificate] ページが表示 さ れ ます。 4. [Browse] ボ タ ン を ク リ ッ ク し て、 ロ ーカル フ ァ イ ル シ ス テ ム ( つ ま り AMC に ロ グ イ ン し た コ ン ピ ュ ー タ ) か ら 証明書を ア ッ プ ロ ー ド し ます。 5. [Password] ボ ッ ク ス に、 秘密鍵を暗号化す る と き に使用 し たパ ス ワ ー ド を入力 し ます。 6. [Save] を ク リ ッ ク し ます。 ただ し 、 構成の変更を適用す る ま では、 アプ ラ イ ア ン ス は以前の証明書を使用 し ま す。 証明書の管理 こ の節では、 証明書の管理に関連す る 、 さ ま ざ ま な作業について説明 し ま す。 ルー ト フ ァ イ ルを使用す る よ う Aventail ク ラ イ ア ン ト を構成す る 方法や、 バ ッ ク エ ン ド Web リ ソ ース か ら ルー ト フ ァ イ ルを確認す る 方法に ついて解説 し ます。 ま た、 証明書の詳細を確認す る 方法、 証明書のパ ス ワ ー ド を変更す る 方法、 既存の鍵を使 用 し て証明書を更新す る 方法な ど について も 説明 し ます。 概要 : CA 証明書 すべての CA では、 デジ タ ル証明書を要求す る エ ン テ ィ テ ィ がその CA を 「信頼」 で き る よ う にす る ため、 ルー ト 証明書が必要にな り ます。 ク ラ イ ア ン ト が、 CA のルー ト 証明書を信頼 し た場合、 その CA が発行 し た 他の証明書 も 自動的に信頼す る こ と にな り ます。 こ の よ う にルー ト 証明書は、 公開鍵の暗号化におけ る 基礎に な り ます。 ルー ト 証明書は、 CA 自身 ( 自己署名 ) ま たは公開鍵基盤 (PKI) の CA 階層で上位にあ た る 認証局 が署名 し ま す。 こ のアプ ラ イ ア ン ス には、 一流商用 CA の 100 以上の証明書が搭載 さ れてい ます。 商用 CA か ら 証明書を取得 し てい る 場合、 そのルー ト 証明書や中間公開証明書は、 アプ ラ イ ア ン ス にほぼ イ ン ス ト ール さ れてい る 状態に な っ てい ま す。 ただ し 、 自身で CA の役割を果た し てい る 場合は、 ルー ト 証明書ま たは中間公開証明書を アプ ラ イ ア ン ス に イ ン ポー ト し なければな り ま せん。 アプ ラ イ ア ン ス は、 次の よ う な証明書で構成 さ れてい ます。 • ア プ ラ イ ア ン スの SSL 証明書。 ほ と ん ど の設定の場合、 中心 と な る サーバー証明書を商用 CA か ら 取得 し ます。 その場合、 必要な CA 証明書は、 すでにアプ ラ イ ア ン ス に イ ン ス ト ール さ れてい ま す。 ただ し 、 自身で CA の役割を果た し てい る 場合は、 ルー ト 証明書ま たは中間公開証明書を アプ ラ イ ア ン ス に イ ン ポー ト し なければな り ま せん。 • セキ ュ ア な LDAP または AD サーバー接続。 LDAP ま たは Active Directory (AD) 接続を SSL で保護 す る と 、 LDAP サーバー ま たは AD サーバーを装お う と す る 試みを排除す る こ と で、 セ キ ュ リ テ ィ を強化 す る こ と がで き ます。 LDAP ま たは AD over SSL を構成す る には、 アプ ラ イ ア ン ス を構成 し て、 LDAP ま たは AD 証明書を与え た CA に対す る ルー ト 証明書や中間公開証明書を使用す る よ う 設定 し な ければな り ま せん。 • ク ラ イ ア ン ト 証明書の認証。 ユーザーが ク ラ イ ア ン ト 証明書を使用 し て認証す る 場合、 アプ ラ イ ア ン ス を 構成 し て、 ク ラ イ ア ン ト 証明書をエ ン ド ユーザーに発行 し た CA に対す る ルー ト 証明書や中間公開証明書 を使用す る よ う 設定 し なければな り ません。 こ れ ら の CA 証明書は、 アプ ラ イ ア ン ス に接続す る ユーザー か ら 送信 さ れた証明書の有効性を確認す る ために使用 さ れ ます。 62 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 • バ ッ ク エ ン ド HTTPS Web サーバーへの接続。 バ ッ ク エ ン ド Web リ ソ ー ス を SSL で保護 ( つ ま り HTTP の代わ り に HTTPS を使用 ) し てい る 場合、 アプ ラ イ ア ン ス を構成 し て、 サーバー証明書を発行 し た CA に対す る ルー ト 証明書や中間公開証明書を使用す る よ う 設定す る こ と がで き ます。 バ ッ ク エ ン ド Web リ ソ ー ス と の接続を正常に確立で き る 場合、 アプ ラ イ ア ン ス で、 必要な CA 証明書が すでに構成 さ れてい る こ と にな り ます。 接続を確立で き ない場合は、 CA 証明書を アプ ラ イ ア ン ス にア ッ プ ロ ー ド す る 必要があ り ま す。 [SSL Certificates] ページの [CA Certificates] タ ブにあ る [Manage CA Certificate] ボ タ ン を ク リ ッ ク す る こ と に よ り 、 CA 証明書の リ ス ト を参照す る こ と がで き ます。 こ の操作に よ り 、 [Manage Root Certificates] ポ ッ プ ア ッ プ ウ ィ ン ド ウ が表示 さ れ ますが、 こ の ウ ィ ン ド ウ は、 CA 証明書を削除す る 場合に も 使用す る こ と がで き ま す。 証明書の詳細の表示 タ イ ト ル、 発行者、 開始日 と 終了日、 シ リ アル番号、 MD5 チ ェ ッ ク サム な ど、 アプ ラ イ ア ン ス 証明書の詳細 デー タ を表示す る こ と がで き ます。 新 し く イ ン ポー ト し た証明書の詳細デー タ は、 構成の変更を適用す る ま で 表示 さ れ ま せん。 X 証明書の詳細を表示する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し ます。 2. [SSL Settings] ページで [SSL certificates] の [Edit] リ ン ク を ク リ ッ ク し ま す。 [Configure SSL Certificates] ページが表示 さ れ ます。 3. [Configure SSL Certificates] ページで、 証明書の完全修飾 ド メ イ ン名、 発行者、 有効期限を確認す る こ と がで き ます。 4. [View details] を ク リ ッ ク す る と 、 証明書の詳細デー タ が表示 さ れ ます。 メモ • 証明書に CA の共通名 (CN) が含ま れていない場合、 [Issued To] と [Issued By] フ ィ ール ド に、 タ イ ト ル / 発行者の フルネーム が表示 さ れ ます ( た と えば 「C=US,O=Example Corp,CN=vpn.example.com」 な ど )。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 63 SSL 証明書のエクスポー ト アプ ラ イ ア ン ス のエ ン ド ユーザー ト ラ フ ィ ッ ク を保護す る ために、 SSL 証明書をエ ク ス ポー ト す る こ と がで き ま す。 こ の証明書は、 PKCS#12 形式で保管 さ れ ます。 X ア プ ラ イ ア ン スか ら SSL 証明書を エ ク スポー ト する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し ます。 2. [SSL Settings] ページで [SSL certificates] の [Edit] リ ン ク を ク リ ッ ク し ま す。 [Configure SSL Certificates] ページが表示 さ れ ます。 3. [Appliance certificate] エ リ アで、 [Export] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Export Certificate] ページが表示 さ れ ます。 4. [Password] ボ ッ ク ス に、 秘密鍵を暗号化す る と き に使用す る パ ス ワ ー ド を入力 し ます。 5. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 証明書フ ァ イ ルが ロ ーカル フ ァ イ ル シ ス テ ム ( つ ま り AMC に ロ グ イ ン し た コ ン ピ ュ ー タ ) にア ッ プ ロ ー ド さ れ ます。 6. [OK] を ク リ ッ ク し ます。 こ の操作に よ り 、 [SSL Certificates] ページに戻 り ます。 アプラ イアンスへの CA 証明書の追加 アプ ラ イ ア ン ス で、 必要な CA 証明書が構成 さ れていない場合、 その コ ピーを取得 し て、 アプ ラ イ ア ン ス に ア ッ プ ロ ー ド す る 必要があ り ま す。 X ア プ ラ イ ア ン スに CA 証明書を追加する には 1. 信頼で き る ルー ト 証明書ま たは中間公開証明書を CA か ら 取得 し ます。 ほ と ん ど の外部 CA は、 Web サ イ ト で こ の よ う な証明書を提供 し てい ます。 企業が CA の役割を果た し てい る 場合は、 サーバー管理者に 確認 し て く だ さ い。 2. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し ます。 3. [SSL Settings] ページで [CA certificates] の [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作で、 [Manage CA Certificates] ページが表示 さ れ ま す。 4. 5. 該当す る [Import] ボ タ ン を ク リ ッ ク し ます。 • LDAP サーバーま たは AD サーバー と の接続を保護す る ための証明書の場合 ま たは ク ラ イ ア ン ト 証 明書を使用す る 場合は、 [Appliance root certificates] エ リ アの [Import] ボ タ ン を ク リ ッ ク し ます。 • バ ッ ク エ ン ド HTTPS Web リ ソ ース と の接続を保護す る ための証明書の場合は、 [Back-end server root certificates] エ リ アの下部にあ る [Import] ボ タ ン を ク リ ッ ク し ま す。 証明書を ア ッ プ ロ ー ド し ます。 • 証明書がバ イ ナ リ 形式の場合は、 [Browse] ボ タ ン を ク リ ッ ク し て、 ロ ーカル フ ァ イ ル シ ス テ ム ( つま り AMC に ロ グ イ ン し た コ ン ピ ュ ー タ ) か ら 証明書の返信を ア ッ プ ロ ー ド し ます。 • 証明書が base-64 エ ン コ ー ド (PEM) テ キ ス ト 形式の場合は、 [Certificate text] ボ タ ン を ク リ ッ ク し て、 証明書を テ キ ス ト ボ ッ ク ス にペー ス ト し ま す。 こ の と き 、 「BEGIN CERTIFICATE」 と 「END CERTIFICATE」 の 2 つのバナーを必ず入れ る よ う に し ます。 6. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [CA Certificates] ページに戻 り ます。 7. 証明書が正 し く ア ッ プ ロ ー ド さ れた こ と を確認す る ため、 [Manage CA Certificates] ボ タ ン を ク リ ッ ク し ます。 新 し い証明書が [Manage Root Certificates] ページの上部に表示 さ れ ます。 8. ク ラ イ ア ン ト 証明書の認証のためにルー ト フ ァ イ ルを ア ッ プ ロ ー ド し てい る 場合、 Web プ ロ キ シ サービ ス と ネ ッ ト ワ ー ク プ ロ キ シ サービ ス を停止 し て再起動 し なければな り ま せん。 こ の操作に よ り 、 ユーザーへのサービ ス が短時間中断す る ため、 こ の よ う な変更は保守期間に行 う と 良い で し ょ う 。 詳細については、 251 ページの 「Aventail ア ク セ ス サービ ス の停止 と 開始」 を参照 し て く だ さ い。 メモ • デフ ォ ル ト の場合、 Web プ ロ キ シ サービ ス は、 バ ッ ク エ ン ド HTTPS Web サーバーが提示す る ルー ト 証 明書を確認す る 構成にな っ てい ます。 こ のセ キ ュ リ テ ィ チ ェ ッ ク は重要で、 こ れに よ り 、 バ ッ ク エ ン ド サーバーの身元を信頼で き る よ う にな り ま す。 詳細については、 258 ページの 「Web プ ロ キ シ サービ ス の構成」 を参照 し て く だ さ い。 64 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 バッ クエン ド HTTPS リ ソースに対する新しいルー ト 証明書の追加 バ ッ ク エ ン ド Web リ ソ ー ス を SSL で保護 ( つま り HTTP の代わ り に HTTPS を使用 ) し てい る 場合、 Web プ ロ キ シ サービ ス を構成 し て、 バ ッ ク エ ン ド サーバーが提示 し たルー ト 証明書を確認す る よ う 設定す る 必要 があ り ます。 こ のセ キ ュ リ テ ィ チ ェ ッ ク は重要で、 こ れに よ り 、 バ ッ ク エ ン ド サーバーの身元を信頼で き る よ う にな り ま す。 詳細については、 258 ページの 「Web プ ロ キ シ サービ ス の構成」 を参照 し て く だ さ い。 バ ッ ク エ ン ド サーバーのルー ト 証明書が、 あ ら か じ めアプ ラ イ ア ン ス に イ ン ス ト ール さ れていない場合、 コ ピーを取得 し て AMC に イ ン ポー ト す る 必要があ り ます。 X 新 し いバ ッ ク エ ン ド HTTPS ルー ト 証明書を ア プ ラ イ ア ン スに追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し ます。 2. [SSL Settings] ページで [CA certificates] の [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作で、 [Configure CA Certificates] ページが表示 さ れ ます。 3. [Back-end server root certificates] エ リ アで、 該当す る [Import] ボ タ ン を ク リ ッ ク し ます。 4. 証明書を ア ッ プ ロ ー ド し ます。 • 証明書がバ イ ナ リ 形式の場合は、 [Browse] ボ タ ン を ク リ ッ ク し て、 ロ ーカル フ ァ イ ル シ ス テ ム ( つま り AMC に ロ グ イ ン し た コ ン ピ ュ ー タ ) か ら 証明書の返信を ア ッ プ ロ ー ド し ます。 • 証明書が base-64 エ ン コ ー ド (PEM) テ キ ス ト 形式の場合は、 [Certificate text] ボ タ ン を ク リ ッ ク し て、 証明書を テ キ ス ト ボ ッ ク ス にペー ス ト し ま す。 こ の と き 、 「BEGIN CERTIFICATE」 と 「END CERTIFICATE」 の 2 つのバナーを必ず入れ る よ う に し ます。 5. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [CA Certificates] ページに戻 り ます。 6. 証明書が正 し く ア ッ プ ロ ー ド さ れた こ と を確認す る ため、 [Manage CA Certificates] ボ タ ン を ク リ ッ ク し ま す。 新 し い証明書が [Manage Root Certificates] ページの上部に表示 さ れ ます。 メモ • Web プ ロ キ シ サービ ス は、 バ ッ ク エ ン ド 証明書を HTTPS で確認す る 構成にな っ てい ます。 AMC では、 ダ ウ ン ス ト リ ーム Web サーバーの構成を参照す る こ と がで き ます。 詳細については、 258 ページの 「Web プ ロ キ シ サービ ス の構成」 を参照 し て く だ さ い。 • [Manage Root Certificates] ページに リ ス ト さ れてい る CA を信頼 し た く ない場合、 その証明書の隣 にあ る チ ェ ッ ク ボ ッ ク ス を選択 し て、 [Delete] を ク リ ッ ク し ます。 LDAP または Active Directory over SSL に対する新しいルー ト 証明書の追加 LDAP ま たは Active Directory (AD) 接続を SSL で保護す る と 、 LDAP サーバー ま たは AD サーバーを装お う と す る 試みを排除す る こ と で、 セ キ ュ リ テ ィ を強化す る こ と がで き ます。 LDAP ま たは AD over SSL を構 成す る には、 LDAP ま たは AD 証明書を与え た CA に対す る ルー ト 証明書を、 SSL の信頼で き る ルー ト フ ァ イ ルに追加 し な ければな り ません。 ま た、 デジ タ ル証明書を使用 し てユーザーを認証 し てい る 場合、 ク ラ イ ア ン ト 証明書を エ ン ド ユーザーに発行 し た CA に対す る ルー ト 証明書を追加 し な ければな り ません。 X LDAP サーバーま たは AD サーバーに対する CA ルー ト 証明書を ア プ ラ イ ア ン スに追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し ます。 2. [SSL Settings] ページで [CA certificates] の [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作で、 [Configure CA Certificates] ページが表示 さ れ ます。 3. [Appliance root certificates] エ リ アで、 該当す る [Import] ボ タ ン を ク リ ッ ク し ま す。 4. 証明書を ア ッ プ ロ ー ド し ます。 • 証明書がバ イ ナ リ 形式の場合は、 [Browse] ボ タ ン を ク リ ッ ク し て、 ロ ーカル フ ァ イ ル シ ス テ ム ( つま り AMC に ロ グ イ ン し た コ ン ピ ュ ー タ ) か ら 証明書の返信を ア ッ プ ロ ー ド し ます。 • 証明書が base-64 エ ン コ ー ド (PEM) テ キ ス ト 形式の場合は、 [Certificate text] ボ タ ン を ク リ ッ ク し て、 証明書を テ キ ス ト ボ ッ ク ス にペー ス ト し ま す。 こ の と き 、 「BEGIN CERTIFICATE」 と 「END CERTIFICATE」 の 2 つのバナーを必ず入れ る よ う に し ます。 5. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [CA Certificates] ページに戻 り ます。 6. 証明書が正 し く ア ッ プ ロ ー ド さ れた こ と を確認す る ため、 [Manage CA Certificates] ボ タ ン を ク リ ッ ク し ま す。 新 し い証明書が [Manage Root Certificates] ページの上部に表示 さ れ ます。 こ の信頼で き る ルー ト フ ァ イ ルには、 LDAP ま たは AD 証明書を発行 し た CA だけでな く 、 エ ン ド ユー ザーに ク ラ イ ア ン ト 証明書を発行 し た CA ( ク ラ イ ア ン ト 証明書を使用 し てい る 場合 ) に対す る ルー ト 証 明書 も 記載 さ れていなければな り ません。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 65 ク ラ イアン ト 証明書の構成 ユーザーが ク ラ イ ア ン ト 証明書を使用 し て認証を受け る 場合、 アプ ラ イ ア ン ス で、 信頼で き る ルー ト フ ァ イ ル を構成 し なければな り ま せん ( ク ラ イ ア ン ト 証明書の確認のため )。 こ のルー ト フ ァ イ ルは、 アプ ラ イ ア ン ス に接続す る ユーザーか ら 送信 さ れた証明書の有効性を確認す る ために使用 さ れ ます。 こ の手順を実行す る と き 、 ユーザーへのサービ ス が短時間中断す る ため、 保守期間に行 う よ う にす る と 良いで し ょ う 。 X ルー ト フ ァ イルを使用する よ う ア プ ラ イ ア ン ス を構成する には 1. ルー ト フ ァ イ ルの名前を ldapca.cert に変更 し ます。 2. ldapca.cert フ ァ イ ルを /usr/local/aventail/etc デ ィ レ ク ト リ に コ ピー し ま す。 3. Web プ ロ キ シ サービ ス と ネ ッ ト ワ ー ク プ ロ キ シ サービ ス を停止 し て再起動 し ます。 こ の操作に よ り 、 ユーザーへのサービ ス が短時間中断 し ますが、 サービ ス が新 し いルー ト フ ァ イ ルを認識す る ためには、 こ の手順は必須です。 詳細については、 251 ページの 「Aventail ア ク セ ス サービ ス の停止 と 開始」 を参 照 し て く だ さ い。 メモ • 正常に動作す る には、 ルー ト フ ァ イ ルが PEM 形式 (base64 エ ン コ ー ド ) にな っ ていな ければな り ま せ ん。 フ ァ イ ルの変換方法の詳細については 65 ページの 「証明書の FAQ」 を参照 し て く だ さ い。 証明書の FAQ こ の節では、 証明書の使用に関連 し て よ く 尋ね ら れ る 質問にお答え し ま す。 • 証明書を非商用 CA か ら 取得する にはど う し た ら よ いですか ? プ ロ セ ス は、 商用 CA か ら 証明書を取得す る 場合 と ほぼ同 じ ですが、 非商用 CA (Microsoft Self-Signed Certificate Authority な ど ) の場合 CSR を送信す る 必要があ り ま す。 こ の手順については、 59 ページ の 「ス テ ッ プ 2: 商用 CA へ CSR を送信」 で解説 し てい ます。 • 証明書の有効期限はいつ切れますか ? 自己署名証明書は 5 年間有効です。 サー ド パーテ ィ の証明書の場合、 その証明書の発行者に よ っ て、 有 効期限が異な る こ と も あ り ま す。 詳細については、 その CA にお問い合わせ く だ さ い。 • 他のツールで生成 し た秘密鍵ま たは CSR を ア プ ラ イ ア ン スに イ ン ポー ト で き ますか ? 秘密鍵お よ び CSR は、 Setup Tool ま たは認証生成ツールを使用 し て、 アプ ラ イ ア ン ス で生成 し なけれ ばな り ません。 ただ し 、 秘密鍵お よ び CSR を、 セ キ ュ ア コ ピー (scp) を使用 し て、 Aventail アプ ラ イ ア ン ス 間で コ ピーす る こ と はで き ます。 コ ピー し た証明書は、 AMC 内で変更す る こ と に よ っ て上書 き さ れ ま す。 • AMC 証明書はど こ に保管 さ れますか ? AMC の自己署名証明書は、 /usr/local/app/mgmt-server/sysconf/active/keystore.jetty に保管 さ れ ます。 AMC の場合、 ほ と ん ど の環境については、 自己署名証明書で十分です。 ただ し 、 AMC は、 信頼 さ れ る ネ ッ ト ワ ー ク 内で使用 し なければな り ま せん。 自己署名証明書は、 受動的な盗み見に対す る 防止策に はな り ますが、 能動的な攻撃に対す る 防衛策にな り ません。 • ア プ ラ イ ア ン スの CA ルー ト フ ァ イルにはどのよ う な も のがあ り 、 それぞれどのよ う に使用 さ れますか ? (/usr/local/aventail/etc に保管 さ れてい る ) ldapca.cert フ ァ イ ルには、 次の ソ ース か ら 次のルー ト 証 明書を入れな ければな り ません。 • ユーザーが ク ラ イ ア ン ト 証明書を使用 し て認証を受け る 場合、 証明書を発行 し た CA か ら 取得 し た 信頼で き る ルー ト を入れ ます。 • セ キ ュ ア な LDAP (LDAPS) を使用 し て、 ユーザー名 と パ ス ワ ー ド の認証を行 う 場合、 LDAP サー バーの証明書を発行 し た CA か ら 取得 し た、 信頼で き る ルー ト を入れ ます。 • セ キ ュ ア な LDAP (LDAPS) を使用 し て、 ク ラ イ ア ン ト 証明書の認証を行 う 場合、 LDAPS サーバー の証明書を発行 し た CA か ら 取得 し た、 信頼で き る ルー ト を入れ ま す。 (LDAPS お よ び ク ラ イ ア ン ト 証明書が同 じ CA か ら 発行 さ れてい る 場合、 署名鍵が 1 つだけ必要にな る ) (/usr/local/extranet/etc に保管 さ れてい る ) backendca.cert フ ァ イ ルには、 Web プ ロ キ シ サービ ス が管理す る セ キ ュ ア な Web サーバー (HTTPS) で使用 さ れてい る 、 SSL 証明書を発行 し た CA か ら 取得 し たルー ト 証明書を入れ る 必要があ り ま す。 こ れは、 Web プ ロ キ シ サービ ス が、 セ キ ュ アでない (HTTP) リ ソ ー ス を管理 し てい る 場合は、 必要あ り ません。 詳細については、 64 ページの 「バ ッ ク エ ン ド HTTPS リ ソ ース に対す る 新 し いルー ト 証明書の追加」 を参照 し て く だ さ い。 66 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 • ア プ ラ イ ア ン スのルー ト 証明書に リ ス ト さ れてい る CA に、 信頼 し た く ない も のがあ り ます。 信頼 さ れて い る証明書を どのよ う に修正 し た ら 良いですか ? 特定の CA を信頼 し た く ない場合、 アプ ラ イ ア ン ス と SSH 接続を確立 し 、 テ キ ス ト エデ ィ タ で証明書 フ ァ イ ル (backendca.cert ま たは ldapca.cert) を開いて、 CA の証明書を リ ス ト か ら 取 り 除 き ま す。 • 信頼で き るルー ト 証明書は、 信頼で き るルー ト フ ァ イ ルに どれだけ入れる こ と がで き ますか ? 信頼で き る ルー ト フ ァ イ ルに証明書を入れ る 場合、 >> コ マ ン ド を使用 し て フ ァ イ ルを追加す る と 良いで し ょ う ( た と えば 「cat myfile >> ldapca.cert」 の よ う に入力す る )。 証明書は、 base64 エ ン コ ー ド (PEM) 形式でエ ン コ ー ド し ます。 開始バナー ( 「---BEGIN CERT...」 ) と 終了バナー ( 「----END CERT...」 ) を必ず入れ る よ う に し ま す。 ユーザー認証の管理 認証は、 当人であ る こ と を識別す る ため、 ユーザーの身元を確認す る プ ロ セ ス です ( 認証は許可 と は異な る 。 認証は身元を確認す る が、 許可はア ク セ ス 権を指定す る だけであ る )。 こ の節では、 外部認証サーバーを参照 す る 方法について説明 し ます。 ユーザー認証を管理す る には、 AMC で 1 台以上の外部認証サーバーを定義 し て、 ユーザーに よ る アプ ラ イ ア ン ス への ロ グ イ ン のためにセ ッ ト ア ッ プす る レ ルム か ら 参照 さ れ る よ う に し なければな り ま せん。 レ ルム の証 左については、 116 ページの 「レ ルムお よ び コ ミ ュ ニ テ ィ の使用」 を参照 し て く だ さ い。 ま た、 テ ス ト の目的 で、 アプ ラ イ ア ン ス 上に ロ ーカル認証 リ ポ ジ ト リ を構成す る こ と も で き ま す。 詳細については、 86 ページの 「 ロ ーカル ユーザー認証の構成」 を参照 し て く だ さ い。 AMC で認証サーバーを構成す る 場合、 最初に [Authentication Servers] ページ を使用 し ます。 認証サーバーの構成 AMC を使用 し て認証を セ ッ ト ア ッ プす る と き 、 デ ィ レ ク ト リ (LDAP、 Microsoft Active Directory、 RADIUS、 ロ ーカル ユーザー ) と 認証方式 ( ユーザー名 / パス ワ ー ド 、 ト ー ク ン ま たは ス マー ト カー ド 、 デジ タ ル証明書な ど ) を構成 し ま す。 ま た その他に も 、 認証プ ロ セ ス ご と に固有の構成 ( た と えば LDAP 検索ベー ス ま たは固有のデ ィ レ ク ト リ サーバー ) を行い ま す。 Aventail アプ ラ イ ア ン ス では、 次のデ ィ レ ク ト リ と 認 証方式がサポー ト さ れてい ます。 • LDAP でユーザー名 / パ ス ワ ー ド ま たはデジ タ ル証明書を使用 • Microsoft Active Directory でユーザー名 / パ ス ワ ー ド を使用 • RADIUS でユーザー名 / パ ス ワ ー ド を使用、 ま たは ト ー ク ンベー ス の認証 (SecurID や SoftID な ど ) • Netegrity SiteMinder で ク レデン シ ャ ルを使用 • RSA ClearTrust で ク レデン シ ャ ルを使用 • ロ ーカル ユーザー ( 主にテ ス ト のために使用す る も ので、 実稼働環境には推奨 さ れない ) あ る レルム の認証サーバーを参照 し 、 ユーザーを レ ルム に対応 さ せた ら 、 アプ ラ イ ア ン ス はユーザーの ク レデ ン シ ャ ルを、 指定 さ れた認証 リ ポジ ト リ に保管 さ れてい る ク レ デン シ ャ ル と 比較 し てチ ェ ッ ク し ま す。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 67 X 認証サーバー を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Servers] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Authentication Servers] ページが表示 さ れ ます。 2. [Authentication servers] エ リ アで [New] ボ タ ン を ク リ ッ ク し ます。 こ の操作に よ り 、 [New Authentication Server] ページが表示 さ れ ます。 3. [Directory type/protocol] で、 構成す る 認証サーバーのデ ィ レ ク ト リ タ イ プ / プ ロ ト コ ルを選択 し ます。 4. 5. • LDAP - 74 ページの 「LDAP お よ び LDAPS 認証の構成」 を参照 し て く だ さ い。 • Local users - 86 ページの 「 ロ ーカル ユーザー認証の構成」 を参照 し て く だ さ い。 • Microsoft Active Directory - 69 ページの 「Microsoft Active Directory サーバーの構成」 を 参照 し て く だ さ い。 • Netegrity Siteminder - 83 ページの 「Netegrity SiteMinder ま たは RSA ClearTrust 認証の 構成」 を参照 し て く だ さ い。 • RADIUS - 80 ページの 「RADIUS 認証の構成」 を参照 し て く だ さ い。 • RSA ClearTrust - 83 ページの 「Netegrity SiteMinder ま たは RSA ClearTrust 認証の構成」 を 参照 し て く だ さ い。 [Credential type] で、 認証サーバーの ク レデン シ ャ ル タ イ プ を選択 し ます。 • Digital certificate - LDAP で使用 し ます。 • Token/SecurID - RADIUS で使用 し ます。 • Username/Password - LDAP、 ロ ーカル ユーザー、 Active Directory、 RADIUS で使用 し ま す。 こ こ で [Continue] を ク リ ッ ク し ます。 手順 3 で選択 し た個別のデ ィ レ ク ト リ タ イ プ / プ ロ ト コ ルに 対す る ページ を参照 し て、 構成プ ロ セ ス を続け ます。 メモ • Aventail アプ ラ イ ア ン ス は、Netegrity SiteMinder ま たは RSA ClearTrust 認証サーバーのいずれか 1 台 し かサポー ト で き ません。 両方の タ イ プの認証サーバーを同時に使用す る こ と はで き ま せん。 68 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 複数の認証サーバーの定義 こ のアプ ラ イ ア ン ス では、 複数の認証サーバーを定義 し て使用で き る よ う にな っ てい ま す。 次に、 レ ルム で複 数の認証サーバーが参照 さ れ る 場合の構成例を示 し ます。 • デ ィ レ ク ト リ / 認証方式を複数組み合わせた構成。 ユーザー名 / パス ワ ー ド を使用 し た LDAP やデジ タ ル 証明書を使用 し た LDAP の構成な ど があ り ます。 た と えば、 企業従業員がユーザー名 と パ ス ワ ー ド を使用 し て ロ グ イ ン し 、 コ ール セ ン タ ー部門の従業員がデジ タ ル証明書で ロ グ イ ンす る 場合な ど が こ れに当た り ま す。 こ の よ う な場合、 employee レ ルム と callcenter こ の よ う な場合、 employee レルム と callcenter レ ルム を作成 し 、 それぞれが適切な認証方式 と LDAP 検索ベース を参照す る よ う に し ま す。 • 同 じ デ ィ レ ク ト リ / 認証方式の複数の イ ン ス タ ン スが、 異な るバ ッ ク エ ン ド サーバーを使用する よ う な 構成。 2 つの RADIUS/ パ ス ワ ー ド イ ン ス タ ン ス が、 異な る RADIUS サーバーを使用す る 構成な ど があ り ます。 こ の場合、 それぞれ適切なサーバー情報を持つ 2 つの認証サーバーを定義 し ま す。 • 同 じ デ ィ レ ク ト リ / 認証方式の複数の イ ン ス タ ン スが、 同 じ サーバーにあ り なが ら 異な る方法で構成 さ れ てい る構成。 ユーザー名 / パ ス ワ ー ド を使用 し た LDAP が同 じ サーバーにあ り 、 異な る 検索ベース を使用 す る 構成な ど があ り ま す ( レ ルム ご と に、 デ ィ レ ク ト リ 内の異な る サブ ツ リ ーを検索 )。 た と えば、 PartnerA レ ルム が特定の LDAP サブ ツ リ ーにあ り 、 PartnerB レ ルム が別のサブ ツ リ ーにあ る と 仮定 し ます。 partnerA レ ルム と partnerB レ ルム を定義す る と き は、 それぞれについて適切な検索ベース を構 成 し ま す。 AMC には 「グループ ア フ ィ ニ テ ィ チ ェ ッ ク 」 の機能 も あ り ます。 こ の機能は、 異な る 複数のサーバーで認証 と 許可を処理す る よ う なネ ッ ト ワ ー ク 環境に対応す る も のです。 詳細については、 69 ページの 「レ ルム での グループ ア フ ィ ニ テ ィ チ ェ ッ ク の有効化」 を参照 し て く だ さ い。 レルムでの認証サーバーの参照 レ ルム の構成を保存す る 前に、 AMC で レ ルム を認証サーバーに対応 さ せなければな り ま せん。 こ れについて は、 119 ページの 「レ ルム の作成 と 構成」 で解説 し てい ます。 その後、 認証プ ロ セ ス が変更 さ れた ら 、 異な る 認証サーバーを参照す る よ う レ ルム を再構成す る こ と がで き ます。 X レルムで認証サーバーを参照する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ま す。 2. [Realms] リ ス ト で、 異な る 認証サーバーを参照す る よ う 構成す る レ ルム の名前を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Realm] ページが表示 さ れ ます。 3. [Authentication server] リ ス ト か ら 、 こ の レ ルム でユーザーの身元を確認す る ために使用す る 認証 サーバーの名前を選択 し ます。 ま た、 新 し い認証サーバーを作成 し て レ ルム で参照す る 場合は、 [New] を ク リ ッ ク し ます。 4. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Authentication] ページに戻 り ます。 メモ • RADIUS ア カ ウ ン テ ィ ン グの使用方法については、 129 ページの 「レ ルム での RADIUS ア カ ウ ン テ ィ ン グの構成」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 69 レルムでのグループ アフ ィ ニテ ィ チ ェ ッ クの有効化 アプ ラ イ ア ン ス は、 「グループ ア フ ィ ニ テ ィ チ ェ ッ ク 」 をサポー ト し てい ます。 こ の機能は、 異な る 複数のシ ス テ ム で認証 と 許可を処理す る よ う なネ ッ ト ワ ー ク 環境に対応す る も のです。 グループ ア フ ィ ニ テ ィ チ ェ ッ ク は、 ユーザーが、 あ る リ ポジ ト リ で認証 さ れ、 ユーザーのグループ情報が 2 番目の リ ポジ ト リ か ら 渡 さ れ る よ う な認証シナ リ オ をサポー ト し てい ま す。 こ の よ う な状況は、 認証で RADIUS/SecurID ト ー ク ン が使用 さ れ、ユーザーのグループ情報が LDAP サーバー ま たは Active Directory サーバーか ら 送 ら れ る よ う な場合に当ては ま り ま す。 X グループ ア フ ィ ニ テ ィ チ ェ ッ ク を有効にする には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ま す。 2. [Realms] ページで、 修正す る レ ルム の名前を ク リ ッ ク し ます。 こ の操作に よ り 、 その レ ルム に対す る [Configure Realm] ページが開 き ます。 3. [Advanced] を ク リ ッ ク し て、 [Enable group affinity checking] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 4. [Server] リ ス ト か ら 、 グループ情報を保管す る LDAP サーバーま たは Active Directory サーバーの名 前を選択 し ま す。 [New] を ク リ ッ ク す る こ と に よ り 、 [New Authentication Server] ページ を使用 し て、 新 し いグループ ア フ ィ ニ テ ィ サーバーを定義す る こ と も で き ます。 5. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Authentication] ページに戻 り ます。 レ ルム の作成プ ロ セ ス の際に、 グループ ア フ ィ ニ テ ィ チ ェ ッ ク を有効に し てい る 場合は、 表示 さ れ る ボ タ ン が異な り ます。 [Configure Realms] ページの [Communities] セ ク シ ョ ンに進むには [Next]、 [Authentication] ページに戻 る には [Finish] を ク リ ッ ク し ます。 Microsoft Active Directory サーバーの構成 こ のアプ ラ イ ア ン ス では、 Microsoft Active Directory (AD) でユーザー名 / パ ス ワ ー ド ク レデン シ ャ ルを検 証で き る よ う にな っ てい ま す。 Active Directory でデジ タ ル証明書を使用 し てい る 場合、 LDAP サーバー と し て構成す る 必要があ り ま す。 73 ページの 「Active Directory 認証を行 う ための LDAP の構成」 を参照 し て く だ さ い。 次の図は、 一般的な Active Directory 構成の例を示 し てい ます。 䮭䯃䭽䯃䎃䭶䮳䮎䮺䭾䮪䮲 Aventail 䭩䮞䮰䭫䭩䮺䮀 SSL (䮤䯃䮏 443) y 䮭䯃䭽䯃ฬ䬷 䮘䮀䮶䯃䮐 䭫䮺䮆䯃䮔䮊䮏 y y LDAP (䮤䯃䮏 389) LDAPS (䮤䯃䮏 636) 䮜䭨䭫䭩䭭䭰䯃䮲 Microsoft Active Directory Active Directory サーバーを構成 し た ら 、 テ ス ト 接続を確立 し て、 レルム構成設定を検証す る こ と がで き ま す。 詳細については、 86 ページの 「認証構成のテ ス ト 」 を参照 し て く だ さ い。 70 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 メモ • アプ ラ イ ア ン ス が Active Directory サーバー と 通信で き る よ う にす る ため、 フ ァ イ ア ウ ォ ール ま たは ルー タ を修正す る 必要があ り ます。 アプ ラ イ ア ン ス は、 標準 LDAP ポー ト お よ び LDAPS ポー ト を使用 し て Active Directory と 通信 し ま す。 標準 LDAP ポー ト は 389/tcp で、 LDAPS はポー ト 636/tcp を使 用 し て通信 し ます。 ユーザー名とパスワー ド を使用する Active Directory の構成 ユーザー名 / パス ワ ー ド 検証を使用す る Active Directory 認証サーバーを構成す る 場合、 次の手順を実行 し ま す。 Active Directory でデジ タ ル証明書を使用 し てい る 場合、 LDAP レルム と し て構成す る 必要があ り ま す。 73 ページの 「Active Directory 認証を行 う ための LDAP の構成」 を参照 し て く だ さ い。 X Active Directory を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Servers] を ク リ ッ ク し ます。 2. [Authentication Servers] ページで、 [Authentication servers] の [New] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [New Authentication Server] ページが表示 さ れ ます。 3. [Directory type/protocol] で [Microsoft Active Directory] を ク リ ッ ク し ます。 4. Active Directory で選択で き る [Credential type] は [Username/Password] のみで あ る ため、 選択す る 必要はあ り ません。 こ こ で [Continue] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Configure Authentication Server] ページが表示 さ れ ます。 5. [Name] ボ ッ ク ス に、 認証サーバーの名前を入力 し ます。 6. [General] エ リ アに情報を入力 し てい き ま す。 • [Active Directory domain controller] ボ ッ ク ス に、 Active Directory ド メ イ ン コ ン ト ロ ー ラ の IP ア ド レ ス ま たはホ ス ト 名を入力 し ま す。 • 特定の Active Directory ド メ イ ン を指定 し たい場合、 [Active Directory domain name] ボ ッ ク ス に入力 し ま す。 こ こ で指定す る のは、 検索ベー ス と し て使用す る ド メ イ ン でなければな り ま せん ( つま り 適切な cn=users コ ン テナが含 ま れ る ド メ イ ン )。 た と えば、 marketing な ど、 単一の ド メ イ ン を検索 し たい場合、 「marketing.example.com」 と 入力 し ます。 ま た、 企業の ド メ イ ン全体 を検索 し たい場合は、 「example.com」 と 入力 し ます。 ド メ イ ン を指定 し ない場合、 アプ ラ イ ア ン ス は、 ド メ イ ン コ ン ト ロ ー ラ で最初に見つか っ たデフ ォ ル ト ネー ミ ン グ コ ン テ キ ス ト を検索 し ま す。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 71 • Active Directory 検索を実行す る ためには、 アプ ラ イ ア ン ス が、 Active Directory に ロ グ イ ン し な ければな り ま せん ( ア ノ ニマ ス 検索を許可す る よ う Active Directory を構成 し てい る 場合を除 く )。 そのため [Login name] ボ ッ ク ス に、 Windows ド メ イ ン に ロ グ イ ンす る と き に使用す る ユーザー 名ま たは sAMAccountname 属性を入力 し ます ( た と えば 「jdoe」 や 「jdoe@example.com」 )。 ロ グ イ ン名は、 検索を実行 し ユーザー レ コ ー ド を参照す る 権限を持つユーザーの も のでなければな り ま せん。 た と えば、 その ド メ イ ン コ ン ト ロ ー ラ の管理者な ど が こ れに当た り ます。 こ れ ら の権限 を持っ ていれば、 管理者でないユーザーを指定す る こ と も で き ます。 Active Directory ド メ イ ン を指定 し た場合、 アプ ラ イ ア ン ス は、 その ド メ イ ン でユーザーを検索 し ます。 ド メ イ ン を指定 し ない場合、 アプ ラ イ ア ン ス は、 ド メ イ ン コ ン ト ロ ー ラ で最初に見つか っ た デフ ォ ル ト ネー ミ ン グ コ ン テ キ ス ト を検索 し ま す。 ユーザー情報が こ の よ う な ロ ケーシ ョ ン の どれ に も 保管 さ れていない場合、 こ の レ ルム を LDAP レ ルム と し て構成す る 必要があ り ます。 73 ページ の 「Active Directory 認証を行 う ための LDAP の構成」 を参照 し て く だ さ い。 • 7. ロ グ イ ン名に対応す る パ ス ワ ー ド を [Password] に入力 し ます。 Active Directory 接続を SSL で保護す る 場合、[Active Directory over SSL] エ リ アに情報を入力 し ます。 • Active Directory 接続を SSL で保護す る と き は、 [Use SSL to secure Active Directory connection] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 • 証明書の詳細を表示 し 、 アプ ラ イ ア ン ス がルー ト 証明書を使用で き る か確認す る と き は、 [View CA certificate] を ク リ ッ ク し ます。 こ の操作に よ り 、 ク ラ イ ア ン ト 証明書 と SSL 証明書を発行 し た CA の名前 (1 つ ま たは複数 ) が リ ス ト さ れ ま す。 Active Directory サーバーの CA が こ の フ ァ イ ルに リ ス ト さ れていない場合ま たは自己署名証明書を使用す る 場合は、 証明書を こ の フ ァ イ ルに追 加 し な ければな り ません。 詳細については、 64 ページの 「LDAP ま たは Active Directory over SSL に対す る 新 し いルー ト 証明書の追加」 を参照 し て く だ さ い。 • Active Directory ド メ イ ン コ ン ト ロ ー ラ のホ ス ト 名が、 Active Directory サーバーで提示 さ れた証 明書の名前 と 同 じ で あ る こ と を確認す る 場合は、 [Match certificate CN against Active Directory domain controller] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 通常、 サーバー名は、 デジ タ ル証明書で指定 さ れてい る 名前 と 一致 し ます。 使用 し てい る サーバーで も こ れが当ては ま る 場合、 実 稼働環境で こ のオプシ ョ ン を有効にす る と 良いで し ょ う 。 こ う し てお く と 、 デジ タ ル証明書ま たは DNS サーバーが危険に さ ら さ れた場合で も 、 許可 さ れていないサーバーが、 AD サーバーを マ ス カ レー ド す る こ と は困難にな り ます。 72 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 8. 9. [Advanced] エ リ アでは、 Active Directory パ ス ワ ー ド の有効期限切れの前にユーザーに通知す る オプ シ ョ ン の他、 NTLM 認証転送オプシ ョ ン も 構成す る こ と がで き ます。 • Active Directory サーバーがパ ス ワ ー ド の有効期限切れについてユーザーに通知す る よ う 設定す る 場合、 [Enable password notification] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ の通知機能が、 有 効期限の何日前 ( デフ ォ ル ト は 14 日前で、 上限は 30 日前 ) に動作す る か指定す る ため、 [days before password expire] ボ ッ ク ス に数値を入力 し ます。 こ れに よ り 、 パ ス ワ ー ド プ ロ ン プ ト の表示が、 AD サーバーに よ っ て コ ン ト ロ ール さ れ る よ う にな り ます。 • [Allow user to change password when notified] チ ェ ッ ク ボ ッ ク ス は、 デフ ォ ル ト で無効 にな っ てい ま す。 こ の設定は、 [Active Directory over SSL] セ ク シ ョ ン の [Use SSL to secure directory connection] チ ェ ッ ク ボ ッ ク ス を選択 し ない限 り 、 変更す る こ と がで き ま せ ん。 パ ス ワ ー ド 管理は、 Web ア ク セ ス を使用す る ユーザーに限っ て使用で き ます。 • NTLM 認証転送を有効にす る と き は、 [NTLM authentication forwarding] オプシ ョ ン のいず れか を ク リ ッ ク し ま す。 詳細については、 87 ページの 「NTLM 認証転送の構成」 を参照 し て く だ さ い。 [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Authentication Servers] ページに戻 り ま す。 メモ • [Login name] お よ び [Password] フ ィ ール ド は、 Active Directory サーバーに接続す る 上で必須 と い う わけではあ り ま せん。 ただ し 、 こ れ ら の値を指定 し なか っ た場合 ( ま たはパ ス ワ ー ド を指定 し なか っ た場合 )、 アプ ラ イ ア ン ス は匿名でバ イ ン ド す る よ う にな り ます。 その場合、 ア ノ ニマ ス 検索を許可す る よ う Active Directory を構成 し ていな ければ、 検索がエ ラ ーにな り ま す。 • パス ワ ー ド 通知期間の間、 ユーザーに対 し て、 AD サーバー上で、 パ ス ワ ー ド を変更す る 権限を与え てい なければな り ません。 ま た有効期限切れ後は、 管理者に、 ユーザー パ ス ワ ー ド を変更す る 権限が必要に な り ま す。 こ の両方の操作では、 セ キ ュ リ テ ィ 上の理由か ら 、 パ ス ワ ー ド が リ セ ッ ト さ れ る のではな く 置 換 さ れ る よ う にな っ てい ま す。 • 複数の Active Directory with SSL (ADS) サーバーを定義 し てい る 場合、 それぞれのサーバーで同 じ [Match certificate CN against Active Directory domain controller] 設定を指定 し ま す 。( 実 稼働環境では こ のオプシ ョ ン を有効にす る のが望ま し い )。 AMC では、 こ の設定を レ ルム単位で構成で き る よ う にな っ てい ますが、 アプ ラ イ ア ン ス は実際の と こ ろ、 最後に ロ ー ド さ れた ADS レ ルム で指定 さ れ てい る 設定を使用 し ます。 た と えば、 3 つの ADS レ ルム で こ のチ ェ ッ ク ボ ッ ク ス を選択 し ていて、 4 番 目の ADS レ ルム では選択解除 し てい る よ う な場合、 こ の機能はすべての レ ルム で無効にな り ま す。 ! 注意 Active Directory over SSL が有効でない場合、 パスワー ド が、 暗号化 さ れない状態で Active Directory サーバーに転送 さ れます。 内部ネ ッ ト ワー ク が信頼 さ れていない場合は、 SSL を有効にする 必要があ り ます。 Active Directory サーバーで も 、 SSL の使用を有効に し なければな り ません。 詳細に ついては、 Microsoft Active Directory のマ ニ ュ アルを参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 73 Active Directory 認証を行う ための LDAP の構成 Active Directory でデジ タ ル証明書を使用 し てい る 場合、 LDAP を使用 し て Active Directory で認証す る 必 要があ り ます。 LDAP サーバーを構成す る 手順については、 74 ページの 「LDAP お よ び LDAPS 認証の構成」 で定義 し てい ます。 LDAP を構成す る と き 、 デ ィ レ ク ト リ の照会時に使用す る 属性について、 特に注意を払わ なければな り ません。 Active Directory の イ ン プ リ メ ン テーシ ョ ンは ど の場合 も 異な っ てい る ため、 実際の Active Directory ス キーマでオブジ ェ ク ト ク ラ ス お よ び関連す る 属性が ど の よ う に構成 さ れてい る か知っ てい なければな り ません。 次の表は、 ユーザー名 / パ ス ワ ー ド ク レデン シ ャ ルを検証す る と き に使用 さ れ る 、 主要な Active Directory 属性を示 し てい ま す。 すべての属性で大文字 と 小文字が区別 さ れ ます。 フ ィ ール ド 説明 Login DN Active Directory サーバー と の接続を確立する と き に使用 さ れる DN。 example.com ド メ イ ン にあ る汎用の Active Directory 構成では、 ユーザー名 「John Doe」 の DN は次のよ う にな り ます。 cn=John Doe,cn=users,dc=example,dc=com Search base ユーザー情報の検索を始める AD デ ィ レ ク ト リ 内のポ イ ン ト 。 通常 これは、 ユーザー情報が含ま れる デ ィ レ ク ト リ ツ リ ーの最下層にな り ます。 AD にバイ ン ド し てい る ユーザーには、 このレベ ルで このデ ィ レ ク ト リ を表示す る権限がなければな り ません。 一般的な イ ン ス ト ールの場合、 検索ベースが 「cn=users,dc=example,dc=com 」 にな っ てい る と ほ と んどのユーザーが検索 さ れます。 一部のユーザーが異な る ブ ラ ン チに保管 さ れてい る場合、 高い レ ベルか ら 検索す る こ と も で き ます ( た と えば 「dc=example,dc=com」 )。 User name attribute ユーザー名 と の一致の際に使用 さ れる属性。 ほ と んどの AD イ ン プ リ メ ン テーシ ョ ン では、 sAMAccountName がユーザー ID ( た と えば 「jdoe」 ) と 一致 し ます。 cn を代わ り に使用 する こ と も で き ますが、 その場合は、 ユーザー ID ( 「jdoe」 ) ではな く 、 フ ルネーム ( 「John Doe」 ) で認証 し なければな ら な く な り ます。 ク ラ イ ア ン ト 証明書を Active Directory に イ ン ポー ト し てい る 場合は、 [Attribute mapping] と [Certificate attribute] に特に注意を払っ て く だ さ い。 次の表は、 Active Directory に保管 さ れてい る ク ラ イ ア ン ト 証明書を介 し て、 ユーザーを認証す る と き に使用す る 属性を示 し てい ます。 フ ィ ール ド 説明 Attribute mapping こ こ では、 証明書のユーザー ID フ ィ ール ド と 、 対応する Active Directory のユーザー ID フ ィ ール ド と のマ ッ ピ ン グ を作成 し ます。 マ ッ ピ ン グは 「a=b」 と い う 形式に し ます。 ただ し こ の場合の 「a」 は SSL 属性で 「b」 は LDAP エ イ リ ア スにな り ます Certificate attribute • ほ と んどの イ ン プ リ メ ン テーシ ョ ン では、 「cn=cn」 と な っ ている場合、 証明書の CN フ ィ ール ド が、 Active Directory の CN フ ィ ール ド と 一致する こ と を表 し ます。 • ユーザーの電子 メ ールア ド レ スが証明書の [Email] で定義 さ れてい る場合、 「Email=mail」 と す る こ と で、 (Active Directory の [User General] タ ブ で指定 さ れ てい る よ う に ) デ ィ レ ク ト リ の対応する フ ィ ール ド と 一致 し ます。 Active Directory は、 ユーザー証明書を userCertificate と い う 名前の属性に保管 し ます。 その ため、 「userCertificate」 と 入力 し ます。 メモ • グループ を参照す る ア ク セ ス 制御ルールを作成す る 場合、 ユーザーは、 ルール と の一致を求め る 要求を出 す際、 そのグループの明確な メ ンバーでなければな り ま せん。 ネ ス ト さ れた グループの メ ンバーであ っ て も 、 一致 し た も の と し て扱われ る こ と はあ り ま せん。 こ のため、 大規模な Active Directory 設定な ど で、 ネ ス ト さ れた グループがあ る 場合は、 なん ら かの影響を及ぼす可能性があ り ます。 た と えば、 「SeattleCampus」 グループに 「Marketing」 と い う 名前のグループが含ま れてい る と 仮定 し ます。 従業員の 「John Doe」 は、 「Marketing」 グループの メ ンバーですが、 「Seattle Campus」 グ ループの明確な メ ンバーではあ り ま せん。 ネ ス ト さ れた グループが メ ンバーシ ッ プ を継承す る こ と はない ため、 こ の メ ンバーがそのグループの明確な メ ンバーにな ら ない限 り 、 「SeattleCampus」 グループの メ ンバー と し て認識 さ れ る こ と はあ り ません。 • Microsoft では、 デ ィ レ ク ト リ の接続、 ブ ラ ウ ズ、 修正な ど と い っ た、 LDAP 操作を容易にす る ためのグ ラ フ ィ カルな ツールを提供 し てい ます。 LDP と い う 名前の こ の ツール (ldp.exe) は、 Windows 2000 Server Support Tools に収録 さ れてい ま す。 詳細については、 「Microsoft Product Support」 サ イ ト を 参照 し て く だ さ い。 74 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 Active Directory 認証のための LDAP の例 次に LDAP 構成の例を示 し ます。 例 1 - Active Directory Login DN CN=AVtest,CN=Users,DC=testusrs,DC=example,DC=com Search base DC=testusrs,DC=example,DC=com User name attribute sAMAccountName 例 2 - Active Directory Login DN CN=johnDoe,CN=Users,DC=na,DC=example,DC=com Search base CN=Users,DC=na,DC=example,DC=com User name attribute sAMAccountname 例 3 - デジ タ ル証明書を使用する Active Directory Attribute mapping Email=mail Certificate attribute UserCertificate 例 4 - Domino サーバーを使用する LDAP Login DN CN=Aventail,O=peoplesoft Search base o=peoplesoft User name attribute cn LDAP および LDAPS 認証の構成 Aventail アプ ラ イ ア ン ス では、 LDAP ま たは LDAPS (LDAP over SSL) プ ロ ト コ ルを使用 し た認証をサポー ト し てい ま す。 ど ち ら のプ ロ ト コ ル も 、 ユーザー名 / パス ワ ー ド ク レデン シ ャ ル ま たはデジ タ ル証明書の検証 に使用す る こ と がで き ま す。 次の図は、 一般的な LDAP 構成の例を示 し てい ます。 䮭䯃䭽䯃䎃䭶䮳䮎䮺䭾䮪䮲 Aventail 䭩䮞䮰䭫䭩䮺䮀 SSL (䮤䯃䮏 443) y 䮭䯃䭽䯃ฬ䬷 䮘䮀䮶䯃䮐 y 䮎䭿䮆䮲⸽ᦠ 䭫䮺䮆䯃䮔䮊䮏 y y LDAP (䮤䯃䮏 389) LDAPS (䮤䯃䮏 636) 䮜䭨䭫䭩䭭䭰䯃䮲 LDAP 䮎䭪䮳䭶䮏䮱 LDAP 接続を SSL で保護す る 場合、 他の構成 も 必要にな り ま す。 LDAP 証明書を、 SSL の信頼で き る ルー ト フ ァ イ ルに提供 し た CA のルー ト 証明書を追加 し な ければな り ません。 こ う す る こ と で、 LDAP サーバーを装 お う と す る 試みを排除 し 、 セ キ ュ リ テ ィ を強化す る こ と がで き ま す。 64 ページの 「LDAP ま たは Active Directory over SSL に対す る 新 し いルー ト 証明書の追加」 を参照 し て く だ さ い。 LDAP サーバーま たは LDAPS サーバーを構成 し た ら 、 テ ス ト 接続を確立 し て、 レ ルム構成設定を検証す る こ と がで き ます。 詳細については、 86 ページの 「認証構成のテ ス ト 」 を参照 し て く だ さ い。 メモ • アプ ラ イ ア ン ス が LDAP サーバー と 通信で き る よ う にす る ため、 フ ァ イ ア ウ ォ ール ま たはルー タ を修正す る 必要があ り ます。 標準 LDAP では、 ポー ト 389/tcp を使用 し 、 LDAPS はポー ト 636/tcp を使用 し て 通信 し ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 75 ユーザー名とパスワー ド を使用する LDAP の構成 ユーザー名 / パス ワ ー ド 検証を使用す る LDAP 認証サーバーを構成す る 場合、 次の手順を実行 し ます。 X ユーザー名 / パスワー ド 検証を使用する LDAP を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Servers] を ク リ ッ ク し ます。 2. [Authentication Servers] ページで、 [Authentication servers] の [New] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [New Authentication Server] ページが表示 さ れ ます。 3. [Directory type/protocol] で、 [LDAP] を ク リ ッ ク し ます。 4. [Credential type] で [Username/Password] を ク リ ッ ク し て、 [Continue] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Authentication Server] ページが表示 さ れ ます。 5. [Name] ボ ッ ク ス に、 認証サーバーの名前を入力 し ます。 6. [General] エ リ アに情報を入力 し てい き ま す。 7. • [LDAP server] ボ ッ ク ス に、 LDAP サーバーのホ ス ト 名 ま たは IP ア ド レ ス を入力 し ます。 LDAP サーバーが 389 (LDAP で一般的なポー ト ) 以外のポー ト で リ ッ ス ンす る 場合、 コ ロ ン の後に接尾辞 と し て続け る こ と でポー ト 番号を指定す る こ と がで き ま す ( た と えば 「myldap.example.com:1300」 )。 • [Login DN] ボ ッ ク ス に、 LDAP サーバー と の接続を確立す る と き に使用す る 識別名 (DN) を入力 し ます。 • [Password] ボ ッ ク ス に、 LDAP サーバー と の接続を確立す る と き に使用す る パ ス ワ ー ド を入力 し ます。 • [Search base] ボ ッ ク ス に、 ユーザー情報の検索を始め る LDAP デ ィ レ ク ト リ 内のポ イ ン ト を入 力 し ま す。 通常 こ れは、 ユーザー情報が含ま れ る デ ィ レ ク ト リ ツ リ ーの最下層にな り ます。 た と え ば 「ou=Users,o=xyz.com」 の よ う に入力 し ま す。 LDAP デ ィ レ ク ト リ にバ イ ン ド し てい る ユー ザーには、 こ の レベルで こ のデ ィ レ ク ト リ を表示す る 権限がなければな り ま せん。 • [User name attribute] ボ ッ ク ス に、 ユーザー名 と の一致の際に使用 さ れ る 属性を入力 し ま す。 通常 「cn」 ま たは 「uid」 にな り ま す。 [Group lookup] エ リ アに情報を入力 し ま す。 76 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 • LDAP 検索の と き に、 ユーザー コ ン テナのグループ属性を検索す る こ と に よ り 、 ユーザーのグルー プ メ ンバーシ ッ プ を判定す る よ う に し たい場合、 [Find groups in which a user is a member] チ ェ ッ ク ボ ッ ク ス を選択 し て、 [Group attribute] ボ ッ ク ス にグループ属性を入力 し ます。 こ の属性は、 通常 「memberOf」 にな り ま す。 属性ベー ス のグループが LDAP サーバーでサ ポー ト さ れてお ら ず有効でない場合は、 こ のオプシ ョ ン を選択 し ないで く だ さ い。 • 静的グループでグループ メ ンバーシ ッ プが検索 さ れ る よ う に し たい場合、 [Look in static groups for user members] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ の よ う な検索では、 LDAP ツ リ ー全体について検索 し な ければな ら な く な り ます。 そのため、 場合に よ っ ては、 検索対象が非常に 大 き く な り ます。 LDAP サーバーが、 属性ベース のグループ をサポー ト し ていない場合ま たは こ の機能が有効でない場 合は、 こ のオプシ ョ ン を選択す る 必要があ り ま す。 • 8. 9. 属性グループや静的グループの検索結果を キ ャ ッ シ ュ し て検索時間を短縮 し たい場合、 [Cache group checking] チ ェ ッ ク ボ ッ ク ス を選択 し て、 [Cache lifetime] ボ ッ ク ス に、 適切な キ ャ ッ シ ュ 持続時間 ( デフ ォ ル ト は 1800 秒 ) を秒単位で入力 し ます。 LDAP 接続を SSL で保護す る 場合、 [LDAP over SSL] に情報を入力 し ま す。 • LDAP 接続を SSL で保護す る と き は、 [Use SSL to secure LDAP connection] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 • 証明書の詳細を表示 し 、 アプ ラ イ ア ン ス がルー ト 証明書を使用で き る か確認す る と き は、 [View CA Certificate] を ク リ ッ ク し ます。 こ の と き 表示 さ れ る フ ァ イ ルには、 LDAP 証明書を発行 し た CA のルー ト 証明書が含ま れてい る 必要があ り ます。 こ れが含 まれていない場合は、 追加 し なければ な り ません。 詳細については、 64 ページの 「LDAP ま たは Active Directory over SSL に対す る 新 し いルー ト 証明書の追加」 を参照 し て く だ さ い。 • LDAP ホ ス ト の名前が、 LDAP サーバーで提示 さ れた証明書の名前 と 同 じ で あ る こ と を確認す る 場合 は、 [Match certificate CN against LDAP server name] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 通常、 サーバー名は、 デジ タ ル証明書で指定 さ れてい る 名前 と 一致 し ます。 使用 し てい る サーバーで も こ れが当ては ま る 場合、 実稼働環境で こ のオプシ ョ ン を有効にす る と 良いで し ょ う 。 こ う し てお く と 、 デジ タ ル証明書 ま たは DNS サーバーが危険に さ ら さ れた場合で も 、 許可 さ れていないサーバー が、 LDAP サーバーを マ ス カ レー ド す る こ と は困難にな り ます。 必要に応 じ て [Advanced] エ リ アに情報を入力 し ま す。 • LDAP 参照を有効にす る と き は、 [Enable LDAP referrals] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ の機能を有効にす る と 、 あ る LDAP サーバーが、 ク ラ イ ア ン ト の照会に回答で き ない場合、 その回 答を知っ てい る 別の LDAP サーバーを その ク ラ イ ア ン ト に照会で き る よ う にな り ま す。 こ の機能を 使用す る と き は、 場合に よ っ ては認証プ ロ セ ス の速度が低下す る ため、 十分注意 し て使用す る 必要が あ り ま す。 Microsoft Active Directory に照会 し て認証す る よ う LDAP を構成 し てい る 場合な ど は、 こ の機能を無効に し てお く と 良いで し ょ う 。 • [Server timeout] ボ ッ ク ス に、 LDAP サーバーか ら の返信を待つ時間を秒単位で入力 し ま す。 デ フ ォ ル ト 値は 「60」 です。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 77 • LDAP サーバーがパ ス ワ ー ド の有効期限切れについてユーザーに通知す る よ う 設定す る 場合、 [Enable password notification] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 LDAP サーバーのプ ロ ン プ ト が表示 さ れた と き にユーザーがパ ス ワ ー ド を変更で き る よ う にす る には、 [Allow user to change password when notified] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 こ のチ ェ ッ ク ボ ッ ク ス はデフ ォ ル ト で選択 さ れてい ま す。 こ れに よ り 、 パ ス ワ ー ド プ ロ ン プ ト の表示が、 LDAP サーバー に よ っ て コ ン ト ロ ール さ れ る よ う にな り ます。 • NTLM 認証転送を有効にす る と き は、 [NTLM authentication forwarding] オプシ ョ ン のいず れか を ク リ ッ ク し ま す。 詳細については、 87 ページの 「NTLM 認証転送の構成」 を参照 し て く だ さ い。 10. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Authentication Servers] ページに戻 り ま す。 メモ • パス ワ ー ド 管理は、 適切なデ ィ レ ク ト リ 拡張をサポー ト す る 、 IBM Directory Server な ど の LDAP サー バーでのみサポー ト さ れてい ま す。 ま た、 Web ア ク セ ス ま たは Aventail Connect を介 し て アプ ラ イ ア ン ス に接続す る ユーザーに限っ て、 使用す る こ と がで き ま す。 ユーザーに対 し ては、 LDAP サーバー上 で、 パ ス ワ ー ド を変更す る 権限を与え ていなければな り ません。 • [Login DN] お よ び [Password] フ ィ ール ド は、 LDAP サーバーに接続す る 上で必須 と い う わけではあ り ま せん。 ただ し 、 こ れ ら の値を指定 し なか っ た場合 ( ま たはパ ス ワ ー ド を指定 し なか っ た場合 )、 アプ ラ イ ア ン ス は匿名で LDAP にバ イ ン ド す る よ う にな り ま す。 その場合、 ユーザーやグループ情報を見つけ る 上で必要な検索の許可が適切に与え ら れな く な り ま す。 • 複数の LDAP サーバーを定義 し てい る 場合、 ldapca.cert フ ァ イ ルに、 すべてのサーバーで必要な CA ルー ト 証明書が含 まれていなければな り ません ま た、[Match certificate CN against LDAP server name] 設定 も 、 すべての レ ルム で同 じ にす る 必要があ り ます ( 実稼働環境では こ のオプシ ョ ン を有効に す る のが望 ま し い )。 AMC では、 こ の設定を レ ルム単位で構成で き る よ う にな っ てい ま すが、 アプ ラ イ ア ン ス は実際の と こ ろ、 最後に ロ ー ド さ れた LDAPS レ ルム で構成 さ れてい る 設定を使用 し ます。 た と え ば、 3 つの LDAPS サーバーで こ のチ ェ ッ ク ボ ッ ク ス を選択 し ていて、 4 番目の LDAPS レ ルム では選択 解除 し てい る よ う な場合、 こ の機能は 4 つのすべてのサーバーで無効にな り ます。 デジ タル証明書を使用する LDAP の構成 デジ タ ル証明書検証を使用す る LDAP 認証サーバーを構成す る 場合、 次の手順を実行 し ます。 X デジ タ ル証明書検証を使用する LDAP を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Servers] を ク リ ッ ク し ます。 2. [Authentication Servers] ページで、 [Authentication servers] の [New] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [New Authentication Server] ページが表示 さ れ ます。 3. [Directory type/protocol] で、 [LDAP] を ク リ ッ ク し ます。 4. [Credential type] で [Digital certificate] を ク リ ッ ク し て、 [Continue] を ク リ ッ ク し ま す。 こ の 操作に よ り 、 [Configure Authentication Server] ページが表示 さ れ ます。 5. [Name] ボ ッ ク ス に、 認証サーバーの名前を入力 し ます。 6. [General] エ リ アに情報を入力 し てい き ま す。 78 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 7. 8. • [LDAP server] ボ ッ ク ス に、 LDAP サーバーのホ ス ト 名 ま たは IP ア ド レ ス を入力 し ます。 LDAP サーバーが 389 (LDAP で一般的なポー ト ) 以外のポー ト で リ ッ ス ンす る 場合、 コ ロ ン の後に接尾辞 と し て続け る こ と でポー ト 番号を指定す る こ と がで き ま す ( た と えば 「myldap.example.com:1300」 )。 • [Login DN] ボ ッ ク ス に、 LDAP サーバー と の接続を確立す る と き に使用す る 識別名 (DN) を入力 し ます。 • [Password] ボ ッ ク ス に、 LDAP サーバー と の接続を確立す る と き に使用す る パ ス ワ ー ド を入力 し ます。 • [Search base] ボ ッ ク ス に、 ユーザー情報の検索を始め る LDAP デ ィ レ ク ト リ 内のポ イ ン ト を入 力 し ま す。 通常 こ れは、 ユーザー情報が含ま れ る デ ィ レ ク ト リ ツ リ ーの最下層にな り ます。 た と え ば 「ou=Users,o=xyz.com」 の よ う に入力 し ま す。 LDAP デ ィ レ ク ト リ にバ イ ン ド し てい る ユー ザーには、 こ の レベルで こ のデ ィ レ ク ト リ を表示す る 権限がなければな り ま せん。 [Matching LDAP Attributes] エ リ アに情報を入力 し ま す。 • [Attribute mapping] ボ ッ ク ス に、 証明書のユーザー ID フ ィ ール ド と 、 対応す る LDAP のユー ザー ID フ ィ ール ド と のマ ッ ピ ン グ を入力 し ます。 た と えば、 証明書の 「cn」 フ ィ ール ド が LDAP の 「cn」 フ ィ ール ド と 対応す る 場合、 「cn=cn」 と 入力 し ます。 ま た、 証明書の 「cn」 フ ィ ール ド が LDAP の 「uid」 フ ィ ール ド と 対応す る 場合は 「cn=uid」 と 入力 し ます。 こ こ で入力す る テ キ ス ト では、 大文字 と 小文字が区別 さ れ ます。 • [Certificate attribute] ボ ッ ク ス に、 ユーザー証明書を保管す る LDAP 属性の名前を入力 し ま す。 こ れは通常 「userCertificate」 にな り ます。 [Group lookup] エ リ アに情報を入力 し ま す。 • LDAP 検索の と き に、 ユーザー コ ン テナのグループ属性を検索す る こ と に よ り 、 ユーザーのグルー プ メ ンバーシ ッ プ を判定す る よ う に し たい場合、 [Find groups in which a user is a member] チ ェ ッ ク ボ ッ ク ス を選択 し て、 [Group attribute] ボ ッ ク ス にグループ属性を入力 し ます。 こ の属性は、 通常 「memberOf」 にな り ま す。 属性ベー ス のグループが LDAP サーバーでサ ポー ト さ れてお ら ず有効でない場合は、 こ のオプシ ョ ン を有効に し ないで く だ さ い。 • 静的グループでグループ メ ンバーシ ッ プが検索 さ れ る よ う に し たい場合、 [Look in static groups for user members] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ の種類の検索では、 LDAP ツ リ ー全体について検索 し な ければな ら な く な り ます。 そのため、 場合に よ っ ては、 検索対象が非常に 大 き く な り ます。 LDAP サーバーが、 属性ベース のグループ をサポー ト し ていない場合ま たは こ の機能が有効でない場 合は、 こ のオプシ ョ ン を選択す る 必要があ り ま す。 • 属性グループや静的グループの検索結果を キ ャ ッ シ ュ し て検索時間を短縮 し たい場合、 [Cache group checking] チ ェ ッ ク ボ ッ ク ス を選択 し て、 [Cache lifetime] ボ ッ ク ス に、 適切な キ ャ ッ シ ュ 持続時間 ( デフ ォ ル ト は 1800 秒 ) を入力 し ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 79 9. LDAP 接続を SSL で保護す る 場合、 [LDAP over SSL] に情報を入力 し ま す。 • LDAP 接続を SSL で保護す る と き は、 [Use SSL to secure LDAP connection] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 • 証明書の詳細を表示 し 、 アプ ラ イ ア ン ス がルー ト 証明書を使用で き る か確認す る と き は、 [View CA certificate] を ク リ ッ ク し ます。 こ の操作に よ り 、 ク ラ イ ア ン ト 証明書 と LDAP 証明書を発行 し た CA の名前 (1 つま たは複数 ) が リ ス ト さ れ ま す。 こ の名前が含 ま れていない場合は、 追加 し な ければな り ません。 詳細は、 64 ページの 「LDAP ま たは Active Directory over SSL に対す る 新 し いルー ト 証明書の追加」 を参照 し て く だ さ い。 • LDAP ホ ス ト の名前が、 LDAP サーバーで提示 さ れた証明書の名前 と 同 じ で あ る こ と を確認す る 場合 は、 [Match certificate CN against LDAP server name] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 通常、 サーバー名は、 デジ タ ル証明書で指定 さ れてい る 名前 と 一致 し ます。 使用 し てい る サーバーで も こ れが当ては ま る 場合、 実稼働環境で こ のオプシ ョ ン を有効にす る と 良いで し ょ う 。 こ う し てお く と 、 デジ タ ル証明書 ま たは DNS サーバーが危険に さ ら さ れた場合で も 、 許可 さ れていないサーバー が、 LDAP サーバーを マ ス カ レー ド す る こ と は困難にな り ます。 10. [Advanced] エ リ アに情報を入力 し ま す。 • LDAP 参照を有効にす る と き は、 [Enable LDAP referrals] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ の機能を有効にす る と 、 あ る LDAP サーバーが、 ク ラ イ ア ン ト の照会に回答で き ない場合、 その回 答を知っ てい る 別の LDAP サーバーを その ク ラ イ ア ン ト に照会で き る よ う にな り ま す。 こ の機能を 使用す る と き は、 場合に よ っ ては認証プ ロ セ ス の速度が低下す る ため、 十分注意 し て使用す る 必要が あ り ま す。 Microsoft Active Directory に照会 し て認証す る よ う LDAP を構成 し てい る 場合な ど は、 こ の機能を無効に し てお く と 良いで し ょ う 。 • [Server timeout] ボ ッ ク ス に、 LDAP サーバーか ら の返信を待つ時間を秒単位で入力 し ま す。 デ フ ォ ル ト 値は 「60」 です。 11. [Save] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Authentication Servers] ページに戻 り ま す。 メモ • [Login DN] お よ び [Password] フ ィ ール ド は、 LDAP サーバーに接続す る 上で必須 と い う わけではあ り ま せん。 ただ し 、 こ れ ら の値を指定 し なか っ た場合 ( ま たはパ ス ワ ー ド を指定 し なか っ た場合 )、 アプ ラ イ ア ン ス は匿名で LDAP にバ イ ン ド す る よ う にな り ま す。 その場合、 ユーザーを認証す る 上で必要な検 索の許可が適切に与え ら れな く な り ま す。 • その場合、 ユーザー認証のための許可が適切に与え ら れな く な り ます。 ユーザーが ク ラ イ ア ン ト 証明書を 使用 し て認証を受け る 場合、 ユーザーが接続す る それぞれのサーバーで、 信頼で き る ルー ト フ ァ イ ルを 構成 し なければな り ません ( ク ラ イ ア ン ト 証明書の確認のため )。 詳細については、 65 ページの 「 ク ラ イ ア ン ト 証明書の構成」 を参照 し て く だ さ い。 • 複数の LDAP サーバーを定義 し てい る 場合、 ldapca.cert フ ァ イ ルに、 すべてのサーバーで必要な CA ルー ト 証明書が含 まれていなければな り ません ま た、[Match certificate CN against LDAP server name] 設定 も 、 すべての レ ルム で同 じ にす る 必要があ り ます ( 実稼働環境では こ のオプシ ョ ン を有効に す る のが望 ま し い )。 AMC では、 こ の設定を レ ルム単位で構成で き る よ う にな っ てい ま すが、 アプ ラ イ ア ン ス は実際の と こ ろ、 最後に ロ ー ド さ れた LDAPS レ ルム で構成 さ れてい る 設定を使用 し ます。 た と え ば、 3 つの LDAPS レ ルム で こ のチ ェ ッ ク ボ ッ ク ス を選択 し ていて、 4 番目の LDAPS レ ルム では選択解 除 し てい る よ う な場合、 こ の機能は 4 つのすべての レ ルム で無効にな り ます。 80 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 RADIUS 認証の構成 アプ ラ イ ア ン ス は、 ユーザー名 / パス ワ ー ド ま たは ト ー ク ンベー ス の ク レデン シ ャ ルを、 RADIUS デー タ ベー ス と 対照 さ せて検証す る こ と がで き ま す。 次の図は、 一般的な RADIUS 構成の例を示 し てい ます。 䮭䯃䭽䯃䎃䭶䮳䮎䮺䭾䮪䮲 y y 䮭䯃䭽䯃ฬ䬷 䮘䮀䮶䯃䮐 䮏䯃䭶䮺 Aventail 䭩䮞䮰䭫䭩䮺䮀 SSL (䮤䯃䮏 443) 䭫䮺䮆䯃䮔䮊䮏 RADIUS (䮤䯃䮏 1645) 䮜䭨䭫䭩䭭䭰䯃䮲 RADIUS 䭼䯃䮗䯃 メモ • アプ ラ イ ア ン ス が RADIUS サーバー と 通信で き る よ う にす る ため、 フ ァ イ ア ウ ォ ール ま たはルー タ を修 正す る 必要があ り ま す。 RADIUS 認証プ ロ ト コ ルでは通常、 ポー ト 1645/udp を使用 し ま す。 ま た、 RADIUS ク ラ イ ア ン ト ( 一般的にネ ッ ト ワ ー ク ア ク セ ス サーバー と 呼ばれ る ) と し て アプ ラ イ ア ン ス の IP ア ド レ ス を入れ る よ う 、 RADIUS サーバーを構成 し なければな り ま せん。 ユーザー名とパスワー ド を使用する RADIUS の構成 ユーザー名 / パス ワ ー ド 検証を使用す る RADIUS 認証方式を構成す る 場合、 次の手順を実行 し ます。 X ユーザー名 / パスワー ド 検証を使用する RADIUS を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Servers] を ク リ ッ ク し ます。 2. [Authentication Servers] ページで、 [Authentication servers] の [New] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [New Authentication Server] ページが表示 さ れ ます。 3. [Directory type/protocol] で [RADIUS] を ク リ ッ ク し ます。 4. [Credential type] で [Username/Password] を ク リ ッ ク し て、 [Continue] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Authentication Server] ページが表示 さ れ ます。 5. [Name] ボ ッ ク ス に、 認証サーバーの名前を入力 し ます。 6. [Primary RADIUS server] ボ ッ ク ス に、 プ ラ イ マ リ RADIUS サーバーのホ ス ト 名 ま たは IP ア ド レ ス を入力 し ま す。 RADIUS サーバーが 1645 (RADIUS で一般的なポー ト ) 以外のポー ト で リ ッ ス ンす る 場合、 コ ロ ン の後に接尾辞 と し て続け る こ と でポー ト 番号を指定す る こ と がで き ます ( た と えば 「myradius.example.com:1812」 と 指定す る と 、 Steel-Belted Radius が使用す る ポー ト が設定 さ れ る )。 7. [Secondary RADIUS server] ボ ッ ク ス に、 セ カ ン ダ リ RADIUS サーバーのホ ス ト 名ま たは IP ア ド レ ス を入力 し ます。 必要に応 じ て、 接尾辞 と し てポー ト 番号を追加す る こ と がで き ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 81 8. [Shared secret] ボ ッ ク ス に、 RADIUS サーバーの通信を保護す る ためのパ ス ワ ー ド を入力 し ま す。 こ れは、 RADIUS サーバーで指定 さ れた も の と 同 じ シー ク レ ッ ト パ ス ワ ー ド でなければな り ま せん。 9. [Match RADIUS groups by] リ ス ト か ら 、 ユーザーが所属す る グループの属性を選択 し ま す。 RADIUS か ら 返 さ れ る 値が、 アプ ラ イ ア ン ス ア ク セ ス ルールのグループ部分で使用 さ れ ま す。 ルールの グループ部分で使用 さ れ ます。 次の 3 種類の値があ り ます。 • [None]: グループ属性を無視 し ま す。 • [filterid attribute (11)]: FilterID 属性 と 一致 し ます。 • [class attribute (25)]: Class 属性 と 一致 し ます。 10. [Retry interval] ボ ッ ク ス に、 RADIUS サーバーか ら の返信を待つ時間を秒単位で入力 し ま す。 こ の時 間が経過す る と 、 接続を再試行 し ます。 11. [Advanced] エ リ アに情報を入力 し ま す。 • [RADIUS identifier] ボ ッ ク ス に、 RADIUS ク ラ イ ア ン ト を個別に識別す る ための情報を入力 し ます。 こ の情報は、 RADIUS 要求が構成 さ れ る と き 、 NAS-Identifier 属性に入れ ら れ ます。 こ の フ ィ ール ド は、 RADIUS サーバーがアプ ラ イ ア ン ス のホ ス ト 名を受け付け ら れない場合に限っ て必 要にな る も ので、 その場合にデフ ォ ル ト 識別子 と し て使用 さ れ ます。 • [Service type] ボ ッ ク ス に、 RADIUS Service-Type の整数を入力 し ま す。 こ の値は、 RADIUS サーバーに、 ど の タ イ プのサービ ス を要求す る か通知す る も のです。 ほ と ん ど の RADIUS サーバー では、 「1」 ( ロ グ イ ン ) ま たは 「8」 ( 認証のみ ) を入力 し ま す。 • RADIUS サーバーが、 UTF-8 文字エ ン コ ーデ ィ ン グ をサポー ト し ていない古いバージ ョ ン の RADIUS プ ロ ト コ ルを使用す る 場合、 [Local Encoding] エ リ アの [Selected] リ ス ト か ら エ ン コ ーデ ィ ン グ ス キーム を選択 し ます。 ま た [Other] ボ ッ ク ス に直接入力す る こ と も で き ま す。 詳 細については、 289 ページの 「RADIUS ポ リ シー サーバーの文字セ ッ ト 」 を参照 し て く だ さ い。 • NTLM 認証転送を有効にす る と き は、 [NTLM authentication forwarding] オプシ ョ ン のいず れか を ク リ ッ ク し ま す。 詳細については、 87 ページの 「NTLM 認証転送の構成」 を参照 し て く だ さ い。 12. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Authentication Servers] ページに戻 り ま す。 82 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 ト ーク ンを使用する RADIUS の構成 こ のアプ ラ イ ア ン ス では、 SecurID や SoftID な ど、 RADIUS サーバーのデー タ ベー ス と 照会 し て検証す る ト ー ク ンベー ス の ク レデン シ ャ ル も サポー ト し てい ます。 ト ー ク ンベース の ク レデン シ ャ ルを使用す る RADIUS 認証方式を構成す る 場合、 次の手順を実行 し ます。 X ト ー ク ン検証を使用する RADIUS を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Servers] を ク リ ッ ク し ます。 2. [Authentication Servers] ページで、 [Authentication servers] の [New] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [New Authentication Server] ページが表示 さ れ ます。 3. [Directory type/protocol] で [RADIUS] を ク リ ッ ク し ます。 4. [Credential type] で [Token/SecurID] を ク リ ッ ク し て、 [Continue] を ク リ ッ ク し ま す。 こ の操 作に よ り 、 [Configure RADIUS Authentication] ページが表示 さ れ ます。 5. [Name] ボ ッ ク ス に、 認証サーバーの名前を入力 し ます。 6. [Primary RADIUS server] ボ ッ ク ス に、 プ ラ イ マ リ RADIUS サーバーのホ ス ト 名 ま たは IP ア ド レ ス を入力 し ま す。 RADIUS サーバーが 1645 (RADIUS で一般的なポー ト ) 以外のポー ト で リ ッ ス ンす る 場合、 コ ロ ン の後に接尾辞 と し て続け る こ と でポー ト 番号を指定す る こ と がで き ます ( た と えば 「myradius.example.com:1812」 と 指定す る と 、 Steel-Belted Radius が使用す る ポー ト が設定 さ れ る )。 7. [Secondary RADIUS server] ボ ッ ク ス に、 セ カ ン ダ リ RADIUS サーバーのホ ス ト 名ま たは IP ア ド レ ス を入力 し ます。 必要に応 じ て、 接尾辞 と し てポー ト 番号を追加す る こ と がで き ます。 8. [Shared secret] ボ ッ ク ス に、 RADIUS サーバーの通信を保護す る ためのパ ス ワ ー ド を入力 し ま す。 こ れは、 RADIUS サーバーで指定 さ れた も の と 同 じ シー ク レ ッ ト パ ス ワ ー ド でなければな り ま せん。 9. [Match RADIUS groups by] リ ス ト か ら 、 ユーザーが所属す る グループの属性を選択 し ま す。 RADIUS か ら 返 さ れ る 値が、 アプ ラ イ ア ン ス ア ク セ ス ルールのグループ部分で使用 さ れ ま す。 ルールの グループ部分で使用 さ れ ます。 次の 3 種類の値があ り ます。 • [None]: グループ属性を無視 し ま す。 • [filterid attribute (11)]: FilterID 属性 と 一致 し ま す。 • [class attribute (25)]: Class 属性 と 一致 し ます。 10. [Retry interval] ボ ッ ク ス に、 RADIUS サーバーか ら の返信を待つ時間を秒単位で入力 し ま す。 こ の時 間が経過す る と 、 接続を再試行 し ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 83 11. [Advanced] エ リ アに情報を入力 し ま す。 • [RADIUS identifier] ボ ッ ク ス に、 RADIUS ク ラ イ ア ン ト を個別に識別す る ための情報を入力 し ます。 こ の情報は、 RADIUS 要求が構成 さ れ る と き 、 NAS-Identifier 属性に入れ ら れ ます。 こ の フ ィ ール ド は、 RADIUS サーバーがアプ ラ イ ア ン ス のホ ス ト 名を受け付け ら れない場合に限っ て必 要にな る も ので、 その場合にデフ ォ ル ト 識別子 と し て使用 さ れ ます。 • [Service type] ボ ッ ク ス に、 RADIUS Service-Type の整数を入力 し ま す。 こ の値は、 RADIUS サーバーに、 ど の タ イ プのサービ ス を要求す る か通知す る も のです。 ほ と ん ど の RADIUS サーバー では、 「1」 ( ロ グ イ ン ) ま たは 「8」 ( 認証のみ ) を入力 し ま す。 • RADIUS サーバーで構成 し てい る ユーザー パ ス ワ ー ド プ ロ ン プ ト が表示 さ れ る よ う にす る 場合、 [Use RADIUS server password prompt] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 RADIUS サー バーでプ ロ ン プ ト が構成 さ れていない場合、 アプ ラ イ ア ン ス は、 [Custom password prompt] ボ ッ ク ス の内容を プ ロ ン プ ト と し て表示 し ま す。 アプ ラ イ ア ン ス がユーザー パ ス ワ ー ド プ ロ ン プ ト を生成す る よ う に し たい場合、 [Use RADIUS server password prompt] チ ェ ッ ク ボ ッ ク ス を選択解除 し た状態に し て、 [Custom password prompt] ボ ッ ク ス にプ ロ ン プ ト を入力 し ま す。 た と えば、 SecurID プ ロ ンプ ト を作成 す る 場合、 「Please enter your PASSCODE:」 と 入力す る こ と がで き ます。 こ のボ ッ ク ス と RADIUS サーバーの双方でプ ロ ン プ ト が指定 さ れていない場合、 「Enter Password:」 と い う プ ロ ン プ ト が生成 さ れ ま す。 • RADIUS サーバーが、 UTF-8 文字エ ン コ ーデ ィ ン グ をサポー ト し ていない古いバージ ョ ン の RADIUS プ ロ ト コ ルを使用す る 場合、 [Local Encoding] エ リ アの [Selected] リ ス ト か ら エ ン コ ーデ ィ ン グ ス キーム を選択 し ます。 ま た [Other] ボ ッ ク ス に直接入力す る こ と も で き ま す。 詳 細については、 289 ページの 「RADIUS ポ リ シー サーバーの文字セ ッ ト 」 を参照 し て く だ さ い。 12. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Authentication Servers] ページに戻 り ま す。 Netegrity SiteMinder または RSA ClearTrust 認証の構成 Aventail アプ ラ イ ア ン ス では、 1 台の Netegrity SiteMinder ま たは RSA ClearTrust 認証サーバーか ら ク レ デン シ ャ ルを受け取 る 認証をサポー ト し てい ます。 ただ し こ のアプ ラ イ ア ン ス では、 両方の タ イ プの認証サー バーを同時に使用す る こ と はで き ま せん。 ま たユーザーは、 Web ブ ラ ウ ザを介 し て接続す る 場合に限っ て、 こ れ ら のサーバーに よ る 認証を受け る こ と がで き ま す。 次の図は、 Netegrity SiteMinder ま たは RSA ClearTrust 認証の一般的な構成を示 し てい ます。 䮭䯃䭽䯃䬽䮴䭷䭫䮺 Netegrity SiteMinder 䭍䬮䬾 䭶䮳䮎䮺䭾䮪䮲䬽ォㅍ RSA ClearTrust 䮤䮱䭾䯃䎃䭼䯃䮗䯃 Web 䭼䯃䮗䯃 䭩䮞䮱䭸䯃䭾䮮䮺 䭼䯃䮗䯃 䮜䭨䭫䮲 䭼䯃䮗䯃 Aventail 䭩䮞䮰䭫䭩䮺䮀 ડᬺ䮔䮊䮏䮶䯃䭶 84 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 Netegrity SiteMinder 構成 Netegrity SiteMinder を ユーザーの認証のために構成す る 場合、 SiteMinder サーバーがユーザー ク レデン シ ャ ル と エージ ェ ン ト 名を アプ ラ イ ア ン ス に送信 し ます。 その上で、 ク レデン シ ャ ルがアプ ラ イ ア ン ス でホ ス ト さ れ る よ う にな り ます。 AMC で認証サーバーを設定す る 前に、 Netegrity ポ リ シー サーバーを構成 し なければな り ません。 ポ リ シー サーバーは、 次の手順で構成 し ま す。 1. エージ ェ ン ト を作成 し ま す。 2. aventailconfobj と い う 名前のエージ ェ ン ト 構成オブジ ェ ク ト を作成 し ま す。 3. ホ ス ト 構成オブジ ェ ク ト を作成 し ま す ( こ のオブ ジ ェ ク ト の名前について も 、 こ の後、 認証サーバーを構 成す る と き に AMC で入力 )。 4. 認証 ス キーム を作成 し ます。 5. ド メ イ ン を作成 し ます。 その ド メ イ ン の下に、 エージ ェ ン ト に対す る レ ルム を作成 し 、 さ ら にその レ ルム の下に、 ルー ト 「/」 デ ィ レ ク ト リ を保護す る ためのルールを作成 し ます。 6. こ れ ら のルールに対す る ポ リ シーを作成 し ま す。 7. 以下の方法に よ り 、 AMC で Netegrity 認証サーバーを構成 し ます。 X AMC で Netegrity SiteMinder 認証を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Servers] を ク リ ッ ク し ます。 2. [Authentication Servers] ページで、 [Authentication servers] の [New] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [New Authentication Server] ページが表示 さ れ ます。 3. [Directory type/protocol] で [Netegrity SiteMinder] を ク リ ッ ク し て、 [Continue] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Authentication Server] ページが表示 さ れ ます。 4. [Name] ボ ッ ク ス に、 認証サーバーの名前を入力 し ます。 5. [Primary SiteMinder server] ボ ッ ク ス に、 プ ラ イ マ リ RADIUS サーバーのホ ス ト 名ま たは IP ア ド レ ス を入力 し ます。 SiteMinder サーバーがデフ ォ ル ト 44442 以外のポー ト で リ ッ ス ンす る 場合、 コ ロ ン の後に接尾辞 と し て続け る こ と でポー ト 番号を指定す る こ と がで き ます。 6. [Secondary SiteMinder server] ボ ッ ク ス に、 プ ラ イ マ リ サーバーが使用で き ない と き に使用 さ れ る サーバーのホ ス ト 名ま たは IP ア ド レ ス を入力 し ま す。 7. [Administrator username] ボ ッ ク ス お よ び [Administrator password] ボ ッ ク ス に、 SiteMinder サーバーの管理者のユーザー名 と パ ス ワ ー ド を入力 し ます。 8. [Host configuration object] ボ ッ ク ス に、 Netegrity SiteMinder サーバーで構成 し た ホ ス ト 構成オ ブジ ェ ク ト を入力 し ます。 9. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Authentication Servers] ページに戻 り ま す。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 85 AMC で Netegrity 認証サーバーを構成 し た ら 、 AMC は、 こ のサーバーを ネ ッ ト ワ ー ク 設定のホ ス ト 名 と し て 登録 し ます。 Netegrity 認証サーバーを再度登録 / 設定す る 場合は、 必ず事前に、 信頼 さ れてい る ホ ス ト のエ ン ト リ を Netegrity ポ リ シー サーバーか ら 削除す る よ う に し て く だ さ い。 RSA ClearTrust 構成 RSA ClearTrust を ユーザーの認証のために構成す る 場合、 アプ ラ イ ア ン ス が RSA ClearTrust エージ ェ ン ト を ホ ス ト で き ないため、 外部サーバーの URL を指定す る 必要があ り ます。 ま た、 構成の際は、 ClearTrust サーバーに イ ン ス ト ール し なければな ら ない秘密鍵お よ び CGI ス ク リ プ ト が含 ま れ る .zip フ ァ イ ルを エ ク ス ポー ト し なければな り ません。 X RSA ClearTrust 認証を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Servers] を ク リ ッ ク し ます。 2. [Authentication Servers] ページで、 [Authentication servers] の [New] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [New Authentication Server] ページが表示 さ れ ます。 3. [Directory type/protocol] で [RSA ClearTrust] を ク リ ッ ク し て、 [Continue] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Authentication Server] ページが表示 さ れ ます。 4. [Name] ボ ッ ク ス に、 認証サーバーの名前を入力 し ます。 5. [ClearTrust server URL] ボ ッ ク ス に、 ClearTrust エージ ェ ン ト を ホ ス ト す る サーバーの URL を入 力 し ま す。 ClearTrust サーバーが、 デフ ォ ル ト の 636 以外のポー ト で聴取 し てい る 場合、 ポー ト 番号を コ ロ ン で区切っ て指定す る こ と がで き ます。 セ キ ュ ア SSL 接続を使用 し たい場合、 こ のボ ッ ク ス で 「https://」 プ ロ ト コ ルを指定 し ます。 6. [Export] ボ タ ン を ク リ ッ ク す る と 、 .zip フ ァ イ ル ( デフ ォ ル ト 名、 ctAgent.zip) が保存 さ れ ま す。 こ の圧縮フ ァ イ ルには、 RSA ClearTrust サーバー、 ま たは RSA ClearTrust Web エージ ェ ン ト の イ ン ス ト ール対象 コ ン ピ ュ ー タ に イ ン ス ト ール し なければな ら ない秘密鍵お よ び CGI ス ク リ プ ト が含 まれ ます。 秘密鍵フ ァ イ ルは 「webagent.key」 と い う 名前で、 /usr/local/webagent デ ィ レ ク ト リ に含 ま れてい なければな り ません。 ま た、 RSA ClearTrust web エージ ェ ン ト を イ ン ス ト ールす る コ ン ピ ュ ー タ の場合 は、 /usr/lib デ ィ レ ク ト リ に openssl ラ イ ブ ラ リ 、 ま たは libssl.so.0.9.7 お よ び libcrypto.so.0.9.7 以降の ラ イ ブ ラ リ が含ま れていな ければな り ません。 CGI ス ク リ プ ト は、 Apache サーバーの /cgi-bin デ ィ レ ク ト リ 上に置かれていなければな り ま せん。 7. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Authentication Servers] ページに戻 り ま す。 メモ • RSA ClearTrust サーバーに CGI ス ク リ プ ト フ ァ イ ルを イ ン ス ト ールす る と き は、 そのサーバーで、 そ の フ ァ イ ルの所有者、 グループ、 権限を正 し く 設定す る 必要があ り ます。 86 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 ローカル ユーザー認証の構成 AMC で、 ロ ーカル ユーザー ア カ ウ ン ト を作成 し 、 それを ロ ーカル認証 リ ポジ ト リ に対応 さ せ る こ と がで き ま す。 アプ ラ イ ア ン ス は、 ユーザー名 / パ ス ワ ー ド ク レデン シ ャ ルを、 /etc/passwd に ロ ーカルに保管 さ れて い る ユーザー情報 と 照 ら し 合わせてチ ェ ッ ク し ます。 ロ ーカル ユーザー認証は、 あ く ま でテ ス ト のために使用 す る も ので あ り 、 実稼働環境ではお勧めで き ません。 ロ ーカル ユーザー ア カ ウ ン ト の作成方法については、 138 ページの 「 ロ ーカル ユーザー ア カ ウ ン ト の管理」 を参照 し て く だ さ い。 X ロ ー カル ユーザー認証を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Servers] を ク リ ッ ク し ます。 2. [Authentication Servers] ページで、 [Authentication servers] の [New] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [New Authentication Server] ページが表示 さ れ ます。 3. [Directory type/protocol] で [Local users] を ク リ ッ ク し て、 [Continue] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Authentication Server] ページが表示 さ れ ます。 4. [Name] ボ ッ ク ス に、 認証サーバーの名前を入力 し ます。 5. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Authentication Servers] ページに戻 り ま す。 認証構成のテス ト 認証構成の設定を検証す る ため、 Microsoft Active Directory サーバーお よ び LDAP サーバーを構成す る ため の AMC ページには、 [Test connection] ボ タ ンがあ り ます。 こ のボ タ ン を ク リ ッ ク す る と 、 外部ユーザー リ ポジ ト リ と の通信が確立 さ れ、 ス テー タ ス が送信 さ れ ます。 アプ ラ イ ア ン ス の構成が正 し い場合、 ボ タ ン のそばに 「Valid connection!」 と い う メ ッ セージが表示 さ れ ま す。 構成の設定に問題があ る 場合は、 問題について簡単に記述 し た メ ッ セージが表示 さ れ ま す。 メモ • テ ス ト 接続機能は、 あ く ま で も アプ ラ イ ア ン ス が外部デ ィ レ ク ト リ にバ イ ン ド で き る か ど う かテ ス ト す る ために用意 さ れてい る も のです。 ロ グ イ ン ク レデン シ ャ ルを入力 し た場合アプ ラ イ ア ン ス はそれを使用 し ますが、 それ以外の場合はデ ィ レ ク ト リ にア ノ ニマ ス でバ イ ン ド し よ う と し ま す。 実際にはデ ィ レ ク ト リ を検索 し ないため、 接続のテ ス ト を実行 し て も 、 構成 さ れてい る ド メ イ ン に、 こ の ロ グ イ ン ク レデン シ ャ ルでア ク セ ス で き る か ど う かは検証 さ れ ま せん。 シングル サインオンの構成 シ ン グル サ イ ン オ ン (SSO) を使用す る と 、アプ ラ イ ア ン ス がユーザーの ク レデン シ ャ ルをバ ッ ク エ ン ド Web リ ソ ー ス に転送で き る よ う にな り ま す。 基本 HTTP 認証転送以外に、 次の SSO オプシ ョ ン を構成す る こ と が で き ます。 • NTLM 認証転送。 ユーザーの認証 ク レデン シ ャ ル と あ わせて、 Windows ド メ イ ン名を送信 し ます。 • Netegrity SiteMinder のサポー ト 。 ユーザー認証 ク レデン シ ャ ルを SiteMinder サーバーに転送 し ま す。 Netegrity SiteMinder は、 SSO 機能を持つ認証サーバー と し て構成す る こ と がで き ます。 84 ペー ジの 「Netegrity SiteMinder 構成」 を参照 し て く だ さ い。 シ ン グル サ イ ン オ ン (SSO) を使用す る と 、 ユーザーが複数回 ロ グ イ ンす る ( い っ たんアプ ラ イ ア ン ス に入っ てか ら 、 再びアプ リ ケーシ ョ ン リ ソ ー ス にア ク セ ス し 直す ) 手間を省 く こ と がで き ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 87 概要 : シングル サイ ンオン シ ン グル サ イ ン オ ン (SSO) を使用す る と 、アプ ラ イ ア ン ス がユーザーの ク レデン シ ャ ルをバ ッ ク エ ン ド Web リ ソ ー ス に転送で き る よ う にな り ま す。 こ れに よ り 、 ユーザーが複数回 ロ グ イ ンす る ( い っ たん アプ ラ イ ア ン ス に入っ てか ら 、 再びアプ リ ケーシ ョ ン リ ソ ース にア ク セ ス し 直す ) 手間を省 く こ と がで き ます。 こ のアプ ラ イ ア ン ス では、 次の よ う な タ イ プの Web SSO をサポー ト し てい ます。 • 基本認証転送。 広 く サポー ト さ れてい る 認証転送方式ですが、 ネ ッ ト ワ ー ク でパ ス ワ ー ド を その ま ま 送信 す る ため、 あ ま り 安全 と は言え ません。 それぞれのユーザー認証 ク レデン シ ャ ルを送信す る よ う アプ ラ イ ア ン ス を構成で き る 他、 「静的」 ク レデン シ ャ ル ( つま り 、 すべてのユーザーで同 じ ク レデン シ ャ ルを使 用 ) を設定す る こ と も で き ます。 基本認証転送は、 Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ル内で構成 し ま す。 97 ページの 「Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルの追加」 を参照 し て く だ さ い。 • NTLM 認証転送。 Windows ネ ッ ト ワ ー ク ク レデン シ ャ ルを Microsoft IIS (Internet Information Services) Web サーバーに安全に送信で き る よ う に し ます。NTLM (Windows NT LAN Manager の略 ) では、 ネ ッ ト ワ ー ク 経由でパ ス ワ ー ド を その ま ま送信 し た り す る こ と な く 、 チ ャ レ ン ジ / レ ス ポ ン ス メ カ ニ ズ ム を使用 し て、 ユーザーを安全に認証 し ます。 NTLM 認証転送では、 ユーザーの認証 ク レ デン シ ャ ル と あ わせて、 Windows ド メ イ ン名 も 渡 し ま す。 セ キ ュ リ テ ィ のため、 SSO はデフ ォ ル ト でオ フ にな っ てい ま す。 次の表では、 さ ま ざ ま な タ イ プの SSO を構 成す る と き の手順を ま と めてい ます。 SSO タ イ プ 構成手順 基本認証転送 • Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルで SSO を使用する よ う 構成 し 、 どの ユーザー ク レ デン シ ャ ルを使用す るか指定 し ます。 • この Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルを、SSO を使用す る任意の Web リ ソ ースに添付 し ます。 NTLM 認証転送 • Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルで SSO を使用する よ う 構成 し 、 どの ユーザー ク レ デン シ ャ ルを使用す るか指定 し ます。 • この Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルを、SSO を使用す る任意の Web リ ソ ースに添付 し ます。 • SSO を使用する認証サーバーご と に、 ド メ イ ン名を構成 し ます。 メモ • Aventail の標準 Web ア ク セ ス エージ ェ ン ト では、SSL で保護 さ れたバ ッ ク エ ン ド Web サーバーに対す る シ ン グル サ イ ン オ ン をサポー ト し てい ま せん。 標準 Web エージ ェ ン ト を介 し て、 こ れ ら の リ ソ ー ス へ の リ ン ク にア ク セ ス す る 場合、 シ ン グル サ イ ン オ ンが提供 さ れ ま せん。 HTTPS リ ソ ー ス で基本認証 ま た は NTLM 認証転送を実行す る には、 Web リ ソ ー ス に対す る エ イ リ ア ス を作成 し 、 ASAP WorkPlace で、 それを リ ン ク と し て追加 し ます。 こ う す る こ と で、 ト ラ ン ス レ ーテ ッ ド Web ア ク セ ス を アプ ラ イ ア ン ス に強要 し ま す。 NTLM 認証転送の構成 Windows NT LAN Manager (NTLM) 認証を使用す る と 、 ユーザーが、 ネ ッ ト ワ ー ク 経由でパ ス ワ ー ド を その ま ま 送信 し た り せずに、 安全に認証 さ れてい る Windows ネ ッ ト ワ ー ク 上の Web リ ソ ース にア ク セ ス で き る よ う にな り ま す。 NTLM 認証転送の構成は、 2 段階で行い ます。 最初の段階では、 転送 し たい Windows ド メ イ ン名を入れ る よ う 認証サーバーを構成 し ます。 次に、 Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルで SSO オプシ ョ ン を有効に し て、 ユーザー ク レデン シ ャ ルを転送す る Web リ ソ ー ス にそのプ ロ フ ァ イ ルを添付 し ま す。 NTLM 認証転送の構成 に移 る 前に、 こ の予備的な手順を完了 し ていな ければな り ません。 X NTLM 認証転送を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Realms] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Authentication] ページが表示 さ れ ます。 2. [Authentication servers] エ リ アで、 構成す る サーバーの名前を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Authentication Server] ページが表示 さ れ ます。 88 | 第 4 章 - ネ ッ ト ワー ク と 認証の構成 3. 4. [Advanced] エ リ アの [NTLM authentication forwarding] セ ク シ ョ ン で、 転送す る ド メ イ ン名 を指定 し ま す。 • ド メ イ ン名を指定す る 場合、 [Forward a custom domain name] を ク リ ッ ク し ま す。 [Domain name] ボ ッ ク ス にカ ス タ ム ド メ イ ン名を入力す る こ と も で き ま すが、 必須ではあ り ま せん。 ド メ イ ン名を指定 し ない場合、 空 ( 「 ヌ ル」 ) の ド メ イ ン名がユーザー ク レデン シ ャ ル と あわ せて転送 さ れ ま す。 • ( ページ上部の [Name] ボ ッ ク ス で指定 し た ) 認証サーバー名を ユーザー ク レデン シ ャ ル と あわせ て転送す る 場合、 [Forward the authentication server name as domain name] を ク リ ッ ク し ま す。 Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルで [Single Sign-On] オプシ ョ ン を有効に し ま す。 Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルの詳細については、 97 ページの 「Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルの追加」 を参照 し て く だ さ い。 メモ • ク レデン シ ャ ルが一致 し ない状況で NTLM 認証転送を使用す る には、 NTLM を サポー ト す る Web ブ ラ ウ ザを実行 し ていなければな り ま せん。 • シ ン グル サ イ ン オ ン が有効な場合、 Web プ ロ キ シ サービ ス と バ ッ ク エ ン ド サーバーが、 使用 さ れてい る 認証方式を判定 し ま す。AMC で 1 つの認証方式 ( 基本認証 ま たは NTLM 認証 ) のみが有効にな っ てい る 場合、 認証方式が使用 さ れ ます。 ただ し 、 AMC で基本認証 と NTLM 認証の両方が有効な場合、 NTLM 認 証の方が安全な方法であ る ため、 こ ち ら が使用 さ れ ま す。 次のステ ッ プ 基本的なネ ッ ト ワ ー ク 設定が終わ り 、 アプ ラ イ ア ン ス に対す る SSL 証明書を取得 し て、 認証設定を構成 し た ら 、 ユーザー と ユーザー グループの管理、 リ ソ ー ス の定義、 ア ク セ ス 制御ルールの構成に着手す る こ と がで き ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 89 第5章 セキ ュ リ テ ィ 管理 セ キ ュ リ テ ィ の管理は、 管理者の役割の う ちで最 も 重要な も ので し ょ う 。 Aventail ASAP Management Console (AMC) を使用す る と 、 セ キ ュ リ テ ィ 管理の機能 ( リ ソ ース やア ク セ ス制御ルールな ど ) を簡単に管 理で き る よ う にな り ます。 リ ソースの作成と管理 こ の節では、 リ ソ ース 、 リ ソ ー ス グループ ( リ ソ ース の集ま り )、Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ル (Web リ ソ ー ス の構成設定 ) を作成 し 管理す る 方法について説明 し ま す。 リ ソ ー ス は、 ア ク セ ス制御ルールで参照す る 前に定義で き ますが、 ア ク セ ス 制御ルール イ ン タ フ ェ ー ス か ら 新 し い リ ソ ー ス を直接定義す る こ と も で き ま す。 詳細については、 110 ページの 「ア ク セ ス制御ルールか ら のユーザー と リ ソ ー ス の追加」 を参照 し て く だ さ い。 リ ソースのタ イプ Aventail アプ ラ イ ア ン ス では、 広範囲の企業 リ ソ ー ス を管理 し ます。 企業 リ ソ ース は、 Web リ ソ ー ス、 ネ ッ ト ワ ー ク リ ソ ー ス 、 フ ァ イ ル シ ス テ ム リ ソ ー ス の 3 種類に分け る こ と がで き ま す。 Web リ ソース Web リ ソ ー ス には、 HTTP や HTTPS を使用 し て ア ク セ ス す る 、 Web ベース のアプ リ ケーシ ョ ンやサービ ス が 含ま れ ます。 た と えば、 Microsoft Outlook Web Access な ど の Web ベース の電子 メ ール プ ロ グ ラ ム、 Web ポー タ ル、 企業 イ ン ト ラ ネ ッ ト 、 標準 Web サーバーな ど が こ れに該当 し ます。 Web ト ラ フ ィ ッ ク は、 Aventail Web プ ロ キ シ サービ ス を介 し てプ ロ キ シ さ れ ま す。 ユーザーは、 こ のセ キ ュ ア なゲー ト ウ ェ イ を経由 し て、 イ ン タ ーネ ッ ト か ら プ ラ イ ベー ト な Web リ ソ ー ス にア ク セ ス で き る よ う にな り ま す。 Web リ ソ ー ス は、 Web ア ク セ ス 制御ルールの接続先 と し てのみ使用す る こ と がで き ます。 詳細につ いては、 100 ページの 「ア ク セ ス制御ルールの構成」 を参照 し て く だ さ い。 90 | 第 5 章 - セキ ュ リ テ ィ 管理 Web リ ソ ース は、 さ ま ざ ま な方法で定義す る こ と がで き ます。 URL の タ イ プ 例 標準 URL http://host.example.com/index.html ポー ト 番号付きの標準 URL http://host.example.com:8445/index.html セキ ュ ア サ イ ト の URL https://host.example.com/index.html IP ア ド レ ス を含む URL http://192.0.34.0/index.html メモ • Web ベース のアプ リ ケーシ ョ ン の中には、 HTTP 以外のプ ロ ト コ ルを使用 し て ト ラ フ ィ ッ ク を送信す る Java アプ レ ッ ト や、 その他のブ ラ ウ ザ エ ク ス テ ン シ ョ ン を使用す る も のがあ り ます。 こ れ ら のアプ リ ケーシ ョ ン について も Web ブ ラ ウ ザを使用 し て ア ク セ ス し ますが、 (Web リ ソ ー ス と し てではな く ) ネ ッ ト ワ ー ク リ ソ ース と し て定義 し 、 ネ ッ ト ワ ー ク ト ン ネル サービ ス ま たはネ ッ ト ワ ー ク プ ロ キ シ サービ ス を使用 し て ア ク セ ス し な ければな り ま せん。 こ の よ う な アプ リ ケーシ ョ ン には、 Citrix NFuse や Oracle J-Initiator の他、 特定バージ ョ ンの SAP や PeopleSoft があ り ま す。 ネッ ト ワーク リ ソース ネ ッ ト ワ ー ク リ ソ ース は、 TCP/IP 経由で動作す る ク ラ イ ア ン ト / サーバー企業アプ リ ケーシ ョ ン です (UDP を使用す る アプ リ ケーシ ョ ン を含む )。 こ の よ う な アプ リ ケーシ ョ ン には、 Citrix の よ う なシ ン ク ラ イ ア ン ト アプ リ ケーシ ョ ン、 Microsoft Outlook の よ う な フル ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン、 Lotus Notes、 SAP、 タ ー ミ ナル サーバーな ど があ り ます。 こ の タ イ プの ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ンは、 ホ ス ト 名、 IP ア ド レ ス ま たは IP 範囲、 サブネ ッ ト IP ア ド レ ス、 DNS ド メ イ ン な ど を指定す る こ と に よ っ て定義 し ます。 ネ ッ ト ワ ー ク リ ソ ー ス は、 複数の Web リ ソ ー ス を含むネ ッ ト ワ ー ク オブジ ェ ク ト ( ド メ イ ン な ど ) を定義す る 場合や、 接続要求の送信元ご と にア ク セ ス を制御す る ためのネ ッ ト ワ ー ク オブ ジ ェ ク ト を定義す る 場合に も 使用す る こ と も で き ま す。 次の表は、 こ れ ら の リ ソ ー ス タ イ プ を定義す る 際の構文を表 し てい ます。 ホ ス ト 名は、 完全修飾にす る こ と が で き る 他、 非修飾で指定す る こ と も で き ます。 リ ソ ース タ イ プ 例 ホス ト 名 bart.private.example.com ホス ト の IP ア ド レ ス 192.0.34.72 IP 範囲 192.0.34.72 - 192.0.34.74 サブネ ッ ト 192.0.34.0 / 255.255.255.0 ド メ イ ン名 private.example.com Windows ド メ イ ン example ま たは example.com メモ • Microsoft Outlook は、 非修飾ホ ス ト 名を使用 し て、 Microsoft Exchange に接続 し ま す。 そのため、 Microsoft Exchange サーバーを ネ ッ ト ワ ー ク リ ソ ー ス と し て定義す る と き は、 非修飾名 ( た と えば 「CorpMail」 ) で定義 し なければな り ま せん。 • ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト を使用す る と き 、 ロ ーカル DNS で解決で き る リ ソ ース は、 ホ ス ト 名ではな く 、 IP ア ド レ ス を使用 し て定義す る 必要があ り ま す。 ほ と ん ど の企業では、 内部ネーム スペー ス をパブ リ ッ ク DNS にパブ リ ッ シ ュ し てい ま せん。 し たが っ て、 ス プ リ ッ ト ト ン ネル モー ド で動作す る 際に ロ ーカル リ ソ ース に対す る 侵入ア ク セ ス を防止す る ために、 ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト が 過剰防衛す る こ と か ら 、 名前に基づ く ト ラ フ ィ ッ ク を ネ ッ ト ワ ー ク アプ ラ イ ア ン ス を通 し て リ ダ イ レ ク ト し な く な り ます。 ユーザーの ロ ーカル DNS ク ラ イ ア ン ト が、 プ ラ イ ベー ト ネ ッ ト ワ ー ク で ホ ス ト 名を解決で き る 場合、 ホ ス ト 名を名前ではな く IP ア ド レ ス ( 単一のア ド レ ス ま たは IP 範囲やサブネ ッ ト ) で定義す る 必要があ り ま す。 こ の よ う な構成にすれば、 ト ン ネル ク ラ イ ア ン ト が、 VPN リ ソ ー ス にア ク セ ス す る ため、 アプ ラ イ ア ン ス を その ま ま通過 し て、 ルー ト を正 し く 確立で き る よ う にな り ます。 ( 通常、 こ の よ う な構成は テ ス ト 環境な ど、 実稼働に移 る 前の環境で使用 さ れ る 。 ) Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 91 フ ァ イル システム リ ソース フ ァ イ ル シ ス テ ム リ ソ ー ス には、 ユーザーが ASAP WorkPlace を介 し て ア ク セ ス で き る 共有フ ォ ルダや共有 フ ァ イ ルがあ る Windows ネ ッ ト ワ ー ク サーバー ま たは コ ン ピ ュ ー タ が含ま れ ます。 フ ァ イ ル シ ス テ ム リ ソ ー ス の場合、 UNC パ ス を入力 し て個々の フ ァ イ ル シ ス テ ム共有を定義で き る 他、 完全 な Windows ド メ イ ン を定義す る こ と も で き ます。 • 完全な Windows ド メ イ ン を定義す る と 、 その ド メ イ ン内のすべてのネ ッ ト ワ ー ク フ ァ イ ル リ ソ ース に 対 し てユーザー ア ク セ ス を許可す る こ と がで き ま す。 • 個々の フ ァ イ ル シ ス テ ム リ ソ ー ス を、 完全なサーバー ( た と えば \\ginkgo)、 共有フ ォ ルダ ( た と えば \\john\public)、 ネ ッ ト ワ ー ク フ ォ ルダ (\\ginkgo\news) と し て設定す る こ と がで き ます。 • フ ァ イ ル シ ス テ ム リ ソ ー ス か ら 、 ユーザーの個人フ ォ ルダ を参照す る こ と も で き ます。 こ の機能を使用 す る と 、 ASAP WorkPlace で単一のシ ョ ー ト カ ッ ト を作成 し 、 カ レ ン ト ユーザーの個人フ ォ ルダ を動的 に参照す る よ う 設定す る こ と がで き ます。 た と えば、 [Add/Edit Resource] ページの [Network share] ボ ッ ク ス で 「\\users\XXX_Username_XXX」 と 入力 し て リ ソ ー ス を作成す る と 仮定 し ます。 次に、 こ の リ ソ ー ス を 参照す る WorkPlace シ ョ ー ト カ ッ ト を作成 し 、 [Link text] ボ ッ ク ス に 「\\users\XXX_Username_XXX」 と 入力 し ま す。 ユーザー jdoe が、 ASAP WorkPlace に接続す る と き 、 変数が自動的にユーザー名で置 き 換え ら れ、 「\\users\jdoe」 と い う 名前の フ ォ ルダにア ク セ ス で き る よ う にな り ます。 ま た、 ユーザー rsmith が同 じ リ ン ク にア ク セ スす る と 、 「\\users\rsmith」 フ ォ ル ダにア ク セ ス す る こ と にな り ま す。 詳細については、 212 ページの 「個人フ ォ ルダ を示すネ ッ ト ワ ー ク シ ョ ー ト カ ッ ト の作成」 を参照 し て く だ さ い。 リ ソースおよびリ ソース グループの表示 リ ソ ー スお よ び リ ソ ー ス グループは、 [Resources] ページ と [Groups] ページにそれぞれ表示 さ れ ま す。 X 使用可能な リ ソ ースお よび リ ソ ース グループの リ ス ト を表示する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Resources] を ク リ ッ ク し ます。 2. 使用可能な リ ソ ー ス を表示す る 場合は [Resources] タ ブ、 リ ソ ー ス グループ を表示す る 場合は [Groups] タ ブ を それぞれ ク リ ッ ク し ま す。 [Type] 列には、 それぞれの リ ソ ース ま たは リ ソ ー ス グループの タ イ プが表示 さ れ ま す。 ネ ッ ト ワ ー ク リ ソ ー ス には、 Web アプ リ ケーシ ョ ン と ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン の両方が含ま れ ま す。 3. ページに表示 さ れ る リ ソ ー ス の タ イ プ を コ ン ト ロ ールす る と き は、 [Show] リ ス ト を使用 し ます。 4. 特定 リ ソ ー ス の詳細デー タ を表示す る 場合は、 [Resource] 列の名前を ク リ ッ ク し ます。 メモ • アプ ラ イ ア ン ス には、 デフ ォ ル ト で 1 つま たは複数の読み取 り 専用 リ ソ ー ス定義が付属 し てい ま す。 こ れ ら の定義は、 アプ ラ イ ア ン ス サービ ス で必要な も のであ り 、 リ ソ ース リ ス ト に表示 さ れ ます。 92 | 第 5 章 - セキ ュ リ テ ィ 管理 リ ソースの追加 X リ ソ ース を追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Resources] を ク リ ッ ク し ます。 2. [Resourcess] ページで、 [New] ボ タ ン を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Add/Edit Resource] ページが表示 さ れ ます。 3. [Name] ボ ッ ク ス に、 リ ソ ース の名前を入力 し ま す。 4. [Description] ボ ッ ク ス に、 リ ソ ー ス についての コ メ ン ト を入力 し ま す。 5. [Resource definition] エ リ アで、 必要なオプ シ ョ ン を選択 し て適切な情報を指定 し ます。 ネ ッ ト ワー ク リ ソ ース : • ホ ス ト には、 ネ ッ ト ワ ー ク 上の任意の コ ン ピ ュ ー タ を指定す る こ と がで き ま す。 [Host name or IP] ボ ッ ク ス に、 ホ ス ト 名 ( 修飾名 ま たは非修飾名 ) を入力す る か、 ホ ス ト の完全な IP ア ド レ ス を、 ド ッ ト 区切 り の十進数形式 (w.x.y.z) で入力 し ま す。 • IP 範囲では通常、 サブネ ッ ト 内の部分的な範囲の コ ン ピ ュ ー タ を識別 し ます。 [IP range] エ リ ア で、 IP 範囲の開始ア ド レ ス ([From]) と 終了ア ド レ ス ([To]) を、 ド ッ ト 区切 り の十進数形式 (w.x.y.z) で入力 し ます。 • サブネ ッ ト は、 共通のア ド レ ス コ ン ポーネ ン ト を共有す る ネ ッ ト ワ ー ク の一部を指 し ます。 [Subnet] エ リ アで、 IP ア ド レ ス ([IP address]) と サブネ ッ ト マ ス ク ([Subnet mask]) を、 ド ッ ト 区切 り の十進数形式 (w.x.y.z) で入力 し ます。 • ド メ イ ン は、 1 つま たは複数のホ ス ト を包含す る 領域です。 [Domain] ボ ッ ク ス に、 ド メ イ ン の名 前 ( た と えば 「example.com」 ) を入力 し ま す。 Web リ ソ ース : • Web リ ソ ース を定義す る には、 [URL] を選択 し て、 適切な URL を入力 し ま す。 こ こ では、 「http://」 や 「https://」 な ど のプ ロ ト コ ル識別子を指定 し なければな り ま せん。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 93 フ ァ イ ル共有 リ ソ ース : • 特定の フ ァ イ ル シ ス テ ム リ ソ ー ス を定義す る には、 [Network share] ボ タ ン を ク リ ッ ク し て、 UNC パ ス を入力 し ます。 こ こ では、 完全なサーバー ( た と えば \\ginkgo)、 共有フ ォ ルダ ( た と え ば \\john\public)、 ネ ッ ト ワ ー ク フ ォ ルダ (\\ginkgo\news) を指定す る こ と がで き ます。 • ネ ッ ト ワ ー ク 上のユーザーの個人フ ォ ルダ を参照す る には、 [Network share] ボ タ ン を ク リ ッ ク し 、 変数 「XXX_Username_XXX」 を入れて、 UNC パス を入力 し ます。 こ の機能を使用す る と 、 ASAP WorkPlace で単一のシ ョ ー ト カ ッ ト を作成 し 、 カ レ ン ト ユーザーの個人フ ォ ルダ を動的に参 照す る よ う 設定す る こ と がで き ます。 • 完全な Windows ド メ イ ン を定義す る には、 [Domain] を ク リ ッ ク し て、 [Windows domain] チ ェ ッ ク ボ ッ ク ス を選択 し 、 NetBIOS 構文ま たは DNS 構文で ( 「example」、 「example.com」 な ど ) ド メ イ ン名を入力 し ます。 完全な Windows ド メ イ ン を定義す る と 、 ド メ イ ン内のすべての ネ ッ ト ワ ー ク フ ァ イ ル リ ソ ース に対 し てユーザー ア ク セ ス を許可す る こ と がで き ます。 6. オプシ ョ ン で、 [Create shortcut on ASAP WorkPlace] チ ェ ッ ク ボ ッ ク ス を選択す る こ と に よ り 、 WorkPlace に Web リ ソ ー ス ま たは フ ァ イ ル シ ス テ ム リ ソ ー ス のシ ョ ー ト カ ッ ト を追加す る こ と がで き ます。 こ の リ ソ ー ス に割 り 当ててい る 名前が、 WorkPlace の [Resource] 列に表示 さ れ ます。 ( こ のオ プシ ョ ン はネ ッ ト ワ ー ク リ ソ ー ス では使用で き ない ) 7. 定義 し てい る リ ソ ー ス に よ っ ては、 Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルやエ イ リ ア ス な ど、 追加の設定 を構成す る こ と がで き ます。 [Advanced] オプシ ョ ン を表示す る 場合、 下向 き 矢印のボ タ ン を ク リ ッ ク し ます。 93 ページの 「高度な リ ソ ース オプシ ョ ンの使用」 を参照 し て く だ さ い。 8. 設定が終わ っ た ら 、 [Save and Add Another] を ク リ ッ ク し て、 他の リ ソ ー ス を定義す る こ と がで き ます。 ま た、 [Save] を ク リ ッ ク し て終了す る こ と も で き ます。 こ の操作に よ り 、 [Resources] ページ に戻 り ます。 高度な リ ソース オプシ ョ ンの使用 次の表は、 高度なオプシ ョ ン と 、 それぞれのオプシ ョ ン がサポー ト す る リ ソ ース タ イ プ を示 し てい ます。 高度なオ プシ ョ ン 説明 リ ソ ース タ イプ [Alias name] プ ラ イ ベー ト URL を表すパブ リ ッ ク なエ イ リ ア ス を指定する と きは、 このオ プ シ ョ ン を使用 し ます。 このエ イ リ ア スの名前はユーザーに提示 さ れる ため、 憶えやすい名前 を使用 し ます ( 短 く 具体的なほど良い )。 次のよ う な場合、 [Alias name] を指定す る と 良いで し ょ う 。 Web • • [Synonyms] こ の リ ソ ースに対する内部ホス ト 名を隠 し たい場合。 こ の URL リ ソ ースが、[Network Settings] ページの [Name Resolution] タ ブ で構成 さ れている検索 ド メ イ ン に含まれていない場合。 URL リ ソ ース名の代替名 ( 「シ ノ ニム」 ) を定義する と きは、 こ のオ プ シ ョ ン を使用 し Web ます。 こ れは、 ユーザーが異な る名前 ( 通常、 非修飾名や圧縮名 ) を使用 し てサー バーにア ク セスする場合や、 Web ページに DNS エ イ リ ア ス を示す リ ン クが含まれて いて、 その名前を Web プ ロ キシ サービ スが正 し く 変換で き ない場合な どに使用する と 便利です。 複数のシ ノ ニムを指定する場合はセ ミ コ ロ ン で区切 り ます。 こ のア プ ラ イ ア ン スは、 リ ソ ースのシ ョ ー ト カ ッ ト を自動的にシ ノ ニム と し て定義 し ます。 た と えば URL が 「http://mail.example.com」 の場合、 ア プ ラ イ ア ン スは 「maill」 と い う シ ノ ニムを追加 し ます。 ただ し こ れについては、 [Synonym] ボ ッ ク スに表示 さ れません。 94 | 第 5 章 - セキ ュ リ テ ィ 管理 高度なオ プシ ョ ン 説明 リ ソ ース タ イプ [Allow public access] こ の URL に無制限のア ク セス を許可 し たい場合、 このチ ェ ッ ク ボ ッ ク ス を選択 し ま す。 I こ のオ プ シ ョ ンがオ ンの場合は、 ユーザーの身元を識別する ための認証が行われ ません。 これは、 内部 Web リ ソ ースに対 し てパブ リ ッ ク ア ク セ ス を許可する場合に 使用する と 便利です。 ( ある リ ソ ースへのパブ リ ッ ク ア ク セ ス を許可する と きは、 「Any」 ユーザーに よ る その リ ソ ースへのア ク セ ス を許可するルールを作成 し なければ な ら ない ) Web [Web application profile] こ の リ ス ト には、い く つかの一般的な Web ア プ リ ケーシ ョ ン で推奨 さ れる構成済みの Web プ ロ フ ァ イルの他、 カ ス タ ム Web プ ロ フ ァ イルやデ フ ォ ル ト Web プ ロ フ ァ イ ルが含まれます。 どのプ ロ フ ァ イルを選択すればよ いかわか ら ない場合は、 デ フ ォ ル ト のオ プ シ ョ ン を そのま ま選択 し て く だ さ い。 プ ロ フ ァ イルを参照する には、 [View selected profile] を ク リ ッ ク し ます。 詳細については、 97 ページの 「Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルの追加」 を参照 し て く だ さ い。 Web ネ ッ ト ワー ク リ ソースの編集 リ ソ ー ス を修正す る 前に、 関連す る ルールを慎重に検討 し て、 その変更がセ キ ュ リ テ ィ ポ リ シーに ど の よ う な 影響を与え る か検証 し て く だ さ い。 X リ ソ ース を編集する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Resources] を ク リ ッ ク し ます。 2. [Resources] ページで、 編集す る リ ソ ー ス の名前を ク リ ッ ク し ます。 3. [Add/Edit Resource] ページで、 必要に応 じ て値を編集 し ます。 4. [Save] を ク リ ッ ク し ます。 メモ • 既存のネ ッ ト ワ ー ク リ ソ ース の定義設定は、 変更す る こ と がで き ません ( た と えばホ ス ト 名を IP 範囲に 変更す る な ど )。 その よ う な場合は、 新 し いネ ッ ト ワ ー ク リ ソ ー ス を作成 し て、 適切な定義設定を適用 し なければな り ません。 • 既存の ASAP WorkPlace シ ョ ー ト カ ッ ト の定義は、 変更す る こ と がで き ま せん。 その よ う な場合は、 [WorkPlace Shortcuts] ページで新 し いシ ョ ー ト カ ッ ト を作成 し て、 適切な リ ソ ー ス 設定を適用 し な ければな り ま せん。 リ ソースの削除 ア ク セ ス制御ルール、 リ ソ ー ス グループ、 WorkPlace シ ョ ー ト カ ッ ト で参照 さ れてい る リ ソ ース は、 削除す る こ と がで き ません。 リ ソ ー ス を削除す る 前に、 その リ ソ ー ス を参照 し てい る ルールか ら それを除外 し なけれ ばな り ません。 詳細については、 43 ページの 「参照 さ れてい る オブジ ェ ク ト の削除」 を参照 し て く だ さ い。 X リ ソ ース を削除する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Resources] を ク リ ッ ク し ます。 