NetScreen Instant Virtual Extranet

Secure Access 700
管理ガイド
Instant Virtual Extranet Platform
Juniper Networks Secure Access 700
管理ガイド
リリース 5.2
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089
USA
408-745-2000
www.juniper.net
品番 : 52A101705
This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright © 1986–1997, Epilogue
Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no part of them is in the public
domain.
This product includes memory allocation software developed by Mark Moraes, copyright © 1988, 1989, 1993, University of Toronto.
This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentation and software
included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by The Regents of the University of California. Copyright © 1979, 1980, 1983, 1986, 1988,
1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.
GateD software copyright © 1995, The Regents of the University. All rights reserved. Gate Daemon was originated and developed through release 3.0 by
Cornell University and its collaborators. Gated is based on Kirton’s EGP, UC Berkeley’s routing daemon (routed), and DCN’s HELLO routing protocol.
Development of Gated has been supported in part by the National Science Foundation. Portions of the GateD software copyright © 1988, Regents of the
University of California. All rights reserved. Portions of the GateD software copyright © 1991, D. L. S. Associates.
Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, the NetScreen logo, NetScreen-Global Pro, ScreenOS, and GigaScreen are
registered trademarks of Juniper Networks, Inc. in the United States and other countries.
The following are trademarks of Juniper Networks, Inc.: ERX, E-series, ESP, Instant Virtual Extranet, Internet Processor, J2300, J4300, J6300, J-Protect,
J-series, J-Web, JUNOS, JUNOScope, JUNOScript, JUNOSe, M5, M7i, M10, M10i, M20, M40, M40e, M160, M320, M-series, MMD, NetScreen-5GT,
NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400,
NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-SA 1000 Series,
NetScreen-SA 3000 Series, NetScreen-SA 5000 Series, NetScreen-SA Central Manager, NetScreen Secure Access, NetScreen-SM 3000, NetScreen-Security
Manager, NMC-RX, SDX, Stateful Signature, T320, T640, T-series, and TX Matrix. All other trademarks, service marks, registered trademarks, or registered
service marks are the property of their respective owners. All specifications are subject to change without notice.
Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned by or licensed
to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347,
6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785.
Copyright © 2005, Juniper Networks, Inc.
All rights reserved. Printed in USA.
Juniper Networks NetScreen Secure Access 700 Administration Guide, Release 5.2
Writer: Bill Baker, Paul Battaglia, Claudette Hobbart, Mark Smallwood
Editor: Claudette Hobbart
Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify, transfer, or
otherwise revise this publication without notice.
Year 2000 Notice
Juniper Networks hardware and software products are Year 2000 compliant. The JUNOS software has no known time-related limitations through the year
2038. However, the NTP application is known to have some difficulty in the year 2036.
Software License
The terms and conditions for using this software are described in the software license contained in the acknowledgment to your purchase order or, to the
extent applicable, to any reseller agreement or end-user purchase agreement executed between you and Juniper Networks. By using this software, you
indicate that you understand and agree to be bound by those terms and conditions.
Generally speaking, the software license restricts the manner in which you are permitted to use the software and may contain prohibitions against certain
uses. The software license may state conditions under which the license is automatically terminated. You should consult the license for further details.
For complete product documentation, please see the Juniper Networks Web site at www.juniper.net/techpubs.
End User License Agreement
READ THIS END USER LICENSE AGREEMENT ("AGREEMENT") BEFORE DOWNLOADING, INSTALLING, OR USING THE SOFTWARE. BY
DOWNLOADING, INSTALLING, OR USING THE SOFTWARE OR OTHERWISE EXPRESSING YOUR AGREEMENT TO THE TERMS CONTAINED HEREIN, YOU
(AS CUSTOMER OR IF YOU ARE NOT THE CUSTOMER, AS A REPRESENTATIVE/AGENT AUTHORIZED TO BIND THE CUSTOMER) CONSENT TO BE BOUND
BY THIS AGREEMENT. IF YOU DO NOT OR CANNOT AGREE TO THE TERMS CONTAINED HEREIN, THEN (A) DO NOT DOWNLOAD, INSTALL, OR USE THE
SOFTWARE, AND (B) YOU MAY CONTACT JUNIPER NETWORKS REGARDING LICENSE TERMS.
1. The Parties. The parties to this Agreement are Juniper Networks, Inc. and its subsidiaries (collectively “Juniper”), and the person or organization that
originally purchased from Juniper or an authorized Juniper reseller the applicable license(s) for use of the Software (“Customer”) (collectively, the “Parties”).
2. The Software. In this Agreement, “Software” means the program modules and features of the Juniper or Juniper-supplied software, and updates and
releases of such software, for which Customer has paid the applicable license or support fees to Juniper or an authorized Juniper reseller.
3. License Grant. Subject to payment of the applicable fees and the limitations and restrictions set forth herein, Juniper grants to Customer a non-exclusive
and non-transferable license, without right to sublicense, to use the Software, in executable form only, subject to the following use restrictions:
a. Customer shall use the Software solely as embedded in, and for execution on, Juniper equipment originally purchased by Customer from Juniper or an
authorized Juniper reseller, unless the applicable Juniper documentation expressly permits installation on non-Juniper equipment.
b. Customer shall use the Software on a single hardware chassis having a single processing unit, or as many chassis or processing units for which Customer
has paid the applicable license fees.
c. Product purchase documents, paper or electronic user documentation, and/or the particular licenses purchased by Customer may specify limits to
Customer’s use of the Software. Such limits may restrict use to a maximum number of seats, registered endpoints, concurrent users, sessions, calls,
connections, subscribers, clusters, nodes, or transactions, or require the purchase of separate licenses to use particular features, functionalities, services,
applications, operations, or capabilities, or provide throughput, performance, configuration, bandwidth, interface, processing, temporal, or geographical
limits. Customer’s use of the Software shall be subject to all such limitations and purchase of all applicable licenses.
The foregoing license is not transferable or assignable by Customer. No license is granted herein to any user who did not originally purchase the applicable
license(s) for the Software from Juniper or an authorized Juniper reseller.
4. Use Prohibitions. Notwithstanding the foregoing, the license provided herein does not permit the Customer to, and Customer agrees not to and shall not:
(a) modify, unbundle, reverse engineer, or create derivative works based on the Software; (b) make unauthorized copies of the Software (except as necessary
for backup purposes); (c) rent, sell, transfer, or grant any rights in and to any copy of the Software, in any form, to any third party; (d) remove any
proprietary notices, labels, or marks on or in any copy of the Software or any product in which the Software is embedded; (e) distribute any copy of the
Software to any third party, including as may be embedded in Juniper equipment sold in the secondhand market; (f) use any ‘locked’ or key-restricted
feature, function, service, application, operation, or capability without first purchasing the applicable license(s) and obtaining a valid key from Juniper, even
if such feature, function, service, application, operation, or capability is enabled without a key; (g) distribute any key for the Software provided by Juniper to
any third party; (h) use the Software in any manner that extends or is broader than the uses purchased by Customer from Juniper or an authorized Juniper
reseller; (i) use the Software on non-Juniper equipment where the Juniper documentation does not expressly permit installation on non-Juniper equipment;
(j) use the Software (or make it available for use) on Juniper equipment that the Customer did not originally purchase from Juniper or an authorized Juniper
reseller; or (k) use the Software in any manner other than as expressly provided herein.
5. Audit. Customer shall maintain accurate records as necessary to verify compliance with this Agreement. Upon request by Juniper, Customer shall furnish
such records to Juniper and certify its compliance with this Agreement.
6. Confidentiality. The Parties agree that aspects of the Software and associated documentation are the confidential property of Juniper. As such, Customer
shall exercise all reasonable commercial efforts to maintain the Software and associated documentation in confidence, which at a minimum includes
restricting access to the Software to Customer employees and contractors having a need to use the Software for Customer’s internal business purposes.
7. Ownership. Juniper and Juniper’s licensors, respectively, retain ownership of all right, title, and interest (including copyright) in and to the Software,
associated documentation, and all copies of the Software. Nothing in this Agreement constitutes a transfer or conveyance of any right, title, or interest in the
Software or associated documentation, or a sale of the Software, associated documentation, or copies of the Software.
8. Warranty, Limitation of Liability, Disclaimer of Warranty. The warranty applicable to the Software shall be as set forth in the warranty statement that
accompanies the Software (the “Warranty Statement”). Nothing in this Agreement shall give rise to any obligation to support the Software. Support services
may be purchased separately. Any such support shall be governed by a separate, written support services agreement. TO THE MAXIMUM EXTENT
PERMITTED BY LAW, JUNIPER SHALL NOT BE LIABLE FOR ANY LOST PROFITS, LOSS OF DATA, OR COSTS OR PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES, OR FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES ARISING OUT OF THIS AGREEMENT, THE SOFTWARE, OR ANY JUNIPER
OR JUNIPER-SUPPLIED SOFTWARE. IN NO EVENT SHALL JUNIPER BE LIABLE FOR DAMAGES ARISING FROM UNAUTHORIZED OR IMPROPER USE OF
ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. EXCEPT AS EXPRESSLY PROVIDED IN THE WARRANTY STATEMENT TO THE EXTENT PERMITTED BY
LAW, JUNIPER DISCLAIMS ANY AND ALL WARRANTIES IN AND TO THE SOFTWARE (WHETHER EXPRESS, IMPLIED, STATUTORY, OR OTHERWISE),
INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. IN NO EVENT DOES
JUNIPER WARRANT THAT THE SOFTWARE, OR ANY EQUIPMENT OR NETWORK RUNNING THE SOFTWARE, WILL OPERATE WITHOUT ERROR OR
INTERRUPTION, OR WILL BE FREE OF VULNERABILITY TO INTRUSION OR ATTACK. In no event shall Juniper’s or its suppliers’ or licensors’ liability to
Customer, whether in contract, tort (including negligence), breach of warranty, or otherwise, exceed the price paid by Customer for the Software that gave
rise to the claim, or if the Software is embedded in another Juniper product, the price paid by Customer for such other product. Customer acknowledges and
agrees that Juniper has set its prices and entered into this Agreement in reliance upon the disclaimers of warranty and the limitations of liability set forth
herein, that the same reflect an allocation of risk between the Parties (including the risk that a contract remedy may fail of its essential purpose and cause
consequential loss), and that the same form an essential basis of the bargain between the Parties.
9. Termination. Any breach of this Agreement or failure by Customer to pay any applicable fees due shall result in automatic termination of the license
granted herein. Upon such termination, Customer shall destroy or return to Juniper all copies of the Software and related documentation in Customer’s
possession or control.
10. Taxes. All license fees for the Software are exclusive of taxes, withholdings, duties, or levies (collectively “Taxes”). Customer shall be responsible for
paying Taxes arising from the purchase of the license, or importation or use of the Software.
11. Export. Customer agrees to comply with all applicable export laws and restrictions and regulations of any United States and any applicable foreign
agency or authority, and not to export or re-export the Software or any direct product thereof in violation of any such restrictions, laws or regulations, or
without all necessary approvals. Customer shall be liable for any such violations. The version of the Software supplied to Customer may contain encryption
or other capabilities restricting Customer’s ability to export the Software without an export license.
12. Commercial Computer Software. The Software is “commercial computer software” and is provided with restricted rights. Use, duplication, or
disclosure by the United States government is subject to restrictions set forth in this Agreement and as provided in DFARS 227.7201 through 227.7202-4,
FAR 12.212, FAR 27.405(b)(2), FAR 52.227-19, or FAR 52.227-14(ALT III) as applicable.
13. Interface Information. To the extent required by applicable law, and at Customer's written request, Juniper shall provide Customer with the interface
information needed to achieve interoperability between the Software and another independently created program, on payment of applicable fee, if any.
Customer shall observe strict obligations of confidentiality with respect to such information and shall use such information in compliance with any
applicable terms and conditions upon which Juniper makes such information available.
14. Third Party Software. Any licensor of Juniper whose software is embedded in the Software and any supplier of Juniper whose products or technology
are embedded in (or services are accessed by) the Software shall be a third party beneficiary with respect to this Agreement, and such licensor or vendor
shall have the right to enforce this Agreement in its own name as if it were Juniper. In addition, certain third party software may be provided with the
Software and is subject to the accompanying license(s), if any, of its respective owner(s). To the extent portions of the Software are distributed under and
subject to open source licenses obligating Juniper to make the source code for such portions publicly available (such as the GNU General Public License
(“GPL”) or the GNU Library General Public License (“LGPL”)), Juniper will make such source code portions (including Juniper modifications, as appropriate)
available upon request for a period of up to three years from the date of distribution. Such request can be made in writing to Juniper Networks, Inc., 1194 N.
Mathilda Ave., Sunnyvale, CA 94089, ATTN: General Counsel. You may obtain a copy of the GPL at http://www.gnu.org/licenses/gpl.html, and a copy of the
LGPL at http://www.gnu.org/licenses/lgpl.html.
15. Miscellaneous. This Agreement shall be governed by the laws of the State of California without reference to its conflicts of laws principles. The
provisions of the U.N. Convention for the International Sale of Goods shall not apply to this Agreement. For any disputes arising under this Agreement, the
Parties hereby consent to the personal and exclusive jurisdiction of, and venue in, the state and federal courts within Santa Clara County, California. This
Agreement constitutes the entire and sole agreement between Juniper and the Customer with respect to the Software, and supersedes all prior and
contemporaneous agreements relating to the Software, whether oral or written (including any inconsistent terms contained in a purchase order), except that
the terms of a separate written agreement executed by an authorized Juniper representative and Customer shall govern to the extent such terms are
inconsistent or conflict with terms contained herein. No modification to this Agreement nor any waiver of any rights hereunder shall be effective unless
expressly assented to in writing by the party to be charged. If any portion of this Agreement is held invalid, the Parties agree that such invalidity shall not
affect the validity of the remainder of this Agreement. This Agreement and associated documentation has been written in the English language, and the
Parties agree that the English version will govern. (For Canada: Les parties aux présentés confirment leur volonté que cette convention de même que tous
les documents y compris tout avis qui s'y rattaché, soient redigés en langue anglaise. (Translation: The parties confirm that this Agreement and all related
documentation is and will be in the English language)).
目次
このガイドについて
第1部
xi
はじめに
第1章
初期確認とキーコンセプト
3
ユーザーのアクセス可能性の検証 .................................................................. 5
IVE の概念とベストプラクティスを理解するための
テストシナリオの作成............................................................................. 8
ユーザーロールを定義する...................................................................... 8
リソースポリシーを定義する ................................................................ 11
認証サーバーを定義する ........................................................................ 13
認証領域を定義する ............................................................................... 16
サインインポリシーを定義する ............................................................ 19
テストシナリオを使用する.................................................................... 22
管理者用のデフォルト設定 ........................................................................... 25
第2部
IVE 製品および機能
第2章
IVE シリーズ
29
Juniper Networks Instant Virtual Extranet プラットフォームの概要.............. 31
IVE プラットフォームとは .................................................................... 31
IVE プラットフォーム上に構築された製品はどのように作用するか.... 32
Access Series の概要...................................................................................... 35
アクセス管理の概要 ...................................................................................... 36
ポリシー、規則、制限、および条件 ...................................................... 36
アクセスと承認のフローチャート.......................................................... 37
動的ポリシー評価 ................................................................................... 40
セキュリティ要件の設定 ........................................................................ 42
認証領域の概要 ............................................................................................. 46
認証サーバー .......................................................................................... 46
認証ポリシー .......................................................................................... 48
ディレクトリサーバー........................................................................... 48
ロールマッピング規則........................................................................... 48
サインインポリシーの概要 .......................................................................... 50
サインインページ .................................................................................. 50
目次

v
Juniper Networks NetScreen Secure Access 700 管理ガイド
ユーザーロールの概要 ................................................................................. 51
ロールタイプ ......................................................................................... 51
ロールコンポーネント........................................................................... 51
ロール評価..............................................................................................52
リソースポリシーの概要.............................................................................. 54
リソースポリシータイプ ...................................................................... 54
リソースポリシーコンポーネント........................................................ 54
リソースポリシーの評価 ....................................................................... 55
リソースポリシー詳細規則.................................................................... 55
第3章
認証と承認
57
証明書の概要................................................................................................. 59
IVE サーバー証明書 ................................................................................ 59
トラステッドクライアント CA .............................................................. 60
トラステッドサーバー CA ..................................................................... 64
コード署名証明書 ................................................................................... 64
エンドポイント防御の概要 ........................................................................... 66
Host Checker の概要 ............................................................................... 67
Cache Cleaner の概要.............................................................................. 76
第4章
リモートアクセス
81
Network Connect の概要 ............................................................................... 83
GINA を使用した Network Connect の自動サインイン........................... 85
ネットワークを Network Connect 用にプロビジョニングする .............. 87
Network Connect リソースポリシーのアクセス方法を定義する........... 88
クライアントサイドロギング ................................................................ 89
Network Connect プロキシのサポート ................................................... 90
Network Connect Quality of Service ........................................................ 91
Network Connect マルチキャストサポート ........................................... 91
E メールクライアントの概要 ....................................................................... 93
E メールクライアントの選択.................................................................93
標準ベースのメールサーバーを使用する .............................................. 94
Microsoft Exchange Server の使用 .......................................................... 94
Lotus Notes および Lotus Notes メールサーバーを使用する ................. 96
Java アプレットアップロードの概要 ........................................................... 97
IVE に Java アプレットをアップロードする ........................................... 97
アップロードした Java アプレットに署名する....................................... 98
アップロードした Java アプレットを参照する HTML ページの作成...... 99
Java アプレットのブックマークへアクセスする .................................... 99
使用例： Citrix JICA 8.0 Java アプレットのブックマークを作成する...... 99
データ転送プロキシの概要 .........................................................................102
第5章
システム管理とサービス
105
ネットワーク設定の概要.............................................................................107
一般的なネットワーク設定を指定する.................................................107
内部ポートと外部ポートを設定する ....................................................107
ネットワークトラフィックの静的ルートを指定する ..........................108
ARP キャッシュを作成する ..................................................................108
IVE によってローカル解決されるホスト名を指定する ........................108
IP フィルタを指定する .........................................................................109
ログと監視の概要 .......................................................................................110
vi

目次
:
設定ファイルの概要 ....................................................................................112
IVE 設定ファイルをアーカイブする .....................................................112
IVE 設定ファイルのインポートとエクスポート ...................................113
XML 設定ファイルのインポートとエクスポート .................................113
XML インスタンスで作業するための方法 ............................................124
トラブルシューティングの概要 ..................................................................126
イベントのシミュレーションとトラッキング......................................126
IVE システム状態のスナップショットを作成する ...............................127
TCP ダンプファイルを作成する ..........................................................127
IVE ネットワークの接続状態をテストする ..........................................127
デバッグツールをリモートで実行する................................................128
デバッグログを作成する .....................................................................128
多言語サポートの概要 ................................................................................129
第3部
IVE 設定
第6章
タスクのサマリー
133
システム設定
135
Status ページの設定 ....................................................................................137
Overview タブ.......................................................................................137
Active Users タブ ..................................................................................138
Configuration ページの設定 ........................................................................140
Licensing タブ .......................................................................................140
Security ページ .....................................................................................146
Certificates タブ ....................................................................................147
NCP タブ ...............................................................................................159
Client Types タブ ..................................................................................160
Network ページの設定 ................................................................................163
Overview タブ.......................................................................................163
Internal Port タブ ..................................................................................164
External Port タブ .................................................................................165
Routes タブ ...........................................................................................166
Hosts タブ .............................................................................................166
Network Connect タブ ..........................................................................166
Log Monitoring ページの設定 ......................................................................168
Events、User Access、Admin Access、および NC Packet タブ ............168
SNMP タブ ............................................................................................170
Statistics タブ ........................................................................................176
Client-Side Log タブ ..............................................................................176
第7章
Signing In 設定
179
Sign-in ページの設定 ...................................................................................181
Sign-in Policies タブ ..............................................................................181
Sign-in Pages タブ .................................................................................182
End Point ページの設定 ..............................................................................184
Host Checker タブ.................................................................................184
Cache Cleaner タブ ...............................................................................202
目次

vii
Juniper Networks NetScreen Secure Access 700 管理ガイド
AAA Servers ページの設定 ..........................................................................204
認証サーバーインスタンスを定義する................................................205
認証サーバーインスタンスを変更する................................................205
ローカル認証サーバーインスタンスを構成する .................................206
LDAP サーバーインスタンスの設定 ....................................................211
NIS サーバーインスタンスの設定........................................................214
ACE/Server インスタンスの構成 ...........................................................215
RADIUS サーバーインスタンスの設定.................................................218
Active Directory または NT ドメインインスタンスの設定...................226
匿名サーバーインスタンスを構成する................................................231
証明書サーバーインスタンスを設定する ............................................233
ユーザーセッションの表示と削除.......................................................235
第8章
管理者設定
237
Authentication ページの設定 .......................................................................239
General タブ..........................................................................................239
Authentication Policy タブ ....................................................................241
Role Mapping タブ ................................................................................242
Delegation ページの設定 .............................................................................248
管理者ロールを設定する ......................................................................248
General タブ..........................................................................................248
第9章
ユーザー設定
253
Authentication ページの設定 .......................................................................255
Roles ページの設定 .....................................................................................256
General ページの設定..................................................................................257
Overview タブ.......................................................................................257
Restrictions タブ ...................................................................................258
Source IP タブ .......................................................................................258
Session Options タブ.............................................................................259
UI Options タブ .....................................................................................261
Web ページの設定 ......................................................................................263
Bookmarks タブ ....................................................................................263
Options タブ .........................................................................................266
Files ページの設定.......................................................................................270
Windows Bookmarks タブ ....................................................................270
UNIX Bookmarks タブ...........................................................................271
Options タブ .........................................................................................272
Telnet/SSH ページの設定.............................................................................273
Sessions タブ ........................................................................................273
Options タブ .........................................................................................274
Network Connect ページの設定...................................................................275
New User ページの設定...............................................................................277
viii

目次
:
第 10 章
リソースポリシー設定
279
リソースポリシーのリソースの指定..........................................................281
正式フォーマットについての一般的注意事項......................................281
サーバーリソースの指定 .....................................................................281
詳細規則の記述.....................................................................................283
Web ページの設定 ......................................................................................285
Access タブ ...........................................................................................287
Caching タブ .........................................................................................288
Java タブ ...............................................................................................292
Rewriting タブ.......................................................................................296
Remote SSO タブ ..................................................................................303
Web Proxy タブ ....................................................................................305
Compression タブ .................................................................................307
Options タブ .........................................................................................308
Files ページの設定.......................................................................................309
Windows タブ .......................................................................................311
UNIX/NFS タブ ......................................................................................313
Compression タブ .................................................................................314
Encoding タブ .......................................................................................315
Options タブ .........................................................................................316
Telnet/SSH ページの設定.............................................................................317
Access タブ ...........................................................................................317
Options タブ .........................................................................................318
Network Connect ページの設定...................................................................320
Network Connect Access Control タブ...................................................320
Network Connect Logging タブ .............................................................321
Network Connect Connection Profiles タブ ...........................................322
Network Connect Split Tunneling タブ ..................................................326
使用例： Network Connect リソースポリシーの設定...........................327
Email Client ページの設定...........................................................................329
第 11 章
メンテナンス設定
331
System ページの設定 ..................................................................................333
Platform タブ ........................................................................................333
Upgrade/Downgrade タブ .....................................................................334
Options タブ .........................................................................................335
Installers タブ........................................................................................335
Import/Export ページの設定........................................................................338
Configuration タブ ................................................................................338
User Accounts タブ ...............................................................................339
XML Import/Export タブ .......................................................................340
XML Import/Export の使用例 ................................................................343
Archiving ページの設定 ...............................................................................349
FTP Server タブ.....................................................................................349
Troubleshooting ページの設定 ....................................................................350
User Sessions タブ ................................................................................350
Session Recording タブ .........................................................................352
System Snapshot タブ ...........................................................................353
TCP Dump タブ.....................................................................................354
Commands タブ....................................................................................355
Remote Debugging タブ........................................................................356
Debug Log タブ .....................................................................................356
目次 ix
Juniper Networks NetScreen Secure Access 700 管理ガイド
第4部
追補情報
付録 A
IVE シリアルコンソールの使用
359
IVE アプライアンスのシリアルコンソールへの接続 .................................359
直前のシステム状態へのロールバック .......................................................360
IVE アプライアンスを出荷時設定に戻す ....................................................362
共通のリカバリタスクの実行 ....................................................................365
付録 B
カスタム式の記述
367
カスタム式 ..................................................................................................367
システム変数とその例 ................................................................................371
サポートされる RADIUS 属性 ...............................................................379
付録 C
クライアントサイドのアプリケーションインストール
387
アプリケーションを実行、インストールするために必要な権利 ...............387
IVE アプリケーションによるクライアントサイドの変更 ..........................389
インストーラサービス.........................................................................389
Host Checker .........................................................................................390
Cache Cleaner .......................................................................................392
Network Connect...................................................................................394
付録 D
アクセス管理制限の設定
397
ソース IP の制限..........................................................................................398
ブラウザの制限 ...........................................................................................399
証明書の制限...............................................................................................401
パスワードの制限 .......................................................................................402
Host Checker の制限....................................................................................403
Cache Cleaner の制限 ..................................................................................405
Limits 制限...................................................................................................406
付録 E
ユーザーエラーメッセージ
407
Network Connect エラーメッセージ ..........................................................407
Windows エラーメッセージ ................................................................407
Macintosh エラーメッセージ ...............................................................422
索引.....................................................................................................429
x

目次
Juniper Networks NetScreen Secure Access 700 管理ガイド
このガイドについて
このガイドは、Secure Access 700 アプライアンスを理解し、設定や保守において必要な
情報について説明しています。ガイドには以下の内容が含まれています。

Secure Access 700 アプライアンスおよび基盤となるアクセス管理システムの概要

Secure Access 700 アプライアンス機能の概要

Secure Access 700 アプライアンスの設定と管理についての説明
対象読者
このガイドは、Secure Access 700 アプライアンスの構成の責任者であるシステム管理者
を対象としています。
お問い合わせ

インストールについてのヘルプは、製品に付属の Quick Start Guide を参照してくださ
い。

最新ビルドの Secure Access 700 OS、対応する Administration Guide の PDF ファイル、
リリースノートをダウンロードするには、Juniper Networks のサポートサイトをご覧
ください。

Secure Access 700 の安全に関する情報は、Juniper Networks のサポートサイトから入
手できる Juniper Networks Security Products Safety Guide をご覧ください。
表記上の規則
表 1 は本書の注意事項に関するマークの説明、表 2 は本書を通して使用される文章の書
体についての説明を記載しています。
表 1: 注意事項のマーク
アイコン
意味
説明
参考情報
重要な機能あるいは説明を示します。
注意
データの損失やハードウェアの損傷のおそれがあること
を示します。
警告
負傷する危険性について警告します。
対象読者

xi
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 2: 表記上の規則（コマンド構文を除く）
スタイル
説明
例
太字体
ボタン、フィールド名、ダイアログ
ボックス名など、ユーザーインター
フェースの要素を指します。
Scheduling および Appointment タブを使用し
て、会議の予定を立てます。
標準ゴシック体
意味 :
例：
コード、コマンド、キーワード
コード :
URL、ファイル名、ディレクトリ
certAttr.OU = 'Retail Products Group'
URL:
JRE アプリケーションのダウンロード :
http://java.sun.com/j2se/
イタリック体
意味 :
例：
文章中で定義されている用語
定義されている用語 :
可変要素
ドキュメント名
RDP クライアントは Windows コンポーネン
トで、Windows サーバーとユーザーのコン
ピュータ間を接続します。
可変要素 :
Users > Roles > ロールを選択 >Terminal
Services ページの設定を使用して、ターミナ
ルエミュレーションセッションを作成しま
す。
ドキュメント :
IVE Supported Platforms のドキュメントを参
照してください。
ドキュメント
リリースノート
リリースノートは製品ソフトウェアに付属されており、Web 上でご覧いただくことがで
きます。
リリースノートでは、機能、変更、既知の問題、および解決された問題について最新情報
を知ることができます。リリースノートの内容が付属資料の情報と異なる場合は、リリー
スノートの内容に従ってください。
Web アクセス
Web 上のドキュメントを表示するには、以下のサイトにアクセスしてください。
http://www.juniper.net/techpubs/
カスタマサポートへのお問い合わせ
技術サポートについては、Juniper Networks に電子メールで [email protected] 宛てに
お問い合わせいただくか、1-888-314-JTAC（米国国内）または 408-745-9500（米国国外か
ら）へ電話でご連絡ください。
xii
ドキュメント
第1部
はじめに
このセクションでは追加の IVE 設定タスクについて紹介しています。これらはネットワー
ク上でユーザーアクセスを有効にしたり制御を行うのに必要な概念について理解を深める
ことができるよう、設計されています。
目次

3 ページの「初期確認とキーコンセプト」

1
Juniper Networks NetScreen Secure Access 700 管理ガイド
2

第1章
初期確認とキーコンセプト
ここでは、IVE の初期インストールと設定の後に行うタスクについて説明します。ここ
での内容は、ソフトウェアイメージが管理者 Web コンソールで “Task Guide” に従って
更新され、Secure Access ライセンスキーが生成され適用されていることを前提として
います。
目次

5 ページの「ユーザーのアクセス可能性の検証」

8 ページの「IVE の概念とベストプラクティスを理解するためのテストシナリオの
作成」

25 ページの「管理者用のデフォルト設定」
第 1 章 : 初期確認とキーコンセプト

3
Juniper Networks NetScreen Secure Access 700 管理ガイド
4
第 1 章 : 初期確認とキーコンセプト
Juniper Networks NetScreen Secure Access 700 管理ガイド
ユーザーのアクセス可能性の検証
ユーザーが IVE にアクセス可能かどうかを検証するため、システム認証サーバーに簡単に
ユーザーアカウントを作成することができます。管理者の Web コンソールでアカウント
を作成したら、IVE のユーザーのサインインページでそのユーザーでサインインします。
ユーザーのアクセス可能性を検証するには、次の操作を実行します。
1.
管理者の Web コンソールで、Users > New User を選択します。
2.
New Local User ページで、ユーザー名 “testuser1” とパスワードを入力し、Save
Changes をクリックします。IVE が testuser1 のアカウントを作成します。
3.
別のブラウザウィンドウにコンピュータの URL を入力し、ユーザーのサインイン
ページにアクセスします。URL には https://a.b.c.d の形式で入力します。“a.b.c.d”
は、IVE を最初に設定した際にシリアルコンソールに入力したコンピュータの IP ア
ドレスです。セキュリティ警告が表示され、署名された証明書なしで処理を続行する
かどうかを尋ねられた場合は、Yes をクリックします。ユーザーのサインインページ
が表示されたら、IVE アプライアンスに正常に接続しています。
図 1: ユーザーのサインインページ
4.
サインインページで、ユーザーアカウントに対して作成したユーザー名とパスワー
ドを入力し、Sign In をクリックして、IVE のユーザー用ホームページにアクセスし
ます。
ユーザーのアクセス可能性の検証

5
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 2: ユーザーホームページ（デフォルト）
5.
ブラウザの Address フィールドに内部 Web サーバーの URL を入力し、Browse をク
リックします。同じブラウザのウィンドウに Web ページが表示されます。IVE のホー
ムページに戻るには、移動先の Web ページに表示されたブラウジングツールバーの
中央にあるアイコンをクリックします。
図 3: ブラウジングツールバーが表示された Web ページの例
6
ユーザーのアクセス可能性の検証
Juniper Networks NetScreen Secure Access 700 管理ガイド
6.
IVE のホームページで、外部企業サイトへの URL を入力し、Browse をクリックしま
す。Web ページが同じブラウザのウィンドウに開きます。IVE のホームページに戻る
には、ブラウジングツールバーを使用します。
7.
IVE のホームページで Browsing > Windows Files をクリックして、Windows の利用
可能なファイル共有を参照するか、Browsing > UNIX/NFS Files をクリックして、
UNIX/NFS の利用可能なファイル共有を参照します。
ユーザーのアクセス可能性を検証が済んだら管理者 Web コンソールに戻り、8 ページの
「IVE の概念とベストプラクティスを理解するためのテストシナリオの作成」に記述され
ているキーコンセプトに関する説明をお読みください。
ユーザーのアクセス可能性の検証

7
Juniper Networks NetScreen Secure Access 700 管理ガイド
IVE の概念とベストプラクティスを理解するための
テストシナリオの作成
IVE は柔軟なアクセス管理システムを提供しています。ロール、リソースポリシー、認証
サーバー、認証領域、およびサインインポリシーを使用して、ユーザーのリモートアク
セスを容易にカスタマイズすることができます。これらのエンティティをすぐに使用でき
るよう、それぞれのデフォルト値が IVE に設定されています。このセクションでは、これ
らのデフォルト設定と、以下のタスクを使用して各アクセス管理エンティティを作成する
方法について説明します。

8 ページの「ユーザーロールを定義する」

11 ページの「リソースポリシーを定義する」

13 ページの「認証サーバーを定義する」

16 ページの「認証領域を定義する」

19 ページの「サインインポリシーを定義する」
メモ : IVE は、次の 2 種類のユーザーをサポートしています。

管理者－管理者は、IVE の構成設定を表示したり、修正を行います。最初の管理者ア
カウントは、シリアルコンソールで作成します。

ユーザー－ユーザーは、管理者の設定に基づいて IVE を使用し、企業リソースに
アクセスします。最初のユーザーアカウント “testuser1” は、5 ページの「ユーザー
のアクセス可能性の検証」で作成します。
以下のテストシナリオでは、IVE のアクセス管理要素を使用して、ユーザーのアクセス
パラメータを設定することに重点を置いています。管理者用のシステムデフォルト設定
の詳細については、25 ページの「管理者用のデフォルト設定」を参照してください。
ユーザーロールを定義する
ユーザーロールは、ユーザーのセッションパラメータ、個人設定、および有効なアクセ
ス機能1 を定義するエンティティです。IVE は、認証されたユーザーに 1 つ以上のロール
を割り当てます。そのロールに指定されたオプションによって、IVE のセッション中に
ユーザーがアクセスできるリソースのタイプが定義されます。
IVE には、“Users” というユーザーロールがあらかじめ設定されています。既定のこのロー
ルは、Web のブラウズやファイルの参照のアクセス機能を有効にし、“Users” ロールが割り
当てられているすべてのユーザーに対し、インターネット、企業の Web サーバー、使用可
能な Windows および UNIX/NFS のファイルサーバーへのアクセスを可能にします。この
ロールは、Users > Roles ページに表示することができます。
メモ : 任意のロールに対して 1 つ以上のアクセス機能を有効にした後は（Users >
Roles > ロール名ページで設定）、各アクセス機能の Configuration タブから対応するオ
プションを設定します。
1. アクセス機能には、Web のブラウズ、ファイルのブラウズ、Telnet/SSH、Network Connect、および Secure Email
Client があります。
8
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成
Juniper Networks NetScreen Secure Access 700 管理ガイド
ユーザーロールを定義するには、次の操作を行います。
1.
管理者の Web コンソールで、Users > Roles を選択します。
2.
Roles ページで New Role をクリックします。
3.
New Role ページの Name フィールドに “Test Role” と入力し、Save Changes をク
リックします。“Test Role” に対する General > Overview ページが表示されるのを待
ちます。
4.
Overview ページで、Access features の下の Web チェックボックスをオンにして、
Save Changes をクリックします。
5.
Web > Options を選択します。
6.
Browsing で、User can type URLs in the IVE browser bar チェックボックスをオン
にして、Save Changes をクリックします。
上記のステップを完了すると、ユーザーロールが定義されます。リソースポリシーを作
成するとき、それらをこのロールに適用することができます。また、認証領域に定義した
ロールマッピング規則によって、ユーザーにこのロールを割り当てることが可能です。
メモ : Web のブラウズやファイル参照を有効にするユーザーロールをすばやく作成す
るには、“Users” ロールを複製し、必要に応じて追加のアクセス機能を有効にします。
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成

9
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 4: Users > Roles > New Role ページ
図 5: Users > Roles > Test Role > General > Overview
10
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成
Juniper Networks NetScreen Secure Access 700 管理ガイド
リソースポリシーを定義する
リソースポリシーとは、以下を定義するシステム規則です。

ポリシーを適用するリソース（URL、サーバー、ファイルなど）

ポリシーを適用するユーザー（ロールなどのセッション変数によって指定）

IVE がリソースへのアクセスを許可するかどうか、またはアクションを実行するかど
うか
IVE には、次の 2 種類のリソースポリシーがあらかじめ設定されています。

Web Access －既定のリソースポリシー “Web Access” では、IVE を通じてすべての
ユーザーがインターネットおよび企業のすべての Web サーバーにアクセスできます。
このリソースポリシーは、デフォルトで “Users” ロールに適用されています。

Windows Access －既定のリソースポリシー “Windows Access” では、Users ロール
が割り当てられたすべてのユーザーが、企業のすべての Windows ファイルサーバー
にアクセスできます。このリソースポリシーは、デフォルトで Users ロールに適用さ
れています。
デフォルトの Web リソースポリシーとファイルリソースポリシーは、Resource
Policies > Web > Access ページ、および Resource Policies > Files > Windows >
Access ページで見ることができます。
メモ : Web およびファイルのすべてのコンテンツにユーザーがアクセスすることについ
て問題がある場合は、デフォルトのリソースポリシー “Web Access” と “Windows
Access” を削除してください。
リソースポリシーを定義するには、次の操作を行います。
1.
管理者の Web コンソールで、Resource Policies > Web > Access を選択します。
2.
Web Access Policies ページで、New Policy をクリックします。
3.
New Policy ページで、次の操作を行います。
4.
a.
Name フィールドに “Test Web Access” と入力します。
b.
Resources フィールドに “http://www.google.com” と入力します。
c.
Roles で Policy applies to SELECTED roles を選択し、Available Roles フィールド
で “Test Role” を選択して Add をクリックします。これにより Test Role が
Selected Roles フィールドに移動します。
d.
Action で、Deny access を選択します。
e.
Save Changes をクリックします。“Test Web Access” が Web Access Policies ペー
ジに追加されます。
Web Access Policies ページの Policies リストで、“Test Web Access” の横のチェック
ボックスをオンにします。その行が、表中に黄色で強調表示されます。
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成

11
Juniper Networks NetScreen Secure Access 700 管理ガイド
5.
ページの上にある上向き矢印
をクリックして “Test Web Access” 行をビルトイン
の “Initial Open Policy” 行の上に移動し、Save Changes をクリックします。
メモ : IVE は、リストの順番でリソースポリシーの処理を行います。ユーザーに適切な
リソース制限が適用されるようにするには、リソースポリシーリストを、最も制限の
厳しいポリシーから最も制限の緩いポリシーの順序に並べ替えます。つまり、最も制限
の厳しいポリシーがリストの先頭にくるようにします。
上記のステップを完了すると、“Web Access” リソースポリシーが設定されます。Web
Access Policies リスト内の次のポリシーが、全ユーザーに対してすべての Web リソースへ
のアクセスを許可している場合でも、“Test Role” が割り当てられたユーザーは
http://www.google.com にアクセスすることができません。それは、“Test Role” が割り当て
られたユーザーが、最初のポリシーである “Test Web Access” の条件を満たしているため
最初のポリシーが優先されるからです。
図 6: Resource Policies > Web > Access > New Policy
12
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 7: Resource Policies > Web > Access －ポリシーの順序の変更
認証サーバーを定義する
認証サーバーとは、ユーザーの資格情報（ユーザー名とパスワード）に加え、一般にグ
ループや属性情報を保存するデータベースです。ユーザーは、IVE にサインインするとき
に、認証サーバーに関連付けられた認証領域を指定します。IVE はユーザーの資格情報を
この認証サーバーに転送して、ユーザーの身元を検証します。
IVE は、Windows NT Domain、Active Directory、RADIUS、LDAP、NIS、RSA ACE/ サー
バー、SAML サーバー、および Netegrity SiteMinder など最も標準的な認証サーバーをサ
ポートしており、IVE で認証するユーザーのローカルデータベースを 1 つ以上作成する
ことができます。IVE には、ユーザー用のローカル認証サーバー “System Local” があらか
じめ設定されています。この既定のローカル認証サーバーは IVE のデータベースで、ユー
ザー認証用のユーザーアカウントをすばやく作成することができます。これにより、外部
認証サーバーにユーザーアカウントを作成する必要がなくなるため、テストでの使用や
サードパーティにアクセスを提供する際に便利です。
既定のローカル認証サーバーは、Signing In > AAA Servers ページで見ることができ
ます。
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成

13
Juniper Networks NetScreen Secure Access 700 管理ガイド
メモ : IVE は、承認サーバーもサポートしています。承認サーバー（またはディレクト
リサーバー）とは、ユーザーの属性やグループ情報を保存するデータベースです。ディ
レクトリサーバーを使用して、ロールマッピング規則およびリソースポリシーに必要
なユーザーの属性情報やグループ情報を取得するよう、認証領域を設定することができ
ます。
認証サーバーを定義するには、次の操作を行います。
1.
管理者の Web コンソールで、Signing In > AAA Servers を選択します。
2.
Authentication Servers ページで、New リストから IVE Authentication を選択し、
New Server をクリックします。
3.
NewIVE Authentication ページで、Name フィールドに “Test Server” と入力し、Save
Changes をクリックします。IVE から変更の保存が通知されるまで待ちます。その
後、Configuration タブが表示されます。
4.
Users タブをクリックして、New をクリックします。
5.
New Local User ページで Username フィールドに “testuser2” と入力し、パスワード
を入力して、Save Changes をクリックします。認証サーバー “Test Server” にユー
ザーのアカウントが作成されます。
上記のステップを完了すると、ユーザーアカウントを 1 つ含む認証サーバーが作成され
ます。このユーザーは、認証サーバー “Test Server” を使用する認証領域にサインインする
ことができます。
メモ : IVEWeb コンソールは、Last Sign-in Statistic 項目の Users タブに、各認証サー
バーのそれぞれのユーザーアカウントに対する前回のアクセス統計情報を提供します。
提供される統計には、各ユーザーが前回正常にサインインした時の日時、ユーザーの IP
アドレス、エージェントとブラウザの種類とバージョンが含まれます。
14
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 8: Signing In > AAA Servers > New Server
図 9: Signing In > AAA Servers > Test Server > Users > New
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成

15
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 10: Signing In > AAA Servers > Test Server > Users
認証領域を定義する
認証領域とは認証リソースを分類するもので、次のようなものがあります。
16

認証サーバー。ユーザーを確認します。IVE は、サインインページで得た資格情報を
認証サーバーに転送します。

領域セキュリティの条件を定義する認証ポリシー。IVE が確認のために資格情報を認
証サーバーに送信する前に、この要件を満たしている必要があります。

ディレクトリサーバー。ロールマッピング規則やリソースポリシーで必要なユー
ザーとグループの属性情報を IVE に提供する、LDAP サーバーです（オプション）。

ロールマッピング規則。ユーザーにロールを割り当てる場合に、ユーザーが満たす
必要のある条件です。この条件は、領域のディレクトリサーバー、個人のユーザー
名、または証明書属性によって返される情報に基づいています。
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成
Juniper Networks NetScreen Secure Access 700 管理ガイド
IVE には、“Users” というユーザー領域があらかじめ設定されています。既定のこの領域
は、認証サーバー “System Local” と、最低 4 文字のパスワードが必要な認証ポリシーを
使用し、ディレクトリサーバーは使用しません。また、“Users” 領域にサインインするす
べてのユーザーに “Users” ロールを割り当てるロールマッピング規則を含んでいます。5
ページの「ユーザーのアクセス可能性の検証」で作成した “testuser1 “ アカウントは、認
証サーバー “System Local” に作成されるため、“Users” 領域に含まれます。13 ページの
「認証サーバーを定義する」で作成した “testuser2” アカウントは、“Users” 領域に含まれま
せん。このアカウントは、“Users” 領域が使用していない新しい “Test Server” 認証サー
バーに作成されているからです。
デフォルトのユーザー認証領域は、Users > Authentication ページで見ることができます。
認証領域を定義するには、次の操作を行います。
1.
管理者の Web コンソールで、Users － Authentication を選択します。
2.
User Authentication Realms ページで New をクリックします。
3.
New Authentication Realm ページで、次の操作を行います。
a.
Name フィールドに、“Test Realm” と入力します。
b.
Servers で、Authentication リストから “Test Server” を選択します。
c.
Save Changes をクリックします。IVE から変更の保存が通知されるまで待ちま
す。その後、領域の Configuration タブが表示されます。
4.
Role Mapping タブで New Rule をクリックします。
5.
Role Mapping Rule ページで次の操作を行います。
a.
Rule: If username... で、値フィールドに “testuser2” と入力します。
b.
...then assign these roles の Available Roles フィールドで “Test Role” を選択し、
Add をクリックします。“Test Role” が Selected Roles フィールドに移動します。
c.
Save Changes をクリックします。
上記のステップを完了すると、認証領域の作成が終了します。この領域は、Test Server を
使用してユーザーを認証し、ロールマッピング規則を使用して “testuser2” に “Test Role”
を割り当てます。“Test Role” にはリソースポリシー “Test Web Access” が適用されている
ために、このロールが割り当てられたユーザーは http://www.google.com にアクセスする
ことができません。
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成

17
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 11: Users > Authentication > New Realm
18
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 12: Users > Authentication > Test Server > New Rule
サインインポリシーを定義する
サインインポリシーとは、以下を定義するシステム規則です。

ユーザーが IVE へサインインするときの URL

ユーザーに表示するサインインページ

IVE が資格情報を送信する認証領域を、ユーザーが入力または選択する必要があるか
どうか

サインインポリシーを適用する認証領域
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成

19
Juniper Networks NetScreen Secure Access 700 管理ガイド
すべての Access Series および Access Series FIPS IVE には、ユーザーに適用する “*/ “ とい
うサインインポリシーがあらかじめ設定されています。このデフォルトのユーザーサイ
ンインポリシー “*/” では、ユーザーが URL を入力するとユーザー用のデフォルトのサイ
ンインページが表示され、複数の領域が存在する場合はユーザーに認証領域を選択する
よう要求されます。サインインポリシー “*/” は、認証領域 “Users” に適用するように設定
されているため、16 ページの「認証領域を定義する」で作成した認証領域には適用され
ません。
デフォルトのユーザーサインインポリシーは、Signing In > Sign-in > Sign-in Policies
ページで見ることができます。
デフォルトのサインインポリシーは、すべてのユーザーに適用されます。IVE ユーザーのサ
インインページへの URL は、“*/employees” などをパスに追加することで修正できますが、
サインインポリシーの追加は、IVE のアドバンストライセンスを購入しない限り、行うこ
とはできません。
サインインポリシーを定義するには、次の操作を行います。
1.
管理者の Web コンソールで、Signing In > Sign-in > Sign-in Policies を選択します。
2.
Sign-in Policies ページで */ をクリックします。
3.
*/ ページで、次の操作を行います。
a.
Sign-in URL フィールドで、“*/” の後に “test” を入力します。
b.
Authentication realm で、User picks from a list of authentication realms を選択
し、Available Roles フィールドで “Test Realm” を選択してから、Add をクリッ
クします。“Test Realm” が Selected Realms フィールドに移動します（ “Users”
ロールが Selected Realms フィールドに表示されない場合、“Users” ロールに対
してこの処理を繰り返します）。
c.
Save Changes をクリックします。
上記のステップを完了すると、デフォルトのユーザーサインインポリシーの修正が終了
します。
オプション :
20
1.
Signing In > Sign-in > Sign-in Pages を選択し、New Page をクリックします。
2.
New Sign-In Page ページで、Name フィールドに “Test Sign-in Page” と入力し、
Background color フィールドに “#FF0000” （赤）と入力して Save Changes をクリッ
クします。
3.
Signing In > Sign-in > Sign-in Policies を選択し、New URL をクリックします。
4.
New Sign-in Policy ページで、Name フィールドに “*/test/” と入力し、Sign-in Page
フィールドで “Default Sign-in Page” を選択して、Save Changes をクリックします。
5.
Signing In > Sign-in > Sign-in Policies を選択し、User URLs で */test/ をクリックし
ます。
6.
*/test/ ページで、Sign-in page リストから “Test Sign-in Page” を選択し、Save
Changes をクリックします。
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成
Juniper Networks NetScreen Secure Access 700 管理ガイド
このオプションのステップを完了すると、サインインポリシー “*/test/” に関連付けられ
た新しいサインインページの定義が終了します。
図 13: Signing In > Sign-in > Sign-in Policies > */
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成

21
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 14: Signing In > Sign-in > Sign-in Policies > */test/ ― 新しいサインイン
ページの使用
テストシナリオを使用する
テストシナリオでは、次の操作を行うことができます。

変更されたデフォルトのサインインポリシーを使用して、ユーザーの Web コンソー
ルにアクセスする。

Test Server に作成されたユーザーとして、Test Realm にサインインする。

Web ブラウズ機能をテストする。Test Role と Test Web Access が正しく設定されてい
る場合に可能。
テストシナリオを使用するには、次の操作を行います。
1.
22
ブラウザで、コンピュータの URL の後に “/test” と入力し、ユーザーのサインイン
ページにアクセスします。URL には https://a.b.c.d/test の形式で入力します。
“a.b.c.d” は、初期の設定でシリアルコンソールに入力したコンピュータの IP アド
レスです。セキュリティ警告が表示され、署名された証明書なしで処理を続行するか
どうかを尋ねられた場合は、Yes をクリックします。ユーザーのサインインページが
表示されたら、IVE アプライアンスに正常に接続しています。
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 15: ユーザーのサインインページ
メモ : 19 ページの「サインインポリシーを定義する」でオプションの設定手順を実行
した場合、ヘッダーの色は赤です。
2.
サインインページで、Test Server に作成したユーザーアカウントのユーザー名とパ
スワードを入力し、Realm フィールドに “Test Realm” と入力します。次に Sign In を
クリックし、ユーザー用の IVE ホームページにアクセスします。
IVE は Test Realm に資格情報を転送します。Test Realm は、Test Server を使用するよ
う設定されています。この認証サーバーによって検証が正しく行われると、IVE は、
Test Realm 用に定義されたロールマッピング規則を処理します。これにより、
“testuser2” に Test Role が割り当てられます。Test Role は、ユーザーに対して Web ブ
ラウズ機能を有効にします。
図 16: ユーザーホームページ
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成

23
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
ブラウザの Address フィールドに、企業 Web サイトへの URL を入力し、Browse を
クリックします。同じブラウザのウィンドウに Web ページが表示されます。IVE の
ホームページに戻るには、移動先の Web ページに表示されたブラウザツールバーの
中央にあるアイコンをクリックします。
4.
IVE のホームページで “www.google.com” と入力し、Browse をクリックします。リ
ソースポリシー “Test Web Access” は、Test Role が割り当てられたユーザーに対し、
このサイトへのアクセスを拒否するため、エラーメッセージが表示されます。
図 17: リソースの拒否によるエラーメッセージの例
5.
IVE のホームページに戻り、Sign Out をクリックして、ユーザーのサインインペー
ジに戻ります。
6.
“testuser1” の資格情報を入力し、Users 領域を指定して、Sign In をクリックします。
7.
IVE のホームページで “www.google.com” と入力し、Browse をクリックします。Web
ページが同じブラウザウィンドウに開きます。
テストシナリオでは、IVE の基本的なアクセス管理メカニズムを説明しています。領域の
認証ポリシーやユーザーのグループメンバーシップなどの可変要因に基づいて、非常に
高度なロールマッピング規則やリソースポリシーを作成し、ユーザーのアクセスを制御
することができます。オンラインヘルプの内容を参照し、IVE のアクセス管理についてよ
り理解されることをお勧めします。
メモ :
24

IVE を自社用に設定される場合、ユーザーアクセス設定を上記の順序で行うことを
お勧めします。

詳細な設定についての情報は、オンラインヘルプまたは管理ガイドの PDF を参照し
てください。管理ガイドの PDF は、オンラインヘルプからアクセスするか、サポー
トサイトから入手することができます。

外部から IVE へのアクセスを可能にする場合は、事前に信頼できる認証機関（CA）か
ら署名されたデジタル証明書をインポートすることをお勧めします。
IVE の概念とベストプラクティスを理解するためのテストシナリオの作成
Juniper Networks NetScreen Secure Access 700 管理ガイド
管理者用のデフォルト設定
IVE は、管理者用のアカウントをすばやく設定するために、ユーザーと同様のデフォルト
設定を提供しています。以下は、管理者のシステムデフォルト設定について簡単に説明し
ています。

管理者ロール

.Administrators －このビルトインロールを使用して、管理者は IVE のすべての
面を管理することができます。シリアルコンソールで作成した管理者ユーザーに
は、このロールが割り当てられます。

.Read-Only Administrators －このビルトインロールは、ロールが割り当てられ
たユーザーに対し、IVE の設定すべてを参照することを許可します（ただし、設
定はできません）。管理者のアクセスを制限したい場合、このロールを割り当て
る必要があります。
メモ : 管理者ロールを追加登録するには、アドバンストライセンスが必要です。

Administrators ローカル認証サーバー－認証サーバー “Administrators” は、管理者
アカウントを保存する IVE のデータベースです。最初の管理者アカウントを、シリア
ルコンソールを通じてこのサーバーに作成します（IVE は、シリアルコンソールを
通して作成した管理者アカウントをすべてこのサーバーに追加します）。このローカ
ルサーバーを削除することはできません。

Admin Users 認証領域－認証領域 “Admin Users” は、デフォルトの認証サーバー
“Administrators” と、最低 4 文字のパスワードを要求する認証ポリシーを使用し、
ディレクトリサーバーを使用しません。また、“Admin Users” 領域にサインインする
すべてのユーザーに “. Administrators” ロールを割り当てるロールマッピング規則を
含んでいます。シリアルコンソールで作成した管理者アカウントは、“Admin Users”
領域に含まれます。

*/admin サインインポリシー－デフォルトの管理者サインインポリシー “*/admin”
では、ユーザーが IVE の URL の後に “/admin” を入力した場合、管理者用のデフォル
トのサインインページが表示されます。さらにこのポリシーでは、管理者は認証領域
を選択するよう要求されます（複数の領域が存在する場合）。サインインポリシー
“*/admin” は “Admin Users” 認証領域に適用されるように設定されているため、シリ
アルコンソールで作成した管理者アカウントに適用されます。
管理者用のデフォルト設定

25
Juniper Networks NetScreen Secure Access 700 管理ガイド
26
管理者用のデフォルト設定
第2部
IVE 製品および機能
このセクションでは IVE 製品とその機能の概要について説明しています。Secure Access
700 アプライアンスが構築される IVE プラットフォーム、IVE プラットフォーム上に構
築されたすべての製品で使用する標準的な機能、さらに IVE の個別の機能について説明
します。
目次

57 ページの「認証と承認」

81 ページの「リモートアクセス」

105 ページの「システム管理とサービス」

27
Juniper Networks NetScreen Secure Access 700 管理ガイド
28

第2章
IVE シリーズ
このセクションでは、Juniper Networks Instant Virtual Extranet（IVE）プラットフォーム、
このプラットフォーム上に構築される Access Series 製品ライン、さらに IVE プラット
フォーム上に構築される製品が使用するアクセス管理システムについて説明します。
目次

31 ページの「Juniper Networks Instant Virtual Extranet プラットフォームの概要」

35 ページの「Access Series の概要」

36 ページの「アクセス管理の概要」

46 ページの「認証領域の概要」

50 ページの「サインインポリシーの概要」

51 ページの「ユーザーロールの概要」

54 ページの「リソースポリシーの概要」
第 2 章 : IVE シリーズ

29
Juniper Networks NetScreen Secure Access 700 管理ガイド
30
第 2 章 : IVE シリーズ
Juniper Networks NetScreen Secure Access 700 管理ガイド
Juniper Networks Instant Virtual Extranet プラットフォームの概要
Juniper Networks Instant Virtual Extranet（IVE）プラットフォームは、Juniper Networks
NetScreen SSL VPN アプライアンスの基盤となるハードウェアおよびソフトウェアとして
機能します。これらの製品を使用することにより、Web ブラウザのみを使用して、会社の
リソースへの安全で制御されたアクセスを、どこからでも社員、パートナー、顧客に対し
て提供することができます。
詳細については、以下を参照してください。

31 ページの「IVE プラットフォームとは」

32 ページの「IVE プラットフォーム上に構築された製品はどのように作用するか」

32 ページの「タスクサマリー：IVE プラットフォーム上に構築された製品の設定」
IVE プラットフォームとは
IVE プラットフォームは堅牢なネットワークアプライアンスです。外部ユーザーと以下
に示すような内部リソース間のデータストリームを仲介することによって、強固なセ
キュリティを提供します。

MS Terminal Server

MS Exchange Server

Lotus Notes Server

インターネット E メールサーバー

端末ベースのアプリケーション

ファイルサーバー上のドキュメント

Web ベースのエンタープライズアプリケーション

イントラネットのホームページ
IVE プラットフォーム上で構築された製品は、従来の DMZ 内にエクストラネットツール
キットを配備したり、社員用にリモートアクセス VPN を設置する必要はありません。
IVE は、外部接続からセキュアな要求を受け取り、認証されたユーザーに代わって内部リ
ソースに対して要求を行うことにより、外部接続と内部リソースの間を仲介します。
Juniper Networks Instant Virtual Extranet プラットフォームの概要

31
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 18: LAN における IVE の作用
IVE プラットフォーム上に構築された製品はどのように作用するか
IVE プラットフォームはセキュアなアプリケーションレイヤーのゲートウェイとして動
作し、パブリックインターネットと企業の内部リソース間の要求すべてを仲介します。
IVE に入るすべての要求は、エンドユーザーのブラウザで、SSL/HTTPS 128 ビットまたは
168 ビット暗号化を使用してすでに暗号化されています。暗号化されていない要求は除外
されます。内部リソースに転送されるまで、各要求は、2 要素認証またはクライアントサ
イドのデジタル証明書など、管理用に定義されたアクセスコントロールポリシーに従い
ます。IVE プラットフォームは、パブリックインターネットと内部リソース間に強固なセ
キュリティレイヤーを提供するため、管理者は、セキュリティポリシーを定期的に管理
したり、パブリックな DMZ に配置された多くの異なるアプリケーションおよび Web サー
バーのセキュリティ上の弱点にパッチを当てる必要はありません。
IVE プラットフォームは、単純な Web ブラウザ技術を使用して、各種のアプリケーショ
ンおよびリソースへのアクセスを仲介します。ユーザーは、アプライアンスがホストとな
るエクストラネットセッションを経由して、承認されたリソースに対する認証アクセス
を取得できます。また、インターネットに接続したその Web ブラウザからでも、多彩な
Web ベースのエンタープライズアプリケーション、Java アプリケーション、共有ファイ
ル、およびターミナルホストにアクセスできます。さらに、このセキュアな Web セッ
ションを通じて、Microsoft Outlook および Lotus Notes など、他のクライアント / サー
バーアプリケーションにもアクセスできます。
タスクサマリー： IVE プラットフォーム上に構築された製品の設定
IVE プラットフォーム上に構築された製品を設定するには、管理者の Web コンソールか
ら以下の 5 つの基本タスクを実行する必要があります。
1.
ユーザーロールと管理者ロールを定義する
Web コンソールにおける場所：User > Roles および Administrators > Delegation
「ロール」では、ユーザーセッションパラメータ（セッション設定およびオプショ
ン )、個人設定（ユーザーインターフェースのカスタマイズ )、および有効なアクセ
ス機能を定義します。アクセス機能とは、Secure Access 700 が使用する Network
Connect アクセス機能など、ネットワークへのアクセスを提供するメカニズムです。
32
Juniper Networks Instant Virtual Extranet プラットフォームの概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
IVE には、1 つのユーザーロール “Users” と 2 つの管理者ロール “.Administrators” お
よび “.Read-Only Administrators” があらかじめ設定されています。
2.
リソースポリシーを定義する
Web コンソールにおける場所：Resource Policies
リソースポリシーは、ユーザーおよび管理者がアクセスできるリソースをさらに制
限します。たとえば、パートナーがネットワークファイルサーバーにアクセスする
ことを拒否する Network Connect アクセスコントロールリソースポリシーを定義で
きます。リソースポリシーを設定する場合は、そのリソースポリシーを使用する
ロールを指定する必要があります。
Secure Access 700 アプライアンスには、すべてのユーザーにネットワークアクセス
を許可するリソースポリシーがあらかじめ定義されています。
3.
認証サーバーと承認サーバーを定義する
Web コンソールにおける場所：Signing In > AAA Servers
認証サーバーおよび承認サーバーは、ユーザーの資格情報を認証し、システム内の
ユーザーの権限を特定します。たとえば、証明書サーバーを使用してユーザーのクラ
イアントサイドの証明書属性に基づいてユーザーを認証し、LDAP サーバーを使用し
て証明書失効リスト（CRL）に含まれる値に基づいてユーザーを承認することができ
ます。
IVE には、ユーザーを認証するローカル認証サーバー “System Local” と、管理者を認
証するローカル認証サーバー “Administrators” があらかじめ 1 つずつ定義されていま
す。アプライアンスへのユーザーアクセスを許可するには、少なくともこれらのサー
バーにユーザーを追加する必要があります。
4.
認証領域を定義する
Web コンソールにおける場所：Users > Authentication および Administrators >
Authentication
認証領域には、ユーザーまたは管理者が IVE にサインインする際の要件を指定するポ
リシーが含まれています。たとえば、ユーザーが特定の IP アドレスまたは特定のブ
ラウザからサインインする場合にのみ、アプライアンスへのアクセスを許可するよう
に、認証ポリシーを指定できます。認証領域を設定する場合は、規則を作成する必要
があります。この規則により、ユーザーにロールを割り当て、アプライアンスで領域
メンバーの認証と承認に使用するサーバーを指定します。
IVE には、“System Local” サーバーを通して認証されたすべてのユーザーを、“Users”
ロールに割り当てる “Users” 領域があらかじめ 1 つ定義されています。その他にも、
アプライアンスには、“Administrators” サーバーを通して認証されたすべてのユー
ザーを “.Administrators” ロールに割り当てる、“Admin Users” 領域があらかじめ 1 つ
定義されています。
5.
サインインポリシーを定義する
Web コンソールにおける場所：Signing In > Sign-in > Sign-In Policies
サインインポリシーでは、ユーザーおよび管理者が IVE へサインインする際に使用
する URL を指定します。サインインポリシーを設定する場合は、1 つ以上の領域と
関連付ける必要があります。指定された領域のメンバーのみ、ポリシーで定義されて
いる URL を使用してアプライアンスにサインインできます。
Juniper Networks Instant Virtual Extranet プラットフォームの概要

33
Juniper Networks NetScreen Secure Access 700 管理ガイド
IVE には、領域メンバー “Users” の “*/” URL からのサインインを許可するサインイン
ポリシーと、領域メンバー “Admin Users” の “*/admin” URL からのサインインを許可
するサインインポリシーがあらかじめ 1 つずつ定義されています。
34
Juniper Networks Instant Virtual Extranet プラットフォームの概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
Access Series の概要
Juniper Networks Secure Access アプライアンスは、ネットワークリソースへのセキュア
なリモートアクセスを拡張する、セキュリティ機能を提供します。Secure Access 700 ア
プライアンスはほんの数時間で設定でき、ユーザーに対して次のようなセキュアなアクセ
スを提供します。
社員、パートナー、顧客は、アプライアンスの直感的なホームページにアクセスするため
の Web ブラウザとインターネット接続以外必要ありません。Secure Access 700 のユー
ザーは、このページからリモートセッションを管理できます。
また、SSL VPN アプライアンスのインストール、設定、管理は簡単に行うことができま
す。堅牢なネットワークアプライアンス Secure Access 700 は、短時間でラックに設置で
き、付属のゴム足を取り付けることによって、平らな面に設置することもできます。ネッ
トワークに接続したら、シリアルコンソールから初期のシステム設定とネットワーク設
定を入力するだけで、Web コンソールにアクセスできます。Web ベースのインター
フェース、Web コンソールにより、企業のニーズに合わせてアプライアンスを設定・管
理します。以下の機能により、導入をスムーズに行い、システムを効率的に管理すること
ができます。

容易なサーバー統合－ IVE アプライアンスは、既存の企業の認証サーバー（LDAP、
RADIUS、NIS、Windows NT ドメイン、Active Directory、および RSA ACE/ サーバー）
に接続することができます。社内の Web サーバー、ファイルサーバー、またはネッ
トワークに変更を加える必要はありません。

証明書の認証－内部リソースに変更を加えることなくアプリケーションを保護しま
す。領域の認証ポリシーの一部としてデジタル証明書の要件を指定するだけです。

シンプルなファイアウォールポリシー－外部からは IVE への SSL アクセスのみが必
要です。

IVE アクセス管理システム（認証領域、ユーザーロール、およびリソースポリシー）
を使用したリソースアクセス管理

集中管理された、アプリケーションレベルのロギング。管理者およびユーザーのアク
ション、接続、ファイル、Web 要求、およびシステムエラーを追跡します。

インターネットを介したシステムソフトウェアのアップグレード

SNMP と DMZ のサポート
Access Series の概要

35
Juniper Networks NetScreen Secure Access 700 管理ガイド
アクセス管理の概要
SSL VPN アプライアンスは、認証、ユーザープロファイル、およびリソースポリシーに
基づいた企業リソースのセキュリティ保護を実現します。これらの 3 つのレベルでコント
ロールすることにより、拡張エンタープライズを提供する上で適切なアクセス管理が可能
になります。ユーザーが IVE にサインインするとき、IVE 機能にアクセスするとき、また
特定のリソースにアクセスするときにユーザーが満たすべきセキュリティ要件を、指定
することができます。IVE は、設定したポリシー、規則、制限、および条件を適用するこ
とによって、ユーザーが許可されていないリソースやコンテンツにアクセスしたりダウン
ロードできないようにします。
詳細については、以下を参照してください。

36 ページの「ポリシー、規則、制限、および条件」

37 ページの「アクセスと承認のフローチャート」

40 ページの「動的ポリシー評価」

42 ページの「セキュリティ要件の設定」
ポリシー、規則、制限、および条件
IVE は、認証領域、ユーザーロール、およびリソースポリシーを使用して、企業リソー
スのセキュリティ保護を実現します。これらのアクセスレベルにより、アクセス管理を広
範囲なレベル（どのユーザーが IVE にサインインできるかを制御）から詳細なレベル（ど
の認証済ユーザーが特定の URL やファイルにアクセスできるかを制御）に渡って可能に
します。
認証領域へのアクセス
リソースへのアクセス可能性の検証は認証領域から始まります。認証領域とは認証リソー
スの分類で、次のようなものがあります。
36
アクセス管理の概要

認証サーバー：ユーザーが本人に間違いないかどうかを検証します。IVE は、ユー
ザーがサインインページで提示する資格情報を認証サーバーに転送します。詳細につ
いては、46 ページの「認証サーバー」を参照してください。

認証ポリシー：IVE アプライアンスがユーザーの資格情報を確認用に認証サーバーに
送る以前に満たす必要がある、領域セキュリティ要件を指定します。詳細について
は、48 ページの「認証ポリシー」を参照してください。

ディレクトリサーバー：IVE がユーザーに 1 つ以上のユーザーロールを割り当てる
際に使用するユーザーとグループの情報を、IVE に提供する LDAP サーバー。詳細に
ついては、48 ページの「ディレクトリサーバー」を参照してください。

ロールマッピング規則：IVE がユーザーに 1 つ以上のロールを割り当てるために、
ユーザーが満たす必要のある条件。この条件は、領域のディレクトリサーバーに返さ
れたユーザー情報またはユーザー名に基づいています。詳細については、48 ページ
の「ロールマッピング規則」を参照してください。
Juniper Networks NetScreen Secure Access 700 管理ガイド
IVE のサインインページには、1 つ以上の認証領域が関連付けられています。サインイン
ページに複数の領域が存在する場合、ユーザーは、資格情報を送信する前に領域を指定す
る必要があります。ユーザーが資格情報を送信すると、IVE は選択した領域に定義されて
いる認証ポリシーをチェックします。ユーザーが領域の認証ポリシーで指定されたセキュ
リティ要件を満たしていない場合、IVE はユーザーの資格情報を認証サーバーに転送しま
せん。
領域レベルでは、ユーザーのソース IP アドレスやクライアントサイドの証明書の有無な
どの要素に基づいて、セキュリティ要件を指定できます。領域の認証ポリシーによって指
定された要件をユーザーが満たしている場合、IVE はユーザーの資格情報を適切な認証
サーバーに転送します。このサーバーでユーザーが無事認証されると、IVE は領域に定義
されたロールマッピング規則を確認して、ユーザーに割り当てるロールを決定します。
詳細については、46 ページの「認証領域の概要」を参照してください。
ユーザーロールへのアクセス
ロールとは、ロールに割り当てられたユーザーの IVE セッションプロパティを定義する
エンティティです。これらのセッションプロパティには、セッションタイムアウト、利
用できるアクセス機能などの情報が含まれます。ロールの設定は、リソースアクセス管理
の第 2 レベルとして機能します。ロールには、ユーザーが利用できるアクセスメカニズ
ムを指定するだけでなく、ロールに割り当てる際にユーザーが満たしていなければならな
い条件も指定できます。ユーザーはこれらのセキュリティ要件を満たしている必要があ
り、満たしていない場合には、IVE はユーザーをロールに割り当てません。
ロールレベルでは、ユーザーのソース IP アドレスやクライアントサイドの証明書の有無
などの要素に基づいて、セキュリティ要件を指定できます。ロールマッピング規則または
ロールの制限のいずれかで指定された要件をユーザーが満たしている場合、IVE はユー
ザーにロールを割り当てます。ユーザーが、そのロールで利用可能なバックエンドリソー
スに要求を送信する場合には、IVE は、対応するアクセス機能のリソースポリシーを確認
します。
ロールのセキュリティ要件は、ロール定義に制限を定義することで指定できます。IVE は、
ユーザーにロールを割り当てる前に指定した要件を評価し、ユーザーがそれらの要件を満
たしているかどうか確認します。
詳細については、51 ページの「ユーザーロールの概要」を参照してください。
リソースポリシーへのアクセス
リソースポリシーとは、アクセスの許可または拒否を設定するリソース名のセット（ホ
スト名、IP アドレス / ネットマスクの組み合わせ等）です。リソースポリシーはリソース
アクセス管理の第 3 レベルとして機能します。ロールでは特定の種類のアクセス機能やリ
ソースへのアクセスを許可しますが、ユーザーが個々のリソースにアクセスできるかどう
かはリソースポリシーによって管理されます。これらのポリシーでは、サーバー共有また
はファイルに対するユーザーアクセスを許可または拒否する条件も指定できます。これら
の条件は、指定したセキュリティ要件に基づくことも可能です。ユーザーはこれらのセ
キュリティ要件を満たしている必要があり、満たしていない場合、IVE はユーザーの要求
を処理しません。
リソースレベルでは、ユーザーのソース IP アドレスやクライアントサイドの証明書の有
無などの要素に基づいて、セキュリティ要件を指定できます。ユーザーがリソースポリ
シーの条件で指定された要件を満たしている場合、IVE は要求されたリソースへのアクセ
スを許可または拒否します。
詳細については、54 ページの「リソースポリシーの概要」を参照してください。
アクセスと承認のフローチャート
アクセス管理の概要

37
Juniper Networks NetScreen Secure Access 700 管理ガイド
このフローチャートは、ユーザーと IVE アプライアンス、そして IVE と認証領域の間で生
じるトランザクションを示します。フローチャートは、ユーザーが IVE サインインページ
への URL を入力するところから、そのユーザーセッションを終了するまでの流れを示し
ています。
図 19: IVE は領域とプライマリサーバーに対してユーザーを認証
38
アクセス管理の概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 20: IVE はユーザーを承認し、セカンダリサーバーに対してユーザーを認証
アクセス管理の概要

39
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 21: IVE はユーザーに１つ以上のユーザーロールを割り当て、
リソースポリシーを評価
動的ポリシー評価を有効にすると、次のフローチャートに示す処理が繰り返されます。
（詳細については、40 ページの「動的ポリシー評価」を参照してください）。
動的ポリシー評価
動的ポリシー評価を使用すると、領域の認証ポリシー、ロールマッピング、ロール制限、
およびリソースポリシーを評価することによって、自動または手動によりユーザーに割
り当てられたロールを更新できます。
40
アクセス管理の概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
動的ポリシー評価を使用しない場合、IVE は次のイベントが発生した場合のみ、ポリシー
とロールを評価します。

ユーザーが IVE サインインページに初めてアクセスすると、IVE は領域の Host
Checker ポリシー（存在する場合）を評価します。

ユーザーの初期認証の直後に、IVE は、認証ポリシー、ロールマッピング規則、およ
びロール制限にあるユーザーの領域制限を評価します。

そのユーザーがリソースに対し要求を行った場合、IVE はリソースポリシーを評価し
ます。

ユーザーのコンピュータの Host Checker の状態が変わった場合、IVE はロールの
Host Checker ポリシー（存在する場合）を評価します。
動的ポリシー評価を使用せず、認証ポリシー、ロールマッピング規則、ロール制限、ま
たはリソースポリシーを変更した場合は、上記のイベントが発生したときにのみ IVE は
これらの変更を適用します。
動的ポリシー評価は、次のいずれかの方法で使用できます。

Evaluate all signed-in users in a realm － Administrators > Authentication > 領域を
選択または Users > Authentication > 領域を選択ページの General タブでこの機能
を使用すると、ある領域に現在サインインしているすべてのユーザーのロールを自動
または手動により更新できます。以下の機能により、IVE を領域レベルにおいて動的
ポリシー評価を実行するようトリガできます。

An automatic timer － IVE が現在領域にサインインしているすべてのユーザー
の自動ポリシー評価を実行する頻度（30 分毎など）を決定する、更新間隔を指
定できます。更新間隔を指定する場合、ロールやリソースポリシーに加え、認証
ポリシー、ロールマッピング規則、およびロール制限を更新するかどうかを指
定することにより、IVE のパフォーマンスを微調整することも可能です。

On-demand －任意の時間に、現在領域にサインインしているすべてのユーザー
の認証ポリシー、ロールマッピング規則、ロール制限、およびリソースポリ
シーを手動で評価できます。認証ポリシー、ロールマッピング規則、ロール制
限、またはリソースポリシーを変更し、この領域のユーザーのロールを直ちに
更新する場合に、この方法は役立ちます。
領域レベルにおける動的ポリシー評価の使用方法については、239 ページの
「General タブ」を参照してください。

Evaluate all signed-in users in all realms － System > Status > Active Users ページ
の Active Users タブでこの機能を使用すると、任意の時間に、すべての領域に現在サ
インインしているすべてのユーザーのロールを手動で更新できます。詳細について
は、138 ページの「Active Users タブ」を参照してください。

Evaluate individual users － Signing In > End Point > Host Checker ページで、Host
Checker の動的ポリシー評価を有効にすると、個々のユーザーのロールを自動的に更
新できます。Host Checker は、ユーザーの Host Checker のステータスが変わるとリ
ソースポリシーを評価するように IVE をトリガできます。（Host Checker の動的ポリ
シー評価を有効にしない場合、IVE はリソースポリシーを評価しませんが、ユーザー
の Host Checker の状態が変わると、認証ポリシー、ロールマッピング規則、ロール
制限を評価します。）詳細については、184 ページの「Host Checker タブ」を参照して
ください。
動的ポリシー評価の際、IVE は次のリソースポリシータイプを評価します。

Network Connect
アクセス管理の概要

41
Juniper Networks NetScreen Secure Access 700 管理ガイド

Telnet/SSH

Java アクセス

コード署名（Java アプレット用）
メモ : ユーザーがリソースに対して要求を行う場合に IVE は Web and Files リソースポ
リシーを評価するため、Web とファイルの動的ポリシー評価は不要です。IVE は、
Meetings リソースポリシーと Email Client リソースポリシーに動的ポリシー評価を使
用しません。
動的ポリシー評価の結果、IVE がユーザーはポリシーやロールのセキュリティ要件を満た
していないと判断した場合は、IVE はそのユーザーとの接続を直ちに終了します。ユー
ザーは、TCP やアプリケーション接続の終了、または Network Connect、Secure
Application Manager、Terminal あるいは Telnet/SSH の終了を見ることができます。ユー
ザーは、ポリシーやロールのセキュリティ要件を満たすために必要な手順を行ってから、
IVE に再びサインインします。
IVE は、ポリシー評価やロールの変更、イベントログへのアクセスについての情報をログ
に記録します。
セキュリティ要件の設定
以下のセクションで説明する IVE のオプションや機能を使用して、管理者およびユーザー
のセキュリティ要件を簡単に指定することができます。

42 ページの「ソース IP のアクセス制限」

43 ページの「ブラウザのアクセス制限」

44 ページの「証明書のアクセス制限」

45 ページの「パスワードのアクセス制限」

45 ページの「Host Checker のアクセス制限」

45 ページの「Cache Cleaner のアクセス制限」
ソース IP のアクセス制限
ソース IP により、IVE およびリソースへのアクセスを制限できます。

When administrators or users try to sign in to the IVE －ユーザーは、IP アドレス /
ネットマスクの組み合わせが、選択されている認証領域の指定ソース IP 要件と一致
するコンピュータからサインインする必要があります。領域が要求する IP アドレス /
ネットマスクの組み合わせが、ユーザーのコンピュータに該当しない場合は、IVE は
ユーザーの資格情報を認証サーバーに転送せず、ユーザーは IVE へのアクセスを拒否
されます。
領域レベルで IP 制限を実施するには、次の場所に移動します。
42
アクセス管理の概要

Administrators > Authentication > 領域を選択 > Authentication Policy >
Source IP

Users > Authentication > 領域を選択 > Authentication Policy > Source IP
Juniper Networks NetScreen Secure Access 700 管理ガイド

When administrators or users are mapped to a role －認証されたユーザーは、IP ア
ドレス / ネットマスクの組み合わせが、IVE がユーザーに割り当てるロールに指定し
たソース IP 要件と一致するコンピュータから、サインインしている必要があります。
ロールが要求する IP アドレス / ネットマスクの組み合わせがユーザーのコンピュー
タに該当しない場合、IVE はそのロールをユーザーに割り当てません。
ロールレベルで IP 制限を実施するには、次の場所に移動します。

Administrators > Authentication > 領域を選択 > Role Mapping > ルールを
選択 | 作成 > カスタム式

Administrators > Delegation > 領域を選択 > General > Restrictions >
Source IP

Users > Authentication > 領域を選択 > Role Mapping > ルールを選択|作成 >
カスタム式

Users > Roles > ルールを選択 > General > Restrictions > Source IP
When users request a resource －認証および承認されたユーザーは、IP アドレス /
ネットマスクの組み合わせが、ユーザーの要求に対応するリソースポリシーの指定
ソース IP 要件と一致するコンピュータからリソースを要求する必要があります。リ
ソースが要求する IP アドレス / ネットマスクの組み合わせがユーザーのコンピュー
タに該当しない場合は、IVE はそのリソースへのユーザーアクセスを許可しません。
リソースポリシーレベルで IP 制限を実施するには、次の場所に移動します。
Resource Policies > リソースを選択 > SelectPolicy > Detailed Rules > ルールを選択
| 作成 > フィールドに条件をつける
ブラウザのアクセス制限
ブラウザの種類により、IVE やリソースへのアクセスを制限できます。

When administrators or users try to sign in to the IVE －ユーザーは、ユーザーエー
ジェント文字列が、選択した認証領域の指定したユーザーエージェント文字列パ
ターン要件を満たすブラウザから、サインインする必要があります。ブラウザのユー
ザーエージェント文字列がその領域で「許可」されると、IVE はユーザーの資格情報
を認証サーバーに送信します。ブラウザのユーザーエージェント文字列がその領域で
「拒否」された場合は、IVE はユーザーの資格情報を認証サーバーに送信しません。
領域レベルでブラウザ制限を実施するには、次の場所に移動します。

Administrators > Authentication > 領域を選択 > Authentication Policy >
Browser

Users > Authentication > 領域を選択 > Authentication Policy > Browser
When administrators or users are mapped to a role －認証されたユーザーは、ユー
ザーエージェント文字列が IVE のユーザーに割り当てたロールに指定したユーザー
エージェント文字列パターン要件と一致するブラウザから、サインインしている必要
があります。ユーザーエージェント文字列がロールの「許可」または「拒否」要件を
満たしていない場合は、IVE はユーザーにそのロールを割り当てません。
ロールレベルでブラウザ制限を実施するには、次の場所に移動します。

Administrators > Delegation > 領域を選択 > General > Restrictions >
Browser

Users > Authentication > 領域を選択 > Role Mapping > ルールを選択|作成 >
カスタム式
アクセス管理の概要

43
Juniper Networks NetScreen Secure Access 700 管理ガイド

Users > Roles > 領域を選択 > General > Restrictions > Browser
When users request a resource －認証および承認されたユーザーは、ユーザーエー
ジェント文字列が、ユーザーの要求に対応するリソースポリシーの指定した「許可」
または「拒否」要件と一致するブラウザから、リソースを要求する必要があります。
ユーザーエージェント文字列がリソースの「許可」または「拒否」要件を満たして
いない場合は、IVE はそのリソースへのユーザーアクセスを許可しません。
リソースポリシーレベルでブラウザ制限を実施するには、次の場所に移動します。
Resource Policies > リソースを選択 > ポリシーを選択 > Detailed Rules > ルール
を選択 | 作成 > フィールドに条件をつける
証明書のアクセス制限
Web コンソールの System > Configuration > Certificates > Trusted Client CAs ページか
ら、クライアントサイド証明書を IVE にインストールすると、クライアントサイド証明書
を要求することにより、IVE やリソースアクセスを制限できます。

When administrators or users try to sign in to the IVE －ユーザーは、指定のクライ
アントサイド証明書（適切な認証局（CA）から発行され、オプション指定のフィー
ルド / 値の組要件を含む）を所有するコンピュータから、サインインしている必要が
あります。領域が要求する証明書情報がユーザーのコンピュータ上に存在しない場
合、ユーザーはサインインページにアクセスできますが、ユーザーのブラウザに証
明書がないことを確認した IVE は、ユーザーの資格情報を認証サーバーに送信しな
いため、ユーザーは IVE の機能にアクセスできません。
領域レベルで証明書制限を実施するには、次の場所に移動します。

Administrators > Authentication > 領域を選択 > Authentication Policy >
Certificate

Users > Authentication > 領域を選択 > Authentication Policy > Certificate
When administrators or users are mapped to a role －認証されたユーザーは、IVE
がユーザーに割り当てたロールに指定したクライアントサイド証明書の要件（適切な
認証局（CA）から発行され、オプション指定のフィールド / 値の組要件を含む）を満
たしているコンピュータから、サインインしている必要があります。ロールが要求す
る証明書情報がユーザーのコンピュータに存在しない場合、IVE はユーザーにその
ロールを割り当てません。
ロールレベルで証明書制限を実施するには、次の場所に移動します。

Administrators > Delegation > 領域を選択 > General > Restrictions >
Certificate

Users > Authentication > 領域を選択 > Role Mapping > ルールを選択|作成 >
カスタム式

Users > Roles > 領域を選択 > General > Restrictions > Certificate
When users request a resource －認証および承認されたユーザーは、ユーザーの要
求に対応するリソースポリシーに指定したクライアントサイド証明書の要件（適切
な認証局（CA）から発行され、オプション指定のフィールド / 値の組要件を含む）を
満たすコンピュータから、リソースを要求する必要があります。リソースが要求する
証明書情報がユーザーのコンピュータに存在しない場合、IVE はユーザーにそのリ
ソースへのアクセスを許可しません。
リソースポリシーレベルで証明書制限を実施するには、次の場所に移動します。
Resource Policies > リソースを選択 > ポリシーを選択 > Detailed Rules > ルール
を選択 | 作成 > フィールドに条件をつける
44
アクセス管理の概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
パスワードのアクセス制限
パスワードの文字数により、IVE およびリソースへのアクセスを制限できます。

When administrators or users try to sign in to an IVE －ユーザーは、領域に指定さ
れている最低文字数の要件を満たすパスワードを入力する必要があります。ローカル
ユーザーと管理者のレコードは IVE 認証サーバーに格納されます。このサーバーで
は、領域の認証ポリシーに指定する値に関係なく、6 文字以上のパスワードが要求さ
れます。
領域レベルでパスワード制限を実施するには、次の場所に移動します。

Administrators > Authentication > 領域を選択 > Authentication Policy >
Password

Users > Authentication > 領域を選択 > Authentication Policy > Password
Host Checker のアクセス制限
Host Checker の状態に基づいて IVE、ロール、またはリソースへのユーザーアクセスを制
限するには、71 ページの「Host Checker ポリシーの実装」を参照してください。
Cache Cleaner のアクセス制限
Cache Cleaner の状態に基づいて IVE、ロール、またはリソースへのユーザーアクセスを
制限するには、77 ページの「Cache Cleaner の実装」を参照してください。
アクセス管理の概要

45
Juniper Networks NetScreen Secure Access 700 管理ガイド
認証領域の概要
認証領域とは認証リソースの分類で、以下が含まれます。

ロールマッピング規則：IVE がユーザーに 1 つ以上のロールを割り当てるために、
ユーザーが満たす必要のある条件。この条件は、領域のディレクトリサーバーに返さ
れたユーザー情報またはユーザー名に基づいています。詳細については、48 ページ
の「ロールマッピング規則」を参照してください。
認証サーバー
認証サーバーとは、ユーザーの資格情報（ユーザ名とパスワード）に加え、一般にグルー
プや属性情報を保存するデータベースです。ユーザーは、IVE にサインインするときに、
認証サーバーに関連付けられている認証領域を指定します。ユーザーがその領域の認証ポ
リシーに準じている場合は、IVE はユーザーの資格情報を関連する認証サーバーに転送し
ます。認証サーバーの役割は、そのユーザーが存在し、本人であることを検証することで
す。ユーザーの確認後、認証サーバーは IVE に承認を送信します。さらにそのサーバーが
領域でディレクトリ / 属性サーバーとして機能している場合には、ユーザーのグループ情
報などの属性情報も送信します。次に IVE は領域のロールマッピング規則を確認し、ユー
ザーに割り当てるユーザーロールを決定します。
メモ : オプションで、セカンダリ認証サーバーを領域に関連付けることができます。そ
の場合 IVE は、ユーザーにロールを割り当てる前に、セカンダリサーバーにユーザーの
資格情報を送信します。
領域で使用可能な認証サーバーを指定するには、最初に Signing In > AAA Servers ページ
で、サーバーインスタンスを設定しておく必要があります。サーバーの設定を保存する
と、Authentication ドロップダウンリストの General タブにサーバー名（インスタンス
に割り当てられた名前）が表示されます。サーバーによって、以下が表示されます。
46
認証領域の概要

LDAP または Active Directory サーバー－インスタンス名が、領域の General タブの
Directory/Attribute ドロップダウンリストにも表示されます。領域での認証と承認を
行うのに、同じ LDAP サーバーまたは Active Directory サーバーを使用できます。ま
た、異なる認証サーバーを使用している複数の領域に対して承認を行うときも、これ
らのサーバーを使用できます。

RADIUS サーバー－インスタンス名が、領域の General タブの Accounting
ドロップダウンリストにも表示されます。また、異なる認証サーバーを使用してい
る複数の領域に対してアカウンティングを行うときも、これらのサーバーを使用でき
ます。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Secure Access 700 は、Windows NT Domain、Active Directory、RADIUS、LDAP、NIS、
RSA ACE/ サーバーなどの最も標準的な認証サーバーをサポートしており、IVE で認証す
るユーザーのローカルデータベースを 1 つ以上作成することができます。サーバーの概
要と設定についての情報は、次を参照してください。

215 ページの「ACE/Server インスタンスの構成」

226 ページの「Active Directory または NT ドメインインスタンスの設定」

231 ページの「匿名サーバーインスタンスを構成する」

233 ページの「証明書サーバーインスタンスを設定する」

211 ページの「LDAP サーバーインスタンスの設定」

206 ページの「ローカル認証サーバーインスタンスを構成する」

214 ページの「NIS サーバーインスタンスの設定」

218 ページの「RADIUS サーバーインスタンスの設定」
メモ : 認証サーバーは、IVE にアクセスできる必要があります。RSA ACE/ サーバーなど
の認証サーバーがエージェントホストに対して IP アドレスを使用しない場合は、認証
サーバーは、DNS エントリまたは認証サーバーのホストファイルのエントリから IVE
ホスト名を解決できる必要があります。
認証領域の概要

47
Juniper Networks NetScreen Secure Access 700 管理ガイド
認証ポリシー
認証ポリシーとは、アクセス管理の一面、領域のサインインページをユーザーに表示す
るかどうかを制御する一連の規則です。認証ポリシーは認証領域の設定に含まれるもの
で、サインインページをユーザーに表示する前に IVE で検討する規則を指定します。ユー
ザーが領域の認証ポリシーで指定されている要件を満たしている場合は、IVE は該当する
サインインページをユーザーに表示し、その後ユーザーの資格情報を適切な認証サー
バーに転送します。このサーバーでユーザー認証が正常に行われると、次に IVE はロール
評価プロセスを行います。
ディレクトリサーバー
ディレクトリサーバーとは、ユーザーに加え、一般にグループ情報を保存するデータ
ベースです。認証領域の設定では、ディレクトリサーバーを使用して、ロールマッピン
グ規則およびリソースポリシーに必要なユーザー情報やグループ情報を取得するように
指定できます。これを可能にするために、現在 IVE は LDAP サーバーをサポートしていま
す。これにより、認証と承認の両方を LDAP サーバーで行うことができます。サーバーイ
ンスタンスを 1 つ定義するだけで、領域の General タブの Authentication ドロップダウ
ンリストと Directory/Attribute ドロップダウンリストに LDAP サーバーのインスタンス
名が表示されます。同じサーバーを複数の領域で使用できます。
ロールマッピング規則で使用するユーザー属性の取得には、LDAP サーバーだけでなく、
RADIUS サーバーも使用できます。ただし、LDAP サーバーインスタンスとは異なり、
RADIUS サーバーインスタンス名は領域の Directory/Attribute ドロップダウンリストに
表示されません。RADIUS サーバーを使用してユーザー情報を取得できるようにするには、
Authentication リストでインスタンス名を選択して、Directory/Attribute リストで Same
as Above を選択します。次に、RADIUS サーバーから属性を使用するようにロールマッピ
ング規則を設定します。属性は、Rule based on User attribute を選択すると、IVE により
Role Mapping Rule ページの属性リストに表示されます。
ディレクトリサーバーの指定方法については、239 ページの「認証領域の作成」を参照
してください。ロールマッピング規則で LDAP または RADIUS 属性を指定する方法につい
ては、242 ページの「認証領域にロールマッピング規則を指定」を参照してください。
ロールマッピング規則
ロールマッピング規則とは、次の形式で指定する命令です。
指定した条件が true または true でない場合に、ユーザーを選択したロールにマップ
します。
ロールマッピング規則は、認証領域の Role Mapping タブで作成します。（管理者のロー
ルマッピング規則は Administrators > Authentication > [ 領域 ] > Role Mapping タブで
作成します。ユーザーのロールマッピング規則は Users > Authentication > [ 領域 ] >
Role Mapping タブで作成します）。このタブで New Rule をクリックすると、規則を定義
するインラインエディタとともに Role Mapping Rule ページが表示されます。このエディ
タを使用して、規則作成の以下の 3 つの手順を行います。
1.
2.
規則を設定する条件のタイプを指定します。オプションには以下のものがあります。

ユーザー名

証明書または証明書の属性

グループメンバーシップ
評価する条件を、以下のように指定します。
a.
48
認証領域の概要
ステップ 1 で選択した条件のタイプに応じて、1 つ以上のユーザー名、ユーザー
属性、証明書属性、またはグループ（LDAP）を指定します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
b.
3.
評価する式の値を指定します。この場合、RADIUS または LDAP サーバーからの
ユーザー名、ユーザー属性値、クライアントサイド証明書の値（静的な値または
LDAP 属性との比較）、または LDAP グループのリストを含めることができます。
認証されたユーザーに割り当てるロールを指定します。
IVE は、ユーザー割り当てが可能な適格なロールのリストを編集します。ここに含まれる
ロールは、ユーザーが従わなければならないロールマッピング規則で指定されている
ロールです。その後、IVE は各ロールの定義を評価して、ユーザーがロール制限に違反し
ていないかどうかを確認します。IVE はこの情報を使用して、有効なロールのリストを編
集します。ここに含まれるロールは、ユーザーがすべての追加要件を満たしているロール
です。最後に、IVE は領域の Role Mapping タブで指定されている設定に応じて、有効な
ロールのパーミッシブマージを実行するか、または、ユーザーに有効なロールのリスト
を表示します。
ロールの詳細については、51 ページの「ユーザーロールの概要」を参照してください。
ロールマッピング規則の指定方法については、242 ページの「認証領域にロールマッピ
ング規則を指定」を参照してください。
認証領域の概要

49
Juniper Networks NetScreen Secure Access 700 管理ガイド
サインインポリシーの概要
サインインポリシーでは、ユーザーおよび管理者が IVE にアクセスする際に使用し、サ
インインページに表示される URL を定義します。IVE には事前に 2 つのサインインポリ
シー（ユーザー用と管理者用）が用意されています。これらのポリシーを設定する場合
は、それぞれに適切な領域、サインインページ、URL を関連付けます。
たとえば、すべての管理者が IVE にサインインできるようにするには、すべてのユーザー
認証領域をユーザーのサインインポリシーに追加する必要があります。また、エンドユー
ザーが IVE へのアクセスに使用し、サインインページに表示される標準の URL を変更す
ることもできます。
このセクションには、サインインポリシーについての次の情報が含まれています。

50 ページの「サインインページ」

50 ページの「タスクサマリー：サインインポリシーの設定」
サインインページ
サインインページでは、ウェルカムテキスト、ヘルプテキスト、ロゴ、ヘッダー、およ
びフッターなど、エンドユーザーの Welcome ページのプロパティをカスタマイズして定
義します。IVE の既定の標準サインインページは、Web コンソールの System > Signing
In > Sign-in Pages ページで変更できます。
タスクサマリー：サインインポリシーの設定
サインインページを設定するには、次の操作を行います。
1.
Web コンソールの Administrators > Authentication または Users > Authentication
ページのいずれかから、認証領域を作成します。
2. （オプション）Web コンソールの System > Signing In > Sign-in Pages ページのオプ
ションを使用して、既存のサインインページを変更するか、新規のページを作成し
ます。
3.
50
サインインポリシーの概要
Web コンソールの System > Signing In > Sign-in Policies ページの設定を使用して、
領域、サインイン URL、およびサインインページに関連付けるサインインポリシー
を指定します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
ユーザーロールの概要
ユーザーロールは、ユーザーセッションパラメータ（セッション設定とオプション）、個
人設定（ユーザーインターフェースのカスタマイズ）、有効なアクセス機能（Secure
Access 700 で有効なアクセス機能は、Network Connect のみ）を定義するエンティティで
す。ユーザーロールでは、個々の要求に対するリソースアクセスコントロールまたはそ
の他のリソース関連のオプションは指定しません。たとえば、ユーザーロールで Network
Connect アクセス機能を有効にしても、ユーザーがアクセスできる個々のリソースは、
別々に設定する Network Connect アクセスコントロールのリソースポリシーで定義され
ます。
ここでは、以下の内容について説明します。

51 ページの「ロールタイプ」

51 ページの「ロールコンポーネント」

52 ページの「ロール評価」
ユーザーロールの作成については、256 ページの「Roles ページの設定」を参照してくだ
さい。
ロールタイプ
IVE には、以下の 2 種類のユーザーロールがあります。

管理者－管理者ロールは、IVE の管理機能とロールに割り当てられた管理者のセッ
ションプロパティを指定するエンティティです。管理者ロールをカスタマイズするに
は、その管理者ロールのメンバーが表示および管理可能な IVE 機能設定とユーザー
ロールを選択します。管理者ロールは、Web コンソールの Administrators >
Delegation ページで作成および設定できます。

ユーザー－ユーザーロールは、ユーザーセッションパラメータ、個人設定および
有効なアクセス機能を定義するエンティティです。ユーザーロールをカスタマイズす
るには、IVE セッションオプション、ユーザーインターフェース設定、ロール制限、
および Network Connect のオプションを設定します。ユーザーロールは、Web コン
ソールの Users > Roles ページで作成および設定できます。
ロールコンポーネント
ユーザーロールには、以下の情報が含まれます。

ロールの制限－ソース IP、ユーザーエージェント、クライアントサイド証明書、
Host Checker および Cache Cleaner 要件に基づいて、ユーザーがロールにアクセスで
きるかどうか制限します。ユーザーにこのロールを割り当てる前に検証する要件で
す。

ロールベースのソース IP エイリアス－ユーザーが IVE の背後のネットワークデバ
イスにアクセス可能かどうかを、ロールに基づいて検証します。ロールに基づいて特
定のサイトにトラフィックをダイレクトする場合は、各ロールのソース IP エイリア
スを定義できます。

セッションパラメータ－タイムアウト値（アイドル、最大、リマインダ）
、タイム
アウト警告、ローミングセッション、固定セッションオプションなどのセッション
設定です。
ユーザーロールの概要

51
Juniper Networks NetScreen Secure Access 700 管理ガイド

ユーザーインターフェースオプション－サインインページ、ページヘッダー、
ページフッター、ブラウザのツールバーの表示 / 非表示などの個人設定です。ユー
ザーに複数のロールを割り当てた場合、IVE により、最初にユーザーに割り当てた
ロールのユーザーインターフェースが表示されます。

Network Connect 設定－ユーザーにローカルサブネットへのアクセスを許可するか
どうかを指定する、Network Connect アクセス機能。
ロール評価
IVE のロールマッピングエンジンは、以下の順でユーザーのセッションロールやユー
ザーセッションで有効なすべての権限を確認します。
1.
IVE は、ユーザーのサインインが正常に行われた認証領域の Role Mapping タブの最
初の規則から評価を開始します。
2.
IVE は、ユーザーが規則に定義されている要件を満たしているかどうかを確認しま
す。満たしている場合には、次の処理を行います。
a.
IVE は、該当するロールをユーザーが利用できる「適格なロール」のリストに追
加します。
b.
IVE は、
「一致したら停止」オプションが設定されているかどうかを確認します。
設定されている場合はステップ 5 に進みます。
3.
IVE は、ステップ 2 のプロセスに応じて、認証領域の Role Mapping タブにある次の
規則を評価し、後続の各規則にこのプロセスを繰り返します。IVE は、すべてのロー
ルマッピング規則を評価すると、適格なロールを包括するリストを作成します。
4.
IVE は、適格リスト内の各ロールの定義を評価し、ユーザーがロール制限に違反して
いないかどうか判断します。IVE はこの情報を使用して、有効なロールのリストを編
集します。ユーザーはこれらのロールの要件も満たしています。
有効なロールのリストにロールが 1 つのみ含まれている場合、IVE はそのロール
にユーザーを割り当てます。それ以外の場合は、IVE は評価プロセスを続けて行
います。
5.
ユーザーが複数のロールに割り当てられる場合、IVE は、Role Mapping タブで指定
されている以下の設定を評価します。

Merge settings for all assigned roles －このオプションを選択すると、IVE はす
べての有効なユーザーロールのパーミッシブマージを実行し、ユーザーセッ
ションの全般的な（ネット）セッションロールを決定します。

User must select from among assigned roles －このオプションを選択すると、
IVE により認証されたユーザーに有効なロールのリストが表示されます。ユー
ザーはこのリストからロールを選択する必要があります。IVE はユーザーセッ
ションの間、ユーザーをそのロールに割り当てます。

User must select the sets of merged roles assigned by each rule －このオプショ
ンを選択すると、IVE は認証されたユーザーに適格なロールのリスト（つまり、
ユーザーが条件を満たしている規則）を表示します。ユーザーはこのリストから
規則を選択する必要があり、IVE はその規則に割り当てられたすべてのロールの
パーミッシブマージを実行します。
メモ : 自動（時間ベース）動的ポリシー評価を使用するか、手動ポリシー評価を実行す
る場合は、IVE はこのセクションで説明するロール評価プロセスを繰り返します。詳細
については、40 ページの「動的ポリシー評価」を参照してください。
52
ユーザーロールの概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
パーミッシブマージのガイドライン
パーミッシブマージは、以下のガイドラインに従って有効な機能と設定をマージします。

ユーザーインターフェースオプションの場合、IVE は、ユーザーの最初のロールに
対応する設定を適用します。

セッションタイムアウトの場合、IVE は、全ロールから最大値をユーザーセッショ
ンに適用します。

複数のロールで Roaming Session 機能が有効な場合、IVE はネットマスクをマージし
て、そのセッションにより大きなネットマスクを作成します。

マージされたロールは、Roles > [ ロール ]> Web > Options ページの HTTP
Connection Timeout にリスト表示された最高値を使用します。
ユーザーロールの概要

53
Juniper Networks NetScreen Secure Access 700 管理ガイド
リソースポリシーの概要
リソースポリシーとは、特定のアクセス機能に対してリソースおよびアクションを指定
するシステム規則です。Secure Access 700 は 1 つのアクセス機能（Network Connect）を
使用します。リソースは IVE アプライアンスからアクセス可能なサーバーまたはファイル
を意味し、アクションはリソースの「許可」または「拒否」、あるいは機能の実行または
非実行のいずれかを意味します。各アクセス機能には、1 つまたは複数のポリシータイプ
があります。それぞれのタイプでは、ユーザーの要求に対する IVE アプライアンスの応答
を指定します。また、リソースポリシーの詳細規則を定義すると、特定のユーザーの要求
に対する追加の要件を評価できます。
ここでは、以下の内容について説明します。

54 ページの「リソースポリシータイプ」

54 ページの「リソースポリシーコンポーネント」

55 ページの「リソースポリシーの評価」
リソースポリシータイプ
IVE の Secure Access 700 Network Connect アクセス機能には、以下の 3 つのリソースポ
リシータイプがあります。

Network Connect アクセスコントロール－このポリシータイプは、Network
Connect を使用してユーザーが接続するリソースを管理します。

IP アドレスプール－このポリシータイプは、IVE アプライアンスがクライアントサ
イドプロセスに Network Connect セッション用の IP アドレスを割り当てるための IP
アドレス範囲を指定します。

スプリットトンネルネットワーク－このポリシータイプは、IVE アプライアンス
がトラフィックを処理する内部ネットワークを指定します。
リソースポリシーコンポーネント
リソースポリシーには、以下の情報が含まれます。
54
リソースポリシーの概要

リソース：ポリシーの適用対象のリソースを指定するリソース名の集合（ホスト名ま
たは IP アドレス / ネットマスクの組み合わせ）です。ホスト名を一致させるため、ワ
イルドカードを接頭辞として前に入力してリソースを指定できます。ポリシーのデ
フォルトリソースはアスタリスク（*）です。これは、関連するすべてのリソースに
ポリシーが適用されることを意味します。詳細については、281 ページの「リソース
ポリシーのリソースの指定」を参照してください。

ロール：このポリシーの適用対象のユーザーロールのリスト（オプション）。デフォ
ルト設定では、すべてのロールにポリシーが適用されます。

アクション：ユーザーから Resource リストに対応するリソースを要求されたときに
IVE アプライアンスが実行するアクション。アクションでは、リソースの許可または
拒否、あるいは特定の IP アドレスの割り当てを指定できます。
Juniper Networks NetScreen Secure Access 700 管理ガイド
リソースポリシーの評価
IVE アプライアンスがユーザーからの要求を受信すると、要求のタイプに応じたリソース
ポリシーが評価されます。IVE は要求されたリソースに対応するポリシーを処理する場合
に、その要求に対して指定のアクションを適用します。このアクションは、ポリシーの
General タブで定義します。
IVE アプライアンスでは、アクセス機能のリソースポリシーを上から下に順に評価しま
す。つまり、ポリシーリストの 1 番から開始して一致するポリシーが見つかるまでリス
トの下方向に進んでいきます。
リソースポリシー詳細規則
Web、ファイル、Telnet/SSH、Network Connect などのアクセス機能では、個々の Web、
ファイル、telnet サーバーに対するリソースポリシーを指定できます。Email Client のア
クセス機能のポリシーは 1 つで、グローバルに適用されます。このポリシーの場合、この
アクセス機能を有効化するすべてのロールで使用するサーバー設定を指定します。その他
のアクセス機能については、複数のリソースポリシーを指定できます。さらに、各ポリ
シーには 1 つ以上の詳細規則を定義できます。
詳細規則とは、以下の内容を指定できるリソースポリシーの拡張機能です。

General タブに表示されるリソースの追加1 情報（特定のパス、ディレクトリ、ファ
イル、ファイルタイプなど）
。

General タブで指定したアクションとは異なるアクション（同じリソースに対して）。

詳細規則を適用するためには結果が true でなければならない条件。
ほとんどの場合、General タブで指定する基本リソースポリシーにより、リソースに対す
るアクセスを十分にコントロールできます。
“defined_roles” に属しているユーザーが “defined_resources” にアクセスを試みる場
合、指定されている “resource_action” が実行されます。
以下に示すその他の情報のセットに基づいてアクションを実行する場合は、ポリシーに 1
つ以上の詳細規則を定義できます。

ヘッダー、コンテンツタイプ、ファイルタイプなどのリソースプロパティ

ユーザー名やユーザーに割り当てるロールなどのユーザープロパティ

ユーザーのソース IP およびブラウザタイプ、Host Checker または Cache Cleaner の
実行状態、時刻、証明書属性などのセッションプロパティ
詳細規則により、既存のリソース情報および権限情報を利用したより柔軟なリソースア
クセスコントロールが可能になり、基本リソースポリシーを適用するそれぞれのユー
ザーに異なる要件を効率的に指定できるようになります。
設定手順については、283 ページの「詳細規則の記述」を参照してください。
1. ユーザーの要求に対する条件を適用するためだけに詳細規則を使用する場合は、General タブと同じリソースリスト
を指定することもできます。
リソースポリシーの概要

55
Juniper Networks NetScreen Secure Access 700 管理ガイド
56
リソースポリシーの概要
第3章
認証と承認
IVE プラットフォーム上に構築されるすべての製品では、領域、サーバー、リソースのポ
リシーを使用して、29 ページの「IVE シリーズ」で説明されている IVE およびその機能へ
のユーザーのアクセスを管理できます。さらに、IVE は、以下のセクションで説明する認
証、承認、セキュリティの各機能も提供します。
目次

59 ページの「証明書の概要」

66 ページの「エンドポイント防御の概要」
第 3 章 : 認証と承認

57
Juniper Networks NetScreen Secure Access 700 管理ガイド
58
第 3 章 : 認証と承認
Juniper Networks NetScreen Secure Access 700 管理ガイド
証明書の概要
IVE は、インターネットを通じてクライアントに送信したデータを、PKI で保護します。
PKI（公開鍵インフラストラクチャ）は、公開鍵と秘密鍵を使用して情報を暗号化および
解読するセキュリティ方式です。これらの鍵は、デジタル証明書を通じて有効にされ、保
存されます。デジタル証明書とは、クライアント / サーバー間でのトランザクション処理
について Web サーバーまたはユーザーの信用を確立するために発行される、暗号化され
た電子ファイルです。
IVE 次の種類のデジタル証明書を使用して信用を確立し、IVE セッショントランザクショ
ンを保護します。

IVE certificates － IVE サーバー証明書は、会社名、会社の公開鍵のコピー、証明書
を発行した認証局（CA）のデジタル署名、シリアル番号、および有効期限などの要
素を使用して、IVE との間のネットワークトラフィックを保全します。詳細について
は、59 ページの「IVE サーバー証明書」を参照してください。

Trusted client CAs －トラステッドクライアント CA は、証明書または証明書属性に
基づいて領域、ロール、リソースポリシーへのアクセスを管理するために、認証局
（CA）によって発行されたクライアントサイド証明書です。たとえば、“Users” 認証領
域にサインインするユーザーには、OU 属性を “yourcompany.com” に設定した有効
なクライアントサイド証明書が必要であると指定します。詳細については、60 ペー
ジの「トラステッドクライアント CA」を参照してください。

Trusted server CAs －トラステッドサーバー CA は、トラステッド Web サーバーの
証明書です。Web ブラウズのライセンスがある場合、ユーザーが IVE アプライアンス
からアクセスする Web サイトの資格情報を有効にするために、IVE のトラステッド
サーバー CA をインストールすることができます。詳細については、64 ページの「ト
ラステッドサーバー CA」を参照してください。

Code-signing certificates －コード署名証明書（アプレット証明書とも呼ばれます）
は、サーバーサイド証明書の一種で、IVE が仲介する Java アプレットの署名を書き直
します。IVE アプライアンスにあらかじめロードされている自己コード署名証明書を
使用することも、独自のコード署名証明書をインストールすることもできます。詳細
については、64 ページの「コード署名証明書」を参照してください。
IVE の基本設定では、IVE 証明書とコード署名証明書だけが要求されます。IVE アプライア
ンスは、1 つのコード署名証明書を使用してすべての Java アプレットの署名を書き直す
ことができ、1 つの IVE サーバー証明書を使用して他のすべての PKI ベースの通信を仲介
することができます。ただし、これらの基本的な証明書でニーズが満たされない場合は、
複数のサーバー証明書とアプレット証明書を IVE アプライアンスにインストールするか、
CA 証明書を使用して、ユーザーを検証することができます。
IVE サーバー証明書
IVE サーバー証明書は、会社名、会社の公開鍵のコピー、証明書を発行した認証局（CA）
のデジタル署名、シリアル番号、有効期限をなどの要素を使用して、IVE アプライアンス
との間のネットワークトラフィックを保全します。
暗号化されたデータを IVE から受け取ったクライアントブラウザは、IVE の証明書が有効
かどうか、IVE の証明書を発行した CA をユーザーが信頼済みかどうかを最初にチェック
します。ユーザーがまだ IVE の証明書の発行者を信頼することを示していない場合、Web
ブラウザは IVE アプライアンスの証明書を受け入れるか、インストールするようユーザー
に要求します。
証明書の概要

