1. No category

NetScreen Instant Virtual Extranet

NetScreen Secure Access
NetScreen Secure Access FIPS
NetScreen Secure Meeting
管理ガイド
NetScreen Instant Virtual Extranet Platform
Juniper Networks NetScreen-SA
Juniper Networks NetScreen-SA FIPS
Juniper Networks NetScreen-SM
管理ガイド
リリース 5.1
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089
USA
408-745-2000
www.juniper.net
品番: 51B080805
This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright © 1986–1997, Epilogue
Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no part of them is in the public
domain.
This product includes memory allocation software developed by Mark Moraes, copyright © 1988, 1989, 1993, University of Toronto.
This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentation and software
included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by The Regents of the University of California. Copyright © 1979, 1980, 1983, 1986, 1988,
1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.
GateD software copyright © 1995, The Regents of the University. All rights reserved. Gate Daemon was originated and developed through release 3.0 by
Cornell University and its collaborators. Gated is based on Kirton’s EGP, UC Berkeley’s routing daemon (routed), and DCN’s HELLO routing protocol.
Development of Gated has been supported in part by the National Science Foundation. Portions of the GateD software copyright © 1988, Regents of the
University of California. All rights reserved. Portions of the GateD software copyright © 1991, D. L. S. Associates.
Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, the NetScreen logo, NetScreen-Global Pro, ScreenOS, and GigaScreen are
registered trademarks of Juniper Networks, Inc. in the United States and other countries.
The following are trademarks of Juniper Networks, Inc.: ERX, E-series, ESP, Instant Virtual Extranet, Internet Processor, J2300, J4300, J6300, J-Protect,
J-series, J-Web, JUNOS, JUNOScope, JUNOScript, JUNOSe, M5, M7i, M10, M10i, M20, M40, M40e, M160, M320, M-series, MMD, NetScreen-5GT,
NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400,
NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-SA 1000 Series,
NetScreen-SA 3000 Series, NetScreen-SA 5000 Series, NetScreen-SA Central Manager, NetScreen Secure Access, NetScreen-SM 3000, NetScreen-Security
Manager, NMC-RX, SDX, Stateful Signature, T320, T640, T-series, and TX Matrix. All other trademarks, service marks, registered trademarks, or registered
service marks are the property of their respective owners. All specifications are subject to change without notice.
Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned by or licensed
to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347,
6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785.
Copyright © 2005, Juniper Networks, Inc.
All rights reserved. Printed in USA.
Juniper Networks NetScreen Secure Access Ç®ÇÊÇ— Secure Meeting ä«óùÉKÉCÉh, ÉäÉäÅ[ÉX 5.1
Writer: Bill Baker, Paul Battaglia, Claudette Hobbart, Mark Smallwood
Editor: Claudette Hobbart
The information in this document is current as of the date listed in the revision history.
Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify, transfer, or
otherwise revise this publication without notice.
Year 2000 Notice
Juniper Networks hardware and software products are Year 2000 compliant. The JUNOS software has no known time-related limitations through the year
2038. However, the NTP application is known to have some difficulty in the year 2036.
Software License
The terms and conditions for using this software are described in the software license contained in the acknowledgment to your purchase order or, to the
extent applicable, to any reseller agreement or end-user purchase agreement executed between you and Juniper Networks. By using this software, you
indicate that you understand and agree to be bound by those terms and conditions.
Generally speaking, the software license restricts the manner in which you are permitted to use the software and may contain prohibitions against certain
uses. The software license may state conditions under which the license is automatically terminated. You should consult the license for further details.
For complete product documentation, please see the Juniper Networks Web site at www.juniper.net/techpubs.
End User License Agreement
READ THIS END USER LICENSE AGREEMENT ("AGREEMENT") BEFORE DOWNLOADING, INSTALLING, OR USING THE SOFTWARE. BY
DOWNLOADING, INSTALLING, OR USING THE SOFTWARE OR OTHERWISE EXPRESSING YOUR AGREEMENT TO THE TERMS CONTAINED HEREIN, YOU
(AS CUSTOMER OR IF YOU ARE NOT THE CUSTOMER, AS A REPRESENTATIVE/AGENT AUTHORIZED TO BIND THE CUSTOMER) CONSENT TO BE BOUND
BY THIS AGREEMENT. IF YOU DO NOT OR CANNOT AGREE TO THE TERMS CONTAINED HEREIN, THEN (A) DO NOT DOWNLOAD, INSTALL, OR USE THE
SOFTWARE, AND (B) YOU MAY CONTACT JUNIPER NETWORKS REGARDING LICENSE TERMS.
1. The Parties. The parties to this Agreement are Juniper Networks, Inc. and its subsidiaries (collectively “Juniper”), and the person or organization that
originally purchased from Juniper or an authorized Juniper reseller the applicable license(s) for use of the Software (“Customer”) (collectively, the “Parties”).
2. The Software. In this Agreement, “Software” means the program modules and features of the Juniper or Juniper-supplied software, and updates and
releases of such software, for which Customer has paid the applicable license or support fees to Juniper or an authorized Juniper reseller.
3. License Grant. Subject to payment of the applicable fees and the limitations and restrictions set forth herein, Juniper grants to Customer a non-exclusive
and non-transferable license, without right to sublicense, to use the Software, in executable form only, subject to the following use restrictions:
a. Customer shall use the Software solely as embedded in, and for execution on, Juniper equipment originally purchased by Customer from Juniper or an
authorized Juniper reseller, unless the applicable Juniper documentation expressly permits installation on non-Juniper equipment.
b. Customer shall use the Software on a single hardware chassis having a single processing unit, or as many chassis or processing units for which Customer
has paid the applicable license fees.
c. Product purchase documents, paper or electronic user documentation, and/or the particular licenses purchased by Customer may specify limits to
Customer’s use of the Software. Such limits may restrict use to a maximum number of seats, registered endpoints, concurrent users, sessions, calls,
connections, subscribers, clusters, nodes, or transactions, or require the purchase of separate licenses to use particular features, functionalities, services,
applications, operations, or capabilities, or provide throughput, performance, configuration, bandwidth, interface, processing, temporal, or geographical
limits. Customer’s use of the Software shall be subject to all such limitations and purchase of all applicable licenses.
The foregoing license is not transferable or assignable by Customer. No license is granted herein to any user who did not originally purchase the applicable
license(s) for the Software from Juniper or an authorized Juniper reseller.
4. Use Prohibitions. Notwithstanding the foregoing, the license provided herein does not permit the Customer to, and Customer agrees not to and shall not:
(a) modify, unbundle, reverse engineer, or create derivative works based on the Software; (b) make unauthorized copies of the Software (except as necessary
for backup purposes); (c) rent, sell, transfer, or grant any rights in and to any copy of the Software, in any form, to any third party; (d) remove any
proprietary notices, labels, or marks on or in any copy of the Software or any product in which the Software is embedded; (e) distribute any copy of the
Software to any third party, including as may be embedded in Juniper equipment sold in the secondhand market; (f) use any ‘locked’ or key-restricted
feature, function, service, application, operation, or capability without first purchasing the applicable license(s) and obtaining a valid key from Juniper, even
if such feature, function, service, application, operation, or capability is enabled without a key; (g) distribute any key for the Software provided by Juniper to
any third party; (h) use the Software in any manner that extends or is broader than the uses purchased by Customer from Juniper or an authorized Juniper
reseller; (i) use the Software on non-Juniper equipment where the Juniper documentation does not expressly permit installation on non-Juniper equipment;
(j) use the Software (or make it available for use) on Juniper equipment that the Customer did not originally purchase from Juniper or an authorized Juniper
reseller; or (k) use the Software in any manner other than as expressly provided herein.
5. Audit. Customer shall maintain accurate records as necessary to verify compliance with this Agreement. Upon request by Juniper, Customer shall furnish
such records to Juniper and certify its compliance with this Agreement.
6. Confidentiality. The Parties agree that aspects of the Software and associated documentation are the confidential property of Juniper. As such, Customer
shall exercise all reasonable commercial efforts to maintain the Software and associated documentation in confidence, which at a minimum includes
restricting access to the Software to Customer employees and contractors having a need to use the Software for Customer’s internal business purposes.
7. Ownership. Juniper and Juniper’s licensors, respectively, retain ownership of all right, title, and interest (including copyright) in and to the Software,
associated documentation, and all copies of the Software. Nothing in this Agreement constitutes a transfer or conveyance of any right, title, or interest in the
Software or associated documentation, or a sale of the Software, associated documentation, or copies of the Software.
8. Warranty, Limitation of Liability, Disclaimer of Warranty. The warranty applicable to the Software shall be as set forth in the warranty statement that
accompanies the Software (the “Warranty Statement”). Nothing in this Agreement shall give rise to any obligation to support the Software. Support services
may be purchased separately. Any such support shall be governed by a separate, written support services agreement. TO THE MAXIMUM EXTENT
PERMITTED BY LAW, JUNIPER SHALL NOT BE LIABLE FOR ANY LOST PROFITS, LOSS OF DATA, OR COSTS OR PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES, OR FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES ARISING OUT OF THIS AGREEMENT, THE SOFTWARE, OR ANY JUNIPER
OR JUNIPER-SUPPLIED SOFTWARE. IN NO EVENT SHALL JUNIPER BE LIABLE FOR DAMAGES ARISING FROM UNAUTHORIZED OR IMPROPER USE OF
ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. EXCEPT AS EXPRESSLY PROVIDED IN THE WARRANTY STATEMENT TO THE EXTENT PERMITTED BY
LAW, JUNIPER DISCLAIMS ANY AND ALL WARRANTIES IN AND TO THE SOFTWARE (WHETHER EXPRESS, IMPLIED, STATUTORY, OR OTHERWISE),
INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. IN NO EVENT DOES
JUNIPER WARRANT THAT THE SOFTWARE, OR ANY EQUIPMENT OR NETWORK RUNNING THE SOFTWARE, WILL OPERATE WITHOUT ERROR OR
INTERRUPTION, OR WILL BE FREE OF VULNERABILITY TO INTRUSION OR ATTACK. In no event shall Juniper’s or its suppliers’ or licensors’ liability to
Customer, whether in contract, tort (including negligence), breach of warranty, or otherwise, exceed the price paid by Customer for the Software that gave
rise to the claim, or if the Software is embedded in another Juniper product, the price paid by Customer for such other product. Customer acknowledges and
agrees that Juniper has set its prices and entered into this Agreement in reliance upon the disclaimers of warranty and the limitations of liability set forth
herein, that the same reflect an allocation of risk between the Parties (including the risk that a contract remedy may fail of its essential purpose and cause
consequential loss), and that the same form an essential basis of the bargain between the Parties.
9. Termination. Any breach of this Agreement or failure by Customer to pay any applicable fees due shall result in automatic termination of the license
granted herein. Upon such termination, Customer shall destroy or return to Juniper all copies of the Software and related documentation in Customer’s
possession or control.
10. Taxes. All license fees for the Software are exclusive of taxes, withholdings, duties, or levies (collectively “Taxes”). Customer shall be responsible for
paying Taxes arising from the purchase of the license, or importation or use of the Software.
11. Export. Customer agrees to comply with all applicable export laws and restrictions and regulations of any United States and any applicable foreign
agency or authority, and not to export or re-export the Software or any direct product thereof in violation of any such restrictions, laws or regulations, or
without all necessary approvals. Customer shall be liable for any such violations. The version of the Software supplied to Customer may contain encryption
or other capabilities restricting Customer’s ability to export the Software without an export license.
12. Commercial Computer Software. The Software is “commercial computer software” and is provided with restricted rights. Use, duplication, or
disclosure by the United States government is subject to restrictions set forth in this Agreement and as provided in DFARS 227.7201 through 227.7202-4,
FAR 12.212, FAR 27.405(b)(2), FAR 52.227-19, or FAR 52.227-14(ALT III) as applicable.
13. Interface Information. To the extent required by applicable law, and at Customer's written request, Juniper shall provide Customer with the interface
information needed to achieve interoperability between the Software and another independently created program, on payment of applicable fee, if any.
Customer shall observe strict obligations of confidentiality with respect to such information and shall use such information in compliance with any
applicable terms and conditions upon which Juniper makes such information available.
14. Third Party Software. Any licensor of Juniper whose software is embedded in the Software and any supplier of Juniper whose products or technology
are embedded in (or services are accessed by) the Software shall be a third party beneficiary with respect to this Agreement, and such licensor or vendor
shall have the right to enforce this Agreement in its own name as if it were Juniper. In addition, certain third party software may be provided with the
Software and is subject to the accompanying license(s), if any, of its respective owner(s). To the extent portions of the Software are distributed under and
subject to open source licenses obligating Juniper to make the source code for such portions publicly available (such as the GNU General Public License
(“GPL”) or the GNU Library General Public License (“LGPL”)), Juniper will make such source code portions (including Juniper modifications, as appropriate)
available upon request for a period of up to three years from the date of distribution. Such request can be made in writing to Juniper Networks, Inc., 1194 N.
Mathilda Ave., Sunnyvale, CA 94089, ATTN: General Counsel. You may obtain a copy of the GPL at http://www.gnu.org/licenses/gpl.html, and a copy of the
LGPL at http://www.gnu.org/licenses/lgpl.html.
15. Miscellaneous. This Agreement shall be governed by the laws of the State of California without reference to its conflicts of laws principles. The
provisions of the U.N. Convention for the International Sale of Goods shall not apply to this Agreement. For any disputes arising under this Agreement, the
Parties hereby consent to the personal and exclusive jurisdiction of, and venue in, the state and federal courts within Santa Clara County, California. This
Agreement constitutes the entire and sole agreement between Juniper and the Customer with respect to the Software, and supersedes all prior and
contemporaneous agreements relating to the Software, whether oral or written (including any inconsistent terms contained in a purchase order), except that
the terms of a separate written agreement executed by an authorized Juniper representative and Customer shall govern to the extent such terms are
inconsistent or conflict with terms contained herein. No modification to this Agreement nor any waiver of any rights hereunder shall be effective unless
expressly assented to in writing by the party to be charged. If any portion of this Agreement is held invalid, the Parties agree that such invalidity shall not
affect the validity of the remainder of this Agreement. This Agreement and associated documentation has been written in the English language, and the
Parties agree that the English version will govern. (For Canada: Les parties aux présentés confirment leur volonté que cette convention de même que tous
les documents y compris tout avis qui s'y rattaché, soient redigés en langue anglaise. (Translation: The parties confirm that this Agreement and all related
documentation is and will be in the English language)).
目次
このガイドについて
第 1部
第 1章
xiii
はじめに
1
初期確認と主要コンセプト
3
ユーザーのアクセス可能性の検証 .................................................................. 5
IVE の概念とベスト プラクティスを理解するためのテスト シナリオの
作成........................................................................................................... 8
ユーザー ロールを定義する...................................................................... 8
リソース ポリシーを定義する ................................................................ 11
認証サーバーを定義する ........................................................................ 13
認証領域を定義する ............................................................................... 16
サインイン ポリシーを定義する ............................................................ 19
テスト シナリオを使用する.................................................................... 22
管理者のデフォルト設定............................................................................... 25
第 2部
第 2章
IVE 製品および機能
27
IVE シリーズ
29
NetScreen Instant Virtual Extranet プラットフォームの概要 ........................ 31
IVE platform とは .................................................................................... 31
IVE platform 上に構築された製品の動作 ................................................ 32
Access Series の概要...................................................................................... 35
アクセス管理の概要 ...................................................................................... 37
ポリシー、規則、制限、および条件 ...................................................... 37
アクセスと承認のフローチャート.......................................................... 39
ダイナミック ポリシー評価.................................................................... 43
セキュリティ要件の設定 ........................................................................ 44
認証領域の概要 ............................................................................................. 49
認証サーバー .......................................................................................... 49
認証ポリシー .......................................................................................... 51
ディレクトリ サーバー........................................................................... 51
ロール マッピング規則........................................................................... 51
サインイン ポリシーの概要 .......................................................................... 53
複数のサインイン ポリシー.................................................................... 53
サインイン ポリシーの評価.................................................................... 54
サインイン ページ .................................................................................. 54
ユーザー ロールの概要 ................................................................................. 57
ロール タイプ ......................................................................................... 57
ロール コンポーネント........................................................................... 57
ロール評価..............................................................................................58
„
v
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
リソース ポリシーの概要.............................................................................. 61
リソース ポリシー タイプ ...................................................................... 61
リソース ポリシー コンポーネント........................................................ 63
リソース ポリシーの評価 ....................................................................... 63
リソース ポリシー詳細規則.................................................................... 64
第 3章
認証と承認
67
証明書の概要................................................................................................. 69
IVE サーバー証明書 ................................................................................ 69
トラステッド クライアント CA .............................................................. 72
トラステッド サーバー CA ..................................................................... 75
コード署名証明書 ................................................................................... 75
委任管理の概要 ............................................................................................. 78
エンドポイント防御の概要 ........................................................................... 79
Host Checker の概要 ............................................................................... 80
Cache Cleaner の概要.............................................................................. 90
LDAP パスワード管理の概要......................................................................... 96
シングル サインオンの概要 ........................................................................100
複数サインイン認証情報の概要 ...........................................................101
SAML の概要................................................................................................109
SAML SSO プロファイルの概要 ............................................................111
アクセス コントロール ポリシーの概要...............................................113
SAML 対応システム間の信頼関係の確立 ..............................................114
第 4章
リモート アクセス
119
Network Connect の概要 .............................................................................121
GINA を使用した Network Connect の自動サインイン.........................124
Network Connect へのネットワークの準備 ..........................................126
Network Connect リソース ポリシーのアクセス方法の定義 ................127
クライアントサイド ロギング ..............................................................128
Network Connect プロキシのサポート .................................................128
セキュア アプリケーション マネージャの概要 ..........................................131
Windows セキュア アプリケーション マネージャ (W-SAM) の概要.....131
Java セキュア アプリケーション マネージャ (J-SAM) の概要 ...............135
MS Exchange のサポートの強化 ...........................................................141
Lotus Notes のサポートの強化..............................................................143
Citrix Web Interface for MetaFrame ( 旧名 NFuse Classic) の
サポートの強化 ..............................................................................145
E メール クライアントの概要 .....................................................................147
E メール クライアントの選択...............................................................147
標準ベースのメール サーバーの使用 ...................................................148
Microsoft Exchange サーバーの使用 .....................................................148
Lotus Notes および Lotus Notes メール サーバーの使用.......................150
Java アプレット アップロードの概要 .........................................................152
IVE への Java アプレットのアップロード.............................................152
アップロードする Java アプレットへの署名 ........................................153
アップロードした Java アプレットを参照する HTML ページの作成....154
Java アプレットのブックマークへのアクセス......................................154
使用例: Citrix JICA 8.0 Java アプレットのブックマークの作成...........154
データ転送プロキシの概要 .........................................................................157
リモート SSO の概要 ..................................................................................160
ターミナル サービスの概要 ........................................................................161
vi
„
セキュア ミーティングの概要 ....................................................................164
Secure Meeting の機能 ..........................................................................165
Secure Meeting のパーミッシブ マージ ガイドライン .........................171
Secure Meeting のトラブルシューティング..........................................172
第 5章
システム管理とサービス
175
Central Manager の概要..............................................................................177
クラスタの概要 ...........................................................................................178
クラスタの概要.....................................................................................178
アクティブ / パッシブ クラスタでの 2 台のユニット配備 ...................180
アクティブ / アクティブ クラスタでの 2 台以上のユニット配備 ........181
状態の同期化 ........................................................................................182
Access Series FIPS 環境でのクラスタ配備 ............................................184
ネットワーク設定の概要.............................................................................185
一般的なネットワーク設定の指定........................................................185
内部ポートと外部ポートの設定 ...........................................................185
仮想ポートの設定 .................................................................................186
ネットワーク トラフィックの静的ルートの指定 .................................186
ARP キャッシュの作成 .........................................................................187
IVE によってローカル解決されるホスト名の指定 ...............................187
IP フィルタの設定 ................................................................................187
ログと監視の概要 .......................................................................................189
ログ ファイルの重要度のレベル ..........................................................190
カスタム フィルタ ログ ファイル ........................................................191
動的ログ フィルタ ................................................................................191
設定ファイルの概要 ....................................................................................192
IVE 設定ファイルをアーカイブする .....................................................192
IVE 設定ファイルのローカル バックアップの作成 ..............................193
IVE 設定ファイルのインポートとエクスポート ...................................193
XML 設定ファイルのインポートとエクスポート .................................194
XML インスタンス使用の方針 ..............................................................204
IVE 間での設定のプッシュ ...................................................................205
トラブルシューティングの概要 ..................................................................206
イベントのシミュレーションとトラッキング......................................206
記録セッション.....................................................................................208
IVE システム状態のスナップショットの作成.......................................208
TCP ダンプ ファイルの作成..................................................................208
IVE ネットワーク接続状態のテスト .....................................................209
デバッグ ツールのリモートでの実行 ...................................................210
デバッグ ログの作成 ............................................................................210
クラスタ ノードのモニタリング ..........................................................210
クラスタ上のグループ通信モニタリングの設定 ..................................210
多言語サポートの概要 ................................................................................212
ファイルのエンコード..........................................................................212
ユーザー インターフェースのローカライズ ........................................213
カスタム サインインとシステム ページのローカライズ .....................213
携帯端末と PDA の概要...............................................................................214
Instant Virtual System (IVS) の概要..............................................................217
IVS の配備.............................................................................................218
ルート システムまたは IVS へのサインイン ........................................221
加入者プロファイルの確認...................................................................222
„
vii
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVS のプロビジョニング..............................................................................225
プロビジョニング プロセスの理解.......................................................226
サインイン ポートの設定 .....................................................................228
Virtual Local Area Network(仮想ローカルエリア ネットワーク)
(VLAN) の設定.................................................................................230
証明書サーバーのロード ......................................................................233
仮想システム(IVS プロファイル)の作成 ..........................................234
IVS 管理者として IVS に直接サインイン ..............................................236
ロールベースのソース IP エイリアスの設定 ........................................236
IVS のポリシー ルーティング規則の設定 .............................................238
仮想化 IVE のクラスタ化 ......................................................................240
IVS の DNS の設定 ................................................................................241
仮想化 IVE で使用する Network Connect の設定..................................243
認証サーバーの設定 .............................................................................247
スタンドアロン インストーラへのアクセス ........................................248
IVS 設定ファイルのエクスポートおよびインポートの実行 .................249
加入者の監視 ........................................................................................251
VLAN のトラブルシューティング.........................................................251
IVS 使用例 ...................................................................................................252
IVS のポリシー ルーティング規則解決の使用例 ..................................253
複数の加入者に対するグローバル認証サーバーの設定 .......................258
加入者ごとに DNS/WINS サーバー IP アドレスを設定.........................259
各加入者の Web アプリケーションおよび Web ブラウズへの
アクセスの設定 ..............................................................................259
各加入者のファイル ブラウズ アクセスの設定....................................260
加入者のエンドユーザーに複数のサブネット IP アドレスを設定 .......261
共有サーバーへのアクセスを可能にするため複数の IVS システムを
設定 ................................................................................................262
第 6章
IVE ハードウェア機能
263
圧縮の概要 ..................................................................................................265
Access Series FIPS の概要............................................................................268
NetScreen Access Series FIPS の動作 ....................................................268
管理者カードの作成 .............................................................................269
Secure Access 6000 の概要..........................................................................271
標準的なハードウェア..........................................................................271
Secure Access 6000 フィールド交換ユニット ......................................272
第 3部
第 7章
IVE 設定
273
タスクのサマリー
275
システム設定
277
Status ページの設定 ....................................................................................279
Overview タブ.......................................................................................279
Active Users タブ ..................................................................................282
Meeting Schedule タブ ..........................................................................283
viii
„
Configuration ページの設定 ........................................................................285
Licensing タブ .......................................................................................285
Security ページ .....................................................................................291
Certificates タブ ....................................................................................293
NCP タブ ...............................................................................................307
Client Types タブ ..................................................................................308
Network ページの設定 ................................................................................310
Overview タブ.......................................................................................310
Internal Port タブ ..................................................................................311
External Port タブ .................................................................................313
VLANs タブ ...........................................................................................315
Routes タブ ...........................................................................................316
Hosts タブ .............................................................................................316
Network Connect タブ ..........................................................................316
Clustering ページの設定 ..............................................................................318
Create タブ............................................................................................319
Join タブ................................................................................................320
Status タブ ............................................................................................323
Properties タブ......................................................................................327
シリアル コンソールの手順..................................................................329
Virtual Systems ページの設定......................................................................333
Log Monitoring ページの設定 ......................................................................334
Events、User Access、Admin Access、および NC Packet タブ ............334
SNMP タブ ............................................................................................339
Statistics タブ ........................................................................................344
Client-side Logs タブ .............................................................................344
第 8章
Signing In 設定
347
Sign-in ページの設定 ...................................................................................349
Sign-in Policies タブ ..............................................................................349
Sign-in Pages タブ .................................................................................352
End Point ページの設定 ..............................................................................358
Host Checker タブ.................................................................................358
Cache Cleaner タブ ...............................................................................370
AAA Servers ページの設定 ..........................................................................373
認証サーバー インスタンスを定義する................................................374
認証サーバー インスタンスを変更する................................................374
ローカル認証サーバー インスタンスの設定 ........................................375
LDAP サーバー インスタンスの設定 ....................................................380
NIS サーバー インスタンスの設定........................................................383
ACE/Server インスタンスの設定 ...........................................................384
RADIUS サーバー インスタンスの設定.................................................387
Active Directory または NT ドメイン インスタンスの設定...................394
匿名サーバー インスタンスの設定.......................................................399
Netegrity SiteMinder サーバー インスタンスの設定 .............................401
証明書サーバー インスタンスの設定 ...................................................421
ユーザー セッションの表示と削除.......................................................423
„
ix
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
第 9章
管理者設定
425
Authentication ページの設定 .......................................................................427
General タブ..........................................................................................427
Authentication Policy タブ ....................................................................429
Role Mapping タブ ................................................................................430
Delegation ページの設定 .............................................................................439
管理者ロールを設定する ......................................................................439
General タブ..........................................................................................441
System タブ ..........................................................................................444
Users タブ .............................................................................................445
Resource Policies タブ...........................................................................446
第 10 章
ユーザー設定
449
Authentication ページの設定 .......................................................................451
Roles ページの設定 .....................................................................................452
General ページの設定..................................................................................453
Overview タブ.......................................................................................453
Restrictions タブ ...................................................................................454
Source IP タブ .......................................................................................454
Session Options タブ.............................................................................455
UI Options タブ .....................................................................................457
Web ページの設定 ......................................................................................462
Bookmarks タブ ....................................................................................462
Options タブ .........................................................................................465
Files ページの設定.......................................................................................469
Windows Bookmarks タブ ....................................................................469
UNIX Bookmarks タブ...........................................................................470
Options タブ .........................................................................................471
SAM ページの設定.......................................................................................472
Applications タブ ..................................................................................472
Options タブ .........................................................................................478
Telnet/SSH ページの設定.............................................................................481
Sessions タブ ........................................................................................481
Options タブ .........................................................................................482
Terminal Services ページの設定 ..................................................................483
Session タブ ..........................................................................................483
Options タブ .........................................................................................488
Meetings ページの設定................................................................................490
Options タブ .........................................................................................490
Auth Servers タブ..................................................................................493
Network Connect ページの設定...................................................................495
New User ページの設定...............................................................................497
x
„
第 11 章
リソース ポリシー設定
499
リソース ポリシーのリソースの指定..........................................................501
正式フォーマットについての一般的注意事項......................................501
サーバー リソースの指定 .....................................................................501
詳細規則の記述.....................................................................................503
Web ページの設定 ......................................................................................505
Access タブ ...........................................................................................507
Caching タブ .........................................................................................508
Java タブ ...............................................................................................512
Rewriting タブ.......................................................................................516
Remote SSO タブ ..................................................................................523
SAML タブ.............................................................................................526
Web Proxy タブ ....................................................................................533
Launch JSAM タブ .................................................................................535
Compression タブ .................................................................................536
Options タブ .........................................................................................537
Files ページの設定.......................................................................................538
Windows タブ .......................................................................................540
UNIX/NFS タブ ......................................................................................542
Compression タブ .................................................................................543
Encoding タブ .......................................................................................544
Options タブ .........................................................................................545
SAM ページの設定.......................................................................................546
Access タブ ...........................................................................................546
Options タブ .........................................................................................547
Telnet/SSH ページの設定.............................................................................549
Access タブ ...........................................................................................549
Options タブ .........................................................................................550
Terminal Services Policies ページの設定 .....................................................552
Access タブ ...........................................................................................552
Options タブ .........................................................................................553
Meetings ページの設定................................................................................554
Network Connect ページの設定...................................................................556
Network Connect Access Control タブ...................................................556
Network Connect Logging タブ .............................................................557
Network Connect Connection Profiles タブ ...........................................558
Network Connect Split Tunneling タブ ..................................................562
使用例: Network Connect リソース ポリシーの設定...........................563
Email Client ページの設定...........................................................................565
第 12 章
メンテナンス設定
567
System ページの設定 ..................................................................................569
Platform タブ ........................................................................................569
Upgrade/Downgrade タブ .....................................................................570
Options タブ .........................................................................................571
Installers タブ........................................................................................572
Import/Export ページの設定........................................................................574
Configuration タブ ................................................................................574
User Accounts タブ ...............................................................................575
XML Import/Export タブ .......................................................................576
XML Import/Export の使用例 ................................................................580
Push Config ページの設定 ...........................................................................585
„
xi
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Archiving ページの設定 ...............................................................................588
FTP Server タブ.....................................................................................588
Local Backups タブ................................................................................589
Troubleshooting ページの設定 ....................................................................591
User Sessions タブ ................................................................................591
Session Recording タブ .........................................................................593
System Snapshot タブ ...........................................................................594
TCP Dump タブ.....................................................................................595
Commands タブ....................................................................................596
Remote Debugging タブ........................................................................597
Debug Log タブ .....................................................................................597
Node Monitor タブ ................................................................................598
Clustering タブ ......................................................................................598
第 4部
付録 A
追補情報
599
IVE シリアル コンソールの使用
601
IVE アプライアンスのシリアル コンソールへの接続 .................................601
直前のシステム状態へのロールバック .......................................................602
IVE アプライアンスを出荷時設定に戻す ....................................................604
共通のリカバリ タスクの実行 ....................................................................607
管理者カードの追加作成 (Access Series FIPS のみ )....................................608
新しいセキュリティ ワールドの作成 (Access Series FIPS のみ ).................609
アーカイブされたセキュリティ ワールドの復元
(Access Series FIPS のみ ) ......................................................................610
付録 B
カスタム エクスプレッションの記述
613
カスタム エクスプレッション ....................................................................613
システム変数とその例 ................................................................................617
領域、ロール、リソース ポリシーでのシステム変数の使用......................625
付録 C
カスタマイズ可能なサインイン ページ
629
テンプレート ツールキット言語の理解 ......................................................630
変数およびファイルへのアクセスと更新 .............................................631
条件文の作成 ........................................................................................632
ループ コンストラクトの作成 ..............................................................633
未サポート ディレクティブ..................................................................633
samples.zip のテンプレートの使用 .............................................................633
IVE 認証前ページ ..................................................................................634
ACE 認証前ページ.................................................................................643
Netegrity で使用する ACE 認証前ページ ..............................................644
パスワード管理ページ..........................................................................644
SoftID.zip のテンプレートの使用 ................................................................645
Kiosk.zip のテンプレートの使用 .................................................................647
Meeting.zip からのテンプレートの使用 ......................................................648
付録 D
W-SAM ランチャーの使用
649
スクリプトの手動での実行 .........................................................................650
スクリプトの自動実行 ................................................................................651
xii
„
付録 E
クライアント サイドのアプリケーション インストール
653
アプリケーションを実行、インストールするために必要な権利 ...............653
アプリケーション ファイルのディレクトリ ...............................................658
付録 F
セントラル マネージャ ダッシュボード グラフ XML
669
付録 G
アクセス管理制限の設定
671
ソース IP の制限..........................................................................................672
ブラウザの制限 ...........................................................................................673
証明書の制限...............................................................................................675
パスワードの制限 .......................................................................................676
Host Checker の制限....................................................................................677
Cache Cleaner の制限 ..................................................................................678
付録 H
ユーザー エラー メッセージの使用
681
Windows Secure Application Manager のエラー メッセージ.......................681
Network Connect エラー メッセージ ..........................................................689
Windows エラー メッセージ ................................................................689
Macintosh エラー メッセージ ...............................................................703
„
xiii
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
xiv
„
このガイドについて
このガイドでは、NetScreen Instant Virtual Extranet (IVE) アプライアンスの理解、設定、
保守に必要な情報を説明します。
„
Access Series 製品と基盤となっているアクセス管理システムを知るための概要
„
基本機能と高度な機能、そしてアップグレード オプションを説明する概要
„
IVE アプライアンスまたはクラスタを設定および管理する手順
対象読者
このガイドは、次の Access Series および Access Series FIPS 製品の構成を担当するシステ
ム管理者を対象としています。
お問い合わせ
インストールに関する質問は、製品に付属の Getting Started Guide を参照してください。
最新ビルドの IVE OS および対応する管理ガイド PDF とリリース ノートをダウンロード
するには、Juniper Networks サポートサイトをご覧ください。
表記上の規則
表 1 はこのガイドで使用されている注意事項のアイコンを定義し、表 2 はこのガイド全
体で使用されているテキストの表記上の規則を定義しています。
表 1: 注意事項のアイコン
アイコン
意味
説明
参考情報
重要な機能や指示を示します。
注意
データ損失やハードウェアへの損害の危険があることを
示します。
警告
負傷する危険性について警告します。
対象読者
„
xiii
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 2: テキストの表記上の規則 ( コマンドのシンタックスを除く )
表記上の規則
説明
例
太字体
ボタン、フィールド名、ダイアログ
ボックス名、他のユーザー インター
フェースのエレメントを指します。
Scheduling および Appointment タブを使用し
て、会議の予定を立てます。
標準ゴシック体
意味 :
例:
„ コード、コマンド、キーワード
„ コード :
„ URL、ファイル名、ディレクトリ
certAttr.OU = 'Retail Products Group'
„ URL:
JRE アプリケーションのダウンロード :
http://java.sun.com/j2se/
イタリック体
意味 :
例:
„ テキストで定義された用語
„ 定義された用語 :
„ 変数エレメント
„ 書名
RDP クライアントは Windows コンポーネン
トで、Windows サーバーとユーザーのコン
ピュータ間を接続します。
„ 変数エレメント :
Users > Roles > ロールを選択 > Terminal
Services ページの設定を使用してターミナル
エミュレーション セッションを作成します。
„ 書名 :
IVE Supported Platforms ドキュメントを参照
してください。
付属文書
リリース ノート
リリース ノートは製品ソフトウェアに付属されており、Web でご覧になれます。
リリースノートでは、機能、変更、既知の問題、および解決された問題について最新情報
を知ることができます。リリース ノートの情報が付属資料に記載されている情報と異なる
場合、リリース ノートの内容に従ってください。
Web アクセス
Web で付属資料を表示するには、以下のサイトをご覧ください。
http://www.juniper.net/techpubs/
カスタマサポートへのお問い合わせ
技術サポートについては、[email protected] のメールアドレスまたは 1-888-314-JTAC (
米国国内 ) または 408-745-9500 ( 米国国外から ) の電話番号で Juniper Networks までお問
い合わせください。
xiv
„
付属文書
第 1部
はじめに
このセクションでは、追加の IVE 設定タスクをご案内します。このタスクは、ネットワー
ク上でユーザー アクセスの有効化や制御を行うために必要な概念についての理解を深め
られるようデザインされています。
目次
„
3 ページの「初期確認と主要コンセプト」
„
1
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2
„
第 1章
初期確認と主要コンセプト
ここでは、初期インストールと IVE の設定に続いて行うタスクについて説明します。ここ
での内容は、管理者 Web コンソールで「Task Guide」に従ってソフトウェア イメージを
更新し、Secure Access ライセンス キーの生成と適用を既に行っていることを前提として
います。
目次
„
5 ページの「ユーザーのアクセス可能性の検証」
„
8 ページの「IVE の概念とベスト プラクティスを理解するためのテスト シナリオ
の作成」
„
25 ページの「管理者のデフォルト設定」
„
3
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ユーザーのアクセス可能性の検証
ユーザーが IVE にアクセス可能かどうかを検証するために使用するユーザー アカウント
を、システム認証サーバーに簡単に作成することができます。管理者の Web コンソール
でアカウントを作成した後は、IVE ユーザーのサインイン ページでそのユーザーとしてサ
インインします。
ユーザーのアクセス可能性を検証するには、次の操作を実行します。
1.
管理者の Web コンソールで、Users > New User を選択します。
2.
New Local User ページで、ユーザー名 “testuser1” とパスワードを入力し、Save
Changes をクリックします。IVE は testuser1 のアカウントを作成します。
3.
別のブラウザ ウィンドウにマシンの URL を入力して、ユーザーのサインイン ページ
にアクセスします。URL の形式は次のとおりです。https://a.b.c.d です。a.b.c.d
は、最初に IVE を設定した際にシリアル コンソールに入力したマシンの IP アドレス
です。セキュリティ警告によって、署名された証明書なしで処理を続行するかどうか
を尋ねられた場合は、Yes をクリックします。ユーザーのサインイン ページが表示さ
れたら、IVE アプライアンスに正常に接続しています。
図 1: ユーザー用サインイン ページ
4.
サインイン ページで、ユーザー アカウントに対して作成したユーザー名とパスワー
ドを入力し、Sign In をクリックして、ユーザー用の IVE ホーム ページにアクセスし
ます。
ユーザーのアクセス可能性の検証
„
5
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 2: ユーザー ホーム ページ ( デフォルト )
5.
ブラウザの Address フィールドに、インターネット Web サーバーへの URL を入力
し、Browse をクリックします。IVE は、同じブラウザ ウィンドウに Web ページを開
きます。そのため、IVE ホーム ページに戻るには、移動先の Web ページに表示され
たブラウジング ツールバーの中央にあるアイコンをクリックします。
図 3: インターネット Web ページのブラウジング ツールバーの例
6
„ ユーザーのアクセス可能性の検証
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
6.
IVE ホーム ページで、外部企業サイトへの URL を入力し、Browse をクリックしま
す。IVE は、同じブラウザ ウィンドウに Web ページを開きます。そのため、IVE ホー
ム ページに戻るには、ブラウジング ツールを使用します。
7.
IVE ホーム ページで、Browsing > Windows Files をクリックして使用可能な
Windows ファイル共有を参照するか、Browsing > UNIX/NFS Files をクリックして使
用可能な UNIX/NFS ファイル共有を参照します。
ユーザーのアクセス可能性を検証した後は管理者 Web コンソールに戻り、8 ページの
「IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成」に記されて
いる主要概念に関する説明をお読みください。
ユーザーのアクセス可能性の検証
„
7
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVE の概念とベスト プラクティスを理解するためのテスト
シナリオの作成
IVE は柔軟なアクセス管理システムを提供しており、ロール、リソース ポリシー、認証
サーバー、認証領域、およびサインイン ポリシーを使用して、ユーザーのリモート アク
セスを容易にカスタマイズすることができます。これらのエンティティの使用を直ちに開
始できるようにするため、IVE は、それぞれのシステム デフォルトが設定されて出荷され
ています。ここでは、これらのシステム デフォルトについて説明するとともに、以下のタ
スクを実行して、各アクセス管理エンティティを作成する方法を示します。
„
8 ページの「ユーザー ロールを定義する」
„
11 ページの「リソース ポリシーを定義する」
„
13 ページの「認証サーバーを定義する」
„
16 ページの「認証領域を定義する」
„
19 ページの「サインイン ポリシーを定義する」
メモ : IVE は、次の 2 種類のユーザーをサポートしています。
„
管理者 -「管理者」は、IVE の構成設定の表示や修正を行う個人です。最初の管理者
アカウントは、シリアル コンソールで作成します。
„
ユーザー -「ユーザー」は、管理者の設定どおりに、IVE を使用して企業リソース
にアクセスする個人です。5 ページの「ユーザーのアクセス可能性の検証」で、最
初のユーザー アカウント (testuser1) を作成しました。
以下のテスト シナリオでは、IVE アクセス管理要素を使用して、ユーザーのアクセス パ
ラメータを設定することに的を絞っています。管理者のシステム デフォルト設定の詳細
については、25 ページの「管理者のデフォルト設定」を参照してください。
ユーザー ロールを定義する
「ユーザー ロール」は、ユーザーのセッション パラメータ、個人設定、および有効なアク
セス機能1 を定義するエンティティです。IVE は、認証されたユーザーに 1 つまたは複数
のロールを割り当てます。そのロールに指定されたオプションによって、IVE セッション
中にユーザーがアクセスできるリソースのタイプが定義されます。
1. アクセス機能には、Web ブラウジング、ファイル ブラウジング、セキュア アプリケーション マネージャ、
Telnet/SSH、Windows ターミナル サービス、Network Connect、セキュア ミーティング、およびセキュア E メール
クライアントがあります。
8
„ IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVE には、“Users” というユーザー ロールがあらかじめ設定されています。事前定義された
このロールは、Web ブラウジングとファイル ブラウジング アクセス機能を有効にして、
Users ロールを割り当てられているすべてのユーザーがインターネット、企業 Web サー
バー、使用可能な任意の Windows および UNIX/NFS ファイル サーバーにアクセスできる
ようにします。このロールは、Users > Roles ページに表示することができます。
メモ : あるロールに対して 1 つのアクセス機能を有効にした後は (Users > Roles >
Role Name ページで )、対応する適切なオプションを設定します。オプションには、そ
のアクセス機能の Configuration タブからアクセス可能です。
ユーザー ロールを定義するには、次の操作を実行します。
1.
管理者の Web コンソールで、Users > Roles を選択します。
2.
Roles ページで、New Role をクリックします。
3.
New Role ページで、Name フィールドに “Test Role” と入力し、Save Changes をク
リックします。IVE に Test Role の General > Overview ページが表示されるまで待ち
ます。
4.
Overview ページで、Access features の下の Web チェックボックスをオンにして、
Save Changes をクリックします。
5.
Web > Options を選択します。
6.
Browsing で、User can type URLs in the IVE browser bar チェックボックスをオンに
して、Save Changes をクリックします。
上記のステップを完了すると、ユーザー ロールが定義されます。このロールは、リソース
ポリシーの作成時に適用することができます。また、認証領域に定義したロール マッピン
グ規則によって、ユーザーにこのロールを割り当てることもできます。
メモ : Web ブラウジングとファイル ブラウジングを有効にしたユーザー ロールを素早
く作成するには、Users ロールを複製してから、必要に応じて追加のアクセス機能を有
効にします。
IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
„
9
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 4: Users > Roles > New Role ページ
図 5: Users > Roles > Test Role > General > Overview
10
„ IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
リソース ポリシーを定義する
「リソース ポリシー」は、次のことを指定するシステム規則です。
„
ポリシーを適用するリソース (URL、サーバー、およびファイルなど )
„
ポリシーを適用するユーザー ( ロールおよびその他のセッション変数によって指定さ
れる )
„
IVE がリソースへのアクセスを許可するか、またはアクションを実行するか
IVE には、次の 2 種類のリソース ポリシーがあらかじめ設定されています。
„
Web Access - 事前定義された Web Access リソース ポリシーは、すべてのユー
ザーが IVE を通じてインターネットおよびすべての企業 Web サーバーにアクセス
できるようにします。このリソース ポリシーは、デフォルトで Users ロールに適用
されます。
„
Windows Access - 事前定義された Windows Access リソース ポリシーは、Users
ロールを割り当てられたすべてのユーザーが、すべての企業 Windows ファイル サー
バーにアクセスできるようにします。このリソース ポリシーは、デフォルトで Users
ロールに適用されます。
デフォルトの Web リソース ポリシーとファイル リソース ポリシーは、Resource
Policies > Web > Access ページおよび Resource Policies > Files > Windows > Access
ページに表示することができます。
メモ : ユーザーが、Web とファイルのすべてのコンテンツにアクセスできることが心配
な場合は、デフォルトの Web Access リソース ポリシーと Windows Access リソース ポ
リシーを削除してください。
リソース ポリシーを定義するには、次の操作を実行します。
1.
管理者の Web コンソールで、Resource Policies > Web > Access Control を選択
します。
2.
Web Access Policies ページで、New Policy をクリックします。
3.
New Policy ページで、次の操作を実行します。
4.
a.
Name フィールドに以下を入力します:Test Web Access
b.
Resources フィールドに以下を入力します:http://www.google.com
c.
Roles で Policy applies to SELECTED roles を選択し、Available Roles フィールド
で “Test Role” を選択してから、Add をクリックします。すると、Test Role が
Selected Roles フィールドに移動します。
d.
Action で、Deny access を選択します。
e.
Save Changes をクリックします。IVE は “Test Web Access” を Web Access
Policies ページに追加します。
Web Access Policies ページの Policies リストで、“Test Web Access” の横にある
チェックボックスをオンにします。IVE は、表のその行を黄色で強調表示します。
IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
„
11
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
ページ最上部の上向き矢印
をクリックして、“Test Web Access” 行を、組み込み
の “Initial Open Policy” 行の上に移動し、Save Changes をクリックします。
メモ : IVE は、リストの先頭にあるリソース ポリシーから、順番に処理を行います。IVE
でユーザーに適切なリソース制限を適用するためには、リソース ポリシー リストを、
最も制限の厳しいポリシーから最も制限の緩いポリシーの順序に並べ替えます。その
際、最も制限の厳しいポリシーをリストの先頭にします。
上記のステップを完了すると、Web Access リソース ポリシーが設定されます。Web
Access Policies リストの次のポリシーで、すべてのユーザーがすべての Web リソースにア
クセスすることを許可していても、Test Role を割り当てられたユーザーは
http://www.google.com にアクセスすることができません。それは、Test Role を割り当て
られたユーザーが、最初のポリシーである Test Web Access の条件を満たしており、次の
ポリシーよりも最初のポリシーを優先するからです。
図 6: Resource Policies > Web > Access > New Policy
12
„ IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 7: Resource Policies > Web > Access - ポリシーの順序の変更
認証サーバーを定義する
認証サーバーとは、ユーザー認証情報(ユーザー名およびパスワード)および一般的には
グループ情報を保存するデータベースです。ユーザーが IVE アプライアンスにサインイン
する場合、認証サーバーに関連付けられている認証領域を指定します。IVE は、ユーザー
の証明書をこの認証サーバーに転送して、ユーザーの身元を検証します。
IVE では、Windows NT Domain、Active Directory、RADIUS、LDAP、NIS、RSA
ACE/Server、および Netegrity SiteMinder などの最も標準的な認証サーバーをサポートし
ており、IVE で認証するユーザーのローカル データベースを 1 つまたは複数作成できま
す。IVE には、“System Local” というユーザー用のローカル認証サーバーがあらかじめ設定
されています。事前定義されたこのローカル認証サーバーは、ユーザー認証用のユーザー
アカウントを素早く作成するための IVE データベースです。これにより、外部認証サー
バーにユーザー アカウントを作成する必要がなくなるため、テスト時およびサードパー
ティにアクセスを提供する際の柔軟性が増します。
IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
„
13
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
デフォルトのローカル認証サーバーは、Signing In > AAA Servers ページに表示すること
ができます。
メモ : IVE は、承認サーバーもサポートしています。「承認サーバー」( またはディレク
トリ サーバー ) は、ユーザーの属性およびグループ情報を保存するデータベースです。
認証領域の設定では、ディレクトリ サーバーを使用して、ロール マッピング規則およ
びリソース ポリシーに必要なユーザーの属性情報やグループ情報を取得するように指定
できます。
認証サーバーを定義するには、次の操作を実行します。
1.
管理者の Web コンソールで、Signing In > AAA Servers を選択します。
2.
Authentication Servers ページで、New リストから IVE Authentication を選択し、
New Server をクリックします。
3.
New IVE Authentication ページで、Name フィールドに「Test Server」と入力し、
Save Changes をクリックします。IVE から変更が保存されたことが通知されるまで待
ちます。その後、追加の Configuration タブが表示されます。
4.
Users タブをクリックしてから、New をクリックします。
5.
New Local User ページで、Username フィールドに “testuser2” と入力し、パスワー
ドを入力して Save Changes をクリックします。Test Server 認証サーバーにユーザー
のアカウントが作成されます。
上記のステップを完了すると、ユーザー アカウントを 1 つ含む認証サーバーが作成さ
れます。このユーザーは、Test Server 認証サーバーを使用する認証領域にサインインす
ることができます。
14
„ IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 8: Signing In > AAA Servers > New Server
図 9: Signing In > AAA Servers > Test Server > Users > New
IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
„
15
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 10: Signing In > AAA Servers > Test Server > Users
認証領域を定義する
認証領域は、以下のリソースを含む認証リソースのグループです。
16
„
認証サーバー。ユーザーの身元を確認します。IVE は、サインイン ページで送信され
た証明書を、認証サーバーに転送します。
„
認証ポリシー。IVE が検証のために証明書を認証サーバーに送る前に、満たす必要が
ある領域セキュリティ要件を指定します。
„
ディレクトリ サーバー。ロール マッピング規則およびリソース ポリシーで必要
なユーザーおよびグループ属性情報を、IVE に提供する LDAP サーバーです ( オプ
ション )。
„
ロール マッピング規則。IVE がユーザーに 1 つまたは複数のロールを割り当てる
ために、ユーザーが満たす必要のある条件です。この条件は、領域のディレクト
リ サーバー、個人のユーザー名、または証明書属性によって返された情報に基づ
いています。
„ IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVE には、“Users” というユーザー領域があらかじめ設定されています。事前定義されたこ
の領域は、System Local 認証サーバーと、パスワード最低文字数 4 文字を要求する認証ポ
リシーを使用し、ディレクトリ サーバーを使用しません。また、Users 領域にサインイン
したすべてのユーザーに Users ロールを割り当てるというロール マッピング規則が含ま
れています。5 ページの「ユーザーのアクセス可能性の検証」で作成した “testuser1” アカ
ウントは、Users 領域に含まれます。それは、このアカウントが System Local 認証サー
バーに作成されているからです。13 ページの「認証サーバーを定義する」で作成した
“testuser2” アカウントは、Users 領域に含まれません。このアカウントは新しい “Test
Server” 認証サーバーに作成しましたが、Users 領域はこの認証サーバーを使用していな
いからです。
デフォルトのユーザー認証領域は、Users > Authentication ページに表示することができ
ます。
認証領域を定義するには、次の操作を実行します。
1.
管理者の Web コンソールで、Users > Authentication を選択します。
2.
User Authentication Realms ページで、New をクリックします。
3.
New Authentication Realm ページで、次の操作を実行します。
a.
Name フィールドに以下を入力します:Test Realm
b.
Servers で、Authentication リストから “Test Server” を選択します。
c.
Save Changes をクリックします。IVE から変更が保存されたことが通知されるま
で待ちます。その後、領域の Configuration タブが表示されます。
4.
Role Mapping タブで、New Rule をクリックします。
5.
Role Mapping Rule ページで、次の操作を実行します。
a.
Rule: If username... で、値フィールドに “testuser2” と入力します。
b.
...then assign these roles の Available Roles フィールドで “Test Role” を選択し、
Add をクリックします。すると、Test Role が Selected Roles フィールドに移動
します。
c.
Save Changes をクリックします。
上記のステップを完了すると、認証領域の作成が終了します。この領域は、Test Server
を使用してユーザーを認証し、ロール マッピング規則を使用して “testuser2” に Test
Role を割り当てます。Test Role には Test Web Access リソース ポリシーが適用されるた
め、このロールを割り当てられているユーザーは誰も http://www.google.com にアクセ
スできません。
IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
„
17
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 11: Users > Authentication > New Realm
18
„ IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 12: Users > Authentication > Test Server > New Rule
サインイン ポリシーを定義する
「サインイン ポリシー」は、次のことを指定するシステム規則です。
„
ユーザーが IVE へのサインインに使用する URL
„
ユーザーに表示するサインイン ページ
„
IVE が証明書を送信する認証領域を、ユーザーが入力または選択する必要があるかど
うか
„
サインイン ポリシーを適用する認証領域
すべての Access Series および Access Series FIPS IVE には、ユーザーに適用する */ とい
うサインイン ポリシーがあらかじめ設定されています。このデフォルトのユーザー サ
インイン ポリシー (*/) は、ユーザーが IVE に URL を入力すると、IVE がデフォルトのサ
インイン ページを表示して、認証領域を選択するようユーザーに要求することを指定
します ( 複数の領域が存在する場合 )。*/ サインイン ポリシーは、Users 認証領域に適用
されるように設定されているため、16 ページの「認証領域を定義する」で作成した認
証領域には適用されません。
デフォルトのユーザー サインイン ポリシーは、Signing In > Sign-in > Sign-in Policies
ページに表示することができます。IVE にセキュア ミーティング アップグレード ライセ
ンスがある場合は、*/meeting サインイン ポリシーも、このページにリストされます。こ
のポリシーを使用すると、セキュア ミーティング用のサインイン ページをカスタマイズ
することができます。
IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
„
19
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
デフォルトのサインイン ポリシーは、すべてのユーザーに適用されます。IVE ユーザーのサ
インイン ページへの URL は、“*/employees” などのようにパスに項目を追加することで修正
できますが、サインイン ポリシーの追加作成は、IVE のアドバンスド ライセンスを購入し
ない限り、実行できません。
サインイン ポリシーを定義するには、次の操作を実行します。
1.
管理者の Web コンソールで、Signing In > Sign-in > Sign-in Policies を選択します。
2.
Sign-in Policies ページで、*/ をクリックします。
3.
*/ ページで、次の操作を実行します。
a.
Sign-in URL フィールドで、“*/” の後に “test” と入力します。
b.
Authentication realm で、User picks from a list of authentication realms を選択
し、Available Roles フィールドで “Test Realm” を選択してから、Add をクリッ
クします。すると、Test Realm が Selected Realms フィールドに移動します
(Users ロールがまだ Selected Realms フィールドにない場合は、Users ロールに
対してこの処理を繰り返します )。
c.
Save Changes をクリックします。
上記のステップを完了すると、デフォルトのユーザー サインイン ポリシーの修正が終了
します。
オプション
1.
Signing In > Sign-in > Sign-in Pages を選択し、New Page をクリックします。
2.
New Sign-In Page ページで、Name フィールドに “Test Sign-in Page” と入力し、
Background color フィールドに “#FF0000” ( 赤 ) と入力して Save Changes をクリック
します。
3.
Signing In > Sign-in > Sign-in Policies を選択し、New URL をクリックします。
4.
New Sign-in Policy ページで、Name フィールドに “*/test/” と入力し、Sign-in Page
フィールドから “Default Sign-in Page” を選択して、Save Changes をクリックしま
す。
5.
Signing In > Sign-in > Sign-in Policies を選択し、User URLs で */test/ をクリックし
ます。
6.
*/test/ ページで、Sign-in page リストから “Test Sign-in Page” を選択し、Save
Changes をクリックします。
このオプションのステップを完了すると、*/test/ サインイン ポリシーに関連付けられた
新しいサインイン ページの定義が終了します。
20
„ IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 13: Signing In > Sign-in > Sign-in Policies > */
IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
„
21
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 14: Signing In > Sign-in > Sign-in Policies > */test/ ― New Sign-in ページを使用
テスト シナリオを使用する
テスト シナリオでは、次の操作を実行できます。
„
修正したデフォルトのサインイン ポリシーを使用して、ユーザーの Web コンソール
にアクセスする。
„
Test Server に作成されたユーザーとして、Test Realm にサインインする。
„
Web ブラウジング機能をテストする。これは、Test Role および Test Web Access が正
しく設定されていることに依存します。
テスト シナリオを使用するには、次の操作を実行します。
1.
22
ブラウザで、マシンの URL に続けて “/test” と入力し、ユーザーのサインイン ページ
にアクセスします。URL の形式は次のとおりです。https://a.b.c.d/test です。
a.b.c.d は、初期設定時にシリアル コンソールに入力したマシンの IP アドレスです。
セキュリティ警告によって、署名された証明書なしで処理を続行するかどうかを尋ね
られた場合は、Yes をクリックします。ユーザーのサインイン ページが表示された
ら、IVE アプライアンスに正常に接続しています。
„ IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 15: ユーザー用サインイン ページ
メモ : 19 ページの「サインイン ポリシーを定義する」でオプションの設定手順を実行
した場合、ヘッダの色は赤です。
2.
サインイン ページで、Test Server に作成したユーザー アカウントのユーザー名とパ
スワードを入力し、Realm フィールドに “Test Realm” と入力します。次に Sign In を
クリックし、ユーザー用の IVE ホーム ページにアクセスします。
IVE は、Test Realm に証明書を転送します。Test Realm は、Test Server を使用するよ
う設定されています。この認証サーバーによって正しく検証されると、IVE は、Test
Realm に定義されたロール マッピング規則を処理します。これにより、“testuser2” に
Test Role が割り当てられます。Test Role は、ユーザーの Web ブラウジング機能を有効
にします。
図 16: ユーザー ホーム ページ
IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
„
23
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
ブラウザの Address フィールドに、企業 Web サイトへの URL を入力し、Browse を
クリックします。IVE は、同じブラウザ ウィンドウに Web ページを開きます。その
ため、IVE ホーム ページに戻るには、移動先の Web ページに表示されたブラウジン
グ ツールバーの中央にあるアイコンをクリックします。
4.
IVE ホーム ページで “www.google.com” と入力し、Browse をクリックします。Test
Web Access リソース ポリシーは、Test Role を割り当てられたユーザーがこのサイト
にアクセスすることを拒否するため、IVE はエラー メッセージを表示します。
図 17: リソースの拒否によるエラー メッセージの例
5.
IVE ホーム ページに戻って Sign Out をクリックしてから、ユーザーのサインイン
ページに戻ります。
6.
testuser1 の証明書を入力し、Users 領域を指定して、Sign In をクリックします。
7.
IVE ホーム ページで “www.google.com” と入力し、Browse をクリックします。IVE
は、同じブラウザ ウィンドウに Web ページを開きます。
テスト シナリオでは、IVE の基本的なアクセス管理メカニズムを示しています。領域の認
証ポリシー、ユーザーのグループ メンバーシップ、および他の変数などの要因に基づい
た、非常に高度なロール マッピング規則およびリソース ポリシーを作成して、ユーザー
のアクセスを制御することができます。IVE アクセス管理の詳細を理解するには、オンラ
イン ヘルプを参照してその内容を確認することをお勧めします。
メモ :
24
„
IVE を自社用に設定するときには、ここで説明した順序でユーザー アクセス設定を
行うことをお勧めします。
„
詳細な設定情報については、オンライン ヘルプまたは管理ガイドの PDF を参照して
ください。管理ガイドの PDF は、オンライン ヘルプからアクセスするか、サポート
サイトから入手できます。
„
外部から IVE にアクセス可能にする場合は、その前に、信頼できる認証局 (CA) から署
名付き電子証明書をインポートすることをお勧めします。
„ IVE の概念とベスト プラクティスを理解するためのテスト シナリオの作成
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
管理者のデフォルト設定
IVE は、ユーザーと同様に、管理者用のアカウントを素早く設定するためのデフォルト設
定を提供しています。以下に、管理者のシステム デフォルト設定を要約します。
„
管理者ロール
„
.Administrators - この組み込みロールは、管理者が IVE のあらゆる側面を管理
することを許可します。シリアル コンソールで作成した管理者ユーザーには、こ
のロールが割り当てられます。
„
.Read-Only Administrators - この組み込みロールは、ロールを割り当てられて
いるユーザーが、すべての IVE 設定を参照することを許可します ( ただし、設定
はできません )。管理者のアクセスを制限したい場合は、このロールを割り当て
る必要があります。
メモ : 管理者ロールを追加作成するには、アドバンスド ライセンスが必要です。
„
Administrators ローカル認証サーバー - Administrators 認証サーバーは、管理者アカ
ウントを保存する IVE データベースです。最初の管理者アカウントは、シリアル コン
ソールを通じてこのサーバーに作成します。(IVE は、シリアル コンソールを通じて
作成した管理者アカウントをすべてこのサーバーに追加します。) このローカル サー
バーを削除することはできません。
„
Admin Users 認証領域 - Admin Users 認証領域は、デフォルトの Administrators 認証
サーバーと、パスワード最低文字数 4 文字を要求する認証ポリシーを使用し、ディ
レクトリ サーバーを使用しません。また、Admin Users 領域にサインインしたすべて
のユーザーに .Administrators ロールを割り当てるというロール マッピング規則が含
まれています。シリアル コンソールで作成した管理者アカウントは、Admin Users 領
域に含まれます。
„
*/admin サインイン ポリシー - デフォルトの管理者サインイン ポリシー (*/admin)
は、ユーザーが IVE の URL に続けて “/admin” と入力したときに、IVE が、管理者の
デフォルトのサインイン ページを表示するように指定します。また、このポリシー
は、認証領域を選択するよう管理者に要求します ( 複数の領域が存在する場合 )。
*/admin サインイン ポリシーは、Admin Users 認証領域に適用されるように設定され
ているため、このサインイン ポリシーは、シリアル コンソールで作成した管理者ア
カウントに適用されます。
管理者のデフォルト設定
„
25
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
26
„ 管理者のデフォルト設定
第 2部
IVE 製品および機能
このセクションでは IVE 製品および機能について概要を示します。ここでは、IVE プラッ
トフォームで構築された IVE プラットフォーム製品、IVE プラットフォームで構築された
すべての製品で使用される標準機能、および個別の IVE 機能について説明します。
目次
„
29 ページの「IVE シリーズ」
„
67 ページの「認証と承認」
„
119 ページの「リモート アクセス」
„
175 ページの「システム管理とサービス」
„
27
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
28
„
第 2章
IVE シリーズ
ここでは、NetScreen Instant Virtual Extranet (IVE) プラットフォーム、このプラット
フォームに構築された Access Series 製品ライン、および IVE プラットフォームに構築さ
れた製品が使用するアクセス管理システムについて説明します。
目次
„
31 ページの「NetScreen Instant Virtual Extranet プラットフォームの概要」
„
35 ページの「Access Series の概要」
„
37 ページの「アクセス管理の概要」
„
49 ページの「認証領域の概要」
„
53 ページの「サインイン ポリシーの概要」
„
57 ページの「ユーザー ロールの概要」
„
61 ページの「リソース ポリシーの概要」
メモ : その他の IVE 製品ラインの詳細については、以下を参照してください。
„
268 ページの「Access Series FIPS の概要」
„
164 ページの「セキュア ミーティングの概要」
„
217 ページの「Instant Virtual System (IVS) の概要」
„
29
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
30
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
NetScreen Instant Virtual Extranet プラットフォームの概要
NetScreen Instant Virtual Extranet (IVE) プラットフォームは、Juniper Networks NetScreen
SSL VPN アプライアンスの基盤となるハードウェアおよびソフトウェアとして機能しま
す。これらの製品によって、社員、パートナー、および顧客は、企業のファイル サー
バー、Web サーバー、ネイティブのメッセージおよび E メール クライアント、ホスト
サーバーなどに対し、Web ブラウザを使用するだけで、どごからでも安全で管理された
アクセスを行うことができます。
詳細については、以下を参照してください。
„
31 ページの「IVE platform とは」
„
32 ページの「IVE platform 上に構築された製品の動作」
„
32 ページの「タスク サマリー:IVE platform 上に構築された製品の設定」
IVE platform とは
IVE platform は、堅牢なネットワーク アプライアンスであり、外部ユーザーと、以下に示
すような内部リソースの間を流れるデータ ストリームを仲介することによって、強固な
セキュリティを提供します。
„
MS Terminal サーバー
„
MS Exchange サーバー
„
Lotus Notes サーバー
„
インターネット E メール サーバー
„
端末ベースのアプリケーション
„
ファイル サーバー上のドキュメント
„
Web ベースのエンタープライズ アプリケーション
„
イントラネット ページ
上で構築された製品では、従来の DMZ 内にエクストラネット ツールキットを配備した
り、社員用にリモート アクセス VPN を設置する必要はありません。IVE は、外部コネク
ションからセキュアな要求を受け取り、認証されたユーザーに代わって内部リソースに対
して要求を行うことにより、外部コネクションと内部リソースの間を仲介します。
NetScreen Instant Virtual Extranet プラットフォームの概要
„
31
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 18: LAN における IVE の動作
IVE platform 上に構築された製品の動作
IVE platform は、セキュアなアプリケーション レイヤーのゲートウェイとして動作し、パ
ブリックなインターネットと企業の内部リソース間のすべての要求を仲介します。IVE に
入ってきた要求はすべて、エンド ユーザーのブラウザで、SSL/HTTPS 128 ビットまたは
168 ビット暗号化を使用して暗号化済みです。暗号化されていない要求は除外されます。
内部リソースに転送されるまで、各要求は、2 要素の認証またはクライアントサイドのデ
ジタル証明書など、管理用に定義されたアクセス コントロール ポリシーに従います。IVE
platform は、パブリックなインターネットと内部リソースの間に強固なセキュリティ レ
イヤーを提供するので、管理者は、セキュリティ ポリシーを定期的に管理したり、パブ
リックな DMZ に配置された多数のさまざまなアプリケーションおよび Web サーバーのセ
キュリティ上の弱点にパッチを当てる必要はありません。
IVE platform は、単純な Web ブラウザ技術を使用して、各種のアプリケーションおよび
リソースへのアクセスを仲介します。ユーザーは、アプライアンスがホストとなるエクス
トラネット セッションを経由して、承認されたリソースに対する認証アクセスを取得で
きます。また、インターネットに接続した任意の Web ブラウザから、多彩な Web ベース
のエンタープライズ アプリケーション、Java アプリケーション、共有ファイル、および
ターミナル ホストにアクセスできます。さらに、このセキュアな Web セッションを通じ
て、Microsoft Outlook および Lotus Notes など、他のクライアント / サーバー アプリケー
ションにもアクセスできます。
タスク サマリー: IVE platform 上に構築された製品の設定
IVE platform に構築された製品を設定するには、管理者の Web コンソールから以下の
5 つの基本タスクを実行する必要があります。
1.
ユーザー ロールと管理者ロールを定義する
Web コンソールでの場所:User > Roles および Administrators > Delegation
32
„ NetScreen Instant Virtual Extranet プラットフォームの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ロールは、ユーザー セッション パラメータ(セッション設定およびオプション)、個
人設定(ユーザー インターフェースのカスタマイズおよびブックマーク)、有効なア
クセス機能を定義します。NetScreen-SA SSL VPN アプライアンスは、Web ファイル、
アプリケーション、telnet/SSH、ターミナル サービス、ネットワーク、ミーティング
および E メールのアクセスを含む複数のアクセス機能を提供し、ユーザーと管理者
がアクセスできるリソースをコントロールします。たとえば、ネットワーク ディレク
トリへのアクセスを許可し、Web へのアクセスを拒否するロールを作成することが
できます。
IVE には、1 つのユーザー ロール (“Users”) と 2 つの管理者ロール “.Administrators”
および “.Read-Only Administrators”) があらかじめ設定されています。
2.
リソース ポリシーを定義する
Web コンソールでの場所:リソース ポリシー
さらに、リソース ポリシーはユーザーや管理者がアクセスできるリソースを管理し
ます。たとえば、ロール レベルでファイル アクセスを許可した場合に、リソース ポ
リシーで企業ネットワークの特定ディレクトリへのアクセスを拒否するように指定す
ることができます。リソース ポリシーを設定する場合は、そのリソース ポリシーを
使用するロールを指定する必要があります。
IVENetScreen-SA アプライアンスには、すべてのユーザーに Web ブラウジングとファ
イル ブラウジングを許可するリソース ポリシーがあらかじめ定義されています。
3.
認証サーバーと承認サーバーを定義します。
Web コンソールでの場所:Signing In > AAA Servers
認証サーバーおよび承認サーバーは、ユーザーの認証情報を認証し、システムで
のユーザー権限を判断します。たとえば、証明書サーバーを使用してユーザーの
クライアントサイド証明書属性に基づいてユーザーを認証し、LDAP サーバーを
使用して証明書失効リスト(CRL)に含まれる値に基づいてユーザーを承認する
ことができます。
IVE には、ユーザーを認証するローカル認証サーバー (“System Local”) と、管理者を
認証するローカル認証サーバー (“Administrators”) があらかじめ 1 つずつ定義されて
います。アプライアンスへのユーザー アクセスを許可するには、少なくともこれらの
サーバーにユーザーを追加する必要があります。
4.
認証領域を定義する
Web コンソールでの場所:Users > Authentication および Administrators >
Authentication
認証領域には、ユーザーまたは管理者が IVE にサインインする際の要件を指定するポ
リシーが含まれています。たとえば、ユーザーが特定の IP アドレスまたは特定のブ
ラウザからサインインする場合にのみ、アプライアンスへのアクセスを許可するよう
に認証ポリシーを指定できます。認証領域を設定する場合は、規則を作成する必要が
あります。この規則により、ユーザーをロールに割り当て、アプライアンスで領域メ
ンバーの認証と承認に使用するサーバーを指定します。
IVE には、“System Local” サーバーを通じて認証されたすべてのユーザーを、“Users”
ロールに割り当てる 1 つの領域(“Users”)があらかじめ定義されています。アプラ
イアンスには、“Administrators” サーバーを通じて認証されたすべてのユーザーを、
“.Administrators” ロールに割り当てる 1 つの領域(“Admin Users”)があらかじめ定義
されています。
NetScreen Instant Virtual Extranet プラットフォームの概要
„
33
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
サインイン ポリシーを定義する
Web コンソールでの場所:Signing In > Sign-in > Sign-In Policies
サインイン ポリシーでは、ユーザーおよび管理者が IVE へサインインする際に使用
する URL を指定します。たとえば、NetScreen-SA アプライアンスのアドバンスト
パッケージを購入した場合、販売部門に 1 つのサインイン ポリシーを作成し、輸送
部門には別のポリシーを作成することができます。サインイン ポリシーを設定する場
合は、1 つまたは複数の領域と関連付ける必要があります。指定された領域のメン
バーのみ、ポリシーで定義されている URL を使用してアプライアンスにサインイン
できます。
IVE には、“Users” 領域メンバの “*/” URL からのサインインを許可するサインイン ポ
リシーと、“Admin Users” 領域メンバの “*/admin” URL からのサインインを許可する
サインイン ポリシーがあらかじめ 1 つずつ定義されています。
34
„ NetScreen Instant Virtual Extranet プラットフォームの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Access Series の概要
Juniper Networks NetScreen Secure Access アプライアンスは、各種エンタープライズ クラ
スの拡張性、高い可用性、およびセキュリティ機能を提供し、ネットワーク リソースに
対するセキュアなリモート アクセスを拡張します。ほんの数時間で、NetScreen-SA アプ
ライアンスを設定して、ユーザーに次のようなセキュアなアクセスを提供できます。
„
デスクトップ コンピュータ、ラップトップ コンピュータ、および Pocket PC ワイヤ
レス デバイスを使用して、企業内部の Web サイトと Web ベースのアプリケーショ
ン(クライアントサイドの Java アプレットを含む)にアクセス(標準)
„
企業内部のファイル サーバー(NFS および CIFS)と、任意のディレクトリ間のファ
イル転送機能にアクセス(標準)
„
任意の PC から、Microsoft Outlook および IBM/Lotus Notes などのネイティブのメッ
セージ クライアントにアクセス
„
任意の PC から、Microsoft Outlook Express、Netscape Communicator、および
Qualcomm の Eudora などの標準ベースの E メール クライアントにアクセス
„
任意の PC から、Citrix ICA Client、pcAnywhere、および MS Terminal Services などの
クライアント / サーバー アプリケーションにアクセス
„
任意の PC から Telnet や SSH を介して、ホストされるサーバーにアクセス
„
ミーティングのスケジュール、リモート ミーティング プレゼンテーション、司会者
のデスクトップのリモート コントロール、およびテキスト チャットなどのセキュア
なコラボレーション機能(セキュア ミーティング オプション)
社員、パートナー、そして顧客に必要なものは、直感的なアプライアンス ホームページ
にアクセスするためのサポートされる Web ブラウザとインターネット接続だけです。こ
のページに表示されるウィンドウから、ユーザーは安全に Web サーバーやファイル サー
バーを参照し、HTML 対応のエンタープライズ アプリケーションを使用し、クライアン
ト / サーバー アプリケーション プロキシを起動し、ターミナル セッションを開始するこ
とができます1。
また、SSL VPN アプライアンスのインストール、設定、管理は簡単に行えます。堅牢な
ネットワーク アプライアンスを数分でラックにマウントできます。ネットワークに接続し
たら、シリアル コンソールから初期システム設定とネットワーク設定を入力するだけで、
Web コンソール にアクセスできます。Web コンソールは、企業ニーズを満たすようにア
プライアンスを設定および管理するための Web ベースのインターフェイスです。次の機
能により、スムーズな配備を行い、システムの効率的な管理が行えます。
„
簡単なサーバーの統合 - IVE アプライアンスは、既存の企業認証サーバー (LDAP、
RADIUS、NIS、Windows NT ドメイン、Active Directory、Netegrity SiteMinder、およ
び RSA ACE/Server) に接続できます。社内の Web サーバー、ファイル サーバー、ま
たはネットワークに変更を加える必要はありません。
„
証明書の認証 - 内部リソースに変更を加えることなくアプリケーションを保護しま
す。領域の認証ポリシーの一部としてデジタル証明書の要件を指定するだけです。
1. これらの機能は、ご購入の NetScreen Access Series 製品およびアップグレード オプションによって異なります。
Access Series の概要
„
35
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
36
„ Access Series の概要
„
高い可用性と冗長性 ― 万が一障害が発生した場合にはユーザーのダウンタイムを排
除し、ユーザー設定、システム設定、およびユーザー セッション データを同期する
ステートフルな相互接続を実現します(クラスタ化されている場合)。
„
簡単なファイアウォール ポリシー - 外部からの IVE への SSL アクセスのみが必要
です。
„
IVE アクセス管理システム(認証領域、ユーザー ロール、およびリソース ポリシー)
を使用したファイルおよび URL レベルへのリソース アクセス管理
„
集中管理された、アプリケーション レベルのロギング。管理者およびユーザーのアク
ション、接続、ファイル、Web 要求、およびシステム エラーを追跡します。
„
インターネットを介したシステム ソフトウェアのアップグレード
„
SNMP と DMZ のサポート
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
アクセス管理の概要
SSL VPN アプライアンスは、認証、ユーザー プロファイル、およびリソース ポリシーに
基づいた企業リソースのセキュリティ保護を実現します。これらの 3 つのコントロール
レベルを使用することにより、企業の外部機能に対する適切なアクセス管理が可能になり
ます。ユーザーが IVE にサインインする場合や、IVE 機能にアクセスする場合、さらに特
定の URL、ファイルおよびその他のサーバー リソースにアクセスする場合にも、ユー
ザーが満たさなければならないセキュリティ要件を指定できます。IVE は、設定したポリ
シー、規則、制限、および条件を実施して、ユーザーが許可されていないリソースやコン
テンツにアクセスしたり、ダウンロードできないようにします。
詳細については、以下を参照してください。
„
37 ページの「ポリシー、規則、制限、および条件」
„
39 ページの「アクセスと承認のフローチャート」
„
43 ページの「ダイナミック ポリシー評価」
„
44 ページの「セキュリティ要件の設定」
ポリシー、規則、制限、および条件
IVE は、認証領域、ユーザー ロール、およびリソース ポリシーを使用して、企業リソー
スのセキュリティ保護を実現します。これらのアクセス レベルにより、アクセス管理を広
範囲なレベル (IVE にサインインできるユーザーの管理 ) から詳細なレベル ( 認証された
ユーザーがアクセスできる URL やファイルの管理 ) に渡って可能にします。
認証領域へのアクセス
リソースへのアクセス可能性の検証は認証領域から始まります。認証領域は、以下のリ
ソースを含む認証リソースのグループです。
„
認証サーバー:ユーザーが本人に間違いないかどうかを検証します。IVE は、ユー
ザーがサインイン ページで提示する認証情報を認証サーバーに転送します。詳細につ
いては、49 ページの「認証サーバー」を参照してください。
„
認証ポリシー:IVE アプライアンスが検証のためにユーザーの認証情報を認証サー
バーに送る前に、満たす必要がある領域セキュリティ要件を指定します。詳細につい
ては、51 ページの「認証ポリシー」を参照してください。
„
ディレクトリサーバー:ユーザーを 1 つまたは複数のユーザー ロールにマップする
際に IVE が使用するユーザーおよびグループ情報を、IVE に提供する LDAP サーバー
です。詳細については、51 ページの「ディレクトリ サーバー」を参照してください。
„
ロール マッピング規則:IVE がユーザーを 1 つまたは複数のロールにマップするた
めに、ユーザーが満たす必要のある条件です。この条件は、領域のディレクトリ サー
バーまたはユーザー名によって返された情報に基づいています。詳細については、51
ページの「ロール マッピング規則」を参照してください。
アクセス管理の概要
„
37
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVE サインイン ページには、1 つ以上の認証領域が関連付けられています。サインイン
ページに複数の領域が存在する場合は、ユーザーは認証情報を送信する前に領域を指定す
る必要があります。ユーザーが認証情報を送信すると、IVE は選択した領域に定義されて
いる認証ポリシーをチェックします。ユーザーが領域の認証ポリシーで指定されているセ
キュリティ要件を満たしていない場合は、IVE はユーザーの認証情報を認証サーバーに転
送しません。
領域レベルでは、ユーザーのソース IP アドレスやクライアントサイド証明書の有無など
の各種の要素に基づいて、セキュリティ要件を指定できます。ユーザーが領域の認証ポリ
シーによって指定された要件を満たしている場合は、IVE はユーザーの認証情報を適切な
認証サーバーに転送します。このサーバーでユーザー認証が正常に終了すると、IVE は領
域に定義されたロール マッピング規則を確認して、ユーザーに割り当てるロールを決定
します。
詳細については、49 ページの「認証領域の概要」を参照してください。
ユーザー ロールへのアクセス
ロールとは、ロールに割り当てられたユーザーの IVE セッション プロパティを指定する、
定義済みのエンティティです。これらのセッション プロパティにはセッション タイムア
ウト、使用可能なアクセス機能などの情報が含まれます。ロールの設定は、リソース アク
セス管理の第 2 レベルとして機能します。ロールにはユーザーにとって利用可能なアクセ
ス メカニズムを指定するだけでなく、ユーザーがロールに割り当てられる前に従わなけ
ればならない制限も指定できます。ユーザーはこれらのセキュリティ要件を満たしている
必要があり、満たしていない場合には、IVE はユーザーをロールに割り当てません。
ロール レベルでは、ユーザーのソース IP アドレスやクライアントサイド証明書の有無な
どの要素に基づいて、セキュリティ要件を指定できます。ロール マッピング規則または
ロールの制限のいずれかで指定されている要件をユーザーが満たしている場合は、IVE は
ユーザーをロールに割り当てます。ユーザーが、そのロールに利用可能なバックエンド リ
ソースに要求を送信する場合には、IVE は、対応するアクセス機能のリソース ポリシーを
確認します。
ロールのセキュリティ要件は、認証領域のロール マッピング規則 ( カスタム エクスプ
レッションを使用 ) による指定と、ロール定義内で制限を定義することによる指定の両方
が可能です。IVE は、両方の指定エリアの要件を評価し、ユーザーをロールに割り当てる
前にユーザーがそれらの要件を満たしているかどうかを確認します。
詳細については、57 ページの「ユーザー ロールの概要」を参照してください。
リソース ポリシーへのアクセス
リソース ポリシーとは、アクセスやその他のリソース固有のアクション(再書き込みや
キャッシングなど)が許可または拒否されるリソース名のセット(URL、ホスト名および
IP アドレス / ネットマスクの組み合わせなど)です。リソース ポリシーはリソース アク
セス管理の第 3 レベルとして機能します。ロールでは特定タイプのアクセス機能およびリ
ソース ( ブックマークやアプリケーションなど ) へのアクセス権を付与しますが、ユー
ザーが個々のリソースにアクセスできるかどうかはリソース ポリシーによって管理され
ます。これらのポリシーでは、サーバー シェアまたはファイルに対するユーザー アクセ
スを許可または拒否する条件も指定できます。これらの条件は、指定するセキュリティ要
件に基づきます。ユーザーは、これらのセキュリティ要件を満たしている必要があり、満
たしていない場合には、IVE はユーザーの要求を処理しません。
38
„ アクセス管理の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
リソース レベルでは、ユーザーのソース IP アドレスやクライアントサイド証明書の有無
などの各種の要素に基づいて、セキュリティ要件を指定できます。リソース ポリシーの条
件で指定されている要件をユーザーが満たしている場合は、IVE は要求されたリソースに
対するアクセスを許可または拒否します。たとえば、Web アクセスをロール レベルで許
可し、そのロールにマップされたユーザーが Web リクエストを行うとします。このとき、
Host Checker によってユーザー マシン上に許容できないファイルが確認された場合に、
特定の URL やパスに対する要求を拒否するように Web リソース ポリシーを設定すること
も可能です。この場合、IVE は Host Checker が実行されているかどうかをチェックし、
ユーザー マシンが指定された Host Checker ポリシーを満たすよう指示します。ユーザー
マシンが要件を満たしている場合、つまり、許容できないファイルが存在しない場合に
は、IVE は要求された Web リソースに対するアクセスを許可します。
詳細については、61 ページの「リソース ポリシーの概要」を参照してください。
図 19: アクセス管理
図 19 は、ユーザーがサインイン ページで証明書を送信した後で、IVE によりポリシー、
規則、制限および条件が評価される順序を示しています。
アクセスと承認のフローチャート
このフローチャートは、ユーザーと IVE アプライアンス、そして IVE と認証領域の間で生
じるトランザクションを示します。フローチャートは、ユーザーが IVE サインイン ページ
への URL を入力するところから、そのユーザー セッションを終了するまでの流れを示し
ています。
アクセス管理の概要
„
39
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 20: IVE は領域と 1 次サーバーに対してユーザーを認証
40
„ アクセス管理の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 21: IVE はユーザーを承認し、2 次サーバーに対して認証
アクセス管理の概要
„
41
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 22: IVE はユーザーを1つまたは複数のユーザー ロールに割り当て、リソース
ポリシーを評価
動的ポリシー評価を有効にすると、次のフロー チャートに示す処理を繰り返します。
(詳細については、43 ページの「ダイナミック ポリシー評価」を参照してください。)
42
„ アクセス管理の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ダイナミック ポリシー評価
動的ポリシー評価を使用すると、領域の認証ポリシー、ロール マッピング、ロール制限、
およびリソース ポリシーを評価して、自動または手動によりユーザーの割り当てられた
ロールを更新できます。
動的ポリシー評価を使用しないと、IVE は次のイベントが発生した場合にポリシーとロー
ルのみを評価します。
„
ユーザーが IVE サインイン ページに初めてアクセスすると、IVE は領域の Host
Checker ポリシー(存在する場合)を評価します。
„
ユーザーの初期認証の直後に、IVE は、認証ポリシー、ロール マッピング規則、およ
びロール制限にあるユーザーの領域制限を評価します。
„
そのユーザーがリソースに対する要求を行った場合は、IVE はリソース ポリシーを評
価します。
„
ユーザー マシンの Host Checker の状態が変更された場合は、IVE はロールの Host
Checker ポリシー(存在する場合)を評価します。
動的ポリシー評価を使用せず、認証ポリシー、ロール マッピング規則、ロール制限、ま
たはリソース ポリシーを変更した場合は、上記のイベントが発生したときにのみ IVE は
これらの変更を適用します。
動的ポリシー評価は、次のいずれかの方法で使用できます。
„
Evaluate all signed-in users in a realm - Administrators > Authentication > 領域を
選択 または Users > Authentication > 領域を選択 ページの General タブでこの機能
を使用すると、ある領域に現在サインインしているすべてのユーザーのロールを自動
または手動により更新できます。次の機能により、IVE をトリガーして領域レベルで
の動的ポリシー評価を実行させることができます。
„
An automatic timer - IVE が領域に現在サインインしているすべてのユーザー
の自動ポリシー評価を実行する頻度(30 分毎など)を決定する更新間隔を指定
できます。更新間隔を使用する場合に、ロールやリソース ポリシー、認証ポリ
シー、ロール マッピング規則、およびロール制限を更新するかどうかを指定す
ると、IVE のパフォーマンスを微調整することもできます。
„
On-demand - 任意の時間に、領域に現在サインインしているすべてのユーザー
の認証ポリシー、ロール マッピング規則、ロール制限、およびリソース ポリ
シーを手動で評価できます。認証ポリシー、ロール マッピング規則、ロール制
限、またはリソース ポリシーを変更し、この領域のユーザーのロールを直ちに
更新する場合に、この方法は役立ちます。
領域レベルでの動的ポリシー評価の使用方法については、427 ページの「General タ
ブ」を参照してください。
„
Evaluate all signed-in users in all realms - System > Status >Active Users ページの
Active Users タブでこの機能を使用すると、任意の時間に、すべての領域に現在サイ
ンインしているすべてのユーザーのロールを手動により更新できます。詳細について
は、282 ページの「Active Users タブ」を参照してください。
アクセス管理の概要
„
43
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Evaluate individual users - Signing In > End Point > Host Checker ページで、Host
Checker の動的ポリシー評価を有効にすると、個々のユーザーのロールを自動的に更
新できます。Host Checker は、ユーザーの Host Checker ステータスが変更される場合
にいつでもリソース ポリシーを評価するように IVE にトリガーします。(Host
Checker の動的ポリシー評価を有効にしない場合は、IVE は、リソース ポリシーを評
価しませんが、ユーザーの Host Checker の状態が変更されると、認証ポリシー、
ロール マッピング規則、ロール制限を評価します。)詳細については、358 ページの
「Host Checker タブ」を参照してください。
動的ポリシー評価の際には、IVE は次のリソース ポリシー タイプを評価します。
„
Windows セキュア アプリケーション マネージャ
„
Java Secure Application Manager
„
Network Connect
„
Telnet/SSH
„
Terminal サービス (Windows および Citrix)
„
Java アクセス
„
Code サイニング(Java アプレット用)
メモ : ユーザーがリソースの要求を行う場合は、IVE は Web と Files のリソース ポリ
シーを評価するため、Web と Files の動的ポリシー評価は不要です。IVE は、Meetings リ
ソース ポリシーと Email Client リソース ポリシーに動的ポリシー評価を使用しません。
動的ポリシー評価の後で、IVE がユーザーはポリシーやロールのセキュリティ要件を満た
していないと判断した場合は、IVE はそのユーザーとの接続を直ちに終了します。TCP や
アプリケーション接続の終了、または Network Connect、Secure Application Manager、
Terminal や Telnet/SSH の終了は、ユーザーに表示されます。ユーザーはポリシーやロール
のセキュリティ要件を満たすために必要な手順を行い、IVE に再びサインインしなければ
なりません。
IVE は、ポリシー評価やロールの変更、イベント ログへのアクセスについての情報をログ
に記録します。
セキュリティ要件の設定
以下のセクションで説明する IVE のオプションや機能を使用すると、管理者およびユー
ザーのセキュリティ要件を簡単に指定できます。
44
„ アクセス管理の概要
„
45 ページの「ソース IP のアクセス制限」
„
46 ページの「ブラウザのアクセス制限」
„
47 ページの「証明書のアクセス制限」
„
48 ページの「パスワードのアクセス制限」
„
48 ページの「Host Checker のアクセス制限」
„
48 ページの「Cache Cleaner のアクセス制限」
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ソース IP のアクセス制限
ソース IP により、IVE およびリソースへのアクセスを制限できます。
„
When administrators or users try to sign in to the IVE - ユーザーは、IP アドレス /
ネットマスクの組み合わせが、選択されている認証領域の指定ソース IP 要件と一致
するマシンからサインインする必要があります。領域が要求する IP アドレス / ネット
マスクの組み合わせがユーザー マシンに該当しない場合は、IVE はユーザーの認証情
報を認証サーバーに転送しないため、IVE へのユーザ アクセスは拒否されます。
領域レベルで IP 制限を実施するには、次の場所に移動します。
„
„
Administrators > Authentication > 領域を選択 > Authentication Policy >
Source IP
„
Users > Authentication > 領域を選択 > Authentication Policy > Source IP
When administrators or users are mapped to a role - 認証されたユーザーは、IP ア
ドレス / ネットマスクの組み合わせが IVE のユーザー割り当て先の各ロールに指定し
たソース IP 要件と一致するマシンからサインインしている必要があります。ロール
が要求する IP アドレス / ネットマスクの組み合わせがユーザーマシンに該当しない
場合は、IVE はユーザーをそのロールに割り当てません。
ロール レベルで IP 制限を実施するには、次の場所に移動します。
„
Administrators > Authentication > 領域を選択 > Role Mapping > ルールを選択 |
作成 > カスタム エクスプレッション
„
Administrators > Delegation > ロールを選択 > General > Restrictions >
Source IP
„
Users > Authentication > 領域を選択 > Role Mapping > ルールを選択 | 作成 >
カスタム エクスプレッション
„
„
Users > Roles > ロールを選択 > General > Restrictions > Source IP
When users request a resource - 認証および承認されたユーザーは、IP アドレス /
ネットマスクの組み合わせが、ユーザーの要求に対応するリソース ポリシーの指定
ソース IP 要件と一致するマシンからリソースを要求する必要があります。リソース
が要求する IP アドレス / ネットマスクの組み合わせがユーザーマシンに該当しない
場合は、IVE はそのリソースへのユーザー アクセスを許可しません。
リソース ポリシー レベルで IP 制限を実施するには、次の場所に移動します。
Resource Policies > リソースを選択 > ポリシーを選択 > Detailed Rules > ルールを
選択 | 作成 > フィールドに条件をつける
アクセス管理の概要
„
45
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ブラウザのアクセス制限
ブラウザ タイプにより、IVE およびリソースへのアクセスを制限できます。
„
When administrators or users try to sign in to the IVE - ユーザーは、ユーザー エー
ジェント文字列が、選択した認証領域の指定したユーザー エージェント文字列パ
ターン要件を満たすブラウザからサインインする必要があります。ブラウザのユーザ
エージェント文字列がその領域で許可されると、IVE はユーザの証明書を認証サーバ
に送信します。ブラウザのユーザ エージェント文字列がその領域で拒否された場合
は、IVE はユーザの証明書を認証サーバに送信しません。
領域レベルでブラウザ制限を実施するには、次の場所に移動します。
„
„
Administrators > Authentication > 領域を選択 > Authentication Policy > Browser
„
Users > Authentication > 領域を選択 > Authentication Policy > Browser
When administrators or users are mapped to a role - 認証されたユーザーは、ユー
ザー エージェント文字列が IVE のユーザー割り当て先の各ロールに指定したユー
ザー エージェント文字列パターン要件と一致するブラウザからサインインしている
必要があります。ユーザ エージェント文字列がロールの許可または拒否要件を満たし
ていない場合は、IVE はユーザをそのロールに割り当てません。
ロール レベルでブラウザ制限を実施するには、次の場所に移動します。
„
Administrators > Delegation > ロールを選択 > General > Restrictions >
Browser
„
Users > Authentication > 領域を選択 > Role Mapping > ルールを選択 | 作成 >
カスタム エクスプレッション
„
„
Users > Roles > ロールを選択 > General > Restrictions > Browser
When users request a resource - 認証および承認されたユーザーは、ユーザー エー
ジェント文字列が、ユーザーの要求に対応するリソース ポリシーの指定した「許可」
または「拒否」要件と一致するブラウザからリソースを要求する必要があります。
ユーザ エージェント文字列がリソースの「許可」または「拒否」要件を満たしてい
ない場合は、IVE はそのリソースへのユーザ アクセスを許可しません。
リソース ポリシー レベルでブラウザ制限を実施するには、次の場所に移動します。
Resource Policies > リソースを選択 > ポリシーを選択 > Detailed Rules > ルールを
選択 | 作成 > フィールドに条件をつける
46
„ アクセス管理の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
証明書のアクセス制限
Web コンソールの System > Configuration > Certificates > Trusted Client CAs ページか
ら、クライアントサイド証明書を IVE にインストールすると、クライアントサイド証明書
を要求することにより、IVE およびリソースアクセスを制限できます。
„
When administrators or users try to sign in to the IVE - ユーザーは、指定のクライ
アントサイド証明書(正当な認証局(CA)から発行され、オプション指定の任意
フィールド / 値ペア要件を含む)を所有しているマシンからサインインしている必要
があります。領域が要求する証明書情報がユーザー マシン上にない場合は、ユーザー
はサインイン ページにアクセスできますが、IVE がユーザーのブラウザに証明書がな
いことを確認すると、IVE はユーザーの証明書を認証サーバーに送信しません。その
ため、ユーザーは IVE の機能にアクセスできません。
領域レベルで証明書制限を実施するには、次の場所に移動します。
„
„
Administrators > Authentication > 領域を選択 > Authentication Policy >
Certificate
„
Users > Authentication > 領域を選択 > Authentication Policy > Certificate
When administrators or users are mapped to a role - 認証されたユーザーは、IVE
のユーザーのマップ先の各ロールに指定したクライアントサイド証明書の要件 ( 正当
な認証局 (CA) から発行され、オプション指定の任意フィールド / 値ペア要件を含む )
を満たしているマシンからサインインしている必要があります。ロールが要求する証
明書情報がユーザー マシン上にない場合は、IVE はユーザーをそのロールに割り当て
ません。
ロール レベルで証明書制限を実施するには、次の場所に移動します。
„
Administrators > Delegation > ロールを選択 > General > Restrictions >
Certificate
„
Users > Authentication > 領域を選択 > Role Mapping > ルールを選択 | 作成 >
カスタム エクスプレッション
„
„
Users > Roles > ロールを選択 > General > Restrictions > Certificate
When users request a resource - 認証および承認されたユーザーは、ユーザーの要
求に対応するリソース ポリシーに指定したクライアントサイド証明書の要件(正当
な認証局(CA)から発行され、オプション指定の任意フィールド / 値ペア要件を含
む)を満たしているマシンからリソースを要求する必要があります。リソースが要求
する証明書情報がユーザー マシン上にない場合、IVE はユーザーにそのリソースへの
アクセスを許可しません。
リソース ポリシー レベルで証明書制限を実施するには、次の場所に移動します。
Resource Policies > リソースを選択 > ポリシーを選択 > Detailed Rules > ルールを
選択 | 作成 > フィールドに条件をつける
アクセス管理の概要
„
47
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
パスワードのアクセス制限
パスワードの文字数により、IVE およびリソースへのアクセスを制限できます。
„
When administrators or users try to sign in to an IVE - ユーザーは、領域に指定さ
れている最低文字数要件を満たしているパスワードを入力する必要があります。ロー
カル ユーザーおよび管理者のレコードは IVE 認証サーバーに格納されます。このサー
バーでは、領域の認証ポリシーに指定する値に関係なく、6 文字以上のパスワードが
要求されます。
領域レベルでパスワード制限を実施するには、次の場所に移動します。
„
Administrators > Authentication > 領域を選択 > Authentication Policy >
Password
„
Users > Authentication > 領域を選択 > Authentication Policy > Password
Host Checker のアクセス制限
Host Checker の状態に基づいて IVE、ロール、またはリソースへのユーザー アクセスを制
限するには、85 ページの「Host Checker ポリシーの実装」を参照してください。
Cache Cleaner のアクセス制限
Cache Cleaner の状態に基づいて IVE、ロール、またはリソースへのユーザー アクセスを
制限するには、91 ページの「Cache Cleaner の実装」を参照してください。
48
„ アクセス管理の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
認証領域の概要
認証領域とは、認証リソースのグループで、次のものが含まれます。
„
認証サーバー:ユーザーが本人に間違いないかどうかを検証します。IVE は、ユー
ザーがサインイン ページで提示する認証情報を認証サーバーに転送します。詳細につ
いては、49 ページの「認証サーバー」を参照してください。
„
認証ポリシー:IVE アプライアンスが検証のためにユーザーの認証情報を認証サー
バーに送る前に、満たす必要がある領域セキュリティ要件を指定します。詳細につい
ては、51 ページの「認証ポリシー」を参照してください。
„
ディレクトリ サーバー:ユーザーを 1 つまたは複数のユーザー ロールにマップする
際に IVE が使用するユーザーおよびグループ情報を、IVE に提供する LDAP サーバー
です。詳細については、51 ページの「ディレクトリ サーバー」を参照してください。
„
ロール マッピング規則:IVE がユーザーを 1 つまたは複数のロールにマップするた
めに、ユーザーが満たす必要のある条件です。この条件は、領域のディレクトリ
サーバーまたはユーザー名によって返された情報に基づいています。詳細について
は、51 ページの「ロール マッピング規則」を参照してください。
認証サーバー
認証サーバー とは、ユーザー認証情報(ユーザー名およびパスワード)および一般的に
はグループ情報を保存するデータベースです。ユーザーが IVE にサインインするときに、
そのユーザーは認証サーバーに関連付けられている認証領域を指定します。ユーザーがそ
の領域の認証ポリシーを満たしている場合は、IVE はユーザーの認証情報を関連する認証
サーバーに転送します。認証サーバーの役割は、そのユーザーが存在し、本人であること
を検証することです。ユーザーを検証したら、認証サーバーは IVE に承認を送信します。
また、そのサーバーが領域でディレクトリ / 属性サーバーとしても機能している場合に
は、ユーザーのグループ情報やその他の属性情報も送信します。次に、IVE は領域のロー
ル マッピング規則を確認してユーザーにマップされるユーザー ロールを決定します。
メモ : オプションとして、2 次認証サーバーを領域に関連付けることができます。関連
付ける場合、IVE は、ユーザーをロールにマップする前に、2 次サーバーにユーザーの
認証情報を送信します。詳細については、101 ページの「複数サインイン認証情報の概
要」を参照してください。
認証領域の概要
„
49
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
領域で使用可能な認証サーバーを指定するには、最初に Signing In > AAA Servers ページ
で、サーバー インスタンスを設定しておく必要があります。サーバーの設定を保存する
と、Authentication ドロップダウン リストの領域の General タブにサーバー名(インス
タンスに割り当てられた名前)が表示されます。サーバーが以下の場合、以下が表示され
ます。
„
LDAP または Active Directory サーバー - インスタンス名は領域の General タブの
Directory/Attribute ドロップダウン リストにも表示されます。領域での認証と承認を
行うために、同じ LDAP サーバーまたは Active Directory サーバーを使用できます。ま
た、異なる認証サーバーを使用している任意の数の領域に対して承認を行うために
も、これらのサーバーを使用できます。
„
RADIUS サーバー - インスタンス名は領域の General タブの Accounting ドロップ
ダウン リストにも表示されます。領域での認証と承認を行うために、同じ RADIUS
サーバーを使用できます。また、異なる認証サーバーを使用している任意の数の領域
に対して会計を行うためにも、これらの RADIUS サーバーを使用できます。
NetScreen Instant Virtual Extranet プラットフォームでは、Windows NT Domain、Active
Directory、RADIUS、LDAP、NIS、RSA、ACE/Server、Netegrity SiteMinder などの最も標準
的な認証サーバをサポートしており、IVE で認証するユーザーのローカル データベースを
1 つまたは複数作成できます。サーバーの概要と設定情報については、次を参照してくだ
さい。
„
384 ページの「ACE/Server インスタンスの設定」
„
394 ページの「Active Directory または NT ドメイン インスタンスの設定」
„
399 ページの「匿名サーバー インスタンスの設定」
„
421 ページの「証明書サーバー インスタンスの設定」
„
380 ページの「LDAP サーバー インスタンスの設定」
„
375 ページの「ローカル認証サーバー インスタンスの設定」
„
401 ページの「Netegrity SiteMinder サーバー インスタンスの設定」
„
383 ページの「NIS サーバー インスタンスの設定」
„
387 ページの「RADIUS サーバー インスタンスの設定」
メモ : 認証サーバーは、IVE にアクセスできる必要があります。RSA ACE/Server などの
認証サーバーがエージェント ホストに対して IP アドレスを使用しない場合は、認証
サーバーは、DNS エントリまたは認証サーバーのホスト ファイルのエントリから IVE
ホスト名を解決できる必要があります。
50
„ 認証領域の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
認証ポリシー
認証ポリシーとは、アクセス管理の 1 局面(領域のサインイン ページをユーザーに表示
するかどうか)を制御する一連の規則です。認証ポリシーは認証領域の設定に含まれるも
ので、サインイン ページをユーザーに表示する前に IVE で検討する規則を指定します。認
証ポリシーは認証領域の設定に含まれるもので、サインイン ページをユーザーに表示す
る前に IVE で検討する規則を指定します。ユーザーが領域の認証ポリシーで指定されてい
る要件を満たしている場合は、IVE は該当するサインイン ページをユーザーに表示し、そ
の後ユーザーの認証情報を適切な認証サーバに転送します。このサーバーでユーザー認証
が正常に行われると、次に IVE はロール評価プロセスを行います。
ディレクトリ サーバー
ディレクトリ サーバーとは、ユーザーおよびグループ情報を保存するデータベースです。
認証領域の設定では、ディレクトリ サーバーを使用して、ロール マッピング規則および
リソース ポリシーに必要なユーザー情報やグループ情報を取得するように指定できます。
これを可能にするため、現在 IVE では LDAP サーバーをサポートしています。これによ
り、認証と承認の両方を LDAP サーバーで行うことができます。サーバー インスタンスを
1 つ定義するだけで、領域の General タブの Authentication ドロップダウン リストと
Directory/Attribute ドロップダウン リストに LDAP サーバーのインスタンス名が表示され
ます。同じサーバーを任意の数の領域で使用できます。
ロール マッピング規則で使用するユーザー属性の取得には、LDAP サーバーだけでなく、
RADIUS サーバーや SiteMinder サーバーも使用できます。LDAP サーバー インスタンスと
は異なり、RADIUS サーバーや SiteMinder サーバーのインスタンスは領域の
Directory/Attribute ドロップダウン リストに表示されません。RADIUS サーバーまたは
SiteMinder サーバーを使用してユーザー情報を取得できるようにするには、
Authentication リストでインスタンス名を選択して、Directory/Attribute リストで Same
as Above を選択します。次に、RADIUS サーバーまたは SiteMinder サーバーから属性を使
用するようにロール マッピング規則を設定します。属性は、Rule based on User attribute
を選択すると、IVE により Role Mapping Rule ページの属性リストに表示されます。
ディレクトリ サーバーの指定方法については、427 ページの「認証領域の作成」を参照
してください。ロール マッピング規則で LDAP、RADIUS、または SiteMinder の属性を指
定する方法については、430 ページの「認証領域にロール マッピング規則を指定」を参
照してください。
ロール マッピング規則
ロール マッピング規則とは、次の形式で指定する命令です。
指定した条件が true または true でない場合に、ユーザーを選択したロールにマップし
ます。
ロール マッピング規則は、認証領域の Role Mapping タブで作成します。(管理者のロー
ル マッピング規則は Administrators > Authentication > [ 領域 ] > Role Mapping タブで
作成します。ユーザーのロール マッピング規則は Users > Authentication > [ 領域 ] >
Role Mapping タブで作成します。)このタブで New Rule をクリックすると、規則を定義
するインライン エディタとともに Role Mapping Rule ページが表示されます。このエディ
タを使用して、以下の 3 つの規則作成ステップを行います。
1.
規則を設定する条件のタイプを指定します。オプションには以下のものがあります。
„
ユーザー名
„
ユーザー属性
認証領域の概要
„
51
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
3.
„
証明書または証明書の属性
„
グループ メンバーシップ
„
カスタム エクスプレッション
以下のように、評価する条件を指定します。
a.
ステップ 1 で選択した条件のタイプに応じて、1 つまたは複数のユーザー名、
ユーザー属性、証明書属性、グループ(LDAP)、または式を指定します。
b.
評価する式の値を指定します。この場合、RADIUS または LDAP サーバーからの
ユーザー名、ユーザー属性値、クライアントサイド証明書の値(静的な値または
LDAP 属性との比較)
、LDAP グループ、または定義済みのカスタム エクスプレッ
ションのリストを含めることができます。
認証されたユーザーに割り当てるロールを指定します。
IVE は、ユーザー割り当てが可能な適格なロールのリストを編集します。ここに含まれる
ロールは、ユーザーが従わなければならないロール マッピング規則で指定されている
ロールです。その後、IVE は各ロールの定義を評価して、ユーザーがロール制限に違反し
ていないかどうかを確認します。IVE はこの情報を使用して、有効なロールのリストを編
集します。ここに含まれるロールは、ユーザーがすべての追加要件を満たしているロール
です。最後に、IVE は領域の Role Mapping タブで指定されている設定に応じて、有効な
ロールのパーミッシブ マージを実行するか、または、ユーザーに有効なロールのリスト
を表示します。
ロールの詳細については、57 ページの「ユーザー ロールの概要」を参照してください。
ロール マッピング規則の指定方法については、430 ページの「認証領域にロール マッピ
ング規則を指定」を参照してください。
52
„ 認証領域の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
サインイン ポリシーの概要
サインイン ポリシーでは、ユーザーおよび管理者が IVE にアクセスする際に使用し、サ
インイン ページに表示される URL を定義します。IVE には 2 つのサインイン ポリシー
(ユーザー用と管理者用)が付属しています。これらのポリシーを設定する場合は、それ
ぞれに適切な領域、サインイン ページ、URL を関連付けます。
たとえば、すべての管理者が IVE にサインインできるようにするには、すべてのユー
ザー認証領域をユーザーのサインイン ポリシーに追加する必要があります。また、エン
ドユーザーが IVE へのアクセスに使用し、サインイン ページに表示される標準の URL
を変更することもできます。適切なライセンスがある場合は、複数のユーザー サインイ
ン ポリシーを作成して、異なるユーザーが異なる URL やページにサインインできるよ
うにします。
また、Secure Meeting ライセンスを備えたアプライアンスには、ミーティング URL が付
属しています。この URL を使用すると、ユーザーが IVE 上のミーティングにサインイン
したときに、ユーザーに表示されるサインイン ページを管理できます。適切なライセンス
がある場合は、追加のミーティング サインイン ポリシーを作成して、異なる Secure
Meeting ユーザーが異なる URL やページにサインインできるようにすることも可能です。
このセクションには、サインイン ポリシーについての次の情報があります。
„
53 ページの「複数のサインイン ポリシー」
„
54 ページの「サインイン ポリシーの評価」
„
54 ページの「サインイン ページ」
„
56 ページの「タスク サマリー:カスタム サインイン ページの設定」
„
56 ページの「タスク サマリー:サインイン ポリシーの設定」
複数のサインイン ポリシー
アドバンスト ライセンスがある場合は、複数のサインイン ポリシーを作成して、異なる
URL を異なるサインイン ページに関連付けることができます。サインイン ポリシーを設
定する場合は、1 つまたは複数の領域と関連付ける必要があります。指定された認証領域
のメンバーのみが、ポリシーで定義されている URL を使用してサインインできます。サ
インイン ポリシーでは、さまざまなサインイン ページを定義してさまざまな URL に関連
付けることができます。
たとえば、以下を指定するサインイン ポリシーを作成することができます。
„
“Partners” 領域のメンバーは、次の URL を使用して IVE にサインインできます。
partner1.yourcompany.com および partner2.yourcompany.com。最初の URL にサ
インインするユーザーには、“partners1” サインイン ページが表示されます。2 番
目の URL にサインインするユーザーには、“partners2” サインイン ページが表示さ
れます。
„
“Local” 領域と “Remote” 領域のメンバーは、次の URL を使用して、IVE にサインイ
ンすることができます。employees.yourcompany.com。サインインすると、
“Employees” サインイン ページが表示されます。
サインイン ポリシーの概要
„
53
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
“Admin Users” 領域のメンバーは、次の URL を使用して、IVE にサインインすること
ができます。access.yourcompany.com/super。サインインすると、“Administrators”
サインイン ページが表示されます。
サインイン ポリシーを定義するとき、異なるホスト名(partners.yourcompany.com およ
び employees.yourcompany.com など)または異なるパス(yourcompany.com/partners
および yourcompany.com/employees など)を使用して、複数の URL を区別することが
できます。
サインイン ポリシーの評価
IVE は、サインイン ポリシーを、Sign-in Policies ページにリストされる同じ順序で評価
します。完全に一致する URL が見つかると、評価を中止して、適切なサインイン ページ
を管理者またはユーザーに提示します。たとえば、2 つの管理者 サインイン ポリシーを 2
つの異なる URL で定義することができます。
„
最初のポリシーは、*/admin URL を使用して、デフォルトの管理者サインイン ペー
ジにマッピングします。
„
2 番目のポリシーは、yourcompany.com/admin URL を使用して、カスタム管理者サ
インイン ページにマッピングします。
この順序でポリシーを Sign-in Policies ページにリストした場合、最初の URL が 2 番目の
URL を包含しているため、IVE は 2 番目のポリシーを評価および使用しません。管理者が
yourcompany.com/admin URL を使用してサインインした場合でも、IVE はデフォルトの
管理者サインイン ページを表示します。ただし、ポリシーを逆の順序でリストした場合
は、IVE はカスタム管理者サインイン ページを、yourcompany.com/admin URL を使用し
て IVE にアクセスする管理者に対して表示します。
IVE は URL のホスト名の部分でワイルドカード文字だけを受け入れ、正確なパスに基づ
いて URL を照合することに注意してください。たとえば、2 つの管理者 サインイン ポリ
シーを 2 つの異なる URL パスで定義することができます。
„
最初のポリシーは、*/marketing URL を使用して、マーケティング部門全体のカス
タム サインイン ページにマッピングします。
„
2 番目のポリシーは、*/marketing/joe URL を使用して、マーケティング部門の Joe
専用のカスタム サインイン ページにマッピングします。
この順序でポリシーを Sign-in Policies ページにリストした場合、Joe が
yourcompany.com/marketing/joe URL を使用して IVE にアクセスすると、IVE は Joe の
カスタム サインイン ページを彼に表示します。URL のパスの部分が最初のポリシーで定
義された URL と正確に一致しないため、マーケティング部門のサインイン ページがリス
トされ、かつ最初に評価された場合でも、Joe にはこのページは表示されません。
サインイン ページ
サインイン ページでは、Welcome テキスト、ヘルプ テキスト、ロゴ、ヘッダ、および
フッタなど、エンドユーザーの Welcome ページのプロパティをカスタマイズして定義
します。IVE では、ユーザーと管理者に提示する 2 種類のサインイン ページを作成でき
ます。
„
54
„ サインイン ポリシーの概要
標準サインイン ページ - 標準サインイン ページは、Juniper によって作成され、す
べてのバージョンの IVE に含まれています。標準サインイン ページは、Web コン
ソールの System > Signing In > Sign-in Page タブで変更できます。詳細については、
55 ページの「標準サインイン ページ」を参照してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
カスタマイズしたサインイン ページ - カスタマイズしたサインイン ページは、
THTML ページです。これは、Template Toolkit を使用して作成し、アーカイブした
ZIP ファイル形式で IVE にアップロードします。カスタマイズしたサインイン ページ
機能はライセンスされた機能で、これにより IVE に含まれているサインイン ページ
を変更する必要なく、独自のページを使用できます。詳細については、55 ページの
「カスタム サインイン ページ」を参照してください。
標準サインイン ページ
IVE に付属の標準サインイン ページには、次のものがあります。
„
デフォルトのサインイン ページ - デフォルトでは、IVE は、ユーザーが IVE にサイ
ンインすると、このページを表示します。
„
ミーティング サインイン ページ - デフォルトでは、IVE は、ユーザーがミーティン
グにサインインすると、このページを表示します。このページは、Secure Meeting ラ
イセンスを IVE にインストールしている場合にのみ使用できます。
これらのページを変更したり、カスタム テキスト、ロゴ、色、エラー メッセージ テキ
ストを含む新しいページを作成するには、Web コンソールの System > Signing In >
Sign-in Page タブの設定を使用します。
カスタム サインイン ページ
カスタマイズ可能なサインイン ページ機能では、IVE が管理者やエンドユーザーに表示す
る認証前ページ、パスワード管理ページ、および一部の Secure Meeting ページの外観を
カスタマイズできます。Juniper では、テンプレート ツールキット処理システム バージョ
ン 2.09 を使用してカスタム ページを提供しています。テンプレート ツールキット言語を
使用すると、カスタム ページに動的動作を加えることができます。
ページをこのシステムと連携させることは簡単です。IVE ページをカスタマイズする際
に、お好みの HTML エディタを使用して、提供されたテンプレートを基にして HTML、
CSS、および JavaScript を作成できます。また、テンプレート ツールキット言語を使用す
ると、条件文、ループ構造、および動的な動作をページに追加することもできます。作成
したら、ファイルをテンプレート ファイル(THTML)として保存する必要があります。
(たとえば、標準の IVE サインイン ページを変更する場合は、LoginPage.html ではなく
LoginPage.thtml として保存しなければなりません。)ページを THTML として保存すると、
IVE はカスタム ページを認識し、独自の標準 HTML ページの代わりにカスタム ページを
使用します。
IVE のカスタム ページを作成する場合は、IVE に提供されたテンプレートを基にして処理
を開始することを強くお勧めします。これらのテンプレートには、カスタム ページを通じ
て IVE に転送する必要のある JavaScript、変数、およびフォームのフィールドがすべて含
まれています。また、zip ファイルのテンプレートには、ページを作成する際に役立つオ
プションのコードも含まれています。
この機能を使用して、さまざまなページをカスタマイズできます。完全なリストについて
は、629 ページの「カスタマイズ可能なサインイン ページ」を参照してください。
メモ : ブックマーク ページ、ファイル ブラウジング ページ、エンドユーザー ヘルプ
ページなど、認証後にユーザーに表示される標準の IVE ページをカスタマイズすること
はできません。ただし、Users > Roles > [ ロール ] > General > UI Options タブの
Start page URL オプションを使用して、ユーザーに標準の IVE ホームページではなく、
管理者独自のカスタム ページを表示することができます。そこから、管理者が選択した
ページにユーザーをリンクさせることができます。このオプションと、ユーザー設定可
能なサインイン ページ機能を併せて使用することで、ユーザーに標準の IVE ページを表
示しないようにできます。
サインイン ポリシーの概要
„
55
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
タスク サマリー: カスタム サインイン ページの設定
カスタム サインイン ページを設定するには、次の操作を実行します。
1.
Web コンソールの System > Signing In > Sign-in Pages ページの設定を使用して、
希望するカスタム サインイン ページのテンプレート (THTML ページ ) を IVE からダ
ウンロードします。手順については、354 ページの「IVE からのテンプレートのダウ
ンロード」を参照してください。
2.
テンプレート ツールキット言語を使用して、THTML ページを変更します。手順につ
いては、354 ページの「カスタム ページの作成」を参照してください。
3.
必要なテンプレートを zip ファイルにアーカイブします。手順と制限については、
355 ページの「テンプレートの zip ファイルへのアーカイブ」を参照してください。
4.
Web コンソールの System > Signing In > Sign-in Pages ページの設定を使用して、
zip ファイルを IVE にアップロードします。手順については、356 ページの「IVE への
カスタマイズされたページのアップロード」を参照してください。
5.
Web コンソールの System > Signing In > Sign-in Policies ページの設定を使用して、
カスタム サインイン ページを含んだ zip ファイルを、管理者、ユーザー、または
ミーティング URL に関連付けます。手順については、356 ページの「カスタマイズさ
れたページの URL への割り当て」を参照してください。
6.
( ミーティング URL のみ ) Web コンソールの System > Signing In > Sign-in Policies
ページの設定を使用して、ミーティング URL をユーザー URL に関連付けます。手順
については、349 ページの「管理者およびユーザーのサインイン ポリシーの作成と
設定」を参照してください。
7.
サインイン ページをテストして、ページが機能することを確認します。IVE がカスタ
ム ページを使用することを確認するには、前のセクションで指定した URL にサイン
インして、ページが表示されることを確認します。認証サーバー インスタンスを定義
するには、このタブを使用します。
タスク サマリー: サインイン ポリシーの設定
サインイン ページを設定するには、次の操作を実行します。
56
„ サインイン ポリシーの概要
1.
Web コンソールの Administrators > Authentication または Users > Authentication
ページのいずれかから、認証領域を作成します。
2.
( オプション ) Web コンソールの System > Signing In > Sign-in Pages ページのオプ
ションを使用して、既存のサインイン ページを変更するか、新規のページを作成し
ます。
3.
Web コンソールの System > Signing In > Sign-in Policies ページの設定を使用して、
領域、サインイン URL、およびサインイン ページに関連付けるサインイン ポリシー
を指定します。
4.
ホスト名を使用して複数の URL を区別する場合、System > Configuration >
Certificates > IVE Certificates ページのオプションを通じて、各ホスト名を独自
の証明書に関連付けるか、ワイルドカード証明書を IVE にアップロードする必要
があります。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ユーザー ロールの概要
ユーザー ロールは、ユーザー セッション パラメータ ( セッション設定およびオプ
ション ) 個人設定 ( ユーザー インターフェースのカスタマイズおよびブックマーク )、
有効なアクセス機能 (Web ファイル、アプリケーション、telnet/SSH、ターミナル
サービス、ネットワーク、ミーティングおよび E メール アクセス ) を定義するエン
ティティです。ユーザー ロールでは、個々の要求に対するリソース アクセス コント
ロールまたはその他のリソース関連のオプションは指定しません。たとえば、ユー
ザー ロールではユーザーが Web ブラウズを実行できるかどうか定義できますが、ア
クセスを許可する個々の Web リソースについては、別に設定する Web リソース ポリ
シーで定義します。
ここでは、以下の内容について説明します。
„
57 ページの「ロール タイプ」
„
57 ページの「ロール コンポーネント」
„
58 ページの「ロール評価」
ユーザー ロールの作成については、452 ページの「Roles ページの設定」を参照してくだ
さい。
ロール タイプ
IVE には、以下の 2 種類のユーザー ロールがあります。
„
管理者 - 管理者ロールは、IVE の管理機能とロールに割り当てられた管理者のセッ
ション プロパティを指定するエンティティです。管理者ロールをカスタマイズするに
は、その管理者ロールのメンバーが表示および管理可能な IVE 機能設定とユーザー
ロールを選択します。管理者ロールは、Web コンソールの Administrators >
Delegation ページで作成および設定できます。
„
ユーザー - ユーザー ロールは、ユーザー セッション パラメータ、個人設定および
有効なアクセス機能を定義するエンティティです。ユーザー ロールをカスタマイズす
るには、特定の IVE アクセス機能を有効にして Web、アプリケーションおよびセッ
ション ブックマークを定義し、有効なアクセス機能のセッション設定を構成します。
ユーザー ロールは、Web コンソールの Users > Roles ページで作成および設定でき
ます。
ロール コンポーネント
ユーザー ロールには、以下の情報が含まれます。
„
ロールの制限 - ソース IP、ユーザー エージェント、クライアントサイド証明書、
Host Checker および Cache Cleaner 要件に基づいて、ユーザーがロールにアクセス
できるかどうか制限します。ユーザーをこのロールへ割り当てる前に検証する要件
です。
ユーザー ロールの概要
„
57
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
ロール ベースのソース IP エイリアス - ユーザーが IVE の背後のネットワーク デバ
イスにアクセス可能かどうかを、ロールに基づいて検証します。ロールに基づいて特
定のサイトにトラフィックを転送する場合は、各ロールのソース IP エイリアスを定
義できます。これらのエイリアスを使用して、内部インターフェースのソース IP ア
ドレスに定義する仮想ポートを設定します。これにより、内部インターフェース ソー
ス IP アドレスの代わりにエイリアスを要求するファイアウォールなどのバックエン
ド デバイスを設定していれば、バックエンド デバイスはエンドユーザー トラフィッ
クをこれらのエイリアスに基づいて転送できます。この機能により、すべてのエンド
ユーザー トラフィックが同じ内部インターフェース ソース IP アドレスを持っていて
も、さまざまなエンドユーザーをそのロールに基づいて定義したサイトに差し向ける
ことができます。
„
セッション パラメータ - タイムアウト値(アイドル、最大、リマインダ)
、タイム
アウト警告、ローミング セッション、シングル サインオンなどのセッション設定と、
永続パスワード キャッシング、永続セッション クッキー、ブラウザ リクエスト フォ
ロースルーなどのセッション オプションです。
„
ユーザー インターフェース オプション - サインイン ページ、ページ ヘッダ、ペー
ジ フッタ、ブラウジング ツールバーの表示 / 非表示などの個人設定です。ユーザー
を複数のロールに割り当てた場合、IVE により、最初にユーザーを割り当てたロール
のユーザー インターフェースが表示されます。
„
Web 設定 - ユーザーによる URL の入力、アプレットの実行、ブックマークの追加、
永続的クッキーの追加、HTTP 接続のタイムアウト オプションの設定などを許可また
は禁止する Web アクセス機能。
„
ファイル設定 - Windows システムまたは UNIX/NFS ディレクトリ上のディレクトリ
またはファイル共有に対して、ユーザーにブックマークの定義を許可するかどうかな
どを指定する、ファイル アクセス機能。
„
Telnet/SSH 設定 - Telnet/SSH セッションの追加や、ロールベースの Telnet/SSH セッ
ションの自動許可をユーザーに許可するかどうかを指定する、Secure Terminal
Access アクセス機能。
„
SAM 設定 - J-SAM または W-SAM アプリケーションの実行や、SAM オプション ( 自動
起動、自動アンインストール、自動アップグレード )、または自動ホストマッピング
の許可などをユーザーに許可するかどうかを指定する、セキュア アプリケーション
マネジャのアクセス機能。
„
Network Connect 設定 - ユーザーにローカル サブネットへのアクセスを許可するか
どうかを指定する、Network Connect アクセス機能。
„
Secure Meeting 設定 - Secure Meeting セッションの参加および作成、認証要件の設
定、リモート コントロール オプションの指定、ポリシー設定、またはミーティング
の属性の指定などをユーザーに許可するかどうかを指定する、Secure Meeting アクセ
ス機能。
ロール評価
IVE のロール マッピング エンジンは、以下の順でユーザーのセッション ロールやユー
ザー セッションで有効なすべての権限を確認します。
1.
58
„ ユーザー ロールの概要
IVE は、ユーザーのサインインが正常に行われた認証領域の Role Mapping タブの最
初の規則から評価を開始します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
IVE は、ユーザーが規則に定義されている要件を満たしているかどうかを確認しま
す。満たしている場合には、次の処理を行います。
a.
IVE は、該当するロールをユーザーが利用できる「適格なロール」のリストに追
加します。
b.
IVE は、
「一致したら停止」オプションが設定されているかどうかを確認します。
設定されている場合はステップ 5 に進みます。
3.
IVE は、ステップ 2 のプロセスに応じて、認証領域の Role Mapping タブにある次の
規則を評価し、後続の各規則にこのプロセスを繰り返します。IVE はすべてのロール
マッピング規則を評価すると、適格なロールを包括するリストを作成します。
4.
IVE は、適格リスト内の各ロールの定義を評価し、ユーザーがロール制限に違反して
いないかどうか判断します。IVE はこの情報を使用して、
「有効なロール」のリストを
編集します。ユーザーはこれらのロールの要件も満たしています。
有効なロールのリストに 1 つのみロールが含まれている場合、IVE はそのロールに
ユーザーを割り当てます。それ以外の場合は、IVE は評価プロセスを続けて行います。
5.
ユーザーが複数のロールに割り当てられる場合、IVE は、Role Mapping タブで指定
されている以下の設定を評価します。
„
Merge settings for all assigned roles - このオプションを選択すると、IVE はす
べての有効なユーザー ロールのパーミッシブ マージを実行し、ユーザー セッ
ションの全般的な(ネット)セッション ロールを決定します。
„
User must select from among assigned roles - このオプションを選択すると、
IVE により認証されたユーザーに有効なロールのリストが表示されます。ユー
ザーはこのリストからロールを選択する必要があります。IVE はユーザー セッ
ションの間、ユーザーをそのロールに割り当てます。
„
User must select the sets of merged roles assigned by each rule - このオプショ
ンを選択すると、IVE は認証されたユーザーに適格なロールのリスト ( つまり、
ユーザーが条件を満たしている規則 ) を表示します。ユーザーはこのリストから
規則を選択する必要があり、IVE はその規則に割り当てられたすべてのロールの
パーミッシブ マージを実行します。
メモ : 自動 ( 時間ベース ) 動的ポリシー評価を使用するか、手動ポリシー評価を実行す
る場合は、IVE はこのセクションで説明するロール評価プロセスを繰り返します。詳細
については、43 ページの「ダイナミック ポリシー評価」を参照してください。
パーミッシブ マージのガイドライン
パーミッシブ マージは、以下のガイドラインに従って有効な機能と設定をマージします。
„
アクセス機能が、ロールによって有効だったり無効だったりと設定が異なる場合
有効な設定が優先されます。たとえば、ユーザーが 2 つのロールに割り当てられ、
一方のロールが Secure Meeting を無効にし、もう一方のロールが Secure Meeting
を有効にする場合は、IVE はユーザーにそのセッションでの Secure Meeting の使
用を許可します。
ユーザー ロールの概要
„
59
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
60
„ ユーザー ロールの概要
„
セキュア アプリケーション マネージャ の場合、IVE はこの機能を有効に設定した最
初のロールに対応するバージョンを有効化します。さらに、IVE は選択されたバー
ジョンに対応するすべてのロールの設定をマージします。
„
ユーザー インターフェース オプションの場合、IVE は、ユーザーの最初のロールに
対応する設定を適用します。
„
セッション タイムアウトの場合、IVE は、全ロールから最大値をユーザー セッショ
ンに適用します。
„
複数のロールで Roaming Session 機能が有効な場合、IVE はネットマスクをマージし
て、そのセッションにより大きなネットマスクを作成します。
„
ユーザーが割り当てられた 2 つのロールをマージする場合 ( 新しいウィンドウでブッ
クマークを開くロールと、同じウィンドウでブックマークを開くロール )、マージさ
れたロールはブックマークを同じウィンドウで開きます。
„
2 つのロールをマージする際に、最初のロールがブラウジング ツールバーを無効化
し、2 番目のロールがフレーム ツールバーまたは標準ツールバーのいずれかを有効
化する場合は、マージされたロールは 2 番目のロールの設定を使用し、指定された
ブラウジング ツールバーを表示します。
„
マージされたロールは、Roles > [ ロール ] > Web > Options ページの HTTP
Connection Timeout にリストされた最高値を使用します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
リソース ポリシーの概要
リソース ポリシーは、特定のアクセス機能に対してリソースおよびアクションを指定す
るシステム規則です。リソースは IVE アプライアンスからアクセス可能なサーバまたは
ファイルを意味し、アクションはリソースの「許可」または「拒否」、あるいは機能の実
行または非実行のいずれかを意味します。各アクセス機能には、1 つまたは複数のポリ
シー タイプがあります。それぞれのタイプでは、ユーザーの要求に対する IVE アプライ
アンスの応答や、アクセス機能を有効にする方法 (Secure Meeting および Email Client の
場合 ) を指定します。また、リソース ポリシーの詳細規則を定義すると、特定のユーザー
の要求に対する追加の要件を評価できます。
ここでは、以下の内容について説明します。
„
61 ページの「リソース ポリシー タイプ」
„
63 ページの「リソース ポリシー コンポーネント」
„
63 ページの「リソース ポリシーの評価」
„
64 ページの「リソース ポリシー詳細規則」
リソース ポリシー タイプ
IVE の Resource Policies ページで、以下のタイプのリソース ポリシーを作成できます。
„
Web リソース ポリシー - Web アクセス機能には、以下のリソース ポリシー タイプ
があります。
„
アクセス:ユーザーのブラウジングを許可または拒否する Web リソースを指定
します。詳細については、507 ページの「Access タブ」を参照してください。
„
キャッシング:IVE がページ ヘッダを送信または変更する Web リソースを指定
します。詳細については、508 ページの「Caching タブ」を参照してください。
„
Java アクセス:Java アプレットが接続できるサーバーを指定する。詳細について
は、512 ページの「Java タブ」を参照してください。
„
Java 署名:Java アプレットの署名を書き換える際に、アプレット証明書または
IVE のデフォルト証明書のどちらを使用するかを指定します。詳細については、
513 ページの「Code Signing タブ」を参照してください。
„
選択的な再書き込み:IVE が再書き込みする、または再書き込みしないリソース
を指定します。詳細については、516 ページの「Rewriting タブ」を参照してくだ
さい。
„
データ転送プロキシ:IVE が最小限の仲介を実行する Web アプリケーションを
指定します。詳細については、517 ページの「Pass-through Proxy タブ」を参照
してください。
„
フォーム転送:ユーザーの IVE 認証情報をバックエンド Web アプリケーション
のサインイン フォームに直接転送するかどうかを指定します。詳細については、
523 ページの「Remote SSO タブ」を参照してください。
„
クッキー / ヘッダ:クッキーおよびヘッダをバックエンド Web アプリケーション
のサインイン フォームに転送するかどうかを指定します。詳細については、525
ページの「Headers/Cookies タブ」を参照してください。
リソース ポリシーの概要
„
61
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
ファイル リソース ポリシー - ファイル アクセス機能には、以下のリソース ポリ
シー タイプがあります。
„
62
„ リソース ポリシーの概要
Windows アクセス:ユーザーのアクセスを許可または拒否する Windows ファイ
ル リソースを指定します。詳細については、540 ページの「Windows タブ」を
参照してください。
„
Windows 認証情報:管理者またはユーザーに追加の認証情報の送信を要求する
Windows ファイル リソースを指定します。詳細については、541 ページの
「Credentials タブ」を参照してください。
„
UNIX/NFS アクセス:ユーザーのアクセスを許可または拒否する UNIX/NFS ファ
イル リソースを指定します。詳細については、542 ページの「UNIX/NFS タブ」
を参照してください。
„
セキュア アプリケーション マネージャ リソース ポリシー - セキュア アプリケー
ション マネージャ アクセス機能には、1 種類のリソース ポリシー タイプがありま
す。J-SAM または W-SAM を使用してソケット接続を行うように設定されているアプ
リケーションを許可または拒否します。詳細については、546 ページの「SAM ページ
の設定」を参照してください。
„
Telnet/SSH リソース ポリシー - Telnet/SSH アクセス機能には、1 種類のリソース ポ
リシー タイプがあります。指定したサーバーへのアクセスを許可または拒否します。
詳細については、549 ページの「Telnet/SSH ページの設定」を参照してください。
„
ターミナル サービス ポリシー - ターミナル サービス アクセス機能には、1 種類の
リソース ポリシー タイプがあります。指定した Windows サーバーまたは Citrix
Metaframe サーバーへのアクセスを許可または拒否します。詳細については、552
ページの「Terminal Services Policies ページの設定」を参照してください。
„
ネットワーク コネクト リソース ポリシー - ネットワーク コネクト アクセス機能に
は、2 種類のリソース ポリシー タイプがあります。指定のサーバーへのアクセスの
許可または拒否、および IP アドレス 範囲の指定をします。詳細については、556
ページの「Network Connect ページの設定」を参照してください。
„
Secure Meeting リソース ポリシー - Secure Meeting アクセス機能には 1 つのリソー
ス ポリシーがあり、これにより、E メール通知、セッション制限、夏時間の調整、
色深度設定などの各種の機能を有効にすることができます。詳細については、554
ページの「Meetings ページの設定」を参照してください。
„
セキュア E メール クライアント リソース ポリシー - セキュア E メール クライアン
ト アクセス機能には、1 種類のリソース ポリシー タイプがあります。E メール クラ
イアント サポートを有効化または無効化します。詳細については、565 ページの
「Email Client ページの設定」を参照してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
リソース ポリシー コンポーネント
リソース ポリシーには、以下の情報が含まれます。
„
リソース:ポリシーの適用対象のリソースを指定するリソース名の集合(URL、ホス
ト名、または IP アドレス / ネットマスクの組み合わせ)です。ホスト名を一致させる
ためワイルドカードを接頭辞として前にインプットしリソースを指定できます。ポリ
シーのデフォルト リソースはアスタリスク(*)です。これは、関連するすべてのリ
ソースにポリシーが適用されることを意味します。詳細については、501 ページの
「リソース ポリシーのリソースの指定」を参照してください。
„
ロール:このポリシーの適用対象のユーザー ロールのリスト(オプション)。デフォ
ルト設定では、すべてのロールにポリシーが適用されます。
„
アクション:ユーザーから Resource リストに対応するリソースを要求されたときに
IVE が実行するアクション。アクションでは、リソースの許可または拒否を指定でき
ます。また、Web コンテンツの再書き込みまたは Java ソケット接続の許可などのア
クションを実行するかしないかも指定できます。
„
詳細規則:リソースの詳細(特定の URL、ディレクトリ、パス、ファイルまたは
ファイル タイプ)を指定する要素のリストです(オプション)。個別にアクション
を適用するか、またはアクションを適用する前に条件を評価する場合に使用しま
す。1 つまたは複数の規則を定義し、それらの規則が IVE で評価される順序を指定
できます。詳細については、64 ページの「リソース ポリシー詳細規則」を参照し
てください。
リソース ポリシーの評価
IVE アプライアンスがユーザーからの要求を受信すると、要求のタイプに応じたリソー
ス ポリシーが評価されます。IVE は要求されたリソースに対応するポリシーを処理する
場合に、その要求に対して指定のアクションを適用します。このアクションは、ポリ
シーの General タブまたは Detailed Rules タブで定義します。たとえば、ユーザーが
Web ページを要求した場合には、IVE は Web リソース ポリシーを使用するよう判断し
ます。Web リクエストの場合、IVE は必ず Web 再書き込みポリシー(選択的な再書き込
みおよびデータ転送プロキシ)から評価を開始し、要求を処理するかどうかを決定しま
す。これらのポリシーがいずれも適用されない場合(または定義されていない場合)に
は、IVE は要求されたリソースに関連するポリシーが見つかるまで Web アクセス ポリ
シーの評価を行います。
IVE アプライアンスでは、アクセス機能のリソース ポリシーを上から下に順に評価しま
す。つまり、ポリシー リストの 1 番から開始して一致するポリシーが見つかるまでリス
トの下方向に進んでいきます。一致するポリシーに対して詳細規則を定義している場合、
IVE は上から下に順に評価を行います。つまり、その規則の Resource リストの 1 番から
開始して該当するリソースに当たると停止します。以下の図に、一般的なポリシー評価の
順序を示します。
図 23: リソース ポリシーの評価順序
リソース ポリシーの概要
„
63
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
評価順序の詳細は以下のとおりです。
1.
ユーザーの「セッション ロール」は、認証プロセス中にユーザーが割り当てられる
1 つ以上のロールに基づいています。ユーザーに対して有効化されるアクセス機能
は、認証領域のロール マッピング設定によって決定されます。
2.
Web アクセスおよびファイル アクセス機能には複数のリソース ポリシー タイプがあ
るため、IVE では最初に要求のタイプ(Web ページ、Java アプレットまたは UNIX
ファイルへの要求など)を判断し、次にその要求に関連するリソース ポリシーを評
価します。Web アクセス機能の場合、最初にすべての Web 要求に対して再書き込み
ポリシーが評価されます。その他の 5 つのアクセス機能(セキュア アプリケーショ
ン マネージャ、セキュア ターミナル アクセス、Secure Meeting 、セキュア E メール
クライアント アクセス機能)のリソース ポリシー タイプは、1 種類のみです。
3.
詳細規則を使用すると、以下の 2 つの設定が可能になります。
4.
„
詳細規則を使用すると、以下の 2 つの設定が可能になります。アクションをより
細かく適用するリソースの指定。たとえば、Web アクセス リソース ポリシーの
メイン ポリシー設定で Web サーバーを指定した場合に、詳細規則の定義でその
サーバーの特定パスを指定し、そのパスに対して適用するアクションを変更する
ことができます。
„
アクションを適用するため、ユーザーに対してブール演算式またはカスタム エ
クスプレッションで記述した特定の条件を設定。(詳細は、64 ページの「リ
ソース ポリシー詳細規則」を参照)。
要求されたリソースがポリシーの Resource リストまたは詳細規則で見つかれば、
IVE のリソース ポリシー処理が停止します。
メモ : 自動 ( 時間ベース ) 動的ポリシー評価を使用するか、手動ポリシー評価を実行す
る場合は、IVE はこのセクションで説明するリソース評価プロセスを繰り返します。詳
細については、43 ページの「ダイナミック ポリシー評価」を参照してください。
リソース ポリシー詳細規則
Web、ファイル、セキュア アプリケーション マネージャ、Telnet/SSH、Network Connect
などのアクセス機能では、個々の Web、ファイル、アプリケーションおよび telnet サー
バーに対するリソース ポリシーを指定できます。Secure Meeting と E メール クライアン
ト アクセス機能には、グローバルに適用するポリシーがそれぞれ 1 つずつあります。こ
の場合、これらのアクセス機能を有効化するすべてのロールに使用されるサーバー設定を
指定します。その他のアクセス機能については、任意の数のリソース ポリシーを指定でき
ます。さらに、各ポリシーには 1 つまたは複数の詳細規則を定義できます。
詳細規則は、以下の内容を指定できるリソース ポリシーの拡張機能です。
„
General タブに表示されるリソースの追加1 情報(特定のパス、ディレクトリ、ファ
イルまたはファイル タイプなど)。
„
General タブで指定したアクションとは異なるアクション(同じリソースに対して)。
„
詳細規則を適用するためには結果が true でなければならない条件。
1. ユーザーの要求に対する条件を適用するためだけに詳細規則を使用する場合は、General タブと同じリソース リスト
を指定することもできます。
64
„ リソース ポリシーの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ほとんどの場合、General タブで指定する基本リソース ポリシーにより、リソースに対す
るアクセスを十分にコントロールできます。
“defined_roles” に属しているユーザーが “defined_resources” にアクセスを試みる場
合、指定されている “resource_action” が実行されます。
以下に示すその他の情報のセットに基づいてアクションを実行する場合は、ポリシーに 1
つ以上の詳細規則を定義できます。
„
ヘッダ、コンテンツ タイプ、ファイル タイプなどのリソース プロパティ
„
ユーザー名やユーザー割り当て先のロールなどのユーザー プロパティ
„
ユーザーのソース IP およびブラウザ タイプ、Host Checker または Cache Cleaner の
実行状態、時刻、証明書属性などのセッション プロパティ
詳細規則により、既存のリソース情報および権限情報を利用したより柔軟なリソース ア
クセス コントロールが可能になり、基本リソース ポリシーを適用する別々のユーザーに
異なる要件を効率的に指定できるようになります。
設定手順については、503 ページの「詳細規則の記述」を参照してください。
リソース ポリシーの概要
„
65
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
66
„ リソース ポリシーの概要
第 3章
認証と承認
IVE プラットフォーム上に構築されるすべての製品では、領域、サーバー、リソースのポ
リシーを使用して、IVE および 29 ページの「IVE シリーズ」で説明されているその機能
へのユーザーのアクセスを管理できます。さらに、IVE は、以下のセクションで説明する
認証、承認、セキュリティの各機能も提供します。
目次
„
69 ページの「証明書の概要」
„
78 ページの「委任管理の概要」
„
79 ページの「エンドポイント防御の概要」
„
96 ページの「LDAP パスワード管理の概要」
„
100 ページの「シングル サインオンの概要」
„
109 ページの「SAML の概要」
„
67
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
68
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
証明書の概要
IVE は、インターネットを通じてクライアントに送信したデータを、PKI で保護します。
PKI(公開鍵インフラストラクチャ)は、公開鍵と秘密鍵を使用して情報を暗号化および
解読するセキュリティ方式です。これらの鍵は、デジタル証明書を通じて有効にされ、保
存されます。デジタル証明書とは、クライアント / サーバー間でのトランザクション処理
について Web サーバーまたはユーザーの信用を確立するために発行される、暗号化され
た電子ファイルです。
IVE 次の種類のデジタル証明書を使用して信用を確立し、IVE セッション トランザクショ
ンを保護します。
„
IVE certificates - IVE サーバー証明書は、会社名、会社の公開鍵のコピー、証明書を
発行した認証局 (Certificate Authority: CA) のデジタル署名、シリアル番号、および有
効期限などの要素を使用して、IVE との間のネットワーク トラフィックを保全しま
す。詳細については、69 ページの「IVE サーバー証明書」を参照してください。
„
Trusted client CAs - トラステッド クライアント CA は、証明書または証明書属性に
基づいて領域、ロール、リソース ポリシーへのアクセスを管理するために、認証局
(Certificate Authority: CA)によって発行されたクライアントサイド証明書です。たと
えば、“Users” 認証領域にサインインするユーザーには、OU 属性を
“yourcompany.com” に設定した有効なクライアントサイド証明書が必要であると指
定します。詳細については、72 ページの「トラステッド クライアント CA」を参照し
てください。
„
Trusted server CAs - トラステッド サーバー CA は、トラステッド Web サーバーの
証明書です。Web ブラウジング ライセンスをお持ちであれば、ユーザーが IVE アプ
ライアンスからアクセスする Web サイトの認証情報を有効にするために、IVE のト
ラステッド サーバー CA をインストールすることができます。詳細については、75
ページの「トラステッド サーバー CA」を参照してください。
„
Code-signing certificates - コード署名証明書 ( アプレット証明書とも呼ばれます )
は、サーバーサイド証明書の一種で、IVE が仲介する Java アプレットの署名を書き直
します。IVE アプライアンスにあらかじめロードされている自己コード署名証明書を
使用することも、独自のコード署名証明書をインストールすることもできます。詳細
については、75 ページの「コード署名証明書」を参照してください。
IVE の基本設定では、IVE 証明書とコード署名証明書だけが要求されます。IVE アプライ
アンスは、1 つのコード署名証明書を使用してすべての Java アプレットの署名を書き直
すことができ、1 つの IVE サーバー証明書を使用して他のすべての PKI ベースの通信を仲
介することができます。ただし、これらの基本的な証明書でニーズが満たされない場合
は、複数のサーバー証明書とアプレット証明書を IVE アプライアンスにインストールする
か、CA 証明書を使用して、ユーザーの正当性を検証することができます。
IVE サーバー証明書
IVE サーバー証明書は、証明書、シリアル番号、および有効期限を発行した認証局
(Certificate Authority: CA) の会社名、会社の公開鍵のコピー、証明書などの要素を使用し
て、IVE アプライアンスとの間のネットワーク トラフィックを保全します。
証明書の概要
„
69
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
暗号化されたデータを IVE から受け取ったクライアント ブラウザは、IVE の証明書が有効
かどうか、IVE の証明書を発行した CA をユーザーが信頼済みかどうかを最初にチェック
します。ユーザーが IVE の証明書の発行者を信頼できることがまだ示されていない場合、
Web ブラウザは IVE アプライアンスの証明書を受け入れるか、インストールするよう
ユーザーに要求します。
IVE の初期化時に、一時自己署名電子証明書がローカルに作成されます。すると、ユーザ
は直ちに IVE の使用を開始できるようになります。初期化時に作成され、自己署名された
証明書を暗号化すれば完璧なセキュリティが得られますが、IVE にサインインするたびに
セキュリティ警告が表示されます。これは、証明書が信頼できる認証局 (CA) から発行さ
れていないためです。本稼動する場合には、信頼できる CA からデジタル証明書を取得す
ることをお勧めします。
IVE アプライアンスは、サーバー証明書を使用して以下の追加機能をサポートします。
„
Intermediate server CA certificates - 証明書階層内では、1 つまたは複数の中間証明
書が 1 つのルート証明書から分岐しています。詳細については、70 ページの「中間
サーバー CA 証明書」を参照してください。
„
Multiple IVE server certificates - 複数のサーバー証明書を使用する場合は、各証明
書は個々のホスト名または完全修飾ドメイン名(fully qualified domain name: FQDN)
の正当性の検証を処理するため、証明書は異なる CA から発行されていてもかまいま
せん。詳しくは、71 ページの「複数の IVE サーバー証明書」を参照してください。
IVE アプライアンスで自動的に作成される自己署名を使用しない場合は、Web コンソール
の System > Configuration > Certificates > IVE Certificates ページでの設定を使用でき
ます。
„
ルート証明書とその対応する秘密鍵を IVE アプライアンスにインポートします。
„
中間サーバー証明書とその対応する秘密鍵を IVE アプライアンスにインポートしま
す。詳細については、70 ページの「中間サーバー CA 証明書」を参照してください。
„
IVE アプライアンスに複数サーバー証明書をインポートします(アドバンスト ライセ
ンスのみ)。詳細については、71 ページの「複数の IVE サーバー証明書」を参照して
ください。
手順については、293 ページの「IVE Certificates タブ」を参照してください。
中間サーバー CA 証明書
証明書階層内では、1 つまたは複数の中間証明書が 1 つのルート証明書から分岐していま
す。ルート証明書はルート認証局(CA)により発行され、自己署名されます。各中間証明
書はチェーン内の上位の証明書によって発行されます。
チェーン証明書を使用してトラフィックを保全する場合は、IVE と Web ブラウザの両方
に完全な証明書チェーンが含まれるようにする必要があります。たとえば、Verisign ルー
ト証明書から生じるチェーンを使用することによって、トラフィックを選択することがで
きます。ユーザーのブラウザに Verisign ルート証明書が事前ロードされていると仮定した
場合は、IVE のチェーン内に低レベルの証明書をインストールすることだけが必要です。
その後、ユーザーが IVE にブラウズすると、IVE はトランザクションを保全するために、
チェーン内にある全証明書をブラウザに表示します。(IVE は、ルート証明書の IssuerDN
を使用してチェーン内に適切なリンクを作成します)。IVE とブラウザの両方がチェーン全
体を有していない場合は、信頼済みの CA ではなく別の証明書によって発行されたもので
あるため、ユーザーのブラウザは IVE の証明書を認識または信頼することができません。
チェーン クライアント証明書については、73 ページの「クライアント CA 階層」を参照
してください。
70
„ 証明書の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Web コンソールの System > Configuration > Certificates > IVE Certificates ページか
ら、中間サーバー証明書をインストールすることができます。
複数の IVE サーバー証明書
複数の IVE サーバー証明書を使用するときには、各証明書が個々のホスト名または完全修
飾ドメイン名(fully qualified domain name: FQDN)の正当性の検証を処理するため、証
明書は異なる CA から発行されていてもかまいません。複数のサインイン URL とともに複
数のルート証明書を使用できます。複数サインイン URL 機能を使用すると、各ホスト名
または FQDN に対して異なるサインイン URL を作成できるため、複数のホスト名から
IVE にアクセスすることができます。さらに、各サインイン URL に対して個別のサインイ
ン ページと認証要件を作成できます。詳細については、349 ページの「Sign-in Policies タ
ブ」を参照してください。複数サーバー証明書機能を使用すると、各ホスト名または
FQDN にサインインするユーザーの正当性を、個別の証明書で検証することができます。
たとえば、ある証明書を partners.yourcompany.com サイトに関連付け、別の証明書を
employees.yourcompany.com サイトに関連付けることができます。
タスク サマリー: 複数サーバ証明書の有効化
複数サーバー証明書を有効にするには、次の操作を実行する必要があります。
1.
のアクセスに使用する複数の IP アドレスを指定して、それぞれに仮想ポートを作成
します。仮想ポートは、物理ポート上で IP のエイリアスをアクティブにします。仮想
ポートの作成方法を示します。
„
Internal users - System > Network > Internal Port > Virtual Ports タブの設定
を使用して、社員など、内部ネットワークから IVE にサインインするユーザーに
対する仮想ポートを作成します。手順については、312 ページの「内部インター
フェースでの仮想ポートの作成」を参照してください。
„
External users - System > Network > External Port > Virtual Ports タブの設
定を使用して、顧客やパートナーなど、内部ネットワークの外から IVE にサイン
インするユーザーに対する仮想ポートを作成します。手順については、314 ペー
ジの「外部インターフェースでの仮想ポートの作成」を参照してください。
2.
サーバー証明書を IVE にアップロードします。証明書は、Web コンソールの System
> Configuration > Certificates > Certificates ページか、Web コンソールの
Maintenance > Import/Export > System Configuration からインポートできます。
IVE 上でホストしたいドメイン(ホスト名)ごとにサーバー証明書を 1 つアップロー
ドします。手順については、293 ページの「既存のルート証明書と秘密鍵のインポー
ト」を参照してください。
3.
IVE は、System > Configuration > Certificates > IVE Certificates タブの設定を使
用して証明書に関連付ける仮想ポートを指定します。ユーザーが仮想ポートに定義
されている IP アドレスを使用して IVE にサインインを試みると、IVE はその仮想
ポートに関連付けられている証明書を使用して SSL トランザクションを開始しま
す。手順については、295 ページの「仮想ポートと証明書の関連付け」を参照して
ください。
証明書の概要
„
71
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
トラステッド クライアント CA
トラステッド クライアント CA とは、認証局(CA)によって発行されたクライアントサ
イドの証明書です。クライアント CA 証明書を使用するには、適切な証明書を IVE にイン
ストールして有効にするとともに、対応するクライアントサイド証明書をエンドユーザー
の Web ブラウザにインストールする必要があります。CA 証明書でユーザーの正当性を検
証すると、IVE は、その証明書の期限が切れていたり壊れていないか、IVE が認めた CA
によって署名されているかをチェックします。CA 証明書がチェーン(以下に説明)して
いる場合は、IVE もルート CA に到達するまでの発行者のチェーンをたどり、各発行者の
正当性を検証します。
証明書の値に基づいてユーザー アクセスを制限する IVE の設定方法については、47 ペー
ジの「証明書のアクセス制限」を参照してください。
IVE は、CA 証明書を使用して以下の追加機能をサポートします。
„
Certificate servers - 証明書サーバーは一種のローカル認証サーバーであり、これを
使用すると、標準の認証サーバー (LDAP や SiteMinder など ) に照合してユーザーを
認証したり、特定の証明書や証明書属性を必要とすることなく、証明書属性だけに基
づいて IVE ユーザーを認証できます。詳細については、421 ページの「証明書サー
バー インスタンスの設定」を参照してください。
„
Certificate hierarchies - 証明書階層内では、1 つまたは複数の下位証明書 ( 中間証明
書と呼ばれます ) がルート証明書から分岐して、証明書チェーンを形成します。各中
間証明書(証明書チェーンとも呼ばれます)は、ルート CA ドメインの一部に対する
要求を処理します。たとえば、yourcompany.com ドメインに対するすべての要求を
処理するルート証明書を作成して、partners.yourcompany.com と
employees.yourcompany.com に対する要求を処理する複数の中間証明書を分岐する
ことができます。IVE に証明書チェーンをインストールすると、アプライアンスは
チェーンが有効であることを確認し、ユーザーはリーフ証明書(チェーンの最下位レ
ベルの証明書)を使用して認証することができます。詳細については、73 ページの
「クライアント CA 階層」を参照してください。
„
Certificate revocation lists - 証明書の取り消しとは、有効期限が切れる前に CA が証
明書を無効にするメカニズムです。証明書失効リスト(certificate revocation list: CRL)
は、CA が発行した証明書のうち、取り消された証明書のリストです。CRL 内の各エ
ントリには、取り消された証明書のシリアル番号、取り消された日付、取り消された
理由が含まれています。CA は、さまざまな理由(発行した証明書を所有する社員の
退職、証明書の秘密鍵の改ざん、クライアントサイド証明書の紛失や盗難など)によ
り、証明書を無効にします。CA が証明書を取り消すと、IVE は、取り消された証明書
を提示するユーザーのアクセスを的確に拒否することができます。詳細については、
73 ページの「CRL」を参照してください。
証明書による領域、ロール、およびリソース ポリシーのチェックについては、675 ペー
ジの「証明書の制限」を参照してください。
Web コンソールの System > Configuration > Certificates > Trusted Client CAs ページか
ら、信頼済みのクライアント CA をインストールすることができます。手順については、
298 ページの「IVE への トラステッド クライアント CA 証明書のアップロード」を参照し
てください。
メモ : ユーザ ライセンスを契約している場合は、IVE に 1 つのルート CA 証明書をイン
ストールするだけで、対応する 1 つのクライアントサイド CA 証明書で複数のユーザー
を検証できます。
72
„ 証明書の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
クライアント CA 階層
証明書階層内では、1 つまたは複数の中間証明書が 1 つのルート証明書から分岐していま
す。ルート証明書はルート認証局(CA)により発行され、自己署名されます。各中間証明
書はチェーン内の上位の証明書によって発行されます。
証明書チェーン環境での認証を有効にするには、適切なクライアントサイドの証明書を各
ユーザーの Web ブラウザにインストールし、対応する CA 証明書を IVE にアップロード
する必要があります。
メモ : ユーザ ライセンスでは、異なる CA が発行した証明書のチェーンをインストール
することはできません。チェーンの最下位レベルの証明書に署名する CA は、チェーン
内の他のすべての証明書にも署名しなければなりません。
IVE サーバーの証明書チェーンについては、70 ページの「中間サーバー CA 証明書」を参
照してください。
Web コンソールの System > Configuration > Certificates > Trusted Client CAs ページか
ら、クライアント CA をインストールすることができます。証明書チェーンを IVE にアッ
プロードするには、以下のいずれかの方法を使用する必要があります。
„
Import the entire certificate chain at once - 1 つのファイルに含まれた証明書
チェーンをインストールする際に、IVE はルート証明書と、親がそのファイル内また
は IVE 上にある下位証明書をすべてインポートします。インポート ファイルには、任
意の順序で証明書を入れることができます。
„
Import the certificates one at a time in descending order - 複数のファイルに含
まれる証明書チェーンをインストールする際に、IVE は、初めにルート証明書を
インストールし、その後に残りの証明書チェーンを降順でインストールすること
を要求します。
上記のいずれかの方法で証明書チェーンをインストールすると、IVE は証明書を自動的に
正しい順序でチェーンし、Web コンソールに階層構造で表示します。
メモ : 複数の証明書をユーザーの Web ブラウザにインストールすると、ユーザーが IVE
にサインインするたびに、ブラウザは使用する証明書を選択するようユーザーにプロン
プトします。
手順については、298 ページの「IVE への トラステッド クライアント CA 証明書のアップ
ロード」を参照してください。
CRL
証明書失効リスト (CRL) は、クライアントサイド証明書を取り消すためのメカニズムで
す。名前が示すとおり、CRL は取り消された証明書のリストであり、CA または委任され
た CRL 発行者が発行します。IVE はベース CRL をサポートします。ベース CRL には、社
内で取り消されたすべての証明書が 1 つのリストにまとめられています。
IVE は、クライアントの証明書をチェックすることで、どの CRL を使用するかを認識しま
す。(証明書の発行する際に、CA はその証明書の CRL 情報を証明書内に含めます)。最新
の CRL 情報を受け取るようにするため、IVE は CRL 配布点に定期的にアクセスして、取
り消された証明書の更新リストを取得します。CRL 配布点(CRL distribution point: CDP)
は、CA が CRL を発行する、LDAP ディレクトリ サーバーまたは Web サーバーの場所で
す。IVE は、CRL に指定された間隔と、CRL の設定時に管理者が指定した間隔で CDP か
証明書の概要
„
73
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ら CRL 情報をダウンロードするほか、CRL を手動でダウンロードしたときにもダウン
ロードを行います。IVE は、CRL パーティションもサポートしています。CRL パーティ
ションにより、特大 CRL や大規模 CRL の集合体へのアクセスおよび確認に時間や労力を
かけずに、特大 CRL の各部を確認することができます。CRL パーティションは、以下に記
されている Specify the CDP(s) in the client certificates の方法を使用している際に、IVE
でのみ有効にできます。この場合、IVE はクライアント証明書に指定された CRL のみを確
認して、ユーザーを検証します。
CA は CRL 情報をクライアントサイド証明書に含めますが、CDP 情報を必ず含めるわけで
はありません。CA は、以下のいずれかの方法で証明書の CDP の場所を IVE に通知するこ
とができます。
„
Specify the CDP(s) in the CA certificate - CA 証明書の発行時、CA は、IVE がアクセ
スする必要のある CDP の場所を指定した属性を含めることができます。複数の CDP
を指定すると、IVE は証明書にリストされた最初の CDP を選択し、そこでなければ
必要に応じて以降の CDP に順次切り替えていきます。
„
Specify the CDP(s) in the client certificates - クライアントサイド証明書の発行時、
CA は、IVE がアクセスする必要のある CDP の場所を指定した属性を含めることがで
きます。複数の CDP を指定すると、IVE は証明書にリストされた最初の CDP を選択
し、そこでなければ必要に応じて以降の CDP に順次切り替えていきます。IVE が CRL
パーティションを適用して、クライアント証明書が 1 つの CRL のみを指定した際、
IVE はその CRL のみを使用して確認します。
メモ : この方法では、ユーザーは初めて IVE にサインインを試みたときにエラーを受け
取ります。IVE がクライアントの証明書を認識し、CRL の場所を取り出すと、IVE は CRL
のダウンロードを開始し、これ以降にユーザーの証明書を検証できるようになります。
IVE に正常にサインインするには、ユーザーは数秒間待ってから再接続する必要があり
ます。
„
Require the administrator to manually enter the CDP location - CA がクライアント
証明書または CA 証明書に CDP の場所を含めない場合は、IVE の設定時に、CRL オブ
ジェクト全体をダウンロードする方法を手動で指定する必要があります。プライマリ
およびバックアップ CDP を指定できます。(CDP の場所を手動で入力すると、CDP
の場所を変更した場合にも証明書を再発行する必要がないため、最大限の柔軟性が得
られます。)
IVE は、ユーザーの認証時に適切な CRL に照合して証明書をチェックします。ユーザーの
証明書が有効であると判断した場合は、IVE は証明書属性をキャッシュに格納し、ロール
およびリソース ポリシーのチェック時に、必要に応じて適用します。ユーザーの証明書が
無効であると判断した場合や、適切な CRL にアクセスできなかった場合、または CRL が
期限切れの場合は、IVE はユーザー アクセスを拒否します。
Web コンソールの System > Configuration > Certificates > Trusted Client CAs ページか
ら、CRL チェックを設定することができます。
メモ :
„
IVE がサポートするのは、PEM または DER フォーマットの CRL と、取り消しが適
用される CA によって署名された CRL だけです。
„
IVE は最初の CRL のみを PEM ファイルに保存します。
„
IVE は配布点発行(Issuing Distribution Point: IDP)という CRL の拡張機能をサポー
トしません。
設定手順については、302 ページの「CDP オプションの指定」を参照してください。
74
„ 証明書の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
OCSP
オンライン証明書ステータスプロトコル (OCSP) によって、リアルタイムでクライアント
証明書を確認することができます。OCSP を使用すると、IVE は OCSP レスポンダのクラ
イアントとなり、クライアント証明書に基づいてユーザー用の検証リクエストを転送しま
す。OCSP レスポンダは CA が発行した CRL の保管を維持し、有効および無効となってい
るクライアント証明書の最新のリストを維持します。OCSP レスポンダが IVE(通常は
HTTP または HTTPS トランスミッション)から検証リクエストを受信すると、OCSP レス
ポンダは独自の認証データベースを使用して証明書のステータス検証するか、最初に証明
書を発行した OCSP レスポンダにリクエストを検証するように要求します。応答が作成さ
れると、OCSP レスポンダは署名された応答を IVE へと戻し、最初の証明書は OCSP レス
ポンダが証明書の正当性を確認するかに応じて認可または拒否されます。OCSP オプショ
ンの有効化および設定については、297 ページの「Trusted Client CAs タブ」を参照してく
ださい。
トラステッド サーバー CA
Web ブラウジング ライセンスをお持ちであれば、ユーザーが IVE。IVE アプライアンスで
トラステッド Web サーバーの CA 証明書のインストールが必要になるだけです。
(Internet Explorer 6.0 と Windows XP サービスパック 2 にインストールされた Web 証明
書のトラステッド ルート CA はすべて IVE アプライアンスで事前にインストールされてい
ることに注意してください。)次に、SSL 対応の Web サイトにユーザーがアクセスする場
合、IVE は次を確認します。
„
Web サイト証明書は IVE アプライアンスにインストールされたトラステッド ルート
CA チェーンの 1 つによって発行されます。
„
Web サイト証明書は有効です。
„
Web サイト証明書 Subject CN 値はアクセスした URL の実際のホストネームに一致
します。(IVE アプライアンスでは、Subject CN 値に次の形式でワイルドカードを含
めることができます。*.company.com)
どの条件も満たさない場合は、IVE はユーザー アクセス ログに主なイベントをログして、
Web コンソールの Users > Roles > ロール名 > Web > Options タブで設定したロール
レベル設定に基づいて、Web サイトへのユーザーのアクセスを許可または拒否します。
(これらの設定を行っていない場合は、IVE アプライアンスはユーザーに、Web サイト証
明書は無効であるが、サイトにはアクセスできる旨の警告を行います。)
Web コンソールの System > Configuration > Certificates > Trusted Server CAs ページ
から、トラステッド Web サーバーの CA 証明書をインストールすることができます。手
順については、305 ページの「IVE への トラステッド クライアント CA 証明書のアップ
ロード」を参照してください。
コード署名証明書
署名付き Java アプレットを仲介する場合、IVE は非標準の信頼されるルート CA が発行し
た自己署名証明書でアプレットの署名を書き直します。ユーザーがネットワーク サーバー
へのアクセスなどの危険度の高いタスクの実行を要求すると、ルートがトラステッドルー
トではない、というセキュリティ警告がユーザーのブラウザに表示されます。このような
警告が表示されないようにするには、IVE が仲介するアプレットの署名書き換えに使用す
るコード署名証明書をインポートします。
証明書の概要
„
75
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVE は以下のタイプのコード署名証明書をサポートしています。
„
Microsoft Authenticode Certificate - IVE は、MS JVM または SUN JVM で実行するア
プレットの署名にはこの証明書を使用します。サポートされるのは、Verisign が発行
した Microsoft Authenticode 証明書のみであることに注意してください。以下の場所
で Microsoft Authenticode 証明書を購入できます。
http://www.verisign.com/products-services/security-services/codesigning/index.html
„
JavaSoft Certificate - IVE は、SUN JVM で実行するアプレットの署名にはこの証明書
を使用します。サポートされるのは、Verisign と Thawte が発行した JavaSoft 証明書
のみであることに注意してください。
どのコード署名証明書をインポートするかを判断するには、次のようなブラウザの依存性
を考慮します。
„
Internet Explorer - Windows XP があらかじめインストールされた新しいコンピュー
タの場合、Internet Explorer は通常、SUN JVM を実行します。つまり、IVE は
JavaSoft 証明書を使用してアプレットの署名を書き直す必要があります。
Windows 98、2000、または Windows XP にアップグレードした PC の場合、Internet
Explorer は通常、MS JVM を実行します。つまり、IVE は Authenticode 証明書を使用
してアプレットの署名を書き直す必要があります。
„
Netscape, Firefox, および Safari - これらのブラウザは、SUN JVM だけをサポートし
ます。つまり、IVE は、JavaSoft 証明書を使用してアプレットの署名を書き直す必要
があります。
SUN JVM ユーザーへの注意事項
76
„ 証明書の概要
„
ユーザーがアプレットにアクセスすると、デフォルトで、Java プラグインはコード
署名証明書と共にアプレットをキャッシュに格納します。この処理は、コード署名
証明書を IVE にインポートした後でも、ブラウザによって元の証明書がアプレット
に提示されることを意味します。コード署名証明書をインポートする前にアクセス
されたアプレットの信頼できない証明書が表示されないようにするには、SUN JVM
ユーザーは Java プラグインをキャッシュから消去する必要があります。または、
キャッシュを無効にするという方法もあります。ただし、この方法ではアクセスす
るたびにアプレットをフェッチする必要が生じるため、パフォーマンスが低下する
可能性があります。
„
Java プラグインには、ブラウザの信頼できる証明書リストとは別に、信頼できる
Web サーバー証明書の独自のリストが保持されます。ユーザーがアプレットにアクセ
スすると、(ブラウザによる接続とは別に)SUN JVM はアプレットがある Web サー
バーに接続します。ユーザーは、コード署名証明書に加えて Web サーバー証明書も
受け入れるかどうか尋ねられます。この場合には、Web サーバ証明書の「Always
Trust」ボタンを選択する必要があります。Java プラグインにはタイムアウトが設定さ
れているため、このボタンの選択が遅れるとアプレットはロードされません。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
タスク サマリー: Java アプレットに署名または再署名するよう IVE
を設定する
コード署名証明書を使用して、IVE がアプレットに再署名するよう設定するには、次の操
作を行います。
1.
Web コンソールの System > Configuration > Certificates > Code-Signing
Certificates ページから Java コード署名証明書をインストールします。手順について
は、306 ページの「コード署名証明書のインポート」を参照してください。
2.
次のいずれかの操作を実行します。
„
Web コンソールの Resource Policies > Web > Java > Code Signing ページから、
IVE が再署名する必要のあるアプレットを指定するコード署名ポリシーを生成し