2. [Resources] ページで、 削除す る リ ソ ー ス の左側にあ る チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 3. [Delete] ボ タ ン を ク リ ッ ク し ます。 こ の リ ソ ース が、 依然 と し て ア ク セ ス制御ルール、 リ ソ ース グルー プ、 WorkPlace シ ョ ー ト カ ッ ト な ど で参照 さ れてい る 場合、 AMC にエ ラ ー メ ッ セージが表示 さ れ ます。 エ ラ ー メ ッ セージの リ ン ク を ク リ ッ ク す る と 、 こ の リ ソ ー ス グループに対す る 参照がすべて リ ス ト さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 95 リ ソース排除リ ス ト の使用 デフ ォ ル ト では、 ア ク セ ス エージ ェ ン ト お よ び Web ブ ラ ウ ザが、 AMC で定義 し てい る 対象 リ ソ ー ス に対 し て、 アプ ラ イ ア ン ス を介 し て接続を リ ダ イ レ ク ト す る よ う にな っ てい ま す。 ただ し 、 場合に よ っ ては、 アプ ラ イ ア ン ス で リ ダ イ レ ク ト し た く ない リ ソ ー ス も あ り ま す。 た と えば、 ユー ザーがアプ ラ イ ア ン ス を介 し て Outlook Web Access にア ク セ ス し てお り 、アプ ラ イ ア ン ス で構成 さ れてい る ド メ イ ン リ ソ ー ス 内のパブ リ ッ ク サ イ ト への リ ン ク が含ま れた電子 メ ール メ ッ セージ を読み込んだ場合、 こ の ト ラ フ ィ ッ ク は、 アプ ラ イ ア ン ス を介 し て送信 さ れ る こ と にな り ま す。 こ の場合、 排除 リ ス ト で こ のパブ リ ッ ク リ ソ ース を指定す る こ と に よ っ て、 こ れを防 ぐ こ と がで き ます。 リ ソ ー ス排除 リ ス ト を使用す る と 、 ホ ス ト 名、 IP ア ド レ ス、 アプ ラ イ ア ン ス を介 し て リ ダ イ レ ク ト さ れ る ド メ イ ン な ど の リ ソ ー ス を指定す る こ と がで き ます。 ド メ イ ン を指定す る と き は、 ワ イ ル ド カー ド 文字のア ス テ リ ス ク (*) や疑問符 (?) を使用す る こ と も で き ます。 こ の リ ス ト は、 すべてのア ク セ ス サービ ス に適用 さ れ ま す。 リ ソ ー ス排除 リ ス ト は、 ア ク セ ス 制御やセ キ ュ リ テ ィ には影響を及ぼ し ません。 特定のホ ス ト 名、 IP ア ド レ ス、 ド メ イ ン名に対す る ア ク セ ス を防止 し たい場合、 ア ク セ ス 制御ルールで拒否ルールを作成す る 必要があ り ます。 X リ ソ ース排除 リ ス ト に リ ソ ース を追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Resources] を ク リ ッ ク し ます。 2. [Resources] ページで、 ページの下部にあ る [Resource exclusion list] リ ス ト に対応す る リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [Resource Exclusion List] ページが表示 さ れ ます。 3. [Exclusion list] ボ ッ ク ス に、 アプ ラ イ ア ン ス を介 し た リ ダ イ レ ク ト の対象か ら 除外 し たいホ ス ト 名、 IP ア ド レ ス、 ド メ イ ン を入力 し て、 [Add] ボ タ ン を ク リ ッ ク し ます。 ド メ イ ン を入力す る 際は、 ワ イ ル ド カー ド 文字 ( 「*」 や 「?」 な ど ) を使用で き ます。 4. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Resources] ページに戻 り ます。 メモ • ど の リ ソ ー ス が、 アプ ラ イ ア ン ス を介 し た リ ダ イ レ ク ト の対象にな っ てい る か確認 し たい場合は、 [Show network redirection list] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、[Redirection List] ページが表示 さ れ ま す。 • リ ソ ー ス を排除 リ ス ト か ら 削除す る 場合は、 リ ソ ース 名の右にあ る [Delete] ボ タ ン を ク リ ッ ク し ま す。 • 完全修飾 ド メ イ ン名 (FQDN) を指定す る こ と に よ っ て リ ソ ー ス を除外 し た場合、 ト ラ ン ス レーテ ッ ド Web モー ド でア ク セ ス を提供す る レ ルム か ら WorkPlace に接続す る ユーザーについては、 WorkPlace の [Intranet Address] ボ ッ ク ス で非修飾 ド メ イ ン名 (UQDN) を入力すれば、 リ ソ ー ス にア ク セ ス す る こ と がで き ます。 96 | 第 5 章 - セキ ュ リ テ ィ 管理 リ ソース グループの作成と管理 個別の リ ソ ー ス を定義す る こ と がで き る 他、 個別の リ ソ ース の集ま り であ る リ ソ ー ス グループ単位で リ ソ ース を管理す る こ と も で き ま す。 リ ソ ー ス を グループ化す る と 、 同様の特性を持つ リ ソ ース のセ ッ ト に対す る ア ク セ ス を、 便利な方法で管理す る こ と がで き ます。 た と えば、 リ モー ト 従業員アプ リ ケーシ ョ ン を含む リ ソ ー ス グループ を定義 し て、 こ れ ら の リ ソ ース へのア ク セ ス を管理す る プ ロ セ ス を簡略化す る こ と がで き ま す。 リ ソ ー ス グループに入れ る こ と がで き る リ ソ ース の数には制限があ り ま せん。 新 し い リ ソ ー ス グループ を作 成す る と 、 使用可能な リ ソ ー スお よ びグループの リ ス ト に追加 さ れ ます。 こ の状態にな る と 、 ア ク セ ス 制御 ルールでその リ ソ ー ス グループ を使用す る こ と がで き ま す。 リ ソース グループの追加 新 し い リ ソ ー ス グループ を作成す る と 、 [Resources] ページの [Groups] タ ブにあ る 、 使用可能グループ の リ ス ト に追加 さ れ ます。 X リ ソ ース グループ を追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Resources] を ク リ ッ ク し ます。 2. [Resources] ページで [Groups] タ ブ を ク リ ッ ク し 、 [New] ボ タ ン を ク リ ッ ク し ます。 こ の操作に よ り 、 [Add/Edit Resource Group] ページが表示 さ れ ます。 3. [Name] ボ ッ ク ス に、 リ ソ ース グループの名前を入力 し ます。 4. [Description] ボ ッ ク ス に、 そのグループについての コ メ ン ト を入力 し ます。 5. そのグループに入れたい リ ソ ース のチ ェ ッ ク ボ ッ ク ス を選択 し ま す。 リ ソ ー ス グループに入れ る こ と が で き る リ ソ ー ス の数には制限があ り ま せん。 6. 設定が終わ っ た ら 、 [Save and Add Another] を ク リ ッ ク し て、 他の リ ソ ー ス グループ を定義す る こ と がで き ます。 ま た、 [Save] を ク リ ッ ク し て終了す る こ と も で き ます。 こ の操作に よ り 、 [Resources] ページに戻 り ます。 リ ソース グループの編集と削除 リ ソ ー ス グループ を修正す る 前に、 関連す る ルールを慎重に検討 し て、 その変更がセ キ ュ リ テ ィ ポ リ シーに ど の よ う な影響を与え る か検証 し て く だ さ い。 ア ク セ ス 制御ルールで参照 さ れてい る リ ソ ース グループは、 削 除す る こ と がで き ま せん。 リ ソ ー ス グループ を削除す る 前に、 そのグループ を参照 し てい る ルールか ら それを 除外 し なければな り ません。 詳細については、 43 ページの 「参照 さ れてい る オブジ ェ ク ト の削除」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 97 Web アプ リ ケーシ ョ ン プロ フ ァ イルの表示 Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルは、 [Configure Web Proxy Service] ページの [Web Application Profiles] セ ク シ ョ ン に表示 さ れ ます。 X Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルの リ ス ト を表示する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Services] ページが表示 さ れ ま す。 2. [Access Services] エ リ アで [Web proxy service] に対す る [Configure] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Web Proxy Service] ページが表示 さ れ ます。 3. [Web Application Profiles] リ ン ク を ク リ ッ ク す る と 、 使用可能な Web プ ロ フ ァ イ ルが表示 さ れ ま す。 こ の リ ス ト には、 い く つかの一般的な Web アプ リ ケーシ ョ ン で推奨 さ れ る 構成済みの Web アプ リ ケー シ ョ ン プ ロ フ ァ イ ルの他、 作成 し てい る カ ス タ ム Web プ ロ フ ァ イ ルやデフ ォ ル ト Web プ ロ フ ァ イ ルが 含ま れ ます。 4. Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルの名前を ク リ ッ ク す る と 、 その設定が表示 さ れ ま す。 Web アプ リ ケーシ ョ ン プロ フ ァ イルの追加 Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルは、 シ ン グル サ イ ン オ ン特性の他、 特定の リ ソ ース に対す る コ ン テ ン ツ 変換オプシ ョ ン を コ ン ト ロ ール し ます。 すべての Web リ ソ ース には、 それがネ ッ ト ワ ー ク リ ソ ース と し て定 義 さ れてい る か Web リ ソ ース と し て定義 さ れてい る かに関係な く 、 対応す る Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルが存在 し ま す。 • シ ン グル サ イ ン オ ン ([Single sign-on]) オプシ ョ ン。ユーザーの ロ グ イ ン ク レデン シ ャ ルがダ ウ ン ス ト リ ーム Web アプ リ ケーシ ョ ンに転送 さ れ る か ど う か コ ン ト ロ ール し 、 あわせてその転送方法 も コ ン ト ロ ール し ます。 こ のオプシ ョ ンは、 デフ ォ ル ト でオ フ にな っ てい ま す。 • コ ン テ ン ツ変換 ([Content translation]) オプシ ョ ン。 ク ッ キー本体お よ び ク ッ キー パ ス にあ る JavaScript コ ー ド のハ イ パー リ ン ク が Web プ ロ キ シ サービ ス に よ っ て変換 さ れ る か ど う か コ ン ト ロ ー ル し ま す。 こ のオプシ ョ ンは、 ト ラ ン ス レ ーテ ッ ド Web ア ク セ ス エージ ェ ン ト のみが使用 し 、 標準 Web ア ク セ ス では無視 さ れ ます。 X Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルを追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Services] ページが表示 さ れ ま す。 2. [Access Services] エ リ アで [Web proxy service] に対す る [Configure] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Web Proxy Service] ページが表示 さ れ ます。 98 | 第 5 章 - セキ ュ リ テ ィ 管理 3. [Web Application Profiles] リ ン ク を ク リ ッ ク し て、 [New] ボ タ ン を ク リ ッ ク し ま す。 [Add/Edit Web Application Profile] ページが表示 さ れ ます。 4. [Name] ボ ッ ク ス に、 プ ロ フ ァ イ ルの名前を入力 し ます。 特定のアプ リ ケーシ ョ ン に対応す る プ ロ フ ァ イ ルを作成 し てい る 場合、 こ れを反映す る プ ロ フ ァ イ ル名を指定す る こ と がで き ま す。 た と えば、 xyz Web アプ リ ケーシ ョ ンのプ ロ フ ァ イ ルには、 「xyz」 と い う 名前をつけ る こ と がで き ます。 5. [Description] ボ ッ ク ス に、 そのプ ロ フ ァ イ ルについての コ メ ン ト を入力 し ま す。 6. [Single Sign-On] エ リ アで、 ユーザー ク レデン シ ャ ルが Web リ ソ ー ス に渡 さ れ る か ど う か指定 し 、 あわせてその方法 も 指定 し ます。 ユーザー ク レデン シ ャ ルを転送す る と 、 ユーザーが複数回 ロ グ イ ンす る ( い っ たんアプ ラ イ ア ン ス に入っ てか ら 、 再びアプ リ ケーシ ョ ン リ ソ ー ス にア ク セ ス し 直す ) 手間を 省 く こ と がで き ま す。 7. • [Forward each user's individual username and password] チ ェ ッ ク ボ ッ ク ス を選択す る と 、 WorkPlace の認証で使用 さ れたユーザー名 と パ ス ワ ー ド が、 バ ッ ク エ ン ド Web サーバーに 転送 さ れ る よ う にな り ます。 • [Forward static credentials] チ ェ ッ ク ボ ッ ク ス を選択す る と 、 すべてのユーザーについて同 じ ユーザー名 と パ ス ワ ー ド を転送 し ま す。 こ れは、 HTTP 基本認証が必要な Web サ イ ト で指定す る と 便利ですが、 ロ グ イ ン名に基づいてパー ソ ナ ラ イ ズ さ れた各ユーザーの情報は提供 さ れ ま せん。 ま た、 ク ラ イ ア ン ト 証明書ま たは ト ー ク ン で認証す る ユーザーの場合 も 役に立ち ま す。 • ど ち ら のオプシ ョ ン も 選択 し ない場合、 シ ン グル サ イ ン オ ン機能はオ フ にな り ます。 両方のオプ シ ョ ン を選択す る と 、 個別のユーザー名 と パ ス ワ ー ド が優先 さ れ ま す。 た と えば、 ユーザーがユー ザー名 / パ ス ワ ー ド を指定 し た場合はそれが転送 さ れ ますが、 ユーザー名 / パ ス ワ ー ド を指定 し てい ない場合は、 Web プ ロ キ シ サービ ス が静的な ク レデン シ ャ ルを転送 し ま す。 [Content Translation] エ リ アで、 Web プ ロ キ シ サービ ス に よ る 変換を希望す る 項目を選択 し ます。 • JavaScript コ ー ド で埋め込ま れた Web リ ソ ー ス の リ ン ク を、 Web プ ロ キ シ サービ ス が変換す る よ う 指定す る 場合、 [Translate JavaScript code] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ れは、 絶 対 URL ま たは絶対参照 (/to/path/xyz) o が含ま れ る JavaScript や、 URL を動的に生成す る JavaScript ( た と えば 「location=“http://” + host name + “/index.html”」 ) で使用す る と 便利 です。 こ の設定に よ り 、 JavaScript を使用す る 、 Microsoft Outlook Web Access な ど のアプ リ ケーシ ョ ン と の間で互換性が向上 し ま す。 こ のチ ェ ッ ク ボ ッ ク ス は、 デフ ォ ル ト で有効です。 Aventail SSL VPN イ ン ス ト ールお よ び管理ガ イ ド | 99 8. • Web プ ロ キ シ サービ ス が、 MIME タ イ プではな く フ ァ イ ル拡張子か ら コ ン テ ン ツ タ イ プ を判定す る よ う 指定す る 場合、 [Ignore MIME types] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 通常、 Web プ ロ キ シ サービ ス は、 特定の コ ン テ ン ツ タ イ プ を変換 し ま す ( テ キ ス ト と HTML も 含 ま れ る )。 その場 合、 HTTP ヘ ッ ダの MIME タ イ プか ら コ ン テ ン ツ タ イ プ を判定 し ま す Web リ ソ ース が不正な MIME タ イ プ を送信 し てい る 場合、 こ のオプシ ョ ン を選択 し ま す。 こ の結果、 Web プ ロ キ シ サービ ス は、 フ ァ イ ル拡張子を基に し て フ ァ イ ルを変換す る か ど う か判定 し ま す。 こ のオプ シ ョ ンは、 デ フ ォ ル ト では無効です。 • ク ッ キー本体に埋め込む URL を、 Web プ ロ キ シ サービ ス が変換す る よ う 指定す る 場合、 [Translate cookie body] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 ク ッ キー本体に URL を埋め込む方 法は一般的ではあ り ま せんが、 Web リ ソ ー ス が こ れを行 う に も かかわ ら ず こ のオプシ ョ ン がオ ン に な っ ていない場合、 ユーザー側に問題が発生 し ます ( 一般的な症状 と し て、 他の URL に予期せず リ ダ イ レ ク ト さ れて し ま う こ と があ る )。 こ のチ ェ ッ ク ボ ッ ク ス は、 デフ ォ ル ト で有効です。 • バ ッ ク エ ン ド リ ソ ース が送信す る ク ッ キーのパ ス 属性を、 Web プ ロ キ シ サービ ス が変換す る よ う 指定す る 場合、 [Translate cookie path] チ ェ ッ ク ボ ッ ク ス を選択 し ま すブ ラ ウ ザは、 ク ッ キー をサーバーに返信す る タ イ ミ ン グ を判定す る と き 、 ク ッ キー パ ス を使用 し ま す。 一方、 こ のアプ ラ イ ア ン ス は、 ブ ラ ウ ザが参照す る パ ス を変更す る ため、 ク ッ キー パ ス が変換 さ れない場合、 ブ ラ ウ ザが ク ッ キーを送信 し な く な り ます。 こ の よ う な状況の一般的な症状 と し て、 有効な値を入力 し てい る に も かかわ ら ず、 ロ グ イ ン ク レデン シ ャ ルが何度 も 表示 さ れ る と い う こ と が挙げ ら れ ま す。 その 場合、 こ のオプシ ョ ン を有効に し ます。 こ のチ ェ ッ ク ボ ッ ク ス は、 デフ ォ ル ト で有効です。 [Save] を ク リ ッ ク し ます。 メモ • こ のアプ ラ イ ア ン ス には、 い く つかの一般的な Web アプ リ ケーシ ョ ン で推奨 さ れ る 構成済みの Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ルが付属 し てい ま す。 アプ ラ イ ア ン ス に付属す る プ ロ フ ァ イ ルには、 次の よ う な も のがあ り ます。 • Default - NTLM ま たは基本認証のシ ン グル サ イ ン オ ン を使用 し ない、 ほ と ん ど の Web アプ リ ケーシ ョ ン ま たはサ イ ト で使用で き る デフ ォ ル ト プ ロ フ ァ イ ル。 • Domino Web Access 6.x - Lotus Domino Web Access 用のプ ロ フ ァ イ ル。 バージ ョ ン 6.x 専用。 • iNotes 5.x - Lotus iNotes 用のプ ロ フ ァ イ ル。 バージ ョ ン 5.x 専用。 • Onyx CRM Onyx CRM Employee Portal 用のプ ロ フ ァ イ ル。 バージ ョ ン 4.x 以降。 • OWA/Single Sign-On - NTLM ま たは基本認証のシ ン グル サ イ ン オ ン を使用す る 、 Microsoft Outlook Web Access な ど のサ イ ト 用のプ ロ フ ァ イ ル。 • WorkPlaceCfg - ASAP WorkPlace 用の読み取 り 専用プ ロ フ ァ イ ル。 • Web リ ソ ー ス は、 き わめて広範囲に定義で き る ため、 アプ ラ イ ア ン ス では、 送 ら れて く る 要求に ど の Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルを適用す る か判定す る 場合、 一定のルールに従い ます。 アプ ラ イ ア ン ス は、 最 も 狭い範囲の リ ソ ー ス に対応す る プ ロ フ ァ イ ルを選択 し ます。 た と えば、 あ る DNS ド メ イ ン (xyz.com) を リ ソ ー ス と し て定義 し てお り 、 Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ル A を それに対応 さ せ てい る と 仮定 し ま す。 ま たそれ以外に、 特定の Web サーバー (web1.xyz.com) を リ ソ ー ス と し て定義 し てお り 、 Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ル B を それに対応 さ せてい ま す。 こ の状態で、 https://web1.xyz.com/timesheet.html に対す る ユーザーの要求が送 ら れて き た ら 、 アプ ラ イ ア ン ス は、 Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ル B を使用 し ま す。 こ れは、 プ ロ フ ァ イ ル B が、 Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ル A ( ド メ イ ン ) よ り も 狭い範囲の リ ソ ース (Web サーバー ) と 対応 し てい る た めです。 アプ ラ イ ア ン ス が実際に使用す る 順序は次の よ う にな り ます。 • 同 じ Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルを、 単一 ド メ イ ン内のすべての リ ソ ー ス に対応 さ せ る 場合、 あ る プ ロ フ ァ イ ルを その ド メ イ ン に対応 さ せて、 その ド メ イ ン内で定義 し てい る 個別の リ ソ ース について は、 プ ロ フ ァ イ ルに [None] を選択 し ます。 個別の リ ソ ー ス は、 その ド メ イ ン のプ ロ フ ァ イ ルを 「継承」 し ま す。 特定の リ ソ ー ス に ド メ イ ン が対応 し てお ら ず、 継承す る プ ロ フ ァ イ ルがない場合、 アプ ラ イ ア ン ス は、 そのプ ロ フ ァ イ ルのシ ス テ ム デフ ォ ル ト を使用 し ま す。 URL --> ホ ス ト 名 --> IP ア ド レ ス --> サブネ ッ ト /IP 範囲 --> DNS ド メ イ ン Web アプ リ ケーシ ョ ン プロ フ ァ イルの編集と削除 プ ロ フ ァ イ ルを修正す る 前に、 プ ロ フ ァ イ ルが対応す る アプ リ ケーシ ョ ン と その変更事項の間に互換性があ る こ と を確認 し て く だ さ い。 プ ロ フ ァ イ ルが 1 つま たは複数の リ ソ ース と 対応 し てい る 場合、 そのプ ロ フ ァ イ ルは削除す る こ と がで き ま せ ん。 そのプ ロ フ ァ イ ルを削除 し たい場合、 残存す る すべての対応を削除 し なければな り ません。 詳細について は、 43 ページの 「参照 さ れてい る オブジ ェ ク ト の削除」 を参照 し て く だ さ い。 100 | 第 5 章 - セキ ュ リ テ ィ 管理 ア ク セス制御ルール ア ク セ ス制御ルールは、 ユーザー ま たはグループが ど の リ ソ ー ス を使用で き る か定義す る も のです。 ルールは、 すべてのア ク セ ス方式か ら のア ク セ ス を受け入れ る よ う 広 く 定義で き る 他、 特定のア ク セ ス方式 (Web ブ ラ ウ ザ、 Aventail Connect と Aventail OnDemand、 Network Explorer な ど ) のみを許可す る よ う 狭 く 定義す る こ と も で き ます。 ア ク セ ス制御ルールは、 ユーザーの身元に基づいてそのユーザーが リ ソ ー ス にア ク セ ス で き る か ど う か評価す る 他、 End Point Control ゾーンやデバ イ ス プ ロ フ ァ イ ルを使用 し 、 ユーザーのア ク セ ス ポ イ ン ト の信頼性に ついて勘案す る こ と も で き ま す。 こ れについては、 184 ページの 「ゾーンお よ びデバ イ ス プ ロ フ ァ イ ルに よ る EPC の管理」 で説明 し てい ます。 アクセス制御ルールの構成 時間の経過 と と も にネ ッ ト ワ ー ク が変化す る のに合わせて、 さ ま ざ ま なユーザー と グループが ど のアプ リ ケー シ ョ ン リ ソ ース を使用で き る か決定す る ア ク セ ス 制御ルールを構成す る 必要が出て き ます。 ア ク セ ス制御ルールを追加す る 前に、 既存のルールの リ ス ト を慎重に検討 し ま す。 場合に よ っ ては、 新 し い ルールを作成せずに既存のルールを修正で き る 可能性 も あ り ま す。 時間を節約す る ため、 既存のルールを コ ピー し て、 そのパ ラ メ ー タ を修正す る こ と も で き ま す。 新 し いルールを追加す る 場合、 現在の構成を確認す る と 、 新 し いルールがルール順序の ど の位置に適合す る か 判定す る こ と がで き ます。 デフ ォ ル ト の場合、 新 し いルールは、 ア ク セ ス 制御ルールの先頭に追加 さ れ ま す。 その後、 リ ス ト 内の適切な場所に移動す る こ と がで き ます。 アクセス制御ルールの表示 ア ク セ ス制御ルールは、 [Access Control] ページに番号順に表示 さ れ ます。 アプ ラ イ ア ン ス は、 先頭のルー ルを最初に評価 し 、 次に 2 番目のルールを評価 し ま す。 デフ ォ ル ト ではすべてのア ク セ ス制御ルールが表示 さ れ ま すが、 [Display] リ ス ト を使用す る こ と で リ ソ ース タ イ プ別に表示す る こ と も で き ま す。 X ア ク セ ス制御ルールを表示する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Access Control] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Access Control] ページが表示 さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 101 2. 3. [Display] リ ス ト か ら 、 表示 し たいルール セ ッ ト を選択 し ます。 • リ ソ ー ス タ イ プに関係な く すべてのア ク セ ス ルールを表示す る 場合、 [All] を選択 し ま す。 • Web ベー ス (HTTP お よ び HTTPS) の リ ソ ース に対す る ア ク セ ス を制御す る ア ク セ ス ルールを表示 す る 場合、 [Web browser] を選択 し ま す。 • ク ラ イ ア ン ト / サーバー (TCP/IP) リ ソ ー ス に対す る ア ク セ ス を制御す る ア ク セ ス ルールを表示す る 場合、 [Aventail Connect/OnDemand] を選択 し ます。 • ASAP WorkPlace を使用 し た Windows フ ァ イ ル シ ス テ ム リ ソ ー ス に対す る ア ク セ ス を制御す る ア ク セ ス ルールを表示す る 場合、 [Network Explorer] を選択 し ます。 ア ク セ ス制御ルールの リ ス ト に表示 さ れ る デー タ を確認 し ます。 • チ ェ ッ ク ボ ッ ク ス 列は、 1 つ ま たは複数のルールを選択す る と き に使用 し ます。 ルールの削除 ([Delete] ボ タ ン を使用 )、 コ ピー ([Copy] ボ タ ン を使用 )、 順序変更 ([Move Up] ボ タ ンお よ び [Move Down] ボ タ ン を使用 ) な ど を行 う と き に こ れを使用 し ます。 • 数値の列は、 ルールが評価 さ れ る と き の順序を示 し ます。 ルールを編集す る と き は、 対応す る 番号を ク リ ッ ク し ま す。 • プ ラ ス 記号 (+) の列を ク リ ッ ク す る と 、 選択 し たルールが拡大 さ れ、 その構成の詳細 と 、 そのルー ルで参照 さ れてい る オブジ ェ ク ト が表示 さ れ ま す。 • [Action] 列は、 ルールがア ク セ ス の許可 と 拒否の ど ち ら の目的で使用 さ れてい る か、 あ る いは無効 にな っ てい る か を示 し ます。 一致す る も のが見つか っ た場合、 アプ ラ イ ア ン ス は、 こ こ で指定 さ れた 動作を実行 し ま す。 ア ク セ ス を許可す る ルールの場合緑色の イ ン ジ ケー タ 、 ア ク セ ス を拒否す る ルー ルの場合赤い イ ン ジ ケー タ が、 [Action] 列に表示 さ れ ま す。 ま た、 イ ン ジ ケー タ の上にカー ソ ルを 置 く と 、 その動作の タ イ プ を示すテ キ ス ト が表示 さ れ ま す。 ルールが無効にな っ てい る 場合は、 [Action] 列にグ レーの イ ン ジ ケー タ が表示 さ れ ま す。 ルールが 無効で あれば、 そのルールは評価 さ れ ません。 こ の機能を利用す る と 、 ルールを削除せずに一時的に 無効にす る こ と がで き る ため、 非常に便利です。 • [Description] 列には、 ルールを作成 し た と き に入力 し た説明テ キ ス ト が表示 さ れ ま す。 • [From] 列には、 ルールを適用す る 対象ユーザーが表示 さ れ ます。 こ の列に 「Any」 と 表示 さ れて い る 場合、 そのルールはすべてのユーザーに適用 さ れ ます。 逆方向接続の場合、 こ の列には、 ユー ザーに接続 し てい る リ ソ ー ス が表示 さ れ ま す。 102 ページの 「双方向接続のア ク セ ス 制御ルール」 を参照 し て く だ さ い。 • [To] 列には、 ルールが適用 さ れ る 接続元 リ ソ ー ス が表示 さ れ ます。 こ の列に 「Any」 と 表示 さ れて い る 場合、 そのルールはすべての リ ソ ー ス に適用 さ れ ます。 逆方向接続の場合、 こ の列には、 リ ソ ー ス に逆方向接続 し てい る ユーザーが表示 さ れ ます。 102 ページの 「双方向接続のア ク セ ス 制御ルー ル」 を参照 し て く だ さ い。 • [Method] 列には、 特定のア ク セ ス 方式がルールに対応 し てい る か ど う かが示 さ れ ます。 地球ア イ コ ン に フ ォ ルダが付いてい る ア イ コ ンは、 Network Explorer、 つま り フ ァ イ ル シ ス テ ム リ ソ ー ス への Web ア ク セ ス を表 し てい ま す。 Aventail の ロ ゴ が付いてい る 場合は、 Aventail Connect ト ン ネル ま たはプ ロ キ シ ク ラ イ ア ン ト 、 Aventail OnDemand ト ン ネル ま たはプ ロ キ シ エージ ェ ン ト の いずれか を介 し た ア ク セ ス を表 し てい ま す。 こ の列に 「Any」 と 表示 さ れてい る 場合は、 そのルール がすべてのア ク セ ス 方式に適用 さ れ る こ と を示 し ま す。 • [Zone] 列には、 ア ク セ ス ルールが特定の End Point Control ゾーン に対応 し てい る か ど う かが示 さ れ ま す。 EPC ゾーンは、 ク ラ イ ア ン ト デバ イ ス の属性に基づいて、 接続要求を分類す る ために使 用 さ れ ます。 こ の列に 「Any」 と 表示 さ れてい る 場合は、 そのルールがすべての EPC ゾーン に適用 さ れ る こ と を示 し ます。 赤い 「立入禁止」 ア イ コ ンは、 こ のルールが 1 つま たは複数の特定ゾーン について、 ア ク セ ス を制御す る こ と を表 し ま す。 102 | 第 5 章 - セキ ュ リ テ ィ 管理 双方向接続のアクセス制御ルール VPN 接続には通常、 いわゆ る 順方向接続 ( ネ ッ ト ワ ー ク リ ソ ース に対 し てユーザーが始動す る ) が伴い ま す。 ただ し 、 ネ ッ ト ワ ー ク ト ン ネル サービ ス を実行 し てお り 、 Aventail のネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト (Connect ト ン ネル ま たは OnDemand ト ン ネル ) を ユーザーに設定す る 場合、双方向接続が可能にな り ま す。 Aventail VPN 内では、 双方向接続に よ っ て次の機能が実行 さ れ ま す。 • VPN ユーザーか ら ネ ッ ト ワ ー ク リ ソ ース への順方向接続。 103 ページの 「順方向接続のためのア ク セ ス 制御ルールの追加」 を参照 し て く だ さ い。 • ネ ッ ト ワ ー ク リ ソ ース か ら VPN ユーザーへの逆方向接続。 逆方向接続の例には、 ユーザーのマ シ ン に ソ フ ト ウ ェ ア ア ッ プデー ト を 「プ ッ シ ュ 」 す る SMS サーバーがあ り ま す。 105 ページの 「逆方向接続のた めのア ク セ ス 制御ルールの追加」 を参照 し て く だ さ い。 • 相互接続。 VPN ユーザーが他の VPN ユーザーに電話で き る よ う にす る Voice over Internet Protocol (VoIP) アプ リ ケーシ ョ ン を特に指 し ます。 相互接続では、 順方向接続に使用す る ア ク セ ス 制御ルール と 逆方向接続に使用す る ア ク セ ス制御ルールのペアが必要です。 106 ページの 「相互接続のためのア ク セ ス 制御ルールの追加」 を参照 し て く だ さ い。 その他の双方向接続の例には、 VPN ユーザー と の間で フ ァ イ ルを ダ ウ ン ロ ー ド ま たはア ッ プ ロ ー ド す る FTP サーバーや、 リ モー ト ヘルプ デ ス ク アプ リ ケーシ ョ ン な ど があ り ま す。 逆方向接続および相互接続の要件 逆方向接続お よ び相互接続のア ク セ ス制御ルールを構成す る 場合、 次の条件が前提にな り ま す。 • アプ ラ イ ア ン ス でネ ッ ト ワ ー ク ト ン ネル サービ ス が動作 し てい る こ と 。 こ れは [Services] ページで実 行 し ま す。 • ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト のための IP ア ド レ ス プールを構成 し てい る こ と 。 こ れは、 [Configure Network Access Service] > [Network Tunnel Options] ページで実行 し ま す。 • VoIP アプ リ ケーシ ョ ンにア ク セ ス す る ユーザーが、ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト (Connect ト ン ネル ま たは OnDemand ト ン ネル ) を設定す る 構成の コ ミ ュ ニ テ ィ に所属 し てい る こ と 。 こ れは、 [Configure Community] > [Access Methods] ページで実行 し ます。 逆方向接続のためのアプ リ ケーシ ョ ン ポー ト の保護 デフ ォ ル ト の場合、 リ ソ ー ス か ら ユーザーへの逆方向接続では、 ユーザーの コ ン ピ ュ ー タ 上のすべてのポー ト にア ク セ ス す る こ と がで き ます。 セ キ ュ リ テ ィ を向上 さ せ る ため、 逆方向接続のア ク セ ス 制御ルールで、 アプ リ ケーシ ョ ン が特異的に使用す る ポー ト のみにア ク セ ス を限定す る よ う 構成す る 必要があ り ます。 アプ リ ケー シ ョ ン を使用す る と き に開け ておかなければな ら ない フ ァ イ ア ウ ォ ール ポー ト については、 アプ リ ケーシ ョ ン のマニ ュ アルを参照 し て く だ さ い。 逆方向接続のア ク セ ス ルールを構成す る と き に、 [Destination restrictions] オプシ ョ ン を使用 し て、 ア プ リ ケーシ ョ ン が逆方向接続で使用す る 特定ポー ト のみにア ク セ ス を限定 し ま す。 詳細については、 108 ペー ジの 「高度な ア ク セ ス制御ルール属性の使用」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 103 順方向接続のためのアクセス制御ルールの追加 ユーザーか ら 接続先 リ ソ ー ス に対す る 順方向接続のためにア ク セ ス 制御ルールを追加す る と き は、 次の手順を 実行 し ます。 VoIP アプ リ ケーシ ョ ン な ど の相互接続のためにア ク セ ス 制御ルールを作成す る 場合は、 106 ページの 「相互接続のためのア ク セ ス制御ルールの追加」 を参照 し て く だ さ い。 X 順方向接続のためのア ク セ ス制御ルールを追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Access Control] を ク リ ッ ク し ま す。 2. [Access Control] ページで、 [New] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Add/Edit Access Rule] ページが表示 さ れ ます。 3. [Number] ボ ッ ク ス に数値を入力 し て、 ア ク セ ス ルール リ ス ト 内のルールの位置を指定 し ま す。 デ フ ォ ル ト の場合、 新 し いルールは、 リ ス ト の先頭に追加 さ れ ま すが、 こ のボ ッ ク ス を使用すれば、 ルール を任意の場所に入れ る こ と がで き ます。 た と えば、 新 し いルールに 「3」 を割 り 当てれば、 そのルールは、 カ レ ン ト ルール 3 ( その後ルール 4 にな る ) の前に挿入 さ れ ます。 こ の フ ィ ール ド は必須です。 4. [Description] ボ ッ ク ス に、 そのルールについての コ メ ン ト を入力 し ま す。 こ の手順はオプシ ョ ン です が、 説明を入れてお く と 、 後でルールの リ ス ト を参照す る と き にわか り やす く な る ため便利です。 ま た、 こ の コ メ ン ト は ロ グ フ ァ イ ルに も 表示 さ れ る ため、 デバ ッ グの際に役に立ち ま す。 [ID] は、 AMC が自 動的に割 り 当て る 固有の識別子で、 編集す る こ と はで き ません。 5. ルールを ア ク セ ス の許可のために使用す る か拒否のために使用す る かは、 [Action] の [Permit] ボ タ ン お よ び [Deny] ボ タ ン でそれぞれ指定 し ます。 ま た、 [Disabled] でルールを無効にす る こ と も で き ま す。 6. [Basic settings] エ リ アで、 次の情報を入力 し ま す。 • ユーザーか ら リ ソ ー ス への順方向接続の場合は、 [User] ボ タ ン を選択 し ま す。 [User] ボ タ ン と [Resource] ボ タ ンは切替式にな っ てお り 、 それぞれ順方向接続ルール と 逆方向接続ルールに対応 し てい ます。 • [From] ボ ッ ク ス では、 ルールを適用す る ユーザーま たはユーザー グループ を指定 し ます。 ユー ザーやグループ を リ ス ト か ら 選択す る 場合は、 [Edit] を ク リ ッ ク し ま す。 ユーザーやグループが指 定 さ れていない場合、 こ の フ ィ ール ド の値はデフ ォ ル ト 値の 「Any user」 にな り ま す。 • [To] ボ ッ ク ス では、 ルールを適用す る リ ソ ー ス ま たは リ ソ ー ス グループ を指定 し ま す。 リ ソ ース を リ ス ト か ら 選択す る 場合は、 [Edit] を ク リ ッ ク し ます。 接続先 リ ソ ー ス が選択 さ れていない場合、 こ の フ ィ ール ド の値はデフ ォ ル ト 値の 「Any resource」 にな り ます。 104 | 第 5 章 - セキ ュ リ テ ィ 管理 7. [Access methods] エ リ アで、 リ ソ ー スへのア ク セ ス を コ ン ト ロ ールす る ア ク セ ス 方式を 1 つ ま たは 複数選択 し ま す。 • [Any] の場合、 要求を出すア ク セ ス 方式が何であ る かに関係な く 、 ルールのすべての リ ソ ー ス に対 す る ア ク セ ス を管理 し ま す。 ほ と ん ど の環境では、 こ の設定が推奨 さ れ ま す。 ただ し 、 セ キ ュ リ テ ィ 要件のために、 リ ソ ー スへのア ク セ ス を特定のア ク セ ス 方式に制限 し なければな ら ない場合はその限 り ではあ り ま せん。 • [Web browser] の場合、 Web ブ ラ ウ ザ経由で接続す る ユーザーの、 HTTP ま たは HTTPS リ ソ ー ス か ら のア ク セ ス を管理 し ま す。 • [Network Explorer] の場合、 Network Explorer を介 し て接続す る ASAP WorkPlace ユーザー の、 Windows フ ァ イ ル シ ス テ ム リ ソ ース か ら のア ク セ ス を管理 し ま す。 • [Aventail Connect and Aventail OnDemand] の場合、 Aventail Connect ト ン ネル ま たは プ ロ キ シ ク ラ イ ア ン ト 、 Aventail OnDemand ト ン ネル ま たはプ ロ キ シ エージ ェ ン ト のいずれか を 介 し て接続す る ユーザーの、 ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン、 フ ァ イ ル サーバー、 デー タ ベー ス な ど と い っ た TCP/IP リ ソ ー ス か ら のア ク セ ス を管理 し ます。 た と えば、 Aventail Connect ま たは Aventail OnDemand を使用す る ユーザーに対 し て、 ネ ッ ト ワ ー ク ド メ イ ンへのア ク セ ス は許可 し たいが、 その ド メ イ ン内の Web リ ソ ース に対す る ブ ラ ウ ザ ア ク セ ス は許可 し た く ない と い う 状況について考え ま す。 こ れは、 [Destination resources] ボ ッ ク ス でネ ッ ト ワ ー ク ド メ イ ン を指定 し 、 ア ク セ ス方式 と し て [Aventail Connect and Aventail OnDemand] だけ を指定す る ルールを作成す る こ と で実現で き ます。 8. [End Point Control zones] エ リ アで、 リ ソ ー スへのア ク セ ス を許可ま たは拒否す る ゾーン を選択 し ます。 リ ソ ー ス を リ ス ト か ら 選択す る 場合は、 [Edit] を ク リ ッ ク し ます。 こ の フ ィ ール ド のデフ ォ ル ト 値は 「Any」 です。 ゾーンの構成方法 と 使用方法については、 184 ページの 「ゾーンお よ びデバ イ ス プ ロ フ ァ イ ルに よ る EPC の管理」 を参照 し て く だ さ い。 9. ルールの作成が終わ っ た ら 、 [Save and Add Another] を ク リ ッ ク し て、 他のルールを定義す る こ と がで き ます。 ま た、 [Save] を ク リ ッ ク し て終了す る こ と も で き ます。 こ の操作に よ り 、 [Access Control] ページに戻 り ます。 メモ • AMC では、 複数のア ク セ ス方式を柔軟に リ ソ ース に割 り 当て る こ と がで き る ため、 ア ク セ ス 方式 と リ ソ ー ス と の間に不適合が起 こ る こ と があ り ます。 こ の よ う な状況は、 指定 さ れた リ ソ ー ス と 互換性のない ア ク セ ス方式を割 り 当て る よ う なルールを作成 し た場合に発生 し ます。 た と えば、 Windows ド メ イ ン リ ソ ー ス に対す る ア ク セ ス方式 と し て [Web browser] を指定 し た場合、 AMC で 「Invalid destination resources」 と い う エ ラ ー メ ッ セージが表示 さ れ ます。 詳細については、 • 場合に よ っ ては、 リ ソ ース やア ク セ ス方式を混在 さ せた 「拒否」 ルールを作成 し 、 それ以降のルールが評 価 さ れない よ う にす る こ と も で き ます。 ただ し こ の よ う なルールは、 ア ク セ ス ポ リ シーで参照 さ れてい る 他の リ ソ ー スへのユーザー ア ク セ ス を誤っ てブ ロ ッ ク す る 可能性 も あ り ます。 • IP ア ド レ ス プールが構成 さ れていない状態でルールを順方向接続か ら 逆方向接続へ変更 し よ う と す る と 、 AMC でエ ラ ー メ ッ セージが表示 さ れ ます。 逆方向接続は、 ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト で IP ア ド レ ス プールが構成 さ れてい る 場合に限っ て使用で き ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 105 逆方向接続のためのアクセス制御ルールの追加 接続先 リ ソ ー ス か ら ユーザーに対す る 逆方向接続のためにア ク セ ス 制御ルールを追加す る と き は、 次の手順を 実行 し ます。 逆方向接続の例には、 IBM の Tivoli プ ロ ビ ジ ョ ニ ン グ製品や、 Microsoft の Systems Management Server (SMS) な ど があ り ます。 102 ページの 「逆方向接続お よ び相互接続の要件」 を参照 し て く だ さ い。 X 逆方向接続のためのア ク セ ス制御ルールを追加する には 1. 逆方向接続を構成す る ための要件が満た さ れてい る こ と を確認 し ます。 2. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Access Control] を ク リ ッ ク し ま す。 3. [Access Control] ページで、 [New] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Add/Edit Access Rule] ページが表示 さ れ ます。 4. [Number] ボ ッ ク ス に数値を入力 し て、 ア ク セ ス ルール リ ス ト 内のルールの位置を指定 し ま す。 デ フ ォ ル ト の場合、 新 し いルールは、 リ ス ト の先頭に追加 さ れ ま すが、 こ のボ ッ ク ス を使用すれば、 ルール を任意の場所に入れ る こ と がで き ます。 た と えば、 新 し いルールに 「3」 を割 り 当てれば、 そのルールは、 カ レ ン ト ルール 3 ( その後ルール 4 にな る ) の前に挿入 さ れ ます。 こ の フ ィ ール ド は必須です。 5. [Description] ボ ッ ク ス に、 そのルールについての コ メ ン ト を入力 し ま す。 こ の手順はオプシ ョ ン です が、 説明を入れてお く と 、 後でルールの リ ス ト を参照す る と き にわか り やす く な る ため便利です。 ま た、 こ の コ メ ン ト は ロ グ フ ァ イ ルに も 表示 さ れ る ため、 デバ ッ グの際に役に立ち ま す。 [ID] は、 AMC が自 動的に割 り 当て る 固有の識別子で、 編集す る こ と はで き ません。 6. ルールを ア ク セ ス の許可のために使用す る か拒否のために使用す る かは、 [Action] の [Permit] ボ タ ン お よ び [Deny] ボ タ ン でそれぞれ指定 し ます。 ま た、 [Disabled] でルールを無効にす る こ と も で き ま す。 7. [Basic settings] エ リ アで、 次の情報を入力 し ま す。 • リ ソ ー ス か ら ユーザーへの逆方向接続の場合は、 [Resource] ボ タ ン を選択 し ます。 [User] ボ タ ン と [Resource] ボ タ ンは切替式にな っ てお り 、 それぞれ順方向接続ルール と 逆方向接続ルールに 対応 し てい ま す。 逆方向接続は、 ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト で IP ア ド レ ス プールが構成 さ れてい る 場合に 限っ て使用で き ます。 IP ア ド レ ス プールが構成 さ れていない状態で逆方向接続を作成 し よ う と す る と 、 AMC でエ ラ ー メ ッ セージが表示 さ れ ます。 102 ページの 「双方向接続のア ク セ ス 制御ルール」 を参照 し て く だ さ い。 • [From] ボ ッ ク ス では、 ユーザーに接続す る リ ソ ース を指定 し ます。 リ ソ ー ス を リ ス ト か ら 選択す る 場合は、 [Edit] を ク リ ッ ク し ま す。 リ ソ ース が選択 さ れていない場合、 こ の フ ィ ール ド の値はデ フ ォ ル ト 値の 「Any resource」 にな り ま す。 • [To] ボ ッ ク ス では、 リ ソ ー ス が接続す る ユーザーを指定 し ます。 リ ソ ー ス を リ ス ト か ら 選択す る 場 合は、 [Edit] を ク リ ッ ク し ま す。 ユーザーが選択 さ れていない場合、 こ の フ ィ ール ド の値はデフ ォ ル ト 値の 「Any user」 にな り ます。 106 | 第 5 章 - セキ ュ リ テ ィ 管理 8. [Access methods] エ リ アで [Any] を選択す る と 、 要求を出すア ク セ ス 方式が何で あ る かに関係な く 、 ルールですべての リ ソ ー ス に対す る ア ク セ ス が自動的に管理 さ れ る よ う にな り ま す。 こ の設定に よ り 、 Connect ト ン ネル ク ラ イ ア ン ト も OnDemand ト ン ネル エージ ェ ン ト も ( 逆方向接続で必要 ) ルールで管理 さ れ る よ う にな り ます。 他のア ク セ ス方式は、 逆方向接続をサポー ト し ていないため、 バ イ パス さ れ ます。 9. ルールの作成が終わ っ た ら 、 [Save and Add Another] を ク リ ッ ク し て、 他のルールを定義す る こ と がで き ます。 ま た、 [Save] を ク リ ッ ク し て終了す る こ と も で き ます。 こ の操作に よ り 、 [Access Control] ページに戻 り ます。 相互接続のためのアクセス制御ルールの追加 相互接続のためにア ク セ ス 制御ルールを作成す る 際の手順は、 順方向接続 ま たは逆方向接続の場合 と ほ と ん ど 同 じ です。 ただ し 、 相互接続の場合、 ユーザー と 接続先 リ ソ ー ス を指定す る 方法が他の場合 と 若干異な り ま す。 た と えば、 VPN ユーザーに対 し 、 VoIP (Voice over Internet Protocol) テ ク ノ ロ ジー アプ リ ケーシ ョ ン を使 用 し て互い を呼び出す許可を与え たい場合、 ユーザーがアプ ラ イ ア ン ス の IP ア ド レ ス プールに接続す る と き のルール と 、 IP ア ド レ ス プールがユーザーに接続す る と き のルールを それぞれ作成す る 必要があ り ます。 ま た、 FTP サーバー と ユーザーの間で双方向接続を許可す る 場合 も 、 こ の よ う な手順でルールのペア を作成す る 必要があ り ます。 ただ し 、 Connect プ ロ キ シ ク ラ イ ア ン ト は、 ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト の場合 と 異な り 、 FTP 接続を処理す る 場合、 ア ク セ ス 制御ルールを 1 つ し か使用す る こ と がで き ません。 X 相互接続のためのア ク セ ス制御ルールを追加する には 1. 逆方向接続を構成す る ための要件が満た さ れてい る こ と を確認 し ます。 102 ページの 「逆方向接続お よ び 相互接続の要件」 を参照 し て く だ さ い。 2. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Access Control] を ク リ ッ ク し ま す。 3. [Access Control] ページで、 [New] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Add/Edit Access Rule] ページが表示 さ れ ます。 4. [Number] ボ ッ ク ス に数値を入力 し て、 ア ク セ ス ルール リ ス ト 内のルールの位置を指定 し ま す。 デ フ ォ ル ト の場合、 新 し いルールは、 リ ス ト の先頭に追加 さ れ ま すが、 こ のボ ッ ク ス を使用すれば、 ルール を任意の場所に入れ る こ と がで き ます。 た と えば、 新 し いルールに 「3」 を割 り 当てれば、 そのルールは、 カ レ ン ト ルール 3 ( その後ルール 4 にな る ) の前に挿入 さ れ ます。 こ の フ ィ ール ド は必須です。 5. [Description] ボ ッ ク ス に、 そのルールについての コ メ ン ト を入力 し ま す。 こ の手順はオプシ ョ ン です が、 説明を入れてお く と 、 後でルールの リ ス ト を参照す る と き にわか り やす く な る ため便利です。 ま た、 こ の コ メ ン ト は ロ グ フ ァ イ ルに も 表示 さ れ る ため、 接続が特定のルール と 合致 し ていない理由を判断す る 目的で ロ グ を検査す る 際に役に立ち ます。 [ID] は、 AMC が自動的に割 り 当て る 固有の識別子で、 編集 す る こ と はで き ません。 相互接続では、 順方向接続ルール と 逆方向接続ルールのペアが必要にな る ため、 2 つのルールに同様の名 前を割 り 当て てお き ま す。 こ う し てお く と 、 対応す る ルールを ア ク セ ス制御ルールの リ ス ト か ら 探 し 出す と き に、 容易に判別で き る よ う にな り ま す。 6. ルールを ア ク セ ス の許可のために使用す る か拒否のために使用す る かは、 [Action] の [Permit] ボ タ ン お よ び [Deny] ボ タ ン でそれぞれ指定 し ます。 ま た、 [Disabled] でルールを無効にす る こ と も で き ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 107 7. 8. 9. [Basic settings] エ リ アの [User] ボ タ ン と [Resource] ボ タ ンは切替式にな っ てお り 、 それぞれ順 方向接続ルール と 逆方向接続ルールに対応 し てい ま す。 • ユーザーか ら IP ア ド レ ス プールへの順方向接続ルールを作成す る 場合は、 [User] ボ タ ン を選択 し ます。 • IP ア ド レ ス プールか ら ユーザーへの逆方向接続ルールを作成す る 場合は、 [Resource] ボ タ ン を 選択 し ます。 [Basic settings] エ リ アの [From] ボ ッ ク ス では、 次の よ う に指定 し ま す。 • 順方向接続ルールの場合、 ルールを適用す る ユーザー ま たはユーザー グループ を指定 し ま す。 ユー ザーやグループ を リ ス ト か ら 選択す る 場合は、 [Edit] を ク リ ッ ク し ます。 デフ ォ ル ト 値は 「Any user」 です。 • 逆方向接続ルールの場合、 VoIP アプ リ ケーシ ョ ン で使用す る ア ド レ ス プールを指定 し ます。 ア ド レ ス プールを リ ソ ー ス の リ ス ト か ら 選択す る 場合は、 [Edit] を ク リ ッ ク し ます。 デフ ォ ル ト 値は 「Any resource」 です。 [Basic settings] エ リ アの [To] ボ ッ ク ス では、 次の よ う に指定 し ま す。 • 順方向接続ルールの場合、 VoIP アプ リ ケーシ ョ ン で使用す る ア ド レ ス プールを指定 し ます。 ア ド レ ス プールを リ ソ ー ス の リ ス ト か ら 選択す る 場合は、 [Edit] を ク リ ッ ク し ます。 デフ ォ ル ト 値は 「Any resource」 です。 • 逆方向接続ルールの場合、 ルールを適用す る ユーザーを指定 し ます。 ユーザーやグループ を リ ス ト か ら 選択す る 場合は、 [Edit] を ク リ ッ ク し ます。 デフ ォ ル ト 値は 「Any user」 です。 • [To] ボ ッ ク ス では、 ルールを適用す る リ ソ ー ス ま たは リ ソ ー ス グループ を指定 し ま す。 ただ し 、 逆 方向接続ルールの場合、 [From] ボ ッ ク ス で リ ソ ース が接続す る ユーザーを指定 し ま す。 リ ソ ー ス を リ ス ト か ら 選択す る 場合は、 [Edit] を ク リ ッ ク し ます。 接続先 リ ソ ース やユーザーが選択 さ れて いない場合、 こ の フ ィ ール ド の値はデフ ォ ル ト 値の 「Any」 にな り ます。 10. [Access methods] エ リ アで [Any] を選択 し ます。 こ の設定に よ り 、 アプ ラ イ ア ン ス の Smart Access 機能が、 ユーザーのエ ン ド ポ イ ン ト デバ イ ス に合っ た適切な ア ク セ ス 方式を判定す る よ う にな り ます。 こ れは、 逆方向接続の場合、 Connect ト ン ネル ク ラ イ ア ン ト ま たは Connect ト ン ネル エー ジ ェ ン ト にな り ま す。 他のア ク セ ス 方式は、 相互接続 ま たは双方向接続をサポー ト し ていないため、 バ イ パス さ れ ます。 11. [Access methods] エ リ アで [Any] を選択す る と 、 要求を出すア ク セ ス 方式が何で あ る かに関係な く 、 ルールですべての リ ソ ー ス に対す る ア ク セ ス が自動的に管理 さ れ る よ う にな り ま す。 こ の設定に よ り 、 Connect ト ン ネル ク ラ イ ア ン ト も OnDemand ト ン ネル エージ ェ ン ト も ( 逆方向接続で必要 ) ルールで管理 さ れ る よ う にな り ます。 他のア ク セ ス方式は、 逆方向接続をサポー ト し ていないため、 バ イ パス さ れ ます。 12. 相互接続ルールのペアで最初のルールの作成が終わ っ た ら 、 [Save and Add Another] を ク リ ッ ク し 、 2 番目のルールを作成 し てか ら [Save] を ク リ ッ ク し て保存 し ます。 ( ま た、 最初のルールを作成 し た時 点で保存 し 、 それを コ ピー し てか ら 、 ユーザー設定 と リ ソ ー ス 設定を逆にす る こ と も で き る ) メモ • 相互接続ルールのペア を構成す る 順方向接続ルール と 逆方向接続ルールを接続 し た ら 、 こ の 2 つのルール を、 ア ク セ ス 制御 リ ス ト で並べて配置 し ま す。 こ う し てお く こ と に よ り 、 それぞれのルールについて、 関 連す る ルール と し て識別 し やす く な り ます。 • IP ア ド レ ス プールが構成 さ れていない状態で相互接続ルールを作成 し よ う と す る と 、 AMC でエ ラ ー メ ッ セージが表示 さ れ ます。 102 ページの 「双方向接続のア ク セ ス制御ルール」 を参照 し て く だ さ い。 108 | 第 5 章 - セキ ュ リ テ ィ 管理 高度なアクセス制御ルール属性の使用 ほ と ん ど のルールには、 ユーザーやグループ、 接続先 リ ソ ー ス 、 ア ク セ ス 方式な ど が含 まれ る 基本構成があ り 、 通常は こ れで十分です。 ただ し 、 さ ら に詳細な ア ク セ ス 制御を行いたい場合は、 [Add/Edit Access Rule] ページの [Advanced] エ リ アのオプシ ョ ン を使用で き る よ う にな っ てい ま す。 た と えば、 特定の IP ア ド レ ス か ら の接続のみを許可 し たい場合は、 [User’s network address] オプシ ョ ン を使用 し ま す。 その場合、 接続先 リ ソ ー スへの接続を許可 ま たは拒否す る 段階で、 要求を出 し た ロ ケーシ ョ ン に基づいて、 接続元ネ ッ ト ワ ー ク を ア ク セ ス ルールで参照 し ま す。 こ れに よ っ て、 セ キ ュ リ テ ィ が一層向上 し ます。 . X ア ク セ ス制御ルールで高度な設定を使用する には 1. [Add/Edit Access Rule] ページの [Advanced] エ リ アにあ る 下向 き 矢印ボ タ ン を ク リ ッ ク し ま す。 2. [User’s network address] オプ シ ョ ン を使用 し て、 ルールで評価 し たい接続元ネ ッ ト ワ ー ク の名前 を指定 し ま す。 こ れは、 接続要求の送信元に基づいて ア ク セ ス を制御す る と き に使用す る と 便利です。 ネ ッ ト ワ ー ク リ ソ ース を リ ス ト か ら 選択す る 場合は、 [Edit] を ク リ ッ ク し ま す。 接続元ネ ッ ト ワ ー ク が 指定 さ れていない場合、 こ の フ ィ ール ド の値はデフ ォ ル ト 値の 「Any」 にな り ます。 逆方向接続の場合、 こ のオプシ ョ ン を使用す る こ と で、 特定のポー ト ま たはアプ リ ケーシ ョ ン リ ソ ース か ら の、 ユーザーの コ ン ピ ュ ー タ へのア ク セ ス をブ ロ ッ ク す る こ と がで き ま す。 3. SSL 接続を行 う と き にユーザーのデバ イ ス で求め ら れ る 最小キー長を [Minimum key length] で指定 し ま す。 ユーザーのデバ イ ス で最高度のセ キ ュ リ テ ィ が必要な場合は、 [128-bit] を選択 し ます。 環境 が強力な暗号化を サポー ト し ていない場合は、 比較的短いキー長を選択 し ま す。 4. 個別のポー ト ま たは一定範囲のポー ト に よ る ア ク セ ス を制限す る 場合は、 [Destination restrictions] の [Ports] を使用 し ま す。 た と えば、 SMTP メ ール サーバーへのア ク セ ス を制御す る ポ リ シーを構築 し てい る 場合は、 ポー ト 25 (SMTP ト ラ フ ィ ッ ク で一般的なポー ト ) 経由のア ク セ ス のみを許可す る こ と がで き ます。 最新のポー ト 番号割 り 当ての リ ス ト については、 http://www.iana.org/assignments/port-numbers で参照す る こ と がで き ます。 すべてのポー ト 経由のア ク セ ス を許可す る 場合は、 [Any] を ク リ ッ ク し ます。 複数のポー ト を指定す る 場合、 [Selected] を ク リ ッ ク し 、 それぞれのポー ト 番号を セ ミ コ ロ ン で区切っ て入力 し ます。 ま た、 ポー ト 範囲を指定す る 場合は、 最初の番号 と 最後の番号をハ イ フ ン でつないで指定 し ます。 5. [Method Restrictions] エ リ アの [Protocols] で、 ネ ッ ト ワ ー ク ト ン ネル ま たはプ ロ キ シ サービ ス が ク ラ イ ア ン ト か ら 受け付け る プ ロ ト コ ルを指定 し ます。 それぞれの コ マ ン ド については こ こ で も 簡単に 説明 し てい ま すが、 詳細について知 り たい場合は、 http://www.ietf.org/rfc/rfc1928.txt を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 109 • [TCP]。 すべての標準 TCP 接続 ( た と えば SSH、 telnet、 scp な ど ) で使用 し ます。 • [UDP]。 ネ ッ ト ワ ー ク ト ン ネル ま たはプ ロ キ シ サービ ス が、 UDP デー タ 転送を行え る よ う に し ま す。 こ れは、 オーデ ィ オの ス ト リ ー ミ ン グや Microsoft Outlook の新規 メ ール通知な ど で必要にな り ま す。 • [ICMP]。 ICMP (Internet Control Message Protocol) は、 ping や traceroute な ど のネ ッ ト ワ ー ク ト ラ ブルシ ュ ーテ ィ ン グ コ マ ン ド に対応 し てい ます。 こ のオプシ ョ ン を選択す る と 、 ネ ッ ト ワ ー ク ト ン ネル ま たはプ ロ キ シ サービ ス が、 ユーザーの代わ り に こ の よ う な操作を実行す る よ う に な り ます。 ま た同時に、 ICMP パケ ッ ト がネ ッ ト ワ ー ク ト ン ネル ま たはプ ロ キ シ サービ ス を通過で き る よ う にな り ま す。 • [Accept bind requests from server]。 ク ラ イ ア ン ト に対 し てサーバーか ら の接続の受け入れ を求め る プ ロ ト コ ルで使用 し ます。 FTP はその恰好の例です。 6. ルールで フ ァ イ ル シ ス テ ム リ ソ ー ス に対す る 読み込み ま たは読み込み / 書 き 込みの ど ち ら を許可す る か 指定す る 場合、 [Permissions] の [Read]、 [Read/Write] を それぞれ使用 し ま す。 こ れ ら のア ク セ ス権限は、 同 じ フ ァ イ ル シ ス テ ム リ ソ ー ス に対応す る Windows のア ク セ ス 制御ルール と 共同で機能 し ます。 ユーザーに特定の特権を与え る ためには、 ア ク セ ス権限を両方のエ ン テ ィ テ ィ ( つま り Windows と こ のアプ ラ イ ア ン ス ) で指定 し なければな り ま せん。 ただ し フ ァ イ ル ア ッ プ ロ ー ド を禁止 し た場合、 すべてのユーザーが フ ァ イ ルに書 き 込みで き な く な り ます。 その場合で も 、 書 き 込みのア ク セ ス 権限を 持っ てい る ユーザーであれば、 フ ァ イ ルの移動 と 削除は行 う こ と がで き ます。 こ れ ら の設定は、 逆方向接 続の場合は無視 さ れ ま す。 7. [Time and date restrictions] エ リ アでは、 ルールが有効にな る タ イ ミ ン グ を指定 し ます。 [Shift] ま たは [Range] を指定で き る 他、 ルールが常に有効にな る よ う 指定す る こ と も で き ます。 ただ し 、 こ の 時間制約フ ィ ール ド の タ イ ム ゾーン は現地時間にな り ま す。 8. ルールの作成が終わ っ た ら 、 [Save and Add Another] を ク リ ッ ク し て、 他のルールを定義す る こ と がで き ます。 ま た、 [Save] を ク リ ッ ク し て終了す る こ と も で き ます。 こ の操作に よ り 、 [Access Control] ページに戻 り ます。 メモ • ア ク セ ス方式を 1 つま たは複数選択す る と 、 そのア ク セ ス 方式に該当す る か ど う かに よ っ て、 高度なオプ シ ョ ン が有効化ま たは無効化 さ れ ます。 ただ し 、 ア ク セ ス方式 と し て [Any] を選択す る と 、 すべての高 度なオプシ ョ ン が使用可能にな り ます。 AMC がルールを検証す る 段階で、 そのア ク セ ス方式に関連 し な いルール属性は選択で き な く な り ます。 次の表は、 それぞれのア ク セ ス方式に該当す る 高度なオプ シ ョ ン を示 し てい ま す。 ア ク セ ス方式 該当す る高度なオ プ シ ョ ン [Web browser] (HTTP/HTTPS) • [User’s network address] • [Minimum key length] • [Time and date restrictions] [Network Explorer] ( フ ァ イル シ ス テム リ ソ ースへの Web ア ク セス ) • [User’s network address] • [Read/write permissions] • [Time and date restrictions] [Aventail Connect & Aventail OnDemand](TCP/IP) • [User’s network address] • [Destination restrictions] (ports) • [Minimum key length] • [Time and date restrictions] • [Protocols] 110 | 第 5 章 - セキ ュ リ テ ィ 管理 アクセス制御ルールからのユーザーと リ ソースの追加 管理者に よ っ ては、 すべてのポ リ シー オブジ ェ ク ト ( ユーザー、 グループ、 リ ソ ー ス ) を定義 し てか ら ア ク セ ス制御ルールを作成す る 方法を好みま す。 こ の構造化アプ ロ ーチは、 初期構成の場合な ど特に有効ですが、 継 続的に管理 し てい く 上で不便を感 じ る こ と も あ り ま す。 その よ う な場合は、 ア ク セ ス制御ルールを作成す る た めの イ ン タ フ ェ ー ス か ら 新 し い リ ソ ース を直接定義す る こ と がで き ます。 X ア ク セ ス制御ルールの中か ら ユーザーまたは リ ソ ース を追加する には 1. [Add/Edit Access Rule] ページで、 [Users/groups] ボ ッ ク ス ま たは [Destination resources] ボ ッ ク ス の隣にあ る [Edit] ボ タ ン を ク リ ッ ク し ま す。 現在のユーザーお よ びグループ、 リ ソ ー ス を表示す る ポ ッ プ ア ッ プ ウ ィ ン ド ウ が表示 さ れ ま す。 2. [New] ボ タ ン を ク リ ッ ク し ます。 次に表示 さ れ る ページは、 作成 し てい る オブジ ェ ク ト の タ イ プ ( ユー ザー、 グループ、 リ ソ ース ) ご と に異な り ます。 3. 新 し いユーザー、 グループ、 リ ソ ー ス の設定を定義 し ま す。 4. 設定が終わ っ た ら 、 [Save and Add Another,] を ク リ ッ ク し て、 他のオブジ ェ ク ト を定義す る こ と が で き ます。 ま た、 [Save] を ク リ ッ ク し て終了す る こ と も で き ます。 こ の操作を実行す る と 、 前のページ に戻 り ます。 新 し いオブジ ェ ク ト が、 ユーザー、 グループ、 リ ソ ー ス の リ ス ト に加わ っ てい ま す。 5. ア ク セ ス制御ルールに追加 し たいオブジ ェ ク ト の隣にあ る チ ェ ッ ク ボ ッ ク ス を選択 し て、 [Save] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Add/Edit Access Rule] ページに戻 り ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 111 アクセス制御ルールの編集、 コ ピー、 削除 ア ク セ ス制御ルールを修正す る 前に、 既存のルールを慎重に検討 し て、 その変更がセ キ ュ リ テ ィ ポ リ シーに ど の よ う な影響を与え る か検証 し て く だ さ い。 ま た、 ルールの順序には特に注意を払い ます。 1 つま たは複数のルールについて、 ア ク セ ス制御ルール内の位置を変更す る こ と がで き ま す。 ア ク セ ス 制御 ルールの順序を変更す る 前に、 順序を慎重に検討 し て、 リ ス ト の順序変更がセ キ ュ リ テ ィ ポ リ シーに ど の よ う な影響を与え る か検証 し て く だ さ い。 新 し いア ク セ ス制御ルールをゼ ロ か ら 作成す る と い う こ と を し ないで、 既存のルールを コ ピー し てか ら 、 新 し いルールに合わせて特定のパ ラ メ ー タ だけ を変更す る こ と で、 時間を節約す る こ と がで き ます。 作成 し よ う と し てい る ルール と ほ と ん ど の特性が共通す る ルールを選択 し ま す。 ルールの コ ピーは、 ア ク セ ス ポ リ シーのテ ス ト の際に使用 し て も 便利です。 ア ク セ ス制御ルールを削除す る 前に、 既存のルールを慎重に検討 し て、 その削除がセ キ ュ リ テ ィ ポ リ シーに ど の よ う な影響を与え る か検証 し て く だ さ い。 削除の際、 確認が求め ら れ る こ と はあ り ません。 そのため削除の 際は慎重に行っ て く だ さ い。 ア ク セ ス制御ルールの編集、 コ ピー、 削除の詳細については、 43 ページの 「参照 さ れてい る オブジ ェ ク ト の 削除」 を参照 し て く だ さ い。 メモ • [Display] オプシ ョ ン を使用 し て ア ク セ ス ルールを フ ィ ル タ リ ン グ し 、 特定のア ク セ ス 方式のみを表示 し てい る 場合、 [Move Up] ボ タ ン ま たは [Move Down] ボ タ ン を使用 し て リ ス ト の順序を変更す る こ と はで き ま せん。 ア ク セ ス 制御ルールを移動す る のは、 [Display] に 「All」 を設定 し てい る 場合に限 ら れ ま す。 • ルールを複数段階移動す る 場合は、 [Add/Edit Access Rule] ページで [Number] ボ ッ ク ス の値を変 更す る 方が速い こ と も あ り ます。 アクセス方式と リ ソース との間の拒否ルール非互換の解決 次の表の 3 種類の組み合わせのいずれか を参照す る 「拒否」 ルールを定義す る と き 、 「Some of the resources in this rule are not supported by the selected access method(s), which could inadvertently deny access to some resources」 と い う 警告 メ ッ セージが表示 さ れ ます。 「許可」 ルールの場合は、 リ ソ ー ス と ア ク セ ス 方式を任意の方法で混在 さ せ組み合わせ る こ と がで き ま す。 ただ し 「拒否」 ルールに リ ソ ー ス と ア ク セ ス 方式の一定の組み合わせが含ま れてい る と 、 それ以降のルールが評価 さ れな く な り ます。 こ の よ う なルールは、 ア ク セ ス ポ リ シーでそれ以降参照 さ れてい る 、 リ ソ ー ス へのユー ザー ア ク セ ス を誤っ てブ ロ ッ ク す る 可能性 も あ り ま す。 場合に よ っ ては、 ポ リ シーの評価の と き に、 拒否ルールが接続要求 と 一致 し てい る か ど う か アプ ラ イ ア ン ス が 判定で き な く な る こ と があ り ます。 こ の よ う な場合、 セ キ ュ リ テ ィ 上の予防措置 と し て、 ルール セ ッ ト の処理 を停止 し 、 ユーザー ア ク セ ス をブ ロ ッ ク し ま す。 こ れは、 リ ソ ー ス タ イ プ と ア ク セ ス 方式が次の よ う な組み 合わせで拒否ルールに含 ま れてい る 場合に、 そのルールが評価 さ れ る と 発生 し ま す。 ルール動作 リ ソ ース タ イ プ ア ク セ ス方式 [Deny] [Windows domain] • [Any] • [Web browser] • [Aventail Connect and OnDemand] [Deny] [URL] • [Any] • [Aventail Connect and OnDemand] [Deny] [Network share] • [Any] • [Aventail Connect and OnDemand] 112 | 第 5 章 - セキ ュ リ テ ィ 管理 例 た と えば、 Windows ド メ イ ンへのア ク セ ス をブ ロ ッ ク し 、 ア ク セ ス方式を 「Any」 に し てお く 拒否ルールを 作成す る と 仮定 し ま す。Windows ド メ イ ン は ASAP WorkPlace か ら ア ク セ ス で き る ため、 アプ ラ イ ア ン ス が ASAP WorkPlace か ら の接続試行を受け取 る と 、 ルール と 一致 し 、 そのア ク セ ス が拒否 さ れ ます。 一方で、 ユーザーが Aventail Connect や OnDemand、 あ る いは標準 Web ブ ラ ウ ザか ら 接続要求を出す と し ます。 こ の場合、 アプ ラ イ ア ン ス は、 ( ど の接続先 リ ソ ー ス が要求 さ れていて も ) Windows ド メ イ ン のルール が要求に合致 し てい る か ど う か判定す る こ と がで き ま せん。 アプ ラ イ ア ン ス はそのため、 ポ リ シー内のそれ以 降のルールの評価を停止 し て、 即座にア ク セ ス を拒否 し ます。 そのため、 Windows ド メ イ ン ルールがア ク セ ス制御ルールの先頭にあ る 場合、 高い確率で、 ユーザーが VPN リ ソ ー ス にア ク セ ス で き な く な り ます。 た と えば、 リ ス ト の次のルールが、 ユーザーの VPN リ ソ ー ス へのア ク セ ス を許可す る 許可ルールの場合で も 、 こ のルールが評価 さ れ る こ と はあ り ま せん。 問題の解決 こ の よ う なルールの非互換性を解決す る ため、 当社では、 不確定のア ク セ ス 方式を参照 し ない よ う にルールを 修正す る こ と を推奨 し てい ます。 た と えば、 Windows ド メ イ ン ま たはネ ッ ト ワ ー ク 共有の場合は、 ア ク セ ス 方式 と し て Network Explorer 以外選択 し ない よ う に し ます。 URL の場合は、 Web ブ ラ ウ ザ と ASAP WorkPlace 以外選択 し ない よ う に し ます。 不正な接続先リ ソースの解決 ア ク セ ス方式を非互換の接続先 リ ソ ース に割 り 当て る ルールを作成 し よ う と し た場合、 AMC は、 「Invalid destination resources: These resources are not accessible from the selected access method(s)」 と い う 警告を出 し て不適合が発生す る の を防止 し ま す。 次の表では、 こ の よ う な警告が出 さ れ る ア ク セ ス 方式 / 接続先 リ ソ ー ス の組み合わせを示 し てい ます。 ア ク セス方式 不正な接続先 リ ソ ース [Web browser] • [Windows domain] • [Network share] [Network Explorer] • [URL] [Aventail Connect and Aventail OnDemand] • [URL] • [Windows domain] 例 た と えば、 Windows ド メ イ ン リ ソ ース にア ク セ ス し 、 ア ク セ ス方式 と し て [Web browser] を指定す る ルールを作成 し てい る と 仮定 し ます。 こ の よ う な組み合わせを選択す る と 、 [Add/Edit Access Rule] ペー ジの [Access methods] エ リ アのす ぐ 上に 「Invalid destination resource」 と い う 警告が表示 さ れ ま す。 こ の よ う なルールは、 ア ク セ ス方式 / リ ソ ー ス の不適合が含 ま れてい る こ と か ら 、 保存す る こ と がで き ま せん。 こ の よ う な不適合が残っ てい る 状態で [Save] を ク リ ッ ク す る と 、 不正な リ ソ ー ス がルールか ら 除去 さ れ ま す。 ルールに含ま れてい る 不適合 リ ソ ー ス が 1 つだけの場合、 その リ ソ ー ス は 「Any」 で置 き 換え ら れ ま す。 問題の解決 接続先 リ ソ ー ス のエ ラ ーを解決す る ため、 ア ク セ ス方式の タ イ プが接続先 リ ソ ー ス と 互換性を持つ よ う にルー ルを修正 し ま す。 ア ク セ ス 方式 / 接続先 リ ソ ー ス の不適合を回避す る ための最 も 簡単な方法は、 [Add/Edit Access Rule] ページの [Access method] オプシ ョ ン を 「Any」 に設定す る こ と です。 オプシ ョ ン 説明 リ ソ ース タ イ プ [Alias name] プ ラ イ ベー ト URL を表すパブ リ ッ ク なエ イ リ ア ス を指定する と きは、 このオプ シ ョ ン を使用 し ます。 このエ イ リ ア スの名前はユーザーに提示 さ れる ため、 憶え やすい名前を使用 し ます ( 短 く 具体的なほど良い )。 次のよ う な場合、 [Alias name] を指定す る と 良いで し ょ う 。 Web • この リ ソ ースに対する内部ホス ト 名を隠 し たい場合。 • この URL リ ソ ースが、 [Network Settings] ページの [Name Resolution] タ ブで構成 さ れてい る検索 ド メ イ ン に含まれていない場合。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 113 オプシ ョ ン 説明 リ ソ ース タ イ プ [Synonyms] URL リ ソ ース名の代替名 ( 「シ ノ ニム」 ) を定義する と きは、 このオ プ シ ョ ン を Web 使用 し ます。 これは、 ユーザーが異な る名前 ( 通常、 非修飾名や圧縮名 ) を使用 し てサーバーにア ク セ スする場合や、 Web ページに DNS エ イ リ ア ス を示す リ ン クが含まれていて、 その名前を Web プ ロキシ サービ スが正 し く 変換で き ない 場合な どに使用する と 便利です。 複数のシ ノ ニムを指定する場合はセ ミ コ ロ ン で 区切 り ます。 このア プ ラ イ ア ン スは、 リ ソ ースのシ ョ ー ト カ ッ ト を自動的にシ ノ ニム と し て定 義 し ます。 た と えば URL が 「http://mail.example.com」 の場合、 ア プ ラ イ ア ン スは 「mail」 と い う シ ノ ニムを追加 し ます。 ただ し これについては、 [Synonym] ボ ッ ク スに表示 さ れません。 [Allow public access] この URL に無制限のア ク セス を許可 し たい場合、 このチ ェ ッ ク ボ ッ ク ス を選択 Web し ます。 このオプ シ ョ ンがオ ンの場合は、 ユーザーの身元を識別する ための認証 が行われません。 これは、 内部 Web リ ソ ースに対 し てパブ リ ッ ク ア ク セ ス を許 可する場合に使用する と 便利です。 ( ある リ ソ ースへのパブ リ ッ ク ア ク セ ス を許 可する と きは、 「Any」 ユーザーによ る その リ ソ ースへのア ク セ ス を許可する ルールを作成 し なければな ら ない ) [Web application profile] この リ ス ト には、 い く つかの一般的な Web ア プ リ ケーシ ョ ン で推奨 さ れる構成 Web 済みの Web プ ロ フ ァ イルの他、カ ス タ ム Web プ ロ フ ァ イルやデ フ ォ ル ト Web プ ロ フ ァ イルが含まれます。 どのプ ロ フ ァ イルを選択すればよ いかわか ら ない場 ネ ッ ト ワー ク 合は、 デ フ ォ ル ト のオプ シ ョ ン を そのま ま選択 し て く だ さ い。 プ ロ フ ァ イルを参 照する には、 [View selected profile] を ク リ ッ ク し ます。 詳細については、 97 ページの 「Web ア プ リ ケーシ ョ ン プ ロ フ ァ イルの追加」 を参照 し て く だ さ い。 114 | 第 5 章 - セキ ュ リ テ ィ 管理 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 115 第6章 ユーザー管理 ア ク セ ス制御ルールでは、 ユーザーやユーザーのグループが ど の リ ソ ース を使用で き る か決定 し ま す。 し た がっ て、 外部ユーザー デ ィ レ ク ト リ に保管 さ れてい る ユーザーやグループにマ ッ ピ ン グす る ユーザーやグルー プ を AMC で定義 し な ければな り ま せん。 さ ら に高い レベルの コ ミ ュ ニ テ ィ で も 、 共通の特性、 た と えばア ク セ ス ポ リ シーやア ク セ ス 方式な ど を共有す る ユーザーやユーザー グループ を編成で き ます。 ま た、 こ れ ら は ア ク セ ス制御ルールで使用す る こ と も で き ます。 概要 : ユーザー、 グループ、 レルム、 コ ミ ュ ニテ ィ ユーザー と は、 ネ ッ ト ワ ー ク 上の リ ソ ー ス にア ク セ ス す る 必要があ る 個人を指 し ま す。 ま た、 ユーザー グルー プは、 ユーザーの集 ま り です。 アプ ラ イ ア ン ス でユーザーやユーザー グループ を作成 し た ら 、 リ ソ ース へのア ク セ ス を許可 ま たは拒否す る ために、 ア ク セ ス 制御ルール内で参照す る こ と がで き ま す。 アプ ラ イ ア ン ス では、 ユーザー と グループ を実際に保管 し ません。 その代わ り に、 LDAP や Microsoft Active Directory な ど の外部認証サーバーに保管 さ れてい る 既存のユーザーやグループへの参照を作成 し ま す。 こ う す る こ と に よ り 、 アプ ラ イ ア ン ス で直接ユーザーを作成 し 管理す る 必要がな く な り ま す。 ユーザーやグループ を定義 し てか ら ア ク セ ス制御ルールで参照す る こ と も で き ま すが、 ア ク セ ス 制御ルール イ ン タ フ ェ ース か ら 新 し いユーザーやグループ を直接定義す る こ と も で き ます。 コ ミ ュ ニ テ ィ はユーザーの集ま り で、 ユーザー集団の メ ンバーが レ ルム に ロ グ イ ンす る と き に、 ど のア ク セ ス ク ラ イ ア ン ト と End Point Control エージ ェ ン ト が設定 さ れ る かが こ れに よ っ て決ま り ます。 た と えば、 モバ イ ル従業員に対 し ては OnDemand を有効に し 、 ビ ジネ ス パー ト ナーには Web ア ク セ ス のみを提供す る こ と がで き ます。 End Point Control が有効な場合、 コ ミ ュ ニ テ ィ は、 コ ミ ュ ニ テ ィ 内の ど の 「信頼ゾーン」 に メ ンバーが所属す る か決定す る ために使用す る こ と も で き ます。 レ ルムは、 認証サーバーを参照 し て、 ユーザーに対 し て ど のア ク セ ス エージ ェ ン ト を プ ロ ビ ジ ョ ニ ン グ し 、 ど の End Point Control を課すか判定 し ま す。 116 | 第 6 章 - ユーザー管理 レルムおよびコ ミ ュ ニテ ィ の使用 レ ルム と ユーザー コ ミ ュ ニ テ ィ を構成す る と き 、 AMC では、 コ ミ ュ ニ テ ィ の メ ンバーに ど のア ク セ ス エー ジ ェ ン ト がプ ロ ビ ジ ョ ニ ン グ さ れ る か指定す る こ と がで き ま す。 ま たオプシ ョ ン で、 コ ミ ュ ニ テ ィ メ ンバーの デバ イ ス を 「信頼ゾーン」 に分類す る こ と も で き ま す。 次の図は、 レルム がユーザーを認証 し て、 こ れを コ ミ ュ ニ テ ィ に割 り 当て、 ア ク セ ス エージ ェ ン ト を プ ロ ビ ジ ョ ニ ン グ し て、 End Point Control が有効であれ ば、 コ ン ピ ュ ー タ の信頼性に基づいて コ ミ ュ ニ テ ィ メ ンバーを さ ま ざ ま な ゾーン に割 り 当て る 過程を示 し てい ます。 䮞䮴䮚䭿䮮䮒䮺䭷䬷 End Point Control ⸽ 䮳䮲䮧 CompanyXYZ 䭺䮦䮬䮒䮍䭪 Employees 䭷䮲䯃䮞 = "Employees" 䭺䮦䮬䮒䮍䭪 Partners 䭩䭶䮂䮀ᣇᑼ OnDemand Web 䮞䮴䭴䭾 䭯䯃䭿䭮䮺䮏 䬸䬽䭩䭶䮂䮀ᣇᑼ䭡 ↪䬶䬜䭚䬚 ? 䭩䭶䮂䮀ᣇᑼ 䮏䮰䮺䮀䮳䯃䮍䮊䮐 Web 䮅䯃䮺 IT ᡰ⛎ PC 䮢䯃䮧 PC 䬸䬽䭗䬕䬹䮎䯃䮆⼔ 䭺䮺䮤䯃䮔䮺䮏䬛ᔅⷐ䬚 ? 䮅䯃䮺 ᧂ⍮䬽 PC ⸽䭼䯃䮗䯃 AD.example.com 䭷䮲䯃䮞 = "Partners" ネ ッ ト ワ ー ク で 1 台の認証サーバーのみにユーザー情報を保管 し てい る 場合、 AMC に認証レ ルム を 1 つだけ 作成す る 必要があ り ます。 ネ ッ ト ワ ー ク で複数の認証サーバーを使用 し てい る 場合、 それぞれのサーバーご と に、 レルム を 1 つ以上作成す る 必要があ り ま す。 ま た、 単一の外部 リ ポジ ト リ で、 複数の異な る ユーザー グ ループ を参照す る 複数の レ ルム を、 AMC で作成す る こ と も で き ます。 認証 レルム を 1 つ し か使用 し ない場合で も 、 ア ク セ ス要件やその他のセ キ ュ リ テ ィ 条件に基づいてユーザーの サブセ ッ ト を作成す る こ と がで き ます。 こ れは、 レ ルム を ユーザーの コ ミ ュ ニ テ ィ と 対応 さ せ る 必要があ る た めです。 コ ミ ュ ニテ ィ は、 レ ルム のすべてのユーザーで構成す る こ と がで き る 他、 選択 し たユーザーのみを入 れ る こ と も で き ま す。 ま た、 ア ク セ ス エージ ェ ン ト を設定 し た り 、 コ ミ ュ ニ テ ィ の メ ンバーに End Point Control を適用 し た り す る ために使用す る こ と も で き ま す。 コ ミ ュ ニ テ ィ の詳細については、 131 ページの 「 コ ミ ュ ニ テ ィ の編集、 コ ピー、 削除」 を参照 し て く だ さ い。 レルムの表示 AMC で構成 し た レ ルム が、 [Realms] ページに表示 さ れ ます。 X 構成 し た レルムを表示する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Realms] ペー ジが表示 さ れ ます。 2. [Realms] リ ス ト のデー タ を参照 し ます。 • 1 つま たは複数の レ ルム を選択す る 場合、 チ ェ ッ ク ボ ッ ク ス 列を使用 し ます。 こ れを使用 し て レ ル ム を削除 し た り 、 コ ピー し た り す る こ と がで き ます。 • プ ラ ス 記号 ( 「+」 ) の列を ク リ ッ ク す る と 、 レ ルム が拡大 さ れ、 認証サーバー と ユーザー コ ミ ュ ニ テ ィ ( あ る 場合 ) が表示 さ れ ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 117 • [Enabled] 列には、 その レ ルム が有効にな っ てい る か無効にな っ てい る かが示 さ れ ま す。 緑色の イ ン ジ ケー タ の場合その レ ルム が有効で、 赤い イ ン ジ ケー タ の場合その レ ルム は無効にな っ てい ま す。 レ ルム が無効の場合、 その レ ルム のユーザーやグループは ロ グ イ ンす る こ と がで き ま せん。 • [Name] 列には、 レルム を作成す る と き に割 り 当てた名前が表示 さ れ ま す。 レ ルム名は、 ク リ ッ ク す る と 編集す る こ と がで き ま す。 • [Authentication server] 列には、 ユーザーの身元を確認す る と き にそれぞれの レルム に よ っ て 参照 さ れ る 認証サーバーの名前が リ ス ト さ れ ます。 • [Description] 列には、 レ ルム を作成す る と き に入力 し た説明テ キ ス ト が リ ス ト さ れ ます。 デフ ォル ト 、 表示、 非表示レルム ユーザーを認証す る と き 、 アプ ラ イ ア ン ス は、 そのユーザーが ど の レルム に所属 し てい る か認識 し ていなけれ ばな り ません。 有効な レ ルム が 1 つ し かない場合、 アプ ラ イ ア ン ス は自動的にその レ ルム を使用 し ま す。 し か し 複数の レ ルム が有効にな っ てい る 場合は、 ど の レ ルム を使用す る かアプ ラ イ ア ン ス に通知 し てお く 必要があ り ま す。 ユーザーが ロ グ イ ンす る と き 、 通常、 適切な レ ルム を リ ス ト か ら 選択 し ます。 ただ し 、 AMC でデフ ォ ル ト レルム を定義すれば、 簡単に レルム を選択で き る よ う にす る こ と も で き ます (118 ページの 「デフ ォ ル ト レルム の選択」 を参照 )。 デフ ォ ル ト レルム が定義 さ れてい る 場合、 レ ルム選択ボ ッ ク ス に、 デフ ォ ル ト レルム が自動的に入れ ら れ ま す ( ただ し Connect ク ラ イ ア ン ト では こ れが当てはま ら ない )。 ア ク セ ス方法固有の動作については、 こ の節で概説 し ます。 デフ ォ ル ト レ ルム を選択 し てお く こ と が強 く 推奨 さ れ ま す。 ま た、 ど の レ ルム名がエ ン ド ユーザーに提示 さ れ る かについて も 選択す る こ と がで き ます。 表示 さ れていない レ ルム に ロ グ イ ンす る 必要があ る 場合、 ユーザーはその レ ルム名を ロ グ イ ン ボ ッ ク ス に正確に入力 し なければ な り ま せん。 た と えば、 さ ま ざ ま なサプ ラ イ ヤー用に レ ルム を作成 し ていて、 サプ ラ イ ヤー同士が互いを知 ら ない状態が望 ま し い と い う 状況を考え てみます。 その場合、 こ の よ う な レ ルム名を非表示に し てお く と 、 それ ぞれのサプ ラ イ ヤーは、 アプ ラ イ ア ン ス に ロ グ イ ンす る と き に レ ルム名を入力 し なければな ら な く な り ま す。 次の表は、 さ ま ざ ま な レ ルム構成の場合に、 エ ン ド ユーザーに よ る ロ グ イ ン時の作業が ど う 変動す る か を示 し てい ま す。 有効な レルム デ フ ォ ル ト レルム の構成 非表示レルム の構成 ユーザーのロ グ イ ン時の作業 1つ 該当な し 該当な し ユーザーはロ グ イ ン時に レルムを選択 し ません。 認証の際、 有効な レルムが自動的に使用 さ れます。 複数 あり なし ユーザーが リ ス ト か ら レルムを選択 し ます。 レルム テキス ト ボ ッ ク スにはデ フ ォ ル ト レルムが入 り ます。 複数 なし なし ユーザーが リ ス ト か ら レルムを選択 し ます。 レルム テキス ト ボ ッ ク スには最初のレルム ( アル フ ァ ベ ッ ト 順に ソ ー ト さ れている ) が入 り ます。 複数 あり あり ユーザーが リ ス ト か ら レルムを選択 し ます。 レルム テキス ト ボ ッ ク スにはデ フ ォ ル ト レルムが入 り ます。 レルム リ ス ト には、 [Other] と い う エ ン ト リ があ り 、 2 番目のテキス ト ボ ッ ク スが表示 さ れています。 ロ グ イ ンの際、 非表示レ ルムを使用 し たい場合、 [Other] を選択 し て、 2 番目のテ キス ト ボ ッ ク スに レルム名を入力 し ます。 以下では、 ア ク セ ス 方式ご と に、 ユーザーの ロ グ イ ン時の作業を示 し ま す。 118 | 第 6 章 - ユーザー管理 ASAP WorkPlace ユーザーが最初に ASAP WorkPlace にア ク セ ス す る と き、 1 ページ ま たは複数の ロ グ イ ン ページが表示 さ れ ます。 1 つの レルム のみが有効な場合、 ユーザー ク レデン シ ャ ルを要求す る ページのみが表示 さ れ ま す。 複数 の レ ルム が有効な場合は、 次の よ う な ロ グ イ ン ページが表示 さ れ ます。 こ のページで適切な レ ルム を選択 し ま す。 非表示レ ルム が 1 つま たは複数あ る 場合、 ロ グ イ ン ページは次の よ う にな り ます。 [Next] を ク リ ッ ク す る と 、 ユーザー名 と パ ス ワ ー ド で認証す る ユーザーの場合、 ク レデン シ ャ ルを入力す る ためのページが表示 さ れ ま す。 デフ ォル ト レルムの選択 複数の認証 レ ルム を使用す る 場合、 デフ ォ ル ト レルム を 1 つ選択す る 必要があ り ます。 ユーザーを認証す る と き 、 アプ ラ イ ア ン ス は、 そのユーザーが ど の レ ルム に所属 し てい る か認識 し ていなければな り ま せん。 有効な レ ルム が 1 つ し かない場合、 アプ ラ イ ア ン ス は自動的にその レ ルム を使用 し ま す。 し か し 複数の レ ルム が有効 にな っ てい る 場合は、 ど の レ ルム を使用す る か アプ ラ イ ア ン ス に通知 し てお く 必要があ り ま す。 ユーザーが ロ グ イ ンす る と き 、 通常、 適切な レ ルム を リ ス ト か ら 選択 し ま す。 ただ し 、 AMC でデフ ォ ル ト レルム を定義す れば、 簡単に レ ルム を選択で き る よ う にす る こ と も で き ま す。 レ ルム を 1 つだけ構成 し てい る 場合で も 、 その レ ルムがデフ ォ ル ト と し て指定 さ れていなければ、 [Realms] ページに 「There is no default realm selected」 と い う 警告 メ ッ セージが表示 さ れ ます。 X デ フ ォ ル ト レルムを選択する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Realms] ペー ジが表示 さ れ ます。 2. [Default realm] リ ス ト か ら 、 デフ ォ ル ト レ ルム にす る 認証レ ルム を選択 し ま す。 こ の リ ス ト には、 有 効にな っ てお り し か も 表示対象 と し て構成 さ れてい る レ ルム のみが表示 さ れ ます。 非表示レ ルムはデフ ォ ル ト と し て設定で き ないため、 こ こ に表示 さ れ ま せん。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 119 レルムの有効化と無効化 アプ ラ イ ア ン ス は、 複数の レ ルム の同時使用をサポー ト し てい ま す。 レ ルム を有効化ま たは無効化す る こ と に よ り 、 ど の レ ルム を ア ク テ ィ ブにす る か コ ン ト ロ ールす る こ と がで き ま す。 レ ルム を無効化す る と 、 その レ ル ム に対応す る ユーザー と グループが ロ グ イ ン で き な く な り ま す。 有効な認証レ ルム がない場合、 ユーザーは ネ ッ ト ワ ー ク にア ク セ ス で き な く な り ま す。 X 認証レルムを有効化ま たは無効化する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ます。 [Realms] ページには、 定義 さ れ てい る レ ルム の リ ス ト が表示 さ れ ます。 あ る レ ルム が有効化 さ れてい る 場合、 緑色の イ ン ジ ケー タ ア イ コ ン が左か ら 2 番目の列に表示 さ れ ます。 レ ルム が無効化 さ れてい る 場合は、 グ レーの イ ン ジ ケー タ ア イ コ ン が表示 さ れ ます。 2. 有効化 ま たは無効化す る レ ルム の名前を ク リ ッ ク し ます。 こ の操作に よ り 、 その レルム に対す る [Configure Realm] ページが開 き ます。 3. [General] セ ク シ ョ ン で、 その レ ルム の [Status] について [Enabled] ま たは [Disabled] を選択 し 、 [Save] を ク リ ッ ク し ま す。 レルムを定義する場合のベス ト プラ ク テ ィ ス レ ルム を定義す る と き 、 ユーザーの ロ グ イ ン の作業を軽減す る ため、 次のベ ス ト プ ラ ク テ ィ ス を実行 し ま す。 • エ ン ド ユーザーが ロ グ イ ン時に レ ルム名を選択す る ため、 レ ルム名を定義す る と き は、 ユーザー グルー プ を明確に表す名前に し な ければな り ません。 た と えば、 すべての社内従業員を含むレ ルム の場合は 「employees」 な ど の名前を使用 し 、 外部のサプ ラ イ ヤーを含むレ ルム の場合は 「suppliers」 な ど と し ます。 • 一部のユーザーが非表示の レ ルム に ロ グ イ ンす る よ う な場合、 入力す る レ ルム名 と 入力方法 ( レ ルムの リ ス ト か ら [Other] を選択 し てテ キ ス ト ボ ッ ク ス に レ ルム名を入力 ) を そのユーザーに知 ら せてお き ま す。 • 必要な場合に限っ て、 複数の レ ルム を有効に し ます。 有効な レルム が 1 つだけの場合、 ユーザーは ロ グ イ ン プ ロ セ ス で レ ルム を選択す る 必要がな く な り ます。 テ ス ト 環境か ら 実稼働環境に移行す る と き は、 す べてのテ ス ト レ ルム が削除 さ れてい る こ と を確認 し て く だ さ い。 レルムの作成と構成 認証 レルム を作成お よ び構成す る と き は、 次の手順を実行 し ます。 複数の レルム を作成す る 場合、 デフ ォ ル ト レ ルム と し て 1 つ選択す る 必要があ り ます。 こ の方法については、 後で説明 し ます。 レ ルム を作成 し 、 こ れを外部認証サーバー と 対応 さ せた ら 、 1 つま たは複数の コ ミ ュ ニ テ ィ を レルム に追加 し た り 、 構成済みのデフ ォ ル ト レルム を使用で き ま す。 コ ミ ュ ニ テ ィ を割 り 当てずに レルム を作成 し 保存 し た場 合、 レルム にデフ ォ ル ト コ ミ ュ ニ テ ィ が自動的に割 り 当て ら れ ま す。 128 ページの 「デフ ォ ル ト コ ミ ュ ニ テ ィ の使用」 と 131 ページの 「 コ ミ ュ ニ テ ィ の編集、 コ ピー、 削除」 を参照 し て く だ さ い。 X レルムを作成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ます。 120 | 第 6 章 - ユーザー管理 2. [Realms] ページで、 [New] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Configure Realm] ページの [General] セ ク シ ョ ン が表示 さ れ ます。 3. [Name] テ キ ス ト ボ ッ ク ス に、 わか り やすい レ ルムの名前を入力 し ま す。 エ ン ド ユーザーが VPN への ロ グ イ ン時に こ の レ ルム名を選択す る ため、 レ ルム名を定義す る と き は、 ユーザー グループ を明確に表 す名前に し な ければな り ません。 4. [Description] テ キ ス ト ボ ッ ク ス に、 レルム についての コ メ ン ト を入力 し ます。 コ メ ン ト を入れてお く と 、 VPN で複数の認証レ ルム を使用す る 場合な ど、 特に便利です。 5. 対応す る [Status] を選択す る こ と に よ っ て、 レ ルム を有効ま たは無効に し ます。 詳細については、 119 ページの 「レ ルム の有効化 と 無効化」 を参照 し て く だ さ い。 6. ユーザーに提示 さ れ る レ ルム の リ ス ト に、 こ の レ ルム を入れ る ( ほ と ん ど の場合 こ れが推奨 さ れ る ) 場 合、 [Display this realm] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 7. [Authentication server] で、 ユーザーの身元を確認す る ために レ ルム が使用す る 認証サーバーを選 択 し ま す。 こ の フ ィ ール ド は必須です。 ま た、 新 し い認証サーバーを構成 し て レ ルム で参照す る 場合は、 [New] を ク リ ッ ク し ます。 詳細については、 66 ページの 「認証サーバーの構成」 を参照 し て く だ さ い。 8. こ の レ ルム に対 し て、 ア カ ウ ン テ ィ ン グ情報を送信す る RADIUS サーバーを使用 し て ア カ ウ ン テ ィ ン グ を実行 し たい場合、 [Enable RADIUS accounting] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 RADIUS ア カ ウ ン テ ィ ン グ サーバーの構成方法については、 129 ページの 「レルム での RADIUS ア カ ウ ン テ ィ ン グ の構成」 を参照 し て く だ さ い。 9. [Advanced] セ ク シ ョ ン を拡張 し てか ら 、 オプシ ョ ン で [Enable group affinity checking] チ ェ ッ ク ボ ッ ク ス を選択す る こ と に よ り 、 アプ ラ イ ア ン ス が、 セ カ ン ダ リ 認証 リ ポジ ト リ を照会す る よ う 設定 す る こ と がで き ます。 詳細については、 69 ページの 「レ ルム でのグループ ア フ ィ ニ テ ィ チ ェ ッ ク の有効 化」 を参照 し て く だ さ い。 10. ユーザー コ ミ ュ ニ テ ィ を レ ルム と 対応 さ せ る には [Next] (121 ページの 「レ ルムへの コ ミ ュ ニ テ ィ の追 加」 )、 [Realms] ページに戻 る には [Finish] を ク リ ッ ク し ます。 コ ミ ュ ニ テ ィ を割 り 当てずに レ ルム を作成 し 保存 し た場合、 レ ルム にグ ロ ーバル デフ ォ ル ト コ ミ ュ ニ テ ィ が自動的に割 り 当て ら れ ま す。 128 ページの 「デフ ォ ル ト コ ミ ュ ニ テ ィ の使用」 を参照 し て く だ さ い。 メモ • レ ルム の編集、 コ ピー、 削除については、 35 ページの 「AMC でのオブジ ェ ク ト の追加、 編集、 コ ピー、 削除」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 121 レルムへのコ ミ ュニテ ィ の追加 レ ルム を作成 し た ら 、 その レ ルム に 1 つま たは複数の コ ミ ュ ニテ ィ を対応 さ せなければな り ま せん。 コ ミ ュ ニ テ ィ では、 レ ルム内のユーザーのサブセ ッ ト を定義 し 、 そのユーザーが レ ルム に ロ グ イ ンす る と き ど のア ク セ ス方式を使用で き る かや、 そのエ ン ド ポ イ ン ト デバ イ ス に制約が設定 さ れ る か ど う か を決定 し ます。 アプ ラ イ ア ン ス のそれぞれの レ ルム では、 1 つ以上の コ ミ ュ ニ テ ィ を参照 し なければな り ません。 複数の コ ミ ュ ニ テ ィ を使用す る と 、 ユーザー集団を効率的に分割す る こ と がで き ます。 その結果、 特定のユーザーに個 別のア ク セ ス エージ ェ ン ト を割 り 当て た り 、 コ ミ ュ ニ テ ィ の メ ンバーが使用す る 特定 タ イ プのデバ イ ス につい て End Point Control を課 し た り す る こ と がで き ま す。 構成済みのデフ ォ ル ト コ ミ ュ ニ テ ィ を使用で き る (128 ページの 「デフ ォ ル ト コ ミ ュ ニ テ ィ の使用」 を参照 ) 他、 他の コ ミ ュ ニテ ィ を レ ルム に対応 さ せ る こ と も で き ます。 時間の経過 と と も にユーザー ア ク セ ス要件やセ キ ュ リ テ ィ ポ リ シー要件が変化す る のに合わせて、 レ ルムに コ ミ ュ ニ テ ィ を追加で き る 他、 レ ルムが参照す る ユーザー コ ミ ュ ニ テ ィ を修正 し た り 削除 し た り す る こ と も で き ま す。 X コ ミ ュ ニ テ ィ を レルムに追加する には 1. [Configure Realm] ページの [General] セ ク シ ョ ン で レ ルム を作成 し た ら 、 [Next] ボ タ ン を ク リ ッ ク し ま す。 [Configure Realm] ページの [Communities] セ ク シ ョ ンが表示 さ れ ま す。 2. [Communities] セ ク シ ョ ン で次の作業を行い ます。 • レ ルム に対 し て新 し い コ ミ ュ ニテ ィ を作成 し ない場合は、 [Finish] を ク リ ッ ク し てデフ ォ ル ト コ ミ ュ ニ テ ィ を使用す る こ と がで き ま す。 128 ページの 「デフ ォ ル ト コ ミ ュ ニ テ ィ の使用」 を参照 し て く だ さ い。 • レ ルム に対 し て新 し い コ ミ ュ ニテ ィ を作成す る 場合は、 [Create new] を ク リ ッ ク し ま す。 こ の操 作に よ り 、 [Configure Community] ページが表示 さ れ ます。 122 ページの 「 コ ミ ュ ニ テ ィ の作 成 と 構成」 を参照 し て く だ さ い。 3. 必要で あれば、 コ ミ ュ ニテ ィ が リ ス ト で表示 さ れ る 順序を変更 し ます。 129 ページの 「レ ルム で コ ミ ュ ニ テ ィ が リ ス ト さ れ る 順序の変更」 を参照 し て く だ さ い。 4. いずれかの [Configure Community] ページで [Finish] を ク リ ッ ク す る と 、 コ ミ ュ ニ テ ィ に関す る 情 報が入力 さ れた状態で、 [Configure Realm] ページが表示 さ れ ます。 122 | 第 6 章 - ユーザー管理 [Session Flow] エ リ アに、 その コ ミ ュ ニ テ ィ で選択 し た構成設定が、 ロ グ イ ン、 デバ イ ス プ ロ フ ァ イ ルの イ ン ト ロ ゲーシ ョ ン、 EPC ゾーン の分類、 ア ク セ ス方式のプ ロ ビ ジ ョ ニ ン グ、 VPN セ ッ シ ョ ン中の デー タ 保護プ ロ セ ス な ど で ど の よ う に利用 さ れ る か表示 さ れ ま す。 5. コ ミ ュ ニ テ ィ の構成変更を行 う 必要があ る 場合、 [General]、 [Access Methods]、 [End Point Control] の各 リ ン ク を ク リ ッ ク し て、 それぞれの構成ページに移 る こ と がで き ます。 6. コ ミ ュ ニ テ ィ の構成設定に問題がなければ、 [Finish] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Realms] ページに戻 り ます。 コ ミ ュニテ ィ の作成と構成 コ ミ ュ ニ テ ィ を作成す る と き は、 基本的に次の 3 段階の手順を実行 し ます。 • コ ミ ュ ニ テ ィ への メ ンバーの割 り 当て • コ ミ ュ ニ テ ィ に対す る ア ク セ ス方式の選択 • ( オプシ ョ ン ) コ ミ ュ ニ テ ィ に対す る End Point Control の指定 レ ルム内の コ ミ ュ ニ テ ィ は、 2 種類の異な る 方法で作成す る こ と がで き ます。 1 つ目の方法では、 レ ルム を構 成す る プ ロ セ ス で、 コ ミ ュ ニ テ ィ を作成 し ます。 2 つ目の方法では、 コ ミ ュ ニ テ ィ を既存の レ ルム に追加 し ま す。 ど ち ら の方法の場合 も 、 [Configure Realm] ページの [Communities] セ ク シ ョ ン で操作を開始 し ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 123 コ ミ ュニテ ィ へのメ ンバーの割り当て コ ミ ュ ニ テ ィ 作成の最初の基本手順では、 ど のユーザーがその コ ミ ュ ニ テ ィ の メ ンバーにな る か指定 し ま す。 デフ ォ ル ト の場合、 すべてのユーザー ([Any]) が コ ミ ュ ニ テ ィ の メ ンバーにな り ます。 X メ ンバーを コ ミ ュ ニ テ ィ に割 り 当て る には 1. [Configure Realm] ページの [Communities] セ ク シ ョ ン で、 [Create new] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Community] ページの [Members] セ ク シ ョ ン が表示 さ れ ま す。 2. [Name] テ キ ス ト ボ ッ ク ス に、 わか り やすい コ ミ ュ ニ テ ィ の名前を入力 し ま す。 3. [Description] テ キ ス ト ボ ッ ク ス に、 コ ミ ュ ニ テ ィ についての コ メ ン ト を入力 し ます。 4. [Members] ボ ッ ク ス で、 ど のユーザー ま たはグループが こ の コ ミ ュ ニ テ ィ に所属す る か指定 し ま す。 ユーザーやお よ びグループ を リ ス ト か ら 選択す る 場合は、 [Edit] を ク リ ッ ク し ます。 ユーザーやグループが指定 さ れていない場合、 こ の フ ィ ール ド の値はデフ ォ ル ト 値の 「Any」 にな り ま す。 こ れは、 こ の コ ミ ュ ニ テ ィ を参照す る すべての認証レ ルム のユーザーが こ の コ ミ ュ ニ テ ィ に属 し てい る こ と を表 し てい ます。 あ る コ ミ ュ ニ テ ィ に メ ンバーシ ッ プ を制限す る 方法については、 131 ページの 「ユーザー ま たはグループ の メ ンバーシ ッ プの特定 コ ミ ュ ニ テ ィ への制限」 を参照 し て く だ さ い。 5. [Next] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Access Methods] セ ク シ ョ ン が表示 さ れ ます。 こ こ で、 コ ミ ュ ニ テ ィ の メ ンバーが ど のア ク セ ス方式を使用で き る よ う にす る か選択 し ま す。 124 ページの 「 コ ミ ュ ニ テ ィ に対す る ア ク セ ス 方式の選択」 を参照 し て く だ さ い。 こ の時点で ア ク セ ス 方式を選択 し た く ない場合、 ま たは他の コ ミ ュ ニ テ ィ の設定を構成 し たい場合は、 オ プシ ョ ン で [Finish] を ク リ ッ ク す る こ と も で き ます。 ただ し 、 別の機会に、 こ の コ ミ ュ ニ テ ィ の設定を 必ず完了 し な ければな り ません。 124 | 第 6 章 - ユーザー管理 コ ミ ュニテ ィ に対するアクセス方式の選択 コ ミ ュ ニ テ ィ 作成の 2 番目の基本手順は、 コ ミ ュ ニ テ ィ の メ ンバーがアプ ラ イ ア ン ス への接続 と ネ ッ ト ワ ー ク リ ソ ー スへのア ク セ ス の際に ど のア ク セ ス 方式を使用で き る よ う にす る か決定す る こ と です。 ユーザーの環境 と 互換性があ る ア ク セ ス 方式については、 3 ページの 「ユーザー コ ン ポーネ ン ト 」 を参照 し て く だ さ い。 X コ ミ ュ ニ テ ィ の メ ンバーが使用で き る ア ク セ ス方式を選択する には 1. [Configure Communities] ページの [Access Method] セ ク シ ョ ン が表示 さ れていない場合は、 [Members] セ ク シ ョ ン の [Next] ボ タ ン を ク リ ッ ク し ま す。 2. コ ミ ュ ニ テ ィ の メ ンバーがネ ッ ト ワ ー ク の リ ソ ー ス に接続す る と き 、 ど のア ク セ ス 方式を使用で き る よ う にす る か選択 し ます。 アプ ラ イ ア ン ス は、 選択 さ れた ア ク セ ス エージ ェ ン ト を、 ユーザーのシ ス テ ム の 機能に基づいて有効に し ます。 あ る エージ ェ ン ト が動作 し ない場合は、 リ ス ト 内の ( 上か ら 下の方向で ) 次に選択 さ れてい る エージ ェ ン ト が代わ り に使用 さ れ ま す さ ま ざ ま な ア ク セ ス エージ ェ ン ト の機能 と シ ス テ ム要件については、 227 ページの 「ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス 」 を参照 し て く だ さ い。 デフ ォ ル ト の場合、 ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト ([Network tunnel client]) を除 く すべての ア ク セ ス方式が選択 さ れてい ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 125 3. ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト ア ク セ ス を コ ミ ュ ニ テ ィ の メ ンバーに与え たい場合は、[Network tunnel client] チ ェ ッ ク ボ ッ ク ス を ク リ ッ ク し て、 次のいずれかのオプシ ョ ン を選択 し ます。 • [Auto-activate from ASAP WorkPlace]。 こ のオプシ ョ ン を選択す る と 、 プ ロ ビ ジ ョ ニ ン グ が自動的に行われ る 設定にな り 、 ユーザーが ASAP WorkPlace に接続す る と き に、 Web ベー ス の OnDemand ト ン ネル エージ ェ ン ト が有効にな り ます。 • [Provision client from ASAP WorkPlace]。 ユーザーが ASAP WorkPlace の リ ン ク か ら Connect ト ン ネル ク ラ イ ア ン ト を ダ ウ ン ロ ー ド す る よ う に し たい場合、 こ のオプシ ョ ン を選択 し ま す。 [Network tunnel access] を選択す る 場合、 次に説明 し てい る よ う に、 1 つ ま たは複数の IP ア ド レ ス プールを コ ミ ュ ニ テ ィ に割 り 当てな ければな り ま せん。 4. ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト を ユーザーに イ ン ス ト ールす る には、 最初に、 コ ミ ュ ニテ ィ で使用 す る ための IP ア ド レ ス プールを 1 つ ま たは複数作成 し なければな り ません。 デフ ォ ル ト の場合、 使用可 能な IP ア ド レ ス プールがあれば、 それが コ ミ ュ ニ テ ィ に割 り 当て ら れ ます。 125 ページの 「ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト の構成」 を参照 し て く だ さ い。 5. コ ミ ュ ニ テ ィ に対す る ア ク セ ス方式を選択 し た ら 、 [Next] を ク リ ッ ク し ます。 こ の操作に よ り 、 [End Point Control restrictions] セ ク シ ョ ン が表示 さ れ ます。 こ こ で、 ク ラ イ ア ン ト デバ イ ス のセ キ ュ リ テ ィ に基づいて、 コ ミ ュ ニ テ ィ の メ ンバーのア ク セ ス 権限を制約す る こ と がで き ま す。 127 ページの 「 コ ミ ュ ニ テ ィ での End Point Control の使用」 を参照 し て く だ さ い。 こ の コ ミ ュ ニ テ ィ に対 し て、 End Point Control を採用 し た く ない場合は、 [Finish] を ク リ ッ ク し ます。 メモ • 特定の コ ミ ュ ニ テ ィ で、 ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト オプシ ョ ンが有効にな っ ていない場合で も 、 Connect ト ン ネル ク ラ イ ア ン ト があ ら か じ めプ ロ ビ ジ ョ ニ ン グ さ れてい る ユーザーは、 その コ ミ ュ ニ テ ィ にその ま ま ア ク セ ス す る こ と がで き ま す。 • こ のアプ ラ イ ア ン ス は、Windows Terminal Services (WTS) ホ ス ト お よ び Citrix ホ ス ト に対す る Web ベー ス のア ク セ ス をサポー ト し てい ます。 こ れ ら のホ ス ト は、 ネ イ テ ィ ブ アプ リ ケーシ ョ ン プ ロ ト コ ル を使用 し てデー タ を タ ー ミ ナル サーバーに送信す る Web ベー ス の タ ー ミ ナル エージ ェ ン ト か ら ア ク セ ス す る こ と がで き ます。 た と えば、 Citrix サーバーにア ク セ ス す る と き 、 ク ラ イ ア ン ト は、 Citrix のプ ロ プ ラ イ エ タ リ な (HTTP でない ) プ ロ ト コ ルを使用 し て、 ク ラ イ ア ン ト か ら サーバーへ ト ラ フ ィ ッ ク を送 り ます。 し たが っ て、 こ の コ ミ ュ ニ テ ィ のユーザーに タ ー ミ ナル サーバー リ ソ ー ス へのア ク セ ス を提供す る 場合、 Aventail のいずれかのア ク セ ス方式 (Web プ ロ キ シ エージ ェ ン ト 、 OnDemand、 ま たはいず れかの ト ン ネル ク ラ イ ア ン ト ) を プ ロ ビ ジ ョ ニ ン グす る よ う 、 コ ミ ュ ニ テ ィ を構成 し なければな り ま せ ん。 コ ミ ュ ニ テ ィ が、 ト ラ ン ス レーテ ッ ド Web ア ク セ ス のみを提供す る よ う 構成 さ れてい る 場合、 ク ラ イ ア ン ト PC が、 プ ロ プ ラ イ エ タ リ な アプ リ ケーシ ョ ン プ ロ ト コ ルにア ク セ ス す る 上で必要なネ ッ ト ワ ー ク 転送を使用で き ないため、 端末 リ ソ ー ス が使用で き な く な り ま す。 グ ラ フ ィ カル タ ー ミ ナル エージ ェ ン ト の構成の詳細については、 247 ページの 「Graphical Terminal Agents」 を参照 し て く だ さ い。 247 ページの 「グ ラ フ ィ カル タ ー ミ ナル エージ ェ ン ト 」 を参照 し て く だ さ い。 ネ ッ ト ワー ク ト ンネル ク ラ イ アン ト の構成 ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト か ら の TCP/IP 接続を管理す る ため、 ネ ッ ト ワ ー ク ト ン ネル サービ ス を 構成す る 場合、 IP ア ド レ ス を ク ラ イ ア ン ト に割 り 当て る ための IP ア ド レ ス プールを セ ッ ト ア ッ プ し な ければ な り ません。 IP ア ド レ ス プールの設定は、 通常、 ネ ッ ト ワ ー ク ト ン ネル サービ ス を構成す る と き に行い ま す。 IP ア ド レ ス プールを最初に設定す る 方法については、 253 ページの 「IP ア ド レ ス プールの構成」 を参照 し て く だ さ い。 ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト を ユーザーに設定す る コ ミ ュ ニ テ ィ を作成す る と き 、 ユーザーが ど の IP ア ド レ ス プールを使用で き る よ う にす る か選択 し な ければな り ません。 デフ ォ ル ト の場合、 構成 さ れてい る す べてのア ド レ ス プールが使用可能にな っ てい ます Connect ト ン ネル ク ラ イ ア ン ト を構成す る 場合、 リ ダ イ レ ク シ ョ ン モー ド も 選択 し なければな り ま せん。 ま たオプシ ョ ン で、 カ ス タ マ イ ズ設定を選択す る こ と も で き ます。 126 | 第 6 章 - ユーザー管理 X ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト を構成する には 1. 選択 し た コ ミ ュ ニテ ィ の [Access Methods] ページで、 [Network tunnel clientt] オプシ ョ ンの隣 にあ る [Configure] ボ タ ン を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Network Tunnel Client Settings] ページが表示 さ れ ます。 2. デフ ォ ル ト の場合、 構成 さ れてい る すべての ( 「Any」 ) ア ド レ ス プールが コ ミ ュ ニ テ ィ で使用可能に な っ てい ま す。 特定の IP ア ド レ ス プールを、 構成済みア ド レ ス プールのポ ッ プア ッ プ リ ス ト か ら 選択 す る 場合は、 [Edit] を ク リ ッ ク し ます。 3. ク ラ イ ア ン ト ト ラ フ ィ ッ ク を アプ ラ イ ア ン ス に リ ダ イ レ ク ト す る 際の リ ダ イ レ ク シ ョ ン モー ド を選択 し ます。 ネ ッ ト ワ ー ク ト ン ネル サービ ス では、 次の 2 種類の リ ダ イ レ ク シ ョ ン モー ド をサポー ト し てい ま す。 • [Split tunnel]。 AMC で定義 さ れてい る リ ソ ース にバ イ ン ド さ れた ト ラ フ ィ ッ ク が ト ン ネル経由で リ ダ イ レ ク ト さ れ、 その他のすべての ト ラ フ ィ ッ ク が普通の方法でルー ト さ れ る リ ダ イ レ ク シ ョ ン モー ド 。 こ れが、 デフ ォ ル ト の リ ダ イ レ ク シ ョ ン モー ド にな り ます。 こ のオプシ ョ ンの場合、 プ リ ン タ や ロ ーカル ホ ス ト な ど の、 ロ ーカル ネ ッ ト ワ ー ク 上の リ ソ ー ス に対す る ア ク セ スや、 イ ン タ ー ネ ッ ト ア ク セ ス が妨げ ら れ る こ と はないため、 ユーザーに と っ ては利便性が高 く な り ます。 イ ン タ ーネ ッ ト 接続 ( ス プ リ ッ ト ト ン ネル経由で リ ルーテ ィ ン グす る こ と に よ り ネ ッ ト ワ ー ク リ ソ ース に到達す る 可能性があ る ) を介 し て、 ユーザーの コ ン ピ ュ ー タ に対 し 許可 さ れていないア ク セ ス が 行われ る の を防止す る ために、 ユーザーの コ ン ピ ュ ー タ がパー ソ ナル フ ァ イ ア ウ ォ ールやア ン チ ウ イ ル ス 保護を搭載す る よ う 求め る End Point Control の使用について も 考慮 し ます。 • [Redirect all]。 こ のモー ド では、 AMC で リ ソ ース が ど の よ う に定義 さ れてい る かにかかわ ら ず、 すべての ト ラ フ ィ ッ ク が ト ン ネル経由で リ ダ イ レ ク ト さ れ ま す。 こ のオプシ ョ ン では、 セ キ ュ リ テ ィ が強化 さ れ ま すが、 ロ ーカル ネ ッ ト ワ ー ク 上の リ ソ ース へのア ク セ ス が阻害 さ れ、 し か も ネ ッ ト ワ ー ク の構成に よ っ ては、 イ ン タ ーネ ッ ト ア ク セ ス も 阻害 さ れて し ま い ます。 [Redirect all] は、 [Split tunnel] リ ダ イ レ ク シ ョ ン よ り も 安全ですが、 ユーザーが、 アプ ラ イ ア ン ス をバ イ パ ス し ネ ッ ト ワ ー ク に戻 る 独自の ス プ リ ッ ト ト ン ネル接続を作成す る ために、 コ ン ピ ュ ー タ 上のルーテ ィ ン グ テーブルを修正す る 可能性が出て き ます。 252 ページの 「ネ ッ ト ワ ー ク ト ン ネル サービ ス の 構成」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 127 4. ([Configure Community] ページで [Provision client from ASAP WorkPlace (Connect Tunnel)] オプシ ョ ン を選択す る こ と に よ り ) Connect ト ン ネル ク ラ イ ア ン ト を使用す る よ う コ ミ ュ ニ テ ィ を構成 し てい る 場合、 次のオプシ ョ ン を使用 し て、 こ の Windows ク ラ イ ア ン ト を カ ス タ マ イ ズす る こ と がで き ま す。 こ れ ら のオプシ ョ ンは、 コ ミ ュ ニ テ ィ で OnDemand ト ン ネルを選択 し てい る 場合は使用で き ま せん。 5. • [Caption for start menu and icon]。 Windows の [ ス タ ー ト ] メ ニ ュ ーお よ び Connect ア イ コ ン の下に表示 さ れ る 、 Connect ト ン ネル ク ラ イ ア ン ト を示すテ キ ス ト を カ ス タ マ イ ズす る こ と がで き ます。 • [Create icon on Windows desktop]。 デス ク ト ッ プに Connect ト ン ネル ク ラ イ ア ン ト ア イ コ ン を作成 し ま す。 • [Run client at Windows startup]。 ユーザーの コ ン ピ ュ ー タ で Windows が起動す る と き 、 Connect ト ン ネル ク ラ イ ア ン ト が自動的に動作す る よ う 設定 し ます。 • [Override default realm and appliance FQDN settings]。 デフ ォ ル ト レ ルム、 お よ び ASAP WorkPlace のプ ロ ビ ジ ョ ニ ン グ ページにア ク セ ス す る と き に使用す る アプ ラ イ ア ン ス名を上 書 き し ます。 [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 その コ ミ ュ ニ テ ィ にア ド レ ス プールが割 り 当て ら れ、 その 他のネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト 設定が構成 さ れ ま す。 [Access Methods] ページに戻 り ま す。 コ ミ ュニテ ィ での End Point Control の使用 コ ミ ュ ニ テ ィ 作成の 3 番目の基本手順は、 ク ラ イ ア ン ト デバ イ ス のセ キ ュ リ テ ィ に基づいて、 コ ミ ュ ニ テ ィ の ユーザーにア ク セ ス を制限す る こ と です。 そのために、 こ の コ ミ ュ ニ テ ィ のユーザーが、 ど の End Point Control ゾーン を使用で き る か指定 し ます。 ゾーンは、 リ ス ト さ れてい る 順序 ( 先頭が最初 ) で処理 さ れ ま す。 [Configure Communities] ページの [End Point Control restrictions] セ ク シ ョ ン では、 Web プ ロ キ シ エージ ェ ン ト ま たは Connect ト ン ネル ク ラ イ ア ン ト のいずれか を使用 し て アプ ラ イ ア ン ス にア ク セ ス す る ユーザーに対 し 、 非ア ク テ ィ ブ タ イ マーを設定す る こ と がで き ま す。 コ ミ ュ ニ テ ィ で End Point Control ゾー ン を使用 し ない場合で も 、 非ア ク テ ィ ブ タ イ マーは設定す る こ と がで き ます。 End Point Control ゾーン の作成方法 と 構成方法、 お よ び接続要求の分類のために使用す る デバ イ ス プ ロ フ ァ イ ルについては、 184 ページの 「ゾーンお よ びデバ イ ス プ ロ フ ァ イ ルに よ る EPC の管理」 を参照 し て く だ さ い。 128 | 第 6 章 - ユーザー管理 X コ ミ ュ ニ テ ィ に End Point Control を適用する には 1. [Configure Communities] ページの [End Point Control restrictions] セ ク シ ョ ン が表示 さ れ ていない場合は、 ページ上部にあ る [End Point Control restrictions] リ ン ク を ク リ ッ ク す る か、 [Access Methods] セ ク シ ョ ン の [Next] ボ タ ン を ク リ ッ ク し ま す。 2. コ ミ ュ ニ テ ィ には、 1 つま たは複数の End Point Control を割 り 当て る こ と がで き ま す。 ゾーンは、 ど のデバ イ ス に コ ミ ュ ニ テ ィ へのア ク セ ス 権限があ る か決定 し ます。 ゾーン を選択 し ない場合、 コ ミ ュ ニ テ ィ の メ ンバーには、 デフ ォ ル ト ゾーン が割 り 当て ら れ ま す。 その場合、 ア ク セ ス ポ リ シーに基づいて、 リ ソ ー ス に対す る ア ク セ ス の制限や拒否が決定 さ れ ま す。 [All Zones] リ ス ト で、 ゾーンに対す る チ ェ ッ ク ボ ッ ク ス を選択 し て、 [>>] ボ タ ン を ク リ ッ ク し ます。 こ の操作に よ り 、 こ の ゾーン が [In Use] テーブルに移動 し ます。 ま た、 [New] ボ タ ン を ク リ ッ ク す る こ と で、 新 し い EPC ゾーン を作成 し 、 それを リ ス ト に追加す る こ と も で き ま す。 ゾーン の作成方法については、 186 ページの 「ゾーン の定義」 を参照 し て く だ さ い。 3. コ ミ ュ ニ テ ィ が複数のゾーン を参照す る 場合、 [Move up] ボ タ ン ま たは [Move down] ボ タ ン を使用 し て、 リ ス ト 内の ゾーン の順序を変更 し ます。 ゾーンは リ ス ト さ れてい る 順序で処理 さ れ る ため、 それぞ れの ゾーン で ど のデバ イ ス に許可を与え る か慎重に検討す る 必要があ り ま す。 最 も 狭い範囲の ゾーン を リ ス ト の先頭に持っ て く る よ う に し ます。 4. Web プ ロ キ シ エージ ェ ン ト ま たは Connect ト ン ネル ク ラ イ ア ン ト を使用す る コ ミ ュ ニ テ ィ の メ ンバー に対 し て、 ア ク テ ィ ブでない ( ユーザーがキーボー ド も マ ウ ス も 使用 し ない状態にな っ てい る ) 接続を終 了 さ せ る ために非ア ク テ ィ ブ タ イ マーを設定す る 場合、 [End inactive user connections] リ ス ト か ら 時間制限オプシ ョ ン ([3 minutes] か ら [10 hours]) を選択 し ま す。 5. [Finish] ま たは [Save] を ク リ ッ ク し て、 コ ミ ュ ニ テ ィ の構成を終了 し ます。 デフ ォル ト コ ミ ュニテ ィ の使用 レ ルム を作成 し た ら 、 その レ ルム に 1 つま たは複数の コ ミ ュ ニテ ィ を対応 さ せなければな り ま せん。 こ れが必 要にな る のは、 アプ ラ イ ア ン ス がア ク セ ス エージ ェ ン ト お よ び End Point Control コ ン ポーネ ン ト を ユーザー に設定す る と き に、 コ ミ ュ ニ テ ィ が使用 さ れ る ためです。 コ ミ ュ ニ テ ィ を認証レ ルム と 対応 さ せ る ための最 も 簡単な手段は、 AMC ですでに構成 さ れてい る グ ロ ーバル デフ ォ ル ト コ ミ ュ ニ テ ィ を使用す る 方法です。 デフ ォ ル ト コ ミ ュ ニ テ ィ には、 次の よ う な特性が自動的に割 り 当て ら れてい ま す。 • コ ミ ュ ニ テ ィ の メ ンバーシ ッ プは [Any] に設定 さ れてい ます。 つ ま り 、 認証レ ルム のすべてのユーザー が こ の コ ミ ュ ニ テ ィ に割 り 当て ら れ ま す。 • コ ミ ュ ニ テ ィ の メ ンバーは、 Web ベー ス のプ ロ キ シ ア ク セ ス (TCP プ ロ ト コ ル ) と Web ア ク セ ス (HTTP) の 2 つの方法を利用で き ます。 • ユーザーの コ ン ピ ュ ー タ には、 End Point Control が課せ ら れてい ま せん。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 129 メモ • レ ルム のデフ ォ ル ト コ ミ ュ ニ テ ィ について も 、 他の コ ミ ュ ニ テ ィ と 同様の方法で、 設定を修正す る こ と がで き ます。 131 ページの 「 コ ミ ュ ニ テ ィ の編集、 コ ピー、 削除」 を参照 し て く だ さ い。 • ま た、 新 し く コ ミ ュ ニ テ ィ を追加 し て、 レ ルム に対応 さ せ る こ と も で き ます。 121 ページの 「レ ルムへの コ ミ ュ ニ テ ィ の追加」 を参照 し て く だ さ い。 レルムでコ ミ ュニテ ィ がリ ス ト される順序の変更 ユーザーが認証レ ルム に ロ グ イ ンす る と き 、 アプ ラ イ ア ン ス は、 ア ク セ ス エージ ェ ン ト を設定で き る よ う にす る ため、 そのユーザーが所属す る コ ミ ュ ニ テ ィ を調べ ます。 1 つの レルム で コ ミ ュ ニ テ ィ を 1 つ し か使用 し な い場合、 ま たはそれぞれのユーザーに 1 つの コ ミ ュ ニ テ ィ し か割 り 当て ていない場合、 ロ グ イ ン し 適切な ア ク セ ス エージ ェ ン ト を受け取 る プ ロ セ ス は至極単純な も のにな り ます。 し か し 、 あ る ユーザーが複数の コ ミ ュ ニ テ ィ に所属 し てい る 場合、 そのユーザーに割 り 当て ら れ る コ ミ ュ ニ テ ィ は、 [Configure Realm] ページの [Communities] セ ク シ ョ ン に リ ス ト さ れ る と き の コ ミ ュ ニ テ ィ の 順序で決ま り ます。 アプ ラ イ ア ン ス は、 ユーザーを リ ス ト の最初の コ ミ ュ ニ テ ィ と 一致 さ せ よ う と し ま す。 ユーザーは、 一致す る リ ス ト の最初の コ ミ ュ ニ テ ィ に割 り 当て ら れ る こ と にな り ます。 そのため、 こ の よ う な 場合、 最 も 範囲が狭い コ ミ ュ ニテ ィ を リ ス ト の最初に配置す る のがベ ス ト です。 X レルムに対する コ ミ ュ ニ テ ィ の順序を変更する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Realms] ペー ジが表示 さ れ ます。 2. コ ミ ュ ニ テ ィ の順序を変更す る 認証レ ルム の名前を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Realm] ページの [General] セ ク シ ョ ン が表示 さ れ ます。 3. [Communities] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Realm] ページの [Communities] セ ク シ ョ ンが表示 さ れ ま す。 4. コ ミ ュ ニ テ ィ の リ ス ト には、 コ ミ ュ ニテ ィ に対 し て [Move Up] リ ン ク ま たは [Move Down] リ ン ク が適宜対応 し てい ま す。 それぞれの リ ン ク を ク リ ッ ク す る と 、 選択 し てい る コ ミ ュ ニ テ ィ が 1 段階ずつ 上下に移動 し ます。 5. コ ミ ュ ニ テ ィ が所定の場所 ま で移動 し た ら 、 [Save] を ク リ ッ ク し ます。 メモ • ユーザーに割 り 当て ら れてい る コ ミ ュ ニ テ ィ は、 ASAP WorkPlace の [details] ページに表示 さ れ ま す。 レルムでの RADIUS アカウンテ ィ ングの構成 ア カ ウ ン テ ィ ン グ情報を収集す る ために RADIUS サーバーを使用す る 場合、 AMC で RADIUS ア カ ウ ン テ ィ ン グ サーバーを構成 し て、 レ ルム単位でア カ ウ ン テ ィ ン グ を有効にす る こ と がで き ます。 アプ ラ イ ア ン ス で は、 ロ グ イ ン し たユーザー、 接続の時刻 と 時間、 接続元 IP ア ド レ ス な ど を示す RADIUS ア カ ウ ン テ ィ ン グ メ ッ セージ をサーバーに送信 し ま す。 アプ ラ イ ア ン ス は、 一度に 1 台の RADIUS サーバーのみに接続す る こ と がで き ます。 AMC で 2 台の RADIUS サーバーが構成 さ れてい る 場合、 アプ ラ イ ア ン ス はプ ラ イ マ リ サーバーのみに メ ッ セージ を送信 し 、 プ ラ イ マ リ サーバー と の接続が失敗 し た場合に限 り 、 セ カ ン ダ リ サーバー と 通信 し ま す。 X RADIUS ア カ ウ ン テ ィ ン グ サーバーを構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Servers] を ク リ ッ ク し ます。 130 | 第 6 章 - ユーザー管理 2. [Authentication Servers] ページで [RADIUS Accounting] に対応す る [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [RADIUS Accounting] ページが表示 さ れ ます。 3. [Enable RADIUS accounting] チ ェ ッ ク ボ ッ ク ス を選択 し て、 アプ ラ イ ア ン ス が RADIUS ア カ ウ ン テ ィ ン グ メ ッ セージ を サーバーに送信で き る よ う に し ま す。 4. [Primary RADIUS server] ボ ッ ク ス にプ ラ イ マ リ ア カ ウ ン テ ィ ン グ サーバーの IP ア ド レ ス を入力 し 、 [Accounting port] ボ ッ ク ス にサーバー と の通信で使用す る ポー ト 番号を入力 し ます。 こ こ を ブ ラ ン ク にす る と 、 デフ ォ ル ト のサーバー ポー ト (1646) が使用 さ れ ま す。 5. アプ ラ イ ア ン ス と サーバー間の通信に障害が発生 し た場合のバ ッ ク ア ッ プ と し て、 2 台目の RADIUS ア カ ウ ン テ ィ ン グ サーバーを使用す る 場合は、 [Secondary RADIUS server] ボ ッ ク ス にサーバーの IP ア ド レ ス を入力 し 、 [Accounting port] ボ ッ ク ス にポー ト 番号を入力 し ま す。 6. [Shared secret] ボ ッ ク ス に、 アプ ラ イ ア ン ス が RADIUS ア カ ウ ン テ ィ ン グ サーバー と 通信す る 上で 必要な、 事前に設定 さ れた秘密情報を入力 し ます。 7. [Retry interval] ボ ッ ク ス に、 RADIUS サーバーか ら の返信を待つ時間を秒単位で入力 し ま す。 こ の時 間が経過す る と 、 サーバー と の接続を再試行 し ます。 8. デフ ォ ル ト の場合、 アプ ラ イ ア ン ス は、 そのアプ ラ イ ア ン ス 名 ([Configure Network Interfaces] ページの設定 ) を使用 し て、 RADIUS ア カ ウ ン テ ィ ン グ サーバーで認証を受け ま す。 ただ し 、 [NASIdentifier] ボ ッ ク スや [NAS-IP-Address] ボ ッ ク ス の設定を使用す る こ と で、 アプ ラ イ ア ン ス が異 な る 識別情報を送信す る よ う 設定す る こ と も で き ます。 9. [Locale encoding] エ リ アで次の よ う に設定 し ま す。 • [Selected] リ ス ト ボ ッ ク ス か ら 文字セ ッ ト を選択 し ます。 選択可能な文字セ ッ ト の リ ス ト につい ては、 291 ページの 「サポー ト さ れてい る その他の RADIUS 文字セ ッ ト 」 を参照 し て く だ さ い。 • [Other] を ク リ ッ ク し 、 テ キ ス ト ボ ッ ク ス に文字セ ッ ト の名前を入力 し ます。 入力で き る 文字セ ッ ト の リ ス ト については、 291 ページの 「サポー ト さ れてい る その他の RADIUS 文字セ ッ ト 」 を参照 し て く だ さ い。 10. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Authentication Servers] ページに戻 り ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 131 コ ミ ュニテ ィ の編集、 コ ピー、 削除 コ ミ ュ ニ テ ィ の編集方法、 コ ピー方法、 削除方法の詳細については、 35 ページの 「AMC でのオブジ ェ ク ト の 追加、 編集、 コ ピー、 削除」 を参照 し て く だ さ い。 ユーザーまたはグループのメ ンバーシ ッ プの特定コ ミ ュニテ ィ への制限 デフ ォ ル ト の場合、 コ ミ ュ ニ テ ィ は、 対応 し てい る 認証レ ルム のすべての メ ンバーを、 その メ ンバー と し て含 む よ う 構成 さ れてい ます。 ただ し 、 レ ルム内の特定ユーザー ま たは特定ユーザー グループのみにア ク セ ス を限 定す る よ う 、 コ ミ ュ ニ テ ィ を構成す る こ と も で き ます。 こ れはた と えば、 レ ルム を、 従業員用の コ ミ ュ ニ テ ィ と 、 ビ ジネ ス パー ト ナー用の コ ミ ュ ニ テ ィ に分割 し たい 場合な ど に使用す る と 便利です。 こ う し てお く と 、 それぞれの コ ミ ュ ニ テ ィ に適切な ア ク セ ス エージ ェ ン ト を 割 り 当て た り 、 セ キ ュ アでない コ ン ピ ュ ー タ か ら ロ グ イ ンす る 場合に End Point Control を課 し た り す る こ と がで き ます。 コ ミ ュ ニ テ ィ は、 ア ク セ ス 制御ルールか ら も 参照で き る ため、 特定のユーザー コ ミ ュ ニ テ ィ に対 し て、 リ ソ ー スへのア ク セ ス を許可ま たは拒否す る こ と がで き ま す。 X コ ミ ュ ニ テ ィ の メ ンバーシ ッ プ を制限する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Realms] ペー ジが表示 さ れ ます。 2. 修正す る コ ミ ュ ニテ ィ を含むレ ルム の名前を ク リ ッ ク し ます。 こ の操作に よ り 、 [Configure Realm] ページが表示 さ れ ま す。 3. [Communities] リ ン ク を ク リ ッ ク し て、 レ ルムに割 り 当て ら れてい る コ ミ ュ ニ テ ィ を表示 し ま す。 次 に、 修正 し たい コ ミ ュ ニテ ィ の名前の横にあ る [+] 記号を ク リ ッ ク し て、 設定を拡張表示 し ま す。 4. コ ミ ュ ニ テ ィ に対応す る [General] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Community] ページの [Members] セ ク シ ョ ンが表示 さ れ ま す。 5. [Members] ボ ッ ク ス の横にあ る [Edit] ボ タ ン を ク リ ッ ク し ま す。 現在のユーザーお よ びグループ を表 示す る ポ ッ プア ッ プ ウ ィ ン ド ウ が表示 さ れ ます。 6. [Users and Groups] ポ ッ プア ッ プ ウ ィ ン ド ウ で、 コ ミ ュ ニ テ ィ に割 り 当て たいそれぞれのユーザー ま たはグループに対す る チ ェ ッ ク ボ ッ ク ス を選択 し ます。 7. メ ンバーを コ ミ ュ ニ テ ィ に追加 し 終わ っ た ら 、 [Save] を、 続いて [OK] を ク リ ッ ク し ます。 ユーザーおよびグループの管理 ユーザーお よ びグループの管理は、 継続的な作業にな り ま す。 ユーザー と グループは、 直接アプ ラ イ ア ン ス に 保管 さ れ る わけでな く 、 外部ユーザー デ ィ レ ク ト リ か ら 参照 さ れ ます。 