59
Juniper Networks NetScreen Secure Access 700 管理ガイド
IVE の初期化時に、一時自己署名電子証明書がローカルに作成されます。すると、ユー
ザーは直ちに IVE の使用を開始できるようになります。初期化時に作成され、自己署名さ
れた証明書を暗号化すれば完璧なセキュリティが得られますが、IVE にサインインするた
びにセキュリティ警告が表示されます。これは、証明書が信頼できる認証局（CA）から
発行されていないためです。本稼動する場合には、信頼できる CA からデジタル証明書を
取得することをお勧めします。
IVE アプライアンスも、60 ページの「中間サーバー CA 証明書」の説明のように、証明書
階層内の中間サーバー CA 証明書の使用をサポートしています。
IVE アプライアンスで自動的に作成される自己署名を使用しない場合は、Web コンソール
の System > Configuration > Certificates > IVE Certificates ページでの設定を使用でき
ます。

ルート証明書とその対応する秘密鍵を IVE アプライアンスにインポートします。

中間サーバー証明書とその対応する秘密鍵を IVE アプライアンスにインポートしま
す。詳細については、60 ページの「中間サーバー CA 証明書」を参照してください。
手順については、148 ページの「IVE Certificates タブ」を参照してください。
中間サーバー CA 証明書
証明書階層内では、1 つ以上の中間証明書が 1 つのルート証明書から分岐しています。
ルート証明書はルート認証局（CA）により発行され、自己署名されます。各中間証明書は
チェーン内の上位の証明書によって発行されます。
チェーン証明書を使用してトラフィックを保全する場合は、IVE と Web ブラウザの両方
に完全な証明書チェーンが含まれるようにする必要があります。たとえば、Verisign ルー
ト証明書から生じるチェーンを使用することによって、トラフィックを選択することがで
きます。ユーザーのブラウザに Verisign ルート証明書が事前ロードされていると仮定した
場合は、IVE のチェーン内に低レベルの証明書をインストールすることだけが必要です。
その後、ユーザーが IVE にブラウズすると、IVE はトランザクションを保全するために、
チェーン内にある全証明書をブラウザに表示します。（IVE は、ルート証明書の IssuerDN
を使用してチェーン内に適切なリンクを作成します）。IVE とブラウザの両方がチェーン全
体を有していない場合は、信頼済みの CA ではなく別の証明書によって発行されたもので
あるため、ユーザーのブラウザは IVE の証明書を認識または信頼することができません。
チェーンクライアント証明書については、61 ページの「クライアント CA 階層」を参照
してください。
Web コンソールの System > Configuration > Certificates > IVE Certificates ページか
ら、中間サーバー証明書をインストールすることができます。
トラステッドクライアント CA
トラステッドクライアント CA とは、認証局（CA）によって発行されたクライアントサ
イドの証明書です。クライアント CA 証明書を使用するには、適切な証明書を IVE にイン
ストールして有効にするとともに、対応するクライアントサイド証明書をエンドユーザー
の Web ブラウザにインストールする必要があります。CA 証明書でユーザーの正当性を検
証すると、IVE は、その証明書の期限が切れていたり壊れていないか、IVE が認めた CA
によって署名されているかをチェックします。
証明書の値に基づいてユーザーアクセスを制限する IVE の設定方法については、44 ペー
ジの「証明書のアクセス制限」を参照してください。
IVE は、CA 証明書を使用して以下の追加機能をサポートします。
60
証明書の概要
Juniper Networks NetScreen Secure Access 700 管理ガイド

Certificate servers －証明書サーバーは一種のローカル認証サーバーで、これを使用
すると、標準の認証サーバー (LDAP や SiteMinder など ) に照合してユーザーを認証
したり、特定の証明書や証明書属性を必要とすることなく、証明書属性だけに基づい
て IVE ユーザーを認証できます。詳細については、233 ページの「証明書サーバーイ
ンスタンスを設定する」を参照してください。

Certificate hierarchies －証明書階層内では、1 つまたは複数の下位証明書（中間証
明書と呼ばれます）がルート証明書から分岐して、証明書チェーンを形成します。
IVE に証明書チェーンをインストールすると、アプライアンスはチェーンが有効であ
ることを確認し、ユーザーはリーフ証明書（チェーンの最下位レベルの証明書）を使
用して認証することができます。詳細については、61 ページの「クライアント CA 階
層」を参照してください。

Certificate revocation lists －証明書の取り消しとは、有効期限が切れる前に CA が証
明書を無効にするメカニズムです。証明書失効リスト（certificate revocation list: CRL）
は、CA が発行した証明書のうち、取り消された証明書のリストです。CRL 内の各エ
ントリには、取り消された証明書のシリアル番号、取り消された日付、取り消された
理由が含まれています。CA は、発行した証明書を所有する社員の退職、証明書の秘
密鍵の改ざん、クライアントサイド証明書の紛失や盗難など、さまざまな理由により
証明書を無効にします。CA が証明書を取り消すと、IVE は、取り消された証明書を提
示するユーザーのアクセスを的確に拒否することができます。詳細については、62
ページの「CRL」を参照してください。
証明書による領域、ロール、およびリソースポリシーのチェックについては、401 ペー
ジの「証明書の制限」を参照してください。
Web コンソールの System > Configuration > Certificates > Trusted Client CAs ページか
ら信頼済みのクライアント CA をインストールすることができます。手順については、
151 ページの「トラステッドクライアント CA 証明書を IVE へアップロードする」を参照
してください。
メモ : Secure Access 700 アプライアンスでは、IVE に 1 つのルート CA 証明書をインス
トールするだけで、対応する 1 つのクライアントサイド CA 証明書で複数のユーザーを
検証できます。
クライアント CA 階層
証明書階層内では、1 つ以上の中間証明書が 1 つのルート証明書から分岐しています。
ルート証明書はルート認証局（CA）により発行され、自己署名されます。各中間証明書は
チェーン内の上位の証明書によって発行されます。
証明書チェーン環境での認証を有効にするには、適切なクライアントサイドの証明書を各
ユーザーの Web ブラウザにインストールし、対応する CA 証明書を IVE にアップロード
する必要があります。
メモ : Secure Access 700 アプライアンスでは、異なる CA が発行した証明書のチェーン
をインストールすることはできません。チェーンの最下位レベルの証明書に署名する CA
は、チェーン内の他のすべての証明書にも署名しなければなりません。
IVE サーバーの証明書チェーンについては、60 ページの「中間サーバー CA 証明書」を参
照してください。
証明書の概要

61
Juniper Networks NetScreen Secure Access 700 管理ガイド
Web コンソールの System > Configuration > Certificates > Trusted Client CAs ページ
からクライアント CA をインストールすることができます。証明書チェーンを IVE にアッ
プロードするには、以下のいずれかの方法を使用する必要があります。

Import the entire certificate chain at once － 1 つのファイルに含まれた証明書
チェーンをインストールする際に、IVE はルート証明書と、親がそのファイル内また
は IVE 上にある下位証明書をすべてインポートします。インポートファイルには、任
意の順序で証明書を入れることができます。

Import the certificates one at a time in descending order －複数のファイルに含
まれる証明書チェーンをインストールする際に、IVE は、初めにルート証明書を
インストールし、その後に残りの証明書チェーンを降順でインストールすること
を要求します。
上記のいずれかの方法で証明書チェーンをインストールすると、IVE は証明書を自動的に
正しい順序でチェーンし、Web コンソールに階層構造で表示します。
手順については、151 ページの「トラステッドクライアント CA 証明書を IVE へアップ
ロードする」を参照してください。
CRL
証明書失効リスト (certificate revocation list: CRL) は、クライアントサイド証明書を取り消
すためのメカニズムです。名前が示すとおり、CRL は取り消された証明書のリストであ
り、CA または委任された CRL 発行者が発行します。IVE はベース CRL をサポートします。
ベース CRL には、社内で取り消されたすべての証明書が 1 つのリストにまとめられてい
ます。
IVE は、クライアントの証明書をチェックすることで、どの CRL を使用するかを認識しま
す。（証明書の発行する際に、CA はその証明書の CRL 情報を証明書内に含めます）。最新
の CRL 情報を受け取るようにするため、IVE は CRL 配布点に定期的にアクセスして、取
り消された証明書の更新リストを取得します。CRL 配布点（CRL distribution point: CDP）
とは、CA が CRL を発行する、LDAP ディレクトリサーバーまたは Web サーバーの場所で
す。IVE は、CRL に指定された間隔と、CRL の設定時に管理者が指定した間隔で CDP から
CRL 情報をダウンロードするほか、CRL を手動でダウンロードしたときにもダウンロード
を行います。IVE は、CRL パーティションもサポートしています。CRL パーティションに
より、特大 CRL や大規模 CRL の集合体へのアクセスおよび確認に時間や労力をかけずに、
特大 CRL の各部を確認することができます。CRL パーティションは、以下に記されている
Specify the CDP(s) in the client certificates の方法を使用している際に、IVE でのみ有効
にできます。この場合、IVE はクライアント証明書に指定された CRL のみを確認して、
ユーザーを検証します。
CA は CRL 情報をクライアントサイド証明書に含めますが、CDP 情報を必ず含めるわけで
はありません。CA は、以下のいずれかの方法で証明書の CDP の場所を IVE に通知するこ
とができます。

62
証明書の概要
Specify the CDP(s) in the CA certificate － CA 証明書の発行時、CA は、IVE がアクセ
スする必要のある CDP の場所を指定した属性を含めることができます。複数の CDP
を指定すると、IVE は証明書にリストされた最初の CDP を選択し、そこでなければ
必要に応じて以降の CDP に順次切り替えていきます。
Juniper Networks NetScreen Secure Access 700 管理ガイド

Specify the CDP(s) in the client certificates －クライアントサイド証明書の発行時、
CA は、IVE がアクセスする必要のある CDP の場所を指定した属性を含めることがで
きます。複数の CDP を指定すると、IVE は証明書にリストされた最初の CDP を選択
し、そこでなければ必要に応じて以降の CDP に順次切り替えていきます。IVE が CRL
パーティションを適用して、クライアント証明書が 1 つの CRL のみを指定した際、
IVE はその CRL のみを使用して確認します。
メモ : この方法では、ユーザーは初めて IVE にサインインを試みたとき、使用可能な
CRL 情報がないためにエラーを受け取ります。IVE がクライアントの証明書を認識し、
CRL の場所を取り出すと、IVE は CRL のダウンロードを開始し、これ以降にユーザーの
証明書を検証できるようになります。IVE に正常にサインインするには、ユーザーは数
秒間待ってから再接続する必要があります。

Require the administrator to manually enter the CDP location － CA がクライアント
証明書または CA 証明書に CDP の場所を含めない場合は、IVE の設定時に、CRL オブ
ジェクト全体をダウンロードする方法を手動で指定する必要があります。プライマリ
およびバックアップ CDP を指定できます。（CDP の場所を手動で入力すると、CDP
の場所を変更した場合にも証明書を再発行する必要がないため、最大限の柔軟性が得
られます）。
IVE は、ユーザーの認証時に適切な CRL に照合して証明書をチェックします。ユーザーの
証明書が有効であると判断した場合は、IVE は証明書属性をキャッシュに格納し、ロール
およびリソースポリシーのチェック時に、必要に応じて適用します。ユーザーの証明書が
無効であると判断した場合や、適切な CRL にアクセスできなかった場合、または CRL が
期限切れの場合は、IVE はユーザーアクセスを拒否します。
Web コンソールの System > Configuration > Certificates > Trusted Client CAs ページ
から、CRL チェックを設定することができます。
メモ :

IVE がサポートするのは、PEM または DER フォーマットの CRL と、取り消しが適
用される CA によって署名された CRL だけです。

IVE は最初の CRL のみを PEM ファイルに保存します。

IVE は配布点発行（Issuing Distribution Point: IDP）という CRL の拡張機能をサポー
トしません。
設定手順については、155 ページの「CDP オプションの指定」を参照してください。
OCSP
オンライン証明書ステータスプロトコル (Online Certification Status Protocol: OCSP) に
よって、リアルタイムでクライアント証明書を確認することができます。OCSP を使用す
ると、IVE は OCSP レスポンダのクライアントとなり、クライアント証明書に基づいて
ユーザー用の検証リクエストを転送します。OCSP レスポンダは CA が発行した CRL の保
管を維持し、有効および無効となっているクライアント証明書の最新のリストを維持しま
す。OCSP レスポンダが IVE（通常は HTTP または HTTPS トランスミッション）から検証
リクエストを受信すると、OCSP レスポンダは独自の認証データベースを使用して証明書
のステータスを検証するか、最初に証明書を発行した OCSP レスポンダにリクエストを検
証するように要求します。応答が作成されると、OCSP レスポンダは署名された応答を
IVE へと戻し、最初の証明書は OCSP レスポンダが証明書の正当性を確認するかに応じて
認可または拒否されます。OCSP オプションの有効化および設定については、151 ページ
の「Trusted Client CAs タブ」を参照してください。
証明書の概要

63
Juniper Networks NetScreen Secure Access 700 管理ガイド
トラステッドサーバー CA
Web ブラウズのライセンスがある場合、ユーザーが IVE アプライアンスからアクセスす
る Web サイト証明を有効にすることができます。IVE アプライアンスでトラステッド
Web サーバーの CA 証明書のインストールが必要になるだけです。（Internet Explorer 6.0
と Windows XP service pack 2 にインストールされた Web 証明書のトラステッドルート
CA はすべて IVE アプライアンスで事前にインストールされていることに注意してくださ
い。）次に、SSL 対応の Web サイトにユーザーがアクセスする場合、IVE は次を確認しま
す。

Web サイト証明書は IVE アプライアンスにインストールされたトラステッドルート
CA チェーンの 1 つによって発行されます。

Web サイト証明書は有効です。

Web サイト証明書 Subject CN 値はアクセスした URL の実際のホストネームに一致
します。（IVE アプライアンスでは、Subject CN 値に “*.company.com” の形式でワ
イルドカードを含めることができます。）
どの条件も満たさない場合は、IVE はユーザーアクセスログに主なイベントをログして、
Web コンソールの Users > Roles > ロール名 > Web > Options タブで設定したロール
レベル設定に基づいて、Web サイトへのユーザーのアクセスを許可または拒否します。
（これらの設定を行っていない場合は、IVE アプライアンスはユーザーに、Web サイト証
明書は無効であるが、サイトにはアクセスできる旨の警告を行います。）
Web コンソールの System > Configuration > Certificates > Trusted Server CAs ページ
からトラステッド Web サーバーの CA 証明書をインストールすることができます。手順に
ついては、157 ページの「トラステッドサーバー CA 証明書を IVE へアップロードする」
を参照してください。
コード署名証明書
署名付き Java アプレットを仲介する場合、IVE は非標準の信頼されるルート CA が発行し
た自己署名証明書でアプレットの署名を書き直します。ユーザーがネットワークサーバー
へのアクセスなどの危険度の高いタスクの実行を要求すると、ルートがトラステッド
ルートではない、というセキュリティ警告がユーザーのブラウザに表示されます。このよ
うな警告が表示されないようにするには、IVE が仲介するアプレットの署名書き換えに使
用するコード署名証明書をインポートします。
IVE は以下のタイプのコード署名証明書をサポートしています。

Microsoft Authenticode Certificate － IVE は、MS JVM または SUN JVM で実行するア
プレットの署名にはこの証明書を使用します。サポートされるのは、Verisign が発行
した Microsoft Authenticode 証明書のみであることに注意してください。以下の場所
で Microsoft Authenticode 証明書を購入できます。
http://www.verisign.com/products-services/security-services/codesigning/index.html

JavaSoft Certificate － IVE は、SUN JVM で実行するアプレットの署名にはこの証明書
を使用します。サポートされるのは、Verisign と Thawte が発行した JavaSoft 証明書
のみであることにご注意ください。
どのコード署名証明書をインポートするかを判断するには、次のようなブラウザの依存性
を考慮します。

64
証明書の概要
Internet Explorer － Windows XP があらかじめインストールされた新しいコンピュー
タの場合、Internet Explorer は通常、SUN JVM を実行します。つまり、IVE は
JavaSoft 証明書を使用してアプレットの署名を書き直す必要があります。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Windows 98、2000、または Windows XP にアップグレードした PC の場合、Internet
Explorer は通常、MS JVM を実行します。つまり、IVE は Authenticode 証明書を使用
してアプレットの署名を書き直す必要があります。

Netscape、Firefox、および Safari －これらのブラウザは、SUN JVM だけをサポート
します。つまり、IVE は、JavaSoft 証明書を使用してアプレットの署名を書き直す必
要があります。
SUN JVM ユーザーへの注意事項

ユーザーがアプレットにアクセスすると、デフォルトで、Java プラグインはコード
署名証明書と共にアプレットをキャッシュに格納します。この処理は、コード署名証
明書を IVE にインポートした後でも、ブラウザによって元の証明書がアプレットに提
示されることを意味します。コード署名証明書をインポートする前にアクセスされた
アプレットの信頼できない証明書が表示されないようにするには、SUN JVM ユー
ザーは Java プラグインをキャッシュから消去する必要があります。または、キャッ
シュを無効にするという方法もあります。ただし、この方法ではアクセスするたびに
アプレットをフェッチする必要が生じるため、パフォーマンスが低下する可能性があ
ります。

Java プラグインには、ブラウザの信頼できる証明書リストとは別に、信頼できる
Web サーバー証明書の独自のリストが保持されます。ユーザーがアプレットにア
クセスすると、（ブラウザによる接続とは別に）SUN JVM はアプレットがある
Web サーバーに接続します。ユーザーは、コード署名証明書に加えて Web サー
バー証明書も受け入れるかどうか尋ねられます。この場合には、ユーザーは Web
サーバー証明書に AlwaysTrust ボタンを選択する必要があります。Java プラグイン
にはタイムアウトが設定されているため、このボタンの選択が遅れるとアプレッ
トはロードされません。
タスクサマリー： Java アプレットに署名または再署名するよう
IVE を設定する
コード署名証明書を使用して、IVE がアプレットに再署名するよう設定するには、次の操
作を行います。
1.
Web コンソールの System > Configuration > Certificates > Code-Signing
Certificates ページから Java コード署名証明書をインストールします。手順について
は、159 ページの「コード署名証明書のインポート」を参照してください。
2.
次のいずれかの操作を行います。

Web コンソールの Resource Policies > Web > Java > Code Signing ページから、
IVE が再署名する必要のあるアプレットを指定するコード署名ポリシーを生成し
ます。このポリシーでは、アプレットの発生元のホストネームを指定する必要が
あります。手順については、293 ページの「Java Code Signing リソースポリシー
の作成」を参照してください。

独自の Java アプレットを IVE にアップロードし、IVE を設定して、署名または再
署名してください（101 ページの「タスクサマリー：Java アプレットのアップ
ロードと有効化」を参照）。
証明書の概要

65
Juniper Networks NetScreen Secure Access 700 管理ガイド
エンドポイント防御の概要
Juniper Networks は、セキュアアクセスエンドポイントの信頼性を評価する包括的な
ソリューションを提供するために、Juniper Endpoint Defense Initiative （J.E.D.I.）を開
発しました。J.E.D.I. は、エンドポイントが企業ネットワークにもたらすあらゆる分野
のリスクに対処するために、階層化されたアプローチを取っています。J.E.D.I. コン
ポーネントを使用すると、ネットワーク内外のユーザーが IVE アプライアンスにアク
セスするときに、システムの安全性を確保できます。J.E.D.I. コンポーネントには次の
ものが含まれています。
66
エンドポイント防御の概要

Host Checker － Host Checker（ネイティブホストチェックとポリシーベースの実施
ともいいます）は、IVE のネイティブのコンポーネントであり、これによって IVE に
接続したホストで、エンドポイントチェックを実行できます。Host Checker は、サー
ドパーティのアプリケーション、ファイル、プロセス、ポート、レジストリキー、
カスタム DLL 検証し、その結果に基づいてアクセスを許可あるいは拒否します。ライ
センスを取得している場合は、Host Checker を使用して、高度な障害検出ソフトウェ
アをユーザーのコンピュータに直接ダウンロードすることが可能です。ユーザーのコ
ンピュータが指定した要件を満たしていない場合は、ユーザーがコンピュータを要件
に準拠させることができるよう、改善の指示を表示することができます。詳細につい
ては、67 ページの「Host Checker の概要」を参照してください。

ホストチェッククライアントインターフェース（Windows のみ）－ホストチェッ
ククライアントインターフェースは、Host Checker を使用して独自の DLL を実行す
るための API です。このインターフェースを介して、Host Checker に対し、ユーザー
のシステムにインストール済みの DLL や、企業イメージ、アンチウィルスソフト
ウェア、およびパーソナルファイアウォールクライアントとの適合をチェックする
プログラムなど、企業 OS イメージの一部として配布済みの DLL を実行するように要
求することができます。ユーザーが IVE にサインインすると、Host Checker は指定の
DLL を実行し、その DLL が返した成功または失敗の結果に基づき、その後の処理を
実行します。たとえば、クライアントチェックソフトウェアが失敗した場合は、IVE
へのユーザーアクセスを拒否できます。詳細は、Juniper Support サイトから入手でき
る J.E.D.I. Solution Guide を参照してください。

Host Check Server Integration Interface (Windows only) －ホストチェックサーバー
統合インターフェースは、J.E.D.I. 準拠システムと IVE を緊密に統合できる API です。
ホストチェッククライアントインターフェースと同様に、ホストチェックサー
バー統合インターフェースを使用すると、管理者は、ホストの完全性スキャン、障害
検出ソフトウェア、および仮想環境など、クライアント上のサードパーティソフト
ウェアを実行するよう Host Checker に命令できます。このインターフェースでは、
サードパーティアプリケーションが実行したさまざまなポリシーチェックの結果に
基づき、Host Checker で実行する作業を詳細に指定できます。これらのポリシー
チェックを実行し、ソフトウェアパッケージに含まれる個々のポリシーの結果に応
じて、ユーザーを領域、ロール、およびリソースに動的にマップすることができま
す。詳細は、Juniper Support サイトから入手できる J.E.D.I. Solution Guide を参照して
ください。
Juniper Networks NetScreen Secure Access 700 管理ガイド

Cache Cleaner (Windows のみ) － Cache Cleaner はネイティブの IVE コンポーネント
であり、これを使用すると、IVE セッション後にユーザーの OS からクッキー、一時
ファイル、アプリケーションキャッシュなどの残留データを削除できます。Cache
Cleaner は、前のユーザーが表示していたファイルの一時コピーを次のユーザーが見
られないようにしたり、ユーザーが Web フォームに入力するユーザー名、パスワー
ド、および Web アドレスを Web ブラウザが永久的に保存するのを防ぐなどして、
ユーザーのシステムを守ります。詳細については、76 ページの「Cache Cleaner の概
要」を参照してください。
これらのエンドポイント防御コンポーネントを使用すると、階層化された保護アプローチ
によって、IVE 内から、さまざまなエンドポイントチェックの管理とプロビジョニングが
行えます。たとえば、IVE 領域へのユーザーアクセスを許可する前にウィルス検出チェッ
クを選択し、必要に応じてユーザーシステム上のソフトウェアを起動して、独自の DLL
に定義された個別ポリシーに基づいてユーザーをロールにマップし、次にスパイウェア検
出ソフトウェアの有無に基づき個々のリソースへのアクセスを制限することができます。
また、Cache Cleaner を使用すれば、ユーザーが IVE セッションを終了すると同時に残留
ファイルを削除し、ユーザーのアプリケーションキャッシュを消去することができます。
Host Checker の概要
Host Checker は、IVE に接続したホストでエンドポイントチェックを実行するクライアン
トサイドのエージェントです。IVE のサインインページをユーザーに表示する前や、ロー
ルマッピング規則を評価する際に、Host Checker を起動できます。
IVE は、高度な障害保護をチェックしてインストールするルール、アンチウィルスソフト
ウェア、ファイアウォール、障害、スパイウェア、およびさまざまな業界リーダーが提供
する特定のオペレーティングシステムをチェックする定義済みの規則、特定のサード
パーティの DLL、ポート、プロセス、ファイル、レジストリキー設定をチェックするカ
スタム規則など、さまざまな規則タイプを使用してエンドポイントのプロパティについて
ホストをチェックすることができます。
ユーザーのコンピュータがいずれの Host Checker のポリシー要件も満たさない場合は、
ユーザーに改善ページを表示できます。このページには、ユーザーのコンピュータが各
Host Checker ポリシーを満たすために必要な特定の指示やリソースへのリンクを含めるこ
とができます。
詳細については、以下を参照してください。

68 ページの「Host Checker ポリシーの定義」

69 ページの「Host Checker 改善ページの使用」

71 ページの「Host Checker ポリシーの実装」

71 ページの「ポリシーサーバーを Host Checker クライアントに使用可能にする」

72 ページの「Host Checker のインストール」

73 ページの「Host Checker ポリシーの実行」

74 ページの「タスクサマリー：Host Checker の設定」
エンドポイント防御の概要

67
Juniper Networks NetScreen Secure Access 700 管理ガイド
Host Checker ポリシーの定義
エンドポイントの管理のために、Host Checker をポリシー適用ツールとして使用するに
は、システムレベルでグローバルな Host Checker ポリシーを作成し、領域およびロール
レベルでポリシーを実装する必要があります。
IVE は、Host Checker ポリシーを有効化、作成、設定するのに使用するメカニズムに、次
のようなものを提供しています。

定義済みのポリシー（ネットワーク内の攻撃を防ぐ、あるいは障害検出ソリューショ
ンをダウンロード）－ IVE には、定義済みの 2 種類のクライアントサイド Host
Checker ポリシーがあらかじめ装備されています。これらを使用するには単に有効化
するだけで、作成や設定は必要ありません。接続コントロールポリシーは、同じネッ
トワーク上にある感染したコンピュータから Windows クライアントコンピュータへ
の攻撃を防ぎます。障害保護ポリシー Advanced Endpoint Defense は、ユーザーが
IVE へサインインする前にクライアントコンピュータに障害保護ソフトウェアをダウ
ンロードします。これらのポリシーは、Windows のシステム上でのみ作用します。詳
細については、186 ページの「既定のクライアントサイドポリシーを有効にする
（Windows のみ）」を参照してください。

定義済みのポリシー（サードパーティのアプリケーションをチェック）－ Host
Checker には、アンチウィルスソフトウェア、ファイアウォール、障害、スパイウェ
ア、およびさまざまな業界リーダーが提供する特定のオペレーティングシステムを
チェックするあらゆる定義済みの規則が、あらかじめ装備されています。これらの規
則を Host Checker のクライアントサイドポリシー内で 1 つ以上有効化して、指定し
ている統合されたサードパーティ製アプリケーションが、確実に仕様に従ってコン
ピュータ上で実行されるようにできます。詳細については、190 ページの「既定の規
則を使用してサードパーティのアプリケーションをチェックする（Windows のみ）」
を参照してください。

カスタム規則（追加の要件をチェック）－ IVE であらかじめ定義されたクライアント
サイドのポリシーや規則がニーズに対応していない場合、Host Checker にカスタム規
則を作成して、ユーザーのコンピュータが満たすべき要件を定義することができま
す。カスタム規則を使用して、以下を行うことができます。

カスタマイズされたクライアントサイドのチェックを実行する DLL をチェック
するよう Host Checker を定義します。

ユーザーのコンピュータ上で特定のポートが開いているかどうかを確認します。

ユーザーのコンピュータ上で特定のプロセスが実行されているかどうかを確認し
ます。

クライアントマシン上で特定のプロセスが実行されているかどうかを確認し
ます。

MD5 チェックサムから必要なファイルの使用期間と内容を評価します。

クライアントマシン上でレジストリキーが設定されているのを確認します。
詳細については、191 ページの「カスタム規則を使用して要件をカスタマイズする」
を参照してください。
68
エンドポイント防御の概要
Juniper Networks NetScreen Secure Access 700 管理ガイド

カスタム統合アプリケーション（サーバー API から実装）－ Window クライアントの
場合には、ホストチェックサーバー統合インターフェース（API）を使用して、Host
Checker のサーバーサイドのポリシーも定義し、それらのポリシーをサードパー
ティの統合パッケージにジップアップできます。ポリシーは、IVE にサードパーティ
の統合パッケージをアップロードしたときに、IVE によって認識されます。これらの
ポリシーの作成についての詳細は、Juniper Support サイトから入手できる J.E.D.I.
Solution Guide を参照してください。作成したサーバーサイドのポリシーを有効化す
ることについての情報は、197 ページの「カスタマイズしたサーバーサイドポリ
シーを有効にする」を参照してください。
１つのポリシーに、Windows、Macintosh、Linux に対してそれぞれ別の Host Checker の
要件を作成し、各オペレーティングシステム上の異なるファイル、プロセス、製品を
チェックすることができます。さらに、1 つのポリシー内で複数のホストチェックタイ
プを組み合わせて、規則の代替セットをチェックすることができます。
グローバル Host Checker ポリシーを作成するには、Web コンソールの Signing In > End
Point > Host Checker の設定を使用します。手順については、184 ページの「Host
Checker タブ」を参照してください。
Host Checker 改善ページの使用
Host Checker ポリシーを定義するときに、ユーザーのコンピュータがポリシーの要件を満
たさない場合に Host Checker に行わせる改善アクションを定義できます。たとえば、ユー
ザーのコンピュータが Host Checker ポリシーの要件を満たすために必要な、特定の指示
やリソースへのリンクを含んだ改善ページをユーザーに表示するよう、IVE を設定するこ
とができます。
たとえば、次のような指示やリンクを持った改善ページをユーザーに表示できます。
お使いのコンピュータのセキュリティは不十分です。
お使いのコンピュータは次のセキュリティ要件を満たしていません。問題を解決
するために、以下の指示に従ってください。完了したら、Try Again をクリック
します。これらの問題を解決せずに Continue をクリックした場合は、一部のイ
ントラネットサーバーにアクセスできない可能性があります。
1. TrendMicro
指示：最新の署名ファイルがありません。ここをクリックして、最新の署名ファ
イルをダウンロードしてください。
2. ManagedPC
指示：仮想デスクトップから再びサインしてください。
各 Host Checker ポリシーには、次の 2 種類の改善アクションを設定できます。

User-driven －カスタム指示を使用して、ユーザーに失敗したポリシーとコンピュー
タをポリシーに準拠させる方法についてユーザーに知らせることができます。ユー
ザーは失敗したポリシーが正常に再評価されるように処置を行う必要があります。た
とえば、ユーザーがコンピュータを要件に準拠させることができるポリシーサー
バーあるいは Web ページへのリンクを有効化する、カスタムページを作成すること
ができます。
エンドポイント防御の概要

69
Juniper Networks NetScreen Secure Access 700 管理ガイド

Automatic (system-driven) － Host Checker が自動的にユーザーのコンピュータを改
善するように設定できます。たとえば、プロセスの削除、ファイルの削除、最初のポ
リシーが失敗したとき別のポリシーを起動などを行えます。Windows では、
HCIF_Module.Remediate () API 関数を J.E.D.I. DLL の一部として呼び出すことができ
ます。 Host Checker は自動アクションを実行するときに、ユーザーに通知しません。
（ただし、カスタム指示に自動アクションについての情報を含めることができます。）
これらの改善アクションは、クライアントサイドおよびサーバーサイドの両方のポリシー
で有効にできます。設定手順については、187 ページの「アドバンストマルウェア防止ポ
リシーの有効化」または 197 ページの「カスタマイズしたサーバーサイドポリシーを有
効にする」を参照してください。
Host Checker の改善表示
改善ページは、次の状態でユーザーに表示されます。

ユーザーがサインインする前：

失敗したポリシーのカスタム指示を有効にすると、IVE は改善ページをユーザー
に表示します。このユーザーには 2 つの選択肢があります。

適切なアクションを行って、コンピュータをポリシーに準拠させ、改善ペー
ジの Try Again ボタンをクリックします。Host Checker は、ユーザーのコン
ピュータがポリシーに準拠しているかどうかを再びチェックします。

コンピュータをそのまま状態にして、Continue ボタンをクリックして IVE
にサインインします。ユーザーは、失敗したポリシーに準拠する必要がある
領域、ロール、リソースにアクセスできません。
メモ : Host Checker ポリシーを実施せずにアクセスできる領域を IVE で 1 つ以上設定し
ていない場合は、ユーザーは、IVE にサインインする前に、コンピュータをポリシーに
準拠させる必要があります。

失敗したポリシーのカスタム指示を有効にしないと、Host Checker は改善ページ
をユーザーに表示しません。その代わりに、IVE はサインインページを表示しま
すが、ユーザーは失敗した Host Checker ポリシーを持つ領域、ロール、リソー
スのいずれにもアクセスできません。
ユーザーがサインインした後：

（Windows のみ）セッション中に、ユーザーの Windows コンピュータが Host
Checker ポリシーの要件に準拠しなくなった場合、ユーザーのシステムトレイに
アイコンが現れ、要件を満たしていないことを示すポップアップメッセージが
表示されます。ユーザーがこのポップアップメッセージをクリックすると、改善
ページを表示することができます。

（Macintosh または Linux）セッション中に、ユーザーの Macintosh または Linux
コンピュータが Host Checker ポリシーの要件に準拠しなくなった場合、IVE は
ユーザーに改善ページを表示して要件を満たしていない旨を知らせます。
メモ : ユーザーが改善ページを非表示に設定しており、管理者が Host Checker ポリシー
を実施しない他の領域やロールを設定している場合は、ユーザーはセキュアゲートウェ
イのみを引き続き使用できます。
70
エンドポイント防御の概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
Host Checker ポリシーの実装
Web コンソールの Signing In > End Point > Host Checker ページからグローバルポリ
シーを作成したら、以下で Host Checker を要求して、IVE とリソースアクセスを制限す
ることができます。

領域認証ポリシー－管理者またはユーザーが IVE にサインインを試みると、IVE は
指定の領域の認証ポリシーを評価して、認証の前提条件に Host Checker が含まれて
いるかどうかを確認します。領域の認証ポリシーでは、Host Checker をダウンロード
する、Host Checker をダウンロードして領域に指定されている Host Checker ポリ
シーを適用する、または Host Checker を要求しない、という設定ができます。ユー
ザーは、領域に指定されている Host Checker 要件を満たしているコンピュータを使
用してサインインする必要があります。ユーザーのコンピュータが要件を満たしてい
ない場合は、ユーザーがコンピュータを要件に準拠させるために使用する改善アク
ションが設定されていないと、IVE はユーザーのアクセスを拒否します。Web コン
ソールの Administrators/Users > Authentication > 領域を選択 > Authentication
Policy > Host Checker ページから、領域レベルの制限を設定できます。

ロール－ IVE は、管理者またはユーザーを割り当てる適格なロールのリストを調べ
るときに、各ロールの制限を評価して、ユーザーのコンピュータが特定の Host
Checker ポリシーを満たすことを要求するロールかどうかを調べます。これにより、
ユーザーのコンピュータが指定した Host Checker ポリシーを満たしていない場合は、
ユーザーがコンピュータを要件に準拠させるために使用する改善アクションが設定さ
れていないと、IVE はユーザーをロールに割り当てません。ロールレベルの制限の設
定は、Web コンソールの Administrators > Delegation > ロールを選択 > General
> Restrictions > Host Checker ページ、または Users > Role > ロールを選択 >
General > Restrictions > Host Checker ページから行えます。
ユーザーが、Host Checker ポリシーを参照する領域、ロール、リソースに初めてアクセス
するときに限り、IVE が Host Checker ポリシーを評価するよう指定できます。または、
IVE が定期的にユーザーセッション全体のポリシーを再評価するよう指定できます。定期
的に Host Checker ポリシーを評価する場合、IVE は最新の評価に基づいて動的にユーザー
をロールにマップし、新しいリソースへのユーザーアクセスを許可します。詳細について
は、73 ページの「Host Checker ポリシーの実行」を参照してください。
ポリシーサーバーを Host Checker クライアントに使用可能にする
ポリシーサーバー（あるいは別のリソース）にアクセスして、要件への準拠をチェック
するために、ポリシーが Host Checker 規則またはサードパーティ J.E.D.I. DLL を要求する
場合は、次のいずれかのメソッドを使用すると、リソースを Host Checker Windows クラ
イアントで使用可能にできます。

Host Checker 規則またはサードパーティ製の J.E.D.I. DLL が IVE を経由せずにサー
バーに直接アクセスできる DMZ にポリシーサーバーを配備する－この配備は、
Host Checker の認証前アクセストンネルをクライアントとポリシーサーバー間の
IVE から定義する必要がないため、最も簡単なソリューションです。

IVE の背後の保護されたゾーンにポリシーサーバーを配備する（Windows のみ）－
この配備では、認証前アクセストンネルを定義する必要があります。認証前アクセ
ストンネルは、IVE がユーザーを認証する前に、Host Checker 規則またはサードパー
ティ製の J.E.D.I. DLL を IVE 保護のポリシーサーバーまたはリソースにアクセスでき
るようにします。認証前アクセストンネルを定義するには、ループバックアドレス
（またはホスト名）とクライアントのポートを IP アドレスとポリシーサーバーの
ポートに関連付けます。１つ以上のトンネル定義を、 MANIFEST.HCIF ファイルに追
エンドポイント防御の概要

71
Juniper Networks NetScreen Secure Access 700 管理ガイド
加し、このファイルを IVE にアップロードします。複数の MANIFEST.HCIF ファイル
を IVE にアップロードできます。Host Checker は、領域で有効化されたすべてのサー
ドパーティポリシーに、定義が一意的であるという仮定で、すべての
MANIFEST.HCIF ファイルにあるすべてのトンネル定義のトンネルを作成します。設定
手順については、199 ページの「Host Checker ポリシーパッケージを IVE へアップ
ロードする」を参照してください。
Windows クライアントで実行する間、Host Checker は、トンネル定義で指定する各
ループバックアドレスとポートの接続を待ち受けします。接続は統合した Host
Checker 規則およびクライアントサイドまたはサーバーサイド J.E.D.I. DLL から始め
ることができます。Host Checker は認証前アクセストンネルを使用して、IVE を介し
てポリシーサーバーまたは他のリソースに転送します。
図 22: Host Checker は、クライアントから IVE の背後のポリシーサーバーにトンネルを
作成
メモ : Host Checker 認証前アクセストンネルがサポートされているのは Windows だけ
です。
Host Checker のインストール
Host Checker を必要とする領域またはロールレベルでポリシーを実装する場合は、IVE ま
たはユーザーがクライアントマシンに Host Checker をインストールできるように、イン
ストールメカニズムを提供する必要があります。これを行わないと、IVE が Host Checker
ポリシーを評価しても、Host Checker クライアントを使用して成功の結果を返すことがで
きないので、ユーザーのコンピュータでエラーが発生します。
ユーザーのシステムに Host Checker をインストールするには、以下の 2 つの方法があり
ます。

72
エンドポイント防御の概要
IVE が Host Checker を自動的にインストールする－ Web コンソールの
User/Administrator > Authentication > [ 領域 ]> Authentication Policy > Host
Checker ページで、自動インストールを有効にします。（設定手順については、403
ページの「Host Checker の制限の指定」を参照してください。）有効にした場合、ユー
ザーが IVE サインインページにアクセスすると、IVE は領域レベルのオプションを評
価し、現バージョンの Host Checker がユーザーのコンピュータにインストールされ
ているかどうかを確認します。Host Checker がインストールされていなければ、IVE
は ActiveX または Java の配信メソッドのいずれかを使用してインストールしようとし
ます。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Windows ユーザーが IVE にサインインすると、IVE はユーザーのシステムに
ActiveX コントロールをインストールしようとします。IVE が ActiveX コントロール
を正常にインストールすると、このコントロールは Host Checker プログラムのイ
ンストールを管理します。
ユーザーに管理者またはパワーユーザー権限がないため、または ActiveX がユーザー
のシステムでオフにされているために、IVE が ActiveX コントロールをインストール
できない場合は、IVE は、Java を使用して Host Checker をインストールしようとしま
す。Macintosh および Linux ホストの場合は、IVE は常に Java 配布メソッドを使用し
ます。Java 配布メソッドではユーザー権限のみが必要となりますが、Java はユーザー
のシステムで有効になっている必要があります。Linux 上の Firefox ブラウザの場合
は、Java ランタイムおよびプラグインをインストールする必要があります。
Java がユーザーのシステムで無効になっているため、IVE が Java 配布メソッドを使用
できない場合は、IVE はアクセスエラーメッセージを表示しません。

ユーザーまたは管理者が手動で Host Checker をインストールする（Windows のみ）
－ Web コンソールの Maintenance > System > Installers ページから Host Checker
インストーラをダウンロードし、これを使用して、ユーザーのシステムに手動で
Host Checker をインストールします。（設定手順については、335 ページの
「Installers タブ」を参照してください。）
メモ : Host Checker をインストールするには、ユーザーは、387 ページの「クライアン
トサイドのアプリケーションインストール」での説明のように、適切な権限を持ってい
る必要があります。これらの権限がユーザーにない場合、Web コンソールの
Maintenance > System > Installers ページで Juniper Installer サービスを使用して、こ
の要求を回避します。
Host Checker ポリシーの実行
ユーザーが IVE にアクセスをしようとすると、Host Checker は以下の順序でポリシーを
評価します。
1.
初期評価－ユーザーが IVE サインインページに初めてアクセスすると、Host
Checker は最初の評価を実行します。ポリシーに指定する規則を使用して、Host
Checker は、クライアントがエンドポイントの要件を満たして IVE に結果を返すかを
確認します。Host Checker は、Host Checker ポリシーを、領域またはロールレベル
のいずれに実装した場合でも、初期評価を行います。
ユーザーが、Host Checker の実行後、IVE にサインインする前に、IVE のサインイン
ページから移動すると、Host Checker がタイムアウトするまで、Host Checker はユー
ザーのコンピュータで実行し続けます。
IVE が何らかの理由で（ユーザーが手動で Host Checker を終了した場合も含む）Host
Checker から結果を受信しない場合、IVE はエラーを表示してユーザーをサインイン
ページに戻します。
あるいは、Host Checker が結果を返す場合、IVE は領域レベルポリシーの評価を続行
します。
エンドポイント防御の概要

73
Juniper Networks NetScreen Secure Access 700 管理ガイド
2.
領域レベルポリシー－ IVE は、Host Checker の初期評価で返された結果によって、
ユーザーがアクセスできる領域を判断します。次に IVE は、ユーザーに対して特定の
領域を表示または非表示にして、サインインページが関連付けられ、Host Checker
の要件を満たす領域だけに、ユーザーがサインインできるようにします。利用可能な
領域が要求する Host Checker の条件をユーザーが満たせなかった場合は、IVE はサイ
ンインページを表示しません。代わりに、ユーザーのコンピュータが要件を満たすの
に役立つ改善アクションが設定されていない場合は、ユーザーはアクセスできない旨
のエラーを表示します。
ユーザーが初めて IVE にサインインするときは、Host Checker は、領域レベルの
チェックのみを実行することに注意してください。セッション中にユーザーのシステ
ムの状態が変わった場合、IVE は現在の領域からこのユーザーを削除しないか、新し
いシステムの状態に基づいて新しい領域へのアクセスを許可します。
3.
ロールレベルポリシー－ユーザーが領域にサインインすると、IVE はロールレベル
ポリシーを評価して、ユーザーがそのロールの Host Checker 要件を満たしている場
合は、ユーザーをロールに割り当てます。次に、IVE によって IVE ホームページが表
示され、マップされたロールが許可するオプションが有効になります。
定期的な評価で、Host Checker が異なるステータスを返した場合、IVE は新しい結果
に基づいて動的にユーザーをロールに再マップします。定期的な評価の際に、ユー
ザーが利用できるすべてのロールの権限を失った場合、ユーザーのコンピュータが要
件を満たすのに役立つ改善アクションが設定されていないと、IVE はユーザーのセッ
ションを切断します。
成功または失敗のいずれの場合でも、Host Checker はクライアントに残ります。Windows
ユーザーは、Host Checker がインストールされたディレクトリにある uninstall.exe を実
行して、エージェントを手動でアンインストールできます。System > Log/Monitoring >
Client-side Logs ページからクライアントサイドのロギングを有効にした場合は、この
ディレクトリにもログファイルが含まれ、Host Checker が実行する度に IVE により書き
直されます。
Host Checker の動的ポリシー評価を有効にした場合（40 ページの「動的ポリシー評価」
を参照）、IVE は、ユーザーの Host Checker のステータスが変わるごとに、リソースポリ
シーを評価します。Host Checker の動的ポリシー評価を有効にしない場合は、IVE は、リ
ソースポリシーを評価しませんが、ユーザーの Host Checker のステータスが変わるごと
に、認証ポリシー、ロールマッピング規則、ロール制限を評価します。設定手順について
は、184 ページの「Host Checker の一般的なオプションを指定する」を参照してくださ
い。
タスクサマリー： Host Checker の設定
Host Checker を設定するには、次のタスクを実行する必要があります。
74
エンドポイント防御の概要
1.
Web コンソールの Signing In > End Point > Host Checker ページで、Host Checker
ポリシーを作成し、改善オプションを設定します。手順については、184 ページの
「Host Checker タブ」を参照してください。
2.
Windows クライアントの場合は、クライアントとポリシーサーバーまたはリソース
の間に認証前アクセストンネルを使用する必要があるかどうかを決定します。必要な
場合、Web コンソールの Signing In > End Point > Host Checker ページで、
manifest.hcif ファイルをトンネル定義で作成してアップロードします。手順について
は、197 ページの「Host Checker 認証前アクセストンネル定義を指定する」を参照し
てください。
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
IVE フレームワーク内のどのレベルでポリシーを実施するかを次のように決定し
ます。

ユーザーが初めてIVE にアクセスしたときに Host Checker ポリシーを実施するに
は、Web コンソールの Users|Administrators > Authentication > 領域を選択 >
Authentication Policy > Host Checker ページを使用して、領域レベルにポリ
シーを実装します。

Host Checker ポリシーへの適合に基づいてユーザーのアクセスを許可または拒否
するには、Web コンソールの Users|Administrators > Roles|Delegation > ロー
ルを選択 > General > Restrictions > Host Checker ページを使用して、ロール
レベルでポリシーを実装します。

Host Checker ポリシーへの適合に基づいてユーザーをロールに割り当てるには、
Web コンソールの Users|Administrators > Authentication > 領域を選択 >
Role Mapping ページで、カスタム式を使用します。

Host Checker ポリシーへの適合に基づいてユーザーに個々のリソースへのアクセ
スを許可または拒否するには、Web コンソールの Resource Policies > リソース
を選択 > ポリシーを選択 > Detailed Rules > ルールを選択 | 作成ページの条件
を使用します。
設定手順については、403 ページの「Host Checker の制限」を参照してください。
4.
5.
ユーザーが Host Checker クライアントにアクセスできる方法を指定します。Host
Checker はクライアントサイドエージェントを使用して定義するポリシーを実施し
ます。

すべてのプラットフォームで Host Checker クライアントの自動インストールを
有効にするには、Web コンソールの Users|Administrators > Authentication >
領域を選択 > Host Checker ページを使用します。設定手順については、403
ページの「Host Checker の制限の指定」を参照してください。

Host Checker インストーラをダウンロードして、ユーザーの Windows システム
に手動でインストールするには、Web コンソールの Maintenance > System >
Installers ページを使用します。設定手順については、335 ページの「Installers
タブ」を参照してください。
クライアントサイドログを作成するかどうかを決定します。Web コンソールの
System > Log/Monitoring > Client-side Log ページからクライアントサイドのロギ
ングを有効にすると、IVE アプライアンスはユーザーのシステムにログファイルを作
成し、Host Checker が実行する度にこのファイルに書き込みます。設定手順について
は、176 ページの「Client-Side Log タブ」を参照してください。
エンドポイント防御の概要

75
Juniper Networks NetScreen Secure Access 700 管理ガイド
Cache Cleaner の概要
Cache Cleaner は、Windows クライアントサイドエージェントであり、IVE セッションの
後にユーザーのコンピュータに残った一時ファイルやアプリケーションキャッシュなど
の残留データをクリーンアップします。たとえば、ユーザーがインターネットキオスクか
ら IVE にサインインし、ブラウザプラグインを使用して Microsoft Word のドキュメント
を開いた場合、Cache Cleaner は、セッション終了時にブラウザのキャッシュ（Windows
フォルダ）に保存された Word ファイルの一時的なコピーを削除します。Cache Cleaner が
コピーを削除すると、IVE ユーザーがセッションを終了した後に、別のユーザーがキオス
クからその Word ドキュメントを検索して開くことはできなくなります。
Cache Cleaner はまた、ユーザーが Web フォームで入力するユーザー名、パスワード、
Web アドレスを Web ブラウザが永続的に保存されることを防ぎます。ブラウザがこの情
報を不適切にキャッシュすることを防ぐことによって、Cache Cleaner は、非公開のユー
ザー情報が信頼されていないシステム上に保存されることを妨げます。
詳細については、以下を参照してください。

76 ページの「Cache Cleaner の定義」

77 ページの「Cache Cleaner の実装」

77 ページの「Cache Cleaner のインストール」

78 ページの「Cache Cleaner の実行」
Cache Cleaner の定義
Cache Cleaner を有効にすると、IVE の Content Intermediation Engine からダウンロードし
たすべてのコンテンツをユーザーのシステムから消去します。Web コンソールの Signing
In > End Point > Cache Cleaner ページの設定を使用すると、以下のコンテンツを消去で
きます。

指定したホストとドメイン－ユーザーが IVE の外でインターネットをブラウズする
場合、インターネットファイルはユーザーの一時インターネットファイルフォルダ
に表示されます。Cache Cleaner を使用してこのファイルを消去するには、適切なホ
スト名（たとえば、www.yahoo.com など）を指定する必要があります。

指定したファイルとフォルダ－ユーザーに対してローカルシステムでのクライアン
トサーバーアプリケーションへのアクセスを有効にする場合、アプリケーションが
ユーザーのシステムで作成する一時ファイルおよびフォルダを消去するよう、Cache
Cleaner を設定することができます。
メモ : ディレクトリからファイルを削除するよう Cache Cleaner を設定する場合、Cache
Cleaner は、ユーザーが IVE セッションの前にディレクトリに存在したディレクトリと
ファイルに保存したものを含む、すべてのファイルを消去します。
76
エンドポイント防御の概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
Cache Cleaner の実装
Web コンソールの Signing In > End Point > Cache Cleaner ページの設定を使用して、消
去するホスト、ドメイン、ファイル、フォルダを指定すると、Cache Cleaner を次の場所
で要求して IVE とリソースアクセスを制限することができます。

領域認証ポリシー－ユーザーが IVE にサインインしようとすると、IVE は指定の領
域の認証ポリシーを評価して、認証の前提条件に Cache Cleaner が含まれているかど
うかを確認します。領域の認証ポリシーでは、Cache Cleaner をダウンロードする、
Cache Cleaner をダウンロードして開始する、または Cache Cleaner を要求しない、
という設定が可能です。ユーザーは、領域に指定されている Cache Cleaner 要件を満
たしているコンピュータを使用して、サインインする必要があります。ユーザーのコ
ンピュータが要件を満たさない場合は、ユーザーは IVE へのアクセスを拒否されま
す。Web コンソールの Users > Authentication > 領域 > Authentication Policy >
Cache Cleaner ページから、領域レベルの制限を設定できます。

ロール－ IVE は、管理者またはユーザーを割り当てる適格なロールのリストを調べ
るときに、各ロールの制限を評価して、そのロールがユーザーのワークステーション
で Cache Cleaner の実行を要求しているかどうかを調べます。実行を要求しており、
ユーザーのコンピュータで Cache Cleaner がまだ実行されていない場合、IVE はユー
ザーをそのロールにマップしません。Web コンソールの Users > Role > [ ロール ]
> General > Restrictions > Cache Cleaner ページから、ロールレベルの制限を設
定できます。
Cache Cleaner ポリシーの適用対象である領域、ロール、またはリソースにユーザーが初
めてアクセスするときに限り、IVE が Cache Cleaner ポリシーを評価するように指定でき
ます。または、Signing In > End Point > Cache Cleaner タブの設定を使用して、ユー
ザーセッションを通じて、IVE が定期的にポリシーを再評価するように指定できます。定
期的に Cache Cleaner ポリシーを評価する場合は、IVE は、最新の評価に基づいて、動的
にユーザーをロールにマップし、新しいリソースへのユーザーアクセスを許可します。
Cache Cleaner のインストール
Cache Cleaner を必要とする領域、ロール、またはリソースポリシーレベルでポリシーを
実装する場合は、IVE またはユーザーがクライアントマシンに Cache Cleaner をインス
トールできるように、インストールメカニズムを提供する必要があります。 Cache
Cleaner を必要とする領域またはロールレベルでポリシーを実装する場合は、IVE または
ユーザーがクライアントマシンに Cache Cleaner をインストールできるように、インス
トールメカニズムを提供する必要があります。これを行わないと、IVE が Cache Cleaner
ポリシーを評価しても、Cache Cleaner クライアントが使用できないので、ユーザーのコ
ンピュータでエラーが発生します。
Web コンソールの User > Authentication > 領域 > Authentication Policy > Cache
Cleaner ページから自動インストールを有効にすることによって、IVE が Cache Cleaner
をユーザーのシステムにインストールすることを許可します。有効にした場合、ユーザー
が IVE サインインページにアクセスすると、IVE は領域レベルのオプションを評価し、現
バージョンの Cache Cleaner がユーザーのコンピュータにインストールされているかどう
かを確認します。Cache Cleaner がインストールされていなければ、IVE は ActiveX または
Java 配布メソッドのいずれかを使用してインストールしようとします。
ユーザーが IVE にサインインすると、IVE はユーザーのシステムに ActiveX コントロール
をインストールしようとします。IVE が ActiveX コントロールを正常にインストールする
と、この ActiveX コントロールは Cache Cleaner プログラムのインストールを管理します。
ユーザーに管理者権限またはパワーユーザー権限がないため、または ActiveX がユーザー
のシステムでオフになっているため、IVE が ActiveX コントロールをインストールできな
い場合は、IVE は Java を使用して Cache Cleaner をインストールしようとします。Java 配
布メソッドではユーザー権限のみが必要となりますが、Java はユーザーのシステムで有
効になっている必要があります。
エンドポイント防御の概要

77
Juniper Networks NetScreen Secure Access 700 管理ガイド
Java がユーザーのシステムで無効になっていて、IVE が Java 配布メソッドを使用できない
場合は、IVE は、ユーザーシステムが ActiveX または Java アプリケーションのインストー
ルを許可していない旨のエラーメッセージをユーザーに通知します。このため、アクセス
セキュリティ機能の一部を実行できません。
メモ : Cache Cleaner をインストールするには、387 ページの「クライアントサイドの
アプリケーションインストール」での説明のように、ユーザーには適切な権限が必要で
す。これらの権限がユーザーにない場合、Web コンソールの Maintenance > System >
Installers ページで Juniper Installer サービスを使用して、この要求を回避します。
Cache Cleaner の実行
ユーザーが IVE にアクセスしようとすると、IVE はクライアントシステムの Cache
Cleaner のステータスを調べ、以下のプロセスを使用して実行を開始するよう指示し
ます。
1.
初期評価－ユーザーが IVE サインインページに初めてアクセスすると、IVE は
Cache Cleaner がユーザーのコンピュータで実行しているかどうか調べます。IVE は、
Cache Cleaner ポリシーを領域、ロール、またはリソースのどのポリシーレベルに実
装したかにかかわらず、初期評価を行います。
ユーザーが、Cache Cleaner の実行後、IVE にサインインする前に、IVE のサインイン
ページから移動すると、Cache Cleaner がタイムアウトするまで、Cache Cleaner は
ユーザーのコンピュータで実行し続けます。
IVE が何らかの理由（ユーザーがサインインページで認証情報を入力しなかった場合
も含む）で Cache Cleaner のステータスを受信しない場合、IVE はエラーを表示して
ユーザーをサインインページに戻します。
あるいは、IVE Cache Cleaner プロセスがステータスを返す場合、IVE は領域レベル
ポリシーの実行を継続します。
2.
領域レベルポリシー－ IVE は、初期評価で返された結果によって、ユーザーがアク
セスできる領域を判断します。次に IVE は、ユーザーに対して特定の領域を表示また
は非表示にして、サインインページが関連付けられ、Cache Cleaner の要件を満たす
領域だけに、ユーザーがサインインできるようにします。利用可能な領域が要求する
Cache Cleaner の条件をユーザーが満たせなかった場合は、IVE はサインインページ
を表示しません。代わりに、コンピュータがエンドポイントポリシーに準拠していな
いことを通知するエラーが表示されます。
ユーザーが IVE に初めてサインインするときは、IVE は、Cache Cleaner がチェック
する領域レベルのみを実行することに注意してください。セッション中にユーザーの
システムの状態が変わった場合、IVE は現在の領域からこのユーザーを削除しない
か、新しいシステムの状態に基づいて新しい領域へのアクセスを許可します。
3.
ロールレベルポリシー－ユーザーが領域にサインインすると、IVE はロールレベル
ポリシーを評価して、ユーザーがそのロールの Cache Cleaner 要件を満たしている場
合は、ユーザーをロールに割り当てます。次に、IVE によって IVE ホームページが表
示され、マップされたロールが許可するオプションが有効になります。
定期的な評価で、Cache Cleaner が異なるステータスを返した場合、IVE は新しい結
果に基づいて動的にユーザーをロールに再マップします。定期的な評価の際に、エン
ドユーザーが利用可能な全ロールの権限を失った場合、IVE はユーザーセッション
の接続を切断します。
78
エンドポイント防御の概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
4.
最終クリーンアップ－ Cache Cleaner は、以下の場合に最終クリーンアップを実行
し、レジストリ設定を復元します。

ユーザーが明示的にユーザーセッションからサインアウトする－ユーザーが
IVE ホームページで Sign Out をクリックすると、Cache Cleaner は最終クリーン
アップを実行し、システムから自らをアンインストールします。

ユーザーセッションタイムアウト－ユーザーセッションがタイムアウトする
と、Cache Cleaner は、クリーンアップを実行し、続いてユーザーが再びサイン
インした場合は、Cache Cleaner は別のクリーンアップを実行します。Signing In
> End Point > Cache Cleaner タブで指定した間隔で定期的にセッションの有効
性を確認するため、Cache Cleaner はセッションタイムアウトを認識します。
メモ : ユーザーセッションの有効性をチェックする際、Cache Cleaner は IVE に接続し
ます。このアクションによって、個人用ファイアウォールで警告が発せられる可能性が
あります。Cache Cleaner が正しく動作できるよう、ユーザーはこのトラフィックを許可
する必要があります。個人用ファイアウォールを備えたユーザーには、Cache Cleaner が
キャッシュをクリアするたびにログエントリが表示されることにも注意してください。

異常終了後のクライアントシステムの再起動－システム、セッション、または
ネットワーク接続の問題で Cache Cleaner が異常終了した場合、Cache Cleaner
は、最終クリーンアップを実行し、システムの再起動後、システムから自らをア
ンインストールします。Cache Cleaner は、終了後にログを記録できないことに
注意してください。また、終了後および IVE にサインバックする前にユーザーの
レジストリの設定に行われた変更はすべて失われます。
実行中でも実行中でない場合でも、Cache Cleaner はクライアントに残ります。ユーザー
は、Cache Cleaner がインストールされたディレクトリにある uninstall.exe を実行して、
エージェントを手動でアンインストールできます。System > Log/Monitoring > Clientside Log ページからクライアントサイドのロギングを有効にした場合は、このディレク
トリにもログファイルが含まれ、Cache Cleaner が実行する度に書き直されます。(Cache
Cleaner は標準の IVE ログには記録しませんが、クライアントサイドの一時的なテキスト
ファイルにログデータを記録します。この暗号化されたログは、Cache Cleaner が自らを
アンインストールしたときに削除されます。)
詳細については、以下を参照してください。

管理オプションについては、36 ページの「アクセス管理の概要」を参照してくださ
い。

領域、ロール、およびリソースの設定手順については、405 ページの「Cache Cleaner
の制限」を参照してください。

Cache Cleaner のインストール、実行ファイル、ログファイルのディレクトリについ
ては、387 ページの「クライアントサイドのアプリケーションインストール」を参
照してください。
エンドポイント防御の概要

79
Juniper Networks NetScreen Secure Access 700 管理ガイド
80
エンドポイント防御の概要
第4章
リモートアクセス
Secure Access 700 アプライアンスの Network Connect アクセス機能により、ユーザーは
遠隔地から簡単に IVE にアクセスできます。

83 ページの「Network Connect の概要」

93 ページの「E メールクライアントの概要」

97 ページの「Java アプレットアップロードの概要」

102 ページの「データ転送プロキシの概要」
第 4 章 : リモートアクセス

81
Juniper Networks NetScreen Secure Access 700 管理ガイド
82
第 4 章 : リモートアクセス
Juniper Networks NetScreen Secure Access 700 管理ガイド
Network Connect の概要
Secure Access 700 が使用する Network Connect アクセス機能は、クライアントレスの
VPN 機能を提供し、IVE アプライアンスを使用した企業リソースに対するリモートアク
セスメカニズムの役割を果たします。この機能は、クライアントコンピュータからのダ
イヤルアップ、ブロードバンド、LAN シナリオなど、あらゆるインターネットアクセス
モードをサポートし、SSL トラフィックをサポートするクライアントサイドのプロキシ
機能やファイアウォール機能も備えています。
Secure Access 700 ユーザーがサインインして Network Connect セッションを起動すると、
クライアント端末間の全ての送受信は、セキュアな Network Connect トンネル上で行われ
ます。（84 ページの図 23 を参照してください。）
Network Connect が実行されていると、クライアントはリモート（企業）LAN のノードと
して効果的に機能し、ユーザーのローカル LAN 上には表示されなくなります。IVE アプ
ライアンスは、クライアントのドメインネームサーバー（DNS）ゲートウェイとして機
能し、ユーザーのローカル LAN の情報は全く認識しません。ただし、PC 上に静的なルー
トを定義すれば、ユーザーは引き続きローカル LAN にアクセスしながら同時にリモート
LAN にも接続することができます。PC トラフィックは Network Connect トンネルを通過
して企業内部リソースに渡されるため、ユーザーのローカルネットワーク内の他のホス
トが、Network Connect を実行する PC に接続できないようにします。
ローカルサブネットへのユーザーアクセスを拒否することにより（Users > Roles >
ロール > Network Connect タブで設定）、リモートユーザーの LAN の他のホストが、
企業内部リソースに確実にアクセスできないようにします。ローカルサブネットへの
アクセスを許可しない場合、IVE アプライアンスは、静的ルートが定義されているク
ライアントが開始した Network Connect セッションを終了します。また、管理者は、
クライアントが個人用ファイアウォールなどのエンドポイントセキュリティソ
リューションを実行してからネットワークレベルのリモートアクセスセッションを
起動するよう要求することもできます。IVE アプライアンスに接続したホストでエン
ドポイントセキュリティチェックを実行する Host Checker は、クライアントがエン
ドポイントセキュリティソフトウェアを使用しているかどうかを検証できます。詳細
については、67 ページの「Host Checker の概要」を参照してください。
Network Connect の概要

83
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 23 は、Network Connect トンネルの確立に関する一般的な手順を示しています。
図 23: Network Connect トンネル確率の一般手順
User signs in to
Windows and
enters
authentication
credentials
Is GINA
installed on
client?
Yes
User enters
credentials into
IVE sign-in page
of specified URL/
Realm on client
Credentials
correct?
No
Does user
choose to launch
Network
Connect?
No
User signs in to
Windows using
cached credentials
and connected to
LAN only
Network Connect
Yes tunnel established
between remote
client and IVE
No
Yes
Network Connect
client launches in
embedded
browser displaying
IVE sign-in
Repeat user
credential
verification twice.
If unable to
authenticate,
display error
message and
connect to LAN
only
Network Connect
access options
displayed in the
“Available Role
Mappings” page
User selects
access type from
list of available
options
Network Connect の実行
Network Connect エージェントは、以下の処理を実行します。
1.
GINA（Graphical Identification and Authorization）がインストールされており、リ
モートクライアント上で登録されている場合は、ユーザーが Windows にサインイン
すると、クライアントは自動的に Network Connect トンネルを IVE に起動します。そ
れ以外の場合は、ユーザーは Secure Access 700 にサインインする必要があります。
2.
ユーザーが最新バージョンの Network Connect インストーラを持っていない場合は、
IVE アプライアンスは ActiveX コントロール（Windows）または Java アプレット
（Mac および Linux）をクライアントマシンにダウンロードし、続いて Network
Connect ソフトウェアをダウンロードして、インストール機能を実行します。IVE ア
プライアンスが、アクセス権限やブラウザの制限により、ActiveX コントロールを
Windows にダウンロードあるいは更新できなかった場合、IVE アプライアンスは、
Network Connect ソフトウェアをクライアントに配信するために Java アプレットを使
用します。IVE が ActiveX コントロールと Java アプレットのどちらをダウンロードし
ても、両コンポーネントはクライアント上に存在する Network Connect ソフトウェア
の有無とそのバージョンを特定して、以下のどちらのインストールを実行するかを決
定します。
a.
クライアントのマシンに Network Connect ソフトウェアが存在しない場合、最新
バージョンをインストールします。
b.
クライアントのマシンにインストールされた Network Connect ソフトウェアが、
最新バージョンでない場合は、旧バージョンのソフトウェアをアンインストール
し、IVE から最新バージョンをインストールします。
メモ : 有効な Java アプレット、インストールファイルとログ、および配信メカニズム
を実行するオペレーティングシステムのディレクトリについては、387 ページの「クラ
イアントサイドのアプリケーションインストール」を参照してください。
3.
84
Network Connect の概要
インストールが完了したら、Network Connect エージェントは、要求を IVE アプライ
アンスに送信し、事前に指定された IP プールから IP アドレスを取得して接続を開始
します（ユーザーロールに適用した Network Connect 接続プロファイルリソースポ
リシーの定義に従います）。
Juniper Networks NetScreen Secure Access 700 管理ガイド
4.
Network Connect システムトレイアイコンが、Windows クライアントのタスクバー
または Mac クライアントの Dock で実行を開始します。
5.
IVE アプライアンスは、（Network Connect 接続プロファイルリソースポリシーによ
り）IP アドレスを割り当て、クライアントが実行している Network Connect サービ
スに一意の IP アドレスを割り当てます。
6.
クライアントサイドの Network Connect サービスは、割り当てられた IP アドレス
を使用して、IVE アプライアンス上で実行する Network Connect プロセスと通信
します。
7.
IVE が IP アドレスをクライアントに割り当た後で、IVE は、ユーザーのリソースポ
リシーがアクセスを許可するクライアントとすべての企業リソース間の直接通信チャ
ンネルを開きます。内部アプリケーションサーバーは通信元の IP アドレスをクライ
アントの IP アドレスとして見ます。
図 24: Network Connect のクライアント / サーバーの通信
クライアントサイド Network Connect エージェントは、IVE アプライアンスと通信しま
す。さらに、アプライアンスはクライアントの要求を企業リソースに転送します。
メモ : Host Checker を使用して IVE で定義されたポリシーに基づくすべてのクライアン
トサイドのセキュリティコンポーネントの有無を確認し、ネットワークコネクション
セッションの任意の時点でクライアントがそのセキュリティポリシーに準拠しない場合
は、Host Checker はそのセッションを終了します。
GINA を使用した Network Connect の自動サインイン
GINA（Graphical Identification and Authorization）サインイン機能は自動化したサインイ
ンメソッドで、Windows クライアント上にインストールして有効化することによって、
Windows NT ドメインにサインインできます。Network Connect に、クライアントマシ
ンへ GINA をインストールするよう要求できます。または、ユーザーが Network
Connect を起動するときに、GINA をインストールするかどうかユーザーに決定させる
ことができます。
メモ : 複数の GINA 自動サインイン機能、クライアントのシステムにインストールする
ことはできません。クライアントのシステムで別のアプリケーションが GINA 関数を使
用している場合は、Network Connect は GINA コンポーネントをインストールしてアク
ティブにすることはできません。
Network Connect の概要

85
Juniper Networks NetScreen Secure Access 700 管理ガイド
GINA がクライアントにインストールされている場合は、ユーザーは、Windows にサイン
インするたびに、Network Connect を起動するかどうか選択するよう要求されます。GINA
のインストールをオプションにした場合は、ユーザーは、Network Connect ウィンドウの
Auto connect when login to Windows オプションを使用して、GINA をアクティブにでき
ます。このオプションは、Network Connect セッションが開いている間のみ使用できます。
クライアントシステムの GINA のインストールを有効にするオプションは、ロール属
性を定義するときに Users > Roles > ロール > Network Connect ページで使用でき
ます。詳細については、275 ページの「Network Connect ページの設定」を参照してく
ださい。
図 25 は、GINA インストールプロセスに関する一般的な手順を示しています。
図 25: GINA インストールプロセス
User signs in to
IVE via Network
Connect
Is GINA enabled on
the user’s IVE role?
No
GINA automatic
sign-in
service installed
Yes
No
Network Connect
installed without
GINA capability
No
Does user choose
to enable GINA?
Yes
GINA installation
completed and
user asked
whether or not to
reboot at this time
GINA インストールプロセスは一度だけ行います。GINA サインイン機能を有効にするた
めに、ユーザーはシステムを再起動する必要がありますそのセッションが完了と、GINA
は、ユーザーが Windows のサインインを行うたびに、Network Connect を起動するかど
うかを選択するようユーザーに要求します。ユーザーが Network Connect にサインインす
ると、特に指定しない限り、Network Connect トンネルを確立する前に GINA がユーザー
の Windows サインイン資格情報を認証用に IVE に渡します。
86
Network Connect の概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 26 は、自動 GINA トンネル確立プロセスに関する一般的な手順を示しています。
図 26: GINA 自動サインインプロセス
Windows
credentials
presented to IVE
for authentication
User launches
Windows on client
User connected
to network
Yes
Does client have
network connectivity?
GINA
Yes
sign-in appears.
Does user want to
launch Network
Connect?
Yes
No
User signs in to
Windows using
cached credentials, no
GINA sign-in
displayed, and no
network connectivity
established
Yes
No
User signs in to
Windows using
cached credentials
and connected to
LAN only
Was the tunnel
established?
Yes
No
Is user signed in to
Windows NT domain?
No
Attempt user
credential
verification three
times only.
If unable to
authenticate,
display error
message and
connect to LAN
ネットワークを Network Connect 用にプロビジョニングする
Network Connect と他の VPN クライアントアプリケーションとの非互
換性
サードパーティベンダーの VPN クライアントアプリケーションは、Network Connect と
互換性がない場合があります。表 3 に、VPN クライアントベンダーおよびそのベンダー
の VPN クライアントアプリケーションと Network Connect との相対的な互換性につい
て、既知のものを示します。
表 3: Network Connect とサードパーティ VPN クライアントとの互換性
ベンダー
互換性
Cisco
有り
Nortel
有り
NS Remote
有り
Intel
有り
チェックポイント
なし
互換性のない VPN クライアントアプリケーションを搭載したクライアントに Network
Connect をインストールする場合は、Network Connect をクライアントにインストールし
て起動する前に、クライアントから互換性のないアプリケーションをアンインストールす
る必要があります。
Network Connect の概要

87
Juniper Networks NetScreen Secure Access 700 管理ガイド
Linux クライアントの必要条件
Mozilla Firefox バージョン 1.6 から Network Connect にサインインする Linux クライアン
トは、OpenSSL と OpenMotif ライブラリがクライアントにインストールされている必要
があります。OpenSSL および OpenMotif ライブラリを持たない Linux ユーザーの場合、そ
れらを以下から無料で入手してインストールするよう、指示することができます。

OpenSSL －ほとんどの Linux バージョンは OpenSSL に付属しています。詳細は、
http://www.openssl.org/related/binaries.html を参照してください。（また、
http://www.openssl.org/source/ のソースにアクセスしてユーザーのバージョンをコン
パイルするよう、ユーザーに通知することもできます。）要求されるバージョンは、
libssl.so.0.9.6b です。

OpenMotif － ftp://openmotif.opengroup.org/pub/openmotif/ のパスで、FTP から
OpenMotif ライブラリを取得できます。参考として、このライブラリを配布するその
他のサイトについて、必ず Getting OpenMotif のドキュメントをお読みください。必
要なバージョンは、libXm.so.3.0.1 です。
Network Connect リソースポリシーのアクセス方法を定義する
Network Connect リソースポリシーでは、リモートクライアントのアクセス方法を決
めるのに使用する、さまざまな Network Connect セッションパラメータを指定します。
IVE で次のタイプのリソースポリシーを設定し、１つ以上のユーザーロールに適用で
きます。
88
Network Connect の概要

アクセスリソースポリシー－このポリシータイプは、どのリソースユーザーが、
いつ Network Connect を使用して企業イントラネット上の Web、ファイル、サー
バーマシンなどにアクセスできるかを指定できます。詳細については、320 ページの
「Network Connect Access Control タブ」を参照してください。

パケットロギングリソースポリシー－このポリシータイプでは、接続問題を診断
および解決する目的で、IVE 上でクライアントサイド Network Connect パケットログ
をコンパイルします。詳細については、321 ページの「Network Connect Logging タ
ブ」を参照してください。

接続プロファイルリソースポリシー－このポリシータイプは、IVE が IP アドレス
をクライアントサイドの Network Connect エージェントに割り当てるために使用する
オプション（DHCP または IVE 管理の IP アドレスプール）を指定します。また、こ
の機能を使用して、Network Connect セッションの転送プロトコルや暗号化する方法
を指定できます。詳細については、322 ページの「Network Connect Connection
Profiles タブ」を参照してください。

スプリットトンネリングリソースポリシー－このポリシータイプでは、IVE がリ
モートクライアントと企業イントラネット間のトラフィックを処理すための１つ以
上のネットワーク IP アドレス / ネットマスクの組み合わせを指定できます。詳細につ
いては、326 ページの「Network Connect Split Tunneling タブ」を参照してください。
Juniper Networks NetScreen Secure Access 700 管理ガイド
複数の DNS 設定をサポートする Network Connect 接続プロファイル
リモートユーザーが DNS 検索をできる限り効率的または安全に実行できるようにするた
め、ユーザーのロールメンバーシップに基づいて、Network Connect セッション中に複
数の DNS 設定を許可するように IVE を設定できます。
IVE がユーザーの Network Connect セッションを起動するとき、IVE は、IP アドレス、
DNS、WINS 設定を含むユーザーロールメンバーシップに基づいてマッチングプロファ
イルを使用します。
スプリットトンネリングを有効にすると、DNS の検索順序設定により、優先する DNS 設
定を定義できます。たとえば、クライアント LAN の DNS サーバーの検索を、IVE の DNS
サーバーの前に行ったり、その逆も可能です。Network Connect は、Network Connect 接
続を確立する前に、クライアントの DNS 設定 / 検索に対する優先順序のバックアップを
作成します。セッションが終了したら、Network Connect はクライアントを元の DNS 設定
に復元します。スプリットトンネリングを無効にすると、すべての DNS 要求は、IVE の
DNS サーバーに送信され、DNS 検索優先順序の設定は適用されません。
IVE のマルチサイトクラスタを使用する場合、IP プールおよび DNS 設定は、異なるサイ
トに存在する各 IVE 固有である必要があります。このため、IVE は、ノードごとに異なる
Network Connect 接続プロファイルポリシーを可能にします。すなわち、リソースポリ
シーは、新しいセッションが確立されるごとに、クライアントがクラスタ内の同じ IVE に
接続できるようにします。
クライアントサイドロギング
Network Connect クライアントサイドログは、Network Connect の潜在的な問題をトラブ
ルシューティングするために使用するサインイン、デバッグ、その他の統計情報を含んだ
リモートクライアント上に常駐するファイルです。Network Connect ユーザーのクライア
ントサイドロギングを有効にすると、クライアントは Network Connect イベントを一連
のログファイルに記録し、その後のユーザーセッション中に機能が起動されるごとに、
連続してエントリを追加します。結果のログファイルは、Network Connect の問題をサ
ポートチームと協力してデバッグするときに役立ちます。詳細については、176 ページの
「クライアントサイドロギング設定の指定」を参照してください。
メモ : Network Connect ユーザーがクライアントサイドロギングをオフにすると、（IVE
でロギングを有効にした場合でも）クライアントは新しいクライアントサイドログ情報
を記録しません。ユーザーがロギング機能をオンにし、クライアントサイドのロギング
を無効にするように IVE が設定されている場合、クライアントは新しいクライアントサ
イドのログ情報を記録しません。
Network Connect の概要

89
Juniper Networks NetScreen Secure Access 700 管理ガイド
Network Connect プロキシのサポート
Network Connect は、プロキシサーバーを使用してインターネット（およびインターネッ
トを介した IVE）にアクセスするリモートクライアントをサポートします。さらに、イン
ターネットにアクセスするためにプロキシを必要としないが、プロキシを通して内部ネッ
トワークのリソースにアクセスするクライアントをサポートします。さらに Network
Connect は、Web アプリケーションへのアクセスを可能にするクライアントおよび IVE プ
ロキシ設定を指定する PAC（プロキシ自動設定）ファイルに、アクセスするクライアント
にも対応しています。
これらさまざまなプロキシ実装方法を使用するために、Network Connect は、Network
Connect セッションの対象となるトラフィックのみが一時プロキシ設定を使用するよう、
一時的にブラウザのプロキシ設定を変更します。Network Connect セッションを対象とし
ないトラフィックはすべて、既存のプロキシ設定を使用します。
スプリットトンネリングの有効、無効に関わらず、IVE は次のプロキシシナリオをサ
ポートします。

IVE にアクセスするために明示プロキシを使用

Web アプリケーションにアクセスするために明示プロキシを使用

IVE にアクセスするために PAC ファイルを使用

Web アプリケーションにアクセスするために PAC ファイルを使用
IVE でスプリットトンネリングが有効にされると、プロキシが実装された方法に応じて、
Network Connect は次のいずれかの方法によりプロキシ設定を管理します。
90
Network Connect の概要

プロキシサーバーを使用してインターネットに接続するリモートクライアントでは、
ブラウザで生成され、IVE（NCP トランスポートトラフィックを含む）を対象とする
すべての HTTP 要求は、明示プロキシまたはリモートクライアントによりアクセス
された PAC ファイルのいずれかを経由します。明示プロキシが存在しているか、クラ
イアントサイドに既に供給された PAC ファイルへのアクセスのため、クライアント
は、Network Connect セッションの確立を試みる前に、ローカルの一時プロキシを設
定します。

プロキシを使用して企業ネットワーク上の企業リソースにアクセスするリモートク
ライアントの場合は、プロキシなしにインターネットに直接接続できますが、
Network Connect が接続を確立するまでの間プロキシサーバーに到達できない場合で
も、Network Connect はクライアント上のプロキシ設定を識別します。Network
Connect は接続を確立すると、ローカルの一時プロキシを作成します。

リモートクライアントが事前設定された HTTP ベースの PAC ファイルにアクセスす
ると、クライアントは、Network Connect がセッション接続を確立するまで PAC ファ
イルにアクセスできません。Network Connect が接続を確立すると、クライアントは
PAC ファイルにアクセスし、PAC ファイルのコンテンツをローカルの一時プロキシに
含め、続いてブラウザのプロキシ設定を更新します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Network Connect Quality of Service
Network Connect を介して内部ネットワークの QoS（Quality of Service）をサポートする
ために、IVE は内部 IP パケットヘッダー（たとえばアプリケーションレイヤーパケット
暗号化）を外部パケットヘッダーに変換して、ネットワークのレイヤーレベルのパケッ
ト優先順位付けを可能にします。これにより、ネットワーク内のルータは、Network
Connect IPSec パケットを識別し、優先順位付けして、適切にネットワーク全体に送信す
ることができます。この機能は、IP ビデオストリームなど、時間制限のある IP パケット
の送受信を確実にサポートするのに役立ちます。
メモ : Network Connect QoS は、UDP（IPSec）パケットのみに適用します。Network
Connect QoS 機能を使用しても、SSL パケット暗号化や転送方法は変更されません。
Network Connect マルチキャストサポート
IP ビデオブロードキャストのストリーミングを内部ネットワークで有効にするために、
Network Connect は、IGMP（インターネットグループ管理プロトコル）ゲートウェイマ
ルチキャストプロキシをサポートしています。
ユーザーがマルチキャストグループへの参加要求を開始した場合、IVE はクライアントに
代わり、IGMP 参加メッセージをローカルマルチキャストルータあるいはスイッチに対
して送信します。さらに、IVE は、ネットワーク内のマルチキャストルータが IVE に対し
て IGMP グループ情報をポールするたびに、IVE が現在のマルチキャストユーザーとグ
ループ要求で応答できるよう、IGMP グループ要求クエリをキャッシュに保存します。
ルータあるいはスイッチが IVE からの応答を受信しない場合、IVE に対するマルチキャス
トグループ情報が、ルータあるいはスイッチの転送テーブルから削除されます。
タスクサマリー： Network Connect の設定
このセクションでは、高度な Network Connect 設定の手順を説明します。これらの手順で
は、IVE のネットワーク ID の指定や、IVE へのユーザー ID の追加など、前段階の IVE 設
定手順は説明していません。
Network Connect 用に IVE を設定するには、次の操作を行います。
1.
Web コンソールの Users > Role > ロール > General > Overview ページの設定を使
用して、ロールレベルでの Network Connect へのアクセスを有効にします。手順につ
いては、257 ページの「General ページの設定」を参照してください。
2.
Resource Policies > Network Connect タブの設定を使用して、Network Connect リ
ソースポリシーを作成します。
a.
Web コントロールの Network Connect Access Control タブで、Network
Connect の一般的なアクセス設定と詳細なアクセス規則を指定します。詳細につ
いては、320 ページの「Network Connect Access Control タブ」を参照してくださ
い。
b.
Web コンソールの Network Connect Connection Profiles タブで、リモートユー
ザーに割り当てる Network Connect 接続プロファイルを指定します。詳細につい
ては、322 ページの「Network Connect Connection Profiles タブ」を参照してく
ださい。
c. （オプション）Web コンソールの Network Connect Logging タブで、フィルタリ
ングパケット情報の Network Connect リソースポリシーを指定します。詳細に
ついては、321 ページの「Network Connect Logging タブ」を参照してください。
d. （オプション）Web コンソールの Network Connect Split Tunneling タブで、
Network Connect のスプリットトンネリング動作を指定します。詳細について
は、326 ページの「Network Connect Split Tunneling タブ」を参照してください。
Network Connect の概要

91
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
Web コンソールの System > Network > Network Connect ページで、すべての
Network Connect ユーザーセッションに使用する Network Connect のサーバーサイド
のプロセス用に IP アドレスを指定します。詳細については、167 ページの「Network
Connect サーバー IP アドレスの指定」を参照してください。
4.
Web コンソールの Users > Role > ロール > Network Connect ページで、Network
Connect の GINA のインストール、スプリットトンネリングの使用、または自動起動
動作を有効にするかどうかを指定します。手順については、275 ページの「Network
Connect ページの設定」を参照してください。
メモ : このページで Network Connect のスプリットトンネリング動作を有効にした場合
は、上記のステップ d の説明に従って、初めに少なくとも１つの Network Connect ス
プリットトンネリングリソースプロファイルを作成する必要があります。
5.
335 ページの「Installers タブ」の指示に従って、リモートクライアントに適切な
Network Connect のバージョンが使用可能であることを確認します。
6. （オプション）Web コンソールの System > Log/Monitoring > NC Packet Log ページ
で、IVE が特定の Network Connect ユーザーに Network Connect パケットログを作成
するかどうかを指定します。手順については、168 ページの「Events、User Access、
Admin Access、および NC Packet タブ」を参照してください。
7.
92
Network Connect の概要
Network Connect のクライアントサイドロギングを有効または無効にするには、Web
コンソールの System > Configuration > Security > Client-side Logs タブで該当す
るオプションを設定します。手順については、176 ページの「クライアントサイドロ
ギング設定の指定」を参照してください。
Juniper Networks NetScreen Secure Access 700 管理ガイド
E メールクライアントの概要
IVE は、ライセンスに応じて、次の E メールオプション機能をサポートしています。

Secure Email Client オプション－ Secure Email Client オプションがある場合、IVE
は、Internet Mail Application Protocol（IMAP4）、Post Office Protoco （POP3）および
Simple Mail Transfer Protocol（SMTP）をサポートします。

Secure Application Manager オプション－ Secure Application Manager オプションが
ある場合、IVE は、Microsoft Exchange MAPI および Lotus Notes のネイティブプロト
コルをサポートします。
メモ : IVE ライセンスに、Microsoft Exchange MAPI および Lotus Notes のネイティブプ
ロトコルをサポートする Secure Application Manager オプションが含まれる場合には、
このセクションの内容は適用されません。
Secure Email Client オプションを使用すれば、ユーザーは VPN クライアントなどのソフト
ウェアを追加することなく、標準ベースの E メールクライアントを使用して、リモート
から企業の E メールに安全にアクセスできます。IVE は、Internet Mail Application Protocol
（IMAP4）、Post Office Protocol（POP3）、および Simple Mail Transfer Protocol（SMTP）を
サポートするどのメールサーバーにも対応しています。これには、IMAP4/POP3/SMTP イ
ンターフェースを提供する Microsoft Exchange Server や Lotus Notes メールサーバーが含
まれます。
IVE は、リモートクライアントとメールサーバーの間でセキュア E メールプロキシとし
ての役割を果たします。リモートクライアントは、IVE を（仮想）メールサーバーとして
使用し、SSL プロトコルを経由してメールを送信します。IVE はクライアントからの SSL
接続を終了し、LAN 内で暗号化されたメールトラフィックをメールサーバーに転送しま
す。次に、メールサーバーから送られた暗号化されていないトラフィックを IVE が SIMAP（Secure IMAP）、S-POP（Secure POP）、および S-SMTP（Secure SMTP）トラフィッ
クにそれぞれ変換し、SSL を通じて E メールクライアントに送信します。
詳細については、以下を参照してください。

93 ページの「E メールクライアントの選択」

94 ページの「標準ベースのメールサーバーを使用する」

94 ページの「Microsoft Exchange Server の使用」

96 ページの「Lotus Notes および Lotus Notes メールサーバーを使用する」
E メールクライアントの選択
IVE は次のような E メールクライアントをサポートしています。

Outlook 2000 および 2002

Outlook Express 5.5 および 6.x

Netscape Messenger 4.7x および Netscape Mail 6.2
E メールへのリモートアクセスが必要なユーザーは、通常次のいずれかのカテゴリに該
当します。

企業のノートパソコンを使用する場合－通常これらのユーザーは、職場と社外で同
じノートパソコンを使用します。
E メールクライアントの概要

93
Juniper Networks NetScreen Secure Access 700 管理ガイド

家庭用コンピュータを使用する場合－これらのユーザーは、職場と自宅で別のコ
ンピュータを使用します。
ユーザーに E メールクライアントを推奨する前に、次のセクションを参照して、サポー
トされる各クライアントの対話方法を確認してください。

Lotus Notes メールサーバーなどの標準ベースのメールサーバー。詳細については、
94 ページの「標準ベースのメールサーバーを使用する」を参照してください。

Microsoft Exchange Server。詳細については、94 ページの「Microsoft Exchange Server
の使用」を参照してください。
メモ : サポートされている各 E メールクライアントの設定方法は、サポートサイトで
参照できます。
標準ベースのメールサーバーを使用する
IVE は、IMAP4、POP3、および SMTP をサポートするメールサーバーに対応しています。
IMAP メールサーバー

会社のノートパソコンを使用するユーザー：サポートされる 6 種類の E メールクラ
イアントのどれでも使用できます。使い慣れた環境をそのまま使用できるよう、職場
と社外で同じクライアント（IVE を参照するように設定）を使用することをお勧めし
ます。

自宅のコンピュータを使用するユーザー：サポートされる 6 種類の E メールクライ
アントのどれを使用しても、IVE を経由して IMAP サーバーにリモートアクセスでき
ます。
POP メールサーバー

企業のノートパソコンユーザー：サポートされる 4 種類の Outlook E メールクライ
アントを使用できます。使い慣れた環境をそのまま使用できるよう、職場と社外で同
じクライアント *（IVE を参照するように設定）を使用することをお勧めします。

自宅のコンピュータを使用するユーザー：サポートされる 4 種類の Outlook E メール
クライアント * のどれを使用しても、IVE を経由して POP サーバーにリモートアク
セスできます。
*
Netscape E メールクライアントは、IVE がセキュアデータ通信に必要とする S-POP をサ
ポートしていません。そのため POP モードではリモートアクセスに Netscape E メール
クライアントを使用することはできません。
Microsoft Exchange Server の使用
Microsoft Exchange Server は次のクライアントをサポートしています。
94
E メールクライアントの概要

ネイティブ MAPI（Messaging Application Programming Interface）クライアント

MAPI クライアント

POP クライアント

Outlook Web Access（OWA）
Juniper Networks NetScreen Secure Access 700 管理ガイド
IVE は、IMAP クライアントおよび POP クライアント経由の場合は Secure Email Client オ
プションを、OWA 経由の場合はセキュア Web ブラウズ機能をそれぞれ使用して、
Microsoft Exchange Server へのアクセスを提供します。
ネイティブ MAPI プロトコルを通じて Microsoft Exchange Server にアクセスする場合に
は、IVE に Secure Application Manager オプションのライセンスが必要になります。
Exchange Server と IMAP クライアント
会社でメールサーバーとして Exchange Server を使用している場合には、社員が職場で使
用する OS はネイティブ MAPI モードで Outlook 2000 または 2002 E メールクライアント
を使用する構成が想定されています。

会社のノートパソコンを使用する場合： Outlook Express または Netscape クライアン
トを使用して、IVE 経由で Exchange Server にリモートアクセスできます。1

自宅のコンピュータを使用する場合： MAPI アカウントがリモートコンピュータに設
定されていなければ、サポートされる 6 種類の E メールクライアントのどれを使用
しても、IVE 経由で Exchange Server にリモートアクセスできます。
IMAP モードで Outlook Express または Netscape クライアントを実行する場合には、フォ
ルダ管理について以下に注意する必要があります。

Outlook Express メールクライアントを使用する場合－ Outlook Express では、削除
された E メールは受信ボックスに抹消線付きで表示されるだけで、Outlook 2000 や
2002 クライアントのように Exchange Server の Deleted Items フォルダに移動される
ことはありません。Outlook Express クライアントで削除済みフォルダを空にすると、
E メールは完全に消去されます。Outlook Express を使用する場合には、次のいずれか
の操作を行うことをお勧めします。

削除する E メールを Local Folders の Deleted Items フォルダにドラッグします
（これらのフォルダはデフォルトで表示されます）。このフォルダは、Exchange
Server の Deleted Items フォルダと同期しており、ユーザーは削除した E メール
を後で復元することができます。

Outlook Express の受信箱にある削除済み E メールはそのまま残し、次回
Outlook 2000 または 2002 プログラムにログインすると、削除済み E メールが
Deleted Items フォルダに移動します。
Netscape メールクライアントを使用する場合－削除された E メールは Netscape の
Trash フォルダに移動し、Netscape の受信箱には表示されません。Outlook 2000 また
は 2002 の場合、次の操作を行わない限り、受信箱からは消えることはありません。
a.
削除済みメッセージを Trash フォルダに移動するよう Netscape プログラムを設
定して、終了時に受信箱を空にするオプションをオンにします。
b.
他のプログラムの受信箱がサーバーと同期し、同じメッセージが表示されるのを
防ぐためには、同時に複数のプログラムを実行せず、作業を終えたプログラムは
終了するようにしてください。
また、送信済みの E メールは Netscape の Sent フォルダ（または他のユーザー定義
フォルダ）に移動します。送信済みメッセージを Microsoft Exchange Server の Sent
Items フォルダにも表示するには、送信済みメールを Netscape の Sent フォルダから
Sent Items フォルダにドラッグで移動する必要があります。
1. Outlook 2000 クライアントの場合は、複数のユーザーが同じクライアントを使用してリモートアクセスするのを防
止するために、サポートされるメールサーバー設定は 1 つだけ（この場合はネイティブ MAPI モード）です。
Outlook 2002 クライアントの場合、MAPI と IMAP のサーバー設定を同時にサポートしますが、リモートユーザーに
よって E メールが受信されるのを防止するために、MAPI アカウントがオフラインのときには IMAP 経由のアクセス
はできないようになっています。
E メールクライアントの概要

95
Juniper Networks NetScreen Secure Access 700 管理ガイド
Exchange Server と POP クライアント
会社でメールサーバーとして Exchange Server を使用している場合には、社員が職場で使
用する OS は、ネイティブ MAPI モードで Outlook 2000 または 2002 E メールクライアン
トを使用する構成が想定されています。

企業のノートパソコンを使用する場合：サポートされるいずれかの Outlook
Express クライアントを使用して、IVE 経由で Exchange Server にリモートアクセ
スできます。

自宅のコンピュータを使用する場合：リモートコンピュータで MAPI アカウントが設
定されていない場合、IVE 経由で Exchange Server にリモートアクセスするのに、4
種類の Outlook クライアントのいずれも使用することができます。
メモ : Netscape E メールクライアントは IVE によるセキュアデータ通信に必要な
S-POP をサポートしていないため、POP モードではリモートアクセスに Netscape
E メールクライアントを使用することはできません。
Exchange Server と Outlook Web Access
OWA による Exchange Server へのアクセスを可能にし、ユーザーが IVE Web ブラウズ機
能を通じて Exchange Server にアクセスできるようにするには、Web ベースのアプリケー
ションとしてイントラネットに OWA を展開します。OWA を実装するのに、ネットワーク
外部で別の手順を実行する必要はありません。
メモ : IVE を使用して Outlook Web Access にアクセスする方が、直接 Outlook Web
Access をインターネットに接続するよりも安全です。これにより、Nimda などの攻撃か
ら Outlook Web Access IIS Web サーバーを保護できます。
Lotus Notes および Lotus Notes メールサーバーを使用する
Lotus Notes メールサーバーは、POP3 インターフェースと IMAP4 インターフェースを提
供し、ユーザーは IVE を通じて Lotus Notes メール構成からメールを取り出すことができ
ます。Lotus メールサーバーへのリモートアクセスを必要とする、社内の E メールユー
ザーにどの E メールクライアントを推奨するかを検討する場合は、94 ページの「標準
ベースのメールサーバーを使用する」の標準ベースのメールサーバーの使用方法に関す
るセクションを参照してください。
タスクサマリー： IVE での E メールクライアントの設定
次のアクセスを有効にするには：

96
E メールクライアントの概要
会社の IMAP/POP/SMTP メールサーバー－ Web コンソールの Resource Policies >
Email Settings ページで、メールサーバー、E メールセッション、および認証情報を
指定します。詳細については、329 ページの「Email Client ページの設定」を参照して
ください。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Java アプレットアップロードの概要
IVE Java アプレットアップロード機能を使用すると、格納する別の Web サーバーを使わ
ずに、希望する Java アプレットを直接 IVE に保存できます。この機能を使用する場合は、
アプレットを IVE にアップロードして、そのアプレットを参照する IVE から簡単な Web
ページを作成します。これにより、IVE は、コンテンツ仲介エンジンを使用して Web ペー
ジと Java アプレットコンテンツを仲介します。
たとえば、IVE を使用して、ネットワーク上の IBM AS/400 システムと、ユーザーのコン
ピュータ上の個々の 5250 ターミナルエミュレータ間でトラフィックを仲介できます。こ
のトラフィックを仲介するように IVE を設定するには、5250 ターミナルエミュレータの
Java アプレットを取得します。このアプレットを IVE にアップロードして、そのアプレッ
トを参照する簡単な Web ページを作成できます。IVE から Web ページを作成したら、IVE
は、ユーザーが各自のホームページからアクセスできる対応するブックマークを作成しま
す。
メモ : この機能を使用するには、Java アプレット、Java アプレットパラメータ、および
HTML に精通している必要があります。
このセクションには、IVE からの Java アプレットのアップロード、有効化、アクセスに関
する次の情報が含まれています。

97 ページの「IVE に Java アプレットをアップロードする」

98 ページの「アップロードした Java アプレットに署名する」

99 ページの「アップロードした Java アプレットを参照する HTML ページの作成」

99 ページの「Java アプレットのブックマークへアクセスする」

99 ページの「使用例：Citrix JICA 8.0 Java アプレットのブックマークを作成する」

101 ページの「タスクサマリー：Java アプレットのアップロードと有効化」
IVE に Java アプレットをアップロードする
IVE Java アプレットアップロード機能を使用すると、格納する別の Web サーバーを使わ
ずに、希望する Java アプレットを直接 IVE に保存できます。これらのアプレットを使用す
ると、IVE からトラフィックをさまざまなタイプのアプリケーションに仲介できます。た
とえば、3270 アプレット、5250 アプレット、または Citrix Java アプレットを IVE にアッ
プロードできます。これらのアプレットにより、ユーザーはターミナルエミュレータか
ら IBM メインフレーム、AS/400、および Citrix MetaFrame サーバーへのセッションを確
立できます。（IVE セッションにより Citrix java ICA クライアントを有効にするには、複
数の Citrix .jar および .cab ファイルを IVE にアップロードする必要があります。詳細につ
いては、99 ページの「使用例：Citrix JICA 8.0 Java アプレットのブックマークを作成す
る」を参照してください。
IVE により、 .jar、.cab、.zip、および .class の各ファイルを、Web コンソールの
Resource Policies > Web > Java > Applets ページからアップロードできるようになりま
す。合計ファイルサイズが 100 MB を超えず、各パッケージの名前が一意である限り、複
数の Java アプレットを IVE にアップロードできます。
Java アプレットアップロードの概要

97
Juniper Networks NetScreen Secure Access 700 管理ガイド
Sun と Microsoft の Java Virtual Machines（JVMs）の互換性を確保するには、 .jar と .cab
の両ファイルを IVE にアップロードする必要があります。
メモ : Java アプレットを IVE にアップロードする場合は、IVE は、アプレットのインス
トールを完了する前に法的同意書を読むよう要求します。この同意書は注意深くお読み
ください。これは、アップロードする Java アプレットの適法性、運用、およびサポート
について全責任を負うことを義務付けています。
アップロードした Java アプレットに署名する
IVE からユーザーがアクセスできる他の Java アプレットとは異なり、IVE にアップロード
する Java アプレットに別途コード署名ポリシーを作成する必要はありません。IVE は、適
切なコード署名証明書を使用して、自動的にこれらの Java アプレットに署名（または再
署名）を行います。コード署名証明書（「アプレット証明書」とも呼ばれます）は、サー
バーサイド証明書の一種で、64 ページの「コード署名証明書」の説明のように、IVE が仲
介する Java アプレットの署名を書き換えます。
Web コンソールの Resource Policies > Web > Java > Applets ページからアプレットを
アップロードする場合は、そのアプレットを信用するかどうかを指定します。信用すると
指定した場合は、IVE は、Web コンソールの System > Configuration > Certificates >
Code-signing Certificates ページからインストールするコード署名証明書を使用して、ア
プレットに署名（または再署名）します。
そのアプレットを信用することを示さない場合、または IVE にコード署名証明書をインス
トールしない場合は、IVE は自己署名のアプレット証明書を使用して、そのアプレットに
署名または再署名します。この場合は、ユーザーが IVE からその Java アプレットにアクセ
スするごとに、「信頼できない証明書発行者」の警告が表示されます。
図 27: Java アプレットに署名する際に使用する証明書の決定
98
Java アプレットアップロードの概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
アップロードした Java アプレットを参照する HTML ページの作成
Java アプレットを IVE にアップロードしたら、Web コンソールの Users > Roles >
[ ロール ] > Web > Bookmarks ページの設定を使用して、そのアプレットを参照する
簡単な Web ページを作成する必要があります。ユーザーは、ユーザーの IVE ホーム
ページのブックマークから、または外部 Web サーバーから、この Web ページにアク
セスできます（99 ページの「Java アプレットのブックマークへアクセスする」を参照
してください）。
この Web ページには、アップロードした Java アプレットを参照する簡単な HTML ページ
の定義が含まれている必要があります。また、Web ページには、追加の HTML や
JavaScript を選んで含めることもできます。IVE は、HTML ページの定義や Java アプレッ
トへの参照など、この Web ページの一部を生成できます。IVE はこの情報を生成する際
に、未定義の値のプレースホルダも作成し、必要な値を入力するよう要求します。
Java アプレットのブックマークへアクセスする
ユーザーが IVE にアップロードされたアプレットにアクセスするには、次の 2 つの方法
があります。

IVE エンドユーザーコンソール上のブックマーク－アップロードした Java アプ
レットを参照する Web ページを作成すると、IVE は Web ページに対応するリンクを
作成し、そのリンクを IVE エンドユーザーコンソールの Bookmarks セクションに表
示します。適切なロールに割り当てられたユーザーは、このリンクをクリックするだ
けで Java アプレットにアクセスできます。

外部 Web サーバー上のリンク－ユーザーは、正しい URL を使用するだけで、外部
Web サーバーから Java アプレットのブックマークにリンクできます。ユーザーが
ブックマークの URL を入力（または URL を含む外部リンクをクリック）すると、
IVE はユーザーに IVE ユーザー名とパスワードを入力するよう要求します。ユーザー
が正常に認証されると、IVE はそのブックマークへのアクセスを許可します。次の行
で説明する構文のいずれかを使用すると、URL を Java アプレットのブックマークに
構成できます。
https://<IVE>/dana/home/launchwebapplet.cgi?id=bmname=<bookmarkName>
https://<IVE>/dana/home/launchwebapplet.cgi?id=<bookmarkID>
（Java アプレットのブックマークの ID を調べるには、IVE ホームページからブック
マークにアクセスし、Web ブラウザのアドレスバーから ID を抽出します。）
メモ : Java アプレットのブックマークにアクセスするために IVE にサインインする場合
は、ユーザーは、Web コンソールの System > Network > Overview ページで指定した
IVE ホスト名を使用する必要があります。ユーザーが IP アドレスを使用して IVE にサイ
ンインすると、ブックマークまたは URL にアクセスできません。
使用例： Citrix JICA 8.0 Java アプレットのブックマークを作成する
このセクションでは、Citrix ICA クライアント（JICA）の 8.0 Java バージョンを使用して、
IVE からの Citrix Metaframe サーバーへのアクセスを有効にする方法を説明します。
Java アプレットアップロード機能を使用して、Citrix JICA 8.0 クライアントを有効にする
には、次の操作を行います。
1.
101 ページの「タスクサマリー：Java アプレットのアップロードと有効化」で説明さ
れているように、IVE のホストネームを指定して、コード署名証明書をインポートし
ます。
Java アプレットアップロードの概要

99
Juniper Networks NetScreen Secure Access 700 管理ガイド
2.
3.
次の .jar と .cab ファイルを、Web コンソールの Resource Policies > Web > Java >
Applets ページにより、IVE にアップロードします。（これらのファイルは、Citrix
Web サイトにあります。）これらのファイルをアップロードするときに、次のそれぞ
れに対して同じ名前を指定します（ “Citrix JICA 8” など）。

JICA-configN.jar

JICA-coreN.jar

JICA-configM.cab

JICA-coreM.cab
Web コンソールの Users > Roles > [ ロール ] > Web > Bookmarks ページから、
Java アプレットのブックマークを作成します。ブックマークの Web ページを生成す
る場合は、ステップ 2 で指定した名前（ “Citrix JICA 8” など）をアプレットのリスト
から選択します。選択すると、IVE はすべての .jar と .cab ファイルを対応する Web
ページに自動的に挿入します。続いて、次の例に従って、Citrix クライアントのパラ
メータを指定します。
<html>
<head>
<title>CitrixJICA Applet.</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body>
<applet code="com.citrix.JICA"
codebase="<< CODEBASE >>"
archive="JICA-configN.jar,JICA-coreN.jar"
width="640" height="480"
name="CitrixJICA" align="top">
<param name="code" value="com.citrix.JICA">
<param name="codebase" value="<< CODEBASE >>">
<param name="archive" value="JICA-configN.jar,JICA-coreN.jar">
<param name="cabbase" value="JICA-configM.cab,JICA-coreM.cab">
<param name="name" value="CitrixJICA">
<param name="width" value="640">
<param name="height" value="480">
<param name="align" value="top">
<!-ここに、コメント後に追加のパラメータを指定してください。
<param name="paramname" value="paramvalue">
-->
<param name="Address" value="YourMetaFrameServer.YourCompany.net">
<param name="Username" value="<<USERNAME>>">
<param name="password" value="<<PASSWORD>>"> <param
name="initialprogram" value="#notepad">
<param name="EncryptionLevel" value="1">
<param name="BrowserProtocol" value="HTTPonTCP">
<param name="End" value="end.html">
</applet>
</body>
</html>
100
Java アプレットアップロードの概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
タスクサマリー： Java アプレットのアップロードと有効化
IVE で Java アプレットのブックマークを作成し、有効化するには、次の操作を行います。
1.
Web コンソールの System > Network > Overview で、IVE のホスト名を指定しま
す。Java アプレットを IVE にアップロードしたときに、IVE が Java アプレットを書き
換えられるようにホスト名を指定する必要があります。手順については、163 ページ
の「一般的なネットワーク構成の設定」を参照してください。
2.
Web コンソールの Resource Policies > Web > Java > Applets ページの設定を使用
して、1 つ以上のアプレットを IVE にアップロードします。アプレットをアップロー
ドするときに、アプレットの署名に IVE がコード署名証明書を使用するかどうかを指
定します。手順については、294 ページの「Java アプレットの IVE へのアップロー
ド」を参照してください。
3.
Web コンソールの以下のページで適切なアクセス設定を行います。
a.
Web コンソールの Users > Roles > [ ロール ] > Overview ページで、ユーザー
が Web リソースにアクセスできるようにします。
b.
Web コンソールの Users > Roles > [ ロール ] > Web > Options ページにより、
ユーザーが Web リソースにアクセスできるようにします。
c.
外部リソース（Metaframe サーバーなど）にアクセスする必要がある場合は、
Resource Policies > Web > Java > Access Control ページより、そのリソースに
アクセスできるようにします。
4.
Web コンソールの Users > Roles > [ ロール ] > Web > Bookmarks ページの設定を
使用して、アップロードしたアプレットを参照する Web ブックマークを作成します。
ブックマークを作成するときに、HTML を使用して Web ページを作成し、必要な属
性とパラメータを Java アプレットに渡します。さらに、JavaScript や IVE 変数を使用
することもできます。手順については、263 ページの「Web URL へのブックマーク作
成」を参照してください。
5.
ステップ 2 でアプレットに署名する場合は、Web コンソールの System >
Configuration > Certificates > Code-Signing Certificates ページの設定を使用して、
IVE に Java 証明書をアップロードします（オプション）。このステップを省略するこ
とを選択した場合は、ユーザーが対応するブックマークにアクセスするごとに、証明
書に信頼性がないことを示す警告が表示されます。手順については、159 ページの
「コード署名証明書のインポート」を参照してください。
Java アプレットアップロードの概要

101
Juniper Networks NetScreen Secure Access 700 管理ガイド
データ転送プロキシの概要
データ転送プロキシ機能を使用すると、IVE によって最小限のデータ送受信を実行する
Web アプリケーションを指定できます。従来型のリバースプロキシ機能の場合、選択し
たサーバーレスポンスの一部を再書き込みするだけで、ネットワークの変更や複雑な設
定が必要とされました。しかし、この機能では、アプリケーションサーバーと、アプリ
ケーションサーバーへのクライアント要求を IVE で受信する方法を指定するだけで済み
ます。

Via an IVE port －データ転送プロキシが仲介するアプリケーションを指定するとき
に、IVE がアプリケーションサーバーへのクライアント要求をリスンするポートを指
定します。IVE は、アプリケーションサーバーへのクライアント要求を受信すると、
指定されたアプリケーションサーバーポートにこの要求を転送します。このオプ
ションを選択する場合、企業ファイアウォール上にある指定の IVE ポートに対して、
トラフィックを開く必要があります。

Via virtual host name －データ転送プロキシが仲介するアプリケーションを指定す
るときに、アプリケーションサーバーのホスト名のエイリアスを指定します。IVE に
解決されるこのエイリアスのエントリを外部 DNS に追加する必要があります。IVE
は、エイリアスに対するクライアント要求を受信すると、アプリケーションサー
バー用に指定したポートにこの要求を転送します。
このオプションが役立つのは、企業が IVE にアクセスするファイアウォールポート
を開くのに厳格なポリシーを設定している場合です。このオプションを使用する場
合、各ホスト名のエイリアスに IVE ホスト名と同じドメインの部分文字列を含め、
IVE に *.domain.com という形式でワイルドカードのサーバー証明書をアップロー
ドすることをお勧めします。
たとえば、IVE が iveserver.yourcompany.com である場合、ホスト名のエイリアスは
appserver.yourcompany.com の形式にする必要があり、ワイルドカード証明書の形
式は *.yourcompany.com のようになります。ワイルドカード証明書を使用しない
と、ユーザーがアプリケーションサーバーを参照するときに、証明書の名前を
チェックするように、クライアントブラウザに警告が表示されます。これは、アプリ
ケーションサーバーのホスト名のエイリアスが、証明書のドメイン名に一致しない
からです。ただし、このような状況でも、アプリケーションサーバーに対するユー
ザーのアクセスは阻止されません。
ホスト名のエイリアスに基づいてクライアント要求を IVE にルートすることを選択し
た場合、外部 DNS サーバーに IVE を追加する必要もあります。このオプションが役
立つのは、内部サーバーと DMZ にあるサーバーのどちらにファイアウォールポート
を開くのか、制限的なポリシーがある場合です。
メモ : 仮想ホスト名モードで動作するようにデータ転送プロキシを設定する場合は、
ユーザーは、IVE にサインインするときに、Web コンソールの System > Network >
Overview ページから指定した IVE ホスト名を使用する必要があります。ユーザーが IP
アドレスを使用して IVE にサインインすると、データ転送プロキシにアクセスできま
せん。
102
データ転送プロキシの概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
コアの仲介エンジンとして、データ転送プロキシオプションは、Secure Application
Manager に応じて、高いセキュリティを提供します。アプリケーションに対してこの機能
を有効にすると、IVE は、クライアントが企業ネットワークの固定されたアプリケーショ
ンポートにレイヤー 7 トラフィックだけを送信できるようにします。このオプションを
使用すると、IVE は、Oracle e-business スイートアプリケーションにある Java アプレッ
トまたはサポートされていない Java Virtual Machine で実行するアプレットなど、コンテ
ンツ仲介エンジンと互換性のないコンポーネントでもアプリケーションをサポートできる
ようにします。
メモ : データ転送プロキシオプションが機能するのは、固定ポートでリスンしている
アプリケーションの場合だけです。クライアントは、直接的なソケット接続を確立し
ません。
詳細については、以下を参照してください。