ます。このポリシーでは、アプレットの発生元のホストネームを指定する必要が
あります。手順については、513 ページの「Java Code Signing リソース ポリシー
の作成」を参照してください。
„
独自の Java アプレットを IVE にアップロードし、IVE を設定して、署名または再
署名します(156 ページの「タスク サマリー:Java アプレットのアップロード
と有効化」を参照)。
証明書の概要
„
77
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
委任管理の概要
IVE アクセス管理システムでは、管理者ロールを使用して、IVE のさまざまな管理タスク
を複数の管理者に委任できます。管理者ロール は、IVE の管理機能とロールに割り当てら
れた管理者のセッション プロパティを指定する、定義済みのエンティティです。管理者
ロールをカスタマイズするには、その管理者ロールのメンバーが表示および管理可能な
IVE 機能のセット、ユーザー ロール、認証領域、およびリソース ポリシーを選択します。
委任された管理者は、ユーザー ロール、領域、およびリソース ポリシーのみを管理でき、
管理者コンポーネントは管理できないことに注意してください。
たとえば、“Help Desk Administrators” という管理者ロールを作成し、Web アプリケー
ションや IVE ページにアクセスできないユーザのヘルプ係として第 1 層サポート コール
を受け持つユーザをこのロールに割り当てるとします。トラブルシューティングを行うた
め、“Help Desk Administrators” ロールを以下のように設定します。
„
ヘルプ デスク管理者に System > Log/Monitoring ページの書き込み権限を許可して、
IVE ログの表示およびフィルタリングや、個々のユーザー セッション履歴での重要イベ
ントのトラッキングができるようにします。同様に、Maintenance > Troubleshooting
ページの書き込み権限を許可し、個々のユーザー システムの問題をトレースできるよう
にします。
„
ヘルプ デスク管理者に User > Roles ページの読み取り権限を許可して、個々のユー
ザー ロールで利用可能なブックマーク、共有ファイル、アプリケーションを確認で
きるようにします。同様に、Resource Policy ページの読み取り権限を許可し、個々
のユーザー アクセスが拒否されるブックマーク、共有ファイル、およびアプリケー
ションを表示できるようにします。
„
ヘルプ デスク管理者にその他の System ページおよび Maintenance ページへのアク
セスを禁止します。これらは主に、ライセンスやサービス パッケージのインストー
ルなどのシステム全体の設定に使用するもので、個々のユーザーのトラブルシュー
ティングを行うためのものではありません。
タスク サマリー: 管理者ロールの作成
さまざまな委任管理者ロールを作成し、Web コンソールへのアクセスをカスタマイズす
るには、Administrators > Delegation ページの設定を使用します。
メモ : 作成した委任管理者ロール以外に、IVE には管理者の次の 2 つの基本的タイプが
含まれます。スーパー管理者 (.Administrators ロール ) は、Web コンソールからすべて
の管理タスクを実行でき、読み取り専用管理者 (.Read-only Administrators ロール ) は、
Web コンソールから IVE のすべての設定を見ることができますが、変更はできません。
スーパー管理者と読み取り専用管理者は、IVE platform 上に構築されたすべての製品で
使用できます。
78
„ 委任管理の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
エンドポイント防御の概要
Juniper Networks は、SSL VPN エンドポイントの信頼性を評価する包括的なソリューショ
ンを提供するために、Juniper Endpoint Defense Initiative (J.E.D.I.) を開発しました。
J.E.D.I. は、エンドポイントが企業ネットワークにもたらすあらゆる分野のリスクに対処
するために、階層化されたアプローチを取っています。J.E.D.I. コンポーネントを使用する
と、ネットワーク内外のユーザーが IVE アプライアンスにアクセスするときに、システム
の安全性を確保できます。J.E.D.I. コンポーネントには次のものが含まれています。
„
Host Checker - Host Checker ( ネイティブ ホスト チェックとポリシー ベースの実施
ともいいます ) は、ネイティブの IVE コンポーネントであり、これによって IVE に接
続したホストで、エンドポイント チェックを実行できます。Windows、Machintosh、
または Linux を実行するホストに対して、Host Checker を使用すると、ユーザーが
IVE 領域、ロール、またはリソース ポリシーにアクセスを許可される前に、指定した
プロセス、ファイル、ポートが仕様を満たしているかどうかをチェックできます。
Windows を実行するホストでは、Host Checker はレジストリ エントリをチェックし、
統合したサードパーティ製エンドポイント セキュリティ製品との連携も行えます。た
とえば、Host Checker のサードパーティ製品チェック機能を使用すると、ユーザーが
アンチウィルス ソフトウェアをシステム上で実行している場合は、ユーザーが特定
の IVE ロールにのみアクセスできるように指定できます。ユーザーのコンピュータが
Host Checker の要件を満たさない場合は、コンピュータが要件を満たすために必要な
指示やリソースへのリンクが含まれた改善ページをユーザーに表示できます。詳細に
ついては、80 ページの「Host Checker の概要」を参照してください。
„
Host Check Client Interface (Windows のみ ) - ホスト チェック クライアント イン
ターフェースは、Host Checker を使用して独自の DLL を実行するための API です。こ
のインターフェースを介して、Host Checker に対し、ユーザーのシステムにインス
トール済みの DLL や、企業イメージ、アンチウィルス ソフトウェア、およびパーソ
ナル ファイアウォール クライアントとの適合をチェックするプログラムなど、企業
OS イメージの一部として配布済みの DLL を実行するように要求することができま
す。ユーザーが IVE にサインインすると、Host Checker は指定の DLL を実行し、その
DLL が返した成功または失敗の結果に基づき、その後の処理を実行します。たとえ
ば、クライアント チェック ソフトウェアが失敗した場合は、IVE へのユーザー アク
セスを拒否できます。詳細は、Juniper Support サイトから入手できる J.E.D.I. Solution
Guide を参照してください。
„
Host Check Server Integration Interface (Windows のみ) - ホスト チェック サーバー
統合 インターフェースは、J.E.D.I. 準拠システムと IVE を緊密に統合できる API です。
ホスト チェック クライアント インターフェースと同様に、ホスト チェック サー
バー統合インターフェースを使用すると、管理者は、ホストの完全性スキャン、障害
検出ソフトウェア、および仮想環境など、クライアント上のサードパーティ ソフト
ウェアを実行するように Host Checker に命令できます。このインターフェースでは、
サードパーティ アプリケーションが実行したさまざまなポリシー チェックの結果に
基づき、Host Checker で実行する作業を詳細に指定できます。これらのポリシー
チェックを実行し、ソフトウェア パッケージに含まれる個々のポリシーの結果に応
じて、ユーザーを領域、ロール、およびリソースに動的にマップすることができま
す。詳細は、Juniper Support サイトから入手できる J.E.D.I. Solution Guide を参照して
ください。
エンドポイント防御の概要
„
79
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Cache Cleaner (Windows のみ ) - Cache Cleaner はネイティブの IVE コンポーネント
であり、これを使用すると、IVE セッション後にユーザーの OS からクッキー、一時
ファイル、アプリケーション キャッシュなどの残留データを削除できます。Cache
Cleaner は、前のユーザーが表示していたファイルの一時コピーを次のユーザーが見
られないようにしたり、ユーザーが Web フォームに入力するユーザー名、パスワー
ド、および Web アドレスを Web ブラウザが永久的に保存するのを防ぐなどしてユー
ザーのシステムを守ります。詳細については、90 ページの「Cache Cleaner の概要」
を参照してください。
これらのエンドポイント防御コンポーネントを使用すると、階層化された保護アプローチ
によって、IVE 内から、さまざまなエンドポイント チェックの管理と供給が行えます。た
とえば、IVE 領域へのユーザー アクセスを認める前に、ウィルス検出チェックを選択し、
必要に応じて、ユーザー システム上のソフトウェアを起動して、独自の DLL に定義され
た個別ポリシーに基づいてユーザーをロールにマップし、次にスパイウェア検出ソフト
ウェアの有無に基づき個々のリソースへのアクセスを制限することができます。
また、Cache Cleaner を使用すれば、ユーザーが IVE セッションを終了すると同時に残留
ファイルを削除し、ユーザーのアプリケーション キャッシュを消去することができます。
Host Checker の概要
Host Checker は、IVE に接続したホストでエンドポイント チェックを実行するクライアン
トサイドのエージェントです。サインイン ページをユーザーに表示する前や、ロール
マッピング規則またはリソース ポリシーを評価する際に、Host Checker を起動できます。
IVE は、次を使用して、エンドポイント アプリケーションを探してホストをチェックしま
す。
„
The Host Checker implementation of a supported endpoint security application
(Windows のみ ) - Host Checker クライアントサイド エージェントは、Host Checker
の指定したサードパーティ製エンドポイント セキュリティ製品の統合機能を呼び出
し、戻り値を調べて、その製品が設定したポリシーに従って実行されているかどうか
を判断します (81 ページの「Host Checker ポリシーの定義」を参照してください )。
„
Host Checker integration using a custom DLL (Windows のみ ) - ホスト チェック ク
ライアント インターフェースにより、カスタマイズしたクライアントサイドの
チェックを実行する DLL を統合することができます。この DLL は、各クライアント
マシンにインストールする必要があります。
„
Attribute checking - Windows、Macintosh、または Linux 上で、Host Checker は、
プロセスやファイルなど、指定したアプリケーションのフィンガープリント探しま
す。Windows では、Host Checker はレジストリ エントリもチェックします。
ユーザーのコンピュータが Host Checker のポリシー要件を満たさない場合は、ユーザー
に改善ページを表示できます。このカスタムメイドの HTML ページには、ユーザーのコン
ピュータが各 Host Checker ポリシーを満たすために必要な特定の指示やリソースへのリ
ンクを含めることができます。
詳細については、次を参照してください。
80
„ エンドポイント防御の概要
„
81 ページの「Host Checker ポリシーの定義」
„
85 ページの「Host Checker ポリシーの実装」
„
82 ページの「Host Checker 改善ページの使用」
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
86 ページの「ポリシー サーバーを Host Checker クライアントに使用可能にする」
„
87 ページの「Host Checker のインストール」
„
88 ページの「Host Checker ポリシーの実行」
„
89 ページの「タスク サマリー:Host Checker の設定」
Host Checker ポリシーの定義
エンドポイントの管理のために、Host Checker をポリシー適用ツールとして使用するに
は、グローバルなシステム レベルでグローバル Host Checker ポリシーを作成し、領域、
ロール、およびリソース ポリシー レベルでポリシーを実装する必要があります。
Web コンソールを使用して Host Checker ポリシーを作成する場合は、ホスト チェック メ
ソッドや規則を指定できます。ホスト チェック メソッドは、サードパーティ製エンドポ
イント セキュリティ製品の Host Checker への実装です。メソッドは、管理者が設定した
ポリシーに従ってアプリケーションが動いていることを確認します。Windows クライア
ントでは、Host Checker は以下を実装するためのメソッドを提供しています。
„
Sygate Enforcement API
„
Sygate Security Agent
„
Zone Labs: ZoneAlarm Pro および Zone Labs Integrity
„
McAfee Desktop Firewall 8.0
„
InfoExpress CyberGatekeeper Agent
ホスト チェック規則とは、Host Checker が IVE に成功の結果を返すために、クライアン
トが満たさなければならない要件です。5 種類の規則を指定できます。
„
3rd Party NHC check (Windows のみ ) - この規則を使用して、ホスト チェック クラ
イアント インターフェースに書き込むカスタム DLL の場所を指定します。Host
Checker は DLL を呼び出して、カスタマイズされたクライアントサイドのチェックを
実行します。DLL が Host Checker に成功の結果を返した場合、IVE は規則が満たされ
たとみなします。ホスト チェック クライアント インターフェースを使用してカスタ
ム DLL を作成する方法については、J.E.D.I. Solution Guide を参照してください。
„
Port check - ポート チェックは、セッション中にクライアントが確立できるネット
ワーク接続を制御します。この規則は、ユーザーが IVE にアクセスできるように、ク
ライアント マシンに特定のポートを開くまたは閉じることを要求するために使用し
ます。
„
Process check - プロセス チェックは、セッション中にクライアントが実行できるソ
フトウェアを制御します。この規則は、ユーザーが IVE にアクセスできるように、ク
ライアント マシンに特定のプロセスを実行するまたは実行しないことを要求するた
めに使用します。
„
File check - この規則は、ユーザーが IVE にアクセスできるように、クライアント
マシンに特定のファイルを所有するまたは所有しないことを要求するために使用し
ます。またファイル チェックを使用して、必要なファイルの使用期間と内容を
(MD5 チェックサムから ) 評価し、これに応じてアクセスの許可または拒否を決定
できます。
エンドポイント防御の概要
„
81
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Registry settings check (Windows のみ ) - レジストリ設定チェックは、IVE へのアク
セスにクライアントが必要とする企業 PC イメージ、システム設定、およびソフト
ウェア設定を制御します。この規則は、ユーザーが IVE にアクセスできるように、ク
ライアント マシンに特定のレジストリ設定を行うことを要求するために使用します。
またレジストリ チェックを使用して、必要なファイルの使用期間を評価し、これに
応じてアクスの許可または拒否を決定できます。
Host Checker ポリシー内に、任意の数のメソッドや規則を組み合わせることができます。
属性の代替セットをチェックするポリシーを作成できます。たとえば、次の式に AND と
OR 演算子を使用すると、クライアントでパーソナル ファイアウォールが実行しているか
どうかを確認し、2 つのアンチウィルス製品のいずれかが実行しているかどうかを確認
します。
ZoneLabsFirewall AND (McAfeeAntivirus OR NortonAntivirus)
Windows、Macintosh、および Linux で、異なる Host Checker 要件を適用する 1 つのポ
リシーを作成できます。たとえば、各オペレーティング システムで異なるファイルやプロ
セスをチェックする 1 つのポリシーを作成できます。
Host Checker の設定により、同じ物理ネットワーク上にある感染したコンピュータから
Windows クライアント コンピュータへの攻撃を防ぐ接続コントロール ポリシーを作成で
きます。接続コントロール ポリシーはすべての着信 TCP 接続と、すべての着信および送
信 UDP パケットをブロックします。このポリシーは、すべての送信 TCP と Network
Connect トラフィック、および DNS サーバー、WINS サーバー、DHCP サーバー、プロキ
シ サーバー、IVE へのすべての接続を許可します。
グローバル Host Checker ポリシーを作成するには、Web コンソールの Signing In > End
Point > Host Checker の設定を使用します。設定手順については、359 ページの「グロー
バルなクライアントサイド Host Checker ポリシーの作成」を参照してください。
Host Checker の動的ポリシー評価を有効にすると、個別ユーザーのロールを自動的に更新
することができます。Host Checker は、ユーザーの Host Checker ステータスが変更される
場合にいつでもリソース ポリシーを評価するように IVE にトリガーします。(Host
Checker の動的ポリシー評価を有効にしない場合は、IVE は、リソース ポリシーを評価し
ませんが、ユーザーの Host Checker の状態が変更されると、認証ポリシー、ロール マッ
ピング規則、ロール制限を評価します。)詳細については、43 ページの「ダイナミック ポ
リシー評価」を参照してください。
Window クライアントの場合には、ホスト チェック サーバー統合インターフェースを使
用して、Host Checker ポリシーも定義できます。これらのポリシーは、IVE にサードパー
ティの統合パッケージをアップロードしたときに、IVE によって認識されます。詳細は、
Juniper Support サイトから入手できる J.E.D.I. Solution Guide を参照してください。
Host Checker 改善ページの使用
Host Checker ポリシーを定義するときに、ユーザーのコンピュータがポリシーの要件を満
たさない場合に Host Checker に行わせる改善アクションも定義できます。たとえば、改善
ページをユーザーに表示するよう IVE を定義できます。このページには、ユーザーのコン
ピュータが Host Checker ポリシーの要件を満たすために必要な特定の指示やリソースへ
のリンクを含めることができます。
たとえば、次のような指示やリンクを持った改善ページをユーザーに表示できます。
あなたのコンピュータのセキュリティは不十分です。
あなたのコンピュータは次のセキュリティ要件を満たしていません。問題を解決するため
に、以下の指示に従ってください。完了したら、Try Again をクリックします。これらの
問題を解決せずに Continue をクリックした場合は、すべてのイントラネット サーバーに
アクセスできません。
82
„ エンドポイント防御の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
1. TrendMicro
指示: 最新の署名ファイルがありません。ここをクリックして、最新の署名ファイル
をダウンロードしてください。
2. ManagedPC
指示: 仮想デスクトップから再びサインしてください。
各 Host Checker ポリシーには、次の 2 種類の改善アクションを設定できます。
„
User-driven - カスタム指示を使用して、ユーザーに失敗したポリシーとコンピュー
タをポリシーに準拠させる方法についてユーザーに知らせることができます。ユー
ザーは失敗したポリシーが正常に再評価されるように処置を行う必要があります。
„
Automatic (system-driven) - Host Checker が自動的にユーザーのコンピュータを改
善するように設定できます。たとえば、プロセスの削除、ファイルの削除、別のポリ
シーの起動などを行えます。Windows では、Remediate () API 関数を J.E.D.I. DLL の
一部として呼び出すことができます。Host Checker は自動アクションを実行するとき
に、ユーザーに通知しません。(ただし、カスタム指示に自動アクションについての
情報を含めることができます。)
各ポリシーでは、次の改善アクションの一部またはすべてを有効にして、Windows、
Macintosh、Linux クライアント コンピュータで実施できます。
„
Enable Custom Instructions (user-driven) - ユーザーに対して Host Checker 改善
ページに指示を表示したり、ポリシー サーバーまたは Web サイトなどのリソースへ
のリンクを含めることができます。
„
Evaluate other policies (automatic) - Host Checker に現在のポリシー要件を満たし
ているかどうかを評価させる 1 つまたは複数の代替ポリシーを指定できます。た
とえば、ユーザーがキオスクなどの外部のクライアント コンピュータから IVE に
アクセスしようとする場合は、このオプションを有効にして、ユーザーに Sygate
Virtual Desktop 環境の IVE にアクセスを要求する代替のポリシーを評価させること
ができます。
„
Kill Process (automatic) - クライアント コンピュータが現在のポリシー要件を満た
さない場合は、プロセスを削除できます。
„
Delete Files (automatic) - クライアント コンピュータが現在のポリシー要件を満た
さない場合は、ファイルを削除できます。
これらの改善アクションは、クライアントサイドおよびサーバーサイドの両方のポリシー
で有効にできます。設定手順については、359 ページの「グローバルなクライアントサイ
ド Host Checker ポリシーの作成」または 365 ページの「グローバルなサーバーサイド ポ
リシーの作成」を参照してください。
エンドポイント防御の概要
„
83
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Host Checker の改善表示
改善ページは、次の状態でユーザーに表示されます。
„
ユーザーがサインインする前:
„
失敗したポリシーのカスタム指示を有効にすると、IVE は改善ページをユーザー
に表示します。このユーザーには 2 つの選択肢があります。
‰
適切なアクションを行って、コンピュータがポリシーを満たすようし、Try
Again ボタンをクリックします。Host Checker は、ユーザーのコンピュータ
がポリシーを満たしているかどうかを再びチェックします。
‰
コンピュータをそのまま状態にして、Continue ボタンをクリックして IVE
にサインインします。ユーザーは、失敗したポリシーを満たす必要がある領
域、ロール、リソースにアクセスできません。
メモ : Host Checker ポリシーを実施しないでアクセスできる少なくとも 1 つの領域を
IVE で設定していない場合は、ユーザーは、IVE にサインインする前に、コンピュータ
をポリシーに準拠させる必要があります。
„
„
失敗したポリシーのカスタム指示を有効にしないと、Host Checker は改善ページ
をユーザーに表示しません。その代わりに、IVE はサインイン ページを表示しま
すが、ユーザーは失敗した Host Checker ポリシーを持つ領域、ロール、リソー
スのいずれにもアクセスできません。
ユーザーがサインインした後:
„
(Windows のみ ) セッション中に、ユーザーの Windows コンピュータが Host
Checker ポリシーの要件に準拠しなくなった場合、要件を満たしていないユー
ザーのシステム トレイにアイコンが現れ、ポップアップ メッセージが表示され
ます。ユーザーはこのポップアップ メッセージをクリックすると、改善ページを
表示することができます。
„
(Macintosh または Linux) セッション中に、ユーザーの Macintosh または Linux
コンピュータが Host Checker ポリシーの要件に準拠しなくなった場合、IVE は要
件を満たしていないユーザーに改善ページを表示して知らせます。
メモ : ユーザーが改善ページを非表示に設定しており、管理者が Host Checker ポリシー
を実施しない他の領域やロールを設定している場合は、ユーザーはセキュア ゲートウェ
イのみを引き続き使用できます。
84
„ エンドポイント防御の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Host Checker ポリシーの実装
Web コンソールの Signing In > End Point > Host Checker ページからグローバル ポリ
シーを作成したら、以下で Host Checker を要求して、IVE とリソース アクセスを制限す
ることができます。
„
領域認証ポリシー - 管理者またはユーザーが IVE にサインインを試みると、IVE は
指定の領域の認証ポリシーを評価して、認証の前提条件に Host Checker が含まれて
いるかどうかを確認します。領域の認証ポリシーでは、Host Checker をダウンロード
する、Host Checker をダウンロードして領域に指定されている Host Checker ポリ
シーを適用する、または Host Checker を要求しない、という設定ができます。ユー
ザーは、領域に指定されている Host Checker 要件を満たしているコンピュータを使
用してサインインする必要があります。ユーザーのコンピュータが要件を満たしてい
ない場合は、ユーザーがコンピュータを要件に準拠させるために使用する改善アク
ションが設定されていないと、IVE はユーザーのアクセスを拒否します。
Administrators/Users > Authentication > 領域を選択 > Authentication Policy >
Host Checker ページから、領域レベルの制限を設定できます。
„
ロール - IVE は、管理者またはユーザーを割り当てる適格なロールのリストを調べ
るときに、各ロールの制限を評価して、ユーザーのコンピュータが特定の Host
Checker ポリシーを満たすことを要求するロールかどうかを調べます。これにより、
ユーザーのコンピュータが指定した Host Checker ポリシーを満たしていない場合は、
ユーザーがコンピュータを要件に準拠させるために使用する改善アクションが設定さ
れていないと、IVE はユーザーをロールに割り当てません。Users >
Authentication > > Role Mapping ページの設定を使用して、ロール マッピング規
則を設定できます。ロール レベルの制限の設定は、Web コンソールの
Administrators > Delegation > ロールを選択 > General > Restrictions > Host
Checker ページ、または Users > Role > ロールを選択 > General > Restrictions >
Host Checker ページから行えます。
„
リソース ポリシー - ユーザーがリソースを要求すると、IVE はリソース ポリシーの
詳細規則を評価して、ユーザーのコンピュータが特定の Host Checker ポリシーを満
たすことを要求するリソースかどうかを判定します。ユーザーのコンピュータが指定
した Host Checker ポリシーを満たしていない場合は、ユーザーがコンピュータを要
件に準拠させるために使用する改善アクションが設定されていないと、IVE はリソー
スへのアクセスを拒否します。Host Checker 制限をリソース ポリシー レベルで実施
するには、Resource Policies > リソースを選択 > ポリシーを選択 > Detailed Rules
ページの設定を使用します。
ユーザーが、Host Checker ポリシーを参照する領域、ロール、リソースに初めてアクセス
するときに限り、IVE が Host Checker ポリシーを評価するよう指定できます。または、
IVE が定期的にユーザー セッション全体のポリシーを再評価するよう指定できます。定期
的に Host Checker ポリシーを評価する場合、IVE は最新の評価に基づいて動的にユーザー
をロールにマップし、新しいリソースへのユーザー アクセスを許可します。詳細について
は、88 ページの「Host Checker ポリシーの実行」を参照してください。
エンドポイント防御の概要
„
85
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ポリシー サーバーを Host Checker クライアントに使用可能にする
ポリシー サーバーにアクセスして、要件への準拠をチェックするために、ポリシーが
Host Checker メソッドまたはサードパーティ J.E.D.I. DLL を要求する場合は、次のいずれ
かのメソッドを使用すると、リソースを Host Checker Windows クライアントで使用可能
にできます。
„
Host Checker メソッドまたはサードパーティ製の J.E.D.I. DLL が IVE を経由せずに
サーバーに直接アクセスできる DMZ にポリシー サーバーを配備する - これは、
Host Checker の認証前アクセス トンネルをクライアントとポリシー サーバー間の
IVE から定義する必要がないため、最も簡単な配備です。
„
IVE の背後の保護されたゾーンにポリシー サーバーを配備する (Windows のみ ) - こ
の配備では、認証前アクセス トンネルを定義する必要があります。認証前アクセ
ス トンネルは、IVE がユーザーを認証する前に、Host Checker メソッドまたはサード
パーティ製の J.E.D.I. DLL を IVE 保護のポリシー サーバーまたはリソースにアクセス
できるようにします。認証前アクセス トンネルを定義するには、ループバック アド
レス ( またはホスト名 ) とクライアントのポートを IP アドレスとポリシー サーバー
のポートに関連付けます。1 つまたは複数のトンネル定義を、 MANIFEST.HCIF ファ
イルに追加し、このファイルを IVE にアップロードします。複数の MANIFEST.HCIF
ファイルを IVE にアップロードできます。領域で有効化されたすべてのサードパー
ティ ポリシーに、Host Checker は、すべての MANIFEST.HCIF ファイルにあるすべて
のトンネル定義のトンネルを作成します。設定手順については、369 ページの「Host
Checker ポリシー パッケージの IVE へのアップロード」を参照してください。
Windows クライアントで実行する間、Host Checker は、トンネル定義で指定する各
ループバック アドレスとポートの接続をリスンします接続は統合した Host Checker
メソッドおよびクライアントサイドまたはサーバーサイド J.E.D.I. DLL から始めるこ
とができます。Host Checker は認証前アクセス トンネルを使用して、IVE を介してポ
リシー サーバーまたは他のリソースに転送します。
図 24: Host Checker は、クライアントから IVE の背後のポリシー サーバーにトンネルを
作成する
86
„ エンドポイント防御の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
メモ : Host Checker 認証前アクセス トンネルがサポートされているのは Windows だけ
です。
Host Checker のインストール
Host Checker を必要とする領域、ロール、またはリソース ポリシー レベルでポリシーを
実装する場合は、IVE またはユーザーがクライアント マシンに Host Checker をインス
トールできるように、インストール メカニズムを提供する必要があります。インストール
できない場合、IVE が Host Checker ポリシーを評価しても、Host Checker クライアントを
使用して成功の結果を返すことができないので、ユーザ マシンでエラーが発生します。
ユーザー システムに Host Checker をインストールするには、以下の 2 つの方法があり
ます。
„
IVE が Host Checker を自動的にインストールする - Web コンソールの
User/Administrator > Authentication > [ 領域 ] > Authentication Policy > Host
Checker ページで、自動インストールを有効にします。(設定手順については、
677 ページの「Host Checker の制限の指定」を参照してください。)有効にした場
合、ユーザーが IVE サインイン ページにアクセスすると、IVE は領域レベルのオ
プションを評価し、現バージョンの Host Checker がユーザーのマシンにインス
トールされているかどうかを確認します。Host Checker がインストールされてい
なければ、IVE は ActiveX または Java の配信メソッドのいずれかを使用してイン
ストールしようとします。
Windows ユーザーが IVE にサインインすると、IVE はユーザーのシステムに ActiveX
コントロールをインストールしようとします。IVE が ActiveX コントロールを正常に
インストールすると、このコントロールは Host Checker プログラムのインストール
を管理します。
ユーザーに管理者またはパワー ユーザー権限がないため、または ActiveX がユーザー
のシステムでオフにされているために、IVE が ActiveX コントロールをインストール
できない場合は、IVE は、Java を使用して Host Checker をインストールしようとしま
す。Macintosh および Linux ホストの場合は、IVE は常に Java 配布メソッドを使用し
ます。Java 配布メソッドではユーザー権限のみが必要となりますが、Java ではユー
ザーのシステムが有効化されなければなりません。Linux 上の Firefox ブラウザの場合
は、Java ランタイムおよびプラグインをインストールする必要があります。
IVE が Java 配布メソッドを使用できない場合は、Java がユーザーのシステムで無効に
なっているためであり、IVE はアクセス エラー メッセージを表示しません。
„
ユーザーまたは管理者は手動で Host Checker をインストールする
(Windows のみ ) - Web コンソールの Maintenance > System > Installers ページか
ら Host Checker インストーラをダウンロードし、これを使用して、ユーザーのシス
テムに手動で Host Checker をインストールします。(設定手順については、572 ペー
ジの「Installers タブ」を参照してください。
)
メモ : Host Checker をインストールするには、ユーザーは、653 ページの「クライアン
ト サイドのアプリケーション インストール」での説明のように、適切な権限を持ってい
る必要があります。これらの権限がユーザーにない場合、Web コンソールの
Maintenance > System > Installers ページで Juniper Installer サービスを使用して、こ
の要求を回避します。
エンドポイント防御の概要
„
87
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Host Checker ポリシーの実行
ユーザーが IVE にアクセスをしようとすると、Host Checker は以下の順序でポリシーを評
価します。
1.
初期評価 - ユーザーが IVE サインイン ページに初めてアクセスすると、Host
Checker は最初の評価を実行します。ポリシーに指定する方法と規則を使用すると、
Host Checker はクライアントがエンドポイントの要件を満たして IVE に結果を返すか
を確認します。Host Checker は、Host Checker ポリシーを領域、ロール、またはリ
ソース ポリシーのレベルに実装したかどうかにかかわらず、初期評価を行います。
ユーザーが、Host Checker の実行後、IVE にサインインする前に、IVE のサインイン
ページから離れてナビゲートすると、Host Checker がタイムアウトするまで、Host
Checker はユーザーのマシンで実行を続けます。
IVE が何らかの理由で(ユーザーが手動で Host Checker を終了した場合も含む)Host
Checker から結果を受信しない場合、IVE はエラーを表示してユーザーをサインイン
ページに戻します。
あるいは、Host Checker が結果を返す場合、IVE は領域レベル ポリシーの評価を続行
します。
2.
領域レベル ポリシー - IVE は、Host Checker の初期評価で返された結果によって、
ユーザーがアクセスできる領域を判断します。次に IVE は、ユーザーに対して特定の
領域を表示または非表示にして、サインイン ページが関連付けられ、Host Checker
の要件を満たす領域だけに、ユーザーがサインインできるようにします。利用可能な
領域が要求する Host Checker の条件をユーザーが満たせなかった場合は、IVE はサイ
ンイン ページを表示しません。代わりに、ユーザーのコンピュータが要件を満たすの
に役立つ改善アクションが設定されていない場合は、ユーザーはアクセスできない旨
のエラーを表示します。
ユーザーが初めて IVE にサインインするときは、Host Checker は、領域レベルの
チェックのみを実行することに注意してください。セッション中にユーザーのシステ
ムの状態が変わった場合、IVE は現在の領域からこのユーザーを削除しないか、新し
いシステムの状態に基づいて新しい領域へのアクセスを許可します。
3.
ロール レベル ポリシー - ユーザーが領域にサインインすると、IVE はロール レベ
ル ポリシーを評価して、ユーザーがそのロールの Host Checker 要件を満たしている
場合は、ユーザーをロールに割り当てます。次に、IVE によって IVE ホームページが
表示され、マップされたロールが許可するオプションが有効になります。
定期的な評価で、Host Checker が異なるステータスを返した場合、IVE は新しい結果
に基づいて動的にユーザーをロールに再マップします。定期的な評価の際に、ユー
ザーが利用できるすべてのロールの権限を失った場合、ユーザーのコンピュータが要
件を満たすのに役立つ改善アクションが設定されていないと、IVE はユーザーのセッ
ションを切断します。
4.
88
„ エンドポイント防御の概要
リソース レベル ポリシー - IVE がホームページへのアクセスをユーザーに許可した
場合、ユーザーはリソース ポリシーで管理されたリソースにアクセスを試みること
ができます。ユーザーがアクセスを試みると、IVE は Host Checker が最後に返したス
テータスに基づいて、リソース ポリシーに指定されたアクションを実行すべきかど
うかを判断します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
定期的な評価で、Host Checker が異なるステータスを返した場合、新しいステータス
の影響を受けるのは、ユーザーがアクセスを試みる新しいリソースに限られます。た
とえば、ユーザーが Network Connect セッションの開始に成功し、次のリソースレベ
ルのホスト チェックで失敗した場合でも、開かれた Network Connect セッションに
は引き続きアクセスできます。IVE がこのユーザーのアクセスを拒否するのは、新し
い Network Connect セッションを開こうとしたときだけです。ユーザーが新しい Web
リソースにアクセスを試行したり、新しいセキュア アプリケーション マネージャ、
Network Connect、またはセキュア ターミナル アクセス セッションを開こうとした
場合、IVE は常に Host Checker が最後に返したステータスをチェックします。
成功または失敗のいずれの場合でも、Host Checker はクライアントに残ります。Windows
ユーザーは、Host Checker がインストールされたディレクトリにある uninstall.exe を実
行して、エージェントを手動でアンインストールできます。System > Log/Monitoring >
Client-side Log ページからクライアントサイドのロギングを有効にした場合は、このディ
レクトリにもログ ファイルが含まれ、Host Checker が実行する度に IVE により書き直さ
れます。
Host Checker の動的ポリシー評価を有効にした場合 (43 ページの「ダイナミック ポリ
シー評価」を参照 )、IVE は、ユーザーの Host Checker のステータスが変わるごとに、領
域レベルで実装されたリソース ポリシーを評価します。Host Checker の動的ポリシー評価
を有効にしない場合は、IVE は、リソース ポリシーを評価しませんが、ユーザーの Host
Checker の状態が変更されると、認証ポリシー、ロール マッピング規則、ロール制限を評
価します。設定手順については、358 ページの「一般的な Host Checker オプションの指
定」を参照してください。
タスク サマリー: Host Checker の設定
Host Checker を設定するには、次のタスクを実行する必要があります。
1.
Host Checker ポリシーを作成し、改善オプションを設定するには、Web コンソール
の Signing In > End Point > Host Checker ページで行います。手順については、358
ページの「Host Checker タブ」を参照してください。
2.
IVE フレームワーク内のどのレベルでポリシーを実施するかを次のように決定し
ます。
„
ユーザーが初めてIVE にアクセスしたときに Host Checker ポリシーを実施するに
は、Web コンソールの Users|Administrators > Authentication > 領域を選択 >
Authentication Policy > Host Checker ページを使用して、領域レベルにポリ
シーを実装します。
„
Host Checker ポリシーへの適合に基づいてユーザーのアクセスを許可または拒否
するには、Web コンソールの Users|Administrators > Roles|Delegation > ロー
ルを選択 > General > Restrictions > Host Checker ページを使用して、ロール
レベルでポリシーを実装します。
„
Host Checker ポリシーへの適合に基づいてユーザーをロールに割り当てるには、
Web コンソールの Users|Administrators > Authentication > 領域を選択 >
Role Mapping ページで、カスタム エクスプレッションを使用します。
„
Host Checker ポリシーへの適合に基づいてユーザーに個々のリソースへのアクセ
スを許可または拒否するには、Web コンソールの Resource Policies > リソース
を選択 > ポリシーを選択 > Detailed Rules > ルールを選択 | 作成ページの条件
を使用します。
設定手順については、677 ページの「Host Checker の制限」を参照してください。
エンドポイント防御の概要
„
89
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
Windows クライアントの場合は、クライアントとポリシー サーバーまたはリソース
の間に認証前アクセス トンネルを使用する必要があるかどうかを決定します。手順に
ついては、367 ページの「Host Checker 認証前アクセス トンネル定義の指定」を参
照してください。
4.
ユーザーが Host Checker にアクセスできる方法を指定します。Host Checker はクライ
アントサイド エージェントを使用して定義するポリシーを実施します。
5.
„
すべてのプラットフォームで Host Checker クライアントの自動インストールを
有効にするには、Web コンソールの Users|Administrators > Authentication >
領域を選択 > Host Checker ページを使用します。設定手順については、677
ページの「Host Checker の制限の指定」を参照してください。
„
Host Checker インストーラをダウンロードして、ユーザーの Windows システム
に手動でインストールするには、Web コントロールの Maintenance >
System > Installers ページを使用します。設定手順については、572 ページの
「Installers タブ」を参照してください。
クライアントサイド ログを作成するかどうかを決定します。System >
Log/Monitoring > Client-side Log ページからクライアントサイドのロギングを有効
にすると、IVE アプライアンスはユーザーのシステムにログ ファイルを作成し、Host
Checker が実行する度にこのファイルに書き込みます。設定手順については、344
ページの「Client-side Logs タブ」を参照してください。
Cache Cleaner の概要
Cache Cleaner は、Windows クライアントサイド エージェントであり、IVE セッションの
後にユーザーのマシンに残った一時ファイルやアプリケーション キャッシュなどの残留
データをクリーンアップします。たとえば、ユーザーがインターネット キオスクから IVE
にサインインし、ブラウザ プラグインを使用して Microsoft Word のドキュメントを開い
た場合、Cache Cleaner は、セッション終了時にブラウザのキャッシュ (Windows フォル
ダ ) に保存された Word ファイルの一時的なコピーを削除します。Cache Cleaner がコピー
を削除すると、IVE ユーザーがセッションを終了した後に、別のユーザーがキオスクから
その Word ドキュメントを検索して開くことはできなくなります。
Cache Cleaner はまた、ユーザーが Web フォームで入力するユーザー名、パスワード、
Web アドレスを永続的に Web ブラウザが保存することを妨げます。ブザウザがこの情報
を不適切にキャッシュすることを防ぐことによって、Cache Cleaner は、非公開のユー
ザー情報が信頼されていないシステム上に保存されることを妨げます。
詳細については、次を参照してください。
90
„ エンドポイント防御の概要
„
91 ページの「Cache Cleaner の定義」
„
91 ページの「Cache Cleaner の実装」
„
92 ページの「Cache Cleaner のインストール」
„
93 ページの「Cache Cleaner の実行」
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Cache Cleaner の定義
Cache Cleaner を有効にすると、IVE の Content Intermediation Engine からダウンロードし
たすべてのコンテンツをユーザーのシステムから消去します。Web コンソールの Signing
In > End Point > Cache Cleaner ページの設定を使用すると、以下のコンテンツを消去で
きます。
„
指定したホストとドメイン - W-SAM または J-SAM が有効であれば、追加のホスト
およびドメインを消去するために Cache Cleaner を設定するとします。ユーザーが
W-SAM または J-SAM を使用して IVE の外でインターネットをブラウズする場合、
インターネットのファイルがインターネット一時ファイル フォルダに表示されま
す。Cache Cleaner を使用してこのファイルを消去するには、適切なホスト名 ( たと
えば、www.yahoo.com など ) を指定する必要があります。
„
Specified files and folders - ユーザーにローカル システムにおいてクライアント
サーバー アプリケーションへのアクセスを有効にすれば、アプリケーションがユー
ザー システムで作成する一時ファイルおよびフォルダーを消去するために、Cache
Cleaner を設定することができます。
メモ : ディレクトリからファイルを削除するために Cache Cleaner を設定すれば、Cache
Cleaner は、ユーザーが IVE セッションの前にディレクトリにあったディレクトリと
ファイルに保存したファイルを含む、すべてのファイルを消去します。
Cache Cleaner の実装
Web コンソールの Signing In > End Point > Cache Cleaner ページの設定を使用して、消
去するホスト、ドメイン、ファイル、フォルダを指定すると、Cache Cleaner を次の場所
で要求して IVE とリソース アクセスを制限することができます。
„
領域認証ポリシー - ユーザーが IVE にサインインしようとすると、IVE は指定の領
域の認証ポリシーを評価して、認証の前提条件に Cache Cleaner が含まれているかど
うかを確認します。領域の認証ポリシーでは、Cache Cleaner をダウンロードする、
Cache Cleaner をダウンロードして開始する、または Cache Cleaner を要求しない、
という設定ができます。ユーザーは、領域に指定されている Cache Cleaner 要件を満
たしているコンピュータを使用してサインインする必要があります。ユーザーのコン
ピュータが要件を満たさない場合は、ユーザーは IVE へのアクセスを拒否されます。
Web コンソールの Users > Authentication > [ 領域 ] > Authentication Policy >
Cache Cleaner ページから、領域レベルの制限を設定できます。
„
ロール - IVE は、管理者またはユーザーを割り当てる適格なロールのリストを調
べるときに、各ロールの制限を評価して、そのロールがユーザーのワークステー
ションで Cache Cleaner の実行を要求しているかどうかを調べます。実行を要求し
ており、ユーザー マシンで Cache Cleaner がまだ実行されていない場合、IVE は
ユーザーをそのロールにマップしません。Users > Authentication > 領域を選択 >
Role Mapping > ルールを選択 | 作成 > カスタムエクスプレッション の設定を使用
すると、IVE がユーザーを割り当てるロールを管理できます。Web コンソールの
Users > Role > [ ロール ] > General > Restrictions > Cache Cleaner ページから、
ロール レベルの制限を設定できます。
エンドポイント防御の概要
„
91
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Resource policy - ユーザーがリソースを要求すると、IVE はリソース ポリシーの詳
細規則を評価して、ユーザーのワークステーションで Cache Cleaner をインストール
または実行する必要があるかどうかを調べます。ユーザーのマシンが Cache Cleaner
の要件を満たしていない場合は、IVE はそのリソースへのアクセスを拒否します。リ
ソース ポリシー レベルで Host Checker 制限を実装するには、次の場所に移動しま
す。Resource Policies > リソースを選択 > ポリシーを選択 > Detailed Rules > ルー
ルを選択 | 作成 > フィールドに条件をつける
Cache Cleaner ポリシーの適用対象である領域、ロール、またはリソースにユーザーが初
めてアクセスするときに限り、IVE が Cache Cleaner ポリシーを評価するように指定でき
ます。または、Signing In > End Point > Cache Cleaner タブの設定を使用して、ユー
ザー セッションを通じて、IVE が定期的にポリシーを再評価するように指定できます。定
期的に Cache Cleaner ポリシーを評価する場合は、IVE は、最新の評価に基づいて、動的
にユーザーをロールにマップし、新しいリソースへのユーザー アクセスを許可します。
Cache Cleaner のインストール
Cache Cleaner を必要とする領域、ロール、またはリソース ポリシー レベルでポリシーを
実装する場合は、IVE またはユーザーがクライアント マシンに Cache Cleaner をインス
トールできるように、インストール メカニズムを提供する必要があります。これを行わ
ないと、IVE が Cache Cleaner ポリシーを評価しても、Cache Cleaner クライアントが使用
できないので、ユーザー マシンでエラーが発生します。
Web コンソールの User > Authentication > [ 領域 ] > Authentication Policy > Cache
Cleaner ページから自動インストールを有効にすると、IVE は Cache Cleaner をユーザー
システムにインストールを試みることができます。有効にした場合、ユーザーが IVE サイ
ンイン ページにアクセスすると、IVE は領域レベルのオプションを評価し、現バージョン
の Cache Cleaner がユーザー マシンにインストールされているかどうかを確認します。
Cache Cleaner がインストールされていなければ、IVE は ActiveX または Java 配布メソッ
ドのいずれかを使用してインストールしようとします。
ユーザーが IVE にサインインすると、IVE はユーザーのシステムに ActiveX コントロール
をインストールしようとします。が ActiveX コントロールを正常にインストールすると、
この ActiveX コントロールは Cache Cleaner プログラムのインストールを管理します。
ユーザーに管理者権限またはパワー ユーザー権限がないため、または ActiveX がユーザー
のシステムでオフになっているため、IVE が ActiveX コントロールをインストールできな
い場合は、IVE は Java を使用して Cache Cleaner をインストールしようとします。Java 配
布メソッドではユーザー権限のみが必要となりますが、Java ではユーザーのシステムが
有効化されなければなりません。
Java がユーザーのシステムで無効になっていて、IVE は Java 配布メソッドを使用できない
場合は、IVE は、ユーザー システムが ActiveX または Java アプリケーションのインストー
ルを許可していない旨のエラー メッセージをユーザーに通知します。このため、アクセ
ス セキュリティ機能の一部を実行できません。
メモ : Cache Cleaner をインストールするには、653 ページの「クライアント サイドの
アプリケーション インストール」での説明のように、ユーザーには適切な権限が必要で
す。これらの権限がユーザーにない場合、Web コンソールの Maintenance > System >
Installers ページで Juniper Installer サービスを使用して、この要求を回避します。
92
„ エンドポイント防御の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Cache Cleaner の実行
ユーザーが IVE にアクセスしようとすると、IVE はクライアント システムの Cache
Cleaner のステータスを調べ、以下のプロセスを使用して実行を開始するよう指示し
ます。
1.
初期評価 - ユーザーが IVE サインイン ページに初めてアクセスすると、IVE は
Cache Cleaner がユーザーのマシンで実行しているかどうか調べます。は、Cache
Cleaner ポリシーを領域、ロール、またはリソース ポリシーのレベルに実装したかど
うかにかかわらず、初期評価を行います。
ユーザーが、Cache Cleaner の実行後、IVE にサインインする前に、IVE のサインイン
ページから離れてナビゲートすると、Cache Cleaner がタイムアウトするまで、
Cache Cleaner はユーザーのマシンで実行を続けます。
IVE が何らかの理由(ユーザーがサインインページで認証情報を入力しなかった場合
も含む)で Cache Cleaner のステータスを受信しない場合、IVE はエラーを表示して
ユーザーをサインインページに戻します。
あるいは、Cache Cleaner プロセスがステータスを返す場合、IVE は領域レベル ポリ
シーの実行を継続します。
2.
領域レベル ポリシー - IVE は、初期評価で返された結果によって、ユーザーがアク
セスできる領域を判断します。次に IVE は、ユーザーに対して特定の領域を表示また
は非表示にして、サインイン ページが関連付けられ、Cache Cleaner の要件を満たす
領域だけに、ユーザーがサインインできるようにします。利用可能な領域が要求する
Cache Cleaner の条件をユーザーが満たせなかった場合は、IVE はサインイン ページ
を表示しません。代わりに、コンピュータがエンドポイント ポリシーに準拠していな
いことを通知するエラーが表示されます。
ユーザーが IVE に初めてサインインするときは、IVE は、Cache Cleaner がチェック
する領域レベルのみを実行することに注意してください。セッション中にユーザーの
システムの状態が変わった場合、IVE は現在の領域からこのユーザーを削除しない
か、新しいシステムの状態に基づいて新しい領域へのアクセスを許可します。
3.
ロール レベル ポリシー - ユーザーが領域にサインインすると、IVE はロール レベ
ル ポリシーを評価して、ユーザーがそのロールの Cache Cleaner 要件を満たしている
場合は、ユーザーをロールに割り当てます。次に、IVE によって IVE ホームページが
表示され、マップされたロールが許可するオプションが有効になります。
定期的な評価で、Cache Cleaner が異なるステータスを返した場合、IVE は新しい結
果に基づいて動的にユーザーをロールに再マップします。定期的な評価の際に、エン
ド ユーザが利用可能な全ロールの権限を失った場合、IVE はユーザー セッションの
接続を切断します。
4.
リソース レベル ポリシー - IVE がホームページへのアクセスをユーザーに許可する
と、ユーザーはリソース ポリシーで管理されたリソースにアクセスを試みることが
できます。ユーザーがアクセスを試みると、IVE は Cache Cleaner が返した最後のス
テータスに基づいて、リソース ポリシーに指定されたアクションを実行すべきかど
うかを判断します。
エンドポイント防御の概要
„
93
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
定期的な評価で、Cache Cleaner が異なるステータスを返した場合、新しいステー
タスの影響を受けるのは、ユーザーがアクセスを試みる新しいリソースに限られま
す。たとえば、Network Connect セッションの開始に成功した後は、次のリソース
レベルの Cache Cleaner ステータスで失敗した場合でも、開かれた Network
Connect セッションには引き続きアクセスできます。がこのユーザーのアクセスを
拒否するのは、新しい Network Connect セッションを開こうとしたときだけです。
ユーザーが新しい Web リソースにアクセスを試行したり、新しいセキュア アプリ
ケーション マネージャ、Network Connect、またはセキュア ターミナル アクセス
セッションを開こうとした場合、IVE は常に、Cache Cleaner が返した最後のステー
タスをチェックします。
5.
最終クリーンアップ - Cache Cleaner は、以下の場合に最終クリーンアップを実行
し、レジストリ設定を復元します。
„
ユーザーは明示的にユーザー セッションからサインアウトする - ユーザーが
IVE ホームページで Sign Out をクリックすると、Cache Cleaner は最終クリーン
アップを実行し、システムからそれ自体をアンインストールします。
„
ユーザー セッション タイムアウト - ユーザー セッションがタイムアウトする
と、Cache Cleaner は、クリーンアップを実行し、続いてユーザーが再びサイン
インした場合は、Cache Cleaner は別のクリーンアップを実行します。
Signing In > End Point > Cache Cleaner タブで指定した間隔で定期的にセッ
ションの有効性を確認するため、Cache Cleaner はセッション タイムアウトに気
付きます。
メモ : ユーザー セッションの有効性をチェックする際、Cache Cleaner は IVE に接続し
ます。このアクションによって、個人用ファイアウォールで警告が発せられる可能性が
あります。Cache Cleaner が正しく動作できるようにするため、ユーザーはこのトラ
フィックを許可する必要があります。個人用ファイアウォールを備えたユーザーには、
Cache Cleaner がキャッシュをクリアするたびにログ エントリが表示されることにも注
意してください。
„
異常終了後のクライアント システムの再起動 - システム、セッション、または
ネットワーク接続の問題で Cache Cleaner が異常終了した場合、Cache Cleaner
は、最終クリーンアップを実行し、システムの再起動後、システムから自らをア
ンインストールします。Cache Cleaner は、終了後にログを記録できないことに
注意してください。また、終了後および IVE にサインバックする前にユーザーの
レジストリの設定に行われた変更はすべて失われます。
実行中であるか実行中でないかいずれの場合でも、Cache Cleaner はクライアントに残り
ます。ユーザーは、Cache Cleaner がインストールされたディレクトリにある
uninstall.exe を実行して、エージェントを手動でアンインストールできます。System >
Log/Monitoring > Client-side Log ページからクライアントサイドのロギングを有効にし
た場合は、このディレクトリにもログ ファイルが含まれ、Cache Cleaner が実行する度に
書き直されます。(Cache Cleaner は標準の IVE ログには記録しませんが、クライアントサ
イドの一時的なテキスト ファイルにログ データを記録します。この暗号化されたログは、
Cache Cleaner が自らをインストール解除したときに削除されます。
詳細については、次を参照してください。
94
„ エンドポイント防御の概要
„
管理オプションについては、37 ページの「アクセス管理の概要」を参照。
„
領域、ロール、およびリソースの設定手順については、678 ページの「Cache Cleaner
の制限」を参照してください。
„
Cache Cleaner のインストール、実行ファイル、ログ ファイルのディレクトリについ
ては、653 ページの「クライアント サイドのアプリケーション インストール」を参
照してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
エンドポイント防御の概要
„
95
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
LDAP パスワード管理の概要
IVE パスワード管理機能により、LDAP サーバーを通じて認証するユーザーは、LDAP サー
バー上で定義されたポリシーを使用して IVE からパスワードを管理することができます。
たとえば、ユーザーが有効期限切れ間近の LDAP パスワードを使用して IVE にサインイン
を試みた場合、IVE はパスワード期限切れ情報を取得し、IVE インターフェースを通じて
ユーザーにそれを表示し、ユーザーの応答を LDAP サーバーに戻します。その際、ユー
ザーは個別に LDAP サーバーにサインインする必要はありません。
パスワード管理機能は、パスワードに有効期限のある環境で作業するユーザー、管理者、
ヘルプ デスク管理者に便利です。パスワードの有効期限がもうすぐ切れることを適切に表
示しない場合、ユーザーはヘルプ デスクの助けを借りずに、自分で IVE を通して、変更
することができます。
有効期限が切れることが表示された場合あるいはいつでも、ユーザーはパスワード管理機
能を使って変更ができます。たとえば、サインイン プロセス中、IVE がユーザーにパス
ワードの有効期限が切れている、あるいはもうすぐ切れることを表示します。有効期限が
切れた場合は、IVE はユーザーにパスワード変更のプロンプトを出します。有効期限が切
れていない場合でも、IVE は、ユーザーに既存のパスワードを使用して IVE にサインイン
させることができます。ユーザーはサインインした後、Preferences ページからパスワー
ドを変更することができます。
有効化されたら、IVE は一連の問い合わせに従って実行し、いつユーザーのパスワードが
最後に設定されたか、ユーザーのアカウントの有効期限は切れているかなど、ユーザー
アカウント情報を特定します。IVE は、内部の LDAP または Samba クライアントを使用
してこれを行います。Microsoft Active Directory や Sun iPlanet など多くのサーバーは、ア
カウントやパスワード オプションを設定するための管理コンソールを提供しています。
このセクションは、LDAP パスワード管理機能に関する以下のトピックを含みます。
„
96 ページの「サポートされる LDAP ディレクトリとサーバー」
„
97 ページの「サポートされる LDAP パスワード管理機能」
„
99 ページの「タスク サマリー:LDAP パスワード管理の有効化」
サポートされる LDAP ディレクトリとサーバー
IVE は以下の LDAP ディレクトリでのパスワード管理をサポートしています。
„
Microsoft Active Directory/Windows NT
„
Sun iPlanet
„
Novell eDirectory
„
IBM Secure Directory や OpenLDAP などの一般 LDAP ディレクトリ
さらに、IVE は以下の Windows サーバーでのパスワード管理をサポートします。
96
„ LDAP パスワード管理の概要
„
Microsoft Active Directory
„
Microsoft Active Directory 2003
„
Windows NT 4.0
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
以下のセクションでは、各サーバー タイプに関連した、特定の問題をリストします。
Microsoft Active Directory
„
Active Directory ドメインのセキュリティ ポリシーの変更は、Active Directory ドメイ
ン コントローラに伝達を行うため、5 分あるいはそれ以上かかることがあります。こ
の際、この伝達作業は最初に設定されたドメイン コントローラには伝達されません。
Active Directory で制限されているからです。
„
LDAP を使用して Active Directory でパスワードを変更する際、LDAPS が設定の LDAP
方法ではなくても、IVE は自動的に LDAPS へ切り替わります。Active Directory サー
バー上の LDAPS をサポートするには、有効な SSL 証明書をサーバーのパーソナル証
明書の保存場所にインストールする必要があります。証明書は、トラステッド CA の
署名が必要で、この証明書の Subject フィールドの CN は、Active Directory サーバー
のホスト名と合致している必要があります。例 : adsrv1.company.com 証明書をイン
ストールするには、Microsoft Management Console (MMC) から Certificates Snap-In を
選択してください。
„
User Account Properties タブの Account Expires オプションは、パスワードの有効期
限ではなくアカウントの有効期限が切れるときのみに変更できます。97 ページの
「サポートされる LDAP パスワード管理機能」で説明しているように、Microsoft
Active Directory は User Policy と Domain Security Policy LDAP オブジェクトから取得
した Maximum Password Age と Password Last Set の値を使用してパスワードの有効
期限を計算します。
Sun iPlanet
iPlanet サーバーの User must change password after reset オプションを選択する場合、
機能を有効化する前にユーザーのパスワードをリセットする必要があります。これは
iPlanet によって制限されています。
全般
IVE は、パスワードの有効期限が 14 日以下になると、パスワードの有効期限についての
警告を表示します。各 IVE でサインインを試みるとメッセージが表示されます。警告メッ
セージには期限までの日数、時間、分の情報が表示され、ユーザーは、サーバーの有効期
限が切れる前にパスワードを変更しなければなりません。デフォルト値は 14 日間ですが、
Web コンソールの Administrators/Users > Realm > Authorization > Password 設定ペー
ジから日数を変更することができます。
サポートされる LDAP パスワード管理機能
以下のマトリックスに、Juniper Networks でサポートされるパスワードの管理機能、各
LDAP ディレクトリが対応する機能名、その他の関連情報を示します。これらの機能は、
IVE が、対応するメッセージ、機能、および制限をエンドユーザーに渡す前に LDAP サー
バーから設定される必要があります。IBM Secure Directory など汎用 LDAP サーバーから認
証を受けるときには、IVE は認証のみをサポートし、ユーザーに自身のパスワードの変更
を許可します。
LDAP パスワード管理の概要
„
97
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 3: サポートされるパスワード管理機能
機能
Active Directory
iPlanet
Novell eDirectory
ユーザーを認証
unicodePwd
userPassword
userPassword
ライセンスを取得し、 サーバーはバインド レス
有効な場合、ユー
ポンスで示す
ザーがパスワードを (ntSecurityDescriptor を使
変更できるようにす 用 )
る
passwordChange == ON
の場合
passwordAllowChange == はい
TRUE の場合
パスワードの変更後
ユーザーをログアウ
ト
はい
はい
はい
次のログインでパス
ワードの変更を強制
pwdLastSet == 0 の場合
passwordMustChange ==
ON の場合
pwdMustChange == TRUE
の場合
パスワードの有効期
限を表示
userAccountControl==
0x80000
バインド レスポンスが
OID を含む場合
2.16.840.1.113730.3.4.4
== 0
passwordExpirationTime の
日付 / 時間値をチェック
パスワードの有効期 pwdLastSet - now() <
限通知 (X 日 / 時間を maxPwdAge - 14 日間の
場合
表示 )
バインド レスポンスがコ
ントロール OID
2.16.840.1.113730.3.4.5 を
(maxPwdAge はドメインの 含む場合 ( 日付 / 時間を含
む ) (14 日間未満の場合
属性から読み込まれる )
IVE
が警告を表示 )
(14 日間未満の場合 IVE が
警告を表示 )
“account
userAccountControl==
バインド エラー コード:
53 “Account Inactivated”
disabled/locked” の場 0x2 (Disabled)
accountExpires
合、認証を禁止
バインド エラー コード:
userAccountControl ==
19 “Exceed Password Retry
0x10 (Locked)
Limit”
lockoutTime
now() -
passwordExpirationTime<
14 日間の場合
(14 日間未満の場合 IVE が
警告を表示 )
バインド エラー コード:
53 “Account Expired”
バインド エラー コード:
53 “Login Lockout”
「パスワード履歴」を サーバーはバインド レス
記録する
ポンスを表示
サーバーはバインド レス
ポンスを表示
「最小パスワード長」 設定すると、IVE はユー
を強制
ザーに minPwdLength を
伝えるメッセージを表示
設定すると、IVE はユー
設定すると、IVE はユー
ザーに passwordMinLength ザーに
を伝えるメッセージを表示 passwordMinimumLength
を伝えるメッセージを表示
パスワードを直ぐに
変更することを禁止
する
「パスワードの複雑
性」をサポートする
98
汎用
userPassword
pwdLastSet - now() <
minPwdAge の場合、禁止
する
passwordMinAge >0 の場 サーバーはバインド レス
合、さらに now() が
ポンスを表示
passwordAllowChangeTime
よりも前の場合、禁止する
pwdProperties == 0x1 の サーバーはバインド レス
場合、有効化。複雑性と
ポンスを表示
は、新規パスワードにユー
ザー名、名字あるいは名前
を含まず、以下の 4 つのカ
テゴリのうち 3 つのカテゴ
リの文字を含まなければな
らないことを意味する。英
大文字、英小文字、数字、
およびアルファベット以外
の記号 ( 例:!, $, %)
„ LDAP パスワード管理の概要
サーバーはバインド レス
ポンスを表示
サーバーはバインド レス
ポンスを表示
はい
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
AD/NT パスワード管理マトリックス
次のマトリックスは、Juniper Networks によってサポートされるパスワード管理機能を示
します。
表 4: AD/NT パスワード管理マトリックス
機能
Active Directory
Active Directory 2003
Windows NT
ユーザーを認証
はい
はい
はい
ライセンスを取得し、有効な場合、ユーザー
がパスワードを変更できるようにする
はい
はい
はい
パスワードの変更後ユーザーをログアウト
はい
はい
はい
次のログインでパスワードの変更を強制
はい
はい
はい
パスワードの有効期限を表示
はい
はい
はい
アカウントの無効化
はい
はい
はい
アカウントの失効
はい
はい
はい
はい
はい
はい
IVE 上の LDAP パスワード管理のトラブルシューティング
トラブルシューティングを行うときは、問題のある IVE ログ、サーバー ログ、設定情報、
IVE からの TCP トレースを用意してください。LDAP を使用しているときは、LDAP TCP ト
レースを行う間、IVE LDAP サーバー設定の “Unencrypted” LDAP オプションに切り替えて
ください。
タスク サマリー: LDAP パスワード管理の有効化
IVE を通じてパスワード管理機能を有効にするには、次の操作を実行する必要があり
ます。
1.
UPG パスワード管理統合ライセンスをインストールするか、Web コンソールの
System > Configuration > Licensing ページからアドバンスト ライセンスをインス
トールします。
2.
Web コンソールの System > Signing In > Servers ページで LDAP サーバーのインス
タンスを作成します。
3.
Web コンソールの Administrators/Users > Authentication > [ 領域 ] > General ペー
ジで、LDAP サーバーを領域と関連付けます。
4.
Web コンソールの Administrators/Users > Authentication > [ 領域 ] >
Authentication Policy >Password ページで、当領域のパスワード管理を有効にしま
す。Enable Password Management オプションは、領域の認証サーバーが LDAP また
は NT/AD サーバーのときのみ表示されます。
LDAP パスワード管理の概要
„
99
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
シングル サインオンの概要
シングル サインオン(SSO)は、事前認証された IVE ユーザーが、証明書を再入力する
ことなく、別のアクセス管理システムで保護されているリソースにアクセスできるプロセ
スです。
IVE は、IVE から他のサーバー、アプリケーション、リソースへの SSO 接続の設定を可能
にする統合メカニズムを提供します。SSO メカニズムには以下のものがあります。
100
„ シングル サインオンの概要
„
Remote SSO - IVE は、サインイン用の HTML フォーム内で静的 POST アクションを
使用する任意アプリケーションと疎整合されます。IVE を設定すると、IVE 認証情報、
LDAP 属性、および証明書属性が Web 対応アプリケーションに転送され、同時に
クッキーとヘッダも設定されて、ユーザーは再認証を受けることなくアプリケーショ
ンにアクセスできます。詳細については、160 ページの「リモート SSO の概要」を参
照してください。
„
SAML - IVE は、Security Assertion Markup Language(SAML)を使用して他のシステ
ムと通信する、選ばれたアクセス管理システムと緩やかに統合します。ユーザーは
IVE にサインインし、その後、再認証を受けることなくアクセス管理システムによっ
て保護されたリソースにアクセスできます。詳細については、109 ページの「SAML
の概要」を参照してください。
„
イントラネット サイトへの基本認証の仲介 - IVE は、同じイントラネット ゾーン内
で自動的に IVE ユーザー認証情報を他の Web サイトやプロキシに送信することがで
きます。Web コンソールの System > Configuration > Security ページで、基本認証
仲介を有効にすると、IVE はホスト名が System > Network > Overview ページで設
定された DNS 接尾辞で終わるイントラネット Web サイトにキャッシュされた認証情
報を送信します。セキュリティを最高レベルにするには、キャッシュした認証情報を
保護するために 64 ビット暗号化を使用するよう IVE を設定することもできます。詳
細については、291 ページの「システム全体のセキュリティ オプションの設定」を
参照してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Active Directory サーバー - IVE では、自動的に Active Directory SSO 認証情報を他の
Web サイトに送信したり、ネイティブの NTLM 認証によって保護されている同じイ
ントラネット ゾーン内で Windows ファイルを共有することができます。このオプ
ションを有効にすると、IVE は、ホスト名が Web コンソールの System >
Network > Overview ページで設定された DNS 接尾辞で終わる NTLM 認証で保護さ
れた Web サイトに、キャッシュされた認証情報を送信します。詳細については、394
ページの「Active Directory または NT ドメイン インスタンスの設定」を参照してくだ
さい。
„
Netegrity SiteMinder ポリシー サーバー - Netegrity SiteMinder ポリシー サーバーを
使用して IVE ユーザーを認証すると、ユーザーは再認証を受けることなく SiteMinder
によって保護されたリソースにアクセスできます(リソースが正しい保護レベルで承
認されている場合)。また、ユーザーが要求したリソースの現在の保護レベルが不適
切な場合は、IVE を介してユーザーを再認証することができます。これにより、ユー
ザーは最初にポリシー サーバにサインインした後、再認証を受けることなく IVE に
アクセスできます。詳細については、401 ページの「Netegrity SiteMinder の概要」を
参照してください。
„
ターミナル セッション - ロールに対してターミナル サービス機能を有効にすると、
再認証を行わずに Windows ターミナル サーバーや Citrix MetaFrame サーバー上で実
行するアプリケーションにアクセスすることができます。詳細については、161 ペー
ジの「ターミナル サービスの概要」を参照してください。また、481 ページの「セ
キュア ターミナル セッションのブックマークの作成」に記されている通り、ユー
ザー名を Telnet/SSH サーバーに渡すことができます。
„
E メール クライアント - ロールに対して E メール クライアント機能を有効にし、該
当するリソース ポリシーを作成すると、ユーザーは再認証を行わずに Outlook
Express、Netscape Communicator、Qualcomm の Eudora などの標準ベースの E メー
ルにアクセスできます。詳細については、147 ページの「E メール クライアントの概
要」を参照してください。
IVE は、接続で使用するメカニズムに基づいた SSO 対応サーバー、アプリケーション、
あるいはリソースにどの証明書を送信するか決定します。ほとんどのメカニズムでは、
IVE サインイン ページで 2 つ以下の認証サーバーに対するユーザー証明書を取得するこ
とが可能です。詳細については、101 ページの「複数サインイン認証情報の概要」を参照
してください。
残りのメカニズム (SAML、Netegrity SiteMinder、E メール クライアント ) では、IVE から
サポートするアプリケーションに SSO を有効にするユニークな方法を使用します。詳細
については、次を参照してください。
„
109 ページの「SAML の概要」
„
401 ページの「Netegrity SiteMinder サーバー インスタンスの設定」
„
565 ページの「Email Client ページの設定」
複数サインイン認証情報の概要
認証領域を設定すると、その領域に対して 2 つまでの認証サーバー を有効にできます。
これらの認証サーバーを有効にすると、2 つの異なる認証情報セット (IVE 用に 1 つ、SSO
対応リソース用に 1 つ ) を要求でき、ユーザーはリソースにアクセスするときに 2 番目の
認証情報を入力する必要がありません。また、IVE へのアクセスに、2 要素認証を要求す
ることができます。
このセクションには、複数サインイン認証情報についての次の情報があります。
„
102 ページの「複数サインイン認証情報の実行」
シングル サインオンの概要
„
101
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
106 ページの「タスク サマリー:複数認証サーバーの設定」
„
107 ページの「タスク サマリー:基本認証で保護されるリソースに対する SSO の有
効化」
„
107 ページの「タスク サマリー:NTLM で保護されるリソースに対する SSO の有
効化」
複数サインイン認証情報の実行
IVE は、以下のプロセスによって、複数のユーザー認証情報を収集し、SSO 対応のリソー
スに送信します。
ステップ 1:IVE は、ユーザーの 1 次認証情報を収集する
ユーザーが IVE にサインインすると、IVE は 1 次サーバーの認証情報を入力するように指
示します。
ステップ 2:IVE は、ユーザーの 2 次認証情報を収集または生成する
ユーザーの 2 次認証情報のセットを手動で収集または自動で生成するように、IVE を設定
できます。IVE を以下のように設定します。
„
ユーザーの 2 次認証情報を手動で収集 - ユーザーは、1 次認証情報をを入力した後、
ただちに 2 次認証情報を入力しなければなりません。
„
ユーザーの認証情報を自動的に生成 - IVE は、設定時に管理コンソールで指定した
値を送信します。デフォルトでは、IVE は、<username> および <password> 変数を
使用します。この変数には、1 次認証サーバー用に、ユーザーが入力したユーザー名
とパスワードが保存されます。
たとえば 1 次認証サーバーとして LDAP サーバーを、また 2 次認証サーバーとして Active
Directory サーバーを設定することができます。さらに、IVE にユーザーの Active Directory
ユーザー名を推測させながら、ユーザーに手動で Active Directory のパスワードを入力さ
せるように設定することもできます。IVE が Active Directory のユーザー名を推測すると、
LDAP サーバーに入力された名前 ( たとえば、 JDoe@LDAPServer) を取得し、それを
Active Directory サーバーに再送信します ( たとえば、JDoe@ActiveDirectoryServer)。
ステップ 3:IVE は 1 次認証情報を認証する
IVE が必要なすべての認証情報を収集したら、ユーザーの最初の認証情報セットを 1 次認
証サーバーに対して認証します。次に以下の操作を実行します。
„
次に以下の操作を実行します。認証情報が正常に認証されたら、IVE はこの認証情報
を <username> および <password> セッション変数に保存し、2 次認証情報の認証
に進みます。
メモ : 時間依存で変更する動的パスワードを受け入れる RADIUS サーバーで認証を行う
場合は、IVE セッション変数を使用してユーザー パスワードを保存しないように選択す
る必要があります。詳細については、387 ページの「RADIUS サーバー インスタンスの
設定」を参照してください。
„
102
„ シングル サインオンの概要
認証情報が正常に認証できなかった場合は、IVE はユーザーの IVE へのアクセスを拒
否します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ステップ 4:IVE は 2 次認証情報を認証する
1 次認証情報をを認証したら、IVE は 2 次認証情報を認証します。次に以下の操作を実行
します。
„
認証情報が正常に認証された場合は、IVE はこの認証情報を <username[2]> および
<password[2]> セッション変数に保存し、ユーザーが IVE にアクセスするのを許可
します。また、<username@SecondaryServer> および
<password@SecondaryServer> の構文を使用して、これらの変数にアクセスするこ
ともできます。
メモ : 時間依存で変更する動的パスワードを受け入れる RADIUS サーバーで認証を行う
場合は、IVE セッション変数を使用してユーザー パスワードを保存しないように選択す
る必要があります。詳細については、387 ページの「RADIUS サーバー インスタンスの
設定」を参照してください。
„
認証情報が正常に認証されなかった場合は、IVE はこれらの認証情報を保存しませ
ん。2 次認証情報が正常に認証されなかった場合は、認証領域の設定の仕方に応じ
て、IVE はユーザーの IVE へのアクセスを許可あるいは拒否します。
メモ : user@secondaryAuth 変数が空かどうかをチェックするカスタム式を作成する
と、2 次認証情報が失敗したことを検出できます。これを行うと、認証の成否に基づい
てユーザーをロールに割り当てることができます。たとえば、次の式は、ユーザーが
“ACE server” 2 次認証サーバーに対する認証に成功した場合、ユーザーを “MoreAccess”
ロールに割り当てます。
user@{ACE Server} != "" then assign role MoreAccess
“Ace server” は、認証サーバーの名前にスペースが含まれているため、中括弧で括られ
ることに注意してください。
ステップ 5: IVE は SSO 対応のリソースに認証情報を送信する
ユーザーが正常に IVE にサインインすると、事前設定されたブックマークや他のアクセス
メカニズムを使用して、SSO 対応リソースにアクセスしようとする場合があります。ユー
ザーがアクセスしようとするリソース タイプに応じて、IVE は異なる認証情報を送信しま
す。ユーザーが以下のリソースへのアクセスを試みる場合:
„
Web SSO、Terminal Services、または Telnet/SSH リソース - IVE は、Web コンソー
ルから指定した <username> ( これは、ユーザーの 1 次認証情報をリソースに送信 )
や <username[2]> ( これは、ユーザーの 2 次認証情報をリソースに送信 ) などの認
証情報を送信します。あるいは、ユーザーが異なるユーザー名とパスポートをエンド
ユーザーのコンソールから入力した場合は、IVE はユーザー指定の認証情報を送信し
ます。Web コンソールの次のページから認証情報を指定できます。
„
Web SSO ブックマークを作成したり、Web サーバーに送信する認証情報を設定
するには、Resource Policies > Web > Remote SSO ページを使用します。
„
ロール レベルで Terminal Services を有効にしたり、ターミナル サーバーに送信
する認証情報を設定するには、Users > Roles > [ ロール ] > Terminal Services
ページを使用します。さらに、Web コンソールの Resource Policies > Terminal
Services > Access ページから、個々の Terminal Services ブックマークを作成で
きます。
シングル サインオンの概要
„
103
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
ロール レベルで Telnet/SSH を有効にしたり、Telnet/SSH セッションに送信す
る認証情報を設定するには、Users > Roles > [ ロール ] > Telnet/SSH >
Sessions ページを使用します。さらに、Web コンソールの Resource
Policies > Telnet/SSH > Access ページから、個々の Telnet/SSH ブックマー
クを作成できます。
メモ : IVE は、Web SSO、Terminal Services、または Telnet/SSH リソースへの ACE サー
バー、証明書サーバー、匿名サーバーの認証情報の送信をサポートしていません。これ
らのタイプの 1 次認証サーバーのいずれかから認証情報を送信するように IVE を設定す
ると、IVE は、ユーザーの 2 次認証サーバーから認証情報を送信します。これらの認証
情報が失敗すると、IVE は、ユーザーにユーザー名とパスワードを手動で入力するよう
指示します。
„
Web サーバー、Windows サーバー、または NTLM 認証を使用する Web プロキシに
より保護されるリソース - IVE は認証情報をバックエンド サーバーあるいは Web ま
たはファイル リソースを保護するプロキシに送信します。IVE から NTLM 認証を無
効にすることはできません。ユーザーが NTLM により保護されているリソースにアク
セスしようとすると、IVE は自動的に認証チャレンジを仲介し、次の順に認証情報を
送信します。
a.
(Windows ファイル リソースのみ ) 管理者指定の認証情報 - Windows ファイル
リソースの認証情報を指定するリソース ポリシーを作成し、ユーザーが指定し
たリソースにアクセスする場合は、IVE は指定した認証情報を送信します。(Web
コンソールの Resource Policies > Files > Windows > Credentials ページの設
定を使用して、Windows ファイル リソースの認証情報を指定できます。)
b.
キャッシュされた認証情報 - IVE が管理者指定の認証情報を送信しないか、認
証情報が失敗した場合は、IVE は指定したユーザーとリソースの認証情報が
キャッシュに保存されているかどうかを調べます。( IVE が認証情報をキャッ
シュするタイミングについては、ステップ f を参照してください。) 使用できる
場合は、IVE は保存した認証情報を送信します。
c.
1 次認証情報 - IVE がキャッシュされた認証情報を送信しないか、認証情報が
失敗した場合は、IVE は、次の条件が真の場合に、ユーザーの IVE 1 次認証情報
を送信します。
d.
104
„ シングル サインオンの概要
‰
リソースが IVE と同じイントラネット ゾーンにある場合 ( つまり、ホスト名
が Web コンソールの System > Network > Overview ページで設定された
DNS 接尾辞で終わる場合 )。
‰
(Web プロキシのみ ) Web プロキシを認識するように IVE を設定するには、
Web コンソールの Resource Policies > Web > Web Proxy ページの設定を
使用します。
‰
認証情報は ACE 認証情報ではありません。
‰
(RADIUS 認証情報のみ ) RADIUS 設定ページで、RADIUS サーバーはワンタイ
ム パスワードを受け入れない設定にします。
2 次認証情報 - 1 次認証情報が失敗した場合は、IVE はユーザーの 2 次認証情報
があるかどうかを調べます。使用できる場合は、IVE は、1 次認証情報を説明し
た ( ステップ c) 条件が真の場合に、ユーザーの IVE 2 次認証情報を送信します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
e.
最後に入力された認証情報 - IVE が 2 次認証情報を送信しないか、認証情報が
失敗した場合は、IVE は指定したユーザーと異なるリソースの認証情報がキャッ
シュに保存されているかどうかを調べます。IVE が認証情報をキャッシュするタ
イミングについては、ステップ f を参照してください。使用できる場合は、IVE
は、1 次認証情報を説明した ( ステップ c) 条件が真の場合に、保存された認証情
報を送信します。
f.
ユーザー指定の認証情報 ( プロンプト ) - IVE が 最後に入力した認証情報を送信
しないか、認証情報が失敗した場合は、IVE はユーザーに仲介サインイン ページ
に手動で認証情報を入力するようにプロンプトします。ユーザーが Remember
password? チェックボックスをオンにした場合は、IVE はユーザー指定の認証情
報をキャッシュし、ユーザーが同じリソースに再度アクセスしようとしたとき
に、必要に応じてそれらを再送信します。IVE がこれらの認証情報をキャッシュ
すると、特定のユーザーやリソースは、ユーザーが IVE からサイン アウトした
後も記憶されます。
Web サーバー、Windows サーバー、または基本認証を使用する Web プロキシによ
り保護されるリソース - IVE は、次の順番で、認証情報をバックエンド サーバーあ
るいは Web リソースを保護するプロキシに送信します。
a.
キャッシュされた認証情報 - IVE が管理者指定の認証情報を送信しないか、認
証情報が失敗した場合は、IVE は指定したユーザーとリソースの認証情報が
キャッシュに保存されているかどうかを調べます。IVE が認証情報をキャッシュ
するタイミングについては、ステップ f を参照してください。) 使用できる場合
は、IVE は保存した認証情報を送信します。
b.
1 次認証情報 - IVE がキャッシュされた認証情報を送信しないか、認証情報が
失敗した場合は、IVE は、次の条件が真の場合に、ユーザーの IVE 1 次認証情報
を送信します。
‰
リソースが IVE と同じイントラネット ゾーンにある場合 ( つまり、ホスト名
が Web コンソールの System > Network > Overview ページで設定された
DNS 接尾辞で終わる場合 )。
‰
(Web プロキシのみ ) Web プロキシを認識するように IVE を設定するには、
Web コンソールの Resource Policies > Web > Web Proxy ページの設定を
使用します。
‰
認証情報は ACE 認証情報ではありません。
‰
(RADIUS 認証情報のみ ) RADIUS 設定ページで、RADIUS サーバーはワンタイ
ム パスワードを受け入れない設定にします。
c.
2 次認証情報 - 1 次認証情報が失敗した場合は、IVE はユーザーの 2 次認証情報
があるかどうかを調べます。使用できる場合は、IVE は、1 次認証情報を説明し
た ( ステップ c) 条件が真の場合に、ユーザーの IVE 2 次認証情報を送信します。
d.
最後に入力された認証情報 - IVE が 2 次認証情報を送信しないか、認証情報が
失敗した場合は、IVE は指定したユーザーと異なるリソースの認証情報がキャッ
シュに保存されているかどうかを調べます。IVE が認証情報をキャッシュするタ
イミングについては、ステップ f を参照してください。使用できる場合は、IVE
は、1 次認証情報を説明した ( ステップ c) 条件が真の場合に、保存された認証情
報を送信します。
シングル サインオンの概要
„
105
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
e.
ユーザー指定の認証情報 ( プロンプト ) - IVE が 最後に入力した認証情報を送信
しないか、認証情報が失敗した場合は、IVE はユーザーに仲介サインイン ページ
に手動で認証情報を入力するようにプロンプトします。ユーザーが Remember
password? チェックボックスをオンにした場合は、IVE はユーザー指定の認証情
報をキャッシュし、ユーザーが同じリソースに再度アクセスしようとしたとき
に、必要に応じてそれらを再送信します。IVE がこれらの認証情報をキャッシュ
すると、特定のユーザーやリソースは、ユーザーが IVE からサイン アウトした
後も記憶されます。
メモ :
„
IVE は、このセクションで説明されている複数の認証情報の認証メカニズムを、
E メール クライアントと SAML SSO メカニズムではサポートしていません。
„
匿名のサーバー、証明書サーバーまたは Netegrity SiteMinder サーバーを 2 次認証
サーバーとして指定することはできません。
„
Netegrity SiteMinder サーバーを 1 次認証サーバーとして指定する場合、2 次認証
サーバーを指定することはできません。
„
IVE は、Web アプリケーションにアクセスするときに、HTTP の基本認証と NTLM
チャレンジ / レスポンス スキームをサポートしますが、ネゴシエート プロトコルを
介した HTTP ベースのクロスプラットフォーム認証をサポートしません。
大規模な IVE の認証および承認プロセスにおいて、IVE が複数の認証をどのように使用す
るかについては、39 ページの「アクセスと承認のフローチャート」を参照してください。
タスク サマリー: 複数認証サーバーの設定
複数の認証サーバーを有効にするには、次の操作を実行します。
1.
Web コンソールの Signing In > AAA Servers ページで、認証サーバーのインスタン
スを作成します。設定手順については、374 ページの「認証サーバー インスタンスを
定義する」を参照してください。
2.
Web コンソールの以下のページの設定を使用して、認証サーバーを領域に関連付け
ます。
„
Users > Authentication > [ 領域 ] > General
„
Administrators > Authentication > [ 領域 ] > General
設定手順については、427 ページの「General タブ」を参照してください。
3.
( オプション ) Web コンソールの以下のページの設定を使用して、2 次認証サーバー
のパスワード長の制限を指定します。
„
Users > Authentication > [ 領域 ] > Authentication Policy > Password
„
Administrators > Authentication > [ 領域 ] > Authentication Policy > Password
設定手順については、676 ページの「パスワードの制限」を参照してください。
106
„ シングル サインオンの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
タスク サマリー:基本認証で保護されるリソースに対する SSO の有効化
基本認証で保護された Web サーバーと Web プロキシに対してシングル サインオンを有
効化するには、次の操作を実行します。
1.
基本認証の仲介とシングル サインオンを有効化するには、Web コンソールの
System > Configuration > Security ページを使用します。
2.
保護されるリソースと同じ接頭辞で終わるホスト名を指定するには、Web コンソー
ルの System > Network > Overview ページの設定を使用します。(IVE は、同じイン
トラネット内のサイトに対してのみ SSO が有効化されるようにするため、ホスト名
をチェックします。)
3.
Web コンソールの Users > Roles > [ ロール ] > Overview ページにより、ユーザー
が Web リソースにアクセスできるようにします。
4.
Web コンソールの次のページの設定を使用して、IVE に認証情報を送信させる特定の
サイトを指定します。
5.
„
Web サイトへのアクセスをコントロールする個々のリソース ポリシーを手動で
作成するには、Resource Policies > Web >Access ページの設定を使用します。
„
また、同じページから作成する Web ブックマークへのアクセスをコントロール
するリソース ポリシーを自動的に作成するには、Users > Roles > [ ロール ] >
Web > Bookmarks ページの設定を使用します。
ユーザーをプロキシから Web サーバーにアクセスさせたい場合は、Web コンソール
の次のページの設定を使用して、IVE が該当するサーバーやプロキシを認識できるよ
うに設定します。
a.
プロキシで保護したい Web サーバーを指定するには、Resource Policies >
Web > Web proxy > Servers ページの設定を使用します。
b.
使用したいプロキシと、そのプロキシで保護したいサーバー ( 上記 ) を指定する
には、Resource Policies > Web > Web proxy > Policies ページの設定を使用し
ます。サーバー上またはサーバー全体で個々のリソースを指定できます。
タスク サマリー: NTLM で保護されるリソースに対する SSO の有効化
NTLM で保護された Web サーバー、Windows ファイル サーバー、Web プロキシに対して
シングル サインオンを有効化するには、次の操作を実行します。
1.
保護されるリソースと同じ接頭辞で終わるホスト名を指定するには、Web コンソー
ルの System > Network > Overview ページの設定を使用します。(IVE は、同じイン
トラネット内のサイトに対してのみ SSO が有効化されるようにするため、ホスト名
をチェックします。)
2.
Web コンソールの Users > Roles > [ ロール ] > Overview ページにより、ユーザー
が適切なタイプのリソース (Web またはファイル ) にアクセスできるようにします。
3.
Web コンソールの次のページの設定を使用して、IVE に認証情報を送信させる特定の
サイトまたはサーバーを指定します。
„
Windows リソースへのアクセスをコントロールする個々のリソース ポリシーを
手動で作成するには、Resource Policies > Files > Windows > Access ページの
設定を使用します。また、同じページから作成する Windows ファイル ブック
マークへのアクセスをコントロールするリソース ポリシーを自動的に作成する
には、Users > Roles > [ ロール ] > Files > Windows > Access ページの設定を
使用します。
シングル サインオンの概要
„
107
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
108
„ シングル サインオンの概要
Web サイトへのアクセスをコントロールする個々のリソース ポリシーを手動で
作成するには、Resource Policies > Web >Access ページの設定を使用します。
また、同じページから作成する Web ブックマークへのアクセスをコントロール
するリソース ポリシーを自動的に作成するには、Users > Roles > [ ロール ] >
Web > Bookmarks ページの設定を使用します。
4.
(Windows ファイル リソースのみ ) Web コンソールの Users > Roles > [ ロール ] >
Files > Options ページの設定を使用して、NTLM 認証プロトコルのバージョン 1 を
有効にするかどうかを指定します。
5.
ユーザーをプロキシから Web サーバーにアクセスさせたい場合は、Web コンソール
の次のページの設定を使用して、IVE が該当するサーバーやプロキシを認識できるよ
うに設定します。
a.
プロキシで保護したい Web サーバーを指定するには、Resource Policies >
Web > Web proxy > Servers ページの設定を使用します。
b.
使用したいプロキシと、そのプロキシで保護したいサーバー ( 上記 ) を指定する
には、Resource Policies > Web > Web proxy > Policies ページの設定を使用し
ます。サーバー上またはサーバー全体で個々のリソースを指定できます。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
SAML の概要
SAML 機能を使用すると、IVE と、Secure Access Markup Language(SAML)をサポートす
る信頼できる別のアクセス管理システムとの間で、ユーザーおよびセッションの状態情報
をやり取りすることができます。SAML は、XML フレームワークを使用して 2 つの異なる
システムが認証情報と承認情報を作成し交換するためのメカニズムを提供します。これに
より、ユーザーが複数のアプリケーションまたはドメインにアクセスする際に、自分の証
明書を再入力する必要性が最低限に抑えられます1。IVE は SAML バージョン 1.1 を使用し
ます。
SAML の交換は、2 つのシステムまたはドメイン間の信頼関係に依存します。交換では、
一方のシステムは SAML オーソリティ(アサートパーティまたは SAML レスポンダとも呼
ばれます)として機能し、ユーザーについての情報を認めます。他方のシステムは依存側
(SAML レシーバとも呼ばれます)として機能し、SAML オーソリティによって提供された
ステートメント(アサーションともよばれます)に依存します。SAML オーソリティを信
頼することを選択すると、リライング パーティは、SAML オーソリティによって提供され
る情報に基づいてユーザーを認証または承認します。
たとえば、John Smith という名前の認証された IVE ユーザーが、アクセス管理システムに
保護されたリソースにアクセスするとします。その場合、IVE は SAML オーソリティとし
て機能し、「このユーザは John Smith であり、パスワード メカニズムを使用して認証され
ました」と表示されます。アクセス管理システム(依存側)はこのステートメントを受け
取り、IVE を信頼することを選択します(つまり、IVE がユーザーを正しく識別している
ことも信頼することになります)。アクセス管理システムは、IVE によって送信された情報
を信頼する一方で、要求されたリソースへのユーザー アクセスを拒否することもできま
す(たとえば、システムに対する十分なアクセス特権が John Smith にない場合など)。
IVE の設定では、以下に対して SAML を使用できます。
„
シングル サインオン (SSO) の認証 - SAML SSO トランザクションでは、認証され
た IVE ユーザーは、証明書を再送信することなく、別のシステムにサインインしま
す。このトランザクションでは、IVE は SAML オーソリティになります。SAML オー
ソリティは、ユーザー名と認証方法を宣言する認証ステートメントを作成します。
依存側(SAML SSO トランザクションでは Assertion Consumer Service と呼ばれま
す)が IVE を信頼することを選択すると、ユーザーは、ステートメントに含まれて
いるユーザー名を使用して Assertion Consumer Service にシームレスにサインイン
します。
1. Secure Access Markup Language は、OASIS 標準化団体の Security Services Technical Committee(SSTC)が開発したも
のです。SAML の技術的な概要については、以下の OASIS Web サイトを参照してください。http://www.oasisopen.org/committees/download.php/5836/sstc-saml-tech-overview-1.1-draft-03.pdf
SAML の概要
„
109
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
アクセス コントロールの承認 - SAML アクセス コントロール トランザクションで、
IVE は、ユーザーにアクセス権があるかどうかをアクセス管理システムに尋ねます。
このトランザクションでは、IVE は依存側(アクセス コントロール トランザクショ
ンではポリシー強制ポイントとも呼ばれます)です。IVE は、アクセス管理システム
(SAML オーソリティ)によって提供される Authorization Decision Statement を使用お
よび強制執行できます。Authorization Decision Statement は、ユーザーがアクセスを
許可されている対象を定義します。SAML オーソリティ(アクセス コントロール トラ
ンザクションではポリシー決定ポイントントとも呼ばれます)が、IVE ユーザーが十
分なアクセス権限を持っていると宣言する場合、ユーザーは要求したりソースにアク
セスできます。
メモ :
„
IVE は属性ステートメント をサポートしません。属性ステートメントは、ユーザー
に関する特定の詳細事項を宣言するものです。(たとえば、「John Smith は、ゴール
ド グループのメンバーです」など)。
„
IVE は他の SAML オーソリティからの認証ステートメントを受け入れません。
SAML SSO トランザクションで、ユーザーは最初に IVE にサインインする必要が
あります。
„
IVE は Authorization Decision Statement を生成せず、それらを使用するだけです。
„
IVE は、SAML オーソリティによって戻された Authorization Decision Statement に基
づいてユーザに URL へのアクセスを許可するほか、IVE 専用メカニズムを使用し
て、URL に対するユーザのアクセス特権の定義も可能にします(Resource
Policies > Web > Access タブ)。SAML オーソリティと同様に、IVE を介してアク
セス コントロールを定義する場合は、ユーザーがアクセスできるように、どちらの
ソースも URL へのアクセスを許可する必要があります。たとえば、“Users” ロール
のメンバーが www.google.com にアクセスすることを拒否する IVE アクセス ポリ
シーを設定する一方で、ユーザーのアクセス権をアクセス管理システムの属性に基
づいて設定する、別の SAML ポリシーを設定する場合があります。アクセス管理シ
ステムでユーザーが www.google.com にアクセスすることを許可している場合で
も、ユーザーは IVE アクセス ポリシーによって引き続きアクセスを拒否されます。
„
ユーザーがリソースにアクセスできるかどうかを尋ねられた場合、SAML をサポー
トするアクセス管理システムは、許可、拒否、または不確定という応答を返しま
す。不確定という応答を受け取った場合は、IVE はユーザー アクセスを拒否します。
„
IVE とアクセス管理システムのセッション タイムアウトが、相互に関連して動作す
ることはありません。クッキー (DSIDcookie) がタイムアウトする前にユーザーのア
クセス管理システムのセッション クッキーがタイムアウトすると、2 つのシステム
間のシングル サインオン機能が失われます。アクセス管理システムからタイムアウ
トしたユーザーは、再度サインインするよう指示されます。
詳細については、次を参照してください。
110
„ SAML の概要
„
111 ページの「SAML SSO プロファイルの概要」.
„
113 ページの「アクセス コントロール ポリシーの概要」
„
114 ページの「SAML 対応システム間の信頼関係の確立」
„
118 ページの「タスク サマリー:IVE による SAML の設定」
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
SAML SSO プロファイルの概要
信頼するアクセス管理システムに対して SSO トランザクションを有効にした場合は、ア
クセス管理システムが IVE からユーザ情報を「プルする」か、IVE がアクセス管理システ
ムにユーザ情報を「プッシュする」かを指示する必要があります。2 つのシステムが使用
する通信方法は、設定時にプロファイルを選択して指定します。プロファイルとは、2 つ
のサイトで SAML ステートメントの転送に使用する方法です。IVE の設定時に、アーティ
ファクト プロファイルか POST プロファイルを選択できます。
アーティファクト プロファイルの概要
アーティファクト プロファイル(ブラウザ / アーティファクト プロファイルとも呼ばれ
ます)を使用して通信することを選択すると、図 25 に示すように、信頼できるアクセス
管理サーバーが IVE から認証情報を「プル」します。
図 25: アーティファクト プロファイル
IVE と Assertion Consumer Service(ACS)は、以下のプロセスで情報をやり取りします。
1.
ユーザーがリソースへのアクセスを試みる - ユーザーが IVE にサインインし、Web
サーバー上の保護されたリソースへのアクセスを試みます。
2.
IVE が HTTP または HTTPS GET 要求を ACS に送信する - IVE は要求を受け取り、要
求を開始するために必要な SSO 操作を既に実行しているかどうかを調べます。実行
していなければ、IVE は認証ステートメントを作成し、アーティファクトと呼ばれる
HTTP クエリ変数を Assertion Consumer Service に渡します。
アーティファクトは、ソース サイトのソース ID (つまり、IVE を参照する 20 バイ
トの文字列)と、認証ステートメントへのハンドルとして動作する、ランダムに生成
された文字列を含むベース 64 コード化文字列です (ハンドルはアーティファクトが
送信されてから 5 分で期限切れになるため、Assertion Consumer Service が 5 分後に
応答を返した場合、IVE はステートメントを送信しないことに注意してください。ま
た、IVE は、ハンドルを 2 回使用することを避けるため、1 度使用したハンドルは廃
棄することにも注意してください)。
SAML の概要
„
111
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
ACS が SAML 要求を IVE に送信する - Assertion Consumer Service は、前のステップ
で送られてきたソース ID を使用して IVE の場所を特定します。次に、Assertion
Consumer Service はステートメント要求を SOAP メッセージにラップして、IVE の以
下のアドレスに送信します。
https://<IVEhostname>/dana-ws/saml.ws
要求には、前のステップで送られてきたステートメントへのハンドルが含まれて
います。
メモ : IVE は、0x0001 タイプのアーティファクトのみをサポートします。このタイプの
アーティファクトは、ソース サイトの場所そのものを送信するのではなく、ソース サ
イトの場所(つまり、IVE のソース ID)への参照を送信します。0x0001 タイプのアー
ティファクトを処理するためには、Assertion Consumer Service が、ソース ID をパート
ナーのソース サイトの場所にマップするテーブルを持っている必要があります。
4.
IVE が認証ステートメントを ACS に送信する - IVE は要求内のステートメント ハン
ドルを使用し、IVE キャッシュ内の正しいステートメントを見つけ、その後適切な認
証ステートメントを Assertion Consumer Service に送り返します。署名のないステー
トメントには、ユーザーの ID と、IVE へのサインインに使用したメカニズムが含ま
れています。
5.
ACS が IVE にクッキーを送信する - Assertion Consumer Service はステートメン
トを受け入れ、その後、ユーザーのセッションを有効にする IVE にクッキーを送
り返します。
6.
IVE が Web サーバにクッキーを送信する - IVE は将来の要求を処理するためにクッ
キーをキャッシュします。次に IVE は、HTTP 要求内のクッキーを、クッキー内のド
メインと一致するドメイン名を持つ Web サーバーに送信します。Web サーバーは、
ユーザーに証明書を求めることなくセッションを開始します。
POST プロファイルの概要
POST プロファイル(ブラウザ /POST プロファイルとも呼ばれます)を使用して通信する
ことを選択すると、IVE は、図 26 に示すように、HTTP POST コマンドを使用して、SSL
3.0 接続を通じて認証データをアクセス管理システムに「プッシュ」します。
図 26: POST プロファイル
112
„ SAML の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVE とアクセス管理(AM)システムは、以下のプロセスで情報をやり取りします。
1.
ユーザーがリソースへのアクセスを試みる - ユーザーが IVE にサインインし、Web
サーバー上の保護されたリソースへのアクセスを試みます。
2.
IVE がステートメントを転送する - IVE は要求を受け取り、要求を開始するために
必要な SSO 操作を既に実行しているかどうかを調べます。実行していなければ、IVE
は認証ステートメントを作成し、それにデジタル署名を行って、アクセス管理サー
バーに直接転送します。ステートメントに署名があるため、アクセス管理サーバー
は、証明書の発行に使用された認証局を信用します。IVE がステートメントの署名に
使用する証明書を設定しなければならないことに注意してください。
3.
AM がセッションを確立する - ユーザーが正しい権限を持っている場合、アクセ
ス管理サーバーは、ユーザーのセッションを有効にする IVE にクッキーを送り返し
ます。
4.
IVE が Web サーバにクッキーを送信する - IVE は将来の要求を処理するためにクッ
キーをキャッシュします。次に IVE は、HTTP 要求内のクッキーを、クッキー内のド
メインと一致するドメイン名を持つ Web サーバーに送信します。Web サーバーは、
ユーザーに証明書を求めることなくセッションを開始します。
アクセス コントロール ポリシーの概要
信頼するアクセス管理システムに対してアクセス コントロール トランザクションを有効
にすると、IVE および信頼するアクセス管理システムは、図 27 に示す方法を使用して情
報を交換します。
図 27: アクセス コントロール ポリシー
IVE とアクセス管理(AM)システムは、以下のプロセスで情報をやり取りします。
1.
ユーザーがリソースへのアクセスを試みる - ユーザーが IVE にサインインし、Web
サーバー上の保護されたリソースへのアクセスを試みます。
SAML の概要
„
113
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
IVE が承認決定クエリを転送する - IVE が既に承認要求を生成し、それがまだ有効
である場合、IVE はその要求を使用します。(承認要求の有効期間は、IVE Web コン
ソールで指定されます。)有効な承認要求がなければ、IVE は承認決定クエリをアク
セス管理システムに転送します。これには、アクセス管理システムによる承認に必要
なユーザーの ID とリソースが含まれています。
3.
AM が Authorization Decision Statement を転送する - アクセス管理システムは、
Authorization Decision Statement を含む SOAP メッセージの入った HTTPS POST を送
信します。Authorization Decision Statement には、許可、拒否、または不確定という
結果が含まれています。
4.
IVE が Web ブラウザに要求を送信する - Authorization Decision Statement に戻さ
れた結果が許可の場合、IVE はユーザー アクセスを許可します。そうでない場合、
IVE はユーザーにエラー ページを表示して、正しいアクセス権限がないことを通知
します。
SAML 対応システム間の信頼関係の確立
SAML 対応システムが、信頼できるソース間でのみ情報をやり取りするためには、情報の
送り側と受け側のアプリケーション間で信頼関係を確立する必要があります。IVE と別の
SAML 対応アプリケーション間で信頼関係を確立するには、各システムで以下の情報を設
定する必要があります。
„
114 ページの「トラステッドアプリケーションの URL の設定」
„
115 ページの「発行者の設定」
„
115 ページの「証明書の設定」
„
118 ページの「ユーザー ID の設定」
トラステッドアプリケーションの URL の設定
信頼関係では、SAML 対応システムが相互に接続する際に必要な URL を SAML 対応システ
ムに供給しなければなりません。トランザクションによっては、トランザクションを開始
するシステム(IVE)が、相手システムの URL を知っているだけでよい場合もあります
(IVE はその URL を使用してトランザクションを開始します)。また、別の手続きでは
(アーティファクト プロファイルを使用する SSO トランザクション)、それぞれのシステ
ムに相手の URL を設定する必要があります。
以下に、設定する必要のある URL のタイプを手続き別に示します。
„
SSO トランザクション: アーティファクト プロファイル - IVE で、Assertion
Consumer Service の URL を入力する必要があります。例:https://hostname/acs
また、Assertion Consumer Service の IVE に対して以下の URL を入力する必要があり
ます。https://<IVEhostname>/dana-ws/saml.ws
114
„ SAML の概要
„
SSO トランザクション: POST プロファイル - IVE で、Assertion Consumer Service
の URL を入力する必要があります。例:https://hostname/acs
„
アクセス コントロール トランザクション - IVE で、SAML Web サービスの URL を入
力する必要があります。例:https://hostname/ws
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
発行者の設定
別のシステムからのステートメントを受け入れるには、SAML 対応のエンティティが、ス
テートメントの発行者を信頼している必要があります。システムが信頼する発行者のコン
トロールは、システムの設定時に、発行者が個別の文字列を指定して行います。(ステー
トメントの送信時に、発行者は個別の文字列をステートメントに含めることによって自ら
を識別します。一般的に、SAML 対応アプリケーションはホスト名を使用して発行者を識
別しますが、SAML の規格ではアプリケーションは任意の文字列を使用できます)。発行者
が指定した個別の文字列を認識するようシステムを設定していない場合、システムはその
発行者のステートメントを受け入れません。
以下に、設定する必要のある発行者のタイプを手続き別に示します。
„
SSO トランザクション - 識別後、その文字列を認識するようアクセス管理システム
を設定する個別の文字列(通常はホスト名)を、IVE に指定する必要があります。
„
アクセス コントロール トランザクション - 識別後、その文字列を認識するよう IVE
を設定する個別の文字列(通常はホスト名)を、アクセス管理システムに指定する必
要があります。
証明書の設定
SSL トランザクション内で、サーバーはクライアントに証明書を提示する必要があり、そ
の後クライアントは、サーバーの証明書の発行が信用できることを検証してから(最低条
件)情報を受け取る必要があります。IVE の SAML トランザクションのすべてが SSL
(HTTPS)を使用するように設定できます。以下に、証明書の要件を手続き別に示します。
SSO トランザクションの設定: アーティファクト プロファイル
アーティファクト プロファイル トランザクションでは、IVE とアクセス管理システム間
で頻繁に通信が行われます。データのやり取りや、2 つのシステムの認証に使用する方法
によって、インストールし設定する証明書は異なります。以下に、特別な証明書設定を必
要とするアーティファクト プロファイルの設定オプションを示します。
„
すべてのアーティファクト プロファイル トランザクション - アーティファクト プ
ロファイルの設定に関係なく、IVE Web サーバーの証明書に署名した CA の証明書
を、アクセス管理システム上にインストールする必要があります。IVE は、アクセス
管理システムが認証ステートメントを要求するときに SSL 接続を使用することを要
求します。SSL 接続では、接続を開始した側が、接続先のシステムを信用する必要が
あります。CA 証明書をアクセス管理システムにインストールすることにより、アク
セス管理システムは、IVE の証明書を発行した CA を信頼できるようになります。
„
SSL 接続 (HTTPS GET 要求 ) を介したアーティファクトの送信 - SSL 接続を介して
アーティファクトをアクセス管理システムに送信することを選択した場合は、アクセ
ス管理システムのルート、CA 証明書を IVE 上にインストールする必要があります。
(SSL 接続では、接続を開始した側が、接続先のシステムを信用している必要があり
ます。アクセス管理システムの CA 証明書を IVE にインストールすることにより、IVE
は、アクセス管理システムの証明書を発行した CA を信頼できるようになります)
。
ルート CA は、Web コンソールの System > Configuration > Certificates > Trusted
Client CAs ページからインストールできます。詳細については、297 ページの
「Trusted Client CAs タブ」を参照してください。SSL 接続を介してアーティファクト
を送信したくない場合は、追加の証明書をインストールする必要はありません。
IVE からアクセス管理システムへの SSL ベースの通信を有効にするには、IVE の設定
時に、HTTPS で始まる URL を SAML Assertion Consumer Service URL フィールドに
入力します。また、アクセス管理システムでも SSL を有効にする必要があります。
SAML の概要
„
115
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
証明書による認証を使用した手続き - 証明書を使用してアクセス管理システムを認
証する場合は、以下の操作を実行する必要があります。
„
アクセス管理システムのルート CA 証明書を IVE にインストールします。ルート
CA は、Web コンソールの System > Configuration > Certificates > Trusted
Client CAs ページからインストールできます。詳細については、297 ページの
「Trusted Client CAs タブ」を参照してください。
„
IVE がアクセス管理システムの正当性を検証するために使用する証明書の値を指
定します。値は、アクセス管理サーバーの証明書に含まれる値に一致する必要が
あります。
アクセス管理システムを認証することを選択しない場合、つまりユーザー名 / パス
ワードによる認証を選択する場合は、追加の証明書をインストールする必要はありま
せん。
SSO トランザクションの設定: POST プロファイル
POST プロファイル トランザクションで、IVE は署名付き認証ステートメントをアクセス
管理システムに送信します。一般には SSL 接続で送信します(推奨)が、設定によって
は、IVE が標準の HTTP 接続でステートメントを送信することがあります。以下に、特別
な証明書設定を必要とする POST プロファイルの設定オプションを示します。
„
すべての POST プロファイル トランザクション - POST プロファイルの設定に関
係なく、IVE がステートメントに署名するために使用する証明書を指定する必要が
あります。証明書は、Web コンソールの Resource Policies > Web > SAML >
SSO > [ ポリシー ] > General ページで選択できます。詳細については、526 ペー
ジの「SAML タブ」を参照してください。次に、IVE の証明書をアクセス管理システ
ム上にインストールする必要があります。IVE IVE の証明書は、System >
Configuration > Certificates > IVE Certificates > [ 証明書 ] > Certificate Details
ページからダウンロードできます。詳細については、293 ページの「Certificates タ
ブ」を参照してください。
„
SSL 接続 (HTTPS) を介した POST データの送信 - SSL 接続を介してステートメント
をアクセス管理システムに送信することを選択した場合は、アクセス管理システムの
ルート CA 証明書を IVE 上にインストールする必要があります。(SSL 接続では、接
続を開始した側が、接続先のシステムを信用している必要があります。アクセス管理
システムの証明書を IVE にインストールすることにより、IVE は、アクセス管理シス
テムの証明書を発行した CA を信頼できるようになります。)ルート CA は、Web コ
ンソールの System > Configuration > Certificates > Trusted Client CAs ページから
インストールできます。詳細については、297 ページの「Trusted Client CAs タブ」を
参照してください。SSL 接続を介してステートメントを転送したくない場合は、追加
の証明書をインストールする必要はありません。
IVE からアクセス管理システムへの SSL ベースの通信を有効にするには、IVE の設定
時に、HTTPS で始まる URL を SAML Assertion Consumer Service URL フィールドに
入力します。また、アクセス管理システムでも SSL を有効にする必要があります。
116
„ SAML の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
アクセス コントロール トランザクションの設定
アクセス コントロール トランザクションで、IVE は承認決定クエリをアクセス管理シス
テムに転送します。アクセス管理システムが対応できるようにするには、設定に必要な証
明書オプションを判別する必要があります。以下に、特別な証明書設定を必要とするアク
セス コントロールの設定オプションを示します。
„
SSL 接続を介した承認データの送信 - SSL 接続を使用してアクセス管理システムに
接続することを選択した場合は、アクセス管理システムのルート CA 証明書を IVE 上
にインストールする必要があります。(SSL 接続では、接続を開始した側が、接続先
のシステムを信用している必要があります。アクセス管理システムの証明書を IVE に
インストールすることにより、IVE は、アクセス管理システムの証明書を発行した
CA を信頼できるようになります。)ルート CA は、Web コンソールの System >
Configuration > Certificates > Trusted Client CAs ページからインストールできま
す。詳細については、297 ページの「Trusted Client CAs タブ」を参照してください。
„
証明書による認証を使用した手続き - 証明書による認証の使用を選択する場合は、
アクセス管理システムが、IVE の証明書を発行した CA を信用している必要がありま
す。また任意ですが、以下の追加オプションに基づいて証明書を受け入れることもで
きます。
„
IVE 証明書の公開鍵をアクセス管理システムにアップロードする。
„
特定の証明書属性を使用して IVE を検証する。
これらのオプションでは、IVE がアクセス管理システムに渡す証明書を指定する必要
があります。証明書は、Web コンソールの Resource Policies > Web > SAML >
Access Control > [ ポリシー ] > General ページで選択できます。詳細については、
531 ページの「Access Control タブ」を参照してください。
IVE の証明書を検証するようにアクセス管理システムを設定する方法については、
現在使用されているアクセス管理システムのドキュメントを参照してください。
お使いのアクセス管理システムが証明書による認証を必要としない場合、または
ユーザー名 / パスワードによる認証を使用している場合は、アクセス管理サー
バー証明書を渡すように IVE を設定する必要はありません。信頼を確立する方法
を指定しない場合、アクセス管理システムは、どのシステムからの承認要求でも
受け入れます。
SAML の概要
„
117
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ユーザー ID の設定
信頼が確立された関係において、2 つのエンティティが、ユーザーを識別する方法につい
て合意している必要があります。その方法としては、システム内でユーザ名を共有する、
システム内で共有する LDAP または証明書ユーザ属性を選択する、またはユーザ ID を
ハードコードする、などがあります(たとえば、Subject Name フィールドを “guest” に設
定して、システム内でのアクセスを容易に許可することができます)。
2 つのシステムがユーザーについて共通の情報をやり取りできるようにするには、Web コ
ンソールで、Resource Policies > Web > SAML > SSO > [ ポリシー ] > General ページ
の User Identity セクション(詳細は、526 ページの「SAML タブ」を参照)
、および
Resource Policies > Web > SAML > Access Control > [ ポリシー ] > General ページ
(詳細は、531 ページの「Access Control タブ」を参照)のオプションを使用して、IVE が
渡す情報を指定する必要があります。アクセス管理システムが認識するユーザー名または
属性を選択してください。
タスク サマリー: IVE による SAML の設定
IVE により SAML を設定するには、次の操作を実行します。
118
„ SAML の概要
1.
URL の Web リソースを設定するには、Web コンソールの Resource Policies > Web
> SAML タブを使用します。設定手順の詳細は、526 ページの「SAML タブ」または
531 ページの「Access Control タブ」を参照してください。
2.
114 ページの「SAML 対応システム間の信頼関係の確立」の説明に従って、IVE、信頼
するアクセス管理システム、および情報共有のメカニズムについての情報をポリシー
に供給します。
3.
Web コンソールの Users > Roles > ロールを選択 > General タブで、ロール内の
ユーザーが Web リソース ポリシーへのアクセスを許可します。手順については、
453 ページの「Overview タブ」を参照してください。
第 4章
リモート アクセス
IVE には、遠隔の場所から IVE に簡単にアクセスできる様々な機能が用意されています。
リモート アクセス機能には、トラフィックの範囲を確保するコア アクセス機能、特定タ
イプの IVE トラフィックを確保するクライアント アクセス機能、およびユーザーがリ
モートでスケジュールして、オンライン ミーティングにアクセスできるセキュア ミー
ティング アクセス機能があります。
3 つのリモート クライアント アクセス機能として、Network Connect、Windows Secure
Application Manager (W-SAM)、および Java Secure Application Manager (J-SAM) がありま
す。表 5 は、各メソッドの主要特性を手短に説明しています。
表 5: リモート クライアント アクセス メソッドの比較
Network Connect
W-SAM
J-SAM
セキュア ネットワーク レイ
ヤー アクセス。仮想 IPsec
対応トンネルとして実行。
クライアント側ファイア
ウォールおよびプロキシと
互換性がある。
セキュア アプリケーション
レイヤー アクセス。Win32
Transport Data Interface (TDI)
サービス インストレーション
をサポート。クライアント側
ファイアウォールおよびプロ
キシと互換性がある。
セキュア アプリケーション
レイヤー アクセス。プロビ
ジョン エンタープライズ ホ
スト用の Java アップレット
ベース TCP ポート転送。ク
ライアント側ファイア
ウォールおよびプロキシと
互換性がある。
Active X コントロール
Active X コントロールによ
(Windows 用 ) と Java アップ り処理されるインストレー
レット (Mac 用 ) により処理さ ション。
れるインストレーション。
クライアントにインストール
した Java アップレットが 1 つ
だけ必要。
プロビジョンには、ネット
ワーク リソース用に割り当
てられた静的 IP アドレス
プールまたはネットワーク
上に存在する DHCP サー
バーが必要。
プロビジョンには、IP アド
レスのリスト、Windows ア
プリケーション、確保され
る宛先ホストが必要です。
IP アドレス依存のアクセス
コントロール。
プロビジョンには、グループ
レベルでのホストとポートの
リストが必要です。ユーザー
オプションにより、クライア
ントサーバー アプリケーショ
ンとセキュリティ設定の定義
が可能です。IP アドレスより
もホスト名が望ましい。
Windows、Mac、Linux のク
ライアントをサポート。
Windows、Mac、Linux のク
ライアントをサポート。
Windows、Mac、Linux のク
ライアントをサポート。
目次
コア アクセス機能:
„
121 ページの「Network Connect の概要」
„
131 ページの「Windows セキュア アプリケーション マネージャ (W-SAM) の概要」
„
119
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
135 ページの「Java セキュア アプリケーション マネージャ (J-SAM) の概要」
クライアント アクセス機能:
„
147 ページの「E メール クライアントの概要」
„
152 ページの「Java アプレット アップロードの概要」
„
157 ページの「データ転送プロキシの概要」
„
160 ページの「リモート SSO の概要」
„
161 ページの「ターミナル サービスの概要」
ミーティング アクセス機能:
„
120
„
164 ページの「セキュア ミーティングの概要」
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Network Connect の概要
Network Connect アクセス オプションは、クライアント側ソフトウェアを必要としない
VPN を実現し、IVE を使用して、企業のリソースに対する追加のリモート アクセス メカ
ニズムとして機能します。この機能は、ダイヤルアップ、ブロードバンド、クライアント
マシンからの LAN シナリオなど、あらゆるインターネット アクセス モードをサポート
し、ポート 443 で SSL トラフィックを送受信することで、クライアントサイドのプロキ
シ機能やファイアウォール機能も備えています。
ユーザーが Network Connect を起動すると、Network Connect はクライアント間のすべて
のトラフィックをセキュアな Network Connect トンネルを介して送信します。(122 ページ
の図 28 を参照してください )。唯一の例外は、Web ブラウジング、ファイル ブラウジン
グ、telnet/SSH など、他の IVE 対応機能が開始したトラフィックの場合です。特定のユー
ザーに対して、他の IVE 機能を無効にしたい場合は、Network Connect オプションだけを
有効にしたユーザー ロールを作成し、このユーザーを作成したロールにマッピングしま
す。そして、他の IVE 機能が有効になっている別のロールに、このユーザーがマッピング
されていないことを確認します。
Network Connect が実行されていると、クライアントはリモート ( 企業 ) LAN のノードと
して効果的に機能し、ユーザーのローカル LAN 上には表示されなくなります。IVE アプ
ライアンスは、クライアントのドメイン ネーム サーバー (DNS) ゲートウェイとして機能
し、ユーザーのローカル LAN の情報は全く認識しません。ただし、PC 上に静的なルート
を定義すれば、ユーザーは引き続きローカル LAN にアクセスしながら同時にリモート
LAN にも接続することができます。PC トラフィックは Network Connect トンネルを通過
して企業内部リソースに渡されるため、ユーザーのローカル ネットワーク内の他のホス
トが、Network Connect を実行する PC に接続できないようにします。
ローカル サブネットへのユーザー アクセスを拒否することにより (Users > Roles >
[ ロール名 ] > Network Connect タブで設定 )、リモート ユーザーのローカル LAN の他の
ホストが企業内部リソースにアクセスできないようにします。ローカル サブネットへのア
クセスを許可しない場合、IVE アプライアンスは、静的ルートが定義されたクライアント
が開始した Network Connect セッションを終了します。また、管理者は、クライアントが
個人用 ファイアウォールなどのエンドポイント セキュリティ ソリューションを実行して
からネットワークレベルのリモート アクセス セッションを起動するよう要求することも
できます。IVE アプライアンスに接続したホストでエンドポイント セキュリティ チェッ
クを実行する Host Checker は、クライアントがエンドポイント セキュリティ ソフトウェ
アを使用しているかどうかを検証できます。詳細については、80 ページの「Host Checker
の概要」を参照してください。
Network Connect の概要 „ 121
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 28 は、Network Connect トンネルの確立に関する一般的な手順を示しています。
図 28: Network Connect トンネルの設定
User signs in to
Windows and
enters
authentication
credentials
Is GINA
installed on
client?
Yes
User enters
credentials into
IVE sign-in page
of specified URL/
Realm on client
Credentials
correct?
No
Does user
choose to launch
Network
Connect?
No
User signs in to
Windows using
cached credentials
and connected to
LAN only
Network Connect
Yes tunnel established
between remote
client and IVE
No
Yes
Network Connect
client launches in
embedded
browser displaying
IVE sign-in
Repeat user
credential
verification twice.
If unable to
authenticate,
display error
message and
connect to LAN
only
Network Connect
access options
displayed in the
“Available Role
Mappings” page
User selects
access type from
list of available
options
Network Connect の実行
メモ : Linux ユーザーは、セキュア ゲートウェイ ホームページで利用できる Network
Connect アイコンを使用するか、コマンドライン インターフェースから Network
Connect を起動すると、Network Connect にサインインできます。
ユーザーが X-Windows のコマンドライン インターフェースから Network Connect を起
動したい場合は、次のコマンドを入力する必要があります。
# cd ~/.juniper_networks/network_connect/
# ./ncui -h < ホスト > -u < ユーザー > -p < パスワード > [-r < ユーザー領域 >]
ユーザーが非 X-Windows のコマンドライン インターフェースから Network Connect を
起動したい場合は、次のコマンドを入力する必要があります。
# cd ~/.juniper_networks/network_connect/
# ./ncsvc -h < ホスト > -u < ユーザー > -p < パスワード > [-r < ユーザー領域 >]
ユーザーが X-Windows デスクトップ ショートカットを作成する場合は、スクリプトに
killall ncui または killall ncsvc を含めて、Network Connect が閉じるときに、クライアン
トと IVE の間のセキュアなトンネルが切断されるようにする必要があります。
Network Connect エージェントは、以下の処理を実行します。
1.
122
„ Network Connect の概要
GINA (Graphical Identification and Authorization) がインストールされており、リモー
ト クライアント上で登録されている場合は、ユーザーが Windows にサインインする
と、クライアントは自動的に Network Connect トンネルを IVE に起動します。それ以
外の場合は、ユーザーは IVE アプライアンスにサインインして、IVE アプライアンス
のエンドユーザー ホームページで Network Connect リンクをクリックする必要があ
ります (Network Connect が自動的に起動するよう設定していない場合 )。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
ユーザーが最新バージョンの Network Connect インストーラを持っていない場合は、
IVE アプライアンスは ActiveX コントロール (Windows) または Java アプレット (Mac)
をクライアント マシンにダウンロードし、続いて Network Connect ソフトウェアを
ダウンロードして、インストール機能を実行します。IVE アプライアンスが、制限さ
れたアクセス権限やブラウザの制限のために Windows へのダウンロードや ActiveX
コントロールの更新に失敗した場合は、IVE アプライアンスは、Network Connect ソ
フトウェアをクライアントに配信するために Java アプレットを使用します。IVE が
ActiveX コントロールと Java アプレットのどちらをダウンロードしても、両コンポー
ネントはクライアント上に存在する Network Connect ソフトウェアの有無とそのバー
ジョンを特定して、どちらのインストール機能を実行するかを決定します。
a.
クライアントのマシンに Network Connect ソフトウェアが存在しない場合、最新
バージョンをインストールします。
b.
クライアントのマシンにインストールされた Network Connect ソフトウェアが、
最新バージョンでない場合は、旧バージョンのソフトウェアをアンインストール
し、IVE から最新バージョンをインストールします。
メモ : 有効な Java アプレット、インストール ファイルとログ、および配信メカニズム
を実行するオペレーティング システムのディレクトリについては、653 ページの「クラ
イアント サイドのアプリケーション インストール」を参照してください。
3.
インストールが完了したら、Network Connect エージェントは、要求を IVE アプライ
アンス に送信し、事前に指定された IP プールから IP アドレスを取得して接続を開始
します ( ユーザー ロールに適用した Network Connect 接続プロファイル リソース ポ
リシーの定義に従います )。
4.
Network Connect システム トレイ アイコンが、Windows クライアントのタスクバー
または Mac クライアントの Dock で実行を開始します。
5.
IVE アプライアンスは、(Network Connect 接続プロファイル リソース ポリシーによ
り ) IP アドレスを割り当て、クライアントが実行している Network Connect サービス
に一意の IP アドレス を割り当てます。
6.
クライアントサイド Network Connect サービスは、割り当てられた IP アドレスを使
用して、IVE アプライアンス上で実行する Network Connect プロセスと通信します。
7.
IVE が IP アドレスをクライアントに割り当た後で、IVE は、ユーザーのリソース ポ
リシーがアクセスを許可するクライアントと企業リソース間の直接通信チャンネルを
開きます。内部アプリケーション サーバーは 通信元の IP アドレスをクライアントの
PPP IP アドレスとして見ます。
Network Connect の概要 „ 123
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 29: Network Connect のクライアント / サーバーの通信
クライアントサイド Network Connect エージェントは、IVE アプライアンスと通信しま
す。さらに、アプライアンスはクライアントの要求を企業リソースに転送します。
メモ : Host Checker を使用して IVE で定義されたポリシーに基づくすべてのクライアン
トサイドのセキュリティ コンポーネントの有無を確認し、Network Connect セッション
の任意の時点でクライアントがそのセキュリティ ポリシーを満たすことができない場合
は、Host Checker はそのセッションを終了します。
GINA を使用した Network Connect の自動サインイン
GINA (Graphical Identification and Authorization) サインイン関数は自動化したサインイン
メソッドで、Windows クライアント上にインストールして有効化すると、Windows NT
ドメインにサインインできます。Network Connect にクライアント マシンへの GINA のイ
ンストールを要求できます。または、ユーザーが Network Connect を起動するときに、
GINA のインストールをユーザーに決定させることができます。
メモ : 複数の GINA 自動サインイン関数をクライアントのシステムにインストールする
ことはできません。クライアントのシステムで別のアプリケーションが GINA 関数を使
用している場合は、Network Connect は GINA コンポーネントをインストールしてアク
ティブにすることはできません。
GINA がクライアントにインストールされている場合は、ユーザーは Windows にサインイ
ンするたびに、Network Connect を起動するかどうか選択するようプロンプトされます。
GINA のインストールをオプションにした場合は、ユーザーは、Network Connect ウィン
ドウの Auto connect when login to Windows オプションを使用して、GINA をアクティブ
にできます。このオプションは、Network Connect セッションが開いている間のみ使用で
きます。
クライアント システムの GINA のインストールを有効にするオプションは、ロール属性
を定義するときに Users > Roles > [ ロール名 ] > Network Connect ページで使用でき
ます。詳細については、495 ページの「Network Connect ページの設定」を参照してく
ださい。
124
„ Network Connect の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 30 は、GINA インストール プロセスに関する一般的な手順を示しています。
図 30: GINA インストール プロセス
User signs in to
IVE via Network
Connect
Is GINA enabled on
the user’s IVE role?
No
GINA automatic
sign-in
service installed
Yes
No
Network Connect
installed without
GINA capability
No
Does user choose
to enable GINA?
Yes
GINA installation
completed and
user asked
whether or not to
reboot at this time
GINA インストール プロセスは一度だけ行われ、GINA サインイン機能を有効にするため、
ユーザーはシステムを再起動する必要がありますそのセッション以降、GINA は、ユー
ザーが Windows のサインインを行うごとに Network Connect を起動するかどうかを選択
するようプロンプトします。ユーザーが Network Connect にサインインすると、指定しな
い限り、Network Connect トンネルを確立する前に、GINA はユーザーの Windows サイン
イン認証情報を認証のために IVE に渡します。
Network Connect の概要 „ 125
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 31 は、自動 GINA トンネル確立プロセスに関する一般的な手順を示しています。
図 31: GINA 自動サインイン プロセス
Windows
credentials
presented to IVE
for authentication
User launches
Windows on client
User connected
to network
Yes
Yes
Does client have
network connectivity?
GINA
Yes
sign-in appears.
Does user want to
launch Network
Connect?
Yes
No
No
User signs in to
Windows using
cached credentials, no
GINA sign-in
displayed, and no
network connectivity
established
User signs in to
Windows using
cached credentials
and connected to
LAN only
Was the tunnel
established?
No
Yes
Is user signed in to
Windows NT domain?
No
Attempt user
credential
verification three
times only.
If unable to
authenticate,
display error
message and
connect to LAN
Network Connect へのネットワークの準備
Network Connect と他の VPN クライアント アプリケーションとの非
互換性
サードパーティ ベンダーの VPN クライアント アプリケーションは、Network Connect と
互換性がない場合があります。表 6 に、知られている VPN クライアント ベンダーおよび
そのベンダーの VPN クライアント アプリケーションと Network Connect の相対的な互換
性を示します。
表 6: Network Connect とサードパーティ ベンダーの VPN クライアントとの互換性
ベンダー
互換性
Cisco
ある
Nortel
ある
NS Remote
ある
Intel
ある
Checkpoint
ない
互換性のない VPN クライアント アプリケーションを格納するクライアントに Network
Connect をインストールする場合は、互換性のないアプリケーションをアンインストー
ルしてから、Network Connect をクライアントにインストールし、起動する必要があり
ます。
126
„ Network Connect の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Linux クライアントの必要条件
Mozilla Firefox バージョン 1.6 から Network Connect にサインインする Linux クライアン
トは、OpenSSL と OpenMotif ライブラリがクライアントにインストールされている必要
があります。必要な OpenSSL および OpenMotif ライブラリを持っていない Linux ユー
ザーに遭遇した場合は、そのユーザーを次のリソースにアクセスさせて、以下のものを無
料で入手してインストールできます。
„
OpenSSL - ほとんどの Linux バージョンは OpenSSL に付属しています。詳細は、
http://www.openssl.org/related/binaries.html を参照してください。( また、ユーザーが
http://www.openssl.org/source/ のソースにアクセスして、ユーザー自身のバージョン
をコンパイルするよう、ユーザーに通知することもできます。) 要求されるバージョ
ンは、libssl.so.0.9.6b です。
„
OpenMotif - FTP でパス ftp://openmotif.opengroup.org/pub/openmotif/ を使用して
OpenMotif ライブラリを取得できます。参考として、このライブラリを配布するその
他のサイトについて、必ず Getting OpenMotif ドキュメントをお読みください。要求さ
れるバージョンは、libXm.so.3.0.1 です。
Network Connect リソース ポリシーのアクセス方法の定義
Network Connect リソース ポリシーは、リモート クライアントのアクセス方法を決定
するために使用する各種の Network Connect セッション パラメータを指定します。IVE
で次のタイプのリソース ポリシーを設定し、1 つまたは複数のユーザー ロールに適用
できます。
„
アクセス リソース ポリシー - このポリシー タイプはどのリソース ユーザーが、い
つ Network Connect を使用して 企業イントラネット上の Web、ファイル、サーバー
マシンなどにアクセスできるかを指定できます。詳細については、556 ページの
「Network Connect Access Control タブ」を参照してください。
„
パケット ロギング リソース ポリシー - このポリシー タイプでは、IVE 上でクライ
アントサイド Network Connect パケット ログを編集し、接続問題を診断および解決
できます。詳細については、557 ページの「Network Connect Logging タブ」を参照し
てください。
„
接続プロファイル リソース ポリシー - このポリシー タイプは、IVE が IP アドレス
をクライアントサイドの Network Connect エージェントに割り当てるために使用する
オプション (DHCP または IVE 管理の IP アドレス プール ) を指定します。また、この
機能を使用して、Network Connect セッションの転送プロトコルや暗号化方法を指定
できます。詳細については、558 ページの「Network Connect Connection Profiles タ
ブ」を参照してください。
„
スプリット トンネリング リソース ポリシー - このポリシー タイプでは、IVE がリ
モート クライアントと企業イントラネット間で渡されたトラフィックを処理する 1
つまたは複数のネットワーク IP アドレス / ネットマスクの組み合わせを指定できま
す。詳細については、562 ページの「Network Connect Split Tunneling タブ」を参照
してください。
複数の DNS 設定をサポートする Network Connect 接続プロファイル
リモート ユーザーが DNS 検索をできる限り効率的または安全に実行できるようにするた
め、ユーザーのロール メンバーシップに基づいて、Network Connect セッション中に複数
の DNS 設定を許可するように IVE を設定できます。
IVE がユーザーの Network Connect セッションを起動するとき、IVE は、IP アドレス、
DNS、WINS 設定を含むユーザーロール メンバーシップに基づいてマッチング プロファ
イルを使用します。
Network Connect の概要 „ 127
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
スプリット トンネリングを有効にすると、DNS の検索順序設定により、優先する DNS 設
定を定義できます。たとえば、クライアント LAN の DNS サーバーの検索を、IVE の DNS
サーバーの前に行ったり、その反対にできます。Network Connect は、Network Connect
接続を確立する前に、クライアントの DNS 設定 / 検索に対する優先順序のバックアップ
を作成します。セッションが終了したら、Network Connect はクライアントを元の DNS 設
定に復元します。スプリット トンネリングを無効にすると、すべての DNS 要求は、IVE
の DNS サーバーに送信され、DNS 検索優先順序の設定は適用されません。
IVE のマルチサイト クラスタを使用する場合、IP プールおよび DNS 設定 は、異なるサイ
トに存在する各 IVE 固有である必要があります。このため、IVE では異なる Network
Connect 接続プロファイル ポリシーをノードごとにもつことができます。すなわち、リ
ソース ポリシーは、新しいセッションが確立されるごとに、クライアントがクラスタ内
の同じ IVE に接続できるようにします。
メモ : Network Connect を IVS ライセンスを持ったシステム上で実行している場合は、
241 ページの「IVS の DNS の設定」および 243 ページの「仮想化 IVE で使用する
Network Connect の設定」を参照してください。
クライアントサイド ロギング
Network Connect クライアントサイド ログは、Network Connect の潜在的な問題をトラブ
ルシューティングするために使用するサインイン、デバッグ、その他の統計情報を含んだ
リモート クライアント上に常駐するファイルです。Network Connect ユーザーのクライア
ントサイド ロギングを有効にすると、クライアントは Network Connect イベントを一連
のログ ファイルに記録し、その後のユーザー セッション中に機能が起動されるごとに、
連続してエントリを追加します。結果のログ ファイルは、Network Connect の問題をサ
ポート チームと協力してデバッグするときに役立ちます。詳細については、345 ページの
「クライアントサイド ロギングの設定」を参照してください。
メモ : Network Connect ユーザーがクライアントサイド ロギングをオフにすると、(IVE
でロギングを有効にしても ) クライアントは新しいクライアントサイド ログ情報を記録
しません。ユーザーがロギング機能をオンにし、クライアントサイドのロギングを無効
にするように IVE が設定されている場合、クライアントは新しいクライアントサイドの
ログ情報を記録しません。
Network Connect プロキシのサポート
Network Connect は、プロキシ サーバーを使用してインターネット ( およびインターネッ
トを介した IVE) にアクセスするリモート クライアントをサポートし、インターネットに
アクセスするためにプロキシを必要としないが、プロキシを通して内部ネットワークのリ
ソースにアクセスするユーザーをサポートします。また、Network Connect は、Web アプ
リケーションへのアクセスを可能にするクライアントおよび IVE プロキシ設定を指定する
PAC ( プロキシ自動設定 ) ファイルにアクセスするクライアントのサポートも提供します。
プロキシ実装のこられのさまざまな方法を使用するために、Network Connect は、
Network Connect セッションの対象となるトラフィックのみが一時プロキシ設定を使用す
るように、一時的にブラウザのプロキシ設定を変更します。Network Connect セッション
を対象としないトラフィックはすべて、既存のプロキシ設定を使用します。
128
„ Network Connect の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
スプリット トンネリングの有効、無効に関わらず、IVE は次のプロキシ シナリオをサ
ポートします。
„
IVE にアクセスするために明示プロキシを使用
„
内部アプリケーションにアクセスするために明示プロキシを使用
„
IVE にアクセスするために PAC ファイルを使用
„
内部アプリケーションにアクセスするために PAC ファイルを使用
IVE でスプリット トンネリングが有効にされると、プロキシが実装された方法に応じて、
Network Connect は次のいずれかの方法によりプロキシ設定を管理します。
„
プロキシ サーバーを使用してインターネットに接続するリモート クライアントでは、
ブラウザで生成され、IVE (NCP トランスポート トラフィックを含む ) を対象とする
すべての HTTP 要求は、明示プロキシまたはリモート クライアントによりアクセス
された PAC ファイルのいずれかを経由します。明示プロキシが存在するか、クライア
ントサイドに既に供給された PAC ファイルにアクセスするため、Network Connect
セッションを確立しようとする前に、クライアントはローカルの一時プロキシを設定
します。
„
プロキシを使用して企業ネットワーク上の企業リソースにアクセスするリモート ク
ライアントの場合は、プロキシなしにインターネットに直接接続できますが、
Network Connect が接続を確立するまでプロキシ サーバーに到達できない場合でも、
Network Connect は、クライアント上のプロキシ設定を識別します。Network Connect
は接続を確立すると、ローカルの一時プロキシを作成します。
„
リモート クライアントが事前設定された HTTP ベースの PAC ファイルにアクセスす
ると、クライアントは、Network Connect がセッション接続を確立するまで PAC ファ
イルにアクセスできません。Network Connect が接続を確立すると、クライアントは、
PAC ファイルにアクセスし、PAC ファイルのコンテンツをローカルの一時プロキシに
含め、続いてブラウザのプロキシ設定を更新します。
タスク サマリー: Network Connect の設定
このセクションでは、高度な Network Connect 設定の手順を説明します。これらの手順で
は、IVE のネットワーク ID の指定や、IVE へのユーザー ID の追加など、前段階の IVE 設
定手順は説明していません。
Network Connect 用に IVE を設定するには、次の操作を実行します。
1.
Web コンソールの Users > Role > [ ロール名 ] > General > Overview ページの設定
を使用して、ロール レベルでの Network Connect へのアクセスを有効にします。手順
については、453 ページの「General ページの設定」を参照してください。
2.
Resource Policies > Network Connect タブの設定を使用して、Network Connect リ
ソース ポリシーを作成します。
a.
Web コントロールの Network Connect Access Control タブで、Network Connect
の一般的なアクセス設定と詳細なアクセス規則を指定します。詳細については、
556 ページの「Network Connect Access Control タブ」を参照してください。
b.
Web コンソールの Network Connect Connection Profiles タブで、リモート
ユーザーに割り当てる Network Connect 接続プロファイルを指定します。詳細
については、558 ページの「Network Connect Connection Profiles タブ」を参
照してください。
Network Connect の概要 „ 129
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
c.
( オプション ) Web コンソールの Network Connect Logging タブで、フィルタリ
ング パケット情報の Network Connect リソース ポリシーを指定します。詳細に
ついては、557 ページの「Network Connect Logging タブ」を参照してください。
d.
( オプション ) Web コンソールの Network Connect Split Tunneling タブで、
Network Connect のスプリット トンネリング動作を指定します。詳細について
は、562 ページの「Network Connect Split Tunneling タブ」を参照してください。
3.
Web コンソールの System > Network > Network Connect ページで、すべての
Network Connect ユーザー セッションに使用する Network Connect のサーバサイドの
プロセス用に IP アドレスを指定します。詳細については、317 ページの「Network
Connect サーバー IP アドレスの指定」を参照してください。
4.
Web コンソールの Users > Role > [ ロール名 ] > Network Connect ページで、
Network Connect の GINA のインストール、スプリット トンネリングの使用、または
自動起動動作を有効にするかどうかを指定します。手順については、495 ページの
「Network Connect ページの設定」を参照してください。
メモ : このページで Network Connect のスプリット トンネリング動作を有効にした場合
は、上記のステップ d の説明に従って、初めに少なくとも 1 つの Network Connect ス
プリット トンネリング リソース プロファイルを作成する必要があります。
130
„ Network Connect の概要
5.
572 ページの「Installers タブ」の指示に従って、リモート クライアントに適切な
Network Connect のバージョンが使用可能であることを確認します。
6.
( オプション ) Web コンソールの System > Log/Monitoring > NC Packet Log ページ
で、IVE が特定の Network Connect ユーザーに Network Connect パケット ログを作成
するかどうかを指定します。手順については、334 ページの「Events、User Access、
Admin Access、および NC Packet タブ」を参照してください。
7.
Network Connect のクライアントサイド ロギングを有効または無効にするには、Web
コンソールの System > Configuration > Security > Client-side Logs タブで該当す
るオプションを設定します。手順については、345 ページの「クライアントサイド ロ
ギングの設定」を参照してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
セキュア アプリケーション マネージャの概要
セキュア アプリケーション マネージャ オプションは、クライアント アプリケーションか
ら企業サーバーへのセキュアなアプリケーションレベルのリモート アクセスを提供しま
す。セキュア アプリケーション マネージャには、以下の 2 つのバージョンがあります。
„
Windows バージョン (W-SAM) - セキュア アプリケーション マネージャの Windows
バージョンは、IVE ボックスを通じて、送信 TCP 接続をアプリケーション単位または
ホスト単位で透過的かつ安全にリダイレクトする Windows-32 ソリューションです。
この W-SAM ソフトウェアは、IVE 上でホストされている ActiveX コントロールや
Java 配布メカニズム、またはクライアントにあらかじめインストールされている
W-SAM ランチャを使用して、ダウンロードし、起動できます。詳細については、131
ページの「Windows セキュア アプリケーション マネージャ (W-SAM) の概要」を参照
してください。
„
Java バージョン (J-SAM) - セキュア アプリケーション マネージャの Java バージョン
は、Microsoft MAPI、Lotus Notes、Citrix Nfuse の拡張サポートなど、静的な TCP
ポートのクライアント/サーバ アプリケーションをサポートします。また、J-SAM
は、NetBIOS もサポートします。これにより、ユーザーはドライブを指定の保護対象
リソースにマッピングできます。
J-SAM は、多くのネットワーク構成で正常に機能しますが、動的な TCP ポートのクラ
イアント / サーバー アプリケーション、サーバーが開始した接続、または UDP トラ
フィックはサポートしません。
J-SAM の実行時には 20 ~ 30MB の RAM が割り当てられ ( 正確なメモリ量は使用する
JVM (Java 仮想マシン ) によって異なります )、キャッシュが有効になっている場合
は、クライアント マシンに .jar ファイルが残ることがあります。詳細については、
135 ページの「Java セキュア アプリケーション マネージャ (J-SAM) の概要」を参照
してください。
メモ : 現在、Sun JVM バージョン 1.4.1 以降が Windows、Linux、および Macintosh プ
ラットフォームでサポートされています。Windows では、Sun JRE バージョン 1.1 に基
づく MS JVM もサポートしています。
Windows セキュア アプリケーション マネージャ (W-SAM) の概要
セキュア アプリケーション マネージャの Windows バージョン (W-SAM) は、Layered
Service Provider (LSP) または Transport Driver Interface (TDI) メカニズムを使用して、PC
で実行しているクライアント アプリケーションからのトラフィックにセキュリティを提
供するアプリケーションです。
„
Windows 98 と Windows Millennium - LSP メカニズムを使用して、トラフィックを
リダイレクトし、保護します。
„
Windows 2000 と Windows XP - TDI メカニズムを使用して、トラフィックをリダ
イレクトし、保護します。
IVE アプライアンスは、以下のメカニズムのいずれかを使用して、LSP または TDI コン
ポーネントをクライアント PC にインストールします。
„
ActiveX コントロール - このソフトウェア配信メカニズムは、ユーザーが IVE ホー
ム ページからセキュア アプリケーション マネージャを起動すると IVE からダウン
ロードされ、W-SAM インストール機能をすべて制御します。ActiveX コントロールを
ダウンロードするには、ユーザーは管理者権限が必要です。
セキュア アプリケーション マネージャの概要
„
131
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Java 配信 - ブラウザの制限によって IVE が ActiveX コントロールのダウンロードま
たはアップグレードに失敗した場合、IVE アプライアンスは第二の配信手段としてこ
のメカニズムを使用します。ActiveX コントロールと同様に、Java 配信メカニズムは、
すべての W-SAM インストール機能を実行します。
„
スクリプト可能な W-SAM ランチャ - このツールを使用すると、PC のコマンドライ
ンから手動で W-SAM を実行するか、バッチ ファイルや、シェル呼び出しを実行する
アプリケーション、または Win32 サービスなどから自動的に起動できます。ラン
チャがその起動時に W-SAM をダウンロードしてインストールするには、PC に対す
る管理者権限を持っているユーザーにランチャを配布する必要があります (詳細は、
480 ページの「Windows Secure Application Manager アプリケーションのダウンロー
ド」を参照してください。)
ランチャが PC 上にある場合、W-SAM は次の 2 通りの方法で呼び出すことができ
ます。
„
ユーザーが、コマンド プロンプト ウィンドウから W-SAM コマンド ライン引数
を使用して W-SAM を呼び出す。
„
アプリケーションまたはスクリプトが、ランチャにパラメータを渡して W-SAM
を起動する。たとえば、PC のバッチファイル スクリプトで PC の起動時に
W-SAM ランチャを呼び出すことができます。
メモ : コマンド ライン引数と戻りコードについては、649 ページの「W-SAM ラン
チャーの使用」を参照してください。
W-SAM が呼び出されると1、次のものを受け取ります。
„
IVE 上で設定したアプリケーションからの TCP 接続コール
„
IVE 上で設定した送信先ホスト名を検索する DNS クエリ
W-SAM セッション中、ステータス ウィンドウがシステム トレイ中のプロセスとして実行
されます。ユーザーがこのアイコンをダブルクリックすると、現在のセッション ステータ
スやアプリケーションのリスト、セキュア アプリケーション マネージャで仲介するため
に指定したホストが表示されます。
W-SAM が開始すると、初期化時に、IVE はサーバー上で定義した W-SAM ポリシーをクラ
イアントのマシンに供給します。ポリシーの変更をフィルタリングする場合、クライアン
トのマシンは次のログイン セッションまで変更を適用しません。IVE サーバー アクセス
コントロール規則への変更ははただちに有効になります。
ユーザーのシステムで作成されるファイルとログ、および W-SAM 配布メカニズムが実行
するディレクトリについては、653 ページの「クライアント サイドのアプリケーション
インストール」を参照してください。
W-SAM を使用したクライアント / サーバーの通信
以下の図に、IVE を介したクライアント アプリケーションとサーバー間の相互作用を示し
ます。
1. ユーザーがサインインした時に自動的に Secure Application Manager が起動するように設定することができます。こ
の設定は、IVE System > Preferences メニューで変更できます。自動起動が無効になっている場合は、IVE ホーム
ページメニューから、Secure Application Manager を起動する必要があります。
132
„ セキュア アプリケーション マネージャの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 32: Windows セキュア アプリケーション マネージャ
1.
ユーザーは、IVE メニュー項目の Secure Application Manager をクリックして、
Windows セキュア アプリケーション マネージャを起動するか、スクリプト可能な
W-SAM ランチャを呼び出します。ユーザーの権限に応じて、IVE は ActiveX コント
ロールをクライアントのマシンにダウンロードするか、Java ソフトウェア配布メカ
ニズムを起動します。ActiveX コントロールまたは Java 配信メカニズムは、W-SAM ソ
フトウェアをクライアント マシンにインストールします。
2.
W-SAM は (Windows プラットフォームに応じて ) LSP または TDI ドライバをクライア
ントにインストールし、アプリケーション トラフィックを保護します。セキュア ア
プリケーション マネージャのステータス ウィンドウ アイコンが、システム トレイに
表示されます。
3.
ユーザーは、管理者が指定したアプリケーションを起動するか、特定のホストから
データを要求するプロセスを開始します。クライアント アプリケーションまたはプロ
セスがリソースへの接続を試みると、セキュア アプリケーション マネージャがこの
要求を受け取ります。
4.
セキュア アプリケーション マネージャは SSL を使用して IVE にホスト名を転送しま
す。IVE はホスト名を解決して、ターゲット ホストの IP アドレスをセキュア アプリ
ケーション マネージャに返します。
5.
セキュア アプリケーション マネージャは、事前に指定された localhost IP アドレス
を使用して、自動的にポート転送チャネルを設定します。
アンチウィルス アプリケーションと VPN クライアント
アプリケーションの互換性
表 7 に、いくつかのアンチウィル アプリケーションおよび VPN クライアント アプリケー
ションと、Windows 98 および Windows Millennium 用 W-SAM との互換性を示します。
表 7: Windows 98 と Windows Millennium 用 W-SAM の互換性
ソフトウェア
バージョン
互換性
Norton AntiVirus
2003
ある
Norton AntiVirus
2004
ある
Norton AntiVirus Professional
2004
ある
Symantec AntiVirus Corporate Edition
8.0
ある
McAfee
7.0
ない
McAfee
8.0
ある
セキュア アプリケーション マネージャの概要
„
133
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
メモ : Windows 98 または Windows Millennium 上で W-SAM とサードパーティ製アプリ
ケーションのいずれかとの間に競合が存在する場合は、IVE はダウンロードを中止して、
競合の詳細メッセージを表示します。
表 8 に、いくつかのアンチウィル アプリケーションおよび VPN クライアント アプリケー
ションと、Windows 2000 および Windows XP 用の W-SAM との互換性を示します。
表 8: Windows 2000 と Windows XP 用 W-SAM の互換性
ソフトウェア
バージョン
ファイル共有を無効化 ファイル共有を有効化
Norton AntiVirus
2003
はい
はい
Norton AntiVirus
2004
はい
はい
Norton AntiVirus Professional
2004
はい
いいえ
Symantec AntiVirus Corporate
Edition
8.0
いいえ
はい
Trend Micro PC-cillin
2004
ない
はい
GreenBow Personal Firewall
2.5
はい
はい
タスク サマリー: W-SAM の設定
このセクションでは、高度な W-SAM 設定の手順を説明します。これらの手順では、IVE
のネットワーク ID の指定や、IVE へのユーザー ID の追加など、前段階の IVE 設定手順は
説明していません。
W-SAM 用に IVE を設定するには、次の操作を実行します。
1.
Web コンソールの Users > Role > [ ロール名 ] > General > Overview ページの設定
を使用して、ロール レベルでの W-SAM へのアクセスを有効にします。手順について
は、453 ページの「General ページの設定」を参照してください。
2.
W-SAM が仲介するクライアント / サーバー アプリケーションを指定するには、
Users > Roles > SAM > Applications タブを使用します。手順については、
472 ページの「W-SAM によりセキュリティを確保するアプリケーションとサー
バーの指定」を参照してください。
3.
Users > Roles > SAM > Options タブで、W-SAM ユーザー オプションを指定しま
す。手順については、479 ページの「Secure Application Manager オプションの指定」
を参照してください。
4.
Resource Policies > SAM タブの設定を使用して、W-SAM リソース ポリシーを作成し
ます。
5.
134
a.
Web コンソールの Resource Policies > SAM > Access タブで、W-SAM アクセス
設定を指定します。詳細については、546 ページの「Access タブ」を参照してく
ださい。
b.
Web コンソールの Resource Policies > SAM > Options タブで、W-SAM オプ
ションを指定します。詳細については、547 ページの「Options タブ」を参照し
てください。
572 ページの「Installers タブ」の指示に従って、リモート クライアントに適切な WSAM のバージョンが使用可能であることを確認します。
„ セキュア アプリケーション マネージャの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
6.
W-SAM のクライアントサイド ロギングを有効または無効にするには、Web コンソー
ルの System > Configuration > Security > Client-side Logs タブで該当するオプ
ションを設定します。手順については、345 ページの「クライアントサイド ロギング
の設定」を参照してください。
Java セキュア アプリケーション マネージャ (J-SAM) の概要
セキュア アプリケーション マネージャの Java バージョン (J-SAM) は、リモート マシンで
実行するアプリケーションに対して、セキュアなポート転送を提供します。J-SAM は、ク
ライアント アプリケーションのトラフィックをクライアント マシン上で実行する J-SAM
アプレットに送ることにより機能します。IVE は特定のポートを指定された各アプリケー
ション サーバーに固有の IP ループバック アドレスを割り当てます。たとえば、次のよう
に指定した場合:
app1.mycompany.com, app2.mycompany.com. app3.mycompany.com,...
単一ポートの場合、IVE は各アプリケーションに固有の IP ループバック アドレスを割り
当てます。
127.0.1.10, 127.0.1.11, 127.0.1.12,...
IVE が J-SAM をユーザーのマシンにインストールすると、J-SAM はネットワーク アプリ
ケーション サーバーに対するクライアント リクエストのために、ループバック アドレス
( アプリケーション サーバーのために指定された対応するクライアント ポート ) で待ち受
けを行います。
J-SAM は要求データをカプセル化し、SSL トラフィックとして暗号化したデータを IVE に
転送します。IVE はデータのカプセル化を解除し、ネットワーク内のアプリケーション
サーバー上で指定されたサーバー ポートに転送します。アプリケーション サーバーは IVE
に応答を返し、IVE はデータを再びカプセル化して、J-SAM に転送します。J-SAM はサー
バー応答の暗号化を解除し、クライアント アプリケーションに転送します。ローカル マ
シンで実行しているクライアント アプリケーションには、J-SAM はアプリケーション
サーバーとして見えます。ネットワークにあるアプリケーション サーバーには、IVE はク
ライアント アプリケーションとして見えます。
J-SAM が正しく機能するように、IP ループバック アドレスは、特定のポート上のアプリ
ケーション サーバーと関連付けられます。これには、以下の 2 通りの方法があります。
„
IVE が IP ループバックを割り当てたクライアント システムの ホストファイルを編集
できるようにします ( 詳細については 474 ページの「J-SAM がセキュリティを確保す
るアプリケーションの指定」を参照してください )。は現行の hosts ファイルのコ
ピーを作成し、次に IP ループバックの割り当てた新しい hosts ファイルを作成しま
す。ユーザーがセッションを終了すると、IVE はこの新しい hosts ファイルを削除し
元の hosts ファイルを復元します。このメソッドは管理者権限を必要とし、多くの組
織ではこの権限をエンドユーザーに与えません。クライアント システムが予期せず
シャットダウンした場合は、hosts ファイルはクライアントを外部接続のループバッ
ク アドレスに指定したままになります。クライアント システムが再起動されると、
hosts ファイルの設定は元の状態に戻されます
„
外部 DNS を作成して、クライアント アプリケーション トラフィックを J-SAM アプ
レットにルーティングします。( 詳細については、477 ページの「外部 DNS サーバー
とユーザー マシンの設定 ( 必要に応じて )」を参照してください。)
J-SAM を使用したクライアント / サーバーの通信
以下の図に、IVE を介したクライアント アプリケーションとサーバー間の相互作用を示し
ます。この図では、ユーザーがサーバーとして localhost IP アドレスをクライアント アプ
リケーションに指定したと仮定しています。
セキュア アプリケーション マネージャの概要
„
135
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
1.
ユーザーは IVE の Client Applications ページに指定されたクライアント アプリケー
ションを起動します。1 アプリケーションはリモート サーバーを localhost に決定し
ます。
2.
クライアント アプリケーションは、ユーザーのマシンで実行している J-SAM に接続
し、要求の送信を開始します。
3.
J-SAM はすべてのクライアント要求をカプセル化し、SSL を使用して IVE に転送
します。
4.
はクライアント データのカプセル化を解除し、指定されたアプリケーション サー
バーに転送します。
5.
アプリケーション サーバーは、IVE サーバーにデータを返します。
6.
IVE はアプリケーション サーバーからの応答をカプセル化し、SSL を使用して J-SAM
に転送します。
7.
J-SAM はアプリケーション サーバー データの暗号化を解除し、クライアント アプリ
ケーションに転送します。
図 33: Java セキュア アプリケーション マネージャ
図 33 は、ユーザーがサーバーとして localhost IP アドレスをクライアント アプリケー
ションに指定したと想定しています。
localhost へのホスト名の解決
このソリューションが正常に機能するには、J-SAM がアプリケーション サーバーに向けら
れたデータを IVE によってキャプチャし、安全にポート転送できるように、ユーザーのマ
シンにあるクライアント アプリケーションは、アプリケーション サーバーを自身の
localhost に解決する必要があります。J-SAM は自動ホストマッピングを実行できます。こ
の処理では、クライアントの hosts ファイルを編集し、アプリケーション サーバーを
localhost にマップします。J-SAM によってユーザーの hosts ファイルを編集する場合、
ユーザーはクライアント マシンで適切な権限を持っている必要があります。
„
FAT ファイル システムを使用する Windows ユーザーは、どのユーザー グループに
も所属できます。ただし、Exchange MAPI サポートの場合は、ユーザーはマシン上で
最低でもパワー ユーザー権限を持っている必要があります。
1. Windows 98 オペレーティング システムのみ - “Close on Exit” プロパティを、J-SAM ブート プロセス中
(“restore.bat” プロセスを実行するため ) に開く DOS ボックスで無効した場合、バッチ ファイルが実行を完了した後
に、DOS ボックスは閉じません。J-SAM ブート プロセスを完了するには、ユーザーは手動で DOS ボックスを閉じる
必要があります。
136
„ セキュア アプリケーション マネージャの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
NTFS ファイル システムを使用する Windows ユーザーは自身のマシンで管理者権限
を持っている必要があります。
„
Linux (RedHat) ユーザーは、 root として J-SAM を起動するブラウザを起動する必要
があります。
„
Macintosh ユーザーは、J-SAM に要求されたら、管理者パスワードを入力する必要が
あります。
ユーザーがマシン上で適切な権限を持っていない場合は、J-SAM は自動的には hosts ファ
イルを編集できません。したがって、ホスト名 を localhost に解決できません。適切な権
限がないユーザーは、代わりに以下の手順を行います。
„
アプリケーション サーバーを localhost に解決するように外部 DNS サーバーを設定
します。アプリケーション サーバーのホスト名の代わりに、 localhost アドレスを使
用するように、外部 DNS サーバーを設定する場合、リモート ユーザーは、マシンが
企業 DNS から DNS サーバーを検索するように順番を設定する必要があります。
„
etc ディレクトリと etc\hosts ファイルでアクセス制限を緩和して、J-SAM が必要な
修正を実行できるようにします。
„
IVE が割り当てた localhost アドレスを使用するように、ユーザーはクライアント ア
プリケーションを設定できます。この場合、一般的に、アプリケーション サーバーの
ホスト名をクライアント アプリケーションに指定します。詳細については、139 ペー
ジの「IVE が割り当てたループバック アドレスを確認する」を参照してください。
静的 ループバック アドレスの使用
J-SAM アプリケーション構成が変更される度に、動的なループバック アドレスのある外部
DNS サーバーを使用するためには、管理者が DNS 設定を更新する必要があります。一方、
静的なループバック アドレスを使用して外部 DNS サーバーを構成すると、管理者は最も
高度な構成コントロールが得られます。
たとえば、以下の IP ループバックの割り当てを考察してみてください。
app1.mycompany.com - 127.0.1.10
app2.mycompany.com - 127.0.1.11
app3.mycompany.com - 127.0.1.12
動的なループバック アドレスの割り当てを使用して、外部 DNS サーバーを構成し、最初
のアプリケーション サーバーを削除する場合、アドレスの割り当ては変わります。
app2.mycompany.com - 127.0.10.10
app3.mycompany.com - 127.0.10.11
静的 IP ループバック アドレスを外部 DNS に割り当て、最初のアプリケーション サー
バーを削除しても、残っているアプリケーション サーバー用の IP ループバックの割り当
てに影響はありません。
app2.mycompany.com - 127.0.1.11
app3.mycompany.com - 127.0.1.12
セキュア アプリケーション マネージャの概要
„
137
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
管理者が新規アプリケーションを作成している間、静的 IP ループバック アドレスを割り
当てる場合、IVE は同じロールで別に構成したアプリケーションに対して問題がないかど
うかアドレスをチェックします。別のアプリケーションが同じアドレスを使用している場
合、IVE は管理者に異なる IP アドレスを入力するようエラー メッセージを表示します。
メモ : 静的 IP ループバック アドレスは管理者によって構成されたアプリケーション
サーバーだけに適用されます。IVE はユーザー定義のアプリケーション サーバーに対し
て IP ループバック アドレスを割り当てます。管理者が IP ループバック アドレスをアプ
リケーション サーバーに割り当てない場合、IVE は動的アドレスを割り当てます。
メモ : 外部の DNS を設定するときは、IP ループバック アドレスに 127.0.0.1 を使用し
ないでください。IVE は、MS Exchange か Lotus Notes のいずれかで使用するため、この
アドレスを留保しています。また、127.0.2.x の範囲から IP ループバック アドレス を使
用しないでください。IVE は、Citrix NFuse で使用するため、この範囲のアドレスを留保
しています。
MS Exchange、Lotus Notes、または Citrix NFuse の設定についての詳細は、以下を参照し
てください。
„
141 ページの「MS Exchange のサポートの強化」
„
143 ページの「Lotus Notes のサポートの強化」
„
145 ページの「Citrix Web Interface for MetaFrame ( 旧名 NFuse Classic) のサポートの
強化」
ロールのマージ
2 つ以上のロールをマージしようとすると、IP ループバック アドレスが競合を起こす可
能性があります。ロールをマージするときは、次の点に注意してください。
138
„
2 つ以上のロールが同じアプリケーションをマッピングし、各マッピングが異なる静
的 IP ループバック アドレスを含んでいる場合は、すべての静的 IP ループバック ア
ドレスは変更されません。
„
2 つ以上のロールが同じアプリケーションにマッピングし、そのうち 1 つだけが静的
IP ループバック アドレスを使用する場合は、J-SAM は 静的 IP ループ バック アドレ
スのみを使用し、クライアント上で静的に定義されたソケットを 1 つ だけにバイン
ドします。
„
2 つ以上のロールが動的 IP ループバック アドレスを使用した同じアプリケーション
にマッピングする場合、動的 IP ループバック アドレスが 1 つだけ使用されます。ア
プリケーション リスナーはクライアント上で動的に割り当てられたソケット 1 つだ
けにバインドします。
„
同じホスト名を複数のロールに使用する場合は、同じ静的 IP ループバック アドレス
を使用するか、すべてのアプリケーションに動的アドレスを使用します。
„
同じループバック アドレスとポートの組み合わせに異なるホスト名を関連付けて使
用すると、J-SAM はバックエンドで 2 つ異なるホストを区別できず、そのため、これ
らのホストに向けられた IP トラフィックを正確に差し向けることができまません。
„ セキュア アプリケーション マネージャの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Linux ユーザーと Macintosh ユーザーの特権ポート アクセス
Linux ユーザーは、root としてマシンにログインしていない限り、1024 よりも下のポー
トにアクセスできません。Macintosh ユーザーは、J-SAM に要求されたときに、管理者パ
スワードを入力しない限り、1024 よりも下のポートにアクセスできません。telnet など、
特権ポート (1024 よりも下のポート ) で実行するアプリケーションをサポートするには、
次の手順に従います。
„
ユーザーは root として J-SAM を起動するブラウザを起動できます。
„
管理者またはユーザーは、アプリケーションを Client Applications リストに追加す
れば、ポート 1024 以上のクライアント ポート番号を指定できます。
たとえば、telnet アプリケーションにクライアント ポート 2041、サーバー ポート 23
を指定した場合、アプリケーションを実行するコマンドは、次のようになります。
telnet loopbackIP 2041
loopbackIP は、IVE がアプリケーション サーバーに割り当てたループバック IP アド
レスです。J-SAM は telnet アプリケーションからのトラフィックをポート 2041 でリ
スンし、これを IVE に転送します。次に、IVE は送信先サーバーのポート 23 にこの
トラフィックを転送します。IVE が割り当てたループバック アドレスを確認する場
合、詳細については、139 ページの「IVE が割り当てたループバック アドレスを確認
する」を参照してください。
IVE が割り当てたループバック アドレスを確認する
ポート転送用に追加するアプリケーションのために、ユーザーは企業 DNS サーバーを変
更できません。ユーザーは通常、サーバーのホスト名を入力しますが、IVE によってプロ
キシを実行するアプリケーションをユーザーが指定できるように設定した場合、IVE が割
り当てた localhost アドレスを使用するように、ユーザーはクライアント アプリケーショ
ンを設定する必要があります。
J-SAM ブラウザ ウィンドウの Details ペインには、IVE が割り当てたループバック IP アド
レスとユーザーが指定したポートが表示されます。Client Applications IVE ページで指定
したアプリケーションに対して IVE が割り当てた IP アドレスを確認するには、アプリ
ケーションを追加した後で、ユーザーは セキュア アプリケーション マネージャを再起動
する必要があります。アプリケーションに割り当てられたループバック アドレスは 図 34
に記されている通り、セキュア アプリケーション マネージャブラウザ ウィンドウの
Details ペインに表示されます。
セキュア アプリケーション マネージャの概要
„
139
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 34: Java セキュア アプリケーション マネージャ の Details ペイン (J-SAM)
クライアント アプリケーションでは、ユーザーは IVE が割り当てたループバック アドレ
スをアプリケーション サーバーとして入力する必要があります。たとえば、ユーザーが社
内ファイア ウォールの内側にある telnet サーバーにアクセスしたい場合は、次の手順に
従う必要があります。
140
1.
IVE の Client Applications ページで、Add Application をクリックします。
2.
Add Application ページで、次のように指定します。
„
Remote Server フィールドに、terminalserver.juniper.com など、サーバーの完全
修飾ドメイン名または IP アドレスを入力します。
„
Client Port フィールドに、3389 など、J-SAM がサーバーへのクライアント トラ
フィックをリスンする必要のあるポートを入力します。
„
Server Port フィールドに、3389 など、リモート サーバがクライアント アプリ
ケーション (J-SAM) からのトラフィックをリスンする必要のあるポートを入力し
ます。
3.
Add をクリックして設定を保存します。
4.
Secure Application Manager ブラウザ ウィンドウを閉じます。
5.
IVE の Client Applications ページで、Start Session をクリックして、セキュア アプ
リケーション マネージャを再起動します。
6.
Secure Application Manager ブラウザ ウィンドウで、Details をクリックします。
7.
Details タブで、127.0.1.18 など、IVE がリモート サーバーに割り当てたループバッ
ク アドレスを確認します。
8.
Remote Desktop Connection などのクライアント アプリケーションで、サーバーの設
定フィールドにループバック アドレスを指定します。アプリケーションが変われば、
このフィールドが表示される場所も変わります。ユーザーはセットアップ ウィザード
またはその他の設定ダイアログでこの情報を入力できます。
„ セキュア アプリケーション マネージャの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
localhost へのホスト名の解決
このソリューションが正常に機能するには、J-SAM がアプリケーション サーバーに向けら
れたデータを IVE によってキャプチャし、安全にポート転送できるように、ユーザーのマ
シンにあるクライアント アプリケーションは、アプリケーション サーバーを自身の
localhost に解決する必要があります。J-SAM は自動ホストマッピングを実行できます。こ
の処理では、クライアントの hosts ファイルを編集し、アプリケーション サーバーを
localhost にマップします。J-SAM によってユーザーの hosts ファイルを編集する場合、
ユーザーはクライアント マシンで適切な権限を持っている必要があります。
„
FAT ファイル システムを使用する Windows ユーザーは、どのユーザー グループに
も所属できます。ただし、Exchange MAPI サポートの場合は、ユーザーはマシン上で
最低でもパワー ユーザー権限を持っている必要があります。
„
NTFS ファイル システムを使用する Windows ユーザーは自身のマシンで管理者権限
を持っている必要があります。
„
Linux (RedHat) ユーザーは、 root として J-SAM を起動するブラウザを起動する必要
があります。
„
Macintosh ユーザーは、J-SAM に要求されたら、管理者パスワードを入力する必要が
あります。
ユーザーがマシン上で適切な権限を持っていない場合は、J-SAM は自動的には hosts ファ
イルを編集できません。したがって、ホスト名 を localhost に解決できません。適切な権
限がないユーザーは、代わりに以下の手順を行います。
„
アプリケーション サーバーを localhost に解決するように外部 DNS サーバーを設定
します。アプリケーション サーバーのホスト名の代わりに、 localhost アドレスを使
用するように、外部 DNS サーバーを設定する場合、リモート ユーザーは、マシンが
企業 DNS から DNS サーバーを検索するように順番を設定する必要があります。
„
etc ディレクトリと etc\hosts ファイルでアクセス制限を緩和して、J-SAM が必要な
修正を実行できるようにします。
„
IVE が割り当てた localhost アドレスを使用するように、ユーザーはクライアント ア
プリケーションを設定できます。この場合、一般的に、アプリケーション サーバーの
ホスト名をクライアント アプリケーションに指定します。詳細については、139 ペー
ジの「IVE が割り当てたループバック アドレスを確認する」を参照してください。
MS Exchange のサポートの強化
リモート ユーザーは、各自の PC の Microsoft Outlook クライアントを使用して、IVE を通
じて E メールやカレンダ、その他の Outlook 機能を使用できます。現在サポートされてい
る MS Outlook のバージョンは、MS Outlook 2000 と MS Outlook 2002 です。この機能の
使用には、Outlook クライアントを変更する必要がなく、VPN などのネットワーク レイ
ヤーも必要ありません。
メモ : オペレーティング システムのサポートと依存性については、IVE Supported
Platforms ドキュメントを参照してください。
セキュア アプリケーション マネージャの概要
„
141
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
リモート ユーザーがこの機能を使用するには、ユーザー PC のネットワーク設定によっ
て、Outlook クライアントに組み込まれた Exchange Server の名前をローカル PC
(127.0.0.1、デフォルトの localhost IP アドレス ) に解決する必要があります。自動ホス
ト マッピング オプションを使用して、クライアント コンピュータ上の hosts ファイルを
一時的に更新することで、Exchange Server のホスト名を自動的に localhost に解決する
ように、IVE を設定することをお勧めします。
J-SAM を使用したクライアント / サーバーの通信
以下の図に、IVE を経由した Outlook クライアントと Exchange Server の間での通信を示
します。この図では、自動ホストマッピングを実行するように IVE が設定されていると仮
定しています。
1.
ユーザーは MS Outlook クライアントを起動します。Outlook は、Exchange Server
exchange1.yourcompany.com との接続を試みます。IVE は、hosts ファイルの一
時的な変更によって、Exchange Server のホスト名を 127.0.0.1 (localhost) に解決し
ます。
142
2.
Outlook はユーザーの PC で実行しているセキュア アプリケーション マネージャに接
続して、E メールの要求の送信を開始します。
3.
セキュア アプリケーション マネージャは Outlook クライアントからのすべての要求
をカプセル化し、SSL を使用して IVE に転送します。
4.
IVE がクライアント データのカプセル化を解除し、MAPI 要求から送信先 Exchange
Server サーバーを読み取ります。要求が送信先サーバーに転送されます。
5.
MAPI プロトコルの要求にはそれぞれ、その要求の送信先サーバーが暗号化されて含
まれています。MAPI 要求をセキュア アプリケーション マネージャから受信すると、
IVE サーバーは各要求をチェックして、適切な送信先サーバーに振り分けます。複数
の Exchange Server がある場合でも、このプロセスはすみやかに実行されます。
6.
Exchange サーバーは、E メール データで IVE に応答します。
7.
IVE は Exchange Server からの応答をカプセル化し、SSL を使用してセキュア アプリ
ケーション マネージャに転送します。
8.
セキュア アプリケーション マネージャは IVE から送信された情報のカプセル化を解
除し、Exchange Server から Outlook クライアントへ通常の MAPI 応答を転送します。
„ セキュア アプリケーション マネージャの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 35: Java セキュア アプリケーション マネージャと MS Exchange のサポートの強化
図 35 は、MS Outlook クライアント用に自動ホストマッピングを使用するように設定され
た IVE を示しています。
Windows レジストリの更新
セキュア アプリケーション マネージャを起動すると、これはユーザーの Windows レジ
ストリ設定 Rpc_Binding_Order を更新します。Outlook クライアントをインストールし、
クライアントが Exchange Server との通信に使用するプロトコルの順番を決定すると、こ
の設定がレジストリに追加されます。
この設定の元の値は、次のとおりです。
ncalrpc,ncacn_ip_tcp,ncacn_spx,ncacn_np,netbios,ncacn_vns_spp
セキュア アプリケーション マネージャを最初に使用した後、この値は次のようになりま
す。
ncalrpc,ncacn_http,ncacn_ip_tcp,ncacn_spx,ncacn_np,netbios,ncacn_vns_spp
Rpc_Binding_Order への変更は、セキュア アプリケーション マネージャの動作に影響す
るだけで、ユーザーの PC には影響を及ぼしません。
メモ : セキュア アプリケーション マネージャの Java バージョンで Outlook クライアン
トを使用するには、Windows PC ユーザーが管理者権限を持っている必要があります。
Lotus Notes のサポートの強化
リモート ユーザーは、各自の PC の Lotus Notes クライアントを使用して、IVE から E
メールやカレンダ、その他の機能を使用できます。この機能は、VPN などのネットワーク
レイヤ接続を必要としません。
メモ : オペレーティング システムのサポートと依存性については、IVE Supported
Platforms ドキュメントを参照してください。
セキュア アプリケーション マネージャの概要
„
143
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
J-SAM を使用したクライアント / サーバーの通信
リモート ユーザがこの機能を使用するには、Remote Location として “localhost” を使用
するように Lotus Notes クライアントを設定する必要があります。このように設定すると、
Lotus Notes クライアントからの接続要求がセキュア アプリケーション マネージャによっ
て受信されます。以下の図に、IVE を経由した Lotus Notes クライアントと Lotus Notes
サーバーの間での通信を示します。
1.
ユーザーが Home Location 設定で Lotus Notes クライアントを起動します。クライア
ントは、Home Location 設定のプロキシ設定(つまり、ユーザーの PC である
localhost)を参照します。
2.
Lotus Notes クライアントがセキュア アプリケーション マネージャに接続し、E メー
ル要求の送信を開始します。
3.
セキュア アプリケーション マネージャは Lotus Notes クライアントからの要求をカ
プセル化し、SSL を使用して IVE に転送します。
4.
IVE がクライアント データのカプセル化を解除し、Lotus Notes の要求から送信先
Lotus Notes サーバーを読み取ります。要求が送信先サーバーに転送されます。
Lotus Notes プロトコルの要求にはそれぞれ、その要求の送信先サーバーが暗号化さ
れて含まれています。Lotus Notes からの要求をアプリケーション プロキシから着信
した場合、IVE サーバーは要求から送信先サーバーの情報を取得して、その要求を適
切な送信先サーバーに配信します。したがって、1 人のユーザーが複数の Lotus Notes
サーバーにアクセスした場合でも、この機能は速やかに動作します。
5.
Lotus Notes サーバーが応答として E メール データを IVE に送信します。
6.
IVE は Lotus Notes サーバーからの応答をカプセル化し、SSL を介してセキュア アプ
リケーション マネージャに転送します。
7.
セキュア アプリケーション マネージャは IVE から送信された情報のカプセル化を解
除し、Lotus Notes サーバーからの応答を Lotus Notes クライアントに転送します。
図 36: Java セキュア アプリケーション マネージャと Lotus Notes のサポートの強化
144
„ セキュア アプリケーション マネージャの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 36 は、localhost に設定する Lotus Notes クライアントの Remote Location 値を示してい
ます。
Citrix Web Interface for MetaFrame ( 旧名 NFuse Classic) のサポートの強化
リモート ユーザーは、Citrix Web Interface for MetaFrame サーバーを使用すると、IVE を
介してさまざまなアプリケーションにアクセスできます。このプロセスは、クライアント
に関するユーザー権限を変更する必要はありません。
ユーザーが Citrix Web Interface for MetaFrame サーバーをブラウジングして、アプリケー
ションを選択すると、このサーバーはクライアントに ICA ファイルを送信します。IVE は
ICA ファイルを書き直し、ホスト名と IP アドレスを事前設定されたループバック IP アド
レスで置き換えます。ICA クライアントはアプリケーション要求をいずれかのループバッ
ク IP アドレスに送信します。セキュア アプリケーション マネージャはデータをカプセル
化し、IVE に送信します。IVE はデータのカプセル化を解除して、( クライアントに応じ
て ) ポート 1494 または 2598 を使用して適切な MetaFrame サーバーに送信します。
メモ :
„
Citrix Web Interface for MetaFrame コンソールで Embedded Applications を “Auto”
に設定すると、J-SAM は自動的に起動しません このような場合は、ユーザーが IVE
にサインインした後で、J-SAM が自動的に起動するように設定することをお勧めし
ます。これを行わないと、Citrix Web Interface for MetaFrame を使用する前に、エン
ドユーザーは手動で J-SAM を起動する必要があります。
„
ユーザーが server 検出機能の使用を試み、続いて application 検出の使用を試みる
と、アプリケーション検出処理は失敗します。この状況を解決するには、Citrix
Program neighborhood をシャットダウンし、再起動します。
„
IVE は、Citrix Secure Gateway (CSG) を配置する代わりとしての役割を果たします。
„
Java クライアントのアプレット モードを使用する場合は、Web コンソールの
Users > Roles > [ ロール ] > Web > Options ページで、Java アプレットのサポー
トを必ず有効にしてください。
タスク サマリー: J-SAM の設定
このセクションでは、高度な J-SAM 設定の手順を説明します。これらの手順では、IVE の
ネットワーク ID の指定や、IVE へのユーザー ID の追加など、前段階の IVE 設定手順は説
明していません。
J-SAM 用に IVE を設定するには、次の操作を実行します。
1.
Web コンソールの Users > Role > [ ロール名 ] > General > Overview ページの設定
を使用して、ロール レベルでの J-SAM へのアクセスを有効にします。手順について
は、453 ページの「General ページの設定」を参照してください。
2.
J-SAM が仲介するクライアント / サーバー アプリケーションを指定するには、
Users > Roles > SAM > Applications タブを使用します。手順については、474
ページの「J-SAM がセキュリティを確保するアプリケーションの指定」を参照してく
ださい。
3.
Users > Roles > SAM > Options タブで、J-SAM ユーザー オプションを指定します。
手順については、480 ページの「Java Secure Application Manager オプションの指定」
を参照してください。
4.
Resource Policies > SAM タブの設定を使用して、J-SAM リソース ポリシーを作成し
ます。
セキュア アプリケーション マネージャの概要
„
145
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
146
a.
Web コンソールの Resource Policies > SAM > Access タブで、ステップ 2 で指
定したアプリケーションの J-SAM アクセス設定を指定します。詳細については、
546 ページの「Access タブ」を参照してください。
b.
Web コンソールの Resource Policies > SAM > Options タブで、J-SAM オプショ
ンを指定します。詳細については、547 ページの「Options タブ」を参照してく
ださい。
J-SAM のクライアントサイド ロギングを有効または無効にするには、Web コンソー
ルの System > Configuration > Security > Client-side Logs タブで該当するオプ
ションを設定します。手順については、345 ページの「クライアントサイド ロギング
の設定」を参照してください。
„ セキュア アプリケーション マネージャの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
E メール クライアントの概要
IVE でライセンスが与えられたオプション機能に応じて、IVE では次の E メール サポート
が提供されます。
„
Secure Email Client オプション - セキュア E メール クライアントオプションがある
場合は、IVE は Internet Mail Application Protocol (IMAP4)、Post Office Protoco (POP3)
および Simple Mail Transfer Protocol (SMTP) をサポートします。
„
Secure Application Manager オプション - セキュア アプリケーション マネージャ
オプションがある場合は、IVE は、Microsoft Exchange MAPI および Lotus Notes のネ
イティブ プロトコルをサポートします。
メモ : IVE ライセンスに、Microsoft Exchange MAPI および Lotus Notes のネイティブ プ
ロトコルをサポートするセキュア アプリケーション マネージャ オプションが含まれる
場合には、このセクションの説明は無視してください。
セキュア E メール クライアント オプションを使用すれば、ユーザーは VPN クライアント
などのソフトウェアを追加することなく、標準ベースの E メール クライアントを使用し
て、リモートから企業の E メールに安全にアクセスできます。IVE は、Internet Mail
Application Protocol (IMAP4)、Post Office Protocol (POP3)、および Simple Mail Transfer
Protocol (SMTP) をサポートするどのメール サーバーにも対応しています。これには、
IMAP4/POP3/SMTP インターフェースを提供する Microsoft Exchange サーバーや Lotus
Notes メール サーバが含まれます。
IVE は、リモート クライアントとメール サーバーの間でセキュア E メール プロキシとし
ての役割を果たします。リモート クライアントは、(仮想)メール サーバーとして IVE を
使用し、SSL プロトコルを経由してメールを送信します。IVE はクライアントからの SSL
接続を終了し、LAN 内で暗号化されたメール トラフィックをメール サーバーに転送しま
す。次に、メール サーバーから送られた暗号化されたトラフィックを IVE が S-IMAP
(Secure IMAP)、S-POP(Secure POP)、および S-SMTP(Secure SMTP)トラフィックにそ
れぞれ変換し、SSL を通じて E メール クライアントに送信します。
詳細については、次を参照してください。
„
147 ページの「E メール クライアントの選択」
„
148 ページの「標準ベースのメール サーバーの使用」
„
148 ページの「Microsoft Exchange サーバーの使用」
„
150 ページの「Lotus Notes および Lotus Notes メール サーバーの使用」
E メール クライアントの選択
IVE は次のような E メール クライアントをサポートしています。
„
Outlook 2000 および 2002
„
Outlook Express 5.5 および 6.x
„
Netscape Messenger 4.7x および Netscape Mail 6.2
E メール クライアントの概要
„
147
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
一般に、E メールへのリモート アクセスが必要なユーザーは、次のいずれかのカテゴリ
に該当します。
„
会社のラップトップ ユーザー - 通常、これらのユーザーは職場でも社外でも同じ
ラップトップを使用します。
„
ホーム マシン ユーザー - これらのユーザーは、会社と自宅で別のマシンを使用し
ます。
ユーザーに E メール クライアントを推奨する前に、次のセクションを参照して、サポー
トされる各クライアントの対話方法を確認してください。
„
Lotus Notes メール サーバーなどの標準ベースのメール サーバー。詳細については、
148 ページの「標準ベースのメール サーバーの使用」を参照してください。
„
Microsoft Exchange サーバー。詳細については、148 ページの「Microsoft Exchange
サーバーの使用」を参照してください。
メモ : サポートされる各 E メール クライアントの設定方法は、サポート サイトで参照
できます。
標準ベースのメール サーバーの使用
IVE は、IMAP4、POP3、および SMTP をサポートするメール サーバに対応しています。
IMAP メール サーバー
„
会社のラップトップ ユーザー: サポートされる 6 種類の E メール クライアントのど
れでも使用できます。使い慣れた環境をそのまま使用できるように、職場でも社外で
も同じ (IVE を参照するように設定された ) クライアントを使用することをお勧めし
ます。
„
ホーム マシン ユーザー: サポートされる 6 種類の E メール クライアントのどれを使
用しても、IVE を経由して IMAP サーバーにリモート アクセスできます。
POP メール サーバー
„
会社のラップトップ ユーザー: サポートされる 4 種類の Outlook E メール クライア
ント * を使用できます。使い慣れた環境をそのまま使用できるように、職場でも社外
でも同じ (IVE を参照するように設定された ) クライアントを使用することをお勧め
します。
„
ホーム マシン ユーザー:サポートされる 4 種類の Outlook メール クライアント * の
どれを使用しても、IVE を経由して POP サーバーにリモート アクセスできます。
*
Netscape E メール クライアントは IVE によるセキュア データ通信に必要な S-POP をサ
ポートしていないため、POP モードではリモート アクセスに Netscape E メール クライア
ントを使用することはできません。
Microsoft Exchange サーバーの使用
Microsoft Exchange サーバーは次のクライアントをサポートしています。
148
„
サポート ネイティブ MAPI (Messaging Application Programming Interface) クライ
アント
„
IMAP クライアント
„
POP クライアント
„ E メール クライアントの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Outlook Web Access (OWA)
IVE は、IMAP クライアントおよび POP クライアント経由の場合はセキュア E メール クラ
イアント オプションを、OWA 経由の場合はセキュア Web ブラウジング機能をそれぞれ
使用して、Microsoft Exchange サーバーへのアクセスを提供します。
ネイティブ MAPI プロトコルを通じて Microsoft Exchange サーバーにアクセスする場合に
は、IVE にセキュア アプリケーション マネージャ オプションのライセンスが必要になり
ます。
Exchange Server と IMAP クライアント
会社でメール サーバーとして Exchange Server を使用している場合には、社員が職場で使
用する OS は、ネイティブ MAPI モードで Outlook 2000 または 2002 E メール クライアン
トを使用する構成が想定されています。
„
会社のラップトップ ユーザー: Outlook Express または Netscape クライアントを使
用して、IVE 経由で Exchange Server にリモート アクセスできます。1
„
ホーム マシン ユーザー: MAPI アカウントがリモート マシンに設定されていなけれ
ば、サポートされる 6 種類の E メール クライアントのどれを使用しても、IVE 経由
で Exchange Server にリモート アクセスできます。
IMAP モードで Outlook Express または Netscape クライアントを実行する場合には、次の
ようなフォルダの管理動作に注意する必要があります。
„
„
Outlook Express メール クライアントを使用する場合 - Outlook Express では、削除
された E メールは受信ボックスに抹消線付きで表示されるだけで、Outlook 2000 や
2002 クライアントを使用している場合のように Exchange Server の Deleted Items
フォルダに移動されることはありません。Outlook Express クライアントで削除済み
フォルダを空にすると、E メールは完全に消去されます。Outlook Express を使用する
場合には、次のいずれかの操作を実行することをお勧めします。
„
削除する E メールを Local Folders の下にある Deleted Items フォルダにドラッ
グします(これらのフォルダはデフォルトで表示されます)。このフォルダは、
Exchange サーバーの Deleted Items フォルダと同期しており、ユーザーは削除
した E メールを後で復元することができます。
„
Outlook Express の受信箱にある削除済み E メールはそのまま残し、Outlook
2000 または 2002 プログラムに次回にログインしたときに削除済み E メールを
Deleted Items フォルダに移動します。
Netscape メール クライアントを使用する場合 - 削除された E メールは Netscape の
Trash フォルダに移動され、Netscape の受信箱には表示されません。ただし、次の操
作を実行しない限り、Outlook 2000 または 2002 の受信箱からは消えません。
a.
削除済みメッセージが Trash フォルダに移動されるように Netscape プログラム
を設定して、終了時に受信箱を空にするオプションをオンにします。
1. Outlook 2000 クライアントの場合は、複数のユーザーが同じクライアントを使用してリモート アクセスするのを防
止するために、サポートされるメール サーバー設定は 1 つだけ(この場合はネイティブ MAPI モード)です。
Outlook 2002 クライアントの場合、MAPI と IMAP のサーバー設定を同時にサポートしますが、リモート ユーザーに
よって E メールが受信されるのを防止するために、MAPI アカウントがオフラインのときには IMAP 経由のアクセス
はできないようになっています。
E メール クライアントの概要
„
149
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
b.
他のプログラムの受信箱がサーバーと同期して同じメッセージが表示されるのを
防ぐためには、同時に実行するプログラムは 1 つだけにして、作業を終えたら
プログラムを終了するようにしてください。
また、送信済みの E メールは Netscape の Sent フォルダ(または他のユーザー定義
フォルダ)に移動されます。送信済みメッセージを Microsoft Exchange サーバーの
Sent Items フォルダにも表示するには、Netscape の Sent フォルダから送信済みメー
ルを Sent Items フォルダにドラッグする必要があります。
Exchange Server と POP クライアント
会社でメール サーバーとして Exchange Server を使用している場合には、社員が職場で使
用する OS は、ネイティブ MAPI モードで Outlook 2000 または 2002 E メール クライアン
トを使用する構成が想定されています。
„
会社のラップトップ ユーザー: サポートされるいずれかの Outlook Express クライア
ントを使用して、IVE 経由で Exchange サーバーにリモート アクセスできます。
„
ホーム マシン ユーザー:MAPI アカウントがリモート マシンに設定されていなけれ
ば、サポートされる 4 種類の Outlook クライアントのどれを使用しても、IVE 経由で
Exchange サーバーにリモート アクセスできます。
メモ : Netscape E メール クライアントは IVE によるセキュア データ通信に必要な
S-POP をサポートしていないため、POP モードではリモート アクセスに Netscape
E メール クライアントを使用することはできません。
Exchange サーバーと Outlook Web Access
Exchange サーバーへの OWA によるアクセスを可能にし、ユーザーが IVE Web ブラウジ
ング機能を通じて Exchange サーバーにアクセスできるようにするには、Web ベースのア
プリケーションとしてイントラネットに OWA を展開します。ネットワークの外部で OWA
の実装手順を実行する必要はありません。
メモ : IVE を使用して Outlook Web Access にアクセスする方が、直接 Outlook Web
Access をインターネットに接続するよりも安全です。これにより、Nimda などの攻撃か
ら Outlook Web Access IIS Web サーバーを保護できます。
Lotus Notes および Lotus Notes メール サーバーの使用
Lotus Notes メール サーバーは、POP3 インターフェースと IMAP4 インターフェースを提
供し、ユーザーは IVE を通じて Lotus Notes メール設定からメールを取り出すことができ
ます。Lotus メール サーバーへのリモート アクセスを必要とする社内の E メール ユー
ザーにどの E メール クライアントを推奨するかを判断するには、148 ページの「標準
ベースのメール サーバーの使用」の標準ベースのメール サーバーの使用法に関するセク
ションを参照してください。
150
„ E メール クライアントの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
タスク サマリー:IVE での E メール クライアントの設定
次のアクセスを有効にするには:
„
会社の IMAP/POP/SMTP メール サーバー - Web コンソールの Resource Policies >
Email Settings ページで、メール サーバー、E メール セッション、および認証情報を
指定します。詳細については、565 ページの「Email Client ページの設定」を参照し
てください。
„
Microsoft Exchange サーバー と Lotus Notes サーバー - Web コンソールの User >
Roles > SAM > Applications ページの設定を使用します。詳細については、472 ペー
ジの「Applications タブ」を参照してください。
E メール クライアントの概要
„
151
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Java アプレット アップロードの概要
IVE Java アプレット アップロード機能を使用すると、格納する別の Web サーバーを使わ
ずに、希望する Java アプレットを直接 IVE に保存できます。この機能を使用する場合は、
アプレットを IVE にアップロードして、そのアプレットを参照する IVE から簡単な Web
ページを作成します。これにより、IVE は、コンテンツ仲介エンジンを使用して Web ペー
ジと Java アプレット コンテンツを仲介します。
たとえば、IVE を使用して、ネットワーク上の IBM AS/400 システムと、ユーザーのコン
ピュータ上の個々の 5250 ターミナル エミュレータ間でトラフィックを仲介できます。こ
のトラフィックを仲介するように IVE を設定するには、5250 ターミナル エミュレータの
Java アプレットを取得します。このアプレットを IVE にアップロードして、そのアプレッ
トを参照する簡単な Web ページを作成できます。IVE から Web ページを作成したら、
IVE は、ユーザーが各自のホームページからアクセスできる対応するブックマークを作成
します。
メモ : この機能を使用するには、Java アプレット、Java アプレット パラメータ、および
HTML について精通している必要があります。
このセクションには、IVE からの Java アプレットのアップロード、有効化、アクセスに関
する次の情報が含まれています。
„
152 ページの「IVE への Java アプレットのアップロード」
„
153 ページの「アップロードする Java アプレットへの署名」
„
154 ページの「アップロードした Java アプレットを参照する HTML ページの作成」
„
154 ページの「Java アプレットのブックマークへのアクセス」
„
154 ページの「使用例:Citrix JICA 8.0 Java アプレットのブックマークの作成」
„
156 ページの「タスク サマリー: Java アプレットのアップロードと有効化」
IVE への Java アプレットのアップロード
IVE Java アプレット アップロード機能を使用すると、格納する別の Web サーバーを使わ
ずに、希望する Java アプレットを直接 IVE に保存できます。これらのアプレットを使用す
ると、IVE からトラフィックをさまざまなタイプのアプリケーションに仲介できます。た
とえば、3270 アプレット、5250 アプレット、または Citrix Java アプレットを IVE にアッ
プロードできます。これらのアプレットにより、ユーザーは ターミナル エミュレータか
ら IBM メインフレーム、AS/400、および Citrix MetaFrame サーバーへのセッションを確
立できます。IVE により Citrix java ICA クライアントを有効にするには、複数の Citrix .jar
および .cab ファイルを IVE にアップロードする必要があります。詳細については、154
ページの「使用例:Citrix JICA 8.0 Java アプレットのブックマークの作成」を参照してく
ださい。
IVE により、 .jar、.cab、.zip、および .class の各ファイルを、Web コンソールの
Resource Policies > Web > Java > Applets ページからアップロードできるようになりま
す。合計したファイル サイズが 100 MB を超えず、各パッケージが一意の名前を持ってい
れば、任意の数の Java アプレットを IVE にアップロードできます。
152
„ Java アプレット アップロードの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Sun と Microsoft の Java Virtual Machines (JVMs) の互換性を確保するには、 .jar と .cab の
両ファイルを IVE にアップロードする必要があります。
メモ : Java アプレットを IVE にアップロードする場合は、IVE は、アプレットのインス
トールを完了する前に法的同意書を読むよう求めます。この同意書は注意深くお読みく
ださい。これは、アップロードする Java アプレットの適法性、運用、およびサポートに
ついての全責任を負うことを義務付けています。
アップロードする Java アプレットへの署名
IVE からユーザーがアクセスできる他の Java アプレットとは異なり、IVE にアップロード
する Java アプレットに別途のコード署名ポリシーを作成する必要はありません。IVE は、
適切なコード署名証明書を使用して、自動的にこれらの Java アプレットに署名 ( または
再署名 ) を行います。コード署名証明書 ( アプレット証明書とも呼ばれます ) は、サー
バーサイド証明書の一種で、75 ページの「コード署名証明書」での説明のように、IVE
が仲介する Java アプレットの署名を書き直します。
Web コンソールの Resource Policies > Web > Java > Applets ページからアプレットを
アップロードする場合は、そのアプレットを信用するかどうかを指定します。信用すると
指定した場合は、IVE は、Web コンソールの System > Configuration > Certificates >
Code-signing Certificates ページからインストールするコード署名証明書を使用して、ア
プレットに署名 ( または再署名 ) します。
そのアプレットを信用することを示さない場合、または IVE にコード署名証明書をインス
トールしていない場合は、IVE は自己署名のアプレット証明書を使用して、そのアプレッ
トに署名または再署名します。この場合は、ユーザーが IVE からその Java アプレットにア
クセスするごとに、「信頼できない証明書発行者」の警告が表示されます。
図 37: Java アプレットに署名する際に使用する証明書の決定
Java アプレット アップロードの概要
„
153
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
アップロードした Java アプレットを参照する HTML ページの作成
Java アプレットを IVE にアップロードしたら、Web コンソールの Users > Roles > [ ロー
ル ] > Web > Bookmarks ページの設定を使用して、そのアプレットを参照する簡単な
Web ページを作成する必要があります。ユーザーは、ユーザーの IVE ホームページのブッ
クマークから、または外部 Web サーバーからこの Web ページにアクセスできます(154
ページの「Java アプレットのブックマークへのアクセス」を参照してください)。
この Web ページには、アップロードした Java アプレットを参照する簡単な HTML ページ
の定義が含まれている必要があります。また、Web ページには、選択できるその他の
HTML や JavaScript を含めることもできます。IVE は、HTML ページの定義や Java アプ
レットへの参照など、この Web ページの一部を生成できます。IVE はこの情報を生成す
る際に、未定義の値のプレース ホルダも作成し、必要な値を入力するようプロンプトし
ます。
Java アプレットのブックマークへのアクセス
IVE にアップロードされたアプレットにアクセスするには、ユーザーは次の 2 つの方法を
使用できます。
„
IVE エンド ユーザー コンソール上のブックマーク - アップロードした Java アプ
レットを参照する Web ページを作成すると、IVE は Web ページに対応するリンクを
作成し、そのリンクを IVE エンドユーザー コンソールの Bookmarks セクションに表
示します。適切なロールに割り当てられたユーザーは、このリンクをクリックするだ
けで Java アプレットにアクセスできます。
„
外部 Web サーバー上のリンク - ユーザーは、正しい URL を使用するだけで、外部
Web サーバーから Java アプレットのブックマークにリンクできます。ユーザーが
ブックマークの URL を入力 ( または URL を含む外部リンクをクリック ) すると、IVE
はユーザーに IVE ユーザー名とパスワードを入力するように要求します。ユーザーが
正常に認証されると、IVE はそのブックマークへのアクセスを許可します。次の行で
説明する構文のいずれかを使用すると、URL を Java アプレットのブックマークに構
成できます。
https://<IVE>/dana/home/launchwebapplet.cgi?id=bmname=<bookmarkName>
https://<IVE>/dana/home/launchwebapplet.cgi?id=<bookmarkID>
(Java アプレットのブックマークの ID を調べるには、IVE ホームページからブック
マークにアクセスし、Web ブラウザのアドレス バーから ID を抽出します )。)
メモ : Java アプレットのブックマークにアクセスするために IVE にサインインする場合
は、ユーザーは、Web コンソールの System > Network > Overview ページから指定し
た IVE ホスト名を使用する必要があります。ユーザーが IP アドレスを使用して IVE にサ
インインすると、ブックマークまたは URL にアクセスできません。
使用例: Citrix JICA 8.0 Java アプレットのブックマークの作成
このセクションでは、Citrix ICA クライアント (JICA) の 8.0 Java バージョンを使用して、
IVE からの Citrix Metaframe サーバーへのアクセスを有効にする方法を説明します。
154
„ Java アプレット アップロードの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Java アプレット アップロード機能を使用して、Citrix JICA 8.0 クライアントを有効にする
には、次の操作を実行します。
1.
156 ページの「タスク サマリー: Java アプレットのアップロードと有効化」で説明
されているように、IVE のホストネームを指定して、コード署名証明書をインポート
します。
2.
次の .jar と .cab ファイルを、Web コンソールの Resource Policies > Web > Java >
Applets ページにより、IVE にアップロードします。( これらのファイルは、Citrix
Web サイトにあります )。これらのファイルをアップロードするときに、次のそれぞ
れに同じ名前を指定します (“Citrix JICA 8” など )。
3.
„
JICA-configN.jar
„
JICA-coreN.jar
„
JICA-configM.cab
„
JICA-coreM.cab
Web コンソールの Users > Roles > [ ロール ] > Web > Bookmarks ページから、
Java アプレットのブックマークを作成します。ブックマークの Web ページを生成す
る場合は、ステップ 2 で指定した名前 (“Citrix JICA 8” など ) をアプレットのリストか
ら選択します。選択すると、IVE はすべての .jar と .cab ファイルを対応する Web
ページに自動的に挿入します。続いて、次の例に従って、Citrix クライアントのパラ
メータを指定します。
<html>
<head>
<title>CitrixJICA Applet.</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body>
<applet code="com.citrix.JICA"
codebase="<< CODEBASE >>"
archive="JICA-configN.jar,JICA-coreN.jar"
width="640" height="480"
name="CitrixJICA" align="top">
<param name="code" value="com.citrix.JICA">
<param name="codebase" value="<< CODEBASE >>">
<param name="archive" value="JICA-configN.jar,JICA-coreN.jar">
<param name="cabbase" value="JICA-configM.cab,JICA-coreM.cab">
<param name="name" value="CitrixJICA">
<param name="width" value="640">
<param name="height" value="480">
<param name="align" value="top">
<!-Please specify additional params here after the comment.
<param name="paramname" value="paramvalue">
-->
<param name="Address" value="YourMetaFrameServer.YourCompany.net">
<param name="Username" value="<<USERNAME>>">
<param name="password" value="<<PASSWORD>>"> <param
name="initialprogram" value="#notepad">
<param name="EncryptionLevel" value="1">
<param name="BrowserProtocol" value="HTTPonTCP">
<param name="End" value="end.html">
Java アプレット アップロードの概要
„
155
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
</applet>
</body>
</html>
タスク サマリー: Java アプレットのアップロードと有効化
IVE で Java アプレットのブックマークを作成し、有効化するには、次の操作を実行し
ます。
156
1.
Web コンソールの System > Network > Overview で、IVE のホスト名を指定しま
す。Java アプレットを IVE にアップロードしたときに、IVE が Java アプレットを書き
換えられるようにホスト名を指定する必要があります。手順については、310 ページ
の「一般的なネットワーク構成の設定」を参照してください。
2.
Web コンソールの Resource Policies > Web > Java > Applets ページの設定を使用
して、希望する 1 つまたは複数のアプレットを IVE にアップロードします。アプ
レットをアップロードするときに、IVE にコード署名証明書を使用してアプレットに
署名させるかどうかを指定します。手順については、514 ページの「Java アプレット
の IVE へのアップロード」を参照してください。
3.
Web コンソールの以下のページで適切なアクセス設定を行います。
a.
Web コンソールの Users > Roles > [ ロール ] > Overview ページにより、ユー
ザーが Web リソースにアクセスできるようにします。
b.
Web コンソールの Users > Roles > [ ロール ] > Web > Options ページにより、
ユーザーが Java アプレットにアクセスできるようにする。
c.
外部リソース (Metaframe サーバーなど ) にアクセスする必要がある場合は、
Resource Policies > Web > Java > Access Control ページにより、そのリソース
にアクセスできるようにする。
4.
Web コンソールの Users > Roles > [ ロール ] > Web > Bookmarks ページの設定を
使用して、アップロードしたアプレットを参照する Web ブックマークを作成する。
ブックマークを作成するときに、HTML を使用して、Web ページを作成し、必要な属
性とパラメータを Java アプレットに渡します。さらに、JavaScript や IVE 変数を使用
することもできます。手順については、462 ページの「Web URL へのブックマーク作
成」を参照してください。
5.
ステップ 2 でアプレットに署名する選択をした場合は、Web コンソールの System >
Configuration > Certificates > Code-Signing Certificates ページの設定を使用して、
IVE に Java 証明書をアップロードします ( オプション )。このステップを省略する選
択をした場合は、ユーザーが対応するブックマークにアクセスするごとに、信頼性の
ない証明書に対する警告が表示されます。手順については、306 ページの「コード署
名証明書のインポート」を参照してください。
„ Java アプレット アップロードの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
データ転送プロキシの概要
データ転送プロキシ機能を使用すると、IVE によって最小限のデータ送受信を実行する
Web アプリケーションを指定できます。従来型のリバース プロキシ機能の場合、選択し
たサーバー レスポンスの一部を再書き込みするだけで、ネットワークの変更や複雑な設
定が必要とされました。しかし、この機能では、アプリケーション サーバーと、アプリ
ケーション サーバーへのクライアント要求を IVE で受信する方法を指定するだけで済み
ます。
„
Via an IVE port - データ転送プロキシが仲介するアプリケーションを指定するとき
に、IVE がアプリケーション サーバーへのクライアント要求をリスンするポートを指
定します。は、アプリケーション サーバーへのクライアント要求を受信すると、指定
されたアプリケーション サーバー ポートにこの要求を転送します。このオプション
を選択する場合、企業ファイアウォール上にある指定の IVE ポートに対して、トラ
フィックを開く必要があります。
„
Via virtual host name - データ転送プロキシが仲介するアプリケーションを指定す
るときに、アプリケーション サーバーのホスト名のエイリアスを指定します。IVE に
解決されるこのエイリアスのエントリを外部 DNS に追加する必要があります。IVE
は、エイリアスに対するクライアント要求を受信すると、アプリケーション サー
バー用に指定したポートにこの要求を転送します。
このオプションが役立つのは、企業が IVE にアクセスするファイアウォール ポート
を開くのに厳格なポリシーを設定している場合です。このオプションを使用する場
合、各ホスト名のエイリアスに IVE ホスト名と同じドメインの部分文字列を含め、
IVE に *.domain.com という形式でワイルド カードのサーバー証明書をアップロー
ドすることをお勧めします。
たとえば、IVE が iveserver.yourcompany.com である場合、ホスト名のエイリアスは
appserver.yourcompany.com の形式にする必要があり、ワイルド カード証明書の形
式は *.yourcompany.com のようになります。ワイルド カード証明書を使用しない
と、ユーザーがアプリケーション サーバーを参照するときに、証明書の名前を
チェックするように、クライアント ブラウザに警告が表示されます。これは、アプリ
ケーション サーバーのホスト名のエイリアスが、証明書のドメイン名に一致しない
からです。ただし、このような状況でも、アプリケーション サーバーに対するユー
ザーのアクセスは阻止されません。
ホスト名のエイリアスに基づいてクライアント要求を IVE にルートすることを選択し
た場合、外部 DNS サーバーに IVE を追加する必要もあります。このオプションが役
立つのは、内部サーバーと DMZ にあるサーバーのどちらにファイアウォール ポート
を開くのか、制限的なポリシーがある場合です。
メモ : 仮想ホスト名モードで動作するようにデータ転送プロキシを設定する場合は、
ユーザーは、IVE にサインインするときに、Web コンソールの System >
Network > Overview ページから指定した IVE ホスト名を使用する必要があります。
ユーザーが IP アドレスを使用して IVE にサインインすると、データ転送プロキシに
アクセスできません。
データ転送プロキシの概要
„
157
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
コアの仲介エンジンとして、データ転送プロキシ オプションは、セキュア アプリケー
ション マネージャに応じて、高いセキュリティを提供します。アプリケーションに対して
この機能を有効にすると、IVE は、クライアントが企業ネットワークの固定されたアプリ
ケーション ポートにレイヤー 7 トラフィックだけを送信できるようにします。このオプ
ションを使用すると、IVE は、Oracle e-business スイート アプリケーションにある Java
アプレットまたはサポートされていない Java Virtual Machine で実行するアプレットなど、
コンテンツ仲介エンジンと互換性のないコンポーネントでもアプリケーションをサポート
できるようにします。
メモ : データ転送プロキシ オプションが機能するのは、固定ポートでリスンしてい
るアプリケーションの場合だけです。クライアントは、直接的なソケット接続を確
立しません。
詳細については、次を参照してください。
„
158 ページの「データ転送プロキシの使用例」
„
158 ページの「タスク サマリー:データ転送プロキシの設定」
データ転送プロキシの使用例
IVE が iveserver.yourcompany.com であり、oracle.companynetwork.net:8000 で Oracle
サーバーを使用している場合、IVE ポートを指定するときに、次のようにアプリケーショ
ン パラメータを指定できます。
Server: oracle.companynetwork.net
Port: 8000
IVE port: 11000
IVE は、 iveserver.yourcompany.com:11000 に送られた Oracle クライアント トラフィッ
クを受信すると、このトラフィックを oracle.companynetwork.net:8000 に転送します。
また、ホスト名にエイリアスを指定したい場合は、次のパラメータでアプリケーションを
設定できます。
Server: oracle.companynetwork.net
Port: 8000
IVE alias: oracle.yourcompany.com
IVE は、 oracle.yourcompany.com に送られた Oracle クライアント トラフィックを受信す
ると、このトラフィックを oracle.companynetwork.net:8000 に転送します。
タスク サマリー: データ転送プロキシの設定
データ転送プロキシを設定するには、次の操作を行います。
158
„ データ転送プロキシの概要
1.
仲介したい Web アプリケーションにアクセスするユーザー ロールを決定し、これら
のロールの Web アクセスを、Web コンソールの Users > Roles > [ ロール ] >
General > Overview ページで有効にします。手順については、453 ページの「一般
的なロール設定とオプションの管理」を参照してください。
2.
IVE が最小の仲介を行うアプリケーションを、Web コンソールの Resource
Policies > Web> Rewriting > Passthrough Proxy ページで指定します。手順につい
ては、517 ページの「データ転送プロキシ リソース ポリシーの作成」を参照してく
ださい。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
データ転送プロキシのリソース ポリシーで IVE がクライアントの要求を IVE ポート
から受信できるようにした場合は、企業ファイアウォールの指定したポートへのトラ
フィックを開きます。ポリシーが仮想ホスト名からの要求を有効にする場合は、次を
行います。
a.
IVE に解決される各アプリケーション サーバー ホスト名のエイリアス エントリ
を外部 DNS に追加する。
b.
Web コンソールの System > Network > Internal Port ページで、IVE 名とホス
ト名を定義します。手順については、310 ページの「一般的なネットワーク構成
の設定」を参照してください。
c.
Web コンソールの System > Configuration > Certificates > IVE Certificates
ページから、ワイルドカード証明書を IVE にアップロードします。または、同じ
ページの設定を使用して、複数の証明書をアップロードして、仮想ポートを各証
明書に関連付けます。手順については、293 ページの「既存のルート証明書と秘
密鍵のインポート」および 295 ページの「仮想ポートと証明書の関連付け」を参
照してください。
データ転送プロキシの概要
„
159
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
リモート SSO の概要
リモート シングル サインオン (SSO) 機能により、ユーザーが複数のバックエンド アプリ
ケーションにアクセスする際に認証情報の入力回数が最低限で済むように、IVE がユー
ザーの認証情報を転送するアプリケーションの URL サインイン ページを指定できます。
追加のフォーム値とカスタム ヘッダ ( クッキーなど ) を指定して、アプリケーションのサ
インイン フォームを転送することもできます。
リモート SSO 設定は、以下の Web リソース ポリシーで構成されます。
„
„
フォーム転送ポリシー - このリモート SSO ポリシーでは、IVE データを転送したい
アプリケーションのサインイン ページの URL と、転送するデータを指定します。こ
のデータには、1 つめまたは 2 つめの IVE ユーザー名とパスワード (101 ページの
「複数サインイン認証情報の概要」) に加えて、システム変数によって保存されたシ
ステム データを含めることが可能です(617 ページの「システム変数とその例」)。
ユーザーがこの情報を変更できるかどうかも指定できます。設定手順については、
523 ページの「Remote SSO タブ」を参照してください。
ヘッダ / クッキー ポリシー - このリモート SSO ポリシーでは、カスタム ヘッダ / クッ
キーを送信できるカスタマイズしたアプリケーションなどのリソースを指定します。
設定手順については、525 ページの「Headers/Cookies タブ」を参照してください。
ユーザーの IVE 認証情報がバックエンド アプリケーションで要求されるものと異なる場
合、以下の方法でこのアプリケーションにアクセスすることができます。
„
手動で署名する - 自分の認証情報を手動でアプリケーションのサインイン ページに
入力すると、ユーザーはバックエンド アプリケーションに素早くアクセスできます。
また、以下に説明する Preferences ページを使用して、認証情報やその他の必要な情
報を IVE に永久保存することもできますが、必須ではありません。
„
IVE で必要な資格証明を指定する - ユーザーは、Preferences ページを使用して IVE
にユーザーの正しいアプリケーション認証情報を供給する必要があります。設定後、
ユーザーはサインアウトしてから再びサインインし、自分の認証情報を IVE に保存し
なければなりません。次回、ユーザーがリモート SSO のブックマークをクリックし
てアプリケーションにサインインすると、IVE によって更新済みの認証情報が送信さ
れます。
メモ : リモート SSO 機能は、HTML フォーム内の静的 POST アクションを持つアプリ
ケーションにデータを渡す際に使用します。URL POST アクションや、時間による期限
切れ設定、フォームの作成時に生成される POST アクションを頻繁に変更するアプリ
ケーションでリモート SSO を使用するのは実用的ではありません。
160
„ リモート SSO の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ターミナル サービスの概要
Windows サーバー、または Citrix Metaframe サーバーのターミナル エミュレーション
セッションを有効にするにはターミナル サービス機能を使用します。セッションは、ユー
ザーが接続できるサーバー、ターミナル セッションのウインドウ パラメータ、IVE が
Windows または Metaframe サーバーに送信するユーザー名およびパスワードを含め、
様々な情報を定義します。ロールに対応するセッションを何種類も作成できるため、ユー
ザーは各々異なるセッションを使用して複数のサーバーにアクセスすることができます。
この機能を使用すると以下のセッションが有効になります。
„
Windows ターミナル セッション - Remote Desktop Protocol(RDP)クライアントが
ユーザーのシステム上に存在しない場合、IVE は直接 IVE サーバーから Remote
Desktop Protocol (RDP) クライアントをダウンロードします。RDP クライアントは
Windows サーバーとユーザーのマシンとの接続を可能にする Windows コンポーネン
トです。これにより、ネットワークを介してキーボード、マウス、表示についての情
報を送信するだけで、ユーザーは Windows サーバーでアプリケーションを実行する
ことができます。
„
Citrix セッション - Citrix Independent Computing Architecture (ICA) ActiveX クライア
ントのいかなるバージョンもユーザーのシステム上に存在しない場合、IVE はそれを
ユーザーのマシンにダウンロードします。ICA クライアントは Citrix Metaframe サー
バーとユーザーのマシンとの接続を可能にする Citrix コンポーネントです。これによ
り、ネットワークを介してキーボード、マウス、表示についての情報を送信するだけ
で、ユーザーはサーバーでアプリケーションを実行することができます。IVE は、
Web サイトから指定する ICA クライアントをインストールします。
メモ : IVE は ICA ActiveX クライアントのみをチェックし、Java や fat クライアントを
チェックしません。ICA ActiveX クライアントが既にマシンにインストールされているか
どうかを調べるには、Windows レジストリで次のエントリをチェックします。
HKEY_CLASSES_ROOT\CLSID\{238F6F83-B8B4-11CF-8771-00A024541EE3}
ターミナル サービス クライアントをインストールし実行するために必要な権利ついての
詳細は、653 ページの「クライアント サイドのアプリケーション インストール」を参照
してください。
接続したら、IVE は、Windows または Metaframe サーバーとユーザーのシステムにイン
ストールされた RDP または ICA クライアント間のトラフィックを仲介します。ユーザー
は、標準の IVE ブックマークまたは IVE ホームページ上のブラウズ バーを使用して、ま
たはサードパーティのサイトからホストされるリンクを使用して、IVE から RDP クライ
アントおよび ICA クライアントにアクセスできます。ユーザーは同一または異なるターミ
ナル サーバーに対して複数のセッションを同時に開くことができます。ターミナル サー
ビス機能の設定についての詳細は、162 ページの「タスク サマリー:ターミナル セッ
ションの設定」を参照してください。
IVE は、ターミナル サービス以外のアクセス メカニズム (J-SAM、W-SAM、Network
Connect、および Java 再書き込み機能など ) を使用して Citrix のトラフィックのトン
ネリングを可能にします。詳細については、162 ページの「Citrix へのアクセスに関す
る J-SAM とターミナル サービスの比較」を参照してください。
ターミナル サービスの概要
„
161
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Citrix へのアクセスに関する J-SAM とターミナル サービスの比較
IVE は、Citrix サーバーとターミナル サービス、J-SAM、W-SAM、および Network
Connect、Java 再書き込み機能を含むクライアント間のトラフィックを仲介する数種類の
メカニズムをサポートします。このセクションでは、ターミナル サービス セッションと
J-SAM セッションを比較して Citrix へのアクセスの主な相違点を概説します。
表 9: Citrix へのアクセスに関する J-SAM とターミナル サービスの比較
要件
Citrix ターミナル セッション
J-SAM
設定ポート
IVE は、自動的に ポート
1494 を通るすべてのトラ
フィックを監視します。どの
ポートを監視するか、あるい
はどのアプリケーションを仲
介するかを設定する必要はあ
りません。
IVE が監視するポートとモニ
タを指定する必要がありま
す。これによって Citrix
Secure Gateways(CSG)や
1494 以外のポートを使用す
る発行アプリケーションなど
といったアプリケーションが
使えるようになります。
ICA クライアントの
ホスティング
IVE カスタム ICA ファイルを ICA クライアントを保存する
IVE にインストールできます。 別の Web サーバーを維持する
ユーザーのシステム上に他の 必要があります。
ファイルが一切インストール
されていない場合、IVE は指
定した ICA ファイルを読み込
むだけです。
管理者権限
ICA クライアントをインス
トールするには管理者権限が
必要です。ただし、インス
トールが終了したら、ユー
ザーはトラフィックを仲介す
るために管理者権限を必要と
しません。詳細については、
653 ページの「クライアント
サイドのアプリケーション イ
ンストール」を参照してくだ
さい。
Windows ICA クライアントを
インストールするには管理者
権限が必要です。Java ICA ク
ライアントを使用してトラ
フィックを仲介するには管理
者権限を必要としません。
ホスト ファイルの修正
etc ホスト ファイルの修正を
etc ホスト ファイルの修正を
必要としません。
必要としません。
タスク サマリー: ターミナル セッションの設定
IVE セッションを Windows Terminal Server または Citrix Metaframe Server に設定するに
は、次の操作を実行します。
1.
Web コンソールの Users > Roles > [ ロール ] > Overview ページにより、ユーザー
がターミナル サービスにアクセスできるようにします。
2.
ターミナル サーバーへのアクセスに使用するメカニズムのタイプを指定します。
„
162
„ ターミナル サービスの概要
Terminal Services ブックマーク - Terminal Services ブックマークを IVE ホーム
ページ上に作成するには、Web コンソールの Users > Roles > [ ロール ] >
Terminal Services > Sessions ページの設定を使用します。手順については、483
ページの「Terminal Services セッションのブックマークの作成」を参照してくだ
さい。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
4.
„
外部サイトからのリンク - ユーザーが外部の Web サイトからアクセスできる
IVE 上にターミナル セッションのリンクを作成するには、486 ページの「外部サ
イトからターミナル サービス ブックマークへのリンクの作成」の指示に従って
ください。
„
ブラウズ バー - IVE ホームページ上の IVE ブラウズ バーから、ユーザーがター
ミナル サーバーにアクセスできるようにするには、Web コンソールで Users >
Roles > [ ロール ] > Terminal Services > Sessions ページの Users can add
sessions チェックボックスを選択します。手順については、488 ページの「一般
的な Terminal Services オプションの指定」を参照してください。(Terminal
Services ブラウズ パラメータ rdp:// および ica:// については、IVE エンドユー
ザー ヘルプ システムを参照してください。)
ステップ 2 で選択するアクセス メカニズムに対応するリソース ポリシーを作成しま
す。以下のアクセスを可能にするリソース ポリシーを作成するには:
„