ほ と ん ど のユーザー管理は、 外部ユー ザー リ ポジ ト リ を介 し て行われ ますが、 信頼で き る ア ク セ ス を提供す る ためには、 AMC リ ス ト で最新の状態 が保たれ る よ う にす る こ と が必須にな り ま す。 AMC で定義 さ れてい る ユーザー と グループは、 アプ ラ イ ア ン ス で現在構成 さ れてい る デ ィ レ ク ト リ と 対応 し て い ま す。 ユーザーおよびグループの表示 AMC で構成 さ れてい る ユーザー と グループは、 [Groups]、 [Users]、 [Local Accounts] の各ページに表 示 さ れ ます。 132 | 第 6 章 - ユーザー管理 X ユーザー と グループ を表示する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Users & Groups] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Groups] ページが表示 さ れ ます。 2. 表示す る オブジ ェ ク ト の タ イ プ を選択 し ます。 3. 4. • 外部認証サーバーに保管 さ れた グループ情報にマ ッ ピ ン グ さ れてい る ユーザーのグループ を管理す る 場合、 [Groups] タ ブ を ク リ ッ ク し ま す。 • 外部認証サーバーに保管 さ れた グループ情報にマ ッ ピ ン グ さ れてい る 個別のユーザーを管理す る 場 合、 [Users] タ ブ を ク リ ッ ク し ま す。 • アプ ラ イ ア ン ス の ロ ーカル リ ポジ ト リ に保管 さ れてい る ユーザーを管理す る 場合、 [Local Accounts] タ ブ を ク リ ッ ク し ま す。 グループ、 ユーザー、 ロ ーカル ア カ ウ ン ト の各 リ ス ト に表示 さ れたデー タ を確認 し ま す。 • チ ェ ッ ク ボ ッ ク ス 列は、 1 つ ま たは複数のグループ、 ユーザー、 ロ ーカル ア カ ウ ン ト を選択す る と き に使用 し ま す。 こ れ ら を削除す る と き に こ れを使用 し ます。 • プ ラ ス 記号 (+) の列を ク リ ッ ク す る と 、 ユーザー、 グループ、 ロ ーカル ア カ ウ ン ト が拡大 さ れ ま す。 • [Name] 列には、 ユーザー、 グループ、 ロ ーカル ユーザー ア カ ウ ン ト を作成す る と き に割 り 当て た名前が表示 さ れ ま す。 • [Description] 列には、 ユーザー、 グループ、 ロ ーカル ユーザー ア カ ウ ン ト を作成す る と き に入 力 し た説明テ キ ス ト が リ ス ト さ れ ます。 • [Realm] 列には、 ユーザー、 グループ、 ロ ーカル ユーザー ア カ ウ ン ト を参照す る 認証レ ルムが示 さ れ ま す。 列は、 各列の見出 し を ク リ ッ ク す る こ と に よ り 、 昇順 ま たは降順で ソ ー ト す る こ と がで き ます。 外部リ ポジ ト リ にマ ッ ピングされているユーザーおよびグループの管理 ユーザーお よ びグループの管理は、 継続的な作業にな り ま す。 ユーザー と グループは、 直接アプ ラ イ ア ン ス に 保管 さ れ る わけでな く 、 外部ユーザー デ ィ レ ク ト リ か ら 参照 さ れ ます。 ほ と ん ど のユーザー管理は、 外部ユー ザー リ ポジ ト リ を介 し て行われ ますが、 安全で信頼で き る ア ク セ ス を提供す る ためには、 AMC リ ス ト で最新 の状態が保たれ る よ う にす る こ と が必須にな り ます。 ほ と ん ど のデ ィ レ ク ト リ では、 同様のユーザー ア カ ウ ン ト を ま と めて、 同様の権利や権限を与え てい ま す。 デ ィ レ ク ト リ を こ の よ う に管理す る 場合、 アプ ラ イ ア ン ス でのユーザー管理のほ と ん ど は、 通常、 個別のユー ザー単位ではな く 、 ユーザー グループ中心に行われ る こ と にな り ます。 最初に、 デ ィ レ ク ト リ に保管 さ れてい る ユーザー グループ を参照す る よ う 、 アプ ラ イ ア ン ス を セ ッ ト ア ッ プ し て、 その後、 ア ク セ ス制御ルールでそ のグループ を参照 し ます。 個別のユーザーを管理す る 必要があ る のは、 ほ と ん ど の場合、 グループ メ ンバー シ ッ プで認め ら れてい る も の と 異な る 権限を割 り 当て る 場合に限 ら れ ま す。 AMC で定義 さ れてい る ユーザー と グループは、 アプ ラ イ ア ン ス で現在構成 さ れてい る デ ィ レ ク ト リ と 対応 し て い ま す。 テ ス ト や評価のために、 アプ ラ イ ア ン ス で ロ ーカル ユーザーを作成す る こ と も で き ます。 138 ページの 「 ロ ー カル ユーザー ア カ ウ ン ト の管理」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 133 デ ィ レ ク ト リの検索によるユーザーやグループの追加 Microsoft Active Directory デ ィ レ ク ト リ お よ び LDAP デ ィ レ ク ト リ の場合、 デ ィ レ ク ト リ の内容を検索 し て、 ユーザーやグループ を リ ス ト か ら 選択す る こ と に よ り 、 ユーザーを追加す る こ と がで き ま す。 その場合、 識別名 (DN) を わざわざ入力す る 必要はあ り ません。 ただ し こ の機能は、 RADIUS レ ルム ( ま たは ロ ーカル ユーザー ス ト ア ) に含 ま れてい る ユーザーを追加す る 場合以外は使用で き ま せん。 ユーザーやグループ を追加す る と 、 [Users page] ページ、 [Groups page] ページにそれぞれ リ ス ト さ れ ま す。 こ の状態で、 ユーザーやグループ を ア ク セ ス 制御ルールに追加す る こ と がで き ます。 X デ ィ レ ク ト リ の検索に よ り ユーザーやグループ を追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Groups] ページが表示 さ れ ます。 2. 追加す る オブジ ェ ク ト の タ イ プ を選択 し ます。 • グループ を追加す る 場合、 [Groups] タ ブ を ク リ ッ ク し ます。 • ユーザーを追加す る 場合、 [Users] タ ブ を ク リ ッ ク し ます。 3. [Search] ボ タ ン を ク リ ッ ク し ます。 こ の操作に よ り 、 [Search Directory] ウ ィ ン ド ウ が表示 さ れ ま す。 4. [Look in] リ ス ト で、 検索す る デ ィ レ ク ト リ を選択 し ま す。 5. 検索基準を定義 し ま す。 • [Search for] ボ ッ ク ス に、 ユーザー名ま たはグループ名のすべて ま たは一部を入力 し ま す。 デフ ォ ル ト は 「*」 で、 こ の場合、 レ ルム内のすべての レ コ ー ド が返 さ れ ま す。 ワ イ ル ド カー ド 文字 ( 「*」 ) は、 検索文字列の ど の部分に も 使用す る こ と がで き ま す。 た と えば、 「j」 で始ま る グループ名を検 索す る 場合は、 「j*」 と 入力 し ます。 ま た、 「Mary」 ま たは 「Marty」 と い う 名前のユーザー ( ただ し 「Max」 は除外 ) を検索す る と き は、 「m*y」 と 入力す る こ と がで き ます。 • 検索範囲を狭め る と き は、 [Attribute] ボ ッ ク ス に LDAP 属性を入力 し ます。 た と えば、 ユーザー の姓を検索す る 場合は 「sn」、 共通名を検索す る 場合は 「cn」 と 入力す る こ と がで き ます。 • 各ページで返 さ れ る 結果の数を、 [Show] ボ ッ ク ス で指定す る こ と がで き ます。 デフ ォ ル ト は 「25」 です。 • 詳細な検索基準を指定す る 場合は [Advanced] タ ブ を ク リ ッ ク し ま す。 詳細については、 135 ページの 「高度な検索方法」 を参照 し て く だ さ い。 134 | 第 6 章 - ユーザー管理 6. [Search] を ク リ ッ ク し ま す。 7. 追加す る オブジ ェ ク ト を指定 し ます。 • 結果表示ページ を切 り 替え る と き は、 左下のペ イ ン にあ る 矢印ボ タ ン を使用 し ます。 [<] お よ び [>] を ク リ ッ ク す る と 、 ページが 1 ページずつ前後に移動 し ます。 [<<] お よ び [>>] を ク リ ッ ク す る と 、 最初のページお よ び最後のページがそれぞれ表示 さ れ ます。 • ユーザーま たはグループについての詳細な情報を参照す る と き は、 名前を ク リ ッ ク し ます。 詳細な属 性の リ ス ト が右側のペ イ ン に表示 さ れ ま す。 • アプ ラ イ ア ン ス に追加す る ユーザーま たはグループの左側にあ る チ ェ ッ ク ボ ッ ク ス を選択 し ます。 8. [Insert Selected] ボ タ ン を ク リ ッ ク し ます。 こ の操作に よ り 、 選択 し てい る ユーザー ま たはグループ がアプ ラ イ ア ン ス に追加 さ れ ま す。 現在のページのすべてのユーザーま たはグループ を選択 ( ま たは選択 解除 ) す る には、 [Select all/none] の横にあ る チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 9. 設定が終わ っ た ら 、 右上の [Close] ボ タ ン を ク リ ッ ク し ま す。 こ の操作に よ り 、 ポ ッ プ ア ッ プ ウ ィ ン ド ウ が閉 じ て、 メ イ ン AMC ページに戻 り ます。 メモ • デフ ォ ル ト の場合、 基本 ([basic]) 検索は、 sAMAccountName、 cn、 uid、 userid の各属性を照会 す る こ と に よ っ て、 ユーザーお よ びグループ を検索す る よ う 構成 さ れてい ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 135 高度な検索方法 LDAP 構文に慣れてい る 場合は、 高度な検索を行 う こ と で、 照会の範囲を さ ら に狭め る こ と がで き ま す。 こ れ は、 特に大規模なデ ィ レ ク ト リ を照会す る 場合な ど、 検索結果の数を減 ら す必要があ る 場合に使用す る と 非常 に便利です。 状況に よ っ ては、 非標準ス キーマ を使用 し てデ ィ レ ク ト リ を照会す る ために、 高度な検索を実行 す る 必要があ り ま す。 高度な検索を実行す る 場合、 [Advanced] タ ブ を ク リ ッ ク し ま す。 次の表では、 高度な検索基準を指定す る ための フ ィ ール ド について説明 し ま す。 属性 説明 [Filter] ボ ッ ク ス 検索の範囲を狭める LDAP 検索 フ ィ ル タ を指定 し ます。 構文 filter=(operator(LDAP attribute=value)(..)) 演算子 • OR = “|” • AND = “&” • NOT = “!” 例 (cn=Babs Jensen) (!(cn=Tim Howes)) (&(objectClass=Person)(|(sn=Jensen)(cn=Babs J*))) [Search base] ボ ッ ク ス 検索を始める LDAP デ ィ レ ク ト リ 内のポ イ ン ト を指定 し ます。 通常 こ れは、 ユーザーま たは グループが含まれる デ ィ レ ク ト リ ツ リ ーの最下層にな り ます。 LDAP の場合、 「ou=Users,o=example.com」 のよ う に入力 し ます。 Microsoft Active Directory を検索する と きは、 「CN=users,DC=example,DC=corp,DC=com」 と 指 定 し ます。 [Object class] ボ ッ ク ス ユーザーまたはグループが含まれる オ ブ ジ ェ ク ト ク ラ ス を指定 し ます。 ユーザーの場合、 こ れは通常 「user] ま たは [inetOrgPerson] にな り ます。 グループの場合は通常 「group」、 「groupOfNames」、 「groupOfUniqueNames」 のいずれかにな り ます。 136 | 第 6 章 - ユーザー管理 属性 説明 [Scope] リ ス ト 検索す る コ ン テナを指定 し ます。 • [base] の場合、 検索ベースか らのみ情報を検索 し ます。 検索ベース よ り 下の コ ン テナ は検索 さ れません。 • [one] の場合、 検索ベース よ り 1 レ ベル下か ら情報を検索 し ます。 こ の範囲には、 検索 ベース自体は含まれません。 • [sub] の場合、 検索ベースお よび検索ベースの下のすべてのレ ベルか ら情報を検索 し ま す これがデ フ ォ ル ト 設定にな り ます。 メモ • LDAP 検索フ ィ ル タ の詳細については、 RFC 2254 (http://www.ietf.org/rfc/rfc2254.txt) を参照 し て く だ さ い。 • LDAP 検索構文は非常に柔軟で、 複数の方法を使用 し て同 じ 結果を引 き 出せ る よ う にな っ てい ま す。 た と えば、 あ る デ ィ レ ク ト リ のすべてのグループ を検索す る と き 、 オブジ ェ ク ト ク ラ ス を使用す る こ と がで き ま す。 objectclass=group;groupOfNames ま た、 検索フ ィ ル タ を使用 し て も 、 同 じ 結果を引 き 出す こ と がで き ます。 (|(objectclass=group)(objectclass=groupOfNames)) ユーザーまたはグループの手作業による追加 ユーザーま たはグループ を作成す る と 、 [Groups] ページ ま たは [Users] ページにそれぞれ リ ス ト さ れ ま す。 こ の状態で、 ユーザーやグループ を ア ク セ ス制御ルールに追加す る こ と がで き ま す。 X ユーザーやグループ を追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Groups] ページが表示 さ れ ます。 2. 追加す る オブジ ェ ク ト の タ イ プ を選択 し ます。 3. • グループ を追加す る 場合、 [Groups] タ ブ を ク リ ッ ク し て、 [New] ボ タ ン を ク リ ッ ク し ます。 こ の 操作に よ り 、 [Add/Edit Group Mapping] ページが表示 さ れ ます。 • ユーザーを追加す る 場合、 [Users] タ ブ を ク リ ッ ク し て、 [New] ボ タ ン を ク リ ッ ク し ま す。 こ の 操作に よ り 、 [Add/Edit User Mapping] ページが表示 さ れ ます。 [Realm name] リ ス ト か ら 、 ユーザーやグループが所属す る レ ルム を選択 し ま す。 I ユーザーやグルー プが複数の レ ルム に所属 し てお り 、 それぞれを検索 し たい場合は、 レルム リ ス ト か ら [Any] を選択 し ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 137 4. [Group name] ま たは [User name] ボ ッ ク ス に、 グループ ま たはユーザーの情報を入力 し ま す。 外 部 リ ポジ ト リ 内の名前を正確に入力 し ます。 次の表は、 ユーザーお よ びグループ を定義す る と き に使用す る 構文について説明 し てい ま す。 オブジ ェ ク ト ディ レク ト リ タイプ 入力事項 グループ Active Directory 共通名 (CN) または識別名 (DN) を入力 し ます。 CN は DN よ り も 簡単に入力で き ます ( た と えば 「cn=Sales,cn=Users,dc=example,dc=com」 と 入力せずに 「Sale」 と 入力で き る ) が、 CN の場合、 唯一の一致が保証 さ れ ません。 疑わ し い場合は、 DN を使用する方が安全です。 ユーザー LDAP 識別名 (DN) を入力 し ます。 た と えば 「cn=Sales,cn=Users,dc=example,dc=com」 と 入力する こ と がで き ます。 RADIUS グループ名を入力 し ます。 た と えば 「Sales」 と 入力す る こ と が で き ます。 Active Directory ま たは RADIUS ユーザー名を入力 し ます。 た と えば 「jsmith」 と 入力す る こ と がで き ます。 LDAP 識別名 (DN) を入力 し ます。 た と えば 「cn=jsmith,cn=Users,dc=example,dc=com」 と 入力する こ と がで き ます。 メモ • ユーザー名 と グループ名では、 大文字 と 小文字が区別 さ れ ます。 • 入力 し た名前が間違っ てい る 場合 ( た と えば 「marketing」 と 入力すべ き と こ ろ を 「mktg」 や 「Marketing」 と 入力す る な ど )、 そのユーザー ま たはグループ メ ンバーに よ る リ ソ ー スへのア ク セ ス が許可 さ れな く な り ま す。 • Active Directory ま たは LDAP デ ィ レ ク ト リ の場合、 [Browse] を ク リ ッ ク し て、 デ ィ レ ク ト リ を 検索す る こ と がで き ます。 5. [Description] ボ ッ ク ス に、 ユーザーやグループについての コ メ ン ト を入力 し ます。 6. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Groups] ページ ま たは [Users] ページに戻 り ま す。 ま た、 [Save and Add Another] を ク リ ッ ク し て、 他のユーザー ま たはグループ を定義す る こ と も で き ます。 メモ • AMC でユーザー グループ を追加す る と き 、 ユーザーを実際にグループ化 し てい る わけではあ り ません。 外部ユーザー リ ポジ ト リ で定義 さ れてい る ユーザー グループの名前を単に追加 し てい る にすぎ ま せん。 • こ のアプ ラ イ ア ン ス では、 テ ス ト や評価のために、 ロ ーカル ユーザー も サポー ト し てい ま す。 138 ペー ジの 「 ロ ーカル ユーザー ア カ ウ ン ト の管理」 を参照 し て く だ さ い。 ユーザーまたはグループの編集 外部デ ィ レ ク ト リ で、 ユーザーま たはグループの名前、 識別名な ど が変更 さ れた場合、 アプ ラ イ ア ン ス でア カ ウ ン ト を修正す る 必要があ り ます。 X ユーザーま たはグループ を編集する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Groups] ページが表示 さ れ ます。 2. 編集す る オブジ ェ ク ト を選択 し ます。 3. • グループ を編集す る 場合、 [Groups] タ ブ を ク リ ッ ク し て、 編集す る グループの名前を ク リ ッ ク し ます。 こ の操作に よ り 、 [Add/Edit Group Mapping] ページが表示 さ れ ます。 • ユーザーを編集す る 場合、 [Users] タ ブ を ク リ ッ ク し て、 編集す る グループの名前を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Add/Edit User Mapping] ページが表示 さ れ ます。 必要な編集を行い ま す。 ユーザーやグループが Active Directory ま たは LDAP レルム に所属 し てい る 場合、 [Browse] ボ タ ン を ク リ ッ ク し て、 ユーザーを検索す る こ と がで き ます。 [Insert Selected User] ま たは [Insert Selected Group] を ク リ ッ ク す る と 、 アプ ラ イ ア ン ス のユーザーま たはグループのマ ッ ピ ン グ がそれ ぞれ更新 さ れ ます。 138 | 第 6 章 - ユーザー管理 4. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Groups] ページ ま たは [Users] ページに戻 り ま す。 ま た、 [Save and Add Another] を ク リ ッ ク し て、 他のユーザー ま たはグループ を定義す る こ と も で き ます。 ユーザーまたはグループの削除 ユーザーま たはグループ を削除す る と 、 そのマ ッ ピ ン グがシ ス テ ム か ら 削除 さ れ ま す。 ユーザーやグループ を 削除 し て も 、 外部ユーザー デ ィ レ ク ト リ か ら そのユーザーやグループが削除 さ れ る わけではあ り ま せん。 X ユーザーま たはグループ を削除する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Groups] ページが表示 さ れ ます。 2. 削除す る オブジ ェ ク ト を選択 し ます。 3. • グループ を削除す る 場合、 [Groups] タ ブ を ク リ ッ ク し て、 削除す る グループの左側にあ る チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 • ユーザーを削除す る 場合、 [Users] タ ブ を ク リ ッ ク し て、 削除す る ユーザーの左側にあ る チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 [Delete] ボ タ ン を ク リ ッ ク し ま す。 メモ • ユーザーま たはグループが他のオブジ ェ ク ト か ら 参照 さ れてい る 場合は、 こ れを削除す る こ と がで き ま せ ん。 た と えば、 ア ク セ ス制御ルールで参照 さ れてい る ユーザーま たはグループ を削除 し よ う と す る と 、 エ ラ ー メ ッ セージが表示 さ れ ます。 Y 削除す る 前に、 あ ら か じ め、 ユーザーま たはグループへのすべての参 照を削除 し ておかな ければな り ま せん。 詳細については、 43 ページの 「参照 さ れてい る オブジ ェ ク ト の 削除」 を参照 し て く だ さ い。 ローカル ユーザー アカウン ト の管理 こ のアプ ラ イ ア ン ス では、 次の 2 種類の方法で ロ ーカル ユーザー ア カ ウ ン ト を作成で き る よ う にな っ てい ま す。 • Setup Wizard を実行 し て アプ ラ イ ア ン ス を構成す る と き に ロ ーカル ユーザーを作成す る こ と がで き ま す。 27 ページの 「Setup Wizard を使用 し た Web ベー ス の構成」 を参照 し て く だ さ い。 • AMC で ロ ーカル ユーザー ア カ ウ ン ト を作成 し 、 ロ ーカル認証 リ ポ ジ ト リ に保管す る こ と がで き ま す。 ど ち ら の場合 も 、 ロ ーカル ユーザーはその名の通 り 、 アプ ラ イ ア ン ス に保管 さ れ ます。 こ れは、 外部認証 リ ポ ジ ト リ に保管 さ れていて AMC か ら 参照 さ れ る 他のすべてのユーザーの場合 と 異な っ てい ます。 AMC では、 ア プ ラ イ ア ン ス 上の個別のユーザーに対す る ロ ーカル ア カ ウ ン ト を作成、 修正、 削除で き る よ う にな っ てい ま す。 ただ し 、 AMC では、 ユーザーのグループに対す る ロ ーカル ア カ ウ ン ト はサポー ト し てい ま せん。 メモ • ロ ーカル ユーザーは、 テ ス ト や評価のための も のです。 実稼働環境では、 LDAP や Microsoft ActiveDirectory な ど の外部認証デ ィ レ ク ト リ と 統合す る よ う セ ッ ト ア ッ プす る こ と をお勧め し ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 139 ローカル ユーザーの追加 ロ ーカル ユーザーを追加す る 場合、 あ ら か じ め、 アプ ラ イ ア ン ス に ロ ーカル認証 リ ポジ ト リ を作成 し ていなけ ればな り ま せん。 86 ページの 「 ロ ーカル ユーザー認証の構成」 を参照 し て く だ さ い。 い っ たん ロ ーカル認証 ス ト ア を作成 し た ら 、 ロ ーカル ユーザーを アプ ラ イ ア ン ス に追加で き る よ う にな り ま す。 X ロ ー カル ユーザーを ア プ ラ イ ア ン スに追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーで [Users & Groups] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Groups] ページが表示 さ れ ます。 2. [Local Accounts] タ ブ を ク リ ッ ク し て、 [New] ボ タ ン を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Add/Edit Local User] ページが表示 さ れ ます。 3. [Realm name] リ ス ト か ら 、 ロ ーカル認証 リ ポジ ト リ を選択 し ます。 4. [Username] ボ ッ ク ス に、 ロ ーカル認証 リ ポジ ト リ に追加す る ロ ーカル ユーザーの名前を入力 し ます。 5. [Description] ボ ッ ク ス に、 ロ ーカル ユーザーについての コ メ ン ト を入力 し ます。 6. [Password] ボ ッ ク ス に、 ロ ーカル ユーザーのパ ス ワ ー ド を入力 し 、 [Confirm Password] ボ ッ ク ス に再入力 し ます。 7. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 ロ ーカル ユーザー ア カ ウ ン ト が作成 さ れ、 アプ ラ イ ア ン ス の ロ ーカル認証 リ ポ ジ ト リ に保存 さ れ ます。 ローカル ユーザーの編集 ロ ーカル ユーザーの設定を編集す る 場合、 次の手順を実行 し ま す。 X ロ ー カル ユーザーを編集する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Groups] ページが表示 さ れ ます。 2. [Local Accounts] タ ブ を ク リ ッ ク し ま す。 3. [Local Accounts] ページで、 編集す る ユーザーの名前を ク リ ッ ク し ます。 4. [Add/Edit Local User] ページでユーザーの設定を編集 し て、 [Save] を ク リ ッ ク し ます。 140 | 第 6 章 - ユーザー管理 ローカル ユーザーの削除 ロ ーカル ユーザーを削除す る と き は、 次の手順を実行 し ます。 X ロ ー カル ユーザーを削除する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Users & Groups] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Groups] ページが表示 さ れ ます。 2. [Local Accounts] タ ブ を ク リ ッ ク し ま す。 3. [Local Accounts] ページで、 削除 し たいユーザーの左側にあ る チ ェ ッ ク ボ ッ ク ス を選択 し て、 [Delete] ボ タ ン を ク リ ッ ク し ま す。 メモ • ロ ーカル ユーザーが他のオブジ ェ ク ト か ら 参照 さ れてい る 場合は、 こ れを削除す る こ と がで き ま せん。 た と えば、 ア ク セ ス 制御ルールで参照 さ れてい る ロ ーカル ユーザーを削除 し よ う と す る と 、 エ ラ ー メ ッ セージが表示 さ れ ま す。 削除す る 前に、 あ ら か じ め、 ロ ーカル ユーザーへのすべての参照を削除 し てお かなければな り ません。 エ ラ ー メ ッ セージの リ ン ク を ク リ ッ ク す る と 、 こ のユーザー グループに対す る 参照がすべて リ ス ト さ れ ま す。 詳細については、 43 ページの 「参照 さ れてい る オブジ ェ ク ト の削除」 を 参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 141 第7章 シ ス テム管理 こ の節では、 シ ス テ ム ロ ギ ン グ と モニ タ リ ン グ の構成方法 と 使用方法、お よ び Secure Sockets Layer (SSL) 暗号化オプシ ョ ン の構成方法について説明 し ます。 ま た、 ソ フ ト ウ ェ ア バージ ョ ン のア ッ プ グ レー ド 、 ロ ール バ ッ ク 、 リ セ ッ ト の他、 構成フ ァ イ ルをバ ッ ク ア ッ プ、 リ セ ッ ト す る ための さ ま ざ ま な ツールの使用方法につ いて も 説明 し ます。 オプシ ョ ン ネ ッ ト ワーク構成 こ の節では、 さ ま ざ ま なネ ッ ト ワ ー ク サービ スお よ びツールを構成す る 方法について解説 し ます。 リ モー ト ホ ス ト か ら の SSH ア ク セ ス を有効にす る 方法や、 アプ ラ イ ア ン ス を ping で き る よ う Internet Control Message Protocol (ICMP) を有効にす る 方法について説明 し ま す。 ま た、 アプ ラ イ ア ン ス で時刻設定を構成 す る 方法について も 説明 し ま す。 SNMP の構成方法お よ び使用方法については、 157 ページの 「SNMP の構成」 を参照 し て く だ さ い。 リ モー ト ホス ト からの SSH アクセスの有効化 SSH を有効にす る と 、 他のシ ス テ ム か ら アプ ラ イ ア ン ス の コ ン ソ ールに簡単にア ク セ スす る こ と がで き ま す。 内部ネ ッ ト ワ ー ク ま たは外部ネ ッ ト ワ ー ク について SSH ア ク セ ス を有効にす る こ と がで き ま す。 ロ ーカル SSH サーバー ド メ イ ン (sshd) はポー ト 22 (SSH で一般的なポー ト 番号 ) で リ ッ ス ン し ま す。 X SSH ア ク セ ス を有効にする には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ます。 2. [Network Services] エ リ アの [SSH] に対応す る [Configure] リ ン ク を ク リ ッ ク し ま す。 こ の操作 に よ り 、 [Configure SSH] ページが表示 さ れ ます。 3. SSH を有効にす る には、 [Enable SSH] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 142 | 第 7 章 - シ ス テム管理 4. SSH ア ク セ ス を許可す る ホ ス ト を追加す る には、 追加す る ホ ス ト の IP ア ド レ ス と サブネ ッ ト マ ス ク を 入力 し て [Add] を ク リ ッ ク し ます。 5. [Save] を ク リ ッ ク し ます。 X ホ ス ト を削除する には 1. 削除す る ホ ス ト の右側にあ る [Delete] ボ タ ン を ク リ ッ ク し ま す。 2. [Save] を ク リ ッ ク し ます。 メモ • IP ア ド レ ス と サブネ ッ ト マ ス ク に 「0.0.0.0」 と 入力す る こ と で、 任意のホ ス ト か ら の SSH ア ク セ ス を有効にす る こ と がで き ま す。 こ れは便利な設定ではあ り ま すが、 アプ ラ イ ア ン ス のセ キ ュ リ テ ィ が低下 す る と い う 欠点 も あ り ま す。 • コ マ ン ド ラ イ ン か ら ア ッ プ グ レー ド を行 う と き は、 SSH を使用 し ないで く だ さ い。 代わ り にシ リ アル コ ン ソ ールか ら ア ッ プ グ レー ド を行 う よ う に し ま す。 ICMP の有効化 ICMP を有効にす る と 、 同 じ サブネ ッ ト 上の他の コ ン ピ ュ ー タ か ら アプ ラ イ ア ン ス へのネ ッ ト ワ ー ク 接続を テ ス ト す る ために ping コ マ ン ド を使用で き る よ う にな り ま す。 ただ し こ れは、 ブ ロ ー ド キ ャ ス ト ping を有効に す る も のではあ り ません。 ! 注意 ICMP を有効にする と 、 両方のネ ッ ト ワー ク イ ン タ フ ェ ースか ら ア プ ラ イ ア ン ス を ping で き る よ う にな り ます。 そのため、 フ ァ イ ア ウ ォ ールやその他のネ ッ ト ワー ク デバイ ス を使用 し て ICMP Echo Request ト ラ フ ィ ッ ク を禁止 し ない限 り 、 ア プ ラ イ ア ン ス を イ ン タ ーネ ッ ト か ら 検出で き る状態にな り ます。 X ICMP を有効にする には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Network Settings] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Network Settings] ページが表示 さ れ ます。 2. [Basic] セ ク シ ョ ン の [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure General Network Settings] ページが表示 さ れ ます。 3. [ICMP] エ リ アで、 [Enable ICMP pings] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 4. [Save] を ク リ ッ ク し ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 143 時刻設定の構成 デフ ォ ル ト の場合、 アプ ラ イ ア ン ス はグ リ ニ ッ チ標準時 (GMT) に設定 さ れてい ます。 現地時間を使用 し て ロ グ を と り たい場合、 アプ ラ イ ア ン ス で時刻設定を構成 し ます。 シ ス テ ム ク ロ ッ ク を正確に合わせ る ためにアプ ラ イ ア ン ス で Network Time Protocol (NTP) を使用す る 構成にす る こ と も で き ます。 ま た、 日付、 時刻、 タ イ ム ゾーン を手作業で構成す る こ と も で き ます。 X NTP を使用 し て時刻設定を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Services] ページが表示 さ れ ま す。 2. [Network Services] エ リ アの [NTP] に対応す る [Configure] リ ン ク を ク リ ッ ク し ます。 こ の操作 に よ り 、 [Configure NTP Settings] ページが表示 さ れ ます。 3. NTP を有効にす る には、 [Enable NTP] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 4. NTP を構成す る ため、 [Primary server] ボ ッ ク ス お よ び [Backup server] ボ ッ ク ス に、 1 つま た は複数の NTP サービ ス の IP ア ド レ ス を入力 し ま す。 時刻の同期の際、 通常はプ ラ イ マ リ サーバーが使 用 さ れ ますが、 プ ラ イ マ リ サーバーが使用で き ない と き は、 必要に応 じ てセ カ ン ダ リ サーバーが使用 さ れ ま す。 5. [Save] を ク リ ッ ク し ます。 メモ • アプ ラ イ ア ン ス では NTP 認証鍵を使用 し ていないため、 何者かが NTP サーバーにな り すま し て、 アプ ラ イ ア ン ス に偽の時刻設定を提供す る こ と も で き ます。 そのため、 NTP サーバーを同期す る と き は、 内部 ネ ッ ト ワ ー ク の も のだけ を使用す る と 良いで し ょ う 。 144 | 第 7 章 - シ ス テム管理 X 時刻設定を手作業で構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [General Settings] を ク リ ッ ク し ます。 2. [General Settings] ページで、 [Appliance options] セ ク シ ョ ン の [Edit] リ ン ク を ク リ ッ ク し ま す。 [Configure General Appliance Options] ページが表示 さ れ ます。 3. [Date/Time] エ リ アで、 次の情報を入力 し ます。 4. • タ イ ム ゾーン を変更す る と き は、 [Time zone] ボ ッ ク ス か ら 現在の タ イ ム ゾーン を選択 し ま す。 • 現在の時刻を設定す る と き は、 [Date] ボ ッ ク ス に現在の日付を 「mm/dd/yyyy」 の書式で入力 し て、 [Time] ボ ッ ク ス に現在の時刻を 「hh:mm」 の書式で 24 時間表記を使用 し て入力 し ま す。 変 更をす ぐ に適用す る 場合は、 [Set now] を ク リ ッ ク し ます。 [Save] を ク リ ッ ク し ます。 メモ • Aventail が提供 し た評価版 ラ イ セ ン ス を使用 し てい る 場合は、 シ ス テ ム時刻を現在時刻か ら 前に戻 さ な いで く だ さ い。 時刻を前に戻す と 、 ラ イ セ ン ス 上の理由か ら 、 アプ ラ イ ア ン ス のすべてのサービ ス が無効 にな り ます。 システム ロギングおよびモニ タ リ ング Aventail アプ ラ イ ア ン ス は、 ユーザー ア ク セ ス やシ ス テ ム イ ベン ト な ど、 さ ま ざ ま な有用な情報を ロ ギ ン グ し ま す。 こ の節では、 ロ グ の構成方法 と 表示方法、 さ ま ざ ま な ロ グ フ ァ イ ル形式、 外部 syslog サーバーへの メ ッ セージの送信方法な ど について説明 し ます。 ま た、 AMC で表示 さ れ る シ ス テ ム ス テー タ ス 情報について も 解説 し ま す。 概要 : システム ロギングおよびモニ タ リ ング アプ ラ イ ア ン ス では、 アプ ラ イ ア ン ス上のサービ ス のデー タ を ロ ギ ン グ し ま す。 シ ス テ ム ロ グは、 収集 さ れた ら 、 すべて syslog 形式で保管 さ れ ます。 ロ グ メ ッ セージは、 更新バージ ョ ン の標準 syslog 形式を使用 し て 処理 さ れ ま す。 アプ ラ イ ア ン ス は当初、 ロ グ フ ァ イ ルを ロ ーカルに保管す る よ う 構成 さ れてい ます。 ロ グ フ ァ イ ルを中央の syslog サーバーに送信す る よ う 構成す る と 、 シ ス テ ム レベルの イ ベン ト をほぼ リ アル タ イ ム に監視で き る よ う にな り 、 重要な イ ベン ト について通知を受け る こ と も で き ま す。 中央の syslog サーバーが使用で き ない場合 は、 AMC ま たは (tail、 cat、 more な ど な ど の標準 UNIX コ マ ン ド を使用 し て ) アプ ラ イ ア ン ス 自体の コ マ ン ド ラ イ ン イ ン タ フ ェ ー ス か ら ロ グ フ ァ イ ルを手動で参照す る こ と がで き ます。 生 ロ グ デー タ の参照方法や 解釈の方法については、 Aventail チ ャ ネルパー ト ナーのサポー ト 窓口 ま でお問い合わせ下 さ い。 ま た、 ロ グ メ ッ セージ デー タ を カ ン マ区切 り 形式 (.csv) の フ ァ イ ルにエ ク ス ポー ト す る こ と に よ り 、 Microsoft Excel な ど のアプ リ ケーシ ョ ン で表示 と 分析を行 う こ と も で き ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 145 ログ フ ァ イル形式 アプ ラ イ ア ン ス は、 さ ま ざ ま な タ イ プの ロ グ フ ァ イ ルを生成 し ま す。 • シ ス テム メ ッ セージ ロ グ - メ ッ セージ ロ グには、 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス 、 ネ ッ ト ワ ー ク ト ン ネル サービ ス、 Web プ ロ キ シ サービ ス についてのサーバー処理情報お よ び診断情報が表示 さ れ ます。 ま た、 すべてのア ク セ ス 制御決定に関す る 詳細な メ ッ セージ も 記述 さ れ ます。 つま り 、 ユーザーの要求がポ リ シー ルール と 合致す る と 、 その と き に実行 さ れた動作を示す ロ グ フ ァ イ ル エ ン ト リ が記録 さ れ ま す。 AMC か ら こ の ロ グにア ク セ ス す る と き は、 [View Log] ページか ら [System message log] を選択 し ます。 • 監査ロ グ - アプ ラ イ ア ン ス は、 2 種類のア ク セ ス ロ グ を生成 し ま す。 1 つは Web プ ロ キ シ サービ ス を記 録 し た も ので、 も う 1 つは、 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス と ネ ッ ト ワ ー ク ト ン ネル サービ ス の両方の メ ッ セージ を組み合わせた も のです。 こ れ ら の 2 つの ロ グ には、 ネ ッ ト ワ ー ク にア ク セ ス し たユーザーや 転送 さ れたデー タ の量の リ ス ト な ど、 接続活動に関す る 詳細な情報が記録 さ れ ます。 AMC か ら 監査 ロ グ にア ク セ スす る と き は、 [View Logs] ページか ら [Web proxy audit log] ま たは [Network proxy/tunnel audit log] を選択 し ます。 • ASAP WorkPlace ロ グ - こ のアプ ラ イ ア ン ス は、 エ ラ ー条件や情報 メ ッ セージ を記述 し た、 ASAP WorkPlace に対す る ロ グ フ ァ イ ルを 1 つ生成 し ます。 ASAP WorkPlace ロ グは、 [View Logs] ページ か ら 参照す る こ と はで き ま せん。 • Management Console 監査ロ グ - こ のアプ ラ イ ア ン ス は、 AMC でプ ラ イ マ リ ( デフ ォ ル ト ) 管理者 お よ びセ カ ン ダ リ 管理者が行っ た構成変更に対す る 監査履歴を生成 し ます。 ログの表示 Aventail サービ ス に対す る 監査 ロ グお よ びシ ス テ ム メ ッ セージ ロ グ のデー タ を参照す る と き は、 AMC を使用 す る こ と がで き ます。 AMC の [View Logs] ページ を使用 し て、 ロ グ メ ッ セージ を ソ ー ト 、 検索、 フ ィ ル タ リ ン グす る こ と がで き ま す。 X ロ グ を表示する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Logging] を ク リ ッ ク し ます。 こ の操作に よ り 、 [View Logs] ページが表示 さ れ ま す。 2. [Log file] リ ス ト を使用 し て、 表示す る Aventail シ ス テ ム ま たはサービ ス ロ グ フ ァ イ ルを選択 し ま す。 表示 さ れ る 情報の列は、 それぞれの ロ グ フ ァ イ ルご と に異な り ま す。 • シ ス テ ム メ ッ セージ ロ グ。 Web プ ロ キ シ サービ ス 、 ネ ッ ト ワ ー ク ト ン ネル サービ ス 、 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス 、 ポ リ シー サーバーに関す る 情報が含 ま れ ま す。 こ の ロ グの詳細について は、 150 ページの 「シ ス テ ム メ ッ セージ ロ グ」 を参照 し て く だ さ い。 • ネ ッ ト ワ ー ク プ ロ キ シ サービ ス お よ びネ ッ ト ワ ー ク ト ン ネル サービ ス に対す る 監査 ロ グ ( ロ グ フ ァ イ ルでは 「Anywhere VPN」 と 表記 さ れ る )。 こ の ロ グの詳細については、 151 ページの 「ネ ッ ト ワ ー ク プ ロ キ シ / ト ン ネル監査 ロ グ」 を参照 し て く だ さ い。 • Web プ ロ キ シ サービ ス に対す る 監査 ロ グ ( ロ グ フ ァ イ ルでは 「ExtraWeb」 と 表記 さ れ る )。 こ の ロ グ の詳細については、 152 ページの 「Web プ ロ キ シ監査 ロ グ」 を参照 し て く だ さ い。 • Management Console 監査 ロ グ。 指定の管理者が AMC で行っ た構成変更が記録 さ れてい ま す。 こ の ロ グ の詳細については、 153 ページの 「Management Console 監査 ロ グ」 を参照 し て く だ さ い。 146 | 第 7 章 - シ ス テム管理 3. [Show last] ボ ッ ク ス を使用 し て、 表示す る ロ グ メ ッ セージの数を選択 し ま す。 [50]、 [100]、 [250]、 [500]、 [1000] のいずれか を選択す る こ と がで き ます。 4. 最新の ロ グ メ ッ セージが含ま れ る よ う ページ を更新す る と き や、 実行 し たばか り の フ ィ ル タ リ ン グの結 果を表示す る と き は、 [Refresh] ボ タ ン を ク リ ッ ク し ま す。 デフ ォ ル ト の場合、 ロ グ ビ ュ ーアの [Auto-refresh] オプシ ョ ンは [1 minute] に設定 さ れてい ま す。 リ フ レ ッ シ ュ 時間は、 オプシ ョ ン で、 [30 seconds]、 [1minute]、 [5 minutes]、 [10 minutes]、 [15 minutes] のいずれか を選択す る こ と がで き ます。 ま た、 [Off] を選択 し て、 リ フ レ ッ シ ュ を オ フ に す る こ と も で き ます。 5. オプシ ョ ン で [Search for]、 [Level]、 [Source]、 [Status] な ど の ソ ー ト オプシ ョ ン を使用す る こ と がで き ま す。 こ れ ら のオプシ ョ ン を使用す る と 、 特定の基準に合致す る ロ グ メ ッ セージのみが表示 さ れ ま す。 146 ページの 「 ロ グ メ ッ セージの ソ ー ト 、 検索、 フ ィ ル タ リ ン グ」 を参照 し て く だ さ い。 メモ • [Auto-refresh] が [Off] 以外に設定 さ れてい る 場合、 更新動作が持続的に行われ る ため、 デフ ォ ル ト の非ア ク テ ィ ブ期間 (15 分 ) が経過 し て も 、 AMC セ ッ シ ョ ン が自動的に タ イ ム ア ウ ト し な く な り 、 [View Logs] ページが表示 さ れた状態にな り ます。 [View Logs] ページが表示 さ れた状態にな り ま す。 こ れは実際問題 と し て、 コ ン ピ ュ ー タ で AMC を実行 し 、 オー ト リ フ レ ッ シ ュ モー ド を有効に し た状態で [View Logs] ページ を表示 し た ま ま席を外す と 、 AMC が タ イ ム ア ウ ト し な く な る と い う こ と を表 し て い ます。 セ キ ュ リ テ ィ を向上 さ せ る ための習慣 と し て、 ロ グ メ ッ セージ を表示 し 終わ っ た ら 、 AMC の他 のページに必ず移 る よ う に し てお き ます。 ログ メ ッ セージのソー ト 、 検索、 フ ィ ルタ リ ング AMC ロ グ ビ ュ ーアでは、 ソ ー ト 、 検索、 フ ィ ル タ リ ン グ な ど のオプシ ョ ン を使用 し て、 ロ グ メ ッ セージ デー タ の表示を カ ス タ マ イ ズす る こ と がで き ます。 こ れ ら のオプシ ョ ンは、 単独で使用で き る 他、 組み合わせて使 用す る こ と も で き ま す。 • ソー ト 表示 さ れてい る デー タ は、 ロ グ テーブルのそれぞれの列を ク リ ッ ク す る こ と で、 列ご と に昇順ま たは降 順に ソ ー ト す る こ と がで き ま す。 デフ ォ ル ト の場合、 ロ グ メ ッ セージは、 [Time] 列で ソ ー ト さ れてお り 、 最新の メ ッ セージが先頭に表示 さ れ る よ う にな っ てい ま す。 • 検索 ロ グ ビ ュ ーアでは、 IP ア ド レ ス やユーザー ID な ど、 ロ グ フ ァ イ ル内のテ キ ス ト 文字列を検索で き る よ う にな っ てい ます。 [Search for] ボ ッ ク ス に検索基準を入力 し て [Refresh] を ク リ ッ ク す る と 、 検索 結果が表示 さ れ ま す。 Y 検索基準では、 「*」 や 「?」 な ど の ワ イ ル ド カー ド 文字を使用す る こ と も で き ま す検索基準を消去す る と き は、 [reset] リ ン ク を ク リ ッ ク し ます。 シ ス テ ム メ ッ セージ ロ グ の場合、 [ID] 列のセ ッ シ ョ ン ID 番号を ク リ ッ ク す る と 、 同 じ セ ッ シ ョ ン ID 番号を共有す る すべての ロ グ メ ッ セージが自動的に検索 さ れ ま す。 セ ッ シ ョ ン ID の詳細については、 150 ページの 「シ ス テ ム メ ッ セージ ロ グ」 に記載 さ れた フ ィ ール ド について説明 し た表を参照 し て く だ さ い。 Web プ ロ キ シ監査 ロ グお よ びネ ッ ト ワ ー ク プ ロ キ シ / ト ン ネル監査 ロ グ の場合は、 [Username] 列の ユーザー ID を ク リ ッ ク す る と 、 特定のユーザーについてのすべての ロ グ メ ッ セージが自動的に検索 さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 147 • フ ィ ルタ リ ング フ ィ ル タ リ ン グ チ ェ ッ ク ボ ッ ク ス を使用す る こ と で、 それぞれの ロ グ フ ァ イ ルに特定 タ イ プの ロ ギ ン グ デー タ を包含 ま たは除外す る こ と がで き ます。 使用可能な フ ィ ル タ リ ン グ オプシ ョ ンは、 ど の ロ グ フ ァ イ ルを表示 し てい る かに よ っ て異な り ま す。 ロ グ フ ァ イル フ ィ ルタ リ ング オプシ ョ ン シ ス テム メ ッ セージ ロ グ [Level]: [Error]、 [Warning]、 [Info]、 [Verbose] [Source]: [Network proxy]、 [Network tunnel]、 [Web] ネ ッ ト ワー ク プ ロキシ / ト ン ネル監査ロ グ [Status]: [Error]、 [Info]、 [Success] カ ー ソ ルを特定のロ グ メ ッ セージの接続ス テー タ ス コ ー ド の上に置 く と 、 メ ッ セージの 下に説明テキス ト が表示 さ れます。 Web プ ロ キシ監査ロ グ [Status]: [500]、 [400]、 [300]、 [200] カ ー ソ ルを特定のロ グ メ ッ セージの HTTP 戻 り コ ー ド 番号の上に置 く と 、 メ ッ セージの 下に、 それぞれの コ ー ド に対応する説明テキス ト が、 「server error」 (500)、 「client error」 (400)、 「redirection」 (300)、 「success」 (200) のよ う に表示 さ れます。 この コ ー ド については、 152 ページの 「Web プ ロキシ監査ロ グ」 で説明 し ています。 ログ フ ァ イルのエクスポー ト ロ グ メ ッ セージ デー タ を さ ら に分析 し たい場合、 ま たは [View Logs] ページに表示 さ れ る 以外の方法で表 示 し たい場合、 選択 し たデー タ を カ ン マ区切 り 形式 (.csv) の フ ァ イ ルにエ ク ス ポー ト す る こ と に よ り 、 Microsoft Excel な ど のアプ リ ケーシ ョ ン で使用す る こ と がで き ます。 デフ ォ ル ト の場合、 ロ グ フ ァ イ ル内の選択 し たすべての メ ッ セージがエ ク ス ポー ト さ れ ま す。 エ ク ス ポー ト す る 前に フ ィ ル タ リ ン グ し た り 検索基準を適用 し た り す る こ と で、 エ ク ス ポー ト フ ァ イ ルのサ イ ズ を小 さ く す る こ と がで き ま す。 [Show last] オプ シ ョ ン を使用す る と 、 [View Logs] ページに表示 さ れ る メ ッ セージの数 を コ ン ト ロ ールで き ますが、 こ れは .csv フ ァ イ ルにエ ク ス ポー ト さ れ る メ ッ セージの数には影響 し ま せん。 エ ク ス ポー ト さ れた メ ッ セージは、 [View Logs] ページで選択 し てい る ソ ー ト 順に関係な く 、 時間の降順で ソ ー ト さ れ ま す。 X ロ グ フ ァ イルを エ ク スポー ト する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Logging] を ク リ ッ ク し ます。 こ の操作に よ り 、 [View Logs] ページが表示 さ れ ま す。 2. [Log file] リ ス ト を使用 し て、 表示す る Aventail シ ス テ ム ま たはサービ ス ロ グ フ ァ イ ルを選択 し ま す。 3. ロ グ デー タ に フ ィ ル タ リ ン グや検索基準を適用 し ます。 146 ページの 「 ロ グ メ ッ セージの ソ ー ト 、 検 索、 フ ィ ル タ リ ン グ」 を参照 し て く だ さ い。 4. [Export] ボ タ ン を ク リ ッ ク し ます。 5. .csv フ ァ イ ルを保存 ま たはオープ ンす る ための [File Download] ダ イ ア ロ グ ボ ッ ク ス が表示 さ れ ま す。 [Save] を ク リ ッ ク し ます。 6. 名前を変更 し て フ ァ イ ルを保存す る 場合、 [Save As] ダ イ ア ロ グ ボ ッ ク ス を使用 し て、 ロ ケーシ ョ ン を ブ ラ ウ ズ し 、 [Save] を ク リ ッ ク し ます。 デフ ォ ル ト の場合、 .csv フ ァ イ ルには次の フ ァ イ ル名が割 り 当 て ら れ ます。 • シ ス テ ム メ ッ セージ ロ グ : sysmessage.csv • ネ ッ ト ワ ー ク プ ロ キ シ / ト ン ネル監査 ロ グ : netaudit.csv • Web プ ロ キ シ監査 ロ グ : webaudit.csv • Management Console 監査 ロ グ : consoleaudit.csv. 148 | 第 7 章 - シ ス テム管理 ログ設定の構成 シ ス テ ム をデバ ッ グ し てい る 場合、 AMC で、 Aventail サービ ス ご と に メ ッ セージ ロ グ レベルを設定す る こ と がで き ます。 ま た、 ロ グ フ ァ イ ルを外部 syslog サーバーに送信す る よ う 、 アプ ラ イ ア ン ス を構成す る こ と も で き ます。 ログ レベルの設定 AMC を使用 し て、 それぞれのサービ ス ご と に メ ッ セージ ロ グの詳細レベルを指定す る こ と がで き ま す。 メ ッ セージ ロ グの詳細レベルを上げ る と 、 必要なデ ィ ス ク 容量が増加す る ため、 シ ス テ ムのパフ ォ ーマ ン ス に大 き く 影響 し ま す。 X ロ ギン グ レ ベルを設定する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Logging] を ク リ ッ ク し ます。 こ の操作に よ り 、 [View Logs] ページが表示 さ れ ま す。 2. [Configure Logging] タ ブ を ク リ ッ ク し ま す。 3. [Web proxy] リ ス ト お よ び [Network access] リ ス ト を使用 し て、 監査 ロ グ で使用す る 適切な メ ッ セージ詳細 レベルを選択 し ます。 ([Network access] はネ ッ ト ワ ー ク ト ン ネル サービ ス と ネ ッ ト ワ ー ク プ ロ キ シ サービ ス の両方に対応す る ) ロ グ レベルは、 詳細 レベルが低い順に、 [Error]、 [Warning]、 [Info]、 [Verbose] にな り ま す。 4. [Save] を ク リ ッ ク し ます。 た と えば、 [Info] ロ グ レベルの場合、 [Error] レベル よ り も ロ グ情報が多 く な り ま す。 メモ • ト ラ ブルシ ュ ーテ ィ ン グ の場合、 詳細 ロ グ レベルを最高に し てお く と 便利ですが、 パフ ォ ーマ ン ス への 影響が甚大にな る 可能性があ る ため、 通常の動作の場合は使用 し ない方が無難です。 syslog サーバーへのログ フ ァ イルの送信 Aventail アプ ラ イ ア ン ス では、 シ ス テ ム ロ グ を syslog サーバーに送信す る こ と がで き ます。 ま た、 すべての シ ス テ ム イ ベン ト は、 syslog を構成す る か ど う かに関係な く 、 ロ ーカルに ロ ギ ン グ さ れ ます。 ネ ッ ト ワ ー ク に ロ グ情報が氾濫す る よ う な状況を避け る ため、 上位 3 段階の重大度レベル ([Warning]、 [Error]、 [Fatal]) の ロ グ メ ッ セージのみが転送 さ れ ます。 syslog プ ロ ト コ ルの詳細については、 RFC 3164 http://www.ietf.org/rfc/rfc3164.txt を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 149 X syslog サーバーへロ グ フ ァ イ ルを送信する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Logging] を ク リ ッ ク し ます。 こ の操作に よ り 、 [View Logs] ページが表示 さ れ ま す。 2. [Configure Logging] タ ブ を ク リ ッ ク し ま す。 3. [Syslog configuration] エ リ アで、 1 つ ま たは複数の syslog サーバーに対す る IP ア ド レ ス と ポー ト 番号を入力 し ます。 syslog-ng ポー ト には、 デフ ォ ル ト でポー ト 514/tcp が割 り 当て ら れ ますが、 必要 に応 じ て他のポー ト を使用す る こ と も で き ま す。 アプ ラ イ ア ン ス が syslog と 通信す る と き 、 TCP プ ロ ト コ ル と UDP プ ロ ト コ ルの ど ち ら を使用す る か指定す る と き は、 [Protocol] リ ス ト を使用 し ます。 4. [Save] を ク リ ッ ク し ます。 メモ • syslog デー タ は暗号化 さ れないため、 ロ グ メ ッ セージ を外部サーバーに送信す る 場合、 セ キ ュ リ テ ィ 上 の問題が常に存在す る こ と にな り ま す。 ログ フ ァ イルのロケーシ ョ ン 次の表は、 各 ロ グ フ ァ イ ルのアプ ラ イ ア ン ス 内の ロ ケーシ ョ ン を示 し てい ま す。 Aventail サービ ス ロ グ フ ァ イル形式 ロ ケーシ ョ ン ネ ッ ト ワー ク プ ロ キシ / ト ン ネル サービ ス syslog /var/log/aventail/access_servers.log SOCKS5LF /var/log/aventail/extranet_access.log Web プ ロキシ サービ ス syslog /var/log/aventail/access_servers.log W3C CLF /var/log/aventail/extraweb_access.log ASAP Management Console (AMC) syslog /var/log/aventail/management.log ASAP WorkPlace syslog /var/log/aventail/workplace.log ロ グ フ ァ イ ルの ス ト レージ要件を抑え る ために、 フ ァ イ ルが ロ ーテーシ ョ ン さ れ ま す。 次の表では、 ロ グ ロ ーテーシ ョ ン プ ロ セ ス について説明 し てい ます。 頻度 手順 60 分お き • • • 20MB 以上のロ グ フ ァ イ ルがロ ーテーシ ョ ン さ れます。 syslog ロ グ フ ァ イルが強制的にロ ーテーシ ョ ン さ れます。 /var/log のデ ィ ス ク の空き容量がチ ェ ッ ク さ れます。 空き容量が 25% を下回る 場合、 空き容量が 25% にな る ま で古い ロ グ フ ァ イルか ら 順に削除 さ れます。 毎日 • • すべてのロ グ フ ァ イルがローテーシ ョ ン さ れます。 7 日以上前のロ グ フ ァ イルをすべて削除 し ます。 1 日以上前の フ ァ イ ルは、 非圧縮形式で保管 さ れ ます。 ロ グ フ ァ イ ル名には、 1 か ら 7 ま での数値が割 り 振 ら れた接尾辞が付け ら れ ます。 こ う す る と 、 ロ グ ロ ーテーシ ョ ンが毎日発生 し た場合、 「7」 の接尾辞が付 く ロ グ フ ァ イ ルが最 も 古 く な り ま す。 例 : • extraweb_access.log が、 Web プ ロ キ シ サービ ス の現在の ロ グ フ ァ イ ルです。 • その場合、 extraweb_access.log1 か ら extraweb_access.log.7 が、 それ以前の ロ ーテーシ ョ ン の ロ グにな り ます。 150 | 第 7 章 - シ ス テム管理 システム メ ッ セージ ログ シ ス テ ム メ ッ セージ ロ グ には、 Web プ ロ キ シ サービ ス 、 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス 、 ネ ッ ト ワ ー ク ト ン ネル サービ ス についてのサーバー処理情報お よ び診断情報が記録 さ れ ます。 ま た、 すべてのア ク セ ス 制御決 定に関す る 詳細な メ ッ セージ も 記述 さ れ ま す。 つま り 、 ユーザーの要求がポ リ シー ルール と 合致す る と 、 その と き に実行 さ れた動作を示す ロ グ フ ァ イ ル エ ン ト リ が記録 さ れ ま す。 AMC か ら こ の ロ グ にア ク セ ス す る と き は、 [View Logs] ページか ら [System message log] を選択 し ま す。 [View Logs] ページには、 シ ス テ ム メ ッ セージ ロ グ フ ァ イ ルに含ま れ る 、 次の よ う な情報が表示 さ れ ま す。 • [Level] 列には、 ロ グ メ ッ セージの詳細 レベル ([Error]、 [Warning]、 [Info]、 [Verbose]) が表示 さ れ ま す。 • [Time] 列には、 サービ ス に よ っ て メ ッ セージが生成 さ れた日付 と 時刻が表示 さ れ ます。 • [Source] 列には、 メ ッ セージ を生成 し たサービ ス ([Network proxy]、 [Network Tunnel]、 [Web proxy]、 [Policy] の各サーバー ) が表示 さ れ ます。 • [ID] 列には、 それぞれのユーザー セ ッ シ ョ ン に割 り 当て ら れた固有の ID 番号が表示 さ れ ま す。 セ ッ シ ョ ン ID 番号を ク リ ッ ク す る と 、 同 じ セ ッ シ ョ ン ID を共有す る すべての ロ グ メ ッ セージが自動的に検 索 さ れ ます。 セ ッ シ ョ ン ID 番号の詳細については、 こ の後に紹介す る 、 フ ィ ール ド について説明 し た表 を参照 し て く だ さ い。 • [Message] 列には、 実際の メ ッ セージ テ キ ス ト が表示 さ れ ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 151 ネッ ト ワーク プロキシ / ト ンネル監査ログ ネ ッ ト ワ ー ク プ ロ キ シ / ト ン ネル監査 ロ グ には、 ネ ッ ト ワ ー ク にア ク セ ス し たユーザーの リ ス ト や転送 さ れた デー タ の量な ど、 ネ ッ ト ワ ー ク ト ン ネル サービ スお よ びネ ッ ト ワ ー ク プ ロ キ シ サービ ス の場合の、 接続活動 に関す る 詳細な情報が記録 さ れ ます。 AMC か ら こ の ロ グ にア ク セ スす る と き は、 [View Logs] ページか ら [Network proxy/tunnel audit log] を選択 し ます。 [View Logs] ページには、 ネ ッ ト ワ ー ク プ ロ キ シ / ト ン ネル監査 ロ グ フ ァ イ ルに含ま れ る 、 次の よ う な情報 が表示 さ れ ます。 • [Status] 列には、 それぞれの接続要求に対す る 、 色分け さ れた接続 ス テー タ ス が表示 さ れ ま す。 Error コ ー ド は赤、 Info コ ー ド はオ レ ン ジ色、 Success コ ー ド は緑でそれぞれ表示 さ れ ます。 カー ソ ルを特定 の ロ グ メ ッ セージの接続 ス テー タ ス コ ー ド の上に置 く と 、 メ ッ セージの下に説明テ キ ス ト が表示 さ れ ま す。 • [Time] 列には、 接続の日付 と 時刻が表示 さ れ ま す。 • [Source IP] 列には、 ネ ッ ト ワ ー ク プ ロ キ シ ま たは ト ン ネル サービ ス にア ク セ ス す る コ ン ピ ュ ー タ の IP ア ド レ ス と ポー ト 番号が表示 さ れ ま す。 • [Destination IP] 列には、 ア ク セ ス さ れ る リ ソ ー ス の IP ア ド レ ス と ポー ト 番号が表示 さ れ ま す。 • [Bytes] 列には、 送信 さ れたバ イ ト 数、 受信 さ れたバ イ ト 数、 接続期間 ( 秒単位 ) が表示 さ れ ま す。 • [Username] 列には、 リ ソ ー ス にア ク セ ス し てい る ユーザーが表示 さ れ ま す。 [Username] リ ン ク を ク リ ッ ク す る と 、 特定のユーザーに対す る すべての ロ グ メ ッ セージが検索 さ れ ます。 152 | 第 7 章 - シ ス テム管理 Web プロキシ監査ログ Web プ ロ キ シ監査 ロ グには、 ネ ッ ト ワ ー ク にア ク セ ス し たユーザーの リ ス ト や転送 さ れたデー タ の量な ど、 接 続活動に関す る 詳細な情報が記録 さ れ ます。 AMC か ら こ の ロ グにア ク セ ス す る と き は、 [View Logs] ページ か ら [Web proxy audit log] を選択 し ま す。 [View Logs] ページには、 Web プ ロ キ シ監査 ロ グ フ ァ イ ルに含ま れ る 、 次の よ う な情報が表示 さ れ ま す。 • [Status] 列には、 それぞれの HTTP 要求に対す る 、 色分け さ れた戻 り コ ー ド が表示 さ れ ます。 カー ソ ル を特定の ロ グ メ ッ セージの HTTP 戻 り コ ー ド 番号の上に置 く と 、 メ ッ セージの下に、 それぞれの コ ー ド に対応す る 説明テ キ ス ト が、 「server error」 (500red)、 「client error」 (400orange)、 「redirection」 (300green)、 「success (200green)」 の よ う に表示 さ れ ます。 • [Time] 列には、 要求の処理が終わ っ た日付 と 時刻が表示 さ れ ます。 • [Source IP] 列には、 Web プ ロ キ シ サービ ス にア ク セ ス す る コ ン ピ ュ ー タ の IP ア ド レ ス が表示 さ れ ま す。 • [Bytes] 列には、 応答の本文で送信 さ れたバ イ ト 数が表示 さ れ ます。 ただ し HTTP ヘ ッ ダは除外 さ れ ま す。 • [Username] 列には、 Web プ ロ キ シ サービ ス で認証 さ れてい る ユーザーが表示 さ れ ます。 [Username] リ ン ク を ク リ ッ ク す る と 、 特定のユーザーに対す る すべての ロ グ メ ッ セージが検索 さ れ ま す。 • [Request] 列には、 HTTP 要求の 1 行目が表示 さ れ ます。 こ れには HTTP コ マ ン ド (GET や POST な ど )、 要求 さ れた リ ソ ース 、 HTTP バージ ョ ン番号な ど が含 ま れ ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 153 Management Console 監査ログ Management Console 監査 ロ グには、 AMC で管理者が行っ た構成変更の監査履歴が記録 さ れ ます。 こ の ロ グ は、 構成変更を表示す る 以外に、 「適用 さ れた構成変更」 の メ ッ セージ も 表示 し 、 管理者が [Apply Changes] ページで変更を有効に し た時刻や、 管理者が ロ グ イ ン、 ロ グ ア ウ ト し た時刻な ど も 示 さ れ ま す。 こ の ロ グ にア ク セ スす る 場合は、AMC の [View Logs] ページで [Management Console audit log] を選 択 し ま す。 [View Logs] ページには、 Management Console 監査 ロ グに関す る 、 次の よ う な情報が表示 さ れ ま す。 • [Level] 列には、 ロ グ メ ッ セージの詳細レベル ([Error]、 [Warning]、 [Info]) が表示 さ れ ます。 • [Time] 列には、 AMC 構成の変更の日付 と 時刻が表示 さ れ ます。 • [Username] 列には、 [Manage Administrator Accounts] ページで構成 し てい る 管理者の名前が 表示 さ れ ま す。 • [Message] 列には、 AMC を介 し て行われた実際の構成変更が表示 さ れ ます。 アプラ イアンスの監視 こ の節では、 シ ス テ ム ス テー タ ス と ア ク テ ィ ブ ユーザーを監視す る 方法や、 選択 し たユーザーに対す る すべ ての VPN 接続を一時的に停止す る 方法について説明 し ます。 AMC では、 基本シ ス テ ム設定、 デ ィ ス ク お よ び メ モ リ 使用量、 現在の接続、 ネ ッ ト ワ ー ク 帯域幅利用な ど を監 視す る 上で役に立つ さ ま ざ ま な情報が表示 さ れ ま す。 154 | 第 7 章 - シ ス テム管理 全体の活動と システム ステータ スの監視 AMC では、 シ ス テ ム ス テー タ ス を監視す る 上で役に立つ さ ま ざ ま な情報が表示 さ れ ます。 AMC の [Home] ページでは、 現在のア ク テ ィ ブ ユーザー数、 ネ ッ ト ワ ー ク 帯域幅、 デ ィ ス ク 使用量、 CPU 利用度な ど がグ ラ フ ィ カルに表示 さ れ ます。 こ の よ う な グ ラ フは、 最新 1 時間分の活動に対す る 平均利用を表す も のです。 AMC の [Home] ページの [System Status] 画面で [Details] を ク リ ッ ク す る と 、 詳細な ス テー タ ス 情報 を表示す る [System Status] ページが表示 さ れ ま す。 こ のページで表示 さ れ る デー タ の タ イ プは、 カ ス タ マ イ ズで き る よ う にな っ てい ま す。 X シ ス テム ス テー タ ス を監視する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [System Status] を ク リ ッ ク し ます。 こ の操作に よ り 、 [System Status] ページが現れ、 アプ ラ イ ア ン ス の現在の ス テー タ ス に関す る 情報が表示 さ れ ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 155 2. [Show] ボ ッ ク ス には、 表示す る デー タ の タ イ プや時間間隔が示 さ れ ます。 • [Active users]: 指定 さ れた時間間隔におけ る ア ク テ ィ ブ ユーザー セ ッ シ ョ ンの数を表示 し ます。 表示 さ れ る グ ラ フ では、 水平軸が、 ラ イ セ ン ス で許可 さ れてい る 同時ユーザーの最大数を示 し ま す。 • [CPU utilization] : 指定 さ れた時間間隔におけ る CPU 利用率を表示 し ます。 • [Memory utilization] : 指定 さ れた時間間隔におけ る メ モ リ 利用率を表示 し ます。 • [Network bandwidth]: 指定 さ れた時間間隔におけ る ネ ッ ト ワ ー ク 帯域幅を Mbps 単位で表示 し ます。 内部 イ ン タ フ ェ ー ス と 外部 イ ン タ フ ェ ー ス の両方が有効な場合、 グ ラ フ では、 内部 イ ン タ フ ェ ー ス のデー タ が緑の線、 外部 イ ン タ フ ェ ー ス のデー タ が青の線で表 さ れ ま す。 こ のグ ラ フ の ス ケールは、 ト ラ フ ィ ッ ク の量に応 じ て自動的に調整 さ れ ます ( た と えば、 ト ラ フ ィ ッ ク 量に応 じ て 1Mbps ま たは 100Mbps の ス ケールが使用 さ れ る )。 • [Swap utilization] : 指定 さ れた時間間隔におけ る 空 き ス ワ ッ プ容量を表示 し ます。 • [Hourly] : 20 秒ご と に収集 さ れたサン プルに基づ く 最新 1 時間分の平均活動を表示 し ま す。 • [Daily] : 10 分ご と に収集 さ れたサ ン プルに基づ く 最新 1 日分の平均活動を表示 し ます。 • [Weekly] : 60 分ご と に収集 さ れたサ ンプルに基づ く 最新 1 週間分の平均活動を表示 し ま す。 3. [Auto-refresh] ボ ッ ク ス では、 選択 し てい る デー タ の表示が自動的に更新 さ れ る 頻度を選択 し ま す。 自動更新機能をオ フ にす る と き は [Off] を ク リ ッ ク し ま す。 ただ し 、 自動更新機能を有効にす る と 、 現在 の AMC セ ッ シ ョ ン が タ イ ム ア ウ ト し な く な り ま す。 4. オプシ ョ ン と し て、 [Also show] ボ ッ ク ス で、 他の タ イ プのデー タ を別のグ ラ フ で表示す る よ う 指定す る こ と がで き ます。 こ れは、 一定の時間間隔に対す る 2 種類のデー タ を比較す る 場合に使用す る と 便利 です。 5. ページ を随時更新す る と き は [Refresh] を ク リ ッ ク し ます。 メモ • [Auto-refresh] が [Off] 以外に設定 さ れてい る 場合、 更新動作が持続的に行われ る ため、 デフ ォ ル ト の非ア ク テ ィ ブ期間 (15 分 ) が経過 し て も 、 AMC セ ッ シ ョ ン が自動的に タ イ ム ア ウ ト し な く な り 、 [System Status] ページが表示 さ れた状態にな り ます。 こ れは実際問題 と し て、 コ ン ピ ュ ー タ で AMC を実行 し 、 オー ト リ フ レ ッ シ ュ モー ド を有効に し た状態で [System Status] ページ を表示 し た ま ま席 を外す と 、 AMC が タ イ ム ア ウ ト し な く な る と い う こ と を表 し てい ま す。 セ キ ュ リ テ ィ を向上 さ せ る ため の習慣 と し て、 ロ グ メ ッ セージ を表示 し 終わ っ た ら 、 AMC の他のページに必ず移 る よ う に し てお き ま す。 156 | 第 7 章 - シ ス テム管理 アク テ ィ ブ ユーザーの監視 一定期間のア ク テ ィ ブ ユーザー セ ッ シ ョ ン の総数を表示で き る 他、 選択 し たユーザーに対す る すべての接続 を一時的に停止す る こ と も で き ま す。 こ の節では、 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン を表示す る 方法、 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン を検索す る 方法、 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン を一時的に停止す る 方法につい て説明 し ま す。 ア ク テ ィ ブ ユーザーの表示 現在ア ク テ ィ ブなユーザー セ ッ シ ョ ン を表示す る こ と がで き ます。 ア ク テ ィ ブ ユーザー セ ッ シ ョ ンの リ ス ト は、 ユーザー名、 レ ルム名、 セ ッ シ ョ ン開始時間で ソ ー ト す る こ と がで き ます。 X すべてのア ク テ ィ ブ ユーザー セ ッ シ ョ ン を表示する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Active Users] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Active Users] ページが表示 さ れ ます。 2. ア ク テ ィ ブ ユーザー セ ッ シ ョ ン のデー タ を確認 し ます。 3. • [Current active users] フ ィ ール ド には、 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン の総数が表示 さ れ ま す。 • [Username] 列には、 個別のユーザーの名前がア ク テ ィ ブ セ ッ シ ョ ン と あ わせて表示 さ れ ます。 • [Realm] 列には、 ユーザーが所属す る レ ルムの名前が表示 さ れ ま す。 • [Session start time] 列には、 セ ッ シ ョ ン が開始 し た時刻が表示 さ れ ます。 デフ ォ ル ト の場合、 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン リ ス ト を他の方法で ソ ー ト す る と き は、 それぞれの 列の一番上にあ る [Username]、 [Realm]、 [Session start time] を ク リ ッ ク し ます。 ア ク テ ィ ブ ユーザーの検索 現在のユーザー セ ッ シ ョ ン の リ ス ト 内を ユーザー名で検索す る こ と がで き ま す。 X ア ク テ ィ ブ ユーザー セ ッ シ ョ ン を検索する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Active Users] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Active Users] ページが表示 さ れ ます。 2. [Search for] ボ ッ ク ス に、 ユーザー名のすべて ま たは一部を入力 し ます。 ワ イ ル ド カー ド 文字 ( 「*」 ) は、 検索文字列の ど の部分に も 使用す る こ と がで き ま す。 た と えば、 「j」 で始 ま る グループ名を検索す る 場合は、 「j*」 と 入力 し ます。 ま た、 「Mary」 ま たは 「Marty」 と い う 名前のユーザー ( ただ し 「Max」 は除外 ) を検索す る と き は、 「M*y」 と 入力す る こ と がで き ます。 3. 各ページで返 さ れ る 結果の数を、 [Show] ボ ッ ク ス で指定す る こ と がで き ます。 デフ ォ ル ト は 「200」 で す。 ( こ の フ ィ ール ド は、 た と えば同時ユーザー数の制限を超え、 最 も 古い 10 の接続を停止 し たい場合 な ど に使用す る と 便利で あ る 。 た と えば最初に [Session start time] でユーザー セ ッ シ ョ ン リ ス ト を ソ ー ト す る 。 次に [Show] ボ ッ ク ス に 「10」 と 入力 し 、 検索結果が返 さ れた ら 、 [Select all] チ ェ ッ ク ボ ッ ク ス を ク リ ッ ク し てか ら [End session] を ク リ ッ ク す る )。 4. [Search] を ク リ ッ ク し ます。 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン リ ス ト が更新 さ れ、 検索基準に合致す る ユーザーのみが表示 さ れ ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 157 ア ク テ ィ ブ ユーザー セ ッ シ ョ ンの停止 ユーザーのセ ッ シ ョ ン は、 そのユーザーのア ク テ ィ ブな接続が、 異な る サービ ス ま たは ノ ー ド に複数あ る 場合 で も 、 即座に停止す る こ と がで き ます。 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン を停止す る と 、 そのユーザーのネ ッ ト ワ ー ク ア ク セ ス が 10 分間だけ一時的に無効にな り ます。 ア ク セ ス ポ リ シーが許せば、 所定の時間後、 その ユーザーは再度ネ ッ ト ワ ー ク に ロ グ イ ンす る こ と がで き ま す。 あ る ユーザーを永続的に VPN に ロ グ イ ン で き な く す る 場合、 該当す る ア ク セ ス 制御ルールを修正 し 、 適切なユーザーお よ びグループ定義を修正ま たは削除 し て、 そのユーザーをユーザー デ ィ レ ク ト リ か ら 削除 し ま す。 X ア ク テ ィ ブ ユーザー セ ッ シ ョ ン を一時的に停止する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Active Users] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Active Users] ページが表示 さ れ ます。 2. ア ク テ ィ ブ ユーザー セ ッ シ ョ ン の リ ス ト か ら 、ア ク セ ス を一時的に停止す る ユーザー (1 人ま たは複数 ) を見つけ出 し ます。 ま た、 特定のユーザーを検索す る こ と も で き ます。 3. ア ク セ ス を停止 し たいユーザーの横にあ る チ ェ ッ ク ボ ッ ク ス を選択 し て、 [End session] を ク リ ッ ク し ます。 リ ス ト 上部の [Select all] チ ェ ッ ク ボ ッ ク ス を選択す る と 、 リ ス ト 内のすべてのユーザーを選択 す る こ と がで き ま す。 こ の方法を使用す る と 、 アプ ラ イ ア ン ス サービ ス を停止す る の と 同様の方法で、 すべてのア ク テ ィ ブ ユーザー セ ッ シ ョ ン を停止す る こ と がで き ます。 SNMP の構成 Hewlett-Packard OpenView や IBM Tivoli な ど の Simple Network Management Protocol (SNMP) ツー ルがあ る 場合、 こ れ ら の ツールを使用す る こ と に よ り 、 アプ ラ イ ア ン ス を SNMP エージ ェ ン ト と し て監視す る こ と がで き ま す。 こ のアプ ラ イ ア ン ス では、 SNMP バージ ョ ン 1.2c お よ び 3 をサポー ト し てお り 、 さ ま ざ ま な管理デー タ を Management Information Base (MIB) II 形式で提供 し ます。 SNMP の構成方法 こ の節では、 AMC を使用 し て SNMP を構成す る 方法について説明 し ま す。 X SNMP を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Services] ページが表示 さ れ ま す。 2. [Network services] で [SNMP Configuration] に対応す る [Configure] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure SNMP] ページが表示 さ れ ます。 3. [Enable SNMP] チ ェ ッ ク ボ ッ ク ス を選択 し て、 SNMP を有効に し ます。 ( ただ し 、 [OK] を ク リ ッ ク し ない ま ま 、 SNMP ホ ス ト を構成す る ために こ のページ を離れた場合、 こ の設定の ス テー タ ス は保存 さ れ ない ) 4. [Interface selection] リ ス ト か ら 適切なオプ シ ョ ン ([Internal]、 [External]、 [Both]) を選択 し て、 SNMP で使用す る ネ ッ ト ワ ー ク イ ン タ フ ェ ース を選択 し ま す。 158 | 第 7 章 - シ ス テム管理 5. [Agent properties] エ リ アで、 アプ ラ イ ア ン ス を識別 し ま す。 • ネ ッ ト ワ ー ク 管理ツールが Aventail アプ ラ イ ア ン ス に照会す る と き に使用す る 文字列を [Community string] ボ ッ ク ス に入力 し ま す。 こ の フ ィ ール ド は必須で、 デフ ォ ル ト では 「public」 に設定 さ れ ます。 「public」 は安全ではないため、 セ キ ュ リ テ ィ を向上 さ せ る ための習慣 と し て、 コ ミ ュ ニ テ ィ 文字列 に安全なパ ス フ レーズ を設定す る よ う に し ます。 • 6. 7. [System location] ボ ッ ク ス と [System contact] ボ ッ ク ス にアプ ラ イ ア ン ス エージ ェ ン ト を 記述 し ます。 た と えば、 アプ ラ イ ア ン ス の物理 ロ ケーシ ョ ン ( 「Floor 2 server lab」 な ど ) やシ ス テ ム管理者の連絡先 ( 「Jim Jamerson, 206-555-1212」 な ど ) を指定す る こ と がで き ま す。 SNMP 要求を許可す る 管理シ ス テ ム を定義 し ます。 a. [SNMP hosts] エ リ アで [Add] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Add/Edit Allowed Hosts] ページが表示 さ れ ます。 b. [IP address] と [Subnet mask] に、 ホ ス ト の IP ア ド レ ス お よ びサブネ ッ ト マ ス ク を それぞれ 入力 し ます。 [Save] を ク リ ッ ク し ます。 メモ • SNMP マネージ ャ の他、アプ ラ イ ア ン ス が使用す る Management Information Base (MIB) を構成 し な ければな り ま せん。 こ のアプ ラ イ ア ン ス では、 UCD (University of California, Davis) MIB お よ び MIB II の バージ ョ ン 4.2.3 を サポー ト し てい ます。 ま た SNMP マネージ ャ では、 アプ ラ イ ア ン ス の照会の際に必要にな る コ ミ ュ ニ テ ィ 文字列 も 構成 し なけ ればな り ま せん。 • 内部フ ァ イ ア ウ ォ ールは、 ポー ト 161/udp ト ラ フ ィ ッ ク を許可す る よ う 構成 し な ければな り ま せん。 Aventail MIB フ ァ イルのダウンロー ド AMC では、 Aventail MIB フ ァ イ ルを ダ ウ ン ロ ー ド す る こ と がで き ま す。 こ の フ ァ イ ルは、 Aventail VPN 固 有のデー タ を、 すでにサポー ト さ れてい る MIB に追加す る も のです。 Aventail MIB で提供 さ れ る 情報の詳細 については、 160 ページの 「Aventail MIB デー タ 」 を参照 し て く だ さ い。 X Aventail MIB を ダウ ン ロ ー ド する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Services] ページが表示 さ れ ま す。 2. [Network services] で [SNMP] に対応す る [Configure] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 [Configure SNMP] ページが表示 さ れ ます。 3. [Download Aventail MIB] ボ タ ン を ク リ ッ ク し ま す。 こ の操作に よ り 、 フ ァ イ ル ダ ウ ン ロ ー ド メ ッ セージが表示 さ れ ま す。 4. [Save] を ク リ ッ ク し て、 正 し いデ ィ レ ク ト リ を ブ ラ ウ ズ し ま す。 こ こ で設定 し たデ ィ レ ク ト リ に aventailCustomMibs.tar フ ァ イ ルが保存 さ れ ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 159 SNMP を使用し た管理データの取得 SNMP デー タ は、 標準化 さ れた階層構造に編成 さ れ、 それを構成す る 構造化テ キ ス ト フ ァ イ ルに、 価値のあ る 管理デー タ が記述 さ れてい ます。 こ れ ら のテ キ ス ト フ ァ イ ル (MIB と 呼ばれ る ) には、 シ ス テ ム情報や ス テー タ ス な ど の固有のデー タ 変数が記述 さ れてい ま す。 SNMP を介 し て情報を取得す る 場合、 シ ス テ ム で 「オブジ ェ ク ト 識別子」 (OID) を照会 し ま す。 それぞれの OID には、 テ キ ス ト 名 も 含 ま れてい ま すが、 通常は番号で参照 さ れ ま す。 た と えば、 シ ス テ ム ア ッ プ タ イ ム (sysUpTime) は 1.3.6.1.2.1.1.3 にな り ま す。 SNMP 管理パ ッ ケージがない場合は、 アプ ラ イ ア ン ス に接続 し て 「root」 と し て ロ グ イ ン し snmpwalk ま た は snmpget コ マ ン ド を実行す る こ と に よ っ て、 SNMP デー タ を取得す る こ と がで き ます。 た と えば、 デ ィ ス ク 容量についての情報を取得す る 場合、 次の snmpwalk コ マ ン ド を入力す る こ と で、 OID 1.3.6.1.4.1.2021.9: を照会 し ます。 snmpwalk -v 1 localhost -c public 1.3.6.1.4.1.2021.9 すべての MIB 変数の リ ス ト を表示す る と き は、 次の コ マ ン ド を入力 し ます。 snmpwalk -v 1 -O n localhost -c public |more こ の コ マ ン ド に よ り 、 次の よ う な リ ス ト が表示 さ れ ま す。 .1.3.6.1.2.1.1.1.0 = Linux aventailvpn 2.4.20_004 #1 SMP Thu Apr 10 14:35:50 PDT 2003 i686 .1.3.6.1.2.1.1.2.0 = OID: .1.3.6.1.4.1.2021.250.10 .1.3.6.1.2.1.1.3.0 = Timeticks: (1707979) 4:44:39.79 .1.3.6.1.2.1.1.4.0 = Root < root@localhost> (configure /etc/snmp/snmp.local.conf) .1.3.6.1.2.1.1.5.0 = aventailvpn .1.3.6.1.2.1.1.6.0 = Unknown (configure /etc/snmp/snmp.local.conf) .1.3.6.1.2.1.1.8.0 = Timeticks: (7) 0:00:00.07 .1.3.6.1.2.1.1.9.1.2.1 = OID: .1.3.6.1.2.1.31 .. すべての MIB 名の リ ス ト を表示す る と き (snmpget コ マ ン ド を使用す る と き に便利 ) は、 次の コ マ ン ド を入 力 し ま す。 snmpwalk -O S localhost -c public |more こ の コ マ ン ド に よ り 、 次の よ う な リ ス ト が表示 さ れ ま す。 SNMPv2-MIB::sysDescr.0 = Linux aventailvpn 2.4.20_004 #1 SMP Thu Apr 10 14:35:50 PDT 2003 i686 SNMPv2-MIB::sysObjectID.0 = OID : SNMPv2-SMI::enterprises.2021.250.10 SNMPv2-MIB::sysUpTime.0 = Timeticks: (1712451) 4:45:24.51 SNMPv2-MIB::sysContact.0 = Root (configure /etc/snmp/snmp.local.conf) SNMPv2-MIB::sysName.0 = aventailvpn SNMPv2-MIB::sysLocation.0 = Unknown (configure /etc/snmp/snmp.local.conf) SNMPv2-MIB::sysORLastChange.0 = Timeticks: (7) 0:00:00.07 SNMPv2-MIB::sysORID.1 = OID: IF-MIB::ifMIB .. メモ • UCD MIB SNMP エージ ェ ン ト の詳細については、 http://www.ece.ucdavis.edu/ucd-snmp/ を参照 し て く だ さ い。 • MIB II の詳細 (MIB II 変数名の説明 も 含 まれ る ) については、http://www.ietf.org/rfc/rfc1213.txt を 参照 し て く だ さ い。 160 | 第 7 章 - シ ス テム管理 Aventail MIB デー タ Aventail MIB モジ ュ ールは、 Aventail VPN に関す る 次の情報を提供す る 、 オブジ ェ ク ト 識別子 (OID) を参 照 し ま す。 • シ ス テ ム情報 • シ ス テ ム ヘル ス • サービ ス ヘル ス • サービ ス履歴 • セ キ ュ リ テ ィ 履歴 • ネ ッ ト ワ ー ク ト ン ネル サービ ス メモ • FIPS 対応 EX-1500 の場合、 Aventail MIB は、 FIPS ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールに関す る 情 報 も 提供 し ま す。 305 ページの 「SNMP を使用 し た FIPS デー タ の取得」 を参照 し て く だ さ い。 シ ス テム情報モ ジ ュ ール Aventail のシ ス テ ム情報モジ ュ ールの OID では、 アプ ラ イ ア ン ス に関す る 基本情報が提供 さ れ ます。 項目 OID 説明 ASAP バージ ョ ン 1.3.6.1.4.1.4331.1.1.0 こ の ノ ー ド 上で動作す る ASAP のバージ ョ ン で、 major.minor.micro-patch-build の形式 ( た と えば 「8.0.0-64」 ) にな り ます。 ハー ド ウ ェ ア モデル 1.3.6.1.4.1.4331.1.2.0 ア プ ラ イ ア ン スのモデル番号で、 「EX-750」 ま たは 「EX-1500」 にな り ます。 シ ス テム ヘルス モ ジ ュ ール Aventail のシ ス テ ム ヘル ス モジ ュ ールの OID では、 アプ ラ イ ア ン ス の動作 ス テー タ ス に関す る 情報が提供 さ れ ま す。 項目 OID 説明 現在のロ グ イ ン 1.3.6.1.4.1.4331.2.1.1.0 現在認証 さ れてい るユーザーの数。 ピーク ログイ ン 1.3.6.1.4.1.4331.2.1.2.0 前回の リ セ ッ ト 以降、 ア プ ラ イ ア ン スに同時にロ グ イ ン し たユーザーの最大数。 リ セ ッ ト 間隔は 24 時間です。 最大ラ イ セ ン ス ユーザー 1.3.6.1.4.1.4331.2.1.3.0 こ のア プ ラ イ ア ン スで ラ イ セ ン ス さ れてい る同時ユーザー の最大数。 現在の接続 1.3.6.1.4.1.4331.2.2.1.0 Aventail ネ ッ ト ワー ク ト ン ネル、 ネ ッ ト ワー ク プ ロキ シ、 Web プ ロキシ サー ビ スで提供 さ れる同時接続の数。 ピ ー ク接続 1.3.6.1.4.1.4331.2.2.2.0 前回の リ セ ッ ト 以降、 ア プ ラ イ ア ン スに同時に接続 し た ユーザーの最大数。 リ セ ッ ト 間隔は 24 時間です。 CPU 利用 1.3.6.1.4.1.4331.2.3.0 単一のア プ ラ イ ア ン ス ノ ー ド での、 CPU 全体に占める現 在の CPU の利用率。 RAM 利用 1.3.6.1.4.1.4331.2.4.1.0 現在の仮想 メ モ リ (RAM) の利用率。 スワ ッ プ利用 1.3.6.1.4.1.4331.2.4.2.0 現在の仮想 メ モ リ ( スワ ッ プ ) の利用率。 内部イ ン タ フ ェ ースの 現在のスループ ッ ト 1.3.6.1.4.1.4331.2.5.1.0 前回の リ セ ッ ト 以降、 ノ ー ド の内部 イ ン タ フ ェ ースで計測 さ れた、 現在の VPN スループ ッ ト ( 秒あた り の メ ガ ビ ッ ト 単位 )。 リ セ ッ ト 間隔は 24 時間です。 内部イ ン タ フ ェ ースの ピ ー ク スループ ッ ト 1.3.6.1.4.1.4331.2.5.2.0 前回の リ セ ッ ト 以降の、 ピー ク VPN 内部イ ン タ フ ェ ース スループ ッ ト ( 秒あた り の メ ガ ビ ッ ト 単位 )。 リ セ ッ ト 間 隔は 24 時間です。 外部イ ン タ フ ェ ースの 現在のスループ ッ ト 1.3.6.1.4.1.4331.2.5.3.0 前回の リ セ ッ ト 以降、 ノ ー ド の外部 イ ン タ フ ェ ースで計測 さ れた、 現在の VPN スループ ッ ト ( 秒あた り の メ ガ ビ ッ ト 単位 )。 リ セ ッ ト 間隔は 24 時間です。 外部イ ン タ フ ェ ースの ピ ー ク スループ ッ ト 1.3.6.1.4.1.4331.2.5.4.0 前回の リ セ ッ ト 以降の、 ピー ク VPN 外部イ ン タ フ ェ ース スループ ッ ト ( 秒あた り の メ ガ ビ ッ ト 単位 )。 リ セ ッ ト 間 隔は 24 時間です。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 161 項目 OID 説明 ク ラ ス タ イ ン タ フ ェ ース の現在のスループ ッ ト 1.3.6.1.4.1.4331.2.5.5.0 前回の リ セ ッ ト 以降の、 現在の平均 VPN ク ラ ス タ イ ン タ フ ェ ース スループ ッ ト ( 秒あた り の メ ガ ビ ッ ト 単位 )。 リ セ ッ ト 間隔は 24 時間です。 ク ラ ス タ イ ン タ フ ェ ース のピー ク スループ ッ ト 1.3.6.1.4.1.4331.2.5.6.0 前回の リ セ ッ ト 以降の、 ピー ク VPN ク ラ ス タ イ ン タ フ ェ ース スループ ッ ト ( 秒あた り の メ ガ ビ ッ ト 単位 )。 リ セ ッ ト 間隔は 24 時間です。 ロ グ利用率 1.3.6.1.4.1.4331.2.9.0 使用済みのロ グ フ ァ イル デ ィ ス ク パーテ ィ シ ョ ンの割 合。 サービ ス ヘルス Aventail のサービ ス ヘル ス モジ ュ ールの OID では、 アプ ラ イ ア ン ス で動作す る 各サービ ス の ス テー タ ス に関 す る 情報が提供 さ れ ます。 MIB では、 それぞれのサービ ス ご と に、 サービ ス ID、 サービ ス の記述、 サービ ス の状態 ( 「ア ッ プ」 ま たは 「ダ ウ ン」 ) について通知 し ま す。 項目 OID 説明 サービ ス ID 1.3.6.1.4.1.4331.3.1.1.1.0 Aventail ASAP Management Console のサービ ス ID 番 号は 「0」 です。 1.3.6.1.4.1.4331.3.1.1.1.1 Aventail ネ ッ ト ワー ク プ ロ キシ サー ビ スのサービ ス ID 番号は 「1」 です。 1.3.6.1.4.1.4331.3.1.1.1.2 Aventail Web プ ロ キシ サービ スのサービ ス ID 番号は 「2」 です。 1.3.6.1.4.1.4331.3.1.1.1.3 ASAP WorkPlace のサー ビ ス ID 番号は 「3」 です。 1.3.6.1.4.1.4331.3.1.1.2.0 Aventail ASAP Management Console。 1.3.6.1.4.1.4331.3.1.1.2.1 Aventail ネ ッ ト ワー ク プ ロ キシ サー ビ ス。 1.3.6.1.4.1.4331.3.1.1.2.2 Aventail Web プ ロ キシ サービ ス 1.3.6.1.4.1.4331.3.1.1.2.3 Aventail ASAP WorkPlace。 1.3.6.1.4.1.4331.3.1.1.3.0 AMC の現在の状態 : 1 = ア ッ プお よび 0 = ダウン。 1.3.6.1.4.1.4331.3.1.1.3.1 Aventail ネ ッ ト ワー ク プ ロ キシ サー ビ スの現在の状態 : 1 = ア ッ プおよ び 0 = ダウ ン。 1.3.6.1.4.1.4331.3.1.1.3.2 Aventail Web プ ロ キシ サービ スの現在の状態 : 1 = ア ッ プおよ び 0 = ダウ ン。 1.3.6.1.4.1.4331.3.1.1.3.3 Aventail ASAP WorkPlace の現在の状態 : 1 = ア ッ プおよ び 0 = ダウ ン。 サービ スの記述 サービ スの状態 162 | 第 7 章 - シ ス テム管理 セキ ュ リ テ ィ 履歴モ ジ ュ ール Aventail のセ キ ュ リ テ ィ 履歴モジ ュ ールの OID では、 ロ グ イ ンお よ びア ク セ ス 拒否に関す る 情報が提供 さ れ ます。 項目 OID 説明 ロ グ イ ン拒否の回数 1.3.6.1.4.1.4331.4.1.0 前回の リ セ ッ ト 以降の、 ロ グ イ ン拒否の回数。 リ セ ッ ト 間隔は 24 時間です。 前回ロ グ イ ンが拒否 さ れたユーザー 1.3.6.1.4.1.4331.4.2.1.0 前回認証が拒否 さ れたユーザー。 「user@realm」 の形式にな り ます。 前回ロ グ イ ンが拒否 さ れた時刻 1.3.6.1.4.1.4331.4.2.2.0 前回ユーザーの認証が拒否 さ れた日付 と 時刻。 ア ク セ ス拒否の回数 1.3.6.1.4.1.4331.4.3.0 前回の リ セ ッ ト 以降の、 ア ク セ ス拒否の回数。 リ セ ッ ト 間隔は 24 時間です。 前回ア ク セ スが拒否 さ れたユーザー 1.3.6.1.4.1.4331.4.4.1.0 前回ア ク セ スが拒否 さ れたユーザー。 「user@realm」 の形式にな り ます。 前回ア ク セ スが拒否 さ れた リ ソ ース 1.3.6.1.4.1.4331.4.4.2.0 前回ア ク セ スが拒否 さ れた リ ソ ースの URL。 前回ア ク セ スが拒否 さ れた時刻 1.3.6.1.4.1.4331.4.4.3.0 前回ユーザーのア ク セスが拒否 さ れた日付 と 時刻。 ネ ッ ト ワー ク ト ン ネル サービ ス モ ジ ュ ール Aventail の NG サーバー モジ ュ ールの OID では、 ネ ッ ト ワ ー ク ト ン ネル サービ ス の ス テー タ ス に関す る 情 報が提供 さ れ ます。 項目 OID 説明 NG サーバーの状態 1.3.6.1.4.1.4331.5.1.0 ネ ッ ト ワー ク ト ン ネル サー ビ スの現在の状態 : 「Active」、 「Down」、 「Crashed」 のいずれか。 ク ラ イアン ト ア ド レス プールの数 1.3.6.1.4.1.4331.5.2.0 ネ ッ ト ワー ク ト ン ネル サー ビ スに割 り 当て られている ク ラ イ ア ン ト ア ド レ ス プールの数。 ク ラ イアン ト ア ド レス プール範囲テーブル 1.3.6.1.4.1.4331.5.3.0 現在ア ク テ ィ ブ な IP ア ド レ ス プールの数 と その IP ア ド レ ス 範囲を示すテーブル。 ク ラ イアン ト ア ド レス プール エ ン ト リ 1.3.6.1.4.1.4331.5.3.1 現在ア ク テ ィ ブ な IP ア ド レ ス プールの数。 ク ラ イアン ト ア ド レス プール ID 1.3.6.1.4.1.4331.5.3.1.1 IP ア ド レ ス プールに割 り 当て ら れてい る ID 番号。 ク ラ イアン ト ア ド レス プール利用率 1.3.6.1.4.1.4331.5.3.1.2 ク ラ イ ア ン ト ア ド レ ス プールか ら 発行 さ れてい る仮想 IP ア ド レ ス (VIP) の割合。 ク ラ イ ア ン ト IP ア ド レ ス プール開始範囲 1.3.6.1.4.1.4331.5.3.1.3 ク ラ イ ア ン ト IP ア ド レ ス プール範囲の最初の IP ア ド レ ス。 ク ラ イアン ト ア ド レス プール終了範囲 1.3.6.1.4.1.4331.5.3.1.4 ク ラ イ ア ン ト IP ア ド レ ス プール範囲の最後の IP ア ド レ ス。 NG SLL ト ン ネルの数 1.3.6.1.4.1.4331.5.4.0 ア ク テ ィ ブ ネ ッ ト ワー ク ト ン ネルの総数。 SSL ト ン ネル テーブル 1.3.6.1.4.1.4331.5.5.0 ネ ッ ト ワー ク ト ン ネル統計を示すテーブル。 SSL ト ン ネル ID 1.3.6.1.4.1.4331.5.5.1.1 ネ ッ ト ワー ク ト ン ネル セ ッ シ ョ ン に割 り 当て ら れてい る ID 番号。 SSL ト ン ネル ユーザー 1.3.6.1.4.1.4331.5.5.1.2 ネ ッ ト ワー ク ト ン ネル セ ッ シ ョ ン に対応するユーザー名。 SSL ト ン ネル VIP 1.3.6.1.4.1.4331.5.5.1.3 ネ ッ ト ワー ク ト ン ネル セ ッ シ ョ ン に対応する仮想 IP ア ド レ ス (VIP)。 ト ン ネルあた り の フ ロ ー数 1.3.6.1.4.1.4331.5.5.1.4 ネ ッ ト ワー ク ト ン ネル セ ッ シ ョ ンのデー タ フ ローの数。 SSL ト ン ネル ア ッ プ タ イム 1.3.6.1.4.1.4331.5.5.1.5 ネ ッ ト ワー ク ト ン ネル セ ッ シ ョ ンのア ッ プ タ イ ム統計。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 163 その他の SNMP デー タ SNMP を使用 し て標準 MIB フ ァ イ ルか ら 取得可能な、 アプ ラ イ ア ン ス に関す る その他の情報を、 次に示 し ま す。 項目 OID 説明 サービ ス ス テー タ ス 1.3.6.1.4.1.2021.2 次のいずれかのサービ スのス テー タ ス を チ ェ ッ ク し ます。 戻 り デー タ は、 次のプ ロ セ ス名にな り ます。 プ ロ セス ス テー タ スが 「非動作」 と し て リ ス ト さ れてい る場合、 エ ラ ーが出 さ れます • socks5d ( ネ ッ ト ワー ク プ ロ キシ サー ビ ス ) • apache2 (Web プ ロキシ サービ ス ) • logserver ( ロ グ サーバー ) • syslog-ng (syslog) • policyserver ( ポ リ シー サーバー ) • srvcmond ( ク ラ ス タ マネージ ャ ) デ ィ ス ク容量の可用性 1.3.6.1.4.1.2021.9 「/」、 「/var/log」、 「/upgrade」 の各パーテ ィ シ ョ ン について、 デ ィ ス ク容量の可用性を チ ェ ッ ク し ます。 いずれかのパーテ ィ シ ョ ンのデ ィ ス ク 容量が 10MB 以下にな っ てい る場合、 エ ラ ーが出 さ れます。 負荷平均チ ェ ッ ク 1.3.6.1.4.1.2021.10 1 分、 5 分、 15 分間隔で負荷平均を チ ェ ッ ク し ます。 負荷平 均が 1 分間隔で 12 以上、 5 分間隔およ び 15 分間隔で 14 以 上の場合、 エ ラ ーが出 さ れます。 ソ フ ト ウ ェ アの バージ ョ ン番号 1.3.6.1.4.1.2021.50 ASAP シ ス テム ソ フ ト ウ ェ アの現在のバージ ョ ン を チ ェ ッ ク し ます。 シ ス テム名 1.3.6.1.2.1.1.1.0 シ ス テムの名前を チ ェ ッ ク し ます。 バッ ク ア ッ プ、 リ ス ト ア、 システム更新 こ のアプ ラ イ ア ン ス には、 構成設定のバ ッ ク ア ッ プ、 ソ フ ト ウ ェ アのパ ッ チ当て と ア ッ プグ レー ド 、 構成の以 前のバージ ョ ン の リ ス ト ア な ど を行 う ための コ マ ン ド ラ イ ン管理ツールが多数用意 さ れてい ます。 こ れ ら の ツールは、 構成フ ァ イ ルのバ ッ ク ア ッ プ と リ ス ト ア を管理す る ツール、 お よ びシ ス テ ム ソ フ ト ウ ェ アのパ ッ チ 当て、 ア ッ プ グ レー ド 、 ロ ールバ ッ ク 、 リ セ ッ ト を行 う ツールの 2 つのグループに分け る こ と がで き ま す。 次 の表では、 こ れ ら の ツールを ま と めてお り 、 ツールの使用法について も あわせて解説 し てい ま す。 構成フ ァ イ ルのバ ッ ク ア ッ プ と リ ス ト ア を管理す る 場合は、 次の ツールを使用 し ま す。 こ れ ら の構成フ ァ イ ル には、 AMC 内で構成す る 情報 ( た と えば、 証明書、 IP ア ド レ ス 、 リ ソ ース 定義、 ユーザーお よ びユーザー グ ループ、 ア ク セ ス制御ルールな ど ) がすべて含ま れ ま す。 ツール 目的 Config Backup Tool 現在の構成 フ ァ イ ルをバ ッ ク ア ッ プ し ます。 Config Restore Tool 1 つまたは複数の構成 フ ァ イルの以前のバージ ョ ン を リ ス ト ア し ます。 Config Compare Tool バ ッ ク ア ッ プ構成 フ ァ イ ルを現在の構成 フ ァ イル と 比較 し ます。 Config Reset Tool 構成 フ ァ イ ルを工場出荷時のデ フ ォ ル ト に リ セ ッ ト し ます。 コ マ ン ド ラ イ ン ツールを使用 し て構成をバ ッ ク ア ッ プお よ び リ ス ト アす る 場合、 AMC を使用 し て構成を イ ン ポー ト お よ びエ ク ス ポー ト す る こ と も で き ま す。 詳細については、 164 ページの 「AMC に よ る 構成の イ ン ポー ト お よ びエ ク ス ポー ト 」 を参照 し て く だ さ い。 164 | 第 7 章 - シ ス テム管理 アプ ラ イ ア ン ス シ ス テ ム ソ フ ト ウ ェ アのパ ッ チ当て、 ア ッ プ グ レー ド 、 ロ ールバ ッ ク を行 う 場合は、 次の ツールを使用 し ま す。 ツール 目的 Update Tool シ ス テム ソ フ ト ウ ェ アの既存のバージ ョ ン にパ ッ チ を当てます。 ま た、 新 し いバージ ョ ンへのア ッ プグ レー ド も 行います。 Rollback Tool シ ス テム ソ フ ト ウ ェ ア を、 パ ッ チ またはア ッ プグ レー ド の直前の状態に ロ ールバ ッ ク し ます。 Factory Reset Tool ア プ ラ イ ア ン ス を、 ベン ダーか ら 購入 し た と きの状態に リ ス ト ア し ます。 このツールは最後の手段 と し て使用 し ます。 構成フ ァ イルのバッ ク ア ッ プ と リ ス ト ア アプ ラ イ ア ン ス の構成フ ァ イ ルは、 いつで も バ ッ ク ア ッ プす る こ と がで き ます。 シ ス テ ム を頻繁に変更 し てい る 場合や前の構成を維持 し てお き たい場合な ど、 バ ッ ク ア ッ プ を頻繁に行 う よ う にす る と 良いで し ょ う 。 バ ッ ク ア ッ プ フ ァ イ ルを使用すれば、 アプ ラ イ ア ン ス の構成を完全に前の状態に リ ス ト アで き る だけでな く 、 単一 の フ ァ イ ルのみを リ ス ト アす る こ と も で き ます。 こ の方法を利用す る こ と に よ り 、 複数のアプ ラ イ ア ン ス で同 じ ア ク セ ス ポ リ シーを使用す る こ と も で き ま す。 フ ァ イ ル比較ツールを使用す る と 、 バ ッ ク ア ッ プ フ ァ イ ル を現在の構成フ ァ イ ル と 比較す る こ と がで き ます。 Aventail アプ ラ イ ア ン ス では、 構成をバ ッ ク ア ッ プお よ び リ ス ト アす る と き 、 2 種類の方法で行 う こ と がで き ます。 1 つは AMC の イ ン ポー ト / エ ク ス ポー ト 機能を使用す る 方法で、 も う 1 つは コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ の Backup Tool お よ び Config Restore Tool を使用す る 方法です。 AMC の イ ン ポー ト / エ ク ス ポー ト 機能の方が便利ではあ り ますが、 コ マ ン ド ラ イ ン ツールの方が堅牢です。 AMC による構成のイ ンポー ト およびエクスポー ト AMC を使用すれば、 あ る アプ ラ イ ア ン ス か ら 現在の構成を エ ク ス ポー ト し て、 こ の構成のすべて ま たは一部を 他のアプ ラ イ ア ン ス に イ ン ポー ト す る こ と がで き ま す。 こ れは、 コ マ ン ド ラ イ ン ツールの Backup Tool お よ び Config Restore Tool の機能に似てい ま すが、 AMC の場合、 Backup Tool お よ び Config Restore Tool な ど でバ ッ ク ア ッ プ、 リ ス ト ア し たデー タ のサブセ ッ ト のみを イ ン ポー ト し た り エ ク ス ポー ト し た り す る こ と が で き る ため、 AMC の方が便利です。 167 ページの 「Backup Tool に よ る 現在の構成のバ ッ ク ア ッ プ」 と 168 ページの 「Config Restore Tool に よ る 構成フ ァ イ ルの リ ス ト ア」 を参照 し て く だ さ い。 次の表では、 イ ン ポー ト お よ びエ ク ス ポー ト で き る デー タ の タ イ プ を、 AMC の イ ン ポー ト / エ ク ス ポー ト 機能 を使用 し た場合 と 、 コ マ ン ド ラ イ ン ツールの Backup Tool お よ び Config Restore Tool の機能を使用 し た場 合 と で比較 し てい ま す。 AMC コ マ ン ド ラ イ ン ツール ア ク セ ス ポ リ シー ○ ○ 証明書 ○ ○ ASAP WorkPlace の カ ス タ マ イ ズ デー タ ○ ○ ノ ー ド 固有のネ ッ ト ワー ク 設定 ○ ○ 構成項目 OnDemand 構成 フ ァ イル ○ 手作業で編集 し た構成 フ ァ イル ○ Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 165 AMC によ る現在の構成のエ ク スポー ト AMC イ ン タ フ ェ ー ス を使用 し て、 単一の Aventail Export Archive (..aea) フ ァ イ ルの現在の構成を エ ク ス ポー ト す る こ と がで き ます。 AMC で生成 さ れた構成デー タ のみがエ ク ス ポー ト さ れ、 手作業で編集 し た構成 フ ァ イ ルはエ ク ス ポー ト さ れ ま せん。 次の表では、 エ ク ス ポー ト さ れ る フ ァ イ ルに含ま れ る 構成デー タ の タ イ プ を ま と めてい ま す。 構成を部分的にエ ク ス ポー ト す る こ と はで き ません。 エ ク ス ポー ト さ れた フ ァ イ ルには、 すべての構成デー タ が含 まれ ます。 構成デー タ の タ イ プ 説明 ア ク セ ス ポ リ シー ルール、 リ ソ ース、 ユーザー、 グループ、 ASAP WorkPlace シ ョ ー ト カ ッ ト 、 EPC 署名、 ゾーンが含まれます。 証明書 証明書、 秘密鍵、 証明書パスワー ド が含まれます。 ASAP WorkPlace の カ ス タ マ イ ズ デー タ 一般的な表示設定、 カ ス タ ム コ ン テ ン ツ、 カ ス タ ム テ ン プ レー ト が含まれます。 ノ ー ド 固有お よびネ ッ ト ワー ク固有の 設定 ホス ト 名、 IP ア ド レ ス、 デ フ ォ ル ト ルー ト 情報、 DNS 設定、 ク ラ ス タ 設定が含 まれます。 現在保存 さ れてい る 構成デー タ のみがエ ク ス ポー ト さ れ ます。 ま だ適用 し ていない保留中の変更はエ ク ス ポー ト さ れ ません。 保留中の変更を エ ク ス ポー ト し たい場合は、 構成を適用 し てか ら エ ク ス ポー ト し なければな り ません。 こ の特徴は、 保存済みの構成を、 新 し い変更の適用前にエ ク ス ポー ト し たい場合な ど に、 活用す る こ と がで き ます。 X AMC を使用 し て現在の構成を エ ク スポー ト する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Maintenance] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Maintenance] ページが表示 さ れ ます。 166 | 第 7 章 - シ ス テム管理 2. [System configuration] エ リ アの [Import or export] セ ク シ ョ ン で、 [Import/Export] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Import/Export] ページが表示 さ れ ます。 3. [Export] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Export Configuration] ページが表示 さ れ ま す。 [File Download] ダ イ ア ロ グ ボ ッ ク ス で、 asap.aea を開 く か こ れをハー ド デ ィ ス ク に保存す る よ う 求め ら れ ます。 4. [Save] を ク リ ッ ク し て、 正 し いデ ィ レ ク ト リ を ブ ラ ウ ズ し ま す。 こ こ で設定 し たデ ィ レ ク ト リ に asap.aea フ ァ イ ルが保存 さ れ ます。 5. [Export] ページで [OK] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Import/Export] ページに戻 り ま す。 AMC によ る構成のすべてまたは一部のイ ンポー ト AMC イ ン タ フ ェ ー ス を使用 し て、 構成のすべて ま たは一部を イ ン ポー ト す る こ と がで き ます。 こ れは、 コ マ ン ド ラ イ ン Config Restore Tool に よ る 構成の リ ス ト アに似てい ま すが、 AMC の場合、 Config Restore Tool の よ う に、 構成デー タ 全体を イ ン ポー ト す る こ と はあ り ません。 イ ン ポー ト す る フ ァ イ ルは、 ASAP Platform の現在のバージ ョ ン と 互換性がなければな り ません。 同 じ major.minor バージ ョ ン の構成は、 他の構成 と 互換性があ り ます。 た と えば、 ASAP Platform v7.0.1 フ ァ イ ルは、 既存の ASAP Platform v7.0.2-1.3 構成に イ ン ポー ト す る こ と がで き ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 167 次の表では、 既存の AMC 構成に イ ン ポー ト で き る デー タ の タ イ プ を ま と めてい ま す。 構成デー タ の タ イ プ 説明 構成の一部 • ア ク セ ス ポ リ シー : ルール、 リ ソ ース、 ユーザー、 グループ、 ASAP WorkPlace シ ョ ー ト カ ッ ト 、 EPC 署名、 ゾーンが含まれます。 • 証明書 : 証明書、 秘密鍵、 SSL で保護 さ れた LDAP サーバーのパスワー ド 、 SSL で保護 さ れたバ ッ ク エ ン ド Web サーバーのルー ト 証明書が含まれます。 • ASAP WorkPlace の カ ス タ マ イ ズ デー タ : 一般的な表示設定、 カ ス タ ム コ ン テ ン ツ、 カ ス タ ム テ ン プ レー ト が含まれます。 構成のすべて • すべての部分構成デー タ ( 上記参照 )。 • 証明書 : 証明書、 秘密鍵、 AMC のパスワー ド 、 ア プ ラ イ ア ン ス証明書が 含まれます。 • ノ ー ド 固有お よびネ ッ ト ワー ク固有の設定 : ホス ト 名、 IP ア ド レ ス、 デ フ ォ ル ト ルー ト 情報、 DNS 設定、 ク ラ ス タ 設定が含まれます。 X AMC を使用 し て構成のすべて または一部を イ ン ポー ト する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Maintenance] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Maintenance] ページが表示 さ れ ます。 2. [System configuration] エ リ アの [Import or export] セ ク シ ョ ン で、 [Import/Export] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Import/Export] ページが表示 さ れ ます。 3. [Import] エ リ アで、 イ ン ポー ト し たい構成デー タ の タ イ プ を指定 し ま す。 • [Partial configuration]: [Access policy]、 [Certificates] チ ェ ッ ク ボ ッ ク ス を組み合わせ て選択 し ま す。 • [Entire configuration] : ア ク セ ス ポ リ シー、 証明書、 ASAP WorkPlace のカ ス タ マ イ ズ デー タ 、 ノ ー ド 固有お よ びネ ッ ト ワ ー ク 固有の設定をすべて イ ン ポー ト す る と き 、 こ れを ク リ ッ ク し ま す。 4. [Configuration file] ボ ッ ク ス に適切な asap.aea フ ァ イ ルのパ ス を入力す る か、 [Browse] を ク リ ッ ク し て、 適切な フ ァ イ ルを ブ ラ ウ ズ し ま す。 5. [Import] を ク リ ッ ク し ま す。 6. イ ン ポー ト し た構成を有効にす る には、 変更を適用 し なければな り ま せん。 41 ページの 「構成変更の適 用」 を参照 し て く だ さ い。 メモ • ロ ーカル ユーザー ア カ ウ ン ト は、 AMC ではバ ッ ク ア ッ プ も リ ス ト ア も で き ません。 その場合は、 コ マ ン ド ラ イ ン Backup Tool を使用す る こ と がで き ます。 • イ ン ポー ト が失敗 し た場合、 /var/log/aventail/management.log フ ァ イ ルで詳細について調べ る こ と がで き ます。 • AMC で他の構成変更を保留 し てい る 状態で、 構成を イ ン ポー ト す る と 、 保留中の変更が上書 き さ れて し ま い ま す。 Backup Tool による現在の構成のバッ ク ア ッ プ アプ ラ イ ア ン ス に搭載 さ れてい る コ マ ン ド ラ イ ン Backup Tool を使用す る と 、 次の よ う な、 アプ ラ イ ア ン ス の重要な フ ァ イ ルをバ ッ ク ア ッ プす る こ と がで き ま す。 • Aventail サービ ス の構成フ ァ イ ル • ネ ッ ト ワ ー ク 設定 • ア ク セ ス制御ルール • ロ グ ロ ーテーシ ョ ン設定 • サーバー証明書、 鍵、 パ ス ワ ー ド • ロ ーカル ユーザー ア カ ウ ン ト バ ッ ク ア ッ プ フ ァ イ ルは、 圧縮 さ れた tar フ ァ イ ル ( デフ ォ ル ト の場合、 /var/backups/cfgback.tgz) に保 存 さ れ ます。 特にシ ス テ ム を何度 も カ ス タ マ イ ズす る よ う な場合は、 シ ス テ ム を定期的にバ ッ ク ア ッ プす る こ と が推奨 さ れ ます。 168 | 第 7 章 - シ ス テム管理 X 構成をバ ッ ク ア ッ プする には 1. SSH ま たはシ リ アル接続を使用 し て アプ ラ イ ア ン ス に接続 し 、 「root」 と し て ロ グ イ ン し ます。 2. 「config_backup」 と 入力 し 、 次の よ う なオプシ ョ ン パ ラ メ ー タ を続け ます。 config_backup [-t tarfile] [-q] [-d debuglevel] [-h] パラ メ ー タ 説明 -t tarfile 構成をバ ッ ク ア ッ プする フ ァ イルを指定 し ます。 このパ ラ メ ー タ は、 デ フ ォ ル ト フ ァ イ ル (/var/backups/cfgback.tgz) と 異な るバ ッ ク ア ッ プ フ ァ イルにバ ッ ク ア ッ プする場合に限 っ て必要にな り ます。 リ ス ト ア プ ロ グ ラ ムは通常、 リ ス ト アの際にデ フ ォ ル ト フ ァ イルを検索す る た め、 こ のパ ラ メ ー タ はセ ッ ト し ない方が良いで し ょ う 。 -q 確認プ ロ ン プ ト を オ フ に し ます ( バ ッ ク ア ッ プ を 「静かに (quiet)」 行 う )。 通常 であれば、 既存のバ ッ ク ア ッ プ フ ァ イルを上書き するか尋ね られます。 -d debuglevel バ ッ ク ア ッ プ操作の際に表示する情報の量を指定 し ます。 Set debuglevel には 「0」 か ら 「10」 ま での整数を指定 し ます。 情報を表示 し ない場合は 「0」、 すべて の情報を表示する場合は 「10」 を指定 し ます。 デ フ ォ ル ト は 「1」 ( 標準的な情報 量 ) です。 -h 使用可能なパ ラ メ ー タ を示すヘルプ リ ス ト を表示 し ます。 Backup Tool を実行 し た ら 、 シ ス テ ム の構成フ ァ イ ルが、 上記で指定 し た名前 と ロ ケーシ ョ ン のバ ッ ク ア ッ プ フ ァ イ ルに保存 さ れ ます。 同 じ ロ ケーシ ョ ン にバ ッ ク ア ッ プ フ ァ イ ルがすでに存在す る 場合は、 上書 き し て も 良いか尋ね ら れ ます (-q パ ラ メ ー タ を使用 し ていない場合 )。 メモ • Update Tool を使用 し て新 し いシ ス テ ム ア ッ プデー ト を イ ン ス ト ール し た場合、 構成が自動的にバ ッ ク ア ッ プ さ れ ま す。 その場合、 管理者が手作業で作成 し たバ ッ ク ア ッ プは上書 き さ れ ません。 • 安全性を高めたい場合は、 SCP な ど のプ ロ グ ラ ム を使用 し て .tgz フ ァ イ ルを アプ ラ イ ア ン ス か ら 別の ロ ケーシ ョ ン、 た と えばネ ッ ト ワ ー ク 上の ド ラ イ ブや リ ムーバブル デ ィ ス ク な ど に コ ピー し ま す。 • Backup Tool を ス ク リ プ ト に追加す る こ と に よ り 、 バ ッ ク ア ッ プ を自動化す る こ と がで き ます。 その場 合、 -q パ ラ メ ー タ を使用 し て、 確認プ ロ ン プ ト が出ない よ う に し ま す。 Config Restore Tool による構成フ ァ イルのリ ス ト ア 変更に よ っ て構成に問題が発生 し た場合な ど、 バ ッ ク ア ッ プ フ ァ イ ルを使用 し て リ ス ト アす る こ と がで き ま す。 アプ ラ イ ア ン ス に搭載 さ れてい る コ マ ン ド ラ イ ン Config Restore Tool を使用す る と 、 構成のすべて、 ま たは単一の フ ァ イ ルのみを リ ス ト アす る こ と がで き ます。 構成フ ァ イ ルを リ ス ト アす る 前に、 バ ッ ク ア ッ プ フ ァ イ ル と 、 シ ス テ ム上の現在の フ ァ イ ルを比較す る こ と が で き ます。 詳細については、 170 ページの 「バ ッ ク ア ッ プ フ ァ イ ル と シ ス テ ム上の フ ァ イ ル と の比較」 を参照 し て く だ さ い。 ! 注意 シ ス テム ソ フ ト ウ ェ アの以前の メ ジ ャ ー バージ ョ ン、 マ イ ナー バージ ョ ン、 マ イ ク ロ バージ ョ ン か ら 構成 フ ァ イルを リ ス ト ア し ないで く だ さ い。 メ ジ ャ ー / マ イ ナー / マ イ ク ロ バージ ョ ンのア ッ プ デー ト の際には、 構成 フ ァ イルの定義方法が変更 さ れてい る場合 も あ り ます。 古い構成 フ ァ イ ルでは、 新 し いバージ ョ ン と 定義方法が異な る ために、 ア プ ラ イ ア ン スが正常に動作 し な く な る こ と があ り ます。 た と えば、 シ ス テムをバージ ョ ン 7.1.0 以降にア ッ プグ レ ー ド し てお り 、 バージ ョ ン 7.0.0 の構成 フ ァ イルを リ ス ト ア し た場合、 シ ス テムが非互換であ る ため問題が発生 し ます。 そのため、 必ず Config Restore Tool を使用 し て、 現在シ ス テム上にあ る も の と 同 じ メ ジ ャ ー / マ イ ナー / マ イ ク ロ バージ ョ ン の構成 フ ァ イ ルを リ ス ト アする よ う に し ます。 ただ し 、 メ ジ ャ ー / マ イ ナー / マ イ ク ロ バージ ョ ンが同 じ であれば、 パ ッ チ を当て てい るバージ ョ ンか ら 構成 フ ァ イルを リ ス ト ア し て も 問題はあ り ません ( た と えば、 ア プ ラ イ ア ン スでバージ ョ ン 7.1.0-1.6 が動作 し てい る場合、 7.1.0-1.2 の構成 フ ァ イ ルを リ ス ト ア し て も かまわないが、 7.0.0-1.8 の構成 フ ァ イルは使用で き ない )。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 169 X 構成 フ ァ イ ルをバ ッ ク ア ッ プ フ ァ イルか ら リ ス ト アする には 1. 「root」 と し て アプ ラ イ ア ン ス に ロ グ イ ン し ま す。 2. 「config_restore」 と 入力 し 、 次の よ う なオプシ ョ ン パ ラ メ ー タ を続け ま す。 config_restore [-f filename] [-t tarfile] [-q] [-d debuglevel] [-h] パラ メ ー タ 説明 -f filename リ ス ト アする フ ァ イ ルを指定 し ます。 バ ッ ク ア ッ プ フ ァ イルのすべての構成 フ ァ イルではな く 、 単一の フ ァ イルのみを リ ス ト アする場合は、 このプ ロ グ ラ ムを使 用 し ます。 バ ッ ク ア ッ プ フ ァ イルの リ ス ト については、 /var/backups を参照 し て く だ さ い。 -t tarfile 構成を リ ス ト アする フ ァ イ ルを指定 し ます。 こ のパ ラ メ ー タ は、 デ フ ォル ト フ ァ イル (/var/backups/cfgback.tgz) 以外のバ ッ ク ア ッ プ フ ァ イルか ら リ ス ト アす る場合のみ必要にな り ます。 -q 確認プ ロ ン プ ト を オ フ に し ます ( リ ス ト ア を 「静かに (quiet)」 行 う )。 通常であ れば、 フ ァ イ ルを リ ス ト アするか尋ね ら れます。 -d debuglevel リ ス ト ア操作の際に表示す る情報の量を指定 し ます。 Set debuglevel には 「0」 か ら 「10」 ま での整数を指定 し ます。 情報を表示 し ない場合は 「0」、 すべての情 報を表示する場合は 「10」 を指定 し ます。 デ フ ォル ト は 「1」 ( 標準的な情報量 ) です。 -h 使用可能なパ ラ メ ー タ を示すヘルプ リ ス ト を表示 し ます。 本当に リ ス ト ア し て良いか確認を求め ら れ ます (-q パ ラ メ ー タ を使用 し ていない場合 )。 その後、 Config Restore Tool が、指定 さ れたバ ッ ク ア ッ プ フ ァ イ ルか ら すべての構成フ ァ イ ル (-f パ ラ メ ー タ を使用 し てい る 場合は指定 し た フ ァ イ ルのみ ) を コ ピー し ま す。 同 じ 構成フ ァ イ ルがすでに存在 し てい る 場合は、 こ れを上書 き し ます。 メモ • バ ッ ク ア ッ プ フ ァ イ ルが見つか ら ない場合、 「it requires a backup file to run」 と い う エ ラ ーが表示 さ れ ま すシ ス テ ム は、 167 ページの 「Backup Tool に よ る 現在の構成のバ ッ ク ア ッ プ」 の手順を使用 し て、 手作業でバ ッ ク ア ッ プす る こ と も で き ます。 工場出荷時デフ ォル ト 構成への復帰 場合に よ っ ては、 工場出荷時デフ ォ ル ト 構成を リ ス ト ア し たい場合 も 出て き ま す。 た と えば、 アプ ラ イ ア ン ス を異な る 環境に移動 し 構成変更を何度 も 行 う よ う な場合、 アプ ラ イ ア ン ス をデフ ォ ル ト 設定に戻 し て、 ゼ ロ か ら や り 直す方が便利な こ と も あ り ます。 工場出荷時デフ ォ ル ト 構成を リ ス ト アす る 場合は、 Config Reset Tool と い う コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ を実行 し ます。 ! 注意 Config Reset Tool を実行する と 、 既存のシ ス テム構成デー タ がすべて削除 さ れます。 構成をバ ッ ク ア ッ プか ら リ ス ト ア し たい場合は必ず、 バ ッ ク ア ッ プ フ ァ イルをあ ら か じ め他のシ ス テムに コ ピー し ておいて く だ さ い。 X 工場出荷時デ フ ォ ル ト 構成へ復帰する には 1. (SSH ま たはシ リ アル接続を使用 し て ) アプ ラ イ ア ン ス に接続 し 、 「root」 と し て ロ グ イ ン し ま す。 2. 「config_reset」 と 入力 し 、 Config Reset Tool を実行 し ま す。 3. デフ ォ ル ト 設定に戻 し て良いか確認す る プ ロ ン プ ト が表示 さ れ ま す。 Reset the appliance configuration to factory defaults? (n) 「y」 を押 し て ENTER キーを押 し ま す。 4. こ の操作に よ り 、 変更が保存 さ れ ます。 アプ ラ イ ア ン ス を再起動す る か シ ャ ッ ト ダ ウ ン ( 停止 ) す る か尋 ね る プ ロ ン プ ト が表示 さ れ ます。 再起動の と き は 「r」、 停止の と き は 「h」 を押 し ま す。 シ ス テ ム を再起動す る と 、 起動時に ロ グ イ ン プ ロ ン プ ト が表示 さ れ ます。 5. Setup Tool を も う 一度実行 し てネ ッ ト ワ ー ク を構成 し ます。 29 ページの 「Setup Tool の実行」 を参照 し て く だ さ い。 170 | 第 7 章 - シ ス テム管理 バッ クア ッ プ フ ァ イルと システム上のフ ァ イルとの比較 バ ッ ク ア ッ プ フ ァ イ ルを、 現在シ ス テ ム上にあ る フ ァ イ ル と 比較す る こ と がで き ま す。 こ れは、 ど の フ ァ イ ル が異な る か調べ る 場合や、 フ ァ イ ル間の差を詳細に調べ る 場合 ( ただ し テ キ ス ト フ ァ イ ルの と き ) な ど に使用 す る と 便利です。 X バ ッ ク ア ッ プ フ ァ イ ル と 現在の構成を比較する には 1. (SSH ま たはシ リ アル接続を使用 し て ) アプ ラ イ ア ン ス に接続 し 、 「root」 と し て ロ グ イ ン し ま す。 2. 「config_compare」 と 入力 し 、 次の よ う なオプシ ョ ン パ ラ メ ー タ を続け ま す。 config_compare [-s] [-f filename] [-t tarfile] [-d debuglevel] [-h] パラ メ ー タ 説明 -s シ ス テム上の フ ァ イ ル と バ ッ ク ア ッ プ フ ァ イル と の差を詳細に表示 し ます。 こ れ は、 「diff」 コ マ ン ド の場合 と 似ています。 テキス ト フ ァ イ ルの場合、 フ ァ イルの 違い を行単位で比較する こ と がで き ます。 Compare Tool でバイ ナ リ フ ァ イ ルを比較 し た場合、 フ ァ イ ルが異な っ てい る こ と のみが示 さ れます。 -f filename 同名のバ ッ ク ア ッ プ フ ァ イル と 比較する フ ァ イルを指定 し ます ( こ のパ ラ メ ー タ を使用する と バ ッ ク ア ッ プ フ ァ イルの他の フ ァ イルは比較 さ れな く な る )。 バ ッ ク ア ッ プ フ ァ イルの リ ス ト については、 /var/backups を参照 し て く だ さ い。 2 つのテキス ト フ ァ イ ルを比較 し てい る場合、 こ のパ ラ メ ー タ を -s パ ラ メ ー タ と 一緒に使用 し ます。 こ う す る こ と で、 フ ァ イル間の違いが詳細に表示 さ れます。 -t tarfile フ ァ イ ル と 比較するバ ッ ク ア ッ プ フ ァ イルを指定 し ます。 このパ ラ メ ー タ は、 シ ス テム フ ァ イルを、 デ フ ォ ル ト フ ァ イル (/var/backups/cfgback.tgz) 以外の バ ッ ク ア ッ プ フ ァ イル と 比較する場合のみ必要にな り ます。 -d debuglevel リ ス ト ア操作の際に表示す る情報の量を指定 し ます。 Set debuglevel には 「0」 か ら 「10」 ま での整数を指定 し ます。 情報を表示 し ない場合は 「0」、 すべての情 報を表示する場合は 「10」 を指定 し ます。 デ フ ォル ト は 「1」 ( 標準的な情報量 ) です。 -h 使用可能なパ ラ メ ー タ を示すヘルプ リ ス ト を表示 し ます。 Config Compare Tool に よ っ て、 バ ッ ク ア ッ プ フ ァ イ ルの ど の フ ァ イ ルが、 現在の構成フ ァ イ ル と 異な る か を示すレ ポー ト が生成 さ れ ます (-f パ ラ メ ー タ を使用 し て単一フ ァ イ ルをバ ッ ク ア ッ プ と 比較 し てい る 場合を 除 く )。 ま た、 現在の構成か ら な く な っ てい る フ ァ イ ルが存在す る 場合 も 通知 さ れ ます。 -s パ ラ メ ー タ を使用す る と 、 テ キ ス ト フ ァ イ ル間の違いが詳細に表示 さ れ ます。 それぞれの違いの詳細を確 認 し た後、 ENTER キーを押す よ う 求め ら れ ま す。 システムへのパッ チ当て、 ア ッ プグレー ド 、 ロールバッ ク、 リ セ ッ ト Aventail では、 サーバーに新 し い機能を追加 し た り 既存の問題に対応 し た り す る 目的で、 シ ス テ ム ア ッ プ デー ト を定期的に提供 し ます。 シ ス テ ム ア ッ プデー ト は圧縮済みの .bin フ ァ イ ルで、 パ ッ チ ま たはア ッ プグ レー ド の形式にな り ます。 パ ッ チは、 特定バージ ョ ン に存在す る 問題に対応す る も ので、 通常は、 元のバー ジ ョ ン か ら 変更 さ れた フ ァ イ ルのみが含 ま れ ま す。 ア ッ プ グ レ ー ド には、 新 し いバージ ョ ン の ソ フ ト ウ ェ アが 含ま れ ますが、 個々の フ ァ イ ルが含ま れ る 代わ り に、 フル イ メ ージの形式にな っ てい ます。 ア ッ プデー ト は、 コ マ ン ド ラ イ ン Update Tool を使用 し て、 シ ス テ ム に イ ン ス ト ールす る こ と がで き ま す。 こ の ツールは、 シ リ アル コ ン ソ ールか ら 実行す る か、 AMC イ ン タ フ ェ ー ス を使用 し て実行 し ます。 ア ッ プ デー ト を イ ン ス ト ール し た後、 必要で あれば、 AMC ま たは コ マ ン ド ラ イ ン Rollback Tool を使用 し て、 前の バージ ョ ン に ロ ールバ ッ ク す る こ と も で き ま す。 root パ ス ワ ー ド を初期設定か ら 変更 し てい る 場合、 シ ス テ ム を ア ッ プ グ レー ド し た ら 、 root パ ス ワ ー ド が初 期設定に戻 さ れ ま す。 シ ス テ ム を ア ッ プ グ レー ド し た ら 、 初期 root パ ス ワ ー ド を使用 し て AMC に ロ グ イ ン し 、 その後、 [Add/Edit Administrator] ページでパ ス ワ ー ド を適宜変更 し ます。 シ ス テ ム の現在のバージ ョ ン を表示す る と き は、 メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [System Status] を ク リ ッ ク し ま す。 詳細については、 153 ページの 「アプ ラ イ ア ン ス の監視」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 171 システム ア ッ プデー ト のダウンロー ド シ ス テ ム ア ッ プデー ト ( パ ッ チお よ びア ッ プグ レー ド ) は、 Aventail Web サ イ ト のサポー ト ページに置かれ てい ま す。 こ のエ リ アにア ク セ ス す る には、 ア カ ウ ン ト を作成 し 、 ユーザー名 と パ ス ワ ー ド を受け取 る 必要が あ り ま す。 サポー ト ア カ ウ ン ト を取得す る 方法については、 チ ャ ネル パー ト ナー ま たは Aventail の営業マ ン にお問い合わせ く だ さ い。 ア カ ウ ン ト を取得す る と 、 新 し いア ッ プ グ レー ド が公開 さ れ る たびに電子 メ ールで 定期的に通知 さ れ ま す。 X シ ス テム ア ッ プデー ト を ダウ ン ロー ド する には 1. Aventail Web サ イ ト のサポー ト ページ (http://aventailassurance.aventail.com) に ロ グ イ ン し ま す。 2. [Downloads] エ リ アに進み、 お使いのアプ ラ イ ア ン ス に対応す る セ ク シ ョ ン を参照 し て く だ さ い。 3. イ ン ス ト ールす る ア ッ プデー ト を ダ ウ ン ロ ー ド し ま す。 ま た、 ア ッ プデー ト フ ァ イ ル と 一緒に .md5 フ ァ イ ル も ダ ウ ン ロ ー ド し ま す。 それぞれのシ ス テ ム ア ッ プデー ト は、 圧縮済みの .bin フ ァ イ ルにな っ てお り 、 同 じ 名前に .txt 拡張子が 付いた リ リ ー ス ノ ー ト フ ァ イ ルが付属 し てい ま す。 こ のア ッ プデー ト で ど の よ う な変更が行われ る か確 認す る と き は、 リ リ ー ス ノ ー ト を参照 し て く だ さ い。 ア ッ プデー ト フ ァ イ ルの命名規則については、 次 の節を参照 し て く だ さ い。 4. scp を使用 し て、 ア ッ プデー ト を アプ ラ イ ア ン ス の /upgrade デ ィ レ ク ト リ に転送 し ま す。 ア ッ プデー ト フ ァ イ ルの命名規則 upgrade_<major>_<minor>_<micro>_<build>.bin 名前 説明 major このア ッ プデー ト の メ ジ ャ ー リ リ ース番号。 この番号のみが存在する場合、 この リ リ ースには、 重要 な新 し い機能 と バグ フ ィ ッ ク スが含まれてい る こ と にな り ます。 ま た同時に、 シ ス テム全体の フ ル イ メ ージが含まれてい る こ と にな り ます。 minor このア ッ プデー ト のマ イ ナー リ リ ース番号。 このア ッ プデー ト のマ イ ナー リ リ ース番号。 バージ ョ ン 番号に メ ジ ャ ー番号 と マ イ ナー番号のみが含まれてい る場合、 この リ リ ースには、 追加機能 と バグ フ ィ ッ ク スが含まれている こ と にな り ます。 また同時に、 シ ステム全体の フ ル イ メ ージが含まれてい る こ と にな り ます。 micro このア ッ プデー ト のマ イ ク ロ リ リ ース番号。 バージ ョ ン番号に メ ジ ャ ー番号、 マ イ ナー番号、 マ イ ク ロ番号が含まれてい る場合、 この リ リ ースには、 ご く わずかの追加機能 と バグ フ ィ ッ ク スが含まれて い る こ と にな り ます。 ま た同時に、 シ ス テム全体の フ ル イ メ ージが含まれてい る こ と にな り ます。 build Aventail で使用 さ れる内部ビル ド 番号。 すべての リ リ ースにはビル ド 番号が含まれます。 Major Micro upgrade_8_1_5_19.bin Minor Build 172 | 第 7 章 - シ ス テム管理 例 • upgrade_8_0_0_23.bin は、 アプ ラ イ ア ン ス を、 8.0 メ ジ ャ ー リ リ ー ス ( ビル ド 23) にア ッ プグ レー ド す る も のです。 • upgrade_8_1_0_13.bin は、 アプ ラ イ ア ン ス を、 8.1 マ イ ナー リ リ ー ス ( ビル ド 13) にア ッ プグ レー ド す る も のです。 • upgrade_8_1_1_21.bin は、 アプ ラ イ ア ン ス を、 8.1.1 マ イ ク ロ リ リ ース ( ビ ル ド 21) にア ッ プ グ レー ド す る も のです。 • upgrade_8_1_5_19.bin は、 アプ ラ イ ア ン ス の 8.1.5 マ イ ナー リ リ ー ス にパ ッ チを当て る も のです。 こ のパ ッ チには、 前回のマ イ ク ロ リ リ ース 8.1.5 か ら 修正 さ れたパ ッ ケージのみが含ま れ ます。 こ の パ ッ チ を イ ン ス ト ールす る 場合は、 シ ス テ ム上にバージ ョ ン 8.1.5 がな ければな り ま せん。 メモ • リ リ ー ス ノ ー ト を ダ ウ ン ロ ー ド す る 必要はあ り ま せん。 リ リ ー ス ノ ー ト は、 ア ッ プデー ト フ ァ イ ルに含 ま れてお り 、 ア ッ プデー ト を実行す る と 、 /upgrade デ ィ レ ク ト リ に展開 さ れ ま す。 ダウンロー ド し たフ ァ イルの確認 ア ッ プデー ト を イ ン ス ト ールす る 前に、 フ ァ イ ルが正 し く ダ ウ ン ロ ー ド さ れたか確認す る 必要があ り ます。 X ダウ ン ロ ー ド し た フ ァ イ ルを確認する には 1. コ マ ン ド ラ イ ン か ら 、 次の コ マ ン ド を入力 し ます。 こ の コ マ ン ド に よ り 、 ダ ウ ン ロ ー ド し た フ ァ イ ルの チ ェ ッ ク サ ム が返 さ れ ま す。 md5sum <upgrade_filename>.bin 2. 対応す る .md5 フ ァ イ ル (Aventail Web サ イ ト か ら ダ ウ ン ロ ー ド し た も の ) か ら チ ェ ッ ク サム を抽出 し ます。 cat <update-filename>.md5 3. 2 つのチ ェ ッ ク サ ム を比較 し ます。 こ の 2 つが一致 し た場合、 その ま ま ア ッ プデー ト を継続す る こ と がで き ま す。 それぞれで異な る 場合、 再びダ ウ ン ロ ー ド し て、 同様の方法でチ ェ ッ ク サ ム を比較 し ま す。 それ で も チ ェ ッ ク サ ム が一致 し ない場合は、 Aventail のテ ク ニ カル サポー ト にお問い合わせ く だ さ い。 コマン ド ラ インからのシステム ア ッ プデー ト のイ ンス ト ール シ ス テ ム ア ッ プデー ト を ダ ウ ン ロ ー ド し て アプ ラ イ ア ン ス に コ ピー し た ら 、 コ マ ン ド ラ イ ン を使用 し て イ ン ス ト ールす る こ と がで き ます。 こ の手順は、 バージ ョ ン ア ッ プ グ レー ド の イ ン ス ト ールの他、 パ ッ チに も 使用 す る こ と がで き ます。 ク ラ ス タ の ソ フ ト ウ ェ ア を ア ッ プデー ト す る 方法については、 269 ページの 「 ク ラ ス タ のア ッ プ グ レー ド 」 を 参照 し て く だ さ い。 X シ ス テム ア ッ プデー ト を イ ン ス ト ールする には 1. SSH ( ま たはシ リ アル接続 ) を使用 し て アプ ラ イ ア ン ス に接続 し 、 「root」 と し て ロ グ イ ン し ま す。 