103 ページの「データ転送プロキシの使用例」

103 ページの「タスクサマリー：データ転送プロキシの設定」
データ転送プロキシの使用例
IVE が iveserver.yourcompany.com であり、oracle.companynetwork.net:8000 で Oracle
サーバーを使用している場合、IVE ポートを指定するときに、次のようにアプリケーショ
ンパラメータを指定できます。
Server: oracle.companynetwork.net
Port: 8000
IVE port: 11000
IVE は、 iveserver.yourcompany.com:11000 に送られた Oracle クライアントトラフィッ
クを受信すると、このトラフィックを oracle.companynetwork.net:8000 に転送します。
また、ホスト名にエイリアスを指定したい場合は、次のパラメータでアプリケーションを
設定できます。
Server: oracle.companynetwork.net
Port: 8000
IVE alias: oracle.yourcompany.com
IVE は、 oracle.yourcompany.com に送られた Oracle クライアントトラフィックを受信す
ると、このトラフィックを oracle.companynetwork.net:8000 に転送します。
タスクサマリー：データ転送プロキシの設定
データ転送プロキシを設定するには、次の操作を行います。
1.
仲介したい Web アプリケーションにアクセスするユーザーロールを決定し、これら
のロールの Web アクセスを、Web コンソールの Users > Roles > [ ロール ] >
General > Overview ページで有効にします。手順については、257 ページの「一般
的なロール設定とオプションの管理」を参照してください。
2.
IVE が最小の仲介を行うアプリケーションを、Web コンソールの Resource Policies
> Web > Rewriting > Passthrough Proxy ページで指定します。手順については、
298 ページの「データ転送プロキシリソースポリシーの作成」を参照してください。
データ転送プロキシの概要

103
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
104
データ転送プロキシの概要
データ転送プロキシのリソースポリシーで IVE がクライアントの要求を IVE ポート
から受信できるようにした場合は、企業ファイアウォールの指定したポートへのトラ
フィックを開きます。ポリシーが仮想ホスト名からの要求を有効にする場合は、次を
行います。
a.
IVE に解決される各アプリケーションサーバーホスト名のエイリアスを外部
DNS に追加します。
b.
Web コンソールの System > Network > Internal Port ページで、IVE 名とホス
ト名を定義します。手順については、163 ページの「一般的なネットワーク構成
の設定」を参照してください。
c.
Web コンソールの System > Configuration > Certificates > IVE Certificates
ページから、ワイルドカード証明書を IVE にアップロードします。手順について
は、148 ページの「既存のルート証明書と秘密鍵のインポート」を参照してくだ
さい。
第5章
システム管理とサービス
IVE には、システムを管理し、製品のローカライズバージョンなどの個別サービスを活用
できる様々なインフラストラクチャサービスが用意されています。
目次
システム管理機能：

107 ページの「ネットワーク設定の概要」

110 ページの「ログと監視の概要」

112 ページの「設定ファイルの概要」

126 ページの「トラブルシューティングの概要」
システムサービス機能：

129 ページの「多言語サポートの概要」
第 5 章 : システム管理とサービス

105
Juniper Networks NetScreen Secure Access 700 管理ガイド
106
第 5 章 : システム管理とサービス
Juniper Networks NetScreen Secure Access 700 管理ガイド
ネットワーク設定の概要
IVE では、IVE の初期設定の際にシリアルコンソールから入力するネットワーク設定を変
更し、他の IVE 機能を有効にするために、IP フィルタなどの追加のネットワーク設定を
行うことができます。このセクションでは、以下の、IVE の Web コンソールから指定でき
るネットワーク設定の概要について説明します。

107 ページの「一般的なネットワーク設定を指定する」

107 ページの「内部ポートと外部ポートを設定する」

108 ページの「ネットワークトラフィックの静的ルートを指定する」

108 ページの「ARP キャッシュを作成する」

108 ページの「IVE によってローカル解決されるホスト名を指定する」

109 ページの「IP フィルタを指定する」
一般的なネットワーク設定を指定する
IVE では、内部ポートと外部ポートの状態の表示、IVE のホスト名の指定、IVE の DNS 名
の解決、Windows Internet Naming Service（WINS）サーバー、マスターブラウザ設定を、
Web コンソールの System > Network > Overview ページで設定できます。また、この
ページの設定を使用して、初期設定の際にシリアルコンソールから入力する DNS と
WINS 設定を表示できます。
Windows のワークグループを削除すると、IVE ワークグループのリストから削除される
までは、数時間そのリストに表示される場合があります。これは、IVE が、ワークグ
ループの情報を接続できるすべてのシステムから得ているからです。ワークグループの
名前は、1 つ以上の Windows システム上に数時間キャッシュされる場合があります。
その場合、IVE がシステムに問い合わせたときにワークグループ名が見つかります。こ
れは IVE 以外でもシステム上で一般に起きる現象で、完全性の問題をもたらすものでは
ありません。
内部ポートと外部ポートを設定する
内部ポートは、内部インターフェイスとも呼ばれ、あらゆるリソースに対するすべての
WAN および LAN 要求を処理し、認証要求をリスンします。内部ポートの設定は、IVE の
初期設定の際に IP アドレス、ゲートウェイ、DNS サーバーとドメイン、MTU の各設定を
行います。また、これらは、System > Network > Internal Port > Settings タブでも変更
できます。詳細については、164 ページの「Internal Port タブ」を参照してください。ま
た、アプライアンスをデュアルポートモードに配置し、外部ポートで着信接続をリスン
することもできます（165 ページの「External Port タブ」を参照）。
外部ポートは、外部インターフェースとも呼ばれ、インターネットなど、顧客 LAN の外
部から IVE にサインインしたユーザーのすべての要求を処理します。IVE は、受信したパ
ケットが外部インターフェースを通じてユーザーから送信された TCP 接続に関連するか
どうかを判断してから、パケットを送信します。パケットが TCP 接続に関連する場合、
IVE は外部インターフェースにパケットを送信します。その他のパケットは、すべて内部
インターフェースに送信されます。
ネットワーク設定の概要

107
Juniper Networks NetScreen Secure Access 700 管理ガイド
各インターフェースに指定したルートは、IVE が内部インターフェースまたは外部イン
ターフェースのどちらを使用するかを判断した後で適用されます。IVE が外部インター
フェースからの要求を送信することはなく、外部インターフェースが他の接続を受信する
こともありません（ping と traceroute 接続を除く）。リソースの種類に関係なく、すべて
の要求は内部インターフェースから発信されます。（詳細については、107 ページの「一
般的なネットワーク設定を指定する」を参照してください。）
メモ : 外部ポートを有効にすると、デフォルトで管理者は外部からサインインできなく
なります。管理者が外部ポートからアクセスできるようにするには、Administrators >
Authentication > 領域名 > Authentication Policy > Source IP タブを使用します。詳細
については、42 ページの「ソース IP のアクセス制限」を参照してください。
ネットワークトラフィックの静的ルートを指定する
IVE では、System > Network > Routes タブの設定を使用して、ルーティングテーブル
エントリを追加できます。ルート設定に関係なく、内部リソースへの接続要求はすべて、
IVE の内部ポートから送信されます。外部ポートのルート設定は、リモートクライアント
からの接続に関係するパケットのルーティングにのみ使用されます。
ルーティング要求の際に、IVE が使用する特定のルートを指定したい場合は、静的ルート
を追加できます。有効な IP アドレス、ゲートウェイ、DNS アドレスを指定する必要があ
ります。メトリックにより、複数のルートを比較して優先度が確立されます。通常は、1
から 15 までの小さい数値の場合、優先度が高くなります。従って、メトリック 2 のルー
トは、メトリック 14 のルートより優先して選択されます。メトリックゼロ（0）は使用
しないルートとして識別されます。
ARP キャッシュを作成する
IVE に接続するルータやバックエンドアプリケーションサーバーなどのネットワークデ
バイスの物理（MAC）アドレスは、ARP キャッシングを使用して調べることができます。
System > Network > Internal Port > ARP Cache タブでは、次のようなタイプの ARP
（Address Resolution Protocol）エントリを管理できます。

静的エントリ－ IP アドレスと MAC アドレスに関連付けられたキャッシュに静的
ARP エントリを追加できます。IVE は、再起動時に静的エントリを保存し、再起動後
にエントリを再アクティブ化します。静的エントリは IVE に常駐しています。

動的エントリ－ネットワークは通常の動作時や、ネットワークデバイスとの対話時
に動的 ARP を「知り」ます。IVE 動的エントリは最大 20 分間キャッシュに保存され、
再起動時に自動的に削除されます。エントリは手動でも削除できます。
静的エントリと動的エントリは ARP から表示または削除でき、静的エントリは追加する
ことも可能です。IVE をクラスタ構成で実行している場合には、ARP のキャッシュ情報は
ノードごとに異なります。ARP のキャッシュ情報が同期されるのは、非マルチサイトク
ラスタのみです。
IVE によってローカル解決されるホスト名を指定する
Hosts タブを使用して、IVE がローカルで IP アドレスに解決できるホスト名を指定しま
す。この機能は、次のような場合に便利です。
108
ネットワーク設定の概要

DNS サーバーが IVE にアクセスできない場合

WINS を使用して LAN 内のサーバーにアクセスする場合

会社の規定により、内部サーバーを外部の DNS に公開できない場合、または内部ホ
スト名を非表示にする必要がある場合
Juniper Networks NetScreen Secure Access 700 管理ガイド
IP フィルタを指定する
IVE が Network Connect IP プールに適用する IP フィルタは、Network Connect タブで指
定できます。IP プールとは、Network Connect 要求に使用できる IP アドレスの特定の範囲
です。詳細については、83 ページの「Network Connect の概要」を参照してください。
ネットワーク設定の概要

109
Juniper Networks NetScreen Secure Access 700 管理ガイド
ログと監視の概要
IVE ログファイルは、システムイベントを追跡するテキストファイルで、IVE アプライ
アンスに格納されています。IVE アプライアンスには、以下の 4 つの主要ログファイルが
あります。

イベントログ－このログファイルには、セッションタイムアウト（アイドルセッ
ションのタイムアウトやタイムアウトまでの最長時間など）、システムエラーおよび
警告、サーバーの接続状態チェックの要求、および IVE サービス再起動通知が含まれ
ます。（IVE ウォッチドッグプロセスは、定期的に IVE サーバーをチェックし、応答
がない場合には IVE を再起動します。）
ユーザーアクセスログ－このログファイルには、1 時間ごとの同時ユーザー数
（正時に記録）、ユーザーのサインインおよびサインアウト、ユーザーのファイル要
求など、ユーザーがアプライアンスにアクセスしたときのさまざまな情報が記録さ
れます。

管理者アクセスログ－このログファイルには、セッションのタイムアウト、コン
ピュータ情報およびサーバー情報など、管理者によるユーザー、システム、ネット
ワーク設定の変更が記録されます。また、管理者によるサインイン、サインアウト、
アプライアンスのライセンス変更なども記録されます。

Network Connect パケットログ－このログファイルには、ユーザーアクセスログ
のすべての情報に加えて、ソースおよび送信先 IP アドレス、ソースおよび送信先
ポート、UDP カプセル化 ESP トランスポートプロトコルのネゴシエーションイベン
トなどの追加情報、さらに、アプリケーションが Network Connect クライアント－
IVE トンネルを介してアクセスされたときに使用される送信先プロトコルが記録され
ます。
メモ : これは、クライアントサイド Network Connect パケットのログがポリシー駆動型
であるため、パケット情報は、ログ機能を自動的に動作させるのに必要なすべての条件
を満たすユーザープロファイルに対してのみログされるためです。
System > Log/Monitoring ページでは、ログに記録するイベントやシステムログファイ
ルの最大サイズを指定できるほか、ローカルログに加えて syslog サーバーでもイベント
を記録するかどうかを指定できます。System > Log/Monitoring ページでは、イベントの
数を指定して表示したり、ネットワークにログファイルを保存したりできるほか、ログ
を削除することもできます。
ログの 1 つが設定された最大ログファイルサイズ（デフォルトでは 200MB）に達する
と、現在のデータがバックアップログファイルに移されます。その後、以降の（新しい）
ログメッセージのための空のファイルが新しく作成されます。管理者はログビューアを
使用して、最近の 5000 個のログメッセージ（ビューアの表示制限）を参照できます。現
在のログファイルのログメッセージが 5000 個未満の場合、バックアップログファイル
の古いログメッセージが、合計で 5000 個に達するまで表示されます。設定された最大ロ
グファイルサイズによって異なりますが、これにより、別々に保存されたログファイル
が一覧で表示されます。
メモ : ログメッセージの保存または Maintenance > Archiving ページで FTP アーカイ
ブ関数の使用を選択した場合、バックアップログファイルは現在のログファイルに追
加され、1 個のログファイルとしてダウンロードされます。ログファイルがアーカイブ
されていないか、もう一度移されるときまでに保存されていない場合は、最も古いログ
メッセージ（バックアップログファイルに保存されたメッセージ）が失われます。
110
ログと監視の概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
また、HP OpenView などのネットワーク管理ツールを使用して、SNMP エージェント
として IVE アプライアンスを監視することができます。IVE プラットフォームは、
SNMP v2 をサポートし、プライベート MIB（管理情報ベース）を実装して、独自のト
ラップを定義します。ネットワーク管理ステーションでこれらのトラップを処理でき
るようにするには、Juniper Networks MIB ファイルをダウンロードし、トラップを受
信するための適切な情報を指定する必要があります。トラップの一部は必要に合わせ
て設定することができます。トラップしきい値の設定については、170 ページの
「SNMP タブ」を参照してください。
メモ : CPU の使用状況など、重要なシステム統計情報を監視するには、UC-Davis MIB
ファイルを SNMP 管理アプリケーションにロードします。MIB ファイルは、次の URL か
らダウンロードできます。http://net-snmp.sourceforge.net/docs/mibs/UCD-SNMP-MIB.txt
イベント、ユーザーアクセス、および管理者アクセスのログファイルでは、イベントを、
以下のガイドラインに従って重要度レベルごとに分類しています。

Critical（重要度レベル 10）－ IVE がユーザーおよび管理者の要求を処理できない場
合や、サブシステムのほとんどの機能が使用できない場合には、クリティカルイベ
ントがログに記録されます。

Major（重要度レベル 8-9）－ IVE で 1 つまたは複数のサブシステムの機能が使用で
きなくなっている一方で、ユーザーが他のアクセスメカニズムのアプライアンスに
アクセスできる場合は、IVE はメジャーイベントをログに記録します。

Minor（重要度レベル 5-7）－ IVE でエラーを検出し、そのエラーがサブシステムの
大きな障害にならない場合は、マイナーイベントがログに記録されます。マイナー
イベントは通常、個々の要求の失敗に適用します。

Info（重要度レベル 1-4）－ IVE により通知メッセージが表示される際、エンドユー
ザが要求を行う際、または管理者が変更を行う際に、IVE はインフォメーションイベ
ントをログに記録します。
ログと監視の概要

111
Juniper Networks NetScreen Secure Access 700 管理ガイド
設定ファイルの概要
IVE は、ユーザーとシステムデータを格納した設定ファイルをバックアップし復元するす
るために、いくつかの方法を提供しています。データのバックアップおよび復元に使用で
きる IVE のユーティリティは、設定データをバイナリと XML の 2 つの形式で保存します。
選択する方法は、必要に応じて異なります。
IVE 設定ファイルの管理機能を使用すると、以降のセクションでの説明に従って、設定
ファイルをインポート、エクスポート、保存、およびアーカイブできます。

112 ページの「IVE 設定ファイルをアーカイブする」

113 ページの「IVE 設定ファイルのインポートとエクスポート」

113 ページの「XML 設定ファイルのインポートとエクスポート」

124 ページの「XML インスタンスで作業するための方法」
IVE 設定ファイルをアーカイブする
IVE では、SCP ( セキュアコピー ) や FTP を使用して、システムログ、設定ファイル、お
よびユーザーアカウントのバイナリコピーを、毎日または週単位で自動的にアーカイブ
できます。IVE は、他のサーバー上においてセキュアな送信と保管を実現するために、設
定ファイルやユーザーアカウントを暗号化し、そのファイルを指定した日時に指定した
サーバーやディレクトリにアーカイブします。
SCP は、FTP に類似したファイル転送ユーティリティです。SCP は転送の際にすべての
データを暗号化します。そのデータが送信先に到着すると、元のフォーマットに復元しま
す。SCP はほとんどの SSH 配布に含まれており、すべての主要オペレーティングシステ
ムのプラットフォームで使用できます。
アーカイブファイルの名前には、次のようにアーカイブの日時が含まれます。
112
設定ファイルの概要

システムイベント：JuniperAccessLog- ホスト名 - 日 - 時

ユーザーイベント：JuniperEventsLog- ホスト名 - 日 - 時

管理者イベント：JuniperAdminLog- ホスト名 - 日 - 時

システム設定ファイル：JuniperConf- ホスト名 - 日 - 時

ユーザーアカウント：JuniperUserAccounts- ホスト名 - 日 - 時
Juniper Networks NetScreen Secure Access 700 管理ガイド
Web コンソールの Maintenance > Archiving > FTP Archiving ページから、アーカイブ
を有効にできます。手順については、349 ページの「FTP Server タブ」を参照してくだ
さい。
IVE 設定ファイルのインポートとエクスポート
IVE では、バイナリの IVE 設定ファイルを使用して、IVE システム設定とネットワーク設
定をインポートおよびエクスポートできます。システム設定ファイルをインポートする際
に、サーバー証明書と IVE サーバーの IP アドレスまたはネットワーク設定を、インポー
トする情報から除外できます。たとえば、ロードバランサの後部に複数の IVE をセット
アップする場合は、IP アドレス以外のすべての情報をインポートします。IVE をバック
アップサーバーとしてセットアップする場合には、デジタル証明書とネットワーク設定
以外のすべての情報をインポートします。
メモ :

ライセンスを含む設定ファイルをインポートする際に、IVE は、IVE に現在インス
トールされている既存のライセンスを優先させます。現在 IVE にライセンスがなけ
れば、アーカイブされたライセンスのみがインポートされます。

証明書をインポートするときは、サーバー証明書またはトラステッドクライアント
CA に対応するチェーンではなく、IVE サーバー証明書のみが IVE によってインポー
トされます。
また、IVE では、任意のローカル認証サーバーに定義したすべてのローカルユーザーア
カウントをインポートおよびエクスポートできます。
メモ : リソースポリシーをエクスポートしたい場合は、システム設定ではなく、ユー
ザー設定をエクスポートする必要があります。リソースポリシーのエクスポートは、
Maintenance > Import/Export > Import/Export Users タブで行えます。
タスクサマリー：設定ファイルとユーザーアカウントのインポートとエ
クスポート
1.
システム設定とネットワーク設定をインポートおよびエクスポートするには、Web
コンソールの Maintenance > Import/Export > Configuration ページの設定を使用し
ます。手順については、338 ページの「Configuration タブ」を参照してください。
2.
ローカルユーザーアカウントをインポートおよびエクスポートするには、Web コン
ソールの Maintenance > Import/Export > User Accounts ページの設定を使用しま
す。手順については、339 ページの「User Accounts タブ」を参照してください。
XML 設定ファイルのインポートとエクスポート
XML Import/Export 機能を使用すると、システム設定に大幅な変更を加えることができ、
いくつかの利点があります。特に、大量の変更を繰り返したり、設定データの追加、更
新、削除を一度に行う場合に有効です。
以下は、エクスポートした XML 設定ファイルを使用して行うタスクの一例です。

多数のユーザーを追加する。

認証サーバー、ユーザー、その他の IVE オブジェクトを、すべてまたは多数削除
する。

週単位のエクスポートの実行により設定変更を追跡する。
設定ファイルの概要

113
Juniper Networks NetScreen Secure Access 700 管理ガイド

認証サーバー名など、１つの設定の複数インスタンスを変更する。

新しい IVE アプライアンスをセットアップする際に使用する、設定テンプレートを作
成する。
メモ : XML インスタンスファイルは、同じバージョンの IVE システムソフトウェアを
搭載する IVE 間でのみ、エクスポートおよびインポートできます。古い製品リリースを、
新しい製品リリースからエクスポートした設定ファイルによりアップグレードするため
に、XML Import/Export 機能を使用することはできません。また、旧リリースの製品か
らエクスポートした設定ファイルを使用して、より新しい製品リリースをダウングレー
ドすることもできません。
IVE では、ネットワーク設定、サインイン設定、認証サーバー、領域、ロール、リソース
ポリシー、ユーザーなど、複数のタイプの設定データをエクスポートできます。さらに、
これらの設定を同じ IVE、または別の IVE にインポートできます。
以下の設定を含む XML 設定ファイルを、エクスポートすることができます。また、その
他の設定も使用できます。

ネットワーク設定－ Network Connect サーバー IP アドレス、DNS サーバー、DNS ド
メイン、ホスト、NIC、NIC 識別子、ソース IP エイリアス、ARP キャッシュ、ARP
Ping タイムアウト、デフォルトゲートウェイ、IP アドレス、MTU、NIC 名、ネット
マスク、静的ルート、リンクスピード、NIC タイプ、ホスト名、WINS アドレス。
メモ : XML インスタンスファイル内の 2 つの NIC 識別子を変更してはなりません。IVE
は、各アプライアンスに 2 つのインターフェースカード（NIC0 と NIC1）が存在するこ
とを前提としています。
これらの識別子は、NIC 要素 <sys:NICIdentifier>0</sys:NICIdentifier> と
<sys:NICIdentifier>1</sys:NICIdentifier> に表示されます。

サインイン設定－認証サーバー、パスワードオプション、パスワード管理オプショ
ン、標準サインインページ、カスタムテキスト、ヘッダーオプション、カスタムエ
ラーメッセージ、ヘルプオプション、ページ名、ページタイプ。
メモ : 標準サインインページのみをエクスポートできます。カスタムサインインペー
ジはエクスポートできません。
114
設定ファイルの概要

認証領域－ユーザー領域と管理領域、領域名、領域タイプ、プライマリおよびセカ
ンダリサーバーの設定、動的ポリシー評価設定、認証ポリシー、限界、パスワード
ポリシー、ロールマッピング設定、ロール処理オプション。

ロール－ユーザーロール、管理ロール、ロール名、有効化された機能、制限、セッ
ションオプション、UI オプション、Windows および UNIX ファイル設定、Web オプ
ション、Network Connect オプション、Telnet オプション、Admin システムオプショ
ン、リソースポリシー設定、認証領域設定。

リソースポリシー－ Network Connect アクセスポリシーリスト、Web 選択再書き
込みポリシーリスト、Web 選択再書き込みポリシー、Web オプション、Web ActiveX
再書き込みポリシーリスト、ActiveX 再書き込みポリシー、ファイルアクセスポリ
シーリスト、ファイルアクセスポリシー、Windows および UNIX ファイルオプ
ション、ファイルエンコーディング、Web アクセスポリシー。
Juniper Networks NetScreen Secure Access 700 管理ガイド

ローカルユーザーアカウント－ユーザー、認証サーバー名、E メールアドレス、
フルネーム、ログイン名、パスワード、パスワード変更オプション。

ログ / 監視－ SNMP 設定（トラップ設定および限界を含む）。

ミーティングポリシー－ミーティングポリシーの設定。
メモ : 上記のリストに記載された設定以外にも使用できる設定があります。サポートさ
れる設定の完全なリストについては、Web コンソールの XML Import/Export ページと
Push Config ページを参照してください。
XML 設定ファイルのエクスポートおよびインポートの基本操作は、次のとおりです。
1.
変更する設定を選択します。
2.
IVE からファイルをエクスポートします。
3.
テキストエディタでファイルを開いて、設定データを編集します。
4.
ファイルを保存して、閉じます。
5.
ファイルを IVE にインポートします。
XML 設定ファイルとその使用方法については、以下のセクションでさらに説明してい
ます。

116 ページの「XML インスタンスの作成と修正」

124 ページの「XML インスタンスで作業するための方法」

340 ページの「XML 設定データのエクスポート」

342 ページの「XML 設定データのインポート」

343 ページの「XML Import/Export の使用例」
設定ファイルの概要

115
Juniper Networks NetScreen Secure Access 700 管理ガイド
XML インスタンスの作成と修正
設定ファイルをエクスポートすると、IVE はそのファイルを XML インスタンスとして保
存します。このインスタンスが修正するファイルになります。
XML インスタンス
エクスポートを行うと、インスタンスファイルに IVE 設定の現在の状態が示されます。
XML インスタンスは、XML スキーマに基づきます。このスキーマは、メタデータを定義
する独立した 1 つまたは一組のファイルで、インスタンスファイルのモデルやテンプ
レートとして機能します。スキーマファイルは参照の目的にのみ使用します。
インスタンスファイルのデータは、エクスポート処理を実行する際に、Web コンソール
の XML Import/Export タブで行った選択に基づきます。
インスタンスファイルには通常、ファイル拡張子 .xml が付きます。
インスタンスファイルの作成
インスタンスファイルは、IVE から XML 設定ファイルをエクスポートすることにより作
成できます。あるオブジェクトついて、既存の設定ファイルの設定をすべて置き換える場
合でも、インスタンスファイルのエクスポートから始める必要があります。エクスポート
したインスタンスファイルには、必要な XML 処理命令とネームスペース宣言がすべて含
まれており、それらは定義されたものと全く同じでなければなりません。
XML 設定ファイルをエクスポートするには、340 ページの「XML 設定データのエクス
ポート」を参照してください。
インスタンスファイルの編集
IVE の XML インスタンスファイルはすべて同じ構造を持っています。基本的な構造を知
れば、このファイルのナビゲートは簡単に行えるようになります。このファイルはサイズ
が大きくなるため、市販のエディタや公開されている XML エディタを使用すれば、効率
的な作業が行えます。XML エディタは、構造表示と編集可能なデータを分離できる場合が
あります。これにより、単なるテキストエディタを使用した場合に起こりがちな、XML
要素を誤って変更してしまう危険性を減らすことができます。
XML エディタにはこうした利点がありますが、単なるテキストエディタを使用しても、
設定データの編集を適切に行うことができます。
インスタンス要素
要素とは、IVE オブジェクトまたはオブジェクトの一部を定義する、個々の XML 単位で
す。要素は一般的に一対のタグで構成されており、文字列を囲む場合と、囲まない場合が
あります。タグは山括弧（< >）で区切られます。次の説明に、タグのいくつかの例を示
します。
すべてのタグは、次の 4 種類のタグのいずれかに該当します。
116
設定ファイルの概要

XML 処理命令－タグの特殊な形で、山括弧とクエスチョンマーク（<?）で始まり、
各 XML 文書の開始部分に配置されます。XML 処理命令を変更してはなりません。

開始タグ－要素の先頭を表します。開始タグは左山括弧（<）、名前、0 個または 1
個以上の属性、右山括弧（>）で構成されます。すべての開始タグには、ドキュメン
トのある箇所において、終了タグが必要です。

終了タグ－要素の末尾を表します。終了タグは、左形括弧とスラッシュ（</）に続
き、対応する開始タグで指定された同じ名前、右山形括弧（>）で構成されます。
Juniper Networks NetScreen Secure Access 700 管理ガイド

空タグ－空タグは 2 つの形式で表されます。タグのペアの中にデータがない場合
は、このタグのペアは空タグと見なされます。XML の仕様に従うと、空タグは次の
ようになります。
<empty tag example/>
この形式では、空タグは左形括弧（<）、要素名、スラッシュおよび右山形括弧
（/>）で構成されます。設定ファイル内に空タグがある場合は、スキーマがインスタ
ンスファイルに含めることを要求している要素で、そのデータはオプションである
ことを表しています。
開始タグには属性を含めることができ、タグペア（要素）には追加の要素を含めること
ができます。次の例は、Users オブジェクトの XML インスタンスファイルを示していま
す。この例では、IVE Platform Administrator 設定のみが示されます。例の太字のコメント
は、タグの詳細を説明しています。斜体の項目は、ユーザーデータを表します。

<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<IVE xmlns="http://xml.juniper.net/iveos/5.0R1/ive">
<AAA xmlns:aaa="http://xml.juniper.net/iveos/5.0R1/aaa">
<aaa:Users> 
<aaa:User>
<aaa:AuthServerName>Administrators</aaa:AuthServerName>
<aaa:Email></aaa:Email> 
<aaa:FullName>IVE Platform Administrator</aaa:FullName>
<aaa:LoginName>admin</aaa:LoginName>
<aaa:Password PasswordFormat="Encrypted">fEm3Qs6qBwA
</aaa:Password> 
<aaa:ChangePasswordAtNextLogin>false
</aaa:ChangePasswordAtNextLogin>
</aaa:User>
</aaa:Users> 
</AAA> 
</IVE> 
文字列データに変更を加えると、開始タグと終了タグの間に表示されます。たとえば、前
の例から、次の要素を追加または変更できます。

<aaa:AuthServerName>Administrators</aaa:AuthServerName>

<aaa:Email></aaa:Email>

<aaa:FullName>IVEPlatform Administrator</aaa:FullName>

<aaa:LoginName>admin</aaa:LoginName>

<aaa:Password PasswordFormat="Plaintext">password</aaa:Password>

<aaa:ChangePasswordAtNextLogin>false</aaa:ChangePasswordAtNextLogin>
設定ファイルの概要

117
Juniper Networks NetScreen Secure Access 700 管理ガイド
メモ : 指定の認証サーバーのユーザーを変更する場合、または指定のユーザーの認証
サーバーを変更する場合は、既存のユーザーまたは認証サーバーを更新せず、別のユー
ザーを作成します。ユーザーと認証サーバーは、ともに論理的に一意のユーザーを定義
します。
Email 要素は空白です。これは、スキーマがインスタンスファイルに Email 要素を含め
ることを要求しているが、その値はオプションであることを意味しています。E メールア
ドレスを追加するか、空白のままにしておくことができます。
前述のサンプルでは PasswordFormat は Encrypted に設定され、インスタンスファイルは
Password 要素のデータを暗号化データとして表示しています。これは、パスワードの値
を変更できないことを意味しています。デフォルトでは、XML エクスポート処理では
PasswordFormat は Encrypted に設定され、パスワードは暗号化されます。
PasswordFormat を Plaintext に設定すると、パスワードを変更することができます。イン
スタンスファイルでパスワードを変更した場合、パスワード値は、IVE にインポートされ
るまで読むことが可能です。インポートされると、IVE はパスワードを暗号化します。
新しいユーザーにプレーンテキスト形式でパスワードを入力する場合は、そのパス
ワードはインスタンスファイルで読むことができます。このため、Change Password
at Next Login（次回のログインでパスワードを変更）オプションを true に設定するこ
ともできます。
メモ :

パスワードはデフォルトで暗号化されるため、システム間の移動を完全に実行でき
ます。

XML ファイルでは絶対にパスワードを手動で暗号化しないでください。IVE はいか
なる試行も拒否します。XML ファイルでパスワードを変更する際は、プレーンテキ
ストの PasswordFormat を使用してプレーンテキストのパスワードを入力してくだ
さい。
属性
属性とは、要素の定義をより詳細に指定する情報です。要素の開始タグには属性を含める
ことができます。属性の値は、二重引用符により区切られます。次の例は、Users インス
タンスファイルのパスワード要素を示しています。パスワードの形式は、要素の属性とし
て定義されます。
<aaa:Password PasswordFormat="Encrypted">fEm3Qs6qBwBQ</aaa:Password>
Encrypted の値を、他の許可された値に変更できます。Web コンソールで属性で使用でき
る値を見つけることもできますが、この例では、users.xsd スキーマファイルを見て、使
用できる値を Plaintext、Encrypted、および Base64 として指定する必要があります。
メモ : スキーマ（.xsd）ファイルは、XML Import/Export ページからダウンロードでき
ます。詳細については、340 ページの「XML Import/Export タブ」を参照してください。
118
設定ファイルの概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
名前空間
名前空間では、異なるコンテキストまたは XML 用語のコードに、同じ語句またはラベル
を使用できます。要素の先頭に名前空間の修飾子を付けると、インスタンスファイルに、
異なる XML 用語に基づく異なるオブジェクトへの参照や、同じ名前を共有する異なるオ
ブジェクトへの参照を含めることができます。
名前空間宣言は次のようになります。
<AAA xmlns:aaa="http://xml.juniper.net/iveos/5.0R1/aaa">
この例では、名前空間識別子は aaa です。IVE は、要素 <aaa:example> と
<xs:example> を全く別の要素と見なします。インスタンスファイルに名前空間識別
子がある場合は、その識別子を削除または変更しない限り、それらを気にする必要は
ありません。
要素の順序
可能な限り、インスタンスファイル内の要素の順序を変更しないでください。スキーマは
常に順序を強制しませんが、エクスポートされたインスタンスファイルに表示される要
素の順序を変更しても、何の利点もありません。また、場合によっては、要素の順序を変
更することにより、インスタンスドキュメントが無効になることがあります。
参照整合性制約
IVE 設定オブジェクトは、参照整合性制約の使用により実施されるデータモデルの一部で
す。これらの制約を変更することはできませんが、他のオブジェクトへの依存性を維持す
るオブジェクトを削除しようとしないように、これらの制約について理解しておく必要が
あります。
IVE の参照整合性制約に違反すると、インポート操作は失敗します。以下の図は、いくつ
かの IVE オブジェクト間の関係を示しています。
図 28: IVE オブジェクトの参照整合性制約
図 28 では、ボックスは IVE オブジェクトのタイプを示し、矢印はオブジェクトタイプ間
の従属関係を示しています。矢印は依存オブジェクトからオブジェクトに向かって指して
います。
システムは、別のオブジェクトが依存しているオブジェクトの削除を許可しません。逆
に、オブジェクトを追加する場合は、そのオブジェクトが依存する別のオブジェクトを追
加する必要があります
図 28 では、サインイン URL は領域およびサインインページに応じて異なります。領域
は、認証サーバーとロールの両方に依存します。ポリシーはロールに依存します。ユー
ザーは認証サーバーに依存します。
設定ファイルの概要

119
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 28 に基づいて、以下のシナリオについて考えます。

サインイン URL を追加する場合は、領域、サインインページ、ロール、および認証
サーバーを追加する必要があります。領域をサポートするには、認証サーバーと少な
くとも 1 つのロールを追加する必要があり、新しいサインイン URL をサポートする
には、領域とサインインページを追加する必要があります。

ユーザーを追加する場合は、そのユーザーを認証サーバーに割り当てることができな
ければなりません。ターゲットの IVE にまだ認証サーバーが存在しない場合は、イン
スタンスファイルに認証サーバーを追加する必要があります。

ポリシーを追加する場合は、そのポリシーをロールに割り当てることができなければ
なりません。ターゲットの IVE にまだロールが存在しない場合は、インスタンスファ
イルにロールを追加する必要があります。

認証サーバーを削除する場合、領域やユーザーが残ることがあるのため、認証サー
バーを削除する前に、領域やユーザーが認証サーバーに依存していないことを確認す
る必要があります。

ロールを削除する場合、ポリシーや領域が残ることがあります。ロールを削除するに
は、前もってそのロールに依存するポリシーを削除するか、関連するポリシーを別の
ロールに割り当て直す必要があります。また、ロールを削除するには、前もってその
ロールに依存する領域を削除するか、割り当て直す必要があります。

サインインページを削除する場合は、1 つ以上のサインイン URL が残ることがあり
ます。サインインページを削除するには、前もって関連するサインイン URL を削除
するか、別のサインインページに割り当て直す必要があります。
XML インスタンスを UI コンポーネントへマップする
Web コンソールで表示されるように、XML インスタンス内の要素は、オブジェクトとそ
のオプションと密接に関連しています。XML インスタンスファイル内の要素名は、表示
されるオブジェクトやオプション名と密接な相関関係があります。
たとえば、Web コンソールで、Roles > Users > General > Session Options に移動しま
す。Web コンソールは、ローミングセッションの可能な値を、次の値で構成されるラジ
オボタングループとして表します。

Enabled（有効）

Limit to subnet（サブネットに制限）

Disabled（無効）
ロールのエクスポートされた設定ファイルからの、以下の抜粋は、Users ロールのセッ
ションオプションを示しています。6 行目（以下の太字部分）では、ローミングセッ
ションオプションは Enable に設定されています。
<aaa:SessionOptions>
<aaa:IdleTimeout>10</aaa:IdleTimeout>
<aaa:MaxTimeout>60</aaa:MaxTimeout>
<aaa:ReminderTime>5</aaa:ReminderTime>
<aaa:RoamingNetmask></aaa:RoamingNetmask>
<aaa:Roaming>Enable</aaa:Roaming>
<aaa:PersistentPassword>false</aaa:PersistentPassword>
<aaa:RequestFollowThrough>true</aaa:RequestFollowThrough>
<aaa:PersistentSession>false</aaa:PersistentSession>
<aaa:SessionTimeoutWarning>false</aaa:SessionTimeoutWarning>
<aaa:IgnoreApplicationActivity>false</aaa:IgnoreApplicationActivity>
</aaa:SessionOptions>
120
設定ファイルの概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
roles.xsd スキーマファイルで、ローミングセッションオプションの許可される値を次の
ように見つけることができます。
<xs:simpleType name="EnableRoamingType">
<xs:restriction base="xs:token">
<xs:enumeration value="Enable"/>
<xs:enumeration value="Limited"/>
<xs:enumeration value="Disable"/>
</xs:restriction>
</xs:simpleType>
ローミングセッションの値を、有効からサブネットに制限するように変更する場合は、
Enable を Limited に置き換えます。
この例で Web コンソールは、許可されるすべての値を、ラジオボタングループ、チェッ
クボックス、ドロップダウンリストボックス、またはその他のユーザーインターフェー
スコンポーネントとして表示し、提供しています。このインスタンスファイルは IVE 設
定の現在の状態のみを表示します。スキーマファイルは、XML インポート / エクスポート
機能でサポートされている設定オプションの実際値のすべてを表示します。
特定の要素の詳細は、スキーマファイルを直接調べてください。
XML インポートモード
IVE は、XML 設定ファイルのインポートにおいて、3 つのインポートモードを提供してい
ます。使用するモードを変更することにより、インポート操作の際により複雑なタスクを
実行できるようになります。
Quick Import
設定にオブジェクトを追加する場合は、クイックインポートモードを使用します。ク
イックインポートモードでは 1、既存の設定を変更することはできません。XML インス
タンスファイル内のデータを変更しても、IVE はこれらの変更を設定に適用しません。
Standard Import
他の設定データに影響を与えずに、オブジェクトを変更したり設定に追加する場合は、標
準インポートモードを使用します。標準インポートモードでは、新しいオブジェクトを
設定に追加し、既存のオブジェクトを更新できます。オブジェクトをインスタンスファイ
ルから削除する場合に、標準インポートモードを使用すると、IVE は削除を行いません。
IVE では、デフォルトのインポートモードを標準モードに設定してします。
Full Import
フルインポートモードは、XML インスタンスファイルを使用して実行するインポートの
中で、最もパワフルなインポート操作です。フルインポートは、IVE の設定を完全に置き
換えることができます。フルインポートモードを使用すると、IVE からオブジェクトを追
加、変更、削除することができます。
フルインポートモードでは、意図的か不注意にかかわらず、設定に大幅な変更を行うこ
とができるため、その使用の意味を理解することは重要です。
設定ファイルの概要

121
Juniper Networks NetScreen Secure Access 700 管理ガイド
フルインポートでは、既存の設定が、インスタンスファイルにある内容に完全に置き換
えられます。このモードでは、既存の設定から多くのオブジェクトを効率よく削除できま
す。IVE は、除外によって削除を行います。インスタンスファイルと既存の設定との比較
において、IVE は、既存の設定にありインスタンスファイルにないものを削除します。
メモ : フルインポート操作を正しく行わなかった場合、設定の多くの部分、または設定
のすべてを誤って削除してしまうことがあります。エクスポートしたインスタンスファ
イルには、IVE の最上位コンポーネントの現在の状態が含まれます。
次のシナリオでは、フルインポートモードを使用して IVE 設定から一部のユーザーを削
除する場合の、間違った方法と正しい方法について説明します。
フルインポートモードの間違った使用方法
IVE から数人のユーザーを削除したいとします。
メモ : この手順は実行しないでください。フルインポートモードの間違った使用例を記
述していますが、これを、トレーニングの目的以外に使用しないでください。
次の手順を実行します。
1.
認証サーバーの１つに関連付けられたローカルユーザーをエクスポートします。
2.
XML インスタンスファイルから数人のユーザーを削除します。
3.
Full Import を選択して、残りのユーザーを IVE にインポートし直します。
これにより、XML インスタンスファイルに残ったユーザーを除いて、すべてのユーザー
が削除されました。特定の認証サーバーに関連付けられたユーザーだけをエクスポートし
たことは、正しくありません。フルインポートモードでは設定が完全に置き換わるため、
インポートしたファイルの内容が、対応する IVE 設定データをすべて上書きしてしましま
す。
フルインポートモードの正しい使用方法
IVE から数人のユーザーを削除したいとします。次の手順を実行します。
1.
すべてのローカルユーザーを、IVE で定義されたすべての認証サーバーからエクス
ポートします。
2.
XML インスタンスファイルから数人のユーザーを削除します。
3.
Full Import を選択して、残りのユーザーを IVE にインポートし直します。
これにより、選択したユーザーのみが IVE から削除され、他のユーザーはそのまま残りま
した。
122
設定ファイルの概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
インスタンスファイルの確認
XML スキーマは、アプリケーション構造や、許容値、デフォルト値、データタイプ、範
囲、リスト値、必須値とオプション値、構文、その他のデータ構造を定義します。XML イ
ンスタンスを IVE にインポートしようとすると、そのインスタンスはスキーマと照合さ
れ、有効な IVE 設定の要件に適合するようにします。
スキーマで設定された規則に何らかの形で違反するインスタンスファイルに変更や追加
を行った場合は、それらが参照整合性規則や、許容値、範囲、またはその他の制限タイプ
のいずれであっても、IVE はインポート処理を完了しないで、エラーメッセージを与えま
す。
IVE オブジェクトにスキーマ（.xsd）ファイルをダウンロードすることができます。オブ
ジェクトのデータはエクスポートとインポートが可能です。スキーマファイルは、オブ
ジェクトのエクスポート、修正、インポートに関連しているため、IVE オブジェクトに適
用する規則を決定する際に役に立ちます。
スキーマファイルのダウンロード
オブジェクトに適用する構造や規則を確認したい場合は、IVE オブジェクトにスキーマ
（.xsd）ファイルをダウンロードすることができます。
スキーマファイルは、オブジェクトタイプごとに別のファイルに整理されています。た
とえば、ローカルユーザーアカウントのスキーマファイルは users.xsd にあります。す
べてのファイルは 1 つの Zip ファイルに含まれています。
Zip ファイルをダウンロードする方法は 2 通りあります。

XML Import/Export ページで、ハイパーリンクをクリックする。

システム上でファイルが保存されている URL に直接アクセスする。
XML Import/Export ページからのスキーマファイルのダウンロードについての詳細は、
340 ページの「XML Import/Export タブ」を参照してください。
.xsd ファイルを含む Zip ファイルにアクセスするには、以下の URL に直接アクセスする
か、またはスクリプトを使用してアクセスしてください。
https://<ive-ip-or-hostname>/dana-na/xml/schema.zip
ive-ip-or-hostname は IVE の IP address またはホストネームです。この方法を使用すれば、
IVE にサインインする必要はありません。
メモ : この機能は将来的に変更する可能性があります。スクリプトを使用して URL で
zip ファイルにアクセスする場合は、注意が必要です。変更の可能性がある項目：

URL

ファイル名

ファイルの拡張子－たとえば形式が .xsd に変更される可能性があります。

ファイル数－オブジェクト固有のスキーマファイルではなく、複数のファイルが
1 つの .xsd ファイルにまとめられる可能性もあります。
設定ファイルの概要

123
Juniper Networks NetScreen Secure Access 700 管理ガイド
XML インスタンスで作業するための方法
XML インスタンスファイルをエクスポートおよびインポートする際に、次の方法が役に
立つ場合があります。

XML Import/Export 操作の目的を明確にします。

どの IVE オブジェクトを追加、更新、または削除する必要がありますか ?

1 回の操作ですべての変更を完了する必要がありますか ? あるいは、設定の変更
を何度かに分けて行うことができますか ?

処理は一回限りのものですか ? あるいは、同じ処理を数回行う必要がありま
すか ?

既存の IVE を更新しますか ? あるいは、ある IVE 設定をテンプレートにして、他
の IVE を設定しますか ?
修正する IVE オブジェクトへの変更内容を記録します。

追加、更新、削除するオブジェクトのリストを作成します。

追加または更新するオブジェクトには、特定の属性データのリストを作成し
ます。

変更しようとするオブジェクトや属性に対応する、Web コンソールのページや
タブのリストを作成します。

インポートを行う直前に、バイナリシステムのスナップショットまたはバイナリ設
定のバックアップを作成します。

121 ページの「XML インポートモード」で説明されているインポートモードの意味
を必ず理解してください。

完成した設定が目的を満たしていることを確認する計画を立てます。

Admin Access ログを調べて、エクスポートとインポートの処理が正常に行われ
たことを確認します。

変更した項目を無作為にチェックします。項目が、予定通りに追加、更新、また
は削除されたことを確認します。
ほとんどの場合、XML インスタンスファイルと Web コンソールを組み合わせて使用する
必要があります。特に、XML インスタンスファイルを初めに変更する場合は必要です。ま
た、XML スキーマファイルの表示が必要な場合もあります。
XML インスタンスファイルを使用して、次の操作を行います。

XML 要素として表す設定オブジェクトを識別します。

設定データを見つけ、変更します。
Web コンソールを使用して、次の操作を行います。

ビジュアルコンポーネントを XML スキーマとインスタンスの要素に関連付けます。

特定のオブジェクトへの変更が正確であるかを確認します。
XML スキーマファイルを使用して、次の操作を行います。

124
設定ファイルの概要
構造と設定オブジェクトの順序を確認します。
Juniper Networks NetScreen Secure Access 700 管理ガイド

オプション要素と必須要素、許容値、デフォルト値、および設定オブジェクトのその
他の属性を確認します。詳細については、340 ページの「XML Import/Export タブ」を
参照してください。
タスクサマリー： XML 設定ファイルのインポートとエクスポート
1.
XML 設定ファイルのエクスポートは、Web コンソールの Maintenance >
Import/Export > Export ページから行えます。手順については、340 ページの「XML
設定データのエクスポート」を参照してください。
2.
XML 設定ファイルのインポートは、Web コンソールの Maintenance >
Import/Export > Import ページから行えます。手順については、342 ページの「XML
設定データのインポート」を参照してください。
設定ファイルの概要

125
Juniper Networks NetScreen Secure Access 700 管理ガイド
トラブルシューティングの概要
このセクションでは、IVE で実行できるさまざまなトラブルシューティングタスクの概要
を示します。

126 ページの「イベントのシミュレーションとトラッキング」

127 ページの「IVE システム状態のスナップショットを作成する」

127 ページの「TCP ダンプファイルを作成する」

127 ページの「IVE ネットワークの接続状態をテストする」

128 ページの「デバッグツールをリモートで実行する」

128 ページの「デバッグログを作成する」
イベントのシミュレーションとトラッキング
IVE でタスクを実行できない理由を調べるために、問題のある IVE のイベントのシミュ
レーションやトラッキングを行うには、Web コンソールの Maintenance >
Troubleshooting > User Sessions ページの設定を使用します。ここでは、現在 IVE で設定
されているすべての領域、ロール、ポリシーに進み、認証、承認、およびアクセスプロ
セスのさまざまなステップにおいて、ログメッセージを出力します。
問題のイベントは、特定のユーザーの認証、承認、アクセスに関連しています。これらは
すべて、ユーザーセッション中に生じたことに左右されます。それは、シミュレーション
とポリシートレーシングの両方に適用します。
メモ : キャプチャされたイベントに、システムに関連する他のイベントは含まれませ
ん。IVE は、ログの数を減らして問題を明らかにするために、イベントを単にフィルタ
リングメカニズムとして使用します。
問題を引き起こすイベントのシミュレーション
IVE では、問題を引き起こすイベントをシミュレーションすることにより、問題のトラブ
ルシューティングを行うことができます。Maintenance > Troubleshooting > User
Sessions> Simulation ページを使用して、仮想ユーザーセッションを作成し、エンド
ユーザーが実際に IVE にサインインすることなく、問題を再現することができます。ま
た、Simulation タブを使用して、本番環境で使用する前に、新しい認証ポリシーや承認
ポリシーをテストすることもできます。
シミュレーション機能を使用するには、シミュレーションの対象イベントを指定する必要
があります（たとえば、“John Doe” が午前 6 時に Internet Explorer ブラウザから “Users”
領域にサインインする仮想セッションを作成します）。次に、シミュレーションでログに
記録するイベントを、指定する必要があります。シミュレーションログには主要な 3 種
類のイベントを記録できます。
126

認証前－キャプチャされた IVE イベントには、システムに関連する他のイベントは
含まれません。イベントは、ログの数を減らして問題を明らかにするために、単に
フィルタリングメカニズムとして使用されます。

ロールマッピング－キャプチャされた IVE イベントには、システムに関連する他の
イベントは含まれません。イベントは、ログの数を減らして問題を明らかにするため
に、単にフィルタリングメカニズムとして使用されます。
トラブルシューティングの概要
Juniper Networks NetScreen Secure Access 700 管理ガイド

リソースポリシー－キャプチャされた IVE イベントには、システムに関連する他の
イベントは含まれません。イベントは、ログの数を減らして問題を明らかにするため
に、単にフィルタリングメカニズムとして使用されます。
ポリシートレースを使用したイベントのトラッキング
IVE を使用すると、ユーザーが領域にサインインした際、イベントをトラッキングして、
問題のトラブルシューティングを行うことができます。Maintenance > Troubleshooting
> User Sessions > Policy Tracing ページでは、個々のユーザーについてポリシートレー
スファイルを記録できます。IVE は、ユーザーのアクションを示すログエントリを表示
し、ユーザーの Web またはファイルサーバーへのアクセスなどさまざまな機能へのアク
セスについて、許可または拒否された理由を示します。
IVE システム状態のスナップショットを作成する
Maintenance > Troubleshooting > System Snapshot タブを使用すると、IVE システム状
態のスナップショットを作成できます。このオプションを使用すると、IVE はさまざまな
ユーティリティを実行して、使用中のメモリー、ページジングパフォーマンス、実行中
のプロセスの数、システムの稼動時間、開いているファイル記述子の数、使用中のポート
など、IVE システムの状態に関する詳細情報を収集します。IVE は、最大 10 のスナップ
ショットを保持します。暗号化された「ダンプ」ファイルにまとめられたこれらのスナッ
プショットをいったんネットワークコンピュータにダウンロードしてから、Juniper
Networks サポートにメールで送信します。
TCP ダンプファイルを作成する
Maintenance > Troubleshooting > TCP Dump タブを使用すると、ネットワークパケッ
トヘッダーをスニッフィングして、結果を暗号化された「ダンプ」ファイルに保存でき
ます。このファイルをいったんネットワークコンピュータにダウンロードして、Juniper
Networks サポートにメールで送信します。
この機能は、TCP/IP ネットワークスタックを使用して、TCP レイヤでパケットをキャプ
チャします。これは、IVE を通過するすべての通信をキャプチャします。ただし、一部の
暗号化されたより高いレベルのプロトコルは復号化できません。この機能は、顧客の共通
の問題のトラブルシューティングに役立ちます。TCP ダンプファイルは、Juniper
Networks サポートチームが IVE と他のイントラネットサーバー間で使用される通信プロ
トコルや、イントラネットサーバーが IVE からの要求にどのように応答したかを観察す
る上で役立ちます。
Web コンソールでは、パケットをキャプチャするインターフェースを外部か内部で選択
し、ダンプファイルの詳細レベルを高める無作為検出モードを選択し、さらにフィルタ
の指定を行うことができます。
IVE ネットワークの接続状態をテストする
Maintenance > Troubleshooting > Commands タブを使用して、arp、ping、traceroute、
NSlookup などの UNIX コマンドを実行し、IVE ネットワークの接続状態をテストを行うこ
とができます。これらの接続ツールを使用すると、IVE から特定のサーバーへのネット
ワークパスを調べることができます。IVE に ping または traceroute を実行でき、IVE が
ターゲットサーバーを ping できる場合は、リモートユーザーは IVE からそのサーバーに
アクセスできるはずです。
トラブルシューティングの概要

127
Juniper Networks NetScreen Secure Access 700 管理ガイド
アドレス解決プロトコル（ARP）
arp コマンドを使用して、IP ネットワークアドレスをハードウェアアドレスにマップし
ます。アドレス解決プロトコル（ARP）を使用すると、ハードウェアアドレスを解決でき
ます。
ネットワーク内のサーバーのアドレスを解決するために、IVE 上のクライアントプロセス
は固有の ID についての情報を、イントラネット内のサーバーで実行されるサーバープロ
セスに送信します。これにより、サーバープロセスは要求されるアドレスをクライアント
プロセスに返します。
Ping
ping コマンドを使用して、IVE がネットワーク上の他のシステムに接続できることを確認
します。ローカルノードとリモートノード間のネットワーク障害の場合は、ping したデ
バイスから応答を受信できません。その場合は、LAN 管理者に連絡して指示を求めてくだ
さい。
ping コマンドはパケットをサーバーに送信し、サーバーの応答を返します。一般的にこの
応答は、ターゲットサーバーの IP アドレス、パケットの送信や応答の受信にかかった時
間などのデータを含む統計情報のセットです。ユニキャストアドレスやマルチキャスト
アドレスを ping できます。要求には、ターゲットサーバー名を含める必要があります。
Traceroute
traceroute コマンドを使用すると、パケットがたどる IVE から別のホストへのパスを
見つけることができます。traceroute はパケットを宛先サーバーに送信して、各ゲート
ウェイとそのパスから、ICMP TIME_EXCEEDED レスポンスを受信します。
TIME_EXCEEDED レスポンスなどのデータは記録され、出力に表示されて、パケット
の往復のパスを示します。
NSlookup
Nslookup を使用すると、ネットワーク上のネームサーバーの詳細情報を取得できます。
複数の異なるタイプの情報をクエリできます。これには、サーバーの IP アドレス、エイ
リアス IP アドレス、start-of-authority の記録、メール交換記録、ユーザー情報、よく知ら
れたサービス情報、およびその他のタイプの情報が含まれます。
デバッグツールをリモートで実行する
Juniper Networks サポートチームは、デバッグツールをユーザーの本番環境の IVE 上で
実行できます。これを行うには、Maintenance > Troubleshooting > Remote Debugging
ページで設定します。このオプションを有効にするには、Juniper Networks サポートに連
絡して、デバッグコードと IVE の接続先ホストの情報を取得する必要があります。
デバッグログを作成する
問題が生じた場合、Juniper Networks サポートの担当者が、IVE の内部問題をデバックす
るために、デバックログの作成を依頼することがあります。ロギングを有効にすると、
Web コンソールの Maintenance > Troubleshooting > Debug Log タブで入力するイベン
トコードに基づいて、IVE が特定のイベントやメッセージを記録します。作成されたデ
バッグログを使用して、サポートチームは矛盾するコードの流れを特定します。サポー
ト担当者は、デバッグ詳細ログレベルやイベントコードなど、ログファイルの作成に必
要な情報を提供します。
128
トラブルシューティングの概要
Juniper Networks NetScreen Secure Access 700 管理ガイド
多言語サポートの概要
SSL VPN アプライアンスはファイルのエンコード、ユーザーインターフェースの表示、
カスタムサインインとシステムページに対して、多言語サポートを提供しています。SSL
VPN アプライアンスは以下の言語をサポートしています。

英語（米国）

中国語（簡体）

中国語（繁体）

フランス語

ドイツ語

日本語

韓国語

スペイン語
IVE では、エンドユーザーインターフェースを、サポートされている言語のいずれかで表
示することができますこの機能を、（カスタム）サインインページ、システムページ、
ローカライズされたオペレーションシステムと組み合わせることによって、ユーザーは、
完全にローカライズされた環境で操作することができます。
言語を指定すると、IVE は、すべてのメニュー項目、IVE が生成するダイアログ、ヘルプ
ファイルなどのユーザーインターフェースを、サインインした領域に左右されず指定し
た言語で表示します。ローカライズのオプションを設定するには、Maintenance >
System > Options タブの設定を使用します。手順については、335 ページの「Options タ
ブ」を参照してください。
多言語サポートの概要

129
Juniper Networks NetScreen Secure Access 700 管理ガイド
130
多言語サポートの概要
第3部
IVE 設定
このセクションでは、Web コンソールによって IVE を構成、維持するための IVE に関す
る指示を示します。このセクションの構成は Web コンソールに一致しているため、ユー
ザーインターフェースの特定のページに対応する指示を簡単に見つけることができます。
目次

135 ページの「システム設定」

179 ページの「Signing In 設定」

237 ページの「管理者設定」

253 ページの「ユーザー設定」

279 ページの「リソースポリシー設定」

331 ページの「メンテナンス設定」

131
Juniper Networks NetScreen Secure Access 700 管理ガイド
132

タスクのサマリー
目次
タスクサマリー：IVE プラットフォーム上に構築された製品の設定 32
タスクサマリー：サインインポリシーの設定 50
タスクサマリー：Java アプレットに署名または再署名するよう IVE を設定する 65
タスクサマリー：Host Checker の設定 74
タスクサマリー：Network Connect の設定 91
タスクサマリー：IVE での E メールクライアントの設定 96
タスクサマリー：Java アプレットのアップロードと有効化 101
タスクサマリー：データ転送プロキシの設定 103
タスクサマリー：設定ファイルとユーザーアカウントのインポートとエクスポート 113
タスクサマリー：XML 設定ファイルのインポートとエクスポート 125

133
Juniper Networks NetScreen Secure Access 700 管理ガイド
134

第6章
システム設定
Web コンソールの System セクションの設定を使用して、IVE やユーザーのアクティビ
ティの監視、システムおよびネットワークの全般的な設定、システムログの表示などが
行えます。
目次

137 ページの「Status ページの設定」

140 ページの「Configuration ページの設定」

163 ページの「Network ページの設定」

168 ページの「Log Monitoring ページの設定」
第 6 章 : システム設定

135
Juniper Networks NetScreen Secure Access 700 管理ガイド
136
第 6 章 : システム設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
Status ページの設定
Status ページには、以下のタブがあります。

137 ページの「Overview タブ」－このタブを使用して、現在のサービスパッケージ
のダウンロードとシステムの日付と時間の編集を行います。

138 ページの「Active Users タブ」－このタブを使用して、IVE にサインインしたユー
ザーを監視します。
Overview タブ
Web コンソールにサインインして System > Status ページを選択すると、Overview タブ
が表示されます。このタブには、IVE サーバーやシステムユーザーに関する詳細情報が表
示されます。他の Web コンソールページで変更を行うと、Overview タブの対応する情報
が更新されます。
現在のサービスパッケージのダウンロード
System > Status > Overview タブで、IVE に現在インストールされているサービスパッ
ケージをダウンロードできます。これにより、保存したものを別の IVE に簡単にインス
トールできます。
現在のサービスパッケージをダウンロードするには、次の操作を行います。
1.
Web コンソールで、System > Status > Overview を選択します。
2.
System Software Pkg Version の隣にあるリンクをクリックします。
3.
Save をクリックします。
4.
サービスパッケージの名前と場所を指定します。
5.
Save をクリックします。
システムの日付と時刻の変更
システムイベントやユーザーファイルの転送を正確に記録するために、サーバーの時
刻を設定する必要があります。Network Time Protocol（NTP）サーバーを使用して、IVE
を一連のコンピュータと同期できます。また、IVE の時刻を手動で設定することもでき
ます。
システムの日付と時刻を変更するには、次の操作を行います。
1.
Web コンソールで、System > Status > Overview を選択します。
2.
System Date & Time セクションで、Edit をクリックします。
3.
Time Zone メニューからタイムゾーンを選択します。サマータイムに該当する場合、
時刻は自動的に調整されます。
4.
次のいずれかの方法でシステム時刻を設定します。

Use NTP server － Use NTP Server オプションを選択して、サーバーの IP アドレ
スまたは名前を入力し、更新間隔（Update Interval）を指定します。
Status ページの設定

137
Juniper Networks NetScreen Secure Access 700 管理ガイド

5.
Set Time Manually － Set Time Manually オプションを選択し、日時の値を入力
します。または、Get from Browser をクリックし、Date フィールドと Time
フィールドに値を自動的に入力することもできます。
Save Changes をクリックします。
Active Users タブ
Active Users ページを使用して IVE にサインインしたユーザーを監視します。各ユーザー
の名前、認証領域、ロール、サインイン時間などがリストに表示されます。
IVE にサインインしたユーザーを監視するには、次の操作を行います。
1.
Web コンソールで、System > Status > Active Users を選択します。
2.
次のタスクを実行します（オプション）。

IVE セッションからのユーザーのサインアウト

1 人以上のエンドユーザーまたは管理者を強制的にサインアウトさせるに
は、該当する名前の横にあるチェックボックスをオンにして、Delete
Session をクリックします。

現在サインインしているすべてのエンドユーザーを強制的にサインアウト
させるには、Delete All Sessions をクリックします。
メモ : 管理者をサインアウトさせるには、管理者を個別に選択して、Delete Session ボ
タンを使用します。
138
Status ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド

サインインした全ユーザーの動的ポリシー評価の実行

認証ポリシー、ロールマッピング規則、ロール制限、ユーザーロール、リ
ソースポリシーを、現在サインインしているすべてのユーザーについてす
べて手動で評価するには、Refresh Roles をクリックします。認証ポリシー、
ロールマッピング規則、ロール制限、またはリソースポリシーを変更した
場合で、すべてのユーザーのロールをすぐに更新したいとき、このボタンを
使用します。詳細については、40 ページの「動的ポリシー評価」を参照して
ください。
表示するデータと順序の設定：

特定のユーザーを表示するには、Show Users Named フィールドにユーザー
名を入力し、Update をクリックします。ユーザーの正確なユーザー名が分
からない場合は、ワイルドカード文字の “* “ を使用します。たとえば、
“Joseph Jones” という名前のユーザーがいて、そのユーザー名が “Joe” か
“Joseph” のどちらであったか思い出せない場合、Show Users Named フィー
ルドに “Jo*” と入力します。これでユーザー名が “jo” で始まるすべてのユー
ザーが表示されます。

Active Users ページに表示するユーザーと管理者の数を設定するには、
Show N users フィールドに人数を入力し、Update をクリックします。

現在サインインしているユーザーおよび管理者の表を並び替えるには、列の
ヘッダーをクリックします。

ページの内容を更新するには、Update をクリックします。
関連タブのリンク：

ユーザーの認証領域を編集するには、名前の横にある Realm リンクをク
リックし、239 ページの「認証領域の作成」の説明に従ってください。

ユーザーのロールを編集するには、名前の横にある Role リンクをクリック
し、248 ページの「Delegation ページの設定」（管理者の場合）または 256
ページの「Roles ページの設定」（エンドユーザーの場合）の手順を実行し
てください。
Status ページの設定

139
Juniper Networks NetScreen Secure Access 700 管理ガイド
Configuration ページの設定
Configuration ページには、次のタブがあります。

140 ページの「Licensing タブ」－ IVE のライセンス情報を入力または更新するには、
このタブを使用します。

146 ページの「Security ページ」－デフォルトのセキュリティ設定を指定するには、
このページを使用します。

147 ページの「Certificates タブ」－サーバー、クライアント、およびコード署名の証
明書を IVE へアップロード、IVE から証明書をダウンロード、証明書の更新、証明書
の削除、新規証明書用の証明書署名要求（CSR）の作成、CSR から署名済み証明書を
インポート、CRL チェックの有効化、証明書の詳細表示などを行う場合に、これらの
タブを使用します。

159 ページの「NCP タブ」－ Windows および Java クライアント用に NCP オプション
を設定するにはこのタブを使用します。
Licensing タブ
Secure Access 700 アプライアンスは、あらかじめ IVE への基本的なアクセスを許可する
ライセンスが提供されています。ただし、アプライアンスの機能をフルに活用するには、
Juniper Networks License Management System にアクセスし、Licensing Hardware ID およ
び Authorization Code を示してライセンスキーを取得し、管理者 Web console にサインイ
ンして、Juniper Networks から取得したライセンスキーを入力する必要があります。
Licensing Hardware ID は一意の 16 文字のコードで、Juniper Networks は、ライセンス
キーを生成する際にこれを使ってユーザーの IVE を識別します。IVE の Licensing
Hardware ID は、シリアルコンソールのメニューオプションの上、および管理者 Web コ
ンソールの下部にあります。
Authorization Code は、ユーザーまたはユーザーの会社が IVE 用に購入した Secure
Access ライセンスキーを、生成およびアクティブ化するのに必要な合鍵です。IVE およ
び関連する製品や機能ライセンスを購入した後に、IVE とは別に Authorization Code を受
け取ります。
140
Configuration ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 29: ライセンスキーの生成とアクティベーション
Obtain your Juniper
Networks Secure
Access Authorization
Code
Obtain your Juniper
Networks Secure
Access Licensing
Hardware ID
Sign in to Juniper Networks
License Management System
at
http://www.juniper.net/
generate_license
Supply your Juniper
Networks Secure
Access Appliance
Serial Number
(when upgrading
SA 1000, SA 3000,
and SA 5000 license
keys only)
Receive Juniper
Networks
Secure Access
license keys
Enter Juniper
Networks Secure
Access license keys
in Secure Access
administrator Web
console
Juniper Networks License Management System からダウンロードするパッケージまたは、
Juniper Networks から受け取る E メールには、以下の異なるタイプのライセンスが含まれ
ています。
Configuration ページの設定

141
Juniper Networks NetScreen Secure Access 700 管理ガイド

Seure Access 700 標準アクセスライセンスキー－ Secure Access 700 標準アクセス
ライセンスキーでは、10 ユーザー、15 ユーザー、または 25 ユーザーをホストし
て、Network Connect を介した IVE へのアクセスを提供します。さらに、Network
Connect へのアクセスや、ターミナルセッションや Web ブックマークなどのコアア
クセスメソッドへのアクセスが可能なライセンスキーを購入できます。SA 700 標準
ライセンスキーは「追加型」のライセンスで、ライセンスキーを追加で取得して、
構成に加えることにより、IVE にアクセスできるユーザーの数を増やすことができま
す。たとえば、最初に SA700-ADD-10U ライセンスを購入し、将来別の
SA700-ADD-10U ライセンスを購入した場合、IVE は最大 20 ユーザーに対応できるよ
うになります。

SA 700 コアアクセスアップグレードライセンスキー－ Secure Access 700 コアア
クセスアップグレードライセンスキーは、Remote Access 500 のユーザーにアップ
グレードオプションを提供します。新規の Secure Access 700 アクセスライセンス
キーを購入することなく、ターミナルセッションや Web ブックマークなどのコアア
クセス機能を有効にできます。
System > Configuration > Licensing タブを使用して、サイトのライセンスキーの入力、
有効期限の表示、あるいは必要に応じて削除を行います。
メモ : Licensing タブからアクセス可能な使用許諾条件を読み、その後、ライセンスを
送信してください。Licensing タブに表示される使用許諾条件は、初期のセットアップ時
にシリアルコンソールに表示された内容と同じです。
新規 IVE ライセンスキーを作成、またはライセンスキーを交換する IVE に転送する
新規 IVE ライセンスキーを作成して入力したり、あるいは交換する IVE へライセンス
キーを転送するには、次の操作を行います。
1.
Licensing Hardware ID と Authorization Code が使用可能であることを確認してく
ださい。
IVE の Licensing Hardware ID は、シリアルコンソールのメニューオプションの上、
および管理者 Web コンソールの下部にあります。
IVE および関連する製品や機能ライセンスを購入した後に、IVE とは別に
Authorization Code を受け取ります。
2.
Juniper Networks License Management System に
https://www.juniper.net/generate_license からアクセスします。
メモ : Juniper Networks License Management System では、Juniper Networks ライセンス
についての詳細情報へのアクセスポイントを提供しています。この情報には、ユーザー
またはユーザーの会社に登録されているすべてのライセンスや、現在特定の Licensing
Hardware ID に関連付けられているライセンスが含まれます。
この場所の情報にアクセスするには、Juniper Networks カスタマサポートセンターの有
効なユーザー ID とパスワードが必要です。Juniper Networks カスタマサポートセン
ターのユーザー ID とパスワードを入手するには、
https://www.juniper.net/customers/support/ から Customer Support Center サイトにアクセ
スします。
142
Configuration ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
Secure Access SSL VPN リンクをクリックして、新しい IVE ライセンスキーを生成す
るか、Generate Replacement License for RMA Device をクリックして、交換する
IVE の既存のライセンスに基づいてライセンスキーを作成します。
メモ : Generate Replacement License for RMA Device オプションは、RMA ハードウェ
アの交換のみを目的としています。これは、間違って作成されたライセンスキーの交換
には使用できません（たとえば、最初にライセンスを購入した IVE 以外の IVE に、
Authorization Code を使用してライセンスを作成した場合など）。
4.
5.
Generate Licenses ページで、次の操作を行います。

1 台の IVE のみにライセンスキーを作成する場合は、Licensing Hardware ID と、
1 つ以上の Authorization Code を該当するフィールドに入力します。

複数の IVE のライセンスキーを一度に作成するには、Generate License Keys for
Multiple SSL VPN Devices をクリックし、画面の手順に従ってライセンスキーの
生成に必要な Excel ファイルを作成します。
Generate をクリックします。
Confirm License Information ページが表示され、License Management System に送
信した情報の概要が表示されます。
6.
この情報を見直して、すべての情報が正しいことを確認し、Generate License をク
リックします。
Generate License SSL VPN ページが表示され、新しいライセンスキーの詳細を表示
するリンクを含む、ライセンスキーの概要が表示されます。
7.
Download/Email をクリックし、ファイル形式と、新しいライセンスキーの入手する
際の配信方法を指定します。
ライセンスキーをダウンロードするか、E メールで受信した後、以下を行います。
1.
Web コンソールで、System > Configuration > Licensing を選択します。
2.
license agreement リンクをクリックします。使用許諾条件を読み、同意する場合、
次の手順に進みます。
3.
ライセンスキーを入力し、Save Changes をクリックします。
Configuration ページの設定

143
Juniper Networks NetScreen Secure Access 700 管理ガイド
IVE ライセンスキーのアップグレード
Remote Access 500、Secure Access 1000、Secure Access 3000、Secure Access 5000、また
は Secure Access FIPS アプライアンスを使用している場合で、上のイメージを 5.1 以降に
アップグレードした後にライセンスキーをアップグレードしたい場合は、次の手順を
行って、新しいライセンスキーを作成し、入力する必要があります。アップグレードの際
に IVE は既存のライセンス情報を保持するため、購入するライセンスアップグレードの
新しいライセンスキーを確認して作成するだけで済みます。141 ページの図 29 にライセ
ンス生成プロセスの主な手順を示します。
メモ : ライセンスキーのアップグレードを古いに対して行う場合は、Juniper Networks
License Management System は、作成する新しいライセンスキーについての情報や、購
入してに入力する将来のライセンスキーの情報を保持します。古いライセンスキーの
詳細にはアクセスできません。Juniper Networks では、バージョン 5.1 より古いソフト
ウェアのライセンスキー情報を確認することはできません . 間違ってライセンス情報を
削除した場合は、カスタマサポートセンター Case Manager 経由で Juniper Customer
Care までお問い合わせください。

1-800-638-8296（米国およびカナダ）

1-408-745-9500（インターナショナル）
Juniper Customer Care では、申請者に代わって手続きを行い、紛失したライセンスキー
の記録を提供します。
IVE ライセンスキーをアップグレードするには、次の操作を行います。
1.
Licensing Hardware ID と Authorization Code が使用可能であることを確認してくだ
さい。
IVE の Licensing Hardware ID は、シリアルコンソールのメニューオプションの上、
および管理者 Web コンソールの下部にあります。
IVE のソフトウェアとライセンスキーをアップグレードするには、IVE を最初に購入
したベンダーから、追加機能に対するライセンスの Authorization Code を受け取りま
す。
2.
Juniper Networks License Management System に
https://www.juniper.net/generate_license からアクセスします。
メモ : Juniper Networks License Management System では、Juniper Networks ライセンス
についての詳細情報へのアクセスポイントを提供しています。この情報には、ユーザー
またはユーザーの会社に登録されているすべてのライセンスや、現在特定の Licensing
Hardware ID に関連付けられているライセンスが含まれます。
この場所の情報にアクセスするには、Juniper Networks カスタマサポートセンターの有
効なユーザー ID とパスワードが必要です。Juniper Networks カスタマサポートセン
ターのユーザー ID とパスワードを入手するには、
https://www.juniper.net/customers/support/ から Customer Support Center サイトにアクセ
スします。
144
Configuration ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
Secure Access SSL VPN リンクをクリックして、新しい IVE ライセンスキーを生成す
るか、Generate Replacement License for RMA Device をクリックして、交換する
IVE の既存のライセンスに基づいてライセンスキーを作成します。
メモ : Generate Replacement License for RMA Device オプションは、RMA ハードウェ
アの交換のみを目的としています。これは、間違って作成されたライセンスキーの交換
には使用できません（たとえば、最初にライセンスを購入した IVE 以外の IVE に、
Authorization Code を使用してライセンスを作成した場合など）。
4.
Generate Licenses ページで、次の操作を行います。

1 台の IVE のみにライセンスキーを作成する場合は、Licensing Hardware ID と、
1 つ以上の Authorization Code を該当するフィールドに入力します。

複数の IVE のライセンスキーを一度に作成するには、Generate License Keys for
Multiple SSL VPN Devices をクリックし、画面の手順に従ってライセンスキーの
生成に必要な Excel ファイルを作成します。
5.
Generate をクリックします。
6.
IVE のシリアル番号を Serial Number フィールドに入力します。IVE のシリアル番号
の入力を要求されたときに入力しなかった場合は、ライセンス生成ポータルは、自動
的にステップ 4 で入力された Licensing Hardware ID を使用します。
7.
Generate を再度クリックします。
Confirm License Information ページが表示され、License Management System に送
信した情報の概要が表示されます。
8.
この情報を見直して、すべての情報が正しいことを確認し、Generate License をク
リックします。
Generate License SSL VPN ページが表示され、新しいライセンスキーの詳細を表示
するリンクを含む、ライセンスキーの概要が表示されます。
9.
Download/Email をクリックし、ファイル形式と、新しいライセンスキーの入手する
際の配信方法を指定します。
ライセンスキーをダウンロードするか、E メールで受信した後、以下を行います。
1.
Web コンソールで、System > Configuration > Licensing を選択します。
2.
license agreement リンクをクリックします。使用許諾条件を読み、同意する場合、
次の手順に進みます。
3.
ライセンスキーを入力し、Save Changes をクリックします。
Configuration ページの設定

145
Juniper Networks NetScreen Secure Access 700 管理ガイド
Security ページ
IVE のデフォルトのセキュリティ設定を変更するには、System > Configuration >
Security ページを使用します。デフォルトのセキュリティ設定は、最大限のセキュリティ
を提供するように配慮されているため、変更しないことをお勧めします。ただし、ユーザ
が特定のブラウザを使用できない場合や、特定の Web ページにアクセスできない場合に
は、デフォルト設定を変更する必要があります。さらに、同じ IP アドレスからの
DOS/DDOS/ パスワード解読攻撃から IVE とバックエンドシステムを保護する、ロックア
ウトオプションを設定することもできます。
システム全体のセキュリティオプションの設定
特定の Web ページにアクセスするときにブラウザで問題が発生した場合には、次の設定
を調整してみてください。

Allowed SSL and TLS Version － IVE ユーザーへの暗号化要求を指定します。（IVE の
デフォルト設定では、SSL バージョン 3 と TLS を使用するよう設定されています。）
SSL バージョン 2 を使用する旧バージョンのブラウザを使用している場合、ブラウザ
をアップデートするか、SSL のバージョン 2、バージョン 3、TLS に対応できるよう
IVE の設定を変更する必要があります。

Allowed Encryption Strength －デフォルトでは、IVE が要求する暗号化の長さは
128 ビットです。また、IVE が 168 ビット暗号化を要求するように指定することも
できます。米国輸出規制法が改定される前までは海外輸出用に 40 ビットサイ
ファー暗号化の使用が許されていたため、2000 年以前のブラウザでは、40 ビット
暗号化を使用できます。ユーザーは 128 ビット暗号化に対応するブラウザにアップ
デートするか、40 ビット暗号化にも対応するように暗号化強度の設定を変更する
必要があります。
メモ : IVE で 168 ビット暗号化を使用すると、一部の Web ブラウザでは、接続が 168
ビットでも、128 ビット暗号化（ブラウザのステータスバーのゴールド鍵）で表示され
る場合があります。これはブラウザの機能上の制限の可能性があります。

Delete all cookies at session termination － IVE は、利便性を向上させる目的で、
ユーザーのコンピュータに固定 Cookie をセットして、複数のサインイン、最後に関
連付けられた領域、最後にサインインした URL などをサポートします。セキュリ
ティまたはプライバシー保護を高めたい場合は、これらを設定しないようにします。

Include IVE session cookie in URL － Mozilla 1.6 および Safari は、Java Virtual
Machine に Cookie を渡さないため、ユーザーは J-SAM および Java アプレットを実行
できません。これらのブラウザをサポートするために、IVE は、J-SAM または Java ア
プレットを起動する URL にユーザーセッション Cookie を含めることができます。デ
フォルトでこのオプションは有効になっていますが、URL で Cookie を有効にするこ
とに不安がある場合は、この機能を無効にします。
Lockout オプションの設定
以下の Lockout オプションを設定して、同一 IP アドレスからのサービス拒否攻撃
（DoS）、分散サービス拒否攻撃（DDoS）、およびパスワード解読攻撃から IVE および他の
システムを保護します。
メモ : Lockout オプションは、IVS システムでは利用できません。他のすべてのセキュリ
ティオプションについては、IVS システムで利用可能です。

146
Configuration ページの設定
Rate － 1 分間に許可するサインインの失敗回数を指定します。
Juniper Networks NetScreen Secure Access 700 管理ガイド

Attempts －最初のロックアウトをトリガする前に許可する、サインインの失敗回数
を指定します。IVE は、指定された試行回数をレートで除算して、サインインの失敗
を許可する初期の最大時間を分単位で決定します。たとえば、180 回の試行をレート
3 で除算すると、60 分という初期時間が得られます。60 分以内に 180 回以上のサイ
ンインが試行された場合、IVE は失敗したサインイン試行で使用されている IP アド
レスをロックアウトします。

Lockout period － IVE が IP アドレスをロックアウトする時間を分単位で指定しま
す。
IVE は持続する攻撃にすばやく反応し、攻撃が弱まると徐々に制限を緩和します。ロック
アウトが発生したあと、IVE は Rate を維持しながら徐々に回復します。前回のロックアウ
ト以降に発生した失敗率が、指定された Rate を超えた場合、IVE は IP アドレスを再度
ロックアウトします。失敗率が Attempts/Rate の期間で指定された Rate を超えない場合
は、IVE が初期の監視状態に戻ります。
たとえば、Lockout オプションで以下のように設定した場合、IVE は次のようなシナリオ
で、その期間 IP アドレスをロックアウトします。

Rate=3 回の失敗したサインイン / 分

Attempts=180 回、初期の 60 分間における最大許可数（180/3）

Lockout period=2 分
1.
同じ IP アドレスから 3 分間に 180 回のサインインの失敗が発生します。Attempts で
指定した値が許可された 60 分間（180/3）内で発生しているため、IVE はその IP ア
ドレスを 2 分間ロックアウトします（4 分と 5 分目）。
2.
6 分目に、IVE は IP アドレスのロックオンを解除して、レート 3（失敗サインイン試
行数 / 分）を維持します。6 分目と 7 分目では失敗試行数が 1 分間に 2 回となり、IVE
はアドレスをロックしません。ただし、8 分目に失敗したサインイン試行回数が 5 回
に増えた場合、3 分間の失敗サインイン試行回数が合計 9 回のとなり、IVE は再度 IP
アドレスを 2 分間ロックアウトします（9 分と 10 分目）。
3.
11 分目で、IVE は IP アドレスのロックオンを解除して、レート 3（失敗サインイン
試行数 / 分）を再度維持します。平均レートが 3 回 / 60 分の以下の状態が続くと、
IVE は初期の監視状態に戻ります。
メモ : 新しいシステムでは、すべてのオプションがデフォルトで「無効」になって
います。
Certificates タブ
サーバー、クライアント、およびコード署名の証明書を IVE へアップロード、IVE から証
明書をダウンロード、証明書の更新、証明書の削除、新規証明書用の証明書署名要求
（CSR）の作成、CSR から署名付き証明書をインポート、CRL チェックの有効化、証明書
の詳細表示などを行う場合に、以下の Certificates サブタブを使用します。

148 ページの「IVE Certificates タブ」

151 ページの「Trusted Client CAs タブ」

157 ページの「Trusted Server CAs タブ」

159 ページの「Code-Signing Certificates タブ」
Configuration ページの設定

147
Juniper Networks NetScreen Secure Access 700 管理ガイド
IVE Certificates タブ
IVE は、PKCS #12 （ファイル拡張子 .pfx および .p12 を含む）とともに、DER および
PEM エンコード形式（ファイル拡張子 .cer、.crt、.der、および .pem）の X.509 サー
バー証明書をサポートします。
System > Configuration > Certificates > IVE Certificates タブを使用して、ルート証明
書および秘密鍵のインポート、中間証明書のインポート、証明書署名要求（CSR）の作
成、および CSR により作成された証明書のインポートを行うことができます。
既存のルート証明書と秘密鍵のインポート
Apache、IIS、Sun ONE（旧 iPlanet）、または Netscape などのサーバーから Web サーバー
証明書を作成して、それらの証明書を IVE にインポートすることができます。デジタル
サーバー証明書と鍵をエクスポートするには、Web サーバーの証明書でエクスポートの
手順を参照し、その説明に従ってください。次に、Server Certificates タブを使用して、
これらのファイルをインポートします。
既存のルートサーバー証明書と秘密鍵をインポートするには、次の操作を行います。
1.
Web コンソールで、System > Configuration > Certificates > IVE Certificates を選
択します。
2.
Import Certificate & Key をクリックします。
3.
証明書をインポートするためのフォームを次の中から選択します。

証明書と鍵が 1 つのファイルに入っている場合は、If certificate file includes
private key フォームを使用します。

証明書と鍵が別のファイルに入っている場合は、If certificate and private key
are separate files フォームを使用します。

証明書と鍵が 1 つの IVE 設定ファイルに入っている場合は、Import via IVE
configuration file フォームを使用します。このオプションを選ぶ場合、IVE は、
構成ファイルで指定したすべての証明書を IVE Certificates ページにインポート
します（秘密鍵と申請中の CSR を含むが、対応するポートマッピングは含まな
い）。
4.
該当するフォームで、証明書と鍵が入ったファイルを参照します。ファイルが暗号化
されている場合は、パスワード鍵を入力します。
5.
Import をクリックします。
既存の中間証明書のインポート
トラステッド CA によって発行された証明書チェーンを使用してトラフィックをセキュリ
ティ保護するよう選択することもできます。その場合、IVE と Web ブラウザの両方に、完
全な証明書チェーンが含まれている必要があります（60 ページの「中間サーバー CA 証
明書」を参照）。
IVE を通じて証明書をインストールする場合、どの順番でインストールしてもかまいませ
ん。IVE は、PEM ファイルの 1 つ以上の中間 CA のアップロードをサポートします。
中間サーバー証明書と秘密鍵をインポートするには、次の操作を行います。
148
Configuration ページの設定
1.
Web コンソールで、System > Configuration > Certificates > IVE Certificates を選
択します。
2.
ページ最上部の Intermediate IVE CAs リンクをクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
Import CA certificate をクリックします。
4.
IVE にアップロードしたい CA 証明書を参照し、Import Certificate をクリックし
ます。
既存の秘密鍵を使用する更新された証明書をインポートする
サーバー証明書を更新するには、2 つの方法があります。

Submit a new CSR to a CA － CA によって新しい証明書と秘密鍵が保証され、古い秘
密鍵が廃棄されるため、このプロセスは証明書を更新する方法としては安全です。こ
の更新方法を使用するには、まず Web コンソールを通じて CSR を作成する必要があ
ります。詳細については、150 ページの「新しい証明書の証明書署名要求（CSR）を
作成する」を参照してください。

Request renewal based on the CSR previously submitted to the CA － CA では既存の
秘密鍵を使用する証明書を発行するため、このプロセスは上記の方法よりも安全性は
劣ります。
メモ : 更新された証明書を要求するときには、元の CSR を再提出するか、現在の証明書
用に提出した CSR のレコードを CA が保有していることを確認する必要があります。
既存の秘密鍵を使用する、更新されたサーバー証明書をインポートするには、次の操作を
行います。
1.
以前に証明書を購入した CA の指示に従って、証明書を更新します。
メモ : 必ず、元の CSR と同じ情報を指定してください。CA では、この情報をもとに既
存の鍵に対応する新しい証明書を作成します。
2.
Web コンソールで、System > Configuration > Certificates > IVE Certificates を選
択します。
3.
中間証明書を更新する場合は、ページ最上部の Intermediate IVE CAs リンクをク
リックします。
4.
更新したい証明書に対応するリンクをクリックします。
5.
Renew Certificate をクリックします。
6.
Renew Certificate フォームで、更新された証明書ファイルを参照し、証明書鍵のパ
スワードを入力して、Import をクリックします。
IVE からサーバー証明書をダウンロードする
Server Certificates ページで、IVE アプライアンスの証明書を簡単にダウンロードでき
ます。
IVE からサーバー証明書をダウンロードするには、次の操作を行います。
1.
Web コンソールで、System > Configuration > Certificates > IVE Certificates を選
択します。
2.
保存したい証明書に対応するリンクをクリックします。
3.
Download をクリックします。
4.
証明書を保存する場所を参照し、Save をクリックします。
Configuration ページの設定

149
Juniper Networks NetScreen Secure Access 700 管理ガイド
新しい証明書の証明書署名要求（CSR）を作成する
Web サーバーのデジタル証明書がない場合には、Web コンソールを通じて CSR（証明書
署名要求）を作成し、CA に送信します。Web コンソールを通じて CSR を作成すると、そ
の CSR に対応する秘密鍵がローカルで作成されます。CSR を削除すると、このファイル
も削除されるため、その CSR から生成され署名付き証明書をインストールできなくなり
ます。
メモ : 複数の CSR を同時に CA に送信しないでください。変更が重複する恐れがありま
す。Server Certificates タブにある Certificate Signing Request Details リンクをクリック
して、以前に提出した保留中の要求に関する詳細を表示できます。
証明書署名要求を作成するには、次の操作を行います。
1.
Web コンソールで、System > Configuration > Certificates > IVE Certificates を選
択します。
2.
New CSR をクリックします。
3.
必要な情報を入力して、Create CSR をクリックします。
4.
画面には、CA に送る必要がある情報とその送信方法の説明が表示されます。これら
の指示に従ってください。
5.
CA から署名付き証明書が返送されたら、以下の説明に従って、証明書ファイルをイ
ンポートします。
メモ : CSR を CA に送信するときに、証明書を作成した Web サーバーの種類、または証
明書を使用する Web サーバーの種類を指定するよう求められる場合があります。この場
合には、apache を選択してください（apache に複数の選択肢がある場合は、どれか 1
つを選択してください）。また、証明書形式のダウンロードを指示された場合には、標準
形式を選択してください。
CSR により作成された署名付き証明書をインポートする
Web コンソールを使用して CSR を作成すると、IVE の Server Certificates タブに、その
CSR の Pending CSR リンクが表示されます。これは、認証機関（CA）が配布する署名付
きサーバー証明書をインポートすると、表示されなくなります。
CSR から作成された署名付きサーバー証明書をインポートするには、次の操作を行い
ます。
150
Configuration ページの設定
1.
Web コンソールで、System > Configuration > Certificates > IVE Certificates を選
択します。
2.
Certificate Signing Requests で、署名付き証明書に対応する Pending CSR リンクをク
リックします。
3.
Import signed certificate で、CA から受け取った証明書ファイルを参照し、Import
をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Trusted Client CAs タブ
System > Configuration > Certificates > Trusted Client CAs タブで、IVE 上のクライア
ント CA 証明書のインポート、設定、および維持に関連するいくつかのタスクを実行しま
す。このセクションは次のトピックから成ります。

151 ページの「トラステッドクライアント CA 証明書を IVE へアップロードする」

153 ページの「トラステッドクライアント CA 証明書属性を指定する」

154 ページの「OCSP オプションの指定」

155 ページの「OCSP レスポンダオプションの指定」

155 ページの「CDP オプションの指定」

157 ページの「ユーザー領域のクライアント証明書を有効にする」
メモ : IVE は、DER および PEM エンコード形式の X.509 CA 証明書をサポートして
います。
トラステッドクライアント CA 証明書を IVE へアップロードする
ユーザーの IVE へのサインインに、クライアントサイド証明書を要求する場合は、対応
する CA 証明書を IVE にアップロードする必要があります。CA 証明書を手動でアップロー
ドするか、CA 証明書を自動的にアップロードするよう IVE を設定できます。IVE は、アッ
プロードされた証明書を使用して、ブラウザが送信した証明書の有効性を検証します。さ
らに、検証用の CA 証明書のインポートを自動的に行うかどうかを指定でき、また CA 証
明書を自動的にインポートするときに IVE が使用する CRL/OCSP 取得メソッドを指定でき
ます。CRL および OCSP の詳細については、60 ページの「トラステッドクライアント
CA」を参照してください。
メモ :

クライアントサイド証明書を使用する場合は、ユーザーに対し、IVE からサインア
ウトした後に Web ブラウザを閉じるよう指導することを、強くお勧めします。Web
ブラウザを閉じなかった場合、他のユーザーが開いたままのブラウザセッションを
使用し、再認証を行うことなく、IVE 上の証明書で保護されたリソースにアクセス
できる可能性があります。（クライアントサイド証明書をロードした後、Internet
Explorer は証明書の識別情報と秘密鍵をキャッシュに保存します。ブラウザは、
ユーザーがブラウザを閉じるまで（場合によっては、ユーザーがワークステーショ
ンを再起動するまで）、これらの情報をキャッシュに保存します。詳細については、
http://support.microsoft.com/?kbid=290345 を参照してください。）ブラウザを
閉じる指示をメッセージで表示するには、System > Signing In > Sign-in Pages タ
ブでサインアウトメッセージを変更します。

CA 証明書を IVE にアップロードしても、クライアントサイド SSL 認証は有効にな
りません。クライアントサイド SSL 認証を有効にするには、証明書サーバーを使用
するか、Web コンソールの Administrators/Users > Authentication > [ 領域 ] >
Authentication Policy > Certificate ページで、証明書の制限を有効にする必要があ
ります。

Secure Access 700 アプライアンスでは、IVE に CA 証明書を 1 つしかインポートで
きません。

証明書チェーンを IVE にアップロードする場合、証明書を 1 度に 1 つずつ、ルート
証明書（DER または PEM ファイル）から降順にインストールするか、1 つのファ
イル（PEM ファイルのみ）を、証明書チェーン全体を格納する IVE にインストール
する必要があります。いずれかの方法をとることにより、IVE は証明書を正しい順
序でリンクすることができます。
Configuration ページの設定

151
Juniper Networks NetScreen Secure Access 700 管理ガイド
IVE 上のトラステッドクライアント CA 証明書を自動的にインポートしてオプションを指
定するには、次の操作を行います。
1.
Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を
選択します。
2.
Auto-import options をクリックします。Auto-import options ページが表示され
ます。
3.
Auto-import Trusted CAs をクリックします。
4.
Client certificate status checking で、IVE がクライアント証明書のステータスを確認
するために使用するメソッドを指定します。

5.
None － IVE はこのトラステッドクライアント証明書を検証しません。

Use OCSP － IVE は OCSP メソッドを使用して、クライアント証明書を必要に応
じてリアルタイムに検証します。このオプションを選択すると、154 ページの
「OCSP オプションの指定」の説明に従って OCSP のオプションを指定できます。

Use CRLs － IVE はクライアント証明書を検証するために CRL を使用します。こ
のオプションを選択すると、155 ページの「CDP オプションの指定」の説明に
従って OCSP のオプションを指定できます。

Use OCSP with CRL fallback － IVE は可能な場合 OCSP 検証メソッドを使用しま
すが、OCSP メソッドが失敗した場合（たとえば、OCSP レスポンダへのリンク
が失敗するなど）は、CRL を使用してクライアント証明書の検証を試みます。こ
のオプションを選択すると、OCSP のオプション（154 ページの「OCSP オプ
ションの指定」を参照）および CDP のオプション（155 ページの「CDP オプ
ションの指定」を参照）を指定できます。
CDP(s)/OCSP responder で、関連するドロップダウンリストから次の CRL/OCSP 取得
メソッドを指定します。

None － IVE は CRL/OCSP 取得メソッドを使用しません。

From client certificate － IVE はクライアント証明書にある CRL/OCSP 取得メ
ソッドを使用します。

From trusted CA certificates － IVE はトラステッドクライアント CA 証明書にあ
る CRL/OCSP 取得メソッドを使用します。
6.
IVE に証明書を発行した CRL を検証させたい場合は、Verify imported CA certificates
オプションを有効にします。
7.
Save をクリックします。
CA 証明書を手動で IVE にアップロードするには、次の操作を実行します。
152
Configuration ページの設定
1.
ユーザーのブラウザを通じてクライアントサイド証明書をインストールします。詳細
については、ブラウザのヘルプを参照してください。
2.
Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を
選択します。
3.
Import CA Certificate をクリックします。Import Trusted Client CA ページが表示さ
れます。
Juniper Networks NetScreen Secure Access 700 管理ガイド
4.
IVE にアップロードしたい CA 証明書を参照し、Import Certificate をクリックしま
す。Trusted Client CA ページが開き、証明書属性を表示します。証明書属性には、証
明書に有効化された証明書ステータスチェックのタイプや、IVE がトラステッドク
ライアント CA を確認するよう設定されているかどうかを示すものが含まれます。
5.
Save をクリックします。
手動で CA 証明書をインポートした後に、CA 証明書属性を指定できます（153 ペー
ジの「トラステッドクライアント CA 証明書属性を指定する」を参照）。
トラステッドクライアント CA 証明書属性を指定する
トラステッドクライアント CA 証明書属性を指定するには
1.
Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を
選択します。
2.
表示したい証明書をクリックします。Trusted Client CA ページが開き、選択した証明
書の全情報が表示されます。
3.
Certificate で、以下のフィールド名の横にある矢印をクリックすると、証明書の詳細
が表示されます。

Issued To －証明書の発行対象エンティティの名前と属性。

Issued By －証明書を発行したエンティティの名前と属性。このフィールド
の値は、Issued To フィールド（ルート証明書の場合）
、または、チェーン内
にある次の証明書の Issued To フィールド（中間証明書の場合）と一致する
必要があります。

4.
5.
Valid Dates －証明書が有効な期間。証明書が期限切れの場合は、149 ページの
「既存の秘密鍵を使用する更新された証明書をインポートする」の手順を参照し
てください。
Details －バージョン、シリアル番号、署名アルゴリズム、CRL 配布点、公開鍵
アルゴリズムの種類、公開鍵など、証明書の各種詳細情報が記載されています。
IVE の Details フィールドに CRL 配布点が表示される場合もありますが、有効に
しない限り CDP がチェックされないので、注意してください。詳細については、
62 ページの「CRL」を参照してください。
証明書を更新するには、次の操作を行います。
a.
Renew Certificate をクリックします。
b.
IVE にアップロードする更新済み CA 証明書を参照し、Import Certificate をク
リックします。
CRL checking for client certificates で、この証明書に対して有効な CRL の詳細を表
示します。

Enable － IVE がこの CDP の CRL を使用するように設定されている場合は、
チェックマークが表示されます。

CRL Distribution Points －クライアント証明書が有効である CRL 配布点の場
所。このフィールドは、CDP から実行した最後の CRL ダウンロードの成否も
表します。

Status － CRL の状態（OK、No CRL、Expired、Download in progress）、CRL サイ
ズ、および CRL 内にある失効の数を表します。
Configuration ページの設定

153
Juniper Networks NetScreen Secure Access 700 管理ガイド
6.

Last Updated － IVE が CRL 配布点から最後に CRL をダウンロードした時期を表
します。また、IVE の現行 CRL バージョンを保存できるリンクもあります。

Next Update － CRL 配布点で指定した間隔に基づいて、次のダウンロード時期
を示します。ダウンロード間隔は、CRL および IVE CRL 設定ページ（CRL
Download Frequency）の両方で指定されます。Next Update 列の表示に関わらず、
この 2 つの値のうち小さい方が実際のダウンロード時間となります。
Client Certificate Status Checking セクションで、IVE がクライアント証明書を検証
するために使用するメソッドを、次から指定します。

None － IVE はこのトラステッドクライアント証明書を検証しません。

Use OCSP with CRL fallback － IVE は可能な場合 OCSP 検証メソッドを使用しま
すが、OCSP メソッドが失敗した場合（たとえば、OCSP レスポンダへのリンク
が失敗するなど）は、CRL を使用してクライアント証明書の検証を試みます。こ
のオプションを選択すると、OCSP のオプション（154 ページの「OCSP オプ
ションの指定」を参照）および CDP のオプション（155 ページの「CDP オプ
ションの指定」を参照）を指定できます。
7.
IVE にトラステッドクライアント CA を検証させるには、Verify Trusted Client CA オ
プションを有効にします。
8.
Save Changes をクリックします。
OCSP オプションの指定
153 ページの「トラステッドクライアント CA 証明書属性を指定する」のステップ 6 で、
Use OCSP または Use OCSP with CRL fallback を選択すると、IVE は既知の OCSP レスポ
ンダのリストを表示して、OCSP レスポンダの次のオプションの設定を可能にします。
154
Configuration ページの設定
1.
OCSP レスポンダ設定を削除、有効化、または無効化するには、それぞれ Delete、
Enable、または Disable のボタンを使用します。
2.
OCSP オプションを設定する場合は、OCSP Options をクリックします。OCSP
Options ページが表示されます。
3.
IVE がトラステッドクライアント CA の検証に使用する OCSP レスポンダのタイプ
を、Use ドロップダウンリストで以下から選びます。

None － IVE はこの CA が発行した証明書のステータスの確認に OCSP を使用し
ません。

Responder(s) specified in the CA certificate － IVE はインポートされたクライア
ント CA で指定されている OCSP レスポンダを使用して検証を行います。このオ
プションを選択すると、IVE はインポートされた CA（存在する場合）で指定さ
れている OCSP レスポンダのリストと前回使用された時期を表示します。

Responder(s) specified in the client certificates － IVE はクライアント認証の際
に指定されたレスポンダを使用して、検証を実行します。このオプションを選択
すると、IVE は既知の OCSP レスポンダ（存在する場合）のリストと前回使用さ
れた時期を表示します。
Juniper Networks NetScreen Secure Access 700 管理ガイド

4.
Manually configured responders － IVE は指定したアドレスでプライマリおよび
セカンダリ OCSP レスポンダを使用します。
Options セクションで、IVE が証明書検証要求に識別子で署名するかどうかを指定
し、また IVE が検証の際に Nonce を使用するかどうかを指定します。
メモ : “Nonce” は、IVE が OCSP 要求に含めるランダムなデータで、OCSP レスポンダ
は OCSP 応答で返します。IVE は要求と応答の Nonce を比較して、その応答が OCSP
レスポンダにより生成されたことを確認します。両者が一致しない場合は、IVE は応答
を無視して、新しい要求を送信します。Nonces はリプレイ攻撃を防ぐための一般的な
方法です。
5.
Save Changes をクリックします。
OCSP レスポンダオプションの指定
1 つ以上の OCSP レスポンダに OCSP レスポンダ署名者証明書のオプションを指定するに
は、次の操作を行います。
1.
設定する OCSP レスポンダの名前を OCSP responders リストでクリックします。
OCSP レスポンダのオプション指定ページが表示されます。
2.
Responder Signer Certificate のネットワークパスまたはローカルディレクトリの場
所を参照します。これは、OCSP レスポンダが応答の署名に使用する証明書です。署
名者証明書が応答に含まれていない場合は、Responder Signer Certificate （レスポン
ダ署名者証明書）を指定する必要があります。
3.
レスポンダ署名者証明書に一致する OCSP レスポンダ証明書を許可したい場合は、
Trust Responder Certificate チェックボックスをオンにします。
4.
IVE および OCSP レスポンダが使用している証明書が、最近失効されていないこと
を確認するために、Revocation Checking オプションを有効にします。このオプ
ションは、153 ページの「トラステッドクライアント CA 証明書属性を指定する」
のステップ 6 で Use OCSP with CRL fallback オプションを指定した場合のみ、意
味があります。
5.
クロック差を Allow clock discrepancy フィールドで指定して、IVE と OCSP レスポン
ダ間のタイムスタンプの不一致を補正します。差が大きい場合は、IVE は OCSP レス
ポンダからの応答を、古いまたは有効期限の切れたものとして無視します。
6.
Save Changes をクリックします。
CDP オプションの指定
153 ページの「トラステッドクライアント CA 証明書属性を指定する」のステップ 6 で、
Use CRLs または Use OCSP with CRL fallback を選択した場合は、クライアントサイド証
明書の継続的な有効性を確認するために、証明書失効リスト（CRL）を有効にして、CRL
配布点（CDPs）から定期的にダウンロードすることができます。
1.
Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を
選択します。
2.
CRL チェックを有効にしたい証明書に対応するリンクをクリックします。
メモ : IVE は CRL パーティションをサポートしているため、CRL distribution points に
複数の CRL が表示される場合があります。これは、失効リストのパーティション部分が
個別に識別されず、派生元の CDP として参照されるためです。
Configuration ページの設定

155
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
CRL Checking Options をクリックします。OCSP Checking Options ページが表示さ
れます。
4.
CRL Distribution Points で、IVE が CDP のアクセス情報を探す場所を指定します。オ
プションには以下のものがあります。

No CDP (no CRL Checking) －このオプションを選択すると、IVE は、CA が発行
した CRL をチェックしないため、CRL を発行した CDP にアクセスするのに、パ
ラメータを入力する必要がありません。

CDP(s) specified in the Trusted CA Client －このオプションを選択すると、IVE
は、証明書内の CRL 配布点属性をチェックし、CRL Checking Options ページ内
で見つけた CDP の URI を表示します。CDP へのアクセスに必要なすべての情報
がその CA 証明書に含まれていない場合は、必要な追加情報を指定します。

CRL Attribute：（LDAP のみ）－ CRL を含むオブジェクト上で LDAP 属性
（CertificateRevocationList など）を入力します。
Admin DN, Password：（LDAP のみ）－ CDP サーバーが CRL の匿名検索を許
可していない場合は、CDP サーバーへの認証に必要な管理者 DN とパス
ワードを入力します。
CDP(s) specified in client certificates － CDP へのアクセスに必要なすべての情
報がそのクライアント証明書に含まれていない場合は、必要な追加情報を指定し
ます。

CDP Server：（LDAP のみ）－ CDP サーバーの場所を入力します。LDAP プ
ロトコルを使用する場合は、IP アドレスまたはホスト名（例 :
ldap.domain.com）を入力します。
CDP Server（LDAP のみ）－ CDP サーバーの場所を入力します。 LDAP プロ
トコルを使用する場合は、IP アドレスまたはホスト名（例 :
ldap.domain.com）を入力します。
CRL Attribute（LDAP のみ）－ CRL を含むオブジェクト上で LDAP 属性
（例 : CertificateRevocationList）を入力します。
Admin DN, Password（LDAP のみ）－ CDP サーバーが CRL の匿名検索を許
可していない場合は、CDP サーバーへの認証に必要な管理者 DN とパス
ワードを入力します。
Manually configured CDP －このオプションを選択すると、指定した CDP に
IVE がアクセスします。プライマリ CDP の URL を入力し、オプションでバック
アップ CDP の URL を入力します。LDAP サーバーの場合は、
ldap://Server/BaseDN?attribute?Scope?Filter という構文を使用します。Web
サーバーの場合は、CRL オブジェクトの完全パスを入力します。例：
http://domain.com/CertEnroll/CompanyName%20CA%20Server.crl
また、CDP サーバーが CRL の匿名検索を許可していない場合は、CDP サーバー
への認証に必要な管理者 DN とパスワードを入力します（LDAP のみ）。
メモ : ある方法で CDP をダウンロードしてから別の方法を選択すると、IVE は、前の方
法でダウンロードされた CDP を削除します。
156
Configuration ページの設定
5.
CRL Download Frequency フィールドで、IVE が CDP から CRL をダウンロードする
頻度を指定します。許容される範囲は 1 から 9999 時間です。
6.
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
7.
クライアントサイド証明書に加えて、CA 証明書の有効性を、前の手順で指定した
CRL でチェックしたい場合は、Trusted Client CA ページの Verify Trusted Client CA
を選択します。
メモ :

中間証明書を検証するときには、チェーン内の中間証明書の上位にあるすべての
CA 証明書に対して CRL が利用できるようにしておきます。CA 証明書を検証すると
きに、IVE はチェーン内の証明書の上位にあるすべての発行 CA も検証します。

このオプションを選択しても、CRL チェックを有効にしないと、IVE は、CA の発行
者の CDP に対して CA 証明書をチェックします。発行元に対して有効な CRL がない
場合は、ユーザー認証に失敗します。
8.
Save Changes をクリックします。IVE は、適当な場合、指定された方法で CRL をダ
ウンロードし、CRL チェックの詳細情報を表示します（次のセクションを参照）
。
9.
CDP から CRL を手動でダウンロードするには、Trusted Client CA ページの Update
Now をクリックします（オプション）。
ユーザー領域のクライアント証明書を有効にする
1.
Web コンソールで、System > Configuration > Certificates > Trusted Client CAs を
選択します。
2.
どの領域が証明書を使用してユーザーを認証するかを決め、Users>
Authentication > [ 領域 ] > Authentication Policy > Certificate タブの設定を使
用して、それらの領域に対して証明書を有効にします。
3.
ユーザーが認証、ロールアクセス、またはリソースポリシーアクセスを行う場合に
提示する必要がある X.509 識別名（DN）属性を指定します。あるいは、ユーザー領
域に加え、管理者領域に対しても証明書認証を有効にするよう、X.509 識別名（DN）
属性を指定します（オプション）。
Trusted Server CAs タブ
トラステッドサーバー CA 証明書を IVE へアップロード、トラステッドサーバー CA 証明
書の更新、証明書の削除、証明書の詳細の表示を行うには、Trusted Server CAs タブを使
用します。
トラステッドサーバー CA 証明書を IVE へアップロードする
System > Configuration > Certificates > Trusted Server CAs タブを使用して、トラス
テッド Web サイトの CA 証明書を IVE にインポートします。IVE は、X.509 CA 証明書を
PEM（ベース 64）および DER（バイナリ）エンコード形式でサポートしています。IVE
は、ユーザーがアントラステッド Web サイトにアクセスしようとした場合、どのように
対処するかを指定する必要があります。詳細については、401 ページの「証明書の制限」
を参照してください。
CA 証明書を IVE にアップロードするには、次の操作を行います。
1.
Web コンソールで、System > Configuration > Certificates > Trusted Server CAs を
選択します。
2.
Import Trusted Server CA をクリックします。
3.
IVE にアップロードしたい CA 証明書を参照し、Import Certificate をクリックし
ます。
Configuration ページの設定

157
Juniper Networks NetScreen Secure Access 700 管理ガイド
トラステッドサーバー CA 証明書の更新
任意のトラステッド Web サイトが証明書を更新する場合、更新された証明書を IVE にも
アップロードする必要があります。
更新された CA 証明書を IVE にインポートするには、次の操作を行います。
1.
Web コンソールで、System > Configuration > Certificates > Trusted Server CAs を
選択します。
2.
更新したい証明書に対応するリンクをクリックします。
3.
Renew Certificate をクリックします。
4.
IVE にアップロードする更新済み CA 証明書を参照し、Import Certificate をクリック
します。
トラステッドサーバー CA 証明書の削除
Internet Explorer 6 および Windows XP service pack 2 用に事前インストールされた証明書
を含め、IVE　にインストールされた任意のトラステッドサーバー CA 証明書を削除する
ことができます。
IVE からトラステッドサーバー CA 証明書を削除するには、次の操作を行います。
1.
Web コンソールで、System > Configuration > Certificates > Trusted Server CAs を
選択します。
2.
削除したい証明書の横にあるチェックボックスをオンにします。
3.
Delete をクリックして、証明書を削除してよいか確認します。
トラステッドサーバー CA 証明書の詳細を表示する
IVE にインストールされている各 CA 証明書に関して、さまざまな詳細情報を表示でき
ます。
トラステッドサーバー CA 証明書の詳細を表示するには、以下の操作を行います。
1.
Web コンソールで、System > Configuration > Certificates > Trusted Server CAs を
選択します。
2.
表示したい証明書をクリックします。
3.
Certificate で、以下のフィールド名の横にある矢印をクリックすると、証明書の詳細
が表示されます。

Issued To －証明書の発行対象エンティティの名前と属性。

158
Configuration ページの設定
Valid Dates －証明書が有効な期間。証明書が期限切れの場合は、149 ページの
「既存の秘密鍵を使用する更新された証明書をインポートする」の手順を参照し
てください。
Juniper Networks NetScreen Secure Access 700 管理ガイド

Details －バージョン、シリアル番号、署名アルゴリズム、CRL 配布点、公
開鍵アルゴリズムの種類、公開鍵など、証明書の各種詳細情報が記載されて
います。（IVE は、トラステッドサーバー CA 証明書の CRL チェックをサ
ポートしません。）
Code-Signing Certificates タブ
64 ページの「コード署名証明書」の説明にしたがって、System > Configuration >
Certificates > Code-Signing Certificates タブを使用し、ユーザーに対するコード署名証
明書をインポートします。
コード署名証明書のインポート
コード署名証明書をインポートするには、次の操作を行います。
1.
Web コンソールで、System > Configuration > Certificates > Code-Signing
Certificates を選択します。
2.
Applet Signing Certificates で、Import Certificates をクリックします。
3.
Import Certificates ページで、該当するコード署名証明書ファイルを参照し、パス
ワードキー情報を入力して、Import をクリックします。
4.
証明書を正常にインポートすると、Sign Juniper Web Controls With ダイアログペイ
ンが表示され、IVE の署名オプションを次のように指定できます。
5.