Terminal Services ブックマーク - 個々のリソース ポリシーを手動で作成するに
は、Web コンソールの Resource Policies > Terminal Services > Access
Controls ページの設定を使用します。手順については、552 ページの「Terminal
Services Policies ページの設定」を参照してください。または、Users > Roles >
[ ロール ] > Terminal Services > Options ページの設定を使用して、必要なリ
ソース ポリシーを自動的に作成します。手順については、488 ページの「一般的
な Terminal Services オプションの指定」を参照してください。
„
外部サイトからのリンク - IVE がリンクやリンクを含むページを再書き込みし
ないようにするポリシーを作成するには、Web コンソールの Resource
Policies > Web > Rewriting > Selective Rewriting ページの設定を使用します。
手順については、516 ページの「選択的な再書き込みリソース ポリシーの作成」
を参照してください。
„
ブラウズ バー - 個々のリソース ポリシーを手動で作成するには、Web コン
ソールの Resource Policies > Terminal Services > Access Controls ページの設
定を使用します。手順については、552 ページの「Terminal Services Policies ペー
ジの設定」を参照してください。
(Citrix のみ ) IVE がユーザーのシステムにアップロードする Citrix クライアントを取
得する場所を指定するには、Web コンソールの Users > Roles > [ ロール ] >
Terminal Services > Options ページの設定を使用します。手順については、488 ペー
ジの「一般的な Terminal Services オプションの指定」を参照してください。さらに、
IVE が外部の Web サイトから Citrix クライアントを取得することを指定する場合は、
次の操作を実行します。
a.
Web コンソールの Resource Policies > Web > Access ページの設定から、Citrix
クライアントが存在する Web サイトへのアクセスを有効にします。手順につい
ては、507 ページの「Web Access リソース ポリシーの作成」を参照してくださ
い。
b.
Web コンソールの Resource Policies > Web > Caching ページの設定から、
キャッシングを有効にして、ユーザーのブラウザが Citrix クライアントを配信で
きるようにします。( スマート キャッシングではなく、標準キャッシングを有効
にする必要があります。) 手順については、509 ページの「Web Caching リソー
ス ポリシーの作成」を参照してください。
ターミナル サービスの概要
„
163
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
セキュア ミーティングの概要
IVE ユーザーは、Secure Meeting を使用することにより IVE ユーザーと非 IVE ユーザー間
の両方でオンライン ミーティングをセキュアに計画および開催できます。ミーティングで
は、ユーザーはセキュアな接続を通じてデスクトップとアプリケーションを相互に共有で
きます。これにより、ミーティング参加者全員が画面上で電子データを即時に共有するこ
とができます。ミーティング参加者は、デスクトップを相互にリモート コントロールし、
プレゼンテーションを妨害しないよう別のアプリケーション ウィンドウを使用してテキ
ストによるチャットを行い、オンラインでセキュアに共同作業することもできます。
このセクションには、Secure Meeting の以下の説明が含まれています。
164
„
165 ページの「Secure Meeting の機能」
„
171 ページの「Secure Meeting のパーミッシブ マージ ガイドライン」
„
172 ページの「Secure Meeting のトラブルシューティング」
„
173 ページの「タスク サマリー: Secure Meeting の設定」
„
174 ページの「タスク サマリー: Secure Meeting の監視」
„ セキュア ミーティングの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Secure Meeting の機能
Secure Meeting の機能には次のものがあります。
„
165 ページの「ミーティングのスケジュール」
„
167 ページの「インスタント ミーティングの作成」
„
167 ページの「通知 E メールの送信」
„
168 ページの「ミーティングへの参加」
„
170 ページの「ミーティングへの出席」
„
170 ページの「ミーティングの管理」
„
171 ページの「ミーティングでの提示」
ミーティングのスケジュール
Secure Meeting での各オンライン ミーティングは、IVE ユーザーがスケジュールする必要
があります。ミーティング作成者は、ミーティング名、ミーティングの説明、開始日時、
定期パターン、所要時間、パスワード、参加者リストなどのミーティングの詳細を指定し
ます。
ミーティング作成者は、以下のいずれかのアプリケーションを使用して、ミーティングの
スケジュールを行います。
„
IVE エンド ユーザー コンソール - ミーティング作成者が IVE エンド ユーザー コン
ソールを使用してミーティングをスケジュールすると、Secure Meeting はミーティン
グ対応の IVE 参加者の Meetings ページにスケジュールを表示します。Simple Mail
Transfer Protocol (SMTP) E メール サーバーを利用可能にしている場合、Secure
Meeting によってメール アドレスがわかっている各参加者に通知 E メールが送信さ
れます (167 ページの「通知 E メールの送信」を参照してください )。詳細について
は、165 ページの「IVE エンド ユーザー コンソールによるミーティングのスケ
ジュール」を参照してください。
„
Microsoft Outlook - ミーティング作成者が Microsoft Outlook を使用してミーティン
グをスケジュールすると、Outlook によって、Outlook が使用可能な他の参加者の
Calendar ページにスケジュールが表示され、Outlook E メール サーバー経由で各参
加者に通知メールが送信されます (167 ページの「通知 E メールの送信」を参照して
ください )。また、Secure Meeting により、ミーティング作成者の IVE エンド ユー
ザー コンソールの Meetings ページにそのミーティングが表示されます ( ただし、
SMTP サーバー経由で E メール通知は送信されません )。詳細については、166 ページ
の「Microsoft Outlook によるミーティングのスケジュール」を参照してください。
IVE エンド ユーザー コンソールによるミーティングのスケジュール
ロール レベルでミーティング作成機能を有効にすると、IVE ユーザーは、IVE エンド ユー
ザー コンソールの Meetings ページからミーティングを作成することができます。ミー
ティングを作成するときは、ミーティング名、ミーティングの説明、開始日時、定期パ
ターン、所要時間、パスワード、参加者リストなどの標準ミーティング詳細をすべて指定
する必要があります。さらに、参加者全員を、次の 2 つのカテゴリのいずれかに分類する
必要があります。
„
IVE invitees - IVE 参加者 (ネットワーク内部の参加者とも呼ばれます)は、ミー
ティング作成者と同じ IVE アプライアンスまたはクラスタからサインインしている
IVE ユーザーです。ユーザーをミーティングに招待する場合は、ミーティング作成者
はユーザーの IVE ユーザー名と認証サーバーを指定する必要があります。詳細につい
ては、493 ページの「Auth Servers タブ」を参照してください。
セキュア ミーティングの概要
„
165
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Non-IVE invitees - 非 IVE 参加者 (ネットワーク外部の参加者とも呼ばれます)は、
非 IVE ユーザーか、ミーティング作成者とは異なる IVE アプライアンスまたはクラス
タからサインインしている IVE ユーザーです。非 IVE ユーザーをミーティングに招待
するときに、ミーティング作成者はユーザーの E メール アドレスを指定する必要が
あります。
メモ : IVE 参加者が、IVE エンド ユーザー コンソールの Meetings ページの代わりに、
ミーティング URL を使用してミーティングに参加すると、Secure Meeting によって非
IVE 参加者として扱われます。詳細については、168 ページの「ミーティングへの参加」
を参照してください。
Microsoft Outlook によるミーティングのスケジュール
ロール レベルでミーティング作成機能を有効にすると、IVE ユーザーは、Outlook プラグ
イン用 Secure Meeting を使用して、Microsoft Outlook のカレンダーからミーティングを
作成することができます。
1.
このプラグインは、IVE エンド ユーザー コンソールの Meetings ページからインス
トールします。
2.
Outlook で New > Secure Meeting を選択して Secure Meeting スケジュール フォーム
を開きます。
3.
Secure Meeting タブを使用して、ミーティングが予定される IVE の詳細、および
ユーザーのサインイン証明情報、領域、ミーティング パスワードを入力します。
メモ : Microsoft Outlook の制限のため、すべてのミーティングの詳細を Microsoft
Outlook と IVE の間で共有することはできません。たとえば、IVE でミーティングをスケ
ジュールした場合、Microsoft Outlook の予定表にそのミーティングは表示されません。
制限についての詳細リストは、IVE エンド ユーザー ヘルプ システムおよび Secure
Meeting for Outlook プラグイン インストーラから利用できる Secure Meeting for Outlook
ドキュメントを参照してください。
4.
Scheduling および Appointment タブから Outlook の標準機能を使用して、ミーティ
ングのスケジューリングと参加者の追加を行います。セキュア ミーティングでは、
Outlook での標準または定期ミーティングの作成がサポートされています。
5.
予定表エントリを保存して、Secure Meeting サーバーに情報を送信します。ミーティ
ングを保存する際、プラグインがセキュア サーバーと交信しているため、証明書の
警告が表示される場合があります。
6.
Outlook プラグイン用 Secure Meeting によって作成されたテキストとミーティングの
URL を使用して参加者に招待 E メールが送信されます。ミーティング参加者の
Outlook の予定表にもミーティングが追加されます。この予定表アイテムには、
Outlook によって記録された基準情報のすべて、および ステップ 3 でミーティング作
成者によって指定された情報を含む追加の Secure Meeting タブが含まれています。
IVE は、SMTP サーバーを使用して追加の E メールを送信しないので注意してくださ
い。詳細については、167 ページの「通知 E メールの送信」を参照してください。
メモ : Secure Meeting for Outlook プラグインは、Outlook 2000、2002、または 2003 を
搭載した Windows OS でのみサポートされます。
166
„ セキュア ミーティングの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
インスタント ミーティングの作成
ミーティング作成者はインスタント ミーティングを作成することにより、ほとんどのス
ケジュール ステップを省略することができます。インスタント ミーティング機能では、
IVE ユーザーはミーティングの作成と参加を 2 つの簡単なステップで行えます。まず、
ユーザーは、IVE エンド ユーザー コンソールの Meetings ページで Instant Meeting をク
リックする必要があります。これを行うと、Secure Meeting により以下の作業が自動的に
行われます。
„
固有の名前とパスワードを持つミーティングを作成する。
„
ミーティングがすぐに開始できるようスケジュールを組む。
„
所要時間を 60 分に指定する。
„
ミーティング作成者を唯一の参加者として追加する。
„
ミーティング作成者のデスクトップに Join Meeting ページを表示する。
その後、ミーティング作成者は Start Meeting をクリックするだけでミーティングを開始
することができます。
サポート ミーティングにはインスタント ミーティングがよく使用されます。たとえば、
IVE ユーザーがお客様のアプリケーションに生じた問題のトラブルシューティングを行う
必要がある場合には、Secure Meeting を使用して、IVE ユーザーは、すばやくインスタン
ト ミーティングを作成し、お客様を司会者に設定することができます。これで、問題が生
じたアプリケーションをお客様が開き、共有することが可能になります。お客様が問題を
再現している間に、IVE ユーザーは Secure Meeting ビューア ウィンドウを通じて、お客
様が実行する一連の操作を簡単に確認できます。ここで、IVE ユーザーは問題のトラブル
シューティングを行うか、コントローラ機能を使って問題の修正方法を実際にやって見せ
ることができます。この場合、お客様から IVE ユーザーにアプリケーションの制御権限を
付与してもらえば、自分のマウスやキーボードを使って共有するアプリケーションを操作
できます。
メモ : ミーティング作成者はインスタント ミーティングの唯一の参加(招待)者である
ため、E メール通知を使用してその他のミーティング参加者に詳細を通知することはで
きません。他の出席者がミーティングに参加できるようにするには、参加に必要なミー
ティング URL、ID、およびパスワード (168 ページの「ミーティングへの参加」を参照 )
などの情報を提供する必要があります。あるいは前に戻って、ミーティングの作成後に
Meeting Details ページで参加者を手動で追加する必要があります。また、ミーティング
作成者は唯一の IVE 参加者であるため、ミーティング中の唯一の運営管理者 ( コンダク
タ ) となります (170 ページの「ミーティングの管理」を参照 )。
通知 E メールの送信
ミーティング作成者が新規または変更したミーティングを保存したときに、通知 E メー
ルを参加者に送信するように Secure Meeting または Outlook を設定できます。E メールに
は、ミーティングの詳細、参加者がミーティングへ参加する際に使用するリンク、さらに
参加者が自分のシステムがセキュア ミーティングと互換性があるかどうかを確認するた
めに使用するリンクが含まれます。(詳細については、174 ページの「タスク サマリー:
Secure Meeting の監視」を参照してください。)
セキュア ミーティングの概要
„
167
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ユーザーが IVE エンド ユーザー コンソールからミーティングをスケジュールする場合は、
E メール通知を参加者に送信するために、Web コンソールの Resource Policies >
Meetings ページで SMTP サーバーを有効にする必要があります。これを行うと、Secure
Meeting は、以下のソースから E メール アドレスを取得します。
„
Preferences ページ - IVE ユーザーは自分の E メール アドレスを Preferences ページ
の General タブで入力できます。この場合、ミーティングの作成者が Add Invitees ダ
イアログ ボックスの Local タブからユーザーの名前を選ぶとき、セキュア ミーティ
ングは自動的にそのアドレスを使用します。詳細については、493 ページの「Auth
Servers タブ」を参照してください。
„
LDAP サーバー - ミーティング作成者は、LDAP サーバーからユーザーを追加できま
す。そのサーバーが、ユーザーの E メール アドレスを保存する場合は、ミーティン
グ作成者が Add Invitees ダイアログ ボックスの LDAP タブからユーザーの名前を選
ぶとき、Secure Meeting は自動的にそのアドレスを使用します。詳細については、
493 ページの「Auth Servers タブ」を参照してください。
„
Create Meeting ページ - ミーティング作成者は、ミーティングのスケジュールまた
は更新中に、ミーティングの参加者の E メール アドレスを手動で入力(または上書
き)できます。
あるいは、ユーザーが Microsoft Outlook によりミーティングをスケジュールしている場
合、Secure Meeting for Outlook プラグインは Outlook E メール サーバーに格納されている
E メール アドレスを使用します。
ミーティングへの参加
参加者は開始予定時刻の 1 時間前まで、ミーティングへ参加することを許可されていま
す。Secure Meeting は、IVE 上でオンライン ミーティングを開催して、IVE ユーザーと
非 IVE ユーザーの両方がミーティングに参加できるようにします。( ただし、非 IVE
ミーティング参加者は、IVE 上の招待されたミーティング以外のものにはアクセスでき
ません。)
ミーティングに参加するには、Secure Meeting の参加者は以下のいずれかの方法を使用し
て、Secure Meeting サーバー (IVE) 上のミーティング サイトにナビゲートする必要があり
ます。
„
Meetings ページに表示されているリンクを使用する(IVE 参加者のみ)。
„
通知 E メールに含まれているリンクを使用する。
„
ミーティングの URL を Web ブラウザに入力する。
ミーティング作成者は、Join Meeting ページでミーティングの URL を取得することがで
きます。あるいは、ディフォルトのミーティング URL の使用を指定した場合は、ミー
ティング参加者は、次の URL に該当する値を入力すると、適切な URL を調べることがで
きます。
https://<YourIVE>/meeting/<MeetingID>
ここで
„
<YourIVE> は、ミーティングをホストする IVE の名前とドメインで、
IVEserver.yourcompany.com のようになります。Secure Meeting は、System >
Network > Overview タブの Hostname フィールドからこの名前を取得します(値が
定義されている場合)。定義されていない場合、Secure Meeting はミーティング作成
者のブラウザから IVE 名を取得します。
168
„ セキュア ミーティングの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
meeting は、リテラル文字列です。(この文字列は常に同じです。)meeting は小文字
の「m」で始まることに注意してください。
„
<MeetingID> は、Secure Meeting がこのミーティングに生成した 8 桁の固有の識別番
号です。ユーザーが URL にミーティング ID を入力しない場合、ミーティングへサイ
ンインする際にミーティング ID が要求されます。例:
https://connect.acmegizmo.com/meeting/86329712
メモ : 350 ページの「ミーティング サインイン ポリシーの作成と設定」の説明に従っ
て、サインイン ページのカスタマイズ機能を使用すると、ミーティング URL をカスタ
マイズできます。その場合、ユーザーはここで説明した URL を使用してミーティングに
アクセスすることはできません。
ミーティング サイトにアクセスできたら、認証された IVE ユーザーはミーティングに直
接参加することができます。IVE を通じて認証済みなので、IVE 上のミーティング サイト
にアクセスするためにユーザー名またはパスワードを入力する必要はありません。
ただし、非 IVE ユーザーは、この時点でまだ認証されていないので、ミーティングへのサ
インイン ページで名前とパスワードを入力する必要があります。非 IVE ユーザーは、サイ
ンイン ページで入力したミーティング ID とパスワードに基づき、Secure Meeting によっ
て認証されます。IVE では、参加者の名前は認証のために使用されるのではなく、ミー
ティング中に表示する目的のためだけに使用されます。
参加者がミーティングへの出席を希望すると、セキュア ミーティングによって Windows
クライアントか Java アプレットが参加者のシステムにダウンロードされ、起動されます。
このクライアントサイド コンポーネントには、ミーティング ビューア、プレゼンテー
ション ツール、およびテキスト メッセージ アプリケーションが含まれています。ユー
ザーのデスクトップで Windows クライアントまたは Java アプレットが起動されると、
ユーザーはミーティング参加者となり、ミーティングへの参加を開始できます。
メモ : Secure Meeting を設定する場合は、次の点に注意してください。
„
Secure Meeting は、Macintosh または Linux システム上の PAC ファイルを操作でき
ません。
„
Secure Meeting では、使用するブラウザがプロキシに適切に対応しており、プロキ
シ サーバーが NTLM 認証を必要としない限り、ユーザーは認証プロキシまたは非認
証プロキシを介してミーティングに参加できます。( たとえば、Safari 1.0 はプロキ
シを通して https リンクをサポートしていないため、Safari 1.0 ユーザーはプロキシ
を通して Secure Meeting を使用することはできません。同様に、Safari 1.2.x ユー
ザーは、JRE を 1.4.2 update 1 にアップグレードする必要があります。)
„
ユーザーが IP アドレスを使用してクラスター アプライアンスにサインインし、
ミーティングを作成した後で、あなたが Web コンソールまたは シリアル コンソー
ルからクラスターを削除すると、ミーティングはハングします。これは、ミーティ
ングを作成して参加する前に、ミーティング作成者がサインインした IP アドレス
を削除したためです。ユーザーが、クラスターの IP アドレスではなく、アプライア
ンスの IP アドレスを使用してサインインすると、この状況は発生しません。同様
に、ミーティングがノード上で実行している場合は、クラスタ ノードの名前を変更
しないでください。
セキュア ミーティングの概要
„
169
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ミーティングへの出席
ディフォルトでは、出席者は、ミーティングに参加するとすぐにミーティングに出席して
いる他のユーザーの名前を見ることができ、Secure Meeting Chat ウィンドウを使用して
テキスト メッセージを送ることができます。ただし、ミーティングをよりセキュアにした
り生産性を高める目的で、これらの機能を使用不可にすることも可能です。
たとえば会社の CEO が、社内のアナリスト コミュニティとのミーティングを計画した場
合、アナリストの身元がわからないよう出席者の名前を隠すことができます。さらに、
ミーティングの出席者が CFO のプレゼンテーションを中断しないよう、テキスト チャッ
トを使用できないようにすることが可能です。
テキスト チャットを使用不可にしたり、個別ユーザー ロールの名前を非表示にすること
ができます。あるいは、ロール内のミーティング作成者が出席者の名前を非表示にするか
どうかを決めることができるよう、指定することが可能です。これを行う場合、ミーティ
ング作成者は以下の状況でこの選択を行えます。
„
ミーティングのスケジュールや変更を、標準 IVE インターフェースの Meetings ペー
ジから行っている場合。( ミーティング作成者は、Microsoft Outlook のスケジューリ
ング インターフェースから出席者の名前を隠すよう指定することはできません。)
„
標準ミーティングあるいはインスタント ミーティングに参加する場合。( ただし、
ミーティングの一番目の参加者がミーティング作成者である場合、ミーティング作成
者は出席者の名前を非表示にすることのみ指定できます。ミーティング作成者より先
に参加した出席者がいる場合、ミーティング出席者の名前は自動的に表示され、ミー
ティング参加者は表示設定を変更することはできません。)
管理者あるいはミーティング作成者が出席者の名前を非表示にした場合、ユーザーは、自
分の名前と、コンダクタと司会者の名前のみ見ることができます。詳細については、170
ページの「ミーティングの管理」および 171 ページの「ミーティングでの提示」を参照し
てください。
ミーティングの管理
ミーティング コンダクタ は、ミーティングを開始する役割を負う、IVE ユーザーです。コ
ンダクタには、ミーティングを効率的に進めるために、以下の責務と能力が与えられてい
ます。
170
„
ミーティング プレゼンテーションの開始 - コンダクタが参加するまでは、他の参加
者はチャットのみを行うことができます。コンダクタはデフォルトでミーティングの
司会者になっているため、他の参加者はプレゼンテーションの表示や作成が許可され
ません。ミーティングの司会者は、自らのデスクトップまたはアプリケーションを他
の参加者と共有することによって、ミーティング プレゼンテーションを開始します
(171 ページの「ミーティングでの提示」を参照 )。
„
コンダクタおよび司会者権限を渡す - ミーティング コンダクタは、自らの責務の一
部あるいはすべてを他のミーティング出席者に渡すことができます。たとえば、コン
ダクタはミーティングに参加してから司会者権限を渡すことによって、他の出席者が
ミーティング プレゼンテーションを開始するよう指定できます。コンダクタは、コン
ダクタ権限を他の IVE ユーザーに渡すことができ、司会者権限を他の IVE ユーザーま
たは非 IVE ユーザーに渡すことができます。
„
ミーティングの監視 - ミーティング コンダクタは、必要に応じてミーティング出席
者を退出させる役割を負います。さらにミーティング コンダクタは、ミーティング出
席者すべての名前を見ることができ、誰が出席しているかを把握することができます
(170 ページの「ミーティングへの出席」に説明されている通り、ミーティング作成者
またはミーティング管理者が名前を非表示にしている場合でも同様です ) 。
„ セキュア ミーティングの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
ミーティングの終了 - ミーティング コンダクタは、ミーティングが予定時間を過ぎ
た場合に延長したり、ミーティングが終わると終了する役割を負います。
ミーティングでの提示
司会者が共有を開始すると、すべてのミーティング参加者のデスクトップでミーティン
グ ビューアが自動的に開き、司会者と共有しているアプリケーションが表示されます1。
司会者には、ミーティングを効率的に進めるために、以下の責務と能力が与えられてい
ます。
„
複数アプリケーションの共有 - 司会者は、1 つのアプリケーション、複数のアプリ
ケーション、あるいはデスクトップ全体を他の出席者と共有することができます
(Macintosh ユーザーは、個々のアプリケーションを共有することはできません。デス
クトップのみ共有することができます )。
„
プレゼンテーションへの注釈付け - 司会者は、キーとなるコンセプトを説明したり
重要な特性を示す目的で、Secure Meeting ツールバーを使って共有アプリケーション
内で注釈を付けることができます。さらに、他のミーティング出席者に、注釈を付け
る権限を与えることもできます。
„
コントローラ権限を渡す - ミーティング司会者は、コントローラを指名すること
ができます。ミーティングコントローラは、自分のマウスおよびキーボードを使用
して、司会者の共有デスクトップまたはアプリケーションをリモート コントロー
ルします。司会者は、リモート コントロール権限を、他のどの出席者にも渡すこと
ができます。司会者がリモート コントロールされているアプリケーションのコント
ロールを取り戻したいときは、クリックするだけでコントロールを取り戻すことが
できます。
ミーティング コンダクタと同様に、ミーティング司会者も、ミーティング出席者すべて
の名前を見ることができます。(170 ページの「ミーティングへの出席」に説明されている
通り、ミーティング作成者またはミーティング管理者が名前を非表示にしている場合でも
同様です ) 。ミーティング司会者は、すべての出席者の名前を見ることにより、コント
ローラ権限を誰に渡したかを知ることができます。
メモ : ミーティングの司会者は、注釈付けとリモートコントロールを同時に有効にする
ことはできません。
Secure Meeting のパーミッシブ マージ ガイドライン
59 ページの「パーミッシブ マージのガイドライン」に説明されている通りにマージ ロー
ルを選択すると、IVE は User > Roles > Meetings > Options ページの全オプションを
マージし、安全性よりもアクセス性が優先されます(ポリシー設定を除く)。ロールごと
に許可されるミーティング数と参加者数を管理しているポリシー設定を適用すると、
Secure Meeting はさまざまなロールをチェックして、制限数に達していないロールを見つ
けようとします。
1. ミーティング司会者のデスクトップのコンテンツがロックされている場合には、Secture Meeting は、そのコンテンツ
を表示できません。
セキュア ミーティングの概要
„
171
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
たとえば、以下のロールに対して以下に示したミーティング数をスケジュールできると指
定します。
„
エンジニアリング部門:ミーティング 25 回
„
管理部門:ミーティング 50 回
„
営業部門:ミーティング 200 回
これらのロールのすべてに(リスト順に)Joe がマップされている場合、ミーティングの
スケジュールを試行すると、Secure Meeting により、まずエンジニアリング部門のミー
ティングが制限に達していないかどうかをチェックします。すでに制限に達している場
合、管理部門の制限をチェックします。こちらの制限も達していた場合には、営業部門の
ロール制限をチェックします。すべてのロールについてミーティング数が上限に達してい
た場合にのみ、Joe に対してこれ以上ミーティングを作成できないことを告げるメッセー
ジが表示されます。ミーティング数やミーティング ユーザー数は、領域レベルでは制限で
きません。
Secure Meeting のトラブルシューティング
管理者またはエンドユーザーに、Secure Meeting に関する問題が発生したり、上述の
Web コンソールのページで解決しない場合は、以下のガイドラインに従うことをお勧め
します。
以下のトラブルシューティングの方法があります。
„
Secure Meeting クライアントをシステムからアンインストールする - Secure
Meeting の起動に問題がある場合は Joining a Meeting: Troubleshooting リンクを Join
Meeting ページでクリックしてから Uninstall をクリックします。ミーティングを再
起動するには、Return to Join Meeting をクリックします。次回ミーティングに参加
する際、Secure Meeting によりクライアントが最新バージョンに更新されます。
Secure Meeting がファイルをインストールする場所や、アンインストール後に残す
ファイルについては、653 ページの「クライアント サイドのアプリケーション イン
ストール」を参照してください。
„
システムの互換性をチェックする - システムの設定と Secure Meeting との間で互換
性がない場合、ミーティングへの参加やミーティングの表示に問題が生じることがあ
ります。システムに互換性があるかどうかを確認するには、適宜またはミーティング
の通知 E メールを受け取ったときに、ミーティング サインイン ページにアクセスし
て、Check Meeting Compatibility をクリックします。Secure Meeting は、必要に応じ
て完全な互換性が得られるように、互換性のレベルを調べます。ただし、Secure
Meeting の互換性チェッカは、ミーティングに影響を与える可能性のある要因をすべ
てチェックするわけではありません。
CPU メモリ、モニタ解像度、スクリーン深度、やサポートされるオペレーティング
システムとブラウザについての完全なリストは Juniper Networks サポート Web サイ
トに掲載されている IVE Supported Platforms ドキュメントを参照してください。
„
172
„ セキュア ミーティングの概要
サポートしていない機能を使用していないか調べる - Secure Meeting は、ストリー
ミング メディア アプリケーションの共有をサポートしていません。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
本番レベルの証明書を IVE にインストールする - SSL 証明書とともに Secure
Meeting を使用する場合は、本番レベルの証明書を Secure Meeting サーバー ( すなわ
ち、IVE) にインストールすることをお勧めします。自己署名 SSL 証明書をインストー
ルすると、Secure Meeting のユーザーがミーティングにサインインできないことがあ
ります(71 ページの「複数の IVE サーバー証明書」の説明を参照)。自己署名証明書
の使用を選択する場合には、証明書をインストールしてからミーティングに参加する
ように出席者に指示してください。(Internet Explorer を使用している場合、ユー
ザーはエラー メッセージが表示されたときに View Certificate をクリックしてから、
Install Certificate をクリックする必要があります。)
„
Secure Meeting エラー メッセージの PDF を参照する - Secure Meeting Error
Messages PDF では、Secure Meeting の設定時または使用時に発生する可能性のある
エラーとその解決方法について説明しています。この PDF は Juniper Networks サポー
ト Web サイトから入手できます。
„
Juniper Networks サポートに問い合わせる - 上記の方法で解決不可能なエラーが発
生した場合は、問題を再現する詳細手順、エラー メッセージの内容、IVE のオペレー
ティング システムとビルド ナンバー、IVE 管理者ログ ファイル、インストール ログ
ファイル、クライアントサイド ログ ファイルを含むレポートを Juniper Networks サ
ポートに送信します。
タスク サマリー: Secure Meeting の設定
ここでは、Secure Meeting の設定条件について詳細な概要を説明します。
メモ : ここに示す手順は、このガイド全体に記載されている標準的な IVE 設定手順を補
足するものです。
Secure Meeting を設定するには、次の操作を実行します。
1.
Secure Meeting を設定するには、次の操作を実行します。Web コンソールの
System > Network > Overview ページから、IVE のネットワーク ID を指定します。
E メール通知のためのミーティング URL を作成するとき、Secure Meeting は、このホ
スト名を使用します。手順については、310 ページの「一般的なネットワーク構成の
設定」を参照してください。
2.
Web コンソールの以下のページでロール レベルの設定を行います。
3.
„
一般的なロール レベルの設定を指定するには、Users > Role > [ ロール名 ] >
General ページの設定を使用します。手順については、490 ページの「ユーザー
ロールのミーティング機能の有効化および設定」を参照してください。
„
ロール レベルのミーティング制限を設定するには、Users > Role >
[ ロール名 ] > Meetings > Options ページの設定を使用します。手順につい
ては、490 ページの「ユーザー ロールのミーティング機能の有効化および設
定」を参照してください。
Web コンソールの次のページの設定を使用して、ミーティング作成者がアクセスし
て検索できる認証サーバーを指定します。
セキュア ミーティングの概要
„
173
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
„
ミーティング作成者がアクセスして検索できる認証サーバーを指定するには、
Users > Role > [ ロール名 ] > Meetings > Auth Servers ページの設定を使用し
ます。手順については、494 ページの「ミーティング作成者がアクセスおよび検
索できるサーバーの指定」を参照してください。
„
ミーティング作成者が LDAP サーバーからユーザーを招待できるようにするに
は、Signing In > AAA Servers > [LDAP サーバー ] > Meetings ページの設定を
使用して、サーバーを有効にします。手順については、382 ページの「アクティ
ブなユーザー セッションの監視および削除」を参照してください。
ミーティング出席者がミーティングのサインインに使用するデフォルトのサインイン
ページや URL を変更するには、Web コンソールの次のページの設定を使用して、
ミーティング サインイン ポリシーを設定します。
„
Signing In > Sign-in > Sign-in Pages ページの設定を使用して、ミーティングの
サインイン時にミーティング出席者に表示されるページをカスタマイズします。
„
Signing In > Sign-in > Sign-in Policies > [ ミーティング ポリシー ] ページの設
定を使用して、ミーティングの招待者がミーティングにアクセスするために使用
する必要がある URL を定義します。また、このページを使用すると、ミーティ
ング ページを URL に関連付けることができます。
„
Signing In > Sign-in > Sign-in Policies > [ ユーザーポリシー ] ページの設定を
使用して、ミーティングのサインイン ポリシーをユーザーのサインイン ポリ
シーに関連付けます。IVE は指定したミーティング URL を、関連するユーザー
URL にサインインするユーザーが作成するミーティングに適用します。
5.
Web コンソールの Resource Policies > Meetings ページのオプションを使用して、
セッションのタイムアウト、SMTP サーバー情報、タイムゾーン設定、色深度設定を
含んだシステムレベルのミーティング設定を設定します。手順については、554 ペー
ジの「Secure Meeting リソース ポリシーの作成」を参照してください。
6.
クライアントサイドのロギングは、Web コンソールの System > Log/Monitoring >
Client-side Log タブで無効にできます。手順については、345 ページの「クライアン
トサイド ロギングの設定」を参照してください。Secure Meeting では、オペレーティ
ング システムと権限に応じて、異なるディレクトリにクライアント ファイルがイン
ストールされます。ログ ファイルの場所については、662 ページの「Secure
Meeting」を参照してください。)
タスク サマリー: Secure Meeting の監視
Secure Meeting のパフォーマンスとユーザーの監視には、Web コンソールの以下のページ
を使用します。
„
„
174
„ セキュア ミーティングの概要
System > Status > Overview - このページを使用して、IVE アプライアンスのシス
テム許容能力の使用状況を表示することができます。手順については、279 ページの
「システム許容能力の表示」を参照してください。
System > Status > Meeting Schedule - 現在どのユーザーがミーティングにサイン
インしているかを確認したり、必要に応じてミーティングから除外するにはこのペー
ジを利用してください。手順については、283 ページの「スケジュールされたミー
ティングの表示と取り消し」を参照してください。
第 5章
システム管理とサービス
IVE には、システムを管理し、製品のローカライズ バージョンなどの個別サービスを活用
できる様々なインフラストラクチャ サービスが用意されています。
目次
システム管理機能:
„
177 ページの「Central Manager の概要」
„
178 ページの「クラスタの概要」
„
185 ページの「ネットワーク設定の概要」
„
189 ページの「ログと監視の概要」
„
192 ページの「設定ファイルの概要」
„
206 ページの「トラブルシューティングの概要」
システム サービス機能:
„
212 ページの「多言語サポートの概要」
„
214 ページの「携帯端末と PDA の概要」
„
217 ページの「Instant Virtual System (IVS) の概要」
„
175
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
176
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Central Manager の概要
Central Manager は、クラスタ メンバーであるか否に関係なく複数の IVE を管理すること
ができる 2 層(クライアント / サーバー)システムです。Central Manager パッケージは、
アドバンスドライセンスの一部として使用できます。Central Manager には以下の機能が
あります。
„
System dashboard - システム ダッシュボード機能は、システムの管理を容易にす
るシステム容量グラフとアラームを表示します。システム ダッシュボードには、
Web コンソールの System > Status ページからアクセスできます。
„
Improved logging and monitoring - ロギング機能ではカスタム フィルタを作成でき
ます。これにより、選択したログ メッセージを指定の形式で表示および保存できる
ようになります。ロギング機能には、Web コンソールの System > Log/Monitoring
ページからアクセスできます。
„
Push configuration feature - プッシュ設定機能を使用すると、IVE 間で簡単に設定
をプッシュする便利な集中管理を実現できます。プッシュ設定機能には、Web コン
ソールの Maintenance > Push Config ページからアクセスできます。
„
Zero downtime upgrades - アップグレード時のゼロダウンタイム機能では、クラス
タ内のいずれかのメンバが常に動作している状態でアップグレード プロセスが行わ
れます。このアップグレード機能には、Web コンソールの Maintenance > System >
Upgrade/Downgrade ページからアクセスできます。
„
Improved user interface - Central Manager の Web コンソールには、ユーザ ライセ
ンスを持つアプライアンス用の外観を向上した標準 Web コンソールが含まれていま
す。
Central Manager の概要 „ 177
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
クラスタの概要
クラスタ ライセンスを購入して、2 台以上の Access Series または Access Series FIPS アプ
ライアンスをクラスタとして配置することができます。これらのアプライアンスは、LAN
または WAN 内に配置されたアクティブ / パッシブ構成あるいはアクティブ / アクティブ
構成をサポートし、高い可用性とスケーラビリティ、およびロード バランス機能を提供
します。
メモ : 全 IVE は、同じクラスタ ライセンスを持っている必要があります。
ここでは、クラスタについての概要を説明します。手順については、次を参照してくださ
い。
„
319 ページの「クラスタの定義と初期化」
„
320 ページの「Web コンソールによる IVE のクラスタへの追加」
„
321 ページの「シリアル コンソールによる FIPS クラスタ メンバの初期化」
„
323 ページの「クラスタに加える IVE の指定」
„
323 ページの「クラスタ ノードのネットワーク設定の管理」
„
324 ページの「クラスタ サービス パッケージのアップグレード」
„
327 ページの「アクティブ / パッシブ、アクティブ / アクティブ、およびその他のクラ
スタ設定の指定」
„
328 ページの「クラスタの削除」
„
329 ページの「シリアル コンソールを通じて IVE をクラスタに追加する」
„
332 ページの「シリアル コンソールによる IVE クラスタの無効化」
„
569 ページの「再起動、リブート、シャットダウン、またはサーバー接続状態の
テスト」
クラスタの概要
1 つの IVE にクラスタを定義するには、次の 3 つのデータを指定します。
1.
クラスタの名前
2.
クラスタ メンバーが共有するパスワード
3.
クラスタ内の OS を識別する名前
System > Clustering > Create タブでこの情報を指定したら、Create Cluster をクリック
してクラスタを起動し、使用している OS をクラスタに追加します。クラスタを作成する
と、Clustering ページに Status タブと Properties タブが表示され、本来そこにあった
Join タブと Create タブは消えます。この Status タブには、クラスタの名前、種類、構成
(アクティブ / アクティブかアクティブ / パッシブ)が一覧表示され、新しいメンバーの
指定や、既存のメンバーの管理が指定でき、クラスタの全体的なステータス情報も見るこ
とができます。Properties タブでは、クラスタ名の変更と、設定、同期化、およびヘルス
チェックの設定ができます。
178
„ クラスタの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
クラスタの定義と初期化を終えたら、クラスタに追加する IVE を指定する必要がありま
す。クラスタに IVE を追加するには、次のいずれかを使用します。
„
Web console - 設定した IVE がスタンドアロン マシンで実行している場合は、その
Web コンソールからマシンをクラスタに追加できます。
„
Serial console - IVE が工場出荷状態の場合は、初期設定時に最小限の情報を入力す
るだけ、シリアル コンソールからクラスタに追加できます。
IVE をクラスタに追加すると、指定された既存のメンバーから状態が初期化されます。新
しいメンバーは既存のメンバーに同期化を要求するメッセージを送信します。既存のメン
バーが新しいメンバーにシステム状態を送信すると、そのマシンのシステム データはす
べて上書きされます。その時点から、いずれかのメンバーの状態が変化するたびに、すべ
てのクラスタ メンバーがデータの同期化を行います。社内ファイアー ウオール内からの
攻撃を防ぐためにクラスタ メンバー間の通信は暗号化されます。各 IVE は、共通のパス
ワードを使用して、別のクラスタ メンバーからの通信を解読します。セキュリティ上の理
由から、クラスタ パスワードは IVE 間で同期化されません。
同期化中に、新しいノードはサービス パッケージを受け取ります。Central Manager ライ
センスを備えていて、古いサービス パッケージで実行すれば、ノードがアップグレード
されます。
IVE はクラスタ内の IVS ライセンスで実行できます。詳細については、240 ページの「仮
想化 IVE のクラスタ化」を参照してください。
詳細については、以下を参照してください。
„
180 ページの「アクティブ / パッシブ クラスタでの 2 台のユニット配備」
„
181 ページの「アクティブ / アクティブ クラスタでの 2 台以上のユニット配備」
„
182 ページの「状態の同期化」
„
184 ページの「Access Series FIPS 環境でのクラスタ配備」
„
184 ページの「タスク サマリー: IVE クラスタの作成」
クラスタ ノードの再起動とリブート
2 つ以上の IVE のクラスタを作成すると、クラスタ化された IVE は論理エンティティ
として実行します。シリアルコンソールまたは Web コンソールのいずれかを使用する
ことによって 1 つのクラスタ化された IVE を再起動させると、クラスタの全 IVE が再
起動します。
クラスタにある 1 つの IVE のみを再起動またはリブートしたい場合は、まず System >
Clustering > Status ページのコントロールを使用して、クラスタ内で再起動またはリ
ブートする IVE を無効にします。次に、Maintenance > System > Platform ページのコン
トロールを使用するか、またはシリアル コンソールの Reboot/Shutdown/Restart this IVE
メニュー項目を使用して、IVE を再起動またはリブートします。が再起動またはリブート
したら、クラスタにある IVE を再び有効にします。
詳細については、次を参照してください。
„
323 ページの「Status タブ」
„
569 ページの「Platform タブ」
„
601 ページの「IVE シリアル コンソールの使用」
クラスタの概要
„
179
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
クラスタ ノードのアップグレード
Juniper Networks NetScreen-SA Central Manager は、クラスタにある各ノードを簡単に
アップグレードできる機能を提供します。1 つのノードに新しいサービス パッケージを
インストールするだけで、インストールが完了するとノードはリブートし、このノードに
よりクラスタのすべてのノードにサービス パッケージがプッシュされます。
Juniper Networks NetScreen-SA Central Manager を購入していない場合でも、クラスタ
ノードのアップグレードは可能ですが、その場合はクラスタ内のノードは無効にし、ノー
ドを個別にアップグレードして、再びクラスタ内のノードを有効にする必要があります。
ノードを無効にしてサービスパッケージをアップグレードする方法については、324 ペー
ジの「クラスタ サービス パッケージのアップグレード」を参照してください。
アクティブ / パッシブ クラスタでの 2 台のユニット配備
IVE をクラスタ ペアとしてアクティブ / パッシブ モードで配備できます。このモードで
は、片方の IVE は能動的にユーザーの要求を処理し、もう一方の IVE はバックグラウンド
で受動的に動作して、システム状態やユーザー プロファイル、ログ メッセージなどの状
態データを同期化します。クラスタ VIP (仮想 IP アドレス)に送信されたユーザー要求
は、アクティブ(能動的)IVE に渡されます。アクティブ IVE がオフライン状態になると、
スタンバイ IVE が自動的にユーザー要求の受信を開始します。ユーザーはサインインし直
す必要はありませんが、アクティブなマシンがオフラインになる数秒前に入力された IVE
セッション情報(クッキーやパスワードなど)が現在の IVE ボックスで同期化されない場
合があります。このような場合には、バックエンド Web サーバーに再度サインインする
必要があります。
次の図は、外部ポートが有効に設定された 2 台の IVE を使用した、アクティブ/パッシ
ブ型の IVE クラスタ構成を示します。このモードでは、スループットや許容ユーザー数が
増えることはありませんが、予測できないシステム障害に対応する冗長性が提供されま
す。
図 38: アクティブ / パッシブ クラスタ ペア
図 38 は、ネットワーク内に配置したアクティブ/パッシブ型クラスタを示します。クラ
スタ VIP に送信された IVE ユーザ要求は、現在アクティブなマシンに転送されます。
180
„ クラスタの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
アクティブ / アクティブ クラスタでの 2 台以上のユニット配備
アクティブ / アクティブ モードでは、クラスタ内の全 OS が外部ロード バランサまたは
ラウンドロビン DNS から送られてきたユーザー要求を進んで処理します。ロード バラン
サは、クラスタ VIP をホスティングして、ソース IP ルーティングに基づいてクラスタ グ
ループに定義された IVE にユーザー要求をルーティングします。1 台の IVE がオフライン
状態になると、ロード バランサがアクティブな IVE の間で負荷を調整します。1 台の IVE
がオフライン状態になると、ロード バランサがアクティブな IVE の間で負荷を調整しま
す。ユーザはサインインし直す必要はありませんが、クッキーやパスワードなど、アク
ティブなマシンがオフラインになる数秒前に入力された IVE セッション情報が現在の IVE
ボックスで同期化されない場合があります。このような場合には、バックエンド Web
サーバに再度サインインする必要があります。
IVE クラスタは自動フェイルオーバーやロード バランス操作を実行しませんが、クラスタ
メンバー間で状態データ ( システム、ユーザ、ログ データ ) の同期を保持します。オフラ
イン状態だった IVE がオンラインに復帰すると、ロード バランサは再びすべてのアク
ティブ メンバー間で処理を分担します。このモードでは、負荷がピークになった時のス
ループットやパフォーマンスを向上しますが、拡張性はライセンス ユーザーの総数以上
には増加しません。
IVE は、クラスタ内の各 IVE にサービス ステータスを提供する HTML ページをホスティ
ングします。外部のロード バランサは、このリソースを調べて、すべてのクラスタ ノー
ド間で負荷をどのように分担すれば効果的かを判断します。
ノードの L7 ヘルス チェックを実行するには、次の操作を実行します。
„
ブラウザから - 次のように URL を入力します。
https://<IVE-Hostname>/dana-na/healthcheck/healthcheck.cgi
„
外部ロード バランサを使用 - 以下の要求をクラスタのノードに送信するヘルス
チェック ポリシーを設定します。
GET /dana-na/healthcheck/healthcheck.cgi HTTP/1.1\nHost:localhost localhost
ノードは、次のいずれかの数値を返します。
„
“Cluster Enabled” 文字列 - この値は、ノードがアクティブなことを意味しま
す。
„
500 - この値は、エラーを意味し、クラスタ IVE はノードへのユーザー要求の
転送を停止します。
クラスタの概要
„
181
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
以下の図は、外部ポートが有効に設定された IVE で構成されるアクティブ/アクティブ型
の IVE クラスタ構成を示します。
図 39: アクティブ / アクティブ構成
図 39 は、外部ロード バランサの裏に配置されたアクティブ / アクティブ型クラスタを示
します。クラスタ ペアまたはマルチユニット クラスタをアクティブ / アクティブ モード
で配備できます。IVE ユーザー要求は、ロード バランサに定義されたクラスタ VIP に送信
され、そこから適切なマシンに転送されます。
状態の同期化
IVE の状態の同期化は、内部ネットワーク インターフェース カード (NIC) のみを経由して
実行され、各クラスタ メンバーは相互の通信にクラスタ パスワードが必要になります。
いずれかのメンバーの状態が変化するたびに、すべてのクラスタ メンバーがデータの同
期化を行います。IVE クラスタの状態データは、永続的 (IVE に永続的に格納される ) また
は一時的 ( ユーザーのセッションが存続する間のみ IVE に格納される ) のいずれかです。
IVE の状態データは、次のような主なカテゴリに分類されます。
„
„
システム状態 - この状態は永続的で、頻繁に変化することはありません。
„
ネットワーク設定
„
認証サーバーの設定
„
アクセス管理リスト、ブックマーク、メッセージング、およびアプリケーション
データなどの認証グループ設定
ユーザー プロファイル - このデータの状態は、永続クッキーと永続パスワード
キャッシングを有効に設定したか否かによって、永続的または一時的になります。こ
の 2 つの機能を有効にしていない場合には一時データになり、次のカテゴリに該当
します。
„
182
„ クラスタの概要
ユーザー ブックマーク - 永続的
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
„
„
永続的ユーザー クッキー - 永続クッキー機能が有効の場合、永続クッキーを発
行する Web サイトのユーザー クッキーが IVE に格納されます。
„
永続的ユーザー パスワード - パスワードのキャッシング機能が有効の場合、ア
プリケーションおよび Web サイトの認証情報を格納するかどうかをユーザーが
選択できます。
ユーザー セッション - この状態は一時的かつ動的です。ユーザー セッション デー
タは次のもので構成されます。
„
ユーザー IVE セッション クッキー
„
一時ユーザー プロファイル情報。ユーザー セッションの存続期間のみ格納され
るクッキーとパスワードが含まれます。
監視状態 - この一時状態は動的で、ログ メッセージ1 で構成されます。
アクティブ / パッシブ モードまたはアクティブ / アクティブ モードのどちらにクラスタ
を配備した場合でも、クラスタ メンバー間のデータの同期化を実行するのは IVE の役割
です。IVE は、すべてのシステム データ、ユーザー プロファイル データ、および IVE
ユーザー セッション クッキーをただちに同期化するため、1 台のクラスタ メンバーがオ
フライン状態になっても、ユーザーは IVE にサインインし直す必要はありません。IVE が
ユーザー セッション プロファイルを同期化したり、状態データを監視している間には、
わずかに待ち時間が生じるため、この間にいずれかのメンバーがオフライン状態になる
と、ユーザーがバックエンド Web アプリケーションにサインインし直す必要が生じるこ
とがあります。また、障害の起きたマシンに管理者がログオンできなくなることもありま
す。
パフォーマンスを改善するため、以下のように同期化を設定することもできます。
„
Specify the synchronization protocol - マルチユニットまたはマルチサイト クラス
タで 3 つ以上の IVE を実行している場合は、ネットワーク トポロジに最適な同期化
プロトコル(Unicast、Multicast、Broadcast)を選択できます。
メモ : 同期化設定についての詳細は、327 ページの「アクティブ / パッシブ、アクティ
ブ / アクティブ、およびその他のクラスタ設定の指定」を参照してください。
„
Specify whether or not to synchronize log messages -(ログ メッセージの同期化の
有無を指定)ログ メッセージはネットワークに多大な負荷を生じ、クラスタのパ
フォーマンスを低下させる場合があります。この機能は、デフォルトではオフに設定
されています。
„
Synchronize the most recent user events - このオプションにより、ユーザーアクセ
ス情報をクラスタ内に反映できます。このオプションがクラスタ ノード間の唯一の同
期項目の場合は、クラスタ IVE 間での CPU への影響を大幅に減らすことができます。
1. IVE をクラスタに追加しても、クラスタ リーダーから新しいメンバーにログ メッセージは送信されません。ログ
メッセージはまた、あるメンバーがサービスを再開させたり、オフライン OS がオンラインに復帰した場合、クラス
タ メンバー間で、同期化されません。一度すべての OS がオンラインになれば、ログメッセージは同期化されます。
クラスタの概要
„
183
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Access Series FIPS 環境でのクラスタ配備
状態、ユーザー プロファイル、およびユーザー セッションの共有、状態データの監視に
加えて、Access Series FIPS クラスタのメンバーは、セキュリティ ワールド データも共有
します。すべてのクラスタ メンバーは、同じ非公開キーを共有し、同じ管理者カードでア
クセスできます。セキュリティ ワールドを変更するには、暗号化モジュールに物理的にア
クセスできることが条件になりますが、Access Series FIPS のクラスタ メンバーは、標準
的な IVE 同期化プロセスでは、すべてのデータを共有することができません。代わりに、
Access Series FIPS クラスタを作成するには、次の手順を実行する必要があります。
1.
Create a cluster of Access Series FIPS machines through the Web console -(Web コ
ンソールから Access Series FIPS マシンのクラスタを作成)標準的な IVE クラスタの
場合と同様に、指定したクラスタ メンバーから受け取ったシステム状態データを使
用して、Access Series FIPS クラスタにある各クラスタ ノードを初期化します。ノー
ド マシンにある既存の全データは上書きされます。
2.
Manually update the security world on each of the machines - クラスタを作成した
ら、セキュリティ ワールド、スマート カード リーダー、およびシリアル コンソール
に事前に初期化された管理者カードを使用して、指定したメンバーのセキュリティ
ワールドで、各クラスタ ノードを初期化する必要があります。
同様に、クラスタにある既存のセキュリティ ワールドを修正したい場合は、管理者カー
ド、スマート カード リーダー、および IVE シリアル コンソールを使用して、個別に各ク
ラスタ メンバーの暗号化モジュールを更新する必要があります。手順については、601
ページの「IVE シリアル コンソールの使用」を参照してください。
タスク サマリー: IVE クラスタの作成
このセクションでは、高度なクラスタの作成と配置手順を説明します。これらの手順で
は、IVE のネットワーク ID の指定や、IVE へのユーザー ID の追加など、前段階の IVE 設
定手順は説明していません。
IVE クラスタを作成するには、次の操作を実行します。
184
„ クラスタの概要
1.
Web コンソールの System > Clustering > Create Cluster ページから、クラスタ名を
定義し、最初の / 一次 IVE をクラスタに追加して、IVE クラスタを初期化します。手
順については、319 ページの「クラスタの定義と初期化」を参照してください。
2.
Web コンソールの System > Clustering > Status ページから、将来のクラスタ IVE
の名前と IP アドレスを一次 IVE に追加します。手順については、323 ページの「ク
ラスタに加える IVE の指定」を参照してください。
3.
Web コンソールの System > Clustering > Join Cluster ページから、必要に応じて追
加の IVE をクラスタに配置します。手順については、329 ページの「シリアル コン
ソールを通じて IVE をクラスタに追加する」を参照してください。また、事前設定 /
工場設定の場合は IVE 、320 ページの「Web コンソールによる IVE のクラスタへの
追加」を参照してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ネットワーク設定の概要
IVE では、IVE の初期設定の際にシリアル コンソールから入力するネットワーク設定を変
更し、他の IVE 機能を有効にするために、IP フィルタなどの追加のネットワーク設定を
行うことができます。このセクションでは、IVE の Web コンソールから指定できるネット
ワーク設定の以下の概要について説明します。
„
185 ページの「一般的なネットワーク設定の指定」
„
185 ページの「内部ポートと外部ポートの設定」
„
186 ページの「仮想ポートの設定」
„
186 ページの「ネットワーク トラフィックの静的ルートの指定」
„
187 ページの「ARP キャッシュの作成」
„
187 ページの「IVE によってローカル解決されるホスト名の指定」
„
187 ページの「IP フィルタの設定」
„
187 ページの「タスク サマリー:証明書の仮想ポートとの関連付け」
„
188 ページの「タスク サマリー:ロールに基づいたサブネット送信先の定義」
一般的なネットワーク設定の指定
IVE では、内部ポートと外部ポートの状態の表示、IVE のホスト名の指定、IVE の DNS 名
の解決、Windows Internet Naming Service (WINS) サーバー、マスター ブラウザ設定を、
Web コンソールの System > Network > Overview ページで設定できます。また、この
ページの設定を使用して、初期設定の際にシリアル コンソールから入力する DNS と
WINS 設定を表示できます。
内部ポートと外部ポートの設定
内部ポートは、内部インターフェースともいい、リソースに対するすべての WAN および
LAN 要求を処理し、Web ブラウジングやファイル ブラウジング、認証、送信メール要求
をリスンします。内部ポートの設定は、IVE の初期設定の際に IP アドレス、ゲートウェ
イ、DNS サーバーとドメイン、MTU の各設定を行います。また、これらは、System >
Network > Internal Port > Settings タブでも変更できます。詳細については、311 ページ
の「Internal Port タブ」を参照してください。代わりに、アプライアンスをデュアルポー
ト モードに配置し、外部ポートでプロキシ経由の着信 Web およびメール SSL 接続を待ち
受けすることもできます (313 ページの「External Port タブ」を参照 )。
外部ポートは、外部インターフェースともいい、外部のお客様 LAN など、インターネッ
トから IVE にサインインしたユーザーのすべての要求を処理します。IVE は、受信したパ
ケットが外部インターフェースを通じてユーザから送信された TCP 接続に関連するかど
うかを判断してから、パケットを送信します。パケットが TCP 接続に関連する場合、IVE
は外部インターフェースにパケットを送信します。その他のパケットはすべて内部イン
ターフェースに送信されます。
ネットワーク設定の概要
„
185
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
各インターフェースに指定したルートは、IVE が内部インターフェースまたは外部イン
ターフェースのどちらを使用するかを判断した後で適用されます。IVE が外部インター
フェースからの要求を送信することはなく、外部インターフェースが(ping と traceroute
接続を除く)他の接続を受信することもありません。リソースの種類に関係なく、すべて
の要求は内部インターフェースから発信されます。(詳細については、185 ページの「一
般的なネットワーク設定の指定」を参照してください。)
メモ : 外部ポートを有効にすると、デフォルトで管理者は外部からサインインできなく
なります。管理者が外部ポートからアクセスできるようにするには、Administrators >
Authentication > 領域名 > Authentication Policy > Source IP タブを使用します。詳細
については、45 ページの「ソース IP のアクセス制限」を参照してください。
仮想ポートの設定
IVE では、社員など、社内ネットワーク内部から IVE にサインインするユーザ用に仮想
ポートを作成できます。仮想ポートは、物理ポートで IP エイリアスをアクティブにしま
す。仮想ポートは、そのポートをホストする内部ポートまたは外部ポートと(IP アドレス
を除く)すべてのネットワーク設定を共有します。IP エイリアスは、仮想ポートにバイン
ドされた IP アドレスです。(IP エイリアスは IVE のプライマリ IP アドレスとは異なるの
で注意してください。後者は IVE の初期化プロセスでの必須設定項目です)。
仮想ポートはロール ベースのソース IP エイリアスとして指定できます。これらのエイリ
アスは、IVE の内部インターフェースからの有効なアドレスとして、バックエンド ネット
ワーク デバイスで指定するソース IP アドレスと対応させることができます。たとえば、
エンドユーザー トラフィックをソース IP アドレスに基づいて特定の部署に向けるため
に、IVE の後ろにファイアウォールを使用したい場合があります。この場合、ロール ベー
スのソース IP エイリアスを各部署のサイトに定義できます。これにより、各エンドユー
ザーは、ソース IP エイリアスの使用により、そのロールに基づく特定の場所に向けられ
ます。ロール ベースの IP エイリアスの設定については、454 ページの「ロールに対する
ソース IP エイリアスの指定」を参照してください。
仮想ポートと複数のサーバ証明書機能を併用すれば、ユーザーは異なる IP エイリアスを
通じて同一の IVE にアクセスできるようになります。
IVS ライセンスで設定された IVE を使用する際に、仮想ポートを使用します。詳細につ
いては、229 ページの「外部ポートのサインイン用に仮想ポートを設定」を参照してく
ださい。
ネットワーク トラフィックの静的ルートの指定
IVE では、System > Network > Routes タブの設定を使用して、ルーティング テーブル
エントリを追加できます。ルート設定に関係なく、内部リソースへの接続要求はすべて、
IVE の内部ポートから送信されます。外部ポートのルート設定は、リモート クライアント
からの接続に関係するパケットのルーティングにのみ使用されます。
ルーティング要求の際に、IVE が使用する必要がある特定のルートを指定したい場合は、
静的ルートを追加できます。有効な IP アドレス、ゲートウェイ、DNS アドレスを指定す
る必要があります。メトリックにより、複数のルートを比較して優先度が確立されます。
通常は、1 から 15 までのより小さい数値で優先度が高くなります。従って、メトリック 2
のルートは、メトリック 14 のルートより優先して選択されます。メトリック ゼロ (0) は
使用しないルートとして識別されます。
186
„ ネットワーク設定の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ARP キャッシュの作成
IVE に接続するルータやバックエンド アプリケーション サーバーなどのネットワーク デ
バイスの物理(MAC)アドレスは、ARP キャッシングを使用して調べることができます。
System > Network > Internal Port > ARP Cache タブでは、次のようなタイプの ARP
(Address Resolution Protocol)エントリを管理できます。
„
静的エントリ - IP アドレスと MAC アドレスに関連付けられたキャッシュに静的
ARP エントリを追加できます。IVE は、再起動時に静的エントリを保存し、再起動後
にエントリを再アクティブ化します。静的エントリは IVE に常駐しています。
„
動的エントリ - ネットワークは通常の動作時や、ネットワーク デバイスとの対話時
に動的 ARP を認識します。動的エントリは最大 20 分間キャッシュに保存され、再起
動時に自動的に削除されます。エントリは手動でも削除できます。
静的エントリと動的エントリは ARP から表示または削除でき、静的エントリは追加する
ことも可能です。IVE をクラスタ構成で実行している場合には、ARP のキャッシュ情報は
ノードごとに異なります。ARP のキャッシュ情報が同期されるのは、非マルチ サイトク
ラスタのみです。
IVE によってローカル解決されるホスト名の指定
Hosts タブを使用して、IVE がローカルで IP アドレスに解決できるホスト名を指定しま
す。この機能は、次のような場合に便利です。
„
DNS サーバーが IVE にアクセスできない場合
„
WINS を使用して LAN 内のサーバーにアクセスする場合
„
会社の規定により、内部サーバーを外部の DNS に公開できない場合、または内部ホ
スト名を隠蔽する必要がある場合
IP フィルタの設定
IVE が Network Connect IP プールに適用する IP フィルタは、Network Connect タブで指
定できます。IP プールとは、Network Connect 要求に使用できる IP アドレスの特定の範囲
です。詳細については、121 ページの「Network Connect の概要」を参照してください。
タスク サマリー: 証明書の仮想ポートとの関連付け
証明書を仮想ポートに関連付けるには、次の操作を実行します。
1.
System > Network > Internal Port タブの設定を使用して、仮想ポートを作成しま
す。手順については、312 ページの「内部インターフェースでの仮想ポートの作成」
を参照してください。
2.
Web コンソールの System > Configuration > Certificates > IVE Certificates ページ
の設定を使用して、ユーザー証明書を有効にするために使用するサーバー証明書をイ
ンポートします。また、このタブを使用して、IVE が証明書に関連付ける必要がある
ポートを指定します。手順については、295 ページの「仮想ポートと証明書の関連付
け」を参照してください。
ネットワーク設定の概要
„
187
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
タスク サマリー: ロールに基づいたサブネット送信先の定義
このセクションでは、ユーザーをロールに基づいて特定のサブネットに差し向けるために
必要なタスクの高度な概要を示します。ロール ベースのマッピングを設定するには、ロー
ル ベースのソース IP エイリアスを作成する必要があります。
ロールに基づくサブネット宛先を定義するには、次の操作を実行します。
188
„ ネットワーク設定の概要
1.
Web コンソールの Network > Internal Port > Virtual Ports ページで仮想ポートを作
成します。
2.
Web コンソールの Roles > 領域名 > General > Source IP ページで、仮想ポートへ
の 1 つまたは複数のロール トゥ ポイントを変更します。
3.
Web コンソールの Authentication > 領域名 > Role Mapping ページで、ロールの
ソース IP により示されるサブネットに基づく特定のロールにユーザーをマップし
ます。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ログと監視の概要
IVE ログ ファイルは、システム イベントを追跡するテキスト ファイルで、IVE アプライ
アンスに格納されています。IVE アプライアンスには、以下の 4 つの主要ログ ファイル
があります。
„
イベント ログ - このログ ファイルには、セッション タイムアウト ( アイドル セッ
ションのタイムアウトやタイムアウトまでの最長時間など )、システム エラーおよび
警告、サーバーの接続状態チェックの要求、および IVE サービス再起動通知が含まれ
ます。IVE ウォッチドッグ プロセスが定期的に IVE サーバーをチェックし、応答がな
い場合には IVE を再起動する ) などのさまざまなシステム イベントが記録されます。
„
ユーザー アクセス ログ - このログ ファイルには、1 時間ごとの同時ユーザー数(正
時に記録)、ユーザーのサインインおよびサインアウト、ユーザーのファイル要求、
Web 要求など、ユーザーがアプライアンスにアクセスしたときのさまざまな情報が
記録されます。
„
管理者アクセス ログ - このログ ファイルには、セッションのタイムアウト、URL
ブラウジングやユーザー作成ブックマークの有効化 / 無効化オプション、マシン情報
およびサーバー情報など、管理者によるユーザー、システム、ネットワーク設定の変
更が記録されます。また、管理者によるサインイン、サインアウト、アプライアンス
のライセンス変更なども記録されます。
„
Network Connect パケット ログ -このログ ファイルには、ユーザー アクセス ログ
のすべての情報に加えて、ソースおよび送信先 IP アドレス、ソースおよび送信先
ポート、UDP カプセル化 ESP トランスポート プロトコルのネゴシエーション イベン
トのような追加情報、およびアプライアンスが Network Connect クライアント- IVE
トンネルを介してアクセスされたときに使用する送信先プロトコルが記録されます。
メモ : これは、クライアントサイド Network Connect パケットのログがポリシー駆動型
であるため、パケット情報は、ログ機能を自動的に動作させるのに必要なすべての条件
を満たすユーザー プロファイルに対してのみログされるためです。
System > Log/Monitoring ページでは、ログに記録するイベントやシステム ログ ファイ
ルの最大サイズを指定できるほか、ローカル ログに加えて syslog サーバーでもイベント
を記録するかどうかを指定できます。System > Log/Monitoring ページでは、イベントの
数を指定して表示したり、ネットワークにログ ファイルを保存したりできるほか、ログ
を削除することもできます。
ログの 1 つが設定された最大ログ ファイル サイズ(デフォルトでは 200MB)に達する
と、現在のデータがバックアップ ログ ファイルに移されます。その後、以降の(新しい)
ログ メッセージのための空のファイルが新しく作成されます。管理者はログ ビューアを
使用して、最近の 5000 個のログ メッセージ(ビューアの表示制限)を参照できます。現
在のログ ファイルのログ メッセージが 5000 個未満の場合、バックアップ ログ ファイル
の古いログ メッセージが、最大で合計 5000 個まで表示されます。設定された最大ログ
ファイル サイズによって異なりますが、これにより、別々に保存されたログ ファイルで
あっても 1 個として表示されます。
メモ : ログ メッセージの保存または Maintenance > Archiving ページで FTP アーカイ
ブ関数の使用を選択した場合、バックアップ ログ ファイルは現在のログ ファイルに追
加され、1 個のログ ファイルとしてダウンロードされます。ログ ファイルがアーカイブ
されていないか、もう一度移されるときまでに保存されていない場合は、(バックアッ
プ ログ ファイルに保存された)最も古いログ メッセージが失われます。
ログと監視の概要
„
189
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
また、HP OpenView などのネットワーク管理ツールを使用して、SNMP エージェントと
して IVE を監視することができます。IVE プラットフォームは、SNMP v2 をサポートし、
プライベート MIB ( 管理情報ベース ) を実装して、独自のトラップを定義します。ネット
ワーク管理ステーションでこれらのトラップを処理できるようにするには、Juniper
Networks MIB ファイルをダウンロードし、トラップを受信するための適切な情報を指定
する必要があります。トラップの一部は必要に合わせて設定することができます。トラッ
プしきい値の設定については、339 ページの「SNMP タブ」を参照してください。
メモ : CPU の使用状況など、重要なシステム統計情報を監視するには、UC-Davis MIB
ファイルを SNMP 管理アプリケーションにロードします。MIB ファイルは、次の URL か
らダウンロードできます。http://net-snmp.sourceforge.net/docs/mibs/UCD-SNMP-MIB.txt
詳細については、以下を参照してください。
„
190 ページの「ログ ファイルの重要度のレベル」
„
191 ページの「カスタム フィルタ ログ ファイル」
„
191 ページの「動的ログ フィルタ」
„
334 ページの「Log Monitoring ページの設定」
ログ ファイルの重要度のレベル
イベント、ユーザー アクセス、および管理者アクセスのログ ファイルでは、イベントを
以下のガイドラインに従って重要度レベルに分類しています。
190
„ ログと監視の概要
„
Critical(重要度レベル 10)- IVE がユーザーおよび管理者の要求を処理できない場
合や、サブシステムのほとんどの機能が使用できない場合には、クリティカル イベ
ントがログに記録されます。
„
Major(重要度レベル 8-9)- IVE で 1 つまたは複数のサブシステムの機能が使用で
きなくなっている一方で、ユーザーが他のアクセス メカニズムのアプライアンスに
アクセスできる場合は、IVE はメジャー イベントをログに記録します。
„
Minor(重要度レベル 5-7)- IVE でエラーを検出し、そのエラーがサブシステムの
大きな障害にならない場合は、マイナー イベントがログに記録されます。マイナー
イベントは通常、個々の要求の失敗に該当します。
„
Info(重要度レベル 1-4)- IVE により通知メッセージが表示される際、エンドユー
ザが要求を行う際、または管理者が変更を行う際に、IVE はインフォ イベントをログ
に記録します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
カスタム フィルタ ログ ファイル
セントラル マネージャ パッケージでは、イベント ログ、ユーザー アクセス ログおよび
管理者アクセス ログ ファイルに記録されるデータのフィルタ処理とフォーマット作成が
可能です。
IVE は、イベント ログ、ユーザー アクセス ログおよび管理者アクセス ログ ファイルに記
録されるデータのフィルタ処理とフォーマット作成が可能です。ログ ファイルをフィルタ
処理した場合、IVE アプライアンスはフィルタ クエリに指定されたメッセージのみを保存
します。たとえば、特定の IP アドレスの範囲や特定の領域にサインインしたユーザーの
エントリのみを記録するクエリを作成できます。クエリを作成するには、IVE カスタム エ
クスプレッション言語を使用します。
ログ ファイルをフォーマットした場合、IVE アプライアンスは指定に基づいてログ メッ
セージの「外観」だけを変更します。ログ フォーマットは、アプライアンスが保存する
データには変更を加えずに、アプライアンスでのデータの表示方法を変更するだけです。
IVE アプライアンスでは、標準的な WELF および W3C ログ フォーマットを使用します
が、カスタム フォーマットを作成することも可能です。カスタム フォーマットを作成す
るには、ログ フィールドを使用します。
設定手順については、334 ページの「Log Monitoring ページの設定」を参照してくだ
さい。
動的ログ フィルタ
セントラル マネージャ パッケージでは、管理者が現在表示されているログのデータログ
可変リンクをクリックするだけでログ ビューをすばやく変更することができます。たとえ
ば、一時的に特定の IP アドレスを基にしてユーザー アクセス ログ見たい場合、現在のロ
グに存在するその IP アドレスのいずれかをクリックして「クイック フィルタ」を作成す
ると、IVE はただちにログを再描画して該当する IP アドレスが含まれるすべてのエント
リを表示します。さらに、追加されたデータ ログ可変リンクをクリックすると、クイック
フィルタが拡張され、ログの現在の表示を更新します。
メモ : カスタム ログ フィルタと同様に、動的ログ フィルタはログの現在の表示のみを
変更しますが、IVE が保存するデータは変更されません。
クイック フィルタは一時的なフィルタ エージェントとして機能しますが、IVE は新しい
カスタム フィルタとして一時的なクエリ 文字列を保存するオプションを提供します。
設定手順については、335 ページの「動的ログ クエリの作成、リセット、または保存」
を参照してください。
ログと監視の概要
„
191
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
設定ファイルの概要
IVE は、ユーザーとシステム データを格納した設定ファイルをバックアップし復元するた
めに、異なる方法を提供します。データのバックアップおよび復元に使用できる IVE の
ユーティリティは、設定データをバイナリと XML の 2 つの形式で保存します。バイナリ
および XML 選択する方法は、必要に応じて異なります。
IVE 設定ファイルの管理機能を使用すると、以降のセクションでの説明に従って、設定
ファイルをインポート、エクスポート、保存、アーカイブ、およびプッシュできます。
„
192 ページの「IVE 設定ファイルをアーカイブする」
„
193 ページの「IVE 設定ファイルのローカル バックアップの作成」
„
193 ページの「IVE 設定ファイルのインポートとエクスポート」
„
194 ページの「XML 設定ファイルのインポートとエクスポート」
„
204 ページの「XML インスタンス使用の方針」
„
204 ページの「XML インスタンス使用の方針」
„
193 ページの「タスク サマリー:設定ファイルとユーザー アカウントのインポート
とエクスポート」
„
205 ページの「タスク サマリー: XML 設定ファイルのインポートとエクスポート」
IVE 設定ファイルをアーカイブする
IVE では、SCP ( セキュア コピー ) や FTP を使用して、システム ログ、設定ファイル、お
よびユーザー アカウントのバイナリ コピーを毎日または週単位で自動的にアーカイブで
きます。IVE は、他のサーバー上でのセキュアな送信と保管を実現するために、設定ファ
イルやユーザー アカウントを暗号化し、そのファイルを指定した日時に指定したサー
バーやディレクトリにアーカイブします。
SCP は、FTP に類似したファイル転送ユーティリティです。SCP は転送の際にすべての
データを暗号化します。そのデータが送信先に到着すると、元のフォーマットに復元しま
す。SCP にはほとんどの SSH 分配が含まれており、すべての主要オペレーティング シス
テムのプラットフォームで使用できます。
アーカイブ ファイルの名前には、次のようにアーカイブの日時が含まれます。
„
システム イベント:JuniperAccessLog-hostname-date-time
„
ユーザー イベント:JuniperEventsLog-hostname-date-time
„
管理者イベント:JuniperAdminLog-hostname-date-time
„
システム設定ファイル:JuniperConf-hostname-date-time
„
ユーザー アカウント:JuniperUserAccounts-hostname-date-time
Web コンソールの Maintenance > Archiving > FTP Archiving ページから、アーカイ
ブを有効にできます。手順については、588 ページの「FTP Server タブ」を参照して
ください。
192
„ 設定ファイルの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVE 設定ファイルのローカル バックアップの作成
アドバンスド ライセンスを持った IVE アプライアンスでは、現在のシステム設定と
ユーザー アカウントのバックアップをバイナリ形式で直接 IVE に保存できます。これ
らの設定を使用して、IVE や IVE のクラスタを、暗号化ファイルに記述されている状
態に復元できます。このファイルには設定情報は含まれますが、ログは含まれないこ
とに注意してください。
システム設定とユーザー アカウントのバックアップは、それぞれ最大 5 個まで IVE に保
存できます。この制限を超えた場合は、IVE は最も古いバックアップを新しいバックアッ
プで上書きします。最も古いバックアップが上書きされないようにするには、最新のバッ
クアップを保存する前に、上書きされても支障のない別のバックアップを選択します。
システム バックアップおよびユーザー バックアップを使用して、1 つの IVE またはクラ
スタを更新できます。クラスタ メンバーとして有効化されている IVE を復元した場合は、
その IVE からその他のすべてのクラスタ メンバーへ設定が自動的にプッシュされます。
バックアップ設定を使用してすべてのクラスタ メンバーの設定が更新されるまで、クラ
スタは無効化されます。更新が完了すると、クラスタが再起動して有効化されます。
Web コンソールの Maintenance > Archiving > Local Backups ページから、バックアッ
プを作成できます。手順については、589 ページの「Local Backups タブ」を参照してくだ
さい。
IVE 設定ファイルのインポートとエクスポート
IVE では、バイナリの IVE 設定ファイルを使用して、IVE システム設定とネットワーク設
定をインポートおよびエクスポートできます。システム設定ファイルをインポートする際
に、サーバー証明書と IVE サーバーの IP アドレスまたはネットワーク設定をインポート
する情報から除外できます。たとえば、ロード バランサの裏に複数の IVE をセットアップ
する場合は、IP アドレス以外のすべての情報をインポートします。IVE をバックアップ
サーバーとしてセットアップする場合には、デジタル証明書とネットワーク設定以外のす
べての情報をインポートします。
メモ :
„
ライセンスを含む設定ファイルをインポートする際に、IVE は、IVE に現在インス
トールされている既存のライセンスを優先させます。IVE に現在ライセンスがなけ
れば、アーカイブされたライセンスのみがインポートされます。
„
インポート処理に証明書やセキュリティ ワールドを含めなければ、Access Series
FIPS 設定ファイルを非 Access Series FIPS マシンにインポートが可能になります。そ
の反対も可能です。
„
証明書をインポートするときは、サーバー証明書またはトラステッド クライアント
CA に対応するチェーンではなく、IVE サーバー証明書のみが IVE によってインポー
トされます。
また、IVE では、任意のローカル認証サーバーに定義したすべてのローカル ユーザー ア
カウントをインポートおよびエクスポートできます。
メモ : リソース ポリシーをエクスポートしたい場合は、システム設定ではなく、ユー
ザー設定をエクスポートする必要があります。リソース ポリシーのエクスポートは、
Maintenance > Import/Export > Import/Export Users タブで行えます。
タスク サマリー: 設定ファイルとユーザー アカウントのインポートとエ
設定ファイルの概要
„
193
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
クスポート
1.
システム設定とネットワーク設定をインポートおよびエクスポートするには、Web
コンソールの Maintenance > Import/Export > Configuration ページの設定を使用し
ます。手順については、574 ページの「Configuration タブ」を参照してください。
2.
ローカル ユーザー アカウントをインポートおよびエクスポートするには、Web コン
ソールの Maintenance > Import/Export > User Accounts ページの設定を使用しま
す。手順については、575 ページの「User Accounts タブ」を参照してください。
XML 設定ファイルのインポートとエクスポート
XML Import/Export 機能を使用すると、システム設定に大幅な変更を加えることができ、
いくつかの利点があります。特に、大量の変更を繰り返したり、設定データの追加、更
新、削除を一度に行いたい場合に有効です。
エクスポートした XML 設定ファイルを使用して行ういくつかのタスクを次に示します。
„
多数のユーザーを追加する。
„
すべてまたは多数の認証サーバー、ユーザー、その他の IVE オブジェクトを削除
する。
„
週単位のエクスポートの実行により設定変更を追跡する。
„
認証サーバー名など、1 つの設定の複数インスタンスを変更する。
„
新しい IVE アプライアンスを設定する際に使用する設定テンプレートを作成する。
メモ : XML インスタンス ファイルは、同じバージョンの IVE システム ソフトウェアを
持つ IVE 間でのみエクスポートおよびインポートできます。新しい製品リリースからエ
クスポートした設定ファイルにより古い製品リリースをアップグレードするために、
XML Import/Export 機能を使用することはできません。また、旧リリースの製品からエ
クスポートした設定ファイルを使用して、より新しい製品リリースをダウングレードす
ることもできません。
IVE では、複数のネットワーク設定、サインイン設定、認証サーバー、領域、ロール、リ
ソース ポリシー、ユーザーなど、複数のタイプの設定データをエクスポートできます。さ
らに、これらの設定を同じまたは別の IVE にインポートできます。
次のリストの設定を含む XML 設定ファイルをエクスポートできます。また、その他の設
定も使用できます。
„
ネットワーク設定 - Network Connect サーバー IP アドレス、ノード、ノード識別
子、DNS サーバー、DNS ドメイン、ホスト、NIC、NIC 識別子、仮想ポート アドレ
ス、ソース IP エイリアス、ARP キャッシュ、ARP Ping タイムアウト、デフォルト
ゲートウェイ、IP アドレス、MTU、NTC 名、ネットマスク、静的ルート、リンク ス
ピード、NIC タイプ、ホスト名、WINS アドレス。
メモ : XML インスタンス ファイル内の 2 つの NIC 識別子を変更してはなりません。IVE
は、各アプライアンスには 2 つのインターフェース カード (NIC0 と NIC1) があることを
前提としています。
これらの識別子は、NIC 要素 <sys:NICIdentifier>0</sys:NICIdentifier> と
<sys:NICIdentifier>1</sys:NICIdentifier> に表示されます。
194
„ 設定ファイルの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
サインイン設定 - 認証サーバー、パスワード オプション、パスワード管理オプショ
ン、標準サインイン ページ、カスタム テキスト、ヘッダー オプション、カスタム エ
ラー メッセージ、ヘルプ オプション、ページ名、ページ タイプ。
メモ : 標準サインイン ページのみをエクスポートできます。カスタム サインイン ペー
ジはエクスポートできません。
„
認証領域 - ユーザー領域と管理領域、領域名、領域タイプ、1 次および 2 次サー
バー設定、動的ポリシー評価設定、認証ポリシー、リミット、パスワード ポリシー、
ロール マッピング設定、ロール処理オプション。
„
ロール - ユーザー ロール、管理ロール、ロール名、有効化された機能、制限、セッ
ション オプション、UI オプション、VLAN ソース IP、Windows および UNIX ファイ
ル設定、W-SAM および J-SAM 設定、Web オプション、Secure Meeting オプション、
Network Connect オプション、Telnet オプション、ターミナル サーバー オプション、
Admin システム オプション、リソース ポリシー設定、認証領域設定。
„
リソース ポリシー - Network Connect アクセス ポリシー リスト、Web 選択的再書
き込みポリシー リスト、Web 選択的再書き込みポリシー、Web オプション、Web
ActiveX 再書き込みポリシー リスト、ActiveX 再書き込みポリシー、ファイル アクセ
ス ポリシー リスト、ファイル アクセス ポリシー、Windows および UNIX ファイル
オプション、ファイル エンコーディング、Web アクセス ポリシー。
„
ローカル ユーザー アカウント - ユーザー、認証サーバー名、E メール アドレス、
フルネーム、ログイン名、パスワード、パスワード変更オプション。
„
ログ / 監視- SNMP 設定(トラップ設定および制限を含む)。
メモ : 上記のリストに記載された設定以外にも使用できる設定があります。サポートさ
れる設定の完全なリストについては、Web コンソールの XML Import/Export ページと
Push Config ページを参照してください。
XML 設定ファイルをエクスポートおよびインポートする基本操作は、次のようになり
ます。
1.
変更する設定を選択します。
2.
IVE からファイルをエクスポートします。
3.
テキスト エディタでファイルを開いて、設定データを編集します。
4.
ファイルを保存して、閉じます。
5.
ファイルを IVE にインポートします。
XML 設定ファイルとその使用方法については、以下のセクションでさらに説明してい
ます。
„
196 ページの「XML インスタンスの作成と修正」
„
204 ページの「XML インスタンス使用の方針」
„
576 ページの「Export XML 設定データのエクスポート」
„
578 ページの「XML 設定データのインポート」
„
580 ページの「XML Import/Export の使用例」
設定ファイルの概要
„
195
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
XML インスタンスの作成と修正
設定ファイルをエクスポートすると、IVE はそのファイルを XML インスタンスとして保
存します。このインスタンスが修正するファイルになります。
XML インスタンス
エクスポートを行うと、インスタンス ファイルに IVE 設定の現在の状態が示されます。
XML インスタンスは、XML スキーマに基づきます。このスキーマは、メタデータを定義
する独立した 1 つまたは一組のファイルで、インスタンス ファイルのモデルやテンプ
レートとして機能します。スキーマ ファイルは参照の目的にのみ使用します。
インスタンス ファイルのデータは、エクスポート処理を実行する際に、Web コンソール
の XML Import/Export タブで行った選択に基づきます。
インスタンス ファイルは通常、ファイル拡張子 .xml が付きます。
インスタンス ファイルの作成
インスタンス ファイルは、IVE から XML 設定ファイルをエクスポートすることにより作
成できます。既存の設定ファイルの設定を指定したオブジェクトですべて置き換える場合
でも、インスタンス ファイルのエクスポートから始める必要があります。エクスポートし
たインスタンス ファイルには、要求される XML 処理命令とネームスペース宣言がすべて
含まれており、それらは定義されたものと全く同じでなければなりません。
XML 設定ファイルをエクスポートするには、576 ページの「Export XML 設定データのエ
クスポート」を参照してください。
インスタンス ファイルの編集
IVE の XML インスタンス ファイルはすべて同じ構造を持っています。基本的な構造を知
れば、このファイルのナビゲートは簡単に行えるようになります。このファイルはサイズ
が大きくなるため、市販のエディタや公開されている XML エディタを使用すれば、効率
的な作業が行えます。XML エディタには、構造表示により編集可能なデータを分離できる
ものがよくあります。この分離により、単なるテキスト エディタを使用した場合に起こり
がちな、データでは XML 要素を誤って変更してしまう危険性を減らすことができます。
XML エディタを使用すればこうした利点がありますが、簡単なテキスト エディタを使用
しても設定データの編集を適切に行うことができます。
インスタンス要素
要素とは、IVE オブジェクトまたはオブジェクトの一部を定義する個々の XML 単位です。
一般的に要素は、一対のタグで構成されており、文字列を囲んでいたり、囲んでいない場
合があります。タグは山形括弧 (< >) で区切られます。次の説明に、タグのいくつかの例
を示します。
すべてのタグは、次の 4 種類のタグのいずれかに該当します。
196
„ 設定ファイルの概要
„
XML 処理命令 - タグの特殊形で、山形括弧とクエスチョン マーク (<?) で始まり、
各 XML 文書の開始部分に配置されます。XML 処理命令を変更してはなりません。
„
開始タグ - 要素の先頭を表します。開始タグは左山形括弧 (<)、名前、0 個または 1
個以上の属性、右山形括弧 (>) で構成されます。すべての開始タグは、文書のあの場
所で終了タグにより終わる必要があります。
„
終了タグ - 要素の末尾を表します。終了タグは左山形括弧とスラッシュ (</)、対応
する開始タグで指定された同じ名前、および右山形括弧 (>) で構成されます。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
空タグ - 空タグは 2 つの書式で表されます。ペアのタグの中にデータがない場合は、
このタグ ペアは 空 タグと見なされます。XML の仕様に従って正式に表すと、空タグ
は次のようになります。
< 空タグの例 />
この書式では、空タグは左山形括弧 (<)、要素名、スラッシュおよび右山形括弧 (/>)
で構成されます。設定ファイル内に空タグがある場合は、スキーマがインスタンス
ファイルに含めることを要求している要素があり、そのデータはオプションであるこ
とを表しています。
開始タグには属性を含めることができ、タグ ペア ( 要素 ) には追加の要素を含めることが
できます。次の例は、Users オブジェクトの XML インスタンス ファイルを示しています。
この例では、IVE Platform Administrator 設定のみが示されます。例の太字のコメントはタ
グの詳細を説明しています。斜体の項目はユーザー データを表します。
<!-- ファイルは XML 処理命令で始まります。次の 2 行はネームスペース宣言
の例です。XML 処理命令やネームスペース宣言を削除または変更してはなり
ません。-->
<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<IVE xmlns="http://xml.juniper.net/iveos/5.0R1/ive">
<AAA xmlns:aaa="http://xml.juniper.net/iveos/5.0R1/aaa">
<aaa:Users> <!-- 開始タグ -->
<aaa:User>
<aaa:AuthServerName>Administrators</aaa:AuthServerName>
<aaa:Email></aaa:Email> <!-- 空タグ -->
<aaa:FullName>IVE Platform Administrator</aaa:FullName>
<aaa:LoginName>admin</aaa:LoginName>
<aaa:Password PasswordFormat="Encrypted">fEm3Qs6qBwA
</aaa:Password> <!-- 開始タグで指定された属性 -->
<aaa:ChangePasswordAtNextLogin>false
</aaa:ChangePasswordAtNextLogin>
</aaa:User>
</aaa:Users> <!-- 終了タグ -->
</AAA> <!-- ネームスペース宣言の終了タグ -->
</IVE> <!-- ネームスペース宣言の終了タグ -->
文字列データに変更を加えると、開始タグと終了タグの間に表示されます。たとえば、前
の例から、次の要素を追加または変更できます。
„
<aaa:AuthServerName>Administrators</aaa:AuthServerName>
„
<aaa:Email></aaa:Email>
„
<aaa:FullName>IVE Platform Administrator</aaa:FullName>
„
<aaa:LoginName>admin</aaa:LoginName>
„
<aaa:Password PasswordFormat="Plaintext">password</aaa:Password>
„
<aaa:ChangePasswordAtNextLogin>false</aaa:ChangePasswordAtNextLogin>
設定ファイルの概要
„
197
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
メモ : 与えられた認証サーバーのユーザーを変更する場合、または与えられてユーザー
の認証サーバーを変更するには、既存のユーザーまたは認証サーバーをアップグレード
するのではなく、異なるユーザーを作成します。ユーザーと認証サーバーはともに論理
的に一意のユーザーを定義します。
Email 要素は空白であり、これは、スキーマがインスタンス ファイルに Email 要素を含
めることを要求しており、その値はオプションであることを意味しています。E メール ア
ドレスを追加するか、空白のままにしておくことができます。
前述のサンプルでは PasswordFormat は Encrypted に設定され、インスタンス ファイルは
Password 要素のデータを暗号化データとして表示しています。これは、パスワードの値
を変更できないことを意味しています。デフォルトでは、XML エクスポート処理では
PasswordFormat は Encrypted に設定され、パスワードは暗号化されます。を変更すると、
PasswordFormat を Plaintext に設定すると、パスワードを変更することができます。イン
スタンス ファイルでパスワードを変更した場合、パスワード値は IVE にインポートされ
るまで読まれてしまいます。インポートされると、IVE はパスワードを暗号化します。
新しいユーザーにプレーン テキスト形式でパスワードを入力する場合は、そのパスワー
ドはインスタンス ファイルでは読まれてしまいます。このため、Change Password at
Next Login(次回のログインでパスワードを変更)オプションを true に設定することも
できます。
メモ :
„
パスワードはデフォルトで暗号化されるため、システム間の移動を完全に実行でき
ます。
„
XML ファイルでは絶対にパスワードを手動で暗号化しないでください。IVE はいか
なる試行も拒否します。プレーン テキストの PasswordFormat を使用し、XML ファ
イルを介してパスワードを変更する際はプレーン テキストのパスワードを入力して
ください。
属性
属性とは、要素の定義をより詳細に指定する情報です。要素の開始タグには属性を含める
ことができます。属性の値は二重引用符により区切られます。次の例は、Users インスタ
ンス ファイルのパスワード要素を示しています。パスワードの形式は、要素の属性として
定義されます。
<aaa:Password PasswordFormat="Encrypted">fEm3Qs6qBwBQ</aaa:Password>
“Encrypted” の値を他の許可される値の一つに変更できます。Web コンソールで属性に許
可される値を見つけることもできますが、この例では、users.xsd スキーマ ファイルを見
直して、許可される値を Plaintext, Encrypted および Base64 として指定する必要があり
ます。
メモ : スキーマ (.xsd) ファイルを XML Import/Export ページからダウンロードできます。
詳細については、576 ページの「XML Import/Export タブ」を参照してください。
198
„ 設定ファイルの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ネームスペース
ネームスペースでは、異なるコンテキストまたは XML 用語のコードに同じ語句またはラ
ベルを使用できます。要素の先頭にネームスペースの修飾子を付けると、インスタンス
ファイルに、異なる XML 用語に基づく異なるオブジェクトへの参照や、同じ名前を共有
する異なるオブジェクトへの参照を含めることができます。
ネームスペース宣言は次のようになります。
<AAA xmlns:aaa="http://xml.juniper.net/iveos/5.0R1/aaa">
この例では、ネームスペース識別子は aaa です。IVE は要素 <aaa:example> と
<xs:example> を全く別の要素と見なします。インスタンス ファイルにネームスペース識
別子がある場合は、その識別子を削除または変更しない限り、それらを気にする必要はあ
りません。
要素の順序
可能な限り、インスタンス ファイル内の要素の順序を変更しないでください。スキーマは
すべての場合で順序を強制しませんが、エクスポートされるインスタンス ファイルに表
示される要素の順序を変更しても、何の利点もありません。また、場合によっては、要素
の順序を変更することにより、インスタンス文書が無効になることがあります。
参照整合性制約
IVE 設定オブジェクトは、参照整合性制約の使用により実施されるデータ モデルの一部で
す。これらの制約を変更することはできませんが、他のオブジェクトへの依存性を維持す
るオブジェクトを削除しようとしないように、これらの制約について理解しておく必要が
あります。
IVE の参照整合性制約に違反すると、インポート操作は失敗します。以下の図は、いくつ
かの IVE オブジェクト間の関係を示しています。
図 40: IVE オブジェクトの参照整合性制約
図 40 では、ボックスは IVE オブジェクトタイプを示し、矢印はオブジェクトタイプ間の
従属関係を示しています。矢印は従属しているオブジェクトからオブジェクトに向かって
指し示しています。
システムは、別のオブジェクトが依存しているオブジェクトの削除を許可しません。逆
に、オブジェクトを追加する場合は、そのオブジェクトが依存する他のオブジェクトを追
加する必要があります
設定ファイルの概要
„
199
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 40 では、サインイン URL は領域およびサインイン ページに応じて異なります。領域は
認証サーバーとロールの両方に依存します。ポリシーはロールに依存します。ユーザーは
認証サーバーに依存します。
図 40 に基づいて、以下のシナリオを考慮してみましょう。
„
サインイン URL を追加する場合は、領域、サインイン ページ、ロール、および認証
サーバーを追加する必要があります。領域をサポートするには、認証サーバーと少な
くとも 1 つのロールを追加する必要があり、新しいサインイン URL をサポートする
には、領域とサインイン ページを追加する必要があります。
„
ユーザーを追加する場合は、そのユーザーは認証サーバーに割り当て可能でなければ
なりません。ターゲットの IVE にまだ認証サーバーが存在しない場合は、インスタン
ス ファイルに認証サーバーを追加する必要があります。
„
ポリシーを追加する場合は、そのポリシーはロールに割り当て可能でなければなりま
せん。ターゲットの IVE にまだロールが存在しない場合は、インスタンス ファイルに
ロールを追加する必要があります。
„
認証サーバーを削除する場合は、領域やユーザーが取り残されることがあるので、認
証サーバーを削除する前に、領域やユーザーが認証サーバーに依存していないことを
確認する必要があります。
„
ロールを削除する場合は、ポリシーや領域が取り残されることがあります。ロールを
削除するには、初めにそのロールに依存するポリシーを削除するか、関連するポリ
シーを別のロールに再割り当てする必要があります。また、ロールを削除するには、
初めにそのロールに依存する領域を削除するか、再割り当てする必要があります。
„
サインイン ページを削除する場合は、1 つまたは複数のサインイン URL が取り残さ
れることがあります。サインイン ページを削除するには、初めに関連するサインイン
URL を削除するか、その他のサインイン ページに再割り当てする必要があります。
XML インスタンスの UI コンポーネントへのマッピング
Web コンソールで表示されるように、XML インスタンス内の要素は、オブジェクトやそ
のオプションと密接に関連しています。XML インスタンス ファイル内の要素名は、表示
されるオブジェクトやオプション名と密接な相関関係があります。
たとえば、Web コンソールで、Roles > Users > General > Session Options に移動しま
す。Web コンソールはローミング セッションの可能な値を次の値で構成されるラジオ ボ
タン グループとして表します。
„
Enabled(有効)
„
Limit to subnet(サブネットに制限)
„
Disabled(無効)
ロールのエクスポートされた設定ファイルからの次の抜粋は、Users ロールのセッション
オプションを示しています。6 行目(以下の太字部分)では、ローミング セッション オ
プションは Enable に設定されています。
<aaa:SessionOptions>
<aaa:IdleTimeout>10</aaa:IdleTimeout>
<aaa:MaxTimeout>60</aaa:MaxTimeout>
<aaa:ReminderTime>5</aaa:ReminderTime>
<aaa:RoamingNetmask></aaa:RoamingNetmask>
<aaa:Roaming>Enable</aaa:Roaming>
<aaa:PersistentPassword>false</aaa:PersistentPassword>
200
„ 設定ファイルの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
<aaa:RequestFollowThrough>true</aaa:RequestFollowThrough>
<aaa:PersistentSession>false</aaa:PersistentSession>
<aaa:SessionTimeoutWarning>false</aaa:SessionTimeoutWarning>
<aaa:IgnoreApplicationActivity>false</aaa:IgnoreApplicationActivity>
</aaa:SessionOptions>
roles.xsd スキーマ ファイルで、ローミング セッション オプションの許可される値を次の
ように見つけることができます。
<xs:simpleType name="EnableRoamingType">
<xs:restriction base="xs:token">
<xs:enumeration value="Enable"/>
<xs:enumeration value="Limited"/>
<xs:enumeration value="Disable"/>
</xs:restriction>
</xs:simpleType>
ローミング セッションの値を enabled(有効)から limit to subnet(サブネットに制限)
に変更する場合は、Enable を Limited に置き換えます。
この例では、Web コンソールはしばしば許可されるすべての値を、表示されたラジオ ボ
タン グループ、チェックボックス、ドロップダウン リストボックス、またはその他の
ユーザー インターフェース コンポーネントとして与えることを示しています。このイン
スタンス ファイルは IVE 設定の現在の状態のみを表示します。スキーマ ファイルは、
XML Import/Export 機能でサポートされている設定オプションの実際の値をすべて表示し
ます。
特定の要素の詳細は、スキーマ ファイルを直接調べてください。
XML インポート モード
IVE は、XML 設定ファイルをインポートするときに使用する 3 つの異なるインポート
モードを提供します。使用するモードを変えると、インポート操作の際により複雑なタス
クを実行できるようになります。
Quick Import
オブジェクトを設定に追加する場合は、クイック インポート モードを使用します。ク
イック インポート モードでは既存の設定を変更することはできません。XML インスタン
ス ファイル内のデータを変更しても、IVE はこれらの変更を設定に適用しません。
Standard Import
設定の他のデータに影響を与えずに、オブジェクトを変更したり、設定に追加する場合
は、標準インポート モードを使用します。標準インポート モードでは、新しいオブジェ
クトを設定に追加し、既存のオブジェクトを更新できます。オブジェクトをインスタンス
ファイルから削除する場合に、標準インポート モードを使用すると、IVE は削除を無視し
ます。IVE はデフォルトのインポート モードを標準モードに設定します。
設定ファイルの概要
„
201
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Full Import
フル インポート モードは、XML インスタンス ファイルを使用して実行できる最もパワフ
ルなインポート操作です。フル インポートは IVE 設定の完全な交換です。フル インポート
モードを使用すると、IVE からオブジェクトを追加、変更、削除することができます。
フル インポート モードでは、意図的であろうと、不注意からであろうと、設定に大幅な
変更を行うことができるため、その使用の意味を理解することは重要です。
フル インポートでは、既存の設定はインスタンス ファイルにあるもので完全に置き換え
られます。このモードでは、多数のオブジェクトを既存の設定から効率よく削除できま
す。IVE は除外により削除を行います。インスタンス ファイルと既存の設定を比較する
と、IVE は既存の設定にありインスタンス ファイルにないものを削除します。
メモ : 不適切なフル インポート操作を実施すると、設定の多くの部分またはすべてを
誤って削除してしまうことがあります。エクスポートしたインスタンス ファイルには、
IVE の最上位コンポーネントの現在の状態が含まれます。
次のシナリオでは、IVE 設定から一部のユーザーを削除する場合のフル インポート モー
ドの間違った使用と正しい使用について説明します。
フル インポート モードの間違った使用
IVE から数人のユーザーを削除したいとします。
メモ : この手順は実行しないでください。フル インポート モードの正しくない使用例が
含まれていますが、これは、トレーニングの目的以外には使用しないでください。
次の手順を実行します。
1.
認証サーバーの 1 つに関連付けられたローカル ユーザーをエクスポートします。
2.
XML インスタンス ファイルから数人のユーザーを削除します。
3.
Full Import を選択して、残りのユーザーを IVE にインポートし直します。
これにより、XML インスタンス ファイルに残ったユーザーを除いて、すべてのユーザー
が削除されました。あなたの間違いは、特定の認証サーバーに関連付けられたユーザーだ
けをエクスポートしたことです。なぜなら、フル インポート モードでは設定を完全は置
換されるため、インポートしたファイルの内容は対応する IVE 設定データをすべて上書き
するからです。
フル インポート モードの正しい使用
IVE から数人のユーザーを削除したいとします。次の手順を実行します。
202
„ 設定ファイルの概要
1.
すべてのローカル ユーザーを、IVE で定義されたすべての認証サーバーからエクス
ポートします。
2.
XML インスタンス ファイルから数人のユーザーを削除します。
3.
Full Import を選択して、残りのユーザーを IVE にインポートし直します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
これにより、IVE から選択したユーザーのみが削除され、他のユーザーはそのまま残りま
した。
インスタンス ファイルの確認
XML スキーマは、アプリケーション構造や、許容値、デフォルト値、データ タイプ、範
囲、リスト値、必須値とオプション値、構文、その他のデータ構造を定義します。XML イ
ンスタンスを IVE にインポートしようとすると、そのインスタンスはスキーマと照合さ
れ、有効な IVE 設定の要件に適合するようにします。
スキーマで設定された規則に何らかの形で違反するインスタンス ファイルに変更や追
加を行った場合は、それらが参照整合性規則や、許容値、範囲、またはその他の制限タ
イプのいずれであっても、IVE はインポート処理を完了しないで、エラー メッセージを
与えます。
IVE オブジェクトにスキーマ (.xsd) ファイルをダウンロードすることができます。オブ
ジェクトのデータはエクスポート / インポートが可能です。スキーマ ファイルはこれらオ
ブジェクトのエクスポート、修正、インポートに関連しているため、IVE に適用する規則
を決定する際に役に立ちます。
スキーマ ファイルのダウンロード
オブジェクトに適用する構造や規則を確認したい場合は、IVE オブジェクトにスキーマ
(.xsd) ファイルをダウンロードすることができます。
スキーマ ファイルは、オブジェクトタイプに応じて個々のファイルに整理されています。
たとえば、ローカル ユーザー アカウントのスキーマ ファイルは users.xsd にあります。
すべてのファイルは 1 つの Zip ファイルに含まれています。
Zip ファイルをダウンロードする方法は 2 通りあります。
„
XML Import/Export ページで、ハイパーリンクをクリックする。
„
システムにファイルが保存されている URL に直接アクセスする。
XML Import/Export ページからのスキーマ ファイルのダウンロードについての詳細は、
576 ページの「XML Import/Export タブ」を参照してください。
.xsd ファイルを含んだ Zip ファイルにアクセスするには、直接またはスクリプトを使用し
て以下の URL にアクセスしてください。
https://<ive-ip-or-hostname>/dana-na/xml/schema.zip
ive-ip-or-hostname は IVE の IP アドレスまたはホスト名です。この方法を使用すれば、
IVE にサインインする必要はありません。
メモ : この機能は将来的に変更する可能性があります。URL を介してスクリプトで zip
ファイルにアクセスする場合は注意してください。変更する可能性がある項目:
„
URL
„
ファイル名
„
ファイルの拡張子。たとえば、形式が .xsd に変更される可能性もあります。
„
ファイル数。個々の特定オブジェクトのスキーマ ファイルではなく、ファイルが 1
つの .xsd ファイルに組み合わさる可能性もあります。
設定ファイルの概要
„
203
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
XML インスタンス使用の方針
XML インスタンス ファイルをエクスポートおよびインポートする際に、次の方針を役立
ててください。
„
„
XML Import/Export 操作の目的を明確にします。
„
どの IVE オブジェクトを追加、更新、または削除する必要がありますか ?
„
1 回の操作ですべての変更を完了する必要がありますか? 設定の変更を何度かに
分けて行えませんか ?
„
処理は一度だけ行うものですか ? 同じ処理を複数回行う必要がありますか ?
„
既存の IVE を更新しますか ? 他の IVE を設定するために、1 つの IVE 設定をテン
プレートとして使用しますか ?
修正しようとする IVE オブジェクトへの変更点を記録します。
„
追加、更新、削除するオブジェクトのリストを作成します。
„
追加または更新するオブジェクトには、特定の属性データのリストを作成し
ます。
„
変更しようとするオブジェクトや属性に対応するページやタブのリストを Web
コンソールから作成します。
„
インポートを行う直前に、バイナリ システムのスナップショットまたはバイナリ設
定のバックアップを作成します。
„
201 ページの「XML インポート モード」で説明されているインポート モードの意味
を必ず理解してください。
„
完成した設定が目的を満たしていることを確認する計画を立てます。
„
Admin Access ログを調べて、エクスポートとインポートの処理が正常に行われ
たことを確認します。
„
変更した項目のランダム チェックを実行します。予定した項目が追加、更新、ま
たは削除されたことを確認します。
ほとんどの場合、XML インスタンス ファイルと Web コンソールを組み合わせて使用する
必要があります。特に、XML インスタンス ファイルを初めに変更する場合は、これが必
要です。また、XML スキーマ ファイルを表示する必要もあります。
XML インスタンス ファイルを使用して、次の操作を行います。
„
XML 要素として表す設定オブジェクトを識別します。
„
設定データを見つけ、変更します。
Web コンソールを使用して、次の操作を行います。
204
„ 設定ファイルの概要
„
ビジュアル コンポーネントを XML スキーマとインスタンスの要素に関連付けます。
„
変更の精度を特定のオブジェクトに一致させます。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
XML スキーマ ファイルを使用して、次の操作を行います。
„
構造と設定オブジェクトの順序を見つけます。
„
オプション要素と必須要素、許容値、デフォルト値、設定オブジェクトのその他の属
性を識別します。詳細については、576 ページの「XML Import/Export タブ」を参照
してください。
タスク サマリー: XML 設定ファイルのインポートとエクスポート
1.
2.
XML 設定ファイルのエクスポートは、Web コンソールの Maintenance >
Import/Export > Export ページから行えます。手順については、576 ページの
「Export XML 設定データのエクスポート」を参照してください。
XML 設定ファイルのインポートは、Web コンソールの Maintenance >
Import/Export > Import ページから行えます。手順については、578 ページの「XML
設定データのインポート」を参照してください。
IVE 間での設定のプッシュ
アドバンス ライセンスで有効化された IVE アプライアンスを使用すると、プッシュ設定
機能を使用して、選択した設定内容を IVE 間でコピーできます。この機能により、IVE ア
プライアンスをクラスタ化することなく、企業全体でのシンプルな設定管理を実現できま
す。プッシュ設定機能では、どの設定内容を全社レベルでコピーするか、またはコピーし
ないかを厳密に設定できます。プッシュ設定機能は、XML Import/Export と同じ機能を使
用して XML インスタンス ファイルを作成し、それを別の IVE にプッシュします。手順に
ついては、585 ページの「Push Config ページの設定」を参照してください。
プッシュ設定を使用する前に、次の条件に従ってシステムを設定する必要があります。
„
.Administrators ロールに割り当て、すべての管理者権限を持つ「スーパー管理者」を
作成する必要があります。
„
ターゲット IVE 管理者アカウントはチャレンジ - レスポンス タイプの認証を使用しな
い静的パスワードまたは 2 要素トークンを使用する必要があります。たとえば、証明
書、Soft ID、Defender 認証はサポートされません。
„
管理者がターゲット IVE にサインインするためにロールを選択する必要があるような
管理者アカウントを設定してはなりません。たとえば、プッシュ設定管理者ロールを
含む、複数のロールにシングル ユーザーを割り当てて、これらのロールをまとめて
はいけません。管理者によるサインイン プロセス中のロール選択の必要性を排除し、
ログ ファイル内の設定転送管理者の操作をその他の操作と明確に区別するため、ア
カウントは設定転送管理者専用に作成することをお勧めします。
設定ファイルの概要
„
205
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
トラブルシューティングの概要
このセクションでは、IVE を介して実行できる以下のさまざまなトラブルシューティング
タスクの概要を示します。
„
206 ページの「イベントのシミュレーションとトラッキング」
„
208 ページの「記録セッション」
„
208 ページの「IVE システム状態のスナップショットの作成」
„
208 ページの「TCP ダンプ ファイルの作成」
„
209 ページの「IVE ネットワーク接続状態のテスト」
„
210 ページの「デバッグ ツールのリモートでの実行」
„
210 ページの「デバッグ ログの作成」
„
210 ページの「クラスタ ノードのモニタリング」
„
210 ページの「クラスタ上のグループ通信モニタリングの設定」
イベントのシミュレーションとトラッキング
問題のある IVE のイベントをシミュレーションおよびトラッキングして、IVE が、実行し
たいタスクを許可しない理由を調べるには、Web コンソールの Maintenance >
Troubleshooting > User Sessions ページの設定を使用します。このページでは、現在 IVE
で設定されているすべての領域、ロール、ポリシーへ導き、認証、承認、およびアクセス
プロセスのさまざまなステップでのログ メッセージを出力します。
問題のイベントは、特定のユーザーの認証、承認、アクセスに関連します。これらはすべ
てユーザー セッションの間に発生したものに左右されます。これはシミュレーションとポ
リシー トレーシングの両方に適用されます。
メモ : キャプチャされたイベントには、イベントに関連する他のシステムは含まれませ
ん。IVE は単にイベントをフィルタリング メカニズムとして使用し、ログの数を減らし
て、問題をはっきりさせます。
問題を引き起こすイベントのシミュレーション
IVE では、問題を引き起こすイベントのシミュレーションにより、問題のトラブルシュー
ティングを行うことができます。Maintenance > Troubleshooting > User Sessions>
Simulation ページを使用すると、エンドユーザーが実際に IVE にサインインすることな
く、仮想ユーザー セッションを作成し、問題を再現することができます。また、本番環境
で使用する前に、Simulation タブで、新しい認証ポリシーや承認ポリシーをテストする
こともできます。
シミュレーション機能を使用するには、シミュレーションの対象イベントを指定する必要
があります(たとえば、“John Doe” が午前 6 時に Internet Explorer ブラウザから “Users”
領域にサインインする仮想セッションを作成します)。次に、シミュレーション中にログ
に記録するイベントを指定する必要があります。シミュレーション ログには次の 3 種類
の主要なイベントのログを取ることができます。
206
„ トラブルシューティングの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
認証前 - キャプチャされた IVE イベントには、他のシステム関連イベントは含まれ
ません。イベントは単にフィルタリング メカニズムとして使用され、ログの数を減ら
して、問題をはっきりさせます。
„
ロール マッピング - キャプチャされた IVE イベントには、他のシステム関連イベン
トは含まれません。イベントは単にフィルタリング メカニズムとして使用され、ログ
の数を減らして、問題をはっきりさせます。
„
リソース ポリシー - キャプチャされた IVE イベントには、他のシステム関連イベン
トは含まれません。イベントは単にフィルタリング メカニズムとして使用され、ログ
の数を減らして、問題をはっきりさせます。
ポリシー トレースを使用したイベントのトラッキング
IVE を使用すると、ユーザーが領域にサインインしたときにイベントをトレースして、問
題のトラブルシューティングを行うことができます。Maintenance > Troubleshooting >
User Sessions > Policy Tracing ページ では、個々のユーザーについてポリシー トレース
ファイルを記録でき、IVE はユーザーのアクションを示すログ エントリを表示して、ユー
ザーが Web またはファイル サーバーへのアクセスなど、さまざまな機能へのアクセスを
許可または拒否された理由をリストします。
たとえば、“Human Resources” 領域を作成し、領域内に以下の 2 つのロール マッピング規
則を作成するとします。
„
All Employees - このロール内では、Web ブラウジングのみを有効にします。以下の
規則を使用してユーザーをロールをマップします。if username = *, map to "All
Employees"。_ つまり、領域にサインインを認められたユーザーは “All Employees”
ロールに自動的にマップされます。
„
Human Resources Staff - このロール内では、Web、ファイルおよびミーティングの
機能を有効にします。以下の規則を使用してユーザーをロールをマップします。
if LDAP group=human resources, map to "Human Resources Staff"
つまり、このロールにマップされるためには、ユーザーは LDAP 認証サーバーの
“humanresources” グループに属していなければなりません。
これらの両方のロールに属しているはずの Joe が IVE へサインインすると、“Human
Resources Staff” ロールで有効化されているファイル ブラウジング機能やセキュア ミー
ティング機能にアクセスできないとします。想定されている機能のすべてに Joe がアクセ
スできない理由を確認するため、ポリシー トレースを実行した場合、図 41 に記されたも
のと類似しているログ エントリが表示される可能性があります。
トラブルシューティングの概要
„
207
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 41: Maintenance > Troubleshooting > User Session > Policy Tracing > Policy Trace File
トレース ファイルを確認すると、エントリ PTR10218 に問題があることがわかります。
joe(human resources realm)-No match on rule 'group.humanresources'_
このエントリは、Joe が LDAP サーバの “humanresources” グループに属していないため
IVE が Joe を “Human Resources Staff” ロールに割り当てていないことを示しています。
記録セッション
Web サイトが IVE から正しく表示されない場合は、Maintenance > Troubleshooting >
Session Recording タブで、ユーザーのアクションをリストするトレース ファイルを記録
できます。さらに、このタブは、IVE から予測した動作を行わないクライアント / サー
バー アプリケーションに接続する場合にも、使用することができます。
トレース ファイルの記録を開始すると、IVE は指定されたユーザーをサインアウトさせ
て、ユーザーが再びサインインして認証された後から、すべてのユーザー アクションを
記録し始めます。この際、認証後に IVE が対象ユーザーにアクションが記録されているこ
とを通知することに注意してください。
IVE システム状態のスナップショットの作成
Maintenance > Troubleshooting > System Snapshot タブを使用すると、IVE システム状
態のスナップショットを作成できます。このオプションを使用すると、IVE はさまざまな
ユーティリティを実行して、使用中のメモリ、ページング パフォーマンス、実行中のプ
ロセスの数、システムの稼動時間、開いているファイル記述子の数、使用中のポートおよ
び Access Series FIPS ログ メッセージなど、IVE システムの状態に関する詳細情報を収集
します。ここでは、システム設定ログとデバッグ ログを含めたり、除外することができま
す。ただし、デバッグ ログは問題のイベントで特に重要です。サポート担当者の指示に
従って、デバッグ ログを特定のレベルに設定し、イベント リストに追加することが必要
になります。問題やイベントを再現します。続いて、スナップショットを作成し、サポー
トに送信します。デバッグ ログは暗号化されます。それを表示することはできません。
IVE は、最大 10 のスナップショットを保持します。暗号化された「ダンプ」ファイルに
まとめられたこれらのスナップショットをいったんネットワーク マシンにダウンロード
してから、Juniper Networks サポートにメールで送信します。
TCP ダンプ ファイルの作成
208
„ トラブルシューティングの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Maintenance > Troubleshooting > TCP Dump タブを使用すると、ネットワーク パケッ
ト ヘッダをスニッフィングして、結果を暗号化された「ダンプ」ファイルに保存できま
す。このファイルをいったんネットワーク マシンにダウンロードして、Juniper Networks
サポートにメールで送信します。
この機能は、TCP/IP ネットワーク スタックを使用して、TCP レイヤでパケットをキャプ
チャします これは、IVE を通過するすべての通信をキャプチャします。ただし、一部の暗
号化された高レベルのプロトコルは復号化できません。この機能は、一般的なお客様の問
題のトラブルシューティングに役立ちます。TCP ダンプ ファイルは、Juniper Networks サ
ポート チームが IVE と他のイントラネット サーバー間で使用される通信プロトコルや、
イントラネット サーバーが IVE からの要求にどのように応答したかを観察する上で役立
ちます。
Web コンソールでは、パケットをキャプチャするインターフェースの ( 外部または内部 )
の選択、ダンプ ファイルの詳細レベルを高める Promiscuous モードの選択、およびフィ
ルタの指定が行えます。
IVE ネットワーク接続状態のテスト
Maintenance > Troubleshooting > Commands タブを使用すると、arp、ping、
traceroute、Nslookup などの UNIX コマンドを実行して、IVE ネットワークの接続状態を
テストできます。これらの接続状態ツールを使用すると、IVE から特定のサーバーへの
ネットワーク パスを調べることができます。IVE に ping または traceroute を実行できる
場合は、IVE はターゲット サーバーを ping でき、リモート ユーザーは IVE からそのサー
バーにアクセスできるはずです。
アドレス解決プロトコル (ARP)
arp コマンドを使用して、IP ネットワーク アドレスをハードウェア アドレスにマップ
します。アドレス解決プロトコル (ARP) を使用すると、ハードウェア アドレスを解決で
きます。
ネットワーク内のサーバーのアドレスを解決するために、IVE 上のクライアント プロセス
は固有の ID についての情報をイントラネット内のサーバーで実行されるサーバー プロセ
スに送信します。これにより、サーバー プロセスは要求されるアドレスをクライアント
プロセスに返します。
トラブルシューティングの概要
„
209
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Ping
ping コマンドを使用して、IVE がネットワーク上の他のシステムに接続できることを確認
します。ローカル ノードとリモート ノード間のネットワーク障害の場合は、ping したデ
バイスから応答を受信できません。その場合は、LAN 管理者に連絡して指示を求めてくだ
さい。
ping コマンドはパケットをサーバーに送信し、サーバーの応答を返します。この応答に
は、ターゲット サーバーの IP アドレス、パケットの送信や応答の受信にかかった時間、
その他のデータなど、一般的な統計情報のセットが含まれます。ユニキャスト アドレスや
マルチキャスト アドレスを ping できます。要求には、ターゲット サーバー名を含める必
要があります。
Traceroute
traceroute コマンドを使用すると、パケットがたどる IVE から別のホストへのパスを見
つけることができます。traceroute はパケットを宛先のサーバーに送信して、各ゲート
ウェイとそのパスから ICMP TIME_EXCEEDED レスポンスを受信します。
TIME_EXCEEDED レスポンスと他のデータは記録され、出力に表示されて、パケットの
往復のパスを示します。
Nslookup
Nslookup を使用すると、ネットワーク上のネーム サーバーの詳細情報を取得します。複
数の異なるタイプの情報をクエリできます。これには、サーバーの IP アドレス、エイリ
アス IP アドレス、start-of-authority 記録、メール エクスチェンジ記録、ユーザー情報、
よく知られたサービス情報、およびその他のタイプの情報が含まれます。
デバッグ ツールのリモートでの実行
Juniper Networks サポート チームはデバッグ ツールを御社の本番環境の IVE 上で実行で
きます。これを行うには、Maintenance > Troubleshooting > Remote Debugging ページ
を使用して設定します。このオプションを有効にするには、Juniper Networks サポートに
連絡してデバッグ コードと IVE の接続先ホストの情報を取得する必要があります。
デバッグ ログの作成
問題がある場合は、Juniper Networks サポートの担当者が IVE の内部問題をデバックする
ために、デバック ログの作成を依頼することがあります。ロギングを有効にすると、Web
コンソールの Maintenance > Troubleshooting > Debug Log タブで入力するイベント
コードに基づいて、IVE は特定のイベントやメッセージを記録します。結果のデバッグ ロ
グを使用して、サポート チームは矛盾するコードの流れを特定します。サポート担当者
は、デバッグ詳細ログ レベルやイベント コードなど、ログ ファイルの作成に必要な情報
を提供します。
クラスタ ノードのモニタリング
クラスタに問題がある場合は、Juniper Networks サポートの担当者がクラスタ問題をデ
バックするために、ノード モニタリングの統計情報を含むスナップショットの作成を依
頼することがあります。Maintenance > Troubleshooting > Node Monitor タブでノード
モニターを有効化すると、IVE はシステム上でクラスタ ノード固有の統計情報をキャプ
チャします。結果のスナップショットを使用して、サポートチームはネットワーク統計お
よび CPU 使用率の統計といった重要なデータを確認することができます。
クラスタ上のグループ通信モニタリングの設定
クラスタに問題がある場合は、Juniper Networks サポートの担当者がクラスタ問題をデ
バックするために、グループ通信の統計情報を含むスナップショットの作成を依頼するこ
とがあります。Maintenance > Troubleshooting > Clustering タブでグループ通信モニ
210
„ トラブルシューティングの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ターを有効化すると、IVE はシステム上の全クラスタ ノードに関する統計情報を記録しま
す。ローカル ノードはクラスタ内の他のノードと通信するため、IVE はクラスタ内部の通
信に関する統計情報をキャプチャします。システムでクラスタを有効化すると、
Clustering タブが表示されます。スタンドアロン IVE では、Clustering タブにアクセスす
ることはできません。
トラブルシューティングの概要
„
211
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
多言語サポートの概要
SSL VPN アプライアンスはファイルのコード化、ユーザー インターフェースの表示、カ
スタム サインインとシステム ページに対して多言語サポートを提供しています。SSL VPN
アプライアンスは以下の言語をサポートしています。
„
英語(米国)
„
中国語(簡体)
„
中国語(繁体)
„
フランス語
„
ドイツ語
„
日本語
„
韓国語
„
スペイン語
ここでは、以下の内容について説明します。
„
212 ページの「ファイルのエンコード」
„
213 ページの「ユーザー インターフェースのローカライズ」
„
213 ページの「カスタム サインインとシステム ページのローカライズ」
ファイルのエンコード
文字のエンコードとは、表示する言語の文字や記号をコンピュータが使用するバイナリ形
式にマッピングすることです。文字のエンコードは、データの保存や送信方法を左右しま
す。また、IVE は、ファイル サーバーと対話する際に、データのエンコードに次の国際文
字セットをサポートしています。
„
Western European(ISO-8859-1)(デフォルト)
„
Simplified Chinese (CP936)
„
Simplified Chinese (GB2312)
„
Traditional Chinese (CP950)
„
Traditional Chinese (Big5)
„
Japanese (Shift-JIS)
„
Korean
エンコードのオプションを設定するには、Resource Policies > File > Encoding タブの設
定を使用します。手順については、544 ページの「Encoding タブ」を参照してください。
212
„ 多言語サポートの概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ユーザー インターフェースのローカライズ
IVE では、エンドユーザー インターフェースをサポートする言語のいずれかで表示するこ
とができます(212 ページの「多言語サポートの概要」を参照してください)。この機能
を(カスタム)サインイン、システム ページ、ローカライズしたオペレーション システ
ムを組み合わせると、ユーザーは完全にローカライズされた環境で操作できます。
言語を指定すると、IVE は、ユーザーがどの領域にサインインしても、すべてのメニュー
項目、IVE により生成されるダイアログ、ヘルプ ファイルなどのユーザー インター
フェースを、指定した言語で表示します。ローカライズのオプションを設定するには、
Maintenance > System > Options タブの設定を使用します。手順については、571 ペー
ジの「Options タブ」を参照してください。
カスタム サインインとシステム ページのローカライズ
IVE には、サインイン プロセスに表示される様々なページのサンプル テンプレート ファ
イルを格納した 3 つの zip ファイルが用意されています。これらのテンプレート ファイル
とテンプレート ツールキット言語を使用して、ローカライズされたカスタム サインイン
ページとシステム ページを作成できます。
メモ : 選択した言語のテキストでデフォルトのサインイン ページを編集すると、ユー
ザーにローカライズされたサインイン ページを素早く提供できます。デフォルトのサイ
ンイン ページのカスタマイズついては、352 ページの「Sign-in Pages タブ」を参照して
ください。
zip ファイルとそこに格納されたテンプレートファイルおよびテンプレートツールキット
言語の詳細は、629 ページの「カスタマイズ可能なサインイン ページ」を参照してくだ
さい。
System > Signing In > Sign-in Pages タブの設定を使用して、カスタマイズおよびロー
カライズしたサインイン ページを作成します。手順については、353 ページの「カスタム
ページ」を参照してください。
多言語サポートの概要
„
213
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
携帯端末と PDA の概要
エンドユーザーは、標準のワークステーションやキオスクから IVE にアクセスできるほ
か、接続された PDA、携帯端末、および i モードや Pocket PC などの高機能電話機から
IVE にアクセスすることもできます。ユーザーが PDA または携帯端末から IVE に接続した
ときに表示されるページと機能は、Web コンソールの System > Configuration > Client
Types ページの設定に基づいて決定します。デフォルトの指定では、各端末から IVE にア
クセスすると次のようになります。
„
i モード端末 - IVE は、表、イメージ、JavaScript、Java、またはフレームのないコン
パクト HTML(cHMTL)ページを表示します。Web コンソールで有効にした機能に応
じて、エンドユーザーは Web をブラウズしたり、Web ブックマークにリンクした
り、他のアプリケーションにシングル サインオンしたり、設定(キャッシュのクリ
アや IVE/LDAP パスワードの編集を含む)を編集することができます。IVE IVE を使
用して、i モード ユーザーは、標準的なブラウズ / 選択ナビゲーションのほか、端末
のキーパッドのアクセス キーを使用して、サポートされている機能にアクセスでき
ます。
„
Pocket PC 端末 - IVE は、表、イメージ、JavaScript、およびフレーム付きの HTML
モバイル ページを表示しますが、Java の処理は行いません。Web コンソールで有効
にした機能に応じて、エンドユーザーは Mobile Notes にアクセスしたり、Web をブ
ラウズしたり、Web ブックマークにリンクしたり、他のアプリケーションにシング
ル サインオンしたり、設定(キャッシュのクリアや IVE/LDAP パスワードの編集を含
む)を編集することができます。
PDA および携帯端末のユーザーは、Web コンソールにアクセスできないほか、IVE の高度
なオプションの大部分、たとえばファイル ブラウジング、Network Connect、Secure
Meeting、Telnet/SSH、Email Client、Host Checker、および Cache Cleaner などにもアクセ
スできません。これは、PDA や携帯端末は通常、これらの機能が依存する ActiveX、Java、
または JavaScript コントロールをサポートしていないためです。
これは、ほとんどの i モード ブラウザが HTTP クッキーをサポートしていないためで
す。IVE は、クッキーを使用するのではなく、ハイパーリンクを書き換えて URL にセッ
ション ID を含めます。ユーザーが URL にアクセスすると、IVE はセッション ID を読み
取ります。
214
„ 携帯端末と PDA の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
タスク サマリー: PDA および携帯端末用の IVE の設定
IVE が PDA および携帯端末に対応するように正しく設定するには、次の操作を実行し
ます。
1.
システム レベルでアクセスを有効にする - IVE で提供されているデフォルト以外の
ブラウザをサポートしたい場合は、サポートしたい PDA および携帯端末のオペレー
ティング システムのユーザー エージェント文字列を、System > Configuration >
Client Types タブに入力する必要があります。詳細については、308 ページの「Client
Types タブ」を参照してください。IVE でサポートされている PDA および携帯端末の
ブラウザの全リストについては、サポート Web サイトに掲載されている Supported
Platforms ドキュメントを参照してください。
2.
ユーザー ロールとリソース ポリシーを確認する - 有効化した IVE 機能に応じて、
既存のロールおよびリソース ポリシーを PDA および携帯端末ユーザー用に変更する
か、新規に作成する必要が生じることがあります。次の点に注意してください。
„
‰
Users > Roles > [ ロール ] > General > Restrictions
‰
Resource Policies > Web > Access> [ ポリシー ] > Detailed Rules
„
モバイル機器の小さい画面に長いロール名を読み取ろうとすると、問題が発生す
る場合があります。サインイン時にユーザーにロール リストからの選択を要求す
る場合は、Users > Roles > [ ロール ] > General > Overview タブでロール名を
短くすることができます。
„
モバイル機器の小さい画面に長いブックマーク名を読み取ろうとすると、問題が
発生する場合があります。Web ブックマークは、以下のタブで編集できます。
„
3.
モバイル機器ユーザーは、Host Checker または Cache Cleaner を要求するロール
またはポリシーにアクセスできません。これは、携帯端末は通常、これらの機能
が依存する ActiveX、Java、または JavaScript コントロールをサポートしない
ためです。これらのオプションは、以下のタブで無効にすることができます。
‰
Users > Roles > [ ロール ] > Web > Bookmarks
‰
Resource Policies > Web > Access> [ ポリシー ] > General
PDA および携帯端末ではファイル ブラウジングやセキュア アプリケーション マ
ネージャなどの高度な機能はサポートされませんが、モバイル機器ユーザーが使
用するロールおよびリソース ポリシーでそれらを無効にする必要はありません。
IVE は単に、これらのオプションをモバイル機器ユーザーに表示しないだけで
す。
認証サーバーと承認サーバーを確認する - IVE は、PDA および携帯端末ユーザーに
対して、標準ユーザーと同じ認証および承認サーバーをすべてサポートします。ただ
し、Netegrity SiteMinder ポリシー サーバーは除きます。SiteMinder はクッキーに依
存するため、i モード ブラウザではサポートされません。
携帯端末と PDA の概要
„
215
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
5.
216
„ 携帯端末と PDA の概要
領域を確認する - 有効にした IVE 機能に応じて、既存の領域を PDA および携帯端末
ユーザー用に変更するか、新規に作成する必要が生じることがあります。次の点に注
意してください。
„
モバイル機器ユーザーは、Host Checker または Cache Cleaner を要求する領域に
サインインを試みたときは IVE にアクセスできません。これは、携帯端末は通
常、これらの機能が依存する ActiveX、Java、または JavaScript コントロールをサ
ポートしないためです。これらのオプションは、System > Configuration >
Security ページのサブタブで無効にできます。
„
モバイル機器ユーザーは、Netegrity SiteMinder サーバーから認証を受けること
ができません。Users > Authentication > [ 領域 ] > General タブで、領域に対
して別の認証サーバーを選択します。
„
モバイル機器の小さい画面に長い領域名を読み取ろうとすると、問題が発生する
場合があります。サインイン時に、ユーザーに領域リストから選択するように要
求する場合は、Users > Authentication > [ 領域 ] > General タブで領域名を短
くすることができます。
使用するサインイン ポリシーを確認する - Pocket PC ユーザーに対して別のサイン
イン ページを表示する場合は、Signing In > Sign-in > Sign-in Pages タブでページ
を定義し、Signing In > Sign-in > Sign-in Policies タブのオプションを使用して、そ
のページを参照するサインイン ポリシーを作成することができます。アドバンスト
ライセンスがあれば、Pocket PC テンプレート ファイルを使用してカスタム サイン
イン ページを作成できます。Pocket PC テンプレート ファイルは、sample.zip に格納
されています。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Instant Virtual System (IVS) の概要
Instant Virtual System (IVS) により、管理サービスプロバイダ (MSP) は中小企業に対して、
コストパフォーマンスに優れたセキュアなリモート アクセス、障害リカバリー、管理エ
クストラネット サービスを提供する機会を得ることができます。この機会を活用すれば、
MSP は加入企業構内の設備機器から(Customer Premises Edge ルータベース)、または
MSP ネットワーク内で(Carrier Edge ルータベースまたはネットワークベース)管理セ
キュリティ ソリューションを提供することができます。ネットワークベースの管理セキュ
リティ ソリューションは、MSP ネットワークのセキュリティ ゲートウェイ装置を一元化
します。仮想化 IVE により、MSP は管理されたネットワークベースの SSL VPN サービス
を同一の装置で複数の顧客に提供することが可能となります。基本的なビジネス モデルの
例として、以下が挙げられます。
„
MSP が MSP サイトにて SSL MSP 装置を管理する。
„
中小企業が MSP の月々のサービスに加入する。
„
MSP は装置の管理に責任を負うが、ポータル管理に関しては各加入企業が指定する
IVS 管理者に委任する。
„
仮想システムが加入企業間の構造上および管理上の分離をサポート・実行して、それ
ぞれの加入者に完全にセキュアで個別化されたビューを提供する。
このシステムは、サービスプロバイダにとって多くの利点があります。
„
マーケットシェアを拡大 ― 1 つの IVE から 255 もの加入企業に対してセキュアな
SSL VPN 機能を提供できるため、MSP は中小企業を対象としたサービスでマーケッ
トシェアを拡大するスケールメリットおよび機会を得ることができます。
„
管理を簡素化 ― 各加入企業の管理者は、他の加入企業の管理インターフェイスを見
ることなく、自社の IVS インスタンスを管理できます。MSP ルート管理者はホストさ
れた全企業を管理でき、ホストされた企業システムを容易に監視・設定できます。
„
加入者のセキュリティを強化 ― 各加入企業は、他の加入企業から完全に分離された
状態を維持します。加入者の管理者または加入者のユーザーに関しては、完全に独
立・保護されている SSL VPN システムで実行されます。
„
トラフィック管理を最適化 ― エンドユーザーまたは企業イントラネット サーバーか
らのトラフィックは、各企業の VLAN 内にとどまります。加入者のエンドユーザー
は、他の加入者のイントラネット内のサービスを見ることはありません。
詳細については、以下のトピックを参照してください。
„
218 ページの「IVS の配備」
„
219 ページの「仮想化 IVE アーキテクチャ」
„
240 ページの「仮想化 IVE のクラスタ化」
„
252 ページの「IVS 使用例」
Instant Virtual System (IVS) の概要
„
217
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVS の配備
各加入企業に対して、仮想化 IVE は企業のエンドユーザー(モバイル社員、顧客、パート
ナー)が内部リソースにアクセスするためのセキュアなポータルを提供します。加入者の
構内または MSP ネットワーク内に存在する認証サーバーは、IVS にサインインするエン
ドユーザーを認証します。認証されると、エンドユーザーは IVS を介して、該当する企業
のバックエンド サーバーにセキュア セッションを確立します。
図 42: MSP の配備シナリオ
以下の項目のリスト番号は、図 42 のオブジェクトのラベルに対応しています。
218
1.
エンドユーザーは、指定 IP アドレス上の異なる加入企業のイントラネットにサイン
インします。
2.
エンドユーザーは標準 SSL 対応 Web ブラウザを使用して、インターネットを介して
サインインします。
3.
全トラフィックは Managed Service Provider (MSP) のネットワークへと向かいます。
MSP は、仮想化 IVE のハードウェアおよびソフトウェアのライセンスを持つ顧客で
す。
4.
全トラフィックは、仮想化 IVE へと向かいます。各メッセージはそれぞれのサインイ
ン IP アドレスに基づいて評価され、加入企業に対応する VLAN ID を含む VLAN タグ
が仮想化 IVE によって割り当てられます。IVE は IVS システムを 250 までサポートし
ます ( 各システムは 1 つの加入企業の IVE を表します )。加入者とは、MSP が提供す
るホスト SSL VPN サービスに加入している企業です。
5.
MSP のキャリア エッジ (CE) ルーターまたは他の Layer 2 デバイスは VLAN 終端点と
して機能し、トラフィックをセキュアトンネルを介して顧客構内のエッジ (CPE) ルー
ターに送ります。このルーターは VLAN ID に基づいてトラフィックを適切な加入者イ
ントラネットに差し向けます。プロセスのこの部分では、メッセージが正確に適切な
イントラネットに向けられると ID およびタグは必要なくなるため、CE ルーターは
VLAN ID を含む VLAN タグを削除します。用語「加入者イントラネット」と「企業イ
ントラネット」は置き換えが可能です。
6.
CE ルーターはサービス プロバイダ バックボーンからのメッセージを、IPSec 、GRE 、
PPP 、MPLS などの暗号化トンネルを介して、適切な顧客構内のエッジ ルーターに送
ります。タグを外されたトラフィックはこれらトンネルから顧客イントラネットに送
られます。
7.
顧客構内の顧客イントラネット内の CPE ルーターは VLAN 終端点として機能するこ
とが可能であり、トラフィックを CE ルーターに接続されたセキュアトンネルから顧
客イントラネットに送ります。
„ Instant Virtual System (IVS) の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
8.
エンドユーザーのトラフィックは適切な加入企業のバックエンド リソースに到達し
ます。IVE は同様の手順を踏んで、加入者イントラネットからエンドユーザーへのあ
らゆるリターン メッセージを処理します。
標準的な MSP の展開では、MSP の DMZ ではファイアウォールが IVE の前に、MSP ネッ
トワークまたは顧客イントラネット DMZ(または両方)では IVE の後ろに存在します。
仮想化ファイアウォールが IVE の後ろに存在することもありますが(Vsys クラスタな
ど)、この場合は IVE からの VLAN タグ付きトラフィックを受け入れ、適切な顧客 VLAN
へと送る機能(またはその逆のプロセス)を持つ必要があります。また、例外もあります
が、ほとんどの配備には Domain Name Server (DNS) または Application サーバーが MSP
ネットワークか顧客イントラネットのいずれかにあります。
仮想化 IVE の配備では、フロントエンドは、外部インターフェースとみなされ、エンド
ユーザーまたはインターネットに直面するインターフェースです。バックエンドは、内部
インターフェースとみなされ、加入企業イントラネットに直面するインターフェースで
す。
IVE は、エンドユーザーによって送信され、加入者イントラネットまたは MSP ネット
ワークのサーバーに送られたインバウンド トラフィックに、VLAN ID を含んだ VLAN タ
グを付けます。インバウンド トラフィックは IVE アプライアンスの内部インターフェー
スまたは外部インターフェースを介して到達することができます。
IVE バックエンドから送信され、MSP ネットワークまたは加入者イントラネットのサー
バーに送られたトラフィックであるアウトバウンド トラフィックは、IVE 自体によって供
給することができます。たとえば、認証サーバー、DNS サーバー、アプリケーション
サーバーに向けられたトラフィックは、Network Connect トラフィックなどの IVE によっ
て転送されたトラフィックと同様に、アウトバウンド トラフィックとなります。
トラフィックがインバウンド トラフィックとして、VLAN を使用する IVS システムに指定
された IP アドレスに到着した場合は、そのトラフィックには到着時に VLAN タグが付け
られます。VLAN タグが識別され、適切なバックエンドの宛先に向けられると、VLAN 終
端デバイスは VLAN タグを Ethernet フレームから取り除き、トラフィックをバックエン
ドの宛先に転送します。
仮想化 IVE アーキテクチャ
仮想化 IVE フレームワークは、ルート システムおよび MSP ルート管理者がそれ以降に作
成するあらゆる加入者 IVS システムから成っています。加入者 IVS 管理者は、特定の IVS
システム上のリソースを管理することのみ可能です。ルート管理者は、アプライアンスの
全 IVS システムのリソースを管理することが可能です。
IVS ライセンスは IVE システムをルート システム(機能的には IVE と同一)へと変換し、
仮想システムを提供する機能を追加します。ルート システムはシステムレベルのグローバ
ルデータおよび単一のデフォルト ルート IVS から構成されており、アクセス管理サブシ
ステムも含まれます。
Instant Virtual System (IVS) の概要
„
219
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 43: IVS アーキテクチャ
ルート管理者(root administrator)はルート システムの上級管理者です。多くの場合、
ルート管理者は IVE 管理者と同じことを意味します。ルート管理者は、ルート システムお
よび全加入者 IVS システムを管理・制御することができます。ルート管理者はルート シス
テム上に IVS システムを提供し、IVS 管理者を作成し、IVS 設定の編集を行うことができ
ます。ルート管理者は、IVS 管理者が行った設定変更を無効にすることができます。
T
メモ : ルートおよび IVS システムを設定するための説明は、ルート管理者が読むために
用意されています。これらのセクションでは、あなたという代名詞は、ルート管理者を
指しています。タスクがルート管理者以外のロール持つ人でも実行できる場合は、タス
クの説明でそのロールについて記しています。
図 43 に示すように、
1.
IVE 管理者は、Secure Access ライセンスを持った IVE アプライアンスに IVS ライセン
スを適用します。
2.
結果としてシステムには、ルート グローバル データおよびルート IVS 、要するに、
仮想化 IVE が含まれます。
3.
ルート IVS からは、ルート管理者は複数の加入者 IVS システムを作成することができ
ます(各 IVS は完全に他の IVS から分離しています)。
ルート システムには、システムの全機能のスーパーセットが含まれています。ルート管理
者であるあなたが、全グローバルネットワーク設定およびルート システム上のルート管
理者設定を定義します。各加入者に対しては、ルート管理者が 1 つ以上の IVS システムを
提供し、それらをルート システムから管理します。
加入者 IVS には、アクセス管理フレームワークの固有のインスタンスが含まれます。各加
入企業に IVS を作成する際に、IVS 管理者(IVS administrator)アカウントも作成します。
IVS 管理者は、IVS の完全な管理・制御を行うことができます。IVS 管理者は、ルート管理
者機能のサブセットを含む管理 Web コンソールを使用します。
関連情報
„
220
221 ページの「ルート システムまたは IVS へのサインイン」
„ Instant Virtual System (IVS) の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ルート システムまたは IVS へのサインイン
サインイン要求のターゲット IP アドレスは、サインインをルート システムまたは IVS に
向かわせます。ルート システムまたは IVS にサインインするには、ユーザーはホスト名
ベースの URL を参照します。URL を、外部 DNS を経由して、IVE システムの外部イン
ターフェースの IP アドレスまたは IP エイリアスにマップします。
たとえば、ホスト名が msp.com という MSP で、SSL VPN ゲートウェイ サービスを 2 つ
の加入者 s1 および s2 に提供する場合。
„
ルート管理者サインイン URL:http://www.msp.com
„
S1 サインイン URL: http://www.s1.com
„
S2 サインイン URL: http://www.s2.com
外部 DNS はこれらの URL を一意の IP アドレスにマップする必要があり、この IP ア
ドレスは IVE にホストされている IP アドレスまたはエイリアスに対応している必要が
あります。
メモ : 加入者ごとのパス名ベースのサインイン URL は、現在のリリースではサポートさ
れていません。以下のケースはサポートされていません ( ルート管理者サインイン URL
を www.msp.com とした場合 )。
„
S1 サインイン URL: www.msp.com/s1
„
S2 サインイン URL: www.msp.com/s2
サインインを要約すると、IVS ユーザーは以下にサインインできます。
„
IVE の外部インターフェースで設定された仮想ポート。
„
IVE の内部インターフェースで設定された仮想ポート(タグなし)。
„
内部インターフェースで設定された VLAN インターフェース(タグ付き)。
ルート システム ユーザーは、内部インターフェースまたは外部インターフェース上で直
接サインインすることも可能です。サインインの詳細については、53 ページの「サイン
イン ポリシーの概要」および 349 ページの「Sign-in ページの設定」を参照してください。
VLAN インターフェース上でのサインイン
ルート管理者による外部インターフェースまたは内部インターフェース(設定されていれ
ば)上のサインイン機能に加えて、エンドユーザーはルート管理者が IVS に割り当てた任
意の VLAN インターフェースからサインインすることができます。つまり IVS 管理者は、
VLAN ポート IP アドレスをサインイン用にエンドユーザーに提供することができます。
メモ : 明示的なサーバー証明書は、VLAN にマップされたいかなる IP アドレスにもマッ
プすることはできません。VLAN インターフェース上でサインインする際、システムは
すでに IVS に割り当てられたサーバー証明書を選択します。IVS に関連した証明書がない
場合は、システムは IVE 証明書リストの最上部にある証明書を割り当てます。このリス
トの順序は証明書を追加または削除する際に変えることもできますが、設定中に予想不
可能な証明書が生じる可能性があります。IVS が本番状態に入ると、IVS VIP は特定の証
明書にマップされるため、これは問題にはなりません。
Instant Virtual System (IVS) の概要
„
221
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVS への移動
ルート管理者のみがルート システムから IVS へと進むことができます。仮想化 IVE では、
ルート システムの Web コンソール ナビゲーションとして、設定済み IVS システムがリス
トされたドロップダウン メニューがすべてのページ ヘッダーに含まれます。ドロップダ
ウン メニューから IVS を選択すると、IVS にナビゲートして、それを管理できます。IVS
管理者は標準の管理サインイン ページから、直接 IVS にサインインする必要があります。
ルート管理者は、最初の IVS 管理者アカウントを作成します。IVS 管理者は 445 ページの
「Users タブ」に記された管理者アカウントを作成する標準手順を踏まえて、追加の IVS 管
理者アカウントを作成することができます。
関連情報
„
222 ページの「加入者プロファイルの確認」
„
224 ページの「ルート システムの管理」
„
225 ページの「IVS のプロビジョニング」
加入者プロファイルの確認
インバウンド トラフィックを適切な加入者 IVS へ送り、アウトバウンド トラフィックを
適切な VLAN へ送るようにシステムを設定するには、MSP ルート管理者は各加入企業の
プロファイルを作成する必要があります。
222
„ Instant Virtual System (IVS) の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVS 設定ワークシート
新しい仮想システムを作成する場合は、他のシステム オブジェクトをいくつか作成し、
IP アドレス、VLAN ID 、仮想ポート、DNS 設定などの複数のデータを指定する必要があ
ります。このワークシートを使用して、各 IVS の作成時にシステムデータの計画・記録を
行うことができます。このワークシートは、IVS の定義における一般的な順序でデータを
記しています。
加入者ネットワークの特定のトポロジーに応じて、追加情報の収集が必要となる可能性も
あります。また、フォームに記された情報をすべて使用するとは限りません。
日付:
作成者:
加入者:
アカウント番号:
コメント:
加入者 VLAN (System > Network > VLANs)
VLAN 設定
VLAN ポート名:
VLAN ID (1-4095):
VLAN ポート情報
IP アドレス:
ネットマスク:
デフォルト
ゲートウェイ:
加入者サインイン仮想ポート設定
(System > Network > External Port > Virtual Ports > New Virtual Port)
外部仮想ポート名
(サインイン用)
:
IP アドレス:
内部仮想ポート名
(オプション):
IP アドレス:
IVS ホスト名のサーバー証明書をインストール
IVS ホスト名:
内部ポート:
外部ポート:
加入者 IVS (System > Virtual Systems > New Virtual System)
名前(加入者):
説明:
管理者
ユーザー名:
Instant Virtual System (IVS) の概要
„
223
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
パスワード
(最低 6 文字):
プロパティ
最大同時使用
ユーザー数:
デフォルト VLAN:
選択した仮想ポート:
(内部インターフェース)
選択した仮想ポート:
(外部インターフェース)
Network Connect IP
プール:
静的ルート (System > Network > Routes > New Routes)
宛先ネットワーク /IP:
ネットマスク:
ゲートウェイ:
インターフェース:
メトリック:
DNS 設定 (Subscriber IVS > System > Network > Overview)
ホスト名:
プライマリ DNS:
セカンダリ DNS:
DNS ドメイン:
WINS:
ルート システムの管理
IVS ライセンスを IVE に適用すると、新しい Virtual Systems タブが管理者 UI に表示され
ます。IVS ライセンスの適用後、ルート システムが Web コンソール ヘッダー エリアのド
ロップダウン メニューにはっきりと表示されます。
システムを設定をするには、一連の基本手順を行う必要があります。ハードウェアが接続
されたら、
1.
システムを起動します。
2.
Web コンソールの Maintenance > System > Upgrade/Downgrade ページから、IVS
ライセンスを適用します。
3.
225 ページの「IVS のプロビジョニング」の説明に従って、ルート システムを Web
コンソールから設定します。
加入者 IVS システム上で定義した加入者管理者の数にかかわらず、ルート管理者は常にシ
ステム全体に対する制御を維持し、すべての IVS システムの設定を見ることができます。
224
„ Instant Virtual System (IVS) の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ルート管理者の設定
ルート管理者の設定は、スタンドアロンの IVE で新しい管理者を作成するタスクに似てい
ます。Web コンソールの Signing In > AAA Servers > Administrators > Users ページによ
り、管理者アカウントを作成できます (601 ページの「IVE アプライアンスのシリアル コ
ンソールへの接続」を参照 )。
古いバージョンの IVE を 5.1 バージョンのソフトウェアにアップグレードする場合、シス
テムは .Administrators ロールにマップされたルート システム内のあらゆる管理者を、
IVE のルート管理者とみなします。IVE アプライアンスを再イメージ化したり、新しい
ハードウェアをインストールする場合は、初期設定手順の際に、初期管理者をシリアル
コンソールに作成します。シリアル コンソールからのシステム設定の詳細については、
601 ページの「IVE アプライアンスのシリアル コンソールへの接続」を参照してくださ
い。
関連情報
„
225 ページの「IVS のプロビジョニング」
IVS のプロビジョニング
このセクションでは、IVS のプロビジョニングに関連するタスクについて説明します。次
の項目が含まれています。
„
226 ページの「プロビジョニング プロセスの理解」
„
228 ページの「サインイン ポートの設定」
„
230 ページの「Virtual Local Area Network(仮想ローカルエリア ネットワーク)
(VLAN) の設定」
„
233 ページの「証明書サーバーのロード」
„
234 ページの「仮想システム(IVS プロファイル)の作成」
„
236 ページの「ロールベースのソース IP エイリアスの設定」
„
238 ページの「IVS のポリシー ルーティング規則の設定」
„
240 ページの「仮想化 IVE のクラスタ化」
„
241 ページの「IVS の DNS の設定」
„
243 ページの「仮想化 IVE で使用する Network Connect の設定」
„
247 ページの「認証サーバーの設定」
„
248 ページの「スタンドアロン インストーラへのアクセス」
„
249 ページの「IVS 設定ファイルのエクスポートおよびインポートの実行」
„
251 ページの「加入者の監視」
„
251 ページの「VLAN のトラブルシューティング」
IVS のプロビジョニング
„
225
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
プロビジョニング プロセスの理解
図 44 に、IVS のプロビジョニングに必要な基本タスクを示します。
図 44: IVS プロビジョニングの基本プロセス
図 44 示すように、IVS のプロビジョニングは以下の手順で構成されます。
226
„ IVS のプロビジョニング
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
1.
System > Clustering > Create Cluster ページで、必要に応じて 1 つまたは複数のク
ラスタを設定します。
2.
外部ポートを設定および有効化します。外部ポートは、デフォルトでは無効になって
います。ポートを有効化した上で設定し、ネットワーク外からのサインイン機能を提
供する必要があります。
3.
各加入企業に対して最低 1 つの VLAN ポートを作成します。各 VLAN に固有 ID を定
義する必要があります。加入企業は IVE 上に複数の VLAN を持つことができます。
4.
外部ポート上で最低 1 つの仮想ポートを設定して、エンドユーザーがサインインで
きるようにします。また必要であれば、内部ポート上の仮想ポートを設定して、ファ
イアウォールの後ろからサインインできるようにします。
5.
加入企業ごとに 1 つの証明書サーバーをロードします。
6.
たとえば IP ソーシングをサポートする目的で仮想ポートを使用する場合は、仮想
ポートをプロセスのこの時点で作成します。
7.
各加入企業に IVS プロファイルを作成します。IVS プロファイルは、企業、VLAN 、利
用可能な仮想ポート間の接続を確立します。
8.
バックエンド サーバーへの静的ルートを設定します。MSP ネットワーク上のリソー
スに共有アクセスを提供する場合は、これらのリソースをポイントする VLAN ルート
テーブルに静的ルートを追加します。
9.
DNS の設定を行い、MSP ネットワーク上のリソースに向かうトラフィックが、最初
に MSP の DNS サーバーを通るようにします。
10. IVS 管理者としてログインします。
11. IVS のユーザー、ロール、領域、リソースポリシーを設定します。
IVS を作成する際は、Web コンソールのヘッダー内のドロップダウン メニューに IVS 名が
表示されます。ドロップダウン メニューの IVS 名を選択し、Go ボタンをクリックするこ
とで、各 IVS の操作を実行することができます。
関連情報
„
228 ページの「サインイン ポートの設定」
タスク サマリー: IVS のプロビジョニング
IVS システムのプロビジョニングを行うには、次の操作を実行する必要があります。
1.
必要に応じて、クラスタを作成します。手順については、178 ページの「クラスタの
概要」を参照してください。
2.
外部ポートを設定し(ポートの有効化および仮想ポートの設定)、エンドユーザーが
MSP ネットワーク外からサインインできるようにします。手順については、228 ペー
ジの「サインイン ポートの設定」を参照してください。
3.
VLAN を設定します (VLAN ポートの定義および VLAN ID の指定を含む )。詳細につい
ては、230 ページの「Virtual Local Area Network(仮想ローカルエリア ネットワー
ク)(VLAN) の設定」を参照してください。
4.
証明書サーバーをロードし、MSP および加入企業がトラフィックを証明できるよう
にします。手順については、233 ページの「証明書サーバーのロード」を参照してく
ださい。
IVS のプロビジョニング
„
227
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
VLAN 上の仮想ポートを IP ソーシングまたはクラスタ用に設定します。手順について
は、229 ページの「内部ポートのサインイン用に仮想ポートを設定」を参照してくだ
さい。
6.
IVS プロファイルを作成して、仮想化 IVE 上の加入企業環境を定義します。手順につ
いては、234 ページの「新しい IVS プロファイルの作成」を参照してください。
7.
バックエンド サーバーおよび Network Connect ユーザーをサポートし、MSP ネット
ワーク上で共有サービスを提供するため、静的ルートを設定します。手順について
は、232 ページの「静的ルートを VLAN ルート テーブルに追加」を参照してくださ
い。
8.
DNS の設定を行い、トラフィックを強制的に MSP DNS サーバーに通します。
Network Connect を実行している場合は、DNS を設定する必要があります。手順につ
いては、241 ページの「IVS の DNS の設定」を参照してください。
9.
必要に応じて、Network Connect を設定します。手順については、243 ページの「仮
想化 IVE で使用する Network Connect の設定」を参照してください。
サインイン ポートの設定
エンドユーザーが加入企業イントラネットにサインインできる仮想ポートを設定する必要
があります。仮想ポートは物理ポートの IP エイリアスをアクティブにし、そのポートの
ネットワーク設定をすべて共有します。仮想ポート全般の詳細については、186 ページの
「仮想ポートの設定」を参照してください。
このセクションは、以下のトピックから成っています。
„
228 ページの「外部ポートの設定」
„
229 ページの「外部ポートのサインイン用に仮想ポートを設定」
„
229 ページの「内部ポートのサインイン用に仮想ポートを設定」
外部ポートの設定
外部ポートを有効化および設定して、IVS エンドユーザーがネットワーク外からサインイ
ンできるようにする必要があります。
外部ポートを有効化および設定するには、以下の操作を実行します。
1.
ルート コンテキストにいることを確認してください。Web コンソール ヘッダー バー
の IVS ドロップダウン メニューに Root 以外のものが表示されている場合は、メ
ニューから Root を選択して、Go をクリックします。
2.
System > Network > External Port > Settings を選択します。
3.
Enabled を選択します。
4.
外部ポートの有効な IP アドレスを入力します。
5.
IP アドレスの有効なネットマスクを入力します。
6.
デフォルト ゲートウェイ アドレスを入力します。
7.
Save Changes をクリックします。
システムはポートを有効化します。
228
„ IVS のプロビジョニング
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
外部ポートのサインイン用に仮想ポートを設定
仮想ポートを設定して、IVS エンドユーザーがネットワーク外から外部ポート上でサイン
インできるようにする必要があります。たとえば、ユーザーがインターネット上でサイン
インする場合、外部ポートで定義された仮想ポートを使用します。
仮想ポートをサインイン用に設定するには、以下を実行します。
1.
ルート コンテキストにいることを確認してください。Web コンソール ヘッダーバー
の IVS ドロップダウン メニューに Root 以外のものが表示されている場合は、メ
ニューから Root を選択して、Go をクリックします。
2.
System > Network > External Port > Virtual Ports を選択します。
3.
New Port をクリックします。
4.
仮想ポートの固有の名前を入力します。
5.
加入企業のネットワーク管理者によって提供された、有効な IP アドレスを入力しま
す。
6.
Save Changes をクリックします。
システムはポートを追加し、Virtual Ports タブが表示され、ネットワークサービスが再起
動します。仮想ポートは 234 ページの「仮想システム(IVS プロファイル)の作成」に記
されたプロセスの最中に使用可能となります。サインインに必要な数の仮想ポートを定義
します。
内部ポートのサインイン用に仮想ポートを設定
内部ポートを有効化および設定して、IVS エンドユーザーがネットワーク内からサインイ
ンできるようにする必要があります。
仮想ポートをサインイン用に設定するには、以下の操作を実行します。
1.
ルート コンテキストにいることを確認してください。Web コンソール ヘッダーバー
の IVS ドロップダウン メニューに Root 以外のものが表示されている場合は、メ
ニューから Root を選択して、Go をクリックします。
2.
System > Network > Internal Port > Virtual Ports を選択します。
3.
New Port をクリックします。
4.
仮想ポートの固有の名前を入力します。
5.
加入企業のネットワーク管理者によって提供された、有効な IP アドレスを入力しま
す。
6.
Save Changes をクリックします。
システムはポートを追加し、Virtual Ports タブが表示され、ネットワークサービスが再起
動します。この仮想ポートを IVS プロファイルに割り当てることができます (234 ページ
の「仮想システム(IVS プロファイル)の作成」を参照 )。サインインに必要な数の仮想
ポートを定義します。
関連情報
„
225 ページの「IVS のプロビジョニング」
„
230 ページの「Virtual Local Area Network(仮想ローカルエリア ネットワーク)
(VLAN) の設定」
IVS のプロビジョニング
„
229
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
タスク サマリー: IVS サインイン ポートの設定
IVS サインイン ポートを設定するには、以下を実行します。
1.
外部ポートを設定します。手順については、228 ページの「外部ポートの設定」を参
照してください。
2.
外部ポート上でのサインイン用に仮想ポートを設定します。手順については、229
ページの「外部ポートのサインイン用に仮想ポートを設定」を参照してください。
3.
内部ポート上でのサインイン用に仮想ポートを設定します(オプション)。手順につ
いては、229 ページの「内部ポートのサインイン用に仮想ポートを設定」を参照して
ください。
Virtual Local Area Network(仮想ローカルエリア ネットワーク)(VLAN) の設定
各加入者 IVS に対して最低 1 つの仮想ローカルエリア ネットワーク (VLAN) を定義するこ
とにより、MSP は VLAN タグを活用できます。VLAN タグでは、トラフィックがバックエ
ンド上に転送される前に、仮想化 IVE がトラフィックに 802.1Q VLAN ID でタグ付けしま
す。キャリア インフラストラクチャは VLAN タグを使用して、パケットを適切な加入者イ
ントラネットへと導きます。
VLAN のタグ付けにより、IVE がバックエンド上で加入者イントラネットに向けて転送し
たトラフィックは分離されます。フロントエンド上から入ってきたトラフィック(インバ
ウンド トラフィック)には、VLAN タグが付いていません。IVE ポートの 1 つからメッ
セージが到達すると、IVS はメッセージにタグを付けます。
各 VLAN には IEEE 802.1Q 準拠タグの一部である VLAN ID が割り当てられており、タグ
はそれぞれの出力 Ethernet フレームに追加されます。VLAN ID は各加入者およびすべての
加入者トラフィックを別個のものとして識別します。このタグ付けにより、システムは全
トラフィックを適切な VLAN に導き、該当するポリシーをそのトラフィックに適用するこ
とができます。
VLAN 終端点 は、VLAN でタグ付けされたトラフィックを識別し、VLAN タグを取り除き、
適切なトンネルを介してバックエンドに転送するデバイスを指します。VLAN 終端点とな
り得るものとして、CE ルーター、CPE ルーター、L2 スイッチ、ファイアウォール、また
はその他の VLAN ルーティングが可能なデバイスが挙げられます。
各 VLAN に対して VLAN ポートを定義する必要があります。ルート管理者は、VLAN ポー
トの定義時に特定の VLAN ID を割り当てます。
設定する各 VLAN に対して、仮想化 IVE は固有の論理 VLAN インターフェースまたはポー
トを内部インターフェースに用意します。内部ポート IP アドレスと各 VLAN ポート IP ア
ドレス間に関係はありません。各 VLAN ポートには独自のルート テーブルが存在します。
各 VLAN ポート定義は、以下から成っています。
230
„ IVS のプロビジョニング
„
ポート名。仮想化 IVE またはクラスタで定義する全 VLAN ポートにおいて固有でなけ
ればなりません。
„
VLAN ID 。1 から 4095 までの整数で、加入者 / 顧客の VLAN を別個のものとして識別
します。
„
IP アドレス / ネットマスク。仮想化 IVE は Layer 2 ネットワーク接続の VLAN 終端点
へと接続するため、VLAN 終端点と同じネットワークからの IP アドレスまたはネッ
トマスクでなければなりません。VLAN IP アドレスは固有のものである必要がありま
す。VLAN を内部ポートと同じネットワークに設定することはできません。たとえば、
内部ポートが 10.64.4.30/16 の場合に VLAN を 10.64.3.30/16 と設定すると、予期せ
ぬ結果やエラーが生じる可能性があります。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
デフォルト ゲートウェイ。デフォルト ルーター(通常は CE または CPE ルーター)
の IP アドレス デフォルト ゲートウェイは VLAN 終端点として機能させるか、または
VLAN 終端点の後ろに配置することが可能です。
„
他のネットワーク設定。内部ポートから継承。
メモ : VLAN を加入企業用に特定しない場合、デフォルト VLAN として選択し、IVS を設
定してトラフィックを内部インターフェース上に転送する必要があります。
関連情報
„
231 ページの「仮想化 IVE 上での VLAN の設定」
„
231 ページの「VLAN ポートの設定」
„
232 ページの「静的ルートを VLAN ルート テーブルに追加」
„
233 ページの「VLAN の削除」
仮想化 IVE 上での VLAN の設定
218 ページの「IVS の配備」に記されているように、VLAN と特定の IVS 間の関係により、
ルート システムはトラフィックを分離して、それぞれの加入者へと導くことが可能です。
加入者 IVS に対して、複数の VLAN を定義することができます。
VLAN ポートの設定
新しい仮想システムを作成する前に、VLAN ポートを作成して特定の加入者トラフィック
を識別します。
VLAN ポートを作成するには、以下の手順を実行します。
1.
ルート コンテキストにいることを確認してください。Web コンソール ヘッダーバー
の IVS ドロップダウン メニューに Root 以外のものが表示されている場合は、メ
ニューから Root を選択して、Go をクリックします。
2.
System > Network > VLANs を選択して、VLAN Network Settings タブを開きます。
3.
New Port をクリックします。
4.
VLAN settings で、VLAN ポートの名前を入力します。
5.
VLAN ID を入力します。
メモ : VLAN ID は 1 から 4095 までの整数で、システム上にて固有である必要がありま
す。ルート システムはタグなしのトラフィックを使用するため、変更することはできま
せん。
6.
VLAN の IP アドレスを入力します。
7.
VLAN のネットマスクを入力します。
8.
VLAN のデフォルト ゲートウェイを入力します。
9.
Save Changes をクリックします。
IVS のプロビジョニング
„
231
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
静的ルートを VLAN ルート テーブルに追加
新しい VLAN ポートを作成する際に、システムはデフォルトで以下の 2 つの静的ルートを
作成します。
„
デフォルト ゲートウェイをポイントしている VLAN のデフォルト ルート。
„
直接接続されたネットワークへのインターフェース ルート。
さらに、以下の静的ルートも追加できます。
„
MSP ネットワークの共有サーバーへの静的ルート。
静的ルートを VLAN ルート テーブルに追加するには、以下を実行します。
1.
ルート コンテキストにいることを確認してください。Web コンソール ヘッダーバー
の IVS ドロップダウン メニューに Root 以外のものが表示されている場合は、メ
ニューから Root を選択して、Go をクリックします。
2.
System > Network > VLANs を選択します。
3.
New Port をクリックするか、静的ルートを追加する既存の VLAN を選択します。
4.
VLAN ポートページの下部にて、Static Routes のリンクをクリックします。
5.
すでに選択されていなければ、ドロップダウン メニューから静的ルートを作成する
VLAN を選択します。
6.
New Route をクリックします。
7.
New Route ページで、宛先ネットワーク /IP アドレスを入力します。
8.
宛先ネットマスクを入力します。
9.
宛先ゲートウェイを入力します。
10. Interface ドロップダウン メニューからインターフェースを選択します。
11. メトリックを入力します。
メトリックとは 0 から 15 までの数字で、通常はトラフィックがホスト間で作成でき
るホップの数を表します。各ルートにメトリックを設定して、優先度を特定すること
ができます。数が少ないほど、優先度が高くなります。そのため、デバイスはメト
リックが 1 となっているルートをメトリックが 2 のルートよりも優先的に選択しま
す。メトリックを使用するルーターは、ダイナミック ルート メトリックを静的ルー
ト メトリックと比較し、メトリックが最も低いルートを選択します。
12. たとえば、静的ルートを共有サービスに追加したいといった場合は、以下の手順を実
行します。
„
232
„ IVS のプロビジョニング
Add to [VLAN] route table をクリックして([VLAN] は利用できる VLAN の名前
です)、選択した VLAN にルートを追加します。このアクションによって静的
ルートが特定の加入企業の VLAN ルート テーブルに追加され、MSP ネットワー
クのユーザーを含む他の VLAN からのすべてのアクセスを除外します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Add to all VLAN route tables をクリックして、システムで定義された全 VLAN に
ルートを追加します。たとえば、ルート管理者が特定のサービスを全加入企業の
全エンドユーザーと共有したいといった場合に、このオプションを選択します。
メモ : また、MSP ネットワークで共有サービスを設定した場合は、静的ルートも使用で
きます。そのためには、以下の操作を実行します。
1.
独自の VLAN ルート テーブル(ルート システムが VLAN を有している場合)また
はメインの IVE ルート テーブル(ルート システムが内部インターフェースを使用
している場合)に存在する共有リソースに静的ルート追加します。
2.
Add to all VLAN route tables をクリックします。これにより、静的ルートが加えら
れた全 VLAN ルート テーブルを入力します。静的ルートを全 VLAN ルート テーブル
に追加する際は、全 IVS プロファイルは共有サービスにアクセスすることが可能で
す。
VLAN の削除
IVS に関連付けされた VLAN を削除することはできません。最初に、IVS を削除するか、
IVS と VLAN ポートの関係を削除する必要があります。
VLAN を削除するには、次の操作を実行します。
1.
System > Network > VLANs を選択します。
2.
VLAN 名の横にあるチェックボックスをオンにして、削除します。
3.
Delete をクリックします。
関連情報
„
234 ページの「仮想システム(IVS プロファイル)の作成」
証明書サーバーのロード
ルート システムでは、293 ページの「IVE Certificates タブ」に記された手順に従って証明
書をロードすることが可能です。
IVS エンドユーザー用のサインイン ポートとして定義した仮想ポートを、サーバー証明書
と関連付ける必要があります。295 ページの「仮想ポートと証明書の関連付け」に記され
ているように、Certificate Details ページで仮想ポートを特定することができます。
297 ページの「Trusted Client CAs タブ」および 305 ページの「Trusted Server CAs タブ」で
記されているように、IVS では Trusted Client CA および Trusted Server CA のみインポート
が可能です。
メモ : IVS システム上で証明書を共有することはできません。各 IVS は、固有の IP およ
び証明書が必要となります。
ルート IVS を設定することでのみ、Web コンソールの IVE アプレット / コントロールの署
名を書き換えることができます。加入者 IVS システムの Web コンソールには、署名書き
換えのオプションは表示されません。以下の説明にも注意してください。
„
全ルートおよび加入者のエンドユーザーは、同じアプレット / コントロールを見てい
ます。デフォルトの全 Juniper コントロールか、ルート IVS によって署名された全コ
ントロールのどちらかです。
IVS のプロビジョニング
„
233
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
ルート IVS の証明書によって署名されたコントロールを加入者 IVS システムに見られ
たくない場合は、コントロールの署名の書き換えを実行しないでください。コント
ロールの署名を書き換えると、加入者 IVS システムはコントロールへのアクセスが可
能となります。
仮想システム(IVS プロファイル)の作成
VLAN ポートを作成したら、加入企業に新しい仮想システム(IVS プロファイル)を作成
するタスクへと進んでください。
このセクションは、以下のトピックから成っています。
„
234 ページの「新しい IVS プロファイルの作成」
„
234 ページの「IVS プロファイルを定義するには、以下を実行してください。
」
„
235 ページの「サインイン プロパティ、VLAN 、ポート設定を定義するには、以下を
実行します。」
新しい IVS プロファイルの作成
IVS プロファイルは加入者 IVS を定義します。また、DNS 設定や認証サーバーといった、
加入者イントラネットに到達する際に必要となるあらゆる要素も定義します。各 IVS に対
して、デフォルト VLAN を特定する必要があります。特定の IVS に対するデフォルト
VLAN の重要な役割は、エンドユーザーがその IVS 内の特定の領域に署名しようとする際
に、IVS はトラフィックをデフォルト VLAN インターフェース上でその領域の認証サー
バーに送ることです。
IVS プロファイルを定義するには、以下を実行してください。
1.
ルート コンテキストにいることを確認してください。Web コンソール ヘッダーバー
の IVS ドロップダウン メニューに Root 以外のものが表示されている場合は、メ
ニューから Root を選択して、Go をクリックします。
2.
System > Virtual Systems を選択します。
3.
New Virtual System をクリックして、IVS - Instant Virtual System ページを表示
します。
4.
加入企業の名前を入力します。
5.
説明を入力します(オプション)。
6.
すでに選択されていない場合は、Enabled を選択します。
メモ : 請求問題などにより、加入者および加入者のエンドユーザーの IVS へのアクセス
を禁止する場合は、ここでアカウントを無効にします。アカウントを無効にすることで
あらゆる顧客問題を解決することができ、加入者アカウントを削除してすべての設定
データを失うことなく、アクセスを再度有効化することもできます。
234
„ IVS のプロビジョニング
7.
Administrator で、IVS 管理者のユーザー名を作成します。
8.
IVS 管理者のパスワードを作成します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
メモ : IVS 管理者のユーザー名およびパスワードは最初に IVS を作成する際に、IVS プロ
ファイルで入手できます。これ以降に IVS を編集する場合、これらのフィールドはセ
キュリティのため利用できません。しかし、IVS 管理者のユーザー名およびパスワード
にアクセスする必要がある場合は、IVS 設定ページを介して管理者の認証サーバーを使
用することによって、これを行うことができます。
9.
サインイン プロパティ、VLAN 、IVS のポート設定を特定します。
サインイン プロパティ、VLAN 、ポート設定を定義するには、以下を実行します。
1.
IVS 上で許容される同時使用エンドユーザーの最大数を入力します。
メモ : 同時使用エンドユーザーの数は、システム全体に割り当てられたユーザーよりも
少なくする必要があります。
2.
Available リストボックスから VLAN を選択し、Add -> をクリックして VLAN 名を
Selected VLANs リストボックスに移動させます。複数の VLAN を IVS に追加すること
ができます。他の VLAN を Selected VLANs リストに追加した場合は、内部ポートを
VLAN として選択することができます。他の VLAN インターフェースと異なり、内部
ポートを複数の IVS プロファイルに追加することが可能です。VLAN をまだ定義して
いない場合は、代わりに内部インターフェースを選択する必要があります。
3.
デフォルト VLAN を IVS に特定する場合は、Selected VLANs リストボックスの VLAN
名を選択して、次に Set Default VLAN をクリックします。IVS が VLAN 名をアスタリ
スク (*) でマークします。仮想化 IVE はデフォルト VLAN を使用して、認証サーバー
へのアクセスを提供します。IVE はデフォルト VLAN のルート テーブルを参照して、
特定の IVS の認証サーバーへのルートを検索します。
メモ : 内部ポートをルート IVS のデフォルト VLAN として特定する必要があります。
4.
内部インターフェースまたは外部インターフェースの仮想ポートを定義すると、
Available リストボックスから仮想ポートを選択し、Add -> をクリックして仮想ポー
トを該当するインターフェースの Selected Virtual Ports リストボックスに移動する
ことができるようになります。仮想ポートの詳細については、312 ページの「Virtual
Ports タブ」を参照してください。
5.
Network Connect クライアント(エンドユーザー)が利用できるアドレスまたは IP
アドレスの範囲を入力します。IVS 上の DNS サーバーを設定する場合は、加入者イン
トラネットに存在するサーバーに関しては、利用できる Network Connect IP アドレ
スのプール値をここで追加する必要があります。詳細については、126 ページの
「Network Connect へのネットワークの準備」を参照してください。
6.
Save Changes をクリックします。
IVS に IVS 管理者としてサインインする方法については、236 ページの「IVS 管理者とし
て IVS に直接サインイン」を参照してください。
IVS のプロビジョニング
„
235
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVS 管理者として IVS に直接サインイン
IVS 管理者 として直接 IVS にサインインすることは、Web ベースの管理者 UI コンソール
の仮想システム ドロップダウン メニューから IVS を選択することとは異なります ルート
管理者であるあなたが全 IVS 管理者と同様の方法で IVS にサインインした場合は、以下の
手順を実行してください。
1.
ルート IVE からサインアウトします。
2.
ホスト名または IP アドレスを使用して、サインイン URL を有効なブラウザのアドレ
スバーに入力します。例:
https://www.company.com/admin
または
https://10.9.0.1/admin
この例では、IP アドレス 10.9.0.1 をサインイン用の仮想ポートに割り当てたものと
します。形式はサインイン用ホスト名の DNS エントリを定義したかによって異なり
ます。ログインの際には、管理者はサインイン用の仮想ポートとして定義されたホス
ト名または IP アドレスを入力することが可能です。管理者がネットワーク内でサイ
ンインする場合は、内部ポート上でサインイン用に設定した IP アドレスを使用する
必要があります。管理者がネットワーク外からサインインする場合は、外部ポート上
でサインイン用に設定した IP アドレスを使用する必要があります。
3.
Enter を押します。
4.
IVS 管理者のユーザー名を入力します。
5.
IVS パスワードを入力します。
6.
Sign in ボタンをクリックします。
証明書が有効であると想定して、IVS の System Status ページが表示されます。
ルートまたは IVS 管理者が IVS を離れる際に、アプライアンスは即座に接続を切断し
ます。
ロールベースのソース IP エイリアスの設定
ソース IP アドレスに基づいて IVS からイントラネットに入ってきたトラフィックを分離
するという理由で、加入企業がポリシー評価デバイス / ファイアウォールをネットワーク
に導入する場合、ルート管理者であるあなたは IVS を設定して、トラフィックを異なる
ソース IP アドレスで発生させる必要があります。ロールベースのソース IP エイリアス機
能(VIP ソーシングとしても知られている)は、エンドユーザー ロールを VLAN および特
定のソース IP アドレス(VLAN インターフェースにホストされたいずれか 1 つの仮想
ポートの IP アドレス)にマップする機能を提供します。エンドユーザーのためにバック
エンドから IVS によって生成されたすべてのトラフィックは、エンドユーザー ロールに
設定されたソース IP アドレスを持ちます。
たとえば、特定の加入者イントラネットへと向かうトラフィックが、顧客、パートナー、
社員のいずれかから発生したかに基づいて区別する必要があると想定します。これを行う
には、次の 2 通りの方法があります。
236
„ IVS のプロビジョニング
„
3 つの異なる VLAN を加入者に提供し、顧客、パートナー、社員に対応する 3 つの
ロールを作成し、各ロールを別々の VLAN にマップします。
„
加入者に単一の VLAN を提供し、3 つの仮想ポートを固有 IP アドレスで設定し、顧
客、パートナー、社員のロールを同一の VLAN にマップしますが、異なるソース IP
アドレスにマップします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
このセクションは、以下のトピックから成っています。
„
237 ページの「VLAN およびソース IP アドレスでロールを関連付け」
„
237 ページの「VLAN の仮想ポートの設定」
VLAN およびソース IP アドレスでロールを関連付け
VLAN を定義したかどうかにかかわらず、ロールベースのソース IP エイリアスを使用す
ることができます。非 VLAN 設定の場合は仮想ポートを設定してから、そのポートをロー
ルのソース IP に割り当てます。詳細については、186 ページの「仮想ポートの設定」を参
照してください。
VLAN 使用時は、ロールのソース IP アドレスを VLAN ポート IP アドレス、または VLAN
ポートで設定された IP エイリアスに設定できます。
VLAN の仮想ポートの設定
VLAN の仮想ポートを設定するには、以下の手順を実行します。
1.
ルート コンテキストにいることを確認してください。Web コンソール ヘッダーバー
の IVS ドロップダウン メニューに Root 以外のものが表示されている場合は、メ
ニューから Root を選択して、Go をクリックします。
2.
System > Network > VLANs を選択します。
3.
仮想ポートを追加する VLAN の VLAN 名をクリックします。
4.
Virtual Ports タブをクリックします。
5.
New Port をクリックします。
6.
新しい仮想ポートの名前を入力します。
7.
有効な IP アドレスを入力します。
ポートを定義してサブネットおよびトラフィックの分離機能を加入者に提供する場合
は、加入者から IP アドレスを取得する必要があります。加入者のポリシー評価デバ
イスが検証する IP アドレスで仮想ポートを定義し、加入者イントラネット上でトラ
フィックを別々の場所に分離します。あらゆる仮想ポート IP を、IVS で定義されたあ
らゆる VLAN の IP として特定することが可能です。
8.
Save Changes をクリックします。
仮想化 IVE はアプライアンスの特定のサービスを再起動します。
IVS 管理者はユーザーを作成して、定義したソース IP アドレスに関連付けされたロール
を割り当てることができます。
IVS のソース IP アドレスにロールを関連付け
ルート管理者がすでに VLAN 、VLAN の仮想ポート、IVS を設定したと想定すると、IVS 管
理者は以下のようにロールを仮想ポートで関連付けることができます。
1.
IVS 管理者として IVS にログインします。
2.
Users > Roles を選択します。
3.
New Role をクリックします。
4.
ロールに名前を付けます。
IVS のプロビジョニング
„
237
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
Source IP チェックボックスをオンにします。
6.
このロールを持つユーザーにアクセスさせたい他のオプションおよび機能を選択しま
す(オプション)。
7.
Save Changes をクリックします。
ページがリフレッシュされ、タブのセットが表示されます。
8.
VLAN/Source IP タブを選択します。
9.
ルート管理者がこの IVS に複数の VLAN を定義している場合は、VLAN を選択します。
10. Select Source IP ドロップダウン メニューからソース IP を選択します。
11. Save Changes をクリックします。
12. 新しいロールごとに同じ手順を繰り返します。
新しいユーザーを作成すると、IVS 管理者は各ユーザーにロールの 1 つを割り当てること
ができます。このロールは各ユーザーがアクセスできるソース IP アドレスを決定します。
関連情報
„
236 ページの「ロールベースのソース IP エイリアスの設定」
IVS のポリシー ルーティング規則の設定
仮想化 IVE は、システムで設定された規則、ルート テーブル、ルート エントリに依存す
るポリシー ルーティング フレームワークを使用します。
VLAN を作成すると、システムはその VLAN に新しいルート テーブルを提供します。
VLAN ルート テーブルは、IVE のメインのルート テーブルとは別に存在します。ルート管
理者のみが VLAN ルート テーブルを管理できます。IVS 管理者は、ルート テーブルを見た
りアクセスしたりできません。
各 VLAN ルート テーブルには、以下のルート エントリが含まれます。
„
自動作成ルート エントリ
„
手動作成ルート エントリ
自動作成ルート エントリ
„
Default route 0.0.0.0 。VLAN インターフェース用に設定したデフォルト ゲートウェ
イをポイントしています。IVE は VLAN インターフェースを作成する際に、このルー
トを内部で作成します。エンドユーザーはデフォルト ルートを介して、ほとんどの企
業リソースに到達できます。
„
Interface route。VLAN インターフェース IP アドレスに対応するネットワーク経路。
手動作成ルート エントリ
238
„ IVS のプロビジョニング
„
デフォルト ゲートウェイ以外のルーターからアクセスできる、同一の VLAN 内の
サーバーへの静的ルート。
„
同一の加入企業イントラネット内の、または MSP ネットワークの VLAN ポート内の、
他の VLAN ポートのサーバー IP アドレスへの静的ルート たとえば、加入企業イント
ラネットまたは MSP ネットワーク内で、DNS または認証サーバーへの静的ルートを
VLAN ルート テーブルに定義することがあります。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
内部インターフェースからアクセスできるサーバー IP アドレスへの静的ルート。こ
れらは、通常は MSP ネットワークが内部インターフェースに接続されている場合に
必要となります。
このセクションは、以下のトピックから成っています。
„
239 ページの「規則」
„
240 ページの「IP アドレス空間の重複」
„
240 ページの「リソース ポリシー」
規則
システムに組み込まれたいくつかの規則により、トラフィックは適切な加入者イントラ
ネットへと正確に導かれます。たとえば、マップに関する規則があります。
„
各 Network Connect エンドユーザー セッションの Network Connect IP プールアドレ
スを対応する VLAN ルート テーブルへ。
この規則を作成するため、ユーザーがセッションを確立した際に、システムはエンド
ユーザーのロールを判断します。すると、システムは関連 VLAN のロールを検索しま
す。
„
設定されたソース IP アドレスを対応する VLAN ルート テーブルへ。
仮想ポートまたは VLAN ポートのソース IP エイリアスを設定するたびに、システム
はこの規則を作成します。
メモ :
„
加入者または MSP ネットワークとエンドユーザー間のトラフィックのフローを制
御する明白な規則はありません。バックエンド上から IVE に到達するトラフィック
には、ネットワーク インターフェースの 1 つ(外部インターフェース、VLAN イン
ターフェース、Network Connect トンネル インターフェースのいずれか)の設定 IP
アドレスに向けられた宛先 IP アドレスが付いています。IVE アプリケーションは、
自動的に処理を行います。
„
規則テーブルにアクセスすることはできません。このセクションでは、規則テーブ
ルおよび規則の構成について説明しており、システムが動作する仕組みを理解する
上で役立ちます。
IVS のプロビジョニング
„
239
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
認証サーバーへのアクセスに関する規則の詳細については、247 ページの「認証サーバー
へのアクセスを制御する規則」を参照してください。
ポリシー ルーティングどのように適用されるかの例については、253 ページの「IVS のポ
リシー ルーティング規則解決の使用例」を参照してください。
IP アドレス空間の重複
仮想化 IVE は、加入者イントラネット内の IP アドレスの重複、そして Network Connect
のソース IP アドレスの重複をサポートします。この時点では、仮想化 IVE は、同一の IP
アドレスを持つ複数の VLAN インターフェースをサポートしていません。
仮想化 IVE は、異なる IVS システムで VLAN とつながっている顧客ネットワーク間の IP
アドレスの重複をサポートします。これは、IVS システムはルート テーブルを共有しない
ためです。
企業 1 および企業 2 の双方とも IP アドレス 10.64.0.0/16 を使用する内部ネットワークを
有するとします。これらのアドレスは各企業の内部ネットワークであり、また各企業は固
有の VLAN ID によって識別されるという完全に分離した IVS を有しているため、理論的
には重複していても、MSP はこれをサポートすることができます。
リソース ポリシー
ルート管理者および IVS 管理者は、エンドユーザー用のポリシーを作成することができま
す。リソース ポリシーの詳細については、61 ページの「リソース ポリシーの概要」を参
照してください。
仮想化 IVE のクラスタ化
IVE 全体をクラスタ化することができます(IVS システムを含む)。個々の IVS システ
ムをクラスタ化することはできません。また、標準 IVE ネットワークのクラスタ化に
関する規則および条件が IVS ネットワークのクラスタにも適用されますが、以下は対
象外となります。
240
„ IVS のプロビジョニング
„
仮想ポートの複製 ― Active ノードで設定したあらゆる仮想ポートは Passive ノードに
複製されます。仮想ポートの名前およびアドレスは、Active ノードでも Passive ノー
ドでも同じです。
„
仮想ポート ソース IP ― エンドユーザーが特定のロールにマップされ、そのエンド
ユーザーのためにバックエンド接続が任意のノードから与えられる場合は、バックエ
ンド接続のソース IP は、エンドユーザーのロールに設定された仮想ポートのソース
IP と同じです。
„
VLAN ポートの複製 ― Active クラスタ ノードで VLAN ポートを作成・削除する際、
IVE システムは自動的に Passive ノードの VLAN を追加・削除します。
„
VLAN 定義 ― 特定 VLAN ポートに関しては、スロット、論理名、VLAN ID 、ネット
マスク、デフォルト ゲートウェイは、全クラスタ ノードにおいて同じです。
„
VLAN ポート IP アドレス ― 各 VLAN ポートの IP アドレスは、ノードごとに異なりま
す。Active/Passive クラスタ上で対応する VLAN ポートは、同じ IP ネットワーク上で
設定されます。結果として生じるネットワークが Active クラスタノードの VLAN ポー
トに対応する場合は、設定を行えるのはスタンバイ ノード上にある VLAN ポートの
IP アドレス / ネットマスクの組み合わせのみです。VLAN IP アドレスは固有のもので
ある必要があります。VLAN を設定して内部ポートと同じネットワークにすることは
できません。たとえば、内部ポートが 10.64.4.30/16 の場合に VLAN を 10.64.3.30/16
と設定すると、予期せぬ動作やエラーが生じる可能性があります。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
ポリシー ルーティング ― ノードおよびインターフェースごとにルート設定を物理的
にまたは VLAN 上で行うことができますが、これらのルート設定は編集する際にクラ
スタ上で同期化されます。
„
IVS プロファイル ― IVS プロファイルはクラスタノード上で複製されますが、クラス
タノード上で分割はされません。
„
Network Connect ― 仮想化 IVE を Active/Passive クラスタとして展開する場合、ルー
ト管理者または IVS 管理者が各 IVS 内で設定する Network Connect 接続プロファイル
はスタンバイ ノードへ設定同期されます。
„
Active/Active クラスタの Network Connect ― Active/Active クラスタでは、各 IVS の
Network Connect IP アドレス プールはロールレベル設定によって個々のクラスタ上
で分割されます。
„
ロールベースのソース IP エイリアス ― ロールはクラスタ全体で仮想ポート名に関連
付けられますが、仮想ポート名の IP アドレスへの関連付けはノードによって異なり
ます。このような場合、該当するエンドユーザーが同じロールをマップしても、様々
なクラスタノードが様々なソース IP アドレスを持つバックエンド IP トラフィックを
発行することができます。
„
フェイルオーバー動作 ― フェイルオーバーが発生しても VLAN インターフェースは
消えません。Active ノードと Passive ノードの両方に VLAN インターフェースが含ま
れます。
メモ : Network Connect を使用する際は、作成した各 VLAN ポートに必ず仮想ポートを
定義してください。Network Connect IP アドレス プールを定義して、Active/Passive クラ
スタモードで実行している場合、ルーターの設定を行い、トラフィックを次のホップ
ゲートウェイとして VLAN の仮想ポートの 1 つに導く必要があります。そうしないと、
Network Connect セッションがフェイルオーバーから正常に回復できない可能性があり
ます。
クラスタ化の詳細については、178 ページの「クラスタの概要」を参照してください。
IVS の DNS の設定
このセクションは、以下のトピックから成っています。
„
241 ページの「MSP ネットワーク上で DNS サーバーにアクセス」
„
242 ページの「加入企業イントラネット上で DNS サーバーにアクセス」
MSP ネットワーク上で DNS サーバーにアクセス
ルート システムではアクセスを設定して、MSP ネットワーク上のリソースに宛てられた
あらゆるトラフィックが、MSP ネットワーク上の DNS サーバーを通るようにできます。
MSP ネットワーク上で DNS サーバーにアクセスするには、以下を実行します。
1.
Web コンソールで、System > Network > Overview を選択します。
2.
DNS 名の解決で、プライマリ DNS アドレス、セカンダリ DNS アドレス、DNS ドメ
インを入力します。
DNS アドレスを追加すると、ネームサーバー ディレクティブ内で、それぞれが IVE
の resolv.conf ファイルに追加されます
3.
WINS を使用している場合は、WINS サーバー アドレスも入力します。
IVS のプロビジョニング
„
241
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
Save Changes をクリックします。
5.
243 ページの「Network Connect 接続プロファイルの設定」の指示に従ってください。
MSP ネットワークのグローバル DNS/WINS サーバーを特定して、DNS サービスを非
Network Connect ユーザーに提供することができます。グローバル DNS/WINS サーバー
は、参加している全加入企業の DNS をホストします。また代替として、IVE の HOSTS
ファイルを参加している全加入企業の DNS エントリで設定することもできます。
グローバル DNS/WINS サーバーをこの方法で設定すると、要求している全エンティティ
に DNS サービスを提供します。これには、参加している加入企業の中でイントラネット
に DNS サーバーを持たない企業の Network Connect ユーザーが含まれます。
加入企業イントラネット上で DNS サーバーにアクセス
各 IVS システムではアクセスを設定して、IVS 加入者のネットワーク上のリソースに宛て
られたあらゆるトラフィックが、内部企業ネットワーク上の DNS サーバーを通るように
できます。
加入者イントラネット上で DNS サーバーにアクセスには、以下を実行します。
1.
仮想システムを作成した際に有効な Network Connect IP アドレス プールを IVS プロ
ファイルに追加していない場合は、IVS プロファイルを修正して Network Connect IP
アドレスを含めます。詳細については、225 ページの「IVS のプロビジョニング」を
参照してください。
2.
Web コンソールでは、加入者 IVS の名前をコンソール ヘッダーバーのドロップダウ
ン メニューから選択します。
3.
Go をクリックします。
4.
加入者 IVS Web コンソール ページで、System > Network > Overview を選択しま
す。
5.
DNS 名の解決で、プライマリ DNS アドレス、セカンダリ DNS アドレス、DNS ドメ
インを入力します。
6.
WINS を使用している場合は、WINS サーバー アドレスも入力します。
7.
Save Changes をクリックします。
8.
243 ページの「Network Connect 接続プロファイルの設定」に記されている通りに、
Network Connect Connection Profiles を設定します。
メモ : IVS ごとにこのタスクを実行する必要があります。
Network Connect Connection Profiles を設定するには、以下を実行します。
242
„ IVS のプロビジョニング
1.
Resource Policies > Network Connect > Network Connect Connection Profiles を選
択します。
2.
New Profile をクリックします。
3.
Connection Profile の名前を入力します。
4.
IP Address Pool フィールドに、Network Connect ユーザーが使用できる IP アドレス
の範囲を入力します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
他の接続設定を選択するか、デフォルトを使用します。
6.
必要に応じて、設定を適用するロールを選択します。デフォルトでは、ロールを選択
しない場合は、ポリシーが全ロールに適用されます。
7.
Save Changes をクリックします。
8.
DNS タブをクリックします。
9.
Use Custom Settings チェックボックスをオンにします。
10. プライマリ DNS 、セカンダリ DNS(オプション)、DNS ドメイン名、WINS サーバー
IP アドレスを追加します。
11. DNS 検索順序を選択します。IVS にカスタム設定を行った場合、デフォルトではルー
ト システムは加入者 DNS サーバーを最初に検索し、次に MSP DNS サーバーを検索
します。
12. Save Changes をクリックします。
仮想化 IVE で使用する Network Connect の設定
ルート管理者であるあなたが IVS 管理者と共同で Network Connect を設定し、エンドユー
ザーがトラフィックを加入者イントラネットへ送り、トラフィックを加入者イントラネッ
トから受け取ることができるようにします。
メモ : Network Connect を MSP ネットワーク上で実行するだけでなく、Network
Connect を加入企業の IVS に使用したい場合は、IVS の DNS サーバーを設定します。
Network Connect 接続プロファイルの設定
IVS プロファイルの Network Connect IP プールで特定した IP アドレスを使用して、
Network Connect 接続プロファイルを設定します。
1.
Resource Policies > Network Connect > Network Connect Connection Profiles を選
択します。
2.
New Profile をクリックします。
3.
IP Address Pool テキストボックスに、IP アドレスを入力します(各行に 1 つのアド
レス)。Web コンソールの Help テキストには、有効な範囲の例が記されています。
4.
必要に応じて、デフォルトになっている転送、暗号化、圧縮設定を変更します。
5.
Available roles リストボックスから適切なロールを Selected roles リストボックスに
追加します。
6.
Save changes をクリックします。
IVS のプロビジョニング
„
243
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
バックエンド ルーター上の Network Connect の設定
ルート管理者と IVS 管理者の双方がバックエンド上の静的ルートを設定し、各 Network
Connect エンドユーザーが加入者イントラネットから、そして必要な場合は MSP ネット
ワークから到達できるようにします。
Network Connect ユーザーが MSP ネットワークの DNS サーバーにアクセスできるように
したい場合は、各アプリケーション サーバーまたは DNS サーバーのルート テーブルの静
的ルートをエンドユーザーの Network Connect IP プール アドレスに設定します。次の
ホップ ゲートウェイをルート システムの内部インターフェースの IP アドレスに設定しま
す。この操作は 図 45 に記されています。
図 45: MSP ネットワーク DNS またはアプリケーション サーバーの静的ルートの設定
244
„ IVS のプロビジョニング
1.
エンドユーザーは Network Connect IP アドレス プールからの IP アドレスを使用し
て、インターネット接続を介してサインインし、MSP ネットワークの DNS サーバー
に到達します。
2.
ルート管理者は DNS サーバー ルート テーブルの静的ルートを特定し、Network
Connect IP アドレス プールからの IP アドレスをポイントします。加入企業は、独自
のイントラネット内の Network Connect IP アドレス プールを定義する必要がありま
す。
3.
DNS サーバーは MSP ネットワーク上に存在し、全加入企業の全エンドユーザーに
サービスを提供します。
4.
DNS サーバーのルート テーブルには、Network Connect IP アドレス プールおよび次
のホップ ゲートウェイ IP アドレスへの静的ルートが含まれています。
5.
IVE アプライアンスの内部インターフェースは、DNS サーバーの次のホップ ゲート
ウェイ アドレスです。
6.
加入者の CPE ルーターは、トラフィックを加入企業イントラネットへと正確に導き
ます。
7.
ユーザーに MSP DNS またはアプリケーション サーバーを通らせたい加入企業は、対
応する Network Connect IP アドレス プールを定義する必要があります。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 46 に記されている通り、IVS 管理者は加入者 CPE ルーターをエンドユーザーの IP アド
レスへの静的ルートで設定し、次のホップ ゲートウェイを MSP ネットワーク 上の対応す
る CE ルーターの IP アドレスに設定することができます。
メモ : 代替として、加入者は CPE ルーターのデフォルト ルートを設定して、MSP
CE ルーターを次のホップ ゲートウェイとしてポイントすることができます。この場
合、Network Connect IP プール アドレスへの個々の静的ルートを追加する必要はあ
りません。
図 46: CPE ルーターの Network Connect エンドユーザー IP アドレスへの静的
ルートの設定
1.
エンドユーザーはインターネット接続を介して、MSP および加入企業によって同意
された IP アドレスにサインインします。
2.
加入企業の CPE ルーターのルート テーブルに存在する静的ルートを特定し、エンド
ユーザーのサインイン IP アドレスをポイントします。
3.
また、CPE ルーターのルート テーブルの次のホップ ゲートウェイを特定する必要も
あります。
4.
MSP CE ルーターの IP アドレスを、CPE ルーターのルート テーブルの次のホップ IP
として使用します。
5.
CPE ルーターは加入企業イントラネット上に存在します。この編成を使用して、各加
入企業は独自のエンドユーザー サインイン アドレスへの静的ルートを特定し、MSP
の CE ルーター IP を CPE ルート テーブルの次のホップ ゲートウェイとして特定する
必要があります。
6.
MSP VLAN 終端点(この場合は CE ルーター)が目的とする加入者イントラネットを
判断すると、終端点はトラフィックを適切な CPE ルーターへと導き、CPE ルーター
はトラフィックを加入者イントラネットの適切なリソースへと送ります。
IVS のプロビジョニング
„
245
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 47 に記されている通り、CE ルーターの静的ルートを設定してエンドユーザーの IP ア
ドレスをポイントし、次のホップ ゲートウェイを加入者 VLAN ポートの IP アドレスに設
定できます。
メモ :
„
代替として、CE ルーターのデフォルト ルートを設定し、次のホップ ゲートウェイ
を加入者 VLAN ポートの IP アドレスに設定できます。この場合、Network Connect
IP プール アドレスへの個々の静的ルートを追加する必要はありません。
„
また、ネットワーク全体を Network Connect IP アドレス プールに割り当てること
もできます。
図 47: CE ルーターの Network Connect エンドユーザー IP アドレス への
静的ルートの設定
246
„ IVS のプロビジョニング
1.
エンドユーザーはインターネット接続を介して、MSP および加入企業によって同意
された IP アドレスにサインインします。
2.
MSP の VLAN 終端点(この場合は CE ルーター)ルート テーブルの静的ルートを特
定し、各加入企業のエンドユーザー サインイン IP アドレスをポイントします。
3.
また、CE ルーターのルート テーブルの次のホップ ゲートウェイを特定する必要もあ
ります。
4.
CE ルート テーブルでは、全エンドユーザー サインイン IP アドレスを静的ルートと
して特定し、対応する全 VLAN ポート IP アドレスを仮想化 IVE で定義された通りに
特定します。
5.
各加入企業に対して最低 1 つの固有 VLAN ID を作成します。各 VLAN の IP アドレス
を、CE ルーターのルート テーブルの次のホップ ゲートウェイ アドレスとして使用
します。
6.
加入者の CPE ルーターは、トラフィックを加入企業イントラネットへと正確に導き
ます。
7.
各加入企業は、エンドユーザーがサインインする静的ルートとして定義された IP ア
ドレスのサインイン ページを提供する必要があります。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
MSP VLAN 終端点(この場合は CE ルーター)が目的とする加入者イントラネットを判断
すると、終端点はトラフィックを適切な CPE ルーターへと導き、CPE ルーターはトラ
フィックを加入者イントラネットの適切なリソースへと送ります。
認証サーバーの設定
RADIUS や Active Directory といった認証サーバーを、MSP ネットワークと加入企業イン
トラネットの両方で設定することが可能です。認証サーバーはトラフィックが MSP ネッ
トワークに入ってくる際、または顧客イントラネットに到達する際に認証されるかに応じ
て、受信トラフィックを異なる方法で認証します。
メモ : 認証サーバーを内部ポートに接続している場合は、IVS を設定する際にデフォル
ト VLAN を内部ポートに設定する必要があります。
以下の認証サーバーは、加入者 IVS 上でサポートされています。
„
IVE 認証
„
LDAP サーバー
„
RADIUS サーバー
„
Active Directory/Windows NT
„
匿名サーバー
„
証明書サーバー
以下の認証サーバーは、ルート システム上でサポートされています。
„
IVE 認証
„
LDAP サーバー
„
NIS サーバー
„
ACE サーバー
„
RADIUS サーバー
„
Active Directory/Windows NT
„
匿名サーバー
„
SiteMinder サーバー
„
証明書サーバー
認証サーバーへのアクセスを制御する規則
以下の規則は、MSP ネットワークまたは加入企業ネットワーク上の認証サーバーへのア
クセスに適用されます。各 IVS プロファイルには、以下の設定が必要となります。
„
デフォルト VLAN 。デフォルト VLAN として提供されていれば、内部ポートにもなり
ます。
„
デフォルト VLAN インターフェース IP は、認証サーバーへの接続に使用されるソー
ス IP アドレスです。
IVS のプロビジョニング
„
247
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
適切な認証サーバーをポイントしている VLAN の静的ルート。この静的ルートは、
MSP ネットワーク(内部ポートで VLAN ID が割り当てれれているか、またはタグな
し)または加入企業ネットワーク上に存在することが可能です。
RADIUS サーバー上での認証の設定
各 IVS に対して RADIUS サーバーを設定する必要があります。MSP ネットワーク上にも
RADIUS サーバーがある場合は、すべての IVS RADIUS サーバーを同じ MSP RADIUS IP ア
ドレスをポイントすることが可能です。
RADIUS サーバーを設定するには、以下を実行します。
1.
2.
コンテキストを選択します。
„
IVS コンテキストから MSP ネットワーク上の RADIUS サーバーを定義したい場合
は、Web コンソール ヘッダーバーのコンテキスト ドロップダウン メニューから
Root を選択し、Go をクリックします。
„
ルート コンテキストから加入者イントラネット上の RADIUS サーバーを定義し
たい場合は、Web コンソール ヘッダーバーのコンテキスト ドロップダウン メ
ニューから IVS 名を選択し、Go をクリックします。
391 ページの「IVE RADIUS サーバー インスタンスの定義」の指示を参照してくださ
い。
メモ : 現在のリリースでは、ACE 認証は個々の IVS システムに利用できません。RSA 2
因子トークンベース認証を使用する場合は、IVS から RADIUS を使用して RSA ACE にア
クセスする必要があります。
Active Directory での認証の設定
各 IVS に対して AD/NT サーバーを設定する必要があります。MSP ネットワーク上にも
AD/NT サーバーがある場合は、すべての IVS AD/NT サーバーを同じ MSP AD/NT IP アドレ
スをポイントすることが可能です。
Active Directory サーバーを設定するには、以下を実行します。
1.
2.
コンテキストを選択します。
„
IVS コンテキストから MSP ネットワーク上の AD/NT サーバーを定義したい場合
は、Web コンソール ヘッダーバーのコンテキスト ドロップダウン メニューから
Root を選択し、Go をクリックします。
„
ルート コンテキストから加入者イントラネット上の AD/NT サーバーを定義した
い場合は、Web コンソール ヘッダーバーのコンテキスト ドロップダウン メ
ニューから IVS 名を選択し、Go をクリックします。
397 ページの「Active Directory または Windows NT ドメイン サーバー インスタンス
の定義」の指示を参照してください。
スタンドアロン インストーラへのアクセス
IVS 管理者は Host Checker 、WSAM 、またはその他のスタンドアロン インストーラにア
クセスしなければならない場合もあります。IVS 管理者がインストーラにアクセスするに
は、以下のリンクを発行して System Maintenance installers ページを表示します。
https://<IVS hostname>/dana-admin/sysinfo/installers.cgi
248
„ IVS のプロビジョニング
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
<IVS hostname> を該当する IVS ホスト名と一致するものに変更します。
インストーラの詳細については、572 ページの「Installers タブ」を参照してください。
IVS 設定ファイルのエクスポートおよびインポートの実行
IVE バイナリ インポート / エクスポート機能を使用して、ルート システムおよびユー
ザー設定をエクスポート / インポートすることができます。また、加入者 IVS 設定および
プロファイルもエクスポート / エクスポートできます。以下の 2 種類の操作は相反するも
のです。IVS 設定をエクスポートすると、エクスポートされた設定ファイルにはルート シ
ステム設定が含まれません。逆に、ルート システム設定をエクスポートすると、エクス
ポートされた設定ファイルには加入者 IVS 設定が含まれません。
エクスポートおよびインポート操作は、ルート システムのコンテキストから実行します。
Maintenance > Import/Export > Import/Export Configuration ページおよび
Maintenance > Import/Export > Import/Export Users ページに、ルート システムおよび
ユーザー設定をエクスポートする標準コントロールがあります。加入者 IVS 管理者は、加
入者 IVS のデータをエクスポート / インポートすることはできません。ルート管理者であ
るあなただけが、これらのタスクを実行できます。
メモ : 全 IVS システムのインポート / エクスポートは、一括した操作でのみ可能です。
個々の IVS システムの設定をインポート / エクスポートすることはできません。
ルート システム設定のエクスポート / インポート
ルート システム設定をエクスポート / インポートするには、Maintenance >
Import/Export > Import/Export Configuration ページに進み、574 ページの
「Import/Export ページの設定」の指示を参照してください。
IVS 設定のエクスポート
IVS 設定をエクスポートするには、以下の手順を実行します。
1.
Maintenance > Import/Export > Import/Export IVS ページを選択します。
2.
設定ファイルをパスワードで保護するには、Password for configuration file: テキス
トボックスにパスワードを入力します。
3.
Save Config As をクリックします。
4.
Save をクリックします。
5.
ファイル名およびファイルを保存する場所を指定します。
6.
Save をクリックし、必要であれば Close をクリックします。
保存された設定ファイルには、IVS システム全体における以下の設定が含まれています。
„
IVS プロファイル
„
IVS システム設定
„
IVS サインイン設定
„
IVS 管理者
„
IVS ユーザー
IVS のプロビジョニング
„
249
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
IVS リソース ポリシー
„
IVS メンテナンス設定
IVS 設定のインポート
IVS 設定をインポートするには、以下の手順を実行します。
1.
Maintenance > Import/Export > Import/Export IVS ページを選択します。
2.
Browse をクリックします。
3.
ファイルを特定して選択し、Open をクリックします。
4.
設定ファイルをパスワードで保護するには、Password: テキストボックスにパスワー
ドを入力します。
5.
VLAN ポートや仮想ポートといった、IVS プロファイルのネットワーク設定をイン
ポートするには、Import IVS Profile Network Settings チェックボックスをオンにし
ます。
メモ :
„
ステップ 5 で説明されているネットワーク設定のインポートは、システムおよび
IVS 設定を同じシステムからエクスポートする場合にのみ機能します。
„
ネットワーク設定自体はインポートされません。ネットワーク設定の参照のみがイ
ンポートされます。ネットワーク設定は、ルート システム設定をインポート / エク
スポートする場合にのみインポート / エクスポートされます。
6.
Import Config をクリックします。
インポートに成功すると、IVS は確認メッセージを表示します。すると IVS は特定のサー
ビスを再起動します。これには数分かかることがあります。
メモ :
250
„ IVS のプロビジョニング
„
XML Import/Export 機能を使用して、ルート IVS の XML ベースの設定ファイルをエ
クスポート / インポートすることができます。加入者 IVS システムには、XML
Import/Export 機能を使用することはできません。代わりに、バイナリ設定ファイル
をインポート / エクスポートします。
„
Push Config を使用して、特定のルート IVS 設定を別のルート IVS にコピーすること
ができます。Push Config を使用して、設定データを加入者 IVS システム間、または
ルート IVS から加入者 IVS にコピーすることはできません。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
加入者の監視
ログ ファイルには、イベント、ユーザー アクセス、管理者アクセスなどについての詳細
が含まれます。ログ エントリは各エントリのコンテキストを調べ、エントリがルート ア
クションによるものか、または IVS システムの 1 つのアクションによるものかを特定しま
す。ルート エントリには、Root の文字が含まれます。たとえば、以下のエントリでは 2
人の管理者によるアクセスが記されています。最初は Root で、次は Test と呼ばれる管理
者です。
ADM20716 2005-05-10 10:52:19 - ive - [10.11.254.160]
Root::administrator(administrator Users)[.Administrators] - User Accounts
modified. Added Unspecified Name with username testuser1 to authentication
server System Local.
Info ADM20716 2005-05-10 10:35:26 - ive - [10.11.254.160]
Test::administrator(administrator Users)[.Administrators]!Root - User Accounts
modified. Added IVE Platform Administrator with username omiadmin to
authentication server Administrators.
加入者の IVS へのアクセスを停止するには、以下を実行します。
1.
System > Virtual Systems を選択します。
2.
Disabled ラジオボタンをクリックします。
この手順を踏むことにより、IVS のユーザー(IVS の管理者を含む)が IVS を使用できな
くなります。IVS へのアクセスを提供するには、ラジオボタンを Enabled に設定します。
VLAN のトラブルシューティング
IVE が提供する標準のトラブルシューティング機能に加えて、仮想化 IVE は特に IVS シス
テムの管理に関して機能が強化されました。以下のトラブルシューティング機能をルート
システム上または各 IVS 上で個別に使用できます。
„
ポリシーのシミュレーション
„
ポリシーのトレース
„
記録セッション
機能的には、これらは標準の IVE 機能と同じものです。主な違いは、コンテキストです。
これら 3 種類の機能の 1 つをルート システム コンテキストから実行すると、ルート シス
テムまたは MSP ネットワーク上からユーザー、ポリシー、セッション向けの結果を得ま
す。これらの機能を加入者 IVS コンテキストから実行すると、IVS 上または加入者イント
ラネット上でユーザー、ポリシー、セッション向けの結果を得ることになります。ユー
ザーセッション、ポリシートレース、記録セッションの詳細については、591 ページの
「Troubleshooting ページの設定」を参照してください。
TCPDump 、Ping 、Traceroute 、NSLookup 、ARP コマンドは、仮想化 IVE システムでの
使用において強化されています。これらのコマンドを内部ポートおよび外部ポートで実行
します。また、加入者 VLAN のトラフィックのトラブルシューティングをしたい場合は、
選択した VLAN ポートからも実行できます。コマンドの基本機能は、VLAN ポートを特定
する機能以外は変化しません。
VLAN で TCPDump を実行
1.
ルート システム コンテキストにいない場合は、Web コンソール ヘッダーの IVS ド
ロップダウン メニューから Root を選択し、Go をクリックします。
2.
Troubleshooting > TCP Dump を選択します。
IVS のプロビジョニング
„
251
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
Internal Port が選択された状態で、VLAN Port ドロップダウン メニューから VLAN を
選択します。
4.
フィルタを Filter テキストボックスに追加します(オプション)。
5.
Start Sniffing をクリックします。
6.
結果を確認するには、Stop Sniffing をクリックします。
7.
Dump File ドロップダウン メニューから Dump ファイルのタイプを選択します。
8.
Get をクリックします。
9.
適切なエディタでファイルを開きます。
TCP Dump の使用方法の詳細ついては、595 ページの「TCP Dump タブ」を参照してくだ
さい。
VLAN のコマンドの使用(Ping 、traceroute 、NSLookup 、ARP)
1.
ルート システム コンテキストにいない場合は、Web コンソール ヘッダーの IVS ド
ロップダウン メニューから Root を選択し、Go をクリックします。
2.
Troubleshooting > Commands を選択します。
3.
Command ドロップダウン メニューからコマンドを選択します。
4.
ターゲットサーバーを入力します。
5.
VLAN Port ドロップダウン メニューから VLAN を選択します。
6.
選択したコマンドに応じて、他の設定を入力します。
7.
OK をクリックします。
TCP Dump の使用方法の詳細ついては、596 ページの「Commands タブ」を参照してくだ
さい。
IVS 使用例
以下の使用例では、IVS システムを設定する際に実行する可能性のある一般的なタスクに
ついて説明しています。
252
„ IVS 使用例
„
253 ページの「IVS のポリシー ルーティング規則解決の使用例」
„
258 ページの「複数の加入者に対するグローバル認証サーバーの設定」
„
259 ページの「加入者ごとに DNS/WINS サーバー IP アドレスを設定」
„
259 ページの「各加入者の Web アプリケーションおよび Web ブラウズへのアクセス
の設定」
„
260 ページの「各加入者のファイル ブラウズ アクセスの設定」
„
261 ページの「加入者のエンドユーザーに複数のサブネット IP アドレスを設定」
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
262 ページの「共有サーバーへのアクセスを可能にするため複数の IVS システム
を設定」
„
243 ページの「仮想化 IVE で使用する Network Connect の設定」
IVS のポリシー ルーティング規則解決の使用例
この使用例では、ポリシー ルーティングが MSP の展開でどのように発生するかを説明し
ます。使用例の最初の部分では、2 つの加入企業の設定、そしてエンドユーザーがどのよ
うに該当する加入企業ネットワークにアクセスするかについて詳しく説明します。使用例
の次の部分では、MSP ネットワーク上に VLAN を作成して加入企業のエンドユーザーに
共有サービスを提供する際に、何が起こるかについて説明しています。
企業 1 と企業 2 は MSP ネットワークにホストされている企業です。表 10 は、各企業に
定義された VLAN 、VLAN ID 、インターフェース、ロールを記しています。企業 1 は 2 つ
の VLAN で定義されています。1 つは営業部用で、もう 1 つは人事部用です。各企業は、
各 VLAN で定義された関連付けロールを有しています。ルート管理者は各 VLAN を作成し
て、それぞれに固有の VLAN ID を提供します。また、特定のポートを示します。この場
合、ルート管理者は内部インターフェースにすべての 4 つの VLAN を作成しました。
表 10: MSP および加入企業ネットワークの展開
企業 1
企業 2
VLAN
VLAN ID
インター
フェース
ロール
営業部
1
int0.1
SALES
人事部
2
int0.2
HR
社員
3
int0.3
EMPLOYEE
パートナー
4
int0.4
PARTNER
メモ :
„
ポートのラベルが変更されました。eth0(内部ポート)と呼ばれていたポート
名は、現在では int0 と、そして eth1(外部ポート)は現在では ext0 と呼ばれ
ています。
„
ルート テーブル デバイス名(例:int0.1)は、シリアルコンソールからのみ見るこ
とができます。メニュー アイテム 1 を選択し、次にシリアルコンソールからメ
ニュー アイテム 2 を選択して、ルート テーブルを見ることができます。
IVS 使用例 „ 253
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 48 は、MSP および加入企業の展開を図解しています。
図 48: MSP および加入企業の展開
メモ : IVE の設定では、IVS VLAN は加入者イントラネットに明示的に接続されていませ
ん。VLAN の加入者イントラネットへの接続は、CE->CPE ルーター フレームワーク内の
加入者イントラネットのプライベート トンネルに VLAN インターフェースをマップする
ことで達成されます。詳細については、232 ページの「静的ルートを VLAN ルート テー
ブルに追加」に記された静的ルートの説明を参照してください。
図 48 では、Network Connect エンドユーザーが独自のソース IP アドレスをルート管理者
が IVS 用に定義した設定済み Network Connect IP アドレス プールから取得しています。ま
た同図では、VLAN の仮想ポートとして定義したロールおよびロールベースのソース IP
(VIP ソーシング)アドレスに基づいて、非 Network Connect ユーザーが特定の領域にア
クセスすることがまだ可能です。
以下のリストでは、図 48 において番号でマークされた項目について説明します。
254
„ IVS 使用例
1.
Network Connect エンドユーザーは、IP アドレスを Network Connect IP プールから取
得します。これらユーザーからのトラフィックは、内部ポートで定義した適切な加入
者 VLAN を通ります。
2.
非 Network Connect エンドユーザーは、IP アドレスを仮想 IP (VIP) プールから取得し
ます。これらユーザーからのトラフィックは、適切な加入者 VLAN を通して供給され
ます。
3.
図 48 においては、番号が付いたボックスは加入者 IVS を表しています。これには
ポート int0.1 および int0.2 で定義された 2 つの VLAN が含まれます。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
図 48 においては、番号が付いたボックスは第 2 の加入者 IVS を表しています。これ
には ポート int0.3 および int0.4 で定義された 2 つの VLAN が含まれます。
5.
加入者は VLAN1 上で「営業部」のロールを定義します。インターネットを介して IP
13.10.0.1 にサインインするエンドユーザーは、企業 1 のイントラネット、そして
10.10.0.0/16 の「営業部」領域にある適切なバックエンド リソースに導かれます。IP
13.11.0.1 にサインインするエンドユーザーは企業 1 のイントラネットに VIP ソーシ
ングされ、同様に 10.10.0.0/16 の「営業部」領域にある適切なバックエンド リソー
スに導かれます。
6.
加入者は VLAN2 上で「人事部」のロールを定義します。インターネットを介して IP
13.12.0.1 にサインインするエンドユーザーは、企業 1 のイントラネット、そして
10.11.0.0/16 の「人事部」領域にある適切なバックエンド リソースに導かれます。IP
13.13.0.1 にサインインするエンドユーザーは企業 1 のイントラネットに VIP ソーシ
ングされ、同様に 10.11.0.0/16 の「人事部」領域にある適切なバックエンド リソー
スに導かれます。
7.
加入者は VLAN3 上で「社員」のロールを定義します。インターネットを介して IP
14.10.0.1 にサインインするエンドユーザーは、企業 2 のイントラネット、そして
10.10.0.0/16 の「社員」領域にある適切なバックエンド リソースに導かれます。IP
14.11.0.1 にサインインするエンドユーザーは企業 2 のイントラネットに VIP ソーシ
ングされ、同様に 10.10.0.0/16 の「社員」領域にある適切なバックエンド リソース
に導かれます。
8.
加入者は VLAN4 上で「パートナー」のロールを定義します。インターネットを介し
て IP 14.12.0.1 にサインインするエンドユーザーは、企業 2 のイントラネット、そし
て 10.11.0.0/16 の「パートナー」領域にある適切なバックエンド リソースに導かれ
ます。IP 14.13.0.1 にサインインするエンドユーザーは企業 2 のイントラネットに
VIP ソーシングされ、同様に 10.11.0.0/16 の「パートナー」領域にある適切なバック
エンド リソースに導かれます。
9.
企業 1 のイントラネットは 2 つの領域をサポートしています:10.10.0.0/16 の「営業
部」と 10.11.0.0/16 の「人事部」です。これらの領域は VLAN1 および VLAN2 で定義
されたロールに対応します。
10. 企業 2 のイントラネットは 2 つの領域をサポートしています:10.10.0.0/16 の「社
員」と 10.11.0.0/16 の「パートナー」です。
メモ : これらの領域は、重複している IP アドレスが含まれていても有効です。ロールは
異なる VLAN で定義されているため VLAN ID によって分離が可能となり、重複してもト
ラフィックが混ざることはありません。
IVS 使用例 „ 255
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
各 VLAN のルート テーブルは以下のように表示されます。
表 11: VLAN1 ルート テーブル
宛先 IP
ゲートウェイ
出力ポート
0.0.0.0
VLAN1 のデフォルト
ゲートウェイ
int0.1
10.10.0.0/16
0.0.0.0
int0.1
表 12: VLAN2 ルート テーブル
宛先 IP
ゲートウェイ
出力ポート
0.0.0.0
VLAN2 のデフォルト
ゲートウェイ
int0.2
10.10.0.0/16
0.0.0.0
int0.2
表 13: VLAN3 ルート テーブル
宛先 IP
ゲートウェイ
出力ポート
0.0.0.0
VLAN3 のデフォルト
ゲートウェイ
int0.3
10.10.0.0/16
0.0.0.0
int0.3
表 14: VLAN4 ルート テーブル
宛先 IP
ゲートウェイ
出力ポート
0.0.0.0
VLAN4 のデフォルト
ゲートウェイ
int0.4
10.10.0.0/16
0.0.0.0
int0.4
ここで、MSP が共有サービスを企業 1 および企業 2 のエンドユーザーに提供するとしま
す。MSP ネットワークも VLAN (VLAN5) 上にあると想定します。10.64.0.0/16 のサービス
を企業 1 と企業 2 の両方に提供し、10.65.0.0/16 のサービスを企業 2 のみに提供する場合
は、Network Connect プールかこれらのアドレスの仮想ポートのどちらかを設定します。
図 49 は、この状況を図解しています。
メモ : 図 49 の信頼度を上げるため、図 の詳細の一部は削除またはグレーになってい
ます。
256
„ IVS 使用例
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 49: MSP VLAN による共有サービスの提供
1.
企業 1 のエンドユーザーはインターネットを介して、MSP ネットワークおよび MSP
VLAN 、VLAN5(図では番号 3 で表示)にサインインします。
2.
企業 2 のエンドユーザーはインターネットを介して、MSP ネットワークおよび MSP
VLAN 、VLAN5(図では番号 3 で表示)にサインインします。
3.
MSP VLAN5 は、MSP ネットワークの共有サービスへのアクセスを提供します。
4.
MSP サービスを共有する場合でも、各加入企業のエンドユーザーに個々の IP アドレ
スを定義する必要があります。
IVS 使用例 „ 257
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
MSP ネットワークの共有サービスにアクセスするユーザー、そして制限された MSP ネッ
トワーク サービスにもアクセスするユーザーをサポートするようにルートを設定すると、
VLAN ルート テーブルは以下のように表示されます。
表 15: VLAN1 ルート テーブル
宛先 IP
ゲートウェイ
出力ポート
0.0.0.0
VLAN1 のデフォルト
ゲートウェイ
int0.1
10.64.0.0
VLAN5 のルーター
int0.5
表 16: VLAN2 ルート テーブル
宛先 IP
ゲートウェイ
出力ポート
0.0.0.0
VLAN2 のデフォルト
ゲートウェイ
int0.2
10.64.0.0
VLAN5 のルーター
int0.5
表 17: VLAN3 ルート テーブル
宛先 IP
ゲートウェイ
出力ポート
0.0.0.0
VLAN3 のデフォルト
ゲートウェイ
int0.1
10.64.0.0
VLAN5 のルーター
int0.5
10.65.0.0
VLAN5 のルーター
int0.5
表 18: VLAN4 ルート テーブル
宛先 IP
ゲートウェイ
出力ポート
0.0.0.0
VLAN4 のデフォルト
ゲートウェイ
int0.2
10.64.0.0
VLAN5 のルーター
int0.5
10.65.0.0
VLAN5 のルーター
int0.5
メモ : MSP ネットワークがタグなしポート(内部)に接続される場合、ルート エント
リは似たものになりますが、出力ポートは int0 のみとなります。
複数の加入者に対するグローバル認証サーバーの設定
加入企業がサービスプロバイダであるあなたから認証サービスをリースまたは購入したい
と考える場合、グローバル認証サーバーを設定することができます。この場合、以下のタ
スクを実行する必要があります。
1.
MSP ネットワーク上に 1 つ以上の認証サーバーを設定します。
2.
MSP ネットワーク上にサインイン用の仮想ポートを設定します。
3.
VLAN および IVS システムを設定して、MSP ネットワーク上の認証サーバーにマップ
します。
詳細については、247 ページの「認証サーバーの設定」を参照してください。
258
„ IVS 使用例
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
加入者ごとに DNS/WINS サーバー IP アドレスを設定
特定の DNS/WINS サーバー IP アドレスを加入者ごとに設定したい場合は、IVS ごとにこ
れを行うことができます。
DNS/WINS サーバー IP アドレスを設定するには、以下を実行します。
1.
独自の IVS システムを設定します。
2.
Web コンソール ヘッダー エリアのシステムドロップダウン メニューから IVS を選択
し、Go をクリックします。IVS コンテキスト内でヘッダーの色が変化し、加入者の名
前が表示されます。
3.
System > Network > Overview を選択します。
4.
加入者イントラネットの DNS/WINS サーバーに対応する DNS/WINS 設定を入力し
ます。
5.
Save Changes をクリックします。
詳細については、241 ページの「IVS の DNS の設定」を参照してください。グローバル
DNS/WINS サーバーの設定方法の例については、243 ページの「仮想化 IVE で使用する
Network Connect の設定」を参照してください。
各加入者の Web アプリケーションおよび Web ブラウズへのアクセスの設定
IVS 管理者は、IVS エンドユーザーに対して特定の Web ブラウズ ポリシーを設定する場合
があります。
Web ブラウズ アクセスを設定するには、IVS 管理者は以下のページで設定を行う必要が
あります。
„
Users > Roles > ロール名 > Web
„
Resource Policies > Web
Web ブラウズ アクセスを設定するには、以下を実行します。
1.
Users > Roles > ロール名 > Web を選択します。
2.
Bookmarks タブを選択します。
3.
New Bookmark をクリックします。
4.
特定の Web URL へのブックマークに対して設定を行います。
5.
Save Changes をクリック、または複数のブックマークを作成する場合は Save +
New をクリックします。
ここで定義したブックマークは、エンドユーザーがアクセスできる Secure Access
Web セクションに表示されます。
6.
Options タブを選択します。
7.
エンドユーザーに提供したい Web ブラウズの権限を選択します。
8.
必要に応じて、他のオプションを選択します(HTTP 接続のタイムアウト値の設定な
ど)。
9.
Save Changes をクリックします。
IVS 使用例 „ 259
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Web ブラウズ アクセス ポリシーを設定するには、以下を実行します。
1.
Resource Policies > Web を選択します。
2.
各タブに適切な設定を行います。
リソース ポリシーおよび Web リソース ポリシーの設定については、61 ページの「リ
ソース ポリシーの概要」および 505 ページの「Web ページの設定」を参照してください。
各加入者のファイル ブラウズ アクセスの設定
IVS 管理者は、IVS エンドユーザーに対して特定のファイル ブラウズ アクセス ポリシー
を設定する場合があります。IVS 管理者は、ロールに基づいてこのタイプの操作を実行す
ることができます。
ファイル ブラウズを設定するには、IVS 管理者は以下のページで設定を行う必要があ
ります。
„
Users > Roles > ロール名 > General
„
Users > Roles > ロール名 > Files
„
Resource Policies > Files
ファイル ブラウズ アクセスを設定するには、以下を実行します。
1.
Users > Roles > ロール名 > General を選択します。
2.
Access Features で、Files のチェックボックスをオンにします(Windows の場合)。
3.
Save Changes をクリックします。
4.
Files タブを選択します。
5.
Options ページを選択します。
6.
ファイル システムのタイプに応じて、IVS エンドユーザーのアクセスに適用するオプ
ションを選択します。
7.
Save Changes をクリックします。
ファイル システム ブックマークを設定するには、以下を実行します。
1.
IVS コンテキストにいることを確認してください。Web コンソール ヘッダーバーの
IVS ドロップダウン メニューに Root と表示されている場合は、メニューから IVS 名
を選択して、Go をクリックします。
2.
Users > Roles > ロール名 > General > Files を選択します。
3.
Windows Bookmarks または UNIX Bookmarks のどちらかを選択します。
4.
New Bookmark をクリックします。
5.
適切な設定を行います。
6.
Save Changes をクリックします。
ブックマークをファイル システムに設定する詳細については、469 ページの「Files ペー
ジの設定」を参照してください。
260
„ IVS 使用例
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ファイル システム アクセス ポリシーを設定するには、以下を実行し
ます。
1.
IVS コンテキストにいることを確認してください。Web コンソール ヘッダーバーの
IVS ドロップダウン メニューに Root と表示されている場合は、メニューから IVS 名
を選択して、Go をクリックします。
2.
Resource Policies > Files > Windows Access Control を選択します。
3.
Show policies that apply to ドロップダウン メニューからロールを選択して、Update
をクリックします。
4.
New Policy をクリックします。
5.
適切な設定を行います。
6.
Save Changes をクリックします。
7.
Credentials タブをクリックします。
8.
適切な設定を行います。
9.
Save Changes をクリックします。
10. それぞれのロールに対して同じ手順を繰り返します。
11. Encoding タブを選択して言語のエンコードを選択し、Save Changes をクリック
します。
12. Options タブを選択してオプション(ホスト名ベースのポリスー リソースに IP ベー
スのマッチングなど)を設定し、Save Changes をクリックします。
ファイルポリシーの詳細については、538 ページの「Files リソース ポリシーの作成」を
参照してください。証明書の詳細については、541 ページの「Credentials タブ」を参照し
てください。エンコードの詳細については、544 ページの「IVE トラフィックの国際化
コードの指定」を参照してください。アクセスオプションの詳細については、545 ページ
の「File リソース オプションの指定」を参照してください。
加入者のエンドユーザーに複数のサブネット IP アドレスを設定
加入者がイントラネット内にサブネットを作成して、トラフィックの分離をサポートした
いとします。たとえば、加入者エンドユーザーを 3 つの異なる部門(マーケティング、
ファイナンス、エンジニアリング)に分離したいと想定します。このタスクを達成させる
ために踏む手順は、ルート管理者が実行する部分と IVS 管理者が実行する部分に分かれて
います。
ルート管理者が実行するタスク
1.
加入者 VLAN を作成します。230 ページの「Virtual Local Area Network(仮想ローカ
ルエリア ネットワーク)(VLAN) の設定」を参照してください。
2.
加入者 IVS を作成します。234 ページの「仮想システム(IVS プロファイル)の作成」
を参照してください。
3.
サインイン用の仮想ポートを作成します。229 ページの「内部ポートのサインイン用
に仮想ポートを設定」を参照してください。
4.
ロールベースのソース IP エイリアスの仮想ポートを作成します。236 ページの
「ロールベースのソース IP エイリアスの設定」を参照してください。
IVS 使用例 „ 261
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVS 管理者が実行するタスク
1.
ユーザーを作成します。マーケティング、ファイナンス、エンジニアリングのロール
を作成します。452 ページの「Roles ページの設定」を参照してください。
2.
VLAN/ ソース IP にロールを割り当てます。237 ページの「IVS のソース IP アドレスに
ロールを関連付け」を参照してください。
3.
ユーザーをロールに割り当てます。377 ページの「ローカル ユーザーの作成」を参照
してください。
共有サーバーへのアクセスを可能にするため複数の IVS システムを設定
複数の加入企業のエンドユーザーに MSP ネットワーク上の共有サーバーへのアクセスを