2. ア ッ プ グ レー ド フ ァ イ ルを アプ ラ イ ア ン ス の /upgrade デ ィ レ ク ト リ に コ ピー し ま す。 3. 適切な ア ッ プ グ レー ド バージ ョ ン番号を指定 し 、 「/upgrade/upgrade_<version>.bin」 と 入力 し ま す。 4. scp プ ロ グ ラ ム に よ っ ては、 転送後に元の フ ァ イ ル権限が引 き 継がれない も の も あ り ま す。 「chmod +x upgrade_<version>.bin」 と 入力 し て、 ア ッ プデー ト フ ァ イ ルが実行可能にな っ てい る こ と を確認 し て く だ さ い。 5. アプ ラ イ ア ン ス を再起動 し ま す。 メモ • アプ ラ イ ア ン ス を再起動す る 前に、 バ ッ ク ア ッ プ を行 う よ う にす る と 良いで し ょ う 。 詳細については、 167 ページの 「Backup Tool に よ る 現在の構成のバ ッ ク ア ッ プ」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 173 AMC によるシステム ア ッ プデー ト のインス ト ール AMC のア ッ プデー ト 機能を使用 し て も 、 バージ ョ ン ア ッ プ グ レー ド やパ ッ チを イ ン ス ト ールす る こ と がで き ます。 ク ラ ス タ の ソ フ ト ウ ェ ア を ア ッ プデー ト す る 方法については、 269 ページの 「 ク ラ ス タ のア ッ プ グ レー ド 」 を 参照 し て く だ さ い。 X AMC を使用 し てシ ス テム ア ッ プデー ト を イ ン ス ト ールする には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [Maintenance] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Maintenance] ページが表示 さ れ ます。 2. [System configuration] エ リ アで、 [Update] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Update] ページが表示 さ れ ま す。 3. ア ッ プ グ レー ド フ ァ イ ルやパ ッ チ フ ァ イ ルを ま だダ ウ ン ロ ー ド し ていない場合は、 [Aventail Assurance Web site] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 対応す る ア ッ プデー ト フ ァ イ ル ま たはパ ッ チ フ ァ イ ルが ロ ーカル フ ァ イ ル シ ス テ ム にダ ウ ン ロ ー ド さ れ ま す。 4. ア ッ プデー ト フ ァ イ ル ま たはパ ッ チ フ ァ イ ルのパス を入力す る か、 [Browse] を ク リ ッ ク し て、 適切な フ ァ イ ルを ブ ラ ウ ズ し ます。 174 | 第 7 章 - シ ス テム管理 5. [Install Update] を ク リ ッ ク し ます。 フ ァ イ ル ア ッ プ ロ ー ド ス テー タ ス イ ン ジ ケー タ が表示 さ れ ま す。 必要で あれば、 [Cancel] を ク リ ッ ク し て ア ッ プ ロ ー ド プ ロ セ ス を停止す る こ と がで き ます。 フ ァ イ ル ア ッ プ ロ ー ド プ ロ セ ス が完了 し た ら 、 ア ッ プデー ト がアプ ラ イ ア ン ス に自動的に イ ン ス ト ール さ れ ま す。 ただ し 、 イ ン ス ト ール プ ロ セ ス はキ ャ ン セルす る こ と がで き ません。 イ ン ス ト ール プ ロ セ ス が完了 し た ら 、 アプ ラ イ ア ン ス が自動的に再起動 し ま す。 6. アプ ラ イ ア ン ス が再起動 し た ら 、 AMC に ロ グ イ ン し て、 AMC の [Home] ページで新 し い ASAP Platform バージ ョ ン番号を確認 し ま す。 コマン ド ラ インからの以前のバージ ョ ンへのロールバッ ク Rollback Tool を使用す る と 、 シ ス テ ム に イ ン ス ト ール し たシ ス テ ム ア ッ プデー ト を最大 2 つま で取 り 消す こ と がで き ま す。 ア ッ プデー ト の完了後、 問題が発生 し た場合は、 こ の ツールを使用 し て、 問題がなか っ た状態 ま で ロ ールバ ッ ク す る こ と がで き ま す。 Rollback Tool を実行す る たびに、 最新のシ ス テ ム ア ッ プデー ト が削 除 さ れ、 そのア ッ プデー ト 前のバージ ョ ン に復帰 し ま す。 ! 注意 シ ス テムを ア ッ プデー ト し た後なん ら かの構成変更を行 っ てい る場合、 Rollback Tool を使用する と 、 こ のよ う な構成変更 も 消去 さ れます。 X シ ス テム ア ッ プデー ト を取 り 消すには 1. SSH ( ま たはシ リ アル接続 ) を使用 し て アプ ラ イ ア ン ス に接続 し 、 「root」 と し て ロ グ イ ン し ま す。 2. 「rollback_tool」 と 入力 し ま す。 こ の コ マ ン ド に よ り 、 Rollback Tool が最新のア ッ プデー ト を削除 し ます。 3. コ マ ン ド プ ロ ン プ ト が再び表示 さ れた ら 、 「reboot」 と 入力 し て アプ ラ イ ア ン ス を再起動 し ま す。 AMC による以前のバージ ョ ンへのロールバッ ク AMC か ら も 、 シ ス テ ム に イ ン ス ト ール し た最新のア ッ プデー ト を取 り 消す こ と がで き ます。 ア ッ プデー ト の完 了後、 問題が発生 し た場合は、 こ の機能を使用 し て、 問題がなか っ た状態 ま で ロ ールバ ッ ク す る こ と がで き ま す。 ソ フ ト ウ ェ ア イ メ ージの ロ ールバ ッ ク を行 う たびに、 最新のシ ス テ ム ア ッ プデー ト が削除 さ れ、 その ア ッ プデー ト 前のバージ ョ ン に復帰 し ます。 ! 注意 シ ス テムを ア ッ プデー ト し た後なん ら かの構成変更を行 っ てい る場合、 ソ フ ト ウ ェ ア イ メ ージの ロ ールバ ッ ク に よ り 、 こ のよ う な構成変更 も 消去 さ れます。 X AMC を使用 し て前のバージ ョ ン に ロールバ ッ ク する には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [Maintenance] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Maintenance] ページが表示 さ れ ます。 2. [System configuration] エ リ アで、 [Rollbacke] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Rollback] ページが表示 さ れ ます。 3. [Rollback] ページに表示 さ れてい る バージ ョ ン に ロ ールバ ッ ク す る と き は [OK] を ク リ ッ ク し ま す。 4. アプ ラ イ ア ン ス が再起動 し た ら 、 AMC の [Home] ページで新 し い ASAP Platform バージ ョ ン番号を確 認 し ま す。 ロ ールバ ッ ク プ ロ セ ス が完了 し た ら 、 アプ ラ イ ア ン ス が自動的に再起動 し 、 変更が適用 さ れ ます。 工場出荷時リ セ ッ ト の実行 工場出荷時 リ セ ッ ト を実行す る と 、 アプ ラ イ ア ン ス が、 最初の購入時の状態に戻 り ます。 Factory Reset Tool を実行す る と 、 アプ ラ イ ア ン ス購入後に実行、 作成 し たすべてのア ッ プデー ト お よ び構成フ ァ イ ルが消去 さ れ ます。 た と えば、 元のアプ ラ イ ア ン ス にバージ ョ ン 7.0.0 が搭載 さ れていた場合、 Factory Reset Tool を実行 す る と 、 バージ ョ ン 7.0.0 に復帰 し 、 アプ ラ イ ア ン ス上で イ ン ス ト ール、 作成 し たすべてのア ッ プデー ト 、 構 成フ ァ イ ル、 ロ グ フ ァ イ ルな ど が消去 さ れ ます。 こ の ツールを使用すべ き 状況 と し て、 次の 2 つの場合があ り ます。 • マ シ ン を完全に き れいな状態に し て、 別の場所で再利用 し たい場合。 • アプ ラ イ ア ン ス が、 取 り 返 し の付かない状態にな っ た場合。 こ の場合は、 Aventail のテ ク ニ カル サポー ト にお問い合わせの上、 こ の問題を解決す る ための方法が他にないか確認 し て く だ さ い。 工場出荷時 リ セ ッ ト はあ く ま で も 、 アプ ラ イ ア ン ス を動作可能な状況に復帰 さ せ る ための最後の手段 と し て使用 し ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 175 X ア プ ラ イ ア ン ス を元の工場出荷時の状態に戻すには 1. シ リ アル コ ン ソ ールで、 「root」 と し て アプ ラ イ ア ン ス に ロ グ イ ン し ま す。 2. 「factory_reset」 と 入力 し ます。 構成フ ァ イ ルをバ ッ ク ア ッ プす る よ う 促す メ ッ セージが表示 さ れ ま す。 その後、 アプ ラ イ ア ン ス を再起動 し ます。 3. 「reboot」 と 入力 し て、 アプ ラ イ ア ン ス を再起動 し ます。 リ セ ッ ト が完了 し た ら 、 次の よ う なプ ロ ン プ ト が表示 さ れ ます。 Debian GNU/Linux 3.0 SSL-VPN ttyS1 SSL-VPN login: 4. ! 「root」 と し て ロ グ イ ンす る と 、 Setup Tool が自動的に動作を開始 し ます。 注意 特に、取 り 返 し の付かない状態か ら 問題がなか っ た状態に戻すために Factory Reset Tool を実行す る場合、 こ のツ ールを実行する前に、 Aventail のテ ク ニ カ ル サポー ト にお問い合わせの上、 こ の問題を 解決する ための方法が他にないか確認 し て く だ さ い。 SSL 暗号化 アプ ラ イ ア ン ス上のすべての ト ラ フ ィ ッ ク でデー タ のセ キ ュ リ テ ィ を保証す る ため、 暗号が使用 さ れ ま す。 ア プ ラ イ ア ン ス は SSL で使用す る すべてのデー タ を暗号化 し ます。 ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を SSL で保護す る には、 最低で も 1 つのサ イ フ ァ を使用す る よ う 構成 し な ければな り ま せん。 セ キ ュ リ テ ィ 効果 と パフ ォ ーマ ン ス のバ ラ ン ス を よ く 考え、 使用可能な も のの中か ら 「最上の」 サ イ フ ァ を選択 し ます ( パフ ォーマ ン ス よ り セ キ ュ リ テ ィ に重点を置 く こ と )。 SSL では軽度の攻撃について あ る 程度保護す る こ と がで き ますが、 一般的には、 ユーザーの必要性に合っ た強 力なサ イ フ ァ を許可す る よ う サーバーを構成す る 必要があ り ます。 サ イ フ ァ には次の よ う な も のがあ り ま す。 最 も 優れた も のか ら 順に並んでい ます。 • 256 ビ ッ ト AES、 SHA-1 • 128 ビ ッ ト AES、 SHA-1 • 128 ビ ッ ト RC4、 MD5 • 128 ビ ッ ト RC4、 SHA-1 • ト リ プル DES、 SHA-1 • 56 ビ ッ ト RC4、 MD5 • 56 ビ ッ ト DES、 SHA-1 • 40 ビ ッ ト RC4、 MD5 • 40 ビ ッ ト DES、 SHA-1 ( ネ ッ ト ワ ー ク プ ロ キ シ サービ ス でのみ使用可 ) SSL 暗号化の構成 こ のアプ ラ イ ア ン ス では、 SSL 暗号化な ど の暗号アルゴ リ ズ ム ( つま り サ イ フ ァ ) を使用 し て、 デー タ 転送を 保護 し ます。 アプ ラ イ ア ン ス の暗号化設定を構成す る と き は、 ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を保護す る ため、 最 低で も 1 つのサ イ フ ァ を SSL と 組み合わせて使用で き る よ う に し ます。 通常、 ほ と ん ど の イ ン ス ト ールの場 合、 デフ ォ ル ト 設定で間に合い ま す。 176 | 第 7 章 - シ ス テム管理 X SSL 暗号化設定を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し て、 [SSL Encryption section] セ ク シ ョ ン の [Edit] リ ン ク を ク リ ッ ク し ます。 [Configure SSL Encryption] ページが表示 さ れ ま す。 2. ト ラ フ ィ ッ ク の暗号化に使用す る 転送プ ロ ト コ ルを選択 し ます。 • FIPS 140-2 準拠の暗号を許可す る 場合、 [Use only US government-recommended encryption] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 こ のオプシ ョ ン を選択す る と 、 TLS v1 プ ロ ト コ ル のみを使用す る よ う アプ ラ イ ア ン ス が構成 さ れ、 FIPS 準拠のサ イ フ ァ のみが有効にな り ま す。 (FIPS 対応 EX-1500 アプ ラ イ ア ン ス の場合、 こ れがデフ ォ ル ト 設定にな る 。 293 ページの 「FIPS ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ール」 を参照 し て く だ さ い。 ) • TLS v1 転送プ ロ ト コ ルのみを使用す る よ う アプ ラ イ ア ン ス を構成す る 場合、 [Use TLS v1 protocol only] を選択 し ます。 • SSL v3 転送プ ロ ト コ ルのみを使用す る よ う アプ ラ イ ア ン ス を構成す る 場合、 [Use SSL v1 protocol only] を選択 し ます。 • SSL v3 お よ び TLS v1 転送プ ロ ト コ ルを使用す る よ う アプ ラ イ ア ン ス を構成す る 場合、 [Use both protocols] を選択 し ま す。 3. SSL 接続でアプ ラ イ ア ン ス のア ク セ ス サービ ス (Web プ ロ キ シ、 ネ ッ ト ワ ー ク プ ロ キ シ、 ネ ッ ト ワ ー ク ト ン ネル ) が受け付け る サ イ フ ァ を選択 し ま す。 4. [Save] を ク リ ッ ク し ます。 メモ • [Use TLS v1 protocol only] オプシ ョ ン を選択す る と 、 Aventail Connect プ ロ キ シ ユーザーがアプ ラ イ ア ン ス にア ク セ ス で き な く な り ま す。 • FIPS 対応 EX-1500 アプ ラ イ ア ン ス を使用す る 場合は、 本書の 293 ページの 「FIPS ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ール」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 177 ソ フ ト ウ ェ ア ラ イセンス こ の節では、 アプ ラ イ ア ン ス コ ン ポーネ ン ト の ソ フ ト ウ ェ ア ラ イ セ ン ス を管理す る 方法について説明 し ま す。 Aventail アプ ラ イ ア ン ス では、 次の 2 種類の ラ イ セ ン ス を使用 し ます。 • ベース ア プ ラ イ ア ン ス ラ イ セ ン ス。 こ の ラ イ セ ン ス は、 同時ユーザーの数を監視 し 遵守す る と き に使用 し ます。 デフ ォ ル ト の場合、 同時ア ク テ ィ ブ ユーザーの制限を超え る と 、 ア ク テ ィ ブ ユーザーの数が ラ イ セ ン ス済みのユーザー制限を下回 る ま で、 ユーザー ア ク セ ス が制限を受け る こ と にな り ま す。 ただ し 、 ラ イ セ ン ス 契約に よ っ ては、 一定数のユーザー セ ッ シ ョ ン に限 り 、 制限を超え る こ と が認め ら れ ま す ( グ レ ース カ ウ ン ト )。 その場合、 ユーザー ア ク セ ス は許可 さ れ ますが、 過剰な使用については ロ ギ ン グ さ れ ます。 ただ し 、 ア ク テ ィ ブ ユーザー数が こ のグ レー ス カ ウ ン ト を超え た場合、 ア ク テ ィ ブ ユーザーの数がグ レー ス カ ウ ン ト を下回 る ま で、 ユーザー ア ク セ ス が制限を受け ます。 ユーザー ア ク セ ス が制限を受け た場合、 ユーザーが VPN に ロ グ イ ン し よ う と す る と 、 ラ イ セ ン ス数が超 え てい る ためネ ッ ト ワ ー ク へのア ク セ ス が拒否 さ れた こ と を示すエ ラ ー メ ッ セージが表示 さ れ ま す。 • コ ン ポーネ ン ト ラ イ セ ン ス。 特定のアプ ラ イ ア ン ス コ ン ポーネ ン ト ( た と えば Aventail OnDemand) の ラ イ セ ン ス の有効期限が切れた場合、 ユーザーがその コ ン ポーネ ン ト を使お う と す る と 、 ASAP WorkPlace でエ ラ ー メ ッ セージが表示 さ れ ま す。 Aventail アプ ラ イ ア ン ス には、 1,000 人のユーザーの同時使用を 3 日間サポー ト す る デフ ォ ル ト ラ イ セ ン ス が付属 し てい ます。 こ の 3 日間を過ぎ て も アプ ラ イ ア ン ス を使い続け る 場合は、 有効な ラ イ セ ン ス フ ァ イ ルを ア ッ プ ロ ー ド し なければな り ま せん。 メモ • Federal Information Processing Standard (FIPS) をサポー ト す る アプ ラ イ ア ン ス の場合、 別の ラ イ セ ン ス が必要にな り ます。 詳細については、 293 ページの 「FIPS ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ール」 を参照 し て く だ さ い。 ラ イセンスの詳細の表示 AMC では、 ベー ス アプ ラ イ ア ン ス ラ イ セ ン ス の他、 Aventail OnDemand や Aventail Connect な ど、 他に 購入 し てい る アプ ラ イ ア ン ス コ ン ポーネ ン ト の ラ イ セ ン ス について、 その ス テー タ ス を参照で き る よ う にな っ てい ま す。 こ の節では、 ラ イ セ ン ス の ス テー タ ス を表示す る 方法について説明 し ま す。 X ラ イ セ ン スの詳細を表示する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [General Settings] を ク リ ッ ク し て、 [Licensing] セ ク シ ョ ン の [Edit] リ ン ク を ク リ ッ ク し ま す。 [Manage Licenses] ページが表示 さ れ ます。 2. 表示 さ れ る デー タ を確認 し ます。 • [Product name] には、 ラ イ セ ン ス が適用 さ れ る Aventail アプ ラ イ ア ン ス の タ イ プが表示 さ れ ま す。 • [License holder] には、 アプ ラ イ ア ン ス が ラ イ セ ン ス さ れ る エ ン テ ィ テ ィ の名前が表示 さ れ ま す。 • [Maximum concurrent users] には、 ベース アプ ラ イ ア ン ス ラ イ セ ン ス で許可 さ れてい る 同 時ユーザー セ ッ シ ョ ン の最大数が表示 さ れ ます。 1 つの同時ユーザーは、 単一 IP ア ド レ ス か ら の単 一 ロ グ イ ン に相当 し ま す。 ユーザーは、 ロ グ オ フ し た時点ま たは ク レデン シ ャ ルの期限が切れた時点 で カ ウ ン ト 対象か ら 外 さ れ ま す。 • [Appliance serial number] には、 アプ ラ イ ア ン ス に イ ン ポー ト し た ラ イ セ ン ス フ ァ イ ルに記 載 さ れてい る シ リ アル番号が表示 さ れ ます。 こ のシ リ アル番号は、 Aventail のテ ク ニ カル サポー ト にお問い合わせの際、 必要にな り ます。 こ の番号は、 メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーの下部に も 表 示 さ れてい ます。 178 | 第 7 章 - シ ス テム管理 • [Component] お よ び [License type] には、 個別の ソ フ ト ウ ェ ア コ ン ポーネ ン ト ラ イ セ ン ス の 詳細が表示 さ れ ます。 ラ イ セ ン ス が一時 ラ イ セ ン ス ま たは評価版 ラ イ セ ン ス の場合、 有効期限 も 表示 さ れ ま す。 ラ イ セ ン ス の有効期限が近づいてい る 場合、 ま たは ラ イ セ ン ス の有効期限が切れた場合、 こ のエ リ ア ま たは AMC ス テー タ ス エ リ アに警告 メ ッ セージが表示 さ れ ます。 ラ イセンスの管理 こ の節では、 ラ イ セ ン ス フ ァ イ ルを アプ ラ イ ア ン ス に イ ン ポー ト す る 方法 と 、 アプ ラ イ ア ン ス か ら 有効期限切 れの ラ イ セ ン ス を削除す る 方法について説明 し ます。 (Aventail OnDemand、 Aventail Connect、 Aventail Secure Desktop な ど の ) 一部の コ ン ポーネ ン ト の場 合、 個別に購入 し な ければな り ません。 こ れ ら の コ ン ポーネ ン ト を購入す る と 、 ソ フ ト ウ ェ ア ラ イ セ ン ス フ ァ イ ルを受け取 る こ と にな り ま す。 こ れ ら の コ ン ポーネ ン ト を有効にす る 前に、 AMC を使用 し て、 有効な ラ イ セ ン ス フ ァ イ ルを ア ッ プ ロ ー ド し な ければな り ません。 追加の コ ン ポーネ ン ト を購入す る 方法については、 Aventail チ ャ ネル パー ト ナーにお問い合わせ く だ さ い。 ま た、 た と えばアプ ラ イ ア ン ス の購入を決定 し た後、 評価版 ラ イ セ ン ス を永続 ラ イ セ ン ス で置換す る 場合な ど は、 ベース アプ ラ イ ア ン ス ラ イ セ ン ス フ ァ イ ルを イ ン ポー ト す る 必要 も あ り ます。 ! 注意 ラ イ セ ン ス フ ァ イルを イ ン ポー ト する と き、 ア プ ラ イ ア ン スの日付 と 時刻の設定が タ イ ムゾーン に 合わせて正 し く 構成 さ れてい る こ と を あ ら か じ め確認 し て く だ さ い。 シ ス テム ク ロ ッ ク 設定の構成の詳 細については、 143 ページの 「時刻設定の構成」 を参照 し て く だ さ い。 X ラ イ セ ン ス フ ァ イルを イ ンポー ト する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [General Settings] を ク リ ッ ク し て、 [Licensing] セ ク シ ョ ン の [Edit] リ ン ク を ク リ ッ ク し ま す。 [Manage Licenses] ページが表示 さ れ ます。 2. [Import License] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Import License File] ページが表示 さ れ ます。 3. [License file] ボ ッ ク ス に ラ イ セ ン ス フ ァ イ ルのパ ス を入力す る か、 [Browse] を ク リ ッ ク し て、 適切 な フ ァ イ ルを ブ ラ ウ ズ し ま す。 4. [Save] を ク リ ッ ク し ます。 有効期限切れのラ イセンス コ ンポーネン ト の削除 有効期限切れの コ ン ポーネ ン ト ラ イ セ ン ス は、 アプ ラ イ ア ン ス か ら 削除す る こ と がで き ま す ( た と えば、 評価 版 ラ イ セ ン ス を発行 さ れた コ ン ポーネ ン ト を購入 し ない場合 )。 有効期限切れの ラ イ セ ン ス を更新す る 場合は、 Aventail チ ャ ネル パー ト ナーにお問い合わせの上、 新 し い ラ イ セ ン ス フ ァ イ ルを受け取っ て く だ さ い。 ベー ス アプ ラ イ ア ン ス ラ イ セ ン ス は削除す る こ と がで き ません。 X 有効期限切れの コ ンポーネ ン ト ラ イ セ ン ス を削除する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [General Settings] を ク リ ッ ク し て、 [Licensing] セ ク シ ョ ン の [Edit] リ ン ク を ク リ ッ ク し ま す。 [Manage Licenses] ページが表示 さ れ ます。 2. コ ン ポーネ ン ト ラ イ セ ン ス の有効期限が切れた ら 、 [License type] エ リ アに 「expired」 と い う メ ッ セージが表示 さ れ、 [Clear Expired License] ボ タ ン があわせて表示 さ れ ま す。 こ の [Clear Expired License] ボ タ ン を ク リ ッ ク す る と 、 有効期限切れの ラ イ セ ン ス フ ァ イ ルを アプ ラ イ ア ン ス か ら 削除す る こ と がで き ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 179 第8章 End Point Control Aventail アプ ラ イ ア ン ス では、 重要なデー タ を保護す る ための複数の 「End Point Control」 コ ン ポーネ ン ト がサポー ト さ れてお り 、 ネ ッ ト ワ ー ク が、 信頼 さ れていない環境の PC か ら ア ク セ ス を受け て も 危険を回避 し ます。 従来の VPN ソ リ ュ ーシ ョ ン では通常、 企業の ノ ー ト 型 PC か ら の比較的安全な ア ク セ ス のみを許可 し てい ま す。 こ の よ う な環境で、 セ キ ュ リ テ ィ 上大 き な懸念にな る のが、 許可 さ れていないネ ッ ト ワ ー ク ア ク セ ス で す。 SSL VPN では、 任意の Web 対応シ ス テ ムか ら ア ク セ ス で き る ため、 空港やホ テルのキオ ス ク 端末、 従業 員が所有す る PC な ど、 信頼 さ れていない環境の PC か ら ア ク セ ス があ っ た場合、 危険性が増大 し ます。 End Point Control では、 エ ン ド ユーザー デバ イ ス の状態を評価す る ためのプ ロ セ ス も 必要にな り ます。 概要 : End Point Control 従来の VPN ソ リ ュ ーシ ョ ン では通常、 企業の ノ ー ト 型 PC か ら の比較的安全な ア ク セ ス のみを許可 し てい ま す。 こ の よ う な環境で、 セ キ ュ リ テ ィ 上大 き な懸念にな る のが、 許可 さ れていないネ ッ ト ワ ー ク ア ク セ ス で す。 SSL VPN では、 任意の Web 対応シ ス テ ムか ら ア ク セ ス で き る ため、 空港やホ テルのキオ ス ク 端末、 従業 員が所有す る PC な ど、 信頼 さ れていない環境の PC か ら ア ク セ ス があ っ た場合、 危険性が増大 し ます。 Aventail End Point Control では、 次の 3 つの方法で、 信頼 さ れていない環境か ら のア ク セ ス を防止 し ま す。 • ユーザーの環境が安全であ る こ と を確認 企業の IT 部門では、 ア ン チ ウ イ ル ス ソ フ ト ウ ェ アやフ ァ イ ア ウ ォ ールの他、 悪意のあ る ソ フ ト ウ ェ ア ( 「マル ウ ェ ア」 ) か ら 保護す る ためのセーフ ガー ド ソ フ ト ウ ェ ア な ど を使用 し て、 PC を管理下に置いてい ます。 一方、 管理 さ れていない PC の場合、 キー ス ト ロ ー ク レ コ ーダー、 ウ イ ル ス、 ト ロ イ の木馬な ど、 ネ ッ ト ワ ー ク を危険に陥れ る 因子が簡単に入っ て き ま す。 Aventail では、 ユーザーを認証す る 前に、 ク ラ イ ア ン ト シ ス テ ム上のマル ウ ェ ア を自動的にチ ェ ッ ク す る 、 サー ド パーテ ィ の 「 ク ラ イ ア ン ト イ ン テ グ リ テ ィ 」 コ ン ト ロ ール と も 統合で き る よ う にな っ てい ま す。 ま た Aventail では、 ユーザーのエ ン ド ポ イ ン ト で信頼の レベルに応 じ て異な る ア ク セ ス レベルを割 り 当て る 「信頼ゾーン」 を定義す る こ と がで き ます。 接続要求が、 AMC で設定 さ れた 「デバ イ ス プ ロ フ ァ イ ル」 と 比較 さ れ、 適切な ゾーン に割 り 当て ら れ ま す。 • セ ッ シ ョ ン後、 ユーザー デー タ を PC か ら 削除 Web ブ ラ ウ ザの場合、 重要なデー タ を、 信頼 さ れていない PC に不用意に残 し て し ま う 可能性があ り ま す。 た と えば、 キオ ス ク 端末か ら ロ グ イ ン し たユーザーは、 PC のキ ャ ッ シ ュ に、 パ ス ワ ー ド 、 ブ ラ ウ ザ の ク ッ キー、 ブ ッ ク マー ク し た URL な ど、 さ ま ざ ま なデー タ を残す こ と にな り ます。 ま た、 フ ァ イ ルや 電子 メ ールの添付フ ァ イ ルをハー ド デ ィ ス ク 上に残 し て し ま う こ と も あ り ま す。 Aventail の 「デー タ 保護」 エージ ェ ン ト は、 PC か ら セ ッ シ ョ ン を自動的に削除 し ま す。 • 重要な リ ソ ースへのア ク セ ス を制御 End Point Control ゾーンは、 ア ク セ ス 制御ルールか ら も 参照で き る ため、 信頼性の低い EPC ゾーン か ら 接続が試み ら れた場合、 重要な リ ソ ー ス へのア ク セ ス を制御す る こ と がで き ます。 180 | 第 8 章 - End Point Control Aventail が End Point Control でゾーン とデバイス プロ フ ァ イルを使用する方法 アプ ラ イ ア ン ス では、 End Point Control が コ ミ ュ ニ テ ィ レベルで管理 さ れ イ ン ス ト ール さ れ ます。 コ ミ ュ ニ テ ィ は、 同様のア ク セ ス要件を持つユーザーま たはグループの集ま り です。 認証 レルム ( ユーザーがアプ ラ イ ア ン ス に入 る と き の入口 ) は、 1 つま たは複数の コ ミ ュ ニ テ ィ を参照 し ます。 一方で コ ミ ュ ニ テ ィ は、 1 つ ま たは複数の EPC ゾーン を参照 し ま す。 EPC ゾーンは、 1 つ ま たは複数のデバ イ ス プ ロ フ ァ イ ルを参照す る こ と がで き ます。 こ のデバ イ ス プ ロ フ ァ イ ルは、 ク ラ イ ア ン ト コ ン ピ ュ ー タ 上に存在す る 属性を定義す る も の です。 End Point Control プ ロ セ ス は、 次の よ う に動作 し ま す。 1. ユーザーがアプ ラ イ ア ン ス に接続 し 、 認証レ ルム に ロ グ イ ン し ます。 2. アプ ラ イ ア ン ス が、 こ のユーザーを、 その レ ルム に所属す る コ ミ ュ ニ テ ィ に割 り 当て ます。 3. アプ ラ イ ア ン ス は、 ユーザーの コ ン ピ ュ ー タ に照会す る こ と に よ り 、 コ ミ ュ ニ テ ィ のいずれかの EPC ゾーン で定義 さ れてい る 属性 と 一致す る 属性があ る ( デバ イ ス プ ロ フ ァ イ ルに含 ま れてい る ) か判定 し ます。 4. デバ イ ス がプ ロ フ ァ イ ル と 一致す る 場合、 アプ ラ イ ア ン ス は、 その コ ン ピ ュ ー タ を その EPC ゾーンに分 類 し 、 その ゾーン で構成 さ れてい る EPC ツールを イ ン ス ト ール し ます。 次の図は、 ゾーンお よ びデバ イ ス プ ロ フ ァ イ ルを参照す る コ ミ ュ ニ テ ィ が含 まれ る レルム にユーザーが ロ グ イ ンす る と き に、 アプ ラ イ ア ン ス に よ っ て実行 さ れ る 評価プ ロ セ ス を示 し てい ます。 コ ミ ュ ニ テ ィ が複数のゾーン を参照す る 場合、 アプ ラ イ ア ン ス は接続要求を評価 し 、 一致す る デバ イ ス プ ロ フ ァ イ ルを持つゾーン が見つか る ま で、 コ ミ ュ ニ テ ィ リ ス ト に記述 さ れてい る ゾーン を調べ ます。 最初の ゾー ン に一致す る も のがなか っ た場合、 アプ ラ イ ア ン ス は次の ゾーン に進み、 接続要求がそのデバ イ ス プ ロ フ ァ イ ル と 一致す る かチ ェ ッ ク し ま す。 こ の調子で、 コ ミ ュ ニ テ ィ のゾーン の リ ス ト を次々に調べてい き ま す。 ど の ゾーン に も 一致す る も のが見つか ら なか っ た場合、 デバ イ ス は、 自動的にグ ロ ーバル デフ ォ ル ト ゾーン を割 り 当て ます。 デフ ォ ル ト ゾーンについては、 191 ページの 「デフ ォ ル ト ゾーンの使用」 で説明 し てい ま す。 例 た と えば、 「Employees」 レ ルム の メ ンバーが、 IT 部門が管理す る ノ ー ト 型 PC か ら 接続す る 場合、 そのユー ザーに企業のネ ッ ト ワ ー ク リ ソ ース に対す る ア ク セ ス権を割 り 当てたい と 仮定 し ます。 こ の よ う な場合、 「IT Trusted Laptop」 と い う 名前のデバ イ ス プ ロ フ ァ イ ルを参照す る 「IT Managed」 と い う 名前の ゾーン を作成 す る こ と がで き ま す。 こ の例の場合、 こ のデバ イ ス プ ロ フ ァ イ ルに、 ユーザーの企業 ノ ー ト PC についての個 別の属性が存在 し な ければな り ま せん。 た と えば、 ア ン チ ウ イ ル ス プ ロ グ ラ ム、 企業固有のアプ リ ケーシ ョ ン の フ ァ イ ル名 と デ ィ レ ク ト リ 、 企業アプ リ ケーシ ョ ン の レ ジ ス ト リ キー、 パー ソ ナル フ ァ イ ア ウ ォ ール、 企 業 ド メ イ ン内の メ ンバーシ ッ プな ど が こ れに該当 し ま す。 AMC で こ の ゾーン と デバ イ ス プ ロ フ ァ イ ルを構成 し た後、 その ゾーン を 「Employees」 レ ルム に追加 し ま す。 従業員が ロ グ イ ン し 「Employees」 レ ルム を選択す る と 、 アプ ラ イ ア ン ス はその コ ン ピ ュ ー タ をチ ェ ッ ク し 、 必要なデバ イ ス属性を探 し ます。 従業員の ノ ー ト 型 PC が、 デバ イ ス プ ロ フ ァ イ ル と 完全に一致 し た場合、 ア プ ラ イ ア ン ス は、 それを 「IT Managed」 ゾーン に入れ ま す。 こ れ以降、 そのユーザーには、 その レルム に対 す る 適切な ア ク セ ス エージ ェ ン ト が与え ら れ る ため、 ネ ッ ト ワ ー ク リ ソ ー ス にア ク セ ス で き る よ う にな り ま す。 ゾーン と デバ イ ス の使用例については、 181 ページの 「End Point Control のシナ リ オ」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 181 End Point Control のシナリ オ こ の節では、 ゾーン と デバ イ ス プ ロ フ ァ イ ルを使用 し て、 接続要求を分類 し End Point Control ツールを ク ラ イ ア ン ト に イ ン ス ト ールす る 、 一般的な End Point Control シナ リ オについて説明 し ま す。 シナ リ オ 1 : IT の管理下にあ る ノ ー ト 型 PC か ら 従業員が接続する場合 こ のシナ リ オでは、 最初に従業員が、 IT の管理下にあ る ノ ー ト 型 PC か ら アプ ラ イ ア ン ス に接続 し ま す。 n 䮭䯃䭽䯃⸽ IT 䬽▤ℂਅ䬺䬑䭚 䮕䯃䮏ဳ PC 䬽ᓥᬺຬ 䭶䮰䭫䭩䮺䮏䬽䮎䮗䭫䮀 䮞䮴䮜䭨䭫䮲䭡ᾖળ ᬌ : y 䮳䭿䮀䮏䮱䎃䭴䯃 y 䭩䮺䮈䭭䭫䮲䮀䎃䮄䮜䮏䭭䭮䭩 y 䭩䮞䮱䭸䯃䭾䮮䮺 p 䭶䮰䭫䭩䮺䮏䬛䬄IT Managed䬅 䮎䮗䭫䮀 䮞䮴䮜䭨䭫䮲䬷৻⥌ IT managed laptop r ⸽䭼䯃䮗䯃 䮅䯃䮺 䮎䮗䭫䮀䎃䮞䮴䮜䭨䭫䮲 Employee home PC 䭶䮰䭫䭩䮺䮏䬶䬽 䮎䯃䮆⼔䬾ਇⷐ o 䬄Employees䬅 䮳䮲䮧 䬄Default䬅 䭺䮦䮬䮒䮍䭪 Trusted - IT 䭶䮰䭫䭩䮺䮏䬛䬄Trusted - IT䬅 q 䮅䯃䮺䬺ಽ㘃 Semi-trusted - Home Default こ の例では、 イ ベン ト が次の よ う に発生 し ま す。 1. ユーザーがアプ ラ イ ア ン ス に接続 し 「Employees」 レ ルムに ロ グ イ ン し ます。 ユーザーは 「Default」 コ ミ ュ ニ テ ィ に割 り 当て ら れ ま す。 2. ユーザーが認証 さ れ る と 、 ク ラ イ ア ン ト デバ イ ス が照会 さ れ、 「Default」 コ ミ ュ ニ テ ィ が参照す る ゾー ン内に こ れ と 一致す る デバ イ ス プ ロ フ ァ イ ルがあ る か判定 さ れ ま す。 デバ イ ス プ ロ フ ァ イ ルは、 ゾーン 単位で評価 さ れ、 コ ミ ュ ニ テ ィ に リ ス ト さ れてい る 最初の ゾーン ( こ の例では 「Trusted - IT」 ゾーン ) か ら 順にチ ェ ッ ク さ れ ま す。 3. 「Trusted - IT」 ゾーンは、 「IT Managed laptop」 と い う 名前のデバ イ ス プ ロ フ ァ イ ルを参照 し てい ま す。 アプ ラ イ ア ン ス は、 ユーザーのデバ イ ス属性が、 「IT Managed laptop」 プ ロ フ ァ イ ルで構成 さ れて い る も の ( レ ジ ス ト リ キー エ ン ト リ 、 ア ンチ ウ イ ル ス ソ フ ト ウ ェ ア、 アプ リ ケーシ ョ ン ) と 一致 し てい る と 判定 し ま す。 4. アプ ラ イ ア ン ス は、 その一致に基づいて、 こ のデバ イ ス を 「Trusted - IT」 ゾーンに分類 し 、 こ の コ ミ ュ ニ テ ィ で リ ス ト さ れてい る それ以降の 2 つの ゾーン については評価 し ま せん。 5. 「Trusted - IT」 ゾーン の場合は、 ク ラ イ ア ン ト 側にデー タ 保護ツールがな く て も か ま い ま せん。 こ の時 点で、 「Default」 コ ミ ュ ニ テ ィ は、 こ のユーザーに対 し て、 こ の コ ミ ュ ニ テ ィ 用に構成 さ れてい る ア ク セ ス エージ ェ ン ト を提供 し ます。 こ れに よ り 、 ユーザーは、 適切なネ ッ ト ワ ー ク リ ソ ー ス にア ク セ ス で き る よ う にな り ます。 182 | 第 8 章 - End Point Control シナ リ オ 2 : ホーム PC か ら 従業員が接続する場合 こ のシナ リ オでは、 最初に従業員が、 ホーム PC か ら アプ ラ イ ア ン ス に接続 し ま す。 n 䮭䯃䭽䯃⸽ 䮢䯃䮧 PC 䬽ᓥᬺຬ 䭶䮰䭫䭩䮺䮏䬽䮎䮗䭫䮀 䮞䮴䮜䭨䭫䮲䭡ᾖળ ᬌ : y 䭩䮺䮈䭭䭫䮲䮀䎃䮄䮜䮏䭭䭮䭩 y 䮘䯃䮄䮑䮲䎃䮜䭨䭫䭩䭭䭰䯃䮲 p 䭶䮰䭫䭩䮺䮏䬛䬄Employee home PC䬅䮎䮗䭫䮀 䮞䮴 䮜䭨䭫䮲䬷৻⥌ o 䬄Employees䬅 䮳䮲䮧 䬄Default䬅 䭺䮦䮬䮒䮍䭪 ⸽䭼䯃䮗䯃 䮅䯃䮺 䮎䮗䭫䮀䎃䮞䮴䮜䭨䭫䮲 Trusted - IT IT managed laptop Semi-trusted - Home q 䭶䮰䭫䭩䮺䮏䬛䬄Semi-Trusted - Home䬅䮅䯃䮺䬺ಽ㘃 Employee home PC Aventail Cache Control 䬛䭶䮰䭫䭩䮺䮏䬺䭫䮺䮀䮏䯃䮲 r Default こ の例では、 イ ベン ト が次の よ う に発生 し ま す。 1. ユーザーがアプ ラ イ ア ン ス に接続 し 「Employees」 レ ルムに ロ グ イ ン し ます。 ユーザーは 「Default」 コ ミ ュ ニ テ ィ に割 り 当て ら れ ま す。 2. ユーザーが認証 さ れ る と 、 ク ラ イ ア ン ト デバ イ ス が照会 さ れ、 「Default」 コ ミ ュ ニ テ ィ が参照す る ゾー ン内に こ れ と 一致す る デバ イ ス プ ロ フ ァ イ ルがあ る か判定 さ れ ま す。 デバ イ ス プ ロ フ ァ イ ルは、 ゾーン 単位で評価 さ れ、 コ ミ ュ ニ テ ィ に リ ス ト さ れてい る 最初の ゾーン ( こ の例では 「Trusted - IT」 ゾーン ) か ら 順にチ ェ ッ ク さ れ ま す。 こ のシナ リ オでは、 ク ラ イ ア ン ト が最初の ゾーン のデバ イ ス プ ロ フ ァ イ ル と 一致 し なか っ たため、 リ ス ト 内の 2 番目の ゾーン 「Semi-Trusted - Home」 に進み ます。 3. 「Semi-Trusted - Home」 ゾーン は、 「Employee home PC」 と い う 名前のデバ イ ス プ ロ フ ァ イ ルを参 照 し てい ま す。 アプ ラ イ ア ン ス は、 ユーザーのデバ イ ス 属性が、 「Employee home PC」 デバ イ ス プ ロ フ ァ イ ルで構成 さ れてい る も の ( ア ンチ ウ イ ル ス ソ フ ト ウ ェ アお よ びパー ソ ナル フ ァ イ ア ウ ォ ール ) と 一致 し てい る と 判定 し ます。 4. アプ ラ イ ア ン ス は、 その一致に基づいて、 こ のデバ イ ス を 「Semi-Trusted - Home」 ゾーン に分類 し 、 こ の コ ミ ュ ニ テ ィ で リ ス ト さ れてい る それ以降のゾーン については評価 し ま せん。 5. 「Semi-Trusted - Home」 ゾーン の場合は、 ク ラ イ ア ン ト 側にデー タ 保護ツールがな く て も か ま わない ため、 Aventail Cache Control が ク ラ イ ア ン ト に イ ン ス ト ール さ れ ま す。 こ の時点で、 「Default」 コ ミ ュ ニ テ ィ は、 こ のユーザーに対 し て、 こ の コ ミ ュ ニ テ ィ 用に構成 さ れてい る ア ク セ ス エージ ェ ン ト を提供 し ます。 こ れに よ り 、 ユーザーは、 適切なネ ッ ト ワ ー ク リ ソ ー ス にア ク セ ス で き る よ う にな り ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 183 シナ リ オ 3 : キオス ク 端末か ら 従業員が接続する場合 こ のシナ リ オでは、 最初に従業員が、 キオ ス ク 端末か ら アプ ラ イ ア ン ス に接続 し ま す。 n 䮭䯃䭽䯃⸽ 䭴䭱䮀䭶┵ᧃ䬽ᓥᬺຬ 䭶䮰䭫䭩䮺䮏䬽䮎䮗䭫䮀 䮞䮴䮜䭨䭫䮲䭡ᾖળ ᬌ : y o 䬄Employees䬅 䮳䮲䮧 䬄Default䬅 䭺䮦䮬䮒䮍䭪 䮅䯃䮺 䮎䮗䭫䮀䎃䮞䮴䮜䭨䭫䮲 䬹䬦 ⸽䭼䯃䮗䯃 Trusted - IT p ৻⥌䬨䭚䮎䮗䭫䮀 䮞䮴䮜䭨䭫䮲䬛䬹䬓 IT managed laptop Semi-trusted - Home Employee home PC Aventail Secure Desktop 䬛 䭶䮰䭫䭩䮺䮏䬺䭫䮺䮀䮏䯃䮲 r Default q 䭶䮰䭫䭩䮺䮏䬛䬄Default䬅 䮅䯃䮺䬺ಽ㘃 こ の例では、 イ ベン ト が次の よ う に発生 し ま す。 1. ユーザーがアプ ラ イ ア ン ス に接続 し 「Employees」 レ ルムに ロ グ イ ン し ます。 ユーザーは 「Default」 コ ミ ュ ニ テ ィ に割 り 当て ら れ ま す。 2. ユーザーが認証 さ れ る と 、 ク ラ イ ア ン ト デバ イ ス が照会 さ れ、 「Default」 コ ミ ュ ニ テ ィ が参照す る ゾー ン内に こ れ と 一致す る デバ イ ス プ ロ フ ァ イ ルがあ る か判定 さ れ ま す。 デバ イ ス プ ロ フ ァ イ ルは、 ゾーン 単位で評価 さ れ、 コ ミ ュ ニ テ ィ に リ ス ト さ れてい る 最初の ゾーン ( こ の例では 「Trusted - IT」 ゾーン ) か ら 順にチ ェ ッ ク さ れ ま す。 こ のシナ リ オでは、 ク ラ イ ア ン ト が最初の ゾーンお よ び 2 番目のゾーン の プ ロ フ ァ イ ル と 一致 し なか っ たため、 リ ス ト 内の最後のゾーン 「Default」 に進みます。 3. アプ ラ イ ア ン ス は、 キオ ス ク 端末 ク ラ イ ア ン ト の属性が、 「Default」 コ ミ ュ ニテ ィ のデバ イ ス プ ロ フ ァ イ ル と 一致 し ない と 判定 し ま す。 4. アプ ラ イ ア ン ス は、 こ のデバ イ ス を 「Default」 ゾーン に分類 し ます。 コ ミ ュ ニ テ ィ 内の他のデバ イ ス プ ロ フ ァ イ ル と 一致 し ない ク ラ イ ア ン ト は自動的に 「Default」 に割 り 当て ら れ ます。 「Default」 ゾーンは、 AMC で構成 さ れたすべての コ ミ ュ ニ テ ィ に暗黙的に存在す る グ ロ ーバル ゾーン で す。 こ こ で割 り 当て ら れたすべての接続要求に対 し て、 VPN ア ク セ ス を ブ ロ ッ ク す る 構成、 ま たは VPN ア ク セ ス を許可す る 構成にな っ てい ま す。 詳細については、 191 ページの 「デフ ォ ル ト ゾーン の使用」 を参照 し て く だ さ い。 5. こ のシナ リ オの場合、 「Default」 ゾーンは、 Aventail Secure Desktop (ASD) を ク ラ イ ア ン ト に イ ン ス ト ールで き る 場合、 VPN ア ク セ ス を許可す る 構成にな っ てい ま す。 ASD は、 オプ シ ョ ン のデー タ 保護 コ ン ポーネ ン ト ( 別売 ) で、 Windows ユーザーに対 し て広範なデー タ 保護を行い ます。 キオ ス ク 端末で Windows XP ま たは 2000 が動作 し 、 サポー ト さ れてい る ブ ラ ウ ザが動作 し てい る 場合、 ASD が イ ン ス ト ール さ れ ま す。 こ の時点で、 「Default」 コ ミ ュ ニ テ ィ は、 こ のユーザーに対 し て、 こ の コ ミ ュ ニテ ィ 用 に構成 さ れてい る ア ク セ ス エージ ェ ン ト を提供 し ま す。 こ れに よ り 、 ユーザーは、 適切なネ ッ ト ワ ー ク リ ソ ー ス にア ク セ ス で き る よ う にな り ます。 ただ し 、 キオ ス ク 端末のオペ レーテ ィ ン グ シ ス テ ムやブ ラ ウ ザが ASD と 互換でない場合、 アプ ラ イ ア ン ス は、 Aventail Cache Control (ACC) を代わ り に イ ン ス ト ール し ま す。 ASD も ACC も ク ラ イ ア ン ト に ロ ー ド で き ない場合は、 ユーザーの接続要求が拒否 さ れ ま す。 184 | 第 8 章 - End Point Control ゾーンおよびデバイス プロ フ ァ イルによる EPC の管理 End Point Control では、 ゾーン の使用を通 じ て、 デー タ 保護 コ ン ポーネ ン ト を ユーザーに提供 し ます。 こ の ゾーン が、 接続要求を ク ラ イ ア ン ト デバ イ ス の属性に基づいて分類す る 「信頼ゾーン」 です。 デバ イ ス プ ロ フ ァ イ ルは、 ク ラ イ ア ン ト を識別 し ゾーン に割 り 当て る 上で必要な属性を定義す る も ので、 次の項目を入れ る こ と がで き ま す。 • ア ンチ ウ イ ル ス ソ フ ト ウ ェ ア • パー ソ ナル フ ァ イ ア ウ ォ ール • アプ リ ケーシ ョ ン • ディ レク ト リ名 • フ ァ イ ル名 • フ ァ イル サイ ズ • フ ァ イル タ イ ム ス タ ンプ • Windows レ ジ ス ト リ エ ン ト リ • Windows ド メ イ ン • Windows バージ ョ ン 1 つの EPC ゾーン か ら は、 1 つ ま たは複数のデバ イ ス プ ロ フ ァ イ ルを参照す る こ と がで き ます。 ゾーンが複 数のデバ イ ス プ ロ フ ァ イ ルを参照 し てい る と き 、 いずれかのデバ イ ス プ ロ フ ァ イ ル と 属性が一致す る ク ラ イ ア ン ト コ ン ピ ュ ー タ は、 その ゾーン に割 り 当て ら れ ます。 こ れは、 た と えば同様の VPN ア ク セ ス要件を持つ 複数のユーザーが存在 し 、 異な る コ ン ピ ュ ー タ プ ラ ッ ト フ ォ ーム を利用 し てい る 場合な ど に使用す る と 便利で す。 た と えば、 Windows コ ン ピ ュ ー タ のデバ イ ス プ ロ フ ァ イ ルを参照す る EPC ゾーン と 、 Macintosh コ ン ピ ュ ー タ を参照す る ゾーン を用意す る こ と がで き ま す。 AMC は、 Windows、 Macintosh、 Linux、 PocketPC と PDAs、 Mobile Phone 用のデバ イ ス プ ロ フ ァ イ ルをサポー ト し てい ま す。 AMC には、 デフ ォ ル ト ゾーン と い う 定義済みの ゾーンがあ り ます。 こ の ゾーンは削除す る こ と がで き ません。 デフ ォ ル ト ゾーンは、 接続要求が他のゾーンの基準 と 一致 し ない場合に VPN ア ク セ ス を許可 ま たはブ ロ ッ ク す る ためのグ ロ ーバルな安全装置 と し て機能 し ま す。 詳細については、 191 ページの 「デフ ォ ル ト ゾーンの使 用」 を参照 し て く だ さ い。 こ のアプ ラ イ ア ン ス には、 共通のア ク セ ス シナ リ オに合わせて構成 さ れてい る ゾーン と デバ イ ス プ ロ フ ァ イ ル も あ り ま す。 End Point Control をす ぐ に開始 し たい と き は、 こ れ ら の ゾーン と デバ イ ス プ ロ フ ァ イ ルを そ の ま ま 使用す る こ と がで き ま す。 ま た、 特定の要件に合わせて、 こ れを カ ス タ マ イ ズ し て使用す る こ と も で き ます。 ゾーン と デバ イ ス プ ロ フ ァ イ ルは、 さ ま ざ ま な ア ク セ ス シナ リ オ と 信頼レベル ( た と えば従業員、 ビ ジ ネ ス パー ト ナー、 請負業者別のゾーン ) に対応す る 上で必要で あれば、 い く ら で も 作成す る こ と がで き ます。 191 ページの 「定義済みの ゾーンお よ びデバ イ ス プ ロ フ ァ イ ルの使用」 を参照 し て く だ さ い。 ユーザーの認証後、 そのユーザーが使用で き る ゾーン を指定す る 場合は、 コ ミ ュ ニ テ ィ を使用 し ま す。 ゾーン を コ ミ ュ ニ テ ィ に リ ン ク す る 方法については、 127 ページの 「 コ ミ ュ ニ テ ィ での End Point Control の使用」 を参照 し て く だ さ い。 ま た、 ユーザー、 グループ、 リ ソ ース な ど と 同 じ よ う に、 ゾーン を ア ク セ ス ポ リ シー と 対応 さ せ る こ と も で き ま す。 End Point Control の有効化と無効化 AMC では、 End Point Control はデフ ォ ル ト で無効にな っ てい ま す。 AMC では、 EPC を グ ロ ーバルに有効化 ま たは無効化す る こ と がで き ます。 X End Point Control を有効にする には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 こ の操作に よ り 、 [End Point Control] ページが表示 さ れ ます。 2. [Enable End Point Control] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 End Point Control が無効にな っ てい る と き 、 次の EPC 動作は実行 さ れな く な り ます。 • ク ラ イ ア ン ト デバ イ ス の属性の評価 • ゾーンへの接続要求の分類 • ア ク セ ス制御ルールのゾーン制約の強制 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 185 ゾーンおよびデバイス プロ フ ァ イルの表示 AMC で構成 さ れてい る ゾーン と デバ イ ス プ ロ フ ァ イ ルは、 [Zones and Device Profiles] ページで参照す る こ と がで き ま す。 X 構成 さ れてい る ゾーン と デバイ ス プ ロ フ ァ イ ルを表示する には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 2. [End Point Control] ページでは、 AMC で構成 さ れてい る ゾーン と デバ イ ス プ ロ フ ァ イ ルが リ ス ト さ れ ま す。 ま た、 EPC エージ ェ ン ト の ス テー タ ス も リ ス ト さ れ ます。 ゾーン ま たはデバ イ ス プ ロ フ ァ イ ル の名前を ク リ ッ ク す る こ と で、 その設定を表示 し た り 編集 し た り す る こ と がで き ます。 3. [End Point Control zones] リ ス ト に表示 さ れてい る デー タ を確認 し ます。 4. • チ ェ ッ ク ボ ッ ク ス 列は、 1 つ ま たは複数の ゾーン を選択す る と き に使用 し ます。 ゾーン の削除や コ ピーな ど を行 う と き に こ れを使用 し ま す。 • プ ラ ス 記号 (+) の列を ク リ ッ ク す る と 、 選択 し た ゾーン が拡大 さ れ、 それに対応す る デバ イ ス プ ロ フ ァ イ ル と コ ミ ュ ニ テ ィ が表示 さ れ ま す。 • [Name] 列には、 ゾーン を作成す る と き に割 り 当てた名前が表示 さ れ ま す。 ゾーン は、 名前を ク リ ッ ク す る こ と で編集で き る よ う にな っ てい ま す。 • [Description] 列には、 ゾーン を作成す る と き に入力 し た説明テ キ ス ト が リ ス ト さ れ ます。 • [Community] 列には、 ゾーン が コ ミ ュ ニ テ ィ に よ っ て参照 さ れてい る か ど う かが示 さ れ ます。 青 い ド ッ ト は、 ゾーン が 1 つま たは複数の コ ミ ュ ニテ ィ に よ っ て使用 さ れてい る こ と を示 し ま す。 ゾーン が コ ミ ュ ニテ ィ に参照 さ れていない場合、 こ の フ ィ ール ド はブ ラ ン ク にな り ま す。 [Device profiles] リ ス ト に表示 さ れてい る デー タ を確認 し ます。 • チ ェ ッ ク ボ ッ ク ス 列は、 1 つ ま たは複数のデバ イ ス プ ロ フ ァ イ ルを選択す る と き に使用 し ます。 プ ロ フ ァ イ ルを削除す る と き に こ れを使用 し ま す。 • [Name] 列には、 デバ イ ス プ ロ フ ァ イ ルを作成す る と き に割 り 当てた名前が表示 さ れ ます。 デバ イ ス プ ロ フ ァ イ ルは、 名前を ク リ ッ ク す る こ と で編集で き る よ う にな っ てい ます。 • [Description] 列には、 デバ イ ス プ ロ フ ァ イ ルを作成す る と き に入力 し た説明テ キ ス ト が リ ス ト さ れ ま す。 186 | 第 8 章 - End Point Control • [Type] 列には、 デバ イ ス プ ロ フ ァ イ ルに よ っ てサポー ト さ れてい る プ ラ ッ ト フ ォ ーム が表示 さ れ ます。 [Microsoft Windows]、 [Apple Macintosh]、 [Linux]、 [Pocket PC/PDA]、 [Mobile phone] ゾーンの定義 次の手順は、 ゾーン を作成す る 方法を示 し てい ま す。 ゾーンは、 Internet Explorer 6.0 以降 ま たは Firefox 1.0 以降が動作す る Windows 2000 ま たは XP コ ン ピ ュ ー タ でサポー ト さ れてい ます。 ま た、 Safari お よ び Firefox が動作す る Macintosh ク ラ イ ア ン ト や、 Firefox が動作す る Linux ク ラ イ ア ン ト で も ゾーン を作成で き る 他、 PDA や携帯電話な ど の小型携帯端末について も サポー ト さ れてい ます。 X ゾーン を定義する には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 こ の操作に よ り 、 [End Point Control] ページが表示 さ れ ます。 2. [Zones] エ リ アで、 [New] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Zone Definition] ページが表示 さ れ ま す。 3. [Name] ボ ッ ク ス に、 ゾーン名をわか り やすい名前で入力 し ます。 4. [Description] ボ ッ ク ス に、 ゾーン についての コ メ ン ト をわか り やす く 入力 し ます。 5. [All Profiles] リ ス ト で、 ゾーン に入れたいデバ イ ス プ ロ フ ァ イ ルの左側にあ る チ ェ ッ ク ボ ッ ク ス を選 択 し て、 右矢印 ([>>]) ボ タ ン を ク リ ッ ク し ま す。 こ の操作に よ り 、 こ のデバ イ ス プ ロ フ ァ イ ルが [In Use] リ ス ト に移動 し ます。 接続プ ロ セ ス の と き 、 デバ イ ス を こ のゾーン に割 り 当て る ためには、 プ ロ フ ァ イ ルで定義 さ れてい る すべての属性がそのデバ イ ス 上になければな り ま せん。 ま た、 [New] を ク リ ッ ク し て、 その ゾーン のデバ イ ス プ ロ フ ァ イ ルを作成す る こ と も で き ます。 ほ と ん ど の場合、 ゾーン には、 最低で も 1 つデバ イ ス プ ロ フ ァ イ ルが含ま れていな ければな り ま せん。 詳細については、 187 ページの 「ゾーン に対す る デバ イ ス プ ロ フ ァ イ ルの定義」 を参照 し て く だ さ い。 ゾーン が複数のデバ イ ス プ ロ フ ァ イ ルを参照 し てい る 場合、 アプ ラ イ ア ン ス は、 接続要求 と 一致す る プ ロ フ ァ イ ルを受け付け て、 そのデバ イ ス を その ゾーン に割 り 当て ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 187 6. 特定の ゾーン について、 Aventail Cache Control ま たは Aventail Secure Desktop の存在を条件に し たい場合、 [Required data protection tool] リ ス ト か ら 、 対応す る オプシ ョ ン を選択 し ます。 Aventail Secure Desktop は、 Windows 2000 お よ び XP プ ラ ッ ト フ ォ ーム でサポー ト さ れてい る オプ シ ョ ン コ ン ポーネ ン ト で、 別途購入す る こ と にな っ てい ま す。 こ れがサポー ト さ れていないプ ラ ッ ト フ ォ ーム の場合は、 Aventail Cache Control を代わ り に使用 し ま す。 7. ゾーン の作成が終わ っ た ら 、 [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [End Point Control] ペー ジに戻 り ま す。 メモ • Connect Proxy ク ラ イ ア ン ト のユーザーを ゾーン に割 り 当て たい場合、 異な る 構成手順が必要にな り ま す。 190 ページの 「ゾーンへの Aventail Connect Proxy ク ラ イ ア ン ト ユーザーの割 り 当て」 を参照 し て く だ さ い。 • ただ し 、 Aventail Connect Proxy ク ラ イ ア ン ト ま たは Connect Tunnel ク ラ イ ア ン ト を使用す る 場合、 Aventail Cache Control お よ び Aventail Secure Desktop は使用で き な く な り ま す。 • EPC ゾーン を コ ピーす る 方法 と 削除す る 方法の詳細については 35 ページの 「AMC でのオブ ジ ェ ク ト の 追加、 編集、 コ ピー、 削除」 を参照 し て く だ さ い。 ゾーンに対するデバイス プロ フ ァ イルの定義 デバ イ ス プ ロ フ ァ イ ルは、 ア ンチ ウ イ ル ス プ ロ グ ラ ム、 アプ リ ケーシ ョ ン、 Windows レ ジ ス ト リ エ ン ト リ な ど、 1 つま たは複数の属性を検索す る こ と に よ り 、 ク ラ イ ア ン ト デバ イ ス と の間に信頼関係を確立 し ま す。 デバ イ ス プ ロ フ ァ イ ルは、 1 つ ま たは複数の ゾーン か ら 参照 さ れ ます。 デバ イ ス プ ロ フ ァ イ ルは、 ク ラ イ ア ン ト コ ン ピ ュ ー タ 上の 1 つの属性のみを検出す る よ う 定義で き る 他、 複 数の属性を必要 と す る よ う 設定す る こ と も で き ます。 デバ イ ス プ ロ フ ァ イ ルが複数の属性を参照す る と き 、 そ のプ ロ フ ァ イ ル と 一致す る ためには、 ク ラ イ ア ン ト コ ン ピ ュ ー タ 上にそのすべての属性がな ければな り ませ ん。 デバ イ ス プ ロ フ ァ イ ルは、 Microsoft Windows、 Apple Macintosh、 Linux な ど のオペレーテ ィ ン グ シ ス テ ム の他、 Pocket PC や PDA、 携帯電話で も 使用す る こ と がで き ます。 Pocket PC、 PDA、 携帯電話で唯一構成 で き る のは [name] フ ィ ール ド と [description] フ ィ ール ド のみですが、 こ れ ら のデバ イ ス を、 ア ク セ ス 制御 ルールで参照 さ れ る ゾーン に分類す る こ と に よ り 、 リ ソ ース に対す る ア ク セ ス を許可す る か拒否す る よ う 設定 す る こ と がで き ます。 X あ る ゾーン に対するデバイ ス プ ロ フ ァ イ ルを定義する には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 こ の操作に よ り 、 [End Point Control] ページが表示 さ れ ます。 2. [Device profiles] エ リ アで、 [New] を ク リ ッ ク し て、 シ ョ ー ト カ ッ ト か ら 次のいずれかのプ ラ ッ ト フ ォ ーム を選択 し ま す。 • Microsoft Windows • Apple Macintosh • Linux • Pocket PC/PDA • Mobile phone 188 | 第 8 章 - End Point Control 3. [Device Profile Definition] ページで、 [Name] テ キ ス ト ボ ッ ク ス にデバ イ ス プ ロ フ ァ イ ル名を わ か り やすい名前で入力 し ます。 4. [Description] ボ ッ ク ス に、 デバ イ ス プ ロ フ ァ イ ルについての コ メ ン ト をわか り やす く 入力 し ます。 5. デバ イ ス プ ロ フ ァ イ ルで使用す る 適切な属性を選択 し ます。 それぞれの属性で [Type] と [Value] を指 定 し た ら 、 [Add to Current Attributes] ボ タ ン を ク リ ッ ク し ま す。 こ の操作に よ り 、 今追加 し たデ バ イ ス 属性が、 [Current attributes] リ ス ト に表示 さ れ ます。 • Windows ま たは Macintosh ク ラ イ ア ン ト で [Antivirus program] を選択 し た場合 ( こ の属性 は Linux ク ラ イ ア ン ト デバ イ ス では表示 さ れない )、 [Norton Antivirus] ま たは [McAfee] を 選択 し ます。 ( こ の属性は Linux ク ラ イ ア ン ト デバ イ ス では表示 さ れない ) 複数の値を選択 し た場 合、 ク ラ イ ア ン ト デバ イ ス で検出 さ れ る も のが 1 つで も あればそれが認め ら れ ま す。 ユーザーが リ ス ト に載っ てい る も の以外のア ンチ ウ イ ル ス プ ロ グ ラ ム を実行 し てい る 場合、 [Application] 属性を使用 し て、 それをデバ イ ス プ ロ フ ァ イ ルに追加す る こ と がで き ます。 • [Application] の場合、 ク ラ イ ア ン ト デバ イ ス で動作 し なければな ら ないアプ リ ケーシ ョ ン プ ロ セ ス の名前を入力 し ます。 こ の場合、 アプ リ ケーシ ョ ン名では、 大文字 と 小文字が区別 さ れ ま せん。 複数のアプ リ ケーシ ョ ン を入力 し た場合、 すべてのアプ リ ケーシ ョ ン がデバ イ ス 上で動作 し ていなけ れば、 そのプ ロ フ ァ イ ル と 一致 し た こ と にな り ま せん。 ま た、 Windows、 Macintosh、 Linux プ ラ ッ ト フ ォ ーム でデバ イ ス プ ロ フ ァ イ ルの フ ァ イ ル名やフ ァ イ ル拡張子を指定す る と き は、 ア ス テ リ ス ク ( 「*」 ) や疑問符 ( 「?」 ) な ど の ワ イ ル ド カー ド 文字を使用す る こ と も で き ます。 • [Directory name] の場合、 デバ イ ス のハー ド デ ィ ス ク 上に存在 し な ければな ら ないデ ィ レ ク ト リ の名前を入力 し ます。 こ の場合、 デ ィ レ ク ト リ 名では、 大文字 と 小文字が区別 さ れ ません。 デバ イ ス プ ロ フ ァ イ ルで複数のデ ィ レ ク ト リ 名を指定 し た場合、 すべてのデ ィ レ ク ト リ がデバ イ ス 上に存 在 し ていなければ、 そのプ ロ フ ァ イ ル と 一致 し た こ と にな り ません。 • [File name] の場合、 デバ イ ス のハー ド デ ィ ス ク 上に存在 し なければな ら ない フ ァ イ ルの名前を入 力 し ま す ( 拡張子 と フル パ ス も 指定 )。 こ の場合、 フ ァ イ ル名では、 大文字 と 小文字が区別 さ れ ま せん。 デバ イ ス プ ロ フ ァ イ ルで複数の フ ァ イ ル名を指定 し た場合、 すべての フ ァ イ ルがデバ イ ス 上 に存在 し ていなければ、 そのプ ロ フ ァ イ ル と 一致 し た こ と にな り ません。 ま た、 こ の属性では環境変 数 (%windir% や %userprofile% な ど ) を使用す る こ と も で き ます。 ま た、 [Absolute] ま たは [Relative] を指定す る こ と で、 フ ァ イ ルの絶対日時や相対日時を それぞれ指定す る こ と がで き ま す。 た と えば、 修正日が特定日数 よ り 古い日付の フ ァ イ ルな ど を指定で き る よ う にな り ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 189 オプシ ョ ン で、 [File size] に フ ァ イ ル サ イ ズ をバ イ ト 数単位で指定で き る 他、 [Date] お よ び [Time] に、 フ ァ イ ルが最後に更新 さ れた日付 と 時刻を指定す る こ と も で き ま す。 [Time] の タ イ ム ゾーンは、 グ リ ニ ッ チ標準時 (GMT) に設定 さ れてい ま す。 こ の 2 つのオプシ ョ ン では、 [Operator] に比較演算子を指定す る こ と がで き ます。 190 ページの 「デバ イ ス プ ロ フ ァ イ ル属性 での比較演算子の使用」 を参照 し て く だ さ い。 ま た、 [Absolute] ま たは [Relative] を指定す る こ と で、 フ ァ イ ルの絶対日時や相対日時を それ ぞれ指定す る こ と がで き ます。 た と えば、 修正日が特定日数 よ り 古い日付の フ ァ イ ルな ど を指定で き る よ う にな り ます。 さ ら に、 Windows、 Macintosh、 Linux デバ イ ス では MD5 ま たは SHA-1 ハ ッ シ ュ 、 Windows シ ス テ ム フ ァ イ ルの検証では Windows カ タ ロ グ フ ァ イ ルを使用 し て フ ァ イ ルの整合性を検証す る よ う 、 デバ イ ス プ ロ フ ァ イ ルを設定す る こ と も で き ま す。 その場合、 [Validate file integrity] チ ェ ッ ク ボ ッ ク ス を選択 し てか ら 、 [Use MD5 hash] を選択 し ハ ッ シ ュ 値を入力す る か、 [Use Windows catalog file] を選択 し ま す。 • [Personal firewall program] の場合、 [Sygate]、 [Microsoft]、 [ Zone Labs] のいずれか を選択 し ま す。 複数の値を選択 し た場合、 ク ラ イ ア ン ト デバ イ ス で検出 さ れ る も のが 1 つで も あれ ばそれが認め ら れ ま す。 こ の属性を指定で き る のは、 Windows ク ラ イ ア ン ト デバ イ ス のみです。 ユーザーが リ ス ト に載っ てい る も の以外のパー ソ ナル フ ァ イ ア ウ ォ ール プ ロ グ ラ ム を実行 し てい る 場合、 [Application]、 [File name]、 [Windows registry entry] のいずれかの属性を使用 し て、 それをデバ イ ス プ ロ フ ァ イ ルに追加す る こ と がで き ます。 • [Windows domain] の場合、 ユーザーが所属す る ド メ イ ン名を DNS 接尾辞を入れずに NetBIOS 構文で ( 例 : 「mycompany」 な ど ) 入力 し ます。 複数の Windows ド メ イ ン を指定 し た 場合、 該当す る も のが 1 つで も あればそれが認め ら れ ます。 複数のエ ン ト リ は、 セ ミ コ ロ ン を使用 し て区切 り ま す。 Windows ド メ イ ン を し てい る 場合は、 ア ス タ リ ス ク (*) お よ び 疑問符 (?) な ど の ワ イ ル ド カー ド 文字 も 入力で き ま す。 [Windows registry entry] の場合、 [Key name] にキー名を入力 し ます。 ま た、 オプシ ョ ン で [Value name] に値、 [Data] にデー タ を入力す る こ と がで き ます。 [Date] フ ィ ール ド では、 [Operatorata] で比較演算子を選択す る こ と がで き ます。 190 ページの 「デバ イ ス プ ロ フ ァ イ ル 属性での比較演算子の使用」 を参照 し て く だ さ い。 [Value name] フ ィ ール ド や [Registry Data] フ ィ ール ド に特殊文字を入力す る 場合は、 その前にバ ッ ク ス ラ ッ シ ュ を指定 し なければな り ません。 こ こ で言 う 特殊文字には、 ワ イ ル ド カー ド ( 「*」 や 「?」 ) と バ ッ ク ス ラ ッ シ ュ (\) が該当 し ます。 ワ イ ル ド カー ド は、 値やデー タ を指定す る と き に使用で き ま すが、 キーを指定す る 場合は使 用す る こ と がで き ません。 複数の Windows レ ジ ス ト リ エ ン ト リ を入力 し た場合、 すべての レ ジ ス ト リ エ ン ト リ がデバ イ ス 上 に存在 し ていなければ、 そのプ ロ フ ァ イ ル と 一致 し た こ と にな り ません。 • [Windows version] の場合、 オペレーテ ィ ン グ シ ス テ ム の メ ジ ャ ー バージ ョ ン番号、 マ イ ナー バージ ョ ン番号、 ビ ル ド 番号を入力 し ます。 Windows XP お よ び Windows 2000 の場合、 メ ジ ャ ー バージ ョ ン番号は 5 で、 マ イ ナー バージ ョ ン番号は、 Windows XP で 1、 Windows 2000 で 0 にな り ます。 [Windows version] 属性では、 [Operator] で比較演算子を使用す る こ と がで き ます。 ただ し こ の演算子は、 3 つのすべてのバージ ョ ン番号で共通にな り ます。 つ ま り 、 メ ジ ャ ー バージ ョ ン番 号で 「>=」 演算子を使用す る と 、 マ イ ナー バージ ョ ン番号 と ビル ド 番号の値で も その演算子を使用 す る こ と にな り ます。 詳細については、 190 ページの 「デバ イ ス プ ロ フ ァ イ ル属性での比較演算子 の使用」 を参照 し て く だ さ い。 6. デバ イ ス プ ロ フ ァ イ ルの作成が終わ っ た ら 、 [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Zones and Device Profiles] ページに戻 り ま す。 メモ • デバ イ ス プ ロ フ ァ イ ルを コ ピーす る 方法 と 削除す る 方法の詳細については 35 ページの 「AMC でのオブ ジ ェ ク ト の追加、 編集、 コ ピー、 削除」 を参照 し て く だ さ い。 190 | 第 8 章 - End Point Control デバイス プロ フ ァ イル属性での比較演算子の使用 特定のデバ イ ス プ ロ フ ァ イ ル属性は、 「 よ り 大 き い」 や 「 よ り 小 さ い」 な ど の比較演算子を使用 し て修正す る こ と がで き ま す。 比較演算子は、 た と えば、 ク ラ イ ア ン ト デバ イ ス上の ソ フ ト ウ ェ アが自動的に更新 さ れ る 場 合、 その ソ フ ト ウ ェ アに合わせてデバ イ ス プ ロ フ ァ イ ルを最新に し てお く よ う な状況で使用す る と 便利です。 こ の よ う な場合で も 、 ソ フ ト ウ ェ アの更新に合わせてその都度手作業でプ ロ フ ァ イ ルを変更す る 必要がな く な る ためです。 た と えば、 一定の日時 よ り も 新 し い タ イ ム ス タ ン プ を持つフ ァ イ ルのみが ク ラ イ ア ン ト マシ ン上 で検出 さ れ る よ う 指定で き る 他、 特定のバージ ョ ン よ り 新 し い Windows オペ レーテ ィ ン グ シ ス テ ム が ク ラ イ ア ン ト デバ イ ス 上で検出 さ れ る よ う 指定す る こ と も で き ます。 使用で き る 比較演算子は、 「 よ り 小 さ い (<)」、 「以下 (<=)」、 「等 し い (=)」、 「以上 (>=)」、 「 よ り 大 き い (>)」、 「等 し く ない (!=)」 です。 比較演算子は、 次のデバ イ ス プ ロ フ ァ イ ル属性 と 組み合わせて使用す る こ と がで き ます。 • 特定の フ ァ イ ルの日付 も し く は タ イ ム ス タ ン プ • 特定フ ァ イ ルの フ ァ イ ル サ イ ズ • レ ジ ス ト リ エ ン ト リ ( レ ジ ス ト リ キーで値デー タ が選択 さ れてい る 場合 ) • Windows バージ ョ ン ゾーンへの Aventail Connect Proxy ク ラ イアン ト ユーザーの割り当て Aventail Connect Proxy ク ラ イ ア ン ト ま たは Aventail Connect Tunnel ク ラ イ ア ン ト を使用 し てネ ッ ト ワ ー ク リ ソ ー ス にア ク セ ス す る ユーザーがい る 場合、 アプ ラ イ ア ン ス に よ っ て正 し く 識別 さ れ る よ う 、 ま っ た く 同 じ ゾーン を割 り 当て なければな り ま せん。 こ の よ う な手順が必要にな る のは、 Aventail Connect が他の接続 方法 と 異な る 方法でアプ ラ イ ア ン ス にルーテ ィ ン グ さ れ る ためです。 Aventail Connect ク ラ イ ア ン ト ユーザー専用の ゾーン を設け る 必要はな く 、 こ の よ う なユーザー も 既存の ゾーン に入れ る こ と がで き ます。 Aventail Connect は通常、 信頼で き る コ ン ピ ュ ー タ にのみ イ ン ス ト ール さ れ る ため、 こ れ ら のユーザーを最 も 信頼で き る ゾーン に割 り 当て る こ と も で き ます。 X Aventail Connect Proxy ユーザーを ゾーン に割 り 当て る には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 こ の操作に よ り 、 [End Point Control] ページが表示 さ れ ます。 2. [Zones and Device Profiles] タ ブ を ク リ ッ ク し ま す。 3. [Place Aventail Connect users in this zone] リ ス ト を使用 し て、 Aventail Connect Proxy ユー ザーに適 し た ゾーン を選択 し ま す。 Connect Tunnel ク ラ イアン ト での End Point Control の使用 Connect Tunnel ク ラ イ ア ン ト を介 し て アプ ラ イ ア ン ス に接続す る デバ イ ス で も 、 End Point Control を使用 す る こ と がで き ます。 Connect Tunnel ク ラ イ ア ン ト の EPC の場合 も 、 他の方式の場合 と 同様、 デバ イ ス プ ロ フ ァ イ ル と EPC ゾーン の使用がサポー ト さ れてい ます。 ただ し 、 Connect Tunnel ク ラ イ ア ン ト では、 Aventail Secure Desktop や Aventail Cache Control がサポー ト さ れ ま せん。 そのため、 Connect Tunnel ク ラ イ ア ン ト の場合、 こ の よ う なデー タ 保護オプシ ョ ン は無視 さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 191 定義済みのゾーンおよびデバイス プロ フ ァ イルの使用 AMC では、 End Point Control をす ぐ に使え る よ う 、 構成済みの EPC ゾーン と デバ イ ス プ ロ フ ァ イ ルを あ ら か じ め用意 し てい ま す。 こ れ ら の ゾーン と デバ イ ス プ ロ フ ァ イ ルはその ま ま 使用で き る 他、 ア ク セ ス ポ リ シーお よ び リ ソ ー ス 要件に合わせて修正す る こ と も で き ま す。 構成済みの EPC ゾーン には、 次の よ う な も のがあ り ま す。 • Antivirus and cache control required: こ の ゾーンは、Windows XP/2000 コ ン ピ ュ ー タ と Apple Macintosh コ ン ピ ュ ー タ のいずれかで使用す る も ので、 Norton ま たは McAfee のいずれかのア ンチ ウ イ ル ス ソ フ ト ウ ェ アが イ ン ス ト ール さ れてお り 、 し か も Aventail Cache Cleaner が有効で、 ユーザー セ ッ シ ョ ン の後ブ ラ ウ ザのキ ャ ッ シ ュ が削除 さ れ る よ う にな っ ていなければな り ま せん。 こ の ゾーンは、 構成済みの Windows Antivirus お よ び Macintosh Antivirus デバ イ ス プ ロ フ ァ イ ルを参照 し ま す。 • Windows firewall enabled: こ の ゾーン では、 Windows XP ま たは 2000 コ ン ピ ュ ー タ が必要で、 その コ ン ピ ュ ー タ に、 Sygatge、 Microsoft、 Zone Labs 製のパー ソ ナル フ ァ イ ア ウ ォ ール プ ロ グ ラ ム が イ ン ス ト ール さ れていな ければな り ません。 こ の ゾーンは、構成済みの Windows firewall デバ イ ス プ ロ フ ァ イ ルを参照 し ま す。 • Default: こ のゾーン は、 接続要求が他のゾーン の基準 と 一致 し ない場合に VPN ア ク セ ス を許可 ま たは ブ ロ ッ ク す る ためのグ ロ ーバルな安全装置 と し て機能 し ます。 構成済みのデバ イ ス プ ロ フ ァ イ ルには、 次の よ う な も のがあ り ます。 • Windows Antivirus: こ のデバ イ ス プ ロ フ ァ イ ルは、 Windows XP ま たは 2000 が動作す る コ ン ピ ュ ー タ に、 ア ンチ ウ イ ル ス プ ロ グ ラ ム と パー ソ ナル フ ァ イ ア ウ ォ ール プ ロ グ ラ ム の両方が存在す る 場 合にそのデバ イ ス を検出す る よ う 構成 さ れてい ま す。 • Macintosh Antivirus: こ のデバ イ ス プ ロ フ ァ イ ルは、 Apple Macintosh コ ン ピ ュ ー タ に、 ア ン チ ウ イ ル ス プ ロ グ ラ ム と パー ソ ナル フ ァ イ ア ウ ォ ール プ ロ グ ラ ム の両方が存在す る 場合にそのデバ イ ス を検 出す る よ う 構成 さ れてい ます。 • Windows firewall: こ のデバ イ ス プ ロ フ ァ イ ルは、Windows XP ま たは 2000 が動作す る コ ン ピ ュ ー タ に、 パー ソ ナル フ ァ イ ア ウ ォ ールが イ ン ス ト ール さ れてい る 場合にそのデバ イ ス を検出す る よ う 構成 さ れてい ま す。 特定の状況に対するゾーンの作成 大部分の接続要求 (Microsoft Windows と Internet Explorer を使用 し た も の ) は、標準のゾーン構成で対応 で き ま すが、 他のオペレーテ ィ ン グ シ ス テ ムやブ ラ ウ ザ、 定義 し てい る ゾーンに対応 し ていない接続要求な ど、 特殊な状況に も 対応す る 必要があ り ます。 ゾーン と デバ イ ス プ ロ フ ァ イ ルを使用 し て、 次の状況に対応す る こ と がで き ます。 • 定義 さ れてい る ゾーンやデバ イ ス プ ロ フ ァ イ ルに対す る 基準 と 一致 し ない ク ラ イ ア ン ト • Windows が動作 し てい る が、 Web ブ ラ ウ ザが Microsoft の も のでない ク ラ イ ア ン ト 、 ま たは以前のバー ジ ョ ン の Windows • 動作 し てい る ク ラ イ ア ン ト デバ イ ス に関係な く 、 ア ク セ ス が必要な特殊な ク ラ ス のユーザー ま た、 グ ロ ーバル デフ ォ ル ト ゾーン を構成 し 、 AMC で構成 さ れてい る あ ら ゆ る コ ミ ュ ニテ ィ に暗黙的に存在 す る よ う に し ます。 デフ ォル ト ゾーンの使用 AMC には、 グ ロ ーバル デフ ォ ル ト ゾーン があ り 、 接続要求が他の設定済みの ゾーン の基準 と 一致 し ない場合 に VPN ア ク セ ス を許可 ま たはブ ロ ッ ク す る ためのグ ロ ーバルな安全装置 と し て機能 し ま す。 アプ ラ イ ア ン ス が、 ゾーン に分類で き ない ( つ ま り ク ラ イ ア ン ト デバ イ ス のオペレーテ ィ ン グ シ ス テ ム、 ブ ラ ウ ザ、 その他の 属性な ど を識別で き ない ) 接続要求を受け取っ た ら 、 そのデバ イ ス は自動的にデフ ォ ル ト ゾーンに入れ ら れ ま す。 デバ イ ス がデフ ォ ル ト ゾーン に割 り 当て ら れたユーザーについては、 すべての VPN ア ク セ ス を許可す る か拒否す る よ う 設定す る こ と がで き ます。 デフ ォ ル ト ゾーンは、 他の ゾーン と 異な り 、 デバ イ ス プ ロ フ ァ イ ルはあ り ませんが、 デー タ 保護エージ ェ ン ト の存在を求め る よ う 構成す る こ と はで き ます。 デフ ォ ル ト ゾーンは、 AMC で構成 さ れてい る あ ら ゆ る コ ミ ュ ニ テ ィ に暗黙的に存在す る こ と にな り ま す。 192 | 第 8 章 - End Point Control X デ フ ォ ル ト ゾーン を構成する には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 こ の操作に よ り 、 [End Point Control] ページが表示 さ れ ます。 2. [Zones] エ リ アで、 [Default zone] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Zone Definition] ページが表示 さ れ ます。 こ の と き 、 [Name] ボ ッ ク ス には自動的に 「Default Zone」 と 入 力 さ れ ます ( こ の ゾーン の名前は変更で き ない )。 3. [Data protection] エ リ アで、 デフ ォ ル ト ゾーン に入れ ら れた ク ラ イ ア ン ト デバ イ ス について、 Aventail Secure Desktop ま たは Aventail Cache Control がなければ接続で き ない よ う にす る こ と がで き ま す。 Aventail Secure Desktop は、 Windows のみで使用で き る オプシ ョ ンのデー タ 保護 コ ン ポーネ ン ト で す。 こ れがサポー ト さ れていないプ ラ ッ ト フ ォ ーム の場合は、 Aventail Cache Control が代わ り に使用 さ れ ま す。 4. [Access restrictions] エ リ アで、 デフ ォ ル ト ゾーン に入れ ら れた ク ラ イ ア ン ト デバ イ ス について、 VPN ア ク セ ス を許可す る か VPN ア ク セ ス を ブ ロ ッ ク す る か選択 し ます。 [Block VPN access] を選 択 し た場合、 デフ ォ ル ト ゾーンに割 り 当て ら れたユーザーは、 アプ ラ イ ア ン ス か ら ロ グオ フ し ま す。 5. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 デフ ォ ル ト ゾーン の設定が有効にな り ま す。 例 あ る ユーザーの接続要求が信頼関係の基準 と 合致 し ない場合にそのユーザーのア ク セ ス を制限 し たい と き 、 デ フ ォ ル ト ゾーン を、 制約のあ る ア ク セ ス制御ルールに入れ る こ と がで き ます。 た と えば、 Web ブ ラ ウ ザ接続 を Outlook Web Access に限定す る 「permit」 ア ク セ ス制御ルールにデフ ォ ル ト ゾーン を入れ る こ と で、 こ れ ら のユーザーが自身の電子 メ ールにア ク セ ス で き る よ う にな り ます。 高レベルの信頼性に基づ く 制約のあ る ア ク セ ス ポ リ シーを設け、 明示的に定義 さ れてい る も の を除いて接続要 求を認めない よ う にす る 場合、 デフ ォ ル ト ゾーン に [Block VPN access] を設定す る のが最 も 適 し てい ま す。 ただ し 、 他の ゾーンやア ク セ ス 制御ルールで、 正当なユーザーが誤っ て排除 さ れた場合で も 、 デフ ォ ル ト ゾーンは例外な く こ れ ら のユーザーを ブ ロ ッ ク し ます。 非 Microsoft ブラウザまたは以前の Windows バージ ョ ンに対するゾーンの定義 ユーザーの Microsoft Windows PC で、Internet Explorer 6.0 以降以外のブ ラ ウ ザ (Netscape や Opera な ど ) が動作 し てい る 場合、 こ れ ら のユーザーに特殊な ゾーン を割 り 当て る こ と がで き ま す。 こ う す る こ と に よ り 、非 Microsoft ブ ラ ウ ザを使用す る Windows ユーザーがデフ ォ ル ト ゾーン に入れ ら れて ア ク セ ス がブ ロ ッ ク さ れて し ま う の を防止す る こ と がで き ます。 こ の ゾーンの タ イ プ を区別す る ための唯一の属性は、 Windows シ ス テ ム の存在です。 こ の構成は、 Windows XP や 2000 よ り 前の Microsoft Windows が動作 し てい る ユーザーに対 し て、 ゾーン を定義す る と き に も 使用す る こ と がで き ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 193 X 非 Microsoft ブ ラ ウザを使用する ク ラ イ ア ン ト のためのゾーン を定義する には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 こ の操作に よ り 、 [End Point Control] ページが表示 さ れ ます。 2. [Zones] エ リ アで、 [New] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Zone Definition] ページが表示 さ れ ま す。 3. [Description] ボ ッ ク ス に、 こ の特殊ブ ラ ウ ザ ゾーンについての コ メ ン ト をわか り やす く 入力 し ま す。 4. [Device Profiles] エ リ アで、 [New] を ク リ ッ ク し ます。 こ の操作に よ り 、 [New Device Profile Definition] ポ ッ プア ッ プ ウ ィ ン ド ウ が表示 さ れ ます。 5. [Name] ボ ッ ク ス に、 デバ イ ス プ ロ フ ァ イ ル名を わか り やすい名前で入力 し ま す。 6. [Description] ボ ッ ク ス に、 デバ イ ス プ ロ フ ァ イ ルについての コ メ ン ト をわか り やす く 入力 し ます。 7. [Add attribute] エ リ アで、 デバ イ ス プ ロ フ ァ イ ルに対す る [Operating system] と し て [Microsoft Windows] を選択 し ます。 他の属性設定は指定 し ないで く だ さ い。 8. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Zone Definition] ページに戻 り ます。 9. こ の ゾーン に入れたいブ ラ ウ ザのデバ イ ス プ ロ フ ァ イ ルに対す る チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 10. こ のデバ イ ス プ ロ フ ァ イ ルで、 デー タ 保護 コ ン ポーネ ン ト の存在を条件に し たい場合、 [Required data protection tool] リ ス ト か ら 、 [Aventail Secure Desktop] ま たは [Aventail Cache Control] を選択 し ます。 11. ゾーン の作成が終わ っ た ら 、 [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Zones and Device Profiles] ページに戻 り ます。 特殊なク ラスのユーザーに対するゾーンの定義 お z --ん信頼 さ れてい る 特殊な ク ラ ス のユーザーにデフ ォ ル ト ゾーン を割 り 当て ( 同時におそら く アク セス が拒否さ れ ) ない よ う にす る 方法は他に も あ り ま す。 デバ イ ス プ ロ フ ァ イ ルが含ま れない ゾーン を作成 し 、 そ のゾーン を、 信頼 さ れてい る ユーザーのみが所属す る コ ミ ュ ニ テ ィ に割 り 当て る のです。 た と えば、 シ ス テ ム管理者が、 使用中の ク ラ イ ア ン ト デバ イ ス に関係な く 、 ネ ッ ト ワ ー ク リ ソ ー ス にア ク セ ス で き る よ う に し たい場合、 シ ス テ ム管理者を、 プ ロ フ ァ イ ルがない ゾーン を含む コ ミ ュ ニ テ ィ に割 り 当て る こ と がで き ま す。 その後、 シ ス テ ム管理者が、 その コ ミ ュ ニ テ ィ を参照す る レ ルム を選択 し て ロ グ イ ンす る と 、 承認 さ れていない ク ラ イ ア ン ト を ブ ロ ッ ク す る ためのグ ロ ーバル デフ ォ ル ト ゾーン ではな く 、 プ ロ フ ァ イ ル がない こ の ゾーン に入れ ら れ ま す。 X プ ロ フ ァ イルがない ゾーン を作成する には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [End Point Control] を ク リ ッ ク し ます。 こ の操作に よ り 、 [End Point Control] ページが表示 さ れ ます。 2. [Zones and Device Profiles] タ ブ を ク リ ッ ク し ま す。 3. [End Point Control Zones] エ リ ア で、 [New] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Zone Definition] ページが表示 さ れ ます。 4. [Name] ボ ッ ク ス に、 ゾーン名をわか り やすい名前で入力 し ます。 5. [Description] ボ ッ ク ス に、 ゾーン についての コ メ ン ト をわか り やす く 入力 し ます。 6. こ の ゾーン では、 デバ イ ス プ ロ フ ァ イ ルを選択 し ないで く だ さ い。 7. オプシ ョ ン で、 こ の ゾーン に対 し て [Required data protection tool] を選択す る こ と がで き ま す。 ただ し 、 こ の よ う な信頼 さ れてい る 特殊 ク ラ ス のユーザーに、 接続で使用す る デバ イ ス の タ イ プについて 柔軟性を持たせたい場合、 こ の フ ィ ール ド を 「None」 の ま ま に し てお き ま す。 8. [Save] を ク リ ッ ク し ます。 プ ロ フ ァ イ ルがない ゾーン を定義 し た ら 、 こ の よ う な信頼 さ れてい る 特殊 ク ラ ス に特化 し た レ ルム を作成 し 、 こ の特殊 ク ラ ス のみが ロ グ イ ン で き る よ う 、 レ ルム を専用の コ ミ ュ ニ テ ィ に対応 さ せ る 必要があ り ま す。 詳細 については、 131 ページの 「ユーザー ま たはグループの メ ンバーシ ッ プの特定 コ ミ ュ ニ テ ィ への制限」 を参照 し て く だ さ い。 194 | 第 8 章 - End Point Control ク ラ イアン ト に残されたデータの削除 Aventail のデー タ 保護 コ ン ポーネ ン ト は、 ユーザー セ ッ シ ョ ン が終わ っ た ら 、 ク ラ イ ア ン ト に残 さ れたデー タ を削除す る よ う にな っ てい ま す。 次の 2 種類のオプシ ョ ン があ り ま す。 • Aventail Cache Control (ACC)。 すべての Web セ ッ シ ョ ン に対 し て、 基本的なデー タ 保護を行い ま す。 ベー ス アプ ラ イ ア ン ス に含 ま れてい ま す。 • Aventail Secure Desktop (ASD)。 Windows ユーザーに対 し て広範なデー タ 保護を行 う オプシ ョ ン コ ン ポーネ ン ト ( 別売 ) です。 ユーザーの環境が ASD がサポー ト し ない環境の場合、 ACC が代わ り に使 用 さ れ ます。 AMC では、 高度な End Point Control を提供す る 、 Sygate On-Demand も サポー ト し てい ま す。 詳細につ いては、 197 ページの 「Sygate On-Demand」 を参照 し て く だ さ い。 ど ち ら の Aventail コ ン ポーネ ン ト も 、 非ア ク テ ィ ブなユーザー接続を自動的に終了 さ せ、 ク ラ イ ア ン ト か ら デー タ を削除す る タ イ ム ア ウ ト 設定を構成で き る よ う にな っ てい ま す。 こ のシ ス テ ム に よ り 、 ユーザーがキオ ス ク 端末やその他の共有 さ れてい る コ ン ピ ュ ー タ か ら ロ グ ア ウ ト し 忘れて も 、 機密漏洩の危険性を最小限に抑 え ら れ る よ う にな っ てい ま す。 ユーザーがセ ッ シ ョ ン を終了す る と き ま たはユーザーのセ ッ シ ョ ン が タ イ ム ア ウ ト す る と き 、Aventail Cache Control お よ び Aventail Secure Desktop は、 デー タ を ク ラ イ ア ン ト のキ ャ ッ シ ュ か ら 削除 し ま す。 次の表 は、 削除 さ れ る デー タ を ま と めた も のです。 コ ン ポーネ ン ト 説明 ブ ラ ウザの履歴 ブ ラ ウザの履歴か ら 、 すべてのセ ッ シ ョ ン URL が永続的に削除 さ れ、 ブ ラ ウザ か ら 呼び出せな く な り ます。 同時に、 外部ア プ リ ケーシ ョ ンか ら プ ロ グ ラ ム的 に呼び出す こ と も で き な く な り ます。 ブ ラ ウザのキ ャ ッ シ ュ ブ ラ ウザか ら ア ク セ ス さ れ、 ハー ド ド ラ イ ブに保管 さ れてい る可能性があ るす べてのデー タ フ ァ イ ルの他、 関連する URL と パスワー ド も すべて永続的に削除 さ れます。 ブ ラ ウザのユーザー名 と パスワー ド セ ッ シ ョ ン で使用 さ れたすべてのユーザー名お よ び関連するパスワー ド は、 キ ャ ッ シ ュ か ら削除 さ れます。 ブ ラ ウザの URL オー ト コ ン プ リ ー ト リスト セ ッ シ ョ ン で訪問 し たすべての URL は、 ブ ラ ウザのオー ト コ ン プ リ ー ト リ ス ト か ら 削除 さ れます。 Windows index.dat index.dat フ ァ イルに保管 さ れてい る ブ ラ ウザの活動詳細 も 削除 さ れます。 一時 フ ァ イル ユーザーが、 Outlook Web Access (OWA) な どの Web ア プ リ ケーシ ョ ンか ら 開いたほ と んどの添付 フ ァ イルは、 Aventail Cache Control が一時 フ ォ ルダ を 削除する と き に永続的に削除 さ れます。 Aventail Secure Desktop を使用する と 、 ダウ ン ロ ー ド さ れロー カル ハー ド デ ィ ス ク に保管 さ れたセ ッ シ ョ ン関連のすべてのデー タ フ ァ イルが、 永続的に 削除 さ れます。 ( ただ し こ れは、 Aventail Secure Desktop を使用する場合の み) Aventail Cache Control の構成 Aventail Cache Control は、 Web セ ッ シ ョ ン が終わ る たびに、 ブ ラ ウ ザ キ ャ ッ シ ュ か ら 履歴 と 一時フ ァ イ ル、 ユーザーのシ ス テ ム か ら パ ス ワ ー ド と ク ッ キーを削除 し ます。 ま た、 非ア ク テ ィ ブ時の タ イ ム ア ウ ト を構 成す る こ と も で き ま す。 次の手順では、 End Point Control が有効にな っ てい る こ と が前提にな っ てい ます。 184 ページの 「End Point Control の有効化 と 無効化」 を参照 し て く だ さ い。 X Aventail Cache Control を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Agent Configuration] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページが表示 さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 195 2. [End Point Control Agents] セ ク シ ョ ン で、 [Data Protection] に対応す る [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Data Protection] ページが表示 さ れ ます。 3. [End inactive user connections] リ ス ト か ら 適当な値を選択す る こ と に よ り 、 非ア ク テ ィ ブ タ イ マーを設定 し ます。 こ れに よ り 、 ユーザーが一定期間、 非ア ク テ ィ ブな状態にな る と 、 ユーザー セ ッ シ ョ ン が自動的に終了 し キ ャ ッ シ ュ が消去 さ れ る よ う にな り ます。 こ の設定は、 [End Point Control Restrictions] ページの一般的な非ア ク テ ィ ブ タ イ マー よ り も 優 先 さ れ ます。 こ の設定は、 Web プ ロ キ シ ク ラ イ ア ン ト お よ び Connect Tunnel ク ラ イ ア ン ト に限っ て 使用 さ れ る も ので、 End Point Control が無効であ っ て も 機能 し ま す。 4. [Aventail Cache Control] エ リ アで、 [Enable Aventail Cache Control] チ ェ ッ ク ボ ッ ク ス を選 択 し ま す。 5. 状況に よ っ てわずかに高い レ ベルのセ キ ュ リ テ ィ が必要な場合は、 [Close other browser windows at startup] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 こ の設定に よ り 、 ACC が、 ネ ッ ト ワ ー ク ア ク セ ス の際 のブ ラ ウ ザ コ ン テ キ ス ト に対応す る すべてのデー タ を正確に監視す る よ う にな り ま す。 ただ し 、 ACC の 起動時にブ ラ ウ ザの ウ ィ ン ド ウ を複数開け てお く ユーザーには不都合が生 じ る 可能性があ り ま す。 6. セ ッ シ ョ ン の終了時にキ ャ ッ シ ュ ク リ ーナーが動作 し ない こ と を ユーザーが選択で き る よ う にす る 場合 は、 [Allow user to disable cache control] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ の設定は、 デフ ォ ル ト で無効にな っ てい ま す。 7. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページに戻 り ます。 Aventail Cache Control を構成 し た ら 、ゾーン の [Required data protection tool] と し て こ れを選択 し なければな ら な く な り ます。 詳細については、 186 ページの 「ゾーン の定義」 を参照 し て く だ さ い。 メモ • さ ま ざ ま な EPC 要件を持つ、 独立 し た 「信頼ゾーン」 で ACC を有効にす る こ と で、 一定数のユーザーの みに ACC を提供す る こ と も で き ます。 ゾーン を使用 し て ACC の提供を コ ン ト ロ ールす る 方法について は、 186 ページの 「ゾーン の定義」 を参照 し て く だ さ い • ASAP WorkPlace か ら ロ グ ア ウ ト し て も 、 ACC がキ ャ ッ シ ュ を消去す る こ と はあ り ません。 ACC が キ ャ ッ シ ュ を消去 し て ク ロ ーズす る には、 ユーザーが WorkPlace ブ ラ ウ ザ ウ ィ ン ド ウ を ク ロ ーズ し な け ればな り ま せん。 • ユーザーの コ ン ピ ュ ー タ で ACC を ロ ー ド で き ない場合、 ユーザーは WorkPlace に ロ グ イ ン で き ません。 • 非ア ク テ ィ ブ タ イ マー設定は、 ACC と ASD の両方に適用 さ れ ま す。 ACC と ASD で異な る タ イ ム ア ウ ト 設定を構成す る こ と はで き ません。 196 | 第 8 章 - End Point Control Aventail Secure Desktop Aventail Secure Desktop (ASD) には、 基本キ ャ ッ シ ュ ク リ ーニ ン グ を上回 る 保護機能があ り ます。 ASD は、 Sygate Technologies と 共同開発 し た ソ リ ュ ーシ ョ ン で、 標準的な Windows デ ス ク ト ッ プ と ほ と ん ど同 じ 外観の 「仮想的な」 Windows セ ッ シ ョ ン を作成 し ます。 デフ ォ ル ト の場合、 ネ ッ ト ワ ー ク か ら ア ク セ ス さ れ る すべてのデー タ は、 暗号化 さ れてか ら デ ィ ス ク に記録 さ れ、 ASD 内か ら のみア ク セ ス 可能にな り ま す。 ユーザーがセ ッ シ ョ ン を終了す る と 、 ダ ウ ン ロ ー ド さ れ ロ ーカル ハー ド デ ィ ス ク に保管 さ れたセ ッ シ ョ ン関 連のすべてのデー タ フ ァ イ ルが、 永続的に削除 さ れ ます。 し か も 、 Web ブ ラ ウ ザに関連す る 一時デー タ があ れば、 それ も 削除 さ れ ます。 ユーザーには、 ASD を使用 し てい る と き はデー タ を ロ ーカル デ ィ ス ク に保存 し ない よ う 通知 し て く だ さ い。 例を示 し ます。 • フ ァ イルを ロー カル デ ィ ス ク に保存 し ない こ と 。 た と えばユーザーがネ ッ ト ワ ー ク か ら フ ァ イ ルを ダ ウ ン ロ ー ド し てそれをハー ド デ ィ ス ク に保存す る と 、 セ ッ シ ョ ン の終了時に削除 さ れ ま す。 • ア プ リ ケーシ ョ ン デー タ を ロ ー カ ル デ ィ ス ク に保存 し ない こ と 。 一部の ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン (Microsoft Outlook な ど ) では、 ユーザーがデー タ を ロ ーカルに保管で き る よ う にな っ てい ます。 ユーザーは、 こ れ ら のアプ リ ケーシ ョ ン と ASD と の通信に気を配 る 必要があ り ま す。 た と えば、 Outlook ユーザーが、 ASD の動作中にデー タ を ロ ーカルに (.pst フ ァ イ ルに ) 保管 し 、 電子 メ ール メ ッ セージ を シ ス テ ム の 「Inbox」 か ら ロ ーカルの メ ール フ ォ ルダに移動す る 場合、 セ ッ シ ョ ン終了時に、 メ ッ セージが ロ ーカル デ ィ ス ク か ら 削除 さ れ ます。 ユーザーが、 ASD に よ っ て作成 さ れてい る 仮想セ ッ シ ョ ン を認識 し やす く す る ため、 デ ス ク ト ッ プには、 特有の背景色 と イ メ ージが表示 さ れ ま す。 ASD は、 次の環境の Windows ユーザーが使用で き ます。 ただ し 、 ブ ラ ウ ザで Java が有効にな っ ていなけれ ばな り ません。 オペ レーテ ィ ン グ シ ス テム Web ブ ラ ウザ • Microsoft Windows XP • Microsoft Internet Explorer 6.0 以降 (Service Pack 2 がイ ン ス ト ール さ れてい る もの ) • Microsoft Windows 2000 (Service Pack 1 が イ ン ス ト ール さ れてい る もの ) • Firefox 1.0.6 with Sun JVM 1.4.2 (Service Pack 4 がイ ン ス ト ール さ れてい る もの ) Aventail Secure Desktop の構成 こ の節では、 AMC で ASD を設定す る 方法について説明 し ます。 ASD を構成す る 前に、 有効な ASD ソ フ ト ウ ェ ア ラ イ セ ン ス がアプ ラ イ ア ン ス にア ッ プ ロ ー ド さ れてい る 必要があ り ま す。 詳細については、 177 ページ の 「 ソ フ ト ウ ェ ア ラ イ セ ン ス 」 を参照 し て く だ さ い。 次の手順では、 End Point Control が有効にな っ てい る こ と が前提にな っ てい ます。 184 ページの 「End Point Control の有効化 と 無効化」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 197 X Aventail Secure Desktop を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Agent Configuration] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページが表示 さ れ ます。 2. [End Point Control Agents] セ ク シ ョ ン で、 [Data Protection] に対応す る [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Data Protection] ページが表示 さ れ ます。 3. [End inactive user connections] リ ス ト か ら 適当な値を選択す る こ と に よ り 、 非ア ク テ ィ ブ タ イ マーを構成 し ます。 こ れに よ り 、 ユーザーが一定期間、 非ア ク テ ィ ブな状態にな る と 、 ユーザー セ ッ シ ョ ン が自動的に終了 し キ ャ ッ シ ュ が消去 さ れ る よ う にな り ます。 こ の設定は、 ASD が動作 し てい る 場合に限っ て使用 さ れ、 [End Point Control Restrictions] ペー ジの一般的な非ア ク テ ィ ブ タ イ マー よ り も 優先 さ れ ます。 4. [Aventail Cache Control] エ リ アで、 ACC 設定を構成 し ます (194 ページの 「Aventail Cache Control の構成」 を参照 )。 ユーザーが ASD を実行で き ない場合 ( た と えばユーザーが Apple Macintosh を使用 し てい る 場合 )、 アプ ラ イ ア ン ス は、 指定 さ れてい る ACC 設定を使用 し て、 ク ラ イ ア ン ト 上で ACC を代わ り に使用 し ま す。 5. [Aventail Secure Desktop] エ リ アで、 [Enable Aventail Secure Desktop] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 6. ユーザーが標準 Windows セ ッ シ ョ ン と ASD が作成 し た仮想 Windows セ ッ シ ョ ン と を切 り 替え ら れ る よ う にす る と き は、 [Allow user to switch between desktops] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 こ のオプシ ョ ン を選択す る と 、 ASD が提供す る デー タ 保護の レベルがわずかに低下 し ます。 7. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページに戻 り ます。 Aventail Secure Desktop を構成 し た ら 、 ゾーンの [Required data protection tool] と し て こ れを選択 し なければな ら な く な り ま す。 詳細については、 186 ページの 「ゾーンの定義」 を参照 し て く だ さ い。 メモ • さ ま ざ ま な EPC 要件を持つ、 独立 し た 「信頼ゾーン」 で ASD を有効にす る こ と で、 一定数のユーザーの みに ASD を提供す る こ と も で き ま す。 ゾーン を使用 し て ASD の提供を コ ン ト ロ ールす る 方法について は、 186 ページの 「ゾーン の定義」 を参照 し て く だ さ い。 • ユーザーが ASD を実行で き ない場合 ( た と えばユーザーが Apple Macintosh や Linux コ ン ピ ュ ー タ を 使っ てい る 場合 )、 アプ ラ イ ア ン ス は、 指定 さ れてい る ACC 設定を使用 し て、 ACC を代わ り に使用 し ま す。 ユーザーの コ ン ピ ュ ー タ で ASD も ACC も ロ ー ド で き ない場合、 ユーザーは ロ グ ア ウ ト し ま す。 • デー タ 保護の非ア ク テ ィ ブ タ イ マー設定は、 ACC と ASD の両方に適用 さ れ ま す。 ACC と ASD で異な る タ イ ム ア ウ ト 設定を構成す る こ と はで き ません。 Sygate On-Demand Sygate On-Demand には、 高度な キ ャ ッ シ ュ コ ン ト ロ ール と デー タ 保護の機能があ り ま す。 ア ンチ ウ イ ル ス ソ フ ト ウ ェ ア、 パー ソ ナル フ ァ イ ア ウ ォ ール、 サービ ス パ ッ ク 、 パ ッ チな ど の存在を確認す る こ と で、 ク ラ イ ア ン ト コ ン ピ ュ ー タ のホ ス ト の整合性について も 検証 し ます。 Sygate On-Demand は、 それぞれのエ ン ド ポ イ ン ト のセ キ ュ リ テ ィ を、 ネ ッ ト ワ ー ク ロ ケーシ ョ ンやホ ス ト コ ン ピ ュ ー タ の所有権な ど、 さ ま ざ ま な環 境条件に自動的に適合 さ せ ます。 その上で、 Aventail セ ッ シ ョ ン が終了 し た後 も 、 セ キ ュ ア な仮想デス ク ト ッ プ環境がエ ン ド ポ イ ン ト で維持 さ れ る よ う に し ま す。 Sygate On-Demand は、 Aventail アプ ラ イ ア ン ス と 統合 し て シーム レ ス な経験をユーザーに提供す る と 同時に、 セ キ ュ リ テ ィ ポ リ シーを適用 し て、 ハー ド ウ ェ ア の追加の必要性を低減 さ せ ます。 詳細については、 http://www.sygate.com/ssp/aventail/ を参照 し て く だ さ い。 こ の コ ン ポーネ ン ト は、 別途購入 し なければな り ま せん。 こ の コ ン ポーネ ン ト を購入す る 方法については、 Aventail チ ャ ネル パー ト ナーにお問い合わせ く だ さ い。 198 | 第 8 章 - End Point Control X Sygate On-Demand を有効にする には 1. Sygate On-Demand フ ァ イ ルを取得 し ま す。 ( 詳細については Aventail チ ャ ネル パー ト ナーに問い合 わせ ) 2. Sygate On-Demand フ ァ イ ルを アプ ラ イ ア ン ス の /usr/local/epcagents/htdocs/postauth/data/ssp デ ィ レ ク ト リ にア ッ プ ロ ー ド し ま す。 3. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Agent Configuration] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページが表示 さ れ ます。 4. [End Point Control Agents] セ ク シ ョ ン で、 [Data Protection] に対応す る [Edit] リ ン ク を ク リ ッ ク し ま す こ の操作に よ り 、 [Configure Data Protection] ページが表示 さ れ ます。 5. [Enable Sygate On-Demand Protection] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 6. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページに戻 り ます。 メモ • Sygate On-Demand では、 Sun JVM 1.4.2 以降が必要にな り ま す。 ク ラ イアン ト の整合性の検証 Aventail では、WholeSecurity Confidence Online Enterprise Security ソ リ ュ ーシ ョ ンお よ び Zone Labs Integrity Clientless Security ソ リ ュ ーシ ョ ン と の統合がサポー ト さ れてい ます。 こ れ ら の ソ リ ュ ーシ ョ ン で は、 ウ イ ル ス 、 マル ウ ェ ア、 デー タ の盗難な ど、 さ ま ざ ま な脅威に対 し て認証前の保護を行い ま す。 WholeSecurity Confidence Online Enterprise Edition On-Demand WholeSecurity のエ ン ド ポ イ ン ト セ キ ュ リ テ ィ ソ リ ュ ーシ ョ ン では、 ト ロ イ の木馬、 キー ス ト ロ ー ク ロ ガー、 ワ ーム な ど、 既知の脅威お よ び未知の脅威に対 し て、 「未然の」 保護を提供 し ます。 WholeSecurity Confidence Online Enterprise Edition On-Demand は、 ActiveX お よ び Netscape プ ラ グ イ ン を使用 し て オ ンデマ ン ド で呼び出 さ れ、 Aventail アプ ラ イ ア ン ス と 統合 し て、 随時 コ ン ピ ュ ー タ ( 企業が所有 し ていない も の も 含め ) を保護 し ま す。 WholeSecurity Confidence Online Enterprise Edition On-Demand では、 特 許出願中の動作検出テ ク ノ ロ ジーを使用 し て、 ユーザーに署名の更新を求め る こ と な く 、 既知の脅威 と 未知の 脅威の両方を自動的に識別 し て排除 し ます。 詳細については、 http://www.wholesecurity.com/products/on-demand.html を参照 し て く だ さ い。 X WholeSecurity Confidence Online Enterprise Edition On-Demand と の統合を 有効にする には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Agent Configuration] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページが表示 さ れ ます。 2. [End Point Control Agents] セ ク シ ョ ン で、 [Client integrity] に対す る [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Client Integrity] ページが表示 さ れ ます。 3. [WholeSecurity Confidence Online] を ク リ ッ ク し ます。 4. [URL where the Whole Security agent is hosted] ボ ッ ク ス に、 Whole Security を受け取 る URL を入力 し ま す。 TURL には通常、 WholeSecurity サーバーの内部名に、 「/llclient/」 と WholeSecurity サーバーのデプ ロ イ メ ン ト 名を続け ま す。 例を示 し ます。 https://whole.example.com/llclient/<deployment_name> 5. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページに戻 り ます。 Zone Labs Integrity Clientless Security Zone Labs Integrity Clientless Security では、ネ ッ ト ワ ー ク さ れたゲ ス ト PC お よ び従業員 PC に対す る 脅 威か ら 企業を保護 し ます。 その際、 ク ラ イ ア ン ト ソ フ ト ウ ェ アの イ ン ス ト ールは不要です。 Zone Labs Integrity Clientless Security は、 ス パ イ ウ ェ アの無効化 と リ モー ト ア ク セ ス を与え る 前のセ キ ュ リ テ ィ ポ リ シー準拠の強制 と い う 、 ク ラ イ ア ン ト レ ス セ キ ュ リ テ ィ の 2 つの必須要素を提供す る 唯一の製品です。 Zone Labs Integrity Clientless Security は、 Aventail アプ ラ イ ア ン ス と 統合す る こ と で、 ID お よ びパ ス ワ ー ド 盗難を防止 し 、 デー タ 損失を予防 し て、 ネ ッ ト ワ ー ク 帯域幅を回復 し 、 IT お よ びユーザーの生産性を向 上 さ せ ます。 詳細については、 http://www.zonelabs.com/store/content/company/corpsales/clientSecurity.jsp を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 199 X Zone Labs Integrity Clientless Security と の統合を有効にする には 1. Zone Labs Integrity Clientless Security フ ァ イ ルを取得 し ま す。( 詳細については Aventail チ ャ ネル パー ト ナーに問い合わせ ) 2. Zone Labs Integrity Clientless Security フ ァ イ ルを アプ ラ イ ア ン ス の /usr/local/epcagents/htdocs/preauth/malware/zls デ ィ レ ク ト リ にア ッ プ ロ ー ド し ます。 3. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら 、 [Agent Configuration] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページが表示 さ れ ます。 4. [End Point Control Agents] セ ク シ ョ ン で、 [Client integrity] に対応す る [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Client Integrity] ページが表示 さ れ ます。 5. [Zone Labs Integrity Clientless Security] を ク リ ッ ク し ます。 6. [Save] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページに戻 り ます。 メモ • Zone Labs Integrity Clientless Security と の統合を有効に し た ら 、 Zone Labs ア ッ プデー ト を定期的 にア ッ プ ロ ー ド す る こ と に よ り 、 Zone Labs ソ フ ト ウ ェ ア を最新の状態に保つ よ う に し ま す。 Zone Labs Integrity Clientless Security では、 Aventail アプ ラ イ ア ン ス か ら 自動更新を実行す る こ と はで き ません。 200 | 第 8 章 - End Point Control Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 201 第9章 ASAP WorkPlace ポー タ ル Aventail® の ASAP™ WorkPlace ポー タ ルでは、 ユーザーに よ る Web ベー ス の リ ソ ース に対す る ア ク セ ス (HTTP) を、 動的にパー ソ ナ ラ イ ズす る こ と がで き ます。 ま た、 ユーザーが、 Windows フ ァ イ ル サーバーの フ ァ イ ル と フ ォ ルダへ Web ブ ラ ウ ザか ら ア ク セ ス で き る よ う にな る 他、 ASAP WorkPlace が提供す る Aventail® OnDemand™ エージ ェ ン ト を使用 し て TCP/IP リ ソ ース にア ク セ ス で き る よ う にな り ます。 ASAP WorkPlace のク イ ッ ク ツアー ユーザーが ASAP WorkPlace にア ク セ ス す る と 、 ロ グ イ ン ページが表示 さ れ ます。 アプ ラ イ ア ン ス で複数の レ ルム が構成 さ れてい る 場合、 ユーザーがいずれかの レ ルム を指定す る こ と にな り ます。 次にユーザーは、 認証 ク レデン シ ャ ルを指定す る よ う 求め ら れ ま す。 ク ラ イ ア ン ト 証明書で認証す る ユーザー は、 こ のページ を目にす る こ と はあ り ま せん。 シ ス テ ム が End Point Control を使用す る よ う 構成 し てい る 場合に、 エ ン ド ユーザーがシ ス テ ム にア ク セ ス す る 方法が ど う 変わ る かについては、 225 ページの 「End Point Control と ユーザーの ロ グ イ ン プ ロ セ ス 」 を参 照 し て く だ さ い。 202 | 第 9 章 - ASAP WorkPlace ポー タ ル [Home] ページ ユーザーの認証が終わ っ た ら 、 ASAP WorkPlace の [Home] ページが表示 さ れ ます。 こ こ には、 ユーザーがア ク セ ス を許可 さ れてい る Web リ ソ ース 、 フ ァ イ ル シ ス テ ム リ ソ ー ス 、 タ ー ミ ナル サーバー リ ソ ー ス に対す る シ ョ ー ト カ ッ ト で、 管理者が定義 し た も のが表示 さ れ ま す。 こ れ ら のシ ョ ー ト カ ッ ト は、 ア ク セ ス ポ リ シーに基づいて動的に表示 さ れ る も ので、 ユーザーが使用す る 権限を持つ リ ソ ース のみが 表示 さ れ ます。 こ れ ら のシ ョ ー ト カ ッ ト を作成す る 方法については、 207 ページの 「シ ョ ー ト カ ッ ト の利用」 を参照 し て く だ さ い。 ユーザーが Web リ ソ ー ス に対す る シ ョ ー ト カ ッ ト を ク リ ッ ク す る と 、 その リ ソ ース が、 新 し いブ ラ ウ ザ ウ ィ ン ド ウ で開 き ます。 ユーザーが タ ー ミ ナル サーバーの リ ソ ース に対す る シ ョ ー ト カ ッ ト を ク リ ッ ク す る と 、 そ の リ ソ ース が、 新 し いブ ラ ウ ザ ウ ィ ン ド ウ で開 き 、 対応す る グ ラ フ ィ カル タ ー ミ ナル エージ ェ ン ト が自動的 に始動 し ま す。 必要であればプ ロ ビ ジ ョ ニ ン グ さ れ ま す。 ユーザーが共有フ ォ ルダ ま たは フ ァ イ ルに対す る シ ョ ー ト カ ッ ト を ク リ ッ ク す る と 、 その リ ソ ー ス が、 WorkPlace の [Network Explorer] ページで開 き ます。 ただ し 、 フ ァ イ ル シ ス テ ム リ ソ ー ス に対す る すべてのア ク セ ス を拒否 し てい る 場合は、 フ ァ イ ル シ ス テ ム リ ソ ー ス を ポ イ ン ト す る ネ ッ ト ワ ー ク シ ョ ー ト カ ッ ト は表示 さ れ ません。 フ ァ イ ル シ ス テ ム リ ソ ー ス に対す る ア ク セ ス を無効にす る 方法については、 205 ページの 「ASAP WorkPlace の一般設定の構成」 を参照 し て く だ さ い。 ま た、 [Intranet Address] ボ ッ ク ス を表示す る よ う 選択す る こ と も で き 、 その場合は、 Web リ ソ ー ス (URL を入力 ) ま たはフ ァ イ ル シ ス テ ム リ ソ ー ス (UNC パ ス 名を入力 )、あ る いはその両方にア ク セ ス す る ために こ れを使用で き る よ う 構成す る こ と がで き ま す。 ASAP WorkPlace の [Home] ページには、 [Connection Status] エ リ アがあ り 、 現在動作 し てい る ユー ザー ア ク セ ス方式、 ゾーン ス テー タ ス 、 セ ッ シ ョ ン開始時刻な ど が示 さ れ ます。 ユーザーは、 こ のエ リ アの [Details] リ ン ク を ク リ ッ ク す る と 、 動作 し てい る ユーザー ア ク セ ス 方式の詳細を参照で き る 他、 詳細な接続 ス テー タ ス 情報 も 表示す る こ と がで き ます。 Aventail OnDemand を ユーザー環境に イ ン ス ト ールす る 場合、 デフ ォ ル ト では、 ユーザーが WorkPlace に ロ グ イ ンす る と き に OnDemand が自動的に起動 し ま す。 ユーザーは、 [Connection Status] エ リ アで OnDemand 接続の ス テー タ ス を参照す る こ と がで き ます。 ま た、 ユーザーが WorkPlace の [Home] ページ の リ ン ク を ク リ ッ ク す る こ と で起動で き る よ う OnDemand を構成す る こ と も で き ます。 OnDemand と と も に動作す る よ う 構成 し た特定の ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン が自動的に起動す る よ う シ ョ ー ト カ ッ ト を作成す る こ と も で き ます。 詳細については、 241 ページの 「OnDemand と 一緒に使用す る アプ リ ケーシ ョ ン の構成」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 203 Aventail ア ク セ ス エージ ェ ン ト のいずれか を ユーザー環境に イ ン ス ト ール し てい る 場合、 WorkPlace の [Home] ページには、 [Access Agents] エ リ アが表示 さ れ、 ユーザーが使用を許可 さ れてい る ア ク セ ス エー ジ ェ ン ト が リ ス ト さ れ ます。 こ のエ リ アには、 次の リ ン ク が入 り ま す。 • [OnDemand]: こ の リ ン ク を ク リ ッ ク す る と 、 Aventail OnDemand が起動 し ま す。 • [Network Explorer]: こ の リ ン ク を ク リ ッ ク す る と 、 共有フ ォ ルダ と フ ァ イ ルが含ま れ る Windows ネ ッ ト ワ ー ク をユーザーがブ ラ ウ ズで き る よ う にな り ま す。 • [Software Update]: こ の リ ン ク を ク リ ッ ク す る と 、 最新バージ ョ ン の Aventail ア ク セ ス エージ ェ ン ト ソ フ ト ウ ェ ア を ダ ウ ン ロ ー ド す る こ と がで き ます。 ユーザー ア ク セ ス エージ ェ ン ト の詳細については 227 ページの 「ユーザー ア ク セ ス コ ン ポーネ ン ト お よ び サービ ス」 を参照 し て く だ さ い。 ユーザーは、 右上隅の [Log out] ボ タ ン を ク リ ッ ク す る こ と で、 WorkPlace か ら ロ グ ア ウ ト で き ま す。 こ の [Log out] ボ タ ン を ク リ ッ ク す る と 、 ユーザーは WorkPlace か ら ロ グ ア ウ ト し ま すが、 必ず し も 、 動作中の アプ リ ケーシ ョ ン か ら ロ グ ア ウ ト す る わけではあ り ま せん ( ど のユーザー ア ク セ ス エージ ェ ン ト が使用 さ れて い る かに よ っ て異な る )。 セ キ ュ リ テ ィ を向上 さ せ る には、 アプ リ ケーシ ョ ン を使用 し 終わ っ た段階で ロ グ ア ウ ト し て終了す る 必要があ り ま す。 特に他のユーザー と 共有 し てい る コ ン ピ ュ ー タ の場合は こ れが重要にな り ます。 メモ • 小型携帯端末で WorkPlace にア ク セ ス す る 場合、 そのデバ イ ス の機能に よ っ て WorkPlace の外観が変 動 し ま す。 詳細については、 225 ページの 「End Point Control と ユーザーの ロ グ イ ン プ ロ セ ス 」 を参照 し て く だ さ い。 [Intranet Address] ボッ クス [Intranet Address] ボ ッ ク ス を有効にす る と 、 ASAP WorkPlace の右上隅に こ のボ ッ ク ス が表示 さ れ る よ う にな り ま す。 ただ し 小型携帯端末の場合、 [Intranet Address] ボ ッ ク ス は使用で き ま せん。 [Intranet Address] ボ ッ ク ス では、 Web リ ソ ー ス 、 Windows ネ ッ ト ワ ー ク リ ソ ー ス、 タ ー ミ ナル サー バーにア ク セ スす る ための別の方法が提供 さ れ ます。 構成に よ っ ては、 WorkPlace が ト ラ ン ス レーテ ッ ド モー ド で動作 し てい る 場合、 ユーザーは、 URL を入力す る こ と に よ っ て Web リ ソ ース にア ク セ スす る こ と が で き ます。 ま た、 UNC パス を入力 し て フ ァ イ ル シ ス テ ム リ ソ ー ス にア ク セ ス す る こ と も で き ま す。 (WorkPlace が標準モー ド で動作 し てい る 場合、 ユーザーは Internet Explorer の [Address] ボ ッ ク ス に直 接 URL を入力可 )。 こ れは、 DNS 全体 ま たは Windows ド メ イ ン を リ ソ ー ス と し て定義 し てお り 、 ユーザー のグループがその ド メ イ ン内のすべての リ ソ ー ス に直接ア ク セ ス で き る よ う に し たい場合な ど、 特に便利です。 WorkPlace が ト ラ ン ス レーテ ッ ド モー ド で動作 し てい る と き に Web リ ソ ー スや タ ー ミ ナル サーバーにア ク セ ス す る 場合、 ユーザーは URL を [Intranet Address] ボ ッ ク ス に入力 し て、 [Go] を ク リ ッ ク し ま す。 ユーザーに適切な ア ク セ ス 権限があ る 場合、 その Web リ ソ ース が、 新 し いブ ラ ウ ザ ウ ィ ン ド ウ で開 き ます。 [Intranet Address] ボ ッ ク ス は、 Web リ ソ ー ス にア ク セ ス す る ための さ ま ざ ま なユーザー入力を受け付け ます。 要素 説明 リ ソ ース ア ド レ ス リ ソ ースは、 完全な URL ( ド メ イ ン およ びホス ト 名 ) ま たはホス ト 名のみを入力す る こ と でア ク セスする こ と がで き ます。 た と えば、 「fred」 と い う ホス ト の リ ソ ース 「CRM」 にア ク セ スする場合、 完全な URL (http://fred.example.com/CRM/) ま たはホス ト 名 (http://fred/CRM/ または fred/CRM/ な ど ) を使用 し て ア ク セ スす る こ と がで き ます。 プロ ト コル ユーザーは、標準 Web リ ソ ースに http:// プ ロ ト コル識別子を入れる必要はあ り ま せん ( デ フ ォル ト で [Intranet Address] ボ ッ ク スに挿入 さ れる )。 ただ し 、 セ キ ュ ア な Web サ イ ト にア ク セスする場合は、 https:// プ ロ ト コル識別子を入れな ければな り ません。 タ ー ミ ナル サーバーの リ ソ ースの名前を指定する と き、 ユーザーは URL に適切な プ ロ ト コル識別子を入れなければな り ません。 サポー ト さ れてい る タ ー ミ ナル サー バー タ イ プは Windows Terminal Services と Citrix で、 前者の場合 「rdp://」 識別子、 後者の場合 「citrix://」 識別子を使用 し ます。 ポー ト 番号 非標準ポー ト ( つま り 80 以外のポー ト ) で Web リ ソ ースにア ク セ スする場合、 ユーザーはホス ト 名の後にポー ト 番号を指定 し なければな り ません。 た と えば、 「fred:8080/SAP」 と 「https://fred:443/SAP」 はど ち ら も 有効な エ ン ト リ です。 204 | 第 9 章 - ASAP WorkPlace ポー タ ル フ ァ イ ル シ ス テ ム リ ソ ー ス にア ク セ ス す る 場合、 ユーザーは UNC パ ス ( た と えば 「\\jax\software\download」 ) を [Intranet Address] ボ ッ ク ス に入力 し て [Go] を ク リ ッ ク し ます。 ユーザーに適切な ア ク セ ス 権限があ る 場合、 [Network Explorer] ページが開 き 、 要求 さ れた フ ァ イ ル シ ス テ ム リ ソ ー ス の内容が表示 さ れ ま す。 [Intranet Address] ボ ッ ク ス の表示や機能を構成す る 方法については、 205 ページの 「ASAP WorkPlace の一般設定の構成」 を参照 し て く だ さ い。 [Network Explorer] ページ ユーザーが ( ネ ッ ト ワ ー ク シ ョ ー ト カ ッ ト の ク リ ッ ク 、 [Intranet Address] ボ ッ ク スへの UNC パ ス の入 力、WorkPlace の [Home] ページの [Network Explorer] リ ン ク の ク リ ッ ク のいずれかに よ り ) フ ァ イ ル シ ス テ ム リ ソ ー ス にア ク セ ス す る と 、 [Network Explorer] ページが表示 さ れ ます。 ただ し 小型携帯端末の場 合、 [Network Explorer] ページは使用で き ません。 こ のページには、 要求 さ れた フ ァ イ ル シ ス テ ム リ ソ ー ス の内容が表示 さ れ ます。 ユーザーのア ク セ ス 権限に よ り 、 フ ァ イ ルに対 し て、 内容 と プ ロ パテ ィ の表示、 名前の変更、 コ ピー、 移動、 ダ ウ ン ロ ー ド 、 削除な ど の ア ク シ ョ ン を実行す る こ と がで き ます。 ユーザーは、 新 し い フ ォ ルダ を作成す る こ と も で き ます。 管理者が ア ッ プ ロ ー ド 機能を有効に し てお り (205 ページの 「ASAP WorkPlace の一般設定の構成」 を参照 )、 ユー ザーに書 き 込み権限があ る 場合、 ユーザーはフ ァ イ ルを ア ッ プ ロ ー ド す る こ と がで き ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 205 ASAP WorkPlace のク ラ イアン ト の要件 ASAP WorkPlace は、 次のデバ イ ス タ イ プ と 互換性があ り ま す。 小型携帯端末では、 広範囲のオペ レーテ ィ ン グ シ ス テ ム と ブ ラ ウ ザを、 さ ま ざ ま な組み合わせで使用 し てい ます。 それぞれの タ イ プの小型携帯端末で WorkPlace をデプ ロ イ す る 場合の詳細については、225 ページの 「End Point Control と ユーザーの ロ グ イ ン プ ロ セ ス」 を参照 し て く だ さ い。 標準的なパ ソ コ ン ASAP WorkPlace は、 次のオペレーテ ィ ン グ シ ス テ ム と ブ ラ ウ ザが動作す る 標準的なパ ソ コ ン で動作 し ま す。 オペ レーテ ィ ン グ シ ステム Web ブ ラ ウザ Service Pack 2 がイ ン ス ト ール さ れた Windows XP Service Pack 1 がイ ン ス ト ール さ れた Microsoft Internet Professional、Service Pack 2 がイ ン ス ト ール さ れた Explorer v6.0、 または Mozilla Firefox 1.0 Windows XP Home Edition、 Service Pack 4 がイ ン ス ト ール さ れた Windows 2000 Macintosh OS X Macintosh Safari 1.2 または Java 対応の Mozilla Firefox 1.0 Linux Java 対応の Mozilla Firefox 1.0 ス マー ト フ ォ ン お よび Pocket PC デバイ ス ASAP WorkPlace は、 ス マー ト フ ォ ン、 Windows Pocket PC デバ イ ス、 携帯情報端末 (PDA) で動作 し ま す。 こ の ク ラ ス のデバ イ ス には、 XHTML を使用す る Pocket PC お よ び PDA デバ イ ス 、 ス マー ト フ ォ ン が含ま れ ます。 携帯電話 ASAP WorkPlace は、 Wireless Application Protocol (WAP) v2.0 ま たは XHTML を使用す る 携帯電話、 cHTML を使用す る iMode で動作 し ま す。 ただ し WorkPlace では、 WML プ ロ ト コ ルはサポー ト し てい ま せ ん。 ASAP WorkPlace の一般設定の構成 こ の節では、 ASAP WorkPlace の一般設定の構成方法について説明 し ます。 WorkPlace の外観を カ ス タ マ イ ズす る 方法については、 214 ページの 「WorkPlace サ イ ト 」 を参照 し て く だ さ い。 ただ し こ の設定は、 小型 携帯端末には当ては ま り ません。 小型携帯端末に合わせて WorkPlace を最適化す る 方法については、 225 ページの 「End Point Control と ユーザーの ロ グ イ ン プ ロ セ ス」 を参照 し て く だ さ い。 X ASAP WorkPlace の一般設定を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し て、 [Access services] セ ク シ ョ ン の [ASAP WorkPlace] で [Configure] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Configure WorkPlace] ページが表示 さ れ ます。 2. こ の タ ブの上部のセ ク シ ョ ン で、 Windows フ ァ イ ル シ ス テ ム ア ク セ ス を制御す る オプシ ョ ン を指定 し ます。 • ユーザーが Windows フ ァ イ ル シ ス テ ム リ ソ ー ス に Web ベー ス で ア ク セ ス で き る よ う に し たい場 合、 [Enable access to network file shares] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 こ のオプシ ョ ン が有効にな る と 、 ユーザーは、 ASAP WorkPlace か ら ([Network Explorer] ページ、 作成 し た ネ ッ ト ワ ー ク シ ョ ー ト カ ッ ト 、 [Intranet Address] ボ ッ ク ス経由 ( ただ し 表示 さ れ る よ う 構成 し てい る 場合 ) で ) フ ァ イ ル シ ス テ ム リ ソ ー ス にア ク セ ス で き る よ う にな り ま す。 こ のオプシ ョ ン が無効の場合、 ユーザーは、 ASAP WorkPlace か ら Windows フ ァ イ ル シ ス テ ム リ ソ ー ス を ブ ラ ウ ズ し た り 接続 し た り す る こ と がで き な く な り ま す。 206 | 第 9 章 - ASAP WorkPlace ポー タ ル • 3. ユーザーが Windows フ ァ イ ル シ ス テ ム リ ソ ー ス に フ ァ イ ルを ア ッ プ ロ ー ド で き る よ う に し たい場 合、 [Enable file uploads] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 こ の機能は、 デフ ォ ル ト で無効に な っ てい ま す。 こ の機能が有効にな る と 、 ア ッ プ ロ ー ド す る フ ァ イ ルのサ イ ズに よ っ ては、 アプ ラ イ ア ン ス のパフ ォ ーマ ン ス が悪化 し ます。 ま た こ の設定は、 フ ァ イ ル シ ス テ ム のア ク セ ス制御ルール で設定 し てい る ユーザー権限 よ り も 優先 さ れ ます。 ア ク セ ス ルールで フ ァ イ ル シ ス テ ムへの書 き 込 みア ク セ ス を ユーザーに与え てい る 場合で も 、 フ ァ イ ル ア ッ プ ロ ー ド が無効にな っ ていれば、 ユー ザーは フ ァ イ ルの移動 と 削除はで き ますが、 書 き 込みがで き な く な り ます。 [Intranet Address box] エ リ アで、 WorkPlace におけ る [Intranet Address] ボ ッ ク ス の表示 と 機能を制御す る オプシ ョ ン を指定 し ま す。 一方のオプシ ョ ン ま たは両方のオプ シ ョ ン を有効に し てい る 場 合、 [Intranet Address] ボ ッ ク ス が WorkPlace の右上隅に表示 さ れ る よ う にな り ま す。 ど ち ら のオ プシ ョ ン も 無効で あれば、 こ のボ ッ ク ス は表示 さ れ ま せん。 • ユーザーが UNC パ ス を [Intranet Address] ボ ッ ク ス に入力 し て Windows フ ァ イ ル シ ス テ ム にア ク セ ス で き る よ う にす る 場合、 [Enable access to Windows network resources] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 こ のチ ェ ッ ク ボ ッ ク ス は、 ([Enable access to network file shares] チ ェ ッ ク ボ ッ ク ス を ク リ ッ ク す る こ と に よ り ) フ ァ イ ル シ ス テ ム リ ソ ー ス に対す る Web ベー ス のア ク セ ス を許可 し てい る 場合に限っ て表示 さ れ ます。 • ユーザーが URL を WorkPlace の [Intranet Address] ボ ッ ク ス に入力 し て Web リ ソ ー ス にア ク セ ス で き る よ う にす る 場合、 [Enable access to Web resources] チ ェ ッ ク ボ ッ ク ス を選択 し ます。 こ れは、 DNS ド メ イ ン全体を リ ソ ー ス と し て定義 し てお り 、 ( その ド メ イ ン内の個別の Web リ ソ ース を定義す る こ と な し に ) ド メ イ ン内のすべての Web サーバーへのア ク セ ス を許可 し たい場合な ど、 特に便利です。 こ の設定は、 WorkPlace が ト ラ ン ス レーテ ッ ド モー ド で動作 し てい る 場合に限っ て適用 さ れ ま す。 Web リ ソ ース の定義については、 92 ページの 「 リ ソ ー ス の追加」 を参照 し て く だ さ い。 メモ • こ れ ら のオプシ ョ ン の影響を受け る のは、 [Intranet Address] ボ ッ ク ス か ら 選択で き る リ ソ ー ス の タ イ プのみで、 ア ク セ ス 制御ポ リ シーには影響 し ません。 • こ のボ ッ ク ス の詳細については、 203 ページの 「[Intranet Address] ボ ッ ク ス」 を参照 し て く だ さ い。 ASAP WorkPlace のカス タ マイズ ASAP WorkPlace は、 AMC か ら 大幅にカ ス タ マ イ ズで き る よ う にな っ てい ます。 管理者は、 ユーザーに提示 さ れ る Web リ ソ ー ス と フ ァ イ ル シ ス テ ム リ ソ ース の他、 ユーザーが こ れ ら の リ ソ ー ス にア ク セ ス で き る 方 法、 ユーザー イ ン タ フ ェ ース の表示方法な ど を制御す る こ と がで き ま す。 以下の節では、 WorkPlace ユーザー イ ン タ フ ェ ー ス のカ ス タ マ イ ズ方法の他、 シ ョ ー ト カ ッ ト の作成方法 と 管理方法について説明 し ます。 フ ァ イ ル シ ス テ ム リ ソ ース へのア ク セ ス 、 フ ァ イ ル ア ッ プ ロ ー ド 、 [Intranet Address] ボ ッ ク ス を有効にす る 方法については、 205 ページの 「ASAP WorkPlace の一般設定 の構成」 を参照 し て く だ さ い。 Web リ ソ ー ス お よ びフ ァ イ ル シ ス テ ム リ ソ ー ス に対す る シ ョ ー ト カ ッ ト を構成す る こ と も で き ます。 シ ョ ー ト カ ッ ト を構成す る と 、 ユーザーが [Intranet Address] ボ ッ ク ス に URL や UNC パ ス を入力す る 必要がな く な り ます。 