Default Juniper Certificate －デフォルトの Juniper Networks 証明書を使用して
IVE からの ActiveX と Java アプレットすべてに IVE が署名するよう指定するに
は、このオプションを選択します。インポートしたコード署名証明書を前に選択
していて、このオプションに戻す場合は、Save をクリックした後に、IVE が要求
を処理しており、関連するコードすべてに再署名していることを示すプロセス
アイコンが表示されます。このプロセスには数分かかる場合があります。

Imported Certificate － IVE が、ステップ 3 でインポートされた証明書を使用し
て、すべての ActiveX と Java アプレットに署名するよう指定するには、このオプ
ションを選択します。Save をクリックすると、IVE が要求を処理しており、関連
するコードすべてに再署名していることを示すプロセスアイコンが表示されま
す。このプロセスには数分かかる場合があります。
以下のタブの設定を使用して、アプレット証明書でどのリソースを署名または再署名
するかを指定します。

Resource Policies > Web > Java > Code Signing（293 ページの「Code Signing
タブ」を参照）

Resource Policies > Web > Java > Applets（294 ページの「アプレット」を
参照）
NCP タブ
Instant Virtual Extranet は、次の内部プロトコルを使用して、IVE サーバーとクライアント
アプリケーション間の通信を行います。

Network Communications Protocol (NCP) － IVE は、SSL を介した Network Connect
との通信に NCP を使用します。

Optimized NCP (oNCP) － Optimized NCP （oNCP）は、プロトコル効率、接続処理、
およびデータの圧縮性能を向上させることにより、NCP を介したクライアントアプ
リケーションのスループットを大幅に高めます。
Configuration ページの設定

159
Juniper Networks NetScreen Secure Access 700 管理ガイド
NCP オプションをリモートクライアント用に設定する
NCP オプションを設定するには、次の操作を行います。
1.
Web コンソールで、System > Configuration > NCP を選択します。
2.
NCP Auto-Select で、以下を選択します。

Auto-Select Enabled（推奨）－デフォルトで oNCP を使用します。このオプショ
ンを選択すると、IVE が、ほとんどのクライアント / サーバー通信で oNCP を使
用し、必要に応じて標準 NCP に切り替わります。ユーザーがサポートされてい
ないオペレーティングシステムまたはブラウザ、あるいはそれらの両方を実行
している場合、またはクライアントアプリケーションが何らかの理由（プロキ
シの存在、タイムアウト、切断など）で IVE との TCP 接続を直接開くことがで
きない場合には、IVE が NCP に戻します。

Auto-Select Disabled －常に標準 NCP を使用します。このオプションは、下位互
換性の確保を主な目的として提供されています。
メモ : Network Connect を使用してクライアントアクセスを提供する場合、Auto-select
Disabled オプションの使用時には注意が必要です。Mac および Linux のクライアントは
従来の NCP プロトコルを使用して接続することができないためです。oNCP/NCP 自動選
択機能を無効した場合、UDP-to-oNCP/NCP のフェールオーバーが発生すると、IVE は
UDP から NCP（oNCP ではない）にフェールオーバーするため、IVE は Macintosh と
Linux はクライアントとの接続を切断します。
3. （Java クライアントの場合）Read Connection Timeout で、Java クライアントのタイ
ムアウト間隔（15 ～ 120 秒）を設定します。クライアントサイドセキュアアクセス
方法で、IVE からデータが指定間隔で受信されない場合は、IVE との接続の再確立を
試みます。この値は、クライアントアプリケーションにおけるユーザーの無操作には
適用されません。
4. （Windows クライアントの場合）Idle Connection Timeout で、アイドル接続間隔を
設定します。このタイムアウト間隔により、クライアントサイド Windows セキュア
アクセス方法において、IVE がアイドル接続を維持する時間が決定されます。
5.
Save Changes をクリックします。
Client Types タブ
Client Types タブを使用して、ユーザーがサインインする元のシステムの種類、およ
び IVE ユーザーがサインインするときに IVE が表示する HTML ページの種類を指定で
きます。
ユーザーエージェントの管理
ユーザーエージェントを管理するには、次の操作を行います。
160
Configuration ページの設定
1.
Web コンソールで、System > Configuration > Client Types を選択します。
2.
サポートするオペレーティングシステムに対応するユーザーエージェント文字列を
入力します。必要に応じて、一般的あるいは具体的に指定にすることができます。た
とえば、IVE のデフォルト設定である *DoCoMo* をすべての DoCoMo オペレーティ
ングシステムに適用したり、DoCoMo/1.0/P502i/c10 などの文字列を作成して、1 種
類の DoCoMo オペレーティングシステムに適用することができます。文字列に、ワ
イルドカード文字 “*” と “?” を使用できます。IVE では、ユーザーエージェント文字
列において大文字と小文字が区別されないので、注意してしてください。
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
前の手順で指定したオペレーティングシステムからサインインしたユーザーに対
して、IVE が表示する HTML の種類を指定します。オプションには以下のものが
あります。

Standard HTML － IVE は、表、最大サイズのグラフィック、ActiveX コン
ポーネント、JavaScript、Java、フレーム、Cookie など、すべての標準 HTML
機能を表示します。Firefox、Mozilla、Internet Explorer など、標準的なブラウ
ザに最適です。

Compact HTML (imode) － IVE は小画面の HTML と互換性があるページを表示し
ます。このモードでは、Cookie がサポートされません。さらに、表やグラフィッ
クス、ActiveX コンポーネント、JavaScript、Java、VB スクリプト、フレームのレ
ンダリングがサポートされません。（このオプションと Smart Phone HTML
Basic オプションの唯一の違いは、ユーザーインターフェースです。）iMode ブ
ラウザに最適です。

Mobile HTML (Pocket PC) － IVE は、表、小さなグラフィック、JavaScript、フ
レーム、および Cookie が含まれる小画面の HTML と互換性のあるページを表示
しますが、このモードでは Java アプレットや ActiveX コンポーネントのレンダリ
ングがサポートされません。Pocket PC のブラウザに最適です。

Smart Phone HTML Advanced － IVE は、表、小さなグラフィック、JavaScript、
フレーム、Cookie、および一部の JavaScript が含まれる小画面の HTML と互換性
のあるページを表示しますが、このモードでは Java アプレット、ActiveX コン
ポーネント、VB スクリプトのレンダリングがサポートされません。Treo および
Blazer ブラウザに最適です。

Smart Phone HTML Basic － IVE は小画面の HTML と互換性があるページを表示
します。このモードでは、Cookie がサポートされません。さらに、表やグラ
フィックス、ActiveX コンポーネント、JavaScript、Java、VB スクリプト、フレー
ムのレンダリングがサポートされません。（このオプションと Compact HTML
オプションの唯一の違いは、ユーザーインターフェースです。）Symbian での
Opera ブラウザに最適です。
メモ : IVE は、セッション ID を URL に含めるのに、Cookie を使用せず、ハイパーリン
クを書き換えます。
4.
IVE がユーザーエージェントを評価する順序を指定します。IVE は、リストで最初に
ユーザーのシステムに一致する規則を適用します。たとえば、以下のユーザーエー
ジェント文字列 /HTML タイプマッピングを、次のような順序で作成できます。
a.
ユーザーエージェント文字列：*DoCoMo* マッピング先：Compact HTML
b.
ユーザーエージェント文字列：DoCoMo/1.0/P502i/c10 マッピング先：
Mobile HTML
ユーザーが、2 行目で指定されているオペレーティングシステムからサインインす
ると、より強固なモバイル HTML ではなく、コンパクトな HTML ページが表示され
ます。これは、そのユーザーのユーザーエージェント文字列が、リスト内の最初の
項目と一致するからです。
リスト内のマッピングを並び替えるには、項目の横のチェックボックスをオンにし、
上下矢印を使用して、リスト内の正しい場所に移動させます。
Configuration ページの設定

161
Juniper Networks NetScreen Secure Access 700 管理ガイド
162
Configuration ページの設定
5.
コンパクト HTML を使用する iMode などのデバイスで入力されたパスワードをマス
クするには、Enable password masking for Compact HTML チェックボックスをオン
にします（このチェックボックスをオンにするかどうかに関係なく、コンパクト
HTML マスクパスワードを使用しないデバイス）。iMode デバイスは、標準パスワー
ドフィールドに数字データだけを許可しているため、iMode ユーザーのパスワード
に数字以外の文字が含まれている場合は、パスワードマスクを無効にする必要があ
ります。マスクを無効にしても、パスワードは安全に送信されますが、ユーザーの画
面上で非表示になりません。
6.
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Network ページの設定
Network ページには、以下のタブがあります。

163 ページの「Overview タブ」－一般的なネットワーク設定を行うには、このタブ
の設定を使用します。

164 ページの「Internal Port タブ」－内部ポート用のネットワーク設定の修正、静的
ルートの指定、静的エントリの追加を行うには、これらのタブの設定を使用します。

165 ページの「External Port タブ」－外部ポート用のネットワーク設定の修正、静的
ルートの指定、静的エントリの追加を行うには、これらのタブの設定を使用します。

166 ページの「Routes タブ」－静的ルートを指定するには、このタブの設定を使用
します。

166 ページの「Hosts タブ」－ IVE がローカルに解決するためにホスト名を指定する
には、このタブの設定を使用します。

166 ページの「Network Connect タブ」－ Network Connect インストーラのダウン
ロード、Network Connect IP プールに適用する IP フィルタの指定、Network Connect
サーバー IP アドレスの指定を行うには、このタブの設定を使用します。
Overview タブ
107 ページの「一般的なネットワーク設定を指定する」で説明されているように、一般的
なネットワーク設定を行うにはこのタブの設定を使用します。Status エリアには、以下の
項目の読み込み専用のステータスが表示されます。

Internal Port －内部ポートのステータスと速度。

External Port －外部ポートが使用されている場合、そのステータスと速度。
一般的なネットワーク構成の設定
一般的なネットワーク構成を設定するには、次の操作を行います。
1.
Web コンソールで、System > Network > Overview を選択します。
2.
Network Identity で、IVE の完全修飾ホスト名を入力します。
メモ : このフィールドで入力するホスト名は、30 文字を超えることはできません。
3.
DNS Name Resolution セクションでは、IVE アプライアンスごとに、プライマリ DNS
アドレス、セカンダリ DNS アドレス、およびデフォルト DNS ドメイン名を更新しま
す。
これらのフィールドには、カンマ区切りのリスト形式で DNS ドメインを入力できま
す。この場合、ドメインはリストに表示された順に検索されます。
4.
Windows Networking で次の操作を行います。

ワークステーションの名前と場所を IP アドレス（該当する場合）に関連付けて
いる、ローカルまたはリモートの Windows Internet Naming Service（WINS）
サーバーについて、名前または IP アドレスを入力します。
Network ページの設定

163
Juniper Networks NetScreen Secure Access 700 管理ガイド

IVE ドメインの中で、NETBIOS の呼び出しに応答し、ワークステーションの名前
と場所を IP アドレス ( 該当する場合 ) に関連付けている WINS サーバー、ドメイ
ンコントローラ、または他のサーバーを選択するには、Master Browser(s) をク
リックします。次に、Windows Networking > Specify Master Browser ページを
通じてマスターブラウザを追加します。
5.
IVE で Windows 共有フォルダを検索できるようにするには、Enable network
discovery チェックボックスをオンにします。
6.
Save Changes をクリックします。
Internal Port タブ
内部ポートのネットワーク設定を変更するには、以下の Internal Port サブタブを使用し
ます。

164 ページの「Settings タブ」

164 ページの「ARP Cache タブ」
メモ : このページのほとんどのフィールドには、IVE のインストール時に指定した値が
事前に読み込まれています。
Settings タブ
内部ポート（LAN インターフェース）のネットワーク設定を変更するには、次の操作を
実行します。
1.
Web コンソールで、System > Network > Internal Port > Settings を選択します。
2.
Port Information セクションで、個々の IVE アプライアンスごとに IP アドレス、
ネットマスク、デフォルトゲートウェイ設定を更新します。デフォルトでは、これら
のフィールドには、IVE の設定時に指定した値が事前に入力されています。
3.
Link Speed フィールドでは、内部ポートに使用する速度と二重通信の組み合わせを
指定します。
4.
ARP Ping Timeout フィールドで、タイムアウトするまでに Address Resolution
Protocol（ARP）要求に対する応答を IVE が待つ時間を指定します。
5.
MTU フィールドに、IVE の内部インターフェースの最大送信単位を指定します。
メモ : トラブルシューティングのために設定を変更する必要がある場合を除き、デフォ
ルトの MTU 設定（1500）を使用します。
6.
Save Changes をクリックします。
ARP Cache タブ
静的エントリの追加
静的エントリを追加するには、次の操作を行います。
1.
164
Network ページの設定
Web コンソールで、System > Network > Internal Port > ARP Cache を選択します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
2.
表の上部にある IP Address フィールドと Physical Address フィールドに、IP アドレ
スと物理アドレスをそれぞれ入力します。
メモ : 既存の IP アドレスが含まれるエントリを追加すると、既存のエントリが新しい
エントリで上書きされます。また、MAC アドレスの有効性は検証されないので注意して
ください。
3.
Add をクリックします。
External Port タブ
外部ポートのネットワーク設定を変更するには、以下の External Port サブタブを使用し
ます。

165 ページの「Settings タブ」

165 ページの「ARP Cache タブ」
Settings タブ
外部ポート（DMZ インターフェース）の有効化
外部ポートを有効にするには、次の操作を実行します。
1.
Web コンソールで、System > Network > External Port > Settings を選択します。
2.
Use External Port で Enable を選択します。
3.
Port Information セクションで、IVE の外部ポートの IP アドレス、ネットマスク、
デフォルトゲートウェイ情報を入力します。通常は、Internal Port > Settings ページ
の設定をそのまま使用し、内部ポート情報をローカル IP アドレス、ネットマスク、
およびゲートウェイ情報に変更します。
4.
Link Speed フィールドでは、外部ポートに使用する速度と二重通信の組み合わせを
指定します。
5.
ARP Ping Timeout フィールドで、タイムアウトするまでに Address Resolution
Protocol（ARP）要求に対する応答を IVE が待つ時間を指定します。
6.
MTU フィールドに、IVE の外部インターフェースの最大送信単位を指定します。
メモ : トラブルシューティングのために設定を変更する必要がある場合を除き、デフォ
ルトの MTU 設定（1500）を使用します。
7.
Save Changes をクリックします。
ARP Cache タブ
静的エントリの追加
静的エントリを追加するには、次の操作を行います。
1.
Web コンソールで、System > Network > External Port > ARP Cache を選択し
ます。
Network ページの設定

165
Juniper Networks NetScreen Secure Access 700 管理ガイド
2.
表の上部にある IP Address フィールドと Physical Address フィールドに、IP アドレ
スと物理アドレスをそれぞれ入力します。
メモ : 既存の IP アドレスが含まれるエントリを追加すると、既存のエントリが新しい
エントリで上書きされます。また、MAC アドレスの有効性は検証されないので注意して
ください。
3.
Add をクリックします。
Routes タブ
ネットワークトラフィックの静的ルートを指定する
静的ルートを指定するには、次の操作を行います。
1.
Web コンソールで、System > Network > Routes を選択します。
2.
宛先ルートテーブルを View route table for: ドロップダウンメニューから選択しま
す。
3.
New Route をクリックします。
4.
必要な情報を入力します。
5.
Add to [ 宛先 ] route table をクリックします。
宛先ルートテーブルが、内部ポートあるいは外部ポートで使用できる場合があります。
Hosts タブ
IVE によってローカルに解決されるホスト名を指定する
IVE によってローカルに解決されるホスト名を指定するには、次の操作を行います。
1.
Web コンソールで、System > Network > Hosts タブを選択します。
2.
IP アドレス、IP アドレスに解決されるホスト名のカンマ区切りのリスト、および
200 語以下のコメント（オプション）を入力して、Add をクリックします。
Network Connect タブ
Network Connect IP プールに適用する IVE の IP フィルタを指定するには、Network
Connect タブを使用します。詳細については、83 ページの「Network Connect の概要」を
参照してください。
Network Connect インストーラのダウンロード
Network Connect アプリケーションを Windows の実行可能ファイルとしてダウンロード
するには、Maintenance > System > Installers を選択します。詳細については、336
ページの「アプリケーションまたはサービスをダウンロードする」を参照してください。
Network Connect IP プールに適用する IP フィルタを指定する
Network Connect フィルタリストに IP アドレスを追加するには、次の操作を行います。
1.
166
Network ページの設定
Web コンソールで、System > Network > Network Connect を選択します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
2.
IP アドレスとネットマスクの組み合わせを指定して、Add をクリックします。この
ページで指定したフィルタが、ユーザーの要求に対応する Network Connect IP プー
ルのリソースポリシーに適用されます。
Network Connect サーバー IP アドレスの指定
サーバーサイドの Network Connect プロセスは、サーバー IP アドレスを使用して、企業
リソースと通信します。このフィールドは、事前ロードされていますが、アドレスが NC
Connection Profile として指定された IP アドレスプールに含まれないものである限り、そ
のアドレスに変更することができます（322 ページの「Network Connect 接続プロファイ
ルの作成」を参照）。
Network ページの設定

167
Juniper Networks NetScreen Secure Access 700 管理ガイド
Log Monitoring ページの設定
Log Monitoring ページには、次のタブがあります。

168 ページの「Events、User Access、Admin Access、および NC Packet タブ」－ログ
ファイルの保存や、ログファイルに保存するイベントの指定を行う場合に、これら
のタブを使用します。

170 ページの「SNMP タブ」－ SNMP エージェントとしての IVE を監視するには、こ
のタブを使用します。

176 ページの「Statistics タブ」－システムの統計情報を表示するには、このタブを使
用します。

176 ページの「Client-Side Log タブ」－ Host Checker、Cache Cleaner および Network
Connect 機能について、クライアントサイドログを有効にするには、このタブを使
用します。
IVE ログおよび監視機能については、110 ページの「ログと監視の概要」を参照してくだ
さい。
Events、User Access、Admin Access、および NC Packet タブ
System > Log/Monitoring > Events ページ、User Access ページ、Admin Access ページ、
NC Packet ページを使用して、ログファイルの保存、動的ログクエリーの作成、ログ
ファイルに保存するイベントの指定、カスタムのフィルタとフォーマットの作成を実行し
ます。
Events Log、User Access Log、Admin Access Log、NC Packet Log の各ページには、次の
タブがあります。

168 ページの「Log タブ」

169 ページの「Settings タブ」
メモ : イベントログ、ユーザーアクセスログ、および管理者アクセスログは、3 つの
異なるファイルです。基本的な設定手順は同じですが、1 つのファイルの設定を変更し
ても、他のファイルの設定は変更されません。各ファイルの内容については、110 ペー
ジの「ログと監視の概要」を参照してください。
Log タブ
ログファイルの保存、表示、またはクリア
イベントログファイルを保存、表示、またはクリアするには、次の操作を行います。
168
Log Monitoring ページの設定
1.
Web コンソールで、System > Log/Monitoring を選択します。
2.
Events Log、User Access Log、Admin Access Log、または NC Packet Log タブをク
リックし、Log をクリックします。
3.
IVE が一度に表示するログエントリの数を変更する場合は、Show フィールドに数値
を入力して、Update をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
4.
ログファイルを手動で保存するには、Save Log As をクリックし、目的のネットワー
クディレクトリに移動して、ファイル名を入力し、Save をクリックします。
メモ : 4 つのログファイル Events Log、User Access Log、Admin Access Log、NC
Packet Log をすべて保存するには Save All Logs をクリックします。IVE が圧縮したログ
ファイルを保存する場所を指定するよう、要求します。Save All Logs ボタンには、4 つ
のログタブのいずれからもアクセスすることが可能です。
5.
ローカルログと log.old ファイルをクリアするには、Clear Log をクリックします。
メモ : ローカルログをクリアしても、syslog サーバーによって記録されたイベントには
影響はありません。以降のイベントは新しいローカルログファイルに記録されます。
Settings タブ
ログファイルに保存するイベントの指定
Settings タブのオプションを使用して、IVE によってログファイルに書き込まれるデー
タ、ログファイルを格納するのに使用する syslog サーバー、および最大ファイルサイズ
を指定します。
メモ : Archiving ページを使用して、FTP でアクセス可能な場所にログを自動的に保存
することもできます。詳細については、349 ページの「Archiving ページの設定」を参照
してください。
イベントログ設定を指定するには、次の操作を行います。
1.
Web コンソールで、System > Log/Monitoring を選択します。
2.
Events Log、User Access Log、Admin Access Log、または NC Packet Log タブをク
リックし、Settings をクリックします。
3.
Maxium Log Size リストから、ローカルログファイルの最大ファイルサイズを指
定します（上限は 500MB）。システムログには、指定した最大量のデータが表示さ
れます。
4.
Select Events to Log で、ローカルログファイルに取り込むイベントの種類をチェッ
クボックスで選択します。
メモ : Events Log タブで Statistics チェックボックスを無効にした場合、IVE は統計情報
をログファイルには書き込みませんが、引き続き System > Log/Monitoring >
Statistics タブに表示します。詳細については、176 ページの「Statistics タブ」を参照し
てください。
メモ : Settings タブの Select Events to Log 部分は NC Packet ページには適用されませ
ん。これは、Network Connect パケットのロギングが、管理目的のロギングではなく、
クライアントサイドのパケットアクティビティに重点を置いたロギングのためです。
Log Monitoring ページの設定

169
Juniper Networks NetScreen Secure Access 700 管理ガイド
5.
Syslog Servers で、ログファイルを格納する syslog サーバーの情報を入力します（オ
プション）。
a.
syslog サーバーの名前または IP アドレスを入力します。
b.
サーバーのファシリティを入力します。IVE には、8 つのファシリティ（LOCAL0
～ LOCAL7）が用意されています。これらのファシリティは、syslog サーバー上
のファシリティにマッピングできます。
c.
Add をクリックします。
d.
必要に応じて、異なるフォーマットやフィルタを使用して、他のサーバーについ
て上記の操作を繰り返します。
メモ : syslog サーバーが次のような設定でメッセージを受け入れるようになっているこ
とを確認してください。facility = LOG_USER および level = LOG_INFO。
6.
Save Changes をクリックします。
SNMP タブ
SNMP エージェントとしての IVE の監視
HP OpenView などのネットワーク管理ツールを使用して、SNMP エージェントとして IVE
を監視するには、このタブを使用します。IVE は、SNMP（Simple Network Management
Protocol）v2 をサポートし、プライベート MIB（管理情報ベース）を実装して、独自のト
ラップを定義します。ネットワーク管理ステーションでこれらのトラップを処理できるよ
うにするには、Juniper Networks MIB ファイルをダウンロードし、トラップを受信するた
めの適切な情報を指定する必要があります。
メモ :

CPU の使用状況など、IVE に関する重要なシステム統計情報を監視するには、UCDavis MIB ファイルを SNMP 管理アプリケーションにロードします。MIB ファイル
は、次の URL からダウンロードできます。
http://net-snmp.sourceforge.net/docs/mibs/UCD-SNMP-MIB.txt

IVE は、システムアップタイムオブジェクトを含む、標準 MIB オブジェクトをサ
ポートします。
SNMP 設定を指定するには、次の操作を行います。
1.
Web コンソールで、System > Log/Monitoring > SNMP を選択します。
2.
Juniper Networks MIB file リンクをクリックして MIB ファイルにアクセスし、ブラウ
ザからネットワークにファイルを保存します。MIB ファイルの Get オブジェクトと
Trap オブジェクトの説明は、172 ページの「構成オブジェクト」および 174 ページの
「ステータス / エラーオブジェクト」を参照してください。
3.
Agent Properties で以下のフィールドに情報を入力して、Save Changes をクリック
します。

170
Log Monitoring ページの設定
System Name、System Location、および System Contact の各フィールドに、
IVE エージェントに関する情報を入力します（オプション）
。
Juniper Networks NetScreen Secure Access 700 管理ガイド

Community フィールドに文字列を入力します（必須）。
メモ : IVE を照会するには、ネットワーク管理ステーションからこの文字列を IVE に送
信する必要があります。
メモ : SNMP システムを停止するには、Community フィールドをクリアします。
4.
Trap Thresholds で、次のトラップに値を設定します（オプション）。

Check Frequency

Log Capacity

Users

Memory

Swap Memory

Disk

Meeting Users

CPU
トラップの閾値については、172 ページの「構成オブジェクト」および 174 ページの
「ステータス / エラーオブジェクト」を参照してください。
5.
Optional traps で、次のいずれか、あるいは両方のオプションを選択します。

Critical Log Events

Major Log Events
これらのイベントタイプについての詳細は、110 ページの「ログと監視の概要」を参
照してください。
6.
SNMP Servers で以下のフィールドに情報を入力し、IVE が生成するトラップの送信先
となるサーバーを指定して、Add をクリックします。

サーバーのホスト名または IP アドレス

サーバーがリスンするポート ( 通常はポート 162）

ネットワーク管理ステーションで必要なコミュニティ文字列（該当する場合）
7.
Save Changes をクリックします。
8.
ネットワーク管理ステーションで、次の操作を行います。
a.
Juniper Networks MIB ファイルをダウンロードします。
b.
IVE の照会時に必要なコミュニティ文字列を指定します（ステップ 3 を参照）
。
c.
IVE トラップを受信するようにネットワーク管理ソフトウェアを設定します。
Log Monitoring ページの設定

171
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 4: 構成オブジェクト
オブジェクト
説明
logFullPercent
利用可能なファイルサイズのうち現在のログが使用し
ている割合を logNearlyFull トラップのパラメータとして
返します。
signedInWebUsers
Web ブラウザで IVE にサインインしているユーザー数
を返します。
signedInMailUsers
E メールクライアントにサインインしているユーザー
数を返します。
blockedIP
iveToomanyFailedLoginAttempts トラップによって送信さ
れた（ログインに連続失敗したためにブロックされた）
IP アドレスを返します。システムは、ブロックされた
IP アドレスを blockedIPList テーブルに追加します。
authServerName
externalAuthServerUnreachable トラップによって送信さ
れた外部認証サーバーの名前を返します。
ProductName
ライセンス登録している IVE 製品の名前を返します。
ProductVersion
IVE システムソフトウェアのバージョンを返します。
fileName
archiveFileTransferFailed トラップによって送信された
ファイル名を返します。
172
Log Monitoring ページの設定
meetingUserCount
meetingUserLimit トラップによって送信された同時ミー
ティングユーザーの数を返します。
iveCpuUtil
2 つの SNMP ポールの間に発生した CPU 使用率を返し
ます。この値は、CPU 使用量を現在および以前の SNMP
ポール間に利用可能な CPU 容量で割った値です。以前
のポールがない場合は、現在のポールとシステムブー
トの間隔に基づいて計算されます。
iveMemoryUtil
SNMP ポール時の IVE によって使用されたメモリーの
使用率を返します。システムはこの値を、使用されたメ
モリーページの数を使用可能なメモリーページの数で
除算して求めます。
iveConcurrentUsers
IVE ノードにログインしたユーザーの合計数を返し
ます。
clusterConcurrentUsers
クラスタにログインしたユーザーの合計数を返します。
iveTotalHits
最後にリブートしてから IVE にヒットした合計数を返
します。
iveFileHits
前回の再起動からの IVE へのファイルヒットの合計数
を返します。
iveWebHits
前回の再起動からの Web インターフェースを経由した
ヒットの合計数を返します。
iveAppletHits
前回の再起動からの IVE へのアプレットヒットの合計
数を返します。
ivetermHits
前回の再起動からの IVE へのターミナルヒットの合計
数を返します。
iveSAMHits
前回の再起動からの IVE への Secure Application
Manager ヒットの合計数を返します。
iveNCHits
前回の再起動からの IVE への Network Connect ヒット
の合計数を返します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 4: 構成オブジェクト ( 続き )
オブジェクト
説明
meetingHits
前回の再起動からの IVE へのミーティングヒットの合
計数を返します。
meetingCount
meetingLimit トラップによって送信された同時ミーティ
ングの数を返します。
logName
logNearlyFull および iveLogFull トラップのログ
（admin/user/event）の名前を返します。
iveSwapUtil
SNMP ポール時の IVE によって使用されたスワップメ
モリーページの使用率を返します。この値は、スワッ
プメモリーページの数を使用可能なスワップメモリー
ページの数で割った値です。
diskFullPercent
iveDiskNearlyFull トラップの IVE で使用されたディスク
容量の使用率を返します。この値は、使用したディスク
容量ブロック数を、ディスク容量ブロックの合計数で
割った値です。
blockedIPList
最近ブロックされた IP アドレス 10 個を含んだテーブ
ルを返します。blockedIP MIB は、ブロックされた IP ア
ドレスをこのテーブルに追加します。
ipEntry
ブロックされた IP アドレスとそのインデックスを含む
blockedListIP テーブルのエントリ（IPEntry を参照）
。
IPEntry
ipIndex
ipValue
blockedIPList テーブルのエントリのインデックス
。
（ipIndex）および IP アドレス（ipValue）
blockedIPList テーブルのインデックスを返します。
blockedIPList テーブルのブロックされた IP アドレスの
エントリ。
logID
logMessageTrap トラップによって送信されたログメッ
セージの固有 ID を返します。
logType
logMessageTrap トラップによって送信された文字列に、
ログメッセージがメジャーかクリティカルなものかを
記述して返します。
logDescription
logMessageTrap トラップによって送信された文字列に、
ログメッセージがメジャーかクリティカルなものかを
記述して返します。
ivsName
仮想システムの名前を返します。
ocspResponderURL
OCSP システムのレスポンダ名を返します。
fanDescription
IVE のファンの状態を返します。
psDescription
IVE の電源の状態を返します。
raidDescription
IVE RAID デバイスの状態を返します。
Log Monitoring ページの設定

173
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 5: ステータス / エラーオブジェクト
オブジェクト
説明
iveLogNearlyFull
logName パラメータによって指定されたログファイル
（システム、ユーザーアクセス、または管理者アクセ
ス）は、ほぼ 100 % 使用されています。このトラップ
が送信されると、logFullPercent（ログファイルの使用
率 %）パラメータも送信されます。任意のパーセント
でこのトラップが送信されるよう、設定できます。ト
ラップを無効にするには、iveLogNearlyFull を 0% に設
定します。トラップのデフォルト値は 90% です。
iveLogFull
logName パラメータによって指定されたログファイル
（システム、ユーザーアクセス、または管理者アクセ
ス）は 100% 使用されています。
iveMaxConcurrentUsersSignedIn
最大ユーザー数または許可された数の同時ユーザーが、
現在サインインしています。任意のパーセントでこのト
ラップが送信されるよう、設定できます。トラップを無
効にするには、iveMaxConcurrentUsersSignedIn を 0% に
設定します。トラップのデフォルト値は 100% です。
iveTooManyFailedLoginAttempts
特定の IP アドレスを持つユーザーが何度もサインイン
に失敗しています。ユーザーが認証に失敗すると、
Security Options タブの Lockout options の設定に従っ
て、トリガーされます。（146 ページの「Lockout オプ
ションの設定」を参照してください。）
システムがこのトラップをトリガーする場合、
blockedIP（ログインを試行している送信元の IP）パラ
メータもトリガーします。
externalAuthServerUnreachable
外部認証サーバーが認証要求に応答していません。
システムがこのトラップを送信する場合、
authServerName（ログファイルの使用率 %）
（アクセ
ス不能なサーバーの名前）パラメータも送信します。
174
Log Monitoring ページの設定
iveStart
IVE が起動されました。
iveShutdown
IVE がシャットダウンされました。
iveReboot
IVE が再起動されました。
archiveServerUnreachable
IVE が設定された FTP アーカイブサーバーまたは SCP
アーカイブサーバーにアクセスできません。
archiveServerLoginFailed
IVE が設定された FTP アーカイブサーバーまたは SCP
アーカイブサーバーにログインできません。
archiveFileTransferFailed
IVE が設定された FTP アーカイブサーバーまたは SCP
アーカイブサーバーに正常にアーカイブファイルを転
送できません。システムがこのトラップを送信するとき
は、fileName パラメータも送信します。
meetingUserLimit
ユーザー数がライセンスの制限を越えている旨の通知
を送ります。システムがこのトラップを送信するとき
は、meetingUserCount パラメータも送信します。
iveRestart
管理者の指示に従って IVE が再起動した旨の通知を送
ります。
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 5: ステータス / エラーオブジェクト ( 続き )
オブジェクト
説明
meetingLimit
同時ミーティング数がライセンスの制限を越えてい
る旨の通知を送ります。システムがこのトラップを送
信するときは、meetingCount パラメータも送信しま
す。任意のパーセントでこのトラップが送信されるよ
う、設定できます。トラップを無効にするには、
meetingLimit を 0% に設定します。トラップのデフォ
ルト値は 100% です。
iveDiskNearlyFull
IVE のディスクドライブ容量のほとんどが使用されて
いる旨の通知を送ります。システムがこのトラップを送
信するときは、diskFullPercent パラメータも送信しま
す。任意のパーセントでこのトラップが送信されるよ
う、設定できます。トラップを無効にするには、
iveDiskNearlyFull を 0% に設定します。このトラップの
デフォルト値は 80% です。
iveDiskFull
IVE のディスクドライブ容量のほとんどが使用されて
いる旨の通知を送ります。
logMessageTrap
ログメッセージから生成したトラップシステムがこの
トラップを送信するときは、logID、logType、および
logDescription パラメータも送信します。
memUtilNotify
システムが設定されたメモリー使用率のしきい値に達
した旨の通知を送ります。トラップを無効にするには、
memUtilNotify を 0 に設定します。デフォルトのしきい値
は 0% です。
cpuUtilNotify
システムが設定された CPU 使用率のしきい値に達した
旨の通知を送ります。トラップを無効にするには、
cpuUtilNotify を 0 に設定します。デフォルトのしきい値
は 0% です。
swapUtilNotify
システムが設定されたスワップファイルメモリー使用
率のしきい値に達した旨の通知を送ります。トラップを
無効にするには、swapUtilNotify を 0 に設定します。デ
フォルトのしきい値は 0% です。
iveMaxConcurrentUsersVirtualSystem
仮想システムに許可される最大数の同時ユーザーが IVS
にサインインしている旨の通知を送ります。
ocspResponderUnreachable
OCSP レスポンダが応答していない旨の通知を送り
ます。
iveFanNotify
ファンの状態が変更した旨の通知が送信されました。
ivePowerSupplyNotify
電源の状態が変更した旨の通知を送ります。
iveRaidNotify
RAID デバイスの状態が変更した旨の通知を送ります。
Log Monitoring ページの設定

175
Juniper Networks NetScreen Secure Access 700 管理ガイド
Statistics タブ
システム統計情報の表示
Statistics ページには、過去 7 日間にサインインしたユーザーの数が表示されます。この
情報は、1 週間に 1 度システムログに書き込まれます。IVE をアップグレードすると、す
べての統計情報がクリアされます。1 時間ごとに統計情報を記録するようシステムを設定
した場合、アップグレード後も以前の統計情報をログファイルから呼び出すことができ
ます。
システム統計を表示するには、次の操作を行います。
1.
Web コンソールで、System > Log/Monitoring > Statistics を選択します。
2.
すべてのデータを表示するには、ページをスクロールしてください。
Client-Side Log タブ
Host Checker、Cache Cleaner、Network Connect 機能について、クライアントサイドのロ
ギングを有効にするには、System > Log/Monitoring > Client-side Log タブを使用しま
す。ある機能に対してこのオプションを有効にすると、IVE はその機能を使用するクライ
アントにクライアントサイドログを作成します。IVE は、以降のユーザーセッションで機
能が呼び出されるたびに、ログファイルに記述します。この機能は、サポートチームと
協力して各機能の問題をデバッグするときに有用です。
メモ :

これらの設定はグローバルなので、IVE は、クライアントサイドロギングを有効に
した機能を使用するすべてのクライアントに、ログファイルを作成します。また、
IVE は、クライアントサイドログを削除しません。ユーザーは、クライアントから
ログファイルを手動で削除する必要があります。IVE がログファイルをインストー
ルする場所については、387 ページの「クライアントサイドのアプリケーション
インストール」を参照してください。
Network Connect ユーザーがクライアントサイドのロギングをオフにする場合
（以下の手順で IVE のロギングを有効にした場合でも）、クライアントは新しいク
ライアントサイドのログ情報を記録することはありません。ユーザーがロギング
機能をオンにし、その後 IVE がクライアントサイドのロギングを無効にするよう
に設定されている場合、クライアントは新しいクライアントサイドのログ情報を
記録しません。
クライアントサイドロギング設定の指定
グローバルなクライアントサイドロギングの設定を指定するには、次の操作を行います。
1.
Web コンソールで、System > Log/Monitoring > Client-side Log を選択します。
2.
IVE にクライアントサイドログを作成させたい機能を選択します。
3.
これらの設定をグローバルに保存するには、Save Changes をクリックします。
メモ : 新しいシステムでは、すべてのオプションがデフォルトで無効になっています。
176
Log Monitoring ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
Log Monitoring ページの設定

177
Juniper Networks NetScreen Secure Access 700 管理ガイド
178
Log Monitoring ページの設定
第7章
Signing In 設定
Web コンソールの Signing In セクションの設定を使用して、サインインポリシーおよび
ページの設定、エンドポイント検証オプションの設定、認証サーバーのセットアップを行
うことができます。
目次

181 ページの「Sign-in ページの設定」

184 ページの「End Point ページの設定」

204 ページの「AAA Servers ページの設定」
第 7 章 : Signing In 設定

179
Juniper Networks NetScreen Secure Access 700 管理ガイド
180
第 7 章 : Signing In 設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
Sign-in ページの設定
Sign-in ページには、次のタブがあります。

181 ページの「Sign-in Policies タブ」－サインインポリシーを作成、設定するには、
このタブを使用します。

182 ページの「Sign-in Pages タブ」－標準サインインページを作成または変更する
には、このタブを使用します。
Sign-in Policies タブ
サインインポリシーを作成、設定するには、このタブを使用します。サインインポリ
シーでは、50 ページの「サインインポリシーの概要」の説明のように、ユーザーおよび
管理者が IVE にアクセスする際に使用する URL を定義します。
管理者およびユーザーのサインインポリシーを設定する
管理者およびユーザーのサインインポリシーを設定するには、次の操作を行います。
1.
Web コンソールで、Signing In > Sign-in > Sign-in Policies を選択します。
2.
Administrator URLs または User URLs 列の URL をクリックします。
3.
このポリシーに関連付けられた URL を変更します（オプション）
。
4.
ポリシーの Description を入力します（オプション）。
5.
Sign-in Page を選択します。IVE に付属のデフォルトのページか、標準サインイン
ページに変更を加えたページを選択することができます。詳細については、182 ペー
ジの「Sign-in Pages タブ」を参照してください。
6.
Authentication realm で、ポリシーにマッピングする領域を指定し、ユーザーと管理
者が領域から選択する方法を指定します。以下の選択肢があります。

User types the realm name －サインインポリシーはすべての認証領域にマッピ
ングされますが、IVE は、ユーザーまたは管理者が選択可能な領域のリストを提
供しません。そのためユーザーまたは管理者は、領域の名前を手動でサインイン
ページに入力する必要があります。

User picks from a list of authentication realms － IVE は選択された認証領域にの
みサインインポリシーをマッピングします。IVE は、ユーザーまたは管理者が
IVE にサインインするときに、この領域のリストを提示し、ユーザーまたは管理
者はこのリストから領域を選択することができます。（URL が 1 つの領域だけに
マッピングされている場合には、IVE が認証領域のドロップダウンリストを表示
ので注意してください。指定された領域が、自動的に使用されます。）
メモ : ユーザーが複数の領域から選択できるよう設定し、それらの領域の 1 つが匿名の
認証サーバーを使用している場合は、IVE はドロップダウン領域リストでその領域を表
示しません。サインインポリシーを匿名領域に有効にマッピングするには、
Authentication realm リストにその領域だけを加える必要があります。
7.
Save Changes をクリックします。
Sign-in Policies タブ

181
Juniper Networks NetScreen Secure Access 700 管理ガイド
メモ : ユーザーがサインインを試みたときに、同じログイン資格情報を持つ別のユー
ザーセッションがアクティブである場合、IVE は既存のセッションの IP アドレスを含
む警告を、2 つのボタン Continue と Cancel とともに表示します。Cancel ボタンをク
リックすると、現在のサインインプロセスを終了して、Sign-in ページにリダイレクト
されます。Continue ボタンをクリックすると、IVE は新しいユーザーセッションを作成
し、既存のセッションを終了します。
サインインポリシーの有効化と無効化
サインインポリシーの有効あるいは無効にするには、次の操作を行います。
1.
Web コンソールで、Signing In > Sign-in > Sign-in Policies を選択します。
2.
有効化または無効化を行うには、次の操作を行います。

An individual policy －変更するポリシーの横にあるチェックボックスを選択し
て、Enable または Disable をクリックします。

All user and meeting policies －ページの上部にある Restrict access to
administrators only チェックボックスをオンまたはオフにします。
Sign-in Pages タブ
標準サインインページを作成または変更するには、このタブを使用します。「サインイン
ページ」では、50 ページの「サインインページ」の説明にあるように、Welcome テキス
ト、ヘルプテキスト、ロゴ、ヘッダー、およびフッターなど、エンドユーザーの
Welcome ページをカスタマイズするプロパティを定義します。
標準サインインページの作成または変更
標準サインインページを作成または変更するには、次の操作を行います。
1.
Web コンソールで、Signing In > Sign-in > Sign-in Pages を選択します。
2.
次のいずれかの操作を実行します。

新しいページを作成する場合－ New Page をクリックします。

既存のページを変更する場合－変更するページに対応するリンクを選択します。
3.
ページを識別する名前を入力します。
4.
Custom Text セクションで、画面ラベルとして表示されるデフォルトのテキストを変
更します。Instructions フィールドにテキストを追加する場合は、以下の HTML タグ
を使用してテキストをフォーマットし、リンクを追加することができます。、
、 、、および <a href>。ただし、IVE はサインインページのリンクを
再書き込みしないので（ユーザーがまだ認証されていないため）、外部にあるサイト
をポイントするだけにしてください。ファイアウォールの後方にあるサイトへのリン
クは失敗します。
メモ : サポートされていない HTML タグをカスタムメッセージで使用する場合、IVE は
エンドユーザーの IVE ホームページを正しく表示できない場合があります。
5.
182
Sign-in Pages タブ
Header appearance セクションで、ヘッダーのカスタムロゴイメージファイルと
ヘッダーの色を指定します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
6.
Custom error messages セクションで、証明書エラーが発生したときにユーザーに表
示されるデフォルトのテキストを変更します。
7.
ユーザーに対してカスタムヘルプまたは追加の指示を表示するには、Show Help
button を選択して、ボタンのラベルを入力し、IVE にアップロードする HTML ファ
イルを指定します。この HTML ページで参照されるイメージやその他のコンテンツは
IVE には表示されません。
8.
Save Changes をクリックします。変更はすぐに反映されますが、アクティブセッ
ション中のユーザーはその Web ブラウザを最新の情報に更新する必要があります。
メモ : Restore Factory Defaults をクリックすると、サインインページ、IVE ユーザー
ホームページ、および Web コンソールの外観が元の状態にリセットされます。
Sign-in Pages タブ

183
Juniper Networks NetScreen Secure Access 700 管理ガイド
End Point ページの設定
End Point ページには、次のタブがあります。

184 ページの「Host Checker タブ」－ Host Checker オプションの指定および Host
Checker ポリシーの作成には、このタブを使用します。

202 ページの「Cache Cleaner タブ」－ Cache Cleaner オプションを指定するには、こ
のタブを使用します。
Host Checker タブ
Signing In > End Point > Host Checker タブのオプションで以下を行うことができます。

184 ページの「Host Checker の一般的なオプションを指定する」

186 ページの「既定のクライアントサイドポリシーを有効にする（Windows のみ）」

189 ページの「新しいクライアントサイドポリシーの作成と設定」

197 ページの「カスタマイズしたサーバーサイドポリシーを有効にする」

200 ページの「改善オプションの指定」
メモ : Host Checker のインストールや、領域およびロールレベルにおける Host Checker
の有効化など、Host Checker の追加のオプションを設定する方法については、74 ペー
ジの「タスクサマリー：Host Checker の設定」を参照してください。
Host Checker の一般的なオプションを指定する
認証ポリシーまたはロールマッピング規則に Host Checker を必要とするユーザーに適用
するための、Host Checker のグローバルオプションを指定できます。
Host Checker の一般的なオプションを指定するには、以下を行います。
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
2.
Options で、次の操作を行います。

184
Host Checker タブ
Perform check every X minutes フィールドで、クライアントマシンで Host
Checker を実行する間隔を指定します。クライアントマシンが、ロールまたはリ
ソースポリシーの要求される Host Checker ポリシーの条件を満たさない場合、
IVE は、関連ユーザーからの要求を拒否します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
たとえば、ロール A にマッピングして、外部からネットワークに接続するには、
ユーザーが特定のサードパーティウイルス駆除アプリケーションを実行する必
要があるように設定できます。ユーザが IVE にサインインしたときに、ユーザの
クライアントマシンが必須のアンチウィルスアプリケーションを実行している
場合は、そのユーザがロール A にマッピングされ、ロール A に対して有効なす
べてのアクセス機能が与えられます。ただし、ユーザーセッション中にアンチ
ウィルスアプリケーションが動作を停止した場合は、次回 Host Checker が実行
されたときに、ユーザーはロール A のセキュリティ要件を満たしておらず、
ロール A に対して付与されているすべてのアクセス権限を失います。
メモ : ゼロ値を入力すると、ユーザーが初めて IVE にサインインしたときにのみ Host
Checker がクライアントマシンで実行されます。

Client-side process, login inactivity timeout フィールドでタイムアウト間隔を指
定します。Host Checker の起動後 IVE にサインインする前に、IVE サインイン
ページから移動した場合、Host Checker は指定した間隔でユーザーマシンで引
き続き実行します。

IVE の Host Checker のバージョンが、クライアントにインストールされている
バージョンよりも新しいときに、IVE に Host Checker アプリケーションを自動的
にクライアントマシンへダウンロードさせたい場合は、Auto-upgrade Host
Checker をオンにします。このオプションを有効にする場合には、次の点に注意
する必要があります。

IVE がクライアントで Host Checker アプリケーションを自動インストールす
るには、ユーザーに管理者権限が必要となります。詳細については、387
ページの「アプリケーションを実行、インストールするために必要な権利」
を参照してください。

Host Checker をアンインストールした後で IVE にサインインする場合、この
IVE で Auto-upgrade Host Checker オプションが有効でない限り Host
Checker にアクセスすることはできません。
Host Checker の動的ポリシー評価を有効にして個別ユーザーのロールを自動的に
更新するには、Perform dynamic policy reevaluation をオンにします。ユーザー
の Host Checker の状態が変更された場合は、Host Checker は IVE をトリガーし
て、リソースポリシーを評価させることができます。（このオプションを選択し
ない場合、IVE はリソースポリシーを評価しませんが、Host Checker ステータ
スが変わる場合には常に認証ポリシー、ロールマッピング規則、ロール制限を
評価します。）詳細については、40 ページの「動的ポリシー評価」を参照してく
ださい。
Save Changes をクリックします。
Host Checker タブ

185
Juniper Networks NetScreen Secure Access 700 管理ガイド
既定のクライアントサイドポリシーを有効にする（Windows のみ）
IVE には、定義済みの 2 種類のクライアントサイド Host Checker ポリシーがあらかじめ
装備されています。これらを使用するには単に有効化するだけで、作成や設定は必要あり
ません。接続コントロールポリシーは、同じネットワークにある感染したコンピュータか
らの Windows クライアントコンピュータへの攻撃を防ぎます。アドバンストエンドポイ
ント防御マルウェア防止ポリシーは、クライアントのコンピュータに Whole Security 社
の Confidence Online ソフトウェアをダウンロードします。このソフトウェアは、ワーム、
ウィルス、キーロガーソフトウェア、画面キャプチャソフトウェア、トロイの木馬など
の不正なソフトウェアから、ユーザーを保護します。
メモ : 接続コントロールポリシーとアドバンストエンドポイント防御マルウェア検出
ポリシーは、Windows システムでのみ利用できます。
接続コントロールポリシーの有効化
あらかじめ定義されている Host Checker 接続コントロールポリシーは、同じ物理ネット
ワーク上にある感染したコンピュータからの Windows クライアントコンピュータへの攻
撃を防ぎます。Host Checker 接続コントロールポリシーはすべての着信 TCP 接続と、す
べての着信および送信 UDP パケットをブロックします。このポリシーは、すべての送信
TCP と Network Connect トラフィック、および DNS サーバー、WINS サーバー、DHCP
サーバー、プロキシサーバー、IVE へのすべての接続を許可します。
メモ : クライアントコンピュータで Host Checker が接続コントロールポリシーを実行
するには、ユーザーに管理者権限が必要です。
既定の Host Checker 接続コントロールポリシーを有効にするには、以下を行います。
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
2.
Options で、Create Host Checker Connection Control Policy チェックボックスを選
びます。
3.
Save Changes をクリックします。IVE が Host Checker 接続コントロールポリシーを
有効にします。
メモ : このポリシーを変更することはできません。有効あるいは無効に設定することの
み可能です。また、このポリシーは変更できないため、Signing In > End Point > Host
Checker ページの Policies セクションで、他の設定可能なポリシーと一緒に表示される
ことはありません。
4.
403 ページの「Host Checker の制限」に記載されたオプションを使用して、ポリシー
を領域あるいはロールレベルで適用します。（クライアントコンピュータ上で接続
コントロールポリシーを有効にするには、少なくとも領域レベルで評価あるいは実
行する必要があります。）
メモ : （クライアントコンピュータ上で接続コントロールポリシーを有効にするには、
領域レベルで評価あるいは実行する必要があります。）
186
Host Checker タブ
Juniper Networks NetScreen Secure Access 700 管理ガイド
アドバンストマルウェア防止ポリシーの有効化
ライセンスを取得している場合は、Host Checker からアドバンストエンドポイント防御
マルウェア防止ポリシーを有効にすることができます。これらのポリシーは、ユーザーの
コンピュータに Whole Security 社の Confidence Online ソフトウェアをダウンロードして
起動します。このソフトウェアは、以下のような悪質なプログラムをスキャンします。

トロイの木馬－ハッカーは「トロイの木馬」によって、感染したマシンをリモート
で操作します。トロイの木馬は、ほとんどの場合、承認されたユーザーに気づかれず
に自らをユーザーのコンピュータにインストールします。

キーロガーソフトウェア－ハッカーは「キーロガーソフトウェア」を使用して、
ユーザーが入力するキーストロークをキャプチャしてログすることによって、盗みま
す。キーロガーソフトウェアは、承認されたユーザーに気づかれずに自らをユーザー
のコンピュータにインストールします。

監視アプリケーション－「監視アプリケーション」は、ユーザーのアクティビティ
を監視して記録するエンドユーザーソフトウェアです。通常は、子供、配偶者、コン
ピュータを共有している別のユーザーを監視するために、ユーザーが自らこのソフト
ウェアをインストールします。

リモートコントロール－「リモートコントロールアプリケーション」は商用アプ
リケーションで、承認されたユーザーのコンピュータ管理において容易なリモート
アクセスを提供する VNC などがあります。
Whole Security マルウェア防止ソフトウェアを使用するには、Advanced Endpoint
Defense malware Detection オプションをシステムレベルで有効化し、領域およびロール
レベルで実行、あるいはそのいずれかのレベルで実行する必要があります。
アドバンストエンドポイント防御マルウェア検出ポリシーを、作成あるいは設定する必
要はありません。このオプションをシステムレベルで有効にすると、Host Checker に
よって作成されます。アドバンストエンドポイント防御マルウェア検出ポリシーは、領
域レベルで要求し、実施することをお勧めします。そうすることにより、Host Checker が
Confidence Online ソフトウェアをユーザーのコンピュータにダウンロードして、潜在的
な脅威が IVE にサインインするのをチェックすることが可能になります。Confidence
Online がいったん起動すると、ユーザーの IVE セッション全体を通して脅威をスキャン
し、ブロックし続けます。
アドバンストエンドポイント防御マルウェア防止ポリシーを有効化し、設定するには、
以下を行います。
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
2.
Options で、Advanced Endpoint Defense: Malware Protection チェックボックスを選
びます。
3.
Confidence Online がトロイの木馬、キーロガーソフトウェア、およびその他の不正
と思われるアプリケーションをブロックしたときに、ユーザーに通知しないようにす
るには、Silent Scan チェックボックスを選択します。（Confidence Online は Whole
Security サーバーに毎日アクセスして、不正なアプリケーションのリストを最新の状
態に維持します。）
Host Checker タブ

187
Juniper Networks NetScreen Secure Access 700 管理ガイド
4.
監視アプリケーション、リモートコントロールソフトウェア、その他の潜在的に正
当なアプリケーションをブロックするかどうかをユーザーが選択できるようにするに
は、User Unblock チェックボックスを選択します。このオプションを選択すると、
ユーザーは、システムトレイにある Confidence Online アイコンから、ブロックされ
たアプリケーションを表示し、コントロールすることができます。（詳細について
は、Confidence Online のエンドユーザーヘルプシステムを参照してください。）こ
のオプションを選択しない場合、Confidence Online は、ユーザーの操作なしにこれ
らのアプリケーションをブロックします。
メモ : ユーザーがこの機能を使用するには、管理者の権限が必要です。管理者権限を持
たない場合は、Confidence Online は、ユーザーの操作なしにこれらのアプリケーション
をブロックします。この機能は、Windows 2000 および Windows XP システムでのみサ
ポートされています。
5.
Save Changes をクリックします。IVE が、以下のアドバンストエンドポイント防御
マルウェア防止ポリシーを有効化します。

Advanced Endpoint Defense: Malware Protection －このポリシーは、Host
Checker によって作成されます。Whole Security が作成した J.E.D.I. パッケージが
正常にインストールされているかをチェックします。

Advanced Endpoint Defense: Malware Protection.BehaviorBlockerRunning －このポ
リシーは、Whole Security によって作成されます。Confidence Online 動作ブロッ
クソフトウェアによる、キーストロークロガーソフトウェア、画面キャプチャ
ソフトウェア、その他ユーザーセッションの傍受を試みるアプリケーションの
ブロックを、可能にします。

Advanced Endpoint Defense: Malware Protection.Category1 －このポリシーは、
Whole Security によって作成されます。Confidence Online ソフトウェアによる、
トロイの木馬プログラム、スパイウェア、マルウェア、その他の不正なアプリ
ケーションのブロックを、可能にします。

Advanced Endpoint Defense: Malware Protection.Category2 －このポリシーは、
Whole Security によって作成されます。Confidence Online ソフトウェアによる、
監視アプリケーション、リモートコントロールソフトウェア、その他潜在的に
正当なアプリケーションのブロックを、可能にします。
これらの各ポリシーには、ユーザーがポリシーにパスしない場合にユーザーに対して
表示する改善の指示が含まれています。このメッセージは、ポップアップウィンドウ
の手順に従ってマシンを改善するよう、ユーザーに指示します。
6.
188
Host Checker タブ
403 ページの「Host Checker の制限」に記載したオプションを使用して、アドバンス
トエンドポイント防御マルウェア防止ポリシーを、領域あるいはロールレベルで実
装します。（クライアントコンピュータ上でアドバンストエンドポイント防御マル
ウェア防止ポリシーを有効にするには、少なくとも領域レベルで評価あるいは実行す
る必要があります。）
Juniper Networks NetScreen Secure Access 700 管理ガイド
メモ : アドバンストエンドポイント防御マルウェア防止ポリシーを実施するする場合、
以下に留意してください。

これらのポリシーを変更することはできません。有効あるいは無効に設定すること
のみ可能です。また、これらのポリシーは変更できないため、Signing In > End
Point > Host Checker ページの Policies セクションで、他の設定可能なポリシーと
一緒に表示されることはありません。

IVE の同時ユーザーライセンスが Whole Security と一致しない場合、両者のうち
ユーザー数の少ない方に制限されます。たとえば IVE のライセンスで 100 人の同時
ユーザーが許可され、Whole Security のライセンスで 50 人の同時ユーザーが許可
されている場合、アドバンストエンドポイント防御マルウェア防止ポリシーを有効
にした IVE へのアクセスを許可されるのは、50 人のユーザーに制限されます。
新しいクライアントサイドポリシーの作成と設定
アンチウィルスソフトウェア、ファイアウォール、マルウェア、スパイウェア、および
さまざまな業界リーダーが提供する特定のオペレーティングシステムをチェックする、
さまざまな種類のポリシーを、Host Checker クライアントから作成することができます。
カスタムのサードパーティ DLL、ポート、プロセス、ファイル、レジストリキーに対す
るチェックも作成することができます。ポリシーを作成する際、ポリシー名を定義して、
既定の規則を有効にするか、あるいは特定のチェックを実行するカスタム規則を作成する
必要があります。オプションで、Host Checker が 1 つのポリシー内で複数の規則をどのよ
うに評価するかを指定することも可能です。
標準のクライアントサイドポリシーを作成するには、以下を行います。
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
2.
Policies で New をクリックします。
3.
Policy Name フィールドに名前を入力し、Continue をクリックします。（このポリ
シーに対してカスタム指示を有効にした場合、Host Checker 改善ページでユーザーに
この名前が表示されます。）
4.
以下のセクションの指示に従って、ポリシーと関連付ける規則を 1 つ以上作成し
ます。
5.

190 ページの「既定の規則を使用してサードパーティのアプリケーションを
チェックする（Windows のみ）」

191 ページの「カスタム規則を使用して要件をカスタマイズする」
195 ページの「1 つの Host Checker ポリシー内で複数の規則を評価する」の指示
に従って、Host Checker がポリシー内で複数の規則をどのように評価するかを指
定します。
6. （推奨）コンピュータがポリシーの指定する要件を満たさないユーザーに対して、改
善オプションを指定します。手順については、200 ページの「改善オプションの指
定」を参照してください。（改善指示を作成せず、ポリシーが失敗した場合は、ユー
ザーはリソースにアクセスできない理由を知ることができません。）
7.
403 ページの「Host Checker の制限」に記載されたオプションを使用して、ポリシー
を領域あるいはロールレベルで適用します。
Host Checker タブ

189
Juniper Networks NetScreen Secure Access 700 管理ガイド
既定の規則を使用してサードパーティのアプリケーションをチェックする
（Windows のみ）
Host Checker には、アンチウィルスソフトウェア、ファイアウォール、マルウェア、ス
パイウェア、およびさまざまな業界リーダーが提供する特定のオペレーティングシステ
ムをチェックするあらゆる定義済みの規則が、あらかじめ装備されています。これらの規
則を Host Checker のクライアントサイドポリシー内で 1 つ以上有効化することにより、
指定の統合されたサードパーティ製アプリケーションを、ユーザーのコンピュータ上で確
実に仕様に従って実行されるようにできます。
既定の規則を使用して統合されたサードパーティのアプリケーション作成するには、以
下を行います。
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
2.
189 ページの「新しいクライアントサイドポリシーの作成と設定」の指示に従って新
しいポリシーを作成するか、ページの Policies セクションにある既存のポリシーをク
リックします。
3.
Rule Settings で以下のオプションのいずれかを選択し、Add をクリックします。
4.

Predefined: AntiVirus －指定のアンチウィルスソフトウェアをチェックする規
則を作成する場合は、このオプションを選択します。

Predefined: Firewall －指定のファイアウォールソフトウェアをチェックする規
則を作成する場合は、このオプションを選択します。

Predefined: Malware －指定のマルウェア防止ソフトウェアをチェックする規則
を作成する場合は、このオプションを選択します。

Predefined: Spyware －指定のスパイウェア防止ソフトウェアをチェックする規
則を作成する場合は、このオプションを選択します。

Predefined: OS Checks －指定の Windows オペレーティングシステムと最小の
サービスパックバージョンをチェックする規則を作成する場合は、このオプ
ションを選択します。（サービスパックのバージョンが、指定したバージョンと
同じかそれ以降の場合は、ポリシーの条件を満たします。）
Add Predefined Rule ページで以下を行います。

Rule Name フィールドで、規則の ID を入力します。

Criteria で、チェックの対象となる特定のアプリケーションバージョンあるいは
オペレーティングシステムを選び、Add をクリックします。（オペレーティン
グシステムをチェックする場合、サービスパックのバージョンも指定すること
ができます。）
メモ : チェックの対象となるアプリケーションを指定する際、以下に留意します。

既定の規則内でソフトウェアの種類を 1 つ以上選択した場合、Host Checker は、選
択したソフトウェアアプリケーションのいずれかがユーザーのマシン上に存在する
と、規則が満たされたと判断します。

Host Checker は、アプリケーションや Windows オペレーティングシステムの種類
によって、異なるレベルのサポートを提供します。詳細については、このセクショ
ンの最後にある表を参照してください。

190
Host Checker タブ
（アンチウィルスポリシーのみ）Maximum age of definition files フィールドに、
ウィルス定義ファイルの有効期間（日）を指定します。
Juniper Networks NetScreen Secure Access 700 管理ガイド

5.
Save Changes をクリックします。
オプションで、189 ページの「新しいクライアントサイドポリシーの作成と設定」の
指示に従って、ポリシーに規則を追加し、Host Checker がポリシー内で複数の規則を
どのように評価するかを指定し、改善オプションを指定します。
メモ : 現在サポートされているアプリケーションを見るには、Signing In > End
Point > Host Checker に進み、新しいポリシーを作成します。Select Rule Type ド
ロップダウンリストから既定の規則タイプを選択して、そのカテゴリ内でサポート
されているアプリケーションの一覧を表示します。アプリケーションの一覧は非常
に広範囲に及ぶことがあります。また、各サポートリリースで更新されるため、定
期的に確認すると便利です。
カスタム規則を使用して要件をカスタマイズする
IVE であらかじめ定義されたクライアントサイドのポリシーや規則がニーズに対応し
ていない場合、Host Checker にカスタム規則を作成して、ユーザーのコンピュータが
満たすべき要件を定義することができます。カスタム規則を使用して、以下を行うこ
とができます。

カスタマイズされたクライアントサイドのチェックを実行する DLL をチェックする
よう Host Checker を定義します。

ユーザーのコンピュータ上で特定のポートが開いているかどうかを確認します。

ユーザーのコンピュータ上で特定のプロセスが実行されているかどうかを確認し
ます。

クライアントマシン上で特定のプロセスが実行されているかどうかを確認します。

MD5 チェックサムから必要なファイルの使用期間と内容を評価します。

クライアントマシン上でレジストリキーが設定されているのを確認します。
メモ : Windows コンピュータ上では、レジストリキーとカスタムサードパーティ DLL
のみチェックすることができます。
クライアントサイド Host Checker ポリシーを作成するには、以下を行います。
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
2.
189 ページの「新しいクライアントサイドポリシーの作成と設定」の指示に従って新
しいポリシーを作成するか、ページの Policies セクションにある既存のポリシーをク
リックします。
3.
Host Checker のオプションを指定したいオペレーティングシステム（Windows、
Mac、または Linux）に対応するタブをクリックします。同じポリシーで、各オペ
レーティングシステムに異なる Host Checker 要件を指定できます。たとえば、各オ
ペレーティングシステムで異なるファイルやプロセスをチェックする 1 つのポリ
シーを作成できます。
Host Checker タブ

191
Juniper Networks NetScreen Secure Access 700 管理ガイド
4.
Rule Settings で以下のオプションのいずれかを選択し、Add をクリックします。規則
タイプに対する Add Custom Rule ページが表示されます。

3rd Party NHC Check（Windows のみ）－この規則タイプを使用して、ホスト
チェッククライアントインターフェイスで書き込むカスタム DLL の場所を指定
します。Host Checker は DLL を呼び出して、カスタマイズされたクライアントサ
イドのチェックを実行します。DLL が Host Checker に成功の結果を返した場合、
IVE は規則が満たされたとみなします。（ホストチェッククライアントイン
ターフェースを使用してカスタム DLL を作成する方法については、Juniper
Support サイトで入手できる J.E.D.I. Solution Guide を参照してください。
）3rd
Party NHC Check 設定ページで以下を行います。
i.
3rd Party NHC Check 規則の名前とベンダーを入力します。
ii.
クライアントマシンでの DLL の場所（パスおよびファイル名）を入力
します。
iii. Save Changes をクリックします。

Ports －この規則タイプを使用して、セッション中にクライアントが確立できる
ネットワーク接続を制御します。この規則タイプは、ユーザーが IVE にアクセス
する前に、クライアントマシンの特定のポートを開いた状態あるいは閉じた状
態にします。Ports 設定ページでは、以下を行います。
i.
ポート規則の名前を入力します。
ii.
ポートまたはポートの範囲を、1234,11000-11999,1235 のように、カン
マ区切り（スペースを入れない）で入力します。
iii. これらのポートがクライアントマシン上で開いていることを要求するには
Required を選択し、閉じておくことを要求するには Deny を選択します。
iv.

Save Changes をクリックします。
Process －この規則タイプを使用して、セッション中にクライアントが実行でき
るソフトウェアを制御します。この規則タイプは、ユーザーが IVE によって保護
されたリソースにアクセスする前に、クライアントマシン上で特定のプロセス
を実行した状態、あるいは実行していない状態にします。Processes 設定ページ
では、以下を行います。
i.
プロセス規則の名前を入力します。
ii.
プロセス（実行可能ファイル）の名前を good-app.exe のように入力し
ます。
プロセス名の指定には、ワイルドカード文字を使用できます。
例：
good*.exe
192
Host Checker タブ
Juniper Networks NetScreen Secure Access 700 管理ガイド
詳細については、195 ページの「Host Checker 規則でワイルドカードあるい
は環境変数を使用する」を参照してください。
iii. このプロセスが実行されることを要求するには Required を選択し、実行さ
れないことを要求するには Deny を選択します。
iv.
ポリシーを適用したい実行可能ファイルの MD5 チェックサム値をそれぞれ
指定します（オプション）。たとえば、デスクトップ、ノートパソコン、ま
たは異なるオペレーティングシステムで、実行可能ファイルの MD5 チェッ
クサム値を変えることができます。Macintosh および Linux では、以下のコ
マンドを使用して MD5 チェックサムを調べることができます。
openssl md5 <processFilePath>
v.

Save Changes をクリックします。
File －この規則タイプは、ユーザーが IVE にアクセスする前に、クライアント
マシン上に特定のファイルが存在している状態あるいは存在していない状態にし
ます。またファイルチェックを使用して、必要なファイルの使用期間と内容を
（MD5 チェックサムから）評価し、これに応じてアクセスの許可または拒否を決
定できます。Files 設定ページでは、以下を行います。
i.
フィルタの名前を入力します。
ii.
ファイル（任意のファイルタイプ）の名前を c:\temp\bad-file.txt または
/temp/bad-file.txt のように入力します。
ファイル名を指定するのに、ワイルドカード文字を使用できます。例：
*.txt
また、環境変数を使用してファイルにディレクトリパスを指定することも
できます。
（ディレクトリパスにはワイルドカード文字を使用できません。）
<% と %> 文字で変数を囲みます。例：
<%windir%>\bad-file.txt
詳細については、195 ページの「Host Checker 規則でワイルドカードあるい
は環境変数を使用する」を参照してください。
iii. このファイルがクライアントマシンに存在することを要求するには
Required を選択し、存在しないことを要求するには Deny を選択します。
iv.
ファイルの有効期間（日数）を指定します（オプション）。ファイルが指定
した日数よりも古い場合は、クライアントが属性チェック要件を満たしてい
ないことになります。
メモ : この有効期間のオプションを使用して、ウィルス署名の経過日数をチェックしま
す。ウィルス署名データベースや、データベースが更新されるたびに更新されるログ
ファイルなど、ウィルス署名が最後に更新された時期をタイムスタンプが示している
ファイルへのパスを、File Name フィールドに必ず指定してください。たとえば
TrendMicro を使用する場合、次のように指定します。
C:\Program Files\Trend Micro\OfficeScan Client\TmUpdate.ini.
Host Checker タブ

193
Juniper Networks NetScreen Secure Access 700 管理ガイド
v.
ポリシーを適用したい各ファイルに MD5 チェックサム値を指定します（オ
プション）。Macintosh および Linux では、以下のコマンドを使用して MD5
チェックサムを調べることができます。
openssl md5 <filePath>
vi. Save Changes をクリックします。

Registry Setting （Windows のみ）－この規則タイプを使用して、IVE へのアク
セスにクライアントが必要とする、企業 PC イメージ、システム設定、およびソ
フトウェア設定を制御します。この規則タイプは、ユーザーが IVE にアクセスす
る前に、特定のクライアントレジストリキーがクライアントマシン上で設定さ
れているようにします。またレジストリチェックを使用して、必要なファイルの
経過日数を評価し、これに応じてアクスの許可または拒否を決定できます。
Registry Settings 設定ページでは、以下を行います。
i.
レジストリ設定規則の名前を入力します。
ii.
ドロップダウンリストからルートキーを選択します。
iii. レジストリサブキー用のアプリケーションフォルダのパスを入力します。
iv.
要求したい鍵の値の名前を入力します（オプション）。この名前は、Registry
Editor の Name 列に表示されます。
v.
鍵の値の種類（String、Binary、または DWORD）をドロップダウンリスト
から選択します（オプション）。この種類は、Registry Editor の Type 列に表
示されます。
vi. 必要なレジストリキー値を指定します ( オプション )。この情報は、Registry
Editor の Data 列に表示されます。
鍵の値がアプリケーションのバージョンを表す場合、指定したバージョン以
降のアプリケーションバージョンを許可するには、Minimum version をオ
ンにします。たとえば、このオプションを使用して、アンチウィルスアプリ
ケーションのバージョン情報を指定し、クライアントのアンチウィルスソ
フトウェアが最新版かどうかを確認します。IVE は、語彙ソートを使用して、
指定したバージョン以降がクライアントで使用されているかどうかを判断し
ます。例：
3.3.3 は 3.3 より新しい
4.0 は 3.3 より新しい
4.0a は 4.0b より新しい
4.1 は 3.3.1 より新しい
vii. Save Changes をクリックします。
メモ : キーとサブキーのみを指定した場合、Host Checker は、レジストリで Subkey
フォルダが存在するかどうかだけを検証します。
5.
194
Host Checker タブ
オプションで、189 ページの「新しいクライアントサイドポリシーの作成と設定」の
指示に従って、ポリシーに規則を追加し、Host Checker がポリシー内で複数の規則を
どのように評価するかを指定し、改善オプションを指定します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Host Checker 規則でワイルドカードあるいは環境変数を使用する
以下のワイルドカードを使用して、Custom File 規則でファイル名を指定したり、
Custom Process 規則でプロセス名を指定することができます。
表 6: ファイル名またはプロセス名に使用するワイルドカード文字
ワイルドカード文字
説明
例
*
任意の文字と一致
*.txt
?
正確に 1 文字と一致
app-?.exe
Windows 用の Custom File 規則で、次の環境変数を使用してファイルへのディレクトリ
パスを指定できます。
表 7: Windows でディレクトリパスを指定するための環境変数
環境変数
Windows の値の例
<%APPDATA%>
C:\Documents and Settings\jdoe\Application Data
<%windir%>
C:\WINDOWS
<%ProgramFiles%>
C:\Program Files
<%CommonProgramFiles%>
C:\Program Files\Common Files
<%USERPROFILE%>
C:\Documents and Settings\jdoe
<%HOMEDRIVE%>
C:
<%Temp%>
C:\Documents and Settings \<user name>\Local
Settings\Temp
Macintosh および Linux 用の Custom File 規則で、次の環境変数を使用してファイルへの
ディレクトリパスを指定できます。
表 8: Macintosh と Linux でディレクトリパスを指定するための環境変数
環境変数
Macintosh の値の例
Linux の値の例
<%java.home%>
/System/Library/Frameworks/JavaVM. /local/local/java/j2sdk1.4.1_02/jre
framework/ Versions/1.4.2/Home
<%java.io.tmpdir%>
/tmp
/tmp
<%user.dir%>
/Users/admin
/home-shared/cknouse
<%user.home%>
/Users/admin
/home/cknouse
メモ : 環境変数はテンプレートツールキットのディレクティブと同じ方法でフォーマッ
トされていますが、置き換えることができないため、両者を混同しないようにしてくだ
さい。
1 つの Host Checker ポリシー内で複数の規則を評価する
1 つのクライアントサイドポリシーに複数の規則を含める場合、Host Checker がそれら
をどのように評価するかを指定する必要があります。
1 つの Host Checker ポリシー内の複数の規則に対して要件を指定するには、以下を行い
ます。
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
Host Checker タブ

195
Juniper Networks NetScreen Secure Access 700 管理ガイド
2.
189 ページの「新しいクライアントサイドポリシーの作成と設定」の Policies セ
クションで、複数の規則を含む既存のポリシーをクリックします。
3.
Require セクションで、次のオプションのいずれかを選択します。

All of the above rules －ユーザーのコンピュータがアクセスを取得するために
は、すべてのポリシー規則に対し成功の結果を返す必要があることを指定する場
合に、このオプションを選択します。

All of the above rules －ユーザーのコンピュータがアクセスを取得するために
は、いかなるポリシー規則に対しても成功の結果を返す必要があることを指定す
る場合に、このオプションを選択します。

Custom －ユーザーのコンピュータがアクセスを取得するために満たす必要があ
る規則をカスタマイズする場合に、このオプションを選択します。次に、以下の
手順に従ってカスタム規則を作成します。
4. （カスタム式のみ）ポリシーで代わりの規則セットを使用したい場合は、以下のガイ
ドラインにそって、規則をブール演算子（AND、 OR）と組み合わせます。

規則の名前を Rules expression テキストボックスに入力します。

2 つの規則または規則のセットが真を返す必要がある場合には、AND を使用し
ます。

2 つの規則または規則のセットのいずれかが真を返す必要がある場合には、OR
を使用します。

規則のセットを組み合わせるには、括弧を使用します。
たとえば、個人的なファイアウォールを実行し、2 つの利用可能なアンチウィルス製
品のどちらかを実行する必要がある場合には、以下のような式を使用します。
ZoneLabsFirewall AND (McAfeeAntivirus OR NortonAntivirus)
5.
Save Changes をクリックします。
既定の Host Checker ポリシーを改善する
既定の Host Checker ポリシーを割り当てる際に、簡単な改善ルールを設定することが可
能です。
既定の Host Checker ポリシーに対して改善ルールを指定するには、以下を行います。
196
Host Checker タブ
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
2.
ページの Policies セクションで、既定の規則を含む既存のポリシーをクリックし
ます。
3.
Remediation で、Enable Custom Instructions チェックボックスを選択し、HTML な
どテキストを入力できるテキストボックスを表示します。
4.
Evaluate Other Policies チェックボックスを選択し、ポリシー評価に加えることがで
きる Host Checker ポリシーの一覧を表示します。
5.
Kill Processes チェックボックスを選択してテキストボックスを表示します。このテ
キストボックスには、停止したいアプリケーションと、そのアプリケーションに関
連する MD5 チェックサムをリスト表示することができます。
Juniper Networks NetScreen Secure Access 700 管理ガイド
6.
Delete Files チェックボックスを選択してテキストボックスを表示します。このテキ
ストボックスには、削除したいファイルをリスト表示することができます。各行に
ファイル名を 1 つ入力します。
7.
Save Changes をクリックします。
カスタマイズしたサーバーサイドポリシーを有効にする
Windows クライアントの場合、IVE にアップロードしてクライアントマシン上で実行す
る J.E.D.I. DLL が必要となるグローバルな Host Checker ポリシーを作成することができま
す。これらのポリシーの作成についての詳細は、Juniper Support サイトから入手できる
J.E.D.I. Solution Guide を参照してください。
カスタマイズしたサーバーサイド Host Checker ポリシーを有効にするには、次の操作を
行います。
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
2.
Policies で、New 3rd Party Policy をクリックします。
3.
zip ファイルを識別する名前を IVE に入力します。
4.
zip ファイルが格納されているローカルディレクトリを参照します。
5. （オプション）コンピュータがポリシーの指定する要件を満たさないユーザーに対し
て、改善の指示や措置を指定します。手順については、200 ページの「改善オプショ
ンの指定」を参照してください。
6.
Save Changes をクリックします。IVE は、zip ファイルに定義されているポリシーを、
Host Checker ページのポリシーのリストに追加します。
7.
403 ページの「Host Checker の制限」に記載されたオプションを使用して、ポリシー
を領域、ロール、あるいはリソースレベルで実装します。
Host Checker 認証前アクセストンネル定義を指定する
Windows クライアントに対して、ユーザーが認証される前に Host Checker メソッド
またはサードパーティ J.E.D.I. DLL が IVE に保護されたポリシーサーバー ( または他
のリソース ) にアクセスできるようにする、認証前アクセストンネルを定義すること
ができます。（詳細については、71 ページの「ポリシーサーバーを Host Checker ク
ライアントに使用可能にする」を参照してください。）
Host Checker 認証前アクセストンネル用の定義は、1 つのポリシーサーバーまたは他の
リソースへのアクセスを設定します。各トンネル定義は、IP アドレスとポートのペアで構
成されています。クライアントでは 1 つのループバック IP アドレスとポート、ポリシー
サーバーでは 1 つの IP アドレスとポートです。
Host Checker ポリシーパッケージ定義ファイルで 1 つ以上のトンネル定義を指定します。
パッケージ定義ファイルの名前は MANIFEST.HCIF とする必要があり、インターフェース
DLL の名前、DLL で定義された Host Checker ポリシー、および認証前アクセストンネル
定義を定義します。パッケージにポリシーを含めない場合、Host Checker は、そのパッ
ケージがクライアント上で実行されるように強制します。この点に注意してください。こ
のファイルでポリシーを宣言すると、そのポリシーは、IVE Web コンソールを通して利用
できるようになり、そこで領域、ロール、およびリソースポリシーレベルで実装できる
ようになります。
Host Checker タブ

197
Juniper Networks NetScreen Secure Access 700 管理ガイド
MANIFEST.HCIF ファイルは、1 行に定義 1 つを含め、定義間に空の行を 1 行入れ、以下の
形式を使用します。
HCIF-Main : <DLLName>
HCIF-Policy : <PolicyName>
HCIF-IVE-Tunnel: <client-loopback>:port
<policy-server>:port
ここでは、
<DLLName> は、myPestPatrol.dll などインターフェース DLL の名前です。インター
フェース DLL を使用していない場合でも、このとおりの名前をもつ、プレースホルダー
ファイルとしてのダミー DLL を含める必要があります。
<PolicyName> は、myFileCheck など DLL で定義されたポリシーの名前です。各ポリシー
に HCIF-Policy ステートメントを使用して、複数のポリシーを定義することができます。
インターフェース DLL を使用していない場合、任意のポリシー名をプレスホルダーとし
て使用することができます。
Host Checker トンネル定義の構文は次のとおりです。
HCIF-IVE-Tunnel: <client-loopback>:port
<policy-server>:port
ここでは、
<client-loopback> は 127. で始まるループバックアドレスであり、以下のいずれかの形
式を使用します。

127 で開始するループバックアドレスに解決するホスト名。各クライアントコン
ピュータまたは DNS サーバーでそれぞれローカルホストファイルを使用して、ルー
プバックアドレスを解決することができます。

ループバックアドレスに解決しない、または非ループバックアドレスに解決するホ
スト名。こうした場合、Host Checker はループバックアドレスを割り当てて、その
マッピングを持つクライアントのローカル Host ファイルを更新します。Host
Checker がローカル Host ファイルを変更するためには、ユーザーは管理者権限が必
要になります。ユーザーに管理者権限がない場合、Host Checker は Host ファイルを
更新することができず、認証前アクセストンネルを開くことができません。この場
合、Host Checker はエラーをログに記録します。
<policy-server> はバックエンドポリシーサーバーの IP アドレスまたはホスト名です。
IVE は指定されたホスト名を解決します。
たとえば、以下のようなトンネル定義では、127.0.0.1:3220 はクライアントループ
バックアドレスとポートであり、mysygate.company.com:5500 はポリシーサーバーホ
スト名とポートです。
HCIF-IVE-Tunnel: 127.0.0.1:3220
mysygate.company.com:5500
または、この例のようにクライアントのホスト名を使用することができます。
HCIF-IVE-Tunnel: mysygate.company.com:3220
198
Host Checker タブ
mysygate.company.com:5500
Juniper Networks NetScreen Secure Access 700 管理ガイド
トンネル定義を指定するときは、次の点を考慮してください。

MANIFEST.HCIF ファイル内の各行の間に空行を追加する必要があります。行の先頭に
セミコロンを使用して、コメントを指示することができます。例：
HCIF-Main : myPestPatrol.dll
HCIF-Policy : myFileCheck
HCIF-Policy : myPortCheck
; Tunnel definitions
HCIF-IVE-Tunnel: 127.0.0.1:3220 mysygate.company.com:5500
HCIF-IVE-Tunnel: 127.1.1.1:3220 mysygate2.company.com:5500
HCIF-IVE-Tunnel: mysygate.company.com:3220 mysygate3.company.com:5500

Host Checker 認証前アクセストンネルがサポートされているのは Windows だけ
です。

<client-loopback> が非ループバックアドレスの場合、Host Checker は認証前アクセ
ストンネルを開くことができず、その代わりにエラーをログに記録します。

127.0.0.1 以外のループバックアドレス（127.0.0.2 およびそれ以上）を使用する
場合、Windows XP Service Pack 2 を使用しているクライアントは XP SP2 Hot Fix を
インストールする必要があります。参照：
http://support.microsoft.com/default.aspx?scid=kb;en-us;884020
メモ : クライアントサイドまたはサーバーサイドのサードパーティ DLL を配置してい
る場合、次の点を配慮します。

サーバーサイドサードパーティ DLL パッケージを unzip して、サードパーティ
DLL 用のポリシーを含む MANIFEST.HCIF ファイルにトンネル定義を追加します。
（DLL は MANIFEST.HCIF ファイルで定義する、同じ <client-loopback> アドレス、
およびポートまたはホスト名を使用する必要があります。）
認証前アクセストンネルが開くのは、Host Checker が実行している間だけであるた
め、サードパーティ DLL がその IVE が保護するポリシーサーバーにアクセスでき
るのは、Host Checker が実行している間だけです。
サードパーティ DLL が HTTPS を使用して、ループバックアドレスに正しく解決
するホスト名によってそのポリシーサーバーに接続する場合、サーバー証明書
の警告は表示されません。ただし、サードパーティ DLL がループバックアドレ
スによって明示的に接続する場合、サーバー証明書の警告が表示されます。こ
れは、証明書内のホスト名がループバックアドレスに一致しないためです。
（サードパーティ DLL のデベロッパーはこれらの警告を無視するように DLL を
設定することができます。）
サードパーティ DLL の詳細については、Juniper Support サイトで入手できる J.E.D.I.
Solution Guide を参照してください。
Host Checker ポリシーパッケージを IVE へアップロードする
IVE がパッケージの定義ファイルを認識できるようにするには、以下を行う必要があ
ります。
1.
パッケージ定義ファイルの名前を MANIFEST.HCIF として、META-INF という名前の
フォルダに含めます。
Host Checker タブ

199
Juniper Networks NetScreen Secure Access 700 管理ガイド
2.
Host Checker ポリシーパッケージを zip アーカイブ形式で作成します。アーカイブに
は、META-INF フォルダを含める必要があります。このフォルダには、
MANIFEST.HCIF ファイルに加え、インターフェイス DLL やその他の初期化ファイル
を格納します。たとえば、Host Checker ポリシーパッケージに以下を含めます。
META-INF/MANIFEST.HCIF
hcif-myPestPatrol.dll
hcif-myPestPatrol.ini
3.
197 ページの「カスタマイズしたサーバーサイドポリシーを有効にする」の指示に
従って、IVE に Host Checker パッケージをアップロードします。異なる
MANIFEST.HCIF ファイルを格納した複数のポリシーパッケージを、IVE にアップ
ロードすることができます。
メモ : 一度 Host Checker ポリシーパッケージを IVE にアップロードすると、サーバー
上ではパッケージの内容を修正できません。修正する場合は、パッケージをローカルシ
ステムで修正し、修正したバージョンを IVE にアップロードする必要があります。
Host Checker は定義が一意的であるという仮定で、すべての MANIFEST.HCIF ファイ
ルにあるトンネル定義すべてに対して、トンネルを作成します。ポリシーパッケージ
の認証前アクセストンネル定義のリストを表示するには、Host Checker
Configuration ページの 3rd Party Policy でポリシーパッケージの名前をクリックし
ます。3rd Party Policy ページの Host Checker Preauth Access Tunnels にトンネル定
義がリストアップされます。
4.
403 ページの「Host Checker の制限」に記載されたオプションを使用して、ポリシー
を領域あるいはロールレベルで適用します。パッケージそのものがクライアントコ
ンピュータにインストールされ、実行されているかどうかを確認する場合（パッ
ケージの特定のポリシーの通過または失敗でなく）、ポリシーパッケージをアップ
ロードしたときに指定した名前を使用できます（myPestPatrol など）。パッケージの
特定のポリシーを実行するには、構文 <PackageName>.<PolicyName> を使用しま
す。たとえば、myPestPatrol パッケージの FileCheck ポリシーを実行するには、
myPestPatrol.FileCheck を使用します。手順については、403 ページの「Host
Checker の制限」を参照してください。
改善オプションの指定
Host Checker ポリシーを定義するときに、ユーザーのコンピュータがポリシーの要件を満
たさない場合に Host Checker に行わせる改善措置を定義できます。たとえば、ユーザーの
コンピュータが Host Checker ポリシーの要件を満たすために必要な、特定の指示やリ
ソースへのリンクを含んだ改善ページをユーザーに表示するよう、IVE を設定することが
できます。詳細については、69 ページの「Host Checker 改善ページの使用」を参照してく
ださい。
Host Checker ポリシーに対して改善措置を指定するには、以下を行います。
200
Host Checker タブ
1.
Web コンソールで、Signing In > End Point > Host Checker を選択します。
2.
以下のいずれかのセクションの手順に従って、Host Checker ポリシーを作成あるいは
有効にします。

189 ページの「新しいクライアントサイドポリシーの作成と設定」

197 ページの「カスタマイズしたサーバーサイドポリシーを有効にする」
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
ユーザーのコンピュータが現在のポリシーの要件を満たしていない場合、
Host Checker に実行させる修正措置を指定します。

Enable Custom Instructions － Host Checker 改善ページでユーザーに表示する指
示を入力します。テキストをフォーマットして、ポリシーサーバーや Web サイ
トなどのリソースへのリンクを追加するには、HTML タグ : 、, 、
、および <a href> を使用します。例：
最新の署名ファイルがありません。
<a href="www.company.com"> ここをクリックして、最新の署名ファイルをダウ
ンロードします。</a>
メモ : Windows クライアントの場合には、IVE が保護しているポリシーサーバーへのリ
ンクを指示に記載する場合は、認証前アクセストンネルを定義します。詳細について
は、197 ページの「Host Checker 認証前アクセストンネル定義を指定する」を参照して
ください。

Evaluate other policies －ユーザーのコンピュータが現在のポリシー要件を満た
さない場合に、Host Checker に評価させる代替のポリシーを、1 つ以上選択でき
ます。たとえば、ユーザーがキオスクなど、クライアントコンピュータの外部か
ら IVE にアクセスしようとする場合、このオプションを使用して、ユーザーが
Sygate Virtual Desktop 環境で IVE にアクセスすることを要求する代替のポリシー
を、評価することができます。HC Policies リストで代替のポリシーを選択し、
Add をクリックします。
メモ : 代替ポリシーを自らの代替ポリシーを使用するよう設定した場合には、Host
Checker は現在のポリシーの代わりに「第二レベル」の代替ポリシーを評価することは
ありません。つまり、Host Checker はトランザクションごとに 1 つの代替ポリシーのみ
を評価します。

Remediate －（サードパーティ DLL のみ）このオプションを選択して、サード
パーティ J.E.D.I. DLL の Remediate () API 関数により指定した改善措置を実行す
ることができます。詳細は、Juniper Support サイトから入手できる J.E.D.I.
Solution Guide を参照してください。

Kill Processes －ユーザーのコンピュータがポリシー要件を満たさない場合に
は、中止したい 1 つ以上のプロセスの名前を、各行に入力します。プロセスにオ
プションで MD5 チェックサムを含めることができます。（プロセス名にワイル
ドカードを使用することはできません。）例：
keylogger.exe
MD5: 6A7DFAF12C3183B56C44E89B12DBEF56

Delete Files －ユーザーのコンピュータがポリシー要件を満たさない場合に、削
除したいファイル名を入力します。（ファイル名にワイルドカードを使用するこ
とはできません。）各行にファイル名を 1 つ入力します。例：
c:\temp\bad-file.txt
/temp/bad-file.txt
4.
Save Changes をクリックします。
Host Checker タブ

201
Juniper Networks NetScreen Secure Access 700 管理ガイド
Cache Cleaner タブ
Signing In > End Point > Cache Cleaner タブを使用して、Cache Cleaner を実行し IVE の
ステータスを更新する頻度、および消去するブラウザキャッシュとディレクトリを指定
します。この機能の詳細については、76 ページの「Cache Cleaner の概要」を参照してく
ださい。
グローバルな Cache Cleaner の設定
グローバルな Cache Cleaner の設定行うには、次の操作を行います。
1.
Web コンソールで、Signing In > End Point > Cache Cleaner を選択します。
2.
Options で、次の操作を行います。
a.
Cleaner Frequency フィールドに、Cache Cleaner を実行する頻度を指定します。
有効な値の範囲は 1 ～ 60 分です。Cache Cleaner が実行されるたびに、IVE の
Content Intermediation Engine を通してダウンロードしたすべての情報と、以下
の Browser Cache および Files and Folders セクションで指定したブラウザ
キャッシュ、ファイル、およびフォルダが消去されます。
b.
Status Update Frequency フィールドで、IVE が Cache Cleaner の更新を要求する
頻度を指定します。有効な値の範囲は 1 ～ 60 分です。
c.
Client-side process, login inactivity timeout フィールドでタイムアウト間隔を指
定します。Cache Cleaner の起動後 IVE にサインインする前に、IVE サインイン
ページから移動した場合、Cache Cleaner は指定した間隔でユーザーマシンで引
き続き実行します。
d.
Disable AutoComplete of web addresses チェックボックスを選択して、ユー
ザーの IVE セッション中に、ブラウザがキャッシュ値を使用して自動的に Web
アドレスを入力しないように設定します。
このオプションを選択すると、IVE は、ユーザーの IVE セッション中に Windows
レジストリ値：
HKEY_CURRENT_USER\Software\\Microsoft\\Windows\\CurrentVersion\\Ex
plorer\ AutoComplete を 0 に設定します。この後、セッションが終了したら、
IVE は、レジストリ値を元の設定値に戻します。
e.
f.
Disable AutoComplete of usernames and passwords のチェックボックスをオン
にして、Internet Explorer が、キャッシュ値を使用して自動的に Web フォーム
のユーザー証明書に入力しないように設定します。このオプションを選択する
と、Windows システム上で表示される「パスワードを保存しますか？」のプロ
ンプトも無効にします。このオプションを選択すると、IVE は、以下の Windows
レジストリ値を 0 に設定します。

HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords

HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords\FormSuggest PW Ask

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\ DisablePasswordCaching
Flush all existing AutoComplete Passwords のチェックボックスをオンにして、
Internet Explorer がユーザーのシステム上でキャッシュしたパスワードを消去し
ます。このオプションを選択すると、IVE は、Windows レジストリ値：
HKEY_CURRENT_USER \Software\\Microsoft\\Internet
Explorer\\IntelliForms\\SPW を 0 に設定します。
202
Cache Cleaner タブ
Juniper Networks NetScreen Secure Access 700 管理ガイド
この後、次のいずれかのオプションを選択します。
g.

For IVE session only を選択して、IVE セッションが終了したら IVE がユー
ザーのキャッシュされたパスワードを復元するように指定します。

キャッシュされたパスワードを完全にに削除するには、Permanently を選択
します。
ユーザーのセッションが終了したときに IVE がクライアントマシンから Cache
Cleaner をアンインストールするよう設定する場合は、Uninstall Cache Cleaner
at logout チェックボックスをオンにします。
3.
Browser Cache で、1 つ以上のホスト名またはドメインを入力します（ワイルドカー
ドを使用できます）。ユーザーセッションが終了すると、Cache Cleaner は、これらの
サーバーを起点とするブラウザキャッシュの内容を削除します。Cache Cleaner も、
指定されたクリーナ実行間隔で実行されたときに、この内容を削除します。IVE はホ
スト名を解決しないため、ホスト名、FQDN、IP アドレスなど、サーバーに関する情
報をすべて入力します。この点に注意してください。
4.
Files and Folders で、次の操作を行います。
a.
b.
5.
次のいずれかを指定します。

Cache Cleaner が削除するファイルの名前、または

Cache Cleaner が削除するコンテンツのフォルダの完全なパス。ディレクト
リを指定する場合、このディレクトリ内のすべてのサブディレクトリの内容
も消去するには、Clear Subfolders をオンにします。
ユーザーセッション終了時にのみ、Cache Cleaner にディレクトリ内容を消去さ
せたい場合は、Clear folders only at the end of session チェックボックスをオン
にします。このチェックボックスをオフした場合、Cache Cleaner は、指定され
た消去実行間隔でファイルとフォルダを削除します。
これらの設定をグローバルに保存するには、Save Changes をクリックします。
メモ : Internet Explorer ブラウザの場合、Files and Folders で指定したディレクトリに
関わらず、Cache Cleaner は Internet Explorer のキャッシュをすべて自動的に消去しま
す。Firefox ブラウザの場合、Cache Cleaner が消去するのは Files and Folders で指定さ
れたディレクトリだけです。
Cache Cleaner タブ 203
Juniper Networks NetScreen Secure Access 700 管理ガイド
AAA Servers ページの設定
AAA Servers ページを使用して、認証サーバーを設定することができます。詳細は、以下
を参照してください。

205 ページの「認証サーバーインスタンスを定義する」

205 ページの「認証サーバーインスタンスを変更する」

206 ページの「ローカル認証サーバーインスタンスを構成する」

211 ページの「LDAP サーバーインスタンスの設定」

214 ページの「NIS サーバーインスタンスの設定」

215 ページの「ACE/Server インスタンスの構成」

218 ページの「RADIUS サーバーインスタンスの設定」

226 ページの「Active Directory または NT ドメインインスタンスの設定」

231 ページの「匿名サーバーインスタンスを構成する」

233 ページの「証明書サーバーインスタンスを設定する」

235 ページの「ユーザーセッションの表示と削除」
メモ : 選択するサーバーの種類を決定するときは、次の点にご注意ください。

ACE および Radius サーバーインスタンスは、IVE ごとにそれぞれ 1 つだけ作成で
きます。

Active Directory サーバーを次のプロトコルで認証します。

204
AAA Servers ページの設定
NTLM protocol － Active Directory/Windows NT Domain を選択します。詳細に
ついては、226 ページの「Active Directory または NT ドメインインスタンスの
設定」を参照してください。
LDAP protocol － LDAP Server を選択します。詳細については、211 ページの
「LDAP サーバーインスタンスの設定」を参照してください。
ユーザー管理者を認証するためにローカル IVE サーバーインスタンスを作成する場
合、IVEAuthentication を選択する必要があります。詳細については、206 ページの
「ローカル認証サーバーインスタンスを構成する」を参照してください。
Juniper Networks NetScreen Secure Access 700 管理ガイド
認証サーバーインスタンスを定義する
認証サーバーインスタンスを定義するには、このページを使用します。認証サーバーは
ユーザーの資格情報を認証し、承認サーバーは、IVE がシステムにおけるユーザー権限を
判別するために使用するユーザー情報を提供します。たとえば、証明書サーバーインスタ
ンスを指定して、ユーザーのクライアントサイド証明書属性に基づいてユーザーを認証
し、次に LDAP サーバーインスタンスを作成して、CRL（証明書失効リスト）の値に基づ
いてユーザーを承認することができます。認証サーバーの詳細については、46 ページの
「認証サーバー」を参照してください。
認証サーバーインスタンスを定義するには、次の操作を行います。
1.
New ドロップダウンメニューから、サーバータイプを選択します。
2.
Go をクリックします。
3.
選択したサーバーに応じて、個々のサーバーインスタンスを設定します。
4.
管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定し
ます。詳細については、241 ページの「認証領域ポリシーの指定」を参照してくだ
さい。
5.
ローカル IVE 認証サーバーを設定している場合は、ローカルユーザーアカウントを
定義します。手順については、206 ページの「ローカル認証サーバーインスタンスを
構成する」を参照してください。
認証サーバーインスタンスを変更する
認証サーバーインスタンスを変更するには、次の操作を行います。
1.
Signing In > AAA Servers を選択します。
2.
変更するサーバーへのリンクをクリックします。
3.
該当するサーバーページで変更を行います。
4.
Save Changes をクリックします。
AAA Servers ページの設定

205
Juniper Networks NetScreen Secure Access 700 管理ガイド
ローカル認証サーバーインスタンスを構成する
次のトピックについて説明します。

206 ページの「ローカル認証サーバーの概要」

206 ページの「ローカル認証サーバーインスタンスを定義する」

208 ページの「ローカルユーザーの作成」

208 ページの「ユーザーアカウントの管理」

209 ページの「ユーザー管理権限のエンドユーザーへの委任」
ローカル認証サーバーの概要
IVE では、IVE で認証されるユーザーのローカルデータベースを 1 つ以上作成できます。
通常は外部の認証サーバーでユーザーを認証するが、この外部認証サーバーを無効にする
予定がある場合や、一時的なユーザーのグループを作成する場合には、ローカルユー
ザーレコードを作成すると便利です。すべての管理者アカウントはローカルレコードと
して保存されますが、241 ページの「認証領域ポリシーの指定」で説明する手順に従っ
て、外部サーバーで管理者を認証することもできます。
ローカル認証サーバーインスタンスを定義する
新しい IVE サーバーインスタンスを定義するときには、一意なサーバー名を指定し、パ
スワードオプションとパスワード管理を設定する必要があります。パスワードオプショ
ンでは、パスワードの長さ、文字の構成、および一意性を設定できます。必要に応じて、
自分のパスワードを変更する権限をユーザーに与えて、指定した日数が経過した後、ユー
ザーにパスワードの変更を強制することができます。また、有効期限が到来する数日前
（日数を指定）に、パスワードを変更するよう、ユーザーに要求することもできます。
ローカル認証サーバーインスタンスを定義するには、以下の操作を行います。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
次のいずれかの操作を行います。

新しいサーバーインスタンスを IVE 上で作成するには、New リストから
IVEAuthentication を選択して、New Server をクリックします。

既存のサーバーインスタンスを更新するには、Authentication/Authorization
Servers リストから該当するリンクをクリックします。
3.
新しいサーバーインスタンスを識別する名前を指定するか、既存のサーバーの現在
の名前を編集します。
4.
パスワードオプションを指定します。
a.
Password options で、パスワードの最低文字数を設定します。
b.
パスワードの最大文字数を構成します ( オプション )。最大文字数は最低文字数
以下に設定できません。最大文字数に上限はありません。
メモ : すべてのパスワードを同じ文字数にする場合は、最低文字数と最大文字数を同じ
値にします。
c.
206
Password must have at least_digits チェックボックスをオンにして、パスワード
に必要な桁数を指定します（オプション）。Maximum length オプションの値以
上の桁数を要求しないでください。
ローカル認証サーバーインスタンスを構成する
Juniper Networks NetScreen Secure Access 700 管理ガイド
d.
Password must have at least_letters チェックボックスをオンにして、パスワー
ド必要な文字数を指定します（オプション）。Maximum length オプションの値
以上の文字数を要求しないでください。前のオプションをオンにした場合は、こ
の 2 つのオプションの合計が Maximum length オプションに指定した値を超え
ることはできません。
e.
すべてのパスワードに大文字と小文字を混在させる場合は、Password must
have mix of UPPERCASE and lowercase letters チェックボックスをオンにします
（オプション）。
メモ : 大文字小文字の混在も要求した場合、パスワードには少なくとも 2 文字を含める
必要があります。
5.
f.
パスワードをユーザー名と同じにできないようにするには、Password must be
different from username チェックボックスをオンにします（オプション）
。
g.
新しいパスワードを前のパスワードと同じにできないようにするには、New
passwords must be different from previous password チェックボックスをオンに
します（オプション）。
パスワード管理オプションを指定するには、次の操作を行います。
a.
ユーザーが自分のパスワードを変更できるようにする場合は、Password
management で Allow users to change their passwords チェックボックスをオン
にします（オプション）。
b.
パスワードの期限切れまでの日数を指定するには、Force password change after
_ days チェックボックスをオンにします（オプション）。
メモ : デフォルトは 64 日間ですが、この値は任意の数値に設定できます。
c.
Prompt users to change their password _ days before current password expires
チェックボックスをオンにして、パスワードの有効期限が到来する何日前にユー
ザーにパスワードの入力を要求するかを指定します（オプション）。
メモ : デフォルト値は 14 日ですが、この値は、前のオプションで指定した数字の範囲
内で設定することが可能です。
6.
Save Changes をクリックします。初めてサーバーインスタンスを作成する場合は、
Users タブと Admin Users タブが表示されます。
メモ : パスワードオプションとパスワード管理オプションの設定後、管理者とユーザー
を認証および承認するためにサーバーが使用する領域も指定する必要があります。
Administrators/Users > Authentication > 領域 > Authentication Policy > Password
ページの Enable Password Management オプションを使用して、領域がローカル認証
サーバーインスタンスからパスワード管理設定を継承するかどうかを指定します。パス
ワード管理を有効にする方法については、402 ページの「パスワード文字数制限の指
定」を参照してください。
ローカル認証サーバーインスタンスを構成する

207
Juniper Networks NetScreen Secure Access 700 管理ガイド
ローカルユーザーの作成
ローカル認証サーバーインスタンスを作成する場合は、そのデータベースにローカル
ユーザーレコードを定義する必要があります。ローカルユーザーレコードは、ユーザー
名、ユーザーの氏名、ユーザーのパスワードで構成されています。通常は外部の認証サー
バーでユーザー認証を行いますが、この外部の認証サーバーを無効にすることがある場合
や、一時的なユーザーのグループを作成する場合は、ローカルユーザーレコードを作成
します。
ローカル認証サーバー用にローカルユーザーレコードを作成するには、次の操作を行い
ます。
1.
Web コンソールで、次のいずれかを実行します。

Signing In > AAA Servers を選択して、ユーザーアカウントを追加する IVE デー
タベースをクリックします。次に、Users タブを選択して、New をクリックしま
す。
メモ : Last Access Statistics 列の Users タブで、すべてのユーザーアカウントに対する
いくつかのアクセス統計情報を見ることができます。これらの列は、IVEWeb console に
表示される Users タブのすべてに表示されます。統計には、ユーザーが前回正常にサイ
ンインした時の日時と、ブラウザの種類とバージョンが含まれます。

2.
Users > New User を選択します。
ユーザー名を入力します。
メモ :

ユーザー名に "~~" は使えません。

アカウントの作成後にユーザー名を変更する場合、新規アカウントを作成する必要
があります。
3.
ユーザーの氏名を入力します。
4.
パスワードを入力してから確認のため再入力します。
メモ : 入力するパスワードは、関連するローカル認証サーバーインスタンスに指定した
パスワードオプションの指定を満たすものにします。
5.
初回のサインイン時にユーザーに自分のパスワードを変更させる場合は、Require
user to change password at next sign in チェックボックスをオンにします。
6.
(Users > New User ページのみ）Authenticate Using リストから、ユーザーアカウン
トを追加したい IVE データベースを選択します。
7.
Save Changes をクリックします。ユーザーレコードが IVE データベースに追加され
ます。
ユーザーアカウントの管理
ローカルユーザーアカウントを管理するには、次の操作を行います。
1.
208
Web コンソールで、Signing In > AAA Servers を選択します。
ローカル認証サーバーインスタンスを構成する
Juniper Networks NetScreen Secure Access 700 管理ガイド
2.
Authentication/Authorization Servers リストの適切なサーバーリンクをクリックし
ます。
3.
Users タブを選択します。
4.
次のいずれかのタスクを実行します。

特定のユーザーを検索するには、Show users named フィールドにユーザー名を
入力して、Update をクリックします。
また、ワイルドカードとしてアスタリスク “*” を使用できます。“*” は 0 を含む
任意の文字数の文字を表します。たとえば、jo という文字を含むユーザー名をす
べて検索するには、Show users named フィールドに “*jo*” と入力します。検索
では大文字と小文字が区別されます。アカウントのリスト全体を再び表示する場
合は、“*“ を入力するか、フィールドに指定した文字を削除して、Update をク
リックします。

ページに表示するユーザーの数を制限するには、Show N users フィールドに数
字を入力し、Update をクリックします。

個々のユーザーの IVE セッションを終了するには、ユーザーの横にあるチェック
ボックスをクリックし、Delete をクリックします。
ユーザー管理権限のエンドユーザーへの委任
ユーザー管理者はローカル IVE 認証サーバーを管理できます。ユーザー管理者は領域や
ロールのマッピングを管理できません。したがって、管理者が介入しなくてもユーザー管
理者が新しいユーザーを追加できるように、認証領域のロールマッピング規則に「一致
しない」ユーザー (*) にも IVE へのサインインを許可している場合にのみ、User Admin 機
能を有効にすることをお勧めします。（ロールマッピングが自動になっている場合、ユー
ザー管理者は、手動で新しいユーザーをロールにマッピングするように管理者に依頼する
必要はありません。）
ユーザー管理の権限をエンドユーザーに委任するには、次の操作を行います。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
ユーザー管理者に管理を任せたいローカル認証サーバーインスタンスを選択し、
Admin Users タブをクリックします。
メモ : ユーザー管理者が管理できるのは、ローカル認証サーバーだけです。
3.
選択した認証サーバーに対するアカウントを管理したいユーザーの Username を入
力します。このユーザーが、管理対象のサーバーにローカルユーザーとして追加され
ている必要はありません。
メモ : ユーザー管理者のユーザー名は厳密に一致する必要があるので、入力するときは
十分に注意してください。
4.
ユーザー管理者が IVE へのサインイン時にマッピングする Authentication Realm を
選択します。
5.
Add をクリックします。新しいユーザー管理者は username@servername という形
式で、User Admins リストに追加されます。
ローカル認証サーバーインスタンスを構成する

209
Juniper Networks NetScreen Secure Access 700 管理ガイド
6.
指定したユーザー管理者が複数の領域にマッピングする場合、IVE へのサインインに
使用するアカウントに関係なくサーバーを管理できるように、各領域に対して、必要
に応じてステップ 3 ～ 5 を繰り返してください。
7.
ユーザーの管理権限を取り消す場合は、User Admins リストから名前を選択して、
Remove をクリックします。
メモ : セキュアゲートウェイホームページからユーザーを管理する方法については、
エンドユーザーヘルプの「ユーザーの追加および変更」を参照してください。このヘル
プは、エンドユーザーとして IVE にサインインすると呼び出すことができます。
210
ローカル認証サーバーインスタンスを構成する
Juniper Networks NetScreen Secure Access 700 管理ガイド
LDAP サーバーインスタンスの設定
LDAP Server ページには、次のタブがあります。

211 ページの「Settings タブ」－ LDAP サーバーインスタンスを定義するには、このタ
ブを使用します。

213 ページの「Users タブ」－アクティブなユーザーセッションの監視および削除に
は、このタブを使用します。
Settings タブ
IVE は LDAP 固有の 2 つの認証オプションをサポートします。

Unencrypted：ユーザー名とパスワードは、明瞭でシンプルなテキストとして、
LDAP ディレクトリサービスに送信されます。

LDAPS：LDAP ディレクトリサービスに送信される前に、LDAP 認証セッションの
データは、Secure Socket Layer（SSL）プロトコルを使用して暗号化されます。
LDAP サーバーインスタンスの定義
LDAP サーバーインスタンスを定義するには、次の操作を行います。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
次のいずれかの操作を行います。