提供する場合があります。共有サーバーへのアクセスの詳細については、243 ページの
「仮想化 IVE で使用する Network Connect の設定」および 253 ページの「IVS のポリシー
ルーティング規則解決の使用例」を参照してください。
以下の手順では、簡素化された使用例および解決法について説明しています。
解決策 #1
共有サーバーへのアクセスを提供するには、以下を実行します(2 つの加入者に 2 つの
IVS があると想定)。
1.
内部ポートを選択された VLAN の IVS1 リストに追加します。
2.
内部ポートを選択された VLAN の IVS2 リストに追加します。IVS システムの選択され
た VLAN フィールドにポートを追加する方法については、225 ページの「IVS のプロ
ビジョニング」を参照してください。
3.
内部インターフェースが出力ポートとなっている状態で、内部ポートのルート テー
ブルを編集し、共有サーバーをポイントしている静的ルートを設定します。
解決策 #2
共有サーバーへのアクセスを提供するには、以下を実行します(2 つの加入者に 2 つの
IVS があると想定)。
262
„ IVS 使用例
1.
VLAN1 を IVS1 の選択された VLAN リストに追加し、デフォルト VLAN に設定し
ます。
2.
VLAN2 を IVS2 の選択された VLAN リストに追加し、デフォルト VLAN に設定しま
す。IVS システムの選択された VLAN フィールドに VLAN を追加する方法については、
225 ページの「IVS のプロビジョニング」を参照してください。
3.
内部インターフェースが出力ポートとなっている状態で、VLAN1 および VLAN2 両方
のルート テーブルを編集し、共有サーバーをポイントしているそれぞれの静的ルー
トを設定します。
第 6章
IVE ハードウェア機能
本章では、さまざまな IVE アプライアンス プラットフォームに関連する各種ハードウェ
ア機能の概要を説明します。
ハードウェア機能:
„
265 ページの「圧縮の概要」
„
268 ページの「Access Series FIPS の概要」
„
271 ページの「Secure Access 6000 の概要」
„
263
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
264
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
圧縮の概要
IVE は、HTML ファイル、Word ドキュメント、イメージなどの共通の Web およびファイ
ル データを圧縮することによって性能を向上させます。IVE は、以下のプロセスを使って
ユーザーがアクセスするデータを圧縮するかどうか決定します。
1.
IVE は、アクセスしたデータが圧縮タイプかどうかを確認します。IVE は、HTML
ファイル、Word 文書などの多数の共通データ タイプの圧縮をサポートします。完全
なリストについては、266 ページの「サポートされるデータ タイプ」を参照してくだ
さい。
2.
ユーザーが Web データにアクセスしていれば、IVE は、ユーザーのブラウザが選択
されたデータ タイプの圧縮をサポートするかどうかを確認します。
IVE は、ブラウザのユーザー エージェントとエンコードを受け取るヘッダーに基づい
てサポートされる圧縮を決定します。ユーザー エージェントが Mozilla 5、Internet
Explorer 5 または Internet Explorer 6 と互換性があると判定された場合は、IVE は、
標準の Web データ タイプの圧縮をすべてサポートします。ブラウザのユーザー エー
ジェントが Mozilla 4 にのみ互換性があると判定された場合は、IVE は HTML データ
の圧縮のみをサポートします。
3.
IVE はシステムレベルで圧縮が有効になっているかどうかを確認します。Web コン
ソールの Maintenance > System > Options ページから、システムレベルの圧縮を
有効にできます。
4.
IVE は、圧縮リソース ポリシーが選択したデータ タイプに対して有効になっている
かどうかを確認します。IVE にはデータを圧縮するリソース ポリシーが付属していま
す。これらのポリシーを有効にするか、Web コンソールの次のページから独自のポリ
シーを作成できます。
„
Resource Policies > Web > Compression
„
Resource Policies > Files > Compression
これらの条件がすべて満されると、IVE は、設定されたアクションに基づいて、ユー
ザーがアクセスしたデータを圧縮または非圧縮にする、適切なリソース ポリシーを実
行します。
メモ : これらの条件が満たされない場合は、IVE は適切なリソースポリシーを実行せず、
IVE ログ ファイルにはリソース ポリシー項目は表示されません。
OWA ユーザーへの注意
OWA のキャッシング問題のため、IVE には、OWA からもたらされた Javascript ファイル
や CSS ファイルを IVE が圧縮しないように指定した次の内蔵リソース ポリシーが付属し
ています。
1.
Do Not Compress *:*/exchweb/controls/*.css (all roles)
2.
Do Not Compress *:*/exchweb/controls/*.js (all roles)
3.
Do Not Compress *:*/exchweb/*/controls/*.css (all roles)
4.
Do Not Compress *:*/exchweb/*/controls/*.js (all roles)
最後の 2 つのポリシーでは、OWA の異なるビルド バージョンを表すためのワイルドカー
ド (*) がパスに含まれています。
圧縮の概要
„
265
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Juniper Networks は、絶対に必要な場合以外、OWA の圧縮リソース ポリシーを変更しな
いことをお勧めします。
旧バージョンからアップグレードするユーザーへのご注意
IVE は Web とファイル データを圧縮する 3 つのリソース ポリシーをあらかじめ装備して
います。IVE の 4.2 以前のバージョンからアップグレードする場合、以前に圧縮を有効に
していれば、これらのポリシーは有効です。それ以外で、以前に圧縮を無効にした場合
は、これらのポリシーは無効です。
アップグレード プロセス中に作成された Web およびファイルのリソース ポリシーは、
IVE がサポートされるすべてのタイプの Web とファイル データを圧縮するように指定し
ます。これには以前のアプライアンス バージョンで圧縮されなかったタイプも含まれま
す。以下のサポートされるデータ タイプ リストには、以前の製品バージョンで圧縮され
なかったすべてのデータ タイプにアスタリスク (*) が付けられています。
サポートされるデータ タイプ
IVE は次のタイプの Web とファイル データの圧縮をサポートしています。
„
text/plain (.txt)
„
text/ascii (.txt)*
„
text/html (.html, .htm)
„
text/css (.css)
„
text/rtf (.rtf)
„
text/javascript (.js)
„
text/xml (.xml)*
„
application/x-javascript (.js)
„
application/msword (.doc)
„
application/ms-word (.doc)*
„
application/vnd.ms-word (.doc)*
„
application/msexcel (.xls)*
„
application/ms-excel (.xls)*
„
application/x-excel (.xls)*
„
application/vnd.ms-excel (.xls)*
„
application/ms-powerpoint (.ppt)*
„
application/vnd.ms-powerpoint (.ppt)*
メモ : アスタリスク * が付いたデータ タイプは、IVE アプライアンスの 4.2 以前のバー
ジョンでは圧縮されませんでした。
また、IVE は、IVE にアップロードするファイルを圧縮しません。IVE からダウンロード
したファイルのみを圧縮します。
266
„ 圧縮の概要
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
さらに、IVE は、次のタイプの IVE ファイルの圧縮をサポートします。
„
text/html (.html, .htm)
„
application/x-javascript (.js)
„
text/javascript (.js)
„
text/css (.css)
„
application/perl (.cgi)
圧縮の概要
„
267
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Access Series FIPS の概要
FIPS、つまり連邦情報処理規格は、暗号キーの処理とデータの暗号化のための国立標準技
術研究所の規則です。NetScreen Access Series FIPS は、標準の A5000 または A3000
NetScreen Instant Virtual Extranet に FIPS 認定の暗号化モジュールを装備したモデルです。
Access Series FIPS システムにインストールされた不正操作防止用ハードウェア セキュリ
ティ モジュールは、FIPS 140-2 レベル 3 セキュリティ ベンチマーク適合認定を受けてい
ます。このモジュールは暗号化秘密鍵管理と SSL ハンドシェークを処理するとともに、
FIPS への準拠を確保し、CPU に負担のかかる公開鍵インフラストラクチャ (PKI) のタスク
を IVE から専用モジュールに移します。
Access Series FIPS 管理者の設定プロセスは、非 FIPS Access Series 管理者の設定プロセ
スとほぼ同じですが、初期化、クラスタ化、および証明書の生成プロセスの設定時に多
少の変更が必要です。一部には管理者の操作が異なる場合がありますが、本ガイドで
は、Access Series と Access Series FIPS の両方の管理者に対して適切な手順を示してい
ます。エンド ユーザーの場合、Access Series FIPS は標準の Access Series システムと全
く同じです。
詳細については、次を参照してください。
„
268 ページの「NetScreen Access Series FIPS の動作」
„
269 ページの「管理者カードの作成」
NetScreen Access Series FIPS の動作
Access Series FIPS システムを初めてインストールする場合、ユーザーには、IVE シリアル
コンソールからセキュリティ ワールドを作成する一連のプロセスが示されます。セキュリ
ティ ワールドは、Access Series FIPS によって使用される鍵管理システムであり、次の要
素で構成されます。
268
„ Access Series FIPS の概要
„
暗号化モジュール - Access Series FIPS に含まれる暗号化モジュール ( ハードウェア
セキュリティ モジュールまたは HSM ともいいます ) には、アプライアンスに直接イ
ンストールされるハードウェアとファームウェアが含まれています。セキュリティ
ワールドには、1 つの暗号化モジュール ( 標準環境 ) か複数のモジュール ( クラスタ
環境 ) を含めることができます。ただし、1 つの Access Series FIPS アプライアンス
には常に 1 つの暗号化モジュールが装備されています。
„
セキュリティ ワールド鍵 - セキュリティ ワールド鍵 は、固有の Triple DES 暗号化
鍵であり、セキュリティ ワールド内の他のすべてのアプリケーション鍵を保護しま
す。連邦情報処理規格では、この鍵をセキュリティ ワールドにインポートしないよう
に要求しています。つまり、暗号化モジュールから直接作成する必要があります。つ
まり、暗号化モジュールから直接作成する必要があります。(詳細については、184
ページの「Access Series FIPS 環境でのクラスタ配備」を参照してください。)
„
スマート カード -スマート カードは、クレジット カードに似た、取り外し可能な
鍵デバイスです。スマート カードによって認証されたユーザは、暗号化ハードウェア
モジュールにより制御されるさまざまなデータやプロセスにアクセスできます。初期
化プロセスでは、暗号化モジュールに付属するスマート カード リーダーを取り付け、
スマート カード 1 枚をリーダーに挿入する必要があります。スマート カードは初期
化プロセス中に管理者カード に変換されます。(詳細については、608 ページの「管
理者カードの追加作成 (Access Series FIPS のみ )」を参照してください。)
„
暗号化したデータ - Access Series FIPS 環境で暗号化したホスト データには、セキュ
アな方法で情報を共有するために必要な鍵やその他のデータが含まれています。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
これらの要素が連動して、包括的なセキュリティ ワールドが作成されます。アプライアン
スを起動すると、通常の稼動が開始される前に、セキュリティ ワールドが有効であり、
暗号化モジュールが稼動モードにあることを確認します。
モジュールの外部にあるハードウェア スイッチを使用して、暗号化モジュールを稼動
モードに設定できます。スイッチの設定は次のとおりです。
„
I - 初期化モード。暗号化モジュールを新しいセキュリティ ワールドで初期化する場
合、または IVE クラスタで既存のセキュリティ ワールドにモジュールを追加する場
合に、この設定を使用します。スイッチを I に設定して初期化を開始した場合は、初
期化プロセスを完了しなければなりません。プロセスを中断すると、セキュリティ
ワールドが一部しか初期化されず、使用不能になります。
„
O - 稼動モード。この設定は、初期化後に暗号化モジュールを稼動モードにする場
合に使用します。モジュールの電源を入れる前にスイッチを O に設定し、日常の処理
を開始することを装置に知らせる必要があります。これを行わないと、モジュールは
シリアル コンソールを介して、既存のセキュリティ ワールドに参加するか、新しい
セキュリティ ワールドを初期化するように要求してきます。
„
M - メンテナンス モード。将来のリリースでは、この設定を使用して暗号化モ
ジュール上のファームウェアをアップグレードします。( 現在はサポートされていま
せん。)
モジュールの初期化と新しいセキュリティ ワールドの作成の詳細については、製品パッ
ケージに付属の Getting Started Guide を参照してください。
管理者カードの作成
Access Series FIPS 製品には、パッケージの一部として 6 枚のスマート カードが同梱され
ています。スマート カードは、暗号化モジュールによって管理された重要なデータやプロ
セスにアクセスするために必要な取り外し可能な鍵デバイスです。Access Series FIPS で
は、シリアル コンソールから暗号モジュールを初期化する際にまずスマート カードを 1
枚使用する必要があります。このプロセスで、Access Series FIPS はセキュリティ ワール
ドを作成し、スマート カードを管理者カードに変換します。
一度モジュールを初期化すると、通常の IVE 操作では、管理者カードが不要になります。
ただし、以下の操作を実行するときは、管理者カードを使用しなければなりません。
„
クラスタに別の Access Series FIPS マシンを追加する 詳細については、320 ページの
「Web コンソールによる IVE のクラスタへの追加」を参照してください。
„
新しい、または異なるセキュリティ ワールドでモジュールを再初期化する 詳細につ
いては、610 ページの「アーカイブされたセキュリティ ワールドの復元 (Access
Series FIPS のみ )」を参照してください。
„
管理者カードを追加作成する 詳細については、608 ページの「管理者カードの追加作
成 (Access Series FIPS のみ )」を参照してください。
Access Series FIPS の概要 „ 269
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ほとんどの場合、IVE シリアル コンソールを通じて実行する必要のある Access Series
FIPS の操作には管理者カードが必要です。
メモ : セキュリティ ワールドを変更する場合は常に、既存の管理者カードをどのように
処理するかを決定する必要があります。以下の選択肢があります。
„
既存の管理者カードを新しいセキュリティ ワールドに対して再設定する。
„
あらかじめ初期化した管理者カードを新しいセキュリティ ワールドに対して使用
し、既存の管理者カードは変更しないまま残す。ただし、このオプションを選択す
ると、変更しない古いカードを使用して新しいセキュリティ ワールドにアクセスす
ることができないことに注意してください。
管理者カードは Access Series FIPS の操作とセキュリティ ワールド内の鍵のセキュリティ
にとって非常に重要であるため、次の予防策を講じることをお勧めします。
270
„ Access Series FIPS の概要
„
複数の管理者カードを作成する - 管理者カードを交換するには、別の有効なカード
があり、セットに対するパスフレーズを持っていなければなりません。暗号化モ
ジュールは管理者カードのリカバリ データを保存していません。そのため、通常の管
理操作用に少なくとも 1 枚、バックアップ用にもう 1 枚の管理者カードを作成する
ことを強くお勧めします。これを行わないと、1 枚しかない管理者カードを紛失した
場合、それ以降、セキュリティ ワールドとそこに保存されているすべてのデータに
アクセスできなくなる恐れがあります。
„
バックアップ用の管理者カードを安全な場所に保管する - バックアップ用の管理者
カードは、通常の管理操作に使用するカードとは別の安全な場所に保管しておき、同
じ事故(火災や盗難)ですべての管理者カードが失われることがないようにします。
„
紛失した場合は、残りのすべての管理者カードに上書きをする - 管理者カードを紛
失または破損した場合は、ただちに新しいセキュリティ ワールドを作成し、古いセ
キュリティ ワールドの残りのカードをすべて上書きします。そうしないと、古い管理
者カードを持つ攻撃者は、バックアップ テープまたは別のホストに格納された古い
ホスト データにアクセス可能になります。そして攻撃者は、古いホスト データと古
いカードを使用して、鍵を再作成することができます。
„
管理者カードのパスフレーズを保護する - セキュリティを最大にするには、パスフ
レーズを書き留めたり、信頼できないユーザに伝えたり、推測しやすいパスフレーズ
を使用しないことです。パスフレーズを保護すると、操作のセキュリティ レベルが向
上します。
„
管理者カードは信頼できるソースにおいてのみ使用する - スマート カードは必ず信
頼できるソースから取得し、信頼できないスマート カード リーダーにスマート カー
ドを挿入しないでください。また、信頼できないスマート カードをスマート カード
リーダーに挿入しないでください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Secure Access 6000 の概要
NetScreen Secure Access 6000 は次世代の IVE アプライアンスで、他の Secure Access シ
リーズと比べて、とりわけハードウェアのデザインに関していくつかの改善がなされてい
ます。
標準的なハードウェア
SA 6000 のシャーシには、以下のハードウェア コンポーネントが備わっています。
„
コンソールポート ― SA 6000 を内部ネットワークへのセキュア ゲートウェイとして
完全に統合する前に、このコンソール ポートを使用して初期設定を行うことができ
ます。また、このコンソールポートを使用して、IVE がセキュア ゲートウェイとして
動作した後に、特定の設定およびクラスタ タスクを実行することができます。
„
INT 0(内部)および INT 1(外部)Ethernet ポート ― SA 6000 の企業ネットワーク
への 1 次接続は内部ポート、そして外部への 1 次接続は外部 Ethernet ポートです。
管理者 Web コンソールの System > Network ページを介して、内部インターフェー
スおよび外部インターフェースを設定することができます。
„
(このリリースでは無効化)管理ポート
„
(このリリースでは無効化)デュアル SFP ポート
„
状態表示 LED ― SA 6000 シャーシのフロントには、以下の LED が備わっています。
„
PWR(緑色)― アプライアンスに電源が供給されており、オンになっているこ
とを示しています。
„
HD(琥珀色)― ハードディスクが使用中であることを示しています(データの
書き込み中および読み込み中)。
„
TEMP(赤色)― この LED が点滅していると、ファンの 1 つが故障したか、
しっかりとポートに固定されていない、またはファンが故障して交換が必要であ
ることを示しています。LED が点灯を続けている場合は、内部が高温になり、何
らかの処置を施さない限りシステム障害が発生する可能性があることを示してい
ます。
„
PS FAIL(赤色)― 電源装置の 1 つに障害が発生したか、電源が切られた、また
は完全に故障していることを示しています。
„
INT 0 1000 および INT 1 1000(緑色)― INT 0(内部)または INT 1(外部)
Ethernet インターフェースのリンク速度が、Gigabit Ethernet 接続であることを
示しています。
„
INT 0 100 および INT 1 100(緑色)― INT 0(内部)または INT 1(外部)
Ethernet インターフェースのリンク速度が、100BaseT Ethernet 接続であること
を示しています。
メモ : INT 0 1000 および INT 0 100(内部)または INT 1 1000 および INT 1 100(外部)
の LED が点灯している場合、そのインターフェースのリンク速度は 10BaseT です。
„
内部 Ethernet および外部 Ethernet LINK TX/RX(緑色)― 内部 Ethernet および
外部 Ethernet インターフェースが現在データを送受信していることを示してい
ます。
Secure Access 6000 の概要
„
271
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
(このリリースでは無効化)SFP ポート 2 および 3 LINK (緑色)
„
(このリリースでは無効化)SFP ポート 2 および 3 TX/RX(緑色)
Secure Access 6000 フィールド交換ユニット
SA 6000 のシャーシには、追加や交換が可能な 3 種類のフィールド交換ユニット (FRU) が
備わっています。FRU は「ホット スワップ可能」です。これは、SA 6000 の電源を切らず
に FRU の追加や交換が可能であることを意味しています。
272
„ Secure Access 6000 の概要
„
ハードディスク ― SA 6000 はハードディスクが 1 つ付けられた状態で出荷されます
が、オプションとして SA 6000 シャーシに 2 台目のハードディスクを追加すると、
コンポーネントの冗長性を実現し、IVE のダウンタイムを最小にすることができま
す。第 2 (冗長化)のハードディスクを装備すると、そこに作業用ハードディスク上
のソフトウェア イメージや設定情報の完全なコピーが保持されます。そのため、作業
用ハードディスクに障害が発生した場合、冗長ハードディスクが直ちにすべての IVE
オペレーションを引き継いで実行します。
„
電源装置 ― SA 6000 は、シャーシの後部に交流電源装置が 1 つ取り付けられた状態
で出荷されます。オプションとして 2 個目の電源装置を追加すると、冗長機能や負荷
分散機能をサポートすることができます。さらに、電源装置の一方を交換する必要が
生じた場合は、オプションの第 2 の電源装置に電源負荷全体を肩代わりさせ、その
間に障害のある電源装置を「スワップ」することができます。これにより、着脱式ユ
ニットを交換する前に、IVE の電源をオフにしなければならない状況を回避できま
す。
„
冷却ファン ― SA 6000 は、シャーシの後部に 2 つの冷却ファンが取り付けられた状
態で出荷されます。冷却ファンのいずれかを交換する必要がある場合は、障害のある
ファンをオペレーション中に素早く「交換」することができます。必要に応じて、
SA 6000 を注文する際に追加の冷却ファンをベンダーから購入することも、障害また
は故障した冷却ファンを交換するときに購入することもできます。
第 3部
IVE 設定
このセクションでは、Web コンソールによって IVE を構成、維持するための IVE に関す
る指示を示します。このセクションの構成は Web コンソールに一致しているため、ユー
ザー インターフェースの特定のページに対応する指示を簡単に見つけることができます。
目次
„
277 ページの「システム設定」
„
425 ページの「管理者設定」
„
449 ページの「ユーザー設定」
„
499 ページの「リソース ポリシー設定」
„
567 ページの「メンテナンス設定」
„
273
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
274
„
タスクのサマリー
目次
タスク サマリー: IVE platform 上に構築された製品の設定
タスク サマリー: カスタム サインイン ページの設定
タスク サマリー: サインイン ポリシーの設定
タスク サマリー: 複数サーバ証明書の有効化
タスク サマリー: Java アプレットに署名または再署名するよう IVE を設定する
タスク サマリー: 管理者ロールの作成
タスク サマリー: Host Checker の設定
タスク サマリー: LDAP パスワード管理の有効化
タスク サマリー: 複数認証サーバーの設定
タスク サマリー: 基本認証で保護されるリソースに対する SSO の有効化
タスク サマリー: NTLM で保護されるリソースに対する SSO の有効化
タスク サマリー: IVE による SAML の設定
タスク サマリー: Network Connect の設定
タスク サマリー: W-SAM の設定
タスク サマリー: J-SAM の設定
タスク サマリー:IVE での E メール クライアントの設定
タスク サマリー: Java アプレットのアップロードと有効化
タスク サマリー: データ転送プロキシの設定
タスク サマリー: ターミナル セッションの設定
タスク サマリー: Secure Meeting の設定
タスク サマリー: Secure Meeting の監視
タスク サマリー: IVE クラスタの作成
タスク サマリー: 証明書の仮想ポートとの関連付け
タスク サマリー: ロールに基づいたサブネット送信先の定義
タスク サマリー: 設定ファイルとユーザー アカウントのインポートとエクスポート
タスク サマリー: XML 設定ファイルのインポートとエクスポート
タスク サマリー: PDA および携帯端末用の IVE の設定
タスク サマリー: IVS のプロビジョニング
タスク サマリー: IVS サインイン ポートの設定
第 7章
システム設定
Web コンソールの System セクションにある設定を使用すると、IVE やユーザーの活動の
モニター、一般システムやネットワーク設定の指定、クラスタの設定、仮想システムの設
定、システム ログの表示などが行えます。
目次
„
279 ページの「Status ページの設定」
„
285 ページの「Configuration ページの設定」
„
310 ページの「Network ページの設定」
„
318 ページの「Clustering ページの設定」
„
333 ページの「Virtual Systems ページの設定」
„
334 ページの「Log Monitoring ページの設定」
„
277
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
278
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Status ページの設定
Status ページには、以下のタブがあります。
„
279 ページの「Overview タブ」- このタブを使用して、システム許容能力の使用状況
の表示、グラフからの XML データのダウンロード、グラフに表示するデータの指定、
グラフ外観の設定、クリティカルなシステム イベントの表示、現在のサービス パッ
ケージのダウンロード、システムの日付と時間の編集を行います。
„
282 ページの「Active Users タブ」- このタブを使用して、IVE にサインインしたユー
ザーを監視します。
„
283 ページの「Meeting Schedule タブ」- このタブを使用して、スケジュールされた
ミーティングの表示、および取り消しを行います。
Overview タブ
Web コンソールにサインインして System > Status ページを選択すると、Overview タブ
が表示されます。このタブには、IVE サーバーおよびシステム ユーザーに関する詳細情報
が表示されます。他の Web コンソール ページで変更を行うと、Overview タブの対応する
情報が更新されます。
メモ : System > Status タブの読み取り権限や書き込み権限を持たない委任管理者を含
め、すべての管理者にとって、このタブはホーム ページとなります。
システム許容能力の表示
Access Series アプライアンスの Central Manager ダッシュボードには、システム許容能力
の使用状況がグラフ表示されます。このグラフを見れば、日常的にどれだけのシステム能
力を使用しているのかを一目で把握できます。
この情報を別の場所でレポート データとして表示するには、Maintenance >
Import/Export > Configuration ページのオプションを使用して、XML ファイルとしてエ
クスポートします。
Web コンソールを開いて、System > Status > Overview タブを選択すると、これらのグ
ラフが表示されます。これらのグラフは次の情報を簡単に表示します。
„
Concurrent Users - このグラフは、IVE にサインインしているユーザー数を示しま
す。クラスタ環境では、グラフに 2 行表示されます。1行目は、ドロップダウン リス
トから選択したノードにサインインしているローカル ユーザー数を示します。2行目
は、クラスタ全体にサインインしている同時使用ユーザー数を示します。
„
Concurrent Meetings - このグラフは、現在進行中のミーティングの数を示します。
クラスタ環境では、グラフに 2 行表示されます。1行目は、ドロップダウン リスト
から選択したノードで実行中のミーティングの数を示します。2行目は、クラスタ全
体で実行中のミーティングの数を示します。
„
Hits Per Second - このグラフは、IVE が現在処理中のヒット数を示します。クラスタ
環境では、グラフに表示するノードのデータを決定するために、ドロップ ダウン リ
ストから IVE を選択することができます。グラフには、4 行 (ヒット数、Web ヒット
数、ファイル ヒット数、クライアント / サーバー ヒット数)が表示されます。
„
CPU and Virtual (Swap) Memory Utilization - このグラフは、現在の CPU の使用率
と利用可能なメモリを示します。クラスタ環境では、グラフに表示するノードのデー
タを決定するために、ドロップ ダウン リストから IVE を選択することができます。
Status ページの設定
„
279
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Throughput - このグラフは、現在処理中のデータの量を(KB 単位で)示します。
クラスタ環境では、グラフに表示するノードのデータを決定するために、ドロップ
ダウン リストから IVE を選択することができます。グラフには、4 行(外部入力、外
部出力、内部入力、内部出力)表示されます。
また、Page Settings ウィンドウを使用して、IVE がダッシュボードに表示するグラフを設
定したり、IVE が追跡する期間を指定できます。
グラフからの XML データのダウンロード
グラフ データを XML ファイルにダウンロードするには、次の操作を実行します。
1.
Web コンソールで、System > Status > Overview を選択します。
2.
ダウンロードするグラフに対応する Edit リンクをクリックします。
3.
XML ファイルを保存するディレクトリを指定し、Save をクリックします。
グラフに表示する時間の範囲とデータの指定
グラフに表示する時間の範囲とデータを指定するには、次の操作を実行します。
1.
Web コンソールで、System > Status > Overview を選択します。
2.
Page Settings をクリックします。
3.
表示する使用状況グラフを選択します。
4.
グラフに表示する時間の範囲を選択します。1 時間~ 1 年まで時間間隔を指定で
きます。
5.
グラフを更新する頻度を指定します。
6.
Save Changes をクリックします。
グラフの表示設定
グラフに表示される色や線を指定するには、次の操作を実行します。
1.
Web コンソールで、System > Status > Overview を選択します。
2.
変更するグラフに対応する Edit リンクをクリックします。
3.
Graph Settings のダイアログ ボックスの設定を使用して、背景色、グラフの線の色、
文字色、線の色、線の幅を選びます。
4.
Save Changes をクリックします。
クリティカルなシステムイベントの表示
Access Series アプライアンスの Central Manager のダッシュボードでは、重要な最新シス
テム イベントを 10 個表示できます。Event Monitor ウィンドウを使用すると、システム
のクリティカルな問題にアクセスし、解決に取り組むことができます。Web コンソールを
使用して標準的な保守や設定タスクを実行しているときでも、Event Monitor ウィンドウ
を開けば、このウィンドウによって、引き続きシステム イベントを監視できます。
重要なシステム イベントを確認するには、次の操作を実行します。
1.
280
„ Status ページの設定
Web コンソールで、System > Status > Overview を選択します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
Critical Events をクリックします。Event Monitor ウィンドウに、システムのログ
ファイルに記録された重要なイベントについて、その重要度やメッセージが表示され
ます。
3.
最新のイベントを表示するには、Refresh をクリックします(オプション)。
4.
See All をクリックし、System > Log/Monitoring > Events > Log タブを表示しま
す。このタブには、情報イベントから重要イベントまで、すべてのイベントが表示さ
れます(オプション)。詳細については、334 ページの「Log Monitoring ページの設
定」を参照してください。
現在のサービス パッケージのダウンロード
System > Status > Overview タブでは、IVE に現在インストールされているサービス
パッケージをダウンロードできます。これを保存して別の IVE に簡単にインストールでき
ます。
現在のサービス パッケージをダウンロードするには、次の操作を実行します。
1.
Web コンソールで、System > Status > Overview を選択します。
2.
Download Package(Central Manager バージョン)または System Software Pkg
Version の横にあるリンクをクリックします。
3.
Save をクリックします。
4.
サービス パッケージの名前と場所を指定します。
5.
Save をクリックします。
システムの日付と時刻の変更
システム イベントやユーザー ファイルの転送を正確に記録するには、サーバーの時刻を
設定する必要があります。Network Time Protocol(NTP)サーバーを使用して、IVE を一
連のコンピュータと同期できます。また、IVE の時刻を手動で設定することもできます。
システムの日付と時刻を変更するには、次の操作を実行します。
1.
Web コンソールで、System > Status > Overview を選択します。
2.
System Date & Time セクションで、Edit をクリックします。
3.
Time Zone メニューからタイムゾーンを選択します。サマータイムに該当する場合、
時刻は自動的に調整されます。
4.
次のいずれかの方法でシステム時刻を設定します。
5.
„
Use NTP server - Use NTP server オプションを選択して、サーバーの IP アドレ
スまたは名前を入力し、更新間隔(Update Interval)を指定します。
„
Set Time Manually - Set Time Manually オプションを選択し、日時の値を入力
します。または、Get from Browser をクリックし、Date フィールドと Time
フィールドに値を自動的に入力することもできます。
Save Changes をクリックします。
Status ページの設定
„
281
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Active Users タブ
Active Users ページを使用して IVE にサインインしたユーザーを監視します。各ユーザー
の名前、認証領域、ロール、サインイン時間などがリストに表示されます。
メモ :
„
セキュア ミーティングにサインインしている非 IVE ユーザーは、「Secure Meeting
User Role」ロールのメンバとして表示されます。
„
IVE は Secure Meeting に出席するために IVE にサインインしている非 IVE ユーザー
の Realm 列と Role 列に「N/A」を表示します。
IVE にサインインしたユーザーを監視するには、次の操作を実行します。
1.
Web コンソールで、System > Status > Active Users を選択します。
2.
次のタスクを実行します(オプション)。
„
IVE セッションからのユーザーのサインアウト
‰
1 人以上のエンドユーザーまたは管理者を強制的にサインアウトさせるに
は、該当する名前の横にあるチェックボックスをオンにして、Delete
Session をクリックします。
‰
現在サインインしているすべてのエンド ユーザーを強制的にサインアウト
させるには、Delete All Sessions をクリックします。
メモ : 管理者をサインアウトさせるには、管理者を個別に選択して、Delete Session ボ
タンを使用します。
282
„ Status ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
サインインした全ユーザーの動的ポリシー評価の実行
‰
„
„
認証ポリシー、ロール マッピング規則、ロール制限ユーザー ロール、リ
ソース ポリシーを、現在サインインしているすべてのユーザーについてす
べて手動で評価するには、Refresh Roles をクリックします。認証ポリシー、
ロール マッピング規則、ロール制限、またはリソース ポリシーを変更し、
すべてのユーザーのロールをすぐに更新したい場合には、このボタンを使用
します。詳細については、43 ページの「ダイナミック ポリシー評価」を参
照してください。
表示するデータと順序の設定
‰
特定のユーザーを表示するには、Show Users Named フィールドにユーザー
名を入力し、Update をクリックします。ユーザーの正確なユーザー名が分
からない場合は、ワイルドカード文字の * を使用します。たとえば、
“Joseph Jones” という名前のユーザーがいて、そのユーザー名が “Joe” また
は “Joseph” のどちらであったか思い出せない場合、Show Users Named
フィールドに Jo* と入力します。これでユーザー名が jo で始まるすべての
ユーザーが表示されます。
‰
Active Users ページに表示するユーザーと管理者の人数を設定するには、
Show N users フィールドに人数を入力し、Update をクリックします。
‰
現在サインインしているユーザーおよび管理者の表を並び替えるには、列の
ヘッダをクリックします。
‰
ページの内容を更新するには、Update をクリックします。
関連タブのリンク
‰
ユーザーの認証領域を編集するには、名前の横にある Realm リンクをク
リックし、427 ページの「認証領域の作成」の説明に従ってください。
‰
ユーザーのロールを編集するには、名前の横にある Role リンクをクリック
し、439 ページの「Delegation ページの設定」(管理者の場合)または 452
ページの「Roles ページの設定」(エンドユーザーの場合)で説明している
手順を実行してください。
Meeting Schedule タブ
スケジュールされたミーティングの表示と取り消し
IVE で現在スケジュールされている全ミーティングを表示したり、必要に応じてミーティ
ングをキャンセルするには、Meeting Schedule ページを使用します。(Secure Meeting の
オプションの説明については、164 ページの「セキュア ミーティングの概要」 を参照し
てください。)
スケジュールされたミーティングを表示または取り消すには、次の手順を実行します。
1.
Web コンソールで、System > Status > Meeting Schedule を選択します。は、現在
実行中またはスケジュールされているすべてのミーティングに関する情報をリアルタ
イムで表示します。
„
Time and Status - 実行するようにスケジュールされているミーティングの時間
と期間だけでなく、ミーティングの現在の状態も表示します。
„
Meeting Details - ミーティング名、ID、およびパスワード要件を表示します。
この列には、ミーティングに関する情報を表示したり、ミーティングに参加する
ために使用することができる Details リンクも含まれています。
Status ページの設定
„
283
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
„
Meeting Role - ミーティング作成者のロールを表示します。作成者がミーティ
ングを作成したときに、複数のロールにサインインしていた場合 ( つまり、作
成者が複数のロールのメンバで、アプライアンスが結合許可に設定されている
場合 )、Secure Meeting は 490 ページの「Options タブ」に説明されているガイ
ドラインに従ってロールを選択します。
„
Attendee Roles - ミーティングにサインインしている参加者のロール、各ロー
ルにサインインしている参加者の数、および各ロールのミーティング参加者の制
限が表示されます。IVE ユーザーではない参加者は、ミーティング作成者のユー
ザー ロールの下に表示されます。ロールに参加者が割り当てられる仕組みとロー
ルごとの制限を設定する方法については、490 ページの「ユーザー ロールの
ミーティング機能の有効化および設定」を参照してください。
ミーティング画面を変更するには、以下のいずれかの方法を実行します
(オプション)。
„
„
表示するミーティングを制限するには、ドロップダウン リストから、期間
(Daily、Weekly、In Progress、Scheduled)を選択します。
下線が表示された列のヘッダをクリックすると、現在表示されているミーティン
グを並び替えることができます。
3.
ミーティングの情報を表示したり、ミーティングに参加する(オプション)には、
ミーティングの下にある Details リンクをクリックします。
4.
ミーティングをキャンセルするには、右側の列にある削除アイコンをクリックします
(オプション)。
メモ : ミーティングをキャンセルすると、IVE から完全に削除されます。キャンセルし
たあとでミーティングを元に戻すことはできません。
284
„ Status ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Configuration ページの設定
Configuration ページには、次のタブがあります。
„
285 ページの「Licensing タブ」- IVE のライセンス情報を入力または更新するには、
このタブを使用します。
„
291 ページの「Security ページ」- デフォルトのセキュリティ設定を指定するには、
このページを使用します。
„
293 ページの「Certificates タブ」- サーバー、クライアント、およびコード署名の証
明書の IVE へのアップロードをし、IVE からの証明書のダウンロード、証明書の更
新、証明書の削除、証明書と仮想ポートの関連付け、新規証明書用の証明書署名要求
(CSR) の作成、CSR からの署名済み証明書のインポート、CRL チェックの有効化、証
明書の詳細表示などを実行するには、これらのタブを使用します。
„
307 ページの「NCP タブ」- Windows および Java クライアント用 NCP オプションを
設定するにはこのタブを使用します。
„
308 ページの「Client Types タブ」- ユーザー エージェントを管理するには、このタ
ブを使用します。
Licensing タブ
IVE アプライアンスでは、初めに IVE1 への基本的なアクセスを可能とするライセンスが
提供されます。ただし、アプライアンスの機能をフルに活用するには、Juniper Networks
License Management System にアクセスし、Licensing Hardware ID および Authorization
Code(s) を供給してライセンス キーを取得し、管理者 Web コンソール にサインインして、
Juniper Networks から取得したライセンス キーを入力する必要があります。
Licensing Hardware ID は一意の 16 文字のコードで、Juniper Networks はライセンス キー
を生成する際にこれを使用してユーザーの IVE を識別します。IVE の Licensing Hardware
ID は、シリアル コンソールのメニュー オプションの上、および管理者 Web コンソール
の下部にあります。
Authorization Code は、ユーザーまたはユーザーの会社が IVE 用に購入した Secure Access
ライセンス キーを生成およびアクティブ化するのに必要な合鍵です。IVE と関連製品およ
び機能ライセンスを購入した後に、IVE とは別に Authorization Code(s) を受け取ります。
1. 基本 IVE ライセンスでは、5 つのローカル ユーザー アカウントを作成でき、2 名のユーザーが同時にサインインでき
ます。また基本的な Web、Windows、および UNIX/NFS ファイル ブラウジング機能を提供します。
Configuration ページの設定
„
285
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 50: ライセンス キーの生成とアクティベーション
Obtain your Juniper
Networks Secure
Access Authorization
Code
Obtain your Juniper
Networks Secure
Access Licensing
Hardware ID
Sign in to Juniper Networks
License Management System
at
http://www.juniper.net/
generate_license
Receive Juniper
Networks
Secure Access
license keys
Enter Juniper
Networks Secure
Access license keys
in Secure Access
administrator Web
console
286
„ Configuration ページの設定
Supply your Juniper
Networks Secure
Access Appliance
Serial Number
(when upgrading
SA 1000, SA 3000,
and SA 5000 license
keys only)
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Juniper Networks License Management System からダウンロードするパッケージまたは、
Juniper Networks から受け取る E メールには、次のような異なるタイプのライセンスが含
まれています。
„
IVE ユーザー ライセンス キー - IVE ユーザー ライセンス キーに指定された数の
ユーザーをホストすることができます。IVE ユーザー ライセンス キーは 追加型であ
り、追加のユーザー ライセンス キーを取得して構成に追加すると、IVE にアクセス
できるユーザーの数を増やすことができます。たとえば、最初に SA4000-ADD-100U
ライセンスを購入し、将来に別の SA4000-ADD-100U ライセンスを購入する場合、
IVE は最大 200 ユーザーに対応できるようになります。
„
IVE アクセス機能ライセンス キー - IVE アクセス機能ライセンス キーを使用する
と、IVE でアクセス メソッドを有効化できます。アクセス機能ライセンス キーでは、
Network Connect や Secure Application Manager、Secure Meeting、およびアドバンス
ト アクセス機能ライセンスなど、さまざまなアクセス メソッドを使用できます。
„
IVE クラスタ ライセンス キー - IVE クラスタ ライセンス キーは、IVE 間のクラスタ
リング動作を有効にします。IVE クラスタ ライセンス キーは IVE ユーザー ライセン
ス キーとともに購入できますが、そのクラスタの IVE にアクセスできるユーザーの
数は、IVE クラスタ ライセンス キーが許可する最大ユーザー数に制限されます。IVE
u ユーザー ライセンス キーと同様に、IVE クラスタ ライセンス キーは追加型 であ
り、その後に追加のライセンス キーを購入することにより、クラスタにアクセスで
きるユーザーの数を増やすことができます。たとえば、最初に SA4000-CL-100U ライ
センスを購入し、将来に別の SA4000-CL-100U ライセンスを購入する場合、IVE は最
大 200 ユーザーに対応できるようになります。追加の SA4000-ADD-100U ベースの
IVE ライセンス キーを購入すると、ユーザー ライセンス キーにより最大 200 ユー
ザーまで収容できますが、IVE の cluster には 100 ユーザーのみが収容可能です。ク
ラスタリングの詳細については、178 ページの「クラスタの概要」および 318 ページ
の「Clustering ページの設定」を参照してください。
メモ : クラスタ操作を可能にするには、クラスタのすべてのノードは一次クラスタ IVE
上のライセンス キーと同じものにする必要があります。
„
IVE Lab ライセンス キー - Lab ライセンス キーを使用すると、最新機能の購入や実
働中のネットワークでの展開を決定する前に、新しい IVE 機能を「テスト」または
「実験」環境で配備できます。Lab ライセンス キーは 52 週間有効で、限定された数の
ユーザーにアクセス権を与えます。複数の Lab ライセンス キーを購入できますが、
アクセス権限を与えるユーザーの数は増えません。ただし、52 週間のライセンス期
間はライセンスの数だけ増やすことができます (104 週 , 156 週など )。たとえば、
SA4000-LAB ライセンスを 2 つ購入すると、アクセス権を 10 ユーザーに 104 週間 (52
週 x 2) 与えることができます。
„
IVE 評価ライセンス キー - 評価ライセンス キーでは、ライセンス キーの購入や新
しい IVE 機能の永続的な有効化を決定する前に、最新の IVE 機能を限定された期間有
効にして展開することができます。評価ライセンス キーの有効期間は 1 週間、2 週
間、または 4 週間です。
System > Configuration > Licensing タブを使用して、サイトのライセンス キーの入力、
有効期限の表示、これらの削除(必要な場合)を行います。
メモ : Licensing タブから参照できる使用許諾条件を読んでから、ライセンスを送信し
てください。Licensing タブに表示される使用許諾条件は、初期セットアップ時にシリア
ル コンソールに表示されたものと内容は同じです。
Configuration ページの設定
„
287
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
新規 IVE ライセンス キーの作成または交換する IVE へのライセンス キーの転送
新規 IVE ライセンス キーを作成、または交換する IVE へライセンス キーを転送するには、
次の操作を実行します。
1.
Licensing Hardware ID と Authorization Code(s) が使用可能であることを確認してくだ
さい。
IVE の Licensing Hardware ID は、シリアル コンソールのメニュー オプションの上、
および管理者 Web コンソールの下部にあります。
IVE と関連製品および機能ライセンスを購入した後に、IVE とは別に Authorization
Code(s) を受け取ります。
2.
https://www.juniper.net/generate_license により Juniper Networks License Management
System にアクセスします。
メモ : Juniper Networks License Management System では、Juniper Networks ライセンス
についての詳細情報を入手できるアクセス ポイントを用意しています。この情報には、
ユーザーまたはユーザーの会社に登録されているすべてのライセンスや、特定の
Licensing Hardware ID に関連付けられた現在のライセンスが含まれています。
この場所の情報にアクセスするには、Juniper Networks Customer Support Center の有効
なユーザー ID とパスワードが必要です。Juniper Networks Customer Support Center ユー
ザー ID とパスワードを入手するには、https://www.juniper.net/customers/support/ により
Customer Support Center サイトにアクセスします。
3.
Secure Access SSL VPN リンクをクリックして、新しい IVE ライセンス キーを生成す
るか、Generate Replacement License for RMA Device をクリックして、交換する
IVE の既存のライセンスに基づきライセンス キーを作成します。
メモ : Generate Replacement License for RMA Device は、RMA ハードウェアの交換の
ためにのみ用意されています。これは、間違って作成されたライセンス キーの交換には
使用できません ( たとえば、ライセンスを購入した本来の IVE 以外の IVE に、
Authorization Code を使用してライセンスを作成した 場合など )。
4.
5.
Generate Licenses ページで、次の操作を実行します。
„
一台のみの IVE ライセンス キーを作成する場合は、Licensing Hardware ID およ
び 1 つまたは複数の Authorization Code を該当するフィールドに入力します。
„
複数の IVE のライセンス キーを一度に作成するには、Generate License Keys for
Multiple SSL VPN Devices をクリックし、画面の手順に従ってライセンス キーの
生成に必要な Excel ファイルを作成します。
Generate をクリックします。
Confirm License Information ページが表示され、License Management System にあ
なたが送信した情報の概要が表示されます。
6.
この情報を見直して、すべての情報が正しいことを確認し、Generate License をク
リックします。
Generate License SSL VPN ページが表示され、新しいライセンス キーの詳細を表示
するリンクを含む、ライセンス キーの概要が表示されます。
7.
288
„ Configuration ページの設定
Download/Email をクリックし、ファイル形式と新しいライセンス キーの入手に使用
する発送方法を指定します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ライセンス キーをダウンロードまたは E メールにより受け取ったら:
1.
Web コンソールで、System > Configuration > Licensing を選択します。
2.
License agreement リンクをクリックします。使用許諾条件を読んで、同意する場合
には次の手順に進みます。
3.
ライセンス キーを入力し、Save Changes をクリックします。
IVE ライセンス キーのアップグレード
Remote Access 500、Secure Access 1000、Secure Access 3000、Secure Access 5000、また
は Secure Access FIPS アプライアンスを使用しており、IVE 上のイメージを 5.1 以降に
アップグレードした後にライセンス キーをアップグレードしたい場合は、次の手順を
行って、新しいライセンス キーを作成し、入力する必要があります。アップグレードの際
に IVE は既存のライセンス情報を保持するため、購入するライセンス アップグレードの
新しいライセンス キーを確認して作成するだけで済みます。286 ページの図 50 にライセ
ンス生成プロセスの主な手順を示します。
メモ : ライセンス キーのアップグレードを古い IVE に関して行う場合は、Juniper
Networks License Management System は、あなたが作成する新しいライセンス キーに
ついての情報や、あなたが購入し IVE に入力する将来のライセンス キーの情報を保持し
ます。古いライセンス キーの詳細にはアクセスできません。Juniper Networks では、
バージョン 5.1 より古いソフトウェアのライセンス キー情報を確認することはできませ
ん . 間違ってライセンス情報を削除した場合は、Customer Support Center ケースマネー
ジャー経由で Juniper Customer Care までお問い合わせください。
„
1-800-638-8296 ( 米国およびカナダ )
„
1-408-745-9500 ( インターナショナル )
Juniper Customer Care ではあなたに代わって申し出を処理し、紛失したライセンス キー
の記録を提供します。
IVE ライセンス キーをアップグレードするには、次の操作を実行します。
1.
Licensing Hardware ID と Authorization Code(s) が使用可能であることを確認してくだ
さい。
IVE の Licensing Hardware ID は、シリアル コンソールのメニュー オプションの上、
および管理者 Web コンソールの下部にあります。
IVE のソフトウェアとライセンス キーをアップグレードするには、IVE を当初購入し
たベンダーから追加機能ライセンスの Authorization Code(s) を受け取ります。
Configuration ページの設定
„
289
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
https://www.juniper.net/generate_license により Juniper Networks License Management
System にアクセスします。
メモ : Juniper Networks License Management System では、Juniper Networks ライセンス
についての詳細情報を入手できるアクセス ポイントを用意しています。この情報には、
ユーザーまたはユーザーの会社に登録されているすべてのライセンスや、特定の
Licensing Hardware ID に関連付けられた現在のライセンスが含まれています。
この場所の情報にアクセスするには、Juniper Networks Customer Support Center の有効
なユーザー ID とパスワードが必要です。Juniper Networks Customer Support Center ユー
ザー ID とパスワードを入手するには、https://www.juniper.net/customers/support/ により
Customer Support Center サイトにアクセスします。
3.
Secure Access SSL VPN リンクをクリックして、新しい IVE ライセンス キーを生成す
るか、Generate Replacement License for RMA Device をクリックして、交換する
IVE の既存のライセンスに基づきライセンス キーを作成します。
メモ : Generate Replacement License for RMA Device は、RMA ハードウェアの交換の
ためにのみ用意されています。これは、間違って作成されたライセンス キーの交換には
使用できません ( たとえば、ライセンスを購入した本来の IVE 以外の IVE に、
Authorization Code を使用してライセンスを作成した 場合など )。
4.
Generate Licenses ページで、次の操作を実行します。
„
一台のみの IVE ライセンス キーを作成する場合は、Licensing Hardware ID およ
び 1 つまたは複数の Authorization Code を該当するフィールドに入力します。
„
複数の IVE のライセンス キーを一度に作成するには、Generate License Keys for
Multiple SSL VPN Devices をクリックし、画面の手順に従ってライセンス キーの
生成に必要な Excel ファイルを作成します。
5.
Generate をクリックします。
6.
IVE のシリアル番号を Serial Number フィールドに入力します。プロンプトされたと
きに IVE のシリアル番号を入力しない場合は、ライセンス生成ポータルは ステップ
4 で入力された Licensing Hardware ID を自動的に使用します。
7.
Generate を再度クリックします。
Confirm License Information ページが表示され、License Management System にあ
なたが送信した情報の概要が表示されます。
8.
この情報を見直して、すべての情報が正しいことを確認し、Generate License をク
リックします。
Generate License SSL VPN ページが表示され、新しいライセンス キーの詳細を表示
するリンクを含む、ライセンス キーの概要が表示されます。
9.
Download/Email をクリックし、ファイル形式と新しいライセンス キーの入手に使用
する発送方法を指定します。
ライセンス キー アップグレードをダウンロードまたは E メールにより受け取ったら:
1.
290
„ Configuration ページの設定
Web コンソールで、System > Configuration > Licensing を選択します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
License agreement リンクをクリックします。使用許諾条件を読んで、同意する場合
には次の手順に進みます。
3.
ライセンス キーを入力し、Save Changes をクリックします。
Security ページ
IVE のデフォルトのセキュリティ設定を変更するには、System > Configuration >
Security ページを使用します。ただし、ユーザーが特定のブラウザを使用できない場合
や、特定の Web ページにアクセスできない場合には、デフォルト設定を変更する必要が
あります。さらに、同じ IP アドレスからの DOS/DDOS/ パスワード解読攻撃から IVE と
バックエンド システムを保護するロックアウト オプションを設定することもできます。
システム全体のセキュリティ オプションの設定
特定の Web ページにアクセスするときにブラウザ問題が発生した場合には、次の設定を
調整してみてください。
„
Allowed SSL and TLS Version - IVE ユーザーへの暗号化要求を指定します。IVE は
oNCP と セキュア E メール クライアントを含むすべての Web サーバー トラフィック
と、Pocket PC と iMode を含むすべてのタイプのクライアントにこの設定を提供しま
す。(IVE のデフォルト設定では、SSL バージョン 3 と TLS を使用するように設定され
ています。) SSL バージョン 2 を使用する旧バージョンのブラウザは、ブラウザを
アップデートするか、SSL のバージョン 2、バージョン 3、TLS に対応できるように
IVE の設定を変更する必要があります。
„
Allowed Encryption Strength - デフォルトでは、IVE が要求する暗号化の長さは
128 ビットです。また、IVE が 168 ビット暗号化を要求するように指定することも
できます。米国輸出規制法が改定される前までは海外輸出用に 40 ビット サイ
ファー暗号化の使用が許されていたため、2000 年以前のブラウザでは、40 ビット
暗号化を使用できます。ユーザーは 128 ビット暗号化に対応するブラウザにアップ
デートするか、40 ビット暗号化にも対応するように暗号化強度の設定を変更する
必要があります。
メモ : IVE で 168 ビット暗号化を使用すると、一部の Web ブラウザについて、接続が
168 ビットでも、128 ビット暗号化と表示される場合があります。これはブラウザの機
能上の制限である場合もあります。
„
Basic Authentication Intermediation - ユーザーが、基本的な認証のチャレンジを送
信する Web リソースにアクセスする場合、IVE はそのチャレンジを傍受して、中間
サインイン ページを表示し、Web リソースの証明書を収集してからチャレンジ / 応
答のシーケンスとともに証明書を再書き込みします。Basic Authentication
Intermediation オプションには以下の内容が含まれます。
„
Enable intermediation - IVE はチャレンジ / 応答のシーケンスを仲介します。
このオプションはプロキシ基本認証で常に有効になっている点に注意してくだ
さい。
„
Enable intermediation and single sign-in for intranet sites - IVE はチャレンジ /
応答シーケンスを仲介し、収集する証明書をキャッシュに保存し、証明書を使用
してシングル サインオンを有効にします (103 ページの「ステップ 5:IVE は
SSO 対応のリソースに認証情報を送信する」を参照 )。
„
Disable intermediation - IVE はチャレンジ / 応答のシーケンスを仲介しません。
IVE は、基本認証を必要とする Web プロキシにリクエストを常に仲介します。
Disable intermediation を選択した場合でも同じです。
Configuration ページの設定
„
291
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Delete all cookies at session termination - IVE は、最後の領域 cookie や最後にサ
インインした URL cookie などの永続 cookie をユーザーのマシンで設定します。セ
キュリティまたはプライバシーを高めたい場合は、これらを設定しないようにしま
す。
„
Include IVE session cookie in URL - Mozilla 1.6 および Safari は、Java Virtual
Machine にクッキーを渡さないため、ユーザーは J-SAM および Java アプレットを実
行できません。これらのブラウザをサポートするため、IVE は、J-SAM または Java ア
プレットを起動する URL にユーザー セッション cookie を含めることができます。デ
フォルトでは、このオプションは有効になっていますが、URL でクッキーを有効に
することに不安がある場合は、この機能を無効にします。
Lockout オプションの設定
以下の Lockout オプションを設定して、同一 IP アドレスからのサービス拒否攻撃 (DoS)、
分散サービス拒否攻撃 (DDoS)、およびパスワード解読攻撃から IVE および他のシステ
ムを保護します。
„
Rate - 1 分間に失敗できるサインイン回数を指定します。
„
Attempts - 最初のロックアウトをトリガーする前に失敗できるサインインの最大回
数を指定します。IVE は指定された試行回数をレートで除算して、サインインの試行
が許可されている最大初期時間を ( 分単位 ) で判定します。たとえば、180 回の試行
をレート 3 で除算すると、60 分という初期時間が出ます。60 分以内に 180 回以上の
サインインが試行された場合、IVE は失敗したサインイン試行で使用されている IP
アドレスをロックアウトします。
„
Lockout period - IVE が IP アドレスをロックアウトする時間(分単位)を指定します。
IVE は持続する攻撃にすばやく反応し、攻撃が弱まるとゆっくりと制限を緩和します。
ロックアウトが発生したあと、IVE は Rate を維持してゆっくりと回復します。前回のロッ
クアウト以降に発生した現在の失敗率が、指定された Rate を超過する場合、IVE は IP ア
ドレスをもう一度ロックアウトします。失敗率が Attempts/Rate 期間で指定された Rate
未満となる場合には、IVE は初期監視状態に戻ります。
たとえば、Lockout オプションで以下のような設定を使用する場合、IVE は以下のような
シナリオの期間中に IP アドレスをロックアウトします。
292
„ Configuration ページの設定
„
Rate=3 失敗サインイン試行数 / 分
„
Attempts=180 最大許可数 ( 初期時間 60 分 ) (180/3)
„
Lockout period=2 分
1.
同じ IP アドレスから 3 分間に 180 回のサインイン試行の失敗が発生します。
Attempts で指定した値が許可されている初期の 60 分間以内に発生しているため、
IVE はその IP アドレスを 2 分間ロックアウトします (4 分と 5 分目 )。
2.
6 分経過すると、IVE は IP アドレスのロックオンを解除して、3 回の失敗サインイン
試行数 / 分のレートを維持し始めます。6 分目、7 分目では失敗試行数が 1 分間に 2
回となり、IVE はアドレスをロックしません。ただし、8 分目に失敗したサインイン
試行回数が 5 回になると、3 分間で合計 9 回の失敗サインイン試行回数となり、IVE
はもう一度 IP アドレスを 2 分間ロックアウトします (9 分 と 10 分目 )。
3.
11 分目で、IVE は IP アドレスのロックオンを解除して、3 回の失敗サインイン試行 /
分のレートをもう一度維持し始めます。レートが 3 回 / 60 分の平均以下のままとなる
場合、IVE は初期監視状態に戻ります。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Certificates タブ
サーバー、クライアント、およびコード署名の証明書の IVE へのアップロード、IVE から
の証明書のダウンロード、証明書の更新、証明書の削除、証明書と仮想ポートの関連付
け、新規証明書用の証明書署名要求 (CSR) の作成、CSR からの署名済み証明書のインポー
ト、CRL 確認の有効化、証明書の詳細表示などを実行するには、以下の Certificates サブ
タブを使用します。
„
293 ページの「IVE Certificates タブ」
„
297 ページの「Trusted Client CAs タブ」
„
305 ページの「Trusted Server CAs タブ」
„
306 ページの「Code-Signing Certificates タブ」
IVE Certificates タブ
IVE は、PKCS #12 (ファイル拡張子は、.pfx および .p12 を含む)とともに、DER および
PEM エンコード形式(ファイル拡張子は、.cer、.crt、.der、および .pem)の X.509
サーバー証明書をサポートします。
ルート証明書および秘密鍵のインポート、中間証明書のインポート、証明書の仮想ポート
との関連付け、証明書署名要求 (CSR)、および CSR により作成された証明書のインポート
などを実行するには、System > Configuration > Certificates > IVE Certificates タブを
使用できます。
既存のルート証明書と秘密鍵のインポート
Apache や IIS、Sun ONE (旧 iPlanet)または Netscape などのサーバから Web サーバ証明
書を作成して、その証明書を IVE にインポートすることができます。デジタル サーバ証明
書と鍵をエクスポートするには、Web サーバの証明書のエクスポート方法を参照して、
その説明に従ってください。次に、Server Certificates タブを使用して、これらのファイ
ルをインポートします。
メモ :
„
別の Web サーバーから証明書をエクスポートするときには、証明書は暗号化し、
証明書とともにパスワードもエクスポートする必要があります。
„
Web サーバー証明書の秘密鍵を Access Series FIPS OS にインポートすることはでき
ません。秘密鍵は非 FIPS 準拠の環境で作成されるからです。ただし、別の IVE から
セキュリティ ワールドとともに証明書をインポートすることは可能です。詳細につ
いては、574 ページの「Import/Export ページの設定」を参照してください。
既存のルート サーバー証明書と秘密鍵をインポートするには、次の操作を実行します。
1.
Web コンソールで、System > Configuration > Certificates > IVE Certificates を
選択します。
2.
Import Certificate & Key をクリックします。
3.
証明書をインポートするためのフォームを次の中から選択します。
„
証明書と鍵が 1 つのファイルに入っている場合は、if certificate file includes
private key フォームを使用します。
„
証明書と鍵が別のファイルに入っている場合は、if certificate and private key
are separate files フォームを使用します。
Configuration ページの設定
„
293
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
証明書と鍵が 1 つの IVE 設定ファイルに入っている場合は、Import via IVE
configuration file フォームを使用します。このオプションを選ぶ場合、IVE は、
構成ファイルで指定した全部の証明書を IVE Certificates ページ(秘密鍵と申請
中の CSR を含むが対応するポートマッピングは含まない)にインポートします。
4.
該当するフォームで、証明書と鍵が入ったファイルを参照します。ファイルが暗号化
されている場合は、パスワード鍵を入力します。
5.
Import をクリックします。
既存の中間証明書のインポート
トラステッド CA によって発行された証明書チェーンを使用してトラフィックを安全にす
るように選択することもできます。その場合、IVE と Web ブラウザの両方に、全部の証明
書チェーンが含まれている必要があります (70 ページの「中間サーバー CA 証明書」を参
照 )。
を通じて証明書をインストールするとき、インストールする順番はありません。IVE は
PEM ファイルの 1 つ以上の中間 CA のアップロードをサポートします。
中間サーバー証明書と秘密鍵をインポートするには、次の操作を実行します。
1.
Web コンソールで、System > Configuration > Certificates > IVE Certificates を選
択します。
2.
ページ最上部の Intermediate IVE CAs リンクをクリックします。
3.
Import CA certificate をクリックします。
4.
IVE にアップロードしたい CA 証明書を参照し、Import Certificate をクリックし
ます。
既存の秘密鍵を使用する更新された証明書のインポート
サーバー証明書を更新するには、2 つの方法があります。
„
Submit a new CSR to a CA - CA によって新しい証明書と秘密鍵が保証され、古い秘
密鍵が廃棄されるため、このプロセスは証明書を更新する方法としては安全です。こ
の更新方法を使用するには、まず Web コンソールを通じて CSR を作成する必要があ
ります。詳細については、296 ページの「新しい証明書の証明書署名要求(CSR)の
作成」を参照してください。
メモ : Web サーバー証明書の秘密鍵を Access Series FIPS OS にインポートすることはで
きません。秘密鍵は非 FIPS 準拠の環境で作成されるからです。
„
Request renewal based on the CSR previously submitted to the CA - CA では既存の
秘密鍵を使用する証明書を発行するため、このプロセスは上記の方法よりも安全性は
劣ります。
メモ : 更新された証明書を要求するときには、元の CSR を再提出するか、現在の証明書
用に提出した CSR のレコードを CA が保有していることを確認する必要があります。
294
„ Configuration ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
既存の秘密鍵を使用する、更新されたサーバー証明書をインポートするには、次の操作を
実行します。
1.
以前に証明書を購入した CA の指示に従って、証明書を更新します。
メモ : 必ず、元の CSR と同じ情報を指定してください。CA では、この情報をもとに既
存の鍵に対応する新しい証明書を作成します。
2.
Web コンソールで、System > Configuration > Certificates > IVE Certificates を選
択します。
3.
中間証明書を更新する場合は、ページ最上部の Intermediate IVE CAs リンクをク
リックします。
4.
更新したい証明書に対応するリンクをクリックします。
5.
Renew Certificate をクリックします。
6.
Renew the Certificate フォームで、更新された証明書ファイルを参照し、証明書鍵の
パスワードを入力して、Import をクリックします。
IVE からのサーバー証明書のダウンロード
SAML リソース ポリシーを作成する場合は、IVE とアクセス管理システム間の信頼関係を
作成する必要があります (信頼関係により、SAML 対応システムは、信頼されたソースと
の間でのみ情報を交換します)。POST プロファイルを使用して SAML SSO リソース ポリ
シーを作成する場合は、信頼関係の作成の一部として、IVE のサーバー証明書をアクセス
管理システムにインストールします。Server Certificates ページでは IVE の証明書を簡単
にダウンロードし、その証明書をアクセス管理システムにインストールできます。
IVE からサーバー証明書をダウンロードするには、次の操作を実行します。
1.
Web コンソールで、System > Configuration > Certificates > IVE Certificates を選
択します。
2.
保存したい証明書に対応するリンクをクリックします。
3.
Download をクリックします。
4.
証明書を保存する場所を参照し、Save をクリックします。
仮想ポートと証明書の関連付け
複数のホスト名を 1 つの IVE と関連付ける場合は、異なるホスト名にユーザーがサイン
インするのを有効にするために IVE が使用する証明書を指定する必要があります。オプ
ションには以下のものがあります。
„
Associate all host names with a single wildcard certificate - この方法では、1 つの
ワイルドカード証明書を使用して、IVE にサインインするために使用するホスト名に
関係なく、すべてのユーザーを有効にします。ワイルドカード証明書は、ドメイン名
に変数要素を入れることにより、ユーザーが複数のホストからサインインして、「同
じ」ドメインにマッピングします。たとえば、*.yourcompany.com 用のワイルド
カード証明書を作成すると、IVE は同じ証明書を使用して、
employees.yourcompany.com にサインインするユーザを、
partners.yourcompany.com にサインインするユーザを認証するときと同じように認
証します。
Configuration ページの設定
„
295
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Associate each host name with its own certificate - この方法では、異なるホスト名
を異なる証明書に関連付けます。IVE は、エンド ユーザーが IVE にサインインするた
めに使用するホスト名を認識していないため、各ホスト名に仮想ポートを作成し、そ
の仮想ポートに自分の証明書を関連付ける必要があります。「仮想ポート」は、物理
ポート上で IP の別名をアクティブにします。たとえば、アプライアンスで 2 つの仮
想ポートを作成し、最初の仮想ポートを 10.10.10.1(sales.yourcompany.com)と
いう IP アドレスにマッピングし、2 番目の仮想ポートを 10.10.10.2
(partners.yourcompany.com)という IP アドレスにマッピングすることができます。
次に、IVE が異なる証明書を通じて異なるユーザを認証できるように、各仮想ポート
にそれぞれ証明書を関連付けます。
異なる仮想ポートと異なる証明書を関連付けるには、次の操作を実行します。
1.
Web コンソール で、System > Network > Internal Port タブ、または External Port
タブに移動します。次に、Virtual Ports ページの設定を使用して、仮想ポートを作成
します。
2.
ユーザー証明書を有効にするために使用するサーバー証明書をインポートします。
Web コンソールの System > Configuration > Certificates > IVE Certificates ページ
か、Web コンソールの Maintenance > Import/Export > System Configuration ペー
ジから証明書をインポートできます。
3.
System > Configuration > Certificates > IVE Certificates ページで、ユーザー証明
書を有効にするために使用する証明書に対応するリンクをクリックします。
4.
Present certificate on these ports で、IVE が証明書と関連付けるポートを指定しま
す。内部ポートまたは外部ポート、およびプライマリ ポートまたは仮想ポートを選択
できますが、すでに別の証明書と関連付けられているポートを選択することはできま
せん。
5.
Save Changes をクリックします。
6.
ユーザーの認証に使用する各証明書について、手順 3 ~ 6 を繰り返します。
新しい証明書の証明書署名要求(CSR)の作成
Web サーバーのデジタル証明書がない場合または Access Series FIPS システムを実行して
いる場合、Web コンソールを通じて CSR ( 証明書署名要求 ) を作成し、CA に送信します。
Web コンソールを通じて CSR を作成すると、その CSR に対応する秘密鍵がローカルで作
成されます。CSR を削除すると、このファイルも削除されるため、その CSR から生成さ
れた署名付き証明書をインストールできなくなります。
メモ : 複数の CSR を同時に CA に送信しないでください。変更が重複する恐れがありま
す。Server Certificates タブにある Certificate Signing Request Details リンクをクリック
して、以前に提出した保留中の要求に関する詳細を表示できます。
証明書署名要求を作成するには、次の操作を実行します。
296
„ Configuration ページの設定
1.
Web コンソールで、System > Configuration > Certificates > IVE Certificates を選
択します。
2.
New CSR をクリックします。
3.
必要な情報を入力して Create CSR をクリックします。
4.
画面には、CA に送る必要がある情報とその送信方法の説明が表示されます。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
画面の指示に従ってください。CA から署名付き証明書が返送されてきたら、以下の
説明に従って、証明書ファイルをインポートします。
メモ : CSR を CA に送信するときには、証明書を作成した Web サーバーの種類または証
明書を使用する Web サーバーの種類を指定するように求められる場合があります。この
場合には、apache を選択してください(apache に複数の選択肢がある場合は、どれか
1 つを選択してください)。また、証明書フォーマットのダウンロードを指示された場合
には、標準フォーマットを選択してください。
CSR により作成された署名付き証明書のインポート
Web コンソールを使用して CSR を作成すると、IVE の Server Certificates タブに、その
CSR の Pending CSR リンクが表示され、認証期間(CA)が配布する署名付きサーバー証
明書をインポートすると消えます。
CSR から作成された署名付きサーバー証明書をインポートするには、次の操作を実行し
ます。
1.
Web コンソールで、System > Configuration > Certificates > IVE Certificates を選
択します。
2.
Certificate Signing Requests で、署名付き証明書に対応する Pending CSR リンクをク
リックします。
3.
Import signed certificate で、CA から受け取った証明書ファイルを参照し、Import
をクリックします。
Trusted Client CAs タブ
System > Configuration > Certificates > Trusted Client CAs タブで、IVE 上のクライア
ント CA 証明書のインポート、設定、および維持に関連するいくつかのタスクを実行しま
す。この節は次のトピックから成ります。
„
298 ページの「IVE への トラステッド クライアント CA 証明書のアップロード」
„
299 ページの「トラステッド クライアント CA 証明書属性の指定」
„
301 ページの「OCSP オプションの指定」
„
302 ページの「OCSP レスポンダ オプションの指定」
„
302 ページの「CDP オプションの指定」
„
304 ページの「ユーザー領域のためのクライアント証明書の有効化」
メモ : IVE は、DER および PEM エンコード形式の X.509 CA 証明書をサポートして
います。
Configuration ページの設定
„
297
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVE への トラステッド クライアント CA 証明書のアップロード
IVE へのサインインにクライアント サイド証明書を必要とするには、対応する CA 証明書
を IVE にアップロードする必要があります。CA 証明書を手動でアップロードするか、CA
証明書を自動的にアップロードするように IVE を設定できます。IVE は、アップロードさ
れた証明書を使用して、ブラウザが送信された証明書の有効性を検証します。さらに、検
証用の CA 証明書のインポートを自動的に行うかどうかを指定でき、また CA 証明書を自
動的にインポートするときに IVE が使用する CRL/OCSP 取得メソッドを指定できます。
CRL および OCSP の詳細については、72 ページの「トラステッド クライアント CA」を参
照してください。
メモ :
„
クライアントサイド証明書を使用する場合は、ユーザーが IVE からサインアウトし
た後に、Web ブラウザを閉じるようにユーザーに通知することを強くお勧めしま
す。Web ブラウザを閉じないと、開いたままのブラウザ セッションを他のユーザが
使用して、再認証を行わなくても IVE にある証明書保護されたリソースにアクセス
できてしまいます (クライアントサイド証明書をロードした後、Internet Explorer
と Netscape は、どちらも証明書の識別情報と秘密鍵をキャッシュに保存します。ブ
ラウザは、ユーザーがブラウザを閉じるまで(場合によっては、ユーザーがワーク
ステーションを再起動するまで)、これらの情報を保持します。詳細については、以
下を参照してください。http://support.microsoft.com/?kbid=290345) ブラウザ
を閉じるように指示するメッセージを表示するには、System > Signing In >
Sign-in Pages タブでサインアウト メッセージを変更します。
„
CA 証明書を IVE にアップロードしても、クライアントサイド SSL 認証は有効にな
りません。クライアントサイド SSL 認証を有効にするには、証明書サーバーを使用
するか、Web コンソールの Administrators/Users > Authentication > [ 領域 ] >
Authentication Policy > Certificate ページで証明書の制限を有効にする必要があり
ます。
„
標準の IVE ユーザー ライセンスだけを所有している場合は、IVE に CA 証明書を 1
つしかインポートできません。
„
証明書チェーンを IVE にアップロードするときには、証明書を 1 度に 1 つずつ、
ルート証明書から降順にインストールする(DER または PEM ファイル)か、ファ
イルを、証明書チェーン全体を格納する IVE にインストールする(PEM ファイルの
み)必要があります。いずれかの方法で、IVE は証明書を正しい順序でリンクする
ことができます。
IVE 上にトラステッド クライアント CA 証明書を自動的にインポートしてオプションを指
定するには、次の操作を実行します。
1.
Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を
選択します。
2.
Auto-import options をクリックします。Auto-import options ページが表示されま
す。
3.
Auto-import Trusted CAs をクリックします。
4.
Client certificate status checking で、IVE がクライアント証明書のステータスを確認
するために使用するメソッドを指定します。
„
„
298
„ Configuration ページの設定
None - IVE はこのトラステッド クライアント証明書を検証しません。
Use OCSP - IVE は OCSP メソッドを使用して、クライアント証明書を必要に応
じてリアルタイムに検証します。このオプションを選択すると、301 ページの
「OCSP オプションの指定」の説明に従って OCSP のオプションを指定できます。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
„
Use CRLs - IVE はクライアント証明書を検証するために CRLs を使用します。こ
のオプションを選択すると、302 ページの「CDP オプションの指定」の説明に
従って OCSP のオプションを指定できます。
„
Use OCSP with CRL fallback - IVE は可能な場合 OCSP 検証メソッドを使用しま
すが、OCSP メソッドが失敗した場合 ( たとえば、OCSP レスポンダへのリンクが
失敗するなど ) は、CRL を使用してクライアント証明書を検証を試みます。この
オプションを選択すると、OCSP のオプション (301 ページの「OCSP オプション
の指定」を参照 ) および CDP のオプション (302 ページの「CDP オプションの指
定」を参照 ) を指定できます。
CDP(s)/OCSP レスポンダ で、関連するドロップダウン リストから次の CRL/OCSP 取
得メソッドを指定します。
„
None - IVE は CRL/OCSP 取得メソッドを使用しません。
„
From client certificate - IVE はクライアント証明書にある CRL/OCSP 取得メ
ソッドを使用します。
„
From trusted CA certificates - IVE はクライアント CA 証明書にある CRL/OCSP
取得メソッドを使用します。
6.
IVE に証明書を発行した CRL を検証させたい場合は、Verify imported CA certificates
オプションを有効にします。
7.
Save をクリックします。
CA 証明書を手動で IVE にアップロードするには、次の操作を実行します。
1.
ユーザーのブラウザを通じてクライアントサイド証明書をインストールします。詳細
については、ブラウザのヘルプを参照してください。
2.
Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を
選択します。
3.
Import CA Certificate をクリックします。Import Trusted Client CA ページが表示さ
れます。
4.
IVE にアップロードしたい CA 証明書を参照し、Import Certificate をクリックしま
す。Trusted Client CA ページが開き、証明書に有効化された証明書ステータス
チェックのタイプや、IVE がトラステッド クライアント CA を確認するよう設定され
ているかどうかを示す表示などの証明書属性を表示します。
5.
Save をクリックします。
手動で CA 証明書をインポートした後に、CA 証明書属性を指定できます (299 ページ
の「トラステッド クライアント CA 証明書属性の指定」を参照 )。
トラステッド クライアント CA 証明書属性の指定
トラステッド クライアント CA 証明書属性を指定するには
1.
Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を
選択します。
2.
表示したい証明書をクリックします。Trusted Client CA ページが開き、選択した証明
書の全情報が表示されます。
Configuration ページの設定
„
299
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
4.
5.
6.
Certificate で、次のフィールド名の隣にある矢印をクリックすると、証明書の詳細が
表示されます。
„
Issued To - 証明書の発行対象エンティティの名前と属性。
„
Issued By - 証明書を発行したエンティティの名前と属性。このフィールドの値
は、Issued To フィールド(ルート証明書の場合)またはチェーン内にある次の
証明書の Issued To フィールド(中間証明書の場合)のどちらかと一致する必要
があります。
„
Valid Dates - 証明書が有効である期間。証明書が期限切れの場合は、294 ページ
の「既存の秘密鍵を使用する更新された証明書のインポート」の手順を参照して
ください。
„
Details - バージョン、シリアル番号、署名アルゴリズム、CRL 配布点、公開鍵
アルゴリズムの種類、公開鍵など、証明書の各種詳細情報が記載されています。
IVE の Details フィールドに CRL 配布点が表示される場合もありますが、有効に
しなければ、CDP がチェックされません。詳細については、73 ページの「CRL」
を参照してください。
証明書を更新するには、次の操作を実行します。
a.
Renew Certificate をクリックします。
b.
IVE にアップロードしたい更新済み CA 証明書を参照し、Import Certificate をク
リックします。
CRL checking for client certificates で、この証明書に対して有効になっている CRL
の詳細を表示します。
„
Enable - IVE がこの CDP の CRL を使用するように設定されている場合は、
チェックマークが表示されます。
„
CRL Distribution Points - クライアント証明書が有効である CRL 配布点の場所。
このフィールドは、CDP から実行した最後の CRL ダウンロードの成否も表しま
す。
„
Status - CRL の状態(“OK”、“No CRL”、“Expired”、“Download in progress”)、
CRL サイズ、および CRL 内にある失効の数を表します。
„
Last Updated - IVE が CRL 配布点から最後に CRL をダウンロードした時期を表
します。また、IVE の現行 CRL バージョンを保存できるリンクもあります。
„
Next Update - IVE が CRL 配布点から次回 CRL をダウンロードする時期を表し
ます。ダウンロード間隔は、CRL および IVE CRL 設定ページの両方で指定されま
す。ここに示す値は、この 2 つの値のうち小さい方です。
Client Certificate Status Checking セクションで、IVE がクライアント証明書を検証
するために使用する次のメソッドを指定します。
„
300
„ Configuration ページの設定
None - IVE はこのトラステッド クライアント証明書を検証しません。
„
Use OCSP - IVE は OCSP メソッドを使用して、クライアント証明書を必要に応
じてリアルタイムに検証します。このオプションを選択すると、301 ページの
「OCSP オプションの指定」の説明に従って OCSP のオプションを指定できます。
„
Use CRLs - IVE はクライアント証明書を検証するために CRLs を使用します。こ
のオプションを選択すると、302 ページの「CDP オプションの指定」の説明に
従って OCSP のオプションを指定できます。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Use OCSP with CRL fallback - IVE は可能な場合 OCSP 検証メソッドを使用しま
すが、OCSP メソッドが失敗した場合 ( たとえば、OCSP レスポンダへのリンクが
失敗するなど ) は、CRL を使用してクライアント証明書を検証を試みます。この
オプションを選択すると、OCSP のオプション (301 ページの「OCSP オプション
の指定」を参照 ) および CDP のオプション (302 ページの「CDP オプションの指
定」を参照 ) を指定できます。
7.
IVE にトラステッド クライアント CA を検証させるには、Verify Trusted Client CA オ
プションを有効にします。
8.
Save Changes をクリックします。
OCSP オプションの指定
299 ページの「トラステッド クライアント CA 証明書属性の指定」の ステップ 6 で、Use
OCSP または Use OCSP with CRL fallback を選択すると、IVE は既知の OCSP レスポンダ
のリストを表示して、OCSP レスポンダの次のオプションを設定できます。
1.
OCSP レスポンダ設定を削除、有効化、または無効化するには、Delete、Enable、ま
たは Disable のボタンをそれぞれ使用します。
2.
OCSP オプションを設定する場合は、OCSP Options をクリックします。OCSP
Options ページが表示されます。
3.
IVE がトラステッド クライアント CA の検証に使用する OCSP レスポンダのタイプ
を、次のように Use ドロップダウン リストで指定します。
4.
„
None - IVE はこの CA が発行した証明書のステータスの確認に OCSP を使用し
ません。
„
Responder(s) specified in the CA certificate - IVE はインポートされたクライア
ント CA で指定されている OCSP レスポンダを使用して検証を行います。このオ
プションを選択すると、IVE はインポートされた CA ( 存在する場合 ) で指定され
ている OCSP レスポンダのリストと前回使用されたものを表示します。
„
Responder(s) specified in the client certificates - IVE はクライアント認証の際
に指定されたレスポンダを使用して、検証を実行します。このオプションを選択
すると、IVE は既知の OCSP レスポンダ ( 存在する場合 ) のリストと前回使用さ
れたものを表示します。
„
Manually configured responders - IVE は指定したアドレスで一次および二次
OCSP レスポンダを使用します。
Options セクションで、IVE が証明書検証リクエストに識別名で署名するかどうかを
指定し、また IVE が検証の際に Nonce を使用するかどうかを指定します。
メモ : nonce とは、IVE が OCSP リクエストに含めるランダムなデータで、OCSP レスポ
ンダは OCSP 応答で返します。IVE はリクエストと応答の nonce を比較して、その応答
が OCSP レスポンダにより生成されたことを保証します。両者が一致しない場合は、IVE
は応答を無視して、新しいリクエストを送信します。nonce はリプレイ攻撃を防ぐため
の一般的な方法です。
5.
Save Changes をクリックします。
Configuration ページの設定
„
301
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
OCSP レスポンダ オプションの指定
1 つまたは複数の OCSP レスポンダに OCSP レスポンダ署名者証明書のオプションを指定
するには、次の操作を実行します。
1.
設定する OCSP レスポンダの名前を OCSP responders リストでクリックします。
OCSP レスポンダのオプション指定ページが表示されます。
2.
Responder Signer Certificate のネットワーク パスまたはローカル ディレクトリの場
所を参照します。これは、OCSP レスポンダが応答の署名に使用する証明書です。署
名者証明書が応答に含まれていない場合は、Responder Signer Certificate ( レスポン
ダ署名者証明書 ) を指定する必要があります。
3.
レスポンダ署名者証明書に一致する OCSP レスポンダ証明書を許可したい場合は、
Trust Responder Certificate チェックボックスをオンにします。
4.
IVE および OCSP レスポンダが使用している証明書が最近呼び出されていないことを
保証するには、Revocation Checking オプションを有効にします。299 ページの「ト
ラステッド クライアント CA 証明書属性の指定」の ステップ 6 で Use OCSP with CRL
fallback オプションを指定した場合は、このオプションに影響します。
5.
時計の食い違いの値を Allow clock discrepancy フィールドで指定して、IVE と OCSP
レスポンダ間のタイムスタンプの不一致を補正します。不一致が大きい場合は、IVE
は OCSP レスポンダからの応答を古いまたは有効期限の切れたものとして無視しま
す。
6.
Save Changes をクリックします。
CDP オプションの指定
299 ページの「トラステッド クライアント CA 証明書属性の指定」の ステップ 6 で、Use
CRLs または Use OCSP with CRL fallback を選択した場合は、進行中のクライアントサイ
ド証明書の検証を確認するために、証明書の取り消しリスト (CRL) を有効にして、CRL 配
布点 (CDPs) から定期的にダウンロードすることができます。
1.
Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を
選択します。
2.
CRL チェックを有効にしたい証明書に対応するリンクをクリックします。
メモ : IVE は CRL 分割をサポートしているため、CRL distribution points で表示される
複数の CRL を見ることができます。これは、取り消しリストの分割部分が個別に識別さ
れず、派生元の CDP と見なされるためです。
3.
CRL Checking Options をクリックします。OCSP Checking Options ページが表示さ
れます。
4.
CRL Distribution Points で、IVE が CDP のアクセス情報を探す場所を指定します。オ
プションには以下のものがあります。
„
302
„ Configuration ページの設定
No CDP (no CRL Checking) - このオプションを選択すると、IVE は、CA が発行
した CRL をチェックしないため、CRL を発行した CDP にアクセスするのに、パ
ラメータを入力する必要がありません。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
CDP(s) specified in the Trusted CA Client - このオプションを選択すると、IVE
は、証明書内の CRL 配布点属性をチェックし、CRL Checking Options ページ内
で見つけた CDP の URI を表示します。CDP へのアクセスに必要なすべての情報
がその CA 証明書に含まれていない場合は、必要な追加情報を指定します。
‰
CDP Server: (LDAP のみ ) - CDP サーバーの場所を入力します。LDAP プロト
コルを使用する場合は、IP アドレスまたはホスト名
(例 : ldap.domain.com)を入力します。
‰
CRL Attribute:(LDAP のみ)CRL を含むオブジェクト上で LDAP 属性
(CertificateRevocationList など)を入力します。
‰
„
CDP(s) specified in client certificates - CDP へのアクセスに必要なすべての情
報がそのクライアント証明書に含まれていない場合は、必要な追加情報を指定し
ます。
‰
‰
‰
„
Admin DN, Password: (LDAP のみ)- CDP サーバーが CRL の匿名検索を許
可していない場合は、CDP サーバーへの認証に必要な管理者 DN とパス
ワードを入力します。
CDP Server(LDAP のみ)- CDP サーバーの場所を入力します。LDAP プロ
トコルを使用するときには、IP アドレスまたはホスト名 LDAP プロトコルを
使用する場合は、IP アドレスまたはホスト名(例 : ldap.domain.com)を入
力します。
CRL Attribute (LDAP のみ ) - CRL を含むオブジェクトで LDAP 属性
(例 :CertificateRevocationList)を入力します。
Admin DN, Password(LDAP のみ)- CDP サーバーが CRL の匿名検索を許
可していない場合は、CDP サーバーへの認証に必要な管理者 DN とパス
ワードを入力します。
Manually configured CDP - このオプションを選択すると、指定した CDP に
IVE がアクセスします。プライマリ CDP の URL を入力し、オプションでバック
アップ CDP の URL を入力します。LDAP サーバーの場合は、次の構文を使用し
ます。ldap://Server/BaseDN?attribute?Scope?Filter. Web サーバーの場合は、
CRL オブジェクトの完全パスを入力します。
例:http://domain.com/CertEnroll/CompanyName%20CA%20Server.crl
また、CDP サーバーが CRL の匿名検索を許可していない場合は、CDP サーバー
への認証に必要な管理者 DN とパスワードを入力します(LDAP のみ)。
メモ : 1 つの方法で CDP をダウンロードしてから別の方法を選択すると、IVE は、前の
方法でダウンロードされた CDP を削除します。
5.
CRL Download Frequency フィールドで、IVE が CDP から CRL をダウンロードする
頻度を指定します。許容される範囲は 1 から 9999 時間です。
6.
Save Changes をクリックします。
Configuration ページの設定
„
303
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
7. (クライアントサイド証明書に加えて)前の手順で指定した CRL に対する CA 証明書
の有効性をチェックしたい場合は、Trusted Client CA ページの Verify Trusted Client
CA を選択します。
メモ :
„
中間証明書を検証するときには、チェーン内の中間証明書よりも上にあるすべての
CA 証明書に対して CRL が利用できるようにしておきます。- CA 証明書を検証する
ときに、IVE はチェーン内の証明書よりも上にあるすべての発行 CA も検証します。
„
このオプションを選択しても、CRL チェックを有効にしないと、IVE は、CA の発行
者の CDP に対して CA 証明書をチェックします。発行者に対して有効な CRL がない
場合は、ユーザー認証に失敗します。
8.
Save Changes をクリックします。IVE は、指定された方法(適用可能な場合)で CRL
をダウンロードし、CRL チェックの詳細情報を表示します(次節を参照)
。
9.
CDP (オプション)から CRL を手動でダウンロードするには、Trusted Client CA
ページの Update Now をクリックします。
ユーザー領域のためのクライアント証明書の有効化
304
„ Configuration ページの設定
1.
Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を
選択します。
2.
ユーザー認証のために証明書を使用する領域を決め、Users> Authentication >
[ 領域 ] > Authentication Policy > Certificate タブの設定を使用して、それらの
領域に対して証明書を有効にします。
3.
ユーザーが認証、ロール アクセス、またはリソース ポリシー アクセスを行う場合に
提示する必要がある X.509 識別名 (DN) 属性を指定したり、ユーザー領域に加え、管
理者領域に対しても証明書認証を有効にしたりします ( オプション )。詳細について
は、613 ページの「カスタム エクスプレッションの記述」を参照してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Trusted Server CAs タブ
トラステッド サーバー CA 証明書の IVE へのアップロード、トラステッド サーバー CA 証
明書の更新、証明書の削除、証明書の詳細の表示を実行するには、Trusted Server CAs タ
ブを使用します。
IVE への トラステッド クライアント CA 証明書のアップロード
System > Configuration > Certificates > Trusted Server CAs タブを使用して、トラス
テッド Web サイトの CA 証明書を IVE にインポートします。IVE は、DER ( バイナリ ) お
よび PEM ( ベース 64) エンコード形式の X.509 CA 証明書をサポートしています。IVE は、
ユーザーがアントラステッド Web サイトにアクセスしようとした場合、どのようにする
かを指定することも重要です。詳細については、675 ページの「証明書の制限」を参照し
てください。
メモ :
„
証明書チェーンを IVE にアップロードするときには、証明書を 1 度に 1 つずつ、
ルート証明書から降順にインストールする(DER または PEM ファイル)か、1
ファイルを、証明書チェーン全体を格納する IVE にインストールする(PEM ファイ
ルのみ)必要があります。いずれかの方法で、IVE は証明書を正しい順序でリンク
することができます。
„
IVE は、トラステッド サーバー CA 証明書の CRL 取り消しチェックをサポートしま
せん。
CA 証明書を IVE にアップロードするには、次の操作を実行します。
1.
Web コンソールで、System > Configuration > Certificates > Trusted Server CAs を
選択します。
2.
Import Trusted Server CA をクリックします。
3.
IVE にアップロードしたい CA 証明書を参照し、Import Certificate をクリックしま
す。
トラステッド サーバー CA 証明書の更新
任意のトラステッド Web サイトが証明書を更新する場合、更新証明書を IVE にもアップ
ロードする必要があります。
更新された CA 証明書を IVE にインポートするには、次の操作を実行します。
1.
Web コンソールで、System > Configuration > Certificates > Trusted Server CAs を
選択します。
2.
更新したい証明書に対応するリンクをクリックします。
3.
Renew Certificate をクリックします。
4.
IVE にアップロードしたい更新済み CA 証明書を参照し、Import Certificate をクリッ
クします。
Configuration ページの設定
„
305
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
トラステッド サーバー CA 証明書の削除
Internet Explorer 6 および Windows XP service pack 2 用の事前インストール済み証明書を
含め、IVE にインストールされた任意のトラステッド サーバー CA 証明書を削除するこ
とができます。
IVE からトラステッド サーバー CA 証明書を削除するには、次の操作を実行します。
1.
Web コンソールで、System > Configuration > Certificates > Trusted Server CAs を
選択します。
2.
削除したい証明書の横にあるチェックボックスをオンにします。
3.
Delete をクリックして、証明書を削除したいことを確認します。
トラステッド サーバー CA 証明書の詳細の表示
IVE にインストールされている各 CA 証明書に関するさまざまな詳細情報を表示できます。
トラステッド サーバー CA 証明書の詳細の表示:
1.
Web コンソールで、System > Configuration > Certificates > Trusted Server CAs を
選択します。
2.
表示したい証明書をクリックします。
3.
Certificate で、次のフィールド名の隣にある矢印をクリックすると、証明書の詳細が
表示されます。
„
Issued To - 証明書の発行対象エンティティの名前と属性。
„
Issued By - 証明書を発行したエンティティの名前と属性。このフィールドの値
は、Issued To フィールド(ルート証明書の場合)またはチェーン内にある次の
証明書の Issued To フィールド(中間証明書の場合)のどちらかと一致する必要
があります。
„
Valid Dates - 証明書が有効である期間。証明書が期限切れの場合は、294 ページ
の「既存の秘密鍵を使用する更新された証明書のインポート」の手順を参照して
ください。
„
Details - バージョン、シリアル番号、署名アルゴリズム、CRL 配布点、公開鍵
アルゴリズムの種類、公開鍵など、証明書の各種詳細情報が記載されています。
IVE は、トラステッド サーバー CA 証明書の CRL チェックをサポートしません。
Code-Signing Certificates タブ
75 ページの「コード署名証明書」の説明にしたがって、System > Configuration >
Certificates > Code-Signing Certificates タブを使用し、ユーザーのためにコード署名証
明書をインポートします。
コード署名証明書のインポート
コード署名証明書をインポートするには、次の操作を実行します。
306
„ Configuration ページの設定
1.
Web コンソールで、System > Configuration > Certificates > Code-Signing
Certificates を選択します。
2.
Applet Signing Certificates の Import Certificates をクリックします。
3.
Import Certificates ページで、該当するコード署名証明書ファイルを参照し、パス
ワード キー情報を入力して、Import をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
5.
証明書を正常にインポートすると、Sign Juniper Web Controls With ダイアログ ペイ
ンが表示され、IVE の署名オプションを次のように指定できます。
„
Default Juniper Certificate - デフォルトの Juniper Networks 証明書を使用して
IVE からの Active X と Java アプレットすべてに IVE が署名するよう指定するに
は、このオプションを選択します。インポートしたコード署名証明書を前に選択
しており、このオプションに戻す場合は、Save をクリックした後に、IVE がリク
エストを処理しており、すべての関連するコードに再署名していることを示すプ
ロセス アイコンが表示されます。このプロセスには数分かかる場合があります。
„
Imported Certificate - IVE が、ステップ 3 でインポートされた証明書を使用し
て、すべての Active X と Java アプレットに署名するよう指定するには、このオ
プションを選択します。Save をクリックすると、IVE がリクエストを処理してお
り、すべての関連するコードに署名していることを示すプロセス アイコンが表
示されます。このプロセスには数分かかる場合があります。
以下のタブの設定を使用して、アプレット証明書でどのリソースを署名または再署名
するかを指定します。
„
Resource Policies > Web > Java > Code Signing (513 ページの「Code Signing タ
ブ」を参照 )
„
Resource Policies > Web > Java > Applets (514 ページの「Applets」を参照 )
NCP タブ
Instant Virtual Extranet は、次の内部プロトコルを使用して、IVE サーバとクライアント
アプリケーション間の通信を行います。
„
Network Communications Protocol (NCP) - IVE は、NCP を使用して、Secure
Meeting Windows クライアント、W-SAM、および Network Connect などの Windows
クライアント アプリケーションと SSL を介して通信します。
„
Optimized NCP (oNCP)- Optimized NCP (oNCP) はプロトコル効率、接続処理、お
よびデータの圧縮性能が向上しており、NCP を介したクライアント アプリケーショ
ンのスループットを大幅に高めます。
„
Java Communications Protocol (JCP) - IVE は、JCP を使用して、Secure Meeting Java
クライアント、J-SAM、Java リライタなどの Java クライアント アプリケーションと
通信します。
リモート クライアント用の NCP オプションの設定
NCP オプションを設定するには、次の操作を実行します。
1.
Web コンソールで、System > Configuration > NCP を選択します。
2. (Windows クライアントの場合)NCP Auto-Select で、以下を選択します。
„
Auto-Select Enabled(推奨)- デフォルトで oNCP を使用します。このオプショ
ンを選択すると、IVE が、ほとんどのクライアント/サーバ通信に oNCP を使用
し、必要に応じて標準 NCP に切り替わります。サポートされていないオペレー
ティング システムでユーザーが実行している場合、またはクライアント アプリ
ケーションが何らかの理由 ( プロキシが存在する、タイムアウト、切断など ) で
IVE との直接 TCP 接続を開始できない場合には、NCP に戻します。
Configuration ページの設定
„
307
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Auto-Select Disabled - 必ず標準 NCP を使用します。このオプションは、後方互
換性の確保を主な目的として提供されています。
メモ : Network Connect を使用してクライアント アクセスを実行する場合、Auto-select
Disabled オプションの使用時には注意が必要です。Mac および Linux のクライアントは
従来の NCP プロトコルを使用して接続することができないためです。oNCP/NCP 自動選
択機能を無効して、UDP-to-oNCP/NCP のフェイルオーバが発生する場合、IVE は
Macintosh と Linux はクライアントとの接続を切ります。IVE は UDP から NCP (oNCP の
代わりに ) にフェイルオーバするためです。
3. (Java クライアントの場合)Read Connection Timeout で、Java クライアントのタイ
ムアウト間隔(15 ~ 120 秒)を設定します。クライアントサイド セキュア アクセス
方法で、IVE からデータが指定間隔で受信されない場合は、IVE との接続の再確立を
試行します。この値は、クライアント アプリケーションにおけるユーザーの無操作に
は適用されません。
4. (Windows クライアントの場合)Idle Connection Timeout で、アイドル接続間隔を
設定します。このタイムアウト間隔により、IVE がクライアントサイド Windows セ
キュア アクセス方法についてアイドル接続を維持する時間が決定されます。
5.
Save Changes をクリックします。
Client Types タブ
Client Types タブを使用して、ユーザーがサインインする元のシステムの種類、および
IVE ユーザーがサインインするときに IVE が表示する HTML ページの種類を指定できま
す。詳細については、214 ページの「携帯端末と PDA の概要」を参照してください。
ユーザー エージェントの管理
ユーザー エージェントの管理
308
„ Configuration ページの設定
1.
Web コンソールで、System > Configuration > Client Types を選択します。
2.
サポートしたいオペレーティング システムに対応するユーザー エージェント文字列
を入力します。たとえば、IVE のデフォルト設定である *DoCoMo* を使用して、すべ
ての DoCoMo オペレーティング システムに適用したり、DoCoMo/1.0/P502i/c10 など
の文字列を作成して、1 種類の DoCoMo オペレーティング システムに適用したりす
ることができます。ワイルドカード文字 * および ? ワイルドカード文字 “*” および
“?” を文字列に使用できます。では、ユーザー エージェント文字列の大文字と小文字
が区別されません。
3.
前の手順で指定したオペレーティング システムにサインインしたユーザに対して IVE
が表示する HTML の種類を指定します。オプションには以下のものがあります。
„
Standard HTML - 表、最大サイズのグラフィック、JavaScript、Java、フレーム、
クッキーなど、すべての標準 HTML の機能を IVE が表示します。Firefox、
Mozilla、Internet Explorer など、標準的なブラウザに最適です。
„
Mobile HTML - 表、小さなグラフィック、JavaScript、フレーム、および cookie
を含み、しかも Java アプレットや ActiveX コンポーネントを提供しない、小画面
の HTML 互換ページを IVE が表示します。Pocket PC のブラウザに最適です。
„
Smart Phone HTML Advanced - 表、小さなグラフィック、JavaScript、フレー
ム、cookie、および一部の JavaScript を含む小画面の HTML 互換ページを IVE が
表示します。ただしこのモードでは、Java アプレットや ActiveX コンポーネント、
VB スクリプトを提供しません。Treo および Blazer ブラウザに最適です。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Smart Phone HTML Basic - IVE は小画面の HTML と互換性があるページを表示
します。このモードでは、cookie をサポートしていないか、表やグラフィック
ス、ActiveX コンポーネント、JavaScript、Java、VB スクリプト、フレームを提供
しません。( このオプションと Compact HTML オプションの唯一の違いは、ユー
ザー インターフェースです。Symbian での Opera ブラウザに最適です。
„
Compact HTML - IVE は小画面の HTML と互換性があるページを表示します。
このモードでは、cookie をサポートしていないか、表やグラフィックス、
ActiveX コンポーネント、JavaScript、Java、VB スクリプト、フレームを提供し
ません。( このオプションと Smart Phone HTML Basic オプションの唯一の違い
は、ユーザー インターフェイスです。) iMode ブラウザに最適です。
メモ : IVE は、cookie を使用するのではなく、ハイパーリンクを書き換えて URL にセッ
ション ID を含めます。
4.
IVE がユーザ エージェントを評価する順序を指定します。IVE はユーザーのシステム
に一致する、リストの最初にある規則を適用します。たとえば、次のようなユーザー
エージェント文字列 /HTML タイプ マッピングを次のような順序で作成できます。
a.
ユーザー エージェント文字列:*DoCoMo* マッピング先:Compact HTML
b.
ユーザー エージェント文字列:DoCoMo/1.0/P502i/c10 マッピング先:Mobile
HTML
ユーザが、2 行目で指定されているオペレーティング システムからサインインする
と、より堅牢なモバイル HTML ではなく、コンパクト HTML ページが表示されます。
これは、そのユーザのユーザ エージェント文字列が、リスト内の最初の項目と一致
するからです。
リスト内でマッピングを並べるには、項目の隣にあるチェックボックスをオンにし、
上下の矢印を使用して、リスト内の正しい場所に移動します。
5.
コンパクト HTML を使用する iMode およびその他のデバイスで入力されたパスワー
ドをマスクするには、Enable password masking for Compact HTML チェックボック
スをオンにします (このチェックボックスをオンにするかどうかに関係なく、コン
パクト HTML マスク パスワードを使用しないデバイス)。iMode デバイスは、標準パ
スワード フィールドに数字データだけを許可しているため、iMode ユーザーのパス
ワードに数字以外の文字が含まれている場合は、パスワード マスクを無効にする必
要があります。マスクを無効にしても、パスワードは安全に送信されますが、ユー
ザーの画面上では非表示になりません。
6.
Save Changes をクリックします。
Configuration ページの設定
„
309
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Network ページの設定
Network ページには、以下のタブがあります。
„
310 ページの「Overview タブ」- 一般的なネットワーク設定を行うには、このタブの
設定を使用します。
„
311 ページの「Internal Port タブ」- 内部ポート用のネットワーク設定の修正、仮想
ポートの作成、静的ルートの指定、静的エントリの追加を実行するには、これらのタ
ブの設定を使用します。
„
313 ページの「External Port タブ」- 外部ポート用のネットワーク設定の修正、仮想
ポートの作成、静的ルートの指定、静的エントリの追加を実行するには、これらのタ
ブの設定を使用します。
„
316 ページの「Routes タブ」- 静的ルートを指定するには、このタブの設定を使用
します。
„
316 ページの「Hosts タブ」- IVE をローカルに解決するためにホスト名を指定する
には、このタブの設定を使用します。
„
316 ページの「Network Connect タブ」- Network Connect インストーラのダウン
ロード、Network Connect IP プールに適用する IP フィルタの指定、Network Connect
サーバー IP アドレスの指定を実行するには、このタブの設定を使用します。
Overview タブ
185 ページの「一般的なネットワーク設定の指定」で説明されているように、一般的な
ネットワーク設定を行うにはこのタブの設定を使用します。
一般的なネットワーク構成の設定
一般的なネットワーク構成を設定するには、次の操作を実行します。
1.
Web コンソールで、System > Network > Overview を選択します。
2.
Network Identity で、IVE の完全修飾ホスト名を入力します。
メモ : このフィールドで入力するホスト名は、30 文字を超えることはできません。
次の点に注意してください。
310
„ Network ページの設定
„
Secure Meeting では、SMTP を呼び出すときと、通知 E メールにミーティング
URL を入力するときに、このホスト名が使用されます。詳細については、554
ページの「Meetings ページの設定」を参照してください。
„
データ転送プロキシでは、アプリケーション サーバー ホスト名の別名として指
定されたホスト名が使用されます。詳細については、517 ページの「Passthrough Proxy タブ」を参照してください。
„
IVE アプライアンスをクラスタに組み込んでいる場合、指定する仮想ホスト名は
クラスタの中で同期されます。ただし、クラスタが複数サイトに渡っている場合
は、この設定を上書きすることをお勧めします。System > Clustering ページの
オプションを使用して、クラスタにあるノードごとに、異なるホスト名を指定し
てください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
DNS Name Resolution セクションでは、IVE アプライアンスごとに、プライマリ
DNS アドレス、セカンダリ DNS アドレス、およびデフォルト DNS ドメイン名を
更新します。
このフィールドには、カンマ区切りのリスト形式で DNS ドメインを入力できます。
この場合、ドメインはリストに表示された順に検索されます。
4.
Windows Networking で次の操作を実行します。
„
ワークステーションの名前と場所を IP アドレス(該当する場合)に関連付けて
いるローカルまたはリモートの Windows Internet Naming Service(WINS)サー
バーの名前または IP アドレスを入力します。
„
IVE ドメインの中で、NETBIOS の呼び出しに応答し、ワークステーションの名前
と場所を IP アドレス ( 該当する場合 ) に関連付けている WINS サーバー、ドメイ
ン コントローラ、または他のサーバーを選択するには、Master Browser(s) をク
リックします。次に、Windows Networking - Specify Master Browser ページを
通じてマスタ ブラウザを追加します。
5.
IVE で Windows 共有フォルダを検索できるようにするには、Enable network
discovery チェックボックスをオンにします。
6.
Save Changes をクリックします。
Internal Port タブ
内部ポートのネットワーク設定を修正するには、以下の Internal Port サブタブを使用し
ます。
„
311 ページの「Settings タブ」
„
312 ページの「Virtual Ports タブ」
„
313 ページの「ARP Cache タブ」
メモ : このページのほとんどのフィールドには、IVE のインストール時に指定した値が
事前に読み込まれています。
Settings タブ
内部ポート(LAN インターフェイス)のネットワーク設定を変更するには、次の操作を
実行します。
1.
Web コンソールで、System > Network > Internal Port > Settings を選択します。
2.
Port Information セクションで、IVE ごとに IP アドレス、ネットマスク、ゲートウェ
イ、リンク速度設定を更新します。デフォルトでは、これらのフィールドには、IVE
の設定時に指定した値が事前に入力されています。
Network ページの設定 „ 311
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
ARP Ping Timeout フィールドで、タイムアウトするまでに Address Resolution
Protocol (ARP) 要求に対する応答を IVE が待つ時間を指定します。クラスタ内の IVE
は、相互通信が正常に機能していることを確認するために、ARP 要求1 を他の IVE の
ゲートウェイに送信します。
メモ : クラスタ環境で IVE を実行していない場合、IVE はこの設定を使用しません。IVE
をクラスタに組み込んでいる場合、指定したタイムアウト間隔はクラスタ中で同期され
ます。ただし、クラスタが複数のサイトに渡っている場合、System > Clustering ページ
のオプションを使用して、クラスタにあるノードごとに設定を上書きできます。ただし、
アクティブ/パッシブ クラスタ環境では、IVE はさらに Internal タブの ARP Ping
Timeout 設定を VIP の障害迂回タイマとして使用するため、この設定を変更するには注
意が必要です。
4.
MTU フィールドに、IVE の内部インターフェイスの最大送信単位を指定します。
メモ : トラブルシューティングのために設定を変更する必要がある場合を除き、デフォ
ルトの MTU 設定 (1500)を使用します。
5.
Save Changes をクリックします。
Virtual Ports タブ
仮想ポートは、バックエンド ネットワークでのサブネット処理のサポート、サインイン
IP アドレスとしての使用、ロール ベースのソース IP エイリアスなど、複数の目的に作成
できます。仮想ポートに関する詳細については、186 ページの「仮想ポートの設定」を参
照してください。
内部インターフェースでの仮想ポートの作成
スタンドアロン IVE で仮想ポートを作成するには、次の操作を実行します。
1.
Web コンソールで、System > Network > Internal Port > Virtual Ports を選択し
ます。
2.
New Port をクリックします。
3.
仮想ポートの固有の名前を入力します。
4.
仮想ポートと関連付ける一意な IP 別名を入力します。すでに別の仮想ポートに関連
付けられている IP アドレスは使用しないでください。
メモ : IP アドレスを入力しないと、IVE は仮想ポートをアクティブにしません。
5.
Save Changes をクリックします。
クラスタ ノードで仮想ポートを作成するには、次の操作を実行します。
1.
Web コンソールで、System > Network > Internal Port > Virtual Ports を選択し
ます。
2.
Settings for ドロップダウンリストから Entire cluster を選択して、Update をクリッ
クします。
1. IVE はクラスタ中で通信を確立するときに、2 つの ARP 要求を作成し、内部ポートのゲートウェイと外部ポートの
ゲートウェイにそれぞれ送信します。
312
„ Network ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
New Port をクリックします。
4.
仮想ポートの固有の名前を入力して、Save Changes をクリックします。IVE により
Virtual Ports リストに仮想ポート名が追加され、クラスタ内の各ノードにアクセスで
きるようになります。
5.
ノードへのリンクをクリックして、IP アドレス設定ページを表示します。
6.
仮想ポートと関連付ける一意な IP 別名を入力します。すでに別の仮想ポートに関連
付けられている IP アドレスは使用しないでください。
メモ : IP アドレスを入力しないと、IVE は仮想ポートをアクティブにしません。
7.
Save Changes をクリックします。Virtual Ports ページが Virtual Port タブに戻ります。
必要に応じて、Settings for ドロップダウンリストから Entire cluster をもう一度選択
して、ステップ 5 と ステップ 6 を繰り返します。
ARP Cache タブ
静的エントリの追加
静的エントリを追加するには、次の操作を実行します。
1.
Web コンソールで、System > Network > Internal Port > ARP Cache を選択します。
2.
表の上部にある IP Address フィールドと Physical Address フィールドに、IP アドレ
スと物理アドレスをそれぞれ入力します。
メモ : 既存の IP アドレスが含まれるエントリを追加すると、既存のエントリが新しい
エントリで上書きされます。また、MAC アドレスの有効性は検証されないので注意して
ください。
3.
Add をクリックします。
External Port タブ
外部ポートのネットワーク設定を修正するには、以下の External Port サブタブを使用し
ます。
„
313 ページの「Settings タブ」
„
314 ページの「Virtual Ports タブ」
„
315 ページの「ARP Cache タブ」
Settings タブ
外部ポート(DMZ インターフェイス)の有効化
外部ポートを有効にするには、次の操作を実行します。
1.
Web コンソールで、System > Network > External Port > Settings を選択します。
2.
Use External Port で Enable を選択します。
Network ページの設定 „ 313
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
Port Information セクションで、IVE の外部ポートの IP アドレス、ネットマスク、
ゲートウェイ、リンク速度情報を入力します。通常は、Internal Port > Settings ペー
ジの設定をそのまま使用し、内部ポート情報をローカル IP アドレス、ネットマスク、
およびゲートウェイ情報に変更します。
4.
ARP Ping Timeout フィールドで、タイムアウトするまでに Address Resolution
Protocol (ARP) 要求に対する応答を IVE が待つ時間を指定します。クラスタ内の IVE
は、相互通信が正常に機能していることを確認するために、ARP 要求1 を他の IVE の
ゲートウェイに送信します。
メモ : IVE をクラスタに組み込んでいる場合、指定したタイムアウト間隔はクラスタ中
で同期されます。ただし、クラスタが複数のサイトに渡っている場合、System >
Clustering ページのオプションを使用して、クラスタにあるノードごとに設定を上書き
できます。IVE IVE をクラスタ環境で実行していない場合、IVE は ARP Ping Timeout 設
定を使用しません。
5.
MTU フィールドに、IVE の外部インターフェイスの最大送信単位を指定します。
メモ : トラブルシューティングのために設定を変更する必要がある場合を除き、デフォ
ルトの MTU 設定 (1500)を使用します。
6.
Save Changes をクリックします。
Virtual Ports タブ
仮想ポートは、クラスタのサポートや外部サインインの作成など、複数の目的で外部ポー
ト上に作成できます。仮想ポートについて詳しくは 186 ページの「仮想ポートの設定」を
参照してください。サインイン用に仮想ポートを使用するには、228 ページの「サインイ
ン ポートの設定」を参照してください。
外部インターフェースでの仮想ポートの作成
スタンドアロン IVE の仮想ポートを作成するには、次の操作を実行します。
1.
Web コンソールで、System > Network > External Port > Virtual Ports を選択し
ます。
2.
New Port をクリックします。
3.
仮想ポートの固有の名前を入力します。
4.
仮想ポートと関連付ける一意な IP 別名を入力します。すでに別の仮想ポートに関連
付けられている IP アドレスは使用しないでください。IP アドレスを入力しないと、
IVE は仮想ポートをアクティブにしません。
5.
Save Changes をクリックします。
6.
System > Configuration > Certificates > IVE Certificates タブの設定を使用して、
仮想ポートとサーバー証明書を関連付けます。詳細については、295 ページの「仮想
ポートと証明書の関連付け」を参照してください。
クラスタ ノードで仮想ポートを作成するには、次の操作を実行します。
1.
Web コンソールで、System > Network > External Port > Virtual Ports を選択し
ます。
1. IVE はクラスタ中で通信を確立するときに、2 つの ARP 要求を作成し、内部ポートのゲートウェイと外部ポートの
ゲートウェイにそれぞれ送信します。
314
„ Network ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
Settings for ドロップダウンリストから Entire cluster を選択して、Update をクリッ
クします。
3.
New Port をクリックします。
4.
仮想ポートの固有の名前を入力して、Save Changes をクリックします。IVE により
Virtual Ports リストに仮想ポート名が追加され、クラスタ内の各ノードにアクセスで
きるようになります。
5.
ノードへのリンクをクリックして、IP アドレス設定ページを表示します。仮想ポート
と関連付ける一意な IP 別名を入力します。すでに別の仮想ポートに関連付けられて
いる IP アドレスは使用しないでください。IP アドレスを入力しないと、IVE は仮想
ポートをアクティブにしません。
6.
Save Changes をクリックします。Virtual Ports ページが Virtual Port タブに戻ります。
必要に応じて、Settings for ドロップダウンリストから Entire cluster をもう一度選択
して、ステップ 5 を繰り返します。
クラスタで仮想ポートを使用するには、180 ページの「アクティブ / パッシブ クラスタで
の 2 台のユニット配備」を参照してください。
ARP Cache タブ
静的エントリの追加
静的エントリを追加するには、次の操作を実行します。
1.
Web コンソールで、System > Network > External Port > ARP Cache を選択し
ます。
2.
表の上部にある IP Address フィールドと Physical Address フィールドに、IP アドレ
スと物理アドレスをそれぞれ入力します。
メモ : 既存の IP アドレスが含まれるエントリを追加すると、既存のエントリが新しい
エントリで上書きされます。また、MAC アドレスの有効性は検証されないので注意して
ください。
3.
Add をクリックします。
VLANs タブ
IVS ライセンスを持つお客様のみが使用できます。
IVE での VLAN の提供
新しい VLAN を作成するには、次の操作を実行します。
1.
Web コンソールで、System > Network > VLANs を選択します。
2.
New Port をクリックします。
3.
適切な設定を入力します。
4.
Save Changes をクリックします。
Network ページの設定 „ 315
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
詳細情報は、230 ページの「Virtual Local Area Network(仮想ローカルエリア ネットワー
ク)(VLAN) の設定」を参照してください。
Routes タブ
ネットワーク トラフィックの静的ルートの指定
静的ルートを指定するには、次の操作を実行します。
1.
Web コンソールで、System > Network > Routes を選択します。
2.
宛先ルート テーブルを View route table for: ドロップダウン メニューから選択し
ます。
3.
New Route をクリックします。
4.
必要な情報を入力します。
5.
Add to [destination] route table をクリックします。
宛先ルート テーブルは、VLAN を使用する場合に、定義した外部、内部、または任意
の VLAN に使用できます。
Hosts タブ
IVE によってローカルに解決されるホスト名の指定
IVE によってローカルに解決されるホスト名を指定するには、次の操作を実行します。
1.
Web コンソールで、System > Network > Hosts タブを選択します。
2.
IP アドレス、IP アドレスに解決されるホスト名のカンマ区切りのリスト、および
200 語以下のコメント(オプション)を入力して、Add をクリックします。
Network Connect タブ
Network Connect IP プールに適用する IVE の IP フィルタを指定するには、Network
Connect タブを使用します。詳細については、121 ページの「Network Connect の概要」
を参照してください。
Network Connect インストーラのダウンロード
Network Connect アプリケーションを Windows の実行形式ファイルとしてダウンロード
するには、Maintenance > System > Installers を選択します。詳細については、572
ページの「アプリケーションまたはサービスをダウンロードする」を参照してください。
Network Connect IP プールに適用する IP フィルタの指定
Network Connect フィルタ リストに IP アドレスを追加するには、次の操作を実行します。
316
„ Network ページの設定
1.
Web コンソールで、System > Network > Network Connect を選択します。
2.
IP アドレスとネットマスクの組み合わせを指定して、Add をクリックします。この
ページで指定したフィルタが、ユーザーの要求に対応する Network Connect IP プー
ルのリソース ポリシーに適用されます。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Network Connect サーバー IP アドレスの指定
サーバーサイドの Network Connect プロセスは、サーバー IP アドレスを使用して、企業
リソースと通信します。このフィールドは、事前ロードされていますが、アドレスが NC
Connection Profile として指定された IP アドレス プールに含まれないものである限り、そ
のアドレスに変更することができます (558 ページの「Network Connect 接続プロファイ
ルの作成」を参照 )。
Network ページの設定 „ 317
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Clustering ページの設定
クラスタを構成する前に、目的の IVE ノードがすべて同じハードウェア プラットフォー
ム(たとえば、すべて Access Series 3000 マシン)で、かつ同じバージョンのサービス
パッケージを実行しており、同じサービス パッケージのバージョンを実行していること
を確認してください。
メモ : ノードが異なるサブネットに存在しているマルチサイト クラスタを定義している
場合は、次の操作を実行する必要があります。
„
クラスタ内の各ノードで使用する異なるネットワーク アドレスに関する IP アドレ
ス プール ポリシーを構成します。
„
クラスタ内のノードごとに IP フィルタを指定します。このフィルタを使用して、そ
のノードで使用可能なネットワーク アドレスのみを通過させます。
„
各クラスタ ノードの内部ポートの IP アドレスを指定したポインタをゲートウェイ
ルータに作成します。ルータで指定した各 IP アドレスは、対応するクラスタ ノー
ドと同じサブネット内になければなりません。
Juniper Networks NetScreen-SA Central Manager を購入した場合は、最新版の OS を実行し
ている IVE を使用してクラスタを作成し、「アップグレードおよび結合」機能を使用して
ノードを追加できます。この機能を使用してノードをクラスタに追加すると、最初の IVE
ノードが、結合するノードをさらに新しいサービス パッケージにアップグレードします。
この機能は、すべての IVE がバージョン 4.0 以降の OS を実行している場合にのみ動作し
ます。
詳細は、178 ページの「クラスタの概要」を参照してください。
メモ : まずステージング環境でクラスタを配置し、認証領域、ユーザー ロール、および
リソース ポリシーの設定およびエンドユーザーがアクセスするアプリケーションのテス
トを行ってから、本番環境に移行することを推奨します。
IVE がクラスタの一部でない場合は ( すなわちスタンドアロン モードの場合 )、Clustering
ページにこれら 2 つのタブがあります。
„
319 ページの「Create タブ」- クラスタを定義して初期化するには、このタブを使用
1
します。
„
320 ページの「Join タブ」- 初期化した IVE をクラスタに加えるには、このタブを使
用します。( 初期化されていない IVE をクラスタに追加する方法については、329
ページの「シリアル コンソールを通じて IVE をクラスタに追加する」を参照してくだ
さい。
IVE がクラスタの一部である場合は、Clustering ページにこれら 2 つのタブがあります。
„
323 ページの「Status タブ」- このタブを使用して IVE を指定し、クラスタに追加し
たり、クラスタ ノード用にネットワーク設定を管理したり、クラスタ サービス パッ
ケージをアップグレードします。
„
327 ページの「Properties タブ」- アクティブ / パッシブおよびその他のクラスタ設定
を指定します。さらにこのタブを使用してクラスタを削除することもできます。
1. Create タブは、クラスタ ライセンス キーを取得していない IVE には表示されません。
318
„ Clustering ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Create タブ
クラスタを定義および初期化するには、Create タブを使用します。クラスタを定義するに
は、クラスタ名とパスワード、および最初のクラスタ メンバの名前を指定します。クラス
タを作成したら、Create タブが、Status タブに変わります。このタブを使用して、クラス
タに追加する IVE を指定します。次に、それぞれの IVE の Clustering > Join タブで、こ
れら IVE をクラスタに加えます。(初期化されていない IVE をクラスタに追加したい場合
は、329 ページの「シリアル コンソールを通じて IVE をクラスタに追加する」を参照し
てください)。
メモ :
„
クラスタ ライセンス キーを入力しないかぎり、クラスタを作成できません。
„
クラスタ内のすべての IVE は、同じクラスタ ライセンス キーを使用する必要があ
ります。
クラスタの定義と初期化
クラスタ化したい IVE をスタンドアロンで実行している場合は、まず 1 台のマシンでシ
ステムおよびユーザー設定をしてからクラスタを作成するようにお勧めします。この後
で、同一マシンを使用してクラスタを作成します。このマシンは作成プロセスの中でクラ
スタに参加します。他の IVE がクラスタに加わると、このマシンは、その設定を新しいク
ラスタ メンバに伝えます。
クラスタを定義して初期化するには、次の操作を実行します。
1.
1 台の IVE でシステム、ユーザ、リソース、およびアプリケーション データを正し
く設定します。
メモ : 必ず IVE の外部 IP アドレスを設定してください。
2.
設定した IVE の Web コンソールで、System > Configuration > Licensing タブを選
択し、ライセンス キーを入力してクラスタリング機能をオンにし、Clustering >
Create タブを有効にします。
3.
System > Clustering > Create タブを選択し、クラスタの名前、クラスタ パスワー
ド、このマシンの名前(IVE-1 など)を入力します。
メモ : IVE がクラスタに加わるように設定する場合は、再度パスワードを入力する必要
があります。クラスタ内のすべてのマシンはこのパスワードを使用して対話します。
4.
Create Cluster をクリックします。クラスタを作成する確認を求められたら、Create
をクリックします。IVE によってクラスタが初期化されると、Clustering ページに
Status タブと Properties タブが表示されます。Status タブを使用して追加するクラス
タ メンバを指定してから、別の IVE を新しいクラスタに追加します。詳細について
は、323 ページの「クラスタに加える IVE の指定」を参照してください。
メモ : IVS ライセンスにより稼働しているサービス プロバイダ ネットワークでクラスタ
をセットアップする方法については、240 ページの「仮想化 IVE のクラスタ化」を参照
してください。
Clustering ページの設定
„
319
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Join タブ
既存のクラスタに IVE を加えるには、Join タブを使用します。IVE をクラスタに加える方
法は、IVE が設定されているか、あるいは初期化されていない(工場出荷時の状態であ
る)かどうかで異なります。IVE が工場出荷時の状態の場合は、シリアル コンソールによ
る手順を使用するようにお勧めします。これにより、最低限の情報を入力するだけでマシ
ンをクラスタに加えることができます。詳細については、329 ページの「シリアル コン
ソールを通じて IVE をクラスタに追加する」を参照してください。
Access Series FIPS 環境では、Web コンソールを使用して、IVE をクラスタに追加する必要
があります。また、以下の品に物理的にアクセスできることも条件になります。
„
クラスタ メンバの IVE アプライアンスの前面パネルにインストールした暗号化モ
ジュール
„
スマート カード リーダー
„
アクティブなクラスタ メンバのセキュリティ ワールドに事前に初期化された管理者
カード
Web コンソールによる IVE のクラスタへの追加
IVE をクラスタに追加する前に(Web またはシリアル コンソールのどちらを使用した
場合でも)、識別情報をクラスタに知らせる必要があります。クラスタに追加する IVE
を指定するには、323 ページの「クラスタに加える IVE の指定」を参照してください。
IVE がクラスタ ライセンス キーを持っていない場合は、Clustering > Join タブのみに
なります。
メモ : 現在、スタンドアロン マシンとして稼動している IVE を Web コンソールを介し
てクラスタに追加する場合には、追加する IVE が他のメンバと同じハードウェア プラッ
トフォームで同一バージョンまたはより新しいサービス パッケージを実行している必要
があります。
以前のバージョンのサービス パッケージを実行している IVE を追加しようとすると、
IVE は自動的に不一致を検出して、クラスタから削除され、スタンドアロンの状態で再
起動します。
Web コンソールを通じて IVE をクラスタに追加するには次の操作を実行します。
1.
既存のクラスタ メンバの Web コンソールで、System > Clustering > Status タブを
選択し、クラスタに追加する IVE を指定します。323 ページの「クラスタに加える
IVE の指定」を参照してください。
2.
クラスタに追加する IVE の Web コンソールで次の操作を実行します。
3.
320
„ Clustering ページの設定
a.
System > Configuration > Licensing タブを選択し、ライセンス キーを入力し
てクラスタリング機能を有効にします。
b.
次の操作を行うには、System > Clustering > Join タブを使用します。
‰
追加先のクラスタの名前
‰
クラスタを定義したときに指定したクラスタ パスワード
‰
アクティブなクラスタ メンバの IP アドレス
Join Cluster をクリックします。クラスタに追加する確認を求められたら、Join をク
リックします。がクラスタに追加された後、場合によっては再度サインインする必要
があります。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
(Access Series FIPS 環境のみ ) 次の手順に従って、アクティブなクラスタ メンバのセ
キュリティ ワールドでノードを初期化します。
シリアル コンソールによる FIPS クラスタ メンバの初期化
シリアル コンソールを使用して、FIPS クラスタ メンバのセキュリティ ワールドを初期化
するには、次の操作を実行します。
1.
スマート カード リーダのケーブルを、IVE の前面パネルにある暗号化モジュールの
リーダのポートに差し込みます。
2.
アクティブなクラスタ メンバのセキュリティ ワールドで事前に初期化された管理者
カードを、接続部を上にしてスマート カード リーダーに差し込みます。
3.
暗号化モジュールのモード スイッチが O ( 動作可能モード ) になっていない場合は、
切り替えます。
4.
マシンのシリアル コンソールに接続します。詳細については、601 ページの「IVE シ
リアル コンソールの使用」を参照してください。
5.
マシンの電源を入れなおして再起動し、シリアル コンソールを監視します。システム
ソフトウェアが起動すると、「スタンドアロン IVE として起動しようとしています。
クラスタリング オプションを選択する場合には Tab を押してください」というメッ
セージが表示されます。」というメッセージが表示されます。このオプションが表示
されたら、ただちに Tab キーを押します。
メモ : メッセージが表示されてから 5 秒以内に Tab キーを押してください。スタンドア
ロン モードでマシンの起動が始まってしまった場合には、起動が完了するまで待ってか
ら再起動してください。
6. 「既存のクラスタに追加する」に対応する番号を入力します。
7.
要求された初期化情報を入力します。
メモ : Access Series FIPS クラスタのメンバを同じセキュリティ ワールドで初期化した
後、Web コンソールによってクラスタを無効にし、再び有効にすることができます。ク
ラスタ メンバがすべて同じセキュリティ ワールドのメンバである場合は、シリアル コ
ンソールを使用する必要はありません。
図 51: System > Clustering > Join - クラスタに参加
Clustering ページの設定
„
321
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
この IVE(ive-2)が保有するライセンスは、元のクラスタ メンバである ive-1 と同じでは
ありません。ive-1 は、異なるユーザ インターフェイスによって反映されます。
図 52: System > Clustering > Status - 新しいクラスタ メンバでのサービスの再開
新しいノードが既存のクラスタ メンバと状態を同期する間、各ノードのステータスは、
“Enabled”、“Enabled, Transitioning” または “Enabled, Unreachable” と表示されます。
図 53: System > Clustering > Status -ノードの移行が完了した後
新しいノードがクラスタに参加すると、Clustering ページに Status および Properties タ
ブが表示されます。システム、ユーザー、ライセンス データなど、元のクラスタ メンバ
の状態データが、新しいクラスタ メンバにあります。この例では、元のメンバのユーザー
インターフェイスの色が新しいノードに反映されています。
322
„ Clustering ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Status タブ
325 ページの表 19 は、Status タブに表示される情報と、クラスタからの IVE ノードの無
効化、有効化、削除など、このタブで実行できるさまざまな管理タスクを示します。
クラスタに加える IVE の指定
IVE がクラスタに参加する前に、アクティブなクラスタ メンバのネットワーク ID を指定
する必要があります。
既存のクラスタに参加させる IVE を指定するには、次の操作を実行します。
1.
アクティブなクラスタ メンバの Web コンソールで、System > Clustering > Status
タブを選択します。
2.
Add Member をクリックして、クラスタに追加する IVE を指定します。
a.
メンバの名前を入力します。
b.
マシンの内部 IP アドレスを入力します。
c.
必要であれば、マシンの外部 IP アドレスを入力します。System > Network >
External Port タブで外部ポートを有効にしていない場合には、External IP アド
レス フィールドは表示されません。この点に注意してください。
d.
必要であれば、ノードのネットマスクおよびゲートウェイ設定を変更します。
e.
Add Node をクリックします。
f.
新しいメンバを追加する確認を求められたら、Add をクリックします。
g.
クラスタに追加する IVE ごとにこの手順を繰り返します。
クラスタ ノードのネットワーク設定の管理
クラスタまたはクラスタ内の各ノードのネットワーク設定を変更するには、System >
Network ページを使用する必要があります。クラスタを作成すると、これらのページに、
ドロップダウン リストが生成され、クラスタ全体または特定のノードを選択できるよう
になります。Network ページの変更を保存すると、その設定は、指定したクラスタまたは
クラスタ ノード用に保存されます。クラスタ全体のネットワーク設定を変更した場合は、
クラスタ内のすべてのノードにその設定が伝播します。
メモ : Clustering > Status タブの Member Name 列内のノード名をクリックして、ノー
ドに固有の Network ページにアクセスできます。
Clustering ページの設定
„
323
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 54: System > Network ページ
クラスタ サービス パッケージのアップグレード
Juniper Networks NetScreen-SA Central Manager を購入した場合は、新しいサービス パッ
ケージを 1 台のクラスタ ノードにインストールするだけで済みます。インストール処理
が完了し、クラスタ ノードが再起動すると、そのノードがその他のノードにアップグ
レードを命令します。サービス パッケージのインストールに関する詳細は、570 ページの
「Juniper ソフトウェア サービス パッケージのインストール」を参照してください。
Juniper Networks NetScreen-SA Central Manager を実行していない場合は、クラスタ ノー
ドのアップグレードは別の方法で行う必要があります。さらに、アクティブ / アクティブ
クラスタでノードをアップグレードする手続きは、アクティブ / パッシブ クラスタで
ノードをアップグレードする手続きと異なります。
アクティブ / アクティブ クラスタでノードをアップグレードするには、次の操作を実行
します。
1.
すべてのノードを無効にする:
a.
アップグレードするノードの Web コンソールにサインインします。
b.
System > Clustering > Status を選択し、すべてのノード名の隣にあるチェック
ボックスをオンにして、Disable をクリックします。
メモ : クラスタのすべてのノードを無効にすると、全体のクラスタが使用できなくな
り、サインインできるのは管理者だけになります。
324
„ Clustering ページの設定
2.
570 ページの「Juniper ソフトウェア サービス パッケージのインストール」の説明に
従って、すべてのノードを個々にアップグレードします。
3.
すべてのノードを有効にする:
a.
いずれかのノードの Web コンソールで、System > Clustering > Status ページ
を参照します。
b.
すべてのノード名の隣にあるチェックボックスをオンにして、Enable をクリッ
クします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
アクティブ / アクティブ クラスタですべてのノードをアップグレードするには、次の操
作を実行します。
1.
パッシブ ノードを無効にする:
a.
アップグレードするパッシブ ノードの Web コンソールにサインインします。
b.
System > Clustering > Status を選択し、1つまたはそれ以上のノード名の隣に
あるチェックボックスをオンにして、Disable をクリックします。
メモ : パッシブ ノードだけを無効にしても、アクティブ ノードはユーザーが続けて使
用できます。
2.
570 ページの「Juniper ソフトウェア サービス パッケージのインストール」の説明に
従って、すべてのパッシブ ノードをアップグレードします。
3.
他のノードに手順 1 と 2 を繰り返します。
4.
System > Clustering > Status を選び、アクティブ ノード名の隣にあるチェック
ボックスをオンにして、Disable をクリックしアクティブ ノードを無効にします。
5.
パッシブ ノードを有効にする:
a.
いずれかのノードの Web コンソールで、System > Clustering > Status ページ
を参照します。
b.
すべてのパッシブ ノード名の隣にあるチェックボックスをオンにして、Enable
をクリックします。
6.
570 ページの「Juniper ソフトウェア サービス パッケージのインストール」の説明に
従って、すべてのアクティブ ノードをアップグレードします。
7.
アクティブ ノードを有効にする:
a.
いずれかのノードの Web コンソールで、System > Clustering > Status ページ
を参照します。
b.
アクティブ ノード名の隣にあるチェックボックスをオンにして、Enable をク
リックします。
表 19: Clustering > Status タブ
ユーザー インター
フェイス要素
説明
Add Member ボタン
クラスタに追加する IVE を指定します。クラスタに追加する IVE
ごとに、この手順を実行する必要があります。
Enable ボタン
このボタンをクリックして、以前に無効にされたノードを追加し
ます。ノードを追加すると、すべての状態情報がノードで同期化
されます。
Disable ボタン
クラスタ内でノードを無効にするには、このボタンをクリックし
ます。無効にしても、ノードからはクラスタが見えますが、メン
バが直接ノードにサインインしなければ、状態の同期化を実行す
ることもユーザー要求を受け取ることもできません。
Remove ボタン
選択したノードをクラスタから削除するには、このボタンをク
リックします。削除されたノードは、スタンドアロン モードで実
行します。
Clustering ページの設定
„
325
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 19: Clustering > Status タブ ( 続き )
ユーザー インター
フェイス要素
説明
Member Name 列
クラスタに属する全ノードを一覧表示します。ノードの名前や
ネットワーク設定を変更するには、ノード名をクリックします。
Internal IP Address 列
クラスタ メンバの内部 IP アドレスを CIDR(Classless Inter
Domain Routing)表記法で表示します。
External IP Address 列
CIDR 表記法を使用して、クラスタ メンバの外部 IP アドレスを表
示します。各ノードのネットワーク設定ページでノードの別のア
ドレスを指定しない限り、この列に表示されるのは、クラスタ
リーダの外部 IP アドレスです。ネットワーク設定ページにアクセ
スするには、Member Name 列で目的のノード名をクリックしま
す。Network > Network Settings ページで外部 IP アドレスを変更
した場合、変更はすべてのクラスタ ノードに影響します。
Status 列
ノードの現在の状態を表示します。
„ Green light/enabled - ノードはユーザー要求を処理し、クラス
タの同期化を実行しています。
„ Yellow light/transitioning - ノードはクラスタに加わっていま
す。
„ Red light/disabled - ノードはユーザー要求の処理や、クラス
タの同期化を行っていません。
„ Red light/enabled, unreachable - ノードは有効ですが、ネッ
トワークの問題のためにアクセスできません。
注意 : クラスタの外部に配置されたノードやクラスタから除外さ
れたノードの状態は、「スタンドアロン」とみなされます。
Notes 列
クラスタへのノードの接続状態を表示します。
„ OK - ノードはクラスタにアクティブに参加しています。
„ Transitioning - ノードがスタンドアロン状態から有効な状態に
切り替わっています。
„ Unreachable - ノードがクラスタを認識していません。クラス
タ メンバがオンラインであり、ping を送信できるとしても「ア
クセス不可」です。考えられる理由としては、パスワードが間
違っている、全クラスタ ノードを認識していない、別のグルー
プ通信モードで設定されている、異なるサービス パッケージ
バージョンを実行している、マシンの電源がオフになってい
る、などがあります。
Sync Rank 列
クラスタにノードが加わるときのノードの同期順を指定します。0
( 最も低いランク ) から 255( 最も高いランク ) の同期ランクを受
け入れます。最高値のランクから優先されます。2 つのノードに同
一の同期ランクがある場合、メンバの名前の英数字ランクから優
先順位が決められます。
注意 : このオプションは、Central Manager ライセンスの場合のみ
選択できます。
326
„ Clustering ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Properties タブ
Properties タブを使用して、アクティブ / パッシブ、アクティブ / アクティブ、その他
のクラスタ設定を指定します。さらにこのタブを使用してクラスタを削除することもで
きます。
アクティブ / パッシブ、アクティブ / アクティブ、およびその他のクラスタ設定の指定
Properties タブを使用して、クラスタ名の変更、クラスタ(アクティブ / パッシブまたは
アクティブ / アクティブ)を実行する設定の指定、同期およびネットワーク ヘルス
チェック設定、またはクラスタの削除を行います。
クラスタのプロパティを変更するには、次の操作を実行します。
1.
アクティブなクラスタ メンバの Web コンソールで、System > Clustering >
Properties タブを選択します。
2.
Cluster Name フィールドを編集して、クラスタ名を変更します(オプション)。
3.
Configuration Settings で、以下を選択します。
„
アクティブ/パッシブ モードでクラスタ ペアを実行する場合は Active/Passive。次
に、内部 VIP (仮想 IP アドレス)を指定し、外部ポートを有効にする場合には、
さらに外部 VIP も指定する必要があります。
メモ : アクティブ/パッシブ モードで 2 ユニット クラスタを実行するには、IVE が同じ
ネットワークに存在する必要があります。
„
外部ロード バランサを使用して、2 台以上のノードをアクティブ / アクティブ
モードで実行する場合は Active/Active。
メモ : 2 ユニットのアクティブ / パッシブ クラスタを、2 つ以上の ノードのアク
ティブ / アクティブ クラスタに変更するには、まず、2 ユニットの クラスタの設定
をアクティブ / アクティブに変更し、次にノードを追加します。
4.
Synchronization Settings で以下のオプションを使用し、同期プロトコルおよび 1 つ
またはそれ以上のデータ タイプを指定します。
a.
以下を選択し、クラスタ ノード間でデータを同期するときに使用する同期プロ
トコルを指定します。
‰
Unicast - このオプションを選択すると、同期データをクラスタの他のノー
ドに順番に転送します。
‰
Multicast - このオプションをクリックすると、クラスタの他のノードに
データを同時に配信します。これにより、クラスタ ノードの少数の利用者向
けに同期データを放送したいだけの場合に、ネットワーク全体に同期データ
を放送することを避けることができます。このため、クラスタ IVE が他のマ
シン ( たとえばルータやスイッチ、認証サーバーなど ) とサブネットに共存
しているような大型ネットワークではこの方法をお勧めします。
Clustering ページの設定
„
327
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
‰
Broadcast - このオプションを選択すると、同期データをサブネットのすべ
てのマシンに放送できます。
メモ : Properties タブで指定された Unicast 転送設定以外の設定を使用できるのは、同
一のサブネットに存在するクラスタ メンバだけです。たとえば、同一のサブネットに
存在する 4 ノードのクラスタのメンバ間で Multicast 同期方法を使用できますが、サブ
ネット上のノードは Unicast を使用する他のサブネット上のノードとしか通信できま
せん。
b.
同期するデータ タイプを 1 つまたはそれ以上選択します ( このオプションはデ
フォルトでは無効です )。
‰
Synchronize log messages - このオプションを選択すると、クラスタ内の
あらゆる IVE 間ですべてのログ メッセージを伝えます。1
‰
Synchronize user sessions - このオプションを選択すると、クラスタ内の
すべての IVE 間であらゆるユーザー セッション情報 ( たとえば、インター
ネット サービスへのアクセス ) を同期化できます。
‰
Synchronize last access time for user sessions - このオプションを選択する
と、最新のユーザー アクセス情報をクラスタ内に反映できます。
メモ :
„
IVE とともにロード バランサを使用している場合には、Synchronize last access
time for user sessions オプションを無効にするようにお勧めします。
„
Synchronize last access time for user sessions オプションをオフにすると、クラス
タの同期性能を大幅に向上できますが、ユーザーが IVE に接続中にこのオプション
を無効にすると、クライアントサイドの警告情報でセッションが終了するという
メッセージがユーザーに表示される場合があります。これらの警告はタイムスタン
プの不一致から自動的に生じるもので、ユーザー セッションの接続は実際には切れ
ません。
5.
Network Healthcheck Settings で、IVE の内部インターフェースが無効になる前に許
可された ARP PING 送信の失敗回数、および内部インターフェースが失敗した場合に
IVE の外部インターフェースを無効にするかどうかを指定します。
クラスタの削除
クラスタを削除すると、すべてのノードがスタンドアロンの IVE として稼働を開始しま
す。
クラスタを削除するには、次の操作を実行します。
1.
アクティブなクラスタ メンバの Web コンソールで、System > Clustering >
Properties タブを選択します。
2.
Delete Cluster を選択します。この操作が完了すると、すべてのクラスタ ノードがス
タンドアロン IVE として動作を開始します。
1. IVE をクラスタに追加しても、クラスタ リーダーから新しいメンバにログ メッセージは送信されません。ログ メッ
セージはまた、あるメンバーがサービスを再開させたり、オフライン OS がオンラインに復帰した場合、クラスタ メ
ンバー間で、同期化されません。一度すべての OS がオンラインになれば、ログメッセージは同期化されます。
328
„ Clustering ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
シリアル コンソールの手順
シリアル コンソールにより IVE をクラスタに追加することができます。ただし、個々の
IVE を IVE を Web コンソールにより追加する必要がある Access Series FIPS 環境で実行し
ている場合を除きます。
出荷時設定の IVE をクラスタに追加する場合は、最低限の情報を入力するだけで、初期化
プロセスの間に既存のクラスタを追加することができるので、シリアル コンソールの使
用をお勧めします。IVE は、クラスタに参加すると、クラスタ状態設定を受け取り、その
マシンの設定を既存の設定ですべて 上書きし、新しいマシンに必要な予備情報を提供し
ます。
さらに IVE のシリアル コンソールを使用して、クラスタ内の IVE を無効にすることもで
きます。IVE が同期状態の場合には、Web コンソールにアクセスできません。このため、
たとえば IVE をアップグレードまたは再起動する場合、まずシリアル コンソールにより
IVE をクラスタで無効にします。
シリアル コンソールを通じて IVE をクラスタに追加する
設定済みの、または出荷時設定の IVE がクラスタに参加する前に、その識別情報をクラス
タに認識させる必要があります。手順については、323 ページの「クラスタに加える IVE
の指定」を参照してください。
メモ : 現在、スタンドアロン マシンとして稼動している IVE を Web コンソールを介し
てクラスタに追加する場合には、追加する IVE が他のメンバと同じハードウェア プラッ
トフォームで同一バージョンまたはそれ以前のサービス パッケージを実行している必要
があります。
シリアル コンソールによって IVE をクラスタに追加するには、次の操作を実行します。
1.
既存のクラスタ メンバの Web コンソールで、System > Clustering > Status タブを
選択し、クラスタに追加する IVE を指定します。323 ページの「クラスタに加える
IVE の指定」を参照してください。
2.
クラスタに追加するマシンのシリアル コンソールに接続します。詳細については、
601 ページの「IVE シリアル コンソールの使用」を参照してください。
3.
マシンの電源を入れなおして再起動し、シリアル コンソールを監視します。システム
ソフトウェアが起動すると、「スタンドアロン IVE として起動しようとしています。
クラスタリング オプションを選択する場合には Tab を押してください。」という
メッセージが表示されます。このオプションが表示されたら、ただちに Tab キーを押
します。
メモ : メッセージが表示されてから 5 秒以内に Tab キーを押してください。スタンドア
ロン モードでマシンの起動が始まってしまった場合には、起動が完了するまで待ってか
ら再起動してください。
Clustering ページの設定
„
329
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 55: シリアル コンソール - クラスタ追加オプション
4.
既存のクラスタに IVE を追加させる指示のための番号を入力します。
5.
要求に従って、次のような情報を入力します。
„
クラスタ内のアクティブ メンバの内部 IP アドレス。
„
クラスタ パスワード、これはクラスタを定義したときに入力したパスワードで
す。
„
追加するマシンの名前。(この例では、マシン名は ive-2 です。
„
追加するマシンの内部 IP アドレス。
„
追加するマシンのネットマスク。追加するマシンのゲートウェイ。
„
追加するマシンのゲートウェイ。
アクティブなクラスタ メンバは、クラスタ パスワードを確認し、さらに、新しいマ
シン名と IP アドレスが、System > Clustering > Add Cluster Member ページで Web
コンソールを使用して指定した値と一致するか確認します。証明書が有効な場合は、
アクティブ メンバ、ライセンス キー、証明書、ユーザー、システム データなどの状
態データのすべてを新しいクラスタ メンバにコピーします。
330
„ Clustering ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 56: シリアル コンソール - 新しいクラスタ メンバの指定
図 57: シリアル コンソール - クラスタ追加の確認
6.
番号を入力して、IVE にクラスタへの追加手順の続行を指示します。マシンがクラス
タに追加されたことを確認するメッセージが表示されたら、いずれかのアクティブ
クラスタ メンバの Web コンソールで System > Clustering > Status タブを確認し、
新しいメンバの Status で、IVE がクラスタの有効なノードであることを示す緑色が表
示されていることを確認します。
Clustering ページの設定
„
331
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
シリアル コンソールによる IVE クラスタの無効化
シリアル コンソールによって IVE をクラスタ内で無効にするには、次の操作を実行し
ます。
1.
クラスタ内で無効にするマシンのシリアル コンソールに接続します。詳細について
は、601 ページの「IVE シリアル コンソールの使用」を参照してください。
2.
IVE の System Operations オプションに対応する番号を入力します。
図 58: シリアル コンソール - System Operations オプション
3.
Disable Node オプションに対応する番号を入力します。
図 59: シリアル コンソール - Disable Node オプション
332
„ Clustering ページの設定
4.
ノードを無効にするかどうかシリアル コンソールが尋ねる場合には y を入力します。
5.
どれかアクティブなクラスタ メンバの Web コンソールにおいて、System >
Clustering > Status タブでメンバーの Status が赤色ライトになっているかチェック
し、クラスタ内で IVE が無効になっていることを確認します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Virtual Systems ページの設定
Virtual Systems ページは、IVS 対応システムでルート管理者である場合に、1 つまたは複
数の仮想システムを定義するために使用できる単一ページです。
Instant Virtual System (IVS) については、217 ページの「Instant Virtual System (IVS) の概
要」を参照してください。
仮想システムを作成するには、次の操作を実行します。
1.
Web コンソールで、System > Virtual Systems を選択します。
2.
適切な設定を入力します。
3.
Save Changes をクリックします。
詳細情報は、234 ページの「仮想システム(IVS プロファイル)の作成」を参照してくだ
さい。
Virtual Systems ページの設定
„
333
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Log Monitoring ページの設定
Log Monitoring ページには、次のタブがあります。
„
334 ページの「Events、User Access、Admin Access、および NC Packet タブ」- ロ
グ ファイルの保存、動的ログ クエリの作成、ログ ファイルに保存するイベントの
指定、カスタムのフィルタとフォーマットの作成を実行するには、これらのタブを
使用します。
„
339 ページの「SNMP タブ」- SNMP エージェントとしての IVE を監視するには、こ
のタブを使用します。
„
344 ページの「Statistics タブ」- システムの統計情報を表示するには、このタブを使
用します。
„
344 ページの「Client-side Logs タブ」- Host Checker、Cache Cleaner、Secure
Meeting、W-SAM、J-SAM、Terminal Services、および Network Connect 機能につい
て、クライアントサイド ログを有効にするには、このタブを使用します。
IVE ログおよび監視機能については、189 ページの「ログと監視の概要」を参照してくだ
さい。
Events、User Access、Admin Access、および NC Packet タブ
System > Log/Monitoring > Events ページ、User Access ページ、Admin Access ページ、
NC Packet ページを使用して、ログ ファイルの保存、動的ログ クエリの作成、ログ ファ
イルに保存するイベントの指定、カスタムのフィルタとフォーマットの作成を実行しま
す。
Events Log、User Access Log、Admin Access Log、NC Packet Log の各ページには、次の
タブがあります。
„
334 ページの「Log タブ」
„
336 ページの「Settings タブ」
„
337 ページの「Filters タブ」
メモ : イベント ログ、ユーザ アクセス ログ、および管理者アクセス ログは、3 つの
別々のファイルです。各ファイルの基本設定手順は同じですが、ファイルの設定を修正
しても他のファイルの設定には変化はありません。各ファイルの内容については、189
ページの「ログと監視の概要」を参照してください。
Log タブ
ログ ファイルの保存、表示、またはクリア
ログ ファイルを保存、表示、またはクリアするには、次の操作を実行します。
334
„ Log Monitoring ページの設定
1.
Web コンソールで、System > Log/Monitoring を選択します。
2.
Events Log、User Access Log、Admin Access Log、または NC Packet Log タブをク
リックし、Log をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3. (セントラル マネージャのみ)View by filter リストから、IVE がデータのフィルタリ
ングに使用するカスタム フィルタを選択します。
4.
IVE が同時に表示するログ エントリの数を変更する場合は、Show フィールドに数値
を入力して、Update をクリックします。
5.
ログ ファイルを手動で保存するには、Save Log As をクリックし、目的のネットワー
ク ディレクトリに移動して、ファイル名を入力し、Save をクリックします。
6.
ローカル ログと log.old ファイルをクリアするには、Clear Log をクリックします。
メモ : ローカル ログをクリアしても、syslog サーバーによって記録されたイベントには
影響はありません。以降のイベントは新しいローカル ログ ファイルに記録されます。
動的ログ クエリの作成、リセット、または保存
動的ログ フィルタ クエリを作成、リセット、または保存するには、以下の操作を実行し
ます。
1.
Web コンソールで、System > Log/Monitoring を選択します。
2.
Events、User Access、Admin Access、または NC Packet タブを選択して、Log を選
択します。
3.
現在表示されているログのデータログ可変リンクをクリックします。ログは選択した
変数に関するデータログを速やかに引き出します。
4.
同様に変数の追加を続けます(オプション)。選択したデータログ可変リンクはそれ
ぞれ、追加の変数を付加的な変数を Edit Query テキストフィールドとログ アップ
デートに追加します。
(NC パケット ページのみ)Network Connect Packet ロギングに特有のフィルタ引数
を入力すると、このウィンドウの下部の表示を精選することができます。使用できる
Network Connect に特有のオプションは以下のとおりです。
„
port 番号 - このオプションでは、特定のリモート アプリケーション ポート番
号に送られる Network Connect パケットをすべて表示します。
„
srcport 番号 - このオプションでは、特定のソース アプリケーション ポート番
号から送られる Network Connect パケットをすべて表示します。
„
remoteip IP アドレス - このオプションでは、特定の IP アドレスに送られる
Network Connect パケットをすべて表示します。
„
sourceip IP アドレス - このオプションでは、特定の IP アドレスから送られる
Network Connect パケットをすべて表示します。
„
protocol TCP | ICMP | UDP - このオプションでは、TCP、ICMP、または UDP ト
ランスポート プロトコルでそれぞれ送信される Network Connect パケット ログ
をすべて表示します。
また、以上のオプションの組み合わせを定義すると、このウィンドウの下部に表示さ
れるログ エントリをより詳細に選択できます。たとえば、 (remoteip 10.1.2.3) and
(protocol UDP) のエントリにより、IP アドレス 10.1.2.3 に向かう Network Connect
UDP パケットだけを表示できます。
Log Monitoring ページの設定
„
335
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
Reset Query ボタンをクリックして、Edit Query テキスト フィールドと View by
filter フィールドで指定したフィルタによってフィルタリングされたビューへのログ
をリセットします(オプション)。
6.
Save Query ボタンをクリックして動的ログ クエリをカスタム フィルタとして保存し
ます(オプション )。Filters は、ログから選択した変数を事前に入力した Query
フィールドを表示します。次に、以下の手順に従います。
a.
フィルタの名前を入力します。
b.
Make default を選択して新しいフィルタをデフォルト フィルタにします。
c.
フィルタの開始日、終了日を設定するには、以下の操作を実行します。
‰
Start Date セクションで、Earliest Date をクリックして、ログ ファイルに格
納された最初に利用できる日からのログをすべて書き込みます。または手動
で開始日を入力します。
‰
End Date セクションで、Latest Date をクリックして、ログ ファイルに格納
された最後に利用できる日までのログをすべて書き込みます。または、手動
で終了日を入力します。
7.
で、Export Format セクションのフォーマットを選択します。利用可能なフォーマッ
トについての詳細は、337 ページの「Filters タブ」を参照してください。
8.
Save ボタンをクリックして、新しいフィルタを保存します。
Settings タブ
ログ ファイルに保存するイベントの指定
Settings タブのオプションを使用して、IVE によってログ ファイルに書き込まれるデー
タ、ログ ファイルを格納するのに使用する syslog サーバー、および最大ファイル サイズ
を指定します。
メモ : Archiving ページを使用して、FTP でアクセス可能な場所にログを自動的に保存
することもできます。詳細については、588 ページの「Archiving ページの設定」を参照
してください。
イベント ログ設定を指定するには、次の操作を実行します。
1.
Web コンソールで、System > Log/Monitoring を選択します。
2.
Events Log、User Access Log、Admin Access Log、または NC Packet Log タブをク
リックし、Settings をクリックします。
3.
Maxium Log Size リストから、ローカル ログ ファイルの最大ファイル サイズを
指定します ( 上限は 500MB)。システム ログには、指定した最大量のデータが表
示されます。
メモ : Maximum Log Size は、Standard フォーマットでフォーマットされたログのサイ
ズと最も緊密に対応した内部設定です。WELF などのより冗長なフォーマットを選択し
た場合は、ここで指定した制限をログ ファイルが越える可能性があります。
336
„ Log Monitoring ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
Select Events to Log で、ローカル ログ ファイルに取り込むイベントの種類ごとに
チェックボックスを選択します。
メモ : Events Log タブで Statistics チェックボックスを無効にした場合、IVE は統計情報
をログ ファイルには書き込みませんが、引き続き System > Log/Monitoring >
Statistics タブに表示します。詳細については、344 ページの「Statistics タブ」を参照し
てください。
メモ : Settings タブの Select Events to Log 部分は NC Packet ページには適用されませ
ん。これは、Network Connect パケットのロギングが、管理目的のロギングではなく、
クライアントサイドのパケット アクティビティに重点を置いたロギングのためです。
5.
Syslog Servers で、ログ ファイルを格納する syslog サーバーの情報を入力します(オ
プション)。
a.
syslog サーバーの名前または IP アドレスを入力します。
b.
サーバーのファシリティを入力します。には、8 つのファシリティ (LOCAL0 ~
LOCAL7) が用意されています。これらのファシリティは、syslog サーバー上の
ファシリティにマッピングできます。
c. (セントラル マネージャのみ)ログ ファイルに適用するフィルタを選択します。
d.
Add をクリックします。
e.
必要に応じて、他のサーバーについて上記の操作を繰り返します。
メモ : Syslog サーバーが次のような設定のメッセージを受け入れるようになっているこ
とを確認してください。facility = LOG_USER および level = LOG_INFO.
6.
Save Changes をクリックします。
Filters タブ
Filters タブのコントロールは、カスタム ログ フィルタを作成するか、事前定義された以
下のログ フィルタを編集または削除するために使用します。
„
Standard ( デフォルト ) - このログ フィルタ フォーマットは日付、時刻、ノー
ド、ソース IP アドレス、ユーザー、領域と、IVE イベント ID およびメッセージ
をログします。
„
WELF - このカスタマイズした WebTrends Enhanced Log Format (WELF) フィル
タは、標準の WELF フォーマットを IVE の領域、ロール、およびメッセージと
結合します。
„
WELF-SRC-2.0-Access Report - このフィルタは、カスタマイズした WELF フィ
ルタにアクセス クエリを追加します。このフィルタを NetIQ の SRC と一緒に使
用すると、ユーザーのアクセス方法についてのレポートを簡単に生成できます。
„
W3C - ワールドワイド ウェブ コンソーシアムの拡張ログ ファイル フォーマッ
トは、さまざまに異なるフィールドを持つカスタマイズ可能な ASCII フォーマッ
トです。このフォーマットの詳細については、http://www.w3.org を参照してくだ
さい。このフィルタをオプションとして提供するのは、ユーザー アクセス ログ
だけです。
Log Monitoring ページの設定
„
337
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ログ ファイル用のカスタム フィルタとフォーマットの作成
Filters タブのオプションを使用して、ログ ファイルに書き込むデータとフォーマットを
指定します。このオプションは、セントラル マネージャ パッケージでのみ利用できます。
1.
Web コンソールで、System > Log/Monitoring を選択します。
2.
Events、User Access、Admin Access、または NC Packet タブを選択して、Filters を
選択します。
3.
次のいずれかを実行します。
4.
„
既存のフィルタを修正するには、その名前をクリックします。
„
新しいフィルタを作成するには、New Filter をクリックします。
フィルタの名前を入力します。
メモ : フォーマットを選択して、Filter Name フィールドで新しい名前を作成した場合、
IVE は、既存のフォーマットに基づく新しいカスタム フィルタ フォーマットを作成しま
せん。代わりに、既存のフォーマットを、変更に応じて上書きします。
5.
Make Default をクリックして、選択したフィルタをログ ファイル タイプのデフォル
トとして定義します。Events、User Access、または administrator access ログ用にそ
れぞれ異なるフィルタを設定することもできます。
6.
Query セクションのオプションを使用して、IVE がログに書き込むデータの一部を制
御します。
a.
Start Date セクションで、Earliest Date をクリックして、ログ ファイルに格納さ
れた最初に利用できる日からのログをすべて書き込みます。または手動で開始日
を入力します。
b.
End Date セクションで、Latest Date をクリックして、ログ ファイルに格納され
た最後に利用できる日までのログをすべて書き込みます。または、手動で終了日
を入力します。
c.
Query セクションで、IVE カスタム エクスプレッション言語を使用して、IVE が
ログに書き込むデータの一部を制御します。手順については、613 ページの「カ
スタム エクスプレッション」を参照してください。
メモ : クエリに手動で入力する文字列 ( * ワイルドカード文字を含む ) は二重引用符で
囲む必要があります。たとえば、クエリ protocol="UDP" AND
sourceip=172.27.0.0/16 AND port=* を protocol="UDP" AND
sourceip=172.27.0.0/16 AND port="*" として提示する必要があります。そうしない
場合、ロギング コンポーネントがエラーを返します。
7.
Export Format セクションのオプションのいずれかを使用して、ログのデータの
フォーマットを制御します。
„
338
„ Log Monitoring ページの設定
標準的なフォーマットでログ エントリをフォーマットするには、Standard、
WELF、または W3C オプションを選択します。詳細については、191 ページの
「動的ログ フィルタ」を参照してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
8.
Custom オプションを選択して、使用するフォーマットを Format フィールド
に入力します。フォーマットを入力するときに、変数を % 記号で囲んでくだ
さい ( たとえば、%user%)。フィールドのその他の文字は、リテラルとして扱
われます。
Save をクリックします。
SNMP タブ
SNMP エージェントとしての IVE の監視
HP OpenView などのネットワーク管理ツールを使用して、SNMP エージェントとして IVE
を監視するには、このタブを使用します。IVE は、SNMP(Simple Network Management
Protocol)v2 をサポートし、プライベート MIB (管理情報ベース)を実装して、独自のト
ラップを定義します。ネットワーク管理ステーションでこれらのトラップを処理できるよ
うにするには、Juniper Networks MIB ファイルをダウンロードし、トラップを受信するた
めの適切な情報を指定する必要があります。
メモ : CPU の使用状況など、IVE に関する重要なシステム統計情報を監視するには、
UC-Davis MIB ファイルを SNMP 管理アプリケーションにロードします。MIB ファイル
は、次の URL からダウンロードできます。
http://net-snmp.sourceforge.net/docs/mibs/UCD-SNMP-MIB.txt
SNMP 設定を指定するには、次の操作を実行します。
1.
Web コンソールで、System > Log/Monitoring > SNMP を選択します。
2.
Juniper Networks MIB file リンクをクリックして MIB ファイルにアクセスし、ブラウ
ザからネットワークにファイルを保存します。MIB ファイルの Get オブジェクトと
Trap オブジェクトの説明は、340 ページの「構成オブジェクト」および 342 ページの
「ステータス / エラー オブジェクト」を参照してください。
3.
Agent Properties で以下のフィールドに情報を入力して、Save Changes をクリック
します。
„
System Name、System Location、および System Contact の各フィールドに、IVE
エージェントに関する情報を入力します ( オプション )。
„
Community フィールドに文字列を入力します ( オプション )。.
メモ : IVE を照会するには、ネットワーク管理ステーションからこの文字列を IVE に送
信する必要があります。
メモ : SNMP システムを停止するには、Community フィールドをクリアします。
4.
Trap Thresholds で、次のトラップに値を設定します ( オプション )。
„
Check Frequency
„
Log Capacity
„
Users
„
Memory
Log Monitoring ページの設定
„
339
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Swap Memory
„
Disk
„
Meeting Users
„
CPU
トラップの閾値については、340 ページの「構成オブジェクト」および 342 ページの
「ステータス / エラー オブジェクト」を参照してください。
5.
Optional traps で、次のいずれか、あるいは両方のオプションを選択します。
„
Critical Log Events
„
Major Log Events
これらのイベント タイプについての詳細は、189 ページの「ログと監視の概要」を
参照してください。
6.
SNMP Servers で以下のフィールドに情報を入力し、IVE が生成するトラップの送信先
となるサーバーを指定して、Add をクリックします。
„
サーバーのホスト名または IP アドレス
„
サーバーがリスンするポート ( 通常はポート 162)
„
ネットワーク管理ステーションで必要なコミュニティ文字列 ( 該当する場合 )
7.
Save Changes をクリックします。
8.
ネットワーク管理ステーションで、次の操作を実行します。
a.
Juniper Networks MIB ファイルをダウンロードします。
b.
IVE の照会時に必要なコミュニティ文字列を指定します ( ステップ 3 を参照 )。
c.
IVE トラップを受信するようにネットワーク管理ソフトウェアを設定します。
表 20: 構成オブジェクト
オブジェクト
説明
logFullPercent
利用可能なファイル サイズのうち現在のログが使用し
ている割合を logNearlyFull トラップのパラメータとして
返します。
signedInWebUsers
Web ブラウザで IVE にサインインしているユーザー数
を返します。
signedInMailUsers
E メール クライアントにサインインしているユーザ数
を返します。
blockedIP
iveToomanyFailedLoginAttempts トラップによって送信さ
れた(ログインに連続失敗したためにブロックされた)
IP アドレスを返します。システムは、ブロックされた
IP アドレスを blockedIPList テーブルに追加します。
authServerName
externalAuthServerUnreachable トラップによって送信さ
れた外部認証サーバーの名前を返します。
340
„ Log Monitoring ページの設定
ProductName
ライセンス登録している IVE 製品の名前を返します。
ProductVersion
IVE システム ソフトウェアのバージョンを返します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 20: 構成オブジェクト ( 続き )
オブジェクト
説明
fileName
archiveFileTransferFailed トラップによって送信された
ファイル名を返します。
meetingUserCount
meetingUserLimit トラップによって送信された同時ミー
ティングユーザーの数を返します。
iveCpuUtil
2 つの SNMP ポールの間に発生した CPU 使用率を返し
ます。この値は、CPU 使用量を現在および以前の SNMP
ポール間に利用可能な CPU 容量で割った値です。以前
のポールがない場合は、現在のポールとシステム ブー
トの間隔に基づいて計算されます。
iveMemoryUtil
SNMP ポール時の IVE によって使用されたメモリの使
用率を返します。システムはこの値を計算するために、
メモリ ページによって使用された数を使用可能なメモ
リ ページの数で除算します。
iveConcurrentUsers
IVE ノードにログインしたユーザーの合計数を返しま
す。
clusterConcurrentUsers
クラスタにログインしたユーザーの合計数を返します。
iveTotalHits
最後にリブートしてから IVE ノードにヒットした合計
数を返します。
iveFileHits
最後にリブートしてから IVE ノードにヒットしたファ
イルの合計数を返します。
iveWebHits
最後にリブートしてから Web インターフェイスを経由
してヒットした合計数を返します。
iveAppletHits
最後にリブートしてから IVE にヒットしたアプレット
の合計数を返します。
ivetermHits
最後にリブートしてから IVE にヒットしたターミナル
の合計数を返します。
iveSAMHits
最後にリブートしてから IVE ノードにヒットした
Secure Application Manager の合計数を返します。
iveNCHits
最後にリブートしてから IVE にヒットした Network
Connect の合計数を返します。
meetingHits
最後にリブートしてから IVE にヒットしたミーティン
グの合計数を返します。
meetingCount
meetingLimit トラップによって送信された同時ミーティ
ングの数を返します。
logName
logNearlyFull および iveLogFull トラップのログ
(admin/user/event) の名前を返します。
iveSwapUtil
SNMP ポール時の IVE によって使用されたスワップ メ
モリ ページの使用率を返します。この値は、スワップ
メモリ ページの数を使用可能なスワップ メモリ ページ
の数で割った値です。
diskFullPercent
iveDiskNearlyFull トラップの IVE で使用されたディスク
容量の使用率を返します。この値は、使用したディスク
容量ブロック数をディスク容量ブロック合計数で割っ
た値です。
Log Monitoring ページの設定
„
341
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 20: 構成オブジェクト ( 続き )
オブジェクト
説明
blockedIPList
最もブロックが多かった IP アドレス 10 個のテーブル
を返します。blockedIP MIB は、ブロックされた IP アド
レスをこのテーブルに追加します。
ipEntry
ブロックされた IP アドレスとそのインデックスを含む
blockedListIP テーブルのエントリ (IPEntry を参照 )。
IPEntry
blockedIPList テーブルのエントリのインデックス
(ipIndex) および IP アドレス (ipValue)。
ipIndex
blockedIPList テーブルのインデックスを返します。
ipValue
blockedIPList テーブルのブロックされた IP アドレスの
エントリ。
logID
logMessageTrap トラップによって送信されたログ メッ
セージの固有 ID を返します。
logType
logMessageTrap トラップによって送信された文字列に
ログ メッセージがメジャーかクリティカルなものかを
記述して返します。
logDescription
logMessageTrap トラップによって送信された文字列に
ログ メッセージがメジャーかクリティカルなものかを
記述して返します。
表 21: ステータス / エラー オブジェクト
オブジェクト
説明
iveLogNearlyFull
logName パラメータによって指定されたログ ファイル
(システム、ユーザー アクセス、または管理者アクセ
ス)は ほぼ 100 % 使用されています。このトラップが
送信されると、logFullPercent(ログ ファイルの使用率
%)パラメータも送信されます。任意のパーセントでこ
のトラップが送信されるように、設定できます。トラッ
プを無効にするには、iveLogNearlyFull を 0% に設定し
ます。トラップのデフォルト値は 90% です。
iveLogFull
logName パラメータによって指定されたログ ファイル
(システム、ユーザー アクセス、または管理者アクセ
ス)は 100% 使用されています。
iveMaxConcurrentUsersSignedIn
最大ユーザー数または許可された数の同時ユーザーが
現在サインインしています。任意のパーセントでこのト
ラップが送信されるように、設定できます。トラップを
無効にするには、iveMaxConcurrentUsersSignedIn を 0%
に設定します。トラップのデフォルト値は 100% です。
iveTooManyFailedLoginAttempts
特定の IP アドレスを持つユーザーが何度もサインイン
に失敗しています。ユーザーが認証に失敗すると、
Security Options タブの Lockout options の設定に従っ
て、トリガーされます (292 ページの「Lockout オプ
ションの設定」を参照してください )。
システムがこのトラップをトリガーする場合、
blockedIP ( ログインを試行している送信元の IP) パラ
メータもトリガーされます。
342
„ Log Monitoring ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 21: ステータス / エラー オブジェクト ( 続き )
オブジェクト
説明
externalAuthServerUnreachable
外部認証サーバーが認証要求に応答していません。
システムがこのトラップを送信する場合、
authServerName(ログ ファイルの使用率 %)
(アクセ
ス不能なサーバーの名前)パラメータも送信します。
iveStart
IVE が起動されました。
iveShutdown
IVE がシャットダウンされました。
iveReboot
IVE が再起動されました。
archiveServerUnreachable
IVE が設定された FTP アーカイブ サーバーまたは SCP
アーカイブ サーバーにアクセスできません。
archiveServerLoginFailed
IVE が設定された FTP アーカイブ サーバーまたは SCP
アーカイブ サーバーにログインできません。
archiveFileTransferFailed
IVE が設定された FTP アーカイブ サーバーに正常に
アーカイブ ファイルを転送できません。システムがこ
のトラップを送信するときは、fileName パラメータも
送信します。
meetingUserLimit
ユーザー数がライセンスの制限を越えているという通
知を送ります。システムがこのトラップを送信するとき
は、meetingUserCount パラメータも送信します。
iveRestart
管理者の指示に従って IVE が再起動したという通知を
送ります。
meetingLimit
同時ミーティング数がライセンスの制限を越えている
という通知を送ります。システムがこのトラップを送信
するときは、meetingCount パラメータも送信します。任
意のパーセントでこのトラップが送信されるように、
設定できます。トラップを無効にするには、
meetingLimit を 0% に設定します。トラップのデフォル
ト値は 100% です。
iveDiskNearlyFull
IVE のディスク ドライブ容量のほとんどが使用されて
いるという通知を送ります。システムがこのトラップを
送信するときは、diskFullPercent パラメータも送信しま
す。任意のパーセントでこのトラップが送信されるよう
に、設定できます。トラップを無効にするには、
iveDiskNearlyFull を 0% に設定します。トラップのデ
フォルト値は 80% です。
iveDiskFull
IVE のディスク ドライブ容量のほとんどが使用されて
いるという通知を送ります。
logMessageTrap
ログメッセージから生成したトラップ システムがこの
トラップを送信するときは、logID、logType、および
logDescription パラメータも送信します。
memUtilNotify
システムが設定されたメモリ使用率の閾値に達したと
いう通知を送ります。トラップを無効にするには、
memUtilNotify を 0 に設定します。デフォルトの閾値は
0% です。
cpuUtilNotify
システムが設定された CPU 使用率の閾値に達したとい
う通知を送ります。トラップを無効にするには、
cpuUtilNotify を 0 に設定します。デフォルトの閾値は
0% です。
Log Monitoring ページの設定
„
343
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 21: ステータス / エラー オブジェクト ( 続き )
オブジェクト
説明
swapUtilNotify
システムが設定されたスワップ ファイル メモリ使用率
の閾値に達したという通知を送ります。トラップを無効
にするには、swapUtilNotify を 0 に設定します。デフォ
ルトの閾値は 0% です。
Statistics タブ
システム統計情報の表示
IVE は、1 時間ごとに次のようなデータをログに記録します。
„
Web ユーザーのピーク時負荷
„
メール ユーザーのピーク時負荷
„
アクセスされた URL の数
„
アクセスされたファイルの数
Statistics ページには、過去 7 日分の情報が表示されます。この情報は 1 週間に 1 度シス
テム ログに書き込まれます。をアップグレードすると、すべての統計情報がクリアされま
す。ただし、1 時間ごとに統計情報を記録するようにシステムを設定した場合には、アッ
プグレード後も以前の統計情報をログ ファイルから呼び出すことができます。
システム統計を表示するには、次の操作を実行します。
1.
Web コンソールで、System > Log/Monitoring > Statistics を選択します。
2.
4 つのカテゴリのデータすべてを表示するには、ページをスクロールしてください。
Client-side Logs タブ
Host Checker、Cache Cleaner、Secure Meeting、W-SAM、J-SAM、Terminal Services、
Network Connect 機能について、クライアントサイド ロギングを有効にするには、
System > Log/Monitoring > Client-side Log タブを使用します。機能に対してこのオプ
ションを有効にすると、IVE はその機能を使用するクライアントにクライアントサイド ロ
グを作成します。IVE は、その後のユーザ セッションの最中にその機能が呼び出されるた
びに、ログ ファイルに記述します。この機能は、サポート チームと協力して各機能の問
題をデバッグするときに有用です。
メモ :
344
„ Log Monitoring ページの設定
„
また、IVE は、クライアントサイド ログを削除しません。また、IVE は、クライア
ントサイド ログを削除しません。ユーザーは、クライアントからログ ファイルを手
動で削除する必要があります。IVE がログ ファイルをインストールする場所につい
ては、653 ページの「クライアント サイドのアプリケーション インストール」を参
照してください。
„
Network Connect ユーザーがクライアントサイドのロギングをオフにする場合 (以下
の手順で IVE のロギングを有効にした場合でも )、クライアントは新しいクライア
ントサイドのログ情報を記録することはありません。ユーザーがロギング機能をオ
ンにし、クライアントサイドのロギングを無効にするように IVE が設定されている
場合、クライアントは新しいクライアントサイドのログ情報を記録しません。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
クライアントサイド ロギングの設定
グローバルなクライアントサイド ロギングの設定を指定するには、次の操作を実行しま
す。
1.
Web コンソールで、System > Log/Monitoring > Client-side Log を選択します。
2.
IVE にクライアントサイド ログを記述させたい機能を選択します。
3.
これらの設定をグローバルに保存するには、Save Changes をクリックします。
メモ : 新しい IVE 5.x システムでは、すべてのオプションがデフォルトで無効になって
います。IVE を 3.x からアップグレードする場合は、3 つのオプションがすべてデフォ
ルトで有効になっています。
Log Monitoring ページの設定
„
345
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
346
„ Log Monitoring ページの設定
第 8章
Signing In 設定
Web コンソールの Signing In セクションの設定を使用すると、サインイン ポリシーおよ
びページの設定、エンドポイント検証オプションの設定、認証サーバーのセットアップを
行うことができます。
目次
„
349 ページの「Sign-in ページの設定」
„
358 ページの「End Point ページの設定」
„
373 ページの「AAA Servers ページの設定」
„
347
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
348
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Sign-in ページの設定
Sign-in ページには、次のタブがあります。
„
349 ページの「Sign-in Policies タブ」- サインイン ポリシーの作成、設定、順序付け
を実行するには、このタブを使用します。
„
352 ページの「Sign-in Pages タブ」- 標準サインイン ページの作成または変更、サ
インイン ページ設定の指定、カスタマイズ ページの作成と有効化を行うには、この
タブを使用します。
Sign-in Policies タブ
サインイン ポリシーの作成、設定、順序付けを実行するには、このタブを使用します。サ
インイン ポリシーでは、53 ページの「サインイン ポリシーの概要」で説明されているよ
うに、ユーザーおよび管理者が IVE にアクセスする際に使用する URL を定義します。
管理者およびユーザーのサインイン ポリシーの作成と設定
管理者またはユーザーのサインイン ポリシーを作成、設定するには、次の操作を実行し
ます。
1.
Web コンソールで、Signing In > Sign-in > Sign-in Policies を選択します。
2.
新しいサインイン ポリシーを作成するには、New URL をクリックします。また、既
存のポリシーを編集するには、Administrator URLs または User URLs 列の URL をク
リックします。
3.
IVE にサインインできるユーザーを指定するには、Users または Administrators を選
択します。
4.
Sign-in URL フィールドに、ポリシーと関連付ける URL を入力します。
< host>/<path> の書式を使用します。<host>/<path> の書式を使用します。ここ
で、<host> は IVE のホスト名で、 <path> はユーザーに入力させる任意の文字列で
す。例:partner1.yourcompany.com/outside。. 複数のホストを指定するには、* ワ
イルドカード文字を使用します。例:
„
サインイン ページを使用しなければならない指定した領域内のすべての管理者
URL を指定するには、*/admin を入力します。
„
サインイン ページを使用しなければならない指定した領域内のすべてのエンド
ユーザー URL を指定するには、*/ を入力します。
メモ : ワイルドカード文字 (*) は、URL のホスト名部分の先頭にのみ使用できます。IVE
は URL パス内のワイルドカードを認識しません。
5.
ポリシーの Description を入力します ( オプション )。
6.
Sign-in Page リストから、ポリシーと関連付けるページを入力します。IVE に提供
されているデフォルトのページ、標準サインイン ページに変更を加えたページ、
またはユーザー設定可能な UI 機能を使用して作成するカスタム ページを選択す
ることができます。詳細については、352 ページの「Sign-in Pages タブ」を参照
してください。
Sign-in ページの設定
„
349
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
7.
( ユーザー URL のみ ) Meeting URL フィールドで、サインイン ポリシーと関連付ける
ミーティング URL を選択します。IVE は、このユーザー URL にサインインするユー
ザーが作成したミーティングに、指定されたミーティング URL を適用します。
8.
Authentication realm で、ポリシーにマッピングする領域を指定し、ユーザーと管理
者が領域から選択する方法を指定します。以下の選択肢があります。
„
User types the realm name - サインイン ポリシーはすべての認証領域にマッピ
ングされますが、IVE はユーザーまたは管理者が選択できる領域のリストを提供
しません。代わりに、ユーザーまたは管理者は、領域の名前を手動でサインイン
ページに入力する必要があります。
„
User picks from a list of authentication realms - IVE は選択された認証領域にの
みサインイン ポリシーをマッピングします。IVE は、ユーザーまたは管理者が
IVE にサインインするときに、この領域のリストを提示します。ユーザーまたは
管理者は、リストから領域を選択することができます。(URL が 1 つの領域だけ
にマッピングされている場合には、IVE が認証領域のドロップダウン リストを表
示しないことに注意してください。代わりに、指定された領域が自動的に使用さ
れます。
メモ : ユーザーが複数の領域から選択できるように設定し、それらの領域の 1 つが匿名
の認証サーバーを使用している場合は、IVE はドロップダウン領域リストでその領域を
表示しません。サインイン ポリシーを匿名領域に有効にマッピングするには、
Authentication realm リストにその領域だけを加える必要があります。
9.
Save Changes をクリックします。
ミーティング サインイン ポリシーの作成と設定
ミーティング サインイン ポリシーを作成、設定するには、次の操作を実行します。
1.
Web コンソールで、Signing In > Sign-in > Sign-in Policies を選択します。
2.
新しいサインイン ポリシーを作成するには、New URL をクリックします。また、既
存のポリシーを編集するには、Meeting URLs 列の URL をクリックします。
3.
Meeting を選択します。
4.
Sign-in URL フィールドに、ミーティング ポリシーと関連付ける URL を入力します。
< host>/<path> の書式を使用します。<host>/<path> の書式を使用します。ここ
で、<host> は IVE のホスト名で、 <path> はユーザーに入力させる任意の文字列で
す。例:Partner1.YourCompany.com/OnlineConference。ミーティング URL を作成
する場合は、次の点に注意してください。
„
350
„ Sign-in ページの設定
製品に付属しているデフォルトのミーティング URL (*/meeting) の URL を変更
することはできません。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
ユーザーが関連したユーザー URL で定義されたすべてのホスト名を使用して
ミーティングにサインインできるようにするには、管理者はミーティング URL
定義で * ワイルドカード文字を使用します。例えば、以下のホストをユーザー
URL に関連付けることができます。
‰
YourInternalServer.YourCompany.net
‰
YourExternalServer.YourCompany.com
このあと、*/OnlineConference ミーティング URL 定義を作成し、それをユー
ザー URL に関連付ければ、ユーザーは以下の URL のいずれかを使用してこの
ミーティング サインイン ページにアクセスできます。
„
‰
http://YourInternalServer.YourCompany.net/OnlineConference
‰
http://YourExternalServer.YourCompany.com/OnlineConference
* ワイルドカード文字を含むミーティング URL を作成して、E メール通知を有効
にすると、IVE はユーザーが IVE にサインインするときに指定したホスト名を使
用して、通知 E メールにミーティング URL を作成します。たとえば、ユーザー
は上記の例から次の URL を使用して、IVE にサインインするとします。
http://YourInternalServer.YourCompany.net
ここで、ユーザーがミーティングを作成すると、IVE はそのミーティング用に次
のようなサインイン URL を E メール通知で指定します。
http://YourInternalServer.YourCompany.net/OnlineConference
E メール リンクは内部サーバーを参照するため、ネットワーク外のユーザーは
ミーティングにアクセスすることができません。
„
関連付けられたユーザー URL で定義されているホスト名のサブセットを使用し
たユーザーだけがミーティングにサインインできるようにしたい場合、または
ユーザーがミーティングにサインインするときに全く異なった URL を使用させ
たい場合には、ミーティング URL 定義に * ワイルドカード文字を含めないでく
ださい。代わりに、専用のミーティング URL 定義を作成します。
たとえば、次のようなミーティング URL 定義を作成して、それを上記の例の
ユーザー URL と関連付け、すべてのミーティングに外部サーバーへのリンクだ
けが含まれるように指定できます。
YourExternalServer.YourCompany.com/OnlineConference
5.
ポリシーの Description を入力します ( オプション )。
6.
Sign-in Page リストから、このポリシーを使用してミーティングにアクセスするユー
ザーに表示するサインイン ページを選択します。IVE に付属するデフォルトのペー
ジ、標準サインイン ページに変更を加えたページ、またはユーザー設定が可能な UI
機能を使用して作成するカスタマイズ ページから選択できます。詳細については、
352 ページの「Sign-in Pages タブ」を参照してください。
7.
Save Changes をクリックします。
Sign-in ページの設定
„
351
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
サインイン ポリシーが評価される順序の指定
IVE は、54 ページの「サインイン ポリシーの評価」で説明されているように、Sign-in
Policies ページにリストされている同じ順序で管理者サインイン ポリシーを評価します。
管理者サインイン ポリシーが評価される順序を変更するには、次の操作を実行します。
1.
Web コンソールで、Signing In > Sign-in > Sign-in Policies を選択します。
2.
Administrator URLs リスト、User URLs リスト、または Meeting URLs リストで、サ
インイン ポリシーを選択します。
3.
リストで選択したポリシーの配置を変更するには、↑と↓をクリックします。
4.
Save Changes をクリックします。
サインイン ポリシーの有効化と無効化
サインイン ポリシーの有効化と無効化を行うには、次の操作を実行します。
1.
Web コンソールで、Signing In > Sign-in > Sign-in Policies を選択します。
2.
有効化または無効化を実行するには、次の操作を実行します。
„
An individual policy - 変更するポリシーの横にあるチェックボックスを選択し
て、Enable または Disable をクリックします。
„
All user and meeting policies - ページの上部にある Restrict access to
administrators only チェックボックスをオンまたはオフにします。
Sign-in Pages タブ
標準サインイン ページおよびカスタマイズしたページを作成または変更するには、この
タブを使用します。サインイン ページでは、Welcome テキスト、ヘルプ テキスト、ロゴ、
ヘッダ、およびフッタなど、54 ページの「サインイン ページ」で説明されているように、
エンドユーザーの Welcome ページのカスタマイズするプロパティを定義します。
標準サインイン ページの作成または変更
標準サインイン ページを作成または変更するには、次の操作を実行します。
352
„ Sign-in ページの設定
1.
Web コンソールで、Signing In > Sign-in > Sign-in Pages を選択します。
2.
次のいずれかの操作を実行します。
„
新しいページを作成する場合 - New Page をクリックします。
„
既存のページを変更する場合 - 変更するページに対応するリンクを選択しま
す。
3.
( 新規ページのみ ) Page Type で、これが管理者 / ユーザー アクセス ページかミー
ティング ページであるかを指定します。
4.
ページを識別する名前を入力します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
Custom Text セクションで、画面ラベルとして表示されるデフォルトのテキストを変
更します。Instructions フィールドにテキストを追加する場合は、以下の HTML タグ
を使用してテキストをフォーマットし、リンクを追加することができます。<i>、
<b>、<br>、<font>、および <a href> です。ただし、IVE はサインイン ページのリ
ンクを再書き込みしないので(ユーザーがまだ認証されていないため)、外部にある
サイトを指し示すだけにしてください。ファイアウォールの内側にあるサイトへのリ
ンクは失敗します。
メモ : サポートされていない HTML タグをカスタム メッセージで使用する場合、IVE は
エンドユーザーの IVE ホームページを正しく表示できない場合があります。
6.
Header appearance セクションで、ヘッダのカスタム ロゴ イメージ ファイルとヘッ
ダの色を指定します。
7.
Custom error messages セクションで、証明書エラーが発生したときにユーザーに表
示されるデフォルトのテキストを変更します。(Secure Meeting sign-in ページでは利用
できません )。
8.
カスタム ヘルプまたは追加の指示を表示するには、Show Help button を選択して、
ボタンのラベルを入力し、IVE にアップロードする HTML ファイルを指定します。こ
の HTML ページで参照されるイメージやその他のコンテンツは IVE には表示されま
せん。(Secure Meeting sign-in ページでは利用できません )。
9.
Save Changes をクリックします。変更はすぐに反映されますが、アクティブ セッ
ション中のユーザーはその Web ブラウザを最新の情報に更新する必要があります。
メモ : Restore Factory Defaults をクリックすると、サインイン ページ、IVE ユーザー
ホームページ、および Web コンソールの外観が元の状態にリセットされます。
カスタム ページ
カスタマイズ可能なサインイン ページ機能により、55 ページの「カスタム サインイン
ページ」で説明されているように、IVE の認証前ページとパスワード管理ページ、Secure
Meeting ページの概観をカスタマイズできます。
カスタマイズしたページを作成して有効にするには、次のステップを実行する必要があり
ます。
„
354 ページの「IVE からのテンプレートのダウンロード」
„
354 ページの「カスタム ページの作成」
„
355 ページの「テンプレートの zip ファイルへのアーカイブ」
„
356 ページの「IVE へのカスタマイズされたページのアップロード」
„
356 ページの「カスタマイズされたページの URL への割り当て」
„
357 ページの「カスタム ページの動作の確認」
Sign-in ページの設定
„
353
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVE からのテンプレートのダウンロード
IVE のカスタム ページを作成する場合は、IVE に提供されたテンプレートを基にして処理
を開始することを強くお勧めします。これらのテンプレートには、カスタム ページを通じ
て IVE に転送する必要のある JavaScript、変数、およびフォームのフィールドがすべて含
まれています。また、zip ファイルのテンプレートには、ページを作成する際に役立つオ
プションのコードも含まれています。詳細については、633 ページの「samples.zip のテン
プレートの使用」を参照してください。
メモ : 必要なデータがすべてテンプレートに含まれていなければ、ユーザーは IVE また
はミーティングにサインインすることができません。そのため、ページを作成する際に
はサンプルのテンプレートを使用することを強くお勧めします。
IVE でサンプル ファイルにアクセスするには、次の操作を実行します。
1.
管理者として Web コンソールにサインインします。
2.
Signing In > Sign-in > Sign-in Pages を選択します。
3.
Upload Custom Pages をクリックします。
4.
次のいずれかのファイルを選択してダウンロードします。
5.
„
Sample
„
SoftID
„
Kiosk
„
Meeting
ローカル ディレクトリに保存します。
カスタム ページの作成
カスタマイズしたページを作成するには、お気に入りの HTML エディタを使用し、630
ページの「テンプレート ツールキット言語の理解」で説明された規則を使用して、
HTML、CSS、および JavaScript を作成します。カスタム ページを作成する場合は、次の点
にご注意ください。
„
カスタマイズした IVE ページを作成するために、HTML と JavaScript の両方について
の実践知識が必要です。
„
IVE に存在しないリソースへのリンクを作成する場合は、http:// から始まるリソー
スの絶対パスを使用する必要があります。例:
http://www.google.com
„
zip ファイル内のリソースを参照する場合は、標準の HTML を使用して、拡張子が
.txt、.html、.gif、.jpg、.js、.pdf、.css、.class、.jar、および .cab のファイルを参照す
ることができます。または、テンプレート ツールキット言語を使用して、拡張子が
.thtml のファイルを参照することができます。例:
<a href= “link.gif” >Click Here</a>
<% INCLUDE LoginPage.thtml %>
354
„ Sign-in ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
zip ファイル内のリソースの親ディレクトリを参照する場合は、「..」規則または <%
Home %> 変数を使用して、最上位のディレクトリを参照することができます。例:
<% Home %>/images/logo.gif
../images/logo.gif
„
複数の言語をサポートしたい場合は、サポートする言語ごとに別々のページを作成
し、それらを別々の zip ファイルに保存して(french.zip や english.zip など)、各 zip
ファイルを別々の URL に関連付けます。その後、ユーザーが使用する言語に基づい
て適切な URL にサインインするようユーザーに指示します。
„
ブックマーク ページ、ファイル ブラウジング ページ、エンドユーザー ヘルプ ペー
ジなど、認証後にユーザーに表示される標準の IVE ページをカスタマイズすることは
できません。
„
リリース 4.1 現在では、IVE に提供されているカスタム テンプレートにはすべて、
バージョン番号が含まれています。この番号を変更しないでください。
テンプレートの zip ファイルへのアーカイブ
カスタム ページを作成したら、テンプレートと、サポートするイメージ、スタイル シー
ト、JavaScript ファイル、およびアプレットをすべて zip ファイルにアーカイブする必要
があります。アーカイブを作成する場合は、次の点にご注意ください。
„
.cgi ファイルを zip ファイルに含めることはできません。含めた場合、IVE はアップ
ロードを拒否します。
„
IVE にアップロードする zip ファイル(複数可)の合計サイズが 12 MB を超えてはい
けません。
„
すべてのテンプレート(.thtml)ファイルを、展開した zip ファイルの最上位ディレ
クトリに含める必要があります。
„
カスタムの管理者またはユーザー ページを作成する場合は、次のようなテンプレー
トをアーカイブのルート レベルに入れる必要があります ( そのようなテンプレート
をすべて IVE が使用しないようにしたい場合でも )。テンプレートを入れない場合、
IVE はアップロードを拒否します。
„
„
LoginPage.thtml
„
ExceedConcurrent.thtml
„
SSL.thtml
„
Logout.thtml
カスタムのミーティング ページを作成する場合は、次のようなテンプレートをアー
カイブのルート レベルに入れる必要があります ( そのようなテンプレートをすべて
IVE が使用しないようにしたい場合でも )。テンプレートを入れない場合、IVE はアッ
プロードを拒否します。
„
LoginMeeting.thtml
„
MeetingAppletInstaller.thtml
„
MeetingRun.thtml
„
MeetingRunJava.thtml
„
MeetingTestJava.thtml
Sign-in ページの設定
„
355
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
„
MeetingTestJS.thtml
„
MeetingTestMSJava.thtml
„
MeetingTestResult.thtml
„
MeetingTrouble.thtml
zip ファイルに 1 つ以上のオプションのページを含める選択をしない場合、IVE は、
代わりに独自の標準ページを使用して、ユーザー全機能を確保します。ただし、一貫
性を保つため、IVE はデフォルトのサインイン ページ用に指定した適用可能なヘッダ
要素を、独自の標準ページに挿入します。カスタム ヘッダ要素を定義するには、Web
コンソールの Signing In > Sign-in > Sign-in Pages タブの設定を使用します。
IVE へのカスタマイズされたページのアップロード
テンプレートと、サポートするファイルを zip ファイルにアーカイブしたら、zip ファイ
ルを IVE にアップロードする必要があります。
zip ファイルを IVE にアップロードするには、次の操作を実行します。
1.
管理者として Web コンソールにサインインします。
2.
Signing In > Sign-in > Sign-in Pages を選択します。
3.
Upload Custom Pages をクリックします。
4.
zip ファイルを識別する名前を IVE に入力します。
メモ : IVE に既に存在する別の zip ファイルと同じファイル名を選択した場合、IVE は既
存のアーカイブを新しいアーカイブで上書きし、現在のバージョンのみを保存します。
5.
カスタムの管理者ページまたはユーザー ページを IVE にアップロードする場合は、
Access を選択します。カスタムのミーティング ページをアップロードする場合には、
Meeting を選択します。
6.
カスタム ページが入った zip ファイルをブラウズします。
7.
必要な変数がすべてテンプレートに含まれていることを IVE に検証させたくない場合
は、skip validation checks during upload チェックボックスを選択します。必要な変
数のリストについては、IVE に提供されているサンプル テンプレートのコメントと、
633 ページの「samples.zip のテンプレートの使用」の説明を参照してください。IVE
は、ファイルを IVE にアップロードした後、サーバー上の指定されたディレクトリに
保存する前に、検証チェックを実行します。
メモ : このオプションは、非本番環境でクイック テストを実行する場合以外選択しない
ことを推奨します。
8.
Save Changes をクリックします。
カスタマイズされたページの URL への割り当て
カスタマイズされたページの ZIP ファイルを IVE にアップロードしたら、それをサインイ
ン URL に関連付ける必要があります。
zip ファイルをサインイン URL に割り当てるには、次の操作を実行します。
1.
356
„ Sign-in ページの設定
管理者として Web コンソールにサインインします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
Signing In > Sign-in > Sign-in Policies を選択します。
3.
カスタム ページに関連付けたい URL をクリックします。
4.
Sign-in page リストから、356 ページの「IVE へのカスタマイズされたページのアッ
プロード」で指定した名前を選択します。
5.
Save Changes をクリックします。
6.
( ミーティング ページのみ ) ミーティング URL をユーザー URL に関連付けるには、
次の操作を実行します。
a.
Signing In > Sign-in > Sign-in Policies ページに戻ります。
b.
User URLs で、ミーティング URL に関連付けたいユーザー URL を選択します。
c.
Meeting URL フィールドに、サインイン ポリシーと関連付けるミーティング
URL を入力します。IVE は、このユーザー URL にサインインするユーザーが作
成したミーティングに、指定されたミーティング URL を適用します。
d.
Save Changes をクリックします。
カスタム ページの動作の確認
IVE がカスタム ページを使用することを確認するには、前のセクションで指定した URL
にサインインして、ページが表示されることを確認します。認証サーバー インスタンスを
定義するには、このタブを使用します。
Sign-in ページの設定
„
357
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
End Point ページの設定
End Point ページには、次のタブがあります。
„
358 ページの「Host Checker タブ」- Host Checker オプションの指定および Host
Checker ポリシーの作成には、このタブを使用します。
„
370 ページの「Cache Cleaner タブ」- Cache Cleaner オプションを指定するには、こ
のタブを使用します。
Host Checker タブ
一般的な Host Checker オプションの指定、グローバル クライアントサイド ポリシーの作
成、およびグローバル サービスサイド ポリシーの作成を実行するには、Signing In >
End Point > Host Checker タブを使用します。
一般的な Host Checker オプションの指定
認証ポリシー、ロール マッピング規則、またはリソース ポリシーに Host Checker を必要
とするユーザーに適用するための、Host Checker 用のグローバル オプションを指定でき
ます。
一般的な
Host Checker オプションの指定 :
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
2.
Options で、次の操作を実行します。
„
Perform check every X minutes フィールドで、クライアント マシンで Host
Checker を実行する間隔を指定します。クライアント マシンが、ロールまたはリ
ソース ポリシーにより要求される Host Checker ポリシーの条件を満たさない場
合、IVE は、関連ユーザーからの要求を拒否します。
たとえば、ロール A にマッピングして、外部からネットワークに接続するには、
ユーザーが特定のサードパーティ ウイルス駆除 アプリケーションを実行する必
要があるように設定できます。ユーザーが IVE にサインインしたときに、ユー
ザーのクライアント マシンが必須のウィルス駆除アプリケーションを実行して
いる場合は、そのユーザーがロール A にマッピングされ、ロール A に対して有
効なすべてのアクセス機能が与えられます。ただし、ユーザー セッション中に
ウィルス駆除アプリケーションが動作を停止した場合は、Host Checker が次回実
行されたときに、ユーザーはロール A のセキュリティ要件を満たしておらず、
ロール A に対して付与されているすべてのアクセス権を失います。
メモ : ゼロ値を入力すると、ユーザーが初めて IVE にサインインしたときにのみ Host
Checker がクライアント マシンで実行されます。
„
358
„ End Point ページの設定
Client-side process, login inactivity timeout フィールドにタイムアウト間隔を指
定します。Host Checker が起動した後 ( ただし IVE にサインインする前 ) に IVE
サインイン ページからナビゲートする場合、Host Checker は指定した間隔で
ユーザー マシンで引き続き実行します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
IVE の Host Checker のバージョンが、クライアントにインストールされている
バージョンよりも新しいときに、IVE に Host Checker アプリケーションをクライ
アント マシンへ自動的にダウンロードさせたい場合は、Auto-upgrade Host
Checker をオンにします。このオプションを有効にする場合には、次の点に注意
する必要があります。
‰
IVE がクライアントで Host Checker アプリケーションを自動インストールす
るには、ユーザーに管理者権限が必要となります。詳細については、653
ページの「アプリケーションを実行、インストールするために必要な権利」
を参照してください。
‰
ホスト チェッカをアンインストールし、その後で IVE にサインインした場
合、この IVE で Auto-upgrade Host Checker オプションが有効になっていな
いと、ホスト チェッカにはアクセスできません。
„
Host Checker の動的ポリシー評価を有効にして個別ユーザーのロールを自動的に
更新するには、Perform dynamic policy reevaluation をオンにします。Host
Checker は、ユーザーの Host Checker ステータスが変更される場合にいつでもリ
ソース ポリシーを評価するように IVE にトリガーします。( このオプションを選
択しない場合、IVE は リソース ポリシーを評価しませんが、Host Checker ス
テータスが変わる場合には常に認証ポリシー、ロール マッピング規則、ロール
制限を評価します。) 詳細については、43 ページの「ダイナミック ポリシー評
価」を参照してください。
„
同一の物理ネットワークのウイルス感染した他のコンピュータからの Windows
クライアント コンピュータへの攻撃を防ぐ Connection Control ポリシーを作成
するには、Create Host Checker Connection Control Policy をオンにします。接
続コントロール ポリシーはすべての着信 TCP 接続と、すべての着信および送信
UDP パケットをブロックします。このポリシーは、すべての送信 TCP と
Network Connect トラフィック、および DNS サーバー、WINS サーバー、DHCP
サーバー、プロキシ サーバー、IVE へのすべての接続を許可します。
メモ : Create Host Checker Connection Control Policy オプションを選択する場合、領
域レベルで Connection Control ポリシーを評価または実行して、クライアント コン
ピュータでポリシーを有効にすることができます。Windows では、IVE がクライアント
コンピュータで Connection Control ポリシーを実行するには、ユーザーに管理者権限が
必要です。手順については、677 ページの「Host Checker の制限」を参照してください。
3.
Save Changes をクリックします。
グローバルなクライアントサイド Host Checker ポリシーの作成
Windows、Macintosh、または Linux を実行するクライアントの場合には、指定したクラ
イアントサイドのプロセス、ファイル、ポートが仕様に一致させるグローバル Host
Checker ポリシーを作成できます。Windows を実行するクライアントの場合には、さらに
レジストリ エントリをチェックして、統合されたサードパーティ エンドポイント セキュ
リティ製品用のグローバル Host Checker ポリシーを作成することができます。
一度このポリシーを作成すれば、領域、ロール、リソースの各レベルで実装することがで
きます。
グローバルなクライアントサイド Host Checker ポリシーを作成するには、次の操作を実
行します。
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
2.
Policies の New をクリックします。
End Point ページの設定
„
359
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
Policy Name フィールドに名前を入力し、Continue をクリックします。( このポリ
シーのためにカスタム指示を有効にした場合、ユーザーは Host Checker 改善ページ
でこの名前を見ることができます。
4.
Host Checker のオプションを指定したいオペレーティング システム (Windows、
Mac、または Linux) に対応するタブをクリックします。同じポリシーで、各オペレー
ティング システムに異なる Host Checker 要件を指定できます。たとえば、各オペ
レーティング システムで異なるファイルやプロセスをチェックする 1 つのポリシー
を作成できます。
5.
(Windows のみ ) Host Checking Method で、次のオプションを任意の数だけ選択しま
す(オプション)。
6.
„
Sygate Enforcement API - Sygate Personal Firewall 製品がクライアント マシン
にインストールされている必要があります。
„
Sygate Security Agent - Sygate Security Agent がクライアント マシンにインス
トールされている必要があります。
„
Zone Labs: Zone Alarm Pro および Zone Labs Integrity - Zone Alarm Pro または
Zone Labs Integrity のどちらかがクライアント マシンにインストールされている
必要があります。
„
McAfee Desktop Firewall 8.0 - McAfee Desktop Firewall 8.0 がクライアント マシ
ンにインストールされている必要があります。
„
InfoExpress CyberGatekeeper Agent - InfoExpress CyberGatekeeper Agent がク
ライアント マシンにインストールされている必要があります。
Rule Settings で、ドロップダウン リストから規則の種類 ( 詳細については、81 ペー
ジの「Host Checker ポリシーの定義」を参照 ) を選択し、Add をクリックします ( オ
プション )。規則の設定ダイアログボックスが表示されます。次に示す設定ダイアロ
グボックスで、以下の操作を実行します。
„
3rd Party NHC Check (Windows のみ ):
i.
3rd Party NHC Check 規則の名前を入力します。
ii.
クライアント OS 上の DLL の場所(パスおよびファイル名)を入力します。
iii. Save Changes をクリックします。
„
Attribute Check: Ports:
i.
ポート規則の名前を入力します。
ii.
ポートまたはポートの範囲を、1234,11000-11999,1235 のように、カン
マ区切り(スペースを入れない)で入力します。
iii. これらのポートがクライアント OS 上で開いていることを要求するには
Required を選択し、閉じておくことを要求するには Deny を選択します。
iv.
„
360
„ End Point ページの設定
Save Changes をクリックします。
Attribute Check: Process:
i.
プロセス規則の名前を入力します。
ii.
good-app.exe のようなプロセス(実行形式ファイル)の名前を入力します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
プロセス名を指定するには、ワイルドカード文字を使用できます。例:
good*.exe
詳細については、365 ページの「Host Checker 規則でのワイルドカードと環
境変数の使用」を参照してください。
iii. このプロセスが実行されることを要求するには Required を選択し、実行さ
れないことを要求するには Deny を選択します。
iv.
ポリシーを適用したい実行形式ファイルの MD5 チェックサム値をそれぞれ
指定します(オプション)。たとえば、デスクトップ、ラップトップ、また
は異なるオペレーティング システムで実行形式ファイルの MD5 チェックサ
ム値を変えることができます。Macintosh および Linux では、以下のコマン
ドを使用して MD5 チェックサムを調べることができます。
openssl md5 <processFilePath>
v.
„
Save Changes をクリックします。
Attribute Check: File:
i.
フィルタの名前を入力します。
ii.
ファイル(任意のファイルの種類)の名前を c:\temp\bad-file.txt または
/temp/bad-file.txt のように入力します。
ファイル名を指定するには、ワイルドカード文字を使用できます。
例:
*.txt
また、環境変数を使用してファイルにディレクトリ パスを指定することも
できます。( ディレクトリ パスにはワイルドカード文字を使用できません。
<% と %> 文字で変数を囲みます。例:
<%windir%>\bad-file.txt
詳細については、365 ページの「Host Checker 規則でのワイルドカードと環
境変数の使用」を参照してください。
iii. このファイルがクライアント OS に存在することを要求するには Required
を選択し、存在しないことを要求するには Deny を選択します。
iv.
ファイルの最長期間(日数)を指定します(オプション)。ファイルが指定
した日数よりも古い場合は、クライアントが属性チェック要件を満たしてい
ないことになります。
メモ : この最大使用期間のオプションを使用して、ウィルス署名の使用期間をチェック
します。ウィルス署名データベースや、データベースが更新されるたびに更新されるロ
グ ファイルなど、ウィルス署名が最後に更新された時期をタイムスタンプが示している
ファイルへのパスを、File Name フィールドに必ず指定してください。たとえば、
TrendMicro を使用する場合なら、次のように指定します。
C:\Program Files\Trend Micro\OfficeScan Client\TmUpdate.ini
End Point ページの設定
„
361
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
v.
ポリシーを適用したい各ファイルに MD5 チェックサム値を指定します(オ
プション)。Macintosh および Linux では、以下のコマンドを使用して MD5
チェックサムを調べることができます。
openssl md5 <filePath>
vi. Save Changes をクリックします。
„
Attribute Check: Registry Setting (Windows のみ ):
i.
レジストリ設定規則の名前を入力します。
ii.
ドロップダウン リストからルート キーを選択します。
iii. レジストリ サブキー用のアプリケーション フォルダのパスを入力します。
iv.
要求したい鍵の値の名前を入力します(オプション)。この名前は、レジス
トリ エディタの Name 列に表示されます。
v.
鍵の値の種類 (String、Binary、または DWORD) をドロップダウン リストか
ら選択します(オプション)。この種類は、レジストリ エディタの Type 列
に表示されます。
vi. 必要なレジストリキー値を指定します ( オプション )。この情報は、レジス
トリ エディタの Data 列に表示されます。
鍵の値がアプリケーションのバージョンを表す場合、指定したバージョン以
降のアプリケーション バージョンを許可するには、Minimum version をオ
ンにします。IVE は、語彙ソートを使用して、指定したバージョン以降がク
ライアントで使用されているかどうかを判断します。例:
3.3.3 は 3.3 より新しい
4.0 は 3.3 より新しい
4.0a は 4.0b より新しい
4.1 は 3.3.1 より新しい
メモ : このオプションを使用して、アンチウィルス アプリケーションのバージョン情
報を指定し、クライアントのアンチウィルス ソフトウェアが最新版かどうかを確認し
ます。
vii. Save Changes をクリックします。
メモ : キーとサブキーのみを指定した場合、Host Checker は、レジストリで Subkey
フォルダが存在するかどうかを検証するだけです。
362
„ End Point ページの設定
7.
必要に応じて、ステップ 6 を繰り返してポリシーに他の規則を追加します。
8.
代わりになる規則のセットをポリシーで使用したい場合は、Rules expression の横に
ある Edit を選択して、規則をブール演算子 (AND、OR) と組み合わせます。規則の式
を入力するには、次のガイドラインを使用してください。
„
規則の名前を Rules expression テキストボックスに入力します。
„
2 つの規則または規則のセットが真である場合には、AND を使用します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
2 つの規則または規則のセットのどちらかが真である場合には、OR を使用しま
す。
„
規則のセットを組み合わせるには、括弧を使用します。
たとえば、個人的なファイアウォールを実行し、2 つの利用可能なアンチウィルス製
品のどちらかを実行する必要がある場合には、以下のような式を使用します。
ZoneLabsFirewall AND (McAfeeAntivirus OR NortonAntivirus)
9.
ユーザーのコンピュータが現在のポリシーの要件を満たしていない場合、Host
Checker に実行させる改善アクション (82 ページの「Host Checker 改善ページの使
用」を参照 ) を指定します ( オプション )。
„
Enable Custom Instructions - Host Checker 改善ページでユーザーに表示する指
示を入力します。テキストをフォーマットして、ポリシー サーバーや Web サイ
トなどのリソースにリンクを追加するには、以下のような HTML タグを使用し
ます。<i>、 <b>、<br>、<font>、および <a href> です。例:
最新の署名ファイルがありません。
<a href="www.company.com"> ここをクリックして、最新の署名ファイルをダウ
ンロードします。</a>
メモ : Windows クライアントの場合には、IVE が保護しているポリシー サーバーへのリ
ンクを指示に記載する場合は、認証前アクセス トンネルを定義します。詳細について
は、367 ページの「Host Checker 認証前アクセス トンネル定義の指定」を参照してくだ
さい。
„
Evaluate other policies - ユーザーのコンピュータが現在のポリシー要件を満た
さない場合に、Host Checker に評価させたい、代わりとなる 1 つまたはそれ以
上のポリシーを選択できます。たとえば、ユーザーがキオスクなど、クライアン
ト コンピュータの外側から IVE にアクセスしようとする場合、Sygate Virtual
Desktop 環境でユーザーが IVE にアクセスするために必要となる、代わりとなる
ポリシーを評価するためにこのオプションを使用できます。HC Policies リストで
代わりとなるポリシーを選択し、Add をクリックします。
メモ : 代替ポリシーを設定してそれ自身の代替ポリシーを使用する場合には、Host
Checker は現在のポリシーの代わりに「第二レベル」の代替ポリシーを評価することは
ありません。言い換えると、Host Checker はトランザクションごとに代替ポリシーを 1
つだけ評価します。
„
Kill Process - ユーザーのコンピュータがポリシー要件を満たさない場合には、
中止したい 1 つまたはそれ以上のプロセスの名前を各行で入力します。プロセス
にオプションの MD5 チェックサムを入れることができます。( プロセス名にワイ
ルドカードを使用することはできません。) プロセスを中止するためにユーザー
には所定の権限が必要です。例:
keylogger.exe
MD5: 6A7DFAF12C3183B56C44E89B12DBEF56
End Point ページの設定
„
363
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Delete Files - ユーザーのコンピュータがポリシー要件を満たさない場合に、削
除したいファイル名を入力します。( ファイル名にワイルドカードを使用するこ
とはできません。) 行ごとにファイル名を 1 つ入力します。ファイルを削除する
には、ユーザーは所定の権限が必要です。例:
c:\temp\bad-file.txt
/temp/bad-file.txt
10. 別のオペレーティング システムのためにこのポリシーで規則を追加するか、Host
Checker オプションを指定したい場合、ステップ 4 ~ ステップ 9 を繰り返します。
11. 規則の追加とオプションの指定が終了したら、Signing In > End Point > Host
Checker ページで Save Changes をクリックします。そのポリシーが Host Checker
Configuration ページに追加されます。
12. 677 ページの「Host Checker の制限」の説明にしたがって、領域、ロール、リソース
の各レベルでポリシーを実行します。
364
„ End Point ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Host Checker 規則でのワイルドカードと環境変数の使用
以下のワイルドカードを使用して、Attribute Check: File 規則でファイル名を指定した
り、Attribute Check: Process 規則でプロセス名を指定することができます。
表 22: ファイル名またはプロセス名を指定するためのワイルドカード文字
ワイルドカード文字
説明
例
*
任意の文字と一致
*.txt
?
正確に 1 文字と一致
app-?.exe
Windows 用の Attribute Check: File 規則で、次の環境変数を使用してファイルへのディ
レクトリ パスを指定できます。
表 23: Windows でディレクトリ パスを指定するための環境変数
環境変数
Windows 値の例
<%APPDATA%>
C:\Documents and Settings\jdoe\Application Data
<%windir%>
C:\WINDOWS
<%ProgramFiles%>
C:\Program Files
<%CommonProgramFiles%>
C:\Program Files\Common Files
<%USERPROFILE%>
C:\Documents and Settings\jdoe
<%HOMEDRIVE%>
C:
<%Temp%>
C:\Documents and Settings \<user name>\Local
Settings\Temp
Macintosh および Linux 用の Attribute Check: File 規則で、次の環境変数を使用してファ
イルへのディレクトリ パスを指定できます。
表 24: Macintosh と Linux でディレクトリ パスを指定するための環境変数
環境変数
Macintosh 値の例
Linux 値の例
<%java.home%>
/System/Library/Frameworks/JavaVM. /local/local/java/j2sdk1.4.1_02/jre
framework/ Versions/1.4.2/Home
<%java.io.tmpdir%>
/tmp
/tmp
<%user.dir%>
/Users/admin
/home-shared/cknouse
<%user.home%>
/Users/admin
/home/cknouse
グローバルなサーバーサイド ポリシーの作成
Windows クライアントの場合、IVE にアップロードしてクライアント マシン上で実行す
る J.E.D.I. DLL が必要となるグローバルな Host Checker ポリシーを作成することができま
す。一度このポリシーを作成すれば、領域、ロール、リソースの各レベルで呼び出すこと
ができます。詳細については、81 ページの「Host Checker ポリシーの定義」を参照して
ください。
グローバルなサーバーサイド Host Checker ポリシーを作成するには、次の操作を実行し
ます。
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
2.
Policies の New 3rd Party Policy をクリックします。
3.
zip ファイルを識別する名前を IVE に入力します。
End Point ページの設定
„
365
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
zip ファイルが位置付いているローカル ディレクトリをブラウズします。
5.
ユーザーのコンピュータが現在のポリシーの要件を満たしていない場合、Host
Checker に実行させる修正措置 (82 ページの「Host Checker 改善ページの使用」を参
照 ) を指定します ( オプション )。
„
Enable Custom Instructions - Host Checker 改善ページでユーザーに表示する指
示を入力します。テキストをフォーマットして、ポリシー サーバーや Web サイ
トなどのリソースにリンクを追加するには、以下のような HTML タグを使用し
ます。<i>、 <b>、<br>、<font>、および <a href> です。例:
最新の署名ファイルがありません。
<a href="www.company.com"> ここをクリックして、最新の署名ファイルをダウ
ンロードします。</a>
メモ : Windows クライアントの場合には、IVE が保護しているポリシー サーバーへのリ
ンクを指示に記載する場合は、認証前アクセス トンネルを定義します。詳細について
は、367 ページの「Host Checker 認証前アクセス トンネル定義の指定」を参照してくだ
さい。
„
Evaluate other policies - ユーザーのコンピュータが現在のポリシー要件を満た
さない場合に、Host Checker に評価させたい、代わりとなる 1 つまたはそれ以
上のポリシーを選択できます。たとえば、ユーザーがキオスクなど、クライアン
ト コンピュータの外側から IVE にアクセスしようとする場合、Sygate Virtual
Desktop 環境でユーザーが IVE にアクセスするために必要となる、代わりとなる
ポリシーを評価するためにこのオプションを使用できます。HC Policies リストで
代わりとなるポリシーを選択し、Add をクリックします。
メモ : 代替ポリシーを設定してそれ自身の代替ポリシーを使用する場合には、Host
Checker は現在のポリシーの代わりに「第二レベル」の代替ポリシーを評価することは
ありません。言い換えると、Host Checker はトランザクションごとに代替ポリシーを 1
つだけ評価します。
„
Remediate - このオプションを選択して、サードパーティ J.E.D.I. DLL の
Remediate () API 関数により指定した改善アクションを実行することができます。
詳細については、Juniper Support サイトで入手できる J.E.D.I. Solution Guide を参
照してください。
„
Kill Process - ユーザーのコンピュータがポリシー要件を満たさない場合には、
中止したい 1 つまたはそれ以上のプロセスの名前を各行で入力します。プロセス
にオプションの MD5 チェックサムを入れることができます。( プロセス名にワイ
ルドカードを使用することはできません。
例:
keylogger.exe
MD5: 6A7DFAF12C3183B56C44E89B12DBEF56
„
Delete Files - ユーザーのコンピュータがポリシー要件を満たさない場合に、削