こ れ ら のシ ョ ー ト カ ッ ト は、 WorkPlace の [Home] ページに表示 さ れ、 素早 く 簡単に使用で き ます。 ユーザーが、 特定の URL、 ホ ス ト 名、 フ ァ イ ル シ ス テ ム パス を知っ てお く 必要はあ り ません。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 207 シ ョ ー ト カ ッ ト の利用 ASAP WorkPlace では、 適切な ア ク セ ス権限を持つユーザーが、 Web ブ ラ ウ ザを使用 し て Web リ ソ ー ス、 タ ー ミ ナル サーバー、 Windows フ ァ イ ル サーバー上の フ ァ イ ルやフ ォ ルダにア ク セ スす る こ と がで き ま す。 デフ ォ ル ト の場合、 リ ソ ー ス を AMC で定義 し ていて も 、 適切な シ ョ ー ト カ ッ ト を作成 し ない限 り 、 WorkPlace には表示 さ れ ません。 こ の節では、 ASAP WorkPlace に表示 さ れ る シ ョ ー ト カ ッ ト の作成方法 と 管理方法について説明 し ます。 フ ァ イ ル シ ス テ ム リ ソ ー ス へのア ク セ ス を有効にす る 方法については、 205 ページの 「ASAP WorkPlace の 一般設定の構成」 を参照 し て く だ さ い。 シ ョ ー ト カ ッ ト の表示 管理者は、 AMC で構成 さ れたすべてのシ ョ ー ト カ ッ ト の リ ス ト を参照す る こ と がで き ま す。 ただ し 、 ユーザー が ASAP WorkPlace にア ク セ ス す る と き 、 ア ク セ ス ポ リ シーお よ び各シ ョ ー ト カ ッ ト に対応 し たデバ イ ス の タ イ プに従っ て、 そのユーザーがア ク セ ス 権限を持っ てい る リ ソ ー ス のみを表示す る よ う フ ィ ル タ リ ン グす る こ と も で き ま す。 AMC と ASAP WorkPlace の両方で、 あ ら ゆ る 種類のシ ョ ー ト カ ッ ト (Web、 ネ ッ ト ワ ー ク 、 グ ラ フ ィ カル タ ー ミ ナル ) が 1 つの リ ス ト に表示 さ れ ます。 ま た、 ASAP WorkPlace では、 シ ョ ー ト カ ッ ト の リ ス ト が [WorkPlace Shortcuts] ページ と ま っ た く 同 じ 順序で表示 さ れ ま す。 X シ ョ ー ト カ ッ ト を表示する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [ASAP WorkPlace] を ク リ ッ ク し て、 [WorkPlace Shortcuts] タ ブ を ク リ ッ ク し ま す。 2. フ ィ ール ド のデー タ を確認 し ます。 • チ ェ ッ ク ボ ッ ク ス 列は、 1 つ ま たは複数のシ ョ ー ト カ ッ ト を選択す る と き に使用 し ます。 シ ョ ー ト カ ッ ト の削除 ([Delete] ボ タ ン を使用 ) や順序変更 ([Move Up] ボ タ ンお よ び [Move Down] ボ タ ン を使用 ) な ど を行 う と き に こ れを使用 し ま す。 • 数値の列は、 ASAP WorkPlace でシ ョ ー ト カ ッ ト が リ ス ト さ れ る 順序を示 し ま す。 シ ョ ー ト カ ッ ト を編集す る と き は、 対応す る 番号を ク リ ッ ク し ます。 • [Link text] 列には、 Web リ ソ ー ス にア ク セ ス す る ためのハ イ パー リ ン ク テ キ ス ト が表示 さ れ ま す。 リ ン ク テ キ ス ト を ク リ ッ ク す る こ と に よ り 、 シ ョ ー ト カ ッ ト を編集す る こ と も で き ま す。 • [Resource] 列には、 リ ソ ー ス の名前が表示 さ れ ま す。 • [Type] 列には、 シ ョ ー ト カ ッ ト の タ イ プが表示 さ れ ます。 サポー ト さ れてい る シ ョ ー ト カ ッ ト タ イ プは、 Web シ ョ ー ト カ ッ ト 、 ネ ッ ト ワ ー ク シ ョ ー ト カ ッ ト 、 グ ラ フ ィ カル タ ー ミ ナル シ ョ ー ト カ ッ ト です。 208 | 第 9 章 - ASAP WorkPlace ポー タ ル Web シ ョ ー ト カ ッ ト の追加 Web シ ョ ー ト カ ッ ト を使用す る と 、 ユーザーが Web リ ソ ー ス に素早 く ア ク セ ス で き る よ う にな り ま す。 Web リ ソ ー ス に対す る シ ョ ー ト カ ッ ト を作成す る と き は、 あ ら か じ めその リ ソ ー ス を定義 し て なければな り ま せん ( 詳細については、 92 ページの 「 リ ソ ー ス の追加」 を参照 )。 X Web シ ョ ー ト カ ッ ト を追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [ASAP WorkPlace] を ク リ ッ ク し て、 [WorkPlace Shortcuts] タ ブ を ク リ ッ ク し ま す。 2. [New] を ク リ ッ ク し て、 リ ス ト か ら [Web shortcut] を選択 し ます。 こ の操作に よ り 、 [Add/Edit Web Shortcut] ページが表示 さ れ ます。 3. [Add/Edit Web Shortcut] ページの [Genral] セ ク シ ョ ン で [Number] ボ ッ ク ス に、 WorkPlace の [Shortcuts] リ ス ト 内のシ ョ ー ト カ ッ ト の位置を指定す る 数値を入力 し ます。 4. [Link text] ボ ッ ク ス に、 Web リ ソ ー ス にア ク セ スす る と き に使用す る ハ イ パー リ ン ク テ キ ス ト を入力 し ます。 5. [Description] ボ ッ ク ス に、 そのシ ョ ー ト カ ッ ト についての コ メ ン ト をわか り やす く 入力 し ます。 こ の 手順はオプシ ョ ン ですが、 説明を入れてお く と 、 後で Web リ ソ ー ス を参照す る と き に識別 し やす く な る ため便利です。 こ の コ メ ン ト は リ ン ク テ キ ス ト の下に表示 さ れ ま す。 6. [Resource] リ ス ト で、 こ のシ ョ ー ト カ ッ ト が リ ン ク し てい る リ ソ ー ス を選択 し ま す。 こ の リ ス ト には、 定義済みのすべての URL リ ソ ー ス が表示 さ れ ま す。 7. 高度なオプシ ョ ン を指定す る には、 [Next] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Add/Edit Web Shortcut] ページの [Advanced] セ ク シ ョ ン が表示 さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 209 8. [Make link available to these devices] で、 シ ョ ー ト カ ッ ト を使用す る デバ イ ス の タ イ プ を指定 し ます。 WorkPlace では、 さ ま ざ ま な小型携帯端末をサポー ト し てい ますが、 すべての Web リ ソ ー ス が すべてのデバ イ ス と 互換性を持っ てい る わけではあ り ません。 た と えば、 Outlook Web Access は、 標 準ブ ラ ウ ザでなければ使用で き ませんが、 Outlook Mobile Access は、 小型携帯端末でなければ使用で き ま せん。 ま た Java や JavaScript を必要 と す る アプ リ ケーシ ョ ンは、 こ のプ ロ ト コ ルをサポー ト し て いない小型携帯端末では動作 し ません。 それぞれの WorkPlace シ ョ ー ト カ ッ ト は、 それを サポー ト す る デバ イ ス タ イ プに対応 さ せ る こ と がで き ま す。 た と えば、 [All] を ク リ ッ ク す る と 、 Web リ ソ ー ス自体 がすべてのデバ イ ス でサポー ト さ れていない場合で も 、 すべてのデバ イ ス タ イ プでシ ョ ー ト カ ッ ト が表 示 さ れ る よ う にな り ます。 小型携帯端末限定でシ ョ ー ト カ ッ ト を プ ロ ビ ジ ョ ニ ン グす る 場合、 [Selected] を ク リ ッ ク し て、 サポー ト 対象のデバ イ ス タ イ プ を指定 し ま す。 9. 必要で あれば、 [Start page] ボ ッ ク ス を使用 し て、 選択 し た URL に固有の情報を追加 し ます。 た と え ば、 リ ン ク がルー ト 以外のデ ィ レ ク ト リ やフ ァ イ ルを ポ イ ン ト す る よ う に し たい場合、 [Start page] ボ ッ ク ス にその相対パ ス を入力 し ま す。 こ の機能は、 ルー ト 以外の ロ ケーシ ョ ン に内容を保管す る Web アプ リ ケーシ ョ ン で使用す る と 便利で す。 た と えば、 選択 し た URL が Outlook Web Access 用の も ので、 mail.example.com を ポ イ ン ト す る 場合、 ス タ ー ト ページ を /exchange/root.asp に設定す る こ と がで き ま す。 こ の結果、 URL は https://mail.example.com/exchange/root.asp にな り ま す。 ネッ ト ワーク シ ョ ー ト カ ッ ト の追加 ネ ッ ト ワ ー ク シ ョ ー ト カ ッ ト を作成す る と 、 ユーザーが フ ァ イ ル シ ス テ ム リ ソ ース に素早 く ア ク セ ス で き る よ う にな り ま す。 フ ァ イ ル シ ス テ ム リ ソ ース に対す る シ ョ ー ト カ ッ ト を作成す る と き は、 あ ら か じ めその リ ソ ー ス を定義 し てな ければな り ま せん ( 詳細については、 92 ページの 「 リ ソ ー ス の追加」 を参照 )。 X ネ ッ ト ワー ク シ ョ ー ト カ ッ ト を追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [ASAP WorkPlace] を ク リ ッ ク し て、 [WorkPlace Shortcuts] タ ブ を ク リ ッ ク し ま す。 2. [New] を ク リ ッ ク し て、 リ ス ト か ら [Network shortcut] を選択 し ます。 こ の操作に よ り 、 [Add/Edit Network Shortcut] ページが表示 さ れ ます。 3. [Number] ボ ッ ク ス に、 WorkPlace の [Shortcuts] リ ス ト 内のシ ョ ー ト カ ッ ト の位置を指定す る 数値 を入力 し ま す。 4. [Link text] ボ ッ ク ス に、 フ ァ イ ル シ ス テ ム リ ソ ー ス にア ク セ ス す る と き に使用す る ハ イ パー リ ン ク テ キ ス ト を入力 し ます。 5. [Description] ボ ッ ク ス に、 そのシ ョ ー ト カ ッ ト についての コ メ ン ト をわか り やす く 入力 し ます。 こ の 手順はオプシ ョ ン ですが、 説明を入れてお く と 、 後で フ ァ イ ル シ ス テ ム リ ソ ー ス を参照す る と き に識別 し やす く な る ため便利です。 こ の コ メ ン ト は ASAP WorkPlace の リ ン ク テ キ ス ト の隣に も 表示 さ れ ま す。 6. [Resource] リ ス ト で、 こ のシ ョ ー ト カ ッ ト が リ ン ク し てい る フ ァ イ ル シ ス テ ム リ ソ ース を選択 し ま す。 こ の リ ス ト には、 定義済みの フ ァ イ ル シ ス テ ム リ ソ ー ス が表示 さ れ ま す。 210 | 第 9 章 - ASAP WorkPlace ポー タ ル グラ フ ィ カル ター ミ ナル シ ョ ー ト カ ッ ト の追加 グ ラ フ ィ カル タ ー ミ ナル シ ョ ー ト カ ッ ト を作成す る と 、Windows Terminal Services ホ ス ト ま たは Citrix ホ ス ト で提供 さ れ る リ ソ ー ス に対 し て、 ユーザーが Web ベー ス で素早 く ア ク セ ス で き る よ う にな り ま す。 グ ラ フ ィ カル リ ソ ー ス に対す る シ ョ ー ト カ ッ ト を作成す る 場合は、 あ ら か じ め リ ソ ース を定義 し ておかなければな り ま せん ( 詳細については、 96 ページの 「 リ ソ ー ス の追加」 を参照 )。 ま た、 AMC で現在の Windows タ ー ミ ナル エージ ェ ン ト が指定 さ れてい る 必要 も あ り ます。 詳細については、 247 ページの 「グ ラ フ ィ カル タ ー ミ ナル エージ ェ ン ト 」 を参照 し て く だ さ い。 X グ ラ フ ィ カル タ ー ミ ナル シ ョ ー ト カ ッ ト を追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [ASAP WorkPlace] を ク リ ッ ク し て、 [WorkPlace Shortcuts] タ ブ を ク リ ッ ク し ま す。 2. [New] を ク リ ッ ク し て、 リ ス ト か ら [Graphical terminal shortcut] を選択 し ま す。 こ の操作に よ り 、 [Add/Edit Graphical Terminal Shortcut] ページが表示 さ れ ます。 3. [Add/Edit Graphical Terminal Shortcut] ページの [Genral] セ ク シ ョ ン で [Number] ボ ッ ク ス に、 WorkPlace の [Shortcuts] リ ス ト 内のシ ョ ー ト カ ッ ト の位置を指定す る 数値を入力 し ま す。 4. [Link text] ボ ッ ク ス に、 グ ラ フ ィ カル リ ソ ー ス にア ク セ ス す る と き に使用す る ハ イ パー リ ン ク テ キ ス ト を入力 し ま す。 5. [Description] ボ ッ ク ス に、 そのシ ョ ー ト カ ッ ト についての コ メ ン ト をわか り やす く 入力 し ます。 こ の 手順はオプシ ョ ン ですが、 説明を入れてお く と 、 後で ホ ス ト を参照す る と き に識別 し やす く な る ため便利 です。 こ の コ メ ン ト は ASAP WorkPlace の リ ン ク テ キ ス ト の隣に も 表示 さ れ ま す。 6. [Resource] リ ス ト で、 こ のシ ョ ー ト カ ッ ト が リ ン ク し てい る リ ソ ー ス を選択 し ま す。 こ の リ ス ト には、 定義済みの リ ソ ー ス が表示 さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 211 7. [Next] を ク リ ッ ク し ま す。 こ の操作で、 [Add/Edit Graphical Terminal Shortcut] ページの [Advanced] セ ク シ ョ ンが表示 さ れ ます。 8. [Session type] で、 起動す る セ ッ シ ョ ン の タ イ プ を指定 し ます。 9. • Windows Terminal Services ホ ス ト と の接続を起動す る 場合は、 [Windows Terminal Services] を ク リ ッ ク し ます。 [Port] ボ ッ ク ス には、 Windows Terminal Services 接続のポー ト 番号を指定 し ます。 • Citrix ホ ス ト と の接続を起動す る 場合は、 [Citrix] を ク リ ッ ク し ます。 [Port] ボ ッ ク ス には、 接続 のポー ト 番号を指定 し ま す。 オプシ ョ ン と し て、 [Custom ICA file] にパ ス を入力す る か [Browse] を ク リ ッ ク し て指定す る こ と で、 カ ス タ ム ICA フ ァ イ ルを指定す る こ と がで き ま す。 カ ス タ ム ICA フ ァ イ ルには通常、 Citrix ホ ス ト に対す る 追加の構成設定が含まれてい ます。 [Single sign-on] エ リ アで、 ユーザー ク レデン シ ャ ルがホ ス ト に渡 さ れ る 方法を指定 し ます。 ユー ザー ク レデン シ ャ ルを転送す る と 、 ユーザーが複数回 ロ グ イ ンす る ( い っ たんアプ ラ イ ア ン ス に入っ て か ら 、 再びホ ス ト にア ク セ ス し 直す ) 手間を省 く こ と がで き ます。 • シ ン グル サ イ ン オ ン を オ フ に し てユーザーに ク レデン シ ャ ルを要求す る と き は、 [None] を ク リ ッ ク し ま す。 • 認証に使用 さ れ る ユーザー名 と パ ス ワ ー ド を WorkPlace と ホ ス ト の両方に渡す と き は、[Forward user's session credentials] を ク リ ッ ク し ます。 • すべてのユーザーについて同 じ ユーザー名 と パ ス ワ ー ド を転送す る には、 [Forward static credentials] を ク リ ッ ク し ま す。 すべてのユーザーに転送す る には、 静的な [Username] と [Password] を入力 し ま す。 10. [Startup options] を指定 し ま す。 • [Start application] ボ ッ ク ス に、 起動す る アプ リ ケーシ ョ ンのパ ス を入力 し ま す。 • そのアプ リ ケーシ ョ ン で作業デ ィ レ ク ト リ が必要な場合、 [Working directory] ボ ッ ク ス にパ ス を入力 し ま す。 11. [Display properties] を指定 し ます。 • [Screen resolution] リ ス ト で、 そのアプ リ ケーシ ョ ン に対す る 適切な解像度を選択 し ます。 デ フ ォ ル ト 解像度は [1024 x 768 pixels] です。 • [Color depth] リ ス ト で、 カ ラ ー深度を選択 し ます。 デフ ォ ル ト 設定は [Lowest (8-bit)] です。 カ ラ ー深度設定を高 く す る と 、 ダ ウ ン ロ ー ド 速度に影響が出 る 可能性があ り ます。 212 | 第 9 章 - ASAP WorkPlace ポー タ ル 12. [Local resource redirection] 設定を指定 し ます。 ただ し こ れ ら の設定は、 Windows Terminal Services ホ ス ト のみに当ては ま り ま す。 • セ ッ シ ョ ン中に ロ ーカル ド ラ イ ブに対す る ユーザー ア ク セ ス を可能にす る には、 [Allow access to local drives] を指定 し ま す。 • セ ッ シ ョ ン中に ロ ーカル プ リ ン タ に対す る ユーザー ア ク セ ス を可能にす る には、 [Allow access to local printers] を指定 し ま す。 13. [Save] を ク リ ッ ク し ます。 メモ • Citrix ホ ス ト でシ ン グル サ イ ン オ ン を有効にす る と 、 ユーザーの認証 ク レデン シ ャ ルが ク ラ イ ア ン ト に転 送 さ れ る よ う にな る ため、 セ キ ュ リ テ ィ が危険に さ ら さ れ る 可能性があ り ま す。 • Windows Terminal Services エージ ェ ン ト の、 オープ ン ソ ース バージ ョ ンの Java では、 [Single sign-on]、 [Start application]、 [Local resource redirection] の各オプシ ョ ン はサポー ト さ れ てい ま せん。 ま た、 こ のエージ ェ ン ト でサポー ト さ れ る [Color depth] は、 [Lowest (8-bit)] のみで す。 個人フ ォルダを示すネ ッ ト ワーク シ ョ ー ト カ ッ ト の作成 ユーザーの個人フ ォ ルダ を動的に参照す る ネ ッ ト ワ ー ク シ ョ ー ト カ ッ ト を作成す る こ と がで き ます。 こ の機能 を使用す る と 、 ASAP WorkPlace で単一のシ ョ ー ト カ ッ ト を作成 し 、 カ レ ン ト ユーザーの個人フ ォ ルダ を動 的に参照す る よ う 設定す る こ と がで き ます。 た と えば、 ユーザー jdoe が ASAP WorkPlace に接続す る と き 、 リ ン ク を ク リ ッ ク す る と 、 「\\users\jdoe」 と い う 名前の フ ォ ルダにア ク セ ス で き る よ う にな り ます。 ま た、 ユーザー rsmith が同 じ リ ン ク を ク リ ッ ク す る と 、 「\\users\rsmith」 フ ォ ルダにア ク セ ス す る こ と にな り ま す。 X 個人 フ ォ ルダに対する ネ ッ ト ワー ク シ ョ ー ト カ ッ ト を作成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Resources] を ク リ ッ ク し ます。 2. ユーザー フ ォ ルダ を含む上位デ ィ レ ク ト リ に対す る も の と 、 ユーザー名変数を参照す る も のの 2 つの フ ァ イ ル シ ス テ ム リ ソ ー ス を定義 し ま す。 リ ソ ー ス を追加す る には、 [Resources] タ ブ を ク リ ッ ク し て、 [New] ボ タ ン を ク リ ッ ク し ま す。 次に [Resource definition] エ リ アで [Network share] を ク リ ッ ク し て、 UNC パ ス を指定 し ま す。 3. a. 最初の リ ソ ー ス は、 ユーザー フ ォ ルダ を含む上位デ ィ レ ク ト リ を参照 し ます。 た と えば個人フ ォ ル ダが、 \\example\users\ と い う ネ ッ ト ワ ー ク 共有に保管 さ れてい る 場合、 「\\example\users」 と 入力 し ます。 b. 2 番目の リ ソ ー ス は、 ユーザー名変数、 XXX_Username_XXX を参照 し ま す。 た と えば個人フ ォ ル ダが、 \\example\users\ と い う ネ ッ ト ワ ー ク 共有に保管 さ れてい る 場合、 「\\example\users\XXX_Username_XXX」 と 入力 し ま す。 上位デ ィ レ ク ト リ ( こ の例では 「\\example\users\」 ) へのア ク セ ス を許可す る ア ク セ ス制御ルールを 作成 し ます。 最 も 簡単な方法は、 すべてのユーザーが こ の リ ソ ース にア ク セ ス で き る よ う に し た上で、 Windows ネ イ テ ィ ブのア ク セ ス制御を使用 し て、 それぞれのユーザーのア ク セ ス 権を自身のデ ィ レ ク ト リ に限定す る こ と です。 4. ユーザー名変数 ( こ の例では 「\\example\users\XXX_Username_XXX」 ) が含 ま れ る リ ソ ー ス を参照 す る WorkPlace ネ ッ ト ワ ー ク シ ョ ー ト カ ッ ト を作成 し ます。 XXX_Username_XXX 変数は、 [Link text] ボ ッ ク ス で も 使用す る こ と がで き ます。 た と えば、 [Link text] ボ ッ ク ス に 「\example\users\XXX_Username_XXX」 と 入力す る と 、 ユーザー jdoe が WorkPlace を開 く と き 、 ハ イ パーテ キ ス ト リ ン ク は 「\\example\users\jdoe」 の よ う にな り ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 213 シ ョ ー ト カ ッ ト の編集 ASAP WorkPlace に表示 さ れ る リ ソ ー ス の名前や説明を変更す る 場合は、 シ ョ ー ト カ ッ ト を編集す る 必要があ り ま す。 リ ソ ー ス を定義す る と き に新 し い WorkPlace シ ョ ー ト カ ッ ト を作成す る こ と も で き ますが、 既存の シ ョ ー ト カ ッ ト の設定を編集す る 場合は、 [WorkPlace Shortcuts] ページ を使用 し なければな り ま せん。 X シ ョ ー ト カ ッ ト を編集する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [ASAP WorkPlace] を ク リ ッ ク し て、 [WorkPlace Shortcuts] タ ブ を ク リ ッ ク し ま す。 2. [Web shortcuts] エ リ ア ま たは [Network shortcuts] エ リ アで、 編集す る シ ョ ー ト カ ッ ト の番号 ま たは リ ン ク テ キ ス ト を ク リ ッ ク し ま す。 た と えば、 [Web shortcuts] リ ス ト の 3 番目のシ ョ ー ト カ ッ ト を編集 し たい場合は、 [Web shortcuts] エ リ アで 「3」 を ク リ ッ ク し ま す。 3. 必要な編集を行っ て、 [Save] を ク リ ッ ク し ます。 シ ョ ー ト カ ッ ト の削除 シ ョ ー ト カ ッ ト を削除す る と 、 ユーザーが ASAP WorkPlace を開いて も そのシ ョ ー ト カ ッ ト が表示 さ れな く な り ます。 リ ソ ー ス を定義す る と き に新 し い WorkPlace シ ョ ー ト カ ッ ト を作成す る こ と も で き ますが、 シ ョ ー ト カ ッ ト を削除す る 場合は、 [WorkPlace Shortcuts] ページ を使用 し なければな り ません。 X シ ョ ー ト カ ッ ト を削除する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [ASAP WorkPlace] を ク リ ッ ク し て、 [WorkPlace Shortcuts] タ ブ を ク リ ッ ク し ま す。 2. [Web shortcuts] エ リ ア ま たは [Network shortcuts] エ リ アで、 削除す る シ ョ ー ト カ ッ ト の左に あ る チ ェ ッ ク ボ ッ ク ス を選択 し て、 [Delete] ボ タ ン を ク リ ッ ク し ま す。 シ ョ ー ト カ ッ ト の移動 ASAP WorkPlace には、 シ ョ ー ト カ ッ ト の リ ス ト が、 [WorkPlace Shortcuts] ページ と ま っ た く 同 じ 順序 で表示 さ れ ま す。 こ の機能では、 シ ョ ー ト カ ッ ト を一度に 1 段階 ま たは複数段階移動す る こ と がで き ます。 こ の機能は、 た と えば頻繁に使用す る シ ョ ー ト カ ッ ト を リ ス ト の先頭に置 き たい場合な ど に使用す る と 便利です。 X 複数のシ ョ ー ト カ ッ ト を移動する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [ASAP WorkPlace] を ク リ ッ ク し て、 [WorkPlace Shortcuts] タ ブ を ク リ ッ ク し ま す。 2. [Web shortcuts] エ リ ア ま たは [Network shortcuts] エ リ アで、 移動す る シ ョ ー ト カ ッ ト の左に あ る チ ェ ッ ク ボ ッ ク ス を選択 し ます。 3. [Move Up] ボ タ ン ま たは [Move Down] ボ タ ン を適宜 ク リ ッ ク し ま す。 [Move Up] ボ タ ン ま たは [Move Down] ボ タ ン を ク リ ッ ク す る と 、 選択 し た シ ョ ー ト カ ッ ト が ま と ま っ た状態で リ ス ト の中を そ れぞれ上下方向に 1 段階ずつ移動 し ます。 X 個別のシ ョ ー ト カ ッ ト を移動する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [ASAP WorkPlace] を ク リ ッ ク し て、 [WorkPlace Shortcuts] タ ブ を ク リ ッ ク し ま す。 2. 移動す る シ ョ ー ト カ ッ ト の番号ま たは リ ン ク テ キ ス ト を ク リ ッ ク し ま す。 た と えば、 3 番目のシ ョ ー ト カ ッ ト を移動 し たい場合は 「3」 を ク リ ッ ク し ま す。 3. [Number] ボ ッ ク ス に、 新 し い リ ス ト 位置を表す数値を入力 し ます。 た と えば、 リ ス ト の 5 番目の位置 に移動 し たい場合は、 [Number] ボ ッ ク ス に 「5」 と 入力 し ま す。 214 | 第 9 章 - ASAP WorkPlace ポー タ ル WorkPlace サイ ト 従業員、 ビ ジネ ス パー ト ナー、 サプ ラ イ ヤーな ど の さ ま ざ ま なユーザー セ グ メ ン ト に応 じ て複数の WorkPlace サ イ ト を作成す る こ と がで き ます。 それぞれのサ イ ト には、 独特の外観 ( ロ ゴ、 見出 し 、 あ い さ つ 文 ) と 固有の外部 URL を設定す る こ と がで き ます。 た と えば、 従業員向けに、 タ イ ト ル と ロ ゴ を カ ス タ マ イ ズ し た WorkPlace サ イ ト を作成 し 、 外部 URL、 http://employees.mycompany.com を割 り 当て て、 パー ト ナー向けには、 タ イ ト ル と ロ ゴ を カ ス タ マ イ ズ し たサ イ ト を作成 し 、 外部 http://partners.mycompany.com を割 り 当て る こ と がで き ます。 複数の レ ルム を構成 し てい る 場合、 オプシ ョ ン で、 WorkPlace サ イ ト を特定の レ ルム と 対応 さ せ る こ と がで き ます。 ユーザーは、 通常で あれば、 認証プ ロ セ ス で ロ グ イ ンす る レ ルム を指定 し なければな り ま せんが、 こ う し てお く と 、 こ のプ ロ セ ス を省略す る こ と がで き ま す。 ただ し 、 WorkPlace サ イ ト を特定の レ ルム と 対応 さ せ る と 、 ユーザーが他の レ ルムへの ロ グ イ ン を選択で き な く な り ま す。 ま た、 指定 さ れてい る レ ルム にユーザー が所属 し ていない場合は、 こ の WorkPlace サ イ ト にア ク セ ス で き な く な り ま す。 ASAP WorkPlace では、 次の コ ン ポーネ ン ト を カ ス タ マ イ ズす る こ と がで き ます。 企業ロ ゴ WorkPlace タ イ ト ル カ ス タ ム URL カ ス タ ム ヘルプ フ ァ イルへの リ ン ク あい さ つ文 ユーザーが外部 URL を入力 し て ASAP WorkPlace に到達す る 場合、 その URL の先頭は http:// プ ロ ト コ ル 識別子でなければな り ま せん。 ユーザーが外部 URL を入力 し て WorkPlace に到達 し た ら 、 その接続は、 セ キ ュ ア な HTTP (HTTPS) を使用 し https:// プ ロ ト コ ル識別子を持つセ キ ュ ア サ イ ト に リ ダ イ レ ク ト さ れ ま す。 メモ • AMC には、 定義済みのデフ ォ ル ト WorkPlace サ イ ト が用意 さ れてい ます。 こ のデフ ォ ル ト サ イ ト は編 集で き ますが、 削除す る こ と はで き ません。 • カ ス タ ム WorkPlace サ イ ト を指定 し ない場合、 ま たはユーザーがデフ ォ ル ト 名を使用 し て アプ ラ イ ア ン ス にア ク セ ス す る 場合、 デフ ォ ル ト WorkPlace サ イ ト が自動的に使用 さ れ ます。 • デフ ォ ル ト WorkPlace サ イ ト の [Appearance] 設定を編集す る こ と がで き ます。 ただ し 、 デフ ォ ル ト WorkPlace サ イ ト の [General] 設定は編集で き ま せん。 WorkPlace サ イ ト の編集方法については、 35 ページの 「AMC でのオブジ ェ ク ト の追加、 編集、 コ ピー、 削除」 を参照 し て く だ さ い。 • 新 し い WorkPlace サ イ ト を ゼ ロ か ら 作成す る と い う こ と をせずに、 既存のサ イ ト を コ ピー し てか ら 、 新 し いサ イ ト に合わせて特定のパ ラ メ ー タ だけ を変更す る こ と で、 時間を節約す る こ と がで き ます。 作成 し よ う と し てい る サ イ ト と ほ と ん ど の特性が共通す る 、 コ ピー元の WorkPlace サ イ ト を選択 し ます。 WorkPlace サ イ ト の コ ピー方法については、 35 ページの 「AMC でのオブジ ェ ク ト の追加、 編集、 コ ピー、 削除」 を参照 し て く だ さ い。 • WorkPlace サ イ ト が不要にな っ た ら 、 削除す る こ と がで き ます。 ただ し 、 デフ ォ ル ト WorkPlace サ イ ト は削除す る こ と がで き ま せん。 WorkPlace サ イ ト の削除方法については、 35 ページの 「AMC でのオブ ジ ェ ク ト の追加、 編集、 コ ピー、 削除」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 215 WorkPlace サイ ト の追加 AMC には、 定義済みのデフ ォ ル ト WorkPlace サ イ ト が用意 さ れてい ま す。 WorkPlace サ イ ト を追加 し たい 場合は、 必要に応 じ て、 新 し いサ イ ト を作成す る こ と がで き ます。 こ の節では、 WorkPlace サ イ ト を作成す る 方法について説明 し ます。 小型携帯端末に対す る WorkPlace サ イ ト については、 217 ページの 「WorkPlace お よ び小型携帯端末」 を参照 し て く だ さ い。 X WorkPlace サイ ト を追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [ASAP WorkPlace] を ク リ ッ ク し て、 [WorkPlace Sites] タ ブ を ク リ ッ ク し ま す。 2. [New] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Configure WorkPlace Site] ページが表示 さ れ ます。 3. [Configure WorkPlace Site] ページの [General] セ ク シ ョ ン で、 [Name] ボ ッ ク ス に WorkPlace サ イ ト の名前を入力 し ま す。 4. [Description] ボ ッ ク ス に、 WorkPlace サ イ ト についての コ メ ン ト を わか り やす く 入力 し ま す。 5. [Fully qualified domain name] ボ ッ ク ス に、 WorkPlace サ イ ト を表す FQDN のホ ス ト 部分を入力 し ます。 ユーザーは、 WorkPlace にア ク セ スす る と き 、 「http://」 接頭辞を付け て こ の名前を入力 し ま す。 こ の外部 FQDN は、 ユーザーに通知 し て、 WorkPlace にア ク セ スす る 方法を知 ら せなければな り ませ ん。 ま た こ の FQDN は、 パブ リ ッ ク DNS に も 追加 し なければな り ま せん。 6. ユーザーが、 ロ グ イ ンす る レ ルム を指定す る 手順を省略 し て こ の WorkPlace サ イ ト に ロ グ イ ン で き る よ う にす る には、 [Realm] リ ス ト か ら 適切な レルム名を ク リ ッ ク し ます。 レ ルム を指定す る と 、 ユーザーが レ ルム を指定す る よ う 求め ら れ る こ と がな く な り 、 その レ ルムの メ ン バーのみがその WorkPlace サ イ ト にア ク セ ス で き る よ う にな り ま す。 ただ し 、 [Prompt for realm] オプシ ョ ン を選択 し てい る 場合は、 任意のユーザーがそのサ イ ト にア ク セ ス で き る よ う にな り ま す。 [Prompt user for realm] オプシ ョ ン を選択 し た場合、 ユーザーは、 こ の WorkPlace サ イ ト に ロ グ イ ンす る たびに レ ルム を指定 し な ければな ら な く な り ます。 216 | 第 9 章 - ASAP WorkPlace ポー タ ル 7. 8. [Next] を ク リ ッ ク し ま す。 [Appearance] セ ク シ ョ ン に次の情報を入力 し ま す。 a. [Font family] リ ス ト で、 使用す る フ ォ ン ト を選択 し ます ([Serif] ま たは [Sans-serif])。 b. [Color scheme] エ リ アで、 カ ラ ー ス キーム を選択 し ま す。 [Custom] を選択す る 場合、 カ ス タ ム カ ラ ー ス キーム を指定 し て、 WorkPlace で暗部の色 ([Dark])、 明部の色 ([Light])、 テ キ ス ト 色 ([Text]) が ど の よ う に レ ン ダ リ ン グ さ れ る か決定 し なければな り ません。 カ ス タ ム カ ラ ー設定 は、 適切な 16 進 RGB 値を入力す る か、 カ ラ ー ス ウ ォ ッ チを ク リ ッ ク し [Please choose a color] ダ イ ア ロ グ ボ ッ ク ス で色を選択 し て [OK] を ク リ ッ ク す る こ と で指定 し ま す。 [Content] の General settings] エ リ アで、 次の情報を入力 し ま す。 a. WorkPlace で表示 さ れ る Aventail の ロ ゴ を、 異な る グ ラ フ ィ ッ ク で置 き 換え る 場合、 [Replace with] ボ ッ ク ス を使用 し て、 使用す る グ ラ フ ィ ッ ク を指定 し ます。 イ メ ージ フ ァ イ ルのパ ス を直接 入力す る か、 [Browse] ボ タ ン を ク リ ッ ク し て、 使用す る .gif ま たは .jpg フ ァ イ ルを選択 し ま す。 き れいに表示 さ れ る よ う にす る ため、 グ ラ フ ィ ッ ク の寸法が幅 200 ピ ク セル×高 さ 100 ピ ク セル を超え ない よ う に し ます。 b. [Title] ボ ッ ク ス に、 ページの タ イ ト ルお よ びブ ラ ウ ザの タ イ ト ル バーに表示す る テ キ ス ト を入力 し ます。 タ イ ト ルは、 25 文字以内に し なければな り ません。 c. [Greeting] ボ ッ ク ス に、 タ イ ト ルの下に表示 さ れ る あい さ つ文を入力 し ます。 あい さ つ文の上限 は 250 文字ですが、 短いあい さ つ文を使用す る こ と も で き ます ( 特に小型携帯端末に表示す る 場合 な ど )。 d. [Help file] エ リ アで、 [Browse] ボ タ ン を ク リ ッ ク し て、 カ ス タ ム ヘルプ情報を含む HTML フ ァ イ ルを ア ッ プ ロ ー ド し ま す。 こ の フ ァ イ ルは、 正 し い書式の HTML フ ァ イ ルでなければな り ま せん。 デフ ォ ル ト WorkPlace Help シ ス テ ム には、 エ ン ド ユーザーが WorkPlace を使用す る 上で必要に な る すべての情報が含ま れてい ますが、 カ ス タ ム ヘルプの内容 も こ れに統合 さ れ ます。 そのため、 ユーザーの便宜を図 る 目的で、 VPN で使用で き る リ ソ ース に関す る 詳細な情報を提示 し た り 、 テ ク ニ カル サポー ト を受け る 方法を記述 し た り す る こ と がで き ます。 9. WorkPlace サ イ ト 設定を保存す る 場合は [Save] ま たは [Finish]、 工場出荷時のデフ ォ ル ト WorkPlace サ イ ト 設定へ復帰す る 場合は [Reset Default] を ク リ ッ ク し ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 217 WorkPlace および小型携帯端末 WorkPlace では、 PDA、 Pocket PC、 ス マー ト フ ォ ン、 WAP 互換電話、 iMode な ど、 広範囲の小型携帯端末 をサポー ト し てい ます。 こ の節では、 こ の よ う なデバ イ ス をサポー ト す る よ う アプ ラ イ ア ン ス を構成す る方法 について説明 し ま す。 概要 : WorkPlace および小型携帯端末 ユーザーが、 小型携帯端末か ら WorkPlace に ロ グ イ ンす る と き 、 WorkPlace はそのデバ イ ス タ イ プ を検出 し て、 自動的にその ク ラ イ ア ン ト デバ イ ス の機能に合わせて最適な設定に変更 し ます。 こ の変更は、 エ ン ド ユー ザー経験の さ ま ざ ま な局面に影響を与え ます。 • • WorkPlace の機能 - 標準デ ス ク ト ッ プ ブ ラ ウ ザか ら 使用で き る 一部の WorkPlace 機能は、小型携帯端 末では省かれ ます。 • [Network Explorer] ページ を使用 し て、 ネ ッ ト ワ ー ク 共有にア ク セ ス す る こ と がで き ま せん。 • [Intranet Address] ボ ッ ク ス で、 URL や UNC パ ス名を入力す る こ と がで き ません。 • OnDemand ア ク セ ス エージ ェ ン ト 、 EPC デー タ 保護エージ ェ ン ト 、 タ ー ミ ナル サーバー エー ジ ェ ン ト な ど、 ほ と ん ど の Web ベース のエージ ェ ン ト がサポー ト さ れてい ません。 ただ し 、 Pocket PC の場合は Connect Mobile が使用で き ま す。 • [Details] ページお よ びオ ン ラ イ ン ヘルプ フ ァ イ ルが使用で き ま せん。 WorkPlace のル ッ ク ア ン ド フ ィ ール - 標準 WorkPlace の外観が、 小型携帯端末で最適な表示にな る よ う 自動的に修正 さ れ ま す。 デバ イ ス は、 次の 3 つのカ テ ゴ リ のいずれかに分類 さ れ、 レ イ ア ウ ト が次の 表の よ う に変更 さ れ ま す。 画面解像度 WorkPlace カ ラ ーの表示 WorkPlace イ メ ージの表示 PDA または Pocket PC 240x320 ピ ク セル あり あり スマー ト フ ォ ン (Basic お よび Advanced) 176x220 ピ ク セル あり あり 12x12 文字 なし なし デバ イ スの カ テ ゴ リ 基本的なデバイ ス (WAP v2.0 または iMode) た と えば、 Pocket PC では WorkPlace は次の よ う な表示にな り ます。 218 | 第 9 章 - ASAP WorkPlace ポー タ ル 基本的なデバ イ ス (WAP 電話な ど の ) の場合、 WorkPlace の同 じ イ ン ス タ ン ス が次の よ う に表示 さ れ ま す。 小型携帯端末上の WorkPlace の外観を構成す る 方法については、 219 ページの 「小型携帯端末の表示に 合わせた WorkPlace の最適化」 を参照 し て く だ さ い。 • リ ソ ースの利用可能性 - 小型携帯端末で ど の WorkPlace シ ョ ー ト カ ッ ト が表示 さ れ る か コ ン ト ロ ールす る こ と がで き ます。 こ れに よ り 、 特定 タ イ プのデバ イ ス と 互換性がない Web リ ソ ー ス を省 く こ と がで き ます。 た と えば、 Outlook Web Access に対す る リ ン ク を表示せず、 Outlook Mobile Access に対す る リ ン ク を表示す る こ と がで き ます。 こ の設定は、 WorkPlace シ ョ ー ト カ ッ ト を作成す る と き に指定す る こ と が で き ます。 詳細については、 208 ページの 「Web シ ョ ー ト カ ッ ト の追加」 を参照 し て く だ さ い。 • End Point Control の分類 - 特定 タ イ プのデバ イ ス ご と に EPC ゾーン を作成 し 、 ア ク セ ス 制御ルール でその ゾーン を参照す る こ と で、 デバ イ ス タ イ プに基づいて ア ク セ ス を制約す る こ と がで き ます。 詳細 については、 186 ページの 「ゾーン の定義」 を参照 し て く だ さ い。 アプ ラ イ ア ン ス では、 一般的なほ と ん ど の小型携帯端末が 3 つのいずれかのカ テ ゴ リ にあ ら か じ め分類 さ れて い ま す。 ほ と ん ど の イ ン ス ト ールの場合、 デフ ォ ル ト 設定で間に合い ますが、 必要に応 じ て分類を変更 し た り 他のデバ イ ス を認識 し た り す る よ う 、 構成を修正す る こ と も で き ま す。 詳細については、 219 ページの 「概要 : ブ ラ ウ ザ プ ロ フ ァ イ ル」 を参照 し て く だ さ い。 メモ • 一部の小型携帯端末では、 エ ラ ー ページが表示 さ れ る 代わ り に、 Web サーバーか ら エ ラ ー コ ー ド ( 「500」 エ ラ ーな ど ) が返 さ れ る よ う にな っ てい ま す。 その場合、 詳細なエ ラ ー テ キ ス ト は返 さ れ ま せん。 • WAP v1.x デバ イ ス はサポー ト さ れてい ま せん。 こ の よ う なデバ イ ス か ら ユーザーが ロ グ イ ン し よ う と す る と 、 エ ラ ー メ ッ セージが返 さ れ ま す。 • 小型携帯端末か ら アプ ラ イ ア ン ス に接続す る ユーザーがい る 場合、 (VeriSign な ど の ) 著名な CA の証明 書を使用す る か、 ルー ト 証明書を CA か ら ユーザーの小型携帯端末に イ ン ポー ト す る よ う 構成す る 必要が あ り ます。 詳細については、 61 ページの 「証明書の管理」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 219 小型携帯端末の表示に合わせた WorkPlace の最適化 一般的な WorkPlace の外観は、 行っ てい る カ ス タ マ イ ズ を含め、 小型携帯端末で最適な表示にな る よ う 自動 的に修正 さ れ ます。 ほ と ん ど の イ ン ス ト ールの場合、 自動的に提供 さ れ る 結果で間に合い ま すが、 最適な表示 にす る ために、 2、 3 の設定を手作業で構成す る こ と も で き ます。 X 小型携帯端末の表示に合わせて WorkPlace サ イ ト を最適化する には 1. 215 ページの 「WorkPlace サ イ ト の追加」 の記述に従っ て、 WorkPlace サ イ ト の設定を構成 し ます。 2. [Configure WorkPlace Site] ページの [Appearance] セ ク シ ョ ン を ク リ ッ ク し ます。 3. [General Settings] エ リ アで指定 さ れてい る ロ ゴ を置 き 換え る 場合、 [Settings for small form factor devices] の下にあ る [Replace with] ボ ッ ク ス を使用 し て、 別の イ メ ージ を指定 し ます。 デフ ォ ル ト の場合、 ブ ラ ウ ザが、 [General Settings] エ リ アで指定 さ れてい る ロ ゴ を自動的に リ サ イ ズ し ま すが、 最適な結果にな る よ う にす る ため、 別の イ メ ージ を指定す る こ と も で き ま す。 最適な イ メ ー ジ サ イ ズは、 タ ーゲ ッ ト デバ イ ス の画面の解像度に よ っ て変動 し ま すが、 最上の結果にな る よ う にす る には、 一般的にグ ラ フ ィ ッ ク の寸法が 50 ピ ク セル× 50 ピ ク セルを超え ない よ う に し ま す。 イ メ ージ フ ァ イ ルのパ ス を直接入力す る か、 [Browse] ボ タ ン を ク リ ッ ク し て、 使用す る .gif ま たは .jpg フ ァ イ ルを選択 し ま す。 WAP お よ び iMode デバ イ ス の場合、 ロ ゴは自動的に省略 さ れ ます。 そのため こ の設定は、 こ の よ う なデ バ イ ス の表示には影響を与え ません。 4. 必要な垂直 ス ク ロ ール量を減 ら すために、 [Display Greeting text on small form-factor devices] チ ェ ッ ク ボ ッ ク ス のチ ェ ッ ク を外す こ と に よ っ て、 WorkPlace のあ い さ つ文を省 く こ と がで き ま す。 5. WorkPlace サ イ ト 設定を保存す る 場合は [Save] ま たは [Finish]、 工場出荷時のデフ ォ ル ト WorkPlace サ イ ト 設定へ復帰す る 場合は [Reset Default] を ク リ ッ ク し ます。 概要 : ブラウザ プロ フ ァ イル アプ ラ イ ア ン ス は、 一般的なデス ク ト ッ プ ブ ラ ウ ザお よ び小型携帯端末を認識 ( ま たはプ ロ フ ァ イ ル ) す る よ う あ ら か じ め構成 さ れてい ま す。 ユーザーが WorkPlace に接続す る と き 、 WorkPlace は、 こ のプ ロ フ ァ イ ル 情報を使用 し てそのデバ イ ス を い く つかのカ テ ゴ リ に分類 し ます。 こ れに合わせて、 WorkPlace の表示方法、 そのデバ イ ス で表示 さ れ る WorkPlace シ ョ ー ト カ ッ ト 、 EPC で使用す る ためのデバ イ ス の分類方法が決 ま り ます。 ブ ラ ウ ザ プ ロ フ ァ イ ルは、 Web ブ ラ ウ ザのユーザーエージ ェ ン ト 文字列や HTTP ヘ ッ ダ な ど、 ク ラ イ ア ン ト か ら 送 ら れ る さ ま ざ ま な情報を検証す る こ と で決定 さ れ ます。 分類の詳細について、 次の表で示 し ま す。 ク ラ イ ア ン ト 情報 : 分類結果 : • Windows Standard PC (HTML 3.2+) • Firefox • Safari • Pocket PC Pocket PC/PDA • Windows CE • Palm OS • スマー ト フ ォ ン Smartphone • WAP WAP v2.0 (WML およ び XHTML のサポー ト を含む ) 220 | 第 9 章 - ASAP WorkPlace ポー タ ル 携帯電話お よ びハン ド ヘル ド デバ イ ス の市場は急速に発展 し てい る ため、 デフ ォ ル ト のアプ ラ イ ア ン ス 設定を 変更す る 必要が出て く る か も 知れ ません。 た と えば、 営業部が新 し い タ イ プの ス マー ト フ ォ ン を購入 し た ら 、 それをサポー ト す る よ う アプ ラ イ ア ン ス を構成す る 必要があ り ま す。 ま た、 PDA ベン ダーがユーザーエージ ェ ン ト 文字列を変更 し た場合は、 それに対応す る ため、 アプ ラ イ ア ン ス のデフ ォ ル ト プ ロ フ ァ イ ルを上書 き す る 必要があ り ま す。 ブ ラ ウ ザ プ ロ フ ァ イ ルを定義 し た場合、 アプ ラ イ ア ン ス で構成 さ れてい る 組み込みのプ ロ フ ァ イ ル よ り も 、 そのプ ロ フ ァ イ ルが優先 さ れ ま す。 AMC のブ ラ ウ ザ プ ロ フ ァ イ ルを使用す る と 、 最新の小型携帯端末をサポー ト す る よ う アプ ラ イ ア ン ス を構成 す る こ と がで き ます。 ブ ラ ウ ザ プ ロ フ ァ イ ルでは、 特定のユーザーエージ ェ ン ト 文字列をデバ イ ス タ イ プ と 対応 さ せま す。 217 ページの 「概要 : WorkPlace お よ び小型携帯端末」 で説明 し た よ う に、 プ ロ フ ァ イ ルは、 次の 3 点を決定す る ために使用 さ れ ます。 • そのデバ イ ス 上での WorkPlace の表示方法。 217 ページの 「概要 : WorkPlace お よ び小型携帯端末」 を 参照。 • WorkPlace で表示 さ れ る リ ン ク 。 208 ページの 「Web シ ョ ー ト カ ッ ト の追加」 を参照。 • デバ イ ス の End Point Control ゾーンへの分類方法。 180 ページの 「Aventail が End Point Control で ゾーン と デバ イ ス プ ロ フ ァ イ ルを使用す る 方法」 を参照。 アプ ラ イ ア ン ス は、 一致す る も のが見つか る ま で、 リ ス ト さ れてい る 順序でブ ラ ウ ザ プ ロ フ ァ イ ルを評価 し て い き ま す。 定義 さ れてい る ユーザーエージ ェ ン ト 文字列に一致す る も のがない場合、 アプ ラ イ ア ン ス は、 組み 込みのプ ロ フ ァ イ ル リ ス ト をチ ェ ッ ク し ます。 ど の リ ス ト に も 一致す る も のが見つか ら なか っ た場合、 デバ イ ス は 「Standard PC (HTML 3.2+)」 に分類 さ れ、 ブ ラ ウ ザの全機能が取 り 込まれ ます。 ブ ラウザ プロ フ ァ イルの追加 アプ ラ イ ア ン ス は、 多 く の一般的な小型携帯端末を認識す る よ う 、 あ ら か じ め構成 さ れてい ます。 こ の情報を 上書 き ま たは補足す る ために、 ブ ラ ウ ザ プ ロ フ ァ イ ルを作成 し 、 WorkPlace の変更方法を決定す る と き に こ れが使用 さ れ る よ う にす る こ と がで き ま す。 プ ロ フ ァ イ ルは、 ブ ラ ウ ザに よ っ て送信 さ れ る ユーザーエージ ェ ン ト 文字列 と 、 AMC で定義 さ れてい る さ ま ざ ま なデバ イ ス タ イ プのいずれか と の対応を指定 し ます。 ブ ラ ウ ザ プ ロ フ ァ イ ルを定義 し た場合、 アプ ラ イ ア ン ス で構成 さ れてい る 組み込みのプ ロ フ ァ イ ル よ り も 、 そのプ ロ フ ァ イ ルが優先 さ れ ます。 X ブ ラ ウザ プ ロ フ ァ イルを追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Agent Configuration] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページが表示 さ れ ます。 2. [Web browser profiles] の [Other Agents] エ リ アで [Edit] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Browser Profiles] が表示 さ れ ま す。 3. [User-agent string] ボ ッ ク ス に、 こ のデバ イ ス で使用す る ユーザーエージ ェ ン ト 文字列の特徴的な部 分を入力 し ます。 ユーザーエージ ェ ン ト 文字列を指定す る と き は、 標準的な ワ イ ル ド カー ド 文字、 「*」 と 「?」 を使用す る こ と がで き ます。 た と えば、 ユーザーエージ ェ ン ト 文字列に 「do*」 と 指定す る と 「DoCoMo」 と 一致 し 、 「MSI?」 と 指定す る と 「MSIE」 と 一致 し ます。 一般的に使用 さ れ る ユーザーエー ジ ェ ン ト 文字列の リ ス ト については、 http://www.pgts.com.au/download/data/browser_list.txt を 参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 221 4. [Device type] リ ス ト か ら 、 こ のユーザーエージ ェ ン ト 文字列に よ っ て識別 さ れ る デバ イ ス の機能に最 も 近いエ ン ト リ を選択 し ます。 • 画面解像度が 240 × 320 ピ ク セルのデバ イ ス の場合、 「Pocket PC/PDA」 を選択 し ます。 • 画面解像度が 176 × 220 ピ ク セルのデバ イ ス の場合、 「Smartphone Basic」 を選択 し ま す。 デ バ イ ス が JavaScript をサポー ト し てい る 場合は、 [Smartphone Advanced] を選択 し ま す。 • 低解像度 (12 × 12 ピ ク セル ) のデバ イ ス の場合、 [WAP Phone (v2.0)] を選択 し ま す。 デバ イ ス が ク ッ キーをサポー ト し ていない場合は、 [iMode phone (cHTML)] を選択 し ます。 5. [Description] ボ ッ ク ス に、 ブ ラ ウ ザ プ ロ フ ァ イ ルについての コ メ ン ト をわか り やす く 入力 し ます。 6. [Add] を ク リ ッ ク し ます。 新規プ ロ フ ァ イ ルが、 リ ス ト の下部に追加 さ れ ます。 7. [Save] を ク リ ッ ク し ます。 メモ • アプ ラ イ ア ン ス は、 一致す る も のが見つか る ま で、 リ ス ト さ れてい る 順序でブ ラ ウ ザ プ ロ フ ァ イ ルを評 価 し ます。 詳細については、 221 ページの 「ブ ラ ウ ザ プ ロ フ ァ イ ルの移動」 を参照 し て く だ さ い。 ブ ラウザ プロ フ ァ イルの移動 ブ ラ ウ ザ プ ロ フ ァ イ ルは、 リ ス ト さ れてい る 順序で処理 さ れ ま す。 一致 し てい る プ ロ フ ァ イ ルが見つか る と 、 リ ス ト の評価はそ こ で終了 し ます。 そのため、 特定の小型携帯端末が正 し く 識別 さ れ る よ う 、 必要に応 じ て 1 つま たは複数のプ ロ フ ァ イ ルの位置を変更す る こ と がで き ます。 X ブ ラ ウザ プ ロ フ ァ イルを移動する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Agent Configuration] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Agent Configuration] ページが表示 さ れ ます。 2. [Web browser profiles] の [Other Agents] エ リ アで [Edit] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Browser Profiles] が表示 さ れ ま す。 3. 移動す る 各プ ロ フ ァ イ ルのチ ェ ッ ク ボ ッ ク ス を選択 し ま す。 複数のプ ロ フ ァ イ ルを選択で き ます。 4. [Move Up] ボ タ ン ま たは [Move Down] ボ タ ン を適宜 ク リ ッ ク し ます。 ボ タ ン を ク リ ッ ク す る と 、 選 択 し たプ ロ フ ァ イ ルが リ ス ト の中を それぞれ上下方向に 1 段階ずつ移動 し ます。 5. [Save] を ク リ ッ ク し ます。 ASAP WorkPlace のログイ ン ページ、 エラー ページ、 通知ページのカス タ マイズ こ の節では、 ASAP WorkPlace で、 認証ページ、 エ ラ ー ページ、 通知ページ な ど、 特定のページ を カ ス タ マ イ ズす る 方法について説明 し ます。 概要 : WorkPlace テンプレー ト のカス タ マイズ AMC では、 メ イ ン WorkPlace ページの ロ ゴ、 カ ラ ー ス キーム、 あい さ つ文な ど、 ASAP WorkPlace の外観 を修正で き る よ う にな っ てい ま す。 AMC カ ス タ マ イ ズでは、 全般的なル ッ ク ア ン ド フ ィ ールを便利な方法で 変更で き ますが、 デプ ロ イ メ ン ト に よ っ ては、 十分に制御で き ない こ と も あ り ま す。 次に、 アプ ラ イ ア ン ス のテ ン プ レー ト を修正す る 必要があ る 場合の例を い く つか示 し ま す。 • ロ グ イ ン ページ と ロ グ オ フ ページ を、 企業の標準 と 一貫性のあ る も のにす る 場合。 • ( リ ソ ー ス が使用で き ない場合やユーザーが不正な ク レデン シ ャ ルを指定 し た場合に表示 さ れ る ) エ ラ ー ページ を修正 し て、 詳細なサポー ト や ト ラ ブルシ ュ ーテ ィ ン グ情報が入 る よ う にす る 場合。 • ASAP WorkPlace の代わ り に、 既存の企業ポー タ ル ( ポー タ ル アプ リ ケーシ ョ ン が リ ソ ー ス と し て定義 さ れてい る 場合 ) を使用す る 場合。 こ の場合、 既存のポー タ ル と ル ッ ク ア ン ド フ ィ ールが一致す る よ う に、 ロ グ イ ン ページ、 ロ グオ フ ページ、 通知ページ、 エ ラ ー ページ を カ ス タ マ イ ズ し ます。 • 特定のアプ リ ケーシ ョ ン ( アプ リ ケーシ ョ ン が リ ソ ー ス と し て定義 さ れてい る 場合 ) に対す る ア ク セ ス を ビ ジネ ス パー ト ナーに提供す る 場合。 こ の場合、 そのアプ リ ケーシ ョ ン と ル ッ ク ア ン ド フ ィ ールが一致 す る よ う に、 ロ グ イ ン ページ、 ロ グ オ フ ページ、 通知ページ、 エ ラ ー ページ を カ ス タ マ イ ズ し ま す。 222 | 第 9 章 - ASAP WorkPlace ポー タ ル カ ス タ マ イ ズで き る テ ン プ レ ー ト は、 大 き く 次の 3 つに分け る こ と がで き ま す。 テ ン プ レー ト タ イ プ 説明 認証 ユーザーの ク レ デン シ ャ ルを収集す る ためのページ。 レルムの選択、 ユーザー名、 パス ワー ド 、 パス コ ー ド の選択な ど も行います。 ネ ッ ト ワー クへのロ グ イ ンの方法を ユーザーに知 ら せる場合、 こ れ ら のテ ン プ レー ト を 使用 し ます。 不正なユーザー入力 ( 不許可 メ ッ セージ またはロ グ イ ン失敗 ) やア プ ラ イ ア ン スのエ ラ ーな ど、 エ ラ ーが発生 し た と き に表示 さ れる ページ。 エラー 管理者の連絡先な ど、 問題を修正す る ための方法をユーザーに知 らせる場合、 これ ら の テ ン プ レ ー ト を使用 し ます。 シ ス テム と の通信で必要な基本情報をユーザーに提供す るページ。 ロ グアウ ト ページ ( ロ グアウ ト 成功の確認 ) や、 認証モ ジ ュ ールか ら の メ ッ セージ を含むページ ( パスワー ド の期限切れ警告 ) も これに含まれます。 通知 これ ら のテ ン プ レー ト には、 特殊な情報要件はあ り ません。 認証テ ン プ レ ー ト と エ ラ ー テ ン プ レ ー ト を修正 し た場合、 一貫性を保つため、 通知テ ン プ レー ト も 修正 し なければ な り ません。 こ れ ら のページの レ イ ア ウ ト を設計 し 直 し た り 、 グ ラ フ ィ ッ ク やテ キ ス ト を追加 し た り す る こ と はで き ま すが、 既存の要素を修正 し た り 削除 し た り す る こ と はで き ません。 た と えば、 認証ページの場合、 [Login] ボ タ ン の 名前を変え る こ と はで き ま せん。 こ れ ら の要素は、 WorkPlace に よ っ て動的に生成 さ れ る も のです。 メモ • ロ グ イ ン後、 ユーザーに提示 さ れ る WorkPlace ページは、 手作業で カ ス タ マ イ ズす る こ と はで き ま せん。 AMC か ら コ ン ト ロ ール し ます。 テンプレー ト フ ァ イルを一致させる方法 テ ン プ レー ト はグ ロ ーバルにカ ス タ マ イ ズで き る 他、 リ ソ ー ス 単位で カ ス タ マ イ ズす る こ と も で き ま す。 た と えば、 単一のデザ イ ン を使用す る よ う グ ロ ーバル テ ン プ レー ト を カ ス タ マ イ ズ し 、 サ イ ト ご と にそのテ ン プ レー ト を修正す る こ と に よ っ て、 特定の Web リ ソ ー ス に対す る デザ イ ン を上書 き す る こ と がで き ま す。 あ る リ ソ ー ス にユーザーが接続す る と 、 アプ ラ イ ア ン ス は最初に最 も 範囲が狭いテ ン プ レー ト を検索 し ま す。 その範囲でテ ン プ レー ト が見つか ら ない場合、 そのカ テ ゴ リ ( 認証、 エ ラ ー、 通知 ) に対応す る 汎用のテ ン プ レー ト をチ ェ ッ ク し ます。 ど ち ら も 見つか ら なか っ た場合、 デフ ォ ル ト WorkPlace テ ン プ レー ト (AMC が管 理す る も の ) が使用 さ れ ます。 次の表は、 さ ま ざ ま な テ ン プ レー ト と 、 それに対応す る フ ァ イ ル名を示 し てい ま す。 テ ン プ レー ト 説明 フ ァ イル名 認証 ユーザーに よ る レルムの選択 realm-select.tmpl ユーザーに よ る ロ グ イ ン ク レデン シ ャルの指定 authentication-request.tmpl レルム選択の失敗 realm-error.tmpl 不正な ク レデン シ ャ ル authentication-error.tmpl リ ソ ースへのア ク セ スが拒否 authorization-error.tmpl ア プ ラ イ ア ン ス ラ イ セ ン ス数の制限オーバー licensing-error.tmpl End Point Control エ ラ ー epc-error.tmpl 認証通知 ( パスワー ド の期限切れな ど ) authentication-status.tmpl ロ グオ フ成功ページ logoff-status.tmpl End Point Control ロ グオ フ 成功ページ epc-logoff.tmpl End Point Control ダウ ン ロ ー ド ページ epc-launch.tmpl ユーザーに よ る ロ グ イ ン ク レデン シ ャルの指定 authentication.tmpl 一般エ ラ ー error.tmpl 一般ステー タ ス status.tmpl 一般ページ custom.tmpl エラー ス テー タ ス 汎用 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 223 メモ • デフ ォ ル ト WorkPlace テ ン プ レー ト フ ァ イ ル (extraweb.tmpl) は、 編集す る こ と がで き ません。 変更 し て も 、 AMC で WorkPlace を カ ス タ マ イ ズす る と 上書 き さ れて し ま い ま す。 WorkPlace テンプレー ト のカス タ マイズ ASAP WorkPlace の外観は、 複数の HTML テ ン プ レー ト で制御 さ れてい ま す。 テ ン プ レ ー ト を カ ス タ マ イ ズ す る には、 標準的な Web デザ イ ン ツールやテ キ ス ト エデ ィ タ な ど を使用 し て、 HTML フ ァ イ ルを作成 し ま す。 X WorkPlace テ ン プ レ ー ト を カ ス タ マ イ ズする には 1. 望ま し い レ イ ア ウ ト で HTML フ ァ イ ルを作成 し 、 次の よ う な WorkPlace 固有の タ グ を追加 し ま す。 • BODY タ グ内に、 「EXTRAWEB」 を含む HTML COMMENT タ グ を追加 し ま す。 <!-- EXTRAWEB --> こ の タ グは、 アプ ラ イ ア ン ス に よ っ て動的に生成 さ れ る コ ン テ ン ツ が ど こ に入 る か決定 し ます。 • 外部 JavaScript フ ァ イ ルに対す る 参照を追加 し ま す。 <script language="javascript" src="/__extraweb__/template.js"></script> • テ ン プ レー ト で (.css フ ァ イ ル ま たは AMC で構成 し た カ ス タ ム ロ ゴ を含め ) WorkPlace コ ン テ ン ツ を表示 さ せ る には、 /__extraweb__/images/ パ ス を参照す る よ う HTML コ ー ド を修正 し ま す。 例: <img src="/__extraweb__/image/mylogo.gif"> 2. .tmpl 拡張子を使用 し て、 フ ァ イ ルに適切な フ ァ イ ル名を付け て保存 し ます (222 ページの 「テ ン プ レー ト フ ァ イ ルを一致 さ せ る 方法」 を参照 )。 メモ • images デ ィ レ ク ト リ が存在 し ない場合は、 次の コ マ ン ド を実行 し て作成 し ます。 mkdir -p /usr/local/extranet/htdocs/__extraweb__/images 224 | 第 9 章 - ASAP WorkPlace ポー タ ル WorkPlace カス タム テンプレー ト のア ッ プロー ド こ の節では、 WorkPlace カ ス タ ム テ ンプ レー ト を アプ ラ イ ア ン ス にア ッ プ ロ ー ド す る 方法について説明 し ま す。 X WorkPlace カ ス タ ム テ ン プ レ ー ト を ア ッ プ ロー ド する には 1. SSH を使用 し て アプ ラ イ ア ン ス と 接続 し ます。 2. 適切なデ ィ レ ク ト リ に移 り ます。 • デフ ォ ル ト WorkPlace サ イ ト のテ ン プ レー ト は /usr/local/extranet/templates に保管 さ れてい ます。 • カ ス タ ム WorkPlace サ イ ト のテ ン プ レー ト は /usr/local/extranet/templates/<site_ID> に保 管 さ れてい ます。 ただ し <site_ID> はサ イ ト の AMC 生成 ID 文字列で、 AMC の [Configure WorkPlace Site] ページの [General] セ ク シ ョ ン に表示 さ れ る も の と 同 じ です。 WorkPlace サ イ ト の ID 文字列 3. カ ス タ ム テ ン プ レー ト を アプ ラ イ ア ン ス にア ッ プ ロ ー ド し ます。 テ ン プ レー ト フ ァ イ ルには、 ワ ール ド リ ーダブル ( つま り 644) な ア ク セ ス権限を割 り 当て ま す。 4. サポー ト フ ァ イ ル ( カ ス ケーデ ィ ン グ ス タ イ ル シー ト や イ メ ージ な ど も 含む ) を /usr/local/extranet/htdocs/__extraweb__/images デ ィ レ ク ト リ に コ ピー し ま す。 メモ • images デ ィ レ ク ト リ が存在 し ない場合は、 次の コ マ ン ド を実行 し て作成 し ます。 mkdir -p /usr/local/extranet/htdocs/__extraweb__/images ユーザーによる ASAP WorkPlace へのア クセスの許可 ASAP WorkPlace は Web アプ リ ケーシ ョ ン で あ る ため、 標準 Web ブ ラ ウ ザか ら ア ク セ ス す る こ と がで き ま す。 ユーザーには、 WorkPlace に対す る デフ ォ ル ト URL を通知す る 必要があ り ます。 こ の場合のデフ ォ ル ト URL は、 「https://<server_name>」 で、 server_name は、 アプ ラ イ ア ン ス の SSL 証明書に記述 さ れてい る 正規の ド メ イ ン名 (FQDN) にな り ま す (53 ページの 「SSL 証明書の構成」 を参照 )。 ま た、 カ ス タ マ イ ズ済みの WorkPlace サ イ ト にユーザーがア ク セ ス で き る よ う に し たい場合、 ユーザーには、 そのサ イ ト の URL を通知 し ま す。 こ の場合の URL は、 「http://<custom_fqdn>」 で、 <custom_fqdn>i は、 WorkPlace サ イ ト に対応す る 外部 FQDN にな り ま す (214 ページの 「WorkPlace サ イ ト 」 を参照 )。 代わ り にネ ッ ト ワ ー ク 上の他の Web ページ ま たはポー タ ルか ら ASAP WorkPlace にア ク セ ス で き る よ う 設定 す る こ と も で き ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 225 X 他の Web サイ ト か ら ASAP WorkPlace へア ク セ スする には 1. https://server_name/ へのハ イ パー リ ン ク を作成 し 、 server_name を アプ ラ イ ア ン ス の実際の名前で 置 き 換え ます。 その場合、 アプ ラ イ ア ン ス の SSL 証明書に記述 さ れてい る FQDN を使用す る 必要があ り ます。 ま た、 カ ス タ マ イ ズ し てい る WorkPlace サ イ ト にユーザーがア ク セ ス で き る よ う にす る 場合、 http://<custom_fqdn> へのハ イ パー リ ン ク を作成 し 、 custom_fqdn を、 WorkPlace サ イ ト に対応す る 外部 FQDN で置 き 換え ま す (214 ページの 「WorkPlace サ イ ト 」 を参照 )。 2. [Log out] ボ タ ン を設け る には、 https://server_name/__extraweb__logoff を ポ イ ン ト す る ハ イ パー リ ン ク を作成 し ます ( こ の場合 も 、 server_name を、 アプ ラ イ ア ン ス の SSL 証明書に記述 さ れて い る 実際の FQDN で置 き 換え ます )。 こ う す る こ と で、 ユーザー ア カ ウ ン ト のセ キ ュ リ テ ィ を守 る こ と に も な り ます。 End Point Control と ユーザーのログイ ン プロセス Aventail End Point Control コ ン ポーネ ン ト が有効にな っ てい る と き 、 WorkPlace ロ グ イ ン プ ロ セ ス で、 別 の手順が必要にな り ます。 こ の手順は、 Aventail Secure Desktop (ASD) が使用 さ れてい る か Aventail Cache Control (ACC) が使用 さ れてい る かで異な り ます。 Aventail End Point Control の詳細については、 179 ページの 「概要 : End Point Control」 を参照 し て く だ さ い。 Aventail Secure Desktop の動作方法 ASD を使用す る と 、 一般的な WorkPlace セ ッ シ ョ ン に次の手順が追加 さ れ ます。 1. Web ブ ラ ウ ザで、 ユーザーが適切な WorkPlace URL を入力 し ま す。 2. ユーザーが WorkPlace に ロ グ イ ン し ま す。 3. Aventail セ キ ュ リ テ ィ 警告が表示 さ れた ら 、 ユーザーは こ れを承認 し な ければな り ません。 ASD デス ク ト ッ プが表示 さ れ、 タ ス ク バー表示エ リ アに ASD ア イ コ ンが現れ ます。 ASD デ ス ク ト ッ プの新 し いブ ラ ウ ザ ウ ィ ン ド ウ に、 WorkPlace ロ グ イ ン ページが自動的に表示 さ れ ます。 4. ユーザーが、 必要に応 じ てネ ッ ト ワ ー ク リ ソ ース にア ク セ ス し ま す。 5. WorkPlace セ ッ シ ョ ン での作業が終了 し た ら 、 WorkPlace を終了 し ます。 こ れに よ り WorkPlace セ ッ シ ョ ン が終了 し 、 ブ ラ ウ ザ ウ ィ ン ド ウ が ク ロ ーズ し ます。 ASD は、 ダ ウ ン ロ ー ド さ れ ロ ーカル ハー ド デ ィ ス ク に保管 さ れたセ ッ シ ョ ン関連のすべてのデー タ フ ァ イ ルを永続的に削除 し ま す。 し か も 、 Web ブ ラ ウ ザに関連す る 一時デー タ があれば、 それ も 削除 し ます。 メモ ASD は、 セ ッ シ ョ ン関連のすべてのデー タ フ ァ イ ルを ロ ーカル ハー ド デ ィ ス ク か ら 永続的に削除す る ため、 ユーザーには、 ASD を使用 し てい る と き はデー タ を ロ ーカル デ ィ ス ク に保存 し ない よ う 通知 し て く だ さ い。 例を示 し ま す。 • フ ァ イルを ロー カル デ ィ ス ク に保存 し ない こ と 。 た と えばユーザーがネ ッ ト ワ ー ク か ら フ ァ イ ルを ダ ウ ン ロ ー ド し てそれをハー ド デ ィ ス ク に保存す る と 、 セ ッ シ ョ ン の終了時に削除 さ れ ま す。 • ア プ リ ケーシ ョ ン デー タ を ロ ー カ ル デ ィ ス ク に保存 し ない こ と 。 一部の ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン (Microsoft Outlook な ど ) では、 ユーザーがデー タ を ロ ーカルに保管で き る よ う にな っ てい ます。 ユーザーは、 こ れ ら のアプ リ ケーシ ョ ン と ASD と の通信に気を配 る 必要があ り ま す。 た と えば、 Outlook ユーザーが、 ASD の動作中にデー タ を ロ ーカルに (.pst f フ ァ イ ルに ) 保管 し 、 電子 メ ール メ ッ セージ を シ ス テ ム の 「Inbox」 か ら ロ ーカルの メ ール フ ォ ルダに移動す る 場合、 セ ッ シ ョ ン終了時 に、 メ ッ セージが ロ ーカル デ ィ ス ク か ら 削除 さ れ ま す。 ユーザーが、 ASD に よ っ て作成 さ れてい る 仮想 セ ッ シ ョ ン を認識 し やす く す る ため、 デ ス ク ト ッ プには、 特有の背景色 と イ メ ージが表示 さ れ ま す。 226 | 第 9 章 - ASAP WorkPlace ポー タ ル Aventail Cache Control の動作方法 ACC を使用す る と 、 一般的な WorkPlace セ ッ シ ョ ン に次の手順が追加 さ れ ま す。 1. Web ブ ラ ウ ザで、 ユーザーが適切な WorkPlace URL を入力 し ま す。 2. ユーザーが WorkPlace に ロ グ イ ン し ま す。 3. Aventail セ キ ュ リ テ ィ 警告が表示 さ れた ら 、 ユーザーは こ れを承認 し な ければな り ません。 ACC ア イ コ ン が タ ス ク バー表示エ リ アに現れ ます。 4. ユーザーが、 必要に応 じ てネ ッ ト ワ ー ク リ ソ ース にア ク セ ス し ま す。 5. ACC セ ッ シ ョ ン が終了 し た ら 、 ACC は、 セ ッ シ ョ ン関連のすべてのデー タ を削除 し ます。 メモ • ACC の起動時に他のブ ラ ウ ザ ウ ィ ン ド ウ が閉 じ る よ う 構成 し てい る 場合、 ユーザーに対 し て、 URL を ブ ッ ク マー ク す る か、 ま だ送信 し ていないデー タ が失われない よ う 注意を呼びかけ る 必要があ り ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 227 第 10 章 ユーザー ア ク セス コ ンポーネ ン ト およびサービ ス Aventail アプ ラ イ ア ン ス には、 ネ ッ ト ワ ー ク 上の リ ソ ー ス に対す る ユーザー ア ク セ ス を可能にす る コ ン ポー ネ ン ト が含 ま れてい ます。 こ の節では、 それぞれのユーザー ア ク セ ス コ ン ポーネ ン ト と 、 それを制御す る ア ク セ ス サービ ス について説明 し ます。 ユーザー ア ク セ ス コ ン ポーネ ン ト の多 く は、 ASAP WorkPlace ポー タ ルか ら 設定 し 有効に し ます。 詳細につ いては、 201 ページの 「ASAP WorkPlace ポー タ ル」 を参照 し て く だ さ い。 概要 : ユーザー ア クセス エージ ェ ン ト 次の表では、 それぞれのア ク セ ス エージ ェ ン ト について、 機能 と 要件を比較 し てい ます。 シ ス テ ム要件の詳細 については、 8 ページの 「 ク ラ イ ア ン ト コ ン ポーネ ン ト 」 を参照 し て く だ さ い。 228 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス ネ ッ ト ワー ク ト ン ネル ア ク セ ス (IP プ ロ ト コ ル ) Web ア ク セス (HTTP プ ロ ト コル ) TCP または UDP ベースの ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ン x x URL お よび Web ア プ リ ケーシ ョ ン x x x x x x x x x ト ラ ン ス レーテ ッ ド Web エージ ェ ン x Web プ ロキシ エージ ェ ン ト x Aventail Connect プ ロキシ ク ラ イ ア ン ト Aventail OnDemand プ ロキシ エージ ェ ン ト 、 ダ イ ナ ミ ッ ク モー ド x Aventail Connect Mobile ク ラ イ ア ン ト Aventail Connect ト ン ネル ク ラ イ ア ン ト TCP ベースの ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ン Aventail OnDemand プ ロキシ エージ ェ ン ト 、 マ ッ プ ド モー ド Aventail OnDemand ト ン ネル エージ ェ ン ト プ ロ キシ ア ク セ ス (IP プ ロ ト コル ) x x x x x x x x x x ア プ リ ケーシ ョ ン サポー ト x x x x Windows ネ ッ ト ワーキン グ サポー ト Web ベースの フ ァ イル ア ク セス x ネ イ テ ィ ブ Windows フ ァ イル ア ク セ ス ([ ネ ッ ト ワー ク コ ン ピ ュ ー タ ]) x x x マ ッ プ ド ネ ッ ト ワー ク ド ライブ x x x x x Windows ド メ イ ン ログイ ン サポー ト さ れてい る接続 タ イ プ 順方向接続 x x 逆方向接続 (FTP や SMS な ど ) x x 相互接続 (VoIP な ど ) x x x x x x x x x サポー ト さ れてい る オペ レ ーテ ィ ン グ シ ス テム Windows Linux または Macintosh x Pocket PC x ク ラ イ ア ン ト / エージ ェ ン ト の イ ン ス ト ールで必要な管理者権限 x x x x x x x デプ ロ イ メ ン ト WorkPlace か ら の自動起動 x WorkPlace か ら の設定 x WorkPlace 以外か ら の設定 x x x x x x x x x Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 229 Aventail® Connect™ プ ロ キ シ ク ラ イ ア ン ト ( 個別に イ ン ス ト ール ) 以外のすべての Aventail ユーザー ア ク セ ス コ ン ポーネ ン ト は、 Aventail® ASAP™ WorkPlace ポー タ ルで設定 し 有効に し ます。 必要に応 じ て、 ユーザーが ASAP WorkPlace に ロ グ イ ン し な く て も 、 他のネ ッ ト ワ ー ク ロ ケーシ ョ ン (Web サーバー、 FTP サーバー、 フ ァ イ ル サーバーな ど ) か ら ダ ウ ン ロ ー ド し イ ン ス ト ールで き る よ う に、 Aventail® Connect™ ト ン ネル ク ラ イ ア ン ト と Aventail® Connect Mobile™ コ ン ポーネ ン ト を用意 し てお き ま す。 ま た、 SMS や Tivoli な ど のアプ リ ケーシ ョ ン を使用 し て、 こ れ ら の イ ン ス ト ール パ ッ ケージ を配布す る こ と も で き ま す。 ユーザー ア ク セ ス エージ ェ ン ト は、 コ ミ ュ ニ テ ィ 単位で イ ン ス ト ールす る こ と がで き ます。 ユーザー コ ミ ュ ニ テ ィ を構成す る と き 、 コ ミ ュ ニ テ ィ の メ ンバーが、 ど のア ク セ ス 方式を使用す る か指定す る こ と がで き ま す。 詳細については、 124 ページの 「 コ ミ ュ ニ テ ィ に対す る ア ク セ ス 方式の選択」 を参照 し て く だ さ い。 複数のエージ ェ ン ト を同時にア ク テ ィ ブにす る こ と も で き ます。 た と えば、 ダ イ ナ ミ ッ ク モー ド の Aventail® OnDemand™ プ ロ キ シ エージ ェ ン ト と Web プ ロ キ シ エージ ェ ン ト を同時にア ク テ ィ ブにす る こ と がで き ます。 OnDemand を ダ イ ナ ミ ッ ク モー ド で使用す る と 、 ユーザーが TCP リ ソ ー ス にア ク セ ス で き る よ う にな り 、 Web プ ロ キ シ エージ ェ ン ト を使用す る と 、 ユーザーが Web リ ソ ー ス にア ク セ ス で き る よ う に な り ます。 ユーザーが初めて ASAP WorkPlace に ロ グ イ ンす る と き 、 そのユーザーの コ ミ ュ ニ テ ィ の設定に基づいて、 適切なユーザー ア ク セ ス エージ ェ ン ト が自動的に設定 さ れ イ ン ス ト ール さ れ ま す。 デプ ロ イ さ れてい る エー ジ ェ ン ト は、 ユーザーの コ ン ピ ュ ー タ に イ ン ス ト ール さ れ、 その後、 同 じ コ ン ピ ュ ー タ か ら 同 じ Web ブ ラ ウ ザに接続 さ れ る と き は、 同 じ エージ ェ ン ト が自動的にデプ ロ イ さ れ ま す。 ASAP WorkPlace Aventail ASAP WorkPlace は、Web ベー ス のポー タ ルで、Web プ ロ キ シ サービ ス で保護 さ れた Web リ ソ ー ス に対す る ア ク セ ス を、 動的にパー ソ ナ ラ イ ズす る こ と がで き ま す。 ま た、 ユーザーが、 ネ ッ ト ワ ー ク フ ァ イ ル サーバーを Web ブ ラ ウ ザか ら ブ ラ ウ ズで き る よ う にな り ま す。 ユーザーが ASAP WorkPlace に ロ グ イ ン す る と ホーム ページが現れ、 管理者が定義 し た シ ョ ー ト カ ッ ト の リ ス ト が表示 さ れ ま す。 こ れ ら のシ ョ ー ト カ ッ ト は、 ユーザーがア ク セ ス権限を持つ、 Web ベー ス の リ ソ ース 、 Windows フ ァ イ ル シ ス テ ム の リ ソ ー ス、 タ ー ミ ナル サーバー リ ソ ー ス な ど を ポ イ ン ト し ま す。 Aventail Connect プ ロ キ シ ク ラ イ ア ン ト と Aventail Connect Mobile ク ラ イ ア ン ト ( 個別に イ ン ス ト ール ) 以外のすべての Aventail ユーザー ア ク セ ス コ ン ポーネ ン ト は、ASAP WorkPlace ポー タ ルで設定 し 有効に し ます。 ASAP WorkPlace は、 任意の標準 Web ブ ラ ウ ザか ら ア ク セ ス す る こ と がで き ま す。 詳細については、 201 ページの 「ASAP WorkPlace ポー タ ル」 を参照 し て く だ さ い。 Network Explorer Network Explorer は、 ASAP WorkPlace で使用す る Web ベース のユーザー イ ン タ フ ェ ー ス です。 ユーザー にア ク セ ス 権限があ る 場合、 こ れを使用す る こ と で、 共有 さ れてい る Windows フ ァ イ ル シ ス テ ム リ ソ ース にア ク セ ス す る こ と がで き ま す。 こ の リ ソ ース には、 ド メ イ ン、 サーバー、 コ ン ピ ュ ー タ 、 ワ ー ク グループ、 フ ォ ルダ、 フ ァ イ ルな ど が含ま れ ま す。 Network Explorer は、 オプシ ョ ン コ ン ポーネ ン ト であ り 、 ポ リ シーで制御で き る 他、 完全に無効にす る こ と も で き ます。 WorkPlace がサポー ト す る 任意のブ ラ ウ ザがサポー ト さ れてい ま す。 詳細については、 201 ページの 「ASAP WorkPlace ポー タ ル」 を参照 し て く だ さ い。 230 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス Aventail ト ンネル ク ラ イアン ト AventailSmart Tunneling は、 TCP お よ び UDP ト ラ フ ィ ッ ク 、 リ モー ト ヘルプ デ ス ク アプ リ ケーシ ョ ン な ど の双方向 ト ラ フ ィ ッ ク 、 VoIP アプ リ ケーシ ョ ン な ど の相互接続、 SMS な ど の逆方向接続についてセ キ ュ ア な ア ク セ ス を提供 し ます。 Smart Tunneling では、 Aventail® OnDemand™ ト ン ネル エージ ェ ン ト (Web 起動 さ れたブ ラ ウ ザベース のエージ ェ ン ト ) と Aventail Connect ト ン ネル ク ラ イ ア ン ト (Web イ ン ス ト ール さ れた Windows ク ラ イ ア ン ト ) の 2 つのア ク セ ス エージ ェ ン ト を使用 し て ア ク セ ス を提供 し ます。 それぞれの ク ラ イ ア ン ト は、 すべ ての リ ソ ー ス に対 し てネ ッ ト ワ ー ク レベルのア ク セ ス を提供す る こ と で、 ユーザーの コ ン ピ ュ ー タ を効率的に ネ ッ ト ワ ー ク 上の ノ ー ド に し ま す。 ト ン ネル ク ラ イ ア ン ト は、 AMC か ら Aventail ネ ッ ト ワ ー ク ト ン ネル サービ ス を使用 し て管理 し ま す。 ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト か ら TCP/IP 接続を管理す る よ う 、 こ の サービ ス を構成す る 場合、 ク ラ イ ア ン ト に IP ア ド レ ス を割 り 当て る ための IP ア ド レ ス プールを設定 し なけれ ばな り ません。 メモ • Sygatge、 Microsoft、 Zone Alarm 製のパー ソ ナル フ ァ イ ア ウ ォ ール と 一緒に Aventail ト ン ネル ク ラ イ ア ン ト を使用す る 場合は、 こ れ ら の フ ァ イ ア ウ ォ ールの構成を変更 し なければ リ モー ト ネ ッ ト ワ ー ク へア ク セ スす る こ と がで き ま せん。 ユーザーに対 し て、 Aventail VPN サービ ス (ngvpnmgr.exe) が イ ン タ ーネ ッ ト にア ク セ ス で き る よ う パー ソ ナル フ ァ イ ア ウ ォ ールを構成す る と 同時に、 Aventail アプ ラ イ ア ン ス のホ ス ト 名 と IP ア ド レ ス を、 信頼 さ れてい る ホ ス ト ま たはゾーン に追加す る よ う 通知 し て く だ さ い。 OnDemand ト ンネル エージ ェ ン ト Aventail OnDemand ト ン ネル エージ ェ ン ト を使用す る と 、 Web ブ ラ ウ ザを使用 し て、 Aventail ネ ッ ト ワ ー ク ト ン ネル サービ ス で保護 さ れた リ ソ ー ス に対 し 、 完全なネ ッ ト ワ ー ク お よ びアプ リ ケーシ ョ ン ア ク セ ス が 可能にな り ま す。 OnDemand ト ン ネル エージ ェ ン ト は、 Connect ト ン ネル ク ラ イ ア ン ト と 同様、 広範な ア プ リ ケーシ ョ ンお よ びプ ロ ト コ ル ア ク セ ス を提供す る 軽量のエージ ェ ン ト ですが、 ASAP WorkPlace ポー タ ルに統合 さ れてお り 、 ユーザーが WorkPlace に ロ グ イ ンす る たびに自動的に起動 し ます。 OnDemand ト ン ネル エージ ェ ン ト では、 Aventail アプ ラ イ ア ン ス の End Point Control 機能をサポー ト し てい ます。 OnDemand ト ン ネル エージ ェ ン ト は、 Windows XP お よ び Windows 2000 でサポー ト さ れてい ますが、 Microsoft Internet Explorer と と も に Sun JVM ま たは ActiveX が動作 し てい る か、Mozilla Firefox と と も に Java が動作 し てい る こ と が条件にな り ま す。 Connect ト ンネル ク ラ イアン ト AventailConnect ト ン ネル ク ラ イ ア ン ト は、 Aventail ネ ッ ト ワ ー ク ト ン ネル サービ ス で保護 さ れた リ ソ ー ス に対 し て、 フル ア ク セ ス で き る よ う にす る Windows アプ リ ケーシ ョ ン です。 Connect ト ン ネル ク ラ イ ア ン ト を使用す る と 、 TCP を使用す る アプ リ ケーシ ョ ンや、 VoIP や ICMP と いっ た非 TCP プ ロ ト コ ルを使用す る アプ リ ケーシ ョ ン な ど、 あ ら ゆ る 種類のアプ リ ケーシ ョ ン にア ク セ ス で き る よ う にな り ま す。 Connect ト ン ネル ク ラ イ ア ン ト では他に も 、 ス プ リ ッ ト ト ン ネ リ ン グ制御、 細かいア ク セ ス 制御、 プ ロ キ シ検出、 認証な ど の機能 も 提供 さ れ ま す。 Connect ト ン ネル ク ラ イ ア ン ト では、 Aventail アプ ラ イ ア ン ス の End Point Control 機能をサポー ト し てい ません。 Aventail Connect ト ン ネル ク ラ イ ア ン ト は、 2 種類の方法で イ ン ス ト ールす る こ と がで き ます。 1 つ目の方 法は、 ユーザーが、 ASAP WorkPlace ホーム ページの [Install Software] リ ン ク を ク リ ッ ク し て、 Windows ク ラ イ ア ン ト を ダ ウ ン ロ ー ド し イ ン ス ト ールす る 方法です。 も う 1 つの方法では、 ユーザーが ASAP WorkPlace に ロ グ イ ン し な く て も 、 他のネ ッ ト ワ ー ク ロ ケーシ ョ ン (Web サーバー、 FTP サーバー、 フ ァ イ ル サーバーな ど ) か ら ダ ウ ン ロ ー ド し イ ン ス ト ールで き る よ う に、 Connect ト ン ネル ク ラ イ ア ン ト を 用意 し てお き ます。 ま た、 SMS や Tivoli な ど のアプ リ ケーシ ョ ン を使用 し て、 こ れ ら の イ ン ス ト ール パ ッ ケージ を配布す る こ と も で き ます。 詳細については、 232 ページの 「Aventail ク ラ イ ア ン ト の イ ン ス ト ール パ ッ ケージ」 を参照 し て く だ さ い。 Connect ト ン ネル ク ラ イ ア ン ト は、 Windows XP お よ び Windows 2000 でサポー ト さ れてい ま すが、 Connect ト ン ネル ク ラ イ ア ン ト を イ ン ス ト ールす る 場合は、 ユーザーに管理者権限が必要にな り ます。 Connect ト ン ネルのすべての構成 と 管理は AMC で実行 し 、 構成の更新は、 Connect ト ン ネル ク ラ イ ア ン ト が Aventail アプ ラ イ ア ン ス に接続す る たびに動的に行われ ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 231 Aventail プロキシ ク ラ イアン ト こ の節では、 Aventail OnDemand プ ロ キ シ エージ ェ ン ト 、 Aventail Connect Mobile ク ラ イ ア ン ト 、 Aventail Connect プ ロ キ シ ク ラ イ ア ン ト の概要を紹介 し ま す。 OnDemand プロキシ エージ ェ ン ト AventailOnDemand プ ロ キ シ エージ ェ ン ト は、Aventail Web プ ロ キ シ サービ ス で保護 さ れた ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ンや Web リ ソ ー スへのア ク セ ス を可能にす る 安全かつ軽量のエージ ェ ン ト です。 Aventail OnDemand プ ロ キ シ エージ ェ ン ト は、 ネ ッ ト ワ ー ク に対 し て標準 VPN ア ク セ ス で き ないパー ト ナーやベン ダーの他、 キオ ス ク 端末な ど の、 仕事用でない コ ン ピ ュ ー タ か ら ネ ッ ト ワ ー ク リ ソ ー ス にモバ イ ル でア ク セ ス す る 従業員が使用す る と 便利です。 OnDemand プ ロ キ シ エージ ェ ン ト は、 Java ま たは ActiveX が有効な Web ブ ラ ウ ザか、 ス タ ン ド ア ロ ン Java 環境が構成 さ れた環境 (Macintosh や Linux シ ス テ ム な ど ) でサポー ト さ れてい ま す。 Connect Mobile ク ラ イアン ト Aventail Connect Mobile ク ラ イ ア ン ト は、 Pocket PC デバ イ ス で動作す る 軽量のアプ リ ケーシ ョ ン で、 ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン、 シ ン ク ラ イ ア ン ト アプ リ ケーシ ョ ン、 Aventail Web プ ロ キ シ サー ビ ス で保護 さ れた Web リ ソ ー ス な ど、 広範囲の リ ソ ース に対す る ア ク セ ス を提供 し ます。 Connect Mobile ク ラ イ ア ン ト は、 Pocket PC デバ イ ス で動作 し 、 Windows セ ッ ト ア ッ プ プ ロ グ ラ ム を使用 し て イ ン ス ト ール し ます。 こ のプ ロ グ ラ ム を実行す る と 、 アプ リ ケーシ ョ ン フ ァ イ ルが抽出 さ れ、 ActiveSync を介 し て、 ユーザーの Pocket PC デバ イ スへフ ァ イ ルが コ ピー さ れ、 ク ラ イ ア ン ト が イ ン ス ト ー ル さ れ ます。 セ ッ ト ア ッ プ フ ァ イ ルのユーザーへの イ ン ス ト ールについては、 232 ページの 「Aventail ク ラ イ ア ン ト の イ ン ス ト ール パ ッ ケージ」 を参照 し て く だ さ い。 Connect プロキシ ク ラ イアン ト Aventail Connect プ ロ キ シ ク ラ イ ア ン ト は、 従来の ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン、 シ ン ク ラ イ ア ン ト アプ リ ケーシ ョ ン、 フ ァ イ ル サーバー、 Aventail ネ ッ ト ワ ー ク プ ロ キ シ サービ ス で保護 さ れた Web リ ソ ー ス な ど、 広範囲の リ ソ ース に対す る ア ク セ ス を提供 し ます。 Aventail Connect プ ロ キ シ ク ラ イ ア ン ト をユーザーの コ ン ピ ュ ー タ に イ ン ス ト ール し 、 パー ソ ナル フ ァ イ ア ウ ォ ールやア ンチ ウ イ ル ス アプ リ ケー シ ョ ン を搭載す る よ う 求め る こ と に よ り 、 エ ン ド ポ イ ン ト セ キ ュ リ テ ィ を向上 さ せ る こ と がで き ます。 Aventail Connect では、 Microsoft のシ ン グル サ イ ン オ ン をサポー ト し てお り 、 [ ネ ッ ト ワ ー ク コ ン ピ ュ ー タ ] か ら ネ ッ ト ワ ー ク 共有 リ ソ ー ス にシーム レ ス にア ク セ ス で き る よ う にな っ てい ま す。 Aventail Connect プ ロ キ シ ク ラ イ ア ン ト は、 Windows オペ レーテ ィ ン グ シ ス テ ム でサポー ト さ れてい ま す が、 ユーザーには管理者権限が必要にな り ます。 Aventail Connect を イ ン ス ト ールす る と き は、 Web サーバー、 FTP サーバー、 フ ァ イ ル サーバーのセ ッ ト ア ッ プ パ ッ ケージ を配布 し ま す。 Aventail Connect の構成の詳細については、 『Aventail Connect Administrator’s Guide』 を参照 し て く だ さ い。 Aventail Web エージ ェ ン ト こ の節では、Aventail Web プ ロ キ シ エージ ェ ン ト と Aventail ト ラ ン ス レーテ ッ ド Web エージ ェ ン ト につい て概説 し ま す。 Web プロキシ エージ ェ ン ト Aventail Web プ ロ キ シ エージ ェ ン ト を使用す る と 、 ASAP WorkPlace か ら 、 Windows ネ ッ ト ワ ー ク 共有へ のア ク セ ス だけでな く 、 Web ベー ス のアプ リ ケーシ ョ ン、 Web ポー タ ル、 Web サーバーな ど、 任意の Web リ ソ ー ス に も ア ク セ ス で き る よ う にな り ま す。 Aventail Web プ ロ キ シ エージ ェ ン ト では、 ト ラ ン ス レーテ ッ ド Web エージ ェ ン ト が間に入 る こ と で互換性は向上 し ま すが、 Web プ ロ キ シ エージ ェ ン ト を使用す る と 、 場 合に よ っ ては、 ユーザーが ASAP WorkPlace に最初に ロ グ イ ンす る と き に余分の時間がかか る よ う にな り ま す。 Web プ ロ キ シ エージ ェ ン ト は、 Windows XP お よ び Windows 2000 でサポー ト さ れてい ますが、 Internet Explorer と と も に ActiveX が動作 し てい る こ と が条件にな り ます。 232 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス ト ラ ンスレーテ ッ ド Web エージ ェ ン ト こ のアプ ラ イ ア ン ス では、 Internet Explorer が動作す る Microsoft Windows シ ス テ ムに対 し て、 デフ ォ ル ト で Microsoft ActiveX コ ン ト ロ ール ( 「標準 Web エージ ェ ン ト 」 ) を イ ン ス ト ールす る よ う にな っ てい ま す。 ただ し Web プ ロ キ シ エージ ェ ン ト が動作不可能な場合は、代替シ ス テ ム と し て ト ラ ン ス レーテ ッ ド Web エージ ェ ン ト が使用 さ れ ます。 ト ラ ン ス レ ーテ ッ ド Web エージ ェ ン ト では、 Web リ ソ ース に対す る 基本ア ク セ ス が可能にな る と 同時に、 内部ホ ス ト 名を隠すエ イ リ ア ス も 作成で き る よ う にな り ま す。 こ のエージ ェ ン ト は、 Web コ ン テ ン ツ を アプ ラ イ ア ン ス か ら 直接プ ロ キ シす る も ので、 こ れを使用す る と 、 Windows ネ ッ ト ワ ー ク 共有へのア ク セ ス だけでな く 、 WorkPlace で実行す る よ う 個別に構成 さ れてい る 任意の Web リ ソ ー ス に も ア ク セ ス で き る よ う にな り ま す。 ト ラ ン ス レーテ ッ ド Web エージ ェ ン ト は、 ASAP WorkPlace でサポー ト さ れてい る 任意の Web ブ ラ ウ ザで 動作 し ます。 Aventail ク ラ イアン ト のイ ンス ト ール パッ ケージ ユーザーが ASAP WorkPlace に ロ グ イ ン し な く て も 、 他のネ ッ ト ワ ー ク ロ ケーシ ョ ン (Web サーバー、 FTP サーバー、 フ ァ イ ル サーバーな ど ) か ら ダ ウ ン ロ ー ド し イ ン ス ト ールで き る よ う に、 Aventail Connect コ ネ ク ト ク ラ イ ア ン ト や Aventail Connect Mobile ク ラ イ ア ン ト を用意 し てお き ます。 ま た、 SMS や Tivoli な ど のアプ リ ケーシ ョ ン を使用 し て、 Connect ト ン ネル ク ラ イ ア ン ト の イ ン ス ト ール パ ッ ケージ を ユーザーに プ ッ シ ュ す る こ と も で き ます。 ク ラ イ ア ン ト セ ッ ト ア ッ プ パ ッ ケージは、 AMC か ら ダ ウ ン ロ ー ド す る こ と がで き ま す。 ま た、 ク ラ イ ア ン ト をエ ン ド ユーザーに配布す る 前に、 .ini 構成フ ァ イ ルで さ ま ざ ま な ク ラ イ ア ン ト 設定を構成す る こ と がで き ま す。 Aventail ク ラ イアン ト のインス ト ール パッ ケージのダウンロー ド こ の節では、Aventail Connect ト ン ネル ク ラ イ ア ン ト ま たは Aventail Connect Mobile ク ラ イ ア ン ト の イ ン ス ト ール パ ッ ケージ を ロ ーカル ワ ー ク ス テーシ ョ ン にダ ウ ン ロ ー ド す る 方法について説明 し ます。 X ク ラ イ ア ン ト のイ ン ス ト ール パ ッ ケージ を ダウ ン ロー ド する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Agent Configuration] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページが表示 さ れ ます。 2. [Aventail access agents] エ リ アの [Client installation packages] で、 [Download] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Client Installation Packages] ページが表示 さ れ ます。 3. 適切なプ ロ グ ラ ム フ ァ イ ルを ダ ウ ン ロ ー ド す る には • Aventail Connect ト ン ネル ク ラ イ ア ン ト の イ ン ス ト ール フ ァ イ ル (ngsetup.exe) を ダ ウ ン ロ ー ド す る には、 [Connect tunnel client] で [Download] を ク リ ッ ク し ます。 • Aventail Connect Mobile ク ラ イ ア ン ト の イ ン ス ト ール フ ァ イ ル (cmsetup.exe) を ダ ウ ン ロ ー ド す る には、 [Connect Mobile client] で [Download] を ク リ ッ ク し ます。 4. こ の操作に よ り 、 [Download Client Package] ページが表示 さ れ ます。 [File Download] ダ イ ア ロ グ ボ ッ ク ス で、 ロ ーカル コ ン ピ ュ ー タ に フ ァ イ ルを保存す る よ う 求め ら れ ます。 5. [Save] を ク リ ッ ク し て、 正 し いデ ィ レ ク ト リ を ブ ラ ウ ズ し ます。 再び、 [Save] を ク リ ッ ク し ま す。 6. [Download Client Package] ページで [OK] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Client Installation Packages] ページに戻 り ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 233 Aventail Connect ト ンネル ク ラ イアン ト 用構成のカス タ マイズ アプ ラ イ ア ン ス か ら ダ ウ ン ロ ー ド し た Aventail Connect ト ン ネル ク ラ イ ア ン ト セ ッ ト ア ッ プ パ ッ ケージは、 その ま ま では ま だ構成 さ れてい ま せん。 セ ッ ト ア ッ プ パ ッ ケージ をユーザーにデプ ロ イ す る 前に Connect ト ン ネル構成フ ァ イ ル (.ini フ ァ イ ル ) を カ ス タ マ イ ズす る こ と がで き ま す。 こ う す る こ と で、 それぞれの ク ラ イ ア ン ト について、 アプ ラ イ ア ン ス のホ ス ト 名や IP ア ド レ ス 、 ロ グ イ ン時に使用す る レルム名な ど の ク ラ イ ア ン ト オプシ ョ ン を あ ら か じ め構成す る こ と がで き ます。 こ の手順を省略 し た場合、 パ ッ ケージではデフ ォ ル ト アプ ラ イ ア ン ス設定が使用 さ れ ま す。 X Aventail Connect ト ン ネルの構成 フ ァ イ ルを カ ス タ マ イ ズする には 1. 232 ページの 「Aventail ク ラ イ ア ン ト の イ ン ス ト ール パ ッ ケージのダ ウ ン ロ ー ド 」 の手順に従っ て、 Connect ト ン ネル イ ン ス ト ール フ ァ イ ルを Windows コ ン ピ ュ ー タ にダ ウ ン ロ ー ド し ま す。 2. [ ス タ ー ト ] > [ フ ァ イ ル名を指定 し て実行 ] を選択 し ボ ッ ク ス に 「cmd」 と 入力 し て、 Windows コ マ ン ド プ ロ ン プ ト を開 き ます。 3. ngsetup.exe フ ァ イ ルを保存 し たデ ィ レ ク ト リ に移 り 、 次の コ マ ン ド を入力 し て イ ン ス ト ール フ ァ イ ル を抽出 し ま す。 ただ し path には、 フ ァ イ ルを展開す る パ ス を指定 し ます。 ngsetup.exe -expand=path 4. テ キ ス ト エデ ィ タ で ngsetup.ini フ ァ イ ルを開 き 、 適切な構成設定を指定 し ます。 5. ngsetup.ini フ ァ イ ルを修正 し た ら 、 こ れを保存 し て閉 じ ます。 こ の フ ァ イ ルが ngsetup.exe フ ァ イ ル を保存 し たデ ィ レ ク ト リ に置かれてい る こ と を確認 し ます。 次の表では、 構成オプシ ョ ン を示 し てお り 、 それに続いてサン プル .ini フ ァ イ ルを紹介 し てい ま す。 オプシ ョ ン コ ン ポーネ ン ト を指定 し なか っ た場合は、 デフ ォ ル ト 値が使用 さ れ ます。 必須 ? オプシ ョ ン 説明 [Connectoid number] セ ク シ ョ ン このオプ シ ョ ンは、 ア プ ラ イ ア ン スへのア ク セ スに関する基本設定 必須 を指定 し ます。 ユーザーが複数のア プ ラ イ ア ン スにア ク セス で き る よ う にする には、 この構成ブ ロ ッ ク を コ ピー し 、 ([Connectoid 1]、[Connectoid 2] のよ う に ) number の値を 1 ずつ増や し てい き ます。 ConnectionName=name ク ラ イ ア ン ト ユーザー イ ン タ フ ェ ースに表示 さ れる接続の名前。 値 を指定 し ていない場合、 デ フ ォ ル ト 接続名、 「Aventail VPN Connection」 が使用 さ れます。 オプ シ ョ ン VpnServer=host name | IP address ア プ ラ イ ア ン スのホス ト 名ま たは IP ア ド レ ス。 値を指定 し ていない 場合、 ア プ ラ イ ア ン スのホス ト 名や IP ア ド レ ス を ユーザーが手作業 で入力 し なければな り ません。 オプ シ ョ ン StartMenuIcon=[0 | 1] シ ョ ー ト カ ッ ト を Aventail VPN Client グループに追加するかど う か指定 し ます。 デ フ ォ ル ト 値は 「1」 で、 その場合、 シ ョ ー ト カ ッ ト が追加 さ れます。 オプ シ ョ ン DesktopIcon=[0 | 1] シ ョ ー ト カ ッ ト を デス ク ト ッ プに追加するかど う か指定 し ます。 デ フ ォ ル ト 値は 「1」 で、 その場合、 シ ョ ー ト カ ッ ト が構成 さ れます。 オプ シ ョ ン UserRealm=name ユーザーがロ グ イ ンする デ フ ォ ル ト レルムを指定 し ます。 レルム名 は、 AMC で表示 さ れてい るの と 同 じ も のを正確に指定 し ます。 オプ シ ョ ン DefaultAuthType=[UNPW | CRAM] 実行するユーザー認証の タ イ プ を、ユーザー名 / パスワー ド (UNPW) と CRAM のいずれかで指定 し ます。 デ フ ォル ト 値は 「UNPW」 です。 オプ シ ョ ン StatusDlg=[0 | 1] ア プ ラ イ ア ン スに接続す る と き、 ス テー タ ス ダ イ ア ロ グ ボ ッ ク ス を 表示するかど う か指定 し ます。 デ フ ォ ル ト 値は 「1」 で、 その場合、 ス テー タ ス ダ イ ア ロ グ ボ ッ ク スが表示 さ れます。 オプ シ ョ ン Taskbar=[0 | 1] ア プ ラ イ ア ン スに接続す る と き、 タ ス ク バー通知エ リ アにア イ コ ン を表示するかど う か指定 し ます。 デ フ ォ ル ト 値は 「1」 で、 その場 合、 ア イ コ ンが表示 さ れます。 オプ シ ョ ン RunAtStartup=[0 | 1] Windows の起動時に、 自動的に接続が始動するかど う か指定 し ま す。 デ フ ォ ル ト 値は 「1」 で、 その場合、 自動的に接続が始動 し ま す。 オプ シ ョ ン このセ ク シ ョ ン では、 実行する MSI イ ン ス ト ールの タ イ プに関する 情報を指定 し ます。 それぞれの .ini フ ァ イ ルには、 [Install Settings] セ ク シ ョ ン を 1 つだけ入れる こ と がで き ます。 オプ シ ョ ン [Install Settings] セ ク シ ョ ン Level=[FULL | REDUCED | BASIC | NONE] イ ン ス ト ールの際のユーザー イ ン タ フ ェ ースのレベルを指定 し ます。 オプ シ ョ ン デ フ ォ ル ト 値は 「NONE」 です。 234 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス オプシ ョ ン ProductCode=key PackageCode=key 説明 必須 ? これ ら の設定は、 すでに構成 さ れてい る ため、 修正する こ と がで き ません。 FileSize=bytecount ProductVersion=x.yy.zzz サン プル ngsetup.ini フ ァ イ ル [Install Settings] Level=FULL ProductCode={A814B50B-B392-458A-8C31-51697E1EBB7A} PackageCode={A77CB50B-0384-5D8A-DE3D-61099E9EB37C} [Connectoid 1] ConnectionName=XYZ Company Network VpnServer=64.94.142.134 [Connectoid 2] ConnectionName=Test Network VpnServer=64.94.142.134 StartMenuIcon=1 DesktopIcon=1 UserRealm=employees DefaultAuthType=UNPW StatusDlg=1 Taskbar=1 RunAtStartup=1 Aventail Connect Mobile ク ラ イアン ト 用構成のカス タ マイズ アプ ラ イ ア ン ス か ら ダ ウ ン ロ ー ド し た Aventail Connect Mobile ク ラ イ ア ン ト セ ッ ト ア ッ プ パ ッ ケージは、 その ま ま では ま だ構成 さ れてい ま せん。 セ ッ ト ア ッ プ パ ッ ケージ をユーザーにデプ ロ イ す る 前に Connect Mobile 構成フ ァ イ ル (.ini フ ァ イ ル ) を カ ス タ マ イ ズす る こ と がで き ま す。 こ う す る こ と で、 それぞれの ク ラ イ ア ン ト について、 アプ ラ イ ア ン ス のホ ス ト 名や IP ア ド レ ス、 レルム名な ど のオプシ ョ ン を あ ら か じ め構成 す る こ と がで き ます。 こ の手順を省略 し た場合、 パ ッ ケージではデフ ォ ル ト アプ ラ イ ア ン ス 設定が使用 さ れ ま す。 X Aventail Connect Mobile の構成 フ ァ イルを カ ス タ マ イ ズする には 1. 232 ページの 「Aventail ク ラ イ ア ン ト の イ ン ス ト ール パ ッ ケージのダ ウ ン ロ ー ド 」 の手順に従っ て、 Connect Mobile イ ン ス ト ール フ ァ イ ルを Windows コ ン ピ ュ ー タ にダ ウ ン ロ ー ド し ます。 2. [ ス タ ー ト ] > [ フ ァ イ ル名を指定 し て実行 ] を選択 し ボ ッ ク ス に 「cmd」 と 入力 し て、 Windows コ マ ン ド プ ロ ン プ ト を開 き ます。 3. cmsetup.exe フ ァ イ ルを保存 し たデ ィ レ ク ト リ に移 り 、 次の コ マ ン ド を入力 し て イ ン ス ト ール フ ァ イ ル を抽出 し ま す。 ただ し path には、 フ ァ イ ルを展開す る パ ス を指定 し ます。 cmsetup.exe -extract=path 4. テ キ ス ト エデ ィ タ で cmsetup.ini フ ァ イ ルを開 き 、 適切な構成設定を指定 し ます。 5. cmsetup.ini フ ァ イ ルを修正 し た ら 、 こ れを保存 し て閉 じ ます。 こ の フ ァ イ ルが cmsetup.exe フ ァ イ ル を保存 し たデ ィ レ ク ト リ に置かれてい る こ と を確認 し ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 235 次の表では、 構成オプシ ョ ン を示 し てお り 、 それに続いてサン プル .ini フ ァ イ ルを紹介 し てい ま す。 オプシ ョ ン コ ン ポーネ ン ト を指定 し なか っ た場合は、 デフ ォ ル ト 値が使用 さ れ ます。 必須 ? オプシ ョ ン 説明 [Connectoid number] セ ク シ ョ ン このオ プ シ ョ ンは、 ア プ ラ イ ア ン スへのア ク セ スに関す る基本設定 必須 を指定 し ます。 ユーザーが複数のア プ ラ イ ア ン スにア ク セ スで き る よ う にする には、 この構成ブ ロ ッ ク を コ ピ ー し 、 ([Connectoid 1]、[Connectoid 2] のよ う に ) number の値を 1 ずつ増や し てい き ます。 ConnectionName=name ク ラ イ ア ン ト ユーザー イ ン タ フ ェ ースに表示 さ れる接続の名前。 値 オプ シ ョ ン を指定 し ていない場合、 デ フ ォ ル ト 接続名、 「Aventail Connect Mobile」 が使用 さ れます。 VpnServer=host name | IP address ア プ ラ イ ア ン スのホス ト 名ま たは IP ア ド レ ス。 値を指定 し ていない オプ シ ョ ン 場合、 ア プ ラ イ ア ン スのホス ト 名や IP ア ド レ ス をユーザーが手作業 で入力 し なければな り ません。 AutoStart=[0 | 1] 起動時に、 自動的に接続が始動するかど う か指定 し ます。 デ フ ォ ル ト 値は 「0」 で、 その場合、 接続は自動的に始動 し ません。 オプ シ ョ ン Logging=[0 | 1] ク ラ イ ア ン ト のロギン グ を有効にす るかど う か指定 し ます。 デ フ ォ ル ト 値は 「0」 で、 その場合、 ロ ギン グは無効にな り ます。 オプ シ ョ ン Aventail Client セ ッ ト ア ッ プ パッ ケージのデプロイ ユーザーが ASAP WorkPlace に ロ グ イ ン し な く て も 、 ネ ッ ト ワ ー ク ロ ケーシ ョ ン (Web サーバー、 FTP サー バー、 フ ァ イ ル サーバーな ど ) か ら Aventail Connect ト ン ネル ク ラ イ ア ン ト と Aventail Connect Mobile のセ ッ ト ア ッ プ パ ッ ケージ をデプ ロ イ で き ま す。 Connect ト ン ネル ク ラ イ ア ン ト の場合、 Microsoft Systems Management Server (SMS) ま たは IBM Tivoli Configuration Manager な ど の構成管理アプ リ ケーシ ョ ン を使用 し て、 ユーザーに イ ン ス ト ール パ ッ ケージ をプ ッ シ ュ す る こ と がで き ます。 ク ラ イ ア ン ト の .ini フ ァ イ ルを構成 し てい る 場合、セ ッ ト ア ッ プ プ ロ グ ラ ム の他に .ini フ ァ イ ル も 配布す る 必 要があ り ます ( セ ッ ト ア ッ プ プ ロ グ ラ ム を単独で配布 し た場合、 ク ラ イ ア ン ト はデフ ォ ル ト 設定を使用 )。 Aventail Connect ト ンネル ク ラ イアン ト のインス ト ール パッ ケージのデプロイ Aventail Connect ト ン ネル ク ラ イ ア ン ト は、 .exe フ ァ イ ル と し て イ ン ス ト ールで き る 他、 Microsoft Installer (.msi) フ ァ イ ルを使用 し てデプ ロ イ す る こ と も で き ま す。 X .exe と し て Aventail Connect ト ン ネル ク ラ イ ア ン ト をデプ ロ イ する には • エ ン ド ユーザーに ngsetup.exe フ ァ イ ルを配布 し ま す。 ngsetup.ini フ ァ イ ルを修正 し てい る 場合 (233 ページの 「Aventail Connect ト ン ネル ク ラ イ ア ン ト 用 構成のカ ス タ マ イ ズ」 の方法で )、 こ の フ ァ イ ル も あ わせて配布 し 、 セ ッ ト ア ッ プ時に起動す る 必要があ り ま す。 .ini フ ァ イ ルを起動す る と き は、 次の よ う に コ マ ン ド ラ イ ン パ ラ メ ー タ で指定 し 、 セ ッ ト ア ッ プ プ ロ グ ラ ム に渡 し ます。 ngsetup.exe -f=ngsetup.ini エ ン ド ユーザーの手間を軽減す る ため、 こ のパ ラ メ ー タ を付け てセ ッ ト ア ッ プ プ ロ グ ラ ム を呼び出す バ ッ チ フ ァ イ ルを記述す る こ と も で き ます。 X Aventail Connect tunnel client as an .msi と し て Aventail Connect ト ン ネル ク ラ イ ア ン ト を デプ ロ イ する には • .msi イ ン ス ト ール パ ッ ケージ と 修正済みの ngsetup.ini フ ァ イ ル ( 作成 し てい る 場合 ) をデプ ロ イ す る よ う (Microsoft SMS ま たは IBM Tivoli な ど の ) 構成管理 ソ フ ト ウ ェ ア プ ロ グ ラ ム を設定 し ま す。 236 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス Aventail Connect Mobile ク ラ イアン ト のイ ンス ト ール パッ ケージのデプロ イ Aventail Connect Mobile ク ラ イ ア ン ト は、 Pocket PC デバ イ ス で動作 し ま す。 こ の ク ラ イ ア ン ト を イ ン ス ト ールす る 場合、 ActiveSync を使用 し て、 シ リ アル、 USB、 ネ ッ ト ワ ー ク な ど で接続 し た Windows デ ス ク ト ッ プ コ ン ピ ュ ー タ と モバ イ ル デバ イ ス と を同期 し ま す。 ActiveSync を イ ン ス ト ール し て、 モバ イ ル デバ イ ス を ク レー ド ルにセ ッ ト す る と 、 デス ク ト ッ プ イ ン ス ト ール プ ロ グ ラ ム がアプ リ ケーシ ョ ン フ ァ イ ルを コ ピー し 、 初期設定を構成 し ます。 イ ン ス ト ールが終わ っ た ら 、 モバ イ ル デバ イ ス を ク レー ド ルか ら 外 し 、 イ ン タ ーネ ッ ト サービ ス プ ロ バ イ ダに接続す る こ と に よ り 、 VPN で使用で き る よ う にな り ま す。 X .exe と し て Aventail Connect Mobile をデプ ロ イ する には • エ ン ド ユーザーに cmsetup.exe フ ァ イ ルを配布 し ま す。 234 ページの 「Aventail Connect Mobile ク ラ イ ア ン ト 用構成のカ ス タ マ イ ズ」 の方法で ) cmsetup.ini フ ァ イ ルを修正 し てい る 場合、 こ の フ ァ イ ル も あわせて配布 し 、 セ ッ ト ア ッ プ時に起動す る 必要があ り ま す。 .ini フ ァ イ ルを起動す る と き は、 次の よ う に コ マ ン ド ラ イ ン パ ラ メ ー タ で指定 し 、 セ ッ ト ア ッ プ プ ロ グ ラ ムに渡 し ます。 cmsetup.exe -install=cmsetup.ini Aventail OnDemand プロキシ エージ ェ ン ト Aventail OnDemand プ ロ キ シ エージ ェ ン ト は、 Aventail ネ ッ ト ワ ー ク プ ロ キ シ サービ ス で 保護 さ れた TCP リ ソ ー スへのア ク セ ス を可能にす る 安全かつ軽量のエージ ェ ン ト です。 OnDemand では、 ロ ーカル ルー プバ ッ ク プ ロ キ シ ン グ を使用 し 、 AMC で定義 さ れてい る ルーテ ィ ン グ指示文に従っ て、 保護 さ れたネ ッ ト ワ ー ク リ ソ ース へ通信を リ ダ イ レ ク ト し ま す。 (OnDemand では UDP アプ リ ケーシ ョ ン をサポー ト し てい ま せん ) こ の節では、 OnDemand の概要について説明 し 、 OnDemand の構成方法 と イ ン ス ト ール方法について説明 し ます。 OnDemand ラ イ セ ン ス を購入 し ていない場合は、 AMC の OnDemand オプシ ョ ン が無効にな っ て い ま す。 概要 : OnDemand Aventail OnDemand は、 ク ラ イ ア ン ト アプ リ ケーシ ョ ン と アプ リ ケーシ ョ ン サーバー間の通信を保護す る 、 ループバ ッ ク ベー ス のプ ロ キ シ ソ リ ュ ーシ ョ ン です。 ユーザーは、 ク ラ イ ア ン ト レ ス な VPN ア ク セ ス を得 る ために OnDemand を Aventail アプ ラ イ ア ン ス か ら 「オ ンデマ ン ド で」 ダ ウ ン ロ ー ド す る こ と がで き ま す。 ネ ッ ト ワ ー ク に対 し て フル ア ク セ ス で き ないパー ト ナーやベン ダーの他、 キオ ス ク 端末やホーム コ ン ピ ュ ー タ か ら ネ ッ ト ワ ー ク リ ソ ース にモバ イ ルで ア ク セ ス す る 従業員が使用す る と 便利です。 次の図は、 接続の手順を示 し てい ま す。 1. デフ ォ ル ト の場合、 OnDemand は、 ユーザーが ASAP WorkPlace に ロ グ イ ンす る と き に自動的に始動 し ます。 ま た、 ユーザーが ASAP WorkPlace の リ ン ク を ク リ ッ ク す る こ と で起動で き る よ う OnDemand を構成す る こ と も で き ます。 2. デフ ォ ル ト の場合、 OnDemand は、 ASAP WorkPlace の ウ ィ ン ド ウ 内で動作を開始 し ま す。 ま た、 「 ス タ ン ド ア ロ ン」 モー ド で、 独立 し た ウ ィ ン ド ウ で動作す る よ う OnDemand を構成す る こ と も で き ま す。 3. OnDemand は、 ロ ーカル ループバ ッ ク ア ド レ ス (127.0.0.1) でアプ リ ケーシ ョ ン要求を待ち、 その ト ラ フ ィ ッ ク を Aventail ネ ッ ト ワ ー ク プ ロ キ シ サービ ス に リ ダ イ レ ク ト し ま す。 4. Aventail ネ ッ ト ワ ー ク プ ロ キ シ サービ ス は、 アプ リ ケーシ ョ ン が要求す る ポー ト で、 ト ラ フ ィ ッ ク を ア プ リ ケーシ ョ ン サーバーにプ ロ キ シ し ます。 5. アプ リ ケーシ ョ ン サーバーは、 アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク を ネ ッ ト ワ ー ク プ ロ キ シ サービ ス に送 信 し ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 237 6. ネ ッ ト ワ ー ク プ ロ キ シ サービ ス は、 アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク を OnDemand に送信 し 、 OnDemand が ク ラ イ ア ン ト アプ リ ケーシ ョ ン にそれを渡 し ま す。 OnDemand は、 1 つのポー ト ま たは複数のポー ト を使用す る TCP アプ リ ケーシ ョ ン をサポー ト し てい ます。 ポー ト を動的に定義す る アプ リ ケーシ ョ ン も こ れに含 まれ ます。 OnDemand では通常、 次の 2 種類のアプ リ ケーシ ョ ン にア ク セ ス し ます。 • 常駐 ク ラ イ ア ン ト / サーバー ア プ リ ケーシ ョ ン。 イ ン タ ーネ ッ ト 電子 メ ール アプ リ ケーシ ョ ン (Microsoft Outlook、 Outlook Express、 Lotus Notes、 Netscape Mail、 Eudora な ど )、 端末エ ミ ュ レーシ ョ ン アプ リ ケーシ ョ ン (WRQ Reflection、 NetManage RUMBA PC-to-Host な ど )、 リ モー ト オ フ ィ ス 接続アプ リ ケーシ ョ ン (Citrix ICA/MetaFrame、Microsoft Windows Terminal Services な ど ) が こ れに当た り ま す。 通常 こ れ ら の ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ンは、 ク ラ イ ア ン ト コ ン ピ ュ ー タ に ロ ーカルに イ ン ス ト ール さ れ ま す。 OnDemand では、 Microsoft Outlook 2000 と Outlook XP をサポー ト し てい ます。 • ダウ ン ロ ー ド 可能な シ ン ク ラ イ ア ン ト ア プ リ ケーシ ョ ン。 端末エ ミ ュ レーシ ョ ン プ ロ グ ラ ム (Attachmate myEXTRA! Terminal Viewers、 NetManage RUMBA Web-to-Host、 WRQ Reflection for the Web な ど )、 リ モー ト オ フ ィ ス接続アプ リ ケーシ ョ ン (Citrix ICA client for Java、 Microsoft Windows Terminal Services Advanced Client な ど ) が こ れに当た り ます。 シ ン ク ラ イ ア ン ト アプ リ ケーシ ョ ンは通常、 Java アプ レ ッ ト ま たは ActiveX コ ン ト ロ ールを内蔵す る Web ベー ス のアプ リ ケー シ ョ ン です。 OnDemand では、 UDP ベー ス のアプ リ ケーシ ョ ン を サポー ト し てい ません。 デフ ォ ル ト の場合、 OnDemand は、 ユーザーが ASAP WorkPlace に接続す る と き に、 自動的に動作す る よ う 構成 さ れてい ます。 ま た、 OnDemand を ス タ ン ド ア ロ ン モー ド で構成す る こ と も で き ます。 こ の場合は、 ユーザーが、 ASAP WorkPlace の リ ン ク を ク リ ッ ク す る こ と に よ っ て OnDemand を起動 し ま す。 パフ ォ ーマ ン ス を向上 さ せ る ため、 OnDemand は、 最初にア ク セ ス し た と き にユーザーの コ ン ピ ュ ー タ に イ ン ス ト ール さ れ る よ う にな っ てお り 、 ユーザーが使用す る たびにダ ウ ン ロ ー ド が発生す る の を避け てい ます。 Microsoft Windows ユーザーの場合、 OnDemand は、 接続要求を動的にアプ ラ イ ア ン ス に リ ダ イ レ ク ト す る よ う 構成す る こ と がで き ま す。 こ のダ イ ナ ミ ッ ク モー ド では、 特定のアプ リ ケーシ ョ ン が OnDemand と 一緒 に動作す る よ う 構成す る 必要があ り ます。 ただ し ユーザーは、 使用 し たい ク ラ イ ア ン ト / サーバー アプ リ ケー シ ョ ン を手動で起動 し なければな り ません。 ま た、 ユーザーが ASAP WorkPlace の リ ン ク を ク リ ッ ク し た と き に、 OnDemand が自動的に ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン を実行す る よ う セ ッ ト ア ッ プす る こ と も で き ま す ( こ の構成は、 非 Windows プ ラ ッ ト フ ォ ームのユーザー も 必要 )。 OnDemand リ ダイ レ ク シ ョ ン モー ド デフ ォ ル ト の場合、 Aventail OnDemand は、 ユーザーが ASAP WorkPlace に ロ グ イ ンす る と き に自動的に 始動 し ます。 ま た AMC には、 ユーザーが ASAP WorkPlace の リ ン ク を ク リ ッ ク し た と き に、 Aventail OnDemand を手動で起動す る オプ シ ョ ン も あ り ます。 OnDemand には、 ダ イ ナ ミ ッ ク モー ド と マ ッ プ ド モー ド の 2 種類の動作モー ド があ り ます。 ダ イ ナ ミ ッ ク モー ド では、 Windows ユーザーが任意のネ ッ ト ワ ー ク アプ リ ケーシ ョ ン にア ク セ スす る こ と がで き 、 一方の マ ッ プ ド モー ド では、 ユーザーが、 特定のアプ リ ケーシ ョ ン用に構成 さ れた シ ョ ー ト カ ッ ト を ク リ ッ ク し ま す。 ま た、 OnDemand ア ク セ ス を完全に無効にす る こ と も で き ま す。 • ダ イ ナ ミ ッ ク モー ド 。 ダ イ ナ ミ ッ ク モー ド では、 AMC で定義 さ れてい る すべてのネ ッ ト ワ ー ク リ ソ ー ス か ら の ト ラ フ ィ ッ ク を、 OnDemand が自動的に リ ダ イ レ ク ト し ます。 こ のモー ド の場合、 使用す る ア プ リ ケーシ ョ ン を ユーザーが手動で起動 し ま す。 ダ イ ナ ミ ッ ク モー ド は、 Windows でのみサポー ト さ れ てお り 、 ユーザーに管理者権限が必要にな り ま す。 • マ ッ プ ド モー ド 。 マ ッ プ ド モー ド では、 OnDemand が、 特定のネ ッ ト ワ ー ク アプ リ ケーシ ョ ン に対応 す る ト ラ フ ィ ッ ク を リ ダ イ レ ク ト し ます。 オプシ ョ ン で、 ユーザーがシ ョ ー ト カ ッ ト を ク リ ッ ク し た と き に指定の Web URL が自動的に開かれ る よ う 、 OnDemand を構成す る こ と も で き ま す。 こ のモー ド は、 OnDemand が動作す る と き にアプ リ ケーシ ョ ン ( シ ン ク ラ イ ア ン ト アプ リ ケーシ ョ ン な ど ) が始動す る よ う 設定す る 場合に使用す る と 便利です。 ただ し 、 特定のアプ リ ケーシ ョ ン を ポ イ ン ト す る シ ョ ー ト カ ッ ト を手動で作成 し なければな り ま せん。 マ ッ プ ド モー ド は、 Windows、 Macintosh、 Linux でサ ポー ト さ れてい ます。 Windows PC の場合、 ユーザーが ASAP WorkPlace に初めて ロ グ イ ンす る と き 、 コ ン ピ ュ ー タ が構成 さ れて いれば、 WorkPlace が自動的に OnDemand を ユーザーの コ ン ピ ュ ー タ にダ ウ ン ロ ー ド し 、 イ ン ス ト ール し て、 こ れを起動 し ま す。 それ以降の WorkPlace ロ グ イ ン では、 OnDemand が自動的に起動す る よ う にな り ます。 ただ し 、 こ の自動始動を無効に し 、 ダ イ ナ ミ ッ ク モー ド で、 ユーザーが手動で OnDemand を開始す る ための リ ン ク を入れ る こ と も で き ま す。 238 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス OnDemand の起動 デフ ォ ル ト の場合、 Aventail OnDemand が有効にな っ ていれば、 ユーザーが ASAP WorkPlace に ロ グ イ ン す る と き OnDemand が自動的に始動 し 、 WorkPlace の ウ ィ ン ド ウ で動作 し ます。 ユーザーは、 こ の埋め込 みモー ド で OnDemand を使用す る と き 、 WorkPlace ウ ィ ン ド ウ を開いた ま ま に し ておかなければな り ませ ん。 ま た、 OnDemand は ス タ ン ド ア ロ ン モー ド で動作す る よ う 構成す る こ と も で き ます。 こ の場合、 OnDemand を開始す る ための リ ン ク を ユーザーが ク リ ッ ク す る と 、 OnDemand が独立 し た ウ ィ ン ド ウ で開 き ま す。 ユーザーは、 OnDemand に影響を与えずに、 ASAP WorkPlace ウ ィ ン ド ウ を閉 じ る こ と がで き ま す。 ま た、 OnDemand ウ ィ ン ド ウ を最小化す る こ と も で き ますが、 ネ ッ ト ワ ー ク で使用 し てい る と き は閉 じ る こ と がで き ません。 こ れを閉 じ る と 、 アプ リ ケーシ ョ ン接続 も 停止 し 、 ユーザーが OnDemand か ら ロ グ ア ウ ト す る こ と にな り ます。 ユーザーが作業を終了 し た ら 、 OnDemand ウ ィ ン ド ウ を閉 じ る こ と で、 OnDemand か ら ロ グ ア ウ ト す る こ と がで き ま す。 次の表は、 OnDemand を起動す る 方法について ま と めてい ま す。 起動モー ド 説明 ASAP WorkPlace への埋め込み OnDemand が、 メ イ ン WorkPlace ウ ィ ン ド ウで透過的に動作 し ます。 ユー ザーは、 OnDemand を使用する と き、 WorkPlace ウ ィ ン ド ウを開いた ま ま に し ておかなければな り ません。 OnDemand 接続についての情報は、 [Connection status] エ リ アに表示 さ れます。 ス タ ン ド ア ロ ン エージ ェ ン ト OnDemand が、 独立 し たウ ィ ン ド ウで動作 し ます。 ユーザーが WorkPlace ブ ラ ウザ ウ ィ ン ド ウを閉 じ て も 、 OnDemand は動作を続けます。 OnDemand 接続についての情報は、 独立 し た [Details] ウ ィ ン ド ウに表示 さ れます。 メモ • ユーザーは、 OnDemand ウ ィ ン ド ウ か ら アプ リ ケーシ ョ ン を開始す る こ と がで き ません。 URL が自動的 に開かれ る よ う OnDemand を構成 し てい る 場合を除 き 、 ユーザーは通常の方法で、 アプ リ ケーシ ョ ン を 手動で開始 し なければな り ません。 • ユーザーは、 パー ソ ナル フ ァ イ ア ウ ォ ールで、 OnDemand ト ラ フ ィ ッ ク を許可す る よ う 構成す る 必要は あ り ま せん。 OnDemand ク ラ イアン ト 要件 Aventail OnDemand プ ロ キ シ エージ ェ ン ト では、 Java Virtual Machine (JVM) が構成 さ れた Web ブ ラ ウ ザが必要にな り ま す。 OnDemand では、 次の ク ラ イ ア ン ト 構成をサポー ト し てい ます。 オペ レーテ ィ ン グ シ ス テム Web ブ ラ ウザ その他の要件 Service Pack 2 がイ ン ス ト ール さ Service Pack 1 がイ ン ス ト ール さ れた れた Windows XP Professional、 Microsoft Internet Explorer 6.0、 また Service Pack 2 がイ ン ス ト ール さ は Mozilla Firefox 1.0 れた Windows XP Home Edition、 Service Pack 4 がイ ン ス ト ール さ れた Windows 2000 Sun JVM 1.5.1 プ ラ グ イ ン ま たは ActiveX が動作 Macintosh OS X Sun JVM 1.4.2 プ ラ グ イ ン Macintosh Safari 1.2 または Mozilla Firefox 1.0 OnDemand ス タ ン ド ア ロ ン デプ ロ イ メ ン ト を計画す る と き は、 ユーザーが OnDemand を使用 し て ア ク セ ス す る ク ラ イ ア ン ト アプ リ ケーシ ョ ン で、 ど の よ う な テ ク ノ ロ ジーが使用 さ れてい る かについて考慮 し ま す。 た と えば、 Microsoft の ActiveX テ ク ノ ロ ジーを使用す る アプ リ ケーシ ョ ン で あれば、 Macintosh や Linux シ ス テ ム で動作 し ま せん。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 239 OnDemand がネ ッ ト ワーク ト ラ フ ィ ッ ク を リ ダイ レ ク ト する方法 OnDemand では、 ロ ーカル ループバ ッ ク ア ド レ ス を使用 し て、 アプ ラ イ ア ン ス を介 し た ト ラ フ ィ ッ ク を リ ダ イ レ ク ト し 保護 し ます。 こ の節では、 ループバ ッ ク プ ロ キ シ ン グの概要を紹介 し 、 さ ま ざ ま な リ ダ イ レ ク シ ョ ン方式について説明 し ます。 概要 : ループバッ ク プロキシング OnDemand では、 Aventail ネ ッ ト ワ ー ク プ ロ キ シ サービ ス を介 し て アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク を安全 に送信す る と き 、 ロ ーカル ループバ ッ ク プ ロ キ シ ン グ を使用 し ま す。 た と えば、 Windows ユーザーがアプ ラ イ ア ン ス に接続 し 、 Citrix アプ リ ケーシ ョ ン を実行す る 場合、 次の よ う に し ます。 1. ユーザーが ASAP WorkPlace に ロ グ イ ン し ま す。 こ の と き 、 OnDemand がダ イ ナ ミ ッ ク モー ド で自動 的に動作 し ます。 2. OnDemand が ロ ーカル ループバ ッ ク ア ド レ ス を Citrix サーバーのホ ス ト 名に自動的にマ ッ ピ ン グ し ま す。 3. ユーザーが Citrix アプ リ ケーシ ョ ン を実行す る と 、 citrix.example.com に接続が試み ら れ ま す。 OnDemand は、 Citrix ホ ス ト 名を 127.0.0.1 に解決 し 、 ト ラ フ ィ ッ ク を ネ ッ ト ワ ー ク プ ロ キ シ サービ ス にルーテ ィ ン グ し ます。 4. OnDemand は、 SSL を使用 し て Citrix ト ラ フ ィ ッ ク を暗号化 し 、 Aventail アプ ラ イ ア ン ス へ安全に ルーテ ィ ン グ し ま す。 一方でアプ ラ イ ア ン ス は、 こ れを Citrix サーバーに転送 し ます。 5. Citrix サーバーは こ れに応答 し 、 ASAP WorkPlace アプ ラ イ ア ン ス を介 し てデー タ を返信 し ます。 6. アプ ラ イ ア ン ス は、 SSL を使用 し て応答を OnDemand に転送 し ます。 7. OnDemand は、 情報を Citrix アプ リ ケーシ ョ ン に転送 し ま す。 OnDemand では、 複数の リ ダ イ レ ク シ ョ ン方式をサポー ト し てい ま す。 選択す る 方法は通常、 ( 使用中のオ ペレーテ ィ ン グ シ ス テ ムや ロ ーカル シ ス テ ム権限な ど ) エ ン ド ユーザーのプ ロ フ ァ イ ルに よ っ て決 ま り ま す。 ダイナ ミ ッ ク モー ド Windows シ ス テ ム の場合、 OnDemand は、 AMC で定義 さ れてい る 任意の接続先 リ ソ ース ( ド メ イ ン、 ホ ス ト 、 IP ア ド レ ス ) へ ト ラ フ ィ ッ ク を動的に リ ダ イ レ ク ト し ます。 こ のモー ド で動作す る 場合、 OnDemand は TCP/IP プ ロ ト コ ルの ト ラ ン ス ポー ト 層に入 り 込み、 必要に応 じ て ト ラ フ ィ ッ ク を動的に リ ダ イ レ ク ト し ま す。 ダ イ ナ ミ ッ ク モー ド は通常、 Windows ユーザーの場合に有効にな り ます。 個別のアプ リ ケーシ ョ ン ご と に特 定のポー ト やループバ ッ ク ア ド レ ス を構成す る 必要はあ り ません。 こ の方法は、 同種の Windows 環境を管理 す る 場合に適 し てお り 、 広 く 使用 さ れてい ま す。 OnDemand を ダ イ ナ ミ ッ ク モー ド で イ ン ス ト ールす る 場合、 ユーザーに ロ ーカル コ ン ピ ュ ー タ 上の管理者権 限がな ければな り ま せん。 ただ し 、 イ ン ス ト ール後、 ダ イ ナ ミ ッ ク モー ド で OnDemand を使用す る 段階では 管理者権限は必要あ り ま せん。 hosts フ ァ イルのリ ダイ レ クシ ョ ン も う 1 つの方法は、 ト ラ フ ィ ッ ク を接続先サーバーに リ ダ イ レ ク ト す る よ う 、 ユーザーの コ ン ピ ュ ー タ 上の hosts フ ァ イ ルを修正す る こ と です。 こ の リ ダ イ レ ク シ ョ ン方式は、 ユーザーに ロ ーカル コ ン ピ ュ ー タ 上の管 理者権限が付与 さ れてい る 、 Windows、 Macintosh、 Linux プ ラ ッ ト フ ォ ーム でサポー ト さ れてい ま す。 エ ン ド ユーザーのシ ス テ ム で hosts フ ァ イ ルを修正 し 、 接続先サーバーを ロ ーカル ループバ ッ ク ア ド レ ス に マ ッ ピ ン グ し ます。 アプ リ ケーシ ョ ン がホ ス ト 名を解決す る と き 、 ト ラ フ ィ ッ ク が、 OnDemand が リ ス ト し てい る ループバ ッ ク ア ド レ ス に リ ダ イ レ ク ト さ れ ま す。 次の例は、 ホ ス ト 名が IP ア ド レ ス に割 り 当て ら れた一般的な hosts フ ァ イ ル と 、 OnDemand で使用す る た めに修正 し た hosts フ ァ イ ルを示 し てい ま す。 OnDemand のホ ス ト 名が、 ホ ス ト の IP ア ド レ ス ではな く 、 ロ ーカル ループバ ッ ク ア ド レ ス にマ ッ ピ ン グ さ れてい る こ と に注目 し て く だ さ い。 アプ リ ケーシ ョ ン固有の 構成の場合、 こ れ ら のループバ ッ ク ア ド レ ス は、 AMC で OnDemand を構成す る と き に指定 し た ア ド レ ス と 一致 し ます。 詳細については、 240 ページの 「特定アプ リ ケーシ ョ ン にア ク セ スす る ための OnDemand の構 成」 を参照 し て く だ さ い。 240 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス 一般的な hosts フ ァ イ ル 192.168.1.135 telnet.example.com telnet 192.168.1.140 mailhost.example.com mail 192.168.1.143 citrix.example.com citrix OnDemand の hosts フ ァ イ ル 127.0.0.1 telnet.example.com telnet 127.0.0.1 mailhost.example.com mail 127.0.0.1 citrix.example.com citrix Macintosh OS X 上のダイナ ミ ッ ク hosts フ ァ イルのリ ダイ レ ク シ ョ ン Macintosh OS X プ ラ ッ ト フ ォ ーム では、ダ イ ナ ミ ッ ク hosts フ ァ イ ル リ ダ イ レ ク シ ョ ン が自動的に実行 さ れ ます。 