新しいサーバーインスタンスを IVE 上で作成するには、New リストから LDAP
Server を選択して、New Server をクリックします。

既存のサーバーインスタンスを更新するには、Authentication/Authorization
Servers リストから該当するリンクをクリックします。
3.
サーバーインスタンスを特定する名前を指定します。
4.
IVE がユーザーの検証に使用する LDAP サーバーの名前または IP アドレスを指定しま
す。
5.
LDAP サーバーがリスンするポートを指定します。このポートは通常、非暗号化接続
のときは 389、SSL 使用のときは 636 になります。
6.
バックアップ LDAP サーバーのパラメータを指定します（オプション）
。IVE は障害迂
回時に指定されたサーバーを使用します。各認証リクエストはまずプライマリ LDAP
サーバーに送られ、プライマリサーバーにアクセスできない場合には、指定された
バックアップサーバーに送られます。
メモ : バックアップ LDAP サーバーは、プライマリ LDAP サーバーと同じバージョンで
ある必要があります。また、バックアップ LDAP サーバーを指定した場合、ホスト名で
はなく、IP アドレスを指定するようにお勧めします。ホスト名を IP アドレスに解決する
必要がなくなるので、フェイルオーバーの処理を高速化できます。
7.
8.
9.
ユーザーを認証する LDAP サーバーの種類を指定します。
IVE と LDAP ディレクトリサービス間の接続で、暗号化するのか、または SSL
（LDAP）を使用するのかを指定します。
IVE がプライマリ LDAP サーバーとの接続に待機できる時間と、その後に各バック
アップ LDAP サーバーとの接続に待機できる時間を指定します。
LDAP サーバーインスタンスの設定

211
Juniper Networks NetScreen Secure Access 700 管理ガイド
10. 接続した LDAP サーバーから IVE が検索結果を得るまでに待機できる時間を指定しま
す。
11. IVE アプライアンスと指定した LDAP サーバー間の接続を検証するには、Test
Connection をクリックします。（オプション）
12. 検索を実行するために IVE が LDAP ディレクトリから認証を受ける必要がある場合
は、Authentication required to search LDAP チェックボックスをオンにします。次
に、管理者 DN およびパスワードを入力します。例：
CN=Administrator,CN=Users,DC=eng,DC=Juniper,DC=com
13. Finding user entries で、以下を指定します。

Base DN ユーザーエントリの検索を開始する位置です。例：
DC=eng,DC=Juniper,DC=com

Filter 検索の微調整を行う場合に指定します。例：
samAccountname=<username> or cn=<username>

サインインページで入力したユーザー名を検索に使用するには、フィルタ
に <username> を含めます。

ユーザーごとに 0 または 1 つの DN を返すフィルタを指定します。複数の
DN が返された場合、IVE は最初に返された DN を使用します。
14. IVE は静的グループと動的グループの両方をサポートします。グループ参照を有効に
するには、IVE が LDAP サーバーからグループを検索する方法を指定する必要があり
ます。Determining group membership で、以下を指定します。

Base DN をユーザーグループの検索を開始する位置に指定します。

Filter をユーザーグループの検索を微調整する場合に指定します。

Member Attribute で静的グループのすべてのメンバーを識別します。例：
member
uniquemember (iPlanet-specific)

Query Attribute で動的グループのメンバーを返す LDAP クエリを指定します。
例：
memberURL

212
LDAP サーバーインスタンスの設定
Nested Group Level で 1 つのグループ内でユーザーを検索するレベル数を指定し
ます。レベル数が多くなればなるほど検索に時間がかかるため、検索は 2 レベル
を限度に実行することをお勧めします。
Juniper Networks NetScreen Secure Access 700 管理ガイド

Nested Group Search で検索：

Nested groups in the LDAP Server Catalog －このオプションは、ネスト化
したグループの暗黙的な境界内で検索できるため、高速です。

Search all nested groups －このオプションでは、IVE がまずサーバーカタ
ログを検索します。IVE がカタログ内で一致するもの見つけなかった場合、
LDAP に検索要求して、グループメンバーがサブグループであるかどうかを
判断します。
メモ : 親グループのメンバーがユーザーオブジェクトであるかグループオブジェクト
であるかを判断するため IVE がサーバーカタログ内を見るため、サーバーカタログ内
に親グループと子グループ（ネスト化されたグループ）の両方を加える必要がありま
す。
15. Bind Options で、以下を選択します。

Simple bind ユーザーの資格情報を暗号化せずに LDAP ディレクトリサービスに
送信します。

StartTLS bind ユーザーの資格情報を Transport Layer Security（TLS）プロトコル
を使用して暗号化してから、IVE がデータを LDAP ディレクトリサービスに送信
します。
16. Save Changes をクリックします。初めてサーバーインスタンスを作成する場合には、
Settings タブと Users タブが表示されます。
17. 管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定し
ます。詳細については、241 ページの「認証領域ポリシーの指定」を参照してくだ
さい。
ユーザーの LDAP ホームディレクトリにマップする Windows ファイルブックマークを作
成するには、271 ページの「LDAP サーバーにマップする Windows ブックマークの作成」
を参照してください。
メモ : IVE は、LDAP サーバー上で有効な場合、参照追跡をサポートします。
Users タブ
アクティブなユーザーセッションの監視および削除
サーバーを通じて現在サインインしているユーザーのセッションを監視および削除するこ
とについての詳細は、235 ページの「ユーザーセッションの表示と削除」を参照してくだ
さい。
メモ : IVE Web コンソールは、コンソール全体のさまざまなユーザータブに各ユー
ザーアカウントが前回アクセスした統計情報を、Last Sign-in Statistic 項目に提供しま
す。提供される統計には、各ユーザーが前回正常にサインインした時の日時、ユーザー
の IP アドレス、エージェントとブラウザの種類とバージョンが含まれます。
LDAP サーバーインスタンスの設定

213
Juniper Networks NetScreen Secure Access 700 管理ガイド
NIS サーバーインスタンスの設定
次のトピックについて説明します。

214 ページの「NIS サーバーでユーザーを認証する」

214 ページの「NIS サーバーインスタンスの定義」
NIS サーバーでユーザーを認証する
UNIX/NIS サーバーでユーザーを認証する場合、IVE は、サインインページに入力された
ユーザー名とパスワードと、NIS サーバーにある有効なユーザー ID とパスワードを照合
して、一致しているかどうか確認します。IVE に送信するユーザー名には、2 つの連続し
たチルダ（~~）は使用できません。
メモ : IVE で NIS 認証を使用できるのは、パスワードが Crypt または MD5 フォーマット
を使用して NIS サーバー上に格納されている場合のみです。また、IVE に追加できる NIS
サーバー設定は 1 つだけです。ただし、その設定を使用して領域の任意のメンバーを認
証できます。
NIS サーバーインスタンスの定義
NIS サーバーインスタンスを定義するには、次の操作を行います。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
次のいずれかの操作を行います。

新しいサーバーインスタンスを IVE 上で作成するには、New リストから NIS
Server を選択して、New Server をクリックします。

既存のサーバーインスタンスを更新するには、Authentication/Authorization
Servers リストから該当するリンクをクリックします。
3.
サーバーインスタンスを特定する名前を指定します。
4.
NIS サーバーの名前または IP アドレスを指定します。
5.
NIS サーバーのドメイン名を指定します。
6.
Save Changes をクリックします。初めてサーバーインスタンスを作成する場合には、
Settings タブと Users タブが表示されます。
7.
管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定し
ます。詳細については、241 ページの「認証領域ポリシーの指定」を参照してくだ
さい。
メモ : サーバーを通じて現在サインインしているユーザーのセッションを監視および削
除することについての詳細は、235 ページの「ユーザーセッションの表示と削除」を参
照してください。
214
NIS サーバーインスタンスの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
ACE/Server インスタンスの構成
次のトピックについて説明します。

215 ページの「ACE/Server の概要」

216 ページの「ACE/Server インスタンスを定義する」

216 ページの「ACE/Agent 構成ファイルの生成」
ACE/Server の概要
RSA ACE/Server でユーザーを認証する場合、ユーザーは標準 IVE サインインページを表
示して、ユーザー名とパスワード（PIN と RSA SecurID ハードウェアまたはソフトウェア
トークンの現在値を結合した値）を入力します。次に、IVE は、ユーザーの資格情報を
ACE/Server に転送します。
ACE/Server によって認証されると、ユーザーは IVE へのアクセスが許可されます。認証で
きなかった場合は、ACE/Server は以下の処理を行います。

ユーザーの資格情報が認められなかった場合は、ユーザーアクセスを拒否します。

ユーザーが IVE に初めてサインインする場合は、ユーザーは新しい PIN（New PIN
モード）を生成するよう要求されます。（サインインの方法によって異なるメッセー
ジが表示されます。ユーザーが SoftID プラグインを使用してサインインした場合は、
新しい PIN の作成を求める RSA プロンプトが表示されます。それ以外の場合は、IVE
プロンプトが表示されます。）

ユーザーが入力したトークンが ACE/Server が予期するトークンと同期していない場
合、ユーザーに次のトークン（Next Token モード）を入力するよう要求します。
（Next Token モードで、SoftID トークンを使用してもユーザーは速やかにサインイン
できます。RSA SecurID ソフトウェアは、ユーザーの操作なしで、IVE を通じてトー
クンを ACE/Server に渡します）。

ユーザーを標準 IVE サインインページにリダイレクトする（SoftID のみ）のは、
SecurID ソフトウェアがインストールされていないコンピュータで、ユーザーが RSA
SecurID Authentication ページにサインインしようとした場合です。
ユーザーが New PIN または Next Token モードに入った場合、必要な情報を 3 分以内に入
力する必要があります。時間が過ぎると、IVE はトランザクションをキャンセルし、資格
情報を再び入力するように指示してきます。
IVE は、最大 200 の ACE/Server トランザクションを同時に制御できます。1 つのトランザ
クションは、ACE/Server に対する認証に必要な時間のみ持続します。たとえば、ユーザー
が IVE にサインインすると、ユーザーが認証要求を送信したときに ACE/Server のトラン
ザクションが開始し、ACE/Server が要求処理を完了したときにトランザクションが終了
します。ACE/Server のトランザクションが閉じた後でも、ユーザーは自分の IVE セッショ
ンを開いたままにすることができます。
IVE は、以下の ACE/Server 機能をサポートします。New PIN モード、Next Token モード、
DES/SDI 暗号化、AES 暗号化、スレーブ ACE/Server のサポート、ネームロッキング、ク
ラスタ化がサポートされる機能です。また IVE では、RADIUS プロトコルを使用して、
RSA SecurID の New PIN モードと Next Token モードもサポートされます。
メモ : ACE/Server ライブラリには UNIX 固有の制限事項があるため、ACE/Server 構成を
1 つしか定義できません。ACE サーバー上で IVE の ACE/Agent 構成ファイルを生成する
方法については、216 ページの「ACE/Agent 構成ファイルの生成」を参照してください。
ACE/Server インスタンスの構成

215
Juniper Networks NetScreen Secure Access 700 管理ガイド
ACE/Server インスタンスを定義する
メモ : ACE/Server インスタンスは 1 つだけ追加することができます。
ACE/Server を定義するには、次の操作を行います。
1.
IVE のために ACE サーバー上で ACE/Agent 設定ファイル（sdconf.rec）を生成する必
要があります。詳細については、216 ページの「ACE/Agent 構成ファイルの生成」を
参照してください。
2.
Web コンソールで、Signing In > AAA Servers を選択します。
3.
次のいずれかの操作を行います。

新しいサーバーインスタンスを IVE で作成するには、New リストから ACE
Server を選択して、New Server をクリックします。

既存のサーバーインスタンスを更新するには、Authentication/Authorization
Servers リストから該当するリンクをクリックします。
4.
サーバーインスタンスを特定する名前を指定します。
5.
デフォルトポートを ACE Port フィールドに指定します。IVE は、sdconf.rec ファイ
ルにポートが指定されていない場合にのみ、この構成を使用します。
6.
RSA ACE/Agent 構成ファイルをインポートします。ソースファイルに変更を加えた場
合は、必ず IVE でこのファイルを更新してください。同様に、IVE からインスタンス
ファイルを削除する場合は、216 ページの「ACE/Agent 構成ファイルの生成」の説明
に従って ACE Server Configuration Management アプリケーションを起動し、Sent
Node Secret チェックボックスをオフにします。
7.
Save Changes をクリックします。初めてサーバーインスタンスを作成する場合には、
Settings タブと Users タブが表示されます。
8.
管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定
します。詳細については、241 ページの「認証領域ポリシーの指定」を参照して
ください。
メモ : サーバーを通じて現在サインインしているユーザーのセッションを監視および削
除することについての詳細は、235 ページの「ユーザーセッションの表示と削除」を参
照してください。
ACE/Agent 構成ファイルの生成
認証のために ACE/Server を使用する場合、IVE 用に ACE サーバー上で ACE/Agent 設定
ファイル（sdconf.rec）を生成する必要があります。
ACE/Agent 構成ファイルを生成するには、次の操作を行います。
216
1.
ACE Server Configuration Management アプリケーションを起動して、Agent Host を
クリックします。
2.
Add Agent Host をクリックします。
3.
Name には、IVE エージェントの名前を入力します。
4.
Network Address には、IVE の IP アドレスを入力します。
ACE/Server インスタンスの構成
Juniper Networks NetScreen Secure Access 700 管理ガイド
5.
ACE サーバーで構成されるサイトを Site に入力します。
6.
Agent Type で、Communication Server を選択します。
7.
Encryption Type で、DES を選択します。
8.
Sent Node Secret が選択されていないことを確認します（新しいエージェントの
作成時）。
IVE が送信した要求を ACE サーバーが初めて正常に認証すると、ACE サーバーは
Sent Node Secret を選択します。これ以降、次の認証要求で ACE サーバーから新しい
ノードシークレットを IVE に送信したい場合は、次の手順を行います。
9.
a.
Sent Node Secret チェックボックスをクリックして、チェックを解除します。
b.
IVE Web コンソールにサインインして、Signing In > AAA Servers を選択し
ます。
c.
Authentication/Authorization Servers リストの ACE サーバーの名前をクリック
します。
d.
Node Verification File で、適切なチェックボックスを選択して、Delete をク
リックします。これらのステップで、IVE と ACE サーバーの同期が確実に行われ
ます。同様に、IVE から検証ファイルを削除した場合は、ACE サーバーで Sent
Node Secret チェックボックスのチェックを外す必要があります。
Assign Acting Servers をクリックして、適切な ACE サーバーを選択します。
10. Generate Config File をクリックします。ACE サーバーを IVE に追加する場合、この
設定ファイルをインポートすることになります。
ACE/Server インスタンスの構成

217
Juniper Networks NetScreen Secure Access 700 管理ガイド
RADIUS サーバーインスタンスの設定
次のトピックについて説明します。

218 ページの「RADIUS サーバーの概要」

218 ページの「サポートされる認証方式」

218 ページの「RADIUS ユーザーのためのユーザー機能」

220 ページの「RADIUS アカウンティングの有効化」

223 ページの「IVE を RADIUS サーバーと連動するよう設定する」
RADIUS サーバーの概要
RADIUS（リモート認証ダイヤルインユーザーサービス）は、遠隔ユーザーに対する認証
とアカウンティングを集中管理できるサーバーの一種です。RADIUS サーバーで IVE ユー
ザーを認証する場合は、IVE をクライアントとして認識するように RADIUS サーバーを設
定し、クライアント要求の認証に使用する RADIUS サーバーの共有シークレットを指定す
る必要があります。
サポートされる認証方式
IVE は、以下の標準の RADIUS 認証方式をサポートします。

Access-Request

Access-Accept

Access-Reject

Access-Challenge
また IVE は、RADIUS プロトコルや SecurID トークン（Security Dynamics から入手可能）
を使用して、RSA ACE/Server をサポートします。ユーザーの認証に SecurID を使用する場
合、ユーザーはユーザー ID とともに、PIN とトークン値を結合した値を指定する必要が
あります。
RADIUS サーバーを定義するときに、管理者は、Defender 4.0 と一部の RADIUS サーバー
の実装（Steelbelted-RADIUS および RSA RADIUS など）をサポートするハードコードされ
たチャレンジ式を使用するか（デフォルト）、カスタムチャレンジ式を入力して、IVE で
さまざまな RADIUS の実装と Defender 5.0 などの新バージョンの RADIUS サーバーを使
用可能にすることができます。IVE はサーバーから受け取った Access-Challenge パケット
内でレスポンスを探し、適切な Next Token、New Pin、または Generic Passcode チャレン
ジをユーザーに発行します。
RADIUS ユーザーのためのユーザー機能
ユーザーの操作は、PassGo Defender RADIUS サーバーや CASQUE 認証を使用するかどう
かにより異なります。
PassGo Defender RADIUS サーバーを使用する
PassGo Defender RADIUS Server を使用している場合、ユーザーは次の手順でサインイン
を行います。
1.
218
ユーザーは、ユーザー名とパスワードを入力して IVE にサインインします。IVE は、
これらの資格情報を Defender に転送します。
RADIUS サーバーインスタンスの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
2.
Defender は固有のチャレンジ文字列を IVE に送信し、IVE はこのチャレンジ文字列を
ユーザーに表示します。
3.
ユーザーは、Defender トークンにチャレンジ文字列を入力し、トークンはレスポン
ス文字列を生成します。
4.
ユーザーは IVE にレスポンス文字列を入力し、Sign In をクリックします。
CASQUE 認証の使用
CASQUE 認証は、クライアントシステムにインストールされた CASQUE プレイヤーを用
いたトークンベースのチャレンジ / レスポンス認証メカニズムを使用します。CASQUE 認
証が設定されると、RADIUS サーバーはカスタムチャレンジ式（:([0-9a-zA-Z/+=]+):）に
一致するレスポンスを持つチャレンジを発行します。次に IVE は中間ページを生成し、そ
こでユーザーのシステムにインストールされた CASQUE プレイヤーを自動起動します。
メモ : CASQUE プレイヤーが自動的に起動しない場合は、Launch CASQUE Player リン
クをクリックします。
ユーザーは、自分の CASQUE Optical Responder トークンを使用して対応するパスコード
を生成し、そのパスコードを Response フィールドに入力して Sign In をクリックする必
要があります。
図 30: CASQUE プレイヤーを備えた CASQUE 認証チャレンジ / レスポンスページ
RADIUS サーバーインスタンスの設定

219
Juniper Networks NetScreen Secure Access 700 管理ガイド
RADIUS アカウンティングの有効化
Secure Access 700 を設定して、セッションの開始および停止のメッセージを RADIUS ア
カウンティングサーバーに送信することができます。IVE は、Network Connect セッショ
ンの 2 つのカテゴリ（ユーザーセッションとサブセッション）を認識します。ユーザー
セッションには複数のサブセッションが含まれます。
ユーザーがサインインに成功し、IVE によってユーザーがロールにマッピングされると、
IVE はユーザーセッションの開始メッセージを送信します。サブセッションがアクティブ
になると、IVE はサブセッションの開始メッセージを送信します。ユーザーからサブセッ
ション終了の明示的な要求がある場合、またはユーザーセッションが終了する場合、IVE
はサブセッション停止のメッセージを送信します。
ユーザーセッションが終了すると、IVE はアカウンティングサーバーにユーザーセッ
ション停止メッセージを送信します。ユーザーが以下の状況の場合に、ユーザーセッショ
ンは常に終了します。

IVE を手動でサインアウトした場合

無通信状態か、最大セッション長さを超過したため、IVE がタイムアウトした場合

Host Checker または Cache Cleaner のロールレベルの制限のためにアクセスを拒否さ
れた場合

管理者により、または動的ポリシー評価によって、IVE から手動で退出させられ
た場合
さらに、IVE はすべてのアクティブなサブセッションの停止メッセージを送信します。
サブセッションの停止メッセージは、ユーザーセッションの停止メッセージに先立ち
ます。
メモ : ユーザーが IVE クラスタにサインインしていると、RADIUS アカウンティング
メッセージはユーザーが 1 つのノードにサインインし、別のノードからサインアウトし
ているように表示する場合があります。
220
RADIUS サーバーインスタンスの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
以下の 3 つの表は開始メッセージと停止メッセージに共通する属性、開始メッセージに
固有の属性、停止メッセージに固有の属性について説明しています。
表 9: 開始メッセージと停止メッセージの両方に共通する属性
属性
説明
User-Name (1)
RADIUS サーバーの設定時に、IVE 管理者によって指定される文
字列。
NAS-IP-Address (4)
IVE の IP アドレス
NAS-Port (5)
IVE は、ユーザーが内部ポートを使用してサインインするとこの
属性を 0 に設定し、外部ポートを使用してサインインすると 1
に設定します。
Framed-IP-Address (8)
ユーザーのソース IP アドレス
NAS-Identifier (32)
RADIUS サーバーの構成における IVE クライアントの設定名。
Acct-Status-Type (40)
IVE はユーザーセッションまたはサブセッションで、開始メッ
セージに対してこの属性を 1 に設定し、停止メッセージに対し
てこの属性を 2 に設定します。
Acct-Session-Id (44)
ユーザーセッションまたはサブセッションに対応する、開始
メッセージと停止メッセージに一致する一意のアカウンティン
グ ID
Acct-Multi-Session-Id (50)
関連する複数のセッションをリンクするのに使用できる一意の
アカウンティング ID。リンクされたセッションには、それぞれ
一意の Acct-Session-Id と同一の Acct-Multi-Session-Id を保持して
いる必要があります。
Acct-Link-Count (51)
IVE がアカウンティング記録を作成する時点での、マルチリン
クセッションにおけるリンク数。
表 10: 開始の属性
属性
説明
Acct-Authentic (45)
IVE はこの属性を以下のように設定します。
RADIUS －ユーザーが RADIUS サーバーに認証された場合
Local －ユーザーが
IVE Local Authentication Server に認証さ
れた場合
Remote －それ以外の場合
RADIUS サーバーインスタンスの設定

221
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 11: 停止の属性
属性
説明
Acct-Session-Time (46)
ユーザーセッションまたはサブセッションの持続時間
Acct-Terminate-Cause (49)
IVE は以下の値を使用して、ユーザーセッションまたはサブ
セッションの終了の原因となったイベントを指定します。
User Request (1) －ユーザーが手動でサインアウト
Idle Timeout (4) －ユーザーのアイドリングによるタイム
アウト
Session Timeout (5) －ユーザーのセッション制限時間超過に
よるタイムアウト
Admin Reset (6) －ユーザーの Active Users ページからの強制
退出
Acct-Input-Octets
セッションが終了したときは JSAM/WSAM/NC セッションレベル
のオクテットベースのカウント、セッションが終了して中間更
新時間が到達したときはユーザーセッションレベルの Octet
ベースのカウント。IVE からクライアントに送られます。
Acct-Output-Octets
セッションが終了したときは JSAM/WSAM/NC セッションレベル
のオクテットベースのカウント、セッションが終了して中間更
新時間が到達したときはユーザーセッションレベルの Octet
ベースのカウント。クライアントから IVE に送られます。
ユーザーセッションとサブセッションを見分けるには、Acct-Session-Id と Acct-MultiSession-Id を調べます。ユーザーセッションでは、これらの属性は両方とも同じです。サ
ブセッションでは、Acct-Multi-Session-Id はペアレントユーザーセッションの Acct-MultiSession-Id と同じであり、Secure Access 700 は Acct-Session-Id の “NC” のサフィックスの
いずれかを使用してサブセッションを表します。
クラスタリングの問題について理解する
アカウンティングメッセージは、各クラスタノードによって併合なしに RADIUS に送ら
れます。IVE の RADIUS アカウンティングには以下の前提条件があります。

クラスタがアクティブ / パッシブの場合、すべてのユーザーが 1 度に 1 つのノードに
接続されます。

クラスタがアクティブ / アクティブの場合で、バランサを使用しない場合は、ユー
ザーがそれぞれ別の静的ノードに接続されます。

クラスタがアクティブ / アクティブの場合で、バランサを使用する場合は、通常バラ
ンスが固定ソース IP を強制します。この場合、ユーザーは常に同じノードに接続し
ます。
IVE は、RADIUS に対してロードバランサをサポートしません。
222
RADIUS サーバーインスタンスの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
中間更新機能について理解する
サーバーが中間アカウンティングメッセージを受信できるよう、クライアント上で中間
値を静的に設定することができます。この場合、RADIUS Access-Accept メッセージにこの
値が含まれていると、ローカルで設定された値が優先されます。
アカウンティングメッセージ内で報告されたオクテット値は、ユーザーセッションの開
始時からの累計です。
中間更新バイト数はユーザーセッションにのみ基づいてサポートされ、SAM あるいは NC
セッションに基づいてサポートされません。
IVE を RADIUS サーバーと連動するよう設定する
このセクションでは、IVE と RADIUS を連動するように設定する手順を説明します。

223 ページの「IVE RADIUS サーバーインスタンスの定義」

225 ページの「IVE を認識するよう RADIUS サーバーを設定する」
IVE RADIUS サーバーインスタンスの定義
IVE で RADIUS サーバーとの接続を設定するには、次の操作を行います。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
次のいずれかの操作を行います。
3.

新しいサーバーインスタンスを IVE 上で作成するには、New リストから Radius
Server を選択して、New Server をクリックします。

既存のサーバーインスタンスを更新するには、Authentication/Authorization
Servers リストから該当するリンクをクリックします。
Radius Server ページの上部で、次の操作を行います。
a.
サーバーインスタンスを特定する名前を指定します。
b.
RADIUS サーバーの名前または IP アドレスを指定します。
c.
RADIUS サーバーの認証ポート値を入力します。通常、このポートは 1812 です
が、一部のレガシーサーバーは 1645 を使用することがあります。
d.
共有シークレットの文字列を入力します。RADIUS サーバーが IVE マシンをクラ
イアントとして認識するように設定する場合は、この文字列も入力する必要があ
ります。
e.
RADIUS サーバーのアカウンティングポート値を入力します。通常、このポート
は 1813 ですが、一部のレガシーサーバーは 1646 を使用することがあります。
f.
IVE が RADIUS サーバーからの応答をどれだけの時間待ってから、タイムアウト
して接続を切るかを指定します。
g.
最初の試行が失敗した後に、IVE が接続を試みる回数を入力します。
h.
ユーザーによって入力されたパスワードを他の SSO 対応のアプリケーションに
送信したくない場合は、Users authenticate using tokens or one-time passwords
チェックボックスをオンにします。ユーザーが 1 回限りのパスワードを IVE に送
信する場合、通常、このオプションを選択する必要があります。
RADIUS サーバーインスタンスの設定

223
Juniper Networks NetScreen Secure Access 700 管理ガイド
4.
5.
Backup Server のセクションで、事例に定義されたプライマリサーバーにアクセスで
きなかった場合に、IVE が使用するセカンダリ RADIUS サーバーを入力します。セカ
ンダリサーバーに、以下のサーバー情報を入力します。
a.
名前または IP アドレス
b.
認証ポート
c.
共有シークレット
d.
アカウンティングポート
この RADIUS サーバーの事例を使用して、ユーザーの IVE 使用状況を調べる場合は、
次の情報を Radius Accounting セクションに入力します。
a.
NAS-Identifier フィールドに、RADIUS サーバーと通信を行う IVENetwork Access
Server（NAS）クライアントを特定する名前を入力します。このフィールドが空
白の場合、IVE は、Web コンソールの System > Network > Overview ページに
ある Hostname フィールドで指定された値を使用します。Hostname フィールド
に値が指定されていない場合、IVE は、“Juniper IVE” の値を使用します。
b.
User-Name フィールドで、IVE が RADIUS アカウンティングサーバーに送信す
るユーザー情報を指定します。該当する変数には、ユーザーのサインインとロー
ルへの割り当て後に設定されるものが含まれます。このフィールドのデフォルト
変数には以下のものがあります。

<username> はユーザーの IVE ユーザー名をアカウンティングサーバーに
記録します。

<REALM> は、ユーザーの IVE 領域をアカウンティングサーバーに記録しま
す。

<ROLE> は、ユーザーの IVE ロールをアカウンティングサーバーに記録し
ます。ユーザーが複数のロールに割り当てられている場合、IVE はカンマで
区切ります。
6.
中間更新レベルを追加します（分単位）。中間更新レベルでは、長期性のセッション
クライアントに対して、またネットワークにエラーが生じた場合に、より正確な請求
を行うことができます。詳細については、223 ページの「中間更新機能について理解
する」を参照してください。
7.
カスタムチャレンジ式を追加します（オプション）。チャレンジ式は 3 種類あり、そ
れぞれが、事前入力されたデフォルトに自動的に設定されています。管理者はカスタ
ムオプションを使用して、3 つのいずれかのモードに一致する実際の文字列パター
ンを設定できます。カスタム式を追加するには、該当する種類のチャレンジ式で
Custom ラジオボタンを選択し、関連するテキストボックスにカスタム式を追加し
ます。
メモ : CASQUE 認証を使用するときには、:([0-9a-zA-Z/+=]+): を Generic Login
Challenge Expression のカスタム式として指定します。
8.
224
Save Changes をクリックします。初めてサーバーインスタンスを作成する場合には、
Settings タブと Users タブが表示されます。
RADIUS サーバーインスタンスの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
9.
管理者とユーザーを認証、承認、アカウント処理するために、サーバーが使用する領
域を指定します。詳細については、241 ページの「認証領域ポリシーの指定」を参照
してください。
メモ : このサーバーから現在サインインしているユーザーのセッションを監視および削
除する方法については、235 ページの「ユーザーセッションの表示と削除」を参照して
ください。
IVE を認識するよう RADIUS サーバーを設定する
以下を指定して、RADIUS サーバーが IVE サーバーを認識するように設定する必要があり
ます。

IVE のホスト名。

IVE のネットワーク IP アドレス。

IVE のクライアントの種類（指定可能な場合）。このオプションを利用できる場合は、
Single Transaction Server または類似の値を選択します。

クライアント通信の認証に使用する暗号化の種類。この選択は、クライアントの種類
に対応した値でなければなりません。

Web コンソールの Signing In > AAA Servers > Radius Server ページで RADIUS サー
バーに入力した共有シークレット。
RADIUS サーバーインスタンスの設定

225
Juniper Networks NetScreen Secure Access 700 管理ガイド
Active Directory または NT ドメインインスタンスの設定
次のトピックについて説明します。

226 ページの「Active Directory/Windows NT Server の概要」

227 ページの「マルチドメインユーザーの認証」

228 ページの「Active Directory および NT のグループの検索サポート」

229 ページの「Active Directory または Windows NT ドメインサーバーインスタンス
の定義」
Active Directory/Windows NT Server の概要
NT プライマリドメインコントローラ（PDC）または Active Directory でユーザーを認証
する場合、ユーザーは Windows デスクトップのアクセスに使用する同じユーザー名とパ
スワードで IVE にサインインします。IVE は Windows NT 認証と、NTLM または Kerberos
認証を使用する Active Directory をサポートしています。
ネイティブ Active Directory サーバーを構成すると、サーバーからグループ情報を取得し
て領域のロールマッピング規則に使用できます。この場合には、領域の認証サーバーとし
て Active Directory サーバーを指定してから、グループのメンバーシップに基づいてロー
ルマッピング規則を作成します。IVE には設定されたドメインコントローラとその信頼さ
れる側のドメインに属するすべてのグループが表示されます。詳細については、242 ペー
ジの「認証領域にロールマッピング規則を指定」を参照してください。
メモ :
226

IVE では、Active Directory 環境と Windows NT 環境の信頼関係が維持されます。

IVE は、Active Directory フォレストで定義されたドメインローカルグループ、ド
メイングローバルグループ、ユニバーサルグループをサポートします。さらに、
NT4 サーバーのドメインローカルグループとドメイングローバルグループもサ
ポートします。

IVE は、Active Directory のセキュリティグループのみをサポートし、配布グループ
はサポートしません。セキュリティグループは、権利や許可を割り当てるだけでは
なくＥメールの配布リストとして利用することができるグループです。
Active Directory または NT ドメインインスタンスの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
マルチドメインユーザーの認証
IVE はマルチドメインの Active Directory と Windows NT の認証を許可します。IVE は、
Signing In > AAA Servers > New Active Directory / Windows NT ページで設定されたド
メインのユーザー、子ドメインのユーザー、構成されたドメインが信頼するすべてのドメ
インのユーザーを認証します。
IVE の Active Directory サーバー構成でドメインコントローラとデフォルトドメインのア
ドレスを指定した後、デフォルトドメインのユーザーはユーザー名だけを使用するか、
あるいは defaultdomain\username 形式でのデフォルトドメインとユーザー名を使用し
て IVE の認証を受けます。
信頼される側のドメインの認証を有効にすると、信頼される側のドメインまたは子ドメイ
ンのユーザーは、信頼される側のドメインまたは子ドメインの名前とユーザー名を使用し
た trusteddomain\username 形式で IVE の認証を受けます。信頼される側のドメインの
認証を有効にすることにより、サーバーの応答時間が増えることに留意してください。
Windows 2000 および Windows 2003 のマルチドメイン認証
IVE は、Kerberos ベースの Active Directory の認証を Windows 2000 および Windows 2003
ドメインコントローラでサポートしています。ユーザーが IVE にログインすると、IVE は
Kerberos 認証を実行し、LDAP を呼び出してドメインコントローラに使用する Kerberos
の領域名とすべての子領域名および信頼される側の領域名の取得を試みます。
Active Directory の認証サーバーを構成する際に Kerberos 領域名を指定することもできま
すが、以下にあげる 2 つの理由からこの方法はお勧めしません。

複数の領域名は指定できません。そのために、IVE は指定した領域の子領域または信
頼される側の領域への認証ができません。

領域名の文字を誤って入力すると、IVE は該当する領域にユーザーを認証できなくな
ります。
Windows NT4 のマルチドメインの認証
IVE は Windows NT4 ドメインコントローラでの Kerberos ベース認証をサポートしませ
ん。IVE は、Kerberos 認証の代わりに、NTLM 認証を利用します。
メモ : IVE は、ユーザー認証のために <IVE-IPaddress> 形式のマシン名を使用してデ
フォルトのドメインコントローラサーバーに加わります。
メモ : Windows NT4 ドメインコントローラの DNS 構成が変わった場合は、IVE が、構
成が変わる前に名前を解決できた WINS、DNS、あるいはホストファイルを使用し、引
き続き名前（子ドメインと信頼される側のドメイン）の解決が可能であることを確認し
てください。
Active Directory または NT ドメインインスタンスの設定

227
Juniper Networks NetScreen Secure Access 700 管理ガイド
NT ユーザーの正規化
IVE はマルチドメインの認証をサポートするために、認証プロセスにおいて Active
Directory または NT4 ドメインコントローラを連動するときに「正規化した」NT 資格証
明を使用します。正規化した NT 資格証明にはドメイン名とユーザー名
(domain\username) が含まれます。IVE へのサインイン方法が、ユーザー名だけを使用
するものであっても、domain\username 形式を使用するものであっても、IVE は常に
domain\username 形式のユーザー名を使用します。
ユーザーがユーザー名だけを使用して認証を試みた場合、IVE は常に NT 資格情報を
defaultdomain\username として正規化します。ユーザーがデフォルトドメインのメン
バーである場合のみ、認証が成功します。
IVE は、 domain\username 形式を使用して IVE にサインインするユーザーには、常に
ユーザーが指定したドメインのメンバーとして、そのユーザーの認証を試行します。ユー
ザーが指定したドメインがデフォルトドメインの信頼される側のドメインあるいは子ド
メインである場合にのみ、認証が成功します。ユーザーが無効ドメインあるいは信頼され
ていないドメインを指定すると、認証に失敗します。
<NTUser> および <NTDomain> の 2 つの変数によって、ドメインと NT ユーザーの値を
個々に参照することができます。IVE は、この 2 つの変数を、ドメインと NT ユーザー名
の情報で設定します。
メモ : USER = someusername で Active Directory の認証用に既存のロールマッピング
規則を使用する、あるいは新規ロールマッピング規則を作成する場合、IVE はこの規則
を意味的に NTUser = someusername AND NTDomain = defaultdomain として扱いま
す。これにより、IVE に既存のロールマッピング規則が問題なく適用されます。
Active Directory および NT のグループの検索サポート
IVE は、Active Directory フォレストのドメインローカルグループ、ドメイングローバル
グループ、ユニバーサルグループ、および NT4 サーバーのドメインローカルグループ、
ドメイングローバルグループにおけるユーザーグループの検索をサポートします。
メモ : NT あるいは Active Directory のグループ検索を実行するために、IVE はまず、コ
ンピュータ名 neoterisive$ でドメインコントローラへの参加を試みます。これに成功す
ると、有効なドメイン管理者の資格情報を IVE 上の Active Directory サーバー構成に指定
する必要があります。
Active Directory 検索要件
IVE は、デフォルトドメイン、子ドメイン、およびすべての信頼される側のドメインにお
いて、ドメインローカルグループ、ドメイングローバルグループ、ユニバーサルグ
ループの検索をサポートします。IVE は、グループメンバーを取得するのに、異なる機能
を持った 3 つの方法のいずれかを使用します。
228

ユーザーのセキュリティコンテキストのグループ情報－ユーザーのドメイング
ローバルグループに関する情報を返します。

LDAP 検索コールを使用して取得するグループ情報－ユーザーのドメイングローバ
ルグループに関する情報と、IVE がグローバルカタログサーバーを検索する場合に
はユーザーのユニバーサルグループに関する情報を返します。

ネイティブ RPC コールを使用したグループ情報－ユーザーのドメインローカルグ
ループに関する情報を返します。
Active Directory または NT ドメインインスタンスの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
ロールのマッピング規則に従い、IVE は以下の順でグループの検索を試行します。

IVE は、ユーザーのセキュリティコンテキストを使用して、すべてのドメイング
ローバルグループをチェックします。

ユーザーがこのロールマッピング規則で参照されたグループのメンバーではない場
合、IVE は LDAP クエリを実行して、ユーザーのグループメンバーシップを確認しま
す。

ユーザーがドメインローカルグループのメンバーではない場合、IVE は RPC 検索
コールを実行してユーザーの情報を確認します。
NT4 グループ検索の要件
IVE は、デフォルトドメインに加え、すべての子ドメインとその他の信頼される側のドメ
インで作成された、ドメインローカルグループとドメイングローバルグループにおい
て、グループ検索をサポートします。IVE は、ユーザーのセキュリティコンテキストから
ドメイングローバルグループ情報を、また RPC コールを使用してドメインローカル情
報を取得します。IVE は、NT4 環境では LDAP ベースの検索コールを使用しません。
Active Directory または Windows NT ドメインサーバーインスタンスの定義
Active Directory または Windows NT ドメインサーバーを定義するには、次の操作を行い
ます。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
次のいずれかの操作を行います。

新しいサーバーインスタンスを IVE で作成するには、New リストから Active
Directory/Windows NT を選択して、New Server をクリックします。

既存のサーバーインスタンスを更新するには、Authentication/Authorization
Servers リストから該当するリンクをクリックします。
3.
サーバーインスタンスを特定する名前を指定します。
4.
プライマリドメインコントローラまたは Active Directory の名前または IP アドレス
を指定します。
5.
バックアップドメインコントローラまたは Active Directory の IP アドレスを指定し
ます。（オプション）
6.
アクセス権を与えるユーザーのドメイン名を入力します。
7.
ユーザーが domain\username という形式で IVE サインインページの Username
フィールドにドメイン名を入力できるようにするには、Allow domain to be
specified as part of username チェックボックスをオンにします。
8.
Allow trusted domains のチェックボックスをオンにして、フォレスト内の信頼され
る側のすべてのドメインからグループ情報を取得します。
9.
サーバーの管理者ユーザー名とパスワードを入力します。Active Directory/Windows
NT の認証では、指定した管理者がドメイン管理者になっていることを確認してくだ
さい。
メモ : 変更を保存すると、パスワードの文字数に関係なくパスワードが隠され、アスタ
リスク文字で表示されます。
Active Directory または NT ドメインインスタンスの設定

229
Juniper Networks NetScreen Secure Access 700 管理ガイド
10. Authentication Protocol で、認証中に IVE が使用するプロトコルを指定します。
11. Kerberos Realm Name で、次の操作を行います。

指定された管理者資格情報を使用して Active Directory サーバーから Kerberos 領
域名を取得するよう IVE を設定するには、Use LDAP to get Kerberos realm
name をオンにします。

領域名がわかっている場合は、Specify Kerberos realm name フィールドに
Kerberos 領域名を入力します。
12. Save Changes をクリックします。初めてサーバーインスタンスを作成する場合には、
Settings タブと Users タブが表示されます。
13. 管理者とユーザーを認証および承認するために、サーバーが使用する領域を指定しま
す。詳細については、239 ページの「認証領域の作成」を参照してください。
メモ : サーバーを通じて現在サインインしているユーザーのセッションを監視および削
除することについての詳細は、235 ページの「ユーザーセッションの表示と削除」を参
照してください。
メモ : IVE Web コンソールは、コンソール全体のさまざまな Users タブに各ユーザーア
カウントが前回アクセスした統計情報を、Last Sign-in Statistic 項目に提供します。提供
される統計には、各ユーザーが前回正常にサインインした時の日時、ユーザーの IP ア
ドレス、エージェントとブラウザの種類とバージョンが含まれます。
230
Active Directory または NT ドメインインスタンスの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
匿名サーバーインスタンスを構成する
次のトピックについて説明します。

231 ページの「匿名サーバーの概要」

231 ページの「匿名サーバーインスタンスの定義」
匿名サーバーの概要
匿名サーバー機能を使用すると、ユーザー名またはパスワードを入力せずに IVE にアクセ
スできます。匿名サーバーに対して認証するよう設定されているサインインページの
URL を入力すると、標準の IVE サインインページは表示されずに、IVE Welcome ページ
が表示されます。
IVE のリソースに厳しいセキュリティが必要ない場合、または IVE を通じて提供される他
のセキュリティ対策で十分である場合には、匿名認証を使用しても構いません。たとえ
ば、内部リソースへのアクセスを制限するユーザーロールを作成し、内部ネットワーク
に存在する IP アドレスからサインインすることだけを指定したポリシーでロールを認証
します。この方法では、内部ネットワークにアクセスできるユーザーには、そのユーザー
ロールで指定された特定のリソースを表示する権限も与えられていることを前提としてい
ます。
匿名サーバーインスタンスを定義および監視する場合は、次の点にご注意ください。

1 つの匿名サーバーだけを構成に追加することができます。

匿名サーバーを使用して管理者を認証することができません。

構成時に、Users > Authentication > General タブで、匿名サーバーを、認証サー
バーおよびディレクトリ / 属性サーバーの両方として選択する必要があります。詳細
については、239 ページの「General タブ」を参照してください。

Users > Authentication > Role Mapping タブを使用して（242 ページの「Role
Mapping タブ」で説明）ロールマッピング規則を作成する場合、匿名サーバーは
ユーザー名情報を取得しないため、IVE では特定のユーザー（Joe など）に適用する
ロールマッピング規則を作成することができません。ロールマッピング規則は、デ
フォルトユーザー名 (*) または証明書属性に基づいてのみ作成できます。

セキュリティ上の理由で、指定された時間匿名サーバーを通じてサインインするユー
ザー数を制限する必要がある場合もあります。この場合には、Users >
Authentication > [ 領域 ] > Authentication Policy > Limits タブのオプションを使
用します（[ 領域 ] は、ユーザー認証に匿名サーバーを使用するよう設定された領
域）。詳細については、242 ページの「同時ユーザーの制限」を参照してください。

IVE はユーザー名を収集せずに個別のセッションデータを表示することができないた
め、Users タブを通じて匿名ユーザーのセッションを表示および削除することはでき
ません（他の認証サーバーを使用した場合は可能）。
匿名サーバーインスタンスの定義
匿名サーバーを定義するには、次の操作を行います。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
次のいずれかの操作を行います。

新しいサーバーインスタンスを IVE 上で作成するには、New リストから
Anonymous Server を選択して、New Server をクリックします。
匿名サーバーインスタンスを構成する

231
Juniper Networks NetScreen Secure Access 700 管理ガイド

232
既存のサーバーインスタンスを更新するには、Authentication/Authorization
Servers リストから該当するリンクをクリックします。
3.
サーバーインスタンスを特定する名前を指定します。
4.
Save Changes をクリックします。
5.
ユーザーを認証するために、サーバーが使用する領域を指定します。詳細について
は、241 ページの「認証領域ポリシーの指定」を参照してください。
匿名サーバーインスタンスを構成する
Juniper Networks NetScreen Secure Access 700 管理ガイド
証明書サーバーインスタンスを設定する
ここでは以下について説明します。

233 ページの「Certificate Server の概要」

233 ページの「証明書サーバー設定の定義」
Certificate Server の概要
証明書サーバー機能により、ユーザーは、クライアントサイド証明書に含まれる属性に基
づいて認証することができます。ユーザーを認証してロールにマッピングするために、証
明書サーバーを単独で使用することも、または他のサーバーと一緒に使用することもでき
ます。
たとえば、証明書属性のみに基づいてユーザーを認証できます。IVE によって、ユーザー
の証明書が有効であると判断されると、ユーザーは指定された証明書属性に基づいてサイ
ンインされるため、ユーザー名やパスワードの入力は求められません。
クライアントサイドの証明書属性を 2 次認証サーバー（LDAP など）に渡してユーザーを
認証する方法もあります。この場合、認証サーバーはまず、ユーザーの証明書の有効性を
確認します。このあと、IVE は領域レベルのロールマッピング規則を使用して、証明書属
性とユーザーの LDAP 属性を照合します。適切な一致が見つからない場合、IVE は指定に
従ってユーザーのアクセスを拒否するか、アクセスを制限します。
メモ : クライアントサイド証明書を使用する場合は、IVE をサインアウトした後、必ず
ブラウザを閉じるよう、エンドユーザーに徹底してください。Web ブラウザを閉じな
かった場合、他のユーザーが開いたままのブラウザセッションを使用して、再認証を行
うことなく IVE にある証明書保護されたリソースにアクセスすることが可能になりま
す。（クライアントサイド証明書をロードした後、Internet Explorer は証明書の識別情
報と秘密鍵をキャッシュに保存します。ブラウザは、ユーザーがブラウザを閉じるまで
（場合によっては、ユーザーがワークステーションを再起動するまで）、これらの情報を
保持します。詳細については、http://support.microsoft.com/?kbid=290345 を参照し
てください。）ブラウザを閉じる指示を、メッセージで表示するには、System > Signing
In > Sign-in Pages タブでサインアウトメッセージを変更します。
証明書サーバー設定の定義
IVE で証明書サーバーを定義するときは、次のステップを実行する必要があります。
1.
System > Configuration > Certificates > CA Certificates タブの設定を使用して、ク
ライアントサイド証明書の署名に使用する CA 証明書をインポートします。
2.
証明書サーバーインスタンスを作成するには、次の操作を行います。
a.
Signing In > AAA Servers に移動します。
b.
New リストから Certificate Server を選択して、New Server をクリックします。
c.
サーバーインスタンスを特定する名前を指定します。
d.
User Name Template フィールドで、IVE でユーザー名を作成する方法を指定し
ます。任意の証明書変数の組み合わせを山括弧 >、< で囲むか、プレーンテキ
ストで指定できます。
証明書サーバーインスタンスを設定する

233
Juniper Networks NetScreen Secure Access 700 管理ガイド
e.
Save Changes をクリックします。初めてサーバーインスタンスを作成する場合
には、Settings タブと Users タブが表示されます。
メモ : サーバーを通じて現在サインインしているユーザーのセッションを監視および削
除することについての詳細は、235 ページの「ユーザーセッションの表示と削除」を参
照してください。
234
3.
LDAP サーバーに対して証明書属性を照合するには、Signing In > AAA Servers ペー
ジの設定を使用して、LDAP サーバーインスタンスを作成します。証明書を通じて検
証するユーザー固有の属性を検索するには、LDAP 設定ページの Finding user entries
の項目を使用する必要があります。
4.
ユーザー認証に認証サーバーを使用する領域を指定するには、Users >
Authentication > Authentication > General タブまたは Administrators >
Authentication > General タブの設定を使用します。（この設定を使用して、証明書
属性の検証に LDAP サーバーを使用する領域を指定することもできます。）
5.
前の手順で設定した領域をサインイン URL にそれぞれ関連付けるには、Signing In
> Sign-in > Sign-in Policies ページの設定を使用します。
6.
個々の証明書属性に基づいて領域、ロール、またはリソースポリシーへのユーザー
アクセスを制限するには、401 ページの「証明書の制限」で説明している設定を使用
します。
証明書サーバーインスタンスを設定する
Juniper Networks NetScreen Secure Access 700 管理ガイド
ユーザーセッションの表示と削除
ほとんどの IVE 認証サーバーの設定ページには、Users タブがあります。このタブを使用
して、アクティブな IVE ユーザーセッションを表示および削除することができます。この
タブが表示されない認証サーバーのタイプは次のとおりです。

匿名サーバー－ IVE は、匿名サーバーを通じてサインインするユーザーのユーザー名
または他の資格情報を収集しないため、匿名サーバーを通じてサインインするユー
ザーに関する個別のセッションデータを表示できません。

ローカル認証サーバー－ IVE は、ローカル認証サーバーに Users タブの代わりに、
Local Users タブを表示します。このタブを使用して、ユーザーセッションの代わり
にユーザーアカウントを追加および削除できます。
その他のすべての認証サーバーの場合、以下の説明に従って、アクティブユーザーセッ
ションの表示または削除ができます。
アクティブなユーザーセッションを表示または削除するには、次の操作を行います。
1.
Web コンソールで、Signing In > AAA Servers を選択します。
2.
Authentication/Authorization Servers リストから適切なリンクをクリックします。
3.
Users タブを選択します。
4.
次のいずれかのタスクを実行します。

特定のユーザーを検索するには、Show users named フィールドにユーザー名を
入力して、Update をクリックします。
また、ワイルドカードとして “*“ 文字を使用できます。“*“ は 0 を含む任意の文
字数の文字を表します。たとえば、jo という文字を含むユーザー名をすべて検索
するには、Show users named フィールドに “*jo*” と入力します。検索では大文
字と小文字が区別されます。アカウントのリスト全体を再び表示する場合は、“*”
文字を入力するか、フィールドに指定した文字を削除し、Update をクリックし
ます。

ページに表示するユーザーの数を制限するには、Show N users フィールドに数
字を入力し、Update をクリックします。

個々のユーザーの IVE セッションを終了するには、ユーザーの横にあるチェック
ボックスをクリックし、Delete をクリックします。
メモ : Last Access Statistics 列の Users タブで、すべてのユーザーアカウントに対する
いくつかのアクセス統計情報を見ることができます。これらの列は、IVEWeb console に
表示される Users タブのすべてに表示されます。統計には、ユーザーが前回正常にサイ
ンインした時の日時と、ブラウザの種類とバージョンが含まれます。
ユーザーセッションの表示と削除

235
Juniper Networks NetScreen Secure Access 700 管理ガイド
236
ユーザーセッションの表示と削除
第8章
管理者設定
Web コンソールの Administrators セクションにある設定を使用すると、管理者認証領域
と委任管理者ロールの作成と設定が行えます。
目次

239 ページの「Authentication ページの設定」

248 ページの「Delegation ページの設定」
第 8 章 : 管理者設定

237
Juniper Networks NetScreen Secure Access 700 管理ガイド
238
第 8 章 : 管理者設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
Authentication ページの設定
Administrators > Authentication および Users > Authentication メニューは各ユーザー
の Authentication Realms ページにリンクされます。このページを使用して、システム認
証領域を作成して管理します。
Authentication Realms ページには、次のタブがあります。

239 ページの「General タブ」－このタブを使用して、認証領域を作成します。

241 ページの「Authentication Policy タブ」－このタブを使用して、認証領域ポリシー
を指定します。

242 ページの「Role Mapping タブ」－このタブを使用して、ロールマッピング規則
を指定し、サーバーカタログを使用します。
General タブ
General タブを使用して、認証領域を作成します。認証領域については、46 ページの「認
証領域の概要」を参照してください。
認証領域の作成
認証領域を作成するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Authentication または Users >
Authentication を選択します。
2.
それぞれの Authentication Realm ページで、New をクリックします。
3.
New Authentication Realm ページで、次の操作を実行します。
4.
a.
この領域のラベルにする名前を入力します。
b.
領域の説明を入力します。（オプション）
c.
領域を開いて編集するときに、Role Mapping タブを選択し、When editing,
start on the Role Mapping page をチェックします。
Servers で、以下の内容を指定します。

この領域にサインインするユーザーを認証する認証サーバー。

ロールマッピング規則やリソースポリシー用に、ユーザー属性やグループ情報
を抽出するディレクトリ / 属性サーバー。（オプション）

ユーザーが IVE （オプション）にサインインおよびサインアウトする際に、追跡
できる RADIUS 会計サーバー。
メモ : LDAP サーバーがダウンしていると、ユーザー認証は失敗します。イベントログ
ファイルにはメッセージおよび警告が記録されています。属性サーバーがダウンしてい
ても、ユーザー認証は失敗しません。ただし、ロールマッピングおよびポリシー評価用
のグループ / 属性リストは空になります。
Authentication ページの設定

239
Juniper Networks NetScreen Secure Access 700 管理ガイド
5.
6.
Additional authentication server で、IVE にアクセスするために 2 要素認証を有
効にするかどうかを指定します。2 次認証サーバーを有効にするには次の操作を
実行します。
a.
2 次認証サーバーの名前を選択します。匿名サーバーまたは認証サーバーは選択
できないことに注意してください。
b.
IVE サインインプロセスの際に、2 次サーバーに手動でユーザー名を提出するよ
うユーザーに促す場合は、Username is specified by user on sign-in page を選択
します。2 次サーバーに自動的にユーザー名を提出する場合は、predefined as
フィールドに静的テキストまたは有効な変数を入力します。デフォルトでは、
IVE は <username> セッション変数を送信します。この変数には、1 次認証サー
バーのサインインに使用されるのと同じユーザー名が格納されます。
c.
IVE サインインプロセスの際に、2 次サーバーにパスワードを手動で提出するよ
うにユーザーに促すには、Password is specified by user on sign-in page を選択
します。2 次サーバーにパスワードを自動的に送信するには、predefined as
フィールドに静的テキストまたは有効な変数を入力します。
d.
IVE へのアクセスの管理を、ユーザーの 2 つ目の証明書の成功した認証に基づい
て行う場合は、End session if authentication against this server fails を選択しま
す。
この領域にダイナミックポリシー評価を使用する場合は、Dynamic policy
evaluation で、次のようにオプションを選択します（40 ページの「動的ポリシー評
価」を参照してください )。
a.
Enable dynamic policy evaluation を選択して、この領域の認証ポリシー、ロー
ルマッピング規則、ロール制限のダイナミックポリシー評価用の自動タイマー
を有効にします。このオプションを有効にしたら、Refresh interval オプション
を使用して、IVE が領域に現在サインインしているすべてのユーザーの自動ポリ
シー評価を実行する頻度を指定します。Refresh interval、Refresh roles、および
Refresh resource policies の設定を有効にするには、Enable dynamic policy
evaluation オプションを有効にする必要があります。
b.
Refresh interval には、IVE が時間に基づく各自動ポリシー評価を実行するまで
の待ち時間を分（5 から 1440）で指定します。
c.
Refresh roles を選択して、この領域にいるすべてのユーザーのロールも更新す
るために、Enable dynamic policy evaluation オプションの範囲を広げます。
（このオプションは Refresh Now ボタンの範囲はコントロールしません。）
d.
Refresh resource policies を選択して、この領域にいるすべてのユーザーのリ
ソースポリシー（ミーティングおよび E メールクライアントは含まない）も更
新するために、Enable dynamic policy evaluation オプションの範囲を広げます。
（このオプションは Refresh Now ボタンの範囲はコントロールしません。
）
メモ : Enable dynamic policy evaluation を選択し、Refresh roles および Refresh
resource policies を選択しない場合は、IVE はこの領域の認証ポリシー、ロールマッピ
ング規則、およびロール制限「のみ」を評価します。
240
Authentication ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
e.
この領域の認証ポリシー、ロールマッピング規則、ロール制限、ユーザーロー
ル、および領域に現在サインインしているすべてのユーザーのリソースポリ
シーを手動で評価するには、Refresh Now をクリックします。認証ポリシー、
ロールマッピング規則、ロール制限、またはリソースポリシーを変更し、この
領域のユーザーのロールを直ちに更新する場合は、このボタンを使用します。
メモ : ダイナミックポリシー評価はシステムパフォーマンスに影響を与える可能性が
あるため、次のガイドラインに留意してください。

ユーザーロールとリソースポリシーの自動（時間ベースの）更新は、システムの
パフォーマンスに影響を与えるため、Refresh roles および Refresh resource
policies オプションの一方または両方を無効にして更新範囲を減らすと、パフォー
マンスを向上できます。

パフォーマンスを向上するには、Refresh interval オプションをより長い時間に設
定します。

ユーザーが影響を受けないときに、Refresh Now ボタンを使用します。
7.
Save Changes をクリックして、IVE 上で領域を作成します。認証領域のために、
General、Authentication Policy、および Role Mapping タブが表示されます。
8.
次の設定手順を実行してください。
a.
242 ページの「Role Mapping タブ」で説明するように、1 つまたは複数のロール
マッピング規則を設定します。
b.
241 ページの「Authentication Policy タブ」で説明するように、領域の認証ポリ
シーを設定します。
Authentication Policy タブ
Authentication Policy タブを使用して、認証領域ポリシーを作成します。認証領域につい
ては、46 ページの「認証領域の概要」を参照してください。
認証領域ポリシーの指定
認証領域ポリシーを指定するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Authentication または Users >
Authentication を選択します。
2.
それぞれの Authentication Realms ページで、領域をクリックして Authentication
Policy タブをクリックします。
3.
Authentication Policy ページで、以下のセクションで説明するアクセス管理オプショ
ンを 1 つまたは複数設定します。

398 ページの「ソース IP の指定」

399 ページの「ブラウザ制限の指定」

401 ページの「クライアントサイド証明書の制限の指定」

402 ページの「パスワード文字数制限の指定」

403 ページの「Host Checker の制限の指定」

405 ページの「Cache Cleaner の制限の指定」1
Authentication ページの設定

241
Juniper Networks NetScreen Secure Access 700 管理ガイド

406 ページの「Limits 制限の指定」
同時ユーザーの制限
認証ポリシーに指定できるアクセス管理オプションに加えて、同時ユーザーに対しても制
限を指定できます。これは以下のページで設定します。

Administrators > Authentication > 領域を選択 > Authentication Policy > Limits

Users > Authentication > 領域を選択 > Authentication Policy > Limits
この領域のサインインページに URL を入力するユーザーは、認証ポリシーに指定された
あらゆるアクセス管理要件と同時ユーザー要件を満たさないと、IVE にサインインページ
を表示させることができません。
Role Mapping タブ
認証領域のロールマッピング規則を指定するには、Role Mapping タブを使用します。詳
細については、以下を参照してください。

領域については、46 ページの「認証領域の概要」を参照してください。

ロールについては、51 ページの「ユーザーロールの概要」を参照してください。
認証領域にロールマッピング規則を指定
LDAP ユーザー属性またはグループ情報を使用する新しい規則を作成する場合は、サー
バーカタログを使用する必要があります。このカタログについては、243 ページの
「LDAP サーバーカタログの使用」を参照してください。
認証領域にロールマッピング規則を指定するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Authentication または Users >
Authentication を選択します。
2.
それぞれの Authentication Realms ページで、領域を選択して Role Mapping タブを
クリックします。
3.
New Rule をクリックして Role Mapping Rule ページにアクセスします。このページ
では、規則を定義するためのインラインエディターが使用できます。
4.
Rule based on リストでは、以下のいずれかを選択します。

Username － Username は、サインインページで入力された IVE ユーザー名で
す。IVE ユーザー名に基づいてユーザーをロールにマップするには、このオプ
ションを選択します。このタイプの規則はすべての領域で使用できます。

User attribute － User attribute は、RADIUS または LDAP サーバーから取得する
ユーザー属性です。対応するサーバーの属性に基づいて、ユーザーをロールに
マップするときに、このオプションを選択します。この種類の規則を利用できる
のは、認証サーバーに RADIUS サーバーを使用する領域、あるいは認証サーバー
またはディレクトリサーバーに LDAP サーバーを使用する領域だけです。User
attribute オプションを選択したら、Update をクリックして Attribute リストと
Attributes ボタンを表示します。Attributes ボタンをクリックして、サーバーカ
タログを表示します。サーバーカタログを使用して LDAP ユーザー属性を追加す
るには、243 ページの「LDAP サーバーカタログの使用」を参照してください。
1. 管理者領域では使えません。
242
Authentication ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
5.
6.
7.

Certificate or Certificate attribute － Certificate または Certificate attribute は、
ユーザーのクライアント側の証明書によりサポートされる属性です。認証属性に
基づいて、ユーザーをロールにマップする場合は、このオプションを選択しま
す。Certificate オプションはすべての領域で使用できます。Certificate attribute オ
プションは、認証サーバーまたはディレクトリサーバーに LDAP を使用する領
域のみに使用できます。このオプションを選択したら、Update をクリックして
Attribute テキストボックスを表示します。

Group membership － Group membership は、サーバーカタログの Groups タブ
に追加する LDAP サーバーまたはネイティブの Active Directory サーバーのグ
ループ情報です。LDAP または Active Directory グループ情報に基づいてユーザー
をロールにマップする場合は、このオプションを選択します。このタイプの規則
を使用できるのは、認証サーバーまたはディレクトリサーバーに LDAP サーバー
を使用している領域か、認証に Active Directory サーバーを使用している領域だ
けです。（Active Directory サーバーは、領域の認証サーバーとして指定できない
ことにご注意ください）。
Rule で、評価する条件を指定します。これは、選択した規則の種類に対応しており、
以下の内容で構成されます。
a.
1 つまたは複数のユーザー、RADIUS または LDAP ユーザー属性、証明書属性、
または LDAP グループを指定します。
b.
式で使用する値。この値には、IVE ユーザーのリスト、RADIUS または LDAP
サーバーのユーザー属性値、クライアント側の証明書の値（静的属性値または
LDAP 属性値）、または LDAP グループなどがあります。
...then assign these roles では、以下の内容を指定します。
a.
Selected Roles リストにロールを追加し、認証ユーザーに割り当てるロールを指
定します。
b.
Stop processing rules when this rule matches にチェックを入れるのは、ユー
ザーがこの規則に指定された条件を満たした場合に、IVE によるロールマッピン
グ規則の評価を停止したい場合です。
Save Changes をクリックして、Role Mapping タブで規則を作成します。規則の作成
が完了したら、次の操作を実行します。

規則は必ず IVE に評価してほしい順序に並べます。この作業はロールマッピング
規則の処理を停止したい場合に特に重要です。

割り当てられた全ロールの設定を結合させるかどうかを指定します。53 ページの
「パーミッシブマージのガイドライン」を参照してください。
LDAP サーバーカタログの使用
LDAP server catalog は、IVE がユーザーをロールにマップするときに使用する、追加の
LDAP 情報を指定する第 2 のウィンドウであり、次の情報が含まれます。

Attributes － Server Catalog Attributes タブでは、cn、uid、uniquemember、および
memberof などの一般的な LDAP 属性リストが表示されます。LDAP サーバーのサー
バーカタログにアクセスするときだけ、このタブを使用できます。このタブを使用す
ると、IVE サーバーカタログにカスタム値を加えたり、カタログから値を削除したり
することによって、LDAP サーバー属性を管理できます。IVE は LDAP サーバーの値の
ローカルコピーを維持します。つまり、属性は、LDAP サーバーのディクショナリー
に追加されたり、ディクショナリーから削除されません。
Authentication ページの設定

243
Juniper Networks NetScreen Secure Access 700 管理ガイド

Groups － Server Catalog Groups タブは、LDAP サーバーからグループ情報を簡単に
取り出し、サーバーの IVE サーバーカタログに追加するメカニズムを提供します。グ
ループの BaseDN とオプションのフィルタを指定して、検索を開始します。グループ
の正確な内容がわからない場合は、dc=juniper, dc=com などの BaseDN としてドメ
インルートを指定できます。検索ページにはサーバーからのグループリストが返さ
れ、そこから Groups リストに入力するグループを選択できます。
メモ : LDAP サーバーの設定ページにある Finding user entries で指定する BaseDN 値は、
デフォルトの BaseDN 値になります。フィルタ値のデフォルトは、（cn=*）になります。
Groups タブでもグループを指定できます。cn=GoodManagers、ou=HQ、
ou=Juniper、o=com、c=US などグループの完全修飾識別名（Fully Qualified
Distinguished Name: FQDN）を指定する必要がありますが、このグループにラベ
ルを割り当てて、Groups リストに表示することができます。LDAP サーバーの
サーバーカタログにアクセスする場合にだけ、このタブを使用できることに注意
してください。
LDAP サーバーカタログを表示するには、次の操作を行います。
1.
Role Mapping Rule ページ（242 ページの「認証領域にロールマッピング規則を指
定」を参照）で User attribute オプションを選択したら、Update をクリックして
Attribute リストと Attributes ボタンを表示します。
2.
Attributes ボタンをクリックして、LDAP サーバーカタログを表示します。
図 31: Server Catalog > Attributes タブ－ LDAP の属性の追加
244
Authentication ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 32: サーバーカタログに追加された属性はロールマッピング規則で使用可能
Authentication ページの設定

245
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 33: Server Catalog > Groups タブ－ LDAP グループの追加
246
Authentication ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 34: Server Catalog > Groups タブ－ Active Directory グループの追加
Authentication ページの設定

247
Juniper Networks NetScreen Secure Access 700 管理ガイド
Delegation ページの設定
管理者ロールは、IVE の管理機能とロールにマップされた管理者のセッションプロパ
ティを指定する、定義済みのエンティティです。
Delegation ページには、次のタブがあります。

248 ページの「General タブ」－これらのタブを使用して、一般ロールプロパティ、
アクセス管理制限、セッションオプション、UI 設定を指定します。
管理者ロールを設定する
Administrators > Delegation を選択すると、Delegated Admin Roles ページが表示されま
す。このページから、管理者ロールにデフォルトセッションやユーザーインターフェー
スオプションを設定できます。
管理者ロールの修正
既存の管理ロールを修正するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation を選択します。
2.
修正したい管理者ロールの名前をクリックします。
3.
248 ページの「General タブ」の手順を実行して、ロールの設定を修正します。
General タブ
General のサブタブを使用して、一般ロールプロパティ、アクセス管理制限、セッション
オプション、および UI 設定を指定します。
Overview タブ
一般的なロール設定とオプションの管理
General > Overview タブで、ロール名や内容の編集、スイッチやユーザインターフェー
スオプションのオン、オフ切り替えを行います。
一般的なロール設定とオプションを管理するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation > ロール名 > General >
Overview を選択します。
2.
Name フィールドと Description フィールドで、委任管理者ロールのラベルを作成し
ます（オプション）。
3.
Options で、以下の項目にチェックを入れます。
4.
248
Delegation ページの設定

Session Options では、General > Session Options タブで指定した設定をロール
に適用します。

UI Options では、General > UI Options タブで指定した設定をロールに適用し
ます。
Save Changes をクリックし、設定をロールに適用します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Restrictions タブ
ロールのアクセス管理オプションを指定するには、General > Restrictions タブを使用し
ます。IVE は、指定した制限が満たされない場合には、このロールに管理者をマップしま
せん。アクセス管理の詳細については、36 ページの「アクセス管理の概要」を参照して
ください。
ロールに対するアクセス管理オプションの指定
ロールにアクセス管理オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation > ロール名 > General>
Restrictions を選択します。
2.
ロールに設定するオプションのタブをクリックし、次のセクションの指示に従ってオ
プションを設定します。

398 ページの「ソース IP の指定」

399 ページの「ブラウザ制限の指定」

401 ページの「クライアントサイド証明書の制限の指定」

403 ページの「Host Checker の制限の指定」
ロールには、複数のアクセス管理オプションを設定できます。管理者がすべての制限
を満たしていない場合、IVE は管理者をロールにマップしません。
3.
Save Changes をクリックして、設定をロールに適用します。
Session Options タブ
セッション時間の制限とローミング機能を指定するには、General > Session Options タ
ブを使用します。ロールに対するこれらの設定を有効にするには、General > Overview
タブの Session Options チェックボックスをオンにします。
ユーザーセッション時間とローミング設定の指定
一般的なセッションオプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Administrators > Delegation > ロール名 > General > Session
Options を選択します。
2.
Session Lifetime で、以下の項目の値を指定します。

Idle Timeout －無処理の状態で、管理者セッションが終了を待つ時間を分単位
で指定します。最小値は 3 分です。デフォルトのアイドルセッション制限は 10
分です。つまり、管理者のセッションで 10 分間、何も操作がなかった場合、
IVE はセッションを終了させて、システムログにイベントを記録します（以下で
説明するセッションタイムアウト警告が有効な場合を除く）。

Max. Session Length －オープンの状態で、アクティブな管理者セッションの終
了を待つ時間を分単位で指定します。最小値は 3 分です。管理セッションのデ
フォルトの時間制限は 60 分です。60 分を経過すると、IVE はセッションを終了
させて、システムログにイベントを記録します。
Delegation ページの設定

249
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
4.
Roaming session では、以下の項目を指定します。

Enabled －このグループにマップされているユーザーのローミングユーザー
セッションを有効にします。ローミングユーザーセッションは複数のソース IP
アドレスにまたがって機能します。この場合、動的 IP アドレスで特定の場所か
ら IVE にサインインしたモバイル管理者（ラップトップユーザー）は、別の場
所に移っても作業を続行できます。ただし、一部のブラウザに欠陥があり、悪質
なコードがユーザーのクッキーを傍受する可能性もあります。このような場合、
悪質なユーザーは、傍受した IVE セッションクッキーで、IVE にサインインでき
ることになります。

Limit to subnet －ローミングセッションを Netmask フィールドに指定した
ローカルサブネットに制限します。特定の IP アドレスでサインインした管理者
は、IP アドレスが同じサブネットに含まれている限り、その別の IP アドレスで
セッションを継続して使用できます。

Disabled －このロールにマップされている管理者のローミングセッションを無
効にします。特定の IP アドレスでサインインした管理者は、別の IP アドレスか
らアクティブな IVE セッションを続けることができません。管理者セッション
は、最初のソース IP アドレスに束縛されます。
Save Changes をクリックし、設定値をロールに適用します。
UI Options タブ
Administrators> Delegation> ロール名 > General > UI Options タブを使用して、コン
ソールの色、ロゴ、階層型ナビゲーションメニューなどの、このロールに割り当てられ
る管理者の Web コンソール設定をカスタマイズします。（Web コンソールのサインイン
ページのロゴおよび色のカスタマイズについての詳細は、182 ページの「Sign-in Pages タ
ブ」を参照してください。）
「階層型ナビゲーションメニュー」とは、Web コンソールの左パネルにあるメニュー
の上にマウスカーソルを置くと表示される動的なメニューです。たとえば、階層ナビ
ゲーションメニューを有効にした場合、Web コンソールの System > Signing In メ
ニューにマウスカーソルを置くと、Sign-In Policies、Sign-In Pages、および
Authentication/Authorization Servers のサブメニューが表示されます。これらのメ
ニューを使用すると、メニュー階層を順にクリックしなくてもシステム内をすばやく
移動できます。
メモ :

階層型メニューをサポートする環境については、Juniper Networks サポートサイト
の IVE Supported Platforms ドキュメントを参照してください。

Administrators または Users で、10 以上の認証領域またはロールを定義した場合、
Web コンソールは、最近アクセスした 10 件までのロールまたは領域のみをコン
ソールの階層型ナビゲーションメニューで表示します。IVE は、現在の管理者が最
近アクセスした 10 件のロールと領域を表示するのではなく、この IVE にサインイ
ンしたすべての管理者がアクセスした 10 件のロールおよび領域を表示するので、
注意してください。
ロールユーザーの IVE welcome ページのカスタマイズ
ロールユーザーの IVE welcome ページをカスタマイズするには、次の操作を実行しま
す。
1.
250
Delegation ページの設定
Web コンソールで、Administrators > Delegation > ロール名を選択します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
2.
このロールの設定を有効にするには、General > Overview タブで UI Options を選択
します。
3.
General > UI Options を選択して、ロール設定をカスタマイズします。
4.
Header セクションで、ヘッダのカスタムロゴイメージファイルとヘッダの色を指
定します。
5.
Navigation Menus セクションで、階層型ナビゲーションメニューを表示するかどう
かを選択します。オプションには以下のものがあります。
6.

Auto-enabled － IVE は、管理者がサポートされているプラットフォームからサ
インインしているかどうかを判別し、それに従って階層型のメニューを有効また
は無効にします。

Enabled － IVE は、プラットフォームに関係なく、階層型メニューを有効にしま
す。管理者がサポートされないプラットフォームからサインインしている場合
は、階層型メニューが有効になっていても使用できないことがあります。

Disabled － IVE は、ロールの全メンバに対して階層型メニューを無効にします。
Save Changes をクリックします。変更はただちに有効になりますが、変更を表示す
るには、現在のユーザーブラウザセッションを更新する必要があります。または、
Restore Factory Defaults をクリックして、Web コンソールの外観をデフォルト設定
にリセットします。
Delegation ページの設定

251
Juniper Networks NetScreen Secure Access 700 管理ガイド
252
Delegation ページの設定
第9章
ユーザー設定
Web コンソールの Users セクション内の設定を使用すると、ユーザー認証領域とロール
の作成や設定、およびユーザーのローカル認証サーバーへの追加が行えます。
目次

255 ページの「Authentication ページの設定」

256 ページの「Roles ページの設定」

277 ページの「New User ページの設定」
第 9 章 : ユーザー設定

253
Juniper Networks NetScreen Secure Access 700 管理ガイド
254
第 9 章 : ユーザー設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
Authentication ページの設定
Users > Authentication ページを使用して、ユーザー認証領域の作成と設定、およびロー
ルマッピング規則の作成を実行できます。詳細については、239 ページの
「Authentication ページの設定」を参照してください。管理者認証領域およびユーザー認証
領域の設定についての指示が記載されています。
Authentication ページの設定

255
Juniper Networks NetScreen Secure Access 700 管理ガイド
Roles ページの設定
Users > Roles メニューは、ユーザーの Roles ページにリンクします。このページを使用
してシステムユーザーロールを作成、管理します。ロールを作成するには、New Role を
クリックし、ロールの名前と説明（オプション）を入力します。ここに入力した名前は
Roles ページの Roles リストに表示されます。ロール名をクリックし、Roles タブで設定
を開始します。
メモ : ロールを削除しても、パーソナルブックマーク、SAM 設定などの設定は削除さ
れない場合があります。したがって、同じ名前で新しいロールを追加する場合、その新
しいロールに追加されるユーザーは、古いブックマークおよび設定を使用する場合があ
ります。一般に、IVE は参照整合性規則を実行しているため、ユーザーは他の場所を参
照しているオブジェクトを削除できません。たとえば、ロールが、領域のロールマッピ
ング規則のいずれかで使用されている場合、マッピングルールを変更または削除しない
限り、IVE はロールの削除を拒絶します。
このセクションには、Roles サブタブの設定方法に関する以下のような説明が記載されて
います。

256
Roles ページの設定
257 ページの「General ページの設定」－ここでは、一般的なロール設定、アクセス
管理オプション、ユーザーセッションオプション、およびカスタム IVE welcome
ページを指定する方法を説明しています。
Juniper Networks NetScreen Secure Access 700 管理ガイド
General ページの設定
General ページには、以下のタブがあります。

257 ページの「Overview タブ」－ロール名や説明の編集をしたり、セッションや
ユーザーインターフェースオプションのオンやオフの切り替えをするには、このタ
ブを使用します。

258 ページの「Restrictions タブ」－ロールに対してアクセス管理オプションを指定す
るには、このタブを使用します。

258 ページの「Source IP タブ」－ロールベースのソース IP エイリアスを指定するに
は、このタブを使用します。

259 ページの「Session Options タブ」－セッションの時間制限、ローミング機能、
セッションとパスワードの持続性、リクエストのフォロースルーオプション、アプ
リケーション操作のタイムアウトを指定するには、このタブを使用します。

261 ページの「UI Options タブ」－このロールにマップされたユーザーの IVE
welcome ページの設定をカスタマイズするには、このタブを使用します。
Overview タブ
Overview タブでは、ロール名や説明を編集したり、セッションやユーザーインター
フェースオプションのオンやオフを切り替えたりします。アクセス機能を有効にするに
は、対応するリソースポリシーを作成する必要があります。
一般的なロール設定とオプションの管理
一般的なロール設定とオプションを管理するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > General > Overview を選択しま
す。
2.
名前と説明を変更して、Save Changes をクリックします。（オプション）
3.
Options で、以下の項目にチェックを入れます。

Source IP では、General > Source IP タブで指定した設定をロールに適用し
ます。

Session Options では、General > Session Options タブで指定した設定をロール
に適用します。

UI Options では、General > UI Options タブで指定した設定をロールに適用し
ます。
4.
Access features では、ロールに対して有効にする機能にチェックを入れます。
5.
Save Changes をクリックして、ロールに設定を適用します。
General ページの設定

257
Juniper Networks NetScreen Secure Access 700 管理ガイド
Restrictions タブ
ロールに対してアクセス管理オプションを指定するには、Restrictions タブを使用しま
す。IVE は、ユーザーをロールにマップするかどうかを判断するときにこれらの制限を考
慮します。IVE は、指定した制限が満たされない場合には、このロールにユーザーをマッ
プしません。アクセス管理の詳細については、36 ページの「アクセス管理の概要」を参照
してください。
ロールに対するアクセス管理オプションの指定
ロールに対してアクセス管理オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > General > Restrictions を選択し
ます。
2.
ロールについて設定するオプションに対応するタブをクリックして、以下のセクショ
ンの指示に従って設定します。

398 ページの「ソース IP の指定」

399 ページの「ブラウザ制限の指定」

401 ページの「クライアントサイド証明書の制限の指定」

403 ページの「Host Checker の制限の指定」

405 ページの「Cache Cleaner の制限の指定」
ロールには、複数のアクセス管理オプションを設定できます。ユーザーが 1 つでも制
限に適合していない場合、IVE はユーザーをロールにマップしません。
Source IP タブ
ロールに対するソース IP エイリアスの指定
ロールに対してソース IP エイリアスを指定するには、以下の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > General > Source IP を選択しま
す。
2.
ドロップダウンメニューからソース IP アドレスを選択します。
3.
Save Changes をクリックし、ロールに設定を適用します。
メモ :
258
General ページの設定

エンドユーザーが複数のロールにマップされ、IVE がロールをマージする場合、IVE
は、リストの最初のロールに設定されたソース IP アドレスをマージされたロール
と関連付けます。

複数のロールに同じソース IP アドレスを指定することができます。1 つのロールに
対して複数のソース IP アドレスを指定することはできません。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Session Options タブ
セッションの時間制限、ローミング機能、セッションとパスワードの持続性、リクエスト
のフォロースルーオプション、アプリケーション操作のタイムアウトを指定するには、
Session タブを使用します。ロールに対するこれらの設定を有効にするには、Overview タ
ブの Session Options チェックボックスにチェックを入れます。
ユーザーセッションのオプション指定
一般的なセッションオプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > General > Session Options を選択
します。
2.
Session Lifetime で、以下の項目の値を指定します。
3.

Idle Timeout －非管理者ユーザーのセッションが終了するまでアイドルの状
態が持続する時間を分単位で指定します。最小値は 3 分です。アイドルセッ
ション制限のデフォルト値は 10 分です。つまり、管理者のセッションで 10
分間何も操作がなかった場合、IVE はユーザーセッションを終了し、システ
ムログにイベントを記録します（以下で説明するセッションタイムアウト
警告が無効の場合）。

Max. Session Length －アクティブな非管理者ユーザーセッションが終了するま
でオープンな状態が継続する時間を分単位で指定します。最小値は 3 分です。
ユーザーセッションの時間制限のデフォルト値は 60 分です。60 分が経過する
と、IVE はセッションを終了し、システムログにイベントを記録します。

Reminder Time － IVE が、セッションタイムアウトまたはアイドルタイムアウ
トが迫っていることを非管理者ユーザーに警告するタイミングを指定します。タ
イムアウトまでの時間を分単位で指定します。
セッション制限時間またはアイドルタイムアウトが迫っていることを非管理者ユー
ザーに通知するには、enable Session timeout warning で Enabled を選択します。
これらの警告は、セッション制限時間またはアイドルタイムアウトが迫っていると
きに、ユーザーに適切な対応を取るよう促します。これにより、作業中のフォーム
データを保存してデータを失うのを防止することができます。アイドルタイムアウト
が迫っている場合には、セッションの再開が指示されます。セッション時間が迫って
いる場合には、データの保存が指示されます。
4.
セッションがタイムアウトしたら、エンドユーザーに新しいブラウザサインイン
ページを表示したい場合、Display sign-in page on max session time out をチェック
します。セッションタイムアウト警告を有効にしている場合だけ、このオプションは
表示されます。
メモ : このオプションは、W-SAM やネットワークコネクトのような他のクライアント
ではなく、エンドユーザーのブラウザーによって表示される期限切れメッセージにだけ
適用されます。
General ページの設定

259
Juniper Networks NetScreen Secure Access 700 管理ガイド
5.
6.
Roaming session で、以下の項目を指定します。

Enabled －このロールにマップされているユーザーのローミングユーザーセッ
ションを有効にします。ローミングユーザーセッションは複数のソース IP アド
レスにまたがって機能します。この場合、動的 IP アドレスで特定の場所から
IVE にサインインしたモバイルユーザー（ラップトップユーザー）は、別の場
所に移っても作業を続行できます。ただし、一部のブラウザに欠陥があり、悪質
なコードがユーザーのクッキーを傍受する可能性もあります。このような場合、
悪質なユーザーは、傍受した IVE セッションクッキーで、IVE にサインインでき
ることになります。

Limit to subnet －ローミングセッションを Netmask フィールドに指定した
ローカルサブネットに制限します。特定の IP アドレスでサインインしたユー
ザーは、別の IP アドレスでも同じサブネットに含まれている限り、その新しい
IP アドレスでセッションを継続して使用できます。

Disabled －このロールにマップされているユーザーのローミングユーザーセッ
ションを無効にします。特定の IP アドレスでサインインしたユーザーは、別の
IP アドレスからアクティブな IVE セッションを続けることができません。ユー
ザーセッションは、最初のソース IP アドレスに制約されます。
Persistent session で、Enabled を選択すると、IVE セッションクッキーがクライア
ントのハードディスクに書き込まれて、IVE セッションが終了するまで、ユーザーの
IVE 認証情報が保存されます。
デフォルトでは、IVE セッションクッキーはブラウザを閉じた時点でブラウザのメモ
リから消去されます。IVE のセッションの長さは、ロールに指定したアイドルタイム
アウトの値と最大セッション長の値で決まります。ユーザーがブラウザを閉じても、
IVE セッションは終了しません。IVE セッションが終了するのは、ユーザーが IVE か
らサインアウトしたときだけです。ユーザーがサインアウトしないでブラウザウィン
ドウを閉じた場合、有効な証明書を送信しなくとも、任意のユーザーが同じブラウザ
の別のインスタンスを開いて IVE にアクセスできてしまいます。
メモ : ロールのメンバが IVE 証明書を要求するアプリケーションにアクセスする必要が
ある場合に限り、この機能を有効にすることをお勧めします。また、操作を終えた後、
必ず IVE からサインアウトするようにユーザーに徹底させることも重要です。
7.
キャッシュしたパスワードをロールの複数のセッションで使用できるようにするに
は、Persistent password caching で Enabled を選択します。
IVE は、NTLM と HTTP Basic Authentication をサポートし、NTLM と匿名サインイン
の両方を受け入れるように設定したサーバーをサポートします。IVE サーバーまたは
NT ドメインにある別のリソースへのサインインに同じ証明書を入力するよう、繰り
返し指示されることがないように、IVE は、ユーザーが提供した NTLM と HTTP Basic
Authentication のパスワードをキャッシュに保持します。デフォルトでは、IVE サー
バーは、ユーザーがサインアウトした時点でキャッシュにあるパスワードを消去しま
す。ユーザーは、Advanced Preferences ページでキャッシュにあるパスワードを消去
できます。
260
General ページの設定
8.
ユーザーが再認証を受けた後、ユーザーセッションがタイムアウトした後に送信さ
れたユーザーリクエストを IVE が処理できるようにするには、Browser request
follow-through で Enabled を選択します。
9.
セッションの状態がアクティブかどうかを判断する際に、Web アプリケーションに
よって実行されたアクティビティ（E メールのポーリングなど）を無視するには、
Idle timeout application activity の Enabled を選択します。このオプションをオフに
すると、定期的な ping 送信などのアプリケーション動作が実行されるとアイドルタ
イムアウトになりません。
Juniper Networks NetScreen Secure Access 700 管理ガイド
10. Save Changes をクリックし、設定値をロールに適用します。
UI Options タブ
このロールにマップされたユーザーの IVE welcome ページとブラウジングツールバーの
設定をカスタマイズするには、UI Options タブを使用します。IVE welcome ページ（また
はホームページ）は、認証された IVE ユーザーに表示される Web インターフェースで
す。このロールの設定を有効にするには、Overview タブで UI Options チェックボックス
にチェックを入れます。チェックを入れないと IVE はデフォルトの設定に従います。
ロールユーザーの IVE welcome ページのカスタマイズ
ロールユーザーの IVE welcome ページをカスタマイズするには、次の操作を実行しま
す。
1.
Users > Roles > ロール名 > General > UI Options を選択します。
2.
Header セクションで、IVE welcome ページのヘッダーエリアのカスタムロゴイ
メージファイルとヘッダーの色を指定します（オプション）。

Browse ボタンをクリックし、カスタム画像ファイルを参照します。変更を保存
してからしか、Current appearance は新しいロゴを表示しません。
メモ : カスタムロゴ画像には JPEG または GIF ファイルしか指定できません。他のグラ
フィックス形式は、OS プラットフォームによっては JSAM ステータスウィンドウで正
しく表示されません。

3.
4.
背景色に対応する 16 ビット値を入力するか、Color Palette アイコンをクリック
して、希望の色を選択してください。Current appearance によってすぐに更新さ
れます。
Sub-headers セクションで、新しい背景色とテキストの色を選択します
（オプション）
。

Background color に 16 ビット値を入力するか、Color Palette アイコンをクリッ
クして希望の色を選択してください。Current appearance によってすぐに更新さ
れます。

Text color に 16 ビット値を入力するか、Color Palette アイコンをクリックして、
希望の色を選択します。Current appearance によってすぐに更新されます。
Bookmarks Panel Arrangement で、ユーザーのブックマークページで好きな表示が
できるようにパネルを配置します。
a.
Left Column または Right Column リストでパネル名を選びます。
b.
パネルを別のパネルの上または下に移動するには、Move Up または Move Down
をクリックします。
c.
パネルをユーザーのブックマークページの反対側に移動するには、Move > ま
たは <Move をクリックします。
d.
デフォルトの配置を使用するには、Reset to default をクリックします。
メモ : ロールの対応する機能を有効にしているかどうかにかかわらず、IVE は
Bookmarks Panel Arrangement で、ライセンスを受けたすべての機能のパネルをすべて
表示します。
General ページの設定

261
Juniper Networks NetScreen Secure Access 700 管理ガイド
5.
6.
User toolbar で、IVE の IVE Bookmarks ページと他のセキュアゲートウェイページ
上のツールバーのオプションを選択します。

Preferences － Preferences ボタンを表示するには、このオプションを選択し
ます。

Session Counter －ユーザーの現在のセッションで許可された最大残り時間を示
す時間の値をユーザーツールバーで表示するには、このオプションを選択しま
す。ユーザーが一定時間操作を行わなかった場合、残り時間がなくなる前に現在
のセッションが終了する可能性があります。

Client Application Sessions －ユーザーツールバーに Client Apps ボタンを表示
するには、このオプションを選択します。ユーザーはこのボタンをクリックし
て、Client Application Sessions を表示することができます。このページでは、
Network Connect または Secure Application Manager などのクライアントアプリ
ケーションを起動することができます。このオプションを選択しない場合、IVE
は IVE Bookmarks ページで Client Application Sessions パネルを表示します。
Personalized greeting で、IVE Bookmarks ページの挨拶と通知のメッセージを指定し
ます（オプション）。

Enabled －カスタム化した挨拶を表示するには、このオプションを選択します。
The 氏名が設定されていない場合、IVE はユーザー名を表示します。

Show notification message を選択し、関連したテキストボックス内にメッセー
ジを入力します（オプション）。変更が保存され、ユーザーがページを更新する
と、IVE Bookmarks ページの上部に変更したメッセージが表示されます。以下の
HTML タグを使用してテキストをフォーマットし、リンクを追加できます。、
、 、、および <a href> です。ただし、IVE はサインインページ
のリンクを再書き込みしないので（ユーザーがまだ認証されていないため）、外
部にあるサイトを指し示すだけにしてください。ファイアウォールの内側にある
サイトへのリンクは失敗します。
メモ : サポートされていない HTML タグをカスタムメッセージで使用する場合、IVE は
エンドユーザーの IVE ホームページを正しく表示できない場合があります。
262
General ページの設定
7.
Save Changes をクリックします。変更はただちに有効になりますが、変更を表示す
るには、現在のユーザーブラウザセッションを更新する必要があります。
8.
すべてのユーザーインターフェースオプションを出荷時のデフォルトに戻すには
Restore Factory Defaults をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Web ページの設定
Web ページには、以下のタブがあります。

263 ページの「Bookmarks タブ」－ Web リソースへのブックマークを作成するには、
このタブを使用します。

266 ページの「Options タブ」－汎用 Web ブラウジングオプションを指定するには、
このタブを使用します。
Bookmarks タブ
このロールにマップされたユーザーの welcome ページに表示されるブックマークを作成
するには、Bookmarks タブを使用します。このページでは 2 種類のブックマークを作成
できます。

Web URL bookmarks －このブックマークはワールドワイドウェブ（World Wide
Web）または企業イントラネット上の Web URL に、ユーザーをリンクします。ブッ
クマークの作成時に、ユーザーの IVE ユーザー名を URL パスにインプットすること
で、バックエンドの Web アプリケーションにシングルサインオンでアクセスできま
す。Web ブックマークの設定手順については、263 ページの「Web URL へのブック
マーク作成」を参照してください。

Java applet bookmarks －このブックマークにより、Web コンソールの Resource
Policies > Web > Java > Applets ページから IVE にアップロードする Java アプ
レット（複数可）にユーザーをリンクできます。Java アプレットのブックマーク設
定については、264 ページの「Java アプレットへのブックマーク作成」を参照して
ください。
これらのブックマークタイプのいずれかを作成すると、このロールにマップされたユー
ザーの welcome ページに対応するリンクが表示されます。
Web URL へのブックマーク作成
Web リソースへのブックマークを作成するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > Web > Bookmarks を選択し
ます。
2.
New Bookmark をクリックします。
3.
ブックマークの名前と内容を入力します（オプション）。ここで入力した情報は URL
ではなく IVE のホームページに表示されます。
4.
Web URL を選択します。
5.
ブックマークする URL を入力します。ユーザーのユーザー名を挿入するには、URL
の正しい場所に <username> を入力します。
6.
対応する Web アクセスリソースポリシーを IVE で自動作成するには、Auto-allow の
Auto-allow Bookmark をクリックします。この機能は、ユーザーブックマークでは
なく、ロールブックマークにのみ適用されます。次に、以下の選択を行います。

URL だけへのアクセスをユーザーに許可するには、Only this URL を選択し
ます。

この URL のパスへもアクセスを許可するには、Everything under this URL を選
択します。
Web ページの設定

263
Juniper Networks NetScreen Secure Access 700 管理ガイド
7.
8.
Display options で Open bookmark in a new window をクリックし、IVE が新しいブ
ラウザウィンドウで自動的に Web リソースを開くようにします。この機能は、ユー
ザーブックマークではなく、ロールブックマークにのみ適用されます。次に、以下
の選択を行います。

ブラウザウィンドウからアドレスバーを削除したい場合には、Do not display
the URL address bar を選択します。この機能により、特定ロールのユーザーが
新しい URL をアドレスバーにタイプすることができなくなり、すべてのウェブ
アクセスが IVE を通して行われるようになります。

ブラウザからメニューとツールバーを削除する場合には、Do not display the
menu and the toolbar を選択します。この機能により、ブラウザウィンドウか
らメニュー、ブラウズボタン、およびブックマークが削除されます。そのため
IVE を通じてのみブラウズを行うことになります。
追加するには、Save Changes または Save + New をクリックします。
Java アプレットへのブックマーク作成
IVE で Java アプレットへのブックマークを作成するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > Web > Bookmarks を選択しま
す。
2.
New Bookmark をクリックします。
3.
ブックマークの名前（必須）と内容（オプション）を入力します。ここで入力した情
報は、IVE home page に表示されます。
4.
Java Applet を選択します。
5.
Applet/Code リストで、この Web ページで参照する Java アプレット（複数可）を選
択します。Web コンソールの Resource Policies > Web > Java > Applets ページか
らアップロードする Java アプレットを使用して、IVE はこのリストを作成します。
6.
Java アプレットへの参照が記述されている HTML ページ定義を作成するには、
Generate HTML をクリックします。このあと、次のセクションのガイドラインを使用
して、必要な属性とパラメータを入力します。

265 ページの「アップロードされた Java アプレットに必要な属性」

265 ページの「アップロードされた Java アプレットに必要なパラメータ」
この Web ページ定義に、その他の HTML や JavaScript を選択して追加することもで
きます。IVE は、このフィールドに入力するコードをすべて再書き込みします。
メモ : このフィールドに URL やドキュメントへの相対リンクを追加しないでください。
追加すると、ユーザーが IVE エンドユーザーコンソールから URL やドキュメントにア
クセスしようとしたとき、リンクが切断されます。
7.
Display options で Open bookmark in a new window をクリックし、IVE が新しいブ
ラウザウィンドウで自動的に Web リソースを開くようにします。この機能は、ユー
ザーブックマークではなく、ロールブックマークにのみ適用されます。次に、以下
の選択を行います。

264
Web ページの設定
ブラウザウィンドウからアドレスバーを削除したい場合には、Do not display
the URL address bar を選択します。この機能により、特定ロールのユーザーが
新しい URL をアドレスバーにタイプすることができなくなり、すべてのウェブ
アクセスが IVE を通して行われるようになります。
Juniper Networks NetScreen Secure Access 700 管理ガイド

8.
ブラウザからメニューとツールバーを削除する場合には、Do not display the
menu and the toolbar を選択します。この機能により、ブラウザウィンドウか
らメニュー、ブラウズボタン、およびブックマークが削除されます。そのため
IVE を通じてのみブラウズを行うことになります。
追加するには、Save Changes または Save + New をクリックします。
アップロードされた Java アプレットに必要な属性
IVE から Java アプレットブックマークを作成するときには、次の属性と対応する値を定
義する必要があります。Generate HTML 機能を使用する場合、IVE はこの情報の一部を読
み込んで、指定する必要がある属性に PLEASE_SPECIFY を追加します。属性とその対応
する値を指定する場合は、attribute=”value” 書式を使用します。必要な属性には以下のも
のがあります。

code －どのクラスファイルを Java アプレットで呼び出すかを指示します。この値を
使用して、Java アプレットのメイン関数を指定します。例：
applet code="com.citrix.JICA"

codebase － Web ブラウザがアプレットをフェッチできる場所を指示します。
<<CODEBASE>> 変数を使用します。この変数は Java アプレットが保存される IVE
内の場所を指定します。例：
codebase="<< CODEBASE >>"

archive －これは、Web ブラウザがどのアーカイブファイル（すなわち、 jar、.cab、
または zip ファイル）をフェッチする必要があるかを指示します。この属性に 1 つ以
上の値を入力する場合には、値をコンマで区切ります。例：
archive="JICAEngN.jar,JICA-sicaN.jar,cryptojN.jar,JICA-configN.jar,JICA-coreN.jar"

width and height － Java アプレットウィンドウのサイズを指示します（オプショ
ン）。例：
width="640" height="480"

name － Java アプレットのラベルを指定します（オプション）。例：
name="CitrixJICA"

align －ブラウザウィンドウ内の Java アプレットウィンドウの配置を指示します
（オプション）。例：
align="top"
アップロードされた Java アプレットに必要なパラメータ
IVE から Java アプレットブックマークを作成するときには、IVE が Java アプレットに渡
すパラメータと値を指定する必要があります。これらのパラメータはアプレットにより全
く異なります。パラメータとその対応する値を指定する場合は、次の書式を使用します。
<param name=”parameterName” value=”valueName”>
Web ページの設定

265
Juniper Networks NetScreen Secure Access 700 管理ガイド
ここで、parameterName と valueName を除いたすべてのテキストがリテラルです。
IVE 変数を使用して、二重括弧で変数名を囲んで Java アプレットに変数を渡すことができ
ます。例えば、<<username>> と <<password>> 値を Java アプレットに渡すことができ
ます。使用できる IVE 変数のリストについては、371 ページの「システム変数とその例」
を参照してください。
使用したいデモ用のアプレットが含まれている Web ページを探す場合は、デモ用のサイ
トに移動して Java アプレットを実行するページでソースを表示します。ソース内で、
applet タグを見つけます。ソース内の code 属性を選択して、ブラウザに渡す必要がある
特別なパラメータが含まれているかどうかを調べます。ほとんどの場合、code 属性とそ
の対応するパラメータを IVE ブックマークの HTML フィールドに直接コピー / 貼り付けで
きるはずです。ただし、パラメータがローカルの Web サーバーのリソースを参照する場
合には、参照を IVE ブックマークにコピー / 貼り付けできません。これは、IVE は他の
Web サーバーのローカルリソースにアクセスできないためです。別のソースからパラ
メータをコピー / 貼り付けするときには、常にパラメータの値を確認します。
Options タブ
一般的な Web ブラウジングオプションを指定するには、Options タブを使用します。
一般的な Web ブラウジングオプションの指定
一般的な Web ブランジングオプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > Web > Options を選択します。
2.
Browsing で、ユーザーが使用できるオプションを指定します。

User can type URLs in IVE browse bar －これを有効にすると、ユーザーは
welcome ページに URL を入力し、インターネットサイトをブラウズできます。

Allow Java applets －これを有効にすると、ユーザーはクライアント側の Java ア
プレットが置かれたウェブページをブラウズすることができます。IVE サーバー
が SSL のブラウザとしてアプリケーションサーバーに表示されます。IVE は Java
アプレットによって起動されるすべての HTTP リクエストと TCP 接続、また、
署名された Java アプレットをすばやく処理できます。
この機能を有効にすると、ユーザーは Java アプレットを起動して、Virtual
Computing （VNC）Java クライアント、Citrix NFuse Java クライアント、WRQ
Reflections Web クライアント、Lotus WebMail などを、クライアント側の Java
アプレットとして実装したアプリケーションを実行できます。この機能は Java
Code Signing リソースポリシーと共同で動作します。詳細については、293 ペー
ジの「Code Signing タブ」を参照してください。

266
Web ページの設定
Allow Flash content －これを有効にすると、IVE は Content Intermediation
Engine により Flash コンテンツを仲介します。ActionScript 2.0 および Flash
Remoting に対する IVE のサポートは限定されており、XMLSocket 接続はサポー
トしていません。
Juniper Networks NetScreen Secure Access 700 管理ガイド

Mask hostnames while browsing －これを有効にすると、ユーザーがブラウズ
する URL の指定リソース名が非表示になります。このオプションを選択すると、
ユーザーの以下の場所で、IP アドレスとホスト名が非表示にされます。

Web ブラウザのアドレスバー（ユーザーがページに移動したとき）

Web ブラウザのステータスバー（ユーザーがハイパーリンク上にいるとき）

HTML ソースファイル（ユーザーが View Source を選択したとき）
ホスト名のコード化機能（ホスト名の不明化または URL 不明化とも呼びます）
は、パス名、ターゲットファイル、ポート番号を完全に非表示にせず、指定の
サーバーが不明瞭化され、他のユーザーが内部リソースの URL を偶然発見する
のを防げます。たとえば、ユーザーが選択的再書き込みや使用可能なホスト名の
コード化を用いずに www.msn.com に移動した場合、 http://www.msn.com/
URL が Web ブラウザのアドレスバーに表示されます。
選択的な再書き込みを有効にすると、IVE は次のような URL を表示します。
https://10.10.9.1/,DanaInfo=www.msn.com+
次にホスト名のエンコードを有効にして同じユーザーが同じサイトに移動する
と、表示される URL ではホスト名（www.msn.com）が表示されません。
https://10.10.9.1/,DanaInfo=.awxyCqxtGkxw+
ホスト名のコード化は軽量のリバーシブルアルゴリズムを使用しているため、
ユーザーはコード化された URL をブックマークに加えることができます。（IVE
はコード化された URL を変換し、元の URL に解決し直すことができます。）互換
性のために、非表示になっていない URL に対してすでに作成されたブックマー
クは、ホスト名のコード化が使用可能後も続けて使用できます。
この機能を使用可能にするとき、選択的再書き込みおよびホスト名コード化を有
効にしてください。IVE は選択的再書き込み機能を使って書き直したサーバーの
ホスト名と IP アドレスのみを隠します。ホスト名エンコーディングのログエン
トリを含め、ログエントリではホスト名と IP アドレスは表示されます。

Unrewritten pages open in new window －これを有効にすると、書き直されて
いないページにユーザーがアクセスしたときに（296 ページの「選択的な再書き
込みリソースポリシーの作成」を参照）
、強制的に新しいウィンドウが開いてコ
ンテンツが表示されます。これにより、セキュアセッションがまだ有効であるこ
とをユーザーに知らせることができます。このオプションが適用されるリソース
が要求されると、IVE は要求されたリソースへのリンクを組み込んだページを表
示し、ユーザーにはこのリンクをクリックするように指示します。このリンクを
クリックすると、新しいブラウザウィンドウでリソースが表示され、リクエス
トを最初に出したページはそのまま IVE の中に表示されます。
このボックスのチェックを外すと、ユーザーは、IVE セッションがまだ有効であ
り、IVE に戻るためにブラウザの Back ボタンを使用する必要があることに気づ
かなくなる場合があります。ユーザーはサインアウトするために IVE に戻る必要
があります。ブラウザウィンドウを閉じただけでは、時間制限となるまでセッ
ションがアクティブなままです。
Web ページの設定

267
Juniper Networks NetScreen Secure Access 700 管理ガイド

Allow browsing untrusted SSL web servers －これを有効にすると、ユーザーは
IVE を通して、アントラステッド Web サイトにアクセスすることができます。ア
ントラステッド Web サイトとは、サーバー証明書が Web コンソールの System
> Configuration > Certificates > Trusted Servers CAs タブを通してインストー
ルされていない Web サイトのことです。詳細については、157 ページの
「Trusted Server CAs タブ」を参照してください。このオプションを有効にする
と、ユーザーがアントラステッド Web サイトをナビゲートしたときに IVE が
ユーザーに与える選択肢を指定できます。

Warn users about the certificate problems －これを有効にすると、ユー
ザーが初めてアントラステッド Web サイトにアクセスする際に、IVE は
ユーザーに警告し、そのサイトの証明書が信用できない理由を示します。
ユーザーは続行することもキャンセルすることもできます。IVE が警告を表
示した後にユーザーが続行することを選択した場合は、現行の IVE セッショ
ン中に、IVE がそのサイトに対して警告をさらに表示することはありませ
ん。
メモ : Warn users about the certificate problems オプションを選択すると、ユーザー
は、HTML ページとは異なる SSL サーバーから送信される非 HTML コンテンツ（画像、
js、css など）にアクセスし、リンクを含むページは正しく表示されない場合がありま
す。この問題を回避するには、このオプションを選択解除するか、有効な本稼働用 SSL
証明書を非 HTML コンテンツを送信するサーバーにアップロードします。

Allow users to bypass warnings on a server-by-server basis －これを有効に
すると、IVE によってユーザーは特定のアントラステッド Web サイトに対
するそれ以上の警告を抑制することができます。ユーザーがこのオプション
を選択した場合、IVE またはクラスタからアクセスする限り、現行のこのサ
イトに対する警告が再び表示されることはありません。
メモ : ユーザーが警告を見ることなくアントラステッド Web サイトにアクセスできる
よう選択した場合、IVE はユーザーがアントラステッドサイトに移動するたびに、メッ
セージをユーザーアクセスログに記録します。また、ユーザーが警告を抑制するよう選
択した場合、エンドユーザーコンソールの System > Preferences > Advanced タブで
Delete Passwords オプションを用いて、アントラステッド Web サイトの永続的な設定
を消去することができます。

268
Web ページの設定
Rewrite file:// URLs －これを有効にすると、IVE が file:// を書き直し、CGI をブ
ラウズする IVE ファイルを通してルーティングするようになります。
3.
ユーザーが自分用の Web ブックマークを IVE welcome ページに作成できるようにす
るには、Bookmarks で User can add bookmarks をオンにします。
4.
Cookies で、Persistent cookies を有効にすると、このロールに属するユーザーは、
永続クッキーを保持できるようにして、ブラウジングをカスタマイズできます。デ
フォルトでは、IVE はユーザーセッションの間に保存された Web クッキーをフラッ
シュします。このオプションを使用可能にすると、ユーザーは Advanced Preferences
ページによりクッキーを消去できます。
Juniper Networks NetScreen Secure Access 700 管理ガイド
5.
Web Applications で、デフォルト値を受け入れるか、HTTP Connection Timeout 期
間を設定し、HTTP サーバーからの返答をどれだけの時間待ってからタイムアウトし
接続を終了するかを IVE に指定してください。30 ～ 1800 秒の範囲で指定できます。
メモ : タイムアウト値を高く設定すると、アプリケーションが適切に接続を閉じない場
合や閉じるのに長くかかりすぎた場合に、IVE リソースを使い切る可能性があります。
アプリケーションが高いタイムアウト値を要求しない場合は、デフォルト値を受け入れ
ることをお勧めします。
6.
Save Changes をクリックします。
Web ページの設定

269
Juniper Networks NetScreen Secure Access 700 管理ガイド
Files ページの設定
Files ページには、次のタブがあります。

270 ページの「Windows Bookmarks タブ」－このロールにマップされたユーザー
の welcome ページに表示される Windows ブックマークを作成するには、このタ
ブを使用します。

271 ページの「UNIX Bookmarks タブ」－ IVE ホームページに表示される UNIX/NFS
ブックマークを作成するには、このタブを使用します。

272 ページの「Options タブ」－リソースの表示機能、フォルダブックマークの作成
機能など、Windows および UNIX/NFS ネットワークブラウジングオプションを指定
するにはこのタブを使用します。
Windows Bookmarks タブ
このロールにマップされたユーザーの welcome ページに表示される Windows ブックマー
クを作成するには、Windows Bookmarks タブを使用します。ユーザーのネットワーク
ディレクトリにすばくアクセスするには、URL パスにユーザーの IVE ユーザー名を挿入
します。
IVE ユーザーが Dfs サーバー上でファイルを参照している場合、Dfs サーバーは Active
Directory に保存されているサイト設定データを使用して、IVE に正しい順序で Dfs 参照を
返します。近くにあるサーバーの参照は、遠いサーバーの参照よりもリストの上位に配置
されます。クライアントは、受信した順序で参照を処理しようとします。このリストにな
いサブネットのクライアントからリクエストが送信された場合、サーバーはクライアント
の場所が分からず、任意の順序で利用者に参照リストを返すことになります。この状況で
は、IVE （この場合、クライアントとして動作）の Dfs リクエストが、はるか遠くにある
サーバーにアクセスする可能性があります。これでは、IVE があるサブネットからアクセ
スできないサーバーに、IVE がアクセスしようとして、深刻な遅延が発生する恐れがあり
ます。IVE が Dfs サーバーのリストにないサブネットにインストールされている場合、
Dfs 管理者はドメインコントローラの “Active Directory Sites and Services” ツールを使用し
て、IVE のサブネットを適切なサイトに追加できます。
Windows リソースへのブックマークの作成
Windows リソースへのブックマークを作成するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > Files > Windows Bookmarks を
選択します。
2.
New Bookmark をクリックし、サーバーおよび共有の名前を参照するか、入力しま
す。アクセスをさらに制限するには、パスを指定します。ユーザーのユーザー名を挿
入したい場合は、パスの適切な場所に < ユーザー名 > を入力します。ブックマーク
の名前と説明を指定すると、この情報は、server/share ではなく、IVE ホームページ
に表示されます。
メモ : Windows サーバーにはブックマークすることはできません。サーバーと共有の名
前の両方を指定する必要があります。
3.
Appearance に、以下のいずれかを選択します。

270
Files ページの設定
Appear as bookmark on homepage and in file browsing －ユーザーの
welcome ページとネットワークファイルの参照時の両方にブックマークを表
示したい場合。
Juniper Networks NetScreen Secure Access 700 管理ガイド

4.
5.
Appear in file browsing only －ネットワークファイルの参照時にだけ、ブック
マークを表示したい場合。
Access で、対応する Windows アクセスリソースポリシーが IVE で自動作成される
ようにするには、Enable auto-allow access to this bookmark をオンにします。この
機能は、ユーザーブックマークではなく、ロールブックマークにのみ適用されます。
次に、以下の選択を行います。

Read-write access －サーバーでユーザーがファイルを保存できるようにしま
す。ユーザーは 500 MB 以上のファイルをサーバーにアップロードできません。

Include sub-folders －指定したブックマークパスの下にあるディレクトリで、
ユーザーがファイルを表示できるようにします。
追加するには、Save Changes または Save + New をクリックします。
LDAP サーバーにマップする Windows ブックマークの作成
ユーザーの LDAP ホームディレクトリに自動的にマップするブックマークを作成でき
ます。
1.
211 ページの「LDAP サーバーインスタンスの設定」で説明されていように、LDAP
サーバーインスタンスを作成します。
2.
サーバーカタログに LDAP の属性 homeDirectory を追加します。
3.
211 ページの「LDAP サーバーインスタンスの定義」で説明されているように、領域
を設定し、認証サーバーとして LDAP をバインドします。
4.
必要に応じて、ロールマッピング規則を設定します。
5.
Users > Roles > ロール名 > Files > Windows Bookmarks を選択します。
6.
ファイルブックマークを定義し、そのブックマークで <userAttr.homeDirectory> を
指定します。
7.
Save Changes をクリックします。
UNIX Bookmarks タブ
UNIX Bookmarks タブを使用すると、IVE ホームページに表示する UNIX/NFS ブックマー
クを作成できます。ユーザーのネットワークディレクトリにすばくアクセスするには、
URL パスにユーザーの IVE ユーザー名を挿入します。
UNIX リソースへのブックマークの作成
UNIX/NFS リソースへのブックマークを作成するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > Files > UNIX Bookmarks を選択
します。
2.
New Bookmark をクリックし、サーバーのホスト名または IP アドレスとともに、共
有するパスを入力します。ユーザーのユーザー名を挿入したい場合は、パスの適切な
場所に < ユーザー名 > を入力します。この情報はブックマークの名前と説明を入力
すると、server/path ではなく、IVE ホームページに表示されます。
Files ページの設定

271
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
4.
5.
Appearance に、以下のいずれかを選択します。

Appear as bookmark on homepage and in file browsing －ユーザーの
welcome ページとネットワークファイルの参照時の両方にブックマークを表
示したい場合。

Appear in file browsing only －ネットワークファイルの参照時にだけ、ブック
マークを表示したい場合。
対応する UNIX/NFS アクセスリソースポリシーが IVE で自動作成されるようにする
には、Access で Enable auto-allow access to this bookmark をオンにします。この機
能は、ユーザーブックマークではなく、ロールブックマークにのみ適用されます。
次に、以下の選択を行います。

Include sub-folders －指定したブックマークパスの下にあるディレクトリで、
ユーザーがファイルを表示できるようにします。
追加するには、Save Changes または Save + New をクリックします。
Options タブ
Options タブを使用すると、リソースの表示機能、フォルダブックマークの作成機能な
ど、Windows および UNIX/NFS ネットワークブラウジングオプションを指定できます。
これらのオプションは、ファイルリソースポリシーと協調して動作します。
一般的なファイルブラウジングオプションの指定
一般的なファイルのブラウジングオプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > Web > Options を選択します。
2.
Windows Network Files で、ユーザー用に有効にするオプションを指定します。
3.
4.
272
Files ページの設定

User can browse network file shares －有効にすると、ユーザーは利用可能な
Windows ファイル共有にあるリソースを表示したり、ブックマークを作成した
りできます。

User can add bookmarks －有効にすると、ユーザーは利用可能な Windows
ファイル共有にあるリソースを表示したり、ブックマークを作成したりでき
ます。
UNIX Network Files で、ユーザーのために有効にするオプションを指定します。

User can browse network file shares －有効にすると、ユーザーは利用可能な
UNIX ファイル共有にあるリソースを表示したり、ブックマークを作成したりで
きます。

User can add bookmarks －有効にすると、ユーザーは利用可能な UNIX ファイ
ル共有にあるリソースへのブックマークを表示したり、作成したりできます。

Allow automount shares －有効にすると、ユーザーは NIS サーバーで指定され
た自動マウント共有にアクセスできます。
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Telnet/SSH ページの設定
Telnet/SSH ページには、次のタブがあります。

273 ページの「Sessions タブ」－このロールにマップされたユーザーの welcome ペー
ジに表示されるセキュアターミナルセッションブックマークを作成するには、この
タブを使用します。

274 ページの「Options タブ」－ユーザーが自分で Telnet/SSH ブックマークを作成し
たり、ターミナルセッションを参照したり、IVE を設定してセッションブックマー
クに指定されたサーバーへのアクセスを許可する Telnet/SSH リソースポリシーを作
成できるようにするには、このタブを使用します。
Sessions タブ
このロールにマップされたユーザーの welcome ページに表示されるセキュアターミナル
セッションブックマークを作成するには、Sessions タブを使用します。ターミナルセッ
ションブックマークは、ユーザーが起動できる Telnet または SSH セッションのターミナ
ルセッション情報を定義します。これらのセッションを通じて、ユーザーは UNIX サー
バーやネットワークデバイス、ターミナルサービスを使用するその他のレガシアプリ
ケーションなど、さまざまなネットワークデバイスにアクセスできます。IVE は SSH バー
ジョン V1 と V2 をサポートしており、OpenSSH_2.9.9p1、SSH プロトコル 1.5/2.0、およ
び OpenSSL 0x0090607f の SSH バージョンを使用しています。
Secure Terminal Access upgrade オプション（Telnet/SSH）を有効にしていながら、独自の
ブックマーク（274 ページの「Options タブ」で説明されているように）を作成する権限
がユーザーに与えられない場合は、ユーザーのセッションブックマークが設定されてい
ることを確認してください。ブックマークを設定しないと、ユーザーはこの機能を使用で
きません。
セキュアターミナルセッションのブックマークの作成
セキュアターミナルセッションのブックマークを作成するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール名 > Telnet/SSH > Sessions を選択し
ます。
2.
Add Session をクリックします。New Telnet/SSH Session ページが表示されます。
3.
新規 Telnet/SSH セッションのブックマークの名前と説明を入力します（オプショ
ン）。ブックマークの名前と説明を指定すると、Terminal Sessions ページにこの情報
が表示されます。
4.
Host フィールドにリモートホストの名前または IP アドレスを入力します。
5.
Session Type で、Telnet か SSH Secure Shell のいずれかを選択し、ポートが事前入力
されたポートの割り当てと異なる場合は、ポートを指定します。
6.
ユーザー名を入力するか、<username>、あるいはその他の IVE 対応のセッション変
数を使用します。
7.
次のいずれかを選択して、Font Size を指定します。
8.