除したいファイル名を入力します。( ファイル名にワイルドカードを使用するこ
とはできません。) 行ごとにファイル名を 1 つ入力します。例:
c:\temp\bad-file.txt
/temp/bad-file.txt
366
„ End Point ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
6.
Save Changes をクリックします。zip ファイルに定義されているポリシーがホスト
チェッカの Configuration ページに追加されます。
7.
677 ページの「Host Checker の制限」の説明にしたがって、領域、ロール、リソース
の各レベルでポリシーを実行します。
Host Checker 認証前アクセス トンネル定義の指定
Windows クライアントの場合、ユーザーが認証される前に Host Checker メソッドまたは
サードパーティ J.E.D.I. DLL が IVE に保護されたポリシー サーバー( または他のリソース )
にアクセスできるようにする認証前アクセス トンネルを定義することができます。(詳細
については、86 ページの「ポリシー サーバーを Host Checker クライアントに使用可能に
する」を参照してください)。
Host Checker 認証前アクセス トンネル用の定義は、1 つのポリシー サーバーまたは他の
リソースへのアクセスを設定します。トンネル定義はそれぞれ IP アドレスとポートのペ
アを構成します。クライアントでは 1 つのループバック IP アドレスとポート、ポリシー
サーバーでは 1 つの IP アドレスとポートです。
Host Checker ポリシー パッケージ定義ファイルで 1 つまたはそれ以上のトンネル定義を
指定します。MANIFEST.HCIF という名前を付ける必要があるパッケージ定義ファイルは、
インターフェース DLL の名前、DLL で定義された Host Checker ポリシー、および認証前
アクセス トンネル定義を定義します。パッケージにポリシーを入れない場合、Host
Checker は、そのパッケージがクライアント上で実行されるように強制します。この点に
注意してください。このファイルでポリシーを宣言すると、そのポリシーは、IVE Web コ
ンソールを通して利用できるようになり、その領域、ロール、およびリソース ポリシー
レベルで実装できるようになります。
MANIFEST.HCIF ファイル内では、以下の形式で、定義の間でそれぞれ空行を入れて 1 行
につき定義を 1 つインクルードする必要があります。
HCIF-Main : <DLLName>
HCIF-Policy : <PolicyName>
HCIF-IVE-Tunnel: <client-loopback>:port
<policy-server>:port
ここで
<DLLName> は、myPestPatrol.dll などインターフェース DLL の名前です。インター
フェース DLL を使用していない場合でも、このとおりの名前をもつ、プレースホルダ
ファイルとしてのダミー DLL をインクルードする必要があります。
<PolicyName> は、myFileCheck など DLL で定義されたポリシーの名前です。HCIF-Policy
ステートメントをポリシーにそれぞれ使用して、複数のポリシーを定義することができま
す。インターフェースを DLL 使用していない場合、任意のポリシー名をプレスホルダとし
て使用することができます。
Host Checker トンネル定義の構文は次のとおりです。
HCIF-IVE-Tunnel: <client-loopback>:port
<policy-server>:port
ここで
<client-loopback> は 127. で始まるループバック アドレスであり、以下のどれかの形式
となります。
„
127.*.*.*:port という形式をとる IP アドレスとポート。JSAM との競合を避けるため
に、127.0.0.1 をポート 80 と一緒に使用しないでください。ただし、 127.0.0.1 は
他のポートと使用することができます。例:127.0.0.1:3220
End Point ページの設定
„
367
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
127 で開始するループバック アドレスに解決するホスト名。クライアント コン
ピュータまたは DNS サーバーでそれぞれローカル ホスト ファイルを使用して、ルー
プバック アドレスを解決することができます。
„
ループバック アドレスに解決しない、または非ループバック アドレスに解決するホ
スト名。こうした場合に、Host Checker はループバック アドレスを割り当てて、その
マッピングを持つクライアントでローカル ホスト ファイルを更新します。Host
Checker がローカル ホスト ファイルを変更するために、ユーザーには管理者権限が
必要になります。ユーザーに管理者権限がない場合、Host Checker はホスト ファイル
を更新することができず、認証前アクセス トンネルを開くことができません。この場
合、Host Checker はエラーをログに記録します。
<policy-server> はバックエンド ポリシー サーバーの IP アドレスまたはホスト名です。
IVE は指定されたホスト名を解決します。
たとえば、以下のようなトンネル定義では、127.0.0.1:3220 はクライアント ループ
バック アドレスとポートであり、mysygate.company.com:5500 はポリシー サーバー ホ
スト名とポートです。
HCIF-IVE-Tunnel: 127.0.0.1:3220
mysygate.company.com:5500
または、この例のようにクライアントのホスト名を使用することができます。
HCIF-IVE-Tunnel: mysygate.company.com:3220
mysygate.company.com:5500
トンネル定義を指定するときは、次の点を考慮してください。
„
MANIFEST.HCIF ファイル内の各行の間に空行を追加する必要があります。行の先頭に
セミコロンを使用して、コメントを指示することができます。例:
HCIF-Main : myPestPatrol.dll
HCIF-Policy : myFileCheck
HCIF-Policy : myPortCheck
; Tunnel definitions
HCIF-IVE-Tunnel: 127.0.0.1:3220 mysygate.company.com:5500
HCIF-IVE-Tunnel: 127.1.1.1:3220 mysygate2.company.com:5500
HCIF-IVE-Tunnel: mysygate.company.com:3220 mysygate3.company.com:5500
„
Host Checker 認証前アクセス トンネルがサポートされているのは Windows だけで
す。
„
<client-loopback> が非ループバック アドレスの場合、Host Checker は認証前アクセ
ス トンネルを開くことができず、その代わりにエラーをログに記録します。
„
127.0.0.1 以外のループバック アドレス (127.0.0.2 およびそれ以上 ) を使用する場
合、Windows XP Service Pack 2 を使用しているクライアントは XP SP2 Hot Fix をイ
ンストールする必要があります。参照 :
http://support.microsoft.com/default.aspx?scid=kb;en-us;884020
368
„ End Point ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
メモ : クライアントサイドまたはサーバーサイドのサードパーティ DLL を配置している
場合、次の点を配慮します。
„
サーバーサイド サードパーティ DLL パッケージを unzip して、サードパーティ DLL
用のポリシーを含む MANIFEST.HCIF ファイルにトンネル定義を追加します。(DLL
は MANIFEST.HCIF ファイルで定義する、同じ <client-loopback> アドレス、および
ポートまたはホスト名を使用する必要があります。
„
認証前アクセス トンネルが開くのは、Host Checker が実行している間だけであるた
め、サードパーティ DLL がその IVE が保護するポリシー サーバーにアクセスでき
るのは Host Checker が実行している間だけです。
„
サードパーティ DLL が HTTPS を使用して、ループバック アドレスに正しく解決す
るホスト名によってそのポリシー サーバーに接続する場合、サーバー証明書の警告
は表示されません。ただし、サードパーティ DLL がループバック アドレスによって
明示的に接続する場合、サーバー証明書の警告が表示されます。これは、証明書内
のホスト名がループバック アドレスに一致しないためです。( サードパーティ DLL
のデベロッパーはこれらの警告を無視するように DLL を設定することができます。
サードパーティ DLL の詳細については、Juniper Support サイトで入手できる J.E.D.I.
Solution Guide を参照してください。
Host Checker ポリシー パッケージの IVE へのアップロード
IVE がパッケージ定義ファイルを認識できるように、ファイルを MANIFEST.HCIF と命名
し、META-INF という名前のフォルダに格納する必要があります。このあと、
MANIFEST.HCIF ファイル、Host Checker ポリシー パッケージ用の zip ファイルに入って
いるインターフェース DLL および任意の初期化ファイルを格納している META-INF フォル
ダをアーカイブする必要があります。たとえば、Host Checker ポリシー パッケージ用の
zip ファイルの内容は以下のとおりです。
META-INF/MANIFEST.HCIF
hcif-myPestPatrol.dll
hcif-myPestPatrol.ini
異なる MANIFEST.HCIF ファイルがそれぞれに入っている複数のポリシー パッケージを
IVE にアップロードすることができます。Host Checker は定義が一意的であるという仮定
で、MANIFEST.HCIF ファイルのすべてにある全トンネル定義のためにトンネルを作成し
ます。
Host Checker ポリシー パッケージを IVE にアップロードするには、次の操作を実行しま
す。
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
2.
Policies の New 3rd Party Policy をクリックします。
3.
使用する Host Checker ポリシー パッケージを IVE で識別する名前を入力します。た
とえば、myPestPatrol と入力します。
4.
Host Checker ポリシー パッケージ用の zip ファイルが存在しているローカル ディレ
クトリにブラウズします。
End Point ページの設定
„
369
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
Save Changes をクリックします。Host Checker Configuration ページの 3rd Party
Policy に Host Checker ポリシー パッケージが追加されます。ポリシー パッケージの
認証前アクセス トンネル定義のリストを表示するには、Host Checker Configuration
ページの 3rd Party Policy でポリシー パッケージの名前をクリックします。3rd Party
Policy ページの Host Checker Preauth Access Tunnels にトンネル定義がリストアッ
プされます。
一度 Host Checker ポリシー パッケージを IVE にアップロードすると、サーバー上では
パッケージの内容を修正できません。代わりに、パッケージをローカル システムで修正し
てから、修正したバージョンを IVE にアップロードする必要があります。
メモ : Host Checker ポリシー パッケージを IVE にアップロードしたあと、領域、ロー
ル、またはリソース ポリシーでパッケージやポリシーを評価したり、実行することが
できます。パッケージそのものがクライアント コンピュータにインストールされ、実
行されているかどうかを確認する場合 ( パッケージの特定のポリシーの通過または失
敗に対して )、ポリシー パッケージをアップロードしたときに指定した名前を使用で
きます ( 例 : myPestPatrol)。パッケージの特定のポリシーを実行するには、構文
<PackageName>.<PolicyName> を使用します。たとえば、myPestPatrol パッケージ
の FileCheck ポリシーを実行するには、 myPestPatrol.FileCheck を使用します。手順
については、677 ページの「Host Checker の制限」を参照してください。
Host Checker インストーラのダウンロード
ホスト チェッカ アプリケーションを Windows の実行形式ファイルとしてダウンロード
するには、Maintenance > System > Installers を選択します。Host Checker のダウン
ロードの詳細については、572 ページの「アプリケーションまたはサービスをダウンロー
ドする」を参照してください。
Cache Cleaner タブ
Signing In > End Point > Cache Cleaner タブを使用して、Cache Cleaner を実行する頻度
とその状態の IVE を更新する頻度、およびクリアするブラウザ キャッシュとディレクト
リを指定します。この機能の詳細については、90 ページの「Cache Cleaner の概要」を参
照してください。
グローバルな Cache Cleaner の設定
グローバルなキャッシュ クリーナの設定を指定するには、次の操作を実行します。
370
„ End Point ページの設定
1.
Web コンソールで、Signing In > End Point > Cache Cleaner を選択します。
2.
Options で、以下の内容を指定します。
a.
Cleaner Frequency フィールドに、キャッシュ クリーナを実行する頻度を指定し
ます。有効な値は 1-60 分です。Cache Cleaner が実行されるたびに、IVE の
Content Intermediation Engine を通してダウンロードしたすべての情報と、以下
の Browser Cache および Files and Folders セクションで指定したブラウザ
キャッシュ、ファイル、およびフォルダがクリアされます。
b.
Status Update Frequency フィールドに、IVE がキャッシュ クリーナの更新を要
求する頻度を指定します。有効な値は 1-60 分です。
c.
Client-side process, login inactivity timeout フィールドにタイムアウト間隔を指
定します。Cache Cleaner が起動した後 ( ただし IVE にサインインする前 )、IVE
サインイン ページからナビゲートする場合に、Cache Cleaner は指定した間隔で
ユーザーのマシンで引き続き実行します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
d.
Disable AutoComplete of web addresses チェックボックスを選択して、ユー
ザーの IVE セッション中に、ブラウザがキャッシュ値を使用して自動的に Web
アドレスを入力しないように設定します。
このオプションを選択すると、IVE は、ユーザーの IVE セッション中に以下の
Windows レジストリ値 :
HKEY_CURRENT_USER\Software\\Microsoft\\Windows\\CurrentVersion\\Ex
plorer\ AutoComplete を 0 に設定します。この後、セッションが終了したら、
IVE は、元の設定値にレジストリ値を戻します。
e.
f.
Disable AutoComplete of usernames and passwords のチェックボックスをオン
にして、Internet Explorer がキャッシュ値を使用して自動的に Web フォームの
ユーザー証明書に入力しないように設定します。このオプションを選択すると、
Windows システム上で表示される「パスワードを保存しますか?」のプロンプ
トも無効にします。このオプションを選択すると、IVE は、以下の Windows レジ
ストリ値を 0 に設定します。
‰
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords
‰
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords\FormSuggest PW Ask
‰
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\ DisablePasswordCaching
Flush all existing AutoComplete Passwords のチェックボックスをオンにして
Internet Explorer がユーザーのシステム上でキャッシュしたパスワードを消去し
ます。このオプションを選択すると、IVE は、以下の Windows レジストリ値 :
HKEY_CURRENT_USER \Software\\Microsoft\\Internet
Explorer\\IntelliForms\\SPW を 0 に設定します。
この後、次のいずれかのオプションを選択します。
g.
3.
‰
For IVE session only を選択して IVE セッションが終了したら IVE がユー
ザーのキャッシュされたパスワードを復元するように指定します。
‰
キャッシュされたパスワードを永久に削除するには、Permanently を選択し
ます。
ユーザーのセッションが終了したときに IVE がクライアント マシンから Cache
Cleaner をアンインストールするようにしたい場合は、Uninstall Cache Cleaner
at logout チェックボックスをオンにします。
Browser Cache で、1 つまたはそれ以上のホスト名またはドメインを入力します(ワ
イルドカードを使用できます)。ユーザー セッションが終了すると、キャッシュ ク
リーナは、これらのサーバーを起点とするブラウザ キャッシュの内容を削除します。
キャッシュ クリーナも、指定されたクリーナ実行間隔で実行されたときに、この内
容を削除します。はホスト名を解決しないため、ホスト名、FQDN、IP アドレスな
ど、サーバーに関する情報をすべて入力します。この点に注意してください。
End Point ページの設定
„
371
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
Files and Folders で、次の操作を実行します。
a.
b.
5.
次のいずれかを指定します。
‰
キャッシュ クリーナに削除させたいファイルの名前、または
‰
キャッシュ クリーナにコンテンツを削除させたいフォルダの完全パス。ディ
レクトリを指定する場合、このディレクトリ内のサブディレクトリの内容も
クリアするには、Clear Subfolders を選択します。
ユーザー セッション終了時にのみ、キャッシュ クリーナにディレクトリ内容を
クリアさせたい場合は、Clear folders only at the end of session チェックボック
スをオンにします。このチェックボックスをオフにしておくと、指定されたク
リーナ実行間隔でも Cache Cleaner がファイルとフォルダを削除します。
これらの設定をグローバルに保存するには、Save Changes をクリックします。
メモ : Internet Explorer ブラウザの場合、Files and Folders で指定したディレクトリに
関わらず、Cache Cleaner は Internet Explorer のキャッシュをすべて自動的に消去しま
す。Firefox ブラウザの場合、Cache Cleaner が消去するのは Files and Folders で指定さ
れたディレクトリだけです。
372
„ End Point ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
AAA Servers ページの設定
AAA Servers ページを使用すると、認証サーバーを設定できます。詳細は、以下を参照し
てください。
„
374 ページの「認証サーバー インスタンスを定義する」
„
374 ページの「認証サーバー インスタンスを変更する」
„
375 ページの「ローカル認証サーバー インスタンスの設定」
„
380 ページの「LDAP サーバー インスタンスの設定」
„
383 ページの「NIS サーバー インスタンスの設定」
„
384 ページの「ACE/Server インスタンスの設定」
„
387 ページの「RADIUS サーバー インスタンスの設定」
„
394 ページの「Active Directory または NT ドメイン インスタンスの設定」
„
399 ページの「匿名サーバー インスタンスの設定」
„
401 ページの「Netegrity SiteMinder サーバー インスタンスの設定」
„
421 ページの「証明書サーバー インスタンスの設定」
„
423 ページの「ユーザー セッションの表示と削除」
メモ : 選択するサーバーの種類を決定するときは、次の点にご注意ください。
„
IVE ごとに作成できる ACE と Radius サーバー インスタンスは、それぞれ 1 つだけ
です。
„
Active Directory サーバーを次のプロトコルで認証する場合
„
„
„
NTLM protocol - Active Directory/Windows NT Domain を選択します。詳細に
ついては、394 ページの「Active Directory または NT ドメイン インスタンスの
設定」を参照してください。
LDAP protocol - LDAP Server を選択します。詳細については、380 ページの
「LDAP サーバー インスタンスの設定」を参照してください。
ユーザー管理者を認証するためにローカル IVE サーバー インスタンスを作成する場
合、IVE Authentication を選択する必要があります。詳細については、375 ページ
の「ローカル認証サーバー インスタンスの設定」を参照してください。
AAA Servers ページの設定
„
373
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
認証サーバー インスタンスを定義する
認証サーバー インスタンスを定義するには、このページを使用します。認証サーバーは
ユーザーの認証情報を認証し、承認サーバーは、IVE がシステムでのユーザー権限を判別
するために使用するユーザー情報を提供します。たとえば、証明書サーバー インスタンス
を指定して、ユーザーのクライアントサイド証明書属性に基づいてユーザーを認証し、次
に LDAP サーバー インスタンスを作成して、CRL(証明書失効リスト)に含まれる値に基
づいてユーザーを承認することができます。認証サーバーの詳細については、49 ページ
の「認証サーバー」を参照してください。
認証サーバー インスタンスを定義するには、次の操作を実行します。
1.
New ドロップダウン メニューから、サーバー タイプを選択します。
2.
Go をクリックします。
3.
選択したサーバーに応じて、個々のサーバー インスタンスを設定します。
4.
管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定
します 。詳細については、429 ページの「認証領域ポリシーの指定」を参照して
ください。
5.
ローカル IVE 認証サーバーを設定している場合は、ローカル ユーザー アカウントを
定義します。手順については、375 ページの「ローカル認証サーバー インスタンスの
設定」を参照してください。
認証サーバー インスタンスを変更する
認証サーバー インスタンスを変更するには、次の操作を実行します。
374
„ AAA Servers ページの設定
1.
Signing In > AAA Servers を選択します。
2.
変更するサーバーへのリンクをクリックします。
3.
該当するサーバー ページで変更を行います。
4.
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ローカル認証サーバー インスタンスの設定
次のようなトピックについて説明します。
„
375 ページの「ローカル認証サーバーの概要」
„
375 ページの「ローカル認証サーバー インスタンスの定義」
„
377 ページの「ローカル ユーザーの作成」
„
377 ページの「ユーザー アカウントの管理」
„
378 ページの「ユーザー管理権限のエンドユーザーへの委任」
ローカル認証サーバーの概要
IVE では、IVE で認証されるユーザーのローカル データベースを 1 つまたは複数作成でき
ます。通常は外部の認証サーバーでユーザーを認証するが、この外部認証サーバーを無効
にする予定がある場合や、一時的なユーザーのグループを作成する場合には、ローカル
ユーザー レコードを作成すると便利です。すべての管理者アカウントはローカル レコー
ドとして保存されますが、429 ページの「認証領域ポリシーの指定」で説明する手順を実
行して、外部サーバーで管理者を認証することもできます。
ローカル認証サーバー インスタンスの定義
新しい IVE サーバー インスタンスを定義するときには、一意なサーバー名を指定し、パ
スワード オプションとパスワード管理を設定する必要があります。パスワード オプショ
ンでは、パスワードの長さ、文字の構成、および独自性を設定できます。必要であれば、
自分のパスワードを変更する権限をユーザーに与えて、指定した日数が経過した後、ユー
ザーにパスワードの変更を強制することができます。また、期限切れの何日か前にパス
ワードを変更するようユーザーに促すこともできます。
ローカル認証サーバー インスタンスを定義するには、以下の操作を実行します。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
次のいずれかの操作を実行します。
„
新しいサーバ インスタンスを IVE 上で作成するには、New リストから IVE
Authentication を選択して、New Server をクリックします。
„
既存のサーバー インスタンスを更新するには、Authentication/Authorization
Servers リストの適切なリンクをクリックします。
3.
新しいサーバー インスタンスを識別する名前を指定するか、既存のサーバーの現在
の名前を編集します。
4.
パスワード オプションを指定します。
a.
Password options で、パスワードの最低文字数を設定します。
b.
パスワードの最大文字数を構成します ( オプション )。最大文字数は最低文字数
以下にできません。最大文字数に上限はありません。
メモ : すべてのパスワードを同じ文字数にする場合は、最低文字数と最大文字数をどち
らも同じ値にします。
c.
Password must have at least_digits チェックボックスをオンにして、パスワード
に数字の必須桁数を指定します ( オプション )。Maximum length オプションの
値以上の桁数を要求しないでください。
ローカル認証サーバー インスタンスの設定
„
375
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
d.
Password must have at least_letters チェックボックスをオンにして、パスワー
ドに必須の文字数を指定します ( オプション )。Maximum length オプションの
値以上の文字数を要求しないでください。前のオプションをオンにした場合は、
この 2 つのオプションの合計が Maximum length オプションに指定した値を超
えることはできません。
e.
すべてのパスワードに大文字小文字を混在させる場合は、Password must have
mix of UPPERCASE and lowercase letters チェックボックスをオンにします ( オ
プション )。
メモ : 大文字小文字の混在も要求した場合、パスワードには少なくとも 2 文字を含める
必要があります。
5.
f.
パスワードをユーザー名と同じにすることができない場合は、Password must
be different from username チェックボックスをオンにします ( オプション )。
g.
新しいパスワードを前のパスワードと同じにすることができない場合は、New
passwords must be different from previous password チェックボックスをオンに
します ( オプション )。
パスワード管理オプションを指定するには、次の操作を実行します。
a.
ユーザーが自分のパスワードを変更できるようにする場合は、Password
management で Allow users to change their passwords チェックボックスをオン
にします ( オプション )。
b.
パスワードの期限切れまでの日数を指定するには、Force password change after
_ days チェックボックスをオンにします ( オプション )。
メモ : デフォルトは 64 日間ですが、この値は任意の数値に設定できます。
c.
Prompt users to change their password _ days before current password expires
チェックボックスをオンにして、パスワードの期限切れの何日前に、ユーザーに
パスワードの入力を促すことを指定します ( オプション )。
メモ : デフォルト値は 14 日ですが、この値は、前のオプションで指定した数字以内の
任意の数値に構成します。
6.
Save Changes をクリックします。初めてサーバー インスタンスを作成する場合は、
Users タブと Admin Users タブが表示されます。
メモ : パスワード オプションとパスワード管理オプションの構成後、管理者とユーザー
を認証および承認するためにサーバーが使用する領域も指定する必要があります。
Administrators/Users > Authentication > 領域 > Authentication Policy > Password
ページの Enable Password Management オプションを使用して、領域がローカル認証
サーバー インスタンスからパスワード管理設定を継承するかどうかを指定します。パス
ワード管理を有効にする方法については、676 ページの「パスワード文字数制限の指
定」を参照してください。
376
„ ローカル認証サーバー インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ローカル ユーザーの作成
ローカル認証サーバー インスタンスを作成する場合は、そのデータベースにローカル
ユーザー レコードを定義する必要があります。ローカル ユーザー レコードは、ユーザー
名、ユーザーの氏名、ユーザーのパスワードで構成されています。通常は外部の認証サー
バーでユーザー認証を行いますが、この外部の認証サーバーを無効にすることがある場合
や、一時的なユーザーのグループを作成する場合は、ローカル ユーザー レコードを作成
します。
ローカル認証サーバーのためにローカル ユーザー レコードを作成するには、次の操作を
実行します。
1.
2.
Web コンソールで、次のいずれかを実行します。
„
Signing In > AAA Servers を選択して、ユーザー アカウントを追加する IVE デー
タベースをクリックします。それから、Users タブを選択して、New をクリック
します。
„
Users > New User を選択します。
ユーザー名を入力します。
メモ :
„
ユーザー名に “~~” は使えません。
„
アカウントの作成後にユーザー名を変更する場合、新規アカウントを作成する必要
があります。
3.
ユーザーのフルネームを入力してください。
4.
パスワードを入力してから確認のため再入力します。
メモ : 入力するパスワードは、関連するローカル認証サーバー インスタンスに指定した
パスワード オプションの指定を満たすものにします。
5.
初回のサインイン時にユーザーに自分のパスワードを変更させる場合は、Require
user to change password at next sign in チェックボックスをオンにします。
6.
(Users > New User ページのみ)Authenticate Using リストから、ユーザー アカウン
トを追加したい IVE データベースを選択します。
7.
Save Changes をクリックします。ユーザー レコードが IVE データベースに追加され
ます。
ユーザー アカウントの管理
ローカル ユーザー アカウントを管理するには、次の操作を実行します。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
Authentication/Authorization Servers リストの適切なサーバー リンクをクリックし
ます。
3.
Users タブを選択します。
ローカル認証サーバー インスタンスの設定
„
377
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
次のいずれかのタスクを実行します。
„
特定のユーザーを検索するには、Show users named フィールドにユーザー名を
入力して、Update をクリックします。
また、ワイルドカードとしてアスタリスク (*) を使用できます。* は 0 を含む任
意の文字数の文字を表します。たとえば、jo という文字を含むユーザー名をすべ
て検索するには、Show users named フィールドに *jo* と入力します。検索では
大文字と小文字が区別されます。アカウントのリスト全体を再び表示する場合
は、* を入力するか、フィールドに指定した文字を削除して、Update をクリッ
クします。
„
ページに表示されるユーザーの数を制限するには、Show N users フィールドに
数字を入力し、Update をクリックします。
„
個々のユーザーの IVE セッションを終了するには、ユーザーの横にあるチェック
ボックスをクリックし、Delete をクリックします。
ユーザー管理権限のエンドユーザーへの委任
ユーザー管理者はローカル IVE 認証サーバーを管理できます。ユーザー管理者は領域や
ロールのマッピングを管理できません。したがって、管理者が介入しなくてもユーザー管
理者が新しいユーザーを追加できるように、認証領域のロール マッピング規則に「一致
しない」ユーザー (*) にも IVE へのサインインを許可している場合にのみ、User Admin 機
能を有効にすることをお勧めします ( ロール マッピングが自動になっている場合、ユー
ザー管理者は、手動で新しいユーザーをロールにマッピングするように管理者に依頼する
必要はありません )。
ユーザー管理の権限をエンドユーザーに委任するには、次の操作を実行します。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
ユーザー管理者に管理を任せたいローカル認証サーバー インスタンスを選択し、
Admin Users タブをクリックします。
メモ : ユーザー管理者が管理できるのは、ローカル認証サーバーだけです。
3.
選択した認証サーバーに対するアカウントを管理したいユーザーの Username を入
力します。このユーザーが、管理対象のサーバーにローカル ユーザーとして追加され
ている必要はありません。
メモ : 厳密に一致する必要があるので、ユーザー管理者のユーザー名を入力するとき
は、十分に注意してください。
378
4.
ユーザー管理者が IVE へのサインイン時にマッピングする Authentication Realm を
選択します。
5.
Add をクリックします。新しいユーザー管理者は username@servername という形
式で、User Admins リストに追加されます。
6.
指定したユーザー管理者が複数の領域にマッピングする場合、IVE へのサインインに
使用するアカウントに関係なくサーバーを管理できるように、各領域に対して、必要
に応じてステップ 3 ~ 5 を繰り返してください。
„ ローカル認証サーバー インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
7.
ユーザーの管理権限を取り消す場合は、User Admins リストから名前を選択して、
Remove をクリックします。
メモ : セキュア ゲートウェイ ホームページからユーザを管理する方法については、エ
ンドユーザ ヘルプの「ユーザの追加および変更」を参照してください。このヘルプは、
エンドユーザとして IVE にサインインすると呼び出すことができます。
ローカル認証サーバー インスタンスの設定
„
379
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
LDAP サーバー インスタンスの設定
LDAP Server ページには、次のタブがあります。
„
380 ページの「Settings タブ」- LDAP サーバー インスタンスを定義するには、この
タブを使用します。
„
382 ページの「Users タブ」- ミーティング作成者のための LDAP 検索属性を設定す
るには、このタブを使用します。
„
382 ページの「Users タブ」- アクティブなユーザー セッションの監視および削除に
は、このタブを使用します。
Settings タブ
IVE は LDAP 固有の 2 つの認証オプションをサポートします。
„
Unencrypted: ユーザー名とパスワードは、明瞭でシンプルなテキストとして、LDAP
ディレクトリ サービスに送信されます。
„
LDAPS: LDAP ディレクトリ サービスに送信される前に、LDAP 認証セッションのデー
タは、Secure Socket Layer (SSL) プロトコルを使用して暗号化されます。
LDAP サーバー インスタンスの定義
LDAP サーバー インスタンスを定義するには、次の操作を実行します。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
次のいずれかの操作を実行します。
„
新しいサーバー インスタンスを IVE 上で作成するには、New リストから LDAP
Server を選択して、New Server をクリックします。
„
既存のサーバー インスタンスを更新するには、Authentication/Authorization
Servers リストの適切なリンクをクリックします。
3.
サーバー インスタンスを識別する名前を指定します。
4.
IVE がユーザーの検証に使用する LDAP サーバーの名前または IP アドレスを指定しま
す。
5.
LDAP サーバーがリスンするポートを指定します。このポートは通常、非暗号化接続
のときは 389、SSL 使用のときは 636 になります。
6.
バックアップ LDAP サーバーのパラメータを指定します ( オプション )。IVE は障害迂
回時に指定されたサーバーを使用します。各認証リクエストはまずプライマリ LDAP
サーバーに送られ、プライマリ サーバーにアクセスできない場合には、指定された
バックアップ サーバーに送られます。
メモ : バックアップ LDAP サーバーは、プライマリ LDAP サーバーと同じバージョンで
ある必要があります。また、バックアップ LDAP サーバーを指定した場合、ホスト名で
はなく、IP アドレスを指定するようにお勧めします。ホスト名を IP アドレスに解決する
必要がなくなるので、フェイルオーバーの処理を高速化できます。
7.
8.
380
ユーザーを認証する LDAP サーバーの種類を指定します。
IVE と LDAP ディレクトリ サービス間の接続で、暗号化するのか、または SSL
(LDAP)を使用するのかを指定します。
„ LDAP サーバー インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
9.
IVE がプライマリ LDAP サーバーとの接続に待機できる時間と、その後に各バック
アップ LDAP サーバーとの接続に待機できる時間を指定します。
10. 接続した LDAP サーバーから IVE が検索結果を得るまでに待機できる時間を指定
します。
11. IVE アプライアンスと指定した LDAP サーバー間の接続を検証するには、Test
Connection をクリックします(オプション)。
12. 検索を実行したり、パスワード管理機能を使用してパスワードを変更するために IVE
が LDAP ディレクトリを認証する必要がある場合は、Authentication required to
search LDAP チェックボックスをオンにします。次に、管理者 DN およびパスワード
を入力します。パスワード管理についての詳細は、96 ページの「LDAP パスワード管
理の概要」を参照してください。例:
CN=Administrator,CN=Users,DC=eng,DC=Juniper,DC=com
13. Finding user entries で、以下を指定します。
„
Base DN ユーザー エントリの検索を開始する位置です。例:
DC=eng,DC=Juniper,DC=com
„
Filter 検索の微調整を行う場合に指定します。例:
samAccountname=<username> or cn=<username>
‰
サインイン ページで入力したユーザー名を検索に使用するには、フィルタ
に <username> を入れます。
‰
ユーザーごとに 0 または 1 つの DN を返すフィルタを指定します。
14. IVE は静的グループと動的グループの両方をサポートします。(IVE は LDAP サーバー
をもつ動的グループだけをサポートします。) ) グループ参照を有効にするには、IVE
が LDAP サーバーからグループを検索する方法を指定する必要があります。
Determining group membership で、以下を指定します。
„
Base DN ユーザー グループの検索を開始する位置です。
„
Filter ユーザー グループの検索を微調整する場合に指定します。
„
Member Attribute 静的グループのすべてのメンバーを識別します。例:
member
uniquemember (iPlanet-specific)
„
Query Attribute 動的グループのメンバーを返す LDAP クエリを指定します。例:
memberURL
„
Nested Group Level 1 つのグループ内でユーザーを検索するレベル数を指定しま
す。レベル数が多くなればなるほど検索に時間がかかるため、検索は 2 レベルを
限度に実行することをお勧めします。
15. Bind Options で、以下を選択します。
„
Simple bind ユーザーの証明書を暗号化せずに LDAP ディレクトリ サービスに送
信します。
LDAP サーバー インスタンスの設定
„
381
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
StartTLS bind ユーザーの証明書を Transport Layer Security (TLS) プロトコル
を使用して暗号化してから、IVE がデータを LDAP ディレクトリ サービスに
送信します。
16. Save Changes をクリックします。初めてサーバー インスタンスを作成する場合には、
Settings タブと Users タブが表示されます。
17. 管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定
します 。詳細については、429 ページの「認証領域ポリシーの指定」を参照して
ください。
Meetings タブ
493 ページの「Auth Servers タブ」で説明されているように、このタブのオプションを使
用して、ミーティングの作成者が会議を予定するとき、IVE ユーザーの検索に使用する
LDAP 属性をそれぞれ指定します。
ミーティング作成者のための LDAP 検索属性設定
セキュア ミーティング検索属性を設定するには、以下のように行います。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
LDAP サーバー インスタンスをクリックします。
3.
Meetings タブを選択します。
4.
User Name フィールドで、このサーバーでのユーザー名の属性を入力します。たとえ
ば、Active Directory サーバーまたは iPlanet サーバーの uid 用として
SamAccountName を入力します。
5.
Email Address フィールドに、このサーバーの E メール属性を入力します。
6.
Display Name, Attributes フィールドに、ミーティングの作成者に内容を表示したい、
追加の LDAP 属性があれば、それを入力します(オプション)。( たとえば、簡単に
ミーティングの作成者が複数の同名の参加者を区別できるように、ユーザーの部門を
それぞれ識別する属性を表示させる場合です。DisplayName,AttributeName の書式を
使用して、追加する属性をそれぞれ一行づつ入力します。最大 10 個までの属性を入
力できます。
7.
Save Changes をクリックします。
Users タブ
アクティブなユーザー セッションの監視および削除
サーバーを通じて現在サインインしているユーザーのセッションを監視および削除するこ
とについての詳細は、423 ページの「ユーザー セッションの表示と削除」を参照してくだ
さい。
382
„ LDAP サーバー インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
NIS サーバー インスタンスの設定
次のようなトピックについて説明します。
„
383 ページの「NIS サーバーでのユーザーの認証」
„
383 ページの「NIS サーバー インスタンスの定義」
NIS サーバーでのユーザーの認証
UNIX/NIS サーバーでユーザーを認証する場合、IVE は、サインイン ページに入力された
ユーザー名とパスワードと NIS サーバーにある有効なユーザー ID とパスワードを照合し
て、一致しているかどうか確認します。IVE に送信するユーザー名には、2 つの連続した
チルダ(~~)は使用できません。
メモ : IVE で NIS 認証を使用できるのは、パスワードが Crypt または MD5 フォーマット
を使用して NIS サーバー上に格納されている場合のみです。また、IVE に追加できる NIS
サーバー設定は 1 つだけです。ただし、その設定を使用して領域の任意のメンバを認証
できます。
NIS サーバー インスタンスの定義
NIS サーバー インスタンスを定義するには、次の操作を実行します。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
次のいずれかの操作を実行します。
„
新しいサーバー インスタンスを IVE 上で作成するには、New リストから NIS
Server を選択して、New Server をクリックします。
„
既存のサーバー インスタンスを更新するには、Authentication/Authorization
Servers リストの適切なリンクをクリックします。
3.
サーバー インスタンスを識別する名前を指定します。
4.
NIS サーバーの名前または IP アドレスを指定します。
5.
NIS サーバーのドメイン名を指定します。
6.
Save Changes をクリックします。初めてサーバー インスタンスを作成する場合には、
Settings タブと Users タブが表示されます。
7.
管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定
します 。詳細については、429 ページの「認証領域ポリシーの指定」を参照して
ください。
メモ : サーバーを通じて現在サインインしているユーザーのセッションを監視および削
除することについての詳細は、423 ページの「ユーザー セッションの表示と削除」を参
照してください。
NIS サーバー インスタンスの設定
„
383
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ACE/Server インスタンスの設定
次のようなトピックについて説明します。
„
384 ページの「ACE/Server の概要」
„
385 ページの「ACE/Server インスタンスを定義する」
„
386 ページの「ACE/Agent 構成ファイルの生成」
ACE/Server の概要
RSA ACE/Server でユーザーを認証する場合、ユーザーは 2 つの方法でサインインでき
ます。
„
ハードウェア トークンと標準 IVE サインイン ページを使用する - ユーザーは標準
IVE サインイン ページを表示して、ユーザー名とパスワード (PIN と RSA SecurID
ハードウェアまたはソフトウェア トークンの現在値を結合した値)を入力します。次
に、IVE は、ユーザーの認証情報を ACE/Server に転送します。
„
ソフトウェア トークンとカスタム SoftID IVE サインイン ページを使用する - ユー
ザーは SoftID カスタム サインイン ページにブラウズします。次に SoftID プラグイン
を使用して、ユーザー名と PIN を入力します。SoftID プラグインはユーザーの PIN と
トークンを連結することによってパスフレーズを生成し、IVE にパスフレーズを渡し
ます。SoftID カスタム サインイン ページの有効化についての詳細は、645 ページの
「SoftID.zip のテンプレートの使用」を参照してください。
ACE/Server によって認証されると、ユーザーは IVE へのアクセスが許可されます。認証で
きなかった場合は、ACE/Server は以下の処理を行います。
„
ユーザーの認証情報が認められなかった場合は、ユーザー アクセスを否定します。
„
ユーザーが IVE に初めてサインインする場合は、ユーザーは新しい PIN (New PIN
モード ) を生成するように指示されます ( サインインの方法によって異なるメッセー
ジが表示されます。ユーザーが SoftID プラグインを使用してサインインした場合は、
新しい PIN の作成を求める RSA プロンプトが表示されます。それ以外の場合は、IVE
プロンプトが表示されます )。
„
ユーザーが入力したトークンが ACE/Server が予期するトークンと同期していない場
合、ユーザーに次のトークン (Next Token モード ) を入力するようにメッセージを表
示します (Next Token モードで、SoftID トークンを使用してもユーザーは速やかにサ
インインできます。ユーザーが何も指定しなくても、RSA SecurID ソフトウェアは、
IVE を通じてトークンを ACE/Server に渡します)。
„
ユーザーを標準 IVE サインイン ページにリダイレクトする(SoftID のみ)のは、
SecurID ソフトウェアがインストールされていないコンピュータで、ユーザーが RSA
SecurID Authentication ページにサインインしようとした場合です。
ユーザーが New PIN または Next Token モードに入った場合、必要な情報を 3 分以内に入
力する必要があります。時間が過ぎると、IVE はトランザクションをキャンセルし、証明
書を再び入力するように指示してきます。
IVE は、最大 200 の ACE/Server トランザクションを同時に制御できます。1 つのトランザ
クションは、ACE/Server に対する認証に必要な時間のみ持続します。たとえば、ユーザー
が IVE にサインインすると、ユーザーが認証要求を送信したときに ACE/Server のトラン
ザクションが開始し、ACE/Server が要求処理を完了したときにトランザクションが終了
します。ACE/Server のトランザクションが閉じた後でも、ユーザーは自分の IVE セッショ
ンを開いたままにすることができます。
384
„ ACE/Server インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVE は、以下の ACE/Server 機能をサポートします。New PIN モード、Next Token モード、
DES/SDI 暗号化、AES 暗号化、スレーブ ACE/Server のサポート、ネーム ロッキング、ク
ラスタ化がサポートされる機能です。また IVE では、RADIUS プロトコルを使用して、
RSA SecurID の New PIN モードと Next Token モードもサポートされます。
メモ : ACE/Server ライブラリには UNIX 固有の制限事項があるため、ACE/Server 構成を
1 つしか定義できません。ACE サーバー上で IVE アプライアンスの ACE/Agent 構成ファ
イルを生成する方法については、386 ページの「ACE/Agent 構成ファイルの生成」を参
照してください。
ACE/Server インスタンスを定義する
メモ : 追加できるのは、1 つの ACE/Server インスタンスだけです。
ACE/Server を定義するには、次の操作を実行します。
1.
IVE のために ACE サーバー上で ACE/Agent 設定ファイル(sdconf.rec)を生成する必
要があります。詳細については、386 ページの「ACE/Agent 構成ファイルの生成」を
参照してください。
2.
Web コンソールで、Signing In > AAA Servers を選択します。
3.
次のいずれかの操作を実行します。
„
新しいサーバ インスタンスを IVE 上で作成するには、New リストから ACE
Server を選択して、New Server をクリックします。
„
既存のサーバー インスタンスを更新するには、Authentication/Authorization
Servers リストの適切なリンクをクリックします。
4.
サーバー インスタンスを識別する名前を指定します。
5.
デフォルト ポートを ACE Port フィールドに指定します。IVE は、sdconf.rec ファイ
ルにポートが指定されていない場合にのみ、この構成を使用します。
6.
RSA ACE/Agent 構成ファイルをインポートします。ソース ファイルに変更を加えた場
合は、必ず IVE でこのファイルを更新してください。同様に、IVE からインスタンス
ファイルを削除する場合は、386 ページの「ACE/Agent 構成ファイルの生成」の説明
に従って ACE Server Configuration Management アプリケーションを起動し、Sent
Node Secret チェックボックスをオフにします。
7.
Save Changes をクリックします。初めてサーバー インスタンスを作成する場合には、
Settings タブと Users タブが表示されます。
8.
管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定
します 。詳細については、429 ページの「認証領域ポリシーの指定」を参照して
ください。
メモ : サーバーを通じて現在サインインしているユーザーのセッションを監視および削
除することについての詳細は、423 ページの「ユーザー セッションの表示と削除」を参
照してください。
ACE/Server インスタンスの設定
„
385
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ACE/Agent 構成ファイルの生成
認証のために ACE/Server を使用する場合、IVE のために ACE サーバ上で ACE/Agent 設定
ファイル(sdconf.rec)を生成する必要があります。
ACE/Agent 構成ファイルを生成するには、次の操作を実行します。
1.
ACE Server Configuration Management アプリケーションを起動して、Agent Host を
クリックします。
2.
Add Agent Host をクリックします。
3.
Name には、IVE エージェントの名前を入力します。
4.
Network Address には、IVE の IP アドレスを入力します。
5.
ACE サーバーで構成されるサイトを Site に入力します。
6.
Agent Type で、Communication Server を選択します。
7.
Encryption Type で、DES を選択します。
8.
Sent Node Secret が選択されていないことを確認します(新しいエージェントの
作成時)。
IVE が送信したリクエストを ACE サーバーが初めて正常に認証すると、ACE サーバー
は Sent Node Secret を選択します。これ以降、次の認証リクエストで ACE サーバー
から新しいノード シークレットを IVE に送信したい場合は、次の手順を行います。
9.
a.
Sent Node Secret チェックボックスをクリックして、チェックを解除します。
b.
IVE Web コンソールにサインインして、Signing In > AAA Servers を選択し
ます。
c.
Authentication/Authorization Servers リストの ACE サーバーの名前をクリック
します。
d.
Node Verification File で、適切なチェックボックスを選択して、Delete をク
リックします。これらのステップで、IVE と ACE サーバーの同期が確実に行われ
ます。同様に、IVE から検証ファイルを削除した場合は、ACE サーバーで Sent
Node Secret チェックボックスのチェックを外す必要があります。
Assign Acting Servers をクリックして、適切な ACE サーバーを選択します。
10. Generate Config File をクリックします。ACE サーバーを IVE に追加する場合、この
設定ファイルをインポートすることになります。
386
„ ACE/Server インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
RADIUS サーバー インスタンスの設定
次のようなトピックについて説明します。
„
387 ページの「RADIUS サーバーの概要」
„
387 ページの「サポートされる認証方式」
„
387 ページの「RADIUS ユーザーのためのユーザー機能」
„
389 ページの「RADIUS 会計の有効化」
„
391 ページの「IVE を RADIUS サーバーと連動させるための設定」
RADIUS サーバーの概要
RADIUS ( リモート認証ダイヤルイン ユーザー サービス ) は、遠隔ユーザーのために認証
と会計処理を集中管理できるサーバーの一種です。RADIUS サーバーで IVE ユーザーを認
証する場合は、IVE をクライアントとして認識するように RADIUS サーバーを設定し、ク
ライアント要求の認証に使用する RADIUS サーバーの共有シークレットを指定する必要が
あります。
サポートされる認証方式
IVE は、以下の標準の RADIUS 認証方式をサポートします。
„
Access-Request
„
Access-Accept
„
Access-Reject
„
Access-Challenge
また IVE は、RADIUS プロトコルや SecurID トークン(Security Dynamics により利用可
能)を使用して、RSA ACE/Server をサポートします。ユーザーの認証に SecurID を使用す
る場合、ユーザーはユーザー ID とともに、PIN とトークン値を結合した値を指定する必
要があります。
RADIUS サーバーを定義するときに、管理者は、Defender 4.0 と一部の RADIUS の実装
(Steelbelted-RADIUS および RSA RADIUS など ) をサポートするハードコードされたチャレ
ンジ エクスプレッションを使用するか ( デフォルト )、カスタム チャレンジ エクスプ
レッションを入力して、IVE で多数のさまざまな RADIUS の実装と Defender 5.0 などの新
バージョンの RADIUS サーバーを使用可能にすることができます。IVE はサーバーから受
け取った Access-Challenge パケット内でレスポンスを探し、適切な Next Token、New
Pin、または Generic Passcode チャレンジをユーザーに発行します。
RADIUS ユーザーのためのユーザー機能
ユーザーの操作は、PassGo Defender RADIUS サーバーや CASQUE 認証を使用するかどう
かにより異なります。
RADIUS サーバー インスタンスの設定
„
387
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
PassGo Defender RADIUS サーバー を使用する
PassGo Defender RADIUS Server を使用している場合、ユーザーは次の手順でサインイン
を行います。
1.
ユーザーは、ユーザー名とパスワードを入力して IVE にサインインします。IVE は、
これらの認証情報を Defender に転送します。
2.
Defender は固有のチャレンジ文字列を IVE に送信し、IVE はこのチャレンジ文字列を
ユーザーに表示します。
3.
ユーザーは、Defender トークンにチャレンジ文字列を入力し、トークンはレスポン
ス文字列を生成します。
4.
ユーザーは IVE にレスポンス文字列を入力し、Sign In をクリックします。
CASQUE 認証の使用
CASQUE 認証は、クライアント システムにインストールされた CASQUE プレイヤーを用
いたトークンベースのチャレンジ / レスポンス認証メカニズムを使用します。CASQUE 認
証が設定されると、RADIUS サーバーはカスタム チャレンジ エクスプレッション (:([0-9azA-Z/+=]+):) に一致するレスポンスを持つチャレンジを発行します。次に IVE は中間ペー
ジを生成し、そこでユーザーの システムにインストールされた CASQUE プレイヤーを自
動起動します。
メモ : CASQUE プレイヤーが自動的に起動しない場合は、Launch CASQUE Player リン
クをクリックします。
ユーザーは、自分の CASQUE Optical Responder トークンを使用して対応するパスコード
を生成し、そのパスコードを Response フィールドに入力して Sign In をクリックする必
要があります。
図 60: CASQUE プレイヤーを備えた CASQUE 認証チャレンジ / レスポンス ページ
388
„ RADIUS サーバー インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
RADIUS 会計の有効化
IVE を設定して、セッションの開始および停止のメッセージを RADIUS 会計サーバーに送
信することができます。IVE は、ユーザーセッションとサブ セッションの 2 つのカテゴリ
のセッションを認識します。ユーザーセッションには複数のサブセッションが含まれま
す。IVE は次のタイプのサブセッションを認識します。
„
JSAM
„
WSAM
„
Network Connect
ユーザーがサインインに成功し、IVE によってユーザーがロールにマッピングされると、
IVE はユーザーセッションの開始メッセージを送信します。たとえば JSAM を起動した後
など、サブセッションがアクティブになると、IVE はサブセッションの開始メッセージを
送信します。ユーザーからサブセッション終了の明示的な要求がある場合、またはユー
ザーセッションが終了する場合、IVE はサブセッション停止のメッセージを送信します。
ユーザーセッションが終了すると、IVE は会計サーバーにユーザーセッション停止メッ
セージを送信します。ユーザーに以下の状況が発生した場合に、ユーザーセッションはい
つでも終了します。
„
IVE を手動でサインアウトした場合
„
活動がないか、最大セッション長さを超過したため、IVE がタイムアウトした場合
„
Host Checker または Cache Cleaner のロール レベルの制限のためにアクセスを拒否さ
れた場合
„
管理者により、または動的ポリシー評価によって、IVE から手動で退出させられ
た場合
さらに、IVE はすべてのアクティブなサブセッションの停止メッセージを送信します。サ
ブセッションの停止メッセージは、ユーザーセッションの停止メッセージに先立ちます。
メモ : ユーザーが IVE クラスタにサインインしていると、RADIUS の会計メッセージは
ユーザーが 1 つのノードにサインインし、別のノードからサインアウトしているように
表示する場合があります。
RADIUS サーバー インスタンスの設定
„
389
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
以下の 3 つの表は開始メッセージと停止メッセージに共通する属性、開始メッセージに
固有の属性、停止メッセージに固有の属性について説明しています。
表 25: 開始メッセージと停止メッセージの両方に共通する属性
属性
説明
User-Name (1)
RADIUS サーバーの設定時に、IVE 管理者によってカスタマイズ
される文字列。
NAS-IP-Address (4)
IVE の IP アドレス
NAS-Port (5)
IVE は、ユーザーが内部ポートを使用してサインインするとこの
属性を 0 に設定し、外部ポートを使用してサインインすると 1
に設定します。
Framed-IP-Address (8)
ユーザーのソース IP アドレス
NAS-Identifier (32)
RADIUS サーバーの構成における IVE クライアントの設定名。
Acct-Status-Type (40)
IVE はユーザーセッションまたはサブセッションで、開始メッ
セージに対してこの属性を 1 に設定し、停止メッセージに対し
てこの属性を 2 に設定します。
Acct-Session-Id (44)
ユーザーセッションまたはサブセッションに対応する開始メッ
セージと停止メッセージに一致する、固有の会計 ID。
Acct-Multi-Session-Id (50)
関連した複数のセッションにリンクするために使用できる固有
の会計 ID です。リンクされたセッションには、それぞれ固有の
Acct-Session-Id および同一の Acct-Multi-Session-Id が必要です。
Acct-Link-Count (51)
が会計記録を作成する時点での、マルチ リンク セッションにお
けるリンク数。
表 26: 開始の属性
属性
説明
Acct-Authentic (45)
IVE はこの属性を以下のように設定します。
„ RADIUS - ユーザーが RADIUS サーバーに認証された場合
„ Local - ユーザーが IVE Local Authentication Server に認証され
た場合
„ Remote - それ以外の場合
表 27: 停止の属性
属性
説明
Acct-Session-Time (46)
ユーザーセッションまたはサブセッションの持続時間
Acct-Terminate-Cause (49)
IVE は以下の値を使用して、ユーザーセッションまたはサブセッ
ションの終了の原因となったイベントを指定します。
„ User Request (1) - ユーザーが手動でサインアウト
„ Idle Timeout (4) - ユーザーのアイドリングによるタイムア
ウト
„ Session Timeout (5) - ユーザーのセッション制限時間超過に
よるタイムアウト
„ Admin Reset (6) - ユーザーの Active Users ページからの強制
退出
390
„ RADIUS サーバー インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ユーザーセッションとサブセッションを区別するには、Acct-Session-Id と Acct-MultiSession-Id を調べます。ユーザーセッションでは、これらの属性は両方とも同じです。サ
ブセッションでは、Acct-Multi-Session-Id はペアレント ユーザーセッションの Acct-MultiSession-Id と同じであり、IVE は Acct-Session-Id で以下のサフィックスのいずれかを使用
してサブセッションを表します。
„
JSAM セッションでは「JSAM」
„
WSAM セッションでは「WSAM」
„
Network Connect セッションでは「NC」
IVE を RADIUS サーバーと連動させるための設定
を RADIUS サーバーと連動させるための設定 ここでは、IVE と RADIUS を連動するように
設定する手順を説明します。
„
391 ページの「IVE RADIUS サーバー インスタンスの定義」
„
393 ページの「RADIUS サーバーが IVE を認識するための設定」
IVE RADIUS サーバー インスタンスの定義
IVE で RADIUS サーバーとの接続を設定するには、次の操作を実行します。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
次のいずれかの操作を実行します。
3.
„
新しいサーバー インスタンスを IVE 上で作成するには、New リストから Radius
Server を選択して、New Server をクリックします。
„
既存のサーバー インスタンスを更新するには、Authentication/Authorization
Servers リストの適切なリンクをクリックします。
Radius Server ページの上部で、次の操作を実行します。
a.
サーバー インスタンスを識別する名前を指定します。
b.
RADIUS サーバーの名前または IP アドレスを指定します。
c.
RADIUS サーバーの認証ポート値を入力します。通常、このポートは 1812 です
が、一部のレガシー サーバーは 1645 を使用することがあります。
d.
共有シークレットの文字列を入力します。RADIUS サーバーが IVE マシンをクラ
イアントとして認識するように設定した場合は、この文字列も入力する必要があ
ります。
e.
RADIUS サーバーの会計ポート値を入力します。通常、このポートは 1813 です
が、一部のレガシー サーバーは 1646 を使用することがあります。
f.
IVE が RADIUS サーバーからのレスポンスを待ち、接続を切るまでのタイムアウ
トの時間を入力します。
g.
最初の試行が失敗した後に、IVE が接続を試みる回数を入力します。
h.
ユーザーによって入力されたパスワードを SSO 対応のアプリケーションに送信
したくない場合は、Users authenticate using tokens or one-time passwords
チェックボックスをオンにします。ユーザーが 1 回限りのパスワードを IVE に送
信する場合、通常、このオプションを選択すべきです。詳細については、101
ページの「複数サインイン認証情報の概要」を参照してください。
RADIUS サーバー インスタンスの設定
„
391
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
5.
Backup Server のセクションで、事例に定義された 1 次サーバーにアクセスできな
かった場合に、IVE が使用する 2 次 RADIUS サーバーを入力します。2 次サーバーに、
以下のサーバー情報を入力します。
a.
名前または IP アドレス
b.
認証ポート
c.
共有シークレット
d.
会計ポート
この RADIUS サーバーの事例を使用して、ユーザーの IVE 使用状況を調べる場合は、
次の情報を Radius Accounting セクションに入力します。
a.
NAS-Identifier フィールドに、RADIUS サーバーと通信を行う IVE Network
Access Server (NAS) クライアントを識別する名前を入力します。このフィール
ドが空白の場合、IVE は、Web コンソールの System > Network > Overview
ページにある Hostname フィールドで指定された値を使用します。Hostname
フィールドに値が指定されていない場合、IVE は、“Juniper IVE” の値を使用し
ます。
b.
User-Name フィールドで、IVE が RADIUS 会計サーバーに送信するユーザー情報
を指定します。617 ページの「システム変数とその例」で説明された該当する
セッション変数を入力します。適切な変数には、ユーザーのサインインとロール
への割り当て後に設定されるものが含まれます。このフィールドのデフォルト変
数には以下のものがあります。
‰
<username> はユーザーの IVE ユーザー名を会計サーバーに記録します。
‰
<REALM> は、ユーザーの IVE 領域を会計サーバーに記録します。
‰
<ROLE> は、ユーザーの IVE ロールを会計サーバーに記録します。ユーザー
が複数のロールに割り当てられている場合、IVE はカンマで区切ります。
6.
カスタム チャレンジ エクスプレッションを追加します ( オプション )。チャレンジ エ
クスプレッションは 3 種類あり、それぞれが、事前入力されたデフォルトに自動的
に設定されています。管理者はカスタム オプションを使用して、3 つのいずれかの
モードに一致する実際の文字列パターンを設定できます。カスタム エクスプレッショ
ンを追加するには、該当する種類のチャレンジ エクスプレッションで Custom ラジ
オ ボタンを選択し、関連するテキスト ボックスにカスタム エクスプレッションを追
加します。
メモ : CASQUE 認証を使用するときには、:([0-9a-zA-Z/+=]+): を Generic Login
Challenge Expression のカスタム エクスプレッションとして指定します。
7.
Save Changes をクリックします。初めてサーバー インスタンスを作成する場合には、
Settings タブと Users タブが表示されます。
8.
管理者とユーザーを認証、承認、会計処理するために、サーバーが使用する領域を指
定します。詳細については、429 ページの「認証領域ポリシーの指定」を参照してく
ださい。
メモ : このサーバーから現在サインインしているユーザーのセッションを監視および削
除する方法については、423 ページの「ユーザー セッションの表示と削除」を参照して
ください。
392
„ RADIUS サーバー インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
RADIUS サーバーが IVE を認識するための設定
以下の値を指定して、RADIUS サーバーが IVE サーバーを認識するように設定する必要が
あります。
„
IVE のホスト名。
„
IVE のネットワーク IP アドレス。
„
のクライアントの種類(指定可能な場合)。このオプションを利用できる場合は、
Single Transaction Server または類似の値を選択します。
„
クライアント通信の認証に使用する暗号化の種類。この選択は、クライアントの種類
に対応した値でなければなりません。
„
Web コンソールの Signing In > AAA Servers > Radius Server ページで RADIUS サー
バーに入力した共有シークレット。
RADIUS サーバー インスタンスの設定
„
393
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Active Directory または NT ドメイン インスタンスの設定
次のようなトピックについて説明します。
„
394 ページの「Active Directory/Windows NT Server の概要」
„
395 ページの「マルチドメイン ユーザーの認証」
„
396 ページの「Active Directory および NT のグループ ルックアップ サポート」
„
397 ページの「Active Directory または Windows NT ドメイン サーバー インスタンス
の定義」
Active Directory/Windows NT Server の概要
NT プライマリ ドメイン コントローラ (PDC) または Active Directory でユーザーを認証す
る場合、ユーザーは Windows デスクトップのアクセスに使用する同じユーザー名とパス
ワードで IVE にサインインします。IVE は Windows NT 認証と、NTLM または Kerberos 認
証を使用する Active Directory をサポートしています。
ネイティブ Active Directory サーバーを設定すると、サーバーからグループ情報を取得し
て領域のロール マッピング規則に使用できます。この場合には、領域の認証サーバーとし
て Active Directory サーバーを指定してから、グループのメンバーシップに基づいてロー
ル マッピング規則を作成します。IVE には設定されたドメイン コントローラとその信頼
されるドメインに属するすべてのグループが表示されます。詳細については、430 ページ
の「認証領域にロール マッピング規則を指定」を参照してください。
メモ :
394
„
IVE では、Active Directory 環境と Windows NT 環境の信頼関係が維持されます。
„
IVE は Active Directory サーバーが Kerberos をサポートする場合は Kerberos を使用
し、サポートしていない場合は NTLM を使用して、ユーザー証明書を送信します。
詳細については、545 ページの「File リソース オプションの指定」を参照してくだ
さい。
„
IVE は、Active Directory で定義された ドメイン ローカル グループ、ドメイン グ
ローバル グループ、ユニバーサル グループをサポートします。IVE は、NT4 サー
バーのドメイン ローカル グループとドメイン グローバル グループもサポートしま
す。
„
IVE は、Active Directory のセキュリティ グループのみをサポートし、ディストリ
ビューション グループはサポートしません。セキュリティ グループは、権利と許可
を割り当てるだけではなく E メールの配布リストとしても利用するグループの 1
種です。
„ Active Directory または NT ドメイン インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
マルチドメイン ユーザーの認証
IVE はマルチドメインの Active Directory と Windows NT の認証を許可します。IVE は、
Signing In > AAA Servers > New Active Directory / Windows NT ページで設定された
ユーザー、子ドメインのユーザー、構成されたドメインにおける全トラステッドドメイン
のユーザーを認証します。
IVE の Active Directory サーバー構成でドメイン コントローラとデフォルト ドメインのア
ドレスを指定した後、デフォルト ドメインのユーザーはユーザー名だけを使用するか、
あるいは defaultdomain\username 形式でのデフォルト ドメインとユーザー名を使用し
て IVE の認証を受けます。
トラステッド ドメイン の認証を有効にすると、トラステッド ドメインまたは子ドメイン
のユーザーは trusteddomain\username 形式でのトラステッド ドメインまたは子ドメイ
ンの名前とユーザー名を使用して IVE の認証を受けます。トラステッド ドメインの認証に
よりサーバーの応答時間も認証を受けることに留意してください。
Windows 2000 および Windows 2003 のマルチドメインの認証
IVE は Windows 2000 および Windows 2003 ドメイン コントローラでの Kerberos ベース
Active Directory の認証をサポートしています。ユーザーが IVE にログインすると、IVE は
Kerberos 認証を実行し、LDAP を呼び出してドメイン コントローラに使用する Kerberos
の領域名とすべての子領域名およびトラステッド領域名を取得しようと試みます。
Active Directory の認証サーバーを設定するとき、Kerberos 領域名を指定することもでき
ますが、以下にあげる 2 つの理由からこの方法はお勧めしません。
„
複数の領域名は指定できません。そのために、IVE は指定した領域の子領域またはト
ラステッド領域への認証ができません。
„
領域名の文字を誤って入力すると、IVE は該当する領域にユーザーを認証できなくな
ります。
Windows NT4 のマルチドメインの認証
は Windows NT4 ドメイン コントローラでの Kerberos ベース認証をサポートしません。
IVE は、Kerberos 認証の代わりに、NTLM 認証を利用します。
メモ : IVE は、ユーザー認証のために <IVE-IPaddress> 形式のマシン名を使用してデ
フォルトのドメイン コントローラ サーバーを連結します。
メモ : DNS ファイルを変更したら、子ドメインおよびトラステッド ドメインは WINS、
DNS、あるいはホスト ファイルを使用して必ず IVE から解決してください。
Active Directory または NT ドメイン インスタンスの設定
„
395
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
NT ユーザーの正規化
IVE はマルチドメインの認証をサポートするために、認証プロセスにおいて Active
Directory または NT4 ドメイン コントローラを連動するときに「正規化した」NT 資格証
明を使用します。NT 正規証明書にはドメイン名とユーザー名を含みます。
domain\username ユーザーの IVE へのサインイン方法がユーザー名だけを使用するもの
であっても、あるいは domain\username 形式を使用するものであっても、IVE は、常に
domain\username 形式のユーザー名を使用します。
ユーザー名だけを使用してユーザーが認証を試みた場合、IVE は常に NT 資格証明を
defaultdomain\username として正規化します。ユーザーがデフォルト ドメインのメンバ
である場合のみ、認証が成功します。
IVE は、 domain\username 形式を使用して IVE にサインインするユーザーには、常に
ユーザーが指定したドメインのメンバーとして、そのユーザーの認証を試行します。ユー
ザーが指定したドメインがデフォルト ドメインのトラステッド ドメインあるいは子ドメ
インである場合にのみ、認証が成功します。ユーザーが無効ドメインあるいはアントラス
テッド ドメインを指定すると、認証に失敗します。
<NTUser> および <NTDomain> の 2 つの変数によって、ドメインと NT ユーザーの値を
個々に参照することができます。IVE は、この 2 つの変数から、ドメインと NT ユーザー
名の情報を引き出します。
メモ : Active Directory の認証に対し、USER = someusername のとき、既存のロール
マッピング規則を使用する場合、あるいは新規ロール マッピング規則を書く場合、IVE
はこの規則を NTUser = someusername AND NTDomain = defaultdomain として意味的
に取り扱います。これにより、IVE に既存のロール マッピング規則が問題なく適用され
ます。
Active Directory および NT のグループ ルックアップ サポート
IVE は、Active Directory のドメイン ローカル グループ、ドメイン グローバル グループ、
ユニバーサル グループ、および NT4 サーバーのドメイン ローカル グループ、ドメイン
グローバル グループにおけるユーザー グループのルックアップをサポートします。
Active Directory ルックアップ要件
は、デフォルト ドメイン、子ドメイン、すべてのトラステッド ドメインにおけるドメイ
ン ローカル グループ、ドメイン グローバル グループ、ユニバーサル グループのルック
アップをサポートします。IVE は、それぞれ異なる機能を持つ 3 つの方法のいずれかを使
用してグループ メンバを取得します。
„
ユーザーのセキュリティ コンテキストのグループ情報 - ユーザーのドメイン グ
ローバル グループに関する情報を返します。
„
LDAP 検索コールを使用して取得するグループ情報 - ユーザーのドメイン グローバ
ル グループに関する情報と IVE がグローバル カタログ サーバーを検索するときは
ユーザーのユニバーサル グループに関する情報を返します。
„
ネイティブ RPC コールを使用したグループ情報 - ユーザーのドメイン ローカル グ
ループに関する情報を返します。
ロールのマッピング規則に従い、IVE は以下の順でグループのルックアップを試行し
ます。
„
396
IVE は、ユーザーのセキュリティ コンテキストを使用してすてべのドメイン グロー
バル グループをチェックします。
„ Active Directory または NT ドメイン インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
IVE は LDAP クエリを実行して、ユーザーがこのロール マッピング規則で参照された
グループのメンバではない場合、ユーザーのグループ メンバーシップを判定します。
„
IVE は RPC ルックアップ コールを実行して、ユーザーがドメイン ローカル グループ
のメンバーではない場合、ユーザーの情報を判定します。
NT4 グループ ルックアップの要件
は、デフォルト ドメイン、子ドメイン、その他すべてのトラステッド ドメインで作成さ
れたドメイン ローカル グループ、ドメイン グローバル グループでのグループ ルック
アップをサポートします。は、ユーザーのセキュリティ コンテキストからドメイン グ
ローバル グループ情報を、また RPC コールを使用してドメイン ローカル情報を取得しま
す。IVE は、NT4 環境では LDAP ベース検索コールを使用しません。
Active Directory または Windows NT ドメイン サーバー インスタンスの定義
Active Directory または Windows NT ドメイン サーバーを定義するには、次の操作を実行
します。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
次のいずれかの操作を実行します。
„
新しいサーバー インスタンスを IVE で作成するには、New リストから Active
Directory/Windows NT を選択して、New Server をクリックします。
„
既存のサーバー インスタンスを更新するには、Authentication/Authorization
Servers リストの適切なリンクをクリックします。
3.
サーバー インスタンスを識別する名前を指定します。
4.
プライマリ ドメイン コントローラまたは Active Directory の名前または IP アドレス
を指定します。
5.
バックアップのドメイン コントローラまたは Active Directory の IP アドレスを指定し
ます。(オプション)
6.
アクセス権を与えたいユーザーのドメイン名を入力します。ユーザーが
domain\username という形式で IVE サインイン ページの Username フィールドに
ドメイン名を入力できるようにするには、Allow domain to be specified as part of
username チェックボックスをオンにします。
7.
サーバーの管理者ユーザー名とパスワードを入力します。AD/NT 認証では、指定した
管理者がドメイン管理者になっていることを確認してください。
メモ : 変更を保存すると、パスワードの文字数に関係なくパスワードは隠蔽され、アス
タリスク文字で表示されます。
8.
Authentication Protocol で、認証中に IVE が使用するプロトコルを指定します。
9.
Kerberos Realm Name で、次の操作を実行します。
„
指定された管理者認証情報を使用して、Active Directory サーバーから Kerberos
領域名を取得するように IVE を設定するには、Use LDAP to get Kerberos realm
name をオンにします。
„
領域名がわかっている場合は、Specify Kerberos realm name フィールドに
Kerberos 領域名を入力します。
Active Directory または NT ドメイン インスタンスの設定
„
397
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
10. Save Changes をクリックします。初めてサーバー インスタンスを作成する場合には、
Settings タブと Users タブが表示されます。
11. 管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定しま
す 。詳細については、427 ページの「認証領域の作成」を参照してください。
メモ : サーバーを通じて現在サインインしているユーザーのセッションを監視および削
除することについての詳細は、423 ページの「ユーザー セッションの表示と削除」を参
照してください。
398
„ Active Directory または NT ドメイン インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
匿名サーバー インスタンスの設定
次のようなトピックについて説明します。
„
399 ページの「匿名サーバーの概要」
„
399 ページの「匿名サーバー インスタンスの定義」
匿名サーバーの概要
匿名サーバー機能を使用すると、ユーザー名またはパスワードを入力せずに IVE にアクセ
スできます。匿名サーバーに対して認証するように設定されているサインイン ページの
URL を入力すると、標準の IVE サインイン ページは表示されずに、IVE welcome ページ
が表示されます。
IVE のリソースに厳しいセキュリティが必要ない場合、または IVE を通じて提供される他
のセキュリティ対策で十分である場合には、匿名認証を使用しても構いません。たとえ
ば、内部リソースへのアクセスを制限するユーザー ロールを作成し、内部ネットワーク
に存在する IP アドレスからサインインすることだけを指定したポリシーでロールを認証
します。この方法では、内部ネットワークにアクセスできるユーザーには、そのユーザー
ロールで指定された特定のリソースの表示権限もあることを前提としています。
匿名サーバー インスタンスを定義および監視する場合は、次の点にご注意ください。
„
1 つの匿名サーバーだけを構成に追加することができます。
„
管理者は、匿名サーバーを使用して認証することができません。
„
設定時に、Users > Authentication > General タブで、認証サーバーおよびディレク
トリ/属性サーバーの両方として匿名サーバーを選択する必要があります。詳細につ
いては、427 ページの「General タブ」を参照してください。
„
Users > Authentication > Role Mapping タブを使用して (430 ページの「Role
Mapping タブ」で説明されているように ) ロール マッピング規則を作成する場合、
匿名サーバーはユーザー名情報を取得しないため、IVE では特定のユーザー (“Joe”
など ) に適用するロール マッピング規則を作成することができません。ロール マッ
ピング規則は、デフォルト ユーザー名(*)、証明書属性、またはカスタム表現に
基づいてのみ作成できます。
„
セキュリティ上の理由で、匿名サーバーを通じてサインインするユーザー数を制限す
る必要がある場合もあります。この場合には、Users > Authentication > [ 領域 ] >
Authentication Policy > Limits タブのオプションを使用します([ 領域 ] は、匿名
サーバーでのユーザー認証に使用される領域です)。詳細については、430 ページの
「同時ユーザーの制限」を参照してください。
„
IVE がユーザー名を収集せずに個別のセッション データを表示できないため、Users
タブを通じて匿名ユーザーのセッションを表示および削除することはできません(他
の認証サーバーを使用した場合は可能です)。
匿名サーバー インスタンスの定義
匿名サーバーを定義するには、次の操作を実行します。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
次のいずれかの操作を実行します。
„
新しいサーバー インスタンスを IVE 上で作成するには、New リストから
Anonymous Server を選択して、New Server をクリックします。
匿名サーバー インスタンスの設定
„
399
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
400
既存のサーバー インスタンスを更新するには、Authentication/Authorization
Servers リストの適切なリンクをクリックします。
3.
サーバー インスタンスを識別する名前を指定します。
4.
Save Changes をクリックします。
5.
ユーザーを認証するために、サーバーが使用する領域を指定します 。詳細について
は、429 ページの「認証領域ポリシーの指定」を参照してください。
„ 匿名サーバー インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Netegrity SiteMinder サーバー インスタンスの設定
次のようなトピックがあります。
„
401 ページの「Netegrity SiteMinder の概要」
„
404 ページの「IVE と連動させるための SiteMinder の設定」
„
409 ページの「SiteMinder と連動するように IVE を設定する」
Netegrity SiteMinder の概要
Netegrity SiteMinder ポリシー サーバーでユーザーを認証するように IVE を設定すると、
認証中に IVE によってユーザーの認証情報が SiteMinder に渡されます。認証情報を受け取
ると、SiteMinder は標準のユーザー名とパスワード認証、ACE SecurID トークン、または
クライアント サイド証明書を使用して、認証情報を認証できます(詳細は、402 ページ
の「異なる認証方式を使用した認証」を参照)。
また、認証時にはユーザーを認証するのに使用する SiteMinder 領域を判断するために、
保護されたリソースも SiteMinder に渡されます。IVE から保護されたリソースを受け取る
と、SiteMinder はユーザーの URL と、リソースに関連付けられた領域を照合して認証し
ます。これにより、ユーザーは、渡されたリソースと保護レベルが同等またはそれ以下の
リソースにシームレスにアクセスできます(410 ページの「ユーザーに異なる保護リソー
スへのアクセスを許可するための IVE の設定」を参照)。保護レベルの高い Web リソース
にアクセスしようとすると、SiteMinder または IVE によって要求が処理されます(403
ページの「保護レベルが不十分なユーザーの再認証」を参照)。
IVE から SiteMinder で保護されているリソースへのシングル サインオンには、
SMSESSION クッキーが使用されます。SMSESSION クッキーは、ユーザーの認証情報と
保護レベルが格納されるセキュリティ トークンです。設定に応じて、SiteMinder Web
エージェントまたは IVE によってサインイン データを格納する SMSESSION クッキーが
作成され、このクッキーが次の場所に転送されます。これにより、ユーザーは別のリソー
スにアクセスする際にも再度認証を受ける必要がなくなります。
„
IVE - ユーザーが自分の IVE セッション(たとえば、IVE のファイル ブラウザ ペー
ジなど)から SiteMinder リソースにアクセスしようとすると、IVE はキャッシュに
入っている SMSESSION クッキーを Web エージェントに渡して認証を行います。
„
ユーザーの Web ブラウザ - ユーザーが自分の IVE セッションの外(たとえば、
Yahoo! E メール アカウントなど)から SiteMinder リソースにアクセスしようとする
と、SiteMinder はユーザーの Web ブラウザに格納されているキャッシュされた
SMSESSION クッキーを使用してユーザーを認証します。
Automatic Sign-In オプション (414 ページの「Automatic Sign-In」を参照 ) を有効にする
と、IVE は SMSESSION クッキーを使用し、SiteMinder リソースから IVE へのシングル
サインオンが可能になります。Web エージェントから IVE 証明書が送信されると、IVE は
(証明書が認証されれば)ユーザーのアクセスを許可し、ユーザーを指定された IVE 領域
と指定された機能に配置します。
SMSESSION クッキーの作成には、(Netegrity SDK のバージョン 5.5 で作成された)カス
タム IVE Web エージェントまたは標準の Web エージェントを使用できます。以下のエー
ジェントを使用した場合:
„
Custom IVE Web agent - IVE はユーザーを認証し、SMSESSION クッキーを作成し
ます。このオプションを選択した場合は、第三者のクッキーを受け付けるように
SiteMinder 環境を更新する必要があります (415 ページの「Authenticate using
custom agent」を参照 )。
„
401
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Standard Web agent - IVE から、設定済みの標準の Web エージェントに認証情報が
転送されます。Web エージェントによって SMSESSION クッキーが作成されます。こ
のオプションを選択した場合、SecurID New Pin モード、Next Token モード、または
クライアントサイド証明書認証は使用できません (415 ページの「Authenticate using
HTML form post」を参照 )。
メモ :
„
本書の作成時点で、Juniper Networks では、標準エージェントのバージョン 6、
5QMR5 および 4QMR6 を備えた Netegrity SiteMinder サーバーのバージョン 6.0 お
よびバージョン 5.5 をサポートしています。
„
SiteMinder は IP アドレスを SMSESSION クッキーに保存しないため、IVE アプライ
アンスに IP アドレスを渡すことができません。
„
SiteMinder は、SMSESSION クッキーを永続クッキーとして IVE に送ります。セ
キュリティを最大限に強化するには、IVE は 認証が完了したら、永続クッキーを
セッション クッキーとしてリセットします。
„
IVE と SiteMinder 間のシングル サインオンを有効にすると、IVE セッションとアイ
ドル タイムアウトはすべて無視され、SiteMinder 領域を通じて設定されたセッショ
ンとアイドル タイムアウトが IVE で使用されます。
„
IVE は、System > Log/Monitoring > User Access Log ページですべての SiteMinder
エラーコードをログに記録します。SiteMinder エラーコードついては、SiteMinder
ドキュメンテーションを参照してください。
異なる認証方式を使用した認証
SiteMinder では認証方式によって、証明書情報を収集し、ユーザーの身元を確認します。
認証方式を個別に作成してそのそれぞれを異なる保護レベルに関連付けることができま
す。たとえば、2 つの方式を作成して、1 つの方式でユーザーのクライアントサイド証明
書を検証して下位の保護レベルを提供し、2 番目の方式で ACE SecurID トークン認証を使
用してユーザーにより上位の保護レベルを提供することが可能です。IVE は、次のような
タイプの SiteMinder 認証方式に対応しています。
402
„
„
Basic username and password authentication - ユーザー名とパスワードは、
SiteMinder ポリシー サーバーに渡されます。SiteMinder ポリシー サーバーは、ユー
ザーの名前とパスワードを自身で認証することも、認証のために別のサーバーに渡す
こともできます。
„
ACE SecurID token authentication - SiteMinder ポリシー サーバーは、ACE SecurID
トークンで生成されたユーザー名とパスワードに基づいて、ユーザーを認証します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Client-side certificate authentication - SiteMinder ポリシー サーバーは、クライア
ントサイド証明書の認証情報に基づいてユーザーを認証します。認証方法を選択する
場合、Web ブラウザはユーザーが選択できるクライアント証明書のリストを表示し
ます。
メモ :
„
この方法を使用してユーザーを認証する場合は、System > Certificates > Trusted
Client CAs タブをからクライアント証明書を IVE にインポートする必要がありま
す。詳細については、297 ページの「Trusted Client CAs タブ」を参照してください。
„
標準の IVE サインイン ページを表示しない場合には、ユーザー設定可能なサインイ
ン ページ機能を使用して変更できます。詳細については、353 ページの「カスタム
ページ」を参照してください。
„
SiteMinder クライアントサイド証明書の認証は、IVE クライアントサイド証明書の
認証とは異なります。両方を選択した場合、IVE は初めに IVE 設定パラメータを使
用して認証を行い、これが成功すると、SiteMinder に証明書の値が渡されて認証が
行われます。
設定については、以下を参照してください。
„
405 ページの「IVE に対する SiteMinder 認証方式の作成」
„
410 ページの「複数の認証方式に対応させるための IVE 設定」
保護レベルが不十分なユーザーの再認証
IVE 設定時に、ユーザーの SiteMinder セッションで許可された保護レベルを制御するため
に、保護リソース(URL)を指定する必要があります。401 ページの「Netegrity
SiteMinder の概要」を参照)。ただし、IVE の設定中に Resource for insufficient protection
level オプションを有効にしてあれば、自分に許可された保護レベルよりも高いレベルが
設定された Web リソースにユーザーがアクセスしようとした場合でも、IVE はユーザー
を中間ページに送って再認証することができます。詳細については、417 ページの
「Resource for insufficient protection level」を参照してください。
IVE の中間ページには、次の 2 つのオプションがあります。
„
Continue - ユーザーがこのオプションを選択すると、IVE は、ユーザーを現在の
セッションからサインアウトして、上位レベルのリソースに必要とされる証明書を
ユーザーに要求します。証明書が認証された場合は、アクセスしようと試みている
ページにユーザーをダイレクトします。(ユーザーが Host Checker または Cache
Cleaner を実行していて、IVE からの再認証の要求に対して証明書を入力しなかった
場合、このユーザーの IVE セッションが一時中止するまで、Host Checker または
Cache Cleaner アプリケーションはユーザーのシステムで実行を続けます。
„
Cancel - ユーザーがこのオプションを選択すると、ユーザーは前のページに戻され
ます。
それ以外の場合、IVE を通じた再認証を選択しないと、ポリシー サーバーが認証方式
URL をユーザーに返すか返さないかによって、再認証プロセスは以下のように異なりま
す。ポリシー サーバーが以下の場合:
„
認証方式 URL を返さない - IVE は、検証失敗メッセージをユーザーに返し、標準の
IVE サインインページを通じて再認証を行います。ユーザーは、サインインし直すよ
うに求められますが、元の保護レベルが割り当てられるため目的のページにサインイ
ンできない可能性があります。
„
403
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
認証方式 URL を返す - IVE は、標準の Web エージェントにリダイレクトして再認
証を行います。
IVE で再認証を行う方法については、405 ページの「IVE に対する SiteMinder 認証方式の
作成」を参照してください。
ユーザーのユーザー名の確認
異なる認証方式とサインイン ポイントが利用可能な場合には、IVE はポリシー サーバー
ヘッダや証明書属性などの異なるソースや、IVE のサインイン ページから、さまざまな
ユーザー名を受け取ることがあります。ユーザーが IVE にアクセスする方法と、それに応
じて IVE がユーザー名を判断する方法は、次のとおりです。ユーザーが以下を実行する場
合:
„
標準の IVE サインイン ページからサインインする - IVE は、ポリシー サーバーが
OnAuthAccept 応答ヘッダに返したユーザー名を初めに確認します。SiteMinder で
ユーザー名が定義されなかった場合、IVE はユーザーがサインイン時に入力した名前
を使用します。それ以外の場合、ユーザーがクライアント証明書を使用して認証を受
けるために、SiteMinder とユーザーのどちらからもユーザー名が提供されなかったと
きには、IVE はポリシー サーバーによって設定された UserDN の値を使用します。
„
SiteMinder 証明書を使用して IVE に自動的にサインインする - ポリシー サーバーが
OnAuthAccept 応答ヘッダで戻したユーザー名を IVE は初めに確認します。
SiteMinder でユーザー名が定義されなかった場合、IVE は、SMSESSION クッキーを
調べます。それ以外の場合で、SiteMinder で応答ヘッダまたは SMSESSION クッキー
にユーザー名が読み込まれなかったときには、IVE は SMSESSION クッキーに入って
いる UserDN の値を確認します。
使用すべきユーザー名が判明した時点で、IVE はそのユーザー名をセッション キャッシュ
に保存して、ユーザーから別のリソースへのアクセスが求められたときに、格納されてい
るユーザー名を参照します(401 ページの「Netegrity SiteMinder の概要」を参照)。
IVE に確実に正しいユーザー名が渡されるようにするには §SiteMinder ポリシー サーバー
で OnAuthAccept 応答を設定する必要があります (408 ページの「IVE にユーザー名を渡
す規則 / 応答の組み合わせの作成」を参照 )。
IVE と連動させるための SiteMinder の設定
以下では、IVE と連動するように SiteMinder ポリシー サーバーを設定する方法を説明し
ます。ただし、ここでの説明は、SiteMinder の完全な設定手順ではなく、SiteMinder を
IVE と連動するように設定するためのものです。SiteMinder の詳細な設定については、
SiteMinder ポリシー サーバーに付属のマニュアルを参照してください。
メモ : ここで説明する手順は、SiteMinder ポリシー サーバー 5.5 を対象としています。
製品バージョンが異なる場合には、手順に若干の相違があります。
SiteMinder ポリシー サーバーで Web エージェントとして IVE を設定するには、次の操作
を実行します。
404
„
1.
405 ページの「IVE を SiteMinder 上の Web エージェントとして設定する」
2.
405 ページの「IVE に対する SiteMinder 認証方式の作成」
3.
407 ページの「IVE の SiteMinder ドメインの作成」
4.
407 ページの「IVE の SiteMinder 領域の作成」
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
408 ページの「IVE にユーザー名を渡す規則 / 応答の組み合わせの作成」
6.
409 ページの「ドメインの下に SiteMinder ポリシーを作成する」
IVE を SiteMinder 上の Web エージェントとして設定する
SiteMinder 内のエージェント フィルタは、ユーザー リクエストをフィルタリングしてア
クセス制御を行います。たとえば、ユーザーが保護されたリソースを要求すると、エー
ジェントは認証方式に応じて証明書の入力を求め、その証明書を SiteMinder ポリシー
サーバーに送ります。Web エージェントは、Web サーバーと動作するエージェントのこと
です。IVE と動作するように SiteMinder を設定する場合には、IVE を Web エージェント
として設定する必要があります。
SiteMinder ポリシー サーバーで Web エージェントとして IVE を設定するには、次の操作
を実行します。
1.
SiteMinder の管理インターフェースで、System タブを選択します。
2.
Agents を右クリックして、Create Agent を選択します。
3.
Web エージェントの名前と説明(オプション)を入力します。SiteMinder 領域を作成
するとき(407 ページの「IVE の SiteMinder 領域の作成」を参照)および IVE を設定
するときには(412 ページの「Secret, Agent Name」を参照)、この名前を入力する必
要があります。
4.
IVE との互換性を確保するには、Support 4.x agents オプションをオンにする必要が
あります。
5.
Agent Type で、SiteMinder を選択し、ドロップダウン リストから Web Agent を選択
します。IVE との互換性を確保するには、この設定を選択する必要があります。
6.
IP Address or Host Name に IVE の名前または IP アドレスを入力します。
7.
Shared Secret フィールドに Web エージェントのシークレットを入力して、確認のた
めに再入力します。IVE を設定するときには(412 ページの「Secret, Agent Name」
を参照)、このシークレットを入力する必要があります。
8.
OK をクリックします。
IVE に対する SiteMinder 認証方式の作成
SiteMinder では認証方式によって、証明書情報を収集し、ユーザーの身元を確認します。
IVE に対する SiteMinder 認証方式を設定するには、次の操作を実行します。
1.
SiteMinder の管理インターフェースで、System タブを選択します。
2.
Authentication Schemes を右クリックして、Create Authentication Scheme を選択
します。
3.
認証方式の名前と説明(オプション)を入力します。SiteMinder 領域を設定するとき
には、この名前を入力する必要があります (407 ページの「IVE の SiteMinder 領域の
作成」を参照 )。
4.
Authentication Scheme Type で、次のいずれかのオプションを選択します。
„
Basic Template
„
HTML Form Template
„
405
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
SecurID HTML Form Template1
„
X509 Client Cert Template
„
X509 Client Cert and Basic Authentication
メモ :
„
IVE がサポートするのは、上記の認証方式のみです。
„
IVE で再認証を処理できるようにするには、HTML Form Template を選択する必要
があります(403 ページの「保護レベルが不十分なユーザーの再認証」 を参照)。
„
X509 Client Cert Template または X509 Client Cert and Basic Authentication を選
択した場合は、System > Certificates > Trusted Client CAs タブによって証明書を
IVE にインポートする必要があります。詳細については、297 ページの「Trusted
Client CAs タブ」を参照してください。
5.
認証方式の保護レベルを入力します。この保護レベルは、この認証方式に関連付けら
れる SiteMinder 領域にも適用されます。詳細については、407 ページの「IVE の
SiteMinder 領域の作成」を参照してください。
6.
アクセスが許可される保護レベルよりも高いレベルが設定されているリソースへのア
クセスを要求するユーザーを再認証したい場合は、Password Policies Enabled for
this Authentication Scheme を選択します。
7.
Scheme Setup タブで、使用する認証方式に必要なオプションを入力します。アクセ
スが許可される保護レベルよりも高いレベルが設定されているリソースへのアクセス
を要求するユーザーを、IVE に再認証させたい場合は、次の設定を入力する必要があ
ります。
„
Server Name に、IVE ホスト名を入力します(たとえば、
sales.yourcompany.net)。
„
Use SSL Connection チェックボックスをオンにします。
„
Target で、このステップの最初の手順で定義した IVE サインイン URL に
「ive=1」パラメータを加えて入力します(たとえば、/highproturl?ive=1)。IVE
には、*/highproturl をサインイン URL として使用するサインイン ポリシーが必
要であり、対応する SiteMinder 認証領域だけを使用します。
メモ : 変更を保存すると、ive=1 は送信先に表示されなくなります。これで問題ありま
せん。ポリシー サーバーは、Advanced タブの Parameter フィールドで確認できるよう
に、IVE に送信される完全な認証方式 URL に ive=1 を入れます。
„
Allow Form Authentication Scheme to Save Credentials チェックボックスをオフ
にします。
„
Additional Attribute List を空欄のままにします。
1. SecurID 認証を使用する場合は、SecurID テンプレートではなく、SecurID HTML Form Template を選択する必要があ
ります。このオプションをオンにすると、ポリシー サーバーは IVE に ACE サインイン失敗コードを送信できるよう
になります。
406
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
8.
OK をクリックします。
メモ : IVE で複数の認証方式を処理するための設定については、410 ページの「複数の
認証方式に対応させるための IVE 設定」を参照してください。
IVE の SiteMinder ドメインの作成
SiteMinder のポリシー ドメインは、1 つまたはそれ以上のユーザー ディレクトリに関連
付けられたリソースの論理的なグループのことです。ポリシー ドメインは、領域、応答、
ポリシーで構成されます。SiteMinder と連動するように IVE を設定するときには、IVE の
ユーザーに領域内の SiteMinder リソースへのアクセスを許可して、それらの領域を 1 つ
のドメインにまとめる必要があります。
IVE に対する SiteMinder ドメインを設定するには、SiteMinder の管理インターフェー
スで System タブを選択し、Domains を右クリックして Create Domain を選択しま
す。または、Domains をクリックして、既存の SiteMinder ドメインを選択します。こ
のドメインに領域を追加する必要があります (407 ページの「IVE の SiteMinder 領域の
作成」を参照 )。
IVE の SiteMinder 領域の作成
SiteMinder の「領域」とは、セキュリティの要件に応じてグループにまとめられたポリ
シー ドメイン内のリソース群のことです。IVE と連動するように SiteMinder を設定する場
合には、領域を定義して、IVE のユーザーがアクセスできるリソースを決定する必要があ
ります。
IVE に対する SiteMinder 領域を設定するには、次の操作を実行します。
1.
SiteMinder の管理インターフェースで、Domains タブを選択します。
2.
IVE に対して作成したドメインを展開します。詳細については、407 ページの「IVE
の SiteMinder ドメインの作成」を参照してください。
3.
Realms を右クリックして、Create Realm を選択します。
4.
領域の名前と説明(オプション)を入力します。
5.
Agent フィールドで、IVE のために作成した Web エージェントを選択します。詳細に
ついては、405 ページの「IVE を SiteMinder 上の Web エージェントとして設定する」
を参照してください。
6.
Resource Filter フィールドで、保護されるリソースを入力します。このリソースは、
対応する認証方式に指定された保護レベルを継承します。デフォルトの保護レベルを
適用するには、「/IVE-authentication」と入力します。IVE を設定するときには、この
シークレットを入力する必要があります(412 ページの「Protected Resource」を参
照)。または、*/nete や */cert などの非デフォルト URL をもつサインイン ポリシー
を使用する場合は、SiteMinder 設定に対応するリソース フィルターを含める必要が
あります。
7.
Authentication Schemes リストから、IVE に対して作成した方式を選択します(405
ページの「IVE に対する SiteMinder 認証方式の作成」を参照)。
8.
OK をクリックします。
„
407
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVE にユーザー名を渡す規則 / 応答の組み合わせの作成
SiteMinder では、
「規則」を使用して、認証イベントまたは承認イベントが発生したとき
に応答を送信できます。response では、SiteMinder ポリシー サーバーから SiteMinder エー
ジェントに、ユーザー属性、DN 属性、静的テキスト、またはユーザー設定可能なアク
ティブ応答が渡されます。IVE と連動するように SiteMinder を設定する場合には、ユー
ザーが認証されると起動する規則を作成する必要があります。次に、そのユーザーのユー
ザー名を IVE Web エージェントに渡す対応する応答を作成します。
新しい規則を作成するには、次の操作を実行します。
1.
SiteMinder の管理インターフェースで、Domains タブを選択します。
2.
IVE に対して作成したドメイン(407 ページの「IVE の SiteMinder ドメインの作成」
を参照)を展開し、Realms を展開します。
3.
IVE のために作成した領域(407 ページの「IVE の SiteMinder 領域の作成」を参照)
を右クリックして、Create Rule under Realm を選択します。
4.
規則の名前と説明(オプション)を入力します。
5.
Action で、Authentication Events を選択し、ドロップダウン リストから
OnAuthAccept を選択します。
6.
Enabled を選択します。
7.
OK をクリックします。
新しい応答を作成するには、次の操作を実行します。
1.
SiteMinder の管理インターフェースで、Domains タブを選択します。
2.
IVE に対して作成したドメインを展開します(407 ページの「IVE の SiteMinder ドメ
インの作成」を参照)。
3.
Responses を右クリックして、Create Response を選択します。
4.
応答の名前と説明(オプション)を入力します。
5.
SiteMinder を選択し、IVE Web agent を選択します(405 ページの「IVE を
SiteMinder 上の Web エージェントとして設定する」を参照)。
6.
Create をクリックします。
7.
Attribute リストから WebAgent-HTTP-Header-Variable を選択します。
8.
Attribute Kind で、Static を選択します。
9.
Variable Name で IVEUSERNAME と入力します。
10. OK をクリックします。
408
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVE ロール マッピングのための SiteMinder ユーザー属性の作成
ポリシー サーバーで SiteMinder ユーザー属性を作成する場合、IVE ロール マッピング規
則でこれらのユーザー属性を使用して、ユーザーをロールにマッピングできます。たとえ
ば、その部門に応じてさまざまな IVE ロールにユーザーをマッピングすることができま
す。ロール マッピング規則で SiteMinder ユーザー属性を使用するには、SiteMinder ユー
ザー属性 cookie に含まれる cookie 名を参照します。
次の手順は、IVE ロール マッピング規則で SiteMinder ユーザー属性を使用する場合にの
み必要です。
SiteMinder サーバーでユーザー属性を作成するには、次の操作を実行します。
1.
SiteMinder の管理インターフェースで、Domains タブを選択します。
2.
IVE に対して作成したドメインを展開します(407 ページの「IVE の SiteMinder ドメ
インの作成」を参照)。
3.
Responses を右クリックして、Create Response を選択します。
4.
応答の名前と説明(オプション)を入力します。
5.
SiteMinder を選択し、IVE Web agent を選択します(405 ページの「IVE を
SiteMinder 上の Web エージェントとして設定する」を参照)。
6.
Create をクリックします。
7.
Attribute リストから WebAgent-HTTP-Header-Variable を選択します。
8.
Attribute Kind で、User Attribute を選択します。
9.
Cookie Name には、department などのクッキーの名前を入力します。このクッキー
名は IVE ロール マッピング規則で参照することができます。
10. Attribute Name には、SiteMinder ユーザー ディレクトリの属性名を入力します。( こ
れは SiteMinder が使用する LDAP サーバーの属性を参照します )。
11. OK をクリックします。
12. OnAuthAccept のタイプの規則に User Attribute 応答を割り当てます。408 ページの
「IVE にユーザー名を渡す規則 / 応答の組み合わせの作成」を参照してください )。
13. SiteMinder ポリシー サーバーを使用する IVE 領域にロール マッピング規則のクッ
キー名を参照します。手順については、419 ページの「IVE ロール マッピングのため
の SiteMinder ユーザー属性の使用」を参照してください。
ドメインの下に SiteMinder ポリシーを作成する
SiteMinder の「ポリシー」は、ユーザーと規則を関連付けるものです。ドメインの下に
SiteMinder ポリシーを設定するには、SiteMinder 管理インターフェースで Domains タブ
を選択し、ポリシーを追加するドメインを選択して、Policies を右クリックし、Create
Policy を選択します。
SiteMinder と連動するように IVE を設定する
このセクションでは、SiteMinder ポリシー サーバーと連動するように IVE を設定する手
順を説明します。
„
410 ページの「複数の認証方式に対応させるための IVE 設定」
„
409
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
410 ページの「ユーザーに異なる保護リソースへのアクセスを許可するための IVE の
設定」
„
411 ページの「Netegrity SiteMinder サーバー インスタンスの定義」
„
420 ページの「自動サインインのための SiteMinder 領域の定義」
複数の認証方式に対応させるための IVE 設定
複数の SiteMinder 認証方式に対応するように IVE を設定するには、次の操作を実行しま
す。
1.
SiteMinder ポリシー サーバーで認証方式を設定します。手順については、405 ページ
の「IVE に対する SiteMinder 認証方式の作成」を参照してください。
2.
使用したいすべての SiteMinder 認証方式に対して、SiteMinder ポリシー サーバーの
IVE インスタンスを 1 つ作成します。手順については、411 ページの「Netegrity
SiteMinder サーバー インスタンスの定義」を参照してください。
3.
管理者とユーザーを認証および承認するために、SiteMinder ポリシー サーバーの IVE
インスタンスを使用する IVE 領域を指定します。手順については、427 ページの「認
証領域の作成」を参照してください。
4.
SiteMinder ポリシー サーバーの各保護リソースに、IVE サインイン ポリシーを作成
します。Signing In > Sign-in > Sign-in Policies > New Sign-In Policy ページで、
„
ポリシー サーバーの SiteMinder 保護リソース URL に一致する、IVE サインイン
URL を指定します。URL のパス部分を SiteMinder 領域設定の SiteMinder リソー
ス フィルタと一致させます。たとえば、*/ACE/ を IVE サインイン URL として
指定し、XYZ/ACE の SiteMinder URL と一致させることができます。ここで、
XYZ は領域の名前です。
„
SiteMinder ポリシー サーバーを使用するように指定した IVE 領域を選択します。
手順については、349 ページの「管理者およびユーザーのサインイン ポリシーの作
成と設定」を参照してください。
ユーザーはいずれかの IVE サインイン URL を使用して IVE にサインインします。IVE は保
護リソース URL を SiteMinder に送ります。SiteMinder はそのリソースに基づいて、ユー
ザーの認証に使用する認証方式を判断します。IVE はその認証方式で必要とされる認証情
報を収集し、SiteMinder に渡して認証させます。
ユーザーに異なる保護リソースへのアクセスを許可するための IVE の設定
さまざまな SiteMinder 保護リソースへのアクセスを(関連付けごと、異なる保護レベル
ごとに)ユーザーに許可するように IVE を設定するには、次の操作を実行します。
1.
SiteMinder サーバーで保護するリソースを定義します。これらのリソースは、対応す
る SiteMinder 認証方式から保護レベルを継承します。手順については、407 ページの
「IVE の SiteMinder 領域の作成」を参照してください。
2.
許可したいすべての保護リソースと対応する保護レベルに、SiteMinder ポリシー
サーバーの IVE インスタンスを 1 つ作成します。手順については、411 ページの
「Netegrity SiteMinder サーバー インスタンスの定義」を参照してください。
3.
410
„
SiteMinder ポリシー サーバーの IVE インスタンスを使用する IVE 領域を指定します。
手順については、427 ページの「認証領域の作成」を参照してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
SiteMinder ポリシー サーバーの各リソースに対して、各領域レベルのリソース フィ
ルター用の IVE サインイン ポリシーを作成します。サインイン ポリシーの設定ペー
ジで、以下を指定します。
„
ポリシー サーバーの保護リソース URL に一致する、IVE サインイン URL。URL
のパス部分を SiteMinder リソース フィルタに一致させます。たとえば、次のよ
うな URL を定義するとします。
https://employees.yourcompany.com/sales
https://employees.yourcompany.com/engineering
ユーザーが最初の URL にサインインすると、“sales” 保護リソースにアクセスで
きます。さらに、2 番目の URL にサインインすると、“engineering” 保護リソー
スにアクセスできます。
デフォルトのリソース(ive-authentication)を定義するには、URL のパス部分
に「*」を入力します。手順については、349 ページの「管理者およびユーザー
のサインイン ポリシーの作成と設定」を参照してください。
„
SiteMinder ポリシー サーバーを使用するように指定した IVE 領域を選択します。
手順については、349 ページの「管理者およびユーザーのサインイン ポリシーの作
成と設定」を参照してください。
本番環境では、ユーザーはいずれかの URL を使用して IVE にサインインします。IVE は
URL から保護リソースを抽出し、該当する領域に対してユーザーを認証します。
Netegrity SiteMinder サーバー インスタンスの定義
IVE 内では、SiteMinder 「インスタンス」とは、IVE が SiteMinder ポリシー サーバーと対
話する方法を定義する設定のセットです。SiteMinder サーバー インスタンスを定義した
後、どの IVE 領域が SiteMinder ポリシー サーバーの IVE インスタンスを使用して、管理
者とユーザーを認証および承認するかを指定します。手順については、427 ページの「認
証領域の作成」を参照してください。
Netegrity SiteMinder サーバー インスタンスを定義するには、次の操作を実行します。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
次のいずれかの操作を実行します。
„
新しいサーバー インスタンスを IVE 上に作成するには、New リストから
SiteMinder Server を選択して、New Server をクリックします。
„
既存のサーバー インスタンスを更新するには、Authentication/Authorization
Servers リストの適切なリンクをクリックします。
3.
表 28 で説明する設定を使用してサーバーを設定します。
4.
SiteMinder ユーザー属性を SiteMinder サーバー インスタンスに追加するには、次の
操作を実行します。
a.
Server Catalog をクリックして、サーバー カタログを表示します。
b.
サーバーカタログの Attribute フィールドに SiteMinder ユーザー属性のクッキー
名を入力して、Add Attribute をクリックします。(SiteMinder ユーザー属性クッ
キーについては、409 ページの「IVE ロール マッピングのための SiteMinder
ユーザー属性の作成」を参照してください。
„
411
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
c.
クッキー名の追加が完了したら、OK をクリックします。IVE は、Role Mapping
Rule ページの Attribute リストに SiteMinder ユーザー属性クッキーの名前を表示
します。設定手順については、419 ページの「IVE ロール マッピングのための
SiteMinder ユーザー属性の使用」を参照してください。
5.
Save Changes をクリックします。
6.
表 29 で説明する設定を使用して高度な SiteMinder 設定オプションを設定します(オ
プション)。
メモ : サーバーを通じて現在サインインしているユーザーのセッションを監視および削
除する詳細については、423 ページの「ユーザー セッションの表示と削除」を参照して
ください。
表 28: Netegrity SiteMinder 設定オプション
オプション
説明
Name
サーバー インスタンスを識別する名前を指定します。
Policy Server
ユーザーを認証するのに使用する SiteMinder ポリシー サーバーの名
前や IP アドレスを入力します。
Backup Server(s),
Failover Mode
カンマで区切られたバックアップ ポリシー サーバーのリストを入力
します(オプション)。次に、フェイルオーバー モードを選択します。
„ 障害が発生しない限り、IVE アプライアンスでメイン ポリシー
サーバーを使用する場合は、Yes を選択します。
„ 指定したすべてのポリシー サーバー間で負荷を分散するように IVE
アプライアンスを設定する場合は、No を選択します。
Secret,
Agent Name
405 ページの「IVE を SiteMinder 上の Web エージェントとして設定
する」で指定した共有シークレットとエージェント名を入力します。
名前は大文字と小文字が区別されます。注意してください。
On logout, redirect to IVE をサインアウトした後にユーザーがリダイレクトされる URL を指
定します(オプション)
。このフィールドを空白にすると、デフォル
トの IVE サインイン ページが表示されます。
注意 : On logout, redirect to フィールドは、下位互換性を確保するた
めに製品リリースに含まれているもので、今後は廃止される予定で
す。サインアウトしたユーザーを別のサインイン ページに戻すには、
ユーザー設定可能なサインイン ページ機能を使用することをお勧め
します。詳細については、352 ページの「Sign-in Pages タブ」を参照
してください。
Protected Resource
407 ページの「IVE の SiteMinder 領域の作成」で指定したデフォル
トの保護リソースを指定します。SiteMinder にサインイン ポリシー
を作成しない場合には、IVE はデフォルトのこの URL を使用して、
セッションでのユーザーの保護レベルを設定します。また、
Automatic Sign-In オプションを選択した場合は、IVE はデフォルト
のこの URL を使用します。ユーザーが * URL(デフォルトの IVE サ
インイン ページ)にサインインする場合、任意の URL (「/IVEauthentication」がデフォルト ) を入力して、保護レベルをデフォル
トの IVE 値に設定します。SiteMinder にサインイン ポリシーを作成
する場合には、 IVE はデフォルトのこの URL の代わりにそのサイ
ンイン ポリシーを使用します。
注意 : リソースの先頭にはスラッシュ(/)を入力する必要がありま
す(例:“/ive-authentication”)。
412
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 28: Netegrity SiteMinder 設定オプション ( 続き )
オプション
Resource Action
説明
(読み取り専用)新しい SiteMinder サーバー インスタンスに対して
IVE はリソース アクションを GET に設定します。3.x インスタンスか
らアップグレードした SiteMinder インスタンスの場合には、IVE はす
でに選択されているリソース アクション(GET、POST、PUT など)
を使用します。既存のリソース アクションを GET に変更するには、
以前の SiteMinder サーバー インスタンスを削除して、GET を使用す
る新しいインスタンスを作成する必要があります。
SMSESSION クッキーの設定
Cookie Domain
IVE のクッキー ドメインを入力します。( クッキー ドメイン はユー
ザーのクッキーがアクティブなドメインです。 IVE はこのドメイン
のユーザーのブラウザにクッキーを送ります。)
注意 :
„ 複数のドメインはピリオドを使用し、カンマで区切ります。例:
sales.myorg.com, marketing.myorg.com
„ ドメインでは、大文字と小文字は区別されます。
„ ワイルドカード文字は、使用することができません。
たとえば、“juniper.net” と定義した場合、SMSESSION クッキーが IVE
に送り返されるようにするには、ユーザーは “http://ive.juniper.net” と
して IVE にアクセスする必要があります。
Protocol
(読み取り専用)IVE が HTTPS プロトコルを使用してユーザーの Web
ブラウザに cookie を送ることを示します。
Cookie Provider
Domain
Cookie Domain フィールドに指定された同一のガイドラインを使用
して IVE が SMSESSION クッキーを送信するインターネット ドメイ
ンを入力します。( クッキー プロバイダ ドメイン は複数のクッキー
ドメイン間で単一のサインオンを可能にします。これにより、ユー
ザーがあるドメインから別のドメインにナビゲートするときに、ユー
ザーの情報も移動します。) クッキー プロバイダを設定して複数の
クッキー ドメインにまたがる個々の サインオンを可能にしてある場
合は、クッキー プロバイダのドメインを入力します。それ以外の場合
は、個々の サインオンが必要な Web エージェントのドメインを入力
します。例:.juniper.net, .netscreen.com
Protocol
セキュア クッキーを受け入れるように他の Web エージェントを設
定している場合、クッキーをセキュアに送信するには、HTTPS を選
択します。クッキーを非セキュアに送信する場合は HTTP を選択し
ます。
„
413
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 28: Netegrity SiteMinder 設定オプション ( 続き )
オプション
説明
SiteMinder 認証の設定
Automatic Sign-In
有効な SMSESSION クッキーが IVE に送信されたユーザーが自動的に
サインインされるようにするには、Automatic Sign-In チェックボッ
クスをオンにします。次に、ユーザーをマップする認証領域を選択し
ます。このオプションをオンにする場合には、次の点に注意する必要
があります。
„ ユーザーの SMSESSION クッキーと関連付けられた保護レベルが
IVE 領域の保護レベルと異なる場合、IVE はクッキーと関連付けら
れた保護レベルを使用します。
„ 他の Web エージェントから IVE へのシングル サインオンを可能に
するには、IVE が標準の Web エージェントで作成された既存の
SMSESSION クッキーを検証する必要があります。
„ IVE は以下の領域と Automatic Sign in 機能のロール規制をサポー
トします。Host Checker、Cache Cleaner、IP アドレス、ブラウザ、
同時ユーザーの上限チェックです。証明書とパスワードの制限は、
自動的にサインイン ユーザーに適用できないため、サポートされ
ません。
„ IVE は管理者ロールに対する Automatic Sign in 機能はサポートし
ていません。この機能を使用できるのはエンド ユーザーだけです。
To assign user roles,
use this
authentication realm
自動的にサインインするユーザーの認証領域を選択します。IVE は、
選択された領域に定義されたマッピング規則にしたがってユーザーを
ロールに割り当てます。
注意 : ユーザー名に基づいてユーザーをロールにマップする場合に
IVE で使用されるユーザー名については、404 ページの「ユーザーの
ユーザー名の確認」を参照してください。
If Automatic Sign In
fails, redirect to
自動サインイン メカニズムを通じて IVE にサインインするユー
ザーの代替 URL を入力します (414 ページの「Automatic Sign-In」
を参照 )。IVE が認証に失敗し、SiteMinder ポリシー サーバーから
リダイレクト応答が返されなかった場合、IVE はユーザーを指定さ
れた URL に戻します。このフィールドを空欄にした場合、ユーザー
はもう一度 IVE にサインインするように指示されます。
注意 :
„ ユーザーが IVE サインイン ページを通じてサインインした場合、
認証が失敗すると、常に元の IVE サインイン ページにリダイレク
トされます。
„ ユーザー設定可能な UI(Custom Pages)オプションを使用してい
る場合 (352 ページの「Sign-in Pages タブ」を参照 )、IVE が 2 つの
異なる事例で welcome.cgi にリダイレクトすることに注意してく
ださい。これらの特別な事例の両方をカスタム ページで説明する
必要があります。
セッション タイムアウトとアイドル タイムアウト : /danana/auth/welcome.cgi?p=timed-out
cookie 検証の失敗 : /dana-na/auth/welcome.cgi?p=failed
414
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 28: Netegrity SiteMinder 設定オプション ( 続き )
オプション
説明
Authenticate using
custom agent
IVE を使用して認証する場合は、このオプションを選択します。この
オプションをオンにする場合には、次の操作も実行する必要がありま
す。
„ IVE で作成された cookie を受け入れるように、標準の Web エー
ジェントをすべて適切な Siteminder Agent Quarterly Maintenance
Release(QMR)にアップデートする必要があります。SiteMinder
バージョン 5 Web エージェントを実行している場合は、Netegrity
Web サイトから入手可能な QMR5 ホットフィックスを使用してく
ださい。
„ Web エージェントの設定ファイル (webagent.conf) で、Accept
Third Party Cookie 属性 (AcceptTPCookie) を yes に設定するか、IIS
Web サーバーの Windows Registry で 1 に設定する必要があります。
この属性を指定する場所は、SiteMinder のバージョンや使用する
Web サーバーによって変わります。詳細は、SiteMinder サーバーに
付属のマニュアルを参照してください。
Authenticate using
HTML form post
SiteMinder ポリシー サーバーに直接送るのではなく、すでに設定し
てある標準の Web エージェントにユーザー証明書を転送する場合は、
このオプションを選択します。このオプションを選択した場合、Web
エージェントはポリシー サーバーに問い合わせて、ユーザーに表示
する適切なサインイン ページを判断します。標準の Web エージェン
トに証明書を転送して「ブラウザのように動作する」ように IVE を
設定するには、次のような情報を入力する必要があります。この情報
を確認する最も簡単な方法は以下のとおりです。
1. Web ブラウザを開いて、使用する標準 Web エージェントの URL を
入力します。例: http://webagent.juniper.net
2. 表示された SiteMinder サインイン ページの URL を書き留めます。
例:
http://webagent.juniper.net/siteminderagent/forms/login.fcc?TYPE=3
3554433&REALMOID=06-2525fa65-5a7f-11d5-9ee00003471b786c&GUID=&SMAUTHREASON=0&TARGET=$SM$http
%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%2ejs
p
3. URL の情報を抽出して、以降のフィールドに入力します。
注意 :
„ Authenticate using HTML form post オプションを有効にした場合、
SecurID New Pin モードや Next Token モード、クライアントサイド
証明書認証、SNMP トラップは使用できません。
„ Authorize While Authenticating オプションと HTML form post オ
プションは併用できません。
„ このオプションを使用してユーザーを認証することは可能ですが、
承認も行う場合は、Authenticate using custom agent を選択する
必要があります。
Target
外部の Netegrity 対応 Web サーバーの URL です。Web エージェント
のサインイン ページ URL で、ターゲットは &TARGET=$SM$ の後
に表示されます。たとえば、415 ページの「Authenticate using HTML
form post」に示した URL の場合、ターゲットは次のようになります。
http%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%2ejsp
特殊文字 (%3a=colon, %2f=backslash, %2e=period) を変換した後
の、最終的なターゲットは次のようになります。
http://webagent.juniper.net/portal/index.jsp
„
415
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 28: Netegrity SiteMinder 設定オプション ( 続き )
オプション
説明
Protocol
IVE と指定した Web エージェントとの間の通信用プロトコル。非セ
キュア通信には HTTP、セキュア通信には HTTPS を使用します。Web
エージェントのサインイン ページ URL で、プロトコルは先頭に表示
されます。たとえば、415 ページの「Authenticate using HTML form
post」に示した URL の場合、プロトコルは HTTP です。
Web Agent
IVE が SMSESSION クッキーを取得する Web エージェントの名前。こ
のフィールドには、IP アドレスを指定できません。(Web エージェン
トとして IP アドレスを指定すると、一部のブラウザは cookie を受信
できなくなります)。Web エージェントのサインイン ページ URL で、
Web エージェントはプロトコルの後に表示されます。たとえば、415
ページの「Authenticate using HTML form post」に示した URL の場合、
Web エージェントは次のようになります。webagent.juniper.net
Port
HTTP の場合はポート 80 で、HTTPS の場合はポート 443 です。
Path
Web エージェントのサインイン ページのパスです。パスは、スラッ
シュ(/)で始める必要があります。Web エージェントのサインイン
ページ URL で、パスは Web エージェントの後に表示されます。たと
えば、415 ページの「Authenticate using HTML form post」に示した
URL の場合、パスは次のようになります。
/siteminderagent/forms/login.fcc
Parameters
ユーザーのサインイン時に送信するポスト パラメータです。使用で
きる一般的な SiteMinder 変数には、_ _USER_ _、_ _PASS_ _、および
_ _TARGET_ _ があります。これらの変数は、Web エージェントのサ
インイン ページでユーザーが入力したユーザー名とパスワード、
および Target フィールドに指定した値で置き換えられます。これら
は、login.fcc のデフォルトのパラメータです。したがって、カスタ
マイズ設定を使用する場合は、これらのパラメータを変更する必要
があります。
Using SiteMinder for authorization
416
„
Authorize requests
against SiteMinder
policy server
ユーザーの Web リソース リクエストを承認するのに SiteMinder ポリ
シー サーバー規則を使用することを選択します。このオプションを選
択する場合は、SiteMinder の中で、www.yahoo.com/、
www.yahoo.com/*、および www.yahoo.com/r/f1 など、サーバー名に
スラッシュを付けた適切な規則を作成したかどうかを確認してくださ
い。詳細は、SiteMinder サーバーに付属のマニュアルを参照してくだ
さい。
If authorization fails,
redirect to
IVE が認証に失敗し、SiteMinder ポリシー サーバーから応答が返され
なかった場合にユーザーがリダイレクトされる代替 URL を入力しま
す。このフィールドを空欄にした場合、ユーザーはもう一度 IVE にサ
インインするように指示されます。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 28: Netegrity SiteMinder 設定オプション ( 続き )
オプション
説明
Resource for
ユーザーに適切な許可がなかった場合に、IVE がユーザーをリダイレ
insufficient protection クトする Web エージェントのリソースを入力します。
level
ユーザーが自分の SMSESSION クッキーの保護レベルより高い保護レ
ベルが設定されたリソースにアクセスすると、セキュアなサインイン
ページが表示されます。再認証の後、ユーザーはより高い保護レベル
が設定された SMSESSION クッキーを取得して、Web ページに戻され
ます。IVE が表示する Web ページの種類は、ユーザーの認証方法に
よって次のように異なります *。
„ 標準 Web エージェントの FCCCompatMode を yes に設定した場合
Web エージェントのフォーム証明書コレクタ(FCC)** 互換モー
ドを yes に設定すると、ユーザーは Resource for insufficient
protection level フィールドに指定したページにリダイレクトされ
ます。
注意 :
- 標準 Web エージェントのページにユーザーを戻す必要がありま
す。IVE は、ユーザーがアクセスしようとしていたリソースにユー
ザーをリダイレクトできません。
- リソースの位置を示す URL 全体を入力する必要はありません
(例:
https://sales.yourcompany.com/,DanaInfo=www.stdwebagent.com+
index.html) リソース (index.html) を入力するだけで十分です。
„ 標準 Web エージェントの FCCCompatMode を no に設定した場合
Web エージェントのフォーム証明書コレクタ(FCC)** 互換モー
ドを yes に設定すると、ユーザーは Resource for insufficient
protection level フィールドに指定したページにリダイレクトされ
ます。または、このフィールドを空欄にすると、ユーザーはアクセ
スしようとしていたリソースに戻されます。
„ IVE
IVE を通じてユーザーを再認証すると、ユーザーは 403 ページの
「保護レベルが不十分なユーザーの再認証」で説明した IVE 中間
ページにリダイレクトされます。ユーザーがもともとアクセスしよ
うとしていたリソースに IVE によってリダイレクトされるようにす
るには、IVE Web コンソールの Users > Roles > [ ロール ] >
General > Session Options ページで Browser request follow
through オプションをオンにする必要があります。( このフィール
ドを空白にして、Browser request follow through オプションをオ
ンにしない場合、ユーザーは標準 IVE ユーザーのブックマーク
ページにリダイレクトされます。
* 再認証方式を指定する方法については、405 ページの「IVE に対す
る SiteMinder 認証方式の作成」を参照してください。
** ユーザーが保護リソースへのアクセスを要求すると、SiteMinder
はリクエストをフォーム認証情報コレクタ(FCC)に転送します。
FCC はポリシー サーバー上の Web フォームを呼び出して認証情報を
収集します。
Ignore authorization
for files with
extensions
承認を必要としないファイルの種類に応じて、ファイル拡張子を入力
します。無視するファイルの種類ごとに、拡張子をカンマで区切って
入力する必要があります。たとえば、さまざまな種類のイメージ ファ
イルを無視するには、.gif、.jpeg、.jpg、.bmp などを入力します。た
だし、ワイルドカード文字 (*、*.*、または .* など ) を使用して広範
囲に拡張子を指定することはできません。
„
417
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 29: Netegrity SiteMinder 詳細設定オプション
オプション
説明
Poll Interval
新しいキーをチェックする目的で IVE が SiteMinder ポリシー サー
バーをポーリングする間隔を入力します。
Max. Connections
IVE からポリシー サーバーに確立できる同時接続の最大数を入力しま
す。デフォルト値は 20 です。
Max. Requests/
Connection
IVE が接続を終了する前に、ポリシー サーバー接続が制御できるリク
エストの最大数を入力します。必要に応じて高い値を設定してくださ
い。デフォルト値は 1000 です。
Idle Timeout
IVE が接続を終了するまでに、ポリシー サーバーへの接続がアイドル
状態(接続がリクエストを処理していない状態)でいることのできる
最大時間(分)を制御します。デフォルト設定の “none” は、時間制
限がないことを示します。
Authorize while
Authenticating
ユーザーが本当に認証されていることを確認するために、認証直後に
IVE がポリシー サーバーのユーザー属性を調べるかどうかを指定しま
す。たとえば、Netegrity サーバーが LDAP サーバー設定に基づいて
ユーザーを認証する場合には、このオプションをオンにして、IVE が
Netgrity サーバーを通じてユーザーを認証してから、LDAP サーバー
を通じてユーザーを承認し、その後でアクセスを許可するように設定
できます。認証または承認が失敗した場合、ユーザーはポリシー サー
バーで設定されたページに戻されます。
注意 :
„ このオプションをオフにした状態で、ポリシー サーバー設定ユー
ティリティの Policy Users > Exclude タブで承認オプションを設定
した場合、アクセスを拒否されたユーザーでも問題なく IVE に対し
て承認されます。ユーザーが保護リソースへのアクセスを要求する
と、IVE はユーザーの承認権限をチェックして、アクセスを拒否し
ます。
„ IVE はポリシー サーバーに同じリソースを送って認証と承認を求め
ます。
„ このオプションは、Authenticate using HTML form post オプショ
ン (415 ページの「Authenticate using HTML form post」を参照 )、
または Automatic sign-in オプション (414 ページの「Automatic
Sign-In」を参照 ) とは併用できません。
Enable Session Grace IVE が一定の期間クッキーを有効とみなすように設定することで、
Period,
ユーザーが同じリソースを要求するたびに SMSESSION クッキーを何
度も確認する手間を省くことができます。IVE はキャッシュに入って
Validate cookie every いるクッキーを有効とみなし、ポリシー サーバーとの再照合を行い
N seconds
ません。このオプションを選択しないと、IVE はリクエストを受け取
るごとに毎回ユーザーの SMSESSION クッキーをチェックします。こ
こに入力した値はセッション タイムアウトやアイドル タイムアウト
のチェックには影響しません。
Ignore Query Data
418
„
デフォルトで、ユーザーがリソースを要求すると、IVE はそのリソー
スの URL 全体(クエリ パラメータを含む)をポリシー サーバーに送
り、認証要求の結果を 10 分間キャッシュに保存します。このオプ
ションをオンにすると、ユーザーがキャッシュ内の URL で指定され
た同一リソースを要求した場合に、IVE はもう一度ポリシー サーバー
に問い合わせるのではなく、キャッシュに格納されている応答を使用
します。ただし、新たに要求されたリソースの URL の違いがクエリ
パラメータのみであることが条件になります。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 29: Netegrity SiteMinder 詳細設定オプション ( 続き )
オプション
説明
Accounting Port
このフィールドに入力する値は、Netegrity ポリシー サーバー管理コ
ンソールを通じて入力されたアカウンンティング ポートの値と一致
している必要があります。デフォルトでは、このフィールドはポリ
シー サーバーのデフォルト設定値である「44441」に設定されます。
Authentication Port
このフィールドに入力する値は、Netegrity ポリシー サーバー管理コ
ンソールを通じて入力された認証ポートの値と一致している必要があ
ります。デフォルトでは、このフィールドはポリシー サーバーのデ
フォルト設定値である「44442」に設定されます。
Authorization Port
このフィールドに入力する値は、Netegrity ポリシー サーバー管理コ
ンソールを通じて入力された承認ポートの値と一致している必要があ
ります。デフォルトでは、このフィールドはポリシー サーバーのデ
フォルト設定値である「44443」に設定されます。
Flush Cache
リソースの承認情報を 10 分間キャッシュに保存する IVE のリソース
キャッシュを削除するのに使用します。
IVE ロール マッピングのための SiteMinder ユーザー属性の使用
SiteMinder ポリシー サーバーでユーザー属性を作成したあとで (409 ページの「IVE ロー
ル マッピングのための SiteMinder ユーザー属性の作成」を参照 )、SiteMinder ポリシー
サーバーを使用する領域のロール マッピング規則でこれらの属性を使用できます。
IVE ロール マッピングのための SiteMinder ユーザー属性を使用するには、次の操作を実
行します。
1.
Web コンソールで、Administrators > Authentication または Users >
Authentication を選択します。
2.
SiteMinder ポリシー サーバーを使用する IVE 領域の Authentication Realms ページの
General タブで、Directory/Attribute リストから Same as Above を選択します。( 手順
については、427 ページの「認証領域の作成」を参照してください。
メモ : Directory/Attribute リストから Same as Above の代わりに LDAP を選択した場合
は、ロール マッピング規則で SiteMinder 属性と LDAP 属性の両方を使用できます。
3.
Role Mapping タブで、SiteMinder ユーザー属性クッキーを参照する IVE ユーザー属
性に基づく規則を作成します。
たとえば、department という名の SiteMinder ユーザー属性クッキーを参照するに
は、IVE Role Mapping タブの IVE ユーザー属性のリストに department を追加しま
す。続いて、sales など、SiteMinder ユーザー属性クッキーの値を指定します。手順
については、430 ページの「認証領域にロール マッピング規則を指定」を参照して
ください。
また、ロール マッピング規則のカスタム エクスプレッションで、SiteMinder ユー
ザー属性クッキーを参照する以下のような構文も使用できます。
userAttr.<cookie-name>
例:
userAttr.department = ("sales" and "eng")
„
419
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
自動サインインのための SiteMinder 領域の定義
SiteMinder Automatic Sign In では、領域の認証サーバーが SiteMinder サーバーでなければ
なりません。アップグレードを行う場合に、認証に SiteMinder サーバーを指定しない
Automatic Sign In 領域が既に定義されており、SiteMinder サーバーを設定済みの場合は:
„
その領域は、Web コンソールの SiteMinder 認証設定にある SiteMinder 領域リストに
は表示されません。
„
アップグレード プロセスは、既存の領域に基づき Netegrity-Auto-Login-Realm と呼ば
れる新しい領域を作成しますが、これは SiteMinder サーバーを認証サーバーとして
設定します。
新しいインストレーションに SiteMinder 領域を設定するには、次の操作を実行します。
1.
Signing In > AAA Servers を選択します。
2.
New リストから SiteMinder を選択して、New Server をクリックします。
3.
411 ページの「Netegrity SiteMinder サーバー インスタンスの定義」の説明に従って、
設定を行います。
4.
Save Changes をクリックします。
5.
427 ページの「認証領域の作成」の説明に従って領域を設定し、SiteMinder サーバー
を認証サーバーとして選択します。
6.
Signing In > AAA Servers を選択します。
7.
前に定義した SiteMinder サーバーを選択します。
8.
SiteMinder authentication settings で、Automatic Sign In チェックボックスを選択
します。
9.
ユーザー認証領域リストから設定したばかりの領域を選択します。
10. Save Changes をクリックします。
メモ : SiteMinder サーバー ページのユーザー認証領域リストだけに、SiteMinder 用に設
定した領域が表示されます。SiteMinder 領域を設定していない場合は、ドロップダウン
メニューは空になります。
420
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
証明書サーバー インスタンスの設定
次のようなトピックについて説明します。
„
421 ページの「証明書サーバーの概要」
„
421 ページの「証明書サーバー設定の定義」
証明書サーバーの概要
証明書サーバー機能により、ユーザーは、クライアントサイド証明書に含まれる属性に基
づいて認証することができます。ユーザーを認証してロールにマッピングするために、証
明書サーバーを単独で使用することも、または他のサーバーと一緒に使用することもでき
ます。
たとえば、証明書属性のみに基づいてユーザーを認証できます。IVE によって、ユーザー
の証明書が有効であると判断されると、ユーザーは指定された証明書属性に基づいてサイ
ンインされるため、ユーザー名やパスワードの入力は求められません。
クライアントサイドの証明書属性を 2 次認証サーバー(LDAP など)に渡してユーザーを
認証する方法もあります。この場合、認証サーバーはまず、ユーザーの証明書の有効性を
確認します。このあと、IVE は領域レベルのロール マッピング規則を使用して、証明書属
性とユーザーの LDAP 属性を照合します。適切な一致が見つからない場合、IVE は指定に
従ってユーザーのアクセスを拒否するか、アクセスを制限します。
メモ : クライアントサイド証明書を使用する場合は、IVE をサインインした後に必ずブ
ラウザを閉じるようにエンドユーザーに徹底させることをお勧めします。Web ブラウザ
を閉じないと、開いたままのブラウザ セッションを他のユーザが使用して、再認証を行
わなくても IVE にある証明書保護されたリソースにアクセスできてしまいます (クライ
アントサイド証明書をロードした後、Internet Explorer と Netscape は、どちらも証明書
の識別情報と秘密鍵をキャッシュに保存します。ブラウザは、ユーザーがブラウザを閉
じるまで(場合によっては、ユーザーがワークステーションを再起動するまで)、これ
らの情報を保持します。詳細については、以下を参照してください。
http://support.microsoft.com/?kbid=290345.) ブラウザを閉じるように指示するメッ
セージを表示するには、Signing In > Sign-in > Sign-in Pages タブでサインアウト メッ
セージを変更します。
証明書サーバー設定の定義
IVE で証明書サーバーを定義するときは、次のステップを実行する必要があります。
1.
System > Configuration > Certificates > CA Certificates タブの設定を使用して、ク
ライアントサイド証明書の署名に使用する CA 証明書をインポートします。
2.
証明書サーバー インスタンスを作成するには、次の操作を実行します。
a.
Signing In > AAA Servers に移動します。
b.
New リストから Certificate Server を選択して、New Server をクリックします。
c.
サーバー インスタンスを識別する名前を指定します。
d.
User Name Template フィールドで、IVE でユーザ名を作成する方法を指定しま
す。任意の証明書変数の組み合わせを<>で囲むか、プレーン テキストで指定で
きます。証明書変数の一覧は、617 ページの「システム変数とその例」を参照し
てください。
証明書サーバー インスタンスの設定
„
421
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
メモ : 複数の値を持つ証明書属性を選択すると、最初に一致した値が使用されます。た
とえば、<certDN.OU> と入力し、この属性に 2 つの値(ou=management、ou=sales)
があった場合、IVE は “management “ 値を使用します。すべての値を使用するには、変
数に SEP 属性を追加します。たとえば、<certDN.OU SEP= ":"> と入力すると、IVE は
“management:sales” を使用します。
e.
Save Changes をクリックします。初めてサーバー インスタンスを作成する場合
には、Settings タブと Users タブが表示されます。
メモ : サーバーを通じて現在サインインしているユーザーのセッションを監視および削
除することについての詳細は、423 ページの「ユーザー セッションの表示と削除」を参
照してください。
422
3.
LDAP サーバーに対して証明書属性を照合するには、Signing In > AAA Servers ペー
ジの設定を使用して、LDAP サーバー インスタンスを作成します。証明書を通じて検
証するユーザー固有の属性を検索するには、LDAP 設定ページの Finding user entries
の項目を使用する必要があります。
4.
ユーザー認証に認証サーバーを使用する領域を指定するには、Users >
Authentication > Authentication > General タブまたは Administrators >
Authentication > General タブの設定を使用します。(この設定を使用して、証明書
属性の検証に LDAP サーバーを使用する領域を指定することもできます。)
5.
前の手順で設定した領域をサインイン URL にそれぞれ関連付けるには、
Signing In > Sign-in > Sign-in Policies ページの設定を使用します。
6.
個々の証明書属性に基づいて領域、ロール、またはリソース ポリシーへのユーザー
アクセスを制限するには、675 ページの「証明書の制限」で説明している設定を使用
します。
„ 証明書サーバー インスタンスの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ユーザー セッションの表示と削除
ほとんどのローカル IVE 認証サーバーの設定ページには、Users タブがあります。このタ
ブを使用して、アクティブな IVE ユーザー アカウントを表示および削除することができ
ます。このタブが表示されない認証サーバーのタイプは次のとおりです。
„
匿名サーバー - IVE は、匿名サーバを通じてサインインするユーザのユーザ名また
は他の証明書を収集しないため、匿名サーバを通じてサインインするユーザに関する
個別のセッション データを表示できません。
„
ローカル認証サーバー - IVE は、ローカル認証サーバーに Users タブの代わりに、
Local Users タブを表示します。このタブを使用して、ユーザー セッションの代わり
にユーザー アカウントを追加および削除できます。
その他のすべての認証サーバーの場合、以下の説明に従って、アクティブ ユーザー セッ
ションの表示または削除ができます。
アクティブなユーザー セッションを表示または削除するには、次の操作を実行します。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
Authentication/Authorization Servers リストから適切なリンクをクリックします。
3.
Users タブを選択します。
4.
次のいずれかのタスクを実行します。
„
特定のユーザーを検索するには、Show users named フィールドにユーザー名を
入力して、Update をクリックします。
また、ワイルドカードとして * 文字を使用できます。* は 0 を含む任意の文字数
の文字を表します。たとえば、jo という文字を含むユーザー名をすべて検索する
には、Show users named フィールドに *jo* と入力します。検索では大文字と小
文字が区別されます。検索では大文字と小文字が区別されます。アカウントのリ
スト全体を再び表示する場合は、* 文字を入力するか、フィールドに指定した文
字を削除し、Update をクリックします。
„
ページに表示されるユーザーの数を制限するには、Show N users フィールドに
数字を入力し、Update をクリックします。
„
個々のユーザーの IVE セッションを終了するには、ユーザーの横にあるチェック
ボックスをクリックし、Delete をクリックします。
ユーザー セッションの表示と削除
„
423
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
424
„ ユーザー セッションの表示と削除
第 9章
管理者設定
Web コンソールの Administrators セクションにある設定を使用すると、管理者認証領域
と委任管理者ロールの作成と設定が行えます。
目次
„
427 ページの「Authentication ページの設定」
„
439 ページの「Delegation ページの設定」
„
425
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
426
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Authentication ページの設定
Administrators > Authentication および Users > Authentication メニューは各ユーザー
の Authentication Realms ページにリンクされます。このページを使用して、システム認
証領域を作成して管理します。
Authentication Realms ページには、次のタブがあります。
„
427 ページの「General タブ」- このタブを使用して、認証領域を作成します。
„
429 ページの「Authentication Policy タブ」- このタブを使用して、認証領域ポリシー
を指定します。
„
430 ページの「Role Mapping タブ」- このタブを使用して、ロール マッピング規則
を指定し、サーバー カタログを使用します。
General タブ
General タブを使用して、認証領域を作成します。認証領域については、49 ページの「認
証領域の概要」を参照してください。
認証領域の作成
認証領域を作成するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Authentication または Users >
Authentication を選択します。
2.
それぞれの Authentication Realm ページで、New をクリックします。
3.
New Authentication Realms ページで、次の操作を実行します。
4.
5.
a.
この領域のラベルにする名前を入力します。
b.
領域の説明を入力します(オプション)。
c.
領域を開いて編集するときに、Role Mapping タブを選択し、When editing,
start on the Role Mapping page をチェックします。
Servers で、以下の内容を指定します。
„
この領域にサインインするユーザーを認証する認証サーバー。
„
ロール マッピング規則やリソース ポリシー用に、ユーザー属性やグループ情報
を抽出するディレクトリ / 属性サーバー(オプション)。
„
ユーザーが IVE にサインインおよびサインアウトする際に、追跡できる RADIUS
会計サーバー(オプション)。
Additional authentication server で、IVE にアクセスするために、2 次ユーザー認証
を SSO 対応のリソースに送信するかどうかを指定するか、2 要素認証を有効にしま
す (101 ページの「複数サインイン認証情報の概要」の説明を参照してください )。2
次認証サーバーを有効にするには次の操作を実行します。
a.
2 次認証サーバーの名前を選択します。匿名サーバー、認証サーバーまたは
Netegrity SiteMinder サーバーは選択できないので注意してください。
Authentication ページの設定
„
427
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
6.
b.
IVE サインイン プロセスの際に、2 次サーバーに手動でユーザー名を提出す
るようユーザーにプロンプトするには、Username is specified by user on
sign-in page を選択します。2 次サーバーに自動的にユーザー名を提出する場
合は、predefined as フィールドに静的テキストまたは有効な変数を入力しま
す。デフォルトでは、IVE は <username> セッション変数を送信します。こ
の変数には、1 次認証サーバーのサインインに使用される同じユーザー名が
格納されます。
c.
IVE サインイン プロセスの際に、2 次サーバーにパスワードを手動で提出
するようにユーザーにプロンプトするには、Password is specified by user
on sign-in page を選択します。2 次サーバーにパスワードを自動的に送信
するには、predefined as フィールドに静的テキストまたは有効な変数を入
力します。
d.
IVE へのアクセスの管理を、ユーザーの 2 つ目の証明書の成功した認証に基
づいて行う場合は、End session if authentication against this server fails を
選択します。
この領域にダイナミック ポリシー評価を使用する場合は、Dynamic policy
evaluation で、次のようにオプションを選択します (43 ページの「ダイナミック ポ
リシー評価」を参照してください )。
a.
Enable dynamic policy evaluation を選択して、この領域の認証ポリシー、ロー
ル マッピング規則、ロール制限のダイナミック ポリシー評価用の自動タイマー
を有効にします。このオプションを有効にしたら、Refresh interval オプション
を使用して、IVE が現在領域にサインインしているすべてのユーザーの自動ポリ
シー評価を実行する頻度を指定します。Refresh interval、Refresh roles、および
Refresh resource policies の設定を有効にするには、Enable dynamic policy
evaluation オプションを有効にする必要があります。
b.
Refresh interval には、IVE が時間に基づく各自動ポリシー評価を実行するまで
の待ち時間を分 (5 から 1440) で指定します。
c.
Refresh roles を選択して、この領域のすべてのユーザーのロールも更新するた
めに、Enable dynamic policy evaluation オプションの範囲を広げます。(この
オプションは Refresh Now ボタンの範囲はコントロールしません。)
d.
Refresh resource policies を選択して、この領域のすべてのユーザーのリソース
ポリシー ( ミーティングおよび E メール クライアントは含まない ) も更新するた
めに、Enable dynamic policy evaluation オプションの範囲を広げます。(この
オプションは Refresh Now ボタンの範囲はコントロールしません。)
メモ : Enable dynamic policy evaluation を選択し、Refresh roles および Refresh
resource policies を選択しない場合は、IVE はこの領域の認証ポリシー、ロール マッピ
ング規則、およびロール制限のみを評価します。
428
„ Authentication ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
e.
この領域の認証ポリシー、ロール マッピング規則、ロール制限、ユーザー ロー
ル、および現在領域にサインインしているすべてのユーザーのリソース ポリ
シーを手動で評価するには、Refresh Now をクリックします。認証ポリシー、
ロール マッピング規則、ロール制限、またはリソース ポリシーを変更し、この
領域のユーザーのロールを直ちに更新する場合は、このボタンを使用します。
メモ : ダイナミック ポリシー評価はシステム パフォーマンスに影響を与える可能性が
あるため、次のガイドラインに留意してください。
„
ユーザー ロールとリソース ポリシーの自動 ( 時間ベースの ) 更新は、システムのパ
フォーマンスに影響を与えるため、Refresh roles および Refresh resource policies
オプションの一方または両方を無効にして更新範囲を減らすと、パフォーマンスを
向上できます。
„
パフォーマンスを向上するには、Refresh interval オプションをより長い時間に設
定します。
„
ユーザーが影響を受けないときに、Refresh Now ボタンを使用します。
7.
Save Changes をクリックして、IVE 上で領域を作成します。認証領域のために、
General、Authentication Policy、および Role Mapping タブが表示されます。
8.
次の設定手順を実行してください。
a.
430 ページの「Role Mapping タブ」で説明するように、1 つまたは複数のロール
マッピングルールを設定します。
b.
429 ページの「Authentication Policy タブ」で説明するように、領域の認証ポリ
シーを設定します。
Authentication Policy タブ
Authentication Policy タブを使用して、認証領域ポリシーを作成します。認証領域につい
ては、49 ページの「認証領域の概要」を参照してください。
認証領域ポリシーの指定
認証領域ポリシーを指定するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Authentication または Users >
Authentication を選択します。
2.
それぞれの Authentication Realms ページで、領域をクリックして Authentication
Policy タブをクリックします。
3.
Authentication Policy ページで、以下のセクションで説明するアクセス管理オプショ
ンを 1 つまたは複数設定します。
„
672 ページの「ソース IP の指定」
„
673 ページの「ブラウザ制限の指定」
„
675 ページの「クライアントサイド証明書の制限の指定」
„
676 ページの「パスワード文字数制限の指定」
„
677 ページの「Host Checker の制限の指定」
Authentication ページの設定
„
429
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
678 ページの「Cache Cleaner の制限の指定」1
„
430 ページの「同時ユーザーの制限」
同時ユーザーの制限
認証ポリシーに指定できるアクセス管理オプションに加えて、同時ユーザーに対しても制
限を指定できます。これは以下のページで設定します。
„
Administrators > Authentication > 領域を選択 > Authentication Policy > Limits
„
Users > Authentication > 領域を選択 > Authentication Policy > Limits
この領域のサインイン ページに URL を入力するユーザーは、認証ポリシーに指定された
あらゆるアクセス管理要件と同時ユーザー要件を満たさないと、IVE にサインイン ページ
を表示させることができません。
Role Mapping タブ
認証領域のロール マッピング規則を指定するには、Role Mapping タブを使用します。詳
細については、以下を参照してください。
„
領域については、49 ページの「認証領域の概要」を参照してください。
„
ロールについては、57 ページの「ユーザー ロールの概要」を参照してください。
認証領域にロール マッピング規則を指定
LDAP または SiteMinder ユーザー属性、LDAP グループ情報、またはカスタム エクスプ
レッションを使用する新しい規則を作成する場合は、サーバー カタログを使用する必要
があります。このカタログについては、432 ページの「LDAP サーバー カタログの使用」
を参照してください。
認証領域にロール マッピング規則を指定するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Authentication または Users >
Authentication を選択します。
2.
それぞれの Authentication Realms ページで、領域を選択して Role Mapping タブを
クリックします。
3.
New Rule をクリックして Role Mapping Rule ページにアクセスします。このページ
は、規則を定義するためのインラインエディタを提供します。
4.
Rule based on リストでは、以下のいずれかを選択します。
„
Username - Username は、サインイン ページで入力された IVE ユーザー名で
す。IVE ユーザー名に基づいてユーザーをロールにマップするには、このオプ
ションを選択します。このタイプの規則はすべての領域で使用できます。
1. 管理者権限では使えません。
430
„ Authentication ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
I
User attribute - User attribute は、RADIUS、LDAP、または SiteMinder サーバー
から取得するユーザー属性です。対応するサーバーの属性に基づいて、ユーザー
をロールにマップするときに、このオプションを選択します。この種類の規則を
利用できるのは、認証サーバーに RADIUS サーバーを使用する領域、あるいは認
証サーバーまたはディレクトリ サーバーに LDAP または SiteMinder サーバーを
使用する領域だけです。User attribute オプションを選択したら、Update をク
リックして Attribute リストと Attributes ボタンを表示します。Attributes ボタ
ンをクリックして、サーバー カタログを表示します。
‰
ユーザー属性を追加するには、サーバー カタログの Attribute フィールドに
ユーザー属性のクッキー名を入力して、Add Attribute をクリックします。
(SiteMinder ユーザー属性クッキーの詳細については、409 ページの「IVE
ロール マッピングのための SiteMinder ユーザー属性の作成」を参照してく
ださい )。クッキー名の追加が完了したら、OK をクリックします。IVE は、
Role Mapping Rule ページの Attribute リストに SiteMinder ユーザー属性
クッキーの名前を表示します。
‰
サーバー カタログを使用して LDAP ユーザー属性を追加するには、432 ペー
ジの「LDAP サーバー カタログの使用」を参照してください。
„
Certificate または Certificate attribute - Certificate または Certificate attribute は、
ユーザーのクライアント側の証明書によりサポートされる属性です。認証属性に
基づいて、ユーザーをロールにマップする場合は、このオプションを選択しま
す。Certificate オプションはすべての領域で使用できます。Certificate attribute オ
プションは、認証サーバーまたはディレクトリ サーバーに LDAP を使用する領
域のみに使用できます。このオプションを選択したら、Update をクリックして
Attribute テキスト ボックスを表示します。
„
Group membership - Group membership は、サーバーカタログの Groups タブに
追加する LDAP サーバーまたはネイティブの Active Directory サーバーのグルー
プ情報です。LDAP または Active Directory グループ情報に基づいてユーザーを
ロールにマップする場合は、このオプションを選択します。このタイプの規則を
使用できるのは、認証サーバーまたはディレクトリサーバーに LDAP サーバーを
使用している領域か、認証に Active Directory サーバーを使用している領域だけ
です。(Active Directory サーバーは、領域の認証サーバーとして指定できないこ
とに注意してください。)
„
Custom Expressions - Custom Expressions は、サーバー カタログで定義する 1
つまたは複数のカスタム エクスプレッションです。認証属性に基づいて、ユー
ザーをロールに適用するときに、このオプションを選択します。このタイプの規
則はすべての領域で使用できます。このオプションを選択したら、Update をク
リックして Expressions リストを表示します。Expressions ボタンをクリックし
て、サーバー カタログの Expressions タブを表示します。
メモ : 複数のカスタム エクスプレッションを同じ規則に追加する場合は、IVE は式の
“OR”規則を作成します。たとえば、次の式を 1 つの規則に追加できます。
„
式 1: cacheCleanerStatus = 1
„
式 2: loginTime = (8:00AM TO 5:00PM)
これらの式に基づくと、キャッシュ クリーナーがユーザーのシステムで実行している場
合、またはそのユーザーが IVE に 8:00 から 5:00 の間にサインインした場合に、ユー
ザーはこの規則に一致します。
Authentication ページの設定
„
431
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
Rule で、評価する条件を指定します。これは、選択した規則の種類に対応しており、
以下の内容で構成されます。
a.
1 つまたは複数のユーザー名、SiteMinder ユーザー属性クッキー名、RADIUS ま
たは LDAP ユーザー属性、証明書属性、LDAP グループ、またはカスタム エクス
プレッションを指定します。
b.
式で使用する値を指定します。この値には、IVE ユーザー名のリスト、RADIUS
または LDAP サーバーのユーザー属性値、クライアント側の証明書の値 ( 静的属
性値または LDAP 属性値 )、LDAP グループ、またはカスタムの式などがありま
す。
たとえば、department と名付けられた SiteMinder ユーザー属性クッキーを
Attribute リストからを選択し、 is をオペレータ リストから選択して、“sales”
and “eng” をテキスト ボックスに入力することができます。
または、department という名の SiteMinder ユーザー属性クッキーを参照するカ
スタム エクスプレッション規則は、次のように入力できます。
userAttr.department = ("sales" and "eng")
6.
7.
...then assign these roles では、以下の内容を指定します。
a.
Selected Roles リストにロールを追加し、認証ユーザーに割り当てるロールを指
定します。
b.
Stop processing rules when this rule matches にチェックを入れるのは、ユー
ザーがこの規則に指定された条件を満たした場合に、IVE によるロール マッピン
グ規則の評価を停止したい場合です。
Save Changes をクリックして、Role Mapping タブで規則を作成します。規則の作成
が完了したら、次の操作を実行します。
„
IVE の評価順序が希望通りに並んでいるか確認します。この作業はロール マッピ
ング規則の処理を停止したい場合に特に重要です。
„
割り当てられた全ロールの設定を結合させるかどうかを指定します。59 ページの
「パーミッシブ マージのガイドライン」を参照してください。
LDAP サーバー カタログの使用
LDAP サーバー カタログ は、IVE がユーザーをロールにマップするときに使用する追加の
LDAP 情報を指定する第 2 のウィンドウであり、次の情報が含まれます。
„
432
„ Authentication ページの設定
Attributes - Server Catalog Attributes タブは、cn、uid、uniquemember、および
memberof などの一般的な LDAP 属性リストが表示されます。LDAP サーバーの
Server Catalog にアクセスするときのみ、このタブにアクセスできます。このタブを
使用すると、カスタム値を加え、IVE サーバー カタログから値を削除することによっ
て、LDAP サーバー属性を管理できます。IVE は LDAP サーバーの値のローカル コ
ピーを維持します。つまり、属性は、LDAP サーバーのディクショナリに追加された
り、ディクショナリから削除されません。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Groups - Server Catalog Groups タブは、LDAP サーバーからグループ情報を簡単に
取り出し、サーバーの IVE サーバー カタログに追加するメカニズムを提供します。グ
ループの BaseDN とオプションのフィルタを指定して、検索を開始します。グループ
の正確な内容がわからない場合は、dc=juniper, dc=com などの BaseDN としてドメ
イン ルートを指定できます。検索ページにはサーバーからのグループ リストが返さ
れ、そこから Groups リストに入力するグループを選択できます。
メモ : LDAP サーバーの設定ページにある Finding user entries で指定する BaseDN 値は、
デフォルトの BaseDN 値になります。Filter 値は (cn=*) をデフォルトとします。
Groups タブでもグループを指定できます。cn=GoodManagers、ou=HQ、
ou=Juniper、o=com、c=US などグループの完全修飾識別名 (Fully Qualified
Distinguished Name: FQDN) を指定する必要がありますが、このグループにラベルを
割り当てて、Groups リストに表示することができます。LDAP サーバーの Server
Catalog にアクセスする場合にのみ、このタブにアクセスできることに注意してくだ
さい。
„
Expressions - Server Catalog Expressions タブは、ロール マッピング規則のために、
カスタム エクスプレッションを記述するメカニズムを提供します。カスタム エクス
プレッションの詳細については、613 ページの「カスタム エクスプレッションの記
述」を参照してください。
LDAP サーバー カタログを表示するには、次の操作を行います。
1.
2.
Role Mapping Rule ページで User attribute オプションを選択したら(430 ページの
「認証領域にロール マッピング規則を指定」を参照)、Update をクリックして
Attribute リストと Attributes ボタンを表示します。
Attributes ボタンをクリックして、LDAP サーバー カタログを表示します。
図 61: Server Catalog > Attributes タブ - LDAP の属性の追加
Authentication ページの設定
„
433
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 62: サーバー カタログに追加された属性はロール マッピング規則で使用可能
434
„ Authentication ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 63: Server Catalog > Groups タブ - LDAP グループの追加
Authentication ページの設定
„
435
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 64: Server Catalog > Groups タブ - Active Directory グループの追加
436
„ Authentication ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 65: Server Catalog > Expressions タブ - カスタム エクスプレッションの追加
Authentication ページの設定
„
437
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 66: サーバー カタログに追加されたカスタム エクスプレッションはロール マッピング
規則で使用可能
438
„ Authentication ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Delegation ページの設定
Delegation ページでは、ネットワークの設定、クラスタの設定、ログの設定など、さま
ざまなシステム タスクの管理権限(読み取り専用、読み取りおよび書き込み、拒否)、そ
してシステムで定義されたユーザー ロールの管理権限を定義できます。詳細については、
78 ページの「委任管理の概要」を参照してください。
Delegation ページには、次のタブがあります。
„
441 ページの「General タブ」- これらのタブを使用して、一般ロール プロパティ、
アクセス管理制限、セッション オプション、UI 設定を指定します。
„
444 ページの「System タブ」- このタブを使用して、システム管理タスクを委任し
ます。
„
445 ページの「Users タブ」- このタブを使用して、ユーザー ロールと領域の管理を
委任します。
„
446 ページの「Resource Policies タブ」- このタブを使用して、リソース ポリシーの
管理者権限を委任します。
管理者ロールを設定する
Administrators > Delegation を選択すると、Delegated Admin Roles ページが表示されま
す。このページから、管理者ロールの作成、修正、削除を実行でき、さらに委任された管
理者ロールに関してデフォルト セッションやユーザー インターフェース オプションを設
定できます。
管理者ロールを作成する
管理者ロールを作成するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation を選択します。
2.
次のいずれかの操作を実行します。
„
New Role をクリックして、デフォルト設定で新規管理者ロールを作成します。
„
既存の管理者ロールの横にあるチェックボックスを選択して、Duplicate をク
リックし、ロールとカスタムの権限をコピーします。システムのデフォルト ロー
ル (.Administrators と .Read-Only Administrators) はコピーできないことに注意
してください。
3.
新規ロール用に、Name(必須)と Description(オプション)を入力し、Save
Changes をクリックします。
4.
以下の手順で、ロール設定を修正します。
„
441 ページの「General タブ」
„
444 ページの「System タブ」
„
445 ページの「Users タブ」
„
446 ページの「Authentication Realms タブ」
„
446 ページの「Resource Policies タブ」
Delegation ページの設定
„
439
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
管理者ロールの変更
既存の管理ロールを修正するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation を選択します。
2.
修正したい管理者ロールの名前をクリックします。
3.
以下の節の手順を実行して、ロールの設定を修正します。
„
441 ページの「General タブ」
„
444 ページの「System タブ」
„
445 ページの「Users タブ」
„
446 ページの「Authentication Realms タブ」
„
446 ページの「Resource Policies タブ」
メモ : IVE のデフォルト管理者ロール(.Administrators または .Read-Only
Administrators)の 1 つを選択した場合、変更できるのは General タブの設定のみです。
IVE のデフォルト管理者ロールは常に System、Users、および Resource Policies タブで
定義された機能にアクセスするためです)。
管理者ロールの削除
既存の管理ロールを削除するには、次の操作を行います。
1.
Web コンソールで、Administrators > Delegation を選択します。
2.
削除したい管理者ロールの横にあるチェックボックスをクリックし、Delete をク
リックします。
3.
Delete をクリックし、選択したロールの削除を確認します。
メモ : .Administrators ロールと .Read Only Administrators ロールは、IVE で定義された
デフォルトのロールであるため、削除できません。
管理者ロールのデフォルト オプションを定義する
全ての委任管理者ロールのデフォルト オプションを定義するには、次の操作を行います。
440
„ Delegation ページの設定
1.
Web コンソールで、Administrators > Delegation を選択します。
2.
Default Options をクリックします。
3.
441 ページの「General タブ」の手順に従って、Session Options タブと UI Options タ
ブの設定を修正し、Save Changes をクリックします。これらの値は、すべての新し
い委任管理者ロールに対する新しいデフォルト値になります。.
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
General タブ
General のサブタブを使用して、一般ロール プロパティ、アクセス管理制限、セッション
オプション、UI 設定を指定します。
Overview タブ
一般的なロール設定とオプションの管理
General > Overview タブで、ロール名や内容の編集、スイッチやユーザー インタフェー
ス オプションのオン、オフ切り替えを行います。
一般的なロール設定とオプションを管理するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation > ロール名 > General >
Overview を選択します。
2.
Name フィールドと Description フィールドで、委任管理者ロールのラベルを作成し
ます ( オプション )。
3.
Options で、以下の項目にチェックを入れます。
4.
„
Session Options では、General > Session Options タブで指定した設定をロール
に適用します。
„
UI Options では、General > UI Options タブで指定した設定をロールに適用し
ます。
Save Changes をクリックし、設定をロールに適用します。
Restrictions タブ
ロールのアクセス管理オプションを指定するには、General > Restrictions タブを使用し
ます。IVE は、指定した制限が満たされない場合には、このロールに管理者をマップしま
せん。アクセス管理の詳細については、37 ページの「アクセス管理の概要」を参照して
ください。
ロールに対するアクセス管理オプションの指定
ロールにアクセス管理オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation > ロール名 > General>
Restrictions を選択します。
2.
ロールに設定するオプションのタブをクリックし、次のセクションの指示に従ってオ
プションを設定します。
„
672 ページの「ソース IP の指定」
„
673 ページの「ブラウザ制限の指定」
„
675 ページの「クライアントサイド証明書の制限の指定」
„
677 ページの「Host Checker の制限の指定」
ロールには、複数のアクセス管理オプションを設定できます。管理者がすべての制限
を満たしていない場合、IVE は委任された管理者をロールにマップしません。
3.
Save Changes をクリックして、設定をロールに適用します。
Delegation ページの設定
„
441
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Session Options タブ
セッション時間の制限とローミング機能を指定するには、General > Session Options タ
ブを使用します。ロールに対するこれらの設定を有効にするには、General > Overview
タブの Session Options チェックボックスをオンにします。
ユーザー セッション時間とローミング設定の指定
一般的なセッション オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation > ロール名 > General > Session
Options を選択します。
2.
Session Lifetime で、以下の項目の値を指定します。
3.
4.
442
„ Delegation ページの設定
„
Idle Timeout - 無処理の状態で、管理者セッションが終了を待つ時間を分単位
で指定します。最小値は 3 分です。デフォルトのアイドル セッション制限は 10
分です。つまり、管理者のセッションで 10 分間、何も操作がなかった場合、
IVE はセッションを終了させて、システム ログにイベントを記録します ( 以下で
説明するセッション タイムアウト警告を有効にしない場合 )。
„
Max. Session Length - オープンの状態で、アクティブな管理者セッションの終
了を待つ時間を分単位で指定します。最小値は 3 分です。管理セッションのデ
フォルトの時間制限は 60 分です。60 分を経過すると、IVE はセッションを終了
させて、システム ログにイベントを記録します。
Roaming session では、以下の項目を指定します。
„
Enabled - このグループにマップされているユーザーのローミング ユーザー
セッションを有効にします。ローミング ユーザー セッションは複数のソース IP
アドレスにまたがって機能します。この場合、動的 IP アドレスで特定の場所か
ら IVE にサインインしたモバイル管理者(ラップトップ ユーザー)は、別の場
所に移っても作業を続行できます。ただし、一部のブラウザに欠陥があり、悪質
なコードがユーザー クッキーを傍受する可能性もあります。このような場合、悪
質なユーザーは、傍受した IVE セッション クッキーで、IVE にサインインできる
ことになります。
„
Limit to subnet - ローミング セッションを Netmask フィールドに指定した
ローカル サブネットに制限します。特定の IP アドレスでサインインした管理者
は、新しい IP アドレスが同じサブネットに含まれている限り、異なる IP アドレ
スでセッションを継続して使用できます。
„
Disabled - このロールにマップされている管理者のローミング セッションを無
効にします。特定の IP アドレスでサインインした管理者は、別の IP アドレスか
らアクティブな IVE セッションを続けることができません。管理者セッション
は、最初のソース IP アドレスに拘束されます。
Save Changes をクリックし、設定をロールに適用します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
UI Options タブ
Administrators > Delegation > ロール名 > General > UI Options タブを使用して、コ
ンソール カラー、ロゴ、階層型ナビゲーション メニューなどの、このロールに割り当て
られる管理者の Web コンソール設定をカスタマイズします(Web コンソールのサインイ
ンページのロゴおよびカラーのカスタマイズについての詳細は、352 ページの「Sign-in
Pages タブ」を参照してください )。
階層型ナビゲーション メニューとは、Web コンソールの左パネルにあるメニューのいず
れかにマウスを配置すると表示される動的メニューです。たとえば、階層ナビゲーション
メニューを有効にした場合、Web コンソールの System > Signing In メニューにマウスを
置くと、Sign-In Policies、Sign-In Pages、および Authentication/Authorization Servers の
サブメニューが表示されます。これらのメニューを使用すると、メニューをクリックしな
くてもシステム内をすばやくナビゲートすることができます。
メモ :
„
階層型メニューをサポートする環境については、Juniper Networks サポート サイト
の IVE Supported Platforms ドキュメントを参照してください。
„
4.0 からシステムをアップグレードした場合、階層型メニューを使用するには、ブ
ラウザ キャッシュを削除するか、新しいブラウザを起動する必要があります。
„
Administrators または Users で、10 以上の認証領域またはロールを定義した場合、
Web コンソールは、コンソールの階層型ナビゲーション メニューで最近アクセス
した 10 件までのロールまたは領域のみを表示します。IVE は、現在の管理者が最近
アクセスした 10 件のロールと領域を表示しません。その代わり、この IVE にサイン
インした全ての管理者によりアクセスされた 10 件のロールおよび領域が表示され
るので、注意してください。
ロール ユーザーの IVE welcome ページをカスタマイズする
ロール ユーザーの IVE welcome ページをカスタマイズするには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation > ロール名 を選択します。
2.
このロールの設定を有効にするには、General > Overview タブで UI Options を選択
します。
3.
General > UI Options を選択して、ロール設定をカスタマイズします。
4.
Header セクションで、ヘッダのカスタム ロゴ イメージ ファイルとヘッダの色を指
定します。
5.
Navigation Menus セクションで、階層型ナビゲーション メニューを表示するかどう
かを選択します。オプションには以下のものがあります。
6.
„
Auto-enabled - IVE は、管理者がサポートされているプラットフォームからサ
インインしているかどうかを判別し、それに従って階層型のメニューを有効また
は無効にします。
„
Enabled - IVE は、プラットフォームに関係なく、階層型メニューを有効にしま
す。管理者がサポートされないプラットフォームからサインインしている場合
は、階層型メニューが有効になっていても使用できないことがあります。
„
Disabled - IVE は、ロールの全メンバに対して階層型メニューを無効にします。
Other セクションで、Show copyright notice and "Secured by Juniper Networks"
label in footers チェックボックスを選択すると、Juniper ロゴが表示されます。
Delegation ページの設定
„
443
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
7.
Save Changes をクリックします。変更はただちに有効になりますが、変更を表示す
るには、現在のユーザー ブラウザ セッションを更新する必要があります。または、
Restore Factory Defaults をクリックして、Web コンソールの外観をデフォルト設定
にリセットします。
System タブ
さまざまな IVE システム管理タスクをさまざまな管理者ロールに委任するには、このタブ
を使用します。権限を委任する場合は、次の点に注意してください。
„
選択した権限レベルに関係なく、(最低でも)すべての管理者は Web コンソールの
ホームページ(System > Status > Overview)の読み取りアクセスが認められます。
„
委任管理者は、自身の権限を変更できるページへの書き込みアクセスは許されていま
せん。システム付属の管理者ロール(.Administrators および .Read-Only
Administrators)だけが、これらのページにアクセスできます。
„
„
Administrators > Authentication
„
Administrators > Delegation
„
Users > New User
„
Maintenance > Import/Export (このページでは、.Read-Only Administrators
は設定をエクスポートできますが、設定のインポートはできません。
„
Maintenance > Push Config
„
Maintenance > Archiving > Local Backups
Meeting Schedule ページへの委任アクセスは、Administrators > Delegation >
[ ロール ] > Resource Policies ページの Meetings オプションで制御されています。
システム管理タスクを委任する
管理ロールへの管理権限を定義するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation を選択します。
2.
修正したい管理者ロールを選択します。
3.
System タブを選択します。
4.
5.
444
„ Delegation ページの設定
以下のオプションのいずれかを選択して、Web コンソール 各主要タブ セット
(System tasks、Signing In、および Maintenance tasks)ごとに、管理者ロールに許
可するアクセス レベルを指定します。
„
Deny All - 管理者ロールのメンバーは、カテゴリ内のあらゆる設定を表示、修
正ができません。
„
Read All - 管理者ロールのメンバーは、カテゴリ内の全設定を表示できますが、
修正はできません。
„
Write All - 管理者ロールのメンバーは、カテゴリ内の全設定を修正できます。
„
Custom Settings - カテゴリ内の各機能について、管理者権限(Deny、Read、
または Write)を個別選択できます。
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Users タブ
ユーザー ロールと領域の管理を委任するには、Users サブタブを使用します。
Roles タブ
このタブでは、管理者ロールが管理できるユーザー ロールを指定します。ロール管理権限
を委任する場合は、次の点に注意してください。
„
委任管理者が管理できるのは、ユーザー ロールだけです。
„
委任管理者は、ユーザー ロールを新規作成したり、既存のロールをコピーまたは削
除することはできません。
„
委任された管理者がユーザー ロール内の機能の読み取りまたは書き込みを実行
できる場合、IVE は、委任された管理者に対してこのロールの Users > Role >
[ ロール ] > General > Overview ページの読み取りアクセスも認めます。
„
Administrators > Delegation > [ 管理者ロール ] > System ページを通じて、委任管
理者にリソース ポリシーへの書き込みアクセス権を与えた場合、この管理者はあら
ゆるユーザー ロールに適用するリソース ポリシーを作成できます。これはロールの
読み取りアクセス権がなくても可能です。
ユーザー ロール管理を管理者ロールに委任する
管理ロールにロール管理権限を定義するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation を選択します。
2.
修正したい管理者ロールを選択します。
3.
Users > Roles タブを選択します。
4.
Delegated user roles で、管理者がすべてのロールを管理できるようにするか、選択
したロールだけを管理できるようにするかを指定します。管理者ロールが、選択した
ユーザー ロールのみを管理できるようにしたい場合は、Available Role リストでその
ロールを選択し、Add をクリックします。
5.
以下のオプションのいずれかを選択して、委任管理者が管理できるユーザー ロール
ページを指定します。
6.
„
Write All - 管理者ロールのメンバーはユーザー ロールの全ページを修正でき
ます。
„
Custom Settings - 各ユーザー ロール ページで、管理者権限(Deny、Read、ま
たは Write)を選択できるようにします。
Delegate as read-only roles では、管理者は閲覧は許可されるが、管理はできない
ユーザー ロールを選択します。
メモ : 1 つの機能に書き込み権限と読み取り専用権限の両方を指定すると、IVE は、許
容できるほとんどのアクセスを認めます。たとえば、Delegated user roles で
Administrators can manage ALL roles を選択し、Delegate as read-only roles セクション
で “Users” ロールを選択すると、IVE は、“Users” ロールに対する委任管理者ロールの全
管理権限を許可します。
7.
Save Changes をクリックします。
Delegation ページの設定
„
445
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Authentication Realms タブ
このタブでは、管理者ロールが管理できるユーザー認証領域を指定します。領域管理権限
を委任する場合は、次の点に注意してください。
„
委任管理者は、ユーザー領域の管理だけを行えます。
„
委任管理者は、ユーザー領域を新規作成したり、既存の領域をコピーまたは削除する
ことはできません。
„
委任管理者にユーザー領域ページに対する読み取りまたは書き込みを許可すると、
IVE は、委任管理者に対して、このロールの User > Authentication > [ 領域 ] >
General ページの読み取りアクセスも認めます。
ユーザー領域管理の委任
管理ロールに対して領域管理権限を定義するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation を選択します。
2.
修正したい管理者ロールを選択します。
3.
Users > Authentication Realms タブを選択します。
4.
Delegated user realms で、管理者がすべてのユーザー認証領域を管理できるように
するか、選択したユーザー認証領域だけを管理できるようにするかを指定します。管
理者ロールが、選択した領域のみを管理できるようにしたい場合は、Available Role
リストでその領域を選択し、Add をクリックします。
5.
以下のオプションのいずれかを選択して、委任管理者が管理できるユーザー認証領域
ページを指定します。
6.
„
Write All - 管理者ロールのメンバーは、ユーザー認証領域の全ページを修正で
きます。
„
Custom Settings - 各ユーザー認証領域ページについて、管理者権限(Deny、
Read、または Write)を個別に選択できるようにします。
Delegate as read-only realms では、管理者に閲覧は許するが、管理は許可しない
ユーザー認証領域を選択します。
メモ : 1 つの認証領域ページに書き込みと読み取り専用アクセスの両方を指定すると、
IVE は、許容できるほとんどのアクセスを認めます。たとえば、Delegated user realms
で Administrators can manage ALL realms を選択し、Delegate as read-only realms セク
ションで “Users” ロールを選択すると、IVE は、“Users” 領域に対する委任管理者ロール
の全管理権限を許可します。
7.
Save Changes をクリックします。
Resource Policies タブ
このタブでは、管理者ロールが管理できるユーザー リソース ポリシーを指定します。リ
ソース ポリシー管理権限を委任する場合は、委任管理者はリソース ポリシーの以下の特
性を修正できないことに注意してください。
446
„ Delegation ページの設定
„
リソース自体(つまり、IP アドレスまたはホスト名)
„
IVE がリソース ポリシーを評価する順序。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
リソース ポリシーに対する管理者権限の委任
リソース ポリシーに対して管理者権限を委任するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation を選択します。
2.
修正したい管理者ロールを選択します。
3.
Resource Policies タブを選択します。
4.
Resource Policies サブメニューごとに、以下のいずれかのオプションを選択して、管
理者ロールに許可するアクセス レベルを指定します。
5.
„
Deny All - 管理者ロールのメンバーは、リソース ポリシーを表示、修正できま
せん。
„
Read All - 管理者ロールのメンバーは、全リソース ポリシーを表示できます
が、修正はできません。
„
Write All - 管理者ロールのメンバーは、全リソース ポリシーを修正できます。
„
Custom Settings - 管理者権限(Deny、Read、または Write)を、リソース ポ
リシーのタイプごと、または個々のリソース ポリシーごとに選択できます。
個々のポリシーにカスタム アクセス レベルを設定するには、次の操作を実行します。
a.
b.
6.
Custom Settings を選択します(上記)。
適切なカテゴリの横にある Additional Access Policies リンクをクリックします。
(たとえば、www.google.com へのアクセスを制御するリソース ポリシーへのア
クセスをコントロールする場合は、Web の横にある Additional Access Policies リ
ンクを選択します。)
c.
C ポリシーのアクセス レベル (Deny、Read、または Write) を選択します。
d.
Access Policies で、カスタム アクセス レベルを与える対象となるリソース ポリ
シーを選択し、Add をクリックします。
Save Changes をクリックします。
Delegation ページの設定
„
447
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
448
„ Delegation ページの設定
第 10 章
ユーザー設定
Web コンソールの Users セクション内の設定を使用すると、ユーザー認証領域とロール
の作成や設定、およびユーザーのローカル認証サーバーへの追加が行えます。
目次
„
451 ページの「Authentication ページの設定」
„
452 ページの「Roles ページの設定」
„
497 ページの「New User ページの設定」
„
449
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
450
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Authentication ページの設定
Users > Authentication ページを使用して、ユーザー認証領域の作成と設定、およびロー
ル マッピング規則の作成を実行できます。詳細については、427 ページの
「Authentication ページの設定」を参照してください。これには管理者認証領域およびユー
ザー認証領域の設定についての指示が記載されています。
Authentication ページの設定
„
451
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Roles ページの設定
Users > Roles メニューは、ユーザーの Roles ページにリンクします。このページを使用
してシステム ユーザー ロールを作成、管理します。ロールを作成するには、New Role を
クリックし、ロールの名前と説明(オプション)を入力します。ここに入力した名前は
Roles ページの Roles リストに表示されます。ロール名をクリックし、Roles タブで設定
を開始します。
このセクションには、Roles サブタブの設定方法に関する以下のような説明が記載されて
います。
452
„ Roles ページの設定
„
453 ページの「General ページの設定」- ここでは、一般的なロール設定、アクセス管
理オプション、ユーザー セッション オプション、およびカスタム IVE welcome ペー
ジを指定する方法を説明しています。
„
462 ページの「Web ページの設定」- ここでは、ブックマークを作成して一般的な
Web ブラウズ オプションを指定する方法について説明しています。
„
469 ページの「Files ページの設定」- ここでは、ファイル ブラウズ オプションを指
定し、Windows および UNIX ブックマークを作成する方法について説明しています。
„
472 ページの「SAM ページの設定」- ここでは、WSAM および JSAM 用のアプリケー
ションとサーバーの指定、外部 DNS サーバーとユーザーのマシンの設定、プロキシ
によって IVE に接続するパソコンの設定、一般的な SAM オプションの設定、W-SAM
アプリケーションのダウンロードを実行する方法について説明しています。
„
481 ページの「Telnet/SSH ページの設定」- ここでは、安全なターミナル セッション
用にブックマークを作成して、一般的な Telnet/SSH オプションを指定する方法につ
いて説明しています。
„
483 ページの「Terminal Services ページの設定」- ここでは、Terminal Services セッ
ション用のブックマークを作成して一般的な Terminal Services オプションを指定す
る方法について説明しています。
„
490 ページの「Meetings ページの設定」- ここでは、ミーティングを有効にして設定
し、ミーティング作成者がアクセスおよび検索できるミーティング サーバーを指定
する方法について説明しています。
„
495 ページの「Network Connect ページの設定」- ここでは、スプリットトンネルと
自動起動オプションを指定し、選択的再書き込み用のホストを設定する方法について
説明しています。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
General ページの設定
General ページには、以下のタブがあります。
„
453 ページの「Overview タブ」- ロール名や説明の編集をしたり、セッションやユー
ザー インターフェース オプションのオンやオフの切り替えをするには、このタブを
使用します。
„
454 ページの「Restrictions タブ」- ロールに対してアクセス管理オプションを指定す
るには、このタブを使用します。
„
454 ページの「Source IP タブ」- ロール ベースのソース IP エイリアスを指定するに
は、このタブを使用します。
„
455 ページの「Session Options タブ」- セッションの時間制限、ローミング機能、
セッションとパスワードの持続性、リクエストのフォロースルー オプション、アプ
リケーション操作のタイムアウトを指定するには、このタブを使用します。
„
457 ページの「UI Options タブ」- このロールにマップされたユーザーの IVE
welcome ページの設定をカスタマイズするには、このタブを使用します。
Overview タブ
Overview タブでは、ロール名や説明の編集をしたり、セッションやユーザー インター
フェース オプションのオンやオフの切り替えをしたりします。アクセス機能を有効にする
には、対応するリソース ポリシーを作成する必要があります。
一般的なロール設定とオプションの管理
一般的なロール設定とオプションを管理するには、次の操作を実行します。
1.
Web コンソール で、Users > Roles > ロール名 > General > Overview を選択し
ます。
2.
名前と説明を変更して、Save Changes をクリックします(オプション)。
3.
Options で、以下の項目にチェックを入れます。
„
Source IP では、General > Source IP タブで指定した設定をロールに適用し
ます。
„
Session Options では、General > Session Options タブで指定した設定をロール
に適用します。
„
UI Options では、General > UI Options タブで指定した設定をロールに適用し
ます。
4.
Access features で、ロールに対して有効にする機能にチェックを入れます。オプショ
ンには以下のものがあります。Web、Files (Windows または UNIX/NFS バージョン )、
Secure Application Manager (Windows バージョンまたは Java バージョン )、
Telnet/SSH、Terminal Services、Meetings、Email Client、Network Connect。
5.
Save Changes をクリックして、ロールに設定を適用します。
General ページの設定
„
453
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Restrictions タブ
ロールに対してアクセス管理オプションを指定するには、Restrictions タブを使用しま
す。IVE は、ユーザーをロールにマッッピングするかどうかを判断するときにこれらの制
限を考慮します。IVE は、指定した制限が満たされない場合には、このロールにユーザー
をマッピングしません。アクセス管理の詳細については、37 ページの「アクセス管理の
概要」を参照してください。
ロールに対するアクセス管理オプションの指定
ロールに対してアクセス管理オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > General > Restrictions を選択し
ます。
2.
ロールについて設定するオプションに対応するタブをクリックして、以下のセクショ
ンの指示に従って設定します。
„
672 ページの「ソース IP の指定」
„
673 ページの「ブラウザ制限の指定」
„
675 ページの「クライアントサイド証明書の制限の指定」
„
677 ページの「Host Checker の制限の指定」
„
678 ページの「Cache Cleaner の制限の指定」
ロールには、複数のアクセス管理オプションを設定できます。ユーザーが 1 つでも制
限に適合していない場合、IVE はユーザーをロールにマップしません。
Source IP タブ
ロール ベースの Source IP エイリアスを定義するには、57 ページの「ロール コンポーネ
ント」で説明されているように、Source IP タブを使用します。
メモ : ロール ベースの Source IP エイリアスを利用するには、仮想ポートを定義する必
要があります。仮想ポートについての詳細は、185 ページの「内部ポートと外部ポート
の設定」、および 312 ページの「内部インターフェースでの仮想ポートの作成」を参照
してください。
ロールに対するソース IP エイリアスの指定
ロールに対してソース IP エイリアスを指定するには、以下の操作を実行します。
454
„ General ページの設定
1.
Web コンソールで、Users > Roles > ロール名 > General > Source IP を選択し
ます。
2.
ドロップダウン メニューからソース IP アドレスを選択します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
Save Changes をクリックし、ロールに設定を適用します。
メモ :
„
エンドユーザーが複数のロールにマッピングされ、IVE がロールをマージする場合、
IVE はリストの最初のロールに設定されたソース IP アドレスをマージされたロール
と関連付けます。
„
複数のロールに同じソース IP アドレスを指定することができます。1 つのロールに
対して複数のソース IP アドレスを指定することはできません。
Session Options タブ
セッションの時間制限、ローミング機能、セッションとパスワードの持続性、リクエスト
のフォロースルー オプション、アプリケーション操作のタイムアウトを指定するには、
Session タブを使用します。ロールに対するこれらの設定を有効にするには、Overview タ
ブの Session Options チェックボックスにチェックを入れます。
ユーザー セッションのオプション指定
一般的なセッション オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > General > Session Options を選択
します。
2.
Session Lifetime で、以下の項目の値を指定します。
„
Idle Timeout - 非管理者ユーザーのセッションが終了するまでアイドルの状
態が持続する時間を分単位で指定します。最小値は 3 分です。アイドル セッ
ション制限のデフォルト値は 10 分です。つまり、管理者のセッションで 10 分
間何も操作がなかった場合、IVE はユーザー セッションを終了し、システム
ログにイベントを記録します(以下で説明するセッション タイムアウト警告
が無効の場合 )。
„
Max. Session Length - アクティブな非管理者ユーザー セッションが終了するま
でオープンな状態が継続する時間を分単位で指定します。最小値は 3 分です。
ユーザー セッションの時間制限のデフォルト値は 60 分です。60 分が経過する
と、IVE はセッションを終了し、システム ログにイベントを記録します。
„
Reminder Time - IVE が、セッション タイムアウトまたはアイドル タイムアウ
トが迫っていることを非管理者ユーザーに警告するタイミングを指定します。タ
イムアウトまでの時間を分単位で指定します。
メモ : Secure Meeting を使用している場合、Web コンソールの Resource Policies >
Meetings ページから、ミーティング セッションの制限を設定することができます。詳細
については、554 ページの「Secure Meeting リソース ポリシーの作成」を参照してくだ
さい。
3.
セッション制限時間またはアイドル タイムアウトが迫っていることを非管理者ユー
ザーに通知するには、Enable Session timeout warning で Enabled を選択します。こ
れらの警告は、セッション制限時間またはアイドル タイムアウトが迫っているとき
に、ユーザーに適切な対応を取るよう促します。これにより、作業中のフォーム デー
タを保存してデータを失うのを防止することができます。アイドル タイムアウトが
迫っている場合には、セッションの再開が指示されます。セッション時間が迫ってい
る場合には、データの保存が指示されます。
General ページの設定
„
455
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
たとえば、IVE ユーザーが IVE での使用を設定する E メール クライアントの作成中、
自分の承認グループに設定したアイドル タイムアウトに知らないうちに達している
ことがあります。それは、ユーザーが E メールを作成している間は、IVE はデータを
受け取らないからです。しかし、セッション タイムアウト警告が有効になっている場
合、セッションがタイムアウトになりユーザーの IVE セッションを強制終了する前
に、IVE を再度アクティブにするようユーザーに警告します。この警告により、ユー
ザーは作成途中の E メールを保存することができます。
4.
5.
Roaming session で、以下の項目を指定します。
„
Enabled - このロールにマップされているユーザーのローミング ユーザー セッ
ションを有効にします。ローミング ユーザー セッションは複数のソース IP アド
レスにまたがって機能します。この場合、動的 IP アドレスで特定の場所から IVE
にサインインしたモバイル ユーザー (ラップトップ ユーザー)は、別の場所に
移っても作業を続行できます。ただし、一部のブラウザに欠陥があり、悪質な
コードがユーザー クッキーを傍受する可能性もあります。このような場合、悪質
なユーザーは、傍受した IVE セッション クッキーで、IVE にサインインできるこ
とになります。
„
Limit to subnet - ローミング セッションを Netmask フィールドに指定した
ローカル サブネットに制限します。特定の IP アドレスでサインインしたユー
ザーは、新しい IP アドレスが同じサブネットに含まれている限り、異なる IP ア
ドレスでセッションを継続して使用できます。
„
Disabled - このロールにマップされているユーザーのローミング ユーザー セッ
ションを無効にします。特定の IP アドレスでサインインしたユーザーは、別の
IP アドレスからアクティブな IVE セッションを続けることができません。ユー
ザー セッションは、最初のソース IP アドレスに制約されます。
Persistent session で、Enabled を選択すると、IVE セッション クッキーがクライア
ント ハード ディスクに書き込まれて、IVE セッションが終了するまで、ユーザーの
IVE 認証情報が保存されます。
デフォルトでは、IVE セッション クッキーはブラウザを閉じた時点でブラウザのメモ
リから消去されます。IVE セッションの長さは、ロールに指定したアイドル タイムア
ウトの値と最大セッション長の値で決まります。ユーザーがブラウザを閉じても、
IVE セッションは終了しません。IVE セッションが終了するのは、ユーザーが IVE か
らサインアウトしたときだけです。ユーザーがサインアウトしないでブラウザ ウィン
ドウを閉じた場合、有効な証明書を送信しなくとも、任意のユーザーが同じブラウザ
の別のインスタンスを開いて IVE にアクセスできてしまいます。
メモ : ロールのメンバが IVE 証明書を要求するアプリケーションにアクセスする必要が
ある場合に限り、この機能を有効にすることをお勧めします。また、操作を終えた後、
必ず IVE からサインアウトするようにユーザーに徹底させることも重要です。
6.
キャッシュしたパスワードをロールの複数のセッションで使用できるようにするに
は、Persistent password caching で Enabled を選択します。
は、NTLM と HTTP Basic Authentication をサポートし、NTLM と匿名サインインの両
方を受け入れるように設定したサーバーをサポートします。IVE サーバーまたは NT
ドメインにある別のリソースへのサインインに同じ証明書を入力するよう、繰り返し
指示されることがないように、IVE は、ユーザーが提供した NTLM と HTTP Basic
Authentication のパスワードをキャッシュに保持します。デフォルトでは、IVE サー
バーは、ユーザーがサインアウトした時点でキャッシュにあるパスワードを消去しま
す。ユーザーは、Advanced Preferences ページでキャッシュにあるパスワードを消去
できます。
456
„ General ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
7.
ユーザーが再認証を受けた後、ユーザー セッションがタイムアウトした後に送信さ
れたユーザー リクエストを IVE が処理できるようにするには、Browser request
follow-through で Enabled を選択します。
8.
セッションの状態がアクティブかどうかを判断する際に、Web アプリケーションに
よって実行されたアクティビティ(E メールのポーリングなど)を無視するには、
Idle timeout application activity の Enabled を選択します。このオプションをオフに
すると、定期的な ping 送信やその他のアプリケーション アクティビティが実行され
るとアイドル タイムアウトになりません。
9.
Save Changes をクリックして、ロールに設定を適用します。
UI Options タブ
このロールにマップされたユーザーの IVE welcome ページとブラウジング ツールバーの
設定をカスタマイズするには、UI Options タブを使用します。IVE welcome ページ (ま
たはホーム ページ)は、認証された IVE ユーザーに表示される Web インターフェースで
す。このロールの設定を有効にするには、Overview タブで UI Options チェックボックス
にチェックを入れます。チェックを入れないと IVE はデフォルト設定に従います。
ロール ユーザーの IVE welcome ページのカスタマイズ
ロール ユーザーの IVE welcome ページをカスタマイズするには、次の操作を実行します。
1.
Users > Roles > ロール名 > General > UI Options を選択します。
2.
Header セクションで、IVE welcome ページのヘッダ エリアのカスタム ロゴ イメー
ジ ファイルとヘッダの色を指定します(オプション)。
3.
4.
„
Browse ボタンをクリックし、カスタム画像を参照します。変更を保存したとき
のみ、Current appearance は新しいロゴを表示します。
„
背景色に対応する 16 ビット値を入力するか、Color Palette アイコンをクリック
して、希望の色を選択してください。Current appearance によってすぐに更新さ
れます。
Sub-headers セクションで、新しい背景色とテキストの色を選択します
(オプション)。
„
Background color に 16 ビット値を入力するか、Color Palette アイコンをクリッ
クして希望の色を選択してください。Current appearance によってすぐに更新さ
れます。
„
Text color に 16 ビット値を入力するか、Color Palette アイコンをクリックして、
希望の色を選択します。Current appearance によってすぐに更新されます。
Start page で、サインインしたユーザーがツールバーの Home アイコンをクリックし
たときに表示される開始ページを指定します。
„
Bookmarks page - 標準の IVE Bookmarks ページを表示するには、このオプ
ションを選択します。
„
Custom page - カスタム開始ページを表示してから URL をページに指定するに
は、このオプションを選択します。IVE は URL を再書き込みして、アクセス コ
ントロール規則を作成し、ユーザーが URL にアクセスできるようにします。( さ
らに、ユーザーはツールバーの IVE Browse フィールドにカスタムの URL を入力
することもできます。IVE はすべての他のポリシーの後でアクセス コントロール
規則を評価します。これは、別のポリシーが URL へのアクセスを拒否する場合
があることを意味します。
General ページの設定
„
457
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
5.
Also allow access to directories below this url - カスタムページ URL のサブ
ディレクトリへのアクセスをユーザーに許可するには、このオプションを選択し
ます。たとえば、http://www.domain.com/ を指定すると、ユーザーは
http://www.domain.com/dept/ にアクセスすることもできます。
Bookmarks Panel Arrangement で、ユーザーのブックマーク ページで好きな表示が
できるようにパネルを配置します。
a.
Left Column または Right Column リストでパネル名を選びます。
b.
パネルを別のパネルの上または下に移動するには、Move Up または Move Down
をクリックします。
c.
パネルをユーザーのブックマーク ページの反対側に移動するには、Move > ま
たは < Move をクリックします。
d.
デフォルトの配置を使用するには、Reset to default をクリックします。
メモ : ロールの対応する機能を有効にするかどうかにかかわらず、IVE は
Bookmarks Panel Arrangement で、ライセンスを受けたすべての機能のパネルをす
べて表示します。
6.
7.
458
„ General ページの設定
ユーザーがツールバーで Help ボタンをクリックしたときに表示される Help ページを
コントロールするには、Help page でオプションを選択します。
„
Disable help link - このオプションを選択すると、ツールバーから Help ボタン
が削除されて、ユーザーが Help を表示することを防ぎます。
„
Standard help page - 標準の IVE エンドユーザー Help を表示するには、このオ
プションを選択します。
„
Custom help page - カスタム Help ページを表示するには、このオプションを
選択します。カスタム ヘルプ ページに URL を指定し、ヘルプ ページのウィンド
ウにオプションの幅と高さを指定します。IVE は URL を再書き込みして、アク
セス コントロール規則を作成し、ユーザーが URL にアクセスできるようにしま
す。( さらに、ユーザーはツールバーの IVE Browse フィールドにカスタムの URL
を入力することもできます。IVE はすべての他のポリシーの後でアクセス コント
ロール規則を評価します。これは、別のポリシーが URL へのアクセスを拒否す
る場合があることを意味します。( このオプションを選択した場合は、IVE は
Browse フィールドの横の Tips リンクを無効にすることに注意してください。)
„
Also allow access to directories below this url - カスタム ヘルプページ URL の
サブディレクトリへのアクセスをユーザーに許可するには、このオプションを選
択します。たとえば、http://www.domain.com/help を指定すると、ユーザーは
http://www.domain.com/help/pdf/ にアクセスすることもできます。
User toolbar で、IVE の IVE Bookmarks ページと他のセキュア ゲートウェイ ページ
上のツールバーのオプションを選択します。
„
Preferences - Preferences ボタンを表示するには、このオプションを選択し
ます。
„
Session Counter - ユーザーの現在のセッションで許可された最大残り時間を示
す時間の値をユーザー ツールバーで表示するには、このオプションを選択しま
す。ユーザーが一定時間操作を行わなかった場合、残り時間がなくなる前に現在
のセッションが終了する可能性があります。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
8.
Client Application Sessions - ユーザー ツールバーに Client Apps ボタンを表示
するには、このオプションを選択します。ユーザーはこのボタンをクリックし
て、Client Application Sessions を表示することができます。このページでは、
Network Connect または Secure Application Manager などのクライアント アプリ
ケーションを起動することができます。このオプションを選択しない場合、IVE
は IVE Bookmarks ページで Client Application Sessions パネルを表示します。
Browsing toolbar で、外部 Web サイトなどブラウズするページが IVE に存在しない
場合に、ユーザーに表示されるツールバーのオプションを選択します。
„
Show the browsing toolbar - ブラウジング ツールバーを表示するには、このオ
プションを選択します。
„
Toolbar type - 表示したいブラウジング ツールバーの種類を選択します。
„
‰
Standard - ユーザーはブラウザ ウィンドウの左上、または右上にツール
バーを移動することができます。さらにユーザーはツールバーを折りたたん
だり、拡げることもできます。折りたたむと、ツールバーはカスタム ロゴだ
けを表示します。デフォルトではツールバーは拡げた状態であり、ブラウザ
ウィンドウの右上に配置されます。
‰
Framed - このツールバーは、ページ上部のフレーム ヘッダー セクション
に固定されます。
Toolbar logo と Toolbar logo (mobile) - 標準のツールバーとフレーム ツール
バーで表示したいカスタム ロゴ ( 会社のロゴなど ) を、画像ファイルを参照して
指定します ( オプション )。ユーザーがロゴをクリックすると、Logo links to オ
プションで指定したページが表示されます。ブラウジング ツールバーの現在のロ
ゴがこれらのオプションの横に表示されます。
General ページの設定
„
459
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
„
Logo links to - ユーザーがロゴをクリックするときに表示されるページに、ブ
ラウジング ツールバー ロゴをリンクするオプションを選択します。
‰
Bookmarks page - IVE Bookmarks ページにロゴをリンクします。
‰
“Start Page” settings - Start Page セクションで指定されたカスタム開始
ページにロゴをリンクします。
‰
Custom URL - 関連付けられたテキスト ボックスで入力した URL にロゴを
リンクします ( オプション )。このリソースは IVE にアクセス可能である必
要があります。IVE は URL を再書き込みして、アクセス コントロール規則
を作成し、ユーザーが URL にアクセスできるようにします。( さらに、ユー
ザーはツールバーの IVE Browse フィールドにカスタムの URL を入力するこ
ともできます。IVE はすべての他のポリシーの後でアクセス コントロール規
則を評価します。これは、別のポリシーが URL へのアクセスを拒否する場
合があることを意味します。
‰
Also allow access to directories below this url - カスタム URL のサブディ
レクトリへのアクセスをユーザーに許可するには、このオプションを選択し
ます。
ブラウジング ツールバーで表示したい項目を指定します。
‰
Enable “Home” link - このオプションを選択して、Home Page ボタンを表
示します。このボタンは IVE Bookmarks ページにリンクします。
‰
Enable “Add Bookmark” link - Bookmark this Page ボタンを表示するに
は、このオプションを選択します。
‰
Enable “Bookmark Favorites” link - Bookmark Favorites ボタンを表示する
には、このオプションを選択します。ユーザーがこのボタンをクリックする
と、IVE は、セキュア ゲートウェイの Add Web Bookmark ページのお気に
入りでユーザーが指定したブックマークのドロップダウン リストを表示し
ます。
‰
Display Session Counter - ユーザーの現在のセッションで許可された最大
残り時間を示す時間の値をブラウジング ツールバーで表示するには、この
オプションを選択します。ユーザーが一定時間操作を行わなかった場合、残
り時間がなくなる前に現在のセッションが終了する可能性があります。
‰
Enable “Help” link - このオプションを選択して、Help ボタンを表示しま
す。このボタンは Help page で指定する Help ページにリンクします。
メモ : Users > Roles > ロール名 > Web > Options ページで User can add bookmarks
オプションを無効にする場合、Enable “Add Bookmark” link オプション、および
Enable “Bookmark Favorites” link オプションを選択するかどうかにかかわらず、IVE は
ブラウジング ツールバーで Bookmark this Page ボタン、および Bookmark Favorites ボ
タンを表示しません。
9.
Personalized greeting で、IVE Bookmarks ページの挨拶と通知のメッセージを指定し
ます ( オプション )。
„
460
„ General ページの設定
Enabled - カスタム化した挨拶を表示するには、このオプションを選択します。
氏名が設定されていない場合、IVE はユーザー名を表示します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Show notification message を選択し、関連したテキスト ボックス内にメッ
セージを入力します(オプション)。変更が保存され、ユーザーがページを更
新すると、IVE Bookmarks ページの上部に変更したメッセージが表示されま
す。以下の HTML タグを使用してテキストをフォーマットし、リンクを追加で
きます。< i>、 <b>、<br>、<font>、および <a href> です。ただし、IVE はサ
インイン ページのリンクを再書き込みしないので(ユーザーがまだ認証され
ていないため)、外部にあるサイトを指し示すだけにしてください。ファイア
ウォールの内側にあるサイトへのリンクは失敗します。
メモ : サポートされていない HTML タグをカスタム メッセージで使用する場合、IVE は
エンドユーザーの IVE ホームページを正しく表示できない場合があります。
10. フッターに著作権表示とラベル掲載をするかどうか選択します(オプション)。この
設定は、ライセンスによって著作権表示を無効にできるユーザーのみに適用されま
す。この機能の詳細については、Juniper Networks サポートに電話でお問い合わせく
ださい。
11. Save Changes をクリックします。変更はただちに有効になりますが、変更を表示す
るには、現在のユーザー ブラウザ セッションを更新する必要があります。
12. すべてのユーザー インターフェース オプションを出荷時のデフォルトに戻すには
Restore Factory Defaults をクリックします。
General ページの設定
„
461
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Web ページの設定
Web ページには、以下のタブがあります。
„
462 ページの「Bookmarks タブ」- Web リソースへのブックマークを作成するには、
このタブを使用します。
„
465 ページの「Options タブ」- 汎用 Web ブラウズ オプションを指定するには、この
タブを使用します。
Bookmarks タブ
このロールにマッッピングされたユーザーの welcome ページに表示されるブックマーク
を作成するには、Bookmarks タブを使用します。このページでは 2 種類のブックマーク
を作成できます。
„
Web URL bookmarks - このブックマークはワールド ワイド ウェブ (World Wide
Web) または企業イントラネットで、ユーザーを Web URL にリンクします。ブック
マークの作成時に、ユーザーの IVE ユーザー名を URL パスにインプットすることで、
バックエンドの Web アプリケーションにシングル サインオンでアクセスできます。
Web ブックマークの設定手順については、462 ページの「Web URL へのブックマー
ク作成」を参照してください。
„
Java applet bookmarks - このブックマークにより、Web コンソールの Resource
Policies > Web > Java > Applets ページから IVE にアップロードする Java アプ
レット ( 複数可 ) にユーザーをリンクできます。Java アプレットのブックマーク設
定については、463 ページの「Java アプレットへのブックマーク作成」を参照し
てください。
これらのブックマーク タイプのいずれかを作成すると、このロールにマッピングされた
ユーザーの welcome ページに対応するリンクが表示されます。
Web URL へのブックマーク作成
Web リソースへのブックマークを作成するには、次の操作を実行します。
1.
Web コンソール で、Users > Roles > ロール名 > Web > Bookmarks を選択し
ます。
2.
New Bookmark をクリックします。
3.
ブックマークの名前と内容を入力します(オプション)。ここで入力した情報は、
URL ではなく IVE ホームページ に表示されます。
4.
Web URL を選択します。
5.
ブックマークへの URL を入力します。ユーザーのユーザー名を挿入するには、URL
の正しい場所に <username> を入力します。
6.
対応する Web アクセス リソース ポリシーを IVE で自動作成するには、Auto-allow の
Auto-allow Bookmark をクリックします。この機能は、ユーザー ブックマークでは
なく、ロール ブックマークにのみ適用されます。次に、以下の選択を行い
ます。
„
462
„ Web ページの設定
URL へのアクセスのみをユーザーに許可するには、Only this URL を選択し
ます。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
7.
8.
この URL のパスへのアクセスを許可するには、Everything under this URL を選
択します。
Display options で Open bookmark in a new window をクリックし、IVE が新しいブ
ラウザ ウィンドウで自動的に Web リソースを開くようにします。この機能は、ユー
ザー ブックマークではなく、ロール ブックマークにのみ適用されます。次に、以下
の選択を行います。
„
ブラウザ ウィンドウからアドレス バーを削除したい場合には、Do not display
the URL address bar を選択します。この機能により、特定ロールのユーザーが
新しい URL をアドレスバーにタイプすることができなくなり、すべてのウェブ
アクセスが IVE を通して行われるようになります。
„
ブラウザからメニューとツールバーを削除する場合には、Do not display the
menu and the toolbar を選択します。この機能により、ブラウザ ウィンドウか
らメニュー、ブラウズ ボタン、およびブックマークが削除されます。そのため
IVE を通じてのみブラウズを行うことになります。
追加するには、Save Changes または Save + New をクリックします。
Java アプレットへのブックマーク作成
IVE で Java アプレットへのブックマークを作成するには、次の操作を実行します。
1.
Web コンソール で、Users > Roles > ロール名 > Web > Bookmarks を選択し
ます。
2.
New Bookmark をクリックします。
3.
ブックマークの名前 ( 必須 ) と内容(オプション)を入力します。ここで入力した情
報は、IVE home page に表示されます。
4.
Java Applet を選択します。
5.
Applet/Code リストで、この Web ページで参照する Java アプレット ( 複数可 ) を選
択します。Web コンソールの Resource Policies > Web > Java > Applets ページから
アップロードする Java アプレットを使用して、IVE はこのリストを作成します。
6.
Java アプレットへの参照が記述されている HTML ページ定義を作成するには、
Generate HTML をクリックします。このあと、次のセクションのガイドラインを使用
して、必要な属性とパラメータを入力します。
„
464 ページの「アップロードされた Java アプレットに必要な属性」
„
464 ページの「アップロードされた Java アプレットに必要なパラメータ」
この Web ページ定義にその他の HTML や JavaScript を選択して追加することもでき
ます。IVE はこのフィールドに入力するコードをすべて再書き込みします。
メモ : このフィールドに URL やドキュメントへの相対リンクを追加しないでください。
これを行うと、ユーザーが IVE エンド ユーザー コンソールから URL やドキュメントに
アクセスしようとするとリンクが切断されます。
7.
Display options で Open bookmark in a new window をクリックし、IVE が新しいブ
ラウザ ウィンドウで自動的に Web リソースを開くようにします。この機能は、ユー
ザー ブックマークではなく、ロール ブックマークにのみ適用されます。次に、以下
の選択を行います。
Web ページの設定
„
463
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
8.
„
ブラウザ ウィンドウからアドレス バーを削除したい場合には、Do not display
the URL address bar を選択します。この機能により、特定ロールのユーザーが
新しい URL をアドレスバーにタイプすることができなくなり、すべてのウェブ
アクセスが IVE を通して行われるようになります。
„
ブラウザからメニューとツールバーを削除する場合には、Do not display the
menu and the toolbar を選択します。この機能により、ブラウザ ウィンドウか
らメニュー、ブラウズ ボタン、およびブックマークが削除されます。そのため
IVE を通じてのみブラウズを行うことになります。
追加するには、Save Changes または Save + New をクリックします。
アップロードされた Java アプレットに必要な属性
から Java アプレット ブックマークを作成するときには、次の属性と対応する値を定義す
る必要があります。Generate HTML 機能を使用する場合、IVE はこの情報の一部を読み込
んで、指定する必要がある属性に PLEASE_SPECIFY を追加します。属性とその対応する
値を指定する場合は、attribute=“value” 書式を使用します。必要な属性には以下のものが
あります。
„
code - どのクラス ファイルを Java アプレットで呼び出すかを指示します。この値
を使用して、Java アプレットのメイン関数を指定します。例 :
applet code="com.citrix.JICA"
„
codebase - Web ブラウザがアプレットをフェッチできる場所を指示します。
<< CODEBASE>> 変数を使用します。この変数は Java アプレットが保存される IVE
内の場所を指定します。例 :
codebase="<< CODEBASE >>"
„
archive - これは、Web ブラウザがどのアーカイブ ファイル ( すなわち、.jar、.cab、
または .zip ファイル ) をフェッチする必要があるかを指示します。この属性に 1 つ以
上の値を入力する場合には、値をコンマで区切ります。例 :
archive="JICAEngN.jar,JICA-sicaN.jar,cryptojN.jar,JICA-configN.jar,JICA-coreN.jar"
„
width and height - Java アプレット ウィンドウのサイズを指示します(オプション)。
例:
width="640" height="480"
„
name - Java アプレットのラベルを指定します ( オプション )。例 :
name="CitrixJICA"
„
align - ブラウザ ウィンドウ内の Java アプレット ウィンドウの配置を指示します
( オプション )。例 :
align="top"
アップロードされた Java アプレットに必要なパラメータ
IVE から Java アプレット ブックマークを作成するときには、IVE が Java アプレットに渡
すパラメータと値を指定する必要があります。これらのパラメータは完全にアプレットに
固有です。パラメータとその対応する値を指定する場合は、次の書式を使用します。
<param name=“ParameterName” value=“ValueName”>
464
„ Web ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ここで、parameterName と valueName を除いたすべてのテキストがリテラルです。
IVE 変数を使用して、二重括弧で変数名を囲んで Java アプレットに変数を渡すことができ
ます。例えば、<<username>> と <<password>> 値を Java アプレットに渡すことができ
ます。使用できる IVE 変数のリストについては、617 ページの「システム変数とその例」
を参照してください。
使用したいデモ用のアプレットが含まれている Web ページを探す場合は、デモ用のサイ
トに移動して Java アプレットを実行するページでソースを表示します。ソース内で、
applet タグを見つけます。ソース内の code 属性を選択して、ブラウザに渡す必要がある
特別なパラメータが含まれているかどうかを調べます。ほとんどの場合、code 属性とそ
の対応するパラメータを IVE ブックマークの HTML フィールドに直接コピー / 貼り付けで
きるはずです。ただし、パラメータがローカルの Web サーバーのリソースを参照する場
合には、参照を IVE ブックマークにコピー / 貼り付けできません。これは、IVE は他の
Web サーバーのローカル リソースにアクセスできないためです。別のソースからパラ
メータをコピー / 貼り付けするときには、常にパラメータの値を確認します。
Options タブ
一般的な Web ブラウジング オプションを指定するには、Options タブを使用します。
一般的な Web ブラウジング オプションの指定
一般的な Web ブランジング オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > Web > Options を選択します。
2.
Browsing で、ユーザーが使用できるオプションを指定します。
„
User can type URLs in IVE browse bar - これを有効にすると、ユーザーは
welcome ページに URL を入力し、インターネット サイトをブラウズできます。
„
Allow Java applets - これを有効にすると、ユーザーはクライアント側の Java ア
プレットが付いているウェブページをブラウズすることができます。IVE サー
バーが SSL のブラウザとしてアプリケーション サーバーに表示されます。IVE は
Java アプレットによって起動されるすべての HTTP リクエストと TCP 接続、ま
た、署名された Java アプレットをすばやく処理できます。
この機能を有効にすると、ユーザーは Java アプレットを起動して、Virtual
Computing (VNC) Java クライアント、Citrix NFuse Java クライアント、WRQ
Reflections Web クライアント、Lotus WebMail などを、クライアントサイド の
Java アプレットとして実装したアプリケーションを実行できます。この機能は
Java Code Signing リソースポリシーと共同で動作します。詳細については、513
ページの「Code Signing タブ」を参照してください。
„
Allow Flash content - これを有効にすると、IVE は Content Intermediation
Engine により Flash コンテンツを仲介します。ActionScript 2.0 および Flash
Remoting に対する IVE のサポートは限定されており、XMLSocket についてはサ
ポートしていません。
Web ページの設定
„
465
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Mask hostnames while browsing - これを有効にすると、ユーザーがブラウズ
する URL の指定リソース名が非表示になります。このオプションを選択すると、
ユーザーの以下の場所で、IP アドレスとホスト名が非表示にされます。
‰
Web ブラウザのアドレス バー(ユーザーがページをナビゲートしたとき)
‰
Web ブラウザのステータス バー(ユーザーがハイパーリンク上にいるとき)
‰
HTML ソース ファイル(ユーザーが View Source を選択したとき)
ホスト名のコード化機能 ( ホスト名の不明化または URL 不明化とも呼びます )
は、パス名、ターゲットファイル、ポートナンバーを完全に非表示にせず、指定
のサーバーが不明瞭化され、他のユーザーが内部リソースの URL を偶然発見す
るのを防げます。たとえば、ユーザーが任意の書き直しや使用可能なホスト名の
コード化を用いずに www.msn.com をナビゲートした場合、
http://www.msn.com/ URL が Web ブラウザのアドレスバーに表示されます。
選択的な再書き込みを有効にすると、IVE は次のような URL を表示します。
https://10.10.9.1/,DanaInfo=www.msn.com+
次にホスト名のエンコードを有効にして同じユーザーが同じサイトにナビ
ゲートすると、表示される URL ではホスト名(www.msn.com)が灰色表示
になります。
https://10.10.9.1/,DanaInfo=.awxyCqxtGkxw+
ホスト名のコード化は軽量のリバーシブル アルゴリズムを使用しているため、
ユーザーはコード化された URL をブックマークに加えることができます。IVE は
コード化された URL を変換し、元の URL に再び解決し直すことができます。)
互換性のために、非表示になっていない URL に対してすでに作成されたブック
マークは、ホスト名のコード化が使用可能後も続けて使用できます。
この機能を使用可能にするとき、任意の書き直しとホスト名コード化を使用可能
にするようにしてください。IVE は任意の書き直し機能を使って書き直したサー
バーのホスト名と IP アドレスのみを隠します。ホスト名エンコーディングのロ
グ エントリを含め、ログ エントリでホスト名と IP アドレスは隠されません。
„
Unrewritten pages open in new window - これを有効にすると、書き直されて
いないページにユーザーがアクセスしたときに(516 ページの「選択的な再書き
込みリソース ポリシーの作成」を参照)
、強制的に新しいウィンドウが開いてコ
ンテンツが表示されます。これにより、セキュア セッションがまだ有効であるこ
とをユーザーに知らせることができます。このオプションが適用されるリソース
が要求されると、IVE は要求されたリソースへのリンクを組み込んだページを表
示し、ユーザーにはこのリンクをクリックするように指示します。このリンクを
クリックすると、新しいブラウザ ウィンドウでリソースが表示され、リクエス
トを最初に出したページはそのまま IVE の中に表示されます。
このボックスのチェックを外すと、ユーザーは IVE セッションがまだ有効であ
り、IVE に戻るためにブラウザの Back を使用する必要があることに気づかなく
なります。ユーザーはサインアウトするために IVE に戻る必要があります。ブラ
ウザ ウィンドウを単に閉じただけでは、時間制限となるまでセッションがアク
ティブなままです。
466
„ Web ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Allow browsing untrusted SSL web servers - これを有効にすると、ユーザーは
IVE を通して、アントラステッド Web サイトにアクセスすることができます。ア
ントラステッド Web サイトとは、サーバー証明書が Web コンソールの
System > Configuration > Certificates > Trusted Servers CAs タブを通してイ
ンストールされていない Web サイトのことです。詳細については、305 ページ
の「Trusted Server CAs タブ」を参照してください。このオプションを有効にす
ると、ユーザーがアントラステッド Web サイトをナビゲートしたときに IVE が
ユーザーに与える選択肢を指定できます。
‰
Warn users about the certificate problems - これを有効にすると、ユー
ザーが初めてアントラステッド Web サイトにアクセスする際に、IVE は
ユーザーに警告し、そのサイトの証明書が信用できない理由を示します。
ユーザーは続行することもキャンセルすることもできます。IVE が警告を
表示した後にユーザーが続行することを選択した場合は、現行の IVE セッ
ション中に、IVE がそのサイトに対して警告をさらに表示することはあり
ません。
メモ : Warn users about the certificate problems オプションを選択すると、ユーザー
は、HTML ページとは異なる SSL サーバーから送信される非 HTML コンテンツ ( 画像、
js、css など ) にアクセスし、リンクを含むページは正しく表示されない場合がありま
す。この問題を回避するには、このオプションを選択解除するか、有効な本稼働用 SSL
証明書を非 HTML コンテンツを送信するサーバーにアップロードします。
‰
Allow users to bypass warnings on a server-by-server basis - これを有効に
すると、IVE によってユーザーは特定のアントラステッド Web サイトに対
してそれ以上の警告を抑制することができます。ユーザーがこのオプション
を選択した場合、IVE またはクラスタからアクセスする限り、現行のこのサ
イトに対する警告が再び表示されることはありません。
メモ : ユーザーが警告を見ることなくアントラステッド Web サイトにアクセスできる
よう選択した場合、IVE はユーザーがアントラステッド サイトにナビゲートするたび
に、ユーザー アクセス ログに対するメッセージをログします。また、ユーザーが警告を
抑制するよう選択した場合、エンドユーザーコンソールの System > Preferences >
Advanced タブで Delete Passwords オプションを用いてアントラステッド Web サイトの
永続的な設定を消去することができます。
„
Rewrite file:// URLs - これを有効にすると、IVE が file:// を書き直し、CGI をブ
ラウズする IVE ファイルを通してルーティングするようになります。
3.
ユーザーが自分用の Web ブックマークを IVE welcome ページに作成できるようにす
るには、Bookmarks で User can add bookmarks をオンにします。
4.
Cookies で、Persistent cookies を有効にすると、このロールに属するユーザーは、