そのため、 アプ ラ イ ア ン ス を介 し て TCP/IP ト ラ フ ィ ッ ク を リ ダ イ レ ク ト す る 場合 も 、 エ ン ド ユーザー の hosts フ ァ イ ルを手作業で編集す る 必要があ り ません ( ただ し 、 241 ページの 「OnDemand と 一緒に使用 す る アプ リ ケーシ ョ ン の構成」 の方法に よ り 、 AMC でアプ リ ケーシ ョ ン ポー ト マ ッ ピ ン グ を作成す る 必要が あ る )。 ダ イ ナ ミ ッ ク hosts フ ァ イ ル リ ダ イ レ ク シ ョ ン では、 1023 未満のポー ト で ロ ーカル ループバ ッ ク を 構成す る こ と も で き ます。 hosts フ ァ イ ルの修正は、 OnDemand デーモ ン が管理 し ます。 ユーザーが WorkPlace に ロ グ イ ンす る と き 、 リ モー ト ポー ト がマ ッ ピ ン グ さ れた リ ソ ー ス を、 ロ ーカル ループバ ッ ク にマ ッ ピ ン グす る ためのエ ン ト リ が、 こ のデーモ ン に よ っ て hosts フ ァ イ ルに作成 さ れ ます。 ユーザーが WorkPlace か ら ロ グ ア ウ ト す る と き 、 hosts フ ァ イ ルが元の状態に リ ス ト ア さ れ ま す。 こ のデーモ ン を イ ン ス ト ールす る には、 ユーザーに管理者権 限が必要にな り ま す。 ユーザーに管理者権限がない場合、 デーモ ンは イ ン ス ト ール さ れないため、 hosts フ ァ イ ル リ ダ イ レ ク シ ョ ン機能は使用で き ません。 特定アプ リ ケーシ ョ ンにアクセスするための OnDemand の構成 OnDemand を非 Windows プ ラ ッ ト フ ォ ームのユーザーに イ ン ス ト ールす る 場合や、 ユーザーが OnDemand を実行す る と き にシ ン ク ラ イ ア ン ト アプ リ ケーシ ョ ン が始動す る よ う 、 URL 起動機能を自動的 に使用す る 場合は、 AMC でアプ リ ケーシ ョ ン固有の構成を定義 し なければな り ま せん。 こ れには、 ク ラ イ ア ン ト やサーバーに対す る ポー ト 番号のマ ッ ピ ン グや、 「ポー ト マ ッ ピ ン グ」 と 呼ばれ る プ ロ セ ス が含ま れ ます。 概要 : ポー ト マ ッ ピング 固有のアプ リ ケーシ ョ ン で ト ラ フ ィ ッ ク を リ ダ イ レ ク ト す る よ う OnDemand を構成す る 場合、 ク ラ イ ア ン ト と サーバーでアプ リ ケーシ ョ ン が使用す る ポー ト 番号を知っ てお き 、 AMC で こ れ ら のポー ト を マ ッ ピ ン グす る 必要があ り ま す。 OnDemand は、 要求が送 ら れ る と き 、 ク ラ イ ア ン ト の特定のポー ト で こ れを リ ッ ス ン し 、 それを アプ ラ イ ア ン スへプ ロ キ シ し ま す。 アプ ラ イ ア ン ス は こ の情報を、 アプ リ ケーシ ョ ン サーバーの IP ア ド レ ス と ポー ト に転送 し ま す。 た と えば、 ホ ス ト に接続す る ク ラ イ ア ン ト の IP ア ド レ ス と ポー ト ( た と えば 127.0.1.1:23) や、 接続先サー バーの IP ア ド レ ス と ポー ト ( た と えば telneta.example.com:23) な ど を構成す る こ と がで き ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 241 ( 電子 メ ールな ど ) 一部のアプ リ ケーシ ョ ン では、 複数のプ ロ ト コ ルのために複数のポー ト を使用 し ま す。 そ の場合、 複数の異な る ポー ト で リ ッ ス ンす る よ う OnDemand を構成 し なければな り ません。 こ の よ う な構成 は、 OnDemand で複数の異な る アプ リ ケーシ ョ ン を使用す る よ う 構成す る と き に使用 し て も 便利です。 次の 例の OnDemand では、 5 つの異な る ポー ト を介 し て 3 つのアプ リ ケーシ ョ ン を使用す る よ う 構成 し てい ま す。 Aventail OnDemand 㔚ሶ䮨䯃䮲 Telnet 䮤䯃䮏 23 Citrix ICA 䮤䯃䮏 1494 䭊䬷䭢䬸䬽䭩䮞䮱䭸䯃䭾䮮䮺 䬶䬾න৻䬽䮤䯃䮏䭡↪ 䮤䯃䮏 25 (SMTP) 䮤䯃䮏 110 (POP3) 䮤䯃䮏 143 (IMAP) ⶄᢙ䬽䭼䯃䮚䮀䭡䬕䭩䮞䮱䭸䯃䭾䮮䮺䬶䬾 ⶄᢙ䬽䮤䯃䮏䭡↪ こ こ では、 ポー ト 110 (POP3)、 ポー ト 143 (IMAP)、 ポー ト 25 (SMTP) で電子 メ ール要求を リ ッ ス ンす る よ う OnDemand を構成 し てい ま す。 ま た、 ポー ト 23 で Telnet を、 ポー ト 1494 で Citrix を リ ッ ス ンす る よ う 構成 し てい ま す。 OnDemand と一緒に使用するアプ リ ケーシ ョ ンの構成 OnDemand を非 Windows プ ラ ッ ト フ ォ ームのユーザーに イ ン ス ト ールす る 場合や、シ ン ク ラ イ ア ン ト アプ リ ケーシ ョ ン を起動す る ための WorkPlace リ ン ク を作成す る 場合、 AMC でアプ リ ケーシ ョ ン固有の構成を定 義 し な ければな り ません。 こ れには、 ク ラ イ ア ン ト やサーバーに対す る ポー ト 番号のマ ッ ピ ン グや、 「ポー ト マ ッ ピ ン グ」 と 呼ばれ る プ ロ セ ス が含まれ ます。 アプ リ ケーシ ョ ン を構成す る には、 それぞれのサービ ス で使用す る プ ロ ト コ ルを知っ てお き 、 ク ラ イ ア ン ト の 接続元ア ド レ ス と ポー ト を、 接続先ホ ス ト のア ド レ ス と ポー ト にマ ッ ピ ン グす る 必要があ り ます。 ユーザーが OnDemand を実行 し た と き に Web ページが開 く よ う に し たい場合、 URL を指定す る こ と も で き ま す ( 自動 的にアプ リ ケーシ ョ ン を始動す る 場合便利 )。 X OnDemand と 一緒に使用する ア プ リ ケーシ ョ ン を構成する には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーで [Agent Configuration] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページが表示 さ れ ます。 2. [Aventail access agents] の [Aventail OnDemand] エ リ アで [Edit] を ク リ ッ ク し ま す。 こ れ で、 [Configure OnDemand] ページが表示 さ れ ます。 242 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス 3. [Mapped mode] エ リ アで、 [New] ボ タ ン を ク リ ッ ク し ます。 こ の操作に よ り 、 [Mapped Mode] ページが表示 さ れ ま す。 4. [Application name] ボ ッ ク ス に、 アプ リ ケーシ ョ ン の名前を入力 し ます。 こ の名前は、 ASAP WorkPlace で表示 さ れ ます。 簡潔でわか り やすい名前を使用 し ます。 5. [Description] ボ ッ ク ス に、 アプ リ ケーシ ョ ン についての コ メ ン ト を入力 し ま す。 6. [Add mapping] エ リ アで、 アプ リ ケーシ ョ ン が使用す る それぞれのサービ ス を構成 し ます。 a. [Destination resource] ボ ッ ク ス の横にあ る [Edit] ボ タ ン を ク リ ッ ク し 、 構成す る ネ ッ ト ワ ー ク リ ソ ー ス を選択 し て、 [Save] を ク リ ッ ク し ます。 ま た、 [Resources] ダ イ ア ロ グ ボ ッ ク ス の [New Resource] ボ タ ン を ク リ ッ ク す る こ と で、 新 し いネ ッ ト ワ ー ク リ ソ ー ス を作成す る こ と が で き ます。 b. サービ ス の IP ア ド レ ス / ポー ト の組み合わせが、 他のサービ ス と 競合す る 場合、 [Local host] ボ ッ ク ス の IP ア ド レ ス を修正す る か、 以下で説明 し てい る ポー ト を マ ッ ピ ン グす る こ と がで き ま す。 [Local host] の値を、 127.x.y.z ア ド レ ス スペー ス内の任意の IP ア ド レ ス に変更す る こ と が で き ます。 c. [Service type] ボ ッ ク ス で、 アプ リ ケーシ ョ ンが使用す る サービ ス の タ イ プ を ク リ ッ ク し ま す。 サービ ス タ イ プ を ク リ ッ ク す る と 、 [Destination/local ports] ボ ッ ク ス に、 そのサービ ス に適 し たポー ト の値が入力 さ れ ま す。 サービ ス が ロ ーカル ポー ト と 異な る 接続先ポー ト を使用す る 場合、 [Destination/local ports] ボ ッ ク ス の情報を適宜編集 し て、 ポー ト を別のポー ト にマ ッ ピ ン グ し ま す。 d. [Add to Current Mapping] を ク リ ッ ク し ます。 こ の操作に よ り 、 マ ッ ピ ン グが [Current mapping] リ ス ト に追加 さ れ ます。 7. アプ リ ケーシ ョ ン が複数のサービ ス を使用す る 場合、 手順 5 を繰 り 返 し てそれぞれのサービ ス を構成 し ます。 ほ と ん ど のアプ リ ケーシ ョ ン では、 1 つのサービ ス し か使用 し ませんが、 複数のプ ロ ト コ ルを使用 す る アプ リ ケーシ ョ ン ( た と えば電子 メ ール ) では複数のサービ ス を使用 し ます。 8. [Create shortcut on ASAP WorkPlace] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 243 OnDemand を実行 し た と き に Web ページが開 く よ う にす る 場合 ( シ ン ク ラ イ ア ン ト アプ リ ケーシ ョ ン が自動的に始動す る よ う にす る 場合便利 )、 [Start an application by launching this URL] ボ ッ ク ス に、 適切なページの URL を指定 し ま す。 ただ し 、 http:// ま たは https:// プ ロ ト コ ル識別子は 必ず指定 し な ければな り ません。 OnDemand が ロ ー ド さ れ る と 、 新 し いブ ラ ウ ザ ウ ィ ン ド ウ に、 指定 し た URL が自動的に開 き ま す。 メモ • [Create shortcut on ASAP WorkPlace] オプシ ョ ン を最初に構成 し た ら 、 [Mapped Mode] ペー ジで設定の表示のみを行 う こ と がで き ます。 こ のページで編集す る こ と はで き ません。 こ の設定の最初の 構成が終わ っ た ら 、 AMC の [WorkPlace Shortcuts] ページでシ ョ ー ト カ ッ ト を管理 し ます。 詳細に ついては、 207 ページの 「シ ョ ー ト カ ッ ト の利用」 を参照 し て く だ さ い。 高度な OnDemand オプシ ョ ンの構成 こ の節では、外部 IP ア ド レ ス を使用 し て アプ ラ イ ア ン ス へア ク セ スす る 方法 と 、OnDemand ロ グ にデバ ッ グ メ ッ セージ を追加す る 方法について説明 し ます。 外部 IP ア ド レスを使用し たアプラ イアンスへのアクセス デフ ォ ル ト の場合、 OnDemand は、 アプ ラ イ ア ン ス の SSL 証明書に記述 さ れてい る FQDN を使用 し て アプ ラ イ ア ン ス にア ク セ ス し ま す。 こ れは実稼働環境 (FQDN がパブ リ ッ ク DNS に追加 さ れ る ) では問題あ り ま せんが、 テ ス ト 環境では次のいずれかの理由で問題が発生 し ま す。 • そのアプ ラ イ ア ン ス の FQDN が DNS に追加 さ れていないため。 • ユーザーの環境でネ ッ ト ワ ー ク ア ド レ ス変換 (NAT) が使用 さ れてい る こ と か ら 、外部 IP ア ド レ ス がアプ ラ イ ア ン ス の外部ネ ッ ト ワ ー ク ア ド レ ス と 一致 し ないため。 ど ち ら の場合 も 、 外部ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス の IP ア ド レ ス を使用す る よ う OnDemand を構成す る 必 要があ り ます。 X ア プ ラ イ ア ン スの外部 IP ア ド レ ス を使用する よ う OnDemand を構成する には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [Agent Configuration] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページが表示 さ れ ます。 2. [Aventail OnDemand] の右側にあ る [Aventail access agents] エ リ アで [Edit] を ク リ ッ ク し ます。 こ れで、 [Configure OnDemand] ページが表示 さ れ ます。 3. [Advanced] エ リ ア を ク リ ッ ク し て拡張 し 、 [Appliance FQDN or IP address] ボ ッ ク ス に、 外部 ネ ッ ト ワ ー ク イ ン タ フ ェ ース の IP ア ド レ ス を入力 し ま す。 アプ ラ イ ア ン ス を実稼働環境に移す前に、 こ の値に、 アプ ラ イ ア ン ス の SSL 証明書に記述 さ れてい る FQDN が含 まれてい る こ と を確認 し ま すアプ ラ イ ア ン ス の SSL 証明書を更新す る と 、 FQDN が自動的に こ の フ ィ ー ル ド に挿入 さ れ ま す ( 前に指定 し た値は上書 き さ れ る )。 ユーザーが初めて OnDemand を起動す る と 、 OnDemand を実行す る ための許可を与え る よ う 求め る セ キ ュ リ テ ィ 警告が Web ブ ラ ウ ザに表示 さ れ ま す。 こ の よ う な場合のブ ラ ウ ザの構成については、 244 ページの 「Java セ キ ュ リ テ ィ 警告の抑止」 を参照 し て く だ さ い。 OnDemand ログへのデバッ グ メ ッ セージの追加 デバ ッ グ メ ッ セージ を OnDemand ロ グに記録す る こ と がで き ます。 OnDemand ロ グには、 情報 メ ッ セージ と 警告 メ ッ セージのみが記述 さ れ ます。 そのため こ の ロ グは、 ト ラ ブルシ ュ ーテ ィ ン グ の場合に限っ て使用 し ます。 X OnDemand ロ グへデバ ッ グ メ ッ セージ を追加する には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [Agent Configuration] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページが表示 さ れ ます。 2. [Aventail OnDemand] の右側にあ る [Aventail access agents] エ リ アで [Edit] を ク リ ッ ク し ます。 こ れで、 [Configure OnDemand] ページが表示 さ れ ます。 3. [Advanced] エ リ ア を ク リ ッ ク し て拡張 し 、 [Enable debug OnDemand log messages] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 244 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス ク ラ イアン ト の構成 こ の節では、 OnDemand で使用す る と 便利な ク ラ イ ア ン ト 側の構成について説明 し ます。 Java セキュ リ テ ィ 警告の抑止 OnDemand が始動す る と 、OnDemand を実行す る ための許可を与え る よ う 求め る セ キ ュ リ テ ィ 警告が Web ブ ラ ウ ザに表示 さ れ ます。 こ の警告は、 オペレーテ ィ ン グ シ ス テ ムやブ ラ ウ ザに よ っ て も 変動 し ます。 OnDemand を実行す る ためには、 こ の証明書を受け入れなければな り ま せん。 OnDemand には、 アプ レ ッ ト の妥当性を保証す る 、 Java コ ー ド 署名証明書が含 ま れ ま す。 Windows お よ び Macintosh OS X の場合、 証明書には、 商用 ソ フ ト ウ ェ アで広範に使用 さ れてい る 、 Thawte の ク ラ ス 3 デジ タ ル ID が含 ま れ ま す。 OnDemand を起動す る たびにセ キ ュ リ テ ィ プ ロ ン プ ト が表示 さ れ る の を抑止す る ためには、 シ ス テ ムが Aventail 証明書を信頼す る よ う 構成 し ます。 こ の よ う な構成を行 う と 、 ブ ラ ウ ザは、 Aventail か ら のそれ以 降の ソ フ ト ウ ェ ア ダ ウ ン ロ ー ド をすべて信頼す る よ う にな り ま す。 た と えば Internet Explorer の場合、 [Always trust content from Aventail Corporation] を ク リ ッ ク すれば、 Aventail 証明書を信頼す る よ う 構成す る こ と がで き ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 245 Web ブラウザでのプロキシ サーバーの構成 プ ロ キ シ サーバー経由でア ウ ト バ ウ ン ド 接続を渡す と き 、 OnDemand では Web ブ ラ ウ ザの設定を使用 し て、 プ ロ キ シ サーバーのア ド レ ス と ポー ト を判定 し ます。 こ の構成では、 ア ウ ト バ ウ ン ド プ ロ キ シ サーバーのア ド レ ス と ポー ト を指定す る か、 自動プ ロ キ シ検出を有効にす る こ と に よ り 、 ユーザーが自身の Web ブ ラ ウ ザ を構成 し なければな り ま せん。 ユーザーが自動プ ロ キ シ検出 と 手動プ ロ キ シ識別の両方を有効に し てい る 場合、 こ の順序でプ ロ キ シ サーバー 設定がチ ェ ッ ク さ れ ます。 1. [Automatically detect settings] オプシ ョ ンが有効な場合、 OnDemand はプ ロ キ シ サーバー設定 を自動的に検出 し よ う と し ます。 2. OnDemand がプ ロ キ シ サーバー設定を自動的に検出で き ない場合、 ブ ラ ウ ザの [Use automatic configuration script] オプシ ョ ン が有効にな っ ていれば、 自動構成 ス ク リ プ ト がないかチ ェ ッ ク し ま す。 3. 構成 ス ク リ プ ト でプ ロ キ シ サーバー設定を検出で き なか っ た場合、 ユーザーが手動で指定 し たプ ロ キ シ サーバー設定が使用 さ れ ます。 X Internet Explorer for Windows で自動プ ロキシ検出を構成する には 1. [Tools] メ ニ ュ ーか ら [Internet Options] を選択 し ます。 2. [Connections] タ ブで、 [LAN Settings] を ク リ ッ ク し ます。 3. [Automatic Configuration] で、 次のいずれか ま たは両方のオプシ ョ ン を有効に し ます。 • プ ロ キ シ サーバー設定を自動的に検出す る 場合、 [Automatically detect settings] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 ( こ のオプシ ョ ンは Microsoft Virtual Machine を使用 し て Internet Explorer を実行 し てい る ユーザーに限っ てサポー ト さ れてい る ) • 構成フ ァ イ ルに含まれてい る 構成情報を使用す る 場合、 [Use automatic configuration script] チ ェ ッ ク ボ ッ ク ス を選択 し て、 [Address] ボ ッ ク ス に構成フ ァ イ ルの URL ま たはパ ス を 入力 し ます。 X Internet Explorer for Windows で プ ロキシ サーバー設定を手作業で指定する には 1. [Tools] メ ニ ュ ーか ら [Internet Options] を選択 し ま す。 2. [Connections] タ ブで、 [LAN Settings] を ク リ ッ ク し ます。 3. [Proxy Server] で、 [Use a Proxy Server] チ ェ ッ ク ボ ッ ク ス を選択 し 、 [Address] お よ び [Port] ボ ッ ク ス でプ ロ キ シ サーバーの IP ア ド レ ス と ポー ト を指定 し ます。 ま た、 異な る プ ロ ト コ ルで異な る プ ロ キ シ サーバーを使用 し てい る 場合、 [Advanced] を ク リ ッ ク し て、 必要な情報を指定 し ます。 [HTTP] と [Secure] の両方についてプ ロ キ シ サーバーを指定 し ま す。 ! 注意 [LAN Settings] ダ イ ア ロ グ ボ ッ ク スのいずれかの自動設定 ([Automatically detect settings] チ ェ ッ ク ボ ッ ク ス ま たは [Use automatic configuration script] チ ェ ッ ク ボ ッ ク ス ) を有効にする と 、 プ ロ キシ サーバー設定が上書き さ れます。 プ ロキシ検出が正常に動作する には、 この 2 つのチ ェ ッ ク ボ ッ ク ス を オ フ に し ておかなければな り ません。 246 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス Aventail Connect プロキシ ク ラ イアン ト Aventail Connect ク ラ イ ア ン ト は、 Aventail ネ ッ ト ワ ー ク プ ロ キ シ サービ ス で保護 さ れた TCP リ ソ ース へ のア ク セ ス を可能にす る Windows アプ リ ケーシ ョ ン です。 ほ と ん ど の場合ユーザーは、 ク レデン シ ャ ルを入 力す る よ う 求め ら れた場合か リ モー ト ネ ッ ト ワ ー ク ア ク セ ス を有効にす る よ う 求め ら れた場合に限 り 、 Aventail Connect ク ラ イ ア ン ト と 通信 し ま す。 Aventail Connect は、 構成フ ァ イ ルで割 り 当て ら れてい る ルーテ ィ ン グ指示文に従っ て、 ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を リ ダ イ レ ク ト し リ ルー ト し ま す。 構成フ ァ イ ルは、 Aventail Connect Configuration Tool を使用 し て作成 し ま す。 Aventail Connect ク ラ イ ア ン ト が接続要求を受け取 る と 、 その接続を Aventail ネ ッ ト ワ ー ク プ ロ キ シ サー ビ ス に リ ダ イ レ ク ト す る 必要があ る か ど う か判断 し ま す。 リ ダ イ レ ク ト す る 必要がない場合、 Aventail Connect は、 接続要求 ( お よ びそれ以降のデー タ 転送 ) を TCP/IP ス タ ッ ク に直接渡 し ま す。 次に、 Aventail Connect ク ラ イ ア ン ト の イ ン ス ト ール、 構成、 デプ ロ イ の基本手順について説明 し ま す。 Aventail Connect ク ラ イ ア ン ト の詳細については、 『Aventail Connect Administrator’s Guide』 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 247 X Aventail Connect ク ラ イ ア ン ト を イ ン ス ト ール、 構成、 デプ ロ イ する には 1. コ ン ピ ュ ー タ に Aventail Connect 管理者ツールを イ ン ス ト ール し ます。 Aventail Connect 管理者ツー ルには、 Configuration Tool と Customizer が含 ま れ ま す。 2. Aventail Connect Configuration Tool を開いて、 構成 (.cfg) フ ァ イ ルを作成 し ま す。 構成フ ァ イ ルを 作成す る ための基本手順は、 次の よ う にな り ます。 • リ モー ト ネ ッ ト ワ ー ク と 、 リ モー ト ネ ッ ト ワ ー ク ア ク セ ス モー ド を構成 し ます。 • Aventail Connect が ト ラ フ ィ ッ ク を リ ダ イ レ ク ト す る リ モー ト ネ ッ ト ワ ー ク の接続先を指定 し ま す。 • 必要なプ ロ キ シ サーバー設定を定義 し ます。 • 適切な Aventail ネ ッ ト ワ ー ク プ ロ キ シ サービ ス の信頼で き る ルー ト フ ァ イ ルを参照 し ま す。 3. Aventail Connect Customizer ツールを使用 し て、 Aventail Connect セ ッ ト ア ッ プ パ ッ ケージ を作成 し ま す。 手順 2 で作成 し た構成フ ァ イ ル と あわせて、 手順 2 で参照 し た信頼で き る ルー ト フ ァ イ ル も 入 れ ま す。 4. Aventail Connect セ ッ ト ア ッ プ パ ッ ケージ を ユーザーに配布 し ま す。 セ ッ ト ア ッ プ パ ッ ケージ を配布 す る 場合の最 も 一般的な方法には次の よ う な も のがあ り ます。 5. • セ ッ ト ア ッ プ パ ッ ケージ を HTTP ま たは HTTPS サーバーに置 き ま す。 • セ ッ ト ア ッ プ パ ッ ケージ を FTP サ イ ト に置 き ます。 • セ ッ ト ア ッ プ パ ッ ケージ を、 マ ッ プ ド ド ラ イ ブ と し て ア ク セ ス で き る ネ ッ ト ワ ー ク ド ラ イ ブに置 き ます。 Microsoft ネ ッ ト ワ ー ク の場合は、 UNC パ ス名 ( た と えば 「\\computer_name\share_name\Connect」 ) を使用 し ます。 • パ ッ ケージ を電子 メ ールの添付フ ァ イ ル と し てユーザーに送信 し ます。 ユーザーに、 こ のセ ッ ト ア ッ プ パ ッ ケージ を取得 し て開 く よ う 通知 し ます。 実行可能フ ァ イ ルが動作す る と 、 Aventail Connect イ ン ス ト ール パ ッ ケージが自動的に解凍 さ れ、 ユーザーの コ ン ピ ュ ー タ 上で セ ッ ト ア ッ プが始 ま り ま す。 メモ • Aventail Connect を介 し た ネ ッ ト ワ ー ク リ ソ ース へのア ク セ ス を許可す る には、 Aventail Connect ア ク セ ス を明確に許可す る ゾーン にユーザーを割 り 当て なければな り ま せん。 詳細については、 190 ページ の 「ゾーンへの Aventail Connect Proxy ク ラ イ ア ン ト ユーザーの割 り 当て」 を参照 し て く だ さ い。 グラ フ ィ カル タ ー ミ ナル エージ ェ ン ト Aventail アプ ラ イ ア ン ス は、Windows Terminal Services (WTS) ホ ス ト お よ び Citrix ホ ス ト に対す る Web ベー ス のア ク セ ス をサポー ト し てい ます。 こ のホ ス ト には、 ASAP WorkPlace でデプ ロ イ さ れ る Web ベー ス のエージ ェ ン ト か ら ア ク セ ス し ま す。 こ の Web ベース の タ ー ミ ナル エージ ェ ン ト を使用す る と 、ネ イ テ ィ ブ アプ リ ケーシ ョ ン プ ロ ト コ ルを使用 し て タ ー ミ ナル サーバーにア ク セ ス で き る よ う にな り ます。 た と えば、 Citrix サーバーにア ク セ ス す る と き 、 ク ラ イ ア ン ト は、 Citrix のプ ロ プ ラ イ エ タ リ な (HTTP でない ) プ ロ ト コ ルを使用 し て、 ク ラ イ ア ン ト か ら サー バーに ト ラ フ ィ ッ ク を送 り ま す。 し たが っ て、 タ ー ミ ナル サーバー リ ソ ー ス に対す る ア ク セ ス を提供す る と き 、 Aventail のいずれかのア ク セ ス 方式 (Web プ ロ キ シ エージ ェ ン ト 、 OnDemand、 いずれかの ト ン ネル ク ラ イ ア ン ト ) を プ ロ ビ ジ ョ ニ ン グす る よ う 、 WorkPlace を構成 し なければな り ません。 ト ラ ン ス レーテ ッ ド Web ア ク セ ス のみを提供す る よ う WorkPlace を構成 し てい る 場合、 プ ロ プ ラ イ エ タ リ な アプ リ ケーシ ョ ン プ ロ ト コ ルにア ク セ ス す る 上で必要なネ ッ ト ワ ー ク ト ラ ン ス ポー ト が ク ラ イ ア ン ト PC にないため、 端末 リ ソ ー ス が使用で き な く な り ます。 ア ク セ ス方式の構成の詳細については、 124 ページの 「 コ ミ ュ ニ テ ィ に対す る ア ク セ ス 方式の選択」 を参照 し て く だ さ い。 ユーザーが、 ASAP WorkPlace か ら Citrix ま たは Windows Terminal Services リ ソ ー スへの接続を開始す る と き 、 アプ ラ イ ア ン ス は、 アプ ラ イ ア ン ス上の適切なバージ ョ ン のエージ ェ ン ト がユーザーの コ ン ピ ュ ー タ 上に イ ン ス ト ール さ れてい る か ど う か判定 し 、 必要に応 じ て、 エージ ェ ン ト を自動的に イ ン ス ト ール ま たは更 新 し ま す。 こ の節では、 サポー ト さ れてい る グ ラ フ ィ カル タ ー ミ ナル エージ ェ ン ト について概説 し 、 その構成方法につ いて説明 し ます。 ASAP WorkPlace か ら タ ー ミ ナル サーバーにア ク セ ス を提供す る 方法については、 210 ページの 「グ ラ フ ィ カル タ ー ミ ナル シ ョ ー ト カ ッ ト の追加」 を参照 し て く だ さ い。 248 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス Windows Terminal Services エージ ェ ン ト の管理 こ のアプ ラ イ ア ン ス には、 2 つのバージ ョ ン の Windows Terminal Services エージ ェ ン ト が イ ン ス ト ール さ れてい ます。 1 つは、 Windows で動作す る ActiveX バージ ョ ン で、 も う 1 つは ク ロ ス プ ラ ッ ト フ ォ ーム の Java バージ ョ ン です。 異な る バージ ョ ン ( ア ッ プグ レー ド バージ ョ ン な ど ) の ActiveX エージ ェ ン ト を Windows ユーザーにプ ロ ビ ジ ョ ニ ン グ し たい場合、 アプ ラ イ ア ン ス の構成を更新す る こ と がで き ます。 ユーザーが次に ASAP WorkPlace か ら Windows Terminal Services リ ソ ー ス にア ク セ ス す る と き 、 アプ ラ イ ア ン ス はそれを ユー ザーにプ ロ ビ ジ ョ ニ ン グす る よ う にな り ま す ( ただ し Java バージ ョ ン の Windows Terminal Services エー ジ ェ ン ト は更新で き ない )。 X ActiveX Windows Terminal Services エージ ェ ン ト を更新する には 1. WTS エージ ェ ン ト を ロ ーカル PC にダ ウ ン ロ ー ド し ま す。 MSDN か ら コ ピーを入手で き る 他、 http://download.microsoft.com/download/d/c/8/dc88fe77-4316-45f5-816b0f06f1cbffe3/tswebsetup.exe か ら ダ ウ ン ロ ー ド す る こ と も で き ま す。 2. エージ ェ ン ト のバージ ョ ン番号を調べます。 a. WinZip な ど の zip フ ァ イ ル解凍プ ロ グ ラ ム で、 tswebsetup.exe を開 き 、 msrdp.cab. と い う 名前 の フ ァ イ ルを抽出 し ま す。 b. zip フ ァ イ ル解凍プ ロ グ ラ ム で msrdp.cab を開 き 、 msrdp.inf と い う 名前の フ ァ イ ルを抽出 し ま す。 c. 「FileVersion」 の行が 「FileVersion=5,1,2600,2180」 の よ う にな っ てい ます。 こ のバー ジ ョ ン番号を AMC に入力 し ます。 3. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Agent Configuration] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページが表示 さ れ ます。 4. [Other agents] エ リ アの [Graphical terminal agents] で [Configure] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Graphical Terminal Agents] ページが表示 さ れ ます。 5. [Windows Terminal Services agent] の [Agent file] ボ ッ ク ス に、 エージ ェ ン ト フ ァ イ ルへの パス を入力す る か、 [Browse] を ク リ ッ ク し て、 適切な フ ァ イ ルを ブ ラ ウ ズ し ます。 6. [Version] ボ ッ ク ス に、 ( ス テ ッ プ 2 の方法で ) エージ ェ ン ト のバージ ョ ン番号を入力 し ます。 バー ジ ョ ン番号を入力す る と き 、 バージ ョ ン番号の数値間の区切 り 文字にはピ リ オ ド ではな く 必ず コ ン マ を使 用す る よ う に し ま す。 た と えば 「9,00,32649,0」 の よ う に入力 し ま す。 7. [Update] を ク リ ッ ク し ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 249 Citrix エージ ェ ン ト の管理 ユーザーが Citrix リ ソ ース にア ク セ ス で き る よ う にす る には、 アプ ラ イ ア ン ス でエージ ェ ン ト を構成 し なけれ ばな り ません ( デフ ォ ル ト ではエージ ェ ン ト が構成 さ れていない )。 Citrix エージ ェ ン ト には、 2 つのバージ ョ ン があ り ます。 1 つは、 Windows で動作す る ActiveX コ ン ト ロ ールで、 も う 1 つは ク ロ ス プ ラ ッ ト フ ォ ーム の Java アプ レ ッ ト です。 アプ ラ イ ア ン ス で Citrix エージ ェ ン ト を構成す る 場合、 こ のエージ ェ ン ト がホ ス ト さ れ る Citrix サーバーの URL を指定 し ま す。 通常 こ のエージ ェ ン ト は、 企業のプ ラ イ ベー ト ネ ッ ト ワ ー ク 上のサーバー ま たはベン ダーの Web サ イ ト のいずれかで ホ ス ト さ れ ま す。 ユーザーが ASAP WorkPlace か ら Citrix リ ソ ー ス に初め て ア ク セ ス す る と き 、 Aventail アプ ラ イ ア ン ス は、 指定 さ れた ロ ケーシ ョ ン か ら Citrix エージ ェ ン ト を取得 し 、 ユーザーに こ れをプ ロ ビ ジ ョ ニ ン グ し ま す。 X Citrix エージ ェ ン ト を イ ン ス ト ールする には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [Agent Configuration] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Agent Configuration] ページが表示 さ れ ます。 2. [Other agents] エ リ アの [Graphical terminal agents] で [Configure] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Graphical Terminal Agents] ページが表示 さ れ ます。 3. ActiveX エージ ェ ン ト を指定す る と き は、 [Citrix agents] の下にあ る [Windows (ActiveX control)] エ リ ア を構成 し ま す。 a. こ のエージ ェ ン ト がホ ス ト さ れ る Citrix サーバーの URL を [URL for agent file] ボ ッ ク ス に入 力 し ま す。 こ の URL には、 プ ラ イ ベー ト URL、 ま たは 「http://download2.citrix.com/files/en/products/client/ica/current/wficat.cab」 な ど のパブ リ ッ ク URL を指定 し ま す。 b. [Version] ボ ッ ク ス に、 エージ ェ ン ト のバージ ョ ン番号を入力 し ます。 バージ ョ ン番号を調べ る と き は、 .cab フ ァ イ ルの コ ピーを ロ ーカル デ ス ク ト ッ プにダ ウ ン ロ ー ド し た後、 WinZip な ど の zip フ ァ イ ル解凍プ ロ グ ラ ム を使用 し て フ ァ イ ルを解凍 し 、 wficat.inf と い う 名前の フ ァ イ ルを開 き ます。 「FileVersion=9,00,32649,0」 の よ う にな っ てい る 「FileVersion」 の行を調べ ます。 こ のバージ ョ ン番号を AMC に コ ピー ア ン ド ペー ス ト す る か、 入力 し ます ( バージ ョ ン番号の数値間の区切 り 文字にはピ リ オ ド ではな く 必ず コ ン マ を使用す る )。 c. 4. [Update] を ク リ ッ ク し ます。 Java エージ ェ ン ト を指定す る と き は、 [Citrix agents] の下にあ る [Cross-platform (Java applet)] エ リ ア を構成 し ま す。 a. こ のエージ ェ ン ト がホ ス ト さ れ る Citrix サーバーの URL を [URL for agent file] ボ ッ ク ス に入 力 し ま す。 こ の URL では、 zip さ れてい る Java アーカ イ ブ フ ァ イ ル (.gz フ ァ イ ル拡張子を持つ も の ) を参照 し な ければな り ま せん。 こ の URL は、 プ ラ イ ベー ト URL、 ま たは 「http://download2.citrix.com/FILES/Java_v90/JICAComponents.tar.gz」 な ど のパブ リ ッ ク URL を指定 し ま す。 b. [Update] を ク リ ッ ク し ます。 250 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス Aventail ア ク セス サービスの管理 こ の節では、 Aventail ア ク セ ス サービ ス の概要を紹介 し 、 こ のサービ ス の起動、 停止、 構成の方法について 説明 し ます。 概要 : アクセス サービス ユーザーは、 4 つの基本方式、 ま たはア ク セ ス サービ ス を使用 し て、 Aventail アプ ラ イ ア ン ス で保護 さ れた VPN リ ソ ー ス にア ク セ ス す る こ と がで き ま す。 こ の節では、 それぞれのア ク セ ス サービ ス と 、 それぞれの サービ ス で ア ク セ ス で き る リ ソ ー ス の タ イ プについて説明 し ま す。 • Aventail ネ ッ ト ワー ク ト ン ネル サービ ス。 こ の コ ン ポーネ ン ト は、 広範囲の ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン にセ キ ュ ア なネ ッ ト ワ ー ク ト ン ネル ア ク セ ス を提供す る ネ ッ ト ワ ー ク ルーテ ィ ン グ テ ク ノ ロ ジーです。 対象 と な る アプ リ ケーシ ョ ン には、 Voice Over IP (VoIP) や ICMP な ど の非 TCP/IP プ ロ ト コ ル、 逆方向接続プ ロ ト コ ル、 リ モー ト ヘルプ デス ク アプ リ ケーシ ョ ン な ど の双方向プ ロ ト コ ル を使用す る も の も 含 まれ ます。 こ のサービ ス は、 Aventail Connect ト ン ネル ク ラ イ ア ン ト や Aventail OnDemand ト ン ネル エージ ェ ン ト と 共同で動作 し て、 認証 さ れ暗号化 さ れた ア ク セ ス を可能に し ま す。 ネ ッ ト ワ ー ク ト ン ネル サービ ス では、 フ ァ イ ア ウ ォ ールや NAT デバ イ ス の他、 従来型の VPN デバ イ ス と 干渉す る 可能性があ る プ ロ キ シ サーバー も ト ラ バース す る こ と がで き ます。 • Aventail Web プ ロキシ サービ ス。 こ のサービ ス は、 ユーザーが、 Web ベース のアプ リ ケーシ ョ ン、 Web サーバー、 ネ ッ ト ワ ー ク フ ァ イ ル サーバーな ど に、 Web ブ ラ ウ ザか ら 安全にア ク セ スす る ために 利用 さ れ ま す。 ま た Aventail Connect Mobile ク ラ イ ア ン ト を使用 し た Pocket PC デバ イ ス か ら Web ベー ス のアプ リ ケーシ ョ ンや Web サーバーににア ク セ ス す る 際に も 使われ ま す。 Web プ ロ キ シ サービ ス は、 Web ベース の リ ソ ー ス に対す る ア ク セ ス を中継 し 暗号化す る セ キ ュ ア な HTTP リ バース プ ロ キ シ です。 こ のサービ ス は、 OnDemand プ ロ キ シ エージ ェ ン ト か ら の TCP/IP 接続の管理 も 行い ま す。 • Aventail ネ ッ ト ワー ク プ ロキシ サービ ス。 こ のサービ ス は、 標準 ク ラ イ ア ン ト / サーバー アプ リ ケー シ ョ ン にア ク セ スす る ためのセ キ ュ ア なプ ロ キ シ を提供 し ます。 Aventail Connect プ ロ キ シ ク ラ イ ア ン ト と 共同で動作 し て、 イ ン タ ーネ ッ ト 経由で、 認証 さ れ暗号化 さ れた ア ク セ ス を可能に し ま す。 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス は、 SOCKS v5 プ ロ ト コ ルをベー ス に し てい ま す。 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス は、 内部のアプ リ ケーシ ョ ン と ネ ッ ト ワ ー ク に対す る ア ク セ ス を中継 し 暗号化 し ま す。 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス は、 こ のプ ロ キ シベース のアーキ テ ク チ ャ と SSL を使用す る こ と に よ り 、 フ ァ イ ア ウ ォ ールや NAT デバ イ ス の他、 従来型の VPN デバ イ ス と 干渉す る 可能性があ る プ ロ キ シ サーバー も ト ラ バー ス す る こ と がで き ま す。 • ASAP WorkPlace サービ ス。 こ のサービ ス は、 Web ブ ラ ウ ザか ら ア ク セ スす る ネ ッ ト ワ ー ク フ ァ イ ル 共有に対す る ア ク セ ス を制御 し ます。 ASAP WorkPlace サービ ス は、 Server Message Block (SMB) フ ァ イ ル共有プ ロ ト コ ルを使用 し て、 Windows フ ァ イ ル サーバーお よ びネ ッ ト ワ ー ク 共有 (Microsoft Distributed file system (DFS) リ ソ ース ) と 通信 し ま す。 ASAP WorkPlace サービ ス の構成について は、 205 ページの 「ASAP WorkPlace の一般設定の構成」 を参照 し て く だ さ い。 䭩䭶䮂䮀䎃䭼䯃䮚䮀 Web 䮝䮰䭭䭽 OnDemand 䮞䮴䭴䭾 䭯䯃䭿䭮䮺䮏 (HTTP 䮞䮴䮏䭺䮲) Web 䮞 䮴 䭴 䭾 OnDemand 䮏䮺䮔䮲 䭯䯃䭿䭮䮺䮏 Connect 䮏䮺䮔䮲 䭶䮰䭫䭩䮺䮏 (IP 䮞䮴䮏䭺䮲) 䮔䮊䮏䮶䯃䭶 䮏䮺䮔䮲 Aventail Connect 䮞䮴䭴䭾 䭶䮰䭫䭩䮺䮏 (TCP 䮞䮴䮏䭺䮲) 䮔䮊䮏䮶䯃䭶 䮞䮴䭴䭾 䮗䮊䭶䭯䮺䮐 䮱䮄䯃䮀 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 251 次の表は、 Aventail ア ク セ ス サービ ス と 、 そのサービ ス が制御す る ユーザー ア ク セ ス コ ン ポーネ ン ト と の関 係を示 し てい ます。 サービ ス ユーザー ア ク セ ス コ ン ポーネ ン ト 説明 Aventail ネ ッ ト ワー ク ト ン ネル サービ ス • Aventail OnDemand • ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト か ら の ト ン ネル エージ ェ ン ト • Aventail Connect ト ン ネル ク ラ イ ア ン ト TCP 接続お よび非 TCP (VoIP や ICMP な どの ) 接続を管理 し ます。 • すべての リ ソ ースに対 し てネ ッ ト ワー ク レ ベル のア ク セス を提供する こ と で、 ユーザーの コ ン ピ ュ ー タ を効率的にネ ッ ト ワー ク 上の ノ ー ド に し ます。 • マ ッ プ ド ネ ッ ト ワー ク ド ラ イ ブ、 ネ イ テ ィ ブ 電子 メ ール ク ラ イ ア ン ト 、 Voice over IP (VoIP) な どの逆方向接続を行 う ア プ リ ケー シ ョ ン をサポー ト し ます。 Aventail ネ ッ ト ワー ク プ ロ キシ サービ ス • Aventail Connect Aventail Web プ ロ キシ サービ ス • Aventail OnDemand プ ロ キシ ク ラ イ ア ン ト プ ロ キシ エージ ェ ン ト • Aventail ConnectMobile ク ラ イアン ト • Aventail Connect プ ロキシ ク ラ イ ア ン ト か ら の TCP/IP 接続を管理 し ます。 • Web ブ ラ ウザ、 Aventail Connect Mobile ク ラ イ ア ン ト 、 Aventail OnDemand プ ロ キシ エージ ェ ン ト か ら の HTTP 接続お よ び TCP/IP 接続を管理 し ます。 • Web プ ロ キシ エージ ェ ン ト • ト ラ ン ス レ ーテ ッ ド Web エージ ェ ン ト Aventail ASAP WorkPlace サービ ス • ASAP WorkPlace ポー タ ル • Web ブ ラ ウザか ら使用で き る Web ベースの ポー タ ルです。 • フ ァ イル シ ス テム リ ソ ースへのア ク セ ス を提 供 し ます。 • Aventail Connect プ ロキシ ク ラ イ ア ン ト 以外 のすべてのユーザー ア ク セス コ ンポーネ ン ト の設定 と イ ン ス ト ールを行います。 Aventail アクセス サービスの停止と開始 状況に応 じ て、 Aventail サービ ス を一時的に停止す る こ と も で き ます。 ! 注意 サービ スは、 予定 さ れてい る保守期間やオ フ ピー ク の と き に限 っ て停止する よ う に し ます。 また、 サービ スが停止する際は、 あ ら か じ めユーザーに通知 し てお く 必要があ り ます。 X サービ ス を開始ま たは停止する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Services] ページが表示 さ れ ま す。 252 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス 2. [Access Services] エ リ アで、 適切な リ ン ク を ク リ ッ ク し ま す。 • サービ ス を停止す る と き は、 [Stop] を ク リ ッ ク し ま す。 こ の操作に よ り 、 現在のすべての接続が停 止 し ま す。 • サービ ス を開始す る と き は、 [Start] を ク リ ッ ク し ます。 ネッ ト ワーク ト ンネル サービスの構成 Aventail ネ ッ ト ワ ー ク ト ン ネル サービ ス は、Connect ト ン ネル ク ラ イ ア ン ト お よ び OnDemand ト ン ネル エージ ェ ン ト か ら のア ク セ ス を制御 し ます。 ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト をユーザーに イ ン ス ト ール す る には、 最初に、 コ ミ ュ ニ テ ィ で使用す る ための IP ア ド レ ス プールを 1 つ ま たは複数作成 し なければな り ません。 ネ ッ ト ワ ー ク ト ン ネル サービ ス を構成す る 場合、 IP ア ド レ ス を ク ラ イ ア ン ト に割 り 当て る ための IP ア ド レ ス プールを セ ッ ト ア ッ プ し なければな り ません。 こ れ ら の IP ア ド レ ス は、 VPN 接続におけ る ク ラ イ ア ン ト のエ ン ド ポ イ ン ト と な り ま す。 X ネ ッ ト ワー ク ト ン ネル サービ ス を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Services] ページが表示 さ れ ま す。 2. [Access services] の [Network tunnel service] エ リ ア で [Configure] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Network Tunnel Service] ページが表示 さ れ ます。 3. [IP address pools] エ リ アで、 IP ア ド レ ス プールを 1 つ ま たは複数作成 し ます。 詳細については、 253 ページの 「IP ア ド レ ス プールの構成」 を参照 し て く だ さ い。 4. [Advanced] エ リ ア を ク リ ッ ク し て拡張 し ます。 イ ン タ ーネ ッ ト への ト ン ネル ト ラ フ ィ ッ ク を異な る ゲー ト ウ ェ イ でルーテ ィ ン グ し たい場合、 [Enable route to Internet] チ ェ ッ ク ボ ッ ク ス を選択 し て、 ゲー ト ウ ェ イ の IP ア ド レ ス を入力 し ま す。 こ のオプシ ョ ン を有効にす る と 、 ク ラ イ ア ン ト か ら イ ン タ ーネ ッ ト へのすべての ト ン ネル ト ラ フ ィ ッ ク が、 アプ ラ イ ア ン ス のデフ ォ ル ト ゲー ト ウ ェ イ ではな く 、 指定 し た IP ア ド レ ス を介 し てルーテ ィ ン グ さ れ る よ う にな り ま す。 5. [Save] を ク リ ッ ク し ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 253 IP ア ド レス プールの構成 IP ア ド レ ス プールは、 IP ア ド レ ス を ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト に割 り 当て る ために使用 さ れ ま す。 ユーザーが Connect ト ン ネル ク ラ イ ア ン ト ま たは OnDemand ト ン ネル エージ ェ ン ト を使用 し て接続す る 場 合、 Aventail アプ ラ イ ア ン ス は、 ク ラ イ ア ン ト に対 し て、 構成可能な ア ド レ ス のプールか ら IP ア ド レ ス を割 り 当て ます。 こ れに よ り 、 ク ラ イ ア ン ト の コ ミ ュ ニテ ィ で使用で き る プールのみが対象にな り ます。 IP ア ド レ ス は、 DHCP サーバーか ら 動的に割 り 当て ら れ る よ う 構成す る こ と がで き ます。 ま た、 1 つま たは複 数の静的 IP ア ド レ ス プールを指定 し 、 そ こ か ら IP ア ド レ ス が ト ン ネル ク ラ イ ア ン ト に割 り 当て ら れ る よ う にす る こ と も で き ます。 動的なダ イ ナ ミ ッ ク ア ド レ ス プールを構成 し た場合、 DHCP サーバーが、 プールの IP ア ド レ ス を ト ン ネル ク ラ イ ア ン ト に割 り 当て る よ う にな り ま す。静的な ス タ テ ィ ッ ク IP ア ド レ ス プールを サブネ ッ ト ま たはア ド レ ス 範囲 と し て構成す る こ と も で き ます。 IP ア ド レ ス プールの編集お よ び削除の詳細については、 35 ページの 「AMC でのオブジ ェ ク ト の追加、 編集、 コ ピー、 削除」 を参照 し て く だ さ い。 IP ア ド レス プールの構成のためのベス ト プラ ク テ ィ ス IP ア ド レ ス プールを構成す る と き 、 次の点に留意す る 必要があ り ます。 • ス タ テ ィ ッ ク IP ア ド レ ス プールを構成す る と き は、 他のネ ッ ト ワ ー ク リ ソ ー ス にすでに割 り 当て ら れて い る IP ア ド レ ス は指定 し ないで く だ さ い。 • ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト が使用す る よ う 構成 し てい る IP ア ド レ ス は、 ク ラ イ ア ン ト ネ ッ ト ワ ー ク ですでに使用 さ れてい る IP ア ド レ ス と 衝突す る 可能性があ り ます。 可能な限 り 、 ユーザーのネ ッ ト ワ ー ク で使用 さ れてい る こ と がわか っ てい る IP ア ド レ ス は構成 し ないで く だ さ い。 • 最大数の同時ユーザーに対応で き る だけの、 十分な IP ア ド レ ス があ る こ と を確認 し ま す。 た と えば、 同 時ユーザーの最大数が 100 の場合、 100 以上の IP ア ド レ ス が使用可能でなければな り ません。 ダイナ ミ ッ ク IP ア ド レス プールの追加 こ の節では、 ダ イ ナ ミ ッ ク IP ア ド レ ス プールを作成す る 方法について説明 し ま す。 X ダ イ ナ ミ ッ ク IP ア ド レ ス プールを追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Services] ページが表示 さ れ ま す。 2. [Access services] の [Network tunnel service] エ リ ア で [Configure] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Network Tunnel Service] ページが表示 さ れ ます。 254 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス 3. [IP address pools] で [New] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Configure IP Address Pool] ページが表示 さ れ ます。 4. [Name] ボ ッ ク ス に、 ア ド レ ス プールの名前を入力 し ま す。 5. [Description] ボ ッ ク ス に、 ア ド レ ス プールについての コ メ ン ト をわか り やす く 入力 し ます。 6. [IP addresses] で [Dynamic address pools] を ク リ ッ ク し ます。 7. オプシ ョ ン と し て、 [DHCP server] ボ ッ ク ス に DHCP サーバーの IP ア ド レ ス を入力 し ま す。 [DHCP server] ボ ッ ク ス をブ ラ ン ク にす る と 、 アプ ラ イ ア ン ス が、 DHCP サーバーを探すためのブ ロ ー ド キ ャ ス ト 要求を送信 し 、 見つか っ たサーバーを使用 し て ア ド レ ス を割 り 当て る よ う にな り ま す。 通常 こ のボ ッ ク ス は、 特定の DHCP サーバーを構成す る 必要があ る 場合を除 き 、 ブ ラ ン ク に し てお き ま す。 8. [Add] を ク リ ッ ク し ます。 こ のプールが、 使用可能な IP ア ド レ ス プールの リ ス ト の追加 さ れ ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 255 9. ( オプシ ョ ン ) ク ラ イ ア ン ト イ ン タ フ ェ ー ス を構成す る ための仮想 イ ン タ フ ェ ース 設定を変更す る には、 [Advanced] エ リ ア を ク リ ッ ク し て拡張 し 、 [Customize default settings] チ ェ ッ ク ボ ッ ク ス を選 択 し ま す。 [DNS server]、 [WINS server]、 [Domain name] の値には 「Virtual interface settings」 があ ら か じ め構成 さ れてお り 、 それぞれの値がネ ッ ト ワ ー ク 構成か ら 取 り 込 まれ ま す。 ただ し 、 必要で あれば設定を編集す る こ と も で き ます。 10. [Save] を ク リ ッ ク し ます。 ス タ テ ィ ッ ク IP ア ド レス プールの追加 こ の節では、 ス タ テ ィ ッ ク IP ア ド レ ス プールの作成す る 方法について説明 し ま す。 X ス タ テ ィ ッ ク IP ア ド レ ス プールを追加する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Services] ページが表示 さ れ ま す。 2. [Access services] の [Network tunnel service] エ リ ア で [Configure] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Network Tunnel Service] ページが表示 さ れ ます。 3. [IP address pools] で [New] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Configure IP Address Pool] ページが表示 さ れ ます。 4. [Name] ボ ッ ク ス に、 ア ド レ ス プールの名前を入力 し ま す。 5. [Description] ボ ッ ク ス に、 ア ド レ ス プールについての コ メ ン ト をわか り やす く 入力 し ます。 6. [IP addresses] で [Static IP address pools] を ク リ ッ ク し て、 IP ア ド レ ス あ る いは ト ン ネル ク ラ イ ア ン ト が使用で き る よ う にす る ア ド レ ス を指定 し ます。 IP ア ド レ ス と サブネ ッ ト マ ス ク を、 カ ン マ 区切 り の十進数形式 (w.x.y.z) で入力 し ます。 • 単一のホ ス ト を定義す る と き は、 [IP address] にその IP ア ド レ ス を入力 し 、 [Subnet mask] に 「255.255.255.255」 を指定 し ます。 • IP ア ド レ ス を範囲で指定す る と き は、 [IP address] ボ ッ ク ス に開始ア ド レ ス を入力 し て、 [IP range end] ボ ッ ク ス に終了ア ド レ ス を入力 し 、 [Subnet mask] を指定 し ま す。 • 完全なサブネ ッ ト を定義す る には、 [IP address] ボ ッ ク ス にネ ッ ト ワ ー ク ア ド レ ス を、 [Subnet mask] ボ ッ ク ス にサブネ ッ ト マ ス ク のネ ッ ト ワ ー ク ア ド レ ス を入力 し ま す。 サブネ ッ ト マ ス ク は、 あ る 範囲に変換 さ れ、 対応す る 値が入れ ら れ ま す。 サブネ ッ ト の IP ア ド レ ス が入力 さ れてい る 場合、 それがネ ッ ト ワ ー ク 内の最初の使用可能ア ド レ ス に変換 さ れ ますが、 サブネ ッ ト の真ん中のア ド レ ス がその ま ま 使用 さ れ ま す。 終了ア ド レ ス には、 サブネ ッ ト の最大の使用可能ア ド レ ス が入 り ま す。 256 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス 7. [Add] を ク リ ッ ク し ます。 こ のプールが、 使用可能な IP ア ド レ ス プールの リ ス ト の追加 さ れ ま す。 8. ( オプシ ョ ン ) ク ラ イ ア ン ト イ ン タ フ ェ ー ス を構成す る ための仮想 イ ン タ フ ェ ース 設定を変更す る には、 [Advanced] エ リ ア を ク リ ッ ク し て拡張 し 、 [Customize default settings] チ ェ ッ ク ボ ッ ク ス を選 択 し ま す。 「DNS server]、 [WINS server]、 [Domain name] の値には 「Virtual interface settings」 があ ら か じ め構成 さ れてお り 、 それぞれの値がネ ッ ト ワ ー ク 構成か ら 取 り 込 まれ ま す。 ただ し 、 必要で あれば設定を編集す る こ と も で き ます。 9. [Save] を ク リ ッ ク し ます。 ネッ ト ワーク プロキシ サービスの構成 こ の節では、 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス オプシ ョ ン を構成す る 方法について説明 し ます。 X ネ ッ ト ワー ク プ ロキシ サービ ス を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Services] ページが表示 さ れ ま す。 2. [Access services] の [Network tunnel service] エ リ ア で [Configure] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure Network Proxy Service] ページが表示 さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 257 3. 4. [Network proxy options] を ク リ ッ ク し て、 [Timeout values] エ リ アに情報を入力 し ます。 • [SSL timeout] ボ ッ ク ス に、 SSL ハン ド シ ェ ー ク が タ イ ム ア ウ ト す る ま での時間を秒単位で入力 し ます。 デフ ォ ル ト は 「300」 です。 • [SSL cache lifetime] ボ ッ ク ス に、 SSL セ ッ シ ョ ン レ コ ー ド がキ ャ ッ シ ュ 内に残 さ れ る 時間を分 単位で入力 し ま す。 [SSL cache lifetime] が過ぎ る と 、 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス は、 新 し い SSL セ ッ シ ョ ン と ネ ゴ シエー ト す る よ う にな り ます。 ただ し AMC には、 SSL セ ッ シ ョ ン の長 さ に対す る グ ロ ーバル設定があ り ます。 そのため、 こ の設定 と 同 じ 値を使用す る こ と が推奨 さ れ ま す。 値が異な る 場合、 ネ ッ ト ワ ー ク プ ロ キ シ セ ッ シ ョ ン で短い値が優先 さ れ ます。 [SSL cache lifetime] のデフ ォ ル ト 値は 「720」 分 (12 時間 ) です。 • [Default connection timeout] ボ ッ ク ス に、 ユーザー接続が タ イ ム ア ウ ト す る ま での非動作時 間を秒単位で入力 し ます。 こ こ で指定 し た時間内にデー タ が転送 さ れていない場合、 接続が終了 し 、 ユーザーが再認証を受け な ければな ら な く な り ます。 • [Authentica] ボ ッ ク ス に、 認証要求の タ イ ム ア ウ ト 値を秒単位で入力 し ます。 認証フ ェ ーズの際、 こ こ で指定 し た時間内にデー タ が受け取 ら れなか っ た場合、 その要求は タ イ ム ア ウ ト し ます。 一般的 に、 こ の値 と [SOCKS client timeout] を同 じ 値に設定 し ま す。 • [SOCKS client timeout] ボ ッ ク ス に、 SOCKS プ ロ ト コ ル応答の タ イ ム ア ウ ト 値を秒単位で入力 し ま す。 非認証接続の際、 こ こ で指定 し た時間内に ク ラ イ ア ン ト か ら デー タ が受け取 ら れなか っ た場 合、 その要求は タ イ ム ア ウ ト し ます。 一般的に、 こ の値 と [Authentication timeout] を同 じ 値 に設定 し ます。 • [Maximum limbo life] ボ ッ ク ス に、 サーバー構成が修正 さ れた後 も 接続を持続で き る 最大 ラ イ フ タ イ ム を秒単位で入力 し ます。 構成の変更を ネ ッ ト ワ ー ク プ ロ キ シ サービ ス に適用す る 場合、 既 存の接続は、 ユーザーが停止 さ せ る か、 [Maximum limbo life] 秒が経過す る ま でア ク テ ィ ブな状態 にな り ます。 こ の設定を短 く す る ほ ど、 セ キ ュ リ テ ィ は向上 し ますが、 一部のユーザーの接続が突然 停止す る な ど と い う こ と が起 こ り やす く な り ます。 [DNS cache] エ リ アに情報を入力 し ま す。 • [Forward lookup] の [Success] ボ ッ ク ス に、 成功 し た順方向 DNS ル ッ ク ア ッ プがキ ャ ッ シ ュ さ れ る 時間を秒単位で入力 し ます。 [Failure] ボ ッ ク ス には、 失敗 し た順方向 DNS ル ッ ク ア ッ プが キ ャ ッ シ ュ さ れ る 時間を秒単位で入力 し ます。 • [Reverse lookup] の [Success] ボ ッ ク ス に、 成功 し た逆方向 DNS ル ッ ク ア ッ プがキ ャ ッ シ ュ さ れ る 時間を秒単位で入力 し ます。 [Failure] ボ ッ ク ス には、 失敗 し た逆方向 DNS ル ッ ク ア ッ プが キ ャ ッ シ ュ さ れ る 時間を秒単位で入力 し ます。 5. [Miscellaneous] エ リ アの [Save performance metrics every] ボ ッ ク ス に、 何回接続を行っ た と き にパフ ォ ーマ ン ス メ ト リ ッ ク ス が保存 さ れ る か、 その接続回数で指定 し ます。 メ ト リ ッ ク ス は syslog に ロ ギ ン グ さ れ、 他の ロ グ情報 と ロ ーテーシ ョ ン さ れ ま す。 6. [Save] を ク リ ッ ク し ます。 メモ • ネ ッ ト ワ ー ク プ ロ キ シ サービ ス では、 内部 DNS キ ャ ッ シ ュ を使用 し て、 成功お よ び失敗 し た名前ル ッ ク ア ッ プ を保管 し ま す。 順方向お よ び逆方向ル ッ ク ア ッ プは別々にキ ャ ッ シ ュ さ れ ます。 DNS ル ッ ク ア ッ プ を キ ャ ッ シ ュ す る と 、 パフ ォ ーマ ン ス が向上 し ます。 こ れは特に、 失敗 し たル ッ ク ア ッ プの場合に 顕著です。 と い う の も 、 失敗 し た接続要求は、 成功 し た要求 よ り も 処理に時間がかか る ためです。 258 | 第 10 章 - ユーザー ア ク セ ス コ ン ポーネ ン ト お よ びサービ ス Web プロキシ サービスの構成 こ の節では、 Web リ ソ ー ス へのア ク セ ス を管理す る サービ ス の構成方法について説明 し ます。 Web プ ロ キ シ サービ ス では、 Web プ ロ キ シ ア ク セ ス 、 ト ラ ン ス レーテ ッ ド Web ア ク セ ス 、 Aventail OnDemand プ ロ キ シ エージ ェ ン ト の 3 種類のモー ド で Web ベー ス のア ク セ ス を提供 し ま す。 X Web プ ロキシ サービ ス を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Services] ページが表示 さ れ ま す。 2. [Access services] の [Web proxy service] エ リ アで [Configure] を ク リ ッ ク し ます。 こ の操作 に よ り 、 [Configure Web Proxy Service] ページが表示 さ れ ます。 3. HTTP 圧縮を有効に し たい場合、 [Configure Web Proxy Service] ページの [General] セ ク シ ョ ン で [Enable HTTP compression] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 HTTP 圧縮を有効にす る と 、 アプ ラ イ ア ン ス経由で ア ク セ ス さ れ る Web ページのダ ウ ン ロ ー ド サ イ ズは小 さ く な り ま すが、 シ ス テ ムのパ フ ォ ーマ ン ス に影響す る 可能性 も あ り ます。 4. [Downstream Web resources] 設定を構成 し ます。 • Web プ ロ キ シ サービ ス が、 バ ッ ク エ ン ド Web サービ ス に よ っ て提示 さ れ る 証明書の妥当性を チ ェ ッ ク す る よ う に し たい場合、 [Validate SSL server certificates] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 こ の設定を有効にす る と 、 証明書の CN がホ ス ト 名 と 合致 し 証明書が有効で あ る こ と を、 アプ ラ イ ア ン ス が確認す る よ う にな り ます。 ダ ウ ン ス ト リ ーム HTTPS を使用 し てい る 場合は、 こ の 機能を で き る 限 り 有効に し て く だ さ い。 • 証明書をバ ッ ク エ ン ド Web サーバーに発行 し た CA を リ ス ト す る アプ ラ イ ア ン ス のルー ト 証明書の 詳細を表示す る 場合は、 [View CA certificate] リ ン ク を ク リ ッ ク し ます。 CA 証明書の管理につ いては、 61 ページの 「証明書の管理」 を参照 し て く だ さ い。 • 証明書を イ ン ポー ト す る と き は、 [SSL Settings] リ ン ク を ク リ ッ ク し ます。 メモ • Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルの構成法オ フ については、 97 ページの 「Web アプ リ ケーシ ョ ン プ ロ フ ァ イ ルの追加」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 259 第 11 章 2 ノ ー ド ク ラ ス タ のイ ン ス ト ール と 管理 Aventail EX-1500 と EX-2500 アプ ラ イ ア ン ス では、 2 台の同 じ アプ ラ イ ア ン ス を ク ラ ス タ 化 し て 、 1 つの仮 想 IP ア ド レ ス にす る こ と がで き ます。 Aventail ク ラ ス タ では、 統合 さ れた負荷分散、 ス テー ト フル ユーザー 認証フ ェ イ ルオーバー、 集中管理な ど の機能を搭載す る こ と で高可用性を実現 し てい ます。 ま た、 Aventail EX-2500 では、 1 台の外部 ロ ー ド バ ラ ン サを使用す る こ と で最大 8 台のアプ ラ イ ア ン ス に よ る ク ラ ス タ 構成を サポー ト し てい ま す。 1 台の外部 ロ ー ド バ ラ ンサ を使用 し た複数のアプ ラ イ ア ン ス の ク ラ ス タ 化については、 307 ページの 「マルチ ノ ー ド EX-2500 ク ラ ス タ の構成」 を参照 し て く だ さ い。 こ の節では、 Aventail ク ラ ス タ の機能を紹介 し 、 ク ラ ス タ の イ ン ス ト ール、 構成、 保守な ど の手順について説 明 し ま す。 概要 : Aventail ク ラ ス タ ク ラ ス タ は、 シ ン グル ポ イ ン ト 障害を防止す る ための も のです。 ク ラ ス タ を イ ン ス ト ールす る と 、 アプ リ ケー シ ョ ン を複数の コ ン ピ ュ ー タ に分散で き る ため、 応答時間が向上 し 、 障害が発生 し て も 不必要な ダ ウ ン タ イ ム を避け る こ と がで き ます。 ク ラ ス タ は、 ユーザー、 アプ リ ケーシ ョ ン、 ネ ッ ト ワ ー ク には単一のシ ス テ ム と し て提示 さ れ、 管理者に と っ てはシ ン グル ポ イ ン ト 管理が可能にな り ま す。 Aventail EX-1500 アプ ラ イ ア ン ス は、 2 ノ ー ド ク ラ ス タ を サポー ト し てお り 、 最大 1,000 人のユーザーに 対 し て高可用性の構成を サポー ト し てい ます。 Aventail EX-2500 の場合、 内部負荷分散機能に よ る 同様の 2 ノ ー ド 構成では、 最大で 2,000 人のユーザーを サポー ト し てい ます。 こ れ ら の ク ラ ス タ では、 ア ク テ ィ ブ / ア ク テ ィ ブ構成をサポー ト し てい ます。 つ ま り 、 ク ラ ス タ の両方の ノ ー ド が同時にア ク テ ィ ブにな る こ と が可能 で、 ユーザーの負荷を分散で き る よ う にな っ てい ま す。 ク ラス タ アーキテ クチャ Aventail ク ラ ス タ は、 デ ュ アル イ ン タ フ ェ ー ス構成 と シ ン グル イ ン タ フ ェ ー ス 構成の 2 種類の構成で イ ン ス ト ールす る こ と がで き ま す。 こ れ ら の構成の詳細については 13 ページの 「ネ ッ ト ワ ー ク アーキ テ ク チ ャ 」 を 参照 し て く だ さ い。 ク ラ ス タ を ど ち ら の構成で イ ン ス ト ールす る と き も 、 2 台のアプ ラ イ ア ン ス を ク ラ ス タ ネ ッ ト ワ ー ク で互いに接続 し なければな り ま せん。 両方のアプ ラ イ ア ン ス の ク ラ ス タ イ ン タ フ ェ ー ス同士を接 続す る と 、 2 つの ク ラ ス タ ノ ー ド が ( ス テー ト 同期、 ク レ デン シ ャ ル共有、 負荷分散のために ) 互いに通信で き る プ ラ イ ベー ト ネ ッ ト ワ ー ク が構築で き ま す。 イ ン ス ト ールのシナ リ オが ど う い う も のであ っ て も 、 次の接続要件が必要にな り ま す。 • 負荷分散の冗長性を実現す る ため、 ク ラ ス タ の両方の ノ ー ド が負荷分散 ノ ー ド と し て動作 し なければな り ません。 そのため、 両方の ノ ー ド を、 イ ン タ ーネ ッ ト につなが る ネ ッ ト ワ ー ク ス イ ッ チに接続 し な けれ ばな り ません。 • 内部 リ ソ ー ス と 通信す る ため、 ク ラ ス タ の両方の ノ ー ド が、 イ ン ト ラ ネ ッ ト につなが る ネ ッ ト ワ ー ク ス イ ッ チに接続 し なければな り ま せん ( シ ン グル イ ン タ フ ェ ー ス構成の場合は外部 ス イ ッ チ と 同 じ )。 • すでに説明 し た よ う に、 両方の ク ラ ス タ ノ ー ド が、 ク ラ ス タ イ ン タ フ ェ ー ス を介 し て互いに接続 し てい なければな り ません。 260 | 第 11 章 - 2 ノ ー ド ク ラ ス タ のイ ン ス ト ール と 管理 デ ュ アル イ ン タ フ ェ ー ス構成の場合、 ク ラ ス タ アーキ テ ク チ ャ は、 次の図の よ う にな り ま す。 䮕䯃䮐 1 ౝㇱ ᄖㇱ 䭫䮺䮆䯃䮔䮊䮏 ડᬺ 䮔䮊䮏䮶䯃䭶 䭶䮰䮀䮆 ౝㇱ 䮀䭫䮊䮈 䮀䭫䮊䮈 䮜䭨䭫䭩䭭䭰䯃䮲 䮜䭨䭫䭩䭭䭰䯃䮲 ᄖㇱ 䮕䯃䮐 2 シ ン グル イ ン タ フ ェ ー ス構成の場合、 ク ラ ス タ アーキ テ ク チ ャ は、 次の図の よ う にな り ま す。 䮕䯃䮐 1 ౝㇱ 䮀䭫䮊䮈 䭶䮰䮀䮆 ડᬺ 䮔䮊䮏䮶䯃䭶 䭫䮺䮆䯃䮔䮊䮏 ౝㇱ 䮜䭨䭫䭩䭭䭰䯃䮲 䮜䭨䭫䭩䭭䭰䯃䮲 䮕䯃䮐 2 メモ • シ ン グル イ ン タ フ ェ ー ス構成では、 ネ ッ ト ワ ー ク ト ン ネル サービ ス を使用で き ません。 負荷分散サービス ア ク テ ィ ブな ノ ー ド [ あ く て ぃ ぶなのーど ]; 冗長 ノ ー ド [ じ ょ う ち ょ う のーど ]; ノ ー ド : ア ク テ ィ ブ [ のー ど : あ く て ぃ ぶ ]; ノ ー ド : 冗長 [ のーど : じ ょ う ち ょ う ]Aventail ク ラ ス タ には、 負荷分散機能が統合 さ れて い る ため、 外部 ロ ー ド バ ラ ンサ を用意す る 必要があ り ません。 こ の内部負荷分散サービ ス は、 次の 2 つの主要 な役割を果た し ま す。 • 入っ て く る 要求を、 現在接続数が最 も 少ない ノ ー ド に送 る こ と に よ っ て、 2 つの ノ ー ド 間で接続を分配 し ます。 • ノ ー ド 障害を検出す る 内部監視サービ ス を持ち、 その ノ ー ド の リ モー ト 接続を、 ク ラ ス タ 内の も う 一方の ノ ー ド に対 し て フ ェ イ ルオーバー し ます。 ノ ー ド 障害が発生 し た場合、 障害が発生 し た ノ ー ド が復旧す る ま で、 入っ て く る 要求を も う 一方の ノ ー ド に送 り ま す。 復旧 し た ら 、 再び接続を 2 つの ノ ー ド に分配 し ま す。 負荷分散機能は、 一度に 1 つの ノ ー ド ( ア ク テ ィ ブ負荷分散 ノ ー ド ) のみに存在 し ま す。 も う 一方の ノ ー ド は、 冗長な ロ ー ド バ ラ ンサ と し て動作 し 、 ア ク テ ィ ブな ロ ー ド バ ラ ン サがダ ウ ン し た と き に負荷分散の役割 を引 き 継ぎ ま す。 こ の と き 、 こ の冗長 ノ ー ド がア ク テ ィ ブな ロ ー ド バ ラ ン サにな り 、 障害が発生 し た ノ ー ド が 復旧 し て も その状態が続 き ます。 ア ク テ ィ ブ負荷分散 ノ ー ド は、 プ ラ イ ベー ト ク ラ ス タ ネ ッ ト ワ ー ク を介 し て、 ス タ ンバ イ 負荷分散 ノ ー ド と 通信 し ます (259 ページの 「 ク ラ ス タ アーキ テ ク チ ャ 」 を参照 )。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 261 ステー ト フル フ ェ イルオーバー ク ラ ス タ には、 ス テー ト フ ル ユーザー認証フ ェ イ ルオーバー機能があ り ます ( すべての ノ ー ド が共有す る メ モ リ キ ャ ッ シ ュ 内の認証 ク レデン シ ャ ルが リ アル タ イ ム に共有 さ れ る )。 両方の ノ ー ド は同期 さ れ る ため、 ア ク テ ィ ブ負荷分散 ノ ー ド が開始 し た接続について フ ェ イ ルオーバーが処理 さ れ る と き も 、 ユーザーに再認証を求 め る 必要はあ り ま せん。 ク ラ ス タ では、 ス テー ト フ ル アプ リ ケーシ ョ ン セ ッ シ ョ ン フ ェ イ ルオーバーは提供 さ れ ま せん。 ユーザーが ど の程度の混乱を被 る かは、 フ ェ イ ルオーバー発生時に使用 し ていた アプ リ ケーシ ョ ン の TCP/IP 切断許容度 に よ っ て変動 し て き ます。 同期ク ラス タ管理 Aventail ク ラ ス タ の両方の ノ ー ド は、 一方のマ ス タ ー AMC か ら 管理 し ます。 ソ フ ト ウ ェ ア を両方の ノ ー ド に イ ン ス ト ール し た ら 、 一方の ノ ー ド の AMC に ロ グ イ ン し 、 それを マ ス タ ー と し て割 り 当て ます。 それ以降、 こ の ノ ー ド か ら 、 両方の ノ ー ド のポ リ シー と 構成の伝播、 同期を コ ン ト ロ ール し ます。 ス レーブ ノ ー ド の AMC に ロ グ イ ンす る と 、 [Node Administration] ページが表示 さ れ、 マ ス タ ー ノ ー ド でない こ と を知 ら せ る メ ッ セージが表示 さ れ ま す ( ス レーブ ノ ー ド のサービ ス に関す る ス テー タ ス情報 も 表示 さ れ る )。 ク ラ ス タ の各 ノ ー ド には、 ホ ス ト 構成お よ びポ リ シーのデー タ が格納 さ れ ま す。 マ ス タ ー ノ ー ド は、 ク ラ ス タ イ ン タ フ ェ ー ス を介 し て ス レ ーブ ノ ー ド と 通信 し ま すが、 こ のデー タ を次の方法で同期 し ま す。 • 2 番目の ノ ー ド を ク ラ ス タ に追加す る と き 、 マ ス タ ー ノ ー ド は新 し い ノ ー ド に構成デー タ を提供 し 、 その 後、 新 し い ノ ー ド がア ク セ ス サービ ス を始動 し ま す。 • マ ス タ ー ノ ー ド に構成の変更を適用す る と き 、 AMC はその変更を ス レーブ ノ ー ド に伝播 し ま す。 ス レーブ ノ ー ド では冗長 AMC を用意 し ますが、 マ ス タ ー ノ ー ド に障害が発生 し て も 、 こ の ノ ー ド が自動的に マ ス タ ーに割 り 当て ら れ る こ と はあ り ま せん。 こ の場合は、 ス レーブ ノ ー ド の AMC に ロ グ イ ン し て、 手動で マ ス タ ーに割 り 当て なければな り ま せん。 元のマ ス タ ー ノ ー ド が復旧 し てオ ン ラ イ ンにな る と 、 も う 一方の ノ ー ド がマ ス タ ーにな っ てい る こ と を検出 し 、 自身の ノ ー ド を ス レーブ ノ ー ド に降格 さ せ ま す。 ! 注意 マ ス タ ー ノ ー ド の ソ フ ト ウ ェ ア を ア ッ プグ レ ー ド し てい る場合、元のマ ス タ ノ ー ド がダウ ン し てい る間は、 ス レ ーブ ノ ー ド を マス タ ーに割 り 当て ないで く だ さ い。 こ のよ う な こ と を行 う と 、 ア ッ プ グ レ ー ド し た ノ ー ド が も う 一方の ノ ー ド か ら ( バージ ョ ンの不適合に よ っ て ) 拒否 さ れる ため、 動作 し な く な り ます。 ク ラ ス タ 全体を復旧する場合、 2 番目の ノ ー ド を ア ッ プ グ レ ー ド する と き に、 ユーザーに ダウ ン タ イ ムが発生する こ と にな り ます。 272 ページの 「マ ス タ ー (AMC) ノ ー ド の障害」 では、 マ ス タ ー ノ ー ド に障害が発生 し た場合ど う な る か手順 を追っ て解説 し てい ます。 マ ス タ ー AMC を使用 し て ク ラ ス タ を管理す る 方法については、 267 ページの 「 ク ラ ス タ の管理」 を参照 し て く だ さ い。 ク ラ ス タのイ ンス ト ールと構成 Aventail ク ラ ス タ を イ ン ス ト ールす る と き は、 両方のアプ ラ イ ア ン ス を ラ ッ ク マ ウ ン ト し 、 2 台のアプ ラ イ ア ン ス の ク ラ ス タ イ ン タ フ ェ ー ス を接続 し て、 それぞれのアプ ラ イ ア ン ス で Setup Tool を実行 し なければな り ません。 その後、 一方の ノ ー ド を マ ス タ ーに し て、 ク ラ ス タ の仮想 IP ア ド レ ス (VIP) を構成 し ま す。 次の図 は、 その作業の流れを示 し てい ま す。 䮕䯃䮐䭡ធ⛯ n 䭶䮴䮀 䭸䯃䮝䮲䭡 䬄HA-3䬅NIC 䬺ធ⛯ 䬬䭛䬭䭛䬽䮕䯃䮐䬶 Setup Tool 䭡 ታ ⴕ o ห䬧䭶䮰䮀䮆ฬ䭡ᜰቯ 䬨䭚䬛䫺䮕䯃䮐 ID 䬾 䬬䭛䬭䭛䬶࿕ ৻ᣇ䬽䮕䯃䮐䭡 䬄䮥䮀䮆䯃䬅䬺ഀ䭙ᒰ䬵 p 䮥䮀䮆䯃䬺ഀ䭙ᒰ䬵䭚 䮕䯃䮐䬽 AMC 䬺 䮴䭷䭫䮺䬨䭚 䭶䮰䮀䮆⸳ቯ䬽᭴ᚑ VIP 䭡᭴ᚑ䬦ᄖㇱ q 䭫䮺䮆䮜䭮䯃䮀䭡ല䬺䬨䭚 Aventail ク ラ ス タ を イ ン ス ト ール し 構成す る 前に、 次の情報を収集 し てお く と 便利です。 (䭱䮞䭾䮮䮺) 262 | 第 11 章 - 2 ノ ー ド ク ラ ス タ のイ ン ス ト ール と 管理 デ ュ アルホーム ド イ ン ス ト レ ーシ ョ ンの場合の IP ア ド レ ス • 合計 6 つの IP ア ド レ ス で、 それぞれ、 各 ノ ー ド の内部 イ ン タ フ ェ ース 、 外部 イ ン タ フ ェ ース 、 ク ラ ス タ イ ン タ フ ェ ー ス に対応す る も の。 • ク ラ ス タ に対 し て 1 つの仮想 IP ア ド レ ス (VIP)。 VIP は、 ク ラ ス タ 全体に対す る 単一の外部ア ド レ ス と し て機能 し 、 外部 イ ン タ フ ェ ース と 同 じ サブネ ッ ト 上になければな り ま せん。 • ク ラ ス タ 環境でネ ッ ト ワ ー ク ト ン ネル サービ ス を使用す る 場合、 ネ ッ ト ワ ー ク ト ン ネル サービ ス に対す る 内部 IP ア ド レ ス が必要にな り ます。 こ のア ド レ ス は、 ク ラ ス タ 全体のバ ッ ク コ ネ ク ト ア ド レ ス と し て 機能 し 、 内部 イ ン タ フ ェ ー ス と 同 じ サブネ ッ ト 上にな ければな り ません。 シ ン グルホーム ド イ ン ス ト レ ーシ ョ ンの場合の IP ア ド レ ス • 合計 4 つの IP ア ド レ ス で、 それぞれ、 各 ノ ー ド の内部 イ ン タ フ ェ ー ス と ク ラ ス タ イ ン タ フ ェ ース に対応 す る も の。 • ク ラ ス タ に対 し て 1 つの仮想 IP ア ド レ ス (VIP)。 VIP は、 ク ラ ス タ 全体に対す る 単一の外部ア ド レ ス と し て機能 し 、 内部 イ ン タ フ ェ ース と 同 じ サブネ ッ ト 上になければな り ま せん。 ク ラス タ名と ノ ー ド 名 • 英数字に よ る ク ラ ス タ の固有の名前 ( 最初の文字は英字でなければな ら ない )。 • それぞれの ノ ー ド ID に対す る 、 2 つの固有の英数字名 ( 最初の文字は英字でな ければな ら ない )。 ステ ッ プ 1: ク ラス タ ネ ッ ト ワークの接続 Setup Tool を実行す る 前に、 ク ラ ス タ の 2 つの ノ ー ド で ク ラ ス タ ネ ッ ト ワ ー ク を接続 し ま す。 X ク ラ ス タ ネ ッ ト ワー ク を接続する には 1. アプ ラ イ ア ン ス に付属す る ネ ッ ト ワ ー ク ク ロ ス ケーブルを取 り 出 し ます。 2. こ のケーブルを使用 し て、 両方のアプ ラ イ ア ン ス の ク ラ ス タ イ ン タ フ ェ ース 同士を接続 し ま す。 24 ペー ジの 「アプ ラ イ ア ン ス の接続」 を参照 し て く だ さ い。 ! 注意 ク ラ ス タ ネ ッ ト ワー ク の 2 つの ノ ー ド を接続する と きは、 ア プ ラ イ ア ン スに付属する ク ロ ス ケー ブルを使用 し なければな り ません。 他のケーブルで代用 し ないで く だ さ い。 ま た、 2 つの ノ ー ド を接続 する と き に、 他のネ ッ ト ワー ク ハー ド ウ ェ ア デバイ ス ( ルー タ やス イ ッ チ な ど ) を使用する こ と はで き ません。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 263 ステ ッ プ 2: ク ラス タのすべてのノ ー ド で Setup Tool を実行 Setup Tool は、 アプ ラ イ ア ン ス の初期ネ ッ ト ワ ー ク 設定を実行す る ための コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ で す。 単一 ノ ー ド 環境で こ の ツールを実行す る 場合の詳細については、 27 ページの 「初期ネ ッ ト ワ ー ク セ ッ ト ア ッ プの実行」 で説明 し てい ま す。 ク ラ ス タ を イ ン ス ト ールす る と き 、 一方のアプ ラ イ ア ン ス で Setup Tool を実行 し て、 2 番目のアプ ラ イ ア ン ス でそのプ ロ セ ス を繰 り 返 し ます。 作業を始め る 前に、 29 ページの 「Setup Tool の使用についての ヒ ン ト 」 を参照 し て く だ さ い。 X ク ラ ス タ 環境で Setup Tool を実行する には 1. ク ラ ス タ 内の一方のアプ ラ イ ア ン ス にシ リ アル接続 し 、 2 つの ノ ー ド 間で ク ラ ス タ ネ ッ ト ワ ー ク が接続 さ れてい る こ と を確認 し ます。 次に、 フ ロ ン ト パネルの電源ボ タ ン を押 し て アプ ラ イ ア ン ス をオ ンに し ます。 こ の操作に よ り 、 Setup Tool が自動的に動作を始め ます ( 「setup_tool」 と 入力 し て ENTER を押 し て も 実行可能 )。 2. ロ グ イ ンす る よ う 求め ら れた ら 、 ユーザー名に 「root」 と 入力 し ま す。 3. Aventail EULA が表示 さ れ ま す。 画面を ス ク ロ ール し て内容を確認 し 、 ENTER を押 し て次の画面に移 る か、 「q」 と 入力 し て終了 し ます。 Do you accept the terms of the license agreement? [n]: • 4. ラ イ セ ン ス契約を承認す る のであれば、 「y」 と 入力 し て ENTER を押 し ま す。 シ ス テ ム の新 し い root パ ス ワ ー ド を作成す る よ う 求め ら れ ま す ( こ のパ ス ワ ー ド は、 AMC にア ク セ スす る と き も 使用す る )。 Password: • パ ス ワ ー ド は、 8 文字か ら 20 文字で指定 し 、 大文字 と 小文字を区別 し ます。 大文字 と 小文字、 数字 な ど を組み合わせて 「強力な」 パ ス ワ ー ド を作成す る こ と が推奨 さ れ ます。 その際、 辞書に載っ てい る よ う な単語は避け る よ う に し ます。 パ ス ワ ー ド はなん ら かの形で記録 し 、 安全な場所に保管 し てお き ま す。 万一パ ス ワ ー ド を紛失 し た場合、 Aventail のサポー ト で も 復帰 さ せ る こ と がで き ま せん。 ENTER を押 し て次に進み ます。 Confirm password: • 5. 前に入力 し たの と ま っ た く 同 じ ( 大文字小文字を区別 し た ) root パ ス ワ ー ド を再入力 し 、 ENTER を押 し て次に進みます。 次に、 内部 イ ン タ フ ェ ース の IP ア ド レ ス、 サブネ ッ ト マ ス ク 、 ( オプシ ョ ン で ) ゲー ト ウ ェ イ を入力す る よ う 求め ら れ ます。 こ の イ ン タ フ ェ ー ス は、 Web ブ ラ ウ ザか ら アプ ラ イ ア ン ス に接続 し 、 AMC を使用 し てセ ッ ト ア ッ プ を継続す る と き に使用 し ます。 IP address: • 内部 ( プ ラ イ ベー ト ) ネ ッ ト ワ ー ク に接続す る 内部 イ ン タ フ ェ ー ス の IP ア ド レ ス を入力 し て、 ENTER を押 し ます。 Subnet mask: • 内部ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス のネ ッ ト マ ス ク を入力 し て、 ENTER を押 し ま す。 Gateway: • AMC にア ク セ ス す る 際、 ア ク セ ス元の コ ン ピ ュ ー タ がアプ ラ イ ア ン ス と 異な る ネ ッ ト ワ ー ク 上にあ る 場合、 ゲー ト ウ ェ イ を指定す る 必要があ り ま す。 ト ラ フ ィ ッ ク を アプ ラ イ ア ン ス にルーテ ィ ン グす る ゲー ト ウ ェ イ の IP ア ド レ ス を入力 し て、 ENTER を押 し ま す。 アプ ラ イ ア ン ス と 同 じ ネ ッ ト ワ ー ク か ら AMC にア ク セ ス し てい る 場合は、 その ま ま ENTER を押 し ます。 6. 次に、 こ こ ま で入力 し た情報を確認す る よ う 求め ら れ ま す。 現在の値で良ければその ま ま ENTER を押 し 、 値を変更 し たい場合は新 し い値を入力 し ます。 7. 次に、 こ の ノ ー ド を ク ラ ス タ の一部にす る か ど う か尋ね ら れ ま す。 Install node in a cluster? [n]: • 8. 「y」 と 入力 し て ENTER を押 し ま す。 次に ク ラ ス タ 名を入力す る よ う 求め ら れ ま す。 こ の名前は、 英数字で指定 し 、 最初の文字には英字を指定 し なければな り ま せん。 Cluster name: • こ の ク ラ ス タ に対す る ク ラ ス タ 名を入力 し て ENTER を押 し ま す。 264 | 第 11 章 - 2 ノ ー ド ク ラ ス タ のイ ン ス ト ール と 管理 ! 9. 注意 2 番目の ノ ー ド に対する ク ラ ス タ 名を入力する と き、 最初の ノ ー ド に入力 し た名前 と 同 じ に し なけ ればな り ません。 こ れ ら の名前が異な る場合、 ク ラ ス タ は ク ラ ス タ と し て機能 し な く な り ます。 こ れ ら の名前では、 大文字 と 小文字を区別 し ます。 次に、 こ のアプ ラ イ ア ン ス の ノ ー ド ID を入力す る よ う 求め ら れ ま す。 ノ ー ド ID 名 も 英数字で指定 し 、 最初の文字には英字を指定 し なければな り ま せん。 AMC では、 こ の ノ ー ド ID を使用 し て、 それぞれの アプ ラ イ ア ン ス を識別 し ます。 こ の ID は、 複数の AMC ページで表示 さ れ ます。 Node ID: • ! こ のアプ ラ イ ア ン ス に対す る 固有の ノ ー ド ID を入力 し て ENTER を押 し ま す。 注意 2 番目の ノ ー ド に対する ノ ー ド ID を入力する と き、最初の ノ ー ド の ノ ー ド ID と 異な る も のに し な ければな り ません。 これ ら の ID が同 じ 場合、 ノ ー ド は ク ラ ス タ に参加で き な く な り ます。 こ れ ら の名前 では、 大文字 と 小文字を区別 し ます。 10. 次に、 ク ラ ス タ イ ン タ フ ェ ー ス に対す る IP ア ド レ ス と サブネ ッ ト マ ス ク を入力す る よ う 求め ら れ ま す。 こ の イ ン タ フ ェ ー ス は、 ク ラ ス タ の 2 つの ノ ー ド 間の通信に使用 さ れ ます。 Cluster interface IP address: • こ のアプ ラ イ ア ン ス に対す る ク ラ ス タ イ ン タ フ ェ ー ス の IP ア ド レ ス を入力 し て ENTER を押 し ま す。 Cluster interface subnet mask: • ! こ のアプ ラ イ ア ン ス に対す る ク ラ ス タ イ ン タ フ ェ ー ス のサブネ ッ ト マ ス ク を入力 し て ENTER を押 し ます。 注意 2 番目の ノ ー ド に対する ク ラ ス タ イ ン タ フ ェ ースの IP ア ド レ ス を入力する と き、 最初の ノ ー ド の ク ラ ス タ イ ン タ フ ェ ース IP ア ド レ ス と 異な る も のに し なければな り ません。 それぞれの ク ラ ス タ イ ン タ フ ェ ース IP ア ド レ スは固有で なければな り ません。 また、 ク ラ ス タ イ ン タ フ ェ ースの IP ア ド レ ス を 入力する と き、 ク ラ ス タ イ ン タ フ ェ ースに使用する ネ ッ ト ワー ク 範囲やサブ ネ ッ ト が他の イ ン タ フ ェ ー スのネ ッ ト ワー ク 範囲 と 異な っ ていなければな り ません。 ク ラ ス タ イ ン タ フ ェ ースのネ ッ ト ワー ク 範囲 は固有の も ので なければな り ません。 11. 次に、 こ こ ま で入力 し た情報を確認す る よ う 求め ら れ ま す。 現在の値で良ければその ま ま ENTER を押 し 、 値を変更 し たい場合は新 し い値を入力 し ます。 12. 最後に、 変更を保存 し て適用す る よ う 求め ら れ ます。 Do you want to save and apply configuration changes [y]: • ENTER を押 し て、 変更を保存 し ます。 こ の時点で、 Setup Tool が変更を保存 し 、 必要なサービ ス を再起動 し ます。 ま た、 こ れ ま で指定 し た情 報を基に Secure Shell (SSH) 鍵を生成 し ます。 こ の間、 フ ィ ー ド バ ッ ク はほ と ん ど あ り ま せん。 Setup Tool が反応 し な く な っ た な ど と 早合点せずに、 その ま ま し ば ら く お待ち く だ さ い。 変更が保存 さ れた ら 、 初期セ ッ ト ア ッ プが完了 し た こ と を示す メ ッ セージが表示 さ れ ます。 13. 最初の ノ ー ド で Setup Tool を実行 し 終わ っ た ら 、 次の ノ ー ド で も 同 じ プ ロ セ ス を繰 り 返 し ま す。 ステ ッ プ 3: マス ター ノ ー ド の割り当て 両方のアプ ラ イ ア ン ス で Setup Tool を実行 し た ら 、一方のアプ ラ イ ア ン ス を マ ス タ ー ノ ー ド に割 り 当て ま す。 ク ラ ス タ を管理す る と き は、 マ ス タ ー ノ ー ド で AMC を使用 し ま す。 ! 注意 デ ュ アルホーム ド ノ ー ド を構成 し てい る場合は特に、 両方の ノ ー ド で Setup Tool を実行 し 終わる ま で、 ノ ー ド を マス タ ーに割 り 当て ないで く だ さ い。 両方の ノ ー ド は、 同 じ 数の イ ン タ フ ェ ース で構成 し なければな り ません。 こ う し なければ、 ク ラ ス タ が正常に機能 し ません。 そのため、 両方の ノ ー ド で Setup Tool を実行 し 終わる ま で、 AMC で イ ン タ フ ェ ース を構成するのは避けなければな り ません。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 265 X マ ス タ ー ノ ー ド を割 り 当て る には 1. マ ス タ ーに し たい ノ ー ド で AMC に ロ グ イ ン し ま す。 ロ グ イ ンの詳細については、 31 ページの 「AMC へ の ロ グ イ ン」 を参照 し て く だ さ い。 AMC のホーム ページが表示 さ れ ます。 2. [Cluster management] で、 [Assign as master] リ ン ク を ク リ ッ ク し ます。 こ の操作に よ り 、 こ の ノ ー ド の AMC ホーム ページに リ ダ イ レ ク ト さ れ ます。 ステ ッ プ 4: ク ラス タの外部仮想 IP ア ド レスの構成 ク ラ ス タ の仮想 IP ア ド レ ス は、 ク ラ ス タ 全体に対す る 単一の外部ア ド レ ス と し て機能 し ます。 X ク ラ ス タ の仮想 IP ア ド レ ス を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Network Settings] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Network Settings] ページが表示 さ れ ます。 2. [Basic] セ ク シ ョ ン で [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure General Network Settings] ページが表示 さ れ ます。 3. [Cluster configuration] セ ク シ ョ ン の [Virtual IP address] に、 ク ラ ス タ の仮想 IP ア ド レ ス を 入力 し ます。 こ れは、 イ ン タ ーネ ッ ト に接続 し てい る イ ン タ フ ェ ー ス ( シ ン グルホーム ド 構成の場合は内 部 イ ン タ フ ェ ー ス、 デ ュ アルホーム ド 構成の場合は外部 イ ン タ フ ェ ー ス ) の IP ア ド レ ス と 同 じ サブネ ッ ト 上になければな り ません。 4. ク ラ ス タ 環境でネ ッ ト ワ ー ク ト ン ネル サービ ス を使用 し てい る 場合、 [Network tunnel service virtual IP address] ボ ッ ク ス に仮想 IP ア ド レ ス を入力 し ま す。 こ の IP ア ド レ ス は、 ク ラ ス タ 全体に対す る 、 ネ ッ ト ワ ー ク ト ン ネル サービ ス の単一の内部ア ド レ ス と し て機能 し ま す。 こ の VIP は、 内部 イ ン タ フ ェ ー ス と 同 じ サブネ ッ ト 上になければな り ま せん。 こ の設 定は、 デ ュ アルホーム ド ク ラ ス タ のみに適用 さ れ ま す。 266 | 第 11 章 - 2 ノ ー ド ク ラ ス タ のイ ン ス ト ール と 管理 ステ ッ プ 5: 残りの構成作業の実行 ソ フ ト ウ ェ ア を両方の ノ ー ド に イ ン ス ト ール し 、 一方の AMC がマ ス タ ー管理 コ ン ソ ール と し て機能 し 始めた ら 、 残 り の構成作業に取 り かか り ます。 単一 ノ ー ド アプ ラ イ ア ン ス と ク ラ ス タ と の構成にはほ と ん ど差はあ り ません。 ク ラ ス タ を構成す る 場合の違いには、 主に次の よ う な も のがあ り ま す。 • AMC の [Network Settings] ページに、 ク ラ ス タ の両方の ノ ー ド が表示 さ れ ます。 単一 ノ ー ド 環境の 場合、 1 つの ノ ー ド し か表示 さ れ ま せん。 • 前の ス テ ッ プで使用 し た [Cluster interface settings] セ ク シ ョ ン が表示 さ れ ま す。 こ のセ ク シ ョ ン は単一 ノ ー ド の場合は表示 さ れ ま せん。 • [Network Interface Configuration] ページで、 アプ ラ イ ア ン ス の名前 ( 実際は ノ ー ド ID) を編集 で き ま せん。 単一 ノ ー ド の場合は、 アプ ラ イ ア ン ス の名前を編集で き ます。 45 ページの 「ネ ッ ト ワ ー ク と 認証の構成」 に進んで ク ラ ス タ 構成を続け た後、 最後に こ の手順に戻 り ます。 メモ • 外部 イ ン タ フ ェ ー ス を有効にす る 場合、 両方の ノ ー ド で同時に有効に し なければな り ません ( 言い換え る と 、 AMC では、 両方の ノ ー ド で イ ン タ フ ェ ー ス を有効に し ない限 り 構成の変更を適用で き ない )。 ステ ッ プ 6: 管理スイ ッ チ接続の構成 ( 適切な場合 ) 802.1d ス パニ ン グ ツ リ ー プ ロ ト コ ルをサポー ト す る ス イ ッ チ接続を使用 し てい る 場合、 フ ェ イ ルオーバーの ために ど の イ ン タ フ ェ ー ス を監視す る か指定 し なければな り ません。 ま た、 こ の ス テ ッ プ を実行す る 前に、 ネ ッ ト ワ ー ク イ ン タ フ ェ ース をすべて構成 し ていな ければな り ま せん。 266 ページの 「ス テ ッ プ 5: 残 り の構 成作業の実行」 を参照 し て く だ さ い。 こ の設定は、 信頼性の高い フ ェ イ ルオーバー機能を実現す る ため、 ネ ッ ト ワ ー ク 環境でサポー ト さ れてい る 場 合は有効に し てお き ます。 ほ と ん ど のテ ス ト 環境では、 こ の設定を有効にす る こ と はで き ませんが、 実稼働環 境では可能な限 り こ の設定を使用 し ます。 こ の設定は、 デフ ォ ル ト で無効にな っ てい ます。 ! 注意 こ の設定は、 802.1d スパニ ン グ ツ リ ー プ ロ ト コ ルに対応 し てい る管理ス イ ッ チ を使用 し てい る場 合を除き、 有効に し ないで く だ さ い。 誤 っ て こ の設定を有効にする と 、 マス タ ー ノ ー ド がス レ ーブ ノ ー ド の存在を検出で き な く な り ます。 X 管理ス イ ッ チ接続を構成する には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Network Settings] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Network Settings] ページが表示 さ れ ます。 2. [Basic] セ ク シ ョ ン で [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure General Network Settings] ページが表示 さ れ ます。 3. [Cluster configuration] セ ク シ ョ ン の [Check for managed switch connection on:] で、 適 切な設定を選択 し ます。 こ の設定は、 デフ ォ ル ト で無効にな っ てい ま す。 こ の設定を有効にす る には、 ス イ ッ チで管理す る イ ン タ フ ェ ース を選択 し ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 267 ク ラ ス タの管理 ほ と ん ど の ク ラ ス タ 管理作業は、 単一の AMC ( マ ス タ ー と し て指定 さ れてい る AMC) か ら 実行す る こ と がで き ます。 こ の節では、 ク ラ ス タ を管理す る 方法について詳細に説明 し ま す。 各ノ ー ドのネ ッ ト ワーク構成の表示と構成 マ ス タ ー AMC か ら 、 ク ラ ス タ 内の両方の ノ ー ド に対す る ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス 設定を表示 し 構成す る こ と がで き ま す。 X ネ ッ ト ワー ク イ ン タ フ ェ ース構成設定を表示する には 1. メ イ ン ナ ビ ゲーシ ョ ン ページか ら [Network Settings] を ク リ ッ ク し ます。 2. [Basic] セ ク シ ョ ン で [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure General Network Settings] ページが表示 さ れ ます。 3. [Network interfaces] セ ク シ ョ ン のテーブルには、 2 つのそれぞれの ノ ー ド に関す る 情報が表示 さ れ ます。 それぞれの ノ ー ド は ノ ー ド ID で識別 さ れ ます。 マ ス タ ー ノ ー ド については、 ノ ー ド ID の下に 「(master)」 と 表示 さ れ ます。 特定の ノ ー ド に対す る ネ ッ ト ワー ク イ ン タ フ ェ ース構成ページ を表示す る と き は、 その名前を ク リ ッ ク し ます。 こ の操作に よ り 、 その ノ ー ド に対す る [Configure Network Interfaces] ページが表示 さ れ ます。 こ のページか ら 、 それぞれの イ ン タ フ ェ ー ス に対す る 構成を変更す る こ と がで き ま す。 こ れ ら のネ ッ ト ワ ー ク 設定の構成については、 46 ページの 「ネ ッ ト ワ ー ク イ ン タ フ ェ ース の構成」 を参照 し て く だ さ い。 268 | 第 11 章 - 2 ノ ー ド ク ラ ス タ のイ ン ス ト ール と 管理 ク ラス タの起動 ク ラ ス タ 内の両方の ノ ー ド を起動す る と き 、 ど ち ら の ノ ー ド の電源を先にオ ン に し て も か ま い ません。 サービスの開始と停止 ク ラ ス タ 環境のサービ ス を開始 し た り 停止 し た り す る と き は、 マ ス タ ー ノ ー ド を使用 し ます。 サービ ス の開始 と 停止の方法については、 251 ページの 「Aventail ア ク セ ス サービ ス の停止 と 開始」 を参照 し て く だ さ い。 ただ し 、 ク ラ ス タ の単一 ノ ー ド のサービ ス を制御す る こ と はで き ま せん。 サービ ス を開始ま たは停止す る と き 、 サービ ス は ク ラ ス タ の両方の ノ ー ド で開始ま たは停止 し ます。 ク ラ ス タ の単一 ノ ー ド でサービ ス を停止す る と き は、 アプ ラ イ ア ン ス自体の電源をオ フ に し な ければな り ません。 メモ • マ ス タ ーの [Services] ページの [Status] 列には、 マ ス タ ー ノ ー ド のサービ ス の ス テー タ ス のみが表 示 さ れ ます。 ス レーブ ノ ー ド を監視す る 方法については、 268 ページの 「 ク ラ ス タ の監視」 を参照 し て く だ さ い。 ク ラス タの監視 マ ス タ ー ノ ー ド か ら は、 マ ス タ ー ノ ー ド で動作す る サービ ス のみを監視す る こ と がで き ます。 ス レーブ ノ ー ド のサービ ス の ス テー タ ス を表示す る と き は、 ス レーブ ノ ー ド の AMC に ロ グ イ ン し なければな り ません。 X マ ス タ ー ノ ー ド のサービ スのス テー タ ス を表示する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Services] を ク リ ッ ク し ま す。 2. [Access services] エ リ アで、 それぞれのサービ ス に対す る [Status] イ ン ジ ケー タ を参照 し ま す。 [Stop]/[Start] の値は、 マ ス タ ー ノ ー ド のサービ ス の ス テー タ ス を示 し ます。 X ス レ ーブ ノ ー ド のサービ スのス テー タ ス を表示する には 1. ス レーブ ノ ー ド の AMC に ロ グ イ ン し ます。 [Slave Node Administration] ページが表示 さ れ ま す。 2. [Node status] エ リ アで、 [Services]、 [System information] [Current connections] を参 照 し ま す。 こ のページには、 前回 ク ラ ス タ を同期 し た と き の タ イ ム ス タ ン プ も 表示 さ れ ま す。 3. 最新の統計デー タ を参照す る と き は、 [Refresh] ボ タ ン を ク リ ッ ク し ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 269 4. 5. [Slave Node Administration] ページか ら 、 メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーを使用 し て次の AMC ページにア ク セ スす る こ と がで き ます。 • [System Status] ページ • [View Logs] ページ • [Maintenance] ページ ク ラ ス タ を管理 し たい場合は、 AMC の [Home] ページの [Cluster Management] でマ ス タ ーに対応 す る リ ン ク を ク リ ッ ク し ま す。 メモ • ク ラ ス タ 環境の場合、 AMC ホーム ページお よ び [System Status] ページに表示 さ れ る ア ク テ ィ ブ ユーザー数は、 カ レ ン ト ノ ー ド のユーザー数ですが、 [Active Users] ページに表示 さ れ る ユーザー数 は、 全 ク ラ ス タ のア ク テ ィ ブ ユーザーにな る ため、 こ の値 よ り 大 き く な り ます。 ク ラス タのバッ クア ッ プ ク ラ ス タ の構成デー タ をバ ッ ク ア ッ プす る と き は、 マ ス タ ー ノ ー ド のみで Backup Tool を実行 し ま す。 こ の 操作に よ り 、 両方の ノ ー ド の構成デー タ がバ ッ ク ア ッ プ さ れ ます。 Backup Tool の実行方法については、 167 ページの 「Backup Tool に よ る 現在の構成のバ ッ ク ア ッ プ」 を参照 し て く だ さ い。 ク ラス タ での保守の実行 ク ラ ス タ の一方ま たは両方の ノ ー ド で保守作業を行 う と き 、 両方の ノ ー ド でサービ ス を停止 し なければな り ま せん。 すべての保守活動は、 ユーザーの妨げにな ら ない最適な時間を選んで計画す る 必要があ り ま す。 詳細に ついては、 268 ページの 「サービ ス の開始 と 停止」 を参照 し て く だ さ い。 ク ラス タのア ッ プグレー ド ク ラ ス タ 環境で Aventail ソ フ ト ウ ェ ア を ア ッ プデー ト す る と き は、 ク ラ ス タ のそれぞれの ノ ー ド で Update Tool を実行 し な ければな り ません。 ク ラ ス タ 内の ノ ー ド を ア ッ プデー ト す る 順序は、 非常に重要にな り ます。 ア ッ プ グ レー ド を実施す る と き は、 サービ ス を極力中断 し ない よ う にす る ため、 保守期間に行 う よ う 計画 し ま す。 X ク ラ ス タ を ア ッ プ グ レ ー ド する には 1. マ ス タ ー ノ ー ド で Update Tool を実行 し ます。 FUpdate Tool の実行方法については、 172 ページの 「 コ マ ン ド ラ イ ン か ら のシ ス テ ム ア ッ プデー ト の イ ン ス ト ール」 を参照 し て く だ さ い。 マ ス タ ー ノ ー ド のア ッ プデー ト 中は、 ス レーブ ノ ー ド が要求の処理を引 き 継ぎ ま す。 2. マ ス タ ー ノ ー ド のア ッ プデー ト が終わっ てマ ス タ ーがオ ン ラ イ ンに戻 る と 、 ス レーブ ノ ー ド のバージ ョ ン が異な っ てい る こ と を検出 し ま す。 ス レ ーブ ノ ー ド のサービ ス を停止 し 、 入っ て く る 要求をすべてマ ス タ ーが処理す る よ う にな り ます。 3. ス レーブ ノ ー ド で Update Tool を実行 し ます。 4. ス レーブ ノ ー ド のア ッ プデー ト が終わっ て ス レーブがオ ン ラ イ ンに戻 る と 、 再び ク ラ ス タ に参加 し 、 マ ス タ ー ノ ー ド と 同期 し ます。 こ れに伴い、 ロ ー ド バ ラ ン サは、 両方の ノ ー ド が要求を処理で き る よ う に な っ た こ と を検出 し ます。 メモ • ア ッ プ グ レー ド を実行 し た ら 、 ユーザーは再認証を受け なければな ら な く な り ま す。 ただ し 、 新 し い接続 が影響を受け る こ と はあ り ま せん。 • ア ッ プ グ レー ド を実行す る 前に、 Config Backup Tool を実行す る こ と が推奨 さ れ ま す。 詳細については、 167 ページの 「Backup Tool に よ る 現在の構成のバ ッ ク ア ッ プ」 を参照 し て く だ さ い。 • ク ラ ス タ バージ ョ ン を ロ ールバ ッ ク し たい場合、 ア ッ プ グ レー ド の場合 と 同 じ 手順で行い ます。 • ク ラ ス タ バージ ョ ン を変更す る と き は、 マ ス タ ー ノ ー ド でプ ロ セ ス を開始す る こ と が非常に重要にな り ます。 ま た、 ク ラ ス タ の両方の ノ ー ド で こ の手順を実行す る こ と も 重要です。 270 | 第 11 章 - 2 ノ ー ド ク ラ ス タ のイ ン ス ト ール と 管理 単一アプラ イアンスのク ラス タ構成へのア ッ プグレー ド アプ ラ イ ア ン ス が単一 ノ ー ド で動作 し てお り 、 こ れを ア ッ プ グ レー ド し て ク ラ ス タ の一部に し たい場合、 こ の ツールでは、 アプ ラ イ ア ン ス を再構成 し て、 ク ラ ス タ 対応に し ま す。 こ の ツールを実行 し て も 、 既存の接続が 中断 さ れ る こ と はあ り ま せん。 X Cluster Tool を実行する には 1. アプ ラ イ ア ン ス の コ マ ン ド ラ イ ン で、 「cluster_tool」 と 入力 し ま す。 2. ク ラ ス タ 名を入力す る よ う 求め ら れ ま す。 こ の名前は、 英数字で指定 し 、 最初の文字には英字 を指定 し な ければな り ま せん。 Cluster name: • ! 3. こ の ク ラ ス タ に対す る ク ラ ス タ 名を入力 し て ENTER を押 し ま す。 同 じ ク ラ ス タ 名を使用 し たい場合 は、 その ま ま ENTER を押 し ま す。 注意 こ の名前は正 し く 入力 し なければな り ません。 ク ラ ス タ 名は、 ク ラ ス タ の両方の ノ ー ド で同 じ で な ければな り ません。 ク ラ ス タ 名が異な る場合、 ノ ー ド が ク ラ ス タ と し て機能 し な く な り ます。 次に、 こ のアプ ラ イ ア ン ス の ノ ー ド ID を入力す る よ う 求め ら れ ま す。 ノ ー ド ID 名 も 英数字で指定 し 、 最初の文字には英字を指定 し なければな り ま せん。 AMC では、 こ の ノ ー ド ID を使用 し て、 それぞれの アプ ラ イ ア ン ス を識別 し ます。 こ の ID は、 複数の AMC ページで表示 さ れ ます。 Node ID: • 4. こ のアプ ラ イ ア ン ス に対す る 固有の ノ ー ド ID を入力 し て ENTER を押 し ま す。 次に、 ク ラ ス タ イ ン タ フ ェ ー ス に対す る IP ア ド レ ス と サブネ ッ ト マ ス ク を入力す る よ う 求め ら れ ま す。 こ の イ ン タ フ ェ ー ス は、 ク ラ ス タ の 2 つの ノ ー ド 間の通信に使用 さ れ ます。 Cluster interface IP address: • こ のアプ ラ イ ア ン ス に対す る ク ラ ス タ イ ン タ フ ェ ー ス の IP ア ド レ ス を入力 し て ENTER を押 し ま す。 Cluster interface subnet mask: • ! こ のアプ ラ イ ア ン ス に対す る ク ラ ス タ イ ン タ フ ェ ー ス のサブネ ッ ト マ ス ク を入力 し て ENTER を押 し ます。 注意 それぞれの ク ラ ス タ ノ ー ド の ク ラ ス タ イ ン タ フ ェ ース IP ア ド レ スは固有でなければな り ません。 5. 次に、 こ こ ま で入力 し た情報を確認す る よ う 求め ら れ ま す。 現在の値で良ければその ま ま ENTER を押 し 、 値を変更 し たい場合は新 し い値を入力 し てか ら ENTER を押 し ま す。 6. 最後に、 変更を保存 し て適用す る よ う 求め ら れ ます。 Do you want to save and apply configuration changes [y]: • ENTER を押 し て、 変更を保存 し ます。 こ の時点で、 Cluster Tool が変更を保存 し 、 アプ ラ イ ア ン ス を自動的に再起動 し ます。 変更が完了 し た ら 、 ア プ ラ イ ア ン ス が ク ラ ス タ の一部 と し て構成 さ れた こ と を示す メ ッ セージが表示 さ れ ます。 ア ッ プ グ レー ド し た アプ ラ イ ア ン ス を ス レーブ ノ ー ド と し て使用す る 場合は こ れでプ ロ セ ス が完了 し ます。 し か し 、 アプ ラ イ ア ン ス を マ ス タ ー ノ ー ド と し て使用す る 場合は、 こ れを マ ス タ ー と し て指定す る 必要があ り ます。 264 ページの 「ス テ ッ プ 3: マ ス タ ー ノ ー ド の割 り 当て」 を参照 し て く だ さ い。 ク ラス タの ト ラ ブルシューテ ィ ング こ の節では、 ク ラ ス タ 環境で発生す る さ ま ざ ま な問題への対処方法について説明 し ま す。 フ ェ イルオーバーが発生し た場合のサービスの遅延の回避 ノ ー ド が ス タ ンバ イ か ら ア ク テ ィ ブ ま たはア ク テ ィ ブか ら ス タ ンバ イ に移行す る と き 、 ポー ト が他の ス イ ッ チ に接続 さ れてい る か ス イ ッ チがチ ェ ッ ク す る ため、 その イ ン タ フ ェ ー ス が短時間だけ使用で き な く な り ま す。 ただ し 、 ス パニ ン グ ツ リ ーの高速ポー ト ネ ゴ シエーシ ョ ン を有効にすれば、 こ の よ う なチ ェ ッ ク を ス キ ッ プす る 構成にす る こ と も で き ます。 Cisco ス イ ッ チの場合、 こ の機能は PortFast と 呼ばれてい ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 271 ク ラス タ エラー メ ッ セージ ク ラ ス タ を構成 し た と き 、 対応す る エ ラ ー条件が発生す る と 、 AMC に次の メ ッ セージが表示 さ れ ます。 エ ラ ー メ ッ セージ 説明 You are trying to cluster too many nodes (your system supports a maximum of two nodes). ( ク ラ ス タ 化 し よ う と し てい る ノ ー ド 数が多すぎ ます ( こ のシ ス テムでは最大 2 ノ ー ド をサポー ト )。 ) ク ラ ス タ には 2 つの ノ ー ド し か入れる こ と がで き ません。 複数 の ク ラ ス タ を構成 し てい る場合は、 それぞれの ク ラ ス タ 名が固 有の も のであ るか確認 し て く だ さ い。 Invalid configuration. Each node in the cluster must use the same number of network interfaces. ( 構成が不正です。 ク ラ ス タ 内のそれぞれの ノ ー ド では同 じ 数のネ ッ ト ワー ク イ ン タ フ ェ ース を使用 し なければな り ません。 ) ク ラ ス タ 内の両方の ノ ー ド は、 同 じ 構成にな っ ていなければな り ません。 一方の ノ ー ド がデ ュ アルホーム ド で、 も う 一方がシ ン グルホーム ド にな っ てい る場合、 [Network Settings] ページに こ の メ ッ セージが表示 さ れます。 こ の問題を解消せず に変更を適用 し よ う と す る と 、 [Apply Changes] ページ で も同 じ メ ッ セージが表示 さ れ、 変更を適用す るボ タ ンが使用で き ない状態にな り ます。 You have specified a duplicate cluster IP address. Re-run Setup Tool and assign a different one. ( 指定 し た ク ラ ス タ IP ア ド レ スが重複 し ています。 Setup Tool を実行 し 直 し 、 別のア ド レ ス を割 り 当て て く だ さ い。 ) ノ ー ド の ク ラ ス タ イ ン タ フ ェ ースの IP ア ド レ スが、 固有の も のでなければな り ません。 You have specified a duplicate node ID. Re-run Setup Tool and assign a different one. ( 指定 し た ノ ー ド ID が重複 し ています。 Setup Tool を 実行 し 直 し 、 別の ID を割 り 当て て く だ さ い。 ) ク ラ ス タ が正常に動作す る には、 それぞれの ノ ー ド に固有の ID が割 り 当て ら れていなければな り ません。 The version of the software running on this node is incompatible with the master. Compare the version numbers and upgrade the appropriate node. ( この ノ ー ド で動作 し ている ソ フ ト ウ ェ アのバージ ョ ン に は、 マス タ ー と の間で互換性があ り ません。 バージ ョ ン番 号を比較 し て、 適切な ノ ー ド を ア ッ プグ レー ド し て く だ さ い。 ) ク ラ ス タ が正常に動作す る には、 それぞれの ノ ー ド で同 じ バー ジ ョ ンの ソ フ ト ウ ェ アが動作 し ていなければな り ません。 詳細 については、 269 ページの 「 ク ラ ス タ のア ッ プ グ レー ド 」 を参 照 し て く だ さ い。 ク ラ ス タのシナ リ オ こ の節では、 ク ラ ス タ が さ ま ざ ま な状況に ど の よ う に対応す る か手順を追っ て紹介 し ま す。 正常なフ ローまたは ト ラ フ ィ ッ ク 両方の ノ ー ド が正常に動作 し てい る 場合、 ト ラ フ ィ ッ ク は ク ラ ス タ 内を次の よ う に流れ ます。 1. 入っ て く る 要求が ク ラ ス タ の仮想 IP ア ド レ ス にルーテ ィ ン グ さ れ ます。 2. ク ラ ス タ 内の ノ ー ド を監視 し てい る 、 ア ク テ ィ ブな ロ ー ド バ ラ ンサが、 すべての ノ ー ド が使用可能であ る と 判定 し ま す。 3. ロ ー ド バ ラ ン サが、 ど のサービ ス の接続数が現在最 も 少ないかチ ェ ッ ク し 、 要求を そのサービ ス にルー テ ィ ン グ し ます。 ノ ー ドの障害 次のシナ リ オは、 ク ラ ス タ ノ ー ド に障害が発生 し てい る 場合に ど う な る かについて示 し てい ます。 ほ と ん ど の 障害の場合、 ユーザーが再認証を求め ら れ る こ と はな く 、 現在のユーザー接続は正常に動作を続け ま す。 ただ し 、 特定のアプ リ ケーシ ョ ン がユーザーに再認証を求め る 場合は、 サービ ス が中断 さ れ る 可能性 も あ り ま す。 272 | 第 11 章 - 2 ノ ー ド ク ラ ス タ のイ ン ス ト ール と 管理 アク テ ィ ブ ロー ド バラ ンサの障害 ア ク テ ィ ブ ロ ー ド バ ラ ン サに障害が発生す る と 、 ス タ ンバ イ ロ ー ド バ ラ ンサが次の よ う に処理を引 き 継ぎ ま す。 1. ア ク テ ィ ブ ロ ー ド バ ラ ン サに障害が発生 し ます。 2. ク ラ ス タ ネ ッ ト ワ ー ク を監視 し てい る 、 ス タ ンバ イ ロ ー ド バ ラ ンサが、 ア ク テ ィ ブ ロ ー ド バ ラ ンサの 障害を検出 し ます。 3. ス タ ンバ イ ロ ー ド バ ラ ン サが、 ア ク テ ィ ブ ロ ー ド バ ラ ン サの仕事を再開 し ます。 入っ て く る すべての 要求が、 使用可能な単一 ノ ー ド にルーテ ィ ン グ さ れ る よ う にな り ます。 4. 元のア ク テ ィ ブ ロ ー ド バ ラ ン サがオ ン ラ イ ン に戻 る と 、 その ま ま ス タ ンバ イ ロ ー ド バ ラ ン サにな り ま す。 5. 新 し いア ク テ ィ ブ ロ ー ド バ ラ ン サは、 2 番目の ノ ー ド がオ ン ラ イ ン にな っ てい る こ と を検出 し 、 入っ て く る 要求を両方の ノ ー ド に分散 し 始め ます。 ス タ ンバイ ロー ド バラ ンサの障害 1. ス タ ンバ イ ロ ー ド バ ラ ン サに障害が発生 し ます。 2. ク ラ ス タ ネ ッ ト ワ ー ク を監視 し てい る 、 ア ク テ ィ ブ ロ ー ド バ ラ ンサが、 ス タ ンバ イ ロ ー ド バ ラ ンサの 障害を検出 し ます。 3. ア ク テ ィ ブ ロ ー ド バ ラ ン サは、 入っ て く る すべての要求を、 使用可能な単一 ノ ー ド にルーテ ィ ン グ し ま す。 4. ス タ ンバ イ ロ ー ド バ ラ ン サがオ ン ラ イ ンに戻 る と 、 ア ク テ ィ ブ ロ ー ド バ ラ ン サは、 入っ て く る 要求を 両方の ノ ー ド に分散 し 始め ます。 マス ター (AMC) ノ ー ド の障害 こ のシナ リ オは、 マ ス タ ー ノ ー ド に障害が発生 し た場合に、 AMC が ど う な る か を示 し てい ま す。 最初のシナ リ オでは、 元のマ ス タ ーがマ ス タ ーの状態を維持す る 場合を示 し ます。 2 番目のシナ リ オでは、 元のマ ス タ ー が ス レーブに指定 さ れ る 状態を示 し ます。 元のマ ス タ ーがマス タ ーの状態を維持する場合 1. マ ス タ ー ノ ー ド に障害が発生 し ます。 2. ス レーブ ノ ー ド が正常に動作を続け、 管理者は ス レーブ ノ ー ド を マ ス タ ーに割 り 当て ま せん。 3. マ ス タ ー ノ ー ド はオ ン ラ イ ン に戻 り ますが、 依然 と し てマ ス タ ー ノ ー ド で あ る こ と を認識 し ま す。 4. マ ス タ ーの ス テー ト が ス レーブ ノ ー ド の ス テー ト と 同期 さ れ ま す。 5. マ ス タ ーは ( 管理、 構成、 同期の点で ) マ ス タ ー と し て機能 し 続け ま す。 ス レ ーブ ノ ー ド がマ ス タ ー ノ ー ド にな る場合 1. マ ス タ ー ノ ー ド に障害が発生 し ます。 2. 管理者が、 ス レーブ ノ ー ド の AMC に ロ グ イ ン し 、 その ノ ー ド を マ ス タ ーに割 り 当て ま す。 3. 元のマ ス タ ーがオ ン ラ イ ン に戻 る と 、 も う 一方の ノ ー ド と 通信 し 、 その ノ ー ド がマ ス タ ー と し て機能 し て い る こ と を検出 し ま す。 元のマ ス タ ーは、 自身の ノ ー ド を ス レ ーブ ノ ー ド に指定 し ま す。 4. 新 し いマ ス タ ーは、 その ス テー ト を新 し い ス レーブ ノ ー ド の ス テー ト と 同期 さ せま す。 ク ラス タ ネ ッ ト ワークの障害 ク ラ ス タ ネ ッ ト ワ ー ク に障害が発生す る と 、 ク ラ ス タ の 2 つの ノ ー ド が相手 と 通信で き な く な り ます。 1. ア ク テ ィ ブ ロ ー ド バ ラ ン サが、 ク ラ ス タ ネ ッ ト ワ ー ク がダ ウ ン し てい る こ と を検出 し ます。 入っ て く る すべての要求を、 自身の ノ ー ド に送 り ます。 2. マ ス タ ー AMC が、 ク ラ ス タ ネ ッ ト ワ ー ク のダ ウ ン を検出 し ま す。 ス レーブ ノ ー ド と は通信で き な く な り ま す。 メモ • ク ラ ス タ ネ ッ ト ワ ー ク に障害があ る 場合の症状は、 ス レーブ ノ ー ド は動作 し てい る が、 マ ス タ ー ノ ー ド がそれ と 通信で き ない と い う も のです。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 273 付録 A ト ラ ブルシ ュ ーテ ィ ング こ の節では、 一般的な ト ラ ブルシ ュ ーテ ィ ン グの方法について説明 し 、 ASAP Management Console (AMC) に付属す る ト ラ ブルシ ュ ーテ ィ ン グ ツールについて説明 し ます。 ただ し 、 コ ア ネ ッ ト ワ ーキ ン グ サービ ス (DHCP、 DNS、 WINS な ど ) の障害の場合は、 不測の障害の原因にな り ます。 一般的なネ ッ ト ワーキングの問題 • すべてのネ ッ ト ワ ー ク ケーブルをチ ェ ッ ク し 、 不良な ケーブルがないか確認 し ます。 • ネ ッ ト ワ ー ク ア ド レ ス 変換 (NAT) を使用 し てい る 場合、 フ ァ イ ア ウ ォ ールでブ ロ ッ ク さ れ る 可能性があ り ま す。 ク ロ ス ケーブルを使用 し て物理 イ ン タ フ ェ ース で ノ ー ト 型 PC を アプ ラ イ ア ン ス に接続す る こ と に よ り 、 フ ァ イ ア ウ ォ ールを一時的にバ イ パ ス し て、 ネ ッ ト ワ ー ク の接続性を確認 し ます。 こ の よ う な接続が不可能な場合は、 ノ ー ト 型 PC を、 アプ ラ イ ア ン ス の外部 イ ン タ フ ェ ー ス と 同 じ ネ ッ ト ワ ー ク セ グ メ ン ト に ( で き る 限 り アプ ラ イ ア ン ス に近い位置に ) 入れ ます。 • 外部 イ ン タ フ ェ ー ス を ping し ネ ッ ト ワ ー ク 接続を確認 し ま す。 ホ ス ト の IP ア ド レ ス が ping で き る に も かかわ ら ず、 正規の ド メ イ ン名を ping で き ない場合は、 名前解決の問題が考え ら れ ます。 ping コ マ ン ド は、 コ マ ン ド ラ イ ン ま たは AMC 内か ら 発行す る こ と がで き ます (281 ページの 「ping コ マ ン ド 」 を参 照 )。 • すでに新 し い IP ア ド レ ス を アプ ラ イ ア ン ス に割 り 当て てい る 場合、 フ ァ イ ア ウ ォ ールやルー タ な ど の ネ ッ ト ワ ー ク デバ イ ス か ら ロ ーカル ア ド レ ス 解決プ ロ ト コ ル (ARP) キ ャ ッ シ ュ を消去 し て く だ さ い。 こ の操作に よ り 、 こ れ ら のネ ッ ト ワ ー ク デバ イ ス が古い IP-MAC ア ド レ ス マ ッ ピ ン グ を使用 し な く な り ま す。 • 外部 イ ン タ フ ェ ー ス でパケ ッ ト ト レー ス を実行 し て、 ト ラ フ ィ ッ ク がアプ ラ イ ア ン ス に到達 し 返っ て く る こ と を確認 し ま す。 こ れは一般的に、 tcpdump ユーテ ィ リ テ ィ を使用 し て行い ます。 た と えば 「 tcpdump -i -n eth1:1 port 80 or 443」 を実行す る と 、 eth1:1 イ ン タ フ ェ ー ス のポー ト 80 と ポー ト 443 の ト ラ フ ィ ッ ク がチ ェ ッ ク さ れ ま す。 • ト ラ フ ィ ッ ク が接続先に到達 し ない場合、 iptables ( アプ ラ イ ア ン ス で動作す る フ ァ イ ア ウ ォ ール ) に よ っ て フ ィ ル タ リ ン グ さ れていない こ と を確認 し ま す。 ロ グ フ ァ イ ル、 /var/log/kern.iptables の内容 を検査 し 、 ド ロ ッ プ し てい る パケ ッ ト がないか調べま す。 iptables ルールセ ッ ト を参照す る と き は、 「iptables -L -n -v」 コ マ ン ド を実行 し ます ( ただ し 、 iptables で フ ィ ル タ リ ン グ さ れた ト ラ フ ィ ッ ク を示す ロ グ メ ッ セージは外部 syslog サーバーには転送 さ れない )。 • 外部ネ ッ ト ワ ー ク に接続で き ない場合、 デフ ォ ル ト ゲー ト ウ ェ イ を ping し 、 イ ン タ ーネ ッ ト 接続が存在 す る こ と を確認 し ます。 ping コ マ ン ド は、 コ マ ン ド ラ イ ン ま たは AMC 内か ら 発行す る こ と がで き ま す。 281 ページの 「ping コ マ ン ド 」 を参照 し て く だ さ い。 • scp フ ァ イ ル コ ピーのパフ ォ ーマ ン ス の低下や、 Web プ ロ キ シ、 ネ ッ ト ワ ー ク ト ン ネル、 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス のパフ ォ ーマ ン ス の低下な ど、 ネ ッ ト ワ ー ク レ イ テ ン シが発生 し てい る 場合は、 アプ ラ イ ア ン ス の イ ン タ フ ェ ー ス 設定 と 、 アプ ラ イ ア ン ス が接続す る ス イ ッ チ ポー ト の構成に違いがあ る 可 能性があ り ま す。 つ ま り 、 ス イ ッ チが誤っ て二重モー ド 設定を検出 し てい る 可能性があ り ます ( た と え ば、 アプ ラ イ ア ン ス が全二重で構成 さ れてい る に も かかわ ら ず ス イ ッ チが半二重を検出 し てい る な ど )。 Cisco 製の ス イ ッ チには、 こ の よ う な問題があ る こ と がわか っ てい ま す。 こ の問題は、 アプ ラ イ ア ン ス の パフ ォ ーマ ン ス を低下 さ せ る 可能性があ り ます。 こ の問題を解決す る には、 オー ト ネ ゴ シエー ト を使用 し ない設定に し ます。 代わ り に、 ス イ ッ チ ポー ト に、 アプ ラ イ ア ン ス と 一致す る 設定を静的に割 り 当て る よ う 構成 し ま す。 両方の ス イ ッ チ ポー ト と 両方 のアプ ラ イ ア ン ス イ ン タ フ ェ ー ス の設定 ( 必要で あれば、 内部 と 外部 ) をチ ェ ッ ク し な ければな り ませ ん。 いずれかの イ ン タ フ ェ ー ス / ス イ ッ チ ポー ト が不適合にな っ てい る 場合、 パフ ォ ーマ ン ス に悪影響 が出 ます。 274 | 付録 A - ト ラ ブルシ ュ ーテ ィ ン グ ネ ッ ト ワ ー ク レ イ テ ン シが発生 し てい る に も かかわ ら ず、 アプ ラ イ ア ン ス / ス イ ッ チ ポー ト が正 し く 構 成 さ れてい る 場合、 問題はネ ッ ト ワ ー ク の他の箇所にあ り ま す。 アプ リ ケーシ ョ ン レベルの問題の可能性 も あ り ます (Web プ ロ キ シ、 ネ ッ ト ワ ー ク ト ン ネル、 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス がア ク セ スす る DNS サーバーの名前解決が遅いな ど )。 • DNS に問題があ る 場合、 最初に次のテ ス ト を行い、 ク ラ イ ア ン ト の DNS 解決が動作 し てい る か ど う か調 べま す。 こ の手順では、 ク ラ イ ア ン ト マシ ンが イ ン タ ーネ ッ ト にア ク セ ス で き る こ と が条件にな っ てい ます。 [ ス タ ー ト ] > [ フ ァ イ ル名を指定 し て実行 ] を選択 し 次の コ マ ン ド を入力 し て、 コ ン ソ ール ウ ィ ン ド ウ を開 き ます。 cmd 次の よ う に入力 し ます。 ping google.com 「Pinging google.com [NNN.NNN.NNN.NNN]」 と い う テ キ ス ト の後に、 google.com ア ド レ ス か ら の ping の応答が表示 さ れ る はずです。 角か っ こ 内の IP ア ド レ ス は、 DNS ル ッ ク ア ッ プで解決 さ れた も の を表すため、 こ の表示があれば、 基本的な DNS 機能が ク ラ イ ア ン ト 側で動作 し てい る こ と にな り ま す。 基本的な DNS 機能が動作 し ていない場合、 ping プ ロ グ ラ ム が数秒間停止 し 、 ホ ス ト 、 google.com が 見つか ら ない こ と を表す メ ッ セージ を表示 し ます。 • こ れで も DNS の問題が解消 さ れない場合は、 DNS がアプ ラ イ ア ン ス のホ ス ト 名を解決で き る か ど う か調 べます。 「google.com」 の箇所を アプ ラ イ ア ン ス のホ ス ト 名で置 き 換え て、 上記の ping の手順を繰 り 返 し ま す。 ping がホ ス ト 名に対す る ア ド レ ス を検出で き ない場合、 ホ ス ト 名を提供す る はずの DNS サーバーで問 題を解決 し ま す。 ホ ス ト 名の代わ り にアプ ラ イ ア ン ス の外部 イ ン タ フ ェ ー ス の IP ア ド レ ス を指定す る こ と で、 ク ラ イ ア ン ト 接続に問題がないか調べます。 ping がホ ス ト 名に対す る ア ド レ ス を検出で き る に も 関わ ら ず応答が表示 さ れない ( 「Request timed out ( 要求が タ イ ム ア ウ ト し ま し た )」 ) 場合、 ク ラ イ ア ン ト と アプ ラ イ ア ン ス間のいずれかのホ ッ プで、 ICMP エ コ ーがブ ロ ッ ク さ れてい る 可能性があ り ます。 AMC の問題 • AMC にア ク セ ス で き ない場合は、 アプ ラ イ ア ン ス の内部ネ ッ ト ワ ー ク イ ン タ フ ェ ース に ク ロ ス ケーブル を接続 し 、 ネ ッ ト ワ ー ク を介 さ ないで AMC にア ク セ ス で き る か確認 し ます。 こ の よ う な接続が不可能な 場合は、 ノ ー ト 型 PC を、 内部 イ ン タ フ ェ ー ス と 同 じ ネ ッ ト ワ ー ク セ グ メ ン ト に ( で き る 限 り アプ ラ イ ア ン ス に近い位置に ) 入れ ます。 • それで も AMC にア ク セ ス で き ない場合、 URL に https:// プ ロ ト コ ル識別子が入っ てい る か確認 し ま す。 ま た同時に、 URL にポー ト 番号 8443 が入っ てい る か確認 し ま す。 • ブ ラ ウ ザか ら 内部ネ ッ ト ワ ー ク の AMC に ロ グ イ ン で き ない場合、 ク ラ イ ア ン ト か ら アプ ラ イ ア ン ス の内 部 イ ン タ フ ェ ー ス の IP ア ド レ ス に対す る ト ラ フ ィ ッ ク が、 実際に内部 イ ン タ フ ェ ー ス に到達 し てい る か 確認 し ます。 tcpdump フ ァ イ ルを調べ、 ク ラ イ ア ン ト が AMC に到達 し よ う と す る と き 、 eth0 か ら の ネ ッ ト ワ ー ク ト レース が、 ク ラ イ ア ン ト の IP ア ド レ ス か ら ポー ト 8443 への ト ラ フ ィ ッ ク TCP SYN パ ケ ッ ト を示 し てい る こ と を確認 し ま す。 • 構成の変更が有効にな ら ない場合、 AMC で [Apply Changes] を ク リ ッ ク し て、 サービ ス を再起動 し 、 変更を適用 し ます。 • 「Invalid Login Credentials ( 不正な ロ グ イ ン ク レデン シ ャ ル )」 と い う エ ラ ーが表示 さ れて AMC ロ グ イ ン が失敗す る 場合は、 ユーザー名 と パ ス ワ ー ド を正 し く 指定 し てい る か確認 し ま す。 パ ス ワ ー ド では大 文字 と 小文字が区別 さ れ ます。 CAPS LOCK や NUM LOCK が押 さ れていない こ と を確認 し て く だ さ い。 • プ ラ イ マ リ 管理者のパ ス ワ ー ド を紛失 し た場合、 アプ ラ イ ア ン ス に 「root」 と し て ロ グ イ ン し 、 /usr/local/app/mgmt-server/sysconf/pending/avconfig.xml を修正す る 必要があ り ます。 プ ラ イ マ リ 管理者に対す る <credentials> ブ ロ ッ ク を探 し 、<password> 要素を次のパ ス ワ ー ド (MD5 ハ ッ シ ュ を使用 し て暗号化 し てい る ) で置 き 換え ま す。 $1$h/Vql8b.$G8FZroTP0ainA4wT8uZga. AMC を再起動す る と 、 パ ス ワ ー ド が 「password」 に リ セ ッ ト さ れ ます ( も ち ろ ん、 す ぐ に AMC を使用 し て も っ と 安全なパ ス ワ ー ド に変更す る 必要があ る )。 セ カ ン ダ リ 管理者がパ ス ワ ー ド を紛失 し た場合は、 プ ラ イ マ リ 管理者が、 パ ス ワ ー ド を リ セ ッ ト し なければな り ません。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 275 認証の問題 • 外部認証サーバーにア ク セ ス で き る か確認 し ます。 こ れは一般的に、 tcpdump ユーテ ィ リ テ ィ を使用 し て行い ます。 た と えば 「tcpdump -i eth0 udp port 1645」 を実行す る と 、 ポー ト 1645 で RADIUS 認証サーバーにア ク セ ス で き る か確認す る こ と がで き ます。 • 外部サーバーにア ク セ スす る と き に必要にな る 正 し い ク レデン シ ャ ルが AMC に含 ま れてい る こ と を確認 し ます。 LDAP の場合は [Login DN] お よ び [Password] 設定をチ ェ ッ ク し 、 RADIUS の場合は [Shared secret] 設定をチ ェ ッ ク し ます。 • 認証サーバーの ロ グ を確認 し ます。 不正な ク レデン シ ャ ルを入力 し ていないか確認 し 、 同時に接続の問題 がないか確認 し ま す。 Aventail サービスの問題 Web プ ロキシ サービ スの問題 • AMC のサーバー ロ グ レベルを一時的に [Verbose] に上げ ます ( 必ず [Apply Changes] ページに行 き サービ ス を再起動 さ せま す )。 • [View Logs] ページで Web プ ロ キ シ サービ ス ロ グ を参照 し ます。 ま た、 「tail -f /var/log/aventail/access_servers.log」 の よ う に tail コ マ ン ド を使用 し て、 ロ グ を ネ イ テ ィ ブ形式で表示す る こ と も で き ます。 ロ グ に接続要求が記述 さ れ てい る か確認 し ま す。 • DNS サーバーが、AMC の Web プ ロ キ シ サービ ス [Server name] 設定を Web プ ロ キ シ サービ ス イ ン タ フ ェ ー ス の IP ア ド レ ス に解決で き る こ と を確認 し ま す。AMC でル ッ ク ア ッ プ ツール (282 ページの 「DNS ル ッ ク ア ッ プ」 を参照 ) を使用で き る 他、 コ マ ン ド ラ イ ン か ら nslookup ま たは dig コ マ ン ド を 発行す る こ と も で き ます。 • ネ ッ ト ワ ー ク で NAT を使用 し て IP ア ド レ ス を変換 し てい る 場合、 Web プ ロ キ シ サービ ス [Server name] 設定に、 NAT に よ っ て置換 さ れ る 外部 ( ま たはパブ リ ッ ク ) IP ア ド レ ス が含 ま れてい る こ と を 確認 し ます。 Web プ ロキシ エージ ェ ン ト の問題 Web プ ロ キ シ エージ ェ ン ト は、Internet Explorer 6.0 以降が動作す る Windows XP お よ び Windows 2000 の URL リ ソ ー ス に対す る ア ク セ ス を提供 し ま す。 ASAP WorkPlace の [Connection Status] エ リ アに 「Aventail Web proxy」 と 表示 さ れていれば、 ク ラ イ ア ン ト で Web プ ロ キ シ モー ド がア ク テ ィ ブで あ る こ と がわか り ま す。 Web プ ロ キ シ エージ ェ ン ト が ク ラ イ ア ン ト マ シ ン上で正常に動作 し てい る か ど う かチ ェ ッ ク す る 場合は、 次の手順を実行 し ま す。 1. ク ラ イ ア ン ト マシ ン上で、 CTRL+ALT+DELETE を押 し 、 [ タ ス ク マネージ ャ ] を ク リ ッ ク し ま す。 2. Windows タ ス ク マネージ ャ の [Processes] リ ス ト を参照 し 、 ewpca.exe プ ロ セ ス がないか調べ ま す。 こ の フ ァ イ ルが存在す る 場合、 ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を受け取っ ていない場合で も 、 標準 Web モー ド ア ク セ ス エージ ェ ン ト が動作 し てい ます。 3. Web プ ロ キ シ エージ ェ ン ト が ト ラ フ ィ ッ ク を受け取っ てい る こ と を Internet Explorer で確認す る と き は、 [Tools] メ ニ ュ ーか ら [Internet Options] を選択 し て、 [Connections] タ ブで [LAN Settings] を ク リ ッ ク す る か、 アプ ラ イ ア ン ス への接続で使用 し てい る ダ イ ヤルア ッ プ /VPN 接続に対 す る [Settings] を ク リ ッ ク し ます。 