Fixed size of _ pixels － 8 ～ 36 ピクセルの範囲でサイズを入力します。

Resize to fit window －ウィンドウサイズに合わせてフォントサイズが動的に
変わります。このオプションには Internet Explorer が必要です。
ドロップダウンリストから Screen Size を選択します。
Telnet/SSH ページの設定

273
Juniper Networks NetScreen Secure Access 700 管理ガイド
9.
Screen Buffer サイズを指定します。
10. Save Changes または Save + New をクリックします。
メモ : セキュアターミナルセッションのブックマークを作成することに加え、ロール
の Telnet/SSH セッションを許可するリソースポリシーを作成します。または、
Telnet/SSH > Options タブで Auto-allow role Telnet/SSH sessions セッションを有効に
して、セッションブックマークで定義されたリソースに自動的にアクセスできるように
します。
Options タブ
ユーザーが自分で Telnet/SSH ブックマークを作成したり、ターミナルセッションを参照
したり、IVE を設定してセッションブックマークに指定されたサーバーへのアクセスを許
可する Telnet/SSH リソースポリシーを作成できるようにするには、Options タブを使用
します。
ユーザーにターミナルセッションのブラウズを許可する場合、ユーザーは次の 2 つの方
法を使用できます。

Use the IVE homepage － IVE ホームページの Address フィールドに、アクセスする
サーバーおよびポートを入力できます。URL の有効なフォーマットには、次のものが
あります。

Telnet://host:port

SSH://host:port
例：Telnet://terminalserver.yourcompany.com:3389

Use the Web browser’s address bar －ユーザーは各自の Web ブラウザのアドレス
バーに、標準の Web プロトコルを使用してアクセスするサーバーとポート（および、
フォントやウィンドウサイズなどのセッションパラメータ）を入力できます。
例：
https://iveserver/dana/term/newlaunchterm.cgi?protocol=telnet&host=termsrv.y
ourcompany.com&port=23&username=jdoe&fontsize=12&buffer=800&size=80x2
5
一般的な Telnet/SSH オプションの指定
一般的な Telnet/SSH オプションを指定するには、次の操作を実行します。
274
Telnet/SSH ページの設定
1.
Web コンソールで、Users > Roles > ロール名 > Telnet/SSH > Options を選択しま
す。
2.
ユーザーが独自のセッションブックマークを定義できるようにし、また telnet://
および ssh:// 構文、および /dana/term/newlaunchterm.cgi 構文を使用してター
ミナルセッションのブラウズを可能にするために User can add sessions を有効に
します。このオプションを有効にした場合、次回からユーザーが IVE welcome ペー
ジを更新すると、Terminal Sessions ページに Add Terminal Session ボタンが表示
されます。
3.
リソースポリシーを作成するのではなく、セッションブックマークに定義されたリ
ソースへのアクセスを IVE に自動的に許可するには、Auto-allow role Telnet/SSH
sessions を有効にします。このオプションは、ユーザーブックマークではなく、ロー
ルブックマークに適用されます。
4.
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Network Connect ページの設定
ロールに対して、スプリットトンネル、自動アンインストール、および GINA （Graphical
Identification and Authentication）オプションを指定するには、Network Connect タブを
使用します。GINA の詳細については、85 ページの「GINA を使用した Network Connect
の自動サインイン」を参照してください。
Network Connect のスプリットトンネル、自動起動、自動アンインストール、および
GINA インストールの各オプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Users > Roles > ロール > Network Connect を選択します。
2.
Split Tunneling Options で、次のオプションのいずれかを選択します。

Disable Split Tunneling －クライアントからのネットワークトラフィックはす
べて Network Connect トンネル経由で送信されます。Network Connect と IVE と
の接続が確立されると、IVE はスプリットトンネルを起こす可能性のある事前定
義されたローカルサブネットとホスト間のルートをすべて削除します。Network
Connect のアクティブセッション中にローカルルートテーブルに変更が加えら
れると、IVE によってそのセッションは中断されます。

Allow access to local subnet － IVE はクライアントのローカルサブネットルー
トを保持するので、プリンタなどのローカルリソースへのアクセスは維持され
ます。ローカルルートテーブルは Network Connect セッション中に変更される
可能性があります。

Enable Split Tunneling －このオプションでは、スプリットトンネルがアクティ
ブになり、326 ページの「Network Connect スプリットトンネルネットワーク
リソースポリシーの作成」の説明に従って、IVE がリモートクライアントと企
業イントラネット間で渡されたトラフィックを処理するネットワーク IP アドレ
ス / ネットマスクの組み合わせを指定する必要があります。
スプリットトンネルが使用されると、Network Connect はクライアントでルー
ティングを修正し、企業イントラネットネットワーク用のトラフィックは
Network Connect に向かい、その他すべてのトラフィックはローカルの物理アダ
プタを経由するようにします。IVE はまず、物理アダプタ経由で送信されたすべ
ての DNS リクエストの解決を試みてから、送信できなかったリクエストを
Network Connect アダプタにルーティングします。

Enable Split Tunneling with route change monitor － Network Connect セッショ
ンが開始した後でローカルルートテーブルが変更されると、セッションは終了
します。このオプションをオンにすると、プリンタなどのローカルリソースへの
アクセスは維持されます。
3.
Auto Launch Options では、Network Connect セッションを有効にする 1 つ以上の
ロールに認証されたユーザーがマップするときに、Network Connect が自動的に起動
するかしないかを指定します。
4.
Auto Uninstall Options で、ユーザーが Network Connect セッションからサインアウ
トしたときに Network Connect をリモートクライアントからアンインストールする
かどうかを指定します。
Network Connect ページの設定

275
Juniper Networks NetScreen Secure Access 700 管理ガイド
5.
TOS Options では、このオプションを有効または無効にすることにより、IP TOS ビッ
トコピーサービス品質（QoS）機能を有効にするかしないかを指定します。このオプ
ションが有効なとき、Network Connect は、内部の IP パケットヘッダーから外部の
IP パケットヘッダーに IP TOS ビットをコピーします。
メモ :

このオプションを有効にするには、Network Connect がはじめて Windows OS にイ
ンストールされたときに、コンピュータの再起動が必要になる場合があります。

IVE でこのオプションを有効にする場合、322 ページの「Network Connect 接続プロ
ファイルの作成」で説明されているように、Repeat Protection オプションを無効に
していることを確認してください。
6.
Multicast Option では、Network Connect をマルチキャストモードで動作させたいか
どうかを指定します。
7.
GINA Options で、ロールの GINA インストールを有効にするかどうかを指定し、以
下のオプションのいずれかを選択して GINA のサインイン動作を指定します。
8.
276
Network Connect ページの設定

Require NC to start when logging into Windows － GINA がインストールされる
と、このオプションにより、Windows ユーザーがサインインするたびに、
Network Connect サインイン機能を自動的に起動します。

Allow user to decide whether to start NC when logging into Windows － GINA が
インストールされると、このオプションにより、ユーザーは GINA のインストー
ル後に Network Connect を起動するかどうかを、Windows の起動時に選択でき
ます。
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
New User ページの設定
ローカルユーザーの作成
認証サーバーのタイプとして “IVE” を選択した場合は、そのデータベースにローカル
ユーザーレコードを定義する必要があります。ローカルユーザーレコードは、ユーザー
名、ユーザーの氏名、ユーザーのパスワードで構成されています。通常は外部の認証サー
バーでユーザー認証を行いますが、この外部の認証サーバーを無効にすることがある場合
や、一時的なユーザーのグループを作成する場合は、ローカルユーザーレコードを作成
します。
IVE ローカル認証のためにローカルユーザーレコードを作成するには、次の操作を実行
します。
1.
2.
Web コンソールで、次のいずれかを実行します。

Signing In > AAA Servers を選択して、ユーザーアカウントを追加する IVE デー
タベースをクリックします。それから、Users タブを選択して、New をクリック
します。

Users > New User を選択します。
ユーザー名、ユーザーの氏名、ユーザーのパスワードを入力します。注意：

ユーザー名に “~~” は使えません。

アカウントの作成後にユーザー名を変更する場合、新規アカウントを作成する必
要があります。
3. （Users > New User ページのみ）Authenticate Using リストから、ユーザーアカウ
ントを追加したい IVE データベースを選択します。
4.
そのユーザーのログインを 1 回に制限したい場合は、One-time use（disable
account after the next successful sign-in）を選択します。1 回ログインに成功すると、
そのユーザーのログイン状態は Disabled に設定され、その後で再びログインしよう
とするとエラーメッセージが表示されます。しかし、Web コンソールでこのオプ
ションを手動でリセットして、同じユーザーが再びログインできるようにすることが
可能です。このオプションのチェックを外しておく場合、パーマネントユーザーを作
成していることになります。
5.
すでに選択されていない場合は、Enabled を選択します。選択的に任意のユーザー
（1 回でも永続的でも）を有効または無効にするため、このオプションは admin が使
用します。デフォルトでは選択されています。One-time use オプションがチェックさ
れている場合、このオプションは、ユーザーがログインに成功すると、Disabled に
変わります。パーマネントまたは 1 回ユーザーがログインしているときに、このオプ
ションを無効にすると、ユーザーはすぐにシステムからログアウトさせられて、エ
ラーメッセージを受け取ります。
6.
次のサインイン時にユーザーに自分のパスワードを変更させる場合は、Require user
to change password at next sign in チェックボックスをオンにします。
メモ : ユーザーのパスワード変更を強制するには、Allow users to change their
passwords オプションを有効にすることも必要です。Administrators/Users >
Authentication > [ 領域 ] > Authentication Policy >Password ページで、どの領域が
サーバーのパスワード管理機能を継承するか指定します。
New User ページの設定

277
Juniper Networks NetScreen Secure Access 700 管理ガイド
7.
Save Changes をクリックします。ユーザーレコードが IVE データベースに追加され
ます。
メモ : IVE Web コンソールは、Last Sign-in Statistic という名前のコラムにある Users タ
ブに、各ユーザーアカウントに対する前回のアクセス統計情報を提供します。提供され
る統計には、各ユーザーが前回正常にサインインした時の日時、ユーザーの IP アドレ
ス、エージェントとブラウザの種類とバージョンが含まれます。
278
New User ページの設定
第 10 章
リソースポリシー設定
Web コンソールの Resource Policies セクションにある設定を使用すると、個々のリソー
スポリシーの作成と設定が行えます。
目次

281 ページの「リソースポリシーのリソースの指定」

283 ページの「詳細規則の記述」

285 ページの「Web ページの設定」

309 ページの「Files ページの設定」

317 ページの「Telnet/SSH ページの設定」

320 ページの「Network Connect ページの設定」

329 ページの「Email Client ページの設定」
第 10 章 : リソースポリシー設定

279
Juniper Networks NetScreen Secure Access 700 管理ガイド
280
第 10 章 : リソースポリシー設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
リソースポリシーのリソースの指定
リソースポリシーを評価する IVE プラットフォームのエンジンでは、ポリシーの
Resources リストに表示されるリソースが正式フォーマットに従っている必要がありま
す。ユーザーが特定のリソースにアクセスしようとすると、IVE アプライアンスは、要求
されたリソースと対応するポリシーに指定されているリソースを比較します。これは、ポ
リシーリストの最初のポリシーから順に行われます。要求されたリソースとポリシーの
Resources リストに指定されているリソースが一致すると、さらに詳細にポリシーの制約
が評価され、適切なアクションがアプライアンスに返されます（それ以上、ポリシーの評
価は行われません）。ポリシーが適用されない場合は、そのポリシーのデフォルトのアク
ションが返されます。
正式フォーマットについての一般的注意事項

リソースのホスト名と IP アドレスは、ポリシーエンジンに同時に渡されます。ポリ
シーの Resources リストにあるサーバーが IP アドレスで指定されている場合は、評
価は IP アドレスに基づいて行われます。それ以外の場合は、2 つのホスト名を一致さ
せます。つまり、IP を特定するための DNS 逆引き参照は実行されません。

ポリシーの Resources リストにあるホスト名が、“intranet.juniper.net” ではなく、
“juniper” のように完全修飾名で表示されていない場合は、その表示のまま評価が実
行されます。ホスト名の詳細な修飾部分は評価されません。
サーバーリソースの指定
Telnet/SSH または Network Connect のリソースポリシーにサーバーリソースを指定する
場合は、次のガイドラインに注意してください。
正式フォーマット： [protocol://]host[:ports]
以下の 3 つのコンポーネントがあります。

Protocol （オプション）－可能な大文字と小文字を区別しない値：

tcp

udp

icmp
プロトコルを指定しない場合、3 種類のプロトコルがすべて想定されます。プロトコ
ルを指定する場合、区切り文字 “://” を使用する必要があります。特殊文字は使用で
きません。
メモ : ネットワークコネクトポリシーにのみ指定できます。Secure Application Manager
や Telnet/SSH など、その他のアクセス機能のリソースポリシーについては、このコン
ポーネントの指定は無効です。
リソースポリシーのリソースの指定

281
Juniper Networks NetScreen Secure Access 700 管理ガイド

Host （必須）－可能な値：

IP address/Netmask － IP アドレスは次の形式に従う必要があります：a.b.c.d
ネットマスクは以下の 2 つのどちらかの形式で指定できます。

接頭辞：先頭からのビット数

IP: a.b.c.d
例：10.11.149.2/24 または 10.11.149.2/255.255.255.0
特殊文字は使用できません。

DNS Hostname －例：www.juniper.com
メモ : Network Connect のリソースポリシーにホスト名を指定することはできません。
指定できるのは IP アドレスだけです。
以下の特殊文字を使用できます。
表 12: DNS ホスト名の特殊文字
*
すべての文字と一致
%
ドット（.）以外の任意の文字と一致
?
1 文字だけに一致

Ports （オプション）－可能な値：
表 13: ポートで使用できる値
*
すべてのポートに一致、その他の特殊文字は使用不可
port[,port]*
カンマで区切れらた単一ポートのリスト。有効なポート番号は
[1 ～ 65535] です。
[port1]-[port2]
ポート 1 からポート 2 を含むポートの範囲
メモ : 80,443,8080-8090 などのように、ポートリストおよびポート範囲を一緒に使用
することができます。
ポートがない場合は、https には 80、 https には 443 のデフォルトポートが割り当
てられます。ポートを指定する場合、区切り文字 “://” を使用する必要があります。
例：
<username>.danastreet.net:5901-5910
10.10.149.149:22,23
tcp://10.11.0.10:80
udp://10.11.0.10:*
282
リソースポリシーのリソースの指定
Juniper Networks NetScreen Secure Access 700 管理ガイド
詳細規則の記述
詳細規則により、既存のリソース情報および権限情報を利用したより柔軟なリソースア
クセスコントロールが可能になり、基本リソースポリシーを適用するそれぞれのユー
ザーに異なる要件を効率的に指定できるようになります。詳細については、55 ページの
「リソースポリシー詳細規則」を参照してください。
リソースポリシーに詳細規則を記述するには、次の操作を実行します。
1.
リソースポリシーの New Policy ページで、必要なリソースとロールの情報を入力し
ます。
2.
Action セクションで、Use Detailed Rules を選択し、Save Changes をクリックし
ます。
3.
Detailed Rules タブで、New Rule をクリックします。
4.
Detailed Rules ページで、以下を実行します。
a.
ユーザーの要求が Resource リストのリソースと一致する場合は、Action セク
ションで、実行するアクションを設定します（オプション）。デフォルトでは、
General タブで指定したアクションが継承されます。
b.
Resources セクションで、次のいずれかを指定します（必須）。
c.

General タブで指定されているリソースと完全に一致または部分的に一致す
るリソースリスト。

General タブで指定されているサーバーの特定のパスまたはファイル（適切
な場合はワイルドカードを使用）。Resources リスト内でのワイルドカード
の使用方法については、該当するリソースポリシーのドキュメントを参照
してください。

適切なパスとその後に続くファイルタイプ、または General タブで指定さ
れているサーバーの任意のパス内で指定拡張子を使用するファイルを示す、
*/*.file_extension を指定。
Conditions セクションで、アクションを実行するために評価する以下のいずれ
かの式を必要な数だけ指定します（オプション）。

ブール演算式：システム変数を使用し、NOT、OR、AND 演算子を使用した
任意の数のブール演算式を記述します。リソースポリシーで利用可能な変数
のリストについては、371 ページの「システム変数とその例」を参照してく
ださい。

カスタム式：カスタム式の構文を使用し、任意の数のカスタム式を記述
します。構文および変数の詳細は、367 ページの「カスタム式の記述」
を参照してください。カスタム式は、アドバンストライセンスの場合の
み利用可能です。
メモ : Web ページ、telnet、ファイル、および SAM の ACL では、<USER> 代入変数を
使用できます。Network Connect ACL では変数を使用できません。
d.
5.
Save Changes をクリックします。
Detailed Rules タブで、IVE に評価させたい順序のとおりに規則を指定します。ユー
ザーから要求されたリソースが Resource リストのリソースと一致すると、IVE は指
定されているアクションを実行し、処理中の規則（およびその他のリソースポリ
シー）を停止することに注意してください。
リソースポリシーのリソースの指定

283
Juniper Networks NetScreen Secure Access 700 管理ガイド
284
リソースポリシーのリソースの指定
Juniper Networks NetScreen Secure Access 700 管理ガイド
Web ページの設定
Resource Policies > Web ページには、次のタブがあります。

287 ページの「Access タブ」－インターネット、イントラネット、またはエクストラ
ネットに接続するためにユーザーがアクセスできる Web リソースを指定する Web リ
ソースポリシーを作成するには、Access タブを使用します。

288 ページの「Caching タブ」－ Caching タブを使用して、Web Access リソースポリ
シーを作成し、一般的なキャッシュのオプションを指定します。

292 ページの「Java タブ」－ Java タブを使用して Java アプレットがどのサーバーおよ
びポートと接続できるかを制御するリソースポリシーを作成し、IVE が Java アプ
レットを再書き込みする方法を指定します。

296 ページの「Rewriting タブ」－ Rewriting タブを使用して、選択的な再書き込みリ
ソースポリシー、パススループロキシリソースポリシー、および ActiveX パラメー
タ再書き込みリソースポリシーを作成します。

303 ページの「Remote SSO タブ」－ Remote SSO タブを使用して、Basic
Authentication または NTLM 仲介方法を有効にします。

305 ページの「Web Proxy タブ」－ Web Proxy タブを使用して、Web proxy リソース
ポリシーを作成し、Web proxy サーバーを指定します。

307 ページの「Compression タブ」－ Compression タブを使用して、Web 圧縮リソー
スポリシーを作成します。

308 ページの「Options タブ」－ Options タブを使用して、説明されているように
Web リソースオプションを指定します。
Web プロキシリソースポリシーの作成
ロールに対して Web アクセス機能を有効にする場合は、ユーザーにどのリソースへのア
クセスを許可するか、ユーザーから要求されたコンテンツを IVE が書き直す必要があるか
どうかに加え、キャッシングやアプレットの要件を指定するリソースポリシーを作成す
る必要があります。IVE は Web 要求ごとに、まず設定された書き直しポリシーを評価しま
す1。選択された再書き込みまたはデータ転送プロキシリソースポリシーにより、「再書
き込みしない」と指定されたリソースが要求された場合、IVE はユーザー要求を適切な
バックエンドリソースに転送します。それ以外の場合、IVE は Java アプレットのフェッチ
を要求する Java リソースポリシーなど、要求に対応するリソースポリシーを評価しま
す。IVE は、ユーザーの要求を該当するポリシーにリストアップされたリソースと照合し
た後、そのリソースに指定されたアクションを実行します。
Web リソースポリシーを作成するとき、以下の情報を入力する必要があります。

Resources －リソースポリシーでは、ポリシーを適用する 1 つ以上のリソースを指
定する必要があります。Web ポリシーの作成時には、以下のセクションで説明されて
いるように、Web サーバーまたは特定の URL を指定する必要があります。

Roles －リソースポリシーでは、適用対象となるロールを指定する必要があります。
ユーザーから要求があると、IVE はそのロールに適用されるポリシーを決めて、要求
に対応するポリシーを評価します。
1.「再書き込み」リソースポリシーを設定しない場合、 IVE はユーザー要求に適用するポリシーを使用して評価プロ
セスを続行します。
Web ページの設定

285
Juniper Networks NetScreen Secure Access 700 管理ガイド

Actions －各タイプのリソースポリシーは、リソースを許可または拒否するかどう
か、コンテンツの書き換え、アプレットの再署名、Web データの投稿など、特定の
機能を実行するかどうかといった、特定のアクションを実行します。ユーザー要求に
対してさらに条件を適用する詳細な規則を作成することもできます。283 ページの
「詳細規則の記述」を参照してください。
IVE プラットフォームのエンジンが、リソースポリシーを評価する際に、ポリシーの
Resources リスト内に表示されるリソースは、281 ページの「リソースポリシーのリソー
スの指定」で説明されているように、標準書式に従っていなければなりません。
このセクションでは、正式フォーマットを使用して Web リソースを指定するときに考慮
すべき点について概説します。
正式フォーマット：
[protocol://]host[:ports][/path]
以下の 4 つのコンポーネントがあります。

Protocol（オプション）－使用できる値 : http および https （大文字と小文字が区別
されます）
プロトコルを指定しない場合、http および https の両方が想定されます。プロトコル
を指定する場合、区切り文字 “://” を使用する必要があります。特殊文字は使用でき
ません。

Host（必要）－使用できる値 :

DNS Hostname －例：www.juniper.com
使用できる特殊文字については以下の表で説明しています。
表 14: DNS ホスト名の特殊文字
*
すべての文字と一致
%
ドット（.）以外の任意の文字と一致
?
1 文字だけに一致

IP address/Netmask － IP アドレスは、a.b.c.d のように指定する必要があり
ます。
ネットマスクは以下の 2 つの内、どちらかの形式で指定できます。

接頭辞：先頭からのビット数

IP: a.b.c.d
例：10.11.149.2/24 または 10.11.149.2/255.255.255.0
特殊文字は使用できません。

Ports － IP/ ネットマスクをリソースとして指定する場合に、ポートを指定する必要が
あります。DNS ホスト名を指定する場合は、ポートはオプションです。ポートを指定
する場合、区切り文字 “://” を使用する必要があります。例：
10.11.149.2/255.255.255.0:*
286
Web ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 15: ポートで使用できる値
*
すべてのポートに一致、その他の特殊文字は使用不可
port[,port]*
カンマで区切れらた単一ポートのリスト。有効なポート番号は
[1 ～ 65535] です。
[port1]-[port2]
ポート 1 からポート 2 を含むポートの範囲
メモ : 80,443,8080-8090 などのように、ポートリストおよびポート範囲を一緒に使
用することができます。
ポートがない場合は、https には 80、 https には 443 のデフォルトポートが割り当
てられます。

Path （オプション）－パスを指定しない場合はアスタリスク（*）が想定され、すべ
てのパスが一致します。パスを指定する場合、区切り文字 “/” を使用する必要があり
ます。その他の特殊文字はサポートされません。例：

http://www.juniper.com:80/*

https://www.juniper.com:443/intranet/*

*.yahoo.com:80,443/*

%.danastreet.net:80/share/users/<username>/*
Access タブ
インターネット、イントラネット、またはエクストラネットに接続するためにユーザーが
どの Web リソースにアクセスできるかを制御する Web リソースポリシーを作成するに
は、Access タブを使用します。Web リソースへのアクセスは、URL または IP アドレスの
範囲を指定して拒否または許可できます。URL の場合、“*” や “?” などのワイルドカード
を使って複数のホスト名やパスを効率的に指定できます。ホスト名でリソースを指定する
場合も、HTTP や HTTPS、またはその両方のプロトコルを選択できます。
Web Access リソースポリシーの作成
Web Access リソースポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Access を選択します。
2.
Web Access Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、281 ページの「リソースポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、308 ページの「Web リソースオプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。
Web ページの設定

287
Juniper Networks NetScreen Secure Access 700 管理ガイド
6.

Policy applies to SELECTED roles － Selected roles リストにあるロールに割り当
てられたユーザーにのみこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。

Policy applies to all roles OTHER THAN those selected below － Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。

Allow access － Resources リストで指定したリソースへのアクセスを許可し
ます。

Deny access－ Resources リストで指定したリソースへのアクセスを拒否します。

Use Detailed Rules －このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、283 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Web Access Policies ページで、IVE での評価方法に応じてポリシーに順序を設定し
ます。IVE は、ユーザーから要求されたリソースをポリシー（または詳細規則）の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Web リソースポリシーの例については、285 ページの「Web プロキシリソースポリシー
の作成」の図を参照してください。
Caching タブ
Caching タブを使用して、Web Access リソースポリシーを作成し、一般的なキャッシュ
のオプションを指定します。
Policies タブ
Caching > Policies タブを使用して、Web リソースポリシーを作成します。これにより、
どの Web コンテンツをユーザーのマシンにキャッシュするかを制御します。デフォルト
では、ブラウザのキャッシングは無効に設定されます。この場合、IVE は、リモートユー
ザーに送信されるすべてのページをキャッシング不可とマークします。この設定により、
ユーザーがブラウザを終了した後に機密情報が含まれたページがリモートマシンに残る
のを防止できます。このオプションを有効にすると、コンテンツを何度もフェッチする必
要があるため、ブラウジングが遅くなり、通信速度の低い接続回線を使用している場合に
はパフォーマンスの問題が生じる場合があります。もう 1 つの方法として、指定したサイ
ズの上限を超えないイメージなど、特定の種類のコンテンツのみをキャッシュに格納する
ようなポリシーを指定することもできます。
このセクションには、キャッシングポリシーについての次の情報があります。

288 ページの「Web Caching リソースポリシーの作成」

291 ページの「OWA および Lotus Notes キャッシングリソースポリシーの作成」
Web Caching リソースポリシーの作成
Web Caching リソースポリシーを作成するには、次の操作を実行します。
288
Web ページの設定
1.
Web コンソールで、Resource Policies > Web > Caching > Policies を選択します。
2.
Web Caching Policies ページで、New Policy をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
4.
5.
6.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、283 ページの「詳細規則の記述」を参照してください。IP アドレスまたは大
文字、小文字の区別によるリソースの照合を行う方法については、308 ページの
「Web リソースオプションの指定」を参照してください。
Roles セクションで、以下を指定します。

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。

Policy applies to SELECTED roles － Selected roles リストにあるロールに割り当
てられたユーザーにのみ、このポリシーを適用します。Available roles リストか
らこのリストにロールを追加してください。

Smart Caching (send headers appropriate for content and browser) －このオプ
ションを選択すると、IVE はユーザーの Web ブラウザおよびコンテンツの種類
に基づいて、cache-control:no-store ヘッダーまたは cache-control:no-cache
ヘッダーを送信します。
このオプションを選択した場合、メディアファイルと zip ファイルの発信元
サーバーの cache-control ヘッダーを削除して正しく機能させてください。たと
えば、以下のロジックは、cache または cache-control:no-store 応答ヘッダーを
削除してファイルをキャッシュ可能にするために、user-agent ヘッダーで “msie”
または “windows-media-player” を検索します。
(if content type has "audio/x-pn-realaudio" OR
if content type begins with "video/" OR
if content type begins with "audio/" OR
if content type is "application/octet-stream" and the file extension begins
with "rm" or "ram"
)
user-agent ヘッダーに “msie” または “windows-media-player” が含まれ、さらに
次の条件が適合する場合：

Flash、.xls、.pps、.ppt ファイルが要求された場合、

指定された content-type が application/、text/rtf、text/xml、model/ の場合、
または

発信元サーバーから content-disposition ヘッダーが送信された場合
この場合、IVE は cache-control:no-store ヘッダーを送信し、発信元サーバーの
cache-control ヘッダーを削除します。
Web ページの設定

289
Juniper Networks NetScreen Secure Access 700 管理ガイド
その他の場合、IVE は pragma:no-cache 応答ヘッダーまたは cache-control:nostore 応答ヘッダーを追加します。
メモ : Citrix .ica ファイルと QuickPlace ファイルには特殊な処理が適用されます。Citrix
.ica ファイルは常にキャッシング可能で、cache-control-private ヘッダーも追加されま
す。QuickPlace ファイルについては指定の規則が優先されますが、規則に適合しない
QuickPlace ファイルには、CCNS および cache-control:private ヘッダーが追加されます。
このオプションを選択し、GZIP 圧縮を有効にして、Internet Explorer から Domino Web
Access 6.5 を使用してテキスト添付ファイルにアクセスしようとしても、添付ファイル
を開くことはできません。テキスト添付ファイルを有効にするには、Internet Explorer
323308 パッチをインストールするか、Don't Cache (send "Cache Control: No Store")
オプションを有効にします。

Don't Cache (send "Cache Control: No Store") －このオプションを選択し
て、添付ファイルをディスクに保存せずに Internet Explorer に配信します。
( ブラウザは一時的にファイルをディスクに書き込みますが、ブラウザで
ファイルを開くとすぐに削除します。）このオプションを選択すると、IVE
は、ブラウザから送信された user-agent 文字列に “msie” または “windowsmedia-player” が含まれている場合には、発信元サーバーのキャッシュ管理
ヘッダーを削除し、cache-control:no-store 応答ヘッダーを追加します。

Don't Cache (send "Pragma: No Cache") －このオプションを選択すると、ユー
ザーのブラウザがファイルをディスクにキャッシングするのを防ぎます。このオ
プションを選択すると、IVE によって標準 HTTP pragma:no-cache ヘッダーと
cache-control:no-cache （CCNC）ヘッダー（HTTP 1.1）が応答ファイルに追加
されます。また、age や date、etag、last-modified、expires などの発信元サー
バーのキャッシングヘッダーは転送されません。
メモ : 多くの種類の添付ファイル（PDF、PPT、ストリーミングファイル）用の nocache ヘッダーを送信すると、Internet Explorer はドキュメントをレンダリングしない
ようにさせます。これは、レンダリングするためにブラウザがこれらのドキュメントを
キャッシュに一時的に書き込む必要があるからです。
290
Web ページの設定

Cache (do not add/modify caching headers) － IVE は、 pragma:no-cache 応答
ヘッダーまたは cache-control:no-store 応答ヘッダーを追加せずに、発信元サー
バーのキャッシングヘッダーを転送します。

Use Detailed Rules －このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、283 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Web Caching Policies ページで、IVE での評価方法に応じてポリシーに順序を設定し
ます。IVE は、ユーザーから要求されたリソースをポリシー（または詳細規則）の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Web リソースポリシーの例については、285 ページの「Web プロキシリソースポリシー
の作成」の図を参照してください。
OWA および Lotus Notes キャッシングリソースポリシーの作成
次の表に、IVE が Outlook Web Access (OWA) および Lotus iNotes アプリケーションでサ
ポートするいくつかのコンテンツタイプの例を示します。さらに、指定したコンテンツ
タイプを開いたり保存するために実装する必要があるキャッシュ管理ディレクティブを示
します。
パフォーマンス上の理由から、iNotes ディレクトリ内のすべてにキャッシュポリシーを
作成することをお勧めします。
表 16: OWA キャッシングリソースポリシー
添付ファイルのタイプ
添付ファイルを開くために使用 :
添付ファイルを保存するために
使用 :
zip
キャッシュ
Smart caching
ppt
Smart caching
Smart caching
doc
Smart caching
Smart caching
xls
Smart caching
Smart caching
pdf
Smart caching
Smart caching
txt
キャッシュ
Cache-Control: No-Store
html
Smart caching
Cache-Control: No-Store
表 17: iNotes キャッシングリソースポリシー
添付ファイルのタイプ
添付ファイルを開くために使用 :
添付ファイルを保存するために
使用 :
zip
Cache-Control: No-Store
Cache-Control: No-Store
ppt
Cache-Control: No-Store
Cache-Control: No-Store
doc
Smart caching
Smart caching
xls
Cache-Control: No-Store
Cache-Control: No-Store
pdf
Cache-Control: No-Store
Cache-Control: No-Store
txt
Cache-Control: No-Store
Cache-Control: No-Store
html
Cache-Control: No-Store
Cache-Control: No-Store
その他のファイル
タイプ
Cache-Control: No-Store
Cache-Control: No-Store
Web ページの設定

291
Juniper Networks NetScreen Secure Access 700 管理ガイド
Options タブ
Caching > Options タブを使用して、クライアント上のキャッシュに格納されるイメー
ジファイルの最大サイズを指定します。発信元サーバーから送られた content-type ヘッ
ダーが "image/" で始まり、content-length ヘッダーに指定されたサイズがこのオプ
ションに設定された最大サイズを超えない場合、IVE は発信元サーバーのキャッシング
ヘッダーを転送します。それ以外の場合、IVE は、その要求のキャッシングが無効であ
ると扱います。
一般的なキャッシングオプションの指定
キャッシングオプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Caching > Options を選択します。
2.
Caching Options ページで、Clients should cache all images less than フィールドに
許可する最大イメージサイズを指定します。
3.
Save Changes をクリックします。
Java タブ
Java タブを使用して、Java アプレットがどのサーバーおよびポートと接続できるかを制
御するリソースポリシーを作成し、IVE が Java アプレットを書き直す方法を指定します。
Java タブを使用して、IVE に Java アプレットをアップロードすることもできます。
アクセスコントロール
Java > Access Control タブを使用して、Java アプレットが接続できるサーバーとポート
をコントロールする Web リソースポリシーを作成します。
Java Access Control リソースポリシーの作成
Java Access Control リソースポリシーを作成するには、次の操作を実行します。
292
Web ページの設定
1.
Web コンソールで、Resource Policies > Web > Java > Access Control を選択し
ます。
2.
Java Access Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、281 ページの「リソースポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、308 ページの「Web リソースオプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。

Policy applies to SELECTED roles － Selected roles リストにあるロールに割り当
てられたユーザーにのみ、このポリシーを適用します。Available roles リストか
らこのリストにロールを追加してください。
Juniper Networks NetScreen Secure Access 700 管理ガイド

6.
Policy applies to all roles OTHER THAN those selected below － Selected roles
リストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポ
リシーを適用します。Available roles リストからこのリストにロールを追加して
ください。
Action セクションで、以下を指定します。

Allow socket access － Java アプレットが Resources リストのサーバー（および
オプションのポート）に接続できるようにします。

Deny socket access － Java アプレットが Resources リストのサーバー（およびオ
プションのポート）に接続することを防ぎます。

Use Detailed Rules －このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、283 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Java Access Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま
す。IVE は、ユーザーから要求されたリソースをポリシー（または詳細規則）の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Web リソースポリシーの例については、285 ページの「Web プロキシリソースポリシー
の作成」の図を参照してください。
Code Signing タブ
Java > Code Signing タブを使用して、IVE が Java アプレットを書き直す方法を指定する
Web リソースポリシーを作成します。デフォルトでは、署名付き Java アプレットを仲介
する場合、IVE は標準のルート証明書にチェーンされていない IVE 自身の証明書でアプ
レットの署名を書き直します。ユーザーがネットワークサーバーへのアクセスなどの危険
度の高いタスクの実行を要求すると、ルートがトラステッドルートではない、というセ
キュリティ警告がユーザーのブラウザに表示されます。このような警告が表示されないよ
うにするには、IVE が仲介するアプレットの署名書き換えに使用するコード署名証明書を
インポートします。コード署名証明書の詳細については、64 ページの「コード署名証明
書」を参照してください。
Java > Code Signing タブで設定するときに、アプレットの送信元として信頼するサー
バーを Resources フィールドに入力します。サーバーの IP アドレスまたはドメイン名を
入力します。IVE が署名を書き直すのは、トラステッドサーバーから送信されたアプレッ
トのみです。ユーザーがリストにないサーバーからアプレットを要求した場合、IVE はア
プレットの署名にインポートされた証明書を使用しません。この場合、ブラウザにはセ
キュリティ警告が表示されます。Sun JVM ユーザーの場合、IVE は元のアプレット証明書
のルート CA が信頼されるルート証明書認証局のリストに含まれているかどうかも確認し
ます。
Java Code Signing リソースポリシーの作成
Java Code Signing リソースポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Java > Access Control を選択し
ます。
2.
Java Signing Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
Web ページの設定

293
Juniper Networks NetScreen Secure Access 700 管理ガイド
b.
ポリシーの説明（オプション）
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、281 ページの「リソースポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、308 ページの「Web リソースオプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
6.

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。

Resign applets using applet certificate － Java アプレットが Resources リストの
サーバー（およびオプションのポート）に接続できるようにします。

Resign applets using default certificate － Java アプレットが Resources リストの
サーバー（およびオプションのポート）に接続できないようにします。

Use Detailed Rules －このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、283 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Java Signing Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま
す。IVE は、ユーザーから要求されたリソースをポリシー（または詳細規則）の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Web リソースポリシーの例については、285 ページの「Web プロキシリソースポリシー
の作成」の図を参照してください。
アプレット
Java > Applets タブを使用して、97 ページの「Java アプレットアップロードの概要」で
説明されているように、Java アプレットを IVE にアップロードします。
メモ : IVE にアップロードできる Java アプレットは 100MB だけです。IVE は Java
Applets ページで IVE にアップロードされる各アプレットのサイズを表示します。これ
により、必要に応じてどのアプレットを削除するかを決めることができます。
Java アプレットの IVE へのアップロード
Java アプレットを IVE にアップロードするには、以下の操作を実行します。
294
Web ページの設定
1.
Web コンソールで、Resource Policies > Web > Java > Applets を選択します。
2.
New Applet をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
New Java Applet ページで、以下を入力します。
a.
この Java アプレットに付ける名前。（同じ Web ブックマークに追加するアプ
レットが複数ある場合には、それぞれのアプレットに同じ名前を使用するようお
勧めします。これにより、Users > Roles > 「ロール」> Web > Bookmarks
ページで HTML を作成するときに、その名前を 1 つ選択するだけで済みます。）
b.
アプレットの説明（オプション）。
4.
Upload Applet セクションで、IVE にアップロードするアプレットをブラウズします。
以下の拡張子が付いているアプレットをすべてアップロードできます。.jar, .cab, .zip,
and .class.
5.
IVE にインストールされているコード署名証明書を使用してアプレットを署名し直す
場合には、Trusted Applet チェックボックスを選択します（98 ページの「アップ
ロードした Java アプレットに署名する」を参照）
。
メモ : System > Configuration > Certificates > Code-Signing Certificates ページのオ
プションを使用してアプレット証明書を IVE にインポートしない場合には、IVE はこの
オプションを無効にします。
6.
追加するには、Save Changes または Save + New をクリックします。
7.
以下のアップロード同意書が表示されたら、それをお読みの上で条件を受諾する場合
には OK をクリックします。
あなたは Juniper 社の製品にサードパーティのソフトウェアをロードしようとしてい
ます。これを実行する前に、適用される Juniper 社の製品を購入した（装置の購入者
としての）お客様自身または組織の代理として、以下の条件をお読よみになり、同意
する必要があります。
Juniper 社の製品にサードパーティのソフトウェアを読み込んだ場合、そのようなソ
フトウェアを Juniper 社の製品で、またはそれと一緒に使用、コピー、または配布す
るときに必要なすべての権利を取得する責任を負うことになります。Juniper は、そ
のようなサードパーティのソフトウェアの使用から発生する責任を一切負いません。
またそのようなソフトウェアをサポートしません。サードパーティのソフトウェアの
使用は Juniper 社製品またはソフトウェアの正しい操作を妨げる場合があり、Juniper
社製品またはソフトウェアの保証が無効になる可能性があります。
同意して続行する場合には、OK ボタンをクリックします。
8.
Upload Status ダイアログボックスで詳細をお読みの上、OK をクリックします。
9.
266 ページの「一般的な Web ブラウジングオプションの指定」の説明に従って、
Users > Roles > 「ロール」> Web > Bookmarks ページで、対応する Web ブック
マークを作成します。
Web ページの設定

295
Juniper Networks NetScreen Secure Access 700 管理ガイド
Rewriting タブ
Rewriting タブを使用して、選択的な再書き込み、データ転送プロキシ、および ActiveX
パラメータの再書き込みリソースポリシーを作成するか、Juniper Networks Support から
メッセージがあった場合に再書き込みフィルターを追加します。
Selective Rewriting タブ
Rewriting > Selective Rewriting タブを使用して、IVE でコンテンツを仲介するホストの
リストと、このリストの例外を定義できる Web リソースポリシーを作成します。デフォ
ルトでは、IVE はすべてのユーザー要求を Web ホストに仲介します。これは、セキュア
アプリケーションマネージャなど、別のメカニズムで特定のホストにリクエストを送る
ように IVE を設定していない場合です。
yahoo.com など、企業ネットワークの外にある Web サイトのトラフィックを IVE で仲介
したくない場合、あるいは、Microsoft OWA（Outlook Web Access）など、Web リソース
として配置したクライアント / サーバーアプリケーションに対して、IVE でトラフィック
を仲介したくない場合に、任意の再書き込みポリシーを作成します。任意の再書き込みリ
ソースポリシーを作成するには、次の操作を実行します。
選択的な再書き込みリソースポリシーの作成
任意の再書き込みリソースポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Rewriting > Selective Rewriting を
選択します。
2.
Web Rewriting Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、281 ページの「リソースポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、308 ページの「Web リソースオプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
6.

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。

Rewrite content － IVE は、Resources リストで指定したリソースの全 Web コン
テンツを仲介します。1
1. 新規の IVE アプライアンスには、すべてのロールですべてのコンテンツを再書き込みする初期書き込みポリシーが付
いています。
296
Web ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド

Rewrite content as... － IVE は、Resources リストで指定したリソースの全 Web
コンテンツを仲介し、そのコンテンツがドロップダウンリストで指定された
ファイルタイプであるかのように、再書き込みします。1 利用可能なオプション
は次の通りです。

HTML －コンテンツを Hypertext Markup Language (HTML) として再書き込み
します。

XML －コンテンツを Extensible Markup Language (XML) として再書き込みし
ます。

Javascript －コンテンツを Java スクリプト言語として再書き込みします。

VBScript －コンテンツを Virtual Basic スクリプト言語として再書き込み
します。

CSS －コンテンツを重ねて表示されたスタイルシートとして再書き込み
します。

XSLT －コンテンツを XML スタイルシートとして再書き込みします。

Flash －コンテンツを Shockwave Flash として再書き込みします。

DTD －コンテンツをドキュメントタイプ定義（DTD）として再書き込みし
ます。

HTC －コンテンツを HTML コンポーネントとして再書き込みします。
Don’t rewrite content: Redirect to target Web server － IVE は、Resources リスト
で指定したリソースの Web コンテンツを仲介しません。自動的に送信先サー
バーへ要求をリダイレクトします。これは、作成するすべての再書き込みリソー
スポリシーに対するデフォルトのオプションです。このオプションを選択した場
合、IVE が 308 ページの「Options タブ」のオプションを使用して、新しいウィ
ンドウで再書き込みしていないページを開くように指定することができます。
メモ : 指定されたコンテンツが企業ネットワーク内のリソースにアクセスする必要があ
る場合、このオプションを選択しないでください。例えば、IVE が特定のファイルを書
き直さず、ファイルがネットワーク内の別のファイルを呼び出すように指定すると、エ
ラーが発生します。

Don’t rewrite content: Do not redirect to target Web server － IVE 元の Web サー
バーからコンテンツを検索しますが、そのコンテンツは変更しません。これは、
ユーザーが元のサーバーに到達できないかもしれないので、リダイレクションを
無効にする場合に役立ちます。（たとえば、ファイアウォールの後ろに存在する
ので、Web サーバーが一般のインターネットからアクセス可能でない場合。）
メモ : Don’t rewrite content: Do not redirect to target Web server オプションでは、
ユーザーは IVE を通じてネットワークリソースからダウンロードできます。しかし、そ
のプロセスで IVE の再書き込みエンジンをバイパスします。他のコンテンツ・タイプで
はなく、署名された Java アプレットを書き換えるときだけ、この機能を使用することを
お勧めします。HTML や Javascript のような他のコンテンツでは、Don’t rewrite content:
Redirect to target Web server オプションを使用して、IVE を通じてアプレットをダウン
ロードし、ネットワークリソースへの直接の接続を有効にします。

Use Detailed Rules －このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、283 ページの「詳細規則の記述」を参照してください。
Web ページの設定

297
Juniper Networks NetScreen Secure Access 700 管理ガイド
7.
Save Changes をクリックします。
8.
Web Rewriting Policies ページで、IVE での評価方法に応じてポリシーに順序を設定
します。IVE は、ユーザーから要求されたリソースをポリシー（または詳細規則）の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Web リソースポリシーの例については、285 ページの「Web プロキシリソースポリシー
の作成」の図を参照してください。
Pass-through Proxy タブ
Rewriting > Pass-through Proxy タブを使用して、IVE が最小限の仲介を実行する Web ア
プリケーションを指定する Web リソースポリシーを作成します。データ転送プロキシリ
ソースポリシーを作成するには、2 つの項目を指定する必要があります。

データ転送プロキシで仲介する Web アプリケーション

IVE がアプリケーションサーバーへのクライアントリクエストを待ち受けするとき
の方法
この機能の詳細については、102 ページの「データ転送プロキシの概要」を参照してくだ
さい。
データ転送プロキシリソースポリシーの作成
データ転送プロキシリソースポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Rewriting > Pass-through Proxy を
選択します。
2.
Pass-through Proxy Policies ページで、New Application をクリックします。
3.
New Pass-through Application ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
4.
URL フィールドで、アプリケーションに内的にアクセスするために使用するアプリ
ケーションサーバーホスト名およびポートを指定します。このフィールドで URL を
入力することはできません。
5.
データ転送プロキシ機能を有効にする方法を指定します。

Use virtual hostname －このオプションを選択する場合、アプリケーションサー
バーホスト名のエイリアスを指定します。IVE は、アプリケーションサーバー
ホスト名の別名に対するクライアント要求を受信すると、URL フィールドに指
定されたアプリケーションサーバーポートに要求を転送します。
メモ : このオプションを選択した場合、System > Network > Internal Port タブの
Network Identity セクションで IVE 名とホスト名も定義する必要があります。

298
Web ページの設定
Use IVE port －このオプションを選択した場合、11000 ～ 11099 の範囲にある固
有の IVE ポートを指定します。IVE は、指定した IVE ポートのアプリケーション
サーバーへのクライアントリクエストを待ち受け、そのリクエストを URL
フィールドで指定されたアプリケーションサーバーポートに転送します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
6.
Action セクションで、IVE がトラフィックを仲介する方法を指定します。

Rewrite XML －このオプションは、XML コンテンツ内に含まれる URL を書き換
えるように IVE を指示します。このオプションが無効な場合、IVE は XML コンテ
ンツを「そのまま」サーバーに渡します。

Rewrite external links －このオプションは、プロキシに提示された URL をすべ
て書き換えます。このオプションが無効な場合、IVE は、転送プロキシの一部と
してホスト名が指定された URL だけを書き換えます。

Block cookies from being sent to the browser －このオプションは、クライアン
トのブラウザ宛てのクッキーをブロックします。IVE は、クッキーをローカルに
格納し、要求された場合は必ず、アプリケーションにクッキーを送信します。

Host-Header forwarding －このオプションは、実際のホスト識別子の代わりに、
ホストヘッダーの一部としてのホスト名を渡します。
メモ : Host-Header forwarding オプションは、転送プロキシ仮想ホストモードでだけ有
効です。
7.
Save Changes をクリックします。
8.
Pass-through Proxy Policies ページで、IVE での評価方法に応じてポリシーに順序を
設定します。IVE は、ユーザーから要求されたアプリケーションをポリシー（または
詳細規則）の Resource リスト内のアプリケーションと照合し、指定されたアクショ
ンを実行して、ポリシーの処理を停止します。
9.
以下の選択肢があります。

Use virtual hostname は次の操作を行います。
i.
IVE に解決される各アプリケーションサーバーホスト名の別名エントリを
外部 DNS に追加する。
ii.
ワイルドカードのサーバー証明書を IVE にアップロードする（推奨）。
Use IVE port で企業のファイアウォール内にあるアプリケーションサーバー用
に指定した IVE ポートに対してトラフィックを開きます。
メモ : アプリケーションが複数のポートで待ち受けをする場合、個別の IVE ポートで、
別々のデータ転送プロキシエントリとして各アプリケーションポートを設定します。
異なるホスト名または IP アドレスを使用してサーバーにアクセスする場合、これらの
オプションは個別に設定します。このような場合、同じ IVE ポートを使用してもかま
いません。
Web ページの設定

299
Juniper Networks NetScreen Secure Access 700 管理ガイド
Web リソースポリシーの例については、285 ページの「Web プロキシリソースポリシー
の作成」の図を参照してください。
ActiveX Parameter Rewriting タブ
IVE が Web ページを再書き込みするときには、Web ページに組み込まれている ActiveX
コントロールを再書き込みしません。ただしリソースポリシーを作成して、Web ページ
から ActiveX コントロールに渡される URL およびホスト名パラメータを IVE に再書き込
みさせるよう指定することができます。リソースポリシーを設定するには、以下の情報を
取得する必要があります。

Class ID － Web ページは一般に、ActiveX コントロールを組み込むためにクラス ID を
使用します。クラス ID は固有であり、ActiveX コントロールを固有に識別する定記号
列です。
Internet Explorer 6 を使用して、ActiveX オブジェクトのクラス ID が何であるかを判
定することができます。Tools > Internet Options を選択して、Settings をクリック
してから View Objects をクリックします。ActiveX オブジェクトを選択して右クリッ
クし、Properties を選択します。ActiveX オブジェクトの ID がハイライトされます。

Language － Web ページは、静的または動的 HTML を使用して（すなわち、Javascript
を使用して）、ActiveX コントロールを組み込むことができます。Ｗeb ページが静的
HTML を使用する場合、IVE は指定された ActiveX パラメータを IVE 自体で再書き込
みし、同時にトラフィックを仲介します。これは、必要な情報がすべてユーザーのブ
ラウザとアプリケーションの Web サーバーの間を通過するからです。ただし、Web
ページが動的 HTML を使用して ActiveX コントロールを組み込む場合には、ページは
頻繁に情報をクライアントからプルして、HTML を生成して ActiveX コントロールを
組み込みます。このため、指定された ActiveX パラメータの再書き込みに必要な情報
を取得するために、IVE はスクリプトを実行する必要があります。

Parameter type － IVE を設定してパラメータを再書き込みするときには、パラメータ
が URL かホスト名かを決定する必要があります。IVE は他のパラメータのタイプには
対応していません。

Parameter name－ IVE に再書き込みさせるパラメータ名を指定する必要があります。
オブジェクトタグ内でパラメータタグを検索すれば、パラメータを見つけることが
できます。たとえば、次のコードを使用しているページに組み込まれているフラッ
シュムービーを見つけることができます。
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" > <param
name="movie" value="mymovie.swf" />
<param name="quality" value="high" />
</object>
対応するリソースポリシーを設定するときに、Parameter name フィールドで movie
を入力する必要があります。これは、movie が再書き込みを必要とする URL を指し
ているためです。しばしばページには複数のパラメータタグが含まれていますが、そ
れらすべてに再書き込みが必要となるわけではありません。この例では、quality パ
ラメータでは再書き込みが必要ではありません。
ActiveX パラメータの再書き込みリソースポリシーの作成
ActiveX パラメータの再書き込みリソースポリシーを作成するには、次の操作を実行
します。
1.
300
Web ページの設定
Web コンソールで、Resource Policies > Web > Rewriting > ActiveX Parameter
Rewriting を選択します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
2.
ActiveX Parameter Rewriting Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
4.
5.
a.
ポリシーとともにコントロールする ActiveX コントロールのクラス ID
b.
ポリシーの説明（オプション）
Parameters セクションで、ポリシーおよび対応するアクションとともにコントロー
ルする ActiveX パラメータを指定します。実行できるアクションとしては、次のもの
があります。

Rewrite URL and response (Static HTML のみ ) － IVE は指定された URL パラメー
タを IVE に再書き込みします。この点に注意してください。さらに、IVE は URL
を要求している Web サーバーからのすべての応答を再書き込みします。Web
ページが静的 HTML だけを使用して ActiveX コントロールを組み込む場合には、
このオプションを選択する必要があります。この点に注意してください。

Rewrite URL and response （静的および動的 HTML）－ IVE は指定された URL
パラメータを IVE に再書き込みし、さらにクライアントにも再書き込みします。
さらに、IVE は URL を要求している Web サーバーからのすべての応答を再書き
込みします。Web ページが動的 HTML を使用して ActiveX コントロールを組み込
む場合には、このオプションを選択する必要があります。この点に注意してくだ
さい。

Rewrite URL （静的 HTML のみ）－ IVE は指定された URL パラメータを IVE に
再書き込みします。Web ページが静的 HTML だけを使用して ActiveX コントロー
ルを組み込む場合には、このオプションを選択する必要があります。この点に注
意してください。

Rewrite URL （静的および動的 HTML）－ IVE は指定された URL パラメータを
IVE に再書き込みし、さらにクライアントにも再書き込みします。Web ページが
動的 HTML を使用して ActiveX コントロールを組み込む場合には、このオプショ
ンを選択する必要があります。この点に注意してください。

Rewrite hostname （静的 HTML のみ）－ IVE は指定されたホスト名のパラメー
タを IVE に再書き込みします。Web ページが静的 HTML だけを使用して ActiveX
コントロールを組み込む場合には、このオプションを選択する必要があります。
この点に注意してください。

Rewrite hostname （静的および動的 HTML）－ IVE は指定されたホスト名を
IVE に再書き込みし、さらにクライアントにも再書き込みします。Web ページが
動的 HTML を使用して ActiveX コントロールを組み込む場合には、このオプショ
ンを選択する必要があります。この点に注意してください。

Do not rewrite － IVE は ActiveX コンポーネントのパラメータを再書き込みする
ことはありません。この点に注意してください。
Save Changes をクリックします。
Web ページの設定

301
Juniper Networks NetScreen Secure Access 700 管理ガイド
Web リソースポリシーの例については、285 ページの「Web プロキシリソースポリシー
の作成」の図を参照してください。
デフォルトの IVE ActiveX リソースポリシーを元に戻す
IVE は、通常使用される ActiveX オブジェクトのパラメータを再書き込みするために事
前に定義された複数のリソースポリシーに必要です。これらのポリシーのどれかを削除
してからあとで元に戻す場合には、以下の表をガイドラインとして使用して再作成して
ください。
表 18: 事前に定義されたリソースポリシー
説明
クラス ID
パラメータ
Citrix NFuse
xginen_EmbeddedApp object
238f6f83-b8b4-11cf-877100a024541ee3
ICAFile
OrgPlus OrgViewer
DCB98BE9-88EE-4AD0-9790- URL
2B169E8D5BBB
URL の再書き込みと応答
（静的 HTML のみ）
Quickplace
05D96F71-87C6-11D3-9BE400902742D6E0
GeneralURL
URL の再書き込みと応答
（静的および動的 HTML）
General_ServerName
ホスト名の再書き込み
（静的および動的 HTML）
FullURL
URL の再書き込みと応答
（静的および動的 HTML）
iNotes Discussion
5BDBA960-6534-11D3-97C700500422B550
B20D9D6A-0DEC-4d76-9BEF- B20D9D6A-0DEC-4d76-9BEF- ServerURL
175896006B4A
175896006B4A
Error URL
アクション
URL の再書き込みと応答
（静的 HTML のみ）
URL の再書き込みと応答
（静的 HTML のみ）
URL の再書き込みと応答
（静的 HTML のみ）
Citrix NFuse Elite
2E687AA8-B276-4910-BBFB4E412F685379
ServerURL
URL の再書き込みと応答
（静的 HTML のみ）
WebPhotos LEAD
00120000-B1BA-11CE-ABC6F5B2E79D9E3F
BitmapDataPath
URL の再書き込みと応答
（静的および動的 HTML）
Shockwave Flash
D27CDB6E-AE6D-11cf-96B8444553540000
Src
URL の再書き込みと応答
（静的および動的 HTML）
Movie
URL の再書き込みと応答
（静的および動的 HTML）
iNotes Blue
302
3BFFE033-BF43-11d5-A27100A024A51325
General_URL
URL の再書き込みと応答
（静的および動的 HTML）
General_ServerName
ホスト名の再書き込み
（静的および動的 HTML）
URL の再書き込み（静的
HTML のみ）
Tabular Data Control
333C7BC4-460F-11D0-BC040080C7055A83
DataURL
Windows Media Player
6BF52A52-394A-11D3-B15300C04F79FAA6
URL
URL の再書き込みと応答
（静的 HTML のみ）
FlowPartPlace
4A266B8B-2BB9-47db-9B0E6226AF6E46FC
URL
URL の再書き込みと応答
（静的 HTML のみ）
HTML Help
adb880a6-d8ff-11cf-937700aa003b7a11
Item1
URL の再書き込みと応答
（静的および動的 HTML）
MS Media Player
22d6f312-b0f6-11d0-94ab0080c74c7e95
FileName
URL の再書き込みと応答
（静的 HTML のみ）
Web ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 18: 事前に定義されたリソースポリシー ( 続き )
説明
クラス ID
パラメータ
CSV Files Handler
333c7bc4-460f-11d0-bc040080c7055a83
DataURL
URL の再書き込みと応答
（静的 HTML のみ）
Microsoft OWA 用特別
ActiveX コントロール
D801B381-B81D-47a7-8EC4EFC111666AC0
mailboxUrl
URL の再書き込みと応答
（静的 HTML のみ）
FlowPartPlace1
639325C9-76C7-4d6c-9B4A523BAA5B30A8
Url
URL の再書き込みと応答
（静的 HTML のみ）
scriptx print control
5445be81-b796-11d2-b931002018654e2e
Path
URL の再書き込みと応答
（静的 HTML のみ）
94F40343-2CFD-42A1-A7744E7E48217AD4
94F40343-2CFD-42A1-A7744E7E48217AD4
HomeViewURL
URL の再書き込みと応答
（静的 HTML のみ）
Microsoft License Manager
5220cb21-c88d-11cf-b34700aa00a28331
LPKPath
URL の再書き込みと応答
（静的 HTML のみ）
Domino 7 beta 2
UploadControl
E008A543-CEFB-4559-912FC27C2B89F13B
General_URL
URL の再書き込みと応答
（静的および動的 HTML）
General_ServerName
ホスト名の再書き込み
（静的および動的 HTML）
General_URL
URL の再書き込みと応答
（静的および動的 HTML）
General_ServerName
ホスト名の再書き込み
（静的および動的 HTML）
iNotes
1E2941E3-8E63-11D4-9D5A00902742D6E0
アクション
ActiveCGM
F5D98C43-DB16-11CF-8ECA0000C0FD59C7
FileName
URL の再書き込みと応答
（静的 HTML のみ）
00130000-B1BA-11CE-ABC6F5B2E79D9E3F
00130000-B1BA-11CE-ABC6F5B2E79D9E3F
BitmapDataPath
URL の再書き込みと応答
（静的および動的 HTML）
Rewriting Filters タブ
このタブは、Juniper Networks Support チームから指示があった場合にのみ使用してくだ
さい。
Remote SSO タブ
Remote SSO タブを使用して、Basic Authentication または NTLM 仲介方法を有効にし
ます。
Basic Auth/NTLM タブ
Remote SSO > Basic Auth/NTLM タブを使用して、IVE 上の NTLM 仲介をコントロールで
きるリソースポリシーを作成します。ユーザーが、基本的な認証のチャレンジを送信する
Web リソースにアクセスする場合、IVE はそのチャレンジを傍受して、中間サインイン
ページを表示し、Web リソースの証明書を収集してからチャレンジ / 応答のシーケンスと
ともに証明書を再書き込みします。
基本認証または NTLM 仲介リソースポリシーの作成
基本認証または NTLM 仲介リソースポリシーを作成するには、次の操作を行います。
1.
Web コンソールで、Resource Policies > Web > Remote SSO > Basic Auth/NTLM を
選択します。
2.
Basic Auth and NTLM policies ページで、New Policy をクリックします。
Web ページの設定

303
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
New Policy ページで、このポリシーに付ける名前（必須）と、ポリシーの説明（オ
プション）を入力します。
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、281 ページの「リソースポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、308 ページの「Web リソースオプションの指定」を参照してください。
メモ : エンドユーザーが IVE ブックマークをクリックしたときに、特定の URL に値を自
動的に転送するように IVE を設定したい場合、ここで入力したリソースは、Web コン
ソールの Users > Roles > ロール > Web > Bookmarks ページで指定する URL と正確
に一致する必要があります。
5.
6.
Roles セクションで、以下を指定します。

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。

Basic －このオプションは、IVE が、SSO の動作を制御する Basic Authentication
Intermediation 方法を使用することを指定します。

Enable Intermediation －このオプションを選択したら、Basic
Authentication Intermediation のタイプも選択する必要があります。Use
System Credentials for SSO、Use Specified Credentials for SSO、または
Disable SSO から選択します。これらの 3 つのオプションは、下の NTLM 項
目で説明します。

Disable Intermediation －このオプションを選択した場合、IVE はチャレン
ジ / 応答のシーケンスを仲介しません。IVE は、基本認証を必要とする Web
プロキシにリクエストを常に仲介します。Disable intermediation を選択し
た場合でも同じです。
メモ : Basic Authentication Intermediation を無効にする選択もできますが、非常に危険
な認証方法であり、クリアな（暗号化されていない）テキストでネットワーク上にユー
ザーの信用情報を送信できる場合もあるので、このオプションをお勧めしません。
304
Web ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド

NTLM －このオプションは、IVE が、SSO の動作を制御するのに Microsoft NTLM
Intermediation 方法を使用することを指定します。

Use System Credentials for SSO － IVE はチャレンジ / 応答シーケンスを仲介
し、収集する証明書をキャッシュに保存し、それを使用して、先に IVE で指
定したシステム証明書をベースに、シングルサインオンを有効にします。

Use Specified Credentials for SSO － IVE はチャレンジ / 応答シーケンスを仲
介し、収集する証明書をキャッシュに保存し、それを使用して、シングル
サインオンを有効にします。このオプションを選択するとき、以下の仲介信
用書パラメータも指定しなければなりません。
Username －サインイン証明書を検証するために IVE が使用する SSO ユー
ザー名を指定します。
Variable password－サインイン証明書を検証するために IVE が使用する
SSO 変数パスワードを指定します。変数パスワードは、テキスト
“<PASSWORD>” であり、IVE が SSO 用の証明書を提示するときに、認
証方法としてユーザーのサインインパスワードをしようすることを意味
します。
Password －サインイン証明書サインインを確認するのに IVE が使用する静
的な SSO パスワードを指定します。たとえば、ユーザー証明書を仲介する
とき、IVE が認証サーバーに自動的に提示する “open_sesame” のようなパス
ワードを指定できます。

Disable SSO － IVE は、このユーザーロール用の自動 SSO 認証を無効にし、
代わりに、サインイン証明書を入力するようユーザーに要求します。
Use Detailed Rules －このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、283 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Basic Auth and NTLM policies ページで、IVE での評価方法に応じてポリシーに順序
を設定します。IVE は、ユーザーから要求されたリソースをポリシー（または詳細規
則）の Resource リスト内のリソースと照合し、指定されたアクションを実行してポ
リシーの処理を停止します。
Web リソースポリシーの例については、285 ページの「Web プロキシリソースポリシー
の作成」の図を参照してください。
Web Proxy タブ
Web Proxy タブを使用して、Web プロキシリソースポリシーを作成し、Web プロキシ
サーバーを指定します。IVE はフォワードプロキシとバックワードプロキシの両方を仲介
します。
Policies タブ
Web Proxy > Policies タブを使用して、Web プロキシリソースポリシーを作成し、プロ
キシが保護する必要がある Web サーバーを指定します。
Web プロキシリソースポリシーの作成
Web プロキシリソースポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Web Proxy > Policies を選択し
ます。
Web ページの設定

305
Juniper Networks NetScreen Secure Access 700 管理ガイド
2.
Web Proxy Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
Web ページの設定
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、281 ページの「リソースポリシーのリソースの指定」を参照してください。
IP アドレスまたは大文字、小文字の区別によるリソースの照合を行う方法について
は、308 ページの「Web リソースオプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。
6.
306
a.

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。

Access web resources directly － IVE は、ユーザーの要求をバックエンドサー
バーに仲介し、サーバーの応答を Resources リストで指定されたリソースに要
求を行ったユーザーに仲介します。

Access web resources through a web proxy － Resource Policies > Web > Web
Proxy > Servers タブで定義したドロップダウンリストの Web プロキシサー
バーを指定します。Web プロキシサーバーを定義する方法については、307
ページの「Servers タブ」を参照してください。

Use Detailed Rules －このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、283 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Web Proxy Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま
す。IVE は、ユーザーから要求されたリソースをポリシー（または詳細規則）の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Web リソースポリシーの例については、285 ページの「Web プロキシリソースポリシー
の作成」の図を参照してください。
Servers タブ
IVE を使用して直接 Web サーバーに接続するのではなく、IVE を経由して送信されるすべ
ての Web 要求を Web プロキシに転送することができます。ネットワークのセキュリティ
ポリシーでこのような設定が規定されている場合や、キャッシング Web プロキシを使用
してパフォーマンスを向上させる場合には、この機能を利用すると便利です。
Web プロキシサーバーの指定
Web Proxy タブでは、Web プロキシリソースポリシー用のサーバーを指定します。
Web プロキシサーバーを指定するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Web Proxy > Servers を選択し
ます。
2.
Web Proxy Server に、Web プロキシサーバーの名前または IP アドレス、およびプロ
キシサーバーがリスンするポートの番号を入力して、Add をクリックします。
3.
さらに Web プロキシサーバーを指定するには、この手順を繰り返します。
Compression タブ
Compression タブを使用して、Web コンソールの Maintenance > System > Options
ページで GZIP 圧縮を有効にした場合に、どの種類のファイルデータを IVE が圧縮する必
要があるかを指定します。
メモ : IVE は、すべての適用可能な Web データを圧縮する 1 つのファイル圧縮ポリシー
（*:*/*）を事前に備えています。Web コンソールの Resource Policies > Web >
Compression ページでこのポリシーを有効にすることができます。
Web 圧縮リソースポリシーの作成
1.
Web コンソールで、Resource Policies > Web > Compression を選択します。
2.
Web Compression Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
4.
Resources セクションで、このポリシーを適用する URL を指定します。詳細について
は、281 ページの「リソースポリシーのリソースの指定」を参照してください。IP ア
ドレスまたは大文字、小文字の区別によるリソースの照合を行う方法については、
308 ページの「Web リソースオプションの指定」を参照してください。
5.
Roles セクションで、以下を指定します。

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。

Policy applies to SELECTED roles － Selected roles リストにあるロールに割り当
てられたユーザーにのみ、このポリシーを適用します。Available roles リストか
らこのリストにロールを追加してください。
Web ページの設定

307
Juniper Networks NetScreen Secure Access 700 管理ガイド

6.
7.
Policy applies to all roles OTHER THAN those selected below － Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Action セクションで、以下を指定します。

Compress － IVE は指定されたリソースから、対応しているコンテンツタイプを
圧縮します。

Do not compress － IVE は指定されたリソースから、対応しているコンテンツタ
イプを圧縮しません。

Use Detailed Rules －このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、283 ページの「詳細規則の記述」を参照してください。
Save Changes をクリックします。
Options タブ
Options タブを使用して、Web リソースポリシーに適用する Web リソースオプションを
指定します。オプションには以下のものがあります。

IP based matching for Hostname based policy resources － IVE は、Web リソースポ
リシーに指定された各ホスト名に対応する IP アドレスを参照します。ユーザーがホ
スト名ではなく IP アドレスを指定してサーバーにアクセスしようとすると、IVE は
IP をキャッシュ内の IP アドレスのリストに照合して、ホスト名と IP が一致するかど
うかを判断します。一致する IP が見つかった場合、IVE はポリシーの一致としてこれ
を受け入れ、リソースポリシーに指定されたアクションが適用されます。
メモ : このオプションは、ワイルドカードやパラメータが含まれるホスト名には適用さ
れません。

Case sensitive matching for the Path and Query string components in Web resources
－リソースへの URL で大文字と小文字を区別する場合には、このオプションを選択
します。たとえば、URL でユーザー名やパスワードデータを渡す場合に使用します。
Web リソースポリシーオプションを有効にすると、Web リソースポリシーごとに
Resources フィールドに指定されたホスト名のリストが作成され、このホスト名のリスト
全体に対してオプションが適用されます。このホスト名のリスト全体に対してオプション
が適用されます。
Web リソースオプションの指定
Web リソースオプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Web > Options を選択します。
2.
次のオプションを選択します。
3.
308
Web ページの設定

IP based matching for Hostname based policy resources

Case sensitive matching for the Path and Query string components in Web
resources
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Files ページの設定
Resource Policies > Files ページには Files リソースポリシーの作成に使用できるタブが
表示されています。

311 ページの「Windows タブ」－このタブを使用して、ウィンドウズアクセスリ
ソースポリシーなどの Windows リソースポリシーを作成します。または Windows
認証情報リソースポリシーを作成します。

313 ページの「UNIX/NFS タブ」－このタブを使用して UNIX/NFS リソースポリシー
を作成します。

314 ページの「Compression タブ」－このタブを使用して、圧縮ポリシーを作成
します。

315 ページの「Encoding タブ」－このタブを使用して、IVE トラフィックの国際化
コードを指定します。

316 ページの「Options タブ」－このタブを使用して、File リソースオプションを指
定します。
Files リソースポリシーの作成
ロールに対してファイルアクセス機能を有効にする場合には、Windows および NFS
ファイル共有と通信するときに使用するエンコードに加え、ユーザーがアクセスでき
る Windows および UNIX/NFS リソースを指定するリソースポリシーも作成する必要
があります。ユーザーがファイルを要求すると、IVE は、MS Word ドキュメント
（.doc ファイル）フェッチ要求用の Windows アクセスリソースポリシーなど、その
要求に対応するリソースポリシーを評価します。IVE は、ユーザーの要求を該当する
ポリシーにリストアップされたリソースと照合した後、そのリソースに指定されたア
クションを実行します。
File リソースポリシーを作成するとき、以下の情報を入力する必要があります。

Resources －リソースポリシーでは、ポリシーを適用する 1 つ以上のリソースを指
定する必要があります。ファイルポリシーの作成時には、ファイルサーバーまたは
特定のファイル共有を指定する必要があります。詳細については、310 ページの
「Windows ファイルリソースの指定」および 310 ページの「UNIX/NFS ファイルリ
ソースの指定」を参照してください。

Roles －リソースポリシーでは、適用対象となるロールを指定する必要があります。
ユーザーから要求があると、IVE はそのロールに適用されるポリシーを決めて、要求
に対応するポリシーを評価します。

Actions －各タイプのリソースポリシーは、リソースを許可または拒否するかどう
か、またはユーザーにディレクトリへの書き込みを許可するといった特定の機能の実
行など、特定のアクションを実行します。ユーザー要求に対してさらに条件を適用す
る詳細な規則を作成することもできます。283 ページの「詳細規則の記述」を参照し
てください。
Files ページの設定

309
Juniper Networks NetScreen Secure Access 700 管理ガイド
IVE エンジンは、リソースポリシーを評価するときには、281 ページの「リソースポリ
シーのリソースの指定」で説明されているように、ポリシーの Resources リスト内に表示
されるリソースが標準書式に従う必要があります。以下のセクションでは、標準書式を使
用してファイルリソースを指定する場合に配慮しなければならない特別な問題について
概説しています。
Windows ファイルリソースの指定
標準書式
\\server[\share[\path]]
以下の 3 つのコンポーネントがあります。

サーバー（必須）－使用できる値：

Hostname －システム変数 <username> を使用できます。

IP address － IP アドレスは a.b.c.d のようなフォーマットで指定する必要があり
ます。
先頭に 2 つのバックスラッシュを使用する必要があります。

Share （オプション）－シェアがない場合はアスタリスク（*）が想定され、すべて
のパスと一致します。システム変数 <username> を使用できます。

Path （オプション）－以下の特殊文字を使用できます。
表 19: パス特殊文字
*
任意の文字と一致
%
スラッシュ（/）以外の任意の文字と一致
?
1 文字だけに一致
パスがない場合はバックスラッシュ（/）が想定され、最上位レベルのフォルダと一
致すると見なされます。例：
\\%.danastreet.net\share\<username>\*
\\*.juniper.com\dana\*
\\10.11.0.10\share\web\*
\\10.11.254.227\public\%.doc
UNIX/NFS ファイルリソースの指定
標準書式：
server[/path]
以下の 2 つのコンポーネントがあります。

310
Files ページの設定
サーバー（必須）－使用できる値：

Hostname －システム変数 <username> を使用できます。

IP address － IP アドレスは a.b.c.d のようなフォーマットで指定する必要があり
ます。
Juniper Networks NetScreen Secure Access 700 管理ガイド
先頭に 2 つのバックスラッシュを使用する必要があります。

Path （オプション）－以下の特殊文字を使用できます。
表 20: パス特殊文字
*
任意の文字と一致
%
バックスラッシュ（\）以外の任意の文字と一致
?
1 文字だけに一致
パスがない場合はバックスラッシュ（\）が想定され、最上位レベルのフォルダと一
致すると見なされます。例：
%.danastreet.net/share/users/<username>/*
*.juniper.com/dana/*
10.11.0.10/web/*
10.11.254.227/public/%.txt
Windows タブ
Access タブ
ユーザーがアクセスできる Windows リソースを制御する File リソースポリシーを作成す
るには、Windows > Access タブを使用します。また、オプションで特定のフォルダへの
パスを指定できます。
Windows アクセスリソースポリシーの作成
Windows アクセスリソースポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > File > Windows > Access を選択します。
2.
Windows File Access Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、281 ページの「リソースポリシーのリソースの指定」を参照してください。
5.
Roles セクションで、以下を指定します。

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。

Policy applies to all roles OTHER THAN those selected below － Selected roles リ
ストのロールに割り当てられたユーザーを除いたすべてのユーザーにこのポリ
シーを適用します。Available roles リストからこのリストにロールを追加してく
ださい。
Files ページの設定

311
Juniper Networks NetScreen Secure Access 700 管理ガイド
6.
Action セクションで、以下を指定します。

Allow access － Resources リストで指定したリソースへのアクセスを許可しま
す。ユーザーがサーバーにファイルを保存することを禁止する場合は、Readonly をオンにします。

Deny access－ Resources リストで指定したリソースへのアクセスを拒否します。

Use Detailed Rules －このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、283 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Windows File Access Policies ページで、IVE での評価方法に応じてポリシーに順序
を設定します。IVE は、ユーザーから要求されたリソースをポリシー（または詳細規
則）の Resource リスト内のリソースと照合し、指定されたアクションを実行してポ
リシーの処理を停止します。
Credentials タブ
Windows > Credentials タブを使用して File リソースポリシーを作成すると、ユーザー
要求が Resource リスト内のリソースと一致したときに IVE がファイルサーバーに送信す
るための証明書を指定することができます。IVE がユーザーに証明書の入力を求めるよう
に設定することもできます。
Windows 証明書リソースポリシーの作成
Windows 証明書リソースポリシーを作成するには、次の操作を実行します。
312
Files ページの設定
1.
Web コンソールで、Resource Policies > File > Windows > Credentials を選択
します。
2.
Windows Credentials Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、281 ページの「リソースポリシーのリソースの指定」を参照してください。
5.
Roles セクションで、以下を指定します。

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。

Policy applies to all roles OTHER THAN those selected below － Selected roles リ
ストにあるロールにマッピングされたユーザーを除くすべてのユーザーにこのポ
リシーを適用します。Available roles リストからこのリストにロールを追加して
ください。
Juniper Networks NetScreen Secure Access 700 管理ガイド
6.
Action セクションで、以下を指定します。

Use static credentials －このオプションでは、フォルダレベルおよびファイル
レベルで Resources リストに指定されたリソースに IVE が送信する管理者証明書
を指定できます。IVE ファイルブラウジングサーバーは server\share に対して接
続を維持しますが、同じファイル共有の別のフォルダに別のアカウントを使用し
て接続しようとすると、接続できないことがあります。IVE はここで入力された
パスワードをアスタリスク（*）で非表示にします。

Use variable credentials －このオプションにより、フォルダおよびファイルレ
ベルで Resources リストに指定されたリソースに IVE が送信する、可変的な管理
者証明書を指定できます。これらのフィールドやドメインには <USERNAME> や
<PASSWORD> などのような IVE 変数を入力できます。この点に注意してくださ
い。例：yourcompany.net\<USERNAME>.

Prompt for user credentials － Resources リストで指定したリソースの共有ファ
イルで証明書が必要な場合、IVE は IVE の認証チャレンジを提示することによっ
て、チャレンジを仲介します。ユーザーは、アクセスしようとしているファイル
共有の証明書を入力する必要があります。指定された証明書が失敗した場合に、
IVE はリソースへのユーザーアクセスを拒否します。

Use Detailed Rules －このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、283 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Windows File Access Policies ページで、IVE での評価方法に応じてポリシーに順序
を設定します。IVE は、ユーザーから要求されたリソースをポリシー（または詳細規
則）の Resource リスト内のリソースと照合し、指定されたアクションを実行してポ
リシーの処理を停止します。
UNIX/NFS タブ
ユーザーがアクセスできる UNIX/NFS リソースを制御する File リソースポリシーを作成
するには、UNIX/NFS タブを使用します。UNIX/NFS リソースを指定するには、サーバー
ホスト名と IP アドレスを入力します。また、オプションで特定の共有へのパスを指定で
きます。
UNIX/NFS リソースポリシーの作成
UNIX/NFS リソースポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > File > UNIX/NFS を選択します。
2.
Unix/NFS File Access Policies ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、281 ページの「リソースポリシーのリソースの指定」を参照してください。
5.
Roles セクションで、以下を指定します。

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。
Files ページの設定

313
Juniper Networks NetScreen Secure Access 700 管理ガイド
6.

Deny access－ Resources リストで指定したリソースへのアクセスを拒否します。

Use Detailed Rules －このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、283 ページの「詳細規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Unix/NFS File Access Policies ページで、IVE での評価方法に応じてポリシーに順序を
設定します。IVE は、ユーザーから要求されたリソースをポリシー（または詳細規則）
の Resource リスト内のリソースと照合し、指定されたアクションを実行してポリ
シーの処理を停止します。
Compression タブ
Compression タブを使用して、Web コンソールの Maintenance > System > Options
ページで GZIP 圧縮を有効にした場合に、どの種類のファイルデータを IVE が圧縮する必
要があるかを指定します。
メモ : IVE は、すべての適用可能なファイルデータを圧縮する 2 つのファイル圧縮ポリ
シー（*:*/*）を事前に備えています。Web コンソールの Resource Policies > Files >
Compression ページでこれらのポリシーを有効にすることができます。
Web 圧縮リソースポリシーの作成
1.
Web コンソールで、Resource Policies > Files > Compression を選択します。
2.
Windows または Unix/NFS タブを選択して、圧縮したいファイルデータの種類を指
定します。
3.
New Policy をクリックします。
4.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
5.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、281 ページの「リソースポリシーのリソースの指定」を参照してください。
6.
Roles セクションで、以下を指定します。

314
Files ページの設定
Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
7.
8.

Compress － IVE は指定されたリソースから、対応しているコンテンツタイプを
圧縮します。

Do not compress － IVE は指定されたリソースから、対応しているコンテンツタ
イプを圧縮しません。

Use Detailed Rules －このポリシーに対して 1 つ以上の詳細な規則を指定しま
す。詳細については、283 ページの「詳細規則の記述」を参照してください。
Save Changes をクリックします。
Encoding タブ
ファイルサーバーとの対話時に IVE がデータをコード化する方法を指定するには、Files
> Encoding タブを使用します。詳細については、129 ページの「IVE では、エンドユー
ザーインターフェースを、サポートされている言語のいずれかで表示することができま
すこの機能を、（カスタム）サインインページ、システムページ、ローカライズされた
オペレーションシステムと組み合わせることによって、ユーザーは、完全にローカライ
ズされた環境で操作することができます。」を参照してください。
IVE トラフィックの国際化コードの指定
IVE トラフィックの国際化コードを指定するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > File > Encoding を選択します。
2.
適切なオプションを選択します。
3.

Western European (ISO-8859-1)

Simplified Chinese (CP936)

Simplified Chinese (GB2312)

Traditional Chinese (CP950)

Traditional Chinese (Big5)

Japanese (Shift-JIS)

Korean
Save Changes をクリックします。
Files ページの設定

315
Juniper Networks NetScreen Secure Access 700 管理ガイド
Options タブ
Options タブを使用して、File リソースポリシーに適用する File リソースオプションを
指定します。File リソースポリシーオプションを有効にすると、File リソースポリシー
ごとに Resources フィールドで指定されたホスト名のリストが作成されます。このホスト
名のリスト全体に対してオプションが適用されます。
File リソースオプションの指定
File リソースオプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Files > Options を選択します。
2.
次のオプションを選択します。

IP based matching for Hostname based policy resources － IVE は、File リソー
スポリシーに指定されたホスト名にそれぞれ対応する IP アドレスを参照しま
す。ユーザーがホスト名ではなく IP アドレスを指定してサーバーにアクセスし
ようとすると、IVE は IP をキャッシュ内の IP アドレスのリストに照合して、
ホスト名と IP が一致するかどうかを判断します。一致する IP が見つかった場
合、IVE はポリシーの一致としてこれを受け入れ、リソースポリシーに指定さ
れたアクションが適用されます。
メモ : このオプションは、ワイルドカードやパラメータが含まれるホスト名には適用さ
れません。

Case sensitive matching for the Path component in File resources － NFS リソー
スへの URL で大文字と小文字を区別する場合には、このオプションを選択しま
す。URL でユーザー名やパスワードデータを渡す場合には、このオプションを
使用します。
メモ : このオプションは、Windows サーバーには適用されません。

3.
316
Files ページの設定
Allow NTLM V1 －このオプションを選択すると、管理者証明書の Kerberos 認証
が失敗した場合に、NTLM バージョン 1 認証に戻ります。
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Telnet/SSH ページの設定
Secure Terminal Access オプションを使用すれば、Telnet プロトコルを使用して内部サー
バーホストに接続したり、Web ベースの端末セッションエミュレーションによって暗号
化された Secure Shell （SSH）セッションを介して通信することができます。この機能は、
次のアプリケーションとプロトコルをサポートします。

Network Protocols －サポートされているネットワークプロトコルです（Telnet と
SSH を含む）。

Terminal Settings －サポートされているターミナル設定（VT100、VT320、その派生
とスクリーンバッファを含む）。

Security －サポートされているセキュリティ機構で、SSL およびホストセキュリ
ティ（必要に応じて SSH など）を使用した Web/ クライアントセキュリティを含み
ます。
Resource Policies > Telnet/SSH ページには、次のタブがあります。

317 ページの「Access タブ」－ Telnet/SSH リソースポリシーを作成するには、このタ
ブを使用します。

318 ページの「Options タブ」－このタブを使用して、Telnet/SSH リソースオプショ
ンを指定します。
Access タブ
ロールに対して Telnet/SSH アクセス機能を有効にする場合には、ユーザーがアクセスで
きるリモートサーバーを指定するリソースポリシーを作成する必要があります。IVE は
ユーザー要求を Telnet/SSH ポリシーでリストアップされたリソースと照合して、リソー
スに対して指定されたアクションを実行します。
Telnet/SSH リソースポリシーを作成するときに、次の情報を入力する必要があります。

Resources －リソースポリシーでは、ポリシーを適用する 1 つ以上のリソースを指
定する必要があります。Telnet/SSH ポリシーの作成時には、ユーザーが接続できるリ
モートサーバーを指定する必要があります。

Actions － Telnet/SSH リソースポリシーは、サーバーに対するアクセスを許可または
拒否します。
IVE エンジンは、リソースポリシーを評価するときには、217 ページの「リソースポリ
シーのリソースの指定」で説明されているように、ポリシーの Resources リスト内に表
示されるリソースが正式フォーマットに従う必要があります。
Telnet/SSH リソースポリシーの作成
Telnet/SSH リソースポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Telnet/SSH > Access を選択します。
2.
Telnet/SSH Policies ページで、New Policy をクリックします。
Telnet/SSH ページの設定

317
Juniper Networks NetScreen Secure Access 700 管理ガイド
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
4.
Resources セクションでは、218 ページの「サーバーリソースの指定」で説明されて
いるガイドラインに従って、このポリシーが適用されるサーバーを指定します。
5.
Roles セクションで、以下を指定します。
6.

Policy applies to ALL roles －このフィールドを使用して、このポリシーをすべ
てのユーザーに適用します。

Policy applies to SELECTED roles －このフィールドを使用して、Selected roles
リストでロールにマッピングされたユーザーのみにこのポリシーを適用します。
Available roles リストからこのリストにロールを追加してください。

Policy applies to all roles OTHER THAN those selected below －このフィールド
を使用して、Selected roles リストでロールにマッピングされたユーザーを除い
たすべてのユーザーにこのポリシーを適用します。Available roles リストからこ
のリストに必ずロールを追加してください。
Action セクションで、以下を指定します。

Allow access －このフィールドを使用して、Resources リストで指定したサー
バーに対するアクセスを許可します。

Deny access －このフィールドを使用して、Resources リストで指定したサー
バーに対するアクセスを拒否します。

Use Detailed Rules －このフィールドを使用して、このポリシーのために 1 つま
たはそれ以上の詳細な規則を指定します。詳細については、220 ページの「詳細
規則の記述」を参照してください。
7.
Save Changes をクリックします。
8.
Telnet/SSH Policies ページで、IVE での評価方法に応じてポリシーに順序を設定しま
す。IVE は、ユーザーから要求されたリソースをポリシー（または詳細規則）の
Resource リスト内のリソースと照合し、指定されたアクションを実行してポリシー
の処理を停止します。
Options タブ
Options タブでは、Telnet/SSH リソースオプションを指定して、Telnet/SSH リソースポ
リシーでリソースとして指定されたホスト名と IP アドレスを照合します。このオプショ
ンを有効にすると、IVE は Telnet/SSH リソースポリシーに指定された各ホスト名に対応
する IP アドレスを参照します。ユーザーがホスト名ではなく IP アドレスを指定してサー
バーにアクセスしようとすると、IVE は IP をキャッシュ内の IP アドレスのリストに照合
して、ホスト名と IP が一致するかどうかを判断します。一致する IP が見つかった場合、
IVE はポリシーの一致としてこれを受け入れ、リソースポリシーに指定されたアクション
が適用されます。
このオプションを有効にすると、Telnet/SSH リソースポリシーごとに Resources フィー
ルドで指定されたホスト名のリストが作成されます。このホスト名のリスト全体に対して
オプションが適用されます。
メモ : このオプションは、ワイルドカードやパラメータが含まれるホスト名には適用さ
れません。
318
Telnet/SSH ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
Telnet/SSH リソースオプションの指定
Telnet/SSH リソースオプションを指定するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Telnet/SSH > Options を選択します。
2.
IP based matching for Hostname based policy resources を選択します。IVE は
Telnet/SSH リソースポリシーで指定されたホスト名にそれぞれ対応する IP アドレス
を参照します。ユーザーがホスト名ではなく IP アドレスを指定してサーバーにアク
セスしようとすると、IVE は IP をキャッシュ内の IP アドレスのリストに照合して、
ホスト名と IP が一致するかどうかを判断します。一致する IP が見つかった場合、IVE
はポリシーの一致としてこれを受け入れ、リソースポリシーに指定されたアクショ
ンが適用されます。
3.
Save Changes をクリックします。
Telnet/SSH ページの設定

319
Juniper Networks NetScreen Secure Access 700 管理ガイド
Network Connect ページの設定
Network Connect オプションにより、IVE ポート 443 を使用して、安全かつ SSL- ベースの
ネットワークレベルで、すべての企業アプリケーションリソースにリモートアクセスで
きます。
メモ : Network Connect をインストールするには、387 ページの「クライアントサイド
のアプリケーションインストール」で説明されているように、ユーザーに適切な特権が
必要となります。これらの権限がユーザーにない場合、Web コンソールの Maintenance
> System > Installers ページで Juniper Installer サービスを使用して、この要求を回避
します。
Resource Policies > Network Connect ページには、次のタブがあります。

320 ページの「Network Connect Access Control タブ」－このタブを使用して、
Network Connect アクセスリソースポリシーを作成します。

321 ページの「Network Connect Logging タブ」－このタブを使用して、Network
Connect ロギングポリシーを作成します。

322 ページの「Network Connect Connection Profiles タブ」－このタブを使用して、
Network Connect 接続プロファイルを作成します。

326 ページの「Network Connect Split Tunneling タブ」－このタブを使用して、
Network Connect スプリットトンネルネットワークリソースポリシーを作成します。
IVE プラットフォームのエンジンが、リソースポリシーを評価する際に、ポリシーの
Resources リスト内に表示されるリソースは、281 ページの「リソースポリシーのリソー
スの指定」で説明されているように、標準書式に従っていなければなりません。
Network Connect Access Control タブ
Network Connect Access Control タブを使用して、Network Connect の使用中にコン
トロールリソースのユーザーが接続できる Network Connect リソースポリシーを作
成します。
Network Connect アクセスリソースポリシーの作成
Network Connect アクセスリソースポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Network Connect > Network Connect
Access Control を選択します。
2.
Network Connect の Network Connect Access Control ページで、New Policy をク
リックします。
3.
New Policy ページで、以下を入力します。
4.
320
Network Connect ページの設定
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、281 ページの「リソースポリシーのリソースの指定」を参照してください。
Juniper Networks NetScreen Secure Access 700 管理ガイド
5.
6.
Roles セクションで、以下を指定します。

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。

Allow access －このオプションを選択して、Resources リストで指定したリソー
スに対するアクセスを許可します。

Deny access －このオプションを選択して、Resources リストで指定したリソー
スに対するアクセスを拒否します。

Use Detailed Rules －このオプションを選択して、指定されたリソースに制限を
追加するリソースポリシー規則を定義します。
7.
Save Changes をクリックします。
8.
Network Connect Access Policies ページで、IVE での評価方法に応じてポリシーに順
序を設定します。IVE は、ユーザーから要求されたリソースをポリシー（または詳細
規則）の Resource リスト内のリソースと照合し、指定されたアクションを実行して
ポリシーの処理を停止します。
Network Connect Logging タブ
Network Connect Logging タブを使用して、1 人以上の Network Connect ユーザーのパ
ケット情報をまとめて表示します。クライアントサイドの Network Connect パケット情報
を作成すると、セッションの障害やユーザーの定期的なパケットの損失などの Network
Connect の問題をよりよくサポートし、トラブルシューティングに役立ちます。ユーザー
の認証、承認、IP 割り当て情報、ソースおよび送信先 IP アドレス、ソースおよび送信先
ポート割り当て、セッショントランスポートプロトコルに基づいて、特定タイプのパ
ケットのログ記録をとったり、検索することもできます。
Network Connect ロギングポリシーの作成
Network Connect ロギングポリシーを作成するには、以下のような操作を実行します。
1.
Web コンソールで、Resource Policies > Network Connect > Network Connect
Logging を選択します。
2.
Network Connect Logging ページで、New Policy をクリックします。
3.
New Policy ページで、以下を入力します。
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
4.
Resources セクションで、このポリシーを適用するリソースを指定します。詳細につ
いては、281 ページの「リソースポリシーのリソースの指定」を参照してください。
5.
Roles セクションで、次のオプションのいずれかを選択します。
Network Connect ページの設定

321
Juniper Networks NetScreen Secure Access 700 管理ガイド
6.
7.

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。

Policy applies to all roles OTHER THAN those selected below － Selected roles リ
ストのロールに割り当てられたユーザーを除いた

すべてのユーザーにこのポリシーを適用します。Available roles リストからこの
リストにロールを追加してください。
Action セクションで、次のオプションのいずれかを選択します。

Log Packets －このオプションを選択して、ロギングポリシーで指定されている
基準に一致したすべての接続に対して自動的にパケットのログ記録をとるよう
IVE に指示を出します。

Use Detailed Rules －このオプションを選択して、指定されたリソースに制限を
追加するリソースポリシー規則を定義します。
Save Changes をクリックします。
Network Connect Connection Profiles タブ
Network Connect Connection Profiles タブを使用して、Network Connect リソースプロ
ファイルを作成します。IVE が、Network Connect セッションの開始を求めるクライアン
ト要求を受信すると、IVE は、クライアントサイドの Network Connect エージェントに IP
アドレスを割り当てます。IVE は、ユーザーのロールに適用する IP Address Pool ポリシー
に基づいてこの IP アドレスを割り当てます。さらに、この機能によって Network Connect
セッションでのトランスポートプロトコルや暗号化方法、データ圧縮を使用するかどう
かなどを指定できます。
Network Connect 接続プロファイルの作成
Network Connect 接続プロファイルを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Network Connect > Network Connect
Connection Profiles を選択します。
2.
Network Connect Connection Profiles ページで、New Profile をクリックします。
3.
New Profile ページで、以下の情報を入力します。
4.
322
Network Connect ページの設定
a.
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
IP address assignment セクションで、以下のいずれかを選択してクライアントサイ
ド IP アドレスの割り当てを指定します。

DHCP server －このオプションでは、クライアントサイド IP アドレスの割り当
てを担当するネットワーク DHCP （Dynamic Host Configuration Protocol）サー
バーのホスト名または IP アドレスを指定することができます。

IP address pool －このオプションでは、Network Connect サービスを実行する
クライアントに IVE が割り当てる IP アドレスまたは IP アドレスの範囲を指定す
ることができます。使用する標準書式： ip_range
Juniper Networks NetScreen Secure Access 700 管理ガイド
ip_range は "a.b.c.d-e" のような書式で指定することができます。ここで、IP ア
ドレスの最後のコンポーネントはハイフン（-）で区切られた範囲を意味します。
特殊文字は使用できません。例：10.10.10.1-100.
メモ : Network Connect クライアントサイド IP アドレスプール、または Network
Connect 接続プロファイルで指定された DHCP サーバーが IVE と同じサブネットに存在
するように、ネットワークを設定することをお勧めします。
ネットワークトポロジーによって、IVE の内部 IP インターフェースと IP アドレスプー
ル、または DHCP サーバーが異なるサブネットに存在することになった場合、静的
ルートをイントラネットのゲートウェイルーターに追加して、企業リソースと IVE が内
部ネットワークで相互アクセス可能にする必要があります。
5.
Connection settings セクションで、この接続プロファイルの転送、暗号化、圧縮設
定を指定します。
a.
以下の中から 1 つ選択して、カプセル化と転送の方法を指定します。

ESP （パフォーマンスを最大化）－このオプションを選択して、UDP カプ
セル化 ESP 転送方法でクライアントと IVE 間でデータを安全に転送します。
UDP ポート、ESP-to-NCP 代替システムタイムアウト値、ESP 暗号化キー寿
命値を定義してデータ転送パラメータをさらにカスタマイズできます。

oNCP/NCP （互換性を最大化）－このオプションを選択して、この接続プロ
ファイルに標準の oNCP/NCP 転送方法を使用します。oNCP および NCP に関
する基礎的な情報、および IVE での NCP 使用のためのオプションについて
は、159 ページの「NCP タブ」を参照してください。
メモ : oNCP 転送プロトコルは NCP に対してさらに向上したフレキシビリティを提供
し、Macintosh と Linux クライアントに対応しています。（従来の NCP 転送プロトコル
は Windows クライアント環境だけで機能します）。Web コンソールの System >
Configuration > NCP ページで oNCP/NCP 自動選択機能が無効にされて、UDP-tooNCP/NCP のフェイルオーバーが発生する場合、IVE は Macintosh と Linux はクライア
ントとの接続を切ります。IVE が UDP から NCP （oNCP の代わりに）にフェイルオー
バーするためです。
b.
NCP はこうしたユーザーをサポートしません。ESP 転送方法について IVE のデ
フォルト値を使用する場合には、ステップ c に進みます。デフォルト値を使用し
ない場合は、次の値を使用できます。

UDP port － UDP 接続トラフィック用の IVE ポートを指定します。デフォル
トのポート番号は 4500 です。
メモ : カスタムのポート番号を指定しても、または IVE で設定されたデフォルトの
ポート番号（4500）を使用しても、他のデバイスおよび暗号化されたトンネルは、
UDP トラフィックが IVE と Network Connect クライアント間でやり取りできるよう
にする必要があります。たとえば、インターネットと企業イントラネットの間で
エッジルーターとファイアウォールを使用する場合、ルーターとファイアウォール
の両方でポート 4500 を有効にし、ポート 4500 が UDP トラフィックを渡せるよう
に設定する必要があります。
Network Connect ページの設定

323
Juniper Networks NetScreen Secure Access 700 管理ガイド

ESP to NCP fallback timeout － IVE が UDP の接続エラーの後に標準の
oNCP/NCP 接続を自動的に確立するまで待機する時間を秒単位で指定しま
す。デフォルトの時間は 15 秒です。0 秒の値を指定すると、IVE は
oNCP/NCP 接続に対して決してフェイルオーバーしません。

Key lifetime － IVE がこの接続プロファイルに同じ ESP 暗号化キーを連続し
て使用する時間を分単位で指定します。ローカルサイドとリモートサイドの
両方の暗号化転送トンネルが同一の暗号化キーを使用するのは限られた時間
だけであり、これによって許可されていないアクセスを防ぎます。デフォル
トの時間は 20 秒です。
メモ : 頻繁に暗号化キーを変更すると、IVE の CPU の負担を増加させます。

Replay Protection － IVE での再生保護を有効にするには、このオプションを
選択します。このオプションを有効にすると、ネットワークからの悪意があ
る「繰り返し攻撃」に対する防御に役立ちます。クライアントからパケット
が到着すると、IVE は IP ヘッダー情報をチェックし、同じ IP ヘッダー情報
を持つパケットが到着していないか確認します。すでに到着している場合、
そのパケットは拒否されます。このオプションは、Network Connect リソー
スポリシーではデフォルトで有効です。
275 ページの「Network Connect ページの設定」で説明してあるように、
Enable TOS Bits Copy オプションを有効にすると、TOS ビットが異なる IP
パケットは、ネットワークのゲートウェイルーターを通過するときに、順
序が変更される場合があります。IVE に到着したとき、不正な順序で受信し
たパケットが自動的に廃棄されるように、このリソースポリシーでは
Replay Protection オプションを無効にできます。
メモ : （例えば、1 つのアプリケーションだけが送信しており、Network Connect トン
ネル上でトラフィックを受信している場合など）、クライアントの複数のソースからパ
ケットが来ることを予期していない場合、再生保護を有効のままにしておくことをお勧
めします。
c.
以下のいずれかを選択して、暗号化の方法を指定します。

d.
AES/SHA1（セキュリティを最大化）－このオプションでは、データ
1 暗号化を使用し、
チャネルで Advanced Encryption Standard (AES）
2
Network Connect セッション時に SHA1 認証方法を使用するように IVE
に指示します。
AES/MD5（パフォーマンスの最大化）－このオプションでは、AES1 暗号化
をデータチャネルで使用し、Network Connect セッション中に MD53 認証方
法を使用するように IVE に指示を出します。
安全な接続のために圧縮を使用するかどうか指定します。
1. AES 暗号化方法は、128 ビット暗号化キーを使用した暗号アルゴリズムで IP パケットをコード化し、IP パケットを
保護します。
2. SHA1 認証法は、ユーザー ID とパスワード情報をコード化するときに使用が簡単で、効果的です。SHA1 アルゴリズ
ムはユーザー ID またはパスワード文字列から成る文字を判読不能なテキストに変換し、IVE から、または IVE にそ
のテキストを転送します。同じアルゴリズムを使用して変換を逆転させてから、認証サーバーに提示します。
3. MD5 認証アルゴリズムはデジタル署名を作成します。MD5 認証方法は入力文字列（たとえばユーザーの ID やサイン
インパスワードなど）を一定の 128 ビットの指紋（「メッセージダイジェスト」とも呼ばれる）に変換してから、
IVE から、または IVE に転送します。
324
Network Connect ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
6.
Roles セクションで、以下を指定します。

Policy applies to ALL roles －このオプションを選択すると、このポリシーをす
べてのユーザーに適用します。

Policy applies to SELECTED roles －このオプションを選択すると、Selected
roles リストでロールにマッピングされたユーザーのみにこのポリシーを適用し
ます。Available roles リストからこのリストにロールを追加してください。

Policy applies to all roles OTHER THAN those selected below －このオプション
を選択すると、Selected roles リストでロールにマッピングされたユーザーを除
いたすべてのユーザーにこのポリシーを適用します。Available roles リストから
このリストにロールを追加してください。
7.
New Profile ページで、DNS タブをクリックします。
8.
Custom DNS Settings チェックボックスを選択すると、指定した設定で標準の DNS
設定を上書きします。
9.
a.
Primary DNS －プライマリ DNS 用に IP アドレスを指定します。
b.
Secondary DNS －セカンダリ DNS 用に IP アドレスを指定します。
c.
DNS Domain(s) － “yourcompany.com, yourcompany.net” など DNS ドメインを指
定します。
DNS search order セクションで、スプリットトンネルが有効化されている場合にの
み、次のように DNS サーバー検索順序を選択します。

Search IVE DNS servers first, then client

Search client DNS first, then IVE
10. New Profile ページで、Proxy タブをクリックします。.
11. Network Connect proxy server configuration ページで、次のオプションの中なら 1
つ選択します。

No proxy server －新規プロファイルにプロキシサーバーが必要ないことを指定
します。

Automatic (PAC file on IVE) － PAC ファイルが存在するサーバーの IP アドレスを
指定するか、ローカルホスト上で PAC ファイルの場所を参照して、IVE にアッ
プロードします。

Automatic (PAC file on another server) － PAC ファイルが存在するサーバーの IP
アドレスを指定します。

Manual configuration －サーバーの IP アドレスを指定して、ポートを割り当て
ます。
12. Save Changes をクリックします。
13. NC Connection Profiles ページで、IVE での評価方法に応じてプロファイルに順序を
設定します。IVE は、ユーザーから要求されたリソースとプロファイル（または詳細
規則）の Resource リスト内のリソースを照合して一致するものを見つけると、指定
されたアクションを実行してポリシーの処理を停止します。
Network Connect ページの設定

325
Juniper Networks NetScreen Secure Access 700 管理ガイド
Network Connect Split Tunneling タブ
Network Connect Split Tunneling タブを使用して、Network Connect リソースポリシー
を作成します。このリソースポリシーでは、リモートクライアントと企業イントラネッ
ト間で渡されるトラフィックを IVE が処理するためのネットワーク IP アドレス / ネット
マスクの組み合わせを 1 つまたは複数指定します。
スプリットトンネルが使用されると、Network Connect はクライアントでルーティングを
修正し、企業イントラネットネットワーク用のトラフィックは Network Connect に向か
い、その他すべてのトラフィックはローカルの物理アダプタを経由するようにします。
IVE はまず、物理アダプタ経由で送信されたすべての DNS リクエストの解決を試みてか
ら、送信できなかったリクエストを Network Connect アダプタにルーティングします。
Network Connect スプリットトンネルネットワークリソースポリシーの作成
Network Connect スプリットトンネルネットワークリソースポリシーを作成するには、
次の操作を実行します。
1.
Web コンソールで、Resource Policies > Network Connect > Network Connect Split
Tunneling を選択します。
2.
Network Connect Network Connect Split Tunneling ページで、New Policy をクリッ
クします。
3.
New Policy ページで、以下を入力します。
このポリシーに付ける名前
b.
ポリシーの説明（オプション）
4.
Resources セクションで、リモートクライアントと企業イントラネット間で渡され
るトラフィックを IVE が処理するためのネットワーク IP アドレス / ネットマスクの
組み合わせを 1 つまたは複数指定します。“/”（スラッシュ）表記を使用してネット
ワークを指定することもできます。
5.
Roles セクションで、以下を指定します。
6.
7.
326
a.
Network Connect ページの設定

Policy applies to ALL roles －すべてのユーザーにこのポリシーを適用します。

Allow access －このオプションを選択して、Resources リストで指定したリソー
スに対するアクセスを許可します。

Use Detailed Rules （ 'Save Changes' をクリックすると利用可）－このオプショ
ンを選択して、指定されたリソースに制限を追加するリソースポリシー規則を
定義します。
Save Changes をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
8.
Network Connect Split Tunneling Policies ページで、IVE での評価方法に応じてポリ
シーに順序を設定します。IVE は、ユーザーから要求されたリソースをポリシー（ま
たは詳細規則）の Resource リスト内のリソースと照合し、指定されたアクションを
実行してポリシーの処理を停止します。
使用例： Network Connect リソースポリシーの設定
このセクションでは、実際の Network Connect アプリケーション、およびネットワークの
リモートユーザーへのアクセスを提供する正しいリソースポリシーを設定するために必
要な手順について説明します。
大規模な金融機関（または「フォーチュン企業」）では、Network Connect のような強固
なクライアントサインインアプリケーションが必要です。これにより、遠隔地の社員は、
本社にある広範囲な企業リソースをシームレスなネットワーク接続により利用できます。
リモートユーザーは通常、単なる E メールやミーティング予定表アプリケーション以外
に、ラップトップやクライアントのコンピュータで複数のアプリケーションにアクセスで
きる必要があります。これらリモートの「スーパーユーザー」または「パワーユーザー」
には、Microsoft OutlookTM、OracleTM および RemedyTM ケースマネジメントシステムな
どのパワフルなサーバーアプリケーションに対して、安全で暗号化されたアクセスが必
要となります。
このシナリオでは、以下の点を想定しています。