永続クッキーを保持できるようにして、ブラウジングをカスタマイズできます。デ
フォルトでは、IVE はユーザー セッションの間に保存された Web クッキーをフラッ
シュします。このオプションを使用可能にすると、ユーザーは Advanced Preferences
ページによりクッキーを消去できます。
Web ページの設定
„
467
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
Web Applications で、デフォルト値を受け入れるか、HTTP Connection Timeout 期
間を設定し、HTTP サーバーからの返答をどれだけの時間待ってからタイムアウトし
接続を終了するかを IVE に指定してください。30 ~ 1800 秒の範囲で指定できます。
メモ : タイムアウト値を高く設定すると、アプリケーションが適切に接続を閉じない場
合や閉じるのに長くかかりすぎた場合に、IVE リソースを使い切る可能性があります。
アプリケーションが高いタイムアウト値を要求しない場合は、デフォルト値を受け入れ
ることをお勧めします。
6.
468
„ Web ページの設定
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Files ページの設定
Files ページには、次のタブがあります。
„
469 ページの「Windows Bookmarks タブ」- このロールにマッピングされたユー
ザーの welcome ページに表示される Windows ブックマークを作成するには、このタ
ブを使用します。
„
470 ページの「UNIX Bookmarks タブ」- IVE ホーム ページに表示される UNIX/NFS
ブックマークを作成するには、このタブを使用します。
„
471 ページの「Options タブ」- リソースの表示機能、フォルダ ブックマークの作成
機能など、Windows および UNIX/NFS ネットワーク ブラウジング オプションを指定
するにはこのタブを使用します。
Windows Bookmarks タブ
このロールにマップされたユーザーの welcome ページに表示される Windows ブックマー
クを作成するには、Windows Bookmarks タブを使用します。ユーザーのネットワーク
ディレクトリにすばくアクセスするには、URL パスにユーザーの IVE ユーザー名を挿入
します。
IVE ユーザーが Dfs サーバー上でファイルを参照している場合、Dfs サーバーは Active
Directory に保存されているサイト設定データを使用して、IVE に正しい順序で Dfs 参照を
返します。近くにあるサーバーの参照は、遠いサーバーの参照よりもリストの上位に配置
されます。クライアントは、受信した順序で参照を処理しようとします。このリストにな
いサブネットのクライアントからリクエストが送信された場合、サーバーはクライアント
の場所が分からず、任意の順序で利用者に参照リストを返すことになります。この状況で
は、IVE ( この場合、クライアントとして動作 ) の Dfs リクエストがはるか遠くにあるサー
バーにアクセスする可能性があります。これでは、IVE があるサブネットからアクセスで
きないサーバーに、IVE がアクセスしようとして、深刻な遅延が発生する恐れがありま
す。IVE が Dfs サーバーのリストにないサブネットにインストールされている場合、Dfs
管理者はドメイン コントローラの “Active Directory Sites and Services” ツールを使用して、
IVE のサブネットを適切なサイトに追加できます。
Windows リソースへのブックマークの作成
Windows リソースへのブックマークを作成するには、次の操作を実行します。
1.
Web コンソール で、Users > Roles > ロール名 > Files > Windows Bookmarks を
選択します。
2.
New Bookmark をクリックし、サーバーおよび共有の名前を参照するか、入力しま
す。アクセスをさらに制限するには、パスを指定します。ユーザーのユーザー名を挿
入したい場合は、パスの適切な場所に <username> を入力します。この情報はブッ
クマークの名前と説明を入力すると、server/share ではなく、IVE ホームページに表
示されます。
メモ : Windows サーバーにはブックマークすることはできません。サーバーと共有の名
前の両方を指定する必要があります。
3.
Appearance に、以下のいずれかを選択します。
„
Appear as bookmark on homepage and in file browsing - ユーザーの
welcome ページとネットワーク ファイルの参照時の両方にブックマークを表
示したい場合。
Files ページの設定
„
469
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
4.
5.
Appear in file browsing only - ネットワーク ファイルの参照時にだけ、ブック
マークを表示したい場合。
Access で、対応する Windows アクセス リソース ポリシーが IVE で自動作成される
ようにするには、Enable auto-allow access to this bookmark をオンにします。この
機能は、ユーザー ブックマークではなく、ロール ブックマークにのみ適用されます。
次に、以下の選択を行います。
„
Read-write access - サーバーでユーザーがファイルを保存できるようにしま
す。ユーザーは 500 MB 以上のファイルをサーバーにアップロードできません。
„
Include sub-folders - 指定したブックマーク パスの下にあるディレクトリで、
ユーザーがファイルを表示できるようにします。
追加するには、Save Changes または Save + New をクリックします。
UNIX Bookmarks タブ
UNIX Bookmarks タブを使用すると、IVE ホーム ページに表示する UNIX/NFS ブックマー
クを作成できます。ユーザーのネットワーク ディレクトリにすばくアクセスするには、
URL パスにユーザーの IVE ユーザー名を挿入します。
UNIX リソースへのブックマークの作成
UNIX/NFS リソースへのブックマークを作成するには、次の操作を実行します。
1.
Web コンソール で、Users > Roles > ロール名 > Files > UNIX Bookmarks を選択
します。
2.
New Bookmark をクリックし、サーバーのホスト名または IP アドレスとともに、共
有するパスを入力します。ユーザーのユーザー名を挿入したい場合は、パスの適切な
場所に <username> を入力します。この情報はブックマークの名前と説明を入力す
ると、server/path ではなく、IVE ホームページ に表示されます。
3.
Appearance に、以下のいずれかを選択します。
4.
5.
470
„ Files ページの設定
„
Appear as bookmark on homepage and in file browsing - ユーザーの
welcome ページとネットワーク ファイルの参照時の両方にブックマークを表
示したい場合。
„
Appear in file browsing only - ネットワーク ファイルの参照時にだけ、ブック
マークを表示したい場合。
対応する UNIX/NFS アクセス リソース ポリシーが IVE で自動作成されるようにする
には、Access で Enable auto-allow access to this bookmark をオンにします。この機
能は、ユーザー ブックマークではなく、ロール ブックマークにのみ適用されます。
次に、以下の選択を行います。
„
Read-write access - サーバーでユーザーがファイルを保存できるようにしま
す。ユーザーは 500 MB 以上のファイルをサーバーにアップロードできません。
„
Include sub-folders - 指定したブックマーク パスの下にあるディレクトリで、
ユーザーがファイルを表示できるようにします。
追加するには、Save Changes または Save + New をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Options タブ
Options タブを使用すると、リソースの表示機能、フォルダ ブックマークの作成機能な
ど、Windows および UNIX/NFS ネットワーク ブラウジング オプションを指定できます。
これらのオプションは、ファイル リソース ポリシーと協調して動作します。
一般的なファイル ブラウジング オプションの指定
一般的なファイルのブラウジング オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > Web > Options を選択します。
2.
Windows Network Files で、ユーザー用に有効にするオプションを指定します。
3.
4.
„
User can browse network file shares - 有効にすると、ユーザーは利用可能な
Windows ファイル共有にあるリソースを表示したり、ブックマークを作成した
りできます。
„
User can add bookmarks - 有効にすると、ユーザーは利用可能な Windows
ファイル共有にあるリソースを表示したり、ブックマークを作成したりでき
ます。
UNIX Network Files で、ユーザーのために有効にするオプションを指定します。
„
User can browse network file shares - 有効にすると、ユーザーは利用可能な
UNIX ファイル共有にあるリソースを表示したり、ブックマークを作成したりで
きます。
„
User can add bookmarks - 有効にすると、ユーザーは利用可能な UNIX ファイ
ル共有にあるリソースへのブックマークを表示したり、作成したりできます。
„
Allow automount shares - 有効にすると、ユーザーは NIS サーバーで指定され
た自動マウント共有にアクセスできます。
Save Changes をクリックします。
Files ページの設定
„
471
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
SAM ページの設定
SAM ページには、以下のタブがあります。
„
472 ページの「Applications タブ」- Secure Application Manager が仲介するクライア
ント / サーバー アプリケーションを指定するには、このタブを使用します。
„
478 ページの「Options タブ」- このタブを使用して、一般的な Secure Application
Manager オプションを指定し、Windows Secure Application Manager アプリケーショ
ンをダウンロードし、Java Secure Application Manager オプションを指定します。
Applications タブ
Secure Application Manager が仲介するクライアント / サーバー アプリケーションを指定
するには、Applications タブを使用します。このタブに表示されるオプションは、ロール
に有効にした SAM のバージョンによって異なります。有効にしたバージョンに該当する
説明を参照してください。
„
W-SAM を有効にする場合は、472 ページの「W-SAM によりセキュリティを確保する
アプリケーションとサーバーの指定」を参照してください。
„
J-SAM を有効にする場合は、474 ページの「J-SAM がセキュリティを確保するアプリ
ケーションの指定」を参照してください。
W-SAM によりセキュリティを確保するアプリケーションとサーバーの指定
Applications タブでは、W-SAM でトラフィックのセキュリティを確保するアプリケー
ションとサーバーを指定します。クライアント PC に W-SAM をダウンロードすると、そ
のロールについて Applications タブで設定した情報も一緒にダウンロードされます。ユー
ザーが Secure Application Manager を起動すると、W-SAM はクライアント アプリケー
ションから内部ネットワーク内のサーバーに送信されるリクエストと、クライアント上で
稼動しているプロセスから内部ホストに送られるリクエストをインターセプトします。こ
れらのリソースを定義するには、Applications タブで次の 2 つのリストを設定します。
„
W-SAM supported applications list - このリストには、クライアントと IVE 間のクラ
イアント / サーバー トラフィックに W-SAM でセキュリティを確保するアプリケー
ションを指定します。
„
W-SAM allowed servers list - このリストには、クライアントと IVE 間のクライ
アント / サーバー トラフィックに W-SAM でセキュリティを確保するホストを指
定します。
メモ : NetBIOS と W-SAM を使用してファイル共有にアクセスする場合、サーバーの
NetBIOS 名(最大 15 文字の英数文字列)を Add Server ページと SAM リソース ポリ
シーの両方に明示的に指定する必要があります(現時点では、ワイルドカードは使用で
きません)。別の方法としては、SAM > Options タブで Auto-allow application servers
オプションを有効にすると、IVE によって、指定されたサーバーへのアクセスを許可す
る SAM リソース ポリシーが自動的に作成されます。
また、これにより、ユーザーのサインイン時に、Secure Application Manager が自動的に
起動するように設定できます。ユーザーは IVE System > Preferences メニューでこの設
定を変更できます。自動起動を無効にしている場合、ユーザーは IVE ホームページのメ
ニューにあるリンクをクリックして、Secure Application Manager を手動で起動する必要
があります。
472
„ SAM ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
W-SAM によりセキュリティを確保するアプリケーションとサーバーを指定するには、次
の操作を行います。
1.
Web コンソールで、Users > Roles > ロール名 > SAM > Applications を選択しま
す。
2.
W-SAM supported application リストで、クライアントと IVE 間のクライアント /
サーバー トラフィックに対して W-SAM でセキュリティを確保するリソースを指定し
ます。
a.
Add Application をクリックします。
b.
アプリケーションの名前と説明 (オプション)を入力します。この情報は IVE
ユーザーの Client Applications ページに表示されます。
c.
以下のいずれかを選択します。
‰
Standard application - Citrix NFuse、Lotus Notes、または Microsoft
Outlook/Exchange を選択します。
‰
Custom application - カスタム クライアント / サーバー アプリケーション
を指定します。Filename フィールドで、ファイルの実行ファイル名を指定
します。このファイルのパスと実行ファイルの MD5 ハッシュを指定するこ
ともできます。(オプション)
MD5 ハッシュ値を入力すると、W-SAM はこの値が実行ファイルのチェック
サム値と一致するかどうか検証します。値が一致しない場合、W-SAM は、
アプリケーションの正当性が証明されなかったため、アプリケーションから
IVE に接続を仲介できないとユーザーに通知します。
d.
3.
4.
Save Changes または Save + New をクリックします。
W-SAM allowed servers リストで、クライアントと IVE 間のクライアント / サーバー
トラフィックに対して W-SAM でセキュリティを確保するリソースを指定します。
a.
Add Servers をクリックします。
b.
ホスト名(ワイルド カードの “*” または “?” は利用可能)、あるいは IP/ ネットマ
スクの値を指定します。ホストに対して、別々のエントリとして、複数のポート
を指定します。
c.
[Add] をクリックします。
IVE がアプリケーションまたはサーバーのリクエストを送信する場合、送信先のエン
タープライズ リソースを(IP アドレス / ポートの組み合わせに基づいて)指定する
には、Secure Application Manager リソース ポリシーを設定します。
別の方法としては、SAM > Options タブで Auto-allow application servers オプショ
ンを有効にすると、IVE によって、指定されたサーバーへのアクセスを許可する SAM
リソース ポリシーが自動的に作成されます。このオプションは、アプリケーションま
たはサーバーを指定する前に有効にする必要があります。さもなければ、SAM リ
ソース ポリシー(URL)を作成する必要があります。
SAM ページの設定 „ 473
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
W-SAM をバイパスする必要があるアプリケーションの指定
Applications タブでは、W-SAM がトラフィックのセキュリティを確保しないアプリケー
ションを指定します。これらの「通過」アプリケーションは、W-SAM をバイパスします。
W-SAM によりセキュリティを確保するアプリケーションとサーバーを指定するには、次
の操作を行います。
1.
Web コンソールで、Users > Roles > ロール名 > SAM > Applications を選択し
ます。
2.
Add Bypass Application ボタンをクリックします。New Bypass Application ページが
表示されます。
3.
アプリケーションの名前と説明を入力します(オプション)。
4.
ファイル名を設定します(必須)。
5.
アプリケーションへの絶対パス名を入力します(オプション)。
6.
Save Changes を選択して、バイパス アプリケーションをリストに追加するか、Save
+ New を選択して、バイパス アプリケーションを保存し、別のバイパス アプリケー
ションを作成します。
J-SAM がセキュリティを確保するアプリケーションの指定
Applications タブでは、J-SAM でトラフィックのセキュリティを確保するアプリケーショ
ンを指定します。Secure Application Manager の Java バージョンを正常に使用するには、
Secure Application Manager がアプリケーション サーバーとして稼動しているローカル PC
に、クライアント アプリケーションで接続する必要があります。
クライアント マシンに J-SAM をダウンロードすると、そのロールについて Applications
タブで設定した情報も一緒にダウンロードされます。ユーザーが Client Applications をク
リックすると、J-SAM が起動し、指定されたポートでリクエストを受信して、IVE にリク
エストを安全にポート転送します。次に、IVE はアプリケーション サーバー用に指定され
たポートにデータを転送します。
IVE は、アプリケーション サーバーをユーザーのローカル PC にマッピングするために、
次の 2 つのプロセスを用意しています。
„
自動ホストマッピングを使用してアプリケーションを設定します。この機能を使用す
ると、IVE によって自動的に PC の hosts ファイルが変更されてアプリケーション
サーバーが localhost に関連付けられ、セキュアなポート転送が可能になります。
メモ : Windows PC で自動ホストマッピング機能を使用する場合は、Secure Application
Manager が hosts ファイルを変更できるように、ユーザーに管理者権限を与える必要が
あります。ユーザーに管理者権限がない場合は、Secure Application Manager ウィンドウ
に、エラー メッセージが表示され、ユーザーはクライアント / サーバー アプリケーショ
ンにアクセスできません。
„
474
„ SAM ページの設定
J-SAM アプレットにトラフィックをルーティングするように外部 DNS サーバーを設
定します。手順については、477 ページの「外部 DNS サーバーとユーザー マシンの
設定 ( 必要に応じて )」を参照してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
外部の DNS を構成するとき、動的な IP ループバック アドレスの代わりに静的な IP ルー
プバック アドレスを使用すると、管理者は J-SAM アプリケーションの設定を変更する度
に外部の DNS を更新することなくアプリケーションを追加または削除できます。
メモ :
„
Windows、Linux、Macintosh プラットフォームでは、現在 Sun JVM バージョン
1.4.1 以降をサポートしています。Windows では、Sun JRE バージョン 1.1 に基づく
MS JVM もサポートしています。
„
サーバーへのドライブ割り当てを有効にしたい場合は、このサーバーのクライアン
ト ポートおよびサーバー ポートとしてポート 139 を指定する必要があります。
Windows XP ユーザーの場合、J-SAM は自動的にレジストリを修正して、ポート
445 を無効にします。これにより、Windows XP はドライブ マッピングのために
ポート 139 を使用します。Windows XP ユーザーは、レジストリの変更を有効にす
るために一度再起動する必要があります。J-SAM が加えたレジストリの変更を無効
にして etc/hosts ファイルのオリジナルのコピーを元に戻す場合、ユーザーは IVE
の Advanced Preferences ページで Restore System Settings ボタンをクリックでき
ます。変更を再び有効にするには、もう一度コンピュータを再起動する必要があり
ます。
J-SAM がセキュリティを確保するアプリケーションを指定するには、次の操作を行い
ます。
1.
Web コンソールで、Users > Roles > ロール名 > SAM > Applications を選択し
ます。
2.
Add Application を選択します。
3.
アプリケーションの名前と説明 (オプション)を入力します。この情報は IVE ユー
ザーの Client Applications ページに表示されます。
4.
以下のいずれかを選択します。
„
Standard application - Citrix NFuse、Lotus Notes、または Microsoft
Outlook/Exchange を選択します。
„
Custom application -
i.
Server IP フィールドに、サーバーの DNS 名またはサーバー IP アドレスを入
力します。
ii.
Server Port フィールドに、リモート サーバーがクライアントの接続をリス
ンするポートを入力します。
たとえば、リモート マシンから受信した Telnet トラフィックを転送するに
は、クライアント ポート(J-SAM がリスンするポート)とサーバー ポート
(Telnet サーバーがリスンするポート)の両方にポート 23 を指定します。
メモ : このリソースに対するドライブ割り当てを有効にするには、サーバー ポートとし
て 139 を入力します。
SAM ページの設定 „ 475
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
iii. Client Loopback IP フィールドに静的ループバック アドレスを入力しま
す。IP ループバック アドレスを割り当てないと、IVE は動的アドレスを割
り当てます。静的ループバック アドレスの詳細については、135 ページの
「Java セキュア アプリケーション マネージャ (J-SAM) の概要」を参照して
ください。
iv.
Client Port フィールドに、J-SAM がクライアント アプリケーションの接続
を予期するポートを入力します。
ローカル ポート値は、サーバー ポートと同じ値になります。通常、ローカ
ル ポート値が異なるのは、Linux または Macintosh ユーザーがポート転送の
ために 1024 よりも下のポートを使用するアプリケーションを追加したい場
合だけです。
メモ : このリソースに対するドライブ割り当てを有効にするには、サーバー ポートとし
て 139 を入力します。
app1.mycompany.com、app2.mycompany.com、app3.mycompany.com な
ど、単一ポートで複数のアプリケーションを設定できます。各アプリケー
ションに静的ループバック アドレスを割り当てるか、IVE によって動的ルー
プバック アドレスを割り当てます(127.0.1.10、 127.0.1.11、
127.0.1.12)。J-SAM は、これら複数のループバック アドレスを、指定した
ポートで予期します。たとえば、指定されたポートで 127.0.1.12 のトラ
フィックがあった場合、IVE は送信先ホストの app3.mycompany.com にこ
のトラフィックを転送します。
e.
J-SAM が同じポートで複数のホストを予期しており、さらに、管理者が指定した
クライアント ポートが使用中の場合に利用できるポートを J-SAM に選択させた
い場合、Allow Secure Application Manager to dynamically select an available
port ... チェックボックスにチェックを入れます。このオプションを使用する場
合、クライアント アプリケーションでは、接続用のポート番号を指定できる必
要があります。
f.
自動ホストマッピングを使用している場合、Server name フィールドに、アプリ
ケーションに認識されるリモート サーバー名を入力します。
5.
Add Application をクリックします。
6.
Enable Automatic Host Mapping (Java Version のみ ) で Enabled を選択し、PC ユー
ザーである場合は、Save Changes をクリックします。
クライアント アプリケーションは、アプリケーション サーバーを localhost IP アド
レスに解決する必要があります。リモート PC ユーザーに対して自動ホストマッピン
グを有効にしたくない場合、または Linux ユーザーである場合、アプリケーション
サーバー名をユーザーの localhost に解決するように、外部 DNS サーバーを設定す
る必要があります。詳細については、477 ページの「外部 DNS サーバーとユーザー
マシンの設定 ( 必要に応じて )」を参照してください。
7.
Internet Explorer で Web プロキシを使用するようにリモート ユーザーの PC が設定さ
れている場合、Secure Application Manager に接続する必要があるアプリケーション
をユーザーが起動した場合に、このプロキシ サーバーをバイパスするように、クラ
イアント マシンを設定してください。478 ページの「プロキシ Web サーバーを通じ
て IVE に接続する PC を設定する」を参照してください。
8.
company-a.com や company-b.com など、複数の内部ドメインがある場合、
app1.company-a.com および app2.company-b.com のような名前を正常に解決でき
るように、次の操作により IVE に DNS ドメインを追加します。
476
„ SAM ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
a.
Network > Network Settings メニューをクリックします。
b.
DNS Name Resolution で、カンマ区切りのドメイン リストを DNS Domains
フィールドに追加します。
c.
Save Changes をクリックします。
J-SAM のその他のタスク
このセクションでは、J-SAM に指定したクライアント / サーバー アプリケーションやユー
ザーが使用しているオペレーティング システムに応じて、実行すべきタスクを説明しま
す。また、企業内で J-SAM をテストする手順も説明します。
次のようなトピックがあります。
„
477 ページの「外部 DNS サーバーとユーザー マシンの設定 ( 必要に応じて )」
„
478 ページの「プロキシ Web サーバーを通じて IVE に接続する PC を設定する」
外部 DNS サーバーとユーザー マシンの設定 ( 必要に応じて )
クライアント アプリケーションは、サーバー ホスト名を、クライアントとサーバーの間
でデータのプロキシを実行する J-SAM に解決する必要があります。Windows PC の場合、
サーバー ホスト名は hosts ファイルに保存されます。J-SAM を使用してデータを受け取る
場合、IVE がトラフィックの仲介を実行できるように、このファイル内のサーバー名を、
ローカル マシン(localhost)に解決する必要があります。アプリケーション サーバーを
ユーザーのローカル PC にマップする方法として、自動ホストマッピング オプションを有
効にすることをお勧めします。この機能を使用すると、IVE は自動的に PC の hosts ファ
イルを変更して、セキュアなポート転送のためにアプリケーション サーバーを localhost
に関連付けることができます。
IVE が自動ホストマッピングを実行する場合、PC ユーザーはマシン上で管理者権限を
持っている必要があります。PC ユーザーがこれらの権限を持っていない場合、インター
ネットに直面する外部 DNS サーバーにエントリを追加して、内部アプリケーション サー
バーの名前が PC の localhost に外的に解決されるように設定する必要があります。
127.0.0.1 app1.company-a.com
127.0.0.1 app2.company-b.com
127.0.0.1 exchange1.company-a.com
127.0.0.1 exchange1.company-b.com
クライアント アプリケーションが、アプリケーション サーバーに対して修飾のない名前
を使用する場合、PC がサフィックスを追加して名前解決のために外部 DNS サーバーにア
クセスできるように、ユーザーは DNS サフィックスを指定する必要があります。たとえ
ば、MS Outlook クライアントは、通常、MS Exchange サーバーに対して無修飾名を使用
します。修飾名を 127.0.0.1 に解決する場合、ユーザーは適切な DNS サフィックスを PC
上で指定する必要があります。ドメイン名を追加しても、企業内でのクライアント アプ
リケーションの使用など、PC 上の他の処理には影響が及びません。
ユーザー PC に DNS サフィックスを設定するには、次の操作を行います(Windows 2000
の場合)。
1.
Windows の Start メニューから、Settings > Network and Dial-up Connections >
Local Area Connection を選択して、Properties を選択します。
2.
Internet Protocol (TCP/IP) を選択して、Properties をクリックします。
3.
Advanced をクリックして、次に DNS タブをクリックします。
SAM ページの設定 „ 477
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
Append these DNS suffixes をクリックして、Add をクリックします。
5.
追加の DNS サフィックスとして、企業の内部ドメインを追加します。
プロキシ Web サーバーを通じて IVE に接続する PC を設定する
この手順を行うのは、Internet Explorer で Web プロキシを使用するように、リモート
ユーザーの PC が設定されている場合だけです。この手順によって、クライアント アプリ
ケーションは、Web プロキシに接続するのではなく、Secure Application Manager に接続
するようになります。
Internet Explorer で Web プロキシを通じて IVE に接続する PC を設定するには、次の操作
を実行します。
1.
Internet Explorer の Tools メニューから、Internet Options を選択します。
2.
Connections タブで、LAN Settings ボタンをクリックします。
3.
Proxy server で Advanced ボタンをクリックします。
4.
Exceptions で、プロキシ サーバーを使用したくないアドレスを入力します。Secure
Application Manager による接続時にクライアント アプリケーションが使用するすべ
てのアドレス ( ホスト名と localhost) を入力します。例:
アプリケーション サーバーが app1.company.com である場合、次のように例外を入
力します。
app1;app1.company.com;127.0.0.1
Exchange Server が exchange.company.com である場合、次のように例外を入力しま
す。
exchange;exchange.company.com;127.0.0.1
Options タブ
次の操作を行うには、Options タブを使用します。
„
478 ページの「Secure Application Manager の全般的なオプション設定」
„
479 ページの「Secure Application Manager オプションの指定」
„
480 ページの「Windows Secure Application Manager アプリケーションのダウン
ロード」
„
480 ページの「Java Secure Application Manager オプションの指定」
Secure Application Manager の全般的なオプション設定
Secure Application Manager の全般的なオプションを指定するには、次の操作を実行し
ます。
1.
478
„ SAM ページの設定
Web コンソールで、Users > Roles > ロール名 > SAM > Options を選択します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
3.
Secure Application Manager options で、ユーザーに対して有効にするオプションを選
択します。
„
Auto-launch Secure Application Manager - これを有効にすると、ユーザーがサ
インインしたときに、IVE は自動的に Secure Application Manager を起動します。
Yes を選択しない場合、ユーザーは Client Applications メニューから手動で
Secure Application Manager を起動する必要があります。
„
Auto-uninstall Secure Application Manager - これを有効にすると、ユーザーが
サインオフした後、IVE によって自動的に Secure Application Manager がアンイ
ンストールされます。
„
Auto-allow application servers - これを有効にすると、IVE によって自動的に
SAM リソース ポリシーが作成されます。このポリシーを使用すると、W-SAM の
アプリケーション リストやサーバー リスト、J-SAM のアプリケーション リスト
に指定されたサーバーへのアクセスが許可されます。
Save Changes をクリックします。
Secure Application Manager オプションの指定
Windows Secure Application Manager のオプションを指定するには、次の操作を実行しま
す。
1.
Web コンソールで、Users > Roles > ロール名 > SAM > Options を選択します。
2.
Windows SAM Options で以下の項目を指定します。
a.
b.
IVE の Secure Application Manager のバージョンがクライアントにインストール
されているバージョンよりも新しい場合には、IVE にクライアント マシンへ
Secure Application Manager を自動的にインストールさせるには、Auto-upgrade
Secure Application Manager を選択します。このオプションを有効にする場合に
は、次の点に注意する必要があります。
‰
IVE がクライアント上で Secure Application Manager を自動インストールす
るには、ユーザーが管理者権限を持っている必要があります。
‰
ユーザーが Secure Application Manager をアンインストールし、Autoupgrade Secure Application Manager オプションが有効になっていない IVE
にサインインした場合、そのユーザーは、Secure Application Manager にア
クセスできません。
W-SAM セッションが開始または終了した後で実行するバッチ、アプリケーショ
ン、Win32 サービス ファイルのファイル名とパスを入力します。たとえば、ア
プリケーションを終了してから再起動する場合には、PSKILL.exe ( ローカル シス
テムまたはリモート システムのプロセスを終了するサードパーティのユーティ
リティ ) を使用することができます。このファイルは、クライアントにインス
トールするか、アクセス可能なネットワーク ディレクトリに格納しておく必要
があり、適切なコマンドライン オプションを使用して W-SAM ランチャを起動す
る必要があります。
メモ : IVE がファイルを別のプラットフォームにあるファイルを検索できるようにする
には、path%WINDIR%\system32\log などの Windows 変数を使用します。
3.
Save Changes をクリックします。
SAM ページの設定 „ 479
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Windows Secure Application Manager アプリケーションのダウンロード
Windows Secure Application Manager アプリケーションをダウンロードするには、
Maintenance > System > Installers タブにアクセスします。W-SAM アプリケーションの
ダウンロードについては、572 ページの「アプリケーションまたはサービスをダウンロー
ドする」を参照してください。
Java Secure Application Manager オプションの指定
Java Secure Application Manager オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > SAM > Options を選択します。
2.
Java SAM Options で、ユーザーのために有効にするオプションを選択します。
„
User can add applications - これを有効にすると、ユーザーはアプリケーション
を追加できます。ユーザーがアプリケーションを追加するには、アプリケーショ
ン サーバーの DNS 名とクライアント / サーバー ポートを知っている必要があり
ます。
このオプションを有効にすると、あらゆるホストに接続したポートまたは企業内
のポートを設定できます。ユーザーにアプリケーションの追加機能を提供する前
に、この機能がセキュリティの設定と矛盾しないか確認してください。ユーザー
がアプリケーションを追加した場合、この機能を後で無効にしても、ユーザーは
このアプリケーションを利用できる状態になります。
„
Automatic host-mapping - これを有効にすると、Secure Application Manager
は、Windows PC の hosts ファイルを編集して、Windows アプリケーション サー
バーのエントリを localhost で置換します。ユーザーが Secure Application
Manager を終了すると、これらのエントリは元のデータに戻されます。
Secure Application Manager の Java バージョンを正常に使用するには、Secure
Application Manager がアプリケーション サーバーとして稼動しているローカル
PC に、クライアント アプリケーションで接続する必要があります。アプリケー
ション サーバーをユーザーのローカル PC にマップする方法として、自動ホスト
マッピング オプションを有効にすることをお勧めします。この機能を使用する
と、IVE は自動的に PC の hosts ファイルを変更して、セキュアなポート転送の
ためにアプリケーション サーバーを PC の localhost に関連付けることができま
す。または代わりに、外部 DNS サーバーを設定できます。
3.
480
„ SAM ページの設定
„
Skip web-proxy registry check - これを有効にすると、J-SAM は Web プロキシ
に対して、ユーザー レジストリをチェックしません。一部のユーザーには、レジ
ストリを参照する権限がありません。したがって、J-SAM がレジストリを参照し
ようとすると、ユーザーには権限がないことを通知するエラー メッセージが表
示されます。このオプションを選択すると、このメッセージが表示されなくなり
ます。
„
Auto-close J-SAM window on sign-out - これを有効にした場合、IVE のブラウ
ザ ウィンドウの Sign Out をクリックしてユーザーが IVE をサインアウトする
と、J-SAM が自動的に終了します。ユーザーがブラウザのウィンドウを閉じただ
けの場合には、J-SAM は実行を続けます。
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Telnet/SSH ページの設定
Telnet/SSH ページには、次のタブがあります。
„
481 ページの「Sessions タブ」- このロールにマッピングされたユーザーの welcome
ページに表示されるセキュア ターミナル セッション ブックマークを作成するには、
このタブを使用します。
„
482 ページの「Options タブ」- ユーザーが自分で Telnet/SSH ブックマークを作成し
たり、ターミナル セッションを参照したり、IVE を設定してセッション ブックマー
クに指定されたサーバーへのアクセスを許可する Telnet/SSH リソース ポリシーを作
成できるようにするには、このタブを使用します。
Sessions タブ
このロールにマップされたユーザーの welcome ページに表示されるセキュア ターミナル
セッション ブックマークを作成するには、Sessions タブを使用します。ターミナル セッ
ション ブックマークは、ユーザーが起動できる Telnet または SSH セッションのターミナ
ル セッション情報を定義します。これらのセッションを通じて、ユーザーは UNIX サー
バーやネットワーク デバイス、ターミナル サービスを使用するその他のレガシ アプリ
ケーションなど、さまざまなネットワーク デバイスにアクセスできます。IVE は SSH
バージョン V1 と V2 をサポートしており、OpenSSH_2.9.9p1、SSH プロトコル 1.5/2.0、
および OpenSSL 0x0090607f の SSH バージョンを使用しています。
Secure Terminal Access オプション(Telnet/SSH)を有効にしていながら、独自のブック
マーク(482 ページの「Options タブ」で説明されているように)を作成する権限がユー
ザーに与えられない場合は、ユーザーのセッション ブックマークが設定されていること
を確認してください。ブックマークを設定しないと、ユーザーはこの機能を使用できませ
ん。
セキュア ターミナル セッションのブックマークの作成
セキュア ターミナル セッションのブックマークを作成するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > Telnet/SSH > Sessions を選択し
ます。
2.
Add Session をクリックします。New Telnet/SSH Session ページが表示されます。
3.
新規 Telnet/SSH セッションのブックマークの名前と説明を入力します(オプショ
ン)。ブックマークの名前と説明を指定すると、Terminal Sessions ページにこの情報
が表示されます。
4.
Host フィールドにリモート ホストの名前または IP アドレスを入力します。
5.
Session Type で、Telnet か SSH Secure Shell のいずれかを選択し、ポートが事前入力
されたポートの割り当てと異なる場合は、ポートを指定します。
6.
ユーザー名を入力するか、<username>、あるいはその他の IVE 対応のセッション変
数を使用します。
7.
次のいずれかを選択して、Font Size を指定します。
„
Fixed size of _ pixels - 8 ~ 36 ピクセルの範囲でサイズを入力します。
„
Resize to fit window - ウィンドウ サイズに合わせてフォント サイズが動的に
変わります。このオプションには Internet Explorer が必要です。
Telnet/SSH ページの設定 „ 481
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
8.
ドロップダウンリストから Screen Size を選択します。
9.
Screen Buffer サイズを指定します。
10. Save Changes または Save + New をクリックします。
メモ : セキュア ターミナル セッションのブックマークを作成することに加え、ロール
の Telnet/SSH セッションを許可するリソース ポリシーを作成します。または、
Telnet/SSH > Options タブで Auto-allow role Telnet/SSH sessions セッションを有効に
して、セッション ブックマークで定義されたリソースに自動的にアクセスできるように
します。
Options タブ
ユーザーが自分で Telnet/SSH ブックマークを作成したり、ターミナル セッションを参照
したり、IVE を設定してセッション ブックマークに指定されたサーバーへのアクセスを許
可する Telnet/SSH リソース ポリシーを作成できるようにするには、Options タブを使用
します。
ユーザーにターミナル セッションのブラウズを許可する場合、ユーザーは次の 2 つの方
法を使用できます。
„
IVE ホームページを使用する- IVE ホームページの Address フィールドに、アクセス
するサーバーおよびポートを入力できます。URL の有効なフォーマットには、次のも
のがあります。
„
Telnet://host:port
„
SSH://host:port
例:Telnet://terminalserver.yourcompany.com:3389
„
ブラウザのアドレスバーを使用する- ユーザーは各自の Web ブラウザのアドレス
バーに、標準の Web プロトコルを使用してアクセスするサーバーとポート(および、
フォントやウィンドウ サイズなどのセッション パラメータ)を入力できます。例:
https://iveserver/dana/term/newlaunchterm.cgi?protocol=telnet&host=termsrv.y
ourcompany.com&port=23&username=jdoe&fontsize=12&buffer=800&size=80x2
5
一般的な Telnet/SSH オプションの指定
一般的な Telnet/SSH オプションを指定するには、次の操作を実行します。
482
„ Telnet/SSH ページの設定
1.
Web コンソールで、Users > Roles > ロール名 > Telnet/SSH > Options を選択
します。
2.
ユーザーが独自のセッション ブックマークを定義できるようにし、また
telnet:// および ssh:// 構文、および /dana/term/newlaunchterm.cgi 構文 を使
用してターミナル セッションのブラウズを可能にするために User can add
sessions を有効にします。このオプションを有効にした場合、次回からユーザー
が IVE welcome ページ を更新すると、Terminal Sessions ページに Add Terminal
Session ボタンが表示されます。
3.
リソース ポリシーを作成するのではなく、セッション ブックマークに定義されたリ
ソースへのアクセスを IVE に自動的に許可するには、Auto-allow role Telnet/SSH
sessions を有効にします。このオプションは、ユーザー ブックマークではなく、ロー
ル ブックマークに適用されます。
4.
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Terminal Services ページの設定
Terminal Services ページには、次のタブがあります。
„
483 ページの「Session タブ」- このロールにマップされたユーザー用のブックマー
クを作成するには、このタブを使用します。
„
488 ページの「Options タブ」- ユーザーが独自のターミナル サービス ブックマーク
を作成し、IVE を設定して Terminal Services リソース ポリシーを作成させるには、
このタブを使用します。
Session タブ
Terminal Services 機能により、ユーザーは Windows ターミナル サーバー、または Citrix
Metaframe サーバーで直接実行しているアプリケーションを使用できます (161 ページの
「ターミナル サービスの概要」を参照 )。
Web コンソールから Terminal Services オプションを有効にする場合、Sessions タブで
ターミナル サーバーへの IVE ブックマークを作成することができます。ターミナル サー
ビス ブックマークは、ユーザーが接続できるターミナル サーバーと、そのターミナル
サーバーで使用できるアプリケーション ( オプション ) についての情報を定義します。定
義したブックマークは、適切なロールにマップされたユーザーのエンド ユーザー コン
ソールにある Terminal Services パネルに表示されます。設定手順については、483 ペー
ジの「Terminal Services セッションのブックマークの作成」を参照してください。
さらにユーザーに、独自のブックマークを IVE ホームページで作成させ、IVE ブラウズ
バーを使用してターミナル サーバーにブラウズさせることもできます。または、外部サイ
トからターミナル サービス ブックマークにリンクを作成することもできます。設定手順
については、486 ページの「外部サイトからターミナル サービス ブックマークへのリン
クの作成」を参照してください。
Terminal Services セッションのブックマークの作成
1.
Web コンソールで、Users > Roles > ロール名 > Terminal Services > Sessions を選
択します。
2.
Add Session をクリックします。
3.
ページの上部で、次の操作を実行します。
a.
セッション ブックマークの名前と説明 (オプション)を入力します。
b.
Host フィールドに、Windows または Metaframe ターミナル サーバーのホスト名
または IP アドレスを指定します。
c.
Client Port と Server Port フィールドに、ユーザー クライアントが通信を行い
ターミナル サーバーが予期するポートを入力します。
Terminal Services ページの設定
„
483
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
d.
Screen Size リストから、ユーザーのワークステーションに表示するターミナル
サービス ウィンドウのサイズを選択します。
メモ : Full Screen オプションを選択して、Windows Terminal Server に接続している場
合、ターミナル サービス ウィンドウに正しいホスト名を表示するために、IVE はユー
ザーの hosts ファイルを変更する必要があります。ユーザーに hosts ファイルを変更す
る正しい権限がない場合には、IVE は代わりにループバック アドレスを表示します。
さらに、hosts を元の状態に復元するには、ターミナル サービス ウィンドウを実行し
たあとで、ユーザーはアプリケーションを正しく終了する必要があります。正しく終了
しなかった場合、hosts ファイルを使用する他のアプリケーション (J-SAM や Host
Checker など ) が正しく実行されない可能性があります。さらに hosts ファイルを元の
状態に戻すには、ユーザーはシステムを再起動するか、バックアップ ホスト ファイル
(hosts_ive.bak) の名前を変更します。
e.
4.
IVE をターミナル セッション データ 8 ビット、16 ビット、32 ビット カラーの
いずれで表示するか、Color Depth リストから指定します。
Session セクションで、以下を指定します。
a.
Session Type に、作成したいユーザー セッションのタイプを指定します。
‰
Windows Terminal Services - このオプションを選択して、Windows サー
バーへのターミナル セッションを有効にします。このオプションを選ぶと、
Remote Desktop Protocol クライアントがまだユーザーのマシンにインス
トールされていない場合、IVE はインストールを実行します。
‰
Citrix using default ICA - このオプションを選択して、Citrix Metaframe
サーバーへのターミナル サービス セッションを有効にします。このオプ
ションを選択すると、IVE は保存されているデフォルトの Citrix セッション
パラメータを使用します。
また、IVE のデフォルト ICA ファイルを開くために、Open リンクを使用す
ることもできます。このファイルはローカル マシンにコピーして、必要に応
じてカスタマイズすることができます。カスタマイズする場合は、
default.ica ファイルで以下のパラメータを変更する必要があります。
< CITRIX_CLIENT_NAME>、<APPDATA> および <TARGET_SERVER>。
‰
484
„ Terminal Services ページの設定
Citrix using custom ICA file - このオプションを選択して、Citrix
Metaframe サーバーへのターミナル エミュレーション セッションを有効に
します。このオプションを選ぶと、IVE は指定したカスタム ICA ファイルで
定義されたセッション パラメータを使用します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
b.
ユーザーがターミナル サーバーにサインインしなくても済むようにするには、
Authentication セクションに以下のタイプのデータから 1 つを入力します。
‰
Static username and password - このセクションに静的ユーザー名とパス
ワードを入力すると、サーバーを制御するアプリケーションにこのロールの
ユーザーがアクセスしようとするときはいつでも、IVE はターミナル サー
バーに同じ認証情報のセットを渡します。
‰
Username and password variables - このセクションに <username> と
<password> 変数を入力すると、IVE はユーザーの IVE 一次認証サーバー サ
インイン認証情報をターミナル サーバーに渡します。二次認証サーバーに必
要な証明書を送信するには、構文を使用して証明書を有効にする必要があり
ます。構文は次のようになります。<username@SecondaryServerName>
または <username[2]> および <Password@SecondaryServerName> また
は <Password[2]>。ターミナル サーバーおよびその他の SSO 対応アプリ
ケーションへの認証情報の送信についての詳細は、101 ページの「複数サイ
ンイン認証情報の概要」を参照してください。
ユーザーがこのブックマークをクリックすると、指定された証明書がターミナル
サーバーに送信されます。これらの証明書による認証に失敗すると、サーバーは、
ユーザーにユーザー名とパスワードを手動で入力するようプロンプトを出しま
す。
c.
ユーザーにターミナル サーバー上の特定のアプリケーションへのアクセスのみ
を許可するには、Start Application セクションでユーザーがアクセスできるアプ
リケーションについて次のような情報を指定します。
‰
Path to application - ターミナル サーバー上のアプリケーションの実行
ファイルの場所を指定します。たとえば、Microsoft Word アプリケーション
に、次のようなディレクトリを入力します。
C:\Program Files\Microsoft Office\Office10\WinWord.exe
‰
Working directory - ターミナル サーバーがアプリケーションの作業ファイ
ルを格納する場所を指定します。たとえば、Microsoft Word の場合は、デ
フォルトで次のディレクトリにファイルが保存されます。
C:\Temp
これらのフィールドに、<username> や <password> などの IVE セッション変
数をこれらのフィールドで使用することができます。たとえば、アプリケーショ
ン パスを指定するときに <username> 変数を含めて、場所をカスタマイズした
い場合があります。例:C:\Documents and Settings\<username>\My
Documents。有効な IVE セッション変数の完全なリストについては、617 ページ
の「システム変数とその例」を参照してください。
Terminal Services ページの設定
„
485
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
d.
Connect Devices セクションで、ユーザーがターミナル サービス セッションを
通じてアクセスできるローカル リソースを選択します。
‰
Connect local drivers - ユーザーのローカル ドライブをターミナル サー
バーに接続します。これにより、ターミナル サーバーからローカル クライ
アント ディレクトリにデータをコピーできるようになります。
‰
Connect local printers - ローカル プリンタをターミナル サーバーに接続し
ます。これによりユーザーは、ターミナル サーバーからローカル プリンタ
で情報を印刷できるようになります。
メモ : ターミナル サーバーを通じてローカル リソースを有効にした場合、ユーザーが
それぞれアクセスできるのは自分のローカル リソースだけです。たとえば、ユーザー 1
はユーザー 2 のローカル ディレクトリを表示することはできません。
5.
Save Changes または Save + New をクリックします。
外部サイトからターミナル サービス ブックマークへのリンクの作成
別のサイトからターミナル サービス ブックマークへのリンクを作成するときに、以下の
いずれかのタイプの URL を作成できます。
„
必要なパラメータをすべて含んだ URL - ホスト ポート、ターミナル ウィンドウ パ
ラメータなど、ターミナル サービス プログラムに渡したいパラメータのすべてを含
んだ URL を作成します。URL を作成する場合は、次の構文を使用します。
https://<ive>/dana/term/winlaunchterm.cgi?<param1>=<value1>&<param2>=<
value2>
URL を作成する場合は、表 30 に示すパラメータを使用できます。ブックマークに 1
つまたはそれ以上のパラメータを入れたい場合には、アンパサンド文字 (&) を使用し
て文字列にします。例:
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=yourtermserver.yourdo
main.com&type=Windows&clientPort=1094&serverPort=3389&user=john&passw
ord=abc123&screenSize=fullScreen
„
ターミナル サービス ブックマークへの URL - 483 ページの「Terminal Services
セッションのブックマークの作成」の指示に従って IVE にすでに作成したブック
マークだけをポイントする URL を作成します。URL を作成する場合は、次の構文
を使用します。
https://<ive>/dana/term/winlaunchterm.cgi?bmName=<bookmarkName>
URL 内では、bmname パラメータだけを定義します。
メモ : Terminal Services ブックマークをホストするために IVE を使用する場合、
Users > Roles > ロール名 > Terminal Services > Options ページで User can add
sessions オプションを有効にする必要があります。このオプションを選択しない場合、
ユーザーは外部サイトから Terminal Services ブックマークにリンクできません。
さらに、http の代わりに https プロトコルを使用することをお勧めします。https プロ
トコルを使用しない場合、ユーザーがブックマークを開始すると、安全でないサイトの
警告が表示されます。
486
„ Terminal Services ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 30: Terminal Services ブックマーク パラメータ
パラメータ名
説明と使用できる値
例
host
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTermSe
必須です。Windows または
Metaframe ターミナル サーバーのホ rver
スト名または IP アドレスです。
type
ターミナル サーバーの種類。使用で https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTermSe
きる値には Windows または Citrix が rver&type=Windows
含まれます。
clientPort
ユーザー クライアントが通信を行
うポート。
serverPort
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTermSe
ターミナル サーバーがリスンする
rver&serverPort=3389
ポート。デフォルト値は Windows
では 3389、Citrix では 1494 です。
user
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTermSe
ターミナル サーバーに渡すユー
ザー名。JDoe などの静的なユーザー rver&user=jDoe
名や、<user> または <username> な
どの可変のユーザー名を入力できま
す。
password
ターミナル サーバーに渡すパス
ワード。
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTermSe
rver&user=jDoe&password=<password>
screenSize
ターミナル サービス ウィンドウの
サイズ。使用できる値:
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTermSe
rver&screenSize=fullScreen
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTermSe
rver&clientPort=1094
„ fullScreen
„ 800x600
„ 1024x768
„ 1280x1024
注意 : fullScreen オプションの詳細
については、483 ページの
「Terminal Services セッションの
ブックマークの作成」の注を参照し
てください。
colorDepth
ターミナル サービス ウィンドウの
色深度 ( ビット単位 )。使用できる
値:
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTermSe
rver&colorDepth=32
„ 8
„ 16
„ 32
startApp
起動するアプリケーションの実行
ファイルのパスを指定します。
startDir
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTermSe
ターミナル サーバーがアプリケー
ション用の作業ファイルを格納する rver&startapp=C:\temp
場所を指定します。
connectDrives
ユーザーがローカル ドライブを
ターミナル サーバーに接続できる
かどうかを指定します。使用できる
値:
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTermSe
rver&startApp=C:\Program Files\Microsoft
Office\Office10\WinWord.exe
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTermSe
rver&connectDrives=Yes
„ Yes
„ No
Terminal Services ページの設定
„
487
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 30: Terminal Services ブックマーク パラメータ ( 続き )
パラメータ名
説明と使用できる値
例
connectPrinters
ユーザーがローカル プリンタを
ターミナル サーバーに接続できる
かどうかを指定します。使用できる
値:
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTermSe
rver&connectPrinters=Yes
„ Yes
„ No
Options タブ
ユーザーが自分でターミナル サービス ブックマークを作成したり、IVE を設定してター
ミナル サービス ブックマークに指定されたサーバーへのアクセスを許可する Terminal
Services リソース ポリシーを作成したり、ターミナル サービス ブックマークに指定され
たサーバーへのアクセスを許可できるようにするには、Terminal Services > Options タ
ブを使用します。
一般的な Terminal Services オプションの指定
一般的な Terminal Services オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > Terminal Services > Options を選
択します。
2.
Citrix を有効にしている場合、Citrix client delivery method で、IVE がユーザーのシ
ステムにダウンロードする ICA クライアントの取得先を指定します。
„
Downloaded from the Citrix web site - IVE は次の Citrix Web サイトから最新
バージョンの ICA クライアントをインストールします。
http://download2.citrix.com/files/en/products/client/ica/current/wficac.cab
„
488
„ Terminal Services ページの設定
Downloaded from the IVE - Browse ボタンを使用して、ローカル ネットワーク
で ICA クライアントにブラウズします。クライアントを一度アップロードする
と、IVE はそれをデフォルトとして使用し、必要に応じてユーザーのシステムに
ダウンロードします。さらに、ICA クライアントの正確なバージョン番号を指定
する必要があります。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Downloaded from the URL - IVE は、指定された Web サイトから希望する ICA
クライアントをインストールします。さらに、ICA クライアントの正確なバー
ジョン番号を指定する必要もあります。
メモ :
„
IVE は、ユーザーのマシンに他の ICA クライアントがインストールされていない場
合のみ、ICA クライアントをダウンロードします。
„
また、Citrix Web サイトまたは URL から ICA クライアントをダウンロードする選択
をした場合、IVE は、IVE Content Intermediation Engine を通して URL を処理し、
ダウンロード処理を安全に行います。したがって、IVE がアクセス可能で、ロール
内のユーザーが利用できるサイトを選択する必要があります。
„
ICA クライアントのバージョン番号を判定するには、cab ファイル ( 例、wficat.cab)
を抽出し、アーカイブの inf ファイル ( 例、wficat.inf) を探し、inf ファイルの各 ocx
に関する情報を見つけます。たとえば、wficat.inf (wficat.cab 内 ) には以下のような
情報が記載されています。
[wfica.ocx]
file-win32-x86=thiscab
clsid={238F6F83-B8B4-11CF-8771-00A024541EE3}
FileVersion=8,00,24737,0
[wfica32.exe]
file-win32-x86=thiscab
FileVersion=8,00,24737,0
この場合、“8,00,23737,0” はファイルのバージョンです。( バージョンにはピリオド
の代わりにコンマが含まれていることに注意してください。
3.
ユーザーが独自のターミナル セッション ブックマークを定義できるようにするには、
User can add sessions を有効にします。このオプションを有効にした場合、次回に
ユーザーが IVE ユーザー コンソールを更新すると、Terminal Services ページに Add
Terminal Services Session ボタンが表示されます。
4.
ターミナル セッション ブックマークに定義されたリソースへのアクセスを自動的に
IVE に許可するには、Auto-allow role Terminal Services sessions を有効にします ( リ
ソース ポリシーを作成するのではなく )。このオプションは、ユーザー ブックマーク
ではなく、ロール ブックマークに適用されます。
5.
Save Changes をクリックします。
Terminal Services ページの設定
„
489
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Meetings ページの設定
Meetings ページには、次のタブがあります。
„
490 ページの「Options タブ」- このタブでは、ミーティングをスケジュールできる
ユーザー ロールの指定、作成したミーティングのセキュリティ レベルの制御、およ
び指定された時間にミーティングで使用するシステム リソースのレベル管理を行い
ます。
„
493 ページの「Auth Servers タブ」- ミーティングに他の IVE ユーザーを招待する際、
どの認証サーバーにミーティングの作成者がアクセスして検索するかを指定するに
は、このタブを使用します。
Options タブ
Options タブでは、ミーティングをスケジュールできるユーザー ロールの指定(164 ペー
ジの「セキュア ミーティングの概要」で説明)や、作成したミーティングのセキュリティ
レベルの制御、およびミーティングで使用するシステム リソースのレベル管理を行いま
す。
ユーザー ロールのミーティング機能の有効化および設定
ミーティングを有効化して設定するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles を選択します。
2.
ロールを選択します。
3.
Secure Meeting をまだ有効にしていない場合、General > Overview タブで、
Meetings チェックボックスをオンにして Save Changes をクリックします。
メモ : Meetings チェックボックスを選択しない場合、ユーザーはミーティングの作成、
ミーティングのスケジュール、または Meetings ページの表示を実行できません。ただ
し、案内 E メールに記載されているリンクをクリックするか、Web ブラウザにミーティ
ング URL を直接入力すると、ユーザーは招待されたミーティングに参加できます。
4.
Meetings > Options タブを選択します。
5.
Meeting Options セクションでは、ユーザーに与えるアクセス レベルを指定します。
6.
„
Allow user to join meetings - このオプションがオンの場合、ミーティングの作
成とスケジュールはできませんが、Meetings ページは表示できます。したがっ
て、招待されたミーティングに参加することが可能です。
„
Allow user to create and join meetings - このオプションがオンの場合、
Meetings ページを通じて、ミーティングの作成やスケジュール、ミーティング
へのアクセスが可能になります。
Authentication Requirements で、ユーザーが作成するミーティングに適用する認証
制限を指定します。
„
490
„ Meetings ページの設定
Meeting password optional ( 操作が簡単 ) - このオプションがオンの場合、ミー
ティングへの参加にパスワードが必要かどうかを決定する権限が、ミーティング
の作成者に与えられます。このオプションを選択した場合、ミーティング URL、
ID 番号、およびパスワード(該当する場合)を知っていれば、IVE のユーザーに
限らず、誰でもミーティングに参加できます。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
7.
„
Require meeting password ( セキュリティを強化 ) - このオプションがオンの場
合、ミーティングの作成者がミーティングのパスワードを作成するか、Secure
Meeting によって生成されたパスワードを使用する必要があります。このオプ
ションを選択した場合、ミーティング URL、ID 番号、およびパスワードを知っ
ていれば、IVE のユーザーに限らず、誰でもミーティングに参加できます。
„
Require server-generated password ( さらにセキュリティを強化 ) - このオプ
ションがオンの場合、ミーティングの作成者は、Secure Meeting によって生成さ
れたパスワードを使用する必要があります。このオプションを選択した場合、
ミーティング URL、ID 番号、およびパスワードを知っていれば、IVE のユー
ザーに限らず、誰でもミーティングに参加できます。
„
Require secure gateway authentication ( 最高のセキュリティ ) - このオプショ
ンがオンの場合、IVE セキュア ゲートウェイについて認証され、招待されたユー
ザーのみがミーティングに参加できます。このオプションを選択した場合、すべ
てのユーザーは IVE セキュア ゲートウェイを通じて認証を受ける必要があるた
め、ミーティングの作成者はパスワードを作成する必要はありません。
Password Distribution で、ミーティングの作成者に使用させたい パスワードの配信
方法を選択します 167 ページの「通知 E メールの送信」で説明 )。
„
Do not display the password in the notification email ( セキュリティを強化 ) -
このオプションをオンにすると、ミーティングの作成者は手動でミーティング
パスワードを招待されたユーザーに配信する必要があります。このオプションを
選択すると、Secure Meeting は招待されたユーザーに送信する自動 E メール通知
でパスワードを配信せず、また、Microsoft Outlook は招待されたユーザーに (
ミーティング パスワードが含まれる ) Secure Meeting タブを表示しません。ミー
ティングの通知 メールと Microsoft Outlook のカレンダーにパスワードを含めな
いので、ミーティングのセキュリティが高くなります。
„
Display the password in the notification email ( 操作が簡単 ) - このオプション
がオンの場合、Secure Meeting から送信される E メール通知でミーティング パ
スワードが自動的に配信され、Microsoft Outlook カレンダーのエントリに
Secure Meeting タブが表示されます。
„
Allow the meeting creator to decide - このオプションをオンにすると、ミー
ティング作成者は、Secure Meeting および Microsoft Outlook が自動的にミー
ティング パスワードを招待されたユーザーに配信するかどうかを決定できます。
メモ : ミーティングの通知メールを送信するには、E メール サーバーを有効にする必要
があります。手順については、554 ページの「Meetings ページの設定」を参照してくだ
さい。
8.
Attendee Names で、ミーティング中に参加者の名前を Secure Meeting で表示させる
かどうかを指定します (170 ページの「ミーティングへの出席」を参照 )。
„
Do not allow hiding of attendee names - このオプションをオンにすると、ミー
ティング参加者の名前を常に表示します。
„
Allow meeting creator to hide attendee names - このオプションをオンにする
と、ミーティング作成者はミーティング参加者の名前を表示するかどうかを決定
できます。
„
Hide attendee names - このオプションをオンにすると、ミーティング参加者
の名前を常に非表示にします。このオプションをオンにすると、Secure Meeting
はミーティングのコンダクタと司会者の名前を他のミーティング参加者に公開し
ます。
Meetings ページの設定
„
491
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
9.
Remote Control で、ミーティングの司会者にデスクトップとアプリケーションのコ
ントロールを他のミーティング参加者と共有させるかどうか指定します (170 ページ
の「ミーティングの管理」で説明 )。
„
Allow remote control of shared windows ( 便利な機能 ) - このオプションがオン
の場合、ミーティングの司会者またはコンダクタは、司会者のデスクトップおよ
びデスクトップ アプリケーションの制御権を、IVE のユーザーでない者を含む任
意のミーティング参加者に渡すことができます。
„
Disable remote control ( セキュリティを強化 ) - このオプションがオンの場合、
ミーティング司会者のデスクトップおよびデスクトップ アプリケーションの制
御権は司会者のみに与えられます。
10. Secure Chat で、ミーティング中にユーザーがチャットできるかどうかを指定し
ます。
„
Allow secure chat ( 便利な機能 ) - このオプションがオンの場合、このロールに
割り当てられたユーザーが作成したミーティングでチャットができるようになり
ます。
„
Disable secure chat ( セキュリティを強化 ) - このオプションを選択すると、こ
のロールに割り当てられたユーザーが作成したミーティングでチャットができな
いようになります。
メモ : ミーティングの進行中に(つまり、ユーザーが一人でもミーティングに参加した
後)この設定を変更する場合、Secure Meeting は進行中のミーティングにはこの設定変
更を適用しません。
11. Secure Meeting for Outlook で、ユーザーが Microsoft Outlook から Secure Meeting を
スケジュールできるようにするには、Allow users to download Secure Meeting for
Outlook Plugin チェックボックスを選択します (165 ページの「ミーティングのスケ
ジュール」で説明 )。
12. Meeting Policy Settings で、Secure Meeting ユーザーによって使用されるリソースを
制限するかどうかを指定します。
„
Limit number of simultaneous meetings - ロールのメンバーが開催できるミー
ティングの最大数を指定するには、このチェックボックスをオンにして、対応す
る値を入力します。
„
Limit number of simultaneous meeting attendees - ロールのメンバーが予定を
立てたミーティングに同時に参加できる最大人数を指定するには、このチェック
ボックスをオンにして、対応する値を入力します。
„
Limit duration of meetings (minutes) - ミーティングの最長継続時間 ( 分単位 )
を指定するには、このチェックボックスをオンにして対応する値を入力します。
メモ : IVE はユーザーが出席できるミーティングの数も制限します。各ユーザーが 1 台
のコンピュータから 1 度に参加できるミーティングは 1 つだけです。また、3 分間に 10
を超えるミーティングに連続して参加することはできません。これらの制限は、Secure
Meeting のライセンスによって決められたミーティングとユーザーの制限に加えて適用
されます。
13. Save Changes をクリックします。により、指定されたロールのユーザーのセキュア
ゲートウェイ ホームページに Meeting リンクが追加されます。
492
„ Meetings ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Auth Servers タブ
ミーティングに他の IVE ユーザーを招待する際、どの認証サーバーにミーティングの作成
者がアクセスして検索するかを指定するには、Auth Servers タブを使用します。Web コン
ソールの Signing In > AAA Servers ページを通して、有効にした認証サーバーにユーザー
がアクセスして検索することを許可できます。
Web コンソールの Auth Servers タブでサーバーを有効にすると、Secure Meeting は、
ミーティング作成者の Add Invitees ダイアログ ボックスに以下のタブを表示します。
„
Local - Local タブを使用すると、ミーティング作成者は有効化された任意の認証
サーバー(LDAP サーバーを含む)のユーザーにアクセスし、検索することができま
す。ミーティング作成者は、ローカルの IVE 認証サーバーを介して管理される全ユー
ザー、およびその他のタイプの認証サーバーによって管理され IVE のメモリでキャッ
シュされる全ユーザーにアクセスして検索できます。ミーティングの作成者は非 IVE
サーバーのデータベースに含まれていても IVE にサインインしておらず、また継続的
なデータ(ユーザー ブックマークあるいはパスワードの変更など)を作成していな
いユーザーを表示したり、検索したりすることはできません。
„
LDAP - Web コンソールの Auth Servers タブから LDAP サーバーを有効化すると、
Secure Meeting は Add Invitees ダイアログ ボックスに LDAP タブを表示します。ミー
ティング作成者はこのタブを使用して、IVE のメモリにキャッシュされているユー
ザーだけではなく、有効化された LDAP サーバー内の全ユーザーにアクセスし、検索
することができます。ミーティング作成者が LDAP タブによりユーザーを追加する
と、セキュアミーティングも LDAP サーバーで定義された E メールの属性を利用して
招待者の E メール アドレスを通知メールに配置できます。
ローカルの LDAP ユーザーを追加する場合、ミーティングの作成者がサーバーにアクセス
して検索できる権利を持つかどうかは、Web コンソールの Auth Servers タブのオプショ
ンをどのように指定したかによります。このタブには、各認証サーバーへのアクセスを制
御する場合に使用する 2 つのオプションが含まれています。
„
Access - このオプションを選択すると、ミーティングの作成者は対応する認証サー
バーのユーザーを追加および検証することができます。このオプションを有効にする
と、Secure Meeting は、ミーティングの作成者がこのサーバーから追加するユーザー
を検証します。ミーティングの作成者がサーバーに存在しないユーザーの名前を入力
すると、ミーティングの設定を終えたときにセキュア ミーティングから警告が表示
され、参加者リストから無効なユーザーが削除されます。このオプションを無効にし
た場合、ミーティングの作成者がこのサーバーで認証されたユーザーをミーティング
に招待するには、IVE ユーザー名の代わりに E メール アドレスを使用しなければな
りません。これにより、Secure Meeting は指定されたユーザーを、非 IVE 招待者とし
て処理します。
„
Search - このオプションを選択すると、ミーティングの作成者は対応する認証サー
バーのユーザー エントリを検索できます。このオプションを選択すると、セキュア
ミーティングはこのミーティング作成者が指定した検索条件に一致する全ユーザーに
関する情報を表示します。このオプションを無効にした場合、ミーティングの作成者
はミーティングに招待する IVE ユーザーのユーザー名と認証サーバーを知る必要があ
ります。
メモ : LDAP サーバーを有効にすると、この情報が検索できることに留意してください。
また、Signing In > AAA Servers > [LDAP Server] > Meetings タブのオプションを使用
して、ミーティング作成者が LDAP データベースを検索したときに Secure Meeting によ
り表示される個々の LDAP の属性を指定できることにも留意してください。詳細につい
ては、382 ページの「アクティブなユーザー セッションの監視および削除」を参照して
ください。
Meetings ページの設定
„
493
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ミーティング作成者がアクセスおよび検索できるサーバーの指定
ミーティングをスケジュールするときにユーザーがアクセスおよび検索できる認証サー
バーを指定するには、次の操作を実行します。
494
„ Meetings ページの設定
1.
Web コンソールで、Users > Roles を選択します。
2.
ロールを選択します。
3.
Secure Meeting をまだ有効にしていない場合、General > Overview タブで、
Meetings チェックボックスをオンにして Save Changes をクリックします。
4.
Meetings > Auth Servers タブを選択します。
5.
User’s Authentication Server セクションで、このロールのメンバーは現在認証を受
けている認証サーバーにアクセスして検索できるかどうかを指定します。
6.
Authentication Servers セクションで、このロールのメンバーがアクセスして検索で
きる追加の認証サーバーを指定します。
7.
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Network Connect ページの設定
ロールに対して、スプリットトンネル、自動起動オプション、自動アンインストール、お
よび GINA (Graphical Identification and Authentication) オプションを指定するには、
Network Connect タブを使用します。GINA の詳細については、124 ページの「GINA を使
用した Network Connect の自動サインイン」を参照してください。
Network Connect のスプリットトンネル、自動起動、自動アンインストール、および
GINA インストールの各オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > Network Connect を選択します。
2.
Split Tunneling Options で、次のオプションのいずれかを選択します。
„
Disable Split Tunneling - クライアントからのネットワーク トラフィックはす
べて Network Connect トンネル経由で送信されます。Network Connect と IVE と
の接続が確立されると、IVE はスプリットトンネルを起こす可能性のある事前定
義されたローカル サブネットとホスト間のルートをすべて削除します。Network
Connect のアクティブ セッション中にローカル ルート テーブルに変更が加えら
れると、IVE によってそのセッションは中断されます。
„
Allow access to local subnet - IVE はクライアントのローカル サブネット ルー
トを保持するので、プリンタなどのローカル リソースへのアクセスは維持され
ます。ローカル ルート テーブルは Network Connect セッション中に変更される
可能性があります。
„
Enable Split Tunneling - このオプションでは、スプリットトンネルがアクティ
ブになり、562 ページの「Network Connect スプリットトンネル ネットワーク
リソース ポリシーの作成」の説明に従って、IVE がリモート クライアントと企業
イントラネット間で渡されたトラフィックを処理するネットワーク IP アドレス /
ネットマスクの組み合わせを指定する必要があります。
スプリット トンネルが使用されると、Network Connect はクライアントでルー
ティングを修正し、企業イントラネット ネットワーク用のトラフィックは
Network Connect に向かい、その他すべてのトラフィックはローカルの物理アダ
プタを経由するようにします。IVE はまず、物理アダプタ経由で送信されたすべ
ての DNS リクエストの解決を試みてから、送信できなかったリクエストをネッ
トワーク コネクト アダプタにルーティングします。
„
3.
Enable Split Tunneling with route change monitor - Network Connect セッショ
ンが開始した後でローカル ルート テーブルが変更されると、セッションは終了
します。このオプションをオンにすると、プリンタなどのローカル リソースへの
アクセスは維持されます。
Auto Launch and Upgrade Options で、以下のいずれかまたは両方を有効または無効
にします。
„
Auto-launch Network Connect - このオプションは、認証されたユーザーが
Network Connect セッションを有効にするよう設定された 1 つまたは複数のロー
ルにマップされている場合に、Network Connect を自動的に起動します。
„
Auto-upgrade Network Connect -このオプションは、認証されたユーザーが、
クライアントのソフトウェアよりも新しいバージョンのソフトウェアを実行する
IVE を介して接続を試みる場合に、自動的に Network Connect をアップグレード
します。
Network Connect ページの設定
„
495
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
Auto Uninstall Options で、ユーザーが Network Connect セッションからサインアウ
トしたときに Network Connect をリモート クライアントからアンインストールする
かどうかを指定します。
5.
GINA Options で、ロールの GINA インストールを有効にするかどうかを指定し、以
下のオプションのいずれかを選択して GINA のサインイン動作を指定します。
6.
496
„ Network Connect ページの設定
„
Require NC to start when logging into Windows - GINA がインストールされる
と、このオプションにより、Windows ユーザーがサインインするたびに、
Network Connect サインイン機能を自動的に起動します。
„
Allow user to decide whether to start NC when logging into Windows - GINA が
インストールされると、このオプションにより、ユーザーは GINA のインストー
ル後に Network Connect を起動するかどうかを、Windows の起動時に選択でき
ます。
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
New User ページの設定
ローカル ユーザーの作成
認証サーバのタイプとして “IVE Authentication” を選択した場合は、そのデータベース
にローカル ユーザ レコードを定義する必要があります。ローカル ユーザー レコード
は、ユーザー名、ユーザーの氏名、ユーザーのパスワードで構成されています。通常
は外部の認証サーバーでユーザー認証を行いますが、この外部の認証サーバーを無効
にすることがある場合や、一時的なユーザーのグループを作成する場合は、ローカル
ユーザー レコードを作成します。
IVE ローカル認証のためにローカル ユーザー レコードを作成するには、次の操作を実行
します。
1.
2.
Web コンソールで、次のいずれかを実行します。
„
Signing In > AAA Servers を選択して、ユーザー アカウントを追加する IVE デー
タベースをクリックします。それから、Users タブを選択して、New をクリック
します。
„
Users > New User を選択します。
ユーザー名、ユーザーの氏名、ユーザーのパスワードを入力します。注意 :
„
ユーザー名に “~~” は使えません。
„
アカウントの作成後にユーザー名を変更する場合、新規アカウントを作成する必
要があります。
3.
(Users > New User ページのみ)Authenticate Using リストから、ユーザー アカウン
トを追加したい IVE データベースを選択します。
4.
Save Changes をクリックします。ユーザー レコードが IVE データベースに追加され
ます。
New User ページの設定
„
497
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
498
„ New User ページの設定
第 11 章
リソース ポリシー設定
Web コンソールの Resource Policies セクションにある設定を使用すると、個々のリソー
ス ポリシーの作成と設定が行えます。
目次
„
501 ページの「リソース ポリシーのリソースの指定」
„
503 ページの「詳細規則の記述」
„
505 ページの「Web ページの設定」
„
538 ページの「Files ページの設定」
„
546 ページの「SAM ページの設定」
„
549 ページの「Telnet/SSH ページの設定」
„
552 ページの「Terminal Services Policies ページの設定」
„
556 ページの「Network Connect ページの設定」
„
554 ページの「Meetings ページの設定」
„
565 ページの「Email Client ページの設定」
„
499
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
500
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
リソース ポリシーのリソースの指定
リソース ポリシーを評価する IVE プラットフォームのエンジンでは、ポリシーの
Resources リストに表示されるリソースが正式フォーマットに従っている必要がありま
す。ここでは、Web、ファイル、およびサーバー リソースの指定に使用できる正式
フォーマットについて説明します。ユーザーが特定のリソースにアクセスしようとする
と、IVE アプライアンスは、要求されたリソースと対応するポリシーに指定されている
リソースを比較します。これは、ポリシー リストの最初のポリシーから順に行われま
す。要求されたリソースとポリシーの Resources リストに指定されているリソースが一
致すると、さらに詳細にポリシーの制約が評価され、適切なアクションがアプライアン
スに返されます ( それ以上、ポリシーの評価は行われません )。ポリシーが適用されない
場合、アプライアンスは自動許可ブックマーク ( 定義されている場合 ) を評価します。
それ以外の場合は、ポリシーのデフォルト アクションが返されます。
正式フォーマットについての一般的注意事項
パス コンポーネントの最後がスラッシュ _ アスタリスク(/*)の場合、リーフ ノー
ドとその下のノードすべてと一致します。パス コンポーネントの最後がスラッシュ _
パーセント(/%)の場合、リーフ ノードとその 1 つ下のレベルのノードのみと一致
します。例:
„
„
/intranet/* は次のものと一致します。
/intranet
/intranet/home.html
/intranet/elee/public/index.html
„
/intranet/% は次のものと一致します。
/intranet
/intranet/home.html
しかし、/intranet/elee/public/index.html とは一致しません。
リソースのホスト名と IP アドレスは、ポリシー エンジンに同時に渡されます。ポリ
シーの Resources リストにあるサーバーが IP アドレスで指定されている場合は、評
価は IP アドレスに基づいて行われます。それ以外の場合は、2 つのホスト名を一致さ
せます。つまり、IP を特定するための DNS 逆引き参照は実行されません。
„
„
ポリシーの Resources リストにあるホスト名が、“intranet.juniper.net”ではなく、
“juniper”のように完全修飾名で表示されていない場合は、その表示のまま評価が実
行されます。ホスト名の詳細な修飾部分は評価されません。
サーバー リソースの指定
Telnet/SSH、Terminal Services、または Network Connect のリソース ポリシーにサーバー
リソースを指定する場合は、次のガイドラインに注意してください。
正式フォーマット: [protocol://]host[:ports]
以下の 3 つのコンポーネントがあります。
„
Protocol ( オプション ) - 可能な大文字と小文字を区別しない値:
„
tcp
リソース ポリシーのリソースの指定
„
501
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
udp
„
icmp
プロトコルを指定しない場合、3 種類のプロトコルがすべて想定されます。プロトコ
ルを指定する場合、区切り文字「://」を使用する必要があります。特殊文字は使用
できません。
メモ : Network Connect ポリシーにのみ指定できます。セキュア アプリケーション マ
ネージャや Telnet/SSH などのその他のアクセス機能のリソース ポリシーについては、
このコンポーネントの指定は無効です。
„
Host ( 必須 ) - 可能な値:
„
DNS Hostname - 例:www.juniper.com
以下の特殊文字を使用できます。
表 31: DNS ホスト名の特殊文字
*
すべての文字と一致
%
ドット(.)以外の任意の文字と一致
?
正確に 1 文字と一致
„
IP address/Netmask - IP アドレスは次の形式に従う必要があります:a.b.c.d
ネットマスクは以下の 2 つのどちらかの形式で指定できます。
‰
接頭辞:先頭からのビット数
‰
IP: a.b.c.d
例:10.11.149.2/24 または 10.11.149.2/255.255.255.0
特殊文字は使用できません。
„
Ports ( オプション ) - 可能な値:
表 32: ポートで使用できる値
*
すべてのポートに一致、その他の特殊文字は使用不可
port[,port]*
カンマで区切れらた単一ポートのリスト。有効なポート番号は
[1 ~ 65535] です。
[port1]-[port2]
ポート 1 からポート 2 を含むポートの範囲
メモ : 80,443,8080-8090 などのように、ポート リストおよびポート範囲を一緒に使用
することができます。
502
„ リソース ポリシーのリソースの指定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ポートがない場合は、https には 80、 https には 443 のデフォルト ポートが割り当
てられます。ポートを指定する場合、区切り文字 “://” を使用する必要があります。
例:
<username>.danastreet.net:5901-5910
10.10.149.149:22,23
tcp://10.11.0.10:80
udp://10.11.0.10:*
詳細規則の記述
詳細規則により、既存のリソース情報および権限情報を利用したより柔軟なリソース ア
クセス コントロールが可能になり、基本リソース ポリシーを適用する別々のユーザーに
異なる要件を効率的に指定できるようになります。詳細については、64 ページの「リ
ソース ポリシー詳細規則」を参照してください。
リソース ポリシーに詳細規則を記述するには、次の操作を実行します。
1.
リソース ポリシーの New Policy ページで、必要なリソースとロール情報を入力
します。
2.
Action セクションで、Use Detailed Rules を選択し、Save Changes をクリックし
ます。
3.
Detailed Rules タブで、New Rule をクリックします。
4.
Detailed Rule ページで、以下を実行します。
a.
ユーザーの要求が Resource リストのリソースと一致する場合は、Action セク
ションで、実行するアクションを設定します(オプション)。デフォルトでは、
General タブで指定したアクションが継承されます。
b.
Resources セクションで、次のいずれかを指定します(必須)。
c.
d.
‰
General タブで指定されているリソースと完全に一致または部分的に一致す
るリソース リスト。
‰
General タブで指定されているサーバーの特定のパスまたはファイル(適切
な場合はワイルドカードを使用)。Resources リスト内でのワイルドカード
の使用方法については、該当するリソース ポリシーのドキュメントを参照
してください。
‰
適切なパスとその後に続くファイル タイプ、または General タブで指定さ
れているサーバーの任意のパス内で指定拡張子を使用するファイルを示す、
*/*.file_extension を指定。
Conditions セクションで、アクションを実行するために評価する以下のいずれ
かの式を必要な数だけ指定します(オプション)。
‰
ブール演算式:システム変数を使用し、NOT、OR、AND 演算子を使用した
任意の数のブール演算式を記述します。リソース ポリシーで利用可能な変数
のリストについては、617 ページの「システム変数とその例」を参照してく
ださい。
‰
カスタム式:カスタム エクスプレッションの構文を使用し、任意の数のカ
スタム式を記述します。構文および変数の詳細は、613 ページの「カスタム
エクスプレッションの記述」を参照してください。カスタム エクスプレッ
ションは、アドバンスト ライセンスの場合のみ利用可能です。
Save Changes をクリックします。
リソース ポリシーのリソースの指定
„
503
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
504
Detailed Rules タブで、で評価する順序のとおりに規則を指定します。IVE ユーザか
ら要求されたリソースが Resource リストのリソースと一致すると、IVE は指定され
ているアクションを実行し、処理中の規則(およびその他のリソース ポリシー)を
停止することに注意してください。
„ リソース ポリシーのリソースの指定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Web ページの設定
Resource Policies > Web ページには、次のタブがあります。
„
507 ページの「Access タブ」- インターネット、イントラネット、またはエクストラ
ネットに接続するためにユーザーがアクセスできる Web リソースを指定する Web リ
ソース ポリシーを作成するには、Access タブを使用します。
„
508 ページの「Caching タブ」- Caching タブを使用して、Web Access リソース ポリ
シーを作成し、一般的なキャッシュのオプションを指定します。
„
512 ページの「Java タブ」- Java タブを使用して Java アプレットがどのサーバーおよ
びポートと接続できるかを制御するリソース ポリシーを作成し、IVE が Java アプ
レットを再書き込みする方法を指定します。
„
516 ページの「Rewriting タブ」- Rewriting タブを使用して、選択的な再書き込みリ
ソース ポリシー、パススルー プロキシ リソース ポリシー、および ActiveX パラメー
タ再書き込みリソース ポリシーを作成します。
„
523 ページの「Remote SSO タブ」- Remote SSO タブを使用して、Remote SSO Form
POST リソース ポリシーとヘッダー / クッキー リソース ポリシーを作成します。
„
526 ページの「SAML タブ」- SAML タブを使用して、SAML SSO アーティファクトお
よびリソース ポリシーを作成し、SAML POST プロファイル リソース ポリシーを作
成し、アクセス コントロール トランザクションを有効にします。
„
533 ページの「Web Proxy タブ」- Web Proxy タブを使用して、Web proxy リソース
ポリシーを作成し、Web proxy サーバーを指定します。
„
535 ページの「Launch JSAM タブ」- Launch JSAM タブを使用して、Launch J-SAM リ
ソース ポリシーを作成します。
„
536 ページの「Compression タブ」- Compression タブを使用して、Web 圧縮リソー
ス ポリシーを作成します。
„
537 ページの「Options タブ」- Options タブを使用して、説明されているように
Web リソース オプションを指定します。
Web プロキシ リソース ポリシーの作成
ロールに対して Web アクセス機能を有効にする場合は、ユーザーにどのリソースへのア
クセスを許可するか、ユーザーから要求されたコンテンツを IVE が書き直す必要があるか
どうかに加え、キャッシングやアプレット、シングル サインオンの要件を指定するリ
ソース ポリシーを作成する必要があります。IVE は Web 要求ごとに、まず設定された書
き直しポリシーを評価します1。選択された再書き込みまたはデータ転送プロキシ リソー
ス ポリシーにより、「再書き込みしない」と指定されたリソースが要求された場合、IVE
はユーザー要求を適切なバックエンド リソースに転送します。それ以外の場合、IVE は
Java アプレットのフェッチを要求する Java リソース ポリシーなど、要求に対応するリ
ソース ポリシーを評価します。は、ユーザーの要求を該当するポリシーにリストアップさ
れたリソースと照合した後、そのリソースに指定されたアクションを実行します。
Web リソース ポリシーを作成するとき、以下の情報を入力する必要があります。
1.「再書き込み」リソース ポリシーを設定しない場合、 IVE はユーザ要求に適用するポリシーを使用して評価プロセ
スを続行します。
Web ページの設定
„
505
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Resources - リソース ポリシーでは、ポリシーを適用する 1 つ以上のリソースを指
定する必要があります。Web ポリシーの作成時には、以下のセクションで説明されて
いるように、Web サーバーまたは特定の URL を指定する必要があります。
„
Roles - リソース ポリシーでは、適用対象となるロールを指定する必要があります。
ユーザーから要求があると、IVE はそのロールに適用されるポリシーを決めて、要求
に対応するポリシーを評価します。
„
Actions - 各タイプのリソース ポリシーは、リソースを許可または拒否するかどう
か、コンテンツの書き換え、アプレットの再署名、Web データの投稿など、特定の
機能を実行するかどうかといった、特定のアクションを実行します。ユーザー要求に
対してさらに条件を適用する詳細な規則を作成することもできます。503 ページの
「詳細規則の記述」を参照してください。
IVE プラットフォームのエンジンが、リソース ポリシーを評価する際に、ポリシーの
Resources リスト内に表示されるリソースは、501 ページの「リソース ポリシーのリソー
スの指定」で説明されているように、標準書式に従っていなければなりません。
このセクションでは、正式フォーマットを使用して Web リソースを指定するときに考慮
すべき点について概説します。
正式フォーマット:
[protocol://]host[:ports][/path]
以下の 4 つのコンポーネントがあります。
„
Protocol(オプション)- 使用できる値 : http および https(大文字と小文字が区別さ
れます)
プロトコルを指定しない場合、http および https の両方が想定されます。プロトコル
を指定する場合、区切り文字 “://” を使用する必要があります。特殊文字は使用でき
ません。
„
Host(必須)- 使用できる値 :
„
DNS Hostname - 例:www.juniper.com
使用できる特殊文字については以下の表で説明しています。
表 33: DNS ホスト名の特殊文字
*
すべての文字と一致
%
ドット(.)以外の任意の文字と一致
?
正確に 1 文字と一致
„
IP address/Netmask - IP アドレスは、a.b.c.d のように指定する必要があり
ます。
ネットマスクは以下の 2 つの内、どちらかの形式で指定できます。
‰
接頭辞:先頭からのビット数
‰
IP: a.b.c.d
例:10.11.149.2/24 または 10.11.149.2/255.255.255.0
特殊文字は使用できません。
506
„ Web ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Ports - IP/ ネットマスクをリソースとして指定する場合に、ポートを指定する必要が
あります。DNS ホスト名を指定する場合は、ポートはオプションです。ポートを指定
する場合、区切り文字 “:” を使用する必要があります。例:
10.11.149.2/255.255.255.0:*
表 34: ポートで使用できる値
*
すべてのポートに一致、その他の特殊文字は使用不可
port[,port]*
カンマで区切れらた単一ポートのリスト。有効なポート番号は
[1 ~ 65535] です。
[port1]-[port2]
ポート 1 からポート 2 を含むポートの範囲
メモ : 80,443,8080-8090 などのように、ポート リストおよびポート範囲を一緒に使
用することができます。
ポートがない場合は、http には 80、https には 443 のデフォルト ポートが割り当て
られます。
„
Path ( オプション ) - パスを指定されていない場合、アスタリスク (*) が想定され、す
べてのパスが一致します。パスを指定する場合、区切り文字 “/” を使用する必要があ
ります。その他の特殊文字はサポートされません。例:
„
http://www.juniper.com:80/*
„
https://www.juniper.com:443/intranet/*
„
*.yahoo.com:80,443/*
„
%.danastreet.net:80/share/users/<username>/*
Access タブ
インターネット、イントラネット、またはエクストラネットに接続するためにユーザーが
どの Web リソースにアクセスできるかを制御する Web リソース ポリシーを作成するに
は、Access タブを使用します。Web リソースへのアクセスは、URL または IP アドレスの
範囲を指定して拒否または許可できます。URL の場合、“*” や “?” などのワイルドカード
を使って複数のホスト名やパスを効率的に指定できます。ホスト名でリソースを指定する
場合も、HTTP や HTTPS、またはその両方のプロトコルを選択できます。
Web Access リソース ポリシーの作成
Web Access リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Access を選択します。
2.
Web Access Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
Web ページの設定
„
507
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、537 ページの「Web リソース オプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
6.
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Allow access - Resources リストで指定したリソースへのアクセスを許可し
ます。
„
Deny access- Resources リストで指定したリソースへのアクセスを拒否します。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Web Access Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま
す。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細規則 ) の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Web リソース ポリシーの例については、505 ページの「Web プロキシ リソース ポリシー
の作成」の図を参照してください。
Caching タブ
Caching タブを使用して、Web Access リソース ポリシーを作成し、一般的なキャッシュ
のオプションを指定します。
Policies タブ
Caching > Policies タブを使用して、Web リソース ポリシーを作成します。これにより、
どの Web コンテンツをユーザーのマシンにキャッシュするかを制御します。デフォルト
では、ブラウザのキャッシングは無効に設定されます。この場合、IVE は、リモート ユー
ザーに送信されるすべてのページをキャッシング不可とマークします。この設定により、
ユーザーがブラウザを終了した後に機密情報が含まれたページがリモート マシンに残る
のを防止できます。このオプションを有効にすると、コンテンツを何度もフェッチする必
要があるため、ブラウジングが遅くなり、通信速度の低い接続回線を使用している場合に
はパフォーマンスの問題が生じる場合があります。もう 1 つの方法として、指定したサイ
ズの上限を超えないイメージなど、特定の種類のコンテンツのみをキャッシュに格納する
ようなポリシーを指定することもできます。
508
„ Web ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
このセクションには、キャッシング ポリシーについての次の情報があります。
„
509 ページの「Web Caching リソース ポリシーの作成」
„
511 ページの「OWA および Lotus Notes キャッシング リソース ポリシーの作成」
Web Caching リソース ポリシーの作成
Web Caching リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Caching > Policies を選択します。
2.
Web Caching Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
4.
5.
6.
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、503 ページの「詳細規則の記述」を参照してください。IP アドレスまたは大
文字、小文字の区別によるリソースの照合を行う方法については、537 ページの
「Web リソース オプションの指定」を参照してください。
Roles セクションで、以下を指定します。
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action で、次のオプションのいずれかを選択します。
„
Smart Caching (send headers appropriate for content and browser) - このオプ
ションを選択すると '81AIVE はユーザーの Web ブラウザおよびコンテンツの種
類に基づいて、cache-control:no-store ヘッダまたは cache-control:no-cache
ヘッダを送信します。
このオプションを選択した場合、メディア ファイルと zip ファイルの発信元の
サーバーの cache-control ヘッダを削除して正しく機能させてください。たとえ
ば、以下のロジックは、cache または cache-control:no-store 応答ヘッダを削除
してファイルをキャッシュ可能にするために、user-agent ヘッダで “msie” また
は “windows-media-player” を検索します。
(if content type has "audio/x-pn-realaudio" OR
if content type begins with "video/" OR
if content type begins with "audio/" OR
if content type is "application/octet-stream" and the file extension begins
with "rm" or "ram"
)
Web ページの設定
„
509
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
user-agent ヘッダに “msie” または “windows-media-player” が含まれ、さらに次
の条件が適合する場合:
‰
Flash、.xls、.pps、.ppt ファイルが要求された場合、
‰
指定された content-type が application/、text/rtf、text/xml、model/ の場合、
または
‰
発信元サーバーから content-disposition ヘッダが送信された場合
この場合、IVE は cache-control:no-store ヘッダを送信し、発信元サーバーの
cache-control ヘッダを削除します。
その他の場合、IVE は pragma:no-cache 応答ヘッダまたは cache-control:nostore 応答ヘッダを追加します。
メモ : Citrix .ica ファイルと QuickPlace ファイルには特殊な処理が適用されます。
Citrix.ica ファイルは常にキャッシング可能で、cache-control-private ヘッダも追加され
ます。QuickPlace ファイルについては指定の規則が優先されますが、規則に適合しない
QuickPlace ファイルには、CCNS および cache-control:private ヘッダが追加されます。
このオプションを選択し、GZIP 圧縮を有効にして、Internet Explorer から Domino Web
Access 6.5 を使用してテキスト添付ファイルにアクセスしようとしても、添付ファイル
を開くことはできません。テキスト添付ファイルを有効にするには、Internet Explorer
323308 パッチをインストールするか、Don't Cache (send “Cache Control: No Store”)
オプションを有効にします。
„
Don't Cache (send “Cache Control: No Store”) - このオプションを選択して、添
付ファイルをディスクに保存せずに Internet Explorer に配信します ( ブラウザは
一時的にファイルをディスクに書き込みますが、ブラウザでファイルを開くとす
ぐに削除します ) 。このオプションを選択すると、IVE は、ブラウザから送信さ
れた user-agent 文字列に “msie” または “windows-media-player” が含まれている
場合には、発信元サーバーのキャッシュ管理ヘッダを削除し、cache-control:nostore 応答ヘッダを追加します。
„
Don't Cache (send “Pragma:No Cache”) - このオプションを選択すると、ユー
ザーのブラウザがファイルをディスクにキャッシングするのを防ぎます。このオ
プションを選択すると、IVE によって標準 HTTP pragma:no-cache ヘッダと
cache-control:no-cache (CCNC) ヘッダ (HTTP 1.1) が応答ファイルに追加されま
す。また、age や date、etag、last-modified、expires などの発信元サーバーの
キャッシング ヘッダは転送されません。
メモ : 多くの種類の添付ファイル (PDF、PPT、ストリーミング ファイル ) 用の nocache ヘッダを送信すると、Internet Explorer はドキュメントをレンダリングしないよ
うにさせます。これは、レンダリングするためにブラウザがこれらのドキュメントを
キャッシュに一時的に書き込む必要があるからです。
7.
510
„ Web ページの設定
„
Cache (do not add/modify caching headers) - IVE は、pragma:no-cache 応答
ヘッダまたは cache-control:no-store 応答ヘッダを追加せずに、発信元サーバー
のキャッシング ヘッダを転送します。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
8.
Web Caching Policies ページで、IVE での評価方法に応じてポリシーに順序を設定し
ます。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細規則 ) の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Web リソース ポリシーの例については、505 ページの「Web プロキシ リソース ポリシー
の作成」の図を参照してください。
OWA および Lotus Notes キャッシング リソース ポリシーの作成
次の表に、IVE が OWA および iNotes アプリケーションでサポートするいくつかのコンテ
ンツ タイプの例を示します。さらに、指定したコンテンツ タイプを開いたり保存するた
めに実装する必要があるキャッシュ管理ディレクティブを示します。
パフォーマンス上の理由から、iNotes ディレクトリ内のすべてにキャッシュ ポリシーを
作成することをお勧めします。
表 35: OWA キャッシング リソース ポリシー
添付ファイルのタイプ
添付ファイルを
開くために使用 :
添付ファイルを
保存するために使用 :
zip
Smart caching
Smart caching
ppt
Smart caching
Smart caching
doc
Smart caching
Smart caching
xls
Smart caching
Smart caching
pdf
Smart caching
Smart caching
txt
Smart caching
Cache control: No store
html
Smart caching
Cache control: No store
表 36: iNotes キャッシング リソース ポリシー
添付ファイルのタイプ
添付ファイルを
開くために使用 :
添付ファイルを
保存するために使用 :
zip
Cache control: No store
Cache control: No store
ppt
Cache control: No store
Cache control: No store
doc
Smart caching
Smart caching
xls
Cache control: No store
Cache control: No store
pdf
Cache control: No store
Cache control: No store
txt
Cache control: No store
Cache control: No store
html
Cache control: No store
Cache control: No store
その他のファイル
タイプ
Cache control: No store
Cache control: No store
Web ページの設定
„
511
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Options タブ
Caching > Options タブを使用して、クライアント上のキャッシュに格納されるイメージ
ファイルの最大サイズを指定します。発信元サーバーから送られた content-type ヘッダが
“image/” で始まり、content-length ヘッダに指定されたサイズがこのオプションに設定さ
れた最大サイズを超えない場合、IVE は発信元サーバーのキャッシング ヘッダを転送しま
す。規則に適合しない場合、その要求はキャッシング不可と同様に扱われます。一般的な
キャッシング オプションの指定
一般的なキャッシング オプションの指定
キャッシング オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Caching > Options を選択します。
2.
Caching Options ページで、Clients should cache all images less than フィールド に
許可する最大イメージ サイズを指定します。
3.
Save Changes をクリックします。
Java タブ
Java タブを使用して、Java アプレットがどのサーバーおよびポートと接続できるかを制
御するリソース ポリシーを作成し、IVE が Java アプレットを書き直す方法を指定します。
Java タブを使用して、IVE に Java アプレットをアップロードすることもできます。
アクセス コントロール
Java > Access Control タブを使用して、Java アプレットが接続できるサーバーとポート
をコントロールする Web リソース ポリシーを作成します。
Java Access Control リソース ポリシーの作成
Java Access Control リソース ポリシーを作成するには、次の操作を実行します。
512
„ Web ページの設定
1.
Web コンソールで、Resource Policies > Web > Java > Access Control を選択しま
す。
2.
Java Access Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、537 ページの「Web リソース オプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
6.
Policy applies to all roles OTHER THAN those selected below - Selected roles
リストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Allow socket access - Java アプレットが Resources リストのサーバー(および
オプションのポート)に接続できるようにします。
„
Deny socket access - Java アプレットが Resources リストのサーバー(およびオ
プションのポート)に接続することを防ぎます。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Java Access Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま
す。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細規則 ) の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Web リソース ポリシーの例については、505 ページの「Web プロキシ リソース ポリシー
の作成」を参照してください。
Code Signing タブ
Java > Code Signing タブを使用して、IVE が Java アプレットを書き直す方法を指定する
Web リソース ポリシーを作成します。デフォルトでは、署名付き Java アプレットを仲介
する場合、IVE は標準のルート証明書にチェーンされていない IVE 自身の証明書でアプ
レットの署名を書き直します。ユーザーがネットワーク サーバーへのアクセスなどの危険
度の高いタスクの実行を要求すると、ルートがトラステッドルートではない、というセ
キュリティ警告がユーザーのブラウザに表示されます。このような警告が表示されないよ
うにするには、IVE が仲介するアプレットの署名書き換えに使用するコード署名証明書を
インポートします。コード署名証明書の詳細については、75 ページの「コード署名証明
書」を参照してください。
Java > Code Signing タブで設定するときに、アプレットの送信元として信頼するサー
バーを Resources フィールドに入力します。サーバーの IP アドレスまたはドメイン名を
入力します。IVE が署名を書き直すのは、トラステッド サーバーから送信されたアプレッ
トのみです。ユーザーがリストにないサーバーからアプレットを要求した場合、IVE はア
プレットの署名にインポートされた証明書を使用しません。この場合、ブラウザにはセ
キュリティ警告が表示されます。Sun JVM ユーザーの場合、IVE は元のアプレット証明書
のルート CA が信頼されるルート証明書認証局のリストに含まれているかどうかも確認し
ます。
Java Code Signing リソース ポリシーの作成
Java Code Signing リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Java > Access Control を選択し
ます。
2.
Java Signing Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
Web ページの設定
„
513
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
b.
ポリシーの説明 ( オプション )
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、537 ページの「Web リソース オプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
6.
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Resign applets using applet certificate - Java アプレットが Resources リストの
サーバー(およびオプションのポート)に接続できるようにします。
„
Resign applets using default certificate - Java アプレットが Resources リストの
サーバー(およびオプションのポート)に接続できないようにします。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Java Signing Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま
す。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細規則 ) の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Web リソース ポリシーの例については、505 ページの「Web プロキシ リソース ポリシー
の作成」の図を参照してください。
Applets
Java > Applets タブを使用して、152 ページの「Java アプレット アップロードの概要」で
説明されているように、Java アプレットを IVE にアップロードします。
メモ : IVE にアップロードできる Java アプレットは 100 MB だけです。IVE は Java
Applets ページで IVE にアップロードされる各アプレットのサイズを表示します。これ
により、必要に応じてどのアプレットを削除するかを決めることができます。
Java アプレットの IVE へのアップロード
Java アプレットを IVE にアップロードするには、以下の操作を実行します。
514
„ Web ページの設定
1.
Web コンソールで、Resource Policies > Web > Java > Applets を選択します。
2.
New Applet をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
New Java Applet ページで、以下を入力します。
a.
この Java アプレットに付ける名前。( 同じ Web ブックマークに追加するアプレッ
トが複数ある場合には、それぞれのアプレットに同じ名前を使用するようお勧め
します。これにより、Users > Roles > [ ロール ] > Web > Bookmarks ページ
で HTML を作成するときに、その名前を 1 つ選択するだけで済みます。
b.
アプレットの説明 ( オプション )。
4.
アプレットの説明 ( オプション )。Upload Applet セクションで、IVE にアップロード
するアプレットをブラウズします。以下の拡張子が付いているアプレットをすべて
アップロードできます。.jar、.cab、.zip、および .class.
5.
IVE にインストールされているコード署名証明書を使用してアプレットを署名し直す
場合には、Trusted Applet チェックボックスを選択します (153 ページの「アップ
ロードする Java アプレットへの署名」を参照 )。
メモ : System > Configuration > Certificates > Code-Signing Certificates ページのオ
プションを使用してアプレット証明書を IVE にインポートしない場合には、IVE はこの
オプションを無効にします。
6.
追加するには、Save Changes または Save + New をクリックします。
7.
以下のアップロード同意書が表示されたら、それをお読みの上で条件を受諾する場合
には OK をクリックします。
あなたは Juniper 社の製品にサードパーティのソフトウェアをロードしようとしてい
ます。これを実行する前に、適用される Juniper 社の製品を購入した ( 装置の購入者
としての ) お客様自身または組織の代理として、以下の条件をお読よみになり、同意
する必要があります。
Juniper 社の製品にサードパーティのソフトウェアを読み込んだ場合、そのようなソ
フトウェアを Juniper 社の製品で、またはそれと一緒に使用、コピー、または配布す
るときに必要なすべての権利を取得する責任を負うことになります。Juniper は、そ
のようなサードパーティのソフトウェアの使用から発生する責任を一切負いません。
またそのようなソフトウェアをサポートしません。サードパーティのソフトウェアの
使用は Juniper 社製品またはソフトウェアの正しい操作を妨げる場合があり、Juniper
社製品またはソフトウェアの保証が無効になる可能性があります。
同意して続行する場合には、OK ボタンをクリックします。
8.
Upload Status ダイアログボックスで詳細をお読みの上、OK をクリックします。
9.
465 ページの「一般的な Web ブラウジング オプションの指定」の説明に従って、
Users > Roles > [ ロール ] > Web > Bookmarks ページで、対応する Web ブック
マークを作成します。
Web ページの設定
„
515
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Rewriting タブ
Rewriting タブを使用して、選択的な再書き込み、データ転送プロキシ、および ActiveX
パラメータの再書き込みリソース ポリシーを作成するか、Juniper Networks Support から
メッセージがあった場合に再書き込みフィルターを追加します。
Selective Rewriting タブ
Rewriting > Selective Rewriting タブを使用して、IVE でコンテンツを仲介するホストの
リストと、このリストの例外を定義できる Web リソース ポリシーを作成します。デフォ
ルトでは、IVE はすべてのユーザー要求を Web ホストに仲介します。これは、セキュア
アプリケーション マネージャなど、別のメカニズムで特定のホストにリクエストを送る
ように IVE を設定していない場合です。
yahoo.com など、企業ネットワークの外にある Web サイトのトラフィックを IVE で仲介
したくない場合、あるいは、Microsoft OWA(Outlook Web Access)など、Web リソース
として配置したクライアント / サーバー アプリケーションに対して、IVE でトラフィック
を仲介したくない場合に、任意の再書き込みポリシーを作成します。任意の再書き込みリ
ソース ポリシーを作成するには、次の操作を実行します。
選択的な再書き込みリソース ポリシーの作成
任意の再書き込みリソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Rewriting > Selective Rewriting を
選択します。
2.
Web Rewriting Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、537 ページの「Web リソース オプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
6.
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
516
„ Web ページの設定
Rewrite content - IVE は、Resources リストで指定したリソースの全 Web コン
テンツを仲介します。新規の IVE アプライアンスには、すべてのロールですべて
のコンテンツを再書き込みする初期書き込みポリシーが付いています。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Don't rewrite content - IVE は、Resources リストで指定したリソースの Web コ
ンテンツを仲介しません。これは、作成するすべての再書き込みリソース ポリ
シーに対するデフォルトのオプションです。このオプションを選択した場合、
IVE が 537 ページの「Options タブ」のオプションを使用して、新しいウィンド
ウで再書き込みしていないページを開くように指定することができます。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Web Rewriting Policies ページで、IVE での評価方法に応じてポリシーに順序を設定
します。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細規則 ) の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Web リソース ポリシーの例については、505 ページの「Web プロキシ リソース ポリシー
の作成」の図を参照してください。
Pass-through Proxy タブ
Rewriting > Pass-through Proxy タブを使用して、IVE が最小限の仲介を実行する Web ア
プリケーションを指定する Web リソース ポリシーを作成します。データ転送プロキシ リ
ソース ポリシーを作成するには、2 つの項目を指定する必要があります。
„
データ転送プロキシで仲介する Web アプリケーション
„
IVE がアプリケーション サーバーへのクライアント リクエストを待ち受けするとき
の方法
この機能の詳細については、157 ページの「データ転送プロキシの概要」を参照してくだ
さい。
データ転送プロキシ リソース ポリシーの作成
データ転送プロキシ リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Rewriting > Pass-through Proxy を
選択します。
2.
Pass-through Proxy Policies ページで、New Application をクリックします。
3.
New Pass-through Application ページで、以下を入力します。
4.
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
URL フィールドで、アプリケーションに内的にアクセスするために使用するアプリ
ケーション サーバー ホスト名およびポートを指定します。このフィールドで URL を
入力することはできません。
Web ページの設定
„
517
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
データ転送プロキシ機能を有効にする方法を指定します。
„
Use virtual hostname - このオプションを指定するには、アプリケーション
サーバの ホスト名の別名を指定します。IVE は、アプリケーション サーバー ホ
スト名の別名に対するクライアント要求を受信すると、URL フィールドに指定
されたアプリケーション サーバー ポートに要求を転送します。
メモ : このオプションを選択した場合、System > Network > Internal Port タブの
Network Identity セクションで IVE 名とホスト名も定義する必要があります。
„
6.
Use IVE port - このオプションを選択した場合、11000 ~ 11099 の範囲にある固
有の IVE ポートを指定します。IVE は、指定した IVE ポートのアプリケーション
サーバーへのクライアント リクエストを待ち受け、そのリクエストを URL
フィールドで指定されたアプリケーション サーバー ポートに転送します。
Action セクションで、IVE がトラフィックを仲介する方法を指定します。
„
Rewrite XML
„
Rewrite external links
„
ブラウザから送信されるクッキーのブロック
„
Host-Header の転送
7.
Save Changes をクリックします。
8.
Pass-through Proxy Policies ページで、IVE での評価方法に応じてポリシーに順序を
設定します。IVE は、ユーザーから要求されたアプリケーションをポリシー ( または
詳細規則 ) の Resource リスト内のアプリケーションと照合し、指定されたアクショ
ンを実行して、ポリシーの処理を停止します。
9.
以下の選択肢があります。
„
„
Use virtual hostname - 次の操作を行います。
i.
IVE に解決される各アプリケーション サーバー ホスト名の別名エントリを
外部 DNS に追加する。
ii.
ワイルドカードのサーバー証明書を IVE にアップロードする(推奨)
。
Use IVE port - 企業のファイアウォール内にあるアプリケーション サーバー用
に指定した IVE ポートに対してトラフィックを開きます。
メモ : アプリケーションが複数のポートで待ち受けをする場合、個別の IVE ポートで、
別々のデータ転送プロキシ エントリとして各アプリケーション ポートを設定します。異
なるホスト名または IP アドレスを使用してサーバーにアクセスする場合、これらのオ
プションは個別に設定します。このような場合、同じ IVE ポートを使用してもかまいま
せん。
518
„ Web ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Web リソース ポリシーの例については、505 ページの「Web プロキシ リソース ポリシー
の作成」を参照してください。
ActiveX Parameter Rewriting タブ
IVE が Web ページを再書き込みするときには、Web ページに組み込まれている ActiveX
コントロールを再書き込みしません。ただしリソース ポリシーを作成して、Web ページ
から ActiveX コントロールに渡される URL およびホスト名パラメータを IVE に再書き込
みさせるよう指定することができます。リソース ポリシーを設定するには、以下の情報を
取得する必要があります。
„
Class ID - Web ページは一般に、ActiveX コントロールを組み込むためにクラス ID を
使用します。クラス ID は固有であり、ActiveX コントロールを固有に識別する定記号
列です。
Internet Explorer 6 を使用して、ActiveX オブジェクトのクラス ID が何であるかを判
定することができます。Tools > Internet Options を選択して、Settings をクリック
してから View Objects をクリックします。ActiveX オブジェクトを選択して右クリッ
クし、Properties を選択します。ActiveX オブジェクトの ID がハイライトされます。
„
Language - Web ページは、静的または動的 HTML を使用して ( すなわち、Javascript
を使用して )、ActiveX コントロールを組み込むことができます。Web ページが静的
HTML を使用する場合、IVE は指定された ActiveX パラメータを IVE 自体で再書き込
みし、同時にトラフィックを仲介します。これは、必要な情報がすべてユーザーのブ
ラウザとアプリケーションの Web サーバーの間を通過するからです。ただし、Web
ページが動的 HTML を使用して ActiveX コントロールを組み込む場合には、ページは
頻繁に情報をクライアントからプルして、HTML を生成して ActiveX コントロールを
組み込みます。このため、指定された ActiveX パラメータの再書き込みに必要な情報
を取得するために、IVE はスクリプトを実行する必要があります。
„
Parameter type - IVE を設定してパラメータを再書き込みするときには、パラメータ
が URL かホスト名かを決定する必要があります。IVE は他のパラメータのタイプに
は対応していません。
„
Parameter name- IVE に再書き込みさせるパラメータ名を指定する必要があります。
オブジェクト タグ内でパラメータ タグを検索すれば、パラメータを見つけることが
できます。たとえば、次のコードを使用しているページに組み込まれているフラッ
シュ ムービーを見つけることができます。
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" > <param
name="movie" value="mymovie.swf" />
<param name="quality" value="high" />
</object>
対応するリソース ポリシーを設定するときに、Parameter name フィールドで movie
を入力する必要があります。これは、movie が再書き込みを必要とする URL を指し
ているためです。しばしばページには複数のパラメータ タグが含まれていますが、そ
れらすべてに再書き込みが必要となるわけではありません。この例では、quality パ
ラメータでは再書き込みが必要ではありません。
ActiveX パラメータの再書き込みリソース ポリシーの作成
ActiveX パラメータの再書き込みリソース ポリシーを作成するには、次の操作を実行
します。
1.
Web コンソールで、Resource Policies > Web > Rewriting > ActiveX Parameter
Rewriting を選択します。
Web ページの設定
„
519
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
ActiveX Parameter Rewriting Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
4.
5.
520
„ Web ページの設定
a.
ポリシーとともにコントロールする ActiveX コントロールのクラス ID
b.
ポリシーの説明 ( オプション )
Parameters セクションで、ポリシーおよび対応するアクションとともにコントロー
ルする ActiveX パラメータを指定します。実行できるアクションとしては、次のもの
があります。実行できるアクションとしては、次のものがあります。
„
URL の再書き込みと応答 (静的 HTML のみ)_ IVE は指定された URL パラメータを
IVE に再書き込みします。さらに、IVE は URL を要求している Web サーバーから
のすべての応答を再書き込みします。Web ページが静的 HTML だけを使用して
ActiveX コントロールを組み込む場合には、このオプションを選択する必要があ
ります。
„
URL の再書き込みと応答 ( 静的および動的 HTML) - IVE は指定された URL パラ
メータを IVE に再書き込みし、さらにクライアントにも再書き込みします。さら
に、IVE は URL を要求している Web サーバーからのすべての応答を再書き込み
します。Web ページが動的 HTML を使用して ActiveX コントロールを組み込む場
合には、このオプションを選択する必要があります。
„
URL の再書き込み ( 静的 HTML のみ ) - IVE は指定された URL パラメータを IVE
に再書き込みします。Web ページが静的 HTML だけを使用して ActiveX コント
ロールを組み込む場合には、このオプションを選択する必要があります。
„
URL の再書き込み ( 静的および動的 HTML) - IVE は指定された URL パラメータ
を IVE に再書き込みし、さらにクライアントにも再書き込みします。Web ページ
が動的 HTML を使用して ActiveX コントロールを組み込む場合には、このオプ
ションを選択する必要があります。
„
ホスト名の再書き込み ( 静的 HTML のみ ) - IVE は指定されたホスト名のパラ
メータを IVE に再書き込みします。Web ページが静的 HTML だけを使用して
ActiveX コントロールを組み込む場合には、このオプションを選択する必要があ
ります。
„
ホスト名の再書き込み ( 静的および動的 HTML) - IVE は指定されたホスト名を
IVE に再書き込みし、さらにクライアントにも再書き込みします。Web ページが
動的 HTML を使用して ActiveX コントロールを組み込む場合には、このオプショ
ンを選択する必要があります。
„
再書き込みしない- IVE は ActiveX コンポーネントのパラメータを再書き込みす
ることはありません。
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Web リソース ポリシーの例については、505 ページの「Web プロキシ リソース ポリシー
の作成」を参照してください。
デフォルトの IVE ActiveX リソース ポリシーを元に戻す
IVE は、通常使用される ActiveX オブジェクトのパラメータを再書き込みするために
事前に定義された複数のリソース ポリシーに必要です。これらのポリシーのどれかを
削除してからあとで元に戻す場合には、以下の表をガイドラインとして使用して再作
成してください。
表 37: 事前に定義されたリソース ポリシー
説明
クラス ID
パラメータ
アクション
Citrix NFuse
xginen_EmbeddedApp object
238f6f83-b8b4-11cf-877100a024541ee3
ICAFile
URL の再書き込みと応答
( 静的 HTML のみ )
OrgPlus OrgViewer
DCB98BE9-88EE-4AD0-9790- URL
2B169E8D5BBB
URL の再書き込みと応答
( 静的 HTML のみ )
Quickplace
05D96F71-87C6-11D3-9BE400902742D6E0
GeneralURL
URL の再書き込みと応答
( 静的および動的 HTML)
General_ServerName
ホスト名の再書き込み ( 静的
および動的 HTML)
FullURL
URL の再書き込みと応答
( 静的および動的 HTML)
iNotes Discussion
5BDBA960-6534-11D3-97C700500422B550
B20D9D6A-0DEC-4d76-9BEF- B20D9D6A-0DEC-4d76-9BEF- ServerURL
175896006B4A
175896006B4A
Error URL
URL の再書き込みと応答
( 静的 HTML のみ )
URL の再書き込みと応答
( 静的 HTML のみ )
Citrix NFuse Elite
2E687AA8-B276-4910-BBFB4E412F685379
ServerURL
URL の再書き込みと応答
( 静的 HTML のみ )
WebPhotos LEAD
00120000-B1BA-11CE-ABC6F5B2E79D9E3F
BitmapDataPath
URL の再書き込みと応答
( 静的および動的 HTML)
Shockwave Flash
D27CDB6E-AE6D-11cf-96B8444553540000
Src
URL の再書き込みと応答
( 静的および動的 HTML)
Movie
URL の再書き込みと応答
( 静的および動的 HTML)
iNotes Blue
3BFFE033-BF43-11d5-A27100A024A51325
General_URL
URL の再書き込みと応答
( 静的および動的 HTML)
General_ServerName
ホスト名の再書き込み
( 静的および動的 HTML)
Tabular Data Control
333C7BC4-460F-11D0-BC040080C7055A83
DataURL
URL の再書き込み
( 静的 HTML のみ )
Windows Media Player
6BF52A52-394A-11D3-B15300C04F79FAA6
URL
URL の再書き込みと応答
( 静的 HTML のみ )
FlowPartPlace
4A266B8B-2BB9-47db-9B0E6226AF6E46FC
URL
URL の再書き込みと応答
( 静的 HTML のみ )
HTML Help
adb880a6-d8ff-11cf-937700aa003b7a11
Item1
URL の再書き込みと応答
( 静的および動的 HTML)
Web ページの設定
„
521
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 37: 事前に定義されたリソース ポリシー ( 続き )
説明
クラス ID
パラメータ
アクション
MS Media Player
22d6f312-b0f6-11d0-94ab0080c74c7e95
FileName
URL の再書き込みと応答
( 静的 HTML のみ )
CSV Files Handler
333c7bc4-460f-11d0-bc040080c7055a83
DataURL
URL の再書き込みと応答
( 静的 HTML のみ )
Microsoft OWA 用特別
ActiveX コントロール
D801B381-B81D-47a7-8EC4EFC111666AC0
mailboxUrl
URL の再書き込みと応答
( 静的 HTML のみ )
FlowPartPlace1
639325C9-76C7-4d6c-9B4A523BAA5B30A8
Url
URL の再書き込みと応答
( 静的 HTML のみ )
scriptx print control
5445be81-b796-11d2-b931002018654e2e
Path
URL の再書き込みと応答
( 静的 HTML のみ )
94F40343-2CFD-42A1-A7744E7E48217AD4
94F40343-2CFD-42A1-A7744E7E48217AD4
HomeViewURL
URL の再書き込みと応答
( 静的 HTML のみ )
Microsoft License Manager
5220cb21-c88d-11cf-b34700aa00a28331
LPKPath
URL の再書き込みと応答
( 静的 HTML のみ )
Domino 7 beta 2
UploadControl
E008A543-CEFB-4559-912FC27C2B89F13B
General_URL
URL の再書き込みと応答
( 静的および動的 HTML)
General_ServerName
ホスト名の再書き込み
( 静的および動的 HTML)
General_URL
URL の再書き込みと応答
( 静的および動的 HTML)
General_ServerName
ホスト名の再書き込み
( 静的および動的 HTML)
iNotes
522
1E2941E3-8E63-11D4-9D5A00902742D6E0
ActiveCGM
F5D98C43-DB16-11CF-8ECA0000C0FD59C7
FileName
URL の再書き込みと応答
( 静的 HTML のみ )
00130000-B1BA-11CE-ABC6F5B2E79D9E3F
00130000-B1BA-11CE-ABC6F5B2E79D9E3F
BitmapDataPath
URL の再書き込みと応答
( 静的および動的 HTML)
„ Web ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Rewriting Filters タブ
このタブは、Juniper Networks Support チームから指示があった場合にのみ使用してくだ
さい。
Remote SSO タブ
Remote SSO タブを使用して、Remote SSO Form POST リソース ポリシーとヘッダー /
クッキー リソース ポリシーを作成します。
Form POST タブ
Remote SSO > Form POST タブを使用して、IVE がデータを転送する Web アプリケー
ションを指定する Web リソース ポリシーを作成します。この Web リソース ポリシーに
は、ユーザーの IVE ユーザー名およびパスワードに加えて、システム変数によって格納さ
れたシステム データを含めることが可能です。この機能の詳細については、160 ページの
「リモート SSO の概要」を参照してください。
SSO Form POST リソース ポリシーの作成
SSO Form POST リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Remote SSO > Form POST を選択し
ます。
2.
Form POST Policies ページで、New Policy をクリックします。
3.
New Policy ページで、このポリシーに付ける名前 ( 必須 ) と、ポリシーの説明 ( オプ
ション ) を入力します。
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、537 ページの「Web リソース オプションの指定」を参照してください。
メモ : エンドユーザーが IVE ブックマークをクリックしたときに、特定の URL に値を自
動的に転送するように IVE を設定したい場合、ここで入力したリソースは、Web コン
ソールの Users > Roles > [Role] > Web > Bookmarks ページで指定する URL と正確に
一致する必要があります。
5.
6.
Roles セクションで、以下を指定します。
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Perform the POST defined below - IVE は、ユーザーが Resources リストで指定
したリソースに要求を行うと、POST details セクションで指定したユーザー
データと共にフォーム POST を、指定した URL に対して実行します。
Web ページの設定
„
523
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
7.
524
„ Web ページの設定
„
Do NOT perform the POST defined below - IVE は、POST details セクションで
指定されたユーザー データと共にフォーム POST を実行しません。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
POST details セクションで、以下を指定します。
„
バックエンド Web アプリケーションのサインイン ページの URL。ユーザーが
URL ディレクトリにアクセスできないようにする場合は、Deny direct login for
this resource をオンにします。
„
転送するユーザー データおよびユーザー修正許可
‰
User label - IVE でユーザーの Preferences ページに表示されるラベル。
バックエンド アプリケーションに転送するデータをユーザーが修正できる
ようにする場合や、ユーザーに修正を求める場合には、このフィールドが必
須です。
‰
Name - Value フィールドのデータを識別する名前。( バックエンド アプリ
ケーションではこの名前が必要です )
‰
Value - 指定した Name のフォームに書き込む値。静的データ、またはシス
テム変数 ( 有効な変数のリストについては、617 ページの「システム変数と
その例」を参照 )、ユーザー名とパスワード値を格納している IVE セッショ
ン変数 ( 詳細については、101 ページの「複数サインイン認証情報の概要」
を参照 ) を入力することができます。
‰
User modifiable? 設定- Value フィールドの情報をユーザーが変更できない
ようにする場合は、Not modifiable に設定します。バックエンド アプリケー
ションのデータをユーザーが指定できるようにするには、User CAN change
value に設定します。ユーザーがバックエンド アプリケーションにアクセス
するために追加情報を入力する必要がある場合は、User MUST change
value に設定します。後者の設定のいずれかを選択した場合は、データ入力
用のフィールドが IVE のユーザーの Advanced Preferences ページに表示さ
れます。このフィールドには、User label フィールドに入力したデータをも
とに名前が付けられます。Value フィールドに値を入力した場合は、この値
がフィールドに表示されますが編集可能です。
8.
Save Changes をクリックします。
9.
Form POST Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま
す。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細規則 ) の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Web リソース ポリシーの例については、505 ページの「Web プロキシ リソース ポリシー
の作成」の図を参照してください。
Headers/Cookies タブ
Remote SSO > Headers/Cookies タブを使用して、IVE がカスタム ヘッダとクッキーを書
き込む、カスタマイズされた Web アプリケーションを指定する Web リソース ポリシー
を作成します。この機能の詳細については、109 ページの「SAML の概要」を参照してく
ださい。
SSO Headers/Cookies リソース ポリシーの作成
SSO Headers/Cookies リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Remote SSO > Headers/Cookies を
選択します。
2.
Headers/Cookies Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、537 ページの「Web リソース オプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
6.
7.
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Append headers as defined below - IVE は、ユーザーが Resources リストで指
定されたリソースに要求を行うと、POST details セクションで指定されたユー
ザー データを、指定した URL に転送します。
„
Do NOT append headers as defined below - IVE は、ユーザーが Resources リス
トで指定されたリソースに要求を行うと、POST details セクションで指定された
ユーザー データを、指定した URL に転送しません。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
Headers and values セクションで、以下を指定します。
„
Header name - ヘッダ データとして IVE が送信するテキスト
„
Value - 指定したヘッダの値
Web ページの設定
„
525
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
8.
Save Changes をクリックします。
9.
Headers/Cookies Policies ページで、IVE での評価方法に応じてポリシーに順序を設
定します。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細規則 )
の Resource リスト内のリソースと照合し、指定されたアクションを実行してポリ
シーの処理を停止します。
Web リソース ポリシーの例については、505 ページの「Web プロキシ リソース ポリシー
の作成」の図を参照してください。
SAML タブ
SAML タブを使用して、SAML SSO アーティファクトおよびリソース ポリシーを作成し、
SAML POST プロファイル リソース ポリシーを作成して、アクセス コントロール トラン
ザクションを有効にします。
SSO タブ
SAML > SSO タブでは、IVE が対話する SAML 対応のアクセス管理システム(109 ページ
の「SAML の概要」を参照)を指定する Web リソース ポリシーを作成します。IVE は、複
数のコンシューマ サービスへの SAML シングル サインオンをサポートしています。これ
には、アプリケーションやドメインも含まれます。複数のコンシューマ サービスに対して
SAML SSO ポリシーを設定するには、各サービスに別々にリソース ポリシーを定義しま
す。
ここでは、SAML SSO ポリシーを設定する手順を説明します。
„
526 ページの「SAML SSO アーティファクト プロファイル リソース ポリシーの作成」
„
529 ページの「SAML SSO POST プロファイル リソース ポリシーの作成」
SAML SSO アーティファクト プロファイル リソース ポリシーの作成
アーティファクト プロファイルを使用して通信する場合、信頼されるアクセス管理サー
バーが IVE から認証情報を「プル」します(111 ページの「アーティファクト プロファイ
ルの概要」を参照)。
メモ : アーチファクト プロファイルを使用するように IVE を設定する場合、アサーショ
ン コンシューマ サービスに IVE の Web サーバー証明書をインストールする必要があり
ます(手順については 115 ページの「証明書の設定」を参照)。
SAML SSO artifact プロファイル リソース ポリシーを作成するには、次の手順を実行
します。
1.
Web コンソールで、Resource Policies > Web > SAML > SSO を選択します。
2.
Web Policies ページで、New Policy をクリックします。
3.
SAML SSO Policy ページで、以下を入力します。
4.
526
„ Web ページの設定
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、537 ページの「Web リソース オプションの指定」を参照してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
6.
Roles セクションで、以下を指定します。
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles
リストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
7.
Use the SAML SSO defined below - IVE は、SAML SSO details セクションで指定
されたデータを使用して、指定された URL に対するシングル サインオン
(SSO)要求を実行します。Resources リストに指定された SAML リソースへのア
クセスが要求されると、IVE は SSO 要求を送信します。
„
Do NOT use SAML - IVE は SSO 要求を実行しません。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
SAML SSO Details セクションで、以下を指定します。
„
SAML Assertion Consumer Service URL - IVE がアサーション コンシューマ
サービス(すなわち、アクセス管理サーバー)と通信するために使用する URL
を入力します。たとえば、https://hostname/acs と入力します。IVE はアサー
ションの SAML 受信者を判断するときにもこのフィールドを使用します )。
メモ : HTTPS で始まる URL を入力した場合は、IVE にアサーション コンシューマ サー
ビスのルート CA をインストールする必要があります(手順については 115 ページの
「証明書の設定」を参照)。
„
Profile - SSO トランザクションの実行中にアサーション コンシューマ サービス
が IVE から情報を「プル」するように指定するには、Artifact を選択します。
„
Source ID - IVE のソース ID を入力します。入力形式に応じて、ID は次のように
処理されます。
‰
プレーン テキスト文字列- IVE により、20 バイトの文字列に変換、追加ま
たは切り捨てられます。
‰
ベース 64 コード化文字列 - IVE により、20 バイトにコード化されます。
アクセス管理システムで 64 ビット暗号化ソース ID が必要とされる場合、まず
20 バイトの文字列を作成し、その文字列を OpenSSL などのツールを使って 64
ビットに暗号化できます。
メモ : IVE 識別子(すなわち、ソース ID)をアサーション コンシューマ サービス上で
次の URL にマッピングする必要があります(114 ページの「トラステッドアプリケー
ションの URL の設定」を参照)。https://<IVEhostname>/dana-ws/saml.ws
Web ページの設定
„
527
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Issuer - IVE がアサーションの生成に使用できる一意な文字列(通常はホスト
名)を入力します。
メモ : IVE の一意な文字列を認識できるようにアサーション コンシューマ サービスを設
定する必要があります(115 ページの「発行者の設定」を参照)。
8.
User Identity セクションで、IVE とアサーション コンシューマ サービスがユーザー
を識別する方法を指定します。
„
„
Subject Name Type - IVE とアサーション コンシューマ サービスがユーザーの
識別に使用する方法を指定します。
‰
DN - DN(識別名)属性のフォーマットでユーザー名を送信します。
‰
Email Address - E メール アドレスのフォーマットでユーザー名を送信しま
す。
‰
Windows - Windows ドメイン修飾ユーザー名のフォーマットでユーザー名
を送信します。
‰
Other - IVE とアサーション コンシューマ サービスとの間で合意された別
のフォーマットでユーザー名を送信します。
Subject Name - 617 ページの「システム変数とその例」で説明している変数を使
用して、IVE がアサーション コンシューマ サービスに渡すユーザー名を指定し
ます。または、静的テキストを入力します。
メモ : アサーション コンシューマ サービスが認識できるユーザー名または属性を送信
する必要があります(118 ページの「ユーザー ID の設定」を参照)。
9.
Web Service Authentication セクションで、IVE がアサーション コンシューマ サービ
スを認証する方法を指定します。
„
None - アサーション コンシューマ サービスを認証しません。
„
Username - ユーザー名とパスワードを使用してアサーション コンシューマ
サービスを認証します。アサーション コンシューマ サービスが IVE に送信する
必要があるユーザ名とパスワードを入力します。
„
Certificate Attribute - 証明書属性を使用してアサーション コンシューマ サービ
スを認証します。アサーション コンシューマ サービスから IVE に送信する属性
を 1 行に 1 つずつ入力します。たとえば、“cn=sales” のように入力します。ア
サーション コンシューマ サービスの証明書に含まれる値と一致する値を入力す
る必要があります。
メモ : このオプションを選択した場合は、IVE にアサーション コンシューマ サービスの
ルート CA をインストールする必要があります(手順については 115 ページの「証明
書の設定」を参照)。
10. Cookie Domain - SSO クッキーに送るカンマ区切りのドメイン リストを入力し
ます。
11. Save Changes をクリックします。
528
„ Web ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
12. SAML SSO Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま
す。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細規則 ) の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Web リソース ポリシーの例については、505 ページの「Web プロキシ リソース ポリシー
の作成」の図を参照してください。
SAML SSO POST プロファイル リソース ポリシーの作成
artifact プロファイルを使用して通信する場合、IVE がアクセス管理システムから認証情報
を「プッシュ」します(112 ページの「POST プロファイルの概要」を参照)。
メモ : POST プロファイルを使用するように IVE を設定する場合は、IVE に SAML Web
サービスのルート CA をインストールして、アサーション コンシューマ サービスが証明
書を信頼するために使用する方法を決定する必要があります(115 ページの「証明書の
設定」を参照)。
SAML SSO POST プロファイル リソース ポリシーを作成するには、次の手順を実行し
ます。
1.
Web コンソールで、Resource Policies > Web > SAML > SSO を選択します。
2.
Web Policies ページで、New Policy をクリックします。
3.
SAML SSO Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、537 ページの「Web リソース オプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
6.
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles
リストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Use the SAML SSO defined below - IVE は、SAML SSO details セクションで指定
されたデータを使用して、指定された URL に対するシングル サインオン
(SSO)要求を実行します。Resources リストに指定された SAML リソースへのア
クセスが要求されると、IVE は SSO 要求を送信します。
Web ページの設定
„
529
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
7.
„
Do NOT use SAML - IVE は SSO 要求を実行しません。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
SAML SSO Details セクションで、以下を指定します。
„
SAML Assertion Consumer Service URL - IVE がアサーション コンシューマ
サービス(すなわち、アクセス管理サーバー)と通信するために使用する URL
を入力します。たとえば、https://hostname/acs と入力します。
„
Profile - SSO トランザクションの実行中に IVE がアサーション コンシューマ
サービスに情報を「プッシュ」するように指定するには、POST を選択します。
„
Issuer - IVE がアサーションの生成に使用できる一意な文字列(通常はホスト
名)を入力します。
メモ : IVE の一意な文字列を認識できるようにアサーション コンシューマ サービスを設
定する必要があります(115 ページの「発行者の設定」を参照)。
„
8.
Signing Certificate - IVE がアサーションをサインインするために使用する証明
書を指定します。
User Identity セクションで、IVE とアサーション コンシューマ サービスがユーザー
を識別する方法を指定します。
„
„
Subject Name Type - IVE とアサーション コンシューマ サービスがユーザーの
識別に使用する方法を指定します。
‰
DN - DN(識別名)属性のフォーマットでユーザー名を送信します。
‰
Email Address - E メール アドレスのフォーマットでユーザー名を送信
します。
‰
Windows - Windows ドメイン修飾ユーザー名のフォーマットでユーザー名
を送信します。
‰
Other - IVE とアサーション コンシューマ サービスとの間で合意された別
のフォーマットでユーザー名を送信します。
Subject Name - 617 ページの「システム変数とその例」で説明している変数を使
用して、IVE がアサーション コンシューマ サービスに渡すユーザー名を指定し
ます。または、静的テキストを入力します。
メモ : アサーション コンシューマ サービスが認識できるユーザー名または属性を送信
する必要があります(118 ページの「ユーザー ID の設定」を参照)。
9.
Cookie Domain - SSO クッキーに送るカンマ区切りのドメイン リストを入力し
ます。
10. Save Changes をクリックします。
11. SAML SSO Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま
す。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細規則 ) の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
530
„ Web ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Web リソース ポリシーの例については、505 ページの「Web プロキシ リソース ポリシー
の作成」の図を参照してください。
Access Control タブ
SAML > Access Control タブを使用して、IVE が対話する SAML 対応のアクセス管理シス
テムを指定する Web リソース ポリシーを作成します。この機能の詳細については、109
ページの「SAML の概要」を参照してください。IVE は、複数のアクセス管理システムに
対する SAML アクセス制御認証をサポートします。複数のアプリケーションに対して
SAML アクセス制御ポリシーを設定するには、各アプリケーションに別々にリソース ポリ
シーを定義します。
SAML Access Control リソース ポリシーの作成
アクセス制御トランザクションを有効にすると、IVE は SAML Web サービスを照合して認
証するかどうかを判断します(113 ページの「アクセス コントロール ポリシーの概要」
を参照)。
メモ : アクセス制御トランザクションを使用するように IVE を設定する場合は、IVE に
SAML Web サービスのルート CA をインストールする必要があります(手順については
115 ページの「証明書の設定」を参照)。
SAML Access Control リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > SAML Access Control を選択します。
2.
SAML Access Control Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、537 ページの「Web リソース オプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
6.
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles
リストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Use the SAML Access Control checks defined below - IVE は、SAML Access
Control Details セクションで指定されたデータを使用して、指定された URL に
対するアクセス制御チェックを実行します。
„
Do not use SAML Access - IVE はアクセス制御チェックを実行しません。
Web ページの設定
„
531
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
7.
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
SAML Access Control Details セクションで、以下を指定します。
„
SAML Web Service URL - アクセス管理システムの SAML サーバーの URL を入力
します。たとえば、https://hostname/ws と入力します。
„
Issuer - 発行元のホスト名を入力します。通常はアクセス管理システムのホスト
名です。
メモ : SAML サービスが認証アサーションで自身を識別するための一意な文字列を入力
します(115 ページの「発行者の設定」を参照してください)。
8.
User Identity セクションで、IVE と SAML Web サービスがユーザーを識別する方法を
指定します。
„
„
Subject Name Type - IVE と SAML Web サービスがユーザーの識別に使用する方
法を指定します。
‰
DN - DN(識別名)属性のフォーマットでユーザー名を送信します。
‰
Email Address - E メール アドレスのフォーマットでユーザー名を送信
します。
‰
Windows - Windows ドメイン修飾ユーザー名のフォーマットでユーザー名
を送信します。
‰
Other - IVE と SAML Web サービスとの間で合意された別のフォーマットで
ユーザー名を送信します。
Subject Name - 617 ページの「システム変数とその例」で説明している変数を使
用して、IVE が SAML Web サービスに渡すユーザー名を指定します。または、静
的テキストを入力します。
メモ : SAML Web サービスが認識できるユーザー名または属性を送信する必要がありま
す(118 ページの「ユーザー ID の設定」を参照してください)。
9.
Web Service Authentication セクションで、IVE が SAML Web サービスを認証する方
法を指定します。
„
None - IVE を認証しません。
„
Username - ユーザー名とパスワードを使用して IVE を認証します。IVE が
Web サービスに送信する必要があるユーザー名とパスワードを入力します。
„
Certificate Attribute - 信頼できる認証局によって署名された証明書を使用して
IVE を認証します。IVE に複数の証明書がインストールされている場合は、ド
ロップダウン リストから Web サービスに送る証明書を選択します。
メモ : このオプションを選択した場合は、アクセス管理システムの Web サーバーに IVE
Web サーバーの証明書をインストールして、SAML Web サービスが証明書を信頼するた
めに使用する方法を決定する必要があります(115 ページの「証明書の設定」を参照し
てください)。
532
„ Web ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
10. Options セクションで、以下を指定します。
„
Maximum Cache Time - IVE がアクセス管理システムの認証応答をキャッシュ
に保存するように設定することで、ユーザーが同じ URL を要求するたびに認証
の決定を生成する手間を省くことができます。IVE が応答をキャッシュに保存す
る期間を秒単位で指定します。
„
Ignore Query Data - デフォルトでは、ユーザーがリソースを要求すると、IVE
はそのリソースの URL 全体(クエリ パラメータを含む)を SAML Web サービス
に送り、その URL をキャッシュに保存します。IVE が URL からクエリ文字列を
削除してから認証を要求するか、認証応答をキャッシュに保存するように指定で
きます。
11. Save Changes をクリックします。
12. SAML Access Control Policies ページで、IVE での評価方法に応じてポリシーに順序
を設定します。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細
規則 ) の Resource リスト内のリソースと照合し、指定されたアクションを実行し
てポリシーの処理を停止します。
Web リソース ポリシーの例については、505 ページの「Web プロキシ リソース ポリシー
の作成」の図を参照してください。
Web Proxy タブ
Web Proxy タブを使用して、Web プロキシ リソース ポリシーを作成し、Web プロキシ
サーバーを指定します。IVE はフォワード プロキシとバックワード プロキシを仲介しま
すが、これらのタブを使用してプロキシを設定し、それを信頼できると指定した場合、こ
のプロキシのみにシングル サインオンを可能にします。詳細については、100 ページの
「シングル サインオンの概要」を参照してください。
Policies タブ
Web Proxy > Policies タブを使用して、Web プロキシ リソース ポリシーを作成し、プロ
キシが保護する必要がある Web サーバーを指定します。
Web プロキシ リソース ポリシーの作成
Web プロキシ リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Web Proxy > Policies を選択し
ます。
2.
Web Proxy Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
4.
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、537 ページの「Web リソース オプションの指定」を参照してください。
Web ページの設定
„
533
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
6.
Roles セクションで、以下を指定します。
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Access web resources directly - IVE は、ユーザーの要求をバックエンド サー
バーに仲介し、サーバーの応答を Resources リストで指定されたリソースに要
求を行ったユーザーに仲介します。
„
Access web resources through a web proxy - Resource Policies > Web > Web
Proxy > Servers タブで定義したドロップダウンリストの Web プロキシ サー
バーを指定します。Web プロキシ サーバーを定義する方法については、534
ページの「Servers タブ」を参照してください。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Web Proxy Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま
す。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細規則 ) の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Web リソース ポリシーの例については、505 ページの「Web プロキシ リソース ポリシー
の作成」の図を参照してください。
Servers タブ
IVE を使用して直接 Web サーバーに接続するのではなく、IVE を経由して送信されるすべ
ての Web 要求を Web プロキシに転送することができます。ネットワークのセキュリティ
ポリシーでこのような設定が規定されている場合や、キャッシング Web プロキシを使用
してパフォーマンスを向上させる場合には、この機能を利用すると便利です。
メモ : 現時点では、IVE は Web プロキシ認証をサポートしていません。IVE Web プロキ
シ機能を使用するには、認証されたユーザーを受け入れるように Web プロキシを設定
する必要があります。
Web プロキシ サーバーの指定
Web Proxy タブでは、Web プロキシ リソース ポリシー用のサーバーを指定します。
Web プロキシ サーバーを指定するには、次の操作を実行します。
534
„ Web ページの設定
1.
Web コンソールで、Resource Policies > Web > Web Proxy > Servers を選択し
ます。
2.
Web Proxy Server に、Web プロキシ サーバーの名前または IP アドレス、およびプロ
キシ サーバーがリスンするポートの番号を入力して、Add をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
さらに Web プロキシ サーバーを指定するには、この手順を繰り返します。
Launch JSAM タブ
IVE が自動的にクライアント上の J-SAM を起動する URL を指定する Web リソース ポリ
シーを作成するには、Launch JSAM タブを使用します。IVE は次の 2 つの状況で J-SAM を
起動します。
„
IVE のホームページの Address フィールドに指定された URL をユーザーが入力した
場合
„
IVE ホームページで(管理者によって設定された)URL への Web ブックマークをユー
ザーがクリックした場合
この機能は、ユーザーが J-SAM を不必要に実行するのを回避しながら、J-SAM を必要とす
るアプリケーションを有効にする場合に便利です。ただし、この機能を使用するには、
ユーザーが IVE のホームページを通じて URL にアクセスする必要があります。ユーザー
がブラウザの Address フィールドに URL を入力すると、IVE は要求を処理しません。
メモ : IVE は Citrix と強固に統合されています。標準の J-SAM アプリケーションとして
Citrix を指定した場合、URL がリソース ポリシーとして設定されていなくても、ユー
ザーが ICA ファイルを選択すると、IVE は自動的に J-SAM を起動します。
Launch J-SAM リソース ポリシーの作成
Launch J-SAM リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Launch JSAM を選択します。
2.
JSAM Autolaunch Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
4.
Resources セクションで、このポリシーを適用する URL を指定します。詳細について
は、501 ページの「リソース ポリシーのリソースの指定」を参照してください。IP ア
ドレスまたは大文字、小文字の区別によるリソースの照合を行う方法については、
537 ページの「Web リソース オプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Web ページの設定
„
535
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
6.
Action セクションで、以下を指定します。
„
Launch JSAM for this URL - IVE は、Java Secure Application Manager をクライ
アントにダウンロードしてから、要求された URL を処理します。
メモ : ユーザーが指定された URL を入力するか、IVE のホームページで(Browsing >
Bookmarks を選択して)指定された URL へのブックマークを選択した場合にのみ、
J-SAM が自動的に起動します。
7.
„
Don't Launch JSAM for this URL - IVE は、要求された URL を処理するために、
Java Secure Application Manager をクライアントにダウンロードしません。この
オプションは、指定された URL について J-SAM の自動起動を一時的に無効にす
る場合に便利です。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
Save Changes をクリックします。
Compression タブ
Compression タブを使用して、Web コンソールの Maintenance > System > Options
ページで GZIP 圧縮を有効にした場合に、どの種類のファイル データを IVE が圧縮する必
要があるかを指定します。詳細については、265 ページの「圧縮の概要」を参照してくだ
さい。
メモ : IVE は、すべての適用可能な Web データを圧縮する 1 つのファイル圧縮ポリシー
(*:*/*) を事前に備えています。Web コンソールの Resource Policies > Web >
Compression ページでこのポリシーを有効にすることができます。
Web 圧縮リソース ポリシーの作成
536
„ Web ページの設定
1.
Web コンソールで、Resource Policies > Web > Compression を選択します。
2.
Web Compression Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
4.
Resources セクションで、このポリシーを適用する URL を指定します。詳細について
は、501 ページの「リソース ポリシーのリソースの指定」を参照してください。IP ア
ドレスまたは大文字、小文字の区別によるリソースの照合を行う方法については、
537 ページの「Web リソース オプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
6.
7.
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Compress - IVE は指定されたリソースから、対応しているコンテンツタイプを
圧縮します。
„
Do not compress - IVE は指定されたリソースから、対応しているコンテンツタ
イプを圧縮しません。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
Save Changes をクリックします。
Options タブ
Options タブを使用して、Web リソース ポリシーに適用する Web リソース オプションを
指定します。オプションには以下のものがあります。
„
IP based matching for Hostname based policy resources - IVE は、Web リソース ポ
リシーに指定された各ホスト名に対応する IP アドレスを参照します。ユーザーがホ
スト名ではなく IP アドレスを指定してサーバーにアクセスしようとすると、IVE は
IP をキャッシュ内の IP アドレスのリストに照合して、ホスト名と IP が一致するかど
うかを判断します。一致する IP が見つかった場合、IVE はポリシーの一致としてこれ
を受け入れ、リソース ポリシーに指定されたアクションが適用されます。
メモ : このオプションは、ワイルドカードやパラメータが含まれるホスト名には適用さ
れません。
„
Case sensitive matching for the Path and Query string components in Web resources
- リソースへの URL で大文字と小文字を区別する場合には、このオプションを選択
します。たとえば、URL でユーザー名やパスワード データを渡す場合に使用します。
Web リソース ポリシー オプションを有効にすると、Web リソース ポリシーごとに
Resources フィールドに指定されたホスト名のリストが作成され、このホスト名のリスト
全体に対してオプションが適用されます。このホスト名のリスト全体に対してオプション
が適用されます。
Web リソース オプションの指定
Web リソース オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Options を選択します。
2.
次のオプションを選択します。
3.
„
IP based matching for Hostname based policy resources
„
Case sensitive matching for the Path and Query string components in Web
resources
Save Changes をクリックします。
Web ページの設定
„
537
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Files ページの設定
Resource Policies > Files ページには Files リソース ポリシーの作成に使用できるタブが
表示されています。
„
540 ページの「Windows タブ」— このタブを使用して、ウィンドウズ アクセス リ
ソース ポリシーなどの Windows リソース ポリシーを作成します。または Windows
認証情報リソース ポリシーを作成します。
„
542 ページの「UNIX/NFS タブ」— このタブを使用して UNIX/NFS リソース ポリシー
を作成します。
„
543 ページの「Compression タブ」— こののタブを使用して、圧縮ポリシーを作成し
ます。
„
544 ページの「Encoding タブ」— このタブを使用して、IVE トラフィックの国際化
コードを指定します。
„
545 ページの「Options タブ」— このタブを使用して、File リソース オプションを指
定します。
Files リソース ポリシーの作成
ロールに対してファイル アクセス機能を有効にする場合には、Windows および NFS ファ
イル共有と通信するときに使用するエンコードに加え、ユーザーがアクセスできる
Windows および UNIX/NFS リソースを指定するリソース ポリシーも作成する必要があり
ます。ユーザーがファイルを要求すると、IVE は、MS Word ドキュメント (.doc ファイル )
フェッチ要求用の Windows アクセス リソース ポリシーなど、その要求に対応するリ
ソース ポリシーを評価します。IVE は、ユーザーの要求を該当するポリシーにリストアッ
プされたリソースと照合した後、そのリソースに指定されたアクションを実行します。
File リソース ポリシーを作成するとき、以下の情報を入力する必要があります。
„
538
„ Files ページの設定
Resources - リソース ポリシーでは、ポリシーを適用する 1 つ以上のリソースを指
定する必要があります。ファイル ポリシーの作成時には、ファイル サーバーまたは
特定のファイル共有を指定する必要があります。詳細については、539 ページの
「Windows ファイル リソースの指定」および 539 ページの「UNIX/NFS ファイル リ
ソースの指定」を参照してください。
„
Roles - リソース ポリシーでは、適用対象となるロールを指定する必要があります。
ユーザーから要求があると、IVE はそのロールに適用されるポリシーを決めて、要求
に対応するポリシーを評価します。
„
Actions - 各タイプのリソース ポリシーは、リソースを許可または拒否するかどう
か、またはユーザーにディレクトリへの書き込みを許可するといった特定の機能の実
行など、特定のアクションを実行します。ユーザー要求に対してさらに条件を適用す
る詳細な規則を作成することもできます。503 ページの「詳細規則の記述」を参照し
てください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IVE エンジンは、リソース ポリシーを評価するときには、501 ページの「リソース ポリ
シーのリソースの指定」で説明されているように、ポリシーの Resources リスト内に表示
されるリソースが正式フォーマットに従う必要があります。以下のセクションでは、正式
フォーマットを使用してファイル リソースを指定する場合に配慮しなければならない特
別な問題について概説しています。
Windows ファイル リソースの指定
正式フォーマット:
\\server[\share[\path]]
以下の 3 つのコンポーネントがあります。
„
Server(必須)利用できる値 :
„
Hostname - システム変数 <username> を使用できます。
„
IP address - IP アドレスは次のようなフォーマットで指定する必要があります。
a.b.c.d
先頭に 2 つのバックスラッシュを使用する必要があります。
„
Share ( オプション ) 共通する部分がない場合、アスタリスク (*) が想定され、すべての
パスと一致します。システム変数 <username> を使用できます。
„
Path ( オプション ) 以下のような特殊文字を使用できます。
表 38: パス特殊文字
*
任意の文字と一致
%
スラッシュ(/)以外の任意の文字と一致
?
正確に 1 文字と一致
パスがない場合はバックスラッシュ(/)が想定され、最上位レベルのフォルダと一
致すると見なされます。例:
\\%.danastreet.net\share\<username>\*
\\*.juniper.com\dana\*
\\10.11.0.10\share\web\*
\\10.11.254.227\public\%.doc
UNIX/NFS ファイル リソースの指定
正式フォーマット:
server[/path]
以下の 2 つのコンポーネントがあります。
„
Server(必須)利用できる値 :
„
Hostname - システム変数 <username> を使用できます。
„
IP address - IP アドレスは次のようなフォーマットで指定する必要があります。
a.b.c.d
Files ページの設定
„
539
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
先頭に 2 つのバックスラッシュを使用する必要があります。
„
Path ( オプション ) 許可されている特別な文字には、以下のようなものがあります。
表 39: パス特殊文字
*
任意の文字と一致
%
スラッシュ(\)以外の任意の文字と一致
?
正確に 1 文字と一致
パスがない場合はバックスラッシュ(\)が想定され、最上位レベルのフォルダと一
致すると見なされます。例:
%.danastreet.net/share/users/<username>/*
*.juniper.com/dana/*
10.11.0.10/web/*
10.11.254.227/public/%.txt
Windows タブ
Access タブ
ユーザーがアクセスできる Windows リソースを制御する File リソース ポリシーを作成す
るには、Windows > Access タブを使用します。また、オプションで特定のフォルダへの
パスを指定できます。
Windows アクセス リソース ポリシーの作成
Windows アクセス リソース ポリシーを作成するには、次の操作を実行します。
540
„ Files ページの設定
1.
Web コンソールで、Resource Policies > File > Windows > Access を選択します。
2.
Windows File Access Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明(オプション)(オプション)
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
6.
Action セクションで、以下を指定します。
„
Allow access - Resources リストで指定したリソースへのアクセスを許可しま
す。ユーザーがサーバーにファイルを保存することを禁止する場合は、Readonly をオンにします。
„
Deny access- Resources リストで指定したリソースへのアクセスを拒否します。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Windows File Access Policies ページで、IVE での評価方法に応じてポリシーに順序
を設定します。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細
規則 ) の Resource リスト内のリソースと照合し、指定されたアクションを実行し
てポリシーの処理を停止します。
Credentials タブ
Windows > Credentials タブを使用して File リソース ポリシーを作成すると、ユーザー
要求が Resource リスト内のリソースと一致したときに IVE がファイル サーバーに送信す
るための証明書を指定することができます。IVE がユーザーに証明書の入力を求めるよう
に設定することもできます。
Windows 証明書リソース ポリシーの作成
Windows 証明書リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > File > Windows > Credentials を選択しま
す。
2.
Windows Credentials Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明(オプション)
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストにあるロールにマッピングされたユーザーを除くすべてのユーザーにこのポ
リシーを適用します。Available roles リストからこのリストにロールを追加して
ください。
Files ページの設定
„
541
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
6.
Action セクションで、以下を指定します。
„
Use static credentials - このオプションでは、フォルダ レベルおよびファイル
レベルで Resources リストに指定されたリソースに IVE が送信する管理者認証情
報を指定できます。IVE ファイル ブラウジング サーバーは server\share に対して
接続を維持しますが、同じファイル共有の別のフォルダに別のアカウントを使用
して接続しようとすると、接続できないことがあります。指定された認証情報で
エラーが発生した場合には、100 ページの「シングル サインオンの概要」で説明
されているように、IVE は代替の認証情報を送信します。IVE はここで入力され
たパスワードをアスタリスク (*) で非表示にします。
„
Use variable credentials - このオプションにより、Resources リストに指定され
たリソースに IVE が送信する、可変的な管理者認証情報を指定できます。これら
のフィールドやドメインには <USERNAME> や <PASSWORD> などのような IVE
変数を入力できます。この点に注意してください。例:
yourcompany.net\<USERNAME>. 指定された認証情報でエラーが発生した場合
には、100 ページの「シングル サインオンの概要」で説明されているように、
IVE は代替の認証情報を送信します。
„
Prompt for user credentials - Resources リストで指定したリソースの共有ファ
イルで認証情報が必要な場合、IVE は IVE の認証チャレンジを提示することに
よって、チャレンジを仲介します。ユーザーは、アクセスしようとしているファ
イル共有の認証情報を入力する必要があります。指定された認証情報が失敗した
場合に、IVE はリソースへのユーザー アクセスを拒否します。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Windows File Access Policies ページで、IVE での評価方法に応じてポリシーに順序
を設定します。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細
規則 ) の Resource リスト内のリソースと照合し、指定されたアクションを実行し
てポリシーの処理を停止します。
UNIX/NFS タブ
ユーザーがアクセスできる UNIX/NFS リソースを制御する File リソース ポリシーを作成
するには、UNIX/NFS タブを使用します。UNIX/NFS リソースを指定するには、サーバー
ホスト名と IP アドレスを入力します。また、オプションで特定の共有へのパスを指定で
きます。
UNIX/NFS リソース ポリシーの作成
UNIX/NFS リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > File > UNIX/NFS を選択します。
2.
Unix/NFS File Access Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
4.
542
„ Files ページの設定
a.
このポリシーに付ける名前
b.
ポリシーの説明(オプション)
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
6.
Roles セクションで、以下を指定します。
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Allow access - Resources リストで指定したリソースへのアクセスを許可しま
す。ユーザーがサーバーにファイルを保存することを禁止する場合は、Readonly をオンにします。
„
Deny access- Resources リストで指定したリソースへのアクセスを拒否します。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Unix/NFS File Access Policies ページで、IVE での評価方法に応じてポリシーに順序
を設定します。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細
規則 ) の Resource リスト内のリソースと照合し、指定されたアクションを実行し
てポリシーの処理を停止します。
Compression タブ
Compression タブを使用して、Web コンソールの Maintenance > System > Options
ページで GZIP 圧縮を有効にした場合に、どの種類のファイル データを IVE が圧縮する必
要があるかを指定します。詳細については、265 ページの「圧縮の概要」を参照してくだ
さい。
メモ : IVE は、すべての適用可能なファイルデータを圧縮する 2 つのファイル圧縮ポリ
シー (*:*/*) を事前に備えています。Web コンソールの Resource Policies > Files >
Compression ページでこれらのポリシーを有効にすることができます。
Web 圧縮リソース ポリシーの作成
1.
Web コンソールで、Resource Policies > Files > Compression を選択します。
2.
Windows または Unix/NFS タブを選択して、圧縮したいファイル データの種類を指
定します。
3.
New Policy をクリックします。
4.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
Files ページの設定
„
543
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
6.
Roles セクションで、以下を指定します。
7.
8.
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Compress - IVE は指定されたリソースから、対応しているコンテンツタイプを
圧縮します。
„
Do not compress - IVE は指定されたリソースから、対応しているコンテンツタ
イプを圧縮しません。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
Save Changes をクリックします。
Encoding タブ
ファイル サーバーとの対話時に IVE がデータをコード化する方法を指定するには、
Files > Encoding タブを使用します。
IVE トラフィックの国際化コードの指定
IVE トラフィックの国際化コードを指定するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > File > Encoding を選択します。
2.
適切なオプションを選択します。
3.
544
„ Files ページの設定
„
Western European (ISO-8859-1)
„
Simplified Chinese (CP936)
„
Simplified Chinese (GB2312)
„
Traditional Chinese (CP950)
„
Traditional Chinese (Big5)
„
Japanese (Shift-JIS)
„
Korean
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Options タブ
Options タブを使用して、File リソース ポリシーに適用する File リソース オプションを
指定します。File リソース ポリシー オプションを有効にすると、File リソース ポリシー
ごとに Resources フィールドで指定されたホスト名のリストが作成されます。このホスト
名のリストに対してオプションが適用されます。
File リソース オプションの指定
File リソース オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Files > Options を選択します。
2.
次のオプションを選択します。
„
IP based matching for Hostname based policy resources - IVE は、File リソー
ス ポリシーに指定されたホスト名にそれぞれ対応する IP アドレスを参照しま
す。ユーザーがホスト名ではなく IP アドレスを指定してサーバーにアクセスし
ようとすると、IVE は IP をキャッシュ内の IP アドレスのリストに照合して、
ホスト名と IP が一致するかどうかを判断します。一致する IP が見つかった場
合、IVE はポリシーの一致としてこれを受け入れ、リソース ポリシーに指定さ
れたアクションが適用されます。
メモ : このオプションは、ワイルドカードやパラメータが含まれるホスト名には適用さ
れません。
„
Case sensitive matching for the Path component in File resources - NFS リソー
スへの URL で大文字と小文字を区別する場合には、このオプションを選択しま
す。URL でユーザー名やパスワード データを渡す場合には、このオプションを
使用します。
メモ : このオプションは、Windows サーバーには適用されません。
„
3.
Allow NTLM V1 - このオプションを選択すると、管理者認証情報の Kerberos 認
証が失敗した場合に、NTLM バージョン 1 認証に戻ります。
Save Changes をクリックします。
Files ページの設定
„
545
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
SAM ページの設定
Secure Application Manager オプションを使用すれば、ユーザーは、あたかも企業 LAN を
使用しているかのように暗号化 SSL トンネルを通じてアプリケーション サーバーにアク
セスできます。詳細については、131 ページの「セキュア アプリケーション マネージャ
の概要」を参照してください。
Resource Policies > SAM ページには、次のタブがあります。
„
546 ページの「Access タブ」- このタブを使用して、Secure Application Manager リ
ソース ポリシーを作成します。
„
547 ページの「Options タブ」- このタブを使用して、SAM リソース オプションを指
定します。
Access タブ
ロールに対して Secure Application Manager アクセス機能を有効にする場合には、ユー
ザーがアクセスできるアプリケーション サーバーを指定するリソース ポリシーを作成す
る必要があります。これらのポリシーは、Secure Application Manager の Java バージョン
および Windows バージョン ( それぞれ (J-SAM および W-SAM) の両方に適用されます。
ユーザーからアプリケーション サーバーに要求が送信されると、IVE は、SAM リソース
ポリシーを評価します。ユーザーの要求を SAM ポリシーにリストアップされたリソース
と照合する場合、IVE はリソース用に指定されたアクションを実行します。
SAM リソース ポリシーを作成するときに、以下の情報を入力する必要があります。
„
Resources - リソース ポリシーでは、ポリシーを適用する 1 つ以上のリソースを指
定する必要があります。SAM ポリシーを作成するときには、ユーザーが接続できるア
プリケーション サーバーを指定する必要があります。
„
Roles - リソース ポリシーでは、適用対象となるロールを指定する必要があります。
ユーザーから要求があると、IVE はそのロールに適用されるポリシーを決めて、要求
に対応するポリシーを評価します。SAM リソース ポリシーは、J-SAM または W-SAM
によって送信されたユーザー要求に適用されます。
„
Actions - Secure Application Manager リソース ポリシーは、アプリケーション サー
バーに対するアクセスを許可または拒否します。
IVE プラットフォームのエンジンが、リソース ポリシーを評価する際に、ポリシーの
Resources リスト内に表示されるリソースは、501 ページの「リソース ポリシーのリソー
スの指定」で説明されているように、標準書式に従っていなければなりません。
Secure Application Manager リソース ポリシーの作成
Secure Application Manager リソース ポリシーを作成するには、次の操作を実行します。
546
„ SAM ページの設定
1.
Web コンソールで、Resource Policies > SAM > Access を選択します。
2.
Secure Application Manager Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
Resources セクションで、このポリシーを適用するアプリケーション サーバーを指
定します。
5.
Roles セクションで、以下を指定します。
6.
„
Policy applies to ALL roles - このオプションを選択してこのポリシーをすべて
のユーザーに適用します。
„
Policy applies to SELECTED roles - このオプションを選択して、Selected roles
リストでロールにマッピングされたユーザーのみにこのポリシーを適用します。
Available roles リストからこのリストに必ずロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - このオプション
を選択して、Selected roles リストでロールにマッピングされたユーザーを除い
たすべてのユーザーにこのポリシーを適用します。Available roles リストからこ
のリストに必ずロールを追加してください。
Action セクションで、以下を指定します。
„
Allow socket access - このオプションを選択して、Resources リストで指定し
たアプリケーション サーバーに対するアクセスを許可します。
„
Deny socket access - このオプションを選択して、Resources リストで指定した
アプリケーション サーバーに対するアクセスを拒否します。
„
Use Detailed Rules - このオプションを選択して、このポリシーに 1 つまたはそ
れ以上の規則を指定します。詳細については、503 ページの「詳細規則の記述」
を参照してください。
7.
Save Changes をクリックします。
8.
Secure Application Manager の Policies ページで、IVE での評価方法に応じてポリシー
に順序を設定します。IVE は、ユーザーから要求されたリソースをポリシー ( または
詳細規則 ) の Resource リスト内のリソースと照合し、指定されたアクションを実行
してポリシーの処理を停止します。
Options タブ
Options タブでは、SAM リソース オプションを指定し、SAM リソース ポリシーでリソー
スとして指定されたホスト名と IP アドレスを照合させます。このオプションを有効にす
ると、IVE は SAM リソース ポリシーで指定されたホスト名にそれぞれ対応する IP アドレ
スを参照します。ユーザーがホスト名ではなく IP アドレスを指定してサーバーにアクセ
スしようとすると、IVE は IP をキャッシュ内の IP アドレスのリストに照合して、ホスト
名と IP が一致するかどうかを判断します。一致する IP が見つかった場合、IVE はポリ
シーの一致としてこれを受け入れ、リソース ポリシーに指定されたアクションが適用さ
れます。
このオプションを有効にすると、SAM リソース ポリシーごとに Resources フィールドに
指定されたホスト名のリストが作成されます。このホスト名のリスト全体に対してオプ
ションが適用されます。
メモ : このオプションは、ワイルドカードやパラメータが含まれるホスト名には適用さ
れません。
SAM リソース オプションの指定
SAM リソース オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > SAM > Options を選択します。
SAM ページの設定 „ 547
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
548
„ SAM ページの設定
2.
IP based matching for Hostname based policy resources を選択します。このオプショ
ンを選択すると、IVE は Secure Application Manager リソース ポリシーに指定された
ホスト名にそれぞれ対応する IP アドレスを参照します。ユーザーがホスト名ではな
く IP アドレスを指定してサーバーにアクセスしようとすると、IVE は IP をキャッ
シュ内の IP アドレスのリストに照合して、ホスト名と IP が一致するかどうかを判断
します。一致する IP が見つかった場合、IVE はポリシーの一致としてこれを受け入
れ、リソース ポリシーに指定されたアクションが適用されます。
3.
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Telnet/SSH ページの設定
Secure Terminal Access オプションを使用すれば、Telnet プロトコルを使用して内部サー
バー ホストに接続したり、Web ベースの端末セッション エミュレーションによって暗号
化された Secure Shell (SSH) セッションを介して通信することができます。この機能は、
次のアプリケーションとプロトコルをサポートします。
„
Network Protocols - サポートされているネットワーク プロトコルです(Telnet と SSH
を含む )。
„
Terminal Settings - サポートされているターミナル設定 (VT100、VT320、その派生と
スクリーン バッファを含む )。
„
Security - サポートされているセキュリティ機構で、SSL およびホスト セキュリ
ティ ( 必要に応じて SSH など ) を使用した Web/ クライアント セキュリティを含
みます。
Resource Policies > Telnet/SSH ページには、次のタブがあります。
„
549 ページの「Access タブ」- Telnet/SSH リソース ポリシーを作成するには、このタ
ブを使用します。
„
550 ページの「Options タブ」- このタブを使用して、Telnet/SSH リソース オプショ
ンを指定します。
Access タブ
ロールに対して Telnet/SSH アクセス機能を有効にする場合には、ユーザーがアクセスで
きるリモート サーバーを指定するリソース ポリシーを作成する必要があります。IVE は
ユーザー要求を Telnet/SSH ポリシーでリストアップされたリソースと照合して、リソー
スに対して指定されたアクションを実行します。
Telnet/SSH リソース ポリシーを作成するときに、次の情報を入力する必要があります。
„
Resources - リソース ポリシーでは、ポリシーを適用する 1 つ以上のリソースを指
定する必要があります。Telnet/SSH ポリシーの作成時には、ユーザーが接続できるリ
モート サーバーを指定する必要があります。
„
Roles - リソース ポリシーでは、適用対象となるロールを指定する必要があります。
ユーザーから要求があると、IVE はそのロールに適用されるポリシーを決めて、要求
に対応するポリシーを評価します。
„
Actions - Telnet/SSH リソース ポリシーは、サーバーに対するアクセスを許可または
拒否します。
IVE エンジンは、リソース ポリシーを評価するときには、217 ページの「リソース ポリ
シーのリソースの指定」で説明されているように、ポリシーの Resources リスト内に表
示されるリソースが正式フォーマットに従う必要があります。
Telnet/SSH リソース ポリシーの作成
Telnet/SSH リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Telnet/SSH > Access を選択します。
2.
Telnet/SSH Policies ページで、New Policy をクリックします。
Telnet/SSH ページの設定 „ 549
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明(オプション)
4.
Resources セクションでは、218 ページの「サーバー リソースの指定」で説明されて
いるガイドラインに従って、このポリシーが適用されるサーバーを指定します。
5.
Roles セクションで、以下を指定します。
6.
„
Policy applies to ALL roles - このフィールドを使用して、このポリシーをすべ
てのユーザーに適用します。
„
Policy applies to SELECTED roles - このフィールドを使用して、Selected roles
リストでロールにマッピングされたユーザーのみにこのポリシーを適用します。
Available roles リストからこのリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - このフィールド
を使用して、Selected roles リストでロールにマッピングされたユーザーを除い
たすべてのユーザーにこのポリシーを適用します。Available roles リストからこ
のリストに必ずロールを追加してください。
Action セクションで、以下を指定します。
„
Allow access - このフィールドを使用して、Resources リストで指定したサー
バーに対するアクセスを許可します。
„
Deny access - このフィールドを使用して、Resources リストで指定したサー
バーに対するアクセスを拒否します。
„
Use Detailed Rules - このフィールドを使用して、このポリシーのために 1 つま
たはそれ以上の詳細な規則を指定します。詳細については、220 ページの「詳細
規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Telnet/SSH Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま
す。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細規則 ) の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Options タブ
Options タブでは、Telnet/SSH リソース オプションを指定して、Telnet/SSH リソース ポ
リシーでリソースとして指定されたホスト名と IP アドレスを照合します。このオプショ
ンを有効にすると、IVE は Telnet/SSH リソース ポリシーに指定された各ホスト名に対応
する IP アドレスを参照します。ユーザーがホスト名ではなく IP アドレスを指定してサー
バーにアクセスしようとすると、IVE は IP をキャッシュ内の IP アドレスのリストに照合
して、ホスト名と IP が一致するかどうかを判断します。一致する IP が見つかった場合、
IVE はポリシーの一致としてこれを受け入れ、リソース ポリシーに指定されたアクション
が適用されます。
このオプションを有効にすると、Telnet/SSH リソース ポリシーごとに Resources フィー
ルドで指定されたホスト名のリストが作成されます。このホスト名のリスト全体に対して
オプションが適用されます。
メモ : このオプションは、ワイルドカードやパラメータが含まれるホスト名には適用さ
れません。
550
„ Telnet/SSH ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Telnet/SSH リソース オプションの指定
Telnet/SSH リソース オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Telnet/SSH > Options を選択します。
2.
IP based matching for Hostname based policy resources を選択します。IVE は
Telnet/SSH リソース ポリシーで指定されたホスト名にそれぞれ対応する IP アドレス
を参照します。ユーザーがホスト名ではなく IP アドレスを指定してサーバーにアク
セスしようとすると、IVE は IP をキャッシュ内の IP アドレスのリストに照合して、
ホスト名と IP が一致するかどうかを判断します。一致する IP が見つかった場合、IVE
はポリシーの一致としてこれを受け入れ、リソース ポリシーに指定されたアクショ
ンが適用されます。
3.
Save Changes をクリックします。
Telnet/SSH ページの設定 „ 551
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Terminal Services Policies ページの設定
Terminal Services オプションを使用すれば、161 ページの「ターミナル サービスの概要」
で説明されているように、ユーザーは IVE セッションから Windows および Citrix
Metaframe ターミナル サーバーに接続できます。
Resource Policies > Terminal Services ページには次のタブがあります。
„
552 ページの「Access タブ」- このタブを使用して、Terminal Services リソース ポ
リシーを作成します。
„
553 ページの「Options タブ」- このタブを使用して、Terminal Services リソース オ
プションを指定します。
Access タブ
ロールに対して Terminal Services 機能を有効にする場合には、ユーザーがアクセスでき
るリモート サーバーを指定するリソース ポリシーを作成する必要があります。ターミナ
ル サービス リソース ポリシーを作成するとき、以下の情報を入力する必要があります。
„
Resources - リソース ポリシーでは、ポリシーを適用する 1 つ以上のリソースを指
定する必要があります。Terminal Services ポリシーを作成するときには、ユーザーが
接続できるターミナル サーバーを指定する必要があります。
„
Roles - リソース ポリシーでは、適用対象となるロールを指定する必要があります。
ユーザーから要求があると、IVE はそのロールに適用されるポリシーを決めて、要求
に対応するポリシーを評価します。
„
Actions - Terminal Services リソース ポリシーは、ターミナル サーバーに対するアク
セスを許可または拒否します。
IVE プラットフォームのエンジンが、リソース ポリシーを評価する際に、ポリシーの
Resources リスト内に表示されるリソースは、501 ページの「リソース ポリシーのリソー
スの指定」で説明されているように、標準書式に従っていなければなりません。
ターミナル サービス リソース ポリシーの作成
ターミナル サービス リソース ポリシーを作成するには、次の操作を実行します。
552
1.
Web コンソールで、Resource Policies > Terminal Services > Access を選択します。
2.
Terminal Services Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明(オプション)
4.
Resources セクションで、501 ページの「サーバー リソースの指定」で説明されてい
るガイドラインを利用して、このポリシーを適用するサーバーを指定します。
5.
Roles セクションで、以下を指定します。
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„ Terminal Services Policies ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
6.
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Allow access - Resources リストで指定したサーバーに対するアクセスを許可し
ます。
„
Deny access - Resources リストで指定したサーバーに対するアクセスを拒否し
ます。
„
Use Detailed Rules - このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、503 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Terminal Services Policies ページで、IVE による評価方法に応じてポリシーに順序
を設定します。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細
規則 ) の Resource リスト内のリソースと照合し、指定されたアクションを実行し
てポリシーの処理を停止します。
Options タブ
Options タブを使用して、Terminal Services リソース ポリシーでリソースとして指定され
たホスト名と IP アドレスを照合します。このオプションを有効にすると、IVE は
Terminal Services リソース ポリシーに指定された各ホスト名に対応する IP アドレスを参
照します。ユーザーがホスト名ではなく IP アドレスを指定してサーバーにアクセスしよ
うとすると、IVE は IP をキャッシュ内の IP アドレスのリストに照合して、ホスト名と IP
が一致するかどうかを判断します。一致する IP が見つかった場合、IVE はポリシーの一致
としてこれを受け入れ、リソース ポリシーに指定されたアクションが適用されます。
このオプションを有効にすると、Terminal Services リソース ポリシーごとに Resources
フィールドに指定されたホスト名のリストが作成されます。このホスト名のリスト全体に
対してオプションが適用されます。
メモ : このオプションは、ワイルドカードやパラメータが含まれるホスト名には適用さ
れません。
ターミナル サービス リソース オプションの指定
ターミナル サービス リソース オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Terminal Services > Options を選択し
ます。
2.
IP based matching for Hostname based policy resources を選択します。
3.
Save Changes をクリックします。
Terminal Services Policies ページの設定
„
553
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Meetings ページの設定
Secure Meeting を使用すれば、Web ページを通じて直観的に、企業間のオンライン会議の
予定を立てたり開催することができます。詳細については、164 ページの「セキュア ミー
ティングの概要」を参照してください。
他のアクセス機能とは異なり、Secure Meeting の場合には、この機能が有効に構成された
すべてのロールに対して 1 つのリソース ポリシーが適用されます。ロールに対して
Secure Meeting アクセス機能を有効にするには、リソース ポリシーを 1 つ作成する必要
があります。このリソースポリシーを使用して、次のことを実行できます。
„
ミーティングのセッション寿命制限を指定する
„
予定を立てたミーティングで夏時間調整を有効にする
„
ミーティング プレゼンテーションの最大の色深度を指定する
„
IVE のエンド ユーザー コンソールで予定を立てたミーティングに招待されたユー
ザーへの自動 E メール通知を有効にする
Secure Meeting リソース ポリシーの作成
Secure Meeting リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Meetings を選択します。
2.
Session lifetime セクションで、以下の値を指定します。
„
Idle Timeout - このフィールドを使用して、アイドル状態でミーティング セッ
ションの終了を待つ時間を分単位で指定します。
„
Max. Session Length - このフィールドを使用して、ミーティング セッションを
開いて終了を待つ時間を分単位で指定します。
メモ : ここで入力される値はミーティング セッションに適用されます。IVE セッション
には適用されません。たとえば低いセッション寿命値を、Web コンソール Users >
Roles > [ ロール ] > General > Session Options ページで入力することができます。
ユーザーがミーティングに参加する前にロール - レベル値の 1 つに達した場合には、IVE
にサインバックして、IVE エンド ユーザー コンソールを通してミーティングにアクセス
する必要があります。ただし、ユーザーがミーティングに参加した後にこれらのロール レベル値に達した場合には、この値はミーティングに適用されません。ユーザーは、こ
こで指定されているリソース ポリシー - レベルの制限に達するまで、妨げられることな
くミーティングに参加し続けることができます。
3.
554
„ Meetings ページの設定
SMTP E メール サーバーを有効にするには、Email meeting notifications セクション
で Enabled を選択します。次に以下の操作を実行します。
„
次に以下の操作を実行します。アプライアンスからミーティング参加者に E メー
ル トラフィックをルーティングできる SMTP サーバーの IP アドレスまたはホス
ト名を SMTP Server フィールドに入力します。
„
指定した SMTP E メール サーバーの有効なログイン名とパスワードを SMTP
Login フィールドと SMTP Password フィールドにそれぞれ入力します(SMTP
サーバーで必要な場合)。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
SMTP Email フィールドに、自分の E メール アドレスまたは別の管理者のアドレ
スを入力します。E メールの作成者が IVE に自分の E メール アドレスを設定して
いない場合、Secure Meeting は指定されたアドレスを送信者の E メール アドレ
スとして使用します。
メモ : Secure Meeting で SMTP サーバーを使用できるようにするには、さらに
System > Network > Overview タブの Hostname フィールドで IVE アプライアンス
の仮想ホスト名を定義する必要があります。Secure Meeting は、ここで指定した名前を
使用して、ミーティング URL を知らせる通知 E メールを作成し、SMTP を呼び出しま
す。IVE が複数の名前にマッッピングされていて、仮想ホスト名を定義しない場合には、
ミーティングを作成する前に、IVE ユーザーがサインインする名前を制限する必要があ
ります。たとえば、IVE が、企業のファイアウォール内からしかアクセスできない内部
名(sales.acmegizmo.com など)と、どこからでもアクセス可能な別の名前
(partners.acmegizmo.com など)にマッピングされる場合、IVE ユーザーは、ミーティ
ングを作成する前に partners.acmegizmo.com にサインインする必要があります。そう
しないと、IVE 参加者以外のユーザーが、接続できない IVE へのリンクが含まれた E
メール通知を受け取ることになります。
4.
Options セクションで、夏時間と色深度のオプションを構成します。
„
Observe DST in this default timezone リストから、IVE があてはまるタイムゾー
ンを選択します。この場合、すべてのミーティングにデフォルトで指定されたタ
イムゾーンの夏時間調整が継承されます。IVE で夏時間調整を行わないようにす
るには、Do not observe DST を選択します。ユーザーは、IVE エンド ユーザー コ
ンソールの Preferences ページで他のユーザーの夏時間調整タイムゾーンをそれ
ぞれ無効にすることができます。この場合、Meetings Policies ページで変更を
行ってもそれが反映されません。
メモ : ユーザーが IVE にサインインすると、Secure Meeting はマシンで “Timezone
Grabber” と呼ばれている ActiveX コンポーネントを実行してタイムゾーンを決定し
ます。
„
True Color 表示を有効にするには、Enable 32-bit (True Color) Presentations
を選択します。デフォルトでは、Secure Meeting は司会者のデスクトップと
同じ色深度 (32 ビット色まで)を使用してアプリケーションを表示します。
ただし、このオプションがオフの状態で、ユーザーが 32 ビット色でアプリ
ケーションを表示すると、パフォーソンスを向上させるために、画像は 16
ビットに変換されます。
5.
Save Changes をクリックします。
6.
490 ページの「Options タブ」の説明に従って、ロールについてそれぞれ Secure
Meeting 設定を構成します。
Meetings ページの設定
„
555
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Network Connect ページの設定
Network Connect オプションにより、IVE ポート 443 を使用して、安全かつ SSL ベースの
ネットワーク レベルで、すべての企業アプリケーション リソースにリモート アクセスで
きます。
メモ : Network Connect をインストールするには、653 ページの「クライアント サイ
ドのアプリケーション インストール」で説明されているように、ユーザーに適切な特
権が必要となります。これらの権限がユーザーにない場合、Web コンソールの
Maintenance > System > Installers ページで Juniper Installer サービスを使用して、
この要求を回避します。
Resource Policies > Network Connect ページには、次のタブがあります。
„
556 ページの「Network Connect Access Control タブ」- このタブを使用して、
Network Connect アクセス リソース ポリシーを作成します。
„
557 ページの「Network Connect Logging タブ」- このタブを使用して、Network
Connect ロギング ポリシーを作成します。
„
558 ページの「Network Connect Connection Profiles タブ」- このタブを使用して、
Network Connect 接続プロファイルを作成します。
„
562 ページの「Network Connect Split Tunneling タブ」- このタブを使用して、
Network Connect スプリットトンネル ネットワーク リソース ポリシーを作成します。
IVE プラットフォームのエンジンが、リソース ポリシーを評価する際に、ポリシーの
Resources リスト内に表示されるリソースは、501 ページの「リソース ポリシーのリソー
スの指定」で説明されているように、標準書式に従っていなければなりません。
Network Connect Access Control タブ
Network Connect Access Control タブを使用して、Network Connect の使用中にコン
トロール リソースのユーザーが接続できる Network Connect リソース ポリシーを作
成します。
Network Connect アクセス リソース ポリシーの作成
Network Connect アクセス リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Network Connect > Network Connect
Access Control を選択します。
2.
Network Connect の Network Connect Access Control ページで、New Policy をクリッ
クします。
3.
New Policy ページで、以下を入力します。
4.
556
„ Network Connect ページの設定
a.
このポリシーに付ける名前
b.
ポリシーの説明(オプション)
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
6.
Roles セクションで、以下を指定します。
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Allow access - このオプションを選択して、Resources リストで指定したリソー
スに対するアクセスを許可します。
„
Deny access - このオプションを選択して、Resources リストで指定したリソー
スに対するアクセスを拒否します。
„
Use Detailed Rules - このオプションを選択して、指定されたリソースに制限を
追加するリソース ポリシー規則を定義します。詳細については、503 ページの
「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Network Connect Access Policies ページで、IVE での評価方法に応じてポリシーに順
序を設定します。IVE は、ユーザーから要求されたリソースをポリシー ( または詳細
規則 ) の Resource リスト内のリソースと照合し、指定されたアクションを実行して
ポリシーの処理を停止します。
Network Connect Logging タブ
Network Connect Logging タブを使用して、1 人以上の Network Connect ユーザーのパ
ケット情報をまとめて表示します。クライアントサイドの Network Connect パケット情報
を作成すると、セッションの障害やユーザーの定期的なパケットの損失などの Network
Connect の問題をよりよくサポートし、トラブルシューティングに役立ちます。ユーザー
の認証、承認、IP 割り当て情報、ソースおよび送信先 IP アドレス、ソースおよび送信先
ポート割り当て、セッション トランスポート プロトコルに基づいて、特定タイプのパ
ケットのログ記録をとったり、検索することもできます。
Network Connect ロギング ポリシーの作成
Network Connect ロギング ポリシーを作成するには、以下のような操作を実行します。
1.
Web コンソールで、Resource Policies > Network Connect > Network Connect
Logging を選択します。
2.
Network Connect Logging ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
4.
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、501 ページの「リソース ポリシーのリソースの指定」を参照してください。
Network Connect ページの設定
„
557
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
6.
7.
Roles セクションで、次のオプションのいずれかを選択します。
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、次のオプションのいずれかを選択します。
„
Log Packets - このオプションを選択して、ロギング ポリシーで指定されている
基準に一致したすべての接続に対して自動的にパケットのログ記録をとるよう
IVE に指示を出します。
„
Use Detailed Rules - このオプションを選択して、指定されたリソースに制限を
追加するリソース ポリシー規則を定義します。詳細については、503 ページの
「詳細規則の記述」を参照してください。
Save Changes をクリックします。
Network Connect Connection Profiles タブ
Network Connect Connection Profiles タブを使用して、Network Connect リソース プロ
ファイルを作成します。IVE が、Network Connect セッションの開始を求めるクライアン
ト要求を受信すると、IVE は、クライアントサイドの Network Connect エージェントに IP
アドレスを割り当てます。IVE は、ユーザーのロールに適用する IP Address Pool ポリシー
に基づいてこの IP アドレスを割り当てます。さらに、この機能によって Network Connect
セッションでのトランスポート プロトコルや暗号化方法、データ圧縮を使用するかどう
かなどを指定できます。
マルチサイト クラスタのノードは構成情報を共有します。つまり、別のネットワークにあ
る IVE も IP アドレスの範囲を共有します。いずれの IVE ノードでも、Network Connect
セッションの開始を求めるクライアント要求を受信する可能性があるので、ノードに対し
て、このノードで利用できるネットワーク アドレスだけをフィルタリングする IP フィル
タを指定する必要があります。Network Connect セッションを作成する要求を受信すると、
クラスタ ノードは、フィルタリングされた IP アドレスの範囲から、そのセッション用の
IP アドレスを割り当てます。
Network Connect 接続プロファイルの作成
ネットワーク コネクト 接続プロファイルを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Network Connect > Network Connect
Connection Profiles を選択します。
2.
Network Connect Connection Profiles ページで、New Profile をクリックします。
3.
New Profile ページで、以下の情報を入力します。
4.
558
„ Network Connect ページの設定
a.
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
IP address assignment セクションで、以下のいずれかを選択してクライアントサイ
ド IP アドレスの割り当てを指定します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
DHCP server - このオプションでは、クライアントサイド IP アドレスの割り当
てを担当するネットワーク DHCP (Dynamic Host Configuration Protocol) サーバー
のホスト名または IP アドレスを指定することができます。
„
IP address pool - このオプションでは、Network Connect サービスを実行する
クライアントに IVE が割り当てる IP アドレスまたは IP アドレスの範囲を指定す
ることができます。使用する正式フォーマット: ip_range
ip_range は “a.b.c.d-e” のような書式で指定することができます。ここで、IP ア
ドレスの最後のコンポーネントはハイフン(-)で区切られた範囲を意味します。
特殊文字は使用できません。例:10.10.10.1-100.
メモ : Network Connect クライアントサイド IP アドレス プール、または Network
Connect 接続プロファイルで指定された DHCP サーバーが IVE と同じサブネットに存在
するように、ネットワークを設定することをお勧めします。
ネットワーク トポロジーによって、IVE の内部 IP インターフェースと IP アドレス プー
ル、または DHCP サーバーが異なるサブネットに存在することになった場合、静的ルー
トをイントラネットのゲートウェイ ルーターに追加して、企業リソースと IVE が内部
ネットワークで相互アクセス可能にする必要があります。
メモ : LAN または WAN 上でマルチユニット クラスタを実行している場合は、クラスタ
内の各ノードで有効なアドレスが IP アドレス プールに入っていることを確認します。
次に、この IP アドレス プールに適用する各ノードの IP フィルタを構成します。
5.
Connection settings セクションで、この接続プロファイルの転送、暗号化、圧縮設
定を指定します。
a.
以下の中から 1 つ選択して、カプセル化と転送の方法を指定します。
‰
ESP ( パフォーマンスを最大化 ) - このオプションを選択して、UDP カプセ
ル化 ESP 転送方法でクライアントと IVE 間でデータを安全に転送します。
UDP ポート、ESP-to-NCP 代替システム タイムアウト値、ESP 暗号化キー寿
命値を定義してデータ転送 パラメータをさらにカスタマイズできます。
‰
oNCP/NCP ( 互換性を最大化 ) - このオプションを選択して、この接続プロ
ファイルに標準の oNCP/NCP 転送方法を使用します。oNCP および NCP に関
する基礎的な情報、および IVE での NCP 使用のためのオプションについて
は、307 ページの「NCP タブ」を参照してください。
メモ : oNCP 転送プロトコルは NCP に対してさらに向上したフレキシビリティを提供
し、Macintosh と Linux クライアントに対応しています ( 従来の NCP 転送プロトコルは
Windows クライアント環境だけで機能します )。Web コンソールの System >
Configuration > NCP ページで oNCP/NCP 自動選択機能が無効にされて、UDP-tooNCP/NCP のフェイルオーバが発生する場合、IVE は Macintosh と Linux はクライアン
トとの接続を切ります。IVE UDP から NCP (oNCP の代わりに ) にフェイルオーバするた
めです。
Network Connect ページの設定
„
559
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
b.
NCP はこうしたユーザーをサポートしません。ESP 転送方法について IVE のデ
フォルト値を使用する場合には、ステップ c に進みます。デフォルト値を使用し
ない場合は、次の値を使用できます。
‰
UDP port - UDP 接続トラフィック用の IVE ポートを指定します。デフォル
トのポート番号は 4500 です。
メモ : カスタムのポート番号を指定しても、または IVE で設定されたデフォルトの
ポート番号 (4500) を使用しても、他のデバイスおよび暗号化されたトンネルは、
UDP トラフィックが IVE と Network Connect クライアント間でやり取りできるよう
にする必要があります。たとえば、インターネットと企業イントラネットの間で
エッジ ルーターとファイアウォールを使用する場合、ルーターとファイアウォール
の両方でポート 4500 を有効にし、ポート 4500 が UDP トラフィックを渡せるよう
に設定する必要があります。
‰
ESP to NCP fallback timeout - IVE が UDP の接続エラーの後に標準の
oNCP/NCP 接続を自動的に確立するまで待機する時間を秒単位で指定しま
す。デフォルトの時間は 15 秒です。0 秒の値を指定すると、IVE は
oNCP/NCP 接続に対して決してフェイルオーバーしません。
‰
Key lifetime - IVE がこの接続プロファイルに同じ ESP 暗号化キーを連続し
て使用する時間を分単位で指定します。ローカルサイドとリモートサイドの
両方の暗号化転送トンネルが同一の暗号化キーを使用するのは限られた時間
だけであり、これによって許可されていないアクセスを防ぎます。デフォル
トの時間は 20 秒です。
メモ : 頻繁に暗号化キーを変更すると、IVE の CPU の負担を増加させます。
c.
以下のいずれかを選択して、暗号化の方法を指定します。
‰
‰
d.
6.
AES/SHA1 ( セキュリティを最大化 ) - このオプションでは、データ チャネ
ルで Advanced Encryption Standard (AES)1 暗号化を使用し、Network
Connect セッション時に SHA12 認証方法を使用するように IVE に指示しま
す。
AES/MD5 ( パフォーマンスの最大化 ) - このオプションでは、AES1 暗号化を
データ チャネルで使用し、Network Connect セッション中に MD53 認証方法
を使用するように IVE に指示を出します。
安全な接続のために圧縮を使用するかどうか指定します。
Roles セクションで、以下を指定します。
„
Policy applies to ALL roles - このオプションを選択すると、このポリシーをす
べてのユーザーに適用します。
1. AES 暗号化方法は、128 ビット暗号化キーを使用した暗号アルゴリズムで IP パケットをコード化し、IP パケットを
保護します。
2. SHA1 認証法は、ユーザー ID とパスワード情報をコード化するときに使用が簡単で、効果的です。SHA1 アルゴリズ
ムはユーザー ID またはパスワード文字列から成る文字を判読不能なテキストに変換し、IVE から、または IVE にそ
のテキストを転送します。同じアルゴリズムを使用して変換を逆転させてから、認証サーバーに提示します。
3. MD5 認証アルゴリズムはデジタル署名を作成します。MD5 認証方法は入力文字列 ( たとえばユーザーの ID やサイン
イン パスワードなど ) を一定の 128 ビットの指紋 (「メッセージ ダイジェスト」とも呼ばれる ) に変換してから、
IVE から、または IVE に転送します。
560
„ Network Connect ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Policy applies to SELECTED roles - このオプションを選択すると、Selected
roles リストでロールにマッピングされたユーザーのみにこのポリシーを適用し
ます。Available roles リストからこのリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - このオプション
を選択すると、Selected roles リストでロールにマッピングされたユーザーを除
いた すべてのユーザーにこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
7.
New Profile ページで、DNS タブをクリックします。
8.
Custom DNS Settings チェックボックスを選択すると、指定した設定で標準の DNS
設定を上書きします。
9.
a.
Primary DNS - プライマリ DNS 用に IP アドレスを指定します。
b.
Secondary DNS - セカンダリ DNS 用に IP アドレスを指定します。
c.
DNS Domain(s) - “yourcompany.com, yourcompany.net” など DNS ドメインを指
定します。
DNS search order セクションで、スプリット トンネルが有効化されている場合にの
み、次のように DNS サーバー検索順序を選択します。
„
初めに IVE サーバーを検索してから、クライアントを検索する
„
初めにクライアント DNS を検索してから、IVE を検索する
10. New Profile ページで、Proxy タブをクリックします。
11. Network Connect proxy server configuration セクションで以下のオプションのいず
れかを選択します。
„
No proxy server - 新規プロファイルにプロキシ サーバーが必要ないことを指定
します。
„
Automatic (PAC file on IVE) - PAC ファイルが存在するサーバーの IP アドレスを
指定するか、ローカル ホスト上で PAC ファイルの場所を参照して、IVE にアッ
プロードします。
„
Automatic (PAC file on another server) - PAC ファイルが存在するサーバーの IP
アドレスを指定します。
„
Manual configuration - サーバーの IP アドレスを指定して、ポートを割り当て
ます。
12. Save Changes をクリックします。
13. NC Connection Profiles ページで、IVE での評価方法に応じてプロファイルに順序を
設定します。IVE は、ユーザーから要求されたリソースとプロファイル ( または詳細
規則 ) の Resource リスト内のリソースを照合して一致するものを見つけると、指定
されたアクションを実行してポリシーの処理を停止します。
メモ : IVS ライセンスのあるシステム上で Network Connect を実行している場合は、243
ページの「仮想化 IVE で使用する Network Connect の設定」を参照してください。
14.
Network Connect ページの設定
„
561
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Network Connect Split Tunneling タブ
Network Connect Split Tunneling タブを使用して、Network Connect リソース ポリシー
を作成します。このリソース ポリシーでは、リモート クライアントと企業イントラネッ
ト間で渡されるトラフィックを IVE が処理するためのネットワーク IP アドレス / ネット
マスクの組み合わせを 1 つまたは複数指定します。
スプリット トンネルが使用されると、Network Connect はクライアントでルーティン
グを修正し、企業イントラネット ネットワーク用のトラフィックは Network Connect
に向かい、その他すべてのトラフィックはローカルの物理アダプタを経由するように
します。IVE はまず、物理アダプタ経由で送信されたすべての DNS リクエストの解決
を試みてから、送信できなかったリクエストをネットワーク コネクト アダプタに
ルーティングします。
Network Connect スプリットトンネル ネットワーク リソース ポリシーの作成
Network Connect スプリット トンネル ネットワーク リソース ポリシーを作成するには、
次の操作を実行します。
1.
Web コンソールで、Resource Policies > Network Connect > Network Connect Split
Tunneling を選択します。
2.
Network Connect Network Connect Split Tunneling ページで、New Policy をクリッ
クします。
3.
New Policy ページで、以下を入力します。
このポリシーに付ける名前
b.
ポリシーの説明 ( オプション )
4.
Resources セクションで、リモート クライアントと企業イントラネット間で渡され
るトラフィックを IVE が処理するためのネットワーク IP アドレス / ネットマスクの
組み合わせを 1 つまたは複数指定します。“/”(スラッシュ)表記を使用してネット
ワークを指定することもできます。
5.
Roles セクションで、以下を指定します。
6.
7.
562
a.
„ Network Connect ページの設定
„
Policy applies to ALL roles - すべてのユーザーにこのポリシーを適用します。
„
Policy applies to SELECTED roles - Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
„
Policy applies to all roles OTHER THAN those selected below - Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。
„
Allow access - このオプションを選択して、Resources リストで指定したリソー
スに対するアクセスを許可します。
„
Use Detailed Rules ( “Save Changes” をクリックすると利用可 ) - このオプショ
ンを選択して、指定されたリソースに制限を追加するリソース ポリシー規則を
定義します。詳細については、503 ページの「詳細規則の記述」を参照してくだ
さい。
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
8.
Network Connect Split Tunneling Policies ページで、IVE での評価方法に応じてポリ
シーに順序を設定します。IVE は、ユーザーから要求されたリソースをポリシー ( ま
たは詳細規則 ) の Resource リスト内のリソースと照合し、指定されたアクションを
実行してポリシーの処理を停止します。
使用例: Network Connect リソース ポリシーの設定
このセクションでは、実際の Network Connect アプリケーション、およびネットワークの
リモート ユーザーへのアクセスを提供する正しいリソース ポリシーを設定するために必
要な手順について説明します。
大規模な金融機関 ( または「フォーチュン企業」) では、Network Connect のような強固
なクライアント サインイン アプリケーションが必要です。これにより、遠隔地の社員は、
本社にある広範囲な企業リソースをシームレスなネットワーク接続により利用できます。
リモート ユーザーは通常、単なる E メールやミーティング予定表アプリケーション以外
に、ラップトップやクライアントのコンピュータで複数のアプリケーションにアクセスで
きる必要があります。これらリモートの「スーパー ユーザー」または「パワー ユーザー」
には、Microsoft OutlookTM、OracleTM および RemedyTM ケース マネジメント システムな
どのパワフルなサーバー アプリケーションに対して、安全で暗号化されたアクセスが必
要となります。
このシナリオでは、以下の点を想定しています。
„
同じ IVE を経由して金融機関の企業リソースにアクセスする、小グループのリモート
ユーザーが存在する
„
すべてのユーザーは、そのユーザー ID に割り当てられた同じ user_role_remote ロー
ルを所有している
„
Host Checker および Cache Cleaner を設定して、IVE へのログイン時と Network
Connect セッションの起動時にユーザーのコンピュータが確認される
„
すべてのユーザーは、以下の属性で本社の 3 つの大型サーバーにアクセスできる必
要がある
„
IP アドレス 10.2.3.201 で outlook.acme.com にアクセス
„
IP アドレス 10.2.3.202 で oracle.financial.acme.com にアクセス
„
IP アドレス 10.2.3.99 で case.remedy.acme.com にアクセス
„
この企業はその IP アドレス プールを厳重に管理したいため、各 IVE は IP アドレスを
リモート ユーザーに供給します ( 特定の IVE は 10.2.3.128 ~ 10.2.3.192 間の IP アド
レスを制御します )。
„
この企業は考えられる最も安全なアクセスとともに、クライアントのダウンタイムを
最小限にすることに関心があります。
このフォーチュン企業のリモート ユーザーに適切なアクセスを提供するには、Network
Connect リソース ポリシーを以下のように設定します。
1.
556 ページの「Network Connect アクセス リソース ポリシーの作成」に記載された手
順に従って、新しい Network Connect リソース ポリシーを作成し、これに、リモー
ト ユーザーにアクセスを許可する 3 台のサーバーを指定します。
Network Connect ページの設定
„
563
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
a.
Resources セクションで、3 台のサーバー (outlook.acme.com、
oracle.financial.acme.com および case.remedy.acme.com) にアクセスを許可する
ために必要な IP アドレス範囲をキャリッジ リターンで区切って指定します。
udp://10.2.3.64-127:80,443
udp://10.2.3.192-255:80,443
2.
564
„ Network Connect ページの設定
b.
Roles セクションで Policy applies to SELECTED roles オプションを選択して、
Selected roles リストで “user_role_remote” だけが表示されるようにします。