4. 接続 タ イ プに対応す る [Settings] ダ イ ア ロ グ ボ ッ ク ス で、 [Use automatic configuration script] チ ェ ッ ク ボ ッ ク ス が選択 さ れてお り 、 [Address] ボ ッ ク ス に次のア ド レ ス が入力 さ れてい る こ と を確認 し ま す。 http://127.0.0.1:<portnumber>/redirect.pac こ の設定に よ り 、 Internet Explorer が、 ど の接続を Web プ ロ キ シ エージ ェ ン ト に送信す る か判定す る と き に redirect.pac フ ァ イ ルを使用す る よ う にな り ます。 5. redirect.pac フ ァ イ ルの設定で リ ダ イ レ ク ト さ れ る リ ソ ース ア ド レ ス を参照す る には、 こ の フ ァ イ ルを テ キ ス ト エデ ィ タ で開 き ます。 こ の フ ァ イ ルは、 ク ラ イ ア ン ト マシ ン の次の フ ォ ルダに置かれてい ま す。 |Documents and Settings|<username>|Application Data|Aventail|ewpca redirect.pac の 「//Redirection Rules//」 セ ク シ ョ ン には、 標準 Web プ ロ キ シ エージ ェ ン ト に よ っ て送信 さ れ る 際の接続先 と し て定義 さ れてい る ア ド レ ス が リ ス ト さ れてい ます。 こ れ ら のア ド レ ス は、 AMC で定義 さ れてい る ネ ッ ト ワ ー ク お よ び URL の リ ス ト か ら 取 り 込ま れた も のです。 276 | 付録 A - ト ラ ブルシ ュ ーテ ィ ン グ ネ ッ ト ワー ク プ ロキシ サービ スの問題 • AMC のサーバー ロ グ レベルを一時的に [Verbose] に上げ ます ( 必ず [Apply Changes] ページに行 き サービ ス を再起動す る )。 • 接続す る と き 、 ク ラ イ ア ン ト / サーバー サービ ス ロ グ を リ アル タ イ ムに参照 し ま す。 こ れは、 「tail -f /var/log/aventail/access_servers.log」 の よ う に、 tail コ マ ン ド を使用 し て表示す る こ と がで き ます。 ロ グ に接続要求が記述 さ れてい る か確認 し ま す。 Aventail ト ンネルの問題 こ の節では、 Aventail ネ ッ ト ワ ー ク ト ン ネル サービ ス お よ び ト ン ネル ク ラ イ ア ン ト の問題に対処す る 方法に ついて説明 し ます。 • Aventail Connect ト ン ネル ク ラ イ ア ン ト がイ ン ス ト ール さ れない場合 : プ ロ ビ ジ ョ ニ ン グす る ク ラ イ ア ン ト は、 イ ン ス ト ール パ ッ ケージ と し て ク ラ イ ア ン ト コ ン ピ ュ ー タ に配備 さ れないため、 イ ン ス ト ー ル手順が必要にな り ま す。 こ の節では、 イ ン ス ト ールが失敗す る 場合の問題 と その解決策について説明 し ます。 • シ ス テムがサポー ト さ れていない: ク ラ イ ア ン ト コ ン ピ ュ ー タ のシ ス テ ム ソ フ ト ウ ェ アが Aventail Connect ト ン ネル ク ラ イ ア ン ト でサポー ト さ れてい る か確認 し て く だ さ い。 • ク ラ イ ア ン ト ソ フ ト ウ ェ アがシ ス テム要件に合 っ ていない : ユーザーが WorkPlace にア ク セ ス で き る 場合、 WorkPlace で利用で き る ク ラ イ ア ン ト を イ ン ス ト ール し ま す。 • ユーザーに ロー カルの管理者権限がない : Aventail Connect ト ン ネル ク ラ イ ア ン ト を イ ン ス ト ー ルす る ためには、 ユーザーに管理者権限が必要にな り ま す。 • Aventail Connect ト ン ネル ク ラ イ ア ン ト の イ ン ス ト ール ロ グ フ ァ イ ル (ngsetup.log) には、 イ ン ス ト ールの問題に対処す る 上で役に立つ情報が記述 さ れてい ます。 こ の フ ァ イ ルは、 ユーザーの コ ン ピ ュ ー タ 上の次のデ ィ レ ク ト リ 内にあ り ま す。 %documents and settings%|all users|application data|aventail|ngsetup.log • • Aventail OnDemand ト ン ネル エージ ェ ン ト がイ ン ス ト ール さ れない場合 : OnDemand ト ン ネル ク ラ イ ア ン ト は、 ユーザーが、 適切に構成 さ れた レ ルム で認証を受け た上で WorkPlace ページ をブ ラ ウ ズ す る と 、 自動的に イ ン ス ト ール さ れ有効にな り ます。 通常、 OnDemand ト ン ネル エージ ェ ン ト は、 ユー ザーの介入な し で動作す る よ う にな っ てい る ため、 WorkPlace ウ ィ ン ド ウ が開いてい る 限 り 、 構成 さ れ た リ ソ ー ス に対 し 、 ト ン ネルを介 し て安全にア ク セ ス す る こ と がで き ま す。 こ の節では、 OnDemand ト ン ネル エージ ェ ン ト の イ ン ス ト ールや有効化がで き ない場合の問題 と その解決策について説明 し ま す。 • OnDemand ト ン ネルが WorkPlace レルムで有効にな ら ない : AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [Realms] を ク リ ッ ク し ます。 [Realms] ページに、 アプ ラ イ ア ン ス で定義 さ れてい る すべての レ ルム の リ ス ト が表示 さ れ ま す。 特定の レ ルム のネ ッ ト ワ ー ク ト ン ネル サービ ス に影響 す る 設定を確認す る と き は、 その レ ルム の名前を ク リ ッ ク し ます。 [Configure Realm] ページの [Communities] セ ク シ ョ ン で、 [Access Methods] を ク リ ッ ク し て、 [Network tunnel client] チ ェ ッ ク ボ ッ ク ス が選択 さ れてい る こ と を確認 し ま す。 • シ ス テムがサポー ト さ れていない: ク ラ イ ア ン ト コ ン ピ ュ ー タ のシ ス テ ム ソ フ ト ウ ェ アが Aventail OnDemand ト ン ネル ク ラ イ ア ン ト でサポー ト さ れてい る か確認 し て く だ さ い。 • ブ ラ ウザがサポー ト さ れていない : ユーザーが使用 し てい る Web ブ ラ ウ ザが Aventail OnDemand ト ン ネル エージ ェ ン ト でサポー ト さ れてい る か確認 し て く だ さ い。 ク ラ イ ア ン ト が接続で き ない場合 : コ ミ ュ ニ テ ィ が OnDemand ト ン ネル エージ ェ ン ト をサポー ト し て いれば、 Aventail OnDemand ト ン ネル エージ ェ ン ト は、 ユーザーが WorkPlace で正常に認証 さ れ る と 自動的に始動 し ま す。 プ ロ ビ ジ ョ ニ ン グす る Connect ト ン ネル ク ラ イ ア ン ト は、 ト ン ネル セ ッ シ ョ ン を開始す る たびに有効 化 し な ければな り ま せん。 ト ン ネル セ ッ シ ョ ンは、 何時間 も の間ア ク テ ィ ブな状態を維持で き ま す。 た だ し 、 ネ ッ ト ワ ー ク 接続が数秒以上中断 さ れ る ( た と えばネ ッ ト ワ ー ク ケーブルを外 し た場合や ノ ー ト 型 PC を ス リ ープに し た場合、 極端な ケー ス では レ イ テ ン シやパケ ッ ト ド ロ ッ プ率が高い、 過剰に ビ ジーのネ ッ ト ワ ー ク リ ン ク の場合 ) と 、 ト ン ネル セ ッ シ ョ ン が終了 し ます。 こ の節では、 Connect ト ン ネル ク ラ イ ア ン ト や OnDemand ト ン ネル エージ ェ ン ト の接続失敗の原因 にな る 一般的な障害について説明 し ま す。 • ア プ ラ イ ア ン スに到達で き ない : Aventail Connect の ロ グ イ ン ダ イ ア ロ グ ボ ッ ク ス で、 [Properties] を ク リ ッ ク し ま す。 [Properties] ダ イ ア ロ グ ボ ッ ク ス で、 [Login group] の下 にあ る [Change] を ク リ ッ ク し ます。 アプ ラ イ ア ン ス がネ ッ ト ワ ー ク 経由で到達で き る 場合、 使用 可能な レ ルム の リ ス ト と と も に [Select or enter your login] ボ ッ ク ス が使用可能にな っ てい ま す。 アプ ラ イ ア ン ス が到達で き ない状態の場合、 数秒経過 し てか ら 、 「The remote network connection has timed out ( リ モー ト ネ ッ ト ワ ー ク 接続が タ イ ム ア ウ ト し ま し た )」 と い う エ ラ ー メ ッ セージが表示 さ れ ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 277 • • • 不正な ア プ ラ イ ア ン ス ア ド レ スが指定 さ れてい る : Aventail Connect の ロ グ イ ン ダ イ ア ロ グ ボ ッ ク ス で、 [Properties] を ク リ ッ ク し ま す。 [Properties] ダ イ ア ロ グ ボ ッ ク ス で、 [Host name or IP address of your VPN] の設定が正 し い こ と を確認 し ま す。 IP ア ド レ ス の代わ り にホ ス ト 名を入力 し てい る 場合、 ク ラ イ ア ン ト がそのホ ス ト 名を解決で き 、 そのホ ス ト 名が、 アプ ラ イ ア ン ス の外部 イ ン タ フ ェ ー ス の IP ア ド レ ス に対応 し てい る こ と を確認 し ます。 • ア プ ラ イ ア ン スが動作 し ていない : アプ ラ イ ア ン ス が動作 し てい る こ と を確認 し ま す。 • ユーザー名に対する レルムが不正 : ユーザーに対 し て、 有効な レ ルム が構成 さ れてい る こ と を確認 し ます。 • 認証の障害 : ユーザーが正 し い認証 ク レデン シ ャ ルを指定 し てい る こ と を確認 し ます。 • ク ラ イ ア ン ト サービ スの障害 : ク ラ イ ア ン ト ロ グ を探 し 出 し て、 状況の説明 と あわせてその ロ グ フ ァ イ ルを Aventail に送信 し 、 分析を依頼 し ます。 • パー ソ ナル フ ァ イ ア ウ ォ ールのために ト ン ネル ト ラ フ ィ ッ ク が動作 し ない : ユーザーの フ ァ イ ア ウ ォ ールが、 アプ ラ イ ア ン ス の FQDN ま たは IP ア ド レ ス に接続で き る よ う 構成 さ れてい る こ と を 確認 し ます。 ク ラ イ ア ン ト は接続するが リ ソ ースにア ク セ ス で き ない場合 : ト ン ネルが確立 さ れ る と 、 その ト ン ネルを 示すア イ コ ン が タ ス ク バー通知エ リ アに表示 さ れ ます。 こ の時点で ク ラ イ ア ン ト コ ン ピ ュ ー タ は、 アプ ラ イ ア ン ス が到達で き 、 そのユーザーが許可 さ れてい る 構成済みのあ ら ゆ る リ ソ ー ス にア ク セ ス で き る よ う にな り ま す。 こ の節では、 ク ラ イ ア ン ト が リ ソ ース に到達で き ない場合の問題 と その解決策について説 明 し ま す。 • リ ソ ースが定義 さ れていない : AMC で正 し い リ ソ ー ス が定義 さ れてい る こ と を確認 し ま す。 • ユーザーが リ ソ ースへのア ク セ ス を許可 さ れていない : AMC で、 ア ク セ ス 制御ルールの他、 レ ルム と コ ミ ュ ニテ ィ の割 り 当て を参照 し 、 その リ ソ ー ス に対す る ア ク セ ス がユーザーに許可 さ れてい る こ と を確認 し ま す。 • ア プ ラ イ ア ン スのルーテ ィ ン グが リ ソ ースに到達で き ない : アプ ラ イ ア ン ス と バ ッ ク エ ン ド リ ソ ー ス と の間に、 一般的なネ ッ ト ワ ー ク の問題がない こ と を確認 し ま す。 • サーバー ソ フ ト ウ ェ アの障害 : 障害の際、 ネ ッ ト ワ ー ク ト ン ネル サービ ス が正常に機能 し てい る か ど う か確認 し 、 必要であれば詳細な ト ラ ブルシ ュ ーテ ィ ン グ情報を収集 し ます。 ク ラ イ ア ン ト は接続するが突然切断する場合 : Connect ト ン ネルや OnDemand ト ン ネルの接続は、 何 時間 も の間ア ク テ ィ ブな状態を維持で き ま す。 ただ し 、 い く つかの理由で、 ト ン ネルが早 く 終了す る 可能 性 も あ り ま す。 こ の節では、 ト ン ネル接続が突然切断す る 場合の問題 と その解決策について説明 し ま す。 • ト ン ネルがア イ ド ルだ っ たため タ イ ムアウ ト し た : アプ ラ イ ア ン ス の リ ソ ー ス を保護す る ため、 ト ン ネルが一定時間ア イ ド ル状態にな っ てい る と 切断 さ れ る よ う にな っ てい ます。 • 管理者がネ ッ ト ワー ク ト ン ネル サービ ス を停止 し 再始動 し た : AMC を使用 し た一般的な構成操作 の場合、 確立 さ れてい る ト ン ネルには影響 し ません。 確立時に有効だっ た構成の ま ま動作が継続 し ま す。 ただ し 、 アプ ラ イ ア ン ス の基本的なネ ッ ト ワ ーキ ン グ に影響す る 構成変更の場合、 既存の ト ン ネ ルが落ち た り ハン グ し た り す る ため、 ク ラ イ ア ン ト 側で切断 し 復旧 さ せ る 必要があ り ま す。 ネ ッ ト ワ ー ク ト ン ネル サービ ス ロ グ を Info 以上の レベルに設定 し てい る 場合、 ネ ッ ト ワ ー ク ト ン ネル サービ ス が停止す る たびに 「Reset Internal Interface and Addressing Information ( 内部 イ ン タ フ ェ ー ス と ア ド レ ッ シ ン グ情報の リ セ ッ ト )」 と い う メ ッ セージが ロ グに記述 さ れ ま す。 ま た、 サービ ス が、 停止 し た状態か ら 始動す る と 、 そのたびに 「Internal Interface eth0 Address N.N.N.N Netmask N.N.N.N BCastAddr N.N.N.N Subnet N.N.N.N ( 内部 イ ン タ フ ェ ース eth0、 ア ド レ ス N.N.N.N、 ネ ッ ト マ ス ク N.N.N.N、 BCastAddr N.N.N.N、 サブネ ッ ト N.N.N.N)」 ( 適 切な IP ア ド レ ス 値が入 る ) と い う メ ッ セージが ロ グに記述 さ れ ます。 ngutil ロ グ の場合は、 同様の 状況で 「The server is shutting down ( サーバーが停止 し てい ま す )」 と い う テ キ ス ト が記述 さ れ ます。 • ネ ッ ト ワー ク 間 ト ン ネルが応答 し ない または信頼性がない : ト ラ フ ィ ッ ク が、 ク ラ イ ア ン ト と アプ ラ イ ア ン ス間のホ ッ プで、 使用可能な帯域幅を占有 し た場合、 パケ ッ ト は、 エ ン ド ポ イ ン ト の TCP ス タ ッ ク ま たは中間ルー タ で待ち行列に入 り ま す。 待ち行列が一杯の と き 、 パケ ッ ト は破棄 さ れ ま す。 Aventail ネ ッ ト ワ ー ク ト ン ネル サービ ス では、 TCP SSL 接続を介 し て ト ラ フ ィ ッ ク を伝送 し ま す。 TCP では、 使用可能であ る こ と を検証で き る 状況に限 り ト ラ フ ィ ッ ク を送信す る こ と で、 信頼性の ないネ ッ ト ワ ー ク に対応 し てい ま す。 TCP 実装では、 ACK 応答がす ぐ に返 さ れない場合、 接続を破 棄で き る よ う にな っ てお り 、 Windows の TCP ス タ ッ ク で も こ れが当ては ま り ま す。 接続が破棄 さ れ る と 、 通常、 ト ン ネル ク ラ イ ア ン ト は、 接続を 20 秒間透過的に再開 し よ う と し ます。 輻輳のた めに接続が破棄 さ れた場合は、 一般的に再開 も 成功 し ないため、 ト ン ネルが終了す る こ と にな り ま す。 278 | 付録 A - ト ラ ブルシ ュ ーテ ィ ン グ • ク ラ ス タ の フ ェ イルオーバーが発生 し たため、 ク ラ イ ア ン ト の再開が失敗 し た : ク ラ ス タ の構成で は、 ア ク テ ィ ブな ノ ー ド が フ ェ イ ルオーバー し て ス タ ンバ イ にな る と 、 ク ラ イ ア ン ト ト ン ネル再開 メ カ ニ ズ ム に よ り 、 ク ラ イ ア ン ト 接続が維持 さ れ ま す。 ク ラ イ ア ン ト は 20 秒間だけ ト ン ネルを再開 し よ う と し ま すが、 それが過ぎ る と 試行をやめ ま す。 こ の時間内に フ ェ イ ルオーバーが完了 し ない場 合、 ト ン ネル接続が破棄 さ れ ます。 正常に終了 し た場合は、 ク ラ イ ア ン ト は再開を試みないため、 す べての ト ン ネル接続が破棄 さ れ ます。 ま た、 フ ェ イ ルオーバーの後、 ト ン ネル ク ラ イ ア ン ト が再開を試みてい る 間に、 新 し い ク ラ イ ア ン ト 接続が開始 さ れ る と 、 その接続には、 既存の ク ラ イ ア ン ト が再開 し よ う と す る ア ド レ ス が割 り 当て ら れ ま す。 ア ド レ ス 割 り 当ての さ ま ざ ま な特性に よ り 状況が異な っ て き ま すが、 こ の よ う な場合は、 その ク ラ イ ア ン ト の ト ン ネルの再開が破棄 さ れ ま す。 • ク ラ イ ア ン ト サービ スの障害 : ク ラ イ ア ン ト サービ ス ソ フ ト ウ ェ アに障害が発生す る と 、 ト ン ネル が破棄 さ れ、 エ ラ ー ダ イ ア ロ グ ボ ッ ク ス が表示 さ れ ま す。 ク ラ イ ア ン ト ロ グ を探 し 出 し て、 状況の 説明 と あわせてその ロ グ フ ァ イ ルを Aventail に送信 し 、 分析を依頼 し て、 サービ ス を再始動 し ま す。 • サーバー ソ フ ト ウ ェ アの障害 : アプ ラ イ ア ン ス ト ン ネル ソ フ ト ウ ェ アに障害が発生す る と 、 アプ ラ イ ア ン ス は自動的に リ ブー ト す る か、 無限にハン グ し ま す。 リ ブー ト の場合、 /var/log/dump に、 番号付 き の ク ラ ッ シ ュ ダ ン プが記録 さ れ ま す。 こ の情報を探 し 出 し て分析 し ま す。 リ ブー ト せずにアプ ラ イ ア ン ス がハン グ し た場合、 ト ン ネル サービ ス コ ー ド が無限ループ ま たは デ ッ ド ロ ッ ク に陥っ てい る か、 エ ラ ーを記録す る ク ラ ッ シ ュ ダ ン プ メ カ ニ ズ ム に障害が発生 し てい ます。 後者の場合、 ハン グ の前に ク ラ ッ シ ュ ダ ン プが成功 し てい る 可能性 も あ り ます。 アプ ラ イ ア ン ス を リ ブー ト し て、 /var/log/dump に新 し い ク ラ ッ シ ュ ダ ン プがないか調べ、 こ の情報を探 し 出 し て分析 し ま す。 前者の場合 ま たは ク ラ ッ シ ュ ダ ン プが生成 さ れていない場合は、 ク ラ ッ シ ュ 情報を探 し 出 し ます。 こ の と き 、 アプ ラ イ ア ン ス がダ ウ ン し た後予備手順を実行で き ていないため、 ク ラ ッ シ ュ を発生 さ せ た環境 も 再現す る 必要があ り ます。 • 一般的なサーバーの問題 : ト ン ネルの問題は通常、 最初に ク ラ イ ア ン ト 側で現象が現れ ま す。 多 く の問題 は、 AMC の管理者のみが識別で き ま す。 場合に よ っ ては SSH コ ン ソ ールやシ ス テ ム のシ リ アル コ ン ソ ールで識別で き る こ と も あ り ます。 一般的なネ ッ ト ワ ーキ ン グ の問題については、 273 ページの 「一般 的なネ ッ ト ワ ーキ ン グの問題」 を参照 し て く だ さ い。 • ネ ッ ト ワー ク ト ン ネル サービ スが動作 し ていない場合 : シ リ アル コ ン ソ ール ま たは SSH セ ッ シ ョ ン で 次の よ う に入力 し ます。 uscat /var/avt/vpn/status ネ ッ ト ワ ー ク ト ン ネル サービ ス が構成 さ れ動作 し てい る 場合、 ク ラ イ ア ン ト の仮想ア ド レ ス範囲情報が 表示 さ れ ま す。 それ以外の場合、 シ ェ ル プ ロ ン プ ト を除いて何 も 表示 さ れ ま せん。 ネ ッ ト ワ ー ク ト ン ネ ル サービ ス が動作 し ていない理由を調べ る と き 、 次の事項についてチ ェ ッ ク し ます。 • ラ イ セ ン スの不正または期限切れ : こ の場合、 AMC に ロ グ イ ンす る と 、 すべての AMC ページの上 部に ラ イ セ ン ス 警告が表示 さ れ ます。 ラ イ セ ン ス の問題を解決す る 場合、 Aventail に詳細を問い合 わせ る 必要があ り ま す。 • AMC ま たは コ ン ソ ール プ ロ ン プ ト か ら の停止 : AMC の [Services] ページの [Network Tunnel Service] セ ク シ ョ ン で、 Aventail ネ ッ ト ワ ー ク ト ン ネル サービ ス を無期限に停止で き る よ う にな っ てい ま す。 ま た、 サービ ス が停止 さ れてい る か ど う か を示す情報を参照す る こ と も で き ます。 • サービ スが構成 さ れていない、 または不正、 不完全に構成 さ れてい る : ネ ッ ト ワ ー ク ト ン ネル サー ビ ス が動作す る には、 仮想ア ド レ ス 、 お よ び ク ラ イ ア ン ト への割 り 当てに関連す る 情報を構成 し なけ ればな り ま せん。 ト ン ネル サービ ス の構成が不完全の場合、 そのサービ ス は動作 し ません。 • サーバー ソ フ ト ウ ェ アの障害 : ユーザー ス ペー ス のネ ッ ト ワ ー ク ト ン ネル サービ ス コ ン ポーネ ン ト に障害が起 き る と 、 一般的に、 障害の発生 し た コ ン ポーネ ン ト が再始動 し ま す。 ロ グ ま たは /var/log/core の コ ア フ ァ イ ルに重要な情報が記述 さ れてい ます。 カーネル コ ン ポーネ ン ト に重大 な障害が起 こ っ た場合は、 通常、 ク ラ ッ シ ュ ダ ン プに記録 さ れ ま す。 • ク ラ ス タ の問題 : ク ラ ス タ 化 し た アプ ラ イ ア ン ス が正常に動作す る には、 ク ラ ス タ イ ン タ フ ェ ース を介 し て互いに通信で き な ければな り ま せん。 高い信頼性で通信で き ない場合、 その双方の ノ ー ド で サービ ス の提供を選択 し てお り 、 それが障害の原因にな っ てい る 可能性があ り ます。 ま た、 双方の ノ ー ド が自身を ス タ ンバ イ 状態にあ る と 見な し てい る ため、 双方がサービ ス を提供 し ていない可能性 も あ り ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 279 Aventail OnDemand プロキシの問題 こ の節では、 OnDemand プ ロ キ シの一般的な問題 と 個別の問題に対処す る 方法について説明 し ま す。 一般的な OnDemand プロキシの問題 OnDemand が正常に動作 し ない場合、 次の診断を行い ます。 OnDemand のテス ト 適切な URL に接続 し アプ レ ッ ト を起動 し て、 サポー ト さ れてい る アプ リ ケーシ ョ ン を実行す る こ と で、 OnDemand を テ ス ト し ま す。 テ ス ト の と き は、 次の点を確認 し ま す。 • OnDemand が、 必要な Aventail ネ ッ ト ワ ー ク ア ク セ ス サービ ス と 通信で き る か。 • Aventail ネ ッ ト ワ ー ク プ ロ キ シ サービ ス の認証 と ア ク セ ス制御が動作 し てい る か。 • OnDemand が、 自動的に接続を正 し く リ ダ イ レ ク ト す る か。 • OnDemand が、 構成 さ れてい る それぞれのアプ リ ケーシ ョ ン ご と に接続を作成す る か。 • OnDemand が、 自動的に始動す る 構成にな っ てい る シ ン ク ラ イ ア ン ト アプ リ ケーシ ョ ン を起動 さ せ る か。 OnDemand ログ フ ァ イルの表示 Windows を使用 し てい る ユーザーの場合、 OnDemand が起動す る と き ロ グ フ ァ イ ルが作成 さ れ ま す。 こ の フ ァ イ ルには、 ト ラ ブルシ ュ ーテ ィ ン グで活用で き る メ ッ セージが記述 さ れ ま す。 こ の ロ グ フ ァ イ ル (od.log お よ び odapp.log) の ロ ケーシ ョ ンは、 ユーザーが実行 し てい る オペ レーテ ィ ン グ シ ス テ ム に よ っ て異な り ま す。 • Windows 2000 お よ び Windows XP : %SystemRoot%|Documents and Settings|<username>|Application Data|Logfiles| • Windows 98 SE お よ び Windows Me : %SystemRoot%|Windows|Application data|Aventail|Logfiles| JVM のバージ ョ ンの検出 OnDemand が正常に動作 し ない場合、 OnDemand でサポー ト さ れてい る JVM が動作 し てい る か確認 し ま す。 サポー ト さ れてい る JVM の リ ス ト については、 238 ページの 「OnDemand ク ラ イ ア ン ト 要件」 を参照 し て く だ さ い。 ま た、 ユーザーがブ ラ ウ ザで Java を有効に し てい る こ と も 確認 し ま す。 280 ページの 「ブ ラ ウ ザでの Java の有効化」 を参照 し て く だ さ い。 ク ラ イ ア ン ト コ ン ピ ュ ー タ で動作 し てい る JVM のバージ ョ ン を判定す る には、 次の手順を実行 し ます。 X JVM のバージ ョ ン を検出する には • Internet Explorer for Windows : ブ ラ ウ ザの Java コ ン ソ ールを開いて、JVM の情報を参照す る こ と が で き ます。 280 ページの 「Java コ ン ソ ールの表示」 を参照 し て く だ さ い。 • Browsers for Macintosh OS X: 「Applications」 フ ォ ルダの 「Utilities」 フ ォ ルダ を開 き 、 「Java」 フ ォ ルダ を開 き ま す。 Java Plugin Settings プ ロ グ ラ ム を実行 し 、 [About] タ ブ を開いて、 JVM バー ジ ョ ン に関す る 情報を参照 し ます。 メモ • 一部のバージ ョ ン の Windows には、 JVM が含 ま れていない こ と も あ り ま す。 その場合、 「jview.exe must exist in |path or you need to set JAVA_HOME」 (jview.exe が \path に存在す る か JAVA_HOME を設定す る 必要があ り ま す ) と い う エ ラ ー メ ッ セージが表示 さ れ ます。 こ の メ ッ セージが 表示 さ れたに も かかわ ら ず Windows コ ン ピ ュ ー タ に JVM があ る こ と がわか っ てい る 場合は、 [Environment Variables] ダ イ ア ロ グ ボ ッ ク ス で 「JAVA_HOME」 に JVM デ ィ レ ク ト リ のパ ス を設 定 し ます。 詳細については、 Windows ヘルプ を参照 し て く だ さ い。 ま た、 JVM を Windows コ ン ピ ュ ー タ に イ ン ス ト ール し た り 、 異な る コ ン ピ ュ ー タ を使用 し た り す る こ と も で き ま す。 280 | 付録 A - ト ラ ブルシ ュ ーテ ィ ン グ ブ ラウザでの Java の有効化 OnDemand アプ レ ッ ト が動作す る ためには、 ユーザーのブ ラ ウ ザで Java を有効に し なければな り ま せん。 Internet Explorer の場合、 Java はデフ ォ ル ト で有効にな っ てい ま す。 OnDemand が動作 し ない状況でデ フ ォ ル ト 設定を変え てい る 可能性があ る 場合は、 ブ ラ ウ ザのマ ニ ュ アルに記載 さ れてい る 方法で設定を変更 し て く だ さ い。 Java コ ン ソールの表示 OnDemand アプ レ ッ ト が起動 し ない場合、 ユーザー側で、 Java コ ン ソ ールを開 き 、 OnDemand に関す る 技 術 メ ッ セージ を表示す る 必要があ り ます。 X Java コ ン ソ ールを開 く には • Internet Explorer for Windows: [Tools] メ ニ ュ ーか ら [Internet Options] を選択 し て、 [Advanced] タ ブ を ク リ ッ ク し ます。 [Microsoft VM] の下にあ る [Java Console enabled] チ ェ ッ ク ボ ッ ク ス と [Java logging enabled] チ ェ ッ ク ボ ッ ク ス を選択 し て、 [OK] を ク リ ッ ク し ま す。 ブ ラ ウ ザ をい っ たん閉 じ て再び開 き 、 [View] メ ニ ュ ーの [Java Console] を ク リ ッ ク し ま す。 • Internet Explorer for Macintosh OS X : 「Applications」 フ ォ ルダの 「Utilities」 フ ォ ルダ を開 き 、 「Console」 プ ロ グ ラ ム を実行 し ます。 • Internet Explorer for Macintosh OS 9.2: [View] メ ニ ュ ーの [Java Messages] を ク リ ッ ク し ま す。 こ の機能が動作 し ない場合、 Java ロ ギ ン グ がオ ン にな っ てい る こ と を確認す る ため、 [Edit] メ ニ ュ ーの [Preferences] を ク リ ッ ク し ます。 [Web Browser] の下にあ る [Java] を ク リ ッ ク し て、 Java メ ッ セージ ロ ギ ン グ に対す る チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 • Netscape Navigator 7.x : ブ ラ ウ ザの [Tools] メ ニ ュ ーか ら [Web Development] を選択 し て、 [Java Console] を ク リ ッ ク し ます。 • Windows で Sun Java プ ラ グ イ ン を使用す る 場合、 ユーザーは タ ス ク バー通知エ リ アの 「Sun Java」 ア イ コ ン を ダブル ク リ ッ ク す る こ と で、 Java コ ン ソ ールにア ク セ スす る こ と がで き ま す。 個別の OnDemand の問題 次に、 OnDemand を使用す る と き の個別の状況に応 じ た ト ラ ブルシ ュ ーテ ィ ン グの ヒ ン ト を示 し ま す。 OnDemand が始動 し ない 最初に、 OnDemand を実行 し よ う と し てい る コ ン ピ ュ ー タ 上の Web ブ ラ ウ ザで Java ま たは JavaScript が 有効にな っ てい る か確認 し ます。 Java を有効にす る 方法については、 280 ページの 「ブ ラ ウ ザでの Java の有 効化」 を参照 し て く だ さ い。 ブ ラ ウ ザで Java が有効にな っ てい る 場合、 ブ ラ ウ ザが、 OnDemand でサポー ト さ れてい る バージ ョ ン の Java Virtual Machine (JVM) を使用 し てい る か確認 し ます。 サポー ト さ れてい る JVM の リ ス ト については、 238 ページの 「OnDemand ク ラ イ ア ン ト 要件」 を参照 し て く だ さ い。 こ の両方のオプシ ョ ン が有効で あ る に も かかわ ら ず OnDemand が始動 し ない場合、 ユーザーの コ ン ピ ュ ー タ 上で Java コ ン ソ ールを開いて、 Java メ ッ セージ を参照 し てみ ま す。 こ の メ ッ セージは、 テ ク ニ カル サポー ト を受け る 上で役に立ち ま す。 280 ページの 「Java コ ン ソ ールの表示」 を参照 し て く だ さ い。 OnDemand でア プ リ ケーシ ョ ンが正常に動作 し ない ユーザー側で、 [OnDemand Details] ページ をチ ェ ッ ク し 、 アプ リ ケーシ ョ ン名がア ク テ ィ ブにな っ てい る か非ア ク テ ィ ブにな っ てい る か確認 し ま す。 問題の原因 と し て考え ら れ る のは、 同 じ ロ ーカル IP ア ド レ ス お よ びポー ト を複数のアプ リ ケーシ ョ ン が使用す る 構成にな っ てい る こ と です。 問題の詳細について知 り たい場 合は、 ユーザーに、 [OnDemand Details] ページの ロ グ メ ッ セージ を コ ピー し た上で メ ールす る よ う 頼んで く だ さ い。 サーバー証明書の [Accept] ボ タ ンが使用で き ない 一部の環境では、 OnDemand がユーザーに提示 し たサーバー証明書を、 ユーザーが受け入れ ら れない と い う こ と も あ り ま す。 証明書ページの [Accept] ボ タ ン が使用で き ない場合、 OnDemand はサーバー証明書の問 題を検出 し ま す。 こ の よ う な問題の一般的な原因 と し て次の よ う な も のが考え ら れ ます。 • コ ン ピ ュ ー タ と サーバー間の日付 / 時刻の不適合。 ク ラ イ ア ン ト コ ン ピ ュ ー タ と Aventail ネ ッ ト ワ ー ク プ ロ キ シ サービ ス の日付 / 時刻の設定が正 し いか確認 し ます。 • 証明書の有効期限が切れてい る か、 ま だ有効にな っ ていない場合。 • 証明書情報がサーバー情報 と 一致 し ない場合。 • 証明書チ ェ ーン が不正の場合。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 281 AMC の ト ラ ブルシ ューテ ィ ング ツール AMC には、 基本的なネ ッ ト ワ ー ク ト ラ ブルシ ュ ーテ ィ ン グ ツールが付属 し てい ます。 た と えば、 ping、 traceroute、 DNS ル ッ ク ア ッ プな ど の他、 現在のルーテ ィ ン グ テーブルを表示す る 機能 も 搭載 さ れてい ま す。 ト ラ ブルシ ュ ーテ ィ ン グ ツールを実行す る と き 、 コ マ ン ド を実行す る のに数分かか る こ と があ り ます。 その ま ま し ば ら く 待ち、 コ マ ン ド が終了す る ま で、 AMC の他のページ をブ ラ ウ ズ し た り す る こ と のない よ う 注意 し て く だ さ い。 ping コマン ド ネ ッ ト ワ ー ク 接続を確認す る と き は、 ping コ マ ン ド を使用 し ま す。 ping コ マ ン ド は、 ICMP ECHO_REQUEST パケ ッ ト を タ ーゲ ッ ト ホ ス ト に送信 し 、 ホ ス ト の返信があ る ま で待機 し て確認 し ます。 X ping コ マ ン ド を発行する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Troubleshooting] を ク リ ッ ク し ます。 2. [Ping] タ ブ を ク リ ッ ク し ます。 3. [Address] ボ ッ ク ス に、 ping し たいマ シ ン の IP ア ド レ ス ま たはホ ス ト 名を入力 し ます。 4. [Go] を ク リ ッ ク し ま す。 AMC が ping コ マ ン ド を発行 し ます。 5 秒ほ ど経っ た ら 、 結果がページ下部の 大 き なボ ッ ク ス に表示 さ れ ます。 接続が成功 し た場合は、 次の よ う な結果が返 さ れ ます。 ping コ マ ン ド がホ ス ト に到達で き なか っ た場合は、 次の よ う な結果が返 さ れ ます。 282 | 付録 A - ト ラ ブルシ ュ ーテ ィ ン グ traceroute コマン ド IP パケ ッ ト が接続先に到達す る ま でに通過す る 一連のゲー ト ウ ェ イ を確認す る と き は、 traceroute コ マ ン ド を使用 し ま す。 こ れは、 ネ ッ ト ワ ー ク 障害が ど こ にあ る か探す場合に使用す る と 便利です。 X traceroute を発行する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Troubleshooting] を ク リ ッ ク し ます。 2. [Ping] タ ブ を ク リ ッ ク し ます。 3. [Address] ボ ッ ク ス に、 traceroute コ マ ン ド を発行す る マ シ ンの IP ア ド レ ス ま たはホ ス ト 名を入力 し ます。 4. [Use traceroute] チ ェ ッ ク ボ ッ ク ス を選択 し ま す。 5. [Go] を ク リ ッ ク し ます。 AMC が traceroute コ マ ン ド を発行 し ま す。 5 秒ほ ど経っ た ら 、 結果がページ 下部の大 き なボ ッ ク ス に表示 さ れ ま す。 traceroute は、 ホ ス ト の リ ス ト を返 し ま す。 こ の リ ス ト では、 最初のゲー ト ウ ェ イ が最初に来て、 接続先が最後に リ ス ト さ れ ます。 DNS ルッ クア ッ プ AMC のル ッ ク ア ッ プ ツールを使用 し て、 DNS が IP ア ド レ スやホ ス ト 名を解決す る 方法を調べ る こ と がで き ます。 こ の ツールは、 さ ま ざ ま な DNS の問題に対処す る と き に使用す る と 便利で、 DNS サーバーが動作 し て い る か判定す る 場合に も 使用す る こ と がで き ます。 ル ッ ク ア ッ プ ツールでは、 正規の ド メ イ ン名 ま たは IP ア ド レ ス を使用す る こ と が前提にな っ てい ま す。 ただ し 、 ([Network Settings] の ) [Name Resolution] タ ブでデフ ォ ル ト 検索 ド メ イ ン を 1 つ ま たは複数定 義 し ていれば、 正規でないホ ス ト 名を入力す る こ と も で き ま す。 名前解決の設定については、 51 ページの 「名前解決の設定」 を参照 し て く だ さ い。 X DNS が IP ア ド レ スやホス ト 名を解決する方法を調べる には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Troubleshooting] を ク リ ッ ク し ます。 2. [Lookup] タ ブ を ク リ ッ ク し ま す。 3. [Address] ボ ッ ク ス に、 こ の コ マ ン ド を発行す る マシ ン の IP ア ド レ ス ま たはホ ス ト 名を入力 し ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 283 4. [Go] を ク リ ッ ク し ます。 結果はページ下部の大 き なボ ッ ク ス に表示 さ れ ます。 現在のルーテ ィ ング テーブルの表示 AMC か ら 、 動的ルー ト と 静的ルー ト の両方について、 現在のルーテ ィ ン グ テーブルを表示す る こ と がで き ま す。 X 現在のルーテ ィ ン グ テーブルを表示する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Troubleshooting] を ク リ ッ ク し ます。 2. [Routes] タ ブ を ク リ ッ ク し ま す。 3. [Go] を ク リ ッ ク し ま す。 動的ルー ト と 静的ルー ト の両方を含む結果が、 次の図の よ う にページ下部の大 き なボ ッ ク ス に表示 さ れ ま す。 ネッ ト ワーク ト ンネル ク ラ イアン ト のロギング ツール ngutil ツールを使用す る と 、 いずれかのネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト が動作す る ユーザー セ ッ シ ョ ン について ロ グ を と る こ と がで き ま す。 X ク ラ イ ア ン ト コ ン ピ ュ ー タ で ngutil を実行する には 1. ユーザー側で、 [ ス タ ー ト ] > [ フ ァ イル名を指定 し て実行 ] を選択 し 「command」 と 入力 し て、 コ マ ン ド プ ロ ン プ ト を開 き ま す。 2. ユーザーが DOS コ マ ン ド プ ロ ンプ ト か ら 「ngutil -reset」 と 入力 し ます。 こ の操作に よ り 、 イ ベン ト ロ グが消去 さ れ ます。 3. ユーザーが、 ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト を起動 し 、 ロ グ に取 り 込みたいア ク シ ョ ン を実行 し ま す。 4. ユーザーが コ マ ン ド プ ロ ン プ ト か ら 「ngutil > log.txt」 と 入力 し ます。 こ の操作に よ り 、 バ ッ フ ァ さ れた ロ グ メ ッ セージが、 カ レ ン ト デ ィ レ ク ト リ 上の log.txt フ ァ イ ルにパ イ プ さ れ ます。 5. ユーザーに log.txt フ ァ イ ルを送信 し て も ら い ま す。 ま た、 ユーザーが 「ngutil -poll」 を実行 し て も 、 ク ラ イ ア ン ト コ ン ピ ュ ー タ 上の リ アル タ イ ム な ロ ギ ン グ を参照す る こ と がで き ます。 284 | 付録 A - ト ラ ブルシ ュ ーテ ィ ン グ メモ • ユーザーは 「ngutil -tail=1000>client-log.txt」 コ マ ン ド を実行す る こ と も で き ます。 こ の コ マ ン ド を実行す る と 、 ク ラ イ ア ン ト ロ グ の最新の 1000 行が client-log.txt に送 ら れ ま す。 「1000」 を別の 数字で置 き 換え る と 、 その行数分が ロ グ か ら 取得 さ れ る よ う にな り ます。 • ngutil コ マ ン ド の構文について知 り たい場合は、 コ マ ン ド プ ロ ン プ ト で 「ngutil -help」 と 入力 し ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 285 付録 B ア プ ラ イ ア ン ス保護のためのベス ト プ ラ ク テ ィ ス こ の節では、 Aventail アプ ラ イ ア ン ス のセ キ ュ リ テ ィ を向上 さ せ る ための ヒ ン ト を紹介 し ま す。 ネ ッ ト ワーク構成 • ア プ ラ イ ア ン ス で、 デ ュ アル イ ン タ フ ェ ース を使用する構成に し ます。 Aventail アプ ラ イ ア ン ス では、 外部 イ ン タ フ ェ ー ス と 内部 イ ン タ フ ェ ー ス の両方があ る 場合、 最適な フ ァ イ ア ウ ォ ール設定が可能にな り ま す。 それぞれのサービ ス は、 両方の イ ン タ フ ェ ー ス に分割 さ れ る た め、 Aventail ASAP Management Console (AMC) な ど の管理サービ ス はサービ ス を内部でのみ リ ッ ス ン し 、 Aventail ア ク セ ス サービ ス な ど のパブ リ ッ ク サービ ス は、 外部でのみ リ ッ ス ン し ます。 • 両方のア プ ラ イ ア ン ス イ ン タ フ ェ ース を フ ァ イ アウ ォ ールで保護 し ます。 イ ン タ ーネ ッ ト か ら の ト ラ フ ィ ッ ク は、 ポー ト 80 と ポー ト 443 でのみ許可 し ま す。 アプ ラ イ ア ン ス は、 顧客ネ ッ ト ワ ー ク 上の必要な リ ソ ー ス にのみア ク セ ス で き る よ う に し ます。 顧客ネ ッ ト ワ ー ク か ら は、 信 頼で き る IP ア ド レ ス のみが AMC にア ク セ ス で き る よ う に し ま す。 • SSH サービ ス では、 厳格な IP ア ド レ ス制約を実施 し ます。 両方のネ ッ ト ワ ー ク イ ン タ フ ェ ース が有効な場合、 Secure Shell (SSH) は両方の イ ン タ フ ェ ース で リ ッ ス ン し ます。 SSH サービ ス のア ク セ ス は、 信頼で き る 管理 ワ ー ク ス テーシ ョ ン の IP ア ド レ ス に制限す る か、 少な く と も 内部ネ ッ ト ワ ー ク のア ド レ ス範囲に制限 し ま す。 • SNMP サービ スでは、 厳格な IP ア ド レ ス制約を実施 し ます。 両方のネ ッ ト ワ ー ク イ ン タ フ ェ ース が有効な場合、 Simple Network Management Protocol (SNMP) は両方の イ ン タ フ ェ ー ス で リ ッ ス ン し ま す。 SNMP サービ ス のア ク セ ス は、 信頼で き る 管理 ワ ー ク ス テー シ ョ ン の IP ア ド レ ス に制限す る か、 少な く と も 内部ネ ッ ト ワ ー ク のア ド レ ス 範囲に制限 し ま す。 • SNMP コ ミ ュ ニ テ ィ 文字列には、 安全なパス フ レ ーズを使用 し ます。 AMC の SNMP 構成では、 ネ ッ ト ワ ー ク 管理ツールが Aventail アプ ラ イ ア ン ス に照会す る ために使用す る 文字列を、 [Community string] ボ ッ ク ス で設定 し ま す。 こ の値は、 デフ ォ ル ト で 「public」 に設 定 さ れてい ま す。 こ の コ ミ ュ ニテ ィ 文字列は、 必ず安全なパ ス フ レーズに変更す る よ う に し て く だ さ い。 • ICMP ト ラ フ ィ ッ ク は無効にするか禁止 し ます。 両方のネ ッ ト ワ ー ク イ ン タ フ ェ ース が有効な場合、 Internet Control Message Protocol (ICMP) を有 効にす る と 、 イ ン タ ーネ ッ ト か ら アプ ラ イ ア ン ス を検出で き る よ う にな り ま す。 最 も 安全な アプ ロ ーチ は、 ICMP を無効にす る こ と です。 ICMP を あ え て有効にす る 場合は、 フ ァ イ ア ウ ォ ールやその他のネ ッ ト ワ ー ク デバ イ ス を使用 し て ICMP Echo Request ト ラ フ ィ ッ ク を禁止す る 必要があ り ま す。 • NTP サーバーを使用 し ます。 ク ロ ッ ク を外部 Network Time Protocol (NTP) サーバーに合わせ、 シ ス テ ム ロ グに正確な タ イ ム ス タ ン プが記録 さ れ る よ う に し ま す。 • ア プ ラ イ ア ン スが使用する こ と にな っ てい るサーバー証明書を保護 し ます。 アプ ラ イ ア ン ス のサーバー証明書を、 他のユーザーがア ク セ ス で き る 場所に残 さ ない よ う に し 、 必ず強力 なパ ス ワ ー ド を使用 し て鍵が暗号化 さ れ る よ う に し ま す。 攻撃者が こ の証明書を入手 し た場合、 ど のホ ス ト に侵入で き る か知 る と こ ろ と な り 、 プ ラ イ ベー ト なデー タ も 解読で き る よ う にな り ます。 286 | 付録 B - ア プ ラ イ ア ン ス保護のためのベス ト プ ラ ク テ ィ ス アプ ラ イアンスの構成 • ア プ ラ イ ア ン スの ソ フ ト ウ ェ ア イ メ ージ を最新の状態に し てお き ます。 パ ッ チやア ッ プグ レー ド フ ァ イ ルには、 セ キ ュ リ テ ィ 関連のバグ フ ィ ッ ク ス が含 ま れてい る こ と が多い ため、 [Update] ページ を使用 し て速やかに適用す る よ う に し ます。 • 定期的に構成をバ ッ ク ア ッ プ し ます。 [Import/Export] ページの [Export] オプシ ョ ン、 ま たは コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ を使用 し て、 現在の構成を定期的にバ ッ ク ア ッ プ し ます。 管理者アカウン ト • 強力なパスワー ド を使用 し ます。 パス ワ ー ド は、 8 文字以上に し 、 句読文字、 大文字 と 小文字、 数字な ど を組み合わせ る よ う に し ます。 • AMC 管理者パスワー ド を変更 し ます。 AMC 管理者パ ス ワ ー ド は、 初期 イ ン ス ト ールの際、 root のパ ス ワ ー ド と 同 じ 値に設定 さ れ ます。 AMC 管理者パ ス ワ ー ド は、 Web ブ ラ ウ ザ と AMC サーバー と の間の SSL ト ン ネルで送信 さ れ る ため、 変更す る よ う に し ます。 • 管理者パスワー ド を頻繁に変更 し ます。 • 管理者パスワー ド を他人 と 共有 し ない よ う に し ます。 特に必要でない限 り 、 管理者パ ス ワ ー ド を他人 と 共有 し ない よ う に し ます。 他の管理者にア ク セ ス を許可 す る 必要があ る 場合は、 個別の管理ア カ ウ ン ト を作成 し ま す。 1 人のユーザーが管理者ア カ ウ ン ト を持つ べ き で、 パ ス ワ ー ド はエ ス ク ロ ー と し て預け る か、 安全な場所に保管 し てお き ま す。 • 作成する管理ア カ ウ ン ト の数を制限 し 、 管理権限は、 信頼で き る個人にのみ割 り 当て る よ う に し ます。 • セ カ ン ダ リ 管理者のア ク セ ス を制限 し ます。 AMC の役割ベー ス の管理に よ り 、 プ ラ イ マ リ 管理者は、 セ カ ン ダ リ AMC 管理者に対 し て、 一定の制約 付 き で管理制御権限を与え る こ と がで き ます。 39 ページの 「管理者の役割の定義」 を参照 し て く だ さ い。 ア ク セス ポ リ シー • 「最小限の権限」 の原則を守 り ます。 ポ リ シー設計におけ る 最 も 安全な アプ ロ ーチは、 ア ク セ ス を許可 し たい リ ソ ース を個別に リ ス ト す る と い う も のです。 こ のアプ ラ イ ア ン ス では、 「許可」 ルールで指定 さ れていない も のはすべて拒否 さ れ ま す。 こ のアプ ロ ーチは、 「ア ク セ ス 権は、 ユーザーにデフ ォ ル ト で与え る のではな く 、 明示的に与え なければ な ら ない」 と い う 、 コ ン ピ ュ ー タ セ キ ュ リ テ ィ の基本設計原理に基づ く も のです。 も う 1 つのアプ ロ ーチは、 制限 さ れてい る リ ソ ー ス に対 し て、 「拒否ルール」 を作成 し 、 他の全員にデ フ ォ ル ト で ア ク セ ス を許可す る と い う も のです。 こ の場合、 最終的に 「拒否」 ルールが処理 さ れ る ま で、 「拒否」 ルールで指定 さ れていない も のはすべて ア ク セ ス 可能にな り ます。 こ の方法の場合セ ッ ト ア ッ プ は簡単ですが、 間違いが生 じ やすいためあ ま り 安全 と は言え ま せん。 も ち ろ ん、 許可ルール と 拒否ルールを組み合わせて使用す る こ と も で き ます。 その場合、 ユーザーに対 し て、 一部の リ ソ ー ス に対す る ア ク セ ス許可を与え ま すが、 他の リ ソ ー ス についてはア ク セ ス を拒否 し ま す。 • ルールの順序には特に注意を払い ます。 アプ ラ イ ア ン ス は、 ア ク セ ス 制御ルールを順番に処理す る ため、 ア ク セ ス を許可す る か拒否す る か と い う 点でルールの順序が非常に重要にな り ま す。 アプ ラ イ ア ン ス は、 一致す る も のが見つかればその時点で ルールの読み込みをやめ ます。 セ キ ュ リ テ ィ ポ リ シーの設定を慎重に検討 し 、 ルールを誤っ た順序で指 定 し ない よ う 気を付け て く だ さ い。 • 最 も 範囲が狭いルールを リ ス ト の最初に配置 し ます。 最 も 範囲が狭いルールを リ ス ト の最初に配置す る と 、 アプ ラ イ ア ン ス は、 範囲の広いルールを処理す る 前 に一致を見つけ ます。 そのため、 最 も 範囲が狭いルールを リ ス ト の最初に配置す る のがベ ス ト です。 • 「Any」 を含むルールは慎重に監査 し ます。 ア ク セ ス を特定のユーザーや特定の リ ソ ー ス に制限 し ないルールを作成す る 場合、 「Any」 と い う 言葉が ア ク セ ス制御 リ ス ト に登場 し ま す。 「Any」 がポ リ シー ルールで持つ意味について慎重に検討 し ま す。 「許可」 ルールの場合、 「Any」 基準が 多すぎ る と 、 セ キ ュ リ テ ィ ホールを さ ら す こ と に も な り かねません。 一方、 「拒否」 ルールで 「Any」 基 準が多すぎ る 場合は、 ネ ッ ト ワ ー ク ア ク セ ス を不必要に制限 し て し ま う 可能性があ り ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 287 SSL サイ フ ァ • 低強度の共通鍵暗号は無効に し ます。 • AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し て、 [SSL Encryption] タ ブ を ク リ ッ ク し ま す。 • 40 ビ ッ ト お よ び 56 ビ ッ ト サ イ フ ァ の横にあ る チ ェ ッ ク ボ ッ ク ス のチ ェ ッ ク をすべて外 し ま す。 ク ラ イアン ト ア クセス • タ イ ムアウ ト 設定を変更 し ます。 [Configure General Appliance Settings] ページで [Maximum session length] を設定 し 、 ユーザーに定期的に再認証を求め る よ う な設定に し ます。 こ の設定は、 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス と Web プ ロ キ シ サービ ス の両方に適用 さ れ ますが、 ネ ッ ト ワ ー ク ト ン ネル サービ ス に よ っ て無視 さ れ ます。 [Configure Network Access Service] > [Networky Proxy Options] ページで、 [SSL timeout]、 [Default connection timeout]、 [Authentication timeout] に対す る [Timeout value] の設定を構成 し 、 ユーザーに定期的に再認証を求め る よ う な設定に し ます。 • End Point Control コ ンポーネ ン ト を イ ン ス ト ール し ます。 Aventail の End Point Control コ ン ポーネ ン ト を イ ン ス ト ールす る と 重要なデー タ が保護 さ れ る ため、 ネ ッ ト ワ ー ク が、 信頼 さ れていない環境の PC か ら ア ク セ ス を受け て も 危険に さ ら さ れ る こ と がな く な り ます。 ま た、 Aventail Cache Control と Aventail Secure Desktop の両方に非ア ク テ ィ ブ タ イ マーが 搭載 さ れてお り 、 一定時間非ア ク テ ィ ブな状態が続 く と 、 そのユーザー接続を停止で き る よ う にな っ てい ます。 • SecurID のよ う な、 強力な二因子認証 メ カ ニズムを使用 し ます。 • Aventail Connect プ ロキシ ク ラ イ ア ン ト を、 次の SSL 設定で構成 し ます。 • 証明書チ ェ ーン の最大長を 「2」 に設定 し ます。 • 信頼で き る ルー ト フ ァ イ ルを使用 し ま す。 アプ ラ イ ア ン ス の SSL 証明書の署名証明書は、 ルー ト フ ァ イ ルにのみ入れ ます。 • Aventail Connect の [SSL Options] ダ イ ア ロ グ ボ ッ ク ス で、 [If a Server Certificate is Suspect] の下にあ る 、 [Show me the certificate, but reject the connection] を ク リ ッ ク し ま す。 288 | 付録 B - ア プ ラ イ ア ン ス保護のためのベス ト プ ラ ク テ ィ ス Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 289 付録 C 国際化サポー ト こ の節では、 こ のアプ ラ イ ア ン ス でサポー ト さ れてい る 国際化機能について説明 し ま す。 ネイテ ィ ブ文字セ ッ ト のサポー ト こ のアプ ラ イ ア ン ス では、 拡張文字セ ッ ト 、 つ ま り 2 バ イ ト 文字セ ッ ト をサポー ト し てい ま す。 そのため、 ユーザー名、 パ ス ワ ー ド 、 リ ソ ー ス 名、 WorkPlace シ ョ ー ト カ ッ ト 、 ア ク セ ス制御ルールについては、 AMC で、 拡張文字 ま たは 2 バ イ ト 文字を含むネ イ テ ィ ブ文字セ ッ ト で入力、 表示す る こ と がで き ます。 ま た、 こ の アプ ラ イ ア ン ス では、 ユーザー名フ ィ ール ド やパ ス ワ ー ド フ ィ ール ド な ど のユーザー認証プ ロ ン プ ト について も 、 拡張文字 ま たは 2 バ イ ト 文字を サポー ト し てい ます。 RADIUS ポ リ シー サーバーの文字セ ッ ト こ のアプ ラ イ ア ン ス では、 非英語文字セ ッ ト を使用す る RADIUS ポ リ シー サーバーに よ る 文字エ ン コ ーデ ィ ン グ をサポー ト し てい ま す。 RADIUS 仕様の最新バージ ョ ン (RFC2865) では、 すべてのテ キ ス ト フ ィ ール ド で UTF-8 エ ン コ ー ド 文字に対応す る こ と が求め ら れてい ます。 ただ し 古いバージ ョ ン の RADIUS プ ロ ト コ ル では、 テ キ ス ト フ ィ ール ド を 7 ビ ッ ト US-ASCII で定義 し てい ます。 AMC では、 古いバージ ョ ンのプ ロ ト コ ルを使用す る RADIUS サーバー も サポー ト す る ため、 最 も 一般的に使用す る 文字セ ッ ト の リ ス ト を選択で き る よ う にな っ てい ま す。 ま た、 他の文字セ ッ ト で入力す る こ と も 可能です。 X RADIUS サーバーの言語設定を変更する には 1. メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Authentication Realms] を ク リ ッ ク し ます。 こ の操作に よ り 、 [Authentication] ページが表示 さ れ ます。 2. 構成済みの [Authentication servers] の リ ス ト か ら RADIUS サーバーを選択 し ま す。( 初めて AMC で RADIUS サーバーを構成す る 場合は、 80 ページの 「RADIUS 認証の構成」 を参照 ) 3. [Configure Authentication Server] ページで、 [Advanced] ボ タ ン を ク リ ッ ク し ま す。 4. [Locale encoding] エ リ アで次の よ う に設定 し ま す。 5. • [Selected] リ ス ト ボ ッ ク ス か ら 文字セ ッ ト を選択 し ます。 選択可能な文字セ ッ ト の リ ス ト につい ては、 290 ページの 「選択可能な RADIUS 文字セ ッ ト 」 を参照 し て く だ さ い。 • [Other] を ク リ ッ ク し 、 テ キ ス ト ボ ッ ク ス に文字セ ッ ト の名前を入力 し ます。 入力で き る 文字セ ッ ト の リ ス ト については、 291 ページの 「サポー ト さ れてい る その他の RADIUS 文字セ ッ ト 」 を参照 し て く だ さ い。 [Save] を ク リ ッ ク し ます。 290 | 付録 C - 国際化サポー ト 選択可能な RADIUS 文字セ ッ ト [Configure Authentication Server] ページの [Selected] リ ス ト では、次の文字セ ッ ト を選択す る こ と がで き ます。 文字セ ッ ト コ ー ド ページ Japanese (Shift-JIS) ( 日本語 ) 932 Chinese Simplified (GBK) ( 簡体中国語 ) 936 Korean (EUC-KR) ( 韓国語 ) 949 Chinese Traditional (Big5) ( 繁体中国語 ) 950 Central European ( 中央 ヨ ーロ ッ パ語 ) 1250 Cyrillic ( キ リ ル文字 ) 1251 Western ( 西欧語 ) 1252 Greek ( ギ リ シ ャ 語 ) 1253 Turkish ( ト ル コ語 ) 1254 Hebrew ( ヘ ブ ラ イ語 ) 1255 Arabic ( ア ラ ビ ア語 ) 1256 Baltic ( バル ト 語 ) 1257 Vietnamese ( ベ ト ナム語 ) 1258 Unicode (UTF-8) (Unicode) 65001 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 291 サポー ト されているその他の RADIUS 文字セ ッ ト [Configure Authentication Server] ページの [Other] テ キ ス ト ボ ッ ク ス では、 次の文字セ ッ ト を入力 す る こ と がで き ます。 言語 タ イ プ サポー ト さ れている文字セ ッ ト ヨ ーロ ッ パ語 ASCII ISO-8859-1 ISO-8859-2 ISO-8859-3 ISO-8859-4 ISO-8859-5 ISO-8859-7 ISO-8859-9 ISO-8859-10 ISO-8859-13 ISO-8859-14 ISO-8859-15 ISO-8859-16 KOI8-R KOI8-U KOI8-RU CP1250 CP1251 CP1252 CP1253 CP1254 CP1257 CP850 CP866 MacRoman MacCentralEurope MacIceland MacCroatian MacRomania MacCyrillic MacUkraine MacGreek MacTurkish Macintosh セム語 ISO-8859-6 ISO-8859-8 CP1255 CP1256 CP862 MacHebrew MacArabic 292 | 付録 C - 国際化サポー ト 言語 タ イ プ サポー ト さ れている文字セ ッ ト 日本語 EUC-JP SHIFT_JIS CP932 ISO-2022-JP ISO-2022-JP-2 ISO-2022-JP-1 中国語 EUC-CN HZ GBK GB18030 EUC-TW BIG5 CP950 BIG5-HKSCS ISO-2022-CN ISO-2022-CN-EXT 韓国語 EUC-KR CP949 ISO-2022-KR JOHAB アル メ ニ ア語 ARMSCII-8 グルジ ア語 Georgian-Academy Georgian-PS タ ジ ク語 KOI8-T タ イ語 TIS-620 CP874 MacThai ラ オ語 MuleLao-1 CP1133 ヴ ェ ト ナム語 VISCII TCVN CP1258 Unicode UTF-8 UCS-2 UCS-2BE UCS-2LE UCS-4 UCS-4BE UCS-4LE UTF-16 UTF-16BE UTF-16LE UTF-32 UTF-32BE UTF-32LE UTF-7 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 293 付録 D FIPS ハー ド ウ ェ ア セキ ュ リ テ ィ モ ジ ュ ール こ の付録では、Aventail EX-2500 SSL VPN に イ ン ス ト ール さ れてい る nCipher ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ール (HSM) を使用 し て、 アプ ラ イ ア ン ス で使用 さ れ る プ ラ イ ベー ト 暗号鍵を保護す る 方法、 HSM にア ク セ ス す る ための ス マー ト カー ド を管理す る 方法、 その他の運用機能 と ト ラ ブルシ ュ ーテ ィ ン グ機能を実行す る 方法な ど について説明 し ま す。 こ の付録では、 nCipher HSM の概要について、 アプ ラ イ ア ン ス と の関連で説明 し ま す。 HSM の詳細について は、 294 ページの 「FIPS 対応アプ ラ イ ア ン ス に対す る その他のマニ ュ アル」 にあ る nCipher の記述を参照 し て く だ さ い。 はじめに FIPS は、 暗号化 ソ フ ト ウ ェ ア を実装す る ための基準を設定 し た米国の規格です。 FIPS では、 暗号アルゴ リ ズ ム の実装、 鍵素材 と デー タ バ ッ フ ァ の処理、 オペ レーテ ィ ン グ シ ス テ ム と の協調な ど に関す る ベ ス ト プ ラ ク テ ィ ス を指定 し てい ます。 FIPS に対応 し た Aventail アプ ラ イ ア ン ス は、 nCipher ハー ド ウ ェ ア を追加 イ ン ス ト ール し た も のです。 nCipher ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールは、 FIPS 140-2 レベル 2 に準拠 し てい ます。 FIPS 対応アプ ラ イ ア ン ス では、 Aventail ネ ッ ト ワ ー ク ト ン ネル サービ ス 、 Aventail Web プ ロ キ シ サービ ス、 Aventail OnDemand プ ロ キ シ エージ ェ ン ト を介 し て VPN にア ク セ ス で き る よ う にな っ てい ま す。 ただ し 、 FIPS 対応アプ ラ イ ア ン ス では、 Connect ネ ッ ト ワ ー ク プ ロ キ シ サービ ス はサポー ト し てい ま せん。 ハー ド ウェ ア セキュ リ テ ィ モジュールおよびセキュ リ テ ィ ワールド の概要 nCipher ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールでは、 「セ キ ュ リ テ ィ ワ ール ド 」 パ ラ ダ イ ム を使用 し て、 鍵管 理操作のためのセ キ ュ ア な環境を提供 し ま す。 セ キ ュ リ テ ィ ワ ール ド は、 次の要素で構成 さ れてい ます。 • nCipher nForce ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ール • ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールへのア ク セ ス を管理す る ための管理者ス マー ト カー ド • 暗号鍵、 お よ びセ キ ュ リ テ ィ ワ ール ド 鍵を使用 し て暗号化 さ れアプ ラ イ ア ン ス に保管 さ れてい る 証明書 デー タ 294 | 付録 D - FIPS ハー ド ウ ェ ア セキ ュ リ テ ィ モ ジ ュ ール ベス ト プラ ク テ ィ ス 次に、 FIPS 対応アプ ラ イ ア ン ス のセ キ ュ リ テ ィ を維持す る ためのベ ス ト プ ラ ク テ ィ ス を示 し ま す。 • 管理者 ス マー ト カー ド は、 安全な場所に保管 し てお き ま す。 • ス マー ト カー ド は、 ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールご と に異な る 形式にな っ てい る ため、 必ず nCipher に対応す る も の を取得 し ます。 • nCipher 鍵管理で使用す る ス マー ト カー ド は、 信頼で き ない ス マー ト カー ド リ ーダーには挿入 し ないで く だ さ い。 • 信頼で き ない ス マー ト カー ド は、 モジ ュ ールに挿入 し ないで く だ さ い。 • ス マー ト カー ド のパ ス フ レーズは誰に も 教え ないで く だ さ い。 ま た、 何かに書 き と めた り も し ないで く だ さ い。 • 簡単に想像がつ く よ う なパ ス フ レーズは使用 し ないで く だ さ い。 • HSM のセ キ ュ リ テ ィ ワ ール ド デー タ はバ ッ ク ア ッ プ し て、 ス マー ト カー ド と 離 し た状態で安全な場所 に保管 し て く だ さ い。 災害復旧の際に必要にな り ま す。 303 ページの 「セ キ ュ リ テ ィ ワ ール ド のバ ッ ク ア ッ プ と 復旧」 を参照 し て く だ さ い。 詳細については、 『nCipher nForce Administrator Guide』 にあ る リ ス ク の軽減に関す る 節を参照 し て く だ さ い。 FIPS 対応アプラ イアンスに対するその他のマニュアル FIPS 対応 Aventail アプ ラ イ ア ン ス には Aventail マニ ュ アルが付属 し てい ますが、 それ以外に も 、 「Aventail Assurance」 サポー ト サ イ ト で、 次の nCipher マ ニ ュ アルが PDF 形式で提供 さ れてい ます。 こ れ ら の nCipher のマニ ュ アルは 「Assurance」 サ イ ト (http://aventailassurance.aventail.com) の [Documentation] エ リ アで提供 さ れてい ま す。 • 『nCipher nForce Administrator Guide v5.0.8』 (nforce-admin-guide-v5.0.8.pdf). • 『nCipher nForce Operator Guide v5.0.8』 (nforce-op-guide-v5.0.8.pdf). • 『nCipher Hardware Installation Guide v4.6.0』 (hware-install-guide-v4.6.0.pdf). こ のマ ニ ュ アルに記述 さ れてい る すべての nCipher コ マ ン ド については、 コ マ ン ド ラ イ ン か ら オ ン ラ イ ン ヘ ルプ を参照す る こ と がで き ま す。 コ マ ン ド の目的や構文について参照す る 場合は、 コ マ ン ド ラ イ ン か ら その コ マ ン ド を入力 し 、 その後に 「--help」 と 続け て ( 間に ス ペース を入れ る )、 ENTER を押 し ま す。 た と えば、 セ キ ュ リ テ ィ ワ ール ド を作成す る ために使用す る new-world コ マ ン ド のヘルプ を参照す る と き は、 コ マ ン ド ラ イ ン で次の よ う に入力 し ます。 new-world --help 環境仕様 FIPS 対応 アプ ラ イ ア ン ス の動作温度範囲は、 10 ゜ C - 35 ゜ C (50 ゜ F - 95 ゜ F) です。 セ ッ ト ア ッ プ と構成 アプ ラ イ ア ン ス に付属す る FIPS コ ン ポーネ ン ト には、 次の よ う な も のがあ り ま す。 • ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールを含む nCipher nForce カー ド 。 アプ ラ イ ア ン ス に イ ン ス ト ール さ れてい ます。 こ のカー ド は、 動作モー ド に設定 さ れてい ま す。 • アプ ラ イ ア ン ス の背面にあ る nCipher nForce カー ド に接続す る ス マー ト カー ド リ ーダー。 • 管理者カー ド セ ッ ト 。アプ ラ イ ア ン ス に イ ン ス ト ール さ れてい る nCipher ハー ド ウ ェ ア セ キ ュ リ テ ィ モ ジ ュ ールにア ク セ ス す る ための 3 枚の構成済み ス マー ト カー ド で構成 さ れ ま す。 ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールにア ク セ スす る には、 こ のカー ド セ ッ ト の 3 枚のカー ド の う ち 2 枚 ( 「定足数」 と 呼ぶ ) を使用 し なければな り ません。 ス マー ト カー ド は、 デフ ォ ル ト ではパ ス フ レーズで保護 さ れてい ま せん。 FIPS コ ン ポーネ ン ト の詳細については、 294 ページの 「FIPS 対応アプ ラ イ ア ン ス に対す る その他のマニ ュ ア ル」 にあ る nCipher の記述を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 295 FIPS アプラ イアンスを初めて起動する場合 アプ ラ イ ア ン ス を初めて起動す る と き 、 Setup Tool と い う コ マ ン ド ラ イ ン セ ッ ト ア ッ プ ユーテ ィ リ テ ィ が自 動的に動作を始め ま す。 こ の と き 、 Aventail End User License Agreement (EULA) を承認す る よ う 求め ら れ ま す。 ま たその他に、 root パ ス ワ ー ド を作成 し 、 IP ア ド レ ス、 サブネ ッ ト マ ス ク 、 デフ ォ ル ト ゲー ト ウ ェ イ を指定す る よ う 求め ら れ ま す。 X Setup Tool を実行する には 1. アプ ラ イ ア ン ス と の間でシ リ アル接続を確立 し 、 フ ロ ン ト パネルの電源ボ タ ン を押 し て アプ ラ イ ア ン ス をオ ン に し ま す。 2. Setup Tool が自動的に動作を始め ます ( 「setup_tool」 と 入力 し て も 実行可能 )。 3. ロ グ イ ンす る よ う 求め ら れた ら 、 ユーザー名に 「root」 と 入力 し ます。 ENTER を押 し て次の画面に移 り ます。 4. Aventail EULA が表示 さ れ ま す。 画面を ス ク ロ ール し て内容を確認 し 、 ENTER を押 し て次の画面に移 り ます。 Do you accept the terms of the license agreement? [n]: • 5. ラ イ セ ン ス契約を承認す る のであれば、 「y」 と 入力 し て ENTER を押 し ま す。 シ ス テ ム の新 し い root パ ス ワ ー ド を作成す る よ う 求め ら れ ま す。 こ のパ ス ワ ー ド は、 AMC にア ク セ スす る と き も 必要にな り ます。 Password: • パ ス ワ ー ド は、 8 文字か ら 20 文字で指定 し 、 大文字 と 小文字を区別 し ます。 大文字 と 小文字、 数字 な ど を組み合わせて 「強力な」 パ ス ワ ー ド を作成す る こ と が推奨 さ れ ます。 その際、 辞書に載っ てい る よ う な単語は避け る よ う に し ます。 パ ス ワ ー ド はなん ら かの形で記録 し 、 安全な場所に保管 し てお き ま す。 ENTER を押 し て次に進み ます。 Confirm password: • 6. 前に入力 し たの と ま っ た く 同 じ ( 大文字小文字を区別 し た ) root パ ス ワ ー ド を再入力 し 、 ENTER を押 し て次に進みます。 次に、 内部 イ ン タ フ ェ ース の IP ア ド レ ス、 サブネ ッ ト マ ス ク 、 ( オプシ ョ ン で ) ゲー ト ウ ェ イ を入力す る よ う 求め ら れ ます。 こ の イ ン タ フ ェ ー ス は、 Web ブ ラ ウ ザか ら アプ ラ イ ア ン ス に接続 し 、 AMC を使用 し てセ ッ ト ア ッ プ を継続す る と き に使用 し ます。 IP address: • 内部 ( プ ラ イ ベー ト ) ネ ッ ト ワ ー ク に接続す る 内部 イ ン タ フ ェ ー ス の IP ア ド レ ス を入力 し て、 ENTER を押 し ます。 Subnet mask: • 内部ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス のネ ッ ト マ ス ク を入力 し て、 ENTER を押 し ま す。 Gateway: • AMC にア ク セ ス す る 際、 ア ク セ ス元の コ ン ピ ュ ー タ がアプ ラ イ ア ン ス と 異な る ネ ッ ト ワ ー ク 上にあ る 場合、 ゲー ト ウ ェ イ を指定す る 必要があ り ま す。 ト ラ フ ィ ッ ク を アプ ラ イ ア ン ス にルーテ ィ ン グす る ゲー ト ウ ェ イ の IP ア ド レ ス を入力 し て、 ENTER を押 し ま す。 アプ ラ イ ア ン ス と 同 じ ネ ッ ト ワ ー ク か ら AMC にア ク セ ス し てい る 場合は、 その ま ま ENTER を押 し ます。 7. 次に、 こ こ ま で入力 し た情報を確認す る よ う 求め ら れ ま す。 現在の値で良ければその ま ま ENTER を押 し 、 値を変更 し たい場合は新 し い値を入力 し てか ら ENTER を押 し ま す。 8. 最後に、 変更を保存 し て適用す る よ う 求め ら れ ます。 Do you want to save and apply configuration changes [y]: • ENTER を押 し て、 変更を保存 し ます。 こ の時点で、 Setup Tool が変更を保存 し 、 必要なサービ ス を再起動 し ます。 ま た、 こ れ ま で指定 し た情報を基 に (SSH ア ク セ ス に対す る ) SSL 鍵を生成 し ます。 こ の間、 フ ィ ー ド バ ッ ク はほ と ん ど あ り ま せん。 Setup Tool が反応 し な く な っ たな ど と 早合点せずに、 その ま ま し ば ら く お待ち く だ さ い。 Setup Tool が終了 し た ら 、 初期セ ッ ト ア ッ プが完了 し た こ と を示す メ ッ セージが表示 さ れ ま す。 こ の メ ッ セー ジには、 AMC にア ク セ ス す る ための URL も 示 さ れ ます。 296 | 付録 D - FIPS ハー ド ウ ェ ア セキ ュ リ テ ィ モ ジ ュ ール ラ イセンス要件 FIPS 対応アプ ラ イ ア ン ス には、 評価版 と し て、 1,000 人のユーザーの同時使用を 3 日間サポー ト す る デフ ォ ル ト ラ イ セ ン ス が付属 し てい ます。 こ の 3 日間を過ぎ て も アプ ラ イ ア ン ス を使い続け る 場合は、 有効な ラ イ セ ン ス フ ァ イ ルを ア ッ プ ロ ー ド し なければな り ません。 ラ イ セ ン ス フ ァ イ ルのア ッ プ ロ ー ド の詳細については、 177 ページの 「 ソ フ ト ウ ェ ア ラ イ セ ン ス 」 を参照 し て く だ さ い。 スマー ト カー ド リ ーダーの接続 ス マー ト カー ド リ ーダーは、 nCipher PCI モジ ュ ールの背面パネルにあ る ス マー ト カー ド コ ネ ク タ に差 し 込 みます。 ス マー ト カー ド リ ーダーを接続す る と き は、 こ のアプ ラ イ ア ン ス の電源をオ フ にす る 必要はあ り ま せん。 詳細については、 『nCipher Hardware Installation Guide』 を参照 し て く だ さ い。 ク ラ イアン ト 構成の要件 ユーザーが使用す る オペ レーテ ィ ン グ シ ス テ ム と ブ ラ ウ ザに よ っ ては、 FIPS 対応アプ ラ イ ア ン ス にア ク セ ス で き る よ う 、 暗号設定を一部変更す る 必要があ り ます。 Internet Explorer を使用す る ユーザーの場合、 ASAP WorkPlace にア ク セ ス す る には、 ブ ラ ウ ザの暗号設定 を変更 し なければな り ません。 ま た、 ユーザーが Windows XP ま たは Windows 2000 を使用 し てお り 、 ネ ッ ト ワ ー ク ト ン ネル ク ラ イ ア ン ト を介 し て アプ ラ イ ア ン ス に接続す る 場合は、 コ ン ピ ュ ー タ で FIPS セ キ ュ リ テ ィ を有効にす る 必要があ り ま す。 WorkPlace にアクセスするための Internet Explorer の暗号の構成 Microsoft Internet Explorer を使用 し てい る ユーザーは、 ブ ラ ウ ザの構成を変更 し TLS 暗号を有効にす る こ と で、FIPS 対応アプ ラ イ ア ン ス か ら Aventail ASAP WorkPlace ポー タ ルへア ク セ ス で き る よ う に し なければ な り ません。 X Internet Explorer を FIPS 互換 と し て構成する には 1. Internet Explorer の [Tools] メ ニ ュ ーか ら [Internet Options] を ク リ ッ ク し ます。 2. [Internet Options] ダ イ ア ロ グ ボ ッ ク ス で、 [Advanced] タ ブ を ク リ ッ ク し ま す。 3. [Settings] リ ス ト の [Security] セ ク シ ョ ンの下にあ る [Use TLS 1.0] チ ェ ッ ク ボ ッ ク ス を選択 し て、 [OK] を ク リ ッ ク し ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 297 メモ • Mozilla Firefox ブ ラ ウ ザは、 TLS 暗号をデフ ォ ル ト でサポー ト し てい る ため、 構成を変更す る 必要はあ り ま せん。 ク ラ イアン ト コ ンピ ュータ での Windows セキュ リ テ ィ ポリ シーの構成 Windows XP ま たは Windows 2000 を使用す る ユーザーは、 FIPS 暗号を有効にす る 場合、 ロ ーカル セ キ ュ リ テ ィ ポ リ シーを変更す る 必要があ り ます。 こ う す る こ と で、 アプ ラ イ ア ン ス への接続が FIPS レベルの暗号 で保護 さ れ る よ う にな り ま す。 こ の よ う な構成変更は、 非 FIPS アプ ラ イ ア ン ス へのア ク セ ス が阻害 さ れ る ため、 ユーザーが常に FIPS 対応 アプ ラ イ ア ン ス に接続 し てい る 場合に限っ て行 う よ う に し ます。 こ れは、 アプ ラ イ ア ン ス 固有の設定を上書 き す る 、 シ ス テ ム レベルのセ キ ュ リ テ ィ 設定です。 X ロ ー カル セキ ュ リ テ ィ ポ リ シー を構成する には 1. Windows の [ ス タ ー ト ] メ ニ ュ ーか ら [Administrative Tools] を選択 し て、 [Local Security Policy] を ク リ ッ ク し ます。 2. [Local Security Settings] ダ イ ア ロ グ ボ ッ ク ス で、 左側のペ イ ン にあ る [Local Policies] フ ォ ル ダ を拡大 し 、 [Security Options] フ ォ ルダ を ク リ ッ ク し ま す。 298 | 付録 D - FIPS ハー ド ウ ェ ア セキ ュ リ テ ィ モ ジ ュ ール 3. 右側のペ イ ン にあ る [System Cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing] を ダブル ク リ ッ ク し ます。 4. [System Cryptography] ダ イ ア ロ グ ボ ッ ク ス で、 [Enabled] を選択 し て [OK] を ク リ ッ ク し ま す。 5. [Local Security Settings] ダ イ ア ロ グ ボ ッ ク ス を閉 じ ま す。 操作手順 FIPS 対応の Aventail の操作手順は、 こ の 『 イ ン ス ト ールお よ び管理ガ イ ド 』 で説明 し てい る 、 非 FIPS アプ ラ イ ア ン ス の場合 と ほ と ん ど同 じ です。 唯一異な る のは SSL 暗号の構成で、 FIPS 対応アプ ラ イ ア ン ス の場合 は、 異な る プ ロ ト コ ルが必要にな り ま す。 AMC での FIPS 暗号の構成 デフ ォ ル ト の場合、 アプ ラ イ ア ン ス では、 FIPS レベルの暗号が構成 さ れてい ます。 FIPS 暗号設定を確認す る と き は、 次の手順を使用 し ます。 X ア プ ラ イ ア ン ス で FIPS レ ベルの暗号を構成する には 1. AMC の メ イ ン ナビ ゲーシ ョ ン メ ニ ュ ーか ら [SSL Settings] を ク リ ッ ク し ます。 こ の操作に よ り 、 [SSL Settings] ページが表示 さ れ ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 299 2. [SSL Encryption] セ ク シ ョ ン の [Edit] リ ン ク を ク リ ッ ク し ま す。 こ の操作に よ り 、 [Configure SSL Encryption] ページが表示 さ れ ます。 3. [SSL Encryption] ページで、 [Use only government-recommended encryption] チ ェ ッ ク ボ ッ ク ス が選択 さ れてい る こ と を確認 し ま す ( デフ ォ ル ト 設定 )。 こ の構成の場合、 アプ ラ イ ア ン ス が TLS v1 プ ロ ト コ ルを使用 し ま す。 こ のプ ロ ト コ ルは、 FIPS 140-2 暗号の標準で、 こ れ よ り 弱い暗号サ イ フ ァ を無効に し ます。 FIPS 暗号オプシ ョ ン を選択す る と 、 こ の設定に よ り SSL v3 暗号プ ロ ト コ ルが無効にな る こ と を示す警 告が表示 さ れ ます。 結果的に、 Aventail Connect プ ロ キ シ ク ラ イ ア ン ト のユーザーがアプ ラ イ ア ン ス に ア ク セ ス で き な く な り ま す。 4. FIPS レベル暗号設定を使用す る 場合は [Save] を ク リ ッ ク し ます。 5. こ れ ら の FIPS 設定を有効にす る には、 ページ右上の ス テー タ ス エ リ アにあ る [Pending changes] リ ン ク を ク リ ッ ク し て、 [Apply Changes] ボ タ ン を ク リ ッ ク し なければな り ま せん。 セキュ リ テ ィ ワールド の置換 Aventail には、 nCipher のハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールがあ ら か じ め イ ン ス ト ール さ れてお り 、 セ キ ュ リ テ ィ ワ ール ド が構成 さ れてい ます。 ただ し 、 セ キ ュ リ テ ィ が侵害 さ れた場合やセ キ ュ リ テ ィ ポ リ シー で必要にな っ た場合は、 デフ ォ ル ト のセ キ ュ リ テ ィ ワ ール ド を置換す る こ と がで き ます。 X セキ ュ リ テ ィ ワール ド を作成 し 直すには 1. 端末エ ミ ュ レーシ ョ ン プ ロ グ ラ ム を使用 し て、 アプ ラ イ ア ン ス と の間でシ リ アル接続を確立 し ま す。 2. nForce カー ド のモー ド ス イ ッ チ を事前初期化状態にセ ッ ト し ます。 『nCipher nForce Administrator Guide』 の 「Entering the pre-initialization state」 を参照 し て く だ さ い。 3. [Clear] ボ タ ン を押 し て、 モジ ュ ールを リ セ ッ ト し ま す。 Status LED がオ ン にな り 、 モジ ュ ールがセル フ テ ス ト を実施 し ます。 セルフ テ ス ト が完了 し た ら 、 モジ ュ ールは 事前初期化状態に入 り ま す。 アプ ラ イ ア ン ス の背面にあ る [Clear] ボ タ ン に手が届かない場合、 「nopclearfail --ca」 コ マ ン ド を 使用す る こ と も で き ます。 こ の コ マ ン ド の詳細については、 『nCipher nForce Operator Guide』 の 199 ページ を参照 し て く だ さ い。 Status LED が点灯を繰 り 返 さ ない場合、 『nCipher nForce Administrator Guide』 にあ る LED 信号の 解釈に関す る 表を参照 し て く だ さ い。 4. 次の コ マ ン ド を入力 し て、 モジ ュ ールの root ア カ ウ ン ト にア ク セ ス し ます。 # su - nfast 300 | 付録 D - FIPS ハー ド ウ ェ ア セキ ュ リ テ ィ モ ジ ュ ール 5. 次の コ マ ン ド を入力 し て、 セ キ ュ リ テ ィ ワ ール ド を作成 し 直 し ます。 # new-world --initialize --module=1 --slot=0 --acs-quorum=2/3 6. ス マー ト カー ド を ス マー ト カー ド リ ーダーに挿入す る よ う 指示が出た ら 、 その指示に従い ま す。 7. nForce カー ド のモー ド ス イ ッ チを動作状態にセ ッ ト し ます。 8. [Clear] ボ タ ン を押 し て、 モジ ュ ールを リ セ ッ ト し ま す。 Status LED がオ ン にな り 、 モジ ュ ールがセル フ テ ス ト を実施 し ます。 セルフ テ ス ト が完了 し た ら 、 モジ ュ ールは動作状態に入 り ます。 こ の状態にな る と 、 Status LED はほ と ん ど の時間点灯 し てい ますが、 定期的に点滅 し ます。 ユニ ッ ト の 負荷が上が る と 、 Status LED が消え てい る 時間 も 長 く な り ます。 モジ ュ ールの負荷が最大レベルにな る と 、 Status LED のオ フ の時間がオ ンの時間 と 同 じ 長 さ にな り ま す。 Status LED が点灯 し てい る 時間が 短 く な り 、 ほ と ん ど の時間点滅す る よ う な場合は、 『nCipher nForce Administrator Guide』 にあ る LED 信号の解釈に関す る 表を参照 し て く だ さ い。 セ キ ュ リ テ ィ ワ ール ド を作成 し 終わ っ た ら 、 セ キ ュ リ テ ィ ワ ール ド が正常に構成 さ れてい る か確認す る ため、 次の コ マ ン ド ラ イ ン診断ユーテ ィ リ テ ィ を実行 し ま す。 X 1. セキ ュ リ テ ィ ワール ド の構成を確認する には コ マ ン ド ラ イ ン か ら 次の診断 コ マ ン ド を入力 し ます。 # nfkmcheck 2. セ キ ュ リ テ ィ ワ ール ド が正常に作成 さ れていれば、 次の よ う な メ ッ セージが表示 さ れ ます。 nfkmcheck: information: Module #1 Slot #0 Empty nfkmcheck: everything seems to be in order 次の よ う な メ ッ セージが表示 さ れた場合、 セ キ ュ リ テ ィ ワ ール ド は正常に作成 さ れてい ま せん。 Aventail テ ク ニ カル サポー ト にお問い合わせ く だ さ い。 nfkmcheck: fatal error: World not present nfkmcheck: fatal error occurred - not all checks carried out ! 3. コ マ ン ド ラ イ ン か ら 次の診断 コ マ ン ド を入力 し ます。 # nfkminfo 4. こ れに よ り 、 次の よ う な情報が表示 さ れ ま す。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 301 World generation 2 state 0x17270000 Initialised Usable Recovery !PINRecovery !ExistingClient RTC NVRAM FTO SEEDebug n_modules 1 hknso 99793faf0c898564ae31204d8cfe69541db8c9af hkm 0047bc78c895810eae835b5c7ca8bde8889308ac hkmwk 1d572201be533ebc89f30fdd8f3fac6ca3395bf0 hkre a08f78257ce715bf7c6f81c2365b71ef04c29c08 hkra 5ce413071f196960a4fe3c27970ac03226e52ba1 ex.client none k-out-of-n 2/3 other quora m=2 r=2 nv=2 rtc=2 dsee=2 fto=2 Module #1 generation 2 state 0x2 Usable flags 0x10000 ShareTarget n_slots 2 esn 8950-33E0-D6E3 hkml 64dcc06b76c86a648f107bc648d90cbf61c15ea2 Module #1 Slot #0 IC 0 generation 1 phystype SmartCard slotlistflags 0x2 SupportsAuthentication state 0x2 Empty flags 0x0 shareno 0 shares error OK No Cardset Module #1 Slot #1 IC 0 generation 1 phystype SoftToken slotlistflags 0x0 state 0x2 Empty flags 0x0 shareno 0 shares error OK No Cardset No Pre-Loaded Objects 5. コ マ ン ド ラ イ ン か ら 次の診断 コ マ ン ド を入力 し ます。 # ckcheckinst 302 | 付録 D - FIPS ハー ド ウ ェ ア セキ ュ リ テ ィ モ ジ ュ ール 6. こ れに よ り 、 次の よ う な情報が表示 さ れ ま す。 PKCS#11 library interface version 2.01 flags 0 manufacturerID "nCipher Corp. Ltd libraryDescription "nCipher PKCS#11 1.44.28 implementation version 1.44 Slot ==== 0 1 Status ====== Fixed token No token present Label ===== "accelerator" No removable tokens present. Please insert an operator card into at least one available slot and enter 'R' retry. If you have not created an operator card, enter a fixed token slot number, or 'E' to exit this program and create a card set before continuing. Enter 'R'etry or 'E'xit: 0 Using slot number 0. Test ---1 Generate RSA key pair 2 Generate DSA key pair 3 Encryption/Decryption 4 Signing/Verification Deleting test keys Pass/Failed ----------Pass Pass Pass Pass ok PKCS#11 library test successful. セ キ ュ リ テ ィ ワ ール ド の作成の詳細については、 『nCipher nForce Administrator Guide』 の次の節を参照 し て く だ さ い。 • 概要については、 143 ページの 「Creating a security world」 を参照 し て く だ さ い。 • コ マ ン ド ラ イ ン での手順については、 65 ページの 「Creating a security world with new-world」 を参 照 し て く だ さ い。 • new-world ユーテ ィ リ テ ィ の構文 と オプシ ョ ン の詳細については、 244 ページ を参照 し て く だ さ い。 スマー ト カー ド の構成 それぞれの管理者カー ド セ ッ ト は、 N 枚の ス マー ト カー ド で構成 さ れてお り 、 ア ク シ ョ ン の許可には、 その う ちの K (N よ り も 小 さ い数 ) 枚が必要にな り ます。 アプ ラ イ ア ン ス のハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ール にア ク セ ス す る ために必要な ス マー ト カー ド の数 ( 「定足数」 と 呼ぶ ) は、 デフ ォ ル ト の場合、 3 枚の う ちの 2 枚です。 K の値は、 N よ り 小 さ く な り ま す。 K を N と 同 じ にす る こ と も で き ま すが、 こ の よ う な構成にす る と 、 1 枚の カー ド にエ ラ ーが発生 し た場合カー ド セ ッ ト 全体が使用で き な く な る ため、 お勧めで き ま せん。 管理者カー ド セ ッ ト で こ の よ う な状態が発生 し た場合は、 セ キ ュ リ テ ィ ワ ール ド を置換 し て新 し い鍵を生成 し な ければな り ません。 管理者カー ド セ ッ ト に対するパス フ レーズ保護の追加または変更 FIPS 対応アプ ラ イ ア ン ス にデフ ォ ル ト で付属す る ス マー ト カー ド は、 パ ス フ レーズで保護 さ れてい ま す。 管 理者カー ド セ ッ ト にパ ス フ レーズ保護を追加 し たい場合、 cardpp コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ を使用 し ます。 『nCipher nForce Administrator Guide』 の 「Changing pass phrases with cardpp」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 303 管理者カー ド セ ッ ト の置換 管理者カー ド セ ッ ト の ス マー ト カー ド を 1 枚紛失 ま たは損傷 し た場合、 racs ユーテ ィ リ テ ィ を使用 し て、 代 替セ ッ ト をす ぐ に作成 し な ければな り ません。 モジ ュ ールには、 管理者カー ド セ ッ ト の復旧デー タ が保管 さ れ てい ま せん。 ただ し 、 K が N よ り 少ない と い う 事実があ る ため、 カー ド の一部の情報が紛失 し て も 、 モジ ュ ー ルですべての鍵を作成 し 直す こ と がで き ます。 現在のカー ド が必要な定足数だけ あ り 、 パ ス フ レーズにア ク セ ス で き な ければ、 管理者カー ド セ ッ ト を置換 す る こ と はで き ません。 そのため、 1 枚のカー ド を紛失 ま たは損傷 し た場合はす ぐ に、 セ ッ ト を置換す る 必要 があ り ます。 管理者カー ド セ ッ ト を置換す る 前に、 新 し い管理者カー ド セ ッ ト を作成す る 上で十分な数のブ ラ ン ク カー ド があ る こ と を確認 し なければな り ま せん。 十分な カー ド がない と き に こ の手順を開始す る と 、 手順を途中で放 棄 し な ければな ら な く な り ます。 ! ! 注意 必要な カ ー ド 数が カ ー ド の総数 と 同 じ にな る よ う な管理者 カ ー ド セ ッ ト は作成 し ないで く だ さ い。 このよ う な構成にする と 、 1 枚の カ ー ド を紛失または損傷 し た場合に、 管理者カ ー ド セ ッ ト を置換で き な く な り ます。 注意 管理者カ ー ド セ ッ ト を置換する と き、 現在のカ ー ド セ ッ ト を再利用する こ と も で き ます。 ただ し 、 カ ー ド 交換プ ロ セ スが完了する前に中断 し て し ま う と 、 定足数を確保で き な く な っ て、 ハー ド ウ ェ ア セ キ ュ リ テ ィ モ ジ ュ ールにア ク セ ス で き な く な る可能性があ り ます。 nCipher では、 管理者カ ー ド セ ッ ト を置換する と きは、 新 し いス マー ト カ ー ド を使用する こ と をお勧め し ています。 管理者カー ド の置換の詳細については、 『nCipher nForce Administrator Guide』 の次の節を参照 し て く だ さ い。 • 概要については、 188 ページの 「Administration tasks with cards」 を参照 し て く だ さ い。 • 手順については、 209 ページの 「Replacing the Administrator Card Set」 を参照 し て く だ さ い。 • racs ユーテ ィ リ テ ィ の構文 と オプシ ョ ンの詳細については、 212 ページの 「Replacing an Administrator Card Set with racs」 を参照 し て く だ さ い。 古い管理者カー ド セ ッ ト の消去 nCipher では、 新 し い管理者カー ド セ ッ ト を作成 し た ら 、 古い管理者カー ド セ ッ ト を速やかに消去す る こ と をお勧め し てい ま す。 管理者カー ド セ ッ ト を置換す る と 、 ホ ス ト 上の復旧デー タ の コ ピー も 削除 さ れ ま すが、 古い管理者カー ド セ ッ ト は、 古いホ ス ト デー タ ( バ ッ ク ア ッ プ テープや他のホ ス ト に残っ てい る 可能性があ る ) で依然 と し て使用す る こ と がで き ます。 そのため攻撃者が、 古い管理者カー ド セ ッ ト と 古いホ ス ト デー タ の コ ピーを入手す る と 、 すべての鍵を作成 し 直す こ と も 可能です。 こ の よ う な危険に対処す る ため、 新 し い管理者カー ド セ ッ ト を作成 し た ら 、 bulkerase コ マ ン ド ラ イ ン ユー テ ィ リ テ ィ を使用 し て、 古い管理者カー ド を速やかに消去 し なければな り ません。 bulkerase ユーテ ィ リ テ ィ の構文 と オプシ ョ ン の詳細については、 『nForce Operator Guide』 を参照 し て く だ さ い。 管理者カー ド セ ッ ト の定足数の変更 デフ ォ ル ト の場合、 アプ ラ イ ア ン ス で必要な管理者カー ド セ ッ ト の定足数は、 3 枚のカー ド の う ちの 2 枚で、 こ の 2 枚を カー ド リ ーダーに挿入す る こ と で、 ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールにア ク セ ス で き る よ う にな り ます。 定足数を変更す る には、 new-world コ マ ン ド を使用 し てセ キ ュ リ テ ィ ワ ール ド を作成 し 直 さ な ければな り ま せん。 こ のマニ ュ アルの 299 ページの 「セ キ ュ リ テ ィ ワ ール ド の置換」 を参照 し て く だ さ い。 セキュ リ テ ィ ワールド のバッ ク ア ッ プ と復旧 定期バ ッ ク ア ッ プ手順の一環 と し て、 安全のため /opt/nfast/kmdata デ ィ レ ク ト リ に保管 さ れてい る デー タ を定期的にバ ッ ク ア ッ プす る 必要があ り ます。 デー タ は、 管理者カー ド セ ッ ト と 離 し た状態で安全な場所に保 管 し て く だ さ い。 詳細については、 『nCipher nForce Administrator Guide』 の 「Backup and recovery」 を参照 し て く だ さ い。 304 | 付録 D - FIPS ハー ド ウ ェ ア セキ ュ リ テ ィ モ ジ ュ ール フ ァ ームウ ェ ア ア ッ プデー ト nCipher Corporation が、 ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールで使用 さ れてい る フ ァ ーム ウ ェ アのア ッ プ デー ト 版を リ リ ー ス し た場合は、 『nCipher nForce Administrator Guide』 の付録 B 「Upgrading Module Firmware」 を参照 し ア ッ プデー ト し て く だ さ い。 ト ラ ブルシューテ ィ ング FIPS モジ ュ ールの問題を診断 し て解決す る 方法については、 『nCipher Hardware Installation Guide』 の第 3 章 「Troubleshooting」 を参照 し て く だ さ い。 FIPS ログの表示 AMC の [View Logs] ページでは、 FIPS の活動に関す る ロ グ フ ァ イ ルを参照す る こ と がで き ま す。 FIPS ハー ド ウ ェ ア ロ グ (hardserver.log) は、 /var/log/aventail デ ィ レ ク ト リ にあ り ます。 X FIPS ロ グ を表示する には 1. AMC (Aventail ASAP Management Console) の メ イ ン ナ ビ ゲーシ ョ ン メ ニ ュ ーか ら [Logging] を ク リ ッ ク し ま す。 こ の操作に よ り 、 [View Logs] ページが表示 さ れ ます。 2. [Log File] リ ス ト か ら [FIPS hardware log] を選択 し ま す。 こ の操作に よ り 、 FIPS ロ グ メ ッ セー ジが表示 さ れ ます。 3. [Show last] ボ ッ ク ス を使用 し て、 表示す る ロ グ メ ッ セージの数を選択 し ま す。 [50]、 [100]、 [250]、 [500]、 [1000] のいずれか を選択す る こ と がで き ます。 4. 最新の ロ グ メ ッ セージが含ま れ る よ う ページ を更新す る と き や、 実行 し たばか り の フ ィ ル タ リ ン グの結 果を表示す る と き は、 [Refresh] ボ タ ン を ク リ ッ ク し ま す。 デフ ォ ル ト の場合、 ロ グ ビ ュ ーアの [Auto-refresh] オプシ ョ ンは [1 minute] に設定 さ れてい ま す。 リ フ レ ッ シ ュ 時間は、 オプ シ ョ ン で [30 seconds]、 [5 minutes]、 [10 minutes]、 [15 minutes] のいずれか を選択す る こ と がで き ま す。 ま た、 [Off] を選択 し て、 リ フ レ ッ シ ュ をオ フ にす る こ と も で き ます。 [Auto-refresh] が [Off] 以外に設定 さ れてい る 場合、 更新動作が持続的に行われ る ため、 デフ ォ ル ト の非ア ク テ ィ ブ期間 (15 分 ) が経過 し て も 、 AMC セ ッ シ ョ ン が自動的に タ イ ム ア ウ ト し な く な り 、 [View Logs] ページが表示 さ れた状態にな り ます。 こ れは実際問題 と し て、 コ ン ピ ュ ー タ で AMC を実 行 し 、 オー ト リ フ レ ッ シ ュ モー ド を有効に し た状態で [View Logs] ページ を表示 し た ま ま 席を外す と 、 AMC が タ イ ム ア ウ ト し な く な る と い う こ と を表 し てい ます。 セ キ ュ リ テ ィ を向上 さ せ る ための習慣 と し て、 ロ グ メ ッ セージ を表示 し 終わ っ た ら 、 AMC の他のページに必ず移 る よ う に し てお き ます。 メモ • FIPS ロ グは、 デフ ォ ル ト で、 最 も 詳細な ロ グ レベルで あ る [Info] に設定 さ れてお り 、 AMC では こ れを 構成す る こ と がで き ません。 • FIPS ロ グ を syslog サーバーに送信す る よ う AMC を構成す る 方法や、 FIPS ロ グ メ ッ セージ を カ ン マ区 切 り 形式 (.csv) の フ ァ イ ルにエ ク ス ポー ト す る 方法な ど、 ロ ギ ン グの詳細については、 144 ページの 「シ ス テ ム ロ ギ ン グお よ びモニ タ リ ン グ」 を参照 し て く だ さ い。 • nCipher ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールの ロ ギ ン グの詳細については、 『nCipher nForce Administrator Guide』 の 「Log Files」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 305 異常終了後の hardserver の再起動 hardserver は、 nCipher HSM と 、 HSM で鍵を使用 ま たは保管す る その他のすべてのプ ロ セ ス を仲介す る デーモ ン プ ロ セ ス です。 め っ たにあ る こ と ではあ り ま せんが、 hardserver が起動に失敗す る こ と も あ り ま す。 こ れは、 setup_tool を実行 し た後や再起動後な ど に発生す る こ と があ り ます。 ど の よ う な場合で も 、 アプ ラ イ ア ン ス を再起動す る こ と がその対処法にな り ます。 setup_tool を使用 し て アプ ラ イ ア ン ス を構成 し てい る と き にハー ド ウ ェ アが停止 し た場合、「Configuration aborted with error 256」 と い う エ ラ ー メ ッ セージが表示 さ れ ます。 こ の場合は最初に、 コ マ ン ド ラ イ ン で 「# ps auwwx | grep hardserver」 と 入力す る こ と に よ っ て、 hardserver が動作 し ていない こ と を テ ス ト し ま す。 hardserver が動作 し てい る 場合は、 他の イ ベン ト に よ っ て setup_tool エ ラ ーが発生 し てい ます。 その場合 は、 再起動後、 setup_tool を再実行す る 必要はあ り ません。 アプ ラ イ ア ン ス の起動中に hardserver が停止 し た場合は、ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールの暗号機能 が使用で き ないために、 AMC にア ク セ ス で き な く な っ てい ます。 こ の場合 も 、 アプ ラ イ ア ン ス を再起動 し て AMC に ロ グ イ ン し 直す と い う のが、 その対処法です。 SNMP を使用し た FIPS データの取得 Simple Network Management Protocol (SNMP) ツールがあ る 場合、 こ れ ら の ツールを使用す る こ と に よ り 、 FIPS 機能を含め、 アプ ラ イ ア ン ス を SNMP エージ ェ ン ト と し て監視す る こ と がで き ます。 AMC の [Configure SNMP] ページか ら ダ ウ ン ロ ー ド 可能な、 Aventail Management Information Base (MIB) フ ァ イ ルには、 オブジ ェ ク ト 識別子 (OID) が含 ま れてお り 、 次の情報を提供 し ま す。 名前 OID 説明 FIPS カ ー ド ス テー ト 1.3.6.1.4.1.4331.6.1.0 こ の OID は、 nCipher FIPS のス テー ト を表すテキス ト 文字列を 示 し ます。 • FIPS-SERVER-UP: LEVEL 2。 nCipher hardserver が動作 し てい る こ と を示 し ます。 • FIPS-SERVER-NOT-RUNNING。 hardserver が動作 し てい ない こ と を示 し ます。 • NO-FIPS-HWACCEL-SUPPORT。 ハー ド ウ ェ ア サポー ト がな い こ と を示 し ます。 • NOT-APPLICABLE。 ラ イ セ ン スの問題を示 し ます。 Smart カ ー ド ス テー ト .1.3.6.1.4.1.4331.6.2.0 こ の OID は、 カ ー ド リ ーダーに入 っ ている nCipher スマー ト カ ー ド のス テー ト を表すテキス ト 文字列を示 し ます。 • ADMIN-CARD-IN-SLOT。 カ ー ド リ ーダーにス マー ト カ ー ド が入 っ てい る こ と を示 し ます。 • FAULTY-CARD-IN-SLOT。 カ ー ド リ ーダーに入 っ てい る ス マー ト カ ー ド に障害がある こ と を示 し ます。 • UNFORMATTED-CARD-IN-SLOT。 カ ー ド リ ーダーに入 っ て い る スマー ト カ ー ド が初期化 さ れていない こ と を示 し ます。 • NO-CARD-IN-SLOT。 カ ー ド リ ーダーにスマー ト カ ー ド が 入 っ ていない こ と を示 し ます。 ア ッ プ タ イム 1.3.6.1.4.1.4331.6.3.0 こ の OID は、 nCipher FIPS のア ッ プ タ イ ムを秒単位で表すテキ ス ト 文字列を示 し ます。 メモ • アプ ラ イ ア ン ス を SNMP 対応 と し て構成す る 方法については、 159 ページの 「SNMP を使用 し た管理 デー タ の取得」 を参照 し て く だ さ い。 306 | 付録 D - FIPS ハー ド ウ ェ ア セキ ュ リ テ ィ モ ジ ュ ール コマン ド ラ イン ユーテ ィ リ テ ィ nCipher nForce セ キ ュ リ テ ィ モジ ュ ールには、 コ マ ン ド ラ イ ン診断ユーテ ィ リ テ ィ が搭載 さ れてい ま す。 こ れ ら のユーテ ィ リ テ ィ は、 /opt/nfast/bin デ ィ レ ク ト リ に置かれてお り 、 ト ラ ブルシ ュ ーテ ィ ン グの際に使用 す る こ と がで き ます。 • enquiry ユーテ ィ リ テ ィ は、 nCipher hardserver お よ び接続 し てい る モジ ュ ールの ス テー タ ス に関す る 情報を返 し ます。 こ のユーテ ィ リ テ ィ については、 『nCipher nForce Administrator Guide』 の 218 ページで解説 し てい ます。 • nfkminfo ユーテ ィ リ テ ィ は、 アプ ラ イ ア ン ス のセ キ ュ リ テ ィ ワ ール ド の ス テー タ ス 、 セ キ ュ リ テ ィ ワ ール ド の視点で接続 し てい る モジ ュ ール、 コ マ ン ド の動作時にモジ ュ ールに挿入 さ れてい る ス マー ト カー ド な ど に関す る 診断情報を表示 し ます。 『nCipher nForce Administrator Guide』 の 「Displaying information about your security world」 を参照 し て く だ さ い。 • stattree ユーテ ィ リ テ ィ は、 nCipher サーバーが収集 し た統計情報を返 し ます。 こ のユーテ ィ リ テ ィ に ついては、 『nCipher nForce Administrator Guide』 の 267 ページで解説 し てい ま す。 • floodtest ユーテ ィ リ テ ィ は、 ハー ド ウ ェ ア速度テ ス ト を実行 し ま す。 こ のユーテ ィ リ テ ィ については、 『nCipher nForce Administrator Guide』 の 227 ページで解説 し てい ます。 • sigtest ユーテ ィ リ テ ィ は、 RSA ま たは DSA 署名 ま たは署名確認を使用 し て、 モジ ュ ールの速度を計 測 し ま す。 こ のユーテ ィ リ テ ィ については、 『nCipher nForce Operator Guide』 の 211 ページで解説 し てい ます。 • nfkmcheck ユーテ ィ リ テ ィ は、 セ キ ュ リ テ ィ ワ ール ド デー タ の整合性をチ ェ ッ ク し ま す。 カー ド リ ー ダーに ス マー ト カー ド が挿入 さ れてい る 場合は、 管理者カー ド の数 も 表示 し ます。 こ のユーテ ィ リ テ ィ の詳細については、 nCipher コ マ ン ド ラ イ ン オ ン ラ イ ン ヘルプ を参照 し て く だ さ い。 • nfkmverify ユーテ ィ リ テ ィ は、 管理者カー ド セ ッ ト と ハー ド ウ ェ ア セ キ ュ リ テ ィ モジ ュ ールの構成に 関す る 情報を表示 し ます。 『nCipher nForce Operator Guide』 の 193 ページ を参照 し て く だ さ い。 メモ • オ ン ラ イ ン ヘルプは、 それぞれの nCipher コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ で、 コ マ ン ド の後に 「-help」 と 続け て入力 し 、 ENTER を押す こ と で参照す る こ と がで き ます。 • こ れ ら の nCipher コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ の概要については、『nCipher nForce Administrator Guide』 の第 13 章 「Utilities」 と 付録 C 「Utilities」、 『nCipher nForce Operator Guide』 の第 7 章 「Utilities」 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 307 付録 E マルチ ノ ー ド EX-2500 ク ラ ス タ の構成 こ の付録では、 Aventail EX-2500 アプ ラ イ ア ン ス が、 Radware な ど の外部 ロ ー ド バ ラ ンサ と 相互運用で き る よ う 構成す る ための手順について説明 し ます。 EX-2500 アプ ラ イアンスのク ラ ス タ リ ングの概要 ク ラ ス タ リ ン グでは、 1 台の外部 ロ ー ド バ ラ ン サに最大 8 つの ノ ー ド を イ ン ス ト ールす る こ と で、 Aventail VPN ソ リ ュ ーシ ョ ン の能力を向上 さ せ る こ と がで き ま す。 ただ し こ の機能は、 アベ イ ラ ビ リ テ ィ を向上 さ せ る ための も のではあ り ません。 EX-2500 では、 外部 ロ ー ド バ ラ ン サか ら のヘル ス チ ェ ッ ク も サポー ト さ れてお り 、 アプ ラ イ ア ン ス 上で ど の サービ ス が動作 し てい る か ロ ー ド バ ラ ン サか ら 確認で き る よ う にな っ てい ます。 そのため、 保守や障害の際、 ロ ー ド バ ラ ン サか ら 他のシ ス テ ムへ ト ラ フ ィ ッ ク を フ ェ イ ルオーバーす る こ と も で き ます。 メモ • ク ラ ス タ リ ン グの概要については、 第 11 章 「2 ノ ー ド ク ラ ス タ の イ ン ス ト ール と 管理」 (259 ページ ) を参照 し て く だ さ い。 ク ラス タの管理 アプ ラ イ ア ン ス を外部 ロ ー ド バ ラ ン サ と 相互運用す る よ う 構成す る と き 、 ク ラ ス タ 内のすべてのアプ ラ イ ア ン ス ノ ー ド が ピ アにな る ため、 ク ラ ス タ 間で ノ ー ド 構成を同期す る ための集中管理機能はあ り ません。 ク ラ ス タ 間で設定を同期す る ためには、 1 つの ノ ー ド で構成変更を行い、 その構成を エ ク ス ポー ト し てか ら 、 ク ラ ス タ 内の他の ノ ー ド にそれを イ ン ポー ト し な ければな り ま せん。 アプラ イアンス初期設定の実行 アプ ラ イ ア ン ス の設定は、 コ マ ン ド ラ イ ン式の Setup Tool ま たは Web ベー ス の Setup Wizard のいずれか で行い ます。 ノ ー ド を ク ラ ス タ の一部にす る か尋ね ら れた ら [no] を選択 し ます。 すべての Aventail アプ ラ イ ア ン ス は、 ス タ ン ド ア ロ ン デバ イ ス と し て構成す る 必要があ り ます。 アプラ イアンスの構成 名前解決、 日時、 SSL 証明書、 ソ フ ト ウ ェ ア ラ イ セ ン シ ン グ な ど を含む、 シ ス テ ム設定を構成 し ます。 外部 ロ ー ド バ ラ ン サ と 共同で動作 さ せ る 場合、 一部の設定で特別な注意が必要にな り ま す。 • Aventail アプ ラ イ ア ン ス は、 シ ン グルホーム ド 構成 と デ ュ アルホーム ド 構成のいずれか を使用す る よ う 構成す る こ と がで き ます。 • ロ ー ド バ ラ ン サの仮想 IP ア ド レ ス ま たは仮想ホ ス ト 名 ( 個別のアプ ラ イ ア ン ス のホ ス ト 名やア ド レ ス で はない ) を含む よ う 、 SSL 証明書を構成 し ます。 • アプ ラ イ ア ン ス のデフ ォ ル ト ゲー ト ウ ェ イ を、 ロ ー ド バ ラ ンサ ス イ ッ チの IP ア ド レ ス に設定 し ます。 こ の時点で、 基本セ キ ュ リ テ ィ ポ リ シーを構成す る こ と がで き ます。 ただ し こ の手順は、 アプ ラ イ ア ン ス の ク ラ ス タ 化が終わ っ た後に行 う こ と も で き ま す。 Aventail では、 ク ラ ス タ 内のそれぞれのアプ ラ イ ア ン ス を同 じ 構成にす る こ と を推奨 し てい ま す。 こ の よ う な 構成で あれば、 単一のアプ ラ イ ア ン ス を構成 し て、 AMC でその構成を エ ク ス ポー ト し てか ら 、 ク ラ ス タ 内の他 のアプ ラ イ ア ン ス にそれを イ ン ポー ト すれば良 く な る ため非常に便利です。 308 | 付録 E - マルチ ノ ー ド EX-2500 ク ラ ス タ の構成 スイ ッ チへのアプラ イアンスの接続 アプ ラ イ ア ン ス の外部 イ ン タ フ ェ ー ス は、外部 ロ ー ド バ ラ ンサに接続 し てい る ス イ ッ チに接続す る (Radware ス イ ッ チを使用す る 場合に推奨 さ れ る 構成 ) か、 直接 ロ ー ド バ ラ ン サに接続 し ま す。 ただ し 、 Aventail アプ ラ イ ア ン ス の ク ラ ス タ イ ン タ フ ェ ー ス は、 シ ン グルホーム ド 構成で も デ ュ アルホーム ド 構成で も 使用 さ れ ません。 デ ュ アルホーム ド 構成の場合、 内部 イ ン タ フ ェ ース がプ ラ イ ベー ト ネ ッ ト ワ ー ク に接続 さ れ ま す。 ロー ド バラ ンサの構成 ロ ー ド バ ラ ン サは、 通常の方法で構成 し ます。 Radware ス イ ッ チを構成 し てい る 場合、 次の構成事項につい て検討 し ま す。 • VIP ア ド レ ス を使用 し て WSD フ ァ ーム を作成す る 。 • アプ ラ イ ア ン ス に対 し て個別のサーバーを作成す る ( つま り 外部 イ ン タ フ ェ ー ス を使用 )。 • WSD フ ァ ーム にサーバーを追加す る 。 • アプ ラ イ ア ン ス に対す る 個別のヘル ス モニ タ リ ン グ チ ェ ッ ク を、 次の よ う に作成す る 。 Dest IP: Appliance External Interface IP address Dest Port: 1888 引数 : PATH=/__health_check__/| C1=200| MTCH=Excellent| MEXIST=Y| PRX=N| NOCACHE=N| • ヘル ス モニ タ リ ン グ チ ェ ッ ク を個別のサーバーにバ イ ン ド す る 。 上記の手順の詳細については、 外部 ロ ー ド バ ラ ン サの製品マニ ュ アルを参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 309 用語集 ア ク セ ス制御 ユーザーの身元情報や ク レデン シ ャ ルに基づいて、 ア ク セ ス を制限す る 手段。 通常、 ネ ッ ト ワ ー ク リ ソ ー ス へのユーザー ア ク セ ス を制御す る ために使用 さ れ ます。 access policy は、 シ ス テ ム上のユーザー の権限を定義す る ルールのセ ッ ト です。 こ の よ う なルールでは、 ユーザー ま たはユーザー グループがア ク セ ス を許可 さ れてい る アプ リ ケーシ ョ ンやネ ッ ト ワ ー ク リ ソ ー ス を定義 し ま す。 エイ リ アス ネ ッ ト ワ ー ク 、 ホ ス ト コ ン ピ ュ ー タ 、 ネ ッ ト ワ ー ク リ ソ ー ス な ど のオブジ ェ ク ト を示す代替の ラ ベルや 名前。 Web プ ロ キ シ サービ ス の場合、 エ イ リ ア ス には特別な意味があ り 、 内部ネ ッ ト ワ ー ク の URL を隠 す役割があ り ます。 すべての要求は、 Web プ ロ キ シ サービ ス にダ イ レ ク ト さ れ る ため、 ユーザーが目に す る のは、 入っ て く る 、 エ イ リ ア ス を含む URL のみです。 Web プ ロ キ シ サービ ス は、 こ のエ イ リ ア ス を、 AMC で定義 さ れてい る リ ス ト と 一致 さ せて、 URL を変換 し ま す。 エ イ リ ア ス は、 ト ラ ン ス レーテ ッ ド Web ア ク セ ス に限っ て使用す る こ と がで き ます。 認証 リ ソ ー スへのア ク セ ス を許可す る ために、 ユーザーの身元情報や ク レデン シ ャ ルを確認す る 方法。 ク レデ ン シ ャ ルは通常、 あ る 種のパー ミ ッ シ ョ ン リ ス ト と 比較 さ れ ま す。 認証の方法には、 ユーザーが持つ ク レデン シ ャ ルの種類を規定す る も のや、 認証の タ イ ミ ン グ を規定す る も のな ど、 さ ま ざ ま な種類があ り ま す。 認証サーバー 外部認証サーバーでは、 ユーザーの身元情報や ク レデン シ ャ ルを保管 し ます。 ユーザーがアプ ラ イ ア ン ス に ロ グ イ ン で き る よ う セ ッ ト ア ッ プ し た レ ルム が こ れを参照 し ま す。 こ のアプ ラ イ ア ン ス は、 LDAP、 Microsoft Active Directory、 RADIUS の各認証サーバーを サポー ト し てい ま す。 許可 ユーザーに対 し て、 シ ス テ ムお よ びそ こ に保管 さ れてい る デー タ を使用で き る よ う 認め る パー ミ ッ シ ョ ン。 ユーザーが認証を受け た後、 こ の許可に よ っ て ア ク セ ス 権限が指定 さ れ ま す。 Aventail ASAP Management Console (AMC) アプ ラ イ ア ン ス を管理す る ための Web ベー ス の管理ツール。 こ の ツールを使用す る と 、 セ キ ュ リ テ ィ ポ リ シーの管理、 シ ス テ ム の構成 ( ネ ッ ト ワ ーキ ン グお よ び証明書の構成を含む )、 モニ タ リ ン グについて 集中的にア ク セ ス で き る よ う にな り ます。 AMC は、 任意の Web ブ ラ ウ ザか ら ア ク セ ス す る こ と がで き ま す。 Aventail ASAP WorkPlace 任意の Web ブ ラ ウ ザか ら 、Web ベー ス の リ ソ ー ス や Windows ネ ッ ト ワ ー ク 共有 リ ソ ース へア ク セ ス で き る よ う にす る 、 動的なパー ソ ナ ラ イ ズが可能なユーザー ア ク セ ス コ ン ポーネ ン ト 。 Aventail Connect Mobile ク ラ イ ア ン ト Pocket PC デバ イ ス で動作す る 軽量のアプ リ ケーシ ョ ン で、 従来の ク ラ イ ア ン ト / サーバー アプ リ ケー シ ョ ン、 シ ン ク ラ イ ア ン ト アプ リ ケーシ ョ ン、 Aventail Web プ ロ キ シ サービ ス で保護 さ れた Web リ ソ ー ス な ど、 広範囲の リ ソ ー ス に対す る ア ク セ ス を提供 し ま す。 Aventail Connect プ ロキシ ク ラ イ ア ン ト Aventail ネ ッ ト ワ ー ク ア ク セ ス サービ ス に接続 し 、 ネ ッ ト ワ ー ク リ ソ ース に対 し て、 認証 さ れ暗号化 さ れた ア ク セ ス を可能にす る 、 構成可能な 32 ビ ッ ト Windows ク ラ イ ア ン ト 。 Aventail Connect は、 ユーザーの コ ン ピ ュ ー タ に イ ン ス ト ール さ れ ます。 Aventail Connect ト ン ネル ク ラ イ ア ン ト Aventail ネ ッ ト ワ ー ク ト ン ネル サービ ス で保護 さ れた リ ソ ー ス に対 し て、 フル ア ク セ ス で き る よ う にす る Windows アプ リ ケーシ ョ ン。 Connect ト ン ネル ク ラ イ ア ン ト を使用す る と 、 TCP/IP を使用す る アプ リ ケーシ ョ ンや、 VoIP や ICMP と い っ た非 TCP プ ロ ト コ ルを使用す る アプ リ ケーシ ョ ン な ど、 あ ら ゆ る 種類のアプ リ ケーシ ョ ン にア ク セ ス で き る よ う にな り ま す。 Connect ト ン ネル ク ラ イ ア ン ト では他に も 、 ス プ リ ッ ト ト ン ネ リ ン グ制御、 細かいア ク セ ス 制御、 プ ロ キ シ検出、 認証な ど の機能 も 提供 さ れ ま す。 Aventail OnDemand プ ロ キシ エージ ェ ン ト Aventail ネ ッ ト ワ ー ク ア ク セ ス サービ ス に接続 し 、 ネ ッ ト ワ ー ク リ ソ ース に対 し て、 認証 さ れ暗号化 さ れた ア ク セ ス を可能にす る 、 安全かつ軽量の Java アプ レ ッ ト 。 ユーザーが ASAP WorkPlace に ロ グ イ ンす る と き に OnDemand が自動的に起動す る よ う 構成で き る 他、 ユーザーが ASAP WorkPlace の リ ン ク を ク リ ッ ク し て OnDemand を始動 さ せ る こ と も で き ます。 310 | - 用語集 Aventail OnDemand ト ン ネル エージ ェ ン ト Connect ト ン ネル ク ラ イ ア ン ト と 同様、 広範な アプ リ ケーシ ョ ンお よ びプ ロ ト コ ル ア ク セ ス を提供す る 軽量のエージ ェ ン ト ですが、 ASAP WorkPlace ポー タ ルに統合 さ れてお り 、 ユーザーが WorkPlace に ロ グ イ ンす る たびに自動的に起動 し ま す。 Aventail OnDemand ト ン ネル エージ ェ ン ト を使用す る と 、 Web ブ ラ ウ ザ を使用 し て、 Aventail ネ ッ ト ワ ー ク ト ン ネル サービ ス で保護 さ れた リ ソ ース に対 し 、 完全 なネ ッ ト ワ ー ク お よ びアプ リ ケーシ ョ ン ア ク セ ス が可能にな り ま す。 バッ クエン ド ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン ま たはシ ス テ ム の場合に、 サーバー上で動作す る プ ロ グ ラ ム の 一部 ( 注 : サーバーには フ ロ ン ト エ ン ド と バ ッ ク エ ン ド があ る )。 双方向ア ク セ ス制御ルール ユーザー と リ ソ ー ス の両方が、 アプ ラ イ ア ン ス を通 る ト ラ フ ィ ッ ク を開始で き る よ う にす る ルール。 こ れ には、 順方向接続、 逆方向接続、 相互接続が含 まれ ます。 ブ ラ ウザ プ ロ フ ァ イル ユーザーエージ ェ ン ト 文字列を特定 タ イ プの小型携帯端末 と 対応 さ せ る プ ロ フ ァ イ ル。 ブ ラ ウ ザ プ ロ フ ァ イ ルでは、 WorkPlace の コ ン テ ン ツ が表示 さ れ る 方法や、 ク ラ イ ア ン ト デバ イ ス で使用で き る 機能 を決定 し ま す。 CA ( 認証局 ) 証明書の発行、 更新、 廃止な ど を行 う 、 信頼で き る 第三者機関。 CA は、 独自の証明書が与え ら れた個人 が、 実際にその当人であ る こ と を証明 し ま す (CA の個人ポ リ シーに従っ て )。 ルー ト CA は通常、 中間 CA に証明書を発行 し 、 その中間 CA がユーザーに証明書を発行 し ます。 証明書は、 ルー ト ま で証明書 チ ェ ーン を遡 る こ と で、 こ の信頼の階層に従っ て確認 さ れ ます。 証明書 サーバーま たは ク ラ イ ア ン ト の身元を確認 し 、 デジ タ ル情報の暗号化 と 署名のための RSA 鍵ペアにバ イ ン ド す る ためのデジ タ ル証明書。 証明書には、 その個人の身元を保証す る CA が署名 し ま す。 証明書チ ェ ーン 最下層にユーザーの証明書 ( 「 リ ーフ」 )、 中間層に中間 CA ( あ る 場合 ) の証明書、 最上層にプ ラ イ マ リ CA の証明書を含む証明書の系列。 サイ フ ァ 鍵を使用 し てプ レーン テ キ ス ト をサ イ フ ァ テ キ ス ト ( ま たはその逆 ) に変換す る 暗号アルゴ リ ズ ムの一 種。 ク ラ イアン ト ク ラ イ ア ン ト / サーバー アーキ テ ク チ ャ の ク ラ イ ア ン ト コ ン ポーネ ン ト 。 対応す る サーバー コ ン ポーネ ン ト に コ マ ン ド を送信 し 、 要求を実行 し たサーバーか ら 情報を受信す る と き に使用 し ます。 ク ラスタ 2 台の同 じ アプ ラ イ ア ン ス を ま と め、 1 つの仮想 IP ア ド レ ス に統合 し た も の。 Aventail ク ラ ス タ では、 統合 さ れた負荷分散、 ス テー ト フ ル ユーザー認証フ ェ イ ルオーバー、 集中管理な ど の機能を搭載す る こ と で、 シ ン グル ポ イ ン ト 障害を防止 し 、 高可用性を実現 し てい ます。 コ ミ ュ ニテ ィ ユーザーの集 ま り に割 り 当て ら れたプ ロ ビ ジ ョ ニ ン グ プ ロ フ ァ イ ルで、 ユーザー集団の メ ンバーが レ ル ム に ロ グ イ ンす る と き に、 ど のア ク セ ス ク ラ イ ア ン ト と End Point Control エージ ェ ン ト が イ ン ス ト ー ル さ れ る かが こ れに よ っ て決ま り ま す。 ク レ デン シ ャ ル 認証のために使用 さ れ る 個別のパ ス ワ ー ド や、 証明書に含まれ る 実際の情報な ど、 リ ソ ー ス に対す る ユー ザーのア ク セ ス許可を確認す る 情報。 相互接続 VPN ユーザーが他の VPN ユーザー と の間でデー タ を交換で き る よ う にす る Voice over Internet Protocol (VoIP) アプ リ ケーシ ョ ン な ど の双方向接続。 相互接続では、 順方向接続に使用す る ア ク セ ス 制 御ルール と 逆方向接続に使用す る ア ク セ ス 制御ルールのペアが必要です。 CSR ( 証明書署名要求 ) ユーザーの名前や暗号鍵が含ま れ る 証明書の発行を CA に求め る 要求。 CSR には、 CA がユーザーを認証 で き る よ う にす る 情報は含 ま れてい ま せん。 CA には慎重 さ が求め ら れ る ため、 そのポ リ シーに従っ て、 こ の よ う な情報は個別に処理 さ れ る よ う にな っ てい ま す。 こ の要求の フ ァ イ ル名の最後には通常、 .req がつ き ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 311 DES ( デー タ 暗号化規格 ) デー タ の暗号化のための、 一般的な標準化サ イ フ ァ 。 デー タ の暗号化 と 復号化に共通の 56 ビ ッ ト 鍵が使 用 さ れ ます。 56 ビ ッ ト は、 現代のセ キ ュ リ テ ィ 標準か ら 考え る と 不足気味で あ る ため、 共通の方式を使 用 し て、 異な る 鍵で DES を三重にかけ ます ( ト リ プル DES)。 デバ イ ス プ ロ フ ァ イル AMC で定義 さ れてい る 固有の属性を ま と めた も ので、 アプ ラ イ ア ン ス が ク ラ イ ア ン ト デバ イ ス を識別 し 、 信頼性の レベルを評価 し て、 End Point Control ゾーン にそれを割 り 当て る ために使用 し ま す。 DMZ イ ン タ ーネ ッ ト と ネ ッ ト ワ ー ク の フ ァ イ ア ウ ォ ールの間に設定 さ れ る 「非武装地帯」。 通常、 DMZ は、 プ ラ イ ベー ト ネ ッ ト ワ ー ク のセ キ ュ リ テ ィ を維持 し なが ら 、 イ ン タ ーネ ッ ト 経由でア ク セ ス 可能な リ ソ ー ス を ホ ス ト す る ために使用 さ れ ます。 DN ( 識別名 ) 属性お よ びそれに対応す る 値の リ ス ト に よ っ て構成 さ れ る 名前で、 ユーザーま たはグループ を識別 し ま す。 DN は、 証明書で名前を指定す る と き や、 デ ィ レ ク ト リ サーバーでエ ン ト リ をル ッ ク ア ッ プす る と き な ど に使用 さ れ ま す。 Aventail では、 DN を表現す る と き 、 一般的に RFC 2253 ガ イ ド ラ イ ン を使用 し てい ま す。 DNS (domain name system) 英字の ド メ イ ン名を数値の IP ア ド レ ス に変換す る イ ン タ ーネ ッ ト ユーテ ィ リ テ ィ 。 ド メ イ ン名が使用 さ れ る たびに、 DNS サーバーがそれを変換 し なければな り ません。 あ る DNS サーバーが、 特定の ド メ イ ン 名の変換方法を認識で き ない場合、 ド メ イ ン名が正 し く 変換 さ れ る ま で、 他のサーバーに順番に尋ねてい き ま す。 DNS サーバー Domain Name System (DNS) か ら の照会に回答す る コ ン ピ ュ ー タ 。 DNS サーバーは、 ホ ス ト コ ン ピ ュ ー タ と ド メ イ ン名、 対応す る IP ア ド レ ス のデー タ ベー ス を保持 し ます。 ド メ イ ン名が照会 さ れた ら 、 それ と 一致す る IP ア ド レ ス を返 し ま す。 ド メ イン 1 つの単位 と し て共通のルール と 手順で管理 さ れ る 、 ネ ッ ト ワ ー ク 上の コ ン ピ ュ ー タ と デバ イ ス のグルー プ。 イ ン タ ーネ ッ ト 内では、 ド メ イ ンは IP ア ド レ ス で定義 さ れ ま す。 IP ア ド レ ス の共通部分を共有す る デバ イ ス はすべて、 同 じ ド メ イ ン に入っ てい る こ と にな り ま す。 ダウ ン ス ト リ ーム Web サーバー Aventail Web プ ロ キ シ サービ ス で保護 さ れてい る 、 内部ネ ッ ト ワ ー ク 上のプ ラ イ ベー ト サーバー。 Web プ ロ キ シ サービ ス では、 エ イ リ ア ス を使用 し て、 ダ ウ ン ス ト リ ーム サーバー上の URL を隠 し ま す。 すべての要求は、 Web プ ロ キ シ サービ ス にダ イ レ ク ト さ れ る ため、 ユーザーが目にす る のは、 入っ て く る 、 エ イ リ ア ス を含む URL のみです。 Web プ ロ キ シ サービ ス は、 こ のエ イ リ ア ス を、 AMC で定義 さ れ てい る リ ス ト と 一致 さ せて、 URL を変換 し ま す。 動的 リ ダ イ レ ク シ ョ ン Aventail OnDemand リ ダ イ レ ク シ ョ ン モー ド は、 Windows を使用す る ユーザー向けの も ので、 OnDemand が、 AMC で定義 さ れてい る 任意の ド メ イ ン ま たは IP ア ド レ ス に接続を動的に リ ダ イ レ ク ト で き る よ う に し ま す。 こ の動的 リ ダ イ レ ク シ ョ ン は、 Windows ユーザーの場合、 自動的に有効にな り ま す。 個別のアプ リ ケーシ ョ ン ご と に特定のポー ト やループバ ッ ク ア ド レ ス を構成す る 必要はあ り ま せん。 暗号化 サ イ フ ァ を使用 し て、 プ レーン テ キ ス ト と 鍵か ら サ イ フ ァ テ キ ス ト を生成 し ま す。 暗号化は、 デー タ の漏 洩を防止 し ま す。 End Point Control 重要なデー タ を保護 し 、 信頼 さ れていない環境の PC か ら ア ク セ ス さ れた場合にネ ッ ト ワ ー ク が危険に さ ら さ れ る こ と のない よ う にす る コ ン ポーネ ン ト 。 フ ァ イル シ ス テム リ ソ ース Windows ネ ッ ト ワ ー ク 上の ド メ イ ン、 サーバー、 共有、 フ ォ ルダ。 ASAP WorkPlace を使用す る こ と で、 ユーザーが フ ァ イ ル シ ス テ ム リ ソ ー ス にア ク セ ス で き る よ う にす る こ と がで き ま す。 ASAP WorkPlace は、 任意の標準 Web ブ ラ ウ ザか ら 使用す る こ と がで き ます。 Filter-ID ユーザーが所属す る グループ を示す RADIUS 属性。 こ の属性を使用す る こ と に よ り 、 許可ルールの設定 ポ リ シーで、 ユーザー名の代わ り にグループ名を指定す る こ と がで き ま す。 312 | - 用語集 FIPS FIPS は、 暗号化 ソ フ ト ウ ェ ア を実装す る ための基準を設定 し た米国の規格です。 FIPS (Federal Information Processing Standard) では、 暗号アルゴ リ ズ ム の実装、 鍵素材 と デー タ バ ッ フ ァ の処理、 オペ レーテ ィ ン グ シ ス テ ム と の協調な ど に関す る ベ ス ト プ ラ ク テ ィ ス を指定 し てい ま す。 フ ァ イ アウ ォ ール ソ フ ト ウ ェ ア ま たはハー ド ウ ェ アに実装 し 、 ネ ッ ト ワ ー ク に対す る 無許可ア ク セ ス を防止す る こ と がで き る シ ス テ ム。 フ ァ イ ア ウ ォ ールでは、 通過 し よ う と す る メ ッ セージ を検査 し 、 指定 さ れてい る 基準 と 合致 し ない も のについては通行を妨げ ます。 フ ァ イ ア ウ ォ ール技術にはい く つかの種類があ り 、 2 種類の技術 を組み合わせて使用す る のが一般的です。 フ ァ イ ア ウ ォ ールは、 セ キ ュ リ テ ィ に基づ く アーキ テ ク チ ャ で は、 最前線の防衛手段にな る と 考え ら れてい ま す。 順方向接続 VPN ユーザーか ら ネ ッ ト ワ ー ク リ ソ ース への接続。 正規 「完全」 や 「FQDN」 ( 正規の ド メ イ ン名 ) な ど と 呼ばれ る こ と も あ り ます。 コ ン ピ ュ ー タ の名前、 ア ド レ ス、 パ スや、 ホ ス ト 、 ド メ イ ン、 フ ァ イ ルな ど を完全に記述す る と き に使用 し ます。 正規の名前は、 個別 の フ ァ イ ル、 IP ア ド レ ス、 ホ ス ト 、 ド メ イ ン な ど に誘導す る 、 階層シ ス テ ムのすべての コ ン ポーネ ン ト の リ ス ト を表 し ま す。 正規でない名前、 ア ド レ ス 、 パ ス の場合、 エ イ リ ア ス が含 まれてい る か、 短縮バー ジ ョ ン にな っ てい ま す。 ゲー ト ウ ェ イ ハー ド ウ ェ ア と ソ フ ト ウ ェ ア を組み合わせ、 異な る 通信プ ロ ト コ ルを使用 し て 2 つのネ ッ ト ワ ー ク を接続 し ま す。 ネ ッ ト ワ ー ク 間で交換 さ れ る デー タ を変換 し 、 それぞれのネ ッ ト ワ ー ク が も う 一方のネ ッ ト ワ ー ク か ら 受け取っ たデー タ を読み込め る よ う に し ます。 グ ラ フ ィ カル サーバー シ ョ ー ト カ ッ ト Windows Terminal Services ホ ス ト ま たは Citrix ホ ス ト を使用 し て タ ー ミ ナル サーバーにア ク セ ス で き る よ う にす る 、 ASAP WorkPlace 上の リ ン ク 。 グループ ア フ ィ ニ テ ィ チ ェ ッ ク セ カ ン ダ リ 認証サーバーで グループ メ ンバーシ ッ プ をル ッ ク ア ッ プす る こ と に よ り 、 権限を制御 し ます。 こ の構成は通常、 RADIUS サーバーが ト ー ク ン でユーザーを認証 し 、 Active Directory サーバーや LDAP サーバーにグループ メ ンバーシ ッ プ情報が含ま れてい る 場合に使用 さ れ ます。 ハッ シュ 「ハ ッ シ ュ 値」 と も 呼ばれ ます。 式を テ キ ス ト 文字列に適用 し て生成 さ れ る 数値で、 他の文字列か ら 同 じ 数が生成 さ れ る こ と はほ と ん ど あ り ません。 ハ ッ シ ュ は常に、 テ キ ス ト 自体 よ り は る かに小 さ く な り ま す。 ホス ト TCP/IP ネ ッ ト ワ ー ク ( イ ン タ ーネ ッ ト を含む ) に接続す る コ ン ピ ュ ー タ で、 イ ン タ ーネ ッ ト へ リ ソ ー ス と サービ ス を提供す る サーバー プ ロ グ ラ ム が動作す る も の。 それぞれのホ ス ト には、 固有の IP ア ド レ ス があ り ます。 ホス ト 名 イ ン タ ーネ ッ ト 経由で探す こ と がで き る 、 個別の コ ン ピ ュ ー タ に対す る 非数値の名前。 ホ ス ト 名はた と え ば 「private.aventail.com」 の よ う にな り ま す。 ホ ス ト 名 と い う 言葉は、 名前の最 も 左の部分 (private) と 、 名前全体 (private.aventail.com) の両方を指 し ます。 残 り の 2 つの部分は、 ド メ イ ン名 (aventail) と ト ッ プ レベル ド メ イ ン (com) にな り ま す。 HTTPS SSL 内で階層化す る こ と に よ り HTTP プ ロ ト コ ルを保護す る ための一般的な方法。 IP (Internet Protocol) イ ン タ ーネ ッ ト で使用 さ れ る 基本デー タ 転送プ ロ ト コ ル。 送信者や受信者のア ド レ ス な ど の情報が、 電子 的な 「パケ ッ ト 」 に挿入 さ れて転送 さ れ ま す。 詳細については、 RFC 791 を参照 し て く だ さ い。 IP ア ド レ ス イ ン タ ーネ ッ ト 上の個別の コ ン ピ ュ ー タ を識別す る 固有の ID 番号。 それぞれの 32 ビ ッ ト ア ド レ ス は、 0 か ら 255 ま での 8 ビ ッ ト の 4 つの数値を ピ リ オ ド で区切っ て集めた も のです。 左か ら 右への階層は、 イ ン タ ーネ ッ ト 全体の大ま かな編成を表現 し てい ま す。 そのため、 他のネ ッ ト ワ ー ク を含むネ ッ ト ワ ー ク も 存在 し ま す。 右端の最後の数値は、 個別のホ ス ト コ ン ピ ュ ー タ を識別 し ます。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 313 IP ア ド レ ス プール Aventail ト ン ネル ク ラ イ ア ン ト を使用 し た リ モー ト ク ラ イ ア ン ト 接続のために、ネ ッ ト ワ ー ク ト ン ネル サービ ス に よ っ て割 り 当て ら れた IP ア ド レ ス のグループ。 鍵 特定の暗号操作を実行す る 上で必要な情報の集 ま り 。 鍵は、 ラ ン ダ ム に生成で き る 他、 ユーザーに と っ て わか り やすい表現 ( パ ス ワ ー ド な ど ) か ら 生成す る こ と も で き ま す。 鍵の長 さ 一般的にビ ッ ト 数で表 さ れ る 、 鍵のサ イ ズ。 他のすべての条件が同 じ 場合、 鍵の長 さ が長いほ ど安全性は 向上 し ます。 ただ し 、 アルゴ リ ズ ム の速度は遅 く な り がちです。 鍵ペ ア 公開鍵暗号アルゴ リ ズ ム ( た と えば RSA) で使用 さ れ る 、 公開鍵 と 秘密鍵のペア。 公開鍵 と 秘密鍵は、 そ れぞれ対応す る 操作 ( 公開鍵で メ ッ セージ を暗号化 し 、 秘密鍵で復号化す る な ど ) で使用 さ れ ま す。 LAN ( ロー カ ル エ リ ア ネ ッ ト ワー ク ) 比較的小 さ い領域 ( 通常は単一のバ イ ンデ ィ ン グ ) で ワ ー ク ス テーシ ョ ン、 コ ン ピ ュ ー タ 、 その他のデバ イ ス を接続す る ネ ッ ト ワ ー ク 。 LAN を使用す る と 、 ユーザーが他の コ ン ピ ュ ー タ のデー タ にア ク セ ス で き る よ う にな る 他、 プ リ ン タ な ど のデバ イ ス も 共有で き る よ う にな り ま す。 複数の LAN を リ ン ク し て、 WAN を形成す る こ と も で き ます。 LDAP (Lightweight Directory Access Protocol) X.500 デ ィ レ ク ト リ ア ク セ ス プ ロ ト コ ル (DAP) の簡易バージ ョ ン。 