同じ IVE を経由して金融機関の企業リソースにアクセスする、小グループのリモート
ユーザーが存在する

すべてのユーザーは、そのユーザー ID に割り当てられた同じ “user_role_remote”
ロールを所有している

Host Checker および Cache Cleaner を設定して、IVE へのログイン時と Network
Connect セッションの起動時にユーザーのコンピュータが確認される

すべてのユーザーは、以下の属性で本社の 3 つの大型サーバーにアクセスできる必
要がある

IP アドレス 10.2.3.201 で “outlook.acme.com”にアクセス

IP アドレス 10.2.3.202 で “oracle.financial.acme.com”にアクセス

IP アドレス 10.2.3.99 で “case.remedy.acme.com”にアクセス

この企業はその IP アドレスプールを厳重に管理したいため、各 IVE は IP アドレスを
リモートユーザーに供給します（特定の IVE は 10.2.3.128 ～ 10.2.3.192 間の IP アド
レスを制御します）。

この企業は考えられる最も安全なアクセスとともに、クライアントのダウンタイムを
最小限にすることに関心があります。
このフォーチュン企業のリモートユーザーに適切なアクセスを提供するには、Network
Connect リソースポリシーを以下のように設定します。
1.
320 ページの「Network Connect アクセスリソースポリシーの作成」に記載された手
順に従って、新しい Network Connect リソースポリシーを作成し、これに、リモー
トユーザーにアクセスを許可する 3 台のサーバーを指定します。
Network Connect ページの設定

327
Juniper Networks NetScreen Secure Access 700 管理ガイド
a.
Resources セクションで、3 台のサーバー（“outlook.acme.com”、
“Oracle.financial.acme.com”、および “case.remedy.acme.com”にアクセス
を許可するために必要な IP アドレス範囲をキャリッジリターンで区切って
指定します。
udp://10.2.3.64-127:80,443
udp://10.2.3.192-255:80,443
2.
328
Network Connect ページの設定
b.
Roles セクションで Policy applies to SELECTED roles オプションを選択して、
Selected roles リストで “user_role_remote” ロールだけが表示されるようにし
ます。
c.
Action で、Allow access オプションを選択します。
322 ページの「Network Connect 接続プロファイルの作成」で説明されている指示に
従って、クライアントと IVE 間のデータトンネルの転送と暗号化の方法を定義する、
Network Connect 接続プロファイルを新規作成します。
a.
IP address assignment セクションで IP address pool オプションを選択し、関連
するテキストフィールドで 10.2.3.128-192 を入力します。
b.
Connection Settings セクションで、ESP 転送オプションと AES/SHA1 暗号化オ
プションを選択します。
c.
Roles セクションで Policy applies to SELECTED roles オプションを選択して、
Selected roles リストで “user_role_remote” ロールだけが表示されるようにし
ます。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Email Client ページの設定
Secure Email Client オプションを使用すれば、リモートユーザーは、標準の Web ブラウ
ザとインターネット接続を使用して、Outlook Express、Netscape Communicator、
Qualcomm の Eudora などの標準ベースの E メールに、アクセスできるようになります。
詳細については、93 ページの「E メールクライアントの概要」を参照してください。
ロールの Email Client アクセス機能を有効にする場合には、メールサーバーの構成を指定
するリソースポリシーを作成する必要があります。他の機能とは異なり、Secure Email
Client の場合には、この機能が有効なロールに対して 1 つのリソースポリシーが適用さ
れます。ユーザーに対して E メールクライアントサービスを有効にするには、
IMAP/POP/SMTP メールサーバーの情報とユーザー認証構成を指定する必要があります。
IVE は、指定されたサーバーの E メールプロキシとしての役割を果たします。
IVE は、複数のメールサーバーをサポートしています。すべてのユーザーがデフォルトの
メールサーバーを使用するように構成することができます。また、ユーザーがカスタム
SMTP、IMAP、または POP メールサーバーを指定できるように構成することも可能です。
ユーザーがカスタムメールサーバーを指定できるようにした場合、ユーザーは IVE に
よってサーバー設定を指定する必要があります。IVE は、E メールユーザー名を管理し
て、ユーザー名の重複を避けます。
Email Client メールサーバーリソースポリシーの作成
Email Client メールサーバーリソースポリシーを作成するには、次の操作を実行します。
1.
Web コンソールで、Resource Policies > Email Client を選択します。
2.
Email Client Support で、Enabled をクリックします。
3.
Email Authentication Mode で、オプションを選択します。

Web-based email session －ユーザーは IVE の E メールセットアップを 1 度だけ
実行する必要があります。次に、IVE の E メールセットアップで生成されたユー
ザー名とパスワードを使用するように、ユーザーが E メールクライアントをそ
れぞれ設定します。ユーザーは IVE にサインインして、E メールセッションを開
始することをお勧めします。（デフォルト）

Combined IVE and mail server authentication －ユーザーは次の認証情報を使用
して、E メールクライアントを構成します。

Username －ユーザーの標準のメールサーバーユーザー名。次のいずれか
の条件に適合する場合には、IVE によって生成されたユーザー名。
－複数のメールサーバーユーザー名がある場合
－ IVE のユーザー名とメールサーバーのユーザー名が異なる場合

Password －ユーザーの IVE パスワード、カスタマイズできる証明書の区切
り文字、ユーザーのメールサーバーパスワードの順で構成されます。
ユーザーは IVE にサインインしなくても、E メールを使用できます。

Mail server authentication only －ユーザーは標準のメールサーバーユーザー名
とパスワードを使用するように各自の E メールクライアントを構成します。
ユーザーは IVE にサインインしなくても、E メールを設定および使用できます。
メモ : Email Setup ページを参照すれば、簡単にユーザー名とパスワードを確認でき
ます。
Email Client ページの設定

329
Juniper Networks NetScreen Secure Access 700 管理ガイド
4.
Default Server Information で、メールサーバー情報を指定します。IVE は、このサー
バーの E メールプロキシとしての役割を果たします。
メモ : 指定できるデフォルトメールサーバーは 1 つだけです。ユーザーが複数の SMTP
サーバー、POP サーバー、または IMAP サーバーから E メールを取り出す必要がある場
合には、該当するチェックボックスをオンにして、追加のメールサーバーを構成できる
ようにします。ユーザーがカスタムサーバーを指定できるように設定した場合、ユー
ザーは IVE の Email Setup ページで 1 度だけサーバーに関する情報を入力する必要があ
ります。
5.
6.
330
Email Client ページの設定
Email Session Information で、以下を指定します。

IVE が E メールクライアントセッションを終了するまでユーザーの E メール
セッションがアイドル状態のままとなる時間を制御する、Idle Timeout 値。

IVE が E メールクライアントセッションを終了するまでユーザーの E メール
セッションがアクティブ状態のままとなる時間を制御する、Max. Session
Length 値。
Save Changes をクリックします。
第 11 章
メンテナンス設定
Web コンソールの Maintenance セクションにある設定を使用すると、IVE の管理とトラ
ブルシューティングが行えます。
目次

333 ページの「System ページの設定」

338 ページの「Import/Export ページの設定」

349 ページの「Archiving ページの設定」

350 ページの「Troubleshooting ページの設定」
第 11 章 : メンテナンス設定

331
Juniper Networks NetScreen Secure Access 700 管理ガイド
332
第 11 章 : メンテナンス設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
System ページの設定
System ページには、次のタブがあります。

333 ページの「Platform タブ」－再起動、リブート、シャットダウン、またはサー
バー接続状態のテストを行うには、このタブを使用します。

334 ページの「Upgrade/Downgrade タブ」－このタブは、サービスパッケージのイ
ンストールに使用します。

335 ページの「Options タブ」－このタブは、バージョンモニタリングの有効化に使
用します。

335 ページの「Installers タブ」－このタブを使用して、アプリケーションやサービス
のダウンロードを行います。
Platform タブ
Platform ページには、Secure Access 700 システムデータがリストされ、Secure Access
700 を再起動、リブート、またはシャットダウンするコントロールが含まれます。また、
サーバーの接続性をテストするコントロールが含まれます。
再起動、リブート、シャットダウン、またはサーバー接続状態のテスト
Platform ページでは IVE のために以下のシステムデータを一覧表示します。

Model － IVE のモデルを表示します。

Version － IVE のソフトウェアバージョンを表示します。

Rollback －インストールしたイメージをロールバックするとき、IVE が戻るソフト
ウェアバージョンを表示します。

Last Reboot － IVE の最後のリブートからの時間を表示します。
Platform ページには以下のコントロールが含まれます。

Restart Services ― すべてのプロセスを削除して Secure Access 700 を再起動します。

Reboot ― Secure Access 700 の電源を入れ直して、リブートします。

Shut down ― Secure Access 700 をシャットダウンします。サーバーを再起動するに
はリセットボタンを押す必要があります。サーバーをシャットダウンしても、マシン
の電源はオンの状態になっているので注意してください。

Rollback －ソフトウェアイメージをロールバックして、IVE をリブートします。をリ
ブートすると、IVE のイメージは上の Rollback フィールドに表示されたイメージに
自動的にロールバックされます。

Test Connectivity － IVE で使用するように設定されているすべてのサーバーに IVE か
ら ICMP Ping を送信して、サーバーの接続状態を調べます。各サーバーのステータス
は Server Connectivity Results の下に表示されます。
メモ : 工場出荷状態へのリセットまたは直前の状態にシステムを戻す操作についてに
は、359 ページの「IVE シリアルコンソールの使用」を参照してください。
System ページの設定

333
Juniper Networks NetScreen Secure Access 700 管理ガイド
Upgrade/Downgrade タブ
別のサービスパッケージをインストールするには、Juniper サポートの Web サイトからソ
フトウェアを取得して、それを Web コンソールからアップロードします。サーバーが、
Juniper Networks によって発行された有効なパッケージのみを受け入れるようにするた
め、パッケージファイルは暗号化され署名されています。これにより、トロイの木馬プロ
グラムが IVE サーバーに侵入するのを防ぐことができます。
この機能は通常、システムソフトウェアのより新しいバージョンへのアップグレードに
使用されますが、このプロセスを旧バージョンへのダウングレードや、現在のすべての設
定を削除して「クリーンスレート」から始める場合にも使用できます。シリアルコン
ソールを通じて直前のシステム状態にロールバックすることもできます。詳細は、360
ページの「直前のシステム状態へのロールバック」を参照してください。
メモ : サービスパッケージをインストールする場合は、処理に数分かかる場合がありま
す。また、インストール完了後に IVE を再起動する必要があります。既存のシステム
データはこのときにバックアップされるため、サービスパッケージをインストールする
前にシステムログをクリアしておくとインストール時間を短縮できます。
Juniper ソフトウェアサービスパッケージのインストール
新しいサービスパッケージをインストールする前に、現在のシステム設定、ローカル
ユーザーアカウント、カスタマイズしたユーザー設定、ロールおよびポリシー情報をエ
クスポートしてください。このタスクについては、338 ページの「Import/Export ページ
の設定」で説明しています。
サービスパッケージをインストールするには、次の操作を実行します。
1.
Juniper サポートの Web サイトにアクセスして、希望のサービスパッケージを取得し
ます。
2.
Web コンソールで、Maintenance > System > Upgrade/Downgrade を選択します。
3.
Browse をクリックして、サポートサイトから取得したハードドライブ上のサービス
パッケージを参照します。IVE の同じバージョンを引き続き使用しながら、現在の設
定を削除するには、アプライアンスに現在インストールされているサービスパッ
ケージを選択します。
4.
古いサービスパッケージに戻すか、設定を削除する場合には、Delete all system and
user data を選択します。
メモ : このオプションを使用して、アプライアンスからすべてのシステムデータとユー
ザーデータを削除した場合には、システムの再設定を行う前に、ネットワーク接続を再
確立する必要があります。
5.
334
System ページの設定
サービスパッケージファイルを選択して、Install Now をクリックします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Options タブ
IVE では重要なソフトウェアパッチやアップデートの自動通知を設定することで、システ
ムを常に最新の状態に保ち、安全性を確保することができます。これを行うには、以下の
データを Juniper Networks に送ります。会社名、ライセンス設定の MD5 ハッシュ、現在
のソフトウェアバージョン情報。
バージョン監視の有効化
自動アップデートおよびアクセレータカードを有効化するには、次の操作を実行します。
1.
Web コンソールで、Maintenance > System > Options を選択します。
2.
重要なソフトウェアパッチやアップデートを自動的に受け取るには、Automatic
Version Monitoring チェックボックスをオンにします。
メモ : 安全の確保のために、この自動サービスを有効にすることを強く推奨しますが、
必要に応じて無効にできます。
3.
エンドユーザーインターフェースに表示される言語を指定するには、End-user
Localization ドロップダウンリストを使用します（オプション）。言語を指定しな
い場合は、エンドユーザーインターフェースはブラウザの設定に基づいて表示さ
れます。
4.
Save Changes をクリックします。
Installers タブ
Installers タブには、ダウンロード可能なアプリケーションやサービスが表示されます。
アプリケーションまたはサービスは、Windows の実行ファイルとしてダウンロードでき
ます。これにより、次のことが可能になります。

Active Directory や SMS など、ソフトウェア配布ツールを使用して、クライアントマ
シンへファイルを配布すること。このオプションにより、アプリケーションやサービ
スをインストールするために必要な管理者権限をユーザーが持っていない場合でも、
クライアントマシンのアプリケーションまたはサービスが有効になります。

実行ファイルをセキュアリポジトリに転送して、適切な権限を持つユーザーが該当
するバージョンをダウンロードしてインストールできるようすること。

FTP サーバーからインストーラの適切なバージョンを自動的に検索するスクリプトを
ダウンロードし、実行します。
System ページの設定

335
Juniper Networks NetScreen Secure Access 700 管理ガイド
これらのオプションを使用すれば、クライアントマシンで実行するアプリケーションま
たはサービスのバージョンをコントロールできます。
アプリケーションまたはサービスをダウンロードする
Installers ページには以下のコントロールが含まれます。

Juniper Installer Service －管理者権限がなくても、クライアントサイドアプリケー
ションのダウンロード、インストール、アップグレード、実行が可能になります。こ
れらのタスクを実行するには管理者権限が必要なので、Juniper Installer Service は、
クライアントのローカルシステムアカウント（システムへの完全アクセス権を持つ
強力なアカウント）の下で実行し、Windows のサービスコントロールマネージャ
（SCM）に登録します。ユーザーの Web ブラウザ内で実行されている ActiveX コント
ロールや Java アプレットは、IVE とクライアントシステム間の安全なチャンネルを
通じて、実行されるインストール処理の詳細を通信します。
メモ : Juniper インストーラサービスをクライアントシステムにインストールする場合
は、次の事項に注意してください。

Juniper インストーラサービスのインストールには管理者権限が必要です。

Juniper インストーラサービスをインストールする前に、クライアントシステムに
Microsoft Windows インストーラが存在することを確認します。

Juniper インストーラサービスは Microsoft Windows インストーラを使用するた
め、SMS やインストールラッパーなどの自動化されたプッシュシステムを活用
できます。

サービスは、インストール時とクライアントシステム起動時に自動的に開始され
ます。

このサービスは、サービス（ローカル）リストに、Neoteris Setup Service という名
前で表示されます。

Host Checker － IVE に接続しているホストでエンドポイントのセキュリティチェッ
クを実行するクライアントサイドのエージェントです。
メモ : Host Checker を配布する場合は、Signing In > End Point > Host Checker ページ
（184 ページの「Host Checker の一般的なオプションを指定する」を参照）で Autoupgrade Host Checker オプションを必ずオフにしてください。これを行わないと、IVE
は、配布するバージョンとは異なるバージョンの Host Checker アプリケーションをユー
ザーのマシンにダウンロードする場合があります。

Network Connect －このオプションは、クライアントレスの VPN を提供し、IVE
を使用した企業内リソースへの追加的なリモートアクセスメカニズムとして機
能します。
アプリケーションまたはサービスをダウンロードするには、次の操作を実行します。
336
System ページの設定
1.
Web コンソールで、Maintenance > System > Installers を選択します。
2.
ダウンロードするアプリケーションやサービスの右にある Download リンクをク
リックします。File Download ダイアログボックスが表示されます。
3.
File Download ダイアログボックスの Save ボタンをクリックします。Save As ダイア
ログボックスが表示されます。
Juniper Networks NetScreen Secure Access 700 管理ガイド
4.
Save As ダイアログボックスで適切な場所を選択します。
5.
Save As ダイアログボックスの Save ボタンをクリックします。
System ページの設定

337
Juniper Networks NetScreen Secure Access 700 管理ガイド
Import/Export ページの設定
Import/Export ページには、次のタブがあります。

338 ページの「Configuration タブ」－システムとネットワークの設定を持った IVE 設
定ファイルをエクスポートまたはインポートするには、このタブを使用します。

339 ページの「User Accounts タブ」－ローカルユーザーアカウントをエクスポート
またはインポートするには、このタブを使用します。

340 ページの「XML Import/Export タブ」－システム設定を持った XML ファイルをイ
ンポートまたはエクスポートするには、このタブを使用します。

343 ページの「XML Import/Export の使用例」－これらの使用例を交えながら、XML
Import/Export の使用法について詳しく説明します。
Configuration タブ
システムとネットワークの設定を持った IVE 設定ファイルをエクスポートまたはインポー
トするには、113 ページの「IVE 設定ファイルのインポートとエクスポート」の説明に
従って、このタブを使用します。
メモ : リソースポリシーをエクスポートする場合は、ユーザーアカウントをエクス
ポートします。詳細については、339 ページの「User Accounts タブ」を参照してく
ださい。
システム設定ファイルのエクスポート
システム設定ファイルをエクスポートするには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Import/Export > Configuration を選択します。
2.
設定ファイルをパスワードで保護する場合は、Export でパスワードを入力します。
3.
Save Config As をクリックしてファイルを保存します。
システム設定ファイルのインポートシステム
設定ファイルをインポートするには、次の操作を実行します。
338
Import/Export ページの設定
1.
Web コンソールで、Maintenance > Import/Export > Configuration を選択します。
2.
IVE サーバー証明書をインポートするかどうかを指定します。Import IVE
Certificate(s)? のチェックボックスをオンにしない限り、証明書はインポートされま
せん。
3.
次のインポートオプションのいずれかを選択します。

Import everything (except IVE Certificate(s)) － IVE サーバー証明書以外のすべ
ての設定がインポートされます。

Import everything but the IP address － IP アドレスのみを除外して設定ファイ
ルをインポートします。IP アドレスを除外すると、ファイルをインポートしても
サーバーの IP アドレスは変わりません。このオプションを選択すると、定義さ
れた SNMP 設定もインポートされます。
Juniper Networks NetScreen Secure Access 700 管理ガイド

Import everything except network settings －ネットワーク設定以外のすべての
設定がインポートされます。ネットワーク設定を除外すると、ファイルをイン
ポートしても、System > Network ページの情報（内部ポート、外部ポート、静
的ルート設定）は変わりません。このオプションを選択すると、定義された
SNMP 設定はインポートされません。

Import only Server Certificate(s) － IVE サーバー証明書のみをインポートしま
す。このオプションを指定する場合は、必ず Import IVE Certificate(s)? チェック
ボックスをオンにしてください。
4.
設定ファイルを参照します。設定ファイルにはデフォルトで system.cfg という名前
が付けられています。
5.
設定ファイルに指定したパスワードを入力します。ファイルをエクスポートする前に
パスワードを指定しなかった場合は、空白のままにしておきます。
6.
Import Config
User Accounts タブ
ローカルユーザーアカウントとリソースポリシーをエクスポートまたはインポートする
には、113 ページの「IVE 設定ファイルのインポートとエクスポート」の説明に従って、
このタブを使用します。
ローカルユーザーアカウントまたはリソースポリシーのエクスポート
ローカルユーザーアカウントまたはリソースポリシーをエクスポートするには、次の操
作を実行します。
1.
Web コンソールで、Maintenance > Import/Export > User Accounts を選択します。
2.
設定ファイルをパスワードで保護する場合は、Export でパスワードを入力します。
3.
Save Config As をクリックしてファイルを保存します。
ローカルユーザーアカウントまたはリソースポリシーのインポート
ローカルユーザーアカウントまたはリソースポリシーをインポートするには、次の操作
を実行します。
1.
Web コンソールで、Maintenance > Import/Export > User Accounts を選択します。
2.
設定ファイルにはデフォルトで user.cfg という名前が付けられています。
3.
設定ファイルに指定したパスワードを入力します。ファイルをエクスポートする前に
パスワードを指定しなかった場合は、空白のままにしておきます。
4.
Import Config をクリックします。
Import/Export ページの設定

339
Juniper Networks NetScreen Secure Access 700 管理ガイド
XML Import/Export タブ
Maintenance> Import/Export > XML Import/Export ページでは、113 ページの「XML
設定ファイルのインポートとエクスポート」の説明に従って、IVE から選択した設定を格
納している XML 設定ファイルをエクスポートして、それらの設定を同じまたは別の IVE
にインポートできます。
XML 設定データのエクスポート
XML 設定データをエクスポートするには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Import/Export > XML Import/Export > Export
を選択します。
2.
Schema Files で、リンクをクリックして IVE オブジェクト（オプション）を記述し
た XML スキーマ（.xsd）ファイルをダウンロードします。スキーマファイルの詳
細については、123 ページの「スキーマファイルのダウンロード」を参照してくだ
さい。
3.
ページで指定したすべての設定をエクスポートするには、Select All ボタンをク
リックします。それ以外の場合は、エクスポートする特定の情報を次のように選
択します。

内部ポート設定、外部ポート設定、ライセンス情報を含むネットワーク設定をエ
クスポートするには、Export Network Settings and Licenses チェックボックス
をオンにします。
メモ : 以下の規則は、エクスポートおよびインポートされたライセンスに適用さ
れます。

エクスポートされたライセンスデータは暗号化されているため、編集することはで
きません。

ライセンスの XML インポートは、ライセンスをインポートするマシンに現時点で
ライセンスがインストールされていない場合にのみ有効となります。すでにライセ
ンスがインストールされていると、インポートされたライセンスはすべて破棄され
ます。それでもライセンスをインポートしたい場合は、IVE に対して出荷時リセッ
トを行ってからインポート作業を実行してください。

一時ライセンスを IVE から消去した後にライセンスをインポートした場合、イン
ポートされたライセンスは破棄されます。これは、削除したライセンスを復元する
可能性があり、インポート処理が現在 IVE にあるすべてのライセンスデータを保存
しようとするためです。

サインイン URL、標準サインインページ、認証サーバーをエクスポートするに
は、Sign-in Settings チェックボックスをオンにします。
Sign-in URLs で、次のオプションのいずれかを選択します。
340
Import/Export ページの設定

すべてのサインイン URL をエクスポートするには、ALL sign-in URLs を選
択します。

一部の URL のみをエクスポートする場合は、SELECTED sign-in URLs を選
択し、Available Sign-in URLs リストから URL を選択して、Add をクリック
します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Sign-in Pages で、次のオプションのいずれかを選択します。

すべてのサインインページをエクスポートするには、ALL Pages を選択
します。

エクスポートするページを、選択したサインイン URL に有効なページに限
定するには、ONLY pages used by URLs selected above を選択します。

一部のページのみをエクスポートする場合は、SELECTED pages... を選択
し、Available Pages リストからページを選択して、Add をクリックします。
Authentication servers で、次のオプションのいずれかを選択します。

すべての認証サーバーをエクスポートするには、ALL auth servers を選択し
ます。

一部のサーバーのみをエクスポートする場合は、SELECTED auth servers...
を選択し、Available Servers リストからサーバーを選択して、Add をクリッ
クします。
認証領域をエクスポートするには、Export Authentication Realms のチェック
ボックスをオンにします。
Administrator Realms で、次のオプションのいずれかを選択します。

すべての管理者領域をエクスポートするには、ALL admin realms を選択し
ます。

一部の領域のみをエクスポートする場合は、SELECTED admin realms...
を選択し、Available Realms リストから領域を選択して、Add をクリッ
クします。
User Realms で、次のオプションのいずれかを選択します。

すべてのユーザー領域をエクスポートするには、ALL user realms を選択し
ます。

一部の領域のみをエクスポートする場合は、SELECTED user realms... を
選択し、Available Realms リストから領域を選択して、Add をクリック
します。
ロールマッピング規則をエクスポートするには、Export Roles を選択します。
Delegated Admin Roles で、次のオプションのいずれかを選択します。

すべての認証領域からロールマッピング規則をエクスポートするには、ALL
delegated admin roles を選択します。

一部のロールのみをエクスポートする場合は、SELECTED delegated admin
roles... を選択し、Available Roles リストからロールを選択して、Add をク
リックします。
Import/Export ページの設定

341
Juniper Networks NetScreen Secure Access 700 管理ガイド
User Roles で、次のオプションのいずれかを選択します。

すべてのローカルユーザーロールをエクスポートするには、ALL user roles
を選択します。

選択したユーザーロールをエクスポートする場合は、SELECTED user
roles... を選択し、Available Roles リストからロールを選択して、Add をク
リックします。

リソースポリシーをエクスポートするには、Export Resource Policies のチェッ
クボックスをオンにします。次に、エクスポートするリソースポリシーのタイプ
（アクセスコントロールポリシーなど）に対応するチェックボックスをオンにし
ます。

すべてのローカルユーザーアカウントをエクスポートするには、Export Local
User Accounts チェックボックスを選択します。続いて、次のオプションのいず
れかを選択します。

すべてのローカル認証サーバーからすべてのローカルユーザーアカウント
をエクスポートするには、From ALL local auth servers を選択します。

一部の認証サーバーのみからローカルユーザーをエクスポートする場合は、
From SELECTED local auth servers... を選択し、Available Servers リストか
らサーバーを選択して、Add をクリックします。
Log/Monitoring のチェックボックスをオンにして、ログ / モニタリングデータ
の一部をエクスポートします。

4.
SNMP を選択して、トラップ設定および制限を含む SNMP データをエクス
ポートします。
Export... をクリックしてこの情報を XML ファイルに保存します。
XML 設定データのインポート
XML 設定データをインポートするには、次の操作を実行します。
342
Import/Export ページの設定
1.
Web コンソールで、Maintenance > Import/Export > XML Import/Export > Import
を選択します。
2.
Schema Files で、リンクをクリックして IVE オブジェクト（オプション）を記述し
た XML スキーマ（.xsd）ファイルをダウンロードします。スキーマファイルの詳
細については、123 ページの「スキーマファイルのダウンロード」を参照してくだ
さい。
3.
インポートする XML データファイルを参照して選択します。一部の設定のみをイン
ポートしたい場合は、有効な XML 断片ファイルをインポートできます。
4.
次の操作により、Import mode を選択します。
Juniper Networks NetScreen Secure Access 700 管理ガイド

Full Import （追加、更新、削除）－インポートした XML ファイルに現れる新し
いデータ要素を、IVE 設定に追加し、インポートした XML ファイルで値が変更
された既存の要素を更新し、インポートした XML ファイルで定義されていない
既存の要素を削除します。
メモ : 注意 : Full Import モードの使用は、危険性のある操作です。注意深く行わない
と、IVE 設定の多くの部分やすべてを削除していまうことがあります。Full Import に設
定すると、IVE は IVE アプライアンス上の設定をインスタンスファイルにあるもので置
き換えます。インスタンスファイルで定義されていないものは、IVE アプライアンスか
ら削除されます。
5.

Standard Import （追加、更新）－インポートした XML ファイルに現れる新し
いデータ要素を、IVE 設定に追加し、インポートした XML ファイルで値が変更
された既存の要素を更新します。要素は削除されません。

Quick Import （追加）－インポートした XML ファイルに現れる新しいデータ要
素を、IVE 設定に追加します。既存の要素への変更は無視されます。
Import をクリックします。Import XML Results ページに、インポートされたネット
ワーク設定、ロールおよびリソースポリシーについての情報が表示されます。
XML にエラーがあった場合は、インポート処理は停止し、設定は以前の状態に戻さ
れます。Import XML Results ページにはエラーメッセージが表示されます。
6.
OK をクリックして、Import ページに戻ります。
XML Import/Export の使用例
次の使用例では、XML Import/Export 機能を使用できる一般的な例を説明しています。各
使用例は、簡単な説明と、使用例を完成する手順により構成されています。これらの使用
例は簡略化されており、全手順を実行するための複雑な部分や詳細は説明していません。
使用例には、XML Import/Export 機能の考えられる使用法の説明だけが含まれています。
使用例：複数の新規ユーザーを IVE に追加する
あなたは、新しい IVE アプライアンスをネットワークに追加したところであり、2,000 人
のユーザーをそのシステムに追加したいと考えています。IVE の Web コンソールに、これ
らのユーザーを一度に 1 人ずつ追加するのではなく、集団インポートを行って、ユー
ザーが初めてシステムにログインしたときに、各自のパスワードをユーザー自身に変更さ
せたいと考えています。あなたはユーザーアカウントをエクスポートし、ユーザーを定義
する適切な XML を抽出して、必要に応じて各要素を複製し、それらを IVE にインポート
できます。
この手順では、User 1、User 2、および User 2000 の例のみが示されています。その他す
べてのユーザーは、インポートファイルに含まれているものとします。パスワードを、語
句のパスワードの番号付きインスタンス（password1、password2 など）として設定しま
す。この例のすべてのユーザーは同じ認証サーバーに割り当てられますが、システムで有
効な認証サーバーであれば、それらの任意の組み合わせを指定できます。
複数の新規ユーザーの IVE への追加
1.
Web コンソールで、Maintenance > Import/Export > Export XML を選択します。
2.
340 ページの「XML 設定データのエクスポート」の説明に従って、ローカルユー
ザーアカウントをエクスポートします。
3.
エクスポートしたファイルを users.xml として保存します。
Import/Export ページの設定

343
Juniper Networks NetScreen Secure Access 700 管理ガイド
4.
users.xml ファイルを開きます。
5.
必要な数のユーザーを追加するまで、User container 要素をコピー & ペーストしま
す。例では 3 人の新規ユーザーのみが示されていますが、数百人の新規ユーザーを
ファイルに追加できます。
6.
次の例に示すように、各 User container 要素内の該当するデータを更新します。
メモ :

次の例のフォーマットは、読みやすくするために、元の状態を変更しています。実
際の XML コードは異なっている場合があります。

PasswordFormat を Plaintext に設定する必要があります。これを行わないと、IVE
はデフォルトの Encrypted であると見なします。
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<IVE xmlns="http://xml.juniper.net/iveos/5.0R1/ive">
<AAA xmlns:aaa="http://xml.juniper.net/iveos/5.0R1/aaa">
<aaa:Users>
<aaa:User>
<aaa:AuthServerName>System Local</aaa:AuthServerName>
<aaa:Email>[email protected]</aaa:Email>
<aaa:FullName>User1</aaa:FullName>
<aaa:LoginName>user1</aaa:LoginName>
<aaa:Password PasswordFormat="Plaintext">password1
</aaa:Password>
<aaa:ChangePasswordAtNextLogin>true
</aaa:ChangePasswordAtNextLogin>
</aaa:User>
<aaa:User>
<aaa:AuthServerName>System Local</aaa:AuthServerName>
<aaa:Email>[email protected]</aaa:Email>
<aaa:FullName>User2</aaa:FullName>
<aaa:LoginName>user2</aaa:LoginName>
<aaa:Password PasswordFormat="Plaintext">password2
</aaa:Password>
<aaa:ChangePasswordAtNextLogin>true
</aaa:ChangePasswordAtNextLogin>
</aaa:User>
<aaa:User>
<aaa:AuthServerName>System Local</aaa:AuthServerName>
<aaa:Email>[email protected]</aaa:Email>
<aaa:FullName>User 2000</aaa:FullName>
<aaa:LoginName>user2000</aaa:LoginName>
<aaa:Password PasswordFormat="Plaintext">password2000
</aaa:Password>
<aaa:ChangePasswordAtNextLogin>true
</aaa:ChangePasswordAtNextLogin>
</aaa:User>
</aaa:Users>
</AAA>
<SYS xmlns:sys="http://xml.juniper.net/iveos/5.0R1/sys"/>
344
Import/Export ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
</IVE>
7.
users.xml ファイルを保存します。
8.
Web コンソールで、Maintenance > Import/Export > Import XML を選択します。
9.
Standard Import または Quick Import のいずれかを選択します。
10. 342 ページの「XML 設定データのインポート」の説明に従って、ファイルをイン
ポートします。
使用例：ポリシーの更新
すべての ActiveX を変更して、ポリシーを RewriteURLResponseForDynamicStaticHTML の
アクションから別のアクションに変更したいとします。ただし、Web コンソールで個々の
ポリシーを入力したくはありません。その場合は、インスタンスファイルをエクスポート
して、変更を行い、そのファイルを IVE インポートし直すことができます。
IVE でポリシーを更新するには
Web コンソールで、Maintenance > Import/Export > Export XML を選択します。
1.
340 ページの「XML 設定データのエクスポート」の説明に従って、ローカルユー
ザーアカウントをエクスポートします。
2.
エクスポートしたファイルを policy.xml として保存します。
3.
エクスポートしたファイルを開きます。
4.
テキストエディタまたは XML エディタを使用して、システムの policy.xsd スキーマ
ファイルを開きます。スキーマファイルで、
RewriteURLResponseForDynamicStaticHTML というアクションの値を検索します。
ActiveXActionType のスキーマ定義には、次の例に示すように、現在のポリシーのア
クション値とともに、その他の可能な値が含まれています。
<xs:simpleType name="ActiveXActionType">
<xs:restriction base="xs:token">
<xs:enumeration value="RewriteURLResponseForStaticHTML"/>
<xs:enumeration
value="RewriteURLResponseForDynamicStaticHTML"/>
<xs:enumeration value="RewriteURLForStaticHTML"/>
<xs:enumeration value="RewriteURLForDynamicStaticHTML"/>
<xs:enumeration value="RewriteHostForStaticHTML"/>
<xs:enumeration value="RewriteHostForDynamicStaticHTML"/>
<xs:enumeration value="DoNotRewrite"/>
</xs:restriction>
</xs:simpleType>
5.
エクスポートした policy.xml ファイルで、RewriteURLResponseForDynamicStaticHTML
を検索して、RewriteURLForDynamicStaticHTML というアクション値に置き換えます。
メモ : 次の例には、実際の policy.xml ファイルの一部のみが示されています。また、
フォーマットは、読みやすくするために、元の状態を変更しています。実際の XML コー
ドは異なっている場合があります。

<IVE xmlns="http://xml.juniper.net/iveos/5.0R1/ive">
Import/Export ページの設定

345
Juniper Networks NetScreen Secure Access 700 管理ガイド
<AAA xmlns:aaa="http://xml.juniper.net/iveos/5.0R1/aaa">
<aaa:ResourcePolicyList>
<aaa:WebActiveXRewritingPolicyList>
<aaa:ActiveXRewritingPolicy>
<aaa:ParameterList>
<aaa:Parameter>
<aaa:Name>URL</aaa:Name>

<aaa:Action>RewriteURLResponseForDynamicStaticHTML
</aaa:Action>
</aaa:Parameter>
</aaa:ParameterList>
<aaa:Description>OrgPlus Orgviewer</aaa:Description>
<aaa:ClassID>DCB98BE9-88EE-4AD0-9790-2B169E8D5BBB
</aaa:ClassID>
</aaa:ActiveXRewritingPolicy>
</aaa:ResourcePolicyList>

</AAA>
<SYS xmlns:sys="http://xml.juniper.net/iveos/5.0R1/sys"/>
</IVE>
6.
policy.xml ファイルを保存します。
7.
Web コンソールで、Maintenance > Import/Export > Import XML を選択します。
8.
Standard Import を選択します。このインポートモードを選択すると、XML インスタ
ンスファイルで変更された IVE のデータを更新できます。
9.
342 ページの「XML 設定データのインポート」の説明に従って、ファイルをイン
ポートします。
使用例： IVE からのユーザーの削除
会社に在籍していないユーザーを毎月 IVE から削除するとします。大規模な組織に勤務し
ていると、毎月数十人から数百人のユーザーを削除しなければならない場合があります。
これは煩雑な作業であり、あなたはこのタスクを簡単に行う方法を見つけたいと思うで
しょう。
メモ : 注意 : Full Import モードの使用は、危険性のある操作です。注意深く行わない
と、IVE 設定の多くの部分やすべてを削除していまうことがあります。Full Import に設
定すると、IVE は IVE アプライアンス上の設定をインスタンスファイルにあるもので置
き換えます。インスタンスファイルで定義されていないものは、IVE アプライアンスか
ら削除されます。
IVE からユーザーを削除するには
346
Import/Export ページの設定
1.
Web コンソールで、Maintenance > Import/Export > Export XML を選択します。
2.
340 ページの「XML 設定データのエクスポート」の説明に従って、ローカルユー
ザーアカウントをエクスポートします。
3.
エクスポートしたファイルを remusers.xml として保存します。
4.
remusers.xml ファイルを開きます。
Juniper Networks NetScreen Secure Access 700 管理ガイド
5.
削除したいユーザーのリストがある場合は、そのファイルで各ユーザー名を検索し、
そのユーザー名を格納する User container 要素全体を削除します。次の例では、User
container と子要素が示されています。
<aaa:User>
<aaa:AuthServerName>System Local</aaa:AuthServerName>
<aaa:Email>[email protected]</aaa:Email>
<aaa:FullName>DeleteUser</aaa:FullName>
<aaa:LoginName>deleteuser</aaa:LoginName>
<aaa:Password
PasswordFormat="Encrypted">oU63QjnZCgABAAAA91aVaD
</aaa:Password>
<aaa:ChangePasswordAtNextLogin>false
</aaa:ChangePasswordAtNextLogin>
</aaa:User>
メモ : XML ファイルでは絶対にパスワードを手動で暗号化しないでください。IVE は、
そうしようとしても拒否します。プレーンテキストの PasswordFormat を使用し、XML
ファイルを介してパスワードを変更する際はプレーンテキストのパスワードを入力して
ください。
6.
remusers.xml ファイルを保存します。
7.
Web コンソールで、Maintenance > Import/Export > Import XML を選択します。
8.
Full Import を選択します。このインポートモードにより、IVE のすべてのユーザー
データを、XML インスタンスファイルのユーザーデータで置き換えます。
9.
342 ページの「XML 設定データのインポート」の説明に従って、ファイルをイン
ポートします。
使用例：クラスタ環境での XML Import/Export の使用
XML Import/Export 機能をクラスタ環境で使用できます。ただし、いくつかの規則に従う
必要があり、特定の手順に従って操作を正しく完了する必要があります。

インポートする XML インスタンスは、元のクラスタと同じノードセットを含んでい
る必要があります。ノードが再有効化されるときにクラスタの同期に使用する署名
は、クラスタノードの IP アドレスから抽出されるため、インポートした設定が異な
る署名を生成すると、残りのノードはクラスタを再結合できなくなります。

インスタンスファイル内のノード名、IP アドレス、または IP ネットマスクは変更し
ないでください。

Full Import モードは使用しないでください。Standard Import モードのみを使用して
ください。

インスタンスファイルのネットワーク設定を変更しないでください。変更すると、1
次ノードに到達できなくなります。たとえば、マルチサイトクラスタのデフォルトの
ゲートウェイ設定を変更しないでください。

インポートでは、インスタンスファイルは、残りのノードのノード固有のクラスタ
構成のネットワーク設定を上書きします。これらのノード固有のネットワーク設定を
変更する場合は、必ず残りのノードが到達不可能にならないようにしてください。
Import/Export ページの設定

347
Juniper Networks NetScreen Secure Access 700 管理ガイド
クラスタ環境で XML Import/Export を使用するには
348
Import/Export ページの設定
1.
System > Clustering > Status ページで、1 次 IVE からその他のクラスタノードを無
効にします。
2.
Maintenance > Import/Export > Export XML により XML インスタンスをエクス
ポートします。
3.
116 ページの「XML インスタンスの作成と修正」の指示に従って、XML インスタン
スを変更します。
4.
113 ページの「XML 設定ファイルのインポートとエクスポート」の指示に従って、
XML インスタンスをインポートします。
5.
Web コンソールの System > Clustering > Status ページで、クラスタノードを有効
にします。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Archiving ページの設定
Archiving ページには、次のタブがあります。

349 ページの「FTP Server タブ」－外部 FTP または SCP サーバーにシステムデータ
をアーカイブするスケジューリングには、このタブを使用します。
FTP Server タブ
このタブの使用による、外部 FTP または SCP サーバーへのシステムデータのアーカイブ
スケジューリングは、112 ページの「IVE 設定ファイルをアーカイブする」で説明してい
ます。
外部 FTP または SCP サーバーへのシステムデータのアーカイブスケジューリング
アーカイブパラメータを指定するには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Archiving > FTP Server を選択します。
2.
Archive Settings で、送信先サーバー、ディレクトリ、およびそのサーバーの証明書
を指定します。juniper/log のような送信先ディレクトリのドライブ指定を組み込ま
ないでください。

UNIX コンピュータの場合には、ユーザーのホームディレクトリに応じて、絶対
パスまたは相対パスを指定できますが、フルパスの使用を推奨します。

Windows コンピュータの場合には、 ftproot フォルダの相対パスを指定します。
フォルダのフルパスの使用を推奨します。
3.
Method で、SCP または FTP を指定します。SCP はデフォルトのメソッドです。
4.
Archive Schedule で、アーカイブの対象となる 1 または複数のコンポーネントを指
定します。各コンポーネントの対応するチェックボックスをオンにしてください。
5.

Archive events log （詳細については、110 ページの「ログと監視の概要」を
参照）。

Archive user access log （詳細については、110 ページの「ログと監視の概要」
を参照）。

Archive admin access log （詳細については、110 ページの「ログと監視の概要」
を参照）。

Archive NC packet log （詳細については、110 ページの「ログと監視の概要」を
参照）。

Archive system configuration （詳細については、338 ページの「Configuration
タブ」を参照）。

Archive user accounts （詳細については、339 ページの「User Accounts タブ」
を参照）。
Save Changes をクリックします。
Archiving ページの設定

349
Juniper Networks NetScreen Secure Access 700 管理ガイド
Troubleshooting ページの設定
Troubleshooting ページには、次のタブがあります。

350 ページの「User Sessions タブ」－ユーザーセッションをシミュレーションし、
ポリシートレースファイルを記録するユーザーセッションオプションを指定するに
は、このタブを使用します。

352 ページの「Session Recording タブ」－デバッグ用のトレースファイルを記録する
には、このタブを使用します。

353 ページの「System Snapshot タブ」－ IVE システムの状態のスナップショットを
作成するには、このタブを使用します。

354 ページの「TCP Dump タブ」－ネットワークパケットヘッダをスニッフィング
するには、このタブを使用します。

355 ページの「Commands タブ」－ ARP、PING、traceroute、または nslookup　コマンドを実行するには、このタブを使用します。

356 ページの「Remote Debugging タブ」－ Juniper Networks Support のリモートデ
バッグを有効にするには、このタブを使用します。

356 ページの「Debug Log タブ」－デバッグログを有効にするには、このタブを使用
します。
User Sessions タブ
Policy Tracing タブ
このタブを使用すると、ユーザーが領域にサインインしたときにイベントをトレースし
て、問題のトラブルシューティングを行うことができます。
ポリシートレースファイルの記録
ユーザーが自分のロールで使用を認められている機能にアクセスしたときに問題が発生し
た場合には、このタブを使用します。ポリシートレースファイルに記録されたイベント
が、この問題を診断する際に役立ちます。ユーザーアクセスログは、Events to Log で
チェックしたポリシーについてのみ表示されることに注意してください。
ポリシートレースファイルを作成するには、次の操作を実行します。
350
1.
Web コンソールで、Maintenance > Troubleshooting > User Sessions > Policy
Tracing を選択します。
2.
User フィールドに、トレースする IVE ユーザーの名前を入力します。ユーザー名に
はワイルドカード文字（*）を使用できます。たとえば、ユーザーが匿名サーバーに
サインインしている場合は、IVE がユーザーに割り当てる内部的なユーザー名がわか
りません。そのような場合に、ワイルドカード文字（*）を使用できます。
3.
Realm フィールドで、ユーザーの領域を選択します。この場合、IVE では匿名認証
サーバーに割り当てられる領域を選択できません。
4.
Events to log で、ポリシートレースログファイルに書き込むイベントの種類を選択
します。
Troubleshooting ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
5.
Start Recording をクリックします。記録を開始したら、ユーザーに IVE にサインイン
するように要求します。
6.
View Log をクリックしてログエントリを確認します。
7.
十分な情報を取得したら Stop Recording をクリックします。
8.
ログファイルのメッセージを確認し、予期しない動作が発生した原因を特定します。
問題を特定できない場合は、Save Log As をクリックしてログファイルのコピーを
ネットワーク上に保存します。次に、確認のためファイルを Juniper Networks サポー
トに送信します。
9.
ログファイルの内容をクリアするには、Clear Log をクリックするか、Delete Trace
をクリックしてユーザー名および領域フィールドからデフォルトエントリを削除し
ます。
Simulation タブ
このタブを使用すると、問題を発生させるイベントのシミュレーションが可能になり、問
題のトラブルシューティングを行うことができます。
ユーザーセッションのシミュレーション
ユーザーセッションをシミュレーションするには、次の操作を実行します。
1.
Web コンソールで Maintenance > Troubleshooting > User Sessions> Simulation を
選択します。
2.
Query Name フィールドに、クエリー名を入力します。
3.
Username フィールドに、シミュレーションする IVE ユーザーのユーザー名を入力し
ます。ユーザー名にはワイルドカード文字（*）を使用できます。たとえば、ユー
ザーが匿名サーバーにサインインしている場合は、IVE がユーザーに割り当てる内部
的なユーザー名がわかりません。そのような場合に、ワイルドカード文字（*）を使
用できます。
4.
Realm ドロップダウンメニューから、シミュレーションする IVE ユーザーの領域を
選択します。
5.
IVE が特定タイプのリソースポリシーをユーザーのセッションに適用するかどうかを
判別するには、Resource フィールドにシミュレーションしたい特定のリソースを入
力して、Resource ドロップダウンリストからポリシータイプを選択します。次に以
下の操作を実行します。

ユーザーが IVE に正常にサインインしたかどうかを判別するには、
Pre-Authentication チェックボックスをオンにします。

ユーザーが特定のロールに正常にマップされたかどうかを判別するには、Role
Mapping チェックボックスを選択します。このオプションは、ロールマッピン
グの結果がシミュレーションログに記録されるかどうかは制御しますが、IVE が
ロールマッピング規則を実行するかどうかは制御しないことに注意してくださ
い。このチェックボックスを選択しなくても、IVE は常にロールマッピング規則
を実行します。

Events to Log セッションのチェックボックスを使用して、ログに記録するポリ
シータイプを指定します。
Troubleshooting ページの設定

351
Juniper Networks NetScreen Secure Access 700 管理ガイド
たとえば、ユーザーが Yahoo Web サイトにアクセスできるかどうかをテストする場
合は、Resource フィールドに “http://www.yahoo.com” と入力し、ドロップダウンリ
ストから Web を選択します。次に、Events to Log セクションの Access チェック
ボックスを選択します。
6.
Variables セクションで、問題が発生した実際のユーザーセッションと全く同じ値を
反映するように、テキストと変数を組み合わせてカスタム式を作成します。たとえ
ば、ユーザーが午前 6:00 に IVE にサインインするセッションを作成する場合は、
Variables フィールドに “time = 06:00 AM” と入力します。カスタム式の作成方法の
詳細は、367 ページの「カスタム式の記述」を参照してください。また、Variables
Dictionary の横にある矢印をクリックすると、指定した変数の構文が表示されます。
メモ : 仮想ユーザーの IP アドレスを含んだカスタム式を作成できない場合は、IVE は現
在の IP アドレスを代わりに使用します。また、ロール変数を使用して仮想ユーザーの
ロールを指定すると（たとえば、ロール = “Users” ）、IVE はロールマッピング規則の
結果を無視し、指定したロールには仮想ユーザーが割り当てられることに注意してくだ
さい。
7.
8.
以下のオプションのいずれかを選択します。

Run Simulation －指定したシミュレーションを実行し、画面上にログファイル
を表示します。

Save Query －クエリーを保存します。

Save Query and Run Simulation －指定したシミュレーションを実行し、後で使
用するためにそのシミュレーションを保存します。
シミュレーションの実行後に、Save Log As を選択してシミュレーションの結果をテ
キストファイルに保存します。
Session Recording タブ
IVE により適切に表示されない Web サイトを閲覧する場合や、IVE により予定した動作を
行わないクライアント / サーバーアプリケーションに接続する場合に、ユーザーのアク
ションをリストするトレースファイルを記録するには、このタブを使用します。
デバッグ用のトレースファイルの記録
トレースファイルを記録するには、次の操作を実行します。
352
1.
Web コンソールで、Maintenance > Troubleshooting > Session Recording を選択し
ます。
2.
セッションを記録したいユーザーのユーザー名を入力します。
3.
ユーザーの Web セッションを記録するには、Web (DSRecord) チェックボックスを選
択します。次に問題の Web サイトのキャッシュされた内容を無視する場合は、
Ignore browser cache チェックボックスを選択します。これにより、IVE はトレース
ファイルに記録しません（オプション）。
4.
Java Communication Protocol および Network Communication Protocol クライアント /
サーバーアプリケーションセッションを記録するには、Client/Server (JCP+NCP)
チェックボックスを選択します（オプション）。
5.
Start Recording をクリックします。IVE はユーザーをサインアウトさせます。
Troubleshooting ページの設定
Juniper Networks NetScreen Secure Access 700 管理ガイド
6.
再びサインインして、問題の Web サイトをブラウズするか、IVE からクライアント /
サーバーアプリケーションに接続するようにユーザーに指示します。
7.
Stop Recording をクリックします。
8.
Current Trace File セクションからトレースファイルをダウンロードします。
9.
a.
DSRecord Log リンクをクリックして Web トレースファイルをダウンロードし
ます。
b.
JCP または NCP Client-Side Log リンクをクリックして、クライアント / サーバー
アプリケーショントレースファイルをダウンロードします。
確認のためにファイルを Juniper Networks サポートに送信します。
10. Delete ボタンを選択して、作成したトレースファイルを削除します（オプション）。
System Snapshot タブ
IVE システム状態のスナップショットを作成するには、このタブを使用します。スナップ
ショットの詳細は、127 ページの「IVE システム状態のスナップショットを作成する」を
参照してください。
IVE システム状態のスナップショットの作成
IVE システム状態のスナップショットを作成するには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Troubleshooting > System Snapshot を選択し
ます。
2.
システム設定情報をスナップショットに含めるには、Include system config チェッ
クボックスを選択します（オプション）。
3.
Debug Log タブで作成したログファイルをシステムスナップショットに含めるには、
Include debug log チェックボックスを選択します。詳細については、356 ページの
「Debug Log タブ」を参照してください。
4.
Take Snapshot をクリックします。
5.
スナップショットの作成が完了したら、Download をクリックして、ネットワーク
マシンにファイルをダウンロードします。
6.
確認のためにファイルを Juniper Networks サポートにメールで送信します。
7.
送信したら、Delete をクリックしてスナップショットを削除します。
メモ : システムのスナップショットはシリアルコンソールからも作成できます。この方
法は、Web コンソールに入ることができず、システム設定を保存する必要がある場合に
役立ちます。詳細については、365 ページの「共通のリカバリタスクの実行」を参照し
てください。
Troubleshooting ページの設定

353
Juniper Networks NetScreen Secure Access 700 管理ガイド
TCP Dump タブ
このタブを使用して、ネットワークパケットヘッダをスニッフィングし、結果を暗号化
された「ダンプ」ファイルに保存します。このファイルをいったんネットワークマシン
にダウンロードして、Juniper Networks サポートにメールで送信します。TCP Dump の使
用方法の詳細については、127 ページの「TCP ダンプファイルを作成する」を参照してく
ださい。
ネットワークパケットヘッダのスニッフィング
ネットワークパケットヘッダをスニッフィングするには、次の操作を実行します。
1.
Web コンソールで、Maintenance > Troubleshooting > TCP Dump を選択します。
2.
ネットワークパケットヘッダのスニッフィングを行う IVE ポートを選択します。
3.
IVE 宛に送信されたパケットのみを対象にスニッフィングするには、Promiscuous
mode をオフにします。
4.
TCPDump Filter Expressions を使用してカスタムフィルタを作成します（オプショ
ン）。このオプションは、生成されるダンプファイルに必要な情報のみが含まれるよ
うにスニッフィングネットワークパケットをフィルタする能力を提供します。例に
ついては、下記の表 21 を参照してください。
5.
Start Sniffing をクリックします。
6.
Stop Sniffing をクリックしてスニッフィングプロセスを停止し、暗号化ファイルを
作成します。
7.
Download をクリックして、ネットワークマシンにファイルをダウンロードします。
8.
確認のためにファイルを Juniper Networks サポートにメールで送信します。
表 21: TCPDump フィルタ式の例
354
Troubleshooting ページの設定
例
結果
tcp port 80
TCP ポート 80 のパケットをスニッフィングし
ます。
port 80
TCP または UDP ポート 80 のパケットをスニッ
フィングします。
ip
IP プロトコルをスニッフィングします。
tcp
IP プロトコルをスニッフィングします。
dst #.#.#.#
指定された送信先 IP アドレスをスニッフィングし
ます。ここで、#.#.#.# は有効な IP アドレスです。
src #.#.#.#
指定された送信元 IP アドレスをスニッフィングし
ます。ここで、#.#.#.# は有効な IP アドレスです。
port 80 または port 443
ポート 80 またはポート 443 をスニッフィングし
ます。
src #.#.#.# および dst #.#.#.#
送信元および送信先 IP アドレスまたは指定された
ホストをスニッフィングします。各 #.#.#.# は有効
な IP アドレスを表示します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 21: TCPDump フィルタ式の例 ( 続き )
例
結果
tcp port 80 または port 443 および dst
#.#.#.# and src #.#.#.#
この例は複数のパラメタを指定して、TCP のポー
ト 80 上、もしくは TCP または UDP のポート 443
上、および送信先と送信元ポート上をスニッフィ
ングするフィルタを作成します。各 #.#.#.# は有効
な IP アドレスを表示します。
TCPDump フィルタ式の詳細については、以下の Web サイトを参照してください。
http://www.tcpdump.org/tcpdump_man.html
Commands タブ
UNIX コマンドを実行して IVE ネットワークの接続をテストするには、このタブを使用し
ます。
ARP、ping、または traceroute コマンドの実行
IVE ネットワークの接続をテストする UNIX コマンドを実行するには、次の操作を実行し
ます。
1.
Web コンソールで、Maintenance > Troubleshooting > Commands を選択します。
2.
Command リストから、実行するコマンドを選択します。
3.
Target Server フィールドに、対象サーバーの IP アドレスを入力します。
4.
他の引数またはオプションを入力します。
5.
OK をクリックして、コマンドを実行します。
NSLookup コマンドの実行
NSLookup を実行してネームサーバーの接続性をテストするには以下を行います。
1.
Web コンソールで、Maintenance > Troubleshooting > Commands を選択します。
2.
Command リストから、NSLookup を選択します。
3.
ドロップダウンメニューから Query Type を選択します。
4.
ホストネーム、IP アドレスといった情報（クエリータイプの選択によって異なる）
をクエリーとして入力します。
5.
DNS サーバーネームまたは IP アドレスを入力します。
6.
他のオプションを入力します。
7.
OK をクリックして、コマンドを実行します。
Troubleshooting ページの設定

355
Juniper Networks NetScreen Secure Access 700 管理ガイド
Remote Debugging タブ
Juniper Networks サポートチームが本番環境で稼動中の IVE でデバッグツールを実行で
きるようにするには、このタブを使用します。
Juniper Networks サポートによるリモートデバッグを可能にする
リモートデバッグを有効にするには、次の操作を実行します。
1.
Juniper Networks サポートに連絡して、リモートデバッグセッションを実行するた
めの条件をセットアップします。
2.
Web コンソールで、Maintenance > Troubleshooting > Remote Debugging を選択
します。
3.
Juniper Networks サポートから取得したデバッグコードを入力します。
4.
Juniper Networks サポートから取得したホスト名を入力します。
5.
Enable Debugging をクリックして、Juniper Networks サポートチームが IVE にアク
セスできるように設定します。
6.
IVE へのアクセスが可能になったことを Juniper Networks サポートに連絡します。
7.
Juniper Networks サポートからリモートデバッグセッションが終了したという通知
を受け取ったら、Disable Debugging をクリックします。
Debug Log タブ
Juniper Networks サポートに送信するデバッグログを作成するには、Debug Log タブを使
用します。
デバッグログを有効にする
デバッグログを有効にするには、次の操作を実行します。
356
1.
Web コンソールで、Maintenance > Troubleshooting > Debug Log を選択します。
2.
Debug Logging On チェックボックスを選択します。
3.
Juniper Networks サポートから指定されたログサイズ、詳細レベル、およびイベント
コードを入力します。
4.
Maintenance > Troubleshooting > System Snapshot タブを選択します。
5.
Include debug log チェックボックスにチェックを入れます。
6.
Take snapshot をクリックすると、デバッグログを含むファイルが作成されます。
7.
Download をクリックします。
8.
E メールメッセージにスナップショットファイルを添付して、Juniper Networks サ
ポートに送信します。
Troubleshooting ページの設定
第4部
追補情報
このセクションには、IVE の設定についての追加情報が含まれます。
目次

359 ページの「IVE シリアルコンソールの使用」

367 ページの「カスタム式の記述」

387 ページの「クライアントサイドのアプリケーションインストール」

397 ページの「アクセス管理制限の設定」

407 ページの「ユーザーエラーメッセージ」

357
Juniper Networks NetScreen Secure Access 700 管理ガイド
358

付録 A
IVE シリアルコンソールの使用
このセクションでは、IVE アプライアンスのシリアルコンソールに接続し、サポートされ
ているタスクを実行する方法について説明します。次のようなトピックがあります。

359 ページの「IVE アプライアンスのシリアルコンソールへの接続」

360 ページの「直前のシステム状態へのロールバック」

362 ページの「IVE アプライアンスを出荷時設定に戻す」

365 ページの「共通のリカバリタスクの実行」
IVE アプライアンスのシリアルコンソールへの接続
IVE アプライアンスのシリアルコンソールを通じて作業を行うには、その前にターミナル
コンソールまたはラップトップを接続する必要があります。
IVE アプライアンスのシリアルコンソールに接続するには、次の操作を実行します。
1.
コンソールターミナルまたはラップトップのヌルモデムクロスオーバーケーブルを
IVE アプライアンスに差し込みます。このケーブルは製品に同梱されています。スト
レートシリアルケーブルは使用しないでください。
2.
HyperTerminal などのターミナルエミュレーションユーティリティを、以下のシリ
アル接続パラメータを使用するように設定します。
3.

9600 ビット / 秒

8 ビット、パリティなし（8N1）

1 ストップビット

フロー制御なし
IVE シリアルコンソールが表示されるまで、Enter キーを押します。
IVE アプライアンスのシリアルコンソールへの接続

359
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 35: IVE シリアルコンソール
直前のシステム状態へのロールバック
IVE には、現在のシステム設定情報と以前の状態のシステム設定情報が格納されてい
ます。
メモ : Web コンソールを通じて直前のシステム状態にロールバックすることもできま
す。詳細については、334 ページの「Juniper ソフトウェアサービスパッケージのイン
ストール」を参照してください。
Web コンソールによる前のシステム状態へのロールバック
サーバーパッケージをアップグレードした後で以前の状態に戻すには、次の手順を実行
することをお勧めします。
360
1.
目的の状態データが格納されているエクスポート済みのシステム構成ファイルとユー
ザー構成ファイルを探します。（この手順は、Web コンソールの Maintenance >
Import/Export メニューでファイルをエクスポートし、システムとユーザーデータを
バックアップしておくことを前提とします）
2.
Juniper サポートサイトから目的の IVE OS サービスパッケージをダウンロードしま
す。http://www.juniper.net/support/
3.
Web コンソールの Maintenance > System > Upgrade/Downgrade メニューから、選
択した IVE OS サービスパッケージをインポートします。
4.
ステップ 1 で指定したシステム構成ファイルとユーザー構成ファイルをインポート
します。
直前のシステム状態へのロールバック
Juniper Networks NetScreen Secure Access 700 管理ガイド
シリアルコンソールによる前のシステム状態へのロールバック
Web コンソールにアクセスできない場合は、シリアルコンソールに接続してシステムの
ロールバックを実行し、以前のシステム状態を復元してください。
メモ : まだ IVE OS サービスパッケージのアップグレードを実行していない場合には、
ロールバック先の状態が存在しないため、このオプションは選択できません。以前に
IVE OS サービスパッケージのアップグレードを実行した場合には、すべてのシステム
およびユーザーアップグレード後に作成された設定データは、システムをロールバック
する前に最新の構成ファイルをエクスポートして、そのあとインポートします。
直前の IVE OS サービスパッケージにロールバックするには、次の操作を実行します。
1.
IVE アプライアンスのシリアルコンソールに接続します。手順については、359
ページの「IVE アプライアンスのシリアルコンソールへの接続」を参照してくだ
さい。
2.
ブラウザのウィンドウで、Web コンソールにサインインします。
3.
Maintenance > System > Platform を選択します。
4.
Reboot Now をクリックして、コンソールユーティリティウィンドウに戻りま
す。ウィンドウに、システムが再起動中であることを知らせるメッセージが表示
されます。
5.
数分後に、Tab キーを押してオプションを選択するように求められます。Tab キーを
押し、設定をロードするように指示されたら、“rollback” と入力して Enter キーを押
します。
図 36: IVE シリアルコンソール
Maintenance > System > Platform ページで Reboot Now をクリックすると、サーバー
のロールバックステータスが画面に出力され、これが完了すると Return （Enter）キー
を押して、システム設定を変更するようにメッセージで指示が出ます。これにより最初の
セットアップオプションに戻れます。データの入力が済んだら、ユーティリティウィン
ドウを閉じます。
直前のシステム状態へのロールバック

361
Juniper Networks NetScreen Secure Access 700 管理ガイド
メモ : 5 秒以内に入力しないと、現在のシステム設定が自動的にロードされます。この
場合には、Web コンソールに戻り、Reboot Now をクリックして、この手順をやり直す
必要があります。すでにシステムのロールバックが済んでいる場合、再び IVE OS サービ
スパッケージのアップグレードを実行するまでは、ロールバックオプションは選択で
きません。
IVE アプライアンスを出荷時設定に戻す
ごくまれに、IVE アプライアンスを出荷時の状態に戻す必要が生じる場合があります。こ
の高度なシステムリカバリオプションを実行する前に、Juniper
（http://www.juniper.net/support/) までご連絡ください。）可能であれば、出荷時リセッ
トを実行する前に、最新のシステム設定データとユーザー設定データをエクスポートして
ください。
出荷時リセットを行うには、次の操作を実行します。
1.
シリアルコンソールに接続します。手順については、359 ページの「IVE アプライア
ンスのシリアルコンソールへの接続」を参照してください。
2.
ブラウザのウィンドウで、Web コンソールにサインインします。
3.
Maintenance > System > Platform を選択します。
4.
Reboot IVE をクリックして、コンソールユーティリティウィンドウに戻りま
す。ウィンドウに、システムが再起動中であることを知らせるメッセージが表示
されます。
5.
数分後に、Tab キーを押してオプションを選択するように求められます。Tab キーを
押し、設定をロードするように指示されたら、“factory-reset” と入力して Enter キー
を押します。
図 37: Maintenance > System > Platform ページで Reboot IVE をクリックした後の IVE
362
IVE アプライアンスを出荷時設定に戻す
Juniper Networks NetScreen Secure Access 700 管理ガイド
シリアルコンソール
メモ : 5 秒以内に入力しないと、現在のシステム設定が自動的にロードされます。この
場合には、Web コンソールに戻り、Reboot Now をクリックして、この手順をやり直す
必要があります。
6.
出荷時リセットを実行するかどうか確認を求められたら、“proceed” と入力して
Enter キーを押します。
図 38: 出荷時リセットを選択した後の IVE シリアルコンソール
コンピュータを元の設定にリセットするプロセスが開始され、複数のデータ画面が表
示されます。数分後に、Tab キーを押して設定を選択するように求められます。
IVE アプライアンスを出荷時設定に戻す

363
Juniper Networks NetScreen Secure Access 700 管理ガイド
図 39: 出荷時リセットを実行した後の IVE シリアルコンソール
7.
Tab キーを押すように求められたら、次のいずれかの操作を実行します。

デフォルトの選択（current）が自動的に開始されるまで待ちます。または

Tab キーを押して、“current” と入力し、Enter キーを押します。
コンピュータの初期設定を入力するよう求められます。以降の手順の詳細について
は、製品に付属の Getting Started Guide を参照してください。このガイドは、Juniper
サポートサイト（http://www.juniper.net/support/）からも PDF 形式でダウンロー
ドできます。
初期化プロセスが完了したら、最新の IVE OS サービスパッケージにアップグレード
し、保存してあるシステム構成ファイルとユーザー構成ファイルをインポートすれ
ば、以前の作業環境を復元することができます。
メモ : 初期設定中や工場出荷時のリセット中に IVE でエラーが発生する場合がありま
す。IVE がサービスを開始する前に、最大 120 秒間ネットワークポートをモニターしま
す。IVE はリンクのステータスを確認し、デフォルトのゲートウェイで ARPing を実行し
ます。問題がある場合には、5 秒後に IVE がシリアルコンソールで NIC:..... で始まる
メッセージを表示します。リンクが 120 秒以内に回復する場合には、起動プロセスが続
行します。リンクが回復しない場合には、次のメッセージが表示されます。
Internal NIC: ................[Down code=0x1]
2 つのコードが表示されます。

0x1 は、NIC がレポートしたインターフェースリンクステータスが続行しているこ
とを意味します（たとえば、ケーブルの接続が切れたか、ケーブルが間違ったポー
トにある）。

364
0x2 はゲートウェイにアクセスできないことを意味します。IVE は再起動しますが、
そのネットワークポートに関連付けられた IP アドレスからはアクセスできません。
IVE アプライアンスを出荷時設定に戻す
Juniper Networks NetScreen Secure Access 700 管理ガイド
共通のリカバリタスクの実行
IVE 管理者ユーザー名またはパスワード（あるいはその両方）を忘れた場合、設定エラー
のためにコンピュータからロックアウトされた場合、または IVE アプライアンスの IP ア
ドレスを変更したためにコンピュータにアクセスできなくなった場合には、シリアルコ
ンソールを通じてコンピュータ設定を変更できます。359 ページの「IVE アプライアンス
のシリアルコンソールへの接続」の説明に従って手順を実行し、適切な設定タスクを選択
してください。

Network Settings and Tools －標準ネットワーク設定の変更、ルーティングテーブル
の印刷、ARP キャッシュの印刷またはクリア、他のサーバーへの ping 送信、サー
バーまでのルートのトレース、静的なルートの削除、ARP エントリの追加などを実
行できます。

Create admin username and password －新規のスーパー管理者アカウントを作成す
ることができます。

Display log －システム設定、ユーザーログ、管理者アクセスログを、シリアルコン
ソールから表示できるようにします。ログを表示した後にシリアルコンソールオプ
ションに戻るには “q” と入力する必要があります。

System Operations － Web コンソールを使用せずに IVE アプライアンスをリブート、
シャットダウン、再起動、ロールバック、工場出荷時リセットすることができます。

Toggle password protection for the console －シリアルコンソールをパスワード保護
することができます。このオプションを “on” に切り替えると、スーパー管理者だけ
にアクセスが許可されます。

Create a Super Admin session －すべての管理者へのアクセスをブロックするように
IVE アプライアンスを設定した場合でも、Web コンソールに対するリカバリセッ
ションを作成できるようにします。このオプションを選択すると、アプライアンスは
3 分間有効な一時トークンを生成します。次の URL をブラウザのウィンドウに入力し
ます。https://<ive-host>/dana-na/auth/recover.cgi. プロンプトが表示されたら、
Web コンソールにサインインするための一時トークンを入力します。
メモ : このオプションを選択すると、指定された URL にサインインし、トークンを使用
してセッションを開始するまで、IVE アプライアンスは他の管理者による Web コンソー
ルへのサインインをブロックします。アプライアンスがほかの管理者のサインインをブ
ロックするため、IVE で設定上の問題が発生している場合は、別のセッションと競合す
ることなく修復できます。

System Snapshot－Web コンソールを使用せずにシステムスナップショットをとるこ
とができます。このオプションを選択すると、IVE はすぐにスナップショットをとる
ことができます。これで、SCP を経由してスナップショットファイルをリモートシ
ステムに送信することができます。システムは、送信先のサーバーポート、ユーザー
ID、パスワード、リモートディレクトリへの送信先パスを要求します。
メモ : リモートシステムにスナップショットファイルを送信しないことを選択した場
合、IVE はファイルをローカルに保存します。次回 Web コンソールにログインすると、
System Snapshot タブにはスナップショットファイルへのリンクが入っています。Web
コンソールからスナップショットをとる方法については、353 ページの「System
Snapshot タブ」を参照します。
共通のリカバリタスクの実行

365
Juniper Networks NetScreen Secure Access 700 管理ガイド
366
共通のリカバリタスクの実行
付録 B
カスタム式の記述
このセクションは次のトピックから成ります。

367 ページの「カスタム式」

371 ページの「システム変数とその例」
カスタム式
IVE では、ロールマッピング規則、リソースポリシーおよびログフィルタクエリー内で
の評価に使用可能なカスタム式を記述できます。カスタム式とは、ブール型オブジェクト
として、IVE によって true、false、error のいずれかに演算される変数の組み合わせです。
カスタム式を使用することによりポリシー検証およびログクエリーに複雑な式を指定で
きるようになり、より優れたリソースアクセスコントロール管理が可能になります。
カスタム式は、以下のフォーマットで記述できます。
variable comparisonOperator variable
variable comparisonOperator simpleValue
variable comparisonOperator (simpleValue)
variable comparisonOperator (ORValues)
variable comparisonOperator (ANDValues)
variable comparisonOperator (time TO time)
variable comparisonOperator (day TO day)
isEmpty (variable)
isUnknown (variable)
(customExpr)
NOT customExpr
! customExpr
customExpr OR customExpr
customExpr || customExpr
customExpr AND customExpr
customExpr && customExpr
カスタム式

367
Juniper Networks NetScreen Secure Access 700 管理ガイド
これらのカスタム式で使用されるエレメントについては次の表で説明します。
表 22: カスタム式のエレメント
variable
システム変数を表します。変数名はドットで区切られる文字列であり、
各コンポーネントには [a-z A-Z 0-9_ ] のセットからの文字が含まれますが、
[0-9] の数字から始めることはできません。変数名では大文字と小文字が区別さ
れます。ロールマッピング規則およびリソースポリシーで使用可能なシステム
変数については、371 ページの「システム変数とその例」を参照してください。
カスタム式をログクエリーフィールドで記述する場合は、システムログ変数を
使用する必要があります。これらの変数は、Filter ページの Filter Variables
Dictionary で説明されています（System > Log/Monitoring > Events | User
Access | Admin Access > Filters タブ）。
変数に対する構文の引用
IVE は、ユーザー属性名に "."（ピリオド）以外の文字を使用できるカスタム式
変数用の引用構文をサポートしています。属性名の中で文字をエスケープするに
は、{ }（中括弧）を使用して変数名の一部または全体を囲みます。たとえば、
次の式は等価です。
userAttr.{Login-Name} = 'xyz'
userAttr.Login{-}Name = 'xyz'
{userAttr.Login-Name} = 'xyz'
userA{ttr.L}{ogin-}Name = 'xyz'
引用符内でサポートされているエスケープ文字：
\\
\（バックスラッシュ）
\{
{（左中括弧）
\}
}（右中括弧）
\hh
16 進数値。hh は [0-9A-Fa-f] 内の
2 文字
例：
userAttr.{Tree Frog} = 'kermit'
userAttr.{Tree\20Frog} = 'kermit'
注意：
変数名の中で使用できる引用符の数に制限はありません。
userAttr.* 変数に限らず、どの変数にも引用構文を使用できます。
カスタム式を記述するときに限り、中括弧を使用する必要があります。
comparisonOperator
368
カスタム式
は以下のいずれかです。
=
等しい―文字列、数値、DN で使用し
ます。
!=
等しくない―文字列、数値、DN で使用
します。
<
より小さい ―数値で使用します。
<=
以下―数値で使用します。
>
より大きい ― 数値で使用します。
>=
以上―数値で使用します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 22: カスタム式のエレメント ( 続き )
simpleValue
は以下のいずれかです。
文字列 ― ワイルドカードを含む引用符で囲まれた文字列
IP アドレス ― a.b.c.d
サブネット ― a.b.c.d/subnetBitCount または a.b.c.d/netmask
数 ― 正または負の整数
曜日 ― SUN MON TUE WED THU FRI SAT
文字列についての注意：
文字列には、<nl> （新規行）および <cr> （キャリッジリターン）以外の
すべての文字を含めることができます。
文字列の長さは任意です。
文字列の比較では、大文字と小文字が区別されます。
文字列は、一重引用符または二重引用符で囲むことができます。引用符で囲ま
れた文字列には、アスタリスク（*）、クエスチョンマーク（?）およびスクエ
アブラケット（[ ]）を含むワイルドカードを使用できます。370 ページの「ワ
イルドカードマッチング」を参照してください。
variable comparisonOperator の比較式では、ワイルドカードマッチングを含ま
ない評価を行います。
以下の文字をエスケープするには、バックスラッシュを使用します。
一重引用符（'）― \'
二重引用符（"）― \"
バックスラッシュ（\）― \\
16 進数表記 ― \hh [0-9a-fA-F]
曜日についての注意 :
日付と時刻の比較は、IVE のタイムゾーンで行われます。デイレンジ（day TO
day）の演算では、最初の日付から開始され次の日付になるまで行われます。タ
イムレンジ（time TO time）の演算では、最初の値は次の値より時間的に早くな
ければなりません。日付および時刻の値と比較できるには時刻の変数だけです。
時刻の変数には以下のものが含まれます。time.* および loginTime.*
time
以下のいずれかの形式で表す時刻です。
HH:MM ― 24 時間制
HH:MMam ― 12 時間制
HH:MMpm ― 12 時間制
H:MM ― 24 時間制
H:MMam ― 12 時間制
H:MMpm ― 12 時間制
日付と時刻の比較は、IVE のタイムゾーンで行われます。デイレンジ（day TO
day）の演算では、最初の日付から開始され次の日付になるまで行われます。タ
イムレンジ（time TO time）の演算では、最初の値は次の値より時間的に早くな
ければなりません。日付および時刻の値と比較できるには時刻の変数だけです。
時刻の変数には以下のものが含まれます。time.* および loginTime.*
ORValue
1 つまたは複数の OR 演算を含む文字列です。
variable comparisonOperator (number OR number ...)
variable comparisonOperator (string OR string ...)
ANDValue
1 つまたは複数の AND 演算を含む文字列です。
variable comparisonOperator (number AND number ...)
variable comparisonOperator (string AND string ...)
カスタム式

369
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 22: カスタム式のエレメント ( 続き )
単一の変数名（variable）を引数とし、ブール値を返す関数です。isEmpty() は、
変数が未知の場合や空白値、空白文字列および空のリストを含む場合に true を
返します。
isEmpty
例 : isEmpty(userAttr.terminationDate)
単一の変数名（variable）を引数とし、ブール値を返す関数です。isUnknown()
は、変数が定義されていない場合に true を返します。ユーザー属性（userAttr.*）
は、属性が LDAP で定義されていない場合や属性を参照できない場合（LDAP
サーバーが停止しているなどの場合）は未知の属性として処理されます。
isUnknown
例：isUnknown(userAttr.bonusProgram)
NOT, !
論理否定の比較演算子です。否定演算式では、customExpr が false のときに
true、true のときに false が返されます。演算子 NOT、AND および OR は優先順
位の高いものから実行されます。優先順位は以下のとおりです。NOT （右か
ら）
、AND （左から）、OR （左から）。
OR, ||
論理演算子 OR または || です。これらは同じ意味を表します。演算子 NOT、AND
および OR は優先順位の高いものから実行されます。優先順位は以下のとおりで
す。NOT （右から）、AND （左から）
、OR （左から）。
論理演算子 AND または && です。演算子 NOT、AND および OR は優先順位の高
いものから実行されます。優先順位は以下のとおりです。NOT （右から）、AND
（左から）、OR （左から）
。
AND, &&
カスタム式の構文（上記を参照）で記述された式です。
customExpr
ワイルドカードマッチング
引用符で囲んだ文字列内には、ワイルドカードを使用できます。以下のワイルドカードが
サポートされています。

アスタリスク（*）― アスタリスクは、空白文字または任意の数の文字の代わりに使
用します。

疑問符（?）―疑問符は任意の 1 文字と一致します。

スクエアブラケット（[ ]）―ブラケット間で指定された文字範囲に当てはまる 1 文
字の代わりに使用します。ダッシュ（-）で区切られた 2 文字は、指定された範囲内
で、辞書表記的にその間に入る 2 文字の代わりに使用します。たとえば、'dept[0-9]'
は、"dept0" 、"dept1" から "dept9" までの文字列とマッチします。
ワイルドカードをエスケープするには、スクエアブラケット内にワイルドカードを配置
します。たとえば、式を ' userAttr.x = "value*" ' とすると、属性 x が実際に "value[*]" で
ある場合は true であると評価されます。
DN 変数
識別名（DN）を別の DN や文字列と比較できます。ただし、ワイルドカードやスペース、
大文字小文字の区別は無視されます。ただし、IVE は DN キーの順番を考慮に入れます。
IVE が DN への式を文字列と比較する場合、式を評価する前に文字列を識別名に変換しま
す。IVE が文字列を変換できない場合には、比較は実行されません。DN 変数には以下のも
のが含まれます。
370
カスタム式

userDN

certDN

certIssuerDN
Juniper Networks NetScreen Secure Access 700 管理ガイド
システム変数とその例
以下の表は、システム変数をリストアップして説明し、システム変数の例をそれぞれ示し
ます。さらにシステム変数を使用するべき場所を指示します。
メモ : このリストには、フィルタクエリーまたはシステムログ用のエクスポート
フォーマットで使用される変数は含まれていません。
表 23: システム変数とその例
変数
説明
例
authMethod
ユーザー認証のために使用される認証方法の
タイプ
authMethod = ‘CE Server’
cacheCleanerStatus
Cache Cleaner の状態。使用できる値：
cacheCleanerStatus = 1
以下で利用可能です。
1 －実行中の場合
cacheCleanerStatus = 0
ロールマッピング規則
0 －その他の場合
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
リソースポリシー規則
certAttr.<cert-attr>
以下で利用可能です。
クライアントサイド証明書の属性。certAttr 属 certAttr.OU = 'Retail Products Group'
性の例には次のようなものがあります。
ロールマッピング規則
C－国
リソースポリシー規則
CN －通称
LDAP 設定
description －説明
SSO パラメータフィールド
emailAddress － E メールアドレス
GN －名（姓に対する）
initials －イニシャル
L －地域名
O －組織
OU －組織単位
SN －姓
serialNumber - シリアル番号
ST －州または県
title －タイトル
UI －固有の識別子
この変数を使用して、指定された値を持つク
ライアントサイド証明書がユーザーのクライ
アントコンピュータにあるかどうかチェック
します。
システム変数とその例

371
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 23: システム変数とその例 ( 続き )
変数
説明
certAttr.altName.<Alt-attr>
クライアントサイド証明書の代替サブジェク certAttr.altName.email =
ト名。ここで、<Alt-attr> は以下のいずれか "[email protected]"
になります。
certAttr.altName.dirNameText =
.Email
"cn=joe, ou=company, o=com"
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
LDAP 設定
SSO パラメータフィールド
.dirNameText
.DNS
例
certAttr.altName.ipAddress =
10.10.83.2
.URI
.ipAddress
.registeredId
certAttr.serialNumber
クライアント証明書のシリアル番号。
以下で利用可能です。
[0-9 a-f A-F] 以外の文字列は certAttr.SN との
比較を実行する前にすべて除外されます。
ワイルドカードはサポートされません。
ロールマッピング規則
リソースポリシー規則
certAttr.SerialNumber =
userAttr.certSerial
certAttr.SerialNumber =
"6f:05:45:ab"
LDAP 設定
SSO パラメータフィールド
certDN
以下で利用可能です。
ロールマッピング規則
クライアント証明書のサブジェクト（認証
対象）DN。ワイルドカードは許可されてい
ません。
リソースポリシー規則
certDN = 'cn=John
Harding,ou=eng,c=Company'
certDN = userDN （LDAP ユーザー
DN をもつ証明書のサブジェクトに
一致します）
certDN = userAttr.x509SubjectName
certDN = ('cn=John
Harding,ou=eng,c=Company' また
は 'cn=Julia
Yount,ou=eng,c=Company')
certDN.<subject-attr>
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
LDAP 設定
クライアント証明書のサブジェクト DN の任
意の変数。ここで、subject-attr は RDN キー
の名前になります。
標準 x.509 形式の証明書のさまざまなサブ
ジェクト DN 属性をテストする際に使用しま
す。
certDN.OU = 'company'
certDN.E = '[email protected]'
certDN.ST = 'CA'
SSO パラメータフィールド
certDNText
以下で利用可能です。
ロールマッピング規則
文字列として格納されているクライアント証 certDNText = 'cn=John
明書のユーザー DN。この値との文字列の比較 Harding,ou=eng,c=Company'
のみ許可されます。
リソースポリシー規則
SSO パラメータフィールド
certIssuerDN
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
372
システム変数とその例
certIssuerDN = 'cn=John
クライアント証明書発行者の DN。この変数
は、CertDN などの標準的な DN 属性と同様に Harding,ou=eng,c=Company'
機能します。ワイルドカードは許可されてい certIssuerDN = userAttr.x509Issuer
ません。
certIssuerDN =
('ou=eng,c=Company' または
'ou=operations,c=Company')
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 23: システム変数とその例 ( 続き )
変数
説明
例
certIssuerDN.<issuer-attr>
クライアント証明書発行者の DN の任意の変
数。ここで、issuer-attr は RDN キーの名前に
なります。
certIssuerDN.OU = 'company'
以下で利用可能です。
ロールマッピング規則
certIssuerDN.ST = 'CA'
リソースポリシー規則
SSO パラメータフィールド
certIssuerDNText
以下で利用可能です。
ロールマッピング規則
文字列として格納されているクライアント証 certIssuerDNText = 'cn=John
明書発行者の DN。この値との文字列の比較の Harding,ou=eng,c=Company'
み許可されます。
リソースポリシー規則
SSO パラメータフィールド
group.<group-name>
以下で利用可能です。
ロールマッピング規則
領域認証またはディレクトリサーバーによっ group.preferredPartner
て提供されるユーザーのグループメンバー
group.goldPartner または
シップ。
group.silverPartner
group.employees and time.month =
9
リソースポリシー規則
注意：ロールマッピング規則で評
価されるグループのみは、リソース
ポリシー内の詳細な規則（条件）で
利用できます。group.<groupname> ではなく、groups 変数を使
用することをお勧めします。
group.group-name は下位互換性のた
めだけにサポートされています。
組み合わせ例 :
月曜日から金曜日まではすべてのア
クティブなパートナを許可し、月曜
日から土曜日までは優先パートナを
許可する場合には、以下のようにし
ます。
((group.partners and time = (Mon ～
Fri)) または
(group.preferredPartners and time =
(Mon ～ Sat))) および
userAttr.partnerStatus = 'active'
注意： group.sales managers のよ
うなスペースはサポートされてい
ません。
groups
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
領域認証またはディレクトリサーバーによっ groups=('sales managers')
て提供されるグループのリスト。
注意：ワイルドカード文字はサポートされて
いませんが、グループ名に任意の文字を入力
することができます。
SSO パラメータフィールド
hostCheckerPolicy
以下で利用可能です。
ロールマッピング規則
クライアントに要求する Host Checker のポリ hostCheckerPolicy = ('Norton' およ
シーです。
び 'Sygate') および
cacheCleanerStatus = 1
リソースポリシー規則
SSO パラメータフィールド
システム変数とその例

373
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 23: システム変数とその例 ( 続き )
変数
説明
例
loginHost
IVE に接続するために使用されるブラウザの
ホスト名または IP アドレスです。
loginHost = 10.10.10.10
ユーザーが IVE に証明書を送信する時刻で
す。時間は IVE のタイムゾーンに基づいてい
ます。
loginTime = (8:00am ～ 5:00pm)
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
LDAP 設定
SSO パラメータフィールド
loginTime
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
SSO パラメータフィールド
loginTime.day
以下で利用可能です。
ロールマッピング規則
loginTime= (Mon ～ Fri)
注意：この変数を SSO パラメータフィール
ドで使用した場合、UNIX 時間の文字列が返
されます。
ユーザーが IVE に証明書を送信する日付を示
す 1 ～ 31 の数値です。時間は IVE の時間に
基づいています。
loginTime.day = 3
リソースポリシー規則
loginTime.dayOfWeek
以下で利用可能です。
ロールマッピング規則
ユーザーが IVE に証明書を送信する曜日を示 loginTime.dayOfWeek = (0 または 6)
す [0-6] の数値です。ここで、0 は日曜日を意 loginTime.dayOfWeek = (1 から 5)
味します。
loginTime.dayOfWeek = 5
リソースポリシー規則
loginTime.dayOfYear
以下で利用可能です。
ユーザーが IVE へ証明書を送信する日を示す
[0-365] の数値です。
loginTime.dayOfYear = 100
ロールマッピング規則
リソースポリシー規則
loginTime.month
以下で利用可能です。
ロールマッピング規則
ユーザーが IVE へ証明書を送信する年で、[1- loginTime.month >= 4 および
loginTime.month <=9
12] に設定できます。
ここで 1 = 1 月です。
リソースポリシー規則
loginTime.year
以下で利用可能です。
ユーザーが IVE へ証明書を送信する年で、
[1900-2999] に設定できます。
loginTime.year = 2005
ロールマッピング規則
リソースポリシー規則
loginURL
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
LDAP 設定
SSO パラメータフィールド
374
システム変数とその例
ユーザーが IVE にサインインするためにアク loginURL = */admin
セスしたページの URL です。IVE はこの値
を、Web コンソールの System >
Signing In > Sign-in Policies ページの
Administrator URLs/User URLs 列から取得しま
す。
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 23: システム変数とその例 ( 続き )
変数
説明
networkIf
ユーザーの要求を受信するネットワークイン sourceIp = 192.168.1.0/24 および
ターフェースです。使用できる値：internal、 networkIf = internal
external
以下で利用可能です。
ロールマッピング規則
例
リソースポリシー規則
SSO パラメータフィールド
ntdomain
以下で利用可能です。
NT4 および Active Directory 認証で使用される ntdomain = jnpr
NetBIOS NT ドメインです。
ロールマッピング規則
SSO パラメータフィールド
ntuser
以下で利用可能です。
Active Directory 認証で使用される NT ユー
ザー名です。
ntuser = jdoe
ロールマッピング規則
SSO パラメータフィールド
password
password[1]
password[2]
1 次認証サーバー（password と password[1]） password = A1defo2z
または 2 次認証サーバー（password[2]）用に
ユーザーが入力するパスワードです。
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
SSO パラメータフィールド
realm
以下で利用可能です。
ユーザーがサインインする先の認証領域の名
前です。
Realm = ('GoldPartners' または
'SilverPartners')
ロールマッピング規則
リソースポリシー規則
SSO パラメータフィールド
role
以下で利用可能です。
リソースポリシー規則
SSO パラメータフィールド
sourceIP
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
SSO パラメータフィールド
注意 : ユーザーはセッション内の単
一領域でのみサインインを許可され
るため、AND 演算を使用した条件は
評価されません。
セッションのすべてのユーザーロールのリス Role = ('sales' および 'engineering')
ト。
Role = ('Sales' および 'Support')
SSO では、すべてのロールをバックエンドア
プリケーションに送信する場合には、<role
sep = ";"> を使用します。ここで、sep は複
数の変数の区切り文字列を意味します。IVE
はおよび > 以外のすべての区切り文字をサ
ポートしています。
ユーザーを認証するコンピュータの IP アドレ sourceIP = 192.168.10.20
ス。ビット数またはネットマスクフォーマッ sourceIP = 192.168.1.0/24 および
ト “255.255.0.0” を使用してネットマスクを networkIf internal
指定できます。
userAttr.dept = ('eng' および 'it') お
よび sourceIP = 10.11.0.0/16
sourceIP = 192.168.10.0/24 (Class C)
は以下と同じです。
sourceIP =
192.168.10.0/255.255.255.0
システム変数とその例

375
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 23: システム変数とその例 ( 続き )
変数
説明
time
ロールマッピング規則またはリソースポリ
time = (9:00am から 5:00pm)
シー規則を評価する時刻です。時刻は 12 時間 time = (09:00 から 17:00)
形式または 24 時間形式で記述できます。
time = (Mon ～ Fri)
以下で利用可能です。
ロールマッピング規則
例
リソースポリシー規則
組み合わせ例 :
エグゼクティブマネージャとそのア
シスタントのアクセスを月曜日から
金曜日まで許可するには、次のよう
にします。
userAttr.employeeType =
('*manager*' または '*assistant*')
および
group.executiveStaff および
time = (Mon ～ Fri)
time.day
以下で利用可能です。
ロールマッピング規則
ユーザーが IVE に証明書を送信する日付を示
す 1 ～ 31 の数値です。時間は IVE の時間に
基づいています。
loginTime.day = 3
リソースポリシー規則
time.dayOfWeek
以下で利用可能です。
ロールマッピング規則
ロールマッピング規則またはリソースポリ
loginTime.dayOfWeek = (0 または 6)
シー規則が評価される曜日を示す dayOfWeek loginTime.dayOfWeek = (1 ～ 5)
は [0-6] の数値です。ここで 0 は日曜日を意味
loginTime.dayOfWeek = 5
します。
リソースポリシー規則
time.dayOfYear
以下で利用可能です。
ロールマッピング規則
ロールマッピング規則またはリソースポリ
シー規則を評価する日です。考えられる値：
1-365。
time.dayOfYear = 100
ロールマッピング規則またはリソースポリ
シー規則を評価する月です。考えられる値：
1-12
time.month >= 9 および
time.month <= 12 および time.year
= 2004
リソースポリシー規則
time.month
以下で利用可能です。
ロールマッピング規則
group.employees and time.month =
9
リソースポリシー規則
time.year
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
376
システム変数とその例
ロールマッピング規則またはリソースポリ
シー規則を評価する年で、[1900-2999] に設
定できます。
time.year = 2005
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 23: システム変数とその例 ( 続き )
変数
説明
例
user
IVE 1 次認証サーバー（user と user[1]）また
は 2 次認証サーバー（user[2]）用のユーザー
名。Active Directory サーバーに対して認証を
行う場合、user/user[1]/user[2] 変数は
domain\username を表します。
user = 'steve'
user[1]
user[2]
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
SSO パラメータフィールド
user = 'domain\\steve'
変数 user と user[1] は同じ意味です。変数
user[2] は、2 次認証サーバーのユーザー証明
書を確認するために使用します。
注意：ユーザー名の一部にドメインを入れる
ときに、ドメインとユーザーの間に 2 つのス
ラッシュを入れる必要があります。例：
user=’ourcompany.net\\joeuser.’
注意：ログイン ID はすべて正規化されてお
り、ユーザー名にドメイン名が付いている
かいないかの区別を解決します。ログイン
は、ドメイン名を付けても付けなくても可
能です。
username
username[1]
username[2]
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
SSO パラメータフィールド
IVE 1 次認証サーバー（username と
username [1]）または 2 次認証サーバー
（username[2]）用のユーザー名。ユーザーが
証明書認証サーバーにサインインする場合、
ユーザーの IVE ユーザー名は CertDN.cn と同
じになります。
username = 'steve' および
time = mon
username = 'steve'
username = 'steve*'
username = ('steve' または
変数 username と username[1] は同じ意味で '*jankowski')
す。変数 user と username は、Active
Directory 使用時には意味が異なりますが、そ
れ以外の場合は、同じ意味です。
注意：ログイン ID はすべて正規化されてお
り、ユーザー名にドメイン名が付いている
かいないかの区別を解決します。ログイン
は、ドメイン名を付けても付けなくても可
能です。
NTUser
Windows NT を使用するときの、ユーザーの
1 次認証サーバー用の IVE ユーザー名。
NTDomain
NTUser で指定されたユーザーのドメイン名。 NTDomain = ‘domain’
userAgent
ブラウザのユーザーエージェント文字列
です。
以下で利用可能です。
NTUser = ‘steve’
ブラウザのユーザーエージェント
文字列です。
ロールマッピング規則
リソースポリシー規則
SSO パラメータフィールド
システム変数とその例

377
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 23: システム変数とその例 ( 続き )
変数
説明
例
userAttr.<auth-attr>
LDAP または RADIUS 認証またはディレク
トリサーバーから検索されるユーザー属
性です。
userAttr.building = ('HQ*' または
'MtView[1-3]')
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
SSO パラメータフィールド
userAttr.dept = ('sales' および 'eng')
userAttr.dept = ('eng' 、'it' または
'custsupport')
userAttr.division = 'sales'
userAttr.employeeType !=
'contractor'
userAttr.salaryGrade > 10
userAttr.salesConfirmed >=
userAttr.salesQuota
否定の例：
userAttr.company != "Acme Inc" ま
たは not group.contractors
not (user = 'guest' または
group.demo)
組み合わせ例 :
エグゼクティブマネージャとそのア
シスタントのアクセスを月曜日から
金曜日まで許可するには、次のよう
にします。
userAttr.employeeType =
('*manager*' または '*assistant*')
および
group.executiveStaff and
time = (Mon ～ Fri)
月曜日から金曜日まではすべてのア
クティブなパートナを許可し、月曜
日から土曜日までは優先パートナを
許可する場合には、以下のようにし
ます。
((group.partners and time = (Mon ～
Fri)) または
(group.preferredPartners および
time = (Mon to Sat))) および
userAttr.partnerStatus = 'active'
378
システム変数とその例
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 23: システム変数とその例 ( 続き )
変数
説明
userDN
LDAP サーバーからのユーザー DN です。ユー userDN = 'cn=John
ザーが LDAP サーバーによって認証される場 Harding,ou=eng,c=Company'
合、この DN は認証サーバーから取得されま userDN = certDN
す。それ以外の場合は、DN は領域のディレ
クトリ / 属性サーバーから取得されます。ワ
イルドカードは許可されていません。
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
userDN.<user-attr>
以下で利用可能です。
例
ユーザー DN の任意の変数。ここで、
user-attr は RDN キーの名前になります。
ユーザー DN の任意の変数。ここ
で、user-attr は RDN キーの名前に
なります。
文字列として格納されているユーザー DN
です。この値との文字列の比較のみ許可さ
れます。
userDNText = 'cn=John
Harding,ou=eng,c=Company'
ロールマッピング規則
リソースポリシー規則
SSO パラメータフィールド
userDNText
以下で利用可能です。
ロールマッピング規則
リソースポリシー規則
SSO パラメータフィールド
サポートされる RADIUS 属性
次の RADIUS 属性は、RADIUS ロールマッピングでサポートされています。詳細は、
FreeRADIUS の Web サイト http://www.freeradius.org/rfc/attributes.html にある説明を
参照してください。（ここの説明は、そこからの引用です）
表 24: RADIUS ロールマッピング属性
属性
説明
ARAP-Challenge-Response
ARAP の Framed-Protocol を使用して Access-Accept
パケットで送信され、ダイアルインクライアントの
チャレンジへの応答が含まれます。
ARAP-Features
ARAP の Framed-Protocol を使用して Access-Accept
パケットで送信されます。NAS が ARP 特徴フラッグ
パケットでユーザーに送信する必要があるパスワー
ド情報を含みます。
ARAP-Password
ARAP の Framed-Protocol を含む Access-Request パ
ケットにあります。1 つの Access-Request または 1
つ以上の EAP-Messages には、User-Password、
CHAP-Password、または ARAP-Password を 1 つだけ
しか含めてはいけません。
ARAP-Security
Access-Challenge パケットで使用する ARAP Security
Module を示します。
ARAP-Security-Data
セキュリティモジュールチャレンジまたは応答を含
み、Access-Challenge および Access-Request パケッ
トにあります。
ARAP-Zone-Access
ユーザー用の ARAP ゾーンリストの使用法を示し
ます。
Access-Accept
ユーザーへのサービスの提供を始めるのに必要な、
具体的な設定情報を提供します。
システム変数とその例

379
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 24: RADIUS ロールマッピング属性
属性
説明
Access-Challenge
ユーザーに、応答が必要なチャレンジを送信するた
め、Code フィールドを 11 （Access-Challenge）に設
定したパケットを送信して、RADIUS サーバーは
Access-Request に応答する必要があります。
Access-Reject
受信した Attributes の値が受け入れ不可能な場合、
RADIUS サーバーは Code フィールドを 3（AccessReject）に設定したパケットを送信する必要があり
ます。
Access-Request
特定の NAS へのユーザーアクセスおよびそのユー
ザーについて要求されている特別なサービスを指定
する情報を提供します。
Accounting-Request
ユーザーに提供されるサービスの会計を提供するた
め使用する情報を提供します。
Accounting-Response
Accounting-Request が受信され、無事記録されたこ
とを確認します。
Acct-Authentic
ユーザーが認証された方法、RADIUS か、NAS 自
体か、他のリモートの認証プロトコルなのかを
示します。
Acct-Delay-Time
クライアントが何秒間この記録の送信を試みたかを
示します。
Acct-Input-Gigawords
このサービスが提供される間に、カウンターが何回
2^32 を折り返したかを示します。
Acct-Input-Octets
現在のセッションの間に、ポートからいくつのオク
タットを受信したかを示します。
Acct-Input-Packets
Framed User に提供されたセッションの間に、ポー
トからいくつのパケットを受信したかを示します。
Acct-Interim-Interval
この特定のセッションでの各一時更新の間の秒数を
示します。
Acct-Link-Count
会計記録を作成する時点での、マルチリンクセッ
ションにおいて存在したリンクの数。
Acct-Multi-Session-Id
ログファイルで関連する複数のセッションをリンク
するのを簡単にするための、他と重複しない
Accounting ID。
Acct-Output-Gigawords
現在のセッションの間に、Acct-Output-Octets カウン
ターが何回 2^32 を折り返したかを示します。
Acct-Output-Octets
現在のセッションの間に、ポートへいくつのオク
タットを送信したかを示します。
Acct-Output-Packets
Framed User へのこのセッションの間に、ポートへ
いくつのパケットを送信したかを示します。
Acct-Session-Id
ログファイルで開始レコードと終了レコードを一致
させるのを簡単にするための、他と重複しない
Accounting ID。
Acct-Session-Time
ユーザーがサービスを受けた秒数を示します。
Acct-Status-Type
380
システム変数とその例
この Accounting-Request がユーザーサービスの開始
（Start）あるいは終了（Stop）のいずれを表すのかを
示します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 24: RADIUS ロールマッピング属性
属性
説明
Acct-Terminate-Cause
セッションの終了方法を示します。
Acct-Tunnel-Connection
トンネルセッションに割り当てられた識別子を示し
ます。
Acct-Tunnel-Packets-Lost
リンクで失われたパケットの数を示します。
CHAP-Challenge
PPP チャレンジハンドシェーク認証プロトコル
（CHAP）ユーザーに、NAS によって送信された
CHAP チャレンジを含んでいます。
CHAP-Password
チャレンジに応じて、PPP チャレンジハンドシェー
ク認証プロトコル（CHAP）ユーザーによって提供
された応答値。
Callback-Id
NAS によって解釈されるため、コールされる場所の
名前。
Callback-Number
コールバックに使用されるダイヤル文字列。
Called-Station-Id
NAS は、DNIS （Dialed Number Identification）また
は類似するテクノロジーを使用して、ユーザーが
コールした電話番号を送信できます。
Calling-Station-Id
NAS は、ANI （Automatic Number Identification）ま
たは類似するテクノロジーを使用して、コールが発
生した電話番号を送信できます。
Class
会計がサポートされている場合、AccountingRequest パケットの一部として、Access-Accept でク
ライアントへサーバーが送信し、次に、変更せずに
クライアントが会計サーバーに送信します。
Configuration-Token
プロキシをベースにした、大きな分散型認証ネット
ワークで使用するため。
Connect-Info
ユーザーの接続の性質を示すために NAS から送信さ
れます。
EAP-Message
EAP プロトコルを理解する必要なしに、NAS が EAP
によってダイヤルインユーザーを認証できるよう
に、Extended Access Protocol [3] パケットをカプセ
ル化します。
Event-Timestamp
1970 年 1 月 1 日 00:00 UTC 以来の秒数で、このイ
ベントが NAS で発生した時刻を記録します。
Filter-Id
このユーザー用のフィルタリスト名。
Framed-AppleTalk-Link
ユーザーへのシリアルリンクに使用される
AppleTalk ネットワーク番号。別の AppleTalk ルータ
になります。
Framed-AppleTalk-Network
ユーザーの AppleTalk ノードを割り当てるため、NAS
が調査できる AppleTalk Network 番号。
Framed-AppleTalk-Zone
このユーザーのために使用される AppleTalk Default
Zone。
Framed-Compression
リンクで使用される圧縮プロトコル。
Framed-IP-Address
ユーザーに設定されるアドレス。
Framed-IP-Netmask
ユーザーがネットワークへのルータであるときに、
ユーザーに設定される IP ネットマスク。
システム変数とその例

381
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 24: RADIUS ロールマッピング属性
属性
説明
Framed-IPv6-Pool
ユーザーの IPv6 プレフィックスを割り当てるために
使用される、割り当てられたプールの名前を含んで
います。
Framed-IPv6-Prefix
ユーザーに設定される IPv6 プレフィックス（および
対応する経路）。
Framed-IPv6-Route
NAS 上のユーザーに設定されるルーティング情報。
Framed-Interface-Id
ユーザーに設定される IPv6 インターフェース
識別子。
Framed-IPX-Network
ユーザーに設定される IPX Network 番号。
Framed-MTU
382
システム変数とその例
（PPP のような）他の手段でネゴシエートされないと
きの、ユーザーに設定される最大伝送単位。
Framed-Pool
ユーザーにアドレスを割り当てるために使用される、
割り当てられたプールの名前。
Framed-Protocol
フレームアクセスに使用されるフレーミング。
Framed-Route
NAS 上のユーザーに設定されるルーティング情報。
Framed-Routing
ユーザーがネットワークへのルータであるときの、
ユーザーのルーティング方法。
Idle-Timeout
セッションまたはプロンプトが終了するまで、ユー
ザーに許可されるアイドル状態の接続の、連続最大
秒数を設定します。
Keep-Alives
キープアライブの代わりに SNMP を使用します。
Login-IP-Host
Login-Service Attribute が含められているとき、ユー
ザーを接続するシステムを示します。
Login-IPv6-Host
Login-Service Attribute が含められているとき、ユー
ザーを接続するシステムを示します。
Login-LAT-Group
このユーザーが使用を認められている LAT グループ
コードを示す文字列を含んでいます。
Login-LAT-Node
ユーザーが LAT によって自動的に接続されるノード
を示します。
Login-LAT-Port
ユーザーが LAT によって接続されるポートを示
します。
Login-LAT-Service
ユーザーが LAT によって接続されるシステムを示し
ます。
Login-Service
ログインホストにユーザーを接続するために利用す
るサービスを示します。
Login-TCP-Port
Login-Service Attribute も存在するとき、ユーザーが
接続される TCP ポートを示します。
MS-ARAP-Challenge
値が 3 （ARAP）の Framed-Protocol Attribute を含
む、Access-Request パケットにだけ存在します。
MS-ARAP-Password-Change-Reason
サーバーが開始したパスワード変更の理由を示
します。
MS-Acct-Auth-Type
ダイアルアップユーザーを認証するために使用され
る方法を示します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 24: RADIUS ロールマッピング属性
属性
説明
MS-Acct-EAP-Type
ダイアルアップユーザーを認証するため使用する
EAP （Extensible Authentication Protocol）[15] タイ
プを示します。
MS-BAP-Usage
新しいマルチリンク通話で、BAP の使用が許可、却
下、または要求されているかを示します。
MS-CHAP-CPW-1
パスワードの期限が切れたときに、ユーザーはパス
ワードを変更できます。
MS-CHAP-CPW-2
パスワードの期限が切れたときに、ユーザーはパス
ワードを変更できます。
MS-CHAP-Challenge
マイクロソフトチャレンジハンドシェーク認証プロ
トコル（MS CHAP）ユーザーに、NAS によって送信
されたチャレンジを含んでいます。
MS-CHAP-Domain
ユーザーが認証された Windows NT ドメインを示し
ます。
MS-CHAP-Error
前の MS-CHAP 交換と関係するエラーデータを含ん
でいます。
MS-CHAP-LM-Enc-PW
古い LAN Manager パスワードハッシュで暗号化さ
れた新しい Windows NT パスワードを含んでいます。
MS-CHAP-MPPE-Keys
マイクロソフトポイントツーポイント暗号化プロト
コル（MPPE）により使用するための 2 つのセッ
ションキーを含んでいます。
MS-CHAP-NT-Enc-PW
古い Windows NT パスワードハッシュで暗号化され
た新しい Windows NT パスワードを含んでいます。
MS-CHAP-Response
チャレンジに応じて、PPP マイクロソフトチャレン
ジハンドシェーク認証プロトコル（MS CHAP）ユー
ザーによって提供された応答値を含んでいます。
MS-CHAP2-CPW
パスワードの期限が切れたときに、ユーザーはパス
ワードを変更できます。
MS-CHAP2-Response
チャレンジに応じて、MS-CHAP-V2 ピアによって提
供された応答値を含んでいます。
MS-CHAP2-Success
42 オクテットの認証側応答文字列を含んでいます。
MS-Filter
トラフィックフィルタを送信するのに使用します。
MS-Link-Drop-Time-Limit
リンクがドロップされる前に利用が少なければなら
ない時間の長さ（秒で）を示します。
MS-Link-Utilization-Threshold
リンクを終了できる前に、リンクが下回る必要があ
る利用可能な帯域幅パーセントを示します。
MS-MPPE-Encryption-Policy
暗号化の使用が許可または要求されるかを示します。
MS-MPPE-Encryption-Types
MPPE と使用可能な暗号化のタイプを示します。
MS-MPPE-Recv-Key
マイクロソフトポイントツーポイント暗号化プロト
コル（MPPE）により使用するための 1 つのセッ
ションキーを含んでいます。
MS-MPPE-Send-Key
マイクロソフトポイントツーポイント暗号化プロト
コル（MPPE）により使用するための 1 つのセッ
ションキーを含んでいます。
システム変数とその例

383
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 24: RADIUS ロールマッピング属性
384
システム変数とその例
属性
説明
MS-New-ARAP-Password
ARAP パスワード変更操作の間に、新しい ARAP パ
スワードを送信します。
MS-Old-ARAP-Password
ARAP パスワード変更操作の間に、古い ARAP パス
ワードを送信します。
MS-Primary-DNS-Server
PPP ピアによって使用される、1 次ドメインネーム
サーバー（DNS）[16、17] のアドレスを示します。
MS-Primary-NBNS-Server
PPP ピアによって使用される、1 次 NetBIOS ネーム
サーバー（NBNS）[18] のアドレスを示します。
MS-RAS-Vendor
RADIUS クライアントマシンのメーカーを示します。
MS-RAS-Version
RADIUS クライアントソフトウェアのバージョンを
示します。
MS-Secondary-DNS-Server
PPP ピアによって使用される、2 次 DNS サーバーの
アドレスを示します。
MS-Secondary-NBNS-Server
PPP ピアによって使用される、2 次 DNS サーバーの
アドレスを示します。
Message-Authenticator
CHAP、ARAP、または EAP 認証方法を使用して、
Access-Requests を偽装するのを防止するため、
Access-Requests に署名するのに使用します。
Message-Authenticator
CHAP、ARAP、または EAP 認証方法を使用して、
Access-Requests を偽装するのを防止するため、
Access-Requests に署名するのに使用します。
NAS-IP-Address
ユーザーの認証を要求しており、RADIUS サーバー
の範囲内の NAS に特有でなければならない、NAS を
識別する IP アドレスを示します。
NAS-IPv6-Address
ユーザーの認証を要求しており、RADIUS サーバー
の範囲内の NAS に特有でなければならない、NAS を
識別する IPv6 アドレスを示します。
NAS-Identifier
Access-Request を生成した NAS を示す文字列を含ん
でいます。
NAS-Port
ユーザーを認証している NAS の物理ポート番号を示
します。
NAS-Port-Id
ユーザーを認証している NAS のポートを示すテキス
ト文字列を含んでいます。
NAS-Port-Type
ユーザーを認証している NAS の物理ポートのタイプ
を示します。
Password-Retry
切断される前に、いくつの認証の試行がユーザーに
認められるか示します。
Port-Limit
NAS によってユーザーに提供されるポートの最大数
を設定します。
Prompt
ユーザーの応答を入力時にエコーするかしないかを
NAS に示します。
Proxy-State
Access-Request を転送するとき、プロキシサー
バーは別のサーバーへこの属性を送信できます。
属性は Access-Accept、Access-Reject または
Access-Challenge で未変更のまま返されなければ
なりません。
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 24: RADIUS ロールマッピング属性
属性
説明
Reply-Message
ユーザーに表示できるテキスト。
Service-Type
ユーザーが要求したサービスのタイプ、または提供
されるサービスのタイプ。
Session-Timeout
セッションまたはプロンプトが終了するまで、ユー
ザーに提供されるサービスの連続最大秒数を設定し
ます。
State
パケットの State Attribute は 0 か 1 でなければな
りません。State Attribute の使用法は実装に依存
しません。
Telephone-number
Calling-Station-Id および Called-Station-Id RADIUS 属
性を使用して承認および後続のトンネル属性は、通
話を生成した電話番号、またはコールされている番
号に基づくことができます。
Termination-Action
指定されたサービスが完了したとき、NAS が取
る動作。
Tunnel-Assignment-ID
セッションが割り当てられる特定のトンネルのトン
ネルイニシエータを示します。
Tunnel-Client-Auth-ID
トンネル設立の認証フェーズの間に、トンネルイニ
シエータによって使用される名前を指定します。
Tunnel-Client-Endpoint
トンネルのイニシエータ側のアドレスを含んで
います。
Tunnel-Link-Reject
既存のトンネルにおける新しいリンクの確立の拒否
を示します。
Tunnel-Link-Start
トンネルリンクの作成を示します。
Tunnel-Link-Stop
トンネルリンクの廃棄を示します。
Tunnel-Medium-Type
複数の転送上で動作できる（L2TP のような）プ
ロトコル用にトンネルを作成するときに使用す
る転送媒体。
Tunnel-Medium-Type
複数の転送上で動作できる（L2TP のような）プ
ロトコル用にトンネルを作成するときに使用す
る転送媒体。
Tunnel-Password
リモートサーバーの認証に使用されるパスワード。
Tunnel-Preference
RADIUS サーバーがトンネルイニシエータにトンネ
リング属性の複数のセットを返す場合、各トンネル
に割り当てられる相対的な優先度を示すために、各
セットにこの属性を含めます。
Tunnel-Private-Group-ID
トンネルが作成された特定のセッションの
グループ ID。
Tunnel-Reject
別のノードとのトンネルの確立の拒否を示します。
Tunnel-Server-Auth-ID
トンネル設立の認証フェーズの間に、トンネルター
ミネータによって使用される名前を指定します。
Tunnel-Server-Endpoint
トンネルのサーバー側のアドレス。
Tunnel-Start
別のノードとのトンネルの確立を示します。
Tunnel-Stop
別のノードからのトンネルの廃棄を示します。
システム変数とその例