c.
Action で、Allow access オプションを選択します。
558 ページの「Network Connect 接続プロファイルの作成」で説明されている指示に
従って、クライアントと IVE 間のデータ トンネルの転送と暗号化の方法を定義する、
Network Connect 接続プロファイルを新規作成します。
a.
IP address assignment セクションで IP address pool オプションを選択し、関連
するテキスト フィールドで 10.2.3.128-192 を入力します。
b.
Connection Settings セクションで、ESP 転送オプションと AES/SHA1 暗号化オ
プションを選択します。
c.
Roles セクションで Policy applies to SELECTED roles オプションを選択して、
Selected roles リストで “user_role_remote” だけが表示されるようにします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Email Client ページの設定
Secure Email Client オプションを使用すれば、リモート ユーザーは、標準の Web ブラウ
ザとインターネット接続を使用して、Outlook Express、Netscape Communicator、
Qualcomm の Eudora などの標準ベースの E メールに、アクセスできるようになります。
詳細については、147 ページの「E メール クライアントの概要」を参照してください。
ロールの Email Client アクセス機能を有効にする場合には、メール サーバーの構成を指定
するリソース ポリシーを作成する必要があります。他の機能とは異なり、Secure Email
Client の場合には、この機能が有効なロールに対して 1 つのリソース ポリシーが適用さ
れます。ユーザーに対して E メール クライアント サービスを有効にするには、
IMAP/POP/SMTP メール サーバーの情報とユーザー認証構成を指定する必要があります。
IVE は、指定されたサーバーの E メール プロキシとしての役割を果たします。
IVE は、複数のメール サーバーをサポートしています。すべてのユーザーがデフォルトの
メール サーバーを使用するように構成することができます。また、ユーザーがカスタム
SMTP、IMAP、または POP メール サーバーを指定できるように構成することも可能です。
ユーザーがカスタム メール サーバーを指定できるようにした場合、ユーザーは IVE に
よってサーバー設定を指定する必要があります。IVE は、E メール ユーザー名を管理し
て、ユーザー名の重複を避けます。
Email Client メール サーバー リソース ポリシーの作成
Email Client メール サーバー リソース ポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Email Client を選択します。
2.
Email Client Support で、Enabled をクリックします。
3.
Email Authentication Mode で、オプションを選択します。
„
Web-based email session- ユーザーは IVE のEメール セットアップを1度だけ実
行する必要があります。次に、IVE の E メール セットアップで生成されたユー
ザー名とパスワードを使用するように、ユーザーが E メール クライアントをそ
れぞれ設定します。ユーザーは IVE にサインインして、E メール セッションを開
始することをお勧めします ( デフォルト )。
„
Combined IVE and mail server authentication - ユーザーは次の認証情報を使用
して、E メール クライアントを構成します。
‰
Username - ユーザーの標準のメール サーバー ユーザー名。次のいずれか
の条件に適合する場合には、IVE によって生成されたユーザー名。
- 複数のメール サーバー ユーザー名がある場合
- IVE のユーザー名とメール サーバーのユーザー名が異なる場合
‰
Password - ユーザーの IVE パスワード、カスタマイズできる信用情報の区
切り文字、ユーザーのメール サーバー パスワードの順で構成されます。
ユーザーは IVE にサインインしなくても、E メールを使用できます。
„
Mail server authentication only - ユーザーは標準のメール サーバー ユーザー名
とパスワードを使用するように各自の E メール クライアントを構成します。
ユーザーは IVE にサインインしなくても、E メールを設定および使用できます。
メモ : Email Setup ページを参照すれば、簡単にユーザー名とパスワードを確認でき
ます。
Email Client ページの設定
„
565
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
Default Server Information で、メール サーバー情報を指定します。IVE は、この
サーバーの E メール プロキシとしての役割を果たします。
メモ : 指定できるデフォルト メール サーバーは 1 つだけです。ユーザーが複数の SMTP
サーバー、POP サーバー、または IMAP サーバーから E メールを取り出す必要がある場
合には、該当するチェックボックスをオンにして、追加のメール サーバーを構成できる
ようにします。ユーザーがカスタム サーバーを指定できるように設定した場合、ユー
ザーは IVE の Email Setup ページで 1 度だけサーバーに関する情報を入力する必要があ
ります。
5.
6.
566
„ Email Client ページの設定
Email Session Information で、以下を指定します。
„
IVE が E メール クライアント セッションを終了するまでユーザーの E メール
セッションがアイドル状態のままとなる時間を制御する、Idle Timeout 値。
„
IVE が E メール クライアント セッションを終了するまでユーザーの E メール
セッションがアクティブ状態のままとなる時間を制御する、Max. Session
Length 値。
Save Changes をクリックします。
第 12 章
メンテナンス設定
Web コンソールの Maintenance セクションにある設定を使用すると、IVE の管理とトラ
ブルシューティングが行えます。
目次
„
569 ページの「System ページの設定」
„
574 ページの「Import/Export ページの設定」
„
585 ページの「Push Config ページの設定」
„
588 ページの「Archiving ページの設定」
„
591 ページの「Troubleshooting ページの設定」
„
567
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
568
„
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
System ページの設定
System ページには、次のタブがあります。
„
569 ページの「Platform タブ」- 再起動、リブート、シャットダウン、またはサー
バー接続状態のテストを行うには、このタブを使用します。
„
570 ページの「Upgrade/Downgrade タブ」- サービス パッケージのインストールに
は、このタブを使用します。
„
571 ページの「Options タブ」- バージョン モニタリングの有効化には、このタブを
使用します。
„
572 ページの「Installers タブ」- アプリケーションやサービスのダウンロードには、
このタブを使用します。
Platform タブ
Platform ページには IVE システム データのリストと、IVE の再起動、リブートまたは
シャットダウンのコントロールが含まれます。またサーバー の接続状態をテストするため
のコントロールも含まれます。IVE がクラスタのメンバーである場合は、このページには
追加のクラスタ特有のシステム データがリストされ、そのコントロールはクラスタ ベー
スで操作を行います。
再起動、リブート、シャットダウン、またはサーバー接続状態のテスト
Platform ページでは IVE のために以下のシステム データをリストします。
„
Model ― IVE のモデルを表示します。
„
Version ― IVE のソフトウェア バージョンを表示します。
„
Rollback ―インストールされたイメージをロールバックするときに IVE が戻るソフ
トウェア バージョンを表示します。
„
Last Reboot ― IVE の最後のリブートからの時間を表示します。
IVE がクラスタ メンバの場合は、Platform ページは以下の追加のシステム データをリス
トします。
„
Cluster ― IVE が属するクラスタ名を表示します。
„
Member ― IVE のクラスタ メンバ名を表示します。
Platform ページには以下のコントロールが含まれます。
„
Restart Services/Cluster ― すべてのプロセスを削除して、IVE を再起動します。IVE
がクラスタ メンバである場合は、このコントロールはすべてのプロセスを削除して、
クラスタのすべてのメンバを再起動します。
„
Reboot ― IVE の電源を入れ直して、リブートします。がクラスタのメンバーである
場合は、このコントロールはクラスタのすべてのメンバーの電源を入れ直してリブー
トします。
System ページの設定 „ 569
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Shut down ― IVE をシャットダウンします。サーバーを再起動するにはアプライアン
スのリセット ボタンを押す必要があります。IVE がクラスタのメンバーである場合
は、このコントロールはクラスタのすべてのメンバーをシャットダウンします。クラ
スタを再起動するには、すべてのクラスタ化されたアプライアンスのリセットボタン
を押す必要があります。
メモ : クラスタ内の 1 つの IVE を再起動、リブート、シャットダウン、または更新する
場合は、まず System > Clustering > Status ページのコントロールを使用して IVE を無
効にして、次に Platform ページに戻ります。
„
Rollback ― ソフトウェアイメージをロールバックして、IVE をリブートします。をリ
ブートすると、IVE のイメージは上の Rollback フィールドに表示されたイメージに
自動的にロールバックされます。
„
Test Connectivity ―IVE で使用するように設定されているすべてのサーバーに IVE か
ら ICMP Ping を送信して、サーバの接続状態を調べます。各サーバーのステータスは
Server Connectivity Results の下に表示されます。
メモ : 工場出荷状態へのリセットまたは直前の状態にシステムを戻す操作についてに
は、601 ページの「IVE シリアル コンソールの使用」を参照してください。
Upgrade/Downgrade タブ
別のサービス パッケージをインストールするには、Juniper サポートの Web サイトからソ
フトウェアを取得して、それを Web コンソールからアップロードします。IVE サーバー
が、Juniper Networks によって発行された有効なパッケージのみを受け入れるようにする
ため、パッケージ ファイルは暗号化され署名されています。これにより、トロイの木馬プ
ログラムが IVE サーバーに侵入するのを防ぐことができます。
この機能は通常、システム ソフトウェアのより新しいバージョンへのアップグレードに
使用されますが、このプロセスを旧バージョンへのダウングレードや、現在のすべての設
定を削除して「クリーン スレート」から始める場合にも使用できます。シリアル コン
ソールを通じて直前のシステム状態にロールバックすることもできます。詳細は、602
ページの「直前のシステム状態へのロールバック」を参照してください。
メモ : サービス パッケージをインストールする場合は、処理に数分かかる場合がありま
す。また、インストール完了後に IVE を再起動する必要があります。既存のシステム
データはこのときにバックアップされるため、サービス パッケージをインストールする
前にシステム ログをクリアしておくとインストール時間を短縮できます。
Juniper ソフトウェア サービス パッケージのインストール
新しいサービス パッケージをインストールする前に、現在のシステム設定、ローカル
ユーザー アカウント、カスタマイズしたユーザー設定、ロールおよびポリシー情報をエ
クスポートしてください。このタスクについては、574 ページの「Import/Export ページ
の設定」で説明しています。
サービス パッケージをインストールするには、次の操作を実行します。
570
„ System ページの設定
1.
Juniper サポートの Web サイトにアクセスして、希望のサービス パッケージを取得し
ます。
2.
Web コンソールで、Maintenance > System > Upgrade/Downgrade を選択します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
Browse をクリックして、サポート サイトから取得したハード ドライブ上のサービス
パッケージを参照します。IVE の同じバージョンを引き続き使用しながら、現在の設
定を削除するには、アプライアンスに現在インストールされているサービス パッ
ケージを選択します。
4.
古いサービス パッケージに戻すか、設定を削除する場合には、Delete all system and
user data を選択します。
メモ : このオプションを使用して、アプライアンスからすべてのシステム データとユー
ザー データを削除した場合には、システムの再設定を行う前に、ネットワーク接続を再
確立する必要があります。また、バージョン 3.1 以前の IVE に戻すことはできません。
5.
サービス パッケージ ファイルを選択して、Install Now をクリックします。
Options タブ
IVE では重要なソフトウェア パッチやアップデートの自動通知を設定することで、システ
ムを常に最新の状態に保ち、安全性を確保することができます。これを行うには、以下の
データを Juniper Networks に送ります。会社名、ライセンス設定の MD5 ハッシュ、現在
のソフトウェア バージョン情報。
バージョン監視およびアクセラレータ カードの有効化
自動アップデートおよびアクセレータ カードを有効化するには、次の操作を実行します。
1.
Web コンソールで、Maintenance > System > Options を選択します。
2.
重要なソフトウェア パッチやアップデートを自動的に受け取るには、Automatic
Version Monitoring チェックボックスをオンにします。
メモ : 安全の確保のために、この自動サービスを有効にすることを強く推奨しますが、
必要に応じて無効にできます。
3.
エンドユーザー インターフェースに表示される言語を指定するには、End-user
Localization ドロップダウン リストを使用します(オプション)
。言語を指定しな
い場合は、エンドユーザー インターフェースはブラウザの設定に基づいて表示さ
れます。
4.
HTTP 圧縮機能をサポートするブラウザに送信されるデータの量を減らすために、
Enable gzip compression チェックボックスを選択します。このオプションを有効
化する場合は、IVE が圧縮するデータ タイプを指定する Web およびファイル リ
ソース ポリシーも設定する必要があります。詳細については、265 ページの「圧
縮の概要」を参照してください。
5.
Enable SSL acceleration チェックボックスを選択し、アプライアンスからアクセ
ラレータ カードへの SSL ハンドシェイクの暗号化および復号化の処理負荷を軽減
します。
メモ : 対応するカードを搭載する SA 5000 IVE アプライアンスを購入した場合にのみ、
IVE はこのオプションを表示します。
6.
Save Changes をクリックします。
System ページの設定 „ 571
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Installers タブ
Installers タブには、ダウンロード可能なアプリケーションやサービスが表示されます。
アプリケーションまたはサービスは、Windows の実行ファイルとしてダウンロードでき
ます。これにより、次のことが可能になります。
„
ソフトウェア配布ツールを使用して、クライアント マシンへファイルを配布するこ
と。このオプションにより、アプリケーションやサービスをインストールするために
必要な管理者権限をユーザーが持っていない場合でも、クライアント マシンのアプ
リケーションまたはサービスが有効になります。
„
実行ファイルをセキュア リポジトリに転送して、適切な権限を持つユーザーが該当
するバージョンをダウンロードしてインストールできるようすること。
これらのオプションを使用すれば、クライアント マシンで実行するアプリケーションま
たはサービスのバージョンをコントロールできます。
アプリケーションまたはサービスをダウンロードする
Installers ページには以下のコントロールが含まれます。
„
Juniper Installer Service ― 管理者権限がなくても、クライアントサイド アプリケー
ションのダウンロード、インストール、アップグレード、実行が可能になります。こ
れらのタスクを実行するには管理者権限が必要なので、Juniper Installer Service は、
クライアントのローカル システム アカウント(システムへの完全アクセス権を持つ
強力なアカウント)の下で実行し、Windows の サービス コントロール マネージャ
(SCM) に登録します。ユーザーの Web ブラウザ内で実行されている ActiveX コント
ロールや Java アプレットは、IVE とクライアント システム間の安全なチャンネルを
通じて、実行されるインストール処理の詳細を通信します。
メモ : Juniper インストーラ サービスをクライアント システムにインストールする場合
は、次の事項に注意してください。
„
Juniper インストーラ サービスのインストールには管理者権限が必要です。
„
Juniper インストーラ サービスをインストールする前に、クライアント システムに
Microsoft Windows インストーラが存在することを確認します。
„
Juniper インストーラ サービスは Microsoft Windows インストーラを使用するた
め、SMS やインストール ラッパーなどの自動化されたプッシュ システムを活用
できます。
„
サービスは、インストール時とクライアント システム起動時に自動的に開始さ
れます。
„
このサービスは、サービス ( ローカル ) リストに、Neoteris Setup Service という名前
で表示されます。
„
Host Checker IVE に接続しているホストでエンドポイントのセキュリティ チェック
を実行するクライアントサイドのエージェントです。
メモ : Host Checker を配布する場合は、Signing In > End Point > Host Checker ページ
(358 ページの「一般的な Host Checker オプションの指定」を参照 ) で Auto-upgrade
Host Checker オプションを必ずオフにしてください。これを行わないと、IVE は、配布
するバージョンとは異なるバージョンの Host Checker アプリケーションをユーザーのマ
シンにダウンロードする場合があります。
572
„ System ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
W-SAM stand-alone Installer - このインストーラには、W-SAM の基本バージョンが
含まれています。
„
W-SAM with NetBios stand-alone Installer - このインストーラには、W-SAM の
NetBIOS バージョンが含まれています。NetBIOS バージョンを使用すると、Windows
リソースにドライブをマップできます。
„
Scriptable W-SAM - このツールを使用すると、W-SAM を PC のコマンドラインから
手動で実行したり、バッチ ファイルや、シェル呼び出しを実行するアプリケーショ
ン、または Win32 サービスなどから自動的に起動できます。コマンドライン引数、
戻りコード、エラー、および例については、649 ページの「W-SAM ランチャーの使
用」を参照してください。
メモ : W-SAM を配布する場合には、Users > Roles > RoleName > SAM > Options
ページの Auto-upgrade Secure Application Manager オプションをオフにして (479 ペー
ジの「Secure Application Manager オプションの指定」を参照 )、変更を保存することを
お勧めします。このオプションがオンになっていると、IVE によって自動的に W-SAM の
新しいバージョンがクライアントにダウンロードされるため、ユーザーによって実行す
る W-SAM のバージョンが異なる結果になります。さらに、ユーザに管理者権限がない
場合には、アップグレードが失敗し、W-SAM は機能しません。
„
Network Connect - このオプションは、クライアントレスの VPN を提供し、IVE
を使用した企業内リソースへの追加的なリモート アクセス メカニズムとして機
能します。
アプリケーションまたはサービスをダウンロードするには、次の操作を実行します。
1.
Web コンソールで、Maintenance > System > Installers を選択します。
2.
ダウンロードするアプリケーションやサービスの右にある Download リンクをク
リックします。File Download ダイアログ ボックスが表示されます。
3.
File Download ダイアログ ボックスの Save ボタンをクリックします。Save As ダイア
ログ ボックスが表示されます。
4.
Save As ダイアログ ボックスで適切な場所を選択します。
Save As ダイアログ ボックスの Save ボタンをクリックします。
メモ : MSP システムを IVS ライセンスで実行している場合は、IVS 管理者はインストー
ラ ページにアクセスし、以下の指示に従う必要があります。248 ページの「スタンドア
ロン インストーラへのアクセス」
5.
System ページの設定 „ 573
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Import/Export ページの設定
Import/Export ページには、次のタブがあります。
„
574 ページの「Configuration タブ」- システムとネットワークの設定を持った IVE 設
定ファイルをエクスポートまたはインポートするには、このタブを使用します。
„
575 ページの「User Accounts タブ」- ローカル ユーザー アカウントをエクスポート
またはインポートするには、このタブを使用します。
„
576 ページの「XML Import/Export タブ」- システム設定を持った XML ファイルをイ
ンポートまたはエクスポートするには、このタブを使用します。
„
580 ページの「XML Import/Export の使用例」- これらの使用例を交えながら、XML
Import/Export の使用法について詳しく説明します。
Configuration タブ
システムとネットワークの設定を持った IVE 設定ファイルをエクスポートまたはインポー
トするには、193 ページの「IVE 設定ファイルのインポートとエクスポート」の説明に
従って、このタブを使用します。
メモ : リソース ポリシーをエクスポートする場合は、ユーザー アカウントをエクス
ポートします。詳細については、575 ページの「User Accounts タブ」を参照してく
ださい。
システム設定ファイルのエクスポート
システム設定ファイルをエクスポートするには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Import/Export > Configuration を選択します。
2.
設定ファイルをパスワードで保護する場合は、Export でパスワードを入力します。
3.
Save Config As をクリックしてファイルを保存します。
メモ : Access Series FIPS 設定ファイルをエクスポートする場合は、マシンのセキュリ
ティワールドに関する情報が含まれています。そのため、別のマシンに設定ファイルを
正常にインポートするには、セキュリティワールドに関連付けられた管理者カードが必
要となります。
システム設定ファイルのインポート システム
設定ファイルをインポートするには、次の操作を実行します。
1.
574
„ Import/Export ページの設定
Web コンソールで、Maintenance > Import/Export > Configuration を選択します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
IVE サーバー証明書をインポートするかどうかを指定します。Import IVE
Certificate(s)? のチェックボックスをオンにしない限り、証明書はインポートされま
せん。
メモ : Access Series FIPS システムにサーバー認証をインポートするには、FIPS 準拠の秘
密鍵を使用する認証を選択する必要があることに注意してください。FIPS 準拠であるこ
とを確実にするには、秘密鍵が Access Series FIPS システムで生成された証明書と、そ
れに対応するセキュリティ ワールドを選択します。
3.
次のインポート オプションのいずれかを選択します。
„
Import everything (except IVE Certificate(s)) - IVE サーバー証明書以外のすべて
の設定がインポートされます。
„
Import everything but the IP address - IP アドレスのみを除外して設定ファイ
ルをインポートします。IP アドレスを除外すると、ファイルをインポートしても
サーバの IP アドレスは変わりません。
„
Import everything except network settings - ネットワーク設定以外のすべての
設定がインポートされます。ネットワーク設定を除外すると、ファイルをイン
ポートしても、System > Network ページの情報(内部ポート、外部ポート、静
的ルート設定)は変わりません。
„
Import only Server Certificate(s) - IVE サーバー証明書のみをインポートしま
す。このオプションを指定する場合は、必ず Import IVE Certificate(s)? チェック
ボックスをオンにしてください。
4.
設定ファイルを参照します。設定ファイルにはデフォルトで system.cfg という名前
が付けられています。
5.
設定ファイルに指定したパスワードを入力します。ファイルをエクスポートする前に
パスワードを指定しなかった場合は、空白のままにしておきます。
6.
Import Config をクリックします。
メモ : サーバー証明書と、それに対応するセキュリティワールド Access Series FIPS 機器
にインポートする場合は、シリアル コンソールと、新しくインポートするセキュリティ
ワールドに関連付けられた管理者カードを使用して、セキュリティ ワールドの初期化を
完了する必要があります。詳細については、610 ページの「アーカイブされたセキュリ
ティ ワールドの復元 (Access Series FIPS のみ )」を参照してください。
User Accounts タブ
ローカル ユーザー アカウントとリソース ポリシーをエクスポートまたはインポートする
には、193 ページの「IVE 設定ファイルのインポートとエクスポート」の説明に従って、
このタブを使用します。
ローカル ユーザ アカウントまたはリソース ポリシーのエクスポート
ローカル ユーザー アカウントまたはリソース ポリシーをエクスポートするには、次の操
作を実行します。
1.
Web コンソールで、Maintenance > Import/Export > User Accounts を選択します。
2.
設定ファイルをパスワードで保護する場合は、Export でパスワードを入力します。
3.
Save Config As をクリックしてファイルを保存します。
Import/Export ページの設定
„
575
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ローカル ユーザー アカウントまたはリソース ポリシーのインポート
ローカル ユーザー アカウントまたはリソース ポリシーをインポートするには、次の操作
を実行します。
1.
Web コンソールで、Maintenance > Import/Export > User Accounts を選択します。
2.
設定ファイルにはデフォルトで user.cfg という名前が付けられています。
3.
設定ファイルに指定したパスワードを入力します。ファイルをエクスポートする前に
パスワードを指定しなかった場合は、空白のままにしておきます。
4.
Import Config をクリックします。
XML Import/Export タブ
Maintenance> Import/Export > XML Import/Export ページでは、194 ページの「XML
設定ファイルのインポートとエクスポート」の説明に従って、IVE から選択した設定を格
納している XML 設定ファイルをエクスポートして、それらの設定を同じまたは別の IVE
にインポートできます。
IVE を IVS ライセンスで実行している場合は、XML のインポート / エクスポート はサ
ポートされません。IVS でエクスポートおよびインポートを行う方法の詳細について
は、249 ページの「IVS 設定ファイルのエクスポートおよびインポートの実行」を参照
してください。
Export XML 設定データのエクスポート
XML 設定データをエクスポートするには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Import/Export > XML Import/Export > Export
を選択します。
2.
Schema Files で、リンクをクリックして IVE オブジェクトを記述した XML スキーマ
(.xsd) ファイルをダウンロードします(オプション)。スキーマ ファイルの詳細につ
いては、203 ページの「スキーマ ファイルのダウンロード」を参照してください。
3.
ページで指定したすべての設定をエクスポートするには、Select All ボタンをク
リックします。それ以外の場合は、エクスポートする特定の情報を次のように選
択します。
„
内部ポート設定、外部ポート設定、ライセンス情報を含むネットワーク設定をエ
クスポートするには、Export Network Settings and Licenses チェックボックス
をオンにします。
メモ : 以下の規則は、エクスポートおよびインポートされたライセンスに適用されます。
576
„ Import/Export ページの設定
„
エクスポートされたライセンス データは暗号化されているため、編集することはで
きません。
„
ライセンスの XML インポートは、ライセンスをインポートするマシンに現時点で
ライセンスがインストールされていない場合にのみ有効となります。すでにライセ
ンスがインストールされていると、インポートされたライセンスはすべて破棄され
ます。それでもライセンスをインポートしたい場合は、IVE に対して出荷時リセッ
トを行ってからインポート作業を実行してください。
„
一時ライセンスを IVE から消去した後にライセンスをインポートした場合、イン
ポートされたライセンスは破棄されます。これは、削除したライセンスを復元する
可能性があり、インポート処理が現在 IVE にあるすべてのライセンス データを保存
しようとするためです。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
サインイン URL、標準サインイン ページ、認証サーバーをエクスポートするに
は、Sign-in Settings チェックボックスをオンにします。
Sign-in URLs で、次のオプションのいずれかを選択します。
‰
すべてのサインイン URL をエクスポートするには、ALL sign-in URLs を選
択します。
‰
一部の URL のみをエクスポートするには、SELECTED sign-in URLs を選択
し、Available Sign-in URLs リストから URL を選択して、Add をクリックし
ます。
Sign-in Pages で、次のオプションのいずれかを選択します。
‰
すべてのサインイン ページをエクスポートするには、ALL Pages を選択しま
す。
‰
エクスポートするページを、選択したサインイン URL に有効なページに限
定するには、ONLY pages used by URLs selected above を選択します。
‰
一部のページのみをエクスポートするには、SELECTED pages... を選択し、
Available Pages リストからページを選択して、Add をクリックします。
Authentication servers で、次のオプションのいずれかを選択します。
„
‰
すべての認証サーバーをエクスポートするには、ALL auth servers を選択し
ます。
‰
一部のサーバーのみをエクスポートするには、SELECTED auth servers... を
選択し、Available Servers リストからサーバーを選択して、Add をクリック
します。
認証領域をエクスポートするには、Export Authentication Realms のチェック
ボックスをオンにします。
Administrator Realms で、次のオプションのいずれかを選択します。
‰
すべての管理者領域をエクスポートするには、ALL admin realms を選択し
ます。
‰
一部の領域のみをエクスポートするには、SELECTED admin realms... を
選択し、Available Realms リストから領域を選択して、Add をクリック
します。
Import/Export ページの設定
„
577
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
User Realms で、次のオプションのいずれかを選択します。
„
‰
すべてのユーザー領域をエクスポートするには、ALL user realms を選択し
ます。
‰
一部の領域のみをエクスポートするには、SELECTED user realms... を選択
し、Available Realms リストから領域を選択して、Add をクリックします。
ロール マッピング規則をエクスポートするには、Export Roles を選択します。
Delegated Admin Roles で、次のオプションのいずれかを選択します。
‰
すべての認証領域からロール マッピング規則をエクスポートするには、ALL
delegated admin roles を選択します。
‰
一部のロールのみをエクスポートするには、SELECTED delegated admin
roles... を選択し、Available Roles リストからロールを選択して、Add をク
リックします。
User Roles で、次のオプションのいずれかを選択します。
‰
すべてのローカル ユーザー ロールをエクスポートするには、ALL user roles
を選択します。
‰
選択したユーザー ロールをエクスポートするには、SELECTED user roles...
を選択し、Available Roles リストからロールを選択して、Add をクリック
します。
„
リソース ポリシーをエクスポートするには、Export Resource Policies のチェッ
クボックスをオンにします。次に、エクスポートするリソース ポリシーのタイプ
(アクセス コントロール ポリシー、キャッシング ポリシー、任意の再書き込み
ポリシーなど)に対応するチェックボックスをオンにします。
„
すべてのローカル ユーザー アカウントをエクスポートするには、Export Local
User Accounts チェックボックスを選択します。続いて、次のオプションのいず
れかを選択します。
„
‰
すべてのローカル認証サーバーからすべてのローカル ユーザー アカウント
をエクスポートするには、From ALL local auth servers を選択します。
‰
一部の認証サーバーのみからローカル ユーザーをエクスポートするには、
From SELECTED local auth servers... を選択し、Available Servers リストか
らサーバーを選択して、Add をクリックします。
Log/Monitoring のチェックボックスをオンにして、ログ / モニタリング データ
の一部をエクスポートします。
‰
4.
SNMP を選択して、トラップ設定および制限を含む SNMP データをエクス
ポートします。
Export... をクリックしてこの情報を XML ファイルに保存します。
XML 設定データのインポート
XML 設定データをインポートするには、次の操作を実行します。
1.
578
„ Import/Export ページの設定
Web コンソールで、Maintenance > Import/Export > XML Import/Export > Import
を選択します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
2.
Schema Files で、リンクをクリックして IVE オブジェクトを記述した XML スキーマ
(.xsd) ファイルをダウンロードします(オプション)。スキーマ ファイルの詳細につ
いては、203 ページの「スキーマ ファイルのダウンロード」を参照してください。
3.
インポートする XML データ ファイルを参照して選択します。一部の設定のみをイン
ポートしたい場合は、有効な XML 断片ファイルをインポートできます。
4.
次の操作により、Import mode を選択します。
„
Full Import ( 追加、更新、削除 ) - インポートした XML ファイルに現れる新しい
データ要素を、IVE 設定に追加し、インポートした XML ファイルで値が変更さ
れた既存の要素を更新し、インポートした XML ファイルで定義されていない既
存の要素を削除します。
メモ : 注意 ! Full Import モードの使用は、危険性のある操作です。注意深く行わない
と、IVE 設定の多くの部分やすべてを削除してしまうことがあります。Full Import に設
定すると、IVE は IVE アプライアンス上の設定をインスタンス ファイルにあるもので置
き換えます。インスタンス ファイルで定義されていないものは、IVE アプライアンスか
ら削除されます。
5.
„
Standard Import ( 追加、更新 ) - インポートした XML ファイルに現れる新しい
データ要素を、IVE 設定に追加し、インポートした XML ファイルで値が変更さ
れた既存の要素を更新します。要素は削除されません。
„
Quick Import (追加) - インポートした XML ファイルに現れる新しいデータ要素
を、IVE 設定に追加します。既存の要素への変更は無視されます。
Import をクリックします。Import XML Results ページに、インポートされたネット
ワーク設定、ロールおよびリソース ポリシーについての情報が表示されます。
XML にエラーがあった場合は、インポート処理は停止し、設定は以前の状態に戻さ
れます。Import XML Results ページにはエラー メッセージが表示されます。
6.
OK をクリックして、Import ページに戻ります。
Import/Export ページの設定
„
579
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
XML Import/Export の使用例
次の使用例では、XML Import/Export 機能を使用できる一般的な例を説明しています。各
使用例は、簡単な説明と、使用例を完成する手順により構成されています。これらの使用
例は簡略化されており、全手順を実行するための複雑な部分や詳細は説明していません。
使用例には、XML Import/Export 機能の考えられる使用法の説明だけが含まれています。
使用例: 複数の新規ユーザーを IVE に追加する
あなたは、新しい IVE アプライアンスをネットワークに追加したところであり、2,000 人
のユーザーをそのシステムに追加したいと考えています。IVE の Web コンソールに、これ
らのユーザーを一度に 1 人ずつ追加するのではなく、集団インポートを行って、ユー
ザーが初めてシステムにログインしたときに、各自のパスワードをユーザー自身に変更さ
せたいと考えています。あなたはユーザー アカウントをエクスポートし、ユーザーを定義
する適切な XML を抽出して、必要に応じて各要素を複製し、それらを IVE にインポート
できます。
この手順では、User 1、User 2、および User 2000 の例のみが示されています。その他す
べてのユーザーは、インポート ファイルに含まれているものとします。パスワードを、語
句のパスワードの番号付きインスタンス (password1、password2 など ) として設定しま
す。この例のすべてのユーザーは同じ認証サーバーに割り当てられますが、システムで有
効な認証サーバーであれば、それらの任意の組み合わせを指定できます。
複数の新規ユーザーを IVE に追加するには
1.
Web コンソールで、Maintenance > Import/Export > Export XML を選択します。
2.
576 ページの「Export XML 設定データのエクスポート」の説明に従って、ローカル
ユーザー アカウントをエクスポートします。
3.
エクスポートしたファイルを users.xml として保存します。
4.
users.xml ファイルを開きます。
5.
必要な数のユーザーを追加するまで、User container 要素をコピー & ペーストしま
す。例では 3 人の新規ユーザーのみが示されていますが、数百人の新規ユーザーを
ファイルに追加できます。
6.
次の例に示すように、各 User container 要素内の該当するデータを更新します。
メモ :
„
次の例のフォーマットは、読みやすくするために、元の状態を変更しています。実
際の XML コードは異なっている場合があります。
„
PasswordFormat を Plaintext に設定する必要があります。これを行わないと、IVE
はデフォルトの Encrypted であると見なします。
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<IVE xmlns="http://xml.juniper.net/iveos/5.0R1/ive">
<AAA xmlns:aaa="http://xml.juniper.net/iveos/5.0R1/aaa">
<aaa:Users>
<aaa:User>
<aaa:AuthServerName>System Local</aaa:AuthServerName>
<aaa:Email>[email protected]</aaa:Email>
<aaa:FullName>User1</aaa:FullName>
<aaa:LoginName>user1</aaa:LoginName>
<aaa:Password PasswordFormat="Plaintext">password1
580
„ Import/Export ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
</aaa:Password>
<aaa:ChangePasswordAtNextLogin>true
</aaa:ChangePasswordAtNextLogin>
</aaa:User>
<aaa:User>
<aaa:AuthServerName>System Local</aaa:AuthServerName>
<aaa:Email>[email protected]</aaa:Email>
<aaa:FullName>User2</aaa:FullName>
<aaa:LoginName>user2</aaa:LoginName>
<aaa:Password PasswordFormat="Plaintext">password2
</aaa:Password>
<aaa:ChangePasswordAtNextLogin>true
</aaa:ChangePasswordAtNextLogin>
</aaa:User>
<aaa:User>
<aaa:AuthServerName>System Local</aaa:AuthServerName>
<aaa:Email>[email protected]</aaa:Email>
<aaa:FullName>User 2000</aaa:FullName>
<aaa:LoginName>user2000</aaa:LoginName>
<aaa:Password PasswordFormat="Plaintext">password2000
</aaa:Password>
<aaa:ChangePasswordAtNextLogin>true
</aaa:ChangePasswordAtNextLogin>
</aaa:User>
</aaa:Users>
</AAA>
<SYS xmlns:sys="http://xml.juniper.net/iveos/5.0R1/sys"/>
</IVE>
7.
users.xml ファイルを保存します。
8.
Web コンソールで、Maintenance > Import/Export > Import XML を選択します。
9.
Standard Import または Quick Import のいずれかを選択します。
10. 578 ページの「XML 設定データのインポート」の説明に従って、ファイルをイン
ポートします。
使用例: ポリシーの更新
あなたは、すべての ActiveX を変更して、ポリシーを
RewriteURLResponseForDynamicStaticHTML のアクションから別のアクションに変更した
いとします。ただし、Web コンソールで個々のポリシーを入力したくはありません。その
場合は、インスタンス ファイルをエクスポートして、変更を行い、そのファイルを IVE
インポートし直すことができます。
IVE でポリシーを更新するには
Web コンソールで、Maintenance > Import/Export > Export XML を選択します。
1.
576 ページの「Export XML 設定データのエクスポート」の説明に従って、ローカル
ユーザー アカウントをエクスポートします。
2.
エクスポートしたファイルを policy.xml として保存します。
Import/Export ページの設定
„
581
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
エクスポートしたファイルを開きます。
4.
テキスト エディタまたは XML エディタを使用して、システムの policy.xsd スキーマ
ファイルを開きます。スキーマ ファイルで、
RewriteURLResponseForDynamicStaticHTML というアクションの値を検索します。
ActiveXActionType のスキーマ定義には、次の例に示すように、現在のポリシーのア
クション値とともに、その他の可能な値が含まれています。
<xs:simpleType name="ActiveXActionType">
<xs:restriction base="xs:token">
<xs:enumeration value="RewriteURLResponseForStaticHTML"/>
<xs:enumeration
value="RewriteURLResponseForDynamicStaticHTML"/>
<xs:enumeration value="RewriteURLForStaticHTML"/>
<xs:enumeration value="RewriteURLForDynamicStaticHTML"/>
<xs:enumeration value="RewriteHostForStaticHTML"/>
<xs:enumeration value="RewriteHostForDynamicStaticHTML"/>
<xs:enumeration value="DoNotRewrite"/>
</xs:restriction>
</xs:simpleType>
5.
エクスポートした policy.xml ファイルで、RewriteURLResponseForDynamicStaticHTML
を検索して、RewriteURLForDynamicStaticHTML というアクション値に置き換えます。
メモ : 次の例には、実際の policy.xml ファイルの一部のみが示されています。また、
フォーマットは、読みやすくするために、元の状態を変更しています。実際の XML コー
ドは異なっている場合があります。
<!-- 最初の 3 行を変更または削除しないこと -->
<IVE xmlns="http://xml.juniper.net/iveos/5.0R1/ive">
<AAA xmlns:aaa="http://xml.juniper.net/iveos/5.0R1/aaa">
<aaa:ResourcePolicyList>
<aaa:WebActiveXRewritingPolicyList>
<aaa:ActiveXRewritingPolicy>
<aaa:ParameterList>
<aaa:Parameter>
<aaa:Name>URL</aaa:Name>
<!-- 以下のデータを変更する >
<aaa:Action>RewriteURLResponseForDynamicStaticHTML
</aaa:Action>
</aaa:Parameter>
</aaa:ParameterList>
<aaa:Description>OrgPlus Orgviewer</aaa:Description>
<aaa:ClassID>DCB98BE9-88EE-4AD0-9790-2B169E8D5BBB
</aaa:ClassID>
</aaa:ActiveXRewritingPolicy>
</aaa:ResourcePolicyList>
<!-- 最後の 3 行を変更または削除しないこと -->
</AAA>
<SYS xmlns:sys="http://xml.juniper.net/iveos/5.0R1/sys"/>
</IVE>
582
„ Import/Export ページの設定
6.
policy.xml ファイルを保存します。
7.
Web コンソールで、Maintenance > Import/Export > Import XML を選択します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
8.
Standard Import を選択します。このインポート モードを選択すると、XML インスタ
ンス ファイルで変更された IVE のデータを更新できます。
9.
578 ページの「XML 設定データのインポート」の説明に従って、ファイルをイン
ポートします。
使用例: IVE からのユーザーの削除
あなたは、会社に在籍していないユーザーを毎月 IVE から削除するとします。大規模な組
織に勤務していると、毎月数十人から数百人のユーザーを削除しなければならない場合が
あります。これは煩雑な作業であり、あなたはこのタスクを簡単に行う方法を見つけたい
と思うでしょう。
メモ : 注意 ! Full Import モードの使用は、危険性のある操作です。注意深く行わない
と、IVE 設定の多くの部分やすべてを削除していまうことがあります。Full Import に設
定すると、IVE は IVE アプライアンス上の設定をインスタンス ファイルにあるもので置
き換えます。インスタンス ファイルで定義されていないものは、IVE アプライアンスか
ら削除されます。
IVE からユーザーを削除するには
1.
Web コンソールで、Maintenance > Import/Export > Export XML を選択します。
2.
576 ページの「Export XML 設定データのエクスポート」の説明に従って、ローカル
ユーザー アカウントをエクスポートします。
3.
エクスポートしたファイルを remusers.xml として保存します。
4.
remusers.xml ファイルを開きます。
5.
削除したいユーザーのリストがある場合は、そのファイルで各ユーザー名を検索し、
そのユーザー名を格納する User container 要素全体を削除します。次の例では、User
container と子要素が示されています。
<aaa:User>
<aaa:AuthServerName>System Local</aaa:AuthServerName>
<aaa:Email>[email protected]</aaa:Email>
<aaa:FullName>DeleteUser</aaa:FullName>
<aaa:LoginName>deleteuser</aaa:LoginName>
<aaa:Password
PasswordFormat="Encrypted">oU63QjnZCgABAAAA91aVaD
</aaa:Password>
<aaa:ChangePasswordAtNextLogin>false
</aaa:ChangePasswordAtNextLogin>
</aaa:User>
メモ : XML ファイルでは絶対にパスワードを手動で暗号化しないでください。これを行
おうとすると、IVE は拒否します。プレーンテキストの PasswordFormat を使用し、XML
ファイルを介してパスワードを変更する際はプレーンテキストのパスワードを入力して
ください。
6.
remusers.xml ファイルを保存します。
7.
Web コンソールで、Maintenance > Import/Export > Import XML を選択します。
Import/Export ページの設定
„
583
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
8.
Full Import を選択します。このインポート モードにより、IVE のすべてのユーザー
データを、XML インスタンス ファイルのユーザー データで置き換えます。
9.
578 ページの「XML 設定データのインポート」の説明に従って、ファイルをイン
ポートします。
使用例: クラスタ環境での XML Import/Export の使用
XML Import/Export 機能をクラスタ環境で使用できます。ただし、いくつかの規則に従う
必要があり、特定の手順に従って操作を正しく完了する必要があります。
„
インポートする XML インスタンスは、元のクラスタと同じノード セットを含んでい
る必要があります。ノードが再有効化されるときにクラスタの同期に使用する署名
は、クラスタ ノードの IP アドレスから抽出されるため、インポートした設定が異な
る署名を生成すると、残りのノードはクラスタを再結合できなくなります。
„
インスタンス ファイル内のノード名、IP アドレス、または IP ネットマスクは変更し
ないでください。
„
Full Import モードは使用しないでください。Standard Import モードのみを使用して
ください。
„
インスタンス ファイルのネットワーク設定を変更しないでください。変更すると、1
次ノードに到達できなくなります。たとえば、マルチサイト クラスタのデフォルトの
ゲートウェイ設定を変更しないでください。
„
インポートでは、インスタンス ファイルは、残りのノードのノード固有のクラスタ
構成のネットワーク設定を上書きします。これらのノード固有のネットワーク設定を
変更する場合は、必ず残りのノードが到達不可能にならないようにしてください。
„
インスタンス ファイルで既存の仮想ポート設定を変更したり、新しい仮想ポート設
定を追加しないでください。
クラスタ環境で XML Import/Export を使用するには
584
„ Import/Export ページの設定
1.
System > Clustering > Status ページで、1 次 IVE からその他のクラスタ ノードを無
効にします。
2.
Maintenance > Import/Export > Export XML により XML インスタンスをエクス
ポートします。
3.
196 ページの「XML インスタンスの作成と修正」の指示に従って、XML インスタン
スを変更します。
4.
194 ページの「XML 設定ファイルのインポートとエクスポート」の指示に従って、
XML インスタンスをインポートします。
5.
Web コンソールの System > Clustering > Status ページで、クラスタ ノードを有効
にします。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Push Config ページの設定
プッシュ設定機能を使用して、選択した設定を 1 つの IVE から別の IVE にコピーできま
す (204 ページの「XML インスタンス使用の方針」を参照 )。
IVE 間のロールおよびリソース ポリシーのコピー
ロール、リソース、サインイン設定、認証サーバー、ローカル ユーザーを IVE 間でプッ
シュするには、次の操作を実行します。
1.
両方の IVE で管理者アカウントを作成します。手順については、439 ページの
「Delegation ページの設定」を参照してください (204 ページの「XML インスタンス使
用の方針」の制約事項も参照 )。
2.
Web コンソールで、Maintenance > Push Config を選択します。
3.
Target Host Sign-in URL で、ロールおよびリソース ポリシーのプッシュ先の IVE の
管理者 URL を入力します。たとえば、
https://10.10.10.10/admin
4.
ターゲット IVE でのすべての管理者権限を持つ管理者アカウントのユーザー名、パス
ワード、認証領域を入力します。
5.
ソース IVE 上の設定と同じ名前をもつターゲット IVE 上の設定を上書きする場合は、
Overwrite duplicate settings チェックボックスをオンにします。
メモ :
„
Overwrite duplicate settings がオフ で、インポートしたファイルの設定の名前が
ターゲット IVE 上の対応する設定の名前と一致する場合は、Push Config はその設
定の値をターゲット IVE にコピーしません。Push Config は新しいオブジェクトのみ
をターゲット IVE にコピーします。
„
Overwrite duplicate settings がオン の場合は、Push Config は新規および更新され
たすべてのオブジェクトをターゲット IVE にコピーします。インポート モードの詳
細については、201 ページの「XML インポート モード」を参照してください。
6.
ページで指定したすべての設定をエクスポートするには、Select All ボタンをク
リックします。それ以外の場合は、エクスポートする特定の情報を次のように選
択します。
メモ : Push Config 機能を使用して、ネットワーク設定を別の IVE にコピーすることは
できません。XML Import/Export 機能を使用すると、選択したネットワーク設定をエクス
ポートしてから、これらの設定を別の IVE にインポートできます。詳細については、
194 ページの「XML 設定ファイルのインポートとエクスポート」を参照してください。
„
サインイン URL、標準サインイン ページ、認証サーバーをエクスポートするに
は、Sign-in Settings チェックボックスをオンにします。
Push Config ページの設定
„
585
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Sign-in URLs で、次のオプションのいずれかを選択します。
‰
すべてのサインイン URL をエクスポートするには、ALL sign-in URLs を選
択します。
‰
一部の URL のみをエクスポートするには、SELECTED sign-in URLs を選択
し、Available Sign-in URLs リストから URL を選択して、Add をクリックし
ます。
Sign-in Pages で、次のオプションのいずれかを選択します。
‰
すべてのサインイン ページをエクスポートするには、ALL Pages を選択
します。
‰
エクスポートするページを、選択したサインイン URL に有効なページに限
定するには、ONLY pages used by URLs selected above を選択します。
‰
一部のページのみをエクスポートするには、SELECTED pages... を選択し、
Available Pages リストからページを選択して、Add をクリックします。
Authentication servers で、次のオプションのいずれかを選択します。
„
‰
すべての認証サーバーをエクスポートするには、ALL auth servers を選択し
ます。
‰
一部のサーバーのみをエクスポートするには、SELECTED auth servers... を
選択し、Available Servers リストからサーバーを選択して、Add をクリック
します。
認証領域をエクスポートするには、Export Authentication Realms のチェック
ボックスをオンにします。
Administrator Realms で、次のオプションのいずれかを選択します。
‰
すべての管理者領域をエクスポートするには、ALL admin realms を選択し
ます。
‰
一部の領域のみをエクスポートするには、SELECTED admin realms... を
選択し、Available Realms リストから領域を選択して、Add をクリック
します。
User Realms で、次のオプションのいずれかを選択します。
„
‰
すべてのユーザー領域をエクスポートするには、ALL user realms を選択し
ます。
‰
一部の領域のみをエクスポートするには、SELECTED user realms... を選択
し、Available Realms リストから領域を選択して、Add をクリックします。
ロール マッピング規則をエクスポートするには、Export Roles を選択します。
Delegated Admin Roles で、次のオプションのいずれかを選択します。
‰
すべての認証領域からロール マッピング規則をエクスポートするには、ALL
delegated admin roles を選択します。
‰
一部のロールのみをエクスポートするには、SELECTED delegated admin
roles... を選択し、Available Roles リストからロールを選択して、Add をク
リックします。
User Roles で、次のオプションのいずれかを選択します。
586
„ Push Config ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
‰
すべてのローカル ユーザー ロールをエクスポートするには、ALL user roles
を選択します。
‰
選択したユーザー ロールをエクスポートするには、SELECTED user roles...
を選択し、Available Roles リストからロールを選択して、Add をクリック
します。
„
リソース ポリシーをエクスポートするには、Export Resource Policies のチェッ
クボックスをオンにします。次に、エクスポートするリソース ポリシーのタイプ
(アクセス コントロール ポリシー、キャッシング ポリシー、任意の再書き込み
ポリシーなど)に対応するチェックボックスを選択します。
„
すべてのローカル ユーザー アカウントをエクスポートするには、Export Local
User Accounts チェックボックスを選択します。続いて、次のオプションのいず
れかを選択します。
„
‰
すべてのローカル認証サーバーからすべてのローカル ユーザー アカウント
をエクスポートするには、From ALL local auth servers を選択します。
‰
一部の認証サーバーのみからローカル ユーザーをエクスポートするには、
From SELECTED local auth servers... を選択し、Available Servers リストか
らサーバーを選択して、Add をクリックします。
Log/Monitoring のチェックボックスをオンにして、ログ / モニタリング データ
の一部をエクスポートします。
‰
7.
SNMP を選択して、トラップ設定および制限を含む SNMP データをエクス
ポートします。
Push Configuration をクリックし、選択したロールおよびリソースをターゲット IVE
にコピーします。IVE により、ソース IVE の Maintenance > Push Config ページ下部
に、プッシュ状況が表示されます。
Push Config ページの設定
„
587
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Archiving ページの設定
Archiving ページには、次のタブがあります。
„
588 ページの「FTP Server タブ」- 外部 FTP または SCP サーバーにシステム データ
をアーカイブするスケジューリングには、このタブを使用します。
„
589 ページの「Local Backups タブ」- 現在の設定をバックアップしたり、バック
アップからシステムやユーザーのアカウント状態を回復するには、このタブを使用
します。
FTP Server タブ
このタブの使用による、外部 FTP または SCP サーバーへのシステム データのアーカイブ
スケジューリングは、192 ページの「IVE 設定ファイルをアーカイブする」で説明してい
ます。
外部 FTP または SCP サーバーへのシステム データのアーカイブ スケジューリング
アーカイブ パラメータを指定するには、次の操作を実行します。
588
„ Archiving ページの設定
1.
Web コンソールで、Maintenance > Archiving > FTP Server を選択します。
2.
Archive Settings で、送信先サーバー、ディレクトリ、およびそのサーバーの証明書
を指定します。juniper/log のような送信先ディレクトリのドライブ指定を組み込まな
いでください。
„
UNIX コンピュータの場合には、ユーザーのホーム ディレクトリに応じて、絶対
パスまたは相対パスを指定できますが、フル パスの使用を推奨します。
„
Windows コンピュータの場合には、 ftproot フォルダの相対パスを指定します。
フォルダのフル パスの使用を推奨します。
3.
Method で、SCP または FTP を指定します。SCP はデフォルトのメソッドです。
4.
Archive Schedule で、アーカイブの対象となる 1 または複数のコンポーネントを指
定します。各コンポーネントの対応するチェックボックスをオンにしてください。
„
Archive events log ( 詳細については、189 ページの「ログと監視の概要」を
参照 )。
„
Archive user access log ( 詳細については、189 ページの「ログと監視の概要」を
参照 )。
„
Archive admin access log ( 詳細については、189 ページの「ログと監視の概要」
を参照 )。
„
Archive NC packet log ( 詳細については、189 ページの「ログと監視の概要」を
参照 )。
„
Archive system configuration ( 詳細については、574 ページの「Configuration タ
ブ」を参照 )。
„
Archive user accounts ( 詳細については、575 ページの「User Accounts タブ」を
参照 )。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
5.
選択したコンポーネントごとにアーカイブ スケジュールを指定します。各コンポーネ
ントのオプションを使用して、平日や週末を任意に組み合わせてアーカイブをスケ
ジュールすることができます。
メモ : アーカイブの実行が、システムが夏時間 (DST) に切り替わる時間にスケジュール
されていると、アーカイブはスケジュール通りに実行されないことがあります。たとえ
ば、システムが 1:00 a.m. に夏時間 (DST) に変更されるよう設定されており、アーカイ
ブ動作が 1:01 a.m. から 1:59 a.m. の間に実施されるようスケジュールしていると、アー
カイブ動作は実施されません。これは、1:00 a.m. になるとシステム時計は 2:00 a.m. に
進められるので、システムはその日付のアーカイブ時間に達しないためです。
6.
IVE がデータをアーカイブする特定の時刻を定義するか、1 時間ごとにデータをアー
カイブするように指定できます。後者の場合には、固有のタイムスタンプが付いた
24 のファイルが生成されます。
7.
ドロップダウン リストからログ フィルタを選択します。フィルタのタイプの詳細は、
337 ページの「Filters タブ」を参照してください。
8.
アーカイブを実行した後でシステム イベント、アクセス、および管理者の各ログ
ファイルを消去するように指定します(オプション )。
9.
システム設定アーカイブまたはユーザー アカウント アーカイブを暗号化する場合に
は、パスワードを指定します ( オプション )。
10. Save Changes をクリックします。
Local Backups タブ
現在の設定のバックアップを保存したり、バックアップからシステムやユーザーのアカウ
ント状態を回復するには、193 ページの「IVE 設定ファイルのローカル バックアップの作
成」での説明に従って、このタブを使用します。
現在の設定のバックアップの保存
現在のシステム設定を保存するには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Archiving > Local Backups を選択します。
2.
Save Configuration または Save User Accounts をクリックします。IVE により、現在
の日付と時刻を名前に持つ新しいバックアップがリストに追加されます。
バックアップ ファイルからのシステム状態またはユーザー アカウント状態の復元
バックアップ ファイルの情報を使用して設定を上書きするには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Archiving > Local Backups を選択します。
2.
システムを復元するには、使用するシステム設定またはユーザー アカウント バック
アップ ファイルの横にあるチェックボックスをオンにします。
3.
システム設定の復元を実行している場合は、設定ファイルに記述されている証明書、
IP アドレス、ネットワーク設定を使用するかどうか指定します。次の内容を更新する
場合は注意が必要です。
„
An Access Series FIPS system - 証明書をインポートする場合は、FIPS 準拠の秘
密鍵を使用する証明書を選択する必要があります。FIPS 準拠であることを確実に
するには、秘密鍵が Access Series FIPS システムで生成された証明書と、それに
対応するセキュリティ ワールドを選択します。
Archiving ページの設定
„
589
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
4.
590
„ Archiving ページの設定
An entire cluster - ネットワーク設定を含める場合は、注意が必要です。IP アド
レスやその他の設定はすべてのクラスタ メンバに適用できるわけではないため、
すべてのメンバに設定が転送されると、クラスタ メンバ間で通信できなくなる
場合があります。
Restore をクリックします。変更を反映させるには、IVE を再起動する必要がありま
す。IVE が再起動したら、Web コンソールにアクセスするために、IVE に再度サイン
インする必要があります。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Troubleshooting ページの設定
Troubleshooting ページには、次のタブがあります。
„
591 ページの「User Sessions タブ」- ユーザー セッションをシミュレーションし、ポ
リシー トレース ファイルを記録するユーザー セッション オプションを指定するに
は、このタブを使用します。
„
593 ページの「Session Recording タブ」- デバッグ用のトレース ファイルを記録する
には、このタブを使用します。
„
594 ページの「System Snapshot タブ」- IVE システムの状態のスナップショットを
作成するには、このタブを使用します。
„
595 ページの「TCP Dump タブ」- ネットワーク パケット ヘッダをスニッフィング
するには、このタブを使用します。
„
596 ページの「Commands タブ」- ARP、PING、traceroute、または
マンドを実行するには、このタブを使用します。
„
597 ページの「Remote Debugging タブ」- Juniper Networks Support のリモート デ
バッグを有効にするには、このタブを使用します。
„
597 ページの「Debug Log タブ」- デバッグ ログを有効にするには、このタブを使用
します。
„
598 ページの「Node Monitor タブ」- クラスタ ノード モニタリングの有効化には、
このタブを使用します。
„
598 ページの「Clustering タブ」- グループ通信および統計収集ツールの有効化には、
このタブを使用します。
nslookup コ
User Sessions タブ
Policy Tracing タブ
このタブを使用すると、ユーザーが領域にサインインしたときにイベントをトレースし
て、問題のトラブルシューティングを行うことができます。
ポリシー トレース ファイルの記録
ユーザーが自分のロールで使用を認められている機能にアクセスしたときに問題が発生し
た場合には、このタブを使用します。ポリシー トレース ファイルに記録されたイベント
が、この問題を診断する際に役立ちます。ユーザー アクセス ログは、Events to Log で
チェックしたポリシーについてのみ表示されることに注意してください。
ポリシー トレース ファイルを作成するには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Troubleshooting > User Sessions > Policy
Tracing を選択します。
2.
User フィールドに、トレースする IVE ユーザーの名前を入力します。ユーザー名に
はワイルドカード文字(*)を使用できます。たとえば、ユーザーが匿名サーバーに
サインインしている場合は、IVE がユーザーに割り当てる内部的なユーザー名がわか
りません。そのような場合に、ワイルドカード文字(*)を使用できます。
Troubleshooting ページの設定
„
591
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
Realm フィールドで、ユーザーの領域を選択します。この場合、IVE では匿名認証
サーバーに割り当てられる領域を選択できません。
4.
Events to log で、ポリシー トレース ログ ファイルに書き込むイベントの種類を選択
します。
5.
Start Recording をクリックします。IVE 記録を開始したら、ユーザーに IVE にサイン
インするように要求します。
6.
View Log をクリックしてログ エントリを確認します。
7.
十分な情報が得られたら、Stop Recording をクリックします。
8.
ログ ファイルのメッセージを確認し、予期しない動作が発生した原因を特定します。
問題を特定できない場合は、Save Log As をクリックしてログ ファイルのコピーを
ネットワーク上に保存します。次に、確認のためファイルを Juniper Networks サポー
トに送信します。
9.
ログ ファイルの内容をクリアするには、Clear Log をクリックするか、Delete Trace
をクリックしてユーザー名および領域フィールドからデフォルト エントリを削除し
ます。
Simulation タブ
このタブを使用すると、問題を発生させるイベントのシミュレーションが可能になり、問
題のトラブルシューティングを行うことができます。
ユーザー セッションのシミュレーション
ユーザー セッションのシミュレーションを行うには、
592
1.
Web コンソールで、Maintenance > Troubleshooting > User Sessions> Simulation
を選択します。
2.
Query Name フィールドに、クエリー名を入力します。
3.
Username フィールドに、シミュレーションする IVE ユーザーのユーザー名を入力し
ます。ユーザー名にはワイルドカード文字(*)を使用できます。たとえば、ユー
ザーが匿名サーバーにサインインしている場合は、IVE がユーザーに割り当てる内部
的なユーザー名がわかりません。そのような場合に、ワイルドカード文字(*)を使
用できます。
4.
Realm ドロップダウン メニューから、シミュレーションする IVE ユーザーの領域を
選択します。
5.
IVE が特定タイプのリソース ポリシーをユーザーのセッションに適用するかどうかを
判別するには、Resource フィールドにシミュレーションしたい特定のリソースを入
力して、Resource ドロップダウン リストからポリシー タイプを選択します。次に、
以下の操作を実行します。
„ Troubleshooting ページの設定
„
ユーザーが IVE に正常にサインインしたかどうかを判別するには、
Pre-Authentication チェックボックスをオンにします。
„
ユーザーが特定のロールに正常にマップされたかどうかを判別するには、Role
Mapping チェックボックスを選択します。このオプションは、ロール マッピン
グの結果がシミュレーション ログに記録されるかどうかは制御しますが、IVE が
ロール マッピング規則を実行するかどうかは制御しないことに注意してくださ
い。このチェックボックスを選択しなくても、IVE は常にロール マッピング規則
を実行します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Events to Log セッションのチェックボックスを使用して、ログに記録するポリ
シー タイプを指定します。
たとえば、ユーザが Yahoo Web サイトにアクセスできるかどうかをテストする場合
は、Resource フィールドに “http://www.yahoo.com” と入力し、ドロップダウン リス
トから Web を選択します。次に、Events to Log セクションの Access チェックボッ
クスを選択します。
6.
Variables セクションで、問題が発生した実際のユーザー セッションと全く同じ値を
反映するように、テキストと変数を組み合わせてカスタム エクスプレッションを作
成します。たとえば、ユーザが午前 6:00 に IVE にサインインするセッションを作成
する場合は、Variables フィールドに “time = 06:00 AM” と入力します。カスタム エ
クスプレッションの作成方法の詳細は、613 ページの「カスタム エクスプレッショ
ンの記述」を参照してください。また、Variables Dictionary の横にある矢印をク
リックすると、指定した変数の構文が表示されます。
メモ : 仮想ユーザーの IP アドレスを含んだカスタム式を作成できない場合は、IVE は現
在の IP アドレスを代わりに使用します。また、ロール変数を使用して仮想ユーザーの
ロールを指定すると(たとえば、ロール = “Users”)、IVE はロール マッピング規則の結
果を無視し、指定したロールには仮想ユーザーが割り当てられることに注意してくださ
い。
7.
8.
以下のオプションのいずれかを選択します。
„
Run Simulation - 指定したシミュレーションを実行し、画面上にログ ファイル
を表示します。
„
Save Query - クエリーを保存します。
„
Save Query and Run Simulation - 指定したシミュレーションを実行し、後で使
用するためにそのシミュレーションを保存します。
シミュレーションの実行後に、Save Log As を選択してシミュレーションの結果をテ
キスト ファイルに保存します。
Session Recording タブ
IVE により適切に表示されない Web サイトを閲覧する場合や、IVE により予定した動作を
行わないクライアント / サーバー アプリケーションに接続する場合に、ユーザーのアク
ションをリストするトレース ファイルを記録するには、このタブを使用します。
デバッグ用のトレース ファイルの記録
トレース ファイルを記録するには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Troubleshooting > Session Recording を選択し
ます。
2.
セッションを記録したいユーザーのユーザー名を入力します。
3.
ユーザーの Web セッションを記録するには、Web (DSRecord) チェックボックスを選
択します。次に問題の Web サイトのキャッシュされた内容を無視する場合は、
Ignore browser cache チェックボックスを選択します。これにより、IVE はトレース
ファイルに記録しません(オプション)。
Troubleshooting ページの設定
„
593
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
Java Communication Protocol および Network Communication Protocol クライアント /
サーバー アプリケーション セッションを記録するには、Client/Server (JCP+NCP)
チェックボックスを選択します ( オプション )。
5.
Start Recording をクリックします。IVE はユーザーをサインアウトさせます。
6.
再びサインインして、問題の Web サイトをブラウズするか、IVE からクライアント /
サーバー アプリケーションに接続するようにユーザーに指示します。
7.
Stop Recording をクリックします。
8.
Current Trace File セクションからトレース ファイルをダウンロードします。
9.
a.
DSRecord Log リンクをクリックして Web トレース ファイルをダウンロードし
ます。
b.
JCP または NCP Client-Side Log リンクをクリックして、クライアント / サーバー
アプリケーション トレース ファイルをダウンロードします。
確認のためにファイルを Juniper Networks サポートに送信します。
10. Delete ボタンを選択して、作成したトレース ファイルを削除します(オプション)。
System Snapshot タブ
IVE システム状態のスナップショットを作成するには、このタブを使用します。スナップ
ショットの詳細は、208 ページの「IVE システム状態のスナップショットの作成」を参照
してください。
IVE システム状態のスナップショットの作成
IVE システム状態のスナップショットを作成するには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Troubleshooting > System Snapshot を選択し
ます。
2.
システム設定情報をスナップショットに含めるには、Include system config チェッ
クボックスを選択します(オプション)。
3.
Debug Log タブで作成したログ ファイルをシステム スナップショットに含めるには、
Include debug log チェックボックスを選択します。詳細については、597 ページの
「Debug Log タブ」を参照してください。
4.
Take Snapshot をクリックします。
5.
スナップショットの作成が完了したら、Download をクリックして、ネットワーク
マシンにファイルをダウンロードします。
6.
確認のためにファイルを Juniper Networks サポートにメールで送信します。
7.
送信したら、Delete をクリックしてスナップショットを削除します。
メモ : システムのスナップショットはシリアル コンソールからも作成できます。この方
法は、Web コンソールに入ることができず、システム設定を保存する必要がある場合に
役立ちます。詳細については、607 ページの「共通のリカバリ タスクの実行」を参照し
てください。
594
„ Troubleshooting ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
TCP Dump タブ
結果は暗号化された「ダンプ」ファイルに保存されます。このファイルをいったんネット
ワーク マシンにダウンロードして、Juniper Networks サポートにメールで送信します。
TCP Dump の使用方法については、208 ページの「TCP ダンプ ファイルの作成」を参照し
てください。
ネットワーク パケット ヘッダのスニッフィング
ネットワーク パケット ヘッダをスニッフィングするには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Troubleshooting > TCP Dump を選択します。
2.
ネットワーク パケット ヘッダのスニッフィングを行う IVE ポートを選択します。
3.
IVS ライセンスで実行している場合、VLAN ポートを選択して加入者イントラネット
のパケットヘッダのスニッフィングを行うことができます。詳細については、251
ページの「VLAN のトラブルシューティング」を参照してください。
4.
IVE 宛に送信されたパケットのみを対象にスニッフィングするには、Promiscuous
mode をオフにします。
5.
TCPDump Filter Expressions を使用してカスタム フィルタを作成します(オプショ
ン)。このオプションは、生成されるダンプ ファイルに必要な情報のみが含まれるよ
うにスニッフィング ネットワーク パケットをフィルタする能力を提供します。例に
ついては、下記の表 40 を参照してください。
6.
Start Sniffing をクリックします。
7.
Stop Sniffing をクリックしてスニッフィング プロセスを停止し、暗号化ファイルを
作成します。
8.
Download をクリックして、ネットワーク マシンにファイルをダウンロードします。
9.
確認のためにファイルを Juniper Networks サポートにメールで送信します。
表 40: TCPDump フィルタ エクスプレッションの例
例
結果
tcp port 80
TCP ポート 80 のパケットをスニッフィングしま
す。
port 80
TCP または UDP ポート 80 のパケットをスニッ
フィングします。
ip
IP プロトコルをスニッフィングします。
tcp
IP プロトコルをスニッフィングします。
dst #.#.#.#
指定された送信先 IP アドレスをスニッフィング
します。ここで、#.#.#.# は有効な IP アドレスで
す。
src #.#.#.#
指定された送信元 IP アドレスをスニッフィング
します。ここで、#.#.#.# は有効な IP アドレスで
す。
port 80 or port 443
ポート 80 または ポート 443 をスニッフィング
します。
src #.#.#.# and dst #.#.#.#
送信元および送信先 IP アドレスをスニッフィン
グするか、または指定してホストします。各
#.#.#.# は有効な IP アドレスを表示します。
Troubleshooting ページの設定
„
595
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 40: TCPDump フィルタ エクスプレッションの例 ( 続き )
例
結果
tcp port 80 or port 443 and dst #.#.#.# and
src #.#.#.#
この例は複数のパラメタを指定して、TCP のポー
ト 80 上、もしくは TCP または UDP のポート
443 上、および送信先と送信元ポート上をスニッ
フィングするフィルタを作成します。各 #.#.#.#
は有効な IP アドレスを表示します。
TCPDump フィルタ エクスプレッションの詳細については、以下の Web サイトを参照してく
ださい。http://www.tcpdump.org/tcpdump_man.html
Commands タブ
UNIX コマンドを実行して IVE ネットワークの接続をテストするには、このタブを使用し
ます。
ARP、PING、または traceroute コマンドの実行
IVE ネットワークの接続をテストする UNIX コマンドを実行するには、次の操作を実行し
ます。
1.
Web コンソールで、Maintenance > Troubleshooting > Commands を選択します。
2.
Command リストから、実行するコマンドを選択します。
3.
Target Server フィールドに、対象サーバーの IP アドレスを入力します。
4.
IVS ライセンスで実行している場合、VLAN ポートを選択して加入者イントラネット
への接続性をテストすることができます。詳細については、251 ページの「VLAN の
トラブルシューティング」を参照してください。
5.
他の引数またはオプションを入力します。
6.
OK をクリックして、コマンドを実行します。
NSLookup コマンドの実行
NSLookup を実行してネーム サーバの接続性をテストするには以下を行います。
596
1.
Web コンソールで、Maintenance > Troubleshooting > Commands を選択します。
2.
Command リストから、NSLookup を選択します。
3.
ドロップダウン メニューから Query Type を選択します。
4.
ホストネーム、IP アドレスといった情報(クエリータイプの選択によって異なる)
をクエリーとして入力します。
5.
DNS サーバー ネームまたは IP アドレスを入力します。
6.
IVS ライセンスで実行している場合、VLAN ポートを選択して加入者イントラネット
への接続性をテストすることができます。詳細については、251 ページの「VLAN の
トラブルシューティング」を参照してください。
7.
他のオプションを入力します。
8.
OK をクリックして、コマンドを実行します。
„ Troubleshooting ページの設定
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Remote Debugging タブ
Juniper Networks サポート チームが本番環境で稼動中の IVE でデバッグ ツールを実行で
きるようにするには、このタブを使用します。
Juniper Networks サポートによるリモート デバッグを可能にする
リモート デバッグを有効にするには、次の操作を実行します。
1.
リモート デバッグを有効にするには、次の操作を実行します。Juniper Networks サ
ポートに連絡して、リモート デバッグ セッションを実行するための条件をセット
アップします。
2.
Web コンソールで、Maintenance > Troubleshooting > Remote Debugging を選択
します。
3.
Juniper Networks サポートから取得したデバッグ コードを入力します。
4.
Juniper Networks サポートから取得したホスト名を入力します。
5.
Enable Debugging をクリックして、Juniper Networks サポート チームが IVE にアク
セスできるように設定します。
6.
IVE へのアクセスが可能になったことを Juniper Networks サポートに連絡します。
7.
Juniper Networks サポートからリモート デバッグ セッションが終了したという通知
を受け取ったら、Disable Debugging をクリックします。
Debug Log タブ
Juniper Networks サポートに送信するデバッグ ログを作成するには、Debug Log タブを使
用します。
デバッグ ログを可能にする
デバッグ ログを可能にするには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Troubleshooting > Debug Log を選択します。
2.
Debug Logging On チェックボックスを選択します。
3.
Juniper Networks サポートから指定されたログ サイズ、詳細レベル、およびイベント
コードを入力します。
4.
Maintenance > Troubleshooting > System Snapshot タブを選択します。
5.
Include debug log チェックボックスにチェックを入れます。
6.
Take snapshot をクリックすると、デバッグ ログを含むファイルが作成されます。
7.
Download をクリックします。
8.
E メール メッセージにスナップショット ファイルを添付して、Juniper Networks サ
ポートに送信します。
Troubleshooting ページの設定
„
597
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Node Monitor タブ
Node Monitor タブを使用して、Juniper Networks Support の担当者が要求した場合に、ク
ラスタ ノード モニタリングを有効にします。
ノード モニタリングの有効化
1.
Node monitoring enabled のチェックボックスをオンにして、クラスタ ノードのモ
ニタリングを開始します。
2.
ノード モニタリング ログの最大サイズを入力します。
3.
ノードの統計をとる間隔を秒単位で入力します。
4.
Save Changes をクリックします。
5.
システム スナップショットを撮って、結果を取得します。詳細については、594 ペー
ジの「System Snapshot タブ」を参照してください。
Clustering タブ
Clustering タブを使用して、Juniper Networks Support の担当者が要求した際に、グルー
プ通信モニタリングおよび統計収集ツールを起動 / 終了します。
グループ通信モニタリングの有効化
1.
Enable group communication monitoring のチェックボックスをオンにして、モニタ
リングツールを起動します。
2.
統計ログの最大サイズを入力します。
3.
イベントのログをとる間隔を秒単位で入力します。
4.
現在のローカル ノードの全クラスタ ノードをモニターしたい場合は、Monitor all
cluster nodes from this node のチェックボックスをオンにします。このオプションを
オンにしないと、グループ通信モニタリングはローカル ノードの統計のみを収集し
ます。
メモ : Monitor all cluster nodes from this node のオプションを選択する場合、クラスタ
ノードは UDP ポート 6543 を介して通信できるようにする必要があります。
598
5.
Save Changes をクリックします。
6.
システム スナップショットを撮って、結果を取得します。詳細については、594 ペー
ジの「System Snapshot タブ」を参照してください。
„ Troubleshooting ページの設定
第 4部
追補情報
このセクションには、の構成についての追加情報が含まれます。
目次
„
601 ページの「IVE シリアル コンソールの使用」
„
613 ページの「カスタム エクスプレッションの記述」
„
629 ページの「カスタマイズ可能なサインイン ページ」
„
649 ページの「W-SAM ランチャーの使用」
„
653 ページの「クライアント サイドのアプリケーション インストール」
„
669 ページの「セントラル マネージャ ダッシュボード グラフ XML」
„
671 ページの「アクセス管理制限の設定」
„
681 ページの「ユーザー エラー メッセージの使用」
„
599
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
600
„
付録 A
IVE シリアル コンソールの使用
このセクションでは、IVE アプライアンスのシリアル コンソールに接続し、サポートされ
ているタスクを実行する方法について説明します。次のようなトピックがあります。
„
601 ページの「IVE アプライアンスのシリアル コンソールへの接続」
„
602 ページの「直前のシステム状態へのロールバック」
„
604 ページの「IVE アプライアンスを出荷時設定に戻す」
„
607 ページの「共通のリカバリ タスクの実行」
„
608 ページの「管理者カードの追加作成 (Access Series FIPS のみ )」
„
609 ページの「新しいセキュリティ ワールドの作成 (Access Series FIPS のみ )」
„
610 ページの「アーカイブされたセキュリティ ワールドの復元 (Access Series FIPS
のみ )」
IVE アプライアンスのシリアル コンソールへの接続
IVE アプライアンスのシリアル コンソールを通じて作業を行うには、その前にターミナル
コンソールまたはラップトップを接続する必要があります。
IVE アプライアンスのシリアル コンソールに接続するには、次の操作を実行します。
1.
コンソール ターミナルまたはラップトップのヌル モデム クロスオーバー ケーブルを
IVE アプライアンスに差し込みます。このケーブルは製品に同梱されています。スト
レート シリアル ケーブルは使用しないでください。
2.
HyperTerminal などのターミナル エミュレーション ユーティリティを、以下のシリ
アル接続パラメータを使用するように設定します。
„
9600 ビット / 秒
„
8 ビット、パリティなし (8N1)
„
1 ストップ ビット
„
フロー制御なし
IVE アプライアンスのシリアル コンソールへの接続
„
601
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
3.
IVE シリアル コンソールが表示されるまで、Enter キーを押します。
メモ : Access Series FIPS コンピュータを実行している場合に初めてシリアル コンソール
に接続するときは、暗号化モジュールのモード スイッチを I ( 初期化モード ) に設定す
ることも必要です。
図 67: IVE シリアル コンソール
直前のシステム状態へのロールバック
IVE には、現在のシステム設定情報と以前の状態のシステム設定情報が格納されてい
ます。
メモ : Web コンソールを通じて直前のシステム状態にロールバックすることもできま
す。詳細については、570 ページの「Juniper ソフトウェア サービス パッケージのイン
ストール」を参照してください。
Web コンソールによる前のシステム状態へのロールバック
サーバー パッケージをアップグレードした後で以前の状態に戻すには、次の手順を実行
することをお勧めします。
602
1.
目的の状態データが格納されているエクスポート済みのシステム構成ファイルとユー
ザー構成ファイルを探します ( この手順は、Web コンソールの Maintenance >
Import/Export メニューでファイルをエクスポートし、システムとユーザー データを
バックアップしておくことを前提とします )。
2.
Juniper サポート サイトから目的の IVE OS サービス パッケージをダウンロードしま
す。http://www.juniper.net/support/
3.
Web コンソールの Maintenance > System > Upgrade/Downgrade メニューから、選
択した IVE OS サービス パッケージをインポートします。
4.
ステップ 1 で指定したシステム構成ファイルとユーザー構成ファイルをインポート
します。
„ 直前のシステム状態へのロールバック
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
シリアル コンソールによる前のシステム状態へのロールバック
Web コンソールにアクセスできない場合は、シリアル コンソールに接続してシステムの
ロールバックを実行し、以前のシステム状態を復元してください。
メモ : まだ IVE OS サービス パッケージのアップグレードを実行していない場合には、
ロールバック先の状態が存在しないため、このオプションは選択できません。以前に
IVE OS サービス パッケージのアップグレードを実行した場合には、すべてのシステム
およびユーザー アップグレード後に作成された設定データは、システムをロールバック
する前に最新の構成ファイルをエクスポートして、そのあとインポートします。
メモ : Access Series FIPS マシンを実行しているときに直前のセキュリティ ワールドに
ロールバックする場合は、610 ページの「アーカイブされたセキュリティ ワールドの復
元 (Access Series FIPS のみ )」の説明に従います。
直前の IVE OS サービス パッケージにロールバックするには、次の操作を実行します。
1.
IVE アプライアンスのシリアル コンソールに接続します 。手順については、601 ペー
ジの「IVE アプライアンスのシリアル コンソールへの接続」を参照してください。
2.
ブラウザのウィンドウで、Web コンソールにサインインします。
3.
Maintenance > System > Platform を選択します。
4.
Reboot Now をクリックして、コンソール ユーティリティ ウィンドウに戻りま
す。ウィンドウに、システムが再起動中であることを知らせるメッセージが表示
されます。
5.
数分後に、Tab キーを押してオプションを選択するように求められます。Tab キーを
押し、設定をロードするように指示されたら、rollback と入力して Enter キーを押し
ます。
直前のシステム状態へのロールバック
„
603
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 68: IVE シリアル コンソール
Maintenance > System > Platform ページで Reboot Now をクリックすると、サーバー
のロールバック ステータスが画面に出力され、これが完了すると Return (Enter) キーを
押して、システム設定を変更するようにメッセージで指示が出ます。これにより最初の
セットアップ オプションに戻れます。データの入力が済んだら、ユーティリティ ウィン
ドウを閉じます。
メモ : 5 秒以内に入力しないと、現在のシステム設定が自動的にロードされます。この
場合には、Web コンソールに戻り、Reboot Now をクリックして、この手順をやり直す
必要があります。すでにシステムのロールバックが済んでいる場合、再び IVE OS サービ
ス パッケージのアップグレードを実行するまでは、ロールバック オプションは選択で
きません。
IVE アプライアンスを出荷時設定に戻す
ごくまれに、IVE アプライアンスを出荷時の状態に戻す必要が生じる場合があります。こ
の高度なシステム リカバリ オプションを実行する前に、Juniper
(http://www.juniper.net/support/) までご連絡ください。可能であれば、出荷時リセット
を実行する前に、最新のシステム設定データとユーザー構成データをエクスポートしてく
ださい。
出荷時リセットを行うには、次の操作を実行します。
604
1.
シリアル コンソールに接続します 。手順については、601 ページの「IVE アプライア
ンスのシリアル コンソールへの接続」を参照してください。
2.
ブラウザのウィンドウで、Web コンソールにサインインします。
3.
Maintenance > System > Platform を選択します。
4.
Reboot IVE をクリックして、コンソール ユーティリティ ウィンドウに戻ります。
ウィンドウに、システムが再起動中であることを知らせるメッセージが表示され
ます。
5.
数分後に、Tab キーを押してオプションを選択するように求められます。Tab キーを
押し、設定をロードするように指示されたら、factory-reset と入力して Enter キーを
押します。
„ IVE アプライアンスを出荷時設定に戻す
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 69: Maintenance > System > Platform ページで Reboot IVE をクリックした後の IVE
シリアル コンソール
メモ : 5 秒以内に入力しないと、現在のシステム設定が自動的にロードされます。この
場合には、Web コンソールに戻り、Reboot Now をクリックして、この手順をやり直す
必要があります。
6.
出荷時リセットを実行するかどうか確認を求められたら、proceed と入力して Enter
キーを押します。
図 70: 出荷時リセットを選択した後の IVE シリアル コンソール
コンピュータを元の設定にリセットするプロセスが開始され、複数のデータ画面が表
示されます。数分後に、Tab キーを押して設定を選択するように求められます。
IVE アプライアンスを出荷時設定に戻す
„
605
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
図 71: 出荷時リセットを実行した後の IVE シリアル コンソール
7.
Tab キーを押すように求められたら、次のいずれかの操作を実行します。
„
デフォルトの選択(current)が自動的に開始されるまで待ちます。または
„
Tab キーを押して、current と入力し、Enter キーを押します。
コンピュータの初期設定を入力するよう求められます。以降の手順の詳細について
は、製品に付属の Getting Started Guide を参照してください。このガイドは、Juniper
サポート サイト (http://www.juniper.net/support/) からも PDF 形式でダウンロード
できます。
初期化プロセスが完了したら、最新の IVE OS サービス パッケージにアップグレード
し、保存してあるシステム構成ファイルとユーザー構成ファイルをインポートすれ
ば、以前の作業環境を復元することができます。
メモ : 初期設定中や工場出荷時のリセット中に IVE でエラーが発生する場合がありま
す。IVE がサービスを開始する前に、最大 120 秒間ネットワーク ポートをモニターしま
す。IVE はリンクのステータスを確認し、デフォルトのゲートウェイで ARPing を実行し
ます。問題がある場合には、5 秒後に IVE がシリアル コンソールで NIC:..... で始まる
メッセージを表示します。リンクが 120 秒以内に回復する場合には、起動プロセスが続
行します。リンクが回復しない場合には、次のメッセージが表示されます。
Internal NIC: ................[Down code=0x1]
2 つのコードが表示されます。
„
0x1 は、NIC がレポートしたインターフェース リンク ステータスが続行しているこ
とを意味します ( たとえば、ケーブルの接続が切れたか、ケーブルが間違ったポー
トにある )。
„
606
0x2 はゲートウェイにアクセスできないことを意味します。IVE は再起動しますが、
そのネットワークポートに関連付けられた IP アドレスからはアクセスできません。
„ IVE アプライアンスを出荷時設定に戻す
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
共通のリカバリ タスクの実行
IVE 管理者ユーザー名またはパスワード(あるいはその両方)を忘れた場合、構成エラー
のためにコンピュータからロックアウトされた場合、または IVE アプライアンスの IP ア
ドレスを変更したためにコンピュータにアクセスできなくなった場合には、シリアル コ
ンソールを通じてコンピュータ設定を変更できます。601 ページの「IVE アプライアンス
のシリアル コンソールへの接続」の説明に従って手順を実行し、適切な設定タスクを選択
してください。
„
Network Settings and Tools - 標準ネットワーク設定の変更、ルーティング テーブル
の印刷、ARP キャッシュの印刷またはクリア、他のサーバーへの ping 送信、サー
バーまでのルートのトレース、静的なルートの削除、ARP エントリの追加などを実
行できます。
„
Create admin username and password - 新規のスーパー管理者アカウントを作成す
ることができます。
„
Display log - システム設定、ユーザー ログ、管理者アクセス ログを、シリアル コン
ソールから表示できるようにします。ログを表示した後にシリアル コンソール オプ
ションに戻るには、“q” と入力する必要があります。
„
System Operations - Web コンソールを使用せずに IVE アプライアンスをリブート、
シャットダウン、再起動、ロールバック、工場出荷時リセットすることができます。
„
Toggle password protection for the console - シリアル コンソールをパスワード保護
することができます。このオプションを 登 n に切り替えると、上級管理者だけにア
クセスが許可されます。
„
Create a Super Admin session -すべての管理者へのアクセスをブロックするように
IVE アプライアンスを設定した場合でも、Web コンソールに対するリカバリ セッ
ションを作成できるようにします。このオプションを選択すると、アプライアンスは
3 分間有効な一時トークンを生成します。次の URL をブラウザのウィンドウに入力し
ます。https://<ive-host>/dana-na/auth/recover.cgi。プロンプトが表示されたら、
Web コンソールにサインインするための一時トークンを入力します。
メモ : このオプションを選択すると、指定された URL にサインインし、トークンを使用
してセッションを開始するまで、IVE アプライアンスは他の管理者による Web コンソー
ルへのサインインをブロックします。アプライアンスがほかの管理者のサインインをブ
ロックするため、IVE で設定上の問題が発生している場合は、別のセッションと競合す
ることなく修復できます。
„
System Snapshot - Web コンソールを使用せずにシステム スナップショットをとる
ことができます。このオプションを選択すると、IVE はすぐにスナップショットをと
ることができます。これで、SCP を経由してスナップショット ファイルをリモート
システムに送信することができます。システムは、送信先のサーバー ポート、ユー
ザー ID、パスワード、リモート ディレクトリへの送信先パスを要求します。
メモ : リモート システムにスナップショット ファイルを送信しないことを選択した場
合、IVE はファイルをローカルに保存します。次回 Web コンソールにログインすると、
System Snapshot タブにはスナップショット ファイルへのリンクが入っています。Web
コンソールからスナップショットをとる方法については、594 ページの「System
Snapshot タブ」を参照します。
共通のリカバリ タスクの実行
„
607
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Replace Administrator Card Set (Access Series FIPS のみ ) -セキュリティ ワールドで
追加の管理者カードを作成できます。詳細については、次のセクションを参照してく
ださい。
„
メモ : Access Series FIPS システムを実行している場合に暗号化モジュールのクリア ス
イッチを押したときには、暗号化モジュールのモード スイッチを O ( 動作可能モード )
に設定し、システムを再起動します。リカバリのためにシリアル コンソールにアクセス
する必要はありません。
管理者カードの追加作成 (Access Series FIPS のみ )
セキュリティ ワールド用の管理者カードを追加作成するには、以下に対して物理的にア
クセスできなければなりません。
„
セキュリティ ワールドに含まれる暗号化モジュール
„
スマート カード リーダー
„
セキュリティ ワールドであらかじめ初期化した管理者カード
„
1 枚以上の未フォーマットのスマート カードまたは上書きしても安全なデータが含
まれる管理者カード
メモ : 追加のスマート カードが必要な場合は、IVE の再販業者に問い合わせてくださ
い。
セキュリティ ワールドに管理者カードを追加作成するには、次の操作を実行します。
1.
セキュリティ ワールドに属する暗号化モジュールのリーダ ポートにスマート カード
リーダ ケーブルを差し込みます。ポートは、IVE の前面パネルにあります。
2.
あらかじめ初期化してある、セキュリティ ワールド用の管理者カードを、接触部を
上に向けてスマート カード リーダーに差し込みます。
3.
暗号化モジュールのモード スイッチが O ( 動作可能モード ) になっていない場合は、
切り替えます。
4.
シリアル コンソールに接続します 。手順については、601 ページの「IVE アプライア
ンスのシリアル コンソールへの接続」を参照してください。
5.
構成タスクのリストから、Replace Administrator Card Set を選択します。
6.
セキュリティ ワールドのパスフレーズを入力してください。
7.
要求されたら、未フォーマットのスマート カードまたは上書きしても安全なデータ
が含まれる管理者カードを、接触部を上に向けてスマート カード リーダーに差し込
みます。
8.
要求された追加の初期化情報を入力します。
9.
作成するカードの数だけステップ 7 を繰り返します。
10. 管理者カードのうち少なくとも 1 枚を、セキュアな場所に保管します。
608
„ 管理者カードの追加作成 (Access Series FIPS のみ )
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
新しいセキュリティ ワールドの作成 (Access Series FIPS のみ )
Access Series FIPS コンピュータは、セキュリティ ワールドを作成しない限り、使用を開
始できません。ただし、場合によっては、セキュリティ ワールドを新しいセキュリティ
ワールドで上書きする必要があります。たとえば、管理者カードを紛失した場合は、信頼
されないソースがカードを見つけてセキュリティ ワールドにアクセスするのを防ぐため
に、全く新しいセキュリティ ワールドを作成することをお勧めします。また、元のセキュ
リティ ワールドのパスフレーズを思い出せない場合は、新しいセキュリティ ワールドを
作成しなければならないこともあります。
新しいセキュリティ ワールドを作成するには、以下に対して物理的にアクセスできなけ
ればなりません。
„
セキュリティ ワールドに含まれる暗号化モジュール
„
スマート カード リーダー
„
1 枚以上の未フォーマットのスマート カードまたは上書きしても安全なデータが含
まれる管理者カード
メモ : 前の管理者カードは、新しいセキュリティ カードのデータで再フォーマットしな
い限り、新しいセキュリティ ワールドでは使用できません。また、スイッチを I に設定
して初期化を開始したら、そのプロセスを完了する必要があります。プロセスを中断す
ると、セキュリティ ワールドが一部しか初期化されず、使用不能になります。
既存のセキュリティ ワールドによるセキュリティ ワールドの上書きについては、610
ページの「アーカイブされたセキュリティ ワールドの復元 (Access Series FIPS のみ )」を
参照してください。
スタンドアロン IVE でのセキュリティ ワールドの作成
スタンドアロン IVE で新しいセキュリティ ワールドを作成するには、次の操作を実行し
ます。
1.
スマート カード リーダのケーブルを、IVE の前面パネルにある暗号化モジュールの
リーダのポートに差し込みます。
2.
未フォーマットのスマート カードまたは上書きしても安全なデータが含まれる管理
者カードを、接触部を上に向けてカード リーダーに挿入します。
3.
暗号化モジュールのモード スイッチを I ( 初期化モード ) に設定します。
4.
IVE のシリアル コンソールにアクセスして、IVE を再起動します。手順について
は、601 ページの「IVE アプライアンスのシリアル コンソールへの接続」を参照して
ください。
5.
要求された初期化情報を入力します。
6.
要求されたら、暗号化モジュールのモード スイッチを O ( 動作可能モード ) にリセッ
トします。
7.
新しいセキュリティ ワールドの秘密鍵を共有する新しいサーバー証明書を作成しま
す 。詳細については、296 ページの「新しい証明書の証明書署名要求(CSR)の作
成」を参照してください。
新しいセキュリティ ワールドの作成 (Access Series FIPS のみ )
„
609
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
クラスタ化された環境でのセキュリティ ワールドの作成
クラスタ環境で新しいセキュリティ ワールドを作成するには、次の操作を実行します。
1.
新しいセキュリティ ワールドで再フォーマットするクラスタ ノードの Web コンソー
ルにサインインします。ノードの Web コンソールにアクセスするには、ブラウザで
ノードの内部 IP アドレスの後に “/admin” と入力します。例:
https://x.x.x.x/admin
2.
System > Clustering > Status タブで、Cluster Members コラムのノード名の横にあ
るチェックボックスをオンにして、Disable をクリックします。
3.
クラスタ メンバーを、セキュリティ ワールドで以下のように初期化します。もしも
これが :
„
クラスタ内の最初のノードの場合は、609 ページの「新しいセキュリティ ワール
ドの作成 (Access Series FIPS のみ )」で説明されているように、新しいセキュリ
ティ ワールドを作成します。
„
クラスタ内の 2 番目以降のノードの場合は、610 ページの「アーカイブされ
たセキュリティ ワールドの復元 (Access Series FIPS のみ )」で説明されている
ように、クラスタの既存のセキュリティ ワールドを使用してコンピュータを
初期化します。
4.
ノードの System > Clustering > Status タブに戻り、Cluster Members 列のノード名
の横にあるチェックボックスをオンにして、Enable をクリックします。
5.
このステップをクラスタ内のノードごとに繰り返します。
アーカイブされたセキュリティ ワールドの復元
(Access Series FIPS のみ )
ごくまれに、アーカイブしたセキュリティ ワールドを使用してシステムを復旧する必要
が生じる場合があります。アーカイブされたセキュリティ ワールドは、システムにすでに
存在するセキュリティ ワールドよりも古いバージョンか、同じバージョンである可能性
があります。システムを復旧するには、システム構成ファイル ( デフォルトで、
system.cfg) へのアクセス権が必要です。このファイルには、アーカイブされたセキュリ
ティ ワールドとそれに対応する証明書が含まれています。
また、異なるセキュリティ ワールドでセキュリティ ワールドを上書きするには、以下に
対して物理的にアクセスできなければなりません。
„
セキュリティ ワールドに含まれるすべての暗号化モジュール
„
スマート カード リーダー
„
インポートするセキュリティ ワールドと管理者パスフレーズであらかじめ初期化し
た管理者カード
セキュリティ ワールドのスタンドアロン IVE へのインポート
既存のセキュリティ ワールドをスタンドアロン IVE にインポートするには、次の操作を
実行します。
610
„ アーカイブされたセキュリティ ワールドの復元 (Access Series FIPS のみ )
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
1.
アーカイブされたセキュリティ ワールドと、それに対応する証明書が含まれたシス
テム設定ファイルを IVE にインポートし (574 ページの「Configuration タブ」で説明
されているように )、必要に応じてセキュリティ ワールドを初期化します。構成ファ
イルに含まれているアーカイブに応じて、以下のようになります。
„
コンピュータにすでに存在するセキュリティ ワールドと同じである場合、これ
以上の設定は不要です。
„
コンピュータにすでに存在するセキュリティ ワールドと異なる場合は、新しい
セキュリティ ワールドを初期化する必要があります。
メモ : 異なるセキュリティ ワールドが含まれる構成ファイルをインポートする場合、既
存の管理者カードは、インポートしたセキュリティ ワールドのデータで再フォーマット
しない限り、新しいセキュリティ ワールドでは使用できないことに注意してください。
また、スイッチを I に設定して初期化を開始したら、そのプロセスを完了する必要があ
ります。プロセスを中断すると、セキュリティ ワールドが一部しか初期化されず、使用
不能になります。
2.
スマート カード リーダのケーブルを、IVE の前面パネルにある暗号化モジュールの
リーダのポートに差し込みます。
3.
あらかじめ、インポートしたセキュリティ ワールドで初期化してある管理者カード
を、接触部を上に向けてスマート カード リーダーに差し込みます。
4.
暗号化モジュールのモード スイッチを I ( 初期化モード ) に設定します。
5.
IVE のシリアル コンソールにアクセスして、IVE を再起動します。詳細について
は、601 ページの「IVE アプライアンスのシリアル コンソールへの接続」を参照して
ください。
6.
要求された初期化情報を入力します。
7.
要求されたら、暗号化モジュールのモード スイッチを O ( 動作可能モード ) にリセッ
トします。
セキュリティ ワールドのクラスタへのインポート
既存のセキュリティ ワールドをクラスタにインポートするには、次の操作を実行します。
1.
新しいセキュリティ ワールドで再フォーマットするクラスタ ノードの Web コンソー
ルにサインインします。ノードの Web コンソールにアクセスするには、ブラウザで
ノードの内部 IP アドレスの後に “/admin” と入力します。例:
https://x.x.x.x/admin
2.
System > Clustering > Status タブで、Cluster Members コラムのノード名の横にあ
るチェックボックスをオンにして、Disable をクリックします。
3.
前項の説明に従って、アーカイブされたセキュリティ ワールドをクラスタ メンバー
にインポートします。
4.
インストールが完了したら、ノードの System > Clustering > Status タブに戻り、
Cluster Members コラムのノード名の横にあるチェックボックスをオンにして、
Enable をクリックします。
このステップをクラスタ内のノードごとに繰り返します。
アーカイブされたセキュリティ ワールドの復元 (Access Series FIPS のみ )
„
611
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
612
„ アーカイブされたセキュリティ ワールドの復元 (Access Series FIPS のみ )
付録 B
カスタム エクスプレッションの記述
このセクションは次のトピックから成ります。
„
613 ページの「カスタム エクスプレッション」
„
617 ページの「システム変数とその例」
„
625 ページの「領域、ロール、リソース ポリシーでのシステム変数の使用」
カスタム エクスプレッション
では、ロール マッピング規則、リソース ポリシーおよびログ フィルタ クエリ内での評価
に使用可能なカスタム エクスプレッションを記述できます。カスタム エクスプレッショ
ンとは、ブール型オブジェクトとして、IVE によって true、false、error のいずれかに演
算される変数の組み合わせです。カスタム エクスプレッションを使用することによりポリ
シー検証およびログ クエリに複雑な式を指定できるようになり、より優れたリソース ア
クセス コントロール管理が可能になります。
カスタム エクスプレッションは、以下のフォーマットで記述できます。
variable comparisonOperator variable
variable comparisonOperator simpleValue
variable comparisonOperator (simpleValue)
variable comparisonOperator (ORValues)
variable comparisonOperator (ANDValues)
variable comparisonOperator (time TO time)
variable comparisonOperator (day TO day)
isEmpty (variable)
isUnknown (variable)
(customExpr)
NOT customExpr
! customExpr
customExpr OR customExpr
customExpr || customExpr
customExpr AND customExpr
customExpr && customExpr
これらのカスタム エクスプレッションで使用されるエレメントについては次の表で説明
します。
カスタム エクスプレッション
„
613
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 41: カスタム エクスプレッション エレメント
variable
システム変数を表します。変数名はドットで区切られる文字列であり、
各コンポーネントには [a-z A-Z 0-9_ ] のセットからの文字が含まれますが、
[0-9] の数字から始めることはできません。変数名では大文字と小文字が区別さ
れます。ロール マッピング規則およびリソース ポリシーで使用可能なシステム
変数については、617 ページの「システム変数とその例」を参照してください。
カスタム エクスプレッションをログ クエリ フィールドで記述する場合は、シス
テム ログ変数を使用する必要があります。これらの変数は、Filter ページの Filter
Variables Dictionary で説明されています (System > Log/Monitoring > Events |
User Access | Admin Access > Filters タブ )。
変数に対する構文の引用
IVE は、ユーザー属性名に ‘.’ ( ピリオド)以外の文字を使用できるカスタム エク
スプレッション変数用の引用構文をサポートしています。属性名の中で文字をエ
スケープするには、{ }(中括弧)を使用して変数名の一部または全体を囲みま
す。たとえば、次のエクスプレッションは等価です。
userAttr.{Login-Name} = 'xyz'
userAttr.Login{-}Name = 'xyz'
{userAttr.Login-Name} = 'xyz'
userA{ttr.L}{ogin-}Name = 'xyz'
引用符内でサポートされているエスケープ文字:
\\
\(バックスラッシュ)
\{
{(左中括弧)
\}
}(右中括弧)
\hh
16 進数値。hh は [0-9A-Fa-f] 内の 2 文字
例:
userAttr.{Tree Frog} = 'kermit'
userAttr.{Tree\20Frog} = 'kermit'
注意:
„ 変数名の中で使用できる引用符の数に制限はありません。
„ userAttr.* 変数に限らず、どの変数にも引用構文を使用できます。
„ カスタム エクスプレッションを記述するときに限り、中括弧を使用する必要
があります。
comparisonOperator
614
„ カスタム エクスプレッション
以下のいずれかです。
=
等しい ― 文字列、数字、DN で使用し
ます。
!=
等しくない ― 文字列、数字、DN で使
用します。
<
より小さい ― 数字で使用します。
<=
以下 ― 数字で使用します。
>
より大きい ― 数字で使用します。
>=
以上―数値で使用します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 41: カスタム エクスプレッション エレメント ( 続き )
simpleValue
は以下のいずれかです。
„ 文字列 ― ワイルドカードを含む引用符で囲まれた文字列
„ IP アドレス ― a.b.c.d
„ サブネット― a.b.c.d/subnetBitCount または a.b.c.d/netmask
„ 数 ― 正または負の整数
„ 曜日 ― SUN MON TUE WED THU FRI SAT
文字列についての注意:
„ 文字列には、
<nl>( 新規行 ) および <cr> ( キャリッジ リターン ) 以外のすべて
の文字を含めることができます。
„ 文字列の長さは任意です。
„ 文字列の比較では、大文字と小文字が区別されます。
„ 文字列は、一重引用符または二重引用符で囲むことができます。引用符で囲ま
れた文字列には、アスタリスク(*)、クエスチョン マーク(?)およびスクエ
ア ブラケット([ ])を含むワイルドカードを使用できます。616 ページの「ワ
イルドカード マッチング」を参照してください。
„ variable comparisonOperator の比較式では、ワイルドカード マッチングを含ま
ない評価を行います。
„ 以下の文字をエスケープするには、バックスラッシュを使用します。
一重引用符(')― \'
二重引用符(")― \"
バックスラッシュ(\)― \\
16 進数表記 ― \hh [0-9a-fA-F]
曜日についての注意 :
日付と時刻の比較は、IVE のタイム ゾーンで行われます。デイ レンジ (day TO
day) の演算では、最初の日付から開始され次の日付になるまで行われます。タイ
ム レンジ (time TO time) の演算では、最初の値は次の値より時間的に早くなけ
ればなりません。日付および時刻の値と比較できるには時刻の変数だけです。時
刻の変数には以下のものが含まれます。time.* および loginTime.*
time
以下のいずれかの形式で表す時刻です。
HH:MM ― 24 時間制
HH:MMam ― 12 時間制
HH:MMpm ― 12 時間制
H:MM ― 24 時間制
H:MMam ― 12 時間制
H:MMpm ― 12 時間制
日付と時刻の比較は、IVE のタイム ゾーンで行われます。デイ レンジ (day TO
day) の演算では、最初の日付から開始され次の日付になるまで行われます。タイ
ム レンジ (time TO time) の演算では、最初の値は次の値より時間的に早くなけ
ればなりません。日付および時刻の値と比較できるには時刻の変数だけです。時
刻の変数には以下のものが含まれます。time.* および loginTime.*
ORValue
1 つまたは複数の OR 演算を含む文字列です。
variable comparisonOperator (number OR number ...)
variable comparisonOperator (string OR string ...)
ANDValue
1 つまたは複数の AND 演算を含む文字列です。
variable comparisonOperator (number AND number ...)
variable comparisonOperator (string AND string ...)
カスタム エクスプレッション
„
615
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 41: カスタム エクスプレッション エレメント ( 続き )
単一の変数名 (variable) を引数とし、ブール値を返す関数です。isEmpty() は、変
数が未知の場合や空白値、空白文字列および空のリストを含む場合に true を返
します。
isEmpty
例 : isEmpty(userAttr.terminationDate)
単一の変数名 (variable) を引数とし、ブール値を返す関数です。isUnknown() は、
変数が定義されていない場合に true を返します。ユーザー属性
(userAttr.*variables)は、属性が LDAP で定義されていない場合や属性を参照で
きない場合(LDAP サーバーが停止しているなどの場合)は未知の属性として処
理されます。
isUnknown
例 : isUnknown(userAttr.bonusProgram)
NOT, !
論理否定の比較演算子です。否定演算式では、customExpr が false のときに
true、true のときに false が返されます。これらは同じ意味を表します。演算子
NOT、AND および OR は優先順位の高いものから実行されます。優先順位は以下
のとおりです。NOT(右から)、AND(左から)
、OR(左から)
OR, ||
論理演算子 OR または || です。これらは同じ意味を表します。これらは同じ意味
を表します。演算子 NOT、AND および OR は優先順位の高いものから実行され
ます。NOT ( 右から ), AND ( 左から ), OR ( 左から )
AND, &&
論理演算子 AND または && です。これらは同じ意味を表します。演算子 NOT、
AND および OR は優先順位の高いものから実行されます。NOT ( 右から ), AND
( 左から ), OR ( 左から )
customExpr
カスタム エクスプレッションの構文(上記を参照)で記述された式です。
ワイルドカード マッチング
引用符で囲んだ文字列内には、ワイルドカードを使用できます。以下のワイルドカードが
サポートされています。
„
アスタリスク (*) ― アスタリスクは、空白文字または任意の数の文字例の代わりに使
用します。
„
疑問符 (?) ― 疑問符は任意の 1 文字と一致します。
„
スクエア ブラケット([ ])― ブラケット間で指定された文字範囲に当てはまる 1 文
字の代わりに使用します。ダッシュ(-)で区切られた 2 文字は、指定された範囲内
で、辞書表記的にその間に入る 2 文字の代わりに使用します。たとえば、'dept[0-9]'
は、“dept0” 、“dept1” から “dept9” までの文字列とマッチします。
ワイルドカードをエスケープするには、スクエア ブラケット内にワイルドカードを配置
します。たとえば、式を ' userAttr.x = "value*" ' とすると、属性 x が実際に “value[*]” で
ある場合は true であると評価されます。
DN 変数
識別名(DN)を別の DN や文字列と比較できます。ただし、ワイルドカードやスペース、
大文字小文字の区別は無視されます。ただし、IVE は DN キーの順番を考慮に入れます。
が DN へのエクスプレッションを文字列に比較する場合、エクスプレッションを評価する
前に文字列を識別名に変換します。IVE が文字列を変換できない場合には、比較は実行さ
れません。DN 変数には以下のものが含まれます。
616
„
userDN
„
certDN
„ カスタム エクスプレッション
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
certIssuerDN
システム変数とその例
以下の表は、システム変数をリストアップして説明し、システム変数の例をそれぞれ示し
ます。さらにシステム変数を使用するべき場所を指示します。
メモ : このリストには、フィルタ クエリまたはシステム ログ用のエクスポート フォー
マットで使用される変数は含まれていません。
表 42: システム変数とその例
変数
説明
例
authMethod
ユーザー認証のために使用される認証方法の
タイプ
authMethod = ‘ACE Server’
cacheCleanerStatus
Cache Cleaner の状態。使用できる値:
cacheCleanerStatus = 1
以下で利用可能です。
1 - 実行中の場合
cacheCleanerStatus = 0
„ ロール マッピング規則
2 - その他の場合
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
„ リソース ポリシー規則
certAttr.<cert-attr>
以下で利用可能です。
クライアント サイド証明書の属性。certAttr
属性の例には次のようなものがあります。
„ ロール マッピング規則
C-国
„ リソース ポリシー規則
CN - 通称
„ LDAP 設定
description - 説明
„ SSO パラメータ フィールド
emailAddress - E メール アドレス
certAttr.OU = 'Retail Products Group'
GN - 名前
initials - イニシャル
L - 地域名
O - 組織
OU - 組織単位
SN - 名字
serialNumber - シリアル番号
ST - 州または県
title - タイトル
UI - 固有の識別子
この変数を使用して、指定された値を持つク
ライアント サイド証明書がユーザーのクライ
アント コンピュータにあるかどうかチェック
します。
システム変数とその例
„
617
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 42: システム変数とその例 ( 続き )
変数
説明
certAttr.altName.<Alt-attr>
クライアント サイド証明書の代替サブジェク certAttr.altName.email =
ト名。ここで、<Alt-attr> は以下のいずれか "[email protected]"
になります。
certAttr.altName.dirNameText =
.Email
"cn=joe, ou=company, o=com"
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
„ LDAP 設定
„ SSO パラメータ フィールド
.dirNameText
.DNS
例
certAttr.altName.ipAddress =
10.10.83.2
.URI
.ipAddress
.registeredId
certAttr.serialNumber
クライアント証明書のシリアル番号。
以下で利用可能です。
[0-9 a-f A-F] 以外の文字列は certAttr.SN との比
較を実行する前にすべて除外されます。ワイ certAttr.SerialNumber =
"6f:05:45:ab"
ルドカードはサポートされません。
„ ロール マッピング規則
„ リソース ポリシー規則
certAttr.SerialNumber =
userAttr.certSerial
„ LDAP 設定
„ SSO パラメータ フィールド
certDN
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
クライアント証明書のサブジェクト(認証
対象)DN。ワイルドカードは許可されてい
ません。
certDN = 'cn=John
Harding,ou=eng,c=Company'
certDN = userDN (LDAP ユーザー
DN をもつ証明書のサブジェクトに
一致します )
certDN = userAttr.x509SubjectName
certDN = ('cn=John
Harding,ou=eng,c=Company' また
は 'cn=Julia
Yount,ou=eng,c=Company')
certDN.<subject-attr>
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
„ LDAP 設定
クライアント証明書のサブジェクト DN の任 certDN.OU = 'company'
意の変数。ここで、subject-attr は RDN キーの certDN.E = '[email protected]'
名前になります。
certDN.ST = 'CA'
標準 x.509 形式の証明書のさまざまなサブ
ジェクト DN 属性をテストする際に使用しま
す。
„ SSO パラメータ フィールド
certDNText
以下で利用可能です。
„ ロール マッピング規則
文字列として格納されているクライアント証 certDNText = 'cn=John
明書のユーザー DN。この値との文字列の比較 Harding,ou=eng,c=Company'
のみ許可されます。
„ リソース ポリシー規則
„ SSO パラメータ フィールド
certIssuerDN
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
618
„ システム変数とその例
certIssuerDN = 'cn=John
クライアント証明書発行者の DN。この変数
は、CertDN などの標準的な DN 属性と同様に Harding,ou=eng,c=Company'
機能します。ワイルドカードは許可されてい certIssuerDN = userAttr.x509Issuer
ません。
certIssuerDN =
('ou=eng,c=Company' または
'ou=operations,c=Company')
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 42: システム変数とその例 ( 続き )
変数
説明
例
certIssuerDN.<issuer-attr>
クライアント証明書発行者の DN の任意の変
数。ここで、issuer-attr は RDN キーの名前に
なります。
certIssuerDN.OU = 'company'
以下で利用可能です。
„ ロール マッピング規則
certIssuerDN.ST = 'CA'
„ リソース ポリシー規則
„ SSO パラメータ フィールド
certIssuerDNText
以下で利用可能です。
„ ロール マッピング規則
文字列として格納されているクライアント証 certIssuerDNText = 'cn=John
明書発行者の DN。この値との文字列の比較の Harding,ou=eng,c=Company'
み許可されます。
„ リソース ポリシー規則
„ SSO パラメータ フィールド
group.<group-name>
以下で利用可能です。
ロール マッピング規則
領域認証またはディレクトリ サーバーによっ group.preferredPartner
て提供されるユーザーのグループ メンバー
group.goldPartner または
シップ。
group.silverPartner
group.employees と time.month = 9
リソース ポリシー規則
組み合わせ例 :
注意 : ロール マッピング規則で評価
されるグループのみ、リソース ポ
リシー内の詳細な規則(条件)で利
用できます。group.<group-name>
ではなく、groups 変数を使用するこ
とをお勧めします。group.groupname は下位互換性のためだけにサ
ポートされています。
月曜日から金曜日まではすべてのア
クティブなパートナを許可し、月曜
日から土曜日までは優先パートナを
許可する場合には、以下のようにし
ます。
((group.partners と time = (Mon ~
Fri)) または
(group.preferredPartners と time =
(Mon ~ Sat))) と
userAttr.partnerStatus = 'active'
注意 : group.sales マネージャなどス
ペースはサポートされていません。
groups
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
領域認証またはディレクトリ サーバーによっ groups=('sales managers')
て提供されるグループのリスト。
注意:ワイルドカード文字はサポートされて
いませんが、グループ名に任意の文字を入力
することができます。
„ SSO パラメータ フィールド
hostCheckerPolicy
以下で利用可能です。
クライアントに要求する Host Checker のポリ hostCheckerPolicy = ('Norton' と
シーです。
'Sygate') と cacheCleanerStatus = 1
„ ロール マッピング規則
„ リソース ポリシー規則
„ SSO パラメータ フィールド
loginHost
以下で利用可能です。
IVE に接続するために使用されるブラウザの
ホスト名または IP アドレスです。
loginHost = 10.10.10.10
„ ロール マッピング規則
„ リソース ポリシー規則
„ LDAP 設定
„ SSO パラメータ フィールド
システム変数とその例
„
619
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 42: システム変数とその例 ( 続き )
変数
説明
例
loginTime
ユーザーが IVE に証明書を送信する時刻で
す。時間は IVE タイムゾーンに基づいていま
す。
loginTime = (8:00am ~ 5:00pm)
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
„ SSO パラメータ フィールド
loginTime.day
以下で利用可能です。
„ ロール マッピング規則
loginTime= (Mon ~ Fri)
注意:この変数を SSO パラメータ フィール
ドで使用した場合、UNIX 時間の文字列が返
されます。
ユーザーが IVE に証明書を送信する日付を示 loginTime.day = 3
す 1-31 の数値です。時間は IVE タイムに基づ
いています。
„ リソース ポリシー規則
loginTime.dayOfWeek
以下で利用可能です。
„ ロール マッピング規則
ユーザーが IVE に証明書を送信する曜日を示 loginTime.dayOfWeek = (0 または 6)
す [0-6] の数値です。ここで、0 は日曜日を意 loginTime.dayOfWeek = (1 ~ 5)
味します。
loginTime.dayOfWeek = 5
„ リソース ポリシー規則
loginTime.dayOfYear
以下で利用可能です。
ユーザーが IVE へ証明書を送信する日を示す
[0-365] の数値です。
loginTime.dayOfYear = 100
ユーザーが IVE へ証明書を送信する年で、
[1-12] に設定できます。
ここで 1 = 1 月です。
loginTime.month >= 4 AND
loginTime.month <=9
ユーザーが IVE へ証明書を送信する年で、
[1900-2999] に設定できます。
loginTime.year = 2005
ユーザーが IVE にサインインするために
アクセスしたページの URL です。IVE は
この値を、Web コンソールの System >
Signing In > Sign-in Policies ページの
Administrator URLs/User URLs 列から取得
します。
loginURL = */admin
„ ロール マッピング規則
„ リソース ポリシー規則
loginTime.month
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
loginTime.year
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
loginURL
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
„ LDAP 設定
„ SSO パラメータ フィールド
networkIf
以下で利用可能です。
„ ロール マッピング規則
ユーザーの要求を受信するネットワーク イン sourceIp = 192.168.1.0/24 と
networkIf = internal
ターフェースです。使用できる値:
internal、external
„ リソース ポリシー規則
„ SSO パラメータ フィールド
ntdomain
以下で利用可能です。
„ ロール マッピング規則
„ SSO パラメータ フィールド
620
„ システム変数とその例
NT4 および Active Directory 認証で使用される ntdomain = jnpr
NetBIOS NT ドメインです。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 42: システム変数とその例 ( 続き )
変数
説明
例
ntuser
Active Directory 認証で使用される NT ユー
ザー名です。
ntuser = jdoe
1次認証サーバー (password と password[1])
または2次認証サーバー (password[2]) 用に
ユーザーが入力するパスワードです。
password = A1defo2z
ユーザーのサインイン先の認証領域の名前
です。
Realm = ('GoldPartners' または
'SilverPartners')
以下で利用可能です。
„ ロール マッピング規則
„ SSO パラメータ フィールド
password
password[1]
password[2]
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
„ SSO パラメータ フィールド
realm
以下で利用可能です。
注意 : ユーザーはセッション内の単
一領域でのみサインインを許可され
るため、AND 演算を使用した条件は
評価されません。
„ ロール マッピング規則
„ リソース ポリシー規則
„ SSO パラメータ フィールド
role
以下で利用可能です。
„ リソース ポリシー規則
„ SSO パラメータ フィールド
sourceIP
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
„ SSO パラメータ フィールド
セッションのすべてのユーザー ロールの
リスト。
Role = ('sales' または 'engineering')
Role = ('Sales' と 'Support')
SSO では、すべてのロールをバックエンド ア
プリケーションに送信する場合には、<role
sep = ";"> を使用します。ここで、sep は複
数の変数の区切り文字列を意味します。IVE
は “ および > 以外のすべての区切り文字をサ
ポートしています。
ユーザーを認証するコンピュータの IP アドレ sourceIP = 192.168.10.20
ス。ビット数またはネットマスク フォーマッ sourceIP = 192.168.1.0/24 と
ト “255.255.0.0” を使用してネットマスクを networkIf internal
指定できます。
userAttr.dept = ('eng' または 'it') と
sourceIP = 10.11.0.0/16
sourceIp = 192.168.10.0/24 (Class C)
は以下と同じです。
sourceIP =
192.168.10.0/255.255.255.0
システム変数とその例
„
621
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 42: システム変数とその例 ( 続き )
変数
説明
time
ロール マッピング規則またはリソース ポリ
time = (9:00am ~ 5:00pm)
シー規則を評価する時刻です。時刻は 12 時間 time = (09:00 ~ 17:00)
形式または 24 時間形式で記述できます。
time = (Mon ~ Fri)
以下で利用可能です。
„ ロール マッピング規則
例
„ リソース ポリシー規則
組み合わせ例 :
エグゼクティブ マネージャとそのア
シスタントのアクセスを月曜日から
金曜日まで許可するには、次のよう
にします。
userAttr.employeeType =
('*manager*' または '*assistant*') と
group.executiveStaff と
time = (Mon ~ Fri)
time.day
以下で利用可能です。
„ ロール マッピング規則
ユーザーが IVE に証明書を送信する日付を示 loginTime.day = 3
す 1-31 の数値です。時間は IVE タイムに基づ
いています。
„ リソース ポリシー規則
time.dayOfWeek
以下で利用可能です。
„ ロール マッピング規則
ロール マッピング規則またはリソース ポリ
loginTime.dayOfWeek = (0 または 6)
シー規則が評価される曜日を示す dayOfWeek loginTime.dayOfWeek = (1 ~ 5)
は [0-6] の数値です。ここで 0 は日曜日を意味
loginTime.dayOfWeek = 5
します。
„ リソース ポリシー規則
time.dayOfYear
以下で利用可能です。
„ ロール マッピング規則
ロール マッピング規則またはリソース ポリ
シー規則を評価する日です。
可能な値:1-365.
time.dayOfYear = 100
ロール マッピング規則またはリソース ポリ
シー規則を評価する月です。可能な値: 1-12
time.month >= 9 と time.month
<= 12 と time.year = 2004
„ リソース ポリシー規則
time.month
以下で利用可能です。
group.employees と time.month = 9
„ ロール マッピング規則
„ リソース ポリシー規則
time.year
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
622
„ システム変数とその例
ロール マッピング規則またはリソース ポリ
シー規則を評価する年で、[1900-2999] に設
定できます。
time.year = 2005
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 42: システム変数とその例 ( 続き )
変数
説明
user
IVE 1次認証サーバー (user と user[1]) または user = 'steve'
2次認証サーバー (user[2]) 用のユーザー名。 user = 'domain\\steve'
Active Directory サーバー、ドメイン、ユー
ザー名に対して認証を行うときに使用しま
す。
user[1]
user[2]
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
„ SSO パラメータ フィールド
username
username[1]
username[2]
以下で利用可能です。
例
注意: ユーザー名の一部にドメインを入れる
ときに、ドメインとユーザーの間に 2 つのス
ラッシュを入れる必要があります。例:user
= 'yourcompany.net\\joeuser'
IVE 1次認証サーバー(username と username
[1]) または2次認証サーバー (username[2]) 用
のユーザー名。ユーザーが証明書認証サー
バーにサインインする場合、ユーザーの IVE
ユーザー名は CertDN.cn と同じになります。
username = 'steve' と time = mon
ブラウザのユーザー エージェント文字列
です。
ブラウザのユーザー エージェント
文字列です。
„ ロール マッピング規則
username = 'steve'
username = 'steve*'
username = ('steve' または
'*jankowski')
„ リソース ポリシー規則
„ SSO パラメータ フィールド
userAgent
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
„ SSO パラメータ フィールド
システム変数とその例
„
623
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 42: システム変数とその例 ( 続き )
変数
説明
例
userAttr.<auth-attr>
LDAP または RADIUS 認証またはディレク
トリ サーバーから検索されるユーザー属
性です。
userAttr.building = ('HQ*' または
'MtView[1-3]')
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
„ SSO パラメータ フィールド
userAttr.dept = ('sales' と 'eng')
userAttr.dept = ('eng' または 'it'
または 'custsupport')
userAttr.division = 'sales'
userAttr.employeeType !=
'contractor'
userAttr.salaryGrade > 10
userAttr.salesConfirmed >=
userAttr.salesQuota
否定の例 :
userAttr.company != "Acme Inc"
または not group.contractors
not (user = 'guest' または
group.demo)
組み合わせ例 :
エグゼクティブ マネージャとそのア
シスタントのアクセスを月曜日から
金曜日まで許可するには、次のよう
にします。
userAttr.employeeType =
('*manager*' または '*assistant*') と
group.executiveStaff と
time = (Mon ~ Fri)
月曜日から金曜日まではすべてのア
クティブなパートナを許可し、月曜
日から土曜日までは優先パートナを
許可する場合には、以下のようにし
ます。
((group.partners と time = (Mon ~
Fri)) または
(group.preferredPartners と time =
(Mon ~ Sat))) と
userAttr.partnerStatus = 'active'
624
„ システム変数とその例
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 42: システム変数とその例 ( 続き )
変数
説明
userDN
LDAP サーバーからのユーザー DN です。ユー userDN = 'cn=John
ザーが LDAP サーバーによって認証される場 Harding,ou=eng,c=Company'
合、この DN は認証サーバーから取得されま userDN = certDN
す。それ以外の場合は、DN は領域のディレク
トリ / 属性 サーバーから取得されます。ワイ
ルドカードは許可されていません。
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
例
ユーザー DN の任意の変数。ここで、user-attr ユーザー DN の任意の変数。ここで、
は RDN キーの名前になります。
user-attr は RDN キーの名前になり
ます。
userDN.<user-attr>
以下で利用可能です。
„ ロール マッピング規則
„ リソース ポリシー規則
„ SSO パラメータ フィールド
文字列として格納されているユーザー DN
です。この値との文字列の比較のみ許可さ
れます。
userDNText
以下で利用可能です。
„ ロール マッピング規則
userDNText = 'cn=John
Harding,ou=eng,c=Company'
„ リソース ポリシー規則
„ SSO パラメータ フィールド
領域、ロール、リソース ポリシーでのシステム変数の使用
システム変数を使用してユーザー領域属性、ロール設定、リソース ポリシーを定義する
ことができます。このようにしてシステム変数を使用することにより、LDAP 属性やユー
ザーが利用できる他の情報に動的に基づいている特定パラメータをフレキシブルに設定す
ることができます。
変数を指定するときには、<user> および <time> のように、標準の変数構文
<variable> を使用してください。変数に属性を追加するときには、<userAttr.SourceIP>
および <group.sales> のように、構文 < 属性の変数 > を使用してください。
以下のユーザー ロール設定を構成するときに、IVE によりシステム変数の使用が可能にな
ります。
„
Web bookmarks ― ブックマークされたリソース ( 実際の URL) です。
„
Windows/NFS File bookmarks ― ファイル リソース ( サーバー、共有、またはパス ) で
す。
„
Telnet/SSH ― ホスト名
„
J-SAM ― Exchange サーバー、カスタム クライアント - サーバー ホスト名
„
W-SAM ― ホスト名と IP/Netmasks
„
Terminal Services ― アプリケーション ホスト
„
UI Options\Custom Welcome Text ― 挨拶メッセージには任意のシステム変数を含める
ことができます。
領域、ロール、リソース ポリシーでのシステム変数の使用
„
625
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
多値属性の使用
多値属性 (2 つまたはそれ以上の値を含んでいる属性 ) により、ユーザーのブックマーク
ページで複数のブックマークにそれぞれ拡張されるリソースを定義する便利な方法が可能
になります。
例えば、ユーザーの LDAP ディレクトリに多値属性の HomeShares:
\\Srv1\Sales;\\Srv2\Marketing が含まれていると仮定します。\\Srv1\Sales;\\Srv2\Marketing.
HomeShares 多値属性 \\<userAttr.HomeShares> を使用して Windows ファイル共有定義
を設定すると、以下の 2 つのブックマークが表示されます。
„
\\Srv1\Sales
„
\\Srv2\Marketing
ここで、ユーザーの LDAP ディレクトリに、HomeFolders: Folder1;Folder2;Folder3 として
定義される、第二の多値属性が含まれていると仮定します。多値属性
\\<userAttr.HomeShares>\<userAttr.HomeFolders> を両方使用して Windows ファイル共
有リソースを設定すると、次の 6 つのブックマークが表示されます。
„
\\Srv1\Sales\Folder1
„
\\Srv1\Sales\Folder2
„
\\Srv1\Sales\Folder3
„
\\Srv2\Marketing\Folder1
„
\\Srv2\Marketing\Folder2
„
\\Srv2\Marketing\Folder3
この機能に対する唯一の例外は、変数に明示的な区切り文字列が含まれている場合です。
この場合、ユーザーのブックマーク ページに表示されるのは複数のリソースを含んだ 1
つのブックマークだけです。
区切り文字列の指定は、構文 sep='string' を使用した変数定義で行います。ここで、string
は使用する区切り文字と等しくなります。たとえば、セミコロンを区切り文字として指定
する場合には、構文 <variable.Attr sep=';'> を使用します。
多値属性の処理用に次の構文を使用します。< 変数 > は、<userAttr.name> または
<CertAttr.name> など、セッション変数を指していることに注意してください。
626
„
<variable[Index]>― さまざまな方法でインデックスを指定します。たとえば、与え
られたインデックスの値の合計数が 5 であり、全レンジの値を指定したい場合、
<variable[ALL]> を使用します。4 番目の値だけを指定したい場合には、
<variable[4]> を使用します。
„
<variable> は、<variable[ALL]> と同じです。
„
<variable sep='str'> および <variable[All] sep='str'> ― これらの値の定義は、値
の間の区切り文字列に拡張されたすべてのトークンをもつ単一の文字列値を常に指し
ています。
„ 領域、ロール、リソース ポリシーでのシステム変数の使用
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
領域のフェッチ属性の指定
ユーザ ロールとリソース ポリシーでパラメータ化されたさまざまな設定のサポートを促
進するため、追加の「フェッチ属性」を指定することができます。IVE は、ユーザーがロ
グインするときにフェッチ属性を保存します。これにより、パラメータ化されたロールま
たはリソース ポリシー定義でフェッチ属性を使用することができます。
IVE は、ユーザーの認証または許可 LDAP サーバー用の Server Catalog に現在保存されて
いる属性をすべて引き出します。まず、LDAP Server Catalog のリソース ポリシー定義で
使用される LDAP ユーザーの属性を追加してください。
ユーザーがログインするときに、IVE はロール マッピング規則で参照されているユーザー
属性と、Server Catalog で参照されている追加の属性を取得して、これらすべての値を保
存します。すべてのユーザー属性は単一の LDAP クエリで検索されるため、これは大幅な
パフォーマンス経費にはつながらないという点にご注意ください。
メモ : IP/Netmasks や host names などの変数を代用するときに、セッションの値は特定
のアプリケーション定義によって必要とされるデータタイプに正しく変換されます。
領域、ロール、リソース ポリシーでのシステム変数の使用
„
627
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
628
„ 領域、ロール、リソース ポリシーでのシステム変数の使用
付録 C
カスタマイズ可能なサインイン ページ
カスタマイズ可能なサインイン ページ機能により、IVE の認証前ページとパスワード管理
ページ、Secure Meeting ページの外観をカスタマイズできます。この機能を使用して、次
のファイルに格納されているページをカスタマイズできます。
„
Sample.zip -この zip ファイルには、標準の IVE 認証前ページ、Netegrity SiteMinder
で使用する ACE 認証前ページ、およびパスワード管理ページなど、IVE ページがあり
ます。完全なリストについては、633 ページの「samples.zip のテンプレートの使用」
を参照してください。
„
SoftID.zip -この zip ファイルには、RSA Soft ID クライアントで使用する各種ページ
が格納されています。完全なリストについては、645 ページの「SoftID.zip のテンプ
レートの使用」を参照してください。
„
Kiosk.zip -この zip ファイルには、Kiosk ユーザー用の各種ページが格納されていま
す。完全なリストについては、647 ページの「Kiosk.zip のテンプレートの使用」を参
照してください。
„
Meeting.zip -この zip ファイルには、Secure Meeting の出席者が使用するさまざまな
認証前および認証後ページが入っています。完全なリストについては、648 ページの
「Meeting.zip からのテンプレートの使用」を参照してください。
IVE ページをカスタマイズするには、テンプレート ツールキット言語を使用する必要があ
ります。詳細については、630 ページの「テンプレート ツールキット言語の理解」を参照
してください。
„
629
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
テンプレート ツールキット言語の理解
この項では、IVE ユーザー向けのテンプレート ツールキット言語について簡単に説明しま
す。ここでは、IVE 用にページをカスタマイズするときにデザイナが使用するもっとも一
般的なディレクティブおよび演算子について説明します。テンプレート ツールキットの詳
細については、http://www.template-toolkit.org にアクセスしてください。
テンプレート ツールキットを使用して作成した Web ページは、標準的な Web ページと
似ており、HTML、XML、および JavaScript を扱うことができます。ただし、標準的な Web
ページとは異なり、テンプレート ツールキットのディレクティブを扱うこともできるた
め、ページにダイナミックな動きを追加できます。
「ディレクティブ」とは、テンプレート プロセッサに対してアクションを実行し、結果を
元のディレクティブに代わってドキュメントに反映する簡単な命令のことです。ディレク
ティブは、一連の値を繰り返す (FOREACH)、条件文 (IF/UNLESS/ELSE) を作成する、別
のテンプレート ファイルを含め、処理する (INCLUDE) など、さまざまな目的で使用でき
ます。
コード内でディレクティブを使用する場合は、次の点にご注意ください。
„
ディレクティブは大文字と小文字を区別し、すべて大文字です。
„
マークアップ タグ '<%' および '%>' 内にディレクティブを挿入する必要があり
ます。
メモ : テンプレート ツールキットのマニュアルには、山括弧タグとスクエア ブラケッ
ト タグを使用してディレクティブをマークする例が記載されています。IVE がサポート
するのは、山括弧マークアップ タグだけです。
„
ディレクティブは、テキスト行の任意の場所に挿入できます。
„
ディレクティブは、複数の行にまたがることができます。
„
# 文字を使用して、ディレクティブ内にコメントを挿入できます。テンプレート ツー
ルキット言語は、# 文字の後の文字を無視します。
„
一般に、テンプレート ツールキット言語は、ディレクティブ内で意味のない空白を
無視します。
ディレクティブに加え、テンプレート ツールキット言語を使用して、ループ、条件、変
数への代入、およびその他のテンプレート ファイルをページに挿入することもできます。
以下の節では、カスタマイズしたページで使用できる一般的なテンプレート ツールキッ
ト タスク、ディレクティブ、および演算子について説明します。
„
„
630
631 ページの「変数およびファイルへのアクセスと更新」
„
631 ページの「GET ディレクティブ」
„
631 ページの「SET ディレクティブ」
632 ページの「条件文の作成」
„
632 ページの「条件演算子」
„
632 ページの「IF および ELSIF ディレクティブ」
„ テンプレート ツールキット言語の理解
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
632 ページの「SWITCH および CASE ディレクティブ」
„
633 ページの「ループ コンストラクトの作成」
„
633 ページの「未サポート ディレクティブ」
INCLUDE および INSERT などのテンプレート ツールキット言語内で使用可能な追加ディ
レクティブについては、http://www.template-toolkit.org に掲載されているテンプレート
ツールキットのマニュアルを参照してください。
変数およびファイルへのアクセスと更新
GET ディレクティブ
GET ディレクティブは、名前の付いた変数の値を取り出し、出力します。
<% GET foo %>
GET キーワードはオプションです。変数は、ディレクティブ タグで自ら指定できます。
<% foo %>
SET ディレクティブ
SET ディレクティブにより、既存の変数への値の割り当てや、新しい臨時変数の作成を
行うことができます。
<% SET title = 'Hello World' %>
SET キーワードはオプションです。
<% title = 'Hello World' %>
テンプレート ツールキット言語の理解
„
631
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
条件文の作成
条件演算子
次の条件演算子が使用できます。
表 43: 条件演算子
演算子
説明
==
等しい
!=
等しくない
<
未満
<=
以下
>
より大きい
>=
以上
&&
および
||
または
!
除外
and
および
or
または
not
除外
IF および ELSIF ディレクティブ
IF および ELSIF ディレクティブを使用して条件を作成できます。これらはブロック ディ
レクティブです。これらはブロック ディレクティブです。つまり、 END ディレクティブ
を使用して各ブロックの終わりを明示する必要があります。ネストされた各ブロックの終
了文を含めれば、ブロックを無限にネストできます。
<% IF LoginPageErrorCode == 1002 %>
<b> Your username or password is incorrect. Please reenter your credentials.
</b>
<%ELSIF LoginPageErrorCode == 1006 %>
<b> system is undergoing maintenance. Only administrators are allowed to
sign in at this time.</b>
<% END %>
SWITCH および CASE ディレクティブ
SWITCH および CASE ディレクティブを使用して、多元的な条件テストを作成できます。
つまり、END ディレクティブを使用して各ブロックの終わりを明示する必要があります。
ネストされた各ブロックの終了文を含めれば、ブロックを無限にネストできます。
<% SWITCH loginPageErrorCode %>
<% CASE 1001 %>
<b> Your session time has expired. </b>
<% CASE 1006 %>
<b> system is undergoing maintenance. Only administrators are
permitted to sign in at this time. </b>
<% CASE %> # default ...
<% END %>
632
„ テンプレート ツールキット言語の理解
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ループ コンストラクトの作成
FOREACH および WHILE などのディレクティブを使用して、コードのブロックをループ
できます。これらはブロック ディレクティブです。つまり、END ディレクティブを使用
して各ブロックの終わりを明示する必要があります。ネストされた各ブロックの終了文を
含めれば、ブロックを無限にネストできます。
たとえば、次のサインイン ページ コードは、すべての認証領域をループして、それらを
選択リストに表示します。このサンプルでは、RealmList および realm で事前に定義され
た IVE 値も使用します。
<select size="1" name="realm">
<% FOREACH r = RealmList %>
<option value="<% r %>"><% r %> </option>
<% END %>
</select>
未サポート ディレクティブ
Juniper は、IVE カスタム ページ作成時に、USE、INTERPOLATE、TAGS、PERL、および
RAWPERL ディレクティブをサポートしていません。また、CALL または FILTER ディレク
ティブを使用することはお勧めしません。
samples.zip のテンプレートの使用
samples.zip ファイルには、自分の環境で使用するためにカスタマイズできる次のテンプ
レートが格納されています。アップロードされる zip ファイルには、* でマークされたす
べてのテンプレートが必要です。
„
„
„
634 ページの「IVE 認証前ページ」
„
634 ページの「LoginPage.thtml*」
„
641 ページの「Logout.thtml*」
„
642 ページの「ExceededConcurrent.thtml*」
„
642 ページの「SSL.thtml*」
„
642 ページの「PleaseWait.thtml」
„
642 ページの「SelectRole.thtml」
643 ページの「ACE 認証前ページ」
„
643 ページの「NewPin.thtml」
„
643 ページの「NextToken.thtml」
„
643 ページの「GeneratePin.thtml」
„
643 ページの「ShowSystemPin.thtml」
„
644 ページの「Cancel.thtml」
644 ページの「Netegrity で使用する ACE 認証前ページ」
„
644 ページの「SM-NewPinSelect.thtml」
samples.zip のテンプレートの使用
„
633
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
„
644 ページの「SM-NewPinSystem.thtml」
„
644 ページの「SM-NewUserPin.thtml」
„
644 ページの「SM-NextToken.thtml」
644 ページの「パスワード管理ページ」
„
644 ページの「Defender.thtml」
„
644 ページの「GraceLoginUsed.thtml」
„
645 ページの「PasswordChange.thtml」
„
645 ページの「PasswordExpiration.thtml」
メモ : ここに表示されているすべてのページは、Pocket PC 用にカスタマイズできます。
― Pocket PC テンプレートは、狭い表示領域用にカスタマイズされていること、および
zip ファイルに追加する必要がないことを除き、zip ファイルに格納されている他のテン
プレートと同じです。すべての Pocket PC テンプレートは、ファイル名に “ppc” が追加さ
れている点を除き、全画面テンプレートと同じ名前を使用します。たとえば、全画面サ
インイン ページ テンプレートの名前は LoginPage.thtml で、Pocket PC の場合は
LoginPage-ppc.thtml です。Pocket PC テンプレートについては、対応する全画面テンプ
レートの項を参照してください。
IVE 認証前ページ
標準のサインイン ページ (LoginPage.thtml)、認証失敗ページ (SSL.thtml)、サインアウト
ページ (Logout.thtml)、サインイン警告ページ (ExceededConcurrent.thtml)、Host
Checker および Cache Cleaner 開始ページ (PleaseWait.thtml)、および複数のロールからの
選択ページ (SelectRole.thtml) など、さまざまな標準の IVE 認証前ページをカスタマイズ
できます。
メモ : アップロードされる zip ファイルには、* でマークされたすべてのテンプレート
が必要です。
LoginPage.thtml*
ユーザー名またはパスワードを必要としない認証サーバーを使用している場合でも、zip
ファイルには、LoginPage.thtml を含める必要があります。これは、ユーザー名、パス
ワード、および認証領域を収集し、認証に失敗した場合にはエラーを表示する標準的な
IVE サインイン ページです。このページを、以下のサーバーへの認証を拒否するユーザー
に対して非表示にする方法ついては、以下を参照してください。
634
„
匿名サーバーの場合は、641 ページの「AnonymousAuthentication」を参照してくださ
い。
„
証明書サーバーの場合は、641 ページの「CertificateAuthentication」を参照してくだ
さい。
„
クライアント側での証明書認証を使用した Netegrity SiteMinder サーバーの場合は
635 ページの「関数 Login()」を参照してください。
„ samples.zip のテンプレートの使用
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
JavaScript
LoginPage.thtml のヘッダには、いくつかの JavaScript 関数が含まれています。これらの
関数の大部分は、複数の認証領域を 1 つのサインイン URL と関連付ける場合を対象とす
るものです。
関数 SetLastRealm(sValue)
ユーザーが、サインイン ページ内の複数の領域から選択できるようにする場合に、この
関数を使用します。ユーザーがサインインすると、この関数は、ユーザーによって選択さ
れる認証領域を取得し、期限切れの日(30 日)を、IVE が記憶する日数に設定します。
function SetLastRealm(sValue) {
var dtExpire = new Date();
dtExpire.setDate(dtExpire.getDate() + 30);
document.cookie = "lastRealm=" +
escape(sValue) + "; expires=" + dtExpire.toGMTString();
}
関数 Login()
この関数には、2 つのアクションがあります。
„
Remember the selected authentication realm ― ユーザーが、サインイン ページ内
の複数の領域から選択できるようにする場合に、このアクションを関数内で使用しま
す。この関数は、領域が存在するか点検し、現在選択されている認証領域を記憶しま
す。
„
Establish the user’s time zone ― 必須です。この関数は、tz_offset(タイム ゾーン
オフセット)変数および getTimezoneOffset() 関数を使用して、ユーザーのタイム
ゾーンを判断します。
function Login() {
// Remember currently selected auth realm
if (document.frmLogin.realm != null &&
document.frmLogin.realm.type == "select-one") {
SetLastRealm(
document.frmLogin.realm.options
[document.frmLogin.realm.selectedIndex].text);
}
if (document.frmLogin.tz_offset != null) {
var wdate = new Date (95,12,1);
var sdate = new Date (95,6,1);
var winter = (-1) * wdate.getTimezoneOffset();
var summer = (-1) * sdate.getTimezoneOffset();
document.frmLogin.tz_offset.value = winter < summer ? winter : summer;
}
return true;
}
関数 GetCookieValue(sName)
ユーザーが、サインイン ページ内の複数の領域から選択できるようにする場合に、この
関数を使用します。これは、cookie から値を取得し、その値が示す長さの文字列を作成
し、その文字列にその値を入力する汎用ヘルパ関数です。
function GetCookieValue(sName) {
var s = document.cookie;
samples.zip のテンプレートの使用
„
635
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
sName += "=";
// where nv pair starts
var nStart = s.indexOf(sName);
if (nStart == -1)
return "";
else
nStart += sName.length;
// if more values, clip, otherwise just get rest of string
var nEnd = document.cookie.indexOf(";",Start);
if (nEnd == -1)
s = unescape(s.substring(nStart));
else
s = unescape(s.substring(nStart,nEnd));
return s;
}
関数 recallLastRealmUsed()
ユーザーが、サインイン ページ内の複数の領域から選択できるようにする場合に、この
関数を使用します。この関数は、領域が存在するか点検し、最後に選択した認証領域を取
得します。
function recallLastRealmUsed() {
if (document.frmLogin.realm != null &&
document.frmLogin.realm.type == "select-one") {
// try to remember which auth realm was last used
var sLastRealm = GetCookieValue("lastRealm");
if (sLastRealm.length > 0) {
var cmb = document.frmLogin.realm;
var nNumRealms = cmb.options.length;
for (var n=0; n < nNumRealms; n++) {
if (cmb.options[n].text == sLastRealm) {
cmb.selectedIndex = n;
}
}
}
}
}
関数 FinishLoad()
ユーザーが、サインイン ページ内の複数の領域から選択できるようにする場合に、この
関数を使用します。この関数は、領域が存在するか点検し、領域フィールドに入力して、
ユーザー名フィールドにフォーカスを置きます。必要なフィールドがそろってからフォー
カスを置けるように、この関数は、ページがロードを終了した後に呼び出す必要がありま
す。
function FinishLoad() {
recallLastRealmUsed();
if (document.frmLogin.username != null) {
document.frmLogin.username.focus();
}
}
636
„ samples.zip のテンプレートの使用
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
クライアント側での証明書認証によって Netegrity SiteMinder サーバー経由でユーザーの
認証を行う場合は、標準の IVE サインイン ページをユーザーに対して非表示にすること
ができます。ユーザーに認証情報を要求しないで IVE にデータを転送するには、次に示す
FinishLoad() 関数の変更版を使用します。この関数は、ページ ロード中にエラーが発生し
なかった場合には、サインイン ページをバイパスします。
function FinishLoad() {
recallLastRealmUsed();
<% IF !LoginPageErrorCode %>
Login();
document.frmLogin.submit();
<% END %>
}
匿名認証サーバーまたは証明書認証サーバー経由でユーザーの認証を行い、標準の IVE サ
インイン ページをバイパスしたい場合は、641 ページの「AnonymousAuthentication」ま
たは 641 ページの「CertificateAuthentication」を参照してください。
フォーム フィールド
LoginPage.thtml には、転送する必要のあるいくつかのフォーム フィールドが含まれてい
ます。
tz_offset
必須です。Login() 関数は、tz_offset(タイム ゾーン オフセット)値を使用して、ユー
ザーのタイム ゾーンを判断します。
<input type="hidden" name="tz_offset">
username
このフィールドは、匿名サーバーと証明書サーバーを除くすべての認証サーバーに必須で
す。Login.cgi(IVE 上の Perl スクリプト)が、ここで転送された username 値を該当する
認証サーバーに渡します。
<input type="text" name="username">
パスワード
このフィールドは、匿名サーバーと証明書サーバーを除くすべての認証サーバーに必須で
す。Login.cgi が、ここで転送された password 値を該当する認証サーバーに渡します。
<input type="password" name="password">
realm
必須です。Login.cgi が、ここで転送された realm 値を該当する認証サーバーに渡します。
<% IF RealmList.size == 0 %>
<td>LoginRealm</td><td>&nbsp;</td><td>
<input type="text" name="realm" size="20">
</td>
<% ELSIF RealmList.size == 1 %>
<input type="hidden" name="realm" value="<% RealmList.0 %>"">
<% ELSE %>
<td>LoginRealm</td><td>&nbsp;</td><td>
<select size="1" name="realm">
samples.zip のテンプレートの使用
„
637
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
<% FOREACH r = RealmList %>
<option value="<% r %>" ><% r %></option>
<% END %>
</select>
フォーム定義
LoginPage.thtml には、次に示す提案フォーム定義が格納されています。このフォーム定
義内では、大部分の要素が必須です。
<form name="frmLogin" action="login.cgi" method="post" autocomplete="off"
onsubmit="return Login()">
name
(必須)フォーム名を設定します。この名前が、IVE サーバー コードによって使用されま
す。
name="frmLogin"
action
(必須)IVE 上の login.cgi Perl スクリプトを実行します。
action="login.cgi"
method
(必須)フォーム内の値を login.cgi に転送します。
method="post"
autocomplete
(オプション)フォームがキャッシュに保存されている値を使用してユーザー名または認
証領域エントリを自動入力することのないようにします。
autocomplete="off"
onsubmit
(Secure Meeting を使用している場合は必須 ) Login() 関数によって設定されたタイム ゾー
ン オフセット値を返します。
onsubmit="return Login()"
638
„ samples.zip のテンプレートの使用
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
変数
このテンプレートでは、次の変数が使用できます。
Prompts
SecondaryLoginPage.thtml テンプレートを zip ファイルに格納して、認証証明書を収集
するときに必要です。prompt 変数は、1次および2次ユーザー名とパスワードのプロン
プトをサインイン ページで表示するときに使用されるハッシュ リストです。ユーザー名
およびパスワード ラベルをハードコードする代わりに、prompts 変数を使用することが
できます。
2次サインイン証明書を入力するようユーザーに指示しながら、テンプレートには
prompts 変数を格納しない場合、IVE は2次サインイン ページを提示してユーザーの2
次証明書を収集します。prompts 変数を格納する場合には、メインのサインイン ページ
で、IVE が1次証明書とともに2次証明書を収集します。必須です。
LoginPageErrorMessage
ユーザーに対して表示できる IVE エラー メッセージ テキストです。このテキストは、
LoginPageErrorCode によって返されるコードと対応します。IVE ではこのテキストを変更
できませんが、テンプレートにコードを挿入することにより、LoginPageErrorCode 変数
によって返されるエラー コードに基づいて別のテキストを表示することは可能です。例:
<% IF LoginPageErrorCode == 1002 %>
<b> Your username or password is incorrect. Please reenter your credentials.
</b>
<%ELSIF LoginPageErrorCode == 1006 %>
<b> system is undergoing maintenance. Only administrators are allowed to
sign in at this time.</b>
<% END %>
samples.zip のテンプレートの使用
„
639
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
LoginPageErrorCode
ユーザーに対して表示できるエラーのコード。このページに表示される可能性のあるエ
ラーと、LoginPageErrorMessage 変数によって返される対応テキストは次のとおりです。
表 44: ログイン エラー メッセージ、コード、関連した注意
エラー メッセージ
エラー
コード
Invalid Username or Password
1002
This login requires a digital certificate.
1003
The digital certificate is invalid.
1004
Only admins are permitted to login.
1006
Logins are not permitted using this
browser.
1008
There are no auth servers defined for this
user.
1009
コメント
IVE に領域が送信されない場合
に表示されます。このエラーが
表示されるのは、
LoginPage.thtml にコーディン
グ エラーが存在する場合だけ
です。
Exceeded the number of concurrent users. 1010
The IP has been blocked due too many
concurrent sign-in attempts.
1011
The password is too short.
1012
Sign on for administrators is disabled. You 1018
can try again in a few minutes.
上級管理者がサインインし、
IVE がリカバリ モードのときに
表示されます。
Your New PIN has been saved. Please
make sure to remember it.
1019
ACE 認証でのみ使用。
Password Change Success
1020
パスワード管理機能で使用。
Account Disabled
1021
パスワード管理機能で使用。
Account Locked out
1022
パスワード管理機能で使用。
Account Expired
1023
パスワード管理機能で使用。
This realm has reached the max session
limit.
1027
Access denied. Access denied. Please try
signing in again using a host name (for
example,
https://department.yourcompany) instead
of an IP address (such as
http://10.11.12.13)
1029
You do not have the correct privileges to
access the system. Please contact your
administrator for more information.
1030
RealmList
ユーザーが使用できる領域のリスト。
640
„ samples.zip のテンプレートの使用
Netegrity SiteMinder 認証での
み使用。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ホーム
zip ファイル内の最上位ディレクトリを参照します。この変数または “..” 規則を使用す
ることにより、最上位ディレクトリを参照できます。たとえば、次の参照はどちらも
有効です。
<% Home %>/images/logo.gif
../images/logo.gif
AnonymousAuthentication
認証領域が匿名サーバーに設定されている場合は、IVE がこの値を true に設定します。匿
名領域にサインインするユーザーのサインイン ページに、ユーザー名およびパスワード
フィールドが表示されないように指定する場合に、この変数を使用します。この変数を使
用すると、640 ページの「LoginPageErrorCode」に記載されているいずれかのエラーに遭
遇したときに、ユーザーにはサインイン ページだけが表示されます。
CertificateAuthentication
認証領域が証明書サーバーに設定されている場合は、IVE がこの値を true に設定します。
証明書領域にサインインするユーザーのサインイン ページに、ユーザー名およびパス
ワード フィールドが表示されないように指定する場合に、この変数を使用します。この変
数を使用すると、640 ページの「LoginPageErrorCode」に記載されているいずれかのエ
ラーに遭遇したときに、ユーザーにはサインイン ページだけが表示されます。(クライア
ント側での証明書認証を使用して、Netegrity SiteMinder サーバーへの認証を拒否する
ユーザーに対してこのページを非表示にする方法については、635 ページの「関数
Login()」を参照してください)
SecondaryLoginPage.thtml
これは、2次認証サーバー用にユーザー名、パスワード、および認証領域を収集する標準
的な IVE サインイン ページです。このテンプレートを呼び出すために、 LoginPage.thtml
でプロンプト変数を格納する必要があることに注意してください。
Logout.thtml*
zip ファイルには、必ず Logout.thtml を含める必要があります。これは、標準的な IVE
ページで、ユーザーがサインアウトした場合、ユーザーのセッションがタイムアウトに
なった場合、または IVE がユーザーのシステムから Host Checker または Cache Cleaner を
アンインストールした場合にエラーが表示されます。
このテンプレートには、Host Checker および Cache Cleaner コンポーネントを検出、停
止、インストール、およびアンインストールするための JavaScript、IVE がこれらのアク
ションを実行している間、ユーザーに表示する画像とテキスト、および J-SAM ウィンドウ
を開いたり閉じたりする JavaScript が含まれています。
このテンプレートには、コンポーネントをインストールする間ユーザーに待つように伝え
る変数、ユーザーが IVE に再度サインインするために使用するリンク、およびエラー
メッセージ変数も含まれています。
このテンプレートに含まれている LoginPageErrorMessage 変数を設定するとき、ユー
ザーに表示されるテキストは、LoginPageErrorCode によって返されるコードと一致する
ということに注意してください。IVE ではこのテキストを変更できませんが、テンプレー
トにコードを挿入することにより、LoginPageErrorCode 変数によって返されるエラー
コードに基づいて別のテキストを表示することは可能です。例:
<% IF LoginPageErrorCode == 1001 %>
<b> Your secure gateway session has ended due to inactivity.</b>
<% END %>
samples.zip のテンプレートの使用
„
641
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
LoginPageErrorCode が返す可能性のあるエラーと、LoginPageErrorMessage 変数によっ
て返される対応テキストは次のとおりです。
表 45: 追加のログイン エラー メッセージとコード
エラー メッセージ
エラー コード
Maximum Session Timeout Reached.
1000
Idle Time Out.
1001
ここで述べられている JavaScript と変数の詳細情報については、テンプレート内のコメン
トを参照してください。
ExceededConcurrent.thtml*
zip ファイルには、ExceededConcurrent.thtml を含める必要があります。これは標準的な
IVE ページで、IVE に同時にサインインしたユーザーが多すぎる場合にユーザーに警告す
る動作が表示されます。このテンプレートには、JavaScript やフォームはありません。ただ
し、starter.cgi へのオプション リンクが含まれており、ユーザーは、IVE およびエラー
メッセージ変数にサインインできます。詳細については、テンプレート内のコメントを参
照してください。
SSL.thtml*
zip ファイルには、SSL.thtml を含める必要があります。これは標準的な IVE ページで、
認証に失敗した場合、およびユーザーが IVE へのサインインを許可されない場合にエラー
メッセージが表示されます。このテンプレートには、JavaScript やフォームはありません。
ただし、エラー メッセージ変数は含まれています。詳細については、テンプレート内のコ
メントを参照してください。
PleaseWait.thtml
領域レベルで Host Checker または Cache Cleaner を設定した場合は、このテンプレートを
カスタマイズできます。このページを使用して、認証前および後に Host Checker および
Cache Cleaner が起動するように制御します。
このテンプレートには、Host Checker および Cache Cleaner コンポーネントを検出、停
止、インストール、およびアンインストールするための JavaScript、および IVE がこれら
のアクションを実行している間ユーザーに表示する画像とテキスト JavaScript が含まれて
います。このテンプレートには、ユーザーの状態を定期的にチェックして、Host Checker
または Cache Cleaner がシステムにロードされており、必要に応じてユーザーをサインイ
ン ページ (welcome.cgi)に送るかどうかを判断する JavaScript も含まれています。
このテンプレートには、コンポーネントをインストールしている間待つようにユーザーに
伝える変数、ページが最初にロードされた時刻を記憶する変数、および Host Checker お
よび Cache Cleaner コンポーネント用の状態変数も含まれています。
ここで述べられている JavaScript と変数の詳細情報については、テンプレート内のコメン
トを参照してください。
SelectRole.thtml
ユーザーを複数のロールに割り当てていても、それらのロールをパーミッシブ マージし
ていない場合は、このテンプレートをカスタマイズできます。このページは、サインイン
ページの後に表示され、ユーザーが選択できるロールのリストが表示されます。このテン
プレートのオプション JavaScript、フォーム定義、フォーム フィールド、および変数の詳
細情報については、テンプレート内のコメントを参照してください。
642
„ samples.zip のテンプレートの使用
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ACE 認証前ページ
次の 5 つの ACE 認証前ページをカスタマイズできます。
NewPin.thtml
このテンプレートは、IVE にサインインする前に、ACE ユーザーに対して、新しい PIN の
入力またはシステムによる PIN の生成を指示します。secid_pinselectmode 変数 (ユー
ザの PIN 選択モードを設定)を設定するときに可能な値は次のとおりです。
表 46: PIN エラー メッセージ
モード
説明
0
ユーザーはシステム生成の PIN を使用する必要があります。自分の PIN を
入力することはできません。
1
ユーザーは自分の PIN を入力することも、システム生成の PIN を使用する
こともできます。
2
自分自身の PIN を入力する必要があります。システム生成の PIN を使用す
ることはできません。
secid_pinserr 変数 (ユーザーが自分の PIN を間違って入力した場合に返すエラー コード
とメッセージを格納)を設定するときに設定可能な値は次のとおりです。
表 47: 追加の PIN エラー メッセージ
コード
値
0
新規 PIN が必要です。
1
入力された 2 つの PIN が一致しません。
2
PIN 形式が無効です。
3
PIN の長さが無効です。
NextToken.thtml
このテンプレートは、SecureID トークン コードを入力して証明書を確認するようにユー
ザーに指示します。
GeneratePin.thtml
このテンプレートを使用して、ユーザーはシステムに PIN を作成させることができます。
secid_pinselectmode 変数 (ユーザーの PIN 選択モードを設定)を設定するときに可能
な値は次のとおりです。
表 48: PIN 使用インジケータ
モード
説明
0
ユーザーはシステム生成の PIN を使用する必要があります。自分の PIN を
入力することはできません。
1
ユーザーは自分の PIN を入力することも、システム生成の PIN を使用する
こともできます。
2
自分自身の PIN を入力する必要があります。システム生成の PIN を使用す
ることはできません。
ShowSystemPin.thtml
このテンプレートは、システム生成の PIN をユーザーに表示します。
samples.zip のテンプレートの使用
„
643
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Cancel.thtml
このテンプレートには、ユーザーのサインイン要求がキャンセルされたことを伝えるメッ
セージが表示されます。
これらのテンプレートに含まれる JavaScript、フォーム定義、フォーム フィールド、およ
び変数については、テンプレート内のコメントを参照してください。
Netegrity で使用する ACE 認証前ページ
次の 4 つの ACE 認証前ページを、Netegrity SiteMinder で使用するためにカスタマイズで
きます。
SM-NewPinSelect.thtml
このテンプレートは、IVE にサインインする前に、ユーザーに対して、新しい PIN の入力
またはシステムによる PIN の生成を指示します。
SM-NewPinSystem.thtml
このテンプレートを使用して、ユーザーが SM-NewPinSelect.thtml ページで System PIN
オプションを選択した場合に、システムに PIN を生成させることができます。
SM-NewUserPin.thtml
このテンプレートは、ユーザーが SM-NewPinSelect.thtml ページで Enter PIN オプション
を選択した場合に、新しい PIN を生成するようにユーザーに指示します。また、ユーザー
が入力した 2 つの PIN が一致するかどうかを判断し、必要であればユーザーに警告しま
す。secid_pinserr 変数 (ユーザーが自分の PIN を間違って入力した場合に返すエラー
コードとメッセージを格納)を設定するときに設定可能な値は次のとおりです。
表 49: 新規の PIN 割り当てメッセージ
コード
値
0
新しい PIN の割り当て
1
入力された 2 つの PIN が一致しません
SM-NextToken.thtml
このテンプレートは、SecurID トークン コードを入力して証明書を確認するようにユー
ザーに指示します。
これらのテンプレートに含まれる JavaScript、フォーム定義、フォーム フィールド、およ
び変数については、テンプレート内のコメントを参照してください。
パスワード管理ページ
ここでは、次の 4 つのパスワード管理ページをカスタマイズできます。
Defender.thtml
このテンプレートは、ユーザーに自分の PIN を入力するように指示し、該当するチャレ
ンジ値をサーバーから提供します。
GraceLoginUsed.thtml
このテンプレートは、現在のユーザー名およびパスワードを使用してサインインできる回
数をユーザーに伝えます。
644
„ samples.zip のテンプレートの使用
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
PasswordChange.thtml
このテンプレートは、パスワードの期限切れが近づいていることをユーザーに伝え、変更
するように指示します。( このテンプレートの changePasswordTitle 変数は、変更された
パスワードがユーザーの1次または2次認証サーバー用であるかを指定します。注意して
ください。テンプレートにこの変数を含めると、IVE は以前の / 新規の / 確認用のパス
ワードのテキスト ボックスにタイトルを追加して、ユーザーが1次または2次パスワー
ドを変更する必要があるかどうかを指定します。
PasswordExpiration.thtml
このテンプレートは、パスワードが期限切れになったことをユーザーに伝え、変更するよ
うに指示します。
これらのテンプレートに含まれる JavaScript、フォーム定義、フォーム フィールド、およ
び変数については、テンプレート内のコメントを参照してください。
SoftID.zip のテンプレートの使用
SoftID.zip ファイルを使用して、IVE ページを RSA Soft ID クライアントで使用するように
カスタマイズできます。この zip ファイルには、次のテンプレートが格納されます。
Cancel.thtml
このテンプレートを使用して、ユーザーはシステムに PIN を作成させることができます。
詳細については、644 ページの「Cancel.thtml」を参照してください。
ExceededConcurrent.thtml
このテンプレートには、IVE に同時にサインインしたユーザーが多すぎる場合にユーザー
に警告する動作が表示されます。zip ファイルには、このテンプレートを含める必要があ
ります。
LoginPage.thtml
このテンプレートは、RSA Soft ID クライアントを呼び出し、ユーザーは Soft ID 認証を使
用して IVE にサインインできます。zip ファイルには、このテンプレートを含める必要が
あります。
Logout.thtml
このテンプレートには、ユーザーがサインアウトした場合、ユーザーのセッションがタイ
ムアウトになった場合、または IVE がユーザーのシステムから Host Checker または
Cache Cleaner をインストール解除した場合にエラーが表示されます。詳細については、
641 ページの「Logout.thtml*」を参照してください。zip ファイルには、このテンプレート
を含める必要があります。
NewPin.thtml
このテンプレートは、IVE にサインインする前に、ACE ユーザーに対して、新しい PIN の
入力またはシステムによる PIN の生成を指示します。詳細については、643 ページの
「NewPin.thtml」を参照してください。
NextToken.thtml
このテンプレートは、SecurID トークン コードを入力して証明書を確認するようにユー
ザーに指示します。
SoftID.zip のテンプレートの使用
„
645
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
PleaseWait.thtml
このテンプレートは、Host Checker および Cache Cleaner コンポーネントを検出、停止、
インストール、およびアンインストールし、IVE がこれらのアクションを実行している間
ユーザーに表示する画像とテキストを表示します。さらに、ユーザーの状態を定期的に
チェックして、Host Checker または Cache Cleaner がシステムにロードされており、必要
に応じてユーザーをサインイン ページに(welcome.cgi)リダイレクトするかどうかを判
断します。詳細については、642 ページの「PleaseWait.thtml」を参照してください。
SelectRole.thtml
このテンプレートは、サインイン ページの後に表示され、ユーザーが選択できるロール
のリストが表示されます。ユーザーを複数のロールに割り当てていても、それらのロール
をパーミッシブ マージしていない場合は、このテンプレートをカスタマイズできます。
SSL.thtml
このテンプレートは、認証に失敗した場合、およびユーザーが IVE へのサインインを許可
されない場合にエラー メッセージが表示されます。zip ファイルには、このテンプレート
を含める必要があります。
メモ : ここに表示されているすべてのページは、Pocket PC 用にカスタマイズできます。
― Pocket PC テンプレートは、狭い表示領域用にカスタマイズされていること、および
zip ファイルに追加する必要がないことを除き、zip ファイルに格納されている他のテン
プレートと同じです。すべての Pocket PC テンプレートは、ファイル名に “ppc” が追加
されている点を除き、全画面テンプレートと同じ名前を使用します。たとえば、全画面
サインイン ページ テンプレートの名前は LoginPage.thtml で、Pocket PC の場合は
LoginPage-ppc.thtml です。Pocket PC テンプレートについては、対応する全画面テンプ
レートの項を参照してください。
646
„ SoftID.zip のテンプレートの使用
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Kiosk.zip のテンプレートの使用
Kiosk.zip ファイルを使用して、IVE ページを Kiosk ユーザーが使用できるようにカスタマ
イズできます。この zip ファイルには、次のテンプレートが格納されます。
Cancel.thtml
このテンプレートを使用して、ユーザーはシステムに PIN を作成させることができます。
詳細については、644 ページの「Cancel.thtml」を参照してください。
ExceededConcurrent.thtml
このテンプレートには、IVE に同時にサインインしたユーザーが多すぎる場合にユーザー
に警告する動作が表示されます。zip ファイルには、このテンプレートを含める必要があ
ります。
GeneratePin.thtml
このテンプレートを使用して、ユーザーはシステムに PIN を作成させることができます。
詳細については、643 ページの「GeneratePin.thtml」を参照してください。
LoginPage.thtml
このテンプレートを使用して、ユーザーは Soft ID 認証を使用して IVE にサインインでき
ます。zip ファイルには、このテンプレートを含める必要があります。
Logout.thtml
このテンプレートには、ユーザーがサインアウトした場合、ユーザーのセッションがタイ
ムアウトになった場合、または IVE がユーザーのシステムから Host Checker または
Cache Cleaner をインストール解除した場合にエラーが表示されます。詳細については、
641 ページの「Logout.thtml*」を参照してください。zip ファイルには、このテンプレート
を含める必要があります。
NewPin.thtml
このテンプレートは、IVE にサインインする前に、ACE ユーザーに対して、新しい PIN の
入力またはシステムによる PIN の生成を指示します。詳細については、643 ページの
「NewPin.thtml」を参照してください。
NextToken.thtml
このテンプレートは、SecurID トークン コードを入力して証明書を確認するようにユー
ザーに指示します。
PleaseWait.thtml
このテンプレートは、Host Checker および Cache Cleaner コンポーネントを検出、停止、
インストール、およびアンインストールし、IVE がこれらのアクションを実行している間
ユーザーに表示する画像とテキストを表示します。さらに、ユーザーの状態を定期的に
チェックして、Host Checker または Cache Cleaner がシステムにロードされており、必要
に応じてユーザーをサインイン ページに(welcome.cgi)リダイレクトするかどうかを判
断します。詳細については、642 ページの「PleaseWait.thtml」を参照してください。
ShowSystemPin.thtml
このテンプレートは、システム生成の PIN をユーザーに表示します。
Kiosk.zip のテンプレートの使用
„
647
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
SSL.thtml
このテンプレートは、認証に失敗した場合、およびユーザーが IVE へのサインインを許可
されない場合にエラー メッセージが表示されます。zip ファイルには、このテンプレート
を含める必要があります。
メモ : ここに表示されているすべてのページは、Pocket PC 用にカスタマイズできます。
― Pocket PC テンプレートは、狭い表示領域用にカスタマイズされていること、および
zip ファイルに追加する必要がないことを除き、zip ファイルに格納されている他のテン
プレートと同じです。すべての Pocket PC テンプレートは、ファイル名に “ppc” が追加
されている点を除き、全画面テンプレートと同じ名前を使用します。たとえば、全画面
サインイン ページ テンプレートの名前は LoginPage.thtml で、Pocket PC の場合は
LoginPage-ppc.thtml です。Pocket PC テンプレートについては、対応する全画面テンプ
レートの項を参照してください。
Meeting.zip からのテンプレートの使用
Meeting.zip ファイルにより、Secure Meeting の出席者が使用するさまざまな認証前およ
び認証後ページをカスタマイズできます。この zip ファイルには、次のテンプレートが格
納されます。
„
LoginMeeting.thtml
„
MeetingAppletInstaller.thtml
„
MeetingRun.thtml
„
MeetingRunJava.thtml
„
MeetingSelect.thtml
„
MeetingTestJava.thtml
„
MeetingTestJS.thtml
„
MeetingTestMSJava.thtml
„
MeetingTestResult.thtml
メモ : IVE にテンプレートをアップロードするときに、IVE がアップロードを受け付け
るように、ここでリストアップされているすべての THTML ページを格納する必要があ
ります。
648
„ Meeting.zip からのテンプレートの使用
付録 D
W-SAM ランチャーの使用
W-SAM ランチャーは、ユーザーを IVE にサインインさせ、W-SAM をダウンロードおよび
起動するツールです。このランチャーは、スクリプトまたはアプリケーションから呼び出
すことのできるコマンド ライン インターフェースを提供します。たとえば、必要なとき
に W-SAM 実行形式ファイルを呼び出すアプリケーションを記述することができます。
W-SAM ランチャーを使用するには、以下の 2 つの操作を実行する必要があります。
„
„
コマンド ライン引数を使用して W-SAM ランチャーを呼び出すスクリプト、バッチ
ファイル、サービス、またはアプリケーションを記述します。このファイルを、クラ
イアント PC にそれぞれ配布する必要があります。詳細については、650 ページの
「スクリプトの手動での実行」および 651 ページの「スクリプトの自動実行」を参照
してください。
IVE から W-SAM ランチャーをダウンロードし、ユーザーに配信します。
表 50 のコマンド ライン引数を使用して、W-SAM ランチャーを呼び出します。
メモ : Users > Roles > ロール名 > General > Session Options タブの Persistent
Session オプションを有効にすると、最初に認証に成功した後に、IVE がユーザー名とパ
スワードを永続セッション Cookie に保存します。この処理により潜在的なセキュリティ
上のリスクが発生します。既存のセッション実行中は、その後に続くサインインのとき
にいつも (W-SAM 接続を終了しても )、この永続セッション クッキーに保存されている
情報を W-SAM ランチャーが使用するためです。永続セッションの詳細については、455
ページの「Session Options タブ」を参照してください。
表 50: W-SAM コマンドライン引数
引数
アクション
-start
W-SAM 接続を確立します。
-stop
W-SAM 接続を終了して、ユーザーをサインアウトさせます。
-version
W-SAM バージョン情報を表示して、終了します。
-help
使用可能な引数を表示します。
-noupgrade
W-SAM ソフトウェアの自動アップグレードをキャンセルしま
す。
-reboot
アップグレード終了後に指示された場合は、自動的に再起動
します。再起動フラグが設定されていない場合、アップグレー
ド時に W-SAM は終了して再起動はしません。W-SAM がリモー
ト PC 上で自動的に実行されている場合は、再起動フラグを必
ず設定してください。
-u <username>
ユーザー名を指定します。
„
649
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 50: W-SAM コマンドライン引数 ( 続き )
引数
アクション
-p <password>
認証用パスワードを指定します。
-loginscript file
W-SAM が起動したときに実行するスクリプト ファイルの場所
と名前を指定します。このコマンドは、Users > Roles >
RoleName > SAM > Options ページで指定したスクリプト
ファイルよりも優先します。
-postscript file
W-SAM が起動したときに実行するスクリプト ファイルの場所
と名前を指定します。このコマンドは、Users > Roles >
RoleName > SAM > Options ページで指定したスクリプト
ファイルよりも優先します。
-u <URL>
IVE のサインイン URL を指定します。
-r <realm>
IVE によるユーザー証明書の提出先領域を指定します。
-verbose
ダイアログ ボックスに情報を入力するようにユーザーに指示
します。
表 51 は、W-SAM ランチャーが終了したときに返すコードの一覧です。
表 51: アプリケーションの戻りコード
コード
説明
0
成功
1
無効な引数
2
接続不可
3
無効な証明書
4
ロールが指定されていない(証明書が複数のロールにマッピ
ング)
5
認証前エラー ( ホスト チェッカまたはキャッシュ クリーナが
ロードされなかった )
6
インストール失敗
7
再起動が必要( “-reboot” が指定されていない場合)
スクリプトの手動での実行
コマンド ライン引数を使用して、W-SAM セッションを開始または終了するときに、ユー
ザーはスクリプトを手動で指定して実行できます。Users > Roles > ロール名 > SAM >
Options ページで、Web コンソールを実行するスクリプトを指定した場合でも、ユーザー
がランチャーを使用して手動で W-SAM を呼び出し、別のスクリプトを指定した場合は、
設定されたスクリプトが実行されません。
W-SAM セッションが始まった後にスクリプトを起動するには、次の操作を実行します。
„
650
„ スクリプトの手動での実行
コマンド プロンプトで -loginscript file と入力し、続いてシステム変数またはスクリ
プト ファイルの名前と場所を入力します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
W-SAM セッションが終了した後にスクリプトを起動するには、次の操作を実行します。
„
コマンド プロンプトで -postscript file と入力し、続いてシステム変数またはスクリ
プト ファイルの名前と場所を入力します。
メモ :
„
システム変数、ファイル パス、およびファイル名は、引用符で囲みます。
„
システム変数の前後には、(%)記号を付けます。例:
例:
-loginscript file “%program files:%\Internet Explorer\IEXPLORER.EXE”
スクリプトの自動実行
バッチ ファイルの例
次の例は、W-SAM ランチャーを使用して W-SAM を呼び出す方法を示しています。このサ
ンプル バッチ ファイルは、W-SAM が起動したときに、次に示すエラー メッセージを生
成します。
SamControl -start -url %1 -user %2 -password %3 -realm %4
if errorlevel 1 goto error_invalid_args
if errorlevel 2 goto error_connect
if errorlevel 3 goto error_credentials
if errorlevel 4 goto error_role
if errorlevel 5 goto error_preauth
if errorlevel 6 goto error_install
if errorlevel 7 goto error_reboot
:error_invalid_args
@echo invalid arguments
goto done
:error_connect
@echo could not connect
goto done
:error_credentials
@echo invalid credentials
goto done
:error_role
@echo invalid role
goto done
:error_preauth
@echo pre auth version checking
goto done
スクリプトの自動実行
„
651
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
:error_install
@echo install failed
goto done
:error_reboot
@echo reboot required
goto done
:error_success
@echo Secure Application Manager has started
goto done
:done
Win32 API の例
CHAR szCmd = "SamLauncher.exe -stop";
DWORD dwExitCode = 0;
STARTUPINFO si;
PROCESS_INFORMATION pi;
ZeroMemory(&si, sizeof(si));
si.cb = sizeof(si);
ZeroMemory(&pi, sizeof(pi));
if (!CreateProcess(NULL, szCmd, NULL, NULL, FALSE,
0, NULL, NULL, &si, &pi)) {
printf( "CreateProcess(%s) failed %d", szCmd, GetLastError());
return -1;
}
WaitForSingleObject(pi.hProcess, 20000);
GetExitCodeProcess(&pi.hProcess, &dwExitCode);
CloseHandle(pi.hProcess);
CloseHandle(pi.hThread);
printf(“SamLauncher return %d\n”, dwExitCode);
return 0;
652
„ スクリプトの自動実行
付録 E
クライアント サイドのアプリケーション
インストール
この付録では、さまざまな IVE クライアント サイド コンポーネントをインストール、実
行するために必要な権利について説明します。さらに、クライアント サイド コンポーネ
ントをインストールするために IVE が使用するパッケージのファイル名や、パッケージが
インストールおよびインストール解除するファイル、ユーザーのシステムが実施するレジ
ストリの変更がリストアップされます。ここでは以下のトピックについて説明します。
„
653 ページの「アプリケーションを実行、インストールするために必要な権利」
„
658 ページの「アプリケーション ファイルのディレクトリ」
アプリケーションを実行、インストールするために必要な権利
以下の表では、IVE の ActiveX、ActiveX インストーラ サービス、Java メカニズムを使用し
て以下の IVE クライアント サイド コンポーネントをインストール、実行するために必要
な権利の要点を説明しています。
„
654 ページの「Windows Secure Application Manager (W-SAM)」
„
655 ページの「Java Secure Application Manager (J-SAM)」
„
655 ページの「Network Connect」
„
656 ページの「ターミナル サービス」
„
656 ページの「Host Checker」
„
657 ページの「Cache Cleaner」
„
657 ページの「セキュアミーティング」
クライアント サイドのアプリケーションをインストール、実行するために IVE が使用す
るコンポーネントについて、詳細に説明するリンクがある場合、こうしたリンクが示され
ます。
アプリケーションを実行、インストールするために必要な権利 „ 653
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 52: Windows Secure Application Manager (W-SAM)
ActiveX
ActiveX:
インストーラ
サービス
Java
Java
Windows
Windows
Windows
Mac/Linux
インストール
管理
制限、パワー
ユーザー、
または管理
制限、パワー
ユーザー、または管理
該当なし
664 ページ
の
「Windows
Secure
Application
Manager (WSAM)」を参
照してくだ
さい。
実行
パワー ユーザー
または管理
制限、パワー
ユーザー、
または管理
制限、パワー
ユーザー、または管理
該当なし
664 ページ
の
「Windows
Secure
Application
Manager (WSAM)」を参
照してくだ
さい。
注意
アップグレード
後に再起動する
必要あり。
クライアント /
アクション
詳細
W-SAM
NetBIOS 付き W-SAM
654
インストール
管理
制限、パワー
ユーザー、
または管理
制限、パワー
ユーザー、または管理
該当なし
664 ページ
の
「Windows
Secure
Application
Manager (WSAM)」を参
照してくだ
さい。
実行
パワー ユーザー
または管理
制限、パワー
ユーザー、
または管理
制限、パワー
ユーザー、または管理
該当なし
664 ページ
の
「Windows
Secure
Application
Manager (WSAM)」を参
照してくだ
さい。
注意
インストールと
アップグレード
後に再起動する
必要あり。
„ アプリケーションを実行、インストールするために必要な権利
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 53: Java Secure Application Manager (J-SAM)
クライアント /
アクション
ActiveX
ActiveX:
インストーラ
サービス
Java
Java
Windows
Windows
Windows
Mac/Linux
詳細
該当なし
該当なし
制限、パワー
ユーザー、または管理
ユーザー
666 ページ
の「Java
Secure
Application
Manager (JSAM)」を参
照してくだ
さい。
該当なし
管理
管理 / ルート
666 ページ
の「Java
Secure
Application
Manager (JSAM)」を参
照してくだ
さい。
J-SAM
実行
ホスト ファイル変更付き J-SAM
実行
該当なし
注意
クライアント システム
は J-SAM の起動時に管
理者パスワードを要求
する。
表 54: Network Connect
ActiveX
ActiveX:
インストーラ
サービス
Java
Java
アクション
Windows
Windows
Windows
Mac/Linux
詳細
インストール
管理
制限、パワー
ユーザー、また
は管理
管理
該当なし
666 ページ
の「Network
Connect」を
参照してく
ださい。
実行
パワー ユーザー
または管理
制限、パワー
ユーザー、また
は管理
パワー ユーザーまたは
管理
該当なし
666 ページ
の「Network
Connect」を
参照してく
ださい。
アプリケーションを実行、インストールするために必要な権利 „ 655
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 55: ターミナル サービス
アクション
ActiveX
ActiveX:
インストーラ
サービス
Java
Java
Windows
Windows
Windows
Mac/Linux
詳細
ターミナル サービス : RDP クライアント
インストール
パワー ユーザー
または管理
制限、パワー
ユーザー、
または管理
パワー ユーザー
または管理
該当なし
667 ページ
の「ターミ
ナル サービ
ス」を参照し
てください。
実行
制限、パワー
ユーザー、
または管理
制限、パワー
ユーザー、
または管理
制限、パワー
ユーザー、または管理
該当なし
667 ページ
の「ターミ
ナル サービ
ス」を参照し
てください。
ターミナル サービス : ICA クライアント
インストール
管理
該当なし
管理
該当なし
667 ページ
の「ターミ
ナル サービ
ス」を参照し
てください。
実行
制限、パワー
ユーザー、
または管理
該当なし
制限、パワー
ユーザー、または管理
該当なし
667 ページ
の「ターミ
ナル サービ
ス」を参照し
てください。
ActiveX
ActiveX:
インストーラ
サービス
Java
Java
アクション
Windows
Windows
Windows
Mac/Linux
詳細
インストール
管理
制限、パワー
ユーザー、
または管理
制限、パワー
ユーザー、または管理
該当なし
659 ページ
の「Host
Checker」を
参照してく
ださい。
実行
制限、パワー
ユーザー、
または管理
制限、パワー
ユーザー、
または管理
制限、パワー
ユーザー、または管理
該当なし
659 ページ
の「Host
Checker」を
参照してく
ださい。
表 56: Host Checker
656
„ アプリケーションを実行、インストールするために必要な権利
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 57: Cache Cleaner
ActiveX
ActiveX:
インストーラ
サービス
Java
Javaa
アクション
Windows
Windows
Windows
Mac/Linux
詳細
インストール
管理
制限、パワー
ユーザー、
または管理
制限、パワー
ユーザー、または管理
該当なし
660 ページ
の「Cache
Cleaner」を
参照してく
ださい。
実行
制限、パワー
ユーザー、
または管理
制限、パワー
ユーザー、
または管理
制限、パワー
ユーザー、または管理
該当なし
660 ページ
の「Cache
Cleaner」を
参照してく
ださい。
ActiveX
ActiveX:
インストーラ
サービス
Java
Java
Windows
Windows
Windows
Mac/Linux
詳細
表 58: セキュアミーティング
アクション
Secure Meeting: Win32
インストール
制限、パワー
ユーザー、
または管理
該当なし
制限、パワー
ユーザー、または管理
該当なし
662 ページ
の「Secure
Meeting」を
参照してく
ださい。
実行
制限、パワー
ユーザー、
または管理
該当なし
制限、パワー
ユーザー、または管理
該当なし
662 ページ
の「Secure
Meeting」を
参照してく
ださい。
Secure Meeting: Java
インストール
制限、パワー
ユーザー、
または管理
該当なし
制限、パワー
ユーザー、または管理
ユーザー
実行
制限、パワー
ユーザー、
または管理
該当なし
制限、パワー
ユーザー、または管理
ユーザー
Secure Meeting: Outlook プラグイン
インストール
制限、パワー
ユーザー、
または管理
該当なし
制限、パワー
ユーザー、または管理
該当なし
実行
制限、パワー
ユーザー、
または管理
該当なし
制限、パワー
ユーザー、または管理
該当なし
アプリケーションを実行、インストールするために必要な権利 „ 657
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
アプリケーション ファイルのディレクトリ
ここでは、IVE がクライアント サイド コンポーネントをインストールして、実行するた
めに必要なコンポーネントを説明します。以下の説明では、コンポーネントの名称、イン
ストーラの場所、ログのディレクトリ、インストール中にコンポーネントが実行したレジ
ストリの変更について触れます。
658
„
659 ページの「NeoterisSetup コントロール」
„
659 ページの「Host Checker」
„
660 ページの「Cache Cleaner」
„
662 ページの「Secure Meeting」
„
664 ページの「Windows Secure Application Manager (W-SAM)」
„
666 ページの「Java Secure Application Manager (J-SAM)」
„
666 ページの「Network Connect」
„
667 ページの「ターミナル サービス」
„ アプリケーション ファイルのディレクトリ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
NeoterisSetup コントロール
Secure Meeting や W-SAM など、Windows ベースの IVE クライアント アプリケーションを
ユーザーの Windows システムにインストールするときに、IVE は NeoterisSetup Control
と呼ばれる ActiveX コンポーネントを使用して、クライアント アプリケーションのインス
トーラをユーザーのシステムにダウンロード、インストールのプロセスを管理します。
表 59: NeoterisSetup コンロール
パッケージの要件
適用可能な値
パッケージ ファイルの場所 :
C:\WINDOWS\Downloaded Program
Files\NeoterisSetupDLL.cab
Windows 2000:
C:\WINNT\Downloaded Program
Files\NeoterisSetupDLL.cab
レジストリの変更 :
なし
パッケージでインストールされる追加
ファイル :
NeoterisSetup.inf
NeoterisSetup.log
NeoterisSetup.ocx
NeoterisSetupDll.dll
setupResource_de.dll
setupResource_en.dll
setupResource_fr.dll
setupResource_ja.dll
setupResource_zh.dll
setupResource_zn_cn.dll
追加ファイルの場所 :
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\Setup
C:\WINDOWS\Downloaded Program Files
アンインストール後に残るファイル :
IE 内で ActiveX コントロールが削除されると、以下
のファイルが残されます。
NeoterisSetup.log
NeoterisSetup.ocx
setupResource_es.dll
setupResource_ko.dll
ログ ファイルの場所 :
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\Setup
Host Checker
Host Checker を実行するため、IVE は neoHCSetup.exe.cab パッケージをユーザーのクラ
イアントにダウンロードします。このパッケージは、Host Checker を実行するため、追加
ファイルをユーザーのシステムにダウンロードします。
表 60: Host Checker
パッケージの要件
適用可能な値
パッケージ ファイルの場所 :
C:\Documents and Settings\<username>\Local
Settings\Temp\neoHCSetup.exe.cab
アプリケーション ファイルのディレクトリ
„
659
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 60: Host Checker ( 続き )
パッケージの要件
適用可能な値
レジストリの変更 :
文字列 : LogFile および レベル は
HKEY_CURRENT_USER\SOFTWARE\Juniper\Host
Checker\Debug\dsHostChecker で設定されます。
文字列 : Language および InstallPath は
HKEY_CURRENT_USER\SOFTWARE\Juniper\Host
Checker で設定されます。
パッケージでインストールされる追加
ファイル :
dsHostChecker.exe
dsHostChecker.log
dsHostCheckerResource_de.dll
dsHostCheckerResource_en.dll
dsHostCheckerResource_es.dll
dsHostCheckerResource_fr.dll
dsHostCheckerResource_ja.dll
dsHostCheckerResource_ko.dll
dsHostCheckerResource_zh.dll
dsHostCheckerResource_zh_cn.dll
psapi.dll
neodbg.dll
uninstall.exe
versionInfo.ini
追加ファイルの場所 :
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\HostChecker
アンインストール後に残るファイル :
なし
ログ ファイルの場所 :
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\Host Checker\dsHostChecker.log
C:\Documents and Settings\All Users\Application
Data\Juniper Networks\hcsetup.log
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\EPCheck\EPCheck.log
Cache Cleaner
Cache Cleaner を実行するため、IVE は neoCacheCleanerSetup.exe.cab パッケージをユー
ザーのクライアントにダウンロードします。このパッケージは、Cache Cleaner を実行す
るため、追加ファイルをユーザーのシステムにダウンロードします。
表 61: Cache Cleaner
パッケージの要件
適用可能な値
パッケージ ファイルの場所 :
C:\Documents and Settings\<username>\Local
Settings\Temp\neoCacheCleanerSetup.exe.cab
レジストリの変更 :
文字列 : LogFile および レベル は
HKEY_CURRENT_USER\SOFTWARE\Juniper\Host
Checker\Debug\dsCacheCleaner で設定されます。
さらに、370 ページの「Cache Cleaner タブ」を参照
してください。
パッケージでインストールされる追加
ファイル :
dsCacheCleaner.exe
neodbg.dll
uninstall.exe
versionInfo.ini
660
„ アプリケーション ファイルのディレクトリ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 61: Cache Cleaner ( 続き )
パッケージの要件
適用可能な値
追加ファイルの場所 :
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\CacheCleaner <version number>
アンインストール後に残るファイル :
なし
ログ ファイルの場所 :
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\CacheCleaner <version
number>\dsCacheCleaner.log
アプリケーション ファイルのディレクトリ
„
661
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Secure Meeting
Secure Meeting を実行するため、IVE は neoCBoxSetup.exe.cab パッケージをユーザーの
クライアントにダウンロードします。このパッケージは、Secure Meeting を実行するた
め、追加ファイルをユーザーのシステムにダウンロードします。
表 62: Secure Meeting
パッケージの要件
適用可能な値
パッケージ ファイルの場所 :
C:\Documents and Settings\<username>\Local
Settings\Temp\neoCBoxSetup.exe.cab
レジストリの変更 :
文字列- Language は
HKEY_CURRENT_USER\Software\Juniper
Networks\Secure Meeting <version number> で設定さ
れます。
文字列- level は
HKEY_CURRENT_USER\Software\Juniper
Networks\Secure Meeting <version
number>\Debug\dsCboxUI_win で設定されます。
パッケージでインストールされる追加
ファイルの場所 :
ActiveX ベースのインストール :
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\Secure Meeting <version
number>
( ファイルの全リストについてはディレクトリを参
照してください。)
アンインストール後に残るファイル :
662
„ アプリケーション ファイルのディレクトリ
なし
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 62: Secure Meeting ( 続き )
パッケージの要件
適用可能な値
ログ ファイルの場所 :
Windows ログ ファイル:
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\Secure Meeting <version
number>\dsCboxUI_win.log -and- dsCboxUI_win.log.old
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\Secure Meeting <version
number>\dscboxui_viewer.log -anddscboxui_viewer.log.old
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\Secure Meeting <version
number>\dscboxui_prsnt.log -anddscboxui_prsnt.log.old
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\setup\NeoterisSetup.log -andNeoterisSetup.log.old
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\setup\NeoterisSetupApp.log and- NeoterisSetupApp.log.old
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\Secure Meeting Outlook
Plugin\SecureMeetingOutlook.log -andSecureMeetingOutlook.log.old
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\Secure Meeting Outlook
Plugin\SecureMeetingOutlookApp.log -andSecureMeetingOutlookApp.log.old
Macintosh ログ ファイル:
/Users/<username>/Library/Logs/Juniper
Networks/dsCboxLauncher_mac<lognumber>.log
/Users/<username>/Library/Logs/Juniper
Networks/dsCboxUI_mac<lognumber>.log
/Users/<username>/Library/Logs/Juniper
Networks/MacPresenter.log -and- MacPresenter.old.log
Linux ログ ファイル:
/home/<username>/.juniper_networks/
dsCboxLauncher_linux<lognumber>.log
/home/<username>/.juniper_networks/dsCboxUI_linux
<lognumber>.log
アプリケーション ファイルのディレクトリ
„
663
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Windows Secure Application Manager (W-SAM)
W-SAM を実行するため、IVE は samSetup.exe.cab パッケージをユーザーのクライアント
にダウンロードします。このパッケージは、W-SAM を実行するため、追加ファイルを
ユーザーのシステムにダウンロードします。
表 63: Windows Secure Application Manager (W-SAM)
パッケージの要件
適用可能な値
パッケージ ファイルの場所 :
C:\Documents and Settings\<username>\Local
Settings\Temp\samsetup.exe.cab
レジストリの変更 :
文字列 : IntranetAuthOptions は
HKEY_LOCAL_MACHINE\SOFTWARE\Juniper
Networks\Secure Application Manager\Backup で設定
されます。
文字列 : Language および InstallPath は
HKEY_LOCAL_MACHINE\SOFTWARE\Juniper
Networks\Secure Application Manager に設定されま
す。
文字列 : Level および Logfile は
HKEY_CURRENT_USER\SOFTWARE\Juniper
Networks\Secure Application Manager\Debug に設定さ
れます。
インストールは権限を与えられている C:\Program
Files ディレクトリで実行されます。AX Control が使
用され、LSP がロードされます。さらにレジストリ
を変更した場合、最初のインストールが管理権限で
実行されます。
実行している W-SAM が
HKLM\Software\Neoteris\Secure Application
Manager\Allowed LSPs にある場合、LSPs のリストは
無視されます。
Intranet Zone 設定のバックアップは
HTLM\Software\Neoteris\Secure Application
Manager\Backup に記録されます。
セッション クリーンアップおよびセッション確立の
タスクのリストは HKLM\Software\Neoteris\SAM\ に
あります。
アンインストールとバージョンの情報は
HKLM\Software\Microsoft\Windows\CurrentVersion\
Uninstall\Neoteris Secure Application Manager にあり
ます。
追加ファイルの場所 :
664
„ アプリケーション ファイルのディレクトリ
C:\Program Files\Neoteris\Secure Application Manager
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 63: Windows Secure Application Manager (W-SAM) ( 続き )
パッケージの要件
適用可能な値
パッケージでインストールされる追加
ファイル :
dsSamProxy.exe
dsSamResource_DE.dll
dsSamResource_EN.dll
dsSamResource_ES.dll
dsSamResource_FR.dll
dsSamResource_JA.dll
dsSamResource_KO.dll
dsSamResource_ZH.dll
dsSamResource_ZH_CN.dll
dsSamUI.exe
gapsp.dll
gaptbar.dll
ncp.dll
neodbg.dll
samclean.exe
samdiagEx.dll
samsdmon.exe
UninstallSAM.exe
versionInfo.ini
アンインストール後に残るファイル :
gapsp.dll
neodbg.dll
samclean.exe
samsdmon.exe
sysinfo.txt
ログ ファイルの場所 :
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\Secure Application Manager
アプリケーション ファイルのディレクトリ
„
665
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Java Secure Application Manager (J-SAM)
J-SAM を実行するために、IVE はユーザーのクライアントでアプレットを起動します。こ
のアプレットは、J-SAM を実行するため、追加ファイルをユーザーのシステムにダウン
ロードします。
表 64: Java Secure Application Manager (J-SAM)
パッケージの要件
適用可能な値
レジストリの変更 :
Outlook を有効化 ( 管理者権限が必要 ):
HKLM\Software\Microsoft\Exchange\Exchange
Provider\Rpc_Binding_Order レジストリに追加。( この
登録キーの2番目のエントリは ncacn_http に変更さ
れます。
Windows XP ( 管理者権限が必要 ):
SMBDeviceEnabled=dword:00000000 をレジストリ位
置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NetBT\Parameters に追加。
Skip Web Proxy Registry Check オプションが無効
( ユーザー読み取りアクセスが必要 ):
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\
Windows\\CurrentVersion\\Internet
Settings\ProxyEnable
アンインストール後に残るファイル :
Windows ファイル :
以下に示すログ ファイル
Macintosh ファイル :
~/Library/Java/Extensions/AuthKit.jar
~/Library/Java/Extensions/libAuthKit.jnilib
~/Library/Application Support/Juniper
Networks/NeoterisMac.jar
~/Library/Application Support/Juniper
Networks/jsam.icns
~/Library/Application Support/Juniper Networks/logo.gif
注意 : 既存の J-SAM の後に Macintosh ファイルをす
べて安全に削除できます。
Linux ファイル :
以下に示すログ ファイル
ログ ファイルの場所 :
Windows ログ ファイル:
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\Java Secure Application
Manager\dsJSAM_win0.log および dsJSAM_win1.log
Macintosh ログ ファイル:
/Users/<username>/Library/Logs/Juniper
Networks/dsJSAMLauncher_mac0.log and
dsJSAMLauncher_mac1.log
/Users/<username>/Library/Logs/Juniper
Networks/dsJSAM_mac0.log and dsJSAM_mac1.log
Linux ログ ファイル:
~<username>/.juniper_networks/dsJSAM_linux0.log and
dsJSAM_linux1.log
Network Connect
Network Connect を実行するため、IVE は NcSetup.exe.cab パッケージをユーザーのクラ
666
„ アプリケーション ファイルのディレクトリ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
イアントにダウンロードします。このパッケージは、Network Connect を実行するため、
追加ファイルをユーザーのシステムにダウンロードします。
表 65: Network Connect
パッケージの要件
適用可能な値
パッケージ ファイルの場所 :
C:\Documents and Settings\<username>\Local
Settings\Temp\neoNCsetup.exe.cab
レジストリの変更 :
注意 : HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\RunOnce はクラ
イアント上で「現状のまま」にしておく必要があり
ます。そうでない場合は、Network Connect のイン
ストールと起動は失敗します。
ファイルをインストールする場所 :
C:\Program Files\Neoteris\Network Connect
C:\<WINDIR>\system32
C:\<WINDIR>\system32\drivers
ダウンロード後にインストールされる
追加ファイル :
ncp.dll
ncResource_de.dll
ncResource_en.dll
ncResource_es.dll
ncResource_fr.dll
ncResource_ja.dll
ncResource_ko.dll
ncResource_zh.dll
ncResource_zh_cn.dll
ncsetup.exe
ncsvc.exe (C:\<WINDIR>\system32)
ncsvc.log
ncui.exe
neoconn.txt
neodbg.dll
neosetup.txt
nsvcp.sys (C:\<WINDIR>\system32\drivers)
uninstall.exe
versionInfo.ini
アンインストール後に残るファイル :
ncsvc.log
neosetup.txt
ログ ファイルの場所 :
C:\Program Files\Neoteris\Network Connect
ターミナル サービス
ターミナル サービスを実行するため、IVE は Neotermservsetup.exe.cab パッケージを
ユーザーのクライアントにダウンロードします。このパッケージは、ターミナル サービス
を実行するため、追加ファイルをユーザーのシステムにダウンロードします。
表 66: Windows ターミナル サービス
パッケージの要件
適用可能な値
パッケージ ファイルの場所 :
C:\Documents and Settings\<username>\Local
Settings\Temp\Neotermservsetup.exe.cab
レジストリの変更 :
REG_SZ キー : レベルの追加場所 :
HKEY_LOCAL_MACHINE\Software\Juniper
Networks\Juniper Terminal Services
Client\Debug\dsTermServ\level
アプリケーション ファイルのディレクトリ
„
667
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
表 66: Windows ターミナル サービス ( 続き )
パッケージの要件
適用可能な値
ファイルをインストールする場所 :
制限ユーザー :
C:\Documents and Settings\<USERNAME>\Application
Data\Juniper Networks\Juniper Terminal Services Client
インストーラ サービスを使用する管理者または制限
ユーザー :
C:\Program Files\Neoteris\Juniper Terminal Services
Client
アンインストール後に残るファイル :
なし
ログ ファイルの場所 :
C:\Documents and Settings\<USERNAME>\Application
Data\Juniper Networks\Juniper Terminal Services Client
表 67: Citrix ターミナル サービス
パッケージの要件
適用可能な値
パッケージ ファイルの場所 :
C:\Documents and Settings\<username>\Local
Settings\Temp\Neotermservsetup.exe.cab
レジストリの変更 :
REG_SZ キー : レベルの追加場所 :
HKEY_LOCAL_MACHINE\Software\Juniper
Networks\Juniper Citrix Services
Client\Debug\dsCitrixServ\level
ファイルをインストールする場所 :
制限ユーザー :
C:\Documents and Settings\<USERNAME>\Application
Data\Juniper Networks\Juniper Citrix Services Client
管理者 :
C:\Program Files\Citrix\icacab
C:\Program Files\Neoteris\Juniper Citrix Services Client
668
アンインストール後に残るファイル :
なし
ログ ファイルの場所 :
C:\Documents and Settings\<username>\Application
Data\Juniper Networks\Juniper Citrix Services Client
„ アプリケーション ファイルのディレクトリ
付録 F
セントラル マネージャ ダッシュボード
グラフ XML
Access Series アプライアンスにセントラル マネージャをインストールしている場合は、
管理者コンソールを開いたときに、システム ダッシュボードが表示されます。このダッ
シュボードには、システムを管理しやすくするシステム容量グラフが表示されます。279
ページの「システム許容能力の表示」に説明があります。
お持ちのツールを使用してこれらのグラフ情報を解析または表示したい場合は、グラフ
ダウンロード機能を使用します。システム ダッシュボードから、各グラフ データを XML
ファイルにダウンロードできます。次に、自分のツールを使用して、XML ファイルのデー
タを再フォーマットまたは解析します。
セントラル マネージャ ダッシュボード グラフの XML スキーマ
システム ダッシュボード グラフの XML ファイルの基本 XML 要素は、どのファイルでも
同じです。
„
<xport> - トップレベル要素
„
<meta> - セカンドレベル要素
„
<start> - システムが、そのグラフの最初のデータ ポイントを収集した時刻
(UTC 形式 )
„
<step> - システムがグラフ用に収集したデータポイントの間隔 ( 秒単位 ) たとえば、
次の XML エントリは、システムがデータを毎分収集することを表します。
<step>60</step>
„
<end> - システムが、グラフの最後のデータ ポイントを収集した時刻 (UTC 形式 )
„
<rows> - グラフ用に収集されたデータ ポイントの数
„
<columns> - グラフ用に収集されたメトリクスの数 ( 管理コンソールでグラフに表
示される線の数に一致します )。
„
<legend> - グラフ用に収集された各メトリクスの名前を定義する <entry> サブ要
素のリストを保存。たとえば、Concurrent Users グラフ用のサブ要素は以下のとお
りです。
<legend>
<entry>Local users</entry>
<entry>Concurrent users</entry>
</legend>
„
669
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
<data> - エントリ用に収集された定期データを含む <row> サブ要素のリストを保
存。各 <row> 要素には、システムがデータを収集した時刻を記録した <t> サブ要素
と、各データ用の <v> サブ要素が保存されています。たとえば、Concurrent Users
グラフ内の row は以下のとおりです。
<data>
<row>
<t>1089748980</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
XML スキーマの例
次のサンプルは、Concurrent Users グラフ用の XML 出力を示しています ( 簡略化のため
に、元の <row> 要素の一部をサンプルから削除しています )。
<xport>
<meta>
<start>1089748980</start>
<step>60</step>
<end>1089763440</end>
<rows>242</rows>
<columns>2</columns>
<legend>
<entry>Local users</entry>
<entry>Concurrent users</entry>
</legend>
</meta>
<data>
<row>
<t>1089748980</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
<row>
<t>1089749040</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
<row>
<t>1089749100</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
...
<row>
<t>1089763440</t><v>NaN</v><v>NaN</v>
</row>
</data>
</xport>
670
„
付録 G
アクセス管理制限の設定
IVE アプライアンスにより、次の 3 つのレベルで企業リソースのセキュリティ保護を実現
できます。
„
Realm ― 領域レベルでは、認証ポリシーでアクセス管理要件を設定します。
„
Role ― ロール レベルでは、認証ポリシーのロール マッピング規則またはロールの制
限オプションでアクセス管理要件を設定します。
„
Resource policy ― リソース ポリシーレベルでは、規則の条件を作成することにより
アクセス管理要件を設定します。
アクセス管理のオプションの設定手順については、以下を参照してください。
„
672 ページの「ソース IP の指定」
„
673 ページの「ブラウザ制限の指定」
„
675 ページの「クライアントサイド証明書の制限の指定」
„
676 ページの「パスワード文字数制限の指定」
„
677 ページの「Host Checker の制限の指定」
„
678 ページの「Cache Cleaner の制限の指定」
概要については、37 ページの「アクセス管理の概要」を参照してください。
„
671
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ソース IP の制限
特定の IP アドレスを使用するユーザーに対して IVE サインイン ページへのアクセス、
ロールへの割り当て、またはリソースへのアクセスを許可するには、ソース IP 制限を使
用します。
ソース IP の指定
ソース IP の制限を指定するには、以下の操作を実行します。
1.
IP 制限を実行するレベルを選択します。
„
„
2.
3.
672
„ ソース IP の制限
Role level ― 以下の場所に移動します。
‰
Administrators > Authentication > 領域を選択 > Authentication Policy >
Source IP
‰
Administrators > Delegation > ロールを選択 > General > Restrictions >
Source IP
‰
Users > Authentication > 領域を選択 > Role Mapping >
ルールを選択 | 作成 > カスタムエクスプレッション
‰
Users > Roles > ロールを選択 > General > Restrictions > Source IP
Resource policy level ― 以下の場所に移動します。Resource Policies > リソース
を選択 > ポリシーを選択 > Detailed Rules > ルールを選択 | 作成 > フィールド
に条件をつける
以下のオプションのいずれかを選択します。
„
Users can sign in from any IP address ― アクセス管理の要件を満たすために、
ユーザーが任意の IP アドレスから IVE にサインインできるようにします。
„
Users can only sign in from the following IP addresses ― アクセス管理の要件を
満たすために、サインインできるユーザーの IP アドレスを制限します。このオ
プションを選択する場合は、1 つ以上の IP アドレスを指定してください。
„
Enable administrators to sign in on the external port ― 外部インターフェース
から管理者が IVE にサインインできるようにします。外部ポートを有効にしてか
らこのオプションを設定する必要があります。
Save Changes をクリックして設定を保存します。
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
ブラウザの制限
特定の Web ブラウザを使用するユーザーに対して IVE サインイン ページへのアクセス、
ロールへの割り当て、またはリソースへのアクセスを許可するには、ブラウザ制限を使用
します。ユーザーが、サポートされていないブラウザを使用して IVE へのサインインを試
行すると、そのサインインはエラーになり、サポートされていないブラウザが使用されて
いることを通知するメッセージが表示されます。この機能は、企業のアプリケーションと
互換性があるブラウザ、またはセキュリティ ポリシーで承認されているブラウザから IVE
へのサインインが行われるようにするためにも使用できます。ブラウザ制限機能の目的
は、アクセス コントロールの厳格化ではありません。
メモ : 技術力のあるユーザーは、ブラウザのユーザー エージェント文字列を変更できる
からです。この機能は、通常の運用環境で、アクセス時のアドバイスとして役立ちます。
ブラウザ制限を実行するレベルを選択します。
ブラウザ制限の指定
ブラウザの制限を指定するには、以下の操作を実行します。
1.
ブラウザ制限を実行するレベルを選択します。
„
„
„
2.
Realm level ― 以下の場所に移動します。
‰
Administrators > Authentication > 領域を選択 > Authentication Policy >
Browser
‰
Users > Authentication > 領域を選択 > Authentication Policy > Browser
Role level ― 以下の場所に移動します。
‰
Administrators > Delegation > ロールを選択 > General > Restrictions >
Browser
‰
Users > Authentication > 領域を選択 > Role Mapping > ルールを選択 |
作成 > カスタムエクスプレッション
‰
Users > Roles > ロールを選択 > General > Restrictions > Browser
Resource policy level ― 以下の場所に移動します。Resource Policies > リソース
を選択 > ポリシーを選択 > Detailed Rules > ルールを選択 | 作成 > フィールド
に条件をつける
以下のオプションのいずれかを選択します。
„
Allow all users matching any user-agent string sent by the browser ― サポート
されている任意の Web ブラウザから IVE またはリソースにアクセスできるよう
にします。
ブラウザの制限
„
673
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
Only allow users matching the following User-agent policy ― ブラウザ アクセス