詳細については、 RFC 2251 を参 照 し て く だ さ い。 マス ター ノ ー ド Aventail ク ラ ス タ で、 ク ラ ス タ 内においてポ リ シー と 構成の伝播、 同期を コ ン ト ロ ールす る ノ ー ド 。 す べての構成は、 マ ス タ ー ノ ー ド で行われ、 その後マ ス タ ー ノ ー ド は、 構成の変更を ス レーブ ノ ー ド に伝 播 し ま す。 MD5 固有の メ ッ セージ要約アルゴ リ ズ ム。 MD5 は、 SHA-1 ほ ど安全性は高 く あ り ま せんが、 は る かに高速 で、 一般的に 「十分な安全性を持つ」 と 考え ら れてい ます。 マルチホーム ド 複数の NIC ( ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス カー ド ) を搭載 し 、 複数のネ ッ ト ワ ー ク に接続す る マ シ ン。 NAS ( ネ ッ ト ワー ク ア ク セ ス サーバー ) ダ イ ヤル イ ン モデム を処理す る タ ー ミ ナル サーバーな ど、 リ ソ ー ス のセ ッ ト に、 管理 さ れた接続性を提 供す る サーバー。 RADIUS ク ラ イ ア ン ト は、 一般的に NAS と 呼ばれ ま す。 NAT ( ネ ッ ト ワー ク ア ド レ ス変換 ) 内部 IP ア ド レ ス を 1 つの外部 IP ア ド レ ス に変換す る イ ン タ ーネ ッ ト 規格。 こ れに よ り 、 組織は、 IP ア ド レ ス を 1 つだけ イ ン タ ーネ ッ ト に提示す る こ と がで き ます。 NAT を使用す る と 、 内部ア ド レ ス を隠せ る だけでな く 、 組織が必要 と す る ア ド レ ス の数を減 ら す こ と で IP ア ド レ ス を一定に保つ こ と も で き ます。 [Network Explorer] ページ ASAP WorkPlace のページで、 ユーザーがア ク セ ス 権限を持つ Windows フ ァ イ ル シ ス テ ム リ ソ ー ス が 表示 さ れ ます。 こ の リ ソ ー ス には、 サーバー、 コ ン ピ ュ ー タ 、 ワ ー ク グループ、 フ ォ ルダ、 フ ァ イ ルな ど が含 ま れ ま す。 ネ ッ ト ワー ク プ ロキシ サービ ス 標準 ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン にア ク セ スす る ための、 セ キ ュ ア なプ ロ キ シ を提供す る ア ク セ ス サービ ス 。Aventail Connect プ ロ キ シ ク ラ イ ア ン ト お よ び Aventail OnDemand プ ロ キ シ エー ジ ェ ン ト と 共同で動作 し て、 イ ン タ ーネ ッ ト 経由で、 認証 さ れ暗号化 さ れた ア ク セ ス を可能に し ま す。 ネ ッ ト ワ ー ク プ ロ キ シ サービ ス は、 SOCKS v5 プ ロ ト コ ルをベー ス に し てい ま す。 ネ ッ ト ワー ク リ ソ ース ネ ッ ト ワ ー ク 上の ク ラ イ ア ン ト / サーバー (TCP/IP) リ ソ ース 。 こ の よ う な アプ リ ケーシ ョ ン には、 Citrix の よ う なシ ン ク ラ イ ア ン ト アプ リ ケーシ ョ ン、 Microsoft Outlook の よ う な フル ク ラ イ ア ン ト / サーバー アプ リ ケーシ ョ ン、 Lotus Notes、 SAP、 タ ー ミ ナル サーバーな ど があ り ま す。 ネ ッ ト ワ ー ク リ ソ ー ス は、 ホ ス ト 名、 IP ア ド レ ス 、 IP ア ド レ ス 範囲、 サブネ ッ ト IP ア ド レ ス 、 DNS ド メ イ ン な ど で 定義す る こ と がで き ます。 314 | - 用語集 ネ ッ ト ワー ク 共有 Windows ネ ッ ト ワ ー ク 上にあ り 、 権限を持つユーザーがその内容にア ク セ ス で き る ワ ー ク グループ、 コ ン ピ ュ ー タ 、 フ ォ ルダ。 ネ ッ ト ワ ー ク 共有に対 し ては、 ユーザーが、 ASAP WorkPlace を介 し て標準 Web ブ ラ ウ ザか ら ア ク セ ス す る こ と がで き ま す。 ネ ッ ト ワー ク シ ョ ー ト カ ッ ト ネ ッ ト ワ ー ク 上の フ ァ イ ル シ ス テ ム リ ソ ース にア ク セ スす る ための ASAP WorkPlace の リ ン ク 。ネ ッ ト ワ ー ク シ ョ ー ト カ ッ ト は、 Windows サーバー、 コ ン ピ ュ ー タ 、 ワ ー ク グループ、 フ ォ ルダに対す る も の を定義す る こ と がで き ます。 ネ ッ ト ワー ク ト ン ネル サービ ス 広範囲のアプ リ ケーシ ョ ン にセ キ ュ ア なネ ッ ト ワ ー ク ト ン ネル ア ク セ ス を提供す る ネ ッ ト ワ ー ク ルー テ ィ ン グ テ ク ノ ロ ジー。 対象 と な る アプ リ ケーシ ョ ン には、 Voice Over IP (VoIP) や ICMP な ど の非 TCP プ ロ ト コ ル、 逆方向接続プ ロ ト コ ル、 FTP な ど の双方向プ ロ ト コ ルを使用す る も の も 含ま れ ます。 こ のサービ ス は、 Aventail Connect ト ン ネル ク ラ イ ア ン ト や Aventail OnDemand ト ン ネル エージ ェ ン ト と 共同で動作 し て、 認証 さ れ暗号化 さ れた ア ク セ ス を可能に し ます。 NIC ( ネ ッ ト ワー ク イ ン タ フ ェ ース カ ー ド ) コ ン ピ ュ ー タ にデー タ 交換機能を提供す る プ リ ン ト 基盤ま たはカー ド で、 ネ ッ ト ワ ー ク 内の ク ラ イ ア ン ト やサーバーに取 り 付け ま す。 ネ ッ ト ワ ー ク ア ダプ タ と 呼ばれ る こ と も あ り ま す。 ping 接続性を判定す る ための診断ツール。 リ モー ト ホ ス ト を 「ping」 す る 場合、 ICMP ECHO_REQUEST パ ケ ッ ト を送信 し 、 ホ ス ト の応答があ る ま で待機 し て確認 し ます。 応答がない場合、 リ モー ト ホ ス ト がダ ウ ン し てい る か到達不能にな っ てい ます。 応答があ る 場合は、 応答の遅延時間を使用 し て、 そのホ ス ト と デー タ 交換す る と き に必要な ラ ウ ン ド ト リ ッ プ時間 (RTT) を判定す る こ と がで き ます。 プ レ ーン テキス ト 暗号化 さ れていないため、 その ま ま読む こ と がで き る メ ッ セージのテ キ ス ト 。 ポー ト お よびポー ト 番号 TCP/IP お よ び UDP ネ ッ ト ワ ー ク を参照す る 場合の論理チ ャ ネル ま たはチ ャ ネル エ ン ド ポ イ ン ト 。 ポー ト 番号は、 アプ リ ケーシ ョ ン プ ロ グ ラ ム に割 り 当て ら れ、 入っ て く る デー タ を正 し いサービ ス に リ ン ク す る ために使用 さ れ ます。 一般的なポー ト と は、 特定 タ イ プの ト ラ フ ィ ッ ク で一般的に使用 さ れ る 標準 ポー ト 番号を示 し ます。 た と えば、 ポー ト 80 は一般的に HTTP (Web) ト ラ フ ィ ッ ク で使用 さ れ、 ポー ト 20 は一般的に FTP 転送に割 り 当て ら れ ます。 秘密鍵 公開鍵暗号アルゴ リ ズ ム で使用 さ れ る 鍵ペアの半分で、 所有者のみが知っ てお り 共有 さ れ る こ と はあ り ま せん。 公開鍵が、 鍵ペアの残 り の半分にな り ます。 プ ロ ト コル コ ン ピ ュ ー タ シ ス テ ム のネ ッ ト ワ ー ク 間の情報交換に使用 さ れ る ルール と 手順。 プ ロキシ サーバー LAN と の イ ン タ ーネ ッ ト ト ラ フ ィ ッ ク を管理す る フ ァ イ ア ウ ォ ール コ ン ポーネ ン ト 。 内部 リ ソ ー ス と こ れ ら の リ ソ ー ス の外部要求 と の間のプ ロ キ シ ま たは中間 コ ン ポーネ ン ト と し て機能 し ま す。 プ ロ キ シ サーバーは、 実際のネ ッ ト ワ ー ク ア ド レ ス を隠 し て (IP ア ド レ ス が盗 ま れた り マ ッ ピ ン グ さ れた り す る のを防止 )、 すべてのアプ リ ケーシ ョ ン通信を保護 し 管理 し ます。 プ ロ キ シ サーバーを使用す る と 、 外部 ユーザー と 内部 リ ソ ー ス と の間に直接接続がな く な り ま す。 内部 リ ソ ース と の間のすべての ト ラ フ ィ ッ ク は、 プ ロ キ シ サーバーにプ ロ キ シ さ れ ます。 Aventail ネ ッ ト ワ ー ク ア ク セ ス サービ ス は、 SOCKS v5 プ ロ キ シ サーバーにな り ます。 公開鍵 公開鍵暗号アルゴ リ ズ ム で使用 さ れ る 鍵ペアの半分で、 一般に公開 さ れてお り ユーザーの証明書に も 含ま れ ま す。 秘密鍵が、 鍵ペアの残 り の半分にな り ます。 公開鍵暗号 デー タ の暗号化 と 復号化に 2 つの異な る 鍵を使用す る 暗号アルゴ リ ズ ム ( 両方で同 じ 鍵を使用す る 従来型 のサ イ フ ァ と は異な る )。 こ の よ う な シ ス テ ム では、 鍵ペア ( 半分が公開鍵、 残 り の半分が秘密鍵 ) を生 成 し 、 デジ タ ル署名 と 鍵交換に使用す る こ と がで き ます。 公開鍵シ ス テ ムは、 非常に安全性が高 く 、 あ ら か じ め鍵を交換 し な く て も 通信が可能にな り ま す。 そのため、 関連性のない多数の人々の間で も ( イ ン タ ーネ ッ ト を介 し て ) 通信を容易に行 う こ と がで き ます。 こ のア イ デアは、 Diffie と Hellman が開発 し た も ので、 最 も よ く 使用 さ れ る 公開鍵アルゴ リ ズ ムは RSA です。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 315 RADIUS (Remote Authentication Dial-In User Service) バ ッ ク エ ン ド 認証デー タ ベー ス と 通信す る ためのプ ロ ト コ ル。 ユーザー名 / パ ス ワ ー ド 、 CHAP、 CRAM 認証 メ カ ニズ ム で使用す る と 便利です。 ユーザーは、 ネ ッ ト ワ ー ク ア ク セ ス サーバーつ ま り NAS ( た と えば Aventail ネ ッ ト ワ ー ク ア ク セ ス サービ ス ) に ク レデン シ ャ ルを送信 し 、 今度は NAS が RADIUS サーバーにそれを送信 し ます。 RADIUS サーバーは、 パ ス ワ ー ド をチ ェ ッ ク し 、 認証が正 し いか ど う か NAS に通知 し ま す。 詳細については、 RFC 2138 を参照 し て く だ さ い。 レルム 外部認証サーバーにマ ッ ピ ン グ さ れたユーザー グループで、 AMC で定義 し ます。 逆方向接続 ネ ッ ト ワ ー ク リ ソ ース か ら VPN ユーザーへの接続。 逆方向接続の例には、 ユーザーのマ シ ン に ソ フ ト ウ ェ ア ア ッ プデー ト を 「プ ッ シ ュ 」 す る SMS サーバーがあ り ます。 RIP ( ルーテ ィ ン グ情報プ ロ ト コ ル ) ルー タ 同士でルーテ ィ ン グ テーブル情報を動的に共有で き る よ う にす る ためのプ ロ ト コ ル。 RSA (Rivest-Shamir-Adelman) 暗号 今日、 最 も 広い範囲で使用 さ れてい る 公開鍵アルゴ リ ズ ム。 RSA と い う 名前は、 1978 年に MIT で こ れ を開発 し た Ron Rivest、 Adi Shamir、 Leonard Adelman か ら それぞれ と ら れてい ま す。 PGP、 SSL、 S/MIME な ど が、 RSA と 共同で鍵交換やデジ タ ル署名を行 う ために広 く 使用 さ れてい ま す。 RSA は米国 で特許を取っ てお り 、 使用が制限 さ れてい ま し たが、 こ の特許権は 2000 年の 9 月に期限が切れ ま し た。 SecurID RSA Security が開発 し た二因子ユーザー認証シ ス テ ム。 こ のシ ス テ ム は、 判明 し てい る も の (PIN) と 所 有す る も の ( ハー ド ウ ェ ア ト ー ク ン ) に基づいて認証を行い ます。 こ れ ら の因子の組み合わせに よ っ てダ イ ナ ミ ッ ク パ ス コ ー ド が生成 さ れ、 ユーザーは こ れを認証 メ カ ニ ズ ム で入力 し ます。 サーバー ネ ッ ト ワ ー ク に接続 し てい る コ ン ピ ュ ー タ の こ と で、 他の コ ン ピ ュ ー タ と リ ソ ー ス を共有 し ま す。 サー バーは、 情報を ク ラ イ ア ン ト に 「提供」 し ます。 シ ン グル サ イ ン オ ン ユーザーの ロ グ イ ン ク レデン シ ャ ルがダ ウ ン ス ト リ ーム Web アプ リ ケーシ ョ ン に転送 さ れ る か ど う か コ ン ト ロ ールす る オプシ ョ ン。 ユーザーの ク レデン シ ャ ルを転送す る と 、 ユーザーが複数回 ロ グ イ ンす る 手 間を省 く こ と がで き ま す。 ス レ ーブ ノ ー ド Aventail ク ラ ス タ で、 マ ス タ ー ノ ー ド に よ っ て コ ン ト ロ ール さ れ る セ カ ン ダ リ ノ ー ド 。 すべての構成 は、 マ ス タ ー ノ ー ド で行われ、 その後マ ス タ ー ノ ー ド は、 構成の変更を ス レーブ ノ ー ド に伝播 し ま す。 小型携帯端末 ASAP WorkPlace に接続 し て Web リ ソ ー ス にア ク セ ス で き る 、 ス マー ト フ ォ ンや特定の携帯電話、 pocket PC、 携帯情報端末な ど のデバ イ ス 。 SOCKS v5 プ ロ キ シ サーバーを通 る TCP ト ラ フ ィ ッ ク を操作す る ためのセ キ ュ リ テ ィ プ ロ ト コ ル。 SOCKS は、 認 証済みの フ ァ イ ア ウ ォ ール ト ラ バー ス のための IETF 規格で、 ほ と ん どすべての TCP アプ リ ケーシ ョ ン で使用す る こ と がで き ます。 LAN、 イ ン ト ラ ネ ッ ト 、 エ ク ス ト ラ ネ ッ ト な ど のデー タ ト ラ フ ィ ッ ク に対 す る フ ロ ー と セ キ ュ リ テ ィ を管理す る ためのプ ロ キ シ メ カ ニ ズ ム と し て動作 し ます。 SOCKS では、 ソ ケ ッ ト を使用 し て、 個別の接続を表現 し 記録 し ます。 SOCKS には大 き く 分け て、 SOCKS v4 と SOCKS v5 の 2 種類のバージ ョ ン があ り ます。 SOCKS v5 には認証 メ カ ニ ズ ム があ り ま すが、 SOCKS v4 には あ り ま せん。 詳細については、 RFC 1928 を参照 し て く だ さ い。 スプ リ ッ ト ト ンネ リ ング AMC で定義 さ れてい る リ ソ ー ス にバ イ ン ド さ れた ト ラ フ ィ ッ ク が ト ン ネル経由で リ ダ イ レ ク ト さ れ、 そ の他のすべての ト ラ フ ィ ッ ク が普通の方法でルー ト さ れ る リ ダ イ レ ク シ ョ ン モー ド 。 こ れが、 デフ ォ ル ト の リ ダ イ レ ク シ ョ ン モー ド にな り ます。 Aventail ト ン ネル ク ラ イ ア ン ト では、 ス プ リ ッ ト ト ン ネ リ ン グ制御が提供 さ れ ま す。 316 | - 用語集 SSL (Secure Sockets Layer) イ ン タ ーネ ッ ト で使用す る HTTP な ど のアプ リ ケーシ ョ ン プ ロ ト コ ルを保護す る ために Netscape Communications が開発 し た認証お よ び暗号化プ ロ ト コ ル。 SSL では、 交換対象のすべてのデー タ を情 報漏洩や改変な ど か ら 守 る ため、 鍵交換方式 (RSA が最 も 一般的 ) を使用 し て、 サ イ フ ァ で暗号化 し ハ ッ シ ュ す る 環境を確立 し ます。 IETF は、 SSL の後継プ ロ ト コ ル と し て、 Transport Layer Security (TLS) と い う ネ ッ ト ワ ー ク 規格を作成 し てい ます。 SSL は、 今日の イ ン タ ーネ ッ ト で、 も っ と も 広 く デプ ロ イ さ れてい る セ キ ュ リ テ ィ プ ロ ト コ ルです。 詳細については、 RFC 2246 を参照 し て く だ さ い。 サブ ネ ッ ト ネ ッ ト ワ ー ク のセ グ メ ン ト 。 ネ ッ ト ワ ー ク は、 パフ ォ ーマ ン ス お よ びセ キ ュ リ テ ィ 上の理由か ら 、 サブ ネ ッ ト ( ま たはサブネ ッ ト ワ ー ク ) に分割 さ れ ま す。 サブネ ッ ト は、 それぞれのネ ッ ト ワ ー ク 部分が物理 的に互いに独立 し てい る 場合で も 、 共通のネ ッ ト ワ ー ク ア ド レ ス を ネ ッ ト ワ ー ク の他の部分 と 共有 し ま す。 サブネ ッ ト は、 サブネ ッ ト 番号で区別 さ れ、 ルー タ でブ リ ッ ジ さ れ ます。 IP ネ ッ ト ワ ー ク は、 サブ ネ ッ ト マ ス ク を使用 し て分割 さ れ ます。 サブ ネ ッ ト マ ス ク IP ネ ッ ト ワ ー ク を小 さ なセ グ メ ン ト 、 つ ま り サブネ ッ ト に分割す る ための方法。 サブネ ッ ト マ ス ク は、 IP ア ド レ ス が所属す る サブネ ッ ト を識別 し ま す。 ネ ッ ト ワ ー ク 管理者は、 IP ア ド レ ス のホ ス ト 部分を 2 つ以上のサブネ ッ ト に分割す る こ と がで き ます。 こ の状態で、 ホ ス ト ア ド レ ス の一部が解決 さ れ、 特定 のサブネ ッ ト が識別 さ れ ま す。 syslog ロ ギ ン グ情報が出力 さ れ る UNIX シ ス テ ム ロ グ。 TCP/IP (Transmission Control Protocol/Internet Protocol) TCP と IP に基づ く 、 イ ン タ ーネ ッ ト の基本プ ロ ト コ ル ス イ ー ト 。 TCP は、 こ の ス イ ー ト の ト ラ ン ス ポー ト 層で、 OSI の第 4 層に相当 し 、 ト ラ フ ィ ッ ク を制限 し ます。 IP は、 こ の ス イ ー ト のネ ッ ト ワ ー ク 層で、 OSI の第 3 層に相当 し 、 ア ド レ ッ シ ン グ を処理 し ます。 (TCP/IP では 4 層を使用す る が、 OSI ネ ッ ト ワ ーキ ン グ モデルでは 7 層を使用す る )TCP では、 送信先に対 し て信頼性の高いパケ ッ ト 送信を行い、 IP では、 パケ ッ ト を正 し く ア ド レ ッ シ ン グ し ます。 TCP/IP ス イ ー ト のその他のプ ロ ト コ ルには、 SNMP (Simple Network Management Protocol)、 PPP (Point-to-Point Protocol)、 SMTP (Simple Mail Transfer Protocol)、 UDP (User Datagram Protocol) な ど があ り ま す。 TCP/IP プ ロ ト コ ル ス イ ー ト は、 ア メ リ カ の国防総省が、 コ ン ピ ュ ー タ 間通信のために開発 し た も のです。 イ ン タ ーネ ッ ト を含む、 ネ ッ ト ワ ー ク 経由のデー タ 転送におけ る デフ ァ ク ト ス タ ン ダー ド にな っ てい ま す。 詳細については、 RFC 793 を参照 し て く だ さ い。 タ ー ミ ナル サーバー ユーザー端末にアプ リ ケーシ ョ ン のグ ラ フ ィ カル ユーザー イ ン タ フ ェ ー ス (GUI) を提供す る サーバー プ ロ グ ラ ム。 それ自体には機能があ り ま せん。 ユーザー端末は、 グ ラ フ ィ カル タ ー ミ ナル エージ ェ ン ト を 使用 し て、 こ の イ ン タ フ ェ ー ス を解析 し ます。 Aventail アプ ラ イ ア ン ス か ら 、 Windows Terminal Services エージ ェ ン ト お よ び Citrix エージ ェ ン ト を直接管理す る こ と がで き ます。 TLS ト ラ フ ィ ッ ク を暗号化す る ための FIPS 140-2 暗号化プ ロ ト コ ル。 Aventail アプ ラ イ ア ン ス では、 TLS v1 転送プ ロ ト コ ルをサポー ト し てい ます。 ト ークン ダ イ ナ ミ ッ ク パ ス ワ ー ド を生成す る ための小 さ なセ キ ュ リ テ ィ デバ イ ス 。 一部の ト ー ク ン は、 頻繁に変 動す る 数値を表示 し ます。 こ の数値が、 短期間だけ有効なパ ス ワ ー ド にな り ます。 ま た別の ト ー ク ン に は、 試 し 入力用のキーパ ッ ド があ り 、 入力値に基づいて、 正 し く 認証 さ れ る 適切な応答が計算 さ れ ま す。 ト ー ク ン は、 「第一世代の ス マー ト カー ド 」 と 呼ばれ る こ と も あ り ま す。 信頼で き るルー ト フ ァ イル 管理者が選択す る ルー ト 証明書の リ ス ト 。 すべての証明書チ ェ ーン の最後には、 ルー ト 証明書が付いてい ます。 ルー ト を確認す る ための 「 こ れ よ り 上位」 の CA はないため、 ルー ト については信頼す る か ど う か はっ き り し な ければな り ません ( 信頼で き ない場合は、 すべてのチ ェ ーンが信頼 さ れず、 拒否 さ れ る )。 UDP (User Datagram Protocol) 配信を保証す る こ と な く 、 デー タ を イ ン タ ーネ ッ ト 経由で送信す る 手段。 コ ネ ク シ ョ ン レ ス プ ロ ト コ ル と も 呼ばれ ま す。 UDP は、 TCP/IP プ ロ ト コ ル ス イ ー ト の一部で、 OSI ネ ッ ト ワ ーキ ン グ モデルの第 4 層 ( ト ラ ン ス ポー ト 層 ) に相当 し ま す。 UDP では、 アプ リ ケーシ ョ ン で生成 さ れたデー タ メ ッ セージ を パケ ッ ト に変換 し 、 IP ネ ッ ト ワ ー ク 経由で送信 し ますが、 すべてのパケ ッ ト が正 し い順序で送信先に配 信 さ れ る こ と を保証 し ま せん。 UDP では、 TCP と 異な り 、 エ ラ ー リ カバ リ サービ ス を提供 し ないため、 主 と し て、 メ ッ セージの再構築があ ま り 必要ない、 非常に小 さ なデー タ ユニ ッ ト ( デー タ グ ラ ム ) の交換 に使用 さ れ ます。 詳細については、 RFC 768 を参照 し て く だ さ い。 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド | 317 URL リ ソ ース HTTP ま たは HTTPS を使用 し て ア ク セ ス さ れ る Web ベー ス のアプ リ ケーシ ョ ン ま たはサービ ス。 URL リ ソ ー ス の例には、 Web ポー タ ル、 標準 Web サーバー、 Microsoft Outlook Web Access な ど の Web ベー ス の電子 メ ール プ ロ グ ラ ム な ど があ り ま す。 ユーザーエージ ェ ン ト 文字列 特定の小型携帯端末を識別す る ためのテ キ ス ト 文字列。 virtual private network (VPN) ( イ ン タ ーネ ッ ト な ど の ) パブ リ ッ ク ネ ッ ト ワ ー ク を介 し てプ ラ イ ベー ト ネ ッ ト ワ ー ク にア ク セ ス す る た めのセ キ ュ ア なチ ャ ネル。 VPN には大 き く 分け て、 リ モー ト ア ク セ ス VPN と エ ク ス ト ラ ネ ッ ト VPN の 2 種類があ り ま す。 前者は、 リ モー ト の従業員が、 電子 メ ールやフ ァ イ ル サーバーな ど のネ ッ ト ワ ー ク リ ソ ー ス に安全にア ク セ ス で き る よ う にす る も ので、 後者は、 ビ ジネ ス パー ト ナー ( サプ ラ イ ヤーやベン ダー) が さ ま ざ ま な アプ リ ケーシ ョ ン ( サプ ラ イ チ ェ ーン マネ ジ メ ン ト (scm) プ ロ グ ラ ム な ど ) に安全 にア ク セ ス で き る よ う にす る も のです。 [Web application profile] 個別の Web アプ リ ケーシ ョ ン が、 アプ ラ イ ア ン ス に よ っ て処理 さ れ る 方法を定義す る プ ロ フ ァ イ ル。 認 証転送や変換な ど も こ れに含ま れ ます。 Web プ ロキシ ア ク セ ス ユーザーが WorkPlace か ら URL にア ク セ ス す る と き に使用 さ れ るデフ ォ ル ト ア ク セ ス 方式。 Web プ ロ キ シ ア ク セ ス を使用す る と 、 Web コ ン テ ン ツ の変換が不要にな り 、 企業の Web アプ リ ケーシ ョ ン に広 範にア ク セ ス で き る よ う にな り ま す。 Web プ ロ キ シ ア ク セ ス は自動的にユーザーに提供 さ れ る ため、 特 別な構成は必要あ り ま せん。 Web プ ロキシ サービ ス ユーザーが、 Web ベース のアプ リ ケーシ ョ ン、 Web サーバー、 ネ ッ ト ワ ー ク フ ァ イ ル サーバーな ど に、 Web ブ ラ ウ ザか ら 安全にア ク セ ス で き る よ う にす る ア ク セ ス サービ ス 。 Web プ ロ キ シ サービ ス は、 Web ベース の リ ソ ー ス に対す る ア ク セ ス を中継 し 暗号化す る セ キ ュ ア な HTTP リ バース プ ロ キ シです。 こ のサービ ス は、 OnDemand プ ロ キ シ エージ ェ ン ト か ら の TCP/IP 接続の管理 も 行い ます。 Web シ ョ ー ト カ ッ ト Web ベース のアプ リ ケーシ ョ ン ま たはネ ッ ト ワ ー ク 上のサービ ス にア ク セ ス す る ための ASAP WorkPlace の リ ン ク 。 ワイル ド カー ド 1 つま たは複数の文字を表す特殊な記号。 ワ イ ル ド カー ド は、 ユーザーが 1 回の指定で多 く の フ ァ イ ルを 選択で き る よ う にす る ための も ので、 複数の フ ァ イ ルやデ ィ レ ク ト リ を識別す る ために使用す る こ と がで き ま す。 た と えば Windows オペ レーテ ィ ン グ シ ス テ ム の場合、 ア ス タ リ ス ク は、 任意の文字の組み合 わせを表す ワ イ ル ド カー ド にな り ま す。 そのため、 「n*」 は 「n」 が最初に付 く すべての フ ァ イ ルを表 し 、 「n*.doc」 は 「n」 が最初に付 き 「.doc」 が最後に付 く すべての フ ァ イ ルを表 し ます。 X.500 ITU ( 国際電気通信連合 ) お よ び ISO ( 国際標準化機構 ) が 1980 年代中頃に制定 し た、グ ロ ーバル デ ィ レ ク ト リ の構造を定義す る 規格セ ッ ト 。 認証 ( 公開鍵 と 秘密鍵のペアに基づ く も の ) に関す る X.509 系 お よ び LDAP は、 X.500 を発展 さ せた も のです。 X.509 デジ タ ル署名の定義に使用 さ れ る ITU 勧告。 こ の規格は正式に承認 さ れていないため、 企業ご と に異な る 方法で実装 さ れてい ます。 今日使用 さ れてい る ほ と ん どすべての証明書 (SSL、 S/MIME) は X.509 証 明書です。 ゾーン ユーザーのエ ン ド ポ イ ン ト で信頼の レベルに応 じ て異な る ア ク セ ス レベルを割 り 当て る 「信頼ゾーン」 を定義す る End Point Control 機能。 接続要求が、 AMC で設定 さ れた 「デバ イ ス プ ロ フ ァ イ ル」 と 比較 さ れ、 適切な ゾーン に割 り 当て ら れ ま す。 318 | - 用語集 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド |319 索引 A ACC、 Aventail Cache Control を 参照 Active Directory ............................................69、 70、 73 AMC ア カ ウ ン ト .......................................................... 37 ア ク セ ス ............................................................. 31 イ ン タ フ ェ ース ..................................................... 32 概要 ..............................................................3、 31 構成デー タ .......................................................... 41 タ イ ムアウ ト ....................................... 40、 145、 153 ヘルプの利用 ....................................................... 36 変更の適用 .......................................................... 41 変更の保存 .................................................... 34、 41 ロ グ アウ ト .......................................................... 32 ロ グ イ ン ............................................................. 40 ~へのロ グ イ ン ..................................................... 31 AMC か ら のロ グアウ ト ................................................. 32 AMC での構成デー タ .................................................... 41 AMC へのロ グ イ ン ...................................................... 31 ASAP Management Console、 AMC を 参照 ASAP WorkPlace End Point Control .............................................. 225 Network Explorer .............................................. 229 ア ク セ ス ........................................................... 224 概要 .................................................... 3、 201、 229 カ ス タ マ イ ズ ..................... 206、 214、 215、 219、 221 ク ラ イ ア ン ト の要件 ......................................... 8、 205 構成 ........................................................ 207、 214 小型携帯端末 ..................................................... 217 サービ スの開始 ................................................... 251 サービ スの停止 ................................................... 251 サポー ト さ れてい る プ ラ ッ ト フ ォ ーム ................... 8、 205 ス タ ー ト ページ .................................................. 208 設定 .......................................................... 19、 224 テ ン プ レ ー ト ..................................................... 221 レルム .............................................................. 118 ロ グ イ ン ........................................................... 201 ASAP WorkPlace の外観 ............................................ 214 ASAP WorkPlace のカ ス タ マ イ ズ . 206、 214、 215、 219、 221 ASAP WorkPlace のロ ゴ ............................ 214、 215、 219 ASAP WorkPlace へのロ グ イ ン .................................... 201 ASD、 Aventail Secure Desktop を 参照 Aventail ASAP WorkPlace、 ASAP WorkPlace を 参照 Aventail Cache Control ..................................... 194、 226 Aventail Connect Mobile ク ラ イ ア ン ト ......................... 232 Aventail Connect ト ン ネル ク ラ イ ア ン ト ... 4、 190、 230、 232 Aventail Connect プ ロキシ ク ラ イ ア ン ト 4、 19、 190、 231、 246 Aventail EX-1500 イ ン ジケー タ ....................................................... 23 ク ラ ス タ ................................................... 259、 307 Aventail EX-2500 FIPS 対応 ......................................................... 293 イ ン ジケー タ ....................................................... 21 ク ラ ス タ ........................................................... 259 接続 ................................................................... 24 Aventail EX-750 イ ン ジケー タ ........................................................24 接続 ................................................................... 25 Aventail Management Console、 AMC を 参照 Aventail OnDemand、 OnDemand を 参照 Aventail Secure Desktop 概要 ................................................................. 196 構成 ................................................................. 196 有効化 .............................................................. 196 Aventail ア プ ラ イ ア ン ス を 参照 Aventail ア プ ラ イ ア ン ス アーキテ ク チ ャ .....................................................13 イ ン ス ト ール ................................................. 17、 20 概要 .................................................................... 1 監視動作 ........................................................... 268 管理 ................................................................... 17 ク ラ ス タ ........................................................... 259 構成 ................................................................... 17 再起動 ................................................................26 実稼動環境への移行 ............................................... 19 シ ャ ッ ト ダウ ン .....................................................26 接続 ................................................................... 24 操作 ................................................................... 21 電源停止 .............................................................26 電源投入 .............................................................26 ト ラ ブルシ ュ ーテ ィ ン グ ........................................ 273 保護のためのベス ト プ ラ ク テ ィ ス ............................ 285 モデル ................................................................. 2 モ ニ タ リ ン グ ...................................................... 144 C Cache Control、 Aventail Cache Control を 参照 CA 証明書 .................................................................63 Citrix エージ ェ ン ト ............................................ 210、 249 ClearTrust、 RSA ........................................................85 Config Backup Tool .................................................. 167 Config Compare Tool ............................................... 170 Config Reset Tool .................................................... 169 Config Restore Tool ................................................. 168 Connect ト ン ネル ク ラ イ ア ン ト 、 Aventail Connect ト ン ネル ク ラ イ ア ン ト を 参照 Connect プ ロキシ ク ラ イ ア ン ト 、 Aventail Connect プ ロキシ ク ラ イ ア ン ト を 参照 Console、 AMC を 参照 cookies、 変換 ............................................................98 320| 索引 D DHCP サーバー ........................................................ 253 DNS キ ャ ッ シ ュ ............................................... 256、 257 DNS 設定のキ ャ ッ シ ュ ....................................... 256、 257 DNS の構成 ............................................................... 51 E End Point Control ASAP WorkPlace ............................................... 225 Aventail Cache Control .............................. 194、 226 Aventail Secure Desktop .................................... 196 Sygate On-Demand ........................................... 197 WholeSecurity .................................................. 198 Zone Labs Integrity ........................................... 198 概要 ................................................................ 179 ク ラ イ ア ン ト の整合性 .......................................... 198 シナ リ オ ........................................................... 181 制限 ................................................................ 127 ゾーン ...................................................... 180、 184 デバ イ ス プ ロ フ ァ イル ................................. 180、 184 無効化 .............................................................. 184 有効化 .............................................................. 184 F Factory Reset tool ................................................... 174 FIPS SNMP の監視 ..................................................... 305 概要 ................................................................ 293 ク ラ イ ア ン ト の要件 ............................................. 296 構成 ................................................................ 294 コ マ ン ド ラ イ ン ユーテ ィ リ テ ィ ............................. 306 ス マー ト カ ー ド の構成 ......................................... 302 セキ ュ リ テ ィ ワール ド の置換 ................................. 299 操作 ................................................................ 298 その他のマニ ュ アル ............................................. 294 ト ラ ブルシ ュ ーテ ィ ン グ ........................................ 304 ハー ド ウ ェ ア セキ ュ リ テ ィ モ ジ ュ ール ..................... 293 ベス ト プ ラ ク テ ィ ス ............................................ 294 ラ イ セ ン ス ........................................................ 296 H hosts フ ァ イルの リ ダ イ レ ク シ ョ ン ........................ 239、 240 I ICMP の有効化 ......................................................... 142 iMode .................................................................... 217 IP ア ド レ スの構成 ....................................................... 46 IP ア ド レ ス プール 概要 ................................................................ 253 ス タ テ ィ ッ ク ..................................................... 255 ダ イ ナ ミ ッ ク ..................................................... 253 追加 ........................................................ 253、 255 J Java コ ン ソ ール、 表示 ............................................... 280 Java セキ ュ リ テ ィ 警告、 抑止 ...................................... 244 Java、 ブ ラ ウザでの有効化 .......................................... 280 JVM, バージ ョ ンの検出 ............................................... 279 L LDAP 認証 Active Directory ..................................................73 サーバー .............................................................74 デジ タ ル証明書 .....................................................77 ユーザー名 / パスワー ド .........................................75 limbo life、 maximum ............................................... 257 M Management Console 監査ロ グ ................................... 153 Management Console、 AMC を 参照 maximum limbo life ................................................. 257 N Netegrity SiteMinder ..................................................83 Network Explorer ............................................ 204、 229 ngutil ツール ........................................................... 283 NTLM 認証転送 ........................................................... 87 NTP ....................................................................... 143 O OnDemand hosts フ ァ イ ルの リ ダ イ レ ク シ ョ ン .................. 239、 240 概要 .................................................... 4、 231、 236 起動 ................................................................. 237 ク ラ イ ア ン ト の要件 ........................................ 8、 238 ク ロ ス プ ラ ッ ト フ ォ ーム サポー ト ................... 240、 241 検出プ ロ キシ ...................................................... 245 互換プ ラ ッ ト フ ォ ーム サポー ト .................................. 8 サポー ト さ れてい る ア プ リ ケーシ ョ ン ....................... 237 サポー ト さ れてい る プ ラ ッ ト フ ォ ーム .................. 8、 238 ス テー タ ス ウ ィ ン ド ウ .......................................... 237 ダ イ ナ ミ ッ ク モー ド ............................................ 237 テ ス ト .............................................................. 279 デバ ッ グ メ ッ セージ ............................................ 243 マ ッ プ ド モー ド .................................................. 237 リ ダ イ レ ク シ ョ ン ................................................ 239 ループバ ッ ク ア ド レ ス .......................................... 240 ロ グ イ ン ........................................................... 243 OnDemand での Linux のサポー ト .......................... 8、 240 OnDemand での Macintosh のサポー ト .................... 8、 240 OnDemand ト ン ネル エージ ェ ン ト .......................... 4、 230 OnDemand の起動 .................................................... 237 OnDemand のテ ス ト ................................................. 279 OnDemand へのデバ ッ グ メ ッ セージ ............................. 243 P PDA ....................................................................... 217 ping コ マ ン ド .......................................................... 142 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド |321 R RADIUS ア カ ウ ン テ ィ ン グ .......................................... 129 RADIUS 認証 概要 .................................................................. 80 ス マー ト カ ー ド .................................................... 82 ト ー ク ン ............................................................. 82 ユーザー名 / パスワー ド ......................................... 80 Rollback Tool .......................................................... 174 RSA ClearTrust ......................................................... 85 S scp ......................................................................... 17 Secure Desktop、 Aventail Secure Desktop を 参照 Setup Tool ............................................... 27、 263、 295 Setup Wizard ............................................................ 27 SiteMinder、 Netegrity ................................................ 83 SNMP Aventail MIB のダウ ン ロー ド ................................ 158 Aventail MIB デー タ ........................................... 160 FIPS ハー ド ウ ェ ア セキ ュ リ テ ィ モ ジ ュ ール .............. 305 概要 ................................................................ 157 構成 ................................................................ 157 使用 し たデー タ の取得 .......................................... 159 SSH ア ク セ ス .................................................... 17、 141 SSL 暗号化 Web プ ロキシ サービ ス ........................................ 175 概要 ................................................................ 175 構成 ................................................................ 175 ネ ッ ト ワー ク ア ク セ ス サービ ス ............................. 175 ベス ト プ ラ ク テ ィ ス ............................................ 287 Sygate On-Demand ................................................. 197 syslog サーバー ....................................................... 148 V VPN の概要 ................................................................. 1 W WAP 互換電話 .......................................................... 217 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル 表示 .................................................................. 97 概要 .................................................................. 87 追加 .................................................................. 97 編集 .................................................................. 99 削除 .................................................................. 99 Web サーバー、 ダウ ン ス ト リ ーム ................................. 258 Web シ ョ ー ト カ ッ ト .................................................. 208 Web ブ ラ ウザ プ ロ フ ァ イル ................................ 219、 220 Web プ ロキシ エージ ェ ン ト ........................................ 231 Web プ ロキシ サービ ス SSL 暗号化 ....................................................... 175 ア ク セ ス ロ グ .................................................... 145 開始 ................................................................ 251 概要 ................................................................ 250 構成 ................................................................ 258 停止 ................................................................ 251 概要 .................................................................... 2 Web リ ソ ース ............................................................ 89 WholeSecurity Confidence Online .............................. 198 Windows Terminal Services エージ ェ ン ト ............. 210、 248 Windows 名前解決の構成 ..............................................52 WorkPlace サ イ ト 概要 ................................................................. 214 コ ピ ー .............................................................. 214 追加 ................................................................. 215 編集 ................................................................. 214 Z Zone Labs Integrity ................................................. 198 あ ア ウ ト バウ ン ド プ ロ キシ サーバー サポー ト ..................... 245 ア カ ウ ン ト 、 管理者 .................................................... 286 ア ク セス AMC ..................................................................31 ASAP WorkPlace ................................................ 224 OnDemand ....................................................... 237 ア ク セ ス エージ ェ ン ト Connect ト ン ネル ク ラ イ ア ン ト ............................. 230 Connect プ ロキシ ク ラ イ ア ン ト ............................. 231 Network Explorer .............................................. 229 OnDemand ト ン ネル ク ラ イ ア ン ト ......................... 230 OnDemand プ ロキシ エージ ェ ン ト ......................... 231 Web プ ロキシ エージ ェ ン ト ................................... 231 概要 ................................................................. 227 ト ラ ン ス レ ーテ ッ ド Web エージ ェ ン ト ..................... 232 ト ン ネル ク ラ イ ア ン ト .......................................... 230 Connect プ ロキシ ク ラ イ ア ン ト ............................. 246 ア ク セ ス管理のルール ベス ト プ ラ ク テ ィ ス ............................................ 286 ア ク セ ス サービ ス Web プ ロキシ サービ ス ........................................ 258 概要 ................................................................. 250 ネ ッ ト ワー ク ト ン ネル サービ ス .............................. 252 ネ ッ ト ワー ク プ ロキシ サービ ス .............................. 256 ア ク セ ス制御ルール 移動 ................................................................. 111 概要 ................................................................. 100 管理 ................................................................. 100 構成 ................................................................. 100 コ ピ ー .............................................................. 111 削除 ................................................................. 111 追加 ................................................................. 103 表示 ................................................................. 100 編集 ................................................................. 111 無効 ................................................................. 101 有効 ................................................................. 101 要求 ................................................................. 111 ア ク セ ス方式 概要 ................................................................. 227 構成 ................................................................. 124 ア ク セ ス ロ グ ........................................................... 145 ア ク テ ィ ブ な ノ ー ド .................................................... 260 ア ッ プデー ト フ ァ イル ................................................ 171 ア ッ プデー ト 、 シ ス テム .............................................. 170 ア ド レ ス プール ................................................ 253、 255 ア プ ラ イ ア ン スの再起動 ................................................26 ア プ ラ イ ア ン スの接続 ................................................... 24 ア プ ラ イ ア ン スの保護 ................................................. 285 322| 索引 暗号化 Web プ ロキシ サービ ス ........................................ 175 ネ ッ ト ワー ク ア ク セ ス サービ ス ............................. 175 い 移動 ア ク セ ス制御ルール ............................................. 111 コ ミ ュ ニ テ ィ ..................................................... 129 シ ョ ー ト カ ッ ト ................................................... 213 ブ ラ ウザ プ ロ フ ァ イル ......................................... 221 イ ン ス ト ール Aventail Connect Mobile ク ラ イ ア ン ト ................... 232 Aventail Connect ト ン ネル ク ラ イ ア ン ト ................. 232 Aventail Connect プ ロキシ ク ラ イ ア ン ト ................. 231 Aventail ア プ ラ イ ア ン ス ........................................ 20 概要 .................................................................. 17 ク ラ ス タ ........................................................... 261 ハー ド ウ ェ ア ....................................................... 20 イ ン タ フ ェ ース 構成速度 ............................................................. 47 ネ ッ ト ワー ク ................................................. 13、 46 イ ン ポー ト 構成 フ ァ イ ル ..................................................... 164 証明書 .......................................................... 61、 63 え エ イ リ ア ス .......................................................... 73、 93 エージ ェ ン ト ア ク セ ス ........................................................... 227 グ ラ フ ィ カ ル タ ー ミ ナル ....................................... 247 デー タ 保護 ........................................................ 194 エ ク スポー ト 構成 フ ァ イ ル ..................................................... 164 証明書 ................................................................ 63 ロ グ フ ァ イ ル .................................................... 147 お オ ン ラ イ ン ヘルプ ....................................................... 36 か 監査ロ グ、 Management Console ................................. 153 監視 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン ............................. 156 ア ク テ ィ ブ ユーザー セ ッ シ ョ ンの停止 ..................... 157 ア プ ラ イ ア ン ス ........................................... 153、 154 ユーザーの検索 ................................................... 156 管理 Aventail ア プ ラ イ ア ン ス ........................................ 17 End Point Control .............................................. 184 ア ク セ ス制御ルール ............................................. 100 管理者ア カ ウ ン ト .................................................. 37 ク ラ ス タ ........................................................... 267 証明書 ................................................................ 61 ユーザー グループ ............................................... 131 リ ソ ース ............................................................. 89 リ ソ ース グループ ................................................. 96 管理者ア カ ウ ン ト ........................................................ 37 概要 .................................................................. 37 管理 .................................................................. 37 追加 ................................................................... 37 ベス ト プ ラ ク テ ィ ス ............................................ 286 編集 ................................................................... 38 管理者の衝突 ..............................................................40 管理者の役割 ....................................................... 39、 40 概要 ................................................................... 37 追加 ................................................................... 39 定義 ................................................................... 39 プ ラ イ マ リ 対セ カ ン ダ リ ..........................................39 編集 ................................................................... 40 管理ス イ ッ チ接続 ...................................................... 266 き 逆方向接続 ....................................... 102、 105、 230、 250 く ク ラ イ ア ン ト ア ク セ ス、 のためのベス ト プ ラ ク テ ィ ス ........ 287 ク ラ イ ア ン ト 証明書 ............................................... 61、 65 ク ラ イ ア ン ト のイ ン ス ト ール パ ッ ケージ 概要 ................................................................. 232 構成 ......................................................... 233、 234 設定 ................................................................. 235 ク ラ イ ア ン ト の整合性の検証 ......................................... 198 ク ラ イ ア ン ト の整合性、 検証 ......................................... 198 ク ラ イ ア ン ト の要件 ............................................... 8、 238 ク ラスタ EX-1500 .......................................................... 259 EX-2500 .................................................. 259、 307 アーキテ ク チ ャ ................................................... 259 ア ッ プ グ レ ー ド ................................................... 269 イ ン ス ト ール ...................................................... 261 概要 ................................................................. 259 仮想 IP ア ド レ ス ................................................. 265 監視 ................................................................. 268 管理 ................................................................. 267 管理ス イ ッ チ接続 ................................................ 266 構成 ......................................................... 261、 267 ス テー ト フ ル フ ェ イルオーバー ............................... 261 ト ラ ブルシ ュ ーテ ィ ン グ ........................................ 270 ネ ッ ト ワー ク 情報の表示 ........................................ 267 ネ ッ ト ワー ク 接続 ................................................ 262 バ ッ ク ア ッ プ ...................................................... 269 フ ェ イ ルオーバー ................................................ 261 マ ス タ ー ノ ー ド の割 り 当て .................................... 264 マルチ ノ ー ド ..................................................... 307 ク ラ ス タ ネ ッ ト ワー ク の接続 ......................................... 262 ク ラ ス タ のア ッ プ グ レ ー ド ........................................... 269 ク ラ ス タ の仮想 IP ア ド レ ス ......................................... 265 グ ラ フ ィ カ ル タ ー ミ ナル エージ ェ ン ト Citrix ............................................................... 249 Windows Terminal Services ................................ 248 概要 ................................................................. 247 グ ラ フ ィ カ ル タ ー ミ ナル シ ョ ー ト カ ッ ト ......................... 210 グループ 管理 ................................................................... 96 マ ッ ピ ン グ名 ...................................................... 115 ユーザー ........................................................... 115 リ ソ ース .............................................................96 グループ ア フ ィ ニ テ ィ チ ェ ッ ク ......................................69 ク レ デン シ ャ ル転送 ............................................... 97、 98 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド |323 け 携帯電話 ................................................................. 217 こ 工場出荷時デ フ ォ ル ト 構成 ........................................... 169 更新 構成 ................................................................ 163 構成 ASAP WorkPlace ....................................... 207、 214 Aventail Cache Control ...................................... 194 Aventail Connect プ ロキシ ク ラ イ ア ン ト ................. 231 Aventail Secure Desktop .................................... 196 DNS .................................................................. 51 IP ア ド レ ス ......................................................... 46 IP ア ド レ ス プール ...................................... 253、 255 Netegrity SiteMinder ........................................... 84 RADIUS ア カ ウ ン テ ィ ン グ .................................... 129 RADIUS 認証 ...................................................... 80 SNMP .............................................................. 157 SSH ................................................................ 141 SSL 暗号化 ....................................................... 175 SSL 暗号化の設定 ............................................... 175 Web プ ロキシ サービ スの設定 ................................ 258 ア ク セ ス制御ルール ............................................. 100 ア ク セ ス方式 ..................................................... 124 イ ン ポー ト お よ びエ ク スポー ト ............................... 164 概要 .................................................................. 17 ク ラ ス タ ........................................................... 261 ク ラ ス タ のネ ッ ト ワー ク 情報 .................................. 267 更新 ................................................................ 163 コ ミ ュ ニ テ ィ ..................................................... 122 時刻設定 ........................................................... 143 証明書 ....................................................53、 61、 65 シ ョ ー ト カ ッ ト ................................................... 207 シ ン グル サイ ン オ ン .............................................. 86 認証 .................................................................. 66 ネ ッ ト ワー ク 設定 .................................................. 45 ネ ッ ト ワー ク ト ン ネル サービ スの設定 ..................... 252 ネ ッ ト ワー ク プ ロ キシ サービ スの設定 ..................... 256 バ ッ ク ア ッ プ ............................................. 163、 167 比較 ................................................................ 170 フ ァ イルの衝突 と 回避 ............................................ 40 ブ ラ ウザ プ ロ フ ァ イル ......................................... 220 保存 .................................................................. 34 ユーザー ア ク セ ス コ ン ポーネ ン ト ........................... 227 ユーザー名 / パスワー ド 認証 .............................. 75、 80 リ ス ト ア ................................................... 163、 168 リ セ ッ ト ........................................................... 169 レルム .............................................................. 119 ロ ー カ ル ユーザー認証 ........................................... 86 ロ グ設定 ........................................................... 148 構成の比較 .............................................................. 170 構成変更の適用 ................................................... 41、 251 小型携帯端末 ASAP WorkPlace ............................................... 217 概要 ................................................................ 217 証明書 ................................................................ 54 表示の最適化 ..................................................... 219 個人 フ ォ ルダ、 シ ョ ー ト カ ッ ト へ ................................... 212 コ ピー AMC でのオブ ジ ェ ク ト ........................................... 35 WorkPlace サ イ ト ............................................... 214 ア ク セ ス制御ルール ............................................. 111 コ ミ ュ ニテ ィ EPC 制限 .......................................................... 127 ア ク セ ス方式 ...................................................... 124 移動 ................................................................. 129 構成 ................................................................. 122 デ フ ォ ル ト ........................................................ 128 レルムに追加 ...................................................... 121 さ サーバー syslog ............................................................. 148 Web ダウ ン ス ト リ ーム ......................................... 258 タ ー ミ ナル ................................................ 210、 247 認証 ................................................................... 66 サーバー証明書 .............................................. 53、 74、 77 サービ ス 開始 ................................................................. 251 概要 ................................................................. 250 停止 ................................................................. 251 サービ スの開始 ......................................................... 251 サービ スの停止 ......................................................... 251 サイ ト 、 WorkPlace ........................................... 214、 215 サイ フ ァ 、 許可 ......................................................... 175 再要求 シ ョ ー ト カ ッ ト ................................................... 213 削除 AMC でのオ ブ ジ ェ ク ト ........................................... 35 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ル ..........................99 ア ク セ ス制御ルール ..................................... 101、 111 参照 さ れてい る オブ ジ ェ ク ト ....................................43 シ ョ ー ト カ ッ ト ................................................... 213 ユーザー ........................................................... 138 ユーザー グループ ............................................... 138 リ ソ ース .............................................................94 リ ソ ース グループ .................................................96 参照 さ れてい る オブ ジ ェ ク ト の削除 ..................................43 し 時刻設定 ................................................................. 143 自己署名証明書 ........................................................... 54 シ ス テム ア ッ プデー ト ...................................................... 170 更新 ................................................................. 163 ス テー タ ス表示 ........................................... 153、 154 バ ッ ク ア ッ プ ...................................................... 163 バ ッ ク ア ッ プ フ ァ イル .......................................... 170 リ ス ト ア ........................................................... 163 ロ ギン グ ........................................................... 144 シ ス テム ア ッ プデー ト の取 り 消 し .................................. 174 シ ス テム更新 ............................................................ 163 シ ス テム要件 ............................................................... 7 実稼動、 ア プ ラ イ ア ン スへの移行 .....................................19 シ ャ ッ ト ダウ ン ........................................................... 26 順方向接続 ............................................... 102、 230、 250 冗長 ノ ー ド ............................................................... 260 静的ルー ト .................................................................50 衝突 管理者 ................................................................40 324| 索引 証明書 CSR 応答の イ ン ポー ト ........................................... 60 CSR の送信 ......................................................... 59 CSR の生成 ......................................................... 56 FAQ .................................................................. 65 イ ン ポー ト .................................................... 61、 63 エ ク スポー ト ....................................................... 63 概要 .................................................................. 53 管理 .................................................................. 61 ク ラ イ ア ン ト ................................................. 61、 65 検証を使用する ..................................................... 77 構成 ......................................................53、 61、 65 小型携帯端末 ....................................................... 54 サーバー ....................................................... 53、 74 自己署名 ............................................................. 54 取得 .................................................................. 56 詳細表示 ............................................................. 62 信頼で き るルー ト フ ァ イ ル ................................ 55、 60 追加 ............................................... 61、 62、 63、 64 証明書署名要求 応答の イ ン ポー ト .................................................. 60 概要 .................................................................. 56 生成 .................................................................. 56 送信 .................................................................. 59 商用 CA か ら の証明書の取得 .......................................... 56 ショートカッ ト Web ................................................................ 208 移動 ................................................................ 213 概要 ................................................................ 201 グ ラ フ ィ カ ル タ ー ミ ナル ....................................... 210 構成 ................................................................ 207 個人 フ ォ ルダ ..................................................... 212 再要求 .............................................................. 213 削除 ................................................................ 213 追加 ........................................ 208、 209、 210、 212 ネ ッ ト ワー ク ..................................................... 209 表示 ................................................................ 207 フ ァ イ ル シ ス テム リ ソ ース ................................... 209 編集 ................................................................ 213 シ リ アル接続 ............................................................. 26 シ ン グル イ ン タ フ ェ ース ............................................. 259 シ ン グル サイ ン オ ン ................................. 86、 87、 97、 98 信頼で き るルー ト フ ァ イ ル ................... 55、 60、 74、 75、 79 す ス タ ー ト ページ ........................................................ 208 ス タ テ ィ ッ ク IP ア ド レ ス プール ................................... 255 ス テー タ ス ウ ィ ン ド ウ、 OnDemand ............................. 237 ス テー ト フ ル フ ェ イルオーバー ..................................... 261 ス プ リ ッ ト ト ン ネ リ ン グ ......................................... 3、 125 ス マー ト カ ー ド 認証 .................................................... 82 ス マー ト フ ォ ン ......................................................... 217 せ セッシ ョ ン ア ク テ ィ ブ ユーザー ............................................ 156 停止 ................................................................ 157 接続 逆方向 ...................................... 102、 105、 230、 250 順方向 .............................................. 102、 230、 250 シ リ アル .............................................................26 相互接続 ........................................................... 102 双方向 .............................................. 102、 230、 250 設定 ASAP WorkPlace ..........................................19、 224 Aventail Connect Mobile ク ラ イ ア ン ト .................... 232 Aventail Connect プ ロキシ ク ラ イ ア ン ト ...........19、 231 ク ラ イ ア ン ト のイ ン ス ト ール パ ッ ケージ .................... 235 ユーザー ア ク セ ス コ ン ポーネ ン ト .............................. 3 ~用ア プ ラ イ ア ン ス チ ェ ッ ク リ ス ト ...........................15 前面パネル イ ン ジ ケー タ EX-1500 ア プ ラ イ ア ン ス ........................................23 EX-2500 ア プ ラ イ ア ン ス ........................................21 EX-750 ア プ ラ イ ア ン ス ..........................................24 そ 相互接続 ................................................................. 102 双方向接続 ............................................... 102、 230、 250 ゾーン Aventail Connect ............................................... 190 概要 ................................................................. 180 定義 ......................................................... 186、 192 デバイ ス プ ロ フ ァ イル .................................. 180、 184 デ フ ォ ル ト ゾーン ............................................... 191 特定の状況 ........................................................ 191 表示 ................................................................. 185 た タ ー ミ ナル サーバー ........................................... 210、 247 ダ イ ナ ミ ッ ク hosts フ ァ イ ルの リ ダ イ レ ク シ ョ ン ............... 240 ダ イ ナ ミ ッ ク IP ア ド レ ス プール ................................... 253 ダ イ ナ ミ ッ ク モー ド ................................................... 237 ダウ ン ス ト リ ーム Web サーバー ................................... 258 ダウ ン ロ ー ド Aventail MIB ..................................................... 158 ク ラ イ ア ン ト のイ ン ス ト ール パ ッ ケージ .................... 232 シ ス テム ア ッ プデー ト .......................................... 171 端末、 小型携帯 ......................................................... 217 ち チェ ッ ク リス ト 実稼動環境への移行 ............................................... 19 初期設定 .............................................................15 つ 追加 AMC でのオ ブ ジ ェ ク ト ........................................... 35 CA 証明書 ........................................................... 63 IP ア ド レ ス プール ...................................... 253、 255 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ル ..........................97 WorkPlace サ イ ト ............................................... 215 ア ク セ ス制御ルール ............................................. 103 管理者ア カ ウ ン ト ..................................................37 管理者の役割 ........................................................39 シ ョ ー ト カ ッ ト ........................... 208、 209、 210、 212 ゾーン .............................................. 186、 191、 192 デバイ ス プ ロ フ ァ イル .......................................... 187 認証サーバー ........................................................68 認証レルム ........................................................ 119 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド |325 ブ ラ ウザ プ ロ フ ァ イル ......................................... 220 ユーザー ........................................... 110、 133、 136 ユーザー グループ ............................... 110、 133、 136 リ ソ ース ..................................................... 92、 110 リ ソ ース グループ ................................................. 96 ルー ト 証明書 ...........................................61、 62、 64 レルム .............................................................. 119 ツ ール Config Backup Tool ........................................... 167 Config Compare Tool ......................................... 170 Config Reset Tool .............................................. 169 Config Restore Tool ........................................... 168 ngutil .............................................................. 283 Rollback Tool .................................................... 174 Setup Tool ................................................. 27、 263 ユーザー名 / パスワー ド ............................ 70、 75、 80 レルム ........................................................66、 115 レルムの追加 ...................................................... 119 ロ ー カ ル ユーザー .................................................86 認証サーバー Active Directory 認証 ............................................69 Netegrity SiteMinder ............................................83 LDAP 認証 ..........................................................74 RADIUS 認証 ....................................................... 80 RSA ClearTrust ................................................... 85 概要 ................................................................... 66 定義 ................................................................... 68 複数 ................................................................... 68 方式 ................................................................... 66 レルムでの参照 .....................................................68 て ね デー タ 保護エージ ェ ン ト .............................................. 194 デバ イ ス プ ロ フ ァ イ ル 概要 ................................................................ 180 定義 ................................................................ 187 表示 ................................................................ 185 デ フ ォ ル ト ゲー ト ウ ェ イ ............................................... 48 デ フ ォ ル ト コ ミ ュ ニ テ ィ ............................................. 128 デ フ ォ ル ト ゾ ーン ..................................................... 191 デ フ ォ ル ト レルム ............................................. 117、 118 デ ュ アル イ ン タ フ ェ ース ............................................. 259 電源停止 ................................................................... 26 電源投入 ................................................................... 26 転送、 認証 .......................................................... 97、 98 テ ン プ レ ー ト 、 ASAP WorkPlace .................................. 221 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト ト ラ ブルシ ュ ーテ ィ ン グ ツ ール ............................... 283 ネ ッ ト ワー ク アーキテ ク チ ャ ..........................................13 ネ ッ ト ワー ク ア ク セ ス サービ ス ア ク セ ス ロ グ ..................................................... 145 ネ ッ ト ワー ク イ ン タ フ ェ ース ................................... 13、 46 ネ ッ ト ワー ク 構成 ...................................................... 285 ネ ッ ト ワー ク シ ョ ー ト カ ッ ト ........................................ 209 ネ ッ ト ワー ク 設定 DNS ..................................................................51 ICMP ............................................................... 142 NTP ................................................................. 143 SSH ................................................................ 141 Windows 名前解決 ................................................52 概要 ................................................................... 45 サーバー証明書 .....................................................53 シ ス テム ID .........................................................46 デ フ ォ ル ト ゲー ト ウ ェ イ .........................................48 ネ ッ ト ワー ク イ ン タ フ ェ ース ................................... 46 ネ ッ ト ワー ク ト ン ネル ク ラ イ ア ン ト 概要 ................................................................. 230 ネ ッ ト ワー ク ト ン ネル サービ ス 開始 ................................................................. 251 概要 ............................................................ 2、 250 構成 ................................................................. 252 停止 ................................................................. 251 ト ラ ブルシ ュ ーテ ィ ン グ ........................................ 276 ネ ッ ト ワー ク プ ロキシ サービ ス Aventail Connect プ ロキシ ク ラ イ ア ン ト ................. 231 OnDemand ....................................................... 236 開始 ................................................................. 251 概要 ............................................................ 2、 250 構成 ................................................................. 256 停止 ................................................................. 251 ネ ッ ト ワー ク リ ソ ース ..................................................90 と 動的ルーテ ィ ン グ ........................................................ 49 ト ー ク ン認証 ............................................................. 82 ド メ イ ン名の指定 ........................................................ 46 ト ラ ブルシ ュ ーテ ィ ン グ 概要 ................................................................ 273 ク ラ ス タ ........................................................... 270 ツ ール .............................................................. 281 ト ラ ン ス レ ーテ ッ ド Web エージ ェ ン ト ........................... 232 ト ン ネ リ ン グ、 ス プ リ ッ ト ....................................... 3、 125 ト ン ネル ク ラ イ ア ン ト ................................................ 230 な 名前解決の構成 ..................................................... 51、 52 に 認証 Active Directory .................................................. 69 NTLM ................................................................ 87 RADIUS ............................................................. 80 概要 .................................................................. 66 グループ ア フ ィ ニ テ ィ チ ェ ッ ク ............................... 69 構成 .................................................................. 66 シ ン グル サイ ン オ ン .............................................. 87 ス マー ト カ ー ド .................................................... 82 デジ タ ル証明書 ..................................................... 77 ト ー ク ン ............................................................. 82 の ノード ア ク テ ィ ブ ........................................................ 260 冗長 ................................................................. 260 デ ュ アル ........................................................... 259 マ ス タ ー ........................................................... 261 326| 索引 は へ ハー ド ウ ェ アのイ ン ス ト ール .......................................... 20 パスワー ド ベス ト プ ラ ク テ ィ ス ............................................ 286 変更 .................................................................. 38 パスワー ド の変更 ........................................................ 38 バッ クア ッ プ ク ラ ス タ ........................................................... 269 構成 ................................................................ 167 バ ッ ク ア ッ プ フ ァ イ ル ................................ 167、 168、 170 バ ッ ク エ ン ド サーバー、 ルー ト フ ァ イル証明 ............... 62、 64 変換 ひ 非表示レルム ................................................... 117、 118 表示 ア ク セ ス制御ルール ............................................. 100 ク ラ ス タ のネ ッ ト ワー ク 情報 .................................. 267 シ ス テム ス テー タ ス .................................... 153、 154 証明書の詳細 ....................................................... 62 シ ョ ー ト カ ッ ト ................................................... 207 ゾーン .............................................................. 185 デバ イ ス プ ロ フ ァ イル ......................................... 185 メ ッ セージ ロ グ .................................................. 145 リ ソ ース ............................................................. 91 リ ソ ース グループ ................................................. 91 レルム .............................................................. 116 表示レルム ...................................................... 117、 118 ふ フ ァ イ アウ ォ ール ポ リ シー ............................................ 16 フ ァ イル ア ッ プデー ト ..................................................... 171 ク ラ イ ア ン ト のイ ン ス ト ール .................................. 232 構成 .......................................................... 40、 163 信頼で き るルー ト ......................... 55、 60、 74、 75、 79 バ ッ ク ア ッ プ ..................................... 167、 168、 170 比較 ................................................................ 170 ロ グ ........................................................ 144、 149 フ ァ イ ル シ ス テム リ ソ ース ................... 91、 203、 204、 209 プール、 IP ア ド レ ス .......................................... 253、 255 フ ェ イ ルオーバー、 ス テー ト フ ル ................................... 261 負荷分散 高可用性 ........................................................... 259 ブ ラ ウザ WorkPlace での要件 ................................................ 8 Java コ ン ソ ールの表示 ......................................... 280 JVM のバージ ョ ンの検出 ....................................... 279 OnDemand ク ラ イ ア ン ト 要件 ............................... 238 OnDemand での要件 .............................................. 8 WorkPlace の要件 .............................................. 205 ブ ラ ウザでの Java の有効化 .................................. 280 ブ ラ ウザ プ ロ フ ァ イ ル 移動 ................................................................ 221 概要 ................................................................ 219 追加 ................................................................ 220 プ ロキシ サーバーの識別 ............................................. 245 プ ロ フ ァ イル Web ア プ リ ケーシ ョ ン ........................................... 97 ブ ラ ウザ ................................................... 219、 220 cookie ............................................................... 98 項目 ................................................................... 98 変換項目 ................................................................... 98 変更の保存 .......................................................... 34、 41 編集 AMC でのオ ブ ジ ェ ク ト .................................... 33、 35 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イ ル ..........................99 WorkPlace サ イ ト ............................................... 214 ア ク セ ス制御ルール ............................................. 111 管理者ア カ ウ ン ト ..................................................38 管理者の役割 ........................................................40 シ ョ ー ト カ ッ ト ................................................... 213 ユーザー ........................................................... 137 ユーザー グループ ............................................... 137 リ ソ ース .............................................................94 リ ソ ース グループ .................................................96 ほ ポー ト マ ッ ピ ン グ ..................................................... 240 ま マ ス タ ー ノ ー ド ................................................ 264、 261 マ ッ ピング OnDemand でのポー ト ........................................ 240 グループ名 ........................................................ 115 ユーザー名 ........................................................ 115 む 無効 ア ク テ ィ ブ ユーザー セ ッ シ ョ ン .............................. 157 無効化 End Point Control .............................................. 184 レルム .............................................................. 119 も モニ タ リ ング ア プ ラ イ ア ン ス ................................................... 144 ゆ 有効 ア ク セ ス制御ルール ............................................. 101 有効化 Aventail Cache Control ....................................... 194 Aventail Secure Desktop .................................... 196 End Point Control .............................................. 184 Sygate On-Demand ........................................... 197 WholeSecurity .................................................. 198 Zone Labs Integrity ........................................... 198 レルム .............................................................. 119 ユーザー ア ク テ ィ ブ セ ッ シ ョ ンの停止 ................................. 157 概要 ................................................................. 115 監視 ................................................................. 156 検索 ................................................................. 156 削除 ................................................................. 138 Aventail SSL VPN イ ン ス ト ールお よび管理ガ イ ド |327 追加 ................................................ 110、 133、 136 編集 ................................................................ 137 マ ッ ピ ン グ ........................................................ 115 ロ ー カ ル ........................................................... 138 ユーザー ア ク セ ス コ ン ポーネ ン ト ............................. 3、 227 ユーザー ア ク セ ス、 のためのベス ト プ ラ ク テ ィ ス .............. 287 ユーザー グループ 概要 ................................................................ 115 管理 ................................................................ 131 削除 ................................................................ 138 追加 ................................................ 110、 133、 136 編集 ................................................................ 137 マ ッ ピ ン グ名 ..................................................... 115 ユーザー セ ッ シ ョ ンの停止 .......................................... 157 ユーザー セ ッ シ ョ ン、 停止 .......................................... 157 ユーザーの検索 ......................................................... 156 ユーザー名 / パスワー ド 認証 ..............................70、 75、 80 よ 要求 ア ク セ ス制御ルール ............................................. 111 コ ミ ュ ニ テ ィ ..................................................... 129 る ルー ト ......................................................................48 ルー ト フ ァ イル証明 .............................................. 62、 64 ループバ ッ ク ア ド レ ス ................................................ 240 れ レルム Active Directory ..................................................69 ASAP WorkPlace ................................................ 118 RADIUS ア カ ウ ン テ ィ ン グ .................................... 129 概要 ................................................................. 115 グループ ア フ ィ ニ テ ィ チ ェ ッ ク ................................69 検索 ................................................................. 133 コ ミ ュ ニ テ ィ の追加 ............................................. 121 追加 ................................................................. 119 デ フ ォ ル ト ................................................ 117、 118 認証サーバーでの参照 .............................................68 非表示 ...................................................... 117、 118 表示 ................................................. 116、 117、 118 ベス ト プ ラ ク テ ィ ス ............................................ 119 無効化 .............................................................. 119 有効化 .............................................................. 119 レルムの検索 ............................................................ 133 ら ラ イセンス FIPS ................................................................ 296 概要 ................................................................ 177 管理 ................................................................ 178 コ ン ポーネ ン ト ................................................... 177 詳細表示 ........................................................... 177 ベース .............................................................. 177 ラ ッ ク のイ ン ス ト ール .................................................. 20 り リストア 工場出荷時 ........................................................ 169 構成 ................................................................ 168 リセッ ト Factory Reset Tool ............................................ 174 構成 ................................................................ 169 リ ソ ース Web .................................................................. 89 Web ア プ リ ケーシ ョ ン プ ロ フ ァ イル ......................... 97 管理 .................................................................. 89 高度なオプ シ ョ ン .................................................. 93 削除 .................................................................. 94 追加 .......................................................... 92、 110 ネ ッ ト ワー ク ....................................................... 90 排除 リ ス ト .......................................................... 95 表示 .................................................................. 91 フ ァ イ ル シ ス テム ......................... 91、 203、 204、 209 編集 .................................................................. 94 リ ソ ース グループ 管理 .................................................................. 96 削除 .................................................................. 96 追加 .................................................................. 96 表示 .................................................................. 91 編集 .................................................................. 96 リ ソ ース排除 ............................................................. 95 ろ ロ ー カ ル ユーザー認証 ..........................................86、 138 ロ ギン グ Management Console 監査ロ グ ............................. 153 syslog サーバー .................................................. 148 概要 ................................................................. 144 設定の構成 ........................................................ 148 フ ァ イ ル形式 ...................................................... 145 フ ァ イ ルのエ ク スポー ト ........................................ 147 フ ァ イ ルのロ ケーシ ョ ン ........................................ 149 メ ッ セージの表示 ................................................ 145 レ ベル .............................................................. 148 ログイ ン OnDemand ....................................................... 243 わ ワイル ド カ ー ド EPC デバイ ス プ ロ フ ァ イ ルでの .............................. 188 ブ ラ ウザ プ ロ フ ァ イルでの .................................... 220 メ ッ セージの検索 ................................................ 146 リ ソ ース排除 リ ス ト での ..........................................95 328| 索引
© Copyright 2024 Paperzz