385
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 24: RADIUS ロールマッピング属性
属性
Tunnel-Type
説明
（トンネルイニシエータの場合には）使用される
トンネリングプロトコル、または（トンネルター
ミネータの場合には）使用中のトンネリングプロ
トコル。
User-Name
認証されるユーザーの名前。
User-Password
認証されるユーザーのパスワード、または
Access-Challenge に続くユーザーの入力。
Vendor-Specific
ベンダーは、一般的な使用のためにふさわしくない
独自の拡張属性をサポートできます。
メモ : Web ページ、telnet、ファイル、および SAM の ACL では、<USER> 代入変数を
使用できます。Network Connect ACL では変数を使用できません。
386
システム変数とその例
付録 C
クライアントサイドのアプリケーション
インストール
この付録では、さまざまな IVE クライアントサイドコンポーネントをインストール、実
行するために必要な権利について説明します。さらに、クライアントサイドコンポーネ
ントをインストールするために IVE が使用するパッケージのファイル名や、パッケージが
インストールおよびインストール解除するファイル、ユーザーのシステムが実施するレジ
ストリの変更がリストアップされます。ここでは以下のトピックについて説明します。

387 ページの「アプリケーションを実行、インストールするために必要な権利」

389 ページの「IVE アプリケーションによるクライアントサイドの変更」
アプリケーションを実行、インストールするために必要な権利
以下の表では、IVE の ActiveX、ActiveX インストーラサービス、Java メカニズムを使用し
て以下の IVE クライアントサイドコンポーネントをインストール、実行するために必要
な権利の要点を説明しています。

388 ページの「Network Connect」

388 ページの「Host Checker」

388 ページの「Cache Cleaner」
クライアントサイドのアプリケーションをインストール、実行するために IVE が使用す
るコンポーネントについて、詳細に説明するリンクがある場合、こうしたリンクが示され
ます。
アプリケーションを実行、インストールするために必要な権利 387
Juniper Networks NetScreen Secure Access 700 管理ガイド
表 25: Network Connect
ActiveX
ActiveX: インス
トーラサービス
Java
Java
アクション
Windows
Windows
Windows
Mac/Linux
詳細
インストール
Admin
制限、パワー
ユーザー、また
は Admin
Admin
該当なし
394 ページ
の「Network
Connect」を
参照してく
ださい。
実行
パワーユーザー
または Admin
制限、パワー
ユーザー、また
は Admin
パワーユーザーまたは
Admin
該当なし
394 ページ
の「Network
Connect」を
参照してく
ださい。
Java
Windows
Java
Mac/Linux
表 26: Host Checker
ActiveX:
インストーラ
サービス
Windows
アクション
ActiveX
Windows
インストール
Admin
制限、パワー
ユーザー、また
は Admin
制限、パワーユーザー、該当なし
または Admin
390 ページ
の「Host
Checker」を
参照してく
ださい。
実行
制限、パワー
ユーザー、また
は Admin
制限、パワー
ユーザー、また
は Admin
制限、パワーユーザー、該当なし
または Admin
390 ページ
の「Host
Checker」を
参照してく
ださい。
詳細
表 27: Cache Cleaner
388
ActiveX:
インストーラ
サービス
Windows
アクション
ActiveX
Windows
Java
Windows
インストール
Admin
制限、パワー
ユーザー、また
は Admin
制限、パワーユーザー、該当なし
または Admin
392 ページ
の「Cache
Cleaner」を
参照してく
ださい。
実行
制限、パワー
ユーザー、また
は Admin
制限、パワー
ユーザー、また
は Admin
制限、パワーユーザー、該当なし
または Admin
392 ページ
の「Cache
Cleaner」を
参照してく
ださい。
アプリケーションを実行、インストールするために必要な権利
Java
Mac/Linux
詳細
Juniper Networks NetScreen Secure Access 700 管理ガイド
IVE アプリケーションによるクライアントサイドの変更
ここでは、IVE がクライアントサイドコンポーネントをインストールして、実行するた
めに必要なコンポーネントを説明します。以下の説明では、コンポーネントの名称、イン
ストーラの場所、ログのディレクトリ、インストール中にコンポーネントが実行したレジ
ストリの変更について触れます。

389 ページの「インストーラサービス」

390 ページの「Host Checker」

392 ページの「Cache Cleaner」

394 ページの「Network Connect」
インストーラサービス
Windows ベースの IVE クライアントアプリケーションをユーザーの Windows システム
にインストールするときに、IVE は ActiveX インストーラサービスを使用して、クライア
ントアプリケーションのインストーラをユーザーのシステムにダウンロードし、インス
トールのプロセスを管理します。
パッケージファイルおよびファイルの場所
IVE は、インストーラパッケージを次の場所にロードします。

Windows 2000:
C:\WINNT\Downloaded Program Files\JuniperSetup.ocx

Windows XP:
C:\Windows\Downloaded Program Files\JuniperSetup.ocx

Windows 98:
C:\WINDOWS\Downloaded Program Files\JuniperSetup.ocx
パッケージでインストールされる追加ファイルとファイルの場所
インストーラサービスは、クライアントに次の追加ファイルをインストールします。

JuniperSetup.inf

JuniperSetup.log1

JuniperSetupDll.dll

setupResource_de.dll

setupResource_en.dll

setupResource_fr.dll

setupResource_ja.dll

setupResource_zh.dll

setupResource_zn_cn.dll
1. JuniperSetup.log ファイルは、インストーラサービスの一部ではありません。インストールプロセスが始まったら、
作成されます。
IVE アプリケーションによるクライアントサイドの変更

389
Juniper Networks NetScreen Secure Access 700 管理ガイド
インストーラサービスは、次の場所に追加ファイルをインストールします。

C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper
Networks\Setup

C:\WINNT\Downloaded Program Files

C:\WINDOWS\Downloaded Program Files
アンインストール後に残るファイル :
IE 内で ActiveX コントロールが削除されると、以下のファイルが残されます。

JuniperSetup.log

JuniperSetup.ocx

setupResource_es.dll

setupResource_ko.dll
レジストリの変更
なし
ログファイルの場所
C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper
Networks\Setup
Host Checker
Host Checker を実行するため、IVE は neoHCSetup.exe.cab パッケージをユーザーのクラ
イアントにダウンロードします。このパッケージは、Host Checker を実行するため、追加
ファイルをユーザーのシステムにダウンロードします。
パッケージファイルおよびファイルの場所
C:\Documents and Settings\< ユーザー名 >\Local Settings\Temp\neoHCSetup.exe.cab
パッケージでインストールされる追加ファイルとファイルの場所
Host Checker は、クライアントに次の追加ファイルをインストールします。
390

dsHostChecker.exe

dsHostCheckerProxy.exe

dsHostCheckerResource_de.dll

dsHostCheckerResource_en.dll

dsHostCheckerResource_es.dll

dsHostCheckerResource_fr.dll

dsHostCheckerResource_ja.dll

dsHostCheckerResource_ko.dll

dsHostCheckerResource_zh.dll
IVE アプリケーションによるクライアントサイドの変更
Juniper Networks NetScreen Secure Access 700 管理ガイド

dsHostCheckerResource_zh_cn.dll

dsnsisdll.dll

dsWinClient.dll

EPCheck.dll

psapi.dll

restore_win2k.txt

restore_win98.txt

uninstall.exe

versionInfo.ini
Host Checker は、追加ファイルを次の場所にインストールします。C:\Documents and
Settings\< ユーザー名 >\Application Data\Juniper Networks\HostChecker
メモ : サードパーティ製ソフトウェアをダウンロードするか確認するポリシーを実装す
る場合、Host Checker は、次のサブフォルダにさらに DLL をインストールする場合があ
ります。C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper
Networks\HostChecker.
例えば、Advanced Endpoint Defense Malware Protection ポリシーを実装する場合、Host
Checker は、このディレクトリに policy_12 というサブフォルダを作成し、このフォル
ダに Whole Security DLL をインストールします。前もって定義されたルールを実装する
場合、Host Checker は AV というサブフォルダを作成し、統合サードパーティ製ソフト
ウェアを確認するために必要な DLL をインストールします。インストールする DLL は、
Host Checker がクライアントマシンでどのようなソフトウェアをチェックしているかに
より、動的に変わります。
アンインストール後に残るファイル :
なし
レジストリの変更
Host Checker は以下のレジストリ値を設定します。

文字列：LogFile および level が HKEY_CURRENT_USER\SOFTWARE\Juniper\Host
Checker\Debug\dsHostChecker で設定されます。

文字列：Language および InstallPath が
HKEY_CURRENT_USER\SOFTWARE\Juniper\Host Checker で設定されます。
さらに、Host Checker は、次の値を
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Neote
ris_Host_Checker で設定します。

文字列 : DisplayName。“juniper Networks Host Checker” に設定します。

文字列 : DisplayVersion。現在の製品バージョン番号に設定します。

文字列 : Publisher。"Juniper Networks" に設定します。
IVE アプリケーションによるクライアントサイドの変更

391
Juniper Networks NetScreen Secure Access 700 管理ガイド

文字列 : QuietUninstallString。"C:\Documents and Settings\< ユーザー名 >\Application
Data\Juniper Networks\Cache Cleaner <バージョン番号>\uninstall.exe" /S” に設定し
ます。

文字列 : StartupApp。“C:\Documents and Settings\< ユーザー名 >\Application
Data\Juniper Networks\Host Checker\dsHostChecker.exe” に設定します。

文字列 : StopApp。“C:\Documents and Settings\< ユーザー名 >\Application
Data\Juniper Networks\Host Checker\dsHostChecker.exe” -stop” に設定します。

文字列 : UninstallString。“C:\Documents and Settings\< ユーザー名 >\Application
Data\Juniper Networks\Host Checker\uninstall.exe” に設定します。

文字列 : URLInfoAbout。“http://www.juniper.net” に設定します。
ログファイルの場所
クライアントサイドのロギングは、Web コンソールの System > Log/Monitoring >
Client-side Log タブで有効または無効にできます。（詳細については、176 ページの
「Client-Side Log タブ」を参照してください）。ロギングを有効にすると、Host Checker は
次の場所にログファイルを追加します。

C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper
Networks\Host Checker\dsHostChecker.log

C:\Documents and Settings\All Users\Application Data\Juniper
Networks\hcsetup.log

C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper
Networks\EPCheck\EPCheck.log

C:\Documents and Settings\< ユーザー名 >\Application Data\Juniper
Networks\Host Checker\dsHostCheckerProxy.log
Cache Cleaner
Cache Cleaner を実行するため、IVE は neoCacheCleanerSetup.exe.cab パッケージをユー
ザーのクライアントにダウンロードします。このパッケージは、Cache Cleaner を実行す
るため、追加ファイルをユーザーのシステムにダウンロードします。
パッケージファイルおよびファイルの場所
C:\Documents and Settings\< ユーザー名 >\Local
Settings\Temp\neoCacheCleanerSetup.exe.cab
パッケージでインストールされる追加ファイルとファイルの場所
Cache Cleaner は、クライアントに次の追加ファイルをインストールします。
392

dsCacheCleaner.exe

neodbg.dll

uninstall.exe

versionInfo.ini
IVE アプリケーションによるクライアントサイドの変更
Juniper Networks NetScreen Secure Access 700 管理ガイド
Cache Cleaner は、追加ファイルを次の場所にインストールします。C:\Documents and
Settings\< ユーザー名 >\Application Data\Juniper Networks\CacheCleaner < バー
ジョン番号 >
アンインストール後に残るファイル :
なし
レジストリの変更
Cache Cleaner は、HKEY_CURRENT_USER\SOFTWARE\Juniper Networks\
Cache Cleaner\Debug\dsCacheCleaner: で次のレジストリ値を設定します。

文字列 : LogFile

文字列 : level
さらに、Cache Cleaner は、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Neoteris_
Cache_Cleaner < バージョン番号 > で次の文字列レジストリ値を設定します。

文字列 : DisplayName

文字列 : DisplayVersion 現在のソフトウェアバージョンに設定します。

文字列 : folders 終了時に、Cache Cleaner がクリアしなければならないフォルダに設
定します。

文字列 : IVEHost IVE の URL に設定します。

文字列 : Publisher “Juniper Networks” に設定します。

文字列 : QuietUninstallString. “C:\Documents and Settings\< ユーザー名 >\Application
Data\Juniper Networks\Cache Cleaner\uninstall.exe" /S” に設定します。

文字列 : StartupApp. “C:\Documents and Settings\< ユーザー名 >\Application
Data\Juniper Networks\Cache Cleaner\dsCacheCleaner.exe” に設定します。

文字列 : StopApp. “C:\Documents and Settings\< ユーザー名 >\Application
Data\Juniper Networks\Cache Cleaner\dsCacheCleaner.exe_ -action stop nodelete 1” に設定します。

文字列 : UninstallString. “C:\Documents and Settings\< ユーザー名 >\Application
Data\Juniper Networks\Cache Cleaner\uninstall.exe” に設定します。

文字列 : URLInfoAbout “http://www.juniper.net” に設定します。
IVE アプリケーションによるクライアントサイドの変更

393
Juniper Networks NetScreen Secure Access 700 管理ガイド
詳細については、202 ページの「Cache Cleaner タブ」を参照してください。
ログファイルの場所
クライアントサイドのロギングは、Web コンソールの System > Log/Monitoring >
Client-side Log タブで有効または無効にできます。（詳細については、176 ページの
「Client-Side Log タブ」を参照してください）。ロギングを有効にすると、Host Checker は
次の場所にログファイルを追加します。C:\Documents and Settings\< ユーザー名 >\
Application Data\Juniper Networks\CacheCleaner < バージョン番号 >\
dsCacheCleaner.log.
Network Connect
Network Connect を実行するため、IVE は NcSetup.exe.cab パッケージをユーザーのクラ
イアントにダウンロードします。このパッケージは、Network Connect を実行するため、
追加ファイルをユーザーのシステムにダウンロードします。
パッケージファイルおよびファイルの場所
C:\Documents and Settings\< ユーザー名 >\Local
Settings\Temp\neoNCsetup.exe.cab
パッケージでインストールされる追加ファイルとファイルの場所
Network Connect は、クライアントに次の追加ファイルをインストールします。
394

ncp.dll

ncResource_de.dll

ncResource_en.dll

ncResource_es.dll

ncResource_fr.dll

ncResource_ja.dll

ncResource_ko.dll

ncResource_zh.dll

ncResource_zh_cn.dll

ncsetup.exe

ncsvc.exe (C:\<WINDIR>\system32)

ncsvc.log

ncui.exe

neoconn.txt

neodbg.dll

neosetup.txt

nsvcp.sys (C:\<WINDIR>\system32\drivers)
IVE アプリケーションによるクライアントサイドの変更
Juniper Networks NetScreen Secure Access 700 管理ガイド

uninstall.exe

versionInfo.ini
Network Connect は、次の場所に追加ファイルをインストールします。

C:\Program Files\Neoteris\Network Connect

C:\<WINDIR>\system32

C:\<WINDIR>\system32\drivers
アンインストール後に残るファイル :
Network Connect のアンインストール後に、クライアントには次のファイルが残ります。

ncsvc.log

neosetup.txt
レジストリの変更
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce は
クライアント上で「現状のまま」にしておく必要があります。そうでない場合は、
Network Connect のインストールと起動は失敗します。
ログファイルの場所
クライアントサイドのロギングは、Web コンソールの System > Log/Monitoring >
Client-Side Log タブで有効または無効にできます。（詳細については、176 ページの
「Client-Side Log タブ」を参照してください）。ロギングを有効にすると、Network Connect
は次の場所にログファイルを追加します。C:\Program Files\Neoteris\Network Connect.
IVE アプリケーションによるクライアントサイドの変更

395
Juniper Networks NetScreen Secure Access 700 管理ガイド
396
IVE アプリケーションによるクライアントサイドの変更
付録 D
アクセス管理制限の設定
IVE アプライアンスにより、次の 3 つのレベルで企業リソースのセキュリティ保護を実現
できます。

Realm―領域レベルでは、認証ポリシーでアクセス管理要件を設定します。

Role―ロールレベルでは、認証ポリシーのロールマッピング規則またはロールの制
限オプションでアクセス管理要件を設定します。

Resource policy―リソースポリシーレベルでは、規則の条件を作成することにより
アクセス管理要件を設定します。
アクセス管理のオプションの設定手順については、以下を参照してください。

398 ページの「ソース IP の指定」

399 ページの「ブラウザ制限の指定」

401 ページの「クライアントサイド証明書の制限の指定」

402 ページの「パスワード文字数制限の指定」

403 ページの「Host Checker の制限の指定」

405 ページの「Cache Cleaner の制限の指定」
概要については、36 ページの「アクセス管理の概要」を参照してください。

397
Juniper Networks NetScreen Secure Access 700 管理ガイド
ソース IP の制限
特定の IP アドレスを使用するユーザーに対して IVE サインインページへのアクセス、
ロールへの割り当て、またはリソースへのアクセスを許可するには、ソース IP 制限を使
用します。
ソース IP の指定
ソース IP の制限を指定するには、以下の操作を実行します。
1.
IP 制限を実装するレベルを選択します。

Role level ― 以下の場所に移動します。

Administrators > Authentication > 領域を選択 > Authentication Policy >
Source IP

Administrators > Delegation > 領域を選択 > General > Restrictions >
Source IP

Users > Authentication > 領域を選択 > Role Mapping > ルールを選択 | 作
成 > カスタム式

Users > Roles > ルールを選択 > General > Restrictions > Source IP
Resource policy level ― 以下の場所に移動します。Resource Policies > リソース
を選択 > ポリシーを選択 > Detailed Rules > ルールを選択 | 作成 > フィール
ドに条件をつける
2.
3.
398
ソース IP の制限
以下のオプションのいずれかを選択します。

Users can sign in from any IP address ― アクセス管理の要件を満たすために、
ユーザーが任意の IP アドレスから IVE にサインインできるようにします。

Users can only sign in from the following IP addresses ― アクセス管理の要件を
満たすために、サインインできるユーザーの IP アドレスを制限します。このオ
プションを選択する場合は、1 つ以上の IP アドレスを指定してください。

Enable administrators to sign in on the external port ― 外部インターフェース
から管理者が IVE にサインインできるようにします。外部ポートを有効にしてか
らこのオプションを設定する必要があります。
Save Changes をクリックして設定を保存します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
ブラウザの制限
特定の Web ブラウザを使用するユーザーに対して IVE サインインページへのアクセス、
ロールへの割り当て、またはリソースへのアクセスを許可するには、ブラウザ制限を使用
します。ユーザーが、サポートされていないブラウザを使用して IVE へのサインインを試
行すると、そのサインインはエラーになり、サポートされていないブラウザが使用されて
いることを通知するメッセージが表示されます。この機能は、企業のアプリケーションと
互換性があるブラウザ、またはセキュリティポリシーで承認されているブラウザから IVE
へのサインインが行われるようにするためにも使用できます。ブラウザ制限機能の目的
は、アクセスコントロールの厳格化ではありません。
メモ : 技術力のあるユーザーは、ブラウザのユーザーエージェント文字列を変更できる
からです。この機能は、通常の運用環境で、アクセス時のアドバイスとして役立ちます。
ブラウザ制限を実行するレベルを選択します。
ブラウザ制限の指定
ブラウザの制限を指定するには、以下の操作を実行します。
1.
ブラウザ制限を実行するレベルを選択します。

2.
Realm level ― 以下の場所に移動します。

Administrators > Authentication > 領域を選択 > Authentication Policy >
Browser

Users > Authentication > 領域を選択 > Authentication Policy > Browser
Role level ― 以下の場所に移動します。

Administrators > Delegation > 領域を選択 > General > Restrictions >
Browser

Users > Authentication > 領域を選択 > Role Mapping > ルールを選択 | 作
成 > カスタム式

Users > Roles > 領域を選択 > General > Restrictions > Browser
Resource policy level ― 以下の場所に移動します。Resource Policies > リソース
を選択 > ポリシーを選択 > Detailed Rules > ルールを選択 | 作成 > フィール
ドに条件をつける
以下のオプションのいずれかを選択します。

Allow all users matching any user-agent string sent by the browser ― サポート
されている任意の Web ブラウザから IVE またはリソースにアクセスできるよう
にします。
ブラウザの制限

399
Juniper Networks NetScreen Secure Access 700 管理ガイド

Only allow users matching based on the user-agent string sent by the browser
― ブラウザアクセスの制限規則を定義できます。規則を作成するには、以下の
操作を実行します。
i.
User-agent string pattern には、以下の形式で文字列を入力します。
*<browser_string>*
この場合、* （アスタリスク）は、あらゆる文字を表すオプションの文字で
す。大文字と小文字が区別される <browser_string> は、ブラウザが送信し
たユーザーエージェントヘッダにある部分文字列と一致する必要がありま
す。エスケープ文字（\）をブラウザ制限に含めることはできないことに注
意してください。
3.
ii.
次のいずれかを選択します。

Allow ― ユーザーは、ユーザーエージェントヘッダに部分文字列
<browser_string> が含まれるブラウザを使用できます。

Deny ― ユーザーは、ユーザーエージェントヘッダに部分文字列
<browser_string> が含まれるブラウザを使用できません。
Save Changes をクリックして設定を保存します。
メモ :

規則は順番に適用されます。つまり最初に一致した規則が適用されます。

規則に指定する文字は、大文字と小文字で区別されます。また指定する文字には、
スペースを含めることができません。
また指定する文字には、スペースを含めることができません。たとえば、文字列
*Netscape* は、部分文字列 Netscape を含むすべてのユーザーエージェント文字列と一
致します。
以下の規則では、ユーザーが Internet Explorer 5.5x または Internet Explorer 6.x を使用し
てサインインする場合のみ、リソースへのアクセスが許可されます。この例の場合、ユー
ザーエージェントヘッダの部分文字列として "MSIE" を送信する汎用の非 IE ブラウザも
含まれます。
*Opera*Deny
*AOL*Deny
*MSIE 5.5*Allow
*MSIE 6.*Allow
*Deny
400
ブラウザの制限
Juniper Networks NetScreen Secure Access 700 管理ガイド
証明書の制限
クライアントコンピュータに対して、有効なクライアントサイド証明書の所有を要求し
て IVE サインインページへのアクセス、ロールへの割り当て、またはリソースへのアク
セスを許可するには、証明書の制限を使用します。この機能を使用する場合、クライアン
トサイド証明書を検証するために、CA 証明書をインポートしたかどうかを確認します
（詳細については、151 ページの「Trusted Client CAs タブ」を参照してください）。この機
能のセキュリティを最高レベルにするには、ユーザーがサインインするたびに、ユーザー
にパスワードの入力を要求するなど、クライアントを設定したかどうかを確認してきま
す。特定のブラウザバージョンのデフォルト設定では、証明書のパスワードが記録される
ようになっています。
クライアントサイド証明書の制限の指定
証明書の制限を指定するには、以下の操作を実行します。
1.
以下のように選択します。System > Configuration > Certificates > Trusted Client
CAs の順で移動し、ルート証明書認証局を指定します。これでは、領域およびロー
ル、リソースポリシーのレベルで有効にするクライアント側証明書の制限が検証で
きます。詳細については、151 ページの「Trusted Client CAs タブ」を参照してくださ
い。
2.
証明書の制限を実行するレベルを選択します。

Realm level ― 以下の場所に移動します。

Administrators > Authentication > 領域を選択 > Authentication Policy >
Certificate

Users > Authentication > 領域を選択 > Authentication Policy>
Certificate
Role level ― 以下の場所に移動します。

Administrators > Delegation > 領域を選択 > General > Restrictions >
Certificate

Users > Authentication > 領域を選択 > Role Mapping > ルールを選択 | 作
成 > カスタム式

Users > Roles > 領域を選択 > General > Restrictions > Certificate
Resource policy level ― 以下の場所に移動します。Resource Policies > リソース
を選択 > ポリシーを選択 > Detailed Rules > ルールを選択 | 作成 > フィール
ドに条件をつける
3.
以下のオプションのいずれかを選択します。

Allow all users （クライアント側の証明書は必要なし） ― ユーザーのクライア
ントコンピュータにクライアントサイド証明書の所有を要求しません。

Allow all users and remember certificate information while user is signed in ―
ユーザーのクライアントがクライアントサイド証明書を保有していることを要求
しませんが、クライアントが証明書を所有している場合、IVE は全ユーザー
セッション間の証明書情報を記憶しています。
証明書の制限

401
Juniper Networks NetScreen Secure Access 700 管理ガイド

4.
Only allow users with a client-side certificate signed by Trusted Client CAs to
sign in ― アクセス管理要件を満たすため、ユーザーのクライアントコンピュー
タにクライアントサイド証明書の所有を要求します。アクセスイベントをさらに
制限する場合は、独自の証明書属性 / 値ペアを定義できます。ユーザーの証明書
には、定義した属性がすべて含まれている必要があります。
オプションでクライアント証明書の具体的な値を要求するには、証明書フィールド
名および期待される値を追加します。フィールドの値は、指定することができま
す。たとえば、値を uid を Certificate フィールド追加し、値 <userAttr.uid> を
Expected Value フィールドに追加できます。
メモ : ユーザー属性は、属性をサポートするすべての認証サーバーから来る場合があり
ます。値が認証の間に収集され、セッションコンテキストデータに追加されるよう、証
明書制限で指定された属性名は、サーバーカタログに含めなければなりません。
5.
Save Changes をクリックして設定を保存します。
メモ :

すべての X.509 Distinguished Name（DN）属性 (C、CN、L、O、OU など）がサ
ポートされています。

属性と値のフィールドでは、大文字と小文字が区別されません。

各属性に値を 1 つだけ定義してください。複数の値を指定すると、クライアン
トサイド証明書が、CA 証明書に対して正常に認証されません。
パスワードの制限
パスワード制限を使用して、領域のパスワード最低文字数を指定します。
パスワード文字数制限の指定
パスワードの制限を指定するには、以下の操作を実行します。
1.
パスワード制限を実行したい管理者領域またはユーザー領域を選択します。
以下のように選択します。
2.
3.
402
パスワードの制限

Administrators > Authentication > 領域を選択 > Authentication Policy >
Password

Users > Authentication > 領域を選択 > Authentication Policy > Password
以下のオプションのいずれかを選択します。

Allow all users （パスワードの長さに制限なし）― IVE にサインインするユー
ザーに対してパスワード文字数の制限を適用しません。

Only allow users that have passwords of a minimum length ― ユーザーは、指
定されている最低文字数でパスワードを入力する必要があります。
パスワード管理を有効にする場合に、Enable Password Management チェックボック
スを選択します。また、IVE 認証サーバー設定ページでパスワード管理の設定を行う
こともできます（ローカル認証サーバー）
Juniper Networks NetScreen Secure Access 700 管理ガイド
4.
2 つめの認証サーバーを有効にした場合には、ステップ 2 をガイドラインとして使用
して、パスワードの長さの制限を指定してください。
5.
Save Changes をクリックして設定を保存します。
メモ : IVE のデフォルト設定では、サインインページに入力するユーザーパスワードは
最低 4 文字と指定されています。ユーザーの証明書の正当性を検証する認証サーバーに
よっては、最低文字数が異なる場合があります。たとえば、IVE ローカル認証データ
ベースでは、ユーザーパスワードは最低 6 文字です。
Host Checker の制限
クライアントコンピュータに対して、指定の Host Checker ポリシーの適用を要求して
IVE サインインページへのアクセス、ロールへの割り当て、またはリソースポリシーへ
のアクセスを許可するには、67 ページの「Host Checker の概要」で説明されているよう
に、Host Checker の制限を使用します。
Host Checker の制限の指定
Host Checker の制限を指定するには、次の操作を実行します。
1.
以下のように選択します。Signing In > End Point > Host Checker に移動して、認証
ポリシーまたはロールマッピング規則に、Host Checker を必要とするユーザーに適
用する Host Checker 用のグローバルオプションを指定してください。詳細について
は、184 ページの「Host Checker タブ」を参照してください。
2.
領域レベルで Host Checker を実装するには、以下の操作を実行します。
a.
b.
以下のように選択します。

Administrators > Authentication > 領域を選択 > Authentication Policy
> Host Checker

Users > Authentication > 領域を選択 > Authentication Policy > Host
Checker
Available Policies 列にリストアップされている、利用可能なポリシーまたは個別
のポリシーに対して、以下のオプションをどれか 1 つ選択します。

Evaluate Policies ― クライアント上以外でポリシーを評価し、ユーザーア
クセスを許可します。このオプションでは、ユーザーがアクセス要件を満た
すために Host Checker をインストールする必要はありません。

Require and Enforce ― ユーザーが指定された領域にログインするためにク
ライアントでのポリシーを要求し、実行します。ユーザーがアクセス要件を
満たすために、Host Checker は指定された Host Checker ポリシーを実行す
る必要があります。IVE がクライアントコンピュータに Host Checker をダウ
ンロードする必要があります。領域認証ポリシーに対してこのオプションを
選択した場合は、ユーザー認証後、およびユーザーのシステムでのロール
マッピング前に、IVE が Host Checker をクライアントコンピュータにダウ
ンロードします。このオプションを選択すると、自動的に Evaluate Policies
オプションが有効になります。
Host Checker の制限

403
Juniper Networks NetScreen Secure Access 700 管理ガイド
c.
3.
ロールレベルで Host Checker を実装するには、以下の操作を実行します。
a.
b.
404
Host Checker の制限
選択したポリシーすべての全要件にユーザーが合致する必要がない場合、Allow
access to realm if any ONE of the selected “require and Enforce” policies is
passed チェックボックスを選択します。ただし、選択した Host Checker ポリ
シーのいずれかの要件を満たす場合、ユーザーは領域にアクセスできます。
以下のように選択します。

Administrators > Delegation > ロールを選択 > General > Restrictions >
Host Checker

Users > Roles > ロールを選択 > General > Restrictions > Host Checker
以下のオプションのいずれかを選択します。

Allow all users ― ユーザーがアクセス要件を満たすために Host Checker を
インストールする必要はありません。

Allow only users whose workstations meet the requirements specified by
these Host Checker policies ― ユーザーがアクセス要件を満たすために、
Host Checker が指定された Host Checker ポリシーを実行している必要があ
ります。
c.
選択したポリシーすべての全要件にユーザーが合致する必要がない場合、Allow
access to role if any ONE of the selected “Require and Enforce” policies is
passed チェックボックスを選択します。ただし、選択した Host Checker ポリ
シーのいずれかの要件を満たす場合、ユーザーはロールにアクセスできます。
d.
New Rule をクリックして、Rule based on リストから Custom Expressions を選
択し、Update をクリックします。または、既存のルールを更新するには、When
users meet these conditions リストから選択します。
e.
Expressions をクリックします。
f.
...then assign these roles セクションで、IVE が、カスタム式で指定された要件
にユーザーが合致したとき、そのユーザーにマッピングするロールを選択し、
Add をクリックします。
g.
Stop processing rules when this rule matches にチェックを入れるのは、ユー
ザーがこの規則で定義された要件を完全に満たした場合に、IVE によるロール
マッピング規則の評価を停止したい場合です。
h.
New Rule をクリックするか、Detailed Rules リストから既存の規則を選択
します。
Juniper Networks NetScreen Secure Access 700 管理ガイド
Cache Cleaner の制限
クライアントマシンに対して、指定の Cache Cleaner 要件の適用を要求して IVE サインイ
ンページへのアクセス、ロールへの割り当て、またはリソースポリシーへのアクセスを
許可するには、76 ページの「Cache Cleaner の概要」で説明されているように Cache
Cleaner の制限を使用します。
Cache Cleaner の制限の指定
Cache Cleaner の制限を指定するには、次の操作を実行します。
1.
以下のように選択します。System > Signing In > End Point > Cache Cleaner に移動
して、認証ポリシー、ロールマッピング規則、またはリソースポリシーに Cache
Cleaner を必要とするユーザーに対して適用する Cache Cleaner 用のグローバルオプ
ションを指定してください。詳細については、202 ページの「Cache Cleaner タブ」
を参照してください。
2.
領域レベルで Cache Cleaner を実装するには、以下の操作を実行します。
3.
a.
以下のように選択します。Users > Authentication > 領域を選択 >
Authentication Policy > Cache Cleaner
b.
以下のオプションのいずれかを選択します。

Disable Cache Cleaner ― ユーザーはアクセス要件を満たすために、Cache
Cleaner をインストールまたは実行する必要がありません。

Just load Cache Cleaner ― ユーザーはアクセス要件を満たすために、Cache
Cleaner を実行する必要はありません。ただし、今後のために Cache Cleaner
をインストールしておきます。領域の承認ポリシーに対してこのオプション
を選択した場合は、ユーザーが認証された後、およびユーザーがシステム内
のロールにマッピングされる前に、IVE が Cache Cleaner をクライアントコ
ンピュータにダウンロードします。

Load and enforce Cache ― ユーザーはアクセス要件を満たすために、IVE で
Cache Cleaner をダウンロードし、実行する必要があります。領域の承認ポ
リシーに対してこのオプションを選択した場合は、ユーザーが IVE サインイ
ンページにアクセスする前に、IVE が Cache Cleaner をクライアントコン
ピュータにダウンロードします。
ロールレベルで Cache Cleaner を実装するには、以下の操作を実行します。
a.
b.
以下のように選択します。

Administrators > Delegation > ロールを選択 > General > Restrictions >
Cache Cleaner

Users > Roles > ロールを選択 > General > Restrictions > Cache Cleaner
Enable Cache Cleaner オプションをチェックします。ユーザーがアクセス要件を
満たすために、Cache Cleaner を実行する必要があります。
Cache Cleaner の制限

405
Juniper Networks NetScreen Secure Access 700 管理ガイド
Limits 制限
領域の最小および最大同時ユーザー数を設定するには、Limits 制限を使用します。詳細に
ついては、242 ページの「同時ユーザーの制限」を参照してください。
Limits 制限の指定
Limits 制限を指定するには、以下の操作を実行します。
406
Limits 制限
1.
領域の同時ユーザーの数を制限したい場合、Limit the number of concurrent users
チェックボックスを選択します。
2.
同時ユーザーの数を制限することに決めている場合、保証最小数を設定します。ゼロ
（0）と領域に定義された同時ユーザー最大数の間の、任意のユーザー数を指定でき
ます。あるいは、領域の最大数がない場合、ライセンスによって許可された最大数ま
での数を設定できます。
3.
同時ユーザーの数を制限することに決めている場合、保証最大数（オプション）を設
定します。指定した最小数からライセンスされたユーザーの最大数まで、同時ユー
ザーの数を指定できます。フィールドにゼロ（0）を入力すると、ユーザーは領域に
ログインできません。
4.
Save Changes をクリックします。
付録 E
ユーザーエラーメッセージ
このセクションにはエンドユーザーエラーメッセージの付属資料が含まれています。
Network Connect エラーメッセージ
このセクションは、以下のような環境における Network Connect エラーメッセージにつ
いて説明しています。

407 ページの「Windows エラーメッセージ」

422 ページの「Macintosh エラーメッセージ」
Windows エラーメッセージ
このセクションは、Windows 環境の Network Connect エラーメッセージについて説明し
ています。
nc.windows.app.23660
システムログ
メッセージ
原因
アクション
リソース < リソース名 > をダウンロードできません。代わりに英語版のリソースライブ
ラリをロードしています。
指定したリソースライブラリが見つかりませんでした。
Network Connect クライアントを再インストールしてください。使用したいリソースにま
だアクセスできない場合は、システム管理者に問い合わせてください。
Network Connect エラーメッセージ

407
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.app.23661
システムログ
メッセージ
原因
アクション
リソース < リソース名 > をロードできません。
指定したリソースライブラリが見つかりませんでした。
Network Connect クライアントを再インストールしてください。指定したリソースライブ
ラリにまだアクセスできない場合は、システム管理者に連絡してください。
nc.windows.app.23662
システムログ
メッセージ
コンポーネントが不足しているために Network Connect クライアントを起動できません。
原因
Network Connect スタンドアロンクライアント認証情報が有効ですが、必要なコンポーネ
ントが不足しています。Network Connect はセッションを終了する必要があります。
アクション
Network Connect スタンドアロンクライアントをアンインストールして再度インストール
してから、Network Connect をもう一度起動します。
nc.windows.app.23663
システムログ
メッセージ
原因
アクション
Network Connect はクライアント上ですでに実行中です。既存のセッションを終了してか
ら、新しいセッションを開始します。
Network Connect はこのコンピュータですでに実行中です。
OK をクリックして新規 Network Connect アプリケーションを終了し、既存の Network
Connect セッションを手動で終了して、もう一度 Network Connect を起動します。
nc.windows.app.23664
システムログ
メッセージ
原因
アクション
Network Connect 仮想アダプタドライバが正常にインストールされていません。Network
Connect を再インストールしてください。
Network Connect ドライバが正しくインストールされていません。
Network Connect をアンインストールして再度インストールし、再びセキュアゲートウェ
イにサインインします。Network Connect のインストールが再び正常に行われなかった場
合は、システム管理者に連絡してください。
nc.windows.app.23677
システムログ
メッセージ
原因
アクション
408
GINA （Graphical Identification and Authentication）自動サインイン機能を有効にして、
Windows の起動時に Network Connect を起動しますか ?
システム管理者は、このロールに対して GINA 自動サインイン機能を有効にしました。現
時点で GINA を使用可能にしたり、あるいは GINA のインストールを延期することができ
ます。（GINA により、Windows の起動時に Network Connect を起動することができま
す。）
Yes をクリックして、お使いのコンピュータで GINA 自動サインイン機能を有効にします。
No をクリックして、Network Connect に手動でサインインします。
Network Connect エラーメッセージ
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.app.23678
システムログ
メッセージ
GINA （Graphical Identification and Authentication）自動サインイン機能がコンピュータで
有効になっています。
原因
システム管理者は、セキュアゲートウェイで GINA 自動サインイン機能を有効にしまし
た。これにより、Windows にサインインする際 Network Connect が自動的に起動します。
この機能は、次回コンピュータを起動して Windows を開始すると有効になります。
アクション
これは情報メッセージです。OK をクリックして続行します。
nc.windows.app.23679
システムログ
メッセージ
Network Connect は Windows の起動時に起動するように設定されますが、別の Windows
アプリケーションとの競合のためにこの機能を有効にできません。
原因
システム管理者は、セキュアゲートウェイでこのユーザーロールのために GINA
（Graphical Identification and Authentication）自動サインイン機能を有効にしました。しか
し、コンピュータには別のアプリケーションからインストールした既存の GINA コンポー
ネントがあります。
アクション
OK をクリックして続行します。Windows にサインインしてからセキュアゲートウェイに
サインインし、セキュアゲートウェイの Web コンソールページから Network Connect を
起動します。
nc.windows.app.23680
システムログ
メッセージ
原因
アクション
Network Connect システム管理者は GINA （Graphical Identification and Authentication）自
動サインイン機能を無効にしました。この変更は次回に Windows を起動するときに反映
されます。
GINA 自動サインイン機能は当初このユーザー用に有効になっていましたが、システム管
理者がセキュアゲートウェイで機能を無効にしました。
OK をクリックして、Network Connect セッションを継続します。
nc.windows.app.23681
システムログ
メッセージ
Network Connect は Graphical Identification and Authentication （GINA）自動サインイン機
能を初期化できませんでした。
原因
適切な管理者権限がないか、このコンピュータに Juniper Installer Service がインストール
されていません。
アクション
システム管理者に連絡して Juniper Installer Service または、GINA 対応の正しい Network
Connect アプリケーションをコンピュータにインストールします。
Network Connect エラーメッセージ

409
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.app.23682
システムログ
メッセージ
Network Connect は、Graphical Identification and Authentication （GINA）自動サインイン
機能を無効にできませんでした。
原因
システム管理者はユーザーロールの GINA を無効にしましたが、適切な管理者権限がない
か、このコンピュータに Juniper Installer Service がインストールされていません。
アクション
システム管理者に連絡して Juniper Installer Service または、正しい Network Connect アプ
リケーションをコンピュータにインストールします。
nc.windows.app.23686
システムログ
メッセージ
自動接続機能を有効にするには、コンピュータを再起動する必要があります。自動接続機
能により、Windows の起動時に Network Connect トンネルを起動することができます。こ
こで再起動しますか ?
原因
ユーザーが Network Connect オプションダイアログボックスで “Auto connect” を選択し
ました。この設定は、セキュアゲートウェイ管理者が、クライアントでオプションの選択
を許可している場合のみ有効になります。
アクション
OK をクリックしてコンピュータを再起動し、自動接続オプションを有効にします。後で
コンピュータの再起動を行うには No を選択します。自動接続オプションを作動させずに
ダイアログボックスを閉じる場合、Cancel をクリックします。
nc.windows.app.23687
システムログ
メッセージ
Network Connect は Windows の起動時に起動するように設定されますが、別の Windows
アプリケーションとの競合のためにこの機能を有効にできません。Network Connect のイ
ンストールが終了しました。
原因
システム管理者は、セキュアゲートウェイでこのユーザーロールのために GINA
（Graphical Identification and Authentication）自動サインイン機能を有効にしました。しか
し、コンピュータには別のアプリケーションからインストールした既存の GINA コンポー
ネントがあります。
アクション
OK をクリックして、インストールを終了します。Windows にサインインしてからセキュ
アゲートウェイにサインインし、セキュアゲートウェイの Web コンソールページから
Network Connect を起動します。
nc.windows.app.23689
システムログ
メッセージ
原因
アクション
410
APPDATA フォルダを開くことができません。
フォルダは、アクセスに許可が必要か、削除あるいは移動されたか、壊れた可能性があり
ます。
現在のユーザーのアクセスレベルや、ユーザーが自分のアプリケーションのデータフォ
ルダを開くことができるかどうか確認してください。（フォルダの場所は
APPDATA\Juniper Networks\Network Connect < バージョン >\ です。）次に Network
Connect をサインアウトして、Windows に再度サインインします。アプリケーション
データフォルダをまだ開くことができない場合、システム管理者に連絡してください。
Network Connect エラーメッセージ
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.app.23703
システムログ
メッセージ
原因
アクション
情報はログファイルへ正常にコピーされました。
これは、ログファイルが正常に更新されたことを確認するメッセージです。
これは情報メッセージです。何も実行する必要はありません。
nc.windows.app.23704
システムログ
メッセージ
接続試行がタイムアウトしました。
原因
セキュアゲートウェイからの応答の待機中に Network Connect クライアントがタイムア
ウトしました。
アクション
Network Connect クライアントを閉じて、もう一度サインインしてください。それでもサ
インインできない場合は、システム管理者に連絡してください。
nc.windows.app.23705
システムログ
メッセージ
連結情報を表示できません。
原因
Network Connect は、セキュアゲートウェイの接続情報を取得して表示することができま
せん。（接続情報には、送受信されたバイト数、暗号化プロトコル、圧縮情報、転送モー
ド情報が入っています。）セキュアゲートウェイへのネットワーク接続性がクライアント
にあるかどうか、ファイアウォールまたはネットワーク設定を確認してください。
アクション
セキュアゲートウェイをサインアウトして、再接続します。それでも接続情報を表示する
ことができない場合は、システム管理者に連絡してください。
nc.windows.app.23706
システムログ
メッセージ
Network Connect 自動接続エラー。
原因
Network Connect が、Windows のサインイン時に確立された自動セキュアゲートウェイ
接続を使用することができません。
アクション
セキュアゲートウェイに再度接続してみてください。それでも自動セキュアゲートウェ
イ接続に接続することができない場合、システム管理者に連絡してください。
Network Connect エラーメッセージ

411
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.app.23707
システムログ
メッセージ
NCService コンポーネントへの接続を開始できません。
原因
Network Connect は NCService コンポーネントへの接続を開くことができません。
Network Connect サービスが使用不可になったか、Network Connect のインストール中に
エラーが発生した可能性があります。
アクション
Network Connect クライアントを再起動します。接続できない場合、Network Connect を
一度アンインストールしてから再度インストールして、サインインします。それでも
NCService コンポーネントへの接続を開くことができない場合、システム管理者に連絡
してください。
nc.windows.app.23708
システムログ
メッセージ
セキュアゲートウェイに接続できません。
原因
Network Connect はセキュアゲートウェイに接続できません。これは、ネットワークまた
はファイアウォールの問題か、セキュアゲートウェイの設定の問題である可能性があり
ます。
アクション
ネットワーク接続、プロキシ設定（該当する場合）、ファイアウォールあるいはルーター
の ACL 規則をシステム管理者に確認して、クライアントがセキュアゲートウェイに接続
できることを確認してください。その後、セキュアゲートウェイに再度接続してみてくだ
さい。それでもセキュアゲートウェイへの接続を開くことができない場合、システム管理
者に連絡してください。
nc.windows.app.23709
システムログ
メッセージ
原因
アクション
412
セキュアゲートウェイへの接続を開始できません。
Network Connect はセキュアゲートウェイへの接続を開くことができません。これは、
ネットワークまたはファイアウォールの問題か、セキュアゲートウェイの設定の問題で
ある可能性があります。
ネットワーク接続、プロキシ設定（該当する場合）、ファイアウォールあるいはルーター
の ACL 規則をシステム管理者に確認して、クライアントがセキュアゲートウェイに接続
できることを確認してください。その後、セキュアゲートウェイに再度接続してみてくだ
さい。それでもセキュアゲートウェイへの接続を開くことができない場合、システム管理
者に連絡してください。
Network Connect エラーメッセージ
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.app.23710
システムログ
メッセージ
原因
アクション
セキュアゲートウェイからの接続情報を取得できません。
Network Connect は、セキュアゲートウェイから接続設定情報を取得できません。IVE へ
の接続が失われた可能性があります。
セキュアゲートウェイをサインアウトして、再接続します。その後、ネットワーク接続、
プロキシ設定（該当する場合）、ファイアウォールあるいはルーターの ACL 規則をシステ
ム管理者に確認して、クライアントがセキュアゲートウェイに接続できることを確認し
てください。それでもセキュアゲートウェイへの接続を開くことができない場合、システ
ム管理者に連絡してください。
nc.windows.app.23711
システムログ
メッセージ
Network Connect セッションを終了しました。もう一度接続しますか ?
原因
クライアントのルーティングテーブルが変更されたため、Network Connect クライアント
とセキュアゲートウェイの接続が切れました。
アクション
Yes をクリックして、セキュアゲートウェイにサインインし、もう一度 Network Connect
を起動します。Network Connect クライアントを終了するには、No をクリックします。
nc.windows.app.23712
システムログ
メッセージ
原因
アクション
Network Connect セッションを終了しました。もう一度接続しますか ?
クライアントの設定にエラーがあるため、Network Connect クライアントとセキュアゲー
トウェイの接続が切れました。ネットワークアダプタなどのハードウェアの一部にエラー
が生じた可能性があります。
セキュアゲートウェイへの接続をもう一度確立するには、Yes をクリックします。
Network Connect クライアントを終了するには、No をクリックします。それでも問題
が解決されない場合には、システム管理者に連絡して、コンピュータのシステム設定
を確認してからセキュアゲートウェイにサインインして、Network Connect をもう一
度起動します。または、Network Connect をアンインストールしてからもう一度イン
ストールできます。
nc.windows.app.23713
システムログ
メッセージ
原因
アクション
プロキシ認証はセキュアゲートウェイに接続する必要があります。
クライアントとセキュアゲートウェイ間でプロキシサーバーが設定されています。プロ
キシサーバーは、セキュアゲートウェイへの接続を許可する有効な認証証明書が必要で
す。
有効な証明書情報をプロキシ認証ダイアログボックスに入力してください。
Network Connect エラーメッセージ

413
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.app.23714
システムログ
メッセージ
原因
アクション
セキュアゲートウェイへの接続に失敗しました。
前回の Network Connect セッションがセキュアゲートウェイからの切断に失敗しました。
前回のセッションが終了しているのを確認し、セキュアゲートウェイに再度接続してみ
てください。それでもセキュアゲートウェイに接続できない場合、システム管理者に連絡
してください。
nc.windows.app.23715
システムログ
メッセージ
原因
アクション
セキュアゲートウェイからの接続情報を取得できません。
Network Connect が、セキュアゲートウェイから接続情報を取得中にエラーを受信しまし
た。セキュアゲートウェイにアクセスできなくなったか、正しく動作していない可能性が
あります。
セキュアゲートウェイをサインアウトして、再接続します。（さらに、Network Connect
クライアントをアンインストールして再度インストールすることを推奨します。）それで
も接続情報を表示することができない場合は、システム管理者に連絡してください。
nc.windows.app.23786
システムログ
メッセージ
原因
アクション
Network Connect NCService コンポーネントが実行されていません。
Network Connect サービスが実行されておらず、また、現在のユーザーはサービスの開始
に必要な管理者権限を持っていません。
Network Connect をもう一度インストールし、再びセキュアゲートウェイにサインイ
ンします。まだ Network Connect を起動できない場合は、システム管理者に連絡して
ください。
nc.windows.app.23787
システムログ
メッセージ
414
Network Connect サービスを開始できません。Network Connect を再インストールしてく
ださい。
原因
Network Connect NCService コンポーネントが実行されていないため、クライアントがこ
れを開始できません。
アクション
Network Connect をアンインストールして再度インストールし、再びセキュアゲートウェ
イにサインインします。まだ Network Connect を起動できない場合は、システム管理者に
連絡してください。
Network Connect エラーメッセージ
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.app.23790
システムログ
メッセージ
原因
アクション
Network Connect セッションがタイムアウトしました。
セッションがタイムアウトしたため、Network Connect クライアントがセキュアゲート
ウェイから切断されました。セッションの時間が、管理者がセキュアゲートウェイで設定
したセッションアイドルタイムアウト時間、あるいは最大セッション時間に到達した可
能性があります。
セキュアゲートウェイにサインインして、もう一度 Network Connect を起動してくだ
さい。
nc.windows.app.23791
システムログ
メッセージ
原因
アクション
セキュアゲートウェイは、このクライアントから接続要求を拒否しました。
セキュアゲートウェイがこのコンピュータの接続要求を拒否しました。
セキュアゲートウェイに再度接続してみてください。それでもセキュアゲートウェイに
接続できない場合、システム管理者に連絡してください。
nc.windows.app.24044
システムログ
メッセージ
原因
アクション
Network Connect は TOS （Type of Service）機能を初期化できませんでした。
システム管理者はユーザーロール用に TOS 機能を起動しましたが、Network Connect ク
ライアントは作動することができません。
システム管理者にお問い合わせください。
nc.windows.app.24045
システムログ
メッセージ
原因
アクション
Network Connect は TOS （Type of Service）機能を無効にできませんでした。
システム管理者はユーザーロール用に TOS 機能を無効にしましたが、Network Connect
クライアントは無効にすることができません。
システム管理者にお問い合わせください。
nc.windows.app.24052
システムログ
メッセージ
原因
アクション
Network Connect は、<x> 分 <y> 秒アイドル状態が続くと、タイムアウトします。
Network Connect セッションで、操作が行われないまま、自動終了で設定されているタイ
ムアウト時間に達しました。この時間は、システム管理者によってセキュアゲートウェイ
で設定されています。
Network Connect セッションを続行するには Extend Session ボタンをクリックします。
Network Connect エラーメッセージ

415
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.app.24054
システムログ
メッセージ
原因
アクション
Network Connect セッションは、<x> 分 <y> 秒間アイドル状態が続くと、タイムアウ
トします。
Network Connect セッションの実行時間が、システム管理者が設定した最大セッション時
間に近づいています。
セッションが終了したら、セキュアゲートウェイにサインインして、再度 Network
Connect を起動してください。
nc.windows.app.24058
システムログ
メッセージ
TOS （Type of Service）機能を無効にするには、コンピュータを再起動する必要がありま
す。ここで再起動しますか ?
原因
システム管理者はあなたのユーザーロールに対して設定された TOS 機能を無効にしたの
で、コンピュータを再起動して、ローカルで TOS を無効にしてください。
アクション
Yes をクリックして今すぐ再起動するか No をクリックして、そのまま作業を続けて、あ
とからコンピュータを再起動してください。
nc.windows.app.24059
システムログ
メッセージ
TOS （Type of Service）機能を有効にするには、コンピュータを再起動する必要がありま
す。ここで再起動しますか ?
原因
システム管理者はあなたのユーザーロールに対して設定された TOS 機能を有効にしたの
で、コンピュータを再起動して、ローカルで TOS を有効にしてください。
アクション
Yes をクリックして今すぐ再起動するか No をクリックして、そのまま作業を続けて、あ
とからコンピュータを再起動してください。
nc.windows.app.24062
システムログ
メッセージ
原因
アクション
Network Connect を起動すると自動的に W-SAM セッションが終了し、それによりネット
ワークリソースの一部にアクセスできなくなる可能性があります。Network Connect を起
動しますか ?
W-SAM セッション作動中に、Network Connect セッションを開始しました。
Yes をクリックして、自動的に W-SAM を終了し、Network Connect を起動します。No を
クリックして、Network Connect を起動せずに W-SAM セッションに戻ります。（注意：
No をクリックすると、Network Connect クライアントアプリケーションはコンピュータ
にインストールされますが、起動されません。）
nc.windows.gina.23806
システムログ
メッセージ
原因
アクション
416
GINA （Graphical Identification and Authentication）自動サインインを使用する Network
Connect サインインはセキュアゲートウェイで設定されていません。
ユーザーのサインイン認証情報が有効ですが、システム管理者はユーザーロールに対し
て GINA を有効にしていません。
システム管理者に連絡して、ユーザーロールに対して GINA を有効にしてください。
Network Connect エラーメッセージ
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.gina.23807
システムログ
メッセージ
GINA （Graphical Identification and Authentication）自動サインイン機能により、現在の
バージョンの Network Connect を起動できません。セキュアゲートウェイでのバージョン
よりも古いバージョンを実行しています。Windows が起動した後で、セキュアゲート
ウェイにサインインして、Network Connect のバージョンをアップグレードします。
原因
セキュアゲートウェイでのバージョンよりも古いバージョンの Network Connect を実行
しています。このため、GINA 自動サインイン機能は Windows の起動時に Network
Connect を起動できません。
アクション
Windows が起動した後で、セキュアゲートウェイにサインインして、Network Connect
のバージョンをアップグレードします。
nc.windows.gina.23808
システムログ
メッセージ
Network Connect トンネルを確立できませんでした。GINA （Graphical Identification and
Authentication）自動サインイン機能がセキュアゲートウェイで有効になっていません。
原因
ユーザーのサインイン認証情報が有効ですが、ユーザーロールに対して GINA が有効に
なっていません。インストールの前に GINA がこのロールで有効にされており、システム
管理者が無効にした可能性があります。
アクション
システム管理者に連絡して、ユーザーロールに対して GINA を有効にしてください。
nc.windows.gina.23809
システムログ
メッセージ
ユーザーが Windows NT または Windows Active Directory ドメインにログインしていない
ため、Network Connect トンネルの接続が切れました。
原因
Windows NT または Windows Active Directory ドメイン認証情報に一致していない、
キャッシュされた認証情報を使用して Windows セッションにサインインした可能性があ
ります。
アクション
コンピュータが正しい Windows NT または Windows Active Directory ドメインのメンバー
であり、Windows サインイン認証情報が有効であることを確認します。
nc.windows.gina.23810
システムログ
メッセージ
有効なプロキシサーバー IP アドレスまたはホスト名を入力する必要があります。
原因
プロキシサーバーのオプションが有効にされていますが、プロキシ IP アドレスまたはホ
スト名が無効であるか、プロキシサーバー情報が指定されていません。
アクション
プロキシサーバー情報が有効であることを確認し、セキュアゲートウェイにもう一度サ
インインしてください。
Network Connect エラーメッセージ

417
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.gina.23811
システムログ
メッセージ
原因
アクション
完全な URL を https://www.server.yourcompany.com のフォーマットで入力します。
指定した URL が無効であるか、正しくフォーマットされていません。
https:// が先頭に付いており、セキュアゲートウェイのホスト名が正しいことを確認
します。
nc.windows.gina.23812
システムログ
メッセージ
原因
アクション
プロキシサーバーとの通信に必要な HTTP ポートを入力します。
プロキシサーバー用に指定されたポートが正しくないか、TCP ポートではありません。
システム管理者に問い合わせて、プロキシサーバーのポート番号を確認します。
nc.windows.gina.23814
システムログ
メッセージ
原因
アクション
セキュアサーバーが認識しているユーザー名を入力します。
ユーザー名フィールドが空のままです。
有効なユーザー名を指定して、もう一度接続します。
nc.windows.gina.23816
システムログ
メッセージ
原因
アクション
セキュアゲートウェイ認証が失敗しました。
入力した認証ユーザー名またはパスワードが無効であり、セキュアゲートウェイに拒否
されました。
ユーザー名とパスワードを確認して、もう一度サインインします。指定したユーザー名と
パスワードが正しいと思われる場合には、システム管理者にお問い合わせください。
nc.windows.gina.23817
システムログ
メッセージ
原因
アクション
418
Network Connect トンネルを確立できませんでした。
クライアントとセキュアゲートウェイ間で Network Connect トンネルを確立できません
でした。ネットワークで一時的な接続障害が発生した可能性があります。プロキシ設定に
問題があるか、GINA （Graphical Identification and Authentication）自動サインイン機能と
Network Connect サービスの間で通信エラーが発生した可能性があります。
システム管理者に問い合わせてネットワークの接続、プロキシ設定、セキュアゲート
ウェイ設定を確認します。
Network Connect エラーメッセージ
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.gina.23818
システムログ
メッセージ
原因
アクション
セキュアゲートウェイへの接続が終了しました。
Network Connect サービスが認証中に予期せず終了しました。
Windows にサインインしたあとで Network Connect をアンインストールします。セキュア
ゲートウェイにサインインして、Network Connect をもう一度インストールします。
nc.windows.gina.23819
システムログ
メッセージ
Network Connect トンネルを確立できませんでした。セキュアゲートウェイで複数のユー
ザーロールに関連付けられています。これは、GINA （Graphical Identification and
Authentication）自動サインイン機能との互換性がありません。
原因
セキュアゲートウェイはロール選択のページでユーザーにメッセージを表示するように
設定されています。このページは、GINA がユーザーロールで有効になっている場合にサ
ポートされません。
アクション
システム管理者はユーザーの GINA を無効にするか、ユーザーが単一のロールに関連付け
られるようにする必要があります。
nc.windows.gina.23820
システムログ
メッセージ
原因
アクション
2 回連続で試しても、セキュアゲートウェイはユーザー認証情報を認証できませんでし
た。GINA （Graphical Identification and Authentication）自動サインイン機能は、現在の
Windows サインインセッション中に再度セキュアゲートウェイにサインインしようとし
ません。
2 回連続で試しても、セキュアゲートウェイは指定されたユーザー認証情報を認証でき
ませんでした。
ユーザー認証情報を確認して、Windows が起動したあとにセキュアゲートウェイに接続
します。Windows サインイン中に使用した認証情報が正しいと思われる場合には、シス
テム管理者にお問い合わせください。
nc.windows.setup.24046
システムログ
メッセージ
このコンピュータに Network Connect をインストールするには、管理者権限が必要です。
Network Connect のインストールが終了しました。
原因
このコンピュータに現在サインインしたユーザーには管理者権限がありません。Network
Connect クライアントをインストールして実行するためには管理者権限が必要です。
アクション
システム管理者として Windows にサインインして、もう一度 Network Connect をインス
トールします。
Network Connect エラーメッセージ

419
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.setup.24047
システムログ
メッセージ
原因
アクション
Network Connect は、このオペレーティングシステムではサポートされていません。
Network Connect のインストールが終了しました。
このバージョンの Network Connect クライアントのインストールをサポートしているの
は、Windows 2000 と Windows XP だけです。
OK をクリックして、Network Connect のインストールを終了します。
nc.windows.setup.24050
システムログ
メッセージ
Network Connect のアップグレードが失敗しました。手動で Network Connect クライアン
トをアンインストールし、もう一度インストールします。
原因
Network Connect アップグレードのプロセスで問題が発生しました。Network Connect は
部分的にインストールされているため、アップグレードプロセスのアンインストールが
失敗した可能性があります。
アクション
OK をクリックしてこのメッセージボックスを閉じ、Network Connect を手動でアンイン
ストールしてからアップグレードバージョンをインストールします。
nc.windows.setup.24051
システムログ
メッセージ
Network Connect のインストールを完了するには、コンピュータを再起動する必要があり
ます。このコンピュータを今すぐ再起動しますか ?
原因
Network Connect のインストールのプロセスで問題が発生しました。以前のバージョンの
NCService コンポーネントが、Service Control マネージャ内で停止していない可能性があ
ります。
アクション
Yes をクリックしてアップグレードのプロセスを完了し、コンピュータを再起動します。
nc.windows.setup.24053
システムログ
メッセージ
原因
アクション
開いている Microsoft Internet Explorer ウィンドウをすべて閉じてください。Network
Connect のインストールを中止しています ...
Internet Explorer ウィンドウが開いていて、Juniper ActiveX コントロールが一時停止し、
Network Connect のインストールが無効になりました。
OK をクリックして、すべての Internet Explorer ウィンドウを閉じ、再度 Network
Connect をインストールします。
nc.windows.setup.24055
420
システムログ
メッセージ
Network Connect のセットアップを完了するには、コンピュータを再起動する必要があり
ます。
原因
Network Connect をセットアップするプロセスのアンインストールの部分で、NCService
コンポーネントを停止するときにエラーが発生しました。問題を訂正するには、コン
ピュータを再起動する必要があります。
アクション
OK をクリックしてコンピュータを再起動し、Network Connect のインストールを完了し
ます。
Network Connect エラーメッセージ
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.windows.setup.24056
システムログ
メッセージ
原因
アクション
このコンピュータで Network Connect をアンインストールするには、管理者権限が必要で
す。Network Connect のセットアップが終了しました。
管理者権限がありません。
システム管理者にお問い合わせください。
nc.windows.setup.24057
システムログ
メッセージ
Network Connect が、このコンピュータ上でプラグアンドプレイが無効になっていること
を検出しました。現在、Network Connect の特定のコンポーネントをこのコンピュータに
インストールできません。プラグアンドプレイを有効にするに方法については、セキュア
ゲートウェイのオンライン文書を参照してください。
原因
このメッセージは、プラグアンドプレイがコンピュータ上の他のアプリケーションにより
無効にされている場合に、表示されます。このため、Network Connect ドライバのイン
スールを完了できません。
アクション
次のレジストリキーをクライアントシステム上に作成する必要があります。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
これにより、クライアントシステム上のプラグアンドプレイが有効になります。
nc.windows.setup.24058
システムログ
メッセージ
インストールのプロセスを完了するには、コンピュータを再起動する必要があります。
ファイルを保存し、OK をクリックしてコンピュータを再起動します。
原因
Network Connect を Windows 98 システムにインストールしようとしています。インス
トールのプロセスを完了するには、コンピュータを再起動する必要があります。
アクション
ファイルを保存し、実行中のすべてのアプリケーションを閉じ、OK をクリックしてコン
ピュータを再起動します。
nc.windows.setup.24059
システムログ
メッセージ
アンインストールのプロセスを完了するには、コンピュータを再起動する必要がありま
す。ファイルを保存し、OK をクリックしてコンピュータを再起動します。
原因
Network Connect を Windows 98 システムから削除しようとしています。インストールの
プロセスを完了するには、コンピュータを再起動する必要があります。
アクション
ファイルを保存し、実行中のすべてのアプリケーションを閉じ、OK をクリックしてコン
ピュータを再起動します。
Network Connect エラーメッセージ

421
Juniper Networks NetScreen Secure Access 700 管理ガイド
Macintosh エラーメッセージ
このセクションは、Macintosh 環境の Network Connect エラーメッセージについて説明し
ています。
nc.mac.app.1003
システムログ
メッセージ
原因
アクション
Network Connect はセキュアゲートウェイに接続できません。
スタンドアロンの Network Connect クライアントを使用してセキュアゲートウェイを見
つけましたが、接続が拒否されたか、タイムアウトしました。
ホスト名または IP アドレスが正しく入力されているか確認して、セキュアゲートウェイ
にもう一度サインインしてください。
nc.mac.app.1004
システムログ
メッセージ
Network Connect はセキュアゲートウェイを見つけることができません。
原因
原因スタンドアロンの Network Connect クライアントを使用してセキュアゲートウェイ
を見つけることができません。入力したホスト名が正しくないか、DNS 設定に問題がある
可能性があります。
アクション
ホスト名または IP アドレスが正しく入力されているか確認して、セキュアゲートウェイ
にもう一度サインインします。それでもセキュアゲートウェイへの接続を確立できない場
合、システム管理者に連絡してください。
nc.mac.app.1005
システムログ
メッセージ
原因
アクション
Network Connect はセキュアゲートウェイに接続できません。
Network Connect スタンドアロンクライアントは、セキュアゲートウェイから必要な
データを取得できませんでした。セキュアゲートウェイは、フロントページで “HTTPS
GET” に 0 バイトのリソースを返した可能性があります。これは、正しく設定されていな
い HTTPS プロキシの使用時に発生する場合があります、その結果、Safari が、プロキシ
を通過するセッション情報に対して空のページを表示します。
セキュアゲートウェイにもう一度サインインしてください。それでもセキュアゲート
ウェイへの接続を確立できない場合、システム管理者に連絡してください。
nc.mac.app.1100
システムログ
メッセージ
原因
アクション
422
Network Connect はすでに実行中です。
Network Connect の別のコピーが、このコンピュータで実行中です。このコンピュータで
一度に実行できる Network Connect セッションは 1 つだけです。
Network Connect を起動する前に別の Network Connect が実行していないことを確認
します。
Network Connect エラーメッセージ
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.mac.app.1104
システムログ
メッセージ
原因
アクション
セッションがタイムアウトしました。
少なくとも 90 秒間、Network Connect がセキュアゲートウェイからハートビートまたは
正常性の確認メッセージを受信しなかったため、このセッションは終了しました。（詳細
については Log Viewer を参照してください。）
セキュアゲートウェイにもう一度サインインします。セキュアゲートウェイへの接続を
確立できない場合は、システム管理者に連絡してください。
nc.mac.app.1106
システムログ
メッセージ
原因
Network Connect をアップグレードしますか ?
コンピュータのスタンドアロン Network Connect クライアントのバージョン（< バー
ジョン >）は、セキュアゲートウェイのバージョン（< バージョン >）と異なっていま
す。
アクション
Network Connect のバージョンをアップグレードするには Upgrade をクリックします。ま
たは Cancel をクリックして接続を終了します。
nc.mac.app.1108
システムログ
メッセージ
コンピュータのネットワークインターフェースが変更されました。
原因
Network Connect セッションから独立して、コンピュータのネットワーク設定が変更され
ました。セキュアゲートウェイで設定されたセキュリティポリシーにより、接続が終了
しました。システム設定環境に変更が加えられたか、ネットワークインターフェースが起
動あるいは終了したか（たとえば PPP、AirPort ワイヤレス）、DHCP リースが更新された
か、あるいは不正なエージェントが使用された可能性があります。
アクション
Network Connect セッションをもう一度確立するため、Reconnect をクリックするか、
Cancel をクリックします。スタンドアロンクライアントを使用している場合は、Network
Connect サインインウィンドウにリダイレクトされます。Web 起動のクライアントを使用
している場合、プログラムは終了します。
nc.mac.app.1109
システムログ
メッセージ
コンピュータのネットワークインターフェースが変更されました。
原因
Network Connect セッションから独立して、コンピュータのネットワーク設定が変更され
ました。セキュアゲートウェイで設定されたセキュリティポリシーにより、接続が終了
しました。システム設定環境に変更が加えられたか、ネットワークインターフェースが起
動あるいは終了したか（たとえば PPP、AirPort ワイヤレス）、DHCP リースが更新された
か、あるいは不正なエージェントが使用された可能性があります。
アクション
OK をクリックします。スタンドアロンクライアントを使用している場合は、Network
Connect サインインウィンドウにリダイレクトされます。Web 起動のクライアントを使用
している場合、プログラムは終了します。
Network Connect エラーメッセージ

423
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.mac.app.1200
システムログ
メッセージ
Network Connect はセキュアセッションを確立できません。
原因
Network Connect はトンネリングサービスを開始できません。インストール時に問題が発
生した可能性があります。（詳細については Log Viewer を参照してください。）
アクション
Network Connect をもう一度インストールし、再びセキュアゲートウェイにサインインし
ます。それでもセキュアゲートウェイへの接続を確立できない場合、システム管理者に連
絡してください。
nc.mac.app.1202
システムログ
メッセージ
Network Connect はセキュアセッションを確立できません。
原因
Network Connect はセキュアゲートウェイで通信を起動し開始できましたが、不明な理由
によりトンネリングサービスを開始することができませんでした。（詳細については Log
Viewer を参照してください。）
アクション
Network Connect をもう一度インストールし、再びセキュアゲートウェイにサインインし
ます。それでもセキュアゲートウェイへの接続を確立できない場合、システム管理者に連
絡してください。
nc.mac.app.1203
システムログ
メッセージ
原因
アクション
セッションが予期せずに終了しました。
ソフトウェアのエラーにより Network Connect トンネリングサービスが終了しました。こ
れは 0 以外の終了コードが原因である可能性があり、通常ソフトウェアのクラッシュを
示しています。（詳細については Log Viewer を参照してください。
）
セキュアゲートウェイにもう一度サインインしてください。それでもセキュアゲート
ウェイへの接続を確立できない場合、システム管理者に連絡してください。
nc.mac.app.1204
システムログ
メッセージ
原因
アクション
424
コンピュータのルーティングテーブルが変更されました。
Network Connect から独立して、コンピュータのルーティングテーブルが変更されまし
た。セキュアゲートウェイで設定されたセキュリティポリシーにより、接続が終了しま
した。
Network Connect セッションをもう一度確立するため、Reconnect をクリックするか、ま
たは Cancel をクリックします。スタンドアロンクライアントを使用している場合は、
Network Connect サインインウィンドウにリダイレクトされます。Web 起動のクライアン
トを使用している場合、プログラムは終了します。
Network Connect エラーメッセージ
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.mac.app.1205
システムログ
メッセージ
原因
アクション
コンピュータのルーティングテーブルが変更されました。
Network Connect から独立して、コンピュータのルーティングテーブルが変更されまし
た。セキュアゲートウェイで設定されたセキュリティポリシーにより、接続が終了しま
した。
OK をクリックします。スタンドアロンクライアントを使用している場合は、Network
Connect サインインウィンドウにリダイレクトされます。Web 起動のクライアントを使用
している場合、プログラムは終了します。
nc.mac.app.1206
システムログ
メッセージ
原因
アクション
Network Connect はセキュアセッションを確立できません。
Network Connect トンネリングサービスは、この HTTPS プロキシサーバーで認証するこ
とができません。（詳細については Log Viewer を参照してください。
）
セキュアゲートウェイにもう一度サインインしてください。それでもセキュアゲート
ウェイへの接続を確立できない場合、システム管理者に連絡してください。
nc.mac.app.1207
システムログ
メッセージ
原因
アクション
セッションがタイムアウトしました。
セキュアゲートウェイで設定されたセッション時間の制限により、Network Connect セッ
ションがタイムアウトしました。
セキュアゲートウェイにもう一度サインインしてください。それでもセキュアゲート
ウェイへの接続を確立できない場合、システム管理者に連絡してください。
nc.mac.app.1400
システムログ
メッセージ
原因
アクション
Network Connect は HTTPS プロキシを使用できませんでした。
System Preferences の Network ペインにある URL から自動プロキシ構成（PAC）のスク
リプトをロードできませんでした。System Preferences のテキストフィールドに URL に使
うべきでない文字列を入力した可能性があります。
System Preferences の PAC スクリプト URL の文字列を確認して、再びセキュアゲート
ウェイにサインインします。それでもセキュアゲートウェイへの接続を確立できない場
合、システム管理者に連絡してください。
Network Connect エラーメッセージ

425
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.mac.app.1401
システムログ
メッセージ
原因
アクション
Network Connect は HTTPS プロキシを使用できませんでした。
System Preferences の Network ペインにある URL から自動プロキシ構成（PAC）のスク
リプトをロードできませんでした。DNS （ドメイン名サービス）のエラー、あるいはネッ
トワークの接続性に関連したエラーが原因である可能性があります。
System Preferences の PAC スクリプト URL の文字列を確認して、再びセキュアゲート
ウェイにサインインします。それでもセキュアゲートウェイへの接続を確立できない場
合、システム管理者に連絡してください。
nc.mac.app.1402
システムログ
メッセージ
原因
アクション
Network Connect は HTTPS プロキシを使用できませんでした。
System Preferences の Network ペインで指定した URL で、自動プロキシ構成（PAC）スク
リプトにエラーがある可能性があります。あるいは、自動プロキシ構成ファイルがテキス
トファイルでないか、UTF-8 として読み取れないエンコード方式を使用している可能性
があります。
ネットワーク管理者に確認して、再びセキュアゲートウェイにサインインしてみます。
nc.mac.app.1403
システムログ
メッセージ
原因
アクション
Network Connect は HTTPS プロキシを使用できませんでした。
System Preferences の Network ペインで指定した URL で、自動プロキシ構成（PAC）スク
リプトにエラーがある可能性があります。自動プロキシ構成スクリプトが構文エラーを含
んでいる可能性があります。
ネットワーク管理者に確認して、再びセキュアゲートウェイにサインインしてみます。
nc.mac.app.1700
システムログ
メッセージ
原因
アクション
426
Network Connect のアンインストールが失敗しました。
Network Connect のアンインストール中にエラーが発生しました。
セキュアゲートウェイのアンインストールまたは再度サインインを行う前に、ネット
ワーク管理者に確認してください。
Network Connect エラーメッセージ
Juniper Networks NetScreen Secure Access 700 管理ガイド
nc.mac.app.1701
システムログ
メッセージ
原因
アクション
Network Connect のアップグレードが失敗しました。
ネットワークエラーにより、スタンドアロン Network Connect アップグレードパッケー
ジをダウンロードできませんでした。
Network Connect を再度インストールする前に、ネットワーク管理者に確認してくだ
さい。
nc.mac.app.1804
システムログ
メッセージ
セッションは間もなく終了します。
原因
セキュアゲートウェイで設定されたセッションの時間制限により、残り時間が 0 になる
とセッションが時間切れになります。
アクション
OK をクリックします。セッションが終了したら、再度 Network Connect を起動するか、
セキュアゲートウェイにサインインします。
nc.mac.app.1805
システムログ
メッセージ
セッションを延長しますか ?
原因
セキュアゲートウェイで設定されているセッションアイドルタイムアウト時間に近づい
ています。Network Connect セッションを延長しない場合、一定時間アイドル状態が続い
たことにより、残り時間 0 でセッションが終了します。
アクション
セッションを延長する場合は、Extend Session をクリックします。セキュアゲートウェ
イへの接続を終了する場合は Sign Out をクリックします。または Do Nothing をクリック
して、残り時間が 0 になった時点で接続を終了させます。
Network Connect エラーメッセージ

427
Juniper Networks NetScreen Secure Access 700 管理ガイド
428
Network Connect エラーメッセージ
索引
数字
128 ビット暗号化 ..........................................................146
168 ビット暗号化 ..........................................................146
A
Access Series, 定義 ...........................................................35
Access-Accept 認証 .........................................................218
Access-Challenge 認証 ....................................................218
Access-Reject 認証 ..........................................................218
Access-Request 認証 .......................................................218
ACE、RSA ACE を参照
Active Directory
認証サーバー、Active Directory を参照
Advanced Preferences
ユーザーを参照
AES 暗号化のサポート...................................................215
archiveFileTransferFailed MIB オブジェクト...................174
archiveServerLoginFailed MIB オブジェクト...................174
archiveServerUnreachable MIB オブジェクト.................174
ARP Ping Timeout、設定........................................164, 165
ARP キャッシュ、設定 ..................................108, 164, 165
ARP コマンド .................................................354, 355, 365
authServerName MIB オブジェクト ...............................172
B
blockedIP MIB オブジェクト ..........................................172
blockedIPList MIB オブジェクト.....................................173
C
Cache Cleaner
ロギング、無効にする............................................176
概要 ..........................................................................76
Cache-Control
No-Store ..................................................................290
CASQUE 認証 .................................................................224
CA 証明書
証明書、CA 証明書を参照
CDP
CRL 配布点を参照
cHTML
パスワード、マスク ...............................................162
ページ、有効にする ...............................................161
clusterConcurrentUsers MIB オブジェクト .....................172
Connection Control ポリシー , Host Checker オプションと
して選択 .....................................................................186
cookie
URL に含める..........................................................146
セッション終了時に削除 ........................................146
cpuUtilNotify MIB オブジェクト .....................................175
CRL...................................................................................33
証明書、失効リストを参照
CRL 配布点
CRL のダウンロード ...............................................155
説明...........................................................................62
CSR
インポート..............................................................150
作成.........................................................................150
証明書のインポート ...............................................150
D
DES/SDI 暗号化のサポート ............................................215
diskFullPercent MIB オブジェクト..................................173
DLL の用件、Host Checker
Host Checker を参照
クライアントインターフェイス
サーバー統合インターフェイス
DMZ
インターフェース ...........................................164, 165
DN 属性の指定 ...............................................................157
DNS
ホスト名、リソースポリシーでの定義..........282, 286
外部ポート......................................................164, 165
名前解決、設定.......................................................163
E
Exchange サーバーサポート ...........................................96
externalAuthServerUnreachable MIB オブジェクト ........174
E メールクライアント....................................................329
MIB オブジェクト ...................................................172
概要...........................................................................93
設定.........................................................................329
リソースポリシー ...................................................329
F
fanDescription MIB オブジェクト...................................173
fileName MIB オブジェクト ...........................................172
FTP アーカイブ、定義 ...................................................110
索引

429
Juniper Networks NetScreen Secure Access 700 管理ガイド
H
HMTL モバイルページ
有効にする ............................................................. 161
Host Checker
API、以下を参照
Host Checker、サーバー統合インターフェース
Connection Control ポリシー.................................. 186
アンインストール............................................... 74, 79
インストーラ
ディレクトリ............................................... 74, 79
概要 ................................................................... 77
インストール
有効にする ...................................................... 404
改善
概要 ................................................................... 69
設定 ................................................................. 201
概要 .......................................................................... 67
クライアントインターフェース
概要 ................................................................... 66
サーバー統合インターフェース
概要 ................................................................... 66
有効にする ...................................................... 197
実行 .................................................................... 73, 78
自動アップグレード ............................................... 185
制限を指定
概要 ................................................................... 68
システムレベル .............................................. 184
リソースポリシーレベル................................. 55
領域レベル ................................................ 71, 403
ロールレベル............................................ 71, 404
チェック頻度 .......................................................... 184
ポリシー ................................................................... 68
ロギング、無効にする ........................................... 176
HP OpenView サポート.................................................. 111
I
IMAP
サポート ....................................................... 93, 94, 96
IMAP サポート
メールサーバー ..................................................... 329
Instant Virtual Extranet
IVE を参照
Internet Explorer
Internet Explorer を参照
JVM を実行 ............................................................... 64
Internet Explorer、JVM を実行......................................... 64
Internet Mail Application Protocol サポート ..................... 93
IP アドレス
解決 ................................................................ 108, 166
外部ポート ..................................................... 164, 165
制限 ................................ 398, 399, 401, 402, 403, 405
設定 ................................................................ 164, 165
ネットワークコネクトの割り当て ........................... 85
ユーザーサインインの制限 ........................... 398, 405
ユーザー要件の指定 ................................................. 42
リソースポリシーでの定義 ........... 281, 282, 286, 310
IPEntry MIB オブジェクト ............................................. 173
ipEntry MIB オブジェクト.............................................. 173
ipIndex MIB オブジェクト ............................................. 173
430
索引
ipValue MIB オブジェクト ..............................................173
IVE
CASQUE 認証 ..........................................................219
LAN 内、図 ...............................................................32
初期設定 ...................................................................35
設定（全般的な手順）...............................................32
定義 ..........................................................................31
認識のために RADIUS を設定する..........................225
パスワードオプション...........................................206
パスワード管理 ......................................................206
IVE のアップグレード....................................................334
IVE のシャットダウン....................................................333
IVE のリブート...............................................................333
IVE の再起動 ..................................................................333
IVE ローカルサーバー
認証サーバー、ローカル認証を参照
IVE 証明書........................................................................59
iveAppletHits MIB オブジェクト ....................................172
iveConcurrentUsers MIB オブジェクト...........................172
iveCpuUtil MIB オブジェクト .........................................172
iveDiskFull MIB オブジェクト ........................................175
iveDiskNearlyFull MIB オブジェクト ..............................175
iveFanNotify SNMP トラップ..........................................175
iveFileHits MIB オブジェクト .........................................172
iveLogFull MIB オブジェクト..........................................174
iveLogNearlyFull MIB オブジェクト ...............................174
iveMaxConcurrentUsersSignedIn MIB オブジェクト ......174
iveMaxConcurrentUsersVirtualSystem SNMP トラップ...175
iveMemoryUtil MIB オブジェクト ..................................172
iveNCHits MIB オブジェクト..........................................172
ivePowerSupplyNotify SNMP トラップ ...........................175
iveRaidNotify SNMP トラップ ........................................175
iveReboot MIB オブジェクト..........................................174
iveRestart MIB オブジェクト..........................................174
iveSAMHits MIB オブジェクト........................................172
iveShutdown MIB オブジェクト .....................................174
iveStart MIB オブジェクト .............................................174
iveSwapUtil MIB オブジェクト .......................................173
ivetermHits MIB オブジェクト .......................................172
iveTooManyFailedLoginAttempts MIB オブジェクト .......174
iveTotalHits MIB オブジェクト .......................................172
iveWebHits MIB オブジェクト........................................172
ivsName MIB オブジェクト............................................173
J
J.E.D.I.
エンドポイントセキュリティの概要を参照
Java アプレット
アプレットを参照
接続性の指定 ..........................................292, 293, 294
Java キャッシングポリシー ..................................292, 294
Java コード署名ポリシー ...............................................293
Java プラグインのキャッシュ ..........................................65
Java 仮想マシン
JVM を参照
JavaSoft 証明書.................................................................64
Juniper Endpoint Defense Initiative
エンドポイント防御を参照
Juniper Networks サポート................................................ xi
:
Juniper インストーラサービス、説明 ...........................336
JVM
アプレットの署名.....................................................64
サポートされていないバージョンの使用...............103
L
LAN、ネットワーク設定の変更 .............................164, 165
LDAP サーバー
認証サーバー、LDAP を参照
logDescription MIB オブジェクト...................................173
logFullPercent MIB オブジェクト ...................................172
logID MIB オブジェクト .................................................173
logMessageTrap MIB オブジェクト.................................175
logName MIB オブジェクト ...........................................173
logType MIB オブジェクト .............................................173
Lotus Notes
サポート .............................................................93, 96
M
MAPI サポート ...........................................................93, 94
meetingCount MIB オブジェクト ...................................173
meetingHits MIB オブジェクト ......................................173
meetingLimit MIB オブジェクト ....................................175
meetingUserCount MIB オブジェクト ............................172
meetingUserLimit MIB オブジェクト .............................174
memUtilNotify MIB オブジェクト ..................................175
MIB の概要 .....................................................................111
Microsoft Authenticode Certificate ....................................64
Microsoft JVM、JVM を参照
Mozilla、サポート、Safari、サポート ...........................146
MS Exchange
サポート ...................................................................94
プロトコルサポート ................................................93
MTU、設定.............................................................164, 165
N
NCP、有効にする...........................................................159
Netscape
JVM を実行................................................................65
Messenger サポート..................................................93
Web サーバー .........................................................148
メールサポート .......................................................95
Network Communications Protocol、有効にする...........159
Network Connect
オプション、指定...................................................275
リソースポリシー..................................................320
ロール .......................................................................52
概要 ..............................................................36, 42, 83
使用 ..........................................................................84
図 ..............................................................................85
Network Time Protocol、使用 ........................................137
New PIN モードのサポート............................................215
Next Token モードのサポート........................................215
nslookup コマンド .................................................354, 355
NT ドメイン
認証サーバー、Active Directory を参照
NTLM、設定 ...................................................................204
NTP、使用......................................................................137
O
ocspResponderUnreachable SNMP トラップ ..................175
ocspResponderURL MIB オブジェクト ...........................173
Optimized NCP、有効にする .........................................159
Oracle サポート..............................................................103
Outlook Express サポート ................................................93
Outlook サポート .................................................93, 94, 95
OWA サポート ..................................................................96
P
PassGo Defender RADIUS Server、設定..........................218
ping コマンド.................................................354, 355, 365
PKI、定義.........................................................................59
Policy Tracing サブタブ ..................................................127
POP
クライアント ............................................................96
サポート .......................................................93, 94, 96
メールサーバー......................................................329
Post Office Protocol
POP を参照
Pragma: No-Cache (PNC) ................................................290
productName MIB オブジェクト ....................................172
productVersion MIB オブジェクト ..................................172
psDescription MIB オブジェクト ....................................173
R
Radius
認証サーバー、RADIUS を参照
raidDescription MIB オブジェクト .................................173
realm
設定.........................................................................397
role
サインインの制限
IP による..........................................................398
設定.........................................................................397
Routes タブ ....................................................................166
RSA ACE/Server
認証サーバー、ACE/Server を参照
RSA ACE/ サーバー
ホスト名の解決.........................................................47
S
SCP, システムスナップショット ...................................365
sdconf.rec、生成 ............................................................216
Server Certificate タブ、Certificates メニュー................147
signedInMailUsers MIB オブジェクト .............................172
signedInWebUsers MIB オブジェクト.............................172
Simple Mail Transfer Protocol
SMTP メールサーバーを参照
SMTP メールサーバー
サポート ...................................................................93
有効にする..............................................................329
SNMP
エージェントとしての IVE の監視..........................170
サポート .................................................................111
設定、指定..............................................................170
SSH
ブックマーク、作成 ...............................................273
SSH オプション、指定 ...................................................274
索引

431
Juniper Networks NetScreen Secure Access 700 管理ガイド
SSL
使用できる暗号化の強度 ........................................ 146
使用できるバージョン ........................................... 146
Sun JVM、JVM を参照
swapUtilNotify MIB オブジェクト .................................. 175
syslog サーバー、設定 ................................................... 170
T
TCP ダンプファイル（デバッグ用）.............................. 353
telnet
ブックマーク、作成 ............................................... 273
telnet オプション、指定 ................................................ 274
TLS
使用できるバージョン ........................................... 146
traceroute コマンド........................................ 354, 355, 365
U
UNIX リソース
ブックマーク .......................................................... 271
UNIX/NFS ファイル
リソースポリシー.................................................. 313
定義 ................................................................. 310
URL
アクセス統計情報................................................... 176
user
ロール
定義 ................................................................... 51
USER 変数
UNIX ブックマーク................................................. 271
Web ブックマーク.................................................. 263
Windows ブックマーク .......................................... 270
W
Web
アクセスコントロール .......................... 287, 322, 326
サーバーアクセスコントロール ........................... 320
サーバーアクセスコントロール ........... 287, 322, 326
ピーク利用状況統計情報 ........................................ 176
ブックマーク、作成 ....... 263, 264, 270, 272, 273, 274
プロキシ、指定 ...................................................... 307
問題のブラウジング ............................................... 352
リソースポリシー.......................................... 285, 286
Web コンソール
説明 .......................................................................... 35
Windows
証明書..................................................................... 312
Windows Internet Naming Service サーバー、設定 ....... 163
Windows サポート
証明書....................................................................... 64
Windows ファイル
リソースポリシー.......................................... 310, 311
Windows リソース
ブックマーク .......................................................... 270
WINS
外部ポート ..................................................... 164, 165
サーバー、設定 ...................................................... 163
432
索引
X
XML
パスワード..............................................................118
名前空間 .................................................................119
XML Import/Export
ユーザーロール .....................................................341
XML インスタンスファイル
検証 ........................................................................123
XML インポート / エクスポート
XML インスタンスを UI へマップ ..........................120
インスタンスファイル...........................................116
インスタンス要素...................................................116
インポートモード..................................................342
開始タグ .................................................................116
空タグ.....................................................................117
サインインページ..................................................340
参照整合性..............................................................119
終了タグ .................................................................116
委任管理ロール ......................................................341
処理命令 .................................................................116
ネットワーク設定...................................................340
要素の順序..............................................................119
領域 ........................................................................341
ローカル .................................................................342
ローカルユーザーアカウント...............................342
XML コードサンプル.....................................................117
XML 属性........................................................................118
あ
アーカイブ
スケジュールリング ...............................................349
定義 ........................................................................110
アイコンの説明、注意事項............................................... xi
アクション、リソースポリシーコンポーネント ...........54
アクセスコントロール
Web リソース .........................................287, 322, 326
リスト（ACL）
エクスポート...................................................340
アクセストンネル
認証前アクセストンネルを参照
アクセス管理
制限、指定..............................................................258
アクティブユーザー、監視...........................................138
アプリケーションキャッシュ、削除 ........................67, 76
アプレット
ブラウジングオプション、設定 ............................266
暗号化
強度 ........................................................................146
説明 ..........................................................................32
パスワード..............................................................118
アンチウィルスソフトウェア
要件の指定................................................................66
い
一時ファイル、削除 ..................................................67, 76
インストーラ、ダウンロード ........................................336
インストール
サポートへの問い合わせ ........................................... xi
インフォログメッセージ、定義 ..................................111
:
インポート
クイック .................................................................121
フル ........................................................................121
標準 ........................................................................121
インポートモード .........................................................342
Full Import ..............................................................343
Quick Import ...........................................................343
Standard Import ......................................................343
フル ........................................................................121
標準 ........................................................................121
う
ウィルス署名、経過日数のチェック .............................194
え
エラーメッセージ、変更 ..............................................182
エンドポイント防御
以下も参照
Cache Cleaner
Host Checker
概要 ..........................................................................66
か
開始タグ
XML.........................................................................116
改善
設定 ........................................................................201
概要 ..........................................................................69
外部ポート .....................................................................107
設定 ........................................................................165
鍵 ...................................................................................148
秘密、秘密鍵を参照
カスタマサポート ............................................................ xii
仮想
仮想環境、要件の指定..............................................66
ホスト名
設定 .................................................................163
仮想ホスト名
設定 ........................................................................298
仮想
ユーザーセッションを有効にする.........................351
空タグ
XML.........................................................................117
管理者
スーパー管理者アカウント、作成..........................365
ユーザー管理者 ......................................................204
管理情報ベースの概要...................................................111
管理者領域 .....................................................................341
管理者ロール
定義 ..........................................................................51
定義済み .................................................................248
ロールも参照
き
企業イメージ、要件の指定..............................................66
規則
キャッシュ管理 ......................................................288
設定 ..................................................................55, 243
基本的な認証の仲介、設定............................................304
キャッシュ
Java プラグイン ........................................................65
規則.........................................................................288
クリア .................................................................67, 76
ヘッダー .................................................................290
キャッシングリソースポリシー...................................288
く
クイックインポート......................................................121
クッキー
永続、有効にする ...................................................268
クライアントサイド Java アプレット
接続性の指定 ..........................................292, 293, 294
クライアントレスの VPN、概要 ......................................83
クラスタ
ACE/Server のサポート ...........................................215
クリティカルログメッセージ、定義 ...........................111
グループメンバーシップ、LDAP ..................................243
け
携帯端末
有効にする..............................................................160
ゲートウェイ
外部ポート......................................................164, 165
設定.................................................................164, 165
検証................................................................................123
こ
公開鍵インフラストラクチャ、定義 ...............................59
コード署名証明書
証明書、アプレット証明書を参照
コマンド、UNIX.....................................................354, 355
コンソール
シリアル
シリアルコンソールを参照
管理者
Web コンソールを参照
コンテンツキャッシング規則 .......................................288
コンパクト HTML
パスワードのマスク ...............................................162
コンパクト HTML におけるパスワードのマスク ...........162
コンパクト HTML ページ
有効にする..............................................................161
さ
サーバー
リソースポリシー ..................................................281
リソースポリシーでの定義....................................310
認証サーバーも参照
認証に使用される種類........................................46, 47
サーバーカタログ、設定 ..............................................243
サービスパッケージ
インストール ..........................................................334
ダウンロード ..........................................................137
再書き込み
データ転送プロキシオプション ....................102, 296
最小同時ユーザー数.......................................................406
最大送信単位、設定...............................................164, 165
最大同時ユーザー数.......................................................406
索引

433
Juniper Networks NetScreen Secure Access 700 管理ガイド
サインイン
オプション
ユーザーの制限 ....... 398, 399, 401, 402, 403, 405
サインイン URL ............................................................. 340
サインインページ ......................................................... 340
サインインポリシーへのマッピング..................... 181
定義 .................................................................. 50, 182
サインインポリシー
設定 ........................................................................ 181
定義 ............................................................ 33, 50, 181
定義済みポリシー..................................................... 33
無効にする ............................................................. 182
有効にする ............................................................. 182
削除
設定 ........................................................................ 122
サポート
操作 ................................................................ 352, 356
参照整合性..................................................................... 119
し
シェア
リソースポリシーでの定義 ................................... 310
資格情報
検証 .......................................................................... 33
識別名属性、指定 .......................................................... 157
時刻と日付、設定 .......................................................... 137
システム
設定 ........................................................................ 333
設定、インポート................................................... 338
設定、エクスポート ............................................... 338
ソフトウェア、インストール................................. 334
データ、アーカイブ ............................................... 349
デバッグ ................................. 352, 353, 354, 355, 356
統計情報、表示 ...................................................... 176
システムデータ ............................................................ 333
自動起動
Network Connect .................................................... 275
自動許可
ブックマーク、Web ............................................... 263
ブックマーク、ファイル ........................................ 271
終了タグ
XML ........................................................................ 116
順序
要素 ........................................................................ 119
委任管理ロール
エクスポート .......................................................... 341
障害検出ソフトウェア、要件の指定 ............................... 66
証明書
CA 証明書
CRL チェックの有効化 .................................... 155
IVE へのアップロード ..................................... 151
検証 ................................................................. 157
更新 ................................................................. 153
詳細の表示 ...................................................... 158
定義 ................................................................... 59
CRL
詳細の表示 ...................................................... 153
有効にする ...................................................... 155
434
索引
JavaSoft .....................................................................64
MS Authenticode .......................................................64
Windows .................................................................312
アプレット証明書
インポート ......................................................159
定義 ...................................................................59
階層
説明 .............................................................60, 61
定義 ...................................................................61
鍵
既存のインポート............................................148
既存のエクスポート ........................................148
クライアントサイド証明書
定義 ...................................................................59
コード署名証明書
証明書、アプレット証明書を参照
サーバー
定義 ...................................................................61
認証サーバー、証明書サーバーを参照
サーバー証明書
CSR のインポート ...........................................150
CSR の作成 ......................................................150
既存のインポート............................................148
既存のエクスポート ........................................148
更新版のインポート ........................................149
定義 ...................................................................59
サインインの制限
ユーザー ..........................................................401
サポートされている形式 ........................148, 151, 157
自己署名 ...................................................................60
失効リスト................................................................33
説明 ...................................................................62
定義 ...................................................................61
署名要求
インポート ......................................................150
作成 .................................................................150
証明書のインポート ........................................150
制限、設定................................................................37
セキュリティ要件、定義 ..........................................44
属性、設定..............................................................243
取り消し
定義 ...................................................................61
証明書失効リスト
証明書、失効リストを参照
証明書
サーバー証明書
既存のインポート............................................148
シリアルコンソール
システムタスクの使用....57, 135, 179, 237, 253, 279,
331, 359
す
スーパー管理者アカウント、作成.................................365
スナップショット ..........................................................365
スナップショットファイル（デバッグ用）...................353
スパイウェア、要件の指定..............................................67
スプリットトンネルオプション ...................................275
スマートキャッシング..................................................289
スレーブ ACE/Server のサポート ...................................215
:
せ
て
制限
ディレクトリサーバー
定義...........................................................................48
認証サーバーも参照
データ転送プロキシ
説明.........................................................................102
データベース、認証用 ...............................................46, 47
データ転送プロキシ
アプリケーションの指定 ........................................296
リソースポリシー ..................................................298
適格なロール、定義.........................................................49
デジタル証明書
証明書を参照
定義...........................................................................59
デバッグ
TCP ダンプファイル ..............................................353
UNIX コマンド ................................................354, 355
スナップショットファイル....................................353
トレースファイル ..................................................352
リモート .................................................................356
ユーザーのサインイン....................................401, 402
正式フォーマット
概要 ................................................................281, 286
静的ルート .....................................................................166
セキュリティオプション
設定 ........................................................................146
セッション
オプション、指定...................................................259
タイムアウトの警告 ...............................................259
タイムアウト、アイドル ................................259, 260
タイムアウト、最大長............................................259
タイムアウト残り時間............................................259
ローミング、設定...................................................260
永続、設定..............................................................260
セッションタイムアウト
Cache Cleaner ヘの影響 ............................................79
設定 ..........................................................................37
セッションパラメータ、設定 .........................................51
セッションロール、定義 ................................................52
セッション、終了 ..........................................................138
接続状態、テスト ..........................................................333
設定ファイル
ACL とブックマーク、エクスポート ......................340
システム、インポート............................................338
システム、エクスポート ........................................338
ローカルユーザーアカウント、インポート .........339
ローカルユーザーアカウント、エクスポート......339
設定、システムのアップグレード.................................... xi
選択的な再書き込み ......................................................296
そ
ソース IP の制限、設定 .............................................37, 42
属性
XML.........................................................................118
属性サーバー
認証サーバーを参照
属性、設定 .....................................................................242
ソフトウェア
インストール ..........................................................334
ダウンロード ..........................................................137
た
タイムアウト
アイドルセッション ..............................................259
アイドルセッション、アプリケーション動作.......260
セッションタイムアウトを参照
警告、設定..............................................................259
最長セッション ......................................................259
残り時間、設定 ......................................................259
タブ
ルート .....................................................................166
ち
注意事項のアイコンについての説明 ................................ xi
仲介
選択的な再書き込み ...............................................296
と
動的ポリシーの評価.........................................40, 185, 240
トラップ
設定.........................................................................171
定義.........................................................................111
トラブルシューティング
仮想セッションの使用............................................351
ポリシーのトレース .......................................127, 350
トレースファイル（デバッグ用）..................................352
な
内部ポート .....................................................................107
内部ポート、設定 ..........................................................107
名前空間
XML.........................................................................119
に
認証
サポートされているサーバー .............................47, 46
認証サーバー
ACE/Server
ACE/Agent ファイルの生成..............................216
エージェント設定ファイル .............................216
概要 .................................................................215
設定 .................................................................216
RADIUS
ACE/Server プロトコル ....................................215
Active Directory
設定 .........................................................204, 226
LDAP
設定 .........................................................204, 211
属性の設定.......................................................242
NIS サーバー
設定 .................................................................214
RADIUS ...................................................................218
属性の設定.......................................................242
索引

435
Juniper Networks NetScreen Secure Access 700 管理ガイド
証明書サーバー
LDAP
認証 .......................................................... 234
設定 ................................................................. 233
定義 ................................................................... 61
匿名サーバー
概要 ................................................................. 231
設定 ......................................................... 231, 235
設定（全般的な手順）............................................. 205
定義 .............................................................. 33, 36, 46
定義済みサーバー..................................................... 33
ディレクトリサーバー、定義.................................. 36
領域へのマッピング ............................................... 239
ローカル認証 .......................................................... 206
設定 ......................................................... 205, 235
認証設定
ユーザー ................................. 398, 401, 402, 403, 405
認証の仲介、設定 .......................................................... 304
認証ポリシー
設定 .................................................................. 48, 241
定義 .............................................................. 33, 36, 46
認証前アクセストンネル
指定 ........................................................................ 197
説明 .......................................................................... 71
認証領域
領域を参照
ぬ
ヌルサーバー
認証サーバー、匿名サーバーを参照
ね
ネイティブホストチェック
Host Checker を参照
ネームロッキングのサポート....................................... 215
ネットマスク
ユーザー要件の定義 ................................................. 42
リソースポリシーでの定義 ........................... 282, 286
外部ポート ..................................................... 164, 165
設定 ................................................................ 164, 165
ネットワーク
パケット、スニッフィング .................................... 353
ローカルで解決されるホスト名の指定 .................. 166
静的ルートの指定........................................... 108, 166
設定 ........................................................................ 107
初期 ......................................................... 107, 163
設定値
設定 ................................................................. 365
ネットワーク設定をエクスポート................................. 340
は
パーソナルファイアウォール
Cache Cleaner との使用............................................ 79
ファイアウォールを参照
パーミッシブマージ
概要 .......................................................................... 52
パス
リソースポリシーでの定義 ................... 287, 310, 311
436
索引
パスワード
XML ファイル .........................................................118
新しいユーザー用...................................................118
暗号化.....................................................................118
キャッシング、設定 ...............................................260
サインインの制限
ユーザー ..........................................................402
セキュリティ要件、定義 ..........................................45
プレーンテキスト..................................................118
ひ
日付と時刻、設定 ..........................................................137
秘密鍵
インポート..............................................................148
標準インポート..............................................................121
標準インポートモード..................................................121
標準書式
概要 ........................................................310, 317, 320
ふ
ファイアウォール
Cache Cleaner との使用 ............................................79
要件 ..........................................................................66
ファイル
アクセス統計情報...................................................176
サーバー、コード化 ...............................................315
チェック
設定 .................................................................193
ブックマーク、作成 .......................................270, 271
リソースポリシー..................................................309
定義 .................................................................310
ファイルのクリーンアップ........................................67, 76
ブックマーク
SSH、作成...............................................................273
telnet、作成 ............................................................273
Web の作成.....................................270, 272, 273, 274
Web、作成......................................................263, 264
エクスポート ..........................................................340
オプション、有効にする ........................................268
ファイル、作成 ..............................................270, 271
ブラウザ
サインインの制限、ユーザー.................................399
リクエストのフォロースルー、設定 ......................260
制限、設定................................................................43
ブラウジング
オプション、Web ブラウジングの指定 .................266
オプション、ファイルオプションの指定..............272
ページ、開..............................................................267
プラットフォーム、アップグレード .............................334
フルインポート..............................................................121
フルインポートモード..................................................121
プロキシ
データ転送プロキシを参照
プロセスチェック
設定 ........................................................................192
プロトコル、リソースポリシーでの定義 .............281, 286
文書の書体についての説明............................................... xi
マーク........................................................................ xi
:
へ
ベース CRL
CRL も参照
定義 ..........................................................................62
ヘルプ
サポートへの連絡先 .................................................. xi
変更 ........................................................................183
ほ
ポート
外部ポートの変更...........................................164, 165
外部 ........................................................................107
内部 ........................................................................107
要件
設定 .................................................................192
リソースポリシーでの定義 ...........................282, 286
ホームページ
カスタマイズ ..........................................................261
保証最小数 .....................................................................406
保証最大数 .....................................................................406
ホスト、リソースポリシーでの定義 ....................282, 286
ホスト名
解決 ................................................................108, 166
リソースポリシーでの定義 ...........................281, 310
解決 ........................................................................166
非表示 .....................................................................267
ポリシー
サインインポリシーサインインポリシーを参照
トレース .........................................................127, 350
リソースポリシーリソースポリシーを参照
サインインの制限
パスワード.......................................................402
ブラウザ ..........................................................399
証明書..............................................................401
作成.........................................................................208
属性、設定..............................................................242
データ
インポート.......................................................342
エクスポート ...................................................340
ユーザー管理者
定義 .................................................................209
認証 .................................................................204
ユーザー数の制限 ...................................................242
ユーザーアカウント
エクスポート ..........................................................342
ユーザーセッション
セッションを参照
ユーザーセッションのシミュレーション .....................351
ユーザーセッションの記録...........................................350
ユーザーロール
ロールを参照
ユーザー領域
エクスポート ..........................................................341
よ
要素
インスタンス ..........................................................116
ら
マイナーログメッセージ、定義 ..................................111
ライセンス
概要.........................................................................140
更新.........................................................................144
作成.........................................................................142
め
り
ま
メール
サーバー、設定 ......................................................329
ピーク利用状況統計情報 ........................................176
メジャーログメッセージ、定義 ..................................111
も
問題のブラウジング（Web）..........................................352
ゆ
有効なロール、定義 ..................................................49, 52
ユーザー
Advanced Preferences ページ .................................268
アカウント
インポート ......................................................339
エクスポート...................................................339
管理 .................................................................208
作成 .........................................................208, 277
アカウントの管理...................................................208
監視 ........................................................................138
強制的に終了させる ...............................................138
リソースポリシー
E メールクライアント ............................................329
Java .........................................................292, 293, 294
Network Connect.....................................................320
UNIX/NFS ファイル .........................................310, 313
Web.................................................................285, 286
Windows ファイル..........................................310, 311
インポート..............................................................342
エクスポート ..........................................................340
キャッシング ..........................................................288
コード化 .................................................................315
サーバー .................................................................281
設定.........................................................285, 317, 397
選択的な再書き込み ...............................................296
データ転送プロキシ ...............................................298
ファイル .................................................................309
概要...........................................................................54
定義.....................................................................33, 37
定義済みポリシー .....................................................33
評価...........................................................................55
リソースポリシーのコード化 .......................................315
リソース、リソースポリシーコンポーネント ...............54
索引

437
Juniper Networks NetScreen Secure Access 700 管理ガイド
領域
エクスポート .......................................................... 341
サインインポリシーへのマッピング..................... 181
セキュリティ要件..................................................... 37
設定 ........................................................................ 239
定義 .................................................................... 33, 36
定義済み領域 ............................................................ 33
リンク速度
設定 ................................................................ 164, 165
れ
レジストリの設定
チェック
設定 ................................................................. 194
ろ
ローカル認証サーバー
認証サーバー、ローカル認証を参照
ロール
Web サーバーアクセスコントロール .. 287, 320, 322,
326
インポート ............................................................. 342
エクスポート .......................................................... 340
オプション、管理................................................... 257
サインインの制限
Host Checker ポリシーにより ......................... 403
IP による ......................................................... 405
パスワード ...................................................... 402
証明書 ............................................................. 401
制限 ........................................................................ 258
設定 ........................................................................ 256
設定、管理 ............................................................. 257
定義 .......................................................................... 37
評価 .......................................................................... 52
ブックマーク
SSH ブックマークの作成................................. 273
telnet ブックマークの作成 .............................. 273
Web の作成 ............. 263, 264, 270, 272, 273, 274
ファイルの作成 ....................................... 270, 271
マージ....................................................................... 52
マッピング ..................................... 36, 46, 48, 52, 242
ユーザーセッションのオプション、指定.............. 259
リソースポリシーコンポーネント ......................... 54
定義 .................................................................... 32, 51
定義済みロール ........................................................ 32
ロールベースのソース IP エイリアス.............................. 51
ロギング
記録するイベントの指定 ........................................ 169
クライアントログ
Cache Cleaner .................................................... 79
無効にする ...................................................... 176
セキュリティレベル .............................................. 111
設定 ........................................................................ 168
ポリシーのトレース ............................................... 350
ログファイルの保存 .............................................. 168
438
索引
Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5".
Juniper Networks, Inc. has sales offices worldwide.
For contact information, refer to www.juniper.net.
50A051605
A book with .25" spine would cut here.
A book with 2.5" spine would cut here.
Juniper Networks, Inc.
Printed on recycled paper
Juniper
Networks,
Inc.
A 1.25" spine would fold here.
A 2.5" spine would fold here.
NetScreen Secure Access
NetScreen Secure Access FIPS
Quick Start
NetScreen Instant Virtual Extranet Platform
Cover size is 8.3 x 10.75".
This is the hardware version: has blue line and blue bar
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089 USA
Phone 408 745 2000 or 888 JUNIPER
Fax 408 745 2100
™
CORPORATE HEADQUARTERS
M320 Internet Router Hardware Guide
™
M-series Routing Platforms
www.juniper.net