の制限規則を定義できます。規則を作成するには、以下の操作を実行します。
i.
User-agent string pattern には、以下の形式で文字列を入力します。
*<browser_string>*
この場合、* (アスタリスク)は、あらゆる文字を表すオプションの文字で
す。大文字と小文字が区別される <browser_string> は、ブラウザが送信し
たユーザー エージェント ヘッダにある部分文字列と一致する必要がありま
す。エスケープ文字 (\) をブラウザ制限に含めることはできないことに注意
してください。
3.
ii.
次のいずれかを選択します。
‰
Allow ― ユーザーは、ユーザー エージェント ヘッダに部分文字列
<browser_string> が含まれるブラウザを使用できます。
‰
Deny ― ユーザーは、ユーザー エージェント ヘッダに部分文字列
<browser_string> が含まれるブラウザを使用できません。
Save Changes をクリックして設定を保存します。
メモ :
„
規則は順番に適用されます。つまり最初に一致した規則が適用されます。
„
規則に指定する文字は、大文字と小文字で区別されます。また指定する文字には、
スペースを含めることができません。
また指定する文字には、スペースを含めることができません。たとえば、文字列
*Netscape* は、部分文字列 Netscape を含むすべてのユーザー エージェント文字列と一
致します。
以下の規則では、ユーザーが Internet Explorer 5.5x または Internet Explorer 6.x を使用し
てサインインする場合のみ、リソースへのアクセスが許可されます。この例の場合、ユー
ザー エージェント ヘッダの部分文字列として “MSIE” を送信する汎用の非 IE ブラウザも
含まれます。
*Opera*Deny
*AOL*Deny
*MSIE 5.5*Allow
*MSIE 6.*Allow
*Deny
674
„ ブラウザの制限
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
証明書の制限
クライアント コンピュータに対して、有効なクライアントサイド証明書の所有を要求し
て IVE サインイン ページへのアクセス、ロールへの割り当て、またはリソースへのアク
セスを許可するには、証明書の制限を使用します。この機能を使用する場合、クライアン
トサイド証明書を検証するために、CA 証明書をインポートしたかどうかを確認します
(詳細については、297 ページの「Trusted Client CAs タブ」を参照してください)
。この機
能のセキュリティを最高レベルにするには、ユーザーがサインインするたびに、ユーザー
にパスワードの入力を要求するなど、クライアントを設定したかどうかを確認してきま
す。特定のブラウザバージョンのデフォルト設定では、証明書のパスワードが記録される
ようになっています。
クライアントサイド証明書の制限の指定
証明書の制限を指定するには、以下の操作を実行します。
1.
以下のように選択します。System > Configuration > Certificates > Trusted Client
CAs の順で移動し、ルート証明書認証局を指定します。これでは、領域およびロー
ル、リソース ポリシーのレベルで有効にするクライアント側証明書の制限が検証
できます。詳細については、297 ページの「Trusted Client CAs タブ」を参照してく
ださい。
2.
証明書の制限を実行するレベルを選択します。
„
„
„
3.
Realm level ― 以下の場所に移動します。
‰
Administrators > Authentication > 領域を選択 > Authentication Policy >
Certificate
‰
Users > Authentication > 領域を選択 > Authentication Policy > Certificate
Role level ― 以下の場所に移動します。
‰
Administrators > Delegation > ロールを選択 > General > Restrictions >
Certificate
‰
Users > Authentication > 領域を選択 > Role Mapping >
ルールを選択 | 作成 > カスタムエクスプレッション
‰
Users > Roles > ロールを選択 > General > Restrictions > Certificate
Resource policy level ― 以下の場所に移動します。Resource Policies > リソース
を選択 > ポリシーを選択 > Detailed Rules > ルールを選択 | 作成 > フィールド
に条件をつける
以下のオプションのいずれかを選択します。
„
Allow all users (クライアント側の証明書は必要なし) ― ユーザーのクライアント
コンピューターにクライアントサイド証明書の所有を要求しません。
„
Only allow users with a client-side certificate signed by Certification Authority
to sign in ― アクセス管理要件を満たすため、ユーザーのクライアント コン
ピューターにクライアントサイド証明書の所有を要求します。アクセス イベント
をさらに制限する場合は、独自の証明書属性 / 値ペアを定義できます。ユーザー
の証明書には、定義した属性がすべて含まれている必要があります。
証明書の制限
„
675
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
4.
Save Changes をクリックして設定を保存します。
メモ :
„
すべての X.509 Distinguished Name (DN) 属性 (C、CN、L、O、OU など ) がサ
ポートされています。
„
属性と値のフィールドでは、大文字と小文字が区別されません。
„
各属性に値を 1 つだけ定義してください。複数の値を指定すると、クライアン
トサイド証明書が、CA 証明書に対して正常に認証されません。
パスワードの制限
パスワード制限を使用して、領域のパスワード最低文字数を指定します。
パスワード文字数制限の指定
パスワードの制限を指定するには、以下の操作を実行します。
1.
パスワード制限を実行したい管理者領域またはユーザー領域を選択します。以下のよ
うに選択します。
以下のように選択します。
2.
„
Administrators > Authentication > 領域を選択 > Authentication Policy >
Password
„
Users > Authentication > 領域を選択 > Authentication Policy > Password
以下のオプションのいずれかを選択します。
„
Allow all users ( パスワードの長さに制限なし ) ― IVE にサインインするユーザー
に対してパスワード文字数の制限を適用しません。
„
Only allow users that have passwords of a minimum length ― ユーザーは、指
定されている最低文字数でパスワードを入力する必要があります。
3.
パスワード管理を有効にする場合に、Enable Password Management チェックボック
スを選択します。また、IVE 認証サーバー設定ページ ( ローカル認証サーバー ) で、
または LDAP サーバーを通して、パスワード管理の設定を行う必要もあります。LDAP
パスワード管理機能の詳細については、96 ページの「LDAP パスワード管理の概要」
を参照してください。
4.
2 つめの認証サーバーを有効にした場合には、ステップ 2 をガイドラインとして使用
して、パスワードの長さの制限を指定してください。
5.
Save Changes をクリックして設定を保存します。
メモ : IVE のデフォルト設定では、サインイン ページに入力するユーザー パスワードは
最低 4 文字と指定されています。ユーザーの証明書の正当性を検証する認証サーバーに
よっては、最低文字数が異なる場合があります。たとえば、IVE ローカル認証データ
ベースでは、ユーザー パスワードは最低 6 文字です。
676
„ パスワードの制限
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Host Checker の制限
クライアント コンピュータに対して、指定の Host Checker ポリシーの適用を要求して
IVE サインイン ページへのアクセス、ロールへの割り当て、またはリソース ポリシーへ
のアクセスを許可するには、80 ページの「Host Checker の概要」で説明されているよう
に、Host Checker の制限を使用します。
Host Checker の制限の指定
Host Checker の制限を指定するには、次の操作を実行します。
1.
以下のように選択します。Signing In > End Point > Host Checker に移動して、
認証ポリシー、ロール マッピング規則、またはリソース ポリシーに Host
Checker を必要とするユーザーに対して適用する Host Checker 用のグローバル オ
プションを指定してください。詳細については、358 ページの「Host Checker タ
ブ」を参照してください。
2.
領域レベルで Host Checker を実装するには、以下の操作を実行します。
a.
b.
3.
以下のように選択します。
‰
Administrators > Authentication > 領域を選択 > Authentication Policy >
Host Checker
‰
Users > Authentication > 領域を選択 > Authentication Policy > Host
Checker
Available Policies 列にリストアップされている、利用可能なポリシーまたは個別
のポリシーに対して、以下のオプションをどれか 1 つ選択します。
‰
Evaluate Policies ― クライアント上以外でポリシーを評価し、ユーザー ア
クセスを許可します。このオプションでは、ユーザーがアクセス要件を満た
すために Host Checker をインストールする必要はありません。
‰
Require and Enforce ― ユーザーが指定された領域にログインするためにク
ライアントでのポリシーを要求し、実行します。ユーザーがアクセス要件を
満たすために、Host Checker は指定された Host Checker ポリシーを実行す
る必要があります。IVE がクライアント コンピュータに Host Checker をダ
ウンロードする必要があります。領域認証ポリシーに対してこのオプション
を選択した場合は、ユーザー認証後、およびユーザーのシステムでのロール
マッピング前に、IVE が Host Checker をクライアント コンピュータにダウ
ンロードします。このオプションを選択すると、自動的に Evaluate Policies
オプションが有効になります。
ロール レベルで Host Checker を実装するには、以下の操作を実行します。
a.
以下のように選択します。
‰
Administrators > Delegation > ロールを選択 > General > Restrictions >
Host Checker
‰
Users > Roles > ロールを選択 > General > Restrictions > Host Checker
Host Checker の制限
„
677
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
b.
4.
以下のオプションのいずれかを選択します。
‰
Allow all users ― ユーザーがアクセス要件を満たすために Host Checker を
インストールする必要はありません。
‰
Allow only users whose workstations meet the requirements specified by
the following [policies] ― ユーザーは、アクセス要件を満たすために、Host
Checker で指定の Host Checker ポリシーを実行する必要があります。
ユーザーの Host Checker ステータスに基づいて、ロール マッピング規則を作成した
い場合には、次の操作を実行します。
a.
以下のように選択します。Users > Authentication > 領域を選択 > Role Mapping
> ルールを選択 / 作成 > カスタムエクスプレッション
b.
hostCheckerPolicy 変数を使用して、Host Checker の状態を評価するロール マッ
ピング規則用のカスタム エクスプレッションを作成します。
5.
リソース ポリシー レベルで Host Checker を実装するには、以下の操作を実行し
ます。
a.
以下のように選択します。Resource Policies > リソースを選択 > ポリシーを選
択 > Detailed Rules > ルールを選択 / 作成 > フィールドに条件をつける
b.
詳細な規則のカスタム エクスプレッションを作成します。
Cache Cleaner の制限
クライアント マシンに対して、指定の Cache Cleaner 要件の適用を要求して IVE サインイ
ン ページへのアクセス、ロールへの割り当て、またはリソース ポリシーへのアクセスを
許可するには、90 ページの「Cache Cleaner の概要」で説明されているように Cache
Cleaner の制限を使用します。
Cache Cleaner の制限の指定
Cache Cleaner の制限を指定するには、次の操作を実行します。
1.
以下のように選択します。Signing In > End Point > Cache Cleaner に移動して、認
証ポリシー、ロール マッピング規則、またはリソース ポリシーに Cache Cleaner を
必要とするユーザーに対して適用する Cache Cleaner 用のグローバル オプションを指
定してください。詳細については、370 ページの「Cache Cleaner タブ」を参照して
ください。
2.
領域レベルで Cache Cleaner を実装するには、以下の操作を実行します。
a.
678
„ Cache Cleaner の制限
以下のように選択します。Users > Authentication > 領域を選択 >
Authentication Policy > Cache Cleaner
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
b.
3.
b.
5.
‰
Disable Cache Cleaner ― ユーザーはアクセス要件を満たすために、Cache
Cleaner をインストールまたは実行する必要がありません。
‰
Just load Cache Cleaner ― ユーザーはアクセス要件を満たすために、Cache
Cleaner を実行する必要はありません。ただし、今後のために Cache Cleaner
をインストールしておきます。領域の承認ポリシーに対してこのオプション
を選択した場合は、ユーザーが認証された後、およびユーザーがシステム内
のロールにマッピングされる前に、IVE が Cache Cleaner をクライアント コ
ンピュータにダウンロードします。
‰
Load and enforce Cache ― ユーザーはアクセス要件を満たすために、IVE で
Cache Cleaner をダウンロードし、実行する必要があります。領域の承認ポ
リシーに対してこのオプションを選択した場合は、ユーザーが IVE サインイ
ン ページにアクセスする前に、IVE が Cache Cleaner をクライアント コン
ピュータにダウンロードします。
ロール レベルで Cache Cleaner を実装するには、以下の操作を実行します。
a.
4.
以下のオプションのいずれかを選択します。
以下のように選択します。
‰
Administrators > Delegation > ロールを選択 > General > Restrictions >
Cache Cleaner
‰
Users > Roles > ロールを選択 > General > Restrictions > Cache Cleaner
Enable Cache Cleaner オプションをチェックします。ユーザーがアクセス要件を
満たすために、Cache Cleaner を実行する必要があります。
ユーザーの Cache Cleaner ステータスに基づいて、ロール マッピング規則を作成した
い場合には、次の操作を実行します。
a.
以下のように選択します。Users > Authentication > 領域を選択 >
Role Mapping > ルールを選択 | 作成 > カスタムエクスプレッション
b.
cacheCleaner 変数を使用して、Cache Cleaner の状態を評価するロール マッピ
ング規則用のカスタム エクスプレッションを作成します。
リソース ポリシー レベルで Cache Cleaner を実装するには、以下の操作を実行し
ます。
a.
以下のように選択します。Resource Policies > リソースを選択 > ポリシーを選
択 > Detailed Rules > ルールを選択 | 作成 > フィールドに条件をつける
b.
詳細な規則のカスタム エクスプレッションを作成します。
Cache Cleaner の制限 „ 679
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
680
„ Cache Cleaner の制限
付録 H
ユーザー エラー メッセージの使用
このセクションにはエンドユーザー エラー メッセージの付属資料が含まれています。こ
こでは以下のトピックについて説明します。
„
681 ページの「Windows Secure Application Manager のエラー メッセージ」
„
689 ページの「Network Connect エラー メッセージ」
Windows Secure Application Manager のエラー メッセージ
このセクションでは、以下のような Windows Secure Application Manager のエラー メッ
セージについて説明しています。
„
682 ページの「IDD_CONNECTIVITY」
„
682 ページの「IDD_LSP_ERROR (Windows 98 オペレーティング システムのみ )」
„
683 ページの「IDD_LSP_WARNING (Windows 98 オペレーティング システムのみ )」
„
683 ページの「Windows Secure Application Manager を起動する前に、システム管理
者に LSP プログラムの対処方法ついて問い合わせてください。」
„
683 ページの「IDS_ERROR_BROWSER」
„
683 ページの「IDS_ERROR_DNS」
„
684 ページの「IDS_FILE_SHARING_REBOOT」
„
684 ページの「IDS_MISSING_HOTFIX」
„
684 ページの「IDS_OPENAPPDATA_WARNING」
„
684 ページの「IDS_OPENLOG_WARNING」
„
685 ページの「IDS_REBOOT_PENDING」
„
685 ページの「IDS_SESSION_IDLE_TIMEOUT」
„
685 ページの「IDS_SESSION_MAX_TIMEOUT」
„
685 ページの「IDS_SESSION_RUNNING」
„
686 ページの「IDS_SESSIONRESTART_MSG」
„
686 ページの「IDS_UNABLE_STOP」
Windows Secure Application Manager のエラー メッセージ
„
681
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
686 ページの「IDS_WARNING_NOTINDEFAULTLSP (Windows 98 オペレーティング シ
ステムのみ )」
„
686 ページの「MUI_TEXT_INCOMPVER_ABORT」
„
687 ページの「MUI_TEXT_INSTALL_FAILED」
„
687 ページの「MUI_TEXT_NO_UPGRADE_REQUIRED」
„
687 ページの「MUI_TEXT_NOPRI_QUIT」
„
687 ページの「MUI_TEXT_NOPRI_UNINSTALL_QUIT」
„
687 ページの「MUI_TEXT_PENDING_DECTETED_REBOOT」
„
688 ページの「MUI_TEXT_PREVER_DECTECTED_REBOOT」
„
688 ページの「MUI_TEXT_PROXY_DETECTED」
„
688 ページの「MUI_TEXT_UNINSTALL_REBOOT」
„
688 ページの「MUI_TEXT_UNSUPPORT_OS」
IDD_CONNECTIVITY
システム ログ
メッセージ
原因
アクション
Windows Secure Application Manager がセキュア ゲートウェイに接続できませんでした。
ネットワーク接続に失敗した可能性があります。ネットワーク接続が戻るのを待つか、あ
るいは Windows Secure Application Manager セッションを終了しますか ?
クライアントとセキュア ゲートウェイ間のネットワーク接続に失敗した可能性があり
ます。
Windows Secure Application Manager を再起動する前に、セキュア ゲートウェイ上のアク
セス ポイントに適用されるファイアウォールの規定、ネットワーク ルート、全般的な接
続の特性について、管理者に確認します。
IDD_LSP_ERROR (Windows 98 オペレーティング システムのみ )
682
システム ログ
メッセージ
メッセージ 以下のような互換性のない Layered Service Provider (LSP) プログラムがクライ
アントにインストールされており、それが原因で Windows Secure Application Manager が
正常に機能していません。<LSP プログラムのリスト >
原因
Windows Secure Application Manager は、指定された Layered Service Provider プログラム
が、他のアプリケーションによってシステムにインストールされたことを検出しました。
指定された LSP は、システムが不安定になり、Windows Secure Application Manager との
互換性がないと分かっています。LSP は、どのセキュリティ標準にも準拠しないスパイ
ウェア アプリケーションであることがよくあります。
アクション
Windows Secure Application Manager は、これらの LSP が存在しているとき、インストー
ルや実行を行いません。システム管理者にアプリケーションのアンインストール方法、あ
るいは LSP の対処方法ついて問い合わせてください。
„ Windows Secure Application Manager のエラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IDD_LSP_WARNING (Windows 98 オペレーティング システムのみ )
システム ログ
メッセージ
メッセージ 以下のような Layered Service Provider (LSP) プログラムがクライアントにイン
ストールされており、それが原因で Windows Secure Application Manager が正常に機能し
ていない可能性があります。< LSP プログラムのリスト > Windows Secure Application
Manager を起動するには Continue をクリックしてください。
原因
Windows Secure Application Manager は、指定された Layered Service Provider プログラム
が、他のアプリケーションによってシステムにインストールされたことを検出しました。
これらの LSP と Windows Secure Application Manager との非互換性については確認されて
いませんが、これらの LSP プログラムと Windows Secure Application Manager 間の競合が
有害な影響を与える可能性があります。
アクション
Windows Secure Application Manager を起動する前に、システム管理者に LSP プログラム
の対処方法ついて問い合わせてください。
IDD_TIMEOUT
システム ログ
メッセージ
Windows セキュア アプリケーション マネージャ の接続が切断されています。再接続しま
すか ?
原因
原因 Windows Secure Application Manager セッションがタイムアウトしたか、最大セッ
ション時間に達した可能性があります。さらに、セキュア ゲートウェイを誤ってサインア
ウトしたか、ネットワーク接続が失われた可能性があります。
アクション
セキュア ゲートウェイに再度サインインして、Windows Secure Application Manager セッ
ションを新たに起動します。
IDS_ERROR_BROWSER
システム ログ
メッセージ
Windows セキュア アプリケーション マネージャ は、Web ブラウザをセキュア ゲート
ウェイ ホーム ページにリダイレクトできませんが、Windows セキュア アプリケーショ
ン マネージャ を正常に使用し続けることは可能です。
原因
ネットワーク接続が一時的に失われたか、ブラウザにプロキシ設定が行われている可能性
があります。
アクション
ブラウザに表示される Web 「起動アプリケーション」のリダイレクト ハイパーリンクを
クリックします。セキュア ゲートウェイ ホームページに移動しない場合は、ネットワー
ク管理者に連絡して、ネットワークの接続性を確認します。
IDS_ERROR_DNS
システム ログ
メッセージ
Windows セキュア アプリケーション マネージャ がセキュア ゲートウェイのホスト名を
解決できず、終了する必要があります。以前、セキュア ゲートウェイのアクセスに Web
プロキシを使用していた可能性があります。
原因
以前セキュア ゲートウェイのアクセスに Web プロキシを使用していたか、DNS サーバー
の設定が正しくない可能性があります。
アクション
ブラウザで Web プロキシの設定が正しく到達可能か確認し、DNS の接続性とリゾリュー
ションについても確認します。
Windows Secure Application Manager のエラー メッセージ
„
683
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IDS_FILE_SHARING_REBOOT
システム ログ
メッセージ
Windows セキュア アプリケーション マネージャ のファイル共有は、セキュア ゲート
ウェイ上で設定されており、自動ドライバ設定が必要です。ドライバ設定を完了するに
は、コンピュータを再起動する必要があります。データの損失を防ぐためすべてのアプリ
ケーションを終了し、OK をクリックしてコンピュータを再起動します。
原因
Windows Secure Application Manage のファイル共有がセキュア ゲートウェイ上で有効な
場合、TCP/IP と NetBT 間で neofltr.sys ドライバが必要です。この自動構成は、コン
ピュータを再起動する必要があります。
アクション
データの損失を防ぐためすべてのアプリケーションを終了し、OK をクリックしてコン
ピュータを再起動します。
IDS_MISSING_HOTFIX
システム ログ
メッセージ
W-SAM 操作を使用可能にするには、Windows XP の Service Pack 2 をアップデートする必
要があります。
原因
Windows XP Service Pack 2 内の複数のループバック アドレスを使用可能にするため、
アップデートが必要です。Windows XP Service Pack 2 は W-SAM 操作に必須であり、まだ
コンピュータにインストールされていません。
アクション
アップデートを Microsoft の
http://support.microsoft.com/default.aspx?scid=kb;%5bLN%5d;884020 からインストール
し、コンピュータを再起動して、W-SAM を再び起動します。
IDS_OPENAPPDATA_WARNING
システム ログ
メッセージ
メッセージ Windows Secure Application Manager の APPDATA フォルダを開くことができ
ません。
原因
現在のユーザーは適切なアクセス権限を持っていないため、ログ ファイルのあるディレ
クトリを開くことができませんでした。
アクション
APPDATA\Juniper Networks\ セキュア アプリケーション マネージャ フォルダに対し、
適切なアクセス権限があるか確認します。
IDS_OPENLOG_WARNING
システム ログ
メッセージ
Windows セキュア アプリケーション マネージャ のデバッグ ログ ファイルを開くことが
できません。
原因
Windows Secure Application Manager のデバッグ ログ ファイルを開くことができません
でした。ファイルが削除されたか、壊れたか、移動した可能性があります。システム管理
者が、セキュア ゲートウェイでログ ファイル設定を無効にした可能性も考えられます。
アクション
684
システム管理者にお問い合わせください。
„ Windows Secure Application Manager のエラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IDS_REBOOT_PENDING
システム ログ
メッセージ
原因
アクション
Windows セキュア アプリケーション マネージャ のインストールに成功しました。インス
トールのプロセスを完了するには、コンピュータを再起動する必要があります。データの
損失を防ぐためすべてのアプリケーションを終了し、OK をクリックしてコンピュータを
再起動します。
これは情報メッセージです。
データの損失を防ぐためすべてのアプリケーションを終了し、OK をクリックしてコン
ピュータを再起動します。
IDS_SESSION_IDLE_TIMEOUT
システム ログ
メッセージ
この Windows セキュア アプリケーション マネージャ セッションは、一定時間操作が行
われないことにより、<x> 分 <y> 秒後にタイムアウトします。Extend Session をク
リックして Windows Secure Application Manager セッションを続行します。
原因
Windows Secure Application Manager セッションで、自動終了で設定されているタイムア
ウト時間と同時間、操作が行われませんでした。この時間は、システム管理者によってセ
キュア ゲートウェイで設定されています。
アクション
Extend Session をクリックして Windows Secure Application Manager セッションを続行し
ます。
IDS_SESSION_MAX_TIMEOUT
システム ログ
メッセージ
メッセージ Windows Secure Application Manager セッションは <x> 分 <y> 秒後にタイ
ムアウトします。セッションがタイムアウトする前に、セキュア ゲートウェイのセッショ
ンに依存する作業が保存されているか確認します。
原因
セッションの実行時間が、セキュア ゲートウェイで設定されている最大セッション タイ
ムアウト時間に近づいています。
アクション
OK をクリックして、セッションがタイムアウトする前に、セキュア ゲートウェイ セッ
ションに依存する作業を保存します。その後、新しいセキュア ゲートウェイ セッション
を開始します。
IDS_SESSION_RUNNING
システム ログ
メッセージ
原因
アクション
Windows セキュア アプリケーション マネージャ は、このコンピュータ上ですでに実行
されています。OK をクリックして前回のセッションを終了し、新たに Windows Secure
Application Manager セッションを起動します。
Windows Secure Application Manager セッションは、このコンピュータですでにアクティ
ブになっています。一度に複数の Windows Secure Application Manager を操作することは
できません。
OK をクリックして前回のセッションを終了し、新たに Windows Secure Application
Manager セッションを起動します。
Windows Secure Application Manager のエラー メッセージ
„
685
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
IDS_SESSIONRESTART_MSG
システム ログ
メッセージ
新しいデバッグ ログ設定を有効にするには、Windows セキュア アプリケーション マ
ネージャ の再起動が必要です。
原因
Windows Secure Application Manager のデバッグ ログ設定が変更されました。新しい設定
を有効にするには、現在のセッションを終了して、Windows Secure Application Manager
を再起動する必要があります。
アクション
現在のセッションを終了し、Windows Secure Application Manager セッションを新たに起
動します。
IDS_UNABLE_STOP
システム ログ
メッセージ
原因
アクション
前回の Windows セキュア アプリケーション マネージャ セッションを終了できません。
前回の Windows Secure Application Manager セッションを自動的に終了できませんでし
た。
セキュア ゲートウェイに再接続する前に、手動で現在の Windows Secure Application
Manager セッションを終了してください。
IDS_WARNING_NOTINDEFAULTLSP (Windows 98 オペレーティング シス
テムのみ )
システム ログ
メッセージ
原因
アクション
Layered Service Provider (LSP) アプリケーションは、Winsock プロトコル カタログで、
Windows セキュア アプリケーション マネージャ のアプリケーション順序を変更しまし
た。アプリケーション順序を元に戻すには、コンピュータを再起動する必要があります。
データの損失を防ぐためすべてのアプリケーションを終了し、OK をクリックしてコン
ピュータを再起動します。
Windows Secure Application Manager のアプリケーション順序を上書きするアプリケー
ションが、最近このクライアントにインストールされた可能性があります。
コンピュータを再起動して、Windows Secure Application Manager のアプリケーション順
序をリセットします。
MUI_TEXT_INCOMPVER_ABORT
システム ログ
メッセージ
原因
アクション
686
セキュア ゲートウェイと互換性のないバージョンを実行しているため、現在のバージョ
ンの Windows セキュア アプリケーション マネージャ を起動することができません。
Windows セキュア アプリケーション マネージャ をアップグレードする必要があります。
これにはコンピュータを再起動する必要があります。データの損失を防ぐためにすべての
アプリケーションを終了し、OK をクリックして再起動してください。
セキュア ゲートウェイ上のバージョンと互換性のないバージョンの Windows Secure
Application Manager を実行しています。
Windows セキュア アプリケーション マネージャ をアップグレードする必要があります。
これにはコンピュータを再起動する必要があります。データの損失を防ぐためすべてのア
プリケーションを終了し、コンピュータを再起動して、セキュア ゲートウェイに再度サ
インインします。
„ Windows Secure Application Manager のエラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
MUI_TEXT_INSTALL_FAILED
システム ログ
メッセージ
原因
アクション
Windows セキュア アプリケーション マネージャ のインストール中にエラーが発生しま
した。
このインストールは阻止されたか、インストール中にエラーが発生しました。
システム管理者に関連するコンポーネントのログを転送します。そのあとで、Windows
Secure Application Manager をアンインストールし、再度インストールします。(Windows
Secure Application Manager を再インストールする前に、手動でアンインストールする必
要がある場合があります。
MUI_TEXT_NO_UPGRADE_REQUIRED
システム ログ
メッセージ
原因
アクション
Windows セキュア アプリケーション マネージャ のこのバージョンは、すでにこのコン
ピュータ上に存在します。アップグレードは必要ありません。
Windows Secure Application Manager スタンドアロン インストーラのアップグレードを試
みていますが、最新バージョンがすでにコンピュータに存在しています。
コンピュータにある既存のスタンドアロン インストーラを使用します。
MUI_TEXT_NOPRI_QUIT
システム ログ
メッセージ
Windows セキュア アプリケーション マネージャ をインストールして実行するには管理
者権限が必要です。
原因
Windows Secure Application Manager は、現在のユーザーが利用できない、管理者権限が
必要なレジストリやファイル システム内でタスクを実行します。
アクション
コンピュータ上の現在のユーザーが管理者権限を持っている、あるいは Juniper Networks
Win32 Installer Service がロードされていることを確認します。
MUI_TEXT_NOPRI_UNINSTALL_QUIT
システム ログ
メッセージ
原因
アクション
Windows セキュア アプリケーション マネージャ をアンインストールするには管理者権
限が必要です。
Windows Secure Application Manager アプリケーションのコンポーネントをアンインス
トールするには、管理者権限が必要です。
コンピュータ上の現在のユーザーが管理者権限を持っている、あるいは Juniper Networks
Win32 Installer Service がロードされていることを確認します。
MUI_TEXT_PENDING_DECTETED_REBOOT
システム ログ
メッセージ
原因
アクション
Windows Secure Application Manager が正常にアップグレードされました。アップグレー
ドのプロセスを完了するには、コンピュータを再起動する必要があります。データの損失
を防ぐためすべてのアプリケーションを終了し、OK をクリックしてコンピュータを再起
動します。
これは情報メッセージです。
データの損失を防ぐためすべてのアプリケーションを終了し、OK をクリックしてコン
ピュータを再起動します。
Windows Secure Application Manager のエラー メッセージ
„
687
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
MUI_TEXT_PREVER_DECTECTED_REBOOT
システム ログ
メッセージ
メッセージ セキュア ゲートウェイのバージョンよりも古いバージョンを実行しているた
め、このバージョンの Windows Secure Application Manager を起動することができませ
ん。Windows Secure Application Manager のバージョンをアップグレードする必要があり
ます。このためにコンピュータを再起動する必要があります。データの損失を防ぐためす
べてのアプリケーションを終了し、OK をクリックしてコンピュータを再起動します。
原因
セキュア ゲートウェイのバージョンよりも古いバージョンの Windows Secure Application
Manager を実行しています。
アクション
Windows Secure Application Manager のバージョンをアップグレードする必要がありま
す。このためにコンピュータを再起動する必要があります。データの損失を防ぐためすべ
てのアプリケーションを終了し、コンピュータを再起動して、セキュア ゲートウェイに
再度サインインします。
MUI_TEXT_PROXY_DETECTED
システム ログ
メッセージ
Web プロキシ サーバーを使用するときは、Windows Secure Application Manager を介して
セキュリティ保護したいホストあるいはネットワークの IP アドレスを、Internet Explorer
のプロキシ例外リストに追加する必要があります。
原因
Windows Secure Application Manager は、Internet Explorer からの HTTP 呼び出しを処理す
るため、これらをトラップできる必要があります。
アクション
Windows Secure Application Manager を経由したアクセスを可能にするため、Internet
Explorer のプロキシ例外リストに宛先ホストを追加する必要があります。
MUI_TEXT_UNINSTALL_REBOOT
システム ログ
メッセージ
Windows Secure Application Manager をアンインストールすると、一部のアクティブなア
プリケーションが不安定になる可能性があります。アンインストールを行うにはコン
ピュータを再起動する必要があります。データの損失を防ぐためすべてのアプリケーショ
ンを終了し、OK をクリックして Windows Secure Application Manager のアンインストー
ルを完了させ、コンピュータを再起動します。
原因
この警告メッセージは、Windows Secure Application Manager のアンインストール プロセ
スによって問題が起きる可能性があることを警告しています。
アクション
データの損失を防ぐためすべてのアプリケーションを終了し、OK をクリックしてコン
ピュータを再起動します。
MUI_TEXT_UNSUPPORT_OS
システム ログ
メッセージ
Windows Secure Application Manager は、このコンピュータのオペレーティング システム
と互換性がありません。
原因
このコンピュータのオペレーティング システムは、Windows Secure Application Manager
のインストールまたは操作をサポートしていません。Windows Secure Application
Manager は、Windows 98、Windows 2000、Windows ME、および Windows XP にのみ対
応しています。
アクション
688
何も行う必要はありません。
„ Windows Secure Application Manager のエラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Network Connect エラー メッセージ
このセクションは、以下のような環境における Network Connect エラー メッセージにつ
いて説明しています。
„
689 ページの「Windows エラー メッセージ」
„
703 ページの「Macintosh エラー メッセージ」
Windows エラー メッセージ
このセクションは、以下のような Windows 環境のエラー メッセージについて説明してい
ます。
„
691 ページの「nc.windows.app.1001」
„
691 ページの「nc.windows.app.1002」
„
691 ページの「nc.windows.app.1003」
„
691 ページの「nc.windows.app.1004」
„
691 ページの「nc.windows.app.1005」
„
692 ページの「nc.windows.app.1006」
„
692 ページの「nc.windows.app.1007」
„
692 ページの「nc.windows.app.1008」
„
692 ページの「nc.windows.app.1009」
„
693 ページの「nc.windows.app.1010」
„
693 ページの「nc.windows.app.1011」
„
693 ページの「nc.windows.app.1012」
„
693 ページの「nc.windows.app.1013」
„
694 ページの「nc.windows.app.1014」
„
694 ページの「nc.windows.app.1015」
„
694 ページの「nc.windows.app.1016」
„
694 ページの「nc.windows.app.1017」
„
695 ページの「nc.windows.app.1018」
„
695 ページの「nc.windows.app.1019」
„
695 ページの「nc.windows.app.1020」
„
695 ページの「nc.windows.app.1021」
„
696 ページの「nc.windows.app.1022」
„
696 ページの「nc.windows.app.1023」
Network Connect エラー メッセージ
„
689
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
690
„
696 ページの「nc.windows.app.1024」
„
696 ページの「nc.windows.app.1025」
„
696 ページの「nc.windows.app.1026」
„
697 ページの「nc.windows.app.1027」
„
697 ページの「nc.windows.app.1028」
„
697 ページの「nc.windows.app.1029」
„
697 ページの「nc.windows.app.1030」
„
698 ページの「nc.windows.app.1031」
„
698 ページの「nc.windows.app.1032」
„
698 ページの「nc.windows.app.1033」
„
698 ページの「nc.windows.app.1034」
„
699 ページの「nc.windows.app.1035」
„
699 ページの「nc.windows.app.1036」
„
699 ページの「nc.windows.app.1037」
„
699 ページの「nc.windows.app.1038」
„
699 ページの「nc.windows.app.1039」
„
700 ページの「nc.windows.app.1040」
„
700 ページの「nc.windows.gina.1001」
„
700 ページの「nc.windows.gina.1002」
„
700 ページの「nc.windows.gina.1003」
„
701 ページの「nc.windows.gina.1004」
„
701 ページの「nc.windows.gina.1005」
„
701 ページの「nc.windows.gina.1006」
„
701 ページの「nc.windows.gina.1007」
„
702 ページの「nc.windows.gina.1008」
„
702 ページの「nc.windows.gina.1009」
„
702 ページの「nc.windows.gina.1010」
„
702 ページの「nc.windows.gina.1011」
„
702 ページの「nc.windows.gina.1012」
„
703 ページの「nc.windows.gina.1013」
„
703 ページの「nc.windows.gina.1014」
„ Network Connect エラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.windows.app.1001
システム ログ
メッセージ
原因
アクション
メッセージ リソース < リソース名 > をダウンロードできません。代わりに英語版のリ
ソース ライブラリをロードしています。
指定したリソース ライブラリが見つかりませんでした。
Network Connect クライアントを再インストールしてください。使用したいリソースにま
だアクセスできない場合、システム管理者に問い合わせてください。
nc.windows.app.1002
システム ログ
メッセージ
原因
アクション
ネットワーク コネクトはクライアント上ですでに実行中です。既存のセッションを終了し
て新しいネットワーク コネクト セッションを開始しますか ?
Network Connect はこのコンピュータですでに実行中です。
Yes をクリックして既存の Network Connect セッションを終了し、新規のセッションを開
始します。No をクリックして Network Connect を終了し、既存の Network Connect セッ
ションを継続します。
nc.windows.app.1003
システム ログ
メッセージ
原因
アクション
ネットワーク コネクト仮想アダプタ ドライバが正常にインストールされていません。
ネットワーク コネクトを再インストールしてください。
Network Connect ドライバが正しくインストールされていません。
Network Connect をアンインストールして再度インストールし、再びセキュア ゲートウェ
イにサインインします。Network Connect のインストールが再び正常に行われなかった場
合は、システム管理者に連絡してください。
nc.windows.app.1004
システム ログ
メッセージ
Network Connect サービスを開始できません。Network Connect をもう一度インストール
します。
原因
Network Connect NCService コンポーネントが実行されていないため、クライアントがこ
れを開始できません。
アクション
Network Connect をアンインストールして再度インストールし、再びセキュア ゲートウェ
イにサインインします。まだ Network Connect を起動できない場合は、システム管理者に
連絡してください。
nc.windows.app.1005
システム ログ
メッセージ
原因
Network Connect NCService コンポーネントが実行されていません。
Network Connect サービスが実行されておらず、また、現在のユーザーはサービスの開始
に必要な管理者権限を持っていません。
Network Connect エラー メッセージ
„
691
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
アクション
Network Connect をもう一度インストールし、再びセキュア ゲートウェイにサインインし
ます。まだ Network Connect を起動できない場合は、システム管理者に連絡してくださ
い。
nc.windows.app.1006
システム ログ
メッセージ
GINA (Graphical Identification and Authentication) 自動サインイン機能を有効にして、
Windows の起動時に Network Connect を起動しますか ?
原因
システム管理者は、このロールに対して GINA 自動サインイン機能を有効にしました。現
時点で GINA を使用可能にしたり、あるいは GINA のインストールを延期することができ
ます (GINA により、Windows の起動時に Network Connect を起動することができます )。
アクション
Yes をクリックして、お使いのコンピュータで GINA 自動サインイン機能を有効にします。
No をクリックして、Network Connect に手動でサインインします。
nc.windows.app.1007
システム ログ
メッセージ
GINA (Graphical Identification and Authentication) 自動サインイン機能がコンピュータで有
効になっています。
原因
システム管理者は、セキュア ゲートウェイで GINA 自動サインイン機能を有効にしまし
た。これにより、Windows にサインインする際 Network Connect が自動的に起動します。
この機能は、次回コンピュータを起動して Windows を開始すると有効になります。
アクション
これは情報メッセージです。OK をクリックして続行します。
nc.windows.app.1008
システム ログ
メッセージ
自動接続機能を有効にするには、コンピュータを再起動する必要があります。自動接続機
能により、Windows の起動時に Network Connect トンネルを起動することができます。こ
こで再起動しますか ?
原因
ユーザーが Network Connect オプション ダイアログボックスで “Auto Connect” を選択し
ました。この設定は、セキュア ゲートウェイ管理者が、クライアントでオプションの選択
を許可している場合のみ有効になります。
アクション
OK をクリックしてコンピュータを再起動し、自動接続オプションを有効にします。後で
コンピュータの再起動を行うには No を選択します。自動接続オプションを作動させずに
ダイアログボックスを閉じる場合、Cancel をクリックします。
nc.windows.app.1009
システム ログ
メッセージ
原因
アクション
692
APPDATA フォルダを開くことができません。
フォルダは、アクセスに許可が必要か、削除あるいは移動されたか、壊れた可能性があり
ます。
現在のユーザーのアクセス レベルや、ユーザーが自分のアプリケーションのデータ フォ
ルダを開くことができるかどうか確認してください。( フォルダの場所は
APPDATA\Juniper Networks\Network Connect < バージョン >\ です。) 次に Network
Connect をサインアウトして、Windows に再度サインインします。アプリケーション
データ フォルダをまだ開くことができない場合、システム管理者に連絡してください。
„ Network Connect エラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.windows.app.1010
システム ログ
メッセージ
原因
アクション
情報はログ ファイルへ正常にコピーされました。
これは、ログ ファイルが正常に更新されたことを確認するメッセージです。
これは情報メッセージです。何も実行する必要はありません。
nc.windows.app.1011
システム ログ
メッセージ
連結情報を表示できません。
原因
Network Connect は、セキュア ゲートウェイの接続情報を取得して表示することができま
せん。( 接続情報には、送受信されたバイト数、暗号化プロトコル、圧縮情報、転送モー
ド情報が入っています。) セキュア ゲートウェイへのネットワーク接続性がクライアント
にあるかどうか、ファイアウォールまたはネットワーク設定を確認してください。
アクション
セキュア ゲートウェイをサインアウトして、再接続します。それでも接続情報を表示する
ことができない場合は、システム管理者に連絡してください。
nc.windows.app.1012
システム ログ
メッセージ
Network Connect の自動接続エラーです。
原因
Network Connect が、Windows のサインイン時に確立された自動セキュア ゲートウェイ
接続を使用することができません。
アクション
セキュア ゲートウェイに再度接続してみてください。それでも自動セキュア ゲートウェ
イ接続に接続することができない場合、システム管理者に連絡してください。
nc.windows.app.1013
システム ログ
メッセージ
原因
アクション
セキュア ゲートウェイへの接続を開くことができません。
Network Connect はセキュア ゲートウェイへの接続を開くことができません。これは、
ネットワークまたはファイアウォールの問題か、セキュア ゲートウェイの設定の問題で
ある可能性があります。
ネットワーク接続、プロキシ設定 ( 該当する場合 )、ファイアウォールあるいはルーター
の ACL 規則をシステム管理者に確認して、クライアントがセキュア ゲートウェイに接続
できることを確認してください。その後、セキュア ゲートウェイに再度接続してみてくだ
さい。それでもセキュア ゲートウェイへの接続を開くことができない場合、システム管理
者に連絡してください。
Network Connect エラー メッセージ
„
693
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.windows.app.1014
システム ログ
メッセージ
セキュア ゲートウェイに接続できません。
原因
Network Connect はセキュア ゲートウェイに接続できません。これは、ネットワークまた
はファイアウォールの問題か、セキュア ゲートウェイの設定の問題である可能性があり
ます。
アクション
ネットワーク接続、プロキシ設定 ( 該当する場合 )、ファイアウォールあるいはルーター
の ACL 規則をシステム管理者に確認して、クライアントがセキュア ゲートウェイに接続
できることを確認してください。その後、セキュア ゲートウェイに再度接続してみてくだ
さい。それでもセキュア ゲートウェイへの接続を開くことができない場合、システム管理
者に連絡してください。
nc.windows.app.1015
システム ログ
メッセージ
NCService コンポーネントへの接続を開始できません。
原因
Network Connect は NCService コンポーネントへの接続を開くことができません。
Network Connect サービスが使用不可になったか、Network Connect のインストール中に
エラーが発生した可能性があります。
アクション
Network Connect クライアントを再起動します。接続できない場合、Network Connect を
一度アンインストールしてから再度インストールして、サインインします。それでも
NCService コンポーネントへの接続を開くことができない場合、システム管理者に連絡
してください。
nc.windows.app.1016
システム ログ
メッセージ
原因
アクション
セキュア ゲートウェイから接続情報を取得できません。
Network Connect は、セキュア ゲートウェイから接続設定情報を取得できません。IVE へ
の接続が失われた可能性があります。
セキュア ゲートウェイをサインアウトして、再接続します。その後、ネットワーク接続、
プロキシ設定 ( 該当する場合 )、ファイアウォールあるいはルーターの ACL 規則をシステ
ム管理者に確認して、クライアントがセキュア ゲートウェイに接続できることを確認し
てください。それでもセキュア ゲートウェイへの接続を開くことができない場合、システ
ム管理者に連絡してください。
nc.windows.app.1017
システム ログ
メッセージ
原因
アクション
694
セキュア ゲートウェイから接続情報を取得できません。
Network Connect が、セキュア ゲートウェイから接続情報を取得中にエラーを受信しまし
た。セキュア ゲートウェイにアクセスできなくなったか、正しく動作していない可能性が
あります。
セキュア ゲートウェイをサインアウトして、再接続します。( さらに、Network Connect
クライアントをアンインストールして再度インストールすることを推奨します。) それで
も接続情報を表示することができない場合は、システム管理者に連絡してください。
„ Network Connect エラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.windows.app.1018
システム ログ
メッセージ
原因
アクション
セキュア ゲートウェイに接続するには、プロキシ認証が必要です。
クライアントとセキュア ゲートウェイ間でプロキシ サーバーが設定されています。プ
ロキシ サーバーは、セキュア ゲートウェイへの接続を許可する有効な認証証明書が必
要です。
有効な証明書情報をプロキシ認証ダイアログボックスに入力してください。
nc.windows.app.1019
システム ログ
メッセージ
原因
アクション
Network Connect セッションのタイムアウトです。
セッションがタイムアウトしたため、Network Connect クライアントがセキュア ゲート
ウェイから切断されました。セッションの時間が、管理者がセキュア ゲートウェイで設定
したセッション アイドル タイムアウト時間、あるいは最大セッション時間に到達した可
能性があります。
セキュア ゲートウェイにサインインして、もう一度 Network Connect を起動してくだ
さい。
nc.windows.app.1020
システム ログ
メッセージ
Network Connect セッションが終了しました。もう一度接続しますか ?
原因
クライアントのルーティング テーブルが変更されたため、Network Connect クライアント
とセキュア ゲートウェイの接続が切れました。
アクション
Yes をクリックして、セキュア ゲートウェイにサインインし、もう一度 Network Connect
を起動します。Network Connect クライアントを終了するには、No をクリックします。
nc.windows.app.1021
システム ログ
メッセージ
原因
アクション
Network Connect セッションが終了しました。もう一度接続しますか ?
クライアントの設定にエラーがあるため、Network Connect クライアントとセキュア ゲー
トウェイの接続が切れました。ネットワーク アダプタなどのハードウェアの一部にエラー
が生じた可能性があります。
セキュア ゲートウェイへの接続をもう一度確立するには、Yes をクリックします。
Network Connect クライアントを終了するには、No をクリックします。それでも問題
が解決されない場合には、システム管理者に連絡して、コンピュータのシステム設定
を確認してからセキュア ゲートウェイにサインインして、Network Connect をもう一
度起動します。または、Network Connect をアンインストールしてからもう一度イン
ストールできます。
Network Connect エラー メッセージ
„
695
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.windows.app.1022
システム ログ
メッセージ
原因
アクション
セキュア ゲートウェイはこのクライアントから要求された接続を拒否しました。
セキュア ゲートウェイがこのコンピュータの接続要求を拒否しました。
セキュア ゲートウェイに再度接続してみてください。それでもセキュア ゲートウェイに
接続できない場合、システム管理者に連絡してください。
nc.windows.app.1023
システム ログ
メッセージ
原因
アクション
セキュア ゲートウェイへの接続に失敗しました。
前回の Network Connect セッションがセキュア ゲートウェイからの切断に失敗しました。
前回のセッションが終了しているのを確認し、セキュア ゲートウェイに再度接続してみ
てください。それでもセキュア ゲートウェイに接続できない場合、システム管理者に連絡
してください。
nc.windows.app.1024
システム ログ
メッセージ
原因
アクション
Network Connect は、<x> 分 <y> 秒アイドル状態が続くと、タイムアウトします。
Network Connect セッションで、操作が行われないまま、自動終了で設定されているタイ
ムアウト時間に達しました。この時間は、システム管理者によってセキュア ゲートウェイ
で設定されています。
Network Connect セッションを続行するには Extend Session ボタンをクリックします。
nc.windows.app.1025
システム ログ
メッセージ
原因
アクション
Network Connect セッションは、<x> 分 <y> 秒間アイドル状態が続くと、タイムアウ
トします。
Network Connect セッションの実行時間が、システム管理者が設定した最大セッション時
間に近づいています。
セッションが終了したら、セキュア ゲートウェイにサインインして、再度 Network
Connect を起動してください。
nc.windows.app.1026
696
システム ログ
メッセージ
コンポーネントが不足しているために Network Connect クライアントを起動できません。
原因
Network Connect スタンドアロン クライアント認証情報が有効ですが、必要なコンポーネ
ントが不足しています。Network Connect はセッションを終了する必要があります。
アクション
Network Connect スタンドアロン クライアントをアンインストールして再度インストール
してから、Network Connect をもう一度起動します。
„ Network Connect エラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.windows.app.1027
システム ログ
メッセージ
原因
アクション
Network Connect システム管理者は GINA (Graphical Identification and Authentication) 自動
サインイン機能を無効にしました。この変更は次回に Windows を起動するときに反映さ
れます。
GINA 自動サインイン機能は当初このユーザー用に有効になっていましたが、システム管
理者がセキュア ゲートウェイで機能を無効にしました。
OK をクリックして、Network Connect セッションを継続します。
nc.windows.app.1028
システム ログ
メッセージ
接続がタイムアウトしました。
原因
セキュア ゲートウェイからの応答の待機中に Network Connect クライアントがタイムア
ウトしました。
アクション
Network Connect クライアントを閉じて、もう一度サインインしてください。それでもサ
インインできない場合には、システム管理者に連絡してください。
nc.windows.app.1029
システム ログ
メッセージ
Network Connect は Windows の起動時に起動するように設定されますが、別の Windows
アプリケーションとの競合のためにこの機能を有効にできません。
原因
システム管理者は、セキュア ゲートウェイでこのユーザー ロールのために GINA
(Graphical Identification and Authentication) 自動サインイン機能を有効にしました。しか
し、コンピュータには別のアプリケーションからインストールした既存の GINA コンポー
ネントがあります。
アクション
OK をクリックして続行します。Windows にサインインしてからセキュア ゲートウェイに
サインインし、セキュア ゲートウェイの Web コンソール ページから Network Connect を
起動します。
nc.windows.app.1030
システム ログ
メッセージ
このコンピュータに Network Connect をインストールするには、管理者権限が必要です。
Network Connect のインストールが終了しました。
原因
このコンピュータに現在サインインしたユーザーには管理者権限がありません。Network
Connect クライアントをインストールして実行するためには管理者権限が必要です。
アクション
システム管理者として Windows にサインインして、もう一度 Network Connect をインス
トールします。
Network Connect エラー メッセージ
„
697
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.windows.app.1031
システム ログ
メッセージ
原因
アクション
Network Connect は、このオペレーティング システムではサポートされていません。
Network Connect のインストールが終了しました。
このバージョンの Network Connect クライアントのインストールをサポートしているの
は、Windows 2000 と Windows XP だけです。
OK をクリックして、Network Connect インストールを終了します。
nc.windows.app.1032
システム ログ
メッセージ
Network Connect は Windows の起動時に起動するように設定されますが、別の Windows
アプリケーションとの競合のためにこの機能を有効にできません。Network Connect のイ
ンストールが終了しました。
原因
システム管理者は、セキュア ゲートウェイでこのユーザー ロールのために GINA
(Graphical Identification and Authentication) 自動サインイン機能を有効にしました。しか
し、コンピュータには別のアプリケーションからインストールした既存の GINA コンポー
ネントがあります。
アクション
OK をクリックして、インストールを終了します。Windows にサインインしてからセキュ
ア ゲートウェイにサインインし、セキュア ゲートウェイの Web コンソール ページから
Network Connect を起動します。
nc.windows.app.1033
システム ログ
メッセージ
Network Connect のアップグレードが失敗しました。手動で Network Connect クライアン
トをアンインストールし、もう一度インストールします。
原因
Network Connect アップグレードのプロセスで問題が発生しました。Network Connect は
部分的にインストールされているため、アップグレード プロセスのアンインストールが
失敗した可能性があります。
アクション
OK をクリックしてこのメッセージ ボックスを閉じ、Network Connect を手動でアンイン
ストールしてからアップグレード バージョンをインストールします。
nc.windows.app.1034
698
システム ログ
メッセージ
Network Connect のインストールを完了するには、コンピュータを再起動する必要があり
ます。このコンピュータを今すぐ再起動しますか ?
原因
Network Connect のインストールのプロセスで問題が発生しました。以前のバージョンの
NCService コンポーネントは、Service Control マネージャ内で停止していない可能性があ
ります。
アクション
Yes をクリックしてアップグレードのプロセスを完了し、コンピュータを再起動します。
„ Network Connect エラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.windows.app.1035
システム ログ
メッセージ
Network Connect のセットアップを完了するには、コンピュータを再起動する必要があり
ます。
原因
Network Connect をセットアップするプロセスのアンインストールの部分で、NCService
コンポーネントを停止するときにエラーが発生しました。問題を訂正するには、コン
ピュータを再起動する必要があります。
アクション
OK をクリックしてコンピュータを再起動し、Network Connect のインストールを完了し
ます。
nc.windows.app.1036
システム ログ
メッセージ
原因
アクション
このコンピュータで Network Connect をアンインストールするには、管理者権限が必要で
す。Network Connect のセットアップが終了しました。
管理者権限がありません。
システム管理者にお問い合わせください。
nc.windows.app.1037
システム ログ
メッセージ
原因
アクション
Network Connect はすでにクライアントで実行しています。既存のセッションを終了して
から、新しいセッションを開始します。
Network Connect はこのコンピュータですでに実行中です。
OK をクリックして新規の Network Connect アプリケーションを終了し、既存の Network
Connect セッションを手動で終了して、もう一度 Network Connect を起動します。
nc.windows.app.1038
システム ログ
メッセージ
Network Connect は Graphical Identification and Authentication (GINA) 自動サインイン機能
を初期化できませんでした。
原因
適切な管理者権限がないか、このコンピュータに Juniper Installer Service がインストール
されていません。
アクション
システム管理者に連絡して Juniper Installer Service または、GINA 対応の正しい Network
Connect アプリケーションをコンピュータにインストールします。
nc.windows.app.1039
システム ログ
メッセージ
Network Connect は、Graphical Identification and Authentication (GINA) 自動サインイン機
能を無効にできませんでした。
原因
システム管理者はユーザー ロールの GINA を無効にしましたが、適切な管理者権限がない
か、このコンピュータに Juniper Installer Service がインストールされていません。
アクション
システム管理者に連絡して Juniper Installer Service または、正しい Network Connect アプ
リケーションをコンピュータにインストールします。
Network Connect エラー メッセージ
„
699
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.windows.app.1040
システム ログ
メッセージ
Network Connect が、このコンピュータ上でプラグアンドプレイが無効になっていること
を検出しました。現在、Network Connect の特定のコンポーネントをこのコンピュータに
インストールできません。プラグアンドプレイを有効にするに方法については、セキュア
ゲートウェイのオンライン文書を参照してください。
原因
このメッセージは、プラグアンドプレイがコンピュータ上の他のアプリケーションにより
無効にされている場合に、表示されます。このため、Network Connect ドライバのインス
トールを完了できません。
アクション
次のレジストリ キーをクライアント システム上に作成する必要があります:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce.
これにより、クライアント システム上のプラグアンドプレイが有効になります。
nc.windows.gina.1001
システム ログ
メッセージ
原因
アクション
GINA (Graphical Identification and Authentication) 自動サインインを使用する Network
Connect サインインはセキュア ゲートウェイで設定されていません。
ユーザーのサインイン認証情報が有効ですが、システム管理者はユーザー ロールに対し
て GINA を有効にしていません。
システム管理者に連絡して、ユーザー ロールに対して GINA を有効にしてください。
nc.windows.gina.1002
システム ログ
メッセージ
原因
アクション
Network Connect トンネルを確立できませんでした。GINA (Graphical Identification and
Authentication) 自動サインイン機能がセキュア ゲートウェイで有効になっていません。
ユーザーのサインイン認証情報が有効ですが、ユーザー ロールに対して GINA が有効に
なっていません。インストールの前に GINA がこのロールで有効にされており、システム
管理者が無効にした可能性があります。
システム管理者に連絡して、ユーザー ロールに対して GINA を有効にしてください。
nc.windows.gina.1003
システム ログ
メッセージ
700
認証証明書が見つかりません。セキュア ゲートウェイにサインインを続行しますか ?
原因
ユーザーのコンピュータに必要な MD5 証明書が見つかりませんでした。以前にこの Web
ブラウザを使用してセキュア ゲートウェイにサインインしなかった可能性があります。
アクション
OK をクリックして、MD5 証明書認証を有効にし、セキュア ゲートウェイにサインイン
します。Cancel をクリックして、Network Connect サインインを途中停止します。
„ Network Connect エラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.windows.gina.1004
システム ログ
メッセージ
原因
アクション
セキュア ゲートウェイ認証が失敗しました。
入力した認証ユーザー名またはパスワードが無効であり、セキュア ゲートウェイに拒否
されました。
ユーザー名とパスワードを確認して、もう一度サインインします。指定したユーザー名と
パスワードが正しいと思われる場合には、システム管理者にお問い合わせください。
nc.windows.gina.1005
システム ログ
メッセージ
原因
アクション
Network Connect トンネルを確立できませんでした。
クライアントとセキュア ゲートウェイ間で Network Connect トンネルを確立できません
でした。ネットワークで一時的な接続障害が発生した可能性があります。プロキシ設定に
問題があるか、GINA (Graphical Identification and Authentication) 自動サインイン機能と
Network Connect サービスの間で通信エラーが発生した可能性があります。
システム管理者に問い合わせてネットワークの接続、プロキシ設定、セキュア ゲート
ウェイ設定を確認します。
nc.windows.gina.1006
システム ログ
メッセージ
原因
アクション
セキュア ゲートウェイへの接続が終了しました。
Network Connect サービスが認証中に予期せず終了しました。
Windows にサインインしたあとで Network Connect をアンインストールします。セキュア
ゲートウェイにサインインして、Network Connect をもう一度インストールします。
nc.windows.gina.1007
システム ログ
メッセージ
Network Connect トンネルを確立できませんでした。セキュア ゲートウェイで複数のユー
ザー ロールに関連付けられています。これは、GINA (Graphical Identification and
Authentication) 自動サインイン機能との互換性がありません。
原因
セキュア ゲートウェイはロール選択のページでユーザーにメッセージを表示するように
設定されています。このページは、GINA がユーザー ロールで有効になっている場合にサ
ポートされません。
アクション
システム管理者は ユーザーの GINA を無効にするか、ユーザーが単一のロールに関連付け
られるようにする必要があります。
Network Connect エラー メッセージ
„
701
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.windows.gina.1008
システム ログ
メッセージ
原因
アクション
2 回連続で試しても、セキュア ゲートウェイはユーザー認証情報を認証できませんでし
た。GINA (Graphical Identification and Authentication) 自動サインイン機能は、現在の
Windows サインイン セッション中に再度セキュア ゲートウェイにサインインしようとし
ません。
2 回連続で試しても、セキュア ゲートウェイは指定されたユーザー認証情報を認証でき
ませんでした。
ユーザー認証情報を確認して、Windows が起動したあとにセキュア ゲートウェイに接続
します。Windows サインイン中に使用した認証情報が正しいと思われる場合には、シス
テム管理者にお問い合わせください。
nc.windows.gina.1009
システム ログ
メッセージ
ユーザーが Windows NT または Windows Active Directory ドメインにログインしていない
ため、Network Connect トンネルの接続が切れました。
原因
Windows NT または Windows Active Directory ドメイン認証情報に一致していない、
キャッシュされた認証情報を使用して Windows セッションにサインインした可能性があ
ります。
アクション
コンピュータが正しい Windows NT または Windows Active Directory ドメインのメンバー
であり、Windows サインイン認証情報が有効であることを確認します。
nc.windows.gina.1010
システム ログ
メッセージ
有効なプロキシ サーバー IP アドレスまたはホスト名を入力する必要があります。
原因
プロキシ サーバーのオプションが有効にされていますが、プロキシ IP アドレスまたはホ
スト名が無効であるか、プロキシ サーバー情報が指定されていません。
アクション
プロキシ サーバー情報が有効であることを確認し、セキュア ゲートウェイにもう一度サ
インインしてください。
nc.windows.gina.1011
システム ログ
メッセージ
原因
アクション
完全な URL を https://www.server.yourcompany.com のフォーマットで入力します。
指定した URL が無効であるか、正しくフォーマットされていません。
https:// が先頭に付いており、セキュア ゲートウェイのホスト名が正しいことを確認し
ます。
nc.windows.gina.1012
システム ログ
メッセージ
原因
アクション
702
プロキシ サーバーとの通信に必要な HTTP ポートを入力します。
プロキシ サーバー用に指定されたポートが正しくないか、TCP ポートではありません。
システム管理者に問い合わせて、プロキシ サーバーのポート番号を確認します。
„ Network Connect エラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.windows.gina.1013
システム ログ
メッセージ
原因
アクション
セキュア サーバーが認識しているユーザー名を入力します。
ユーザー名フィールドが空のままです。
有効なユーザー名を指定して、もう一度接続します。
nc.windows.gina.1014
システム ログ
メッセージ
GINA (Graphical Identification and Authentication) 自動サインイン機能により、現在のバー
ジョンの Network Connect を起動できません。セキュア ゲートウェイでのバージョンより
も古いバージョンを実行しています。Windows が起動した後で、セキュア ゲートウェイ
にサインインして、Network Connect のバージョンをアップグレードします。
原因
セキュア ゲートウェイでのバージョンよりも古いバージョンの Network Connect を実行
しています。このため、GINA 自動サインイン機能は Windows の起動時に Network
Connect を起動できません。
アクション
Windows が起動した後で、セキュア ゲートウェイにサインインして、Network Connect
のバージョンをアップグレードします。
Macintosh エラー メッセージ
このセクションでは、以下のような Macintosh 環境のエラー メッセージについて説明し
ています。
„
704 ページの「nc.mac.app.1003」
„
704 ページの「nc.mac.app.1004」
„
705 ページの「nc.mac.app.1005」
„
705 ページの「nc.mac.app.1100」
„
705 ページの「nc.mac.app.1104」
„
705 ページの「nc.mac.app.1106」
„
706 ページの「nc.mac.app.1108」
„
706 ページの「nc.mac.app.1109」
„
706 ページの「nc.mac.app.1200」
„
706 ページの「nc.mac.app.1202」
„
707 ページの「nc.mac.app.1203」
„
707 ページの「nc.mac.app.1204」
Network Connect エラー メッセージ
„
703
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
„
707 ページの「nc.mac.app.1205」
„
707 ページの「nc.mac.app.1206」
„
708 ページの「nc.mac.app.1207」
„
708 ページの「nc.mac.app.1400」
„
708 ページの「nc.mac.app.1401」
„
708 ページの「nc.mac.app.1402」
„
709 ページの「nc.mac.app.1403」
„
709 ページの「nc.mac.app.1700」
„
709 ページの「nc.mac.app.1701」
„
709 ページの「nc.mac.app.1804」
„
709 ページの「nc.mac.app.1805」
nc.mac.app.1003
システム ログ
メッセージ
原因
アクション
Network Connect はセキュア ゲートウェイに接続できません。
スタンドアロンの Network Connect クライアントを使用してセキュア ゲートウェイを見
つけましたが、接続が拒否されたか、タイムアウトしました。
ホスト名または IP アドレスが正しく入力されているか確認して、セキュア ゲートウェイ
にもう一度サインインしてください。
nc.mac.app.1004
システム ログ
メッセージ
704
Network Connect がセキュア ゲートウェイを見つけられません。
原因
原因 スタンドアロンの Network Connect クライアントを使用してセキュア ゲートウェイ
を見つけることができません。入力したホスト名が正しくないか、DNS 設定に問題がある
可能性があります。
アクション
ホスト名または IP アドレスが正しく入力されているか確認して、セキュア ゲートウェイ
にもう一度サインインします。それでもセキュア ゲートウェイへの接続を確立できない場
合、システム管理者に連絡してください。
„ Network Connect エラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.mac.app.1005
システム ログ
メッセージ
原因
アクション
Network Connect はセキュア ゲートウェイに接続できません。
Network Connect スタンドアロン クライアントは、セキュア ゲートウェイから必要な
データを取得できませんでした。セキュア ゲートウェイは、フロントページで “HTTPS
GET” に 0 バイトのリソースを返した可能性があります。これは、正しく設定されていな
い HTTPS プロキシの使用時に発生する場合があります、その結果、Safari が、プロキシ
を通過するセッション情報に対して空のページを表示します。
セキュア ゲートウェイにもう一度サインインしてください。それでもセキュア ゲート
ウェイへの接続を確立できない場合、システム管理者に連絡してください。
nc.mac.app.1100
システム ログ
メッセージ
原因
アクション
Network Connect は既に実行中です。
Network Connect の別のコピーが、このコンピュータで実行中です。このコンピュータで
一度に実行できる Network Connect セッションは 1 つだけです。
Network Connect を起動する前に別の Network Connect が実行していないことを確認
します。
nc.mac.app.1104
システム ログ
メッセージ
原因
アクション
セッションがタイムアウトしました。
少なくとも 90 秒間、Network Connect がセキュア ゲートウェイからハートビートまたは
正常性の確認メッセージを受信しなかったため、このセッションは終了しました。( 詳細
についてはログ ビューアを参照してください。)
セキュア ゲートウェイにもう一度サインインします。セキュア ゲートウェイへの接続を
確立できない場合は、システム管理者に連絡してください。
nc.mac.app.1106
システム ログ
メッセージ
Network Connect をアップグレードしますか ?
原因
コンピュータのスタンドアロン Network Connect クライアントのバージョン (< バージョ
ン >) は、セキュア ゲートウェイのバージョン < バージョン >) と異なっています。
アクション
Network Connect のバージョンをアップグレードするには Upgrade をクリックします。ま
たは Cancel をクリックして接続を終了します。
Network Connect エラー メッセージ
„
705
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.mac.app.1108
システム ログ
メッセージ
コンピュータのネットワーク インターフェイスが変更されました。
原因
Network Connect セッションから独立して、コンピュータのネットワーク設定が変更され
ました。セキュア ゲートウェイで設定されたセキュリティ ポリシーにより、接続が終了
しました。システム設定環境に変更が加えられたか、ネットワーク インターフェースが起
動あるいは終了したか ( たとえば PPP、AirPort ワイヤレス )、DHCP リースが更新された
か、あるいは不正なエージェントが使用された可能性があります。
アクション
Network Connect セッションをもう一度確立するには、Reconnect をクリックします。ス
タンドアロン クライアントを使用している場合は、Network Connect サインイン ウィン
ドウにリダイレクトされます。Web 起動のクライアントを使用している場合、プログラム
は終了します。
nc.mac.app.1109
システム ログ
メッセージ
コンピュータのネットワーク インターフェースが変更されました。
原因
Network Connect セッションから独立して、コンピュータのネットワーク設定が変更され
ました。セキュア ゲートウェイで設定されたセキュリティ ポリシーにより、接続が終了
しました。システム設定環境に変更が加えられたか、ネットワーク インターフェースが起
動あるいは終了したか ( たとえば PPP、AirPort ワイヤレス )、DHCP リースが更新された
か、あるいは不正なエージェントが使用された可能性があります。
アクション
OK をクリックします。スタンドアロン クライアントを使用している場合は、Network
Connect サインイン ウィンドウにリダイレクトされます。Web 起動のクライアントを使用
している場合、プログラムは終了します。
nc.mac.app.1200
システム ログ
メッセージ
Network Connect がセキュア セッションを確立できません。
原因
Network Connect はトンネリング サービスを開始できません。インストール時に問題が発
生した可能性があります。( 詳細についてはログ ビューアを参照してください。)
アクション
Network Connect をもう一度インストールし、再びセキュア ゲートウェイにサインインし
ます。それでもセキュア ゲートウェイへの接続を確立できない場合、システム管理者に連
絡してください。
nc.mac.app.1202
システム ログ
メッセージ
706
Network Connect がセキュア セッションを確立できません。
原因
Network Connect はセキュア ゲートウェイで通信を起動し開始できましたが、不明な理由
によりトンネリング サービスを開始することができませんでした。( 詳細についてはログ
ビューアを参照してください。)
アクション
Network Connect をもう一度インストールし、再びセキュア ゲートウェイにサインインし
ます。それでもセキュア ゲートウェイへの接続を確立できない場合、システム管理者に連
絡してください。
„ Network Connect エラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.mac.app.1203
システム ログ
メッセージ
原因
アクション
セッションが予期せずに終了しました。
ソフトウェアのエラーにより Network Connect トンネリング サービスが終了しました。こ
れは 0 以外の終了コードが原因である可能性があり、通常ソフトウェアのクラッシュを
示しています。( 詳細についてはログ ビューアを参照してください。)
セキュア ゲートウェイにもう一度サインインしてください。それでもセキュア ゲート
ウェイへの接続を確立できない場合、システム管理者に連絡してください。
nc.mac.app.1204
システム ログ
メッセージ
原因
アクション
コンピュータのルーティング テーブルが変更されました。
Network Connect から独立して、コンピュータのルーティング テーブルが変更されまし
た。セキュア ゲートウェイで設定されたセキュリティ ポリシーにより、接続が終了しま
した。
Network Connect セッションをもう一度確立するには、Reconnect をクリックします。ス
タンドアロン クライアントを使用している場合は、Network Connect サインイン ウィン
ドウにリダイレクトされます。Web 起動のクライアントを使用している場合、プログラム
は終了します。
nc.mac.app.1205
システム ログ
メッセージ
原因
アクション
コンピュータのルーティング テーブルが変更されました。
Network Connect から独立して、コンピュータのルーティング テーブルが変更されまし
た。セキュア ゲートウェイで設定されたセキュリティ ポリシーにより、接続が終了しま
した。
OK をクリックします。スタンドアロン クライアントを使用している場合は、Network
Connect サインイン ウィンドウにリダイレクトされます。Web 起動のクライアントを使用
している場合、プログラムは終了します。
nc.mac.app.1206
システム ログ
メッセージ
原因
アクション
Network Connect がセキュア セッションを確立できません。
Network Connect トンネリング サービスは、この HTTPS プロキシ サーバーで認証するこ
とができません。( 詳細についてはログ ビューアを参照してください。)
セキュア ゲートウェイにもう一度サインインしてください。それでもセキュア ゲート
ウェイへの接続を確立できない場合、システム管理者に連絡してください。
Network Connect エラー メッセージ
„
707
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.mac.app.1207
システム ログ
メッセージ
原因
アクション
セッションがタイムアウトしました。
セキュア ゲートウェイで設定されたセッション時間の制限により、Network Connect セッ
ションがタイムアウトしました。
セキュア ゲートウェイにもう一度サインインしてください。それでもセキュア ゲート
ウェイへの接続を確立できない場合、システム管理者に連絡してください。
nc.mac.app.1400
システム ログ
メッセージ
原因
アクション
Network Connect が HTTPS プロキシを使用できませんでした。
System Preferences の Network ペインにある URL から 自動プロキシ構成 (PAC) のスクリ
プトをロードできませんでした。System Preferences のテキスト フィールドに URL に使う
べきでない文字列を入力した可能性があります。
System Preferences の PAC スクリプト URL の文字列を確認して、再びセキュア ゲート
ウェイにサインインします。それでもセキュア ゲートウェイへの接続を確立できない場
合、システム管理者に連絡してください。
nc.mac.app.1401
システム ログ
メッセージ
原因
アクション
Network Connect が HTTPS プロキシを使用できませんでした。
System Preferences の Network ペインにある URL から 自動プロキシ構成 (PAC) のスクリ
プトをロードできませんでした。DNS ( ドメイン名サービス ) のエラー、あるいはネット
ワークの接続性に関連したエラーが原因である可能性があります。
System Preferences の PAC スクリプト URL の文字列を確認して、再びセキュア ゲート
ウェイにサインインします。それでもセキュア ゲートウェイへの接続を確立できない場
合、システム管理者に連絡してください。
nc.mac.app.1402
システム ログ
メッセージ
原因
アクション
708
Network Connect が HTTPS プロキシを使用できませんでした。
System Preferences の Network ペインで指定した URL で、自動プロキシ構成 (PAC) スクリ
プトにエラーがある可能性があります。あるいは、自動プロキシ構成ファイルがテキスト
ファイルでないか、UTF-8 として読み取れないエンコード方式を使用している可能性があ
ります。
ネットワーク管理者に確認して、再びセキュア ゲートウェイにサインインしてみます。
„ Network Connect エラー メッセージ
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
nc.mac.app.1403
システム ログ
メッセージ
原因
アクション
Network Connect は HTTPS プロキシを使用できませんでした。
System Preferences の Network ペインで指定した URL で、自動プロキシ構成 (PAC) スクリ
プトにエラーがある可能性があります。自動プロキシ構成スクリプトが構文エラーを含ん
でいる可能性があります。
ネットワーク管理者に確認して、再びセキュア ゲートウェイにサインインしてみます。
nc.mac.app.1700
システム ログ
メッセージ
原因
アクション
Network Connect のアンインストールに失敗しました。
Network Connect のアンインストール中にエラーが発生しました。
セキュア ゲートウェイのアンインストールまたは再度サインインを行う前に、ネット
ワーク管理者に確認してください。
nc.mac.app.1701
システム ログ
メッセージ
原因
アクション
Network Connect のアップグレードが失敗しました。
ネットワーク エラーにより、スタンドアロン Network Connect アップグレード パッケー
ジをダウンロードできませんでした。
Network Connect を再度インストールする前に、ネットワーク管理者に確認してくだ
さい。
nc.mac.app.1804
システム ログ
メッセージ
セッションは間もなく終了します。
原因
セキュア ゲートウェイで設定されたセッションの時間制限により、残り時間が 0 になる
とセッションが時間切れになります。
アクション
OK をクリックします。セッションが終了したら、再度 Network Connect を起動するか、
セキュア ゲートウェイにサインインします。
nc.mac.app.1805
システム ログ
メッセージ
原因
アクション
セッションを延長しますか ?
セキュア ゲートウェイで設定されているセッション アイドル タイムアウト時間に近づい
ています。Network Connect セッションを延長しない場合、一定時間アイドル状態が続い
たことにより、残り時間 0 でセッションが終了します。
セッションを延長する場合は、Extend Session をクリックし、セキュア ゲートウェイへ
の接続を終了する場合は Sign Out をクリックします。または Do Nothing をクリックし
て、残り時間が 0 になった時点で接続を終了させます。
Network Connect エラー メッセージ
„
709
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
710
„ Network Connect エラー メッセージ
索引
数字
B
128 ビット暗号化 ..........................................................291
168 ビット暗号化 ..........................................................291
blockedIP MIB オブジェクト ..........................................340
blockedIPList MIB オブジェクト.....................................342
A
C
AcceptTPCookie、Netegrity Siteminder 用の設定 ..........415
Access Series FIPS
E メール クライアント ...........................................268
管理者カード
E メール クライアント ....................................269
管理 .................................................................270
セキュリティ...................................................270
説明 .................................................................268
初期化モード ..........................................................269
セキュリティ ワールド
E メール クライアント ....................................268
管理 .................................................................270
作成 .................................................................609
復旧 .................................................................610
セキュリティ ワールド鍵
定義 .................................................................268
動作可能モード ......................................................269
メンテナンス モード ..............................................269
Access Series 定義 ............................................................35
Access-Accept 認証 .........................................................387
Access-Challenge 認証 ....................................................387
Access-Reject 認証 ..........................................................387
Access-Request 認証 .......................................................387
ACE、RSA/ACE Server を参照
ACS
Assertion Consumer Service を参照
Active Directory
認証サーバー、Active Directory を参照
Administrators ロール ....................................................444
Advanced Preferences
ユーザーを参照
AES 暗号化のサポート...................................................385
AnonymousAuthentication 変数、説明...................641, 643
archiveFileTransferFailed MIB オブジェクト...................343
archiveServerLoginFailed MIB オブジェクト...................343
archiveServerUnreachable MIB オブジェクト.................343
ARP Ping Timeout、設定........................................312, 314
ARP コマンド.........................................................595, 596
ARP キャッシュ、設定 ..................................187, 313, 315
ARP コマンド.................................................................607
Assertion Consumer Service、定義 ................................109
Authorization Decision Statement、定義 ........................110
authServerName MIB オブジェクト ...............................340
CA 証明書
証明書、CA 証明書を参照
Cache Cleaner
カスタム ページ..............................................641, 642
E メール クライアント .............................................90
ロギング、無効にする............................................344
制約.........................................................................214
Cache-Control
No-Store ..................................................................510
CALL ディレクティブ、制限 ..........................................633
Cancel.thtml、説明 ........................................644, 645, 647
CASE ディレクティブ、説明..........................................632
CASQUE 認証 .................................................................392
CDP
CRL 配布点を参照
Central Manager の概要..................................................177
CertificateAuthentication 変数、説明..............................641
Certificates メニュー ......................................................293
cHTML
E メール クライアント ...........................................214
パスワード、マスク ...............................................309
ページ、有効にする ...............................................309
Citrix NFuse
E メール クライアント ...........................................145
サポート リスト......................................................145
設定 インポート
ACL とブックマーク、エクスポート ......................576
clusterConcurrentUsers MIB オブジェクト .....................341
Clustering タブ ...............................................................598
Connection Control ポリシー , Host Checker オプション
として選択 .................................................................359
cpuUtilNotify MIB オブジェクト .....................................343
CPU 使用率、表示..........................................................279
CRL...................................................................................33
証明書、失効リストを参照
CRL 配布点
CRL のダウンロード ...............................................302
説明...........................................................................74
CSR
インポート..............................................................297
作成.........................................................................296
証明書のインポート ...............................................297
CyberGatekeeper
強制.........................................................................360
統合...........................................................................81
索引
„
711
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
D
Defender.thtml、説明 .................................................... 644
DES/SDI 暗号化のサポート ............................................ 385
diskFullPercent MIB オブジェクト ................................. 341
DLL の用件、ホスト チェッカー
Host Checker を参照
クライアント インターフェイス
サーバー統合インターフェイス
DMZ
インターフェイス........................................... 311, 313
DNS
J-SAM の設定........................................................... 477
名前解決、設定 ...................................................... 311
ホスト名 リソースポリシーでの定義............. 502, 506
外部ポート ..................................................... 311, 313
DNS/Application サーバー.............................................. 219
DN 属性を指定............................................................... 304
DST、調整 ..................................................................... 555
E
ELSIF ディレクティブ、説明 ......................................... 632
END ディレクティブ、説明........................................... 632
ExceededConcurrent.thtml、説明 .................. 642, 645, 647
Exchange サーバーのサポート ...................................... 150
externalAuthServerUnreachable MIB オブジェクト........ 343
E メール クライアント
設定 ........................................................................ 565
リソース ポリシー.................................................. 565
F
fileName MIB オブジェクト ........................................... 341
FILTER ディレクティブ、制限 ....................................... 633
FinishLoad() 関数、説明................................................. 636
FIPS
Access Series FIPS を参照
FOREACH ループ、説明 ................................................ 633
FTP アーカイブ、定義 ................................................... 189
G
GeneratePin.thtml、説明........................................ 643, 647
GetCookieValue(sName) 関数、説明............................... 635
getTimezoneOffset() 関数、説明 .................................... 635
GET ディレクティブ、説明 ........................................... 631
GraceLoginUsed.thtml、説明.......................................... 644
gzip アクセラレータ ...................................................... 571
H
HMTL モバイル ページ
E メール クライアント ........................................... 214
Home 変数、説明 .......................................................... 641
Host Checker
ロギング、無効にする ........................................... 344
API を参照
Host Checker、クライアントインターフェース
Host Checker、サーバー統合インターフェース
Connection Control ポリシー.................................. 359
E メール クライアント ............................................. 80
アンインストール............................................... 89, 94
712
„ 索引
インストール
E メール クライアント ....................87, 92, 87, 92
ダウンロード...................................................370
ディレクトリ...............................................89, 94
有効にする ......................................................677
改善
E メール クライアント ......................................82
設定 .........................................................363, 366
カスタム ページ .............................................641, 642
クライアント インターフェース
E メール クライアント ......................................79
有効にする ................................................80, 360
サーバー統合インターフェース
有効にする ......................................................365
自動アップグレード ...............................................359
接続コントロール ポリシー .....................................82
チェック頻度 ..........................................................358
ポリシー ...................................................................81
領域レベル
E メール クライアント ......................................81
Host Checker......................................................85
システム レベル ..............................................358
制限の指定 ......................................................677
リソース ポリシー レベル...........................65, 85
ロール レベル............................................85, 678
実行 ....................................................................88, 93
制約 ........................................................................214
HP OpenView サポート..................................................190
HSM
Access Series FIPS を参照 .......................................268
HTML モバイル ページ
有効にする..............................................................308
I
i モード端末
携帯端末を参照
IE Explorer
JVM を実行................................................................76
IF ディレクティブ、説明...............................................632
IMAP サポート
MS Exchange...................................................147, 150
メール サーバー .....................................................565
InfoExpress
強制 ........................................................................360
統合 ..........................................................................81
Instant Virtual Extranet
IVE を参照
Instant Virtual System.....................................................217
Internet Mail Application Protocol サポート ...................147
INTERPOLATE ディレクティブ、制限............................633
IP アドレス
リソース ポリシーでの定義 ポート 501, 502, 506, 539
Network Connect の割り当て..................................123
解決 ................................................................187, 316
サインインの制限...........................................672, 678
制限 ................................672, 673, 675, 676, 677, 678
設定 ................................................................311, 314
ユーザー要件の指定 .................................................45
外部ポート......................................................311, 313
索引
IPEntry MIB オブジェクト..............................................342
ipEntry MIB オブジェクト..............................................342
ipIndex MIB オブジェクト .............................................342
ipValue MIB オブジェクト ..............................................342
IP エイリアス
定義 ........................................................................186
IP のエイリアス、アクティブにする仮想ポート
を参照 .......................................................................71
IVE
CASQUE 認証 ..........................................................388
LAN 内、図 ...............................................................32
初期設定 ...................................................................35
設定(全般的な手順)...............................................32
認識のために RADIUS を設定する..........................393
パスワード オプション...........................................375
パスワード管理 ......................................................375
定義 ..........................................................................31
IVE のアップグレード....................................................570
IVE のシャットダウン....................................................569
IVE のリブート...............................................................569
IVE の再起動 ..................................................................569
IVE ローカル サーバー
認証サーバー、ローカル認証を参照
iveAppletHits MIB オブジェクト ....................................341
iveConcurrentUsers MIB オブジェクト...........................341
iveCpuUtil MIB オブジェクト .........................................341
iveDiskFull MIB オブジェクト ........................................343
iveDiskNearlyFull MIB オブジェクト ..............................343
iveFileHits MIB オブジェクト .........................................341
iveLogFull MIB オブジェクト..........................................342
iveLogNearlyFull MIB オブジェクト ...............................342
iveMaxConcurrentUsersSignedIn MIB オブジェクト.......342
iveMemoryUtil MIB オブジェクト ..................................341
iveNCHits MIB オブジェクト..........................................341
iveReboot MIB オブジェクト..........................................343
iveRestart MIB オブジェクト..........................................343
iveSAMHits MIB オブジェクト........................................341
iveShutdown MIB オブジェクト .....................................343
iveStart MIB オブジェクト .............................................343
iveSwapUtil MIB オブジェクト .......................................341
ivetermHits MIB オブジェクト .......................................341
iveTooManyFailedLoginAttempts MIB オブジェクト .......342
iveTotalHits MIB オブジェクト .......................................341
iveWebHits MIB オブジェクト........................................341
IVS ..................................................................................217
仮想システム ..........................................................234
サインイン..............................................................236
プロビジョニング...................................................225
IVS 設定ワークシート ....................................................223
IVS 設定
インポート..............................................................249
エクスポート ..........................................................249
J
J.E.D.I.
エンドポイント セキュリティの概要を参照
Java Communications Protocol、有効にする..................307
Java アプレット
接続性の指定 ..........................................512, 513, 514
Java キャッシング ポリシー...................................512, 514
Java コード署名ポリシー ...............................................513
Java 仮想マシン
JVM を参照
JavaSoft Certificate............................................................73
Java アプレット
アプレットを参照
Java プラグインのキャッシュ ..........................................76
JCP、有効にする ............................................................307
J-SAM
Secure Application Manager を参照
Juniper Endpoint Defense Initiative
エンドポイント防御を参照
Juniper インストーラ サービス、説明 ...........................572
JVM アプレットの署名 .....................................................76
サポートされていないバージョンの使用 ...............158
要件
J-SAM ...............................................................143
JVM の要件 .....................................................................131
K
Kiosk.zip、説明 ..............................................................647
L
L7 ヘルス チェック URL.................................................181
ヘルス チェック URL .....................................................181
LAN、ネットワーク設定の変更 .............................311, 313
LDAP サーバー
認証サーバー、LDAP を参照
Linux サポート
J-SAM...............................................................136, 141
localhost
ホスト名の解決...............................................136, 141
リモートサーバーの解決 ........................................136
logDescription MIB オブジェクト...................................342
logFullPercent MIB オブジェクト....................................340
logID MIB オブジェクト .................................................342
Login() 関数、説明 .........................................................635
Login.cgi、説明 ..............................................................637
LoginPage.thtml、カスタマイズ .....................................634
LoginPage.thtml、説明 ...........................................645, 647
LoginPageErrorCode 変数、説明 ....................639, 640, 641
LoginPageErrorMessage 変数、説明 ...............639, 640, 641
logMessageTrap MIB オブジェクト.................................343
logName MIB オブジェクト ...........................................341
Logout.thtml、説明 ........................................641, 645, 647
logType MIB オブジェクト .............................................342
M
Macintosh サポート
J-SAM...............................................................136, 141
MAPI サポート .......................................................147, 148
E メール クライアント ...........................................143
MS Exchange ...................................................147, 150
図 ............................................................................144
McAfee
強制.........................................................................360
統合...........................................................................81
索引
„
713
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
Meeting Series
セキュア ミーティングを参照
meetingCount MIB オブジェクト ................................... 341
meetingHits MIB オブジェクト ...................................... 341
meetingLimit MIB オブジェクト .................................... 343
meetingUserCount MIB オブジェクト ............................ 341
meetingUserLimit MIB オブジェクト ............................. 343
memUtilNotify MIB オブジェクト .................................. 343
MIB の概要..................................................................... 190
Microsoft Authenticode Certificate .................................... 76
Microsoft JVM、JVM を参照
Mozilla、サポート、Safari、サポート ........................... 292
MS Exchange
操作 ................................................................ 593, 597
MS Exchange サポート
MS Exchange................................................... 147, 148
Windows レジストリの更新 ................................... 143
図 ............................................................................ 143
MTU、設定............................................................. 312, 314
N
NCP、有効にする .......................................................... 307
Neoteris サポート ........................................................... xiii
Netscape
JVM を実行 Netscape ................................................ 76
Netscape Messenger サポート ................................ 147
Web サーバー ......................................................... 293
メール サポート ..................................................... 149
Network Communications Protocol、有効にする........... 307
Network Connect
E メール クライアント ............... 37, 44, 109, 121, 160
エクスポートリソースポリシー ....................... 62, 556
オプション、指定................................................... 495
使用 ........................................................................ 122
図 ............................................................................ 124
ロール....................................................................... 58
制約 ........................................................................ 214
Network Time Protocol、使用 ........................................ 281
New PIN モードのサポート ........................................... 384
NewPin.thtml、説明....................................... 643, 645, 647
Next Token モードのサポート ....................................... 384
NextToken.thtml、説明 .................................. 643, 645, 647
NHC 統合
Host Checker API を参照
Node Monitor タブ ......................................................... 598
nslookup コマンド ................................................. 595, 596
NT ドメイン
認証サーバー、Active Directory を参照
NTLM、設定................................................................... 373
NTP、使用 ..................................................................... 281
O
Optimized NCP、有効にする ......................................... 307
Oracle サポート ............................................................. 158
Outlook Express サポート.............................................. 147
Outlook サポート ........................................... 147, 148, 149
OWA サポート................................................................ 150
714
„ 索引
P
PassGo Defender RADIUS Server、設定 .........................388
PasswordChange.thtml、説明.........................................645
PasswordExpiration.thtml、説明 ....................................645
PDA
携帯端末を参照
PERL ディレクティブ、制限..........................................633
PING コマンド................................................595, 596, 607
PKI 定義 ...........................................................................69
PleaseWait.thtml、説明 ..........................................646, 647
Pocket PC
カスタム サインイン ページ ..................634, 646, 648
Pocket PC 端末
携帯端末を参照
.......................................................................................207
POP クライアント
MS Exchange...........................................147, 148, 150
POP.........................................................................150
メール サーバー .....................................................565
Post Office Protocol
POP を参照
POST プロファイル
SAML、POST プロファイルを参照
Pragma: No-Cache (PNC) ................................................510
productName MIB オブジェクト ....................................340
productVersion MIB オブジェクト..................................340
R
Radius
認証サーバー、RADIUS を参照
RAWPERL ディレクティブ、制限 ..................................633
Read-Only Administrators ロール ...................................444
realm
SiteMinder、定義 ....................................................407
サインイン ポリシーへのマッピング .....................350
設定 ................................................................427, 671
管理 ........................................................................446
RealmList 変数、説明.....................................................640
recallLastRealmUsed() 関数、説明..................................636
Routes タブ ....................................................................316
Rpc_Binding_Order レジストリの設定...........................143
RSA ACE/Server
ホスト名の解決 ........................................................50
認証サーバー、ACE/Server を参照
RSA SoftID クライアント、カスタム ページ .................645
S
SAM
セキュア アプリケーション マネージャを参照
SAML ..............................................................................115
E メール クライアント ...................................100, 109
制限 ................................................................110, 114
設定 ........................................................................115
POST プロファイル
設定 .................................................................114
定義 .................................................................109
設定 .................................................................529
SSO
定義 .................................................................109
索引
SSO トランザクション
設定 .................................................................114
SSO プロファイル
設定 .................................................................115
URL
設定 .................................................................114
アーティファクト プロファイル
設定 .........................................................526, 114
定義 .................................................................111
アクセス コントロール トランザクション
設定 .........................................................114, 531
アクセス コントロールの承認
定義 .................................................................110
アクセス コントロール ポリシー
定義 .................................................................113
信頼関係、確立 ......................................................114
信頼関係の作成 ......................................................295
発行者
設定 .................................................................115
SAML オーソリティ、定義.............................................109
SAML レシーバ
依存側を参照
SAML レスポンダ
SAML オーソリティを参照
samples.zip、説明 ..........................................................633
SCP, システム スナップショット ...................................607
sdconf.rec、生成 ............................................................386
secid_pinserr variable 変数、説明 ..................................643
Secure Application Manager
ロール.......................................................................58
J-SAM
カスタム ページ ..............................................641
設定タスク ..............................................477, 478
アプリケーション、W-SAM の設定 ................472, 474
アプリケーション、指定 ................................473, 475
インストーラ ..........................................................480
オプション、指定...........................................479, 480
サーバー、指定 ......................................................473
自動アップグレード ...............................................479
その他の J-SAM オプション ....................................474
ブックマーク、作成 ...............................................478
ホスト、W-SAM の設定 ..................................472, 474
ランチャ .................................................................480
Secure Meeting 推奨事項................................................173
SecurID トークン
認証サーバー、ACE/Server、SecurID を参照
Security Assertion Markup Language
SAML を参照
SelectRole.thtml、説明 ...........................................642, 646
Server Certificate タブ ....................................................293
SetLastRealm(sValue) 関数、説明 ...................................635
SET ディレクティブ、説明 ............................................631
ShowSystemPin.thtml、説明 ..................................643, 647
signedInMailUsers MIB オブジェクト.............................340
signedInWebUsers MIB オブジェクト ............................340
Simple Mail Transfer Protocol、SMTP メール サーバを参照
SM-NewPinSelect.thtml、説明........................................644
SM-NewPinSystem.thtml、説明......................................644
SM-NewUserPin.thtml、説明 ..........................................644
SM-NextToken.thtml、説明 ............................................644
SMSESSION クッキー、定義 ..........................................401
SMTP メール サーバ
MS Exchange ...........................................................147
サポート .................................................................147
有効にする..............................................................565
SNMP
MS Exchange ...........................................................190
エージェントとしての IVE の監視..........................339
設定、指定..............................................................339
SoftID.zip、説明 .............................................................645
Source IP ........................................................................454
Source IP、エイリアス...................................................454
Source IP、ロールベース ...............................................454
SSH
ブックマーク、作成 ...............................................481
SSH オプション、指定 ...........................................482, 488
SSL
アクセラレータ.......................................................571
使用できる暗号化の強度 ........................................291
使用できるバージョン............................................291
ハンドシェーク
管理 .................................................................268
負荷の軽減.......................................................571
SSL.thtml、説明 .............................................642, 646, 648
SSO
参照
リモート SSO
SAML
認証サーバー、SiteMinder
Sun JVM
JVM を参照
swapUtilNotify MIB オブジェクト...................................344
SWITCH ディレクティブ、説明 .....................................632
Sygate
Security Agent
強制 .................................................................360
統合 ...................................................................81
Enforcement API
強制 .................................................................360
統合 ...................................................................81
syslog サーバー、設定 ...................................................337
T
TAGS ディレクティブ、制限 ..........................................633
TCP ダンプ ファイル(デバッグ用)..............................595
telnet
ブックマーク、作成 ...............................................481
telnet オプション、指定 ........................................482, 488
Telnet/SSH
エクスポート リソース ポリシー .............................62
ロール .......................................................................58
制約.........................................................................214
THTML、カスタム ページの作成に使用 ..........................55
TLS
使用できるバージョン............................................291
traceroute コマンド ........................................595, 596, 607
tz_offset 変数、説明...............................................635, 637
索引
„
715
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
U
UDP ポート 6543 ........................................................... 598
UNIX/NFS ファイル
エクスポートリソースポリシー ............................. 542
定義 ................................................................. 539
UNIX リソース
ブックマーク.......................................................... 470
URL
アクセス統計情報................................................... 344
サインイン URL、定義 ................................... 349, 350
USER 変数
UNIX ブックマーク................................................. 470
Web ブックマーク.................................................. 462
Windows ブックマーク .......................................... 469
USE ディレクティブ、制限 ........................................... 633
V
VLAN ...................................................................... 230, 235
ポート定義 ............................................................. 230
ルート テーブル ..................................................... 232
削除 ........................................................................ 233
W
W3C ログ ファイル フォーマット ................................. 338
Web
アクセス コントロール .................. 507, 556, 558, 562
エクスポートリソースポリシー ............... 61, 505, 506
サーバー アクセス コントロール ... 507, 556, 558, 562
ピーク利用状況統計情報 ........................................ 344
ブックマーク、作成 ....... 462, 463, 469, 471, 481, 482
プロキシ、指定 ...................................................... 534
問題のブラウジング ............................................... 593
ロール設定 ............................................................... 58
Web エージェント、定義 .............................................. 405
Web コンソール
説明 .......................................................................... 35
ホームページ .......................................................... 177
Web プロキシ、ユーザー PC の設定 ............................. 478
WELF ログ ファイル フォーマット ............................... 338
WHILE ループ、説明 ..................................................... 633
Windows
証明書..................................................................... 541
Windows ファイル
エクスポートリソースポリシー ..................... 539, 540
Windows リソース
ブックマーク .......................................................... 469
Windows レジストリの変更 .......................................... 143
WINS
サーバー、設定 ...................................................... 311
外部ポート ..................................................... 311, 313
X
XML
ネームスペース ...................................................... 199
パスワード ............................................................. 198
XML Import/Export
ユーザー ロール ............................................. 578, 586
インスタンス ファイル .......................................... 196
インスタンス要素................................................... 196
716
„ 索引
インポート モード..................................................579
エクスポートリソースポリシー .....................578, 587
開始タグ .................................................................196
空タグ.....................................................................197
サインインページ...........................................577, 585
参照整合性..............................................................199
委任管理ロール ..............................................578, 586
終了タグ .................................................................196
ネットワーク設定...................................................576
マッピング、XML インスタンスから UI へ ............200
要素の順序..............................................................199
領域 ................................................................577, 586
ローカル .........................................................578, 587
ローカル ユーザー アカウント.......................578, 587
処理命令 .................................................................196
領域 ........................................................................586
XML インスタンス ファイル
検証 ........................................................................203
XML コード サンプル.....................................................197
XML 属性........................................................................198
Z
Zone Labs
強制 ........................................................................360
統合 ..........................................................................81
あ
アーカイブ
スケジュールリング ...............................................588
定義 ........................................................................189
アーティファクト
SAML を参照
アクション、リソース ポリシー コンポーネント ...........63
アクセス コントロール
Web リソース .................................507, 556, 558, 562
リスト(ACL)
インポート ......................................................578
ローカル ユーザー アカウント........................576
アクセス管理
E メールクライアント ..............................................37
制限、指定..............................................................454
アクセストンネル
認証前アクセス トンネルを参照
アクセラレータ カード
SSL ..........................................................................571
gzip .........................................................................571
アクティブ / アクティブ
ACE/Server のサポート ...........................................385
アクティブ / パッシブ ............................................180
アップグレード ......................................................324
クラスタ .................................................................181
再起動、リブート、シャットダウン ......................569
削除 ........................................................................328
参加 ........................................................................320
システム データ .....................................................569
状態の同期化 ..........................................................182
初期化.............................................................179, 319
設定 ........................................................................318
定義されたステータス............................................325
索引
同期化 .............................................................179, 182
パスワード..............................................................182
プロパティの変更...........................................327, 328
ホスト名 .................................................................310
ロギング .................................................................183
管理 ........................................................................323
設定 ........................................................................178
アクティブ ユーザー、監視...........................................282
アサート側
SAML オーソリティを参照
アップグレード時のゼロ ダウンタイム機能の概要.......177
アプリケーション キャッシュ、削除 ........................80, 90
アプレット
ブラウジング オプション、設定 ............................465
暗号化
パスワード..............................................................198
強度 ........................................................................291
説明 ..........................................................................32
暗号化モジュール
定義 ........................................................................268
Access Series FIPS を参照
アンチウィルス ソフトウェア
現在のバージョンのチェック.................................362
い
依存側、定義 .................................................................109
一時的データ、定義 ......................................................182
一時ファイル、削除 ..................................................80, 90
イベント モニタ、表示..................................................280
インスタンス、定義 ......................................................411
インスタント ミーティング
Secure Meeting、インスタント ミーティングを参照
インストーラ、ダウンロード ........................................572
インストール
サポートへの問い合わせ ......................................... xiii
インフォ ログ メッセージ、定義 ..................................190
インポート .....................................................................249
クイック .................................................................201
標準 ........................................................................201
フル ........................................................................202
インポート モード .........................................................579
Full Import ..............................................................579
Quick Import ...........................................................579
Standard Import モード ..........................................579
標準 ........................................................................201
フル ........................................................................202
う
ウィルス署名、期間のチェック ....................................362
え
永続的データ、定義 ......................................................182
エイリアシング、ソース IP アドレス............................454
エージェント、定義 ......................................................405
エクスポート .................................................................249
エクスポートリソースポリシー
評価...........................................................................63
E メール クライアント .............................................61
Java .........................................................512, 513, 514
Network Connect...............................................62, 556
SAM.........................................................................546
Telnet/SSH .................................................................62
UNIX/NFS ファイル .........................................539, 542
Web...........................................................61, 505, 506
Windows ファイル..........................................539, 540
インポート..............................................................578
概要...........................................................................62
管理.........................................................................447
キャッシング ..........................................................508
コード化 .................................................................544
サーバー .................................................................501
セキュア アプリケーション マネージャ...................62
セキュア ミーティング.............................................62
セキュアミーティング............................................554
設定.................................................505, 546, 549, 552
選択的な再書き込み ...............................................516
ターミナル サービス ................................................62
定義.....................................................................33, 38
定義済みポリシー .....................................................33
データ転送プロキシ ...............................................517
ネットワーク コネクト.............................................62
ファイル ...........................................................62, 538
リモート SSO ..........................................................523
ローカル ユーザー アカウント .......................576, 578
ローカルユーザー アカウント ................................587
エラー メッセージ、変更 ..............................................353
エンドポイント防御
Cache Cleaner を参照
E メール クライアント .............................................79
Host Checker を参照
お
応答、SiteMinder、定義.................................................408
か
開始タグ
XML.........................................................................196
改善
E メール クライアント .............................................82
設定.................................................................363, 366
外部ポート .....................................................................185
設定.........................................................................313
概要
MIB オブジェクト ...................................................340
E メール クライアント ...........................................147
エクスポートリソースポリシー ...............................62
制約.........................................................................214
鍵 ...................................................................................293
スマート カードを参照
秘密、秘密鍵を参照
カスタマサポート ........................................................... xiv
カスタム NHC 統合
Host Checker API を参照
カスタムの式、使用.......................................................431
索引
„
717
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
仮想
仮想環境、要件の指定 ............................................. 79
ホスト名
設定 ................................................................. 310
ユーザー セッション、有効にする ........................ 592
仮想システム
IVS .......................................................................... 234
仮想ポート..................................................................... 237
証明書との関連付け ............................................... 296
定義 .......................................................................... 71
有効にする ..................................................... 186, 312
仮想ホスト名
設定 ........................................................................ 518
ホスト名を参照
稼動モード、Access Series FIPS..................................... 269
加入者
アクセスの停止 ...................................................... 251
アクセスを禁止 ...................................................... 234
監視 ........................................................................ 251
トポロジ ................................................................. 222
加入者イベントのロギング ........................................... 251
加入者の監視 ................................................................. 251
空タグ
XML ........................................................................ 197
管理者
上級管理者アカウント、作成................................. 607
ユーザー管理者 ...................................................... 373
管理者カード
Access Series FIPS、管理者カードを参照
作成 ........................................................................ 608
管理者領域............................................................. 577, 586
管理者ロール
ロールも参照
定義 .................................................................... 57, 78
設定 ........................................................................ 439
管理情報ベースの概要................................................... 190
き
規則
設定 .......................................................................... 64
定義 .......................................................................... 81
SiteMinder、定義 .................................................... 408
キャッシュ管理 ...................................................... 509
設定 ........................................................................ 432
リソース ポリシー コンポーネント ......................... 63
基本的な認証の仲介、設定 ........................................... 291
キャッシュ
Java プラグイン キャッシュ ..................................... 76
規則 ........................................................................ 509
クリア................................................................. 80, 90
ヘッダ..................................................................... 510
キャッシング リソースポリシー ................................... 508
共通する部分
リソース ポリシーでの定義 ポート ....................... 539
718
„ 索引
く
クイック インポート .....................................................201
クッキー
URL に含める..........................................................292
永続、有効にする...................................................467
セッション終了時に削除 ........................................292
クッキー ドメイン、定義 ..............................................413
クッキー プロバイダ ドメイン、定義 ...........................413
クライアントサイド Java アプレット
接続性の指定 ..........................................512, 513, 514
クライアントの種類
携帯端末を参照
クライアントレスの VPN、概要 ....................................121
クラスタ
アクティブ / アクティブ クラスタ .........................181
アクティブ / アクティブ構成..................................182
配備の概要..............................................................180
グラフ
XML 出力 ................................................................669
グラフ、設定 .................................................................279
クリティカル ログ メッセージ、定義 ...........................190
グループ通信モニタリング............................................598
グループ メンバーシップ、LDAP ..................................431
け
携帯端末
制約 ........................................................................215
E メール クライアント ...........................................214
有効にする......................................................215, 308
ゲートウェイ
設定 ................................................................311, 314
外部ポート......................................................311, 313
検証................................................................................203
こ
公開鍵インフラストラクチャ、定義 ...............................69
高機能電話機
携帯端末を参照
コード署名証明書
証明書、アプレット証明書を参照
コマンド、UNIX.....................................................595, 596
コンソール
シリアル
シリアル コンソールを参照
管理者
Web コンソールを参照
コンテンツ キャッシング規則 .......................................509
コンパクト HTML
パスワードのマスク ...............................................309
コンパクト HTML におけるパスワードのマスク...........309
コンパクト HTML ページ
有効にする..............................................................309
E メール クライアント ...........................................214
索引
さ
サーバー
エクスポートリソースポリシー .............................501
データベース、認証用..............................................50
認証サーバーも参照
リソース ポリシーでの定義 ポート........................539
サーバー カタログ、設定 ..............................................432
サービス パッケージ
インストール ..........................................................570
クラスタにインストール ........................................324
ダウンロード ..........................................................281
再書き込み
データ転送プロキシ オプション ............................157
リモート SSO オプション...............523, 526, 529, 531
データ転送プロキシ オプション ............................516
最大送信単位、設定 ..............................................312, 314
サインイン.....................................................................236
オプション
ユーザーの制限 .......672, 673, 675, 676, 677, 678
サインイン URL .....................................................577, 586
サインイン プロパティ..................................................235
サインインの制限
ユーザー .................................................................675
サインインページ ..................................................577, 585
カスタマイズ ..........................................................634
カスタム ...................................................................54
サインインポリシーへのマッピング ..............349, 351
定義 ..................................................................54, 352
標準 ..........................................................................54
サインインポリシー
順序の変更..............................................................352
設定 ................................................................349, 350
定義 ............................................................349, 34, 53
定義済みポリシー.....................................................34
評価 ..................................................................54, 352
無効にする..............................................................352
有効にする..............................................................352
削除
設定 ........................................................................202
サポート
ミーティング
Secure Meeting、インスタント ミーティングを参
照
算術演算子、定義 ..........................................................632
参照整合性 .....................................................................199
し
識別名属性、指定 ..........................................................304
時刻と日付、設定 ..........................................................281
システム スナップショット...........................................598
システム データ.............................................................569
システム管理タスク、委任............................................444
質問、サポートの連絡先 ................................................ xiii
自動アップグレード
Secure Application Manager ....................................479
自動起動
Network Connect.....................................................495
自動許可
アプリケーション サーバー(SAM).......................479
ブックマーク、Web ...............................................462
ブックマーク、ファイル ........................................470
順序
要素.........................................................................199
委任管理ロール
ローカル ユーザー アカウント .......................586, 578
障害検出ソフトウェア、要件の指定 ...............................79
上級管理者アカウント、作成 ........................................607
条件演算子、説明 ..........................................................632
条件テスト、作成 ..........................................................632
詳細規則
規則を参照
状態の同期化 .................................................................182
委任管理
管理者ロールを参照
E メールクライアント ......................................78, 439
証明書
コード署名証明書 .....................................................69
CA 証明書
CRL チェックの有効化.....................................302
IVE へのアップロード .....................................298
検証 .................................................................304
更新 .................................................................300
詳細の表示.......................................................306
定義 ...................................................................69
CRL
詳細の表示.......................................................300
有効にする.......................................................302
JavaSoft .....................................................................73
MS Authenticode .......................................................76
Windows .................................................................541
Windows サポート ....................................................76
J-SAM ...............................................................136
アプレット証明書
定義 ...................................................................69
インポート.......................................................306
階層
説明 .............................................................69, 73
定義 ...................................................................72
鍵
既存のインポート............................................294
既存のエクスポート ........................................293
既存のインポート............................................293
クライアントサイド証明書
SiteMinder........................................................403
定義 ...................................................................69
検証...........................................................................33
コード署名証明書
証明書、アプレット証明書を参照...................153
サーバー
認証サーバー、証明書サーバーを参照
定義 ...................................................................72
サーバー証明書
CSR のインポート............................................297
CSR の作成 ......................................................296
仮想ポートとの関連付け .................................295
既存のインポート............................................293
既存のエクスポート ........................................293
索引
„
719
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
更新版のインポート........................................ 294
ダウンロード................................................... 295
定義 ................................................................... 69
複数証明書、有効にする............................. 70, 71
既存のインポート ........................................... 294
サポートされる形式 ............................... 293, 297, 305
自己署名 ................................................................... 70
失効リスト ............................................................... 33
説明 ................................................................... 73
定義 ................................................................... 72
署名要求
インポート ...................................................... 297
作成 ................................................................. 296
証明書のインポート ........................................ 297
制限、設定 ......................................................... 38, 39
セキュリティ要件、定義 .......................................... 47
属性、設定 ............................................................. 431
中間
定義 ................................................................... 72
取り消し
定義 ................................................................... 72
他のアプリケーションへ転送................................. 160
ワイルドカード証明書
定義 ................................................................. 295
証明書 Windows サポート
J-SAM ...................................................................... 141
証明書失効リスト
証明書、失効リストを参照
証明書チェーン
証明書、中間証明書を参照
中間証明書
証明書、中間証明書を参照
終了タグ
XML ........................................................................ 196
初期化モード、Access Series FIPS ................................. 269
処理能力量、表示.......................................................... 280
シリアル コンソール
Access Series FIPS マシンの初期化......................... 268
システム タスクの使用 ... 67, 277, 347, 425, 449, 499,
567, 601
シングル サインオン
参照
SAML
リモート SSO
す
スナップショット.......................................................... 607
スナップショット ファイル(デバッグ用)................... 594
スナップショット、作成 ............................................... 589
スパイウェア、要件の指定 ............................................. 80
スプリットトンネル オプション ................................... 495
スマート カード
Access Series FIPS、管理者カードを参照
スマート キャッシング.................................................. 509
スレーブ ACE/Server のサポート ................................... 385
720
„ 索引
せ
制限
ユーザー サインイン ......................................676, 675
正式フォーマット
E メールクライアント ...501, 506, 539, 546, 549, 552,
556
静的ルーティング ..........................................................316
静的ルート.....................................................................232
セキュア E メール クライアント
Email Client を参照
セキュア アプリケーション マネージャ
E メール クライアント ...........................................131
W-SAM
E メール クライアント ....................................131
定義 .................................................................131
ActiveX コントロール ......................................131
使用 .................................................................132
ランチャ ..........................................................132
J-SAM
E メール クライアント ....................................135
定義 .................................................................131
JVM の要件 ......................................................131
使用 .................................................................135
図.....................................................................136
W-SAM
図.....................................................................133
エクスポート リソース ポリシー .............................62
バージョン..............................................................131
セキュア ミーティング
ミーティングの削除 ...............................................283
ロギング、無効にする............................................344
監視 ........................................................................283
色深度、設定 ..........................................................555
通知 E メール
設定 .................................................................491
有効にする ......................................................310
有効にする..............................................................490
E メール クライアント ...........................................164
URL .........................................................................168
アクティビティの表示............................................279
インスタント ミーティング ...................................167
エクスポート リソースポリシー ..............................62
エラー メッセージ..................................................173
サポート ミーティング
セキュア ミーティング、インスタント
ミーティングを参照
参加 ........................................................................168
通知 E メール
E メール アドレスの指定 ................................168
説明 .................................................................167
トラブルシューティング ........................................172
ミーティング ビューア...........................................169
ロール
コンダクタ ......................................................170
コントローラ...................................................171
作成者..............................................................165
参加者..............................................................169
リモート コントローラ ...................................492
ログ ........................................................................174
文字列メッセージ...................................................169
索引
セキュアミーティング
E メール通知
E メール サーバの有効化 ................................554
エクスポートリソースポリシー .............................554
ロール.......................................................................58
制約 ........................................................................214
セキュリティ ワールド
Access Series FIPS、セキュリティ ワールドを参照
E メール クライアント ...........................................268
クラスタリング ......................................................184
セキュリティ オプション
設定 ........................................................................291
セッション
永続、設定..............................................................456
オプション、指定...................................................455
終了 ........................................................................282
タイムアウト、アイドル ................................455, 457
タイムアウト、最大長............................................455
タイムアウトの警告 ...............................................455
タイムアウト残り時間............................................455
タイムアウト、アイドル ........................................554
タイムアウト、最大長............................................554
ローミング、設定...................................................456
セッション タイムアウト
Cache Cleaner ヘの影響 ............................................94
設定 ..........................................................................38
セッション パラメータ、設定 .........................................58
セッション ロール、定義 ................................................58
接続コントロール ポリシー、Host Checker オプションと
して選択.......................................................................82
接続状態、テスト ..........................................................569
設定、システムのアップグレード.................................. xiii
設定、インポート
ACL とブックマーク、インポート..........................578
許容能力、表示 ......................................................279
システム設定ファイル............................................574
システム データの説明...........................................182
設定 ........................................................................569
設定、エクスポート ...............................................574
ソフトウェア、インストール.................................570
データ、アーカイブ ...............................................588
デバッグ .................................593, 594, 595, 596, 597
統計情報、表示 ......................................................344
ローカル ユーザー アカウント、インポート .........576
ローカル ユーザー アカウント、エクスポート......575
選択的な再書き込み ......................................................516
そ
ソース IP アドレス.........................................................237
ソース IP の制限、設定 .......................................38, 39, 45
属性
XML.........................................................................198
属性、設定.....................................................................431
属性サーバー
認証サーバーを参照
属性ステートメント、制限............................................110
ソフトウェア
インストール ..........................................................570
クラスタにインストール ........................................324
ダウンロード ..........................................................281
た
ターミナル サービス
エクスポートリソースポリシー ...............................62
タイムアウト
アイドル セッション ......................................554, 455
アイドル セッション、アプリケーション アクティビ
ティ .....................................................................457
警告、設定..............................................................455
最長セッション.......................................................455
セッション タイムアウトを参照
残り時間、設定.......................................................455
最長セッション.......................................................554
ダッシュボード
E メール クライアント ...........................................177
XML 出力.................................................................669
設定.........................................................................279
タブ
ルート .....................................................................316
冗長性、アクティブ / パッシブ モード..........................180
ち
チャット ウィンドウ
Secure Meeting、文字列メッセージを参照
仲介
選択的な再書き込み ...............................................516
リモート SSO ..................................523, 526, 529, 531
て
定義されたアイコン、注意............................................. xiii
定義された注意事項のアイコン...................................... xiii
定義されたテキストの表記上の規則 .............................. xiii
定義された表記上の規則
アイコン .................................................................. xiii
テキスト .................................................................. xiii
ディレクティブ、定義 ...................................................630
ディレクトリ サーバー
認証サーバーも参照
定義...........................................................................51
データ転送プロキシ
説明.........................................................................157
データベース、認証用 .....................................................50
データ転送プロキシ
アプリケーションの指定 ........................................516
エクスポートリソースポリシー .............................517
適格なロール、定義.........................................................52
デジタル証明書
定義...........................................................................69
証明書を参照
デバッグ
TCP ダンプ ファイル ..............................................594
UNIX コマンド ........................................................596
スナップショット ファイル....................................594
トレース ファイル ..................................................593
UNIX コマンド ........................................................596
リモート .................................................................597
転送ポリシー、概要.......................................................160
テンプレート、ユーザー設定可能な UI ...........................55
テンプレート ツールキット言語、説明.........................630
索引
„
721
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
と
統計情報、表示 ............................................................. 344
動的ポリシーの評価 .................................. 43, 82, 359, 428
トラップ
設定 ........................................................................ 340
定義 ........................................................................ 190
トラブルシューティング
ポリシーのトレース ....................................... 591, 207
ユーザー セッションのシミュレーション.............. 592
トレース ファイル(デバッグ用)................................. 593
な
内部ポート..................................................................... 185
設定 ........................................................................ 311
内部ポート、設定.......................................................... 185
夏時間、調整 ................................................................. 555
に
認証
サポートされるサーバー.......................................... 50
認証サーバー
定義 .............................................................. 33, 37, 49
Active Directory
設定 ......................................................... 373, 394
ACE/Server
E メエルクライアント ..................................... 384
SecurID トークン............................................. 401
ACE/Agent ファイルの生成 ............................. 386
SecurID 認証 .................................................... 402
エージェント設定ファイル ............................. 386
カスタム ページ .............................................. 643
設定 ................................................................. 385
LDAP
設定 ......................................................... 373, 380
属性の設定 ...................................................... 431
NIS サーバー
設定 ................................................................. 383
RADIUS ................................................................... 387
ACE/Server プロトコル.................................... 385
属性の設定 ...................................................... 431
SiteMinder
シングル サインオン....................................... 101
制約 ................................................................. 214
カスタム サインイン ページ ................... 637, 644
サポートされるバージョン ............................. 402
設定 ................................................................. 401
証明書サーバー
LDAP
認証 .......................................................... 422
設定 ................................................................. 421
定義 ................................................................... 70
設定(全般的な手順)............................................. 374
定義済みサーバー..................................................... 33
ディレクトリ サーバー、定義.................................. 37
匿名サーバー
E メールクライアント ..................................... 399
設定 ......................................................... 399, 423
領域へのマッピング ............................................... 427
722
„ 索引
ローカル認証 ..........................................................375
設定 .........................................................374, 423
認証ステートメント、定義............................................109
認証設定
ユーザー .................................672, 675, 676, 677, 678
認証の仲介、設定 ..........................................................291
認証方式、定義..............................................................402
認証ポリシー
設定 ..........................................................................51
定義 ....................................................................37, 49
設定 ........................................................................429
定義 ..........................................................................33
認証前アクセス トンネル
指定 ........................................................................367
説明 ..........................................................................86
認証領域
領域を参照
ぬ
ヌル サーバー
認証サーバー、匿名サーバーを参照
ね
ネイティブ ホスト チェック
Host Checker を参照
ネームスペース
XML.........................................................................199
ネーム ロッキングのサポート .......................................385
ネットマスク
リソース ポリシーでの定義 ポート................502, 506
設定 ................................................................311, 314
ユーザー要件の定義 .................................................45
外部ポート......................................................311, 313
ネットワーク
静的ルートの指定...........................................186, 316
設定 ........................................................................311
設定 .................................................................185
初期 .........................................................185, 310
設定 .................................................................607
パケット、スニッフィング ....................................594
ローカルで解決されるホスト名の指定 ..................316
ネットワーク設定をエクスポート.................................576
の
ノード、クラスタ ..........................................................323
は
パーソナル ファイアウォール
MS Exchange.............................................................81
Cache Cleaner との使用 ............................................94
ハードウェア セキュリティ モジュール
Access Series FIPS を参照
パーミッシブ マージ
E メール クライアント .............................................59
パス
リソース ポリシーでの定義 ポート........507, 539, 540
索引
パスワード
XML ファイル .........................................................198
キャッシング、設定 ...............................................456
サインインの制限
ユーザー ..........................................................676
セキュリティ要件、定義 ..........................................48
プレーン テキスト..................................................198
暗号化.....................................................................198
新しいユーザー用...................................................198
パスワード管理
カスタム サインイン ページ ..................................644
設定 ........................................................................380
ひ
日付と時刻、設定 ..........................................................281
秘密鍵
インポート......................................................294, 293
管理 ........................................................................268
標準インポート モード..................................................201
標準インポート..............................................................201
標準ログ ファイル フォーマット ..................................338
ふ
ファイアウォール
MS Exchange.............................................................81
Cache Cleaner との使用 ............................................94
ファイル
アクセス統計情報...................................................344
エクスポートリソースポリシー .......................62, 538
定義 .................................................................539
サーバー、コード化 ...............................................544
チェック
E メール クライアント ......................................81
設定 .................................................................361
ブックマーク、作成 .......................................469, 470
ロール、設定 ............................................................58
ファイルのクリーンアップ........................................80, 90
フェイルオーバー処理...................................................181
フォーム転送ポリシー、概要 ........................................160
ブックマーク
SAM、作成..............................................................478
SSH、作成...............................................................481
telnet、作成 ............................................................481
Web の作成.....................462, 463, 469, 471, 481, 482
インポート..............................................................578
オプション、有効にする ........................................467
ファイル、作成 ..............................................469, 470
ローカル ユーザー アカウント...............................576
プッシュ設定 .................................................................585
ブラウザ
サインインの制限、ユーザー.................................673
制限、設定................................................................46
リクエストのフォロースルー、設定 ......................457
ブラウジング
オプション、Web ブラウジングの指定 .................465
オプション、ファイルオプションの指定...............471
ページ、開く ..........................................................466
プラットフォーム、アップグレード .............................570
フル インポート.............................................................202
フル インポート モード .................................................202
プロキシ
データ転送プロキシを参照
プロセス チェック
E メール クライアント .......................................79, 81
設定.........................................................................360
ブロック ディレクティブ、説明....................................632
プロトコル、リソース ポリシーでの定義 .............501, 506
プロファイル、定義.......................................................111
へ
ベース CRL
CRL も参照
定義...........................................................................73
ヘッダ / クッキー ポリシー............................................160
ヘルプ、変更 .................................................................353
ほ
報告................................................................................251
ポート
リソース ポリシーでの定義 ポート........................507
外部.........................................................................185
内部.........................................................................185
要件
E メール クライアント ......................................81
設定 .................................................................360
リソース ポリシーでの定義 ポート........................502
仮想ポートも参照
外部ポートの変更 ...........................................311, 313
ポート設定 .....................................................................235
ホームページ
カスタマイズ ..........................................................457
ホスト チェック メソッド、定義.....................................81
ホストマッピング
クライアント / サーバー アプリケーション ...........479
ホスト名
リソース ポリシーでの定義 ポート................501, 539
隠蔽.........................................................................466
解決.................................................................187, 316
設定.........................................................................555
ホスト、リソース ポリシーでの定義 ....................502, 506
ホスト名
設定.........................................................................168
ポリシー
SiteMinder、定義 ....................................................409
サインインポリシーを参照
トレース .........................................................207, 591
リソース ポリシーを参照
認証ポリシーを参照
ポリシー決定ポイント
SAML オーソリティを参照
ポリシー ドメイン、定義 ..............................................407
ま
マイナー ログ メッセージ、定義...................................190
索引
„
723
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
め
メール
サーバー、設定 ...................................................... 565
ピーク利用状況統計情報........................................ 344
メジャー ログ メッセージ、定義 .................................. 190
メソッド、ホスト チェック ............................................ 81
メトリック..................................................................... 232
メモリ使用量、表示 ...................................................... 279
メンテナンス タスク、委任 .......................................... 444
メンテナンス モード、Access Series FIPS ..................... 269
も
文字列メッセージ
Secure Meeting、文字列メッセージを参照
Mobile Notes、アクセス ................................................ 214
問題のブラウジング(Web).......................................... 593
ゆ
有効なロール、定義 .................................................. 52, 59
ユーザー
data
ローカル ユーザー アカウント ....................... 576
インポート ...................................................... 578
Advanced Preferences ページ ................................. 467
PC の設定 ....................................................... 477, 478
アカウント
管理 ................................................................. 377
インポート ...................................................... 576
作成 ......................................................... 377, 497
ローカル ユーザー アカウント ....................... 575
アカウントの管理................................................... 377
アクティビティの表示 ........................................... 279
監視 ........................................................................ 282
強制的に終了させる ............................................... 282
サインインの制限
パスワード ...................................................... 676
ブラウザ.......................................................... 673
証明書 ............................................................. 675
作成 ........................................................................ 377
セッション データ.................................................. 183
属性、設定 ............................................................. 431
プロファイル データ .............................................. 182
ユーザー管理者
定義 ................................................................. 378
ユーザー数の制限................................................... 430
ユーザー管理者
認証 ................................................................. 373
ロール
ロールも参照
定義 ................................................................... 57
ユーザー セッション
セッションを参照
ユーザー セッションのシミュレーション..................... 592
ユーザー セッションの記録 .......................................... 591
ユーザー ロール
ロールを参照
ユーザー設定可能な UI
SiteMinder での使用 ............................................... 403
アップロード ............................................................ 55
724
„ 索引
ユーザー領域
ローカル ユーザー アカウント.......................578, 586
よ
要素
インスタンス ..........................................................196
ら
ライセンス
E メールクライアント ............................................285
更新 ........................................................................289
作成 ........................................................................288
り
リカバリ タスク.............................................................608
リソース、リソース ポリシー コンポーネント...............63
リソース ポリシー
E メール クライアント ...........................................565
設定 ........................................................................671
リソースポリシーのコード化 ........................................544
リモート SSO
E メール クライアント ...........................................160
エクスポートリソースポリシー .............................523
設定 ................................................523, 526, 529, 531
領域
定義 ..........................................................................33
定義済み領域 ............................................................33
セキュリティ要件.....................................................38
定義 ..........................................................................37
ローカル ユーザー アカウント.......................577, 586
リンク速度
設定 ................................................................311, 314
る
ルート
静的ルート..............................................................232
ルート テーブル
VLAN .......................................................................232
ルート管理者
設定 ........................................................................225
ループバック アドレス、J-SAM の設定 .........135, 139, 476
れ
レジストリの設定
J-SAM.......................................................................143
チェック
E メール クライアント ......................................82
設定 .................................................................362
連邦情報処理規格
Access Series FIPS を参照 .......................................268
ろ
ローカル認証サーバー
認証サーバー、ローカル認証を参照
ロード バランサ、クラスタの使用................................181
索引
ロール
Web サーバー アクセス コントロール ..507, 556, 558,
562
インポート..............................................................578
オプション、管理...................................................453
管理 ........................................................................445
サインインの制限
Host Checker ポリシーによる .........................677
IP による..................................................672, 678
証明書..............................................................675
パスワード ......................................................676
制限 ........................................................................454
設定 ................................................................452, 671
設定、管理..............................................................453
評価 ..........................................................................58
ブックマーク
SAM ブックマークの作成 ................................478
SSH ブックマークの作成.................................481
telnet ブックマークの作成 ..............................481
Web の作成 .............462, 463, 469, 471, 481, 482
ファイルの作成 .......................................469, 470
マージ.......................................................................59
マッピング......................................37, 49, 51, 59, 430
ユーザーセッションのオプション、指定...............455
リソース ポリシー コンポーネント..........................63
ローカル ユーザー アカウント...............................576
定義 ..............................................................33, 38, 57
定義済みロール ........................................................33
ロールベースのソース IP エイリアス ......................236, 58
ロギング
インストール ログ、Secure Meeting.......................174
記録するイベントの指定 ........................................336
クライアント ログ
セキュア ミーティング....................................174
Cache Cleaner ....................................................94
無効にする.......................................................344
クラスタ .................................................................183
重要なイベント.......................................................280
セキュリティ レベル ..............................................190
設定.................................................................333, 334
フィルタ
E メール クライアント ....................................191
設定 .................................................................338
フォーマット
E メール クライアント ....................................191
設定 .................................................................338
ポリシーのトレース ...............................................591
ログ ファイルの保存 ..............................................334
わ
ワイルドカード証明書
定義.........................................................................295
索引
„
725
Juniper Networks NetScreen Secure Access および Secure Meeting 管理ガイド
726
„ 索引
Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5".
Juniper Networks, Inc. has sales offices worldwide.
For contact information, refer to www.juniper.net.
50B051605
A book with .25" spine would cut here.
A book with 2.5" spine would cut here.
Juniper Networks, Inc.
Printed on recycled paper
Juniper
Networks,
Inc.
A 1.25" spine would fold here.
A 2.5" spine would fold here.
NetScreen Secure Access
NetScreen Secure Access FIPS
Quick Start
NetScreen Instant Virtual Extranet Platform
Cover size is 8.3 x 10.75".
This is the hardware version: has blue line and blue bar
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089 USA
Phone 408 745 2000 or 888 JUNIPER
Fax 408 745 2100
™
CORPORATE HEADQUARTERS
M320 Internet Router Hardware Guide
™
M-series Routing Platforms
www.juniper.net

 Download  Report
Amica takes out network insurance policy on VOIP with J Series

Amica takes out network insurance policy on VOIP with J Series

日本語 - Juniper Networks

日本語 - Juniper Networks

ジュニパーネットワークスの サービスイネーブリング

ジュニパーネットワークスの サービスイネーブリング

WG1800HP(KC)を設置して電源を入れよう 箱の中身を

WG1800HP(KC)を設置して電源を入れよう 箱の中身を

物理的イノベーションと仮想的 イノベーション

物理的イノベーションと仮想的 イノベーション

第1回会議会議録(PDF:235.9KB)

第1回会議会議録(PDF:235.9KB)

Juniper大規模組織のためのトラフィック量追跡管理と使用量割り当て制限

Juniper大規模組織のためのトラフィック量追跡管理と使用量割り当て制限

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz